カフェ関連商品を扱う通信販売サイトに不正アクセス(転載)~想定損害賠償額は3200万円程度か~

カフェ関連商品を扱う通信販売サイトに不正アクセス

「Daiichi F&L」からのカード情報漏えい

 カフェ関連の商品を扱う通信販売サイト「Daiichi F&Lオンラインショップ」が不正アクセスを受け、クレジットカード情報が流出し、悪用された可能性があることがわかった。

同サイトを運営する大一電化社によれば、不正アクセスにより決済アプリケーションが改ざんされたもので、2020年3月3日から2021年2月12日にかけて新規に入力されたクレジットカード情報が流出し、不正に利用された可能性があることが判明したという。

対象となるのは、顧客1246人が入力したクレジットカード情報最大2551件。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。2月10日にクレジットカード会社から決済代行会社に連絡があり、同社では2月12日に情報が流出した可能性を把握したという。

外部事業者による調査は5月20日に完了し、6月10日に個人情報保護委員会へ報告。同日警察にも被害を申告した。対象となる顧客に対しては、6月17日よりメールや書面で経緯を説明し、謝罪を行っており、身に覚えのない請求がないか確認するよう注意を呼びかけている。

同社は、セキュリティ対策や監視体制の強化を行い、再発防止を図るとしており、今回不正アクセスを受けたサーバやシステムについては破棄したと説明。異なるサーバやカートシステムを導入したあらたなサイトを立ち上げたという。今後クレジットカード会社の承認を経てクレジットカード決済を再開する予定。

賃貸契約で、契約締結&諸費用支払後、入居前キャンセルを行ったらどうなったか(事例紹介)~大手サイトの記事でも事実とは限らない~

 

パートナーと同棲をしようということになり、賃貸アパートを探して契約締結を行ったものの、同棲に向けた準備の中でお互いの価値観や性格に決定的な乖離があることが判明し、同棲は白紙に戻し、賃貸契約もキャンセルすることとなった。

賃貸契約を締結し、必要な費用を支払った後、入居前の段階でキャンセルすると、支払った費用はいったいどうなるのだろうか?

ネットで検索してみるといくつかの事例が見つかる。

やむを得ない事情で入居前にキャンセル……。賃貸契約後に解除するには

代替どこも同じような感じで、下記のような感じとなる。

  • 敷金:返金可能性大(入居しており、原状回復の必要がある場合は償却した額を返金)
  • 礼金:大家次第だがほぼ絶望的(返金の必要なし)
  • 家賃(前家賃):入居していなければ返金可能性大。入居していれば経過日数に応じて日割りで帰ってくる可能性あり
  • 仲介手数料:不動産屋次第だが、ほぼ絶望的(返金の必要なし)
  • 火災保険料:保険会社次第(サービス約款に準ずる)

賃貸契約書に押印している時点で完全に不利な状態に変わりなく、敷金と前家賃程度を取り返せれば御の字かと思っていた。

が、結論としては下記のようになった。

  • 敷金:全額返金
  • 礼金:全額返金
  • 家賃(前家賃):全額返金
  • 仲介手数料:振込手数料をいた金額を返金
  • 火災保険料:全額返金

何ともうれしい誤算だった。

一応いろいろ調べてみたところ、賃貸契約には民法的な解釈の仕方と宅建業法的な解釈の仕方があるようである。

一般的な賃貸契約の流れは概ね下記となる。

①入居申し込み(ある場合は申込金の支払い)

②審査・契約書の作成&室内清掃などの準備

③重要事項説明

④契約書に署名捺印

⑤契約金(前家賃、敷金・礼金など)の支払い

⑥鍵の受け渡し、契約書交付

⑦入居、引っ越し

さて、どこのタイミングでっ契約締結となるだろうか?

民法上の解釈では④が契約締結となる。

一方、宅建業法上は⑥が契約締結となる。

今回は宅建業法上の解釈が優先されたか、不動産屋さんと貸主が善良だったというところだろうか?

ちなみにネットでいろいろ検索しても借主視点の有益な情報は少なく、唯一参考になったサイトのリンクを貼っておく。

入居前のキャンセル

あと、SUUMOのような大手サイトの記事でも事実かどうかは疑ってかからないといけないと感じた。

スマホ運用のセキュリティ対策チェックシートに新版(転載)


スマホ運用のセキュリティ対策チェックシートに新版 - JSSEC:

日本スマートフォンセキュリティ協会(JSSEC)は、スマートフォンの導入や運用、利用停止の各段階においてセキュリティ面より考慮すべきポイントについて取りまとめた「対策チェックシートII」を公開した。

同チェックシートは、あらたにスマートフォンを活用したり、情報セキュリティポリシー全体の見直しを実施する際、セキュリティ要件として検討すべきポイントを網羅的にまとめたチェックシート。スマートフォンを導入したり、セキュリティポリシーの策定、運用などを行う責任者の利用を想定している。

同協会が2014年3月に発行した「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン 第2版」とあわせて提供してきた「対策チェックシート」の改訂版にあたる。

「NIST Cybersecurity Framework(CSF)」の分類と一致した50項目からなり、A3ファイル1枚の両面に収まるようデザイン。対策を網羅的にカバーしつつ、ポリシーの採用状況や理由など、自組織の状況を記録するスペースも配置した。

同チェックシートを取りまとめた同協会利用ガイドラインワーキンググループでリーダーを務める松下綾子氏は、「働き方改革や個人情報の取り扱いなど社会情勢を反映した」と変更点を紹介した。

「NIST CSF」の5機能にあわせて項目を再構成したことから、「防御」が中心だった従来の構成から、「検知」や「対応」「復旧」などの項目を充実させ、網羅的にチェックが行えるようになったと説明。PDFファイルにくわえ、自由にカスタマイズができ、書き込みも行える「Excel形式」のファイルも用意しており、セキュリティ対策にぜひ活用してほしいと呼びかけている。

バックアップ

総務省「テレワークセキュリティガイドライン(第5版)」公開、意見募集と回答も併せて公表(転載)~個人的には「テレワーク」ではなく「リモートワーク」でお願いしたい


総務省「テレワークセキュリティガイドライン(第5版)」公開、意見募集と回答も併せて公表:

総務省は「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集の結果と当該ガイドラインを公表した。同省では2月15日から3月5日までの間、「テレワークセキュリティガイドライン(第5版)」の案について広く意見を募集しており、その結果、法人3件、個人・匿名17件の計20件の意見の提出があった。

 同省では、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として「テレワークセキュリティガイドライン」を策定、2004年12月に初版を公表し、その後も改訂を行ってきた。

 今回、公開した第5版では、オンライン会議を含めたテレワーク導入が拡大し、クラウドサービスの普及やスマートフォンの活用等が一層進展するなど、テレワークを取り巻く環境の変化するとともに、サイバー攻撃の高度化等によるセキュリティ動向の変化を踏まえ、全面的な改定を行っている。

 意見募集では株式会社ブロードバンドセキュリティから、テレワークで脆弱になりがちな、テレワーク環境のネットワークセキュリティや物理セキュリティについて、独立した節を設けて説明すべしとの指摘があり、同省ではガイドラインに自宅でのセキュリティ対策等について追記している。

 また一般社団法人新経済連盟事務局からは、「テレワークセキュリティガイドライン」そのものについて「事業の効率的かつ健全な発展」という観点から、マネジメントやカルチャーについても言及し、本当の意味でテレワークを推進する立場にたったガイドラインとすべきという意見があり、同省ではテレワーク総合情報サイト( https://telework.soumu.go.jp/)を開設している他、関係省庁とも連携しつつその推進に取り組むと回答している。

バックアップ

CompTIA CySA+に合格するためのヒントとリソース / Tips and resources for passing CompTIA CySA+(転載)

Tips and resources for passing CompTIA CySA+
:

先日、何度も予定外のことがあったにもかかわらず、CompTIA CySA+ CS0-002試験を無事に終了し、認定を受けることができました。

これは決して簡単な試験ではありませんでしたが、十分な時間をかけて勉強し、実践的な準備をすれば達成可能な試験です。

CompTIA CySA+は、CompTIA IT認定資格ロードマップのAdvancedカテゴリーに属しており、これより上位の資格はエキスパートのCASP+のみです。

CySA+の推奨前提条件は、Network+、Security+または同等の知識を持ち、3~4年以上の情報セキュリティまたは関連する実務経験を持つことですが、実際にはそうではありません。

すべては、あなたがどれだけ自習する気があるか、どれだけ規律を守れるかにかかっています。そして、あなたがどれだけその分野に精通しているかです。

"CompTIA CySA+認定資格の取得者は、セキュリティ分析、侵入検知、対応に対応するスキル、知識、能力を備えています。CompTIA CySA+アナリストは、データ分析を行い、その結果を解釈して、組織の脆弱性、脅威、リスクを特定する能力と、システムを安全に保護するためのスキルを証明しています。"

使用した学習教材:

試験の目的は以下の通りです:

そして、勉強中に取った自分のメモは以下の通りです(内容が膨大で時間がないため100%ではありませんが、おそらく75%は完成していると思います):

前述のように、私はExam Topicsの無料テストにも参加しました。私は自分の知識と理解の範囲内で質問に答えようとしましたが、それは時に難しいものでした。

編集:CompTIAが例題のいくつかを好ましくないと見なすかどうかの曖昧さを避けるために、以下のファイルを削除しました。この件に関しては、慎重に判断した方が良いでしょう。

CySA-002-Exam-Topics

上記のファイルの完全性を確認したい場合は、それぞれのMD5ハッシュを同じ順序で示します:

  • da4ca9b60b98697cd827ec1556f23eaf
  • 10cc91c775368fbdd21287c87e0a2aa9
  • e20d45793b4675261f76312c07be9c02

試験のコツ:

  1. 試験時間は165分で、すべての問題を解答、修正、復習するのに十分な時間があります。

  2. 最初に少なくとも3つの大きな実践的なシミュレーション問題が出題されます。これらの問題に最も時間を費やすことになるでしょう。私はそれらを最後まで残しました。

  3. 私の意見では、最も重要なドメインは、「Security Operations & Monitoring」と「Threat & Vulnerability Management」です。これは、私が最も時間をかけて準備した分野であり、全試験問題の50%近くがこの分野に集中しています。

  4. 問題に「For Review」のマークを付けて、後から見直すことができることを利用します。私はまず、絶対に答えを知っていると確信している問題を解いていきました。それ以外の問題は2回目に回しました。

  5. 問題の文言を何度も何度も読み返してください。多くの質問は数段落の長さで、「特定のモデルに含まれないものは何か」や「イベントXの最も少ないマイナス/プラスの結果は何か」など、特定のシナリオの文脈でトリッキーな方法で質問されています。

  6. いくつかの質問では、ファイアウォールやその他のツールからのインシデントログの読み取りに関する様々な側面を取り上げました。ログの読み方についてはよく知っておく必要があります。

  7. nmapのようなユーティリティーや、コマンドラインから出力されるものに関する質問もあります。それらを実際に使って練習してみてください。WindowsとLinuxの両方で。

  8. WiresharkからQualysやProwlerのようなあまり知られていないものまで、様々なツールとその機能(または機能しないもの)に関する一般的な質問に出くわします。これらのツールが何のためにあるのか、少なくとも高いレベルで理解していること。

  9. よく知られているポートと登録されているポートを確認してください。これは Network+ の領域のように思えるかもしれません。ポートやそこで使われるサービスについて間接的に質問されることがあります。

  10. 特定の質問について疑問がある場合は、コンプライアンス/リスク管理の考え方に立ち返ってください。すぐに答えが見つからないような一般的な質問では、リスク、攻撃対象、暗黙の脅威を最小限に抑えるための対策が問われることがほとんどです。

2021年のGlobal Threat Intelligence Report発行。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしている(転載)


2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。http://bit.ly/3b2AiX2 #GTIR2021 #cybersecurity:

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。 bit.ly/3b2AiX2 #GTIR2021 #cybersecurity

NTT Ltd.は、本日、2021年版グローバル・スレット・インテリジェンス・レポート(GTIR)を発表しました。このレポートでは、ハッカーが世界的な不安定化を利用して、基幹産業やリモートワークへの移行による共通の脆弱性を狙っていることを明らかにしています。医療、製造、金融の各業界では、攻撃が増加し(それぞれ200%、300%、53%)、これら上位3つのセクターの合計が、2020年の全攻撃の62%を占め、2019年から11%増加しています。

企業がクライアントポータルを利用して仮想的なリモートアクセスを提供しようとする中で、アプリケーション固有の攻撃やWebアプリケーションへの攻撃が急増し、攻撃全体の67%を占め、過去2年間で2倍以上に増加しました。医療機関は、遠隔医療やリモートケアへの移行に伴い、これらの攻撃の矢面に立たされており、この業界を標的とした敵対行為の97%がWebアプリケーションまたはアプリケーション固有の攻撃でした。

GTIRは、NTTのサイバーセキュリティアドバイザリから得られた知見をもとに、産業界のセキュリティプログラムの成熟度をスコア化したもので、スコアが高いほど、より成熟した行動計画であることを示しています。懸念されるのは、ヘルスケアと製造業の成熟度スコアが相対的に低く、それぞれ1.02と1.21であることです。これらは、2019年の基準値である1.12と1.32から減少していますが、攻撃率は大幅に上昇しています。製造業は3年間にわたってスコアが低下していますが、これは運用環境の変化と攻撃の進化が原因である可能性が高いです。一方、金融は3年連続で最高の成熟度ベンチマークスコアを示し続け、1.84となりましたが、昨年より0.02減少しました。

NTTのセキュリティ部門のCEOであるカズ・ヨザワは、「昨年、私たちは標的型攻撃やオポチュニスティック攻撃が急増すると予測しましたが、残念ながらそれはあまりにも真実であることがわかりました。これらの業界は、混乱した時代にも必要なサービスを維持するために最善を尽くしてきましたが、企業が最も必要とする時にセキュリティ基準が低下していることは憂慮すべきことです。サービスのオンライン化が進み、新しい常態に対応するためにデジタル化が進む中、企業はセキュリティのベストプラクティスを維持するために一層の注意を払う必要があります」と述べています。

マルウェアが変貌を遂げる。暗号マルウェアが急増する一方、トロイの木馬が一般的になる

マルウェアは、機能や特徴がコモディティ化している一方で、昨年は多機能なマルウェアの増加により多様化しています。世界で最も一般的なマルウェアは、スパイウェアに代わってクリプトマイナーが主流となっていますが、特定の産業に対する特定の亜種のマルウェアの使用は進化し続けています。ワームは、金融業と製造業で最も多く出現しました。ヘルスケア分野では、リモートアクセス用のトロイの木馬が、テクノロジー分野ではランサムウェアが標的となりました。 教育分野では、保護されていないインフラを悪用したマイニングが学生の間で流行したことにより、クリプトマイナーの被害を受けました。

暗号通貨市場はその代表例で、2020年に検出されるマルウェアのうち、クリプトマイナーが41%という驚異的な割合を占めています。XMRig coinminerは最も一般的な亜種で、coinminerの活動全体の約82%、特にEMEAでは約99%を占めています。

NTTのグローバル・スレット・インテリジェンス・センターを率いるマーク・トーマスは次のように述べています。"一方では、世界的な災害を利用する脅威のアクターがいて、他方では、前例のない市場の好況を利用するサイバー犯罪者がいます。どちらの状況にも共通しているのは、予測不可能性とリスクです。事業モデルの変化や新技術の導入は、悪意のあるアクターにとってチャンスであり、経験の浅い学生に人気のある暗号通貨市場の急成長により、攻撃は起こるべくして起こりました。パンデミックがより安定した段階に入った今、企業も個人も同様に、サプライチェーンを含むすべての業界でサイバーセキュリティの衛生管理を優先しなければなりません」と述べています。

2021年のGTIRのハイライト:

  • 製造業に対する攻撃は、昨年の7%から22%に増加し、医療機関は7%から17%に、金融機関は15%から23%に増加しています。

  • 複数の業界の組織で、COVID-19ワクチンと関連するサプライチェーンに関連する攻撃が見られました。

  • COVID-19のサイバー犯罪者の日和見主義は激化し、Ozie Team、Agent Tesla、TA505などのグループに加え、Vicious Panda、Mustang Panda、Cozy Bearなどの国民国家のアクターが2020年に非常に活発に活動しました。

  • 2020年に最も多く発生したマルウェアの形態は、マイナー。41%、トロイの木馬 26%、ワーム:10%、ランサムウェア:6%でした。

  • クリプトマイナーは、ヨーロッパ、中東、アフリカ(EMEA)およびアメリカ大陸で多く見られましたが、アジア太平洋(APAC)では比較的まれでした。

  • 南北アメリカで最も標的とされたテクノロジーはOpenSSLでしたが、APACではトップ10にも入っていませんでした。

  • Schrems IIの判決を受けて、EU-USプライバシーシールドが無効になり、EUから第三国に個人データを転送する組織に追加の義務が課せられました。

  • NTTの調査によると、世界の企業の50%が、クラウドサービスのセキュリティ確保を優先しており、今後18ヶ月間のサイバーセキュリティの最重要課題となっています。

本年度の報告書が、今日のサイバー脅威の状況に対処するための強固なフレームワークを企業に提供している点については、リンクをクリックしてNTT Ltd. 2021 GTIRをダウンロードしてください。


健康食品通販サイトでクレカ情報が流出~想定損害賠償額は約2.2億円か~


健康食品通販サイトでクレカ情報が流出 - 不正利用の可能性 

健康食品など扱う通信販売サイト「クラウディアHP」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかになった。

同サイトを運営するクラウディアによれば、ウェブサイトの脆弱性が突かれ、決済アプリケーションが改ざんされたもの。2020年10月8日にクレジットカード会社より情報流出の可能性について指摘があり、問題が判明した。

2019年10月4日から2020年10月8日にかけて、決済に利用された顧客のクレジットカードに関する名義や番号、有効期限、セキュリティコードなど8644件が外部に流出し、不正に利用された可能性がある。

調査は2021年2月28日に完了しており、3月30日に個人情報保護委員会や警察に報告を行った。顧客に対しては、6月14日よりメールや書面を通じて連絡を取り、身に覚えのない請求が行われていないか、確認するよう注意を呼びかける。

プレスリリース

バックアップ

Kali Linux 2021.2 リリース / Kali Linux 2021.2 Release (転載)


Kali Linux 2021.2 Release (Kaboxer, Kali-Tweaks, Bleeding-Edge & Privileged Ports)

Kali Linux 2021.2 をよろしくお願いします。このリリースには、新しいアイテムと既存の機能の強化が混在しており、既存のKali Linuxをお持ちの方は、すぐにダウンロード(更新ページから)またはアップグレードできます。

2021年2月にリリースされた2021.1以降の変更履歴を簡単にまとめます。

Introducing Kaboxer v1.0 (Again)

以前、Kaboxerについては専用のブログ記事で紹介しましたが、Kaboxerが大好きな理由をもっと詳しく説明しています。開発者にとって、Kaboxerは素晴らしい新しいツールです。ユーザーの皆様には、これまで問題となっていたツールが正常に動作するようになったことに気づくだけで、使用していることに気づかないことを期待しています。

前述の繰り返しになりますが、この技術により、複雑な依存関係やレガシーなプログラムやライブラリ(Python 2や古いSSL/TLSなど)など、これまで困難だったプログラムを正しくパッケージ化できるようになりました。

Kaboxerの発売に伴い、Kaboxerを使用した3つのパッケージをリリースしました。

もっと詳しく知りたい方は、それを取り上げたブログ記事か、ドキュメントをご覧ください。

Kaboxerはまだ初期段階にありますので、どうかご容赦ください。

Releasing Kali-Tweaks v1.0

Kali-Tweaks を発表します! Kali-Tweaks は、Kali ユーザーのためのちょっとした助け舟です。これは、Kali を自分の好みに合わせて、素早く、簡単に、そして正しい方法でカスタマイズするのを助けるというアイデアです。これにより、繰り返しの作業をしなくて済むようになるはずです。


現在、Kali-Tweaks は以下のことを支援します。

  • Metapackages - インストーライメージを使用しなかった場合、Kali のインストール時に利用できなかった可能性のあるツール群のインストール/削除。
  • ネットワークリポジトリ - 「ブリーディングエッジ」および「エクスペリメンタル」ブランチを有効/無効にする
  • シェルとプロンプト - プロンプトを 2 行または 1 行に切り替えたり、プロンプトの前の追加行を有効/無効にしたり、Bash または ZSH をデフォルトのシェルとして設定したりします。
  • 仮想化 - ゲスト VM として Kali をお使いですか?いくつかのアクションを行うことで、より簡単に体験することができます。
私たちの哲学は、実行する前に、実行する内容を常に理解することです。そうすることで、望ましくない不意打ちを食らう可能性を減らすことができるからです。そのため、自動化する前に手動でアクションを行うことを常に推奨しています。一方で、覚えなければならないことが非常に多いことも理解しています。さらに、長期的な影響を及ぼし、結果的に Kali を壊してしまうような、人々の悪い習慣を加えれば、改善の余地があります。そこで、私たちは Kali-Tweaks の開発を始めました。可能な限り、Kali-Tweaks は、ユーザーの教育に役立つように、実行されているコマンドを表示します。

いくつか言及しておきたいことがあります。

kali-tweaks は、「必須」ではなく「推奨」とされました。そのため、Kali をアップグレードする際には含まれていないかもしれません。その一方で、kali-tweaks を削除しても、他のものを削除する必要はありません。
アップグレードの話題ですが、Kali のインストールの古さによっては、「configure prompt」セクションを使う前に、シェルリソース (例: .bashrc.zshrc) をリセットする必要があるかもしれません。これは、必要な変数が含まれていないためです。万が一、バックアップ、リセット、リストアを必ず行うこと
最後の注意点として、デフォルトのログインシェルを変更する場合は、ログアウトしてから再度ログイン(グラフィカルコンソールまたはリモートコンソール)しないと効果がありません。