-
- いいね!0
徳丸 浩
@ockeghem
三菱UFJニコスの特設デスクに電話してみました。まず、私の会員情報は漏えいしていないのかと聞くと、該当会員についてはメールでも連絡しているが、この場でも調べられるとして、氏名と生年月日を伝えたところ、「徳丸様の情報は漏えいの対象になっていないのでご安心ください」とのこと(続く)
2014-04-20 09:40:07
徳丸 浩
@ockeghem
徳丸「OpenSSLの脆弱性(リリースにあった言葉を使用)では、不正アクセスの記録が残らないと聞きましたが、どうやって調べたのですか? 」と聞いたところ、しばらくお待ち下さい、の後(続く)(続く)
2014-04-20 09:40:20
徳丸 浩
@ockeghem
UFJニコス「不正アクセスの期間が分かっていて、その期間、起点となったIPアドレスからのアクセスに含まれていないことで判断しました」。徳丸「Webアクセスについて分かりましたが、例えばパスワードを入力した内容がメモリに残っていて、それが漏えいしていないとは言い切れないのでは?」
2014-04-20 09:40:43
徳丸 浩
@ockeghem
UFJニコス「当社では不正アクセスの監視をしておりまして」。徳丸「OpenSSL脆弱性への攻撃を監視する(フルパケットキャプチャのような)特殊な装置がないとできないと思うのですが、それを実施されていたのですか?」UFJニコス「詳細についてはセキュリティ上の理由で回答できません」
2014-04-20 09:41:13
徳丸 浩
@ockeghem
【続き】ということで、おそらく不正アクセスを検知した後、不正アクセスの起点のIPアドレスと期間を絞り込み、その期間そのIPアドレスからアクセスされた会員の人数を発表しているのだと推測しました。
2014-04-20 09:41:42
徳丸 浩
@ockeghem
【続き】侵入経路は聞いていませんが、昨日ツイートしたように、漏えいしたセッションIDを用いたものと推測します。パスワードが本当に漏れていないかは、電話で聞いた内容からは判断できませんが、グレーなのではないかという印象。【とりあえず終わり】
2014-04-20 09:42:39