サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
TGS2024
foxsecurity.hatenablog.com
H.I.S.が運営するロボット接客が斬新な「変なホテル舞浜」でIoT機器のハッキング懸念問題が報じられていました。 www.itmedia.co.jp ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル舞浜 東京ベイ」(千葉県浦安市)の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱(ぜいじゃく)性が見つかったと発表した。悪意のある宿泊者がプログラムに攻撃を加えると、不正操作できる状況だったという。 H.I.S.ホテルHDは調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかったとしている。セキュリティー対策強化も済ませたという。 (Itmedia記事より引用) ◆キタきつねの所感 変なホテルは、今や国内18か所で運営されている様です。ハウステンボスのホテルが2015年のオープ
偶然のリアルタイムで見ていたクローズアップ現代ですが、NHKらしさが出ていて引き込まれました。 www.nhk.or.jp ◆キタきつねの所感 前々からAmazonレビューについては、懐疑的な目で見ていましたが、番組の中で日本人の特性に基づく「攻撃」である事が良くわかりました。日本人は、安いだけだと疑いの目で見て、「他人が良いと評価」した商品を信じる傾向が強く、やらせレビューがないと商品をあまり買ってくれないという傾向が強い様です。 自分の購買傾向などを見ても、まずは評価の高いものを・・・という癖があるので、当たっている気がします。 番組の中で驚いたのは、やらせレビュワーだけでなく、スマホを大量に並べて自動でやらせレビューを書き込む映像が紹介されていた事です。イメージが沸かないと思いますので、番組HPから写真を下記に引用させて頂きますが、プログラムで勝手に商品を購入し、その後やらせレビュー
予想されていた事とは言え、ビジネスメール詐欺(BEC)は既にメールだけを警戒すれば良い時代ではなくなりつつある様です。 japan.zdnet.com 犯罪者が、人工知能(AI)で生成した音声を利用し、企業の最高経営責任者(CEO)の声をまねて部下をだまし、資金を自分の口座に送金させている。 いわゆるディープフェイクボイス攻撃は、詐欺の次なるフロンティアとなるかもしれない。 The Wall Street Journal(WSJ)の報道によると、社名は伏せられているものの、英国を拠点とするエネルギー企業のCEOが、上司であるドイツの親会社のCEOと電話で話していると思っていたところ、ハンガリーのサプライヤーに22万ユーロ(約2600万円)を至急送金するよう頼まれたという。 ところが実際は、その指示はAIによる音声技術を利用してドイツにいるCEOになりすました詐欺師からのものだった。世論操作
やはりクライアント側に生体情報を持つFIDOの設計思想の方が合っている気がします。www.vpnmentor.com 米国、英国、インド、日本、およびアラブ首長国連邦の銀行、警察、防衛会社など、世界中の150万以上の場所を保護するために使用される生体認証システムは、大きなデータ侵害を受け、膨大な数のレコードの。 韓国の企業Supremaは、WebベースのバイオメトリックアクセスプラットフォームBioStar 2を実行していますが、100万人以上の指紋と顔認識データを公開されたデータベースに公開しました。 プライバシー研究者のNoam RotemとRan Locar は、プレーンテキストで保存されたユーザー名とパスワードを含む合計23ギガバイトのデータを含む合計2,780 万件のレコードを発見しました。 (中略) すべての組織は、顧客や従業員について保存している生体認証情報に細心の注意を払う
チリの国民IDデータ1400万件が米国のホスティング会社から漏洩した(正確にはホワイトハッカーによって見つけられてしまった)様です。 www.wizcase.com WizCaseは、17歳以上の1400万人を超えるチリの住民の識別可能な情報を含むデータベースリークを発見しました。3 GBのデータベースは、米国テキサス州ダラスのSoftlayer Technologiesによってホストされていましたが、リークについては責任を負いません。 データベースに含まれるもの: 名 性別 住所 年齢 RUT番号 - これは社会保障番号に似た国民ID番号です。銀行口座、クレジットカード、オンラインでの購入などに使用できます。 ID番号 - 調査の結果、9桁のIDではないため、パスポートID番号ではないと判断しました。これは内部識別番号である可能性があると考えています World Population R
世界最大の企業にデータ管理、倉庫保管、複製サービスを提供するイスラエルのIT企業Attunityが、Amazon S3の設定不備があり、顧客の情報まで意図せず公開していたと報じられていました。 www.zdnet.com 漏洩しやすいAWS S3バケットには、Attunity自身の業務に関する情報だけでなく、一部の顧客(Ford、Netflix、TD BankなどのFortune 100企業)からのデータも含まれていました。 5月13日に漏洩したS3バケットが発見され、3日後に確保されました。これは、データ侵害捜査会社UpGuardの作業のおかげです。 公開された情報には、従業員のOneDriveアカウントのバックアップが含まれていました。メールによる連絡 システムパスワード 生産システム用の秘密鍵 販売およびマーケティングの連絡先情報 プロジェクト仕様 従業員の個人データ もっと。 たと
週末のニュース番組を見ていても、7Payの事件が繰り返し流されていて、週末ブロガー(※ほとんどの記事は週末に書いています)の私としても、取り上げなければならないのではないかと思い始めました。とは言え、既に多くの識者の方々が様々な観点から事件を分析されていますので、私は違った視点でのこの事件を見てみたいと思います。 www.nikkei.com ■公式発表 7payに関する重要なお知らせ (7/3) チャージ機能の一時停止に関するお知らせ (7/4) ◆キタきつねの所感 まず、元ソースを確認してみます。リアルタイムで視聴はできなかったので、テレビ東京さんがYouTubeに緊急会見をUPされているので、こちらを見てました。 www.youtube.com Twitterでは緊急会見を受けて、社長が「SMSってTwitterのことですよね、みなさんがTwitterされてるとは限らないですし」と言
またカード情報非保持のサイトがカード情報を漏えいした事件が出ていました。 scan.netsecurity.ne.jp 株式会社B.F.Yokohamaは2月12日、同社が運営するうさぎ雑貨や飼育用品を扱う「バニーファミリー横浜ネットショップ」にて外部からの不正アクセスがあり一部の顧客のクレジットカード情報が流出した可能性が判明したと発表した。 これは顧客からクレジットカード決済不具合の問い合わせがあり調査を行ったところ、2018年9月28日に不正ファイルが埋め込まれたことが発覚し不正ファイルを削除したが、その後一部のクレジットカード会社から、同サイトを利用した顧客のカード情報の流出懸念について連絡を受け、2018年10月25日に同サイトでのカード決済を停止したというもの。 (ScanNetSecurity記事より引用) ◆キタきつねの所感 非保持(周辺)を攻められた事件がまた出てきました
PayPayの100億円第2弾キャンペーンが始まっていますが、前回のキャンペーンに関連にて気になる海外記事が出ていました。DeepWeb&DarkWebを調査するGemini Advisoryによると2018年11月~12月にDarkWebに追加された日本のクレジットカード情報がPayPayに関係すると発表しました。 geminiadvisory.io Gemini Advisoryは、2018年の11月と12月にダークウェブに追加された日本の支払い記録におけるパターン外の急上昇を確認しました。この新たに追加されたレコードの急増は、日本発行のカードの需要の増加と並行しているように見えました。Gemini Advisoryは、この期間中に、多数の日本のカード会員が、新しくリリースされた日本のPayPayというペイメントアプリに関するさまざまな苦情を発表したことを明らかにしました。 サイバー犯
宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 1.漏洩したお客さま情報 (1)内容 ・「宅ふぁいる便」のお客さま情報 ・メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ) (2)件数 約480万件 2.経緯、原因 ・1月22日11時、当社が認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員およびパートナー企業に確認。 ・1月22日13時、社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始。 ・1月22日19時、「宅ふぁいる便」サーバー内に不
年始にここ2年程、更新している『私のセキュリティ情報収集法』ですが、今年も少し書いてみます。 ※私の方法はpiyokangoさんの次の記事を受けて試行錯誤しているものであり、必ずしも全ての方に向いている情報収集のやり方ではないかと思います。 私のセキュリティ情報共有術を整理してみた。 ■インプットに使っている情報ツール RSS Reader (iOS) (Android) RSS Readerは以前はfeedlyを使っていたのですが、海外ニュースなどを拾うのにRSS Readerの方が使いやすかったので、今はRSS Readerに変えています。 Yahoo!ニュース (iOS) Yahoo!ニュースはソフトでテーマ設定をしています。一般ニュースと併せて、テーマ部分を読むと一通りの日次ニュースが俯瞰できるので重宝しています。 Twitter Twitterはなんだかんだ言っても、情報が早いで
2024年6月4日~6月7日に英国ロンドン(ExCeL London)で開催された欧州最大級のセキュリティイベントであるInfoSecurity Europe 2024関連の記事をまとめます。 ※Part1-2はサブスク会員様向け記事としてますが、関連記事も減ってきましたので本記事は一般公開としています。(関連記事を見つけたら随時更新します) ■記事030~033 033_AIガバナンスとサイバーセキュリティを詳しく見る (Bank Info Security, 2024/6/10) www.bankinfosecurity.com <ChatGPT4 記事要約> AIを業務に統合するケースが増える中、堅牢なサイバーセキュリティガバナンスフレームワークの確保が不可欠です。フィリップ モリス インターナショナルのAIセキュリティ責任者レイ エリス氏は、AI機能のセキュリティ保護、プライバシー
明治大学が再び不正アクセスを受けた可能性があると記事を書いたら、やはり不正アクセスを発表していました。この件に関する明治大学の公式発表を拝見しましたが、直感的には、再発の可能性は高い気がします。 www.nikkei.com ■公式発表 不正アクセスによるSPAMメールの送信及び個人情報漏えいについて ◆キタきつねの所感 そうだろうな・・・という状況証拠(学生のTwitter投稿)がありましたので、明治大学としてはいつ発表するかだけの問題だった気がしますが、学校発表の文章に隠された意図が読み取れていたので(個人的には)良かったなと思っています。 foxsecurity.hatenablog.com 改めて公式発表を見てみますと、ものの見事に前回のインシデントと同じ形で攻められています。Office365のクラウドログイン情報経由で、SPAMメールの踏み台、メール送受信記録のダウンロードによ
産総研が7月20日に、2月6日に判明した外部からの不正アクセス事件についての報告(最終報告)を出していました。結果から言えば、懸念していた通り、個人情報や知財権を漏えいしていました。(※機密性3情報では無いと産総研は発表していますが、未公表の研究情報を含むので一般的に言えば重要機密が漏洩したと考えるのが妥当だと思います) ■公式発表 産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について ■事件の状況 ※報告書から抜粋 【メールシステムへの不正なアクセス】 1次攻撃(2017年10月27日~12月末)ではIDとパスワードの両方が検索された。11月以降は職員のIDを特定した上でパスワード試行攻撃を受ける 2次攻撃(2018年1月23日以降)は、職員の認証用データベース(LDAPサーバ)への不正検索を受ける 【内部システムへの不正なアクセス】 [第1ステップ] 外部のレンタ
読売新聞の3月15日記事に産総研の不正アクセス事件についての続報がありました。 www.yomiuri.co.jp 産業技術総合研究所(産総研)が不正アクセスを受けた事件は2月13日に公式リリースが出されています。読売新聞の記事を受けて、改めて産総研のHPを確認してみたのですが・・・事件の影響範囲等については、(この記事を書いている3/18現在で)未だ追加発表がありません。 ◆産業研 お知らせ 弊所の情報セキュリティ規程第20条に基づき情報セキュリティ対策本部を設置、外部の専門事業者にも依頼して原因究明を進めているところです。 (産総研2/13リリース内容より引用) とあるので、外部のセキュリティベンダーによる、デジタルフォレンジックスの調査レポートを待っている最中、あるいはレポートは既に出ていて、その対応を内部で協議中という段階なのかなと推測します。(※注:本格的なフォレンジック調査であ
今年も「情報セキュリティ事故対応アワード」が発表されました。今回で第三回目となりますが、セキュリティ事故の発生リスクが年々高まる中、被害を受けた企業の中で対応が良かった所が評価されるという画期的な表彰。改めて参考になる企業も多いのではないでしょうか。 news.mynavi.jp ■主な評価軸 2017年発生の事件が対象 速報性(事故発覚から第一報までの期間) 続報頻度 発表内容(原因、事象、被害範囲、対応内容) 自主的なプレスリリース ■アワード(ノミネート21件) 【最優秀賞】:該当なし 【優秀賞#1】:ディノス・セシール(授賞式に出席無し) 選定理由 小規模な不正ログインも検知・対応・報告しており、報告書も充実 防ぎにくいリスト型攻撃にきちんと対応している 【優秀賞#2】:ぴあ / B.LEAGUE(授賞式に出席無し) 選定理由 事故対応が的確、(パスワードリセットや対応窓口開設が)
社内でもたまに、どうやってセキュリティ関連情報を拾っているのかを聞かれるので、自分の備亡録も兼ねて少し整理してみました。 私の方法はpiyokangoさんの次の記事を受けて、現在進行形で試行錯誤しているものであり、また必ずしも全ての方に向いている情報収集のやり方ではないかと思います。 私のセキュリティ情報共有術を整理してみた。 ■インプットに使っている情報ツール feedly (iOS) (Android) Yahoo!ニュース (iOS) (Android) Twitter feedlyはRSSリーダとして使い勝手が良いので、私は主に通勤電車での情報チェックに使っています。 国内のセキュリティ関連情報限定で考えるのであれば、私はヤフーニュースが使いやすいと思っています。テーマ設定で「サイバーテロ」「インターネット犯罪」「個人情報の流出」「情報漏えい」「情報セキュリティ」をフォローしていま
このページを最初にブックマークしてみませんか?
『Fox on Security』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く