【転載】”ZIP”とか”FTP”とかをブランド名に使うのはどうかと思う。。。

ZIPAIR、航空運送事業許可を取得バンコクに5月、ソウルへ7月就航 - TRAICY（トライシー）

FTPがまさかのこの略とは。。。:

FTPがまさかのこの略とは。。。

【転載】不正アクセスで問合顧客の情報が流出～想定損害賠償額は1.8億円程度か～

不正アクセスで問合顧客の情報が流出 - ALL CONNECT:

スマホEC事業や通信サービスなどを展開するALL CONNECTは、不正アクセスを受け、顧客情報が流出したことを明らかにした。

同社によると、脆弱性を突く不正アクセスを受けたもので、2012年から2015年にかけて、同社や関連会社の集客サイトへ問い合わせを行った顧客の個人情報が流出した可能性があるという。

同社の3649件をはじめ、関連会社Link Lifeの9866件、フルコミット（旧ピークライン）の1440件など、あわせて1万4955件の氏名や住所、電話番号、メールアドレスが流出した可能性がある。

2月27日に同社が利用するクラウドサーバ事業者より不正アクセスについて指摘があり、問題が発覚。ログを調べたところ、顧客情報をはじめとする機密情報の一部がダウンロードされていることが3月3日に判明したという。

同社では同月12日に関西情報センター、同月16日に日本情報経済社会推進協会（JIPDEC）へ報告。その後5月18日になって原因や被害の全容を把握するため、外部事業者へ調査を依頼。7月31日に報告を受けたという。

顧客に対しては、11月4日より電話やメール、書面などを通じて報告し、身に覚えのない連絡などに注意するよう呼びかけるという。

インシデント報告バックアップ

【転載】鍼灸や医療など複数運営通販サイトで情報流出～想定損害賠償額は3,000万円程度か～

鍼灸や医療など複数運営通販サイトで情報流出 - メイプル:

メイプルが運営する鍼灸や医療、介護分野の複数通信販売サイトにおいて、利用者のクレジットカード情報が外部へ流出し、悪用された可能性があることがわかった。

鍼灸師や柔整師向けの通信販売サイト「メイプルショップ鍼灸サイト」をはじめ、「メイプルショップ医療向けサイト」「メイプルショップ介護サイト」「全国鍼灸マッサージ協会オンラインストア」など4サイトにおいてクレジットカード情報が流出し、不正に利用された可能性がある。

6月26日にクレジットカード会社より、情報流出の可能性について連絡があり発覚した。システムの脆弱性を突く不正アクセスが原因で、いずれも2019年8月28日から2020年6月26日にかけて顧客が決済に利用したクレジットカード情報が対象。

「メイプルショップ鍼灸サイト」では775件、「メイプルショップ医療向けサイト」は299件、「メイプルショップ介護サイト」は14件、「全国鍼灸マッサージ協会オンラインストア」は59件が被害に遭った可能性がある。クレジットカードの名義、番号、有効期限、セキュリティーコードなどが含まれる。

外部事業者による調査は8月26日に終了しており、9月10日に警察へ被害を申告、10月5日に個人情報保護委員会へ報告した。顧客に対しては、11月10日よりメールや書面を通じて経緯を報告し、謝罪するとしている。

報告書バックアップ

【転載】伊藤忠商事のサイバーセキュリティ

S⃣ A⃣ S⃣ A⃣ retweeted: 1で、2で具体策と紹介しているから気になる方には申し訳ないな、と思い講演資料2もあげます。我々の仕組みの一部ですが、こんなポイントにこんな小技を使うと効果があるのか、という感じで見ていただければ。なお他の施策も知りたい他CSIRTの方は見学に来ていただけましたら slideshare.net/MotohikoSato1/…:

S⃣ A⃣ S⃣ A⃣ retweeted:

1で、2で具体策と紹介しているから気になる方には申し訳ないな、と思い講演資料2もあげます。我々の仕組みの一部ですが、こんなポイントにこんな小技を使うと効果があるのか、という感じで見ていただければ。なお他の施策も知りたい他CSIRTの方は見学に来ていただけましたら

slideshare.net/MotohikoSato1/…

バックアップ

【転載】カプコンでサイバー攻撃発生 / Gaming company Capcom hit by cyberattack

Gaming company Capcom hit by cyberattack:

日本のゲーム開発会社であるカプコンは、同社のシステムの一部に影響を及ぼすサイバー攻撃の被害に遭ったことを明らかにしました。ストリートファイター」や「バイオハザード」をはじめとする人気ゲームを多数リリースしているカプコンは、月曜日に侵入の兆候にいち早く気付き、攻撃の拡大を防ぐために迅速な対応を行ってきました。

"2020年11月2日の早朝から、カプコングループのネットワークの一部で、電子メールやファイルサーバーを含む特定のシステムへのアクセスに影響を与える問題が発生しました "と、同社のウェブサイトに掲載されている通知を読んでください。

同社は、今回の攻撃の犯人や侵入方法については明らかにしていないが、不明な第三者が不正アクセスを行ったことを確認しており、社内ネットワークの一部の運用を停止している。

ゲーム開発者は、現在のところ顧客情報が漏洩したことを示唆する証拠はないと主張しています。とはいえ、調査はまだ進行中であるため、結論を出すのは時期尚早かもしれません。

カプコンは、今回の事件は、当社のゲームをオンラインでプレイするための接続に影響を与えるものではなく、当社のウェブサイトへのアクセスに支障をきたすものではないとしています。しかしながら、ご迷惑をおかけした関係者の皆様にはお詫びを申し上げます。

また、カプコンは、IRフォームからのお問い合わせには対応しないことをお知らせしています。

"カプコンは、「2020年11月2日に発生したネットワークの問題を受けて、現在、このフォームからのお問い合わせおよび/または資料請求に対応することができません。その間、同社は警察や当局と協力して事件の調査を行うとともに、システムの正常な稼働状態への復旧に努めているとのことです。

侵入者が個人情報に手をつけたわけではないようですが、セキュリティ侵害で得たデータはフィッシング攻撃に利用されることが多いようです。カプコンのアカウントをお持ちの方は、十分に警戒してください。

ゲーム業界は 2023年までに 2,000 億米ドルの価値があると予測されており、企業とプレイヤーの両方が脅威の標的となるのは当然のことです。コンテンツ・デリバリー・ネットワーク・プロバイダーのアカマイは、2018年7月から2020年6月までの2年間に業界内で100億件を超えるクレデンシャル・スタッフィング攻撃が観測され、2019年7月から2020年6月までの間にゲーム業界を標的とした3,000件を超える明確な分散型サービス拒否（DDoS）攻撃が観測されたと述べています。

ー以下原文ー

Japanese video game developer Capcom has disclosed that it was the victim of a cyberattack that affected some of its systems. The publisher of a long list of popular franchises, including Street Fighter and Resident Evil, first noticed signs of the intrusion on Monday before apparently taking swift action to prevent the attack from spreading across its systems.

“Beginning in the early morning hours of November 2, 2020 some of the Capcom Group networks experienced issues that affected access to certain systems, including email and file servers,” reads the notice on the company’s website.

While the company did not disclose the culprit behind the attack or the method through which its systems were breached, it did confirm that an unknown third-party gaining unauthorized access to its systems, which led Capcom to suspend some of its operations on its internal networks.

The game developer claimed that currently there is no evidence to suggest that any that customer information was compromised. Having said that, it may be too early to make any conclusions as the investigation is still ongoing.

The company went on to assure players that the incident had no bearing on the connections used to play the studio’s games online, nor did it hinder access to its websites. However, Capcom did issue an apology to any of its stakeholders who were inconvenienced by the situation.

The Japanese game publisher also shared an announcement warning that it won’t be responding to contact requests made through its investor relations form.

“We are currently unable to reply to inquiries and/or to fulfill requests for documents via this form following the network issues that began November 2, 2020,” said Capcom. In the meantime, the company is working with the police and authorities to investigate the incident, as well as to restore its systems to normal running order.

While the intruders don’t seem to have got their hands on people’s personally identifiable information, data harvested from security breaches is often used for phishing attacks. So if you have a Capcom account, you’d be well advised to remain vigilant.

With the gaming industry projected to be worth US$200 billion by 2023, it’s no wonder that both companies and players prove to be an attractive target for threat actors. Content delivery network provider Akamai stated that it observed over 10 billion credential-stuffing attacks within the industry over a two year period between July 2018 and June 2020, and over 3,000 distinct Distributed Denial-of-Service (DDoS) attacks targeting the gaming industry between July 2019 and June 2020.

【転載】IPA、DX認定制度の申請受け付けを開始

IPA、DX認定制度の申請受け付けを開始:

　情報処理推進機構（IPA）は11月9日、経済産業省による「DX認定制度」のウェブ申請の受け付けを開始した。

　DX認定制度は、5月15日施行の「情報処理の促進に関する法律の一部を改正する法律外部リンク」に基づいて、デジタルトランスフォーメーション（DX）を推進する上でのビジョンや戦略、体制などが準備されている事業者を経済産業省が認定する。IPAが事務局を担当している。

　申請は通年可能で、IPAが公開しているガイダンスに従って申請書をポータルサイトに提出する。IPAが審査し、認定を経済産業省が行う。認定結果はIPAが通知するとしており、申請から通知までは60日程度（土日、祝日、年末年始を除く）という。

　認定の有効期間は2年で、該当事業者はIPAサイトで公表される。なお、経済産業省と東京証券取引所の「DX銘柄2021」では、DX認定を申請していることが条件になるという。

【転載】ガートナー：2020-2021年のセキュリティプロジェクトトップ10

Information and Cybersecurity : Top 10 Security Projects for 2020-2021:

Gartner recommends that security and risk management leaders focus on these 10 security projects to drive business-value and reduce risk for the business.

No. 1: Securing your remote workforce

No. 2: Risk-based vulnerability management

No. 3: Extended detection and response (XDR)

No. 4: Cloud security posture management

No. 5: Simplify cloud access controls

No. 6: DMARC

No. 7: Passwordless authentication

No. 8: Data classification and protection

No. 9: Workforce competencies assessment

No. 10: Automating security risk assessments

----

セキュリティおよびリスク管理のリーダーは、これらの10のセキュリティプロジェクトに焦点を当てて、ビジネス価値を高め、ビジネスのリスクを軽減する必要があります。

「リモートの従業員のセキュリティを確保しようとしていますが、ビジネスの生産性を妨げたくないですか？」「セキュリティ機能のリスクとギャップを特定するのに苦労していますか？」「CISOは時間とリソースをどこに集中させるべきですか？」

セキュリティとリスク管理の専門家は常にこれらの質問をしますが、本当の問題は、絶えず変化するセキュリティ環境において、どのプロジェクトが最大のビジネス価値を推進し、組織のリスクを軽減するかということです。

2020年の仮想GartnerSecurity＆Risk Management Summitで、シニアディレクターアナリストのBrian Reedは、次のように述べています。。「私たちは、基本的な保護の決定を超えて、検出と対応、そして最終的にはセキュリティインシデントからの回復への革新的なアプローチを通じて組織の回復力を向上させる必要があります。」

重要なのは、ビジネスの実現に優先順位を付け、リスクを軽減し、それらの優先順位をビジネスに効果的に伝えることです。

ガートナーの予測に基づいてCOVID-19の影響を調整した、今年のトップ10のセキュリティプロジェクトは、リスク管理とプロセスの内訳の理解に重点を置いた8つの新しいプロジェクトを特徴としています。重要度の高い順に記載されていないこれらのプロジェクトは、独立して実行できます。

No. 1：リモートワーカーの保護

ビジネス要件に焦点を当て、ユーザーやグループがどのようにデータやアプリケーションにアクセスしているかを理解します。最初のリモートプッシュから数ヶ月が経過した今、アクセスレベルが正しいかどうか、セキュリティ対策が実際に作業を妨げていないかどうかを判断するために、ニーズ評価と変更点のレビューを行う時期です。

2番目：リスクベースの脆弱性管理

すべてにパッチを当てようとするのではなく、実際に悪用可能な脆弱性に焦点を当ててください。脅威の一括評価を超えて、脅威インテリジェンス、攻撃者の活動、内部資産の重要性を利用して、実際の組織リスクをよりよく把握しましょう。

No. 3：拡張検出および応答（XDR）

XDRは、複数の独自コンポーネントからデータを収集し、相関させる統合セキュリティおよびインシデント対応プラットフォームです。プラットフォームレベルの統合は、後から追加されるのではなく、導入時に行われます。これにより、複数のセキュリティ製品が1つに統合され、全体的なセキュリティの成果が向上する可能性があります。企業は、セキュリティを簡素化し、合理化するために、この技術の使用を検討すべきである。

4位：クラウドセキュリティ態勢管理

組織は、IaaSとPaaSの間で共通のコントロールを確保し、自動化された評価と修正をサポートする必要があります。クラウド・アプリケーションは非常に動的であるため、自動化された DevSecOps スタイルのセキュリティが必要です。クラウドのセキュリティアプローチ全体でポリシーの統一性を確保する手段がなければ、パブリッククラウドのセキュリティを確保することは難しいでしょう。

参考資料：クラウドセキュリティのためのガートナーのハイプサイクルからのトップアクション、2020

No. 5：クラウドアクセス制御の簡素化

クラウドのアクセス制御は通常、CASBを介して行われます。CASB は、ポリシーの施行とアクティブ・ブロックを提供できるインライン・プロキシを介したリアルタイムの施行を提供します。また、CASBは、例えば、トラフィックの忠実性をより確実にし、セキュリティアクセスを理解するために、監視モードで開始することにより、柔軟性を提供します。

6位：DMARC

組織は電子メールを認証の単一ソースとして使用しており、ユーザーは本物のメッセージと偽物を見極めるのに苦労しています。DMARC（ドメインベースのメッセージ認証、報告および適合性）は、電子メール認証ポリシーです。DMARCは、電子メールセキュリティのための総合的なソリューションではなく、全体的なセキュリティアプローチの一部であるべきです。しかし、送信者のドメインとの信頼と検証の追加レイヤーを提供することができます。DMARCはドメインのなりすましを助けることはできるが、すべての電子メールセキュリティ問題に対処することはできない。

No. 7：パスワードなしの認証

従業員は、個人の電子メールと同じパスワードを仕事用のコンピュータに使用することを考えないかもしれませんが、それはセキュリティ上の大きな頭痛の種となる可能性があります。機能的にはいくつかの異なる方法で機能するパスワードレス認証は、セキュリティのためのより良いソリューションを提供しています。目標は、信頼を高め、ユーザーエクスペリエンスを向上させることであるべきです。

No. 8：データの分類と保護

すべてのデータは同じではありません。万能型のセキュリティアプローチでは、セキュリティが多すぎる領域と少なすぎる領域が作られ、組織のリスクを増大させます。セキュリティ技術のレイヤー化を始める前に、まずポリシーと定義から始めて、プロセスを正しく理解しましょう。

No. 9：労働力コンピテンシー評価

適切なスキルを持つ適切な人材を適切な役割に配置する。ハードな技術的スキルとソフトなリーダーシップの専門知識を組み合わせることは、非常に重要ですが、やりがいのあることです。完璧な候補者は存在しませんが、プロジェクトごとに5～6つの必須コンピテンシーを特定することができます。サイバーランニングやサイバーシミュレーション、ソフトスキルの評価など、さまざまな方法でコンピテンシーを評価しましょう。

No. 10：セキュリティリスク評価の自動化

これは、セキュリティチームがセキュリティ運用、新規プロジェクト、またはプログラムレベルのリスクに関連するリスクを理解するための一つの方法です。リスクアセスメントは、完全にスキップされるか、限定的に行われる傾向があります。このような評価を行うことで、限られたリスクの自動化と、リスクギャップが存在する場所の可視化が可能になります。