セキュリティ Feed

2019年4月14日 (日)

アマゾンとHIPAAコンプラ

アマゾンの音声アシスタントAlexaが、ヒッパー(HIPAA Compliant)に対応した。HIPAAはHealth Insurance Portability and Accountability Actの略称。米国の健康保険のポータビリティと責任について定めた法律だ。

 

HIPAAはカード業界のカード情報セキュリティ基準PCI-DSSに相当するもの。個人の健康に関するセンシティブなデータの厳格な保護を求めている。

 

アマゾンはアレクサのSkill開発者向けのプログラムを発表したが、音声によって簡単にヘルスケアできるようにするもの。決済や特典管理、コーチングなどが含まれている。

 

音声アシスタントAlexaによって、アマゾンは既存ヘルスケア業界に一石を投じた。文字入力の手間なく、音声アシスタントが優しく健康管理をしてくれる。そういう時代の到来だ。

Alexaaasssss

2019年4月 9日 (火)

大量に晒されたフェイスブック流出データ

フェイスブックのセキュリティはいかに甘いか。それを思い知らされるできごとが、またまた起きた。フェイスブックのデータがインターネットに晒されているという。

 

ひとつはメキシコのメディア会社Cultura Colectivaからの流出で、5億4,000万件を超えるレコード。フェイスブックIDやアカウント名、コメント、お気に入りなどで、146ギガバイトになる。

  

セキュリティ会社のUpGuardがその実態を4月3日公表した。

 

フェイスブックのポリシーは、フェイスブック情報をパブリックデータベースに保存することを禁止している。この問題が発覚してフェイスブックはアマゾンと協力し、AWSに格納されていたデータを削除したそうだ。

Fbdataexposure


 

2019年4月 1日 (月)

GとFBから110億円をだまし取ったワル

本当にこんなことができるのだろうか。1億ドル、日本円にして110億円をグーグルとフェイスブックからだまし取ったワルがいる。リトアニア人のEvaldas Rimasauskasとその仲間だ。

 

その手口とはEメールで不正な請求書を送りつけるというもの。米国司法省によると、2013年から2015年にかけて、1億ドル以上の請求書を送りつづけたという。請求書は一見本物に勘違いするほどの精度だった。

 

グーグルやフェイスブックと実際に取引がある台湾のハードウェアメーカーのQuanta Computerの名を語って詐欺におよんだ。請求支払先はラトビアやキプロスに開設した複数の銀行口座。

 

そこに入金されるとすぐに、スロバキア、リトアニア、ハンガリー、香港などの銀行口座に送金し足跡がつかないようにしていた。

 

しかし、グーグルやフェイスブックはこれに気づかなかったのかという疑問が残る。1億ドルは巨大IT企業にとっては、端金なのだろうか。

Fakessss

2019年3月30日 (土)

厳密本人認証への対応

決済サービスの利便性を高めるためのオープンバンキングが欧州で進んでいる。2018年1月に施行されたPSD2(決済サービス指令)だが、2019年9月14日からその要求が厳しくなる。

 

その名は「Strong Customer Authentication(厳密本人認証):SCA」。オンライン不正をなくし、安全な取引を推進するのが目的だ。

 

オンラインサイト運営事業者は、チェックアウト時の本人認証に以下の3つのうち2つを取得しなければならない。

 

  1. 顧客のみが知っていること(パスワードやPIN)
  2. 顧客が持っているもの(電話やハードウェアトークン)
  3. 顧客であること(指紋や顔)

 

これはけっこう面倒だ。顧客主導(Customer-Initiated)のオンラインカード決済や銀行振込に要求される。

 

Strongssss

2019年3月27日 (水)

アップルがプライバシー広告で訴求したこと

GAFAへの圧力が世界中で強まっている。個人の膨大なデータを収集しているからだ。

 

データを勝手に使って、誘導されるのではないか。データを第三者に渡し、プライバシーがなくなるのではないか。という懸念が広がっている。

 

これに対し、アップルはプライバシーをテーマにした広告キャンペーンをスタートした。GAFAの中でもアップルはちがう。アップルは個人のプライバシー保護を最重点に考えているという姿勢を示すためである。

 

広告のメッセージは「プライバシー。それはiPhone」。

 

「暮らしに欠かせない電話にとってプライバシーは重要ですよね」という前振りの後に、このメッセージを流している。

Appleadssss

2019年3月20日 (水)

Mastercardが不正防止会社買収

MastercardがEコマースの不正防止ソリューションを提供しているエソカ(Ethoca)を買収した。エソカは2005年の創業。これまで2回のラウンドで4,500万ドルを調達している。

 

エソカは世界40カ国にEコマースのマーチャント5,400社強を保有。金融機関は世界20カ国に4,000社強の顧客を抱えている。

 

不正トランザクションを特定すると、ほぼリアルタイムでマーチャントに通知。トランザクションを確認し、取引停止や拒否の措置をとる。

 

これでチャージバックが大幅に減少。カード発行会社とマーチャントの両方が運用コストを削減できる。

Mastercardsssssss

2019年2月14日 (木)

顔認証ソフトに規制

米国ワシントン州でデータ保護法に顔認証を加えた検討がおこなわれている。提案したのはルーベン・カーライル(Reuben Carlyle)議員。

 

その内容は、消費者の同意を事前に取ること、消費者から要求があればどんなデータを取得したかを開示すること、第3者にその情報をシェアするかどうか、である。

 

さらに、顔認証ソフトの正確性を検証するため、提供会社は第3者にAPIを公開することが義務づけられる。

 

これに対しアマゾンのクラウド担当副社長マイケル・パンケ(Michael Punke)氏は、この法案を支持すると発表。アマゾンの企業ビジョンと法律のガイドラインは一致しているとした。マイクロソフトも、ワシントン州の法案には賛成を表明している。

Facesssss

2018年12月 7日 (金)

マリオット5億人データ盗難

マリオットホテルなどを運営するスターウッドで、約5億人の顧客データが盗まれた。9月10日かそれ以前の不正なアクセスによるものだという。

 

しかし調査によると、スターウッドのネットワークへの不正なアクセスは2014年からはじまっている。データをコピーし、暗号化して、それを抜き取ろうとしていた。

 

約3億2,700万件の情報には、顧客名、住所、電話番号、生年月日、性別、Eメールアドレス、パスポート番号、スターウッドのリウォーズ情報、到着日、出発日、予約日、その他伝達情報が含まれているという。

 

盗難情報にはカード番号が含まれているが、暗号化されている。しかし、データを復号化するためのコンポーネントが取られていないことを排除できない、としている。

Marissss

2018年12月 6日 (木)

Venmoで不正損失拡大

モバイル送金決済のVenmoで損失が拡大している。2018年第1四半期の営業損失は4,000万ドル(約45億円)になった。これは予算の40%も高い数字。

 

営業損失の中には、不正被害も含まれている。1月の取扱高に占める割合は0.25%。3月は0.4%と被害が拡大している。

 

不正の手口は色々なケースがあるが、盗難カードを使ってVenmo口座を開設するのが多い。あるいは既存Venmo口座をハッキングして利用したり、口座から現金を引き出したりしている。

 

Vnssss

2018年11月15日 (木)

パキスタンはハッカー天国

パキスタンの銀行がハッカーに襲われた。パキスタンの捜査機関(FIA)によると、パキスタンのほぼすべての銀行から顧客のカードデータが盗まれたようだ。

 

Bank Islami口座からは、少なくとも260万ルピー(約220万円)が抜かれた。大手6行はデビットカードの海外利用を制限している。

 

FIAによると、100件以上のハッキングを発見し、現在捜査中である。すでに数人を逮捕しているが、国際的な犯罪組織の関与をほのめかしている。

 

FIAは、パキスタンの銀行のセキュリティインフラの脆弱性を指摘している。このままだとハッカーに狙われつづける恐れがある。

 

Pakisssss

【NCBよりお知らせ】

Twitter

Powered by Six Apart