2019年8月7日のtwitterセキュリティクラスタ

セキュリティ界隈が若手に対する教育を充実させてるのは素晴らしいことだけど、セキュリティ純粋培養で優秀なエンジニアが生まれる訳でもない。界隈の面白い人たちって私が知る限り雑食ばかりなのに、どうしてこうも若手に対して単線的なキャリアを示すようになってしまったのか

@masanork 雑食が自分を育てた自負はあるにせよ、必ずしも幸せだったとは限らない複雑な思い、あるかもしれませんねぇ。

@masanork セキュリティを契機に雑食化していくパスの入り口だけ手伝ってるんじゃないですかね?何を入り口にしても、好奇心や興味の幅がある人は自然と雑食化するし、今雑食な方々も、誰かに言われて雑食化したわけではないんじゃないかと。

セキュリティエンジニアって大変なんだな。
自分で脆弱性診断して、修正方法を考えて、根本的な問題だったら問題ないアーキテクチャ検討して、レビュー/修正/実装をして。
他のサービスで同じ問題が起きてないかを確認して、各所に脆弱性報告とか、一般にわかるような資料を作って公開しないといけない

最近は毎日新しいインデントが世界中でおきるので、同様の問題がないかを調査して実験してく必要もある。
ライブラリとかクラウドサービス特有の(影響範囲が広くなる)脆弱性が多いから、毎日新しいものを素振りしていく必要もありそう。

ランサムウェアのカモにされる米自治体–被害は続く? japan.zdnet.com/article/351406…

人質事件に関しては金を払うな、というのが、人身もサイバーも基本。それは人質事件が多発する国を見ればわかる。
払ったところはそれでいいのかもしれないが、同業種が狙われる原因になるので、他の組織にも迷惑かけてるんだよね。
japan.zdnet.com/amp/article/35…

@hogehuga 払うべきではないと根底にありつつも現実には経営判断になるので難しいところですね。実際に数百万円の要求を断り、自力での復旧に多くの時間と10億円以上かかった自治体もあります。

Talosでも以前ディスカッションされてました。
twitter.com/autumn_good_35…

@autumn_good_35 復旧費用を考えると…という点で払ってるところが多いみたいですね。
ただ、そういう時に支払えるように権限を委譲したりするよりも、やられないような対策に費用をかけて欲しいですね。
人質事件なら、危ないところには行かない、警護を付ける、目立たない、とかのように。

リスト型やパスワードスプレー攻撃の実態はもっとオープンにできないものだろうか。啓発のために。先々週の高知ipsj.or.jp/kenkyukai/even…でも話したように、こういうグラフで視覚化したらいいと思うんだ。ゆっくり来ている攻撃の実態とか、実数でもっと共有される必要がある。
aist.go.jp/pdf/aist_j/top… pic.twitter.com/sQ0qP2ZAtd

OpenID Connectのハンドブックがリリースされました。ID管理の変遷(ID/Password〜Directory Service/SAML Federation)から始まり、最後の章には具体的なハンズオンチュートリアルも含まれておりID管理を体系的に学ぶことができます。是非ご一読下さい。
auth0.com/resources/eboo…

変なメール/SMSを受け取った方は、この奥村先生のように本当のリンク先もスクリーンショットに入れて頂けると「中の人」も動きやすくなります。(スマホの場合は、リンクを長押し)
ただし誤操作により悪意のあるサイトに飛んでしまう可能性もあるため、ムリにやろうとはしないで下さい。安全第一です。 twitter.com/h_okumura/stat…

今週木~日曜にパリスカジノ、バリーズカジノ、フラミンゴカジノ、プラネットハリウッドカジノでハッカーのカンファレンスDEFCONを開催。選挙の投票システムに対するハッキングは毎年の話題で、今年は初めてネバダ州とクラーク郡の選挙管理委員会を招き、ハッカーやセキュリティの専門家と意見を交換。

最近Eternalblueのインシデントばっかりだけど、これからBlueKeepのインシデントが急に増えそうですね。社内LANからしかアクセスできない脆弱な端末も無限にありそうです。皆さん早くパッチを適用して下さいね! twitter.com/0x009ad6_810/s…

情報が公開されました。プラグイン利用者の方はバージョンアップをお願いいたします。 twitter.com/jvnjp/status/1…

『ウインスチン容疑者(25)は7月3日、東京都内のセブンイレブンで岐阜県中津川市の男性(54)の「7pay」のIDとパスワードを不正に使用』

“7pay詐欺”で中国人の男逮捕 電子たばこのカートリッジ5万円相当騙し取る「知人に頼まれた」 – FNNプライムオンライン fnn.jp/posts/6965THK/…

『不正利用された可能性のあるお客様7名、そのポイントの合計は、430,930ポイント。』

2019年8月7日
「リスト型アカウントハッキング(リスト型攻撃)」による弊社会員管理システムへの不正ログインの発生とパスワード変更のお願いについて(株式会社アルペン)
[PDF] alpen-group.jp/news/docs/2019… pic.twitter.com/gkMfCI3d7N

試行回数:不明
ログイン成功アカウント数:38,954件(※このうち31,000件はユーザの正常ログインの可能性あり)
ポイント不正利用されたアカウント数:7件

不正ログインが少なくとも8,000件あるのはやや多い気がしますので、検知出来ないペースで事前にスクリーニングは行われていそうですね

書きました。/ 検証7pay問題、「販促優先」が招いた端末認証の不備 tech.nikkeibp.co.jp/atcl/nxt/colum…

【国際輸送事業者に偽装した不正サイトに注意】
世界的な国際輸送事業者に偽装した不正サイトを確認中です。結果的に不正アプリ感染やフィッシング詐欺サイトに誘導しようとします。 #不在通知 や配送状況確認メッセージには十分ご注意ください。
関連記事は↓
bit.ly/2OKFlTa pic.twitter.com/LFfKXti126

7Pay並にセキュリティヤバそうなペイ、また発見しました。
その名もSKIYAKI PAYです。
実はこのアプリ、ログインする際のSMS二段階認証で、なんとアカウント本人以外の電話番号でもSMS認証通ります(草)
二段階認証対応かと思いきや、その重要なカギを他人が簡単に盗む事ができますね。
#コーナンPay pic.twitter.com/6ExRSRmu8b

SKIYAKI PAY の二段階認証時に、アカウントと異なる電話番号を入れるとエラー吐いて、他人にSMSコードを送信する事ができなくなりました。
これが二段階認証のあるべき姿ですね

以前は、アカウントと異なる電話番号に送信できていましたw pic.twitter.com/7vc8SIG5HT

Unit42 は 6 ヶ月に渡る調査の末、中国をベースとする暗号通貨マイニング攻撃グループ #Rocke の手口に関するレポートをまとめました。外部からの干渉や検出リスクを抑えて活動するRockeの手口とは?
bddy.me/2T90lBy pic.twitter.com/asX2QvZmBb

露政府に近いハッカー集団、IoT経由で企業ネットワークを攻撃。IP電話やプリンタ、ビデオ再生機など標的
engt.co/2OIzLRc

「決済事業者はリスト型攻撃対策を」。経産省と金融庁、不正アクセス対応強化を要請 watch.impress.co.jp/docs/news/1200… pic.twitter.com/oeAmuZAG05

セブン&アイによる7pay事件の後始末に見る、頻発した大企業不祥事の原点(山本一郎) – 個人 – Yahoo!ニュース news.yahoo.co.jp/byline/yamamot…

7pay問題に揺れるセブン&アイ、6年前にも情報流出を引き起こしていた tech.nikkeibp.co.jp/atcl/nxt/colum…

[ITmedia エンタープライズ]携帯電話のSIMロックを不正解除した男、米国で起訴 AT&T従業員に多額の賄賂 bit.ly/2YuVaSG

[ITmedia エンタープライズ]8月のAndroid月例セキュリティ情報公開、Qualcommの脆弱性は無線経由で悪用の恐れ bit.ly/2MKLlbR

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>