徳丸浩(ockeghem) @ockeghem

IKETEI ONLINE

カード会社からの指摘で判明。2020年2月24日～2024年10月15日の期間、30,712件のクレジットカード情報（セキュリティコード含む）が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “IKETEI ONLINE” htn.to/2b2UKqqD7g

21.05.2025 05:35 — 👍 7 🔁 0 💬 2 📌 0

Djangoセキュリティセミナー～専門家の話を聞いてみよう！～ ※満席になっても必ず定員を拡張しますので、満席になった場合は以下のグループをフォローしてお待ちください。https://pythonic-exam.peatix.com/ DXやデ...

4月15日（火）14時からオンラインセミナーにて登壇します。ウェブセキュリティの基本です / "Djangoセキュリティセミナー～専門家の話を聞いてみよう！～ | Peatix" htn.to/2kivgzxzq5

09.04.2025 01:43 — 👍 7 🔁 0 💬 0 📌 0

I Found a Critical Bug in JWT Authentication and Earned $10,000 — Here’s How You Can Too! The Discovery That Changed Everything

JWTのHS256署名の鍵が脆弱なのを見つけてバグバウンティで1万ドル稼いだという記事なのだけど本当か確認しようがない。Mediumはこんな記事ばっかりの印象。 / “I Found a Critical Bug in JWT Authentication and Earned $10,000 — Here’s How You Can Too!” htn.to/3HGzCT4W2n

02.04.2025 11:15 — 👍 10 🔁 0 💬 0 📌 0

楽天モバイル、少年が突いた「回線｣｢ログイン」2つの隙 - 日本経済新聞 携帯電話大手「楽天モバイル」の回線が不正契約された事件に絡み、他人名義の同社回線などを使ってコンサートチケットの販売名目で金銭を詐取したとして、警視庁は26日、15〜18歳の少年3人を詐欺などの容疑で逮捕したと発表した。使われた回線は同庁が2月に逮捕した中高生グループが不正契約したものだったとみられる。逮捕されたのは沖縄県南城市の中学3年生（15）と東京都八王子市の高校2年生（17）、同福生市

楽天モバイルは不自然なアクセスをIPアドレス単位で監視していたが、少年グループは中継サーバーでIPアドレスを頻繁に変更し対策を回避していた / “楽天モバイル、少年が突いた「回線｣｢ログイン」2つの隙 - 日本経済新聞” htn.to/32z6Ln5QM8

27.03.2025 04:24 — 👍 5 🔁 0 💬 0 📌 0

楽天モバイル不正契約、売却された回線使いＰａｙＰａｙでチケット代詐取か…別の中高生３人逮捕 【読売新聞】　生成ＡＩ（人工知能）を悪用したプログラムで携帯大手「楽天モバイル」の通信回線が不正契約された事件で、売却された回線で電子決済サービスを利用し、チケット代を詐取するなどしたとして、警視庁が東京都内の高校２年の男子生徒（１

楽天モバイルの不正契約事件で中高生3人が逮捕。不正に取得した回線を使いPayPayでチケット詐欺を行い約30万円を詐取。これは3つ目の摘発グループで、容疑者らはオンラインカジノに使用と供述 / “楽天モバイル不正契約、売却された回線使いＰａｙＰａｙでチケット代詐取か…別の中高生３人逮捕” htn.to/21qGTuCCxg

26.03.2025 06:05 — 👍 5 🔁 0 💬 0 📌 0

お茶の荒畑園｜「お茶の都」牧之原の荒畑園｜ 静岡県牧之原市のこだわりの茶園・荒畑園の通販サイト。「お茶づくりは土づくりから」をモットーに生産から販売まで安心安全の一貫体制で日本一のお茶づくりに励んでいます。

システム会社庁からの連絡で判明。2024年6月5日～2024年12月5日の期間、6,342名のクレジットカード情報（セキュリティコード含む）が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 /“弊社が運営する「お茶の荒畑園公式サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/jrNAf6kLbe

25.03.2025 08:24 — 👍 5 🔁 1 💬 1 📌 0

徳丸浩さんが質問に回答しました | mond mondでこの回答を読んでみましょう

年単位で考えれば偏りはあると思いますが、月日で見れば誕生日までであり、3ヶ月前から更新可能ということなので、ある程度分散は考えられていると思います。
#mond_ockeghem
mond.how/ja/topics/6c...

24.03.2025 01:11 — 👍 6 🔁 2 💬 0 📌 0

ChatGPTの予測能力を爆上げするプロンプトが判明、「物語プロンプト」とはいったい何か？【生成AI事件簿】ロシアによるウクライナ戦争の帰趨についても驚きの回答が | JBpress (ジェイビープレス) 質問すれば何でも答えてくれる、便利な生成AI。いっそ未来のことも聞けないかというわけで、さまざまな形で生成AIを未来予測に活用する取り組みが行われてきたことは、この連載でも何度か取(1/5)

提供側による予測生成の抑止を回避するだけで、能力が上がっているわけではないような / “ChatGPTの予測能力を爆上げするプロンプトが判明、「物語プロンプト」とはいったい何か？【生成AI事件簿】ロシアによるウクライナ戦争の帰趨についても驚きの回答が | JBpress” htn.to/2eV8xBhCgo

23.03.2025 10:32 — 👍 6 🔁 1 💬 0 📌 0

楽天モバイル不正契約、無職１７歳は「主席」…中高生２人は「政治局委員」の役職 【読売新聞】　携帯大手「楽天モバイル」のシステムに不正接続し、通信回線を契約した容疑で逮捕された無職少年（１７）ら３人は、インターネット上で中傷や挑発的な投稿などの「荒らし行為」を繰り返すグループのメンバーだった。グループのサイト

少年は通信回線を売却してグループの活動資金を得るためと供述。横浜市の中高生2人は報酬なしで参加し、グループでの肩書きやプログラミング技術を認めてもらうことを求めて示に従ったと話している / “楽天モバイル不正契約、無職１７歳は「主席」…中高生２人は「治局委員」の役職” htn.to/eGwQzJurjC

21.03.2025 23:25 — 👍 5 🔁 1 💬 0 📌 0

PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア Windows環境のPHPに存在する重大な脆弱性（CVE-2024-4577）を悪用し、暗号通貨マイナーやリモートアクセストロイの木馬を仕掛ける攻撃が世界的に急増しています。日本の組織も標的となっており、攻撃者同士が脆弱なサーバーの「占有権」を争う興味深い現象も観測されています。

記事の冒頭にちゃんと「Windows系システム上でCGIモードで実行されているPHPに影響」と書いてあるのだけど、そんな環境が結構あるの? / “PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア” htn.to/2dHXmmFzHV

21.03.2025 12:36 — 👍 6 🔁 1 💬 0 📌 0

徳丸浩さんが質問に回答しました | mond mondでこの回答を読んでみましょう

これは中々難しいところで、生成AIが作るプログラムに一定割合脆弱性があるというのは研究が進んでいる分野であり、私が手元で試した範囲でも結構脆弱性のあるコードを見かけます。これは、最近のモデルでもあまり変わってい…

(残り670字)
#mond_ockeghem
mond.how/ja/topics/5l...

21.03.2025 02:43 — 👍 13 🔁 3 💬 0 📌 0

脆弱性の実習環境を作っていると、変な機能が欲しくなるときがあります。npmでパッケージの複数バージョンを共存させたくなったのですが、ChatGPTに聞いたらエイリアスで可能とのこと。確かにできました。以下はその方法に関するazuさんのブログ記事です
efcl.info/2016/05/02/n...

07.03.2025 03:28 — 👍 2 🔁 0 💬 0 📌 0

第一人者が語るセミナー）WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか（サイン本プレゼント） 2025-03-21（金）14:00 - 17:00 「WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか（サイン本プレゼント）」～ウェブセキュリティの第一人者の徳丸先生、DX、ウェブマーケティングの第一人者の上島千鶴氏、CMSビジネスの有識者　吉政忠志氏による濃密トーク～こんにちは。プライム・ストラテジーの吉政でございます。この度、DX、ウェブマーケティングの第...

3月21日（金）14:00～オンライン登壇します。お申し込みいただいた方に抽選で5人の方に徳丸本プレゼントだそうです / “第一人者が語るセミナー）WebをDXの観点でどう活用するか、ウェブセキュリティ/CMSをどうするか（サイン本プレゼント）” htn.to/8XNaoUonwY

06.03.2025 14:23 — 👍 5 🔁 1 💬 0 📌 0

ChatGPTとClaudeに課金しているのに、日常的には、課金していないGeminiを使うことが多い。なぜかは自分でもよくわからないw

06.03.2025 02:29 — 👍 19 🔁 0 💬 1 📌 0

今 jwt.io 見たら、前の仕様に戻っていました。新仕様は不評だったのかな。私の用途には使いにくかったので、戻ったのは嬉しいのですが。

06.03.2025 00:57 — 👍 6 🔁 0 💬 0 📌 0

生成ＡＩ悪用し楽天モバイルに不正アクセス、１０００件以上の回線入手し転売か…容疑で中高生３人逮捕 【読売新聞】　携帯大手「楽天モバイル」のシステムに自作プログラムで不正ログインし、通信回線を契約したとして、警視庁が１４～１６歳の中高生３人を不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕したことがわかった。対話型生成ＡＩ（

生成AI利用としては並のレベルだが、子供がこれをする方が驚きだね>「テレグラム」を通じて知り合った人物から、２０億件超のＩＤとパスワードのセットを購入していた / “生成ＡＩ悪用し楽天モバイルに不正アクセス、１０００件以上の回線入手し転売か…容疑で中高生３人逮捕” htn.to/AkNWGDknkD

27.02.2025 09:27 — 👍 16 🔁 2 💬 0 📌 1

SMSを使った二要素認証、Googleが廃止へ--なぜ？「実は安全ではない」が業界の常識 Gmailの二要素認証がまもなく大きく変わる。GoogleはSMSで認証コードを送付する方式を廃止し、パスキーやQRコードに切り替える方針だ。

『「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた』 / “SMSを使った二要素認証、Googleが廃止へ--なぜ？「実は安全ではない」が業界の常識” htn.to/452CBSsAie

26.02.2025 14:29 — 👍 13 🔁 9 💬 0 📌 0

柏崎青果オンラインショップ

青森県警察本部サイバー対策課からの指摘で判明。2021年4月5日～2024年5月28日の期間、1,198名のクレジットカード情報（セキュリティコード含む）が漏洩。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる
個人情報漏えいに関するお詫びとお知らせ” htn.to/29FproyzYX

25.02.2025 13:24 — 👍 4 🔁 0 💬 0 📌 0

「前にもあった」のはこちら。昨年11月の京都の事例
"「詐欺では？」交番訪ねた市民に警察官「矛盾ない」　直接電話も見抜けず　80万円被害"
news.tv-asahi.co.jp/news_society...

24.02.2025 07:47 — 👍 6 🔁 4 💬 0 📌 0

basencコマンド: base64urlのencode/decodeが可能なツール - Qiita 1. はじめにbase64のためのコマンドはあるのに、base64urlのためのコマンドがなくて、みんな頑張ってシェルで変換していたりpythonとかでコードを書いたりしているなー、標準ツールで対…

GNU Core Utilitiesにbasencというbase64やbase64urlのデコード・エンコードができるツールが追加されたのですね。Ubuntu 20.04にはないけど、Ubuntu22.04以降には含まれています / “basencコマンド: base64urlのencode/decodeが可能なツール - Qiita” htn.to/LoRnkaQUR6

23.02.2025 14:03 — 👍 16 🔁 6 💬 0 📌 0

Gmailに時々変な広告が出稿されていますが、今見たら「NHKプラス」の広告があって、変だなーと思い確認したら、偽NHKプラスでした

22.02.2025 07:02 — 👍 20 🔁 5 💬 0 📌 0

詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局１３０万円被害 【読売新聞】　北海道警は２１日、釧路市内の７０歳代男性が架空請求で計１３０万円をだまし取られたと発表した。男性は振り込む前に交番で相談したが、警察官が詐欺だと見抜けず、被害を防げなかった。発表によると、男性は６日、通信事業者社員を

交番に相談したけど結局だまされたのって前にもあったなぁ。どこに相談するのが正解なのだろうか? / “詐欺電話つないだまま交番に相談したが…見抜けず「話し合うように」、結局１３０万円被害” htn.to/2XrifBTbx3

21.02.2025 12:59 — 👍 8 🔁 7 💬 0 📌 2

JWT.IO JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

jwt.io みたら、画面の雰囲気が前と違う…DecoderとEncoderを分離したのですね。前はまぜこぜで「良きに計らう」感じでしたが、明確に分けたのですね。

21.02.2025 09:34 — 👍 2 🔁 1 💬 0 📌 1

2021年4月13日～2024年7月26日の期間、7,455名のクレジットカード情報（セキュリティコード含む）。脆弱性をついたペイメントアプリケーションの改ざんといういつもの手口 / “[PDF]弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ” htn.to/Vqbo3EmAPm

17.02.2025 14:07 — 👍 5 🔁 2 💬 0 📌 0

「この脆弱性はCWEのどれに該当しますか?」という質問をよくするのですが、わりとあてにならない回答が返ってきますね。今もGeminiが CWE-807: Reliance on Client-side Enforcement of Security Boundaries というのを返したけど、これはCWE-602とCWE-807が混ざった感じ

15.02.2025 04:29 — 👍 5 🔁 1 💬 0 📌 0

自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記はてな支店 物騒な世の中です。皆様お気をつけください。 3行でまとめ自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです経緯 2024年末に、さくらのApp...

わかりやすいまとめ。世の中にはこういうのがいっぱいあるようですぞ / “自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記はてな支店” htn.to/2Ax7QvCkHr

11.02.2025 14:50 — 👍 13 🔁 11 💬 0 📌 1

徳丸浩さんが質問に回答しました | mond mondでこの回答を読んでみましょう

「世界に比べてかなり遅れている」かどうかの評価は難しいですね。どの国と比較するのか、どの項目を評価するのかを定義する必要があります。
令和6年の情報通信白書には以下のようなグラフが掲載されておりまして…

(残り457字｜画像1枚)
#mond_ockeghem
mond.how/ja/topics/wl...

07.02.2025 06:38 — 👍 4 🔁 0 💬 0 📌 0

徳丸浩さんが質問に回答しました | mond mondでこの回答を読んでみましょう

能動的サイバー防御が日本国憲法と折り合いがつくのかは以前から議論のあったところで、記事にもあるように、「これなら合憲の範囲で可能」という落としどころになったのだとは思いますが、抵触するかどうかはかなりグレーでは…

(残り72字)
#mond_ockeghem
mond.how/ja/topics/6a...

07.02.2025 06:38 — 👍 2 🔁 0 💬 0 📌 0

徳丸浩さんが質問に回答しました | mond mondでこの回答を読んでみましょう

立法趣旨はご認識の通りかと思いますし、立法された当時法務省主催の説明会があり、私も含めてセキュリティ専門家が多数出席して、参照された資料と同じ趣旨の説明がなされていました。これなら大丈夫かなと私は思ったのですが…

(残り499字)
#mond_ockeghem
mond.how/ja/topics/w4...

07.02.2025 02:39 — 👍 6 🔁 0 💬 0 📌 1

GeminiにCookie Monster Bugについて質問したら、僕のブログが参照されていた。ちくしょう、なんか嬉しいw

07.02.2025 02:37 — 👍 19 🔁 1 💬 0 📌 0

徳丸浩(ockeghem)

Latest posts by ockeghem.bsky.social on Bluesky

@ockeghem is following 20 prominent accounts