サイバーセキュリティ月間と「SECCON 2017 決勝大会」
毎年2月は恒例のサイバーセキュリティ月間です。2018年はSFテレビアニメ「BEATLESS」とのコラボイベントなど、たくさんのイベントが開催されました。ハッシュタグ「#サイバーセキュリティは全員参加」でたくさんツイートがあります。
その中でいちばん大規模なものが「SECCON 2017 決勝大会」でしょう。2月17日には国内決勝大会、2月18〜19日には国際決勝大会が開催、これに関するたくさんのツイートがありました。
国内決勝大会は国内の24チームが参加、チーム「TokyoWesterns」が優勝しました。
国際決勝大会には、予選を通過した国内外15チームが参加、韓国のCTFチーム「CyKor」が連覇を果たしました。2位は米国の「PPP」でした。海外の強豪の中、国内勢では「dodododo」が3位に入りました。
大会の会場では並行して多数の講演があり、セキリュティビジネスの注意点やGPSのハッキング、ゲームのチート対策などがテーマとなっていました。自動キー入力が可能なBadUSBの作成などのハンズオンも行われており、こちらもたくさんのツイートがありました。
投げ銭の代わりに「すしアイコン」を投げるサービスがスタート、大量の脆弱性により即日クローズ
ネットで少額の投げ銭代わりに「すしアイコン」を送るサービスOsushiが2月1日に始まりました。
これまでも似たようなサービスは幾つかあったため、早速使ってみたユーザーが、問題点をいろいろとツイート。即座にTwitterユーザーのおもちゃになってしまいます。
ユーザーが見つけた危険な仕様は以下の通りです。
同じユーザー名で二重に登録できることから、前のユーザーの情報を後のユーザーが乗っ取り可能
セッションIDが予測可能なため、これを使ってユーザーの乗っ取りができる
ユーザー名に特殊文字を含めると動かなくなる
ユーザーの同意なしにクレジットカード情報を記憶する
sourcemapがアクセスできる場所にあり、クライアントのソースコードが漏れていた
退会できない
さらに仮想のおすしとはいえ、クレジットカードを使って現金を送金できるサービスです。貸金業法など法律の面でも指摘が相次ぎました。資金移動業者としての登録が必要なサービス内容だったようです。
このように多数の指摘があったことで、サービスを開始したその日のうちに閉鎖してしまいました。入金したお金はそのまま返還されたようです。
突然大盛り上がりを見せたこのサービス、脆弱(ぜいじゃく)性がなければこれほどはやることはなかったという人や、以前Webサービスをたくさん立ち上げて炎上させることで有名になった「えがちゃん」を思い出している人もいました。
その後、Osushiはサービス内容を一部変更し、3月7日にサービスを再開しました。
盗まれたXEM、どんどん売られていく
仮想通貨取引所コインチェックから、不正アクセスによって約600億円分もの仮想通貨「NEM」(通貨単位XEM)が盗まれた事件が2018年1月末にありました。2月になっても仮想通貨のセキュリティ問題にはいろいろな動きがあり、多くのツイートが流れました。
盗まれたXEMには追跡用のタグが付けられているため、換金できないという主張がありました。しかしダークウェブ上の暗号通貨交換サイトに売ったり、匿名性の高い仮想通貨に交換したり、自身で交換所を作ったりするなど、手を替え品を替え、さまざまな場所で少しずつ売られていく様子が報告されています。別のウォレットに送金されたXEMの総額は、盗まれた額の4分の1くらいで、徐々に資金洗浄が成功している様子がうかがえます。
盗んだ犯人からダークウェブ上の暗号通貨交換サイトでXEMを買った日本人が、事情聴取を受けたという報道もありました。
コインチェックは取引を停止していましたが、2月13日からまず日本円の出金を再開しました。その後、3月12日には「NEMの不正送金に係る補償」を当日中に実施すると発表しました。
仮想通貨では他にも2つ事件が続いています。まず、イタリアの仮想通貨取引所BitGrailで約200億円分の仮想通貨NANOが盗難に遭ったことが明らかになっています。
仮想通貨取引所のZaifでは、モナコインとビットコインを3分間だけ0円で購入できたことが話題となっていました。実際に7人の利用者が0円で仮想通貨を購入したようで、そのうちの1人は口座内の時価総額が2246兆円になっている動画を公開していました(後に取引を取り消される)。
まだまだ銀行のサイトと比べるとセキュリティに甘い印象がある仮想通貨取引所、お金を預けるには慎重にサイトを選択する必要があるかもしれません。
0 件のコメント:
コメントを投稿