Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

海外事件

Facebookがトルコで27万ドルの罰金

久しぶりにGDPRの記事を目にしました(見つけました)。 www.dailysabah.com トルコのPersonal Data Protection Authority(KVKK)は、データ侵害と当局への問題の報告の失敗に関して、ソーシャルメディアプラットフォームFacebookに対して1,650,000のトルコ…

BECはついに宗教にも

企業の経営者、学校・・・ビジネスメール詐欺(BEC)は宗教関係にもその魔手を伸ばしてきた様です。www.wkyc.com オハイオ州ブランズウィック - ブランズウィックのセントアンブローズカトリック教区の指導者たちは、改装のために指定された教会からハッカー…

木造建築での喫煙

ヒヤリハットは正しいのかなと思わせるAFPの記事でした。 www.afpbb.com 大火災に見舞われたフランス・パリのノートルダム大聖堂(Notre Dame Cathedral)で、火災発生前から行われていた建物の改修に当たっていた作業員らが、同大聖堂での禁煙規則を厳守し…

高い大学の授業料

大学はセキュリティ対策を怠る事のリスクをもっと真剣に考えるべきかも知れません。 www.seattletimes.com ワシントン州立大学は、 2017年に100万人以上の個人情報を格納したハードドライブがセルフストレージロッカーから盗まれた後、費用のかかる教訓を学…

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。 www.zdnet.com Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出…

シトリックスへのパスワードスプレー攻撃

米国のCitrix社へのサイバー攻撃が記事に出ていました。 www.sbbit.jp 公式発表 Citrix investigating unauthorized access to internal network | Citrix Blogs Citrixがサイバー攻撃を受けたことはFBIから告知を受けたと、Black氏は次のように説明していま…

サプライチェーン攻撃は海外拠点も考慮する必要がある

サプライチェーン攻撃の一種と言えるのかも知れません。ロイターがHOYAの海外工場が攻撃された件を報じていました。 jp.reuters.com 光学機器大手HOYAのタイにある工場のシステムが2月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害…

ホワイトハッカーなのだろうか?

私にはホワイトハッカーの業務範疇とは思えないのですが、将来有望なハッカーである事は間違いなく、他国への流出を恐れた刑罰なのかも知れません。 www.theverge.com 24歳のセキュリティ研究者は、Microsoftと任天堂のサーバにハッキングし、機密情報を盗む…

Houzzのデータ漏洩

建築、インテリアデザインなどのウェブサイト及びコミュニティを形成しているHouzzが2月に第三者からの不正アクセスを受け、データ漏洩した個人情報は、49百万人分にも及ぶ事がHave I Been Pwnedサイト(Troy Hunt氏)によって報じられていました。 threatpo…

顔画像の流出がもたらす影響

生体情報の漏洩事件でこれだけ大規模な規模で発生したのは初めて聞きます。 media.dglab.com 【東方新報】中国で最近、AIを活用した防犯サービスの企業で大規模なデータ流出事件が発生したと報道されている。流出した250万人分超の情報と、流出の疑いがある6…

世界的企業(Norsk Hydro)もランサム攻撃を受ける

大規模なランサム被害を受けたのは世界的な企業でした。 www.technologyreview.jp ノルウェーのアルミニウム生産企業であるハイドロ(Hydro)は、「広範な」サイバー攻撃の影響で、ほぼすべてのITシステムが停止していることを明らかにした。攻撃は3月18日夜…

ハードディスクが盗聴ツールへ

将来の懸念で、SSDへの切替が早くすすむかも知れない、気になる記事が出ていました。 www.theregister.co.uk 耳があるのは壁だけではありません。それはまたハードドライブです。 米国のミシガン大学と中国の浙江大学のEggheadsは、悪意のあるファームウェア…

セレブゲート事件

2014年のセレブゲート事件に関する記事が出ていました。5件目の判決を受けたのは元高校教師です。 www.engadget.com 「celebgate」フォトリークが今では歳かもしれないが、それは、アカウントのハイジャックのための堅い罰をdolingから裁判所が停止されてい…

マリオットホテルの事件の4Qコストは31億円

昨年12月に5億件の個人情報のハッキング被害を受けたマリオットホテルチェーンの、4Qにおけるコストが28百万ドル(31億円)に達する事が報じられていました。 www.phocuswire.com Marriott Internationalは、昨年11月に明らかにしたデータ侵害により、2018…

メルボルンの心臓クリニックへのサイバー攻撃

日本ではあまり病院のセクターが襲われた事例を聞きませんが、オーストラリアでランサム事件が出た様です。 www.theguardian.com ハッカーは、メルボルンの心臓専門クリニックで身代金の請求が行われたと伝えられている患者のファイルを「スクランブル」しま…

MongoDB(NonSQLデータベース)のセキュリティ設定

デリーの市民データが漏洩との記事が出ていました。最大で約45.8万件のデータが漏洩した可能性があるとの事です。 securitydiscovery.com 2019年2月19日に、パスワードを必要としないMongoDBを発見しました。このデータベースはインドの地域にあり、他のデー…

教育機関へのサイバー攻撃

米国での調査レポート記事が出ていました。Cybersecurity Resource Centerのレポートでは、去年は少なくても全米で122のセキュリティインシデントが学校で発生した様です。 k12cybersecure.com レポートの中に、インシデントの種類の表があったので引用して…

政府機関への攻撃

オーストラリア議会のコンピュータネットワークがサイバー攻撃を受けたようです。 jp.reuters.com 豪当局は、豪議会のコンピューターネットワークを狙ったサイバー攻撃について捜査を進めている。トニー・スミス下院議長とスコット・ライアン上院議長が8日…

オランダDPAの2018年データ侵害統計レポート

オランダのDPAがGDPRに関わるレポートを出していました。 www.huntonprivacyblog.com 2019年1月29日、オランダのデータ保護当局(Autoriteit Persoonsgegevens、「オランダのDPA」)が報告を発表しました。(オランダ語)2018年に受信した個人情報侵害の通知…

マラ工科大学の個人情報漏洩事件

マレーシアのマラ工科大学の100万件以上の学生(卒業生)の個人情報がオンラインにリークされた様です。 www.lowyat.net 2000年から2018年の間にTeknologi Mara大学(UiTM)でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンライ…

クラウドは狙われている

日本においてあまりインシデント事例が無いのがヘルスケア分野です。要注意かなと思う海外記事が出ていましたので取り上げてみます。securityboulevard.com 患者の機密情報は通常、電子メール、ファイル、プリントサーバー、ドキュメントライブラリ(SharePo…

カナダのパーキングシステムのデータ侵害

サードパーティのソフトウェアが大規模データ侵害を起こすケースは日本でも海外でも同じかも知れません。 nationalpost.com NB、セントジョン州の6,000人もの人々が個人情報を公開されている可能性があるとアナリストグループは述べた。システム。 同市は、C…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

Twitterは異常検知の役割も果たす

誰でも音楽を売る事ができるBeatStarsへの不正アクセスにより、危なく全てのファイルを削除されそうになっていたとZDNetが報じてました。 www.zdnet.com BeatStars, a marketplace for selling music production beats, has disclosed a security breach tod…

SamSamは標的型攻撃であった

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。 www.itmedia.co.jp 米国などの病院や公共機関でランサムウェア(身代金要求型マルウェア)感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを…

マリオット・インターナショナルが5億件の顧客情報流出

高級ホテルチェーンを数多く抱えるマリオット・インターナショナルが傘下のスターウッド・ホテルズのDBがハッキングを受け約5億件の顧客データを漏洩した可能性があると発表しました。2018年を象徴する漏洩事件となりそうです。 jp.reuters.com ホテル世界最…

ビジネスコンタクトのadaptの情報漏えい

Have I Been Pwnedにまた新たな漏洩データが掲載されていました。インドのビジネスコンタクトのデータベース提供会社であるadaptから936万件のデータが漏洩したようです。 ◆キタきつねの所感 2018年11月にセキュリティ研究者(Cyber Risk Research社)のBob …

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

不正なJavaScriptがECサイトに仕掛けられる可能性

英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。 www.itgovernance.co.uk ■公式発表 Customer data theft(Vision Direct) What data has been affected? The personal and financial detai…

マレーシアのTV局が7億円のランサム要求

マレーシアの主要メディアであるMedia Primaがランサム攻撃を受け1000ビットコインを要求されたようです。 www.theedgemarkets.com “The whole Media Prima group’s computer systems have been breached and infected with ransomware over the last four d…