Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

調べてみた。

JTAS StoreとNaturas Psychos Productを調査中(EC-CUBEユーザでした

出張中につき、記事を仕上げられないので仮記事としてUPします。9/17に2件のカード情報漏えいが発表されていました。簡易調査ではいずれもEC-CUBEユーザです。 www2.uccard.co.jp www2.uccard.co.jp 魚拓サイトで、EC-CUBEの痕跡を確認しましたが、加工して…

マグちゃんオンラインショップもEC-CUBE

EC-CUBEユーザからのクレジットカード情報漏洩事件はいつになった落ち着くのでしょうか。マグネシウムで日本一を目指している宮本製作所がカード情報を漏洩していた可能性があると発表しました。 www2.uccard.co.jp ■公式発表 【重要】クレジットカード情報…

ビバリーもEC-CUBE

カード漏洩事件がまたSecurity Nextで報じられているのに気づきました。EC-CUBEの記事ばかりで飽きている方も読者の方には多いかも知れませんが、、記事を書きたいと思います。 www.security-next.com ■公式発表 弊社が運営する「ビバリーホームページ」への…

GEKIROCK CLOTHINGもEC-CUBE

またEC-CUBEだった様です。ロック系ファッショングッツ販売の「GENKIROCK CLOTHING」がカード情報を漏洩したと発表してました。 www.security-next.com 同サイトを運営する激ロックエンタテインメントによれば、同サイトが不正アクセスを受けて改ざんされた…

SUWADAオンラインショップもEC-CUBE

またEC-CUBEだった様です。新潟の高性能ニッパー等の製造をしているSUWADAオンラインショップからカード情報が漏洩したと発表されていました。 www2.uccard.co.jp 1. 経緯2019 年 4 月 15 日、弊社が運営する「SUWADA オンラインショップ」において不正アク…

SNSの外部連携設定を見直そう

有名人のTwitter、Facebook、インスタグラム等のSNSアカウントは攻撃対象になりやすい。しかし2要素認証を入れていても影響を受けてしまう事もある、このニュースはその事実を改めて認識させてくれました。が、その件についてはpiyokango氏が既に記事を書か…

HARIOもEC-CUBE

お盆休み中は1件も出て無かったかと思いますが、新たにまたカード漏洩事件が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する「HARIOネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 5月8日に、一部のカード…

プロイディアもEC-CUBE

姿勢・美容・健康グッズ等を通信販売しているプロイディア直営ショップからカード情報が漏洩したと発表されました。やはりEC-CUBE利用サイトの様です。 www2.uccard.co.jp 公式発表 不正アクセス発生のご報告とお詫び 1.経緯について2019 年 4 月 26 日(…

コーナンPayのフィッシングメール被害

ホームセンターを展開するコーナンがPayサービスを開始していたのを、この記事を読んで初めて知りました。雨後の筍の様に●●Payが立ち上がっている気がしますが、同時にそれはハッカーに狙われる対象が増えている事でもあります。 www.itmedia.co.jp ホームセ…

EC-CUBEは管理者ログインを守らなければならない

EC-CUBEは利用ユーザ(店舗)数が約3.5万と、日本で最も利用されているECサイト構築パッケージと言っても過言ではないかと思います。しかしユーザ数が多いが故に犯罪者(ハッカー)に狙われやすく、今年に入ってからカード情報漏洩の発表があった22件中、11…

NISTがIoTリスクガイドラインを発行

NOTICEの記事を調べていたらNISTが新たなIoT機器のリスクガイドラインを発表している事に気づきました。 www.darkreading.com NISTは、管理者がライフサイクルを通してモノのインターネット(IoT)デバイスに伴うリスクを理解し管理するのを支援することを目…

石井スポーツは2サイト閉鎖している

米国の独立記念日(7月4日)を祝っての祝砲?なのかと思う程に、ECサイトからのカード情報漏洩事件が立て続けに発表されています。スキー用品販売で有名な石井スポーツも被害を受けた様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「Ski&Winter Sport…

リモートアクセスにもゼロトラスト

気になる海外の攻撃記事が出ていました。Webroot SecureAnywhere経由でランサムが”配布”される事例が出てきている様です。 www.zdnet.com ランサムウェアギャングは、少なくとも3つのマネージドサービスプロバイダ(MSP)のインフラストラクチャに違反し、リ…

レスターシティのカード情報漏洩

レスターシティと言えば英プレミアムリーグの強豪チームの1つで、岡崎選手が在籍している(もうすぐ退団しそうですが)チームですが、ここのWebサイトも侵害を受けた様です。 www.leicestermercury.co.uk Leicester Cityによると、オンラインストアのユーザ…

イオンカードの不正利用

このニュースを聞いた時に思ったのが、小さなECサイトとは違い一定以上のセキュリティ対策を実装している(であろう)金融系の会社でも結構な被害が出てしまうのか・・・という事でした。 www.nikkei.com ■公式発表 インターネットサービス「暮らしのマネー…

ECサイトは攻撃を受け続けているのではないか?

少し前にEC-CUBEの記事を書きましたが、現時点でクレジットカード決済が停止しているサイトを少し調べてみました。 (私感ですが)メンテナンス期間の明示なく、長期間クレジット決済を「システムメンテナンス」等の理由で止めている場合は、現時点でフォレ…

ジュニアーオンラインショップからのカード情報漏洩

最近UCカード(セゾン)系の重要なお知らせがフィーバーしている気がします。またカード情報漏洩が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営しておりました「ジュニアーオンラインショップ(旧サイト)」への不正アクセスによる個人情報…

アネモネもEC-CUBEだった

またECサイトからカード情報が漏洩していました。残念ながら悪い予感は当たるもので、カード情報非保持(周辺)は破られ続けています。 www.security-next.com アクセサリーやバッグを取り扱う通信販売サイト「アネモネ」が不正アクセスを受け、クレジットカ…

トレンドマイクロへのサイバー攻撃

トレンドマイクロの1ユーザとして、この記事が気になり、ソース記事を少し読んでみました。 japan.zdnet.com トレンドマイクロは5月20日、ロシアのハッキング組織がウイルス対策ベンダーのデータを盗み出したとする一部報道に関連して、同社がデバッグ目的…

2019年版Verizonデータ漏洩/侵害調査報告書

Verizonの最新レポート(英語版)がリリースされていました。 2019 Data Breach Investigations Report | Verizon Enterprise Solutions ◆キタきつねの所感 このレポート(Verizonデータ漏洩/侵害調査報告書)は、海外のセキュリティセミナーで引用されるこ…

EC-CUBE構築サイトは攻撃を受け続ける可能性が高い

東京新聞のEC-CUBEに関する記事を読んで、納得する部分も多くありましたが、少し認識が違う点もありました。 www.tokyo-np.co.jp インターネット通販サイトで買い物中に偽のクレジットカード決済画面が現れ、利用客の入力したカード情報を盗まれる新手口の被…

ユニクロのセキュリティへの意識

ユニクロの46万件の不正アクセス事件を遅まきながら取り上げてみます。事件発表から少し経ちましたが、流出件数が大きな割には、追加情報(記事)が出てこない印象です。 www.nikkei.com 公式発表 「リスト型アカウントハッキング(リスト型攻撃)」による弊…

エーデルワイン オンラインショップのカード情報漏えい

GW前に一度この記事に関して書いていたのですが、PCがフリーズして原稿データが吹っ飛んでしまったキタきつねです。カード情報漏えい(専門にやや近い)という事もあり、リベンジで記事を書いてみます。 scan.netsecurity.ne.jp 2018年10月31日に完了した調…

オフィス365の安全性向上

マイクロソフトが重い腰を上げた様です。Office365へのセキュリティコンプライアンス改善を4/30に発表しました。 www.microsoft.com Microsoft 365 E5およびE5コンプライアンスにもたらされる新機能 組織外で共有されている暗号化された電子メールを制御する…

ななつ星ギャラリーのカード情報漏えい

ななつ星サイトからの個人(カード)情報漏えい事件について少し調べていたのですが、時間が取れずまとめられていませんでした。 www.nikkei.com JR九州は12日、豪華寝台列車「ななつ星in九州」の関連商品を販売する通販サイトが外部から不正アクセスを受け…

シトリックスへのパスワードスプレー攻撃

米国のCitrix社へのサイバー攻撃が記事に出ていました。 www.sbbit.jp 公式発表 Citrix investigating unauthorized access to internal network | Citrix Blogs Citrixがサイバー攻撃を受けたことはFBIから告知を受けたと、Black氏は次のように説明していま…

TikTokの利用規約違反を考える

TikTokが、保護者の同意を得ず13歳未満のユーザの個人情報を収集してたとして、米国の児童オンラインプライバシー保護法(COPPA=Children's Online Privacy Protection Act)違反で570万ドル(6.3億円)の罰金を支払う事になったとの記事が出ていました。 ww…

GDPR関連記事のまとめ(2019年2月版)

1月末にGDPRの罰金額の定点記事を書きましたが・・・Googleの様に罰金額まで明示した記事が2月分としてはあまり見つかりませんでした。ほとんどが調査中の記事なのですが、今後、罰金事例となって出てくるものも含まれて居ますので、私が気になったGDPR関連…

大学は多要素認証を本格的に検討すべきではないか

また大学のOffice365が迷惑メールの踏み台に使われました。 mainichi.jp NHKの記事の方が詳しく書いていたのでこちらを引用します。(しばらくすると消えてしまうと思いますが) 県立大メールに不正アクセス|NHK 島根県のニュース 浜田市にある島根県立大学…

カード情報非保持サイトからの漏洩は繰り返す

またカード情報非保持のサイトがカード情報を漏えいした事件が出ていました。 scan.netsecurity.ne.jp 株式会社B.F.Yokohamaは2月12日、同社が運営するうさぎ雑貨や飼育用品を扱う「バニーファミリー横浜ネットショップ」にて外部からの不正アクセスがあり一…