Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2019-01-01から1年間の記事一覧

Happy 2nd Birthday to Fox on security

ちょうど2年前の今日、11月5日、Fox on securityの記事をひっそりと書き始めました。 振り返ると、、、思えば遠くに来たものだと思いますし、一部トラブルで連続投稿が途切れそうになった事もありますが、丸2年記事を(ほぼ)継続出来ているのは、普段記事を…

Adobeのクラウド設定ミス

不正アクセス事件 海外事件 つぶやいてみた。

記事を書いている時点(10/26)では、日本語記事を見かけないのですが、恐らくこの記事が出る頃にはいろいろな方が取り上げているだろうな・・と思いつつ、書いてみます。 threatpost.com 推定1500万人の加入者を持つAdobe Creative Cloud は、Photoshop、Li…

スマホ監視の危険性

つぶやいてみた。

スノーデン氏のインタビュー記事が出ていました。インタビュー映像はYoutubeにあるみたいですが、(面倒なので)上澄み記事を取り上げてみます。 fossbytes.com スマートフォンはどのように私たちをスパイしますか?Joe Roganが2013年以降の監視の変化につい…

ランサムの勝者は保険会社?

つぶやいてみた。

ランサム攻撃で最も利益を得るのは誰なのでしょうか?興味深い記事が出ていました。vc.morningstar.co.jp ●ボルチモア市は仮想通貨ランサムウェア攻撃を受け教訓を得た 今回の出来事に先立ち、ボルチモア市は5月にランサムウェア攻撃を受け、コンピューター…

ポケモンの話ではなく報告書が参考になる

つぶやいてみた。

パスワードの話か・・とぼーっと記事を読み始めたのですが、NCSCの報告書は一見の価値があります。 news.mynavi.jp 英国立サイバーセキュリティーセンター(NCSC: National Cyber Security Centre) は2019年10月23日(英国時間)、「The NCSC Annual Review 20…

MODERN BEAUTY TOKYOもEC-CUBE

PCI DSS クレジットカード情報漏えい事件 調べてみた。

化粧品の通販サイト「MODERN BEAUTY TOKYO」からカード情報漏えいが発表されていました。 www.security-next.com ■公式発表 「MODERN BEAUTY TOKYO」への不正アクセス発生についてのご報告とお詫び 1、漏洩の可能性のある期間2016年11月15日から2018年11月7…

見せないセキュリティが重要

クレジットカード情報漏えい事件 不正アクセス事件 考えてみた。 PCI DSS

直久・・・ここのラーメンは食べた事があるだけに、残念なカード情報漏えい発表でした。 www2.uccard.co.jp ■公式発表 弊社ネットショップに使用するアプリケーションサービス「Allin1 Office」が運用するサーバーへ䛾不正アクセス発生について䛾ご報告とお…

スタバは2要素が間に合わなかった

不正アクセス事件 考えてみた。

スターバックスの会員サービス「My Starbucks」への不正アクセスにより、18万円の被害が出ている事が報じらていました。 www.nikkei.com ■公式発表 My Starbucks不正ログイン防止のため、パスワードを変更してください スターバックスコーヒージャパンは25日…

「変なホテル」のLance R. Vick氏とコンタクトしてみた

調べてみた。 つぶやいてみた。

先週21日に記事を書きました、「変なホテル」のIoT機器への脆弱性に対してTweetsをしていたLance R. Vick氏に対する一部報道の件で、どうしても理解できない部分があったので、直接Twitterでお聞きしてみました。 foxsecurity.hatenablog.com 元ソースは、先…

金属探知機では防げない世界がやってくる

つぶやいてみた。

まだ機密エリアへ実際に持ち込まれた例では無い様ですが、ハリウッド映画の世界は思ったより早く実現していく事になりそうだと思いました。 www.wired.com 今月後半のCS3sthlmセキュリティ会議で、セキュリティ研究者のMonta Elkinsは、地下室でハードウェア…

SmartNewsは急に襲ってくる

つぶやいてみた。

2年前に比べてアクセス数は格段に増えて、平日400-500位のヒットがあるのですが、突然爆発する時があります。今回は「変なホテル」のIoT機器、Tapiaのバグ報告無視の件でした。記事が出た日(10/21)は683アクセスと、月曜日は土日記事もまとめてご覧になる…

サムソンGalaxy S10の指紋センサーバイパス

つぶやいてみた。 海外事件

素人ユーザの攻撃の方がテスト検証の不備(脆弱性)をあぶり出すのに向いているのかも知れません。英Sunで今年の夏モデルであるGalaxy S10の指紋センサーが£2.7(約380円)の保護フィルムで破られたと報じられていました。 www.thesun.co.uk MUMは、eBayで…

MODERN BEAUTY TOKYOと直久のカード漏えい(仮記事)

PCI DSS クレジットカード情報漏えい事件 つぶやいてみた。

本日、カード漏えい事件が2件発表されていましたので、取り急ぎ仮記事をUPします。(後で正式記事をUP予定です) www2.uccard.co.jp ■「MODERN BEAUTY TOKYO」への不正アクセス発生についてのご報告とお詫び 1件目(Modern Beauty Tokyo)は、EC-CUBEですね。…

WannaCry型攻撃の脅威

つぶやいてみた。

米国のサイバーセキュリティ専門家からこんな言葉が出るとは思いませんでしたが、米国が密かに使っていた国家安全保障局(NSA)の技術がベースなだけに、、、その言葉の重みが違うのかも知れません。 jp.techcrunch.com 「次のWannaCry(ワナクライ)型ランサ…

金沢大学のフィッシングメール被害

不正アクセス事件 調べてみた。

金沢大学もフィッシングメールにひっかかった様です。 www.security-next.com ■公式発表 フィッシングメールの発信及び個人情報の漏洩について(注意喚起とお詫び) | 金沢大学 金沢大学において、フィッシングメールによる被害で複数教職員のメールアカウン…

アマゾンでも”やらかす”時代

つぶやいてみた。

私の購買履歴もどなたかに開示されていたのでしょうか・・・今や巨大インフラと化しているアマゾンの誤表示問題ですが、11万件に影響を与え、個人情報保護委員会から行政指導を受けていました。 japan.cnet.com 通販サイトの「Amazon.co.jp」で、他人の注文…

変なホテルはバグ報告を無視して火傷した

不正アクセス事件 調べてみた。 考えてみた。

H.I.S.が運営するロボット接客が斬新な「変なホテル舞浜」でIoT機器のハッキング懸念問題が報じられていました。 www.itmedia.co.jp ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル…

カジノの内部不正

内部犯行 つぶやいてみた。

カジノホテルのセキュリティというのはハリウッド映画のオーシャンズシリーズでも”狙われた”程に、よく攻撃対象になるが故に、しっかりしたセキュリティ設計思想がされていると言われていますが、内部犯行への備えは穴がある場合もある様です。日本のカジノ…

Happy 21th Birthday for ScanNetSecurity

普段から記事を拝見しているScan Net Securityさんが21周年であるとの記事が出ておりました。遅ればせながらお祝い申し上げたいと思います。 scan.netsecurity.ne.jp ◆キタきつねの所感 Fox on Securityは11月5日で2周年(2歳)を迎えますが、21年ですか。。…

実はCISOはあまり居なかった

つぶやいてみた。

世界を代表する大手企業群、フォーチュン500の公開情報を分析したところ、実はCISOを置いている企業は全体の38%だったというBitglass社の衝撃的な調査結果が発表されていました。 www.helpnetsecurity.com ■Bitglass社の発表 38% of the Fortune 500 do not…

セキュリティ対策は当然の責務

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

6月末にカード決済を突然停止して、ネットで騒ぎになったECオーダー.comがカード情報漏洩を発表していました。 www2.uccard.co.jp 公式発表 ECオーダー.com不正アクセス発生についてのご報告とお詫び 1、流出の可能性のある期間2019年1月19日から2019年6月2…

JIMOSのカード情報漏えいの続報(EC-CUBE)

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

朝起きると、、カード情報漏えいのニュースが出ていて慌てて記事を書いてますが、、、JIMOSという名前に既視感が・・と思ったら、8月下旬に漏洩の可能性があるとして記事を書いていた件の続報(詳細報)が出たという事の様です。 tech.nikkeibp.co.jp 公式発…

掃除用品オンラインショップもEC-CUBE

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

この記事も気づきませんでした。またEC-CUBEサイトからのカード情報漏洩事件ですが、、インシデント件数が昨年の倍以上のペースになっているのが非常に気になります。 www.security-next.com ■公式発表 弊社が運営する「掃除用品オンラインショップ」への不…

着物レンタルのオリフリもEC-CUBE

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 考えてみた。

カード情報漏洩が必ずしも発表されていた訳ではないので、気づくのが遅れましたが、9月に着物レンタルのオリフリがWebページを改ざんされ、フィッシングページに誘導される攻撃を受けた様です。 www.security-next.com ■公式発表 フィッシング詐欺の注意喚起…

サイバーミッション

つぶやいてみた。

ロードショーを見れなかったサイバーミッションをようやく観ました。 サイバー・ミッション [Blu-ray] 出版社/メーカー: Happinet 発売日: 2019/06/21 メディア: Blu-ray この商品を含むブログを見る ◆キタきつねの所感 少し前に買っていたブルーレイなので…

PDFを開くだけで暗号化された内容が流出

つぶやいてみた。

この記事を読んで、どんなソフトにもJavaScriptは万能すぎると感じました。 gigazine.net ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができ…

老年層向けのセキュリティ

つぶやいてみた。

毎日新聞出身で長年ジャーナリストとして活躍されている鳥越氏の老人力を誇る記事が気になりました。 www.news-postseven.com 「最近、娘に言われてiPhoneに替えたら、ネットもLINEも1台でできるようになって、とっても便利になりました。だけど、本人認証が…

PCI DSS v4がやってくる

PCI DSS 考えてみた。

PCI DSSv4は来年年度末あたりにリリース予定ですが、新仕様についての情報が一部出てきています。 blog.pcisecuritystandards.org ◆キタきつねの所感 PCI DSSなんて一部の人が準拠している規格ではないか?と(=あまり関係が無いと)思われる方は多いかと思…

京都一の傳もEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 PCI DSS 調べてみた。

以前からサイト(決済)停止していたので、西京漬け専門店の京都一の傳は、フォレンジック調査中だろうとは思っていましたが、予想通り、カード情報を漏洩していた様です。 www.security-next.com ■公式発表 弊社が運営する「京都一の傳 お取り寄せページ」…

Amazonのやらせレビュー工場

考えてみた。

偶然のリアルタイムで見ていたクローズアップ現代ですが、NHKらしさが出ていて引き込まれました。 www.nhk.or.jp ◆キタきつねの所感 前々からAmazonレビューについては、懐疑的な目で見ていましたが、番組の中で日本人の特性に基づく「攻撃」である事が良く…