プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年03月

fto

株式会社フィッシングタックルオンライン(大阪府吹田市)は、22日付で、自社が運営する釣り用具ショッピングサイト「フィッシングタックルオンライン」に不正アクセスが発生し、カード情報を含む顧客の個人情報が流出した可能性があると発表しました。

同社によると、1月に顧客からカードの不正利用の問い合わせがあり、内部で調査した結果、自社のサーバー内にスパイファイル(詳細不明)があることが分かったそうです。その後の流れは下記の通りです。

1月19日 システムを新しい機材に入れ替え
1月22日 カード決済をPayPalに全面移行
1月24日 カード会社に報告
2月1日 セキュリティ専門会社の調査開始
3月7日 最終報告を受ける
3月22日 Web上で公表、顧客にメールで告知

流出した可能性のある個人情報は15,360件で、そのうち3,321件にクレジットカードが含まれているとのことです。ただし、専門会社の調査によっても、実際に流出したかどうかは判明しなかったとのことです。

同社では、今後、WAF(ウェブ・アプリケーション・ファイアウォール)の導入、ならびにPCIDSS(カード会社が提唱するセキュリティ基準)の準拠を行うとのことです。

http://www.bun2.jp/

(私のコメント)
オンラインショッピングサイトを運営されている方は、同様なことがいつ起きてもおかしくないです。ですから、事件が起こる前に、最低でも専門会社の脆弱性診断くらいは受けておくことをお勧めします。

ipa_20110328


独立行政法人情報処理推進機構・セキュリティセンター(IPA/ISEC)は、3月24日付で、国内における情報セキュリティの状況をまとめた文書「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開しました。

これは、昨年にIPAへ届け出のあったセキュリティ情報や一般報道をもとに、情報セキュリティの専門家127人が知恵を出し合ってまとめたものだそうです。

この文書によると、現在の国内における情報セキュリティの10大脅威は、下記とのことです。

■第1位 「人」が起こしてしまう情報漏えい
■第2位 止まらない!ウェブサイトを経由した攻撃
■第3位 定番ソフトウェアの脆弱性を狙った攻撃
■第4位 狙われだしたスマートフォン
■第5位 複数の攻撃を組み合わせた「新しいタイプの攻撃」
■第6位 セキュリティ対策不備がもたらすトラブル
■第7位 携帯電話向けウェブサイトのセキュリティ
■第8位 攻撃に気づけない標的型攻撃
■第9位 クラウド・コンピューティングのセキュリティ
■第10位 ミニブログサービスやSNSの利用者を狙った攻撃

現在の国内における情報セキュリティの状況が網羅されていて、分かりやすく解説されていますので、お勧めします。

http://www.ipa.go.jp/security/vuln/10threats2011.html

site-logo00
独立行政法人情報処理推進機構・セキュリティセンター(IPA/ISEC)が、3日に発表した情報の中で、Windows Updateで最新のパッチを適用するだけで、USBメモリのオートランを無効化できるとの内容が含まれていますので、本Blogでもご紹介いたします。

USBメモリのオートラン(自動実行機能)とは、USBメモリを装着した際に、特定の方法でUSBメモリ内部にインストールされたアプリケーションを自動的に起動する機能で、この機能を使用して増殖するウイルスが流行っていることから、数年前より、抜本的な対策としてオートランを停止することが推奨されています。

2月9日から、Windows Updateの中に下記のパッチが追加されているそうで、これらをインストールすると、USBメモリのオートランが無効化されるとのことです。

1103fig1-2

●Windows Vista
「重要」の項目にある「KB971029」の番号が記載されたパッチ
●Windows XP
「優先度の高い更新プログラム」の項目にある「KB971029」の番号が記載されたパッチ

これらはデフォルトの設定であれば自動的にインストールされると思いますので、知らない間にインストールされているケースもあるかもしれません。

なお、Windows 7は最初からオートランの機能が無効化されているそうですので、この必要はありません。

ご参考まで。

http://www.ipa.go.jp/security/txt/2011/03outline.html

↑このページのトップヘ