この記事では、私が今年報告したFirefoxブラウザの脆弱性の中から、主観的に発生原理が面白いと思うものを3点ほど紹介します。 見つけた脆弱性の一覧は以下のとおりです。これらはすでに修正済みであり、開発元のMozillaから情報公開の許可を得ています。透明性のある対応に感謝します。 今年見つけたFirefoxの脆弱性一覧この記事で触れていない脆弱性のうちいくつかは、MozillaのAttack & Deffenceというセキュリティブログに寄稿しておりますので、宜しければそちらもご覧ください。それでは、はじめていきましょう。 1. XSSによるサーバ証明書検証エラーのバイパスまずは、お馴染みのXSSです。本来、XSSはWebアプリの脆弱性ですが、Webブラウザの中にも存在することがあります。たとえば、サーバに接続できない場合に表示されるエラー画面を思い浮かべてください。あれはサーバから取得

セキュリティ・キャンプ全国大会 2020 オンラインの 講義 B7 「マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価」のスライドです。 発表者の情報: https://shift-js.info Twitter: htt…

株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 漏洩した情報は以下のように発表されています。 クレジットカード番号 有効期限 セキュリティコード はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。 本稿では、この件を含め、本年の現時点までのウェブサイトからのクレジットカード情報漏えい事件についてまとめました。 事件の一覧 下表に本年(2019年)の現時点までに公表されたウェブサ

2020/10/18 @ SECCON Beginners Live

2019/9/8(火)～9/30(水) の期間で開催されている、AWS Summit Online からセッションをレポートします。 本記事は「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」をレポートします。 セッション概要 スピーカー： ビジョナル株式会社取締役 CTO 竹内真 氏 ビジョナル株式会社執行役員 CIO 園田剛史氏 セッション内容： 2020 年 2 月、株式会社ビズリーチはグループ経営体制に移行し、新たに Visional グループとして、「新しい可能性を、次々と。」というミッションのもと、様々な領域で事業創出を続けています。複数事業を展開するにあたり、グループとしてのセキュリティガードレールの取り組み、今後の展望についてお話しいたします。 セッション動画と資料 動画と資料のリンクはこちらになります。 セッションレポート アジ

2020年9月15日、ゆうちょ銀が提携するドコモ口座以外の電子決済サービスでも不正利用被害が発生していると総務大臣が明らかにしました。ここでは関連する情報をまとめます。 不正利用が発生した決済サービス 2020年9月16日8時時点で不正利用が判明している、報道されている電子決済サービスは以下の通り。 決済サービス 被害総件数 被害総額 被害発生/判明時期 被害判明銀行 ドコモ口座 189件 2797万円 2019年10月以降 七十七銀、大垣共立銀、中国銀、紀陽銀、滋賀銀、東邦銀、鳥取銀、みちのく銀、イオン銀、ゆうちょ銀、第三銀（全部で11銀行） PayPay 18件 約265万円 2020年1月以降 ゆうちょ銀、イオン銀、愛媛銀 Kyash 4件 53万円 不明(2020年9月7日提携開始) ゆうちょ銀、イオン銀 LINE Pay 2件 49.8万円 不明 ゆうちょ銀 メルペイ 3件 約4

※この記事は9月14日正午に配信されたメールマガジンに掲載されたものです。 9月に入って発生した「ドコモ口座」問題は、1年前の7Pay問題に勝るとも劣らない、日本のデジタル決済に関する重大事件になった。 ただ、コメント取材を受けたり報道を見聞きしたりしていると、どうにも違和感がつきまとう。この問題の本質を、非テック系メディアは矮小化して捉えているのではないだろうか。 そこで今回は、その「違和感」をまとめてみたいと思う。 この記事について この記事は、毎週月曜日に配信されているメールマガジン『小寺・西田の「マンデーランチビュッフェ」』から、一部を転載したものです。今回の記事は2020年9月14日に配信されたものです。メールマガジン購読（月額660円・税込）の申し込みはこちらから。 違和感その1：ドコモを土下座させて終わりなのか 「ドコモ口座問題」という名称から、「ドコモが悪い」という第一印象

こんにちは、臼田です。 皆さん、AWS Summit Online Japanを楽しんでいますか？(挨拶 今回は『CUS-77: 6000 個のセキュリティポリシーを自動監査！アカツキ流、AWS セキュリティの取り組み紹介』というセッションを聞いたのでそのレポートをします。 大規模なAWSアカウントのセキュリティ監査をいかに効率化・自動化していったかというお話でした！ぜひレポートや本編をご確認ください！ セッション概要 株式会社アカツキ モバイルゲーム事業部 テクニカルエヴァンジェリスト 駒井 祐人 氏 AWS アカウントを一定数運用していると、組織のセキュリティポリシーから外れた運用をしていないか監査する工数が大きくなります。本セッションでは - AWS Config をマルチアカウント運用し、6000 個のポリシーチェックを自動監査 - CloudFormation StackSet

「LINEヤフーDesign 公式note」 LINEヤフー株式会社のデザインに関連するさまざまな情報を発信するLINEヤフーDesign 公式noteです。

ACTIVE GALACTIC @active_galactic 悪巧みをする人間は賢いな．確かに口座番号・暗証番号・氏名の組み合わせは工夫すれば手に入ってしまう．口座番号を入力すると振込先の宛名を表示してくれるサービスはあるし，語呂合わせのような使っている人が多い暗証番号で口座番号を片っ端から試していくと，一定確率で貫通するだろう．>RT ACTIVE GALACTIC @active_galactic リバースブルートフォースアタック：物理学科のロッカーで暗証番号を137決め打ちで片っ端から試して，貫通したロッカーから貴重品を盗む泥棒を想像した．数学科なら1729とかだろうか．

「われわれの認識が甘かった」──NTTドコモは9月10日、電子決済サービス「ドコモ口座」を利用した銀行口座からの不正出金について緊急の記者会見を開き、被害者やサービスの利用者に対して謝罪した。非を認めるドコモが頭を下げる一方、当事者のもう片方である銀行の姿はなかった。 左からドコモの田原努部長（ウォレットビジネス部）、丸山誠治副社長（代表取締役）、前田義晃本部長（常務執行役員 マーケティングプラットフォーム本部） 「悪意を持つユーザーを排除する仕組みが欠落していた」 「今回の不正利用は、ドコモ口座の作成に当たってドコモ側の本人確認が不十分だったことが原因であると認識している。おわびを申し上げたい」。ドコモの丸山誠治副社長（代表取締役）は会見冒頭で、ドコモのセキュリティ体制に問題があったという認識を示した。 8月から9月10日までの被害件数は、被害が確認された11銀行を合わせて66件。被害総

2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏（EGセキュアソリューションズ　代表取締役）に、今起きていること、今できることを聞いた。 これは「金融テロ」か？　ドコモ口座で何が起きているのか ――まず、今問題になっている「ドコモ口座」事件、現時点で何が起きているのでしょうか 徳丸氏：　狙われたのは「ドコモ口座と連携できる地銀の口座を持つ、ドコモ口座を利用していないユーザー」です。現時点ではほとんどの銀行が連携を停止しているため、利用者ができることはあまり多くありません。口座の残高を確認して自分が被害に遭っていないかを確認する程度になるでしょう。 ――第一報では「地方銀行が狙われた」ことが注目を集めました。ゆうちょ銀行やメガバ

「ドコモ口座」＋「Web口座振替受付サービス」の悪用 簡単な時系列 「Web口座振替受付サービス」のセキュリティがガバガバ 「ドコモ口座」もガバガバである 「Web口座振替受付サービス」のシステムも問題だが、「ドコモ口座」の責任も免れないだろう 9月9日中の追記 9月10日の追記 9月11日の追記 「ドコモ口座」＋「Web口座振替受付サービス」の悪用 「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた。 簡単な時系列から「Web口座振替受付サービス」の実体、「ドコモ口座」の問題点などを述べていきたい。 被害情況については ドコモ口座を悪用した不正送金についてまとめてみた - piyolog が詳しい。 手法は不明であるが、『ドコモ口座』の不正利用、誰が被害に遭う？→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース や 「ドコモ口座」で相次ぐ不正出

NTTドコモのドコモ口座を悪用し、不正に盗み出した口座番号、キャッシュカード暗証番号等の情報を使用した口座の不正利用が発生したと報じられました。ここでは関連する情報をまとめます。 勝手に作成したドコモ口座に送金 不正送金の手口 犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。 銀行預金者の名義でドコモ口座を開設。 入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web口振受付サービス」を利用 サービスを通じて口座預金をドコモ口座にチャージ。 Web口振受付サービスは銀行提携先のWebサイトを通じて口座振替の申し込み手続きができるサービス。 ドコモ口座不正利用の発表相次ぐ 当初被害報告が上がった銀行は七十七銀行だが、その後も複数の地銀で不正利用に関する案内が相次ぎ公開された。 ドコモ口座登録等の受付停止を行った銀行 35行、全ての銀行 不正利用(疑い含む)発

2020年8月25日、米司法省はネバダ州の企業のネットワークへマルウェア感染の陰謀をはかったとして、ロシア国籍の男を逮捕したと発表しました。その後、ターゲットにされた企業がテスラ社だったと報じられています。ここでは関連する情報をまとめます。 犯行に協力させるため従業員に賄賂 www.justice.gov 逮捕、起訴されたのはロシア国籍 27歳の男。2020年7月28日に観光ビザで入国していた。 アメリカネバダ州の企業で働く従業員（訴状ではCHS1と記載されている、ここでは従業員Aと表記）に賄賂（100万ドル）を渡し、社内ネットワークにマルウェアを仕掛けるよう要求した。 男の狙いは会社のシステムに侵入し、社内情報を窃取。オンライン上で盗んだデータを公開すると脅し身代金を要求するというもの。 逮捕発表から2日後の報道を通じネバダ州の企業はテスラ社だったことが判明。Elon Musk氏も「深刻

2020年8月19日、台湾の法務部調査局は政府機関や関係者の複数のメールアカウントを対象にしたサイバー攻撃が中国により行われ、機密情報の窃取が試みられたと発表しました。ここでは関連する情報をまとめます。 www.mjib.gov.tw 政府に情報サービスを提供する事業者を狙う 台湾法務部調査局は中国政府と関係があるとみられるハッカーグループを名指しし、台湾に対するサイバー攻撃が2018年頃より行われていたと発表。 攻撃はデータ窃取が目的で、政府文書、データ等が流出した可能性があると担当者は見解を示した。 証跡の消去が行われていることから具体的な被害の特定には至っていない。少なくとも2つの市政府、1つの国立大学を含む中央、地方の10の政府機関と国内4社のハイテク系企業が攻撃を受けていた。 6,000人超のメールアカウントも標的となっていた。 政府機関向けにサービス提供を行う情報サービス事業者

2019年より日本に向けても活動を行っているマルウェアEmotet (エモテット) (2020/02/07以降活動休止) が2020/07/17より約5ヶ月ぶりに活動を再開しました。 ※（2020/12/22追記）2020/10/31の休止後、2020/12/21に開催されたマルウェアEmotetの活動では挙動似変更点がありますので、2020/12/21以降のEmotetに関する情報は本記事ではなく、以下の記事を参照ください。 ※Emotetは休止以前と基本的な挙動は変わっていません。以下の記事の内容は有効です。 ・マルウェアEmotetについて ・Emotet感染時の対応 ■活動再開とは 活動再開、というのは何を意味しているかというと「Emotetに感染した端末がEmotetに感染させるようなメールの送信を再開した」ということです。 2020/02/07以降もEmotetは感染した端末上

2020年5月28日、NTTコミュニケーションズは社内ネットワークや一部サービスが不正アクセスを受け情報流出の可能性があると発表しました。また、同年7月2日には発表済み事案の影響顧客に追加があったこと、そしてBYOD端末を経由した別事案を把握し、これも情報流出の可能性があると発表しました。ここでは関連する情報をまとめます。 NTTコミュニケーションズで起きた2つの事案 2つの事案概要を図に整理すると次の通り。両事案とも情報流出が発生した可能性がある。 2つの事案の概要図 事案① 複数の海外拠点を経由しNTTコミュニケーションズの一部サービスに侵入した事案。さらにそのサービスで運用されるサーバーを踏み台に、社内ネットワークへ侵入し、ADサーバーやファイルサーバーの操作を行った。サービス上で保管された工事情報等やファイルサーバー上の情報が流出した可能性がある。 事案② BYODとして使用してい

はじめまして、サイバーセキュリティ推進部の喜屋武です。 今回は2020年6月に発生したお名前.com上の当社アカウント乗っ取りによる「coincheck.com」のドメイン名ハイジャックのインシデントについて、発覚までの経緯とその後のインシデント対応についてご説明します。 1 発覚までの経緯 1.1 サービスの応答時間の遅延の確認 当社利用のドメイン登録サービス「お名前.com」で発生した事象について（最終報告） | コインチェック株式会社 でもタイムラインを記載しましたが、最初の異変は日頃からモニタリングしているサービスのレスポンスタイムが著しく遅延していたことでした。 当時のサービスのレスポンスタイム この異常を確認し、SRE チームが調査に乗り出しましたがこの段階では他に問題は確認されず、レスポンスが遅延している原因の特定には至っていませんでした。 1.2 他部署やユーザーからの問い