かなり直感的な話になるけど，セキュリティ人材の育成〜育成された人材の出先や待遇は充足しているか？（概要）にて，「個人的には，まったく充足していないね！という一言に尽きる．」と書いた． そりゃ，出先や待遇が充足していないところに，「セキュリテ…

この点については，以前日本記者クラブの記者会見とかJIPDECでの講演でも触れさせていただいたところではあるが，人材がなんでいないのか？（不足してるのか？）というところで（仮説混じりではあるけど）触れている． 元ネタは，「情報セキュリティ人材の育…

えーと，個人的には，まったく充足していないね！という一言に尽きる． この一点において，北野さんとオレの意見は一致を見たｗ で，この意見は，サイバーセキュリティ戦略（案）の中に文言として出ている 人材の発掘・育成を、採用・活用につなげていくこと…

まぁ，それ自体は喜ばしいことｗではあるのだけど，パブコメ募集にあたり，また色んな意見が出てくるようになった．これもまた喜ばしいこと．そして，今年の白浜シンポジウムでも夜はこういう話が出てきてたというのを聞いてたり．その一端として，北野さん…

きょうび攻撃者が嫌がるのは，「バレること」「捕まること」「おカネがかかること」なんではないかと思う今日このごろ． 裏を返すと，攻撃者が好むことは「バレないこと」「捕まらないこと」「おカネがかからないこと」なんではないかなと．「バレなきゃ捕ま…

書いてあることはおおよそ同意． ただ，それに加えてオレが感じるのは，「攻撃者に無用な情報を与えすぎている」というところ． 特に，残存しているCHANGELOG.txtなんかは，使っているソフトウェアのバージョン推測を容易たらしめる情報であり，残しておくこ…

リスト型アカウントハッキング攻撃とは，通常のブルートフォース攻撃とは違い，準備したIDとパスワードの一覧を用いてログイン試行を片っ端から行なっていく攻撃，と認識している． IDを固定してパスワードをあれこれトライしていくタイプのブルートフォース…

ネガティブなことをあれこれ書いたが，それでも評価できることは少なくとも2点ある． それは以下のとおり． 2013年5月7日に発生した事案に対し，5月9日には公開と注意喚起を実施している 事実をもとに取ったアクションについて報告を行っている システムの作…

ということで，周知の内容にも触れておこう． このような事態を起こし、情報が流出してしまった会員の皆様には、多大なご迷惑、ご心配をおかけいたしますことを、深くお詫び申し上げますとともに、メールアドレスとパスワードが悪用されてしまう可能性を考え…

まず，漏れてしまったもののうち，「暗号化します！」と言ってるのはパスワードだけというのが気にかかる． そして，不正アクセスによるお客様情報流出の経緯に関するお知らせには，以下の記述がある． クレジットカードについては、管理システムが今回問題…

周知内容を確認すると，以下のような対処を行った，とある． WEBシステムのセキュリティの見直しを行った上でのプログラム修正実施 安全性確認のため，サイト再開前にすべてのプログラムを精査 そして今後の予定は以下のとおり． データベース内に保存された…

5月7日深夜1：59までの間にご登録いただいた、合計30,568名の会員情報のうち，以下のものが漏洩したとある． メールアドレス（全部） パスワード（全部） 会員ID（一部） メールアドレスはそれだけで「こいつだ！」と個人を特定できる情報ではないため，それ…

別にこの類の情報を専門に追っかけてるわけではないのだけど，エクスコムグローバルさんのネタもあって少しだけ考察してみた…．

少し調べたらわかりました． McAfeeさんが運営してる，URLの属性とかをチェックしたりする，いわゆるReputation Systemのようですね．

TrustedSourceというサイトでURL評価を行えるということで，少し調べてたら，上野 宣さんのblogで以下のような結果がｗ要は「このサイトはリスクの高い悪意あるサイトです」ということを言いたいんだろうけど，これはひどいｗということで，カテゴリ修正の要…

出した日：2013年5月28日 戻ってきた日：2013年5月30日 ちなみに質問を出したタイミングでは，エクスコムグローバルによる本件関連のWebからの質問受付を開始してませんでした…．

当初は、最速のプレスリリースにて動いておりましたが、 5/7の一次報告書では7000件との事でしたが、情報がはっきり掴めていないと思われたので、事実確認をせず、正確でない情報をお伝えすることは無用な混乱を来すと考え、社内の判断で最終報告書を待って…

回答は以下のとおり．冒頭に「申し訳ございません」という文言とか入ってたけど，内容の解釈には一切関係ないので抜いてある． 当社の不始末により平成24年3月7日〜平成25年4月23日にお申し込み頂きましたお客様の情報に関しては、保管をしておりましたが、…

とか書いていられるような牧歌的な内容でもなんでもなかった… 内容は，2つの質問に対する回答から成る．以下，その2つの質問とそれに対する回答について考察をしてみよう．

当該情報は、平成23年3月7日〜平成25年4月23日にお申し込み頂きました、お客様の情報が対象（エクスコムグローバルからのリリース） 「GLOBALDATA」、及び「Global Cellular」で2011年3月7日〜2013年4月25日にクレジットカードをご利用された方が対象（DCカ…

@d-mateさんのTweet*1より．似たような話は質問してたりするが… 以下はTweetの内容． 話題沸騰のエクスコムグローバルにやられた。 コールセンターで確認できたのは「セキュリティコードのサーバ保存は、カード会社の許可なく自社判断でやっていました」との…

これはすごい． 確かに「売上を落とさない」という判断は，経営判断の1つだ．でもこの会社，明らかに信用失墜してるよね．「売上落とさず信用落とす」とでもいうのか？ ユーザー周知までに時間がかかった理由を「経営判断」とコメントしている。4月後半から…

2つほどにまとめてXCOMGLOBALさんに質問をしてみたよ！ …回答来るかなぁ…．

北野さんのblogにも，似たような論点の話がかかれてたりしました．

今回のXCOMGLOBALの件は，適切な対応を行うための機能が決定的に欠けてたのではないか？と思わせるような（事実から行える推測も含む）事実の塊であった． 完全に云々というわけにはいかないだろうが，少なくともリスクマネジメント系の要員がいれば，ここま…

攻撃内容が「SQLインジェクションによる攻撃」とあるのに，「データベースサーバーに接続するためのID及びパスワードの全ての変更をしております」という内容がいかにもこっけいである． もちろん，他の侵入経路を潰すという点では有効なのだが，SQLインジェ…

漏れた情報の特性：平成23年3月7日〜平成25年4月23日に申込のあった方々のもの 漏れた情報：名義とカード番号と有効期限とセキュリティコードと住所 セキュリティコードがなんで保存され，漏洩したのか理解に苦しむ（というか，あってはならない）． さらに…

5月15日に警察に相談＆所轄官庁への第一報とあるけど，もうちょい早く出来なかったのか？という疑念が出てくる． そして，実際に被害を被る可能性のあるユーザに対しては，実際の流出に関する疑義が提示されてから1ヶ月以上放っておかれるというていたらく．…

「4/23 23:00 クレジットカードを預からない運用に切り替え」とあるが，この時点ですでに利用した（＝カード情報を流出させられた利用者）に対するフォローアップの話はなし．さらに言うならば，実施対応策に以下のような内容があるが，これで本当に十分か？…

オレは，インシデント発生したサーバ類は，「発覚時の状態を極力保つ」という原則があると思っていたのだが，どうもXCOMGLOBAL社の常識は違ったらしい．4/23 22:00に，DBサーバからレコード類を全部削除したとのこと． えーと…保全は？ ちなみにPCFのWebサイ…