半径300メートルのIT:「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと (1/3) セブン・ペイのモバイル決済の会見で、社長が「知らない」という趣旨の発言をしたことでも話題になった二段階認証。ユーザーの皆さんの間で定着している点は大変喜ばしいのですが……入れた「だけ」では安…

もっと読む »

by Roman Koester ドメイン・ネーム・システム(DNS)をハッキングしてデータを盗み取るハッカー集団「Sea Turtle」の活動が拡大していると2019年に入ってから報じられています。このようなハッカーたちの攻撃に備え、アメリカ連邦政府と地方行政機関が使用する「.gov」ドメインを管理する(PDFファイル)DotGov Programが新…

もっと読む »

24日に不正ログインの被害を発表したヤマト運輸の会員制サービス「クロネコメンバーズ」が、一部環境において2段階認証が機能していなかったとして物議を醸しています。 クロネコメンバーズ 2段階認証説明ページ(以下、画像はクロネコメンバーズのサイトより) ヤマト運輸は「クロネコメンバーズ」に対してパスワードリ…

もっと読む »

3月末にリニューアルされた滋賀県のホームページ(HP)で不具合が多数発生した問題で、HPの設計(情報設計)に根本的な欠陥のある疑いがあることが、複数の専門家の指摘で分かった。県は緊急対策チームを設け「当初の不具合は改善できた」と説明するが、専門家は「このまま改善を進めても、問題は解消されないのでは」と…

もっと読む »

徳丸さん、co3kさん、makogaさんと7pay、セキュリティと利便性、セッション長、脆弱性診断などについて話しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 | プログラミング | Kindleストア | Amazon 7payの「二段階認証導入」は正解か? …

もっと読む »

先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった(過去記事)。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという(Togetterまとめ)。
クロネコメンバーズの「よくあるご質問(FAQ)」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合…

もっと読む »

こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発…

もっと読む »

このたび、弊社が運営する日本酒定期購入サービス「KURAND CLUB」のECサイト(https://kurand.jp/shop/club)(以下「当サイト」といいます。)の一部の脆弱性を突いた第三者の不正アクセスによって、ペイメントモジュールの改ざんが行われたため、一部のお客さまのクレジットカード情報を含む個人情報が流出したことが判明…

もっと読む »

はじめまして、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。 本記事では、インターネットが遅い、調べてみるとネットに接続した機器がアップロードを何百ギガと繰り返している…

もっと読む »

KeycloakはWeb上でシングルサインオンを実現するオープンソースソフトウェアである。1回の認証で複数のサービスを利用することができるため、IDやパスワードの管理が容易になる。Keycloakはログインやアカウント管理のためにカスタマイズできるインターフェイスを提供している。またKeycloakは、既存のLDAPやActive Dire…

もっと読む »

技術部セキュリティグループの三戸 (@mittyorz) です。こんにちは。 去る6/25,26日に開催されたAWS re:Inforce 2019に参加しましたので、簡単ではありますが紹介させていただきたいと思います。 今回が初開催なため規模感や雰囲気などは未知数の中、クックパッドからはセキュリティグループの三戸・水谷 (@m_mizutani)…

もっと読む »

「PUFFY」の大貫亜美さんの公式Instagramが7月28日に第三者に乗っ取られ、スパム投稿が行われたが、29日未明までに本人がアカウントを取り返した。大貫さんは「乗っ取られてしまいましたが、無事奪還成功致しました!」などと投稿している。 ボーカルデュオ「PUFFY」の大貫亜美さんの公式Instagramが7月28日に第三者に乗…

もっと読む »

サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに古庄親…

もっと読む »

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。

もっと読む »

ITコーディネータの吉田聖書(よしだみふみ)です。 前回、前々回と、 7payのセキュリティ事故を取り上げましたが、 今回はもう一つの側面を取り上げたいと思います。 特に前々回の記事について タイムリーな話題ということもあってか 予想以上に反響があり少々驚いています。 それだけ皆さんの関心が高い ということな…

もっと読む »

「特に通信サービス事業者は見直しが必要」:国内約20万台のサーバが「DDoS攻撃に悪用される危険性」 A10ネットワークス調査 A10ネットワークスは、同社が提供する脅威インテリジェンスデータを基に、DDoS攻撃に利用される恐れのあるIoT(モノのインターネット)機器やサーバの数を調べた。日本のネットワークには、ア…

もっと読む »

専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受…

もっと読む »

誤ってインターネット上に公開されていた電子メールアドレスとパスワードを使って、とあるハッカーがセキュリティ企業でありSSL証明書の発行も行っているComodo(コモド)社の、内部ファイルとドキュメントへのアクセス権限を手に入れた。 この認証情報は、GitHub上にComodoのソフトウェア開発者が所有していた公開リポ…

もっと読む »