Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2017-11-01から1ヶ月間の記事一覧

日産自動車の無資格検査問題ついて改めて考えてみた。

SankeiBizのの11月16日の記事を見て、日産の無資格検査問題でISO認定が取り消されて(正確には範囲縮小)いた件が気になりました。 www.sankeibiz.jp この記事を見てまず気になったのが、誰がISO審査をしたのか?という点です。書類審査ベースで審査が進むケ…

日立のWannaCry被害を改めて考えてみた。

ITproの11月21日の記事に、日立のWannaCry対応の件が掲載されていました。この内容を含め日立のWannaCry被害を改めて考えてみます。 インシデントタイムライン 日時 出来事 2017年5月12日深夜~ ドイツのグループ会社の事業所にある電子顕微鏡の操作装置が「…

パスワード管理を少し考えてみた。

朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。 www.asahi.com 事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆる…

Imgurの2014年のハッキング被害を調べてみた。

米国のメジャーなオンライン画像共有/管理サービスを提供するImgurが2014年にハッキング被害に遭っていたことを認めた件について、調べてみました。 japan.cnet.com 公式発表 Notice of Data Breach | The Imgur Blog インシデントタイムライン 日時 出来事…

サウジアラビアへのサイバー攻撃

この記事を書いている時点で日本のニュースは取り上げられていないようなので、書いてみます。サウジアラビアの政府の端末が先進的なサイバー攻撃を受けたようです。 securityaffairs.co 複数のニュースソースを見る限りですが、政府の国家サイバーセキュリ…

OWASP TOP10 2017がリリースされていました。

どうやら1週間前にOWASP TOP10 2017がリリースされたようです。既にご存知の方も多いかと思いますが、PCI DSSにも関係性が深いので、中身を見てみたいと思います。 ◆リリースファイルはGithubにありました。 OWASP Top 10 - 2017 A1: Injection(インジェク…

明日NHK放映ーあなたの家電が狙われている ~インターネットの新たな脅威~

明日のNHKスペシャル「あなたの家電が狙われている~新たなサイバーテロの脅威~」はちょっと見てみたいと思っています。何となく再放送されそうな気もしますが。 2017年11月26日(日) 午後9時00分~9時49分 www6.nhk.or.jp インターネットの裏社会で暗躍するハ…

カード偽造リスクがすぐそこまで迫っている。

日本経済新聞の11月22日の記事を見て、中国籍の3人が逮捕された事件、非常に気になりました。 www.chunichi.co.jp 事件自体は、愛知県警さんが未然に事件を防いだという事なのですが、事件を扱っていた映像(CBCニュース)を見ますと、小型のカード製造設備…

ウーバーが5700万人の個人情報を不正流出した事件をまとめてみた(再更新)

2017年11月21日、米国配車サービス大手のウーバー・テクノロジーズがブルームバーグに対し昨年10月のハッカー攻撃により顧客とドライバー合わせて5700万人の個人情報が流出していたことを明らかにしました。この関連情報をまとめてみます。 インシデントタイ…

やっぱり眼のつけどころが違う?

SankeiBizの11月17日記事を見て、ついつぶやいてしまいます。「眼のつけどころが違う」と。。。 www.sankeibiz.jp スマートフォンでお掃除ロボットを操作する・・・必要があったのでしょうか、という根本的な疑問はさておき、外部ネットワークにつないでいる…

公衆無線LANの規制強化

SankeiBizの11月16日記事を見て、規制した方がいいだろうなぁと思いました。パスワードレスで接続する、しかも長時間つないでもネットワークが途切れなければ、それなりのスピードで接続ができる・・便利を許容する事も必要ですが、無料には制約があっても良…

Take the Red Pill

10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」がとても面白かったです。 セキュリティ業界に関与する人で、Brian Krebs氏を知らない人は相当もぐりかもしれません。元ニューヨークタイムズ誌の…

HB-101ネットショップ本店サイトへの不正アクセス事件をまとめてみた。

2017年11月15日、植物活力液や健康食品の製造・販売を行うフローラのECサイト(HB-101ネットショップ本店サイト)が不正アクセスにより、クレジットカード情報635件が漏えいした可能性がある事を発表しました。この関連情報をまとめてみます。 インシデント…

PCI DSSをやらないなら、リスクは許容されなければならない

ZDネットさんに、PCI DSSの記事が出てました。専門分野でもあるので少しコメントしてみます。 japan.zdnet.com 記事内容として、クレジットカード業界の置かれている状況がよくまとまっています。また日本では2008年から普及への取り組みが始まったという辺…

サイバーセキュリティにおける現状を変える7つのポイント

10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」での書き忘れ。 www.itmedia.co.jp Krebs氏は講演の最後に7つのポイントを挙げています。 侵害を受けている前提で対処せよ。赤い薬を飲め コンプ…

ミヨシ石鹸への不正アクセス事件をまとめてみた。

2017年11月13日、せっけんのECサイトの通信販売サイトに不正アクセスにより、クレジットカード情報392件が漏えいした事を発表しました。この関連情報をまとめてみます。 インシデントタイムライン 日時 出来事 2017年6月6日 ~2017年8月31日 クレジットカー…

スターがついてました。

何となく時間が取れたのではてなBlogで書き始めてみましたが、未だに試行錯誤です。以前はココログでぶつぶつつぶやいていたりしてたのですが、機能制約で例えば表が作れなかったり、piyologさんみたいな記事が書けないところが面倒であまり事件記事をUpして…

Apple社員のNDA

今週読んでいて気になったニュース。いまさら感がありますが、10月末に流れていたのが「Apple社員の娘がiPhoneXの動画を公開」というもの。「会社の秘密情報は家族であれ漏らさない」ことの重要性を改めて認識させられます。 11月3日に発売されたiPhoneXです…

英国民保険サービス(NHS)のパッチ当て

ZDNet Japanの10月30日記事を見て、考えてみたのですが、人の命を守る機器についてのパッチ当てというものは、訴訟問題にも発展しかねないので慎重になる医療機関が多いのかも知れませんね。 japan.zdnet.com WindowsXPを使い続けていた IT部門からパッチ適…

群馬銀行のマイナンバー書類の誤裁断事件を考えてみた。

群馬銀行は11月9日、マイナンバーの告知の返信用封筒440通ならびに封入物をシュレッダーにより誤って裁断した事を発表しました。紙媒体の個人情報漏えい(の可能性がある)事件は、普段はあまり調査をすることはないのですが、リリースを見ると気がかりな点…

情報セキュリティEXPOに行ってきた。

情報セキュリティEXPO秋に行ってきました。幕張は(心理的に)遠いので、秋は久しぶりです。やはり春とは雰囲気違いますね。 それなりに刺激を受けてきましたが、大手企業の出展が少ないので製品・サービスの売り込みがやや強いイメージですかね。 小さいブ…

AWS利用時の情報漏えいリスク

オーストラリアの政府と2つの銀行の個人情報が5万件漏えいした可能性との記事(11/3)。記事を見ると、Amazonのクラウドサーバに保存していたバックアップデータの設定ミスで、インターネットからアクセスできたかも知れないという内容でした。サードパーテ…

フジテレビダイレクトへの不正アクセス事件をまとめてみた。

2017年11月11日、フジテレビが運営するチケット販売サイト「フジテレビダイレクト」にてリスト型攻撃による不正ログインが発生し、チケットの不正購入が行われていたことを発表しました。ここでは関連情報をまとめます。 インシデントタイムライン 日時 出来…

縦横遊(香港大手旅行会社)の情報漏えいについてまとめてみた。

2017年11月7日、香港の大手旅行会社、縦横遊(WWPKG)の顧客データベースが不正アクセスを受けたことを発表しました。ここでは関連情報をまとめます。 ※香港の旅行会社初のサイバー被害 ※同社は日本向けの旅行パッケージを多く手がけている インシデントタイ…

見せる警備

トランプ大統領ご一行様は、日本、韓国と無事に日程を消化し、中国に移っていますが、日本のモノモノしい制服警官の嵐(東京)は、「見せる警備」というものだったのですね。 NHK NEWS WEB www3.nhk.or.jp >制服姿の警察官を多数立たせ、警戒している姿をあ…

タカゴルフホームページへの不正アクセス事件をまとめてみた。

2017年11月7日、ゴルフ用品のECサイト(タカゴルフホームページ)のWEBサーバへの第三者による不正アクセスにより、クレジットカード情報を含む個人情報2,339件が漏えいした事を発表しました。この関連情報をまとめてみます。 インシデントタイムライン 日時…

iCloudタレントアカウントへの不正アクセス事件をまとめてみた。

2017年11月1日、福岡県警は、「iCloud」へ不正にアクセスしたとして逮捕された長崎県の男が、ほかにも人気モデルなど複数の芸能人を含む10人のデータに不正にアクセスしていたとして再逮捕しました。この関連情報をまとめてみます。 インシデントタイムライ…

Twitterのタレントアカウントへの不正アクセス事件をまとめてみた。

2017年11月2日、神奈川県警サイバー犯罪対策課は、不正アクセス禁止法違反容疑で、東京や神奈川などの高校生や大学生ら女9人を横浜地検に書類送検しました。この関連情報をまとめてみます。 インシデントタイムライン 日時 出来事 2015年11月~2017年8月 男…

WINWINSTYLEへの不正アクセス事件をまとめてみた。

2017年10月30日、株式会社インタープランニングは同社の運営する「WINWINSTYLE STORE&OUTLET」において、第三者による不正アクセスを受けクレジットカード情報(53件)が流出した可能性があることを発表しました。その関連情報をまとめてみます。 インシデン…

【歓迎】トランプさん

トランプさん、来日しましたね。先ほどのNHKニュースを見ていたら、埼玉のゴルフ場への移動までもヘリでライブ追跡をしている様でしたが、、はたしてあの情報は必要なのでしょうか? 海外要人のセキュリティ面・・・勿論大丈夫なのでしょうが、テロが怖い今…