Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

考えてみた。

漏えい件数が公開されないのは何故か?

Scan Netsecurityに舞台公演の企画や映画製作を手がけるCLIEのカード情報漏えい記事が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによるお客様情報流出に関するお知らせとお詫び 事件の状況 旧ウェブサイトが第三者からの不正アクセスを…

森永乳業は説明責任を果たしてないのではないか?

6月4日に森永乳業がフォレンジック調査結果を受けて記者会見をしたようです。 mainichi.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ 不正被害が発生しているのが残念なところ。(森永乳業の対応が遅れた…

森永乳業の情報漏えい事件を考えてみた。

森永乳業が5/9に健康通販サイトからクレジットカード情報を漏えいした可能性があると発表しました。 tech.nikkeibp.co.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社 事件の状況 2…

ポルシェの不正アクセス最終報告

ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。 www.porsche.co.jp ■公式発表 不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9) 不正アクセスによるお客様情報の流出に関す…

熊本県サイト個人情報流出事件を考えてみた。

熊本日日新聞3月20日記事に、熊本県の情報サイト「気になる!くまもと」の不正アクセス事件が載っていました。 this.kiji.is ■公式発表 熊本県メールマガジン「気になる!くまもと」のウェブサイトへの不正アクセスに関するご報告 / 熊本県 事件の状況 熊本…

IPAの個人情報漏えい発表は実は試験問題にするため!?

ITパスポート試験のサイトで2つの団体申込者が同時にCSVファイルリクエストをかけたところ、二つの団体の情報が合わさった情報がそれぞれのファイルに落ちるという、あまり最近では聞いた事がない個人情報漏えいの発表がIPAから3月13日にありました。 tech.…

産総研のネット遮断1ヶ月から見えてくること

読売新聞の3月15日記事に産総研の不正アクセス事件についての続報がありました。 www.yomiuri.co.jp 産業技術総合研究所(産総研)が不正アクセスを受けた事件は2月13日に公式リリースが出されています。読売新聞の記事を受けて、改めて産総研のHPを確認して…

病院向けサイバー保険が企業意識に与える影響

日刊工業新聞の2月21日記事に、4月から損保ジャパン日本興和が医療機関向けにサイバー保険を発売する内容が掲載されていました。 www.nikkan.co.jp 損保ジャパン日本興亜は4月に医療機関向けサイバー保険を発売する。病院がサイバー攻撃を受けたことで発生…

東芝のメール情報流出は何故100人分だったのか?

東芝が自社グループのメールサーバに不正アクセスを受け、従業員のメールデータが不正に閲覧された可能性がある事を2月28日に発表しました。 tech.nikkeibp.co.jp ■公式発表 東芝:プレスリリース (2018-02-28):当社グループのメールサーバへの不正アクセス…

サプライチェーン攻撃をいかに防ぐか

日経新聞の2月11日記事にサプライチェーン攻撃が取り上げられていました。 www.nikkei.com サプライチェーン攻撃と聞くと、私がまず真っ先に思い浮かべるのが、Targetと、日本年金機構の事件です。Targetはベンダーネットワークへの空調会社のクレデンシャル…

AIによるサイバー攻撃は防げるのか?

産経ニュースの2月14日記事に、AIを活用したサイバー攻撃の記事がありました。 www.sankei.com ジャーコフ氏は、中露がAIの使用で攻撃を強化できる点について「睡眠を取る必要がないので攻撃の効率が大幅に上がる」と分析した。AIが大量のデータを基に自…

サイバー攻撃はロシアンルーレット?

改正割賦販売法の施行が6月1日に迫る中、3月末の実行計画の期限に向けて多くのカード会社、EC加盟店がクレジットカード情報非保持またはPCIDSS準拠に向けて取り組んでいます。 itpro.nikkeibp.co.jp この(非保持or準拠状況)答え合わせは、3月末のガイド…

GMOペパボのクレジットカード情報漏えい事件について考えてみた。

1月26日、GMOペパボが運営する「カラーミーショップ」が不正アクセスを受けネットショップオーナーおよび購入者の個人情報が漏えいした件を発表しました。この件について考えてみます。 インシデントタイムライン 日時 出来事 2018年1月7日 サーバの異常検知…

幻冬舎の不正アクセスを考えてみた。

1月15日に幻冬舎が不正アクセスにより会員情報9.3万件が流出したおそれがあると発表しました。この件について考えてみました。 ■公式発表 不正アクセスによる会員情報の流出に関するご報告とお詫び | 株式会社 幻冬舎 インシデントタイムライン 日時 出来事 …

米国新流出法(案) ー Equifaxのケースで166億円の罰金になる。

現在アメリカで新しいデータ漏えい時の法律制定の動きがあり、クレジットエージェンシー(CRAs)に対し厳格な責任罰金(Liability penalties)が検討されていると1月11日のInfosecurityの記事がありました。 www.infosecurity-magazine.com 検討中の案 Data Bre…

東京五輪で狙われそうな脆弱点を少し考えてみた。

平昌冬季五輪に対するマカフィーの発表がAFPの1月7日記事に載っていましたので、つぶやいてみます。 www.afpbb.com ハッカーはウイルスメールを使ってパスワードやお金に関する情報を盗もうとしていると報告している。 報告書の中では平昌五輪に関わる複数の…

SAMURAI&J PARTNERS(UML教育研究所)の不正アクセス事件を考えてみた。

ソフトウェア開発を行うSAMURAI&J PARTNERSのWEBサーバが不正アクセスを受け個人情報31件を流出したと共に、「@sajp.co.jp」ドメインが不正利用され、迷惑メールが大量に送信された可能性がある事を発表しました。この件について考えてみます。 www.sajp.co.…

日本がセキュリティ人材のハンティング競争に負ける時代

SankeiBizの2017年12月29日の記事にインドのサイバー人材の需要拡大している件が載ってましたので、少し考えてみました。 www.sankeibiz.jp インドでは多くのITベンチャーが育っているだけでなく、IT立国として国を挙げてエンジニア・プログラマの教育に力を…

オリンピックの偽アクセスポイント

総務省のサイバーセキュリティタスクフォース、「公衆無線LANセキュリティ分科会」が第3回目の会合を12月27日に行っており、資料3-1 「公衆無線LANセキュリティ分科会」論点整理の資料に過去のオリンピックにおける無線LANセキュリティの問題がよく整理され…

持ち物認証を考えさせられた。

2017年11月24日のengadgetさんの記事に詳しいレポートが書いてあり、興味をそそられた商品が、Diper IDという技術です。日本のグローブブランドであるEVOLGとDiper IDが共同開発した技術のようですが、寒い冬に手袋を外すことなくTouch IDの指紋認証を行える…

ヤマケイオンラインの不正アクセス事件

12月11日(続報12月19日)に山と溪谷社が「ヤマケイオンライン」の会員情報が漏えいした可能性があると発表しました。この件について少しつぶやいてみます。 www.yamakei.co.jp ■公式発表 「ヤマケイオンライン」会員情報流出の疑いに関するご報告 「ヤマケ…

アニメイトの不正ポイント利用事件について考えてみた。

アニメイトで従業員が不正に客のポイントを使って解雇された件が、12/8のスポニチ記事に出ていましたので、つぶやいてみます。 www.sponichi.co.jp 公式発表 ポイントの不正使用についてのお詫び この度、アニメイト従業員により、お客様のポイントを無断で…

大阪大学への不正アクセス事件を考えてみた。

2017年12月14日に大阪大学が不正アクセスにより個人情報を漏えいしたおそれがある件を発表しました。この件について、まとめてみよう・・・と思ったのですが、既にpiyoさんが(久々に)記事を書かれていましたので、私はまとめ・・ないでで考えてみます。 d.…

環境省が12時間代表電話を使えなかった件を考えてみる。

TBSの12月7日のニュースで、環境省の電話が半日止まった件がありましたので、少し考えてみました。 news.tbs.co.jp 東京・霞が関の環境省で、7日未明から電話がおよそ12時間にわたって不通となるトラブルがありました。 午前2時ごろ、職員が電話を使用し…

新幹線への防犯カメラ導入を考えてみた。

ITMediaの12月6日記事に、東海道・山陽新幹線で防犯カメラを増設する記事が掲載されていました。現在はデッキ部分に防犯カメラが導入されていますが、2018年3月完了予定だったカメラ設置を前倒しし、9割の社用で12月14日には、客室側にも防犯カメラを設置が…

セキュリティ人材の離職を防ぐためには

日経新聞の2017/11/23に「供給不足の米セキュリティ人材、離職率も高かった」という記事があった。日本でも対外の火事という訳でもないので、少し考えてみた。 www.nikkei.com 調査は8~9月に約300人のセキュリティー専門人材を対象に実施した。この分野の…

内部犯行による不正アクセス

神戸新聞社の11月17日記事を見て考えてみたのですが、この手の内部犯行が発表されたのはかなりレアな気がします。 www.47news.jp 記事を調べている11/20時点ではグローリー社もリリースを出していないようです。 普通は何かしらのコメントが出ているものです…

日産自動車の無資格検査問題ついて改めて考えてみた。

SankeiBizのの11月16日の記事を見て、日産の無資格検査問題でISO認定が取り消されて(正確には範囲縮小)いた件が気になりました。 www.sankeibiz.jp この記事を見てまず気になったのが、誰がISO審査をしたのか?という点です。書類審査ベースで審査が進むケ…

日立のWannaCry被害を改めて考えてみた。

ITproの11月21日の記事に、日立のWannaCry対応の件が掲載されていました。この内容を含め日立のWannaCry被害を改めて考えてみます。 インシデントタイムライン 日時 出来事 2017年5月12日深夜~ ドイツのグループ会社の事業所にある電子顕微鏡の操作装置が「…

パスワード管理を少し考えてみた。

朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。 www.asahi.com 事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆる…