Cookie の性質を利用した攻撃と Same Site Cookie の効果 | blog.jxck.io
Intro Cookie はブラウザによって保存され、紐づいたドメインへのリクエストに自動で付与される。 この挙動によって Web におけるセッション管理が実現されている一方、これを悪用した攻撃方法として、 CSRF や Timing Attack などが数多く知られており、個別に対策がなされてきた。 現在、提案実装されている SameSite Cookie は、そもそもの Cookie の挙動を変更し、こうした問題を根本的に解決すると期待されている。 Cookie の挙動とそれを用いた攻撃、そして Same Site Cookie について解説する。 Cookie の挙動 Cookie は、 Set-Cookie によって提供したドメインと紐づけてブラウザに保存され、同じドメインへのリクエストに自動的に付与される。 最も使われる場面は、ユーザの識別子となるランダムな値を SessionI
学校サーバーに侵入4か月近く 中3、生徒の成績閲覧か:朝日新聞デジタル
新潟県内の中学3年生が通学先のサーバーに不正アクセスしたとして書類送検された問題で、学校が19日に記者会見した。生徒が4カ月近くアクセスできる状態にあり、自身の成績表を作り替えていたほか、サーバーに保管されていた写真を友人に送信するなどしていたと明らかにした。 学校によると、生徒は6月中旬、委員会活動の中で教職員用パソコンを借りた際、解析用のプログラムを使ってサーバーのアクセスに必要なIDとパスワードを入手。さらに、サーバーにアクセスできる校内のタブレット端末を遠隔操作できる設定にし、自宅からスマートフォンで複数回アクセスしていたという。 生徒はサーバー内にあった学校行事や授業の記録写真を閲覧し、そのうち約10枚を友人に送信。10月初め、通知表が渡される前日に自分の成績表を複製した上で3教科の評定を高く書き換え、親に見せるために印刷していた。他の生徒の成績記録も閲覧できる状態だったという。
中学生不正アクセス成績改ざんか|NHK 首都圏のニュース
新潟県の中学生が、学校の教員用のサーバーに不正にアクセスし、自分の成績表を改ざんしたとして書類送検されました。 調べに対し「親によい成績を見せたかった」などと話しているということです。 書類送検されたのは、新潟県長岡市の中学校に通う3年生の男子生徒です。 警察によりますと、男子生徒はことし9月から10月にかけて、学校の教員用のサーバーに不正にアクセスし、自分の成績表を改ざんしたなどとして、不正アクセス禁止法違反などの疑いが持たれています。 捜査関係者によりますと、学校で使っていたタブレット端末の教員用サーバーのパスワードを事前に入手したうえで、スマートフォンから遠隔操作用のアプリを使って、アクセスしていたということです。 調べに対し、「親によい成績を見せたかった」などと話しているということです。
(その2)「不正指令電磁的記録に関する罪」について、最高裁判所へ情報公開請求をしました - ろば電子が詰まつてゐる
不正指令電磁的記録に関する罪(刑法168条の2および3)について、前回の記事では、最高裁判所へ情報公開請求をしました。具体的な請求は、以下の項目です。 令状審査に関する統計 平成23年度から平成30年度までの期間における,刑法168条の2及び168条の3の罪に関する令状(逮捕状,勾留状及び捜索,差押,検証許可状)の請求数及び審査結果が記載された文書。 刑事裁判官のIT研修 平成23年度から平成30年度までの期間において、刑事事件を担当する裁判官を対象として実施された,情報技術(IT)についての研修に関する以下の文書。 (1)研修の表題,実施期間並びに外部講師を招聘した場合にはその講師名及び所属が記載されたもの。 (2)各研修において裁判官に提示または配布された資料。 なお、これまでの動きを追いたい方は、Twitterのmomentにまとめてあるので追ってください。ブクマ推奨。 https:
エクアドル、ほぼ全国民の個人情報流出か
エクアドルで、全国民に相当する規模の大規模な個人情報流出が発生/Fiscalía General del Estado/Twitter (CNN) 南米エクアドルで最近、国民ほぼ全員の個人情報がインターネット上に流出した恐れがある。サイバーセキュリティーを手掛ける専門家集団「vpnメンター」が問題を発見し、16日に発表した。 同国の未成年者約700万人を含む2000万人以上の名前や生年月日、出生地、住所、メールアドレス、身分証明書番号や納税者番号、銀行口座の残高情報などが漏れたとみられる。 エクアドルの人口は約1650万人。司法当局によると、残りの数百万人はすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。 vpnメンターの報告書によると、情報流出は同国のコンサルティング会社「ノバエストラット」が米フロリダ州マイアミに保有している無防備なサーバーで見つかった。 2012年
ISUCON9 レギュレーション違反の対応について [追記あり] : ISUCON公式Blog
9/12 22:00 自己申請による失格について再度検討を行った結果を追記しました 9/12 18:00 平文での格納について一部表現を変更しました 9/11 21:38 本選出場の取り消し無効にする対応を追記しました 9/11 17:30 bcrypt についての一部表現を訂正しました 9/11 17:09 経緯についての追記を行いました ISUCON9 予選においてレギュレーション違反があり、本選出場者の繰り上がり対応を行いました。 経緯としては、マニュアルの制約事項にあった「パスワードを平文で保存すること禁止する」が該当しました。パスワードの保存の規定については、ISUCONの競技の性質上すべてをチェックすることは難しく、参加者の申告に基づき判断をしております。そのため、競技終了後すぐに判断することは出来ずこのタイミングとなりました。 [9/11 17:30 追記] 運営の対応につい
![ISUCON9 レギュレーション違反の対応について [追記あり] : ISUCON公式Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/79d64f97302fe2327ecbef4d5e9e20cb6acd5184/height=288;version=1;width=512/https%3A%2F%2Flivedoor.blogimg.jp%2Fisucon%2Fimgs%2F8%2Fd%2F8d90381a-s.png)
ISUCONでrot13がOKで平文NG?ISUCONはrot13パスワード強度より高速化ルール重視?
ISUCONのルールではパスワードの平文NGだけどrot13がOK?? 2019年のISUCON9予選では「椅子を売りたい人/買いたい人をつなげる」 フリマアプリ「ISUCARI」がお題のwebサービスとなっていました。 いったんは9月8日の時点でISUCON9予選2日目の結果が発表され、 本選出場者が決定を発表されたものの、9月11日になって、 レギュレーション(ルール)違反があったとして本選出場が決まっていたチームが失格となり、 予選敗退チームが繰り上がりになったと発表されました。 失格となった理由は「パスワードを平文で保存すること禁止する」という マニュアルの制約事項に抵触したことが理由とされています。 このマニュアルがISUCON参加者のみの限定公開で、 どうやら一般公開されていなかったもの、 一歩踏み込んだ指摘をしている方のツイートがあります。 パスワードを安全にサーバーに保管す
SMSで送信元を偽装したメッセージを送る
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース
クレジットカード大手の三井住友カードは、会員向けのスマートフォンアプリに不正なアクセスがあり、およそ1万6700件の不正なログインによって、利用者の氏名や利用明細が閲覧された可能性があると発表しました。クレジットカードが悪用される被害などは確認されていません。 三井住友カードによりますと、今月19日、会員向けのスマートフォンアプリ「Vpassアプリ」で、外部からおよそ500万件の不正なアクセスが確認されました。 このうち、およそ1万6700件で不正なログインが行われ、利用者の氏名や利用明細、それにカードの利用可能額などが第三者に閲覧された可能性があるということです。 ただ、クレジットカードの番号が外部に流出したり、カードが悪用されたりする被害は確認されていません。 不正アクセスは他社のサービスから流出したIDやパスワードなどをもとにログインを試みる「リスト型攻撃」と呼ばれるもので、会社では
「7pay」9月末で終了へ | NHKニュース
スマートフォン決済のサービス、「7pay」の不正利用を受けて、「セブン&アイ・ホールディングス」は、このサービスを9月末で終了する方針を固めました。 被害を受けたのは先月29日の時点で、およそ800人、金額にして3800万円余りに上ることが確認されています。 この問題をめぐっては、サービスの登録や利用をする際に本人かどうかを段階を踏んで確認する「2段階認証」の仕組みを当初、導入していなかったなど、セキュリティーの甘さが指摘されていました。 こうした中、「セブン&アイ・ホールディングス」は、「7pay」のサービスを9月末で終了する方針を固めました。 今のままサービスを継続するのは困難だと判断したものと見られます。 会社側は1日午後3時から都内で記者会見を開き、不正利用が相次いだ原因やサービス終了という決断に至った背景などについて説明することにしています。 スマホ決済サービス「7pay」の不正
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
TwitterのスパムDM「ONLY FOR YOU」についてまとめてみた - piyolog
2019年7月6日土曜日頃から、Twitter上でダイレクトメッセージ機能を通じたスパム投稿が拡散されていると話題です。ここではこのスパムメッセージについてまとめます。 スパムが届いてから自分が送ってしまうまでの流れ Twitter DMでONLY FOR YOUというURL付きのメッセージが届く リンクをクリックしてスパムサイトへ誘導 スパムサイトからスパムアプリ連携の許可確認へ遷移 スパムアプリ連携後にフォロワーへ受け取ったものと同じDMを送信 誤ってリンクをクリックしてしまっても4つ目のアプリ連携を許可しなければ自分からDMを送ってしまうことはない。 スパムアプリ連携後に起きること アプリ連携後に確認した事象は以下のもの。 ダイレクトメッセージを送信する 複数のアカウントをフォローする 複数のアカウントからフォローされる フォロワー販売サイトに自分のアカウントが掲載される スパムDM
7pay 不正防止へ「2段階認証」導入など対応策 | NHKニュース
不正利用が相次いだスマホ決済サービスの「7pay」について、「セブン&アイ・ホールディングス」は利用者がサービスに登録する際、段階を踏んで本人かどうか確認する「2段階認証」の導入や1日当たり30万円だったチャージの上限額の引き下げを決めました。 このため「セブン&アイ・ホールディングス」は安全対策にグループをあげて抜本的に取り組む必要があると判断しました。 まず、利用者がサービスに登録する際、段階を踏んで本人かどうか認証する「2段階認証」を導入するとともに1日当たり30万円だったチャージの上限額を引き下げることを決め、具体的な上限額の検討を急いでいます。 さらに、副社長をトップとする「セキュリティ対策プロジェクト」を新たに立ち上げ、外部のアドバイザーも交えて対策の強化に取り組むとしています。 経済産業省は「7pay」の運営会社に対して徹底した原因究明と早期に再発防止策をまとめるよう求めてお
「7pay」 セキュリティー対策の不備指摘 専門家 | NHKニュース
不正アクセスの被害が相次いだスマホ決済サービス「7pay」のセキュリティー対策について、運営会社は「サービスの開始前に審査をきちんと行っていてぜい弱性は見つからなかった」と説明しています。ただ、専門家からは対策に不備があった可能性があるという指摘も出ています。 1つはほかのスマホ決済では導入が進んでいる「2段階認証」を、「7pay」は導入していなかったことです。 「2段階認証」は、サービスを利用するためにスマホのアプリに登録する際、通常のIDとパスワードの入力に加えて、メールで送られてくるワンタイムパスワードなどを入力し、本人かどうか認証する仕組みです。 段階を踏んで認証を行うことで第三者による不正なアクセスを防ぐねらいがあります。 「7pay」は、もともとクーポンを配信する別のアプリの新機能として追加された経緯もあって、顧客の利便性を重視するため「2段階認証」のシステムを導入していなかっ
「7pay」被害額30万の男性 “異変はチャージメール” | NHKニュース
都内に住む40代の会社員の男性は、「7pay」に不正にアクセスされ、およそ30万円を勝手にチャージされて使われる被害にあったといいます。 男性によりますと、異変に気付いたのは、3日の昼ごろ、パソコンのメールを確認したときでした。「7pay」でチャージが行われたことを知らせるメールが連続して届いていたといいます。 男性は「午後0時23分の1分間に3万円を3回チャージしたというメールが届いていました。チャージした覚えがなく変だなと思いましたが、この7月に始まったばかりのサービスなので、すぐに不正アクセスとは思いませんでした」と話します。 しかし、念のためスマートフォンで「7pay」のアプリにログインしたところ、がく然としました。9万円がチャージされたあと、1時間もたたないうちに埼玉県内のセブン-イレブンで9万400円を使ったことになっていたのです。さらに、そのあとも3万円ずつチャージが行われ、
「7pay」 不正アクセスで中国人逮捕 組織解明へ | NHKニュース
不正アクセスの被害が相次いだ、スマホ決済サービス「7pay」をめぐって、利用者になりすまし、20万円分の商品をだまし取ろうとしたとして、中国人2人が逮捕されました。「指示されてやった」と供述しているということで、警視庁は一連の被害との関連を調べています。 警視庁によりますと、2人は3日、新宿・歌舞伎町のセブンイレブンで「7pay」の利用者のIDとパスワードを不正に使い、電子タバコのカートリッジ20万円分をだまし取ろうとした詐欺未遂の疑いが持たれています。 決済を終えると「あとで商品を取りに来る」としていったん店を出ましたが、不正に使われた記録に気付いた利用者が、セブンイレブン側に相談したということです。 その後、戻ってきたところを、通報を受け駆けつけた警察官に逮捕されました。 警視庁によりますと、調べに対して張容疑者は容疑を認め、「通信アプリで指示されてやった。店に入る直前に7、8人分のI
11月から始まった「セブン&アイ」のオムニチャネル戦略とは?
セブン&アイ・ホールディングスは11月1日、リアルとネットを融合したオムニチャネル「omni7」をオープンした。果たしてその狙いはどこにあり、何を目指しているのか? この点について12月9日、セブン&アイ・ホールディングス 取締役 執行役員 CIO 鈴木康弘氏が東京・品川のホテルで開催された「ORACLE CLOUD DAYS TOKYO」の中で講演し説明した。 鈴木氏は、セブン&アイ・ホールディングスの特徴として、多様な業態を持つ流通グループである点と、19,000と国内店舗数が非常に多い点をあげ、同社のオムニチャネル戦略について、「オムニチャネルは米国で始まったが、米国と違いは複数の業態のリアル店舗とネットを融合させたことだ。われわれの特徴は店舗数が多いことだが、それを最大限活用する、われわれならではのオムニチャネルを実現しようと思っている。ネットと融合することで、いつでも、どこでも、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
三井住友銀行
7iDのパスワードを再設定すると7payのクーポンや残高が消えたとの報告が相次ぐ→広報「システム上の不具合ではなく、個別対応で解消できる」と説明
各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について
