続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
Amazon S3 静的サイトホスティングに対して、ワイルドカードによる DNS レコードは使わないでください | DevelopersIO
旬の生魚おじさん、都元です。弊社は本日を最終営業日として、これから冬季休業となります。 今年も一年、どうもありがとうございました。というわけで恒例の書き納め三本締め、その1。 だいぶ昔に「AWSにおける静的コンテンツ配信パターンカタログ(アンチパターン含む)」というエントリーでご紹介しましたが、Amazon S3 には静的ウェブサイトホスティングという機能があります。 静的 (つまり、状況に応じて異なるコンテンツを返さない、常に同じコンテンツを返す) ウェブサイトは、特に EC2 などのサーバーを立ち上げずに、S3 の機能を使って実現できます。古くからある機能です。 この機能は、さらに Amazon Route 53 によって ALIAS レコードを設定することにより、独自ドメインによるホスティングも可能です。これも古くからある機能です。 このあたりの詳細は AWS ドキュメントのチュート
7payの会見から学ぶソフトウェアテストの7原則 - ブロッコリーのブログ
目次 目次 はじめに この記事の元ネタ 教訓1:「脆弱性はなかった」という発言 ソフトウェアテストの7原則の1.テストは欠陥があることは示せるが、欠陥がないことは示せない ソフトウェアテストの7原則の7.「バグゼロ」の落とし穴 教訓2:仕様・設計の段階での指摘 ソフトウェアテストの7原則の3.早期テストで時間とコストを節約 教訓3:決済系のサービスに対するテスト ソフトウェアテストの7原則の6.テストは状況次第 おわりに はじめに 話題になっている7payの話を、ソフトウェアテストの知見(ソフトウェアテストの7原則)を使って、反面教師として次に活かせる形にして書いてみます。 ただし、「これを知れば事前に防げる!」と主張したいのではなく、(エンジニアも経営層も)意識して臨まないといけないという意味も込めて書きます。 この記事の元ネタ 教訓の元にした7pay会見の記事はこちら www.itme
Tポイントの不正はワンタイムパスワードでは防げないらしい: 独房の中
YahooIDはワンタイムパスワードにしてあったのに、急にログイン再設定完了のメール通知が来て、ログイン履歴みたら知らないGmailアドレスでログインされた形跡があって、Tポイントがごっそりなくなってた…連絡先メールアドレスに謎のアドレス増えてたし、ワンタイムパスワードなのにどう破られたん? — ほっそ (@AC12_GG9) 2018年11月12日 Tポイント不正利用について。 ヤフーからの回答によると、ワンタイムパスワード設定してあってもYahooIDとTカード番号が分かれば本人認証を通過してしまうらしい。これら二つを紐付けられたらアウトっぽいので皆さんも気を付けてください。 — ほっそ (@AC12_GG9) 2018年11月13日 他サイトとの連携をしていく上でセキュリティ上の設計に不備があったという事でしょうか。設計するときに全体を見渡して穴がないかをチェックし続けないと他のサイ
覆された常識、CSVファイルでウイルス感染
テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな
経産省、クレジットカードデータ利用のAPIガイドラインを策定 | 通販通信ECMO
経済産業省はこのほど、「キャッシュレス・ビジョン」と「クレジットカードデータ利用に係るAPIガイドライン」を策定した。
ウェブセキュリティの最近の話題早分かり
PHPカンファレンス2020での講演資料です。 アジェンダ 誤解1: Cookieは誤解がいっぱい 誤解2: 脆弱性があるページにのみ影響がある 誤解3: 脆弱なECサイトはセキュリティコードを保存している 誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる 誤解5: ハッシュ値で保存されたパスワードは復元されない 誤解6: 高価なSSL証明書ほど暗号強度が高い 誤解7: TRACEメソッドの有効化は危険な脆弱性である 誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する 誤解9: イントラのウェブサイトは外部からは攻撃できない 誤解10: セキュリティ情報はウェブで収集する
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
東京都庁の通信内容がダダ漏れ危機?「badWPAD」脆弱性とは (1/2)
「Black Hat USA 2016」レポートの第1回記事では、NetBIOSの「BadTunnel」脆弱性を悪用する攻撃例として「WPAD(Web Proxy Auto-Discovery)」を組み合わせた手法が登場した。だが実は、このWPAD自体にも、未だ修正されていない別の脆弱性が存在する。 8月5日、Black Hatの講演で登壇した元トレンドマイクロのマキシム・ゴンチャロフ氏が、「badWPAD」と名付けられたこの脆弱性の実態調査結果を発表した。これを悪用すれば、ターゲットを攻撃者のプロキシサーバーに接続させることができ、フィッシングサイトへの誘導、偽の認証画面を使ったログイン情報詐取(中間者攻撃)、通信内容の監視など、幅広い攻撃が可能になる。 しかもゴンチャロフ氏の調査では、東京都が使っている多数のクライアントPCが、現在進行形でそのリスクを抱えていることも具体的に明らかにさ
「安く早く」が崩壊しかけてるかも:Geekなぺーじ
日本国内でトップレベルのセキュリティ専門家である徳丸浩さんが、Twitterで「何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」と発言したことが話題になっています。 [Security] Webとセキュリティとソフトウェア工学 それぞれの方々のご意見を拝見した限り、「自前でWordPres立ててはいけない」という表現に対して「ダメって言うな!」や「じゃあ、どこで経験つめばいいの?」といった論点での反論は多い一方で、「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。今のインターネットの荒波がどれぐらいかというと、最後は主人公たちが乗っていた漁船が荒波に飲まれて全員死亡というパーフェクトストームという映画ぐらいのレベルだという感想を個人的に持っています。 いまのインターネットは、安さと早さを追
JTBへの不正アクセスについてまとめてみた - piyolog
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
安全なカード社会の実現をめざして日本カード情報セキュリティ協議会
JCDSC内には次の部会があり、運営されています。 QSA部会…QSA、ASV、PA-QSA、P2PE QSA等の認定審査会社 ※会合の参加者は審査員資格保有者であることが原則です。 ユーザー部会…PCI DSS準拠対象となる企業、PCISSCのPO(Participating Organizations)会員によって構成されます。※ITベンダー、コンサル会社は参加できません ベンダー部会…すべてのJCDSC会員が参加できます。 ●各部会の活動内容は、これまで会員専用ページに掲載し、開催日程のお知らせなどは会員団体のみにメール連絡で行ってまいりましたが、今後は日程や概要について、順次このページで公開していきます。 ※参加はJCDSC会員に限られます。 2020.1.22(水) ユーザー部会 会場:株式会社Eストアー(西新橋) 会議室 対象:JCDSCユーザー部会会員企業に所属するご担当者、
PCIDSSとは|日本カード情報セキュリティ協議会
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。 Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。 元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードが使える仕組み(マルチアクワイヤリング)が一般的な現在、各ブランドの要求に対応しなくてはなら
決済代行を使っていてもクレジットカード情報が漏洩するフォーム改ざんに注意
先日以下の記事が公開されました。決済代行会社を使っていたのにカード情報が漏洩したというものです。 同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日~27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。 名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。 問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。 従業員10人なのに「標的」に サイバー攻撃、中小企業が狙われる理由より引用 これに対して、以下のブックマークコメントがつきました。 そもそも、決済代行会社を使っているのになぜカード情報が
「Amazonの個人情報や購買情報は流出している」はマジでした。 - canadieの日記
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
細かすぎて伝わらないSSL/TLS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
Awesome Screenshot が閲覧したサイトのURLを収集している疑い
ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページ […] ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページに訪問したかをネットのどこかに送信する機能があるようです。 Jacq さんは、自分が管理するOSSECのサーバー上の Drupal の、ログインしないとアクセスできない管理画面の複数のURLに対して、”niki-bot”という名前のbotがアクセスしてくるのをアクセスログから発見しました。 外部から知りえないURLがアクセスされるからには、メンバー
5分で絶対に分かるPCI DSS − @IT
PCI DSSとは? セキュリティの基準として最近耳にする「PCI DSS」とはいったい何でしょうか。 クレジットカード会社のホームページを見るとPCI DSS(Payment Card Industry Data Security Standard)とは、 加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です…… 「JCBグローバルサイト PCIデータセキュリティスタンダード『PCIDSS』とは」より とあります。クレジットカード会社の基準だからクレジットカード情報を取り扱う局面に特化したもので、うちの組織には関係ないんじゃないかと思われている方も多いのではないでしょうか。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
