個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお

メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。 Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch https://techcrunch.co

徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。 漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人（13万2503人分）のもので、4万6022件が法人（7691組織分）のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件（同人数分、いずれも個人の情報）と、氏名、住所、還付額の書かれた22年度還付充当通知書1件（同）も漏えいした可能性がある。 徳島県は、イセトーの事務処理には不適切な点があった

2024年5月26日に発覚しました当社の複数のサーバー、端末内の情報が暗号化されるランサムウェアによる被害の発生により、多大なるご心配とご迷惑をおかけいたしましたこと深くお詫び申し上げます。 2024年6月18日に攻撃者グループのリークサイトにおいて、当社から窃取されたと思われる情報のダウンロードURLの出現を確認いたしました。外部専門家とともに調査を行った結果、公開された情報は当社のサーバーから流出したものであること、また流出した情報の中には一部のお取引先様の顧客の個人情報が含まれていることが判明しました。 現在も調査を継続している状況ではありますが、判明したお取引先様から順次ご報告しており、協議を進めさせていただいております。 なお、2024年7月3日現在ダウンロードファイルは消失しており、ダウンロードができない状態となっていることを確認しております。引き続き外部専門家とともにリークサ