第三者がドメイン名の登録情報を不正に書き換えてしまうドメイン名ハイジャック。近年、国内でも大手企業や人気サイトなどがその被害に遭っている。誘導先の偽サイトでマルウェアの注入やフィッシング詐欺が行われるケースもあり、企業の信頼や事業継続に関わる致命的な影響を与えかねない。 暗号資産取引所を運営するコインチェックも、ドメイン名ハイジャックの被害に遭った会社の1つだ。2020年6月、同社が利用するドメイン名登録サービスの社有アカウントが不正アクセスを受け、登録情報が何者かによって書き換えられてしまった。 しかしながら、コインチェックによる早期発見と迅速な対応により、甚大な被害には至らなかった。さらに、インシデント発生後に詳細なレポートを公表したことも評価され、コインチェックは今回、「情報セキュリティ事故対応アワード 2020」を受賞した。 当時、現場では何が起きていたのだろうか。そして、そこから
ここでは、手口および対処、被害にあわないための対策について解説します。 なお、以下に掲載するiPhoneの画面は、相談内容等をもとにIPAが再現したものであり、実際の手口の画面とは異なる場合があります。 (脚注1) 本件に関するこれまでの相談件数 2016年:1件 2017年:0件 2018年:2件 2019年:0件 2020年:227件 2021年:79件(3月末時点) 1.手口の概要 iPhoneのカレンダーに身に覚えのないイベントが入ってしまうパターンには以下の2通りがあります。 (1)アカウント追加型(悪者の仕掛けたワナにハマってしまうケース) (2)イベント・カレンダー共有型(悪者から一方的に送られるケース) (1)アカウント追加型(悪者の仕掛けたワナにハマってしまうケース)の手口(2020年8月追加内容) サイト(脚注2)に表示される画面の「照会」などをタップしてしまう(図4)
この記事では、私が今年報告したFirefoxブラウザの脆弱性の中から、主観的に発生原理が面白いと思うものを3点ほど紹介します。 見つけた脆弱性の一覧は以下のとおりです。これらはすでに修正済みであり、開発元のMozillaから情報公開の許可を得ています。透明性のある対応に感謝します。 今年見つけたFirefoxの脆弱性一覧この記事で触れていない脆弱性のうちいくつかは、MozillaのAttack & Deffenceというセキュリティブログに寄稿しておりますので、宜しければそちらもご覧ください。それでは、はじめていきましょう。 1. XSSによるサーバ証明書検証エラーのバイパスまずは、お馴染みのXSSです。本来、XSSはWebアプリの脆弱性ですが、Webブラウザの中にも存在することがあります。たとえば、サーバに接続できない場合に表示されるエラー画面を思い浮かべてください。あれはサーバから取得
株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 漏洩した情報は以下のように発表されています。 クレジットカード番号 有効期限 セキュリティコード はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。 本稿では、この件を含め、本年の現時点までのウェブサイトからのクレジットカード情報漏えい事件についてまとめました。 事件の一覧 下表に本年(2019年)の現時点までに公表されたウェブサ
2020/10/18 @ SECCON Beginners Live
2019/9/8(火)~9/30(水) の期間で開催されている、AWS Summit Online からセッションをレポートします。 本記事は「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」をレポートします。 セッション概要 スピーカー: ビジョナル株式会社取締役 CTO 竹内真 氏 ビジョナル株式会社執行役員 CIO 園田剛史氏 セッション内容: 2020 年 2 月、株式会社ビズリーチはグループ経営体制に移行し、新たに Visional グループとして、「新しい可能性を、次々と。」というミッションのもと、様々な領域で事業創出を続けています。複数事業を展開するにあたり、グループとしてのセキュリティガードレールの取り組み、今後の展望についてお話しいたします。 セッション動画と資料 動画と資料のリンクはこちらになります。 セッションレポート アジ
2020年9月15日、ゆうちょ銀が提携するドコモ口座以外の電子決済サービスでも不正利用被害が発生していると総務大臣が明らかにしました。ここでは関連する情報をまとめます。 不正利用が発生した決済サービス 2020年9月16日8時時点で不正利用が判明している、報道されている電子決済サービスは以下の通り。 決済サービス 被害総件数 被害総額 被害発生/判明時期 被害判明銀行 ドコモ口座 189件 2797万円 2019年10月以降 七十七銀、大垣共立銀、中国銀、紀陽銀、滋賀銀、東邦銀、鳥取銀、みちのく銀、イオン銀、ゆうちょ銀、第三銀(全部で11銀行) PayPay 18件 約265万円 2020年1月以降 ゆうちょ銀、イオン銀、愛媛銀 Kyash 4件 53万円 不明(2020年9月7日提携開始) ゆうちょ銀、イオン銀 LINE Pay 2件 49.8万円 不明 ゆうちょ銀 メルペイ 3件 約4
※この記事は9月14日正午に配信されたメールマガジンに掲載されたものです。 9月に入って発生した「ドコモ口座」問題は、1年前の7Pay問題に勝るとも劣らない、日本のデジタル決済に関する重大事件になった。 ただ、コメント取材を受けたり報道を見聞きしたりしていると、どうにも違和感がつきまとう。この問題の本質を、非テック系メディアは矮小化して捉えているのではないだろうか。 そこで今回は、その「違和感」をまとめてみたいと思う。 この記事について この記事は、毎週月曜日に配信されているメールマガジン『小寺・西田の「マンデーランチビュッフェ」』から、一部を転載したものです。今回の記事は2020年9月14日に配信されたものです。メールマガジン購読(月額660円・税込)の申し込みはこちらから。 違和感その1:ドコモを土下座させて終わりなのか 「ドコモ口座問題」という名称から、「ドコモが悪い」という第一印象
こんにちは、臼田です。 皆さん、AWS Summit Online Japanを楽しんでいますか?(挨拶 今回は『CUS-77: 6000 個のセキュリティポリシーを自動監査!アカツキ流、AWS セキュリティの取り組み紹介』というセッションを聞いたのでそのレポートをします。 大規模なAWSアカウントのセキュリティ監査をいかに効率化・自動化していったかというお話でした!ぜひレポートや本編をご確認ください! セッション概要 株式会社アカツキ モバイルゲーム事業部 テクニカルエヴァンジェリスト 駒井 祐人 氏 AWS アカウントを一定数運用していると、組織のセキュリティポリシーから外れた運用をしていないか監査する工数が大きくなります。本セッションでは - AWS Config をマルチアカウント運用し、6000 個のポリシーチェックを自動監査 - CloudFormation StackSet
ACTIVE GALACTIC @active_galactic 悪巧みをする人間は賢いな.確かに口座番号・暗証番号・氏名の組み合わせは工夫すれば手に入ってしまう.口座番号を入力すると振込先の宛名を表示してくれるサービスはあるし,語呂合わせのような使っている人が多い暗証番号で口座番号を片っ端から試していくと,一定確率で貫通するだろう.>RT ACTIVE GALACTIC @active_galactic リバースブルートフォースアタック:物理学科のロッカーで暗証番号を137決め打ちで片っ端から試して,貫通したロッカーから貴重品を盗む泥棒を想像した.数学科なら1729とかだろうか.
A birthday present every eleven wallets? The security of customer-chosen banking PINs Joseph Bonneau, Sören Preibusch, Ross Anderson Computer Laboratory University of Cambridge {jcb82,sdp36,rja14}@cl.cam.ac.uk Abstract. We provide the first published estimates of the difficulty of guessing a human-chosen 4-digit PIN. We begin with two large sets of 4-digit sequences chosen outside banking for onl
「われわれの認識が甘かった」──NTTドコモは9月10日、電子決済サービス「ドコモ口座」を利用した銀行口座からの不正出金について緊急の記者会見を開き、被害者やサービスの利用者に対して謝罪した。非を認めるドコモが頭を下げる一方、当事者のもう片方である銀行の姿はなかった。 左からドコモの田原努部長(ウォレットビジネス部)、丸山誠治副社長(代表取締役)、前田義晃本部長(常務執行役員 マーケティングプラットフォーム本部) 「悪意を持つユーザーを排除する仕組みが欠落していた」 「今回の不正利用は、ドコモ口座の作成に当たってドコモ側の本人確認が不十分だったことが原因であると認識している。おわびを申し上げたい」。ドコモの丸山誠治副社長(代表取締役)は会見冒頭で、ドコモのセキュリティ体制に問題があったという認識を示した。 8月から9月10日までの被害件数は、被害が確認された11銀行を合わせて66件。被害総
2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏(EGセキュアソリューションズ 代表取締役)に、今起きていること、今できることを聞いた。 これは「金融テロ」か? ドコモ口座で何が起きているのか ――まず、今問題になっている「ドコモ口座」事件、現時点で何が起きているのでしょうか 徳丸氏: 狙われたのは「ドコモ口座と連携できる地銀の口座を持つ、ドコモ口座を利用していないユーザー」です。現時点ではほとんどの銀行が連携を停止しているため、利用者ができることはあまり多くありません。口座の残高を確認して自分が被害に遭っていないかを確認する程度になるでしょう。 ――第一報では「地方銀行が狙われた」ことが注目を集めました。ゆうちょ銀行やメガバ
「ドコモ口座」+「Web口座振替受付サービス」の悪用 簡単な時系列 「Web口座振替受付サービス」のセキュリティがガバガバ 「ドコモ口座」もガバガバである 「Web口座振替受付サービス」のシステムも問題だが、「ドコモ口座」の責任も免れないだろう 9月9日中の追記 9月10日の追記 9月11日の追記 「ドコモ口座」+「Web口座振替受付サービス」の悪用 「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた。 簡単な時系列から「Web口座振替受付サービス」の実体、「ドコモ口座」の問題点などを述べていきたい。 被害情況については ドコモ口座を悪用した不正送金についてまとめてみた - piyolog が詳しい。 手法は不明であるが、『ドコモ口座』の不正利用、誰が被害に遭う?→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース や 「ドコモ口座」で相次ぐ不正出
NTTドコモのドコモ口座を悪用し、不正に盗み出した口座番号、キャッシュカード暗証番号等の情報を使用した口座の不正利用が発生したと報じられました。ここでは関連する情報をまとめます。 勝手に作成したドコモ口座に送金 不正送金の手口 犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。 銀行預金者の名義でドコモ口座を開設。 入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web口振受付サービス」を利用 サービスを通じて口座預金をドコモ口座にチャージ。 Web口振受付サービスは銀行提携先のWebサイトを通じて口座振替の申し込み手続きができるサービス。 ドコモ口座不正利用の発表相次ぐ 当初被害報告が上がった銀行は七十七銀行だが、その後も複数の地銀で不正利用に関する案内が相次ぎ公開された。 ドコモ口座登録等の受付停止を行った銀行 35行、全ての銀行 不正利用(疑い含む)発
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く