「10万件のクレジットカード情報がセキュリティコード付きで盗まれてしまったにゃーの巻」（6月3日版）Scan名誉編集長りく君のセキュリティにゃークサイド

管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長（※自称です）のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●ScanNetSecurity半額キャンペーン中

ぼくが名誉編集長をしているセキュリティのニュースとコラムのメールマガジン、ScanNetSecurityが、今から6月17日（月）までの間、購読料半額キャンペーンを行っているよ。

1年間の購読料が個人なら4800円、法人なら48000円で週2回のメールが送られるんだにゃー。大変お得なんだにゃー。

Exploit情報が満載のScan Tech Reportの方も同じく半額になっていて、個人だと年間4920円で1年間読み放題だよ。

どちらも契約者特典で1万円以上するレポートももらえるし、早めに購読を申し込んだ方がいいと思うにゃー。
http://www.ns-research.jp/サービス-刊行物-販売/scan-scan-tech-report半額キャンペーン/

●エクスコムグローバルがSQLインジェクションで10万件のクレジットカード情報を盗まれる

海外渡航者向け通信機器レンタルサービスを提供するエクスコムグローバルがSQLインジェクション攻撃を受けて、10万件のクレジットカード情報を抜かれているんだにゃー。盗まれた情報は、カード名義人名、カード番号、有効期限、セキュリティコード、申込者の住所なんだって。

盗まれた情報の量もすごいけど、クレジットカードを取り扱う事業者のセキュリティ基準であるPCI DSSでは保存しちゃいけないことになっているセキュリティコードが含まれているのが大問題だにゃー。しかも事件が発覚して調査を開始してから発表までに1ヶ月もかかってるのもひどい話なんだにゃー。
http://www.xcomglobal.co.jp/info

●「三越オンラインショッピング」に不正アクセス、8千件の個人情報流出

5月25日には株式会社三越伊勢丹のショッピングサイト「三越オンラインショッピング」が外部からの不正アクセスを受けて、登録ユーザの会員情報が漏えいしていたことが発表されたんだにゃー。最大で8289件の個人情報が流出した可能性があるんだってにゃー。

漏えいした情報は、顧客氏名、住所、電話番号、生年月日、性別、メールアドレスとクレジットカード番号の番号下4桁だって。これだけで直接カードを使われるような被害はないと思うけど、やめてほしいよにゃー。
http://www.imhds.co.jp/ir/pdf/news_release/hd/2013/130525_news01.pdf

●「阪急・阪神オンラインショッピング」に不正アクセス、2000件の個人情報流出

5月29日には阪急阪神百貨店のショッピングサイト「阪急・阪神オンラインショッピング」が外部からの不正アクセスを受けて、氏名や住所、クレジットカード番号などの顧客情報が流出した恐れがあると発表した。最大で2382件の個人情報が流出した可能性があるんだってにゃー。

漏えいした情報は顧客の氏名、住所、電話番号、生年月日、メールアドレスだって。そして2382のうち1360件についてはクレジットカード番号と有効期限も見られた可能性があるんだにゃー。今のところカードの不正利用は確認されていないというけど心配だにゃー。
http://www.h2o-retailing.co.jp/news/pdf/2013/130529online.pdf

●ApacheだけでなくLighttpdやNginx Webサーバも攻撃されている

3月頃からはApache Webサーバーが攻撃されてDarkleech Apache Moduleマルウェアが仕込まれるという事例が目立っていたけれど、このところ、コードを改良してApacheだけでなくLighttpdやNginx Webサーバにも似たようなプラグインが仕込まれるようになっているんだにゃー。すでに人気サイトを含む400のWebサーバーが感染しているんだって。

主にcPanelの脆弱性を突かれて侵入されているみたいだけど、侵入手法はそれだけじゃないみたい。LighttpdやNginx Webサーバを管理している人はApacheじゃないからと安心せずにWebサーバーの脆弱性を確認しておいた方がいいと思うにゃー。

・ステルスなマルウェア拡散型のサーバ攻撃は、Apache だけに限られていなかった～Lighttpd、Nginx 対応の変種も発見される（The Register）
http://scan.netsecurity.ne.jp/article/2013/05/27/31697.html

●アメリカで研究進む「車両サイバーセキュリティ」

米国運輸省道路交通安全局局長のDavid Strickland氏が、米国上院通商・科学・
交通委員会で自動車の自動運転や、車両間（V2V）ネットワークのセキュリティ要件を研究する予定を話したんだにゃー。

氏は車両に多くのテクノロジーが追加されていくことで、利用されるソフトウェアや通信サービスが増え、それによってセキュリティが遠隔的に侵害される可能性が高まると考えてるんだって。自動運転している車や衝突防止システムが不正侵入されてしまったら大事故やテロに直接つながるわけだから、セキュリティは大切だと思うにゃー。

米政府、car-to-car ネットのセキュリティ調査を希望～車をぶつけたって？アンチウィルスのアップデートはしたのかい？（The Register）
http://scan.netsecurity.ne.jp/article/2013/05/29/31713.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

（りく）

筆者略歴：猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター吉澤亨史の指導にあたる

（翻訳・写真：山本洋介山）

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/