Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

考えてみた。

「Beads&Parts通販サイト」からのカード情報漏えい

日本最大級のビーズ・アクセサリパーツの通販サイトからカード情報が漏洩したと5/16発表されていました。 scan.netsecurity.ne.jp 公式発表 ・弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ (5/16)…

PCI DSSv4.0を読む⑭ 要件11の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む⑬ 要件10の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む⑫ 要件9の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む⑮ 要件12の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む⑪ 要件8の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む➉ 要件7の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む⑨ 要件6の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

PCI DSSv4.0を読む⑧ 要件5の変更概要

PCI DSSv4.0が3月31日(日本時間の4月1日)にリリースされました。PCI DSSv3.0がリリースされたのは2013年12月でしたので、実に8年ぶりのメジャー改訂となります。 5/13に日本語版が1ヶ月少し遅れてリリースされました。英語版の360ページに比べて遥かに多い…

メタップスペイメントへの不正アクセス事件を考えてみた その5(事故対応)

前回記事に引き続き決済代行会社のメタップスペイメント社への不正アクセス事件についてPCI DSS(専門家)の視点でこの事件を考えてみます。 ※関連記事 メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード) メタップスペイ…

【限定】メタップスペイメントへの不正アクセス事件を考えてみた その4(時系列)

前回記事に引き続き決済代行会社のメタップスペイメント社への不正アクセス事件についてPCI DSS(専門家)の視点でこの事件を考えてみます。 ※関連記事 メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード) メタップスペイ…

【限定】メタップスペイメントへの不正アクセス事件を考えてみた その3(ASVスキャン)

前回記事に引き続き決済代行会社のメタップスペイメント社への不正アクセス事件についてPCI DSS(専門家)の視点でこの事件を考えてみます。 ※関連記事 メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード) メタップスペイ…

メタップスペイメントへの不正アクセス事件を考えてみた その2(侵害検知)

前回記事に引き続き決済代行会社のメタップスペイメント社への不正アクセス事件についてPCI DSS(専門家)の視点でこの事件を考えてみます。 ※関連記事 メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード) メタップスペイ…

メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード)

決済代行会社のメタップスペイメント社から、ここ数年で最大のカード漏洩(国内)が発表されました。発表された内容を読むと下記の記事にある様に”やられ放題”と書かれても仕方が無い、基本セキュリティ対策の不備が含まれています。この不正アクセス事件に…

Emotet被害メール文例における気づき

1月下旬からEmotet被害(注意喚起)リリースを出す企業・組織が増えていますが、被害メール文面における”気づき”について参考まで少し書いてみます。 www.jpcert.or.jp 以下はJPCERTのアラートにおいて開示しているEmotet被害メールの文例です。以外と短文・…

現代版カンニングは防ぎきれない

大学入試共通テストにおけるSNSを使ったカンニング事件、少し調べてみると当該受験生は計画的に試験のカンニングを企てており、来年以降の試験に重い課題を残したと言えそうです。 www.jiji.com 大学入学共通テスト初日の試験中に「世界史B」の問題が流出し…

富士通ProjectWebへの不正アクセス(第四報)を読み解く

5月に発覚したProjectWebへの不正アクセスに関する第四報が12/9に富士通から出されていました。内容からすると”最終報”に近いのですが、何故か最終報ではなかった点を含め、この内容を少し考えてみます。 pr.fujitsu.com キタきつねの所感 今年を代表するセ…

グラントマトオンラインショップからのカード情報漏えい(オムニEC)

9月に不正アクセスを受けて個人情報漏えいが発生した可能性がある事を発表していたグラントマトオンラインが、詳細調査の結果、カード情報も漏えいしていた可能性があると追加発表されていました。 www3.nhk.or.jp 公式発表(グラントマト株式会社) ・不正…

【限定】コストコからのカード情報漏えい

米国のコストコ店舗だと思われますが、カード情報を窃取する不正機器(スキマー)を仕掛けられてカード情報が流出した可能性があると発表していました。 www.bleepingcomputer.com コストコホールセールコーポレーションは、今月送信された通知書で、最近店…

BlackMatterへの政治圧力

海外の主要ニュース・ブログサイトは、BlackMatterがシャットダウン(オフライン化)しそうだと一斉に報じています。 securityaffairs.co BlackMatterランサムウェアグループは、それが原因地元当局からの圧力にその動作を停止していると発表しました。 この…

デロイト最新調査「2021 future of cyber survey」

デロイトが世界のCスイーツの幹部を調査したレポートを出していましたが、全世界的な傾向として「やられ過ぎ」である事が伺えます。 www2.deloitte.com キタきつねの所感 デロイトのHPで調査データに関する、インフォグラフィック資料が公開されていたので、…

Twitchのソースコード管理不備

TwitchからのソースコードとDBダンプリストの漏えいインシデントは、様々な余波を引き起こしていますが、開発陣は、最も重要であるソースコード管理について改めて考える切っ掛けにすべきかも知れません。 securityboulevard.com 先週、Twitchは、すべてのオ…

オーストラリアがランサム対策をリードする

ホワイトハウスが30カ国を招集して開催した「ランサム対策イニシアチブ」において、オーストラリア政府は新しいアクションプランを発表した様です。 therecord.media オーストラリア政府が発表した新しいランサムウェアアクションプランによると、オーストラ…

ランサムにより生放送が中断する

米国でテレビやラジオ局を多数傘下に収めるCoxMedia Group(CMG)が今年6月にサイバー攻撃を受けて生放送等に影響が出た件で、4か月経過して攻撃が「ランサム」であった事が発表されました。 therecord.media 公式発表(カリフォルニア州) ・NOTICE OF DATA…

Syniverseへの”中間者攻撃”

日本ではあまり大きなニュースとなっていませんが、Vodafone、AT&T、T-Mobile、Verizon等多くの通信キャリアが顧客となっている「世界で最も接続された企業」であるSyniverseが過去5年間にDBに不正アクセスをうけていた事が判明しました。 gigazine.net 米…

CISAはVPNの強化を促している

CISAとNSAがVPNに関してガイドラインをリリースしました。 us-cert.cisa.gov キタきつねの所感 米国国家安全保障局(NSA)と、米国国土安全保障省サイバーセキュリティ・インフラストラクチャ庁(CISA)が連名で、VPNの選択と強化に関するガイダンスをリリー…

Contiランサムの被害が急増

FBI、CISA、NSAがContiの攻撃増加についてアラートを出しています。 www.bleepingcomputer.com 元ソース(CISA) ・Alert (AA21-265A) Conti Ransomware CISA、連邦捜査局(FBI)、および国家安全保障局(NSA)は本日、米国の組織を標的としたコンティランサ…

サイバー保険の加入はより厳しくなる

2016-2020年の欧州でのサイバー保険の請求の1/4がランサムウェア攻撃に関連していると報じられていました。 therecord.media 保険大手のマーシュによると、2016年から2020年の間にヨーロッパ大陸全体で提起されたすべてのサイバー保険請求のほぼ4分の1がラン…

管理者こそパスワード再教育が必要

今年上半期のランサム攻撃の相談が61件あったと警察庁が発表した様です。 digital.asahi.com パソコンやサーバーのデータを暗号化し、復元の引き換えに身代金を要求する「ランサムウェア」攻撃を受けたとして、国内の企業・法人から警察への被害相談が今年上…

ランサムオペレータが狙う犠牲者

この続きはcodocで購読 本日もご来訪ありがとうございました。 Thank you for your visit. Let me know your thoughts in the comments. 更新履歴 2021年9月7日 AM