Recently in Security Category

またSQLインジェクションによる情報漏洩か。
最近、多いなあ。

asahi.com（朝日新聞社）：福島の高速バス予約サイトから情報流出　不正利用も - ネット・ウイルス - デジタル 2010年9月2日

　旅行会社「さくら観光」（福島県白河市）が運営する高速バスのインターネット予約サイトが不正アクセスを受け、約１７万件の個人情報が流出したことがわかった。

　同社によると、流出した個人情報は、２００５年１０月～１０年６月に同社のサイトから会員登録をした２１万６５０９件のうち１６万９５９５件の氏名やメールアドレス、ログインＩＤ、パスワード、銀行名、銀行口座番号などで、うち５万２０８８件にクレジットカード番号や有効期限の情報が含まれているという。

　同社は８月１６日にカード会社から不正利用の疑いがあると指摘を受け、民間の調査機関を使って調査したところ、韓国から不正アクセスをした形跡が見つかったという。

　何人の顧客がどの程度の被害を受けたかは把握していないが、同社は１日にホームページにおわびを掲載するとともに顧客にメールを送り、注意を呼びかけている。

　同社は東北と首都圏・関西などを結ぶ高速バス路線のチケットを販売しており、年間利用者は約４６万人。

Webサイトへの不正アクセスによる改竄で、フィッシング詐欺サイトが設置されていた=フィッシングのホスティングをさせられていた。

【セキュリティ ニュース】兵庫の就職支援サイトにフィッシング詐欺サイトが設置 - 個人情報漏洩のおそれも：Security NEXT

兵庫県が運営する求職者支援サイト「ひょうご・しごとネット」に不正アクセスがあり、サーバ上へフィッシング詐欺サイトが設置されていたことがわかった。

同サイトは、同県の委託により兵庫県雇用開発協会が運営しているもの。7月26日17時半ごろに同サイトのウェブサーバへ不正アクセスがあり、フィッシング詐欺サイトが設置された。

調査を行ったところ「PayPal」や「eBay」「craigslist」のフィッシング詐欺サイトが設置されていることが判明。フィッシング詐欺サイトには、国内4件を含む11件のアクセスが確認されている。

今回攻撃を受けたサーバには、氏名や住所、電話番号、メールアドレス、履歴など含む求職登録者情報445人分の個人情報が保存されていた。同データに対するアクセスの形跡は確認されていないが、外部へ流出した可能性もあるという。

同県では関係者に対して謝罪のメールを送信しているが、被害は確認されていない。今後は文書による謝罪を行うほか、セキュリティの強化など再発防止策を進める。

（Security NEXT - 2010/08/12 ）

カード情報漏洩の記事。
ウェブサイトへ不正アクセスというから、SQLインジェクションだろうか。

ネットスーパー8社の顧客カード情報1万2191件が流出 -INTERNET Watch

　株式会社NEO BEATは4日、同社直営および同社に事業を委託している7社のネットスーパーについて、顧客のクレジットカード情報1万2191件が不正アクセスにより流出したと発表した。

　対象となったネットスーパーは、NEO BEATの「お届け.com」のほか、ユニーの「アピタネットスーパー」、イズミヤの「楽楽マーケット」、大近の「Lucky&Pantry.net」、マルエツの「マルエツネットスーパー」、琉球ジャスコの「琉ジャスネットスーパー」、不二商事の「生鮮 TOP便ネットスーパー」、フジの「フジネットスーパー『おまかせくん』」。各ネットスーパーではサイトを一時停止するとともに、サイトに案内文を掲載。問い合わせ窓口を設けて、顧客からの対応に当たっている。

　NEO BEATによると、7月24日～26日にかけて同社のウェブサイトに対して、日本と中国の4つのIPアドレスから不正アクセスが行われ、データベース上のクレジットカード情報が窃取されたという。流出した情報は、カード番号、名義、有効期限などを含むクレジットカード情報1万2191件。

　各社が発表している情報流出件数は、ユニーが6272件、イズミヤが4720件、大近が395件、マルエツが237件、琉球ジャスコが187件、不二商事が179件、フジが125件。

　ユニーの発表によると、7月26日にユニーがクレジットカード会社からカード情報流出の可能性があるとの調査依頼を受けたことから、NEO BEATに対して調査を依頼。また、7月30日には不正使用と思われるカード番号の確認要請も受けているという。

　NEO BEATでは、セキュリティ会社のラックと共同で、流出した情報の詳細を調査していると説明。流出の可能性のあるカード番号については速やかに各カード会社と共有し、顧客に金銭的被害が発生しないよう対応していくとしている。
関連情報
■URL
　プレスリリース
　http://www.neobeat.co.jp/news/
　NEO BEAT「お届け.com」の案内文
　http://www.otodok.com/announce/index.html
　ユニー「アピタネットスーパー」の案内文
　http://www.uny.co.jp/oshirase/
　イズミヤ「楽楽マーケット」の案内文
　http://www.izumiya.co.jp/press/2010/08/post_153.php
　大近「Lucky&Pantry.net」の案内文
　http://www.lucky-pantry.com/accident/20100804.html
　マルエツ「マルエツネットスーパー」の案内文（PDF）
　http://www.maruetsu.co.jp/images/owabi_100805.pdf
　琉球ジャスコ「琉ジャスネットスーパー」の案内文
　http://www.r-jusco.co.jp/news/customer/2010/08/00298
　不二商事「生鮮TOP便ネットスーパー」の案内文
　http://www.topworld.jp/okaidoku/
　フジ「フジネットスーパー『おまかせくん』」の案内文（PDF）
　http://www.the-fuji.com/company/news/2010/pdf/20100804_netsuper.pdf

(三柳 英樹)

2010/8/5 16:12

米国国土安全保障省(DHS)が中心になって開発した新しい侵入検知/侵入防御システムSuricata 1.0に関する記事。
まず、そんなものを作ってたんだ。

Is open source Snort dead? Depends who you ask

Snortは死んだのか？答えは人による。

で、Snortとの関係を中心に記事にしている。
開発元Open Information Security Foundation (OISF)会長のMatt Jonkmanは、Snortは3.0が中止になってしまったしマルチスレッドやIPv6に対応もしないので、もう死んだも同然、といっている。

一方、Snort開発者でSourcefire CTOのMartin Roeschは、Snortはまだ使えるし、v6にも対応するし、マルチスレッド対応よりも実測性能で優位だ、といっている。

こんな争いが勃発してるとは。

カード情報漏洩の記事。

コーエーテクモ「GAMECITY」に不正アクセス、カード情報など漏えい -INTERNET Watch　コーエーテクモホールディングス株式会社は20日、同社グループが提供するエンターテインメント情報サイト「GAMECITY」に会員登録しているユーザーの個人情報が漏えいしたことを明らかにした。SQLインジェクションによる不正アクセスを受けたことが原因。

　16人分のクレジットカード情報が漏えいし、うち7人分は有効期限の日付けも含まれていた。また、メールアドレスも1807件漏えいし、うち1767件は「GAMECITY」のパスワード、3件はパスワードと電話番号、郵便番号、生年月日も同時に漏えいした。

　同社によれば、2009年6月10日から6月19日まで、および2010年3月25日から4月15日にかけて不正アクセスが断続的に行われていた。不正アクセス対策については4月17日付けで完了したという。該当者にはすでに、個別にメールで連絡している。

　なお、クレジットカード番号が漏えいしたユーザーに対しては、2010年3月25日以降のクレジットカードの利用明細を確認してほしいと呼びかけるとともに、不正請求が発生した際にはユーザーに負担をかけないよう対処するとしている。
関連情報
■URL
　プレスリリース（PDF）
　http://www.koeitecmo.co.jp/php/pdf/news_20100720.pdf

(増田 覚)

2010/7/22 16:57

通販サイトでウェブが攻撃され、カード情報漏洩。
SQLインジェクションか。

【セキュリティ ニュース】通販サイト「トリタスフラワー」に海外から不正アクセス - カード情報最大5964件流出のおそれ：Security NEXT

生花を扱う通販サイト「トリタスフラワー」が海外から不正アクセスを受け、顧客のクレジットカード情報が流出したことがわかった。

同サイトを運営しているフィンチジャパンによれば、2010年6月10日3時半前から同月21日5時半過ぎにかけて、中国や韓国のIPアドレスから同サイトに不正アクセスが行われ、データベース上のカード情報の流出したという。

2008年3月4日から2010年6月21日までに、同サイトにおいてクレジットカードを利用して商品を購入した顧客のカード番号、名義、有効期限など、最大5964件が流出の可能性がある。住所やメールアドレスなどカード情報に含まれない個人情報の流出については、否定している。

6月21日にクレジットカード会社よりカード情報の不正利用が発生した可能性があるとの連絡があり、問題が発覚した。同社では対象となる顧客を特定したうえで、7月8日より順次報告を進めている。

またクレジットカード会社と連携して、金銭被害の防止や、被害発生時の対応なども行う。同社では、より強固なセキュリティ対策を導入し安全性の確認を行うまで、同サイトを停止する。

（Security NEXT - 2010/07/12 ）

米ヒューストンの電力会社で、解雇されたDB管理者がハッキングを行って懲役1年かつ罰金10万ドルの判決を受けた。
Database Admin Gets 12 Months For Hacking Employer -- InformationWeek

犯人はSteven Jinwoo Kim、隣の国あたりの方ですかね、不適切な内容の通信を行ったために解雇された。Kimのネットワークアクセスは停止されたものの、VPN接続で認証なしで（？）ネットワークに侵入。DB管理者のアカウントでDBにアクセス。
DBに破壊工作を行ない、顧客データ15万人分をダウンロードした。
どうやって発覚したんだろう。

SonicWallが買収提案を受け入れた。
SonicWall directors accept $717M acquisition offer

$717M、買主は投資会社のThoma Bravo, LLC
業績は良かったらしい。

システム管理者のIDを使った詐欺の記事。
近鉄ビル元社員を詐欺容疑で逮捕　被害１０億円超 - 47NEWS（よんななニュース）

近畿日本鉄道の子会社「近鉄ビルサービス」（大阪市）の運転資金約１０億円をだまし取ったとして、大阪地検特捜部は１３日、電子計算機使用詐欺の疑いで元社員の逸崎良典容疑者（３６）＝奈良県橿原市＝を逮捕した。

　逮捕容疑は、経理課に在籍していた２００８年４月～昨年１１月、計７０回にわたり社内の銀行振り込みシステムを使い総額約１０億５２００万円の運転資金を自分名義の四つの銀行口座に振り込んだ疑い。

　捜査関係者によると、調べに「間違いありません」と容疑を認めている。

　同社が昨年１１月に業務上横領容疑で告訴。ほかにも現金約６００万円を自分の口座に入れた疑いもある。

　同社によると、振り込みシステムは経理課の担当者が取引先への支払額をパソコンで入力し、経理課長が専用のパスワードで承認、銀行側に振り込ませる仕組み。

　同社によると、逸崎容疑者は経理課に約１０年間勤務。システム導入時の担当者で、システム管理者専用のパスワードを使って侵入し、課長の承認を取り消して自分の口座も振込先に追加されるよう操作していた。
2010/05/13 11:53 【共同通信】

Facebookが独自の認証システムFacebook ConnectをやめてOAuthを採用する。

Facebook Adopts Open Standard for User Logins | Webmonkeyﾂ†| Wired.com

開発者達が求めているのはOpenIDじゃない。
彼らからはログインを単純に、簡単にして欲しいとはっきり言われている。
そのために単純で簡単なOAuth 2.0を採用する。
OpenIDは誰も望んでいない複雑さを加えることになる。

"Developers aren't asking for OpenID," Shepard said when the question was posed to the panel. "They're explicitly asking for us to make logins simpler and easier, not for us to implement OpenID. So now we're doing that by implementing OAuth 2.0, because it's simple and easy. Adding OpenID on top of it would just add a layer of complexity nobody is asking for."

OpenID is indeed very complex, and because of that, it suffers from usability problems that have kept it from being widely adopted.

"It's very easy to do user authentication over OAuth 2.0," Shepard said.