購入者からの問合せになりすましたECショップ管理者を狙うフィッシングについてまとめてみた - piyolog
2023年1月10日、ECショップ作成サービスを運営するBASEは、同社のサービスを利用するECショップ管理者に対し購入者になりすました不審メールが発生しているとして注意を呼びかけました。被害に遭ったECサイトからはさらにクレジットカード情報の窃取を狙ったメールがそのECショップの購入者宛に送られる事例も確認されています。ここでは関連する情報をまとめます。 ECショップに不正ログインし盗んだ購入者情報を悪用 【不審なお問い合わせにご注意ください】 このたび、BASE管理画面のログイン情報を不正に入手することを目的とした、なりすましの事案が確認されたため、注意喚起の記事を公開しました。重要な情報のためご確認いただけると幸いです。https://t.co/WTzbYCr41Z— BASE(ベイス)💻ネットでお店を開くなら (@BASEec) 2023年1月10日 購入者のなりすましたメッセー
RSAの終わりの始まり - 暗号移行再び - Qiita
前振り 全国の暗号を使うエンジニアの皆さんこんにちは。今日は暗号移行とRSA暗号の話をしたいと思います。まず暗号を利用している皆さんであればCRYPTRECの「電子政府推奨暗号リスト」のことはご存じですよね!(言い切るw) CRYPTRECから2022年7月(昨年夏)に暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準(PDF直リンク)が公開されました。この中では暗号のセキュリティ強度で各種暗号と鍵長が整理されています。セキュリティ強度はビットセキュリティと呼ばれるビットサイズ(共通鍵暗号の場合のビット長)で区分されます。暗号アルゴリズムが違ってもセキュリティ強度で比較ができるということですね。例えば現在一般的に良く使われているセキュリティ強度は112ビットセキュリティが多く、これにはデジタル署名であればRSA暗号の2048ビットやECDSAのP-224等が含まれます。今日は公開鍵暗
Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
なぜ出力時のHTMLエスケープを省略してはならないのか - Qiita
メリークリスマス! 週末もPHPを楽しんでますか? ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね! メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを
セキュリティーチェックシートという闇への防衛術 - Qiita
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
Meety脆弱性 2022-11
meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。 免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。 好ましくないが仕様だろうというものは書いていません。 他の脆弱性が無いことを保証するものではないです。 これはsecret gistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。 近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。 悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。 自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました 以下 1-4
CSRF(Cross-Site Request Forgery)攻撃について
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
Beanstalkのexploitに感動したので半年ぶりにブログ書く - DeFiで落ちてるお金を拾いたいブログ
はじめに こんにちは、exploitで6万ドル持ってかれて財布がすっからかんになったビビドット (@vividot) | Twitterです。泣きながらハーモニー馬を売って補填します。 そもそもexploitというのは、DeFiの実装の不具合や運用のミスを突いて他のユーザの資金を搾取する攻撃・操作の総称です。ちなみに今回のexploitの被害額(攻撃者の得た利益の意)は7600万ドルで歴代11番目となっています。 最近のexploitは「よくわからないDeFiがオラクルを操作されてやられた」だの「5 out of 9のマルチシグなのに1つのエンティティが5つの署名を求めることが可能だった」だの、しょうもないexploitばっかりだったのですが久しぶりに感動したので筆をとりました。 正直exploitを回避する術は「堅いDeFi以外を使わない」に限るので、この記事の意図は感動を伝えたい9割・
「他の生徒の受検結果が見える」Z会が謝罪 教師用画面のコードを生徒用に転用してミス
Z会グループのZ会ソリューションズはこのほど、生徒がチームで取り組む力を測るテスト「DiscoveRe Method」のWebシステムで2021年7月以降、生徒が受検結果を確認する画面から、他の受検者の結果が見える状態になっていたとし、謝罪した。 システム開発委託先が、教師(管理者)用の画面のソースコードを転用して受検者用画面を作った際、不要なコードを一部削除し忘れたことが原因という。 受検結果画面に表示される、全体傾向と個人の結果を表す散布図で、ソースコードを表示してさらに詳細を表示していくと、同じグループ(学校単位など)で受検した他の受検者の氏名とスコアの確認が可能になっていたという。 システムを刷新した2021年7月22日以降に受検した20団体4057人で、同じグループに属する受検者(最大65人)の情報を閲覧できる状態だった。 10月4日に顧客から連絡があり、システム開発、保守・運用
三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を
三菱電機は9月29日、炊飯器や冷蔵庫などの家電製品やネットワーク機器などで複数の脆弱性が見つかったと発表した。悪用されるとDoS攻撃を受けた状態になったり、情報漏えいが発生したりする恐れがあるとしている。 【編集履歴:2022年9月30日午後8時 画像内に対象製品ではないものが含まれていたため修正しました】 対象製品は同社製のエアコン、無線LANアダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IHクッキングヒーターなど。 見つかったのは(1)情報漏えいの脆弱性、(2)DoSの脆弱性、(3)悪意のあるスクリプトを含むメッセージを応答する脆弱性。認証情報が暗号化されず、盗聴により情報を盗まれる恐れもある。 対象製品と対処法一覧(情報漏えいの脆弱性) 対象製品と対処法一覧(DoS、悪意のあるスクリプトを含むメッセージを応答する脆弱性) 三菱電機
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
「ニフクラ」の負荷分散装置に不正侵入、多層防御も設定ミスで効かず
国産クラウドの一角である「ニフクラ」が不正アクセスを受けた。対象となったのは負荷分散装置で、既知の脆弱性を悪用された。負荷分散装置を通過する通信パケットが窃取された恐れがある。脆弱性の公開からパッチ適用まで1週間かかった隙を突かれた。ネットワーク防御装置にも設定不備があり、攻撃を許した。 富士通子会社の富士通クラウドテクノロジーズは2022年5月16日、運営するパブリッククラウドサービス「ニフクラ」と「FJcloud-V」の通信インフラがサイバー攻撃を受けたと発表した。ニフクラは自社で販売展開するサービスで、FJcloud-Vは富士通を販路とした際のブランド名だ。 富士通クラウドテクノロジーズによると、インターネットからニフクラのクラウド基盤へのアクセスを中継するロードバランサー(負荷分散装置)が、第三者により外部から不正アクセスされていた。原因は、ロードバランサーのベンダーが5月4日に把
勝手に登録されたネットバンキングから不正送金される事案についてまとめてみた - piyolog
開設済みの銀行口座を狙って第三者が勝手にインターネットバンキングの利用登録を行い、それを悪用することで不正送金の被害に遭う事例が全国で相次ぎ報じられています。ここでは関連する情報をまとめます。 インターネットバンキングに勝手に登録して不正送金 2021年末頃から全国的にこの手口による不正送金事案が発生しており、被害者に対して電話でインターネットバンキングの利用登録に必要となる情報を聞き出し、その情報を使って勝手に利用登録を行う。登録したインターネットバンキングを通じて自身の口座に不正に送金が行われる。 インターネットバンキングの利用にはワンタイムパスワードの登録が必要で、利用者が口座開設の際に登録している電話番号から所定の番号へかけることで確認が行われるものがある。これに対しては「手続きに必要」などの指示を通じて被害者から電話を掛けさせることで確認作業を突破し、被害者自身は本人確認の行為を
ネットワーク上のマクロ入りExcelが全力でブロックされるようになったらしい
リンク 窓の杜 ダウンロードしたVBAマクロは既定でブロックへ ~「Microsoft Office」攻撃への対策を強化/警告のメッセージバーは赤色へ変更、ボタンだけでは有効化不能に 米Microsoftは2月7日(現地時間)、インターネットから入手したVBA(Visual Basic for Applications)マクロを既定でブロックする方針を明らかにした。「Microsoft Office」を狙う攻撃からユーザーを保護するためであるという。 26 users 71 リンク 窓の杜 Microsoft、ダウンロードしたVBAマクロを既定でブロックする方針を一時撤回か/「Microsoft 365 管理センター」で最新チャネルのロールバックを通知 米Microsoftは7月7日(現地時間)、ダウンロードしたVBAマクロを既定でブロックする変更をロールバックし、「Microsoft O
【重要】個人情報漏洩に関するお詫びとお知らせについて - 重要なお知らせ一覧 - 出光カード
【重要なお知らせ/続報】個人情報漏洩に関するお詫びとお知らせについて 2022年10月26日 2022年8月4日に公開した「【重要】個人情報漏洩に関するお詫びとお知らせについて」にて公表いたしました、弊社の会員サイト「ウェブステーション」での情報漏洩の可能性につきまして、漏洩の原因となりました画面表示を最適化するサービスを提供していた企業(株式会社ショーケース)の詳細な調査結果により、情報の一部が漏洩した可能性がある期間が、公表当時にお伝えした期間とは異なることが判明いたしました。 会員様をはじめ、関係者の皆様に多大なるご迷惑、およびご心配をおかけする事態となりましたこと、深くお詫び申しあげます。 なお、判明した期間により、新たに情報が漏洩した可能性のある会員様には、本日Eメールにてお詫びとお知らせを個別に送らせていただいております。 会員様をはじめ関係者の皆様には重ねてお詫び申しあげます
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
タッチ決済時の「〇〇Pay」の音をこっそり盗聴し、決済アプリを乗っ取る攻撃 韓国の研究チームが指摘
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 韓国のChung-Ang UniversityとAjou Universityの研究チームが開発した「MagSnoop: Listening to Sounds Induced by Magnetic Field Fluctuations to Infer Mobile Payment Tokens」は、スマートフォンをかざすだけで決済が完了するサービスにおいて、決済時の音を盗聴して乗っ取る手法だ。あらかじめ仕込まれた攻撃者のアプリが決済時の音を内蔵マイクでこっそり遠隔で盗聴することで、不正に取得したトークンで買い物し放題になる。 商品を購入する際に、現金やクレジットカードの代わりに、スマ
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[PDF]尼崎市USBメモリ―紛失事案に関する調査報告書 / 令和4年11月28日 尼崎市USBメモリ―紛失事案調査委員会
日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ~JVNが注意喚起/コマンドインジェクションなど3件。深刻度の評価は「CVSS v3」の基本値で最大「9.8」
