SSLサーバ証明書の検証不備
ラベル SSLサーバ証明書の検証不備 の投稿を表示しています。 すべての投稿を表示
ラベル SSLサーバ証明書の検証不備 の投稿を表示しています。 すべての投稿を表示

RiskFinder 6.0(2016年7月版)リリース


本日、RiskFinder 6.0(2016年7月版)をリリースしました。
今回は新たに追加された機能や情報について簡単にお知らせしたいと思います。

Read More

情報処理セキュリティスペシャリスト試験に合格しました。

会社のブログで情報処理試験合格したー!という記事を書くのはどうかと思ったのですが、家に合格証が届いて結構嬉しかったので....


試験を受けた動機


情報処理試験は、情報処理2種を学生の時取ったきりで、他の資格は持ってませんでした。私の年代だと、会社で取れとか言われたりしないと、仕事と関係ある知識は自分で覚えるし、資格持っている=仕事ができるわけでもないしといった世代です。試験とかはまったく関心がなかったのですが、
今年の初めに、情報処理安全確保支援士というのができるというニュースがでました。「士」ということで、会計士とか税理士とかと一緒で、持っていないと出来ない仕事をこれから作るという話もあり、そうなると、できない仕事ができるとまずいなぁ、逆に何かセキュリティ的な仕事にチャンスがあるかな?と思い、過去問題をチラッとみてみたら、なんか数学の集合記号とか出てるし、なんか見たことあるけど、使わないから忘れたなーと....

しかたないから、会社で、「誰か情報処理セキュリティスペシャリスト試験うけてくれない?」と言ってみても、「あー試験は苦手だしー」とかだったり、だんまりだったりで誰も関心を示しませんでした。今まで会社として資格とか学歴とかは関係なく実力だと言っているわけだし、資格を取るようにも全く言ってないわけで、なんかチャンスあるかもしれないから、資格取ってよと言ってもね、今更そんな事言われても困るよねーと理解できます。
試験勉強とただ勉強すればいいわけじゃなくて、試験用の勉強しなくてはいけないので、めんどいよねーまぁそうだよねー自分もメンドクサイと思ったので人に振ったわけですし....

もう45歳超えてますし、テスト勉強したのは、もう何十年も前、記憶力もかなり衰えてきてますので、自分で受けても受かる気がしなかったのですが、取りあえず勉強にもなるわけですし、記念受験してみるかという事で出願をしました。(会社にはこっそりと...


Read More

IPAにアンドロイドアプリの脆弱性報告をした話

昨日(2016/5/30)日、IPAより「DMM.com証券製の複数の Android アプリにおける SSL サーバ証明書の検証不備の脆弱性」が公開されました。


https://jvn.jp/jp/JVN40898764/

今回この脆弱性は、リスクファインダー株式会社から報告させて頂きましたので、この件につきまして経緯や脆弱性報告手順について記載したいと思います。

SSLサーバ証明書の検証不備の脆弱性は、前から定期的に報告されていますが、なかなか減りません。アンドロイドアプリの脆弱性検査ツールを販売していていつも思うのは、自分の会社のソフトは大丈夫と思い込んでいる人が多い事です。
特に銀行や証券会社等は、お金を取り扱う会社ですので、セキュリティホールが見つかると顧客の資産に影響を与えます。
今回はDMM.com証券での脆弱性でしたが、過去には

まだまだありますが、スマホによるプライバシー情報の流出どころの話ではありません、ログインIDとパスワードが流出すると金銭を取られてしまうような業界のアプリで脆弱性が見つかっております。

既に上記のような事例が出ていますし、IPAから「プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を」といった形で注意喚起まで出ているので、てっきりこれらの金銭を取り扱う業界は、きちんとセキュリティ会社によるチェックをしており、まれに、このような脆弱性が出てくると思っていましたが、今年の5月頃に偶然上記リストにはない銀行のアプリのSSLサーバ証明書検知不備の脆弱性を見つけました。(報告修正済)同じ会社の別のアプリを調べるとこれもSSLサーバ証明書検知不備の脆弱性…。
SSLサーバー証明書不備の脆弱性は、検知するのが非常に簡単で、セキュリティ会社にチェックを依頼すれば必ず見つけ出させる種類の物です。まったくセキュリティチェックをしてないと思われます。
Read More
登録: 投稿 (Atom)