Intro いつも本ブログを読んで頂いている皆様、そしてセキュリティ関係者の皆様へ。 この度は、筆者による "Eve" に対する不適切な引用、および、原稿内における不名誉な扱いについて、この場を借りて謝罪させていただきます。 Alice と Bob ネットワークやセキュリティ系の解説の中で、プロトコルの送受信を二人の対話構成になぞらえる場合、一方を Alice、もう一方を Bob とする通例があります。 その構成は、業界では長くこの通例が使われており、私的な文書から現場実務まで、あらゆる文書で Alice と Bob は対話を重ねて参りました。 この二人の会話の間で、ひっそりと盗み聞きしている存在が「Eve」です。 C (Charlie), D (Dave) を飛ばしていきなり Eve が登場するのは、盗聴を意味する Eavesdropper に由来していることと、Charlie と Da

GMO Flatt Security、セキュリティ診断AIエージェント「Takumi」リリース自律的に脆弱性を発見・トリアージ。既に0-day脆弱性も発見 GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手 康貴　以下、GMO Flatt Security）は、2025年3月24日より、セキュリティ診断AIエージェント 「Takumi（読み：タクミ　URL：https://flatt.tech/takumi）」 をリリースするとともに、2025年4月7日以降利用開始枠の公開事前登録の受付を本日より開始いたします。 「Takumi」は実証実験においてすでにVim等の著名OSSに0-day脆弱性を報告するなどその性能が示されています。GMO Flatt Securityが長年取り組んで

この記事では、ドコモグループで実施したイベント “dcc Engineer Day 25” において、Telegramを使ったワークショップを開催した様子を紹介します。 はじめに 注意 dcc Engineer Dayについて ワークショップの様子 Telegramとは何か Telegramの活用・悪用事例 アカウント設定とプライバシー メッセージング（チャット） APIとBot 参加者の声 ワークショップを開催してみて おわりに はじめに みなさんこんにちは、イノベーションセンターの遠藤です。Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして活動しています。 NA4Secプロジェクトは「NTTはインターネットを安心、安全にする社会的責務がある」を理念として、攻撃インフラの解明、撲滅を目指すプロジェクトです。 NTT Comイ

Intro OWASP に Cookie Theft 対策の Cheat Sheet を提案し、マージされた。 Cookie Theft 2FA や Passkey の普及により、Password そのものを盗んだとしても、可能な攻撃は限られている。 一方、Session Cookie は、認証済みであることを示し(Proof of Authentication)、かつ持っているだけで効果を発揮する値(Bearer Token)であるため、Password 以上に盗む価値がある。 Session Cookie が盗まれれば、いかに Password を無くしていようが、Passkey をデプロイしていようが、何段階の認証にしようが、全ての努力は水の泡なのだ。 「Session Cookie を盗まれないようにする」のは、サービスにとってはもちろんだが、最近はむしろクライアントの方に攻撃が向

はじめに 本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。 ハッカーとのやりとりの流れ ハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくる Githubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに

2025年2月27日、警視庁は他人の楽天モバイルアカウントに不正アクセスを行い、通信回線の契約を行っていたとして中高生3人を逮捕したと発表しました。不正契約した回線は転売し暗号資産を得ていたと報じられています。ここでは関連する情報をまとめます。 不正契約した大量の楽天モバイル回線を転売 逮捕されたのは中学生2名と高校生1名計3名で、容疑は不正アクセス禁止法違反と電子計算機使用詐欺。2024年5月から8月にかけて、11人分の楽天モバイルのID、パスワードを用いてシステムに不正にログインし、105件のeSIMの回線契約を行った疑い*1がある。中学生Aは「2023年12月以降1000件以上の回線契約を行った」と供述している。 不正に契約して得た通信回線（少なくとも2500回線と報道）は複数の人物に転売を行っており、1回線あたり1000円から3000円で取引され、計750万円相当の暗号資産を得てい

物騒な世の中です。皆様お気をつけください。 3行でまとめ 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです 経緯 2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。 github.com 2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。 どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スター

政府はサイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法案を閣議決定しました。警察や自衛隊が、独立した機関の事前承認を得た上で攻撃元にアクセスし無害化する措置を講じることなどが柱となっています。 目次 導入を目指す背景と経緯は 法案審議のポイント「通信の秘密」との整合性 サイバー空間の安全保障環境が厳しさを増す中、政府は攻撃をしかけようとする相手に先手を打って対抗措置をとる「能動的サイバー防御」を導入するための法案を7日の閣議で決定しました。 法案では、政府が電気や鉄道など重要なインフラの関連事業者と協定を結んだ上で、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにするとともに攻撃を受けた場合の報告を義務づけるとしています。 また、重大な被害を防ぐため、警察や自衛隊は新たに設置する独立機関「サイバー通信情報監理委員会」の承認を得た上で、攻撃元のサーバーなど

Learn more about Chrome Enterprise CorePowerful and flexible management capabilities both in the cloud and on premises, at no additional cost. Learn more Employees love Chrome extensions because they boost productivity, streamline workflows and let them customize their browser. Chrome already helps IT and security teams manage and control extensions, and we’re excited to announce powerful new feat

Clone2Leak: Your Git Credentials Belong To Us Posted on January 26, 2025 • 11 minutes • 2139 words Table of contents Introduction TL;DR Git Credential Protocol GitHub Desktop improper regular expression permits the carriage return smuggling (CVE-2025-23040) Git Credential Manager improper usage of StreamReader allows the carriage return smuggling (CVE-2024-50338) Git LFS newline injection to leak

Impact Undici fetch() uses Math.random() to choose the boundary for a multipart/form-data request. It is known that the output of Math.random() can be predicted if several of its generated values are known. If there is a mechanism in an app that sends multipart requests to an attacker-controlled website, they can use this to leak the necessary values. Therefore, An attacker can tamper with the req

しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し

Intro Chrome チームより提案された Device Bound Session Credentials の実装が進み、Flag 付きで試すことができる。 この提案の背景と、解決する問題、現時点での挙動について解説する。 背景 2FA や Passkey の普及により、認証部分はかなりセキュアになってきた。インシデントによりパスワードが漏洩しても、それだけでなりすましを成立させるのも困難になっている。 そこで攻撃者の注目を集めているのが、Cookie の窃取(Cookie Theft)だ。 認証がいかに堅牢になっても、有効な Session Cookie を盗むことができれば、その値を Cookie フィールドに付与してリクエストするだけで、なりすましを成立させることができる。 いわゆる Session Cookie は、Proof of Authentication として実装さ

「パスキーのすべて」という本を書きました。1 月 28 日に発売する本書の内容について軽く紹介します。 パスキーのすべて 「パスキーのすべて」は米国 OpenID Foundation 理事、OpenID ファウンデーション・ジャパン KYC WG リーダの小岩井さんと、OpenID ファウンデーション・ジャパン 理事・エバンジェリストのくらと一緒に書きました。小岩井さんとは昨年開催したパスキーハッカソンでもご協力頂きましたし、同じイベントで登壇する機会も多く、最近 FIDO 関連に限らず色々とお世話になっています。くらとはもう 10 年以上、ID 界隈のコミュニティで仲良くしてもらっています。二人共気の置けない愉快な仲間たちです。大まかに分担はしましたが、全員が全体に責任を持つという体制で執筆を行い、終盤は何度かみんなで技術評論社の会議室に篭って執筆・レビューするなど、作業そのものを楽し

Hey—we've moved. Visit The Keyword for all the latest news and stories from Google

“Clickjacking” attacks have been around for over a decade, enabling malicious websites to trick users into clicking hidden or disguised buttons they never intended to click . This technique is becoming less practical as modern browsers set all cookies to “SameSite: Lax” by default. Even if an attacker site can frame another website, the framed site would be unauthenticated, because cross-site cook