Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

海外事件

世界的企業(Norsk Hydro)もランサム攻撃を受ける

大規模なランサム被害を受けたのは世界的な企業でした。 www.technologyreview.jp ノルウェーのアルミニウム生産企業であるハイドロ(Hydro)は、「広範な」サイバー攻撃の影響で、ほぼすべてのITシステムが停止していることを明らかにした。攻撃は3月18日夜…

ハードディスクが盗聴ツールへ

将来の懸念で、SSDへの切替が早くすすむかも知れない、気になる記事が出ていました。 www.theregister.co.uk 耳があるのは壁だけではありません。それはまたハードドライブです。 米国のミシガン大学と中国の浙江大学のEggheadsは、悪意のあるファームウェア…

セレブゲート事件

2014年のセレブゲート事件に関する記事が出ていました。5件目の判決を受けたのは元高校教師です。 www.engadget.com 「celebgate」フォトリークが今では歳かもしれないが、それは、アカウントのハイジャックのための堅い罰をdolingから裁判所が停止されてい…

マリオットホテルの事件の4Qコストは31億円

昨年12月に5億件の個人情報のハッキング被害を受けたマリオットホテルチェーンの、4Qにおけるコストが28百万ドル(31億円)に達する事が報じられていました。 www.phocuswire.com Marriott Internationalは、昨年11月に明らかにしたデータ侵害により、2018…

メルボルンの心臓クリニックへのサイバー攻撃

日本ではあまり病院のセクターが襲われた事例を聞きませんが、オーストラリアでランサム事件が出た様です。 www.theguardian.com ハッカーは、メルボルンの心臓専門クリニックで身代金の請求が行われたと伝えられている患者のファイルを「スクランブル」しま…

MongoDB(NonSQLデータベース)のセキュリティ設定

デリーの市民データが漏洩との記事が出ていました。最大で約45.8万件のデータが漏洩した可能性があるとの事です。 securitydiscovery.com 2019年2月19日に、パスワードを必要としないMongoDBを発見しました。このデータベースはインドの地域にあり、他のデー…

教育機関へのサイバー攻撃

米国での調査レポート記事が出ていました。Cybersecurity Resource Centerのレポートでは、去年は少なくても全米で122のセキュリティインシデントが学校で発生した様です。 k12cybersecure.com レポートの中に、インシデントの種類の表があったので引用して…

政府機関への攻撃

オーストラリア議会のコンピュータネットワークがサイバー攻撃を受けたようです。 jp.reuters.com 豪当局は、豪議会のコンピューターネットワークを狙ったサイバー攻撃について捜査を進めている。トニー・スミス下院議長とスコット・ライアン上院議長が8日…

オランダDPAの2018年データ侵害統計レポート

オランダのDPAがGDPRに関わるレポートを出していました。 www.huntonprivacyblog.com 2019年1月29日、オランダのデータ保護当局(Autoriteit Persoonsgegevens、「オランダのDPA」)が報告を発表しました。(オランダ語)2018年に受信した個人情報侵害の通知…

マラ工科大学の個人情報漏洩事件

マレーシアのマラ工科大学の100万件以上の学生(卒業生)の個人情報がオンラインにリークされた様です。 www.lowyat.net 2000年から2018年の間にTeknologi Mara大学(UiTM)でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンライ…

クラウドは狙われている

日本においてあまりインシデント事例が無いのがヘルスケア分野です。要注意かなと思う海外記事が出ていましたので取り上げてみます。securityboulevard.com 患者の機密情報は通常、電子メール、ファイル、プリントサーバー、ドキュメントライブラリ(SharePo…

カナダのパーキングシステムのデータ侵害

サードパーティのソフトウェアが大規模データ侵害を起こすケースは日本でも海外でも同じかも知れません。 nationalpost.com NB、セントジョン州の6,000人もの人々が個人情報を公開されている可能性があるとアナリストグループは述べた。システム。 同市は、C…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

Twitterは異常検知の役割も果たす

誰でも音楽を売る事ができるBeatStarsへの不正アクセスにより、危なく全てのファイルを削除されそうになっていたとZDNetが報じてました。 www.zdnet.com BeatStars, a marketplace for selling music production beats, has disclosed a security breach tod…

SamSamは標的型攻撃であった

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。 www.itmedia.co.jp 米国などの病院や公共機関でランサムウェア(身代金要求型マルウェア)感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを…

マリオット・インターナショナルが5億件の顧客情報流出

高級ホテルチェーンを数多く抱えるマリオット・インターナショナルが傘下のスターウッド・ホテルズのDBがハッキングを受け約5億件の顧客データを漏洩した可能性があると発表しました。2018年を象徴する漏洩事件となりそうです。 jp.reuters.com ホテル世界最…

ビジネスコンタクトのadaptの情報漏えい

Have I Been Pwnedにまた新たな漏洩データが掲載されていました。インドのビジネスコンタクトのデータベース提供会社であるadaptから936万件のデータが漏洩したようです。 ◆キタきつねの所感 2018年11月にセキュリティ研究者(Cyber Risk Research社)のBob …

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

不正なJavaScriptがECサイトに仕掛けられる可能性

英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。 www.itgovernance.co.uk ■公式発表 Customer data theft(Vision Direct) What data has been affected? The personal and financial detai…

マレーシアのTV局が7億円のランサム要求

マレーシアの主要メディアであるMedia Primaがランサム攻撃を受け1000ビットコインを要求されたようです。 www.theedgemarkets.com “The whole Media Prima group’s computer systems have been breached and infected with ransomware over the last four d…

米HSBCのデータ漏洩事件

何故か記事を書いている時点(11/10)で日本のメディアに関連記事がありませんが、米国のHSBC(香港上海銀行)がデータ侵害を受けて顧客情報を漏えいしたようです。 www.bbc.com The lender said that the perpetrators may have accessed information includ…

Arik AirもAmazon S3を設定ミス

ナイジェリアの主要航空会社、Arik AirのAWS上のデータを意図せず漏洩させていたと報じられていました。 www.premiumtimesng.com According to Mr Paine, the leaky bucket was discovered on September 6 and in total, he found 994 CSV files, some of wh…

キャセイパシフィックの個人情報漏えい

キャセイパシフィック航空が不正アクセスを受け最大940万件の顧客個人情報が漏洩した可能性があると発表しました。 japan.cnet.com ■公式発表 Inside Information Data Breach Cathay Pacific announces data security event affecting passenger data アク…

Equifaxのインサイダー取引事件の判決

Equifax程の影響力のある会社の従業員は事故が発生した際には顧客ではなく、自分の事しか考えない、そう言われても仕方が無い判決が出ていました。 uk.businessinsider.com Sudhakar Reddy Bonthu, who worked as a software product development manager fo…

米軍にもランサム

米国インディアナ陸軍州兵の軍事関係ではないサーバがランサム攻撃を受け、市民と軍隊関係者の個人情報が影響を受けたと発表されました。 www.wthr.com A state computer server with information about Indiana National Guard personnel was hit by a rans…

ランサムとバックアップ

ランサムは今やどこにでもある。米国コネチカット州の市庁舎がランサムの被害にあったようです。 www.nbcconnecticut.com West Haven City Hall was the victim of a cyberattack early Tuesday morning that cost the city thousands of dollars, according…

Facepunchの会員データ漏洩

Troy Hunt氏の「Have I Been Pwned」はセキュリティ関連の方であれば、毎月聞くようなサイトかと思います。こちらのサイトで新たに10/17に漏洩データとして登録されたのが英国のゲーム開発会社Facpunchでした。約40万件のユーザ情報が漏洩したとの事。 news.…

米国防総省はまた狙われた

10/12に米国防総省(ペンタゴン)がサイバー攻撃の被害を再び受けた事を発表したようです。 phys.org ◆キタきつねの所感 日本語の記事も出ていました。こちらの方が見やすいかも知れません。 jp.sputniknews.com 同省のジョゼフ・ブッチーノ報道官は12日、…

米中の空中戦は日本も被害者かもしれない

トランプ大統領が中国に強硬なのは日中関係改善に有利である。そんな話題も出てくる米中の貿易戦争ですが、その背景事情としてトランプ大統領が指摘している米国の知財権侵害の1つである、チップ埋め込みが本当だとすると、日本も対岸の火事ではすまないか…

サイバー対策不備で24億円の罰金

セキュリティ対策不足への罰金は、GDPRが施行されてからどんどん増額されていますが、善管注意義務的な内容で言えば、英流通の大手テスコに課された額は、今後事件を起こした企業へのベンチマークとなる罰金額となるかも知れません。 headlines.yahoo.co.jp …