徳丸浩

59.3K posts

徳丸浩

@ockeghem

徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: youtube.com/@websecstudy 匿名での徳丸への質問はMondから mond.how/ja/ockeghem DMはどなたでも送信可能ですが、返信するとは限りません

東京都blog.tokumaru.org

Joined April 2007

1,595 Following

67.4K Followers

徳丸浩’s posts

「面倒臭いけどカード情報は登録せずに毎回入力した方が良いかもしれないね」←これはよくある誤解で、攻撃側はカード情報を入力するタイミングで盗むので、「登録したほうが漏れにくい」ことになります。

Quote

のんびり

@nonbirimanabo

Oct 3, 2024

タリーズECサイトでクレカ情報5万件以上流出か　不正アクセスで……「深くお詫び」名前や住所、パスワードなどの個人情報も漏洩した可能性があるって最悪すぎる不正アクセスされても犯人を捕まえてくれないだろうし、面倒臭いけどカード情報は登録せずに毎回入力した方が良いかもしれないね

The media could not be played.

The media could not be played.

惜しいな、そこの置き換えは難しいんだよ abema.tv/video/episode/

東京オリンピックに向けてサイバー攻撃が増加するという言説について、私は楽観視というか、まともにとりあっていませんでしたが、状況が変わってきました。準備期間のほとんどないサマータイム導入というサイバーテロによって日本中のシステムが大混乱に陥る事態が現実化しそうですね

弊社の若い衆が『キーボード型PCという発想は無かった』とSlackに書いていて、いや昔はそれがふつ…と書きたいのを我慢している / “Raspberry Pi 4を組み込んだキーボード型のパソコン「Raspberry Pi 400」が登場。スイッチサイエンスにて2021年以降に販売開始予定。｜株式…”

Raspberry Pi 4を組み込んだキーボード型のパソコン「Raspberry Pi 400」が登場。スイッチサイエンスにて2021年以降に販売開始予定。

From prtimes.jp

全銀ネットの「メモリ不足」による障害の件、記事を読んだ多くの人は「物理的なメモリが不足したのだな」と思いそうで、私も最初はそう解釈したのですが、さまざまな記事を読む限りでは、物理的なメモリは足りていたが、ソフト的（設定含む）なメモリ割り当てが不足したと解釈した方が辻褄があいそう

全銀ネットの障害原因、開発言語はやはりC言語だったそうです（インプレスの質問ナイス）。64ビット化によって（整数の?）サイズが増えるが、計算上メモリ割り当て量を増やさなくても足りると見て再コンパイルのみしたが、そのサイズ計算が間違っていた

私は2018年以降のECサイトからのカード情報漏えいのリリースを全て確認していますが、蓄積していたカード情報が漏洩したケースは1件もないです。決済代行事業者から漏れたとか、電話対応のためのメモが漏れたケースならあります。

Quote

ぺんつー

@pen2

Oct 4, 2024

Replying to @ockeghem

「カード情報を入力するタイミングで盗むこともある」が正しくはないでしょうか？

IT企業のCTOという立場から回答します。ご指摘のように、ITエンジニアの持続可能なスキルについては会社側に責任があり、業務に必要なスキルはもちろんのこと、将来にわたってエンジニアとしての業務が遂行できるための… (残り1088文字) #mond_ockeghem

徳丸浩さんが質問に回答しました | mond

これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。

Quote

かずなり | 生成AI×ビジネスハック

@MacopeninSUTABA

Apr 29, 2023

我が名はアシタカ！スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい！

「サイバーセキュリティの教科書」をちょっと前に買って積読していたのですが、読み始めたら、これ素晴らしい本ですね。サイバーセキュリティの入門書ですが、正統的に広範囲の内容をわかりやすく説明しています。類書はいかがわしい本も多いですが、本書はお勧めします

サイバーセキュリティの教科書

From amazon.co.jp

電話番号の例示として、03-1234-5678や03-1111-2222を使うことが多いのですが、これってどうなんだろうと調べたところ、市内局番が 1で始まることはない（特番で予約されているため）ので、上記はありえない電話番号であり、既存の電話番号と重ならないという意味で例示用には適しているらしい

セキュリティクラスタ等がUSBの言葉遊びしているのは、USBに悲しい歴史があるからです。ベネッセはセキュリティソフトでUSBメモリーの使用をシステム的に禁止していましたが、ある派遣社員がスマホを充電のためにパソコンに接続すると、データ転送ができる設定であることに気づきました（続く）

Quote

徳丸浩

@ockeghem

Nov 8, 2023

「USBと書いてあるけどUSBメモリーのことだよね」「うん、USBメモリーと修正された」「でもUSB接続のSSDとかもあるよね」「最近は超小型のもあるしね」「きっと色々ひっくるめて禁止なんだよ」「ちゃんと『色々ひっくるめて禁止』と書いておかないと破る人が出そうだね」「色々とは…」 x.com/rocaz/status/1…

AIで「早期退職しやすそう」と判定された若者の就職が難しくなるが、それはAIでやってよいことなのだろうか? / “若者の早期退職をＡＩが分析名大大学院などが研究｜NHK 東海のニュース” htn.to/9sYnoBA56G

『男性が連絡先を紙に書いてほしいと伝えると、「刑事課」の「刑」の漢字を「形」と間違え、「詐欺」の「詐」の字はごんべんしか書けず、男性が不審に思い通報した』 / “警察官のはずが「刑事」漢字で書けず通報、特殊詐欺グループの男逮捕｜TBS NEWS” htn.to/uVsbjL7cNV

答え合わせ: フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか qiita.com/ockeghem/items #Qiita

より

Quote

徳丸浩

@ockeghem

Apr 30, 2023

これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 x.com/MacopeninSUTAB…

Windows95が出た頃から、職場で一人一台のPCが普及しだしましたが、急にPCを使い始めたおじさんにとっての鬼門がマウス操作、特にドラッグでした。傍で見ていると、変に力が入りすぎて、こわばってしまうのですね。でも、Windows95にはドラッグの練習ソフトが同梱されていました。それがソリティアです

東大最年少准教授『HTTPSなサイトは90%安全』　→詐欺サイトの大半はLet's EncryptでHTTPSですが日経クロステック『発行者が「Let's Encrypt」ならまず詐欺』　→ホワイトハウスはじめ大きな組織もLet's Encrypt使ってますが New!

x=x+1は有名だが、こちらは新鮮だった>『繰り返し構文に使われる「for i」という表現に学生が戸惑うことも例として挙げた。「for you」という英語を連想してしまうからだ』 / “「京大生でもx＝x＋1が分からない」、喜多教授が明かすPython教育の実態”

xtech.nikkei.com

「京大生でもx＝x＋1が分からない」、喜多教授が明かすPython教育の実態

　プログラミング言語「Python」の大規模イベント「PyCon APAC 2023」が2023年10月27日と28日の2日間にわたって開催された。1日目に行われた京都大学国際高等教育院の喜多一教授による基調講演を中心に、イベントの内容をリポートする。

すみません。嘘だろーと思い裏をとったら本当のようです。大変失礼しました。二種免許がいるのではないかとか、事故の際の扱いはどうなるんだろうかとか、疑問は尽きません。 x.com/realherusu/sta

This Post is from a suspended account. Learn more

棋譜に著作権がないという定説を根拠に棋譜あり中継をしているYouTuberが多いと思うので、この判決は結構衝撃が大きいでしょうね / “竜王戦の「棋譜」を無断利用した動画を配信、ユーチューバーに８４０万円支払い命令” htn.to/39HVoMFUr6

ホワイトね…実は、闇バイトに応募してしまった若者が「『ホワイト案件』で検索してした」という連日の報道に、膝に矢を受けたような衝撃を受けていましてね…

Quote

ほよたか

@takahoyo

Nov 1, 2024

ホワイトハッカー自称してるのは信用できない定期

『Web3でGAFAを倒すぞと言いながら下で動いてるのはAWSという悲しさ』という秀逸なブックマークコメントを読んで、せめてAzure上にしておけばと思いました（そうじゃない）

（速報）読売新聞のサイトを見ていたらこれが出た。サイトを見ていただけでボタン等は押していません。これが出た当初はフルスクリーンでないですが、サイト内をクリック等すると、フルスクリーンになります。

ソルトやペッパーの重要性がよくわかる写真！

Quote

ごりちゃん

@prd_xxx

Oct 15, 2024

なるほど、ポテトはもう完全にハッシュ化されたやつになっているな

サンデーモーニングを見ていたら、ドコモ口座がリバースブルートフォースアタックでやられた可能性に触れて、「テクノロジーの進歩でそういうことが可能になった」と言っていたけど、別に（攻撃側の）テクノロジーの進歩は関係ないぞ。（防御側の）認証の退化で可能になったというべきでしょう。

こちら、OpenSSHの脆弱性 CVE-2024-6387 ですが、 RHEL8までは影響なし、RHEL9は影響あり（パッチは未だ） Ubuntuは22.04以降で影響あり、パッチありのようです CentOS7をRHEL9系に上げたサーバーは皮肉にも影響ありになるという（私だ）パッチがあてらない場合はさしあたりIPアドレスの制限など

Quote

RyotaK

@ryotkak

Jul 1, 2024

OpenSSHの任意コード実行、発見者によると 1. デフォルト設定で攻撃が可能 2. 32bit環境においては任意コード実行が可能であることを確認済み 3. 64bit環境においても時間をかければ任意コード実行が可能であると思われるということで、早急に更新をした方が良さそうです！ qualys.com/2024/07/01/cve

無茶言うなよ。できるわけないだろ>『新たな対策として、（家庭用ルーターの）見覚えのない設定変更がなされていないか定期的に確認する。をお願いします』 / “家庭用ルーターの不正利用に関する注意喚起について　警視庁” htn.to/2PzvrpLJ8S

とある通販サイトを使ったのだけど、『メールアドレス・パスワードを保存する』というチェックボックスがあったので嫌な予感がした。案の定、ログイン画面でメールアドレスとパスワードがフィルされる。特定のクッキーによって、サーバー側でパスワードがHTMLにレンダリングされることがわかった（続く

昨日の「NTTデータ＆全銀ネット共同会見」を視聴していますが、例のトラブルは、構造体のサイズ計算を手でやっていて、「単体での計算は正しかったが、4つまとめると境界がずれた」趣旨が説明されているので、アライメントの考慮不足だったようです動画→ youtube.com/watch?v=HOBfx3

Quote

徳丸浩

@ockeghem

Oct 17, 2023

Replying to @kozawa

sizeof(構造体)を手計算していたが、intのサイズが64ビットになって計算間違いが生じた…みたいな妄想は私もしましたw

「どっちが間違っているかは教えない」が古典的なセキュリティベストプラクティスではあるのですが、最近は敢えてそうしていないサイトが増加している、ということは徳丸本2版P490～P492に書いています。

Quote

Sou@アコスタ鶴舞12/14

@nek0_allergy

Oct 14

IDもしくはパスワードが間違ってます ↑ どっちが間違ってるか教えろ

これは良い記事 / “ソフトウェアはなぜバージョンアップしなければならないのか - Qiita”

ソフトウェアはなぜバージョンアップしなければならないのか - Qiita

面白くて、ためになるお話だった /

新卒向け研修資料「テスト文字列に”うんこ”と入れるな」を公開しました｜技術ブログ｜北海道札幌市・宮城県仙台市のVR・ゲーム・システム開発インフィニットループ

From infiniteloop.co.jp

クレジットカードを盗み取る現在の主流の手法は、入力画面を改ざんして、入力中の情報をJavaScriptで盗み取るものなので、セキュリティコードを含めて全部漏れるのが普通です。攻撃側は、とっくに「非保持化対応」しています。

Quote

北山淳也

@JUNKI555

May 21

全部漏れるってどういうことなんだ改正割賦販売法にカード情報の非保持化義務みたいなのなかったっけ、、、 ---- 漏洩した可能性のある情報は以下のとおりです。・カード名義人名・クレジットカード番号・有効期限・セキュリティコード x.com/ockeghem/statu…

2018年6月に改正割賦販売法が施行され、ECサイトはカード情報の非保持・非通過が求められるようになりました。なので、そもそもカード情報はECサイトサーバーには到達しない仕組みが使われています。攻撃側はとっくにこの状況に対応していて、カード情報入力画面から盗む手口に移行しています

Quote

mrnk

@MARUNECK55

Oct 4, 2024

誤解していた。。よくわかってないけど、いわゆる平文的な保存方法はされていないだろうし、その場合盗まれたとしても実害に至る可能性は低い感じって事なのかな？基本的にはカード情報とか登録しないようにしてたけど、どうするのが正解なんだろう・・仕組みがよくわかっていないの判断できない・・ x.com/ockeghem/statu…

ITmediaのAIの記事を読んでいて、次のページを読もうとしてうっかり広告のボタンをクリックしたらこれが出た。閉じようとして色々なショートカットを試すもだめで、CTRL-ALT-DELを使うしかなかった。

「サーバーレスとは、一切のサーバーを持たず全ての処理がブラウザのJavaScriptで完結する方式である」という嘘説明を思いついたけど、だまされる人が続出しそうなので公開を見送ることにした（見送ってない）

職業エンジニアの大半はコンピューターサイエンス(CS)が必要ないとの主張だが、話が逆で、CSを理解していないエンジニアにはCSを必要とする仕事はこないのだ / “コンピューターサイエンスの学習は、職業エンジニアになることを阻害する | Zenn”

コンピューターサイエンスの学習は、職業エンジニアになることを阻害する

水原一平容疑者の事件で、米国では電話やメッセージが録音・記録され、カジュアルに捜査に使われていることがわかりますね。電話の音声が録音・保存されていたところが特に印象に残りました。通話音声は、有名人だから保存していたのか、全部の通話が保存されているのか…

大昔、中国出張の際に、現地のガラケーでなんとか日本のコンテンツが閲覧できないかと色々試したところ、IPアドレスではだめだっけど、ドットなし10進表記なら行けた思い出

Quote

mattn

@mattn_jp

Aug 25, 2024

ビット演算知らないとなぜ ping 2130706433 が 127.0.0.1 宛てになるのか分からないぜ！(それほど知る必要はない) x.com/windymelt/stat…

多くの方に参加いただきありがとうございました。想定正解とその理由をQiitaに投稿しました。 qiita.com/ockeghem/items

Quote

徳丸浩

@ockeghem

Aug 17, 2023

ソルト化ハッシュが話題になっているので、ソルトに対する理解度測定試験問題を作りました。ふるってご参加ください。現在の知識で「これかな?」で答えていただけると幸いです。【問題】パスワードをハッシュ値で保存する際のソルトはどこに保存するのが一般的な実装ですか?

Show this poll

取材等に『パスワードを平文で保存しているウェブサービスはかなりの数に上るだろう』と答えてきましたが、大物がいましたなぁ / “Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 - ITmedia NEWS”

Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表

Facebookが、Facebook、Instagram、Facebook Liteの数億人分のパスワードが社内に可読な状態で保存されていることに1月に気づき、修正したと発表した。該当したユーザーにはこれから連絡する。不正アクセスなどはなかったとしている。

“女性宅の暗証番号ボタンに透明塗料、特殊な光あて４桁を特定…３６歳が侵入”

女性宅の暗証番号ボタンに透明塗料、特殊な光あて４桁を特定…３６歳が侵入

From yomiuri.co.jp