【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
「ルーターにサイバー攻撃か ネット接続で不具合相次ぐ」についてもう少し詳しく - orangeitems’s diary
ルーターへのサイバー攻撃 どうやら、インターネット接続用のルーター機器にサイバー攻撃が流行しているようです。昨日夕方のニュースです。 www.asahi.com 画面に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセージが表示され、ネットにつながらなくなる。 この記事だけでは詳細まで理解するのは難しいと思いまとめることにします。 スポンサーリンク 事例 すでにオフィスで同じ状況になり、解決された方がいらっしゃいますのでご紹介します。 tips4life.me こちらの内容を読むだけでも十分概要はつかめると思います。 以下、解説です。 攻撃の内容 1)攻撃者がルーターに侵入しDNSサーバーのアドレスを変更する 世の中にはたくさんのインターネット接続用ルーターがありますよね。そのルーターにネットワークインターフェースという通信用の部品が必ず入っていて、その
WPA2の脆弱性「KRACK」のヤバさをプログラマー小飼弾が解説。「現状の対応策はファームウェアアップデートまで」
10月15日、Wi-Fi通信のセキュリティプロトコル「Wi-Fi Protected Access 2(WPA2)」に存在する脆弱性が複数確認されたことが明らかになり、その詳細が16日に公開されました。これらの脆弱性は、「Key Reinstallation AttaCKs」という手法により悪用されることから「KRACK」と呼ばれ、WPA2の暗号化の仕組みを侵害するというものです。 上記を受けて10月16日に放送された『小飼弾の論弾』では、小飼弾氏と山路達也氏が今回のWPA2の脆弱性について、解説を行いました。 左から小飼弾氏、山路達也氏。―人気記事― ビットコイン 儲けたあとは 納税だ。“仮想通貨の納税”について公認会計士にいろいろ聞いてみた 「VALUの主張より日本の憲法が優先される」『VALU』リードエンジニア・小飼弾氏にシステムについて色々聞いてみた 発見された脆弱性は「勝手に鍵を
WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」
「今回、被害に遭っているサイトは、WordPress 4.7.2にアップグレードするまで何度も何度も改ざんされ続ける」とセキュリティ企業は警告している。 1月下旬のパッチで修正されたWordPressの深刻な脆弱性を突く攻撃が横行している問題で、セキュリティ企業の米Feedjitは2月9日、同日までにFeedjitが把握しているだけで20あまりの集団が別々に攻撃を展開し、改ざんされたページの総数は150万を超えていると報告した。 セキュリティ企業のSucuriは2月6日の時点で、ハッキング集団は4集団、改ざんされたページは6万6000ページと伝えており、わずか数日で事態が一層深刻化している様子がうかがえる。 Feedjitでは、今回の脆弱性が発覚して以来、WordPressを狙う攻撃の成功率も急上昇したと指摘し、「WordPress関連では最悪級の脆弱性」と位置付けた。 悪用が横行している
JVNVU#94858949: 複数の NETGEAR 製ルータに脆弱性
R6250 R6400 R6700 R6900 R7000 R7100LG R7300DST R7900 R8000 D6220 D6400 コマンドインジェクション (CWE-77) - CVE-2016-6277 重要な機能に対する認証欠如の問題 (CWE-306) クロスサイトリクエストフォージェリ (CWE-352) NETGEAR 製の複数のルータにはコマンドインジェクションの脆弱性が存在します。 LAN 内の攻撃者は http://<router_IP>/cgi-bin/;COMMAND にアクセスすることで、認証を要求されることなく、当該製品の管理者権限で任意のコマンドを実行することが可能です。 また、当該製品にアクセス可能なユーザが、細工されたページにアクセスすることで、上のような URL へアクセスさせられ、結果として当該製品の管理者権限で任意のコマンドを実行させられる可
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ
Appleは“最も危険なソフト会社”?――海外セキュリティベンダーが警告
Appleは最も危険なソフトウェアベンダーだ――そんな衝撃的なレポートを海外セキュリティソフト企業が発表した。 米Appleはセキュリティ的に最も危険なソフトウェアベンダーだ――そんな衝撃的なレポートを、デンマークのセキュリティソフトベンダー・Secuniaが発表し、英The INQUIRERなど多くの海外メディアが報じている。 Appleといえば、OS Xの高い安全性を宣伝し、ユーザーに信頼性を印象付けてきたソフトウェアベンダーだ。これを受け、主にWindowsと比較して「Macならウイルスに感染しづらいから安心」というMacユーザーの声もいまだに聞かれる。 だがレポートによれば、例えば55%の市場シェアを持つ「QuickTime 7」は、これまでに18個のセキュリティホールが確認されているにもかかわらず、61%のユーザーはそれらを修正した最新版にアップデートしていないという。同じく「i
「AdobeはFlash終了を宣言すべき」とFacebookのセキュリティ責任者
Flashの脆弱性問題が連日報道される中、6月にFacebookの最高セキュリティ責任者(CSO)に就任したばかりのアレックス・スタモス氏が「Adobe SystemsはFlashの終了期日を決めて発表するべきだ」とツイートした。 「Adobe SystemsはFlashの終了日を宣言し、Webブラウザ企業にその日にFlashを無効化するよう依頼すべきだ」──。米FacebookのCSO(最高セキュリティ責任者)に就任したばかりのアレックス・スタモス氏は7月11日(現地時間)、自身のTwitterアカウントでこうツイートした。 これは、ここ最近相次いだFlashの脆弱性発覚を受けたもの。7日に伊Hacking Teamが発表した顧客データ流出で発覚した脆弱性に対処するパッチが提供されたのは発覚から1日後だった。 この後さらに2件の深刻な脆弱性が報告され、Adobeは12日の週に臨時セキュリ
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired