2019年7月8日のtwitterセキュリティクラスタ

ようやく落ち着いてきた7pay関連

問題は登録時にdevice identifierなりfingerprintを取る必要があるけど、既にあるIDについてはまだ紐付いてないということ。サービスを動かしたまま端末とデバイスを紐付けて大丈夫なのか、誤って攻撃者の端末と紐付けてしまうことはないか。ちゃんと検討し始めると意外と異常系の洗い出しが難しそう

そんなものは要らない。初回設定時にUUIDv4で生成したアプリメモリに保管するIDを使えばいいだけ。
twitter.com/masanork/statu…
「登録時にdevice identifierなりfingerprintを取る必要があるけど」

twitter.com/kusawake/statu…
そんなことはない。パスワードで担保される機能とSMSで担保される機能を分離することはできる。7payの改善例で言えば、チャージ以外の機能はパスワードの強度で妥協するとして、チャージについてだけ(カード登録時に生成した)デバイスローカルIDで認証維持する方法がある。

この場合、SMSも要らない。それができるのは、守ろうとしているものがカード情報だけだから。機種変更や端末紛失でデバイスローカルIDが失われても再度カード番号を登録すればいいだけの話。SMS認証でそれをサーバから復元する方法もあり得るが手間に見合わない。
twitter.com/HiromitsuTakag…

キャッシュレス推進協議会 のガイドラインが「利用者のモバイルデバイスとコード決済アプリを紐付け管理しなければならない」と求めているのは、そういうことと言える。必ずしもSMSのことではないし、上記のようにdevice identifierを用いることでもない。

7payで「UUIDによるデバイス認証を使わなかった理由」がどうしても理解できないのだけど、どんな理由があり得るのだろう。機種変更のプロセスを全く考慮せず、複数機種でのアプリ利用を認めていたということかな。

twitter.com/nasakawa/statu…
Webアプリの作り方に囚われている技術者らによる設計ゆえ考えもしなかったものと思われ。実際7payのアプリとしての造りもWebView的なもので作られている部分が大半っぽい。加えて、チャージパスワード忘れ時のリセット対象を当該パスワードだけにした発想もだいぶ程度が低い。

iOSでOS設定画面からセブン-イレブンアプリの設定を開いたときに、一番下に表示される「ユーザーID」、デバイスごとに違うけど何かな…?
初回起動前は空欄。
iPadとiPhoneで試した。Androidは同項目がどこにあるのかわからなかった。 twitter.com/hiromitsutakag… pic.twitter.com/0X6HCrd0jz

ただ、謎なのは、7payのアプリにはUUIDによるユーザIDの生成は行われていたようで。
twitter.com/niwatako/statu…

Webでも、ブラウザのcookieに期限最大のUUIDを覚えさせておけば同じことができるが、Webでは、cookieは①利用者が消すことがある②OSの再インストールで消えるといった理由で揮発性のものとの感覚が古来からあり、どうしてもこれに囚われてしまう。技術的には同じことなのに。
twitter.com/HiromitsuTakag…

@HiromitsuTakagi デバイスが特定されていない今のIDに対して何らかのアクションをしてもそれは侵入者。そして侵入者は本来のID生成者を知っており中間に入ります。そこで3D secureさせてもニセサイトでカード登録したつもりになるだけで、その5分後に使われますよ?

twitter.com/hkitago/status…
iOSではそれはできないのでは?

それにしても、端末ID(的なもの)を何かの防止には使うくせに、上記のようには使わないという発想が、iPhone 3Gごろのガラケーからやってきた開発者らの(当時の)感性を思い出す感じ。

twitter.com/kusawake/statu…
上の冒頭に書いてあるように、あくまでも不正チャージだけを防ぐ話。チャージ済みの残金を利用されてしまうことは問題としない(ことが許されるならの)前提の話。それが許されるとは言っていないが、攻撃量は減る。

twitter.com/kusawake/statu…
「カード登録時点でデバイスの特定をしていない」ことは、「ユーザにとってお手軽な二段階認証がなかった」ことと関係しない(二段階認証がなくても前者は単にUUIDでできる)。「今はIDは乗っ取られている」は、不正チャージだけ防ぐ話の外を問題にする場合。

なお、このスレッドは、前半は7/11までに実現できそうな(最小限の変更で可能な)策の話、それが途中から、UUIDで登録カードを保つ話に移り変わっている。これは7/11までにはできないと思う。

7/11を諦めれば、キャッシュレス推進協議会ガイドラインの「利用者のモバイルデバイスとコード決済アプリを紐付け管理しなければならない」に準拠するには後半の話で足りるだろうという話。残金の不正利用を防ぐには単に「デバイスとアプリを紐付け」ても解決しない。端末変更時の策が必要になるから。

そしてその「端末変更時の策」が通常のID・パスワードだと今時はダメなのであり、電話番号アカウントで管理することが求められるという話(結局は「パスワードレス」となる)なのだが、世間はそれをざっくりと「二段階認証」という言葉で表している状況。
twitter.com/HiromitsuTakag…

キャッシュレス推進協議会のガイドラインはそういうことをちゃんと書けていない。そして、「二段階認証」も「二要素認証」も全然この状況を正しく言い表わせていないので、その用語を避けて規定する必要がある。

(ま、いくらなんでも「7/11までになんとしても #7pay 二段階認証を実装して再開」なる話は、ツイッタラーさんによる「関係者の知り合いに聞いた」という伝聞が元だし、「マックで女子高生が」的な信憑性だと個人的には思うのでありえないとは思うけどね笑)

(7/11再開説はともかく、今の状況、#7pay にまつわる話をすれば、不確かな話でも「セブンならありえる」とみんなが思っちゃう雰囲気が醸成されてるってことが、すでに悲喜劇と化してるよね※退会フォームエラー仕様の誤情報拡散然り)

ですよね
▼セブン&アイ、「7月11日に #7pay 再開」説を否定
business.nikkei.com/atcl/gen/19/00…
『「知人の話」としてさも事実のように再開に触れている書き込みもある。セブン&アイ広報センターに問い合わせると「デマ」と否定した。そもそもセブン&アイは以前から7月11日をそこまで重要視してはいない』

あと #7pay の件、 #AbemaPrime などがパスリセット機能が原因のように報じてたけど、被害者はリセットされてないわけで、根本はダークネット流通リスト攻撃に脆弱な旧来のPC型会員IDを前提としてスマホ決済クレカチャージ機能を後付けしたことにあるので、正しい論点整理必要
twitter.com/ken_sugar/stat…

7payのパスワードリセットの件は、完璧なテストケースを書いて完璧なテストを実施しても、メールアドレスと電話番号が知られちゃうとアカウント乗っ取られてしまうという悲しみにあふれた仕様。二段階認証とかの話以前の問題でもある。 twitter.com/AbemaTIMES/sta…

「システムセキュリティアドバイザー」にどこが入るだろう?と業界でもちきりだけど、ファミペイアプリの設計開発をやったところ(どこかは知らないが)が的確なアドバイスできそう。普通のセキュリティ会社に的確な設計方針をアドバイスできると思えんのよね。
twitter.com/sig_246/status…

[ITmedia Mobile]7pay、2段階認証導入やチャージ上限額見直しへ bit.ly/2Xxy4u0

その他に気になったことはこのあたり。

ここのところ、SNS、GoogleやApple、サーバーアカウントなどの当事務所への不正アクセスが頻発してます。明らかに当事務所を狙ったサイバー攻撃と思われますので、対応に時間がかかってます。https://への移行も含めて抜本的な対策を講じていますので、しばらくお待ちください。

Writeup書きました。今年も勉強になる問題が多くて良いCTFでした! #MNCTF
MNCTF 2019 Writeup – Tahoo!!
takahoyo.hatenablog.com/entry/2019/07/…

【メディア掲載のお知らせ】
NewsPics『【解説】本物と見分けがつかない「詐欺メール」の恐怖』にて、弊社代表 高野のインタビュー記事が掲載されました。
bit.ly/2XtIE05 pic.twitter.com/bCL0enzPEa

世の中でセキュリティ事故が発生したときに、セキュリティ業界の人が色々なことを言うけれど、関わってたセキュリティ会社の人は何も発言しないのが普通なので、誰が黙っているかを調べることでどの会社が関わっているのか推測できることがあります。発信されていないこと自体が情報的な意味を持つ。

認証には二段階認証を使わないのに、退会しようとしたら「退会しますか?」「本当に退会しますか?」「ホントに本当に…」とか多段階退会処理が必要なんでしょ?

GDPR始まって以来の最大の制裁金とのこと

BBC News – British Airways faces record £183m fine for data breach bbc.com/news/business-…

スマートフォンなどでサイバー犯罪に遭わないように手口や基本的な対策などをわかりやすく解説した短編アニメ映像「スマホによる個人情報流出編 その3」を配信中!

今回は、駅や街中で多く見かけるWi-Fiスポット。便利さの裏にある危険性や利用する際の注意点です。

ぜひ、見てください!
#AI #犬 pic.twitter.com/SNzBFheiY7

The @Burp_Suite team is hiring Technical Product Specialists. If you are interested in pursuing a career in cybersecurity, pen testing, or technical product management, please check this out. All opportunities are near Manchester, UK.
portswigger.net/careers/techni…

この「ONLY FOR YOU」スパム、私のところにも来ました。

記事でも注意喚起されているとおり、要はTwitter乗っ取り系のスパムのようですね。

「ONLY FOR YOU」で来るDMは、開かずにスワイプして削除してしまいましょう。

くれぐれも拡散しない、させないように…。 headlines.yahoo.co.jp/hl?a=20190708-…

【要注意】「ONLY FOR YOU」と書かれたDMに注意!アカウント乗っ取り被害相次ぐ
news.livedoor.com/topics/detail/…

リンク先は危険なサイトで、連携を認証してしまうとアカウントが乗っ取られてしまいます。 pic.twitter.com/J2wfTZeSzr

ニアミスだった2人のペンテスターが語る「ここが変だよ、日本のセキュリティー」 – ZDNet Japan
japan.zdnet.com/extra/yahoo_20…
大角さんと辻さんの対談記事。良い記事っすね。個人的に色々書いてあることに共感しちゃいました。

次回のOWASP Sendaiミーティングは7/27に三井物産セキュアディレクションの洲崎俊(@tigerszk )さんを講師としてお迎えしてAWSのセキュリティハンズオンを行います。今回の会場は楽天仙台支社様をお借りして実施します!楽天仙台支社様ありがとうございます! owaspsendai.connpass.com/event/138717/

エポスカードをかたる不審なSMSを確認、フィッシングサイトに誘導してID・パスワードを窃取  internet.watch.impress.co.jp/docs/news/1194… pic.twitter.com/zGio7NREq1

ランサムウェア攻撃で身代金の支払いを検討すべきか–フォレスター提言 japan.zdnet.com/article/351392…

サイバー犯罪グループ「TA505」が攻撃の手法を変更–金融機関を標的に japan.zdnet.com/article/351395…

WannaCryの教訓を生かせ、専門家がNHSのサイバーセキュリティー対策に警告 japan.zdnet.com/article/351395…

「スミッシング」が拡大する気配–SMSを使うフィッシングに注意 japan.zdnet.com/article/351396…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>