マレーシアのマラ工科大学の100万件以上の学生（卒業生）の個人情報がオンラインにリークされた様です。 www.lowyat.net 2000年から2018年の間にTeknologi Mara大学（UiTM）でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンライ…

またSQLインジェクションです。まだまだOWASPから落ちる事はなさそうです。 www.security-next.com ■公式発表 不正アクセスによるお客様情報流出に関するお詫びとご報告 つり番組に特化した専門チャンネルを運営する釣りビジョンのウェブサイトが不正アクセ…

Googleに対してフランス当局（CNIL）がGDPR違反で5000万ユーロの罰金を課す事が発表され、Googleが不服申し立てをする様ですが、GDPRの罰金額・・・当初言われていた全世界売上の４％（最大）という恐ろしい罰金ではなかったので、少し調べてみました。 japa…

宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について（お詫びとお願い） １．漏洩したお客さま…

NISCが「インターネットの安全・安心ハンドブック」を改訂リリースしました。www.nisc.go.jp ◆キタきつねの所感 黄色い表紙に見覚えがあるなと思ったら、昨年版は「ネットワークビギナーのための情報セキュリティハンドブック」として出されてました。内容が…

今更ながら、こんな商品が市販されているのに気づきました（※下記記事は2017年のものです）。一瞬欲しいなと思ったものの、、、嫌がらせ以外で使う用途が見出せないないのですが、考えようによってはかなり危険な使われ方ができそうです。 gigazine.net 謎の…

インスタグラムで世界最高「いいね！」は立った卵の写真が塗り替えたそうです。関連のWired記事をみていて・・セキュリティにも関係する記事（の端っこ）を見つけました。 wired.jp キーワードの不法占拠が増殖この騒ぎで得をするのは卵のアカウントだけでは…

日本では同じ情報の記事を見出せないのですが、英国のニュースで、日産のEVアプリがパスワードリセットをかけてユーザがパニックになっているとの気になる記事が出ていました。 https://news.hitb.org/content/nissan-ev-app-password-reset-prompts-user-pa…

日本においてあまりインシデント事例が無いのがヘルスケア分野です。要注意かなと思う海外記事が出ていましたので取り上げてみます。securityboulevard.com 患者の機密情報は通常、電子メール、ファイル、プリントサーバー、ドキュメントライブラリ（SharePo…

PCI SSCから決済アプリケーションの国際セキュリティ基準であるPA-DSSの後継規定が公開されました。 blog.pcisecuritystandards.org PCIソフトウェアセキュリティ基準は、PCIペイメントアプリケーションデータセキュリティ基準（PA-DSS）とどのように異なる…

Magecardの広告パートナーサイト経由の攻撃手法には注意が必要です。British Airwaysが昨年PCI DSS準拠でもカード情報を大量に窃取されましたが、サプライチェーン攻撃だったようです。 thehackernews.com 最も悪名高いハッキンググループの1つであるMagecar…

TwitterのAndoroidのバグに関するアナウンスを見て、幸い私は影響を受ける事はありませんでしたが、「またか」という思いを強くした人は多いかも知れません。 www.bbc.com ※Twitterのヘルプセンターのアナウンスを機械翻訳した内容です。 ◆キタきつねの所感 …

日本におけるフィッシングメールでは、まだ日本語の壁の影響か、ひっかかる人がそう多くないレベルのことが多いのですが、この記事を見るともう少しで危ないレベルに達してしまう気がしました。 www.security-next.com 今回確認された攻撃では、フィッシング…

Twitter経由での匿名つぶやきは、匿名性を失う情報が意図せず公開されている場合もあるようです。 lifehacker.com Wiredの話が進むにつれて、イリノイ大学とギリシャのResearch and Technologyのための財団の研究者は、多くのユーザーが正確なGPS座標を共有…

運転免許証の偽造が取り上げられていました。 mainichi.jp 捜査関係者によると、5人は同じサイトで偽造運転免許証を注文していた。料金は、ネット上で番号を入力する個人情報不要のウェブマネーで支払う仕組み。サイトの表記は日本語だが、サーバーは海外に…

脆弱性価格は実情に合ったものかも知れません。 gigazine.net 様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZEROD…

仮想通貨を取引所に預ける事のリスクは、日本でも韓国でも同じ様です。 crypto-lab.info 韓国の政府機関（科学情報通信省、インターネット庁、経済財政省）が実施した仮想通貨取引所のセキュリティ調査で、21社のうち7社しか安全基準をクリアできなかったこ…

（雑談記事です） 既に2019年が始まってしばらく経ちますが、ある人と話していて、何でインシデントを分析する必要があるの？と聞かれてふと考えてしまいました。 インシデント分析をやり始めて数年経ちますが、本格的にとなるとこのブログを書くようになっ…

宅配ボックスからの盗難事件が増えているとの記事がありましたが、マンション管理組合がリスク管理が出来てない事が問題なのかなと思いました。 www.huffingtonpost.jp 宅配物が届いたときに不在でも、受け取ることができる宅配ボックス。その中から届いた商…

研究熱心なホワイト側の方は時にしてブラック側になってしまう。まるでスターウォーズのダースベーダーの様な記事が出ていました。 www.zdnet.com セキュリティ研究者によって今年の初めに公開された新しい侵入テストツールは、かつてないほど簡単にフィッシ…

学研は子供の頃にお世話になっており、信頼できる会社というイメージがありましたが、下記の記事を読むとセキュリティへの感度は弱いのかも知れません。 www.security-next.com 学研プラスが運営する電子書籍配信サイト「Beyond Publishing」が不正アクセス…

OSシェアから見るとWindowsXPが3ヶ月連続で何故かシェアを増やしているのはノーガード戦法なのでしょうか。 news.mynavi.jp Net Applicationsから2018年12月のデスクトップOSのシェアが発表された。2018年12月はMac OSとLinuxがシェアを増やし、Windowsがシ…

1月2日の記事のアクセスに根岸さんのインフルエンサーとしての大きさを感じました。発端は昨日のTwitter（だと思います）。にゃん☆たくさんと、根岸さんが記事を評価してくれていました。 アクセス推移を見ると、1日で2,469アクセスあった事が分かります。普…

ドローンで成功した攻撃事例が出てしまったなという印象です。 japan.zdnet.com ガトウィック空港は19日夜、ドローンが近くに飛来したことを受け、24時間以上にわたって閉鎖された。その後、21日朝になって再開されたが、再びドローンが目撃されたため、また…

ぼーっとニュースを見ていて、年末にOWASP TOP10 (IoT版）が12月30日にリリースされていたのに気づきました。日本語の記事を見つけられませんでしたが、正月休み等の長期休暇にはマスコミ、セキュリティ関係者の感度が極端に落ちる日本市場らしい気がします…

新商品の紹介で「？」と思う所がありました。（そういうものだと知りませんでした） internetcom.jp USB 3.1 Gen 1（USB 3.0）／2.0準拠。データの保存領域を、設定したパスワードで強制ロックできる。不正アクセス防止のため、パスワード入力に100回連続失…

気になるローカルニュースがありました。 jp.reuters.com 兵庫県姫路市に拠点を置く指定暴力団神戸山口組系傘下組織の組長が、姫路市内の自宅マンションから数百万円を盗まれたという通報が兵庫県警にあったことが３日、捜査関係者への取材で分かった。県警…

2019年はどんなサイバーセキュリティトレンドとなるのでしょうか。海外の専門家がどんな事を懸念しているのかを少し調べてみました。 www.computerworlduk.com Computerworld UKは、IoTのボットネットが進化すると予想しています。今は仮想通貨マイニングの…

年始の記事を書くために調べていて気づきました。またクレジットカード情報が漏洩していた様です。 ■公式発表 クレジットカード情報流出についてのお知らせ | サンワ食研 温効生姜オンラインショップ 1.流出の可能性のある期間2016 年 11 月 14 日から 2018 …

年始にここ2年程、更新している『私のセキュリティ情報収集法』ですが、今年も少し書いてみます。 ※私の方法はpiyokangoさんの次の記事を受けて試行錯誤しているものであり、必ずしも全ての方に向いている情報収集のやり方ではないかと思います。 私のセキュ…