2019年3月14日のtwitterセキュリティクラスタ

F5連打でモナコインがたくさん盗まれたようです。

消費されないと知りながらクーポンコードを使うのは「電子計算機使用詐欺」になるのか。
MonappyにおけるMonacoinの不正出金につきまして – IndieSquare – Medium
medium.com/@IndieSquare/m…
仮想通貨流出で初検挙 18歳少年を詐取容疑で書類送検:朝日新聞デジタル
asahi.com/articles/ASM3G…

詳細。連打でいけたのか。
8千回ボタン連打、システムに欠陥 仮想通貨の詐取事件:朝日新聞デジタル
asahi.com/articles/ASM3G…

モナコインが不正アクセスされて1500万盗まれました!犯人の手口やばい!みたいなニュースをやってたけど、方法がただのF5連打で申し訳ないが草はえる

「8千回ボタン連打、システムに欠陥 仮想通貨の詐取事件」 asahi.com/articles/ASM3G…
>モナッピーの送金機能 / 欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功 pic.twitter.com/5BpF5ZBGsv

金銭扱うサービスの割に、バグが低レベル過ぎてワロタ
validation的な処理してなさ過ぎちゃう?

>受け取りボタンを連続してクリックすれば何度もモナコインが受け取れることに気づき、スマートフォンで8000回以上クリックしてオンライン上に保管された全ての仮想通貨を不正送金したということです twitter.com/MONACOINISTA/s…

【仮想通貨流出で18歳少年書類送検 1500万円分「モナコイン」】

仮想通貨を保管していたインターネットサイトから約1500万円分の「モナコイン」を不正に引き出したとして、警視庁サイバー犯罪対策課は宇都宮市の少年(18)を書類送検しました。

jiji.com/jc/article?k=2…

その他に気になったことはこのあたり。

CODAは面白い。

❶海賊版サイト対策が課題なのに「漫画村」を止められず他を殺す改正案の問題には触れてない
❷しかし、前回声明の「海賊版ビジネス」は「海賊版サイト」に変わった
❷今回も前回も、会としてではなく会長名で声明を出した(つまりこの会は一枚岩ではない)

itmedia.co.jp/news/articles/…

CODAが今回の法案に賛成してたのは、
この団体への予算が今年打ち切りになる予定なんですよ。
この法案が通ればCODAに予算が出たかもしれなかったですからね。結局は自分たちの利権目的ですよ

違法DL規制拡大見送り「大変遺憾」 権利者団体・CODAがコメント – ITmedia NEWS itmedia.co.jp/news/articles/…

ちなみにCODAに予算を出してたのは経産省です。
去年、この法案のもとになるブロッキング案を推し進めてたのはドワンゴの川上氏、彼の奥様は経産省のキャリアです。素晴らしい図式ですね(笑)

一応、経産省、CODA、川上氏の関係性などがきちんと記事になってますのでソースとしておいておきます。山本一郎さんによる記事です。
news.yahoo.co.jp/byline/yamamot…

伸びてるので追記しておきますが、今回の著作権改正法案が見送りになったのは選挙が近かったからというのも大きいと思います。今回、ラスボス的に登場した甘利さんも経産省関連の方です。今回の件にお怒りの方は選挙の際はよく覚えておきましょう。

echo foo で foo が返ってくるか確認しているくだりが面白い。けど、本当にコマンドが実行されたかの確からしさという意味では、例えば、echo ‘f”oo’ で foo が返ってくるか確認するみたいな感じで、送ったものと違う加工された何かとを比較するほうが良さそう。IOSその他でも動くやつ探して。 twitter.com/ymzkei5/status…

兵庫県警へ、公文書公開請求書を受理しているか電話して確認したためブログを更新しました。
また、Wizard Bible事件を知らない方が私の想像以上にとても多かったため、「必ず知って欲しいこと」として付記しております。知らなかった方はぜひ読んで欲しいです。
ozuma.hatenablog.jp/entry/2019/03/…

WordPress 5.1以下のバージョンに(デフォルト設定、認証不要の)深刻な脆弱性(リモートコード実行)があるそうです。利用されている方は早めに5.1.1にアップデートしてください〜。blog.ripstech.com/2019/wordpress… #バグハンティング

SameSite Cookie、CSRFができるときに、外部サイトからのリクエストはCookieが送られないことでログイン済み操作のCSRFが防がれたりする訳だけど、開かれたページを手動でリロードするとChrome/Edge/IEはSameSite Cookieを送信するようだ。CSRFにおいては、攻撃はしにくくなっても対策にはならないなー

#Azure Databricks 更新 – VNetインジェクションで既存vnetに参加させ、セキュアな通信環境を明示的設定可能に。Git プロバイダーにAzure DevOpsを選択してバージョン管理を(同一AAD認証することでアクセス制御の自動化も)、Standardと Premium SKUでDeltaサポート。azure.microsoft.com/en-us/blog/azu…

続々増えるVNETインジェクション、どうしてもマイクロソフトの作ったDMZは信頼できない、俺のDMZ最高!って人にオススメです。 twitter.com/saxak/status/1…

まぁ、その割にはセキュリティガッタガタのVNET多いので、みんなリスク大好きなんだなぁって眺めてますが(笑

A:Citrixが社内ネットワークに侵入された
B:だめじゃん、原因は?
A:パスワードスプレーと言って、弱いパスワードが狙われたらしい
B:弱いパスワードとは…基本がなってないね。アメリカ駄目じゃん
A:それをFBIが見つけた
B:えっ、なんでFBIが見つけられるの? アメリカすごいじゃん

はてなブログに投稿しました
JavaScriptはCSSインジェクションのDOMを見るか? / Possibility of DOM based XSS attack by Pseudo-elements from CSS Injection – Cat.6(ねころっく) hack.vet/entry/20190314… #はてなブログ

極悪CSSの完成や。

明日以降、情報公開条例をもとに愛知県警および埼玉県警に対して、「不正指令電磁的記録に関する罪」に関する犯罪行為を認定する基準およびその構成要件等を記載した文書開示を求めます。

開示された公文書は、TwitterおよびIT議論(it-giron.com)上で全て公開する予定です。

(続く

本件に関しては、既に神奈川県警、兵庫県警に開示請求を行われている
@PokersonT様、@ozuma5119様にもご賛同を頂きました。

【選定理由】
愛知県警:居住地が管轄地域である(Librahack事件捜査機関)
埼玉県警:以前家宅捜索を受けたことで縁ができたため

(続く

狙いとしては 「公開される取締りの基準や構成要件等に違いがあるのか」、「公開される情報の範囲に違いがあるのか」を県警ごとに比較することが出来れば、現状把握に役立つと考えております。

【プレスリリース】
ラック、常時暗号化時代のサイバー攻撃対策としてテクマトリックスと「SeeLAC」を共同開発し、暗号可視化ゾーン構築サービスを開始

~SSL可視化ゾーン構築により、Webサイトの効率的なセキュリティ対策に貢献~
lac.co.jp/news/2019/03/1… lac.co.jp/news/2019/03/1…

政府と自民党は、権利者の許可なくインターネット上に掲載された漫画やアニメのダウンロードを違法とする「著作権法改正案」について、今国会への提出を断念しました。

背景に何があったのでしょうか❓

bit.ly/2CkZwhZ

自民は選挙前の終盤国会への影響を懸念。文化庁は追加資料を用意するも配布すら許されなかった>(時時刻刻)海賊版対策、拙速の末 ダウンロード違法化、今国会見送り:朝日新聞デジタル asahi.com/articles/DA3S1… #違法DL拡大 #ダウンロード違法化

(再投稿)NTTコミュニケーションズを相手取ったブロッキング差止訴訟の判決があり、東京地裁は原告の請求を棄却しました。

そもそもブロッキングしてなかったし、しない!と宣言したから、結論としてはそうなんだろうけど、中澤先生が訴えたからこその「ブロッキングしない」だったと思われるわけです。ということで、実質的な意味で勝ちと思われます。 twitter.com/yama4tamasa4/s…

SIOSセキュリティブログを更新しました。

Pythonの脆弱性情報(Moderate: CVE-2019-9740)

#sios_tech

security.sios.com/vulnerability/…

I created a Clickjacking script for multi-click exploitation. Especially for #bugbounty, showing real-world impact and going from “unlikely user interaction” to “feasable attack” can mean the difference between $$$ and a rejected report. #bugbountytip security-consulting.icu/blog/2019/03/a…

WWWの父バーナーズ=リーが30周年を記念して虚偽情報撲滅へ団結を訴える tcrn.ch/2UETNec

【JC3】仮想通貨を要求するメールが拡散中。件名は「あなたのパスワードが侵害されました」。デバイスのブロックや乗っ取ったウェブカメラで撮影した写真をバラまくと脅して仮想通貨を要求するものです。相手に返信等はせず、要求に応じないで下さい。詳細はこちら↓
jc3.or.jp/topics/virusma…

Intel製品に複数の脆弱性、修正版が公開 ~最大深刻度は“HIGH”/情報漏洩やサービス運用妨害(DoS)、権限昇格などにつながる恐れ forest.watch.impress.co.jp/docs/news/1174… pic.twitter.com/yNB7jVORsZ

「RubyGems」に複数のセキュリティ欠陥 ~「Ruby」v2.6.2/2.5.4がリリース/CVE番号ベースで6件の脆弱性を最新版で修正 forest.watch.impress.co.jp/docs/news/1174… pic.twitter.com/jlWXTcgIsb

IBMがAI顔認識のトレーニングにFlickrの写真利用–ユーザーの同意がないとして物議 japan.cnet.com/article/351341…

Androidアドウェア「SimBad」、アプリ200件以上に影響–ダウンロード数は1.5億回近くとの報告 japan.cnet.com/article/351341…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>