Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

調べてみた。

TikTokの利用規約違反を考える

TikTokが、保護者の同意を得ず13歳未満のユーザの個人情報を収集してたとして、米国の児童オンラインプライバシー保護法(COPPA=Children's Online Privacy Protection Act)違反で570万ドル(6.3億円)の罰金を支払う事になったとの記事が出ていました。 ww…

GDPR関連記事のまとめ(2019年2月版)

1月末にGDPRの罰金額の定点記事を書きましたが・・・Googleの様に罰金額まで明示した記事が2月分としてはあまり見つかりませんでした。ほとんどが調査中の記事なのですが、今後、罰金事例となって出てくるものも含まれて居ますので、私が気になったGDPR関連…

大学は多要素認証を本格的に検討すべきではないか

また大学のOffice365が迷惑メールの踏み台に使われました。 mainichi.jp NHKの記事の方が詳しく書いていたのでこちらを引用します。(しばらくすると消えてしまうと思いますが) 県立大メールに不正アクセス|NHK 島根県のニュース 浜田市にある島根県立大学…

カード情報非保持サイトからの漏洩は繰り返す

またカード情報非保持のサイトがカード情報を漏えいした事件が出ていました。 scan.netsecurity.ne.jp 株式会社B.F.Yokohamaは2月12日、同社が運営するうさぎ雑貨や飼育用品を扱う「バニーファミリー横浜ネットショップ」にて外部からの不正アクセスがあり一…

PayPayはDarkWebに捕まった

PayPayの100億円第2弾キャンペーンが始まっていますが、前回のキャンペーンに関連にて気になる海外記事が出ていました。DeepWeb&DarkWebを調査するGemini Advisoryによると2018年11月~12月にDarkWebに追加された日本のクレジットカード情報がPayPayに関係…

GDPR違反の罰金額を調べてみた(2019年1月版)

Googleに対してフランス当局(CNIL)がGDPR違反で5000万ユーロの罰金を課す事が発表され、Googleが不服申し立てをする様ですが、GDPRの罰金額・・・当初言われていた全世界売上の4%(最大)という恐ろしい罰金ではなかったので、少し調べてみました。 japa…

PA-DSSの後継規定

PCI SSCから決済アプリケーションの国際セキュリティ基準であるPA-DSSの後継規定が公開されました。 blog.pcisecuritystandards.org PCIソフトウェアセキュリティ基準は、PCIペイメントアプリケーションデータセキュリティ基準(PA-DSS)とどのように異なる…

管理レスWebカメラには規制が必要ではないか

監視カメラの乗っ取り事件、起こるべくして起きた事件と言えるかも知れません。 www.asahi.com 捜査関係者によると、男は4月下旬、自宅のパソコンを使い、神戸市東灘区の就労支援施設の監視カメラの映像記録装置や、千葉県八千代市の水路に市が設置した水位…

Office365もFIDO2に積極対応していく(はず)

Office365の大学での普及率は2015年時点で70%を超えているので、恐らくほぼ全ての大学が今や何らかの形でOffice365のお世話になっていると言っても過言ではないようです。 ict-enews.net これは取材前の予備知識だが、Office 365 Educationの利用者は2014年…

Facepunchの会員データ漏洩

Troy Hunt氏の「Have I Been Pwned」はセキュリティ関連の方であれば、毎月聞くようなサイトかと思います。こちらのサイトで新たに10/17に漏洩データとして登録されたのが英国のゲーム開発会社Facpunchでした。約40万件のユーザ情報が漏洩したとの事。 news.…

産総研の最終報告書から思うこと

産総研が7月20日に、2月6日に判明した外部からの不正アクセス事件についての報告(最終報告)を出していました。結果から言えば、懸念していた通り、個人情報や知財権を漏えいしていました。(※機密性3情報では無いと産総研は発表していますが、未公表の研究…

経営層を動かす3段階の取り組み

6/1に記事を書いた経営指針にサイバー攻撃対策を盛り込む事を促す経産省の方針ですが、産業サイバーセキュリティ研究会の第2回の配布資料が出ていました。 foxsecurity.hatenablog.com 資料3 産業サイバーセキュリティ強化へ向けたアクションプラン ◆キタき…

管理レスWebカメラの現状

読売オンラインになかなか興味深い記事が載っていました。 www.yomiuri.co.jp カメラは、「芝川都市下水路」の鎌倉橋近くに設置され、市のホームページで水位の画像を公開している。当初設置していたカメラは、初期設定されたパスワードをそのまま使用してお…

公式発表が出る個人情報漏えい事件は氷山の一角

昨日の記事の続きです。「Have I Been Pwned」を運営するTroy Hunt氏が2月にDark Webサイトに個人情報ファイルがたくさん掲載されている・・・と発表した件を少し調べています。 haveibeenpwned.com Troy Hunt: I've Just Added 2,844 New Data Breaches Wit…

Saks Fifth AvenueのPOS侵害はフィッシングから?

米国のSaks Fifth Avenue等の高級百貨店を展開するHudson's Bay Company(HBC)が4月1日に米国の一部店舗で使われた決済カードデータが漏えいした件を発表しました。この件について少し調べてみました。 www.itmedia.co.jp ■公式発表 Saks Fifth Avenue - FAQ …

Under Armour子会社の会員サイトから1.5億件のデータ漏えい

下着メーカーで有名なUnder Armourが3/29に食べ物と栄養のアプリケーションとWebサービスを提供する「MyFitnessPal」でユーザ情報が漏えいしたと発表しました。 mainichi.jp ■公式発表 Under Armour Notifies MyFitnessPal Users Of Data Security Issue (NY…

フューチャーアーキテクト社の営業秘密持ち出し事件を調べてみた

日経新聞が3月8日にITコンサル元役員が競合先企業に営業情報を漏えいされた疑いで逮捕されたとの記事を掲載していました。 www.nikkei.com ■公式発表 本日の当社元社員に関する報道について (フューチャーアーキテクト社) 当社元従業員の逮捕について (ベイ…

総務省の非常勤職員募集を調べてみた。

総務省の非常勤職員募集の内容が日給8000円の割りにアレでは無いかと、Twitter等々で話題になっていましたが、この件を調べてみました。 ■当該募集ページ ※3/10時点でリンクが無くなっていましたので、以下記事作成時の情報となります。 募集対象の条件の割…

性弱説での重要文書管理が必要なのではないか?

日経新聞の3月1日記事に、日本企業の重要文章が中国百度の文章共有サイトに漏えいしている事が報道されていました。 www.nikkei.com IT関連会社「クロスワープ」(東京)が調べたところ、2017年6月~18年2月だけで186社の文書掲載が確認された。いずれの…

セキュリティ機器の管理は自己責任

ネットバンキングは便利ではありますが、自己責任の部分について理解が出来ない方は、従来通りの銀行店舗での利用を原則とした方が良いかも知れません。2月22日の産経ニュースに「ネットバンキングのパスワード端末搾取」の記事がありました。 www.sankei.co…

産業技術総合研究所は知財権を流出したのではないか?

産業技術総合研究所(AIST)が不正アクセスを受けたと2月13日に発表しました。この件について日経新聞が続報でオフィス365などが被害を受けたと報じています。 www.nikkei.com ■公式発表 弊所に対する不正なアクセスに関する事案について インシデントタイム…

福岡放送の不正アクセス事件を調べてみた。

福岡放送のホームページがサイバー攻撃を受けて個人情報が漏えいした可能性があると朝日新聞の2/13記事で報じられていました。 www.asahi.com インシデントタイムライン 日時 出来事 2018年2月2日 サイバー攻撃を受ける 2018年2月5日 夕 外部からサイバー攻…

Swisscomのデータ流出事件をしらべてみた。

スイス通信大手のSwisscomの顧客データが昨年秋に80万件の顧客情報を漏えいしたと2/7に発表しました。この件について書いてみます。 www.tripwire.com ◆キタきつねの注釈 Swisscomはスイス大手の通信キャリアで、Wikipediaによれば51%の株はスイス連邦政府…

Airbnbの違法民泊施設の見分け方

近くの古びた民家が改装工事をしていて、暫くするとスーツケースをガラガラさせた外国人旅行者と思わしき人を度々見かけるようになりました。近くにはホテルや旅館も無いので、どうしてだろうな・・と思っていたのですが、民家からスーツケースを引いた旅行…

OnePlusのカード情報漏えい事件をまとめてみた。

ITmediaの1月22日記事に、中国の須磨ーふとフォンベンダーであるOnePlusのオンラインストアからクレジットカード情報4万件が不正スクリプト被害により流出した可能性があるとの内容がありました。 www.itmedia.co.jp インシデントタイムライン 日時 出来事 2…

Hancock Health Hospitalのランサム被害事件をまとめてみた。

米国インディアナ州のHancock Health Hospitalがサイバー(ランサムウェア)攻撃を受け、5万ドルの身代金(Ransaome)を払ったという記事がありました。この件について調べてみました。 www.hancockregionalhospital.org 公式発表 The Cyber Attack – From th…

九州商船の不正アクセス事件について調べてみた。

1月9日に九州商船がインターネット予約サイトのWEBサーバが不正アクセスを受けたと発表した件について、つぶやいてみます。 this.kiji.is 公式発表 不正アクセスによるインターネット予約サービスの停止とお客様情報漏洩の恐れに関するお知らせ インシデント…

斉藤ウィリアム氏について少し調べてみた。

12月9日、12月15日の山本一郎氏の記事はセキュリティ関係者の間、あるいはTwitterの中で大きな話題となりました。斉藤氏も自身のブログで「ブログ等におけるご指摘について」というコメント記事を日本語のみで書かれていますが、Twitterのフォロワー数水増し…

大学は狙われている

12月15日に大阪大学に対する不正アクセス事件の記事を書きましたが、大学の不正アクセス事件を少し調べてみました。 foxsecurity.hatenablog.com ■2017年に発生した大学の不正アクセス事件 大学 発表日 出来事 大阪大学 2017年12月13日 5月18日~7月4日にか…

東レが不正を発表した件について調べてみた。

毎日新聞の12月7日記事に、東レが不正を発表した内容が書かれていたので少し調べてみました。 mainichi.jp 16年7月に問題を把握し、その後再発防止策を講じたが、公表はしていなかった。今月初旬にインターネット上で不正を指摘する書き込みがあり、正確…