2019年6月28日のtwitterセキュリティクラスタ

e-Govがhttps化された件続き

また出鱈目言うとうるな。どんなにHTTPS化しようがHSTS化しようが、利用者h今見ているサイトがHTTPSになっていることを目視確認しなければならない。
twitter.com/tss_ontap_o/st…

廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)そんなことよりHSTSなんだが。
e-gov.go.jp/news/egov/2019…
「2019年6月27日にHTTPによる接続を廃止いたします。」

ちょっとe-Govさぁ、HTTPS Onlyにするのはいいけど今どきRSA鍵交換にさせている時点でどうなんですか?政府系サイトでFoward Securecyにさせてないのは、どっかで通信データ保存して後で解読しまっせって宣言しているようなもんですよ。 pic.twitter.com/hqRRwoLmJe

preload HSTSっていう、ブラウザ内でHTTPS強制するサイトの固定リスト持たせる方法があって。
hstspreload.org twitter.com/kyoshimine/sta…

e-Gov の http 非公開問題について、マジで利用者側で採れる有効な対策は EFF の提供してくれている HTTPS Everywhere を利用する、ということだけになってきた… #これはひどい

なんで e-Gov は http を閉じれば安全性が高まると勘違いした?たしかに公開サーバー側は安全性が高まるかもしれないが、そこにアクセスしようとする利用者にとっては安全性は何も高まらない。
#これはひどい

Google は早速 e-Gov の検索結果が https にリンクされたみたいなので問題なさそうだけど、Bing はまだみたいなので HTTPS Everywhere の
Encrypt All Sites Eligible (EASE) Mode を有効にする価値はある。youtu.be/SH5kTg_1zVU

e-gov https 問題が出ているようだけど、このドメイン名のネームサーバが g-plat\.go\.jp になっていて、NICと実際のNSレコードに相違があるのを先に直すべきなのだけど。

その他に気になったことはこのあたり。

進化しすぎた学生が学内サーバーの脆弱性を駆逐した後、脆弱性がなくなった大学内でバグハンティングコンテストの実現に苦悩する大学の話なら聞いたことがある twitter.com/sen_u/status/1…

脆弱性がなくなった大学内でバグハンティングコンテストの実現に苦悩する大学の話、厳密には静的ページへの移行が進んでそもそも脆弱性がありうるサイトが少なくなったという話なんですよね。補足

@RussianBlue25 WordPressなんか使おうもんなら,プラグインを含めて常に更新しないと絞めるぞと脅した人がいたからね。

@tedie さあ、誰ですかね…存じ上げませんね…大体あの人かあの人かなあと察するのですが…

@RussianBlue25 事務方が素直に言うことをきくのはCISOしかいないでしょう

#総務省#NICT 及び一般社団法人 #ICT-ISAC は、脆弱なID・パスワード設定等のためサイバー攻撃に悪用されるおそれのあるIoT機器及びマルウェア感染が検知された機器の利用者への注意喚起の実施状況を公表しました。
nict.go.jp/press/2019/06/… pic.twitter.com/ZmVKa7uLry

脆弱なIoT機器及びマルウェアに感染しているIoT機器の利用者への注意喚起の実施状況 soumu.go.jp/menu_news/s-ne…

・調査対象IPアドレス:約9,000万

ID・パスワードによりログインでき、注意喚起の対象となったもの
→ 延べ147件 pic.twitter.com/MVkgsFlmC2

「NOTICE」で約9,000万のIPアドレスを調査して、ログインできたのが延べ147件

家のカギ開けっ放しより少ないんじゃないか? pic.twitter.com/449vBAc5Bg

@kitagawa_takuji ここまでやる必要があったのかと言うレベルかな

1-Click Account Takeover in Virgool\.io — a Nice Case Study medium.com/@y.shahinzadeh… ログインしたユーザを/authorizeにアクセスさせると、リダイレクト時のクエリストリングにtokenが含まれてしまう。Open Redirectと組み合わせることで、攻撃者がこのtokenを奪取できる

[ITmedia NEWS]「ウイルス罪」めぐる事件、セキュリティ事業者に余波 「活動の萎縮につながる」「指針が必要」 bit.ly/2LrgvV1

これは良い判断。ホワイトリスト型のガイドラインを主張する専門家がいるようだが、刑法をホワイトリスト型にしてはならない。
itmedia.co.jp/news/articles/…
「検討委員会では、企業が自己宣言するだけでなく、さらに踏み込んだガイドラインの策定も議論の俎上に上った…しかし…今回は策定を見送った…」

警察・検察の運用が誤っているだけの状況なのであり、ここで業界が自ら「こうしていれば逮捕しないでくれ」みたいなガイドラインを作れば、刑法の誤った運用を認めることになってしまう。絶対にやってはいけないことだ。
twitter.com/HiromitsuTakag…

リンク先資料 jnsa.org/seminar/2019/0… は今のところ内容は大方わるくない感じだが、活動背景にあるのは一昨年のDIT事件なのだろう(記事に言及あり)。この事件は、Shareで暴露ウイルスを共有していたという(起訴猶予になったものの)黒事案であり、この活動の文脈に入れるのは筋違いだろう。 pic.twitter.com/jxiF2xCFgF

JNSAのこの活動はDIT事件の内容を正しく把握したのか?どのように分析し結論を得たのか。身内だけに正しく結論を導けない危険があるように思える。その分析を誤ったのでは、この活動で正しい方向性を出せるはずもないことに関係者は注意していただきたい。

2017年当時のtweet
twitter.com/HiromitsuTakag…

元記事、ここ間違ってるね。「作成」のはずがない。暴露ウイルスを作ったわけではないので。
itmedia.co.jp/news/articles/…
「2017年には、セキュリティ企業ディアイティの社員が、ウイルス作成・保管の容疑で逮捕される事件が起こっています。」

OpenID Connect の視点では、Sign In with Apple は仕様違反の上、数々のセキュリティー対策も欠落している。OpenID Foundation の Certification チームがこれらの情報を Bitbucket 上で公開している。

How Sign In with Apple differs from OpenID Connect
bitbucket.org/openid/connect… twitter.com/openid/status/…

GoogleDriveやOneDriveのアンケートフォームを悪用したフィッシングサイトは、以前から度々出没しています。主に海外ですが、時々日本向けのメールアカウント狙いが舞い込んで来ます。

・2016年2月 OCN Mail twitter.com/NaomiSuzuki_/s…
・2018年3月 Yahoo! JAPAN twitter.com/NaomiSuzuki_/s…

「2008年以来、11年ぶりにブラックハットが東京へやってきます。渋谷ソラスタコンファレンスで2019年10月24日~25日に開催される、2日間の「トレーニング限定」イベントです。あらゆる場面で活用できる、最も技術的かつ実践的なコースにおけるスキル向上の機会をお見逃しなく」#BlackHat

日本語のコース「実践的インシデントレスポンスに対するデジタルフォレンジックの包括的ガイド」は IIJ が提供します!講師は僕の同僚達ですが、彼らは昨年に続き今年 8月の Black Hat USA でもトレーニングコースを提供します。全く凄いやつらです。10/24,25 の日本でのコース、ぜひお楽しみに! twitter.com/BlackHatEvents…

Burp Suite Pro/Community 2.1 STABLE released. We are now officially out of beta!
releases.portswigger.net/2019/06/profes…

「1日40万件送信」メール乗っ取り詐欺疑い、4人逮捕:朝日新聞デジタル asahi.com/articles/ASM6W…

【情報通信・放送】
脆弱なIoT機器及びマルウェアに感染しているIoT機器の利用者への注意喚起の実施状況

近年、IoT機器※1を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。
soumu.go.jp/menu_news/s-ne…

西側情報当局がロシア検索大手にサイバー攻撃=関係筋 bit.ly/2ITxVIw

マイクロソフトのセキュリティー責任者が語る戦略の現状 japan.zdnet.com/article/351390…

「Excel」の「Power Query」を悪用したマルウェア配布手法が明らかに japan.zdnet.com/article/351391…

[ITmedia NEWS]Twitter、ルール違反でも公益のある著名人ツイートはラベル付きで残すように bit.ly/2XgobRp

[ITmedia エンタープライズ]GoogleのパブリックDNSサービス、「DNS over HTTPS」の正式リリースを発表 bit.ly/2JfEpQT

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>