徳丸浩(ockeghem)
@ockeghem.bsky.social
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://youtube.com/@websecstudy
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://youtube.com/@websecstudy
カード会社からの指摘で判明。2020年2月24日~2024年10月15日の期間、30,712件のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “IKETEI ONLINE” htn.to/2b2UKqqD7g
IKETEI ONLINE
htn.to
May 21, 2025 at 5:35 AM
カード会社からの指摘で判明。2020年2月24日~2024年10月15日の期間、30,712件のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “IKETEI ONLINE” htn.to/2b2UKqqD7g
4月15日(火)14時からオンラインセミナーにて登壇します。ウェブセキュリティの基本です / "Djangoセキュリティセミナー~専門家の話を聞いてみよう!~ | Peatix" htn.to/2kivgzxzq5
Djangoセキュリティセミナー~専門家の話を聞いてみよう!~
※満席になっても必ず定員を拡張しますので、満席になった場合は以下のグループをフォローしてお待ちください。https://pythonic-exam.peatix.com/
DXやデ...
htn.to
April 9, 2025 at 1:42 AM
4月15日(火)14時からオンラインセミナーにて登壇します。ウェブセキュリティの基本です / "Djangoセキュリティセミナー~専門家の話を聞いてみよう!~ | Peatix" htn.to/2kivgzxzq5
JWTのHS256署名の鍵が脆弱なのを見つけてバグバウンティで1万ドル稼いだという記事なのだけど本当か確認しようがない。Mediumはこんな記事ばっかりの印象。 / “I Found a Critical Bug in JWT Authentication and Earned $10,000 — Here’s How You Can Too!” htn.to/3HGzCT4W2n
I Found a Critical Bug in JWT Authentication and Earned $10,000 — Here’s How You Can Too!
The Discovery That Changed Everything
htn.to
April 2, 2025 at 11:15 AM
JWTのHS256署名の鍵が脆弱なのを見つけてバグバウンティで1万ドル稼いだという記事なのだけど本当か確認しようがない。Mediumはこんな記事ばっかりの印象。 / “I Found a Critical Bug in JWT Authentication and Earned $10,000 — Here’s How You Can Too!” htn.to/3HGzCT4W2n
楽天モバイルは不自然なアクセスをIPアドレス単位で監視していたが、少年グループは中継サーバーでIPアドレスを頻繁に変更し対策を回避していた / “楽天モバイル、少年が突いた「回線」「ログイン」2つの隙 - 日本経済新聞” htn.to/32z6Ln5QM8
楽天モバイル、少年が突いた「回線」「ログイン」2つの隙 - 日本経済新聞
携帯電話大手「楽天モバイル」の回線が不正契約された事件に絡み、他人名義の同社回線などを使ってコンサートチケットの販売名目で金銭を詐取したとして、警視庁は26日、15〜18歳の少年3人を詐欺などの容疑で逮捕したと発表した。使われた回線は同庁が2月に逮捕した中高生グループが不正契約したものだったとみられる。逮捕されたのは沖縄県南城市の中学3年生(15)と東京都八王子市の高校2年生(17)、同福生市
htn.to
March 27, 2025 at 4:24 AM
楽天モバイルは不自然なアクセスをIPアドレス単位で監視していたが、少年グループは中継サーバーでIPアドレスを頻繁に変更し対策を回避していた / “楽天モバイル、少年が突いた「回線」「ログイン」2つの隙 - 日本経済新聞” htn.to/32z6Ln5QM8
楽天モバイルの不正契約事件で中高生3人が逮捕。不正に取得した回線を使いPayPayでチケット詐欺を行い約30万円を詐取。これは3つ目の摘発グループで、容疑者らはオンラインカジノに使用と供述 / “楽天モバイル不正契約、売却された回線使いPayPayでチケット代詐取か…別の中高生3人逮捕” htn.to/21qGTuCCxg
楽天モバイル不正契約、売却された回線使いPayPayでチケット代詐取か…別の中高生3人逮捕
【読売新聞】 生成AI(人工知能)を悪用したプログラムで携帯大手「楽天モバイル」の通信回線が不正契約された事件で、売却された回線で電子決済サービスを利用し、チケット代を詐取するなどしたとして、警視庁が東京都内の高校2年の男子生徒(1
htn.to
March 26, 2025 at 6:04 AM
楽天モバイルの不正契約事件で中高生3人が逮捕。不正に取得した回線を使いPayPayでチケット詐欺を行い約30万円を詐取。これは3つ目の摘発グループで、容疑者らはオンラインカジノに使用と供述 / “楽天モバイル不正契約、売却された回線使いPayPayでチケット代詐取か…別の中高生3人逮捕” htn.to/21qGTuCCxg
システム会社庁からの連絡で判明。2024年6月5日~2024年12月5日の期間、6,342名のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 /“弊社が運営する「お茶の荒畑園公式サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/jrNAf6kLbe
お茶の荒畑園|「お茶の都」牧之原の荒畑園|
静岡県牧之原市のこだわりの茶園・荒畑園の通販サイト。「お茶づくりは土づくりから」をモットーに生産から販売まで安心安全の一貫体制で日本一のお茶づくりに励んでいます。
htn.to
March 25, 2025 at 8:24 AM
システム会社庁からの連絡で判明。2024年6月5日~2024年12月5日の期間、6,342名のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 /“弊社が運営する「お茶の荒畑園公式サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/jrNAf6kLbe
年単位で考えれば偏りはあると思いますが、月日で見れば誕生日までであり、3ヶ月前から更新可能ということなので、ある程度分散は考えられていると思います。
#mond_ockeghem
mond.how/ja/topics/6c...
#mond_ockeghem
mond.how/ja/topics/6c...
徳丸 浩さんが質問に回答しました | mond
mondでこの回答を読んでみましょう
mond.how
March 24, 2025 at 1:11 AM
年単位で考えれば偏りはあると思いますが、月日で見れば誕生日までであり、3ヶ月前から更新可能ということなので、ある程度分散は考えられていると思います。
#mond_ockeghem
mond.how/ja/topics/6c...
#mond_ockeghem
mond.how/ja/topics/6c...
提供側による予測生成の抑止を回避するだけで、能力が上がっているわけではないような / “ChatGPTの予測能力を爆上げするプロンプトが判明、「物語プロンプト」とはいったい何か? 【生成AI事件簿】ロシアによるウクライナ戦争の帰趨についても驚きの回答が | JBpress” htn.to/2eV8xBhCgo
ChatGPTの予測能力を爆上げするプロンプトが判明、「物語プロンプト」とはいったい何か? 【生成AI事件簿】ロシアによるウクライナ戦争の帰趨についても驚きの回答が | JBpress (ジェイビープレス)
質問すれば何でも答えてくれる、便利な生成AI。いっそ未来のことも聞けないかというわけで、さまざまな形で生成AIを未来予測に活用する取り組みが行われてきたことは、この連載でも何度か取(1/5)
htn.to
March 23, 2025 at 10:33 AM
提供側による予測生成の抑止を回避するだけで、能力が上がっているわけではないような / “ChatGPTの予測能力を爆上げするプロンプトが判明、「物語プロンプト」とはいったい何か? 【生成AI事件簿】ロシアによるウクライナ戦争の帰趨についても驚きの回答が | JBpress” htn.to/2eV8xBhCgo
少年は通信回線を売却してグループの活動資金を得るためと供述。横浜市の中高生2人は報酬なしで参加し、グループでの肩書きやプログラミング技術を認めてもらうことを求めて示に従ったと話している / “楽天モバイル不正契約、無職17歳は「主席」…中高生2人は「治局委員」の役職” htn.to/eGwQzJurjC
楽天モバイル不正契約、無職17歳は「主席」…中高生2人は「政治局委員」の役職
【読売新聞】 携帯大手「楽天モバイル」のシステムに不正接続し、通信回線を契約した容疑で逮捕された無職少年(17)ら3人は、インターネット上で中傷や挑発的な投稿などの「荒らし行為」を繰り返すグループのメンバーだった。 グループのサイト
htn.to
March 21, 2025 at 11:25 PM
少年は通信回線を売却してグループの活動資金を得るためと供述。横浜市の中高生2人は報酬なしで参加し、グループでの肩書きやプログラミング技術を認めてもらうことを求めて示に従ったと話している / “楽天モバイル不正契約、無職17歳は「主席」…中高生2人は「治局委員」の役職” htn.to/eGwQzJurjC
記事の冒頭にちゃんと「Windows系システム上でCGIモードで実行されているPHPに影響」と書いてあるのだけど、そんな環境が結構あるの? / “PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア” htn.to/2dHXmmFzHV
PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア
Windows環境のPHPに存在する重大な脆弱性(CVE-2024-4577)を悪用し、暗号通貨マイナーやリモートアクセストロイの木馬を仕掛ける攻撃が世界的に急増しています。日本の組織も標的となっており、攻撃者同士が脆弱なサーバーの「占有権」を争う興味深い現象も観測されています。
htn.to
March 21, 2025 at 12:36 PM
記事の冒頭にちゃんと「Windows系システム上でCGIモードで実行されているPHPに影響」と書いてあるのだけど、そんな環境が結構あるの? / “PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア” htn.to/2dHXmmFzHV
これは中々難しいところで、生成AIが作るプログラムに一定割合脆弱性があるというのは研究が進んでいる分野であり、私が手元で試した範囲でも結構脆弱性のあるコードを見かけます。これは、最近のモデルでもあまり変わってい…
(残り670字)
#mond_ockeghem
mond.how/ja/topics/5l...
(残り670字)
#mond_ockeghem
mond.how/ja/topics/5l...
徳丸 浩さんが質問に回答しました | mond
mondでこの回答を読んでみましょう
mond.how
March 21, 2025 at 2:43 AM
これは中々難しいところで、生成AIが作るプログラムに一定割合脆弱性があるというのは研究が進んでいる分野であり、私が手元で試した範囲でも結構脆弱性のあるコードを見かけます。これは、最近のモデルでもあまり変わってい…
(残り670字)
#mond_ockeghem
mond.how/ja/topics/5l...
(残り670字)
#mond_ockeghem
mond.how/ja/topics/5l...
脆弱性の実習環境を作っていると、変な機能が欲しくなるときがあります。npmでパッケージの複数バージョンを共存させたくなったのですが、ChatGPTに聞いたらエイリアスで可能とのこと。確かにできました。以下はその方法に関するazuさんのブログ記事です
efcl.info/2016/05/02/n...
efcl.info/2016/05/02/n...
efcl.info
March 7, 2025 at 3:28 AM
脆弱性の実習環境を作っていると、変な機能が欲しくなるときがあります。npmでパッケージの複数バージョンを共存させたくなったのですが、ChatGPTに聞いたらエイリアスで可能とのこと。確かにできました。以下はその方法に関するazuさんのブログ記事です
efcl.info/2016/05/02/n...
efcl.info/2016/05/02/n...
3月21日(金)14:00~オンライン登壇します。お申し込みいただいた方に抽選で5人の方に徳丸本プレゼントだそうです / “第一人者が語るセミナー)WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか(サイン本プレゼント)” htn.to/8XNaoUonwY
第一人者が語るセミナー)WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか(サイン本プレゼント)
2025-03-21(金)14:00 - 17:00 「WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか(サイン本プレゼント)」
~ウェブセキュリティの第一人者の徳丸先生、DX、ウェブマーケティングの第一人者の上島千鶴氏、CMSビジネスの有識者 吉政忠志氏による濃密トーク~
こんにちは。プライム・ストラテジーの吉政でございます。
この度、DX、ウェブマーケティングの第...
htn.to
March 6, 2025 at 2:23 PM
3月21日(金)14:00~オンライン登壇します。お申し込みいただいた方に抽選で5人の方に徳丸本プレゼントだそうです / “第一人者が語るセミナー)WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか(サイン本プレゼント)” htn.to/8XNaoUonwY
ChatGPTとClaudeに課金しているのに、日常的には、課金していないGeminiを使うことが多い。なぜかは自分でもよくわからないw
March 6, 2025 at 2:28 AM
ChatGPTとClaudeに課金しているのに、日常的には、課金していないGeminiを使うことが多い。なぜかは自分でもよくわからないw
生成AI利用としては並のレベルだが、子供がこれをする方が驚きだね>「テレグラム」を通じて知り合った人物から、20億件超のIDとパスワードのセットを購入していた / “生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕” htn.to/AkNWGDknkD
生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕
【読売新聞】 携帯大手「楽天モバイル」のシステムに自作プログラムで不正ログインし、通信回線を契約したとして、警視庁が14~16歳の中高生3人を不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕したことがわかった。対話型生成AI(
htn.to
February 27, 2025 at 9:27 AM
生成AI利用としては並のレベルだが、子供がこれをする方が驚きだね>「テレグラム」を通じて知り合った人物から、20億件超のIDとパスワードのセットを購入していた / “生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕” htn.to/AkNWGDknkD
『「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた』 / “SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識” htn.to/452CBSsAie
SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識
Gmailの二要素認証がまもなく大きく変わる。GoogleはSMSで認証コードを送付する方式を廃止し、パスキーやQRコードに切り替える方針だ。
htn.to
February 26, 2025 at 2:29 PM
『「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた』 / “SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識” htn.to/452CBSsAie
青森県警察本部サイバー対策課からの指摘で判明。2021年4月5日~2024年5月28日の期間、1,198名のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる
個人情報漏えいに関するお詫びとお知らせ” htn.to/29FproyzYX
個人情報漏えいに関するお詫びとお知らせ” htn.to/29FproyzYX
柏崎青果オンラインショップ
htn.to
February 25, 2025 at 1:24 PM
青森県警察本部サイバー対策課からの指摘で判明。2021年4月5日~2024年5月28日の期間、1,198名のクレジットカード情報(セキュリティコード含む)が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる
個人情報漏えいに関するお詫びとお知らせ” htn.to/29FproyzYX
個人情報漏えいに関するお詫びとお知らせ” htn.to/29FproyzYX
「前にもあった」のはこちら。昨年11月の京都の事例
"「詐欺では?」交番訪ねた市民に警察官「矛盾ない」 直接電話も見抜けず 80万円被害"
news.tv-asahi.co.jp/news_society...
"「詐欺では?」交番訪ねた市民に警察官「矛盾ない」 直接電話も見抜けず 80万円被害"
news.tv-asahi.co.jp/news_society...
February 24, 2025 at 7:47 AM
「前にもあった」のはこちら。昨年11月の京都の事例
"「詐欺では?」交番訪ねた市民に警察官「矛盾ない」 直接電話も見抜けず 80万円被害"
news.tv-asahi.co.jp/news_society...
"「詐欺では?」交番訪ねた市民に警察官「矛盾ない」 直接電話も見抜けず 80万円被害"
news.tv-asahi.co.jp/news_society...
GNU Core Utilitiesにbasencというbase64やbase64urlのデコード・エンコードができるツールが追加されたのですね。Ubuntu 20.04にはないけど、Ubuntu22.04以降には含まれています / “basencコマンド: base64urlのencode/decodeが可能なツール - Qiita” htn.to/LoRnkaQUR6
basencコマンド: base64urlのencode/decodeが可能なツール - Qiita
1. はじめにbase64のためのコマンドはあるのに、base64urlのためのコマンドがなくて、みんな頑張ってシェルで変換していたりpythonとかでコードを書いたりしているなー、標準ツールで対…
htn.to
February 23, 2025 at 2:03 PM
GNU Core Utilitiesにbasencというbase64やbase64urlのデコード・エンコードができるツールが追加されたのですね。Ubuntu 20.04にはないけど、Ubuntu22.04以降には含まれています / “basencコマンド: base64urlのencode/decodeが可能なツール - Qiita” htn.to/LoRnkaQUR6
Gmailに時々変な広告が出稿されていますが、今見たら「NHKプラス」の広告があって、変だなーと思い確認したら、偽NHKプラスでした
February 22, 2025 at 7:02 AM
Gmailに時々変な広告が出稿されていますが、今見たら「NHKプラス」の広告があって、変だなーと思い確認したら、偽NHKプラスでした
交番に相談したけど結局だまされたのって前にもあったなぁ。どこに相談するのが正解なのだろうか? / “詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局130万円被害” htn.to/2XrifBTbx3
詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局130万円被害
【読売新聞】 北海道警は21日、釧路市内の70歳代男性が架空請求で計130万円をだまし取られたと発表した。男性は振り込む前に交番で相談したが、警察官が詐欺だと見抜けず、被害を防げなかった。 発表によると、男性は6日、通信事業者社員を
htn.to
February 21, 2025 at 12:59 PM
交番に相談したけど結局だまされたのって前にもあったなぁ。どこに相談するのが正解なのだろうか? / “詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局130万円被害” htn.to/2XrifBTbx3
jwt.io みたら、画面の雰囲気が前と違う…DecoderとEncoderを分離したのですね。前はまぜこぜで「良きに計らう」感じでしたが、明確に分けたのですね。
JWT.IO
JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.
jwt.io
February 21, 2025 at 9:34 AM
jwt.io みたら、画面の雰囲気が前と違う…DecoderとEncoderを分離したのですね。前はまぜこぜで「良きに計らう」感じでしたが、明確に分けたのですね。
2021年4月13日~2024年7月26日の期間、7,455名のクレジットカード情報(セキュリティコード含む)。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “[PDF]弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/Vqbo3EmAPm
htn.to
February 17, 2025 at 2:07 PM
2021年4月13日~2024年7月26日の期間、7,455名のクレジットカード情報(セキュリティコード含む)。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “[PDF]弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/Vqbo3EmAPm
「この脆弱性はCWEのどれに該当しますか?」という質問をよくするのですが、わりとあてにならない回答が返ってきますね。今もGeminiが CWE-807: Reliance on Client-side Enforcement of Security Boundaries というのを返したけど、これはCWE-602とCWE-807が混ざった感じ
February 15, 2025 at 4:29 AM
「この脆弱性はCWEのどれに該当しますか?」という質問をよくするのですが、わりとあてにならない回答が返ってきますね。今もGeminiが CWE-807: Reliance on Client-side Enforcement of Security Boundaries というのを返したけど、これはCWE-602とCWE-807が混ざった感じ