Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2019-08-01から1ヶ月間の記事一覧

量子暗号

政府の量子暗号導入の動きは、セキュリティを考えると必要な事だと思います。2025年の実用化に向けて予算がつきそうです。 jp.reuters.com 政府が、機密性の高い情報をサイバー攻撃から守る、解読困難な「量子暗号」と呼ばれる次世代技術の研究開発を加速し…

ビジネスメール詐欺にはゼロトラストが必要

ビジネスメール詐欺(BEC)がカナダの自治体で成功した様です。カナダのサスカトゥーン市で約8300万円の被害が出たと報じられていました。 www.afpbb.com カナダ西部の草原地帯に位置するサスカチュワン(Saskatchewan)州サスカトゥーン(Saskatoon)の自治…

Hy-Veeからのカードデータ漏洩

米国の中西部でスーパー等を展開するHy-Veeから漏洩したカード情報がDarkWebで販売されているとKrebs on Securityで報じられていました。krebsonsecurity.com 今週の火曜日に、ハッキングされた商人から盗まれたクレジットカードやデビットカードのデータを…

JIMOSもEC-CUBE

JIMOSが運営する3サイトに対して不正アクセスによるカード情報漏洩の懸念が発表されていました。 netshop.impress.co.jp 化粧品通販JIMOSは8月22日、運営するECサイト(マキアレイベル、Coyori、代謝生活CLUB)が不正アクセスを受け、顧客情報の一部が流出…

スマホアプリがリスト型攻撃の主戦場となる

大手のカード会社であっても、隙があれば襲われる時代になったと感じるニュースでした。三井住友カードもリスト型攻撃を受けてしまったと報じられていました。 www.nikkei.com 三井住友カードは23日、会員向けスマートフォンアプリ「三井住友カードVpassアプ…

小嶋屋もEC-CUBE

新潟のへぎそばで有名な小嶋屋総本店の通販サイトもカード情報を漏洩したと発表していました。 www2.uccard.co.jp ■公式発表 「小嶋屋総本店ショッピングサイト」への不正アクセス発生についてのご報告とお詫び 1、漏洩の可能性のある期間 2015年12月9日から…

警察も内部脆弱性診断をした方が良い

警察の失態がまた発生したか、とぼーっとニュースを見ていたのですが、警察病院とは言え5階から逃走が出来てしまうのは少し驚きました。 www.sankei.com 警視庁に窃盗容疑で逮捕された後、けがの治療のため釈放された韓国籍の60代の男が18日午前、入院…

くら寿司のバイトテロ続報

バイトテロ・・・現在は下火ですが、また1-2年もすれば出てくるかも知れません。一連のバイトテロの中でも多く取り上げられていた「くら寿司」の件について続報が出ていました。 www.jprime.jp 「実際に訴訟に至ったケースは今のところほとんどありません。…

HARIOもEC-CUBE

お盆休み中は1件も出て無かったかと思いますが、新たにまたカード漏洩事件が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する「HARIOネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 5月8日に、一部のカード…

危険なパスワードは7割変更されない

Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。 japan.zdnet.com 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し、新たに…

ChoiceホテルはMongoDBを意図せず公開していた

コンフォートホテルを日本でも展開するChoice Hotelsが、70万件の個人情報をハッカーに盗まれたと報じられていました。 www.zdnet.com Choice Hotelsに属する70万件のレコードが、ハッカーが返品の支払いを要求して盗まれたと伝えられています。 Comparitech…

管理者アクセスは安全か?

みずほ銀行の海外子会社、これもサプライチェーン攻撃と言えるのかも知れません。 www.nikkei.com みずほ銀行は15日、シンガポールの連結子会社、ユーリカヘッジがサイバー攻撃を受け、顧客情報が漏洩したと発表した。ユーリカヘッジは機関投資家などにヘッ…

クラウドに生体情報を持つから危険性がある

やはりクライアント側に生体情報を持つFIDOの設計思想の方が合っている気がします。www.vpnmentor.com 米国、英国、インド、日本、およびアラブ首長国連邦の銀行、警察、防衛会社など、世界中の150万以上の場所を保護するために使用される生体認証システムは…

パスワードスプレー攻撃

パスワードスプレー攻撃がまた流行っている様です。オーストラリアの国立セキュリティセンター(ACSC)が警戒記事を出していました。 www.security-next.com 公式発表 Advisory - 2019-130: Password spray attacks – detection and mitigation strategies パ…

Face IDは未だ強固だった

BlackHatで発表されたFace ID突破方法ですが、記事の内容とは反対に、この程度の攻撃しか見つかってないので、私は意外とFace ID強いな・・と感じてしまいました。 gigazine.net 研究者は、活性検出がユーザーの目をどのようにスキャンするかに特に注目しま…

Mastercardの国際会議に行ってきた④

会議会場の照明もインドらしさが漂います。国際会議の写真をもう少しだけ紹介します。 DarkWeb関連の専門家スピーチ。日本でも同じことをしている方がいますが、やはりプロアクティブでDarkWebの情報を見に行くという手法が海外でも取られている様です。 Dar…

Mastercardの国際会議に行ってきた③

Mastercardの国際会議、今年はニューデリーの某高級ホテルで開催されました。参会者は45か国から340人程度だった様です。ベンダーブース等は盛況でしたが、これはインドで初の開催という事もあってか地元の方が多かったからかも知れません。 高級ホテルでは…

Mastercardの国際会議に行ってきた②

インドの写真を、もう少し貼っていきます。セキュリティ関係・・という意味ではありませんが、空港を含む街中の重要施設近くでは軍の方をよくお見掛けしました。 普通と言えば普通な事なのですが、 銃がすぐ撃てる状態で警備している事に気づかされます。 (…

プロイディアもEC-CUBE

姿勢・美容・健康グッズ等を通信販売しているプロイディア直営ショップからカード情報が漏洩したと発表されました。やはりEC-CUBE利用サイトの様です。 www2.uccard.co.jp 公式発表 不正アクセス発生のご報告とお詫び 1.経緯について2019 年 4 月 26 日(…

おもちゃ箱もEC-CUBE

海外行っている間に2件のカード情報漏洩事件が出ていた様です。遅ればせながら調べてみます。 www2.uccard.co.jp 公式発表 「omochabakoWEBSTORE」への不正アクセス発生についてのご報告とお詫び 1.漏洩の可能性のある期間ならびにお客様について2016年2月3…

Mastercardの国際会議に行ってきた①

セキュリティ系の国際会議という意味ではラスベガスで同時期に開催されていたBlackHatの方に多くの方が行っていたのかと思いますが、私は先週MastercardのAP(アジア太平洋)地区向けの国際会議に行ってきました。今年は開催場所がニューデリーだったので、…

気球による監視

米国政府の気球テストの記事が気になりました。 www.theregister.co.uk アンクルサムはアメリカの土壌の監視を行うために高度の高い気球を使うシステムをテストしています。 醸造所ではなく航空会社である政府の請負業者であるSierra Nevada Corporationは、…

チリ成人の1400万人の個人ID漏洩

チリの国民IDデータ1400万件が米国のホスティング会社から漏洩した(正確にはホワイトハッカーによって見つけられてしまった)様です。 www.wizcase.com WizCaseは、17歳以上の1400万人を超えるチリの住民の識別可能な情報を含むデータベースリークを発見し…

無料WIFI接続のリスク

海外では鍵のかかってない無線スポットが多数ありますが、セキュリティは気にしてない人が多い様です。 gigazine.net 「公共のWi-Fiを使う際、どれくらいセキュリティについて気にしていますか?」という質問をぶつけたところ、「まったく気にしていない」と…

ディノス・セシールの不正検知

相変わらずディノス・セシールの検知能力は高いのだという事をSecurity Nextの記事を読んで思いました。 www.security-next.com ディノス・セシールは、同社の通販サイト「セシールオンラインショップ」がパスワードリスト攻撃を受けたことを明らかにした。 …

KURAND CLUBのカード情報漏洩

日本酒定期購入サービスを提供するKURAND CLUBからカード情報が漏洩した様です。 www2.uccard.co.jp ■公式発表 リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告 5. 原…

クロネコメンバーズの不正アクセス

ヤマト運輸の会員サービス「クロネコメンバーズ」へのパスワードリスト攻撃によると思われる不正アクセスが報じられていました。 www.nikkei.com 経緯2019年7月23日(火)、特定のIPアドレスからの不正なログインを確認し、緊急の措置として、該当のIPアドレ…

ベネズエラの停電

ベネズエラで大規模停電が7/22に発生し、米国からの「電磁波攻撃」により発電所が攻撃を受けたとマドゥロ政権は発表しました。 www.asahi.com 政情不安が続く南米ベネズエラで22日午後、再び大規模な停電が発生した。現地報道によると、停電の範囲はほぼ全…

キーボード配列変更

キーボードを上手く使えるとパスワードを覚えられない問題が解消するかも知れません。 www.gizmodo.jp すべてのキーに自由に機能を割り当てられるキーボード「Nemeio」が登場しました。配列も言語も、ダークモードもホワイトモードも、その明るさすらも意のま…

ベライゾンの2019年度データ漏洩/侵害調査報告書

ようやくベライゾンの「2019年度データ漏洩/侵害調査報告書」(日本語版)が出てきそうです。セキュリティ関係では海外で特に信頼がされ、引用例も多い年次調査レポートです。DBIRとも呼ばれるこのレポートは、協力事業者も多いので客観的と言われており、…