biz.right-on.co.jp/news/topics/11…
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
ライトオンに不正アクセス、会員の個人情報が流出(転載)
biz.right-on.co.jp/news/topics/11…
衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か(転載)
boujeloud.com/c/information/…
ブランド「Bou Jeloud」などの衣料品を扱う通信販売サイト「LINK IT MALL」が不正アクセスを受け、会員のアカウント情報やクレジットカード情報が外部に流出した可能性があることがわかった。
同サイトを運営するリンクイットによれば、ウェブサイトの決済アプリケーションを改ざんされ、2020年4月27日から2021年3月24日にかけて同サイトで商品を購入した顧客6197人が利用したクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。
対象となるクレジットカード情報は6485件で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。また同サイトに登録する顧客のメールアドレスやログインパスワードについても流出した可能性があり、パスワードの初期化を実施したという。
4月20日に決済代行会社から情報流出の可能性について指摘があり問題が発覚。4月30日に警察へ被害を申告し、個人情報保護委員会に対しても7月21日に報告した。
外部事業者による調査は9月29日に終えており、対象となる顧客に対しては、11月4日よりメールで連絡を取って謝罪し、身に覚えのない請求が行われていないか確認するよう求めている。
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん(転載)~想定損害賠償額は5,000万円程度か~
endless-inc.jp/img/news/21110…
パーツクラブ・オンラインからのカード情報漏えい
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん
家具やインテリアの通販ショップに不正アクセス(転載)
kanetaya.com/infomation2021…
バイク関連製品通販サイトで個人情報流出のおそれ - 3Dセキュアも(転載)
tanax.co.jp/motorcycle/top…
インドネシア子会社に対する不正アクセスについて スズキ株式会社 2021年10月22日 suzuki.co.jp/release/d/2021…
suzuki.co.jp/release/d/2021…
三菱電に不正アクセス 情報流出(転載)
news.yahoo.co.jp/pickup/6407711
[KALI LINUX] John the Ripper ~パスワードクラッカー~
John the Ripper
今日は「John the Ripper」というツールをご紹介したいと思います。実際にはほとんど使わず、ヒドラのような他の一般的なツールで代用している人も多いようです。これらのかなり強力なブルートフォースツールの比較については、詳細を説明しません。それらはそれぞれの場面で機能し、使われているので、それぞれの良さがあります。
John the Ripperはオープンソースのパスワードクラッカーで、複数のアルゴリズムを使ってCPUとGPUの両方のパスワードをブルートフォースすることができます。様々な種類のドキュメントやアーカイブのパスワードを解除したり、様々なリソースのシンプルなユーザーパスワードを解除することができます。Johnの欠点は、ハッシュをクラックすることしかできないこと、つまり、暗号化されたファイルを直接扱うことができないことです。プログラムは、例えばオフィス文書を開き、そこにパスワードを入力することなどができません。
以下の例ではすべて、JohnがすでにプリインストールされているKali Linux OSを使って説明します。その他のLinuxディストリビューションをお使いの場合は、以下のコマンドでインストールまたはアップデートの確認を行う必要があります。
# sudo apt-get install john -y
この記事では、例として、暗号化されたアーカイブのパスワードを回復する方法を見てみましょう
まず、問題のファイルのハッシュを計算(抽出)する必要があります。Johnは自分でその方法を知りません。補助的なユーティリティーが必要です。
2つのファイルを作成し、1つは必要な暗号化されたアーカイブ用です。そして2つ目は、ブルートフォースのための私たちのパスワードのデータベース、インターネット上の彼らのヒープの利点です。
分かりやすいようにスクリーンショットを添付しています。
ここで、コマンドで作成したフォルダに移動します。
# cd (ファイルパス)
直接進んでハッシュ自体を抽出し、Test.txtという同じフォルダに保存します。
# zip2john Test.zip > Text.txt
異なるファイル形式からハッシュを抽出する場合は、ZIPを異なるファイル形式に置き換える必要があります。いくつか例を挙げてみましょう。
rarファイルからハッシュを抽出します。
# rar2john Test.rar > Text.txt
7zアーカイブからハッシュを抽出します。
# 7z2john.pl '/mnt/disk_d/Arch/from_kali.7z'
MS Word 2019ファイルからハッシュを抽出します。
# office2john.py '/mnt/disk_d/Share/Secret.docx' 2>/dev/null
Wi-Fiハッキングのためにハンドシェイクからハッシュを抽出する例
# wpapcap2john ~/RT-725140.pcap
キャプチャしたネットワークトラフィックからVNCハンドシェイクのハッシュを抽出した例。このハッシュを使えば、VNCサーバーのパスワードをクラックすることができる。
# vncpcap2john '/home/mial/VNC.pcapng'
ご覧のように、Text.txtファイルが私たちのハッシュで作成されています。
ランニング
最も頻繁に使われるオプションで、これがないとほとんどすべての起動ができないものとして、--mask(パスワードを生成するためのマスク)と--wordlist(パスワードを含む辞書へのパス)を挙げておきます。
辞書攻撃を行うには、辞書(論理)が必要です。まだお持ちでない方は、rockyouをダウンロードしてください。
辞書攻撃を行うには、次のようなコマンドを実行します。
john --wordlist=(辞書ファイル)
辞書とハッシュファイルをjohnの実行ファイルと同じフォルダに入れているので、コマンドは以下のようになります。
john --wordlist='Passwd.txt' Text.txt
そしてVoilaは、パスワードがAdmin123によって選ばれる
マスク攻撃を行うには、次のような形式のコマンドを使用します。
./john --mask=(マスクハッシュ)
例えば、こんな感じです。
./john --mask='?d?d?d?d?d?d' Text.txt
マスク別にパスワードを把握するためのちょっとしたメモをご紹介します。
今回は、John the Ripperの用途の一つをざっと見てみましたが、決してそれだけではありません。
LinuxでJohnを使えない場合は、開発者が気を利かせて、WindowsやMacOSで使える可能性を加えてくれましたが、これはお勧めできません。興味のある方は、インターネット上にたくさんのガイドや記事があります。
以上、ここから先は誠意を持って対応してください この短い記事がどなたかのお役に立てれば幸いです。