Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

Adobeのクラウド設定ミス

記事を書いている時点(10/26)では、日本語記事を見かけないのですが、恐らくこの記事が出る頃にはいろいろな方が取り上げているだろうな・・と思いつつ、書いてみます。 threatpost.com 推定1500万人の加入者を持つAdobe Creative Cloud は、Photoshop、Li…

スマホ監視の危険性

スノーデン氏のインタビュー記事が出ていました。インタビュー映像はYoutubeにあるみたいですが、(面倒なので)上澄み記事を取り上げてみます。 fossbytes.com スマートフォンはどのように私たちをスパイしますか?Joe Roganが2013年以降の監視の変化につい…

ランサムの勝者は保険会社?

ランサム攻撃で最も利益を得るのは誰なのでしょうか?興味深い記事が出ていました。vc.morningstar.co.jp ●ボルチモア市は仮想通貨ランサムウェア攻撃を受け教訓を得た 今回の出来事に先立ち、ボルチモア市は5月にランサムウェア攻撃を受け、コンピューター…

ポケモンの話ではなく報告書が参考になる

パスワードの話か・・とぼーっと記事を読み始めたのですが、NCSCの報告書は一見の価値があります。 news.mynavi.jp 英国立サイバーセキュリティーセンター(NCSC: National Cyber Security Centre) は2019年10月23日(英国時間)、「The NCSC Annual Review 20…

「変なホテル」のLance R. Vick氏とコンタクトしてみた

先週21日に記事を書きました、「変なホテル」のIoT機器への脆弱性に対してTweetsをしていたLance R. Vick氏に対する一部報道の件で、どうしても理解できない部分があったので、直接Twitterでお聞きしてみました。 foxsecurity.hatenablog.com 元ソースは、先…

金属探知機では防げない世界がやってくる

まだ機密エリアへ実際に持ち込まれた例では無い様ですが、ハリウッド映画の世界は思ったより早く実現していく事になりそうだと思いました。 www.wired.com 今月後半のCS3sthlmセキュリティ会議で、セキュリティ研究者のMonta Elkinsは、地下室でハードウェア…

SmartNewsは急に襲ってくる

2年前に比べてアクセス数は格段に増えて、平日400-500位のヒットがあるのですが、突然爆発する時があります。今回は「変なホテル」のIoT機器、Tapiaのバグ報告無視の件でした。記事が出た日(10/21)は683アクセスと、月曜日は土日記事もまとめてご覧になる…

サムソンGalaxy S10の指紋センサーバイパス

素人ユーザの攻撃の方がテスト検証の不備(脆弱性)をあぶり出すのに向いているのかも知れません。英Sunで今年の夏モデルであるGalaxy S10の指紋センサーが£2.7(約380円)の保護フィルムで破られたと報じられていました。 www.thesun.co.uk MUMは、eBayで…

MODERN BEAUTY TOKYOと直久のカード漏えい(仮記事)

本日、カード漏えい事件が2件発表されていましたので、取り急ぎ仮記事をUPします。(後で正式記事をUP予定です) www2.uccard.co.jp ■「MODERN BEAUTY TOKYO」への不正アクセス発生についてのご報告とお詫び 1件目(Modern Beauty Tokyo)は、EC-CUBEですね。…

WannaCry型攻撃の脅威

米国のサイバーセキュリティ専門家からこんな言葉が出るとは思いませんでしたが、米国が密かに使っていた国家安全保障局(NSA)の技術がベースなだけに、、、その言葉の重みが違うのかも知れません。 jp.techcrunch.com 「次のWannaCry(ワナクライ)型ランサ…

アマゾンでも”やらかす”時代

私の購買履歴もどなたかに開示されていたのでしょうか・・・今や巨大インフラと化しているアマゾンの誤表示問題ですが、11万件に影響を与え、個人情報保護委員会から行政指導を受けていました。 japan.cnet.com 通販サイトの「Amazon.co.jp」で、他人の注文…

カジノの内部不正

カジノホテルのセキュリティというのはハリウッド映画のオーシャンズシリーズでも”狙われた”程に、よく攻撃対象になるが故に、しっかりしたセキュリティ設計思想がされていると言われていますが、内部犯行への備えは穴がある場合もある様です。日本のカジノ…

実はCISOはあまり居なかった

世界を代表する大手企業群、フォーチュン500の公開情報を分析したところ、実はCISOを置いている企業は全体の38%だったというBitglass社の衝撃的な調査結果が発表されていました。 www.helpnetsecurity.com ■Bitglass社の発表 38% of the Fortune 500 do not…

サイバーミッション

ロードショーを見れなかったサイバーミッションをようやく観ました。 サイバー・ミッション [Blu-ray] 出版社/メーカー: Happinet 発売日: 2019/06/21 メディア: Blu-ray この商品を含むブログを見る ◆キタきつねの所感 少し前に買っていたブルーレイなので…

PDFを開くだけで暗号化された内容が流出

この記事を読んで、どんなソフトにもJavaScriptは万能すぎると感じました。 gigazine.net ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができ…

老年層向けのセキュリティ

毎日新聞出身で長年ジャーナリストとして活躍されている鳥越氏の老人力を誇る記事が気になりました。 www.news-postseven.com 「最近、娘に言われてiPhoneに替えたら、ネットもLINEも1台でできるようになって、とっても便利になりました。だけど、本人認証が…

エアバス社へのAPT攻撃

仏エアバス社へのAPT攻撃の記事が出ていました。サプライチェーン攻撃の手法も進化しつつあるところが日本企業でも要注意かも知れません。 www.france24.com 欧州の航空宇宙大手であるエアバスは、ハッカーによる一連の攻撃に見舞われ、商業的秘密を探すため…

中小企業はセキュリティ予算の配分を考えるべき

面白そうな記事だな・・と思ったら有料記事でした。残念。 mainichi.jp 中小企業は国内企業の99.7%を占め、日本のものづくりの技術力を支えている。パソコンやウェブサイトを活用した情報発信のほか、会計や調達関連のITツールの導入による生産性向上に取り…

企業のインシデント報告の義務化

この流れは・・・義務化でほぼ確定という事になりそうな気がします。 active.nikkeibp.co.jp 個人情報保護委員会は2019年8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした。現行法令は法…

端末はシャットダウンして帰ろう

地方自治体(公共機関)、病院、学校・・・これらは最近、海外でランサム攻撃の対象となっているセクターで、ランサムで大きな被害を出しています。一方で5.6億円もコストカットに成功した自治体が現れた様です。 gigazine.net アメリカのマサチューセッツ州…

2匹目のドジョウは自分かもしれない

北米の公共向けオンライン請求書支払いポータルClick2Gov(TSM)が集中的に狙われており、多くのインシデント報告が2年前から出ていましたが、どうやら継続して攻撃は続いていた様です。 forbesjapan.com Gemini Advisoryのセキュリティ研究員らは、被害を受…

Demantのランサム被害は102億円

補聴器メーカーのDemantが9月初旬にサイバー攻撃を受けた損失は、最大で6億5000万クローネ(約102億円)になると予想されている様です。 www.grahamcluley.com ■公式発表 Demant A/S - press release: Update on IT infrastructure incident(9/3) Demant A…

ディノス・セシールを学ぶ

パスワードリスト攻撃への対策という点では、ディノス・セシールに適う企業は無いのではないか、そんな思いを改めて認識したニュースでした。 www.security-next.com ■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについ…

キンダンの2015年攻撃

ダンキンドーナッツが2015年に受けたサイバー攻撃で訴えられたと記事が出ていました。 threatpost.com Dunkin 'Donutsは、ニューヨーク州のデータ侵害通知法に違反したとして訴えられています。訴訟では、ダンキンの親会社であるダンキンブランドが、2015年…

Wi-FIジプシー

熊本だから起こった事件なのか気になる所ですが、高速のWi-Fiを無料で・・というニーズは案外あるようです。 www.nishinippon.co.jp 熊本県警水俣署は17日、住居侵入の疑いで、同県水俣市の無職の男(21)を現行犯逮捕した。逮捕容疑は同日午後2時半ごろ、近…

Webカメラは脆弱なまま拡大していく

NOTICEはもう少し見つけられたのではないか・・そんな風にも感じるWizcaseの管理レスWebカメラが全世界に15000台以上見つけられたとの発表でした。 www.wizcase.com ◆キタきつねの所感 どうやら某カメラ映像を公開しているサイトとは別に、wizcaseのホワイト…

ジャックスへの不正アクセス

ジャックスの会員サイトがパスワードリスト攻撃を受けていたと発表されていました。8月下旬にはモバイル側ではありますが、三井住友カードも攻撃を受けており、セキュリティがしっかりしていると見なされてきたカード会社も攻撃対象になりつつあるのかも知れ…

"母親の旧姓"がベストでない理由

秘密の質問は、パスワードリセットの認証手段としては脆弱な方法となりつつあるだけに、そこを触れないのは、折角良い記事なのに残念でした。 president.jp 「IDは使い分けるのが鉄則です。『秘密の質問』ではわかりやすい質問や回答を設定しない。一番知ら…

図書館へのサプライチェーン攻撃

大学だけでなく、図書館もハッカーに狙われる対象となりつつある様です。 threatpost.com Cobalt Dickens(別名Silent Librarian)は現在、380の大学を積極的にターゲットとしており、資格情報を盗み、学校のネットワークに深く入り込んでいます。 大規模な…

容易に類推できるパスワード

以前に発生したdアカウントへの攻撃は、パスワードの脆弱性を狙われていた可能性が高い様です。 www.fukuishimbun.co.jp 他人のIDやパスワードを使って不正アクセスし、携帯電話の決済システムを使ってインターネットで商品購入を繰り返したとして福井県警…