温故知新というにはちょっと事例が新しいかも知れませんが、2020年のセキュリティを考えるのにあたり、去年何があったか？を考えるのに丁度良い記事が出ていました。

www.cnet.com

◆キタきつねの所感

機会翻訳が少し読みずらいですが、CNET記事にコメントしていきたいと思います。

1月
ホテルグループは、ハッカーがパスポート番号やクレジットカード情報を含む最大3億8,300万人のレコードにアクセスしたことを発表したとき、マリオットは2019年に記録破りの違反で始まりました。これは、Equifax侵害の影響を受けた1億4770万人のアメリカ人の2倍以上です。それで眉が十分に上がらなかった場合、研究者のTroy Huntはクラウドサービスのファイルコレクションで773百万人のユーザーの電子メールアドレス（およびその他の膨大なデータ）を見つけました。

（CNET記事より引用）※機械翻訳

最初のホテルグループというのが、マリオットホテルの2018年の漏えい発表（当初5億件漏えいと言っていました）の修正発表を指しているものと思います。

www.nikkei.com

※昨年11月のJPAC様でのセミナー資料にこの事件分析図を作りましたので参考まで添付します。一言で言うならば、企業買収する際は相手先企業の「セキュリティ」も調査しないと、買収後に痛い目に遭うケースがあるという事でしょうか。（この事件の場合、買収されたのがStarwoodホテルチェーン、買収したのがマリオット）

1月の後半に挙げられたTroyHunt氏の「クラウドサービスのファイルコレクションで773百万人のユーザーの電子メールアドレス（およびその他の膨大なデータ）を見つけました」が、もう1年になるのかと時の流れの速さを感じますが、Collection#1-5と呼ばれるデータ侵害ファイル（DB）です。

2月
2月はオンラインセキュリティにとって残酷な月でした。最も劇的な侵害では、6億1,700万件以上のアカウントが16のWebサイトからされ、ダークWebで販売されました。サイト所有者のDubsmash、Armor Games、500px、Whitepages、およびShareThisでは、ユーザーの盗まれたデータがBitcoinで20,000ドル未満で売られているのが見られました。一方、小規模な違反の一部は、医療違反の独特の残酷さを垣間見ることができました：攻撃者は、最大15,000人のオーストラリア人患者の身代金のファイル、不正な電子メールアクセスにより、326,000人のコネチカット州の患者の記録、百万人のワシントンの患者の情報を公開しました公開されたデータベースに公開されたままで、スウェーデンの国民医療回線に270万件の電話がかかった 記録され、公開されていません。

（CNET記事より引用）※機械翻訳

2月は、DarkWebでの16サイトの個人情報流出です。1.6億円でも約22万円の販売価格で、全データを2万ドル（当時：約220円）で購入できたとの事なので比較的「安い」部類に入るかも知れません。しかしそれ以上に問題だったのが、被害を受けた16サービス側がデータ侵害をまったく検知できておらず、突然のDarkWeb上の販売開始に各社が慌てふためいた事だったかも知れません。

gigazine.net

医療系の事件も2019年も多かった気がしますが、「最大15,000人のオーストラリア人患者の身代金のファイル」は心臓専門の病院の医療ファイルがランサム被害を受けた事件、「不正な電子メールアクセスにより、326,000人のコネチカット州の患者の記録」はメールアカウントの不正アクセス被害による個人情報漏えい事件（多要素認証を入れてない事が原因と思われますが）、「スウェーデンの国民医療回線に270万件の電話がかかった 記録され、公開」は、少し機械翻訳文が読みにくいですが、スウェーデンの国民健康サービスホットラインの通話記録（MP3、Wave)が保管されたNASが暗号化もされておらずに、外から誰でもアクセス可能であった事件が挙げられています。

3月 
数億人のFacebookおよびInstagramユーザーが、ソーシャルメディア企業のパスワードストレージ管理の悪さによって資格情報が公開されたとき、あまり幸せではない聖パトリックの日を見ました。それに比べて、オープンデータベースに保存されている250,000件の法的文書の公開は、一見したところ少ないようです。

（CNET記事より引用）※機械翻訳

「FacebokおよびInstargramユーザのパスワード公開」は、フェイスブックが内部サーバに暗号化してない（平文）状態で数億件のパスワードを保管していた事が内部調査で見つかった事件です。実際に被害が発生したかは不明ですが、この事件を受けて（予防措置で？）3.3億人のユーザがパスワード変更を求めらていましたので、フェイスブックの「ルーズなパスワード管理体制」が、大きな影響を世の中に与えた事は間違いありません。

4月
Facebookは4月に再び先頭を走り、ユーザーの名前、ID、パスワードを保護されていないサーバーに公開した後、5億4,000万件のレコードが公開されました。同じ月、Facebookは数百万のInstagramユーザーのパスワードを危険なほど安全でないプレーンテキスト形式で保存することを認めました。：しかし、4月に起きた別の非常に重要違反曇らせるのは、Facebookの全く恥ずかしをさせないようにしましょう1250万医療記録、妊娠中の女性のが露出されたインド政府の医療機関に所属するリーキーサーバーへの感謝を。

（CNET記事より引用）※機械翻訳

「Facebokが5.4億件のレコードをオンラインに公開されていた」のは、4月に発表があった内部調査結果と違い、外部のホワイトハッカー（UpGuard）がAWS上で「保護されてない状態でFacebookの情報が載ったDBがAWS上に保存している」のを見つけてしまった事件です。Facebookと連携している別アプリがデータベースをAWS上に保存していた事が明らかになりました。こうした外部連携先を含む情報管理についてFacebookは厳しく問われています。

5月
確かに、5月の大きな見出しは、不動産大手のFirst American Financial Corpによって漏えいした1 億件の保険証書でした。しかし、この月には、この恥の殿堂にふさわしい奇妙なオンラインフードファイトもいくつか見られました。Burger Kingは漏れやすいデータベースを残し、その結果、オンラインの子供向けKoolKing Shopの約40,000人の顧客が露出しました。一方、2人のベイエリアの給食会社の激しい対立は、一方のCFOが他方のサイトをハッキングして学生データを公開したことで逮捕されたときにサイバー戦争に変わりました。

（CNET記事より引用）※機械翻訳

「不動産大手のFirst American Financial Corpによって漏えいした1 億件の保険証書」については、Brian Krebs氏のスクープでした。大手保険会社（First American Financial Corp）のサイトで、URL実装に不備があり、パスワードが不要で他人の情報が閲覧可能であった事から、約8億8500万人の登録者情報（銀行口座情報、社会保障番号、運転免許証の画像、住宅ローンおよび税の記録等）が漏えいした疑いがあります。

※URLの末尾を変更すると他人のページになるURL実装

「Burger Kingのデータベースの漏えい」は、件数は約40,000件と多い訳ではありませんが、セキュリティの専門家（ボブ・ディアチェンコ氏）が公開されたデータベースを発見しました。このデータベースはBurger Kingの子供専用オンラインショップの顧客データでした。尚、ボブ・ディアチェンコは、このデータベースをShodan検索で見つけた様です。

6月
請求書収集家のアメリカ医学コレクション協会がハッキングされたとき、少なくとも2000万人の患者がデータを公開していました。ダメージ？患者の支払いデータ、社会保障番号、医療情報、生年月日、電話番号、住所などの違反について、AMCAおよびその契約クライアントに対して複数の集団訴訟が提起されました。結果？医療債務コレクターは、破産を申し立てた多くの債務を抱えていました。

（CNET記事より引用）※機械翻訳

 「医療債務収集のAMCAの破産申請」は、2018年8月~2019年3月までに企業顧客のデータがハッキングにより2000万人以上漏えいし、カード情報がDarkWebで販売されてしまった事件を受けて、その対応負荷に耐え切れずに破産申請をしています。罰金、ITサポート費用、追加セキュリティ対策、訴訟費用、顧客企業の離脱・・・セキュリティリスクが経営課題である（べき）事を物語っている気がします。

7月
ああ、キャピタルワン。百万年前のようですね。名前、住所、郵便番号、電話番号、生年月日などのパーソナライズされたデータを含む、1億クレジットカードアプリケーション、140,000の社会保障番号、80,000の銀行口座番号を銀行が公開したのはわずか5か月前でした。この違反により、Capital Oneは動揺し、ハイテク労働者に転向したハッカーのPaige A. ThompsonがFBIに逮捕されました。驚くべきことに、この違反は、同月のエクイファックスが業界を揺るがす2017年の違反に対して7億ドルで規制当局と決着し、Facebook はケンブリッジ・アナリティカのスキャンダルに続いて記録的な50億ドルで FTCと決着しました。

（CNET記事より引用）※機械翻訳

「キャピタルワンの1億件のデータ侵害」は衝撃的なニュースでした。そしてFBIが逮捕した33歳の技術者がどうやってハッキングしたのかも、、セキュリティ関係者にとっては、怖いものがあったかも知れません。

キャピタルワン事件の裁判所文書によると、トンプソンは、キャピタルワンのアマゾンウェブサービスクラウドサーバーで誤って設定されたファイアウォールを見つけることで情報を盗んだと言われています。司法省によると、調査者はトンプソンが3月12日から7月17日にそのサーバーにアクセスしたと非難した。700を超えるフォルダーのデータがそのサーバーに保存された。

（CNET記事より引用）※機械翻訳

AWSのFW設定ミス・・・・。FWに対する定期的なセキュリティ診断（侵入テストやASVスキャン）は、PCI DSSで必須であり、キャピタルワンもその対象だったはずですが、こうした設定ミスを防ぐことができなかったのも、考えさせるものがありました。

8月
価格が急騰するチケットと自動購読顧客を超えて、MoviePassユーザーは8月に、パスワード保護なしで企業データベースに1億6千万のMoviePassレコードが暗号化されずに残っており、顧客のクレジットカードデータが公開されていないことを発見した悪いニュースを受け取りました。一方、英国では、大規模なリークにより、警視庁、銀行、企業が保有する2780万人の生体認証スタッフの記録が公開されました。

しかし、最大の失恋？出会い系アプリのGrindr、Romeo、3Fun、Reconはすべて、ロサリオのロケールを公開する可能性のあるセキュリティ上の欠陥のために釘付けになりました。

（CNET記事より引用）※機械翻訳

「MoviePassの意図しない孤児客データ公開」では、1.6億件のデータが暗号化されずに残っていた事が見つかりました。データベースをパスワード保護をしない事に関して、スピード（可用性）を考えるとそれが正しい選択に見える場合も多いかと思いますが、顧客データ、あるいはカード情報の漏えいに至ってしまう場合には、その代償は遥かに大きなものとなる場合も多い事についても、多くの企業が認識を正しく持たなければならないのかと思います。

9月
以上の友達プレーヤーのアカウントを持つ2.18億単語は影響を受けました-プレイヤーの電子メールアドレス、名前、ログインIDおよび多くを含む-ハッカーがゲームデータベースの一つになったと前Aにゲームアプリをインストールのだユーザーを対象とする場合重要な更新。影響を受けた者の数は少なかったが、9月にオープンで設定が誤った政府データベースが20.8百万人のエクアドルのユーザー記録を流出させた場合、潜在的により危険な侵害が発生しました。および国民ID番号、完全な自宅住所、子供の情報、電話番号、教育記録。

（CNET記事より引用）※機械翻訳

「Zyngaの人気ゲームWords with Friendsの2億件以上のデータ侵害」について、ゲームアカウントを管理するデータベースが、ハッキング対象となりやすい事と、そして大手ゲーム会社であっても侵害を許してしまうケースがある事を改めて知らしめたと言えます。

10月
心を吹いて、合計でショー停止40億のソーシャルメディアのプロファイルレコードは、セキュアでないElasticsearchサーバー上の公衆にさらされた12億のユニークな人々が露出二つのデータ濃縮会社からの発信元を。これは、これまで見た中で最大の単一ソースの露出の1つです。アドビは、安全でないデータベースにCreative Cloudの顧客レコードを750万件残しました。一方、祖国では、誰でも見ることができるように、2,000万件を超えるロシア市民税の記録がオープンデータベースに残されており、2009年から2016年に収集された情報が示されています。

（CNET記事より引用）※機械翻訳

機械翻訳が読みずらいですが、ソースを見るとホワイトハッカーが「People Data Labsから6.2億件のメールアドレスを含む12億件の個人情報データベースが保護されてない」事が発見されました。この会社はeBayやAdidas等と連携して個人プロファイル分析などを行う会社の様ですが、意図しないデータベース公開が、こうした個人情報を取り扱う事を主業務としている会社からでも発生する事を考えると、日本でも今年当たりから本格化する「情報銀行」でも考えなければいけない事が多いのではないかと思います。

11月
11月のリーク、ハッキング、侵害、露出のリストでは、技術系の従業員の事件がいくつか目立っています。約100人のアプリ開発者がプロファイルデータへの不適切なアクセスを許可された後、Facebookは見出しに戻りました。以前の違反は、およその個人データ盗んだサイバーセキュリティ企業トレンドマイクロ、不正に従業員のアカウントの詳細を、今月明るみに出た同社の顧客の70,000、後に詐欺の顧客にそれを使用します。

（CNET記事より引用）※機械翻訳

Facebookにとっては、改めて個人情報管理を考えないといけないと強く思ったに違いありません。1年で3件が主要インシデントとして挙げられています。「Facebookの開発者100人が必要のないデータにアクセスできた可能性がある」事件は、外部連携アプリだけでなく、グループ管理者の権限付与により必要以上の権限が開発者に設定されるケースがある事が判明した様です。権限管理の原則はNeed to Know（知る必要のある人にだけ・・）、あるいは職務での必要性に基づいたアクセス権付与だと思いますが、そこが不十分である場合、GAFAと言えども訴訟リスクまで抱える可能性がある事を示唆していると言えそうです。

12月
露骨な写真漏えいの被害者であった約100人の女性は、元オランダの政治家である問題のある漏出者が判決を支持するクリスマスイブにプレゼントを期待しています。検察官は、不名誉なNederlanderが以前の公開データベース侵害で見つかった資格情報で女性の個人iCloudアカウントをハッキングしたことが判明した後、裁判官に少なくとも3年間の苦労を伝えるよう求めました。

（CNET記事より引用）※機械翻訳

最後は「iCloudハッキングによるプライベート写真の流出」です。オランダの政治家が100人以上の女性の個人的なiCloudアカウントを侵害して3年の禁固刑を言い渡されました。この事件を聞いていると、2014年のセレブゲート事件を彷彿とさせます。セレブゲート事件と同じく、女性のアカウントに不正アクセスする為に使われたのは、公開情報（SNS等々で公開しているプロフィールや投稿）だった様です。推測ではありますが、パスワードが破られたのかな・・と思います。少し自分のパスワードは・・と思い当たる方（女性）は、乱数生成が可能なパスワード管理ソフトや、”パスワード2.0”を参照頂くと、こうした被害を受ける確率が減るかと思います。

■日本人のためのパスワード2.0   ※JPAC様 ホームページ 

本日もご来訪ありがとうございました。 

更新履歴

• 2020年1月1日PM（予約投稿）

新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。

※私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。」、およびその記事の元となった根岸さんの2011年の「私のセキュリティ情報収集術」の影響を強く受けて、自分なりに試行錯誤しているものです。必ずしも多くのセキュリティ担当の方に向いている情報収集のやり方ではないかも知れません。

■インプットに使っている情報ツール 

情報収集に使っているツールはそんなに変わってません。忙しいセキュリティ担当の方は、いかにRSSをうまく使いこなすかがカギになるのかと思います。

ツール	キタきつね寸評	備考（リンク）
RSS Reader	去年から海外ニュースを拾うのに使い勝手が良かったので、このソフトを使っています。通勤時等のスマホを使った情報収集では、気になるサイトを登録し、更新情報のタイトルを流し読みする様にしています。私の場合は、このツールからの情報インプットが一番多いかも知れません。 ※個人的にウォッチしているサイトはこの記事の下の方でご紹介しますが、以下の様な感じで登録しています。 ※piyokangoさんの記事ではfeedlyが紹介されていますが、使ってみた感じでは海外サイトとの相性が少し悪かったのでシンプルなRSSツールを使っています。他にはトリコロールな猫さんが記事中でご紹介していた、FeedeenはPCやスマホの両方で使い勝手が良さそうなので、今度試してみようかと思っています。	(iOS) (Android）
Yahoo!ニュース	Yahoo!ニュースはテーマ設定をしています。記事によりますが、オーサーや読者コメントが勉強になる事が多く、考える癖をつけるのに役立っています。 ※フォローしているテーマはこんな感じです	(iOS)
SmartNews	一般ニュースを俯瞰的に見るのに重宝しています。 過去数回、当ブログの記事を取り上げて頂いた事がありますが爆発的にアクセスが増えたので、今年も密かに取り上げて頂ける記事を書ければと狙っています。 ※当ブログだと土日はアクセス数が少ないので柔らか目な記事を取り上げる様にしている事が多いのですが、そうしたニュースは比較的SmartNewsやヤフーの一般記事から拾っている事が多いです	(iOS) (Android）
Twitter	Twitterの情報はなんだかんだ言っても早いと思います。ウォッチする時間が取れる方は、上質な情報を発信する方を追いかけるだけで必要な情報の多くはこれで十分かと思います。 私の場合、本業業務の関係であまりTwitterをウォッチしている時間が取れない事が多いので、そんなに有効に利用できていません。 国内であれば、根岸さん、辻さん、piyokangoさん、徳丸さん、、、等々の著名アカウントをフォローしておけば情報に困る事は無いかと思いますが、私は敢えて海外のセキュリティ専門家アカウントを多くフォローする様にしています。 ※ご参考（キタきつねのTwitterフォロワー）	(iOS) (Android）
TweetDeck	以前、名和さんに教えて頂いたツールです。会社のPC(大画面推奨）だと、リアルタイムでTwitter情報を追いかけられます。ハッシュタグをTab単位でウォッチできるので、例えば攻撃情報を更新の流れが頻繁であるかどうかで目に見えて分かりますので、監視を普段している人にはいろいろな活用法がありそうなツールだと思います。	(リンク)

■インプットで参照している情報源（国内）

セキュリティ情報で役立つサイトは、たくさんあるかと思いますが、情報収集という観点で絞り込むと、現在は下記の３つになっています。

最近は、Googleアラートを使ってRSS（前述のRSS Reader）で情報を見ています。アラート用のキーワードに関しては、私は日本語と英語の両方で登録をしています。（設定にもよりますが、かなりの情報を拾ってきますので、タイトルを見るだけでも大変になります）

 ■インプットで参照している主な情報源（海外）

今年は、海外情報サイトをまとめてご紹介します。

サイト	キタきつね寸評
Morning Star sSecurity	Izuminoの様に海外セキュリティ情報が集約されていますので、ここが一番お勧めのソースとなります。 ※当ブログの海外記事は、ここをソースとして拾ってくるケースが結構あります。
Krebs on Security	当ブログの名前（Fox on Security）はBrian氏のサイトにあやかって付けてます。元ワシントンポストの記者でセキュリティ関係のスクープを連発されている事もさる事ながら、10年以上のブログ執筆により、多くの米国を中心としたセキュリティ関係者が、記事の「下」のコメント欄で活発な意見交換をしています。読むのは大変ですが、非常に勉強になります。 Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door 作者:Brian Krebs 出版社/メーカー: Sourcebooks Inc 発売日: 2015/05/01 メディア: ペーパーバック
Schneier on Security	ブルース・シュナイアー氏の著書は日本訳されているセキュリティ本が多数あります。エコノミスト誌は彼を「セキュリティの第一人者」と評した程です。長年この業界で目覚ましい活躍を続ける彼の意見は「教科書」的な重みがある気がします。 ※●● on Securityと評しているブログは、私はこの2氏しか知りません。 セキュリティはなぜやぶられたのか 作者:ブルース・シュナイアー 出版社/メーカー: 日経BP 発売日: 2007/02/15 メディア: 単行本   超監視社会: 私たちのデータはどこまで見られているのか? 作者:ブルース シュナイアー 出版社/メーカー: 草思社 発売日: 2016/12/07 メディア: 単行本
Graham Cluley	30年以上現役で活躍するセキュリティアナリストであり、講演も多数されています。YouTubeにチャンネルも開設されてますが更新頻度はそんなに高くはありません。
Troy Hunt	マイクロソフトのオーストラリア地域ディレクターが本職ですが、彼のデータ侵害に関する研究活動の成果である、データベース「Have I Been Pwned」やブログをウォッチしているファンの方が非常に多く、今やグローバルでのインフルエンサーの一人と言えます。
Security Affairs	ハッカーであり、研究者であり、アナリストでもあるPierluigi Paganini氏が執筆するセキュリティブログです。個人ブログとしては2016年に賞を取った事もある程、質の高い情報発信がされています。 ※個人ではなく組織が運営しているブログだとずっと思ってました
Dark Reading	サイバーセキュリティのWebサイトとしてはここも外せないかと思います。 定期巡回お勧めのサイトです。
SC Magazine	情報セキュリティ系としては30年以上を誇る老舗サイトです。データ侵害、ランサム、脆弱性と、バランスよく記事がUPされているので、こちらも定期巡回お勧めのサイトです。
The Hacker News	攻撃に少し特化した視点での記事が多いので、ここの記事も当ブログでも多数引用させて貰っています。ここも定期巡回お勧めのサイトです。
CSO Online	上位者の視点で知るべき情報がまとまったサイトでありますが、セキュリティ担当が読んでも参考になる情報も多数掲載されています。
Security Week	最新セキュリティニュースは他のサイトと被る事もありますが、セキュリティ専門家の意見、洞察記事が参考になります。
Wired	色々なテーマカテゴリーがあるサイトですが、脅威レベルと、セキュリティの2テーマに関しては定期巡回お勧めのサイトです。当ブログでも何度もお世話になっています。
Mashable	老舗メディアです。当ブログではあまり引用した記憶がありませんが、読み物として良い記事がたくさんある印象です。
Techcrunch	こちらも老舗メディアです。最新テクノロジー関係が強い印象です。
IT Pro Portal	英国で結構人気があるサイトです。技術的な情報が参考になります。
The Register	月間900万人以上のユニークユーザが閲覧するオンラインサイトです。少し毛色の変わった記事も多く、度々当ブログでも引用させて頂いています。
Zero Day	ZDNetの１カテゴリーです。IT業界全般の情報発信がされていて、抑えておくべきサイトの１つだと思います。定期巡回お勧めのサイトです。
Help Net Security	情報セキュリティ関係のサイトでは老舗と言えるかと思います。執筆している専門家も多く、記事の質も高いと思います。定期巡回お勧めのサイトです。
Infosecurity Magazine	情報セキュリティメディアとして多くの読者を抱えるサイトです。幅広いトピックが記事にされていて参考になる部分もありますが、時間が無い方には記事を探すのが少し面倒かも知れません。
Security Boulevard	セキュリティの専門家が数多く記事を書いているコミュニティサイトです。最新セキュリティニュースのみならず多様な情報が掲載されていて、定期巡回お勧めのサイトです。
Bleeping Computer	最新ニュースは当ブログでも度々引用させて頂いており、定期巡回お勧めのサイトではありますが、更に言えば、ここのフォーラム（掲示板）が非常に活発なので、一度覗いてみると面白いかと思います。
ThreatPost	サイバーセキュリティ関係の独自視点でのニュースが参考になります。当ブログでも多数記事を引用させて頂いております。

※補足です。会社の人からも「英語の原文で見ているのですか？」と聞かれる時があります。勿論そうした時もありますが、ざっと記事を見る場合は、Google翻訳を使っている事が多いです。Google翻訳はChromeだと英語のページを開いただけで自動的に訳させる事が可能だったりしますので、英語記事にChromeを使うというのも１つの情報収集を楽にする方法と言えるかと思います。

 ■クレジットカード漏えい事件関係での情報源

※キタきつねの主調査テーマの１つなので、参考までクレジット廻りを紹介します。

 ■クレジットカード関係の情報源

※実行計画2019の後がどうなるのか、とても気になっています。

 ■調査に良く使う便利サイト

最後に、偉大な先人たち（その考え方をパクってオマージュして自分の情報収集法を模索しています）が過去に公開されていた３記事を貼っておきます。私の記事よりも気づきが多いであろう事は請け合いです。

まず、私が3年前に参考にさせて頂いたpiyokangoさんの記事です。よく時間が取れるな・・・と思う程に、多量の記事を俯瞰されている事に改めてびっくりします。

piyolog.hatenadiary.jp

そのpiyokangoさんが参考にされていた根岸さんの記事です。

ukky3.hatenablog.com

仕事柄、日々さまざまなセキュリティ情報を収集して分析することを何年も続けているわけですが、いまだにもっといい方法がないかと悩んでいるんですよね。というわけで、今の自分のやり方を公開しつつ、誰かに別の方法とか教えてもらえないかなーなんて、ちょっぴり期待もしています。

（根岸さん記事より引用）

・・・と書かれていたのを真に受けて、3年連続で記事をＵＰしています。（根岸さんに参考になる部分があるのかは疑問ですが。）

そしてもう１つ。トリコロールな猫さんの記事は、セキュリティの「イエローページ」かと思う程に、関係各所のサイトが網羅されています。総務省、経産省、警察、ＮＩＳＣ、ＪＰＣＥＲＴ、ＩＰＡ・・こうしたサイトの方を中心に情報収集されたい方にとっては、非常に使いやすいリストになっていますし、ＲＳＳリンクも貼られているので、RSSを使って情報収集される方に非常に便利になっていると思います。

security.nekotricolor.com

本日もご来訪ありがとうございました。皆様にとって今年が良い年になる事を！

May the Force be with you !

おまけで、昨年と一昨年の私の記事です。 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

更新履歴

• 2019年12月30日PM（予約投稿）

今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。

The Worst Passwords of 2019 50-1 | SplashData Password Managers

The Worst Passwords of 2019 100-50 | SplashData

◆キタきつねの所感

Splashdataの最悪なパスワードは、毎年発表があるという点で注目されるリストです。元データは今年オンラインから漏えいしたパスワード500万個を元に分析されています。

何はともあれ、ベスト100を並べてみますが、、、先日　最悪なパスワード200（Nordpass調べ） - Fox on Security　を記事にしましたが、順位はともかく、出てくるパターンは良く似ています。数字、キーボード配列、人名（英語圏）、辞書単語、簡単な（容易に推測できる）単語と数字の組み合わせ、、で概ね分類可能です。残念な事に、このリストに掲載されるパスワードはここ数年、ほとんど変化してない事にも留意が必要です。つまり、これだけ容易に推測できるパスワードの使用（パスワードの使い回し）は止めろ！とこうしたリストをベースに多くの専門家、規制当局が世に訴えても、ユーザ側は安易なパスワードを使い続けている事の証明でもあります。

補足です。上位25位までで、新たに登場したパスワードと（SCMagazineの記事にて）書かれていたのは、

　15位の「qwertyuiop」

　17位の「555555」

　18位の「lovely」

　19位の「7777777」

　21位の「888888」

　23位の「dragon」

　25位の「123qwe」

ですが、複雑なパスワードは皆無です。（ドラゴンは以前のリストでみた気がしますが・・・）

NIST SP800-63Bでは、パスワード登録時に、漏えいパスワード辞書（容易に推測できるパスワードリスト）等と比較して、危殆化が疑われるパスワードは登録を拒否する事が、必須（SHALL）と書かれていますが、サービス提供側でここを意識している企業が少ない事も、パスワードに関わる問題に影響している気がします。

総務省のガイドライン等でも、企業にそれを要求していませんが（ユーザ側のガイドライン項目だけをNISTから拾っている様です）、もう少し推奨を強くした方が良いのではないかと思います。　パスワード定期変更不要だけ一人歩きしてないか - Fox on Security

www.soumu.go.jp

本日もご来訪ありがとうございました。

■日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

更新履歴

• 2019年12月29日PM（予約投稿）

国際的な犯罪での「騙す先」が日本市場になりつつある、そうした事をこの事件は表しているのではないでしょうか。

mainichi.jp

　捜査関係者によると、府警が12月5日、国内のリーダー格で、埼玉県川越市の配管工、ウー・チー・マン容疑者（35）を詐欺容疑で逮捕したことが判明。ウー容疑者が、大手通販サイト「アマゾン」で生カード1万枚や機器を購入した記録も見つかった。ウー容疑者は10年以上前に来日しており、府警は東京と大阪の拠点を統括する立場だったとみている。

　一方、商品の購入役は「切り子」と呼ばれ、マレーシアから観光目的で来日するなどしていた。渡された偽造カードを使い、東京や大阪、福岡の繁華街で化粧品などを購入し、だまし取った。1月には、大阪市内の量販店で890万円分の医薬品を購入したケースもあった。現地で人気の日本製の商品を選んでいたとみられる。ウー容疑者が商品を回収し、マレーシアに渡航して詐欺組織に渡すなどしていたという。

（中略）

　警察庁によると、マレーシア人が偽造カードの所持などで逮捕される事件は2018年に180件あり、前年から59件増加。近年、短期滞在ならビザ（査証）がなくても来日できるようになったことや、日本では偽造が難しいICカードに比べて不正が容易な磁気式のカードが普及していることが背景にあるという。【安元久美子】

（毎日新聞記事より引用）

◆キタきつねの所感

マレーシア人の偽造カード系のニュースはこの記事以外にも2件あり、2月の産経新聞の記事の写真を引用させて頂きますが、

偽造クレカ所持容疑 マレーシア人の男女６人逮捕 大阪 - 産経ニュース

ICチップが入ってない偽造クレジットカード（日本のカード会社のデザインとも違う気がします）が押収されています。

5月にも産経新聞の記事がありますが、こちらは写真がありませんが、

マレーシア人の偽造クレカ製造拠点を摘発 大阪府警 - 産経ニュース

同課によると、マレーシア人によるクレジットカードの国内偽造拠点の摘発は全国初。室内からは偽造カードなど約１６００枚と、カード情報を磁気テープに書き込む機器などが見つかった。

（産経新聞記事より引用）

やはり、磁気カード（ICチップ無し）の偽造クレジットカードが押収された様です。

今回の毎日新聞の記事から写真を引用させて頂きますが、奥に見える11月に押収された偽造カードもICチップが無い様に見えます。（ICカードのリーダーライターも押収品に見当たりませんので、磁気カードのみで間違いないかと思います）

観光ビザで入国して、偽造カード利用で逮捕されたマレーシア人、つまり商品の不正購入役が「切り子」と呼ばれるのは初めて知りましたが、この分業制の構図は振り込め詐欺事件の「出し子」と同じです。

つまり日本が犯罪しやすい環境として、海外（マレーシア）犯罪者に認知されている事に他ならないのです。日本国内のカード会社では急速にICカード化が進んでいて、2020年に向けてICカード取引の環境は相当改善するかと思います。

一方でICカードが普及してない国からの旅行者は磁気カードを持っている事はまだあり、こうした差異を海外犯罪者は突いてきていると言えます。

英国の様なCHIP&PIN（磁気カードは受け付けない）施策は無理にしても、切り子が換金しやすい商品を大量に買うドラッグストアや百貨店の現場では磁気カードを場合によっては何枚も使い、同じ商品を購入しているかと思いますので、海外旅行客に対して不審に思った店員は、本人確認の強化（パスポートを見るとカードに書いている名前と違うケースが多いかと思います）が必要なのかも知れません。

※海外では、私もカードでの商品購入時にパスポート提示が求められる事もありますので、日本でも要求できない訳ではないかと思います。

本日もご来訪ありがとうございました。

■日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

更新履歴

• 2019年12月22日AM（予約投稿）