Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

つぶやいてみた。

セキュリティの通信簿

脆弱性価格は実情に合ったものかも知れません。 gigazine.net 様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZEROD…

仮想通貨を預けるのはリスキーなのか

仮想通貨を取引所に預ける事のリスクは、日本でも韓国でも同じ様です。 crypto-lab.info 韓国の政府機関(科学情報通信省、インターネット庁、経済財政省)が実施した仮想通貨取引所のセキュリティ調査で、21社のうち7社しか安全基準をクリアできなかったこ…

インシデント分析のメリット

(雑談記事です) 既に2019年が始まってしばらく経ちますが、ある人と話していて、何でインシデントを分析する必要があるの?と聞かれてふと考えてしまいました。 インシデント分析をやり始めて数年経ちますが、本格的にとなるとこのブログを書くようになっ…

暗証番号の紙は性善説では守れない

宅配ボックスからの盗難事件が増えているとの記事がありましたが、マンション管理組合がリスク管理が出来てない事が問題なのかなと思いました。 www.huffingtonpost.jp 宅配物が届いたときに不在でも、受け取ることができる宅配ボックス。その中から届いた商…

フィッシングは更に悪化していく

研究熱心なホワイト側の方は時にしてブラック側になってしまう。まるでスターウォーズのダースベーダーの様な記事が出ていました。 www.zdnet.com セキュリティ研究者によって今年の初めに公開された新しい侵入テストツールは、かつてないほど簡単にフィッシ…

WindowsXPは隠れている

OSシェアから見るとWindowsXPが3ヶ月連続で何故かシェアを増やしているのはノーガード戦法なのでしょうか。 news.mynavi.jp Net Applicationsから2018年12月のデスクトップOSのシェアが発表された。2018年12月はMac OSとLinuxがシェアを増やし、Windowsがシ…

根岸さんのインパクト

1月2日の記事のアクセスに根岸さんのインフルエンサーとしての大きさを感じました。発端は昨日のTwitter(だと思います)。にゃん☆たくさんと、根岸さんが記事を評価してくれていました。 アクセス推移を見ると、1日で2,469アクセスあった事が分かります。普…

東京五輪でのドローン攻撃

ドローンで成功した攻撃事例が出てしまったなという印象です。 japan.zdnet.com ガトウィック空港は19日夜、ドローンが近くに飛来したことを受け、24時間以上にわたって閉鎖された。その後、21日朝になって再開されたが、再びドローンが目撃されたため、また…

OWASP TOP10 IoT版がリリース

ぼーっとニュースを見ていて、年末にOWASP TOP10 (IoT版)が12月30日にリリースされていたのに気づきました。日本語の記事を見つけられませんでしたが、正月休み等の長期休暇にはマスコミ、セキュリティ関係者の感度が極端に落ちる日本市場らしい気がします…

パスワードを100回試行

新商品の紹介で「?」と思う所がありました。(そういうものだと知りませんでした) internetcom.jp USB 3.1 Gen 1(USB 3.0)/2.0準拠。データの保存領域を、設定したパスワードで強制ロックできる。不正アクセス防止のため、パスワード入力に100回連続失…

組長も狙われる時代

気になるローカルニュースがありました。 jp.reuters.com 兵庫県姫路市に拠点を置く指定暴力団神戸山口組系傘下組織の組長が、姫路市内の自宅マンションから数百万円を盗まれたという通報が兵庫県警にあったことが3日、捜査関係者への取材で分かった。県警…

セキュリティトレンド2019

2019年はどんなサイバーセキュリティトレンドとなるのでしょうか。海外の専門家がどんな事を懸念しているのかを少し調べてみました。 www.computerworlduk.com Computerworld UKは、IoTのボットネットが進化すると予想しています。今は仮想通貨マイニングの…

リスクアセスは目をつぶってはいけない

年始の記事を書くために調べていて気づきました。またクレジットカード情報が漏洩していた様です。 ■公式発表 クレジットカード情報流出についてのお知らせ | サンワ食研 温効生姜オンラインショップ 1.流出の可能性のある期間2016 年 11 月 14 日から 2018 …

謹賀新年

2019年、明けましておめでとうございます。4ヶ月ちょっとしかない平成31年はどんな年になるでしょうか? セキュリティという視点で(主に)ブログ記事を書いてきていますが、2018年で考えると、正直取り上げたい出来事や事件が多すぎて手が廻らなかったなぁ…

PayPayは金融の洗礼を受ける

年末までこんな記事を書いてなくても・・・と思わなくはないのですが、PayPayは多くのセキュリティ専門家の方が取り上げた”事件”だったので、その対応策について考えてみたいと思います。 www.itmedia.co.jp ■公式発表 3Dセキュア(本人認証サービス)の対応…

カナダのパーキングシステムのデータ侵害

サードパーティのソフトウェアが大規模データ侵害を起こすケースは日本でも海外でも同じかも知れません。 nationalpost.com NB、セントジョン州の6,000人もの人々が個人情報を公開されている可能性があるとアナリストグループは述べた。システム。 同市は、C…

グローバルトップ企業はセキュリティ担当役員を重要視してない

気になる記事がKrebs on Securityに挙がっていました。 A Chief Security Concern for Executive Teams — Krebs on Security KrebsOnSecurityは用のWebサイトを見直し グローバルトップ100企業の 市場価値によって、見つかった 最高情報セキュリティ責任者(…

兵庫教育大学の脆弱点

大学の情報は狙われている。その認識が当の大学側に希薄なのは残念です。兵庫教育大学からの個人情報流出は、大学側の危機感の無さを改めて考えさせられます。 www.kobe-np.co.jp 兵庫教育大学(本部・兵庫県加東市)は17日、40代の男性事務職員が業務用…

サプライチェーンは日本でも弱点

サプライチェーンが狙われている。この事実は日本企業も真剣に考える必要があるかも知れません。 www.sankei.com 米紙ウォールストリート・ジャーナル(電子版)は14日、中国のハッカーが過去約1年半にわたって米海軍の請負業者のコンピューターシステム…

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。 www.security-next.com 銀座ウエストオンライン通販サイトが不正アクセスにより改ざんされ、クレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の…

Twitterは異常検知の役割も果たす

誰でも音楽を売る事ができるBeatStarsへの不正アクセスにより、危なく全てのファイルを削除されそうになっていたとZDNetが報じてました。 www.zdnet.com BeatStars, a marketplace for selling music production beats, has disclosed a security breach tod…

ダイドードリンコの不正アクセス

ダイドードリンコの不正アクセスによる個人情報閲覧が報じられていました。 www.security-next.com 11月21日に不審なメールが届いたとの連絡が外部から寄せられ、調査したところ、ダイドードリンコが新卒採用活動で使用しているメールアカウントが関係ない第…

最悪のパスワード2018

今年もこの季節がきました。SplashDataの発表する年次の最悪なパスワード。残念ながら状況がほとんど変わってない事を確認する行事となりつつあります。 www.businessinsider.jp 1 123456 (-) 2 password (-) 3 123456789 (+3) 4 12345678 (▲1) 5 12345 (-) …

温故知新

京都市内某所の趣のある綺麗なお家、思わず玄関の写真を撮ってしまいました。 ◆キタきつねの所感 気になったのは、この部分。論語の【温故知新】を思い出しました。 www.weblio.jp 引き戸にナンバー錠とカメラ付インターフォン、見事に古いものと新しいもの…

応仁の乱以来の衝撃

京都の歴史を語られると・・・と思うのがブラックサンダーの新商品。 ※本記事はセキュリティとは一切関係ありません。 応仁の乱(おうにんのらん)は、室町時代の応仁元年(1467年)に発生し、文明9年(1477年)までの約11年間にわたって継続した内乱。室町…

FIDOアライアンス東京セミナー

FIDO東京セミナー・・残念ながら今回は所用が重なり、いけませんでした。 internet.watch.impress.co.jp 2018年におけるFIDOの導入事例に関しては、ソフトバンクでは2月にスマートフォンアプリ「My Softbankプラス」において、FIDO認証によるログインに対応…

新潟大学は後手にまわっている

大学の教職員が持つ情報はここ数年攻撃対象となっていますが、新潟大学がまた漏洩事件を発表しました。 ■公式発表 不審メール被害の報告及び迷惑メール送信に関するお詫び ◆キタきつねの所感 学生がフィッシングにひっかかって、メールボックスの個人情報が…

ソフトバンクの意図しない障害訓練

ソフトバンクの(意図しない)インシデント訓練すごかったですね。孫さんが狙っていたかは分かりませんが、現代人が抱える弱点を、単純なミスが突き崩すという意味では警鐘を鳴らしたと言えそうです。 toyokeizai.net 障害の原因はエリクソンの“ポカ” エリク…

ECサイトの管理画面はパスワードだけで守れない

任天堂キャラクターの公式販売サイトも非保持でのカード情報保護を失敗したようです。 tech.nikkeibp.co.jp エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報…

師走に想う事

駅のポスターを見てふと気づくのが、ほとんどのイベント事の最後には『平成最後の』が付けられるという事。忙しい年の瀬で、まだ仕事に追われて今年を振り返る余裕も無いのですが、改めていろいろと考えさせられました。 ◆キタきつねの所感 ただ、このポスタ…