気になった記事2018/09 その2

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 9/9 - 9/15
  • 全体に対してのコメント: Microsoftのアップデートやdポイントやトレンドマイクロの話題が気になりました。

9/9

AppleMac App Storeから削除したアプリ以外にも、複数のセキュリティ系アプリがユーザーデータを収集し外部のサーバーへ送信していることが確認される。 | AAPL Ch.

https://applech2.com/archives/20180909-trend-micro-app-stealing-user-data.html

ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog

https://www.mbsd.jp/blog/20180907.html

2017年のJoomla LDAPインジェクション脆弱性について - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

https://www.scutum.jp/information/waf_tech_blog/2018/09/waf-blog-057.html

モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開 | セキュリティ対策のラック

https://www.lac.co.jp/lacwatch/people/20180831_001686.html

コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開 - Publickey

https://www.publickey1.jp/blog/18/scalecert.html

9/10

知らなかった、時に困るWebサービスのセキュリティ対策 / Where Do We Start With Information Security? - Speaker Deck

speakerdeck.com

URLがなにかおかしい……「Google Chrome 69」に加えられたある小さな変更が話題に - やじうまの杜 - 窓の杜

https://forest.watch.impress.co.jp/docs/serial/yajiuma/1142317.html

これ、地味に嫌じゃないかなあ。

"ハッカーの祭典"DEFCON 26 〜DEFCON CTF参加者インタビュー〜 | ココン株式会社

https://cocon-corporation.com/cocontoco/defconctf_interview/

DBやセキュリティ製品で乗り換えの兆し、価格への不満が高まる | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/083000135/

「サイバー保険」って何?加入する組織で働く従業員が知っておくべきこと|@DIME アットダイム

https://dime.jp/genre/594751/

動く標的を追いかけて――「Spamhaus」約20年の歩み:セキュリティ・アディッショナルタイム(25) - @IT

http://www.atmarkit.co.jp/ait/articles/1809/10/news020.html

サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ

https://blog.trendmicro.co.jp/archives/19522

ポイント不正利用関連

dポイントが加盟店で不正利用される被害 その2: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/09/d-2-07ed.html

ローソンID会員様へのアカウントメールアドレス・パスワード変更のお願い|ローソン

http://www.lawson.co.jp/info/20180908_mai.html

Coinhive利用サイトを探してみた - SSTエンジニアブログ

https://techblog.securesky-tech.com/entry/2018/09/10/

なぜパスワードに数字・記号を強制すべきでないのか | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-121-3.html

9/11

日経ビジネスが報じたパスワード16億件流出についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180910/1536610792

トレンドマイクロのアプリの話題

トレンドマイクロ、アプリによるブラウザー履歴の収集を認める | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02602/

Answers to Your Questions on Our Apps in the Mac App Store -

https://blog.trendmicro.com/answers-to-your-questions-on-our-mac-apps-store/

IoTマルウェア「Mirai」がApache Struts脆弱性を標的に 脆弱性放置に警鐘 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/11/news065.html

当選詐欺リダイレクト広告の配信経路とメカニズム - Togetter

https://togetter.com/li/1265394

これは消滅してほしい

ポイント不正利用関連続き

ローソンが不正アクセス対策に乗り出した! : よしなしごと

http://yoshinashigoto.blog.jp/archives/11905959.html

「dポイントカード」の不正利用について | 負けない投資術 ■ ポイント投資 サヤ取り

https://ameblo.jp/pointtoushi/entry-12403505705.html

ドコモのセキュリティ意識の低さが浮き彫りに | 負けない投資術 ■ ポイント投資 サヤ取り

https://ameblo.jp/pointtoushi/entry-12403930854.html

英国航空から38万件の銀行・クレジットカード情報流出 | マイナビニュース

https://news.mynavi.jp/article/20180911-691287/

9/12

Google Chrome 69」にセキュリティ更新 ~物議を醸していたサブドメインの省略は無効に - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1142619.html

FirefoxWindows XPVista対応版のサポートを終了 - Computerworldニュース:Computerworld

https://tech.nikkeibp.co.jp/it/atcl/idg/14/481542/091200548/

Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE

https://gigazine.net/news/20180912-microsoft-software-updates-critical-vulnerabilities/

ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20180911-00096494/

ネット閲覧履歴を外部送信 トレンドマイクロ製ソフト - 共同通信

https://this.kiji.is/412341786804274273?c=39550187727945729

Apple takes down Trend Micro Mac apps that collected, stored user data | Ars Technica

https://arstechnica.com/gadgets/2018/09/apple-takes-down-trend-micro-mac-apps-that-collected-stored-user-data/

サポート情報 : トレンドマイクロ

https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271

サマータイム」はセキュリティホールなのか? (1/3):セキュリティクラスタ まとめのまとめ 2018年8月版 - @IT

http://www.atmarkit.co.jp/ait/articles/1809/12/news021.html

2018 年 9 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/09/12/201809-security-updates/

Adobe Security Bulletin

https://helpx.adobe.com/security/products/flash-player/apsb18-31.html

ウイルスバスターなどトレンドマイクロ製品がiOSApp Storeから削除される - ケータイ Watch

https://k-tai.watch.impress.co.jp/docs/news/1142672.html

ドコモ、ポイント不正利用の原因特定 被害は3.5万件 :日本経済新聞

https://www.nikkei.com/article/DGXMZO35264260S8A910C1X35000/

はたしてそれはウイルスなのか? Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿:日経 xTECH Active

https://tech.nikkeibp.co.jp/it/atclact/active/17/081800125/072700010/?n_cid=nbpnxta_twbn

2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと

http://mkt-eva.hateblo.jp/entry/2018/09/03/070300

9/13

WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ

https://www.infoq.com/jp/news/2018/09/whitesource-free-oss-checking

[セキュリティ基本対策 5 か条] 第 1 条 最新の状態で利用する – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/09/13/securitybasicrule1/

募集要項 – Hardening II SecurEach | Web Application Security Forum - WASForum

https://wasforum.jp/hardening-project/hardening-ii-secureach/

9/14

「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある | TechCrunch Japan

https://jp.techcrunch.com/2018/09/13/2018-09-12-security-flaw-in-nearly-all-modern-pcs-and-macs-leaks-encrypted-data/

企業とセキュリティの脆弱性を発見するハッカーをつなぐHackerOne | The SV Startups 100

https://svs100.com/hackerone/

ASCII.jp:ServiceNowが脆弱性対応日数を60%短縮できる理由、担当幹部に聞く

http://ascii.jp/elem/000/001/741/1741813/

文系エンジニアですが、ハッカーになれますか? (1/3):教えて! キラキラお兄さん - @IT

http://www.atmarkit.co.jp/ait/articles/1809/14/news013.html

9/15

Internet Explorerは意外にしぶとい Windowsデフォルトブラウザの功罪 (1/2) - ITmedia PC USER

http://www.itmedia.co.jp/pcuser/articles/1809/15/news014.html

【いま大人が子供にできること(84)】読まれたくないスマホ文章を、韓国語に変換する中学生(ニュースソクラ) - Yahoo!ニュース

https://headlines.yahoo.co.jp/hl?a=20180915-00010000-socra-soci

隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog

https://www.mbsd.jp/blog/20180914.html

最後に

生活意欲が低下しているかもしれない。

気になった記事2018/09 その1

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 9/2 - 9/8
  • 全体に対してのコメント: これといった流れはないのですが、いろんな記事がありました。

9/2

Burp Suite日本語ドキュメント | burp-resources-ja

https://burp-resources-ja.webappsec.jp/

ブラウザをひそかに乗っ取り勝手に盗掘する新手の「クリプトジャッキング」が急増 | CoinChoice

https://coinchoice.net/new-crypto-jacking-surges/

先週のサイバー事件簿 - 偽「国境なき医師団」の詐欺に注意 | マイナビニュース

https://news.mynavi.jp/article/20180901-687381/

TLPT・TIBERに関する動向まとめ - セキュリティコンサルタントの日誌から

https://www.scientia-security.org/entry/2018/09/01/101945

Cisco CatalystTDR試験コマンドでポート故障を遠隔診断する - miyalog

https://miyalog.hatenablog.jp/entry/catalyst_tdr_cable-diagnostics

9/3

【セキュリティ ニュース】Windowsタスクスケジューラのゼロデイ脆弱性、回避策が公開 - 独自パッチも(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097556

不正ログインどう防ぐ 最低限知っておきたいパスワード設定 (1/3) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/03/news014.html

Google、「ウイルスに感染しました」などの詐欺広告対策で検証プログラム立ち上げへ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/03/news060.html

9/4

NTTセキュリティ、米Symantec社との戦略パートナーシップの一環としてSymantec社製クラウド型セキュリティサービスを組み込んだ高度分析サービスを提供開始|NTTセキュリティ株式会社のプレスリリース

https://www.atpress.ne.jp/news/164915

9/5

GoogleAndroidの月例セキュリティ情報公開 メディアフレームワークに深刻な脆弱性 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/05/news063.html

Chrome 69」安定版、10周年でパスワード自動生成など多数の新機能 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/05/news058.html

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr183401.html

正規のWindowsツールを使って不正ファイルをダウンロード--情報盗取の新攻撃 - ZDNet Japan

https://japan.zdnet.com/article/35125030/

9/6

他社の「有事」を自分事として生かす「平時」であれ――セキュリティリサーチャーズが示す、平時と有事の対応指針とは:@ITセキュリティセミナー2018.6-7 - @IT

http://www.atmarkit.co.jp/ait/articles/1809/04/news003.html

Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)

http://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html

Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan

https://japan.zdnet.com/article/35125188/

7月は「memcached」を悪用した攻撃や「.iqy」ファイル付きスパムメール攻撃を確認~IIJ調査 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1141694.html

9/7

バグバウンティの始め方 - No1zy Web Security Blog

https://no1zy.hatenablog.com/entry/how-to-start-bugbounty

本物のパスワードで信用させる、脅迫メールのえげつない中身 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/082700025/

海賊版サイトにDoS攻撃「全く賛同しない」 JAIPA、IT団体連盟の案に反対 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/07/news080.html

個人情報流出事件が原因か? 米国で顕著な「Facebook離れ」、具体的な割合も明らかに【やじうまWatch】 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/yajiuma/1141934.html

目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ (1/4):セキュリティ・アディッショナルタイム(24) - @IT

http://www.atmarkit.co.jp/ait/articles/1809/07/news020.html

ASCII.jp:RPAユーザーが再び金曜夜に大集合!RPA Community勉強会Vol4 (1/2)

http://ascii.jp/elem/000/001/737/1737450/

9/8

「社会的責任」からじゃない。 趣味でつくって、おすそ分け。──まつもとゆきひろ|WIRED.jp

https://wired.jp/waia/2018/01_yukihiro-matsumoto/

最後に

台風に地震、散々な一週間な印象でした。

気になった記事2018/08 その5

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/26 - 9/01
  • 全体に対してのコメント: QRコードとかEVSSLとか。

8/26

2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180824/1535144979

マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log

https://cha-shu00.hatenablog.com/entry/2018/08/25/122848

Ghostscript脆弱性ImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている

http://d.hatena.ne.jp/ozuma/20180826/1535258202

個人でEV SSL証明書は取れるのか (2) - ろば電子が詰まっている

http://d.hatena.ne.jp/ozuma/20180825/1535255303

FirefoxでオレオレEVSSL証明書

https://qiita.com/angel_p_57/items/ffa34ae8953059deb4a6

8/27

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-129-1.html

パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00900/

マストドンセキュリティガイドライン - ashphy's commit logs

http://ashphy.hateblo.jp/entry/mastodon-securit-guidelines

「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission

https://srad.jp/submission/78134/

QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー|:QRコードメーカーお知らせ

https://m.qrqrq.com/service/news/

T-Mobile不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/27/news066.html

8/28

【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097343

デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02449/

Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog

http://eng-blog.iij.ad.jp/archives/1968

【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097318

【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷|セキュリティ|IT製品の事例・解説記事

https://news.mynavi.jp/itsearch/article/security/3912

iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1808/28/news033.html

8/29

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr183301.html

「微博」など中国SNSから個人情報30億件流出 現地IT企業トップが首謀か (1/2ページ) - SankeiBiz(サンケイビズ)

https://www.sankeibiz.jp/macro/news/180829/mcb1808290500001-n1.htm

子どもに「パスワード」の付け方を教えられますか? (1/2) - ITmedia PC USER

http://www.itmedia.co.jp/pcuser/articles/1808/28/news084.html

Black Hat USA 2018 & DEF CON 26レポート(1) - DARK MATTER

https://io.cyberdefense.jp/entry/2018/08/29/Black_Hat_USA_2018_%26_DEF_CON_26%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88%281%29

ヤマハの一部ルーターファイアウォールスクリプトインジェクションの脆弱性 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1140382.html

8/30

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20180829-00094904/

QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ

http://nlab.itmedia.co.jp/nl/articles/1808/28/news115.html

dポイントが加盟店で不正利用される被害: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html

2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記

http://d.hatena.ne.jp/hatenadiary/20180830/blog_unify

サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース

https://www3.nhk.or.jp/news/html/20180830/k10011599481000.html

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11092

GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)

GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)

8/31

ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース

https://www.sankei.com/economy/news/180830/ecn1808300032-n1.html

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/08/31/o365_tls/

Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE

https://gigazine.net/news/20180831-google-mastercard-data-link/

Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE

https://gigazine.net/news/20180831-firefox-block-trackers-default/

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

https://wizsafe.iij.ad.jp/2018/08/428/

ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

https://www.mbsd.jp/blog/20180831.html

不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース:セキュリティ通信:So-netブログ

https://security-t.blog.so-net.ne.jp/2018-08-31

9/1

Firefoxに実行時パッチ(オレオレEVSSL番外編)

https://qiita.com/angel_p_57/items/973960bc4b301c91611b

GRCSがSBTと協業、ImpervaのクラウドWAF「Imperva Incapsula」やマネージドサービスを提供 - クラウド Watch

https://cloud.watch.impress.co.jp/docs/news/1140616.html

ASCII.jp:経営寄りの技術者、橋渡し人材の重要性|ホワイトハッカーのおしごと

http://ascii.jp/elem/000/001/730/1730343/

ブロックチェーンハッカーから電力網を保護する、Xageのセキュリティ自動化ツール | TechCrunch Japan

https://jp.techcrunch.com/2018/08/29/2018-08-28-xage-security-automation-tool-could-protect-power-grid-from-hackers/

最後に

8月が終わった。

気になった記事2018/08 その4

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/19 - 8/25
  • 全体に対してのコメント: 今週も雑多な感じですが、Atruts2の話題が多かった印象です。

8/19

Googleは「邪悪な」検閲付き検索で中国に進出するのか? - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/19/news012.html

Android端末は買った瞬間からセキュリティに“穴”がある? 米企業が調査結果を公表|WIRED.jp

https://wired.jp/2018/08/18/android-smartphones-vulnerable/

8/20

Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck

speakerdeck.com

ブロックチェーンサービスのセキュリティを考える - Speaker Deck

speakerdeck.com

本当にわかる Spectre と Meltdown

www.slideshare.net

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)

http://www.antiphishing.jp/news/alert/saison_20180820.html

家には来てないけれど、気を付けたい。

無一文館: オリンピックボランティアステマ騒動まとめ

http://muichimonkan.blogspot.com/2018/08/blog-post.html

8/21

「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/21/news019.html

不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1808/21/news046.html

WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3):今さら聞けない「セキュリティ基礎の基礎」(1) - @IT

http://www.atmarkit.co.jp/ait/articles/1808/20/news009.html

日本のハッカー元祖が語る、花形プログラマー育成に必要なこと

https://newswitch.jp/p/14132

8/22

4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02374/

8/23

Apache Struts2 (CVE-2018-11776)(S2-057) 関連

Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース

https://nanashi0x.hatenablog.com/entry/apache-struts2-vuls1

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

https://www.jpcert.or.jp/at/2018/at180036.html

Apache Struts2脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/ciadr/vul/20180823-struts.html

Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

https://japan.zdnet.com/article/35124441/

北河さんのツイート

お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1139204.html

グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11060

GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan

https://japan.zdnet.com/article/35124415/

ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00205/080200008/

Black Hat USA 2018 & DEF CON 26! の登壇

https://www.mbsd.jp/blog/20180817.html

【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話

http://harv-tech.hatenablog.com/entry/new-employee-training

8/24

記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog

http://blog.livedoor.jp/blackwingcat/archives/1971605.html

民主党へのサイバー攻撃、実は「テスト」 :日本経済新聞

https://www.nikkei.com/article/DGXMZO34540100U8A820C1000000/

ニュースになっていない攻撃: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/08/post-80b7.html

8/25

【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定(1ページ目 / 全2ページ):Security NEXT

http://www.security-next.com/096892

【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097088

最後に

自分の所属している組織でもフィッシングメール訓練があったのですが、結構な数の人がメールを開いたとの結果報告をみました。メール開く開かないはそんなに重要ではなくて、開いてしまったときにちゃんと決められたとおりに報告できるか、周りと連携できているかも集計したほうがいいのではないかと思いました。中にはちゃんと報告があったようだったので、まったく無駄ではなかったのだなあと思いました。とはいえ、今回とりあげた「米民主党へのサイバー攻撃、実は「テスト」 」みたいなケースもあるので気をつけて運用してほしいし、自分が実施する立場になったら気をつけたいです。

気になった記事2018/08 その3

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/12 - 8/18
  • 全体に対してのコメント: 今週は各種アップデートがある週でした。お盆休みんも人も多いと思いますので週明けはアップデートを忘れずに実施したいところです。

8/12

IBMがセキュリティソフトを回避して特定の標的だけを攻撃するマルウェア「DeepLocker」を開発 - GIGAZINE

https://gigazine.net/news/20180810-deeplocker/

【セキュリティ ニュース】偽「佐川急便」の不在通知SMS、今度は認証コード詐取するスミッシング(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096748

8/13

国会議員公式サイトなどの改ざん(画像設置)についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180812/1534098021

8/14

docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180813/1534182978

北朝鮮ハッカーもリソースを節約--コード再利用の実態が明らかに - ZDNet Japan

https://japan.zdnet.com/article/35123936/

2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ:OSS脆弱性ウォッチ(8) - @IT

http://www.atmarkit.co.jp/ait/articles/1808/09/news021.html

"偽造"のマウスクリックでシステムを危険に?「macOS」の脆弱性--DEF CON - ZDNet Japan

https://japan.zdnet.com/article/35123986/

世界最大のハッカー大会で韓国チームが3年ぶりに優勝=韓国ネ...|レコードチャイナ

https://www.recordchina.co.jp/b634013-s0-c20-d0127.html

8/15

アップデート関連

2018 年 8 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/08/15/201808-security-updates/

【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096839

Adobe Flash Player 30」の月例セキュリティアップデートが公開 ~互換性問題も修正 - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1138108.html

【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096839

<<< JPCERT/CC WEEKLY REPORT 2018-08-15 >>>

https://www.jpcert.or.jp/wr/2018/wr183101.html

セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan

https://japan.zdnet.com/article/35124088/

Instagramにハッキング被害。数百人規模のアカウント乗っ取り、2要素認証も突破との報告も - Engadget 日本版

https://japanese.engadget.com/2018/08/14/instagram-2/

【セキュリティ ニュース】【訂正あり】「Oracle Database」にあらたな脆弱性、一部バージョンは7月のパッチで修正済み(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096764

Androidの外部ストレージ経由で侵入する「man-in-the-disk」攻撃。不用意に保管したアプリデータを改ざん - Engadget 日本版

https://japanese.engadget.com/2018/08/15/android-sd-man-in-the-disk/

【セキュリティ ニュース】Intelチップに脆弱性「Foreshadow」 - クラウドVM間で情報漏洩のおそれも(1ページ目 / 全4ページ):Security NEXT

http://www.security-next.com/096826

8/16

Black Hat USA 2018 トレーニング参加記

https://www.mbsd.jp/blog/20180813.html

「世界最悪のログイン処理コード」を解説してみた

https://qiita.com/YSRKEN/items/0095cf75be3f607b0f98

【セキュリティ ニュース】VMware脆弱性「Foreshadow」向けにパッチを用意 - 緩和策も(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096848

8/17

セキュリティキー、オバマ氏の選挙戦でハッカー対策に効果を発揮--YubicoのCEOが指摘 - CNET Japan

https://japan.cnet.com/article/35124189/

最多のDDoS攻撃は「SYNフラッド」、CDNetworksが2018年第1四半期の動向を発表:中国で激増 - @IT

http://www.atmarkit.co.jp/ait/articles/1808/17/news043.html

【セキュリティ ニュース】MS、「Foreshadow」対策でアドバイザリ - アップデートや追加対応策の実施を(1ページ目 / 全3ページ):Security NEXT

http://www.security-next.com/096927

「Node.js」の2018年8月セキュリティ更新が公開 ~「OpenSSL」もアップグレード - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1138274.html

【セキュリティ ニュース】教諭が生徒情報含むUSBメモリをリュックごと紛失 - 千葉市(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096720

8/18

Appleサーバをハッキングした16歳少年の動機は? - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/17/news050.html

最後に

個人的には新しいPCを買っていろいろ準備しているところです。

ノートパソコンを新しく買った

これは何?

久しぶりにパソコンを買ったので、自分用にいろいろメモしておくものです。

なんで買ったの?

買った理由は以下の通り。

  • 久しぶりに外部の勉強会に出てみて、実験するための環境が欲しくなった。
  • 夏場は作業机のある部屋のエアコンをケチっている
  • エアコンのある部屋に持ち運べるノートパソコンが欲しい

何を買ったの?

DELLDell Inspiron 13 5000 2-in-1シリーズです。

  • メモリ 4 8GB
  • SSD 256GB
  • 画面は13インチくらいでいいや

で検索してちょうどよいのがDELLでした。

DELLのサイトでカスタマイズで買ったので上記とは少し仕様がちがいますが、似たようなものです。8月5日に発注して届いたのが8月16日でした。カスタマイズしていると時間がかかるというのは検索して読んでましたが確かに時間がかかりました。日本に到着するまでが長かったです。外に持っていくのはやや重いものの、家の中では全く問題ないです。この重さでタブレットとして使うのはつらいと思います。

インストールしたものメモ

今日届いてアップデートとかして最小限のものをインストール。ほかにもいくつか追加すると思いますが、とりあえず。

まとめ

せっかく買ったので使い倒したいと思います。

更新履歴

  • 2018.08.16 公開
  • 2018.08.18 インストールしたもの追加
  • 2018.08.18 インストールしたもの追加
  • 2018.10.08 インストールしたもの追加
  • 2018.10.27 インストールしたもの追加
  • 2019.03.21 インストールしたもの修正・メモリ容量修正

気になった記事2018/08 その2

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/5 - 8/11
  • 全体に対してのコメント: 佐川さん関連の記事が印象に残りますが、教訓としてそれぞれのところで事故が起きないようにしていきたいものだと思います。

8/5

第16回 STOP!提供元不明インストール!!スペシャル - podcast - #セキュリティのアレ

http://www.tsujileaks.com/?p=495

日曜日に公開いただけると、月曜の通勤で聞けてありがたいです。印象に残っていることは

  • 佐川急便の詐欺サイト
  • パスワードの使い回しからの2段階認証
  • イベントの紹介

8/6

ダークウェブの住人たちを襲う次世代の「プロキシ型」フィッシング詐欺 - 無能ブログ

https://blog.cheena.net/1651

次のFirefoxではDNS問い合わせ先としてCloudflareが利用できる見込み - GIGAZINE

https://gigazine.net/news/20180806-firefox-dns-resolution-cloudflare/

8/7

ほんとうに大事なサービスを守れるのか!? 実運用に向けてAWS WAFを検討してみた - Speaker Deck

speakerdeck.com

日本の銀行のSSL/TLS対応状況 2018年7月末 - がとらぼ

https://gato.intaa.net/archives/13064

FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(1)日本はグローバルセキュリティ業界のインナーサークルにいない | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

https://scan.netsecurity.ne.jp/article/2018/08/06/41257.html

暗号化ZIPはパスワードを別経路で知らせれば安全なのか? | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-121-2.html

汚れたAmazonレビュー 数珠が家電に化ける時

https://www.buzzfeed.com/jp/ryosukekamba/amazon?utm_term=.utnJMJy8m#.uv8NlNe83

「PC操作ログ」で何が分かるのか、西松建設が取り組むセキュリティ対策とその先:PC業務の見える化は、働き方改革につながるのか? - @IT

http://www.atmarkit.co.jp/ait/articles/1808/07/news005.html

JSOC INSIGHT vol.20 | セキュリティ対策のラック

https://www.lac.co.jp/lacwatch/report/20180807_001677.html

8/8

ダークウェブ界の大物、痛恨のミス 見えてきた“正体” (1/3) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/08/news016.html

お疲れさま、そしてサヨウナラ、エメット(EMET)さん:山市良のうぃんどうず日記(133) - @IT

http://www.atmarkit.co.jp/ait/articles/1808/07/news009.html

WPA/WPA2攻撃手法関連

PMKIDを悪用するWiFiハッキング手法を発見。 - 忙しい人のためのサイバーセキュリティニュース

https://nanashi0x.hatenablog.com/entry/2018/08/08/220000

WPA/WPA2を悪用して最新Wi-Fiルーターから簡単にパスワードを盗み出す方法 - GIGAZINE

https://gigazine.net/news/20180808-wpa-2-hack-wifi-password/

8/9

sagawa.apkとfacebook.apkの怪しい関係 - セキュリティごった煮ブログ|ネットエージェント

https://www.netagent.co.jp/study/blog/hard/20180802.html

米国の大手キャリア各社の携帯電話に脆弱性 - ZDNet Japan

https://japan.zdnet.com/article/35123788/

Wi-Fiセキュリティ規格WPA3は世代交代だ、KRACK対応だけが目的ではない | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00134/073000069/

子どものITセキュリティに家族で向き合っていますか? (1/2) - ITmedia PC USER

http://www.itmedia.co.jp/pcuser/articles/1808/09/news035.html

MIT Tech Review: スプリンクラー脆弱性、「ゾンビ化」で断水の恐れ

https://www.technologyreview.jp/nl/hackers-could-turn-your-garden-sprinklers-into-a-cyber-weapon/

8/10

佐川急便の不正アプリ対策でトレンドマイクロがバッシングされた真相 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/080700122/?n_cid=nbpnxt_twcm_it

サマータイム実施は不可能」スライドが話題 「経済被害が兆単位」「サイバーテロをお膳立て」立命大・上原教授が指摘 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/10/news090.html

8/11

優秀なサイバーセキュリティ専門家を採用する方法 | Cylance Japan株式会社

https://www.cylance.com/ja_jp/blog/jp-how-to-hire-a-cybersecurity-professional.html

Black Hat USA 2018 (Keynote, Briefings, Arsenal)

https://www.mbsd.jp/blog/20180810.html

最後に

8/12 週は夏休みなのですが、仕事もあるというよくわからない週となりそうです。