トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

20140424 セキュリティ情報まとめ

1個だけピックアップしてちゃんと読んでみる。

[ピックアップ] アイオワ州立大学 学生のソーシャルセキュリティナンバーが保存されたサーバに侵入されビットコイン採掘に利用される

2月3日に侵入され、2月28日に発覚。3月28日に個人情報が保存されていたサーバも侵入されていたことに気づいた。

侵入されたサーバはビットコイン採掘に利用されただけっぽいけど、そのサーバにトータルで5万人近い学生のソーシャルセキュリティナンバーが含まれていた。

現在はネットから切り離してパッチをあてたりしていて(あててなかったの?)、最終的には破棄・リプレース予定という話。

昔は侵入されるとIRCとかFTPサーバたてられるパターンが多かった気がしますが、今だとビットコインなんですかねえ。静かに侵入して粛々とビットコインを採掘し続けるマルウェアとか出てきそうですねえ。と思ったらもうあるのか→サイバー犯罪者、ビットコインマイニングマルウェアを拡散する | トレンドマイクロ:セキュリティ情報

たまたま今日は千葉大でも情報漏えい事件が起きているので、2つの大学の公式サイトを比べてみると、何が起きたか、被害を受けた可能性があるのは誰で、どうすべきかを具体的に淡々と述べているアイオワ州立大と、具体的なことは何も書かずに謝罪+再発防止を心がけますと曖昧に書いている千葉大。まあ被害の範囲(卒業生含む/現役学生のみ?)とか原因(サーバ侵入/教授の過失)とかいろいろ違うわけですが、お国柄をよく表しているような気がします。

読み物

埼玉縣信金、フィッシング対策強化--正規サイトに紛れ込むMITB攻撃を警戒 - ZDNet Japan

埼玉縣信用金庫は、ネットバンキングやホームページを利用する顧客をフィッシングや不正送金の被害から守る対策として、金融機関向けセキュリティソフト「PhishWallプレミアム」を採用し、4月23日から運用している。セキュアブレインが発表した。

ゆうちょ銀行と同じやつだ。

パスワード、男性は記憶、女性は紙にメモ | ニュース | インターネット・セキュリティ・ナレッジ

「パスワードそのもの」について尋ねたところ、「2~3種類のパスワードを使っている」と50%が回答。「すべてのサイトで異なるパスワードを使っている」人は13%程度にとどまっています。一方で「パスワードの変更の頻度」で「変更はしない」と回答した人が32%にものぼっています。

そんなもんすよね。1passwordとか使ってないならサイトごとに異なるパスワードを使うのってもう現実的じゃない。