Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

海外事件

テスラ車はセキュリティの戦場になっている

テスラ・モデルSの脆弱性がまたホワイトハッカーによって暴露されたようです。 gigazine.net ベルギーにあるルーヴァン・カトリック大学のCOSIC(コンピューターセキュリティと産業暗号)研究チームが、テスラのモデルSのキーレスエントリーシステムを数秒でハ…

脆弱なパスワードは蔓延している

西オーストラリア州政府の職員だけが、脆弱なパスワードを使っている・・・とは思えないのですが、tboの記事に気になる事実が載っていました。 www.tbo.com The legions of lazy passwords were exactly what you — or a thrilled hacker — would expect: 1,…

個人監視アプリが秘密情報を漏洩していては・・

Krebs on Securityの記事が元の様ですが、Gigazineの記事が気になりました。 gigazine.net モニタリングアプリを提供する「mSpy」が、有料顧客数百万人分のパスワード・通話記録・メッセージ・連絡先・位置情報などを流出していたことを明らかにしました。mS…

British Airwaysのカード情報流出は深刻かも知れない。

British Airwaysの情報漏えい事件、日本でも報じられていましたが、漏洩原因を考えるとかなり問題が拡大する恐れがあり、英国内を中心に色々なコメントが出てきています。 www.itmedia.co.jp ■公式発表 ◆キタきつねの所感 ウェブサイトとモバイルアプリが8/2…

エアーカナダの不正アクセス

エアーカナダのモバイルアプリが不正アクセス被害を受けた可能性があるようです。 www.itmedia.co.jp ■公式発表 Notice to Air Canada Mobile App users カナダの航空会社Air Canadaは8月28日、同社のモバイルアプリに対する異常なログインの挙動が検出され…

ソーシャルハッキングは防ぎきれないのか?

Wiredの8/17記事を読んで色々と考えさせるところがありました。 wired.jp ハッキング集団の「Fin7」は、ある推計によると少なくとも10億ドル(約1,100億円)以上[日本語版記事]を世界中の企業からかすめ取ってきた。米国だけでも3,600を超える店舗から1,50…

Cheddar Scratchの情報漏えい事件

米国東海岸を中心に展開するレストランチェーンCheddar's Scratch Kitchenがカード情報を漏えいした可能性があるとロイターが報じていました。 www.reuters.com The Olive Garden owner said its systems and networks were unaffected by the incident, as …

16歳の就職活動

Appleのサーバがオーストラリアの16歳ハッカーにハッキングを受けていたようです。 www.itmedia.co.jp オーストラリアのメルボルンに住む16歳の少年がAppleのサーバをハッキングし、顧客情報と、90GB以上もの秘密ファイルをダウンロードしていたことで逮捕さ…

悪玉ドローンor悪玉大統領?

ドローンを使った暗殺未遂事件、心配されていたドローンを使ったテロというのも現実性を帯びてきたのかも・・・と当初は思ったのですが、違った展開を見せ始めています。 mainichi.jp 政権側の発表によると、容疑者のうち1人は、兵士2人が死亡した2017…

PGAもBitPaymer被害を受ける

松山英樹選手の情報も、もしかしたら・・・という事件がAFPの記事に出ていました。日本ではAFP記事の翻訳位しか出ていませんが、米国ではもう少し多くの記事が出ています。PGA(全米プロゴルフ協会)のコンピュータ・サーバが不正アクセス(ランサム攻撃)を…

SMSの2要素認証は脆弱なのか?

米国大手のソーシャルニュースサイトRedditが不正アクセスを受け、顧客の情報を漏えいしていたと発表しました。japan.zdnet.com ■公式発表 We had a security incident. Here's what you need to know. Redditは、システムが侵入を受け、ユーザーデータに不…

ランサム対策にはタイプライター

アラスカ行政区画ではランサムウェアの被害を受けて1週間以上システムが止まっていると報じられていました。 www.dailymail.co.uk Workers in Matanuska-Susitna found themselves cut off from technology after ransomware known as BitPaymer encrypted t…

医療機関はランサムの標的になってきている

米国の血液検査ラボ「LabCorp」がランサムウェア(SamSam)攻撃を受けて大きな被害を受けている件がFobesに出ていました。 forbesjapan.com ■公式発表 LabCorp IT Security Information SECの発表 現状で分かっているのは同社が受けた攻撃が、これまで発生し…

PDQのクレジットカード情報漏えい事件

米国フロリダベースのレストランチェーンPDQ社が外部からのサイバー攻撃を受け、クレジットカード情報を漏えいしたと発表しました。 www.eatpdq.com ■公式発表 Important Information for our Guests On Data Breach 事件の状況 2017年5月19日~2018年4月20…

シンガポールの情報漏えいは日本の未来像

ロイターがシンガポールで患者記録DBへのサイバー攻撃を報じてました。 jp.reuters.com シンガポール政府は20日、政府の医療データベースがサイバー攻撃を受け、150万人分の患者記録が流出したと発表した。被害は国内史上最悪で、リー・シェンロン首相…

2018年前半の内部犯行事件

Darkreadingが2018年の6大内部犯行事件を発表していましたので、参考まで意訳してみます。 www.darkreading.com ①Tesla(テスラ・モーターズ) テスラで起きた工場への破壊的攻撃は、2018年の内部犯行事件の中で最も影響が大きかった。イーロン・マスクCEOが…

Have I Been Pwnedはメディア化している

The NEWS Minuteにインドのオンライン旅行予約プラットフォームを展開するYatra.comの500万件のデータ漏えい事件が載っていました。 www.thenewsminute.com ◆キタきつねの所感 記事を見ると、2013年のデータ侵害事件が、Have I Been Pwnedに掲載されたので調…

Flightradar24のデータ流出

フライトレーダー24というソフトをご存知でしょうか?このサーバの1つが攻撃を受け、情報流出した可能性があると報じられていました。 www.itnews.com.au このソフトは、北欧の航空機ファンによって作られたリアルタイムで航空機追跡ができるソフトで、航空…

Dixon Carphoneのカード情報漏えい事件

イギリスで家電販売店(Currys PC World等)を展開するDixon Carphoneが最大600万件のカード情報を漏えいした可能性があると報じられていました。 www.bloomberg.com サイバー攻撃は6月(※初旬)に始まり、先週気づいた(※6月10日頃) Currys PC World とDi…

アディダスのデータ侵害事件

6月28日にアディダスは米国のWebサイトでデータ漏えい事件が発生した可能性があると発表しました。 www.cbsnews.com 米国のWebサイトが6月26日に侵害を受けた(※事件発表は28日) 漏えいした可能性があるデータは、名前と暗号化されたパスワード クレジット…

テスラも内部からの攻撃には弱かった

人が組織に不満を持つ時は、インシデントが発生した際の影響範囲が大きいと言われますが、テスラのCEOイーロン・マスク氏は改めてそう感じたに違いありません。 japan.cnet.com 米電気自動車メーカー、テスラのイーロン・マスク最高経営責任者(CEO)はこ…

ベルギー通信会社大手Orangeの顧客情報漏えい

ベルギー通信大手のOrangeが15000人の顧客情報が漏えいを発表していました。 www.vrt.be ◆キタきつねの所感 リークは2週間前(6月初旬)であったけれども、現在発表されている情報はデータ漏えいがあったという概要だけのようです。漏えいしたデータは請求書…

シェアバイク(Bycyklen )システムへの攻撃

コペンハーゲンのシェアバイクネットワークがハッカーに襲われ、公共交通(バイク利用)1860台が5/4-5/5まで止まってしまったようです。 www.bleepingcomputer.com Bycyklen said on Facebook that fixing the problem required a manual update of all bike…

AWS設定ミスで5万人のホンダ顧客情報が公開状態

またAWS設定ミスが発見されていました。ホンダのインド法人が影響を受けたようです。 gigazine.net 閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセ…

大学もビジネスメール詐欺に要注意

米国ワシントン州カークランドにある、Northwest Universityがビジネスメール詐欺の被害を受けたとKIRO7が報じていました。 www.kiro7.com KIRO 7 has uncovered documents detailing the Kirkland Police Department's ongoing investigation into how a su…

Jaguar Land Roverの従業員情報漏えい

Jaguar Land Roverの英国工場(Solihull)から従業員の個人情報が漏えいした事件がHuffingtonpostに掲載されていました。 www.huffingtonpost.co.uk An apparent data breach at Jaguar Land Rover’s West Midlands factory has disclosed the personal info…

日本でも公共団体はランサムに気をつけるべき

カナダの5大湖沿いのワサーガ・ビーチ市がランサムウェアに襲われ、ランサム(身代金)を支払ったようです。 www.simcoe.com Municipal officials say they’ve paid off part of the ransom and received the decryption code to begin unlocking the first …

アフラックの個人情報漏えい

アフラックの代理店のメールアカウント経由で顧客の個人情報が漏えいしたようです。 www.wxyz.com 記事を見ると、5/25にアフラックとCAIC(Continental American Insurance Company)がリリースを出したとあるのですが、原文は探しきれませんでした。2018年1…

Panera Breadが脆弱性を8ヶ月放置した結果

ITmediaの4月4日記事に、米国やカナダで2100店舗以上を展開するベーカリーチェーンのPanera Breadからの個人情報漏えいが取り上げられていました。 www.itmedia.co.jp ■公式発表 現在サイトを閉鎖している様で公式情報が見当たりませんでした。 事件の状況 …

オービッツはサードパーティ経由で情報漏えい

Expedia傘下の旅行予約サイトのオービッツがハッキングを受け、最大88万件の決済データが漏えいした可能性があると発表しました。 www.travelvoice.jp ■公式発表 INFORMATION ABOUT ORBITZ DATA SECURITY INCIDENT 事件の状況 旧ウェブサイトがハッキング被…