Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

つぶやいてみた。

誤検知がIT部門に与える影響

先日、とある企業のIT部門の方と雑談していた際に、アンチウィルスソフトの誤検知で大変な目にあったという話を聞きました。たまたまタイミングが悪かったのかも知れませんが、社員の方が検知(誤検知)したファイルを削除する指示に従ったまでは良かったの…

カリフォルニア州の新法案

この記事が少し気になりました。カリフォルニア州で新しい法案が審議中のようです。 www.engadget.com 新しい法案が法律になった場合、カリフォルニア州ではより包括的なデータ侵害の通知規則があるかもしれません。ゴールデンステートの司法長官、Xavier Be…

ほとんどの企業はサイバーセキュリティを欠いている。

「ほとんどの企業はサイバーセキュリティを欠いています」。何とも衝撃的なニュースタイトルはインドでの調査結果を受けてつけられた様です。 newstodaynet.com インドのほとんどの企業でのサイバーセキュリティ運用は不十分で、セキュリティのニーズを満た…

アクセス分析

年初以来、色々な記事を多くの方に取り上げて頂ける様になった気がします。とは言え、アクセス分析を見るとたまにびっくりする事があります。2/18はPayPayの記事、2/20は非保持の記事を書いているのですが、アクセス数が過去最高を更新してました。その最大…

大学が利用するクラウドサービスはパスワードだけでは守れない。

東京理科大学の個人情報漏えい事件が報じられていました。 www.security-next.com 公式発表 サイバー攻撃による個人情報等の流出について 東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわ…

ビルゲイツは凄かった。

SecurityNextの記事、ふと思い出したのが元マイクロソフトCEOのビルゲイツ氏でした。 www.security-next.com 大丸松坂屋百貨店は、大丸大阪心斎橋店の営業担当者が、顧客情報含む資料を車で移動する際に紛失したことを明らかにした。一部書類が見つかってい…

JALマイレージの不正交換

JAL会員サイトが、またパスワードの使いまわしの被害を受けたようです。 www.jiji.com ■公式発表 第三者の“なりすまし”による不正ログインを防ぐための大切なお知らせ 逮捕容疑は昨年8月17~18日、福生市の家電量販店などで、不正入手したPоntaポイ…

ファンサイトへの攻撃

流石の国民的グループという所でしょうか。嵐のコンサート予約に際する”攻撃”が問題となっていました。 news.yahoo.co.jp アイドルグループ「嵐」のファンクラブサイトで、「最近ログインしてないのに、ログインしようとしたら『3回ログインに失敗した』とい…

バレンタインデー・フライト

日本人のチョコレート消費量の1/4近くがバレンタインデーにあると言われていますが、その一端は、本命チョコ、義理チョコ、友チョコと・・・買わなければいけない風習を作り出したチョコレート業界の戦略だけでなく、サービス業にもあるのだと14日の飛行機(…

退職への備えが重要

データ復元サービスの法人問い合わせで多いのは「退職者PC調査」「データ復旧」「社内不正」なのだそう。消したデータを復元するニーズは非常に高いようです。 dime.jp 退職者のパソコン・スマートフォン調査では、デジタル機器に残された基本操作の履歴(ロ…

教育機関へのサイバー攻撃

米国での調査レポート記事が出ていました。Cybersecurity Resource Centerのレポートでは、去年は少なくても全米で122のセキュリティインシデントが学校で発生した様です。 k12cybersecure.com レポートの中に、インシデントの種類の表があったので引用して…

ホテルWifiの信頼性

出張でとある大都市の駅近くのホテルに泊まりました。チェックインして部屋でまず確認する事といえば、Wi-Fiの設定である事が多いのですが、こんな感じで部屋の中のパスワードを発見しました。(ここまでは普通) テレビを点けると、テレビ画面側にもWifiの…

くら寿司のコロコロ探知機

すき家だけでなく、くら寿司守口店のバイトが起こした不適切行為(テロ)も話題となりましたが、その対策がなかなかアレであると話題になっていました。 www.youtube.com ◆キタきつねの所感 今更ながら、一度SNS等で動画が拡散してしまうと、企業側が消そう…

新元号問題

新元号問題はカレンダー制作会社や様々なシステムの改修が必要なITベンダーだけでなく、色々な所で問題となっている様です。そんな中、とある由緒正しきところにお参りに行った際に見かけた看板。 ◆キタきつねの所感 来年の正月を表す表記・・・今の時点では…

効果検証はされているのですよ・・・ね?

今年もNISCのサイバーセキュリティ月間が始まりました(2月1日~3月18日)。毎年賛否両論が出ている気がしますが、今年は「約束のネバーランド」とのコラボなんだそうです。 ※月間・・・って1月越えていませんか? withnews.jp コンピューターウイルスなどの…

2020年に向けて攻撃は加速していく?

当然研究目的ではないだろうなと思うのが、ダークウェブでの情報購入です。 wedge.ismedia.jp 昨年2月、ダークウェブで日本人の電子メールアドレスとパスワードが売りに出された。データ量にして2・6ギガバイトというその「商品」は、2億アカウント分にもな…

ID証は見ただけでは分からなくなりつつある

在留カードの偽造拠点の摘発のニュースが少し前にありましたが、ID証偽造レベルはかなり危ない水準まで来ている様です。 www.asahi.com 在留カードは2012年、外国人登録証明書に代わって導入された。携帯電話を契約する際など、本人確認の身分証明書とし…

平文パスワード保管

平文パスワード保存は流行りなのでしょうか・・・。Security Nextの少し前の記事に波通の個人情報漏えいの記事がありました。 www.security-next.com ■公式発表 【重要】 個人情報漏えいに関するお詫びとご報告 サーファー向けに海の状況をリアルタイムで提…

駅シェアオフィス

駅ナカのシェアオフィスが実証実験しているのを品川駅でみかけました。 www.jreast.co.jp ◆キタきつねの所感 利用登録が必要との事でしたが、時間がなかったので写真を撮るだけでスルーしましたが、実証実験中だからか無料で利用できるようですね。(東京・…

試験での不正を考える

試験での不正はイタチゴッコでありますが、スマホだけでなく、最新の機器が使われる可能性がある事を考えていく必要がありそうです。 www.sankei.com 大学入試センターは20日夜、スマートフォンを使って用語を調べるなどの不正が2日間で計4件あったとし…

マラ工科大学の個人情報漏洩事件

マレーシアのマラ工科大学の100万件以上の学生(卒業生)の個人情報がオンラインにリークされた様です。 www.lowyat.net 2000年から2018年の間にTeknologi Mara大学(UiTM)でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンライ…

セキュリティ啓蒙には安全・安心ハンドブック

NISCが「インターネットの安全・安心ハンドブック」を改訂リリースしました。www.nisc.go.jp ◆キタきつねの所感 黄色い表紙に見覚えがあるなと思ったら、昨年版は「ネットワークビギナーのための情報セキュリティハンドブック」として出されてました。内容が…

卵を立てるのは簡単

インスタグラムで世界最高「いいね!」は立った卵の写真が塗り替えたそうです。関連のWired記事をみていて・・セキュリティにも関係する記事(の端っこ)を見つけました。 wired.jp キーワードの不法占拠が増殖この騒ぎで得をするのは卵のアカウントだけでは…

日産EVアプリのパスワードリセット

日本では同じ情報の記事を見出せないのですが、英国のニュースで、日産のEVアプリがパスワードリセットをかけてユーザがパニックになっているとの気になる記事が出ていました。 https://news.hitb.org/content/nissan-ev-app-password-reset-prompts-user-pa…

またやらかしたTwitter

TwitterのAndoroidのバグに関するアナウンスを見て、幸い私は影響を受ける事はありませんでしたが、「またか」という思いを強くした人は多いかも知れません。 www.bbc.com ※Twitterのヘルプセンターのアナウンスを機械翻訳した内容です。 ◆キタきつねの所感 …

フィッシングレベルが上がっている

日本におけるフィッシングメールでは、まだ日本語の壁の影響か、ひっかかる人がそう多くないレベルのことが多いのですが、この記事を見るともう少しで危ないレベルに達してしまう気がしました。 www.security-next.com 今回確認された攻撃では、フィッシング…

SNSの位置情報

Twitter経由での匿名つぶやきは、匿名性を失う情報が意図せず公開されている場合もあるようです。 lifehacker.com Wiredの話が進むにつれて、イリノイ大学とギリシャのResearch and Technologyのための財団の研究者は、多くのユーザーが正確なGPS座標を共有…

本人確認もゼロトラスト

運転免許証の偽造が取り上げられていました。 mainichi.jp 捜査関係者によると、5人は同じサイトで偽造運転免許証を注文していた。料金は、ネット上で番号を入力する個人情報不要のウェブマネーで支払う仕組み。サイトの表記は日本語だが、サーバーは海外に…

セキュリティの通信簿

脆弱性価格は実情に合ったものかも知れません。 gigazine.net 様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZEROD…

仮想通貨を預けるのはリスキーなのか

仮想通貨を取引所に預ける事のリスクは、日本でも韓国でも同じ様です。 crypto-lab.info 韓国の政府機関(科学情報通信省、インターネット庁、経済財政省)が実施した仮想通貨取引所のセキュリティ調査で、21社のうち7社しか安全基準をクリアできなかったこ…