ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
もう一度見直したいDNS/DHCP − @IT
第1回 ヘルスチェックしてる? 怠ってはならないDNSのケア 澁谷 寿夫 Infoblox株式会社 Systems Engineer 2007/11/9 IPネットワークのコアとなるDNSやDHCP。これらのサービスは一度安定稼働してしまうとなかなかメンテナンスまで目が行き届かないというのが現状ではないだろうか。本連載ではDNS、DHCPに今だからこそもう一度フォーカスを当て、企業活動のためには絶対に止められないサービスとしてどのような改善が行えるのかを紹介していく(編集部) 止められないコアネットワークサービスに注目せよ 読者の皆さんは、“コアネットワークサービス”という言葉を聞いたことがあるでしょうか。ネットワーク関係の何かだということは容易に想像できると思いますが、実際には何のことを指すのかは分からないのではないでしょうか。検索サイトで調べてみるとそれなりの数のサイトを見つけることが
情報処理推進機構:プレス発表
更新日 2007年 5月29日 掲載日 2007年 5月23日 独立行政法人 情報処理推進機構 セキュリティセンター 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、従来から個人や企業等の利用者がネットワークを利用する際に配慮すべき情報セキュリティ対策に役立つ資料を提供しています。 この度、企業の情報システムのセキュリティ対策などについて、最新の技術動向や脅威の動向を踏まえた資料を作成し、2007年5月23日(水)より、IPAのウェブサイトで公開しました。 ITの進展に伴い、個人情報保護法の運用などにより個人情報や企業情報等の重要性が一層増加し、情報セキュリティの重要性はますます高まっています。このような状況を踏まえ、小規模企業から中堅企業・大企業の情報システムを運用する際の情報セキュリティ対策のポイントや設定方法、またコミュニケーションツールと
人はなぜ「自分は大丈夫」と思うのか,防災研究家の片田群馬大学教授に聞く(前編)
人はなぜ「自分は大丈夫」と思うのか,防災研究家の片田群馬大学教授に聞く(前編) 群馬大学工学部教授 片田 敏孝氏 人は,何らかの被害が予想される状況でも「自分は大丈夫」と思ってしまいがちだ。一般ユーザーの「セキュリティ対策をしなくても,自分は大丈夫」と思う意識に,悩んでいるセキュリティ専門家は多いだろう。防災研究家で群馬大学工学部教授の片田敏孝氏は,人のこのような心のあり方を「正常化の偏見(normalcy bias)」と呼ぶ。 「正常化の偏見」とは,「自分にとって都合の悪い情報を無視したり,過小評価したりしてしまう人の特性」のことを言う。片田教授によれば,津波の危険地域に住んでいても,しばらく津波がなかったり,「津波警報」が出ても実際に津波が来なかったりすると,人は次に津波警報が出ても「自分は大丈夫」「今回は大丈夫」と思って,避難しなくなってしまうという。 それでも片田教授は,津波や土砂
意外と知られていない? DNSが抱えるセキュリティ問題
12月6日、Internet Week 2006のセッションの1つとして行われた「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 12月5日から8日にかけて「Internet Week 2006」が横浜で開催された。このうち12月6日に日本ネットワークインフォメーションセンター(JPNIC)が主催した「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 なりすましと反射を悪用したDoS攻撃 取り上げられた課題の1つは、偽装した発信元IPアドレスから不特定多数のDNSサーバにクエリを投げかけ、被害者に多数のパケットを反射させてDoS状態に陥れる「DNS amplification attack」だ。2006年3月には実際にその被害が発生し、警察庁からも関連するレポートが公表され
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
「ITセキュリティのお仕事」、主流派に
かつては一部の人しか関心を持たなかったセキュリティは、今や一般的な話題になった。それにともない、ITセキュリティを担う人材に求められる役割も変化している。 かつては一部の技術オタクやニッチ分野のメディアの関心の対象でしかなかったITセキュリティが、この1年間で一般的なメディアでも取り上げられるようになった。 データの漏えい、ノートPCの盗難、巧妙なマルウェア(中にはユーザーの操作をまったく必要としないものもある)などのニュースが大きく報じられる中、一般の人々の関心も、IT専門家が以前から知っていた事実を反映するようになってきた。それは、ネットワークのセキュリティを維持するというのは容易ではないということだ。 セキュリティをめぐる一連の報道はIT部門にも戦慄を与え、セキュリティを脅かす大規模な侵入/攻撃を封じ込める自信を失っているIT部門も多い。 今やデスクトップとノートPCのセキュリティを
【デスク安井晴海が詠む!】FAXの 間違い防ぐ 2度ダイヤル メールにもまた あらまほしけれ
レッツ・コーポレーションが9月15日,面白いネットワーク機器を発表した。FAXの誤送信を防ぐための装置「SeCURITY FAX 新Double Dial 64」,「同512」だ(関連記事)。 Double Dialはまず,FAX機と電話回線の間に設置しておく。FAXで文書を送信したい人は送信直前にこのDouble Dialに対して相手先FAX番号を入力し,あらためてFAX機で送信操作を行う。もし,Double Dialで入力した番号とFAX機から発信しようとしている番号が一致しなければ,Double Dialが発信操作を中断する。送信者がダイヤル操作を2度行うことで,ダイヤルの押し間違いや短縮ダイヤルの選択ミスなどによる誤送信を水際で防ごうというわけである。 通話の場合,電話番号を間違えたとしても相手が出たときに間違いということが分かる。これに対してFAXでは,間違った番号を押したとして
パソコン仮想化の効果的な使い方
クライアント用のパソコンに仮想化環境がなぜ必要なのか,と常々疑問に思ってきた。使い道としてよく聞くのは,WindowsとMacOSを同時に稼働させるというものだ。しかし,2つのOSを1台のマシンで利用する用途に,それほどニーズがあるとは思えない。あるとすれば,仮想化を使って仕事用OSとホビー用OSを使い分けることで,ウイルス感染による情報漏えいを防ぐという使い方だろうか。しかし,ユーザーがわざわざOSを切り替えながら使う状況は一般的にはならない気がしていた。 ところが最近,仮想環境はネットワークやコンピュータを管理する目的では効果的だと気が付いた。エンドユーザーが意識して使う方法は本筋ではないのだ。そう考え始めたきっかけは,10月から本格展開すると見られる米インテルの新ブランド「vPro」を調べたことにある。vProはインテルが定めた部品・ファームウエアを搭載した企業向けパソコンに付けられ
「Windowsマシンへの不正アクセスを発見」---そのとき,どうする?
「Windowsマシンへの不正アクセスを発見」---そのとき,どうする? Windowsにおける証拠保全の具体的手順 自分が管理するシステムにおいて不正アクセスを見つけた場合,まずなすべきことは証拠保全である。影響範囲や原因を特定するためには,その時点でのシステムの状態をきちんと記録/保存しておかなければならない。 証拠保全の手順などについては,インターネット上で関連する情報を見つけられるし,関連書籍も複数発刊されている。しかしながら,具体的な作業例はUNIX系のOSについて書かれているものがほとんどで,Windows OSについてはあまり情報がない。特に,日本語で書かれた情報はほとんど見かけない。 そこで本稿では,Windowsマシン上で不正アクセスが見つかった場合の対処法を紹介したい。特に,失われやすい情報(揮発性の高いデータ)の証拠保全に焦点を絞って順を追って解説する。揮発性の高いデ
ケータイクレジットに致命的な弱点
ケータイクレジットに致命的な弱点 1カ所でも鍵情報が漏れたら、全加盟店の決済端末が即死。乱立で共用もできない。 2006年9月号 DEEP 「決済端末の共通鍵が盗まれたらしい」――2006年X月X日、あるケータイクレジットの会社に舞い込んだ情報に、社長が青ざめた。 どこで? 全国の加盟店のどこかはわからない。誰が? ハッカーか、偽造団に内通した人間か。どうやって? スキミングか、誰かオッチョコチョイが漏らしたのか……。 被害は1人にとどまらない。ケータイクレジットにはICを認証する際の鍵情報が記憶されている。この鍵情報は全国の加盟店に置かれている数十万台の決済端末にも記憶されている。漏れたとなったら、カードの利用者全員が悪用のリスクにさらされるから、全端末を一斉更新しなければならない。 しかしクレジット決済端末はいまだに電話回線に接続している店が多く、更新といっても膨大なコストと時間がかか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Corporation