Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

カリフォルニア州はプライバシーを尊重する

警察官や政府関係機関の生体監視システムに関して、カリフォルニア州上院は使用禁止の法案を可決した様です。 threatpost.com カリフォルニア州上院は、顔認識を使用するボディカムの法執行機関による使用を禁止する法案(22〜15票)を可決しました。 (中略…

面前決済をしない高級ステーキ店の責任も重い

この事件は、単に悪さをした外国人が逮捕されたという内容だけでなく、カード決済が抱える様々な問題が凝縮されていると見る事が出来るかも知れません。 www.sankei.com 東京都千代田区の高級ステーキ店でアルバイト中、利用客の精算時にクレジットカード情…

ビジネス詐欺はメールだけではなくなった

予想されていた事とは言え、ビジネスメール詐欺(BEC)は既にメールだけを警戒すれば良い時代ではなくなりつつある様です。 japan.zdnet.com 犯罪者が、人工知能(AI)で生成した音声を利用し、企業の最高経営責任者(CEO)の声をまねて部下をだまし、資金を…

政治的発言には注意が必要

記事を読んでいて米国の入国審査はここまでチェックしているのかと少し驚きました。レバノンからハーバード大学へ入るはずだった新入生がSNSへの投稿が元で入国を拒否されたと報じられていました。 www.washingtonpost.com イスマイル・B・アジャウィは、金…

充電ケーブルがリスクに

充電ケーブルの安全性について気になる記事がForbesに出ていました。 forbesjapan.com ラスベガスで先日開催されたハッキング会議「DEFCON(デフコン)」(ヘンダーソンは「ハッカーのサマーキャンプ」と呼んでいる)では、「MG」というニックネームのハッカ…

ペンはキーボードより強し

米国コロラド州デンバーのレジス大学がサイバー攻撃に苦しんでいる様です。 www.denverpost.com デンバーのレジス大学での法医学調査では、金曜日に私立大学の技術システムが国外からの「悪意のある脅威」によって攻撃されたことが確認されました。 「この問…

キャッシュレス普及が遅れた理由はクレジットカードか?

専門分野がPCI系なので毎日新聞の記事は興味深く読みました。 mainichi.jp カード大手JCBが2018年に20~60代を対象にした調査では、クレジットカード保有率は84%で1人平均3.2枚を持っていた。一方、日本クレジット協会の17年調査では、消費に占めるカード決…

トヨタ紡績はJALを超えた

ビジネスメール詐欺にひっかかる企業・・・実は多いのかも知れません。トヨタ紡織が40億円の資金不正流出被害に遭った事を発表しました。 www.nikkei.com トヨタ紡織は6日、ベルギーの子会社「トヨタ紡織ヨーロッパ」で、外部の第三者による虚偽の指示によ…

ペット写真は飼い主情報も漏れているかも知れない

ペット写真のSNS等での取り扱いは人間と同じで慎重さが求められるのかも知れません。 forbesjapan.com 愛するペットの写真を連日のようにSNSに投稿する人は多い。しかし、ウェブでシェアした写真から、プライバシー情報が盗まれる危険について知る人は少ない…

ちょうどよい塩梅が難しい

リクルートのCSIRTの記事が出ていました。残念ながらこのセミナーには出られませんでしたが、記事を読むと直接聞きたかったと思える内容でした。 japan.zdnet.com 投資額とリスクのちょうどいい“あんばい”を決める 鴨志田氏は、CSIRTの行動指針を3つ定めた。…

7Payの失敗はCISOを定着させるか?

JBPressの7Payの記事がよく事件背景がまとまっていました。しかし提言の部分にはちょっと違和感があったので少し考えてみます。 jbpress.ismedia.jp 4.提言 (1)適任者に求められる資質 では適任者とはどのような人物なのか。セキュリティビジネスには通…

全米歯科医院へのランサム攻撃

ランサムは依然として脅威であるのですが、WannaCryの様に多くの端末を狙った攻撃だけでなく、業務サービス提供を行うサードパーティを狙った攻撃によってランサムが拡大する、日本の医療系でも将来起こり得るのではないでしょうか。fox6now.com WEST ALLIS-…

本番データはテスト環境に使ってはいけない

セキュリティ関係者の方であれば、「ライブ(本番)データの取り扱い」には十分な気を付けなければいけないという事は常識といっても過言ではないかと思いますが、個人情報を取り扱う組織・運営受託する企業担当者には・・・必ずしも常識となってないところ…

量子暗号

政府の量子暗号導入の動きは、セキュリティを考えると必要な事だと思います。2025年の実用化に向けて予算がつきそうです。 jp.reuters.com 政府が、機密性の高い情報をサイバー攻撃から守る、解読困難な「量子暗号」と呼ばれる次世代技術の研究開発を加速し…

ビジネスメール詐欺にはゼロトラストが必要

ビジネスメール詐欺(BEC)がカナダの自治体で成功した様です。カナダのサスカトゥーン市で約8300万円の被害が出たと報じられていました。 www.afpbb.com カナダ西部の草原地帯に位置するサスカチュワン(Saskatchewan)州サスカトゥーン(Saskatoon)の自治…

Hy-Veeからのカードデータ漏洩

米国の中西部でスーパー等を展開するHy-Veeから漏洩したカード情報がDarkWebで販売されているとKrebs on Securityで報じられていました。krebsonsecurity.com 今週の火曜日に、ハッキングされた商人から盗まれたクレジットカードやデビットカードのデータを…

JIMOSもEC-CUBE

JIMOSが運営する3サイトに対して不正アクセスによるカード情報漏洩の懸念が発表されていました。 netshop.impress.co.jp 化粧品通販JIMOSは8月22日、運営するECサイト(マキアレイベル、Coyori、代謝生活CLUB)が不正アクセスを受け、顧客情報の一部が流出…

スマホアプリがリスト型攻撃の主戦場となる

大手のカード会社であっても、隙があれば襲われる時代になったと感じるニュースでした。三井住友カードもリスト型攻撃を受けてしまったと報じられていました。 www.nikkei.com 三井住友カードは23日、会員向けスマートフォンアプリ「三井住友カードVpassアプ…

小嶋屋もEC-CUBE

新潟のへぎそばで有名な小嶋屋総本店の通販サイトもカード情報を漏洩したと発表していました。 www2.uccard.co.jp ■公式発表 「小嶋屋総本店ショッピングサイト」への不正アクセス発生についてのご報告とお詫び 1、漏洩の可能性のある期間 2015年12月9日から…

警察も内部脆弱性診断をした方が良い

警察の失態がまた発生したか、とぼーっとニュースを見ていたのですが、警察病院とは言え5階から逃走が出来てしまうのは少し驚きました。 www.sankei.com 警視庁に窃盗容疑で逮捕された後、けがの治療のため釈放された韓国籍の60代の男が18日午前、入院…

くら寿司のバイトテロ続報

バイトテロ・・・現在は下火ですが、また1-2年もすれば出てくるかも知れません。一連のバイトテロの中でも多く取り上げられていた「くら寿司」の件について続報が出ていました。 www.jprime.jp 「実際に訴訟に至ったケースは今のところほとんどありません。…

危険なパスワードは7割変更されない

Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。 japan.zdnet.com 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し、新たに…

管理者アクセスは安全か?

みずほ銀行の海外子会社、これもサプライチェーン攻撃と言えるのかも知れません。 www.nikkei.com みずほ銀行は15日、シンガポールの連結子会社、ユーリカヘッジがサイバー攻撃を受け、顧客情報が漏洩したと発表した。ユーリカヘッジは機関投資家などにヘッ…

クラウドに生体情報を持つから危険性がある

やはりクライアント側に生体情報を持つFIDOの設計思想の方が合っている気がします。www.vpnmentor.com 米国、英国、インド、日本、およびアラブ首長国連邦の銀行、警察、防衛会社など、世界中の150万以上の場所を保護するために使用される生体認証システムは…

パスワードスプレー攻撃

パスワードスプレー攻撃がまた流行っている様です。オーストラリアの国立セキュリティセンター(ACSC)が警戒記事を出していました。 www.security-next.com 公式発表 Advisory - 2019-130: Password spray attacks – detection and mitigation strategies パ…

Face IDは未だ強固だった

BlackHatで発表されたFace ID突破方法ですが、記事の内容とは反対に、この程度の攻撃しか見つかってないので、私は意外とFace ID強いな・・と感じてしまいました。 gigazine.net 研究者は、活性検出がユーザーの目をどのようにスキャンするかに特に注目しま…

Mastercardの国際会議に行ってきた④

会議会場の照明もインドらしさが漂います。国際会議の写真をもう少しだけ紹介します。 DarkWeb関連の専門家スピーチ。日本でも同じことをしている方がいますが、やはりプロアクティブでDarkWebの情報を見に行くという手法が海外でも取られている様です。 Dar…

Mastercardの国際会議に行ってきた③

Mastercardの国際会議、今年はニューデリーの某高級ホテルで開催されました。参会者は45か国から340人程度だった様です。ベンダーブース等は盛況でしたが、これはインドで初の開催という事もあってか地元の方が多かったからかも知れません。 高級ホテルでは…

Mastercardの国際会議に行ってきた②

インドの写真を、もう少し貼っていきます。セキュリティ関係・・という意味ではありませんが、空港を含む街中の重要施設近くでは軍の方をよくお見掛けしました。 普通と言えば普通な事なのですが、 銃がすぐ撃てる状態で警備している事に気づかされます。 (…

Mastercardの国際会議に行ってきた①

セキュリティ系の国際会議という意味ではラスベガスで同時期に開催されていたBlackHatの方に多くの方が行っていたのかと思いますが、私は先週MastercardのAP(アジア太平洋)地区向けの国際会議に行ってきました。今年は開催場所がニューデリーだったので、…