情報更新

last update 09/29 05:07

ツイート検索

 

@ockeghem
サイトメニュー
Twilogユーザー検索

Twilog

 

@ockeghem

徳丸 浩@ockeghem

Stats Twitter歴
4,904日(2007/04/28より)
ツイート数
48,400(9.8件/日)

ツイートの並び順 :

表示するツイート :

2020年09月28日(月)9 tweetssource

10時間前

@ockeghem

徳丸 浩@ockeghem

「訴状が届いていないのでコメントできない」というのはよく見かけるが、「訴状が届いたのでコメントする」というのは記憶にない

posted at 21:42:45

10時間前

@ockeghem

徳丸 浩@ockeghem

もし見えたものが本来見えてはいけないものであれば、認可制御不備という脆弱性であり、違法性が問われる可能性があります。なので、IPAに届け出するのがよいと思います。IPAに届け出しても、違法性が高ければ受付してくれない場合もありますが、まぁ逮捕までには至… ockeghem.pageful.app/post/item/FKdz

posted at 21:36:23

15時間前

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

思った以上に複雑で面倒な話だった。ヨミガナに「ヲ」が含まれている知人から、まさに各所でエラーが起きる・「カナヲ」とかの名前が増えて数年内でエラーが減ればいいのにと教わった。/ 名前のヨミガナというパンドラの箱が開きかかっている|たまにメモする人|note note.com/hiramoto/n/nd4

Retweeted by 徳丸 浩

retweeted at 16:55:36

2020年09月27日(日)5 tweetssource

9月27日

@ockeghem

徳丸 浩@ockeghem

Amazonのレビューで見かけた。これはちょっとかわいそうじゃないか?>『評価の星は本当は5個(10個でも良いくらい)ですが、星の少ないレビューの方がたぶん読んで頂けますので、しばらく星を1個にします』

posted at 15:07:56

2020年09月26日(土)7 tweetssource

9月26日

@ockeghem

徳丸 浩@ockeghem

そういう仕様でサイトを作るという話でしょうか。それは危険です。簡単に他人になりすましができてしまうからです。
それとも、既にあるサイトにそのようにログインするという話でしょうか。提示された方法ではできないですが、プログラムを作れば似たことはできなくはな… ockeghem.pageful.app/post/item/tgSB

posted at 13:25:01

9月26日

@ockeghem

徳丸 浩@ockeghem

そういうマニアックな仕組みは普及しないものですし、利用者側にそういう負担を強いることがナンセンスだと思います。リバースブルートフォース攻撃は安全なパスワードがつけられれば被害にあうことはないので、リバースブルートフォース攻撃が脅威であること自体が問題で… ockeghem.pageful.app/post/item/4oWk

posted at 10:36:32

2020年09月25日(金)11 tweetssource

9月25日

@ockeghem

徳丸 浩@ockeghem

『今回のサービス停止はあくまで横浜銀行の判断によるもの。だが、お客様の混乱を招かないようにするため、ゆうちょ銀行との連携も含めたキャッシュアウトのサービス全体を停止している』 / “ドコモ口座問題が東急駅の出金サービスに波及、横浜銀のシステム改修で数カ月停…” htn.to/2nqqsEfn4G

posted at 23:54:51

9月25日

@ockeghem

徳丸 浩@ockeghem

金額確定しましたか>『最高落札額は、無敗で王位を奪取した第4局分で、金額は驚きの1500万円…日本将棋連盟によると、この日までに全ての落札者から入金が確認されたという』 / “藤井聡太二冠の封じ手オークション、最高落札額通りに正式決定…計2250万円/芸能/デ…” htn.to/2r83bBx4cF

posted at 16:42:29

9月25日

@ockeghem

徳丸 浩@ockeghem

それを丸っと飲み込んで事業者が負担するとなると、「利用者がパスワード管理がいい加減でも事業者側の責任」ということになる。なのでパスワード認証では危なっかしくてやってられないとなる。「前からそうだろ」という指摘もあるだろうが、実ビジネスでそれが可視化されるインパクトは大きいと思う

posted at 13:07:25

9月25日

@ockeghem

徳丸 浩@ockeghem

SBI証券がなりすまし被害を全額補償すると発表した件、エポックメイキングな事例となるかも。「全額補償が当たり前だろ」と感じる人が多いと思うけど、実はパスワードリスト攻撃だとすると利用者の責任が大きいはずで、それを丸っと飲み込んで事業者が負担するとなると…(続く)

posted at 13:06:39

9月25日

@ockeghem

徳丸 浩@ockeghem

ついでのように書きますが、りそな銀行のオンラインバンキングは「戻る」ボタンで問答無用でログアウトされます

posted at 12:44:25

9月25日

@ockeghem

徳丸 浩@ockeghem

あと、りそな銀行もログインID設定できますね。なぜか英数字混じりでないと登録できない謎仕様なので、「ockeghem」では登録できない。こちらは、「ログインIDをユーザが決める権利」があまり尊重されていませんw

posted at 12:38:38

9月25日

@ockeghem

徳丸 浩@ockeghem

SBI証券のログインIDはユーザーが自由に変更できるのでパスワードリスト攻撃が疑われているわけですが、実は住信SBIネット銀行もログインIDをユーザーが設定できます。銀行でこの仕様は珍しい。SBIは「ログインIDをユーザが決める権利」を尊重してるのかもしれません(謎

posted at 12:33:54

9月25日

@tetsutalow

上原 哲太郎/Tetsu. Uehara@tetsutalow

認証要素は記憶・所有・生体の3種あるが、多要素認証では種別が違うものを使うのが原則。第2パスワードだと記憶だけだからね。本件は2パスワードが同一でも許していた時期に登録した古いユーザが被害にあったようだ。 / “客の使い回しパスワード悪用か SBI証券の1億円流出…” htn.to/2FAhJR4xxW

Retweeted by 徳丸 浩

retweeted at 08:39:48

9月25日

@ockeghem

徳丸 浩@ockeghem

ユーザIDが自由に変更できることもあり、パスワードリスト攻撃の可能性。被害にあった6人は、ログインと取引で同じパスワードを使っていた / “客の使い回しパスワード悪用か SBI証券の1億円流出:朝日新聞デジタル” htn.to/yUWp6pwwSq

posted at 07:41:43

2020年09月24日(木)11 tweetssource

9月24日

@ockeghem

徳丸 浩@ockeghem

@ken5scal その気持よく分かりますが、YouTubeを始めて編集のために自分の声を長時間聞かざるを得ない体験を経て、あまりムズムズしなくなりましたw

posted at 23:25:29

9月24日

@ockeghem

徳丸 浩@ockeghem

Q2: mijicaの件で質問する。9月8日に不正利用が発覚したことを受けて、9月11日から上限を変更している。9月10日の総務省ヒアリングで、ゆうちょ銀行口座が多数の決済システムで不正引き出しが確認されている。その状況にもかかわらず、mijica送金サービスを停止、公表しなかったのはなぜか?

posted at 12:31:45

9月24日

@ockeghem

徳丸 浩@ockeghem

こちらはカンニングペーパーとして。私は2019年5月9日に、ゆうちょCSIRTに「4桁暗証番号だけでは脆弱では?」と問い合わせ、翌日に『現在、更なる安全性向上の観点から、別要素の追加認証の開発を行っております…』と返信が来ています。ゆうちょPayサービス開始直後ですね

twitter.com/ockeghem/statu

posted at 11:57:01

9月24日

@ockeghem

徳丸 浩@ockeghem

Q1-3: その後2020年5月にIVR認証を即時振替サービスに広げているが時期がずれた理由は?

想定回答: 一度に採用するとトラブルなどに対応しきれない。また、電話を使うため設備の能力的な懸念もあった

posted at 11:44:52

9月24日

@ockeghem

徳丸 浩@ockeghem

Q1-2: その後、2020年3月にゆうちょPayにIVR認証を追加したが、なぜ追加したのか、きっかけや理由はあるのか?

想定回答: 7payの事件を受けてセキュリティを強化する必要があると考えた

posted at 11:44:03

9月24日

@ockeghem

徳丸 浩@ockeghem

高木浩光氏にならって、ゆうちょ銀行会見第2回用、質問案(ご自由に)
Q1: 2019年5月ゆうちょPayが開始したが、その際には口座紐付けにIVR(音声自動応答)認証はなかった。当時はこの仕様で問題ないと考えていたのか?

想定回答: アプリ側でSMS認証があり、そちらで本人特定ができると考えていた

posted at 11:43:35

9月24日

@ockeghem

徳丸 浩@ockeghem

『送金する際の認証方法はウェブ上でIDとパスワードを使ってログインした上で、カードの裏面に記載されている番号を入力する仕組みでしたが、入力を何度間違えてもロックがかからない仕様だった』 / “ゆうちょ銀行「mijica」で不正送金|日テレNEWS24” htn.to/2naJMXddGC

posted at 09:07:55

9月24日

@ockeghem

徳丸 浩@ockeghem

そりゃ被害自体は止まらないよね>『送金は、1回5万円を限度に月10回可能だった。8日に不正利用が発覚し、11日から1回1万円まで月3回に変更したが、被害は止まらなかった』 / “ゆうちょ銀送金も悪用 デビッドプリカ「mijica」被害 - 産経ニュース” htn.to/b51XEW4enf

posted at 08:18:18

2020年09月23日(水)16 tweetssource

9月23日

@HiromitsuTakagi

Hiromitsu Takagi@HiromitsuTakagi

改変後のNHK記事によると、5桁らしい。
www3.nhk.or.jp/news/html/2020
「送金するにはログインIDとパスワードに加えて、カードの裏面に記載されている5ケタの数字を入力する必要がありますが、不正なアクセスでこの数字も入力されるなどして、セキュリティーが破られていたということです。」

Retweeted by 徳丸 浩

retweeted at 20:59:29

9月23日

@ockeghem

徳丸 浩@ockeghem

『ミヂカのカードを保有していなければ、被害には遭わないとみられる。逆に郵便局などでミヂカのカードを作っている場合は、ゆうちょ口座に不審な出金がないかをいま一度チェックしたほうがよさそうだ』 / “知らぬ間に9万円送金、残高258円「切実なお金が…」:朝日新聞デ…” htn.to/2ZRBpcB2Z9

posted at 18:25:51

9月23日

@ockeghem

徳丸 浩@ockeghem

ゆうちょ銀行のデビットカード・プリペイドカードの「mijica」で、何者かに貯金を引き出され、送金されるなどの被害が出た。先月から今月にかけて54人が被害にあい、被害額は合わせて332万円余り / “ゆうちょ銀行 デビットカードで不正送金の被害と発表 | 電子決済 不正引…” htn.to/4uovkwwMLS

posted at 12:37:25

9月23日

@ockeghem

徳丸 浩@ockeghem

@SAJDI4411 ワンタイムパスワードで守れると攻撃と守れない攻撃があります。安全性が増すことは間違いありませんが、たとえば、フィッシングの場合だと、ワンタイムパスワードを回避する攻撃もありえます。

posted at 12:28:44

9月23日

@ockeghem

徳丸 浩@ockeghem

『「Aさんの口座から1万円引き落としてください」という請求がドコモから銀行に届いたとき、それが本当にAさんからの請求なのかどうかを確認する責任は銀行にあります。銀行以外には確認する方法がありません』 / “「銀行はみんなで赤信号渡った」 ドコモ口座の落とし穴:…” htn.to/3dttpN7Pw4

posted at 10:10:27

このページの先頭へ