気になった記事2018/11 その1

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 11/4 - 11/10
  • 全体に対してのコメント: トレンドマイクロさんとか、NICTのスキャンが気になった週でした。

11/4

  • なし

11/5

  • なし

11/6

CloudflareのDDoS攻撃対策を調べてみた - Crieit

https://crieit.net/posts/Cloudflare-DDoS

新手のドロップシッピング? メルカリとヤフオク!を駆使した無在庫転売の手口が話題に【やじうまWatch】 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/yajiuma/1151751.html

巨大IT企業の規制強化へ 政府、今月にも調査開始 - 産経ニュース

https://www.sankei.com/economy/news/181105/ecn1811050021-n1.html

[FT]中国版ツイッター微博に政府が「噂」フラグ導入 (写真=ロイター) :日本経済新聞

https://www.nikkei.com/article/DGXMZO37408700W8A101C1000000/

有名メーカーのハードウェア暗号対応SSDで容易に暗号が解読される脆弱性が判明 - GIGAZINE

https://gigazine.net/news/20181106-flaws-self-encrypting-ssd/

Google、「Chrome 71」から有害広告に対する対策を強化 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1811/06/news062.html

Hyper-Threading搭載のIntel CPUに新たな脆弱性 ~“PortSmash”が明らかに - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1151601.html

米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見:“履歴スニッフィング”攻撃の最新版 - @IT

http://www.atmarkit.co.jp/ait/articles/1811/06/news047.html

Apache Tomcat JK Connectorに脆弱性 | マイナビニュース

https://news.mynavi.jp/article/20181106-718122/

【セキュリティ ニュース】攻撃シナリオを自動生成、仮想環境の模擬実験でリスク診断する技術 - NEC(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/099689

【セキュリティ ニュース】フィッシング攻撃が小規模化、誘導先を次々変化 - 対策製品がまにあわないケースも(1ページ目 / 全2ページ):Security NEXT

http://www.security-next.com/099621

バーナーズ・リー氏、ウェブを守る「協定」を提唱--グーグルやFacebookが賛同 - CNET Japan

https://japan.cnet.com/article/35128169/

11/7

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr184301.html

JVNVU#98026636: LogonTracer に複数の脆弱性

https://jvn.jp/vu/JVNVU98026636/

「一国のほぼすべての銀行が顧客データ盗難の被害にあう」という衝撃のサイバー攻撃が発生 - GIGAZINE

https://gigazine.net/news/20181107-almost-pakistani-banks-stolen-data/

アドフラウド(広告詐欺)の瞬間をリアルタイムで暴いてみた

https://spideraf.com/blog/ad-fraud-process-prequel/

11/8

「正しい」運用手順書を作る /20181106-ssmjp-operation-procedure - Speaker Deck

speakerdeck.com

顔を隠しても「歩き方」で個人を特定する監視ソフト、中国が導入 - CNET Japan

https://japan.cnet.com/article/35128309/

F-Secureのミッコ・ヒッポネン氏が説く「サイバー犯罪者が仮想通貨を狙う理由」 (1/2):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11373

エンジニアのための実践アウトプット入門 継続的に発信し続けるコツ - ログミーTech

https://logmi.jp/tech/articles/319030

国内のIPアドレスが対象、TCP 22/23/80番へのポートスキャンをNICTが実施へ、11月1日の改正法令施行を受け - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1152349.html

法律、クリアしてたんですね。

VirtualBox」にゼロデイ脆弱性 ~ロシアのセキュリティ研究者が“GitHub”で明らかに - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1152373.html

シスコ、セキュリティアップデート公開--バックドアアカウント関連の対処含む - ZDNet Japan

https://japan.zdnet.com/article/35128300/

顔を隠しても歩き方でばれる、中国の新しい監視ツールとは | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト

https://www.newsweekjapan.jp/stories/world/2018/11/post-11252.php

ビル・クリントンが書いたサイバー攻撃をテーマとした小説『大統領失踪』 | 土屋大洋 | コラム | ニューズウィーク日本版 オフィシャルサイト

https://www.newsweekjapan.jp/tsuchiya/2018/11/post-32.php

この本は読んでみたい。

11/9

Cisco製品に「Dirty COW」の悪用コード、誤って出荷しちゃった - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1811/09/news065.html

Cisco TelePresence Video Communication Server Test Validation Script Issue

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-vcsd

PortSmashで学ぶ高性能プロセッサの同時マルチスレッディング - FPGA開発日記

http://msyksphinz.hatenablog.com/entry/2018/11/09/040000

漫画村」裁判の原告が現状を漫画化して公開 拠点とみられる超高層タワーマンション特定方法も語る - ねとらぼ

http://nlab.itmedia.co.jp/nl/articles/1811/10/news004.html

職員の9,000ページのポルノサイト閲覧によりネットワークがウイルスに感染、有効な手段は? | マイナビニュース

https://news.mynavi.jp/article/20181108-porno9k/

GPUの動作を監視してWeb履歴やパスワードを盗み出すサイドチャネル攻撃手法 - PC Watch

https://pc.watch.impress.co.jp/docs/news/1152413.html

GPU監視できるほどなら、他の方法使ったほうが楽そう。

Appleに消されたトレンドマイクロ、CEOの言い分 :日本経済新聞

https://www.nikkei.com/article/DGXMZO37370850V01C18A1000000/

エディオンにリスト型攻撃?: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/11/post-b380.html

パスワードの流出をチェックする「Firefox Monitor」とは? | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-121-5.html

11/10

すみだセキュリティ勉強会2018その3 - connpass

https://sumidasec.connpass.com/event/104182/

参加させていただきました。上記からも辿れますが、資料のリンクもしておきます。

Data Privacy Day - Googleを使わず1日過ごしてみる - Speaker Deck

speakerdeck.com

プライバシーは気にしつつ、Google便利だよねと思って使っています。フライト情報とか宿泊情報とかスケジュールやマップとリンクしてくれるの余計なお世話感もありますが、便利だと思っています。ちゃんと説明してさえいてくれればという条件がありますが。また、プライバシーや匿名性が確保されたサービスを使わないといけないシチュエーションもあると思うので、そういうときは使っていくことになるよなあと考えてます。

Black Hatで話題になったGyoiThonを使ってみた!

speakerdeck.com

見つけたら資料のリンクをつけます。セキュリティテストの自動化はずっと来ると思っていて、最後の報告のところ以外は自動でできるだろうなあと考えていました。報告のところはわかりやすくレポートにはできるでしょうが、質問を含めると難しいだろうなあと思います。

あの脆弱性は今 ~ハニーポットで追ってみた~ - Speaker Deck

speakerdeck.com

ハニーポット、かなりほったらかしにしているので何とかしようと思いました。あと、NICTのIPはブロックしようか、放置して連絡くるパターンのどちらが、経験になるかなあとか思いました。

サイバークライシスに対処する準備ができていますか? 「サイバーウォーゲーミング」でレジリエンスのある組織を築く (1/4):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11208

トレンドマイクロiOS版「ウイルスバスター」などの詐欺的ビジネスの総括をするべき(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20181110-00103675/

最後に

今週は早めの公開。

気になった記事2018/10 その5

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 10/28 - 11/3
  • 全体に対してのコメント: トレンドマイクロさんのリリース関連が一番印象に残りました。codeblueがありましたが、今年も不参加でした。codeblue関連の記事は週末から来週にかけてでしょうか。

10/28

ブラッディ・マンデイを考察する」から10年が経ち、NHKドラマ「フェイクニュース」を監修した話 | 諸多日記

https://isid.ai/diary/2018/10/27/1294/

10/29

FINAL FANTASY XIVへのDDoS攻撃による接続障害についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20181028/1540749883

中国政府がチャイナテレコムを通してBGPハイジャックを実行--研究者が指摘 - ZDNet Japan

https://japan.zdnet.com/article/35127713/

「サイバーセキュリティ庁」創設、対策強化を 笹川平和財団が提言 - 産経ニュース

https://www.sankei.com/affairs/news/181029/afr1810290033-n1.html

漫画村」運営者を特定 米IT企業、通信記録を開示 | 共同通信 - This kiji is

https://this.kiji.is/428625597506339937

Twitter、爆弾郵送容疑者の脅迫ツイートめぐり謝罪--報告に対処せず - CNET Japan

https://japan.cnet.com/article/35127704/

IBMLinuxRed Hatを340億ドルで買収へ ハイブリッドクラウド強化 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/29/news050.html

10/30

標準時間で難航、EUがサマータイム廃止延期へ : 国際 : 読売新聞(YOMIURI ONLINE

https://www.yomiuri.co.jp/world/20181029-OYT1T50005.html

なくすのも大変

ヒルン石森氏が明かす、セキュリティ会社が行っている脆弱性対策とは:@IT脆弱性対応セミナー2018 - @IT

http://www.atmarkit.co.jp/ait/articles/1810/22/news010.html

MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案:キャッシュを複数のバケットに分割 - @IT

http://www.atmarkit.co.jp/ait/articles/1810/30/news048.html

【セキュリティ ニュース】メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/099468

【セキュリティ ニュース】金属加工用制御機器にマルウェア、2年間潜伏 - 開発時に感染か(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/099465

IPA、「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開 - SecurityInsight | セキュリティインサイト

https://securityinsight.jp/news/13-inbrief/3460-181030-2

10/31

「メルカリ」不正アカウント作り販売容疑 8500万円売り上げか | NHKニュース

https://www3.nhk.or.jp/news/html/20181030/k10011692111000.html

GDPRの「72時間以内報告」の本当の意味 - WirelessWire News(ワイヤレスワイヤーニュース)

https://wirelesswire.jp/2018/10/67238/

Google Chromeで不正なプログラムを検索して削除する:Google Chrome完全ガイド - @IT

http://www.atmarkit.co.jp/ait/articles/1810/31/news028.html

ケント大学の研究チーム、サイバー被害を57種類に分類:サイバー被害の指標となるか - @IT

http://www.atmarkit.co.jp/ait/articles/1810/31/news037.html

X.Orgに特権昇格の脆弱性LinuxOpenBSDに影響 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1810/30/news077.html

企業はパッチを適用していない--大半の脆弱性は1カ月経っても未対応 - ZDNet Japan

https://japan.zdnet.com/article/35127641/

古いOSやPCを使い続けるとコスト面、セキュリティ面でリスクも MS、「Windows 7」EOS対策の説得方法を指南 (1/2) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1810/31/news036.html

App Store上の当社アプリに関する重要なお知らせ】2018年10月31日更新 | トレンドマイクロ

https://www.trendmicro.com/ja_jp/about/announce/announces-20180912.html

会計ソフトfreee(フリー)が全サービス一時停止、月末に緊急システムメンテ | TechWave(テックウェーブ)

https://techwave.jp/archives/accounting-service-freee-all-service-stops-at-the-end-of-the-month.html

Node.jsにおけるprototype汚染攻撃への対策 - SSTエンジニアブログ

https://techblog.securesky-tech.com/entry/2018/10/31/

【資料公開】Lead Initiative 2018 Technical TRACKのご紹介 | IIJ Engineers Blog

http://eng-blog.iij.ad.jp/archives/2071

【連載】どうする!? セキュリティ運用アウトソーシング [3] 狙われるのは人|セキュリティ|IT製品の事例・解説記事

https://news.mynavi.jp/itsearch/article/security/4043

11/1

イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html

高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ

https://takagi-hiromitsu.jp/diary/20181031.html

MICRO 51 - セキュリティに配慮したマイクロアーキテクチャ設計(前編)|BIGLOBEニュース

https://news.biglobe.ne.jp/it/1101/mnn_181101_7186065553.html

wizSafe Security Signal 2018年9月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

https://wizsafe.iij.ad.jp/2018/10/470/

偽警告でソフトを売り込むネット詐欺、巧みな手口に引っ掛かってみた | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/102600030/?P=1

11/2

サイバーセキュリティに関するグローバル動向四半期レポート(2018年7月~9月)を公開 | NTTデータ

http://www.nttdata.com/jp/ja/news/information/2018/2018103101.html

App Storeから消えたトレンドマイクロエバCEOの言い分 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01202/

「おさいふPonta」にパスワードリスト攻撃、1時間に約30万件 - 一部で残高の不正移行

http://www.security-next.com/099567

第18回 ポッドキャストを18回しただけなのに スペシャル « podcast - #セキュリティのアレ

http://www.tsujileaks.com/?p=503

第21回ゼロから始めるセキュリティ入門 勉強会に参加してきました | 猫とセキュリティ

http://nekotosec.com/join-the-study-group-the-21th/

11/3

  • なし

最後に

今週は順調な週でした。

気になった記事2018/10 その4

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 10/21 - 10/27
  • 全体に対してのコメント: Githubが止まったり、システムトラブルが大きく社会に影響するようなことが増えてきたり。

10/21

  • なし

10/22

ハニーポット月次分析 9月度〜EthereumとRedis〜 - sec-chick Blog

https://sec-chick.hatenablog.com/entry/2018/10/21/233231

Twitterのエンジニアをサウジアラビアがスパイとして使っていた──New York Times報道 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/22/news048.html

GitHub - OmerYa/Invisi-Shell: Hide your Powershell script in plain sight. Bypass all Powershell security features

https://github.com/OmerYa/Invisi-Shell

ホワイトハッカー自衛隊員に 5年以内の任期付き :日本経済新聞

https://www.nikkei.com/article/DGXMZO36743180R21C18A0PE8000/

ちゃんと期限なしで雇用したほうがいいと思うのですが、事情があるのでしょうか。

Facebook、大手セキュリティ企業を買収か──The Information報道 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/22/news058.html

今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

https://scan.netsecurity.ne.jp/article/2018/10/12/41484.html

10/23

パスワード不要、生体認証でヤフーにログイン 「FIDO 2」対応 AndroidスマホChromeで - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/23/news090.html

MRJめぐり地上戦、ボンバルが米連邦地裁に提訴 (写真=共同) :日本経済新聞

https://www.nikkei.com/article/DGXMZO36769750S8A021C1TJ2000/

ヤフー、不正広告排除へ ガイドラインを強化 :日本経済新聞

https://www.nikkei.com/article/DGXMZO36771250S8A021C1916M00/

October 21 Incident Report | The GitHub Blog

https://blog.github.com/2018-10-21-october21-incident-report/

失踪サウジ記者のアップルウォッチ暴行録音はW-FiルーターiCloud保存ではないか(三上洋) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/mikamiyoh/20181015-00100574/

継続する 5555/TCP ポート宛攻撃通信と ADB が有効化された脆弱な Android エミュレータについて

https://blog.nicter.jp/2018/10/android-5555/

同じIPアドレスが原因 東証、システム障害で報告書 :日本経済新聞

https://www.nikkei.com/article/DGXMZO36769740S8A021C1EE9000/

システム障害:札幌地下鉄で運行停止 乗客一時閉じ込めも - 毎日新聞

https://mainichi.jp/articles/20181023/k00/00m/040/166000c

「中国にスパイチップを仕込まれた」と報じられたSupermicroがAppleに続いてBloombergに記事の撤回を要求 - GIGAZINE

https://gigazine.net/news/20181023-supermicro-want-bloomberg-retract-story/

10/24

2018年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20181024/1540329015

サーバーのアクセス管理/ログ管理などのセキュリティを包括的に実現するソフトウェア「ESS AdminGate」が多要素認証に対応|BIGLOBEニュース

https://news.biglobe.ne.jp/economy/1024/atp_181024_4702090006.html

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr184101.html

今週のJPCERTレポートは項目が多い印象。

Mozilla、「Firefox 63」を正式公開 ~トラッキング防止を強化、パフォーマンスも向上 - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1149516.html

Windows 10にゼロデイ脆弱性、“GitHub”でデモコードが公開される - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1149600.html

“はてぶ”も餌食に ~新レート制限の導入で多くのTwitterアプリ・サービスに影響が出る - やじうまの杜 - 窓の杜

https://forest.watch.impress.co.jp/docs/serial/yajiuma/1149608.html

NEC・日立・富士通、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定:EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11321

これだけ細分化できるところはそうそうないので、やはり大会社。

東証、9日のシステム障害の原因を説明 メリルリンチが重複IPアドレスで同時接続 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/24/news069.html

10/25

海賊版サイト対策ブロッキングについて

海賊版対策会議「最後の3時間半で何が話されたか」

https://ironna.jp/article/11002

海賊版サイト「捜査を渋る」日本の警察こそ弊害である

https://ironna.jp/article/10999

株式会社日本貿易保険との契約に関わる不正の発表について | セキュリティ対策のラック

https://www.lac.co.jp/news/2018/10/25_news_01.html

10/26

本当に安全? 「二段階認証」のハナシ (1/3) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/26/news008.html

AppleのクックCEO、プライバシー国際会議で“個人データの武器化”に警鐘 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/25/news052.html

絶滅”したはずの10年前のハッキング手法が、あらゆるPCを危険に晒す|WIRED.jp

https://wired.jp/2018/10/25/cold-boot-break-pc-encryption/

サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2018年7月~9月]

https://www.ipa.go.jp/files/000069662.pdf

【セキュリティ ニュース】ランサム被害ファイルの解析作業、復号ツール活用も視野に - 宇陀市立病院(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/099412

10/27

「保守速報」「netgeek」などにDoS攻撃か サイト閲覧できない状態に - ねとらぼ

http://nlab.itmedia.co.jp/nl/articles/1810/27/news041.html

最後に

先週を引きずってさらにふがいないことをした週になりました。

気になった記事2018/10 その3

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 10/14 - 10/20
  • 全体に対してのコメント: とりとめもない感じでたくさん。

10/14

「身元特定は『漫画村』運営者のミス」「議論を拒んでいるのは反対派」川上量生氏、改めてブロッキングの必要性訴える (1/2)

http://blogos.com/article/331475/

picoCTF 2018を主催した話 - security etc...

http://rintaro.hateblo.jp/entry/2018/10/14/155209

10/15

【セキュリティ ニュース】PHPにコード実行の脆弱性、リスク「高」 - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/098961

電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 - GIGAZINE

https://gigazine.net/news/20181015-sim-jacking-account-stealing-ransom/

孫正義ファンドのサウジ皇太子が記者暗殺を命令か。Apple Watchが殺害の一部始終を記録? | ギズモード・ジャパン

https://www.gizmodo.jp/2018/10/crown-prince-of-saudi-arabia-orders-to-assassinate-the-journalist.html

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

https://blog.tokumaru.org/2018/10/ec.html

10/16

驚きのマネタイズ、攻撃者が不正ログインで得たもの | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/100900158/

国防総省、セキュリティ侵害で職員約3万人の個人情報など流出との報道 - ZDNet Japan

https://japan.zdnet.com/article/35126973/

Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp

https://wired.jp/2018/10/15/googles-privacy-whiplash/

海賊版サイト対策、報告見送り 両論併記に反対根強く | 共同通信 - This kiji is

https://this.kiji.is/424479136794149985

“Hack Everything”をモットーに――リクルート脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT

http://www.atmarkit.co.jp/ait/articles/1810/15/news010.html

大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1810/16/news077.html

2020 年 IE, Edge で TLS 1.0, 1.1 での接続無効化。確認を! – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/10/16/tlsdeprecation/

森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム

https://www.jiji.com/jc/article?k=2018101600117

JPCERT/CCインシデント報告対応レポート[2018年7月1日 ~ 2018年9月30日]

http://www.jpcert.or.jp/pr/2018/IR_Report20181016.pdf

ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/15/news131.html

一部手法を見直した「制御システムのセキュリティリスク分析ガイド」第2版(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

https://scan.netsecurity.ne.jp/article/2018/10/16/41498.html

防御型対策から侵入を前提とした対策へシフトせよ――高度化するサイバー攻撃への備え (1/3):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11226

10/17

トランプ支持者向け出会い系アプリ、リリース初日に個人情報流出 写真1枚 国際ニュース:AFPBB News

http://www.afpbb.com/articles/-/3193492?pid=20622074

[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey

https://www.publickey1.jp/blog/18/githubtoken_scanninggithub_universe_2018.html

2018年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起

https://www.jpcert.or.jp/at/2018/at180042.html

10/18

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr184001.html

インターネット定点観測レポート(2018年 7~9月)

http://www.jpcert.or.jp/tsubame/report/report201807-09.html

クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記

https://blog.tokumaru.org/2018/10/methods-of-stealing-credit-card-information.html

朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

https://scan.netsecurity.ne.jp/article/2018/10/18/41512.html

「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan

https://japan.zdnet.com/article/35127169/

10/19

AVGアンチウイルス」販売終了、無料版や「AVGインターネットセキュリティ」は引き続き提供 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1148687.html

他人のポイントで商品詐取 容疑の中国人逮捕 警視庁 :日本経済新聞

https://www.nikkei.com/article/DGXMZO36625320Y8A011C1CC0000/

JVN YukiWiki における複数の脆弱性

https://jvn.jp/jp/JVN36343375/

Facebook個人情報流出GDPRの重要な試金石に--欧州では300万人に影響 - CNET Japan

https://japan.cnet.com/article/35127288/

10/20

Java Usage Tracker の脆弱性「CVE-2018-3211」を発見、Windows 環境で検証 | トレンドマイクロ セキュリティブログ

https://blog.trendmicro.co.jp/archives/19747

一太郎」は生きている―― 開発者が同人誌、知られざる進化の物語 - withnews(ウィズニュース)

https://withnews.jp/article/f0181019000qq000000000000000W04y10101qq000018121A

2件の脆弱性を修正した「Ruby」v2.5.2/2.4.5/2.3.8がリリース - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1148586.html

最後に

今週末はふがいないことのなった。つらい。ひきずって公開がだいぶ遅れた。

気になった記事2018/10 その2

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 10/7 - 10/13
  • 全体に対してのコメント: 各種アップデートやシステムトラブル、情報漏洩など、今週もいろいろですね。

10/7

アマゾン、メールアドレスの外部流出を顧客へ通知 - WSJ

https://jp.wsj.com/articles/SB11872399051430784739704584514670621685080

10/8

Apple、米議会に「ハッキング攻撃の痕跡はない」と報告 - iPhone Mania

https://iphone-mania.jp/news-229436/

AWS認定セキュリティ – 専門知識に合格しました

https://qiita.com/nakazax/items/03d3fb9c61b61dc87b75

10/9

Google、個人情報へのサードパーティーアプリからのアクセス制限を強化 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/09/news070.html

Google+」消費者版が終了へ--APIのバグで最大50万人の情報流出のおそれ - CNET Japan

https://japan.cnet.com/article/35126682/

プログラミングとeスポーツ、うちの子に習わせるとしたら? | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/100400156/

自分の子供だったらどっちかやりたいと言われたらプログラミングを教える。

セキュリティが本業ではない企業のセキュリティ投資、人材はこう考えよ――ANAシステムズ阿部恭一氏が指南 (1/3):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11221

Python」はハッカーにも人気--Imperva - ZDNet Japan

https://japan.zdnet.com/article/35126329/

「開発の丸投げやめて」 疲弊するAIベンダーの静かな怒りと、依頼主に“最低限”望むこと (1/5) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/09/news010.html

GoogleGmail関連とAndroidアプリの審査を抜本的に変更――Project StrobeはGoogle+の閉鎖も発表 | TechCrunch Japan

https://jp.techcrunch.com/2018/10/09/2018-10-08-heres-how-google-is-revamping-gmail-and-android-security/

東証関連

東証でシステム障害=一部で株売買できず:時事ドットコム

https://www.jiji.com/jc/article?k=2018100900327

株式売買システム(arrowhead)における一部接続障害について | 日本取引所グループ

https://www.jpx.co.jp/news/1030/20181009-01.html

10/10

Microsoft関連

2018 年 10 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/10/10/201810-security-updates/

2018年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起

http://www.jpcert.or.jp/at/2018/at180041.html

Microsoft 製品の脆弱性対策について(2018年10月):IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/ciadr/vul/20181010-ms.html

Windows 10 October Updateでファイルが消失する原因が判明 - PC Watch

https://pc.watch.impress.co.jp/docs/news/1147038.html

漫画村」酷似サイトを実名で紹介、セキュリティアナリストの記事に批判の声が続出【やじうまWatch】 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/yajiuma/1146970.html

Zaifフィスコに事業譲渡 テックビューロは解散へ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/10/news125.html

10/11

【セキュリティ ニュース】聖教新聞通販サイトから個人情報18万件が流出か - 偽決済画面でクレカ情報の詐取も(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】聖教新聞通販サイトから個人情報18万件が流出か - 偽決済画面でクレカ情報の詐取も(1ページ目 / 全1ページ):Security NEXT

仮面ブロガー、サイバー事件を斬る プロも注目 :日本経済新聞

https://www.nikkei.com/article/DGXMZO36178940V01C18A0CR8000/

総関西サイバーセキュリティLT大会(第11回)のまとめ - Togetter

https://togetter.com/li/1275356

[セキュリティ基本対策 5 か条] 第 5 条 バックアップの取得を設定する – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/10/11/securitybasicrule5/

10/12

2018年上半期の流出データは「45億件」、ジェムアルトが調査:漏えいデータのうち、暗号化済みはわずか1% - @IT

http://www.atmarkit.co.jp/ait/articles/1810/11/news071.html

仮想通貨取引所の陥落 vs. セキュリティ企業の個人情報収集 (1/3):セキュリティクラスタ まとめのまとめ 2018年9月版 - @IT

http://www.atmarkit.co.jp/ait/articles/1810/12/news020.html

信頼性の低いシマンテック証明書の置き換えが予想以上に遅いとMozillaが嘆き - GIGAZINE

https://gigazine.net/news/20181012-delaying-symantec-tls-ca-distrust/

サイバー犯罪に利用される公開ツール、5カ国のセキュリティ機関が注意喚起 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/12/news064.html

ヴィッセル神戸 ニュース/レポート : DF高橋峻希選手による出場予定メンバー情報漏洩に係る調査結果並びに処分決定に関するお知らせ

https://www.vissel-kobe.co.jp/news/article/15379.html

サイバー攻撃の主流はランサムウェアからマイニングマルウェアに? 2018年第1四半期以降急増 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1147569.html

漫画村に次ぐ「漫画塔」は、とあるアルメニア人の儚い夢だった - 無能ブログ

https://blog.cheena.net/1973

NTTデータ、金融機関でのセキュアなパブリッククラウド活用を支援するソリューション「A-gate」 - クラウド Watch

https://cloud.watch.impress.co.jp/docs/news/1147674.html

中国スパイチップ報道に揺れるシリコンバレーApple--Appleニュース一気読み - CNET Japan

https://japan.cnet.com/article/35126737/

Android端末が安いのは「ユーザーが個人情報を差出すから」と専門家。一方アップルはプライバシー重視を力説 - Engadget 日本版

https://japanese.engadget.com/2018/10/12/android/

Tenable、脆弱性評価ソリューションの最新版「Nessus 8」発表 | マイナビニュース

https://news.mynavi.jp/article/20181012-705534/

10/13

脆弱性を修正した「Wireshark」v2.6.4/2.4.10が公開 ~フリーのパケット解析ツール - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1147668.html

ハッキングで2900万人分の個人情報流出フェイスブックが確認 | ロイター

https://jp.reuters.com/article/facebook-cyber-idJPKCN1MM2G2

あなたはFacebookの情報流出の“被害者”だったのか? それを実際に確かめる方法|WIRED.jp

https://wired.jp/2018/10/13/facebook-hack-check-if-account-affected/

最後に

10月も半ばであっという間。

気になった記事2018/10 その1

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日(たまに例外あり)でまとめています。

  • 期間: 9/30 - 10/6
  • 全体に対してのコメント: 今週もいろいろな話題がありましたが、これはというものはなく、いろいろ起きているなあという印象です。

9/30

  • なし

10/1

Project Zeroの研究者、一部Linuxベンダーに苦言--セキュリティパッチ公開の遅さに - ZDNet Japan

https://japan.zdnet.com/article/35126345/

セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事

https://news.mynavi.jp/itsearch/article/security/4009

量子コンピューティングは暗号化技術を形骸化させるか―RSAのCTOに聞く | IT Leaders

https://it.impressbm.co.jp/articles/-/16763

IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

https://www.scutum.jp/information/waf_tech_blog/2018/10/waf-blog-058.html

【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/098496

2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと

http://mkt-eva.hateblo.jp/entry/2018/10/01/133344

サービス終了のお知らせ - Yahoo!ジオシティーズ

https://info-geocities.yahoo.co.jp/close/index.html

10/2

注意喚起

総務省DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)

http://www.soumu.go.jp/menu_news/s-news/01kiban04_02000141.html

Adobe Acrobat および Reader の脆弱性 (APSB18-30) に関する注意喚起

http://www.jpcert.or.jp/at/2018/at180040.html

RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム

https://lepidum.co.jp/blog/2018-10-01/tls1_3security/

英保守党のアプリから議員らの個人情報が漏えい - CNET Japan

https://japan.cnet.com/article/35126339/

推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す - GIGAZINE

https://gigazine.net/news/20181001-california-bill-require-better-password-iot/

カリフォルニア州接続される機器(コネクテッド・デバイス)のセキュリティ法 仮訳 - Harumichi Yuasa's Blog

https://blog.goo.ne.jp/yuasah1970/e/c2f2cfc4a7f7ea8c0d9b2a21dcd4d37d

不正な拡張機能が相次ぐChromeGoogleが防止対策を強化へ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/02/news055.html

Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1810/02/news057.html

10/3

【セキュリティ ニュース】経産省、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブコメ結果を公表(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/098548

「サイバー・フィジカル・セキュリティ対策フレームワーク(案)」に対する意見公募結果を取りまとめました (METI/経済産業省

http://www.meti.go.jp/press/2018/10/20181001004/20181001004.html

空港でスマホやPCと共にパスワードまで提出するよう求める法律が新たに施行 - GIGAZINE

https://gigazine.net/news/20181003-travellers-refusing-digital-search/

仮想通貨交換所セキュリティの考え方-パブリックドラフト - Google ドキュメント

https://docs.google.com/document/d/1-6YF_Flj05tjwgVE4SrNWyBJ4zDFhPBfyxObuwhjENA/

日報問題で揺れる防衛省、文書管理システムに558億円の謎 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/092700151/?n_cid=nbpnxt_twbn

Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」 | TechCrunch Japan

https://jp.techcrunch.com/2018/10/03/2018-10-02-facebook-finds-no-evidence-hackers-accessed-connected-apps/

【セキュリティ ニュース】不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象(1ページ目 / 全4ページ):Security NEXT

http://www.security-next.com/098578

Web開発初心者向けセキュリティ入門・SQLインジェクションXSSを試す - paiza開発日誌

https://paiza.hatenablog.com/entry/2018/10/03/paizacloud_web_security

PCI DSSに完全準拠する企業の割合が6年ぶりに低下 - ベライゾン | マイナビニュース

https://news.mynavi.jp/article/20181002-700304/

10/4

何問解ける?情報セキュリティの常識10選 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00457/100100001/

改ざん可能製品 捜査で使用 県警などの証拠写真記録SDカード

http://www.niigata-nippo.co.jp/news/national/20181004423472.html

「パスワードの使い回しをしない」だけで十分なのか | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-121-4.html

[セキュリティ基本対策 5 か条] 第 4 条 暗号化を行う - 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/10/04/securitybasicrule4/

10/5

一部第6世代以降のIntel CPU搭載機でOctober 2018 Updateのインストールがブロック - PC Watch

https://pc.watch.impress.co.jp/docs/news/1146510.html

macOSiOS向け当社アプリに関する重要なお知らせ】2018年10月5日更新 | トレンドマイクロ

https://www.trendmicro.com/ja_jp/about/announce/announces-20180912.html

中国、マイクロチップ使ってアマゾンやアップルにハッキング-関係者 - Bloomberg

https://www.bloomberg.co.jp/news/articles/2018-10-04/PG2CZY6TTDS801

マネージドサービスプロバイダー狙うAPT攻撃に米政府機関が注意喚起 - ZDNet Japan

https://japan.zdnet.com/article/35126615/

Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗 - ZDNet Japan

https://japan.zdnet.com/article/35126541/

10/6

Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る | TechCrunch Japan

https://jp.techcrunch.com/2018/10/06/2018-10-04-bloomberg-spy-chip-murky-world-national-security-reporting/

自分が読んだのは10/7だったりしますが、10/5の記事の関連でもあるし、10/6に公開されているようですので、ここで載せておきます。

最後に

ジオシティーズは自分が大学時代にはじめてWebページ(ホームページ)を大学以外で公開して作成したサービスでした。また、いろんなページをネットサーフィンしたサービスでもあります。安らかにお眠りください。

気になった記事2018/09 その4

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 9/23 - 9/29
  • 全体に対してのコメント: とりとめもなく気になったものをまとめただけになりました。特に印象に残っているのはJavaのリリースとFacebookの件です。

9/23

iOS 12で「同じパスワードの使い回し」がチェック可能に。(※iCloudキーチェーンで管理している場合のみ) | カミアプ

http://www.appps.jp/305645/

9/24

なぜ我々はいまだに文字列でコメントを書いているのか

https://qiita.com/tkrkt/items/2fc9a9a59ce679aab728

9/25

RECRUIT RED TEAMのセキュリティトレーニング:OSSへの貢献とCVE IDの取得 | リクルートテクノロジーズ メンバーズブログ

https://recruit-tech.co.jp/blog/2018/09/25/redteam_training/

セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press

https://press.forkwell.com/entry/2018/09/25/folio

Ponta Web(リクルートID)にリスト型攻撃?: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/09/ponta-webid-740.html

ブロッキングは出版業の救世主か 編集委員 関口和一 :日本経済新聞

https://www.nikkei.com/article/DGXMZO35558800Q8A920C1X12000/

Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/25/news065.html

「最悪のパスワード」禁止法案、カリフォルニア州議会で検討 | Forbes JAPAN(フォーブス ジャパン)

https://forbesjapan.com/articles/detail/23131

仮想通貨マイニングを悪用した攻撃の事例紹介 - SSTエンジニアブログ

https://techblog.securesky-tech.com/entry/2018/09/25/

macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1809/25/news086.html

セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press

https://press.forkwell.com/entry/2018/09/25/folio

ASCII.jp:100Gbps専用線接続「ExpressRoute Direct」、大規模データ検索を高速実行する「Azure Data Explorer」など多数の新発表 (1/2)|さとうなおきの「週刊アジュール」

http://ascii.jp/elem/000/001/747/1747347/

もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと (1/2):ビジネスインフラを狙う攻撃にどう対応するか(1) - @IT

http://www.atmarkit.co.jp/ait/articles/1809/18/news024.html

日本の弱点は大学、世界のサイバー攻撃者が狙う | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/091800072/091800001/

セキュリティコストを抑制する5つの掟 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/mag/sys/18/091900038/091900001/

ASCII.jp:学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露! (1/2)|Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート

http://ascii.jp/elem/000/001/745/1745712/

9/26

DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認 | セキュリティ対策のラック

https://www.lac.co.jp/lacwatch/people/20180925_001704.html

マイクロソフトがセキュリティ強化、セキュリティ被害を30分の1に削減する「Microsoft Secure Score」など発表 | IoTニュース:IoT NEWS

https://iotnews.jp/archives/107731

Firefox Monitor

Introducing Firefox Monitor, Helping People Take Control After a Data Breach - The Mozilla Blog

https://blog.mozilla.org/blog/2018/09/25/introducing-firefox-monitor-helping-people-take-control-after-a-data-breach/

Mozilla、情報漏洩の被害に遭ってないかをチェックする“Firefox Monitor”をリリース - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1144794.html

やはり、そうなんだなあと思いました。

米陸軍の予備役で働く中国人 スパイ容疑で逮捕 | NHKニュース

https://www3.nhk.or.jp/news/html/20180926/k10011644511000.html

Java 11正式版がリリース、本バージョンからOracle JDKのサポートは有償に。OpenJDKで無償の長期サポート提供は現時点で期待薄 - Publickey

https://www.publickey1.jp/blog/18/java_11oracle_jdkopenjdk.html

9/27

[セキュリティ基本対策 5 か条] 第 3 条 アカウントやパスワードを管理する – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/09/27/securitybasicrule3/

ホワイトハッカーの手を借りてバグを修正!BugBounty のススメ

https://blog.zaim.co.jp/n/nf3194b546a16

テストは20万時間、東京五輪ITシステムの舞台裏:スポーツIT革命の衝撃 - スポーツイノベイターズオンライン

https://tech.nikkeibp.co.jp/dm/atcl/feature/15/110200006/060800082/

9/28

wizSafe Security Signal 2018年8月 観測レポート wizSafe Security Signal -安心・安全への道標- IIJ

https://wizsafe.iij.ad.jp/2018/09/450/

CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub

https://gist.github.com/mala/ba23a7c1356857fd8297bc7efefcd34c

Alphabet傘下のChronicleがマルウェアスキャンVirusTotalエンタープライズバージョンを立ち上げ | TechCrunch Japan

https://jp.techcrunch.com/2018/09/28/2018-09-27-alphabets-chronicle-launches-an-enterprise-version-of-virustotal/

Microsoft Azure上での実行目的ならJavaの長期サポート(LTS)を無料提供、MacWindowsでの開発用途もOK。マイクロソフトとAzul Systemsが提携で - Publickey

https://www.publickey1.jp/blog/18/microsoft_azurejavaltsmacwindowsokazul_systems.html

9/29

Facebookの5,000万人分の情報流出について、いま知っておくべきこと|WIRED.jp

https://wired.jp/2018/09/29/facebook-security-breach-50-million-accounts/

MicrosoftMS-DOSソースコードGitHubで公開 | ソフトアンテナブログ

https://www.softantenna.com/wp/software/microsoft-open-source-ms-dos/

最後に

台風怖い。