徳丸浩(ockeghem)
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy
- カード会社からの指摘で判明。2020年2月24日~2024年10月15日の期間、30,712件のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “IKETEI ONLINE” htn.to/2b2UKqqD7g
- 4月15日(火)14時からオンラインセミナーにて登壇します。ウェブセキュリティの基本です / "Djangoセキュリティセミナー~専門家の話を聞いてみよう!~ | Peatix" htn.to/2kivgzxzq5
- JWTのHS256署名の鍵が脆弱なのを見つけてバグバウンティで1万ドル稼いだという記事なのだけど本当か確認しようがない。Mediumはこんな記事ばっかりの印象。 / “I Found a Critical Bug in JWT Authentication and Earned $10,000 — Here’s How You Can Too!” htn.to/3HGzCT4W2n
- 楽天モバイルは不自然なアクセスをIPアドレス単位で監視していたが、少年グループは中継サーバーでIPアドレスを頻繁に変更し対策を回避していた / “楽天モバイル、少年が突いた「回線」「ログイン」2つの隙 - 日本経済新聞” htn.to/32z6Ln5QM8
- 楽天モバイルの不正契約事件で中高生3人が逮捕。不正に取得した回線を使いPayPayでチケット詐欺を行い約30万円を詐取。これは3つ目の摘発グループで、容疑者らはオンラインカジノに使用と供述 / “楽天モバイル不正契約、売却された回線使いPayPayでチケット代詐取か…別の中高生3人逮捕” htn.to/21qGTuCCxg
- システム会社庁からの連絡で判明。2024年6月5日~2024年12月5日の期間、6,342名のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 /“弊社が運営する「お茶の荒畑園公式サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/jrNAf6kLbe
- 年単位で考えれば偏りはあると思いますが、月日で見れば誕生日までであり、3ヶ月前から更新可能ということなので、ある程度分散は考えられていると思います。 #mond_ockeghem mond.how/ja/topics/6c...
- 提供側による予測生成の抑止を回避するだけで、能力が上がっているわけではないような / “ChatGPTの予測能力を爆上げするプロンプトが判明、「物語プロンプト」とはいったい何か? 【生成AI事件簿】ロシアによるウクライナ戦争の帰趨についても驚きの回答が | JBpress” htn.to/2eV8xBhCgo
- 少年は通信回線を売却してグループの活動資金を得るためと供述。横浜市の中高生2人は報酬なしで参加し、グループでの肩書きやプログラミング技術を認めてもらうことを求めて示に従ったと話している / “楽天モバイル不正契約、無職17歳は「主席」…中高生2人は「治局委員」の役職” htn.to/eGwQzJurjC
- 記事の冒頭にちゃんと「Windows系システム上でCGIモードで実行されているPHPに影響」と書いてあるのだけど、そんな環境が結構あるの? / “PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア” htn.to/2dHXmmFzHV
- これは中々難しいところで、生成AIが作るプログラムに一定割合脆弱性があるというのは研究が進んでいる分野であり、私が手元で試した範囲でも結構脆弱性のあるコードを見かけます。これは、最近のモデルでもあまり変わってい… (残り670字) #mond_ockeghem mond.how/ja/topics/5l...
- 脆弱性の実習環境を作っていると、変な機能が欲しくなるときがあります。npmでパッケージの複数バージョンを共存させたくなったのですが、ChatGPTに聞いたらエイリアスで可能とのこと。確かにできました。以下はその方法に関するazuさんのブログ記事です efcl.info/2016/05/02/n...
- 3月21日(金)14:00~オンライン登壇します。お申し込みいただいた方に抽選で5人の方に徳丸本プレゼントだそうです / “第一人者が語るセミナー)WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか(サイン本プレゼント)” htn.to/8XNaoUonwY
- ChatGPTとClaudeに課金しているのに、日常的には、課金していないGeminiを使うことが多い。なぜかは自分でもよくわからないw
- 今 jwt.io 見たら、前の仕様に戻っていました。新仕様は不評だったのかな。私の用途には使いにくかったので、戻ったのは嬉しいのですが。
- jwt.io みたら、画面の雰囲気が前と違う…DecoderとEncoderを分離したのですね。前はまぜこぜで「良きに計らう」感じでしたが、明確に分けたのですね。
- 生成AI利用としては並のレベルだが、子供がこれをする方が驚きだね>「テレグラム」を通じて知り合った人物から、20億件超のIDとパスワードのセットを購入していた / “生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕” htn.to/AkNWGDknkD
- 『「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた』 / “SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識” htn.to/452CBSsAie
- 青森県警察本部サイバー対策課からの指摘で判明。2021年4月5日~2024年5月28日の期間、1,198名のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ” htn.to/29FproyzYX
- 「前にもあった」のはこちら。昨年11月の京都の事例 "「詐欺では?」交番訪ねた市民に警察官「矛盾ない」 直接電話も見抜けず 80万円被害" news.tv-asahi.co.jp/news_society...
- 交番に相談したけど結局だまされたのって前にもあったなぁ。どこに相談するのが正解なのだろうか? / “詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局130万円被害” htn.to/2XrifBTbx3
- GNU Core Utilitiesにbasencというbase64やbase64urlのデコード・エンコードができるツールが追加されたのですね。Ubuntu 20.04にはないけど、Ubuntu22.04以降には含まれています / “basencコマンド: base64urlのencode/decodeが可能なツール - Qiita” htn.to/LoRnkaQUR6
- Gmailに時々変な広告が出稿されていますが、今見たら「NHKプラス」の広告があって、変だなーと思い確認したら、偽NHKプラスでした
- 交番に相談したけど結局だまされたのって前にもあったなぁ。どこに相談するのが正解なのだろうか? / “詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局130万円被害” htn.to/2XrifBTbx3
- jwt.io みたら、画面の雰囲気が前と違う…DecoderとEncoderを分離したのですね。前はまぜこぜで「良きに計らう」感じでしたが、明確に分けたのですね。
- 2021年4月13日~2024年7月26日の期間、7,455名のクレジットカード情報(セキュリティコード含む)。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “[PDF]弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/Vqbo3EmAPm
- 「この脆弱性はCWEのどれに該当しますか?」という質問をよくするのですが、わりとあてにならない回答が返ってきますね。今もGeminiが CWE-807: Reliance on Client-side Enforcement of Security Boundaries というのを返したけど、これはCWE-602とCWE-807が混ざった感じ
- わかりやすいまとめ。世の中にはこういうのがいっぱいあるようですぞ / “自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記 はてな支店” htn.to/2Ax7QvCkHr
- 「世界に比べてかなり遅れている」かどうかの評価は難しいですね。どの国と比較するのか、どの項目を評価するのかを定義する必要があります。 令和6年の情報通信白書には以下のようなグラフが掲載されておりまして… (残り457字|画像1枚) #mond_ockeghem mond.how/ja/topics/wl...
- 能動的サイバー防御が日本国憲法と折り合いがつくのかは以前から議論のあったところで、記事にもあるように、「これなら合憲の範囲で可能」という落としどころになったのだとは思いますが、抵触するかどうかはかなりグレーでは… (残り72字) #mond_ockeghem mond.how/ja/topics/6a...
- 立法趣旨はご認識の通りかと思いますし、立法された当時法務省主催の説明会があり、私も含めてセキュリティ専門家が多数出席して、参照された資料と同じ趣旨の説明がなされていました。これなら大丈夫かなと私は思ったのですが… (残り499字) #mond_ockeghem mond.how/ja/topics/w4...
- GeminiにCookie Monster Bugについて質問したら、僕のブログが参照されていた。ちくしょう、なんか嬉しいw
- 最近のパスワードマネージャはクラウドでパスワードを同期するものが主流ですので、別端末であっても、パスワードの同期がとれていれば①、②とも解決できます。また、パスワードを表示して手入力する行為はフィッシングに脆弱… (残り627字) #mond_ockeghem mond.how/ja/topics/cp...
- ダンス・ダンス・ダンスを読み返したいと思い書棚を探したら、文庫本が2冊出てきたので、これだと思って読み始めた後に、上巻が2冊であることに気づいた。下巻は探したら出てきたけど、なぜ上巻が2冊あるのかは全然覚えていない…
- Notionを初めて使った時の印象は、懐かしのNotes/Domino(Lotus→IBM→HCL)みたいだなというもので、検索してみるとNotes/Dominoと比較してる記事もありますね。
- 「意味」が全くないとは言えないと思いますが、現実的な攻撃シナリオで防御的な効果があるかというと微妙ですよね。ひょっとしたら、「利用者が設定しているのだから」という理由かもしれません。パスキーを使うということはパ… (残り115字) #mond_ockeghem mond.how/ja/topics/pz...
- ChatGPTとGeminiに「君臨すれども統治せず」の解説をしてもらったところ、ChatGPTは日本の天皇制も該当すると答え、Geminiは英国のみだったので、Geminiに「日本の天皇制も該当しますか?」と質問したら、政治的な質問には回答できないとの応答。Geminiは厳し目なのね。
- ご指摘のとおりで、バス名(ディレクトリ名)で区分けするタイプのレンタルサーバーは、ホスト上のすべてのコンテンツが同一オリジン上にあります。具体的には、以下の2サイトは同じオリジンです。 https://exa… (残り1221字) #mond_ockeghem https://mond.how/ja/topics/rdyj0fwf55qbevp/9ke1r6n2osi937e
- > 「このようなディテール」「できるだけ詳しく」という漠然とした表現では、他に知りたい内容がわかりません。 これは「あるある」の状況ですね。質問する側は何を説明したらよいか分からない、回答する側は漠然とした質… (残り2581字) #mond_ockeghem mond.how/ja/topics/2t...
- オンライン登壇します。2月19日14時から。ウェブセキュリティの基本の講演とパネルディスカッション「コンシューマー向けビジネスのセキュリティと無人化」 / “コンシューマー向けビジネスのセキュリティと無人化と事例解説(徳丸先生登壇決定!” htn.to/38SUBaZxgC
- Debianのコードネームはbullseyeとかbookwormとか覚えらないのだけど、Dukeは覚えられそう。どうせならDebain13がDukeだとよいのに、Debian13はtrixie(覚えられない) / “Debian 15のコードネームは“Duke”に決定” htn.to/2bJr55E9JT
- 一般論としてパスワードの有効期限を設けることは現在では否定されています。 それはそれとして、「パスワードを変更するまでログインできません」というのは、どうやってパスワードを変更するのでしょうか。パスワードリセッ… (残り364字) #mond_ockeghem mond.how/ja/topics/0a...
- お名前コムで.GO\.JP登録できるのかなと思い、FOOBAR\.GO\.JPの登録を途中まで試して資格審査の手前でやめたのだけど、その後お名前から 【foobar\.go\.jp】が無くなる前に入手しましょう! 「foobar\.go\.jp」のドメインの登録は早い者勝ちとなります。 と頻繁にメールが来るのでうざい。無くならんでしょw
- 件の記事は、よく分かっているプロが、「無許可でやってよい範囲に限定して」違法性がないように注意深くやっているのでセーフなのですが、「面白いので皆もやってみよう」というわけではないですね。 devblog.lac.co.jp/entry/20250124 #mond_ockeghem mond.how/ja/topics/ps...
- 新婚旅行の宿泊先ホテルのタブレットの脆弱性を配偶者が寝ている間にハックした話。面白い / “高級ホテルの客室タブレットに潜む危険:他客室も操作、盗聴可能だった脆弱性を発見するまで - ラック・セキュリティごった煮ブログ” htn.to/2o8ywZWA1C
- 言われてみればその通りで、世界の潮流から取り残されても困るし、トランプ政権が「失われた4年間」になると / “パリ協定再離脱、米石油・ガス業界は反対 トランプ政権と異例の不協和音” htn.to/3HJA6WkCeS
- 『自衛策として「パスワードを使い回さない、サービスごとに異なるパスワードを設定」「ログイン通知機能を利用し、ログイン履歴も定期的に確認する」「楽天IDのユーザーIDをメールアドレス以外に設定する」といったことを求めています」』 / “【注意】eSIM詐取。楽天モバイルが注意喚起 - すまほん!!” htn.to/4ik9U78CoN
- エムオーテックス社のセミナーに登壇します。オンラインで2月4日(火)14:00~および3月3日(月)14:00~。ECサイトからのXSSによるカード情報漏えいの実演を中心とした内容です / “実演で学ぶ!徳丸浩氏が解説するECサイトへの攻撃手法と情報漏洩対策|LANSCOPE” htn.to/3gNzw6mEGH
- 存外簡単にできるのか?>『2024年7月~8月、クレジットカードの有効性を確認する自作のプログラムを使い、秘匿性の高い通信アプリ「テレグラム」上で、6人分のクレジットカード情報を不正に入手したなど』 / “クレカ情報7000件不正入手か、自作プログラムで違法収集疑い 高校生逮捕” htn.to/tzUNPcgv6j
