Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2018-04-01から1ヶ月間の記事一覧

大学のランサム被害

今更ながらですが、Securit Nextに中部大学がランサム被害を受けた件に気づきましたので取り上げます。 www.security-next.com ■公式発表 お知らせ 本学情報工学科管理のパソコンのコンピューターウイルス感染について 中部大学 この度、本学工学部情報工学…

個人情報は過保護になりすぎてはいけない

DIAMOND ONLINEの3月20日記事を読んでいて興味深かったので取り上げてみます。 diamond.jp 上記記事を読んでいて思ったのが、例えば 「もしよかったら、担当者の方の名刺を見せていただけますか?」とやんわりとお願いすると、名刺を見せてくださった。しか…

TLS1.3がもたらす変化

ZDnetの3月28日記事にTLS1.3の内容が載っていました。 japan.zdnet.com インターネット技術タスクフォース(IETF)は、ウェブ上でHTTPSを実現するための重要なプロトコルであるトランスポートレイヤセキュリティ(Transport Layer Security:TLS)のバージョ…

校務システムは何故狙われるのか?

Security Nextの4月5日記事に兵庫県播磨町の校務支援システムの不正アクセスの件が取り上げられていました。 www.security-next.com 事件発表を見る限りは、不正アクセスを受けたのですが個人情報流出が無かった、という事で普通にクローズしそうな事件なの…

サイバー攻撃はヒューマンエラーが呼び込んでいる

財経新聞の4月7日記事に、IBMのサイバーセキュリティへの脅威に関するレポートが取り上げられていました。 www.zaikei.co.jp ■公式資料のダウンロード(IBM/英語) この記事の内容は、毎年出ている、「IBM X-Force Threat Intelligence Index」の2018版の概…

常時SSLの時代がやってくる

日経 xTECHの4月4日記事に、政府のサイバーセキュリティ戦略本部が、中央省庁などの情報セキュリティ対策規定である「統一基準」を見直しする方向である事が書かれていました。 tech.nikkeibp.co.jp ◆キタきつねの所感 記事を見てNISCの掲載資料を見てみたと…

PCI DSSのv3.2.1がリリース間近

JCDSCの定期総会で、PCI SSCのBlogにPCI DSSのマイナーバージョンアップの話が出ているよと教えてもらいました。 blog.pcisecuritystandards.org Here’s a preview of the minor updates stakeholders can expect in PCI DSS v3.2.1: Remove notes referring…

クレジットカードデータ利用のAPI

通販通信に経産省の策定した「クレジットカードデータ利用に係わるAPIガイドライン」の記事が4/13に載っていました。 www.tsuhannews.jp ■経産省 クレジットカードデータ利用に係るAPI連携に関する検討会(キャッシュレス検討会) クレジットカードデータ利…

古き良き時代は終わっているという認識が必要ではないか

4月4日のSecurity Nextの記事に日本がん治療認定医機構からメールアドレスとパスワードが流出した可能性があると報じてました。 www.security-next.com 調査を行ったところ、システムの脆弱性を突く不正アクセスの痕跡がログに残存。詳細については調査中と…

内部犯行を気づくきっかけは無かったのか?

サンスポの3月23日記事に、海保職員の内部犯行が報じられていました。 www.sanspo.com 関係者によると、巡視船の航行予定などを外部に漏らしたといい、1管が国家公務員法(守秘義務)違反の疑いで調べている。 網走海上保安署によると、巡視船で調理や買い…

通販サイトのアカウント情報登録に公用/会社アドレスを使わないで

テレビ朝日の4月3日ニュースで、中央省庁の職員約2000名分のメールアドレスが流出していると報道されていました。 news.tv-asahi.co.jp 内閣サイバーセキュリティセンターによりますと、各省庁の職員が通販サイトなどに登録した公用のメールアドレスが流出し…

重要書類はシュレッダーしてから廃棄すべき

毎日新聞4月4日記事に国交省が重要書類を紛失してしまった件が出ていました。 mainichi.jp 国土交通省は4日、大阪航空局と気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書…

田舎の観光協会すらとりあえず狙われる時代

毎日新聞の4月7日記事に忍野村観光協会のサーバに不正アクセスがあった件が取り上げられていました。 mainichi.jp ■公式発表 忍野村観光協会HP (事件に関する直接の発表は見当たらず) 事件の状況 忍野ムラ観光協会のサーバへの不正アクセスにより、同協会…

ポルシェの不正アクセス最終報告

ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。 www.porsche.co.jp ■公式発表 不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9) 不正アクセスによるお客様情報の流出に関す…

プレミアム・アウトレット会員情報漏えい事件

日経xTECHの4月6日にプレミアム・アウトレットの会員情報が漏えいしている件を報じました。 tech.nikkeibp.co.jp 三菱地所・サイモンが運営するショッピングモール「プレミアム・アウトレット」の会員情報と思われる約43万件のデータが、海外のストレージサ…

九州商船の最終報告書が勉強になる

九州商船が1月にWeb予約システムへ不正アクセスを受けた件で3/30に最終報告書を出た旨、Zdnetに記事が出ていました。japan.zdnet.com 弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船 結局1月から3月5日までWeb予約システムを止めなけれ…

ディズニーのTLS対応(PCI DSS)

Disney.JPサイトでTLS1.1以下の対応について発表されていました。 www.disney.co.jp このたび、インターネットで通信内容の保護に使用する暗号化方式「TLS1.0」および「TLS1.1 」において脆弱性が発見され、保護すべき通信内容の一部が漏えいする可能性があ…

Panera Breadが脆弱性を8ヶ月放置した結果

ITmediaの4月4日記事に、米国やカナダで2100店舗以上を展開するベーカリーチェーンのPanera Breadからの個人情報漏えいが取り上げられていました。 www.itmedia.co.jp ■公式発表 現在サイトを閉鎖している様で公式情報が見当たりませんでした。 事件の状況 …

オービッツはサードパーティ経由で情報漏えい

Expedia傘下の旅行予約サイトのオービッツがハッキングを受け、最大88万件の決済データが漏えいした可能性があると発表しました。 www.travelvoice.jp ■公式発表 INFORMATION ABOUT ORBITZ DATA SECURITY INCIDENT 事件の状況 旧ウェブサイトがハッキング被…

信頼ネットワークは狙われている

ロイターの3月29日記事に、マレーシア中央銀行がSwift経由の不正送金攻撃の試みを止めた件が報道されていました。 www.reuters.com 記事によると、不正送金の攻撃は3月27日に発生し、Swiftバンクメッセージネットワークに対し、不正送金のリクエストがあり、…

ギャンブルと内部不正

日経BPの3月28日記事に、パチンコ店の不正に関する内容が出ていました。内部不正という意味で興味深かったので取り上げてみます。 business.nikkeibp.co.jp べラジオ「サクラ」疑惑の概要 パチンコホールを運営するべラジオコーポレーションはべラジオ横堤店…

Saks Fifth AvenueのPOS侵害はフィッシングから?

米国のSaks Fifth Avenue等の高級百貨店を展開するHudson's Bay Company(HBC)が4月1日に米国の一部店舗で使われた決済カードデータが漏えいした件を発表しました。この件について少し調べてみました。 www.itmedia.co.jp ■公式発表 Saks Fifth Avenue - FAQ …

スパムだけでないメールアドレス漏えいの影響

ビジネス+ITの3月19日記事に役に立ちそうなサイト情報がありました。 www.sbbit.jp 下記のサイト(Have I Been Pwned)が自分のメールアドレスが過去に商用サイトから漏えいしたメールアドレスかどうか判別してくれます(漏えいしている情報を元にしたDBを…

ガスメータの集中管理

新しいマンション(賃借)が建っていたので、最近のマンションは綺麗だなぁと見ていたのですが、ガスメーターがこんな感じになっていました。 検針する方々(いつもお疲れ様です)にとっては楽だろうなぁ、と思った反面、道路に面している所にこのメータ群が…

委託先企業のセキュリティは無条件に信じてはいけない。

IPAの調査結果を見ると海外企業が考えているセキュリティと日本企業のソレに差分を感じました。 japan.zdnet.com ◆調査結果(IPA) 「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について:IPA 独立…

東京の安全でない公衆無線LANは必要なのか?

レコードチャイナの3月22日の、東京の公衆無線LANの安全性についての記事は深刻に受け止める必要があるかもしれません。 www.recordchina.co.jp 2018年3月21日、在日本中国大使館は日本で生活を送っている中国系や日本を訪れた中国人観光客に対し、都内の公…

ゲーム感覚の軍隊

Gizmodeの3月23日記事に、米国海軍の最新鋭潜水艦の一部機器操作に「XBOX」のコントローラーが使われているとの内容がありました。 www.gizmodo.jp 使われる箇所は、潜望鏡の代わりに使われる「フォトニクスマスト」という部分で、以下の点でXBOXコントロー…

Under Armour子会社の会員サイトから1.5億件のデータ漏えい

下着メーカーで有名なUnder Armourが3/29に食べ物と栄養のアプリケーションとWebサービスを提供する「MyFitnessPal」でユーザ情報が漏えいしたと発表しました。 mainichi.jp ■公式発表 Under Armour Notifies MyFitnessPal Users Of Data Security Issue (NY…

産総研の北風ガバナンスは吉と出るか?

産総研が、3月26日付けで不正アクセス事件後で(多少は関連すると思われる)1職員を懲戒処分した旨を発表しました。 2月13日に発表があった、産総研の不正アクセス事件についてウォッチしているのですが、気になるお知らせが出ていたので、つぶやいてみます…

東京五輪のサイバー攻撃対策は公開する必要があったのか?

産経ニュースの3月22日記事に、東京五輪のサイバー攻撃対策の内容が記載されていました。 www.sankei.com きっと私は考えすぎ・・・と言われるかも知れませんが、 政府のまとめた「2020年東京五輪・パラリンピックを見据えたサイバー攻撃への対策」のリ…