2019年7月10日のtwitterセキュリティクラスタ

7payと二段階認証の話続き

やはりOmni7が何もかも足を引っ張ってたのか。7payつくったベンダーも気の毒。本当に大変なのはこれからだよね / “【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か | BUSINESS INSIDER JAPAN” htn.to/3rVRvH5S4W

これさー、よく見るとAPIでパスワードハッシュが引けたり突っ込みどころ満載過ぎるバックエンドで、とりあえず全部盛りAPI渡すんであとはアプリでよしなにってOmni 7の惨状が垣間見れて趣深いんだよね。7payかなり気の毒だな twitter.com/bulkneets/stat…

なんかそろそろ表に出てきたので申し上げますが、オムニ7自体大変に認証まわり作りがアレなことがわかってしまったので、だからポイント残ってるけどそれも全部投げ捨てる形で退会した次第です。個人的にこれを知ってしまった以上、(自分の)注意義務としてアウトだと思いました。

そしてもう一つ。omni7を直す(直さざるを得ないと思う)場合、7iDを使っているスマホアプリは全部改修が必要になると思います。だって7iDなんだもん。あと7iDとサービス側として認証連携している機器も下手すれば手を入れないとまずい可能性もある。

で、今の7andiにその覚悟キメられるかというと…

よくわからないのは、オムニ7 が今の今まで個人情報漏洩の可能性にビタイチ触れてないところ。これ、後になればなるほどセブン&アイの首締めるんじゃないかなあ。あのとき止めなかったのはまずかったと思うよほんと。

SEJやセブン&アイほどのスケールの企業集団で、リスクマネジメント・リスクコンサルタントが機能してないはずがないのだが…

この規定が初めて火を噴く時では?

個人情報保護法42条3項
個人情報保護委員会は、前二項の規定にかかわらず…個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは…当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。

なんかこの記事も臭う気がするけど…

いまさら人に聞けない『 #二段階認証 』とは?(神田敏晶) – Y!ニュース news.yahoo.co.jp/byline/kandato…

どこが臭う?って聞かれたのでちょっと書く

> 1.電話番号やメールアドレス、パスワードやPINコードなどの『自分が覚えている要素(知る要素・知識情報)』

電話番号、メアドを「知識情報」として扱うのは筋が悪いのでは?

> しかしだ。『ID=電子メール』というのも、名刺に印刷された電子メールほど、社会に出回っているものはない。
> もはや半分ハッキングされているようなものだと筆者は考えている。ID=電子メールに変わるものも必要だ。

この辺りも、識別と検証が混在していないか。

> そして、最新スマートフォンなどの場合は…二段階の認証に加えて…
> ここ最近のスマートフォンの指紋認証や顔認証で、万一の紛失や盗難となった場合も、悪用される恐れは非常に少なくなってはきている。

ローカル認証の話が急に出てきた。けどFIDOは出てこない。

(おまけ)

> 筆者はITまわりのセキュリティには慎重だが、家にはカギをかけたことがない。カギを毎回かける時間的コストのほうが盗難のリスクよりも高いからだ…。

秋田にでも住んでるというのか?

「漫画村」逮捕の件

【漫画村 福岡県警などが逮捕状】
yahoo.jp/3Y57TA

漫画を無料で読める海賊版サイト「漫画村」を運営していたとして、フィリピンで拘束された星野ロミ容疑者について、福岡県警などが著作権法違反の疑いで逮捕状をとった。今後、日本に送還され次第、逮捕する方針。

海賊版サイト「漫画村」をめぐる著作権法違反事件で、警察は東京の男女2人を逮捕。おととし5月、人気漫画「ONE PIECE」の画像ファイルを「漫画村」で公開した疑い。2人は元運営者の友人で、データ化された漫画をサイトに載せる作業などを担当していたという。
www3.nhk.or.jp/shutoken-news/…

「漫画村」関与の2人逮捕 運営者に逮捕状、友人関係か:朝日新聞デジタル asahi.com/articles/ASM7B…
逮捕容疑がワンピース866話なのよくわかんないけどなんか草

デジタルフォレンジックで866話が丸ごと被疑者のPCに残されていたことと、その画像ファイルが漫画村のファイルと一致したことと、アップロードされたアクセスログの日時が一致したから、取りあえず866話で逮捕って話なのかな?

アフィリエイト界隈では、かなり有名な人。
fc2の創業者である高橋さんと同じぐらい、反社会的な人だと思いますね。
運営しているサイトが、ほとんど違法だもんw / 漫画村 容疑者との一問一答 (NHKニュース) #NewsPicks npx.me/9nu/LN3X?from=…

漫画村がAnitubeやエロタレストと同じ管理人でびっくり。
違法サイトで漫画村とAnitubeは代表例だったけど、まさか一緒だったとは。
エロタレストも確か有名だったような。

漫画村の運営者「星野ロミ」が逮捕される!被害総額3200億円か!? 海外の反応。 tsundeku.com/04/archives/34… pic.twitter.com/9WXfx0cOR4

▶︎「漫画村」の元運営者拘束で、勘違いされた星野ルネさん。早速、この件を漫画にした。
buzzfeed.com/jp/kensukeseya…

その他に気になったことはこのあたり。

ブロックチェーン技術等を用いた金融システムのガバナンスに関する研究を掲載しました。

【金融庁調達情報HP】
fsa.go.jp/choutatu/chout…

株式会社SHIFT SECURITYの無料診断:最低限これだけは、EC-CUBE ショップ運営者のセキュリティチェックポイント ~ EC-CUBE の 6 割のショップで見つかるセキュリティ脆弱性とは? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト] scan.netsecurity.ne.jp/article/2019/0…

JPCERT/CC Weekly Report 2019-07-10を公開。セキュリティ関連情報は4件。ひとくちメモは、7月4日にJPCERT/CC Eyes(公式ブログ)で公開した「短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃について」です。^TO jpcert.or.jp/wr/2019/wr1926…

【更新情報】
マイクロソフトの月例更新プログラム(2019年7月)が公開されています。Windows Update等から、忘れずにアップデートしてください。

詳細→ portal.msrc.microsoft.com/ja-jp/security…

【更新情報】
Firefoxの更新プログラム(68.0)が公開されています。(Win/Mac/Linux/Android)
クリティカル扱いの脆弱性が修正されています。ヘルプからソフトウェアの更新を確認する等し、アップデートしてください。

詳細→ mozilla.org/en-US/firefox/…

F-Secureは、日本を含んだ9ヶ国合計3,600人を対象とした、個人ユーザの #サイバーセキュリティ 意識調査結果を発表しました。調査対象者の71%が、自分もサイバー攻撃の被害を受けるのではと考えています。 #サイバー犯罪 #なりすまし #フィッシング #スマートホーム
jp.press.f-secure.com/2019/07/10/id-… pic.twitter.com/YWmHDJ7lOp

[ITmedia NEWS]「漫画村」無断アップロードで2人逮捕 運営者に続き事件進展 bit.ly/2LLKbg4

[ITmedia NEWS]Marriott InternationalにGDPR侵害で約135億円の制裁金 個人情報流出で bit.ly/2XDnxxm

Mozillaは悪名漂うUAEのDarkMatterをHTTPSの証明提供者として否認 tcrn.ch/2Xzm9XH

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>