国際
AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)
これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。
2017.07.22(土)
![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。
ScanNetSecurity の夏の恒例となりましたインタビュー記事を現在準備中です。
ダークウェブの犯罪者コミュニティを巡回するヨハンが、あるロシア人の投稿を見つけた。「α社製造のATMのハッキングモジュール作りました。だれかほしい人いませんか?」
つまり、傘下の代理店の一つは6か月もの間、Windowsのパッチをあてていなかったことになる。
筋肉質の経営なんてビジネス雑誌のサイトでよく見る聞こえの良い言葉だけど、不景気や業績が傾いたときになって削られる間接部門って、俺たちの仕事は贅肉かよ!体脂肪かよ!酷い話だよね。
Microsoft 社の OS である Windows にユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。
軍司氏の寄稿は、かつてなかったほどの「サイバー・ノワール」と呼べるような濃密な連載となりそうです。
最近、現セキュリティ担当者に会議後に「CSIRTって知らないと思いますけど、今、セキュリティ対策としてとても効果的なんですよ。」と言われちまったオイラ。いやいや、オイラは10年前、まさに君の前前前世のセキュリティ担当者だったのだ。
リニューアルするラックの「JSOC」、まだJSOCスタッフも足を踏み入れていない新生JSOCを紹介していただきました。ここではその模様をレポートします。
青少年もサイバー犯罪の危機にさらされるようになりました。具体的には、個人情報の流出や不正アプリによるウイルス感染、ソーシャルアカウントの乗っ取りといった事例が発生しています。
米国では、有価証券報告書にあたる書類でのサイバーリスクの開示や、金融機関向けガイダンスにサイバー保険への加入が記載されているなど、B2B 取引の中で「付保要請(取引開始にあたって相手方当事者に保険加入を要請すること)」が増えているという。
5月上旬に世界的な大流行を見せたランサムウェア「WannaCry」(別名:WannaCrypt、WannaCryptor、Wcryなど)ですが、その影響は6月に入っても衰えていません。
年々「増加」し、「巧妙」化が進むと言われるサイバー脅威。だが、本当にそうなのだろうか。攻撃の実データを見ることなく、既成概念にとらわれて右往左往していないだろうか。
これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。
つまり、傘下の代理店の一つは6か月もの間、Windowsのパッチをあてていなかったことになる。
セキュリティ業界の多くの関係者が、アメリカの向こう見ずな電子投票導入に疑問を抱いている。2000年の大統領選で投票用紙の不備が問題になって以降、政府は各州で大金をつぎ込み投票設備をアップグレードさせているが、多くのシステムはどうしようもなくお粗末なものだ。
サイバーセキュリティ系スタートアップ企業のサイバーリーズン(Cybereason)は、このほどソフトバンクより1億ドルの出資を受け、成長の次の段階へと進みつつある。
GDPR(EU一般データ保護規則)の施行に伴い、ヨーロッパ中の企業と政府機関がサイバー関連の部署を増強するため、専門能力を持った人員の需要が供給を上回る。
Microsoft 社の OS である Windows にユーザアカウント制御 (UAC) の機構を回避可能となる手法が公開されています。
Apple 社の macOS に、競合状態の制御不備を悪用して管理者権限が奪取可能となる脆弱性が報告されています。
ファイル共有サービスを提供するソフトウェアとして、世界的に普及しているソフトウェアである Samba に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。
世界的に普及率が高い CMS ソフトウェアである Joomla! に、SQL インジェクションの脆弱性が報告されています。
WordPress の特定の 1 バージョンに加えて、Exim4 がメール送信ソフトとして用いられている Web サーバが影響を受けるという、影響範囲が限定的な脆弱性ではありますが、WordPress の普及度を考慮すると、社会的影響度が高い脆弱性であると考えられます。
筋肉質の経営なんてビジネス雑誌のサイトでよく見る聞こえの良い言葉だけど、不景気や業績が傾いたときになって削られる間接部門って、俺たちの仕事は贅肉かよ!体脂肪かよ!酷い話だよね。
最近、現セキュリティ担当者に会議後に「CSIRTって知らないと思いますけど、今、セキュリティ対策としてとても効果的なんですよ。」と言われちまったオイラ。いやいや、オイラは10年前、まさに君の前前前世のセキュリティ担当者だったのだ。
ちゃんと運用すれば効果はそれなりにあるはずなんだ。でも、なんで効果が出てこないか、その辺りの理由も、ダイエットとセキュリティはよく似ている。
経営者はITに詳しくない、新しい技術に疎い、なんてことを心配している次元では無くなってきた。経営者にそこまで広い知見はあるかというと、さすがに偉くなってきた、勝ち残ってきただけの優秀さは持っている。ただの50代、60代のおっさんとかとは、桁違いに切れる。
佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。
千葉県柏市は6月28日、市立大津ケ丘第一小学校の養護教諭が個人情報を保存したUSBメモリを紛失したことが判明したと発表した。
日本IBMは、「2017年データ漏えいコスト・レポート」の結果を発表した。
佐賀銀行は6月19日、同行の元行員が顧客情報を漏えいしていた事実が判明したと発表した。
JNSAは、「2016年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」を公開した。
今回の事件は複数の専門家から見解が示されています。しかし実際はどうだったのでしょうか。
Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。
残念ながら攻撃者から見れば広告経由で拡散できる手段は魅力的に映っているのだろうと思います。今後も不正広告の事例が出てくるはずです。業界としての取り組みを期待するとともに、広告は身近な存在であるために油断せずに自衛手段を行っておきたいものです。
しかし、カスペルスキーが6月4日に発表した標的型攻撃のキャンペーン「Blue Termite」は大変興味深いものでした。外部の指令サーバーへ通信を行っていたIPアドレスが少なくとも300個確認され、内73%が国内のもので、この中には日本年金機構も含まれていたそうです。
IPAおよびJPCERT/CCは、バッファローが提供する無線LANルータ、および無線LANアクセスポイントに複数の脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、Geniviaが提供する「gSOAPライブラリ」にスタックベースのバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、ソニーが提供するポータブルワイヤレスサーバ「WG-C10」に複数の脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、Dahua製 IP カメラ製品が使用しているSonia ウェブインタフェースにスタックベースのバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。
IPAは、Oracle社がJavaのアップデートを公開したことを受け、「Oracle Java」の脆弱性対策について注意喚起を発表した。
IPAは、「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について発表した。
IPAは、「2017年度IPA中小企業情報セキュリティ講習能力養成セミナー」を全国30カ所で開催する。
IPAおよびJPCERT/CCは、IPAが提供する「定量的プロジェクト管理ツール(EPM-X)」に複数の脆弱性が存在すると「JVN」で発表した。
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
社長は財務とグルになって、秘密の口座に金をため込んでいる。たまたまそのことを知ったオレは、盗めるんじゃないかと思うようになった。もちろん犯罪だ。しかし、盗んでも社長は表沙汰にできない。なにしろ、隠し口座なんだから。
インターネットは巨大な昏い海だ。悪意も善意もまとまりのなく漂っている。だが、混沌の中にひとたびファネル(漏斗)が生まれれば、そこに悪意が集積され濃縮され、そして思いもよらない形でリアルを浸食しはじめる。
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました](/imgs/p/L-fjDqaI-JUAKQzArv9bfG8IKgeyBQQDAgEA/22623.jpg)
ScanNetSecurity の夏の恒例となりましたインタビュー記事を現在準備中です。
軍司氏の寄稿は、かつてなかったほどの「サイバー・ノワール」と呼べるような濃密な連載となりそうです。
3月末から、現役ペネトレーションテスターによるコラム「ペネトレーションテスターは見た!(仮題)」の連載開始を予定しております。ご執筆いただくのは、株式会社キーコネクト 代表取締役 利根川 義英 氏。
ScanNetSecurity は本日2016年10月8日をもちまして、1998年の創刊から18周年を迎えました。私、上野宣が編集長に就任した2010年からも6年が経ちます。これもひとえに読者の皆さまのご支援と協賛企業のご厚情の賜物と深く感謝いたしております。
