カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの？ 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい？ 不要なCNAMEレコードを削除する。 影響範囲は？ 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認（2020年7月

しゅーとです。 コインチェックは 6月2日 、ドメインレジストラである「お名前.com」の管理アカウントに不正にアクセスされ、ドメイン登録情報が変更されたこと、またそれによって第三者によるメールの不正取得が行われたと発表しました。 プレスリリース(第一報)は以下です。 当社利用のドメイン登録サービスにおける不正アクセスについて（第一報） 攻撃を受けた時刻が 5/31 0:05 で、検知時刻が 6/1 12:00 と攻撃に気付くまでの時間は1日であり、また対応完了まで2日足らずとのことで、検知・対応は非常に迅速だったと思います。 今後第二報で詳細な内容が発表されると思いますが、プレスリリースから攻撃者がどのようにメールの不正取得を行ったのか、インターネット上の情報を用いて調査してみました。 ドメインハイジャックをされている関係上、メール以外にもSSL証明書の不正取得や偽Webサーバによる盗聴

2019年9月17日、被害者の自宅に侵入、待ち伏せし、体を触るなどしてけがを負わせたとして強制わいせつ致傷と邸宅侵入の容疑で男が警視庁に逮捕され、10月8日に東京地検が起訴しました。その後、男は被害者がSNSへ投稿していた画像を通じて自宅を特定していたと報じられました。ここでは男が犯行に及ぶ際に行ったとされる手口について関連する情報をまとめます。 男はSNSから何を特定したか 男はSNSを通じ次の情報を得ていたと報じられている。*1 特定された被害者の情報 特定に用いられた情報 男が解析した箇所 ①最寄り駅 SNSへ投稿された顔写真 顔写真の瞳に写った景色 ②マンションのフロア SNSへ投稿された動画 カーテンの位置、窓から光の差し込み ③マンションの部屋番号 ライブ配信 配信中に同フロアの全部屋のインターホンを押して反応を見る*2 男は把握した最寄り駅で待ち伏せし、被害者の後をつけて自宅

OWASP Night 2019-09-18 / OWASP Japan

エクアドルで、全国民に相当する規模の大規模な個人情報流出が発生/Fiscalía General del Estado/Twitter （ＣＮＮ） 南米エクアドルで最近、国民ほぼ全員の個人情報がインターネット上に流出した恐れがある。サイバーセキュリティーを手掛ける専門家集団「ｖｐｎメンター」が問題を発見し、１６日に発表した。 同国の未成年者約７００万人を含む２０００万人以上の名前や生年月日、出生地、住所、メールアドレス、身分証明書番号や納税者番号、銀行口座の残高情報などが漏れたとみられる。 エクアドルの人口は約１６５０万人。司法当局によると、残りの数百万人はすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。 ｖｐｎメンターの報告書によると、情報流出は同国のコンサルティング会社「ノバエストラット」が米フロリダ州マイアミに保有している無防備なサーバーで見つかった。 ２０１２年

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery（SSRF）攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident（米国向け） Information on the Capital One Cyber Incident（カナダ向け） Frequently Asked Questions （１）影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。

株式会社セブン&アイ・ホールディングス（以下、当社）傘下の株式会社セブン・ペイ（以下、セブン・ペイ）が運営するバーコード決済サービス「7pay（セブンペイ、以下、7pay）」の一部アカウントに対する不正アクセスが発生いたしました。 お客様をはじめとする皆様に、多大なご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。 上記不正アクセス事案（以下、本事案）につき、当社では「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査を進めるとともに、今後の対応等を含めた検討を重ねてまいりました。当該プロジェクトにおける検討結果を踏まえ、（１）7payについて、チャージを含めて全てのサービスを再開するに足る抜本的な対応を完了するには相応の期間を必要とすると想定されること、（２）その間、サービスを継続するとすれば「利用（支払）のみ」、という不完全な形とせざるを得ないこと

2019年7月31日、本田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearchデータベースが露出していたとして、対応の顛末が発見者により公開されました。この問題は本田のセキュリティチームに伝えられ、問題は解消されているとのことです。ここでは関連する情報をまとめます。 問題の発見者 Justin氏の報告 Honda Motor Company leaks database with 134 million rows of employee computer data https://t.co/IN9IESN0Ae— Justin (@xxdesmus) 2019年7月31日 Justin氏はクラウドフレア社 Trust & Safety担当のディレクター。 何が問題であったか 本田技研工業の従業員の名前やメールアドレス、連絡先の情報、同社内部の端末やネ

セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン＆アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 セブン＆アイHD／セブン・ペイ 2019年7月1日 [PDF] セブン＆アイのバーコード決済「7pay（セブンペイ）」本日サービススタート！ 2019年7月3日 【ご注意ください】ID・パスワードの管理について（削除済み） 7payに関する重要なお知らせ [PDF] 7pay に関する重要なお知らせ 2019年7月4日 チャージ機能の一時停止に関するお知らせ [PDF] 「7pay（セブンペイ）」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について 2019年7月5日 「7pay（セブンペイ）」に対する不正アクセスの件（第3報）セキュリティ対策の強化を目的とした新組織発足の

2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部（モザイク部）に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co

毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか？　実は、そんなことはありません！ 内閣サイバーセキュリティセンター（NISC）は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版（Ver.1.00）」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい！ 「どうしてこの人は、他人の本をそこまで推すの……？」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン

前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と

はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者がHSTS(HTTP Strict Transport Security)を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃（？）について説明する。 HSTSとは HSTSとは、HTTPのレ

2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に（一時的に）ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認（不承認含む）を行わない（放置する） 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条（取次にかかる登録申請等に対する決

On March 26, 2019, a malicious version of the popular bootstrap-sass package, that has been downloaded a total of 28 million times to date, was published to the official RubyGems repository. Version 3.2.0.3 includes a stealthy backdoor that gives attackers remote command execution on server-side Rails applications. We have already added the vulnerability to our database, and if your project is bei

（追記）これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます