【転載】衣料品販売「hatsutoki ONLINE STORE」の旧システムサイトに不正アクセス、カード情報流出(島田製織)

衣料品販売「hatsutoki ONLINE STORE」の旧システムサイトに不正アクセス、カード情報流出(島田製織):

島田製織株式会社は7月13日、同社が運営する播州織の衣料品を販売する「hatsutoki ONLINE STORE」にて第三者からの不正アクセスがあり顧客のクレジットカード情報流出の可能性が判明したと発表した。



これは2月25日に、一部のクレジットカード会社から「hatsutoki ONLINE STORE」を利用した顧客のカード情報の流出懸念について連絡があり翌2月26日に同サイトでのカード決済を停止、第三者調査機関による調査を行ったところ、旧システムでのオンラインストア「hatsutoki ONLINE STORE」のシステムの一部の脆弱性を突いたことによる第三者の不正アクセスが原因でカード情報が流出し、一部カード情報が不正利用された可能性が4月14日に確認されたというもの。



流出した可能性があるのは、2018年12月25日から2020年1月22日の期間中に「hatsutoki ONLINE STORE」にてクレジットカード決済を行った顧客138名のカード情報(名義、番号、有効期限、セキュリティコード)。



なお同社では2020年1月22日にシステムの入れ替えを行っており、流出の対象となるのは2020年1月22日まで利用していた旧システムのオンラインストアで、現在も利用している新システムの環境は安全であることを調査にて確認済み。



同社では7月6日に、流出対象の顧客に対し別途メールにて連絡を行っている。



同社では既に、クレジットカード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えの無い請求項目が無いか確認するよう呼びかけている。



同社では5月26日に、監督官庁である個人情報保護委員会に報告を、所轄警察である西脇警察署に被害申告を行っている。



同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図るとのこと。

《ScanNetSecurity》


【転載】JR東日本がマイナポイント事業と連動しキャンペーンを実施。最大6,000ポイントもらえるキャンペーンの全貌を公開

JR東日本がマイナポイント事業と連動しキャンペーンを実施。最大6,000ポイントもらえるキャンペーンの全貌を公開:

JR東日本は、2020年9月1日から2021年3月31日にかけて行われるマイナポイント事業にともない、同社の電子マネー「Suica」の利用者に向け、所定の手続きを済ませた場合、最大で6,000ポイントがもらえるキャンペーンを実施することを発表しました。

キャンペーンへの参加方法

キャンペーンへの参加方法

出典:最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト - JRE POINT

今回のキャンペーンへの参加方法を、

  1. 事前準備
  2. マイナポイントへの申し込み
  3. ポイントの受け取り
と段階を追って、順番に解説しましょう。

1.事前準備

Suicaに限らず、マイナポイントを利用するには

  • マイナンバーカードの発行
  • マイナポイントの予約
が必要です。

マイナンバーカードの発行

マイナンバーカードの発行

出典:最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト - JRE POINT

マイナンバーカードを持っていない人は、まずは入手しましょう。上の図にもあるように

  • スマートフォン
  • パソコン
  • 証明用写真機
  • 郵送
のいずれかで手続きを行ってください。

salaryman_hatena_336_squ.pngman

個人番号カード交付申請書ってなんですか?
マイナンバーカードを作るために必要な書類です。本来は、通知カードについていましたが、紛失した場合は「マイナンバーカード総合サイト」からダウンロードできます。印刷して記入し、返送しましょう。

「個人番号通知カード」が5月25日ごろに廃止予定ですが、慌てなくて大丈夫です。
①交付申請書ダウンロード

②①を送付(顔写真必要)

③甲府通知書が送られてくる

④③を受けて市役所などへ行く

⑤個人番号カードを受け取る

でOKです。

とりあえず①、②はすぐできますよ!

— めんおう|SNSマーケ×主夫ライター (@mennousan) May 10, 2020


1~2カ月ほどすると、住まいを管轄する役所から「交付通知書」が届きます。届き次第、受け取り手続きにいきましょう。

teacher_point_336_squ.pngteacher

これが「マイナンバーカードができたので取りにきてください」というお知らせになるんですよ。
マイナンバー交付通知書が来たァァァ嫌だァァァ
こないして秘密裏に取りに行かなあかんもんが、何と何と何に紐付けられるって?なぁ?( ͡ ͜ ͡ )

青色申告控除65万円を人質に取りやがってうわァァァ pic.twitter.com/lC9lwPOLqN

— ヒトミ⭐クバーナ@海外取材ライター (@hitomicubana) June 28, 2020

マイナポイントの予約

マイナポイントの予約

出典:最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト - JRE POINT

マイナンバーカードとスマートフォンを用意し、マイナポイントの予約を行いましょう。大まかな手順は、以下の通りです。

  1. アプリをダウンロードし、起動するとマイキーIDが発行される
  2. マイナンバー受け取り時に設定した4桁の暗証番号を入力する
  3. アプリの指示に従い、マイナンバーカードを読み取り、設定を完了させる
teacher_point_336_squ.pngteacher

アプリはこちらからもダウンロードできますよ!

SuicaをJRE POINTに登録する

SuicaをJRE POINTに登録する

出典:最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト - JRE POINT

記名式SuicaかモバイルSuicaを用意し、JRE POINT WEBサイトで登録手続きを行いましょう。

teacher_pc_336_squ.pngteacher

これにより、ご自身のSuicaとJRE POINTが連動されます。

マイナポイントに申し込む

マイナポイントに申し込む

出典:最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト - JRE POINT

最初に、JRE POINT WEBサイトにログインし、JRE POINT交換番号を確認しましょう。

確認できたら、次のいずれかの方法で申し込みをしましょう。

  • マイナポイントアプリから申し込む
  • セブン銀行ATMから申し込む

ポイントを受取る

ポイントを受取る

出典:最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト - JRE POINT

2020年9月1日から2021年3月31日までの期間中に、マイナポイントに申し込みをしたSuicaにチャージをすると、チャージ金額の累計に応じて、マイナポイントが最大5,000ポイントが付与されます。ここに、JR東日本からのキャンペーンに伴うポイントとして1,000ポイントが付与されるので、最大で6,000ポイントもらえる仕組みです。

ビューカードを持っているならWチャンス

ビューカードを持っているならWチャンス

出典:Suica×マイナポイント ビューカードでSuicaチャージキャンペーン:ビューカード

JR東日本の公式クレジットカード「ビューカード」を持っているなら、ポイントがさらに受け取れるチャンスがあります。JRE POINT WEBサイトにビューカードを登録し、合計20,000円以上Suicaにチャージすると、抽選で2,500名にJRE POINTが2,000ポイントプレゼントされます。

【転載】JAL、ヴィスタラの特典航空券予約受付開始

JAL、ヴィスタラの特典航空券予約受付開始:

2020年7月15日 水曜日 6:54 PM 編集部

ヴィスタラ(ボーイング787-9型機、エコノミークラス)

日本航空(JAL)は、JALマイレージバンクの提携社特典航空券で、インドのヴィスタラ(Vistara)の航空券の予約受付を、7月1日より開始した。

エコノミークラスの往復必要マイル数は、デリー〜コルカタ間は12,000マイル、デリー〜ベンガルール・チェンナイ間は15,000マイルなど。プレミアムエコノミークラスとビジネスクラスにも設定がある。

周遊旅程も可能で、バンコクからムンバイ経由でハイデラバードへ向かう場合、エコノミークラスでは23,000マイルで発券が可能。必要マイル数は、総旅程距離によって異なる。

詳細はこちら

【転載】裁断処理せず廃棄した文書、まさかのゴミ収集車からの落下と路上散乱(大阪府教育委員会)

裁断処理せず廃棄した文書、まさかのゴミ収集車からの落下と路上散乱(大阪府教育委員会):

大阪府教育委員会は7月10日、同日付で教職員の懲戒処分を行ったと発表した。



同委員会によると3月に、府立高等学校の教諭(60歳)が個人情報を含む文書を誤って裁断処理を行わずにゴミ袋に入れ廃棄したところ、その後、ゴミ収集車からゴミ袋が路上に落下し、中に入っていた当該文書が散乱、個人情報の流出が発生したとのこと。



同委員会では7月10日付で、当該教諭を戒告、管理監督責任として同校の准校長(56歳)に厳重注意の処分を行った。



被処分者:府立高等学校 教諭(60歳)

処分内容:戒告



管理監督責任:准校長(56歳)

処分内容:厳重注意

《ScanNetSecurity》


永久交換保証の靴下


「永久」と聞いて連想するのはセゾンカードの永久不滅ポイントである。

日本人はポイント大好きで、自分も人のことを言えないのだが、貯めるのが大好きである。

そんな日本人の嗜好に永久不滅ポイントはマッチしていると思う。

以前どこかのセミナーで永久不滅ポイントが総額で1500億円以上積みあがっているなんて話を聞いた記憶がある。

自分は最終的にJALのマイルに変えるが、有効期限が無いので、必要になるその日までの~んびり貯めよう。

話がそれてしまったが、世の中には永久交換保証の靴下があるらしい。

自分はフィンガーソックス派なので、あれば試しに購入してみようと思ったのだが、普通の靴下しかなかった。残念。

ちなみに永久に〇〇とか、生涯〇〇というのは、非常に魅力的ではあるが、世の中に絶対はない。

直近ではクラウドファンディングで生涯納豆定食無料を謳っていたにもかかわらず、店側から因縁をつけられて権利を没収され、トラブルになった事例が出ている。

納豆定食「生涯無料」でトラブルに発展!クラウドファンディングの落とし穴

甘い言葉には気を付けよう。

【転載】IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。 ipa.go.jp/files/00008393… ipa.go.jp/about/ipa_news…

IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…
:

IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…

Ec2tmhuU4AAxn69.png:large

バックアップ

STRIDEとは何ぞや


STRIDEってご存じだろうか?

@IT主催のIT Security Live Weekのどこかのセッションで出てきたので整理しようと思ったのだが、いかんせんつかみどころが無い状況となってしまった。

とりあえずSTRIDEの簡単な概要を紹介すると、

・Microsoftが開発した脅威モデル。

・下記6つの脅威の頭文字をとってSTRIDEとなっている。

Spoofing(なりすまし)
Tampering(改ざん)
Repudiation(否認)
Information disclosure(情報漏洩) 
Denial of service(DoS攻撃)
Elevation of privilege(権限昇格)

ここまでは良いのだが、先日話したサイバーキルチェーンMITRE ATT&CKCIAとの関連が良く分からず、難儀した。

まず、CIAとSTRIDEについては、CIAがセキュリティの要素を分類したものであるのに対し、STRIDEはセキュリティの脅威を分類したものとなる。

つまり、STRIDEの各要素には、1つ以上のCIAの要素が必ず紐づくこととなる。
(厳密にはCIAの3大要素だけではなく、真正性、責任追跡性、信頼性、否認防止、を加えた7大要素のいずれかが紐づく)

STRIDEの各概要の説明とともに、関するCIAの要素を組み合わせてみる。

Spoofing(なりすまし)
・概要:多要素認証の欠如、セッション管理の不備、暗号化通信の不備など
・CIA要素:真正性

■Tampering(改ざん)
・概要:HTMLインジェクション、SQLインジェクションなどを含むステレスコマンドなど
・CIA要素:完全性

■Repudiation(否認)
・概要:CSRF、デジタル署名の設定不備など
・CIA要素:否認防止

■Information disclosure(情報漏洩) 
・概要:情報資産の意図しない流出など
・CIA要素:機密性

■Denial of service(DoS攻撃)
・概要:DoS/DDoS攻撃によるサービス停止など
・CIA要素:可用性


■Elevation of privilege(権限昇格)
・概要:アクセスを許していないはずのユーザにアクセス権が与えられてしまうことなど
・CIA要素:機密性、完全性


んで、次にサイバーキルチェーンやMITRE ATT&CKとの関連についてなのだが、こちらはMITRE ATT&CKの方で解説があった。



自分が理解しやすいように無理やり整理すると、上の図の更に上にスーパーハイレベルモデルとしてセキュリティ7大要素がある感じであろうか。

1.ベースモデルとしてセキュリティの7大要素があり(概念!?)

2.それらを脅威の観点で再整理したのがサイバーキルチェーンやSTRIDEとなり(抽象的知識体系)

3.それらを戦術やテクニック等より具体的に整理したものがMITRE ATT&CKとなり、

4.最後に個々の攻撃コードや脆弱性等の具体的な内容となる。

・・・という理解で今日は終えておこう。。。

【参考】
https://hanakutoman.com/threat-modeling-stride/
https://qiita.com/ohayougenki/items/a281a8330b60fad7f5e1
https://at-virtual.net/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/cvss%E3%80%81dread%E3%80%81stride%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/
https://www.socyeti.jp/posts/4873582/
https://www.smillione.co.jp/staffblog/2019/08/30/security02/

【転載】マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。

マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。:

マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。

EcxYzxSUMAAtlJI.png:large