Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

内部犯行

T-Mobileへの侵入ルートは「ルーター」

全米第3位の通信大手T-Mobileの顧客情報はどうやら21歳のハッカーに簡単に窃取されてしまった様です。www.wsj.com この侵害は、T-Mobileが過去2年間に開示した3番目の主要な顧客データ漏洩です。ワシントン州ベルビューの会社は、米国で2番目に大きな携帯電…

ソフトバンクの5G情報流出(内部不正)についてまとめてみた

ソフトバンクからの5G情報が競合企業である楽天モバイルに渡ったかも知れないというニュース、両社の見解が異なっており、ソフトバンクの退職者管理問題と共に、持ち出されたとされる機微な情報の行方も気になりました。 www.nikkei.com 高速通信規格「5G」…

韓国の国防科学研究所からの情報漏えい

4月に発覚した、韓国国防科学研究所からの機密データ漏えい事件ですが、中間報告が出た様です。内容を見ると、日本だったら防衛大臣の首が飛ぶ程度では済まないレベルに思えますが、韓国では今後どこまで事件の影響が広がるのかが気になる所です。 www.chosu…

ドロップボックスは58歳の女性でも破壊できる

内部犯行によって不動産マーケティング会社が経営破綻した記事が出ていました。 hotforsecurity.bitdefender.com 元ソース Businesswoman who illegally deleted thousands of company files is sentenced むかしむかし、ブリーはデヴォン南東部に焦点を当て…

京大のiPS細胞研究所の内部不正

内部からデータ漏えいがあったかは不明ですが、日本を代表する研究機関の1つ、京大iPS研究所の職員懲戒解雇処分は、日本の大学にもゼロ・トラストの思想が必要な事を示唆しています。 www.kyoto-np.co.jp 公式発表 教職員に対する懲戒処分について(2020年3…

転売されたら回収できない現実

ブロードリンク社の事件後リリースが出ていました。事件を受けての対策部分はセキュリティ担当の方にとって参考になりそうです。 www.sankeibiz.jp 公式発表(3/26) 当社の経営改革と盗難ハードディスクに関する調査・回収について 神奈川県の行政文書を保存…

ブロードリンクは内部犯行に無策であった

先週一番インパクトがあったのは、このニュースだった気がします。既に多くのメディアが続報を出している中で取り上げるのはどうかなと思いましたが、内部犯行に対するセキュリティという視点で考えてみたいと思います。 www.nikkei.com 個人情報を含む神奈…

トレンドマイクロの内部不正事件への海外記事をまとめてみた

日本が被害対象に含まれてなかったので、日本国内ではそろそろニュースが下火になっているかと思いますが、敢えて取り上げます。 www.itmedia.co.jp ■公式発表 海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫…

カジノの内部不正

カジノホテルのセキュリティというのはハリウッド映画のオーシャンズシリーズでも”狙われた”程に、よく攻撃対象になるが故に、しっかりしたセキュリティ設計思想がされていると言われていますが、内部犯行への備えは穴がある場合もある様です。日本のカジノ…

令和初の3億円事件

セキュリティの世界では内部からの攻撃(内部犯行)は、件数は少ないけれども成功すると被害額が大きいと言われますが、令和の3.6億円事件はそのリスクをまざまざと見せつけたと言えるかも知れません。 www.fnn.jp ◆キタきつねの所感 FNNの記事で実に良い外…

ベネッセが受けた信用損害

2014年に発生したベネッセ個人情報漏洩事件の影響が未だに尾を引いている事は、日本企業のセキュリティ投資に対する警鐘と考えた方が良いのかも知れません。 mainichi.jp ベネッセコーポレーションの情報流出事件を巡り、被害に遭った顧客らが損害賠償を求め…

カナダの信用組合の内部犯行

世界最大の信用金庫Desjardinsは、内部犯行により290万件の個人情報が持ち出されたと発表しました。 www.zdnet.com 本日、カナダ最大の信用組合であり世界最大の銀行の1つであるDesjardinsは、元従業員によるセキュリティ侵害を発表しました。 銀行のウェブ…

退職者のチェックが最終防衛ライン

アークレイの内部犯行事件には考えさせられるものがありました。 www.nikkei.com 男は、京都大病院などから提供を受けた患者の遺伝子検査結果を含む約2万3千件の情報を持ち出したとみられている。 送検容疑は2018年5~6月、同社が管理していた研究開発データ…

Equifaxのインサイダー取引事件の判決

Equifax程の影響力のある会社の従業員は事故が発生した際には顧客ではなく、自分の事しか考えない、そう言われても仕方が無い判決が出ていました。 uk.businessinsider.com Sudhakar Reddy Bonthu, who worked as a software product development manager fo…

Amazonのレビュー評価の信頼性

アマゾンの内部不正が調査中とのWSJのスクープ記事が出ていました。 jp.wsj.com アマゾンの従業員が、主に仲介業者を通じて機密情報を外部に提供していることが分かった。これらの情報はアマゾンで製品を販売する独立業者にとって強みになる。データの売り込…

ベネッセの顧客情報漏えい事件を振り返る

ベネッセ事件がひとつの区切りを見せた記事が出ていました。 www.sankei.com ベネッセコーポレーションの顧客情報流出事件で、持ち株会社のベネッセホールディングスが巨額の損失を出したとして、東京都内に住む男性株主が、原田泳幸元会長や当時の役員ら6…

店舗従業員によるクレジット情報窃取

Security Nextにセキ薬品の内部不正のニュースが出ていました。 www.security-next.com ■公式発表 弊社 愛宕店 元従業員によるお客様情報の不正利用について 同社によれば、ドラッグストアセキ愛宕店で3月1日から5月21日にかけて、クレジットカード決済を利…

2018年前半の内部犯行事件

Darkreadingが2018年の6大内部犯行事件を発表していましたので、参考まで意訳してみます。 www.darkreading.com ①Tesla(テスラ・モーターズ) テスラで起きた工場への破壊的攻撃は、2018年の内部犯行事件の中で最も影響が大きかった。イーロン・マスクCEOが…

テスラも内部からの攻撃には弱かった

人が組織に不満を持つ時は、インシデントが発生した際の影響範囲が大きいと言われますが、テスラのCEOイーロン・マスク氏は改めてそう感じたに違いありません。 japan.cnet.com 米電気自動車メーカー、テスラのイーロン・マスク最高経営責任者(CEO)はこ…

コカコーラの情報漏えい

コカコーラが情報漏えいした件を、米国バーモント州の州政府事務所が5/23に発表していました。 ■公式発表 まだ出てないようです。(Coca Colaのニュースリリース) ※米国バーモント州の州政府事務所の発表 ■事件の概要 元従業員による内部漏えい事件のようで…

退職者の認証情報管理

NHKで内部犯行の事件が取り上げられていました。 www3.nhk.or.jp 高速道路の料金徴収を行う「中日本エクストール横浜」の33歳の元社員で、警察によりますと会社のセキュリティーに関するサーバーに不正にアクセスを繰り返し、去年8月東京や神奈川県など1…

共有パスワードを外部接続で使うリスク

Security Nextの4月20日記事に内部犯行案件が載っていました。 www.security-next.com 同社によれば、同社製品に対してウェブから問い合わせを行った顧客の情報を、元従業員が営業管理ツールに不正ログインして閲覧。転職先である医療予約技術研究所の営業活…

性弱説での重要文書管理が必要なのではないか?

日経新聞の3月1日記事に、日本企業の重要文章が中国百度の文章共有サイトに漏えいしている事が報道されていました。 www.nikkei.com IT関連会社「クロスワープ」(東京)が調べたところ、2017年6月~18年2月だけで186社の文書掲載が確認された。いずれの…

史上最大の流出は内部から

2月10日のMotherboardの記事に、アップルが「iBoot」のソースコードを漏えいした件の続報がありました。 motherboard.vice.com オリジナル記事は同じくMotherboardの2月8日記事になります。この記事中では、「iBoot」の流出を史上最大の流出と評しています。…

米国 国土安全保障省も安全ではなかった。

2001年の同時多発テロ事件を受けて設立された、米国の国土安全保障省(United States Department of Homeland Security:DHS)が不正アクセスにより、元職員24.6万人の個人情報を漏えいしたとの1月3日のリリースが出ていました。 www.dhs.gov インシデントタ…

日新火災社員の不正個人情報漏えい事件

12月22日の日経新聞に日新火災の社員が顧客情報を不正漏えい(内部犯罪)していた記事が載っていました。この件について少しつぶやいてみます。 www.nikkei.com ■公式発表 お客さま情報の漏えいについてのお詫びとご説明 インシデントタイムライン 日時 出来…

アニメイトの不正ポイント利用事件について考えてみた。

アニメイトで従業員が不正に客のポイントを使って解雇された件が、12/8のスポニチ記事に出ていましたので、つぶやいてみます。 www.sponichi.co.jp 公式発表 ポイントの不正使用についてのお詫び この度、アニメイト従業員により、お客様のポイントを無断で…

ベネッセ情報漏えい事件

ベネッセ事件で興味深い記事がUpされていました。 www.icr.co.jp 漏えい事件の犯人に対する刑事事件ではなく、ベネッセの過失を争う(漏えいされた個人側が起こした)民事訴訟(10万円の損害賠償を争っている)を取り上げてました。民事訴訟の状況は記事には…

内部犯行による不正アクセス

神戸新聞社の11月17日記事を見て考えてみたのですが、この手の内部犯行が発表されたのはかなりレアな気がします。 www.47news.jp 記事を調べている11/20時点ではグローリー社もリリースを出していないようです。 普通は何かしらのコメントが出ているものです…

パスワード管理を少し考えてみた。

朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。 www.asahi.com 事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆる…