Webサービスぶっ壊れ地獄、行きやすぜ!
はじめに なあジョージさんよ……あんた、いつもこう言ってたよな? 「便利さとシンプルさ、それがユーザーも開発者も幸せにする秘訣だ」ってよ。 あたしゃな、その言葉に乗っかっちまった。ユーザーのため? 開発を効率化するため? そりゃあ立派なもんだ。でもな、それが「命取り」になることがあるんだぜ。 シンプルに作ったはずのサービスが、悪意ある奴らに好き勝手利用されて、時には「あたしの知らなかった地獄」を見せてくれる。越えたらいけない一線がある。そんな話を、今日はしようじゃねえか。 さあ、これがあたしらの舞台だ。 セキュリティの教科書には載らない、バグバウンティでも指摘されない、ニュースにもならない、「 現場のWebサービスぶっ壊れ地獄 」 ……教えてやりますぜ!! 1. サインアップし放題からのクレカ決済し放題地獄 この地獄、知ってやがるかい? 聞いてくれよ。ユーザーを簡単にサインアップさせる……
Webアプリ受託界隈の品質有象無象問題を何とかしたい
Webアプリ受託界隈 ここでいうWebアプリ受託界隈とは、以下のようなイメージです。 発注側は、年商数億〜数十億規模、非IT系の中小〜中堅企業(つまり社内に技術者はいない) 受託側は、数人〜数十人規模のシステム開発会社 予算数百万〜千数百万規模のWebアプリ(またはモバイルアプリ+Web API)新規開発 私はこんな界隈で仕事をしています。 品質有象無象問題 どうやらこの界隈では、品質、特にセキュリティ品質が、想像を絶するほどクソなものが、しれっと納品されていることがあるようです。 実体験を3つほど挙げます。 Case.1 某金融サービス会社の顧客マイページ FXを中心とする金融商品を扱う会社の顧客マイページの案件です。 開発した会社の対応が悪いので、保守・追加開発を引き継いで貰えないかとの相談を受けました。 事前調査の契約を結び、稼働中のアプリのソースコードを確認してみると・・・ ・利用
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件 | ログミーBusiness
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
サイバー人材確保「『給与の壁』を政治主導でぶち破れ」|FNNプライムオンライン
13日のフジテレビ系「日曜報道 THE PRIME」では、「能動的サイバー防御」やサイバー人材の確保などをめぐって、与野党の論客が議論した。 「能動的サイバー防御(アクティブサイバーディフェンス)」とは、サイバー空間での安全保障を強化するため、攻撃者を監視して先手を打つなどの対抗措置を取ることで、昨年12月に政府が閣議決定した「国家安全保障戦略」などに明記されている。 自民党の佐藤正久元外務副大臣は、「サイバーは、攻撃側が圧倒的に有利だ。守る方は大変だ」とした上で、「日ごろから怪しいと思ったら、そこを見ておく。1回攻撃を受けたら攻撃側を特定し、(場合によってはマルウェアを送って)無力化しないと、二の矢、三の矢を防ぐことができない」と指摘した。 そして、能動的サイバー防御の法整備の必要性を強調し、「立憲民主党が賛成したら、議論は加速化される」と述べた。 立憲民主党の中谷一馬衆院議員 この記事
Apple、英当局のプライバシー新方針にノー〜iMessageのサービス停止を勧告 - iPhone Mania
Apple、英当局のプライバシー新方針にノー〜iMessageのサービス停止を勧告 2023 7/21 Appleは、英国政府がメッセージングサービスにエンドツーエンド暗号化のバックドアを提供することを義務付ける法案が成立する可能性に直面し、英国内でiMessageおよびFaceTimeをサービス停止する、と勧告しました。 ■3行で分かる、この記事のポイント 1. 英政府はメッセージングサービスのプライバシーを弱める新法案を審議中。 2. Appleは全面的にノーを突きつけており、意見書も提出している。 3. 英国内でのみiMessageとFaceTimeがサービス停止となる可能性がある。 Appleは9ページにわたる意見書を提出 英国内で新しいオンライン安全法案が現在審議されていますが、Apple、WhatsApp、Signal、その他のサービスは、この提案に反対の声を上げています。 英
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 | 日本ネット経済新聞|新聞×ウェブでEC&流通のデジタル化をリード
2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 0 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。 ECサイトと本人認証の仕組みの導入の義務化は、「クレジットカード決済システムのセキュリティ対策強化検討会」の第6回会合で提出された報告書案に盛り込まれた。 報告書案では、クレジットカード番号の不正利用被害が増え続ける問題を背景に、「ECサイトからクレジットカード情報が漏洩することへの対策」「漏洩したクレジットカード情報が不正に使われることへの対策」の2点を盛り込んだ。 具体的には、「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱
個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入 | 河北新報オンライン
宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。 兵庫県尼崎市で全市民約46万人分の個人情報が入ったUSBメモリーが紛失したのを受け、情報管理態勢のさらなる…
ゼロトラストは攻撃者から見たら実はセキュアではない ペンテスターの目線から考える、監視システムの現状
自己紹介 牧田誠氏(以下、牧田):それでは対談に入っていきたいと思います。川口さん、ルスランさんお願いします。 川口洋氏(以下、川口):はい。自己紹介です。私は川口設計という会社を経営しています。川口です。何だかんだでイエラエの顧問をやっていて、お付き合いがあります。私はともかくとして、みなさんはルスランさんのお話を聞きたいと思うので、ルスランさんよろしくお願いします。 ルスラン・サイフィエフ氏(以下、ルスラン):GMOサイバーセキュリティ byイエラエのオフェンシブセキュリティ部 部長と執行役員をやっているルスランと申します。私と私たちの部という意味では、ペンテストやアプリケーションセキュリティを随時やっています。 川口:今日は3つのテーマを用意しているので、いろいろとルスランさんに聞いていきたいなと思います。(スライドを示して)ペンテスターであるルスランさんから見た最近のセキュリティの
市民3万人分の個人情報流出 釜石市職員2人が懲戒免職|NHK 岩手県のニュース
釜石市は、市民全員にあたるおよそ3万人分の氏名や住所などの個人情報のデータを自宅のパソコンにメールで送るなどして持ち出したとして、職員2人を懲戒免職にしました。 これは、釜石市の野田武則市長が記者会見して明らかにしたものです。 それによりますと、総務企画部の40代の女性の係長と建設部の40代の男性の主査が、氏名や住所、生年月日などが記載された住民基本台帳や業務上作成した表計算ソフトのデータを、少なくとも7年前から21回にわたって、自宅のパソコンのメールアドレスに送ったり、お互いに送り合っていたということです。 データが持ち出されたのは、市の人口全体にあたるおよそ3万人分にも上るということです。 このうち、おととし分のデータ持ち出しについて、女性係長は住民基本台帳システムの閲覧権限がありませんでしたが、権限のあった男性主査に頼み、データをメールで送信させていたということで、市は2人を住民基本
自治体から迷惑メール91万件 SBテクノロジーのセキュリティクラウド、設定ミス突かれ踏み台に
SBテクノロジーは3月21日、同社が提供する自治体向け情報セキュリティクラウドが、メール中継システムの設定ミスにより、迷惑メールの踏み台になったと発表した。 不正送信されたメールは91万2299件(.jpドメイン向け2467件、それ以外のドメイン向け90万9832件)。メール中継システムが受信拒否リストに登録され、自治体の一部メールが送信できない問題も発生していた。 システムを利用している秋田県などが被害を公表した。個人情報など自治体内の情報漏えいは確認していないという。 SBテクノロジーによると、3月18日午後、メール中継システムで送信障害が発生。メンテナンスで約1時間後に解消したが、メンテナンスの際のアクセスコントロールリスト(ACL)設定でミスがあり、第三者から外部にメール送信できる「オープンリレー」を許可してしまっていた。 その約2時間半後、メール中継システムの異常を検知。オープン
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。バックアップも消され、データを取り戻したければ、身代金を支払うよう要求される──企業にとって絶対に直面したくない事態の一つだ。しかしこのシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ。 freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。 訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあったという。同社のPSIRTが取り組んだ
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
APIセキュリティ入門(2):APIの認証と認可をスケールする手法 - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回は、APIをエッジで処理する有効性について説明した。第2回の本稿では、APIの認証と認可をエッジでどのようにスケールさせるかを説明したい。 APIのタイプには、パブリックとプライベートがある。パブリックなものは、誰でもAPIを呼び出すことができ、大概は一定期間キャッシュできるため、コンテンツ配信ネットワーク(CDN)のような仕組みは非常に有効だ。例えば、検索結果を返すAPIは、バックエンドのデータベース情報が変わらなければ常に同じ結果を返すので、エッジでキャッシュできればエンドユーザーの操作性はかなり良くなる。また、毎回オリジンサーバにリクエストが届かなくなるので、クラウド基盤のコンピュータリソースもコスト削減できる。 問題なのは、
APIセキュリティ入門(1):APIをエッジで制御する意味とは何か
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます モノからコトへと人々の価値観が変化、多様化していく中で、自社の発想だけでのユーザー囲い込みは、よほどの強力な製品やプラットフォームがなければ生き残り続けるのは厳しい。コストもかかる。多くの企業はビジネスのアジリティを高めるために、従来のモノリシックなシステム構造から脱却し、クライアントからのデータアクセスをAPIで提供している。そして、APIはマネタイズ(収益化)するための重要な企業戦略になる可能性を秘めている。APIは「Application Programming Interface」の略だが、「A Profit Increase」だという解釈もあるようにAPIは利益を生み出すのだ。 日々、約3兆のリクエストをインターネットで処理し
NTTぷららの委託先で個人情報流出の可能性--最大で800万件
NTTぷららは7月2日、サービス機器配送などの委託先で個人情報が流出した可能性があると発表した。現時点で最大800万件の個人情報が流出した可能性があるとしている。 NTTぷららが機器配送業務を委託しているエヌ・ティ・ティ・ロジスコ(NTTロジスコ)が第三者による不正アクセスを受け、個人情報が滅失し、流出している可能性が判明したとのこと。7月1日の9時56分に発覚したという。 発生場所は、エヌ・ティ・ティ・ロジスコ 千葉物流センターA棟で、流出した可能性がある個人情報は、NTTロジスコに配送業務を委託する上で必要となる配送先情報に含まれている、氏名、住所、電話番号、DRMID(STBが保有する数字16桁固有の番号)、ひかりTVの契約番号となる基本契約番号、お客様番号。なお、クレジットカード情報および金融機関口座情報などの決済関連情報は一切含まれていないとしている。 NTTロジスコに委託してい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
16万円送金しようとATMに行ったら思いの外苦労した話「今全国こんな風なの?」
Microsoft changes signing key system breached by Chinese hackers to steal US gov’t data
数多くのPCで採用されているInsyde H2O UEFI BIOSに23個の脆弱性。開示で修正へ
徳丸 浩 on Twitter: "これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw"
「習近平のID番号でユーザー登録すると…」ダメ警官が指導者の個人情報を転売、中国“最強監視社会”のショボい裏側 | 文春オンライン
