FaviconにPHPベースのWebシェルを仕込む手口、発見
サイバー犯罪者はいつでもWeb技術を不正に利用する方法を模索している。本来想定されているのとは異なる目的で機能を使い、セキュリティソフトウェアや人の目を欺くことに日々取り組んでいる。Malwarebytesの研究者が、「Newly observed PHP-based skimmer shows ongoing Magecart Group 12 activity - Malwarebytes Labs|Malwarebytes Labs」において、サイバー犯罪者はFaviconにPHPベースのWebシェルを仕込む方法を見つけたようだ。 Newly observed PHP-based skimmer shows ongoing Magecart Group 12 activity - Malwarebytes Labs | Malwarebytes Labs FaviconはWebサイト
謎のメッセージ 耳をすませてみたら…|NHK
「ある大きな組織による、偵察行動が、インターネット上で日夜行われている」 ネット上で偶然目にした、情報セキュリティーに関する、ある論文にあった表現です。 最初は、SF映画のような話だと思いましたが、そこにあった“インターネットノイズ”という言葉が頭にひっかかり、取材を始めました。 インターネットノイズに詳しいという、大手電機メーカーに所属する、ある研究者。交渉の末、「匿名」で、話を聞けることになりました。 この研究者(以下、仮名・木寺さん)によると、インターネットノイズとは、「意図が不明で無害な信号」だと言います。 こうしたノイズがインターネットの中に存在していることは、2000年に入ってからわかってきました。 例えば、私たちがWEBサイトにアクセスする場合、サーバー(ホームページを表示するために必要となる情報を格納しておくコンピューター)にページを見せて欲しいという内容の信号を送り、それ
攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 これまでの連載:迷惑bot事件簿 ある日、ECサイトを運営する企業にクレジットカード会社からこんな連絡が入った。 「貴社サイトで行われた決済から、クレジットカード情報が数百件盗み出されたようです。すでに海外の他のWebサイトでの不正購入に使われて被害が出ています。カード裏面のセキュリティコードなどの情報も同時に窃取されている恐れがあります」──。 実際、国内外でこのようなカード情報漏えい事件が多発している。2020年1~7月に公表された事件だけで19件に上る。しかしこれは氷山の一角だ。なぜならカードの不正利用が発覚するまで、情報を盗
Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの? 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい? 不要なCNAMEレコードを削除する。 影響範囲は? 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認(2020年7月
ラブライブ!公式サイトの改ざんについてまとめてみた - piyolog
2019年4月5日早朝、ラブライブ!の公式サイトで改ざん被害が発生したと運営元アカウントが明らかにしました。ここでは関連する情報をまとめます。 公式のアナウンス 安全性が確認されるまでは暫定的に設置したサイトを閲覧するよう案内。 www.sunrise-inc.co.jp 発生直後に掲載されていた案内(現在は削除済) サンライズ社サイト www.sunrise-inc.co.jp 公式Twitter 今後の状況につきましては本公式Twitterにてお伝えさせていただきます。 いつも応援して頂いている皆様にはご迷惑をお掛けし心苦しい限りですが、何卒、宜しくお願い致します。— ラブライブ!シリーズ公式 (@LoveLive_staff) 2019年4月4日 『ラブライブ!』シリーズ公式サイトページ内容改ざんに関しまして、ご迷惑をおかけしまして大変申し訳ございません。 現在原因を究明しております
米国政府機関の閉鎖、ウェブサイトのセキュリティにも悪影響--証明書の期限切れで
米国の政府機関が一部閉鎖されて米国時間1月12日で22日が経過し、連邦政府のウェブサイトのセキュリティに影響が及んでいるようだ。 英国に拠点を置くウェブセキュリティ企業Netcraftは、米国政府機関のウェブサイト数十件でセキュリティ証明書の有効期限切れを確認しており、この状況では訪問者がリスクにさらされる可能性がある。 Netcraftによれば、そういったウェブサイトは司法省から米航空宇宙局(NASA)まで多岐にわたるという。その一部は決済用ポータルで、訪問者の個人情報を危険にさらす可能性があるというが、米CNETの調べでは確認できなかった。 証明書は職員が更新しなければならないため、閉鎖が長引けば期限切れを迎えるものが増えるはずだ。有効期限は証明書ごとにまちまちで、通常なら有効期限の来たものを更新するはずの職員が一時帰休で不在ということは考えられる。その結果、「すべての米国民のセキュリ
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
世界30%のSSL証明書が3月と10月に強制無効化!? あなたのサイトが大丈夫か確認する3ステップ | 初代編集長ブログ―安田英久
2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン/シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元: SymantecGeoTrustRapidSSLThawte無効化スケジュール: 2018年3月15日ごろ: Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ: Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ: Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ: Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼
「urlquery」で「VirusTotal」の検知理由を調べよう! - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
ウイルス対策ソフトがWeb閲覧中にアラートを表示したら...「VirusTotal」にサイトのURLを投げるというのはよくある話です*1。 しかし、VirusTotalでMalicious siteと表示されても、一朝一夕にその理由を知ることはできそうにありません。 そんな場合に、どうすればいいのでしょうか? 「VirusTotal」の検査結果 「urlquery」でサイト内のスクリプトをチェックしよう 「urlquery.net - URL Scanner」を使うとサムネイルに加えて、IPアドレスやASN、国情報、埋め込まれたスクリプトの解析結果などがチェック可能です。 「urlquery」の調査結果 これを見ると「Crypto currency mining script」という内容でアラートが上がっていることが分かります。 昨年末に話題になったウェブサイト訪問者のPCリソースを秘密裏
急増中、スマホでウイルス感染の警告ページが突如表示される原因と対策
ここ数カ月、AndroidスマホでWebページを閲覧していると、突然「ウイルスに感染しました」といった警告メッセージが表示される事例が報告されています。そのメッセージに表示された「今すぐウイルスを除去」などのボタンをタップすると、ウイルス対策アプリのダウンロードページに誘導されるというのです。 そこで、本当にウイルス感染しているのか、実際に表示された時はどうすればいいのかといった疑問について、情報セキュリティ企業のトレンドマイクロ株式会社で脅威情報やセキュリティ問題の啓発活動をおこなってる岡本勝之さんに伺いました。 本当にスマホがウイルスに感染したの? まずは、岡本さんにトレンドマイクロで収集したウイルス感染の警告メッセージ画面を見せてもらいました。 ウェブ閲覧中に突如表示される「ウイルスに感染」の警告メッセージの例(画像提供:トレンドマイクロ) 冒頭で紹介した通り、ウイルス感染警告メッセ
詐欺サイトを開いてしまいました! - 世の中は不思議なことだらけ
「マイクロソフトのサポートを装った詐欺にご注意ください」は、十分注意している私です。よく聞くのは、「怪しげなサイトを見たからでしょう!」という話。しかし、怪しげなサイトにいったわけではないのですが、こんなのが出ました。 「えっ!?」と思ったのですが、「OK」ボタンを押したくありません。そこで、メッセージにある「×」ボタンを押しました。すると、ピーという警告音のような音と共に、このような画面に変わりました。 これは、Outlook.com のページを開こうと思い、アドレスバーで入力したのですが、少々打ち間違いをしました。そうしたところ、こんなことに! 中央部のエラーメッセージを「×」ボタンを押すと、こんな画面に変わりました。 「Windowsセキュリティシステムが破損しています」ですかぁ。 しかし、これ、エラーメッセージに見せかけた画像です。先の「サイトからのメッセージ」は、ポップアップのメ
Rig Exploit Kit 観測数の拡大に関する注意喚起 – IIJ Security Diary
2016年9月頃より、日本国内の Web サイトを経由した Rig Exploit Kit による攻撃が急増しています。 IIJ Web クローラにおける Rig Exploit Kit の観測数推移 IIJ の観測範囲では、Rig Exploit Kit は主に Internet Explorer および Adobe Flash の脆弱性を悪用し、攻撃が成功した場合は Locky または Ursnif などのマルウェアがダウンロードされることを確認しています。 誘導元として観測された Web サイトは多数で、規模やコンテンツなどに共通点は確認できませんが、WordPress で運用されている Web サイトが複数見受けられます。また、誘導元の Web サイトには、2016年9月上旬から終息傾向にある Neutrino Exploit Kit や、2016年6月に終息した Angler E
「職人芸とされていた脆弱性診断の技術を誰でも使えるものに」Webセキュリティのプロ・上野宣さんに訊く
業界標準の脆弱性診断技術を具体化した入門書が必要とされている ――8月1日(月)に『Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術』が刊行となりました。上野さんはこの道のプロフェッショナルですが、具体的にはどのようなお仕事をされているのでしょうか。 上野:現在、私は主に脆弱性診断に関して広く携わっています。2006年に立ち上げたサイバーセキュリティ関連のトレーニングを行う株式会社トライコーダでは、「Webアプリケーション脆弱性診断講座」を実施しており、脆弱性診断サービスも提供しています。トレーニングの顧客には自社で脆弱性診断を行いたいという開発会社を始めとして、防衛省や警察などの官公庁の方々がいらっしゃいます。加えて、社内にCSIRT(コンピュータセキュリティ問題に対応するチーム)を立ち上げるための教育にも役立てていただいています。 また、私自
第4回 URLとオリジン | gihyo.jp
URLは、Webブラウジングを開始するという意味でも、Webに関連する技術の入り口という意味でも、Webにおける起点そのものです。 攻撃者の視点から見ると、多くの場合、URLは攻撃者自身によってコントロール可能です。その複雑な構造から、プログラム内でURLをデータとして取り扱う際にまちがいが発生しやすく、セキュリティ上の問題点を引き起こしやすい格好のねらい目、攻撃の起点であるとも言えます。 また、Webアプリケーションにおいてセキュリティを確保するためには、特定のリソースがそれぞれのWebアプリケーション自身と同一の保護範囲にあるものなのか、あるいは第三者の用意した可能性があり信用できないものなのかを区別して取り扱う必要があります。この境界条件は、Webアプリケーション自身の動作しているURLを基とした「オリジン」と呼ばれる範囲によって決定されます。 今回は、JavaScriptでのセキュ
第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング | gihyo.jp
前回は、Webアプリケーションにおける受動的攻撃の代表例の1つであるXSSについて、原理や対策を振り返りました。今回は、同じく受動的攻撃の代表例であるCSRF、オープンリダイレクト、クリックジャッキングについて掘り下げて解説していきます。 CSRF(クロスサイトリクエストフォージェリ) CSRFはどのように引き起こされるのか CSRFとは、たとえば掲示板の書き込みや設定情報の変更などの機能に対して、攻撃者のサイト上に設置されたフォームなどから強制的にリクエストを発行することで、ユーザーの意図していない操作と同様の結果をもたらす攻撃手法です。Webアプリケーションに永続的な副作用がある機能が攻撃の対象となります。 たとえば、http://example.jp/上に設置された掲示板で以下のようなHTMLがあったとします。 <form method="POST" action="/board">
第2回 Webセキュリティのおさらい その2 XSS | gihyo.jp
前回は、Webアプリケーションにおける受動的攻撃の代表例として、以下の4つを挙げました。 クロスサイトスクリプティング(XSS) クロスサイトリクエストフォージェリ(CSRF) オープンリダイレクト クリックジャッキング 今回は、これらのうち、XSSについてより掘り下げて解説していきます。 XSSはどのようにして引き起こされるのか XSSとは、動的にHTMLを生成するWebアプリケーションにおいて、データをエスケープせずに出力しているために、生成されるHTMLに攻撃者の作成したHTML断片やJavaScriptコードが埋め込まれてしまう脆弱性です。 たとえば、検索画面にてユーザーが「HTML5」という文字列を入力すると、http://example.jp/search?q=HTML5というURLで検索結果が表示されるWebアプリケーションがあったとしましょう。検索結果の画面では、ユーザーが
第1回 Webセキュリティのおさらい その1 | gihyo.jp
はじめに みなさんこんにちは、セキュアスカイ・テクノロジーのはせがわようすけと申します。 周知のとおり、ここ数年のブラウザの機能強化は目覚ましいものがあり、CSS3やSVGを含むHTML5ブーム以降のブラウザ内での表現力の向上や、JavaScriptエンジンの最適化による実行速度の向上は、数年前では考えられないような目を見張るものがあります。また、HTML5の仕様策定後の現在でも、WHATWGやW3Cではさまざまな議論が継続的に行われており、これまでブラウザ上に存在しなかったような多様なAPIの仕様が生み出され、各ブラウザに日々実装されています。 利用者視点だけでなく、以下のような開発者視点での需要に応えるフロントエンド開発環境の改善も、ここ数年でかつてないほど大きく進んでいます。 CoffeeScriptやTypeScriptに代表されるaltJSと呼ばれる言語処理系の登場 ES2015
Cookie関連の最新動向 (2016年) - Qiita
はじめに 去年ぐらいからCookieに関する議論が活発に行なわれているように感じます。そこでCookie関連の最新動向について仕様の観点から幾つか列挙します。 Deprecate modification of 'secure' cookies from non-secure origins Cookie Prefixes Same-site Cookies A Retention Priority Attribute for HTTP Cookies Content Security Policy: Cookie Controls GoogleのMike West氏による提案がほとんどです。議論はIETFのHTTPbis WGやW3Cで行なわれており将来的には正式に標準化されるものもあるでしょう。 また、幾つかはChromeへの実装が進められています。 (間違いなどありましたらご指摘下さ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
混合コンテンツはすべてデフォルトブロックへ ~「Google Chrome 79」から段階的に実施/サイト運営者はできるだけ早めの対応を
マイクロソフトを騙る偽警告がWebページ閲覧中に表示される事例 ~マイクロソフトが注意喚起
