Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

不正アクセス事件

Typeformユーザの情報漏えい(アオイゼミ)

Security nextにZ会グループが去年11月に買収したアオイゼミが個人情報を漏えいしていた事を報じてました。 www.security-next.com ■公式リリース お客様情報の流出に関するお詫びとお知らせ – 株式会社葵 June 2018 Data Breach www.bleepingcomputer.com …

フレーバーライフの情報漏えい

通販ニュースにフレーバーライフ社が個人情報1万件を漏えいした件が出ていました。 www.tsuhannews.jp ■公式発表 弊社提携外部サーバーへの不正侵入について 事件の状況 2018年6月28日未明に不正アクセスを受け11,156件のお客様個人情報が漏えいした可能性…

Have I Been Pwnedはメディア化している

The NEWS Minuteにインドのオンライン旅行予約プラットフォームを展開するYatra.comの500万件のデータ漏えい事件が載っていました。 www.thenewsminute.com ◆キタきつねの所感 記事を見ると、2013年のデータ侵害事件が、Have I Been Pwnedに掲載されたので調…

会員DBのログイン情報の流出は何故続くのか

Scan Netsecurityの7/2記事にジャパンレンタカーの情報漏えいの件が出ていました。 scan.netsecurity.ne.jp ■公式発表 WEB会員情報流出の可能性について 事件の状況 会員システムから流出した可能性のある情報としてメールアドレス及びパスワードが外部に存…

ディノス・セシールの会員を責めない姿勢

セシールオンラインショップで中国のIPから不正アクセスがあり、490件の不正ログインが成功した件がSecurity-Nextの記事に出ていました。 www.security-next.com ■公式発表 弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関…

メニコンはノーガード戦法であったのか?

最近の日経xTECHさんの記事は、プレミアム・アウトレット関連の報道を含め、深い取材内容に敬意を表します。メニコンWebサイトからの個人情報漏えいの原因がOpenSSLである事を記事に書かれていました。また、その事件発表のサイトが同じ脆弱性を抱えたサーバ…

こうのとりが知らせるのが遅くないか?

こうのとり検査薬.NETが不正アクセスによりカード情報を漏えいしていたかも知れないと5/23に発表していました。 kensayaku.net ■公式発表 こうのとり検査薬.NET」への不正アクセス発生についてのご報告とお詫び 事件の状況 2017年8月7日~2018年1月18日まで…

日本でも公共団体はランサムに気をつけるべき

カナダの5大湖沿いのワサーガ・ビーチ市がランサムウェアに襲われ、ランサム(身代金)を支払ったようです。 www.simcoe.com Municipal officials say they’ve paid off part of the ransom and received the decryption code to begin unlocking the first …

アフラックの個人情報漏えい

アフラックの代理店のメールアカウント経由で顧客の個人情報が漏えいしたようです。 www.wxyz.com 記事を見ると、5/25にアフラックとCAIC(Continental American Insurance Company)がリリースを出したとあるのですが、原文は探しきれませんでした。2018年1…

森永乳業は説明責任を果たしてないのではないか?

6月4日に森永乳業がフォレンジック調査結果を受けて記者会見をしたようです。 mainichi.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ 不正被害が発生しているのが残念なところ。(森永乳業の対応が遅れた…

AWSは以前から警告を発している

少し怖い情報漏洩の記事がTechcrunchに上がっていました。 jp.techcrunch.com 記事によると、TeenSafeは、同社がAWS上で保有するサーバーのうち2台を、誰でもアクセスできる状態に放置していた。しかも漏洩したデータベースには、親のメールアドレス、子供の…

退職者の認証情報管理

NHKで内部犯行の事件が取り上げられていました。 www3.nhk.or.jp 高速道路の料金徴収を行う「中日本エクストール横浜」の33歳の元社員で、警察によりますと会社のセキュリティーに関するサーバーに不正にアクセスを繰り返し、去年8月東京や神奈川県など1…

メニコン子会社のカード情報漏えい事件

海外に行っている間にメニコン子会社がカード情報を漏えいしてました。 www.nikkei.com ■公式発表 エースコンタクト会員専用サイト「A-Web倶楽部」におけるお客様情報流出に関するお詫びとお知らせ A-Web倶楽部「宅配サービス」におけるお客様情報流出に関…

森永乳業の事件発表を考えてみた。

海外でシンクラPCが使えなかったので、見れてなかったのですがここ数日のブログ閲覧数が普段の3倍位ありました。リンク先のページを見ると・・・森永乳業の事件記事へのアクセスが多い事が分かりました。 参考: foxsecurity.hatenablog.com 海外出張してき…

ニコニコのリスト型アカウントハッキング攻撃

ドワンゴが5月10日に数百万件のリスト型アカウントハッキング攻撃を受けた事を発表しました。 news.nicovideo.jp ■公式発表 他社流出パスワードを用いた不正ログインについて(2018/05)|ニコニコインフォ ニコニコ動画などで利用するniconicoアカウントでは、…

公式発表が出る個人情報漏えい事件は氷山の一角

昨日の記事の続きです。「Have I Been Pwned」を運営するTroy Hunt氏が2月にDark Webサイトに個人情報ファイルがたくさん掲載されている・・・と発表した件を少し調べています。 haveibeenpwned.com Troy Hunt: I've Just Added 2,844 New Data Breaches Wit…

宝塚・園芸施設以外にも漏えい発表が今後出てきそうです。

神戸新聞に園芸施設のクチこみサイトから個人情報が漏えいした件が載っていました。 www.kobe-np.co.jp ■公式発表 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び ◆キタきつねの所感 最事件自体はいわゆる普通の不正アクセスによる個人…

大学のランサム被害

今更ながらですが、Securit Nextに中部大学がランサム被害を受けた件に気づきましたので取り上げます。 www.security-next.com ■公式発表 お知らせ 本学情報工学科管理のパソコンのコンピューターウイルス感染について 中部大学 この度、本学工学部情報工学…

校務システムは何故狙われるのか?

Security Nextの4月5日記事に兵庫県播磨町の校務支援システムの不正アクセスの件が取り上げられていました。 www.security-next.com 事件発表を見る限りは、不正アクセスを受けたのですが個人情報流出が無かった、という事で普通にクローズしそうな事件なの…

古き良き時代は終わっているという認識が必要ではないか

4月4日のSecurity Nextの記事に日本がん治療認定医機構からメールアドレスとパスワードが流出した可能性があると報じてました。 www.security-next.com 調査を行ったところ、システムの脆弱性を突く不正アクセスの痕跡がログに残存。詳細については調査中と…

田舎の観光協会すらとりあえず狙われる時代

毎日新聞の4月7日記事に忍野村観光協会のサーバに不正アクセスがあった件が取り上げられていました。 mainichi.jp ■公式発表 忍野村観光協会HP (事件に関する直接の発表は見当たらず) 事件の状況 忍野ムラ観光協会のサーバへの不正アクセスにより、同協会…

ポルシェの不正アクセス最終報告

ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。 www.porsche.co.jp ■公式発表 不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9) 不正アクセスによるお客様情報の流出に関す…

プレミアム・アウトレット会員情報漏えい事件

日経xTECHの4月6日にプレミアム・アウトレットの会員情報が漏えいしている件を報じました。 tech.nikkeibp.co.jp 三菱地所・サイモンが運営するショッピングモール「プレミアム・アウトレット」の会員情報と思われる約43万件のデータが、海外のストレージサ…

九州商船の最終報告書が勉強になる

九州商船が1月にWeb予約システムへ不正アクセスを受けた件で3/30に最終報告書を出た旨、Zdnetに記事が出ていました。japan.zdnet.com 弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船 結局1月から3月5日までWeb予約システムを止めなけれ…

Under Armour子会社の会員サイトから1.5億件のデータ漏えい

下着メーカーで有名なUnder Armourが3/29に食べ物と栄養のアプリケーションとWebサービスを提供する「MyFitnessPal」でユーザ情報が漏えいしたと発表しました。 mainichi.jp ■公式発表 Under Armour Notifies MyFitnessPal Users Of Data Security Issue (NY…

日本の大学は攻撃対象の認識があるか?

産経デジタルの3月24日記事にイランからのサイバー攻撃でテヘランにあるMabna研究所に関連する9人のイラン人が起訴された件が載っていました。 www.iza.ne.jp 米国の大学144校が襲われたんだ・・・と記事を流し読みしていたのですが、320校の全世界の大学の…

英国National Lotteryの不正アクセス事件

DailyMailに英国の「National Lottery」が不正アクセス被害を受け、1050万人の登録プレイヤーに対してパスワード変更を促したとの3/16の記事がのっていました。 www.dailymail.co.uk National Lottery(国営宝くじ)はCamelot Groupによって運営されており、…

産総研のネット遮断1ヶ月から見えてくること

読売新聞の3月15日記事に産総研の不正アクセス事件についての続報がありました。 www.yomiuri.co.jp 産業技術総合研究所(産総研)が不正アクセスを受けた事件は2月13日に公式リリースが出されています。読売新聞の記事を受けて、改めて産総研のHPを確認して…

ログイン情報の紙管理

産経Westの2月21日記事に、ネットバンキングの不正ログイン事件が載っていました。 www.sankei.com 知人のネット口座から預金30万円を不正に送金した事件。そう書いてしまうと大した事件ではないかも知れません。事実産経の記事もそう大きなものではありませ…

東芝のメール情報流出は何故100人分だったのか?

東芝が自社グループのメールサーバに不正アクセスを受け、従業員のメールデータが不正に閲覧された可能性がある事を2月28日に発表しました。 tech.nikkeibp.co.jp ■公式発表 東芝:プレスリリース (2018-02-28):当社グループのメールサーバへの不正アクセス…