Killnetによる国内サイトへの攻撃示唆についてまとめてみた - piyolog
2022年9月6日、親ロシア派のハクティビストとして活動しているKillnetが日本国内のサイトを名指しし、オフラインにしたなどと攻撃を示唆する内容をTelegramに投稿しています。また関連性は不明ながら同時間帯に政府機関を含む国内の複数のサイトにおいて一時的な閲覧障害が発生しました。ここでは関連する情報をまとめます。 Telegramに攻撃示唆する投稿 2022年9月8日0時 時点で10個のサイトに対してKillnetはサイトをオフラインにしたとする攻撃を示唆させる投稿をTelegramを通じて行っている。*1 攻撃を行った理由についてはウクライナへの支援や千島列島の侵害を挙げている。*2 確認されている事象は閲覧障害が発生し一時的に閲覧が出来なくなったことのみで、それ以外の事象について公表や報道はされていない。 KillnetはYahoo!ニュースやNHK、Abemaの関連する報道記
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
「mixi」約4万人に不正ログインの可能性--課金などの被害は未確認
ミクシィが運営するSNS「mixi」において、何者かにより、不特定多数を狙った不正なログインが試みられていることが取材により明らかとなった。 ミクシィによると、5月31日から現在でも行われているとされ、不正ログインが行われた可能性のあるアカウントは約4万件。現時点で、課金やアカウント情報の変更などの被害を受けたという報告は受けていないという。なお、実際に不正にログインされた件数は調査中とのことだ。 mixi運営事務局では、不正ログインが行われたアカウントに対し、mixi内のメッセージ機能を使って、登録メールアドレスとパスワードの再発行を促している。現在は不正ログインが試みられたユーザーにのみ通知しているが、今後、mixiトップページでも注意喚起する予定だという。 ミクシィは「サーバに対して不正アクセスがあったわけではない」とし、サーバからユーザー情報などが奪われていないことを強調。この一連
徳丸 浩 on Twitter: "8年前の今日、2005年4月19日に有名な「ぼくはまちちゃん! こんにちはこんにちは!!」がおきました。これを記念して毎年4月19日が『CSRFの日』と定められました(ソースは俺)。8年も経っているのですから知らないなど許されません。みなさま、CSRFについてよく勉強しましょう"
8年前の今日、2005年4月19日に有名な「ぼくはまちちゃん! こんにちはこんにちは!!」がおきました。これを記念して毎年4月19日が『CSRFの日』と定められました(ソースは俺)。8年も経っているのですから知らないなど許されません。みなさま、CSRFについてよく勉強しましょう
Shibuya.XSSに参加してきました
表題の通り、Shibuya.XSS テクニカルトーク#1に参加させていただきました。定員30名に対して、希望者が241名。実に8倍の難関イベントに参加できた、と言うからには、ログを残しておかないと。 ただ、内容自体は技術的、その他諸事情によりオフレコなものが多かった為、ログは個人的な感想だけになります。ごめんなさい。 資料等は発表者の方々が可能な範囲で公開していただけると思うので、それを楽しみに待ちましょう。 opening 株式会社mixi コラボルーム とっても広ーい。机、電源、Wi-Fi、自販機等完備。こういうOpenな場所があるというのは素晴らしいですね。 そして、机の上には食事とお酒が!本当に、本当にありがとうございました。美味しかったです。 徳丸さんの乾杯で勉強会スタート。 DOM Based XSSの傾向と対策 by malaさん 問題の原因、影響、システム側対処方法
サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
ミクシィ、4200人の情報が3日間「露出」(読売新聞) - Yahoo!ニュース
パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。 ミクシィによると、トラブルがあったのは10月21日〜23日。 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」。 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使え
岡田斗司夫さん「プロフィールを改ざんされた」とmixi退会
オタク評論家の岡田斗司夫さんが3月末、mixiを退会した。プロフィールが何者かにひんぱんに改ざんされ、mixi運営事務局に理由説明や対処を求めたが対応が不十分だったため、事務局を信頼できなくなり、退会を決めたという。 岡田さんが退会直前に更新したmixi日記によると、「mixiのプロフィールが何物かに無断で改ざんされる事態が続き、頻繁にパスワードを変えても改ざんされた」という。 岡田さんは事務局に知らせ、対応を求めたが、「対処や理由説明もなく、突っ込んだ質問をしたら返信そのものがなくなった。『原因は分からない』『調べようがない』という答えしかなかった」ため、「mixi運営事務局そのものが信頼できなくなった」としている。 ミクシィの広報担当者は「岡田さんには、共有のPCなどでmixiを利用した際、ログアウトをし忘れたりしていないかのチェックや、パスワードの変更など、必要な案内は行った。不正ア
livedoor ニュース - 『mixi年賀状』にセキュリティホール!?【トレビアン】
『mixi』が日本郵便と組んで始めたサービス『mixi年賀状』、これはマイミクが自分の住所を相手が知っていなくても年賀状を受け取ることができるというサービス。 通常は差出人が受取人の住所書くのだが、『mixi年賀状』は受け取り時に受取人の方で住所を入力するため相手に住所がわからないようになっている。 リアルな友達じゃないけど年賀状の交換はしたいという人に向けて開始されたサービス。 あまりの人気に一時サーバーがパンクするほどだ。 しかしそんな『mixi年賀状』にセキュリティホールが発見された。 先ほど家のポストを見てみると『mixi年賀状』が届いていた。 少し早い年賀状だと思いよく見てみるとそれは自分がマイミクに出したものだったのだ。 年賀状には以下の様にかかれており差し戻しされていた。 「配達準備中に調査しましたがあて名不完全で配達できません」 これは自分がマイミクに年賀状を出した際に、相
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
