|
|
|
The forum was founded in 2009 by Satoshi and Sirius. It replaced a
SourceForge forum.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
kazuki.t (OP)
|
|
June 20, 2018, 10:07:59 AM |
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
July 04, 2018, 07:43:36 PM |
|
ウィンドウズのクリップボード内容を改ざんするようなマルウェアが流行っているようです。 ウィンドウズのクリップボードを「ハイジャック」、ビットコインアドレスを狙うマルウェア記事ではビットコインアドレスとなっていますが、各通貨に応用可能なので、送信先のアドレスは常に確認するようにしましょう。 特に取引所等の操作に慣れている玄人も注意が必要です。
|
|
|
|
gogo5050
Member
Offline
Activity: 77
Merit: 10
|
|
July 09, 2018, 12:37:10 PM |
|
よく使用する通貨アドレスは辞書登録しておくと簡単に呼び出せるからおすすめです。 あと1Passwordなどのパスワードソフトを使ってウォレットを管理すると間違いがないと思います。
|
|
|
|
kazuki.t (OP)
|
|
July 09, 2018, 01:53:29 PM |
|
|
|
|
|
kazuki.t (OP)
|
|
July 10, 2018, 10:47:16 AM |
|
|
|
|
|
gogo5050
Member
Offline
Activity: 77
Merit: 10
|
|
August 01, 2018, 06:02:14 AM |
|
|
|
|
|
nanna
Full Member
Offline
Activity: 476
Merit: 147
Janglisher('-')yay! 🇯🇵
|
|
August 01, 2018, 06:34:11 AM |
|
FIDO U2Fですか?最後は結局物に頼らないといけないところなのですが、 フィッシングの始まりは自分自身なんですよね。警戒を最大にしても巧なものには気が付かないという。 相手も、あの手この手ですし、どんどん巧妙になるわけですし。
しかし、逆にゼロになる前に、どんだけでどんな被害があったのかが知りたいものです。 Googleですからね、気になりいますよね。
|
|
|
|
|
nanna
Full Member
Offline
Activity: 476
Merit: 147
Janglisher('-')yay! 🇯🇵
|
|
August 09, 2018, 06:09:54 AM |
|
既に対抗する話がでてましたか。
>原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。
先に書いた通り、ヒューマンエラー対策には、u2f(ユビキー)のような機械に頼るのも間違いではないんですよね。 ただ実際としてヒューマンとわかれば、自分自身の問題ということになるので・・・。 そして、おっしゃる通り、機会は少なからず破られる可能性があるということです。
まーあまり言ってると、みんなで石器時代になるしかなくなる(笑
|
|
|
|
kazuki.t (OP)
|
|
August 09, 2018, 10:13:51 AM |
|
SIMハイジャックの犯人が逮捕された記事がありました。先週のものですが流れてきたので。さすがに狙ってやったのか、額が大きいですね。 https://www.darkreading.com/endpoint/privacy/$5-million-in-cryptocurrency-stolen-in-sim-hijacking-operation/d/d-id/1332422?utm_content=bufferfc31e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer 最近、ICO で立ち上がった企業なのか、盗難向けの保険が徐々に出てきていますね。 まだまだボラティリティも大きいですし、盗まれたことを真実と証明するのは結構難しそうな気がしますが、もし面白そうなものがあればシェアしたいと思います。
|
|
|
|
|
ooiocha
Newbie
Offline
Activity: 36
Merit: 0
|
|
August 12, 2018, 12:30:46 AM |
|
ウイルスやマルウェアが怖いですね。 時々盗まれたっていう話を耳にするので。 どこから拾ってくるのかわからないのも怖いです。
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 01, 2018, 08:58:27 PM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 03, 2018, 07:03:23 PM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。 続報です。 IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。 対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。 MonappyにおけるMonacoinの不正出金につきまして
|
|
|
|
kazuki.t (OP)
|
|
September 03, 2018, 11:03:35 PM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。 続報です。 IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。 対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。 MonappyにおけるMonacoinの不正出金につきましてhakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。 漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。 セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。 新しいIT companyになりうる(と個人的に思っている)各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。 サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。 「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。 レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。 https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.html
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 04, 2018, 07:59:33 AM |
|
モナコインのウォレットであるmonappyがクラッキングに遭い、サーバ上のホットウォレット内のほぼ全てのコインが盗難されたようです。 http://monappy.jp/index.html今回は前回話題になったBlock withholding attack等とは全く関係なく、ギフトコードを送る機能の欠陥を突いた盗難であったようです。 Monacoinを保有している方にとってはある程度知名度の高いウォレットであったと思われますので、 盗難通貨に対する今後の対応や防止策には注目がまた集まりそうです。 続報です。 IndieSquare社によれば盗難に遭った分のMonaについては対象者に対し全額補償をするとのこと。 対象者は7000人以上とのことなので、影響としてはそこそこ大きかったようですね。 MonappyにおけるMonacoinの不正出金につきましてhakkaさん、ありがとうございます。更新しようとしたところアップデートまでされていて、さすがです。 漏れ出てくる情報によるとレースコンディションの脆弱性を突いたものらしいですね。 セキュリティの専門家でも見つけるのは簡単ではなく、さらに外部から攻撃に利用するとなると、難易度は高いと思いますが、それでも得られる金額が金額ですので、攻撃者にとっては今後もこういった脆弱性は的になりそうと思います。 新しいIT companyになりうる(と個人的に思っている)各ICOでさえ、バグバウンティを実施しているものは多くないので、そのあたりもっと一般的になってほしいです。 サーバ側ですべて対策を講じるのは簡単ではないことから、利用者がオプションとしてコールド/ホットを任意で切り替えられるというのも緩和策としては考えられるのかもしれません。 「ホットウォレットは盗まれる可能性があります」というのはサービスとしては致命的ですし、管理が粗雑な場合はコールドであっても対策になりませんが、そんなことをふと思った次第です。 レースコンディションについてはJAVAの資料ですがIPAのものがあったので、ご参考までに。 https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a03_06_main.htmlおお、これは参考になります。 「レースコンディション問題によりまれにセキュリティ上の防御が緩む瞬間があるアプリケーションがあった場合」 今回のMonappyの問題だと、これがギフトコード部分であったということですかね。 バグバウンティはおっしゃる通り、もっと一般的に広まるべきでしょうね。 昔からですが、プロジェクトを広げることに注力しているものが多すぎます(まあ投機家からは文句がくるかもしれませんが笑)。 各社のウォレットのセキュリティに関してはいたちごっこが続くのでしょうね。 使用されている方は、盗まれる可能性に関して、少なくともハードウェアウォレットを使用するよりも高い事を「恐らく」承知している と思いますので、利便性をとるかセキュリティをとるかというところでしょうか。 (各社のホットウォレット:コールドウォレット比率等は個人的に気になりますが、実際は明記されていない会社も多そうです。)
|
|
|
|
|
hakka
Full Member
Offline
Activity: 714
Merit: 158
To live is to think
|
|
September 06, 2018, 08:57:01 PM |
|
拡張機能についてはむやみやたらに追加しない、アクセス権限の変更には細心の注意を払い、 広範囲のアクセス権限等を求められた場合には一旦更新しないよう心掛ける、くらいでしょうか。 Bitcoingoldの件に関しては見せしめみたいなものですかね。 ハッシュパワーがBitcoingoldと同等またはそれ以下のものは同様のリスクがありますし笑 こういった事例が多くなると、ビットコイン等上場廃止リスクが極めて低い上位コインの人気が上がり、 草の淘汰がますます捗ってしまいそうです。。
|
|
|
|
|