Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「イタリアン」のみかづきもEC-CUBE

新潟を代表するB級グルメの1つ「イタリアン」発祥の店であるみかづきのECサイトからカード情報が漏えいした様です。 www.security-next.com 公式発表 弊社が運営する「みかづきオンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお知…

PeatixはSQLインジェクションの可能性

先週発生したこの事件、最大677万件の漏えいした可能性がある個人情報の中に私のデータも混じっていた様です。 www.zdnet.com 公式発表 弊社が運営する「Peatix(https://peatix.com/)」への不正アクセス事象に関するお詫びとお知らせ キタきつねの所感 先週1…

最悪なパスワード200(Nordpass調べ)

今年もこの時期がやってきました。2020年のよくあるパスワードを分析したNordPass社による”最悪なパスワード”が公開されました。 nordpass.com キタきつねの所感 最悪なパスワードを毎年公開しているのは、最近ではパスワード管理ソフトを提供しているNordPa…

■【Weekly Pickup】2020年11月15日~11月21日

先週読んだ記事の中で、気になったモノをピックアップします。 ※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。 ※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。 ※は英語記事に…

SMS-OTPは交代の時期が近づいている

マイクロソフトは多要素認証(MFA)の認証の中で、SMS(OTP)と電話ボイスメッセージの使用を停止した方が良いと注意喚起し始めています。 hotforsecurity.bitdefender.com MFAを有効にしても、アカウントがハッキングされないという保証はありません。これ…

三菱電機は二段階認証を破られた

三菱電機が今年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。 digital.asahi.com 複数の関係者によれば16日夕方、同社が利用する外部クラウドサ…

APT10は日本企業を標的にしている

シマンテックの新しいレポートは、ここ1年程の日本企業のインシデント発表を考えると怖いものがありました。 symantec-enterprise-blogs.security.com この攻撃キャンペーンの規模と巧妙さから、この攻撃は大規模で十分な資金力を持つグループの仕業であるこ…

リフォームブックスもEC-CUBE

建築・リフォーム専門家向けの本屋、リフォームブックスがカード情報を流出した可能性があると発表していました。 www2.uccard.co.jp 公式発表 弊社が運営する「リフォームブックス」への不正アクセスによる個人情報流出に関するお詫びとお知らせ (魚拓) 2…

東建コーポレーション子会社への不正アクセス

東建グループ(東建含む)が不正アクセスを受け顧客情報を最大65.7万件、外部に流出した可能性があると発表しました。 www.nikkei.com 公式発表 不正アクセスによる個人情報の流出について(11/17) (魚拓)(別紙1魚拓) 1.概要令和2年10月20日の社内調…

BOOK SHOP 小学館のカード情報漏えい

小学館パブリッシング・サービスが運営するBOOK SHOP小学館が不正アクセスを受けカード情報を漏えいしたと発表しました。 www.itmedia.co.jp 公式発表 弊社が運営する「BOOK SHOP小学館」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2. 個…

■【Weekly Pickup】2020年11月8日~11月14日

先週読んだ記事の中で、気になったモノをピックアップします。 ※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。 ※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。 ※は英語記事に…

North Faceへのパスワードリスト攻撃

アウトドア用品や衣服等を販売するNorth Faceがクレデンシャル・スタッフィング攻撃(=パスワードリスト攻撃)を受けて顧客情報が漏えいした可能性があり、予防策としてパスワードリセットを行った事を発表していました。 ※日本サイトではありません。 www.…

GoTo出張

久々の出張で広島方面に行ってました。本日はそちらをご紹介します。 ※本日はセキュリティとは一切関係の無い記事となります。 東京から広島に行く際に飛行機と新幹線の選択があります。出発する場所や時間にもよりますが飛行機が若干早いかなという程度(30…

BYODポリシー無しの組織が過半数

StxnextのグローバルCTO調査によると、BYODが許可されている組織の51%がBYODに関するポリシーを策定してない様です。 www.infosecurity-magazine.com COVID-19のパンデミック中に在宅勤務に移行した結果、スタッフによるこれらのデバイスの使用が増加してい…

レプロエンタテインメントもEC-CUBE

新垣結衣、長谷川京子、吉川ひなの、川島海荷さんら多数のタレントが所属するレプロエンタテイメントのECサイトがカード情報漏えいの疑いがある事を発表しました。 www2.uccard.co.jp 公式発表 「レプロ公式オンラインショップ」への不正アクセスによる個人…

メイプルもEC-CUBE

鍼灸・医療などのECサイトを運営するメイプル社の4サイトからのカード情報漏えいが報じられていました。 www.security-next.com 公式発表 弊社が運営する「メイプルショップ鍼灸サイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ(魚拓)…

たらこ家虎杖浜もEC-CUBE

北海道白老のたらこ等海産物のECサイト「たらこ家虎杖浜」からカード情報が漏えいした可能性があると発表されていました。 www2.uccard.co.jp 公式発表 弊社が運営する「インターネットショッピングサイト」への不正アクセスによる個人情報漏えいに関するお…

■【Weekly Pickup】2020年11月1日~11月7日

先週読んだ記事の中で、気になったモノをピックアップします。 ※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。 ※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。 ※は英語記事に…

Welcartの脆弱性

WordPressの専用ショッピングカートとして国内No.1実績を誇るWelcartの脆弱性が報じられています。CVEはIDが保留中ですが、7.5(High)の脆弱性として評価が付く可能性が高そうです。Welcartのパッチ(1.9.36)は10/20に出ている様ですので、Welcartユーザー…

CAMPARIのランサム被害

イタリアの飲料メーカーCAMPARI社がRagnarLockerランサムウェアの被害(2重恐喝)に遭い、2TBの情報が窃取され、1500万ドルの身代金が要求された様です。 www.zdnet.com Campari、Cinzano、Appletonなどのブランドの背後にある有名なイタリアの飲料ベンダー…

Tokyo noble* online shoppingもEC-CUBE

傘の専門店、Tokyo noble* online shoppingからカード情報漏えいが発表されていました。 www.security-next.com 公式発表 弊社が運営するECサイトの不正アクセスによる個人情報流出に関するお詫びとお知らせ (Web魚拓) (公式発表より引用) キタきつねの…

石の上にも三年

2017年11月5日、このブログをひっそりと書き始めました。何の気まぐれだったのかはよく覚えてないのですが、セキュリティコンサルタント(本業)として、仕事がたまたま端境期(ヒマ)だったからかと思いますが、今考えれば、何か自身の内側に抱えているもの…

Mazeがランサムビジネスを停止

世界中の多くの企業をランサムの恐怖に陥れたと言っても過言ではない、ランサムオペレーターのMazeが自身のWebサイト(DarkWeb)上に活動停止のリリースを出しました。 grahamcluley.com 組織からデータを盗み、その安全な帰還のために支払われる身代金を要…

マリンボックスのカード情報漏えい

首都圏を中心に全国280か所にトランクルーム等を運営するマリンボックスからのカード情報漏えいの疑いがある事が発表されていました。 www2.uccard.co.jp 株式会社マリンボックスより、同社サイト「マリンボックス」において、お客様のクレジットカード情報…

■【Weekly Pickup】2020年10月25日~10月31日

先週読んだ記事の中で、気になったモノをピックアップします。 ※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。 ※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。 ※は英語記事に…

マリオットの罰金は1人当たり7円

2018年のマリオットのデータ流出事件の罰金は1,840万ポンド(約25億円)で決着する様です。3億3900万人の個人情報データの漏えい事件でしたので、1人当たりに換算すると0.05ポンド(約7円)となります。 www.theregister.com この攻撃は当初、チェーンのゲス…

2020年の全世界漏えいデータは360億件

2020年はデータ侵害という意味では史上最悪な年になる様です。Risk Based SecurityのQ3 Quick viewレポートでは、侵害されたレコードの合計が360億件になったと発表されました。 www.infosecurity-magazine.com Risk Based Securityによると、公に報告された…

HomeDepotの個人情報漏えい

北米でのホームセンター大手ホームデポ(カナダ)の個人情報漏えい事件です。どうやら顧客の注文情報が、別な顧客に誤送信された様です。 threatpost.com キタきつねの所感 結構深刻なプログラムミスだった様です。Twitter上での一報は、顧客の1人が、10/28…

原子力規制委員会への不正アクセス調査に時間がかかっている件

一般的に言って、不正アクセスの影響調査に時間がかかっている場合は、何か機微な情報が漏えいした可能性が高いのですが、官房副長官は昨日の時点で否定しています。とは言え、関係者の方々の歯切れが悪いのはどうしてなのでしょうか? jp.reuters.com 岡田…

Microsoft Office365の多要素認証保護は3%

個人的にはショッキングなCoreView社の調査レポートでした。コロナ禍でZoomの暗号化がEnd-to-Endでは無い、VPNが危ない・・・と新たな基幹技術やサービスの脆弱性が盛んにクローズアップされ、それはそれで大事な事なのですが、肝心の足元がおろそかになり過…