Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

カジノの内部不正

カジノホテルのセキュリティというのはハリウッド映画のオーシャンズシリーズでも”狙われた”程に、よく攻撃対象になるが故に、しっかりしたセキュリティ設計思想がされていると言われていますが、内部犯行への備えは穴がある場合もある様です。日本のカジノ…

Happy 21th Birthday for ScanNetSecurity

普段から記事を拝見しているScan Net Securityさんが21周年であるとの記事が出ておりました。遅ればせながらお祝い申し上げたいと思います。 scan.netsecurity.ne.jp ◆キタきつねの所感 Fox on Securityは11月5日で2周年(2歳)を迎えますが、21年ですか。。…

実はCISOはあまり居なかった

世界を代表する大手企業群、フォーチュン500の公開情報を分析したところ、実はCISOを置いている企業は全体の38%だったというBitglass社の衝撃的な調査結果が発表されていました。 www.helpnetsecurity.com ■Bitglass社の発表 38% of the Fortune 500 do not…

セキュリティ対策は当然の責務

6月末にカード決済を突然停止して、ネットで騒ぎになったECオーダー.comがカード情報漏洩を発表していました。 www2.uccard.co.jp 公式発表 ECオーダー.com不正アクセス発生についてのご報告とお詫び 1、流出の可能性のある期間2019年1月19日から2019年6月2…

JIMOSのカード情報漏えいの続報(EC-CUBE)

朝起きると、、カード情報漏えいのニュースが出ていて慌てて記事を書いてますが、、、JIMOSという名前に既視感が・・と思ったら、8月下旬に漏洩の可能性があるとして記事を書いていた件の続報(詳細報)が出たという事の様です。 tech.nikkeibp.co.jp 公式発…

掃除用品オンラインショップもEC-CUBE

この記事も気づきませんでした。またEC-CUBEサイトからのカード情報漏洩事件ですが、、インシデント件数が昨年の倍以上のペースになっているのが非常に気になります。 www.security-next.com ■公式発表 弊社が運営する「掃除用品オンラインショップ」への不…

着物レンタルのオリフリもEC-CUBE

カード情報漏洩が必ずしも発表されていた訳ではないので、気づくのが遅れましたが、9月に着物レンタルのオリフリがWebページを改ざんされ、フィッシングページに誘導される攻撃を受けた様です。 www.security-next.com ■公式発表 フィッシング詐欺の注意喚起…

サイバーミッション

ロードショーを見れなかったサイバーミッションをようやく観ました。 サイバー・ミッション [Blu-ray] 出版社/メーカー: Happinet 発売日: 2019/06/21 メディア: Blu-ray この商品を含むブログを見る ◆キタきつねの所感 少し前に買っていたブルーレイなので…

PDFを開くだけで暗号化された内容が流出

この記事を読んで、どんなソフトにもJavaScriptは万能すぎると感じました。 gigazine.net ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができ…

老年層向けのセキュリティ

毎日新聞出身で長年ジャーナリストとして活躍されている鳥越氏の老人力を誇る記事が気になりました。 www.news-postseven.com 「最近、娘に言われてiPhoneに替えたら、ネットもLINEも1台でできるようになって、とっても便利になりました。だけど、本人認証が…

PCI DSS v4がやってくる

PCI DSSv4は来年年度末あたりにリリース予定ですが、新仕様についての情報が一部出てきています。 blog.pcisecuritystandards.org ◆キタきつねの所感 PCI DSSなんて一部の人が準拠している規格ではないか?と(=あまり関係が無いと)思われる方は多いかと思…

京都一の傳もEC-CUBE

以前からサイト(決済)停止していたので、西京漬け専門店の京都一の傳は、フォレンジック調査中だろうとは思っていましたが、予想通り、カード情報を漏洩していた様です。 www.security-next.com ■公式発表 弊社が運営する「京都一の傳 お取り寄せページ」…

Amazonのやらせレビュー工場

偶然のリアルタイムで見ていたクローズアップ現代ですが、NHKらしさが出ていて引き込まれました。 www.nhk.or.jp ◆キタきつねの所感 前々からAmazonレビューについては、懐疑的な目で見ていましたが、番組の中で日本人の特性に基づく「攻撃」である事が良く…

顔認証キャッシュレスは普及するか

顔認証キャッシュレスの普及・・・その波が近づいている様です。 diamond.jp そんな中国で次世代決済として始まっているのが顔認証決済だ。顔認証技術は、監視カメラやATMなどで実用化はされていたが、決済での実用化は世界で初めて。2017年秋に中国杭州…

エアバス社へのAPT攻撃

仏エアバス社へのAPT攻撃の記事が出ていました。サプライチェーン攻撃の手法も進化しつつあるところが日本企業でも要注意かも知れません。 www.france24.com 欧州の航空宇宙大手であるエアバスは、ハッカーによる一連の攻撃に見舞われ、商業的秘密を探すため…

令和初の3億円事件

セキュリティの世界では内部からの攻撃(内部犯行)は、件数は少ないけれども成功すると被害額が大きいと言われますが、令和の3.6億円事件はそのリスクをまざまざと見せつけたと言えるかも知れません。 www.fnn.jp ◆キタきつねの所感 FNNの記事で実に良い外…

中小企業はセキュリティ予算の配分を考えるべき

面白そうな記事だな・・と思ったら有料記事でした。残念。 mainichi.jp 中小企業は国内企業の99.7%を占め、日本のものづくりの技術力を支えている。パソコンやウェブサイトを活用した情報発信のほか、会計や調達関連のITツールの導入による生産性向上に取り…

企業のインシデント報告の義務化

この流れは・・・義務化でほぼ確定という事になりそうな気がします。 active.nikkeibp.co.jp 個人情報保護委員会は2019年8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした。現行法令は法…

端末はシャットダウンして帰ろう

地方自治体(公共機関)、病院、学校・・・これらは最近、海外でランサム攻撃の対象となっているセクターで、ランサムで大きな被害を出しています。一方で5.6億円もコストカットに成功した自治体が現れた様です。 gigazine.net アメリカのマサチューセッツ州…

2匹目のドジョウは自分かもしれない

北米の公共向けオンライン請求書支払いポータルClick2Gov(TSM)が集中的に狙われており、多くのインシデント報告が2年前から出ていましたが、どうやら継続して攻撃は続いていた様です。 forbesjapan.com Gemini Advisoryのセキュリティ研究員らは、被害を受…

Demantのランサム被害は102億円

補聴器メーカーのDemantが9月初旬にサイバー攻撃を受けた損失は、最大で6億5000万クローネ(約102億円)になると予想されている様です。 www.grahamcluley.com ■公式発表 Demant A/S - press release: Update on IT infrastructure incident(9/3) Demant A…

ディノス・セシールを学ぶ

パスワードリスト攻撃への対策という点では、ディノス・セシールに適う企業は無いのではないか、そんな思いを改めて認識したニュースでした。 www.security-next.com ■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについ…

キンダンの2015年攻撃

ダンキンドーナッツが2015年に受けたサイバー攻撃で訴えられたと記事が出ていました。 threatpost.com Dunkin 'Donutsは、ニューヨーク州のデータ侵害通知法に違反したとして訴えられています。訴訟では、ダンキンの親会社であるダンキンブランドが、2015年…

Wi-FIジプシー

熊本だから起こった事件なのか気になる所ですが、高速のWi-Fiを無料で・・というニーズは案外あるようです。 www.nishinippon.co.jp 熊本県警水俣署は17日、住居侵入の疑いで、同県水俣市の無職の男(21)を現行犯逮捕した。逮捕容疑は同日午後2時半ごろ、近…

Webカメラは脆弱なまま拡大していく

NOTICEはもう少し見つけられたのではないか・・そんな風にも感じるWizcaseの管理レスWebカメラが全世界に15000台以上見つけられたとの発表でした。 www.wizcase.com ◆キタきつねの所感 どうやら某カメラ映像を公開しているサイトとは別に、wizcaseのホワイト…

ジャックスへの不正アクセス

ジャックスの会員サイトがパスワードリスト攻撃を受けていたと発表されていました。8月下旬にはモバイル側ではありますが、三井住友カードも攻撃を受けており、セキュリティがしっかりしていると見なされてきたカード会社も攻撃対象になりつつあるのかも知れ…

"母親の旧姓"がベストでない理由

秘密の質問は、パスワードリセットの認証手段としては脆弱な方法となりつつあるだけに、そこを触れないのは、折角良い記事なのに残念でした。 president.jp 「IDは使い分けるのが鉄則です。『秘密の質問』ではわかりやすい質問や回答を設定しない。一番知ら…

10mois WEBSHOPもEC-CUBE

2001年からベビー用品のECサイトを運営している「10mois WEBSHOP」からもカード情報漏洩が発表されていました。他の事件とは若干違い、3回にかけて侵害を受けた様です。 www2.uccard.co.jp ■公式発表 個人情報流出に関するお詫びとお知らせ 弊社ウェブショッ…

Naturas Psychos ProductもEC-CUBE

9月17日に、アロマオイル・エッセンシャルオイル通販のNaturas Psychos Productからカード情報漏洩が発表されていました。 www.security-next.com ■公式発表 弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びと…

JTAS StoreもEC-CUBE

日本関税協会のオンラインショップ「JTAS Store」からのカード情報漏洩が発表されていました。 ※仮記事からの更新です。 www.security-next.com ■公式発表 弊会が運営する「JTAS Store」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知…