7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
PCのロックさえ解除されていれば、サイトのログイン画面開いてパスワードが「●●●●」って自動入力されてるところを右クリックして「検証」 あとはコンソールに $0.value でパスワードが読める。エンジニアならPCのパスワードなんて使わないだろう。
FirefoxがついにChromeよりも高速なブラウザに
Treeherderは、Mozillaの開発するソフトウェアのテスト結果や、ウェブサービスや外部ツールで取り込んだデータを抽出・加工するETL機能などを有するウェブサイトです。このTreeherderに、Google ChromeとFirefoxのベンチマークテスト結果をまとめたデータが公開されました。これによると、FirefoxはChromeよりも高いスコアを出している、つまりは高速なブラウジングが可能なブラウザということのようです。 Perfherder https://treeherder.mozilla.org/perfherder/graphs?timerange=31536000&series=mozilla-central,3735773,1,13&series=mozilla-central,3412459,1,13 Firefox has surpassed Chrome
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 セブン&アイHD/セブン・ペイ 2019年7月1日 [PDF] セブン&アイのバーコード決済「7pay(セブンペイ)」本日サービススタート! 2019年7月3日 【ご注意ください】ID・パスワードの管理について(削除済み) 7payに関する重要なお知らせ [PDF] 7pay に関する重要なお知らせ 2019年7月4日 チャージ機能の一時停止に関するお知らせ [PDF] 「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について 2019年7月5日 「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足の
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ
ドメインは、サービス終了ののちに失効したとみられ、GMOインターネットグループが展開するドメイン登録サービス「お名前ドットコム」内に開設されている「.jpドメインオークション」にて、オークション形式で出品されている。終了時刻は9月25日の午後7時。同日午後3時時点では40万円を超える入札が入っている。 もしドメインが第三者の手に渡ってしまうと、詐欺サイトや、ドコモ口座を模したフィッシングサイトが作られる可能性も考えられる。そのフィッシングサイトにかつて本物だったドメインが使用されているとすれば、ブラウザのセキュリティ機能をすり抜けたり、パスワード管理ツールが動いてID・パスワードを自動入力してしまったりする可能性も出てくる。 特に今回オークションに掛けられているドメインが金融サービスに関することから「税金で作ったサイトのドメインを手放して悪用されるのも大概だが、金融のドメインは本当にヤバい
「使える人にだけ使わせる」 ~ マネーフォワード IDのログインUXから見るパスキー普及のポイント - r-weblife
ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワード側からも解説記事が出ていました。この記事で言いたいことが全部書いてあります。 moneyforward-dev.jp ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触れる前に、マネーフォワードIDのパスワード認証のUXから見ていきましょう。 マネーフォワードの「メールアドレスでログイン」のフローを何も考えずに使うと、最初にメールアドレスを入れてからパスワード入力を求めるUXになっています。 このようなUXでブラウザのパスワードマネージャーの機能を使う場
この記事には広告を含む場合があります。 記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。 7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さらにはiOS版だと生年月日を登録なしにでき、その場合は2019/1/1が自動入力される仕組み(⇒生年月日を知らなくても突破される可能性すらある)。多少でもITをかじったことのある人間なら、あり得なさすぎて乾いた笑いしか出てこない状態。 第三者であっても「メールアドレス(セブンイレブンアプリに登録したもの)」「生年月日」「電話番号」がわかれば、パスワードを変更
Microsoft、iOS/Mac/Windows/Android対応のパスワードマネージャー「Microsoft オートフィル」をリリース - こぼねみ
Microsoftは現地時間2月5日、iPhone、iPad、Mac、Windows PC、Androidデバイスなど、さまざまなデバイスでウェブサイトのパスワードを簡単に保存・同期・管理できる新しいAutofill(オートフィル)ソリューション「Microsoft オートフィル」を正式に発表しました。 「Microsoft オートフィル」はベータプログラムの一部としてすでに提供されていましたが、今後はMicrosoft Authenticatorアプリ、Google Chrome拡張機能、Microsoft Edgeを通じてすべてのユーザーが利用できるようになります。AppleのiCloudキーチェーンと同様に、Microsoft Autofillはパスワードを保存し、ウェブサイト上でパスワードを簡単に入力できるようになります。 Microsoft オートフィル Autofillとは自動
業務で使うツール(iTerm2,SequelPro,Chrome)をShellScriptでハイパーテクニックする - ハイパーマッスルエンジニア
業務で使うツール(iTerm2,SequelPro,Chrome)を ShellScriptでハイパーテクニックする はじめに この記事は今年イチ!お勧めしたいテクニック by ゆめみ feat.やめ太郎 Advent Calendar 2019の20日目の記事です。 今年は「お勧めテクニック」ということで、業務効率化ッ!!を盾に業務時間の30%はShellScript遊びに当てている私にピッタリな企画ですね、ありがとうございます。 今回は業務でよく使うツールを、ShellScriptでハイパーテクニックする方法をいくつかご紹介。 今回紹介するコードは全部Githubにあげているので実際に試したい人はどうぞ。 ハイパーテクニックする対象 GoogleChrome iTerm2 SequelPro GoogleChrome ブラウザに移動せずTerminalで自在にタブ移動する Web開発を
実案件から学んだ、本当に役立つUIデザインの法則50 ユーザビリティチェックリスト総集編|i3DESIGN Designers
「ユーザビリティチェックリスト」ということで、UIデザインの「あるある」を取り上げ、改善案とセットでまとめています。 今回は、10のヒューリスティクスをもとに分類してみました。10のヒューリスティクスについては、以前記事にまとめています。 具体的な事例を一緒に取り上げ、よりわかりやすく解説していますので、こちらもあわせてご覧ください。 また弊社ホームページにて、ユーザビリティチェックリストをダウンロードいただけます。こちらも合わせてご活用ください。 1. システムステータスの可視化(Visibility of system status)1-1. 入力項目が多いときはステップを分けるフォームの入力項目が多い場合は、項目をグルーピングして画面を分割しましょう。 フォームが長すぎると、ユーザーは入力を途中で辞めてページから離脱してしまうかもしれません。 その上で、ステッパーを設置して現在の進捗
Huaweiは米国により制裁措置を受けています。その影響によりGMS(Googleサービス)がすべて利用できない状態になっています。そんなP40 Proは実用できるのか。そして端末の出来はどうなのか。レビューしていきます。 外観 今更ですが一応外観を確認していきます。背面はつるつるしたガラス、カメラユニットはかなり大きめ。光の当たり方で色が若干変わるのがおしゃれですね。 側面は音量ボタンと電源ボタンのみ。反対側にはなにもありません。端子はUSB Type-Cのみ。イヤホンジャックはありません。上部にはIRセンサーがあります。 アプリ問題 初期設定は意外とすんなり行きました。Huaweiアカウントは所持していたので、それでログインするだけでOK。思っていたより普通に使えるのではないか?と思っていたのもつかの間。アプリインストールから徐々に雲行きが怪しくなっていきます。 GMS問題 ご存知の通
ID管理サービスや認証サービスなどを提供しているOktaが、個人向けのパスワードマネージャ「Okta Personal」を公開しました。 Okta PersonalはWebブラウザのプラグインなどと組み合わせて利用することで、Webサイトごとのパスワードの自動生成、パスワードの保存、ログイン時のIDとパスワードの自動入力などを行ってくれます。 現在ではソーシャルメディアから業務アプリケーションまで、多数のWebサイトにログインして利用することが一般的になっています。 このとき、推測されにくい十分な長さを持つ複雑なパスワードをWebサイトごとに重複しないように使い分けようとすると、現実的には記憶に頼るだけでは難しく、メモを取っておくなどパスワードを確実に記録しておく手段が必要となります。 一般にパスワードマネージャは、こうした推測されにくいパスワードの自動生成と安全な保存、そしてログイン画面
Goodpatch新卒UIデザイン研修の設計—ソフトウェアデザイン概論と基礎理論—|Goodpatch Blog グッドパッチブログ
Goodpatchでは職種ごとにさまざまな新人研修プログラムを用意しています。2020年の新卒UIデザイナー向けには、4月から6月にかけてUIデザインに関する基礎的な講義や演習、課題制作といった集中的な研修を行い、UIデザイナーとして必要な基礎知識を身につけてもらいました。 UIデザイン研修といってもいくつかにコースが分かれており、今回私が講師として担当した部分では「ソフトウェアデザイン」をテーマに講義を行いました。 以下の講義のうち私が担当した、ソフトウェアデザイン概論、インタラクションデザイン基礎、モードレスデザイン基礎、UIモデリング基礎について簡単にご紹介いたします。 UIデザイン研修—ソフトウェアデザイン編—講義シラバス ソフトウェアデザイン講義の設計 UIデザイン新人研修は全体構成を「ビジュアルデザイン編」「ソフトウェアデザイン編」と二分し、それぞれの専門性を深堀りできる形を採
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
Microsoft Power Automate DesktopでRPAを実現してみる 🌴 officeの杜 🥥
自分自身の個人的意見としては、エンドユーザコンピューティングは大いに結構だと思ってるけれど、一方で日本でジリジリと熱さが消えつつある国内の有象無象のRPAについては滅んだほうが良いとも思ってる。理由は後述するとして、本日良いニュースが発表されました。Power Automate Desktopについて追加費用無し無償で利用可能になるとのこと。これは既にあるMicrosoft365のEnterpriseプランなどに標準で利用できてるPower Automateのデスクトップ版のようで、Windows10に標準でついてくるようになるとのこと。 ということで、現時点のMicrosoft365で使えてるPower Automate Desktopを使ってみて、どんな感じなのか?またリリース後にその違いなどをここに記述していこうかなと思っています。また、Seleniumベースのウェブ自動化についても
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCのロックさえ解除されていれば、サイトのログイン画面開いてパスワードが..
パスワード管理/MFA管理の戦略
7payの不正利用についてまとめてみた - piyolog
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
「ドコモ口座」のドメインが第三者から購入可能な状態に 「本当にヤバい」「悪用される」と話題に
オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを
Huawei P40 Proレビュー。万人に推奨は到底不可能 - すまほん!!
Oktaが無料のパスワードマネージャ「Okta Personal」を公開
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog