セキュリティ Feed

2019年6月11日 (火)

ハッカーはタイプ音でPWを盗む

ハッキングが高度化している。英国のケンブリッジ大学とスウェーデンのリンショーピン(Linkoping)大学の実証実験によると、キーボードのタイプ音でパスワードを盗めることがわかった。

 

パスワードだけではない、どんな文字を打っているか、どんな文章かまでわかるようだ。個人のPCやスマホのマイクロフォンにアクセスできるアプリに仕掛けを隠して、キーインする音を聞く。

 

多くのアプリが利用者の許可を要求するけれど、利用者は内容をチェックせずに簡単に受け入れがち。これが問題だという。

 

Hacktype

2019年5月13日 (月)

アマゾンで大規模ハッキング

アマゾンは、正体不明のハッカーによって大規模な詐欺に見舞われたと発表した。昨年5月から10月までの6カ月間にわたって、英国のマーチャント口座から資金を引き出したのである。

 

ハッカーはおよそ100社のマーチャント口座に侵入。販売や融資によって得たマーチャントの現金を自分の銀行口座に送金していた。

 

アマゾンはハッキングされた口座を調査中だが、マーチャントの口座情報を、ハッカーが開設したバークレイズ(Barclays Plc)とプリペイ(Prepay Technologies Ltd.)口座に変更したらしい。

 

手口はフィッシング詐欺。マーチャントにアマゾンの秘密のログイン情報が使えなくなったという手口を使ったようだ。

Amazonsiphon

2019年4月28日 (日)

StrongCAで企業買収

PSD2の本人認証強化に備え、決済代行のストライプ(Stripe)は、タッチテック(Touchtech Payments)を買収した。

 

2019年9月14日から実施されるSCA(Strong Customer Authentication)への対応だ。

 

タッチテックはアイルランドのFinTechスタートアップ。2014年の創業で、これまで2回のラウンドで140万ドルを調達している。

 

これと並行し、ストライプ自身もAPIを更新。決済手段やチェックアウト機能、請求機能を刷新した。

 

Sca1904

2019年4月14日 (日)

アマゾンとHIPAAコンプラ

アマゾンの音声アシスタントAlexaが、ヒッパー(HIPAA Compliant)に対応した。HIPAAはHealth Insurance Portability and Accountability Actの略称。米国の健康保険のポータビリティと責任について定めた法律だ。

 

HIPAAはカード業界のカード情報セキュリティ基準PCI-DSSに相当するもの。個人の健康に関するセンシティブなデータの厳格な保護を求めている。

 

アマゾンはアレクサのSkill開発者向けのプログラムを発表したが、音声によって簡単にヘルスケアできるようにするもの。決済や特典管理、コーチングなどが含まれている。

 

音声アシスタントAlexaによって、アマゾンは既存ヘルスケア業界に一石を投じた。文字入力の手間なく、音声アシスタントが優しく健康管理をしてくれる。そういう時代の到来だ。

Alexaaasssss

2019年4月 9日 (火)

大量に晒されたフェイスブック流出データ

フェイスブックのセキュリティはいかに甘いか。それを思い知らされるできごとが、またまた起きた。フェイスブックのデータがインターネットに晒されているという。

 

ひとつはメキシコのメディア会社Cultura Colectivaからの流出で、5億4,000万件を超えるレコード。フェイスブックIDやアカウント名、コメント、お気に入りなどで、146ギガバイトになる。

  

セキュリティ会社のUpGuardがその実態を4月3日公表した。

 

フェイスブックのポリシーは、フェイスブック情報をパブリックデータベースに保存することを禁止している。この問題が発覚してフェイスブックはアマゾンと協力し、AWSに格納されていたデータを削除したそうだ。

Fbdataexposure


 

2019年4月 1日 (月)

GとFBから110億円をだまし取ったワル

本当にこんなことができるのだろうか。1億ドル、日本円にして110億円をグーグルとフェイスブックからだまし取ったワルがいる。リトアニア人のEvaldas Rimasauskasとその仲間だ。

 

その手口とはEメールで不正な請求書を送りつけるというもの。米国司法省によると、2013年から2015年にかけて、1億ドル以上の請求書を送りつづけたという。請求書は一見本物に勘違いするほどの精度だった。

 

グーグルやフェイスブックと実際に取引がある台湾のハードウェアメーカーのQuanta Computerの名を語って詐欺におよんだ。請求支払先はラトビアやキプロスに開設した複数の銀行口座。

 

そこに入金されるとすぐに、スロバキア、リトアニア、ハンガリー、香港などの銀行口座に送金し足跡がつかないようにしていた。

 

しかし、グーグルやフェイスブックはこれに気づかなかったのかという疑問が残る。1億ドルは巨大IT企業にとっては、端金なのだろうか。

Fakessss

2019年3月30日 (土)

厳密本人認証への対応

決済サービスの利便性を高めるためのオープンバンキングが欧州で進んでいる。2018年1月に施行されたPSD2(決済サービス指令)だが、2019年9月14日からその要求が厳しくなる。

 

その名は「Strong Customer Authentication(厳密本人認証):SCA」。オンライン不正をなくし、安全な取引を推進するのが目的だ。

 

オンラインサイト運営事業者は、チェックアウト時の本人認証に以下の3つのうち2つを取得しなければならない。

 

  1. 顧客のみが知っていること(パスワードやPIN)
  2. 顧客が持っているもの(電話やハードウェアトークン)
  3. 顧客であること(指紋や顔)

 

これはけっこう面倒だ。顧客主導(Customer-Initiated)のオンラインカード決済や銀行振込に要求される。

 

Strongssss

2019年3月27日 (水)

アップルがプライバシー広告で訴求したこと

GAFAへの圧力が世界中で強まっている。個人の膨大なデータを収集しているからだ。

 

データを勝手に使って、誘導されるのではないか。データを第三者に渡し、プライバシーがなくなるのではないか。という懸念が広がっている。

 

これに対し、アップルはプライバシーをテーマにした広告キャンペーンをスタートした。GAFAの中でもアップルはちがう。アップルは個人のプライバシー保護を最重点に考えているという姿勢を示すためである。

 

広告のメッセージは「プライバシー。それはiPhone」。

 

「暮らしに欠かせない電話にとってプライバシーは重要ですよね」という前振りの後に、このメッセージを流している。

Appleadssss

2019年3月20日 (水)

Mastercardが不正防止会社買収

MastercardがEコマースの不正防止ソリューションを提供しているエソカ(Ethoca)を買収した。エソカは2005年の創業。これまで2回のラウンドで4,500万ドルを調達している。

 

エソカは世界40カ国にEコマースのマーチャント5,400社強を保有。金融機関は世界20カ国に4,000社強の顧客を抱えている。

 

不正トランザクションを特定すると、ほぼリアルタイムでマーチャントに通知。トランザクションを確認し、取引停止や拒否の措置をとる。

 

これでチャージバックが大幅に減少。カード発行会社とマーチャントの両方が運用コストを削減できる。

Mastercardsssssss

2019年2月14日 (木)

顔認証ソフトに規制

米国ワシントン州でデータ保護法に顔認証を加えた検討がおこなわれている。提案したのはルーベン・カーライル(Reuben Carlyle)議員。

 

その内容は、消費者の同意を事前に取ること、消費者から要求があればどんなデータを取得したかを開示すること、第3者にその情報をシェアするかどうか、である。

 

さらに、顔認証ソフトの正確性を検証するため、提供会社は第3者にAPIを公開することが義務づけられる。

 

これに対しアマゾンのクラウド担当副社長マイケル・パンケ(Michael Punke)氏は、この法案を支持すると発表。アマゾンの企業ビジョンと法律のガイドラインは一致しているとした。マイクロソフトも、ワシントン州の法案には賛成を表明している。

Facesssss

【NCBよりお知らせ】

Twitter

Powered by Six Apart