Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

内部犯行

2018年前半の内部犯行事件

Darkreadingが2018年の6大内部犯行事件を発表していましたので、参考まで意訳してみます。 www.darkreading.com ①Tesla(テスラ・モーターズ) テスラで起きた工場への破壊的攻撃は、2018年の内部犯行事件の中で最も影響が大きかった。イーロン・マスクCEOが…

テスラも内部からの攻撃には弱かった

人が組織に不満を持つ時は、インシデントが発生した際の影響範囲が大きいと言われますが、テスラのCEOイーロン・マスク氏は改めてそう感じたに違いありません。 japan.cnet.com 米電気自動車メーカー、テスラのイーロン・マスク最高経営責任者(CEO)はこ…

コカコーラの情報漏えい

コカコーラが情報漏えいした件を、米国バーモント州の州政府事務所が5/23に発表していました。 ■公式発表 まだ出てないようです。(Coca Colaのニュースリリース) ※米国バーモント州の州政府事務所の発表 ■事件の概要 元従業員による内部漏えい事件のようで…

退職者の認証情報管理

NHKで内部犯行の事件が取り上げられていました。 www3.nhk.or.jp 高速道路の料金徴収を行う「中日本エクストール横浜」の33歳の元社員で、警察によりますと会社のセキュリティーに関するサーバーに不正にアクセスを繰り返し、去年8月東京や神奈川県など1…

共有パスワードを外部接続で使うリスク

Security Nextの4月20日記事に内部犯行案件が載っていました。 www.security-next.com 同社によれば、同社製品に対してウェブから問い合わせを行った顧客の情報を、元従業員が営業管理ツールに不正ログインして閲覧。転職先である医療予約技術研究所の営業活…

性弱説での重要文書管理が必要なのではないか?

日経新聞の3月1日記事に、日本企業の重要文章が中国百度の文章共有サイトに漏えいしている事が報道されていました。 www.nikkei.com IT関連会社「クロスワープ」(東京)が調べたところ、2017年6月~18年2月だけで186社の文書掲載が確認された。いずれの…

史上最大の流出は内部から

2月10日のMotherboardの記事に、アップルが「iBoot」のソースコードを漏えいした件の続報がありました。 motherboard.vice.com オリジナル記事は同じくMotherboardの2月8日記事になります。この記事中では、「iBoot」の流出を史上最大の流出と評しています。…

米国 国土安全保障省も安全ではなかった。

2001年の同時多発テロ事件を受けて設立された、米国の国土安全保障省(United States Department of Homeland Security:DHS)が不正アクセスにより、元職員24.6万人の個人情報を漏えいしたとの1月3日のリリースが出ていました。 www.dhs.gov インシデントタ…

日新火災社員の不正個人情報漏えい事件

12月22日の日経新聞に日新火災の社員が顧客情報を不正漏えい(内部犯罪)していた記事が載っていました。この件について少しつぶやいてみます。 www.nikkei.com ■公式発表 お客さま情報の漏えいについてのお詫びとご説明 インシデントタイムライン 日時 出来…

アニメイトの不正ポイント利用事件について考えてみた。

アニメイトで従業員が不正に客のポイントを使って解雇された件が、12/8のスポニチ記事に出ていましたので、つぶやいてみます。 www.sponichi.co.jp 公式発表 ポイントの不正使用についてのお詫び この度、アニメイト従業員により、お客様のポイントを無断で…

ベネッセ情報漏えい事件

ベネッセ事件で興味深い記事がUpされていました。 www.icr.co.jp 漏えい事件の犯人に対する刑事事件ではなく、ベネッセの過失を争う(漏えいされた個人側が起こした)民事訴訟(10万円の損害賠償を争っている)を取り上げてました。民事訴訟の状況は記事には…

内部犯行による不正アクセス

神戸新聞社の11月17日記事を見て考えてみたのですが、この手の内部犯行が発表されたのはかなりレアな気がします。 www.47news.jp 記事を調べている11/20時点ではグローリー社もリリースを出していないようです。 普通は何かしらのコメントが出ているものです…

パスワード管理を少し考えてみた。

朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。 www.asahi.com 事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆる…