狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない
■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2
ドンキWiFiカメラハック(4) セキュリティ上の問題と、Linuxは使用されていなかった! - honeylab's blog
【追記】改めて確認したところ、製造元及びドンキホーテはLinuxの使用を確認し、ソースコードの開示をはじめました。 ここまでの調査の結果、以下のような問題がわかりました。 このカメラ、とにかくWiFiにつないでクラウド経由で画像を表示することが目的で、ローカルのセキュリティはポンコツです。 アプリからはメールアドレスとパスワードで紐付けられたユーザしか利用できませんが、 telnetやRTSPはローカルに流れたままのため、このカメラが接続されたネットワーク環境内からは画像が自由に見れることになります。また、パスワードを設定することは不可能です。 そのため、このカメラを設置したネットワーク環境では、WiFiのパスワード管理を行ったり、知らない人にLANポートを貸したりしないようにしたほうがいいです。 先述の通り、telnet経由で自由にスクリプトを仕込むことができます。 定期間隔で、自分の専
高木浩光@自宅の日記 - 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない
■ 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない 先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日 全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行
覆された常識、CSVファイルでウイルス感染
テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな
2017年版CSIRT/情報セキュリティ担当者が読んでおいたほうがいい資料・スライド - Qiita
2017年に公開された資料・スライドで、CSIRT/情報セキュリティ担当者が読んでおいたほうがいいのでは?というものを独断と偏見でまとめてみました。 これが足りないじゃないか!という意見がある方はPRください。🙏🙏🙏 Note: この投稿は個人ブログ上の記事のQiitaへのクロスポストです。 技術関連資料 JPCERT/CC: インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (2017/12/05) JPCERT/CC: ログを活用したActive Directoryに対する攻撃の検知と対策 (2017/07/28) FIRST: FIRST Publications 2017 人材・組織関連資料 NCA: CSIRT人材の定義と確保(Ver.1.5) (2017/03/13) CSIRT に求められる役割と実現に必要な人材のスキル、育成についてまとめた資料 補足文
佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた - piyolog
2016年6月26日、佐賀県の教育情報システム(SEI-NET)、及び校内LANが不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。 公式発表 佐賀県 2016年6月27日 学校教育ネットワークに係る不正アクセス被害に関する相談窓口を設置しています (魚拓) 2016年6月27日 学校教育ネットワークに係る不正アクセス被害がありました (魚拓) 2016年8月9日 佐賀県学校教育ネットワークセキュリティ対策検討委員会の設置及び第1回委員会の開催についてお知らせします (魚拓) 2016年8月9日 学校教育ネットワークの不正アクセス事案に係る個人情報関連ファイルの調査結果についてお知らせします (魚拓) 佐賀県立小城高等学校 2016年6月29日 学校教育ネットワークにおける不正アクセスに係る緊急保護者会について (魚拓) 佐賀県立佐賀西
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ
えっ徳丸先生が2人いる!? 真冬のセキュリティラップ対決で五島夕夏を振り向かせるのはどっちだ!! | NO MORE 情報漏えい
お久しぶりです、五島夕夏です! 以前にセキュリティのプロである徳丸浩先生の一日に密着し、たくさんのセキュリティテクニックを勉強してきました。 今回、またセキュリティに関するお話を聞けるということで、『NO MORE 情報漏えい』を運営するMOTEXさんのオフィスにやってきました! それでは、さっそく徳丸先生のもとへ行きましょう! 徳丸先生、おじゃましまーす! 徳丸先生 「やあ夕夏さん、こんにちは。セキュリティのプロ、徳丸です。今日も変わらず綺麗だね」 徳丸 浩(とくまる ひろし)先生HASHコンサルティング株式会社・代表取締役。セキュリティのプロ。システムの脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動も行うすごい人。 ゆうか 「先生、お久しぶりです。先日はいろいろと教えていただいてありがとうございました。今日もまたセキュリティについてたくさん
クロスサイトリクエストフォージェリ(CSRF)とその対策
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日)
Superfish/eDellRootが危険な理由 - めもおきば
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
サイト構築ソフトに欠陥 官公庁などサイバー攻撃の恐れ - 日本経済新聞
ウェブサイトを作成するために官公庁や銀行、企業などが広く利用しているソフト「ストラッツ1」にセキュリティー上の欠陥(脆弱性)があることが24日分かった。個人情報や機密情報を盗まれたりサイトが改ざんされたりするサイバー攻撃の恐れがある。同ソフトはサポートが終了しており、現在のところ修正プログラム(パッチ)は無い。すでに攻撃方法がインターネット上で公開されており、早急に対応が必要だ。ストラッツ1は
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス?
Appleは21日、iOSのソフトウェアアップデート7.0.6をリリースした。 iOS 7.1が早ければ3月中旬にもリリースされるとみられていたが、SSL接続の検証に関して、半月以上も待つことができない重大なバグが見つかったためだ。 SSLとは、「ウェブサイトで入力する個人情報やクレジットカード情報などを暗号化し、安全に送受信する技術」(Symantec)だ。データを安全にやりとりするために利用されている非常に重要な技術となっている。 そして今回、クライアント(ユーザ側)とサーバ(ウェブサイト側)の間をSSL接続する際のプログラムに、「BASIC初心者でも一目で分かるようなミス」(Wired)が見つかり、修正されることになったようだ。ミスがあったのは、以下の部分。 Appleが公開しているソースコード 「goto fail;」が2行続けて記述されている箇所に注目してほしい。2行目の「got
【注意】動画ソフト「GOM Player」経由でウイルス感染のおそれ アップデート機能使った新手口 事前の回避「大変困難」 ※追記
動画再生ソフト「GOM Player」のアップデート機能を利用した、新たなコンピュータウイルス感染の手口が確認され、セキュリティ企業のラックが公式サイトで注意を促しています。 今回のケースでは「GOM Player」の自動アップデート時に何らかの方法で、正規のアップデートサーバではなく「攻撃者側が用意した不正サイト」へと誘導されてしまい、そこから不正ファイルを実行されてしまう場合があったとのこと。正規のソフトウェアアップデート中に感染が起こるため、ユーザー側で攻撃を防ぐのは非常に難しく、また攻撃を受けたかどうかも気付きにくいため、GOM Playerの利用者には「安全が確認されるまでアップデートを行わない」ことを推奨しています。 正常なアップデートの流れ 攻撃を受けた場合のアップデートの流れ また今回は「GOM Player」がターゲットになりましたが、今後同様の手口は他のソフトウェアでも
艦隊これくしょんの通信がとてもじゃないけど見てられない
その文字列検索、std::string::findだけで大丈夫ですか?【Sapporo.cpp 第8回勉強会(2014.12.27)】Hiro H.
バイドゥIME使用、29府県市…PC1千台超 : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
中国検索最大手「百度(バイドゥ)」製の日本語入力ソフト「バイドゥIME」による文字情報の無断送信問題で、全国の都道府県と政令市のうち29府県市で1000台以上の公用パソコンに同ソフトが使われていたことが、読売新聞の調査で分かった。 中には住民情報を扱うパソコンなどから新聞2年分にあたる情報が漏えいしていた自治体もあり、自治体の個人情報保護条例に抵触する恐れも出ている。 47都道府県と20政令市に、問題発覚前日の先月25日まで約1か月間のバイドゥIMEの使用状況を聞いた。その結果、横浜市の272台、熊本県の197台、秋田県の113台など、23府県と6市の計1124台でインストールが確認された。 通信記録を保存していた自治体のうち、12府県市ではバイドゥ側へのデータ送信を確認。熊本県の場合、昨年12月1日からの25日間で280メガ・バイトに及んだ。1文字2バイトで単純計算すると1億4000万文
XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下
脱原発団体にサイバー攻撃 33団体標的、一斉メール253万通:朝日新聞デジタル
反原発や脱原発を訴える全国の市民団体に9月中旬から11月上旬にかけて大量のメールが一斉に送りつけられ、朝日新聞が調べたところ少なくとも33団体に253万通以上届いたことがわかった。専用のプログラムを使って操作された可能性が高く、特定の市民団体を狙った日本初のサイバー攻撃とみられる。▼39面=匿名の…
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、抑圧国家のネット検閲を回避できるブラウザ拡張ツールを発表
