Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

考えてみた。

ECサイトは狙われ続けている

2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。 www2.uccard.co.jp ■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる…

富士通やNTTデータ経由の攻撃があるかもしれない

この記事の影響は日本企業にも大きいかも知れません。日本を代表するハイテク企業、富士通やNTTデータがAPT10によるハッキング被害を受けていたとロイターが報じていました。 jp.reuters.com 中国政府とつながりのあるハッカー集団「APT10」が「クラウ…

PayPayの逮捕事例

大きなインセンティブが動く時には、攻撃側が敏感に狙うのは「金銭」に近いモノであり、そこのセキュリティが甘いと大きな被害を受ける可能性がある、この記事はそれを裏付けるかと思います。 www.nikkei.com 他人のクレジットカード情報を悪用し、スマート…

コジマへの不正アクセス

少し前の記事ですが、コジマネットのECサイトへの不正アクセス事件を取り上げてみたいと思います。 www.kojima.net ■公式発表 当社インターネットショッピングサイトでの不正アクセスについて ◆キタきつねの所感 先にヤマダ電機の事件を記事にしてしまったの…

座布団対策

警備の方は難しい事まで想定しなければいけなくなっているのだと、改めてこの記事をみて思いました。 mainichi.jp 警視庁が最も頭を悩ませるのは、26日の大相撲観戦の警護だ。両国国技館は2階に貴賓席があるが、トランプ氏が優勝力士を表彰することもあり、…

GDPRは欧州企業ですら間に合ってなかった

GDPRは欧州の企業にとっても想定外の工数がかかっていた様で、カリフォルニア州消費者プライバシー法(CCPA)への対応の難しさに対して警鐘を鳴らす記事が気になりました。 www.helpnetsecurity.comDPR GDPRの遵守を達成するための通知が2年与えられたとして…

アンとケイトの「お詫びとお知らせ」を深読みしてみた

ネットリサーチサービス「アンとケイト」から約77万件の個人情報が漏洩したと報道されていました。 scan.netsecurity.ne.jp 株式会社マーケティングアプリケーションズは5月22日、同社が提供するアンケートモニターサービス「アンとケイト」に係るサーバーに…

オフィス365利用はリスク対策が重要

この記事を読んでいて、オフィス365利用を少し怖いと感じました。 securityboulevard.com サイバー犯罪者がMicrosoftのサービスや製品を何十年もの間標的にしてきたことは否めませんが、企業のデータがファイアウォールの外側に広がっていることから、Office…

お茶の水女子大のセキュリティを考える②

セキュリティは見かけ上だけで『万全』であるかは分からないと、悠仁様の通われている付属中への不正侵入事件の続報を見ていて感じました。 www.nikkei.com お茶の水女子大付属中学校(東京・文京)で秋篠宮家の長男、悠仁さまの机に刃物が置かれていた事件…

テスラの社内メール漏えいを考える

テスラが困っている姿は日本企業の明日の姿であるかもしれません。 www.cnbc.com Teslaのセキュリティチームは今週従業員に会社情報の漏洩を止めるよう警告を送った。 CNBCと共有され、匿名を要求した複数の現在の従業員と確認されたこの電子メールは、「私…

お茶の水女子大のセキュリティを考える

平成最後の記事は、お茶の水女子大学付属中学校のセキュリティを取り上げたいと思います。 www.tokyo-np.co.jp 秋篠宮家の長男悠仁(ひさひと)さまが通うお茶の水女子大付属中(東京都文京区)で、悠仁さまの机付近に果物ナイフのような刃物二本が置かれて…

本味主義のカード情報漏えい事件を考える

中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。 www.security-next.com 同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性…

カメラ画像のAI分析は禁止?

個人情報保護は世の流れとは言え、個人が特定できない情報まで管理対象が拡大していくと、色々な面で混乱が出てくるかも知れません。 www.security-next.com タクシーの配車アプリを提供しているJapanTaxiは、個人情報保護委員会より指導を受けたことを明ら…

クレジット決済には一定以上のセキュリティが必要

侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。 www.security-next.com 同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテ…

トヨタも狙われる

トヨタの系列販売店などから310万件の個人情報が漏洩した可能性があるとトヨタが発表しました。 www.nikkei.com ■公式発表 弊社東京地区販売店における顧客情報流出の可能性に関するお知らせ 2019 年 3 月 21 日、トヨタ東京販売ホールディングス株式会社傘…

退職者のチェックが最終防衛ライン

アークレイの内部犯行事件には考えさせられるものがありました。 www.nikkei.com 男は、京都大病院などから提供を受けた患者の遺伝子検査結果を含む約2万3千件の情報を持ち出したとみられている。 送検容疑は2018年5~6月、同社が管理していた研究開発データ…

「宅ふぁいる便」のインシデント対応を考える

「宅ふぁいる便」サービスからの情報漏えい事件について、詳細調査が終わった事を受けて、大阪ガス子会社のオージス総研が記者会見を3/14開き、併せて追加リリースを出しました。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセス…

MongoDB(NonSQLデータベース)のセキュリティ設定

デリーの市民データが漏洩との記事が出ていました。最大で約45.8万件のデータが漏洩した可能性があるとの事です。 securitydiscovery.com 2019年2月19日に、パスワードを必要としないMongoDBを発見しました。このデータベースはインドの地域にあり、他のデー…

QRコードは犯罪者にも便利になっている

新型コインロッカーを悪用する手法は、海外犯罪者には一般的になりつつある様です。 www.sankei.com 訪日外国人客を装って偽造クレジットカードを所持するなどしたとして、大阪府警南署などは7日、不正電磁的記録カード所持容疑などで、いずれもマレーシア…

トヨタのパスタ

トヨタの記事がDarkreadingに出ていました。パスタとあったのでトヨタが外食に参入!と思ったら、ポータブルで拡張可能な自動車セキュリティ・テストベッドの名称が「PASTA」というオチでした。 www.darkreading.com ◆キタきつねの所感 無人運転などでセキュ…

大学が利用するクラウドサービスはパスワードだけでは守れない。

東京理科大学の個人情報漏えい事件が報じられていました。 www.security-next.com 公式発表 サイバー攻撃による個人情報等の流出について 東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわ…

ソムリエバッジの偽造事件を考えてみた

ソムリエバッジの偽造品がネットで売られていると報じられていました。 www.nikkei.com 日本ソムリエ協会(東京)が認定試験の合格者に交付するバッジがインターネットオークションに出品されていたことが4日、同協会への取材で分かった。協会が自ら落札し、…

ネットバンキング不正アクセス事件を考えてみた

ネットバンキングへの攻撃事例が日経に出ていました。ネットバンキングは不正対策が進み被害額は減少傾向にあると思っていただけに、気になる事件です。 www.nikkei.com 銀行のインターネット口座に不正アクセスし、別口座に送金された現金33万円を引き出し…

ドラックイレブンは2度調査を行う必要があった

個人情報だけ漏えいしたと思ったら・・・クレジットカードデータも漏えいしてましたという記事。最初のフォレンジック調査をした会社に専門性が無かったのかも知れませんが、何とも残念な2段階調査な気がします。 www.nikkei.com ■公式発表 不正アクセスによ…

フールディフェンスが必要なのか?

アルバイトへの教育も、アメリカ並みに電子レンジには犬を入れて乾かしてはいけない・・といったマニュアル記載が必要な様です。 www.sankei.com 外食大手ゼンショーホールディングス傘下の牛丼チェーン「すき家」は29日、関東地方の店舗でアルバイト店員…

宅ふぁいる便への不正アクセスの影響

宅ふぁいる便について、漏洩したパスワードが平文だった事、個人情報の種類が当初発表以上に広がっている事が報じられていました。 www.jiji.com 大阪ガス子会社オージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」の会員情報約480万…

宅ふぁいる便もAWSを攻められた

宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 1.漏洩したお客さま…

広告パートナーのサプライチェーン攻撃

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。 thehackernews.com 最も悪名高いハッキンググループの1つであるMagecar…

学研の広報対応

学研は子供の頃にお世話になっており、信頼できる会社というイメージがありましたが、下記の記事を読むとセキュリティへの感度は弱いのかも知れません。 www.security-next.com 学研プラスが運営する電子書籍配信サイト「Beyond Publishing」が不正アクセス…

マイナンバーは漏洩し続ける。

またマイナンバー情報の入力が不正に再委託されていた事が報じられていました。 mainichi.jp 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバーが記載されている源泉徴収…