エグゼクティブサマリ 2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめた。同年6月1日に改正割賦販売法が施行後も継続してカード情報漏えい事件は発生しており、カード情報「非保持」に対応した攻撃が目立つ結果となった。 事件の一覧 下表に、本年（2018年）に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめました。サイト名、漏洩の期間、漏洩件数（最大）、セキュリティコード漏洩の有無、偽決済画面への誘導があったかを記載しています。 サイト名漏洩期間漏洩件数セキュリティコード偽決済画面誘導 C.O.U.オンラインショップ2017/8/5～2017/9/15335漏洩 パレタス オンラインショップ2017/4/27～2017/7/18821漏洩 健康食品通販サイト （森永乳業株式会社）2015/1/7～2017/10/1629,773 A－Web 倶楽部

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254について SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例 SSRFを利用したメール送信ドメインの乗っ取り 「CODE BLUE 2018」参加レポート（岩間編） この「空前のSSRFブーム」に便乗して、SSRFという攻撃手法および脆弱性について説明します。 SSRF攻撃とは SSRF攻撃とは、攻撃者から直接到達できないサーバーに対する攻撃手法の一種です。下図にSSRF攻撃の様子を示します。 攻撃者からは、公開サーバー（203.0.113.2）にはアクセスできますが、内部のサーバー（192.168.0.5）はファイアウォールで隔離されているため外部から直接

CMS(Content Management System)は複数のユーザーでコンテンツを編集することが可能なWebサイトの管理/構築用のプラットフォームを指します。また、会社単位で運用管理するものはECMと呼びます。

11月中旬から、レンタルサーバー事業者等から、WordPressのプラグインWP GDPR Complianceの脆弱性について注意喚起が目立つようになりました。 WordPressのプラグイン「AMP for WP」「WP GDPR Compliance」における緊急性の高い脆弱性についての注意喚起 【注意喚起】WordPressのプラグイン『WP GDPR Compliance』の1.4.2までのバージョンに脆弱性が発見されました。 【重要】WordPressのプラグイン「WP GDPR Compliance（1.4.2以前）」「AMP for WP（0.9.97.19以前）」における緊急性の高い脆弱性について 記事本文には以下のように書かれています。 本脆弱性の影響 WordPressにおいて、権限を持たないユーザーが脆弱性を利用してウェブサイト全体の設定を変更したり、第三者が管理者

この記事は、先日の記事「問題：間違ったCSRF対策～初級編～」に対する解答編です。まだ問題を見ていない方は、先に問題を読んで（できれば自分で解答を考えて）からこの記事をお読みいただくとよいと思います。 それでは、解答を説明します。 はじめに CSRF対策の不備として、ありがちなパターンは以下のとおりです。 トークンが予測可能（ユーザIDのハッシュ値をトークンとして用いている等） 他人のトークンが利用できてしまう（参考記事） トークンのチェック方法に不備がある。 問題のコードは、暗号論的に安全な乱数生成器（PHPのrandom_bytes関数）を用いてトークンを生成し、それをセッション変数に記憶しているので、上記1 と 2 は問題ないと考えられます。したがって、3 が該当しそうだと当たりをつけます。そのためには、攻撃者は以下のトークンチェック(chgmail.php内)を回避する必要がありま

脆弱性診断の学習のお供に、比較的簡単なCSRF対策バグの問題を提供します。この記事では問題のみを出し、想定解答は後日公開することにします。ネタバレとなるブックマークコメントやツイートなどは控えていただけると幸いです（「思いのほか簡単だった」など感想は可）。ブログ記事等に解説記事を書くことは歓迎いたします。 以下はテスト用に「ログインしたことにする」スクリプト（mypage.php）。ログイン状態で呼び出すこともでき、いずれの場合でもログインユーザのメールアドレスを表示します。 <?php // mypage.php : ログインしたことにする確認用のスクリプト session_start(); if (empty($_SESSION['id'])) { // ログインしたことにしてメールアドレスも初期化 $_SESSION['id'] = 'alice'; $_SESSION['mail'

エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「ＳＯＫＡオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「ＳＯＫＡオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http

東京証券取引所で9日発生した株式売買のシステム障害で、不具合の原因となった大量の電文をメリルリンチ日本証券が送信していたことが関係者への取材で分かった。東証では毎朝、自社の取引サーバーと証券会社の発注システムがうまく接続できるよう電文のテスト送信を実施するが、通常の1000倍以上の電文が集中したため、通信障害が起きたとみられる

日本取引所グループ（ＪＰＸ）は９日午後記者会見し、傘下の東京証券取引所で同日朝から起きているシステム障害について、「特定の証券会社から通信経路を確認するための大量の電文があり、障害を起こした」（横山隆介・最高情報責任者〈ＣＩＯ〉）と明らかにした。大量の電文が送られた原因は「証券会社側の何らかの設定の間違い」という。問題を起こした電文はすでに停止しており、システムは９日中に復旧させ、１０日以降は影響が出ない見込みという。 横山氏は会見で「投資家の皆さまに多大なるご迷惑をおかけした」と謝罪。「損害賠償の責任ではなく、市場運営の責任という点では責任があると思っている」と述べた。 ＪＰＸによると、９日午前７時３２分、東証のシステムへ電文が「極めて短い時間に大量に送られてきた」という。売買注文ではなく通信経路を確認する電文で、通常の１千倍の量だったという。それが原因でシステム障害が起き、証券会社が売

仮想通貨交換業者でつくる業界団体「日本仮想通貨交換業協会」の奥山泰全（たいぜん）会長（マネーパートナーズ社長）は３日、交換業者から仮想通貨が流出する問題が相次いでいることを受け、サイバー攻撃に備えて仮想通貨を管理するネットワークと、社内のメールなどで使用するネットワークの分離を、業界の自主規制ルールとして導入することを検討していると、明らかにした。同日開かれた金融庁の仮想通貨に関する研究会の中で説明した。 ９月に７０億円相当の仮想通貨を流出させた交換業者「テックビューロ」や、１月に５８０億円相当の仮想通貨を流出させた交換業者「コインチェック」も、流出の原因が外部からのメールなどを通じた不正アクセスだったことを受けた対応。奥山会長は「ネット証券やネット銀行も導入していない対策で、物理的に（仮想通貨を管理する）ネットワークを遮断する」と述べた。加盟各社の合意が得られた時点で導入を進める。 また

エグゼクティブサマリ PHPの脆弱性CVE-2018-17082はXSSとして報告されているが、現実にはXSSとしての攻撃経路はない。一方、Apacheのmod_cacheによるキャッシュ機能を有効にしているサイトでは、キャッシュ汚染という攻撃を受ける可能性がある。 概要 PHPの現在サポート中のすべてのバージョンについて、XSS脆弱性CVE-2018-17082が修正されました。以下は対応バージョンであり、これより前のすべてのバージョンが影響を受けます。ただし、Apacheとの接続にApache2handlerを用いている場合に限ります。 PHP 5.6.38 PHP 7.0.32 PHP 7.1.22 PHP 7.2.10 PHP 5.5以前も対象であり、これらは脆弱性は修正されていません。 脆弱性を再現させてみる この脆弱性のPoCは、当問題のバグレポートにあります。 PHP ::

テックビューロ（大阪市）が運営する仮想通貨取引所「Zaif」は9月20日、ハッキング被害を受け、同社が管理する仮想通貨の一部を流出したと発表した。被害額は約67億円相当と見られ、現在確認を急いでいる。金融庁と捜査当局に報告し、調査や顧客資産の財源確保に努めているという。 同社によれば、9月14日ごろから仮想通貨の入出金サービスなどに不具合が発生。17日にサーバ異常を検知し、18日にハッキング被害を確認した。 ハッキングを受けたのは入出金用のホットウォレット（※）を管理するサーバ。14日午後5時ごろ～午後7時ごろまでの間に外部から不正アクセスを受け、このサーバで管理していた仮想通貨「ビットコイン」「モナコイン」「ビットコインキャッシュ」が不正に外部へ送金された。ハッキングの手法については、捜査中であることや同種犯行の予防のため「差し控える」としている。 （※ホットウォレット：インターネットに

ブラジルのリオデジャネイロにある国立博物館で２日、火事があり、200年の歴史ある建物がほぼ全焼し、2000万点以上あった収蔵品の多くが失われました。 博物館は1818年に、当時のポルトガルの王が、エジプトの美術品や恐竜の化石など、みずからの収集品を集めて設立したもので、現地の消防によりますと、この火事で200年の歴史ある建物がほぼ全焼しました。 また、博物館には南米の先住民のミイラや植物の標本など貴重な資料が集められ、南米の自然史や人類学などを研究する重要な拠点となっていますが、2000万点以上あった収蔵品の多くが失われたということです。 消防によりますと、火が出た時、博物館の一般公開は終了していて、従業員なども外に避難したため、けが人はいないということです。 博物館は老朽化が進み、修繕工事の必要性が指摘されていましたが、おととしのリオデジャネイロオリンピック以降予算が削られ、工事が進んで

ケイ・オプティコムは8月16日、MVNOサービス「mineo」などを利用するために使う「eoID」について、6458件の不正ログインを確認したと発表した。ユーザー本人ではない第三者がIDやパスワードを入手してログインを試みるリスト型攻撃とみられる。同日時点で顧客データの流出は確認していないという。 不正ログインは8月13日午後10時5分～15日午後9時まで、特定のIPアドレスから行われていた。同社によれば、ユーザーの住所や氏名、性別、電話番号、生年月日、メールアドレスなどが閲覧された可能性がある。口座情報やクレジットカード情報は、マスキングしているため流出の恐れはないとしている。 緊急措置として、該当のIPアドレスからのログインを全て遮断。不正ログインを確認したIDについては、パスワードを変更しなければ利用できないようにし、ユーザーに個別にメールで連絡しているという。 同社は「お客さまには

(Last Updated On: 2019年2月25日)password_hash関数はcrypt関数のラッパーです。パスワードを簡単かつ安全にハッシュ化するための関数です。現在のPHPマニュアルにはpassword_hash関数の重要な制限が未記載であったため追加しました。 password_hash関数はcrypt関数のラッパー password_hash関数は string password_hash ( string $password , integer $algo [, array $options ] ) の書式を持ち、$algoにはDEFAULTまたはPASSWORD_BCRYPTが指定できます。現時点ではPASSWORD_BCRYPTしか指定できないのでどちらを指定しても同じです。DEFAULTを利用することにより、将来より強固なハッシュ関数が追加された場合に自動的な更

トライベック・ストラテジーのパートナーである、EGセキュアソリューションズの代表徳丸 浩氏の『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』が2018年6月に発行されました。 本書は2011年3月の初版発行から7年ぶりの改訂版。通称『徳丸本』とも呼ばれ、Webアプリケーション開発者必携のバイブルとされる本書の改訂は、そのまま7年間のWebセキュリティ対策の歴史を反映したものといえます。 後編の今回は、著者である徳丸 浩氏、レビュアとしても参加された同社セキュリティエンジニア　岡本 早和子氏に本書の詳細な改訂内容、執筆にあたっての裏話などを伺いました（聞き手：中島 秀明）。 第2版で増えた内容の秘密 まずは第2版で追加された内容についてお聞かせください。企画段階では策定されていなかったOWASP TOP10 2017ですが、「1.6 セキュリテ