Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2018-05-01から1ヶ月間の記事一覧

廃棄書類の運送は扉がある車が必須ではないか?

廃棄に向けて運搬中の書類が漏えいしたかも知れない事件・・・また発生してました。 www.security-next.com 同社によれば、5月23日、和歌山電力部の廃棄書類を委託業者のトラックが神戸市内の溶解処理施設へ運搬する際、路上などへ飛散したもの。 同社では書…

管理レスWebカメラの現状

読売オンラインになかなか興味深い記事が載っていました。 www.yomiuri.co.jp カメラは、「芝川都市下水路」の鎌倉橋近くに設置され、市のホームページで水位の画像を公開している。当初設置していたカメラは、初期設定されたパスワードをそのまま使用してお…

AWSは以前から警告を発している

少し怖い情報漏洩の記事がTechcrunchに上がっていました。 jp.techcrunch.com 記事によると、TeenSafeは、同社がAWS上で保有するサーバーのうち2台を、誰でもアクセスできる状態に放置していた。しかも漏洩したデータベースには、親のメールアドレス、子供の…

コカコーラの情報漏えい

コカコーラが情報漏えいした件を、米国バーモント州の州政府事務所が5/23に発表していました。 ■公式発表 まだ出てないようです。(Coca Colaのニュースリリース) ※米国バーモント州の州政府事務所の発表 ■事件の概要 元従業員による内部漏えい事件のようで…

国際会議のブレイク

ここ2週間に渡って国際会議に連続して出席しておりました。写真を整理していると・・・国内(セキュリティ系)会議と癖が違う点に気づきます。それが食事(軽食)です。 こんな軽食であったり、 会場ホテルのビュッフェやケータリングだったりするので、見栄…

退職者の認証情報管理

NHKで内部犯行の事件が取り上げられていました。 www3.nhk.or.jp 高速道路の料金徴収を行う「中日本エクストール横浜」の33歳の元社員で、警察によりますと会社のセキュリティーに関するサーバーに不正にアクセスを繰り返し、去年8月東京や神奈川県など1…

PCI コミュニティミーティングに行ってきた (2)

昨日に引き続きPCI SSC主催のアジア太平洋地域コミュニティ・ミーティングのレポートとなります。 セミナーの2日目。今回は同時通訳が入っているので楽なのですが、今回の会場は残念な事に机がないのでメモを取るのがちょっと大変です。前回はあった気がする…

PCI コミュニティミーティングに行ってきた (1)

先週から海外を含む諸々の出張が続いており、記事がなかなか書けておりません。そんな中、昨日(5/23)からPCI SSC主催のアジア太平洋地域コミュニティ・ミーティングが東京ウェスティンホテルで開催されており、こちらに参加してます。会場でTIプランニング…

ガラケーの終焉

日経にフューチャーフォン(PCIDSSの影響)の記事が書いてましたので、取り上げてみます。 tech.nikkeibp.co.jp 改正法の実務上の指針である「実行計画」(クレジット取引セキュリティ対策協議会が策定)では、カード会社に加え、カード加盟店に代わって決済…

メニコン子会社のカード情報漏えい事件

海外に行っている間にメニコン子会社がカード情報を漏えいしてました。 www.nikkei.com ■公式発表 エースコンタクト会員専用サイト「A-Web倶楽部」におけるお客様情報流出に関するお詫びとお知らせ A-Web倶楽部「宅配サービス」におけるお客様情報流出に関…

森永乳業の事件発表を考えてみた。

海外でシンクラPCが使えなかったので、見れてなかったのですがここ数日のブログ閲覧数が普段の3倍位ありました。リンク先のページを見ると・・・森永乳業の事件記事へのアクセスが多い事が分かりました。 参考: foxsecurity.hatenablog.com 海外出張してき…

国際会議に行ってきました (3)

金曜遅くに自宅に戻りました。事件情報とは違うネタなので、ご興味がない方もいらっしゃるだろうとは思いますが、海外のセキュリティ国際会議は国内会議のソレとは雰囲気が違いますので、(折角撮ってきた写真がもったいないので)もう少しお付き合い下さい…

国際会議に行ってきました (2)

今日も国際会議です。 本会議に入って、会場が大きくなりました。今年は600人以上の出席者と発表がありました。APでは過去最大との事。 日本の参加者は横ばいな感じですが中国や東南アジアからの出席者が増えている印象です。VISAっぽい決済関係のトピックだ…

国際会議に行ってきました (1)

シンガポールは今日も午後からスコールです。まぁホテルの会議室に缶詰めスケジュールなので実害はありませんが。 国際会議は明日から(※記事作成5/15から見て)が本会議なのですが、今日はプレセッションで参加してます。VISAの統計データをベースにした最…

海外で気付いた事

シンガポールに(出張で)来ております。merlionは相変わらず多くの人でごった返してました。来月の米朝トップ会談が開かれる?とは思えない普通の雰囲気です。 あまり意識した事がなかったのですが、merlion(有名な奴)の少し手前に小さなmerlionがありま…

ニコニコのリスト型アカウントハッキング攻撃

ドワンゴが5月10日に数百万件のリスト型アカウントハッキング攻撃を受けた事を発表しました。 news.nicovideo.jp ■公式発表 他社流出パスワードを用いた不正ログインについて(2018/05)|ニコニコインフォ ニコニコ動画などで利用するniconicoアカウントでは、…

Win10切替はサイバー攻撃で加速中

ウォールストリートジャーナルにマイクロソフトの収益急増の件が出ていました。 jp.wsj.com 米マイクロソフトが先週発表した1-3月期(第3四半期)決算で、基本ソフト(OS)「ウィンドウズ」のライセンス収入の急増がアナリストらの目を引いた。サイバー攻撃…

森永乳業の情報漏えい事件を考えてみた。

森永乳業が5/9に健康通販サイトからクレジットカード情報を漏えいした可能性があると発表しました。 tech.nikkeibp.co.jp ■公式発表 健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社 事件の状況 2…

米国ビザ申請はより厳格に

AFP記事に米国ビザ申請が厳格化する可能性がある事がかかれていました。 www.afpbb.com ビザ申請者は、自身が使用しているSNSを明示し、ビザ申請日に先立つ5年間にSNSで使用していたアカウント情報の他、「過去5年間に使っていた電話番号と電子メールアドレ…

気づくと半年

はてなBlogからお知らせが来ており、ちゃんと見てみるとブログを始めてから半年以上経過してました。 予約投稿の力を借りながら毎日1本の記事を(主に週末に)書くのは、思った以上にエネルギーを使うものですが、意外に長く続けられているなと思い返してお…

地方行政のクラウド化の鍵はセキュリティ

米国オクラホマ州のTulsa(タルサ)市のシステムがハッキング被害を受けたとの事。 www.newson6.com The City of Tulsa confirms computer hackers broke into several City controlled accounts but says it appears there have been no effects on city sy…

Twitterはパスワード定期的変更推し?

engadgetの5月4日記事にTwitterがやらかした件が書かれていました。 japanese.engadget.com Twitterが、バグでユーザーのログインパスワードを平文(一方向暗号化なし)のまま保存していたことを明らかにしました。 (engadget記事より引用) ◆キタきつねの所感…

浮気をしないのが最大のリスク予防ではありますが

夕刊フジの4/12記事に浮気対策としての生体認証攻撃手法が出ていましたので、取り上げてみます。 www.zakzak.co.jp 不正指令電磁的記録供用とストーカー規制法違反容疑で警視庁に逮捕された東京都の会社員の男(29)は今年1月、当時住んでいた中野区の自…

日本企業はマジノラインを構築しているのか

4/20の産経ニュースに気になる調査データが出ていました。 www.sankei.com セキュリティレスポンスを軽視する日本日本企業では、情報セキュリティ部門の予算や人材などの85%(世界9カ国平均で79%)を、ファイアウォールやデータ漏えい防止ツールなどのデー…

共有パスワードを外部接続で使うリスク

Security Nextの4月20日記事に内部犯行案件が載っていました。 www.security-next.com 同社によれば、同社製品に対してウェブから問い合わせを行った顧客の情報を、元従業員が営業管理ツールに不正ログインして閲覧。転職先である医療予約技術研究所の営業活…

尼崎市は監督責任の不備を指摘されるリスクも

尼崎市の健康情報サイトへのサイバー攻撃でWebサイト開発元・運営の電通が訴えられるかも知れないとの日経の記事がありました。 www.nikkei.com ◆キタきつねの所感 この背景には、実際にWebサイト開発を受託した電通西日本(電通だとすれば・・外注業者使っ…

トランクを宅配業者に開放できるか?

MIT Technology Reviewの記事に、アマゾンの革新的な(?)取り組みが出ていました。 www.technologyreview.jp ブルームバーグの報道によると、アマゾンはゼネラル・モーターズ(GM)とボルボと提携して、トランクへのキーレスアクセスを車の持ち主が許可す…

公式発表が出る個人情報漏えい事件は氷山の一角

昨日の記事の続きです。「Have I Been Pwned」を運営するTroy Hunt氏が2月にDark Webサイトに個人情報ファイルがたくさん掲載されている・・・と発表した件を少し調べています。 haveibeenpwned.com Troy Hunt: I've Just Added 2,844 New Data Breaches Wit…

宝塚・園芸施設以外にも漏えい発表が今後出てきそうです。

神戸新聞に園芸施設のクチこみサイトから個人情報が漏えいした件が載っていました。 www.kobe-np.co.jp ■公式発表 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び ◆キタきつねの所感 最事件自体はいわゆる普通の不正アクセスによる個人…

PCI DSS v3.2.1

自己レスです。PCI SSCの偉い方の話が聞けましたので、4月24日の投稿を補足します。 foxsecurity.hatenablog.com 主な内容は、やはりマイナーチェンジのようです。既存でPCI DSSに取り組んでいる方にはほとんど影響は無いといえそうです。 PCI DSS v3.2.1は5…