スニーカーフリマアプリで個人情報275万件が流出か


スニーカーフリマアプリ「SNKRDUNK」が不正アクセスを受け、会員の個人情報が流出した可能性があることがわかった。

同サービスを運営するSODAによると、データベースに対して不正アクセスが行われたことが2022年6月7日に発覚。確認したところ会員情報275万3400件が外部に流出した可能性があることが明らかとなった。

氏名、住所、電話番号、生年月日、メールアドレス、購入情報、ハッシュ化されたパスワードなどが含まれる。10件に関しては口座情報が含まれていた。

約6割の顧客については、流出した項目が生年月日、メールアドレス、ハッシュ化されたパスワードのみに限られる可能性もあるという。

同社では、警察に被害を相談し、個人情報保護委員会へ報告を行った。対象となる会員に対しては、6月15日よりメールにて経緯の報告と謝罪を行っている。

セキュリティ対策としてウェブアプリケーションファイアウォール(WAF)を導入。脆弱性診断や不正アクセスの監視強化などを実施した。引き続き、調査を継続していくとしている。


出典:スニーカーフリマアプリで個人情報275万件が流出か

ハッカーがバックドア入りのCoinbaseニセウォレットと、MetaMaskニセウォレットを複製し、暗号通貨を盗む / Hackers clone Coinbase, MetaMask mobile wallets to steal your crypto


セキュリティ研究者は、Coinbase、MetaMask、TokenPocket、およびimTokenサービスのトロイの木馬化したモバイル暗号通貨ウォレットアプリケーションを使用する大規模な悪意のある操作を発見しました。

この悪意ある活動は、2022年3月の早い時期に確認されています。研究者は、この活動をSeaFlowerと名付け、"悪名高いLazarus Groupに次いで、Web3ユーザーを標的とする最も技術的に洗練された脅威 "と表現しています。

最近のレポートの中で、悪意のある暗号通貨アプリは本物のアプリと同じですが、デジタル資産にアクセスするためのユーザーのセキュリティフレーズを盗むことができるバックドアが付属していることを指摘しています。

SeaFlowerの活動の背後にある脅威のアクターは、ソースコード内のコメントの言語、インフラの場所、使用されるフレームワークやサービスなどのヒントから、中国と思われます。

アプリの配布

SeaFlowerの操作の最初のステップは、トロイの木馬化したアプリをできるだけ多くのユーザに広めることです。脅威者は、正規のウェブサイトのクローン、SEOポイズニング、およびブラックSEOの手法によってこれを実現します。

また、ソーシャルメディアチャンネル、フォーラム、マルバタイジングなどでアプリケーションが宣伝されている可能性もありますが、主な流通経路は検索サービスです。

研究者は、Baiduエンジンの検索結果がSeaFlowerの操作によって最も影響を受け、大量のトラフィックを悪意のあるサイトに誘導していることを発見しています。

iOSの場合、サイトはプロビジョニングプロファイルを悪用して、デバイスに悪意のあるアプリケーションをサイドロードし、セキュリティ保護を迂回させます。

プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用されます。プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用され、デバイスをアプリケーションコードのテストに使用することができるため、デバイスに不正なアプリケーションを追加するための強力な方法となります。

バックドア付きアプリ

研究者は、SeaFlowerの作者がどのようにバックドアを仕込んだかを調べるため、アプリをリバースエンジニアリングしたところ、すべてのアプリに類似したコードがあることを発見しました。


iOSのMetaMaskアプリの場合、バックドアコードは、シードフレーズの生成時、および暗号化された形で保存される前に起動されます。つまり、脅威者は、新しいウォレットを作成するとき、または新しくインストールされたアプリに既存のウォレットを追加するときに、パスフレーズを傍受することになります。

バックドアコード内で特定された関数の1つである「startupload」は、シードフレーズを盗み出し、正規ベンダーのものを模倣したドメインに送信する役割を担っています。

例えば、この脅威者は、POSTリクエストを使用して、本物の「infura.io」を装う「trx.lnfura[.]org」にパスフレーズを流出させました。同様に、MetaMaskのオリジナルドメインを模倣した'metanask[.]cc'も使用されました。


関数を隠しているクラスは、base64エンコードアルゴリズムを使用して難読化され、RSA暗号システムで暗号化されています。しかし、鍵はハードコードされているため、解析者はバックドアを解読し、コードをテストし、実行時に検証することができます。


バックドアコードは、Android亜種の悪意あるアプリにそれほど熱心に隠されておらず、研究者はそれほど苦労せずに、より多くの機能にアクセスすることができました。

今回発見されたバックドアで特に興味深いのは、React Native BundleをRCTBridgeのインスタンスに直接注入してJavaScriptを読み込ませている点です。

信頼できる情報源

これらの卑劣な脅威から保護するために、暗号通貨ユーザーは、公式アプリストアや開発者のWebサイトなど、信頼できるソースからのみウォレットアプリケーションをダウンロードする必要があります。

iOSユーザーの場合、iOSやmacOSシステムにあらゆるアプリをインストールすることができるため、リクエストの正当性を確認せずにプロビジョニングプロファイルをインストールしたり受け入れたりすること。

CISOが答えられないといけない質問 / Questions a CISO should be able to answer

1*BjUh3X9Lk_Fif93YLjhAMg.jpeg


「賢者とは、すべての答えを知っている者ではなく、何を問うべきかを知っている者である。

これは単なる記事ではなく、CISOとそのチームのための会話のきっかけとなるものです。情報セキュリティ部門が対処しなければならない重要な質問のリストに対して、あなたはどのような答えをお持ちですか?

もちろん、他にも多くの質問がありますが、これらはセキュリティ・プログラムの基礎に過ぎません。

これらの質問には順番があり、最初の質問に対する答えを持たずに最後の質問に答えることは困難です。

  • 情報セキュリティチームの顧客は誰なのか?

  • セキュリティを推進する要因は何か?
    (これには、ビジネス面、技術面、コンプライアンス面が含まれる)

  • ビジネス上の重要なセキュリティ目標は何か。これらは、情報セキュリティチームの顧客と合意していますか?

  • あなたの組織とそれに依存するシステムをどのようにモデル化していますか?

  • 情報を交換する第三者はどこか?

  • 保護する必要のある資産の一覧は何か?それらの資産は誰が所有していますか?誰がそれらを管理していますか?

  • 脅威やリスクは何ですか?

  • あなたが導入しているセキュリティ管理またはプロセスのリストは何ですか?それぞれの成功基準は何ですか?それらが有効であるだけでなく成功していることを、どれくらいの頻度でチェックしていますか?

  • 是正が必要なコンプライアンス違反のリストは何ですか?

  • あなたのコンプライアンスレベルはどの程度ですか?

  • 改善する必要がある脆弱性のリストは何ですか?

  • セキュリティ(またはリスク)レベルはどの程度ですか?

  • 知識ベースはどのように維持されていますか?

  • セキュリティの成熟度はどの程度ですか?
    (これは、あなたのセキュリティではなく、セキュリティを維持・向上させる能力を測定するものです)

  • 情報セキュリティチームの活動をどのように報告していますか?

  • 顧客にセキュリティの価値をどのように報告しますか?

  • あなたのセキュリティレベルを第三者にどのように証明しますか?

  • セキュリティレベルを向上させる(あるいはリスクを低減させる)ために、何を計画していますか?

あなたやあなたのチームが答えを出すのは簡単でしたか、難しかったですか?

もし、これらの質問が簡単すぎると感じたなら、あなたは本当に素晴らしいCISOか、深刻なダンニング・クルーガー症候群に罹っているかのどちらかです。どちらに当てはまるかは、読者の皆さんにお任せします。

出典:Questions a CISO should be able to answer

「群馬デジタルイノベーションチャレンジ」事業におけるメールの宛先の誤りについて


標記について、次のとおり個人情報(メールアドレス)が第三者へ誤送信される事案が発生しました。今後、このようなことがないよう管理、監督を徹底し、再発防止に万全を期してまいります。

概要
 「群馬デジタルイノベーションチャレンジ」事業について、本事業の委託事業者である株式会社上毛新聞社が、参加する児童の保護者に対してメール連絡を行う際、本来「BCC」で送るべきところ、誤って「TO」で送信したもの。
<誤送信された個人情報(メールアドレス)>
(1)「パレイストラ関根」地域ICTクラブ参加者(保護者)9名
(2)「スマイル放課後児童クラブ」地域ICTクラブ参加者(保護者)10名
※(1)、(2)それぞれの参加者間で個人メールアドレスが公開される状態となった。

経過
6月13日(月)
・11時16-17分 個人メールアドレスが公開状態でメール送信(直後に誤送信を覚知)
・11時22分   委託事業者(株式会社上毛新聞社)から群馬県への電話連絡。
         委託事業者に対し、メール削除を依頼。
・11時29-42分 委託事業者が、流出した参加者全員に対し、メール削除を依頼。
※6月14日(火)までに、委託事業者が、順次個別で流出した参加者全員に対して電話連絡を完了予定。

今後の対応
 県は委託事業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底、メール送信時の複数名での確認の徹底等について再度指導・監督する。

NFTプラットフォームの「Known Origin」のDiscordが乗っ取られ、DiscordユーザーのNFTが盗まれる / Known Origin is the latest project to have their Discord compromised


有名なNFTプラットフォームの一つであるKnown OriginのDiscordサーバーが侵害されました。詐欺師はKnown Originの運営を騙って偽の無料NFTミントを宣伝し、ユーザーがウォレットに接続した際に、ユーザーのNFTを盗んでしまうというものでした。

これは、Discordの一連の侵害の中で最新のものです。最近ハッキングされた他のサーバーには、Curiosities、Meta Hunters、Parallel、Goat Society、RFTP、およびGooniezがあります。

週刊OSINT 2022-20号 / Week in OSINT #2022-20

今号も、リンク、ヒント、ツール、その他のOSINT関連のニュースなど、盛りだくさんです。

  • Rekognition
  • Shortemall
  • Journalist's Toolbox
  • Twitter Investigations
  • Imagus
  • Cyberhell


トレーニング: Rekognition

これは最近の情報ではないが、AaronがAWSとRekognitionの世界に飛び込んだ時に再共有したものである。Rekognitionで何が可能かを示すために、彼は2020年のMatt Edmondsonのブログを再共有した。それは、画像からのOCRに関して何が可能かを示し、どのようにAWSが人々から一致する画像を見つけるための自動化を提供できるかを示している。私は自分でテストしていないので、より詳細な情報やスクリーンショットについては、リンク先を参照してください。


ツール: Shortemall

MatterOsintから、興味深い短縮リンクを見つけるための新しいツールが登場した。このツールは、特定のキーワードやキーワードの組み合わせを含むURLの可能性を素早くスキャンする機能を提供する。すべての可能性の順列を作成し、短縮URLをスキャンし、結果のスクリーンショットを作成することができます。


サイト: Journalist's Toolbox

The journalist's toolboxは、農業から山火事まで、倫理から検証まで、あらゆる種類のトピックに関する膨大なリンク集です。校内暴力やホームレスなど、非常に特殊なトピックもあります。また、リソースへの膨大なリンクのほかに、YouTubeチャンネルで興味深いビデオを公開しています。Mike Reilleyさん、これらのリンクを集めてシェアしてくださってありがとうございます。


小技: Twitter Investigations

Ritu GillがTwitterに関する便利なリソースをいくつか紹介しています。Twitterのアカウントを調査するための、とても便利で無料のリソースです。Twitterのアカウントに接続する必要があるものもありますが、そうでないものも多くあります。このようなツールは、アカウントがツイートする時間、どのようなハッシュタグや単語が最も一般的であるか、誰と主にやり取りしているか、その他アカウントについてのより深い洞察を与えることができる分析を提供することができます。シェアありがとうございました。


ツール: Imagus

Jessは、私がまだ知らなかった拡張機能のヒントを教えてくれました。Imagusは、サムネイルにマウスを乗せると、自動的に大きな画像を表示する拡張機能です。また、大きな画像を表示する時間や、カスタムCSS、画像のキャプションの表示など、多くの設定オプションが用意されています。ChromeとFirefoxの両方に対応しており、ソースコードに潜って大きい画像を探そうとする必要がないので便利である。


メディア: Cyber Hell

先週末、ドキュメンタリー映画「Cyber Hell」についての情報が、クリスティーナ・レカティによって共有された。この韓国のドキュメンタリーは、ジャーナリスト、一般人、警察が、女性や10代の若者が虐待を受けたテレグラムグループ、いわゆるNth Room事件(Wikipedia)の管理者を捕らえるという痛ましいストーリーを追っています。写真を精査して手がかりを探すなどして、被害者を特定し、最終的に加害者を追い詰める。平均的な「OSINTストーリー」ではないが、テレグラムでの犯罪行為と、そのような加害者が最終的にどのように捕まるかを示す良い例である。

注:このドキュメンタリーは、犯罪の性質上、すべての人に適しているわけではありません。



オマケ: Assume Nothing!

次の画像は、偽情報がどのように始まるか、そして情報をさまざまな角度から見ることがいかに重要であるかを示す完璧な例です。何事も疑ってかかり、裏付けとなる情報源を探し、調査し、好奇心を持ち続けることです。Nico、この素晴らしい例をありがとうございました。

菊池保健所の職員 新型コロナ濃厚接触者などの個人情報を流出【熊本】


熊本県は、菊池保健所の職員が、新型コロナウイルスの感染者の濃厚接触者などおよそ40人の個人情報を誤って外部に流出させたことを明らかにしました。

県によりますと、2022年6月11日午後6時前、菊池保健所の職員が、過去に新型コロナの感染者への濃厚接触が疑われるなど、PCR検査を受ける必要のある人の氏名など個人情報が含まれたファイルを関係のない事業所に誤って送信したということです。

12日午前、事業所からの連絡で誤送信が発覚したということです。

誤って送信されたファイルには、過去、新型コロナの感染者との接触が疑われる37人分の氏名や年齢、住所のほか、検査を受けた日などが記されていたということです。

県は、事業所に対してファイルの削除してもらったうえ、個人情報流出の被害を受けた事業者に対しても状況の説明を行ったうえで謝罪したということです。

これについて、県は「このたびの個人情報の流出は差別や偏見などの人権侵害を招くおそれがある重大な事案であると認識しており、関係するすべての方々に深くおわび申し上げます」と話しました。

再発防止策として、県は、過去に使用したファイルを再利用せず、送信する際には必ず複数の職員で確認を行うことなどを徹底するとしています。

出典:菊池保健所の職員 新型コロナ濃厚接触者などの個人情報を流出

レンディング大手セルシウス(Celsius)、資金引き出しの一時停止を発表 / Celsius pauses all withdrawals, claims it's due to "extreme market conditions"


セルシウス(Celsius)のプラットフォームは、「極端な市場環境」のため、すべての出金、スワップ、送金を一時停止すると発表した。

最近、セルシウスの資産と償還能力について多くの懸念があり、プラットフォームがコけてデフォルトに追い込まれるのではないかという憶測もある。セルシウスは2022年6月7日に「Damn the Torpedoes, Full Speed Ahead」と題したブログ記事を発表し、「声優」による「誤った情報と混乱の拡散」を非難し、「セルシウスは遅延なく引き出しを処理し続け」、「セルシウスには義務を果たすための準備金(と十分すぎるETH)がある」と約束しました。

セルシオの6月12日の発表では、「流動性と運用を安定させながら、資産を保全・保護するための手段を講じる」ことを期待するというだけで、計画の内容についての詳細は含まれていない。