Nickブログ

セキュリティを中心に過ごしているNickのブログです。

SCSK元社員の内部不正が印象深かった (ニュースまとめ ver 4 2021年3月4週)

f:id:NickShadows:20210326100703j:plain
3月はいろいろありますね。

SCSK元社員が松井証券システムの権限悪用

松井証券からリリースがあった内容になります。
https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf

2017年6月29日から2019年11月12日の期間、業務で使用する権限を利用して、お客様の口座情報を利用して不正に取引を行ったとのことでした。
被害総額は約2億円とのことです。

PDFの中には「パスワードや取引暗証番号を不正に取得」とあったのですが、どうやって取得したのでしょうか。
平文で保存されていたということでしょうか?

2年超、被害総額約2億円とだいぶ規模が大きい事例です。
これが1人によって起こされたということも大きいです。

ほとんどの人が問題なくても、1人でも駄目だったら大きな影響が出てしまうと言ういい例。
内部不正対策は確実に進めるしかなさそうです。

オンラインサロン向けPCI-DSS

株式会社ビルドサロンからリリースがあった内容です。
buildsalon.site.jp

独自プラットフォームのオンラインサロン向けのプランとのことです。
時代に合わせたプランだなと感じます。

どれほど需要があるのか気になります。

bugcrowdのXSS紹介がすごすぎる

bugcrowdのブログ投稿からです。
www.bugcrowd.com


XSSの紹介、検出方法など基本的なところから始まり、対策の回避方法やエスカレーション方法もあります。

1記事でさらっと網羅出来るのがすごいです。

この記事でだいたい雰囲気を掴んで、portswiggerのチートシートを見ながら実施すればXSSの基礎はバッチリなんじゃないかと思ってしまいます。

Exchangeの脆弱性対応は難しい問題

現段階でもパッチがあたっていないサーバは多く、継続されて攻撃されているとのことです。
F-Secureによると、数万の攻撃を観測しており、公開されているExchangeサーバのうち半分のみがパッチ適応されているとのことでした。

ランサムウェアのターゲットにもなっているとの記事もあり、もうやりたい放題な状況です。

即時パッチを当てるには、不具合を考慮すると難しいのかもしれません。
外部に公開するのを辞めるというのも、代替案は数週間で運用は難しいと思われます。

www.zdnet.com www.bleepingcomputer.com

今週の感想

大きい脆弱性があったり、大きな内部不正があったり、いろんな出来事があるなという印象です。

現実は厳しいなぁと思ってしまいます。