[B! security] フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog
  • はてなブックマーク
  • テクノロジー
  • フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog
  • Twitterでシェア
  • Facebookでシェア

フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

テクノロジー カテゴリーの変更を依頼 記事元:piyolog.hatenadiary.jp
適切な情報に変更
444 usersがブックマーク コメント34

    記事へのコメント34

    • 注目コメント
    • 新着コメント
    punychan
    punychan 「ショーケースに対して取引先よりフォームアシストのソースコード中に不審な記述があると指摘。」これのできる技術者がいたのがすごいな。あと、出光の対象期間が細切れなのはどういうことなんだろう。

    2022/10/27 リンク

    その他
    diabah_blue
    diabah_blue 現代では、自ドメイン外のJavascriptを使う際、ブラウザがJSの改ざんを検知できるように、サブリソース完全性検証機能を使っておくもんだということを覚えた。 https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity

    2022/10/27 リンク

    その他
    raimon49
    raimon49 決済に必要な情報が全部入りで流出。発覚の経緯が検知ではなく取引先からの指摘というのが。

    2022/10/27 リンク

    その他
    kuracom
    kuracom 出光が細切れになってるのは、ログをもとに当サービスが実際に利用された正確な期間を割り出した結果だと思う

    2022/10/27 リンク

    その他
    prograti
    prograti フォームアシストのJSはJSの中で別のJSをユーザごとにdocument.writeしてるみたいだからそっちが改ざんされたらintegrity属性でもダメでしょうね。一部のユーザのみということはそっちが改ざんされたんじゃないかしら。

    2022/10/27 リンク

    その他
    Falky
    Falky 概観はできるが、結局具体的に何が起きたのかはわからんしタイムラインも不明瞭。対処が適切なのか否かもよくわからない。なぜならば関係者の誰も詳細を説明していないので。ひどすぎる

    2022/10/27 リンク

    その他
    hevohevo
    hevohevo 外部のJS組み込んでいたら、そのJSが改ざんされたということか。これはつらい。今回は特に入力フォーム用のJSだったので、フォームに書き込んだ内容が流出したと。

    2022/10/27 リンク

    その他
    cl-gaku
    cl-gaku まだまだこれからでてきそうだ

    2022/10/27 リンク

    その他
    kitone
    kitone “利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する”

    2022/10/27 リンク

    その他
    uunfo
    uunfo ユーキャンとABC-MARTが7月19日ではなく7月24日からとしてるのはなぜだろう/「クレジットカード番号入力画面において外部JSを読み込まないこと」がPCI-DSSに追加されるのかな

    2022/10/27 リンク

    その他
    nilab
    nilab フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

    2022/10/28 リンク

    その他
    defiant
    defiant この記事をおすすめしました

    2022/10/28 リンク

    その他
    text-sakura-ne-jp
    text-sakura-ne-jp 《関連情報》『ショッピングサイトのプログラム改ざん クレジット情報流出か - NHK』https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html

    2022/10/28 リンク

    その他
    adsty
    adsty サービスのソースコードが改ざんされ入力フォームの情報が流出した。

    2022/10/27 リンク

    その他
    estragon
    estragon “ショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「ス

    2022/10/27 リンク

    その他
    diet55
    diet55 「被害に遭ったのは『フォームアシスト』『サイト・パーソナライザ』『スマートフォン・コンバータ』の3つ」「利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用」

    2022/10/27 リンク

    その他
    k-holy
    k-holy なるほど、JS読み込みだけでフォームを楽に書き換えてユーザー分析したいってニーズがあるのね。ログインID/パスワードやカード番号等の機密情報の入力フォームでは外部からのJS読み込みNG、ってのが定石化しそうだ。

    2022/10/27 リンク

    その他
    prograti
    prograti フォームアシストのJSはJSの中で別のJSをユーザごとにdocument.writeしてるみたいだからそっちが改ざんされたらintegrity属性でもダメでしょうね。一部のユーザのみということはそっちが改ざんされたんじゃないかしら。

    2022/10/27 リンク

    その他
    otchy210
    otchy210 ちゃんとした CDN でホストされてるちゃんとした JS ライブラリはそのサンプルコードに最初からちゃんとハッシュが記載されてるが、そうでないところも多いでな…。

    2022/10/27 リンク

    その他
    legnum
    legnum 自社サーバにいちいちツール入れてた時代は「ツール作成業者が出してるパッチ当て忘れで流出」だったから「パッチ当てるのもツール作成業者、サーバも業者」になったのにその業者にやらかされると防ぎようが無い

    2022/10/27 リンク

    その他
    kitone
    kitone “利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する”

    2022/10/27 リンク

    その他
    diabah_blue
    diabah_blue 現代では、自ドメイン外のJavascriptを使う際、ブラウザがJSの改ざんを検知できるように、サブリソース完全性検証機能を使っておくもんだということを覚えた。 https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity

    2022/10/27 リンク

    その他
    hevohevo
    hevohevo 外部のJS組み込んでいたら、そのJSが改ざんされたということか。これはつらい。今回は特に入力フォーム用のJSだったので、フォームに書き込んだ内容が流出したと。

    2022/10/27 リンク

    その他
    doksensei
    doksensei まとめありがとうございます! 2022/10月情報流出まとめ。ハッキング?

    2022/10/27 リンク

    その他
    uunfo
    uunfo ユーキャンとABC-MARTが7月19日ではなく7月24日からとしてるのはなぜだろう/「クレジットカード番号入力画面において外部JSを読み込まないこと」がPCI-DSSに追加されるのかな

    2022/10/27 リンク

    その他
    paradisemaker
    paradisemaker 来てた。いつもながら素晴らしい。

    2022/10/27 リンク

    その他
    daij1n
    daij1n 毎回思うけど、決済でPayPalみたいな外部使わず直接クレカを入力させる意味ってあるんだろか。PayPalの手数料ってそんなに高額だったかな?

    2022/10/27 リンク

    その他
    sisicom
    sisicom 意外に自体がわかっていないケースも

    2022/10/27 リンク

    その他
    buhoho
    buhoho このてのサービス提供元はセキュリティ高そうって思ってたけど、実はそうでもなかったのかな

    2022/10/27 リンク

    その他
    lb501
    lb501 悪質。7月中には問題があることわかっていたのに、発表は10月。https://www.security-next.com/138832

    2022/10/27 リンク

    その他
    dltlt
    dltlt ECサイト自体じゃなく、リダイレクト先の決済プラットフォームが(ここの)JS を外部参照してたりしないのかな?|integrity 属性を指定するとなると、参照先JSの更新のたびにハッシュを変更することになるが……

    2022/10/27 リンク

    その他
    diveintounlimit
    diveintounlimit “ショーケースに対して取引先よりフォームアシストのソースコード中に不審な記述があると指摘”すごい/セキュリティコード抜かれてるのヤバいな、全部そろってるやん

    2022/10/27 リンク

    その他
    kuracom
    kuracom 出光が細切れになってるのは、ログをもとに当サービスが実際に利用された正確な期間を割り出した結果だと思う

    2022/10/27 リンク

    その他
    rx7
    rx7 外部参照しているところから。。

    2022/10/27 リンク

    その他
    Eiichiro
    Eiichiro まとめありがとうございます。これでだめなら、外部ソース読み込んでる箇所が全部だめってことになる?可能性としては、dnsポイズニングで埋込ソースを配布されたとか?続報に期待。

    2022/10/27 リンク

    その他
    lesamoureuses
    lesamoureuses 使う側は js読み込むだけだとすると直接 js書き換えられたのかな?どういう方法かよくわからない

    2022/10/27 リンク

    その他
    Lhankor_Mhy
    Lhankor_Mhy integrity 属性で回避できそうな?

    2022/10/27 リンク

    その他
    atrandom2520
    atrandom2520 あらあらあら

    2022/10/27 リンク

    その他
    raimon49
    raimon49 決済に必要な情報が全部入りで流出。発覚の経緯が検知ではなく取引先からの指摘というのが。

    2022/10/27 リンク

    その他
    cl-gaku
    cl-gaku まだまだこれからでてきそうだ

    2022/10/27 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

    2022年10月25日、ショーケースは同社が提供する複数のサービスが不正アクセスを受けたため、サービスを...

    ブックマークしたユーザー

    • techtech05212023/03/20 techtech0521
    • kyo_ago2022/12/19 kyo_ago
    • tailtame2022/11/03 tailtame
    • zunchan32022/10/31 zunchan3
    • jhoshina2022/10/31 jhoshina
    • tatatayou2022/10/30 tatatayou
    • stntaku2022/10/29 stntaku
    • yuiseki2022/10/29 yuiseki
    • kuyo2022/10/28 kuyo
    • nilab2022/10/28 nilab
    • m0t0m0t02022/10/28 m0t0m0t0
    • ragari2022/10/28 ragari
    • s90es2022/10/28 s90es
    • abekoh2022/10/28 abekoh
    • takasago082022/10/28 takasago08
    • yamagamism2022/10/28 yamagamism
    • defiant2022/10/28 defiant
    • junkin_au2022/10/28 junkin_au
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.