宅ふぁいる便 @takufailebin ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、お客さま情報のデータが外部に漏洩したことを確認いたしました。詳しくはこちらをご参照ください。 filesend.to 2019-01-26 03:08:26
![「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶](https://cdn-ak-scissors.b.st-hatena.com/image/square/1f70ab3a1034d0eefdb43e7ac7183dd83734571f/height=288;version=1;width=512/https%3A%2F%2Fs.togetter.com%2Fogp2%2Fd7ef0c1b435684b606a562d16b2dc9c3-1200x630.png)
宅ふぁいる便 @takufailebin ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、お客さま情報のデータが外部に漏洩したことを確認いたしました。詳しくはこちらをご参照ください。 filesend.to 2019-01-26 03:08:26
はじめに TLS/SSLをはじめとして、様々な場面で公開鍵暗号が重要な役割を果たしているのは良く知られていることと思います。 ここで公開鍵暗号が何かというと、「かたやデータを公開鍵で暗号化して、かたや秘密鍵で復号する。他人にはデータの内容が漏れない」という説明が一般的です。 そうすると大抵の人は「TLS/SSL、公開鍵で暗号化して秘密鍵で復号するのね」と2つの情報を組み合わせ、それで納得してしまうわけですが、実は今日これは大体において誤り1です。 この誤りはいまやどうしようもなく広く流布していています。これは、適切な入門書がないことや、そもそも情報の検証を行う人が少ない ( そこまでする動機がない ) という理由によるわけですが、公開鍵暗号という言葉が2通りの意味で流通しているという面も大きいように思われます。 ということで、この2つの意味の違いに着目しつつ、基礎の整理を行いたいと思います
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以下のTogetterでまとめて頂いているが、大垣靖男氏と「何故氏はSQLインジェクション対策においてプリペアドステートメントの利用よりも入力データのエスケープ処理を優先するのか」について議論させて頂いた。 SQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 僕の疑問は一番最初の方にもあるが、「プリペアドステートメント+プレースホルダーで複雑な自作エスケープなどせずともシンプルにさほどの技術力も無く少なくとも『SQLインジェクション対策』としては機能するのに、
(Last Updated On: 2019年1月9日)追記:解りづらい、とご指摘があったので「セキュアコーディング方法論再構築の試み」を再構築してみるとして書き直してみました。このエントリの方が詳しいですが、よろしければこちらもどうぞ。 セキュリティの専門家と呼ばれる人であってもセキュアコーディング/セキュアプログラミングを正しく理解していない例は散見されます。今回はそのケースを紹介します。 参考1:セキュアコーディングについて詳しくない場合、このブログを読む前にセキュアコーディング/セキュアプログラミングの歴史は理解しておた方が良いかも知れません。 参考2:そもそも、原理的/論理的に入力対策を無視/軽視したセキュリティ対策は誤りです。 「出力対策だけのセキュリティ設計」が誤りである理由 参考3:前提知識として入力データには三種類しかなく、不正なデータはソフトウェアにとって百害あって一利
サマリ この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。 CWEとは CWEはCommon Weakness Enumerationの略で、日本語では「共通脆弱性タイプ一覧」と訳されています。この訳からも分かるように、脆弱性をタイプ毎に分類しているものです。つまり、SQLインジェクション、XSS、バッファオーバーフロー等に、CWE-XXXという「分類番号」をふったものと考えるとわかりやすいでしょう。以下は、IPAが公表しているCWEの解説記事からの引用です。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.
自分の城にあった伝説の武器で倒された魔王編――経営者が「リスク管理」を行うべき理由:RPGに学ぶセキュリティ~第2章~ 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載。今回は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 40~50代の経営者や管理職に向けて、RPGを題材にセキュリティについて理解を深めてもらう連載「RPGに学ぶセキュリティ」。第1章は「レベルアップ」編として、セキュリティ人材が装備を整える難しさ、そして人材育成の難しさについて、RPGスタート時の主人公の育成に例えてお話しした。 そこで、「RPGにおける主人公と魔王の関係はセキュリティ人材と攻撃者の関係とよく似ている」としたが、第2章は魔王を防御側の組織の長に、主人公を攻撃者に例えた内容を記したい。 RPGの最後は「魔王」などと称しているラスボスを倒すことで
Webサービスでアカウント削除機能を要求するユーザの話はよく聞くわけですが、これには残念ながら全く意味が無いと、1Webエンジニアであるぼくは思っているのですが、その理由をだらだらと書いてみようと思います。非エンジニアでも分かるように書いたつもりですが、作者が特にそういう能力に秀でているわけでもないので難しいかもしれません。 技術的な問題 現代の多くのWebサービスはデータの保存をRDB(SQL)に依存しています。これには色々特徴があるわけですが、実際の実装を想定して説明していきましょう。 ユーザがいます。ここではUserというTableとしましょう。RDBで定義したTableは同じ形式の物を沢山保存することができます。なので、作られた沢山のUserは1箇所のTableに纏めて配置されます。 Twitterみたいなサービスを想像すると、ここでTweetできる必要がありますね。TweetはT
1、情報漏洩の可能性期間 2018年3月7日から2018年7月11日 上記期間内に、弊社ショピングサイトでクレジット決済を新規でご利用になられた方が対象となります。 2、漏洩の可能性のあるデータ 流出の可能性のある個人情報データは最大で14,679件。 ただし、その内のほとんどはカードの有効性確認(※1)をされていたものと考えられ、上記期間内で決済が成立している注文数は2,169件でした。 ※1 有効性確認 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。その件数が上記の14,679件に含まれています。 流出したクレジットカード情報については以下の通りです。 1,カード氏名 2,クレジットカード番号 3,クレジットカード有効期限 4,セキュリティーコード 3、原因 調査会社の調査により、本件の原因は以
野良wifiが気になったきっかけ たまに外でスマホ使ってる時に見たい動画とかあったとき、みなさんどうしますか? 通信量の上限が数GBに制限されている昨今、普通に見ちゃうとすぐに上限に達しちゃいますよね。 通信量を節約するために、お店が提供しているwifiとかにつなぐこともあると思いますが、危ないっていう噂も聞きます。 いったいどんな危険性があるのか、実際に検証してみました。 作戦 今回、自分は攻撃者になったつもりで、隣の席に座ってるエンジニアのNくんに対して攻撃を仕掛けます。 Nくんのスマホの通信を傍受して、どんなサイトみたりしてるのかとかを覗き見していきます。 攻撃手法 MITM(Man In The Middle attack)「中間者攻撃」というものを使います。 クライアント(PCやスマホ)と通信先のサーバ(各種サイト)の間に入って、通信している内容を読み取る攻撃です。 環境準備 今
この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第5回『架空世界のパスワードハッキング』」(2017年9月14日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 架空世界でもある「推測されやすいパスワード」 ……それでは講義を始める。 まずは前回のおさらいからだ。現実ではまだ実現していない認証として、「新世紀エヴァンゲリオン」の「精神感応認証」、「勇者ライディーン」の「血筋認証」を紹介し、「アーサー王伝説」の剣を抜いた力はどのような認証だったのか考察を行った。 さて、第4回までは認証の手法と実現例を紹介してきたが、架空世界でもパスワードを見破られ、認証を突破されたりするような事例はなかったのだろうか。いわば「認証システムのパスワー
概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています。 参考リンク 調査が行われているGitHub Issue HackerNewsスレッド Details about the event-stream incident - The npm Blog 影響をうけたパッケージ event-stream@3.3.6 flatmap-stream@0.1.1 flatmap-stream@0.1.1 パッケージ
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ 顛末を記録した雑多なログになっているので整理されていない部分が多々あります. 2万文字を超えているので気合を入れて読むか適当に読み飛ばしてください. これでも不要な調査データを省いたりしてスリム化したのですが超巨大化してしまいました. 2018-11-07から自宅のネットワークの調子が悪すぎる 自宅のネットワークが死んでいました. J:COMの回線現在98%パケットロスするという状態になっています pic.twitter.com/Vfe0O3p5j2 — エヌユル (@ncaq) 2018年11月7日 今日の私 14時 サーバが落ちていることが通知される,サーバにDHCPがアドレス振ってくれてない 15時 ucomがついに死んだかと思いjcomに移行する 1
「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ:今さら聞けない「認証」のハナシ(1/3 ページ) 私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。 ほとんどの人が日常的に行っている「ログイン」「ログオン」「サインイン」といった認証の作業。この認証においては、漏えいしたパスワードデータを利用して、同じパスワードが使い回されたサービスに不正アクセスする「リスト型攻撃」や、推測されやすいパスワードを手当たり次第に使用してみる「総当たり攻撃」などによる事件が頻発し、課題となっています。 こうした課題は、「サービス提供者側で対策するだけでなく、サービスの利用者も正しい知識を持って認証を利用することで、解決に近づく」と考えています。本連載記事では、認証の仕組みや課題、周辺の情報について、
ショッピングセンターの「イオン」で、1回の来店につき2円分のポイントがもらえるサービスを悪用してポイントをだまし取ったなどとして、29歳の無職の男が逮捕されました。警察によりますと、パソコンの位置情報を偽装するなどして、九州の店舗に270万回近くにわたって訪れたように装っていたということです。 警察によりますと、菅野容疑者は、イオンの公式アプリで1回の来店につき2円分のポイントがもらえるサービスを悪用し、ことし、自分のパソコンのGPSの位置情報を偽装して店で使えるポイント140円分をだまし取ったほか、およそ538万円分のポイントをだまし取ろうとしたとして、詐欺や詐欺未遂などの疑いがもたれています。 九州各地の店舗に270万回近くにわたって訪れたように装っていたということです。来店回数が異常に多いことに会社側が気付き被害届けを出していました。 警察によりますと調べに対し容疑を認め、「ポイント
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善
皆さんは「JapanTaxi(ジャパンタクシー)」というスマートフォンアプリをご存じだろうか。名前から察せる通り、タクシーを呼び出せるアプリだ。 →Android版アプリ →iOS版アプリ このアプリには一部の対応タクシー事業者で使える「JapanTaxi Wallet」というコード決済機能も備えている。支払い方法(クレジットカード、Google Pay、Apple Payに対応)を事前登録し、車内のタブレット端末でQRコードを読み込めば、降車前に運賃の支払いが完了してしまう。 Walletを使えるタクシー事業者なら、呼び出し・乗車から降車までスマホ1台でスムーズにできてしまう。この利便性の良さに引かれ、筆者も今ではJapanTaxiアプリとJapanTaxi Walletのヘビーユーザーである。 JapanTaxiアプリでは、現在地周辺にいるタクシーの状況を調べて配車予約できる(写真=左
いやー、来るんですねー。2通目なんだけど。 ybb.ne.jpは昔から使っているYahooBB!(東京めたりっくが買収されたので仕方なく…)のアカウントですね。 一部伏せ字です。 こんにちは! あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか? この瞬間、私はあなたのアカウント(xxx@ybb.ne.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます! 今私はあなたのアカウントにアクセスできます! たとえば、xxx@ybb.ne.jpのパスワードはxxxです 実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。 あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Rem
JWTを使うことは難しい? こんにちは、かとじゅん(@j5ik2o)です。最近、JWTに関する以下のブログが話題です*1。 どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org このブログで言及されているのは、JWTをセッションの保存先に選ぶことで「何が問題なの?」に書かれているリスクがあるよ、という話*2。確かにいくつか検討することがありますね。 auth0.hatenablog.com auth0の中の人?よくわからないけど、反論的なブログエントリが公開されています。この記事では、指摘の問題が起こらないように設計するのはあたり前では?という意見みたいです。まぁごもっともではないでしょうか。 私も技術そのものというより、要件に合わせて技術を組み合わせる設計の問題だと思っています。加えて、JWTを利用することはそんなに難しいことかという疑問があった
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く