Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

Equifax事件は、やらないCEOへの警鐘

ムーディーズの格付けが「大型情報流出事件」を理由に引き下げられたのは、多くの経営陣にとって警鐘と言えるかと思います。そしてそれは日本でも同じです。 japan.zdnet.com Moody'sがEquifaxの格付け見通しを引き下げた。1億4000万件を超えるユーザー記録…

トップ5ハッキングシュミレーター

面白そうな記事を見つけました。ブラックな方は既にご存じな情報、あるいはもっと実践的な技術を既に入手済なのでしょうが、フラッグを取る(CTF系)のホワイトの方、あるいはホワイト(侵入テスター)を目指されている方は、こうしたツールで色々と学べるか…

雑用係を極める

名和さんの記事は、比較的ウォッチしている(はず)と思ってきましたが、ここは見落としてました。就活生だけでなく色々な方に参考になる記事だと思います。 journal.rikunabi.com ◆キタきつねの所感 今回に関しては、あまり私の所感なんかは関係なく、記事…

フォックスエスタ

先日、外部の組織の方から執筆のご依頼をいただきました。その打ち合わせの際にキタきつねとして『連絡が取れない』という事を言われたのですが、確かにその通りでした(汗)。 好き勝手に独り言をつぶやいていますので、あまり外部から「何かを一緒にやりま…

ヤマダ電機は類似インシデントへの注意が不足していた

少し前にコジマが個人情報漏えいを発表していましたが、ヤマダもそれかなと発表を読むとカード情報漏えいであった様です。EC加盟店からのカード情報漏えいは比較的小規模な所が多かったのですが、上場企業であっても油断すると危ないのだと改めて感じます。 …

藤い屋のカード情報流出もEC-CUBE

またECサイトからのカード情報漏洩が発表されていました。もみじ饅頭を販売する藤い屋が影響を受けた様です。 www2.uccard.co.jp (1)原因 弊社が運営する「藤い屋オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス (2)個…

ディズニーの危機管理

昨日の地震の際、ディズニーシーにおり、ディズニー(オリエンタルランド)の危機管理手順を(一部ゲストとしての不満を伴いながら)体感しました。 www.asahi.com 25日午後3時20分ごろ、千葉県北東部で震度5弱、同県北西部、同県南部、東京都23区で…

空港がドローンで止まるのであれば・・・

ドローンは、安上がりな空港サービス妨害攻撃として事例を重ねつつあるようです。英国に続き、ドイツでも未確認ドローンの被害が出ました。 jp.sputniknews.com フランクフルト空港の南側の滑走路の上をドローンが飛行しているのが目撃され、安全確保のため…

シンガポール赤十字へのサイバー攻撃

シンガポールはAPT攻撃なのだと思いますが、執拗にヘルスケア分野でサイバー攻撃を受けている様です。シンガポール赤十字(SRC)のWebサイトから献血者4297人の個人情報が漏洩した事を確認した様です。 www.thestar.com.my ■公式発表 なし(Facebookアカウン…

トップガンから感じる事

1986年にこの映画を見た時は衝撃的でした・・・トム・クルーズ最高!という話ではありません。 トップガン (字幕版) 発売日: 2013/11/26 メディア: Prime Video この商品を含むブログを見る トップガンはトップガンでも、こちらの方でした。 www.nhk.or.jp …

宅地建物取引業者情報への不正アクセス

東京都のページが狙われた様です。宅建情報サイトが不正アクセスを受けたとの発表が出ていました。 ■公式発表 「宅地建物取引業者情報のインターネット情報提供システム」の利用停止について ◆キタきつねの所感 東京都管轄の検索サービスという事もあり、時…

サプライチェーンが破られるのは当然

何とも恐ろしい調査結果が出ていましたが、インシデントベースで考えると、日本企業は危ないとの私感ともそんなにブレてない結果でもありました。 www.nikkei.com 大阪商工会議所は10日、取引先のサイバーセキュリティー対策に関する調査結果をまとめた。取…

RSSリーダのメンテナンス

GW中に何をやったか?その答えのひとつがRSSリーダのメンテナンスでした。普段はあまり時間が取れないのですが、じっくりと記事の参考になりそうなセキュリティサイトを調べてました。特に海外のサイトはかなり今回の調査で増やしたので、良い情報ソースにな…

EV証明書(緑の鍵)も過信できなくなってきた

新しいAndroid端末への攻撃手法、URLバー(インセプションバー)を使った騙し(Fake)は、日本でも警戒すべきかも知れません。 nakedsecurity.sophos.com このトリックは、Android版のChromeブラウザが貴重な小画面のスペースを節約する方法を悪用しています…

飛行機での会議は不要

米国系の航空会社がエンターテイメントシステム提供のためのモニターに付属するカメラにカバーをつけ始めたという記事が出ていました。 www.buzzfeednews.com ユナイテッド、デルタ、そしてアメリカン航空は彼らのシートバックエンターテインメントシステム…

BECはついに宗教にも

企業の経営者、学校・・・ビジネスメール詐欺(BEC)は宗教関係にもその魔手を伸ばしてきた様です。www.wkyc.com オハイオ州ブランズウィック - ブランズウィックのセントアンブローズカトリック教区の指導者たちは、改装のために指定された教会からハッカー…

選挙も命がけに・・・

セキュリティとは関係ないのですがGW中という事でご容赦下さい。海外のこの記事が気になりました。 jp.reuters.com インドネシアで17日に実施された選挙で、職員らが手作業での開票を長時間続けた結果、27日夜の時点で272人が過労とみられる原因で死…

CIAの頭の体操

CIAがインスタグラムアカウントを突如開設した様です。 www.theverge.com CIAのディレクターGina Haspelが先週アラバマ州のAuburn大学での講演中に、諜報機関が写真共有プラットフォーム上でプレゼンスを構築することを発表すると発表したので、発表は本当に…

警察の意地を感じた

令和になる前に捕まえたかった。そんな想いを感じる逮捕のニュースでした。 www.sankei.com 警視庁捜査1課は校内の防犯カメラに写っていた作業員風の男が関与したとの見方を強め、カメラ画像を移動方向にたどる「リレー方式」と呼ばれる捜査で足取りを追跡…

将棋はセキュリティと同じである。

令和最初の記事をどうしようかと、少し考えていたのですが、平成を代表する若手棋手、藤井聡太七段のこのコメントを取り上げてみます。 hochi.news 日本将棋連盟は29日、都内で平成回顧イベント「棋才 平成の歩」を開催し、谷川浩司九段(57)、清水市代…

木造建築での喫煙

ヒヤリハットは正しいのかなと思わせるAFPの記事でした。 www.afpbb.com 大火災に見舞われたフランス・パリのノートルダム大聖堂(Notre Dame Cathedral)で、火災発生前から行われていた建物の改修に当たっていた作業員らが、同大聖堂での禁煙規則を厳守し…

PDCAはDCがセットでなければいけない

IBMの調査には日本(大手)企業も含まれていると思いますが、欧米を含めた調査データでこの実施率であれば、ほとんどの日本企業はそれよりも低い実施率であるのは間違いない様です。 www.itmedia.co.jp 米IBMは2019年4月11日(現地時間)、企業のサイバー攻…

教員へのセキュリティ教育も重要

普段はUSB盗難というのは、あまりインデント調査の興味を惹かれないのですが、この発表は少し気になりました。 www.security-next.com ■公式発表 【お詫び】海外出張中の本学教員による個人情報を含むUSBメモリ等の盗難について 1. 盗難の経緯 オランダに海…

高い大学の授業料

大学はセキュリティ対策を怠る事のリスクをもっと真剣に考えるべきかも知れません。 www.seattletimes.com ワシントン州立大学は、 2017年に100万人以上の個人情報を格納したハードドライブがセルフストレージロッカーから盗まれた後、費用のかかる教訓を学…

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。 www.zdnet.com Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出…

パスワード定期変更不要だけ一人歩きしてないか

内容として決して間違っている訳ではないのですが、記事を読んでいてSP800-63で書かれている事との違和感を感じました。 tech.nikkeibp.co.jp 「企業IT利活用動向調査2019」速報によると、2018年3月に総務省がパスワードの定期的な変更は不要との見解を示し…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

USBKillerの正しい使い方

以前書いた事のある『物理攻撃ツール』のUSBKillerを使っている事件が報じられていました。 www.zdnet.com 米国のインド人国民は今週、ニューヨークのセントローズ大学で59台のコンピュータを破壊したことを認め、オンラインで購入した「USB Killer」という…

両陛下の伊勢神宮ご参拝

両陛下の在位中最後の伊勢訪問に関して、ふと気になったので調べてみました。 www.asahi.com 伊勢神宮参拝のため、JR東京駅を出発する天皇、皇后両陛下。後方は「三種の神器」の剣=2019年4月17日午後1時17分、嶋田達也撮影 偶然にも、(両陛下…

カード授受の脆弱性

この穴を突いてきましたか。。。偽造運転免許証を使ったクレジットカード不正授受の事件が報じられていました。 www.tokyo-np.co.jp 他人名義のクレジットカードで高級腕時計をだまし取ったとして、詐欺などの疑いで警視庁に逮捕された男らが、東京都内の高…