ソニーファイナンスで情報不正流出

NIKKEI NET:社会 ニュース

情報不正流出相次ぐ、ソニー系カードなど2社
 経済産業省は30日、ソニー系クレジットカード会社とUFJニコスの2社の契約社員らが個人情報を不正に入手、第三者に売却していたとして、個人情報保護法に基づき、同法違反状態の是正や再発防止策を取るよう両社に勧告した。
 ソニーファイナンスインターナショナル(東京・港)の発表によると、同社の契約社員と派遣社員、アルバイトの計4人が不正に信用情報機関に個人情報を照会、データを外部に売却していた。これまで判明したのは24人分だが、流出した個人情報は全体で1000人分を上回る見通し。
 4人は割賦販売の申し込み審査をするカスタマーセンター北海道(札幌市)勤務。札幌市内の男から教えられた氏名や電話番号などを基にカードの利用状況を含む信用情報を検索、この男にメールなどで流していた。
 UFJニコスの発表によると、同社の元嘱託職員がカード会員を含む673人分の氏名や住所、ローンの支払い状況などの信用情報を不正に照会、データを知人に売却していた。(07:00)

TJXの漏洩は4千万件以上

TJXが財務報告を行い、クレジットおよびデビットカード番号の流出は4570万件。その他にまだ犯人が捕まっていない件で13万件。
この一連の事件による被害額はTJXの推定で5百万ドルになるだろう。
UPDATE–TJX data theft called largest ever: 45.7M credit card numbers – Network World
どんどん話が大きくなる。

「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準

ITmedia エンタープライズ:OASIS、Webサービスセキュリティ仕様を標準認定

OASIS、Webサービスセキュリティ仕様を標準認定
「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準として認定された。
2007年03月29日 09時53分 更新
 国際標準化団体のOASISは3月27日、Webサービスセキュリティの新仕様「WS-SecureConversation 1.3」と「WS-Trust 1.3」がOASIS標準として認定されたと発表した。
 両仕様ともOASISのWS-SX技術委員会で策定され、安全なメッセージ交換のための仕様であるWS-Securityのポリシーと拡張機能を定義。信頼できる複数のSOAPメッセージ交換実現を目指している。
 WS-Trustは、セキュリティトークンの発行、更新、認証および、信頼関係の確立、発見、仲介のための手法を提供する。Webサービスフレームワーク(SOAPやWSDLなど)を通信に利用しているアプリケーションで、WS-Trustを使ってセキュリティ信用情報を入手・交換することが可能になる。
 WS-SecureConversationは、拡張版の安全なセッションを確立・維持するための仕様。WS-Securityが単一メッセージのセキュリティに焦点を当てているのに対し、WS-SecureConversationでは2者の間でセキュアなメッセージを何度もやり取りする場合のセキュリティと効率性が強化される。

TJXの事件によってPCIへの準拠が本格化する

TJXの情報漏洩事件では、Amexから役員を迎えていたにもかかわらずPCIに準拠していなかったことが注目されてしまった。
焦点は、クレジットカード番号データの保護をしていなかったこと。
対応はまず、PCI認定のapproved scanning vendor (ASV). qualified security assessor (QSA) に相談する。
PCI compliance after the TJX data breach
PCI compliance after the TJX data breach
Joel Dubin
03.07.2007
The recent TJX Companies Inc. data breach refocused attention on credit card security, retailers and the Payment Card Industry Data Security Standard (PCI DSS).
major players in the approved list of QSAs and ASVs: Foundstone, Symantec, Cybertrust, LUHRQ, Ernest and Young and KPMG are some common ASVs; QSAs include Symantec, ISS, Remington, and Neohapsis.

はてなは14日、サービスを提供する2台のサーバーに9日から不正な侵入

はてなのサーバーに不正侵入、ユーザー情報取得などの形跡は無し
 はてなは14日、サービスを提供する2台のサーバーに9日から不正な侵入が行なわれ、サーバー上にプログラムを設置されるなどの被害が発生したことを明らかにした。データベースサーバーなどへのアクセスの形跡などは確認されておらず、ユーザー情報の不正取得やサービスのデータ改竄などの可能性は低いとしている。
 今回の不正侵入はサーバー群の入り口にあたるサーバーのうち2台に対して、機械的に総当たりする方法によってアカウントが不正取得されたという。このアカウントによりftp scanner、irc botプログラムが設置され、外部に対して実行される被害が発生した。
 はてなでは、14日午前4時頃にこの事実を確認し、午前6時頃に不正なアクセスを遮断。現在、継続的に詳細な調査、対策を実施しているという。これまでに、内部に存在するデータベースサーバーなどへのアクセスの形跡については発見されておらず、ユーザー情報が取得されたり、サービスのデータが改竄された可能性は低いとしている。

DNPの個人情報漏洩事件で新たな被害明らかに – のべ43社分863万件に

ここまで大規模だと、もうあぜん。
DNPの個人情報漏洩事件で新たな被害明らかに – のべ43社分863万件に:Security NEXT
内部犯行。

2006年2月に大日本印刷の個人情報が流出し、業務委託先元従業員が逮捕された事件で、さらなる被害が明らかになった。保険会社や信販会社、プロバイダをはじめとする43社分863万7405件の個人情報が不正に持ち出されていたという。
今回の事件は、2月に大日本印刷の業務委託先の元社員が逮捕され、大日本印刷が受託していたジャックス会員のクレジットカード番号や有効期限などを含む個人情報15万件の漏洩が判明。さらに警察の押収物から今回あらたに流出が判明したもの。
容疑者は、2001年5月から2006年3月まで同社の電算処理室内で業務委託先社員として勤めており、約9割が2001年から2004年ごろまでのデータが持ち出されていたものだ。
また弥生やディーシーカードとUFJニコスの一部など、流出経路が不明としながらも、昨年以前に個人情報漏洩の事実を把握し、公表していた事件も複数あり、今回流出経路が明らかになったことになる。
アメリカンホーム保険会社 150万4857件 氏名、住所、電話番号、性別、生年月日、保険証券番号、保険料、一部でクレジットカード番号など
イオン 58万1293件 氏名、住所、電話番号、生年月日、性別
NECビッグローブ 21万4487件 氏名、住所、一部で電話番号、生年月日、性別、メールアドレス、ユーザーID、契約コース名、利用状況など
NTTファイナンス 64万225件 住所、氏名、電話番号、一部クレジットカード番号など
カルピス 19万5552件 氏名、住所、フリガナ、年齢、性別
近畿日本ツーリスト 6万5043件 氏名、住所、電話番号、一部で生年月日、勤務先、勤務先住所、勤務先電話番号など
KDDI 11万3696件 住所、氏名
京葉銀行 5万6478件 氏名、住所、電話番号、性別、生年月日、店番号、顧客番号
ジャックス 15万件 氏名、住所、性別、生年月日、電話番号、クレジットカード番号、有効期限
ソネットエンタテインメント 5万9026件 氏名、住所
千葉トヨタ自動車 2万2788件 氏名、住所
ディーシーカード 33万7480件 氏名、住所、生年月日、性別、電話番号、クレジットカード番号
トヨタカローラ神奈川 4万3953件 ダイレクトメールに利用した情報
トヨタ自動車 27万3277件 氏名、住所
ニフティ 3万3318件 氏名、住所、電話番号、生年月日、ID、利用コース
日本ヒューレット・パッカード 16万3111件 ダイレクトメールに利用した情報
弥生 16万4304件 登録者名、登録住所、登録電話番号、担当者名
UFJニコス 119万336件 氏名、住所、一部でカード番号、生年月日、性別、電話番号など

TJXにおけるPCI DSS違反の影響

顧客データが流出したTJXに関して、罰金が適用されることはほぼ間違いない、という記事。
PCI DSS auditors see lessons in TJX data breach
By Bill Brenner, Senior News Writer
01 Mar 2007 | SearchSecurity.com
RSS FEEDS: Security Wire Daily News

TJX Companies Inc. violated some of the basic tenets of the PCI Data Security Standard (PCI DSS) and according to several PCI auditors, it will pay a heavy financial price. They said companies should study the TJX security breach for clear lessons on what not to do with customer data.
Roger Nebel, director of strategic security for Washington D.C.-based FTI Consulting, said fines will almost certainly be imposed on TJX because it was clearly negligent in holding onto unencrypted cardholder data, a direct violation of the PCI DSS.
:
When reviewing what merchants are doing to protect their customers’ credit card data, auditors are typically finding that:
Encryption is often inconsistent across a company’s computer system. Credit card data may be protected in some instances, but not others.
Some companies unnecessarily store credit card data and, making matters worse, fail to isolate the data from traveling across less secure parts of the network.
Some IT shops fail to keep a log of network activity, making it nearly impossible to spot instances where malicious hackers or anyone without authorization are trying to access credit card data.
Some companies don’t conduct regular scans for software vulnerabilities and abnormal activity.
Companies that thought they were all set after complying with such regulations as the Sarbanes-Oxley Act and HIPAA discovered their controls were not adequate to meet the PCI DSS.
At the very least, TJX violated the PCI DSS by storing unencrypted cardholder data, said James DeLuccia, an independent auditor based in Atlanta, Ga.
“Credit and debit card data is something the PCI Security Standards Council will be concerned about,” he said. “You’re not supposed to store that kind of data, and [TJX] had it online and unencrypted.”
If you don’t know where your data is traveling and where it is stored, you can’t secure it.
Joseph Krause
senior security engineer, AmbironTrustWave

トラ トラ トラ! すごい

小学生のころに、風呂やにポスターが貼ってあったのを見たことがあった。
たまたまTVでやってるのを見つけたのはもう終わりのほうだったけど、目が離せなくなっちゃった。最近のCGだらけの映画なんて、メじゃない。
なんてこった。すごい。
トラ トラ トラ!
東野英治郎 始まったばかりだ。まだ先は長い。