Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2018-11-01から1ヶ月間の記事一覧

非保持サービス利用がゴールではない

どうやら国内3件目(私が知る限り・・・)のクレジットカード情報非保持のECサイトからのカード情報漏えい事件となりそうです。 www2.uccard.co.jp ■公式発表 弊社が運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび…

モリス・ワームとCERT

11月21日はインターネット記念日だったそうです。もうすぐインターネット(の原型)が登場して50年になるんですね。。。それはさておき、世界で最初のサイバー攻撃の記事がなかなか面白かったのでご紹介いたします。 nazology.net 1988年、ロバート・T・モリ…

管理レスWebカメラには規制が必要ではないか

監視カメラの乗っ取り事件、起こるべくして起きた事件と言えるかも知れません。 www.asahi.com 捜査関係者によると、男は4月下旬、自宅のパソコンを使い、神戸市東灘区の就労支援施設の監視カメラの映像記録装置や、千葉県八千代市の水路に市が設置した水位…

USPSはAPIリスクを1年放置した

日本の主要メディアの報道が無いのがとても不思議なのですが、米国郵便公社(USPS)が1年以上も脆弱性を放置して最大6000万人のユーザ情報が影響を受けた可能性があったと公表されています。 www.theinquirer.net THE UNITED STATES POSTAL SERVICE (USPS) h…

不正なJavaScriptがECサイトに仕掛けられる可能性

英国の格安コンタクト販売のVision Directがクレジットカードデータを含む顧客情報を漏えいした事を発表しました。 www.itgovernance.co.uk ■公式発表 Customer data theft(Vision Direct) What data has been affected? The personal and financial detai…

トヨタが目指すセキュリティ

トヨタの工場セキュリティ対策を金融業の平均レベルに・・なかなかインパクトのある発表だったようです。 tech.nikkeibp.co.jp ◆キタきつねの所感 結構インパクトがありそうな講演での発表ですね。トヨタの場合は自社のみならず国内的に裾野(サプライチェー…

忘れ物の問い合わせ先は

朝日新聞の記者が業務用PCを電車に忘れてきた件、無事に見つかり解決したのですが少し疑問に思いました。 www.asahi.com 朝日新聞社は8日、東京本社の社員が業務用のノートパソコン(PC)を紛失したと発表した。PCには朝日新聞社が運営に携わるイベント…

日本は残念ながら『サイバー強国』ではない

元警察庁長官がの米田氏が愛知県で講演を行ったとの記事が産経新聞にありました。世界の事例も紹介されたようですので、少し聞いてみたかったですね。 www.sankei.com 米田氏は、治安をめぐる大きな脅威として「サイバー攻撃が深刻化している」と指摘。ネッ…

SQLインジェクションはまだまだある

通販サイト「ココサブ」がSQLインジェクション攻撃を受け、顧客情報約2.8万件が流出したおそれがあると報じられていました。 www.security-next.com ■不正アクセスによるお客様メールアドレス流出の可能性に関するお詫びとお知らせ 同サイトを運営する麻田に…

PCを使わなければサイバー攻撃は受けない

日本のサイバーセキュリティ、東京五輪は大丈夫か?と世界に衝撃を与えています。 www.bbc.com 桜田義孝五輪相(68)は衆院内閣委員会で、パソコンを使用したことがないと認めた。共同通信によると、「私は25歳の時から独立して(事業などを)やっており、従…

個人情報を管理するということ

Twitterはバカ発見器である。TSUTAYAにはこの”ネット格言”が身にしみた事と思います。 news.biglobe.ne.jp このアルバイト店員は勤務中、客が「韓国人の紅白取り消しになった男のアイドル、頭おかしい」とBTSに関する会話をしていたのを聞き逆上。BTSの所属…

マレーシアのTV局が7億円のランサム要求

マレーシアの主要メディアであるMedia Primaがランサム攻撃を受け1000ビットコインを要求されたようです。 www.theedgemarkets.com “The whole Media Prima group’s computer systems have been breached and infected with ransomware over the last four d…

PDCAが重要

昨日の記事に引き続き、五反田に行った際の写真です。鳩に気づき、落し物がないように道を選ぼうとしていたところで違和感がありました。 鳩対策が・・・破られている! 鳩対策がされてないところも結構な鳩密集度がありますが・・・ 対策効果がないような鳩…

五反田の有名スポットを歩く

五反田某所、目黒川沿いの有名スポット。近くを通ると、ここだけ異質な雰囲気を放っていました。 よく見ると入り口のバリケードの辺りには、セ●ムさんのシールが貼られています。内部に入られて鍵も不正に交換されて、大手会社が騙されたと言われていますが…

踊らされるキンタロー。

ダンスも、ウィルスでも踊るのが上手なようです。ネタでは・・・ないんでしょうね。ウィルス詐欺にひっかかった事をTwitterで公開していました。 twitter.com ◆キタきつねの所感 怪しげなサイトや海外サイトを訪問していると、突然別ウィンドウが立ち上がっ…

地方も攻撃対象であるのは変わりはない

また不正アクセスで個人情報が漏洩したようです。 www.nikkei.com 九州を中心に薬局チェーン「ドラッグイレブン」を展開するJR九州ドラッグイレブン(福岡県大野城市)は10日、外部からの不正アクセスにより最大で約3万4千人分の個人情報が流出した可能性が…

情報収集と机上演習の重要性

Security Online Dayイベントでの名和さんの記事が出ていました。 enterprisezine.jp 特に、海外の知見の活用により日本全体のセキュリティの底上げをすることに注力している。名和氏は、日本のセキュリティ対策において、まだ伸びしろのある部分があると指…

組織票はスマートさが肝要

どうやらルールには違反してない様ですが、自分の利益にこだわり、全体への影響が見えなかったのは四日市市としては愚策だったとしか思えません。 www.sankei.com 全国のご当地キャラクターなどが競う人気投票「ゆるキャラグランプリ 2018」で、三重県四…

米HSBCのデータ漏洩事件

何故か記事を書いている時点(11/10)で日本のメディアに関連記事がありませんが、米国のHSBC(香港上海銀行)がデータ侵害を受けて顧客情報を漏えいしたようです。 www.bbc.com The lender said that the perpetrators may have accessed information includ…

大阪のセンス

某所に出張で行っていたのですが、この広告に目が留まりました。 ◆キタきつねの所感 ユニバーサルスタジオの広告だと見過ごしそうになったのですが、、なるほど大学の宣伝なんですね。ユニバーシティをユニバと言い切るセンス。マクドと同じく、関西圏の矜持…

3Dセキュアのフィッシング

単なるフィッシングなのですが、もう少し洗練されたら怖いかも知れませんね。 www.security-next.com クレジットカードの大手ブランドが提供する本人認証サービス「3Dセキュア」のパスワードを詐取するフィッシング攻撃が確認された。 「3Dセキュア」は、イ…

損害試算から見るセキュリティの重要性

少し視点が違うのが面白いなと思ったのが、ビジネスワイヤの記事で米国のダムへのサイバー攻撃被害を保険被害の観点で分析していたところです。 news.nicovideo.jp ハッカーが水力発電用ダムの放水ゲートを開いて米国内に甚大な被害を及ぼす可能性について分…

JALのセキュリティ戦略

最近本業で忙しく、セキュリティセミナーに参加できてない自分がいて反省しきりです。10/31に開催されたIBM Security Summit 2018のレポートが出ていました。 it.impressbm.co.jp 当時会長に就任した京セラ名誉会長 稲盛和夫氏が再建時に掲げた「JALフィロソ…

Office365もFIDO2に積極対応していく(はず)

Office365の大学での普及率は2015年時点で70%を超えているので、恐らくほぼ全ての大学が今や何らかの形でOffice365のお世話になっていると言っても過言ではないようです。 ict-enews.net これは取材前の予備知識だが、Office 365 Educationの利用者は2014年…

Arik AirもAmazon S3を設定ミス

ナイジェリアの主要航空会社、Arik AirのAWS上のデータを意図せず漏洩させていたと報じられていました。 www.premiumtimesng.com According to Mr Paine, the leaky bucket was discovered on September 6 and in total, he found 994 CSV files, some of wh…

今日で1年経ちました

昨年の11月5日、私はこのBlogを書き始めました。思い返すと1年。1日1記事を出すというのは思った以上に大変なのですが、飽きやすい自分にしては長く続いているかも知れません。今日は1年経過して思うことを少し書きたいと思います。 【良かった事】 考える癖…

本人認証をするということ

お得な情報には裏がある事は中国人旅行客も知った上で行動しているものと、この記事を読んで思いました。 tech.nikkeibp.co.jp 「不正トラベル」と呼ばれるネット詐欺の被害が急増している。産官学連携のサイバー犯罪対策組織である日本サイバー犯罪対策セン…

最高アクセスは突然に・・・

なかなか興味深いログが出ていました。当blogのアクセスは、平日で300-350位で休日はその半分といった感じな事が多いのですが、、、この日は違ったようです。 ◆キタきつねの所感 土日祝日は大体アクセスが少ないので、ちょっと呟かせてください。何が起こっ…

キャセイパシフィックの個人情報漏えい

キャセイパシフィック航空が不正アクセスを受け最大940万件の顧客個人情報が漏洩した可能性があると発表しました。 japan.cnet.com ■公式発表 Inside Information Data Breach Cathay Pacific announces data security event affecting passenger data アク…

古くて新しい人間の脆弱性

PwCの「セキュリティ新時代」の記事は勉強になりますが、この記事は特に共感ポイントが多かった内容でした。 www.pwc.com ■PwC 寄稿記事 これらの人間の脆弱性をつくサイバー攻撃は一般的に「ソーシャルエンジニアリング」と言われ、昔から攻撃者が利用する…