2019年7月17日のtwitterセキュリティクラスタ

セブンペイに関して尾を引くように意見を求められるのだけど、この問題はおそらく @j17sf が日本でもっとも詳しい。個人的な疑問は二つ。セブンペイが強制ログインと先月までの登録アドレスにパスワード変更メール送付を行わなかったことと、セブンペイ開始時に登録したIDも不正利用されてること

つまりパスワード変更手続きが杜撰だったことは間違いないが、実はそれだけではなく、そもそもomni7の設計がズブズブのダメダメで設計ミスが界隈では既知だったことと、それにセブン側が気付いていなかったってことだよね。

今回のはシステム間の齟齬を適当に埋めたら脆弱になったという事案なのでウォーターフォールは関係無いと思う。設計変更しつつリリース日を繰り上げるなんてするから失敗する訳で。 / “セブンペイ問題の根本要因。日本の悪習慣「ウォーターフォール」 – まぐまぐニュース!” htn.to/4p5FDt1doE

CVE-2019-10191が脆弱だと言われるのはDNSSEC採用ドメインを非採用扱いにできるという話のようだ。

しかし、DNSSEC採用ドメインを非採用扱いにするだけではハイジャックには直結しない。 その部分の説明はない。 twitter.com/SecRiskRptSME/…

ある程度のレベルにある企業に閉じ籠っている人は知らないであろう事実があるんですが、月単価50〜60万ぐらいのエンジニアを雇うと、テストの書き方すら知らないとか、Git を使ったことないとか、GET と POST の違いが分からないとか、そういうレベルの人たちがゴロゴロいます。

GETとPOSTの違いを「ちゃんと」わかっている人は多くないような気がしますね。そういう意味で書いているのではない気がしますが twitter.com/OgiharaRyo/sta…

具体例を挙げると、削除処理やログアウト処理は副作用があるのでPOSTにすべきですが、GETになっているケースをよく見かけます。PHPの教科書とか、特にね twitter.com/ockeghem/statu…

『「セブンペイ」で不正アクセス問題が明らかになり、念のためセキュリティー対策を再点検することにした。トヨタファイナンスによると、現時点で不正利用は確認されていないという』 / “トヨタ系スマホ決済、新規利用を一時停止=セキュリティー対策を再点検 | 乗りものニ…” htn.to/2BX8HfGiwq

法律における白黒は抜きにして、フィッシングサイトをハッキングして削除することは良いことだと思う?それとも悪いことだと思う?

前にProtonMailのフィッシングサイトが報復としてハッキングして削除されたことがあったし(web.archive.org/web/2017110708…)、また今回もDarkDotFailがフィッシングサイトを改ざんして警告ページを出すようになった。(archive.is/Kf4ky)

Naomiさん(@NaomiSuzuki_ )がツイートした通り、これらのドメインは”Zhao Yun”の名義で登録されています。

この”Zhao Yun”は三国志の趙雲のピンイン表記と同じなんだそうです。

意図的にこの表記を選んだとすると失笑モノですね…

twitter.com/naomisuzuki_/s…

日本郵便の詐欺サイトでした。。。
ショートメールできてました。
ちょうど今日のお昼頃にアマゾンから届く予定だったから普通に偽サイトに飛んでしまった(多分フィッシング詐欺)
プライムデーでお買い物してる方も多いと思うので皆様も詐欺には十分にご注意を!! pic.twitter.com/FVw2xWdXOh

本日の #FakeSpy #日本通運 #Phishing はこちら
インフラがUSとROにわかれていますが、iPhoneだった場合の誘導先ですね。
US側は携帯の決済番号詐取(mj.html)
RO側はAppleの認証の詐取(fn.html)
となっています。この構成もなんだか懐かしい。。。 pic.twitter.com/Ny6RNbMRb2

docomo @docomo_cs を騙る #Phishing についてですが、攻撃者側に本物のdアカウントのクレデンシャルをつかませて動向を追いかけています(ログインはできません)。初回は6月25日で、以降当方は何もしていませんが、同じクレデンシャル情報を使って何度かトライしてきています(パスワード云々は私) pic.twitter.com/Pncrhud6kE

dアカウントについては最終的にログインができないとどこからアクセスしてきたのか、情報がつかめない(不便すぎる)のですが、わかるのは一度アカウントをハクられてしまうと、継続的にやられる可能性がある、という事です。

最近、中国の個人や中小企業向けに、日本のAmazonに進出する為のセミナーがあちこちで開かれていて、そのメソッドがえげつない…という話が興味深かった。

という内容のツイートをしたけれど、長くなったので、画像にまとめました。 pic.twitter.com/HrQCPZq9sT

はい、ガチでやられてます。。。もはや経済戦争レベルです。受け取り不可能な代引き注文を大量にされて配送手数料がごっそり削られたりされてます。 twitter.com/Taiwanjin/stat…

疑わしい活動をふくんだパケットキャプチャを確認するさい、アナリストはオブジェクトを pcap からエクスポートしてより詳細に観察しなければならないことがあります。その方法について @Unit42_Intel の最新の Wireshark チュートリアルをご確認ください: bddy.me/2Y4nA4R pic.twitter.com/JmJTPgWvkp

【JC3】犯罪被害につながるメールが拡散中。件名は「Apple IDアカウントの情報を完成してください。」他1種類。本文中のリンク先に表示されるサイトは、ログインIDやパスワード、クレジットカード情報等を詐取する偽サイトです。リンクをクリックしないようご注意下さい。
jc3.or.jp/topics/virusma…

【ブログ更新】McAfee Labsの研究者は、Amazonのユーザーをターゲットとしたフィッシングキットを発見しました。Amazonのような信頼あるサイトを利用し、ユーザーを騙し情報を搾取するといった脅威に注意を払う必要があります。その手口や注意すべき点をご紹介します。
blogs.mcafee.jp/16shop-now-tar…

Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」が会議参加前にビデオ機能をONにするかを確認する機能を実装。同様の脆弱性がRingCentralなどでも確認される。 applech2.com/archives/20190… pic.twitter.com/pooAkc5Yq4

FacebookはLibraのプライバシー保護監督を依頼したと証言した規制機関に連絡していなかった(CNBC報道) tcrn.ch/2NX099N

Libra Associationはジュネーブに本社があるため、スイス連邦金融市場監督機構(FINMA)の監督下に置かれる——Libraはスイスの規制下に入るとFacebookが米国議会で証言予定 | TechCrunch Japan buff.ly/30ybeiT pic.twitter.com/KHO7JpECSt

会議アプリ「Zoom」の脆弱性、類似アプリにも影響–アップルがパッチ配信 japan.zdnet.com/article/351399…

[ITmedia エンタープライズ]Google、デスクトップ向け「Chrome 75」のアップデート公開 bit.ly/2Z0ZQfi

[ITmedia NEWS]NECの顔認証、EU首脳会議に採用 初の生体認証導入 bit.ly/2JJkcD5

[ITmedia エンタープライズ]Oracleの四半期パッチ公開、データベースなどに極めて深刻な脆弱性 bit.ly/2YTvI57

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>