https://jp.techcrunch.com/2022/01/06/2022-01-05-ftc-legal-action-log4j/
StackOverflowからのコピペをやめろ。今すぐにだ。 - Qiita
Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。 実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。 さて、最近になって似たような攻撃に関する論文が公開されました。 人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。 ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。 平易に解説している記事があったので紹介してみます。 以下はDotnetsafer( Twitter / GitHub / Web
「パスワード付き圧縮ファイルは詐欺だと思って」海外からの仕事依頼でファイルをダウンロードしたらTwitterを乗っ取られた
九六槻コウ @KUROtsuki__KOU 【拡散希望】 僕のTwitterアカウントが乗っ取られました。 直前に覚えのないメールアドレス変更がありましたが、2段階認証も設定しており、経緯は現在Twitter社に確認中です。 現在乗っ取ったアカウントにて下記の固定ツイートをしているようです。 絶対にクリックしないでください! pic.twitter.com/b2exT4i4kP 2021-12-15 04:27:22 九六槻コウ @KUROtsuki__KOU 簡単な経緯の推測 ・海外からイラストの依頼あり ・資料をrar形式(圧縮ファイルの一種)で送られてきて、ダウンロード→解凍 ・約1時間後、Twitterのメールアドレス変更の通知が来る ・念の為再度2段階認証を設定し直し ・直後乗っ取り&メタマスク内も全部抜かれる 恐らくPCがやられた可能性 2021-12-15 05:07:17
「オープンソース」は壊れている
christine.websiteのブログより。 または: お金を払わない限り、有用なソフトウェアを書かないのか? 最近、重要なJavaエコシステム・パッケージに大きな脆弱性が見つかりました。この脆弱性が完全に兵器化されると、攻撃者はLDAPサーバから取得した任意のコードを実行するよう、Javaサーバを強制することができます。 <マラ> もしこれがニュースで、あなたがJavaショップで働いているなら、残念ですが、あなたには2、3日が待っています。 私は、これが「オープンソース」ソフトウェアの主要なエコシステム問題の全ての完璧な縮図だと考えています。log4j2が、この問題の最悪のシナリオの1つの完璧な例であると思うので、このすべてについていくつか考えを持っています。この問題に関与したすべての人が、現実世界の問題に対する完全に妥当な解決策のためにこれらすべてを行ったことは完全に合理的であり、
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
スイーツパラダイス(スイパラ)利用者のクレカ情報が不正利用されている疑惑。FGO、原神、にじさんじ、まどか、第五人格などとのコラボ期間中
むぎ @tr_mugi クレカ不正利用されたんですが、スイパラさんクレカ情報漏れてたりしません?それ以外考えられないんですが、、、、、、、、、、そのほかはいつも利用してるところしかないので、、、 2021-12-06 23:22:22 むぎ @tr_mugi やっぱりスイパラに問い合わせます……1人の声じゃどうにもならないと思うんですが、カード会社には被害額の四万払ってくださいとか言われてしまったので、悔しすぎるので問い合わせるだけ問い合わせます。もし最近クレカの不正利用に遭われた方いらっしゃいましたら、教えていただけますと幸いです。 2021-12-09 21:46:35 八尋 @yhr__k 昨日クレジットカードの不正利用あって、Twitterでスイパラ通販利用した方が何人か不正利用のツイートされてたから念のためとりあえず問い合わせ送ってみたら早速電話きて、そういったことは今のところは
LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード
LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。 国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子(LINE IDとは異なる)、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。 決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認
GoDaddyにデータ侵害、最大120万人のWordPressホスティングユーザーの個人情報が漏えい
侵害されたのは9月6日以降、侵害を発見したのは11月17日。手口は、侵害されたWordPressのパスワードを使ってWordPressのレガシーコードベースのプロビジョニングシステムにアクセスするというもの。発見してすぐに攻撃者をロックアウトしたとしている。 アクセスされたと確認した顧客情報は以下の通り。 最大120万人のManaged WordPressユーザーのメールアドレスと顧客番号 WorPressの管理者パスワード アクティブなユーザーの場合、sFTPクレデンシャルとデータベースのユーザー名とパスワード アクティブなユーザーのSSL秘密鍵 GoDaddyはWordPressのパスワードと秘密鍵をリセットし、新しいSSL証明書を発行している。 【更新履歴:2021年11月23日午前10時10分 WordPressのホスティングサービスへの侵害であることが明確になるようタイトルと本文
これから「みずほ銀行」に起こるヤバい現実…金融庁が送り込んだ「特殊部隊」の正体(週刊現代) @moneygendai
スクラップ・アンド・ビルドもあるかも 「みずほが20年近い歳月と4000億円の費用をかけた『MINORI』が、調査結果次第でご破算になるかもしれない」(金融庁幹部) みずほ銀行のシステム障害に歯止めがかからない。9月30日には外国為替取引で送金が遅れる不具合が発生した。 みずほは古い勘定系システムを平成期を通じて使い続け、幾度となく大規模障害を起こしてきた。その反省から新勘定系システム「MINORI」を'19年に満を持して稼働させたが、その後も障害が頻発している。 業を煮やした金融庁は、9月22日にみずほに業務改善命令を出し、実質的にシステムを管理下に置いた。そして「MINORI」の病巣がどこにあるのかを調査するため、ある「特殊部隊」の投入を決めた。前出の幹部が続ける。 「'18年に設置した新部局『総合政策局リスク分析統括課』の検査チームです。 同課は総勢約260名で、金融犯罪、サイバーセ
ワクチン予約のシステム、納期ありきのクソプロジェクトあるあるすぎ
https://anond.hatelabo.jp/20210517201151 あれさ、少なくとも東京会場側のサイトは、最初のボタンに「認証」って書いてあんだよね。 端的に言って、認証も何もしてないんだから嘘なんだよね。 んで、取れる手立てはいくつもあると思うんだけどさ、 ドメインについて(なんでmrso.jpのドメインなのよ、厚労省のドメインじゃだめなんか)市区町村コードについて(6桁だけど、これは既知の情報で無効な番号は弾ける)誕生日について(なんで1歳でも予約できんだよ、これは後述するが弾いてるものもある)一番下のコピーライトについて(自衛隊東京 予約システムというタイトルなら、一番下にも入れとけよ)最初に書いとくと、できるチェックはしてるんだよ。 例えば、「現在の入力桁数:4桁」みたいなチェックはしてんだよ。これはわかりやすい。頑張ってる。 んでな、2月31日みたいな存在しない日
【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」【真偽不明】
まとめ 岸防衛大臣「AERA・毎日新聞は極めて悪質な行為」ワクチン予約欠陥報道に大激怒! えーw具体策が「市区町村コードが真正な情報である事が確認できるようにする等」ってこのまま突っ走るつもりなんかw 15628 pv 167 14 users 27
5.33億人のFacebookユーザーの電話番号を含む個人情報、犯罪フォーラムで公開
米Facebookの日本を含む世界のユーザー5億3300万人の個人情報が、誰でもアクセスできるサイバー犯罪フォーラムで公開されていると、米Recordなど複数のメディアが4月3日(現地時間)に報じた。Facebookはメディアに対し、「これは2019年に報告された古いデータで、このデータが流出した原因の脆弱性は同年8月に修正済みだ」と語った。 データは国別にダウンロードできるようになっており、日本のデータは42万8625人分だ。 フォーラム上で公開されているデータには、Facebookユーザーが「基本データ」に登録したもので、例えば携帯電話番号を非公開設定にしていたとしても含まれている。 2019年に流出した個人データは同年9月、誰でもアクセスできるデータベースに保存されていた。このデータベースはその後アクセスできなくなったが、今年1月にはTelegramのbotでFacebookユーザー
twitterアカウント@yanmaが乗っ取られた - yanma
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。 字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明
オープンソースのプログラミング言語であるPHPの開発者らが使用していたGitサーバーに何者かが侵入し、PHPのソースコードにバックドアをしかけていたことが判明しました。ハッカーは悪意のあるコミットをプッシュする際、PHPの開発者であるラスマス・ラードフ氏らになりすましていました。 php.internals: Changes to Git commit workflow https://news-web.php.net/php.internals/113838 PHP's Git server hacked to add backdoors to PHP source code https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/
三井住友FG 11万人以上顧客情報 第三者が閲覧できる状態に | IT・ネット | NHKニュース
三井住友フィナンシャルグループは、傘下のSMBC信託銀行とSMBC日興証券の合わせて11万人以上の、顧客の情報が数年間にわたり第三者に閲覧できる状態にあったと発表しました。 最大で150人余りの顧客の情報が、実際にアクセスを受けたということですが、不正な利用はないとしています。 発表によりますと、SMBC信託銀行は、およそ4年間に3万7000人余りの顧客の個人情報が、第三者に閲覧できる状態にあり、最大で101人分が実際にアクセスを受けたということです。 氏名や生年月日のほか、暗号化された暗証番号が閲覧された可能性があるということです。 また、SMBC日興証券は2年前から、8万人余りの顧客の情報が閲覧できる状態にあり、最大で50人分の氏名とメールアドレスが閲覧された可能性があるということです。 いずれも、これまでのところ顧客から被害の申し出や、不正に利用されたという苦情は寄せられていないとし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Volkan Yazıcı on Twitter: "Log4j maintainers have been working sleeplessly on mitigation measures; fixes, docs, CVE, replies to inquiries, etc… https://t.co/tbtcb7yyCu"
Microsoft Officeがマルウェア「Emotet」に感染? Microsoft Defenderに誤検知か【14:45追記】/最新の定義ファイル「1.353.1874.0」で発生
大規模サイバー被害のニップン(旧日本製粉)、未だに経理部門が非情かつ残酷な手作業を強いられ決算報告が遅れる事態に : 市況かぶ全力2階建
Apple PayのVISA、勝手に決済される脆弱性
