月別アーカイブ: 2019年1月

「Peing-質問箱-」のメールアドレス漏えい、最大149万件 – ITmedia NEWS

「Peing-質問箱-」のメールアドレス漏えい、最大149万件 - ITmedia NEWS

「Peing-質問箱-」のメールアドレス漏えい、最大149万件 - ITmedia NEWS

Twitterなどを通じて匿名で質問できるサービス「Peing-質問箱-」に脆弱性が見つかった問題で、運営会社のジラフは1月31日、最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表した。 流出したPeing内の情報は、トークン、トークンシークレット、Peingに登録されたメー...

はてなブックマーク - 「Peing-質問箱-」のメールアドレス漏えい、最大149万件 - ITmedia NEWS はてなブックマークに追加

「Chrome」、人気サイトに酷似したURLを警告へ – ZDNet Japan

「Chrome」、人気サイトに酷似したURLを警告へ - ZDNet Japan

「Chrome」、人気サイトに酷似したURLを警告へ - ZDNet Japan

「Google Chrome」ブラウザに新機能が追加される。信頼できるウェブサイトに似たドメイン名を持つサイトにアクセスしようとしているユーザーに対して、警告を発する機能だ。 Googleはかなり前からこの機能の開発に取り組んでいる。アクセスする意思のないウェブサイトにユーザーを誘導するために、タイポスクワッティン...

はてなブックマーク - 「Chrome」、人気サイトに酷似したURLを警告へ - ZDNet Japan はてなブックマークに追加

匿名で質問を募集できるサービス「Peing」でアクセストークンを第三者が閲覧できる問題が発覚

あるAnonymous Coward曰く、

匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された(ITmedia)。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

同サービスでは、以前より脆弱性問題が指摘されていたという。

なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表しているITmedia)。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える 2014年06月17日
サードパーティのTwitterアプリ制限に対抗する方法:自分で開発者として申請したトークンを使う 2013年07月10日
Twitterにサイバー攻撃、25万件のアカウント情報に不正アクセス 2013年02月02日
認可プロトコル OAuth にセキュリティホール見つかる 2009年04月27日

政府が全国のIoT機器に侵入できるか調査するんだって。どこの国? …って日本だよ | ギズモード・ジャパン

政府が全国のIoT機器に侵入できるか調査するんだって。どこの国? …って日本だよ | ギズモード・ジャパン

政府が全国のIoT機器に侵入できるか調査するんだって。どこの国? …って日本だよ | ギズモード・ジャパン

政府が全国のIoT機器に侵入できるか調査するんだって。どこの国? …って日本だよ2019.01.31 17:008,391 小暮ひさのり Image: Laboko / shutterstock.com やべえ時代になった。 NHKニュースによりますと、総務省が「IoT機器に無差別侵入調査する」というちょっとホラーな…グレーな? 危うい? な調査を行なうようです。IoT...

はてなブックマーク - 政府が全国のIoT機器に侵入できるか調査するんだって。どこの国? …って日本だよ | ギズモード・ジャパン はてなブックマークに追加

Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報) | 株式会社ジラフ

Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報) | 株式会社ジラフ

Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報) | 株式会社ジラフ

平成31年1月31日 各 位 会社名 株式会社ジラフ 代表者名 代表取締役 麻生輝明 Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報) この度、株式会社ジラフ(以下「弊社」といいます。)にて運営を行っておりますPeing-質問箱-において、第三者のAPIトークンを用いて該当アカウントの情報にアクセス...

はてなブックマーク - Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報) | 株式会社ジラフ はてなブックマークに追加

「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性 – ねとらぼ

「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性 - ねとらぼ

「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性 - ねとらぼ

1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、31日12時40分にサービスを再開しました。運営企業ジラフの発表によると、漏洩(ろうえい)した可能性のある登録情報の最大件数は、ハッシュ化されたパスワードで94万9480件、メールアドレスで149万7967件。公式Twitterは今回見つかった問...

はてなブックマーク - 「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性 - ねとらぼ はてなブックマークに追加

wizSafe Security Signal 2018年12月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

wizSafe Security Signal 2018年12月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

wizSafe Security Signal 2018年12月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

2018年12月観測レポートサマリー DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントトピック セキュリティインシデントカレンダー ソフトウェアリリース情報 2018年12月観測レポートサマリー 本レポートでは2018年12月の1ヵ月間に発生し...

はてなブックマーク - wizSafe Security Signal 2018年12月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ はてなブックマークに追加

Peingや宅ふぁいる便のセキュリティ問題から考えるシステム開発の難しさ – 株式会社アクシア

Peingや宅ふぁいる便のセキュリティ問題から考えるシステム開発の難しさ - 株式会社アクシア

Peingや宅ふぁいる便のセキュリティ問題から考えるシステム開発の難しさ - 株式会社アクシア

IT関連のセキュリティ問題は定期的にニュースとなって世間の話題となります。最近でも2つの大きなセキュリティ問題が話題となっています。 そのうちの一つは質問箱サービスのPeingでユーザーのTwitterトークンが丸見えになっているというもの。これよりPeingをTwitter連携させていると勝手にツイートを投稿されてしまう...

はてなブックマーク - Peingや宅ふぁいる便のセキュリティ問題から考えるシステム開発の難しさ - 株式会社アクシア はてなブックマークに追加

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに – GIGAZINE

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに - GIGAZINE

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに - GIGAZINE

by William Hook 元アメリカ政府の諜報工作員たちによるチームが、アラブ首長国連邦(UAE)と敵対する外交官や指導者が使用するiPhoneをハッキングするためのハッキングツール「Karma(カルマ)」を使っています。近年、カルマのような強力なハッキングツールが、アメリカなどの超大国からUAEのような小国の手に移るというケ...

はてなブックマーク - 電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに - GIGAZINE はてなブックマークに追加

標的型サイバー攻撃の兆候を掴む最適な対策とは?

2016年に大手旅行代理店で個人情報漏えい事故が発生した以降、標的型サイバー攻撃の被害事例はほとんど公表されておらず、一見すると標的型サイバー攻撃は沈静化しているように見えます。しかし、トレンドマイクロが法人組織に対して実施しているネットワーク監視においては、標的型サイバー攻撃による侵入が確認された法人組織の割合は2015年から継続して概ね「4組織に1組織」となっています。表面化はしていないものの、標的型サイバー攻撃は依然として国内法人組織にとって深刻な脅威となっていることが言えます。さらに、独立行政法人情報処理推進機構(IPA)から公表された「情報セキュリティ10大脅威 2019」においても、昨年話題となったビジネスメール詐欺、継続して世界各国の法人組織で被害が発生しているランサムウェアを押さえ、標的型攻撃による被害が1位となっています。そして、トレンドマイクロでは、標的型サイバー攻撃において正規を隠れ蓑にした攻撃の隠蔽手口を確認しており、法人組織にとってこの脅威の検出が一層困難になっている傾向が明らかとなっています。

■隠蔽される内部活動

標的型サイバー攻撃は、標的組織のネットワーク内への侵入を目的とした「侵入時活動」と侵入後に最終目的である重要情報を入手する目的で行われる「内部活動」の2段階に大きく分けることができます。トレンドマイクロの調査では、侵入時活動における正規プロセスへの「寄生」やファイルレスによる遠隔操作ツール(RAT)侵入の隠蔽手口が確認されており、さらに侵入後の内部活動においても巧妙な攻撃の隠蔽が行われていることが分かりました。

この内部活動の隠蔽の1つが、侵入したRATを遠隔操作する目的で使われるコマンド&コントロール(C&C)サーバに正規クラウドサービスを利用する手口です。トレンドマイクロが2017年のネットワーク監視で確認した標的型サイバー攻撃関連のRATの検体のうち、有効なC&Cサーバとの通信(C&C通信)が確認できた22サンプルを解析したところ、C&CサーバのIPアドレス全体の52.4%がIaaSを含むクラウドサービスとなっており、C&Cサーバのおよそ半数は正規の一般利用者向けクラウドサービスを利用して構築されていることが分かりました。

C&Cサーバの設置IPアドレスの管理事業者別割合
図:C&Cサーバの設置IPアドレスの管理事業者別割合(2017年、n=42)

正規クラウドサービスを利用したC&C通信の場合、法人組織では通信先のURLやIPアドレスを確認するだけでは、通常のクラウドサービスへのアクセスとC&C通信との区別が困難になります。仮にC&Cサーバを特定できたとしても、短期間でクラウドサービス上のC&Cサーバの構築、削除が行われ、IPアドレスが頻繁に更新される可能性も考えられるため、法人組織では外部との通信先を起点に内部活動を見つける対策が一層難しくなっています。

また、標的組織ネットワーク内の探索活動や攻撃基盤の拡大といった内部活動においても、攻撃を隠蔽する手口が確認されています。サイバー犯罪者はRAT侵入後の端末を起点にさらなる攻撃を展開する際、Windows標準コマンドや正規ツールを利用することで、ユーザやシステム管理者の活動に見せかけてセキュリティ技術による検出を逃れようと試みます。正規を隠れ蓑にした攻撃の隠蔽によって、こうした内部活動を検出することも難しくなっています。

■内部ネットワーク監視による内部活動の検出強化

巧妙化する標的型サイバー攻撃に対しては、一つの対策に頼るのではなく、多層で保護していく多層防御と呼ばれるアプローチが重要です。この多層とは、エンドポイント、ネットワーク、サーバなどのセキュリティ対策製品の導入ポイントを複数にすることでの多層防御とともに、それぞれの対策製品の中で複数のセキュリティ技術を駆使して保護する多層防御の二つを意味しています。

そうした多層防御で求められる複数の対策の中でも、隠蔽される標的型サイバー攻撃の兆候を掴むために特に有効なのが「内部ネットワーク監視」です。組織のネットワーク内を流れるトラフィックを監査し、通信先だけでなく、ネットワーク上の振る舞い、ファイル構造に関連する情報等の複数の観点から不審な通信を見つけ出すセキュリティ技術によって、隠蔽された内部活動の検出力を高めることができます。

内部ネットワーク監視対策のイメージ
図:内部ネットワーク監視対策のイメージ

さらに、隠蔽された内部活動を早期に検出するだけでなく、迅速に侵入の可能性を探り、影響範囲を特定できることも重要なポイントとなってきます。こうした検出後の対応において、法人組織が抱える様々な課題を解決する上でも内部ネットワーク監視による対策を有効に活用することができます。

法人組織においては、内部活動の隠蔽手口の理解および標的型サイバー攻撃の兆候を掴む対策の検討に役立つ以下レポート「標的型サイバー攻撃の兆候を掴む最適な対策とは?」を参考に、今後も続く標的型サイバー攻撃に対するセキュリティ対策の見直しと強化プランを検討することをお勧めします。


図

標的型サイバー攻撃の兆候を掴む最適な対策とは?

「政府がIoT機器に無差別侵入調査へ」 その方法は? 資料をチェック – ITmedia NEWS

「政府がIoT機器に無差別侵入調査へ」 その方法は? 資料をチェック - ITmedia NEWS

「政府がIoT機器に無差別侵入調査へ」 その方法は? 資料をチェック - ITmedia NEWS

政府がサイバー攻撃対策の一環として、国内のIoT機器に無差別侵入――こんな計画が物議をかもしている。計画の詳細は、公表された資料から読み解くことができる。 政府がサイバー攻撃対策の一環として、国内のIoT機器に対して、簡単なパスワードを使って無差別侵入を試み、脆弱なパスワードを使っている機器を洗い出してユ...

はてなブックマーク - 「政府がIoT機器に無差別侵入調査へ」 その方法は? 資料をチェック - ITmedia NEWS はてなブックマークに追加

暗号化とハッシュ化は別物『ハッシュ化は非可逆』がよくわかる例がこちら「最後に塩をまぶしますよね」 – Togetter

暗号化とハッシュ化は別物『ハッシュ化は非可逆』がよくわかる例がこちら「最後に塩をまぶしますよね」 - Togetter

暗号化とハッシュ化は別物『ハッシュ化は非可逆』がよくわかる例がこちら「最後に塩をまぶしますよね」 - Togetter

(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)filesend.to リンク www.filesend.to 無料大容量ファイル転送サービス「宅ふぁいる便」 1999年から運用の無料大容量ファイル転送サービスのパイオニア。300MB迄でファイル容量無制限、256bitTLS・SSL暗号化...

はてなブックマーク - 暗号化とハッシュ化は別物『ハッシュ化は非可逆』がよくわかる例がこちら「最後に塩をまぶしますよね」 - Togetter はてなブックマークに追加

アップル、社内向けアプリの配布プログラムからFacebookをブロック – CNET Japan

アップル、社内向けアプリの配布プログラムからFacebookをブロック - CNET Japan

アップル、社内向けアプリの配布プログラムからFacebookをブロック - CNET Japan

Facebookが、ユーザーの活動情報を入手するために使っていたデータ収集アプリをめぐり、Appleとの間で問題に突き当たった。Facebookの他のアプリの社内テストにも支障が生じる可能性がある。 Facebookは、13~35歳のユーザーに1カ月あたり最大20ドル(約2200円)と紹介料を支払い、「Facebook Research」アプリをダウン...

はてなブックマーク - アップル、社内向けアプリの配布プログラムからFacebookをブロック - CNET Japan はてなブックマークに追加

若者に金を払い彼らをスパイするアプリをインストールさせるFacebook | TechCrunch Japan

若者に金を払い彼らをスパイするアプリをインストールさせるFacebook | TechCrunch Japan

若者に金を払い彼らをスパイするアプリをインストールさせるFacebook | TechCrunch Japan

競合他社のデータが欲しくてたまらないFacebookは、内密に人々に金を払い、Facebook ResearchというVPN(仮想プライベートネットワーク)をインストールさせていた。ユーザーのスマートフォンやウェブでの活動情報をすべて吸い上げるというものだ。これは、Appleによって6月に禁止され、8月に排除されたFacebookのOnavo ...

はてなブックマーク - 若者に金を払い彼らをスパイするアプリをインストールさせるFacebook | TechCrunch Japan はてなブックマークに追加

Anonymous、ロシアの政治家などがやり取りしたメッセージなどのデータを公開

ハッカー集団Anonymous(アノニマス)が、ロシアの政治家やジャーナリスト、財閥、宗教的指導者およびウクライナの愛国者/テロリストがやり取りしたメッセージやファイルを公開したとの声明を出している(AnonymousのTweetNew York Times)。このデータはInternet Archiveのミラーサイトからダウンロードできる状態になっていたようだが、現時点ではアクセスできないようだ。

これらのデータの合計サイズは108GBとのことで、「The Dark Side of the Kremlin」と名付けられている。

すべて読む | セキュリティセクション | インターネット | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
アノニマスに憧れた高校生、ウイルス作成プログラム所持で書類送検 2016年02月02日
アノニマス、「悪ふざけ」で欧州宇宙機関を攻撃 2015年12月18日
アノニマス、KKKに対する大規模なサイバー攻撃などを実施 2015年11月11日

Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんし電話をかけてきた利用者の暗証番号を聞き出す詐欺が登場している – Togetter

Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんし電話をかけてきた利用者の暗証番号を聞き出す詐欺が登場している - Togetter

Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんし電話をかけてきた利用者の暗証番号を聞き出す詐欺が登場している - Togetter

グーグルマップは地図に表示される情報が誤っているときに、利用者が訂正情報を提案する仕組みを備える。この機能を悪用して銀行などの電話番号を改ざんする。改ざんに気づかなかった利用者が電話をかけると、犯罪者につながる仕組みだ。nikkei.com/article/DGXMZO… リンク 日本経済新聞 電子版 166 users 508 グーグル...

はてなブックマーク - Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんし電話をかけてきた利用者の暗証番号を聞き出す詐欺が登場している - Togetter はてなブックマークに追加

Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんして、電話をかけてきた「利用者の暗証番号」を聞き出す詐欺が登場している – Togetter

Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんして、電話をかけてきた「利用者の暗証番号」を聞き出す詐欺が登場している - Togetter

Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんして、電話をかけてきた「利用者の暗証番号」を聞き出す詐欺が登場している - Togetter

リンク 日本経済新聞 電子版 166 users 508 グーグルマップ悪用「振り込め詐欺」、アジアで被害増 米デルテクノロジーズ傘下でストレージ(外部記憶装置)大手のEMCジャパン(東京・渋谷)のセキュリティー部門は29日、サイバー攻撃の動向に関する説明会を開催した。米グーグルなどの地図サービスを悪用した

はてなブックマーク - Google Mapの「情報を訂正する仕組み」を使い銀行などの電話番号を改ざんして、電話をかけてきた「利用者の暗証番号」を聞き出す詐欺が登場している - Togetter はてなブックマークに追加

大量にID作成 ボット悪用し不正にチケット買い占めか | NHKニュース

大量にID作成 ボット悪用し不正にチケット買い占めか | NHKニュース

大量にID作成 ボット悪用し不正にチケット買い占めか | NHKニュース

コンサートチケットを転売目的で購入したとして兵庫県警に逮捕された業者が、チケットの販売サイトにアクセスするID200余りを不正に作成したとして再逮捕されました。警察は「ボット」と呼ばれる自動プログラムを悪用し、用意した大量のIDでチケットを買い占めていたとみて捜査しています。 これまでの捜査で容疑者...

はてなブックマーク - 大量にID作成 ボット悪用し不正にチケット買い占めか | NHKニュース はてなブックマークに追加

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった

25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが(過去記事)、漏洩した情報には「暗号化されていない」パスワードが含まれていたという(宅ふぁいる便による「お知らせ」)。

これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。

FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。

すべて読む | ITセクション | セキュリティ | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日
パスワード変更不可な米長距離バス会社のWebサービス 2017年05月07日

1月末でOracle Java SE8の無償アップデートが終了

2019年1月末で、商用ユーザー向けのJava SE 8の公式アップデートが終了する(Oracle Java SE サポート・ロードマップ)。

なお、有償のPremier SupportおよびExtended Supportではアップデートがそれぞれ2022年3月、2025年3月まで提供される(過去記事)。また、個人ユーザー向けには2020年12月末まで公式アップデートおよび自動更新が提供される。

すべて読む | デベロッパーセクション | ビジネス | セキュリティ | Java | デベロッパー | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Java 11リリース、リリースサイクル変更後初のLTS版 2018年09月27日
Javaではもう儲からない 2018年09月06日
Javaのサポート方針転換によって政府系のシステムが使えなくなる恐れ 2018年02月27日
Oracleが無償でJDKを提供するのは「Java 10」が最後、Java 11以降はOSSコミュニティでのサポートに 2018年02月13日

FiddlerScript ちょっと使ってみた – SSTエンジニアブログ

FiddlerScript ちょっと使ってみた - SSTエンジニアブログ

FiddlerScript ちょっと使ってみた - SSTエンジニアブログ

はじめまして! 百田と申します。普段は脆弱性診断を業務としています。 突然ですが、皆さんは普段 ローカルプロキシ 何を使っていますか? 私は Burp Suite を使っています。お恥ずかしながら、その他のローカルプロキシツールはほとんど使ったことがありません...。 ですが!! あることがきっかけとなり、Fiddler お...

はてなブックマーク - FiddlerScript ちょっと使ってみた - SSTエンジニアブログ はてなブックマークに追加

Twitterからダウンロード保存した画像を勝手に削除 ファーウェイが中国当局の”ネット検閲”に加担か⁉|日刊サイゾー

Twitterからダウンロード保存した画像を勝手に削除 ファーウェイが中国当局の”ネット検閲”に加担か⁉|日刊サイゾー

Twitterからダウンロード保存した画像を勝手に削除 ファーウェイが中国当局の”ネット検閲”に加担か⁉|日刊サイゾー

ファーウェイジャパン公式サイトより 安全保障への懸念から、華為技術(ファーウェイ)製通信機器の排除が世界中で広まっているなか、今度は同社製のスマホに中国当局のネット検閲に加担するプログラムが仕込まれている疑惑が浮上した。 香港のテック系メディア「e-zone」(1月21日付)などによると18日、江蘇省に住む...

はてなブックマーク - Twitterからダウンロード保存した画像を勝手に削除 ファーウェイが中国当局の”ネット検閲”に加担か⁉|日刊サイゾー はてなブックマークに追加

ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント (1/3) – ITmedia エンタープライズ

ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント (1/3) - ITmedia エンタープライズ

ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント (1/3) - ITmedia エンタープライズ

ITmediaエンタープライズセキュリティセミナー:ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント (1/3) サイバー犯罪事件のニュースからOPSEC(運用上のセキュリティ)のヒントを得るにはどうすればいいのか。Planetway Japanの竹田氏が「ダークウェブ」の実態や、現在はテイクダウンされたダー...

はてなブックマーク - ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント (1/3) - ITmedia エンタープライズ はてなブックマークに追加

iPhoneで通話前に相手の音声が聞こえる「FaceTimeバグ」は14歳の少年がフォートナイトプレイ中に発見 – GIGAZINE

iPhoneで通話前に相手の音声が聞こえる「FaceTimeバグ」は14歳の少年がフォートナイトプレイ中に発見 - GIGAZINE

iPhoneで通話前に相手の音声が聞こえる「FaceTimeバグ」は14歳の少年がフォートナイトプレイ中に発見 - GIGAZINE

現地時間の2019年1月28日、AppleがiOS端末やmacOS端末向けにリリースしている通話アプリ「FaceTime」で、通話の呼び出し中の段階で電話をかけた相手側の音声を拾うことが可能になるバグが話題を呼びました。このバグはなんとわずか14歳の少年が人気ゲームの「フォートナイト」をプレイしている途中に発見したもので、話...

はてなブックマーク - iPhoneで通話前に相手の音声が聞こえる「FaceTimeバグ」は14歳の少年がフォートナイトプレイ中に発見 - GIGAZINE はてなブックマークに追加

大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる

大塚商会が提供しているホスティングサービス「アルファメール」および「アルファメールダイレクト」が1月19日に不正アクセスを受け、不正にファイルが設置されるという事案が発生した(piyologINTERNET Watch)。20日の時点で不正に設置されたファイルの削除などの措置が取られているという。

大塚商会の発表によると、利用者が設置していたWordPressの脆弱性を狙った攻撃が行われ、その結果他の利用者の領域にも不正にファイルが設置されたという。また、この攻撃を行なったと主張する者がPastebinに攻撃を行なったWebサイトのリストを掲載していたという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WordPress 4.7.0および4.7.1 に認証なしでコンテンツをアップロードできる深刻な脆弱性 2017年02月07日
自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない? 2016年06月25日
「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した? 2016年04月11日
脆弱性のあるアプリケーションと脆弱性を気にしない上司、どうすればいい? 2013年12月07日
Ubuntuホスティングサーバの一部が乗っ取られ、攻撃の踏み台に 2007年08月19日
Debian Projectのサーバが不正侵入される 2006年07月20日

脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開:2011年以来のメジャーアップデート – @IT

脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開:2011年以来のメジャーアップデート - @IT

脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開:2011年以来のメジャーアップデート - @IT

2011年以来のメジャーアップデート:脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開 Rapid7が中心となって開発しているオープンソースのペネトレーション(脆弱性調査)テストフレームワークの最新版「Metasploit Framework 5.0」が、公開された。

はてなブックマーク - 脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開:2011年以来のメジャーアップデート - @IT はてなブックマークに追加

中国式監視社会の思い出 – 黒色中国BLOG

中国式監視社会の思い出 - 黒色中国BLOG

中国式監視社会の思い出 - 黒色中国BLOG

中国がハイテクを駆使して人々を常時監視している…という話が最近良く話題にのぼる。街中に無数に設置された監視カメラ、生体認証技術、携帯電話の位置情報、ネット情報の監視など。 これらは大なり小なり、中国以外の国でも採用されている技術であったりするし、日本国内でも監視カメラを増やして安全を確保しよう…とい...

はてなブックマーク - 中国式監視社会の思い出 - 黒色中国BLOG はてなブックマークに追加

なぜコインハイブ「だけ」が標的に 警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満 (1/3) – ねとらぼ

なぜコインハイブ「だけ」が標的に 警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満 (1/3) - ねとらぼ

なぜコインハイブ「だけ」が標的に 警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満 (1/3) - ねとらぼ

サイト訪問者のPCを使ってWebブラウザ上で仮想通貨をマイニング(採掘)させる「Coinhive(コインハイブ)」を設置したことを巡り、複数の検挙者が出ている問題(通称:Coinhive事件)について、検挙当時未成年だった少年がねとらぼ編集部の取材に応じ、当時の状況や「Coinhive事件」の問題点について語りました。 コイ...

はてなブックマーク - なぜコインハイブ「だけ」が標的に 警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満 (1/3) - ねとらぼ はてなブックマークに追加

オージス総研の個人情報流出 のここが怖い – Windows 2000 Blog

オージス総研の個人情報流出 のここが怖い - Windows 2000 Blog

オージス総研の個人情報流出 のここが怖い - Windows 2000 Blog

「宅ふぁいる便」不正アクセスによる情報漏えいの第3報を発表、パスワードは暗号化しておらず(オージス総研) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト] 流出した情報は以下の通り 氏名 しめいふりがな ログイン用メールアドレス ログインパスワード 生年月日 性別 職業・業種・職種 メ...

はてなブックマーク - オージス総研の個人情報流出 のここが怖い - Windows 2000 Blog はてなブックマークに追加

Webを見ていたら突然の「システム破損」「ウイルス感染」表示、再び活発化した偽警告 | トレンドマイクロ セキュリティブログ

Webを見ていたら突然の「システム破損」「ウイルス感染」表示、再び活発化した偽警告 | トレンドマイクロ セキュリティブログ

Webを見ていたら突然の「システム破損」「ウイルス感染」表示、再び活発化した偽警告 | トレンドマイクロ セキュリティブログ

Web閲覧時に「セキュリティシステムが破損しています」や「システムがウイルスに感染しています」などのメッセージが突然表示され、驚いたことがある方は多いのではないでしょうか。これらは「偽警告」、英語では「Fake Alert」や「Fake Warning」と呼ばれ、利用者の不安をあおって誘導するサイバー犯罪者の常套手段です...

はてなブックマーク - Webを見ていたら突然の「システム破損」「ウイルス感染」表示、再び活発化した偽警告 | トレンドマイクロ セキュリティブログ はてなブックマークに追加

情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構

情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構

情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構

「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。2018...

はてなブックマーク - 情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構 はてなブックマークに追加

Webを見ていたら突然の「システム破損」「ウイルス感染」表示、再び活発化した偽警告

Web閲覧時に「セキュリティシステムが破損しています」や「システムがウイルスに感染しています」などのメッセージが突然表示され、驚いたことがある方は多いのではないでしょうか。これらは「偽警告」、英語では「Fake Alert」や「Fake Warning」と呼ばれ、利用者の不安をあおって誘導するサイバー犯罪者の常套手段です。本ブログでも2017年11月の記事など、何度も注意を呼び掛けている攻撃手法となります。

トレンドマイクロが1月に確認した偽警告の表示例
図:トレンドマイクロが1月に確認した偽警告の表示例

偽警告の攻撃は以前から繰り返し継続して行われているものですが、日本国内においては昨年2018年以降に再び活発化してきています。トレンドマイクロへの偽警告関連の問い合わせ件数は2018年を通じて増加し、年末には12月の一か月だけで2226件に達しました。

トレンドマイクロが国内で受けた偽警告に関する問い合わせ件数の推移
図:トレンドマイクロが国内で受けた偽警告に関する問い合わせ件数の推移

この2年間で最多となった2018年12月の問い合わせ件数を日別の推移で見てみると、特に12月21日以降の連休、クリスマスの時期に急増していることがわかります。

2018年12月における、偽警告に関する問い合わせ件数の日別推移
図:2018年12月における、偽警告に関する問い合わせ件数の日別推移

この年末に向けて一層活発化した勢いは、年が変り1月に入っても衰えることなく継続しており、注意が必要です。

活発化が続く偽警告の攻撃ですが、このような人間をだまして危険に誘導する手口に対しては、その手口を知ることが対策のために重要です。本記事では、この12月以降にPCやスマートフォンなどでのWeb閲覧時に突然表示される偽警告の実例を紹介します。

トレンドマイクロが1月に確認した偽警告の表示例
トレンドマイクロが1月に確認した偽警告の表示例
図:トレンドマイクロが1月に確認した偽警告の表示例

上図は2019年1月に入ってトレンドマイクロが確認したWeb上の偽警告の例です。この例では正規Webサイトを閲覧中に突然別のタブが開かれ「Windowsセキュリティシステムが破損しています」という偽のシステム警告が表示されました。利用者が表示上の「更新」をクリックすると「Windowsドライバを更新していません」というメッセージの後、また別のタブが開かれシステムのウイルス感染を示す内容が表示されます。当然ながらこれらWeb上での警告は「偽」であり、システムの破損やウイルス感染などの不安をあおる文言により利用者を誘導しようとするものです。これらの偽警告から、利用者はシステム破損やウイルス感染を解決すると称するソフトウェアのダウンロードと実行を促されます。

偽警告からソフトウェアのダウンロードと実行を促す表示の例
偽警告からソフトウェアのダウンロードと実行を促す表示の例
図:偽警告からソフトウェアのダウンロードと実行を促す表示の例

これらは一般に「PUA(Potentially Unwanted Application)」と呼ばれるアプリケーションの中でも「迷惑ソフト」と位置付けられるている類のものです。実行後にはシステムのエラーやウイルス感染を検出した旨の警告メッセージを表示します。以前の「Fake AV(偽セキュリティソフト)」と呼ばれるマルウェアは、実際には有効なスキャンは行わずにこのようなメッセージを表示するものでした。この場合の警告メッセージはまったくの虚偽であり、利用者をだますための不正な活動と断定できるものでした。しかし、現在では実際に不要なクッキーやインターネットキャッシュ、レジストリ内の不要なエントリの存在をスキャンするなど、いわゆる「パフォーマンス向上ツール」と呼ばれるようなソフトウェアが行う動作を行った上で検出メッセージを出すものが多くなっています。この場合、なんらかの検索結果から警告メッセージを出していることは確かなため必ずしも不正と断定できず、グレーウェア、迷惑ソフトとして扱われることになります。

偽警告からダウンロードされた迷惑ソフトの実行例
図:偽警告からダウンロードされた迷惑ソフトの実行例

迷惑ソフトの実行後に誘導される製品版の購入を促すWebサイトの表示例
図:迷惑ソフトの実行後に誘導される製品版の購入を促すWebサイトの表示例

いずれにせよ、システムエラーやウイルス感染のメッセージから、利用者は修復や駆除のためと称して製品版の購入を勧めるWebサイトへ誘導されます。この検証例からは、偽警告を仕掛けているサイバー犯罪者は、最終的に表示される迷惑ソフトの販売自体、もしくは販売のアフィリエイトにより金銭利益を得ている可能性が高いものと考えられます。

このようなWeb上の偽警告の表示内容には様々な種類があります。以下は2018年12月以降にトレンドマイクロが確認した他の偽警告の表示例です。これらの例はすべて最終的に迷惑ソフトの販売サイトへ利用者を誘導するものでしたが、以前には「サポート詐欺」など別の攻撃に誘導するものも確認しています。

2018年12月以降に確認している偽警告画面の例
2018年12月以降に確認している偽警告画面の例
図:2018年12月以降に確認している偽警告画面の例

また、PCではなくスマートフォンでアクセスした場合には、スマートフォン向けの偽警告が表示されます。スマートフォンでアクセスした場合の流れは本ブログ2017年11月の記事にて詳しく扱っていますが、今回の調査では依然として当時と同様の偽警告が存在していることが確認できました。

2018年12月にトレンドマイクロが確認したスマートフォンからアクセスした場合の偽警告画面例
図:2018年12月にトレンドマイクロが確認したスマートフォンからアクセスした場合の偽警告画面例

このような「偽警告」はWeb上で表示されるネット広告を経由して利用者の元に表示されるものと考えられます。いわゆる「怪しいサイト」を踏んでしまった場合のみならず、正規サイトの閲覧時にも遭遇する場合があるのはそのためです。現在のネット広告は時間帯やアクセス者によって最適と判断される広告を表示する仕組みが多く採用されており、同一サイトであってもアクセス者によって異なる広告が表示される可能性があります。このようなネット広告の仕組みは、偽警告の攻撃を仕掛けるサイバー犯罪者にとっても、追跡を免れるために都合の良い仕組みとなってしまっています。同時にこのような不正広告のコンテンツが正規クラウドサービス上にホストされていることも多くなっており、偽警告の表示を一様に排除するような対応は困難なものとなっています。

■被害に遭わないためには

このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知り騙されないようにすることが対策の1つとなります。「偽警告」は単なるWebサイト上の表示であり、表示されただけでは直接的な危険はありません。表示を無視してブラウザを終了させることが一番の対処法となります。

■トレンドマイクロの対策

トレンドマイクロ製品ではこのような偽警告の表示を行うWebコンテンツに対し、「ブラウザ脆弱性対策機能」により利用者の保護を行っています。「ブラウザ脆弱性対策機能」は個人向け総合セキュリティ対策製品「ウイルスバスタークラウド」などエンドポイント製品で利用可能です。

本記事内で言及した迷惑ソフトに対しては「PUA.Win32.PCSpeedUp.A」などの「PUA」で始まる検出名で順次検出対応しています。

※調査協力:中谷 吉宏、サイバースレットリサーチチーム(Trend Micro Research)、百﨑 太郎(トレンドマイクロサポートセンター)

※本記事内の画像について、画像内に危険や権利侵害などに繋がる部分がある場合には修正を施しています

グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞

グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞

グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞

米デルテクノロジーズ傘下でストレージ(外部記憶装置)大手のEMCジャパン(東京・渋谷)のセキュリティー部門は29日、サイバー攻撃の動向に関する説明会を開催した。米グーグルなどの地図サービスを悪用した振り込め詐欺の一種「リバースビッシング」と呼ぶ手口がアジア太平洋地域で広がりつつあると警鐘を鳴らした。 ...

はてなブックマーク - グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞 はてなブックマークに追加

OWASP IoT Top 10 2018が公開されました | セキュリティ対策のラック

OWASP IoT Top 10 2018が公開されました | セキュリティ対策のラック

OWASP IoT Top 10 2018が公開されました | セキュリティ対策のラック

セキュリティ診断部の三井です。 2018年末に、OWASPよりIoT Top 10の2018年版が公開されました* 。 普段私は、スマートデバイス診断グループでスマートフォンアプリケーションやIoTデバイスの診断を行っていますが、社内での勉強会向けにこのIoT Top 10 2018年版の概要をまとめましたのでこちらでもご紹介します。 OWASP...

はてなブックマーク - OWASP IoT Top 10 2018が公開されました | セキュリティ対策のラック はてなブックマークに追加

アップル「FaceTime」のバグ、少年が1週間以上前に発見していた – CNET Japan

アップル「FaceTime」のバグ、少年が1週間以上前に発見していた - CNET Japan

アップル「FaceTime」のバグ、少年が1週間以上前に発見していた - CNET Japan

世界中の誰もが気づく前に、アリゾナ州に住む14歳の少年が、友人とゲーム「フォートナイト」をプレイしていたときに、Appleのビデオ通話アプリ「FaceTime」のバグを発見した。 Michele Thompsonさんの息子であるこの少年は米国時間1月19日、友人とFaceTimeでグループ通話を始めた。オンラインゲームをプレイしながら会話...

はてなブックマーク - アップル「FaceTime」のバグ、少年が1週間以上前に発見していた - CNET Japan はてなブックマークに追加

Ruby 2.6.1 リリース

Ruby 2.6.1 がリリースされました。

その他いくつかの不具合修正も含まれます。詳細は commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.1.tar.gz

    SIZE:   16742207 bytes
    SHA1:   416842bb5b4ca655610df1f0389b6e21d25154f8
    SHA256: 17024fb7bb203d9cf7a5a42c78ff6ce77140f9d083676044a7db67f1e5191cb8
    SHA512: 89e016e60f107fa40da251bc9659584ee3191caee726b5c6818ecbe109f825c553041a5dfda7e6d2889fcf587e63fb5d9fbe6cbdbdc4572e1123c302f0f1b881
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.1.zip

    SIZE:   20595342 bytes
    SHA1:   6fd14990dc411eb58852324d45b29f84d580644d
    SHA256: ed1537f49d333a809900c1f49ad16c4c06224ebbf5c744cb7b9104ab2a385366
    SHA512: 8a092486ecefac5bd734897562257a576112e59d90026d0b2ada10aa0b7e0fa86ed1cd803c6254eaa21b19ba36502d9ac268eae6f5714a6eca01904117ab0da6
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.1.tar.bz2

    SIZE:   14561930 bytes
    SHA1:   d4c92d9b0057473238df2fd4792454b43976fda3
    SHA256: 82c9402920eac9ce777beb3f34eeadc2a3f3ce80f25004bbf54b5ed1280ba099
    SHA512: fc41429491935b89532733b95476ab9f8a4efc310aad8f4c2bd3b68fba08fd7b6e9ac84c6c88ca892022d1ba76435295f3299ea466f9b5453c07d41cb539af59
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.1.tar.xz

    SIZE:   11872964 bytes
    SHA1:   ba5f4338bb642e3836dd80b73a9df0d1b6e079ae
    SHA256: 47b629808e9fd44ce1f760cdf3ed14875fc9b19d4f334e82e2cf25cb2898f2f2
    SHA512: fb36289a955f0596c683cdadf1e4a9a9fd35222b1e1c6160c2e7cd82e5befd40a7aa4361e55f7a8f83c06ee899ec493821c7db34a60c4ac3bca0e874d33ef1a9
    

リリースコメント

このリリースにあたり、多くのコミッター、開発者、バグ報告をしてくれたユーザーの皆様に感謝を申し上げます。

Posted by naruse on 30 Jan 2019

Tカード情報の“令状なし提供”、本当に監視すべき相手は? (1/2) – ITmedia NEWS

Tカード情報の“令状なし提供”、本当に監視すべき相手は? (1/2) - ITmedia NEWS

Tカード情報の“令状なし提供”、本当に監視すべき相手は? (1/2) - ITmedia NEWS

「Tカード」会員の情報が、令状なしで捜査機関に提供されていることが話題になった。この問題から、私たちはどんなことに気を付ければいいのだろうか。 これまで格安SIMを利用していたのですが、お昼時の通信がつながらず業務に支障が出るようになり、NTTドコモに舞い戻ってきました。毎月の携帯料金は倍以上になるので...

はてなブックマーク - Tカード情報の“令状なし提供”、本当に監視すべき相手は? (1/2) - ITmedia NEWS はてなブックマークに追加

スマートキーを5秒で解錠、新たな自動車盗「リレーアタック」国内初確認 (1/3) – ITmedia NEWS

スマートキーを5秒で解錠、新たな自動車盗「リレーアタック」国内初確認 (1/3) - ITmedia NEWS

スマートキーを5秒で解錠、新たな自動車盗「リレーアタック」国内初確認 (1/3) - ITmedia NEWS

鍵穴に差し込まなくても車のドアを解錠したりエンジンをかけられる「スマートキー」の機能を悪用した自動車盗の新手口が、国内で確認された。特殊な機器を使い車から出る微弱な電波を増幅させ、離れた場所にある鍵まで電波を中継(リレー)して解錠する「リレーアタック」と呼ばれる手口。 鍵穴に差し込まなくても車のド...

はてなブックマーク - スマートキーを5秒で解錠、新たな自動車盗「リレーアタック」国内初確認 (1/3) - ITmedia NEWS はてなブックマークに追加

まもなくiPhoneがパスワードいらずに? iOS対応「YubiKey」がもたらす物理キー認証の利便性|WIRED.jp

まもなくiPhoneがパスワードいらずに? iOS対応「YubiKey」がもたらす物理キー認証の利便性|WIRED.jp

まもなくiPhoneがパスワードいらずに? iOS対応「YubiKey」がもたらす物理キー認証の利便性|WIRED.jp

PHOTOGRAPH COURTESY OF YUBICO スウェーデンのセキュリティ企業であるYubicoが、ここ数年でハードウェア認証の分野で身近な存在になってきた。同社の物理的なセキュリティキーである「YubiKey」は、オンラインアカウントの2要素認証における第2要素として機能する。パスワードをまったく使わないことさえも可能だ。これ...

はてなブックマーク - まもなくiPhoneがパスワードいらずに? iOS対応「YubiKey」がもたらす物理キー認証の利便性|WIRED.jp はてなブックマークに追加

php[tek] 2019

We are announcing some exciting changes to php[tek] in 2019, our 14th consecutive year for this event!

Once again we'll be taking place in Atlanta in May, but this year we are moving to 3 full days of conference sessions: May 21-23

However, the significant change is in us creating a curated educational experience for our attendees, with all brand new talks being made just for this event.

You see this year we organized php[tek] into a series of tracks, each dedicated to teaching you in-depth information about a specific topic. Leading these tracks are hand-selected track chairs, chosen for their knowledge in the field and excellent presenters. They are all working together to create a unique curriculum to take your skills to the next level.

Each track’s design is a series of new talks that flow together smoothly, and yet, you can drop in/out of a track throughout the day as needed. Each session is in a 1-hr timeslot. You can choose to sit in one room all day and learn a topic from beginning to end or bounce between the various tracks, putting together a unique learning experience tailored to your needs. The choice is yours.

We hope that you choose to join us for this unique experience. Ticket sales are open with a few different price points, and the earlier you buy, the more you save.

See you in Atlanta!

nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→オートチャージが悪用されるも補償なし – Togetter

nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→オートチャージが悪用されるも補償なし - Togetter

nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→オートチャージが悪用されるも補償なし - Togetter

nanacoカードを落とした…。 慌ててコールセンターにかけたけど「すぐには止められないよ。完全に止まるのは明日になるよ」とのこと。 まじかよ… さすがにクレカからのオートチャージはオンライン処理だし即時停止だと思いたい。チャージ分は最悪やむ無しか。

はてなブックマーク - nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→オートチャージが悪用されるも補償なし - Togetter はてなブックマークに追加

「Peing-質問箱-」騒動をわかりやすくたとえた話が登場。開発者せせり氏は「WEB開発者は気を引き締めよう」と前向き発言 – Togetter

「Peing-質問箱-」騒動をわかりやすくたとえた話が登場。開発者せせり氏は「WEB開発者は気を引き締めよう」と前向き発言 - Togetter

「Peing-質問箱-」騒動をわかりやすくたとえた話が登場。開発者せせり氏は「WEB開発者は気を引き締めよう」と前向き発言 - Togetter

第三者が勝手にツイートできてしまう問題について対応中で、 明朝までに復旧見込みです。 本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。 詳細は明日、会社よりお知らせ致します。 ご迷惑をおかけし大変申し訳ございません。

はてなブックマーク - 「Peing-質問箱-」騒動をわかりやすくたとえた話が登場。開発者せせり氏は「WEB開発者は気を引き締めよう」と前向き発言 - Togetter はてなブックマークに追加

「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた – FNN.jpプライムオンライン

「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた - FNN.jpプライムオンライン

「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた - FNN.jpプライムオンライン

メールとパスワードの組み合わせを、他にも流用している人は注意! 「宅ふぁいる便」のパスワードを暗号化していなかった 他のサービスの暗号化についても聞いてみた 1月25日、インターネットでファイルを転送する「宅ふぁいる便」のサーバーが不正アクセスの被害を受け、約480万件の個人情報が漏えいしたと、運営元のオ...

はてなブックマーク - 「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた - FNN.jpプライムオンライン はてなブックマークに追加

脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ – ITmedia NEWS

脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ - ITmedia NEWS

脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ - ITmedia NEWS

第三者にアカウントを悪用される脆弱(ぜいじゃく)性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。 Peing -質問箱-は、Twitterを通じて匿名で...

はてなブックマーク - 脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ - ITmedia NEWS はてなブックマークに追加

宅ふぁいる便の大規模な情報漏洩は「史上まれに見るバカな流出」 – ライブドアニュース

宅ふぁいる便の大規模な情報漏洩は「史上まれに見るバカな流出」 - ライブドアニュース

宅ふぁいる便の大規模な情報漏洩は「史上まれに見るバカな流出」 - ライブドアニュース

2019年1月29日 18時20分 ざっくり言うと 宅ふぁいる便が不正アクセスを受けて、大規模な情報漏洩が発生した問題 ITジャーナリストの三上洋氏は「史上まれに見る『バカな流出』」と指摘した 「暗号化して保存するのが当たり前で、2019年に起きたと思えない」と述べた メールでは送りにくい大型のファイルを無料で転送する...

はてなブックマーク - 宅ふぁいる便の大規模な情報漏洩は「史上まれに見るバカな流出」 - ライブドアニュース はてなブックマークに追加

News Up “命を奪う溝” 3年間で死者200人以上 | NHKニュース

News Up “命を奪う溝” 3年間で死者200人以上 | NHKニュース

News Up “命を奪う溝” 3年間で死者200人以上 | NHKニュース

今月26日、富山市で86歳の女性が遺体で見つかりました。去年5月には、香川県で生後2か月の赤ちゃんがベビーカーごと転落。8月には秋田県で10歳の男の子が用水路で流され、いずれも命を落としました。警察の統計では、おととしまでの3年間で200人以上が死亡。総延長40万キロ、地球10周分の長さがあり、住宅地などの風...

はてなブックマーク - News Up “命を奪う溝” 3年間で死者200人以上 | NHKニュース はてなブックマークに追加

グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞

グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞

グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞

米デルテクノロジーズ傘下でストレージ(外部記憶装置)大手のEMCジャパン(東京・渋谷)のセキュリティー部門は29日、サイバー攻撃の動向に関する説明会を開催した。米グーグルなどの地図サービスを悪用した振り込め詐欺の一種「リバースビッシング」と呼ぶ手口がアジア太平洋地域で広がりつつあると警鐘を鳴らした。 ...

はてなブックマーク - グーグルマップ悪用「振り込め詐欺」、アジアで被害増  :日本経済新聞 はてなブックマークに追加

Peing-質問箱-に関するお詫びと詳細のご説明(第一報) | 株式会社ジラフ

Peing-質問箱-に関するお詫びと詳細のご説明(第一報) | 株式会社ジラフ

Peing-質問箱-に関するお詫びと詳細のご説明(第一報) | 株式会社ジラフ

平成31年1月29日 各 位 会社名 株式会社ジラフ 代表者名 代表取締役 麻生輝明 Peing-質問箱-に関するお詫びと詳細のご説明(第一報) この度、株式会社ジラフ(以下「弊社」といいます。)にて運営を行っておりますPeing-質問箱-において、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が...

はてなブックマーク - Peing-質問箱-に関するお詫びと詳細のご説明(第一報) | 株式会社ジラフ はてなブックマークに追加

技術的な話ゼロの質問箱(Peing)問題点まとめ – Togetter

技術的な話ゼロの質問箱(Peing)問題点まとめ - Togetter

技術的な話ゼロの質問箱(Peing)問題点まとめ - Togetter

登場人物: あなた(質問箱とtwitterのユーザー) マンション管理人(twitter) 清掃業者(質問箱) 泥棒(脆弱性を悪用する第三者) 宅配便のお兄さん(脆弱性を発見した善意の第三者) 警察(IPA・情報処理推進機構。要するにセキュリティ的に危ないことがあったら届け出る先)

はてなブックマーク - 技術的な話ゼロの質問箱(Peing)問題点まとめ - Togetter はてなブックマークに追加

いつのまにそんな法案が!? 個人家庭のIoT機器への、国の無差別侵入「特定アクセス」を許す法案はこれでした。 – Togetter

いつのまにそんな法案が!? 個人家庭のIoT機器への、国の無差別侵入「特定アクセス」を許す法案はこれでした。 - Togetter

いつのまにそんな法案が!? 個人家庭のIoT機器への、国の無差別侵入「特定アクセス」を許す法案はこれでした。 - Togetter

ええっ、なんですか、これ。総務省が、家庭や会社にある2億台のIoT機器に無差別侵入し、セキュリティ対策の不十分な機器を洗い出すと。 調査ではIDとパスワードを入力して機器に侵入する。不正アクセス禁止法で禁じられている行為を、特例的に国が行うなんて許されるの?? www3.nhk.or.jp/news/html/2019…

はてなブックマーク - いつのまにそんな法案が!? 個人家庭のIoT機器への、国の無差別侵入「特定アクセス」を許す法案はこれでした。 - Togetter はてなブックマークに追加

FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 – Engadget 日本版

FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 - Engadget 日本版

FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 - Engadget 日本版

iOSデバイスやmacOSが搭載するFaceTimeのグループ通話機能に、相手側が出る前に音声が聞こえるバグが見つかったのを本日お伝えしたばかりですが、すでにアップルはグループFaceTime機能を無効にする措置を取った模様です。 アップルのサービス運用状態がわかるSystem Statusページでは、FaceTimeの部分が「問題あり」に...

はてなブックマーク - FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 - Engadget 日本版 はてなブックマークに追加

FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 – Engadget 日本版

FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 - Engadget 日本版

FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 - Engadget 日本版

iOSデバイスやmacOSが搭載するFaceTimeのグループ通話機能に、相手側が出る前に音声が聞こえるバグが見つかったのを本日お伝えしたばかりですが、すでにアップルはグループFaceTime機能を無効にする措置を取った模様です。 アップルのサービス運用状態がわかるSystem Statusページでは、FaceTimeの部分が「問題あり」に...

はてなブックマーク - FaceTimeの盗聴バグ、早くもアップルが対応に動く。グループFaceTime機能を一時停止中 - Engadget 日本版 はてなブックマークに追加

第三者向けにJavaScriptコードを提供していたドメインが乗っ取られ悪用される事例

有効期限が過ぎたまま放置されたドメインが第三者に乗っ取られることはよくあるが、かつてJavaScriptコードを第三者向けに配信していたドメインが乗っ取られ、悪意のあるコードが配信されるというケースがあるようだ(tike blog)。

画像やコンテンツなどの場合、意図したものではないものに置き換えられていた場合は閲覧者が比較的容易に判別できるが、JavaScriptコードについては注意してチェックしない限り気付きにくいという問題があるという。先のブログでは、放置されたドメインを大量に取得し、これとCDNを組み合わせて情報を送信させるような例が紹介されている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
バリュードメインが仕様を変更、第三者にドメインが乗っ取られる騒動を受けてか 2018年10月05日
内閣府のサイトからドメインを手放したサイトへのリンク削除漏れ、リンク先サイトが風俗体験記に 2018年05月12日
Dell、PCのリカバリ用に使われていたドメイン更新を忘れて乗っ取られる 2017年10月30日
JPCERT、第三者によって取得されていた「jpcert.org」の管理権を取得 2017年05月12日
ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性 2016年04月11日
ネットのドメインの85%は乗っ取り攻撃から逃れられない 2006年04月29日

世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc

世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc

世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc

はじめに ファイア・アイのMandiantインシデント・レスポンス/インテリジェンス・チームは、中東、北アフリカ、欧州、北米を対象とし、政府、通信、インターネット・インフラ関連の多数の分野に被害を及ぼしている、一連のDNSハイジャックを確認しました。現時点で、このアクティビティとファイア・アイが追跡するグルー...

はてなブックマーク - 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc はてなブックマークに追加

Ciscoのルーターに脆弱性、パッチ公開の直後から標的に – ITmedia エンタープライズ

Ciscoのルーターに脆弱性、パッチ公開の直後から標的に - ITmedia エンタープライズ

Ciscoのルーターに脆弱性、パッチ公開の直後から標的に - ITmedia エンタープライズ

米Ciscoが1月25日のファームウェアアップデートで修正したばかりのルーターの脆弱性が、サイバー攻撃の標的にされていることが分かったと、セキュリティ情報サイトのBad Packets Reportが1月26日のブログで伝えた。 Ciscoのセキュリティ情報によると、Cisco RV320およびRV325デュアルギガビットWAN VPNルーターに、情報...

はてなブックマーク - Ciscoのルーターに脆弱性、パッチ公開の直後から標的に - ITmedia エンタープライズ はてなブックマークに追加

PayPay不正利用事件で露呈 欠陥だらけのパスワードの危険性 – ライブドアニュース

PayPay不正利用事件で露呈 欠陥だらけのパスワードの危険性 - ライブドアニュース

PayPay不正利用事件で露呈 欠陥だらけのパスワードの危険性 - ライブドアニュース

ユーザーですらない人間のクレジットカードが勝手に使われてしまった「PayPay不正利用事件」。この事件を契機に、あらためて「」が漏れやすく、破りやすく、扱いづらいシステムであることが露呈された。なぜ私たちはこんな認証手段を使い続けなければならないのか? 話題沸騰の書『ブロックチェーン』著者・岡嶋裕史氏...

はてなブックマーク - PayPay不正利用事件で露呈 欠陥だらけのパスワードの危険性 - ライブドアニュース はてなブックマークに追加

Tカード「個人情報提供」は氷山の一角に過ぎない(町田 徹) | マネー現代 | 講談社(1/3)

Tカード「個人情報提供」は氷山の一角に過ぎない(町田 徹) | マネー現代 | 講談社(1/3)

Tカード「個人情報提供」は氷山の一角に過ぎない(町田 徹) | マネー現代 | 講談社(1/3)

法的な問題はない、とはいえ… 先週日曜日(1月20日)、買い物やレンタルをするとポイントが溜まるTカードを展開するCCC(カルチュア・コンビニエンス・クラブ)が、蓄積した顧客の個人情報を令状がなくても捜査当局に提供していると共同通信社が報じ、ネット上で波紋が広がっている。 CCCの個人情報提供にどれほど緊急性...

はてなブックマーク - Tカード「個人情報提供」は氷山の一角に過ぎない(町田 徹) | マネー現代 | 講談社(1/3) はてなブックマークに追加

ブラウザにパスワードを保存するのはアリなのか? | Bizコンパス -ITによるビジネス課題解決事例満載!

ブラウザにパスワードを保存するのはアリなのか? | Bizコンパス -ITによるビジネス課題解決事例満載!

ブラウザにパスワードを保存するのはアリなのか? | Bizコンパス -ITによるビジネス課題解決事例満載!

トレンド今知っておきたいITセキュリティスキルワンランクアップ講座(第7回) ブラウザにパスワードを保存するのはアリなのか? Webサイトへのログインのためにパスワードを入力した時に、「パスワードを保存しますか?」などのメッセージが出ることを経験したことがあると思います。この機能は「オートコンプリート」...

はてなブックマーク - ブラウザにパスワードを保存するのはアリなのか? | Bizコンパス -ITによるビジネス課題解決事例満載! はてなブックマークに追加

世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc

世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc

世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc

はじめに ファイア・アイのMandiantインシデント・レスポンス/インテリジェンス・チームは、中東、北アフリカ、欧州、北米を対象とし、政府、通信、インターネット・インフラ関連の多数の分野に被害を及ぼしている、一連のDNSハイジャックを確認しました。現時点で、このアクティビティとファイア・アイが追跡するグルー...

はてなブックマーク - 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 « 世界規模のDNSハイジャック・キャンペーン:DNSレコードの大規模な不正操作 | FireEye Inc はてなブックマークに追加

CISA 緊急指令19-01: DNSインフラ改竄の軽減 (私訳) – The Decisive Strike

CISA 緊急指令19-01: DNSインフラ改竄の軽減 (私訳) - The Decisive Strike

CISA 緊急指令19-01: DNSインフラ改竄の軽減 (私訳) - The Decisive Strike

この記事は、米国 Department of Homeland Security の Cybersecurity and Infrastructure Security Agency によって投稿された Emergency Directive 19-01: Mitigate DNS Infrastructure Tampering の私訳である。正確性は保証しない。 このページは、国土安全保障省 Cybersecurity and Infrastructure Security Agency...

はてなブックマーク - CISA 緊急指令19-01: DNSインフラ改竄の軽減 (私訳) - The Decisive Strike はてなブックマークに追加

FaceTimeに着信応答する前から音声が聞こえてくる深刻な不具合 – りんごが好きなのでぃす

FaceTimeに着信応答する前から音声が聞こえてくる深刻な不具合 - りんごが好きなのでぃす

FaceTimeに着信応答する前から音声が聞こえてくる深刻な不具合 - りんごが好きなのでぃす

iPhone/iPad/macOSで利用できる通話アプリのFaceTimeに深刻な不具合が見つかったようで、MacRumorsなどが一斉に報じています。 www.macrumors.com Appleが対策を施してくれるまではユーザ各自がFaceTimeを無効化する以外に対策はないそうなので、心配な方は各自対策しておくことを推奨します。 不具合の概要 不具合が発...

はてなブックマーク - FaceTimeに着信応答する前から音声が聞こえてくる深刻な不具合 - りんごが好きなのでぃす はてなブックマークに追加

Latest topics > Chrome Extensionsのマニフェストのバージョン3とアメリカの銃規制 – outsider reflex

Latest topics > Chrome Extensionsのマニフェストのバージョン3とアメリカの銃規制 - outsider reflex

Latest topics > Chrome Extensionsのマニフェストのバージョン3とアメリカの銃規制 - outsider reflex

ちょっと前に話題になったChromeの拡張機能のAPIの新バージョンの案の概要を把握するために、変更点のまとめの部分だけを読んでみた。全訳するのも大変なので、適宜つまみながら。 動機 APIや権限の仕組みに対して大規模な変更を行う物なので、マニフェストバージョンを3に上げる。拡張機能が実際に使用しているAPIや権...

はてなブックマーク - Latest topics > Chrome Extensionsのマニフェストのバージョン3とアメリカの銃規制 - outsider reflex はてなブックマークに追加

指紋認証、顔認証の次は骨伝導声紋認証? – 中華IT最新事情

指紋認証、顔認証の次は骨伝導声紋認証? - 中華IT最新事情

指紋認証、顔認証の次は骨伝導声紋認証? - 中華IT最新事情

ロック解除や決済時に必要なパスワード入力は、現在、ほとんど使われなくなり、指紋認証や顔認証になっている。しかし、いずれの方法も一長一短があり、決定版とも言えない。その状況の中で、ファーウェイは骨伝導声紋認証という新しい方式をMate 20 Proに搭載したと鵬鵬領創が報じた。 決して万能ではない顔認証 スマー...

はてなブックマーク - 指紋認証、顔認証の次は骨伝導声紋認証? - 中華IT最新事情 はてなブックマークに追加

Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック – ITmedia エンタープライズ

Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック - ITmedia エンタープライズ

Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック - ITmedia エンタープライズ

ポリシーに基づき、ユーザーがコントロールできないWeb横断的なトラッキングはFirefoxの初期設定でブロックする。 米Mozilla Foundationは1月28日、Webサイトを横断してユーザーを追跡するトラッキングの横行に対抗するため、Firefoxの初期設定でブロックする方針を明記した「反トラッキングポリシー」を発表した。 Mozi...

はてなブックマーク - Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック - ITmedia エンタープライズ はてなブックマークに追加

Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック – ITmedia エンタープライズ

Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック - ITmedia エンタープライズ

Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック - ITmedia エンタープライズ

ポリシーに基づき、ユーザーがコントロールできないWeb横断的なトラッキングはFirefoxの初期設定でブロックする。 米Mozilla Foundationは1月28日、Webサイトを横断してユーザーを追跡するトラッキングの横行に対抗するため、Firefoxの初期設定でブロックする方針を明記した「反トラッキングポリシー」を発表した。 Mozi...

はてなブックマーク - Mozillaが「反トラッキングポリシー」発表、Firefoxのユーザー追跡をブロック - ITmedia エンタープライズ はてなブックマークに追加

「タダより危ないものはない」 無料Wi-Fiを使うなら、必ず知るべき3カ条 (1/3) – ITmedia エンタープライズ

「タダより危ないものはない」 無料Wi-Fiを使うなら、必ず知るべき3カ条 (1/3) - ITmedia エンタープライズ

「タダより危ないものはない」 無料Wi-Fiを使うなら、必ず知るべき3カ条 (1/3) - ITmedia エンタープライズ

半径300メートルのIT:「タダより危ないものはない」 無料Wi-Fiを使うなら、必ず知るべき3カ条 (1/3) 「無料Wi-Fiは使うけど、VPNは知らないし、使ったことがない人」が、実は半分以上――こんな“危ない事実”が判明しました。「どうしてそれが危ないの?」と思った人は、今からお伝えすることをぜひ聞いてください。 空港...

はてなブックマーク - 「タダより危ないものはない」 無料Wi-Fiを使うなら、必ず知るべき3カ条 (1/3) - ITmedia エンタープライズ はてなブックマークに追加

Japanese Government Will Hack Citizens’ IoT Devices – Schneier on Security

Japanese Government Will Hack Citizens' IoT Devices - Schneier on Security

Japanese Government Will Hack Citizens' IoT Devices - Schneier on Security

Japanese Government Will Hack Citizens' IoT Devices The Japanese government is going to run penetration tests against all the IoT devices in their country, in an effort to (1) figure out what's insecure, and (2) help consumers secure them: The survey is scheduled to kick off next month, when auth...

はてなブックマーク - Japanese Government Will Hack Citizens' IoT Devices - Schneier on Security はてなブックマークに追加

Peing脆弱性案件に見る初動のまずさ – orangeitems’s diary

Peing脆弱性案件に見る初動のまずさ - orangeitems’s diary

Peing脆弱性案件に見る初動のまずさ - orangeitems’s diary

https://peing.net/ 質問箱Peingに脆弱性が発見されメンテナンス中に 現在、下記ツイートに関連して、質問箱Peingのサービスがメンテナンス中となっています。 第三者が勝手にツイートできてしまう問題について対応中で、 明朝までに復旧見込みです。 本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他...

はてなブックマーク - Peing脆弱性案件に見る初動のまずさ - orangeitems’s diary はてなブックマークに追加