Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

PCI DSS

PCI DSS v4は来年リリース予定

私の専門分野でもあるので少し書かせて下さい。PCI DSSv4はどうやら来年リリースの様です。 blog.pcisecuritystandards.org PCI DSS v4.0は、2020年末までにリリースされる予定はありません。リリースの具体的な時期は、開発期間中に寄せられたフィードバッ…

ドラックイレブンは2度調査を行う必要があった

個人情報だけ漏えいしたと思ったら・・・クレジットカードデータも漏えいしてましたという記事。最初のフォレンジック調査をした会社に専門性が無かったのかも知れませんが、何とも残念な2段階調査な気がします。 www.nikkei.com ■公式発表 不正アクセスによ…

PA-DSSの後継規定

PCI SSCから決済アプリケーションの国際セキュリティ基準であるPA-DSSの後継規定が公開されました。 blog.pcisecuritystandards.org PCIソフトウェアセキュリティ基準は、PCIペイメントアプリケーションデータセキュリティ基準(PA-DSS)とどのように異なる…

広告パートナーのサプライチェーン攻撃

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。 thehackernews.com 最も悪名高いハッキンググループの1つであるMagecar…

非保持は来年も狙われる

カード情報非保持を狙った攻撃。ECサイトは狙われている存在である事を今一度思い出すべきかも知れません。 www.nikkei.com ■公式発表 不正アクセスによる個人情報流出に関するご報告とお詫び 電子書籍などのデジタルコンテンツを扱うマーケットプレイス「DL…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。 www.security-next.com 銀座ウエストオンライン通販サイトが不正アクセスにより改ざんされ、クレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の…

ECサイトの管理画面はパスワードだけで守れない

任天堂キャラクターの公式販売サイトも非保持でのカード情報保護を失敗したようです。 tech.nikkeibp.co.jp エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報…

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

不正なJavaScriptがECサイトに仕掛けられる可能性

英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。 www.itgovernance.co.uk ■公式発表 Customer data theft(Vision Direct) What data has been affected? The personal and financial detai…

タオル専門店 伊織のカード情報漏えい事件について

地方新聞の小さな記事であり、カード情報も2145件程度ですが大きな影響がでてくるかも知れません。 www.ehime-np.co.jp ■公式発表 【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ) タオル専門店の伊織(愛媛県松山市)は24日、…

カード情報非保持だけで安全とは限らない

多くのメディアで取り上げられている訳ではありませんが、日経XTECH、Security Next、通販通信に出たSOKAオンラインストアの調査結果記事は、経産省の施策(国策のキャッシュレス化)にも影響を与えてしまうかも知れません。 www.nikkei.com ■公式発表 ・聖…

PCI DSSはやはり準拠維持が難しい

日本語版は最近は出てなかった気がしますが、ベライゾンのレポートは、セキュリティ関係の方であれば目を通しておいても良いものだと思います。 news.mynavi.jp ベライゾンジャパンは10月1日、「2018年版ベライゾンペイメントセキュリティ報告書」を発表した…

Cheddar Scratchの情報漏えい事件

米国東海岸を中心に展開するレストランチェーンCheddar's Scratch Kitchenがカード情報を漏えいした可能性があるとロイターが報じていました。 www.reuters.com The Olive Garden owner said its systems and networks were unaffected by the incident, as …

近藤ニットの事件はカード情報非保持の盲点だったかも知れない

天然素材を使った衣料品の通販サイトがクレジットカード情報漏えいした可能性があるとSecurityNextが報じていました。 www.security-next.com ■公式発表 evam eva online shopへの不正アクセス発生についてのご報告とお詫び 事件の状況 2018年6月19日にカー…

アサヒ軽金属のカード情報漏えい事件

またクレジットカード情報漏えい事件がSecurity nextで報じられていました。 www.security-next.com ■公式発表 弊社が運営する「Webショッピングサイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 事件の状況 2018年6月6日にクレジット…

PDQのクレジットカード情報漏えい事件

米国フロリダベースのレストランチェーンPDQ社が外部からのサイバー攻撃を受け、クレジットカード情報を漏えいしたと発表しました。 www.eatpdq.com ■公式発表 Important Information for our Guests On Data Breach 事件の状況 2017年5月19日~2018年4月20…

漏えい件数が公開されないのは何故か?

Scan Netsecurityに舞台公演の企画や映画製作を手がけるCLIEのカード情報漏えい記事が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによるお客様情報流出に関するお知らせとお詫び 事件の状況 旧ウェブサイトが第三者からの不正アクセスを…

PCI コミュニティミーティングに行ってきた (2)

昨日に引き続きPCI SSC主催のアジア太平洋地域コミュニティ・ミーティングのレポートとなります。 セミナーの2日目。今回は同時通訳が入っているので楽なのですが、今回の会場は残念な事に机がないのでメモを取るのがちょっと大変です。前回はあった気がする…

PCI コミュニティミーティングに行ってきた (1)

先週から海外を含む諸々の出張が続いており、記事がなかなか書けておりません。そんな中、昨日(5/23)からPCI SSC主催のアジア太平洋地域コミュニティ・ミーティングが東京ウェスティンホテルで開催されており、こちらに参加してます。会場でTIプランニング…

ガラケーの終焉

日経にフューチャーフォン(PCIDSSの影響)の記事が書いてましたので、取り上げてみます。 tech.nikkeibp.co.jp 改正法の実務上の指針である「実行計画」(クレジット取引セキュリティ対策協議会が策定)では、カード会社に加え、カード加盟店に代わって決済…

メニコン子会社のカード情報漏えい事件

海外に行っている間にメニコン子会社がカード情報を漏えいしてました。 www.nikkei.com ■公式発表 エースコンタクト会員専用サイト「A-Web倶楽部」におけるお客様情報流出に関するお詫びとお知らせ A-Web倶楽部「宅配サービス」におけるお客様情報流出に関…

森永乳業の事件発表を考えてみた。

海外でシンクラPCが使えなかったので、見れてなかったのですがここ数日のブログ閲覧数が普段の3倍位ありました。リンク先のページを見ると・・・森永乳業の事件記事へのアクセスが多い事が分かりました。 参考: foxsecurity.hatenablog.com 海外出張してき…

森永乳業の情報漏えい事件を考えてみた。

森永乳業が5/9に健康通販サイトからクレジットカード情報を漏えいした可能性があると発表しました。 tech.nikkeibp.co.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社 事件の状況 2…

PCI DSS v3.2.1

自己レスです。PCI SSCの偉い方の話が聞けましたので、4月24日の投稿を補足します。 foxsecurity.hatenablog.com 主な内容は、やはりマイナーチェンジのようです。既存でPCI DSSに取り組んでいる方にはほとんど影響は無いといえそうです。 PCI DSS v3.2.1は5…

PCI DSSのv3.2.1がリリース間近

JCDSCの定期総会で、PCI SSCのBlogにPCI DSSのマイナーバージョンアップの話が出ているよと教えてもらいました。 blog.pcisecuritystandards.org Here’s a preview of the minor updates stakeholders can expect in PCI DSS v3.2.1: Remove notes referring…

ディズニーのTLS対応(PCI DSS)

Disney.JPサイトでTLS1.1以下の対応について発表されていました。 www.disney.co.jp このたび、インターネットで通信内容の保護に使用する暗号化方式「TLS1.0」および「TLS1.1 」において脆弱性が発見され、保護すべき通信内容の一部が漏えいする可能性があ…

オービッツはサードパーティ経由で情報漏えい

Expedia傘下の旅行予約サイトのオービッツがハッキングを受け、最大88万件の決済データが漏えいした可能性があると発表しました。 www.travelvoice.jp ■公式発表 INFORMATION ABOUT ORBITZ DATA SECURITY INCIDENT 事件の状況 旧ウェブサイトがハッキング被…

Saks Fifth AvenueのPOS侵害はフィッシングから?

米国のSaks Fifth Avenue等の高級百貨店を展開するHudson's Bay Company(HBC)が4月1日に米国の一部店舗で使われた決済カードデータが漏えいした件を発表しました。この件について少し調べてみました。 www.itmedia.co.jp ■公式発表 Saks Fifth Avenue - FAQ …

Applebee'sレストランのカード情報漏えい事件

Tripwireの3/5記事に米国のレストランチェーンApplebeeの店舗POSシステムがデータ侵害を受けてクレジットカード情報を流出したおそれがあると報じていました。 www.tripwire.com ■公式発表 Notice of Data Incident Applebeeレストランは、全米を中心に2,000…