Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2019-04-01から1ヶ月間の記事一覧

お茶の水女子大のセキュリティを考える

平成最後の記事は、お茶の水女子大学付属中学校のセキュリティを取り上げたいと思います。 www.tokyo-np.co.jp 秋篠宮家の長男悠仁(ひさひと)さまが通うお茶の水女子大付属中(東京都文京区)で、悠仁さまの机付近に果物ナイフのような刃物二本が置かれて…

木造建築での喫煙

ヒヤリハットは正しいのかなと思わせるAFPの記事でした。 www.afpbb.com 大火災に見舞われたフランス・パリのノートルダム大聖堂(Notre Dame Cathedral)で、火災発生前から行われていた建物の改修に当たっていた作業員らが、同大聖堂での禁煙規則を厳守し…

PDCAはDCがセットでなければいけない

IBMの調査には日本(大手)企業も含まれていると思いますが、欧米を含めた調査データでこの実施率であれば、ほとんどの日本企業はそれよりも低い実施率であるのは間違いない様です。 www.itmedia.co.jp 米IBMは2019年4月11日(現地時間)、企業のサイバー攻…

教員へのセキュリティ教育も重要

普段はUSB盗難というのは、あまりインデント調査の興味を惹かれないのですが、この発表は少し気になりました。 www.security-next.com ■公式発表 【お詫び】海外出張中の本学教員による個人情報を含むUSBメモリ等の盗難について 1. 盗難の経緯 オランダに海…

高い大学の授業料

大学はセキュリティ対策を怠る事のリスクをもっと真剣に考えるべきかも知れません。 www.seattletimes.com ワシントン州立大学は、 2017年に100万人以上の個人情報を格納したハードドライブがセルフストレージロッカーから盗まれた後、費用のかかる教訓を学…

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。 www.zdnet.com Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出…

パスワード定期変更不要だけ一人歩きしてないか

内容として決して間違っている訳ではないのですが、記事を読んでいてSP800-63で書かれている事との違和感を感じました。 tech.nikkeibp.co.jp 「企業IT利活用動向調査2019」速報によると、2018年3月に総務省がパスワードの定期的な変更は不要との見解を示し…

ベルアメールのカード情報漏えい

チョコレートの様に非保持は甘くは無かったようです。またカード情報非保持のECサイトからクレジットカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 「ショコラ ベルアメール」のオンラインショップへの不正アクセスによる個人情報流出に関す…

ななつ星ギャラリーのカード情報漏えい

ななつ星サイトからの個人(カード)情報漏えい事件について少し調べていたのですが、時間が取れずまとめられていませんでした。 www.nikkei.com JR九州は12日、豪華寝台列車「ななつ星in九州」の関連商品を販売する通販サイトが外部から不正アクセスを受け…

USBKillerの正しい使い方

以前書いた事のある『物理攻撃ツール』のUSBKillerを使っている事件が報じられていました。 www.zdnet.com 米国のインド人国民は今週、ニューヨークのセントローズ大学で59台のコンピュータを破壊したことを認め、オンラインで購入した「USB Killer」という…

両陛下の伊勢神宮ご参拝

両陛下の在位中最後の伊勢訪問に関して、ふと気になったので調べてみました。 www.asahi.com 伊勢神宮参拝のため、JR東京駅を出発する天皇、皇后両陛下。後方は「三種の神器」の剣=2019年4月17日午後1時17分、嶋田達也撮影 偶然にも、(両陛下…

カード授受の脆弱性

この穴を突いてきましたか。。。偽造運転免許証を使ったクレジットカード不正授受の事件が報じられていました。 www.tokyo-np.co.jp 他人名義のクレジットカードで高級腕時計をだまし取ったとして、詐欺などの疑いで警視庁に逮捕された男らが、東京都内の高…

シトリックスへのパスワードスプレー攻撃

米国のCitrix社へのサイバー攻撃が記事に出ていました。 www.sbbit.jp 公式発表 Citrix investigating unauthorized access to internal network | Citrix Blogs Citrixがサイバー攻撃を受けたことはFBIから告知を受けたと、Black氏は次のように説明していま…

学生時代の悪さでは済まされない

気になる記事がありました。 www.asahi.com 小学館のスマートフォン向け漫画アプリ「マンガワン」を不正に改変したなどとして、警視庁は12日、ヤフーの男性社員(25)を私電磁的記録不正作出・同供用の疑いで書類送検した。容疑を認めているという。 渋…

パッチ管理は重要

またカード情報の漏えいが報じられていました。 www.security-next.com 同サイトを運営するレジナによると、5月16日にウェブサイトが改ざんされたもの。販売管理システムの脆弱性を突かれたものと見られ、同日から12月11日にかけて同サイトの入力フォームに…

破られない盾はない

指紋認証は古くから使われている生体技術が故に、安価で利便性の高い認証手段となりつつありますが、一方でその安全性を破る試みも長く続いていると言えるかも知れません。最新の超音波指紋リーダも脆弱性が報告されました。 pc.watch.impress.co.jp 画像投…

やはり漏えい対象でした。

やっと退会できました。私の様に宅ふぁいる便を過去に利用した事あるけど・・・という方は、登録メールアドレスを確認(退会)されては如何でしょうか? www.itmedia.co.jp 大容量ファイル送信サービス「宅ふぁいる便」で、ユーザーのパスワードなど481万件…

中華風 エイプリルフール?

トランプ大統領の別荘に中国のスパイと見なされる女性が不法侵入した件で続報が出ていました。 www.cnn.co.jp 米連邦検察当局は1日、トランプ米大統領の別荘「マール・ア・ラーゴ」(米フロリダ州)に不法侵入したとして2冊の中国旅券を所持していた女を訴追…

サーカスのカード情報漏えい

子供服のECサイトもカード情報を漏えいしていた様です。 scan.netsecurity.ne.jp 公式発表 不正アクセスによるお客様情報流出に関するお詫びとお知らせ 2月25日に完了した調査機関による調査結果によると、同社オンラインショップのシステムの一部の脆弱性を…

ハッシュはクラックされているかもしれない。

日経BPの記事が良記事でした。セキュリティに足を踏み入れている(一部の)IT部門の方々が、ハッシュ化=安全という認識であるのは残念ですが、この記事を読んで認識を変える事ができるかも知れません。 tech.nikkeibp.co.jp ライフベアは、漏洩したパスワー…

セシールオンラインショップがベンチマークになっている

セシールオンラインショップへのパスワードリスト攻撃がまた出ていた様です。 www.security-next.com ディノス・セシールは、同社の通信販売サイト「セシールオンラインショップ」がパスワードリスト攻撃を受け、一部アカウントで不正ログインが発生したこと…

サプライチェーン攻撃は海外拠点も考慮する必要がある

サプライチェーン攻撃の一種と言えるのかも知れません。ロイターがHOYAの海外工場が攻撃された件を報じていました。 jp.reuters.com 光学機器大手HOYAのタイにある工場のシステムが2月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害…

本味主義のカード情報漏えい事件を考える

中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。 www.security-next.com 同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性…

カメラ画像のAI分析は禁止?

個人情報保護は世の流れとは言え、個人が特定できない情報まで管理対象が拡大していくと、色々な面で混乱が出てくるかも知れません。 www.security-next.com タクシーの配車アプリを提供しているJapanTaxiは、個人情報保護委員会より指導を受けたことを明ら…

自分ファーストの行く着く先

個人的に気になる記事でした。(セキュリティとは関係ありません) www.huffingtonpost.jp 「書く気持ちにはなれません」書かれているのは、この店で「白虎隊御朱印」を書き、販売してきた白虎隊墓守家の5代目、飯盛尚子さんのメッセージ。 飯盛さんによると…

ホワイトハッカーなのだろうか?

私にはホワイトハッカーの業務範疇とは思えないのですが、将来有望なハッカーである事は間違いなく、他国への流出を恐れた刑罰なのかも知れません。 www.theverge.com 24歳のセキュリティ研究者は、Microsoftと任天堂のサーバにハッキングし、機密情報を盗む…

ログイン欄は狙われやすい

非保持であろうが、クレジットカード漏えい事件は定期的に発生するもの。そう考えた方が良いのだと思います。歯科書籍の通販サイトを運営するクインテッセンス出版から個人情報・カード情報が漏えいしたと発表されました。 www.security-next.com ■公式発表 …

クレジット決済には一定以上のセキュリティが必要

侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。 www.security-next.com 同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテ…

新元号に関連して気を付ける事

新年号が「令和」と決まり、少し仕事場がざわついてました。5月1日0時の切り替えに向けて、IT業界のみならず影響を受ける様々な業界で急ぎ対応が進んでいる様です。 r.nikkei.com ◆キタきつねの所感 Twitterのホットワードは当然の様に、「令和」「令和元年…

トヨタも狙われる

トヨタの系列販売店などから310万件の個人情報が漏洩した可能性があるとトヨタが発表しました。 www.nikkei.com ■公式発表 弊社東京地区販売店における顧客情報流出の可能性に関するお知らせ 2019 年 3 月 21 日、トヨタ東京販売ホールディングス株式会社傘…