2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog
2017年3月に複数のWebサイトが外部からの不正アクセスを受けたことを発表しています。また一部では不正アクセスが成功し、情報が盗まれたり、データが削除されるといった被害が発生しています。 攻撃を受けたWebサイトはApache Struts 2で稼働していたとみられ、またGMOペイメントゲートウェイはApache Struts2の脆弱性を悪用した不正アクセスであったことを明らかにしています。ここでは3月に発表されたApache Struts 2で稼働するWebサイトへの不正アクセスについてまとめます。 被害状況の概要 攻撃を受けたサイトやその被害概要をまとめると次の通り。 運営元 攻撃を受けたサイト 被害状況 トヨタファイナンス GMOペイメントゲートウェイ 都税クレジットカードお支払いサイト(旧) ⇒新しいドメインへ移転 機構団体信用生命保険特約料クレジットカード支払いサイト サイトに
ベネッセの情報漏えいをまとめてみた。 - piyolog
2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要 ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。 ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。 - piyolog
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。 (8/20更新) @games(ジークレスト)へのパスワードリスト攻撃を追加しました。 まずは読んでおきたいBlog、記事 このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。 辻さんによるリスト型攻撃に関する考察 セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ - @IT セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 - @IT セキュリティのトビラ パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する ブルートフォース攻撃について考えて
衆議院がサイバー攻撃を受けたらしいので記事をまとめてみた。 - piyolog
10/25付で朝日新聞が報じた衆議院へのサイバー攻撃について記事をまとめました。概要欄は報道されている情報を横断的にまとめています。また、記載内容は随時更新します。過去の記載内容はウェブ魚拓を確認ください。また7/22,25の標的型メール攻撃以外の参議院事案は含めていません。 概要 衆議院議員の公務用PC、衆議院のサーバーでウィルス感染が確認され、衆議院ネットワーク利用者のID、パスワードが盗まれた可能性があります。 11/14に行われた最終調査結果報告*1を反映しました。反映箇所には*1をつけています。 標的型メール攻撃を受けてウィルス感染した状況*2 *3 *4 衆議院側 32台のマシンで感染*1 添付ファイルを開き感染した公務マシン 1台 感染した議員アカウントサーバー等 4台 運用管理端末 2台 外部サイトへ接続試行の形跡を確認した(三次感染した)公務PC 25台*5 参議院側 感
hbstudy × qpstudy × 第17回 まっちゃ445勉強会に行ってきた。 - piyolog
午前の目覚ましSPに続き、午後からはいよいよ合同勉強会の開始です。今回に限らずよく感じるのですが、雰囲気はその勉強会によっても全然違いますね。微妙なところで温度感が違う?のを肌で感じつつ、カオスな勉強会で非常に楽しかったです。 ちなみにTogetterはこちらでまとめられているようです。 hbstudy × qpstudy × 第17回 まっちゃ445勉強会 #hq445 1.まずは会場提供のIIJによるIPv6のお話 最初のセッションは10分ほど会場提供頂いたIIJさんによるIPv6サービスご紹介のお話です。 「これだけは覚えて帰ってくれ!」という話でしたので、あえてそれだけを記さして頂きます。 早い 安い 月額2100円 詳細はこちら。(手抜きですみません。) 堂前さんいわく、このサービスを利用して接続すると結構速いそうです。堂前さんのご自宅からこのサービスを使ってJAISTのFTPサ
第5回アイティメディア チャリティイベント「最近の情報漏えい事件についてあれこれ語ろう」に行ってきた。 - piyolog
ITmedia主催のチャリティーイベント「最近の情報漏えい事件についてあれこれ語ろう」に参加してきたので、話された内容をまとめてみます。途中ぼけーっとしていたので抜けているところがありそうですが、脳内で補足してやってください。 セミナーの詳細はこちら 第5回 アイティメディア チャリティイベント 最近の情報漏えい事件についてあれこれ語ろう また当日つぶやかれた内容はここを参照ください。 Nanorymous? 今回はアノニマス関連をテーマとしたセミナーということで、随所にそれを彷彿とさせるネタがちりばめられています。会場内BGMもLulz Boatが流れていたりとか。パネラーの方はもちろんのこと、参加者の方双方でガイフォークスのマスクをかぶってらっしゃる方も散見されました。私は「Vフォー・ヴェンデッタ」という元ネタの映画をまだ見たことないのですが、みなさんしっかりチェックされているというこ
AppGoatをグループで共有してみた。 - piyolog
先月末からIPAが公開している「脆弱性体験学習ツール」AppGoat。 このAppGoatのキャッチフレーズは「付いてみますか?脆弱性!」。脆弱性が存在するWebやバイナリプログラムに対して、実際に攻撃を仕掛け、どのような挙動となるのかを体験することで攻撃の仕組みや対策を理解できるように構成されています。 情報処理推進機構:脆弱性体験学習ツール AppGoat AppGoatはスタンドアローンで動作させることを前提に作られていますが、ツールの操作はWebブラウザを通じて行われるので、どうせならWebトレーニングのように特定のサーバーにインストールしてグループで共有して使いまわせないかと考えたので、少し中を覗いてみました。 AppGoatの構成 AppGoatは比較的シンプルな構成で組まれていますが、一般的なWebアプリケーションと同様にWebサーバーやデータベースを内包しており、「展開先\
最近よく見かけるLulzSecについて調べてみた。 - piyolog
ここ最近セキュリティ界隈では「LulzSec」と名乗るグループが起こしたニュースをよく見かけます。 LulzSecとは何か 今年5月初めごろより騒ぎを起こしているグループとしかわかっていません。「Anonymousなどの他グループとの関係は?」「どこの国のグループなのか?」「何が目的なのか?」など色々と気になるところはありますが、恐らく彼らにとって共通していることとは「Just for Lulz」なのだと思います。具体的な何かをご存知の方がいたらこっそり教えてください。 LulzSecのLulzとはどういう意味なのか そもそもLulzSecの「Lulz」とはどういう意味なのでしょうか。 軽く調べた感じではどうもlol(日本語でいうと「w」が近い感じでしょうか)の形を崩したネットスラングのようです。lolの複数系的な意味として使っているネットゲームもあるみたいで、そういう意味では@Masaf
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
