はてなブックマーク

クレジットカード情報の漏洩リスクとインシデント ー徳丸浩氏に聞く、事業者が注意するべきポイント PR 昨今のクレジットカード情報漏洩の具体的な手口やリスクについて、日本と海外の事例をもとに解説します。また、企業が対策を講じる際に重要となる、セキュリティコードの保護に対する考え方や事故発生時の対応方法についても触れます。 対談パートでは、具体的な被害事例をもとに、セキュリティ対策のポイントや企業内での教育の必要性について議論します。特にECサイト運営におけるリスクや対策に焦点を当て、サードパーティのJavaScriptや広告の問題など、認識が薄いとされるセキュリティリスクを明らかにします。 プログラム １．クレジットカード情報漏洩の被害実態とよくある手口 第１部では、近年の被害実態を基に、地域性や具体的な手口についてご紹介。日本ではECサイト自体のシステム脆弱性が原因で漏洩するケースが多い一

UNITIS セキュリティマネジメント クラウドストライクによる大規模障害の原因と対策をpiyokango氏に聞く 予防策と復旧対応、注意すべき二次被害 2024年7月19日、米国IT企業のクラウドストライク合同会社（CrowdStrike）が提供するセキュリティソフトウェアの不具合を発端として、WindowsOSが搭載された端末におけるシステム障害が世界的に発生しました。 その影響範囲は、PCなどのデバイスのほか、店舗のPOSレジや交通機関のシステムなどにも及んでおり、クラウドストライクのCEOが「自動的に回復しない一部のシステムについては、復旧に時間がかかるかもしれない」と説明する事態となりました 1。 今回のような大規模なシステム障害に対して、企業はどのような予防策をとることが考えられるでしょうか。また、システム障害が発生した場合を想定して、どういった事前準備を行っておくべきなのでし

近年、ランサムウェア攻撃が大きな脅威となっており、2024年も、5月には株式会社イセトー、6月にはKADOKAWAグループのランサムウェア被害が大きく報道されるなど、ランサムウェア攻撃者による身代金の要求への対応方法や、支払った場合に生じ得る問題などについて、議論を呼んでいます。 本記事では、「身代金の支払いは復旧のための選択肢となり得るか」「身代金を支払った場合、どのような法律に抵触する可能性があるか」「攻撃者と交渉を行うべきなのか」などの論点について、元内閣官房内閣サイバーセキュリティセンター（NISC）上席サイバーセキュリティ分析官であり、サイバーセキュリティ分野に深い知見を持つ、森・濱田松本法律事務所の蔦 大輔弁護士に聞きました 1。 この記事のポイント 身代金の支払いを直接的に禁止する日本の法律は現状ない。ただし、外為法で制裁対象とされている組織に支払った場合や、身代金を支払うと

ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと（非保持化）が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がクレジットカード情報を入力する決済画面から情報が窃取（Webスキミング）さ

UNITIS セキュリティマネジメント 新基盤にありサイバー攻撃被害を免れたニコニコ動画データ、基盤刷新の舞台裏を担当者が講演 – AWS Summit Japan 株式会社ドワンゴが運営する「ニコニコ動画」「ニコニコ生配信」をはじめとした「ニコニコ」サービスは、ランサムウェアを含む大規模なサイバー攻撃を受け、2024年6月8日早朝からその多くでサービス停止が続いています。 株式会社ドワンゴのグループ企業が提供するデータセンターが攻撃を受けたことで、同社Webサービス全般のシステムが停止を余儀なくされている一方、ニコニコ動画のシステムや、投稿された動画データ、動画の映像配信システムは、パブリッククラウド上で運用されていたために、被害を受けていないことが公表されています。 こうした状況のなか、株式会社ドワンゴ ニコニコサービス本部 DMS 開発部 第一セクション マネージャーの久保田 陽介氏

2023年は、企業の内部不正から重要インフラへの攻撃に至るまで、サイバーセキュリティに関する話題が取り沙汰されることが多い1年でした。本記事では、インシデントをはじめとしたセキュリティ関連の話題を発信するブログ「piyolog」の運営者でありセキュリティ専門家のpiyokango氏に、2023年の重大トピックを振り返ってもらうとともに、2024年の動向を予測してもらいました。国内のセキュリティ動向と課題、そして変化し続ける脅威環境に実務担当者はどのように対応していくべきか、その方向性を探ります。 この記事のポイント 2023年の重大なセキュリティトピックは「内部不正」「重要インフラ事業者等のインシデント」「クラウドサービス等のインシデント」「フィッシング」「脆弱性を悪用したサイバー攻撃」の大きく5つがあげられる 2024年も2023年と同様のトレンドが続くことが予想される。生成AI等の技術

エンジニアによるGitHub上へのソースコード流出事案、法的責任や類似事案の防止策を伊藤雅浩弁護士が解説 – ツールの利用制限ではなく、利用者のリテラシー向上による対策を 2021年1月28日、三井住友銀行（SMBC）が組織内で使用するシステムのソースコードについて、その公開・流失の可能性がSNSを中心として指摘され、翌29日にはSMBCが、行内システムのソースコードの一部と公開されているソースコードが一致したことを確認したと報じられました 1。その後、NTTデータの子会社であるNTTデータ ジェトロニクスなど複数社における被害の公表も続いています 2。 あるエンジニアによる不適切な情報の取扱いに端を発すると見られる本事案。本稿では、ITコンサルティング企業においてシステムの設計や開発、プロジェクトマネジメント等に従事した経験を持ち、現在はシティライツ法律事務所でシステム開発等に関する紛争