Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2017-01-01から1年間の記事一覧

Sacramento Regional Transitへのマルウェア侵害事件を調べてみた。

この事件も日本のニュースでは、まだあまり取り上げられていないようなので、米国カリフォルニア州サクラメント市のRegional Transit(SacRT)がハッカーによる攻撃により30百万のファイルが削除され、ハッカーから1BTC(約8000ドル)の要求を受けた事件を…

Forever 21のPoS侵害事件を調べてみた。

この事件も日本のニュースでは(まだ)取り上げられていないようなので、少し前の情報ですが書いてみます。Forever 21がPoSシステムへの攻撃を受けてクレジットカード情報が不正流出したようです。 thehackernews.com Forever 21はサードパーティから店舗の…

ITmediaセミナーのセキュリティリサーチャーズナイトに行ってきた。

ITmediaさん主催で、11月30日に開催された「ITmedia エンタープライズ セキュリティセミナー」(東京)に行ってきました。そのうちITmediaさんが関連記事を出してきてくれると思います(信じています)が、まだ出てきてないようなので、個人的に一番興味があ…

内部犯行による不正アクセス

神戸新聞社の11月17日記事を見て考えてみたのですが、この手の内部犯行が発表されたのはかなりレアな気がします。 www.47news.jp 記事を調べている11/20時点ではグローリー社もリリースを出していないようです。 普通は何かしらのコメントが出ているものです…

城山観光ホテル オンラインショップへの不正アクセス事件を調べてみた(更新)

鹿児島の城山観光ホテルのカード情報漏えい事件・・・一度29日にUPしたと思うのですが、誤って消したのか記事が無かったので、(思い出しながら)書き直し、併せて追加情報を補足更新します。 netshop.impress.co.jp インシデントタイムライン 日時 出来事 2…

上光証券の不正アクセス事件についてまとめてみた。

上光証券が11月20日付で、不正アクセスによる個人情報流出懸念のお詫び文を出していましたので、少し見てみます。とはいえ、あまり不正アクセスの詳細についてあまり詳細に開示されていません。証券会社の顧客は一般企業以上に機微な個人情報となる可能性が…

日産自動車の無資格検査問題ついて改めて考えてみた。

SankeiBizのの11月16日の記事を見て、日産の無資格検査問題でISO認定が取り消されて(正確には範囲縮小)いた件が気になりました。 www.sankeibiz.jp この記事を見てまず気になったのが、誰がISO審査をしたのか?という点です。書類審査ベースで審査が進むケ…

日立のWannaCry被害を改めて考えてみた。

ITproの11月21日の記事に、日立のWannaCry対応の件が掲載されていました。この内容を含め日立のWannaCry被害を改めて考えてみます。 インシデントタイムライン 日時 出来事 2017年5月12日深夜~ ドイツのグループ会社の事業所にある電子顕微鏡の操作装置が「…

パスワード管理を少し考えてみた。

朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。 www.asahi.com 事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆる…

Imgurの2014年のハッキング被害を調べてみた。

米国のメジャーなオンライン画像共有/管理サービスを提供するImgurが2014年にハッキング被害に遭っていたことを認めた件について、調べてみました。 japan.cnet.com 公式発表 Notice of Data Breach | The Imgur Blog インシデントタイムライン 日時 出来事…

サウジアラビアへのサイバー攻撃

この記事を書いている時点で日本のニュースは取り上げられていないようなので、書いてみます。サウジアラビアの政府の端末が先進的なサイバー攻撃を受けたようです。 securityaffairs.co 複数のニュースソースを見る限りですが、政府の国家サイバーセキュリ…

OWASP TOP10 2017がリリースされていました。

どうやら1週間前にOWASP TOP10 2017がリリースされたようです。既にご存知の方も多いかと思いますが、PCI DSSにも関係性が深いので、中身を見てみたいと思います。 ◆リリースファイルはGithubにありました。 OWASP Top 10 - 2017 A1: Injection(インジェク…

明日NHK放映ーあなたの家電が狙われている ~インターネットの新たな脅威~

明日のNHKスペシャル「あなたの家電が狙われている~新たなサイバーテロの脅威~」はちょっと見てみたいと思っています。何となく再放送されそうな気もしますが。 2017年11月26日(日) 午後9時00分~9時49分 www6.nhk.or.jp インターネットの裏社会で暗躍するハ…

カード偽造リスクがすぐそこまで迫っている。

日本経済新聞の11月22日の記事を見て、中国籍の3人が逮捕された事件、非常に気になりました。 www.chunichi.co.jp 事件自体は、愛知県警さんが未然に事件を防いだという事なのですが、事件を扱っていた映像(CBCニュース)を見ますと、小型のカード製造設備…

ウーバーが5700万人の個人情報を不正流出した事件をまとめてみた(再更新)

2017年11月21日、米国配車サービス大手のウーバー・テクノロジーズがブルームバーグに対し昨年10月のハッカー攻撃により顧客とドライバー合わせて5700万人の個人情報が流出していたことを明らかにしました。この関連情報をまとめてみます。 インシデントタイ…

やっぱり眼のつけどころが違う?

SankeiBizの11月17日記事を見て、ついつぶやいてしまいます。「眼のつけどころが違う」と。。。 www.sankeibiz.jp スマートフォンでお掃除ロボットを操作する・・・必要があったのでしょうか、という根本的な疑問はさておき、外部ネットワークにつないでいる…

公衆無線LANの規制強化

SankeiBizの11月16日記事を見て、規制した方がいいだろうなぁと思いました。パスワードレスで接続する、しかも長時間つないでもネットワークが途切れなければ、それなりのスピードで接続ができる・・便利を許容する事も必要ですが、無料には制約があっても良…

Take the Red Pill

10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」がとても面白かったです。 セキュリティ業界に関与する人で、Brian Krebs氏を知らない人は相当もぐりかもしれません。元ニューヨークタイムズ誌の…

HB-101ネットショップ本店サイトへの不正アクセス事件をまとめてみた。

2017年11月15日、植物活力液や健康食品の製造・販売を行うフローラのECサイト(HB-101ネットショップ本店サイト)が不正アクセスにより、クレジットカード情報635件が漏えいした可能性がある事を発表しました。この関連情報をまとめてみます。 インシデント…

PCI DSSをやらないなら、リスクは許容されなければならない

ZDネットさんに、PCI DSSの記事が出てました。専門分野でもあるので少しコメントしてみます。 japan.zdnet.com 記事内容として、クレジットカード業界の置かれている状況がよくまとまっています。また日本では2008年から普及への取り組みが始まったという辺…

サイバーセキュリティにおける現状を変える7つのポイント

10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」での書き忘れ。 www.itmedia.co.jp Krebs氏は講演の最後に7つのポイントを挙げています。 侵害を受けている前提で対処せよ。赤い薬を飲め コンプ…

ミヨシ石鹸への不正アクセス事件をまとめてみた。

2017年11月13日、せっけんのECサイトの通信販売サイトに不正アクセスにより、クレジットカード情報392件が漏えいした事を発表しました。この関連情報をまとめてみます。 インシデントタイムライン 日時 出来事 2017年6月6日 ~2017年8月31日 クレジットカー…

スターがついてました。

何となく時間が取れたのではてなBlogで書き始めてみましたが、未だに試行錯誤です。以前はココログでぶつぶつつぶやいていたりしてたのですが、機能制約で例えば表が作れなかったり、piyologさんみたいな記事が書けないところが面倒であまり事件記事をUpして…

Apple社員のNDA

今週読んでいて気になったニュース。いまさら感がありますが、10月末に流れていたのが「Apple社員の娘がiPhoneXの動画を公開」というもの。「会社の秘密情報は家族であれ漏らさない」ことの重要性を改めて認識させられます。 11月3日に発売されたiPhoneXです…

英国民保険サービス(NHS)のパッチ当て

ZDNet Japanの10月30日記事を見て、考えてみたのですが、人の命を守る機器についてのパッチ当てというものは、訴訟問題にも発展しかねないので慎重になる医療機関が多いのかも知れませんね。 japan.zdnet.com WindowsXPを使い続けていた IT部門からパッチ適…

群馬銀行のマイナンバー書類の誤裁断事件を考えてみた。

群馬銀行は11月9日、マイナンバーの告知の返信用封筒440通ならびに封入物をシュレッダーにより誤って裁断した事を発表しました。紙媒体の個人情報漏えい(の可能性がある)事件は、普段はあまり調査をすることはないのですが、リリースを見ると気がかりな点…

情報セキュリティEXPOに行ってきた。

情報セキュリティEXPO秋に行ってきました。幕張は(心理的に)遠いので、秋は久しぶりです。やはり春とは雰囲気違いますね。 それなりに刺激を受けてきましたが、大手企業の出展が少ないので製品・サービスの売り込みがやや強いイメージですかね。 小さいブ…

AWS利用時の情報漏えいリスク

オーストラリアの政府と2つの銀行の個人情報が5万件漏えいした可能性との記事(11/3)。記事を見ると、Amazonのクラウドサーバに保存していたバックアップデータの設定ミスで、インターネットからアクセスできたかも知れないという内容でした。サードパーテ…

フジテレビダイレクトへの不正アクセス事件をまとめてみた。

2017年11月11日、フジテレビが運営するチケット販売サイト「フジテレビダイレクト」にてリスト型攻撃による不正ログインが発生し、チケットの不正購入が行われていたことを発表しました。ここでは関連情報をまとめます。 インシデントタイムライン 日時 出来…

縦横遊(香港大手旅行会社)の情報漏えいについてまとめてみた。

2017年11月7日、香港の大手旅行会社、縦横遊(WWPKG)の顧客データベースが不正アクセスを受けたことを発表しました。ここでは関連情報をまとめます。 ※香港の旅行会社初のサイバー被害 ※同社は日本向けの旅行パッケージを多く手がけている インシデントタイ…