Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2018-01-01から1年間の記事一覧

PayPayは金融の洗礼を受ける

年末までこんな記事を書いてなくても・・・と思わなくはないのですが、PayPayは多くのセキュリティ専門家の方が取り上げた”事件”だったので、その対応策について考えてみたいと思います。 www.itmedia.co.jp ■公式発表 3Dセキュア(本人認証サービス)の対応…

非保持は来年も狙われる

カード情報非保持を狙った攻撃。ECサイトは狙われている存在である事を今一度思い出すべきかも知れません。 www.nikkei.com ■公式発表 不正アクセスによる個人情報流出に関するご報告とお詫び 電子書籍などのデジタルコンテンツを扱うマーケットプレイス「DL…

カナダのパーキングシステムのデータ侵害

サードパーティのソフトウェアが大規模データ侵害を起こすケースは日本でも海外でも同じかも知れません。 nationalpost.com NB、セントジョン州の6,000人もの人々が個人情報を公開されている可能性があるとアナリストグループは述べた。システム。 同市は、C…

2要素認証も中間者攻撃に要注意

海外のセキュリティ専門家が多数反応していた、2要素認証(SMS)に対する攻撃キャンペーンの記事を取り上げます。thestack.com Amnesty Internationalは、中東から北アフリカの人権活動家やジャーナリストを狙った複数の認証情報フィッシングキャンペーンを…

グローバルトップ企業はセキュリティ担当役員を重要視してない

気になる記事がKrebs on Securityに挙がっていました。 A Chief Security Concern for Executive Teams — Krebs on Security KrebsOnSecurityは用のWebサイトを見直し グローバルトップ100企業の 市場価値によって、見つかった 最高情報セキュリティ責任者(…

マイナンバーは漏洩し続ける。

またマイナンバー情報の入力が不正に再委託されていた事が報じられていました。 mainichi.jp 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバーが記載されている源泉徴収…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

兵庫教育大学の脆弱点

大学の情報は狙われている。その認識が当の大学側に希薄なのは残念です。兵庫教育大学からの個人情報流出は、大学側の危機感の無さを改めて考えさせられます。 www.kobe-np.co.jp 兵庫教育大学(本部・兵庫県加東市)は17日、40代の男性事務職員が業務用…

プールに見るリスク管理

プールの水栓閉め忘れは、リスク管理の教材となりそうです。 www.asahi.com 神奈川県綾瀬市は17日、市立綾西小学校で10月にプールの給水栓を19日余り、閉め忘れたため、約4千立方メートルの水道水が流出し、同月の上下水道料金が約116万円になった…

サプライチェーンは日本でも弱点

サプライチェーンが狙われている。この事実は日本企業も真剣に考える必要があるかも知れません。 www.sankei.com 米紙ウォールストリート・ジャーナル(電子版)は14日、中国のハッカーが過去約1年半にわたって米海軍の請負業者のコンピューターシステム…

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。 www.security-next.com 銀座ウエストオンライン通販サイトが不正アクセスにより改ざんされ、クレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の…

Twitterは異常検知の役割も果たす

誰でも音楽を売る事ができるBeatStarsへの不正アクセスにより、危なく全てのファイルを削除されそうになっていたとZDNetが報じてました。 www.zdnet.com BeatStars, a marketplace for selling music production beats, has disclosed a security breach tod…

ダイドードリンコの不正アクセス

ダイドードリンコの不正アクセスによる個人情報閲覧が報じられていました。 www.security-next.com 11月21日に不審なメールが届いたとの連絡が外部から寄せられ、調査したところ、ダイドードリンコが新卒採用活動で使用しているメールアカウントが関係ない第…

最悪のパスワード2018

今年もこの季節がきました。SplashDataの発表する年次の最悪なパスワード。残念ながら状況がほとんど変わってない事を確認する行事となりつつあります。 www.businessinsider.jp 1 123456 (-) 2 password (-) 3 123456789 (+3) 4 12345678 (▲1) 5 12345 (-) …

PayPayのキャンペーンの早期終了

クレジットカードの利用明細には当面注意が必要かも知れません。 news.biglobe.ne.jp スマートフォン決済サービスの「PayPay」で、身に覚えのないクレジットカード利用があったとの報告がTwitterで相次いでいる。PayPay社に確認したところ、同社から情報が流…

温故知新

京都市内某所の趣のある綺麗なお家、思わず玄関の写真を撮ってしまいました。 ◆キタきつねの所感 気になったのは、この部分。論語の【温故知新】を思い出しました。 www.weblio.jp 引き戸にナンバー錠とカメラ付インターフォン、見事に古いものと新しいもの…

応仁の乱以来の衝撃

京都の歴史を語られると・・・と思うのがブラックサンダーの新商品。 ※本記事はセキュリティとは一切関係ありません。 応仁の乱(おうにんのらん)は、室町時代の応仁元年(1467年)に発生し、文明9年(1477年)までの約11年間にわたって継続した内乱。室町…

北朝鮮ハッカーの研究機関への攻撃

日本でも産総研が標的型攻撃を受けてネットワークが止まった事件もありましたが、北朝鮮のハッカーが研究機関への攻撃キャンペーンを仕掛けているという記事が気になりました。 www.securityweek.com A threat group possibly originating from North Korea …

FIDOアライアンス東京セミナー

FIDO東京セミナー・・残念ながら今回は所用が重なり、いけませんでした。 internet.watch.impress.co.jp 2018年におけるFIDOの導入事例に関しては、ソフトバンクでは2月にスマートフォンアプリ「My Softbankプラス」において、FIDO認証によるログインに対応…

新潟大学は後手にまわっている

大学の教職員が持つ情報はここ数年攻撃対象となっていますが、新潟大学がまた漏洩事件を発表しました。 ■公式発表 不審メール被害の報告及び迷惑メール送信に関するお詫び ◆キタきつねの所感 学生がフィッシングにひっかかって、メールボックスの個人情報が…

ソフトバンクの意図しない障害訓練

ソフトバンクの(意図しない)インシデント訓練すごかったですね。孫さんが狙っていたかは分かりませんが、現代人が抱える弱点を、単純なミスが突き崩すという意味では警鐘を鳴らしたと言えそうです。 toyokeizai.net 障害の原因はエリクソンの“ポカ” エリク…

ECサイトの管理画面はパスワードだけで守れない

任天堂キャラクターの公式販売サイトも非保持でのカード情報保護を失敗したようです。 tech.nikkeibp.co.jp エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報…

師走に想う事

駅のポスターを見てふと気づくのが、ほとんどのイベント事の最後には『平成最後の』が付けられるという事。忙しい年の瀬で、まだ仕事に追われて今年を振り返る余裕も無いのですが、改めていろいろと考えさせられました。 ◆キタきつねの所感 ただ、このポスタ…

釣られないためにはテキスト表示が有効

AmazonやらAppleやらフィッシングメールが数多く飛んできますが、偽ページも進化しているようです。www.security-next.com 大手通販サイト「Amazon」を装うフィッシング攻撃が確認されたとして、フィッシング対策協議会が注意喚起を行った。 「Amazon.co.jp…

年末にカード犯罪が起こりやすい理由

年末にサイバー犯罪が行われやすい理由・・・クリスマスにかけて大型の商戦があるのが最大の理由かもしれません。 www.telegraph.co.uk Hackers are offering Black Friday discounts for stolen credit card details being bought and sold on the dark web…

データ漏洩の隠蔽はリスクも大きい

Uberの5700万件を超える大型データ流出事件は、罰金も大きくなってしまったようです。 jp.techcrunch.com Uberが2016年に顧客5700万人の名前や電子メールアドレス、電話番号などのデータを流出させた件に対する制裁金はさらに100万ドル超上積みされた。 2カ…

SamSamは標的型攻撃であった

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。 www.itmedia.co.jp 米国などの病院や公共機関でランサムウェア(身代金要求型マルウェア)感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを…

AWSサービスの進化

AWSの新しいセキュリティ機能によって、Amazon S3経由での意図しない情報公開に歯止めがかかりそうです。 japan.zdnet.com これら4つの新規オプションによって、アカウント所有者はアカウント内のすべてのAmazon S3バケットに対するデフォルトのアクセス設定…

マリオット・インターナショナルが5億件の顧客情報流出

高級ホテルチェーンを数多く抱えるマリオット・インターナショナルが傘下のスターウッド・ホテルズのDBがハッキングを受け約5億件の顧客データを漏洩した可能性があると発表しました。2018年を象徴する漏洩事件となりそうです。 jp.reuters.com ホテル世界最…

撤退プランが重要

大阪府。万博決定のおめでたいニュースの裏側に、気になるニュースを見つけました。 www.security-next.com 大阪府は、新婚世帯や結婚予定のカップルを支援する事業で使用していたサーバが不正アクセスを受け、メールアカウントが迷惑メール送信の踏み台に悪…