Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2019-09-01から1ヶ月間の記事一覧

ディノス・セシールを学ぶ

パスワードリスト攻撃への対策という点では、ディノス・セシールに適う企業は無いのではないか、そんな思いを改めて認識したニュースでした。 www.security-next.com ■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについ…

キンダンの2015年攻撃

ダンキンドーナッツが2015年に受けたサイバー攻撃で訴えられたと記事が出ていました。 threatpost.com Dunkin 'Donutsは、ニューヨーク州のデータ侵害通知法に違反したとして訴えられています。訴訟では、ダンキンの親会社であるダンキンブランドが、2015年…

Wi-FIジプシー

熊本だから起こった事件なのか気になる所ですが、高速のWi-Fiを無料で・・というニーズは案外あるようです。 www.nishinippon.co.jp 熊本県警水俣署は17日、住居侵入の疑いで、同県水俣市の無職の男(21)を現行犯逮捕した。逮捕容疑は同日午後2時半ごろ、近…

Webカメラは脆弱なまま拡大していく

NOTICEはもう少し見つけられたのではないか・・そんな風にも感じるWizcaseの管理レスWebカメラが全世界に15000台以上見つけられたとの発表でした。 www.wizcase.com ◆キタきつねの所感 どうやら某カメラ映像を公開しているサイトとは別に、wizcaseのホワイト…

ジャックスへの不正アクセス

ジャックスの会員サイトがパスワードリスト攻撃を受けていたと発表されていました。8月下旬にはモバイル側ではありますが、三井住友カードも攻撃を受けており、セキュリティがしっかりしていると見なされてきたカード会社も攻撃対象になりつつあるのかも知れ…

"母親の旧姓"がベストでない理由

秘密の質問は、パスワードリセットの認証手段としては脆弱な方法となりつつあるだけに、そこを触れないのは、折角良い記事なのに残念でした。 president.jp 「IDは使い分けるのが鉄則です。『秘密の質問』ではわかりやすい質問や回答を設定しない。一番知ら…

10mois WEBSHOPもEC-CUBE

2001年からベビー用品のECサイトを運営している「10mois WEBSHOP」からもカード情報漏洩が発表されていました。他の事件とは若干違い、3回にかけて侵害を受けた様です。 www2.uccard.co.jp ■公式発表 個人情報流出に関するお詫びとお知らせ 弊社ウェブショッ…

Naturas Psychos ProductもEC-CUBE

9月17日に、アロマオイル・エッセンシャルオイル通販のNaturas Psychos Productからカード情報漏洩が発表されていました。 www.security-next.com ■公式発表 弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びと…

JTAS StoreもEC-CUBE

日本関税協会のオンラインショップ「JTAS Store」からのカード情報漏洩が発表されていました。 ※仮記事からの更新です。 www.security-next.com ■公式発表 弊会が運営する「JTAS Store」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知…

図書館へのサプライチェーン攻撃

大学だけでなく、図書館もハッカーに狙われる対象となりつつある様です。 threatpost.com Cobalt Dickens(別名Silent Librarian)は現在、380の大学を積極的にターゲットとしており、資格情報を盗み、学校のネットワークに深く入り込んでいます。 大規模な…

容易に類推できるパスワード

以前に発生したdアカウントへの攻撃は、パスワードの脆弱性を狙われていた可能性が高い様です。 www.fukuishimbun.co.jp 他人のIDやパスワードを使って不正アクセスし、携帯電話の決済システムを使ってインターネットで商品購入を繰り返したとして福井県警…

カリフォルニア州はプライバシーを尊重する

警察官や政府関係機関の生体監視システムに関して、カリフォルニア州上院は使用禁止の法案を可決した様です。 threatpost.com カリフォルニア州上院は、顔認識を使用するボディカムの法執行機関による使用を禁止する法案(22〜15票)を可決しました。 (中略…

面前決済をしない高級ステーキ店の責任も重い

この事件は、単に悪さをした外国人が逮捕されたという内容だけでなく、カード決済が抱える様々な問題が凝縮されていると見る事が出来るかも知れません。 www.sankei.com 東京都千代田区の高級ステーキ店でアルバイト中、利用客の精算時にクレジットカード情…

JTAS StoreとNaturas Psychos Productを調査中(EC-CUBEユーザでした

出張中につき、記事を仕上げられないので仮記事としてUPします。9/17に2件のカード情報漏えいが発表されていました。簡易調査ではいずれもEC-CUBEユーザです。 www2.uccard.co.jp www2.uccard.co.jp 魚拓サイトで、EC-CUBEの痕跡を確認しましたが、加工して…

ビジネス詐欺はメールだけではなくなった

予想されていた事とは言え、ビジネスメール詐欺(BEC)は既にメールだけを警戒すれば良い時代ではなくなりつつある様です。 japan.zdnet.com 犯罪者が、人工知能(AI)で生成した音声を利用し、企業の最高経営責任者(CEO)の声をまねて部下をだまし、資金を…

政治的発言には注意が必要

記事を読んでいて米国の入国審査はここまでチェックしているのかと少し驚きました。レバノンからハーバード大学へ入るはずだった新入生がSNSへの投稿が元で入国を拒否されたと報じられていました。 www.washingtonpost.com イスマイル・B・アジャウィは、金…

充電ケーブルがリスクに

充電ケーブルの安全性について気になる記事がForbesに出ていました。 forbesjapan.com ラスベガスで先日開催されたハッキング会議「DEFCON(デフコン)」(ヘンダーソンは「ハッカーのサマーキャンプ」と呼んでいる)では、「MG」というニックネームのハッカ…

ペンはキーボードより強し

米国コロラド州デンバーのレジス大学がサイバー攻撃に苦しんでいる様です。 www.denverpost.com デンバーのレジス大学での法医学調査では、金曜日に私立大学の技術システムが国外からの「悪意のある脅威」によって攻撃されたことが確認されました。 「この問…

マグちゃんオンラインショップもEC-CUBE

EC-CUBEユーザからのクレジットカード情報漏洩事件はいつになった落ち着くのでしょうか。マグネシウムで日本一を目指している宮本製作所がカード情報を漏洩していた可能性があると発表しました。 www2.uccard.co.jp ■公式発表 【重要】クレジットカード情報…

キャッシュレス普及が遅れた理由はクレジットカードか?

専門分野がPCI系なので毎日新聞の記事は興味深く読みました。 mainichi.jp カード大手JCBが2018年に20~60代を対象にした調査では、クレジットカード保有率は84%で1人平均3.2枚を持っていた。一方、日本クレジット協会の17年調査では、消費に占めるカード決…

ビバリーもEC-CUBE

カード漏洩事件がまたSecurity Nextで報じられているのに気づきました。EC-CUBEの記事ばかりで飽きている方も読者の方には多いかも知れませんが、、記事を書きたいと思います。 www.security-next.com ■公式発表 弊社が運営する「ビバリーホームページ」への…

GEKIROCK CLOTHINGもEC-CUBE

またEC-CUBEだった様です。ロック系ファッショングッツ販売の「GENKIROCK CLOTHING」がカード情報を漏洩したと発表してました。 www.security-next.com 同サイトを運営する激ロックエンタテインメントによれば、同サイトが不正アクセスを受けて改ざんされた…

トヨタ紡績はJALを超えた

ビジネスメール詐欺にひっかかる企業・・・実は多いのかも知れません。トヨタ紡織が40億円の資金不正流出被害に遭った事を発表しました。 www.nikkei.com トヨタ紡織は6日、ベルギーの子会社「トヨタ紡織ヨーロッパ」で、外部の第三者による虚偽の指示によ…

ペット写真は飼い主情報も漏れているかも知れない

ペット写真のSNS等での取り扱いは人間と同じで慎重さが求められるのかも知れません。 forbesjapan.com 愛するペットの写真を連日のようにSNSに投稿する人は多い。しかし、ウェブでシェアした写真から、プライバシー情報が盗まれる危険について知る人は少ない…

SUWADAオンラインショップもEC-CUBE

またEC-CUBEだった様です。新潟の高性能ニッパー等の製造をしているSUWADAオンラインショップからカード情報が漏洩したと発表されていました。 www2.uccard.co.jp 1. 経緯2019 年 4 月 15 日、弊社が運営する「SUWADA オンラインショップ」において不正アク…

ちょうどよい塩梅が難しい

リクルートのCSIRTの記事が出ていました。残念ながらこのセミナーには出られませんでしたが、記事を読むと直接聞きたかったと思える内容でした。 japan.zdnet.com 投資額とリスクのちょうどいい“あんばい”を決める 鴨志田氏は、CSIRTの行動指針を3つ定めた。…

7Payの失敗はCISOを定着させるか?

JBPressの7Payの記事がよく事件背景がまとまっていました。しかし提言の部分にはちょっと違和感があったので少し考えてみます。 jbpress.ismedia.jp 4.提言 (1)適任者に求められる資質 では適任者とはどのような人物なのか。セキュリティビジネスには通…

全米歯科医院へのランサム攻撃

ランサムは依然として脅威であるのですが、WannaCryの様に多くの端末を狙った攻撃だけでなく、業務サービス提供を行うサードパーティを狙った攻撃によってランサムが拡大する、日本の医療系でも将来起こり得るのではないでしょうか。fox6now.com WEST ALLIS-…

SNSの外部連携設定を見直そう

有名人のTwitter、Facebook、インスタグラム等のSNSアカウントは攻撃対象になりやすい。しかし2要素認証を入れていても影響を受けてしまう事もある、このニュースはその事実を改めて認識させてくれました。が、その件についてはpiyokango氏が既に記事を書か…

本番データはテスト環境に使ってはいけない

セキュリティ関係者の方であれば、「ライブ(本番)データの取り扱い」には十分な気を付けなければいけないという事は常識といっても過言ではないかと思いますが、個人情報を取り扱う組織・運営受託する企業担当者には・・・必ずしも常識となってないところ…