Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

SMSは多要素認証から外れ始めている

7Payの事件で一気に社会的認知度が上がった『多段階認証』ですが、ドイツの銀行で多段階(要素)認証としえてSMS(OTP)の使用が停止される様です。 www.helpnetsecurity.com ドイツの銀行は2番目の認証/検証要素を提供するためにSMSの使用をやめる ドイツの…

不動産会社がGDPRで1000万円の罰金

GDPRで罰金を課されるケースも増えてきていますが、不動産会社もその例外ではないようです。 ico.org.uk ICO(Information Commissioner's Office)は、 18,610人の顧客の個人データを約2年間公開しているとして、ロンドンの不動産会社に£80,000の罰金を科し…

Pwned Password v5のリリース

Troy氏のPwned Passwordsの新バージョンが7/9に出ているのですが、日本ではあまり報じられていないのが気になります。 www.troyhunt.com 今日、さらに6か月間パスワードを収集した後、私はサービスのバージョン5をリリースします。この間に、私はそれらがプ…

FIDO2がやってくる

パスワード2.0というレポートを先日出してはいますが、私は次の認証手段として最有力なのは、FIDO2(生体認証)だと思います。 www.atmarkit.co.jp Microsoftは2019年7月10日(米国時間)、「Azure Active Directory」(Azure AD)でパスワードレス認証を可…

スプリントへの迂回攻撃

この米国通信キャリア大手のスプリントへの不正アクセスも、サプライチェーン攻撃と言えるかも知れません。サムソンのサイトから不正試行が試みられた影響で(念のため)顧客のPINが初期化されたとForbesが報じていました。 forbesjapan.com 米国の通信キャ…

ビットポイントの暗号鍵管理

ビットポイントの記者会見の映像を見ていたのですが、調査中という事もあるので仕方がない事だとは思いますが、肝心の鍵暗号化鍵の管理について、回答が控えられていたのは少し残念でした。 www.itmedia.co.jp 約30億円相当の仮想通貨不正流出を起こした仮想…

ランサム攻撃への7つのステップ

ITGovernance Blogにランサム攻撃への7つのステップ(対策)記事が上がっていましたので紹介します。 www.itgovernance.co.uk 1.データをバックアップして攻撃に備える身代金の支払いを避け、壊滅的な遅れを避ける唯一の方法は、あなたがあなたの機密情報の…

空きポートを物理的に塞ぐ必要はあるのか?

日経Networkさんの7月号、あまり訳に立たない対策ではないかと考えてしまいました。 tech.nikkeibp.co.jp LANスイッチの空いているポートは、パソコンを勝手に接続され、LANを流れる情報を盗まれる恐れがある。また会議室などにある使われていないLANケーブ…

GDPR違反で年間売上高の3%の罰金

マリオットが傘下に収めたスターウッドが予約DBの侵害を受け、800万件のクレジットカード情報等が漏洩した事件で英国のデータ保護当局(ICO)がマリオットに対して9900万ポンド(約134億円)の罰金を科す見込みと発表されました。 jp.techcrunch.com 英国のデ…

中部電力の不正ログイン

中部電力の顧客向けサイトがパスワードリスト攻撃の被害を受けていた件が報じられていました。 www.sanspo.com ■公式発表 「カテエネ」における不正ログインについて 中部電力は12日、家庭向けインターネットサービスで不正ログインがあり、顧客の氏名や住…

APT攻撃でもGDPR罰金は250億円

英国のブリテッシュエアウェイズ(BA)が2018年に受けたサイバー攻撃に対するGDPR違反の罰金が約250億円になると報じられていました。 www.nikkei.com 英国の個人情報保護当局は8日、英航空大手ブリティッシュ・エアウェイズ(BA)から2018年に大量の顧客情…

EC-CUBEは管理者ログインを守らなければならない

EC-CUBEは利用ユーザ(店舗)数が約3.5万と、日本で最も利用されているECサイト構築パッケージと言っても過言ではないかと思います。しかしユーザ数が多いが故に犯罪者(ハッカー)に狙われやすく、今年に入ってからカード情報漏洩の発表があった22件中、11…

大学のOffice365はまだ狙われている

7Payなど、大きな注目を集めるニュースに流されてネタを拾うのが大変なのですが、東北工業大学のクラウドメール侵害が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによる個人情報漏洩の可能性及び迷惑メール送信に関するお詫び 東北工業大…

退職者管理がおざなりになっていないか

退職した会社のIDとパスワードを不正に別な会社で使う事件で、不動産コンサルタントが逮捕されたとの報道がされていました。 www.youtube.com 退職した会社のIDやパスワードを使って登記情報に不正にアクセスし情報を得ていたとして、不動産コンサルタント…

7Pay記事の影響(アクセス数過去最高)

セキュリティ業界(リサーチャー)の諸先輩方から見れば、大した話ではないかと思いますが、7Payの記者会見の記事が当ブログの過去最高アクセス数をたたき出しました。 foxsecurity.hatenablog.com アクセス数が午前中の段階で1000を超えてたので、いかに世…

沈黙のハッカーは警備員をも黙らす

インド、スリランカ、カザフスタンの銀行の銀行を襲ってきた「Silence(沈黙)」と呼ばれるハッカー集団がバングラデッシュでも猛威を振るっていた様です。www.zdnet.com 銀行を攻撃することを専門とするハッカーのグループが再びヒットしました、そして今度…

AWSは設定ミスを意識しなければならない

世界最大の企業にデータ管理、倉庫保管、複製サービスを提供するイスラエルのIT企業Attunityが、Amazon S3の設定不備があり、顧客の情報まで意図せず公開していたと報じられていました。 www.zdnet.com 漏洩しやすいAWS S3バケットには、Attunity自身の業務…

NISTがIoTリスクガイドラインを発行

NOTICEの記事を調べていたらNISTが新たなIoT機器のリスクガイドラインを発表している事に気づきました。 www.darkreading.com NISTは、管理者がライフサイクルを通してモノのインターネット(IoT)デバイスに伴うリスクを理解し管理するのを支援することを目…

「日本人のためのパスワード2.0」

本日は、宣伝です。 日本プライバシー認証機構(JPAC)様とご縁があり、 昨日ホワイトレポート『日本人のためのパスワード2.0』をリリース頂きました。 ■ホワイトペーパーダウンロード ※JPAC様 ホームページ 過去に(本業の方で)自分の書いた原稿が世に出た…

7Payの緊急会見を読み解く

週末のニュース番組を見ていても、7Payの事件が繰り返し流されていて、週末ブロガー(※ほとんどの記事は週末に書いています)の私としても、取り上げなければならないのではないかと思い始めました。とは言え、既に多くの識者の方々が様々な観点から事件を分…

猿に破られるセキュリティ

沖縄こどもの国から脱走した14匹の猿が無事に捕まったというニュースに、セキュリティ検証の重要性を感じました。 www.okinawatimes.co.jp 29日は朝から立て続けに捕獲。最後まで逃げていた「おはぎ」(雄8歳)は同日午前11時35分ごろ、北中城村島袋…

防犯カメラは一体型へ

東急電鉄がIoTube導入を検討する様です。 news.livedoor.com 東急電鉄とソフトバンクは、LED蛍光灯一体型の防犯カメラ「IoTube(アイ・オー・チューブ)」を東急大井町線の車両に試験導入する。 「IoTube」は、Wi-Fiや4Gのデータ通信によってカメラ映像を送…

カード漏洩はビジネスを止める可能性がある

1日2件のカード情報漏洩事件発表というのは珍しいかも知れません。デジブックオンラインがカード情報漏洩を発表していました。(※なので珍しく1日2件記事をUPします) www2.uccard.co.jp ■公式発表 弊社が運営する「みんなのデジブック広場」への不正アクセ…

石井スポーツは2サイト閉鎖している

米国の独立記念日(7月4日)を祝っての祝砲?なのかと思う程に、ECサイトからのカード情報漏洩事件が立て続けに発表されています。スキー用品販売で有名な石井スポーツも被害を受けた様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「Ski&Winter Sport…

ECサイトは狙われ続けている

2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。 www2.uccard.co.jp ■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる…

富士通やNTTデータ経由の攻撃があるかもしれない

この記事の影響は日本企業にも大きいかも知れません。日本を代表するハイテク企業、富士通やNTTデータがAPT10によるハッキング被害を受けていたとロイターが報じていました。 jp.reuters.com 中国政府とつながりのあるハッカー集団「APT10」が「クラウ…

NOTICEの結果発表

2月から実施されていたNOTICEの結果が公開されていました。正直・・・もっと悪い結果が出ると思っていました。 www.soumu.go.jp ■実施状況の概要 IoT機器調査及び注意喚起の実施状況について ◆キタきつねの所感 あれ、こんなもんですか?と言うのが正直な感…

富洋観光開発のカード漏えい

またECサイトからのクレジットカード漏洩事件です。とは言え、漏洩原因が「Heartbleed」というのは意表を突いてました。 www.security-next.com 洋菓子や和菓子の通信販売サイト「見波亭」の旧サイトが不正アクセスを受け、顧客のクレジットカード情報が流出…

ベネッセが受けた信用損害

2014年に発生したベネッセ個人情報漏洩事件の影響が未だに尾を引いている事は、日本企業のセキュリティ投資に対する警鐘と考えた方が良いのかも知れません。 mainichi.jp ベネッセコーポレーションの情報流出事件を巡り、被害に遭った顧客らが損害賠償を求め…

日本はスパイ天国で居続ける

日本は自由すぎる国である事を、この記事を読んで改めて感じます。 www.epochtimes.jp 中国当局の情報機関に協力しスパイ活動を働く公職員や軍関係者を厳罰する「国家安全法」改正案が19日、台湾の立法院(国会)の第三読会(三読)を通過し、可決した。改正…