連日ECサイトからの漏洩事件が報じられるのは、カード会社側でまとめた方が良い・・・といった理由でもあるのでしょうか。創価学会専門の仏壇・仏具を販売する金剛堂からのカード情報漏洩が報じられていました。 www.security-next.com ■公式発表 弊社が運営…

システムメンテナンスはカード情報漏洩かも知れない。この仮説がある程度正しい事を、Security Nextさんの叶匠寿庵からの情報漏洩記事で説明できそうです。 www.security-next.com ■公式発表 叶匠寿庵オンラインショップへの不正アクセスによるクレジットカ…

ECオーダーのユーザが不正アクセス被害を受けている様です。 nlab.itmedia.co.jp ゲームソフトなどの通販に利用されている通販業務サービス「ECオーダー」が、6月末から長期のメンテナンスで停止しています。また個人情報が流出した可能性があると指摘されて…

解凍途中で気づく気がしますが、新型のZIP爆弾は標的型攻撃（いやがらせ）などにも使われてくるかも知れません。 gigazine.net 数十KBのZIPファイルに見えて解凍すると膨大なファイル容量を食う「ZIP爆弾(高圧縮ファイル爆弾)」は、ZIPファイルの中にZIPファ…

７Payの事件で一気に社会的認知度が上がった『多段階認証』ですが、ドイツの銀行で多段階（要素）認証としえてSMS(OTP）の使用が停止される様です。 www.helpnetsecurity.com ドイツの銀行は2番目の認証/検証要素を提供するためにSMSの使用をやめる ドイツの…

GDPRで罰金を課されるケースも増えてきていますが、不動産会社もその例外ではないようです。 ico.org.uk ICO（Information Commissioner's Office）は、 18,610人の顧客の個人データを約2年間公開しているとして、ロンドンの不動産会社に£80,000の罰金を科し…

Troy氏のPwned Passwordsの新バージョンが7/9に出ているのですが、日本ではあまり報じられていないのが気になります。 www.troyhunt.com 今日、さらに6か月間パスワードを収集した後、私はサービスのバージョン5をリリースします。この間に、私はそれらがプ…

パスワード2.0というレポートを先日出してはいますが、私は次の認証手段として最有力なのは、FIDO2（生体認証）だと思います。 www.atmarkit.co.jp Microsoftは2019年7月10日（米国時間）、「Azure Active Directory」（Azure AD）でパスワードレス認証を可…

この米国通信キャリア大手のスプリントへの不正アクセスも、サプライチェーン攻撃と言えるかも知れません。サムソンのサイトから不正試行が試みられた影響で（念のため）顧客のPINが初期化されたとForbesが報じていました。 forbesjapan.com 米国の通信キャ…

ビットポイントの記者会見の映像を見ていたのですが、調査中という事もあるので仕方がない事だとは思いますが、肝心の鍵暗号化鍵の管理について、回答が控えられていたのは少し残念でした。 www.itmedia.co.jp 約30億円相当の仮想通貨不正流出を起こした仮想…

ITGovernance Blogにランサム攻撃への７つのステップ（対策）記事が上がっていましたので紹介します。 www.itgovernance.co.uk 1.データをバックアップして攻撃に備える身代金の支払いを避け、壊滅的な遅れを避ける唯一の方法は、あなたがあなたの機密情報の…

日経Networkさんの7月号、あまり訳に立たない対策ではないかと考えてしまいました。 tech.nikkeibp.co.jp LANスイッチの空いているポートは、パソコンを勝手に接続され、LANを流れる情報を盗まれる恐れがある。また会議室などにある使われていないLANケーブ…

マリオットが傘下に収めたスターウッドが予約DBの侵害を受け、800万件のクレジットカード情報等が漏洩した事件で英国のデータ保護当局（ICO)がマリオットに対して9900万ポンド（約134億円）の罰金を科す見込みと発表されました。 jp.techcrunch.com 英国のデ…

中部電力の顧客向けサイトがパスワードリスト攻撃の被害を受けていた件が報じられていました。 www.sanspo.com ■公式発表 「カテエネ」における不正ログインについて 中部電力は１２日、家庭向けインターネットサービスで不正ログインがあり、顧客の氏名や住…

英国のブリテッシュエアウェイズ（BA）が2018年に受けたサイバー攻撃に対するGDPR違反の罰金が約250億円になると報じられていました。 www.nikkei.com 英国の個人情報保護当局は8日、英航空大手ブリティッシュ・エアウェイズ（BA）から2018年に大量の顧客情…

EC-CUBEは利用ユーザ（店舗）数が約3.5万と、日本で最も利用されているECサイト構築パッケージと言っても過言ではないかと思います。しかしユーザ数が多いが故に犯罪者（ハッカー）に狙われやすく、今年に入ってからカード情報漏洩の発表があった22件中、11…

7Payなど、大きな注目を集めるニュースに流されてネタを拾うのが大変なのですが、東北工業大学のクラウドメール侵害が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによる個人情報漏洩の可能性及び迷惑メール送信に関するお詫び 東北工業大…

退職した会社のIDとパスワードを不正に別な会社で使う事件で、不動産コンサルタントが逮捕されたとの報道がされていました。 www.youtube.com 退職した会社のＩＤやパスワードを使って登記情報に不正にアクセスし情報を得ていたとして、不動産コンサルタント…

セキュリティ業界（リサーチャー）の諸先輩方から見れば、大した話ではないかと思いますが、7Payの記者会見の記事が当ブログの過去最高アクセス数をたたき出しました。 foxsecurity.hatenablog.com アクセス数が午前中の段階で1000を超えてたので、いかに世…

インド、スリランカ、カザフスタンの銀行の銀行を襲ってきた「Silence（沈黙）」と呼ばれるハッカー集団がバングラデッシュでも猛威を振るっていた様です。www.zdnet.com 銀行を攻撃することを専門とするハッカーのグループが再びヒットしました、そして今度…

世界最大の企業にデータ管理、倉庫保管、複製サービスを提供するイスラエルのIT企業Attunityが、Amazon S3の設定不備があり、顧客の情報まで意図せず公開していたと報じられていました。 www.zdnet.com 漏洩しやすいAWS S3バケットには、Attunity自身の業務…

NOTICEの記事を調べていたらNISTが新たなIoT機器のリスクガイドラインを発表している事に気づきました。 www.darkreading.com NISTは、管理者がライフサイクルを通してモノのインターネット（IoT）デバイスに伴うリスクを理解し管理するのを支援することを目…

本日は、宣伝です。 日本プライバシー認証機構（JPAC)様とご縁があり、 昨日ホワイトレポート『日本人のためのパスワード2.0』をリリース頂きました。 ■ホワイトペーパーダウンロード ※JPAC様 ホームページ 過去に（本業の方で）自分の書いた原稿が世に出た…

週末のニュース番組を見ていても、7Payの事件が繰り返し流されていて、週末ブロガー（※ほとんどの記事は週末に書いています）の私としても、取り上げなければならないのではないかと思い始めました。とは言え、既に多くの識者の方々が様々な観点から事件を分…

沖縄こどもの国から脱走した14匹の猿が無事に捕まったというニュースに、セキュリティ検証の重要性を感じました。 www.okinawatimes.co.jp ２９日は朝から立て続けに捕獲。最後まで逃げていた「おはぎ」（雄８歳）は同日午前１１時３５分ごろ、北中城村島袋…

東急電鉄がIoTube導入を検討する様です。 news.livedoor.com 東急電鉄とソフトバンクは、LED蛍光灯一体型の防犯カメラ「IoTube（アイ・オー・チューブ）」を東急大井町線の車両に試験導入する。 「IoTube」は、Wi-Fiや4Gのデータ通信によってカメラ映像を送…

1日2件のカード情報漏洩事件発表というのは珍しいかも知れません。デジブックオンラインがカード情報漏洩を発表していました。（※なので珍しく1日2件記事をUPします） www2.uccard.co.jp ■公式発表 弊社が運営する「みんなのデジブック広場」への不正アクセ…

米国の独立記念日（7月4日）を祝っての祝砲？なのかと思う程に、ECサイトからのカード情報漏洩事件が立て続けに発表されています。スキー用品販売で有名な石井スポーツも被害を受けた様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「Ski&Winter Sport…

2019年下半期初のカード情報漏えいが発表されてました。そしてやはり、EC-CUBEだったので、今後も同じ攻撃が続くのかなと予感させます。 www2.uccard.co.jp ■公式発表 弊社が運営する「バイクパーツ・バイク用品の通販ゼロカスタム」への不正アクセスによる…

この記事の影響は日本企業にも大きいかも知れません。日本を代表するハイテク企業、富士通やNTTデータがAPT10によるハッキング被害を受けていたとロイターが報じていました。 jp.reuters.com 中国政府とつながりのあるハッカー集団「ＡＰＴ１０」が「クラウ…