「security」カテゴリーアーカイブ

脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた – piyolog

脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog

脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog

2019年9月16日、VPNサービスのレビュー等を行うvpnMentorはインターネット上でエクアドル国民に関わる大量の情報を発見したと発表しました。ここでは関連する情報をまとめます。 vpnMentorの発表 www.vpnmentor.com 数百万人のエクアドル国民に影響が及ぶ可能性がある大規模なデータを発見した。 発見したのはvpnMentor...

はてなブックマーク - 脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog はてなブックマークに追加

CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か

CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か

CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か

エクアドルで、全国民に相当する規模の大規模な個人情報流出が発生/Fiscalía General del Estado/Twitter (CNN) 南米エクアドルで最近、国民ほぼ全員の個人情報がインターネット上に流出した恐れがある。サイバーセキュリティーを手掛ける専門家集団「vpnメンター」が問題を発見し、16日に発表した。 同国の未...

はてなブックマーク - CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か はてなブックマークに追加

CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か

CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か

CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か

エクアドルで、全国民に相当する規模の大規模な個人情報流出が発生/Fiscalía General del Estado/Twitter (CNN) 南米エクアドルで最近、国民ほぼ全員の個人情報がインターネット上に流出した恐れがある。サイバーセキュリティーを手掛ける専門家集団「vpnメンター」が問題を発見し、16日に発表した。 同国の未...

はてなブックマーク - CNN.co.jp : エクアドル、ほぼ全国民の個人情報流出か はてなブックマークに追加

SIMカードの脆弱性を悪用する攻撃「Simjacker」

SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事Android Policeの記事The Next Webの記事Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実の攻撃で使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日~4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)10月3日に発表予定とのことだ。

すべて読む | セキュリティセクション | モバイル | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Twitter、CEOのアカウントが再びハックされる 2019年09月01日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる 2019年08月30日
米国で携帯会社従業員に賄賂を渡して個人情報を入手していたサイバー犯罪者らが起訴される 2019年05月16日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
スマホに隠されている「第2のOS」がもたらす危険 2013年11月15日
SIMカードに脆弱性が発見される。悪用するとSIMカードの乗っ取りが可能に 2013年07月23日
SMS リモートコードの脆弱性を修正した iPhone 3.0.1 リリース 2009年08月03日

意図せず不正アクセスしてしまった

意図せず不正アクセスしてしまった

意図せず不正アクセスしてしまった

久しぶりにFacebookにログインしようと思ったけど、 パスワード忘れたからSMSにワンタイムパスワードを送ってもらった。 そしたらログインできたのは全く関係のない海外のアカウント、多分スペイン語圏の男性の。 めっちゃびっくりしてすぐログアウトした。なんでこんなこと起こるんだよ。 自分の携帯電話番号はもちろん...

はてなブックマーク - 意図せず不正アクセスしてしまった はてなブックマークに追加

ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog

ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog

ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog

ISUCON9 予選においてレギュレーション違反があり、本選出場者の繰り上がり対応を行いました。 経緯としては、マニュアルの制約事項にあった「パスワードを平文で保存すること禁止する」が該当しました。パスワードの保存の規定については、ISUCONの競技の性質上すべてをチェックすることは難しく、参加者の申告に基づき...

はてなブックマーク - ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog はてなブックマークに追加

ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog

ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog

ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog

ISUCON9 予選においてレギュレーション違反があり、本選出場者の繰り上がり対応を行いました。 経緯としては、マニュアルの制約事項にあった「パスワードを平文で保存すること禁止する」が該当しました。パスワードの保存の規定については、ISUCONの競技の性質上すべてをチェックすることは難しく、参加者の申告に基づき...

はてなブックマーク - ISUCON9 レギュレーション違反の対応について : ISUCON公式Blog はてなブックマークに追加

SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは | さくらのナレッジ

SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは | さくらのナレッジ

SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは | さくらのナレッジ

さくらのナレッジ > エンジニア向け > SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは はじめまして、さくらインターネットのやまけんこと、山田健一です。 今回から複数回にわたり、「SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話」と言うことで、SSL/TLSに関する...

はてなブックマーク - SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは | さくらのナレッジ はてなブックマークに追加

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

こんにちは、臼田です。 皆さん、セキュリティ意識してますか?(挨拶 今回はお客様宛にAWSのセキュリティベストプラクティスについて補足・解説したものを汎用化して共有します。 公式のドキュメントだと少し硬くて読みづらいみたいなイメージもあるかと思いますので、こちらの記事を参考に感覚を掴んでいただければと思...

はてなブックマーク - AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO はてなブックマークに追加

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

こんにちは、臼田です。 皆さん、セキュリティ意識してますか?(挨拶 今回はお客様宛にAWSのセキュリティベストプラクティスについて補足・解説したものを汎用化して共有します。 公式のドキュメントだと少し硬くて読みづらいみたいなイメージもあるかと思いますので、こちらの記事を参考に感覚を掴んでいただければと思...

はてなブックマーク - AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO はてなブックマークに追加

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO

こんにちは、臼田です。 皆さん、セキュリティ意識してますか?(挨拶 今回はお客様宛にAWSのセキュリティベストプラクティスについて補足・解説したものを汎用化して共有します。 公式のドキュメントだと少し硬くて読みづらいみたいなイメージもあるかと思いますので、こちらの記事を参考に感覚を掴んでいただければと思...

はてなブックマーク - AWSセキュリティベストプラクティスを実践するに当たって適度に抜粋しながら解説・補足した内容を共有します | DevelopersIO はてなブックマークに追加

ファーウェイ、日本にソースコード公開提案 | 共同通信

ファーウェイ、日本にソースコード公開提案 | 共同通信

ファーウェイ、日本にソースコード公開提案 | 共同通信

中国通信機器大手のファーウェイが、日本政府に対し、製品のプログラムの設計図に当たるソースコードを公開した上で、独自に検証してもらう仕組みを提案していることが3日分かった。安全保障上の懸念払拭が目的。

はてなブックマーク - ファーウェイ、日本にソースコード公開提案 | 共同通信 はてなブックマークに追加

最近流行りのWebスキミングについて調べてみた – SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは 2種類の攻撃手法(+1おまけ) 標的型攻...

はてなブックマーク - 最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ はてなブックマークに追加

最近流行りのWebスキミングについて調べてみた – SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは 2種類の攻撃手法(+1おまけ) 標的型攻...

はてなブックマーク - 最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ はてなブックマークに追加

SMSで送信元を偽装したメッセージを送る · Akaki I/O

SMSで送信元を偽装したメッセージを送る · Akaki I/O

SMSで送信元を偽装したメッセージを送る · Akaki I/O

送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Tw...

はてなブックマーク - SMSで送信元を偽装したメッセージを送る · Akaki I/O はてなブックマークに追加

脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた – piyolog

脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた - piyolog

脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた - piyolog

Netcraftは、2019年5月13日頃にユニクロのオーストラリア向けオンラインショップが改ざんされ、画面上で入力する様々な情報が外部へ流出した可能性があると報告しました。データの送信先や改ざんの手口から、RiskIQなども発表していたmagecartによる攻撃を受けたとみられます。ここでは関連する情報をまとめます。 ユニ...

はてなブックマーク - 脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた - piyolog はてなブックマークに追加

bash の危険な算術式 – どさにっき

bash の危険な算術式 - どさにっき

bash の危険な算術式 - どさにっき

■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式...

はてなブックマーク - bash の危険な算術式 - どさにっき はてなブックマークに追加

滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 – Togetter

滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 - Togetter

滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 - Togetter

Pay騒動後、人々のセキュリティ意識が高まっているのを感じます。2段階と2要素の違いはテストに出るよ!

はてなブックマーク - 滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 - Togetter はてなブックマークに追加

滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 – Togetter

滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 - Togetter

滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 - Togetter

Pay騒動後、人々のセキュリティ意識が高まっているのを感じます。2段階と2要素の違いはテストに出るよ!

はてなブックマーク - 滅びの呪文3文字ってラピュタのシステム担当者やばいのでは?→現代のセキュリティ概念の3要素が詰まってた「古代文明らしからぬセキュリティ意識の高さ」 - Togetter はてなブックマークに追加

Row Level Securityはマルチテナントの銀の弾丸になりうるのか / Row Level Security is silver bullet for multitenancy? – Speaker Deck

Row Level Securityはマルチテナントの銀の弾丸になりうるのか / Row Level Security is silver bullet for multitenancy? - Speaker Deck

Row Level Securityはマルチテナントの銀の弾丸になりうるのか / Row Level Security is silver bullet for multitenancy? - Speaker Deck

Row Level Securityはマルチテナントの銀の弾丸になりうるのか / Row Level Security is silver bullet for multitenancy?

はてなブックマーク - Row Level Securityはマルチテナントの銀の弾丸になりうるのか / Row Level Security is silver bullet for multitenancy? - Speaker Deck はてなブックマークに追加

パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

今や、ほぼ1人1台スマホやパソコンを所有している時代だが、そのパスワードについては、いくら親しい間柄とはいえ、知らされていないことが多い。 家族の誰かが亡くなったとき、その家族のスマホやパソコンを開かなくてはならない事態に陥っても、パスワードという壁に阻まれて、途方に暮れる遺族が増えている。一方で、...

はてなブックマーク - パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準 はてなブックマークに追加

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) – IT・システム判例メモ

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ

SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する...

はてなブックマーク - SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ はてなブックマークに追加

工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞

工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞

工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞

あらゆるモノがネットにつながる「IoT」の波に国内の工場が乗り遅れている。原因の一つはサポートの切れた「老害パソコン」が数十万台規模で稼働していること。生産設備と密接に絡み、更新すると予期せぬ停止を引き起こすリスクがある。だが放置したままではサイバー攻撃の標的になりかねず、対策が急務だ。 千葉県松戸...

はてなブックマーク - 工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞 はてなブックマークに追加

川崎市の区役所がメール誤送信、「証拠隠滅」を図るも失敗 | 日経 xTECH(クロステック)

川崎市の区役所がメール誤送信、「証拠隠滅」を図るも失敗 | 日経 xTECH(クロステック)

川崎市の区役所がメール誤送信、「証拠隠滅」を図るも失敗 | 日経 xTECH(クロステック)

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年8月上旬の注目ニュースは3件。最初は、川崎市中原区のメール誤送信トラブルを取り上げる。 50人のメールアドレスを宛先やccに指定して漏洩(8月5日) 川崎市中原区役所が、メール誤送信によるメールア...

はてなブックマーク - 川崎市の区役所がメール誤送信、「証拠隠滅」を図るも失敗 | 日経 xTECH(クロステック) はてなブックマークに追加

詳報・リクナビ問題 「内定辞退予測」なぜ始めた? 運営元社長が経緯を告白 (1/3) – ITmedia NEWS

詳報・リクナビ問題 「内定辞退予測」なぜ始めた? 運営元社長が経緯を告白 (1/3) - ITmedia NEWS

詳報・リクナビ問題 「内定辞退予測」なぜ始めた? 運営元社長が経緯を告白 (1/3) - ITmedia NEWS

「リクナビ」問題に揺れるリクルートキャリアが、8月26日に記者会見を開催。小林大三社長が登壇し、学生の内定辞退率を予測したデータを企業に販売していた件の背景を語った。採用担当者負担を軽減する狙いでリリースしたが、学生への配慮が不足していた他、社内のチェック体制が機能していなかったという。 就職情報サ...

はてなブックマーク - 詳報・リクナビ問題 「内定辞退予測」なぜ始めた? 運営元社長が経緯を告白 (1/3) - ITmedia NEWS はてなブックマークに追加

宇宙空間で初の犯罪容疑? NASA飛行士、口座不正侵入か | 共同通信

宇宙空間で初の犯罪容疑? NASA飛行士、口座不正侵入か | 共同通信

宇宙空間で初の犯罪容疑? NASA飛行士、口座不正侵入か | 共同通信

【ワシントン共同】米紙ニューヨーク・タイムズは24日、米航空宇宙局(NASA)の女性宇宙飛行士が国際宇宙ステーションから、離婚訴訟中の同性パートナーの銀行口座に不正にアクセスしたとして訴えられていると報じた。宇宙空間で起きた初めての犯罪容疑の可能性があるとして注目している。 パートナーの通報を受けてNASA...

はてなブックマーク - 宇宙空間で初の犯罪容疑? NASA飛行士、口座不正侵入か | 共同通信 はてなブックマークに追加