Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2021-01-01から1ヶ月間の記事一覧

テクニカルサポート詐欺攻撃

ホームデポのGoogle広告経由でのサポート詐欺の攻撃が観測された様です。 www.bleepingcomputer.com 昨日、BleepingComputerは、現在Google検索のトップに表示されている悪意のあるホームデポの広告に堕ちた誰かから通知を受けました。 テストとして、Bleepi…

中古端末には機密情報が残っているかも知れない

カスペルスキーの中古端末の調査記事が気になりました。 元ソース ・Uncovering private data in secondhand sales 研究者が調査したデバイスの圧倒的多数は、少なくともいくつかのデータの痕跡が含まれていました - ほとんどが個人的なものですが、いくつか…

データプライバシーデー

1/28はデータプライバシーデー(欧州だとデータープロテクションデー)として欧米を中心に知られており、プライバシーとデータ保護の意識を高め、ベストプラクティス(最良事例)を促進する国際的なイベントデーとなっています。海外記事も多かったので本日…

ロシアのSolarWinds報復対策

SolarWinds事件の影響はスパイ攻撃を仕掛けたとされるロシアにも波及しそうです。バイデン新政権側の”反撃も辞さない”姿勢を受けて、ロシア政府が企業に対してセキュリティアラートを発行しました。 www.zdnet.com ロシア政府は木曜日の夕方にセキュリティア…

SYSTEM5のインシデント対応

空撮用ドローンやプロ用映像機器・撮影機器の販売等を行うシステムファイブ社からカード情報漏えいが発表されていました。 公式発表 ・弊社が運営する「システムファイブ オンラインショップ」への不正アクセスによるクレジットカード情報流出に関するお詫び…

インテルの決算情報漏えい

インテルが四半期報告の”情報漏えい”を起こし、決算発表前に第三者がPRニュースルームサイトで収益情報にアクセスした様です。 www.infosecurity-magazine.com インテルの広報担当者は当時、フィナンシャルタイムズに次の ように語っています。「インフォグ…

■今週のセキュリティ記事(1/17-1/23)

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。 ※は英語記事 ※無印~★★★は主観での推奨レベル(★★★が閲覧推奨記事)/記事を読んだ個人的な感想ベース ■ 今週の三ッ星記事 整理No 日付 推奨 記事タイトル(リンク) 21-0251 1月15…

Jokerの初心者向けガイド

Joker's Stashの調査をしていて、Joker' Stash関連サイトにCARDER(初心者)ガイドを見つけました。 キタきつねの所感 このガイド(USEFUL CARDERS GUIDE - FBI LEAK)では、2004年に閉鎖されたcarderplanetがカード情報購入先として書かれている事から、主…

超小型PCは物理セキュリティを変えていく

RaspberryPiの新商品がまもなく国内でも販売される様です。「Raspberry Pi Pico」の価格は4ドル、日本では550円前後で販売が予定されおり、こうした超小型PCの普及により物理セキュリティの概念が徐々に変わっていきそうです。 monoist.atmarkit.co.jp 英国R…

IoTセキュリティは端末の問題だけではない

Dark Readingの記事を読んで、IoT端末の脆弱性だけではなく、ネットワーク全体の保護の観点が抜け落ちていそうで不安になりました。 www.darkreading.com 組織が直面するリスクは、IoTの採用ペースによって悪化します。InternationalDataCorporationの予測で…

サイバーセキュリティトレーニングは予算不足

海外の最新調査レポート(iomart)によると、回答者の70%がすべての従業員にサイバーセキュリティトレーニングを提供していないため、深刻なデータ侵害が発生し、企業価値が大幅に下がる可能性があると述べています。 www.infosecurity-magazine.com iomartのC…

2020年はランサム攻撃により77億件のデータが漏えい

Tenableの最新レポートでは、2020年に全世界で220億件のデータが漏えいし、その35%がランサムウェアに関連していた述べられています。 www.ehackingnews.com サイバーエクスポージャー企業のTenableのセキュリティ対応チーム(SRT)は、データ漏洩の14%が20…

アイビー・シー・エスの広報戦略

今年最初のカード情報漏えい事件としてカウントされるのは、アイビー・シー・エス運営の2サイト「IVYCS FEE PAYMENT(青山学院会費)」「東京女子大学購買センター Web Shop」となる様です。 www2.uccard.co.jp www2.uccard.co.jp 公式発表 ・弊社が運営する…

■今週のセキュリティ記事(1/10-1/16)

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。 ※は英語記事 ※無印~★★★は主観での推奨レベル(★★★が閲覧推奨記事)/記事を読んだ個人的な感想ベース ■ 今週の三ッ星記事 整理No 日付 推奨 記事タイトル(リンク) 21-0132 1月8日…

Joker's Stashの閉鎖予告

悪名名高きカードダンプデータの販売サイト「Joker's Stash」が30日以内(~2/15)に営業を停止すると発表しました。 www.flashpoint-intel.com 2021年1月15日、「ジョーカーズスタッシュ」として知られる悪名高い信頼性の高いカードショップは、本日、30日以…

赤坂御用地への不正侵入

米国だけでなく、日本の重要施設の物理セキュリティも色々と潜在課題がある様です。 news.tbs.co.jp この事件は、今月2日午後9時40分すぎ、20代の男が迎賓館の門を乗り越え、その後、天皇皇后両陛下のお住まいがある赤坂御用地の敷地に侵入したもので…

議事堂乱入の再発防止策は2mフェンス

1月6日にトランプ派が米連邦議会議事堂に乱入した事件は、良くも悪くもトランプ大統領4年間の終幕を印象付け、ハリウッドの映画を見る様でした。この暴動を受けての対策記事が出ていましたので取り上げます。 dcist.com 陸軍長官ライアン・マッカーシーは本…

セキュリティ予算獲得のためにすべき事

日本よりはるかに機能していると思われる海外CISO(最高情報セキュリティ責任者)でも取締役会でのセキュリティ予算獲得には苦労している様ですが、日本でも経営幹部(CISO)への予算上申時に以下の記事の内容は参考となりそうです。 www.darkreading.com CI…

ソフトバンクの5G情報流出(内部不正)についてまとめてみた

ソフトバンクからの5G情報が競合企業である楽天モバイルに渡ったかも知れないというニュース、両社の見解が異なっており、ソフトバンクの退職者管理問題と共に、持ち出されたとされる機微な情報の行方も気になりました。 www.nikkei.com 高速通信規格「5G」…

ニュージーランド準備銀行へのサイバー攻撃

ニュージーランド準備銀行がサイバー攻撃を受けたと報じられていました。 www.nbcnews.com ニュージーランド、ウェリントン—ニュージーランドの中央銀行は日曜日、そのデータシステムの1つが、商業的および個人的に機密情報にアクセスする可能性のある身元不…

■今週のセキュリティ記事(1/3-1/9)

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。 ※は英語記事 ※無印~★★★は主観での推奨レベル(★★★が閲覧推奨記事)/記事を読んだ個人的な感想ベース ■ 今週の三ッ星記事 整理No 日付 推奨 記事タイトル(リンク) 21-0021 12月31…

SunburstはMicrosoftクラウド環境を狙った

CISAがSolarWindsOrion製品に対するAPT攻撃に対するアラート(AA21-008A)を1/8に出していました。 us-cert.cisa.gov このアラートは、CISAがAPTアクターに帰属するアクティビティ(使用される初期アクセスベクトルに関係なく)にも対処します。具体的には、…

Ryukはランサムをビジネスにした

代表的なランサムオペレータ「Ryuk」の被害額が推定1.5億ドル(約156億円)に達している可能性がある事がAdvanced IntelligenceとHYASの共同調査により判明しました。 japan.zdnet.com ランサムウェア「Ryuk」を利用する犯罪グループが、世界中の被害企業か…

Nissan North Americaのパスワード設定

昨日のニュースの中では、この記事が衝撃的でした。日産の内部ツールやアプリケーションのソースコードがGitサーバーの「設定ミス」によって漏えいしたと報じられています。残念ながら2021年も「パスワード問題」は続きそうです。 japan.cnet.com 日産自動車…

Juspayのデータ侵害

インドでAmazon等の主要なECサイトへ決済代行サービスを提供しているJuspayがデータ侵害を受け、Darkwebで顧客情報が販売されていると報じられていました。 inc42.com 最近のインド最大のデータ漏えいと思われるものの中で、影響を受けたユーザー数の観点か…

黒いゴールドラッシュ

ランサムは現代の「黒いゴールドラッシュ」なのだと改めて実感します。2021年初となる、新たなオペレータが確認された様です。 www.bleepingcomputer.com 今年は新年であり、人為的な攻撃で企業の被害者を標的とするBabukLockerと呼ばれる新しいランサムウェ…

Guruculの2020年人気記事

2021年のセキュリティ関係のニュースをチェックしていて、先日当ブログの人気記事をご紹介していたのもあるのですが、Security Boulevardの投稿が気になりました。 securityboulevard.com キタきつねの所感 Security Boulevardに数多くの良質な記事を投稿し…

■【Weekly Pickup】2020年12月27日~2021年1月2日

■2020年2月から1週間のセキュリティ関係の記事まとめを月曜日に公開し始めたのですが、3300以上の記事を拾っていました(※公開してない分も1割程度あります)。2021年になった事もあり次週辺りから、情報開示方法の変更(カテゴリー含む)を考えております。…

セキュリティ情報収集法の記事について

去年に引き続き、多くの方に元旦の記事を閲覧•評価(ブックマーク、リツイート等々)頂きました。この場を借りて御礼申し上げます。 foxsecurity.hatenablog.com 今年で4回目の記事となりましたが、日々模索し、失敗し、足掻いている結果を公開するのは、ど…

ホワイトハッカーが人気職種になる

新年2本目は、ホワイトハッカーの記事を取り上げたいと思います。InfoSecurity Magazineの記事では、トップのホワイトハッカーは5年以内に収益が1000万ドル(約10.3億円)を達成する見込みとなっている様です。 www.infosecurity-magazine.com キタきつねの…