2019年3月11日のtwitterセキュリティクラスタ

無限アラートURL貼り付け事件の続き

兵庫県警に対して、 @PokersonT 様に快諾いただいたため、文章を参考にさせていただき公文書公開請求書を作成しました。週明けに兵庫県察本部県民広報課に簡易書留で送付します。
兵庫県警は、情報公開条例第11条その1にのっとり、15日以内に公開/非公開決定をしなくてはいけません。 pic.twitter.com/CD67HYJ38A

兵庫県警の検挙に抗議して、JavaScriptの無限ループを含むプロジェクトをみんなでコピーして増殖させる「みんなで逮捕されようプロジェクト」の主催者、加藤公一氏は無事のようです。
海外の掲示板でも検挙のあまりのアレさが話題に。大学教授なども参加。有志による翻訳で対応言語も増加中。 twitter.com/hamukazu/statu…

かつて尺貫法が犯罪として禁止されて大工さんはじめ数多くの職人さんが泣いたとき、永六輔が「鯨尺を作ったから逮捕しにこい」(「尺貫法復権運動」)とやって現状の「黙認」に持ち込んだことがある twitter.com/kazukikusunoki…

兵庫県警の件で話のヤバさが通じない人の特徴は「単なる無限ループJavaScriptジョークページ = 他人に被害を与えている」と考えていること。
JavaScriptは何らかの魔法みたいなものでおっかないし迷惑だと捉えている。
だからたとえ話の時に「子供がイタズラで誰かを怪我させたら補導して当然」になる

「無限アラート」というワードを見て、ポップアップが大量に画面を埋め尽くす様なものを想像している人が多そうなので動画にしてみた。以下のZDNetの記事中のリンクをクリックしたもの。

Japanese police charge 13-year-old for sharing ‘unclosable popup’ prank online
zdnet.com/article/japane… pic.twitter.com/4RIk9CE08p

ブログ書きました: 米Citrix、FBIからの連絡でサイバー攻撃により社内ネットワークに侵入されたことを知る。政府機関などを狙った大規模な攻撃の一部か? publickey1.jp/blog/19/citrix…

lets get arrestedの何が最悪かってアレで逮捕してもしなくてもどっちに転んでも待ってるのが社会的な死というヤバさだと思う

リバースブルートフォース攻撃とパスワードスプレー攻撃の違いって?

『これは、複数のアカウントに同一のパスワードを使ってログインを試みる手法』<Ctrixブログでは「弱いパスワード(複数形)」。ここの複数形は重要 / “シトリックスがサイバー攻撃被害に、社内ネットワークに侵入される | 日経 xTECH(クロステック)” htn.to/21Md7F5ov7N

なぜ単複が重要かというと、試行されたパスワードが単一だとリバースブルートフォース攻撃、複数だとパスワードスプレー攻撃と、呼び方が変わるからです。Citrixはパスワードスプレーという用語を使い、かつパスワードを複数形にしているので、ここは正確に翻訳・紹介する必要があります twitter.com/ockeghem/statu…

パスワードスプレーの初期の事例と推測されるgibhubへのパスワード試行攻撃
blog.tokumaru.org/2013/11/github…

パスワードスプレーとリバースブルートフォースの関係を、この図のように捉えた場合、ブルートフォースと同じ位置にリバースブルートフォースがないのが気持ち悪いので、狭義のリバースブルートフォース<=>広義のリバースブルートフォース(=パスワードスプレー)とか言い出したくなる。(;・∀・) pic.twitter.com/ZLKX3cWJD9

そうなんですよ。個人的には「リバースブルートフォース」「パスワードスプレー」は同義でいいと思うんですが、偉い人が違うって言うなら私もそう思います。最初から同義なんて考えてなかった。 twitter.com/ymzkei5/status…

リバースブルートフォースとPassword Sprayは厳密に使い分けはされていないと思う。「ブルートフォース」=「総当たり」なので、厳密に言うとリバースブルートフォースはユーザIDが6桁の会員番号などの場合にパスワードを固定してユーザIDを数字を変化させて総当たりするような攻撃。

ただ、実際には流出したメールアドレスのリストなどが用いられることが多いので、総当たりじゃないだろうということでPassword Sprayと呼ばれる様になったのではと思うが、人によってはメールアドレスのリストを使った攻撃もリバースブルートフォースと呼んでいる場合もある。

(リバースでない方の)オンラインのブルートフォース攻撃も本来はパスワードが数字のみや非常に短い場合に総当たりをすることだが、パスワード辞書を使った攻撃もブルートフォース攻撃と呼ばれることもあり、そんなに厳密には使い分けられていない。

“パスワードスプレイ攻撃とは、攻撃していることが分からないように時間をかけてパスワードの総当たりやパスワードリストを基にした攻撃を仕掛けるというものです…Resecurityのブログによると、メールやファイルなど少なくとも6テラバイトの情報が盗まれたとのことです”
twitter.com/catnap707/stat…

その他に気になったことはこのあたり。

久しぶりに会社ブログを書いた。
DeepLocker : AI-embedded attack
mbsd.jp/blog/20190311.…

E Flat B倉庫 Blog | Apple を騙ったフィッシング詐欺に注意(181) eflat.jp/blog/?p=5008 apple id がリセットされ、一時的にロックされました。

新たなCPUの脆弱性SPOILERの論文を読んで、中身を理解してみる。これもアウトオブオーダの技法をうまく活用した攻撃手法だ。
CPUの新たな脆弱性 SPOILERの論文を読む – FPGA開発日記
msyksphinz.hatenablog.com/entry/2019/03/…

Burp Suite Japan LT Carnivalでの発表資料を公開しました
Burp Suiteの便利な機能でバグバウンティ / Burp Suite’s useful function
speakerdeck.com/no1zy/burp-sui…

#burpjapan

Burp Suite Japan LT Carnivalの登壇資料を公開しました。(Burp全然関係ない内容になってしまった)
Free Bugs Campaign speakerdeck.com/8ayac/free-bug…

#burpjapan

英国のNatwest銀行は指紋スキャナを搭載したNFC内蔵デビットカードの試験を開始。指紋認証を行った場合取引上限£30が解除される。指紋データはカード内に保存。銀行側には複写されない。これまでのPINよりは安全だという。しかし指紋の利用は銀行支店への訪問が必須でこれまで他国でも成功していない。 twitter.com/verge/status/1…

piyokangoが検証、1年間見落とされていた日本貸金業協会の情報漏洩 tech.nikkeibp.co.jp/atcl/nxt/colum…

コインチェック事件、北朝鮮のハッカー集団「ラザルス」の関与を匂わせる報告書を国連が公表予定だそう

国連報告書のソースはGroup-IBのレポートだと思うのですが、それによると韓国4社とコインチェックの盗難がラザルスの犯行。また米朝首脳会談後からラザルスが鳴りを潜めているようにも見えます pic.twitter.com/DUJtRuknhv

第6回ハニーポッター技術交流会で「ハニーポッター流社会貢献」というタイトルでLTしました。
sec-owl.hatenablog.com/entry/2019/03/…
個人が1つ行動を取ることで、セキュリティは良くなっていく、それを皆で積み重ねて行きませんか、と思ってます。
#ハニーポット観察
#hanipo_tech

公益社団法人企業情報化協会主催「情報セキュリティシンポジウム」(2019年3月13日)にて弊社アナリストマネージャーの阿部慎司が「セキュリティ対応組織を強くする戦略~機能・役割の分類と成熟度モデル~」について講演いたします。どうぞよろしくお願いいたします。
jiit.or.jp/im/lp/security…

As of the end of July 2018, the Let’s Encrypt root is trusted by all major root programs! More info: letsencrypt.org/2018/08/06/tru…

これは衝撃的です。<北朝鮮がサイバー攻撃を用いて仮想通貨交換業者から少なくとも5億7100万ドル(約635億円)を奪い取ったと推計。18年1月に起きた「コインチェック」の巨額流出事件も含んでいる> / “北朝鮮が仮想通貨600億円超を奪い取る 韓国の制裁逃れ関与も 国連…” htn.to/et2r5ZBpdma

米シトリックス、社内ネットワークのセキュリティ侵害を公表 japan.zdnet.com/article/351339…

[ITmedia NEWS]Chatworkが月曜朝から一時ダウン、利用者のやる気を奪う bit.ly/2SY7AL0

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>