2019年7月5日のtwitterセキュリティクラスタ

7payの問題のまだまだ続き

みんな7Payのことを馬鹿にしてるけど、本当は他人事じゃないんじゃないの?同じ事はきっとまた起こるよ、自分だったら防げたって胸を張れる?ってことを考えてみたり / “7Payの失態で露呈した本当は怖いIDの話|楠 正憲(国際大学GLOCOM 客員研究員)” htn.to/3b6sFD32DK

いまどき本当に工数が重いのはログイン時のリスクベース周りなので、そこはCDNやIDaaSにぶん投げ、AR周りに要件定義と内製リソースを集中投下する。いっそ割り切って1要素目は外部IdPに投げつつ2要素目にプッシュ承認なりFIDOを突っ込むのが定石ですかね

@masanork ログイン周りはリスクが高い分、専門知識が必要ですがサービス自体に対する影響は薄い為社内にリソース・体制を維持する理由付けが難しいと聞きます
主業がリアル系で顧客向けにWebを提供している会社です
結果外部IdPの利用検討中です

体制欲しいけど理由付けや理解を得るのが厳しい認識です

大先生っぽい人は、Web診断とネットワーク(プラットフォーム)診断とペネトレーションテストとAPTとTLPTの違いは何となくわかると思うし、機械的か人力かと、スコープも加味して話した方がいいとは思うけど、もはやTwitterで話すレベルの内容じゃないと思うので難しいですね。

7Pay のパスワードリセットの件で「設計不備はセキュリティ診断では指摘されない」的な発言を見かけたけど、いやいや意図的にスコープ外にしてない限り指摘するでしょこんなもん。

脆弱性診断はXSS, CSRFなどタイピカルなものしか検出しないことが考えられる、はダウト。ちゃんとした診断を依頼すればログインやリマインダの欠陥は報告される。

7Payの失態で露呈した本当は怖いIDの話|楠 正憲(国際大学GLOCOM 客員研究員) @masanork|note(ノート) comemo.nikkei.com/n/n3b3fb417e637

(ツールのみの診断は除くが)脆弱性診断でもビジネスロジックに存在するセキュリティ上のリスクは一般的に検出・報告対象に含まれていると思います。

脆弱性診断士(Webアプリケーション)スキルマップ&シラバスでも、ビジネスロジック上の問題は診断項目として定義しているもののアプリにより実際に試行する内容は異なるなるため、「Goldクラス」の診断士がカバー範囲であると定義しています。

github.com/ueno1000/WebAp…

Omni7は7payとは別系統、よって7payサービスリリースにあたってOmni7は脆弱性診断を実施していない、という話だとすると、正しい回答は、『7payはサービス開始にあたって、システム全体の脆弱性診断を怠った』が正解になるのかもね。

@Mofu_Master @HiromitsuTakagi 要するに単体テストだけしました、結合テストはやりませんでしたですからね。

診断会社や診断ツール売ってる会社に7Payの脆弱性は見つけられるのか?と聞く人増えそうw

7payに限らず、設計のタイミングからおかしな仕様になってないか、セキュア設計、セキュア開発できる仕組みがいまだに多くの場所で取られないのはほんと辛い。最後にセキュリティ診断して、診断した事実があればよいとか考えてるPMや依頼側とかいっぱいいそう。
リリース期日守るが穴だらけとか多そう

要は、セキュリティbyデザインやプライバシーbyデザインをやらなければならず、その責任者は発注者側にいなければならないということ。今回のケースでいうなら、ID管理がわかる専門家をちゃんとした地位でやとえと。高くてもしょうがない。それが企業の責任。

comemo.nikkei.com/n/n3b3fb417e63…

7payの技術者が「このサービスの仕様やばくね?」と感じる機会なかったと思うんだよな。Omni7は開発スコープじゃないし。
自分が「7payの開発者だったとして」外部サービスの部分まで気付ける自身はないなぁ。
技術者自身までこのあたり混同している人が多くみられるのはちょっと残念に思う。

引き続き「7pay問題」が盛り上がっているサイねー。当サイトコラムニストの星野氏が解説記事を書いてくれたサイよー!ぜひご覧くだサイ!(´・_・`)
▷【緊急寄稿】7pay問題に見るリスクマネジメントの欠如と真の問題点とは cybersecurity-jp.com/security-incid… @cyber_hippoさんから

元Apple商品開発者・福岡在住のコーヒーショップオーナー
「セブンペイ不正利用。被害は高額商品ばかり。新しい決済システムでなぜ20万円の商品が買えるのか、その時点で赤旗を上げるべき」

真っ当なコメントなのだが、コメンテーターの情報多すぎw pic.twitter.com/TmHdkbFIym

今回の7pay事件で中国人や中国在住者が「中国のスマホ決済の方がセキュリティが高い」なんて言ってますが、セキュリティ問題や障害は結構起きているんですよ。大々的に問題にならない(騒がない)だけで。

例えば、2年ほど前に話題になったアリペイのセキュリティ問題。SMSが受け取れず、パスワードも忘れた場合のログイン手順が友達と最近タオバオで購入したものを9枚の写真からひとつ選ぶという組み合わせ的にも簡単に突破できるものでした。

tech.sina.cn/i/gn/2017-01-1… pic.twitter.com/UeSAeNpDEK

アリペイの場合、不正利用による損害賠償はもちろん、事実確認の段階でも賠償を先に行うという責任保障を明確にしてますし、手続きにかかる時間も短い(らしい)ので、被害にあったユーザーがネットで騒ぐまでに至らないのでは?と思います。 pic.twitter.com/RV8dF16fHm

ちなみに「まだ struts の 1 系?」と煽りたい人が沢山いる様だけど、実は struts は 2 系の方がやばいんやで。

セブンペイ不正利用、中国版ツイッター「ウェイボー」で指示か sankeibiz.jp/workstyle/news…

突然送金「詐欺かも、怪しい」 スマホ決済に乗らぬ人々
asahi.com/articles/ASM72…

スマホ決済が拡大し、各社が還元キャンペーンを展開。「財布を出す手間が省けて便利」と使いこなして得する人がいる一方で、「詐欺?」「アプリが増えるのが嫌」などと敬遠する人も。あなたは? #スマホ #アプリ pic.twitter.com/mTTEi0GWDY

他人名義のセブンペイで詐欺未遂容疑 中国籍2人を逮捕
asahi.com/articles/ASM74…

容疑者の1人は「SNSで知り合った人物からIDとパスワードが送られてきた。たばこを買えるだけ買ってくれと指示され、買い物をした」と供述しているという。 #事件 #詐欺 #セブンペイ pic.twitter.com/YsNn5Ow8n2

セブンペイ不正、現場の店主は…「正直笑ってしまった」
asahi.com/articles/ASM75…

店主からの問い合わせ窓口は、電話してもつながらない状態だという。店主は「本部には当事者意識の低さが根底にあるのではないかとあきれてしまう」と嘆く。 #7pay #セブンイレブン pic.twitter.com/tefvhIiXCa

セブンペイのポイント還元参加認めない可能性も 経産省
asahi.com/articles/ASM75…

7payの不正アクセス問題で、経済産業省は5日、安全対策が不十分だったとして、運営会社のセブン・ペイとセブン&アイ・ホールディングス(HD)に対し、原因究明の徹底と被害の拡大防止、再発防止策の策定を求めた。

7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは…
#7pay j-cast.com/2019/07/053619…

その他に気になったことはこのあたり。

JPCERTがドキドキしながらYoutubeチャンネルを作りました。チャンネル登録が100超えないとURLがダサいのです。チャンネル登録にご協力オナシャス!
youtube.com/channel/UCg3LU…

ICT、特に情報セキュリティに何らかの形でかかわるお仕事をしていてきょう職場で7Payやomni7のことが話題に上らなかった方々に申し上げます。その仕事やめたほうがいいよ。

昨日、Macnica Networks Dayにて実施したセキュリティコンテスト「MNCTF2019」を一般公開しました。#mnctf #mnd2019
ユーザ登録(個人情報不要)してチャレンジしてみてください。例年より少し難易度が上がっています。
mnctf.info/mnctf2019/

某フォーラムでオリンピックの際のサイバー攻撃に関する話題が出ていた pic.twitter.com/4OVe9tUgnq

1000万人以上がSamsungを装う詐欺アプリ「Updates For Samsung(サムスン用アップデート)」に引っかかっていることが判明
gigaz.in/2FQnOC3

「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ
gigaz.in/2FU90mh

新聞のお悔やみ欄を悪用し、遺族から架空請求で金をだまし取ろうとした無職の男が北海道警に詐欺容疑で逮捕されました。
mainichi.jp/articles/20190…

7pay以外は大丈夫か?主要Payログイン時の安全性まとめ tcrn.ch/2Xs1sgq

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2681 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>