Dark Tracerによると、9月は日本企業1社がランサムウェアの被害にあっている模様。
リポカプセルビタミンC公式通販サイトからのカード情報漏えい(転載)~想定損害賠償額は2.5億円程度か~
【限定】リポカプセルビタミンC公式通販サイトからのカード情報漏えい
サプリ通販サイトでカード情報9000人分が漏えいか 一部は不正利用された可能性も
サプリメントの製造販売を手掛けるスピック(神奈川県鎌倉市)は9月29日、同社が運営するECサイト「リポカプセルビタミンC公式通販サイト」のサーバが不正アクセスを受け、9515人分のクレジットカード情報や1万5674人分の会員情報が漏えいした可能性があると発表した。一部のカード情報は不正利用された可能性もあるという。
漏えいした可能性があるのは、2020年11月6日から2021年2月24日の間にカード決済をした9515人のクレジットカード番号、カード名義人名、有効期限、セキュリティコードと、サイトにログインし、会員情報を入力した1万5674人のメールアドレスやパスワード。
スピックによればサイトの脆弱性を突かれ、サーバ内部に不正なプログラムを設置されていたという。すでにサイトはシステムを一新した上で、サービスの提供を再開している。今後はセキュリティや不正アクセスへの監視体制を強化し、再発防止に務めるとしている。
不正アクセスが発覚したのは2月16日。情報セキュリティに関する業務の委託先から連絡を受けて調査したところ、サーバ内部に不正なプログラムを発見した。以降は不正なプログラムの削除を削除した他、24日に同サイトのクレジットカード決済機能を一時停止。3月4日にサイトを閉鎖し、その後新しい環境でサービスを再開した。ただし一部ブランドのクレジットカードは利用を制限しているという。
個人情報保護員会や警察には相談済み。発表が遅れた理由については、調査やカード会社との連携に時間がかかったためと説明している。
改正個人情報保護法の施行へ、企業に必要な5つのアクション(転載)
ガートナージャパン(以下、ガートナー)は2021年9月15日、2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべき5つのアクションを発表した。
ガートナーは「データ活用におけるセキュリティとプライバシーの取り組みを進める上で重要なのは、セキュリティとプライバシーの本質を理解することだ」と述べている。
プライバシーは、基本的な人権を保証する必要不可欠なもので、プライバシーの軽視は人権の軽視につながり、企業は対応を誤れば信頼を大きく失うことになる。そのため、法規制の動向を理解するだけではなく、そうした本質に立ち返り、「People Centric(人中心)」の視点から、より誠実で透明性のある取り組みを推進する必要があると説明する。
今回の発表に先立ち、ガートナーは2020年6月に、個人情報保護法の改正を機に企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ(体制の構築やセキュリティポリシー)について発表している。
今回は、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ/リスクマネジメントのリーダーが取り組むべきポイントを示した。
最初に取り組むべきは「体制の構築」だ。プライバシーやセキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能にする体制を整える。
その上で「内外のポリシーを“People Centricな視点”からアップデート」し、「アウェアネストレーニングを実施」して、「プロセス上の対応」を見直す。ここでの見直しには、データ主体の権利のリクエスト(SRR)対応、プライバシーインパクトアセスメント(PIA)、漏えい時の対応なども含まれる。
さらに「システム/技術的な対応」についても検討する必要がある。改正個人情報保護法では、「個人関連情報」「仮名加工情報」が新たに定義されており、それらへの対応やSRR対応、漏えい時の対応の取り組みを強化する中で、技術/システム的な対応が課題になる可能性があると指摘している。
ガートナーは「プライバシーの議論は今後10年では収束せず、発展途上の状態が続く」と予測する。既存のテクノロジーに加え、プライバシーを強化する新しいテクノロジー(プライバシー強化コンピュテーション)なども出現していることから、企業はそうしたテクノロジーのトレンドにも目を向けつつ、“People Centricな取り組み”を強化し、成熟度を高め、規制コンプライアンスの先を行く必要があると説明している。
脆弱性評価ツールについて / Vulnerability Assessment Tools [Top Tools & What They Do](転載)
最高の脆弱性評価ツールに興味がありますか?私たちは、人気のあるツールのいくつか、それらが何をするのか、そしてその長所と短所を詳しく説明します。
脆弱性評価ツールは何をするものですか?
脆弱性評価ツールは、以下のように組織を支援します。
- セキュリティ上の欠陥をランク付けし、開発者の改善を支援
- 脆弱性発見プロセスの自動化
- ペネトレーションテストの間にセキュリティアップデートを提供
- ネットワークやアプリケーションを継続的にスキャンし、新たな脅威を発見する
脆弱性診断とは?
脆弱性診断では、ネットワークやアプリケーションを継続的にスキャンし、新規および既存のセキュリティ上の欠陥を特定します。アセスメントでは、改善のための実行可能なステップとともに、脆弱性のランク付けされたリストが提供されます。
また、多くのアセスメントでは、テストの合間にシステムを監視するためのチェックリストが提供され、セキュリティチームのプロアクティブな活動を維持することができます。
脆弱性評価は、修復プロセスを合理化し、より包括的なペネトレーション・テストの間に頻繁にセキュリティに関する洞察を提供することで、システムへの不正アクセスを防止します。
脆弱性診断ツールの種類について
脆弱性評価ツールは、スキャンするシステムの種類に応じて、様々な脆弱性を詳細に調べることができます。これらの自動スキャンは、組織がネットワークを継続的に監視し、その環境が業界や政府の規制に準拠していることを確認するのに役立ちます。
ハッカーによるテストでは、自動化された技術と手動の技術を組み合わせて、アプリケーションをより徹底的にスキャンします。倫理的ハッカーは、悪意のある者に悪用される前に、組織が脆弱性を発見し、修正することを支援するセキュリティ専門家です。これらのハッカーは、その専門知識を駆使して、自動スキャンでは見落とされるバグや重要な脆弱性を発見します。評価の際に使用される、いくつかの異なるタイプの脆弱性スキャンツールを見てみましょう。
ネットワークベーススキャナ
ネットワークベースのスキャナは、有線および無線ネットワーク上の脆弱性を特定し、ネットワークマッピング、プロトコル解析、トラフィックキャプチャなどの機能を備えています。ネットワークベースのスキャナは、脆弱性評価の初期段階でネットワークをマッピングし、サービス、オープンポート、ネットワークインフラの脆弱性を特定します。
ホストベーススキャナ
ホストベースのスキャナは、サーバやワークステーションなど、さまざまなホストマシンのネットワーク上の弱点を特定することに重点を置いています。これらのスキャナーは、設定ミス、パッチが適用されていないシステム、不適切な権限設定などを特定します。
データベーススキャンツール
データベース脆弱性スキャナーは、データベースシステムや開発環境の脆弱性を発見します。これらのスキャナーは、データベース・アーキテクチャの脆弱性を発見し、攻撃者が悪意のあるコードを注入して、許可なく情報を不正に取得できる領域を特定します。
脆弱性評価ツール
利用可能な脆弱性評価ツールの多くは、無料のオープンソースで、他のセキュリティ・スイートやセキュリティ・イベント情報管理(SIEM)システムとの統合を提供しています。ここでは、いくつかのツールをご紹介します。
1.BURP SUITE ENTERPRISE EDITION
Burp Suiteは、社内外のテスト用に自動化された脆弱性スキャンツールを提供します。14,000以上の組織が、Webの脆弱性スキャンを自動化するためにBurp Suiteを積極的に利用しています。
[長所]
- 大規模で活発なコミュニティ
- シンプルなインターフェースとユーザーフレンドリーなデザイン
- 自動化されたスキャンとシミュレーションされた脅威のシナリオをサポート
[短所]
- community(無料)版は、enterprise版に比べて機能が制限されています。
2.NESSUS
Nessusは、脆弱性を徹底的にスキャンするソフトウェアで、サブスクリプションベースのサービスを提供しています。ハッカーはNessusを利用して、設定ミスの発見、デフォルトパスワードの発見、脆弱性の評価などを行います。
[長所]
- 市場の類似ツールと比較して手頃な価格
- わずかな設定で脆弱性を正確にランク付けし、グループ化することが可能
- CVEデータベースの継続的な更新
[短所]
- 大規模なデータセットのスキャンには手間がかかる
3.OPENVAS
OpenVASは、オープンソースの脆弱性スキャナーです。このプラットフォームには、ネットワークスキャン、ウェブサーバースキャン、データベーススキャンなど、さまざまなスキャンオプションが用意されています。
[長所]
- 堅牢な自動化機能
- ユーザーフレンドリーなGUI
[短所]
- 初心者には入力方法が難しいかもしれません。
4.INTRUDER.IO
Intruder.ioは、ペネトレーションテストと脆弱性スキャンを組み合わせたツールを提供しています。企業はIntruder.ioを使用して、単一の評価を実行したり、環境の脅威を継続的に監視したりすることができます。
[長所]
- 簡単に設定できる
- レスポンシブ対応
[短所]
- 掘り下げたレポートが少ない
5.W3AF
w3af(Web Application Attack and Audit Framework)は、アプリケーション層の脆弱性を発見し、倫理的なハッカーがその脆弱性を利用できるようにするための無料のオープンソース・フレームワークです。このフレームワークは、すべてPythonで記述されており、その直感的なインターフェースのおかげで、使いやすい脆弱性診断ツールの1つとなっています。
[長所]
- 無料
- Linux環境への簡単なインストール
[短所]
- 有償ツールに比べてサポートが少ない
- Windows版のインストールが難しい場合がある
6.NMAP
オープンソースのネットワークスキャンツールとして人気の高いNetwork Mapper(Nmap)は、新米ハッカーにもベテランハッカーにも定番のツールだ。Nmapは、複数のプロービングおよびスキャン技術を駆使して、ターゲットネットワーク上のホストやサービスを発見する。
[長所]
- 無料
- IDSを回避するステルス・スキャン手法を搭載
- ZenmapによるGUI機能の提供
[短所]
- 有償ツールのように頻繁に更新されない
7.OPENSCAP
OpenSCAPは、Linuxプラットフォーム用のサイバーセキュリティツールを提供するオープンソースのフレームワークです。OpenSCAPは、Webアプリケーション、ネットワークインフラ、データベース、およびホストマシンのスキャンをサポートする広範なツール群を提供しています。
[長所]
- 評価の自動化に重点を置く
- フリーでオープンソース
[短所]
- 同種のツールに比べて学習コストが高い
8.RECON-NG
Recon-ngは、攻撃の偵察段階に焦点を当てています。このフレームワークは無料のオープンソースで、バナーの取得、ポートスキャン、DNSルックアップなどの機能をサポートしています。また、Recon-ngは、Shodan検索エンジンへのアクセスも提供しています。
[長所]
- Shodanとの統合が可能
- 細かくカスタマイズ可能
- シンプルな構文で学習しやすい
[短所]
- CLIツールのみ
顔認証システムで現金の引き出しや決済を可能に / 日企开发人脸识别系统:取款购物瞬间完成认证支付(転載)~生体認証の情報は流出すると代替がきかないのを理解しているのだろうか?~
共同通信社のウェブサイトに掲載された記事によると、日本のリソナホールディングスやパナソニックなど4社がこのほど、顔認証技術を使ったシステムを共同開発し、これらのサービスを提供することを発表した。 このシステムが適用されると、事前に顔写真を登録しておけば、手ぶらで銀行の窓口でお金を出し入れしたり、小売店で買い物をしたりすることができるようになります。
また、ホテルやレンタカーのチェックイン時の本人確認にも利用できるとのことで、幅広い分野での利便性向上が期待できます。
リソナ、顔認証技術を持つパナソニックに加え、デジタル技術を用いた本人確認に強みを持つ大日本印刷、決済サービスを行うJCBの4社が参加。
この技術は、今年はリソナ内の部屋の入退室管理に使用され、来年は顔認証を利用して、通帳やキャッシュカードを使わずに、リソナ銀行の一部の店舗でお金の引き出しや送金、投信の購入などができるように実験していく予定です。 将来的には、自社での開発が困難な地方銀行などへの展開も検討しています。
JCBでは、クレジットカードショップのネットワークを活用したサービスを展開し、顔写真を事前に登録したお客様が来店した際に、瞬時に本人確認と決済を完了できる仕組みを検討しています。
顔写真の登録はお客様の同意が前提となりますが、プライバシー保護の観点から、いかにセキュリティを確保するかがサービス普及の鍵となるかもしれません。
本サービスでは、ユーザーの顔写真データは、外部からアクセスできないリソナ社が管理するサーバーに保管されます。 パナソニックの取締役は、"人工知能の発達により、顔認証の精度が飛躍的に向上しており、不正なアクセスは難しい "と述べています。
退職者手続きに必要な「性悪説」思考 / Fired NY credit union employee nukes 21GB of data in revenge(転載)
Fired NY credit union employee nukes 21GB of data in revenge
ニューヨークの信用組合の元従業員であるジュリアナ・バリレは、解雇されたことへの復讐として、金融機関のコンピュータシステムに無断でアクセスし、21ギガバイト以上のデータを破壊した罪を認めました。
「解雇されたことへの復讐として、バリルは元雇用主であるニューヨーク・クレジット・ユニオンのコンピュータ・システムに密かにアクセスし、ファイル・サーバに保存されていた住宅ローン申請書やその他の機密情報を削除しました。」ジャクリン・M・カスリス米国連邦検事代理は言いました。
2万枚以上のドキュメントを40分以内に破棄
裁判資料によると、被告は2021年5月19日に解雇されるまで、信用組合のパートタイム従業員として遠隔地で働いていました。
信用組合の従業員が銀行の情報技術サポート会社に被告のリモートアクセス認証を無効にするよう依頼したにもかかわらず、そのアクセスは削除されませんでした。2日後の5月21日、被告はおよそ40分間ログオンしていました。
被告はその間に、銀行の共有ドライブに保存されていた2万個以上のファイルと約3500個のディレクトリ、合計約21.3ギガバイトのデータを削除しました。
削除されたのは、顧客の住宅ローン申請書や金融機関のランサムウェア対策ソフトに関するファイルなどです。
被告は、顧客や会社のデータが入った文書を削除したほか、信用金庫の理事会の議事録が入ったファイルなど、さまざまなWordの機密文書を開きました。
その5日後の5月26日には、前職のサーバーにある数千もの文書を破壊できたことを友人にテキストメッセージで伝え、「彼らは私のアクセス権を削除しなかったので、私は彼らの共有ネットワークのドキュメントを削除したった」
ニューヨークの信用組合は、被告が削除したデータの一部をバックアップしていましたが、被告の不正侵入により破壊されたデータを復元するために1万ドル以上の費用が必要となりました。
FBIのドリスコル副長官は、「被告は、ファイルを削除することで雇用主に仕返しをしたつもりだったかもしれませんが、顧客にも同様の被害を与えてしまいました。」
「被告の些細な復讐は、銀行に大きなセキュリティリスクをもたらしただけでなく、家の支払いに書類や承認を必要としていた顧客を混乱に陥れました。」
「内部の脅威は、外部の犯罪者と同じくらい、いやそれ以上の大惨事を引き起こす可能性があります。銀行と顧客は、一人の従業員の身勝手な行動を修正するという、非常に大きな頭痛の種に直面しています」。
多要素認証はサイバー攻撃の9割を防ぐ / Multi-Factor Authentication Can Prevent 90% of Attacks(転載)
多要素認証(MFA)を使用することで、サイバー攻撃の80〜90%を防ぐことができると、米国国家安全保障局のサイバーチーフが発表しました。
サイバー・新技術担当の国家安全保障副顧問であるアン・ニューバーガー氏によると、先週のバイデン大統領との会談に出席したハイテク企業のCEOの多くが、この法令に言及していたという。
MFAは、バイデン氏がサイバーセキュリティに関する大統領令の一環として、11月までに連邦政府全体で展開することを義務付けた5つの重要施策の1つです。
MFAに加えて、米国の組織のリーダーシップチームに、この連休前に4つのステップを実施するよう促しました。その4つとは、強力なパスワード、すべてのソフトウェアへの迅速なパッチ適用、インシデント対応計画の見直し、企業ネットワークから分離された最新のバックアップです。
ニューバーガー氏との記者会見が木曜日に行われたことを考えると、これらの措置を金曜日のまでに間に合わせることは不可能であり、特に「すべてのソフトウェアを更新し、パッチを当ててください」という言葉は重要である。
しかし、国や国家の安全を攻撃から守るためには、組織がその役割を果たさなければならないことをあらためて認識させられました。
ニューバーガー氏は、今回の大統領令に加え、6月にビジネスリーダーに向けた書簡を作成し、ランサムウェアの脅威が高まっていることを受けて対策を講じるよう促したと言われています。
また、今週、CISAとFBIが、Colonial Pipeline、JBS、Kaseyaへの攻撃のような大規模なランサムウェアの攻撃は、いずれも休日の週末に発生していると警告したことを受けてのことです。
そのため、ニューバーガー氏は、CISAが企業に対して、被害が出る前に攻撃を回避するために、脅威のハンティングを行うべきだというアドバイスを繰り返しました。
「セキュリティチームは、ネットワーク上で積極的にハンティングを行うべきです。これは、デジタル版の "Walking the beat "のようなものです。ネットワークが危険にさらされている初期の兆候や、ネットワークに異常がないかどうかを確認してください」と述べています。
興味深いことに、ニューバーガー氏は、過去2、3ヶ月の間に大規模なランサムウェア攻撃の頻度が低下していることを指摘していますが、その理由については言及していません。
ニューバーガー氏
ダークウェブでヒットマン(殺し屋)を雇うとどうなる? / The Operator of a Dark Web Assassination Site Was Arrested in Russia(転載)~ロシアの事例~
technadu.com/operator-dark-…
ロシアのイジェフスク在住のセルゲイ・マグダノフ(38歳)が、自身のダークウェブ・プラットフォームを通じて注文された殺人事件に関与したとして逮捕されました。この事件は、2020年に開始されたFSBと内務省の捜査が成功したことを受けて、モスクワ市裁判所の手に委ねられています。当時、ロシア警察は、ウラジミール地方の麻薬ディーラーがライバルに命じられて起こした二重殺人事件の捜査に呼ばれ、これが最終的にマグダノフのデジタルトレースにつながった。
犯人が殺害を指示したサイトを知っていた警察は、そのプラットフォームとさらに多くの事件を結びつけ、点と点を結ぶことで、マグダノフにたどり着くことができました。この男は、暗号通貨と法定通貨の両方で支払いを受け付けており、偽のIDで登録したウォレットを使用していました。彼の家を襲撃したところ、500枚以上の銀行カード、1,000枚のSIMカード、多額の現金、数台の携帯電話とコンピューターが見つかりました。その場ですべてを押収し、分析にかけました。
ロシアでは、ダークウェブを利用した暗殺者の雇い入れは、残念ながらごく一般的に行われています。インターネット空間のプライベート性は、注文する側にとっても、犯行を行う側にとっても理想的だからです。マグダノフが逮捕され、機材が押収されたことで、近い将来、より多くの証拠が発見され、さらなる逮捕者が出る可能性があるが、サービスの利用者が注意を払っていれば難しいだろう。可能性としては、暗号通貨の取引履歴を追跡するのが一番ですが、その方法でもほとんどの場合は限られた結果しか得られないでしょう。
マグダノフは、仲介者としてプラットフォームを運営していただけでなく、殺人にも積極的に関与していた。捜査当局によると、彼は殺人の組織化、準備、武器・弾薬の入手、さらには犯行場所や暗殺者への指示にも関与していたという。このように、この男は殺人と違法な武器売買の容疑をかけられていますが、捜査が終了するまでは、さらに罪状が追加される可能性があります。
登録:
投稿 (Atom)