メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
社会保障と税の共通番号(マイナンバー)制度について、政府は国民が開設する全ての預貯金口座情報とのひも付け(連結)を義務化する検討に入った。新型コロナウイルスで生活に困窮した人への現金給付を巡り、マイナンバーが機能しなかったことが背景にあり、来年の通常国会でマイナンバー法を含む共通番号制度関連法の改正を目指す。 実現すれば、政府は国民の資産状況を正確に把握することが可能となり、必要に応じて給付などに活用するほか、徴税の強化を図る方針だ。一方、国民への監視が強まり、プライバシー権の侵害を懸念する反発も予想されるため、改正作業は世論の動向を見極めながら慎重に進めていく。 マイナンバーは住民票を持つ全ての人(外国人含む)に付与された12桁の番号。税、社会保障、災害の3分野の行政事務に限って活用でき、添付書類の削減や本人確認の簡素化などで行政手続きの効率化を図っている。2015年10月から順次個人に
ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 (あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。) サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)
Search, watch, and cook every single Tasty recipe and video ever - all in one place! News, Politics, Culture, Life, Entertainment, and more. Stories that matter to you.
LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。 国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子(LINE IDとは異なる)、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。 決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認
情報科学若手の会とは、情報科学に携わる学生、若手研究者、エンジニアのディスカッションと交流の会です。NTT東日本特殊局員の登氏が政府に配布停止要請されたVPNソフトの話など、シン・テレワークシステムの開発のもととなった数々の経験を開発秘話として講演しました。まずは登氏が作ったSoftEther VPNについて。全4回。 ネットワークをもっとやりたいという方々を増やしたい 登大遊氏(以下、登):本日は長い歴史があり、名誉ある「若手の会」で講演の機会をいただき、ありがとうございます。先ほどコメント欄も拝見しましたが、自宅の1Uサーバーを持っている方がどうとか。 本日の主題は、どうすればそういうみなさんのような方々が、日本の中でもっとたくさん増えるのかなということが1つ。2つ目は、自宅ラックのようなことを大規模にやろうとすると、どうしても家の中だけでは壁がありまして、そこをどう乗り越えるかという
世界一わかりみの深いOAuth入門
SNSに投稿された画像から住所が割り出されていました。アイドル活動をする女性が帰宅したところを襲ったとして逮捕された男は「SNSに投稿された女性の顔写真の瞳に映った景色を手がかりに住所を特定した」と供述していることが捜査関係者への取材で分かりました。 佐藤被告は女性の熱狂的なファンで、その後の調べで「SNSに投稿された女性の顔写真の瞳に映る景色を手がかりに住んでいる場所を特定した」と供述していることが捜査関係者への取材で分かりました。 グーグルマップのストリートビューという機能を使って、女性の瞳に映った駅の風景と特徴が似ている駅を見つけ出し、駅で待ち伏せをしてマンションを特定したということです。 また、女性がSNSで配信した動画を見て、カーテンの位置や窓の光のさしかたなどから、女性の部屋の位置まで把握していたということです。 刑事政策が専門でSNSのリスクにも詳しい首都大学東京の星周一郎教
兵庫県尼崎市は、すべての市民46万人余りの個人情報が入ったUSBメモリーを紛失したと発表しました。住民税や生活保護の受給に関する情報などが含まれているということです。 尼崎市によりますとUSBメモリーは新型コロナの影響で生活に困窮した世帯に支給する給付金に関する給付業務を委託していた業者が、21日、紛失したということです。 USBメモリーには、46万人余りのすべての市民の、氏名や住所、生年月日などのほか、住民税を納めているかどうかや、生活保護の受給に関する情報などが含まれていました。 業者が市の許可を得ず、USBメモリーで個人情報を持ち運び、大阪・吹田市にあるコールセンターでのデータ移管作業を行ったということです。 作業の終了後もデータを消去せず、USBメモリーを持ったまま飲食店で酒を飲んだ際に、USBメモリーが入ったかばんを紛失したということです。 業者が22日、警察に届け出るとともに市
①【インドに行った理由】 2018年6月に10年勤めた会社を退職。その2日後、日本縦断RUNの旅に出発。 63日かけて北海道宗谷岬から鹿児島佐多岬2920キロを踏破。(RUN+徒歩) しばらく実家でのんびりするも、だんだん無気力になる。 会社をやめたらやりたいことがいろいろあった。 海外登山、海外1人旅、トレランの大会に出るとか。 しかし、いつのまにかそんな情熱は消えていた。 日本縦断が終わってから、自分の今までを振り返ってみた。 今年で35歳になるが自分には何もないと思った。 結婚してない、彼女いない、友達いない、手に職があるわけでもない、 一生一人で生きていくのか・・・ もともと思い詰めてしまうタイプなので全てを悪い方に考えてしまっていた。外の出るのも嫌になっていた。引きこもりのような日々が続くなかでただ焦りだけが募っていった。 そしてある日思った。 「このままではやばい、流れを変えた
接触確認アプリの不具合という問題の所在は、OSSコミュニティではなくリリースプロセスの不備にあるのでは|Hal Seki
接触確認アプリの不具合という問題の所在は、OSSコミュニティではなくリリースプロセスの不備にあるのでは いよいよリリースされた厚生労働省の接触確認アプリですが、「ストアで接触確認アプリと検索しても見つからない」「利用開始の日付が更新されてしまう」「初期設定時にBluetoothの許可をしないとアプリが立ち上がらない」などといった不具合が見つかり、Twitter 等で、接触確認アプリのベースとなるコードをオープンソースで開発し提供した Covid19Radar コミュニティ(以下OSSコミュニティ)に対して批判が出ています。 しかし、接触確認アプリの不具合に対して、問題の所在をOSSコミュニティそれ自体と捉えて、殊更これを責めるというのは、日本のOSSコミュニティの文化醸成のみならず、IT業界にとっても良いことでは無いと考えます。 「誰が悪い」といった責任論は問題の所在の全容を見えにくくして
厳戒態勢(写真は今年2月、WHOの調査団が訪ねたときの武漢ウイルス研究所) Thomas Peter-REUTERS <パンデミック発生以来、世界は新型ウイルスは動物から自然発生した、と信じ込まされてきた。だがアマチュアネット調査団「ドラスティック」の活躍で、風向きは大きく変わった。ドラスティックの発見を知った主要メディアが、新型コロナの始祖ウイルスが発見されたとみられる雲南省の鉱山へ取材に向かったのだ> ※前編はこちら:「研究所流出説」を甦らせた素人ネット調査団、新型コロナの始祖ウイルスを「発見」! ......最初に現地入りを試みたのはBBCのジョン・サドワース記者。数台のトラックと治安要員に行く手を阻まれ、鉱山には近づけなかった(サドワース記者はその後まもなく中国当局に記者証を取り上げられ国外退去を命じられた)。ほぼ同時期にAP通信の記者も試み、NBC、CBC、USAトゥデーなど他の
電子情報学特論: Chromium のアーキテクチャを解き明かす 〜 EEIC の授業が生きるプロダクトの世界〜 Kentaro Hara 2020 April (๑>ᴗ<๑) * * * *
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
東京都は23日、都内で新たに366人が新型コロナウイルスに感染していることを確認したと発表しました。都内で一日の感染の確認が300人以上となるのは初めてです。 23日は、90代までのすべての年代で、22日より感染が確認された人が増えています。 ▽10歳未満は9人で1人増加、 ▽10代は15人で6人増加、 ▽20代は139人で53人増加、 ▽30代は93人で35人増加、 ▽40代は51人で20人増加、 ▽50代は23人で3人増加、 ▽60代は15人で1人増加、 ▽70代は15人で5人増加、 ▽80代は5人で3人増加しました。 ▽90代は、22日はいませんでしたが、23日は1人の感染が確認されました。 366人のうち、 ▽20代と30代は合わせて232人で、全体のおよそ63%を占め、 ▽40代と50代は合わせて74人で、全体のおよそ20%となっています。 また、366人のうち、 ▽およそ39%
すべてのフェーズでミスが重なった ―全銀ネットとNTTデータ、全銀システム通信障害の詳細を説明 全国銀行資金決済ネットワーク(以下、全銀ネット)とNTTデータは12月1日、2023年10月10日~11日にかけて全国銀行データ通信システム(以下、全銀システム)で発生した通信障害に関する報道関係者向けの説明会を開催しました。本件についてはNTTデータが11月6日に行った途中経過報告の内容をもとにレポートしましたが、今回、全銀ネットとNTTデータが揃って会見を行ったことで、より詳細な障害の原因が判明したので、あらためてその内容を検証してみたいと思います。 説明会の登壇者。左から、全銀ネット 企画部長 千葉雄一氏、事務局長兼業務部長 小林健一氏、理事長 辻松雄氏、NTTデータ 代表取締役社長佐々木 裕氏、取締役副社長執行役員 鈴木正範氏 なお、全銀ネットとNTTデータは、今回の障害に関して金融
政府は今秋からスタートするIT(情報技術)システムのクラウド化をめぐり、人事・給与や文書管理など各省共通の基盤システムを米アマゾン・ドット・コム傘下のクラウド企業に発注する調整に入った。整備・運用にかかる費用は2026年度までで300億円を超える見通しだ。政府は各省庁のシステムについて4~8年で原則クラウドにする方針を打ち出している。コストの大幅減と、最新のデジタル技術の取り込みにつなげるためだ。自前で管理する手間が減り、人員の効率的な配置など生産性の向上も見込める。【関連記事】霞が関、欧米とは周回遅れ 2020年から全面クラウド化全省庁に20年秋からクラウド 安保に配慮し採用国産クラウド終わりの始まり NTTコム撤退の深層最初の大型案件となる基盤システムで、政府はアマゾン傘下の米アマゾン・ウェブ・サービス(AWS)の仕様を前提に制度設計を始めた。発注先として今春、正式決定する。クラウド業
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
のみぞうと申します。ども… タイトルの通りなんですが、縁あってコミックマーケット100(通称:コミケ/夏コミ)に久しぶりにサークル参加してみて、当然といえば当然なんですが、同じ世界なのに時代が違えば中身がぜんぜん違っててカルチャーショックを受けました。これを書かないと俺達のコミケは終われねえぜって気がするので書きます。 正確にいうと20年は経ってないかも…?わかりやすさ重視で20年て書いちゃいましたがほんとは多分17年〜19年くらい…かも?四捨五入したら20年です。正確にはおぼえてないごめん。 気づいたことひたすら書いてたらめちゃくちゃ長文になってしまった。多分読んでで面白いのは私と同世代のオタクの人だけだと思う。高齢オタクのみんなー!加齢に負けずに頑張って生きていこうね! 0.バックグラウンド0-1.異世界転生前(約20年前)生息ジャンル 某ミニ四駆兄弟漫画⇒某ア○ラスのゲーム⇒某マイナ
能登半島地震の避難所となっている穴水町の穴水高で1日夜、男女数人が自動販売機を壊し、同校の避難者用に飲料水を置いていったとみられることが6日、同校などへの取材で分かった。自販機を壊した人は「自分も避難者で、飲み物を確保するために自販機を壊していいか(管理者に)確認した」と話しており、石川県警は事件性はないとの見方を示している。 穴水高によると、車で訪れた数人が自販機を器具でこじ開け飲料水を取り出し、避難所に置いていったという。
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
タイトルの通り、ツイッターでの取引のせいで、犯罪者になりかけました。 わたしと同じ経験をする人がもう生まれてほしくないのと、単純にわたし自身の備忘録として残します。 以下に経緯をすべて記載してますが、非常に長ったらしいので、お伝えしたいことを端的に言うと、 ツイッターでの取引をするときは 銀行口座を介した金銭のやり取りは なるべくしないほうがいい です。 ただ、やむなくするとしたら、 ・取引の相手の本名 ・取引の内容(何のグッズ、チケットetc…) ・品物の値段 ・取引の時期 は全部記録として手元に残しておいたほうがいいです。 ことの発端(2022/11/16)先日、私のもとに銀行(A銀行とします)から 『預金口座等に係る取引の停止等の措置の実施について』 という手紙が届きました。 全く心当たりのない手紙です。 内容は、要約すると『"私"のA銀行の口座が、"犯罪利用"に"関与"しているので
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
みずほフィナンシャルグループ(FG)は15日、みずほ銀行のシステム障害の責任を明確にするため、坂井辰史社長の役員報酬の減額などの処分を発表した。 のべ700人超の役職員への聞き取りなどをした第三者委員会の報告書からは、みずほ銀行の理念である「一人ひとりがお客さま起点を徹底し、自ら考え行動する」とは真逆の顧客軽視の姿勢が浮かぶ。 「ATMのエラー発生が多発しています」。報告書によると、2月28日午前10時15分、業務委託先の管理センターからみずほ銀行の6つ以上の部署へ430件のエラーを検知したとの緊急メールが送られたが、対応に動く担当者はいなかった。通帳やキャッシュカードがATMに取り込まれるトラブルは最終的に5244件発生したが、それを想定できなかった。 複数の部署の担当者は午前11時12分にはATM前で顧客が立ち往生していることをSNS上の情報で把握。休日対応で人員の限られた問い合わせ電
オンライン投票はなぜ『難しい』のか
日本で公職選挙が近づいてくると、「202X年にもなって投票所に行く必要があるなんて」とか「オンライン投票もいまだにできないなんて」みたいな声をよく聞きます。 [1] 法にも技術にも詳しくない一般の人がそう思うのは自然なことでしょう。オンライン投票ができれば、少なくとも若年層の投票率にはいい影響がありそうです。しかし「現代的で民主的な選挙」の要件をしっかり満たしてオンライン投票を実現するのは、実は技術的にも容易ではありません。 「現代的で民主的な選挙」の要件とは、どういうものでしょうか。現在の技術でオンライン投票を実施すると、その要件はどのように毀損するのでしょうか。私たちはその要件を、本当に理解しているでしょうか。 本記事は、「現代的で民主的な選挙」の要件を振り返り、そこから導かれる「オンライン投票のなにが『難しい』のか」をできるだけ明確にする試みです。そして、議論をその先へ進めるための前
読者の皆さん、こんにチュア!! 過去の転職活動をラノベにしてみました。 1.今回の経緯数年前、僕は転職活動をしており、応募のための書類を出していました。 また、当時は転職活動のことを何も知らなかったため、手当たり次第にサイト上で求人応募ボタンを連打していました。 その結果、とんでもない件数が書類通過してしまい、全く興味のない会社の面接を大量に受けることになってしまいました。 その会社の一つが、今回の話の舞台になるこの世界には存在しない架空の会社「アクセンティア」です。 そんな背景もあり、アクセンティアが何の会社なのか?どんなビジネスをしているのか?といった基本的なことすら全く知らない状態でした。 また、それを調べることもしないまま面接に臨みました。 アラサーになった今でも、精神年齢は中学くらいで成長が止まっている僕は、この時も中学・高校の定期テストをノー勉で受ける様なノリで面接を受けに行き
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。 アあらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。イあらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。ウ新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。エ新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。 パスワードを忘れたユーザを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重に検
インターネット上の掲示板に「不正なプログラム」を書き込んだとして検挙された39歳男性と47歳の男性に対し、神戸地検が起訴猶予処分とする見通しであることが5月27日、関係者への取材で分かりました。 兵庫県警が「ブラクラ」だと主張しているページ。実際には「無限アラート」であり、「ブラクラではない」という意見が多い プログラムを実行してみたところ「!」が出るだけのポップアップが続く ブラクラ事件のあらまし 猫のアスキーアート(AA)とともに、「何回閉じても無駄ですよ~ww」と書かれたポップアップが繰り返し表示されるサイトのURLをインターネット上の掲示板に書き込んだとして、13歳の女子中学生が補導、39歳と47歳の男性が家宅捜索を受けたとの報道がなされたのは3月初旬のこと。一部では掲示板に貼られたURLが「ブラウザクラッシャー」(通称:ブラクラ)にあたるとの報道もありましたが、問題視されたURL
輸出管理とは
2019.08.28 輸出管理とは この夏、「輸出管理」という言葉がニュースを賑わせました。 輸出管理とはなにか、まずは入門編です。 冷戦時代には、西側諸国は、対共産圏輸出統制委員会(ココム)を設立し、東側諸国に対して厳しい輸出管理を行っていました。 冷戦終了後は、通常兵器が特定の国・地域に過剰に蓄積されることを防ぐために、通常兵器そのものに加え、通常兵器と民生品の両方に使用可能な物資や技術の輸出を管理するためにワッセナー・アレンジメント(WA)が、1996年7月に設立されました。 意外なところで民生品が大量破壊兵器やミサイルの開発に転用される可能性があります。だからこそ、輸出管理は厳格に運用されなければなりません。 例えば、ラケットやゴルフクラブのシャフトに使われる炭素繊維は、ミサイルに利用されます。 シャンプーに含まれるトリエタノールアミンは、マスタードガスの原材料となります。 フリー
(CNN) 東京の羽田空港で日本航空(JAL)の旅客機と海上保安庁の航空機が衝突した事故は、映像を見る限り、無傷だった人がいたことが奇跡のようにさえ思えた。 2日に起きた事故では海上保安庁の航空機に搭乗していた乗員6人のうち5人が死亡した。JALの乗客乗員379人に死者はなかった。 事故に関する調査は続けられているが、炎に包まれた旅客機の搭乗者全員が避難できたのは、現代の旅客機の安全基準とJALの徹底した安全意識の組み合わせに尽きると専門家は指摘する。 「映像を見て、全員が脱出できたことに驚き、安堵(あんど)した」。こうした事故に詳しい英クランフィールド大学のグラハム・ブレイスウェイト教授はそう語る。 「しかし同航空について私が知っていることや、同社が安全対策と乗員の訓練にどれほど力を注いできたかを考えると、彼らがあれほど素晴らしい仕事をしたという事実は驚くにはあたらない」 ブレイスウェイ
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害 なぜ? 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが
東芝経営陣による大株主への圧力問題、調査報告書の火力が強すぎて経産省や水野弘道さんだけでなくガースー政権まで飛び火 : 市況かぶ全力2階建
日刊SPA!に登場の医学生投資家、儲け自慢に熱を入れるあまり「11歳から親の口座で投資を始めた」と借名取引をうっかり告白
三井住友フィナンシャルグループ、艦これに関する他愛も無い言い争いからソースコード流出が発覚か : 市況かぶ全力2階建
決算発表が出ないことを怪しんでストップ高まで買われたエックスネット、TOBされるどころか逆に資本提携解消で切られて過剰にお金が流出するお笑い劇場に
'Extreme' geomagnetic storm may bless us with more aurora displays tonight and tomorrow
鬼龍院翔(39歳) @kiryuintw 1984年生まれのネズミ年のおじさんです。細々とバンドをやっております。童顔ですが中身は真逆の冷血で生々しい脳味噌です、生々しいツイートを見るのが嫌な方は申し訳ないですが見ないで頂けましたら幸いです。いつまで続くかわからないですがやってみます。呟きたいことを呟きます。ゴールデンボンバーのボーカルです。ドスケベです。 youtube.com/user/goldenbom… リンク ゴールデンボンバー 鬼龍院翔オフィシャルブログ「キリショー☆ブログ」Powered by Ameba ゴールデンボンバー 鬼龍院翔『こんばんは、今ひとりですか?ちょっとお時間宜しいですか?』 キスミー!全国27人の鬼龍院大好きっ子の皆さんこんにちは(^-^)鬼龍院翔です今日は沖縄ライブ1日目でした既にヘトヘトだぜセンキュー!明日も頑張るぜ!(^-^… 鬼龍院翔(39歳) @
» 今、インスタの「いいね」をめぐって起きている地獄 / いいねを付ける闇バイトに潜入し目撃した虚像だらけの世界 特集 何から話せばよいだろう。とんでもなく真っ黒で、とんでもなく複雑で、もしかしたら大事(おおごと)なんじゃないか? ってくらい、気持ちの悪い世界を私は見ていた。 まだすべての答えは出ていないが、先に伝えておいた方が良いこともあるので、今わかっていることを書き残しておきたい。 ・「いいね」を付ける闇バイトに潜入 私が潜り込んでいたのは、インスタ(Instagram)の裏側とも言える世界である。単刀直入に言うと「闇バイト」。 「いいね」を付ける代わりに「報酬(カネ)」を得る、「いいねの労働者」になりすましていた。 極秘の潜入調査につき、身バレの危険性もあるため画像等はお見せできない。なので文章だけの記事になるが、どうか、最後まで読んでほしい。 ・闇の入り口 どのようにこの世界に入
Smoozには前回の記事で詳しく紹介しきれなかった機能があります。 それがおすすめ記事というものです。 これがオンになっていると、閲覧しているサイトの末尾に、アスツール社の提示するおすすめ記事と広告が付け加えられるものです。ページの一番下までスクロールしないと出てこないので気付いてない人もいるかと思います。 この機能を有効にして、うちのサイトを表示すると下のようになります。 ▼おすすめ記事 私のコンテンツは黒線の上まで。その下からが本来のページには存在しないSmoozの付け足したコンテンツになります。Gigazineの記事や広告が並んでいるのがわかるはずです。 これについて通信内容を解析してみると、 ml.api.smoozapp.com に対しての通信が該当していることがわかります。 ▼ml.api.smoozapp.com /recommend/pagesとあるので、おすすめ記事のこと
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
政府、マイナンバー「全口座ひも付け」義務化検討 来年の法改正目指す | 毎日新聞
一般ユーザに払い出すと危険なサブドメインやメールアドレス - ASnoKaze blog
深夜に96歳の男性が「ラーメン食べたい」と言ったら、どうしますか? 「ほどほど幸せに暮らす」を目指す事業者の挑戦
LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード
けしからんSoftEther VPNを作ったら怒られた 登大遊氏のVPN構築ソフトを日本政府が配布停止した理由
世界一わかりみの深いOAuth入門
“瞳に映った景色”手がかりにアイドル活動する女性宅特定か | NHKニュース
全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK
アラサー男が仕事を辞めてインド1人旅で詐欺に遭い230万円失った - のらねこ旅
武漢研究所は長年、危険なコロナウイルスの機能獲得実験を行っていた
電子情報学特論:Chromiumのアーキテクチャを解き明かす
東京都 新たに366人感染確認 300人以上は初 新型コロナ | NHKニュース
すべてのフェーズでミスが重なった ―全銀ネットとNTTデータ、全銀システム通信障害の詳細を説明 | gihyo.jp
政府の基盤クラウド、Amazonに発注へ - 日本経済新聞
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
アラフォー同人女が20年ぶりにコミケにサークル参加したらほぼ異世界転生だった件|野溝のみぞう
〈1.1大震災〉自販機破壊、避難者のためだった 「飲料水確保するため」 穴水高|社会|石川のニュース|北國新聞
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
ツイッターでの取引のせいで犯罪者になりかけた件|おひよ|note
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
「緊急メール」に誰ひとり動かず みずほ銀障害、顧客軽視の風土浮き彫り:東京新聞 TOKYO Web
Hiromitsu Takagi on Twitter: "義務化はダメですよ。国民の全員が必ず受け取っているはずの身分証なるものができあがると、いろんなところで身分証見せろと言われる社会になりますよ。ないと言えない社会になってしまう。 「免許証とってないし保険証もないです。」と言える現状を維持する必要がある。"
アクセンティアが何の会社か知らないのに面接を受けて大変なことになった話|M銀
基本情報技術者平成28年春期問40 パスワードリマインダ
神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず
「血で書かれた」安全基準 全乗客の命を救ったJALの徹底意識、契機は40年前の惨事
Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
Engadget | Technology News & Reviews
ゴールデンボンバー鬼龍院翔さん発案の「一人暮らしの女性に便利な男性の声素材集」がめっちゃ有り難いし助かる
今、インスタの「いいね」をめぐって起きている地獄 / いいねを付ける闇バイトに潜入し目撃した虚像だらけの世界
続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している