Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

不正アクセス事件

求人サイトへの攻撃

この記事を見て、求人サイトも(今後)攻撃対象となり得るな・・と感じました。ハッカーがロシアの求人サイトから50万件の個人情報を窃取した様です。 www.ehackingnews.com ハッカーフォーラムは、ポータルjobinmoscow.ruのユーザーのデータベースを取得し…

モーターマガジン社もEC-CUBE

先週は本業の方が忙しくて調査が出来ませんでしたが、もう1件カード情報漏えいが発表されていましたので、こちらの方もみて見ましたが、こちらは・・・EC-CUBEの様です。 www.security-next.com ■公式発表 モーターマガジン社より重要なお知らせ モーターマ…

象印の「システムの一部の脆弱性」を考えてみる

象印の顧客情報流出の発表は、有名企業でも不正アクセスを受けて情報流出する可能性がある、その事を改めて認識させました。 www.nikkei.com 象印マホービンは5日、子会社が運営するインターネット通販サイト「象印でショッピング」が外部からの不正アクセス…

Magentoが狙われるという事は・・・

アドビが2018年に買収したMagentoのマーケットサイトが侵害を受けた様です。 thehackernews.com アドビ(Magento eコマースプラットフォームを所有する会社)は本日、Magentoマーケットプレイスユーザーのアカウント情報を未知のハッカーや個人のグループに…

老人ホームへのランサム攻撃

ランサムは老人ホームまで・・・とこのニュースを聞いて思ったのですが、身代金を払う動機になりやすい『生命』を預かる施設としては、病院同じですので、ハッカーに狙われるのは当然なのかも知れません。 coinchoice.net 暗号資産(仮想通貨)に対する犯罪…

セシールの壁

ディノスではなく、セシールが狙われるのは、攻撃者の意図がある気がしてなりません。記事を書いている時点(11/23)では、Security Nextさんの記事も出されていませんでしたが、不正アクセスの発表が出てました。 ■公式発表 弊社「セシールオンラインショッ…

Cardshop SerraもEC-CUBE

全世界で2000万人のプレイヤーが居ると言われる戦略的トレーデングカードゲームMTG(マジック・ザ・ギャザリング)のトレーディングサイトもカード情報漏えい被害を受けた様です。 www.security-next.com ■公式発表 弊社が運営する「Cardshop Serra」への不…

Macy'sのMagecart被害

先日、JPAC様でセミナーをさせて頂いたのですが、その資料をまとめる際もMagecartの被害の大きさに改めて驚きましたが、また攻撃事例が増えた様です。 jp.techcrunch.com 老舗百貨店のMacy’s(メイシーズ)は、わずかな期間に二度目となるデータ漏洩で大量の…

ANAクラウンホテル神戸の会員情報漏えい

地方紙の記事でしたが、色々考えさせられる記事でした。 www.kobe-np.co.jp ■公式発表 ニュースリリースは見当たらず ANAクラウンプラザホテル神戸(神戸市中央区)などで利用できる優待制度「プレミアクラブ」の会員情報が外部に流出し、それぞれのメー…

AKIBA-HOBBYもEC-CUBE

EC-CUBEサイトからのカード情報漏えいの発表はいつまで続くのでしょうか。AKIBA-HOBBYがカード情報漏えいの発表を出してました。 www.security-next.com ■公式発表 「AKIBA-HOBBY」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 2.流出の可…

トレンドマイクロの内部不正事件への海外記事をまとめてみた

日本が被害対象に含まれてなかったので、日本国内ではそろそろニュースが下火になっているかと思いますが、敢えて取り上げます。 www.itmedia.co.jp ■公式発表 海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫…

多要素認証でもパスワードを強化しないと危ない

Krebs氏のブログ記事で非常に気になるものが出ていました。APT攻撃が恐ろしいというよりも、利便性を高める為に連携が強くなったプラットフォームが攻撃対象となるという事なのかも知れません。 krebsonsecurity.com 銀行業界の大手であるNCR Corp. [ NYSE:…

Adobeのクラウド設定ミス

記事を書いている時点(10/26)では、日本語記事を見かけないのですが、恐らくこの記事が出る頃にはいろいろな方が取り上げているだろうな・・と思いつつ、書いてみます。 threatpost.com 推定1500万人の加入者を持つAdobe Creative Cloud は、Photoshop、Li…

見せないセキュリティが重要

直久・・・ここのラーメンは食べた事があるだけに、残念なカード情報漏えい発表でした。 www2.uccard.co.jp ■公式発表 弊社ネットショップに使用するアプリケーションサービス「Allin1 Office」が運用するサーバーへ䛾不正アクセス発生について䛾ご報告とお…

スタバは2要素が間に合わなかった

スターバックスの会員サービス「My Starbucks」への不正アクセスにより、18万円の被害が出ている事が報じらていました。 www.nikkei.com ■公式発表 My Starbucks不正ログイン防止のため、パスワードを変更してください スターバックスコーヒージャパンは25日…

金沢大学のフィッシングメール被害

金沢大学もフィッシングメールにひっかかった様です。 www.security-next.com ■公式発表 フィッシングメールの発信及び個人情報の漏洩について(注意喚起とお詫び) | 金沢大学 金沢大学において、フィッシングメールによる被害で複数教職員のメールアカウン…

変なホテルはバグ報告を無視して火傷した

H.I.S.が運営するロボット接客が斬新な「変なホテル舞浜」でIoT機器のハッキング懸念問題が報じられていました。 www.itmedia.co.jp ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル…

セキュリティ対策は当然の責務

6月末にカード決済を突然停止して、ネットで騒ぎになったECオーダー.comがカード情報漏洩を発表していました。 www2.uccard.co.jp 公式発表 ECオーダー.com不正アクセス発生についてのご報告とお詫び 1、流出の可能性のある期間2019年1月19日から2019年6月2…

JIMOSのカード情報漏えいの続報(EC-CUBE)

朝起きると、、カード情報漏えいのニュースが出ていて慌てて記事を書いてますが、、、JIMOSという名前に既視感が・・と思ったら、8月下旬に漏洩の可能性があるとして記事を書いていた件の続報(詳細報)が出たという事の様です。 tech.nikkeibp.co.jp 公式発…

掃除用品オンラインショップもEC-CUBE

この記事も気づきませんでした。またEC-CUBEサイトからのカード情報漏洩事件ですが、、インシデント件数が昨年の倍以上のペースになっているのが非常に気になります。 www.security-next.com ■公式発表 弊社が運営する「掃除用品オンラインショップ」への不…

着物レンタルのオリフリもEC-CUBE

カード情報漏洩が必ずしも発表されていた訳ではないので、気づくのが遅れましたが、9月に着物レンタルのオリフリがWebページを改ざんされ、フィッシングページに誘導される攻撃を受けた様です。 www.security-next.com ■公式発表 フィッシング詐欺の注意喚起…

京都一の傳もEC-CUBE

以前からサイト(決済)停止していたので、西京漬け専門店の京都一の傳は、フォレンジック調査中だろうとは思っていましたが、予想通り、カード情報を漏洩していた様です。 www.security-next.com ■公式発表 弊社が運営する「京都一の傳 お取り寄せページ」…

エアバス社へのAPT攻撃

仏エアバス社へのAPT攻撃の記事が出ていました。サプライチェーン攻撃の手法も進化しつつあるところが日本企業でも要注意かも知れません。 www.france24.com 欧州の航空宇宙大手であるエアバスは、ハッカーによる一連の攻撃に見舞われ、商業的秘密を探すため…

企業のインシデント報告の義務化

この流れは・・・義務化でほぼ確定という事になりそうな気がします。 active.nikkeibp.co.jp 個人情報保護委員会は2019年8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした。現行法令は法…

2匹目のドジョウは自分かもしれない

北米の公共向けオンライン請求書支払いポータルClick2Gov(TSM)が集中的に狙われており、多くのインシデント報告が2年前から出ていましたが、どうやら継続して攻撃は続いていた様です。 forbesjapan.com Gemini Advisoryのセキュリティ研究員らは、被害を受…

ディノス・セシールを学ぶ

パスワードリスト攻撃への対策という点では、ディノス・セシールに適う企業は無いのではないか、そんな思いを改めて認識したニュースでした。 www.security-next.com ■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについ…

キンダンの2015年攻撃

ダンキンドーナッツが2015年に受けたサイバー攻撃で訴えられたと記事が出ていました。 threatpost.com Dunkin 'Donutsは、ニューヨーク州のデータ侵害通知法に違反したとして訴えられています。訴訟では、ダンキンの親会社であるダンキンブランドが、2015年…

ジャックスへの不正アクセス

ジャックスの会員サイトがパスワードリスト攻撃を受けていたと発表されていました。8月下旬にはモバイル側ではありますが、三井住友カードも攻撃を受けており、セキュリティがしっかりしていると見なされてきたカード会社も攻撃対象になりつつあるのかも知れ…

10mois WEBSHOPもEC-CUBE

2001年からベビー用品のECサイトを運営している「10mois WEBSHOP」からもカード情報漏洩が発表されていました。他の事件とは若干違い、3回にかけて侵害を受けた様です。 www2.uccard.co.jp ■公式発表 個人情報流出に関するお詫びとお知らせ 弊社ウェブショッ…

Naturas Psychos ProductもEC-CUBE

9月17日に、アロマオイル・エッセンシャルオイル通販のNaturas Psychos Productからカード情報漏洩が発表されていました。 www.security-next.com ■公式発表 弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びと…