ブログ | 三和コムテック | セキュリティ (6)

入社一年目のSCTセキュリティ奮闘記　～第二回　SQLインジェクションとは？～

2019.09.27

今回は「SQLインジェクション」に関して書きます。 SQLとは、データベースにあるデータを操作・定義するためのプログラム言語のことです。「SQLインジェクション」は、その弱点を突いて大切なデータを抜いたり、壊したりする攻撃方法のことです。

入社一年目のSCTセキュリティ奮闘記　～第一回　脆弱性とは？～

2019.08.30

私がセキュリティ商材を扱う部署に配属されてから一番耳にするワードが、「脆弱性」という言葉です。横文字や英略語が多いIT業界の中では珍しく日本語なので、すぐに理解できました。第一回目の今回は、「脆弱性とは」をテーマにブログを書いていきます...

マネーロンダリング検知回避のために自国のペーパーカンパニーを使う傾向がみられるようです

2019.08.21

シンガポールの新聞、 the Straits Times によると、マネーロンダリングをするにあたり海外のペーパーカンパニーを使用するケースも引き続きみられる一方で、検知を避けるために同じ国の中にペーパーカンパニーを置く傾向が高まっており、...

クラウド環境特有のリスク金融大手Capital One情報漏洩事件

2019.08.20

2019年7月29日に、米国の金融大手Capital Oneがサイバー攻撃による被害を公表しています。今年3月に、1億人を超えるユーザー情報が漏洩しています。

FATF に準拠した仮想通貨が出現する可能性？

2019.07.05

マネーロンダリングの可能性が高いとして一般的には敬遠されがちな仮想通貨ですが、FATF に準拠したものが今後登場する可能性があるようです。

オンライン上でのマネーロンダリングの検知

2019.06.13

マネー・ロンダリングの手法は多々ありますが、そのうち比較的に手軽に行うことが出来るクレジットカードを利用した「トランザクション・ロンダリング」を挙げることが出来ます。

悪用されたすべての脆弱性の半分弱は、CVSSスコアが9以上

2019.06.12

バージニア工科大学の研究者らによる調査では、2009～2018年の間に発見された合計7万6000件の脆弱性のうち、実際に悪用されたのはわずか4183件だったことが分かった。「悪用されたすべての脆弱性の半分弱は、CVSSスコアが9以上だ」と...

データベースサーバーを狙うハッキングキャンペーン

2019.06.11

セキュリティベンダーGuardicoreのリサーチチームが、Windows MS-SQLとPHPMyAdminサーバーを狙うハッキングキャンペーンについて報告しています。

XSS、Cookie設定の脆弱性を利用した攻撃手法

2018.11.15

XSSやCookie設定の不備といった脆弱性がどのように利用され得るか、具体的に解説しています。

ネット通販を狙ったサプライチェーン攻撃 Magecart

2018.10.11

オンライン上でクレジットカード情報をスキミングするマルウェアキャンペーンMagecartが再度動きを見せています。セキュリティベンダーRiskIQが同社のブログで報告しています。Magecartは、今年発生したブリティッシュ・エアウェイズと...

■加盟店調査で非保持化の証明を求められるようになる？

2018.10.11

”実行計画”が定める、通販加盟店がカード情報の非保持化またはPCI DSS準拠の達成期限である今年の3月末を迎えたあと、多くのカード会社やPSPは通販加盟店に対して、実行計画対応状況についてアンケート調査を行いました。

スキャンPDFでも送信すれば非保持にならない

2018.08.22

実行計画2018では、カード番号が書かれた申込書やFAX、メモ等の紙媒体をスキャンした画像データ(PDF)を保存する場合には、「保持」とはならない、とされています。

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

2018.08.16

DefCon(セキュリティカンファレンス)でハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表しました。方法はとても難しいのですが、ハックしたEchoから悪用して、ターゲットのスピーカーの完全なコントロールを取得できます。

Bluetooth 実装において公開鍵の検証が不十分な可能性

2018.07.31

Bluetooth は、機器間での暗号化された通信をするのに、楕円曲線ディフィー・ヘルマン鍵共有に基づいたペアリング機構を利用しています。ECDH 鍵のペアは秘密鍵と公開鍵の2つより成り立っており、公開鍵が共有のペアリングの鍵として交換され...

委託先サービスプロバイダーに要求されるセキュリティは

2018.05.23

通販などの加盟店は、電話で注文を受けるコールセンター業務や、はがき・FAXで受けた申込み客のカード情報を決済代行会社(PSP)へ送信する業務を、多くは外部のサービスプロバイダーへ委託して商売をしています。

CPUとGPUがメモリを共有する機器にサイドチャネル・Rowhammerの脆弱性

2018.05.08

GPU と CPU が同じメモリを共有するプラットフォーム（典型的にはスマートフォン）において、WebGL を利用したサイドチャネル攻撃及びRowhammer 攻撃を実行される可能性があります。

水槽の温度計から顧客データが漏洩

2018.04.18

水槽の温度計がハッキングされ、カジノの上顧客のデータが漏洩しています。

VPN製品の脆弱性

2018.03.19

広く使われているVPN製品に脆弱性が発見されています。 VPN Leaks Found on 3 Major VPNs out of ... 3 that We Tested | vpnMentor

スキャンPDFを委託先へ送信すれば非保持にならない!?

2018.03.13

3/1に公表された「実行計画2018」において、クレジットカード情報が記載された紙を画像スキャンしたPDFデータを保存するのは「カード情報非保持としてよい」とされました。

Cisco Adaptive Security Appliance に脆弱性

2018.02.16

Cisco の Adaptive Security Appliance のSSL VPN 機能に脆弱性があり、許可されていないリモートのユーザが対象のシステムをリロードしたり、遠隔でコードを実行することが出来る可能性があります。

セキュリティ (6)

入社一年目のSCTセキュリティ奮闘記　～第二回　SQLインジェクションとは？～

入社一年目のSCTセキュリティ奮闘記　～第一回　脆弱性とは？～

マネーロンダリング検知回避のために自国のペーパーカンパニーを使う傾向がみられるようです

クラウド環境特有のリスク金融大手Capital One情報漏洩事件

FATF に準拠した仮想通貨が出現する可能性？

オンライン上でのマネーロンダリングの検知

悪用されたすべての脆弱性の半分弱は、CVSSスコアが9以上

データベースサーバーを狙うハッキングキャンペーン

XSS、Cookie設定の脆弱性を利用した攻撃手法

ネット通販を狙ったサプライチェーン攻撃 Magecart

■加盟店調査で非保持化の証明を求められるようになる？

スキャンPDFでも送信すれば非保持にならない

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

Bluetooth 実装において公開鍵の検証が不十分な可能性

委託先サービスプロバイダーに要求されるセキュリティは

CPUとGPUがメモリを共有する機器にサイドチャネル・Rowhammerの脆弱性

水槽の温度計から顧客データが漏洩

VPN製品の脆弱性

スキャンPDFを委託先へ送信すれば非保持にならない!?

Cisco Adaptive Security Appliance に脆弱性

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索

セキュリティ (6)

入社一年目のSCTセキュリティ奮闘記 ～第二回 SQLインジェクションとは？～

入社一年目のSCTセキュリティ奮闘記 ～第一回 脆弱性とは？～

マネーロンダリング検知回避のために自国のペーパーカンパニーを使う傾向がみられるようです

クラウド環境特有のリスク 金融大手Capital One情報漏洩事件

FATF に準拠した仮想通貨が出現する可能性？

オンライン上でのマネーロンダリングの検知

悪用されたすべての脆弱性の半分弱は、CVSSスコアが9以上

データベースサーバーを狙うハッキングキャンペーン

XSS、Cookie設定の脆弱性を利用した攻撃手法

ネット通販を狙ったサプライチェーン攻撃 Magecart

■加盟店調査で非保持化の証明を求められるようになる？

スキャンPDFでも送信すれば非保持にならない

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

Bluetooth 実装において公開鍵の検証が不十分な可能性

委託先サービスプロバイダーに要求されるセキュリティは

CPUとGPUがメモリを共有する機器にサイドチャネル・Rowhammerの脆弱性

水槽の温度計から顧客データが漏洩

VPN製品の脆弱性

スキャンPDFを委託先へ送信すれば非保持にならない!?

Cisco Adaptive Security Appliance に脆弱性

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索

入社一年目のSCTセキュリティ奮闘記　～第二回　SQLインジェクションとは？～

入社一年目のSCTセキュリティ奮闘記　～第一回　脆弱性とは？～

クラウド環境特有のリスク金融大手Capital One情報漏洩事件