Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

高い大学の授業料

大学はセキュリティ対策を怠る事のリスクをもっと真剣に考えるべきかも知れません。 www.seattletimes.com ワシントン州立大学は、 2017年に100万人以上の個人情報を格納したハードドライブがセルフストレージロッカーから盗まれた後、費用のかかる教訓を学…

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。 www.zdnet.com Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出…

パスワード定期変更不要だけ一人歩きしてないか

内容として決して間違っている訳ではないのですが、記事を読んでいてSP800-63で書かれている事との違和感を感じました。 tech.nikkeibp.co.jp 「企業IT利活用動向調査2019」速報によると、2018年3月に総務省がパスワードの定期的な変更は不要との見解を示し…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

USBKillerの正しい使い方

以前書いた事のある『物理攻撃ツール』のUSBKillerを使っている事件が報じられていました。 www.zdnet.com 米国のインド人国民は今週、ニューヨークのセントローズ大学で59台のコンピュータを破壊したことを認め、オンラインで購入した「USB Killer」という…

両陛下の伊勢神宮ご参拝

両陛下の在位中最後の伊勢訪問に関して、ふと気になったので調べてみました。 www.asahi.com 伊勢神宮参拝のため、JR東京駅を出発する天皇、皇后両陛下。後方は「三種の神器」の剣=2019年4月17日午後1時17分、嶋田達也撮影 偶然にも、(両陛下…

カード授受の脆弱性

この穴を突いてきましたか。。。偽造運転免許証を使ったクレジットカード不正授受の事件が報じられていました。 www.tokyo-np.co.jp 他人名義のクレジットカードで高級腕時計をだまし取ったとして、詐欺などの疑いで警視庁に逮捕された男らが、東京都内の高…

学生時代の悪さでは済まされない

気になる記事がありました。 www.asahi.com 小学館のスマートフォン向け漫画アプリ「マンガワン」を不正に改変したなどとして、警視庁は12日、ヤフーの男性社員(25)を私電磁的記録不正作出・同供用の疑いで書類送検した。容疑を認めているという。 渋…

やはり漏えい対象でした。

やっと退会できました。私の様に宅ふぁいる便を過去に利用した事あるけど・・・という方は、登録メールアドレスを確認(退会)されては如何でしょうか? www.itmedia.co.jp 大容量ファイル送信サービス「宅ふぁいる便」で、ユーザーのパスワードなど481万件…

中華風 エイプリルフール?

トランプ大統領の別荘に中国のスパイと見なされる女性が不法侵入した件で続報が出ていました。 www.cnn.co.jp 米連邦検察当局は1日、トランプ米大統領の別荘「マール・ア・ラーゴ」(米フロリダ州)に不法侵入したとして2冊の中国旅券を所持していた女を訴追…

サーカスのカード情報漏えい

子供服のECサイトもカード情報を漏えいしていた様です。 scan.netsecurity.ne.jp 公式発表 不正アクセスによるお客様情報流出に関するお詫びとお知らせ 2月25日に完了した調査機関による調査結果によると、同社オンラインショップのシステムの一部の脆弱性を…

ハッシュはクラックされているかもしれない。

日経BPの記事が良記事でした。セキュリティに足を踏み入れている(一部の)IT部門の方々が、ハッシュ化=安全という認識であるのは残念ですが、この記事を読んで認識を変える事ができるかも知れません。 tech.nikkeibp.co.jp ライフベアは、漏洩したパスワー…

セシールオンラインショップがベンチマークになっている

セシールオンラインショップへのパスワードリスト攻撃がまた出ていた様です。 www.security-next.com ディノス・セシールは、同社の通信販売サイト「セシールオンラインショップ」がパスワードリスト攻撃を受け、一部アカウントで不正ログインが発生したこと…

サプライチェーン攻撃は海外拠点も考慮する必要がある

サプライチェーン攻撃の一種と言えるのかも知れません。ロイターがHOYAの海外工場が攻撃された件を報じていました。 jp.reuters.com 光学機器大手HOYAのタイにある工場のシステムが2月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害…

自分ファーストの行く着く先

個人的に気になる記事でした。(セキュリティとは関係ありません) www.huffingtonpost.jp 「書く気持ちにはなれません」書かれているのは、この店で「白虎隊御朱印」を書き、販売してきた白虎隊墓守家の5代目、飯盛尚子さんのメッセージ。 飯盛さんによると…

ホワイトハッカーなのだろうか?

私にはホワイトハッカーの業務範疇とは思えないのですが、将来有望なハッカーである事は間違いなく、他国への流出を恐れた刑罰なのかも知れません。 www.theverge.com 24歳のセキュリティ研究者は、Microsoftと任天堂のサーバにハッキングし、機密情報を盗む…

ログイン欄は狙われやすい

非保持であろうが、クレジットカード漏えい事件は定期的に発生するもの。そう考えた方が良いのだと思います。歯科書籍の通販サイトを運営するクインテッセンス出版から個人情報・カード情報が漏えいしたと発表されました。 www.security-next.com ■公式発表 …

新元号に関連して気を付ける事

新年号が「令和」と決まり、少し仕事場がざわついてました。5月1日0時の切り替えに向けて、IT業界のみならず影響を受ける様々な業界で急ぎ対応が進んでいる様です。 r.nikkei.com ◆キタきつねの所感 Twitterのホットワードは当然の様に、「令和」「令和元年…

SNSでの公開説教

SNSの炎上に新たなパターンが増えました。笠松競馬場の研修担当が公式アカウント経由で内定者に公開説教する事も今後はSNS利用の注意事項に事例として載りそうです。 www.asahi.com 名馬オグリキャップが巣立った笠松競馬場(岐阜県)の採用内定者と研修担当…

日本版NECが果たすべき役割

少し気になった記事。日本版NEC(National economic Council)設立が議論され始めているようです。 www.yomiuri.co.jp 自民党のルール形成戦略議員連盟(会長・甘利明選挙対策委員長)は20日、米国家経済会議(NEC)をモデルに戦略的な経済外交・安全保…

Houzzのデータ漏洩

建築、インテリアデザインなどのウェブサイト及びコミュニティを形成しているHouzzが2月に第三者からの不正アクセスを受け、データ漏洩した個人情報は、49百万人分にも及ぶ事がHave I Been Pwnedサイト(Troy Hunt氏)によって報じられていました。 threatpo…

顔画像の流出がもたらす影響

生体情報の漏洩事件でこれだけ大規模な規模で発生したのは初めて聞きます。 media.dglab.com 【東方新報】中国で最近、AIを活用した防犯サービスの企業で大規模なデータ流出事件が発生したと報道されている。流出した250万人分超の情報と、流出の疑いがある6…

福岡で感じたキャッシュレス化の波

先日、所要で福岡に行っていた際に、地下鉄で気になるものを見かけました。 何故QRコードが床にちりばめられているのか・・・PayPayやLine Payの宣伝?とも思ったのですが、、、、知恵袋に回答が出ていました。 detail.chiebukuro.yahoo.co.jp JR筑肥線から…

車の上には荷物を置かないようにしよう・・・

何か・・・既視感がある記事でした。 www.nikkei.com 市によると、職員は14日昼、同市上六名1丁目で破裂した水道管の修復のため、近くの作業現場に図面データが入ったタブレットを持参。午後8時ごろ、付近に止めた公用車の屋根の上にタブレットを置いたが、…

電源コードまで・・・

米中の貿易戦争の影響でしょうか、電源コードまで疑っている企業の記事が出ていました。 www.cnbc.com 幹部らは日系人に、どの企業を特定せずに、一部のサイバースパイ活動とサイバーセキュリティリスクのために中国からの脱退を依頼したと述べた。レポート…

IoTセキュリティチェックシート

IoT機器のセキュリティは、2月下旬からNICTが擬似攻撃「NOTICE(National Operation Towards IoT Clean Environment)」を実施していますが、相当脆弱な機器が検知されるものと思います。そんな中、日本スマートフォンセキュリティ協会(JSSEC)がチェックシ…

PCI DSS v4は来年リリース予定

私の専門分野でもあるので少し書かせて下さい。PCI DSSv4はどうやら来年リリースの様です。 blog.pcisecuritystandards.org PCI DSS v4.0は、2020年末までにリリースされる予定はありません。リリースの具体的な時期は、開発期間中に寄せられたフィードバッ…

ハードディスクが盗聴ツールへ

将来の懸念で、SSDへの切替が早くすすむかも知れない、気になる記事が出ていました。 www.theregister.co.uk 耳があるのは壁だけではありません。それはまたハードドライブです。 米国のミシガン大学と中国の浙江大学のEggheadsは、悪意のあるファームウェア…

警察が草刈場になっていくのではないか?

警察のサイバー専門捜査員獲得についての記事が出ていました。 this.kiji.is 民間からの経験者採用でサイバー捜査員を募集する警察が多い中、埼玉県警はIT資格を持つ大卒、大卒見込みの採用枠「サイバー犯罪捜査Ⅰ類」を設けている。技術力と捜査力を兼ね備…

セレブゲート事件

2014年のセレブゲート事件に関する記事が出ていました。5件目の判決を受けたのは元高校教師です。 www.engadget.com 「celebgate」フォトリークが今では歳かもしれないが、それは、アカウントのハイジャックのための堅い罰をdolingから裁判所が停止されてい…