2019年6月27日のtwitterセキュリティクラスタ

https化したサイトはhttpにアクセスしてもリダイレクトさせなくてもいい?

e-Gov法令検索サイトのhttps化に伴い、せっせと構築したブラウザのブックマークが全て接続不能に・・・。移行を促すファイル名が”sorry”であった。
e-gov.go.jp/sorry.html

転送してくれないんですか……?
(実験)
うわー、転送してくれないんだ!
設定一個やっとけば、みんな助かるのに。リンク全部切らせちゃうんだ!
信じられん。 https://t.co/6RpLefdwis

例えば、リンク先に書いてありますが、設定ファイルに

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

と書くだけでいいんですよ。
ウェブページの管理委託先が、当然こういう設定までやるべきだと思います。
keywordfinder.jp/blog/seo/http-…

@kyoshimine これは e-gov 管理者によるリダイレクト設定の手抜きではなくて、全ての平文アクセスをわざわざ e-gov.go.jp/sorry.html にリダイレクトする設定をしています。
つまり、世の中にある6千万件のリンクをわざと不便にして、https に書き換えてもらえるよう促進するという強固な意思の現れです。

@knakatani 書き換えなくても、個別にhttpsにリダイレクトすれば、支障ないですよね……。

@kyoshimine 究極的には http: から始まるリンクを世の中から駆逐することが目的だとしても、ソフトランディングの方法はいくらでもあった筈ですね。

リダイレクトされたらその人はずっと最初 http で通信を開始し続ける可能性がありますね。それは危険です。接続不能で良いのです。ただし新リンクを生成して表示してあげるのが親切。 https://t.co/kfgsh6o7aS

@kyoshimine @knakatani @Rutice_jp 最初の http が偽サイトへ誘導される危険性があるという簡単な話です。ブックマークやリンクを https に変えてもらえるよう、変更に気づいてもらわないといけません。さもないといつまでも最初 http で接続してしまいます。リスクはリダイレクト前に存在するのです。

@tss_ontap_o @kyoshimine @Rutice_jp “DNS cache poisoning” などで検索すると、最初の http リクエストが偽サイトへ飛ばされてしまうリスクについての解説などが見つかる、ということですね?

@knakatani @tss_ontap_o @Rutice_jp うん?
名前解決の問題は別なのでは? DNS SECとかで塞ぐやつですよね。
e-gov.go.jp の行先を偽装されたら、HTTPSでもダメですよね。

@kyoshimine @tss_ontap_o @Rutice_jp HTTPS なら、サイトの証明書をいちおうブラウザーが検証してくれる筈ですね。

@knakatani @kyoshimine @Rutice_jp ご理解頂けていないようです。リダイレクト以前にリスクがあるという話をしています。

@tss_ontap_o @kyoshimine @Rutice_jp 吉峯先生とのこの話の文脈は、”DNS cache poisoning を受けたとき、HTTP と HTTPS は同じように脆弱か否か” です。

@knakatani @tss_ontap_o @kyoshimine @Rutice_jp 名前解決する時点でhttpの暗号化の有無関係ないやん

@ten_forward @tss_ontap_o @kyoshimine @Rutice_jp もちろん HTTP でも HTTPS でも、リクエストを送出する前に名前解決するからその時点では騙される可能性がある、という意味では同等ですね。
しかしながら吉峯先生と私とは、騙されそうになって最終的にどうなるか、という話をしているのですよ。

@knakatani @ten_forward @tss_ontap_o @kyoshimine @Rutice_jp 話が逸れているようです。確かに名前解決の応答を偽装された場合に http より https の方が危険を回避できるという話は,それはそれで正しいです。ですが,今回の e-gov の話は「HTTP リダイレクトで済ませておくと,http でアクセスされつづける危険性がある」という別の話です。

@paina @ten_forward @tss_ontap_o @kyoshimine @Rutice_jp 「逸れている」というより、吉峯さんが私に質問したのであれば、その質問に沿った返事をするのが通常の会話です。

@knakatani @paina @ten_forward @tss_ontap_o @kyoshimine これはその通りです。
巻き込み型になってしまい申し訳ありません。

@tss_ontap_o @knakatani @Rutice_jp それって、きわめて限定的なリスクではないですかね……。
6000万件のリンク、全部かきなおさせる必要ありますか?
その必要があると考えたから、わざと不便を強いていると、こういうことですか……?

@kyoshimine @tss_ontap_o @knakatani 電子申請の利用状況見る限り、きわめて限定的なリスクとは私には思えないですけど、どうでしょうか?
e-gov.go.jp/about/use.html

@Rutice_jp @tss_ontap_o @knakatani そうかもしれません。条文とかガイドラインの公開みたいなのが頭にあったので、限定的と書きました。電子申請はe-taxのような別サイトでやっているイメージで。

ただ、電子申請にしても、どういう攻撃が想定されているのか、いまいちイメージがわかないんですよね。

@kyoshimine @tss_ontap_o @knakatani 電子申請で本来は申請者本人と行政に対してのみ共有するべき内容が、第三者に漏洩した場合、或いは嘘の電子告示の結果を返される場合等でしょうか?

(私自身もe-Govの電子申請は使った事が無いので、どういう内容で使われているのか具体的な使われ方が想像出来てはいないのですが)

こんなのリダイレクトすべきなのに間抜け過ぎる対応。リンク切れの問題に気付かなかったのか、AOSSL化の際にやるべきことの常識がないのか twitter.com/shimanamiryo/s…

@tss_ontap_o 一般利用者はURLもTLSも知らない前提でサイトを設計すべきで、啓発のためにリンクを切ってしまうなどユーザビリティを犠牲にすることが電子行政として正しいとは思えません。平文通信が危険というのであればHSTSを使えばいいことです

ええ…。
e-Govの関係者会社は「Upgrade-Insecure-Requests」を知らないの…? https://t.co/Dm1U1z7MQy

HSTSを設定すれば、確かにブックマークとかからの最初の1回目のアクセスはhttpでアクセスしてhttpsにリダイレクトされるかも知れないが、HSTSの恩恵で、次からはブラウザ内でhttpsへ自動で振替されるので、最初のアクセスが毎度httpになるとかって言うのが解決される。

e-gov は TLS 1.1 とかのブラウザ使ってるユーザにとりあえずエラーを表示させてあげたかったんかもね。(知らんけど) だとするとユーザにお知らせする意味でしばらくは今の形でもいいのかも。皆がブラウザ更新したりブックマークやリンクを張り替えた頃に HSTS にする、という慎重派?(知らんけど)

「いや、そんなブラウザで通信したら危ないしエラーページすら見せるべきではない」という意見は分かる。分かるが公共案件とはそういう物だ。(とお爺ちゃんが言ってました)

考えられるストーリー

?「go .jp は SSL 対応していない!」
公「しました!」
?「まだ http でアクセス出来てしまう!」
公「やめました!」
?「ハッ!?」

go.jp 配下を全部 HTST Preloading にぶち込もう(w

HSTS preload list って実際にブラウザに載るまで時間かかるのか。

その他に気になったことはこのあたり。

#Phishing Alert ⚠️
hxxps://mailer\.y\.user-check\.private\.load\.419039\.myauth-verify.com
hxxps://secu-mail\.y\.user\.l\.p369192\.myauth-verify\.com
(with “www” also exist.)

IP: 111.90.142.92 (AS45839)
brand: #Yahoo #ヤフー #yahoojapan

(party?) /download/notice.pdf pic.twitter.com/cpIoxGBrkE

こちらのフィッシングサイトは、JavaScriptのonkeyup()を拾って、1文字typeするたびにサーバに送っています。
そのためsubmitボタンを押さなくてもパスワード盗まれますのでご注意ください。 #Phishing #yahoo #ヤフー #yahoojapan #japan pic.twitter.com/Hr6wYTDPPf

「【重要】楽天株式会社から緊急のご連絡」という件名のフィッシングメールがまたばらまかれたそうです。第三者に不正ログインされた可能性があるのでパスワードをリセットしたからアカウントを更新するよう促し、「ここをクリック」させようとしするのでご注意ください。 twitter.com/romonlyht/stat…

JC3案件のボットがばらまくフィッシングメールは、今年に入ってからAmazon推しが続いていましたが、今月は新投入の楽天カードにご執心です。 pic.twitter.com/PJ4hLBC3gr

DSN19ハードウェアセキュリティ2つ目。
私の発表。
DeviceVeil: Robust Authentication for Individual USB Devices Using Physical Unclonable Functions
終わりました。論文は
staff.aist.go.jp/k.suzaki/Devic…
から入手できます。
スライドも後であげます。

[PDF] お客様写真データ流出に関するお詫び
株式会社オリエンタルランド
2019年6月26日
tdronlinephoto.jp/info/20190626.…

Gからの戻りをAuth0で受け、PRごとに立ち上がる環境への動的な遷移をAuth0に任せる。

> Auth0をバイパスとして、Google認証を行います。

Heroku Review Apps と Auth0 の組み合わせが最高だった|ころちゃん(Takahiro Tsuchiya) @corocn|note(ノート) note.mu/corocn/n/n6fa8…

How to Disrupt an Advanced Cyber Adversary (PDF)
sans.org/cyber-security…
(大したこと言ってないなあ・・・) pic.twitter.com/O8desCwPga

暗号資産取引所のBitrueで9.3億XRP、2.5億ADAが盗難被害に。以下、公式声明です。 twitter.com/bitrueofficial…

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 scan.netsecurity.ne.jp/article/2019/0…

7/5「中小企業と技術の出会いの場~TIRIクロスミーティング2019」の警視庁ブースご案内
体験型セミナー:スマートフォンを使ってWi-Fiの脅威を体験
展示:サイバーセキュリティの最新情報を提供「Tcyss協力団体による無料相談窓口開設」
iri-tokyo.jp/site/tiri-cm/ #東京都立産業技術研究センター pic.twitter.com/Ly9j2vvnmo

本日「[更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い」を公開いたしました。各ブラウザのサーバ証明書の表示の変更について更新と、目的のサイトはどの証明書を使っているのかを調べる方法などを掲載いたしました。
antiphishing.jp/news/info/_ssl…

[2019/06/27 12:00 公表] ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性 jvn.jp/jp/JVN43172719…

【公式ストアに紛れ込む #不正アプリ に注意】

不正アプリをスマホにインストールしてしまうと、端末の不正操作や情報窃取に遭う可能性があります。不正アプリは公式ストアでも公開されていることがあるため、注意が必要です。
不正アプリを回避するためのポイントはこちら↓
is702.jp/special/3510/

「IoTセキュリティチェックリスト」を公開。開発・導入を検討している IoT システム、IoT デバイスのセキュリティ機能の確認の第一歩としてご活用ください。^YK jpcert.or.jp/research/IoT-S…

中国、富士通やNTTデータにも不正侵入 大規模サイバー攻撃 reut.rs/2Yc4LcQ

jp.reuters.com/article/china-… #cloudnews #クラウド 大手企業はよくあることらしい。9.11のころIBMには、炭疽菌風の荷物が毎週届いていたと笑っていた社員もいたし..

【プレスリリース】
ラック、サポート終了製品の延命支援サービスの提供を開始
〜Windows Server 2008を「セキュリティ診断付Azure移行支援サービス」で救済〜
lac.co.jp/news/2019/06/2…

日本のサイバーセキュリティでは中国の攻撃は凌げない…
IT企業を退職した技術の無い大御所よりも若く、技術と力のある若者を集める必要がありますね。
そもそも、そのような人財はどれほどいるのでしょうか。
google.co.jp/amp/s/jp.mobil…

不正取得したキャリアーメールのアドレスを使って他人になりすまし、詐欺メールを送って電子マネーなどをだましとったとして、埼玉県警は詐欺容疑で男4人を逮捕しました。 mainichi.jp/articles/20190…

【意外と知らない?】SNSアカウントを他人に乗っ取られないためには?【ネットキュリティの基礎知識】 internet.watch.impress.co.jp/docs/column/se… pic.twitter.com/ikJYdRsyxS

意外と知らないのは、パスワードの変更で乗っ取り犯を締め出せるとは限らないことでしょうか。この記事の前半にあるアプリ連携や、ログイン中の端末(認証済みのアプリ)、信頼する端末などは、パスワードを変更しても縁が切れないことが多々あります。それらの解除メニューがあるのでご確認を。 twitter.com/internet_watch…

アカウントに侵入された場合には、リカバリーなどの緊急用のパスワードやアプリ専用のパスワードが取得されているかもしれません。これらも、パスワード変更に連動して自動的にリセットとはならなかったりするので、気に留めておいてください。パスワードを変更出来たから安心…ではないんです。

macOSセキュリティ機能の脆弱性を悪用、マルウェア「OSX/Linker」が発見される  internet.watch.impress.co.jp/docs/news/1192… pic.twitter.com/QlKUGejaOK

「ひかり電話ルーター/ホームゲートウェイ」にXSSとCSRFの脆弱性、最新ファームへ更新を  internet.watch.impress.co.jp/docs/news/1192… pic.twitter.com/zQsbxfZjbm

「OneDrive」を悪用したフィッシング詐欺に注意、偽ログイン画面で認証情報を詐取  internet.watch.impress.co.jp/docs/news/1193… pic.twitter.com/1KqxPPLkdT

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>