情報不正流出相次ぐ、ソニー系カードなど2社 経済産業省は30日、ソニー系クレジットカード会社とUFJニコスの2社の契約社員らが個人情報を不正に入手、第三者に売却していたとして、個人情報保護法に基づき、同法違反状態の是正や再発防止策を取るよう両社に勧告した。ソニーファイナンスインターナショナル(東京・港)の発表によると、同社の契約社員と派遣社員、アルバイトの計4人が不正に信用情報機関に個人情報を照会、データを外部に売却していた。これまで判明したのは24人分だが、流出した個人情報は全体で1000人分を上回る見通し。
4人は割賦販売の申し込み審査をするカスタマーセンター北海道(札幌市)勤務。札幌市内の男から教えられた氏名や電話番号などを基にカードの利用状況を含む信用情報を検索、この男にメールなどで流していた。
UFJニコスの発表によると、同社の元嘱託職員がカード会員を含む673人分の氏名や住所、ローンの支払い状況などの信用情報を不正に照会、データを知人に売却していた。(07:00)
2007年3月 Archives
TJXが財務報告を行い、クレジットおよびデビットカード番号の流出は4570万件。その他にまだ犯人が捕まっていない件で13万件。
この一連の事件による被害額はTJXの推定で5百万ドルになるだろう。
UPDATE--TJX data theft called largest ever: 45.7M credit card numbers - Network World
どんどん話が大きくなる。
ITmedia エンタープライズ:OASIS、Webサービスセキュリティ仕様を標準認定
OASIS、Webサービスセキュリティ仕様を標準認定 「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準として認定された。 2007年03月29日 09時53分 更新 国際標準化団体のOASISは3月27日、Webサービスセキュリティの新仕様「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準として認定されたと発表した。両仕様ともOASISのWS-SX技術委員会で策定され、安全なメッセージ交換のための仕様であるWS-Securityのポリシーと拡張機能を定義。信頼できる複数のSOAPメッセージ交換実現を目指している。
WS-Trustは、セキュリティトークンの発行、更新、認証および、信頼関係の確立、発見、仲介のための手法を提供する。Webサービスフレームワーク(SOAPやWSDLなど)を通信に利用しているアプリケーションで、WS-Trustを使ってセキュリティ信用情報を入手・交換することが可能になる。
WS-SecureConversationは、拡張版の安全なセッションを確立・維持するための仕様。WS-Securityが単一メッセージのセキュリティに焦点を当てているのに対し、WS-SecureConversationでは2者の間でセキュアなメッセージを何度もやり取りする場合のセキュリティと効率性が強化される。
PCの時刻が変だと思ったら、NICTのNTPにつながらない。Pingも通らない。
こまるなあ。
おかげで録画した映画が途中で切れててがっかり。
やっぱりNISTの方が確実か。
NIST Internet Time Servers
今度からは2箇所に聞きに行くようにしておこう。
TJXの情報漏洩事件では、Amexから役員を迎えていたにもかかわらずPCIに準拠していなかったことが注目されてしまった。
焦点は、クレジットカード番号データの保護をしていなかったこと。
対応はまず、PCI認定のapproved scanning vendor (ASV). qualified security assessor (QSA) に相談する。
PCI compliance after the TJX data breach
PCI compliance after the TJX data breach
Joel Dubin
03.07.2007
The recent TJX Companies Inc. data breach refocused attention on credit card security, retailers and the Payment Card Industry Data Security Standard (PCI DSS).
major players in the approved list of QSAs and ASVs: Foundstone, Symantec, Cybertrust, LUHRQ, Ernest and Young and KPMG are some common ASVs; QSAs include Symantec, ISS, Remington, and Neohapsis.
はてなのサーバーに不正侵入、ユーザー情報取得などの形跡は無し
はてなは14日、サービスを提供する2台のサーバーに9日から不正な侵入が行なわれ、サーバー上にプログラムを設置されるなどの被害が発生したことを明らかにした。データベースサーバーなどへのアクセスの形跡などは確認されておらず、ユーザー情報の不正取得やサービスのデータ改竄などの可能性は低いとしている。
今回の不正侵入はサーバー群の入り口にあたるサーバーのうち2台に対して、機械的に総当たりする方法によってアカウントが不正取得されたという。このアカウントによりftp scanner、irc botプログラムが設置され、外部に対して実行される被害が発生した。
はてなでは、14日午前4時頃にこの事実を確認し、午前6時頃に不正なアクセスを遮断。現在、継続的に詳細な調査、対策を実施しているという。これまでに、内部に存在するデータベースサーバーなどへのアクセスの形跡については発見されておらず、ユーザー情報が取得されたり、サービスのデータが改竄された可能性は低いとしている。
ここまで大規模だと、もうあぜん。
DNPの個人情報漏洩事件で新たな被害明らかに - のべ43社分863万件に:Security NEXT
内部犯行。
2006年2月に大日本印刷の個人情報が流出し、業務委託先元従業員が逮捕された事件で、さらなる被害が明らかになった。保険会社や信販会社、プロバイダをはじめとする43社分863万7405件の個人情報が不正に持ち出されていたという。 今回の事件は、2月に大日本印刷の業務委託先の元社員が逮捕され、大日本印刷が受託していたジャックス会員のクレジットカード番号や有効期限などを含む個人情報15万件の漏洩が判明。さらに警察の押収物から今回あらたに流出が判明したもの。 容疑者は、2001年5月から2006年3月まで同社の電算処理室内で業務委託先社員として勤めており、約9割が2001年から2004年ごろまでのデータが持ち出されていたものだ。また弥生やディーシーカードとUFJニコスの一部など、流出経路が不明としながらも、昨年以前に個人情報漏洩の事実を把握し、公表していた事件も複数あり、今回流出経路が明らかになったことになる。
アメリカンホーム保険会社 150万4857件 氏名、住所、電話番号、性別、生年月日、保険証券番号、保険料、一部でクレジットカード番号など
イオン 58万1293件 氏名、住所、電話番号、生年月日、性別
NECビッグローブ 21万4487件 氏名、住所、一部で電話番号、生年月日、性別、メールアドレス、ユーザーID、契約コース名、利用状況など
NTTファイナンス 64万225件 住所、氏名、電話番号、一部クレジットカード番号など
カルピス 19万5552件 氏名、住所、フリガナ、年齢、性別
近畿日本ツーリスト 6万5043件 氏名、住所、電話番号、一部で生年月日、勤務先、勤務先住所、勤務先電話番号など
KDDI 11万3696件 住所、氏名
京葉銀行 5万6478件 氏名、住所、電話番号、性別、生年月日、店番号、顧客番号
ジャックス 15万件 氏名、住所、性別、生年月日、電話番号、クレジットカード番号、有効期限
ソネットエンタテインメント 5万9026件 氏名、住所
千葉トヨタ自動車 2万2788件 氏名、住所
ディーシーカード 33万7480件 氏名、住所、生年月日、性別、電話番号、クレジットカード番号
トヨタカローラ神奈川 4万3953件 ダイレクトメールに利用した情報
トヨタ自動車 27万3277件 氏名、住所
ニフティ 3万3318件 氏名、住所、電話番号、生年月日、ID、利用コース
日本ヒューレット・パッカード 16万3111件 ダイレクトメールに利用した情報
弥生 16万4304件 登録者名、登録住所、登録電話番号、担当者名
UFJニコス 119万336件 氏名、住所、一部でカード番号、生年月日、性別、電話番号など
顧客データが流出したTJXに関して、罰金が適用されることはほぼ間違いない、という記事。
PCI DSS auditors see lessons in TJX data breach
By Bill Brenner, Senior News Writer
01 Mar 2007 | SearchSecurity.com
RSS FEEDS: Security Wire Daily News
TJX Companies Inc. violated some of the basic tenets of the PCI Data Security Standard (PCI DSS) and according to several PCI auditors, it will pay a heavy financial price. They said companies should study the TJX security breach for clear lessons on what not to do with customer data.Roger Nebel, director of strategic security for Washington D.C.-based FTI Consulting, said fines will almost certainly be imposed on TJX because it was clearly negligent in holding onto unencrypted cardholder data, a direct violation of the PCI DSS.
:
When reviewing what merchants are doing to protect their customers' credit card data, auditors are typically finding that:
Encryption is often inconsistent across a company's computer system. Credit card data may be protected in some instances, but not others.
Some companies unnecessarily store credit card data and, making matters worse, fail to isolate the data from traveling across less secure parts of the network.
Some IT shops fail to keep a log of network activity, making it nearly impossible to spot instances where malicious hackers or anyone without authorization are trying to access credit card data.
Some companies don't conduct regular scans for software vulnerabilities and abnormal activity.
Companies that thought they were all set after complying with such regulations as the Sarbanes-Oxley Act and HIPAA discovered their controls were not adequate to meet the PCI DSS.
At the very least, TJX violated the PCI DSS by storing unencrypted cardholder data, said James DeLuccia, an independent auditor based in Atlanta, Ga.
"Credit and debit card data is something the PCI Security Standards Council will be concerned about," he said. "You're not supposed to store that kind of data, and [TJX] had it online and unencrypted."If you don't know where your data is traveling and where it is stored, you can't secure it.
Joseph Krause
senior security engineer, AmbironTrustWave
小学生のころに、風呂やにポスターが貼ってあったのを見たことがあった。
たまたまTVでやってるのを見つけたのはもう終わりのほうだったけど、目が離せなくなっちゃった。最近のCGだらけの映画なんて、メじゃない。
なんてこった。すごい。
トラ トラ トラ!
東野英治郎 始まったばかりだ。まだ先は長い。
これは安い。
A4片面フルカラー100部で\2,800.-
カタログ印刷・チラシ印刷・フライヤー印刷・ポスター印刷 -印刷通販プリントパック
ジャックス事件の関連記事。
個人情報漏えい事件を斬る(80)通販詐欺で発覚した企業内部の情報漏えい:ITpro
大日本印刷株式会社が業務を委託したシステム開発会社の元社員が逮捕されたという。逮捕された元社員は,2005年2月~5月の間,大日本印刷の電算処理室で作業していた際,会員情報を自分の記録媒体に複写して持ち出しており,警視庁捜査三課が押収したデータには,カード番号,有効期限,氏名,性別,生年月日,郵便番号,住所,電話番号が記載されていたという。外部委託先の関係者による典型的な個人情報漏えい事件だが,大量の個人情報が持ち出されたのは,個人情報保護法の本格施行を挟んで各企業が対策を強化していた時期である。
インターネットでつながった企業内の情報漏えいと外の通販詐欺
サンタナのバンドにオリアンティがゲストで入ったらしい。
良いねえ。こんなライブ観たい。PRSが並んじゃって豪華。
YouTube - Orianthi Santana @ NAMM 2005 Part 1
YouTube - Orianthi Santana @ NAMM 2005 Part 2
最後のほう5分位のところからカルロスがリードしてジャムってるのが面白い。
NAMMショーのPRS20周年パーティにて。
真ん中のおっさんは誰だ? ああ、ひょっとしてこの人がPaul Smithさん?
ピンでステージやったときの写真。
緑色のギターなんて、持つ勇気がないっす。でも、すごい木目。
こっちのブースの演奏の方がオリアンティたんのプレイは楽しめる。
YouTube - Orianthi PRS Here on Earth @ NAMM 2006
このイベントには、パットラとMartin Barreもプレイしたらしいが。ようとべには、なさそうだねえ。
せめて、写真でも。
Pat Travers ギターはひかねーのか、おめえは。
Martin Barre うわっこんなじじいになったか。
オラクルデータベースを攻撃する新手法が登場--Black Hatカンファレンスで - CNET Japan
文:Joris Evers(CNET News.com)
翻訳校正:編集部
2007/03/02 12:49
バージニア州アーリントン発--新たな攻撃手法が、Oracleのデータベースソフトウェアに存在する共通のバグをさらに危険なものにすると、セキュリティ研究者が警告した。PL/SQLインジェクション脆弱性は従来、データベースで「CREATE PROCEDURE」命令を使用できる権限を持っていなければ、悪用できないと考えられてきた。また、この権限はごく一部のユーザーにしか与えられていない。だが、カーソルインジェクション手法は、データベースへのアクセスが可能なユーザーすべてに、このような脆弱性の悪用を可能にしてしまうと、Litchfield氏は話している。
通知のテスト
ITmedia エンタープライズ:Oracle DBへの新種攻撃手法、Black Hatで発表
2月28日から3月1日までワシントンで開催されるBlack HatにOracleが登場する。このセキュリティカンファレンスではOracle製品のセキュリティ(あるいはセキュリティの不備)に関する2つのブリーフィングが予定されている。 情報セキュリティサービス会社、Argenissの創業者であるシーザー・セルード氏は、「Practical 10-Minute Security Audit: The Oracle Case」(10分でできる実用的セキュリティ監査:Oracleの場合)と題されたプレゼンテーションで、Oracle製品に関して少なくとも1つの脆弱性と攻撃コードを発表する予定だ。これに関連するテーマとして(Oracle製品にフォーカスしたものではないが)、セキュリティ/コンプライアンスベンダー、Impervaの共同創業者であるアミチャイ・アミチャイ・シュルマンCTO(最高技術責任者)は、「Danger from Below: The Untold Tale of Database Communication Protocol Vulnerabilities」(下からの危険:データベース通信プロトコルの脆弱性の知られざる事実」と題されたブリーフィングを行う。
しかしOracleにとって最悪の発表は、デビッド・リッチフィールド氏のプレゼンテーション「Advanced Oracle Attack Techniques」(Oracle攻撃の高度なテクニック)になりそうだ。
