Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

車の上には荷物を置かないようにしよう・・・

何か・・・既視感がある記事でした。 www.nikkei.com 市によると、職員は14日昼、同市上六名1丁目で破裂した水道管の修復のため、近くの作業現場に図面データが入ったタブレットを持参。午後8時ごろ、付近に止めた公用車の屋根の上にタブレットを置いたが、…

退職者のチェックが最終防衛ライン

アークレイの内部犯行事件には考えさせられるものがありました。 www.nikkei.com 男は、京都大病院などから提供を受けた患者の遺伝子検査結果を含む約2万3千件の情報を持ち出したとみられている。 送検容疑は2018年5~6月、同社が管理していた研究開発データ…

電源コードまで・・・

米中の貿易戦争の影響でしょうか、電源コードまで疑っている企業の記事が出ていました。 www.cnbc.com 幹部らは日系人に、どの企業を特定せずに、一部のサイバースパイ活動とサイバーセキュリティリスクのために中国からの脱退を依頼したと述べた。レポート…

IoTセキュリティチェックシート

IoT機器のセキュリティは、2月下旬からNICTが擬似攻撃「NOTICE(National Operation Towards IoT Clean Environment)」を実施していますが、相当脆弱な機器が検知されるものと思います。そんな中、日本スマートフォンセキュリティ協会(JSSEC)がチェックシ…

PCI DSS v4は来年リリース予定

私の専門分野でもあるので少し書かせて下さい。PCI DSSv4はどうやら来年リリースの様です。 blog.pcisecuritystandards.org PCI DSS v4.0は、2020年末までにリリースされる予定はありません。リリースの具体的な時期は、開発期間中に寄せられたフィードバッ…

「宅ふぁいる便」のインシデント対応を考える

「宅ふぁいる便」サービスからの情報漏えい事件について、詳細調査が終わった事を受けて、大阪ガス子会社のオージス総研が記者会見を3/14開き、併せて追加リリースを出しました。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセス…

ハードディスクが盗聴ツールへ

将来の懸念で、SSDへの切替が早くすすむかも知れない、気になる記事が出ていました。 www.theregister.co.uk 耳があるのは壁だけではありません。それはまたハードドライブです。 米国のミシガン大学と中国の浙江大学のEggheadsは、悪意のあるファームウェア…

警察が草刈場になっていくのではないか?

警察のサイバー専門捜査員獲得についての記事が出ていました。 this.kiji.is 民間からの経験者採用でサイバー捜査員を募集する警察が多い中、埼玉県警はIT資格を持つ大卒、大卒見込みの採用枠「サイバー犯罪捜査Ⅰ類」を設けている。技術力と捜査力を兼ね備…

TikTokの利用規約違反を考える

TikTokが、保護者の同意を得ず13歳未満のユーザの個人情報を収集してたとして、米国の児童オンラインプライバシー保護法(COPPA=Children's Online Privacy Protection Act)違反で570万ドル(6.3億円)の罰金を支払う事になったとの記事が出ていました。 ww…

セレブゲート事件

2014年のセレブゲート事件に関する記事が出ていました。5件目の判決を受けたのは元高校教師です。 www.engadget.com 「celebgate」フォトリークが今では歳かもしれないが、それは、アカウントのハイジャックのための堅い罰をdolingから裁判所が停止されてい…

マリオットホテルの事件の4Qコストは31億円

昨年12月に5億件の個人情報のハッキング被害を受けたマリオットホテルチェーンの、4Qにおけるコストが28百万ドル(31億円)に達する事が報じられていました。 www.phocuswire.com Marriott Internationalは、昨年11月に明らかにしたデータ侵害により、2018…

イレギュラー処理はミスを誘発する

倉敷市の「まちづくりに関するアンケート調査」で委託業者がミスをして最大6950人の個人情報が漏洩したと発表しました。 www.security-next.com 同市によれば、まちづくりに関するアンケート調査業務を委託していたエイト日本技術開発において、アンケート票…

メルボルンの心臓クリニックへのサイバー攻撃

日本ではあまり病院のセクターが襲われた事例を聞きませんが、オーストラリアでランサム事件が出た様です。 www.theguardian.com ハッカーは、メルボルンの心臓専門クリニックで身代金の請求が行われたと伝えられている患者のファイルを「スクランブル」しま…

リラックスするならKFC音源

週末のテレビで取り上げられていたのが、KFC UKの映像。映画などで海の音が小豆であったりと、人間の耳は騙されやすい事はよく知られていますが、この音もなかなかでした。(※セキュリティとは一切関係のない記事です) news.livedoor.com ◆キタきつねの所感…

トランプ大統領は猪突猛進

メキシコとの国境だけでなく議会にも高い壁を作りつつあるトランプ大統領。今度は「6G」技術の迅速な展開を要求したようです。 arstechnica.com 米大統領ドナルド・トランプ氏は本日、無線通信事業者に5Gおよび「6G」ネットワークを「できるだけ早く」配備す…

誤検知がIT部門に与える影響

先日、とある企業のIT部門の方と雑談していた際に、アンチウィルスソフトの誤検知で大変な目にあったという話を聞きました。たまたまタイミングが悪かったのかも知れませんが、社員の方が検知(誤検知)したファイルを削除する指示に従ったまでは良かったの…

カリフォルニア州の新法案

この記事が少し気になりました。カリフォルニア州で新しい法案が審議中のようです。 www.engadget.com 新しい法案が法律になった場合、カリフォルニア州ではより包括的なデータ侵害の通知規則があるかもしれません。ゴールデンステートの司法長官、Xavier Be…

MongoDB(NonSQLデータベース)のセキュリティ設定

デリーの市民データが漏洩との記事が出ていました。最大で約45.8万件のデータが漏洩した可能性があるとの事です。 securitydiscovery.com 2019年2月19日に、パスワードを必要としないMongoDBを発見しました。このデータベースはインドの地域にあり、他のデー…

GDPR関連記事のまとめ(2019年2月版)

1月末にGDPRの罰金額の定点記事を書きましたが・・・Googleの様に罰金額まで明示した記事が2月分としてはあまり見つかりませんでした。ほとんどが調査中の記事なのですが、今後、罰金事例となって出てくるものも含まれて居ますので、私が気になったGDPR関連…

大学は多要素認証を本格的に検討すべきではないか

また大学のOffice365が迷惑メールの踏み台に使われました。 mainichi.jp NHKの記事の方が詳しく書いていたのでこちらを引用します。(しばらくすると消えてしまうと思いますが) 県立大メールに不正アクセス|NHK 島根県のニュース 浜田市にある島根県立大学…

ほとんどの企業はサイバーセキュリティを欠いている。

「ほとんどの企業はサイバーセキュリティを欠いています」。何とも衝撃的なニュースタイトルはインドでの調査結果を受けてつけられた様です。 newstodaynet.com インドのほとんどの企業でのサイバーセキュリティ運用は不十分で、セキュリティのニーズを満た…

アクセス分析

年初以来、色々な記事を多くの方に取り上げて頂ける様になった気がします。とは言え、アクセス分析を見るとたまにびっくりする事があります。2/18はPayPayの記事、2/20は非保持の記事を書いているのですが、アクセス数が過去最高を更新してました。その最大…

パスワードは破られることが前提

8文字パスワードですら危ない。以前からPCの処理能力向上に伴い解読時間は早まると言われてきていましたが、パスワード使用の限界はインターネット公開のシステムにおいてはかなり近いかも知れません。 gigazine.net セキュリティに関する研究を行っている…

VFEmailへのデータワイプ攻撃

米国メールプロバイダのVFMailがハッカーの攻撃を受けバックアップまで含めて18年分のデータが削除されました。 www.darkreading.com ■公式発表 Current Status: 現在の状態: nl101.vfemail.netを使用していない場合は、メールボックスは消えています。自分…

QRコードは犯罪者にも便利になっている

新型コインロッカーを悪用する手法は、海外犯罪者には一般的になりつつある様です。 www.sankei.com 訪日外国人客を装って偽造クレジットカードを所持するなどしたとして、大阪府警南署などは7日、不正電磁的記録カード所持容疑などで、いずれもマレーシア…

トヨタのパスタ

トヨタの記事がDarkreadingに出ていました。パスタとあったのでトヨタが外食に参入!と思ったら、ポータブルで拡張可能な自動車セキュリティ・テストベッドの名称が「PASTA」というオチでした。 www.darkreading.com ◆キタきつねの所感 無人運転などでセキュ…

大学が利用するクラウドサービスはパスワードだけでは守れない。

東京理科大学の個人情報漏えい事件が報じられていました。 www.security-next.com 公式発表 サイバー攻撃による個人情報等の流出について 東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわ…

ビルゲイツは凄かった。

SecurityNextの記事、ふと思い出したのが元マイクロソフトCEOのビルゲイツ氏でした。 www.security-next.com 大丸松坂屋百貨店は、大丸大阪心斎橋店の営業担当者が、顧客情報含む資料を車で移動する際に紛失したことを明らかにした。一部書類が見つかってい…

ソムリエバッジの偽造事件を考えてみた

ソムリエバッジの偽造品がネットで売られていると報じられていました。 www.nikkei.com 日本ソムリエ協会(東京)が認定試験の合格者に交付するバッジがインターネットオークションに出品されていたことが4日、同協会への取材で分かった。協会が自ら落札し、…

JALマイレージの不正交換

JAL会員サイトが、またパスワードの使いまわしの被害を受けたようです。 www.jiji.com ■公式発表 第三者の“なりすまし”による不正ログインを防ぐための大切なお知らせ 逮捕容疑は昨年8月17~18日、福生市の家電量販店などで、不正入手したPоntaポイ…