![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="600" height="199"><rect fill-opacity="0"/></svg>)
固定されたツイート
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="73" height="73"><rect fill-opacity="0"/></svg>)
YouTubeチャンネル「徳丸浩のウェブセキュリティ講座」は体系的なセキュリティ講習ではなく、誤解の多いテーマなどをピンポイントで解説するものです。そのテーマの理解に必要な基礎知識から説明しています。
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="240" height="240"><rect fill-opacity="0"/></svg>)
1
56
158
徳丸 浩
徳丸 浩
4.8万 件のツイート
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="200" height="200"><rect fill-opacity="0"/></svg>)
フォロー
徳丸 浩
@ockeghem
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 株式会社グレスアベイル取締役 IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 j.mp/web-sec-study
徳丸 浩さんのツイート
それを丸っと飲み込んで事業者が負担するとなると、「利用者がパスワード管理がいい加減でも事業者側の責任」ということになる。なのでパスワード認証では危なっかしくてやってられないとなる。「前からそうだろ」という指摘もあるだろうが、実ビジネスでそれが可視化されるインパクトは大きいと思う
1
79
159
このスレッドを表示
SBI証券がなりすまし被害を全額補償すると発表した件、エポックメイキングな事例となるかも。「全額補償が当たり前だろ」と感じる人が多いと思うけど、実はパスワードリスト攻撃だとすると利用者の責任が大きいはずで、それを丸っと飲み込んで事業者が負担するとなると…(続く)
1
122
237
このスレッドを表示
ついでのように書きますが、りそな銀行のオンラインバンキングは「戻る」ボタンで問答無用でログアウトされます
1
11
このスレッドを表示
あと、りそな銀行もログインID設定できますね。なぜか英数字混じりでないと登録できない謎仕様なので、「ockeghem」では登録できない。こちらは、「ログインIDをユーザが決める権利」があまり尊重されていませんw
1
4
17
このスレッドを表示
SBI証券のログインIDはユーザーが自由に変更できるのでパスワードリスト攻撃が疑われているわけですが、実は住信SBIネット銀行もログインIDをユーザーが設定できます。銀行でこの仕様は珍しい。SBIは「ログインIDをユーザが決める権利」を尊重してるのかもしれません(謎
1
10
33
このスレッドを表示
利用したほうがよいか否かは通常は相対的な判断になります。「もっと良い方法」があればそれを使えばよいです。「もっと良い方法」を知らない、あるいは知っていても使いこなせないのであれば、ブラウザにパスワード保存するのは有力な方法かと思います。
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="640" height="335"><rect fill-opacity="0"/></svg>)
7
32
認証要素は記憶・所有・生体の3種あるが、多要素認証では種別が違うものを使うのが原則。第2パスワードだと記憶だけだからね。本件は2パスワードが同一でも許していた時期に登録した古いユーザが被害にあったようだ。 / “客の使い回しパスワード悪用か SBI証券の1億円流出…”
54
82
ユーザIDが自由に変更できることもあり、パスワードリスト攻撃の可能性。被害にあった6人は、ログインと取引で同じパスワードを使っていた / “客の使い回しパスワード悪用か SBI証券の1億円流出:朝日新聞デジタル”
1
85
93
Q2: mijicaの件で質問する。9月8日に不正利用が発覚したことを受けて、9月11日から上限を変更している。9月10日の総務省ヒアリングで、ゆうちょ銀行口座が多数の決済システムで不正引き出しが確認されている。その状況にもかかわらず、mijica送金サービスを停止、公表しなかったのはなぜか?
1
8
14
このスレッドを表示
こちらはカンニングペーパーとして。私は2019年5月9日に、ゆうちょCSIRTに「4桁暗証番号だけでは脆弱では?」と問い合わせ、翌日に『現在、更なる安全性向上の観点から、別要素の追加認証の開発を行っております…』と返信が来ています。ゆうちょPayサービス開始直後ですね
引用ツイート
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="48" height="48"><rect fill-opacity="0"/></svg>)
徳丸 浩
@ockeghem
·
当初の口座登録フローを見てびっくり仰天したので、ゆうちょCSIRTに連絡したら、『ご指摘いただきましたゆうちょPayにつきましても、記憶認証である暗証番号により安
全を図っている所でございますが、現在、更なる安全性向上の観点から、別要素の追加認証の開発を行っております…』と返信が来た
このスレッドを表示
![画像](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="360" height="300"><rect fill-opacity="0"/></svg>)
![画像](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="679" height="444"><rect fill-opacity="0"/></svg>)
1
18
30
このスレッドを表示
Q1-3: その後2020年5月にIVR認証を即時振替サービスに広げているが時期がずれた理由は?
想定回答: 一度に採用するとトラブルなどに対応しきれない。また、電話を使うため設備の能力的な懸念もあった
1
9
13
このスレッドを表示
Q1-2: その後、2020年3月にゆうちょPayにIVR認証を追加したが、なぜ追加したのか、きっかけや理由はあるのか?
想定回答: 7payの事件を受けてセキュリティを強化する必要があると考えた
1
11
17
このスレッドを表示
高木浩光氏にならって、ゆうちょ銀行会見第2回用、質問案(ご自由に)
Q1: 2019年5月ゆうちょPayが開始したが、その際には口座紐付けにIVR(音声自動応答)認証はなかった。当時はこの仕様で問題ないと考えていたのか?
想定回答: アプリ側でSMS認証があり、そちらで本人特定ができると考えていた
1
38
93
このスレッドを表示
どうも『カードの裏面に記載されている番号を入力する仕組みでしたが、入力を何度間違えてもロックがかからない仕様だった』という検証不備があったようです。数字5桁だとブルートフォース攻撃で突破できますね
news24.jp/articles/2020/
引用ツイート
徳丸 浩
@ockeghem
·
返信先: @__kokumotoさん
そうですね。だとすると、フィッシングが、なにかしら検証に脆弱性があったかくらいでしょうか。
1
34
17
『送金する際の認証方法はウェブ上でIDとパスワードを使ってログインした上で、カードの裏面に記載されている番号を入力する仕組みでしたが、入力を何度間違えてもロックがかからない仕様だった』 / “ゆうちょ銀行「mijica」で不正送金|日テレNEWS24”
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="680" height="383"><rect fill-opacity="0"/></svg>)
3
70
78
そりゃ被害自体は止まらないよね>『送金は、1回5万円を限度に月10回可能だった。8日に不正利用が発覚し、11日から1回1万円まで月3回に変更したが、被害は止まらなかった』 / “ゆうちょ銀送金も悪用 デビッドプリカ「mijica」被害 - 産経ニュース”
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="680" height="357"><rect fill-opacity="0"/></svg>)
52
66
何に対して大丈夫なのか不明ですが、少なくともURL間違えただけで逮捕されたりはしません
14
41
“JR九州サイトに不正ログイン 1269件確認、ポイント不正交換1件|【西日本新聞ニュース】”
13
15
改変後のNHK記事によると、5桁らしい。
www3.nhk.or.jp/news/html/2020
「送金するにはログインIDとパスワードに加えて、カードの裏面に記載されている5ケタの数字を入力する必要がありますが、不正なアクセスでこの数字も入力されるなどして、セキュリティーが破られていたということです。」
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="640" height="360"><rect fill-opacity="0"/></svg>)
2
18
16
このスレッドを表示
『また、送金するにはログインIDとパスワードに加えて、カードの裏面に記載されている5ケタの数字を入力する必要がありますが、不正なアクセスでこの数字も入力されるなどして、セキュリティーが破られていたということです』
引用ツイート
徳丸 浩
@ockeghem
·
ゆうちょ銀行のデビットカード・プリペイドカードの「mijica」で、何者かに貯金を引き出され、送金されるなどの被害が出た。先月から今月にかけて54人が被害にあい、被害額は合わせて332万円余り / “ゆうちょ銀行 デビットカードで不正送金の被害と発表 | 電子決済 不正引…” htn.to/4uovkwwMLS
2
19
21
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
続きがあった。これだと既存の正規利用者が不正ログインされたようだが、「送金には、mijica WebにログインするためのID、パスワードに加え、送金時には送金者(被害者) が保有しているカード裏面に記載してあるカードIDの入力が必要となります。」となっているが……。
jp-bank.japanpost.jp/aboutus/press/
このスレッドを表示
![画像](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="618" height="900"><rect fill-opacity="0"/></svg>)
27
18
“[PDF]VISAデビット・プリペイドカードmijica会員間の不正送金による被害について / 2020年9月23日 株式会社ゆうちょ銀行” htn.to/3SW9pFSV4J
4
5
これはフィッシングの線も薄そうだけど
>『男性はミヂカのカードを買い物には使っていたが、送金サービスは一度も使ったことがなかった。ましてや、前日の計9万円の引き出しは、身に覚えがまったくない』
引用ツイート
徳丸 浩
@ockeghem
·
『ミヂカのカードを保有していなければ、被害には遭わないとみられる。逆に郵便局などでミヂカのカードを作っている場合は、ゆうちょ口座に不審な出金がないかをいま一度チェックしたほうがよさそうだ』 / “知らぬ間に9万円送金、残高258円「切実なお金が…」:朝日新聞デ…” htn.to/2ZRBpcB2Z9
11
10
『ミヂカのカードを保有していなければ、被害には遭わないとみられる。逆に郵便局などでミヂカのカードを作っている場合は、ゆうちょ口座に不審な出金がないかをいま一度チェックしたほうがよさそうだ』 / “知らぬ間に9万円送金、残高258円「切実なお金が…」:朝日新聞デ…”
1
98
71
有効ですが、トランザクションを使えば自動的にTOCTOU脆弱性がなくなるというわけではありません。
2
7
mijicaは口座番号と暗証番号ではなく、独自のIDとパスワードで認証しますし、ID(初期はメールアドレス)は好きなものに変更できるようですので、パスワードリスト攻撃などの可能性もあります。
引用ツイート
LeAf58
@LeAf58
·
返信先: @ockeghemさん, @bobcoffeeさん
なぜ不正送金できるのか、口座番号や暗証番号の 漏洩とかないのか?
2
39
40
ゆうちょ銀行のデビットカード・プリペイドカードの「mijica」で、何者かに貯金を引き出され、送金されるなどの被害が出た。先月から今月にかけて54人が被害にあい、被害額は合わせて332万円余り / “ゆうちょ銀行 デビットカードで不正送金の被害と発表 | 電子決済 不正引…”
1
62
53
Twitterを使ってみよう
今すぐ登録して、タイムラインをカスタマイズしましょう。
アカウント作成
![画像](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="612" height="267"><rect fill-opacity="0"/></svg>)
![画像](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="240" height="200"><rect fill-opacity="0"/></svg>)
![画像](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="240" height="157"><rect fill-opacity="0"/></svg>)
トレンド
いまどうしてる?
スポーツ界のレジェンド · トレンド
Charles Barkley
20,634件のツイート
アメリカ合衆国のトレンド
Sufjan Stevens
2,246件のツイート
Bloomberg
昨夜
Trump's TikTok deal: Where it stands and why you should care
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="120" height="80"><rect fill-opacity="0"/></svg>)
Marker by Medium
昨日
The end of the booming mask economy is near
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="120" height="75"><rect fill-opacity="0"/></svg>)
アメリカ合衆国のトレンド
Trav
3,957件のツイート