Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2019-01-01から1年間の記事一覧

Magentoが狙われるという事は・・・

アドビが2018年に買収したMagentoのマーケットサイトが侵害を受けた様です。 thehackernews.com アドビ(Magento eコマースプラットフォームを所有する会社)は本日、Magentoマーケットプレイスユーザーのアカウント情報を未知のハッカーや個人のグループに…

老人ホームへのランサム攻撃

ランサムは老人ホームまで・・・とこのニュースを聞いて思ったのですが、身代金を払う動機になりやすい『生命』を預かる施設としては、病院同じですので、ハッカーに狙われるのは当然なのかも知れません。 coinchoice.net 暗号資産(仮想通貨)に対する犯罪…

ランサムは穴を突いてくる

Krebs on Securityで獣医病院へのランサム攻撃が報じられていました。 krebsonsecurity.com 国立獣医協会(NVA)は、世界中に700以上の動物医療施設を所有しているカリフォルニアの企業であり、先月後半にこれらの施設の半分以上に影響を及ぼし、多くの獣医…

ベネッセ判決1000円の重み

ベネッセの内部犯行事件から5年以上経つ事に驚きます。そして裁判で新たな判例が積み重なりました。 www.sankei.com ベネッセコーポレーション(岡山市)の顧客情報が委託先から流出し精神的苦痛を受けたとして、兵庫県の男性が同社に慰謝料10万円を求めた…

ロシア鉄道システムへの攻撃

Wifi経由で20分もあれば自分のデータが漏えいする、日本の新幹線などでもFree-Wifiの導入が進んでますが、きちんとセキュリティ設計がされてないと、漏えいリスクがあるサービスを利用しているかも知れない事には警戒すべきかも知れません。 www.ehackingnew…

セシールの壁

ディノスではなく、セシールが狙われるのは、攻撃者の意図がある気がしてなりません。記事を書いている時点(11/23)では、Security Nextさんの記事も出されていませんでしたが、不正アクセスの発表が出てました。 ■公式発表 弊社「セシールオンラインショッ…

Cardshop SerraもEC-CUBE

全世界で2000万人のプレイヤーが居ると言われる戦略的トレーデングカードゲームMTG(マジック・ザ・ギャザリング)のトレーディングサイトもカード情報漏えい被害を受けた様です。 www.security-next.com ■公式発表 弊社が運営する「Cardshop Serra」への不…

Macy'sのMagecart被害

先日、JPAC様でセミナーをさせて頂いたのですが、その資料をまとめる際もMagecartの被害の大きさに改めて驚きましたが、また攻撃事例が増えた様です。 jp.techcrunch.com 老舗百貨店のMacy’s(メイシーズ)は、わずかな期間に二度目となるデータ漏洩で大量の…

キャプテントムもEC-CUBE

毎週の様にカード情報漏えい事件が発表されておりますが、まだその勢いは続いている様です。アウトドアや米軍放出品などを取り扱っている「キャプテントム」からカード情報漏えいがあったと発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する…

ユニコーン企業になるにはサイバーセキュリティが重要

スタートアップ企業にとって、サイバーセキュリティ対策の重要性が増している事を指摘する記事が出ていました。 www.ipwatchdog.com サイバー攻撃はどの企業にとっても歓迎されないイベントですが、その影響は新興企業にとって特に有害であり、小規模企業の6…

NOTICEの続報

総務省とNICTが5年間の事件措置で実施しているNOTICEの続報が発表されていました。 www.soumu.go.jp 3 実施状況 2019年度の第2四半期までの実施状況は以下のとおりです(括弧内は2019年度の第1四半期までの実施状況)。・参加ISP:34社(33社)・調査対象IP…

プロフェッショナルの条件

RIZAPの記事を書いている時に、この記事を見つけました。元RIZAPのCSO/CIOの岡田氏の逆行動規範は、非常に良い事が書かれていて、とても参考になりました。 tech.nikkeibp.co.jp 逆行動規範を作った 顧客企業の優れたブレーンになるため、どんな方針で仕事に…

Everisのランサム被害

NTTデータのスペイン子会社Everisがランサム攻撃を受けて、多くのシステムを止める羽目に陥ったと11/4のBleeping Computerが報じてました。日本で報じられていないランサムウェア被害は数多くありますが、日本のSIer企業が親会社だけに、この事件が日本でほ…

ハッカーへの対抗策は侵入テスト・DevOps・バグ報奨金

興味深い記事でした。脆弱点を先に潰す事でハッカーの攻撃コストは増加する、当たり前な事ではありますが、その有効性は高い様です。 www.darkreading.com ■元レポート Trust by Design: Synack 2019 Trust Report ◆キタきつねの所感 記事が引用しているセキ…

ANAクラウンホテル神戸の会員情報漏えい

地方紙の記事でしたが、色々考えさせられる記事でした。 www.kobe-np.co.jp ■公式発表 ニュースリリースは見当たらず ANAクラウンプラザホテル神戸(神戸市中央区)などで利用できる優待制度「プレミアクラブ」の会員情報が外部に流出し、それぞれのメー…

RIZAPはセキュリティにコミットできるか?

少し前に発表があった、RIZAPのメールアカウント乗っ取り事件を少し考えてみます。 www.security-next.com ■公式発表 弊社子会社RIZAP株式会社における 不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ | RIZAP GROUP[ライザップグループ] ◆…

ゼロフィットもEC-CUBE

キリが無い・・・そう強く感じているのはフォレンジック調査会社の方だろうと思いますが、私も同感です。またEC-CUBE利用サイトからカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 【重要】個人情報流出に関するお詫びとお知らせ (2)個人情報…

このパスワードはある意味最強です

パスワード2.0なるレポートを書いておりますが、その目線で見てもこのパスワード生成法は人が考え付くものの中では非常に強固なパスワードが生成できると思いました。 www.toddlerpassword.com マックスは1.5歳で、両親のラップトップでキーボードをランダム…

日経のビジネス詐欺はVECだったのか?

日経の米国子会社がビジネス(メール)詐欺事件で32億円を香港に流出させた事件、非常に詐欺事件だと思うのですが、国内では続報がありません。一方海外では少し違った書き方がされている所がありましたので、そこを拾ってみます。 threatpost.com 現在、「…

「5pb. Records div2 official shop」もEC-CUBE

またEC-CUBE案件が出ていました。 www2.uccard.co.jp ■公式発表 弊社が運営する「5pb. Records div2 official shop」への不正アクセスによる個⼈情報流出に関するお詫びとお知らせ 2019 年 4 ⽉ 24 ⽇、ヤマトフィナンシャル株式会社から弊社サイトがフィッ…

AKIBA-HOBBYもEC-CUBE

EC-CUBEサイトからのカード情報漏えいの発表はいつまで続くのでしょうか。AKIBA-HOBBYがカード情報漏えいの発表を出してました。 www.security-next.com ■公式発表 「AKIBA-HOBBY」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 2.流出の可…

ArmoniaもEC-CUBE

またカード情報漏えいが発表が出ていました。 www2.uccard.co.jp ■公式発表 クレジットカード情報流出に関するお詫びとお知らせ 2 - 個人情報流出の可能性があるお客様2018年8月20日~2019年4月26日の期間中に「Armonia本店」においてクレジットカード決済を…

トレンドマイクロの内部不正事件への海外記事をまとめてみた

日本が被害対象に含まれてなかったので、日本国内ではそろそろニュースが下火になっているかと思いますが、敢えて取り上げます。 www.itmedia.co.jp ■公式発表 海外市場において個人向け製品をご利用いただいているお客さまの情報流出に関するお知らせとお詫…

多要素認証でもパスワードを強化しないと危ない

Krebs氏のブログ記事で非常に気になるものが出ていました。APT攻撃が恐ろしいというよりも、利便性を高める為に連携が強くなったプラットフォームが攻撃対象となるという事なのかも知れません。 krebsonsecurity.com 銀行業界の大手であるNCR Corp. [ NYSE:…

ドローン部品までの国産化は現実的でない

ここまでセキュリティを考えなければいけない時代なのか・・と記事を読んで感じました。 japan.cnet.com 米内務省は、中国によるスパイ活動やサイバー攻撃に対する懸念から、保有する800機以上のドローンの利用を停止する。内務省は米国時間10月31日、David …

FBIが警戒する中国の情報窃盗

FBIが米国内の大学に中国によって研究成果や企業秘密が窃盗されてないか、あるいは研究資金の「悪用の可能性」について調査している様です。 www.voanews.com FBIは、米国当局が中国によって盗聴された研究者による技術と企業秘密の大規模な窃盗として描写し…

中部電力のセキュリティ強化策

中部電力の会員サイトがパスワードリスト(スプレー)攻撃を受けていた事が報じられていました。今年2回目の不正アクセスの発表となります。 www.security-next.com ■公式発表 「カテエネ」における不正ログインについて 同社によれば、第三者が本人になりす…

Armoniaと AKIBA-HOBBYのカード漏えい(仮記事)

また2件カード情報漏えい事件が報じられています。調査は終わり、両方共に、EC-CUBEである事は把握しましたが、詳細記事UPが来週になりそうですので、仮記事としてUPします。 www2.uccard.co.jp www.security-next.com ◆キタきつねの所感 先に漏えい事件のま…

日経はビジネスメール詐欺(BEC)に警鐘を鳴らした

こんなタイトルを付けると各所から怒られそうな気がしますが、日経でも被害を受ける時代なのです。もっと日本企業は「人の脆弱性」について考えるべきなのかも知れません。 www.nikkei.com ■公式発表 当社米国子会社における資金流出について : 最新情報 | …

エノテカにMagecartの足音を感じた

影響範囲は無い様に見えるSecurity Nextの記事でしたが、気になる攻撃手法でした。 www.security-next.com エノテカは、同社のワイン通信販売サイトにおいて、意図しない外部サイトが表示される状態だったことを明らかにした。利用する外部サービスのタグが…