Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

考えてみた。

退職者のチェックが最終防衛ライン

アークレイの内部犯行事件には考えさせられるものがありました。 www.nikkei.com 男は、京都大病院などから提供を受けた患者の遺伝子検査結果を含む約2万3千件の情報を持ち出したとみられている。 送検容疑は2018年5~6月、同社が管理していた研究開発データ…

「宅ふぁいる便」のインシデント対応を考える

「宅ふぁいる便」サービスからの情報漏えい事件について、詳細調査が終わった事を受けて、大阪ガス子会社のオージス総研が記者会見を3/14開き、併せて追加リリースを出しました。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセス…

MongoDB(NonSQLデータベース)のセキュリティ設定

デリーの市民データが漏洩との記事が出ていました。最大で約45.8万件のデータが漏洩した可能性があるとの事です。 securitydiscovery.com 2019年2月19日に、パスワードを必要としないMongoDBを発見しました。このデータベースはインドの地域にあり、他のデー…

QRコードは犯罪者にも便利になっている

新型コインロッカーを悪用する手法は、海外犯罪者には一般的になりつつある様です。 www.sankei.com 訪日外国人客を装って偽造クレジットカードを所持するなどしたとして、大阪府警南署などは7日、不正電磁的記録カード所持容疑などで、いずれもマレーシア…

トヨタのパスタ

トヨタの記事がDarkreadingに出ていました。パスタとあったのでトヨタが外食に参入!と思ったら、ポータブルで拡張可能な自動車セキュリティ・テストベッドの名称が「PASTA」というオチでした。 www.darkreading.com ◆キタきつねの所感 無人運転などでセキュ…

大学が利用するクラウドサービスはパスワードだけでは守れない。

東京理科大学の個人情報漏えい事件が報じられていました。 www.security-next.com 公式発表 サイバー攻撃による個人情報等の流出について 東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわ…

ソムリエバッジの偽造事件を考えてみた

ソムリエバッジの偽造品がネットで売られていると報じられていました。 www.nikkei.com 日本ソムリエ協会(東京)が認定試験の合格者に交付するバッジがインターネットオークションに出品されていたことが4日、同協会への取材で分かった。協会が自ら落札し、…

ネットバンキング不正アクセス事件を考えてみた

ネットバンキングへの攻撃事例が日経に出ていました。ネットバンキングは不正対策が進み被害額は減少傾向にあると思っていただけに、気になる事件です。 www.nikkei.com 銀行のインターネット口座に不正アクセスし、別口座に送金された現金33万円を引き出し…

ドラックイレブンは2度調査を行う必要があった

個人情報だけ漏えいしたと思ったら・・・クレジットカードデータも漏えいしてましたという記事。最初のフォレンジック調査をした会社に専門性が無かったのかも知れませんが、何とも残念な2段階調査な気がします。 www.nikkei.com ■公式発表 不正アクセスによ…

フールディフェンスが必要なのか?

アルバイトへの教育も、アメリカ並みに電子レンジには犬を入れて乾かしてはいけない・・といったマニュアル記載が必要な様です。 www.sankei.com 外食大手ゼンショーホールディングス傘下の牛丼チェーン「すき家」は29日、関東地方の店舗でアルバイト店員…

宅ふぁいる便への不正アクセスの影響

宅ふぁいる便について、漏洩したパスワードが平文だった事、個人情報の種類が当初発表以上に広がっている事が報じられていました。 www.jiji.com 大阪ガス子会社オージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」の会員情報約480万…

宅ふぁいる便もAWSを攻められた

宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 1.漏洩したお客さま…

広告パートナーのサプライチェーン攻撃

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。 thehackernews.com 最も悪名高いハッキンググループの1つであるMagecar…

学研の広報対応

学研は子供の頃にお世話になっており、信頼できる会社というイメージがありましたが、下記の記事を読むとセキュリティへの感度は弱いのかも知れません。 www.security-next.com 学研プラスが運営する電子書籍配信サイト「Beyond Publishing」が不正アクセス…

マイナンバーは漏洩し続ける。

またマイナンバー情報の入力が不正に再委託されていた事が報じられていました。 mainichi.jp 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバーが記載されている源泉徴収…

PayPayのキャンペーンの早期終了

クレジットカードの利用明細には当面注意が必要かも知れません。 news.biglobe.ne.jp スマートフォン決済サービスの「PayPay」で、見に覚えのないクレジットカード利用があったとの報告がTwitterで相次いでいる。PayPay社に確認したところ、同社から情報が流…

SamSamは標的型攻撃であった

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。 www.itmedia.co.jp 米国などの病院や公共機関でランサムウェア(身代金要求型マルウェア)感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを…

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

USPSはAPIリスクを1年放置した

日本の主要メディアの報道が無いのがとても不思議なのですが、米国郵便公社(USPS)が1年以上も脆弱性を放置して最大6000万人のユーザ情報が影響を受けた可能性があったと公表されています。 www.theinquirer.net THE UNITED STATES POSTAL SERVICE (USPS) h…

タオル専門店 伊織のカード情報漏えい事件について

地方新聞の小さな記事であり、カード情報も2145件程度ですが大きな影響がでてくるかも知れません。 www.ehime-np.co.jp ■公式発表 【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ) タオル専門店の伊織(愛媛県松山市)は24日、…

Make America Data Breach Again

米トランプ大統領の支持者は、セキュリティにも気をつけることが必要のようです。 www.afpbb.com 米国のドナルド・トランプ(Donald Trump)大統領支持者向けの出会い系アプリで、ユーザーの個人情報がリリース初日に流出する出来事があった。ITニュースサイ…

名ばかりCSIRTが問われる時代

気になるデータがSophosから発表されていました。 news.mynavi.jp Breach Level Indexの調査結果を引き合いに出し、セキュリティインシデントによって漏洩するデータ数がこの数年で著しく増加していると指摘した。 特に2018年は大きく増加しているが、データ…

カード情報非保持だけで安全とは限らない

多くのメディアで取り上げられている訳ではありませんが、日経XTECH、Security Next、通販通信に出たSOKAオンラインストアの調査結果記事は、経産省の施策(国策のキャッシュレス化)にも影響を与えてしまうかも知れません。 www.nikkei.com ■公式発表 ・聖…

PCI DSSはやはり準拠維持が難しい

日本語版は最近は出てなかった気がしますが、ベライゾンのレポートは、セキュリティ関係の方であれば目を通しておいても良いものだと思います。 news.mynavi.jp ベライゾンジャパンは10月1日、「2018年版ベライゾンペイメントセキュリティ報告書」を発表した…

SOKAオンラインサイトのカード情報漏えい

聖教新聞のSOKAオンラインサイトからクレジットカード情報が漏洩していたとカード会社が発表していました。 www2.uccard.co.jp ■公式発表 このたび、SOKAオンラインストアにてクレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレ…

店舗従業員によるクレジット情報窃取

Security Nextにセキ薬品の内部不正のニュースが出ていました。 www.security-next.com ■公式発表 弊社 愛宕店 元従業員によるお客様情報の不正利用について 同社によれば、ドラッグストアセキ愛宕店で3月1日から5月21日にかけて、クレジットカード決済を利…

ソーシャルハッキングは防ぎきれないのか?

Wiredの8/17記事を読んで色々と考えさせるところがありました。 wired.jp ハッキング集団の「Fin7」は、ある推計によると少なくとも10億ドル(約1,100億円)以上[日本語版記事]を世界中の企業からかすめ取ってきた。米国だけでも3,600を超える店舗から1,50…

ケイ・オプティコムの不正アクセス

格安SIMサービスを提供しているmineoの運営会社が不正アクセスを受けていた事がかかれていました。 japan.cnet.com ■公式発表 eoIDに対する不正なログインについて|プレスリリース|ケイ・オプティコム 調査の結果、ケイ・オプティコムへのハッキングによる…

近藤ニットの事件はカード情報非保持の盲点だったかも知れない

天然素材を使った衣料品の通販サイトがクレジットカード情報漏えいした可能性があるとSecurityNextが報じていました。 www.security-next.com ■公式発表 evam eva online shopへの不正アクセス発生についてのご報告とお詫び 事件の状況 2018年6月19日にカー…

漏えい件数が公開されないのは何故か?

Scan Netsecurityに舞台公演の企画や映画製作を手がけるCLIEのカード情報漏えい記事が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによるお客様情報流出に関するお知らせとお詫び 事件の状況 旧ウェブサイトが第三者からの不正アクセスを…