Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

海外事件

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

不正なJavaScriptがECサイトに仕掛けられる可能性

英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。 www.itgovernance.co.uk ■公式発表 Customer data theft(Vision Direct) What data has been affected? The personal and financial detai…

マレーシアのTV局が7億円のランサム要求

マレーシアの主要メディアであるMedia Primaがランサム攻撃を受け1000ビットコインを要求されたようです。 www.theedgemarkets.com “The whole Media Prima group’s computer systems have been breached and infected with ransomware over the last four d…

米HSBCのデータ漏洩事件

何故か記事を書いている時点(11/10)で日本のメディアに関連記事がありませんが、米国のHSBC(香港上海銀行)がデータ侵害を受けて顧客情報を漏えいしたようです。 www.bbc.com The lender said that the perpetrators may have accessed information includ…

Arik AirもAmazon S3を設定ミス

ナイジェリアの主要航空会社、Arik AirのAWS上のデータを意図せず漏洩させていたと報じられていました。 www.premiumtimesng.com According to Mr Paine, the leaky bucket was discovered on September 6 and in total, he found 994 CSV files, some of wh…

キャセイパシフィックの個人情報漏えい

キャセイパシフィック航空が不正アクセスを受け最大940万件の顧客個人情報が漏洩した可能性があると発表しました。 japan.cnet.com ■公式発表 Inside Information Data Breach Cathay Pacific announces data security event affecting passenger data アク…

Equifaxのインサイダー取引事件の判決

Equifax程の影響力のある会社の従業員は事故が発生した際には顧客ではなく、自分の事しか考えない、そう言われても仕方が無い判決が出ていました。 uk.businessinsider.com Sudhakar Reddy Bonthu, who worked as a software product development manager fo…

米軍にもランサム

米国インディアナ陸軍州兵の軍事関係ではないサーバがランサム攻撃を受け、市民と軍隊関係者の個人情報が影響を受けたと発表されました。 www.wthr.com A state computer server with information about Indiana National Guard personnel was hit by a rans…

ランサムとバックアップ

ランサムは今やどこにでもある。米国コネチカット州の市庁舎がランサムの被害にあったようです。 www.nbcconnecticut.com West Haven City Hall was the victim of a cyberattack early Tuesday morning that cost the city thousands of dollars, according…

Facepunchの会員データ漏洩

Troy Hunt氏の「Have I Been Pwned」はセキュリティ関連の方であれば、毎月聞くようなサイトかと思います。こちらのサイトで新たに10/17に漏洩データとして登録されたのが英国のゲーム開発会社Facpunchでした。約40万件のユーザ情報が漏洩したとの事。 news.…

米国防総省はまた狙われた

10/12に米国防総省(ペンタゴン)がサイバー攻撃の被害を再び受けた事を発表したようです。 phys.org ◆キタきつねの所感 日本語の記事も出ていました。こちらの方が見やすいかも知れません。 jp.sputniknews.com 同省のジョゼフ・ブッチーノ報道官は12日、…

米中の空中戦は日本も被害者かもしれない

トランプ大統領が中国に強硬なのは日中関係改善に有利である。そんな話題も出てくる米中の貿易戦争ですが、その背景事情としてトランプ大統領が指摘している米国の知財権侵害の1つである、チップ埋め込みが本当だとすると、日本も対岸の火事ではすまないか…

サイバー対策不備で24億円の罰金

セキュリティ対策不足への罰金は、GDPRが施行されてからどんどん増額されていますが、善管注意義務的な内容で言えば、英流通の大手テスコに課された額は、今後事件を起こした企業へのベンチマークとなる罰金額となるかも知れません。 headlines.yahoo.co.jp …

ランサムは重要施設と相性が良い

当たり前の事ではあるのでしょうが、ハッカーは重要インフラだろうが関係なく襲ってきます。9/26に攻撃を受けたサンディエゴ港の攻撃は、日本でも警戒すべき事がありそうです。 jp.cointelegraph.com サンディエゴ港のシステムがランサムウェアによるサイバ…

郷に入っては郷に従え

中国人旅行客のスウェーデンでの騒乱について、日経ビジネスの記事が出ていました。 business.nikkeibp.co.jp ・中国人親子3人(“曽”姓の息子とその両親)が到着したのは、9月2日の午前0時過ぎだった。 ・同日の宿泊予約をしているので、直ちに部屋を手配す…

ウーバーは高い授業料を払う

去年のウーバーの続報記事が出ていました。 forbesjapan.com 2016年にウーバーはネットワークにハッカーの侵入を許し、世界5700万人(2500万人が米国人)の個人データが盗まれていた。それから2年が経過した9月26日、ウーバーは1億4800万ドル(約170億円)の…

シンガポール事件は不適切な設定が遠因

7月にシンガポール(SingHealth)の患者情報150万件が大規模漏洩した事件がありましたが、この続報がZDNetに載っていました。 www.zdnet.com The initial response to the security breach was "piecemeal" and "inadequate", said Solicitor-General Kwek Me…

テスラ車はセキュリティの戦場になっている

テスラ・モデルSの脆弱性がまたホワイトハッカーによって暴露されたようです。 gigazine.net ベルギーにあるルーヴァン・カトリック大学のCOSIC(コンピューターセキュリティと産業暗号)研究チームが、テスラのモデルSのキーレスエントリーシステムを数秒でハ…

脆弱なパスワードは蔓延している

西オーストラリア州政府の職員だけが、脆弱なパスワードを使っている・・・とは思えないのですが、tboの記事に気になる事実が載っていました。 www.tbo.com The legions of lazy passwords were exactly what you — or a thrilled hacker — would expect: 1,…

個人監視アプリが秘密情報を漏洩していては・・

Krebs on Securityの記事が元の様ですが、Gigazineの記事が気になりました。 gigazine.net モニタリングアプリを提供する「mSpy」が、有料顧客数百万人分のパスワード・通話記録・メッセージ・連絡先・位置情報などを流出していたことを明らかにしました。mS…

British Airwaysのカード情報流出は深刻かも知れない。

British Airwaysの情報漏えい事件、日本でも報じられていましたが、漏洩原因を考えるとかなり問題が拡大する恐れがあり、英国内を中心に色々なコメントが出てきています。 www.itmedia.co.jp ■公式発表 ◆キタきつねの所感 ウェブサイトとモバイルアプリが8/2…

エアーカナダの不正アクセス

エアーカナダのモバイルアプリが不正アクセス被害を受けた可能性があるようです。 www.itmedia.co.jp ■公式発表 Notice to Air Canada Mobile App users カナダの航空会社Air Canadaは8月28日、同社のモバイルアプリに対する異常なログインの挙動が検出され…

ソーシャルハッキングは防ぎきれないのか?

Wiredの8/17記事を読んで色々と考えさせるところがありました。 wired.jp ハッキング集団の「Fin7」は、ある推計によると少なくとも10億ドル(約1,100億円)以上[日本語版記事]を世界中の企業からかすめ取ってきた。米国だけでも3,600を超える店舗から1,50…

Cheddar Scratchの情報漏えい事件

米国東海岸を中心に展開するレストランチェーンCheddar's Scratch Kitchenがカード情報を漏えいした可能性があるとロイターが報じていました。 www.reuters.com The Olive Garden owner said its systems and networks were unaffected by the incident, as …

16歳の就職活動

Appleのサーバがオーストラリアの16歳ハッカーにハッキングを受けていたようです。 www.itmedia.co.jp オーストラリアのメルボルンに住む16歳の少年がAppleのサーバをハッキングし、顧客情報と、90GB以上もの秘密ファイルをダウンロードしていたことで逮捕さ…

悪玉ドローンor悪玉大統領?

ドローンを使った暗殺未遂事件、心配されていたドローンを使ったテロというのも現実性を帯びてきたのかも・・・と当初は思ったのですが、違った展開を見せ始めています。 mainichi.jp 政権側の発表によると、容疑者のうち1人は、兵士2人が死亡した2017…

PGAもBitPaymer被害を受ける

松山英樹選手の情報も、もしかしたら・・・という事件がAFPの記事に出ていました。日本ではAFP記事の翻訳位しか出ていませんが、米国ではもう少し多くの記事が出ています。PGA(全米プロゴルフ協会)のコンピュータ・サーバが不正アクセス(ランサム攻撃)を…

SMSの2要素認証は脆弱なのか?

米国大手のソーシャルニュースサイトRedditが不正アクセスを受け、顧客の情報を漏えいしていたと発表しました。japan.zdnet.com ■公式発表 We had a security incident. Here's what you need to know. Redditは、システムが侵入を受け、ユーザーデータに不…

ランサム対策にはタイプライター

アラスカ行政区画ではランサムウェアの被害を受けて1週間以上システムが止まっていると報じられていました。 www.dailymail.co.uk Workers in Matanuska-Susitna found themselves cut off from technology after ransomware known as BitPaymer encrypted t…

医療機関はランサムの標的になってきている

米国の血液検査ラボ「LabCorp」がランサムウェア(SamSam)攻撃を受けて大きな被害を受けている件がFobesに出ていました。 forbesjapan.com ■公式発表 LabCorp IT Security Information SECの発表 現状で分かっているのは同社が受けた攻撃が、これまで発生し…