Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

調べてみた。

モーターマガジン社もEC-CUBE

先週は本業の方が忙しくて調査が出来ませんでしたが、もう1件カード情報漏えいが発表されていましたので、こちらの方もみて見ましたが、こちらは・・・EC-CUBEの様です。 www.security-next.com ■公式発表 モーターマガジン社より重要なお知らせ モーターマ…

ブロードリンクは内部犯行に無策であった

先週一番インパクトがあったのは、このニュースだった気がします。既に多くのメディアが続報を出している中で取り上げるのはどうかなと思いましたが、内部犯行に対するセキュリティという視点で考えてみたいと思います。 www.nikkei.com 個人情報を含む神奈…

No More Ransom Projectについて

カスペルスキーの下記ブログ記事は(当面)保存版かも知れません。 ◆キタきつねの所感 良記事なので、詳しくはカスペルスキーの記事を読んで頂きたいのですが、記事の中で紹介されていた、No No more Ransomのサイトを少し調べてみました。 www.nomoreransom…

Cardshop SerraもEC-CUBE

全世界で2000万人のプレイヤーが居ると言われる戦略的トレーデングカードゲームMTG(マジック・ザ・ギャザリング)のトレーディングサイトもカード情報漏えい被害を受けた様です。 www.security-next.com ■公式発表 弊社が運営する「Cardshop Serra」への不…

キャプテントムもEC-CUBE

毎週の様にカード情報漏えい事件が発表されておりますが、まだその勢いは続いている様です。アウトドアや米軍放出品などを取り扱っている「キャプテントム」からカード情報漏えいがあったと発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する…

Everisのランサム被害

NTTデータのスペイン子会社Everisがランサム攻撃を受けて、多くのシステムを止める羽目に陥ったと11/4のBleeping Computerが報じてました。日本で報じられていないランサムウェア被害は数多くありますが、日本のSIer企業が親会社だけに、この事件が日本でほ…

ANAクラウンホテル神戸の会員情報漏えい

地方紙の記事でしたが、色々考えさせられる記事でした。 www.kobe-np.co.jp ■公式発表 ニュースリリースは見当たらず ANAクラウンプラザホテル神戸(神戸市中央区)などで利用できる優待制度「プレミアクラブ」の会員情報が外部に流出し、それぞれのメー…

AKIBA-HOBBYもEC-CUBE

EC-CUBEサイトからのカード情報漏えいの発表はいつまで続くのでしょうか。AKIBA-HOBBYがカード情報漏えいの発表を出してました。 www.security-next.com ■公式発表 「AKIBA-HOBBY」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 2.流出の可…

トレンドマイクロの内部不正事件への海外記事をまとめてみた

日本が被害対象に含まれてなかったので、日本国内ではそろそろニュースが下火になっているかと思いますが、敢えて取り上げます。 www.itmedia.co.jp ■公式発表 海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫…

エノテカにMagecartの足音を感じた

影響範囲は無い様に見えるSecurity Nextの記事でしたが、気になる攻撃手法でした。 www.security-next.com エノテカは、同社のワイン通信販売サイトにおいて、意図しない外部サイトが表示される状態だったことを明らかにした。利用する外部サービスのタグが…

MODERN BEAUTY TOKYOもEC-CUBE

化粧品の通販サイト「MODERN BEAUTY TOKYO」からカード情報漏えいが発表されていました。 www.security-next.com ■公式発表 「MODERN BEAUTY TOKYO」への不正アクセス発生についてのご報告とお詫び 1、漏洩の可能性のある期間2016年11月15日から2018年11月7…

「変なホテル」のLance R. Vick氏とコンタクトしてみた

先週21日に記事を書きました、「変なホテル」のIoT機器への脆弱性に対してTweetsをしていたLance R. Vick氏に対する一部報道の件で、どうしても理解できない部分があったので、直接Twitterでお聞きしてみました。 foxsecurity.hatenablog.com 元ソースは、先…

金沢大学のフィッシングメール被害

金沢大学もフィッシングメールにひっかかった様です。 www.security-next.com ■公式発表 フィッシングメールの発信及び個人情報の漏洩について(注意喚起とお詫び) | 金沢大学 金沢大学において、フィッシングメールによる被害で複数教職員のメールアカウン…

変なホテルはバグ報告を無視して火傷した

H.I.S.が運営するロボット接客が斬新な「変なホテル舞浜」でIoT機器のハッキング懸念問題が報じられていました。 www.itmedia.co.jp ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル…

セキュリティ対策は当然の責務

6月末にカード決済を突然停止して、ネットで騒ぎになったECオーダー.comがカード情報漏洩を発表していました。 www2.uccard.co.jp 公式発表 ECオーダー.com不正アクセス発生についてのご報告とお詫び 1、流出の可能性のある期間2019年1月19日から2019年6月2…

JIMOSのカード情報漏えいの続報(EC-CUBE)

朝起きると、、カード情報漏えいのニュースが出ていて慌てて記事を書いてますが、、、JIMOSという名前に既視感が・・と思ったら、8月下旬に漏洩の可能性があるとして記事を書いていた件の続報(詳細報)が出たという事の様です。 tech.nikkeibp.co.jp 公式発…

掃除用品オンラインショップもEC-CUBE

この記事も気づきませんでした。またEC-CUBEサイトからのカード情報漏洩事件ですが、、インシデント件数が昨年の倍以上のペースになっているのが非常に気になります。 www.security-next.com ■公式発表 弊社が運営する「掃除用品オンラインショップ」への不…

京都一の傳もEC-CUBE

以前からサイト(決済)停止していたので、西京漬け専門店の京都一の傳は、フォレンジック調査中だろうとは思っていましたが、予想通り、カード情報を漏洩していた様です。 www.security-next.com ■公式発表 弊社が運営する「京都一の傳 お取り寄せページ」…

10mois WEBSHOPもEC-CUBE

2001年からベビー用品のECサイトを運営している「10mois WEBSHOP」からもカード情報漏洩が発表されていました。他の事件とは若干違い、3回にかけて侵害を受けた様です。 www2.uccard.co.jp ■公式発表 個人情報流出に関するお詫びとお知らせ 弊社ウェブショッ…

JTAS StoreとNaturas Psychos Productを調査中(EC-CUBEユーザでした

出張中につき、記事を仕上げられないので仮記事としてUPします。9/17に2件のカード情報漏えいが発表されていました。簡易調査ではいずれもEC-CUBEユーザです。 www2.uccard.co.jp www2.uccard.co.jp 魚拓サイトで、EC-CUBEの痕跡を確認しましたが、加工して…

マグちゃんオンラインショップもEC-CUBE

EC-CUBEユーザからのクレジットカード情報漏洩事件はいつになった落ち着くのでしょうか。マグネシウムで日本一を目指している宮本製作所がカード情報を漏洩していた可能性があると発表しました。 www2.uccard.co.jp ■公式発表 【重要】クレジットカード情報…

ビバリーもEC-CUBE

カード漏洩事件がまたSecurity Nextで報じられているのに気づきました。EC-CUBEの記事ばかりで飽きている方も読者の方には多いかも知れませんが、、記事を書きたいと思います。 www.security-next.com ■公式発表 弊社が運営する「ビバリーホームページ」への…

GEKIROCK CLOTHINGもEC-CUBE

またEC-CUBEだった様です。ロック系ファッショングッツ販売の「GENKIROCK CLOTHING」がカード情報を漏洩したと発表してました。 www.security-next.com 同サイトを運営する激ロックエンタテインメントによれば、同サイトが不正アクセスを受けて改ざんされた…

SUWADAオンラインショップもEC-CUBE

またEC-CUBEだった様です。新潟の高性能ニッパー等の製造をしているSUWADAオンラインショップからカード情報が漏洩したと発表されていました。 www2.uccard.co.jp 1. 経緯2019 年 4 月 15 日、弊社が運営する「SUWADA オンラインショップ」において不正アク…

SNSの外部連携設定を見直そう

有名人のTwitter、Facebook、インスタグラム等のSNSアカウントは攻撃対象になりやすい。しかし2要素認証を入れていても影響を受けてしまう事もある、このニュースはその事実を改めて認識させてくれました。が、その件についてはpiyokango氏が既に記事を書か…

HARIOもEC-CUBE

お盆休み中は1件も出て無かったかと思いますが、新たにまたカード漏洩事件が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する「HARIOネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 5月8日に、一部のカード…

プロイディアもEC-CUBE

姿勢・美容・健康グッズ等を通信販売しているプロイディア直営ショップからカード情報が漏洩したと発表されました。やはりEC-CUBE利用サイトの様です。 www2.uccard.co.jp 公式発表 不正アクセス発生のご報告とお詫び 1.経緯について2019 年 4 月 26 日(…

コーナンPayのフィッシングメール被害

ホームセンターを展開するコーナンがPayサービスを開始していたのを、この記事を読んで初めて知りました。雨後の筍の様に●●Payが立ち上がっている気がしますが、同時にそれはハッカーに狙われる対象が増えている事でもあります。 www.itmedia.co.jp ホームセ…

EC-CUBEは管理者ログインを守らなければならない

EC-CUBEは利用ユーザ(店舗)数が約3.5万と、日本で最も利用されているECサイト構築パッケージと言っても過言ではないかと思います。しかしユーザ数が多いが故に犯罪者(ハッカー)に狙われやすく、今年に入ってからカード情報漏洩の発表があった22件中、11…

NISTがIoTリスクガイドラインを発行

NOTICEの記事を調べていたらNISTが新たなIoT機器のリスクガイドラインを発表している事に気づきました。 www.darkreading.com NISTは、管理者がライフサイクルを通してモノのインターネット(IoT)デバイスに伴うリスクを理解し管理するのを支援することを目…