Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

つぶやいてみた。

くら寿司のコロコロ探知機

すき家だけでなく、くら寿司守口店のバイトが起こした不適切行為(テロ)も話題となりましたが、その対策がなかなかアレであると話題になっていました。 www.youtube.com ◆キタきつねの所感 今更ながら、一度SNS等で動画が拡散してしまうと、企業側が消そう…

新元号問題

新元号問題はカレンダー制作会社や様々なシステムの改修が必要なITベンダーだけでなく、色々な所で問題となっている様です。そんな中、とある由緒正しきところにお参りに行った際に見かけた看板。 ◆キタきつねの所感 来年の正月を表す表記・・・今の時点では…

効果検証はされているのですよ・・・ね?

今年もNISCのサイバーセキュリティ月間が始まりました(2月1日~3月18日)。毎年賛否両論が出ている気がしますが、今年は「約束のネバーランド」とのコラボなんだそうです。 ※月間・・・って1月越えていませんか? withnews.jp コンピューターウイルスなどの…

2020年に向けて攻撃は加速していく?

当然研究目的ではないだろうなと思うのが、ダークウェブでの情報購入です。 wedge.ismedia.jp 昨年2月、ダークウェブで日本人の電子メールアドレスとパスワードが売りに出された。データ量にして2・6ギガバイトというその「商品」は、2億アカウント分にもな…

ID証は見ただけでは分からなくなりつつある

在留カードの偽造拠点の摘発のニュースが少し前にありましたが、ID証偽造レベルはかなり危ない水準まで来ている様です。 www.asahi.com 在留カードは2012年、外国人登録証明書に代わって導入された。携帯電話を契約する際など、本人確認の身分証明書とし…

平文パスワード保管

平文パスワード保存は流行りなのでしょうか・・・。Security Nextの少し前の記事に波通の個人情報漏えいの記事がありました。 www.security-next.com ■公式発表 【重要】 個人情報漏えいに関するお詫びとご報告 サーファー向けに海の状況をリアルタイムで提…

駅シェアオフィス

駅ナカのシェアオフィスが実証実験しているのを品川駅でみかけました。 www.jreast.co.jp ◆キタきつねの所感 利用登録が必要との事でしたが、時間がなかったので写真を撮るだけでスルーしましたが、実証実験中だからか無料で利用できるようですね。(東京・…

試験での不正を考える

試験での不正はイタチゴッコでありますが、スマホだけでなく、最新の機器が使われる可能性がある事を考えていく必要がありそうです。 www.sankei.com 大学入試センターは20日夜、スマートフォンを使って用語を調べるなどの不正が2日間で計4件あったとし…

マラ工科大学の個人情報漏洩事件

マレーシアのマラ工科大学の100万件以上の学生(卒業生)の個人情報がオンラインにリークされた様です。 www.lowyat.net 2000年から2018年の間にTeknologi Mara大学(UiTM)でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンライ…

セキュリティ啓蒙には安全・安心ハンドブック

NISCが「インターネットの安全・安心ハンドブック」を改訂リリースしました。www.nisc.go.jp ◆キタきつねの所感 黄色い表紙に見覚えがあるなと思ったら、昨年版は「ネットワークビギナーのための情報セキュリティハンドブック」として出されてました。内容が…

卵を立てるのは簡単

インスタグラムで世界最高「いいね!」は立った卵の写真が塗り替えたそうです。関連のWired記事をみていて・・セキュリティにも関係する記事(の端っこ)を見つけました。 wired.jp キーワードの不法占拠が増殖この騒ぎで得をするのは卵のアカウントだけでは…

日産EVアプリのパスワードリセット

日本では同じ情報の記事を見出せないのですが、英国のニュースで、日産のEVアプリがパスワードリセットをかけてユーザがパニックになっているとの気になる記事が出ていました。 https://news.hitb.org/content/nissan-ev-app-password-reset-prompts-user-pa…

またやらかしたTwitter

TwitterのAndoroidのバグに関するアナウンスを見て、幸い私は影響を受ける事はありませんでしたが、「またか」という思いを強くした人は多いかも知れません。 www.bbc.com ※Twitterのヘルプセンターのアナウンスを機械翻訳した内容です。 ◆キタきつねの所感 …

フィッシングレベルが上がっている

日本におけるフィッシングメールでは、まだ日本語の壁の影響か、ひっかかる人がそう多くないレベルのことが多いのですが、この記事を見るともう少しで危ないレベルに達してしまう気がしました。 www.security-next.com 今回確認された攻撃では、フィッシング…

SNSの位置情報

Twitter経由での匿名つぶやきは、匿名性を失う情報が意図せず公開されている場合もあるようです。 lifehacker.com Wiredの話が進むにつれて、イリノイ大学とギリシャのResearch and Technologyのための財団の研究者は、多くのユーザーが正確なGPS座標を共有…

本人確認もゼロトラスト

運転免許証の偽造が取り上げられていました。 mainichi.jp 捜査関係者によると、5人は同じサイトで偽造運転免許証を注文していた。料金は、ネット上で番号を入力する個人情報不要のウェブマネーで支払う仕組み。サイトの表記は日本語だが、サーバーは海外に…

セキュリティの通信簿

脆弱性価格は実情に合ったものかも知れません。 gigazine.net 様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZEROD…

仮想通貨を預けるのはリスキーなのか

仮想通貨を取引所に預ける事のリスクは、日本でも韓国でも同じ様です。 crypto-lab.info 韓国の政府機関(科学情報通信省、インターネット庁、経済財政省)が実施した仮想通貨取引所のセキュリティ調査で、21社のうち7社しか安全基準をクリアできなかったこ…

インシデント分析のメリット

(雑談記事です) 既に2019年が始まってしばらく経ちますが、ある人と話していて、何でインシデントを分析する必要があるの?と聞かれてふと考えてしまいました。 インシデント分析をやり始めて数年経ちますが、本格的にとなるとこのブログを書くようになっ…

暗証番号の紙は性善説では守れない

宅配ボックスからの盗難事件が増えているとの記事がありましたが、マンション管理組合がリスク管理が出来てない事が問題なのかなと思いました。 www.huffingtonpost.jp 宅配物が届いたときに不在でも、受け取ることができる宅配ボックス。その中から届いた商…

フィッシングは更に悪化していく

研究熱心なホワイト側の方は時にしてブラック側になってしまう。まるでスターウォーズのダースベーダーの様な記事が出ていました。 www.zdnet.com セキュリティ研究者によって今年の初めに公開された新しい侵入テストツールは、かつてないほど簡単にフィッシ…

WindowsXPは隠れている

OSシェアから見るとWindowsXPが3ヶ月連続で何故かシェアを増やしているのはノーガード戦法なのでしょうか。 news.mynavi.jp Net Applicationsから2018年12月のデスクトップOSのシェアが発表された。2018年12月はMac OSとLinuxがシェアを増やし、Windowsがシ…

根岸さんのインパクト

1月2日の記事のアクセスに根岸さんのインフルエンサーとしての大きさを感じました。発端は昨日のTwitter(だと思います)。にゃん☆たくさんと、根岸さんが記事を評価してくれていました。 アクセス推移を見ると、1日で2,469アクセスあった事が分かります。普…

東京五輪でのドローン攻撃

ドローンで成功した攻撃事例が出てしまったなという印象です。 japan.zdnet.com ガトウィック空港は19日夜、ドローンが近くに飛来したことを受け、24時間以上にわたって閉鎖された。その後、21日朝になって再開されたが、再びドローンが目撃されたため、また…

OWASP TOP10 IoT版がリリース

ぼーっとニュースを見ていて、年末にOWASP TOP10 (IoT版)が12月30日にリリースされていたのに気づきました。日本語の記事を見つけられませんでしたが、正月休み等の長期休暇にはマスコミ、セキュリティ関係者の感度が極端に落ちる日本市場らしい気がします…

パスワードを100回試行

新商品の紹介で「?」と思う所がありました。(そういうものだと知りませんでした) internetcom.jp USB 3.1 Gen 1(USB 3.0)/2.0準拠。データの保存領域を、設定したパスワードで強制ロックできる。不正アクセス防止のため、パスワード入力に100回連続失…

組長も狙われる時代

気になるローカルニュースがありました。 jp.reuters.com 兵庫県姫路市に拠点を置く指定暴力団神戸山口組系傘下組織の組長が、姫路市内の自宅マンションから数百万円を盗まれたという通報が兵庫県警にあったことが3日、捜査関係者への取材で分かった。県警…

セキュリティトレンド2019

2019年はどんなサイバーセキュリティトレンドとなるのでしょうか。海外の専門家がどんな事を懸念しているのかを少し調べてみました。 www.computerworlduk.com Computerworld UKは、IoTのボットネットが進化すると予想しています。今は仮想通貨マイニングの…

リスクアセスは目をつぶってはいけない

年始の記事を書くために調べていて気づきました。またクレジットカード情報が漏洩していた様です。 ■公式発表 クレジットカード情報流出についてのお知らせ | サンワ食研 温効生姜オンラインショップ 1.流出の可能性のある期間2016 年 11 月 14 日から 2018 …

謹賀新年

2019年、明けましておめでとうございます。4ヶ月ちょっとしかない平成31年はどんな年になるでしょうか? セキュリティという視点で(主に)ブログ記事を書いてきていますが、2018年で考えると、正直取り上げたい出来事や事件が多すぎて手が廻らなかったなぁ…