1. まとめトップ

2018年9月27日のtwitterセキュリティクラスタ

2018年9月27日のtwitterセキュリティクラスタです。ついOK押しちゃうんですかねえ。

更新日: 2018年09月28日

0 お気に入り 2555 view
お気に入り追加

この記事は私がまとめました

yousukezanさん

amusecraft .jpというドメインが誰かに移転申請されてうっかり承認してしまってトラブルになっているようです

【重要なお知らせ】現在サーバートラブルによりアミューズクラフト関連ブランドがアクセスできない状況ですが、(ブランド名)amusecraft .jpが不正利用されている可能性があります。 現在ドメイン名変更も含め対応中ですので、各ブランドページなどへのアクセスはお控えください。

他人が所有するドメイン名の移転申請をして、持ち主がうっかり承認することを狙う手口か。そして、「相手が承認ボタンを押したことは明白だから違法ではない」と。フィッシングに類似した行為だな>RT

@unisonshift amusecraft.jpのドメインが正規の手段で私に譲り渡された証拠です 例えバリュードメイン外で管理されていたとしても他レジストラで管理されているドメインは承認ボタンを押さない限り移管されません amusecraft側が移管承認ボタンを押されたのは明白です pic.twitter.com/e0qAILK6yZ

@en92 @unisonshift kotobank.jp/word/%E5%81%BD… 世間を知らないって恐いですなー 同種の過去事件概要と判例情報を合わせて情報提供しておきましたよ。 楽しみですね。

@graphene_frame @unisonshift 相手が承認したからこうなったのであって移管申請をすること自体は妨害にはなりませんよ

@AMUSECRAFT_ero そちらが移管を承認したとはいえ納得いかないと言うのであれば5000円〜1万円程お支払致します

@en92 おやおや随分と弱気ですねー 警察はドメイン所有権などすっ飛ばしてサーバー改竄事件と捉えて即捜査するでしょう とっとと原状復帰した方がまだ後々マシかもしれませんよ

@graphene_frame サーバー改竄してないんだが サーバーとドメインは別物だろ

@en92 警察は着手段階では表面しか見ないのでね 過去の事件でもそうでした

@graphene_frame でもこちらにはドメイン移管の証拠があるしそれはバリュードメインが証明してくれるはず

@en92 その道理が通るなら還付金詐欺も架空請求詐欺も無罪放免ですね

@graphene_frame いや、でもドメインの移管申請をしただけでサーバー改竄になるはずないだろ普通

@en92 @graphene_frame 悪意をもってドメイン譲渡依頼申請を行ってるし、正式な契約を結んでいない以上、ドメイン譲渡自体が無効になる可能性が極めて高い。さらに業務妨害で損害賠償請求と刑事罰を受けるリスクを理解しての行為ですよね? あと、アズールレーンのドメイン申請もしてますし明らかに狙ってやってますよね?

あれか。ドメイン管理アドレスは詳しい人のところに届いてるとは限らないと?

@kae_sakura 移管の承認・拒否をするのにはアカウントにログインしておく必要があります 流石に全てのパソコンでバリュードメインのアカウントにログインしてあるなんて事はないと思いますしバリュードメインのアカウントにログインできるのはアカウントのパスワードをしっている人のみなので流石にそれは無いかと

(錯誤を狙った)ドメイン(の不正な)移管の証拠があるしそれはバリュードメインが(警察や裁判所に対して)証明してくれるはず twitter.com/en92/status/10…

これ、ドメイン移管に関する契約書面とかないままゴネすぎると、相手の錯誤を狙ったフィッシング詐欺相当の扱いされる可能性あるっての理解してやってるのかな(´・ω・`) twitter.com/en92/status/10…

@rebornsite 詐欺ではありません、バリュードメインから送られるメールの文章をよく読んで移管拒否をしなかった相手に落ち度があります

JPドメインは、Authコードないからなー…。 けれども、JPRSはレジストリロックがあるから、JPドメインの管理者は活用すべき ※ただし、レジストリロックにレジストラが対応してるとは言ってない(キリッ jprs.jp/about/dom-rule… twitter.com/ockeghem/statu…

株式会社ボーンデジタル、外部からの不正アクセスにより、個人情報と購買履歴情報が漏洩。 対象は「CG-iN」というサイトで、現在サービス停止中。 borndigital.co.jp/information/10…

その他に気になったことはこのあたり。

僕も参加したんだけど、まあ同意見ですかね。見つけ方については「ウェブ健康診断仕様」とかを紹介してもよかったんじゃないかなー。IPAさんで出しているドキュメントなんだし。 twitter.com/mahoyaya/statu…

なんというか、既に脆弱性報告している人をターゲットにするのであれば、実環境でSQLiとかトラバーサルのチェックをやったらどうなる可能性があるのかのもっと具体的な説明とか、報告しても脆弱性として受理されなかったケースの具体的な例とか、そんな話があってもよかったのではと思いました。

まさにその通りで、IPAさんのウェブ健康診断とかAppGoatを紹介するべきだと思いましたね。あの会にいた層は、ほとんどがそのレベルじゃないかと思いました。 https://t.co/hf64FjiXdZ

あ、どうでもいい小ネタですが、説明資料では恐らくこちらの資料を踏襲されていたのか、またBurpがハブられていたのがちょっと面白かったですwできれば仲間に加えてあげてほしい。 ipa.go.jp/files/00005473…

私では思いつかない方法なども知れて良かったです。 ホワイトハッカーの手を借りてバグを修正!BugBounty のススメ|たかやま @takayama|note(ノート) blog.zaim.co.jp/n/nf3194b546a16

pixivのバグバウンティは最近少しずつ増額しています。ちなみに今日30万円に上げました bugbounty.jp/program/0602f8… twitter.com/ooooooo_q/stat…

住信SBIネット銀行がフィッシング被害を重過失認定(補てんなし)>インターネット・バンキングによる口座不正使用補てん規定(個人のお客さま)インターネット・バンキングによる口座不正使用補てん規定(法人のお客さま)改定のお知らせ|住信SBIネット銀行 netbk.co.jp/wpl/NBGate/i90… pic.twitter.com/2sq3byFV0f

1 2