『「一貫性絶対確保文化圏」と「後で訂正文化圏」の衝突について - novtanの日常』へのコメントブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有
7payの失敗、もし自分が構築・運用してたら防げていたか?/なお『7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった』というネットユーザからの報告も
丹治吉順 a.k.a.朝P, Tanji Yoshinobu @tanji_y 7pay会見に関する反応をタイムラインで見ているわけだけれど、日本の大企業の中で、テクノロジーを理解している人が(特に役員レベルの意思決定や権限を持つ層で)どれほど冷遇されているか、その結果としていかに無残なことが起きるか──その決定的なモデルケースになったようだ。 2019-07-04 15:29:30 Yuta Kashino @yutakashino (´-`).。oO( 7Payの釈明会見,決済会社なのに「二段階云々」発言をみるに,自社のコアの周辺テクノロジーを理解できない脳死のシニアを上に持つというのは,ビジネス継続上の大きなリスクですよね….理解できない勉強できないシニアを組織から排出する仕組みが必要になっていくかも… ) 2019-07-04 20:46:49
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
ねこ吸い on Twitter: "omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww こ れ は 大 草 原 が 広 が るwww… https://t.co/Cj4QSOjvz6"
omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww こ れ は 大 草 原 が 広 が るwww… https://t.co/Cj4QSOjvz6
7pay(7iD)のあまりに酷い仕様が判明したので不正利用されないように整理しておく【更新:二段階認証など小手先では解決できない、かなり深い問題の可能性】 - こぼねみ
7payの不正利用の問題が大きな話題となっています。 セブンイレブンは不正利用されたクレジットカードからのチャージは停止していますが、7payによる決済機能はまだ利用できる状態。 まだ7Payを利用していない方は、とりあえず利用開始をしないで不正利用の原因が判明し、完全に解決するまで待ちましょう。 すでに7payに登録してしまった方は、現時点分かっている問題点を確認し、パスワード変更やアカウント変更などで対処するしかなさそうです(むしろ退会してしまっても、とさえ思う)。僕も登録済みだったので調べてみました。 問題点については次の記事が詳しく、 7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - 個人 - Yahoo!ニュース その中で指摘されているのは、 7iDのパスワードリセット(再発行)がセキュリティ上最悪な仕様に なっていることです。 メールア
7Pay不正利用についての雑感 - novtanの日常
togetter.com リプとかコメとかで「ID/PASSを使い回すのが悪い」みたいな論調もありますが、ID/PASSを使いまわした程度でこのレベルの被害が出るのはやっぱりちょっと怖いわけです。 そりゃね、使い回さない、というのはリスク回避策としては重要ですよ。でもそれは使う側のリテラシーをもってやるものであって、公式が問題の対策として提示するようではいけませんな。 今回の話はスマホのアプリとアカウントが端末単位で認証されていない、というアプリ側の仕組みに起因している部分が大きいのではないか、と思います。僕自身は最近なんちゃらPayに仕事で関わることが多いのでファミペイ(職場のコンビニがファミマだからな)を入れようと試み、新規登録時のSMSが6時間遅れで10分期限で送られてきたときにその日の登録を諦めたのでまあ実際どうなってるかよくわからんのですが、少なくとも端末の個体識別なりをちゃんと
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた - piyolog
2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co
マルウェア感染によるPayPayアカウントの不正利用についてまとめてみた - piyolog
2019年5月23日、愛知県警はPayPayを不正に利用した詐欺事件で被疑者を逮捕(その後不起訴)したと発表しました。また2019年6月6日、日本経済新聞はこの事件で不正利用されたPayPayアカウントがマルウェア感染を通じて作成されたものであったと報じました。ここでは関連する情報をまとめます。 PayPayアカウント 不正利用事案の概要 日時 出来事 2018年12月4日 PayPayで100億円あげちゃうキャンペーンが開始。 2018年12月*1 偽佐川急便のSMSを通じて男性Aがマルウェアに感染。 感染から1時間以内 何者かが男性Aの電話番号を使ってPayPayのアカウントを作成。 2018年12月9日~11日 栃木県の男の所有するPayPayアカウントで約1000万相当の購入記録。 2018年12月10日 栃木県の男が愛知県名古屋市でPayPayを使って約35万円分を不正購入。 2
IDお預けとウケトルの問題点について - novtanの日常
そもそもマネーフォワードとはなんだったのか、からだと思うんですが、ウェブサービスというのがまだ一対一のBtoCだった頃に流行っていたのはアカウントアグリゲーション「ツール」でしたよね。資産管理の枠でいうと、MSが出していて証券会社や銀行がカスタマイズして提供してたりもした、MoneyLookがそれなりにシェアを持っていたと思います。これはあくまで「ローカルで動いてローカルにデータを保持する」普通のアプリで、ローカルのアプリに保存した各サイトのID/PASSでスクレイピングを仕掛けるものでした。当然ですが、ターゲットのサイトのデザインが変わるたびにアプリのバージョンアップが必要なのがめんどい。 マネーフォワードが最初に登場したときに言われたのが「え?ID/PASSを預けるの?それダメくね?」でしたよね。ぽっと出のベンチャー企業に銀行使うためのIDなんて預けられるかよばーかばーかと思っていた人
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
(その5)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました - ろば電子が詰まつてゐる
(その4)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その3) 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その2) 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) 目次 はじめに:前提知識 「無限アラート事件」という呼び名は正しいのか(集合論) 進捗報告 よくある質問 CoinHive事件は(控訴されたけど)無罪が出たから、少しは安心できる? 前回の記事で、都道府県警の上は警察庁って書いてたけど、運営上は各都道府県だよ? 警察庁の責任 検挙数とノルマ 警察庁通達 丁情対発第108号・丁情解発第27号 その他の通達 兵庫県警の責任について 私への連絡先 【PR】淡路島観光 はじめに:前提知識 CoinHive事件に皆さん夢中になっているので、誤解
「流出したパスワードはハッシュ化されているから安全」でないのはハッシュアルゴリズムの脆弱性の問題ではない - novtanの日常
やけにMD5がーの人が多いけどさ はてなブックマーク - 「ハッシュ化したから安全」と主張するのをそろそろやめようか | 日経 xTECH(クロステック) そもそも、「ハッシュ化」ってのは正確には暗号化ではなく不可逆な符号化でしかないというところからちゃんと認識すべきだよね。手法が暗号化的なので暗号化と呼ばれるし、おおよそそれでも問題はないけどシステム屋としてはね。 MD5のMDがMessage Digestのことだってのが示すとおり、ハッシュはメッセージから生成される、そのメッセージを固有に表す符号のことであり、特徴として、違うメッセージであればおよそ違うDigest文字列ができる=内容のユニーク性を保ったまま短く要約できる、というもの。ここで大事なのはユニーク性が保たれる=元の内容をちょっとでも変えるとDigestの内容を同一にすることは大変困難、ということですね。 ハッシュアルゴリズ
「ハッシュ化したから安全」と主張するのをそろそろやめようか
電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気付いたとしている。 この両社の発表には、気になる内容が含まれていた。 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って第三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み W3Cは3月4日、FIDOアライアンスのFIDO2仕様の中心的な構成要素であるWeb認証技術の「Web Authentication」(WebAuthn)が勧告になったことを発表しました。 W3Cが策定する仕様はおもに、草稿(Working Draft)、勧告候補(Candidate Recommendation)、勧告案(Proposed Recommendation)を経て正式仕様となる「勧告」(Recommendation)に到達します。今回、WebAuthnが勧告となったのに合わせて、W3CとFIDOアライアンスはWebAuthnの仕様が正式版になったことも発表しました。 WebAuthnは2018
高木浩光@自宅の日記 - 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない
■ 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない 先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日 全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→オートチャージが悪用されるも補償なし
Miyahan @miyahancom nanacoカードを落とした…。 慌ててコールセンターにかけたけど「すぐには止められないよ。完全に止まるのは明日になるよ」とのこと。 まじかよ… さすがにクレカからのオートチャージはオンライン処理だし即時停止だと思いたい。チャージ分は最悪やむ無しか。 2019-01-28 21:07:31
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セブンイレブンアプリ乗っ取りにより7payで30万円不正利用された人のツイート
