Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

考えてみた。

老人ホームへのランサム攻撃

ランサムは老人ホームまで・・・とこのニュースを聞いて思ったのですが、身代金を払う動機になりやすい『生命』を預かる施設としては、病院同じですので、ハッカーに狙われるのは当然なのかも知れません。 coinchoice.net 暗号資産(仮想通貨)に対する犯罪…

プロフェッショナルの条件

RIZAPの記事を書いている時に、この記事を見つけました。元RIZAPのCSO/CIOの岡田氏の逆行動規範は、非常に良い事が書かれていて、とても参考になりました。 tech.nikkeibp.co.jp 逆行動規範を作った 顧客企業の優れたブレーンになるため、どんな方針で仕事に…

ハッカーへの対抗策は侵入テスト・DevOps・バグ報奨金

興味深い記事でした。脆弱点を先に潰す事でハッカーの攻撃コストは増加する、当たり前な事ではありますが、その有効性は高い様です。 www.darkreading.com ■元レポート Trust by Design: Synack 2019 Trust Report ◆キタきつねの所感 記事が引用しているセキ…

このパスワードはある意味最強です

パスワード2.0なるレポートを書いておりますが、その目線で見てもこのパスワード生成法は人が考え付くものの中では非常に強固なパスワードが生成できると思いました。 www.toddlerpassword.com マックスは1.5歳で、両親のラップトップでキーボードをランダム…

見せないセキュリティが重要

直久・・・ここのラーメンは食べた事があるだけに、残念なカード情報漏えい発表でした。 www2.uccard.co.jp ■公式発表 弊社ネットショップに使用するアプリケーションサービス「Allin1 Office」が運用するサーバーへ䛾不正アクセス発生について䛾ご報告とお…

スタバは2要素が間に合わなかった

スターバックスの会員サービス「My Starbucks」への不正アクセスにより、18万円の被害が出ている事が報じらていました。 www.nikkei.com ■公式発表 My Starbucks不正ログイン防止のため、パスワードを変更してください スターバックスコーヒージャパンは25日…

変なホテルはバグ報告を無視して火傷した

H.I.S.が運営するロボット接客が斬新な「変なホテル舞浜」でIoT機器のハッキング懸念問題が報じられていました。 www.itmedia.co.jp ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル…

着物レンタルのオリフリもEC-CUBE

カード情報漏洩が必ずしも発表されていた訳ではないので、気づくのが遅れましたが、9月に着物レンタルのオリフリがWebページを改ざんされ、フィッシングページに誘導される攻撃を受けた様です。 www.security-next.com ■公式発表 フィッシング詐欺の注意喚起…

PCI DSS v4がやってくる

PCI DSSv4は来年年度末あたりにリリース予定ですが、新仕様についての情報が一部出てきています。 blog.pcisecuritystandards.org ◆キタきつねの所感 PCI DSSなんて一部の人が準拠している規格ではないか?と(=あまり関係が無いと)思われる方は多いかと思…

Amazonのやらせレビュー工場

偶然のリアルタイムで見ていたクローズアップ現代ですが、NHKらしさが出ていて引き込まれました。 www.nhk.or.jp ◆キタきつねの所感 前々からAmazonレビューについては、懐疑的な目で見ていましたが、番組の中で日本人の特性に基づく「攻撃」である事が良く…

顔認証キャッシュレスは普及するか

顔認証キャッシュレスの普及・・・その波が近づいている様です。 diamond.jp そんな中国で次世代決済として始まっているのが顔認証決済だ。顔認証技術は、監視カメラやATMなどで実用化はされていたが、決済での実用化は世界で初めて。2017年秋に中国杭州…

令和初の3億円事件

セキュリティの世界では内部からの攻撃(内部犯行)は、件数は少ないけれども成功すると被害額が大きいと言われますが、令和の3.6億円事件はそのリスクをまざまざと見せつけたと言えるかも知れません。 www.fnn.jp ◆キタきつねの所感 FNNの記事で実に良い外…

Demantのランサム被害は102億円

補聴器メーカーのDemantが9月初旬にサイバー攻撃を受けた損失は、最大で6億5000万クローネ(約102億円)になると予想されている様です。 www.grahamcluley.com ■公式発表 Demant A/S - press release: Update on IT infrastructure incident(9/3) Demant A…

Naturas Psychos ProductもEC-CUBE

9月17日に、アロマオイル・エッセンシャルオイル通販のNaturas Psychos Productからカード情報漏洩が発表されていました。 www.security-next.com ■公式発表 弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びと…

JTAS StoreもEC-CUBE

日本関税協会のオンラインショップ「JTAS Store」からのカード情報漏洩が発表されていました。 ※仮記事からの更新です。 www.security-next.com ■公式発表 弊会が運営する「JTAS Store」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知…

危険なパスワードは7割変更されない

Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。 japan.zdnet.com 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し、新たに…

ECサイトは狙われ続けている

2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。 www2.uccard.co.jp ■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる…

富士通やNTTデータ経由の攻撃があるかもしれない

この記事の影響は日本企業にも大きいかも知れません。日本を代表するハイテク企業、富士通やNTTデータがAPT10によるハッキング被害を受けていたとロイターが報じていました。 jp.reuters.com 中国政府とつながりのあるハッカー集団「APT10」が「クラウ…

PayPayの逮捕事例

大きなインセンティブが動く時には、攻撃側が敏感に狙うのは「金銭」に近いモノであり、そこのセキュリティが甘いと大きな被害を受ける可能性がある、この記事はそれを裏付けるかと思います。 www.nikkei.com 他人のクレジットカード情報を悪用し、スマート…

コジマへの不正アクセス

少し前の記事ですが、コジマネットのECサイトへの不正アクセス事件を取り上げてみたいと思います。 www.kojima.net ■公式発表 当社インターネットショッピングサイトでの不正アクセスについて ◆キタきつねの所感 先にヤマダ電機の事件を記事にしてしまったの…

座布団対策

警備の方は難しい事まで想定しなければいけなくなっているのだと、改めてこの記事をみて思いました。 mainichi.jp 警視庁が最も頭を悩ませるのは、26日の大相撲観戦の警護だ。両国国技館は2階に貴賓席があるが、トランプ氏が優勝力士を表彰することもあり、…

GDPRは欧州企業ですら間に合ってなかった

GDPRは欧州の企業にとっても想定外の工数がかかっていた様で、カリフォルニア州消費者プライバシー法(CCPA)への対応の難しさに対して警鐘を鳴らす記事が気になりました。 www.helpnetsecurity.comDPR GDPRの遵守を達成するための通知が2年与えられたとして…

アンとケイトの「お詫びとお知らせ」を深読みしてみた

ネットリサーチサービス「アンとケイト」から約77万件の個人情報が漏洩したと報道されていました。 scan.netsecurity.ne.jp 株式会社マーケティングアプリケーションズは5月22日、同社が提供するアンケートモニターサービス「アンとケイト」に係るサーバーに…

オフィス365利用はリスク対策が重要

この記事を読んでいて、オフィス365利用を少し怖いと感じました。 securityboulevard.com サイバー犯罪者がMicrosoftのサービスや製品を何十年もの間標的にしてきたことは否めませんが、企業のデータがファイアウォールの外側に広がっていることから、Office…

お茶の水女子大のセキュリティを考える②

セキュリティは見かけ上だけで『万全』であるかは分からないと、悠仁様の通われている付属中への不正侵入事件の続報を見ていて感じました。 www.nikkei.com お茶の水女子大付属中学校(東京・文京)で秋篠宮家の長男、悠仁さまの机に刃物が置かれていた事件…

テスラの社内メール漏えいを考える

テスラが困っている姿は日本企業の明日の姿であるかもしれません。 www.cnbc.com Teslaのセキュリティチームは今週従業員に会社情報の漏洩を止めるよう警告を送った。 CNBCと共有され、匿名を要求した複数の現在の従業員と確認されたこの電子メールは、「私…

お茶の水女子大のセキュリティを考える

平成最後の記事は、お茶の水女子大学付属中学校のセキュリティを取り上げたいと思います。 www.tokyo-np.co.jp 秋篠宮家の長男悠仁(ひさひと)さまが通うお茶の水女子大付属中(東京都文京区)で、悠仁さまの机付近に果物ナイフのような刃物二本が置かれて…

本味主義のカード情報漏えい事件を考える

中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。 www.security-next.com 同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性…

カメラ画像のAI分析は禁止?

個人情報保護は世の流れとは言え、個人が特定できない情報まで管理対象が拡大していくと、色々な面で混乱が出てくるかも知れません。 www.security-next.com タクシーの配車アプリを提供しているJapanTaxiは、個人情報保護委員会より指導を受けたことを明ら…

クレジット決済には一定以上のセキュリティが必要

侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。 www.security-next.com 同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテ…