徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要に。 | AAPL Ch.
macOS 10.14 Mojaveでは新しいプライバシー保護機能のため、ホームディレクトリ以下でもターミナルからアクセスするさいには「フルディスクアクセス」設定が必要になっています。詳細は以下から。 Appleは2018年06月に開催したWWDC 2018で、「macOS 10.14 Mojave」を発表すると共にMojaveではこれまでのmacOS以上にユーザーのプライバシー保護に重点を置き、メールやメッセージ、Safariのデータなど、以下のデータにアプリからアクセスする際にユーザーの承認(User Consent)が必要になると発表しました。 これに伴い、多くのアプリでこれらのデータにアクセスする際にユーザー承認のポップアップが表示され、ユーザービリティが損なわれていると一部批判も出ていますが、元Appleのソフトウェアエンジニアで現在はMarsEditなどを開発しているDanie
SSHなるものをよくわからずに使っている人のための手引書
SSHとは SSHとは、セキュアな通信を行うためのプロトコルです。 たとえば、HTTP。HTTPを通してブラウザからWebサイトにアクセスし、 コンテンツを閲覧したりWebアプリを利用したりします。 この「HTTP」というのもプロトコルの一種です。 HTTPもSSHもOSI参照モデルと呼ばれる層の最上位、アプリケーションレイヤーに位置しています。 なお、よく聞く「OpenSSH」とは、このSSHのプロトコルを実現するための 有名なソフトウェア(プログラム)のひとつです。 FTPのプロトコルで言うFileZillaとか、そういったイメージです。 このSSHを使うと、リモートサーバに安全にログインできたり、 ファイルをセキュアに送受信することができたりします。 SSHは「Secure Shell」の訳で、リモートシェルに特化しています。 公開鍵認証という仕組みを用いて、セキュアな通信を実現して
徳丸先生が『安全なWebアプリケーションの作り方』第二版を語る会 - Qiita
安全な Web アプリケーションの作り方 ブログ枠で入り込みました。 2018年9月10日(月)19:00~20:30 @ EGセキュアソリューションズ株式会社 Connpass から引用: 弊社代表 徳丸の著書であり、ウェブエンジニアのみなさまのバイブルとして親しんでいただいております『安全なWebアプリケーションの作り方』。6月21日に待望の第2版が発売されました。 今回の勉強会では少しカジュアルに、『安全なWebアプリケーションの作り方』第2版執筆にあたっての想いや、初版との違い、お勧めの読み方等を著者徳丸自らがお伝えします。 さらに、第2版で新規に追加された以下の脆弱性のデモもご覧いただきます。 表紙 初版の表紙と第二版の表紙で微妙に向きが変わっている、特に意味はないけど。逆向きの矢印も検討したんだけど、座りが悪った。 初版(amazon) 第二版(amazon) 第二版で改訂しま
Bizコンパス -ITによるビジネス課題解決事例満載!
【お客さま各位】 Bizコンパスメディアは2021年9月30日(木)をもちましてサービスを終了致しました。 今後、コンテンツを刷新した新サイトにリニューアルオープン予定です。(10月中旬以降) Bizコンパス メールマガジンをお送りしている皆さまにはリニューアル時にご案内いたしますので新メディアをぜひご期待ください。
いかにして私はiPhoneを(2度までも)盗まれたか
巧妙な手口に乗せられてちょっとした詐欺に遭ってしまったとき、「iPhoneを探す」アプリは助けになりませんでした。なぜでしょうか? 場所:ロシアのモスクワ。 日時:サッカーワールドカップのロシア対スペイン戦開始から5分後。 状況:バーに入ってロシアチームを応援しようとしたとき、iPhoneを盗まれた。 これだけならブログで取り上げるほどの話ではありません。ただ、犯人の手口が巧妙すぎたので、思い切って紹介することにしました。 事はこんなふうに展開しました。 17:00:試合開始。 17:01:モスクワの中心街にある混み合ったバーに入店。空席を探しながら、ずっとiPhoneをしっかり手に持っていた(友人に自分の居場所を教える必要があったので)。 17:07:ボーイフレンドに言われて友人に電話しようとしたとき、iPhoneがないことに気づいて愕然とする。 真っ先にしたのは、別の端末から自分のiP
マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log
はじめに PCがcryptojackに感染したと思いきや、感染したのはルータでした、という話です。 8月22日 とあるブログ記事を読んでいたところ、下のスクリーンショットのような読み込み画面とavastによるwebシールドの警告が出てきました。どうやらcoinhiveをブロックしているらしく、ああたまにあるやつだなと思い特に何もしませんでした。しかし、そのあとitmediaや(AT)BIOS、はてなブログにアクセスした際に同様の警告が出たため、流石にこれはおかしいぞと思い始めます。JavaもFlashも無効にしてるし機能拡張もAdBlockしか入れてない、怪しいプロキシを登録しているわけでもない・・・、と一通りチェックした後、とりあえず現状保存のためディスクをバックアップし、システムをavastのフルスキャンにかけて寝ました。 (AT)BIOSにアクセスした際の警告 8月24日 模索 av
STOP! パスワード使い回し!キャンペーン2018
□ パスワードの文字列は、長めにする(12文字以上を推奨) □ インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる □ 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける □ 他のサービスで使用しているパスワードは使用しない これまでは、英大文字・小文字、数字に加えて記号を混ぜ込むことが多々推奨されてきました。しかし、「アルファベットを数字や記号に置き換える」等の方法では、憶えやすさが損なわれたり(※後述のコラムを参照)、「p@ssword」(aをアットマーク「@」に置き換え)のような置き換えの場合、辞書攻撃であらかじめ推測されている恐れがあります。したがって、現在では、これまでの方法より数文字でも多くの文字を使うことが望ましいと考えられています。 例えば、8文字で英大小文字+数字+記号(9
「変えたパスワードをいちいち覚えられるか!」という人に、今知って欲しい方法
先日、ユーザーの皆さんなら誰でもドキッとするようなメールを受け取りました。 件名には、私のメールアドレスと一緒に、私がいつか使っていた「パスワード」が記載されています。本文は英語で、「お前のパスワードは○○だと分かってるぞ。どうしてこんなメールが届いたのか、お前はさぞ驚いてるだろうな、えぇ?」という文言に続き、「お前のPCにウイルスを仕込んだ。お前が見ていたアダルトサイトの画面と一緒に、閲覧中のお前の姿を録画してある。もちろん連絡先も全て盗んだ。外にばらまいてほしくなければ、ビットコインで1000ドル分支払え」――という内容でした。 このようなメールは、複数の送信元から多数送られてきました。自分が使っているパスワードそのものが件名に書かれていたら、誰でもびっくりするでしょう。 ただし、1点だけ気になったことがありました。私に来たメールに書かれていたパスワードは、確かに以前使っていたものです
2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80選
組織のセキュリティ対策 2018.7.25 あなたはセキュリティ業務に関連する情報(webサイトや資料)を整理できていますか? 情報の移り変わりはとても早く、ご存知の通り情報セキュリティの世界も新しい情報を常にインプットしていかなければなりません。ただでさえ忙しい中、新しい情報をキャッチアップし続けるための手間も最小限に抑えたい、そんな想いを持つ方も多いのではないでしょうか。 そこで、今回は「情報セキュリティ担当者がどのサイト・資料に目を通しておけばいいか」を、下記のような視点から80個厳選してまとめました。 ・セキュリティ対策、インシデント情報、脆弱性情報に関する情報を素早くキャッチしたい ・企画資料のために使えそうな統計データや情報が欲しい ・新人研修のための資料を探している RSS、Social Media、キュレーションサイト等情報の入手方法はいろいろありますが、このような形でまと
サイバー警察に家宅捜索を受けた際の体験談
はじめに これは、私が2018年4月に埼玉県警のサイバー警察に自宅の家宅捜索を受けた時の体験談です。 事実を出来るだけ詳細に記載致します。また、大変稚拙で恐れ入りますが私自身の正直な気持ちも一緒に書き留めています。 また、事件内容の詳細につきましては、警察に口止めされている上、私も捜査を妨害する意図などは全くなく捜査上の秘密が守られることは個人的にも大切だと理解し同意もしているので掲載しないこととします。 この記事の掲載目的は、主権者(納税者)である私以外の国民の皆様に、行政組織の1つである警察から私と同じような体験をして頂きたくないという点と、サイバー警察組織の現状を垣間見た一市民、一ITエンジニアとして私が感じたこと、体験致しましたことを皆様に共有させて頂ければと思い執筆させて頂きました。 登場人物の紹介 ここでは、少し話が長くなりますので先に登場人物をまとめさせて頂きます。 私:自営
対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃
フジ・メディア・ホールディングス子会社で通販大手ディノス・セシールが新たな手法によるサイバー攻撃の被害に遭った。同社は2018年6月2日にWebサイト「セシールオンラインショップ」が不正アクセスを受け、4日後の6月6日に顧客情報が流出した可能性があったと公表した。 手口は「リスト攻撃(リスト型アカウントハッキング)」の一種だ。リスト攻撃とは、サイバー攻撃や闇取引など何らかの手段で入手した、攻撃対象のWebサイトのユーザーIDとパスワードの一覧(リスト、パスワードリストとも)を使って、機械的にログイン試行を繰り返し、不正ログインを試みるものだ。ログインできたら個人情報を盗んだり、ポイントを金品に換えたりする。 今回、ディノス・セシールを襲ったのは、より巧妙さを増した「新型リスト攻撃」と言えるものだった。結果的に不正ログインが成功したのは490人にとどまったものの、セキュリティ関係者には波紋が
高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ
■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
「認証」の基礎知識(7):ワンタイムパスワードの方式
「認証」の基礎知識(7):ワンタイムパスワードの方式 2017年5月16日 ITセキュリティ強化の道 ITセキュリティ強化の道, パスワード, ビジネス, 認証 まゆずみ@パスロジ セキュリティの強化に利用されるワンタイムパスワードの方式には、「タイムシンクロナス(TOTP)」と「チャレンジアンドレスポンス」という、大きく分けて2種類の認証方式があります。 時間によってパスワードが生成される「タイムシンクロナス方式」 ログインのたびに異なるパスワードを利用するワンタイムパスワードには、主に次の2種類の認証方式があります(実際には3種類ありますが、主に利用されているのは2種類です)。ひとつが「タイムシンクロナス方式」、もうひとつが「チャレンジアンドレスポンス方式」です。 タイムシンクロナス方式(時刻同期方式)は、「Time-basedOne-Time Password」の頭文字をとって「TO
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集
総務省は、今般、クラウド事業者がIoTサービスを提供する際のリスクへの対応方針を取りまとめたことから、「クラウドサービス提供における情報セキュリティ対策ガイドライン」(平成26年4月策定)を改定することとしました。ついては、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)について、平成30年6月7日(木)から同年7月6日(金)までの間、意見を募集することとします。 総務省では、平成29年7月より、特定非営利活動法人ASP・SaaS・IoTクラウドコンソーシアムに委託し、「ASP・SaaSクラウド普及促進協議会」の下に設置された「クラウド事業者におけるIoTセキュリティ対策及び情報開示に関する検討会」(主査:佐々木良一 東京電機大学 教授)(構成員は別紙1のとおり)において、クラウド事業者がIoTサービスを提供する際のリスクへの対応方針について検討を行ってきま
総務省|報道資料|クラウドサービス提供における情報セキュリティ対策ガイドラインの公表
総務省では、クラウドサービス利用の進展状況等に対応するため、クラウドサービス提供事業者が留意するべき情報セキュリティ対策に関する「クラウドサービス提供における情報セキュリティ対策ガイドライン」を策定しましたので、公表します。 「クラウドサービス提供における情報セキュリティ対策調査検討会」(構成員については別紙1参照)における検討結果を踏まえて策定したガイドライン(案)について、意見募集を平成26年2月22日(土)から同年3月16日(日)まで行ったところ、別紙2のとおり11件の御意見を頂きました。 今般、当該意見募集の結果を踏まえ、「クラウドサービス提供における情報セキュリティ対策ガイドライン」を策定しましたので、公表します。
PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで
セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻撃「ブルーノート」に関して注意を呼びかけた。PCのスピーカやPCの近くに置かれたスピーカからある種の音を流すだけで、PCを使用不能な状態に陥れられるという。なお、攻撃を受けるのはハードディスクなので、SSDのみを搭載しているPCはクラッシュしない。 この攻撃は、ミシガン大学と浙江大学の研究チームがデモンストレーションしたもの。音楽である音程を意味する用語“ブルーノート”と、Windowsのクラッシュ画面“ブルースクリーン”から、ブルーノート攻撃と呼ばれるようだ。 研究チームによると、音の振動でハードディスクの読み書きヘッドとプラッターがそれぞれ振動し、振幅が限界を超えるとハードディスクそのものが損傷したり、ソフトウェアが誤作動したりして、ファイルシステムが破壊されクラッシュやリブートに至るという。攻撃を実行するにあ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト
【佐川急便】|お知らせ