2019年6月17日のtwitterセキュリティクラスタ

ウォレットアプリのサイトが突然パスワードの定期変更を勧めて炎上しています

【パスワード管理に関する重要なお知らせ】
昨今、一部オンラインショップ等のサーバーに対する不正アクセスにより、パスワード漏洩の事案が発生しています。他のインターネットサービスのパスワードを兼用されている場合は、弊社サービスのパスワード変更をお勧めします。
news.kyash.co/post/185621261…

> ・パスワードは定期的に変更する

むむ…

【重要】パスワード管理に関するお知らせ – Kyash NEWS news.kyash.co/post/185621261…

僕だったら…

・他のインターネットサービス等のログインパスワード等と兼用をしない
・第三者にパスワードを絶対に教えない
・Google Chrome/Edgeや1Passwordなどのパスワードマネージャを使う

かな…一番最後は、他社のだし紹介できるかは難しいけど…

一番最初に『・パスワードは定期的に変更する』なのは実際のところどうなのかね
news.kyash.co/post/185621261…

@ysobj パスワードを定期的に変更するのが最善だとは思っていなくて、サービスとしてもっとできることはあるんですが、現状同じパスワードの使いまわしで被害を受けそうな他社の流出もあったのを受けて何も周知しないよりはした方がよいと判断したのですよね。今後根本的な対策は入れていきます :bow:

@konifar @ysobj パスワードの定期変更は、おまじない程度にしか効果がないので、それを管理方法の最初に持ってきてしまうのは問題がありすぎかと・・・

@nakanishiyasuo @ysobj それはおっしゃるとおりで、`より安全なパスワード管理方法` と記載したのがよくなかったですね :bow: 今回は、まず流出したことに対する被害を出さないためにまず対策してほしいという目的なのでした

@konifar @ysobj だとしたら、心配な人にはパスワードの変更を促すべきだと思います。定期変更を推奨してしまうと、”他のインターネットサービス等のログインパスワード等と兼用をしない” の逆の方向にバイアスをかけてしまうので、全体のセキュリティは低下すると思います。そもそも実施が不可能というのもあります

@nakanishiyasuo @ysobj 一応お知らせの中で下記のようにパスワード変更は促していて、問題はその後の補足部分の言い回しだと思うのでそこはちょっと修正しますね

> 他のインターネットサービス等のログイン用パスワードを兼用されている場合は、弊社サービスのログイン用パスワードを変更されることをお勧めいたします。

@konifar @ysobj 一般的にはサイト固有のパスワードに加えて、十分に複雑なパスワードの使用を推奨されることが多いと思いますので、そちらに置き換えた方が良いかもしれません。リスト攻撃に対する対応という意味では外れてしまいますが。

@nakanishiyasuo @ysobj そのとおりですね!パスワード管理サービスを使うのがいいと思うんですが、リテラシーの低めのユーザーにも対応いただけるように文言を考えて直しておきます

本当に伝えたいのは「他のインターネットサービス等のログインパスワード等と兼用をしない」なんだろうけど。そういって対応してくれるユーザばかりではないから「パスワードは定期的に変更する 」と言わざる得ないのかなと思った。

【重要】パスワード管理に関するお知らせ
news.kyash.co/post/185621261…

他サービスと同一のパスワードを使用していて他サービスからパスワード流出の可能性があるならパスワード変更には一定の価値があると思うけどなぁ。
【重要】パスワード管理に関するお知らせ – Kyash NEWS news.kyash.co/post/185621261…

パスワード定期変更警察が湧いてる。
そんなことより Suica チャージ誤キャッシュバックについて公式アナウンスしたほうよくない?
news.kyash.co/post/185621261…

好きなサービスなのに「パスワードを定期的に変更する」的なことを書かないでーーー / “【重要】パスワード管理に関するお知らせ – Kyash NEWS” htn.to/4h2QjG5nyY

技術者の利用率が非常に高いサービスで、パスワードの定期変更を勧めるの、マジ止めた方が良い。多分広報が技術者のレビュー通してないんだと思いたいが……。 / “【重要】パスワード管理に関するお知らせ – Kyash NEWS” htn.to/35Cc1Zu9ox

Kyashの例のリリース、別に炎上するほどのもんでもないと思うけど、今見返したら、午後になって更新して「パスワードは<b>定期的に</b>変更する」にわざわざ太字にしてるのか…。

news.kyash.co/post/185621261…
web.archive.org/web/2019061703… pic.twitter.com/qoNloMpdnx

パスワード管理の基準として定期変更はまだ現役。なので政府等の推奨する基準として一般的なリストに上げるのはセーフ(実効性より責任問題的に)だが、そういう理由ではなかったらしい。 / “【重要】パスワード管理に関するお知らせ – Kyash NEWS” htn.to/31EfyAtHnq

その他に気になったことはこのあたり。

えーと、某 トレンドマイクロ製品に、前例のないレベルのセキュリティーホール 見つけてしまった。もうやだ (・ω・)

内容書けないけど、「製品がバックドアを作成する」のつぎ位にヤバいと思う( ˘ω˘;)

@miz_p_tama Android には入れる時にセキュリティを下げる必要があり、誤検出も多いためデメリットが多い反面、 iPhone だと、入れなくてもほぼ問題ないというぼったくり製品の話ですね ・ω・

以前 piyokangoさんがまとめた偽決済画面に関して、悪用されていたドメインが別IPアドレスに引っ越したようです。

search-hot[.]com
188.213.5[.]205 AS 59432 (Ginernet S.l.)

/jquery/ フォルダも生きているようで、この配下に偽画面がぶら下っている可能性があります。

twitter.com/piyokango/stat…

クレディセゾンのクレカ情報を騙し取ろうとする「We kindly ask you to update your card !」という件名のフィッシングメールが届いたそうです。メール本文が画像で、IP丸出しの中継サイトを経由し、secureserver[.]net内の偽サイトに誘導します。騙されないようご注意ください。 twitter.com/abel1ma/status…

abelさん情報によると、5月31日(twitter.com/abel1ma/status…)と6月3日(twitter.com/abel1ma/status…)にも同じ芸風のフィッシングが行われたようです。

今回と6月3日分のメールの本文画像と誘導先のフィッシングサイトはこんなのです。偽サイトは、アクセスする度にランダムなフォルダに誘導する仕掛けで、何をやってもこのページを繰り返し表示する手抜き仕様です。 pic.twitter.com/ElTTLQC0us

新しいdex.fmのエピソードを公開しました。今回は @ken5scal さんをゲストに迎えてFIDO 2およびAndroidアプリにおけるFIDO 2対応の話をしました。ぱっと聞くとややこしい仕組みなのですが、けんごさんが分かりやすく説明くださっています。 #dexfm twitter.com/dexfmpodcast/s…

DeepFake対策,さすが米議会。この前これ説明したときは,私の説明が悪かったのだろうが,映画の吹き替えとか昔からあるじゃないかと言われてしまった twitter.com/piyokango/stat…

Unit 42 のリサーチャーが構成に不備のある #Docker#Kubernetes コンテナについて調査しました。意図せず公開されているサービスを特定した方法と構成不備リスクを減らす緩和策については、こちらのレポートから参照してください: bddy.me/2KV4ozA pic.twitter.com/jcgQEgJLr2

コインチェック事件、北朝鮮説に疑問符 ロシア系関与か:朝日新聞デジタル asahi.com/articles/ASM6J…

北朝鮮のハッカー集団と装い攻撃? コインチェック事件
asahi.com/articles/ASM6G…

巨額の仮想通貨(暗号資産)が盗まれたコインチェック事件。北朝鮮のハッカー集団が関与した可能性が取りざたされてきましたが、その根拠を揺るがす新事実が判明しました。 #仮想通貨 #暗号資産 #コインチェック pic.twitter.com/C5CgZhasa8

[ITmedia NEWS]総務省など、マルウェアに感染しているIoT機器ユーザーに注意喚起 「NOTICE」とは別に bit.ly/2ILro1c

カレンダー機能を悪用したデータ盗難に注意–「Googleカレンダー」も標的に japan.zdnet.com/article/351384…

「最も危険な」ハッキンググループが米国などの電力網を標的に?–Dragosが警告 japan.zdnet.com/article/351385…

みんな知っておいて欲しいのは、人工知能とかセキュリティとかなんか流行っていることに飛びつくのはいいけれど、それをやるにはそれを理解するための基礎が必要だってこと。数学、物理そして説明する力。どんなことであれ、学ぶことには意味があるんだよ。

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>