Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

考えてみた。

学研の広報対応

学研は子供の頃にお世話になっており、信頼できる会社というイメージがありましたが、下記の記事を読むとセキュリティへの感度は弱いのかも知れません。 www.security-next.com 学研プラスが運営する電子書籍配信サイト「Beyond Publishing」が不正アクセス…

マイナンバーは漏洩し続ける。

またマイナンバー情報の入力が不正に再委託されていた事が報じられていました。 mainichi.jp 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバーが記載されている源泉徴収…

PayPayのキャンペーンの早期終了

クレジットカードの利用明細には当面注意が必要かも知れません。 news.biglobe.ne.jp スマートフォン決済サービスの「PayPay」で、見に覚えのないクレジットカード利用があったとの報告がTwitterで相次いでいる。PayPay社に確認したところ、同社から情報が流…

SamSamは標的型攻撃であった

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。 www.itmedia.co.jp 米国などの病院や公共機関でランサムウェア(身代金要求型マルウェア)感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを…

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

USPSはAPIリスクを1年放置した

日本の主要メディアの報道が無いのがとても不思議なのですが、米国郵便公社(USPS)が1年以上も脆弱性を放置して最大6000万人のユーザ情報が影響を受けた可能性があったと公表されています。 www.theinquirer.net THE UNITED STATES POSTAL SERVICE (USPS) h…

タオル専門店 伊織のカード情報漏えい事件について

地方新聞の小さな記事であり、カード情報も2145件程度ですが大きな影響がでてくるかも知れません。 www.ehime-np.co.jp ■公式発表 【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ) タオル専門店の伊織(愛媛県松山市)は24日、…

Make America Data Breach Again

米トランプ大統領の支持者は、セキュリティにも気をつけることが必要のようです。 www.afpbb.com 米国のドナルド・トランプ(Donald Trump)大統領支持者向けの出会い系アプリで、ユーザーの個人情報がリリース初日に流出する出来事があった。ITニュースサイ…

名ばかりCSIRTが問われる時代

気になるデータがSophosから発表されていました。 news.mynavi.jp Breach Level Indexの調査結果を引き合いに出し、セキュリティインシデントによって漏洩するデータ数がこの数年で著しく増加していると指摘した。 特に2018年は大きく増加しているが、データ…

カード情報非保持だけで安全とは限らない

多くのメディアで取り上げられている訳ではありませんが、日経XTECH、Security Next、通販通信に出たSOKAオンラインストアの調査結果記事は、経産省の施策(国策のキャッシュレス化)にも影響を与えてしまうかも知れません。 www.nikkei.com ■公式発表 ・聖…

PCI DSSはやはり準拠維持が難しい

日本語版は最近は出てなかった気がしますが、ベライゾンのレポートは、セキュリティ関係の方であれば目を通しておいても良いものだと思います。 news.mynavi.jp ベライゾンジャパンは10月1日、「2018年版ベライゾンペイメントセキュリティ報告書」を発表した…

SOKAオンラインサイトのカード情報漏えい

聖教新聞のSOKAオンラインサイトからクレジットカード情報が漏洩していたとカード会社が発表していました。 www2.uccard.co.jp ■公式発表 このたび、SOKAオンラインストアにてクレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレ…

店舗従業員によるクレジット情報窃取

Security Nextにセキ薬品の内部不正のニュースが出ていました。 www.security-next.com ■公式発表 弊社 愛宕店 元従業員によるお客様情報の不正利用について 同社によれば、ドラッグストアセキ愛宕店で3月1日から5月21日にかけて、クレジットカード決済を利…

ソーシャルハッキングは防ぎきれないのか?

Wiredの8/17記事を読んで色々と考えさせるところがありました。 wired.jp ハッキング集団の「Fin7」は、ある推計によると少なくとも10億ドル(約1,100億円)以上[日本語版記事]を世界中の企業からかすめ取ってきた。米国だけでも3,600を超える店舗から1,50…

ケイ・オプティコムの不正アクセス

格安SIMサービスを提供しているmineoの運営会社が不正アクセスを受けていた事がかかれていました。 japan.cnet.com ■公式発表 eoIDに対する不正なログインについて|プレスリリース|ケイ・オプティコム 調査の結果、ケイ・オプティコムへのハッキングによる…

近藤ニットの事件はカード情報非保持の盲点だったかも知れない

天然素材を使った衣料品の通販サイトがクレジットカード情報漏えいした可能性があるとSecurityNextが報じていました。 www.security-next.com ■公式発表 evam eva online shopへの不正アクセス発生についてのご報告とお詫び 事件の状況 2018年6月19日にカー…

漏えい件数が公開されないのは何故か?

Scan Netsecurityに舞台公演の企画や映画製作を手がけるCLIEのカード情報漏えい記事が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによるお客様情報流出に関するお知らせとお詫び 事件の状況 旧ウェブサイトが第三者からの不正アクセスを…

森永乳業は説明責任を果たしてないのではないか?

6月4日に森永乳業がフォレンジック調査結果を受けて記者会見をしたようです。 mainichi.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ 不正被害が発生しているのが残念なところ。(森永乳業の対応が遅れた…

森永乳業の情報漏えい事件を考えてみた。

森永乳業が5/9に健康通販サイトからクレジットカード情報を漏えいした可能性があると発表しました。 tech.nikkeibp.co.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社 事件の状況 2…

ポルシェの不正アクセス最終報告

ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。 www.porsche.co.jp ■公式発表 不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9) 不正アクセスによるお客様情報の流出に関す…

熊本県サイト個人情報流出事件を考えてみた。

熊本日日新聞3月20日記事に、熊本県の情報サイト「気になる!くまもと」の不正アクセス事件が載っていました。 this.kiji.is ■公式発表 熊本県メールマガジン「気になる!くまもと」のウェブサイトへの不正アクセスに関するご報告 / 熊本県 事件の状況 熊本…

IPAの個人情報漏えい発表は実は試験問題にするため!?

ITパスポート試験のサイトで2つの団体申込者が同時にCSVファイルリクエストをかけたところ、二つの団体の情報が合わさった情報がそれぞれのファイルに落ちるという、あまり最近では聞いた事がない個人情報漏えいの発表がIPAから3月13日にありました。 tech.…

産総研のネット遮断1ヶ月から見えてくること

読売新聞の3月15日記事に産総研の不正アクセス事件についての続報がありました。 www.yomiuri.co.jp 産業技術総合研究所(産総研)が不正アクセスを受けた事件は2月13日に公式リリースが出されています。読売新聞の記事を受けて、改めて産総研のHPを確認して…

病院向けサイバー保険が企業意識に与える影響

日刊工業新聞の2月21日記事に、4月から損保ジャパン日本興和が医療機関向けにサイバー保険を発売する内容が掲載されていました。 www.nikkan.co.jp 損保ジャパン日本興亜は4月に医療機関向けサイバー保険を発売する。病院がサイバー攻撃を受けたことで発生…

東芝のメール情報流出は何故100人分だったのか?

東芝が自社グループのメールサーバに不正アクセスを受け、従業員のメールデータが不正に閲覧された可能性がある事を2月28日に発表しました。 tech.nikkeibp.co.jp ■公式発表 東芝:プレスリリース (2018-02-28):当社グループのメールサーバへの不正アクセス…

サプライチェーン攻撃をいかに防ぐか

日経新聞の2月11日記事にサプライチェーン攻撃が取り上げられていました。 www.nikkei.com サプライチェーン攻撃と聞くと、私がまず真っ先に思い浮かべるのが、Targetと、日本年金機構の事件です。Targetはベンダーネットワークへの空調会社のクレデンシャル…

AIによるサイバー攻撃は防げるのか?

産経ニュースの2月14日記事に、AIを活用したサイバー攻撃の記事がありました。 www.sankei.com ジャーコフ氏は、中露がAIの使用で攻撃を強化できる点について「睡眠を取る必要がないので攻撃の効率が大幅に上がる」と分析した。AIが大量のデータを基に自…

サイバー攻撃はロシアンルーレット?

改正割賦販売法の施行が6月1日に迫る中、3月末の実行計画の期限に向けて多くのカード会社、EC加盟店がクレジットカード情報非保持またはPCIDSS準拠に向けて取り組んでいます。 itpro.nikkeibp.co.jp この(非保持or準拠状況)答え合わせは、3月末のガイド…

GMOペパボのクレジットカード情報漏えい事件について考えてみた。

1月26日、GMOペパボが運営する「カラーミーショップ」が不正アクセスを受けネットショップオーナーおよび購入者の個人情報が漏えいした件を発表しました。この件について考えてみます。 インシデントタイムライン 日時 出来事 2018年1月7日 サーバの異常検知…

幻冬舎の不正アクセスを考えてみた。

1月15日に幻冬舎が不正アクセスにより会員情報9.3万件が流出したおそれがあると発表しました。この件について考えてみました。 ■公式発表 不正アクセスによる会員情報の流出に関するご報告とお詫び | 株式会社 幻冬舎 インシデントタイムライン 日時 出来事 …