Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

つぶやいてみた。

トップガンから感じる事

1986年にこの映画を見た時は衝撃的でした・・・トム・クルーズ最高!という話ではありません。 トップガン (字幕版) 発売日: 2013/11/26 メディア: Prime Video この商品を含むブログを見る トップガンはトップガンでも、こちらの方でした。 www.nhk.or.jp …

宅地建物取引業者情報への不正アクセス

東京都のページが狙われた様です。宅建情報サイトが不正アクセスを受けたとの発表が出ていました。 ■公式発表 「宅地建物取引業者情報のインターネット情報提供システム」の利用停止について ◆キタきつねの所感 東京都管轄の検索サービスという事もあり、時…

サプライチェーンが破られるのは当然

何とも恐ろしい調査結果が出ていましたが、インシデントベースで考えると、日本企業は危ないとの私感ともそんなにブレてない結果でもありました。 www.nikkei.com 大阪商工会議所は10日、取引先のサイバーセキュリティー対策に関する調査結果をまとめた。取…

RSSリーダのメンテナンス

GW中に何をやったか?その答えのひとつがRSSリーダのメンテナンスでした。普段はあまり時間が取れないのですが、じっくりと記事の参考になりそうなセキュリティサイトを調べてました。特に海外のサイトはかなり今回の調査で増やしたので、良い情報ソースにな…

EV証明書(緑の鍵)も過信できなくなってきた

新しいAndroid端末への攻撃手法、URLバー(インセプションバー)を使った騙し(Fake)は、日本でも警戒すべきかも知れません。 nakedsecurity.sophos.com このトリックは、Android版のChromeブラウザが貴重な小画面のスペースを節約する方法を悪用しています…

飛行機での会議は不要

米国系の航空会社がエンターテイメントシステム提供のためのモニターに付属するカメラにカバーをつけ始めたという記事が出ていました。 www.buzzfeednews.com ユナイテッド、デルタ、そしてアメリカン航空は彼らのシートバックエンターテインメントシステム…

BECはついに宗教にも

企業の経営者、学校・・・ビジネスメール詐欺(BEC)は宗教関係にもその魔手を伸ばしてきた様です。www.wkyc.com オハイオ州ブランズウィック - ブランズウィックのセントアンブローズカトリック教区の指導者たちは、改装のために指定された教会からハッカー…

選挙も命がけに・・・

セキュリティとは関係ないのですがGW中という事でご容赦下さい。海外のこの記事が気になりました。 jp.reuters.com インドネシアで17日に実施された選挙で、職員らが手作業での開票を長時間続けた結果、27日夜の時点で272人が過労とみられる原因で死…

CIAの頭の体操

CIAがインスタグラムアカウントを突如開設した様です。 www.theverge.com CIAのディレクターGina Haspelが先週アラバマ州のAuburn大学での講演中に、諜報機関が写真共有プラットフォーム上でプレゼンスを構築することを発表すると発表したので、発表は本当に…

警察の意地を感じた

令和になる前に捕まえたかった。そんな想いを感じる逮捕のニュースでした。 www.sankei.com 警視庁捜査1課は校内の防犯カメラに写っていた作業員風の男が関与したとの見方を強め、カメラ画像を移動方向にたどる「リレー方式」と呼ばれる捜査で足取りを追跡…

将棋はセキュリティと同じである。

令和最初の記事をどうしようかと、少し考えていたのですが、平成を代表する若手棋手、藤井聡太七段のこのコメントを取り上げてみます。 hochi.news 日本将棋連盟は29日、都内で平成回顧イベント「棋才 平成の歩」を開催し、谷川浩司九段(57)、清水市代…

木造建築での喫煙

ヒヤリハットは正しいのかなと思わせるAFPの記事でした。 www.afpbb.com 大火災に見舞われたフランス・パリのノートルダム大聖堂(Notre Dame Cathedral)で、火災発生前から行われていた建物の改修に当たっていた作業員らが、同大聖堂での禁煙規則を厳守し…

PDCAはDCがセットでなければいけない

IBMの調査には日本(大手)企業も含まれていると思いますが、欧米を含めた調査データでこの実施率であれば、ほとんどの日本企業はそれよりも低い実施率であるのは間違いない様です。 www.itmedia.co.jp 米IBMは2019年4月11日(現地時間)、企業のサイバー攻…

教員へのセキュリティ教育も重要

普段はUSB盗難というのは、あまりインデント調査の興味を惹かれないのですが、この発表は少し気になりました。 www.security-next.com ■公式発表 【お詫び】海外出張中の本学教員による個人情報を含むUSBメモリ等の盗難について 1. 盗難の経緯 オランダに海…

高い大学の授業料

大学はセキュリティ対策を怠る事のリスクをもっと真剣に考えるべきかも知れません。 www.seattletimes.com ワシントン州立大学は、 2017年に100万人以上の個人情報を格納したハードドライブがセルフストレージロッカーから盗まれた後、費用のかかる教訓を学…

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。 www.zdnet.com Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出…

パスワード定期変更不要だけ一人歩きしてないか

内容として決して間違っている訳ではないのですが、記事を読んでいてSP800-63で書かれている事との違和感を感じました。 tech.nikkeibp.co.jp 「企業IT利活用動向調査2019」速報によると、2018年3月に総務省がパスワードの定期的な変更は不要との見解を示し…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

USBKillerの正しい使い方

以前書いた事のある『物理攻撃ツール』のUSBKillerを使っている事件が報じられていました。 www.zdnet.com 米国のインド人国民は今週、ニューヨークのセントローズ大学で59台のコンピュータを破壊したことを認め、オンラインで購入した「USB Killer」という…

両陛下の伊勢神宮ご参拝

両陛下の在位中最後の伊勢訪問に関して、ふと気になったので調べてみました。 www.asahi.com 伊勢神宮参拝のため、JR東京駅を出発する天皇、皇后両陛下。後方は「三種の神器」の剣=2019年4月17日午後1時17分、嶋田達也撮影 偶然にも、(両陛下…

カード授受の脆弱性

この穴を突いてきましたか。。。偽造運転免許証を使ったクレジットカード不正授受の事件が報じられていました。 www.tokyo-np.co.jp 他人名義のクレジットカードで高級腕時計をだまし取ったとして、詐欺などの疑いで警視庁に逮捕された男らが、東京都内の高…

学生時代の悪さでは済まされない

気になる記事がありました。 www.asahi.com 小学館のスマートフォン向け漫画アプリ「マンガワン」を不正に改変したなどとして、警視庁は12日、ヤフーの男性社員(25)を私電磁的記録不正作出・同供用の疑いで書類送検した。容疑を認めているという。 渋…

やはり漏えい対象でした。

やっと退会できました。私の様に宅ふぁいる便を過去に利用した事あるけど・・・という方は、登録メールアドレスを確認(退会)されては如何でしょうか? www.itmedia.co.jp 大容量ファイル送信サービス「宅ふぁいる便」で、ユーザーのパスワードなど481万件…

中華風 エイプリルフール?

トランプ大統領の別荘に中国のスパイと見なされる女性が不法侵入した件で続報が出ていました。 www.cnn.co.jp 米連邦検察当局は1日、トランプ米大統領の別荘「マール・ア・ラーゴ」(米フロリダ州)に不法侵入したとして2冊の中国旅券を所持していた女を訴追…

サーカスのカード情報漏えい

子供服のECサイトもカード情報を漏えいしていた様です。 scan.netsecurity.ne.jp 公式発表 不正アクセスによるお客様情報流出に関するお詫びとお知らせ 2月25日に完了した調査機関による調査結果によると、同社オンラインショップのシステムの一部の脆弱性を…

ハッシュはクラックされているかもしれない。

日経BPの記事が良記事でした。セキュリティに足を踏み入れている(一部の)IT部門の方々が、ハッシュ化=安全という認識であるのは残念ですが、この記事を読んで認識を変える事ができるかも知れません。 tech.nikkeibp.co.jp ライフベアは、漏洩したパスワー…

セシールオンラインショップがベンチマークになっている

セシールオンラインショップへのパスワードリスト攻撃がまた出ていた様です。 www.security-next.com ディノス・セシールは、同社の通信販売サイト「セシールオンラインショップ」がパスワードリスト攻撃を受け、一部アカウントで不正ログインが発生したこと…

サプライチェーン攻撃は海外拠点も考慮する必要がある

サプライチェーン攻撃の一種と言えるのかも知れません。ロイターがHOYAの海外工場が攻撃された件を報じていました。 jp.reuters.com 光学機器大手HOYAのタイにある工場のシステムが2月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害…

自分ファーストの行く着く先

個人的に気になる記事でした。(セキュリティとは関係ありません) www.huffingtonpost.jp 「書く気持ちにはなれません」書かれているのは、この店で「白虎隊御朱印」を書き、販売してきた白虎隊墓守家の5代目、飯盛尚子さんのメッセージ。 飯盛さんによると…

ホワイトハッカーなのだろうか?

私にはホワイトハッカーの業務範疇とは思えないのですが、将来有望なハッカーである事は間違いなく、他国への流出を恐れた刑罰なのかも知れません。 www.theverge.com 24歳のセキュリティ研究者は、Microsoftと任天堂のサーバにハッキングし、機密情報を盗む…