Heartland事件 – 訴訟、漏洩手口、CEOがインサイダー取引の疑い

Heartland Payment Systems社の大規模情報漏えい事件(最大のカード情報漏えい? Heartland事件 – けにあmemo)続報。
早くもHeartlandに対して集団訴訟が起こされた。漏洩の事実を公表した後、被害者の口座監視などの手を打っていない、情報公開が充分でない、といった内容。
First lawsuit filed in Heartland data security breach
代表者となっているのはAlicia Cooperさん。Alice Cooperじゃないんだ。
この記事では、Heartlandがカード会社と専用線で通信していたことを問題にしている。PCI DSSでは認められているが、別の決済業者の話として、このやり方は脆弱なのでVPNに変えるべきだといっている。
訴状の中では、HeartlandがPCI DSSで定められているセキュリティ対策を実装していなかったか、あるいは実装しても使っていなかったのではないか、と指摘している。
別の記事では、CEOのインサイダー取引の疑いを示唆している。 Heartland Payment Systems社のCEOが内部情報を元に自社株を売却したのではないかという疑惑。
Did Heartland Payment Systems’ CEO Make Insider Trades? — Seeking Alpha
CEOはこの3ヶ月で大量に株を売却している。
9月下旬の世界的な株価下落後だけで7回もまとまった数の売却をしており不審。
不正アクセス、情報漏洩の事実をいつ知ったか厳しく調べられている。
漏洩の手口についても最新の情報を紹介。 情報の送信先は国外だと思われ、東欧が有力。
StorefrontBacktalk誌Evan Schumanの情報を引用している。

情報取得のマルウェアは…サーバーのディスクの未割り当て領域に隠されていた。このマルウェアは最終的に一時ファイルの追跡で発見されたが、巧妙に隠されていたので、ビザやマスターカードからの警告のあと導入された二組の捜査チームから逃げおおせていた。(ハートランドのCFOロバート・ボールドウィンの話)
「今回の攻撃で高度な技術が使われていたのはほとんどが隠し方の部分だった。」(ボールドウィン氏)
あるコンサルタント(匿名)によると、特定のディスクセクターに直接書き込む技術が恐ろしいくらいだという。「何らかの方法で、こいつらはマシンの最下層のディスク上でファイルテーブルがないところにまで直接いっている。どうにかしてOSを迂回したんだ。」

中国、次世代DVD規格「レッドレイ」を発売-ブルーレイに対抗 | エキサイトニュース

なんとまあ。本気だろうか。
そして、なぜ九州なんだろう。 日本企業も協力してるのか?
中国、次世代DVD規格「レッドレイ」を発売-ブルーレイに対抗 | エキサイトニュース

 中国武漢市でこのほど、中国独自の次世代DVD規格「紅光(レッドレイ)」プレーヤーとディスクが発売された。中国はこのレッドレイディスクで、全世界に普及している「ブルーレイディスク」に攻勢をかけていくという。
 中国では現在、世界のDVDプレーヤーの約80%が生産されているが、そのコア技術や特許はすべて外国企業が保有している。中国はDVDプレーヤーを輸出する際に、1台あたり18ドルの特許使用料を支払う必要があり、収益性の低さに問題を抱えている。この問題を解決するため、2004年末から武漢高科集団などの研究機関が中国独自のディスク開発に取り組んできた。
 
 今回発売されたレッドレイ対応のDVDプレーヤー「九州ハイビジョン」は、記憶容量が12ギガバイト以上のレッドレイディスクが再生できるほか、従来のDVDも再生することができる。同製品は既存のDVD生産ラインで生産できることから、今後世界市場に向けて積極的に売り込んでいく計画という。

マイクロソフトが携帯電話をPCに変身させる

マイクロソフトが携帯電話をPCに変身させる特許を出願。
≫ Microsoft patents interface to transform phone into PC | The Toybox | ZDNet.com

The solution comes in a form of a docking cradle for a mobile phone that connects to LAN, external HDD, keyboard, mouse, display and any other peripheral you like, and comes in the form of a patent application entitled “Smart interface system for mobile communication devices” and dated January 22, 2009.
この製品は携帯電話のドックの形で提供され、LAN、外付けHDD、キーボード、マウス、ディスプレイ、その他あらゆる周辺機器を接続できる。特許出願のタイトルは、「モバイル通信機器用のスマートインターフェースシステム」で、2009年1月22日付。


いいなあ、これ。
US特許局の文書
United States Patent Application: 0090023475
をみると、Filed: December 7, 2007となっているのは、何なんだろう。これがシュツガンビ?
そして発明者は、4名のうちの3名が、北京の人。
Chang; Eric; (Beijing, CN) ; Dehghan; David; (Sammamish, WA) ; Sun; Stanley; (Beijing, CN) ; Liu; Bin; (Beijing, CN)
どういうことだろう。単純にMSに雇われているだけ?それとも買い上げたのかな。
ムツカシイ世界だなあ。

Gmailのオフライン対応テスト、米英で開始 – ITmedia News

Gmailがオフライン対応したというニュース。
Gmailのオフライン対応テスト、米英で開始 – ITmedia News

米Googleは1月27日、Gmailのオフライン機能を米国と英国のGmail Labsで試験的に公開した。
 この機能をオンにすると、GmailはGoogle Gearsを利用してメールデータのローカルキャッシュをダウンロードする。ネットワークに接続している限りこのキャッシュはGmailサーバとシンクロし、接続が切断されると自動的にオフラインモードになる。ユーザーはオンラインの時と同様にメールを読んだりラベルをつけたりでき、オフラインで作成したメールは次にオンラインになった時に送信される。

すばらしい。
使ってみるか。でも、山ほどダウンロードされてもやだなあ。
詳しい記事
No Wifi? No Problem. Gmail Releases New Offline E-mail Tools | Epicenter from Wired.com

を見ると、よくわからないながらも賢く選んでくれるらしいが。
まず、10,000メッセージまでしか落とさない。
しかっつってもなあ。
Gmailの製品マネージャートッド・ジャクソンによると、「つまらない」やり取りはダウンロードしない。判断材料のひとつはやりとりの日付。
ラベル単位の判断もあって、99%以上読まれていないラベルは落とさない。
200件以内しかないラベルはダウンロードする。
ラベルをうまく使えってことね。
でも結局、

but if you’re worried about having everything available in Offline mode it might be a good time to do some e-mail housecleaning.
もしオフラインモードに全部きちゃうのを心配するなら、メールを掃除するいい機会かも。

そういうことか。

GarageBand Lesson Store:Appleが音楽界に再度革命を引き起こす

AppleのGarageBandにギター練習の機能が付いてすごいという記事。
GarageBand Lesson Store:Appleが音楽界に再度革命を引き起こす
音にあわせて画面にタブ譜と指板上にポジションが出ると。しかもアーティストが引いているビデオまで写ると。もちろんスピードを変えたりできると。
これはすごいなー。今の人はいいなー。
でも、訳もわからずいろんなことやってみるほうが楽しいし成長しそう、なんて思うのはひがみ根性か。

翻訳はチョット不審。たとえば、

GarageBandも話題になるに違いないとみている。GarageBandはアーティストから直接にピアノとギターのレッスンを受けることができるというもの。Lesson Storeと呼ばれるAppleのオンライン音楽レッスンストアは…

原文は

there’s a feature tucked into GarageBand that might be making headlines very soon: premium lessons for piano and guitar, presented by the artists themselves. Dubbed ‘Lesson Store’, Apple’s online marketplace for music lessons has…

ということは、

GarageBandに追加された新機能は話題になるだろう。アーティストから直接にピアノとギターのレッスンを受けることができるというものだ。このLesson StoreというAppleのオンライン音楽レッスンストアは…

というところでしょう。
インターフェースについては、原文は後から訂正されてた。
これに勝るものなど想像することすらできない、と書いてあるところを消して、

Tabs in GarageBand don’t have any indicators for bends or hammer-ons, which really should be shown.

タブ譜にチョーキングやハンマリングの印がなくて、これはないとだめでしょ、とのこと。
最後の文章はわからなかった。

Rockしたい人はぜひともLesson Storeの世界へ!(訳注:AC/DCの「For Those About to Rock (We Salute You)」より)。

原文は、

For those about to rock, I salute you.

と、そのまんまの文章。訳注って言っても、これじゃ、原文見なきゃわかんない。
邦題は「悪魔の招待状」だから、参考にならない。
歌詞カード見たら、訳詩は載ってない。わざわざLP引っ張り出して見たのに。
Lesson Storeの招待状だ、くらいかな。それでも注はいるね。
邦題は何だっけと思ってAmazon見たら、レビューの文章がすごかった。
悪魔の招待状

チャイコフスキーの「1812 序曲」以来の音楽と火砲の素晴らしい結合、大砲が打たれtるタイトル曲

言われればなるほど、だけど、AC/DCをチャイコフスキーになぞらえる人がいるとは。

楳図かずおさん勝訴 : 社会 : YOMIURI ONLINE(読売新聞)

楳図かずお嬉しそう。
どこかにぐわしマークはつかないんだっけな。
赤白ストライプ邸、調和乱すとまでは…楳図かずおさん勝訴 : 社会 : YOMIURI ONLINE(読売新聞)

畠山稔裁判長は「周囲の目を引くものではあるが、景観の調和を乱すとまでは認めがたい」と述べ、原告らの請求を棄却した。

DNSキャッシュポイズニング、SQLインジェクション攻撃が増加中 – セキュリティ – ZDNet Japan

IPAとJPCERTから脆弱性届出情報の報告。
SQLインジェクションは被害のニュースが多かったのが影響しているだろうけど、DNSもだいぶ注意をひいているんだなあ。
DNSキャッシュポイズニング、SQLインジェクション攻撃が増加中 – セキュリティ – ZDNet Japan

独立行政法人情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は1月26日、2008年第4四半期(10月~12月)におけるソフトウェアなどの脆弱性関連情報の届出状況を明らかにした。
 2008年第4四半期の特徴は大きく2つ。
1つ目は、DNSキャッシュポイズニングの脆弱性の届出が激増した
 2つ目はSQLインジェクションの脆弱性の届出が増加した
 第4四半期の届出状況については、ソフトウェア製品に関するものが60件、ウェブアプリケーション(ウェブサイト)に関するものが1430件の合計1490件であった。2004年7月に届出受付を開始してからの累計は、ソフトウェア製品に関するものが861件、ウェブサイトに関するものが3514件の合計4375件となっている。

ウェブ関連がさらに増えている。
関連ニュースでは対応状況にも言及。
半数が開発時にセキュリティを意識しているっていうのは、むしろ多い気がした。ほんとかなあと。
深刻な脆弱性含むサイトの半数が開発時にセキュリティを無視:Security NEXT

ウェブにおいて脆弱性対策が90日以上経過しても完了しないケースは前四半期は179件から258件へと大幅増。経過日数が90日から199日が117件、200日から299日のものは60件。1年以上解決していないものも約60件にのぼり、SQLインジェクションなど深刻度が高いものも含まれている。
SQLインジェクションやクロスサイトスクリプティング対策を完了したウェブサイトに同機構がセキュリティ意識についてアンケートを実施したところ、開発時にセキュリティを意識していたとの回答は50%にとどまった。
また開発時に脆弱性対策を行っていなかった組織としては、非上場会社や協会や社団法人といった団体など、中小規模のウェブサイトに目立ったという。

SAML対応製品 – セシオスのSSO、ネットスプリングのLDAPサーバー

認証系の製品がSAML対応したというニュース2種。
セシオスは、SSO製品にSAMLとOpenIDを追加。
AXIOLEは、LDAPサーバーで、パートナーのサイオスが「Google Appsの認証にAXIOLEを使用するSAML認証システムを有しており、システム管理者は、AXIOLEでのアカウント管理を行うだけで、Google Appsをユーザーに容易に提供」。
いろんなものが出てきたなあ。
セシオスのシングルサインオン・ソリューションSecioss Access Manager EnterpriseがSAML、O – ZDNet Japan

株式会社セシオス(本社:東京都文京区、代表取締役:関口 薫)は本日、オープンソースベースのシングルサインオン・ソリューション「Secioss Access Manager Enterprise」がSAML、OpenIDに対応
今回、オープンソース・ソフトウェアの「simpleSAMLphp」を利用して、SAML、OpenIDに対応いたしました。SAML、OpenIDに対応したことで、SaaSサービスと企業内の認証システムを連携したシングルサインオンなど、サイト間でのシングルサインオンが可能となりました。

Secioss Access Manager Enterprise/Secioss Identity Manager Enterpriseのセット価格は300ユーザ57万6千円から

ネットスプリングの認証サーバアプライアンス「AXIOLE」、Google Appsと連携可能に:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2009/01/27

ネットスプリングは27日、サイオステクノロジーと提携し、ネットワーク認証サーバアプライアンス「AXIOLE」(アクシオレ)をGoogle Appsと連携可能にしたことを発表した。
 サイオスが提供するGoogle Apps連携システム構築サービス「SIOS Integration for Google Apps」を用いて、LDAP系アプライアンス型の認証サーバAXIOLEをGoogle Appsと容易に連携可能とした。サイオスは、AXIOLEに登録されているユーザをGoogle Appsに自動登録するシステムや、Google Appsの認証にAXIOLEを使用するSAML認証システムを有しており、システム管理者は、AXIOLEでのアカウント管理を行うだけで、Google Appsをユーザーに容易に提供することが可能となる。この連携システムにより、運用管理者は、ローカルシステムのみならずクラウドコンピューティングシステムを含めたアカウント管理を一元化することが可能となる。
 AXIOLEは日本語Web画面から簡単に設定・管理を行うことができるLDAP認証サーバ。LDAPサーバ構築に必要なディレクトリやスキーマの設計といった煩雑な作業はあらかじめAXIOLEで用意してあり、LDIF、CSV、UNIX Password形式でのユーザーデータのインポートも可能。標準販売価格は税別990,000円より(AXIOLE 1000ユーザー版)。
(冨岡晶@RBB 2009年1月27日 11:34)

最大のカード情報漏えい? Heartland事件

Heartland Paymant Systemsのカード情報漏えい事件情報をまとめておく。
概要:
Heartland Paymant Systemsのカード決済システムに不正プログラムが発見された。
カード会員データが流出したと思われる。
もともとビザとマスターからの不正利用情報を基にした調査で発覚。
不正プログラムは最低a few weeks存在した。
流出件数は未公表、月間平均処理数が1億件とされることから、数千万件から1億件以上ではないかといわれ、TJX(4千万件以上)を上回る最大規模のカード情報漏洩ではないかということになった。
1/20に公表され、大統領就任式の陰に隠れようとしたのではないかと揶揄された。
米カード決済会社が不正侵入の被害に,過去最大規模のカード情報が流出か:ITpro

US credit card payment house breached by sniffing malware . The Register

12月にはオンライン決済業者CheckFreeがドメイン名の制御を失い、東欧の犯罪組織によるものといわれている。500万人に不正の可能性を通知した。
Heartlandは全米で第6位の決済業者。
Heartland breach raises questions about PCI standard’s effectiveness – Network World

By Ellen Messmer , Network World , 01/22/2009
Heartland事件とPCI DSS
Heartlandは4月にTrustwave社からPCI準拠の認定を受けていた。
PCIは週次のファイル完全性チェックを義務付けていて、この点で何か問題があったのではないか。
別の決済業者RBS WorldPayも12月に不正侵入、150万件のカード会員情報と、110万件のSSNが流出。11月10日に不正に気づいたが、影響を解明するのに1ヶ月以上かかった。
Heartland data breach sparks security concerns in payment industry
January 22, 2009 (Computerworld)
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=knowledge_center&articleId=9126608&taxonomyId=1&intsrc=kc_top
同業他社はこの事件の詳細についての情報を切望している。
Henry Helgeson, president and co-CEO of Merchant Warehouse Inc., a Boston-based provider of payment card processing services and software. “Everybody who processes card information is dying to know how exactly this happened.”
今公表されているのは、ハッカーがカード情報を社内ネットワークで通信されている中から抜き出す機能を持った何らかのマルウェアを設置し、暗号化された通信経由でHeartland社外に持ち出していた、ということだ。
外部からの指摘まで不正に気づかなかったということは、PCIで規定されているセキュリティ管理策の一部が実装されていなかった、あるいは利用されていなかったのではないかという指摘がある。
Gartner Inc. analyst Avivah Litan の指摘:マルウェアに気づかなかったということは、定期的なファイル完全性監視を行っていなかったのではないか。
(11.5 ファイル整合性監視ソフトウェアを導入して…)
Mike Rothman, vice president of strategy at eIQnetworks Incの指摘:外部への通信の監視あるいはフィルタリングがなされていなかったのではないか、
(1.2.1 着信および発信トラフィックを、カード会員データ環境に必要なトラフィックに制限する。)
またファイアウォールやIPSのログ分析も怪しい
(10.6 少なくとも日に一度、すべてのシステムコンポーネントのログを確認する。)
流出したと思われるデータは、磁気ストライプ情報のいわゆるトラック1およびトラック2と呼ばれるデータ。未暗号化PIN,カード検証番号、SSN、ZIP、住所などは流出していない。
もし、被害規模が想像されているようなものだとしたら、カード会社などが全数を再発行することはないだろう。そのためのコストは6億ドルから10億ドルにも上るからだ。(Helgeson)
Heartland tries to rally industry in wake of data breach – Network World

By Ellen Messmer , Network World , 01/23/2009
http://www.networkworld.com/news/2009/012309-heartland.html
HeartlandのCEOがカード処理業界の中で情報共有の仕組みを提唱。
エンド間暗号化の重要性も指摘、ただし現状ではソリューションが存在しない。
Heartland Bank, BofA reissue cards after breach – St. Louis Business Journal:
Friday, January 23, 2009, 6:12pm CST
バンカメとハートランド銀行(Heartland Payment Systemsとは無関係)が、ビザ、マスターから不正利用の連絡があったカードについて再発行を開始。
発行数は未公表。