クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに
あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は4段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… Niishi Kubo | GitLab,Limeboard @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定されていれば悪意あるドメインに対しての通信
無料メールは「Gmail」だけじゃない!セキュリティ、容量ほかニーズ別おすすめサービス7選 | ライフハッカー・ジャパン
ニーズに合わせて、サービスを選ぼうサービス提供元の企業にもよりますが、メールのデータが、広告の表示や、そのユーザーのウェブ全体での行動のトラッキングに使われる可能性があり、極端な例ではメール内のテキストを人工知能(AI)のトレーニングに使っているケースまであります。 無料で使えることのメリットと、プライバシーの保護。どちらを取るのかは、なかなか難しい問題です。 一般的には、真の意味でプライバシーを保護しているメールプロバイダーを使うには、ある程度の料金を払うことは避けられません。また、その気になれば、自前のメールサーバーを立ち上げるという選択肢もあります。 この記事では、今のところは有料メールサービスに登録する気になれない、という人向けに、無料で使えるなかではベストなメールサービスを7つご紹介します。 ただし、1つの選択肢に縛られる必要はありません。複数のメールアカウントを作成して目的別に
【重要】ニコニコアカウントをご利用の皆様に、8/5以降の利用について大事なお知らせ|ニコニコインフォ
2024年6月8日(土)に発生したサイバー攻撃による障害により、ニコニコアカウントは現在サービスの再開に向けて作業を行っています。 8月5日(月)以降のニコニコアカウントのご利用について、お知らせいたします。 ニコニコアカウントをご利用の皆様には重要なお知らせとなりますので、下記ご一読をお願いいたします。 パスワードの再設定のお願いセキュリティ対策強化の一環として、ニコニコアカウントのパスワードをリセットしました。 そのため、8月5日(月)のサービス再開以降、はじめてニコニコにログインする際にパスワードの再設定をお願いいたします。 ユーザーの皆様にはお手数をおかけすることとなり申し訳ありません。 なお、ニコニコユーザーのアカウント情報(ログインメールアドレス、ログインパスワード)、およびクレジットカード情報につきましては、当社からの情報漏洩は確認されておりません。 詳しくは、こちらのプレス
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ
株式会社ドワンゴ サイバー攻撃についてQ1.どこからどうやってどのようなウィルス・マルウェア・ランサムウェアの攻撃を受けたのかは判明しているのでしょうか。専門の調査機関にもご協力いただいての調査が必要になります。より正確な調査結果など、お知らせすべき新たな事実が判明いたしましたら随時ご報告いたします。 Q2.ランサムウェアというのは何でしょうか。警察庁の説明では、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。 Q3.なぜランサムウェアだという発表を遅らせていたのでしょうか。ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差し控えておりました。 Q4.被害について確認中とのこと
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
Gmailの新スパム規制対応全部書く
[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています(大筋は変わっていません)。変更点だけ知りたい方は「追記」でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月 第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。 この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス(海外だとSendGridやAmazon SES、国産だとblas
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
Togetterへの統合により「Twilog」が復活、再ログインでツイート取得再開が可能に
ツイートまとめサービス「Togetter(トゥギャッター)」および「min.t(ミント)」を運営するトゥギャッター株式会社(以下:トゥギャッター)は、2023年5月12日に買収を発表した「Twilog(ついろぐ)」とTogetterとの統合を2023年5月24日に実施しました。今回の統合により、Twilogでのツイートの取得再開が可能となっています。 Twilogのドメインは「 https://twilog.org 」から「 https://twilog.togetter.com 」に変更。既存のTwilogユーザーは変更後のページにアクセスし再度ログインすることでツイートの取得が再開され、2023年4月5日からの停止期間中のツイートも最大3,200件まで取得可能です。なお、Twilogにログインする際にはTogetterへのログインが必要となります。 トゥギャッターが契約しているTwit
「ドコモ口座」以外の5つの電子決済サービス 不正引き出し確認 | 電子決済 不正引き出し問題 | NHKニュース
「ドコモ口座」を通じた預貯金の不正な引き出し問題に関連して、高市総務大臣はゆうちょ銀行が提携する電子決済サービスのうち、「ドコモ口座」以外にも5つのサービスですでに被害が確認されているとして、不審な出金がないか口座を確認するよう呼びかけました。 これに関連して高市総務大臣は閣議のあとの記者会見で「ゆうちょ銀行が提携している即時振り替えサービス12社のうち、すでに6社で被害が生じている」と述べ、ゆうちょ銀行ではドコモ口座以外にも5つのサービスで、不正な引き出しの被害が確認されていることを明らかにしました。 このうち、ドコモ口座を含む2つのサービスは新規登録やチャージを停止したものの、残る4つはサービスを継続しているということです。 そのうえで高市総務大臣は、ドコモ口座だけでなくほかのサービスを通じた不審な出金がないか口座を確認するよう呼びかけました。 これについて、ゆうちょ銀行は「提携してい
続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
ドコモ口座を悪用した不正送金についてまとめてみた - piyolog
NTTドコモのドコモ口座を悪用し、不正に盗み出した口座番号、キャッシュカード暗証番号等の情報を使用した口座の不正利用が発生したと報じられました。ここでは関連する情報をまとめます。 勝手に作成したドコモ口座に送金 不正送金の手口 犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。 銀行預金者の名義でドコモ口座を開設。 入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web口振受付サービス」を利用 サービスを通じて口座預金をドコモ口座にチャージ。 Web口振受付サービスは銀行提携先のWebサイトを通じて口座振替の申し込み手続きができるサービス。 ドコモ口座不正利用の発表相次ぐ 当初被害報告が上がった銀行は七十七銀行だが、その後も複数の地銀で不正利用に関する案内が相次ぎ公開された。 ドコモ口座登録等の受付停止を行った銀行 35行、全ての銀行 不正利用(疑い含む)発
ドワンゴが「niconico」不正ログイン攻撃の被害状況を公表、お手本のような詳しい情報公開 [インターネットコム]
ドワンゴとニワンゴは、「ニコニコ動画(ニコ動)」や「ニコニコ生放送(ニコ生)」を含むコンテンツ配信サービス「niconico」が不正ログイン攻撃を受けた件に関し、攻撃規模や被害状況などの詳細情報を公表した。それによると、21万9,926件のアカウントが不正ログインされ、19アカウントで「ニコニコポイント」が不正使用されたという。不正使用による被害総額は17万3,610円に上った。 niconico がユーザーからの問い合わせを受けて調査を開始したのは6月9日。この時点の問い合わせ状況は、6月1日に2件、6月9日に1件あっただけだった。翌10日には第三者による不正ログイン試行を検出し、同一 IP アドレスからの大規模な不正ログインが2014年5月27日から6月4日にかけて行われていたことを確認した。さらに、ニコニコポイントが不正に使われたことも確認できたそうだ。 この時点で、不正ログイン攻撃
![ドワンゴが「niconico」不正ログイン攻撃の被害状況を公表、お手本のような詳しい情報公開 [インターネットコム]](https://cdn-ak-scissors.b.st-hatena.com/image/square/1ec300faf8de677f5db8a81c8550a088c52fbddc/height=288;version=1;width=512/https%3A%2F%2Fimage.internetcom.jp%2Fimg%2F20140613%2F1402643767.jpg)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ダークウェブに自分の情報が漏れているか確認するGoogleの機能が無料に
ニコニコのサービス停止に関するお詫びと今後について
shiodaifuku.io