orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

セキュリティー

セキュリティーがらみの記事です。

Zip Slip脆弱性に関する詳報まとめ

Zip Slipが大きく報道 日経にてZip Slip脆弱性が報道されています。 www.nikkei.com 英セキュリティー企業のスニックセキュリティーは、複数のファイルを1つにまとめる「書庫ファイル」形式に深刻な脆弱性を発見したと発表した。この形式で作られた書類を展…

感想文:「Let’s encryptとSSL/TLSに関する誤謬」

SSLのことを理解できる記事 SSL証明書関連でよい記事を見つけました。 Let’s encryptとSSL/TLSに関する誤謬 – Chienomi 全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 何度か読み直しましたが「DVとOV」…

セシールオンラインショップの度重なる不正アクセスを考える

セシールオンラインショップでの不正アクセス 株式会社ディノス・セシールが運営する「セシールオンラインショップ」にて、2018年6月2日に不正アクセスが発生したとのニュースです。 セシール顧客情報流出か、中国から不正アクセス : 社会 : 読売新聞(YOMIU…

森永乳業の情報流出レポートに学ぶものなし

森永乳業通販サイトの件 当ブログでは、情報が少なくて静観していた「森永乳業通販サイトにおけるお客さま情報の流出」について最終?レポートが提出されました。 健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ | 大切な…

詳報:PCをクラッシュさせる音響攻撃「ブルーノート」

音でPCが壊れる? ある音を鳴らすとPCが壊れる。趣味の悪い攻撃が検出されたようです。 PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで - CNET Japan セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻…

図らずもTorの匿名性が証明されてしまった年金流出事件の時効

年金情報流出事件が時効 3年ほど前に大きな話題となった年金情報流出事件ですが、時効が成立し終了となってしまいました。 mainichi.jp 日本年金機構が2015年5月にサイバー攻撃を受け、約125万件(約101万人分)の個人情報が流出した事件は、20…

ソーシャルエンジニアリングという名前がちっとも攻撃っぽくない

前例のない手口? NHKスペシャル「仮想通貨ウォーズ~盗まれた580億円を追え!~」、という番組がNHK総合で昨日放映されました。その関連の記事が気になりました。 www3.nhk.or.jp 前例のないサイバー攻撃の手口が明らかになりました。ことし1月、大…

「I'm hacked, Bye2」監視カメラに不正アクセスって何をいまさら

監視カメラのハッキングが話題 監視カメラのハッキングが話題だそうですが、いまさら感があります。 www.nishinippon.co.jp インターネットに接続されたキヤノン製の監視カメラへの不正アクセスが相次いでいる問題で、千葉県銚子市沖の洋上風力発電施設の状…

バグ発見、ツイッター利用者は要対応 パスワードの即時変更を

ツイッター利用者はパスワード変更を ツイッター社がパスワード保管についてバグが発見されたため、全利用者にパスワード変更を求めている件の詳報です。 www.afpbb.com 米ツイッター(Twitter)は3日、ソフトウエアの不具合により利用者のパスワードが誤っ…

問題提起:Whoisの個人に関する情報って隠さなくていいんですかね?

Whoisで公開される情報について問題提起 最近、Whoisのデータベースを見ることが多いのですが、問題提起をしたいと思います。話題にならなければ、それはそれで世間は問題としていないということでしょう。 前提 インターネットのドメインは、Whoisデータベ…

Operation Power Off(パワーオフ作戦)によるwebstresser.orgの摘発の件を調べた

パワーオフ作戦 www.itmedia.co.jp 欧州刑事警察機構(ユーロポール)は4月25日、世界最大規模のDDoS(分散型サービス妨害)サービスを展開していた「webstresser.org」を摘発し、欧州各地の警察が複数の管理人を逮捕したと発表した。 発表によると、今回の…

AmazonのDNSトラフィック乗っ取り 仕組みについて解説

Route53のトラフィック乗っ取り AmazonのRoute53がトラフィック乗っ取りの被害に遭った、と聞くとぎょっとした人が多いのではないでしょうか。AWSの利用者は多いですからね。攻撃の仕組みについて解説します。 www.itmedia.co.jp AWSのクラウドベースのDNSサ…

アカマイ社「UPnProxy: Blackhat Proxyies via NAT Injections」を日本語で理解する

アカマイからルーター脆弱性の詳細が発表される 家庭用ルーターの脆弱性の件は記憶に新しいのですが、CDNで大きなシェアを持つアカマイ・テクノロジーズがその詳細をホワイトペーパーにまとめました。 forbesjapan.com 世界有数のクラウドセキュリティ企業「…

Googleから直販ECサイトの商品へGoogle Shopping Adsで流れるフローがAmazonの脅威になる

GoogleがAmazonの脅威に? 直販ECサイトが続々と構築されているのに、Amazonでしか買わないという流れが一変するのかもしれません。 www.mag2.com eコマースはAmazonの一強とも言える状況ですが、唯一の対抗馬としてGoogleが浮上しています。買い物の入口を…

もしかしたら「+メッセージ」は国策アプリなのかもしれませんね

「+メッセージ」は、はじめ高い評価をしなかったけれど NTTドコモ、AU、ソフトバンクの国内キャリア3社に閉じたメッセージングサービス「+メッセージ」については、RCSプロトコルを利用するものの、Googleのインフラにはのせない、日本国内に閉じたサービ…

Drupalの脆弱性を悪用可能な実証コードは怖いくらい簡単だった

攻撃用のコードが公開 以前記事にしましたCMSのDrupalの深刻な脆弱性について、実証コードが公開されたという件を聞きました。 japan.zdnet.com オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4…

漫画村のサイトブロッキング問題とDMCAの洗練されていない運用

DMCAを考える 漫画村のサイトブロッキング問題についていろいろな意見を耳にします。 法律論については専門家に任せるとして、1つ興味深い意見があります。 CloudflareはDMCA受け付けてるので、コンテンツホルダーは通報すべきhttp://b.hatena.ne.jp/entry/…

パスワードスプレー攻撃を正しく理解しよう

はじめに パスワードスプレーという攻撃手法について、中途半端に輸入されたものの日本の技術者が正しく理解できるような解説が無いように思います。本記事にて理解が深まれば幸いです。理解すれば「これは危険だな」と思うはずです。 ニュース記事 こちらの…

「小中学生ら個人情報流出か=2万5000人分-前橋市教委」を考察

また流出 息をするように流出していく個人情報。 www.jiji.com 前橋市教育委員会は4日、市内の教育機関を結ぶネットワークのサーバーに不正アクセスがあり、市立の小中学校生ら計2万5725人分の個人情報が外部に流出した可能性が高いと発表した。これま…

日本郵便偽サイトに思う、インターネットにおけるキャンペーンサイトのあり方

偽サイトのニュース 日本郵便の偽サイト(フィッシングサイト)がニュースになっていますね。 www.itmedia.co.jp 日本郵便を偽装し、「iPhone XかGalaxy S8を獲得するチャンス」などうたって個人情報やクレジットカード情報を詐取しようとする不審なサイトに…

「中央省庁2000人余のメールアドレス流出 ネット上で売買」に関して思うこと

メールアドレスとパスワード流出 最近セキュリティー関連のニュースが多いですね。 www3.nhk.or.jp サイバー攻撃の新たな危険が明らかになりました。中央省庁の職員延べ2000人余りのメールアドレスが、外部に登録したパスワードとともに流出してインター…

九州商船の「弊社WEB予約サービスに対する不正アクセスに関する最終報告」は全てのエンジニアに読んでほしい

最終報告書を読む 九州商船株式会社のWEB予約サービスに対する不正アクセスについて、最終報告書が公開されました。報告書を読ませていただきましたが、その内容に関して大変勉強となることが多く含まれています。 弊社WEB予約サービスに対する不正アクセス…

PHP5.6は2018年末でサポートが切れるということ

バージョン5.6のサポートは2018年末で終了 PHPは多少関わったことがあるのですが、かなり昔でPHP5.3の時でした。当時は5.5というのが最新だったので、それでインフラを整備してアプリチームに引き渡したのですが、「動かん!5.4にして!お願い!」と言われ、…

ZTE JapanのあるWEBページに仮想通貨マイニングが仕掛けられる(修正済み)

あるホームページに仮想通貨マイニングスクリプトが仕掛けられた模様 ZTEというフリースマホで有名な中国の会社がありまして。 なんかZTEの公式ページ?がMiningしてるんだけどどういうこと?? https://t.co/k6kbxF7Fq7pic.twitter.com/aQ7ZRDndZq — ゆたか…

「Drupal、極めて重大な脆弱性」が極めて重大だった件

Drupalに脆弱性発見 Drupalに重大な脆弱性がある件は2018/3/21に報告されていたわけですが、実際にパッチが出ました。 www.itmedia.co.jp 修正内容がかなりヤバそうなものでしたのでまとめます。 スポンサーリンク そもそもDrupalって何なのか Drupalとは、C…

スマホの電話番号を変えたら、LINEでなりすましのようなことが起こった件

電話番号が変わった時のLINEアカウント引継ぎ 去年の年末に私のスマートフォンの電話番号を変えました。 方法は、以下の公式手順の通りです。 official-blog.line.me 結果としてちゃんと「電話番号が変更されました。」というメッセージをLINEから受け取って…

「ルーターにサイバー攻撃か ネット接続で不具合相次ぐ」についてもう少し詳しく

ルーターへのサイバー攻撃 どうやら、インターネット接続用のルーター機器にサイバー攻撃が流行しているようです。昨日夕方のニュースです。 www.asahi.com 画面に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセ…

パスワード「頻繁に変更はNG」から起こるミスリードがこわい

パスワードはどうすればいいのか 昨日のマイネット社不正アクセス中間報告書に関する記事を書いた後に、 www.orangeitems.com パスワードは定期的に変えなくていいというニュースが偶然同時に出て、 www.nikkei.com ・・・じゃあどうすればいいのかというこ…

マイネット社「当社サーバーへの不正アクセスに関する中間報告書」を読んでの考察

中間報告書がリリース 過去、記事を書いたマイネット社のサービス停止の件ですが中間報告書がリリースされました。勉強になる事例と考え内容を確認しました。 mynet.co.jp スポンサーリンク 事実の確認 以下、各種ポイントについて確認していきたいと思いま…

年金受給者データ入力再委託問題の原因に関する考察

中国へ大量の個人情報を渡してしまう 日本年金機構が外注した会社が中国の業者に再委託していたというニュースです。しかも500万人分のマイナンバーを含むというから驚きです。 www.jiji.com 日本年金機構から年金受給者約500万人分の個人情報の入力を…