Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

EC-CUBE構築サイトは攻撃を受け続ける可能性が高い

東京新聞のEC-CUBEに関する記事を読んで、納得する部分も多くありましたが、少し認識が違う点もありました。 www.tokyo-np.co.jp インターネット通販サイトで買い物中に偽のクレジットカード決済画面が現れ、利用客の入力したカード情報を盗まれる新手口の被…

ユニクロのセキュリティへの意識

ユニクロの46万件の不正アクセス事件を遅まきながら取り上げてみます。事件発表から少し経ちましたが、流出件数が大きな割には、追加情報(記事)が出てこない印象です。 www.nikkei.com 公式発表 「リスト型アカウントハッキング(リスト型攻撃)」による弊…

トップガンから感じる事

1986年にこの映画を見た時は衝撃的でした・・・トム・クルーズ最高!という話ではありません。 トップガン (字幕版) 発売日: 2013/11/26 メディア: Prime Video この商品を含むブログを見る トップガンはトップガンでも、こちらの方でした。 www.nhk.or.jp …

宅地建物取引業者情報への不正アクセス

東京都のページが狙われた様です。宅建情報サイトが不正アクセスを受けたとの発表が出ていました。 ■公式発表 「宅地建物取引業者情報のインターネット情報提供システム」の利用停止について ◆キタきつねの所感 東京都管轄の検索サービスという事もあり、時…

サプライチェーンが破られるのは当然

何とも恐ろしい調査結果が出ていましたが、インシデントベースで考えると、日本企業は危ないとの私感ともそんなにブレてない結果でもありました。 www.nikkei.com 大阪商工会議所は10日、取引先のサイバーセキュリティー対策に関する調査結果をまとめた。取…

小田垣商店のカード情報漏洩事件

ユニクロの件を調べようと思っていたら、カード情報漏洩事件が発表されていました。丹波の黒豆販売の老舗、小田垣商店が今度はターゲットとなってしまった様です。 www2.uccard.co.jp 2.クレジットカード情報流出の概要(1)原因・不正アクセスの手口弊社が…

マリオットが1億ドル訴えられる

マリオットホテルが1億ドル集団訴訟で訴えられたという記事が気になりました。 calgarysun.com マリオットのホテル帝国からのゲスト情報の大量のデータハックは、カルガリーで1億ドルの集団訴訟を引き起こしました。 女王のベンチカルガリー裁判所に提出され…

Facebookがトルコで27万ドルの罰金

久しぶりにGDPRの記事を目にしました(見つけました)。 www.dailysabah.com トルコのPersonal Data Protection Authority(KVKK)は、データ侵害と当局への問題の報告の失敗に関して、ソーシャルメディアプラットフォームFacebookに対して1,650,000のトルコ…

お茶の水女子大のセキュリティを考える②

セキュリティは見かけ上だけで『万全』であるかは分からないと、悠仁様の通われている付属中への不正侵入事件の続報を見ていて感じました。 www.nikkei.com お茶の水女子大付属中学校(東京・文京)で秋篠宮家の長男、悠仁さまの机に刃物が置かれていた事件…

テスラの社内メール漏えいを考える

テスラが困っている姿は日本企業の明日の姿であるかもしれません。 www.cnbc.com Teslaのセキュリティチームは今週従業員に会社情報の漏洩を止めるよう警告を送った。 CNBCと共有され、匿名を要求した複数の現在の従業員と確認されたこの電子メールは、「私…

RSSリーダのメンテナンス

GW中に何をやったか?その答えのひとつがRSSリーダのメンテナンスでした。普段はあまり時間が取れないのですが、じっくりと記事の参考になりそうなセキュリティサイトを調べてました。特に海外のサイトはかなり今回の調査で増やしたので、良い情報ソースにな…

EV証明書(緑の鍵)も過信できなくなってきた

新しいAndroid端末への攻撃手法、URLバー(インセプションバー)を使った騙し(Fake)は、日本でも警戒すべきかも知れません。 nakedsecurity.sophos.com このトリックは、Android版のChromeブラウザが貴重な小画面のスペースを節約する方法を悪用しています…

飛行機での会議は不要

米国系の航空会社がエンターテイメントシステム提供のためのモニターに付属するカメラにカバーをつけ始めたという記事が出ていました。 www.buzzfeednews.com ユナイテッド、デルタ、そしてアメリカン航空は彼らのシートバックエンターテインメントシステム…

BECはついに宗教にも

企業の経営者、学校・・・ビジネスメール詐欺(BEC)は宗教関係にもその魔手を伸ばしてきた様です。www.wkyc.com オハイオ州ブランズウィック - ブランズウィックのセントアンブローズカトリック教区の指導者たちは、改装のために指定された教会からハッカー…

エーデルワイン オンラインショップのカード情報漏えい

GW前に一度この記事に関して書いていたのですが、PCがフリーズして原稿データが吹っ飛んでしまったキタきつねです。カード情報漏えい(専門にやや近い)という事もあり、リベンジで記事を書いてみます。 scan.netsecurity.ne.jp 2018年10月31日に完了した調…

手札は晒さないのがポーカー

日本に、そんなに良い攻撃ツールあるのでしょうか? www.tokyo-np.co.jp 政府は、日本の安全保障を揺るがすようなサイバー攻撃を受けた場合に反撃するとして、防衛省でコンピューターウイルスを作成、保有する方針を固めた。相手の情報通信ネットワークを妨…

選挙も命がけに・・・

セキュリティとは関係ないのですがGW中という事でご容赦下さい。海外のこの記事が気になりました。 jp.reuters.com インドネシアで17日に実施された選挙で、職員らが手作業での開票を長時間続けた結果、27日夜の時点で272人が過労とみられる原因で死…

CIAの頭の体操

CIAがインスタグラムアカウントを突如開設した様です。 www.theverge.com CIAのディレクターGina Haspelが先週アラバマ州のAuburn大学での講演中に、諜報機関が写真共有プラットフォーム上でプレゼンスを構築することを発表すると発表したので、発表は本当に…

警察の意地を感じた

令和になる前に捕まえたかった。そんな想いを感じる逮捕のニュースでした。 www.sankei.com 警視庁捜査1課は校内の防犯カメラに写っていた作業員風の男が関与したとの見方を強め、カメラ画像を移動方向にたどる「リレー方式」と呼ばれる捜査で足取りを追跡…

オフィス365の安全性向上

マイクロソフトが重い腰を上げた様です。Office365へのセキュリティコンプライアンス改善を4/30に発表しました。 www.microsoft.com Microsoft 365 E5およびE5コンプライアンスにもたらされる新機能 組織外で共有されている暗号化された電子メールを制御する…

将棋はセキュリティと同じである。

令和最初の記事をどうしようかと、少し考えていたのですが、平成を代表する若手棋手、藤井聡太七段のこのコメントを取り上げてみます。 hochi.news 日本将棋連盟は29日、都内で平成回顧イベント「棋才 平成の歩」を開催し、谷川浩司九段(57)、清水市代…

お茶の水女子大のセキュリティを考える

平成最後の記事は、お茶の水女子大学付属中学校のセキュリティを取り上げたいと思います。 www.tokyo-np.co.jp 秋篠宮家の長男悠仁(ひさひと)さまが通うお茶の水女子大付属中(東京都文京区)で、悠仁さまの机付近に果物ナイフのような刃物二本が置かれて…

木造建築での喫煙

ヒヤリハットは正しいのかなと思わせるAFPの記事でした。 www.afpbb.com 大火災に見舞われたフランス・パリのノートルダム大聖堂(Notre Dame Cathedral)で、火災発生前から行われていた建物の改修に当たっていた作業員らが、同大聖堂での禁煙規則を厳守し…

PDCAはDCがセットでなければいけない

IBMの調査には日本(大手)企業も含まれていると思いますが、欧米を含めた調査データでこの実施率であれば、ほとんどの日本企業はそれよりも低い実施率であるのは間違いない様です。 www.itmedia.co.jp 米IBMは2019年4月11日(現地時間)、企業のサイバー攻…

教員へのセキュリティ教育も重要

普段はUSB盗難というのは、あまりインデント調査の興味を惹かれないのですが、この発表は少し気になりました。 www.security-next.com ■公式発表 【お詫び】海外出張中の本学教員による個人情報を含むUSBメモリ等の盗難について 1. 盗難の経緯 オランダに海…

高い大学の授業料

大学はセキュリティ対策を怠る事のリスクをもっと真剣に考えるべきかも知れません。 www.seattletimes.com ワシントン州立大学は、 2017年に100万人以上の個人情報を格納したハードドライブがセルフストレージロッカーから盗まれた後、費用のかかる教訓を学…

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。 www.zdnet.com Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出…

パスワード定期変更不要だけ一人歩きしてないか

内容として決して間違っている訳ではないのですが、記事を読んでいてSP800-63で書かれている事との違和感を感じました。 tech.nikkeibp.co.jp 「企業IT利活用動向調査2019」速報によると、2018年3月に総務省がパスワードの定期的な変更は不要との見解を示し…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

ななつ星ギャラリーのカード情報漏えい

ななつ星サイトからの個人(カード)情報漏えい事件について少し調べていたのですが、時間が取れずまとめられていませんでした。 www.nikkei.com JR九州は12日、豪華寝台列車「ななつ星in九州」の関連商品を販売する通販サイトが外部から不正アクセスを受け…