セキュリティ Feed

2019年8月 4日 (日)

キャピタルワンで1億件のカード情報漏洩

カード取扱高で全米第5位のキャピタルワンは1億件のクレジットカード申し込みがハッキングされ、社会保障番号や銀行口座情報がリスクにさらされていると発表した。
 
FBIによると、社会保障番号は暗号化されていたが、名前や生年月日、住所、クレジット履歴は暗号化されていなかったという。銀行口座番号は約7.7万件だった。
 
カード番号やログインIDはその中に含まれていないとキャピタルワンは発表している。
 
犯人はシアトル在住のPaige A. Thompson。内部不正である。内部不正による情報漏洩は後を絶たない。
 
データブリーチ要因の一位は内部不正。外部からのハッキングより多い。

Caponedatab

2019年7月25日 (木)

米国史上最大のデータブリーチ費用

クレジットビューローのエキファックス(Equifax)は、約6.5億ドル(700億円強)の和解金を支払うことになった。2017年のデータブリーチに対する支払いだ。

 

1億4,700万人を超える個人信用情報が漏洩したのである。米国人口の約半数という大量データを晒してしまった。

 

このペナルティは米国史上最大。これまではヘルスケア会社のAnthemが払った1.15億ドルだった。Anthemが漏洩したデータは7,900万件だった。

 

Equifassss

2019年7月 5日 (金)

AIでサイバー決済不正防止

毎年約4兆ドル(440兆円)が銀行から盗まれ、資金洗浄されている。この衝撃的な数字を、既存の技術で減らすことはむずかしい。

 

ここにチャレンジしている企業のひとつがフィンテックのブレクウェン(Bleckwen)である。本社はパリ北西部のピュトー、2016年にErcom内に設立され、2019年にスピンアウトした。

 

ブレクウェンは、銀行や金融テクノロジー企業向けの不正検知と不正防止システムを開発しているサイバーセキュリティ会社。AIや機械学習を活用した行動分析プラットフォームを提供している。

 

プッシュ支払いのような異常や、ソーシャルエンジニアリングを含むリアルタイム詐欺の発見。クライアントのデータベースと統合して、不正なクレジットや保険申し込みの阻止。これらもブレクウェンは可能にした。

 

Blechwenimage

2019年6月24日 (月)

あま〜いVenmo

といっても、いい意味での「甘い」ではない。セキュリティが甘いのだ。

 

プライバシーリサーチャーは2018年2.7億件のVenmoトランザクションをダウンロードしてセキュリティの甘さを指摘。プライバシーとセキュリティの侵害についてVenmoの親会社であるペイパルは連邦取引委員会と和解したばかり。

 

今回はコンピュータサイエンスの学生が700万件のVenmoトランザクションを取得。簡単に利用者の活動が公にさらされる危険性があることを証明。Venmoの支払いを非公開にするよう警告した。

 

つまり、Venmoはプライバシー対策を実施していない。実施していても根本的解決がなされていないことが判明した。

 

Venmoimage_copy

2019年6月11日 (火)

ハッカーはタイプ音でPWを盗む

ハッキングが高度化している。英国のケンブリッジ大学とスウェーデンのリンショーピン(Linkoping)大学の実証実験によると、キーボードのタイプ音でパスワードを盗めることがわかった。

 

パスワードだけではない、どんな文字を打っているか、どんな文章かまでわかるようだ。個人のPCやスマホのマイクロフォンにアクセスできるアプリに仕掛けを隠して、キーインする音を聞く。

 

多くのアプリが利用者の許可を要求するけれど、利用者は内容をチェックせずに簡単に受け入れがち。これが問題だという。

 

Hacktype

2019年5月13日 (月)

アマゾンで大規模ハッキング

アマゾンは、正体不明のハッカーによって大規模な詐欺に見舞われたと発表した。昨年5月から10月までの6カ月間にわたって、英国のマーチャント口座から資金を引き出したのである。

 

ハッカーはおよそ100社のマーチャント口座に侵入。販売や融資によって得たマーチャントの現金を自分の銀行口座に送金していた。

 

アマゾンはハッキングされた口座を調査中だが、マーチャントの口座情報を、ハッカーが開設したバークレイズ(Barclays Plc)とプリペイ(Prepay Technologies Ltd.)口座に変更したらしい。

 

手口はフィッシング詐欺。マーチャントにアマゾンの秘密のログイン情報が使えなくなったという手口を使ったようだ。

Amazonsiphon

2019年4月28日 (日)

StrongCAで企業買収

PSD2の本人認証強化に備え、決済代行のストライプ(Stripe)は、タッチテック(Touchtech Payments)を買収した。

 

2019年9月14日から実施されるSCA(Strong Customer Authentication)への対応だ。

 

タッチテックはアイルランドのFinTechスタートアップ。2014年の創業で、これまで2回のラウンドで140万ドルを調達している。

 

これと並行し、ストライプ自身もAPIを更新。決済手段やチェックアウト機能、請求機能を刷新した。

 

Sca1904

2019年4月14日 (日)

アマゾンとHIPAAコンプラ

アマゾンの音声アシスタントAlexaが、ヒッパー(HIPAA Compliant)に対応した。HIPAAはHealth Insurance Portability and Accountability Actの略称。米国の健康保険のポータビリティと責任について定めた法律だ。

 

HIPAAはカード業界のカード情報セキュリティ基準PCI-DSSに相当するもの。個人の健康に関するセンシティブなデータの厳格な保護を求めている。

 

アマゾンはアレクサのSkill開発者向けのプログラムを発表したが、音声によって簡単にヘルスケアできるようにするもの。決済や特典管理、コーチングなどが含まれている。

 

音声アシスタントAlexaによって、アマゾンは既存ヘルスケア業界に一石を投じた。文字入力の手間なく、音声アシスタントが優しく健康管理をしてくれる。そういう時代の到来だ。

Alexaaasssss

2019年4月 9日 (火)

大量に晒されたフェイスブック流出データ

フェイスブックのセキュリティはいかに甘いか。それを思い知らされるできごとが、またまた起きた。フェイスブックのデータがインターネットに晒されているという。

 

ひとつはメキシコのメディア会社Cultura Colectivaからの流出で、5億4,000万件を超えるレコード。フェイスブックIDやアカウント名、コメント、お気に入りなどで、146ギガバイトになる。

  

セキュリティ会社のUpGuardがその実態を4月3日公表した。

 

フェイスブックのポリシーは、フェイスブック情報をパブリックデータベースに保存することを禁止している。この問題が発覚してフェイスブックはアマゾンと協力し、AWSに格納されていたデータを削除したそうだ。

Fbdataexposure


 

2019年4月 1日 (月)

GとFBから110億円をだまし取ったワル

本当にこんなことができるのだろうか。1億ドル、日本円にして110億円をグーグルとフェイスブックからだまし取ったワルがいる。リトアニア人のEvaldas Rimasauskasとその仲間だ。

 

その手口とはEメールで不正な請求書を送りつけるというもの。米国司法省によると、2013年から2015年にかけて、1億ドル以上の請求書を送りつづけたという。請求書は一見本物に勘違いするほどの精度だった。

 

グーグルやフェイスブックと実際に取引がある台湾のハードウェアメーカーのQuanta Computerの名を語って詐欺におよんだ。請求支払先はラトビアやキプロスに開設した複数の銀行口座。

 

そこに入金されるとすぐに、スロバキア、リトアニア、ハンガリー、香港などの銀行口座に送金し足跡がつかないようにしていた。

 

しかし、グーグルやフェイスブックはこれに気づかなかったのかという疑問が残る。1億ドルは巨大IT企業にとっては、端金なのだろうか。

Fakessss

【NCBよりお知らせ】

Twitter

Powered by Six Apart