放浪玉葱

旅行やIT系(主にセキュリティ)の記事を中心としたブログです

9/3 セキュリティトピック

▼ 945名分のアカウントがリスト型攻撃による不正ログイン被害に(アプラスフィナンシャル)
https://scan.netsecurity.ne.jp/article/2018/09/03/41351.html

同サービスにリスト型攻撃と推測されるアクセス

このうち939名のアカウントのメールアドレス、最大298名の口座情報(口座番号は一部非表示)、12名の自宅住所・自宅電話番号・携帯電話番号・会員番号、7名の家族会員氏名が閲覧された可能性があるとのこと。

ここでもリスト型攻撃

▼ 「Monappy」、ホットウォレット内の仮想通貨が盗難 - 高負荷時の不具合突かれる
http://www.security-next.com/097523

ホットウォレット内の仮想通貨「Monacoin」が奪われたもの。「Monappy」に残高を持つ全ユーザーに影響があるという。ただし、全残高の54.2%を保存していたコールドウォレット内の「Monacoin」に関しては影響ないとしている。

同サービスでは、「Monacoin」を送金できる「ギフトコード」のトランザクション管理をデータベースで行っていたが、高負荷時に生じるトランザクション処理の不具合を突かれ、本来1度しか受け取ることのできない「ギフトコード」を複数回利用され、「Monacoin」を窃取されたという。

▼ Burp Suite Enterprise Edition beta now available
https://portswigger.net/blog/burp-suite-enterprise-edition-beta-now-available

Burp のEnterpriseのベータ版がでてますよ。

8/31 セキュリティトピック

▼ Webサーバをセキュアに保つ設定のまとめ
https://qiita.com/ariaki/items/78ed2d3810ad17f72398
簡潔にまとめられています。

▼ カード会員向けサイトにPWリスト攻撃、アカウント945件がログイン許す - アプラス
http://www.security-next.com/097418

アカウント945件がログインを許し、氏名を閲覧された可能性があるという。
くわえてこのうち939件ではメールアドレス、最大298件では口座情報、12件では自宅の住所、電話番号、携帯電話番号、会員番号、7件では家族会員の氏名が閲覧された可能性がある。

使いまわしダメ絶対。

▼ 対応コストともなう「サイバー攻撃」「内部犯行」、43.9%が経験
http://www.security-next.com/097342

内部犯行を抑止するために、「監視」するという手もありますが、それだと息苦しい仕事環境になりかねないですし、難しいですね・・・。

Movable Type におけるクロスサイトスクリプティング脆弱性
https://jvn.jp/jp/JVN89550319/

▼ Physiix/topsi-project-manager
https://github.com/Physiix/topsi-project-manager
デスクトップアプリ。TODO管理表みたいなものかな。

8/30 セキュリティトピック

ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性
https://jvn.jp/jp/JVN69967692/
CVSSのランクは低いですけど、持っている方は要確認ですね。

▼ trimstray/test-your-sysadmin-skills
https://github.com/trimstray/test-your-sysadmin-skills
*nix(Unix系、Linux系など)のシステム管理者向けスキルテスト

Windowsタスクスケジューラの脆弱性、PoCは一部環境のみ動作 - コード修正で広く影響
http://www.security-next.com/097441
先日の脆弱性

8/29 セキュリティトピック

GMOペパボ、情報セキュリティ事業を行う新会社を福岡に設立
http://www.security-next.com/097317
福岡にセキュリティ会社が集まりますね!

Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明
http://www.security-next.com/097343
PoCも公開されているようです。

▼ 「Ghostscript」脆弱性、悪用コード公開済み - 修正版は9月後半
http://www.security-next.com/097360
結構修正箇所の根が深いのでしょうか・・・。

▼ Dopamine
https://github.com/google/dopamine
強化学習アルゴリズム用のプロトタイプ作成フレームワーク

8/28セキュリティトピック

▼ 「Apache Struts 2」脆弱性に実証コード - 地下フォーラムでも不穏な動き
http://www.security-next.com/097247
PoCも公開されているので、早急に対処したほうがいいですね・・・。

CSS Injection ++ - 既存手法の概観と対策
https://speakerdeck.com/lmt_swallow/css-injection-plus-plus-ji-cun-shou-fa-falsegai-guan-todui-ce

8/27 セキュリティトピック

不正アクセスで不祥事対応の内部情報が流出 - 高知県立大
http://www.security-next.com/097151

学内のメールが外部に流出したほか、管理者パスワードが変更され、約20人のユーザー登録が削除されていることが判明した。

ユーザの特性を理解した上で削除したのなら、内部犯行のような・・・。

▼ メールアカウントが不正アクセス被害、スパムの踏み台に - システム開発会社
http://www.security-next.com/097196

従業員のメールアカウントが不正アクセスを受け、迷惑メール送信の踏み台に利用されたことを明らかにした。

フィッシングメールのようなものなのでしょうか。内容が気になります。

▼ 「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定
http://www.security-next.com/096892

購入手続きや申し込み履歴の確認時に2段階認証を適用した。

事態発覚から早く対応できるのはすごいですね。

▼ 第三者からの不正ログインで「よんでんポイント」を他社ポイントへ交換される被害(四国電力
https://scan.netsecurity.ne.jp/article/2018/08/27/41319.html

他社ポイントへの不正交換対象は149名で合計127,430ポイントに及ぶと推定。またIDとパスワードが同社から流出したものではないことも確認済み。

▼ 従業員がカード情報を盗み取りネット通販で不正利用(セキ薬品)
https://scan.netsecurity.ne.jp/article/2018/08/27/41320.html

2018年3月1日から5月21日までカードで支払いをした顧客で該当の従業員が対応した234件のカード情報(番号、名義、有効期限、セキュリティコード)。

店員の不正行為は、お客側ではどうしようもできないのでしょうか。

▼ microctfs
https://github.com/gabemarshall/microctfs

Dockerで動かせるスモールなCTF

8/24 セキュリティトピック

▼ Burp suite 2.0beta
http://releases.portswigger.net/2018/08/20beta.html
新しいのキタ━━━━(゚∀゚)━━━━!!!

Apache Struts2 に任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU93295516/
緊急みたいですね・・。

不正アクセスにより学内情報を添付したメールが全教職員に一斉送信(高知県立大学
https://scan.netsecurity.ne.jp/article/2018/08/24/41313.html