出した日：2013年5月28日 戻ってきた日：2013年5月30日 ちなみに質問を出したタイミングでは，エクスコムグローバルによる本件関連のWebからの質問受付を開始してませんでした…．

当初は、最速のプレスリリースにて動いておりましたが、 5/7の一次報告書では7000件との事でしたが、情報がはっきり掴めていないと思われたので、事実確認をせず、正確でない情報をお伝えすることは無用な混乱を来すと考え、社内の判断で最終報告書を待って…

回答は以下のとおり．冒頭に「申し訳ございません」という文言とか入ってたけど，内容の解釈には一切関係ないので抜いてある． 当社の不始末により平成24年3月7日〜平成25年4月23日にお申し込み頂きましたお客様の情報に関しては、保管をしておりましたが、…

とか書いていられるような牧歌的な内容でもなんでもなかった… 内容は，2つの質問に対する回答から成る．以下，その2つの質問とそれに対する回答について考察をしてみよう．

なのですでに眠気全開，なのです．

当該情報は、平成23年3月7日〜平成25年4月23日にお申し込み頂きました、お客様の情報が対象（エクスコムグローバルからのリリース） 「GLOBALDATA」、及び「Global Cellular」で2011年3月7日〜2013年4月25日にクレジットカードをご利用された方が対象（DCカ…

もーやだｗ

@d-mateさんのTweet*1より．似たような話は質問してたりするが… 以下はTweetの内容． 話題沸騰のエクスコムグローバルにやられた。 コールセンターで確認できたのは「セキュリティコードのサーバ保存は、カード会社の許可なく自社判断でやっていました」との…

これはすごい． 確かに「売上を落とさない」という判断は，経営判断の1つだ．でもこの会社，明らかに信用失墜してるよね．「売上落とさず信用落とす」とでもいうのか？ ユーザー周知までに時間がかかった理由を「経営判断」とコメントしている。4月後半から…

2つほどにまとめてXCOMGLOBALさんに質問をしてみたよ！ …回答来るかなぁ…．

北野さんのblogにも，似たような論点の話がかかれてたりしました．

今回のXCOMGLOBALの件は，適切な対応を行うための機能が決定的に欠けてたのではないか？と思わせるような（事実から行える推測も含む）事実の塊であった． 完全に云々というわけにはいかないだろうが，少なくともリスクマネジメント系の要員がいれば，ここま…

攻撃内容が「SQLインジェクションによる攻撃」とあるのに，「データベースサーバーに接続するためのID及びパスワードの全ての変更をしております」という内容がいかにもこっけいである． もちろん，他の侵入経路を潰すという点では有効なのだが，SQLインジェ…

漏れた情報の特性：平成23年3月7日〜平成25年4月23日に申込のあった方々のもの 漏れた情報：名義とカード番号と有効期限とセキュリティコードと住所 セキュリティコードがなんで保存され，漏洩したのか理解に苦しむ（というか，あってはならない）． さらに…

5月15日に警察に相談＆所轄官庁への第一報とあるけど，もうちょい早く出来なかったのか？という疑念が出てくる． そして，実際に被害を被る可能性のあるユーザに対しては，実際の流出に関する疑義が提示されてから1ヶ月以上放っておかれるというていたらく．…

「4/23 23:00 クレジットカードを預からない運用に切り替え」とあるが，この時点ですでに利用した（＝カード情報を流出させられた利用者）に対するフォローアップの話はなし．さらに言うならば，実施対応策に以下のような内容があるが，これで本当に十分か？…

オレは，インシデント発生したサーバ類は，「発覚時の状態を極力保つ」という原則があると思っていたのだが，どうもXCOMGLOBAL社の常識は違ったらしい．4/23 22:00に，DBサーバからレコード類を全部削除したとのこと． えーと…保全は？ ちなみにPCFのWebサイ…

しょっぱなに「カード情報の流出懸念」とあるが，この時点ではすでにカード情報は何らかの形で抜かれ，利用された（もしくはされようとした）と考えるのが妥当である． もちろん，カード情報1つだけが使われたところで，いきなりXCOMGLOBAL社から漏れだした…

まず，これを一連のインシデントレスポンスとして見た場合，かなりダメな部類に入る． まず，時系列に並べられる事実のみを以下に抜き出してみよう． 4/23 17:00 決済代行会社からカード情報の流出懸念に関する連絡 4/23 22:00 DBサーバからクレジットカード…

ここ最近，日本以外の場所に行くときは，基本はローミング（通話の場合）か現地でSIMを調達する（データ通信の場合）かという形で自分のインフラを準備しています． 例えば台湾などは，この運用で基本うまくいく． しかし，この運用ではうまくいかない土地が…

名義とカード番号と有効期限とセキュリティコードと住所…。 ものすごい設計だ…何をどうしたらここまで豪快に漏れるのか…． つうか，近年稀に見る大当たりじゃねえか！助けて！！デッカード！！！

何って…↓ もふもふ…

人によっては蟹工船的作業に例えることもある，コンピュータ・フォレンジクスですが，やり方間違えたりツール選択を間違えたりすると，作業場所は本当に蟹工船と化するあたりが困りモノ． 作業手順が標準化され，作業量が莫大だとわかっているものについては…

いろいろと画策しております． この数回，いろんなことを画策しては実施に反映し，ということをやってますが，大きく見えるのは以下のところでしょうか．すでにいろいろと試行錯誤をしていただいているWebセキュリティクラスとソフトウェア・セキュリティク…

ええ，キャンプの参加者募集が始まってからの日数のことです． あと2週間くらいで応募締切が這い寄ってやってきます． ずりずり．

4月にお呼ばれしたのは，まさかの日本記者クラブ様でした（汗）．なんつうか，オレもさすがにびっくりでした． ぼちぼち時間を見つけて，これまでのお仕事を棚卸ししていくとともに，あれこれ貼っておくことにしましょうかねｗ

繰り返すけど，本質的には何も変わっていない． 一応，大切なところを再掲しておく．これは別に，キャンプに限らず何らかの問いかけをされた時の回答を行うとき全般の心得だとオレなんかは感じている． その設問をした人（＝選考する立場の人）が何を聞きた…

2012年度は，セキュリティのみを題材にしているキャンプでの40名の募集に対し，294名が集まって，競争率は7.3倍ちょいなわけで*1，倍率で言うと過去最高になってしまっている． コースとかクラスごとの偏りを考慮しない単純倍率を算出すると，以下のようにな…

2011年度まではセキュリティコースとプログラミングコースがあったけど，2012年度はセキュリティのみになってしまったという違いはある．でも，「セキュリティだからプログラミングに係る要素は扱わないよね」というような変な思い込みは排除して臨んでいる…

いろいろと公開されるまで確約はできないけど，昨年度までの話でごたごたしていたような話は出来る限り発生しないように，関係各位による働きかけが行われ，（私とかが出来る範囲ではありますが）働きかけ，講師陣と議論を行い，コトを進めてきたり．その結…