気になった記事2018/09 その3

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 9/16 - 9/22
  • 全体に対してのコメント: 仮想通貨の盗難やiOS 12リリース、日本ハッカー協会の設立などが気になりました。

9/16

NTTデータ、加盟店におけるカード番号の非保持化対応を支援するソリューション - クラウド Watch

https://cloud.watch.impress.co.jp/docs/news/1143173.html

9/17

  • なし

9/18

Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan

https://japan.zdnet.com/article/35125734/

長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan

https://japan.zdnet.com/article/35125742/

インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1809/18/news018.html

iOS関連

Apple、「iOS 12」を一般公開 ~パフォーマンスの大幅向上で古い端末でも快適に動作 - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1143390.html

iOS 12のセキュリティー設定、トップ5――バージョンアップを機に今すぐ確認しておこう | TechCrunch Japan

https://jp.techcrunch.com/2018/09/18/2018-09-17-five-security-settings-in-ios-12-you-should-change-right-now/

日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch

https://cloud.watch.impress.co.jp/docs/event/1143350.html

徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ

https://qiita.com/dh-megane/items/a3382b12597f4bd85912

Ep.3: blackhat・DEF CONスペシャル - セキュア旅団

https://secure-brigade.com/podcast/episode-3/

メールに特化した詐称ドメインについて - tike blog

https://tike.hatenablog.com/entry/2018/09/18/005041

国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01010/

noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい

https://oreno-yuigon.hatenablog.com/entry/2018/09/17/234009

【セキュリティ ニュース】PHP脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT

http://www.security-next.com/098005

GoogleAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE

https://gigazine.net/news/20180918-google-remote-android-mobile/

9/19

脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck

speakerdeck.com

セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan

https://japan.zdnet.com/article/35125707/

ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1809/19/news042.html

さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT

http://www.atmarkit.co.jp/ait/articles/1809/19/news013.html

「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT

http://www.atmarkit.co.jp/ait/articles/1809/14/news016.html

仮想通貨を要求する日本語の脅迫メールについて

http://www.jpcert.or.jp/newsflash/2018091901.html

マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan

https://japan.zdnet.com/article/35125806/

日本ハッカー協会

悪の道からハッカーを守る:日経ビジネスDigital

https://business.nikkeibp.co.jp/atcl/NBD/15/depth/091801214/?ST=pc

ASCII.jp:日本ハッカー協会設立、正しい認識の普及と活躍の場づくり支援

http://ascii.jp/elem/000/001/743/1743456/

ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp

https://wired.jp/2018/09/18/case-linkage-hacker-attribution/

9/20

高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース

http://news.livedoor.com/article/detail/15328306/

被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20180919-00097499/

[セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/09/20/securitybasicrule2/

Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE

https://gigazine.net/news/20180920-waitlist-dat/

Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE

https://gigazine.net/news/20180920-lenovo-backdoor-in-china/

「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE

https://gigazine.net/news/20180920-mirai-botnet-creators-helping-fbi/

フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT

http://www.atmarkit.co.jp/ait/articles/1809/21/news023.html#utm_term=share_sp

10年モノのインフラを3年がかりでカイゼンした

https://qiita.com/sasasin/items/30585a3a117d64973645

Zaifで発生した不正送金事案についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180920/1537414861

9/21

第17回 スクープ!スクープ!16億!スペシャル « podcast - #セキュリティのアレ

http://www.tsujileaks.com/?p=498

e+のリスト型攻撃の被害の特徴: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/09/e-6487.html

Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎 - サインのリ・デザイン

https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/

リスト型攻撃は本当か、ケイ・オプティコムの情報漏洩 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01042/

9/22

Windows Server 2008のEOSに伴うAzure移行の基礎知識(前) | マイナビニュース

https://news.mynavi.jp/article/20180921-695224/

最後に

4日しか働かないとさらに1週間が早い。

気になった記事2018/09 その2

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 9/9 - 9/15
  • 全体に対してのコメント: Microsoftのアップデートやdポイントやトレンドマイクロの話題が気になりました。

9/9

AppleMac App Storeから削除したアプリ以外にも、複数のセキュリティ系アプリがユーザーデータを収集し外部のサーバーへ送信していることが確認される。 | AAPL Ch.

https://applech2.com/archives/20180909-trend-micro-app-stealing-user-data.html

ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog

https://www.mbsd.jp/blog/20180907.html

2017年のJoomla LDAPインジェクション脆弱性について - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

https://www.scutum.jp/information/waf_tech_blog/2018/09/waf-blog-057.html

モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開 | セキュリティ対策のラック

https://www.lac.co.jp/lacwatch/people/20180831_001686.html

コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開 - Publickey

https://www.publickey1.jp/blog/18/scalecert.html

9/10

知らなかった、時に困るWebサービスのセキュリティ対策 / Where Do We Start With Information Security? - Speaker Deck

speakerdeck.com

URLがなにかおかしい……「Google Chrome 69」に加えられたある小さな変更が話題に - やじうまの杜 - 窓の杜

https://forest.watch.impress.co.jp/docs/serial/yajiuma/1142317.html

これ、地味に嫌じゃないかなあ。

"ハッカーの祭典"DEFCON 26 〜DEFCON CTF参加者インタビュー〜 | ココン株式会社

https://cocon-corporation.com/cocontoco/defconctf_interview/

DBやセキュリティ製品で乗り換えの兆し、価格への不満が高まる | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/083000135/

「サイバー保険」って何?加入する組織で働く従業員が知っておくべきこと|@DIME アットダイム

https://dime.jp/genre/594751/

動く標的を追いかけて――「Spamhaus」約20年の歩み:セキュリティ・アディッショナルタイム(25) - @IT

http://www.atmarkit.co.jp/ait/articles/1809/10/news020.html

サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ

https://blog.trendmicro.co.jp/archives/19522

ポイント不正利用関連

dポイントが加盟店で不正利用される被害 その2: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/09/d-2-07ed.html

ローソンID会員様へのアカウントメールアドレス・パスワード変更のお願い|ローソン

http://www.lawson.co.jp/info/20180908_mai.html

Coinhive利用サイトを探してみた - SSTエンジニアブログ

https://techblog.securesky-tech.com/entry/2018/09/10/

なぜパスワードに数字・記号を強制すべきでないのか | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-121-3.html

9/11

日経ビジネスが報じたパスワード16億件流出についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180910/1536610792

トレンドマイクロのアプリの話題

トレンドマイクロ、アプリによるブラウザー履歴の収集を認める | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02602/

Answers to Your Questions on Our Apps in the Mac App Store -

https://blog.trendmicro.com/answers-to-your-questions-on-our-mac-apps-store/

IoTマルウェア「Mirai」がApache Struts脆弱性を標的に 脆弱性放置に警鐘 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/11/news065.html

当選詐欺リダイレクト広告の配信経路とメカニズム - Togetter

https://togetter.com/li/1265394

これは消滅してほしい

ポイント不正利用関連続き

ローソンが不正アクセス対策に乗り出した! : よしなしごと

http://yoshinashigoto.blog.jp/archives/11905959.html

「dポイントカード」の不正利用について | 負けない投資術 ■ ポイント投資 サヤ取り

https://ameblo.jp/pointtoushi/entry-12403505705.html

ドコモのセキュリティ意識の低さが浮き彫りに | 負けない投資術 ■ ポイント投資 サヤ取り

https://ameblo.jp/pointtoushi/entry-12403930854.html

英国航空から38万件の銀行・クレジットカード情報流出 | マイナビニュース

https://news.mynavi.jp/article/20180911-691287/

9/12

Google Chrome 69」にセキュリティ更新 ~物議を醸していたサブドメインの省略は無効に - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1142619.html

FirefoxWindows XPVista対応版のサポートを終了 - Computerworldニュース:Computerworld

https://tech.nikkeibp.co.jp/it/atcl/idg/14/481542/091200548/

Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE

https://gigazine.net/news/20180912-microsoft-software-updates-critical-vulnerabilities/

ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20180911-00096494/

ネット閲覧履歴を外部送信 トレンドマイクロ製ソフト - 共同通信

https://this.kiji.is/412341786804274273?c=39550187727945729

Apple takes down Trend Micro Mac apps that collected, stored user data | Ars Technica

https://arstechnica.com/gadgets/2018/09/apple-takes-down-trend-micro-mac-apps-that-collected-stored-user-data/

サポート情報 : トレンドマイクロ

https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271

サマータイム」はセキュリティホールなのか? (1/3):セキュリティクラスタ まとめのまとめ 2018年8月版 - @IT

http://www.atmarkit.co.jp/ait/articles/1809/12/news021.html

2018 年 9 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/09/12/201809-security-updates/

Adobe Security Bulletin

https://helpx.adobe.com/security/products/flash-player/apsb18-31.html

ウイルスバスターなどトレンドマイクロ製品がiOSApp Storeから削除される - ケータイ Watch

https://k-tai.watch.impress.co.jp/docs/news/1142672.html

ドコモ、ポイント不正利用の原因特定 被害は3.5万件 :日本経済新聞

https://www.nikkei.com/article/DGXMZO35264260S8A910C1X35000/

はたしてそれはウイルスなのか? Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿:日経 xTECH Active

https://tech.nikkeibp.co.jp/it/atclact/active/17/081800125/072700010/?n_cid=nbpnxta_twbn

2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと

http://mkt-eva.hateblo.jp/entry/2018/09/03/070300

9/13

WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ

https://www.infoq.com/jp/news/2018/09/whitesource-free-oss-checking

[セキュリティ基本対策 5 か条] 第 1 条 最新の状態で利用する – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/09/13/securitybasicrule1/

募集要項 – Hardening II SecurEach | Web Application Security Forum - WASForum

https://wasforum.jp/hardening-project/hardening-ii-secureach/

9/14

「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある | TechCrunch Japan

https://jp.techcrunch.com/2018/09/13/2018-09-12-security-flaw-in-nearly-all-modern-pcs-and-macs-leaks-encrypted-data/

企業とセキュリティの脆弱性を発見するハッカーをつなぐHackerOne | The SV Startups 100

https://svs100.com/hackerone/

ASCII.jp:ServiceNowが脆弱性対応日数を60%短縮できる理由、担当幹部に聞く

http://ascii.jp/elem/000/001/741/1741813/

文系エンジニアですが、ハッカーになれますか? (1/3):教えて! キラキラお兄さん - @IT

http://www.atmarkit.co.jp/ait/articles/1809/14/news013.html

9/15

Internet Explorerは意外にしぶとい Windowsデフォルトブラウザの功罪 (1/2) - ITmedia PC USER

http://www.itmedia.co.jp/pcuser/articles/1809/15/news014.html

【いま大人が子供にできること(84)】読まれたくないスマホ文章を、韓国語に変換する中学生(ニュースソクラ) - Yahoo!ニュース

https://headlines.yahoo.co.jp/hl?a=20180915-00010000-socra-soci

隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog

https://www.mbsd.jp/blog/20180914.html

最後に

生活意欲が低下しているかもしれない。

気になった記事2018/09 その1

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 9/2 - 9/8
  • 全体に対してのコメント: これといった流れはないのですが、いろんな記事がありました。

9/2

Burp Suite日本語ドキュメント | burp-resources-ja

https://burp-resources-ja.webappsec.jp/

ブラウザをひそかに乗っ取り勝手に盗掘する新手の「クリプトジャッキング」が急増 | CoinChoice

https://coinchoice.net/new-crypto-jacking-surges/

先週のサイバー事件簿 - 偽「国境なき医師団」の詐欺に注意 | マイナビニュース

https://news.mynavi.jp/article/20180901-687381/

TLPT・TIBERに関する動向まとめ - セキュリティコンサルタントの日誌から

https://www.scientia-security.org/entry/2018/09/01/101945

Cisco CatalystTDR試験コマンドでポート故障を遠隔診断する - miyalog

https://miyalog.hatenablog.jp/entry/catalyst_tdr_cable-diagnostics

9/3

【セキュリティ ニュース】Windowsタスクスケジューラのゼロデイ脆弱性、回避策が公開 - 独自パッチも(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097556

不正ログインどう防ぐ 最低限知っておきたいパスワード設定 (1/3) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/03/news014.html

Google、「ウイルスに感染しました」などの詐欺広告対策で検証プログラム立ち上げへ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/03/news060.html

9/4

NTTセキュリティ、米Symantec社との戦略パートナーシップの一環としてSymantec社製クラウド型セキュリティサービスを組み込んだ高度分析サービスを提供開始|NTTセキュリティ株式会社のプレスリリース

https://www.atpress.ne.jp/news/164915

9/5

GoogleAndroidの月例セキュリティ情報公開 メディアフレームワークに深刻な脆弱性 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/05/news063.html

Chrome 69」安定版、10周年でパスワード自動生成など多数の新機能 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/05/news058.html

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr183401.html

正規のWindowsツールを使って不正ファイルをダウンロード--情報盗取の新攻撃 - ZDNet Japan

https://japan.zdnet.com/article/35125030/

9/6

他社の「有事」を自分事として生かす「平時」であれ――セキュリティリサーチャーズが示す、平時と有事の対応指針とは:@ITセキュリティセミナー2018.6-7 - @IT

http://www.atmarkit.co.jp/ait/articles/1809/04/news003.html

Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)

http://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html

Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan

https://japan.zdnet.com/article/35125188/

7月は「memcached」を悪用した攻撃や「.iqy」ファイル付きスパムメール攻撃を確認~IIJ調査 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1141694.html

9/7

バグバウンティの始め方 - No1zy Web Security Blog

https://no1zy.hatenablog.com/entry/how-to-start-bugbounty

本物のパスワードで信用させる、脅迫メールのえげつない中身 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/082700025/

海賊版サイトにDoS攻撃「全く賛同しない」 JAIPA、IT団体連盟の案に反対 - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1809/07/news080.html

個人情報流出事件が原因か? 米国で顕著な「Facebook離れ」、具体的な割合も明らかに【やじうまWatch】 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/yajiuma/1141934.html

目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ (1/4):セキュリティ・アディッショナルタイム(24) - @IT

http://www.atmarkit.co.jp/ait/articles/1809/07/news020.html

ASCII.jp:RPAユーザーが再び金曜夜に大集合!RPA Community勉強会Vol4 (1/2)

http://ascii.jp/elem/000/001/737/1737450/

9/8

「社会的責任」からじゃない。 趣味でつくって、おすそ分け。──まつもとゆきひろ|WIRED.jp

https://wired.jp/waia/2018/01_yukihiro-matsumoto/

最後に

台風に地震、散々な一週間な印象でした。

気になった記事2018/08 その5

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/26 - 9/01
  • 全体に対してのコメント: QRコードとかEVSSLとか。

8/26

2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180824/1535144979

マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log

https://cha-shu00.hatenablog.com/entry/2018/08/25/122848

Ghostscript脆弱性ImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている

http://d.hatena.ne.jp/ozuma/20180826/1535258202

個人でEV SSL証明書は取れるのか (2) - ろば電子が詰まっている

http://d.hatena.ne.jp/ozuma/20180825/1535255303

FirefoxでオレオレEVSSL証明書

https://qiita.com/angel_p_57/items/ffa34ae8953059deb4a6

8/27

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!

https://www.bizcompass.jp/original/re-management-129-1.html

パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00900/

マストドンセキュリティガイドライン - ashphy's commit logs

http://ashphy.hateblo.jp/entry/mastodon-securit-guidelines

「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission

https://srad.jp/submission/78134/

QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー|:QRコードメーカーお知らせ

https://m.qrqrq.com/service/news/

T-Mobile不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/27/news066.html

8/28

【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097343

デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02449/

Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog

http://eng-blog.iij.ad.jp/archives/1968

【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097318

【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷|セキュリティ|IT製品の事例・解説記事

https://news.mynavi.jp/itsearch/article/security/3912

iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1808/28/news033.html

8/29

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr183301.html

「微博」など中国SNSから個人情報30億件流出 現地IT企業トップが首謀か (1/2ページ) - SankeiBiz(サンケイビズ)

https://www.sankeibiz.jp/macro/news/180829/mcb1808290500001-n1.htm

子どもに「パスワード」の付け方を教えられますか? (1/2) - ITmedia PC USER

http://www.itmedia.co.jp/pcuser/articles/1808/28/news084.html

Black Hat USA 2018 & DEF CON 26レポート(1) - DARK MATTER

https://io.cyberdefense.jp/entry/2018/08/29/Black_Hat_USA_2018_%26_DEF_CON_26%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88%281%29

ヤマハの一部ルーターファイアウォールスクリプトインジェクションの脆弱性 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1140382.html

8/30

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20180829-00094904/

QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ

http://nlab.itmedia.co.jp/nl/articles/1808/28/news115.html

dポイントが加盟店で不正利用される被害: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html

2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記

http://d.hatena.ne.jp/hatenadiary/20180830/blog_unify

サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース

https://www3.nhk.or.jp/news/html/20180830/k10011599481000.html

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11092

GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)

GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)

8/31

ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース

https://www.sankei.com/economy/news/180830/ecn1808300032-n1.html

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/08/31/o365_tls/

Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE

https://gigazine.net/news/20180831-google-mastercard-data-link/

Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE

https://gigazine.net/news/20180831-firefox-block-trackers-default/

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

https://wizsafe.iij.ad.jp/2018/08/428/

ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

https://www.mbsd.jp/blog/20180831.html

不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース:セキュリティ通信:So-netブログ

https://security-t.blog.so-net.ne.jp/2018-08-31

9/1

Firefoxに実行時パッチ(オレオレEVSSL番外編)

https://qiita.com/angel_p_57/items/973960bc4b301c91611b

GRCSがSBTと協業、ImpervaのクラウドWAF「Imperva Incapsula」やマネージドサービスを提供 - クラウド Watch

https://cloud.watch.impress.co.jp/docs/news/1140616.html

ASCII.jp:経営寄りの技術者、橋渡し人材の重要性|ホワイトハッカーのおしごと

http://ascii.jp/elem/000/001/730/1730343/

ブロックチェーンハッカーから電力網を保護する、Xageのセキュリティ自動化ツール | TechCrunch Japan

https://jp.techcrunch.com/2018/08/29/2018-08-28-xage-security-automation-tool-could-protect-power-grid-from-hackers/

最後に

8月が終わった。

気になった記事2018/08 その4

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/19 - 8/25
  • 全体に対してのコメント: 今週も雑多な感じですが、Atruts2の話題が多かった印象です。

8/19

Googleは「邪悪な」検閲付き検索で中国に進出するのか? - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/19/news012.html

Android端末は買った瞬間からセキュリティに“穴”がある? 米企業が調査結果を公表|WIRED.jp

https://wired.jp/2018/08/18/android-smartphones-vulnerable/

8/20

Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck

speakerdeck.com

ブロックチェーンサービスのセキュリティを考える - Speaker Deck

speakerdeck.com

本当にわかる Spectre と Meltdown

www.slideshare.net

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)

http://www.antiphishing.jp/news/alert/saison_20180820.html

家には来てないけれど、気を付けたい。

無一文館: オリンピックボランティアステマ騒動まとめ

http://muichimonkan.blogspot.com/2018/08/blog-post.html

8/21

「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/21/news019.html

不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1808/21/news046.html

WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3):今さら聞けない「セキュリティ基礎の基礎」(1) - @IT

http://www.atmarkit.co.jp/ait/articles/1808/20/news009.html

日本のハッカー元祖が語る、花形プログラマー育成に必要なこと

https://newswitch.jp/p/14132

8/22

4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02374/

8/23

Apache Struts2 (CVE-2018-11776)(S2-057) 関連

Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース

https://nanashi0x.hatenablog.com/entry/apache-struts2-vuls1

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

https://www.jpcert.or.jp/at/2018/at180036.html

Apache Struts2脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/ciadr/vul/20180823-struts.html

Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

https://japan.zdnet.com/article/35124441/

北河さんのツイート

お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1139204.html

グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZineエンタープライズジン)

https://enterprisezine.jp/article/detail/11060

GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan

https://japan.zdnet.com/article/35124415/

ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00205/080200008/

Black Hat USA 2018 & DEF CON 26! の登壇

https://www.mbsd.jp/blog/20180817.html

【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話

http://harv-tech.hatenablog.com/entry/new-employee-training

8/24

記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog

http://blog.livedoor.jp/blackwingcat/archives/1971605.html

民主党へのサイバー攻撃、実は「テスト」 :日本経済新聞

https://www.nikkei.com/article/DGXMZO34540100U8A820C1000000/

ニュースになっていない攻撃: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/08/post-80b7.html

8/25

【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定(1ページ目 / 全2ページ):Security NEXT

http://www.security-next.com/096892

【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/097088

最後に

自分の所属している組織でもフィッシングメール訓練があったのですが、結構な数の人がメールを開いたとの結果報告をみました。メール開く開かないはそんなに重要ではなくて、開いてしまったときにちゃんと決められたとおりに報告できるか、周りと連携できているかも集計したほうがいいのではないかと思いました。中にはちゃんと報告があったようだったので、まったく無駄ではなかったのだなあと思いました。とはいえ、今回とりあげた「米民主党へのサイバー攻撃、実は「テスト」 」みたいなケースもあるので気をつけて運用してほしいし、自分が実施する立場になったら気をつけたいです。

気になった記事2018/08 その3

概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

  • 期間: 8/12 - 8/18
  • 全体に対してのコメント: 今週は各種アップデートがある週でした。お盆休みんも人も多いと思いますので週明けはアップデートを忘れずに実施したいところです。

8/12

IBMがセキュリティソフトを回避して特定の標的だけを攻撃するマルウェア「DeepLocker」を開発 - GIGAZINE

https://gigazine.net/news/20180810-deeplocker/

【セキュリティ ニュース】偽「佐川急便」の不在通知SMS、今度は認証コード詐取するスミッシング(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096748

8/13

国会議員公式サイトなどの改ざん(画像設置)についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180812/1534098021

8/14

docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180813/1534182978

北朝鮮ハッカーもリソースを節約--コード再利用の実態が明らかに - ZDNet Japan

https://japan.zdnet.com/article/35123936/

2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ:OSS脆弱性ウォッチ(8) - @IT

http://www.atmarkit.co.jp/ait/articles/1808/09/news021.html

"偽造"のマウスクリックでシステムを危険に?「macOS」の脆弱性--DEF CON - ZDNet Japan

https://japan.zdnet.com/article/35123986/

世界最大のハッカー大会で韓国チームが3年ぶりに優勝=韓国ネ...|レコードチャイナ

https://www.recordchina.co.jp/b634013-s0-c20-d0127.html

8/15

アップデート関連

2018 年 8 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/08/15/201808-security-updates/

【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096839

Adobe Flash Player 30」の月例セキュリティアップデートが公開 ~互換性問題も修正 - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1138108.html

【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096839

<<< JPCERT/CC WEEKLY REPORT 2018-08-15 >>>

https://www.jpcert.or.jp/wr/2018/wr183101.html

セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan

https://japan.zdnet.com/article/35124088/

Instagramにハッキング被害。数百人規模のアカウント乗っ取り、2要素認証も突破との報告も - Engadget 日本版

https://japanese.engadget.com/2018/08/14/instagram-2/

【セキュリティ ニュース】【訂正あり】「Oracle Database」にあらたな脆弱性、一部バージョンは7月のパッチで修正済み(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096764

Androidの外部ストレージ経由で侵入する「man-in-the-disk」攻撃。不用意に保管したアプリデータを改ざん - Engadget 日本版

https://japanese.engadget.com/2018/08/15/android-sd-man-in-the-disk/

【セキュリティ ニュース】Intelチップに脆弱性「Foreshadow」 - クラウドVM間で情報漏洩のおそれも(1ページ目 / 全4ページ):Security NEXT

http://www.security-next.com/096826

8/16

Black Hat USA 2018 トレーニング参加記

https://www.mbsd.jp/blog/20180813.html

「世界最悪のログイン処理コード」を解説してみた

https://qiita.com/YSRKEN/items/0095cf75be3f607b0f98

【セキュリティ ニュース】VMware脆弱性「Foreshadow」向けにパッチを用意 - 緩和策も(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096848

8/17

セキュリティキー、オバマ氏の選挙戦でハッカー対策に効果を発揮--YubicoのCEOが指摘 - CNET Japan

https://japan.cnet.com/article/35124189/

最多のDDoS攻撃は「SYNフラッド」、CDNetworksが2018年第1四半期の動向を発表:中国で激増 - @IT

http://www.atmarkit.co.jp/ait/articles/1808/17/news043.html

【セキュリティ ニュース】MS、「Foreshadow」対策でアドバイザリ - アップデートや追加対応策の実施を(1ページ目 / 全3ページ):Security NEXT

http://www.security-next.com/096927

「Node.js」の2018年8月セキュリティ更新が公開 ~「OpenSSL」もアップグレード - 窓の杜

https://forest.watch.impress.co.jp/docs/news/1138274.html

【セキュリティ ニュース】教諭が生徒情報含むUSBメモリをリュックごと紛失 - 千葉市(1ページ目 / 全1ページ):Security NEXT

http://www.security-next.com/096720

8/18

Appleサーバをハッキングした16歳少年の動機は? - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/17/news050.html

最後に

個人的には新しいPCを買っていろいろ準備しているところです。

ノートパソコンを新しく買った

これは何?

久しぶりにパソコンを買ったので、自分用にいろいろメモしておくものです。

なんで買ったの?

買った理由は以下の通り。

  • 久しぶりに外部の勉強会に出てみて、実験するための環境が欲しくなった。
  • 夏場は作業机のある部屋のエアコンをケチっている
  • エアコンのある部屋に持ち運べるノートパソコンが欲しい

何を買ったの?

DELLDell Inspiron 13 5000 2-in-1シリーズです。

  • メモリ 4 8GB
  • SSD 256GB
  • 画面は13インチくらいでいいや

で検索してちょうどよいのがDELLでした。

DELLのサイトでカスタマイズで買ったので上記とは少し仕様がちがいますが、似たようなものです。8月5日に発注して届いたのが8月16日でした。カスタマイズしていると時間がかかるというのは検索して読んでましたが確かに時間がかかりました。日本に到着するまでが長かったです。外に持っていくのはやや重いものの、家の中では全く問題ないです。この重さでタブレットとして使うのはつらいと思います。

インストールしたものメモ

今日届いてアップデートとかして最小限のものをインストール。ほかにもいくつか追加すると思いますが、とりあえず。

まとめ

せっかく買ったので使い倒したいと思います。

更新履歴

  • 2018.08.16 公開
  • 2018.08.18 インストールしたもの追加
  • 2018.08.18 インストールしたもの追加
  • 2018.10.08 インストールしたもの追加
  • 2018.10.27 インストールしたもの追加
  • 2019.03.21 インストールしたもの修正・メモリ容量修正