2019年7月22日のtwitterセキュリティクラスタ

XYZのサイトに書いてある仕様の読み方、やっと慣れてきた。oauth.xyz #OAuthXYZ

OAuth 2.0のAuthZ Code Grant相当をやる場合の流れはこんな感じ。XYZにより特別にシンプルになるわけではない。フロントエンドであまりデータが流れないあたりはOAuth 1.0っぽい懐かしさもある。
oauth.xyz/interaction/ #OAuthXYZ pic.twitter.com/Eu7sv66Mnh

ドコモのアカウントに不正なログイン施行あったんだけど、履歴がリアルタイムで確認できない。ツイッターなどの情報見る限り、パスワードが漏れたわけではないみたいだけど、念のためパスワードは変えた。ユーザー名も変えよかなあ。

スマートフォンなどでサイバー犯罪に遭わないように手口や基本的な対策などをわかりやすく解説した短編アニメ映像「QRコードトラブル編」を配信中!

今回は、今話題のQRコード決済。キャッシュレス時代に起こる新たな手口とその対策についてです。

ぜひ、見てください!

#AI #犬 #アプリ #Pay #ペイ pic.twitter.com/NoKzRnutAb

Downloaded mimikatz.exe via DNS over HTTPS (TXT). 🙂 Wrote Python code to serve files + VBA code to download files. Will be covered in my #BruCON training “Malicious Documents For Red Teams”. Training attendees will receive code + many other private tools brucon.org/2019/brucon-20… pic.twitter.com/nIEPgCyOOx

脅威インテリジェンスを活用するの本当に難しい。毎日色んな情報もらうけど、どれが関係あるのか、何に役立てるべきなのか。後になってあのときno
情報はこれかとか思うこともあるけど。その情報が流れてきた時点ではわからないことがほとんど。事例紹介ではなく、使いこなしてる現場を見てみたい。

デモでやってる約30種類の商用インテリジェンスの情報を集約してくれるやつ、その30種類のインテリジェンスサービスを全部契約したらお幾らになるのか震える。毎月何億円払うんだろw

脅威インテリジェンスが役に立つのは、脅威にさらされる現場の人たちではなく、セキュリティ関連のことを調べるジャーナリストとかリサーチャーなんじゃないかな?

天気予報みたいな脅威情報を1つ1つ精査したり、調査するとか、ある程度それにコストを払える会社とか組織って限られるよな。そのうち、それも含めたサービスが登場するのだろうか。って、めっちゃ高そう。

tech.nikkeibp.co.jp/atcl/nxt/colum…
「EV証明書では多くのWebブラウザーで組織名が表示されるので違いが分かるが」と書いているが、Safari(Mac/iOS)及びモバイル版Chrome(Android/iOS)ではEV証明書でも組織名は表示されない。

また、HTTPSを復号して検査するセキュリティ製品を使用している場合も、セキュリティ製品が通信に割り込んでHTTPSを復号し、新たにサーバー証明書を生成してブラウザに送信するため、(本来ならEV証明書の組織名が表示されるブラウザであっても)組織名は表示されない。

既にモバイルでのアクセスがデスクトップを上回っている。企業ではHTTPSを復号して検査するProxyやNGFWなどがかなり導入されている。個人でもカスペやESETなどHTTPSを復号して検査するアンチウイルスが利用されている。ことを考えると、半数以上の利用者はEV証明書でもブラウザに組織名は表示されない

最近ソフトバンクユーザーをだますメールが出回っています

・スーパーフライデーで牛丼のクーポンを取得させようとする
・過払い返金手続きについて、のリンクを踏ませようとする

どちらも『見た目』は本物のURLに似せているので巧妙ですね

▼参考
twitter.com/hogehuga/statu…
twitter.com/kazoku2_6egao/…

本件についてやはり偽メールが出回りだしたようです。ご注意ください。

【2019/7/22 15:30】楽天市場を騙る詐欺メールに関する注意喚起
cc.uec.ac.jp/blogs/news/201…

▼偽メール件名
【重要】楽天株式会社から緊急のご連絡 pic.twitter.com/GID7Vk7iaP

名古屋といえば、TOYOTA!w
TOYOTAの方のご登壇お待ちしております!w

IoTSecJP名古屋 #2 iotsecjp.connpass.com/event/136468/?… #IoTSecJP

【#NASA の事例から学ぶ #IoT 時代のセキュリティ】
2019年6月NASAは、局内ネットワークに無許可接続された小型端末が発端となったサイバー攻撃の被害を発表しました。同事例を元に、増加するネット接続端末とセキュリティ上の運用について考察します。

#RaspberryPi

bit.ly/2M5WTpZ

「MyJCB」かたるフィッシングメールが拡散中、誘導先の偽サイトでカード情報を窃取  internet.watch.impress.co.jp/docs/news/1197… pic.twitter.com/dYIvTGh6gf

ID/パスワードが通ると2段階目の認証コードを送るのではなく、IDが通ると投げて来る仕様のドコモさん。IDスキャンでもされたのか、問い合わせが殺到したようです。 twitter.com/catnap707/stat…

ドコモさんの手順だと「パスワードとセキュリティコードを入力しない限り…」です>セキュリティコードを入力しない限り、不正なログインは成功しない形になり、2段階認証が有効に機能している証と言える。

ID/パスワードでコードを送って来るサービは、コードが届いたらパスワードが破られたということなので、パスワードの変更が基本です(ID/パスワードだけで利用できるサービスが無ければお好きに)。ドコモさんのような仕様の場合は、パスワードも破られていないので特に何もする必要はありません。

類似案件にIDだけでリクエストできる「パスワードリセット」があり、身に覚えのないメールやSMSが届いたりします。これも基本は無視。Twitterなら「設定とプライバシー」>「アカウント」>「セキュリティ」の「パスワードリセットの保護」を有効にしておくと、無用な心配を軽減できるかも知れません。 pic.twitter.com/3UEdcg0M7U

400万人以上の個人情報がChromeとFirefoxの拡張機能から流出してネット上で販売されていたことが判明
bit.ly/2Y7Lato

ネット検閲や国際社会の制裁が開発をいかに難しくするかをイラン人開発者が告白
bit.ly/2Y7kLvV

[ITmedia NEWS]ロシア連邦保安庁の請負業者サーバへの攻撃でTor匿名化解除プロジェクトなどが暴かれる bit.ly/2Z4TRWB

[ITmedia NEWS]この頃、セキュリティ界隈で:アプリにアップロードした写真は誰のもの? bit.ly/2GnmC9z

意義あり? 誤解?–IoT脅威を可視化する「NOTICE」プロジェクトの舞台裏 japan.zdnet.com/article/351397…

ハッカーがロシア連邦保安庁の請負業者に侵入、極秘プロジェクトを暴露 japan.zdnet.com/article/351401…

次期「Chrome」、サイトによるシークレットモード検知を回避へ japan.zdnet.com/article/351401…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>