気になった記事2018/09 その3
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/16
- 9/17
- 9/18
- Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan
- 長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan
- インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ
- iOS関連
- 日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch
- 徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ
- Ep.3: blackhat・DEF CONスペシャル - セキュア旅団
- メールに特化した詐称ドメインについて - tike blog
- 国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)
- noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい
- 【セキュリティ ニュース】PHPに脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT
- GoogleがAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE
- 9/19
- 脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck
- セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan
- ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ
- さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT
- 「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT
- 仮想通貨を要求する日本語の脅迫メールについて
- マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan
- 日本ハッカー協会
- ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp
- 9/20
- 高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース
- 被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース
- [セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム
- Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE
- Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE
- 「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
- フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT
- 10年モノのインフラを3年がかりでカイゼンした
- Zaifで発生した不正送金事案についてまとめてみた - piyolog
- 9/21
- 9/22
- 最後に
9/16
NTTデータ、加盟店におけるカード番号の非保持化対応を支援するソリューション - クラウド Watch
https://cloud.watch.impress.co.jp/docs/news/1143173.html
9/17
- なし
9/18
Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan
https://japan.zdnet.com/article/35125734/
長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan
https://japan.zdnet.com/article/35125742/
インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/18/news018.html
iOS関連
Apple、「iOS 12」を一般公開 ~パフォーマンスの大幅向上で古い端末でも快適に動作 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1143390.html
iOS 12のセキュリティー設定、トップ5――バージョンアップを機に今すぐ確認しておこう | TechCrunch Japan
日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch
https://cloud.watch.impress.co.jp/docs/event/1143350.html
徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ
https://qiita.com/dh-megane/items/a3382b12597f4bd85912
Ep.3: blackhat・DEF CONスペシャル - セキュア旅団
https://secure-brigade.com/podcast/episode-3/
メールに特化した詐称ドメインについて - tike blog
https://tike.hatenablog.com/entry/2018/09/18/005041
国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01010/
noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい
https://oreno-yuigon.hatenablog.com/entry/2018/09/17/234009
【セキュリティ ニュース】PHPに脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT
http://www.security-next.com/098005
GoogleがAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE
https://gigazine.net/news/20180918-google-remote-android-mobile/
9/19
脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck
セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan
https://japan.zdnet.com/article/35125707/
ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/19/news042.html
さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/19/news013.html
「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/14/news016.html
仮想通貨を要求する日本語の脅迫メールについて
http://www.jpcert.or.jp/newsflash/2018091901.html
マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan
https://japan.zdnet.com/article/35125806/
日本ハッカー協会
悪の道からハッカーを守る:日経ビジネスDigital
https://business.nikkeibp.co.jp/atcl/NBD/15/depth/091801214/?ST=pc
ASCII.jp:日本ハッカー協会設立、正しい認識の普及と活躍の場づくり支援
http://ascii.jp/elem/000/001/743/1743456/
ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp
https://wired.jp/2018/09/18/case-linkage-hacker-attribution/
9/20
高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース
http://news.livedoor.com/article/detail/15328306/
被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180919-00097499/
[セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/20/securitybasicrule2/
Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE
https://gigazine.net/news/20180920-waitlist-dat/
Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE
https://gigazine.net/news/20180920-lenovo-backdoor-in-china/
「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
https://gigazine.net/news/20180920-mirai-botnet-creators-helping-fbi/
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/21/news023.html#utm_term=share_sp
10年モノのインフラを3年がかりでカイゼンした
https://qiita.com/sasasin/items/30585a3a117d64973645
Zaifで発生した不正送金事案についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180920/1537414861
9/21
第17回 スクープ!スクープ!16億!スペシャル « podcast - #セキュリティのアレ
http://www.tsujileaks.com/?p=498
e+のリスト型攻撃の被害の特徴: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/e-6487.html
Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎 - サインのリ・デザイン
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/
リスト型攻撃は本当か、ケイ・オプティコムの情報漏洩 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01042/
9/22
Windows Server 2008のEOSに伴うAzure移行の基礎知識(前) | マイナビニュース
https://news.mynavi.jp/article/20180921-695224/
最後に
4日しか働かないとさらに1週間が早い。
気になった記事2018/09 その2
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/9
- AppleがMac App Storeから削除したアプリ以外にも、複数のセキュリティ系アプリがユーザーデータを収集し外部のサーバーへ送信していることが確認される。 | AAPL Ch.
- ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog
- 2017年のJoomla LDAPインジェクション脆弱性について - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
- モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開 | セキュリティ対策のラック
- コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開 - Publickey
- 9/10
- 知らなかった、時に困るWebサービスのセキュリティ対策 / Where Do We Start With Information Security? - Speaker Deck
- URLがなにかおかしい……「Google Chrome 69」に加えられたある小さな変更が話題に - やじうまの杜 - 窓の杜
- "ハッカーの祭典"DEFCON 26 〜DEFCON CTF参加者インタビュー〜 | ココン株式会社
- DBやセキュリティ製品で乗り換えの兆し、価格への不満が高まる | 日経 xTECH(クロステック)
- 「サイバー保険」って何?加入する組織で働く従業員が知っておくべきこと|@DIME アットダイム
- 動く標的を追いかけて――「Spamhaus」約20年の歩み:セキュリティ・アディッショナルタイム(25) - @IT
- サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ
- ポイント不正利用関連
- Coinhive利用サイトを探してみた - SSTエンジニアブログ
- なぜパスワードに数字・記号を強制すべきでないのか | Bizコンパス -ITによるビジネス課題解決事例満載!
- 9/11
- 9/12
- 「Google Chrome 69」にセキュリティ更新 ~物議を醸していたサブドメインの省略は無効に - 窓の杜
- Firefox、Windows XP/Vista対応版のサポートを終了 - Computerworldニュース:Computerworld
- Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE
- ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - 個人 - Yahoo!ニュース
- ネット閲覧履歴を外部送信 トレンドマイクロ製ソフト - 共同通信
- Apple takes down Trend Micro Mac apps that collected, stored user data | Ars Technica
- サポート情報 : トレンドマイクロ
- 「サマータイム」はセキュリティホールなのか? (1/3):セキュリティクラスタ まとめのまとめ 2018年8月版 - @IT
- 2018 年 9 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
- Adobe Security Bulletin
- ウイルスバスターなどトレンドマイクロ製品がiOSのApp Storeから削除される - ケータイ Watch
- ドコモ、ポイント不正利用の原因特定 被害は3.5万件 :日本経済新聞
- はたしてそれはウイルスなのか? Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿:日経 xTECH Active
- 2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
- 9/13
- 9/14
- 9/15
- 最後に
9/9
AppleがMac App Storeから削除したアプリ以外にも、複数のセキュリティ系アプリがユーザーデータを収集し外部のサーバーへ送信していることが確認される。 | AAPL Ch.
https://applech2.com/archives/20180909-trend-micro-app-stealing-user-data.html
ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog
https://www.mbsd.jp/blog/20180907.html
2017年のJoomla LDAPインジェクション脆弱性について - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
https://www.scutum.jp/information/waf_tech_blog/2018/09/waf-blog-057.html
モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開 | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/people/20180831_001686.html
コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開 - Publickey
https://www.publickey1.jp/blog/18/scalecert.html
9/10
知らなかった、時に困るWebサービスのセキュリティ対策 / Where Do We Start With Information Security? - Speaker Deck
URLがなにかおかしい……「Google Chrome 69」に加えられたある小さな変更が話題に - やじうまの杜 - 窓の杜
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1142317.html
これ、地味に嫌じゃないかなあ。
"ハッカーの祭典"DEFCON 26 〜DEFCON CTF参加者インタビュー〜 | ココン株式会社
https://cocon-corporation.com/cocontoco/defconctf_interview/
DBやセキュリティ製品で乗り換えの兆し、価格への不満が高まる | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/083000135/
「サイバー保険」って何?加入する組織で働く従業員が知っておくべきこと|@DIME アットダイム
動く標的を追いかけて――「Spamhaus」約20年の歩み:セキュリティ・アディッショナルタイム(25) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/10/news020.html
サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ
https://blog.trendmicro.co.jp/archives/19522
ポイント不正利用関連
dポイントが加盟店で不正利用される被害 その2: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/d-2-07ed.html
ローソンID会員様へのアカウントメールアドレス・パスワード変更のお願い|ローソン
http://www.lawson.co.jp/info/20180908_mai.html
Coinhive利用サイトを探してみた - SSTエンジニアブログ
https://techblog.securesky-tech.com/entry/2018/09/10/
なぜパスワードに数字・記号を強制すべきでないのか | Bizコンパス -ITによるビジネス課題解決事例満載!
https://www.bizcompass.jp/original/re-management-121-3.html
9/11
日経ビジネスが報じたパスワード16億件流出についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180910/1536610792
トレンドマイクロのアプリの話題
トレンドマイクロ、アプリによるブラウザー履歴の収集を認める | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02602/
Answers to Your Questions on Our Apps in the Mac App Store -
https://blog.trendmicro.com/answers-to-your-questions-on-our-mac-apps-store/
IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に 脆弱性放置に警鐘 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/11/news065.html
当選詐欺リダイレクト広告の配信経路とメカニズム - Togetter
https://togetter.com/li/1265394
これは消滅してほしい
ポイント不正利用関連続き
ローソンが不正アクセス対策に乗り出した! : よしなしごと
http://yoshinashigoto.blog.jp/archives/11905959.html
「dポイントカード」の不正利用について | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403505705.html
ドコモのセキュリティ意識の低さが浮き彫りに | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403930854.html
英国航空から38万件の銀行・クレジットカード情報流出 | マイナビニュース
https://news.mynavi.jp/article/20180911-691287/
9/12
「Google Chrome 69」にセキュリティ更新 ~物議を醸していたサブドメインの省略は無効に - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1142619.html
Firefox、Windows XP/Vista対応版のサポートを終了 - Computerworldニュース:Computerworld
https://tech.nikkeibp.co.jp/it/atcl/idg/14/481542/091200548/
Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE
https://gigazine.net/news/20180912-microsoft-software-updates-critical-vulnerabilities/
ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180911-00096494/
ネット閲覧履歴を外部送信 トレンドマイクロ製ソフト - 共同通信
https://this.kiji.is/412341786804274273?c=39550187727945729
Apple takes down Trend Micro Mac apps that collected, stored user data | Ars Technica
サポート情報 : トレンドマイクロ
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271
「サマータイム」はセキュリティホールなのか? (1/3):セキュリティクラスタ まとめのまとめ 2018年8月版 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/12/news021.html
2018 年 9 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/12/201809-security-updates/
Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb18-31.html
ウイルスバスターなどトレンドマイクロ製品がiOSのApp Storeから削除される - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1142672.html
ドコモ、ポイント不正利用の原因特定 被害は3.5万件 :日本経済新聞
https://www.nikkei.com/article/DGXMZO35264260S8A910C1X35000/
はたしてそれはウイルスなのか? Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿:日経 xTECH Active
https://tech.nikkeibp.co.jp/it/atclact/active/17/081800125/072700010/?n_cid=nbpnxta_twbn
2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
http://mkt-eva.hateblo.jp/entry/2018/09/03/070300
9/13
WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ
https://www.infoq.com/jp/news/2018/09/whitesource-free-oss-checking
[セキュリティ基本対策 5 か条] 第 1 条 最新の状態で利用する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/13/securitybasicrule1/
募集要項 – Hardening II SecurEach | Web Application Security Forum - WASForum
https://wasforum.jp/hardening-project/hardening-ii-secureach/
9/14
「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある | TechCrunch Japan
企業とセキュリティの脆弱性を発見するハッカーをつなぐHackerOne | The SV Startups 100
ASCII.jp:ServiceNowが脆弱性対応日数を60%短縮できる理由、担当幹部に聞く
http://ascii.jp/elem/000/001/741/1741813/
文系エンジニアですが、ハッカーになれますか? (1/3):教えて! キラキラお兄さん - @IT
http://www.atmarkit.co.jp/ait/articles/1809/14/news013.html
9/15
Internet Explorerは意外にしぶとい Windowsデフォルトブラウザの功罪 (1/2) - ITmedia PC USER
http://www.itmedia.co.jp/pcuser/articles/1809/15/news014.html
【いま大人が子供にできること(84)】読まれたくないスマホ文章を、韓国語に変換する中学生(ニュースソクラ) - Yahoo!ニュース
https://headlines.yahoo.co.jp/hl?a=20180915-00010000-socra-soci
隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog
https://www.mbsd.jp/blog/20180914.html
最後に
生活意欲が低下しているかもしれない。
気になった記事2018/09 その1
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 9/2 - 9/8
- 全体に対してのコメント: これといった流れはないのですが、いろんな記事がありました。
- 概要
- 9/2
- 9/3
- 9/4
- 9/5
- 9/6
- 9/7
- バグバウンティの始め方 - No1zy Web Security Blog
- 本物のパスワードで信用させる、脅迫メールのえげつない中身 | 日経 xTECH(クロステック)
- 海賊版サイトにDoS攻撃「全く賛同しない」 JAIPA、IT団体連盟の案に反対 - ITmedia NEWS
- 個人情報流出事件が原因か? 米国で顕著な「Facebook離れ」、具体的な割合も明らかに【やじうまWatch】 - INTERNET Watch
- 目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ (1/4):セキュリティ・アディッショナルタイム(24) - @IT
- ASCII.jp:RPAユーザーが再び金曜夜に大集合!RPA Community勉強会Vol4 (1/2)
- 9/8
- 最後に
9/2
Burp Suite日本語ドキュメント | burp-resources-ja
https://burp-resources-ja.webappsec.jp/
ブラウザをひそかに乗っ取り勝手に盗掘する新手の「クリプトジャッキング」が急増 | CoinChoice
https://coinchoice.net/new-crypto-jacking-surges/
先週のサイバー事件簿 - 偽「国境なき医師団」の詐欺に注意 | マイナビニュース
https://news.mynavi.jp/article/20180901-687381/
TLPT・TIBERに関する動向まとめ - セキュリティコンサルタントの日誌から
https://www.scientia-security.org/entry/2018/09/01/101945
Cisco Catalyst のTDR試験コマンドでポート故障を遠隔診断する - miyalog
https://miyalog.hatenablog.jp/entry/catalyst_tdr_cable-diagnostics
9/3
【セキュリティ ニュース】Windowsタスクスケジューラのゼロデイ脆弱性、回避策が公開 - 独自パッチも(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097556
不正ログインどう防ぐ 最低限知っておきたいパスワード設定 (1/3) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/03/news014.html
Google、「ウイルスに感染しました」などの詐欺広告対策で検証プログラム立ち上げへ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/03/news060.html
9/4
NTTセキュリティ、米Symantec社との戦略パートナーシップの一環としてSymantec社製クラウド型セキュリティサービスを組み込んだ高度分析サービスを提供開始|NTTセキュリティ株式会社のプレスリリース
https://www.atpress.ne.jp/news/164915
9/5
Google、Androidの月例セキュリティ情報公開 メディアフレームワークに深刻な脆弱性 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/05/news063.html
「Chrome 69」安定版、10周年でパスワード自動生成など多数の新機能 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/05/news058.html
JPCERT コーディネーションセンター Weekly Report
http://www.jpcert.or.jp/wr/2018/wr183401.html
正規のWindowsツールを使って不正ファイルをダウンロード--情報盗取の新攻撃 - ZDNet Japan
https://japan.zdnet.com/article/35125030/
9/6
他社の「有事」を自分事として生かす「平時」であれ――セキュリティリサーチャーズが示す、平時と有事の対応指針とは:@ITセキュリティセミナー2018.6-7 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/04/news003.html
Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)
http://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html
「Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan
https://japan.zdnet.com/article/35125188/
7月は「memcached」を悪用した攻撃や「.iqy」ファイル付きスパムメール攻撃を確認~IIJ調査 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1141694.html
9/7
バグバウンティの始め方 - No1zy Web Security Blog
https://no1zy.hatenablog.com/entry/how-to-start-bugbounty
本物のパスワードで信用させる、脅迫メールのえげつない中身 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/082700025/
海賊版サイトにDoS攻撃「全く賛同しない」 JAIPA、IT団体連盟の案に反対 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/07/news080.html
個人情報流出事件が原因か? 米国で顕著な「Facebook離れ」、具体的な割合も明らかに【やじうまWatch】 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/yajiuma/1141934.html
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ (1/4):セキュリティ・アディッショナルタイム(24) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/07/news020.html
ASCII.jp:RPAユーザーが再び金曜夜に大集合!RPA Community勉強会Vol4 (1/2)
http://ascii.jp/elem/000/001/737/1737450/
9/8
「社会的責任」からじゃない。 趣味でつくって、おすそ分け。──まつもとゆきひろ|WIRED.jp
https://wired.jp/waia/2018/01_yukihiro-matsumoto/
最後に
台風に地震、散々な一週間な印象でした。
気になった記事2018/08 その5
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 8/26 - 9/01
- 全体に対してのコメント: QRコードとかEVSSLとか。
- 概要
- 8/26
- 8/27
- 高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!
- パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH(クロステック)
- マストドンセキュリティガイドライン - ashphy's commit logs
- 「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission
- QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー|:QRコードメーカーお知らせ
- 米T-Mobileに不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS
- 8/28
- 【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明(1ページ目 / 全1ページ):Security NEXT
- デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH(クロステック)
- Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog
- 【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも(1ページ目 / 全1ページ):Security NEXT
- 【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷|セキュリティ|IT製品の事例・解説記事
- 「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ
- 8/29
- 8/30
- 便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース
- QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ
- 2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記
- サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース
- 『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン)
- GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)
- 8/31
- ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース
- 2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム
- Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE
- Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE
- wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
- ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
- 不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース:セキュリティ通信:So-netブログ
- 9/1
- 最後に
8/26
2018年のリスト型攻撃の被害事例をまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180824/1535144979
マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log
https://cha-shu00.hatenablog.com/entry/2018/08/25/122848
Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている
http://d.hatena.ne.jp/ozuma/20180826/1535258202
個人でEV SSL証明書は取れるのか (2) - ろば電子が詰まっている
http://d.hatena.ne.jp/ozuma/20180825/1535255303
FirefoxでオレオレEVSSL証明書
https://qiita.com/angel_p_57/items/ffa34ae8953059deb4a6
8/27
高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!
https://www.bizcompass.jp/original/re-management-129-1.html
パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00900/
マストドンセキュリティガイドライン - ashphy's commit logs
http://ashphy.hateblo.jp/entry/mastodon-securit-guidelines
「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission
https://srad.jp/submission/78134/
QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー|:QRコードメーカーお知らせ
https://m.qrqrq.com/service/news/
米T-Mobileに不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/27/news066.html
8/28
【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097343
デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02449/
Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog
http://eng-blog.iij.ad.jp/archives/1968
【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097318
【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷|セキュリティ|IT製品の事例・解説記事
https://news.mynavi.jp/itsearch/article/security/3912
「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1808/28/news033.html
8/29
JPCERT コーディネーションセンター Weekly Report
http://www.jpcert.or.jp/wr/2018/wr183301.html
「微博」など中国SNSから個人情報30億件流出 現地IT企業トップが首謀か (1/2ページ) - SankeiBiz(サンケイビズ)
https://www.sankeibiz.jp/macro/news/180829/mcb1808290500001-n1.htm
子どもに「パスワード」の付け方を教えられますか? (1/2) - ITmedia PC USER
http://www.itmedia.co.jp/pcuser/articles/1808/28/news084.html
Black Hat USA 2018 & DEF CON 26レポート(1) - DARK MATTER
ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1140382.html
8/30
便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180829-00094904/
QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ
http://nlab.itmedia.co.jp/nl/articles/1808/28/news115.html
dポイントが加盟店で不正利用される被害: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html
2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記
http://d.hatena.ne.jp/hatenadiary/20180830/blog_unify
サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース
https://www3.nhk.or.jp/news/html/20180830/k10011599481000.html
『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11092
GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)
GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)
8/31
ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース
https://www.sankei.com/economy/news/180830/ecn1808300032-n1.html
2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/08/31/o365_tls/
Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE
https://gigazine.net/news/20180831-google-mastercard-data-link/
Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE
https://gigazine.net/news/20180831-firefox-block-trackers-default/
wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
https://wizsafe.iij.ad.jp/2018/08/428/
ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
https://www.mbsd.jp/blog/20180831.html
不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース:セキュリティ通信:So-netブログ
https://security-t.blog.so-net.ne.jp/2018-08-31
9/1
Firefoxに実行時パッチ(オレオレEVSSL番外編)
https://qiita.com/angel_p_57/items/973960bc4b301c91611b
GRCSがSBTと協業、ImpervaのクラウドWAF「Imperva Incapsula」やマネージドサービスを提供 - クラウド Watch
https://cloud.watch.impress.co.jp/docs/news/1140616.html
ASCII.jp:経営寄りの技術者、橋渡し人材の重要性|ホワイトハッカーのおしごと
http://ascii.jp/elem/000/001/730/1730343/
ブロックチェーンでハッカーから電力網を保護する、Xageのセキュリティ自動化ツール | TechCrunch Japan
最後に
8月が終わった。
気になった記事2018/08 その4
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 8/19 - 8/25
- 全体に対してのコメント: 今週も雑多な感じですが、Atruts2の話題が多かった印象です。
- 概要
- 8/19
- 8/20
- Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
- ブロックチェーンサービスのセキュリティを考える - Speaker Deck
- 本当にわかる Spectre と Meltdown
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
- 無一文館: オリンピックボランティアステマ騒動まとめ
- 8/21
- 8/22
- 8/23
- Apache Struts2 (CVE-2018-11776)(S2-057) 関連
- お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
- グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZine(エンタープライズジン)
- GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
- ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)
- Black Hat USA 2018 & DEF CON 26! の登壇
- 【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
- 8/24
- 8/25
- 最後に
8/19
Googleは「邪悪な」検閲付き検索で中国に進出するのか? - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/19/news012.html
Android端末は買った瞬間からセキュリティに“穴”がある? 米企業が調査結果を公表|WIRED.jp
https://wired.jp/2018/08/18/android-smartphones-vulnerable/
8/20
Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
ブロックチェーンサービスのセキュリティを考える - Speaker Deck
本当にわかる Spectre と Meltdown
www.slideshare.net
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
http://www.antiphishing.jp/news/alert/saison_20180820.html
家には来てないけれど、気を付けたい。
無一文館: オリンピックボランティアステマ騒動まとめ
http://muichimonkan.blogspot.com/2018/08/blog-post.html
8/21
「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/21/news019.html
不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1808/21/news046.html
WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3):今さら聞けない「セキュリティ基礎の基礎」(1) - @IT
http://www.atmarkit.co.jp/ait/articles/1808/20/news009.html
日本のハッカー元祖が語る、花形プログラマー育成に必要なこと
8/22
4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02374/
8/23
Apache Struts2 (CVE-2018-11776)(S2-057) 関連
Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース
https://nanashi0x.hatenablog.com/entry/apache-struts2-vuls1
Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180036.html
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20180823-struts.html
「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan
https://japan.zdnet.com/article/35124441/
北河さんのツイート
S2-057に関するタイムライン(日本時間)
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) August 23, 2018
攻撃の観測、被害報告は今後出てくる可能性あり pic.twitter.com/jHyJ62bqmX
お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1139204.html
グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11060
GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
https://japan.zdnet.com/article/35124415/
ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00205/080200008/
Black Hat USA 2018 & DEF CON 26! の登壇
https://www.mbsd.jp/blog/20180817.html
【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
http://harv-tech.hatenablog.com/entry/new-employee-training
8/24
記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog
http://blog.livedoor.jp/blackwingcat/archives/1971605.html
米民主党へのサイバー攻撃、実は「テスト」 :日本経済新聞
https://www.nikkei.com/article/DGXMZO34540100U8A820C1000000/
ニュースになっていない攻撃: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/post-80b7.html
8/25
【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定(1ページ目 / 全2ページ):Security NEXT
http://www.security-next.com/096892
【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097088
最後に
自分の所属している組織でもフィッシングメール訓練があったのですが、結構な数の人がメールを開いたとの結果報告をみました。メール開く開かないはそんなに重要ではなくて、開いてしまったときにちゃんと決められたとおりに報告できるか、周りと連携できているかも集計したほうがいいのではないかと思いました。中にはちゃんと報告があったようだったので、まったく無駄ではなかったのだなあと思いました。とはいえ、今回とりあげた「米民主党へのサイバー攻撃、実は「テスト」 」みたいなケースもあるので気をつけて運用してほしいし、自分が実施する立場になったら気をつけたいです。
気になった記事2018/08 その3
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 8/12 - 8/18
- 全体に対してのコメント: 今週は各種アップデートがある週でした。お盆休みんも人も多いと思いますので週明けはアップデートを忘れずに実施したいところです。
- 概要
- 8/12
- 8/13
- 8/14
- 8/15
- アップデート関連
- 2018 年 8 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム
- 【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT
- 「Adobe Flash Player 30」の月例セキュリティアップデートが公開 ~互換性問題も修正 - 窓の杜
- 【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT
- <<< JPCERT/CC WEEKLY REPORT 2018-08-15 >>>
- セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan
- Instagramにハッキング被害。数百人規模のアカウント乗っ取り、2要素認証も突破との報告も - Engadget 日本版
- 【セキュリティ ニュース】【訂正あり】「Oracle Database」にあらたな脆弱性、一部バージョンは7月のパッチで修正済み(1ページ目 / 全1ページ):Security NEXT
- Androidの外部ストレージ経由で侵入する「man-in-the-disk」攻撃。不用意に保管したアプリデータを改ざん - Engadget 日本版
- 【セキュリティ ニュース】Intelチップに脆弱性「Foreshadow」 - クラウドVM間で情報漏洩のおそれも(1ページ目 / 全4ページ):Security NEXT
- アップデート関連
- 8/16
- 8/17
- セキュリティキー、オバマ氏の選挙戦でハッカー対策に効果を発揮--YubicoのCEOが指摘 - CNET Japan
- 最多のDDoS攻撃は「SYNフラッド」、CDNetworksが2018年第1四半期の動向を発表:中国で激増 - @IT
- 【セキュリティ ニュース】MS、「Foreshadow」対策でアドバイザリ - アップデートや追加対応策の実施を(1ページ目 / 全3ページ):Security NEXT
- 「Node.js」の2018年8月セキュリティ更新が公開 ~「OpenSSL」もアップグレード - 窓の杜
- 【セキュリティ ニュース】教諭が生徒情報含むUSBメモリをリュックごと紛失 - 千葉市(1ページ目 / 全1ページ):Security NEXT
- 8/18
- 最後に
8/12
IBMがセキュリティソフトを回避して特定の標的だけを攻撃するマルウェア「DeepLocker」を開発 - GIGAZINE
https://gigazine.net/news/20180810-deeplocker/
【セキュリティ ニュース】偽「佐川急便」の不在通知SMS、今度は認証コード詐取するスミッシング(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/096748
8/13
国会議員公式サイトなどの改ざん(画像設置)についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180812/1534098021
8/14
docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180813/1534182978
北朝鮮ハッカーもリソースを節約--コード再利用の実態が明らかに - ZDNet Japan
https://japan.zdnet.com/article/35123936/
2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ:OSS脆弱性ウォッチ(8) - @IT
http://www.atmarkit.co.jp/ait/articles/1808/09/news021.html
"偽造"のマウスクリックでシステムを危険に?「macOS」の脆弱性--DEF CON - ZDNet Japan
https://japan.zdnet.com/article/35123986/
世界最大のハッカー大会で韓国チームが3年ぶりに優勝=韓国ネ...|レコードチャイナ
https://www.recordchina.co.jp/b634013-s0-c20-d0127.html
8/15
アップデート関連
2018 年 8 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/08/15/201808-security-updates/
【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/096839
「Adobe Flash Player 30」の月例セキュリティアップデートが公開 ~互換性問題も修正 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1138108.html
【セキュリティ ニュース】セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/096839
<<< JPCERT/CC WEEKLY REPORT 2018-08-15 >>>
https://www.jpcert.or.jp/wr/2018/wr183101.html
セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan
https://japan.zdnet.com/article/35124088/
Instagramにハッキング被害。数百人規模のアカウント乗っ取り、2要素認証も突破との報告も - Engadget 日本版
https://japanese.engadget.com/2018/08/14/instagram-2/
【セキュリティ ニュース】【訂正あり】「Oracle Database」にあらたな脆弱性、一部バージョンは7月のパッチで修正済み(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/096764
Androidの外部ストレージ経由で侵入する「man-in-the-disk」攻撃。不用意に保管したアプリデータを改ざん - Engadget 日本版
https://japanese.engadget.com/2018/08/15/android-sd-man-in-the-disk/
【セキュリティ ニュース】Intelチップに脆弱性「Foreshadow」 - クラウドVM間で情報漏洩のおそれも(1ページ目 / 全4ページ):Security NEXT
http://www.security-next.com/096826
8/16
Black Hat USA 2018 トレーニング参加記
https://www.mbsd.jp/blog/20180813.html
「世界最悪のログイン処理コード」を解説してみた
https://qiita.com/YSRKEN/items/0095cf75be3f607b0f98
【セキュリティ ニュース】VMware、脆弱性「Foreshadow」向けにパッチを用意 - 緩和策も(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/096848
8/17
セキュリティキー、オバマ氏の選挙戦でハッカー対策に効果を発揮--YubicoのCEOが指摘 - CNET Japan
https://japan.cnet.com/article/35124189/
最多のDDoS攻撃は「SYNフラッド」、CDNetworksが2018年第1四半期の動向を発表:中国で激増 - @IT
http://www.atmarkit.co.jp/ait/articles/1808/17/news043.html
【セキュリティ ニュース】MS、「Foreshadow」対策でアドバイザリ - アップデートや追加対応策の実施を(1ページ目 / 全3ページ):Security NEXT
http://www.security-next.com/096927
「Node.js」の2018年8月セキュリティ更新が公開 ~「OpenSSL」もアップグレード - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1138274.html
【セキュリティ ニュース】教諭が生徒情報含むUSBメモリをリュックごと紛失 - 千葉市(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/096720
8/18
Appleサーバをハッキングした16歳少年の動機は? - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/17/news050.html
最後に
個人的には新しいPCを買っていろいろ準備しているところです。
ノートパソコンを新しく買った
これは何?
久しぶりにパソコンを買ったので、自分用にいろいろメモしておくものです。
なんで買ったの?
買った理由は以下の通り。
- 久しぶりに外部の勉強会に出てみて、実験するための環境が欲しくなった。
- 夏場は作業机のある部屋のエアコンをケチっている
- エアコンのある部屋に持ち運べるノートパソコンが欲しい
何を買ったの?
DELLのDell Inspiron 13 5000 2-in-1シリーズです。
- メモリ
48GB - SSD 256GB
- 画面は13インチくらいでいいや
で検索してちょうどよいのがDELLでした。
DELLのサイトでカスタマイズで買ったので上記とは少し仕様がちがいますが、似たようなものです。8月5日に発注して届いたのが8月16日でした。カスタマイズしていると時間がかかるというのは検索して読んでましたが確かに時間がかかりました。日本に到着するまでが長かったです。外に持っていくのはやや重いものの、家の中では全く問題ないです。この重さでタブレットとして使うのはつらいと思います。
インストールしたものメモ
- Firefox
- VirtualBox
- Ctrl2cap
- WinSCP
- 7zip
- LibreOffice
- Clibor
- Win32DiskImager
- Wireshark
AtomVisual Studio Code (Atomは遅すぎた)
今日届いてアップデートとかして最小限のものをインストール。ほかにもいくつか追加すると思いますが、とりあえず。
まとめ
せっかく買ったので使い倒したいと思います。
更新履歴
- 2018.08.16 公開
- 2018.08.18 インストールしたもの追加
- 2018.08.18 インストールしたもの追加
- 2018.10.08 インストールしたもの追加
- 2018.10.27 インストールしたもの追加
- 2019.03.21 インストールしたもの修正・メモリ容量修正