気になった記事2018/10 その1
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日(たまに例外あり)でまとめています。
- 期間: 9/30 - 10/6
- 全体に対してのコメント: 今週もいろいろな話題がありましたが、これはというものはなく、いろいろ起きているなあという印象です。
- 概要
- 9/30
- 10/1
- Project Zeroの研究者、一部Linuxベンダーに苦言--セキュリティパッチ公開の遅さに - ZDNet Japan
- セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事
- 量子コンピューティングは暗号化技術を形骸化させるか―RSAのCTOに聞く | IT Leaders
- IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
- 【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT
- 2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
- サービス終了のお知らせ - Yahoo!ジオシティーズ
- 10/2
- 注意喚起
- 祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム
- 英保守党のアプリから議員らの個人情報が漏えい - CNET Japan
- 推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す - GIGAZINE
- カリフォルニア州接続される機器(コネクテッド・デバイス)のセキュリティ法 仮訳 - Harumichi Yuasa's Blog
- 不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ - ITmedia NEWS
- Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処 - ITmedia NEWS
- 10/3
- 【セキュリティ ニュース】経産省、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブコメ結果を公表(1ページ目 / 全1ページ):Security NEXT
- 「サイバー・フィジカル・セキュリティ対策フレームワーク(案)」に対する意見公募結果を取りまとめました (METI/経済産業省)
- 空港でスマホやPCと共にパスワードまで提出するよう求める法律が新たに施行 - GIGAZINE
- 仮想通貨交換所セキュリティの考え方-パブリックドラフト - Google ドキュメント
- 日報問題で揺れる防衛省、文書管理システムに558億円の謎 | 日経 xTECH(クロステック)
- Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」 | TechCrunch Japan
- 【セキュリティ ニュース】不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象(1ページ目 / 全4ページ):Security NEXT
- Web開発初心者向けセキュリティ入門・SQLインジェクションとXSSを試す - paiza開発日誌
- PCI DSSに完全準拠する企業の割合が6年ぶりに低下 - ベライゾン | マイナビニュース
- 10/4
- 10/5
- 10/6
- 最後に
9/30
- なし
10/1
Project Zeroの研究者、一部Linuxベンダーに苦言--セキュリティパッチ公開の遅さに - ZDNet Japan
https://japan.zdnet.com/article/35126345/
セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事
https://news.mynavi.jp/itsearch/article/security/4009
量子コンピューティングは暗号化技術を形骸化させるか―RSAのCTOに聞く | IT Leaders
https://it.impressbm.co.jp/articles/-/16763
IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
https://www.scutum.jp/information/waf_tech_blog/2018/10/waf-blog-058.html
【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/098496
2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
http://mkt-eva.hateblo.jp/entry/2018/10/01/133344
サービス終了のお知らせ - Yahoo!ジオシティーズ
https://info-geocities.yahoo.co.jp/close/index.html
10/2
注意喚起
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
http://www.soumu.go.jp/menu_news/s-news/01kiban04_02000141.html
Adobe Acrobat および Reader の脆弱性 (APSB18-30) に関する注意喚起
http://www.jpcert.or.jp/at/2018/at180040.html
祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム
https://lepidum.co.jp/blog/2018-10-01/tls1_3security/
英保守党のアプリから議員らの個人情報が漏えい - CNET Japan
https://japan.cnet.com/article/35126339/
推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す - GIGAZINE
https://gigazine.net/news/20181001-california-bill-require-better-password-iot/
カリフォルニア州接続される機器(コネクテッド・デバイス)のセキュリティ法 仮訳 - Harumichi Yuasa's Blog
https://blog.goo.ne.jp/yuasah1970/e/c2f2cfc4a7f7ea8c0d9b2a21dcd4d37d
不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/02/news055.html
Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/02/news057.html
10/3
【セキュリティ ニュース】経産省、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブコメ結果を公表(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/098548
「サイバー・フィジカル・セキュリティ対策フレームワーク(案)」に対する意見公募結果を取りまとめました (METI/経済産業省)
http://www.meti.go.jp/press/2018/10/20181001004/20181001004.html
空港でスマホやPCと共にパスワードまで提出するよう求める法律が新たに施行 - GIGAZINE
https://gigazine.net/news/20181003-travellers-refusing-digital-search/
仮想通貨交換所セキュリティの考え方-パブリックドラフト - Google ドキュメント
https://docs.google.com/document/d/1-6YF_Flj05tjwgVE4SrNWyBJ4zDFhPBfyxObuwhjENA/
日報問題で揺れる防衛省、文書管理システムに558億円の謎 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/092700151/?n_cid=nbpnxt_twbn
Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」 | TechCrunch Japan
【セキュリティ ニュース】不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象(1ページ目 / 全4ページ):Security NEXT
http://www.security-next.com/098578
Web開発初心者向けセキュリティ入門・SQLインジェクションとXSSを試す - paiza開発日誌
https://paiza.hatenablog.com/entry/2018/10/03/paizacloud_web_security
PCI DSSに完全準拠する企業の割合が6年ぶりに低下 - ベライゾン | マイナビニュース
https://news.mynavi.jp/article/20181002-700304/
10/4
何問解ける?情報セキュリティの常識10選 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00457/100100001/
改ざん可能製品 捜査で使用 県警などの証拠写真記録SDカード
http://www.niigata-nippo.co.jp/news/national/20181004423472.html
「パスワードの使い回しをしない」だけで十分なのか | Bizコンパス -ITによるビジネス課題解決事例満載!
https://www.bizcompass.jp/original/re-management-121-4.html
[セキュリティ基本対策 5 か条] 第 4 条 暗号化を行う - 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/10/04/securitybasicrule4/
10/5
一部第6世代以降のIntel CPU搭載機でOctober 2018 Updateのインストールがブロック - PC Watch
https://pc.watch.impress.co.jp/docs/news/1146510.html
【macOS、iOS向け当社アプリに関する重要なお知らせ】2018年10月5日更新 | トレンドマイクロ
https://www.trendmicro.com/ja_jp/about/announce/announces-20180912.html
中国、マイクロチップ使ってアマゾンやアップルにハッキング-関係者 - Bloomberg
https://www.bloomberg.co.jp/news/articles/2018-10-04/PG2CZY6TTDS801
マネージドサービスプロバイダー狙うAPT攻撃に米政府機関が注意喚起 - ZDNet Japan
https://japan.zdnet.com/article/35126615/
Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗 - ZDNet Japan
https://japan.zdnet.com/article/35126541/
10/6
Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る | TechCrunch Japan
自分が読んだのは10/7だったりしますが、10/5の記事の関連でもあるし、10/6に公開されているようですので、ここで載せておきます。
最後に
ジオシティーズは自分が大学時代にはじめてWebページ(ホームページ)を大学以外で公開して作成したサービスでした。また、いろんなページをネットサーフィンしたサービスでもあります。安らかにお眠りください。
気になった記事2018/09 その4
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/23
- 9/24
- 9/25
- RECRUIT RED TEAMのセキュリティトレーニング:OSSへの貢献とCVE IDの取得 | リクルートテクノロジーズ メンバーズブログ
- セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
- Ponta Web(リクルートID)にリスト型攻撃?: 独房の中
- ブロッキングは出版業の救世主か 編集委員 関口和一 :日本経済新聞
- 「Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS
- 「最悪のパスワード」禁止法案、カリフォルニア州議会で検討 | Forbes JAPAN(フォーブス ジャパン)
- 仮想通貨マイニングを悪用した攻撃の事例紹介 - SSTエンジニアブログ
- macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘 - ITmedia エンタープライズ
- セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
- ASCII.jp:100Gbps専用線接続「ExpressRoute Direct」、大規模データ検索を高速実行する「Azure Data Explorer」など多数の新発表 (1/2)|さとうなおきの「週刊アジュール」
- もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと (1/2):ビジネスインフラを狙う攻撃にどう対応するか(1) - @IT
- 日本の弱点は大学、世界のサイバー攻撃者が狙う | 日経 xTECH(クロステック)
- セキュリティコストを抑制する5つの掟 | 日経 xTECH(クロステック)
- ASCII.jp:学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露! (1/2)|Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート
- 9/26
- 9/27
- 9/28
- wizSafe Security Signal 2018年8月 観測レポート wizSafe Security Signal -安心・安全への道標- IIJ
- CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub
- Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ | TechCrunch Japan
- Microsoft Azure上での実行目的ならJavaの長期サポート(LTS)を無料提供、MacやWindowsでの開発用途もOK。マイクロソフトとAzul Systemsが提携で - Publickey
- 9/29
- 最後に
9/23
iOS 12で「同じパスワードの使い回し」がチェック可能に。(※iCloudキーチェーンで管理している場合のみ) | カミアプ
9/24
なぜ我々はいまだに文字列でコメントを書いているのか
https://qiita.com/tkrkt/items/2fc9a9a59ce679aab728
9/25
RECRUIT RED TEAMのセキュリティトレーニング:OSSへの貢献とCVE IDの取得 | リクルートテクノロジーズ メンバーズブログ
https://recruit-tech.co.jp/blog/2018/09/25/redteam_training/
セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
https://press.forkwell.com/entry/2018/09/25/folio
Ponta Web(リクルートID)にリスト型攻撃?: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/ponta-webid-740.html
ブロッキングは出版業の救世主か 編集委員 関口和一 :日本経済新聞
https://www.nikkei.com/article/DGXMZO35558800Q8A920C1X12000/
「Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/25/news065.html
「最悪のパスワード」禁止法案、カリフォルニア州議会で検討 | Forbes JAPAN(フォーブス ジャパン)
https://forbesjapan.com/articles/detail/23131
仮想通貨マイニングを悪用した攻撃の事例紹介 - SSTエンジニアブログ
https://techblog.securesky-tech.com/entry/2018/09/25/
macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/25/news086.html
セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
https://press.forkwell.com/entry/2018/09/25/folio
ASCII.jp:100Gbps専用線接続「ExpressRoute Direct」、大規模データ検索を高速実行する「Azure Data Explorer」など多数の新発表 (1/2)|さとうなおきの「週刊アジュール」
http://ascii.jp/elem/000/001/747/1747347/
もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと (1/2):ビジネスインフラを狙う攻撃にどう対応するか(1) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/18/news024.html
日本の弱点は大学、世界のサイバー攻撃者が狙う | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/091800072/091800001/
セキュリティコストを抑制する5つの掟 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/sys/18/091900038/091900001/
ASCII.jp:学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露! (1/2)|Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート
http://ascii.jp/elem/000/001/745/1745712/
9/26
DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認 | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/people/20180925_001704.html
マイクロソフトがセキュリティ強化、セキュリティ被害を30分の1に削減する「Microsoft Secure Score」など発表 | IoTニュース:IoT NEWS
https://iotnews.jp/archives/107731
Firefox Monitor
Introducing Firefox Monitor, Helping People Take Control After a Data Breach - The Mozilla Blog
Mozilla、情報漏洩の被害に遭ってないかをチェックする“Firefox Monitor”をリリース - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1144794.html
Firefox Monitor は Troy Hunt 氏の "Have I been pwned" のデータを参照しているので、どちらのサイトでスキャンしても結果は同じになります。
— Masafumi Negishi (@MasafumiNegishi) September 26, 2018
やはり、そうなんだなあと思いました。
米陸軍の予備役で働く中国人 スパイ容疑で逮捕 | NHKニュース
https://www3.nhk.or.jp/news/html/20180926/k10011644511000.html
Java 11正式版がリリース、本バージョンからOracle JDKのサポートは有償に。OpenJDKで無償の長期サポート提供は現時点で期待薄 - Publickey
https://www.publickey1.jp/blog/18/java_11oracle_jdkopenjdk.html
9/27
[セキュリティ基本対策 5 か条] 第 3 条 アカウントやパスワードを管理する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/27/securitybasicrule3/
ホワイトハッカーの手を借りてバグを修正!BugBounty のススメ
https://blog.zaim.co.jp/n/nf3194b546a16
テストは20万時間、東京五輪ITシステムの舞台裏:スポーツIT革命の衝撃 - スポーツイノベイターズオンライン
https://tech.nikkeibp.co.jp/dm/atcl/feature/15/110200006/060800082/
9/28
wizSafe Security Signal 2018年8月 観測レポート wizSafe Security Signal -安心・安全への道標- IIJ
https://wizsafe.iij.ad.jp/2018/09/450/
CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub
https://gist.github.com/mala/ba23a7c1356857fd8297bc7efefcd34c
Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ | TechCrunch Japan
Microsoft Azure上での実行目的ならJavaの長期サポート(LTS)を無料提供、MacやWindowsでの開発用途もOK。マイクロソフトとAzul Systemsが提携で - Publickey
https://www.publickey1.jp/blog/18/microsoft_azurejavaltsmacwindowsokazul_systems.html
9/29
Facebookの5,000万人分の情報流出について、いま知っておくべきこと|WIRED.jp
https://wired.jp/2018/09/29/facebook-security-breach-50-million-accounts/
Microsoft、MS-DOSのソースコードをGitHubで公開 | ソフトアンテナブログ
https://www.softantenna.com/wp/software/microsoft-open-source-ms-dos/
最後に
台風怖い。
気になった記事2018/09 その3
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/16
- 9/17
- 9/18
- Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan
- 長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan
- インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ
- iOS関連
- 日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch
- 徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ
- Ep.3: blackhat・DEF CONスペシャル - セキュア旅団
- メールに特化した詐称ドメインについて - tike blog
- 国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)
- noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい
- 【セキュリティ ニュース】PHPに脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT
- GoogleがAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE
- 9/19
- 脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck
- セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan
- ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ
- さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT
- 「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT
- 仮想通貨を要求する日本語の脅迫メールについて
- マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan
- 日本ハッカー協会
- ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp
- 9/20
- 高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース
- 被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース
- [セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム
- Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE
- Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE
- 「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
- フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT
- 10年モノのインフラを3年がかりでカイゼンした
- Zaifで発生した不正送金事案についてまとめてみた - piyolog
- 9/21
- 9/22
- 最後に
9/16
NTTデータ、加盟店におけるカード番号の非保持化対応を支援するソリューション - クラウド Watch
https://cloud.watch.impress.co.jp/docs/news/1143173.html
9/17
- なし
9/18
Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan
https://japan.zdnet.com/article/35125734/
長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan
https://japan.zdnet.com/article/35125742/
インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/18/news018.html
iOS関連
Apple、「iOS 12」を一般公開 ~パフォーマンスの大幅向上で古い端末でも快適に動作 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1143390.html
iOS 12のセキュリティー設定、トップ5――バージョンアップを機に今すぐ確認しておこう | TechCrunch Japan
日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch
https://cloud.watch.impress.co.jp/docs/event/1143350.html
徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ
https://qiita.com/dh-megane/items/a3382b12597f4bd85912
Ep.3: blackhat・DEF CONスペシャル - セキュア旅団
https://secure-brigade.com/podcast/episode-3/
メールに特化した詐称ドメインについて - tike blog
https://tike.hatenablog.com/entry/2018/09/18/005041
国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01010/
noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい
https://oreno-yuigon.hatenablog.com/entry/2018/09/17/234009
【セキュリティ ニュース】PHPに脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT
http://www.security-next.com/098005
GoogleがAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE
https://gigazine.net/news/20180918-google-remote-android-mobile/
9/19
脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck
セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan
https://japan.zdnet.com/article/35125707/
ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/19/news042.html
さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/19/news013.html
「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/14/news016.html
仮想通貨を要求する日本語の脅迫メールについて
http://www.jpcert.or.jp/newsflash/2018091901.html
マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan
https://japan.zdnet.com/article/35125806/
日本ハッカー協会
悪の道からハッカーを守る:日経ビジネスDigital
https://business.nikkeibp.co.jp/atcl/NBD/15/depth/091801214/?ST=pc
ASCII.jp:日本ハッカー協会設立、正しい認識の普及と活躍の場づくり支援
http://ascii.jp/elem/000/001/743/1743456/
ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp
https://wired.jp/2018/09/18/case-linkage-hacker-attribution/
9/20
高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース
http://news.livedoor.com/article/detail/15328306/
被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180919-00097499/
[セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/20/securitybasicrule2/
Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE
https://gigazine.net/news/20180920-waitlist-dat/
Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE
https://gigazine.net/news/20180920-lenovo-backdoor-in-china/
「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
https://gigazine.net/news/20180920-mirai-botnet-creators-helping-fbi/
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/21/news023.html#utm_term=share_sp
10年モノのインフラを3年がかりでカイゼンした
https://qiita.com/sasasin/items/30585a3a117d64973645
Zaifで発生した不正送金事案についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180920/1537414861
9/21
第17回 スクープ!スクープ!16億!スペシャル « podcast - #セキュリティのアレ
http://www.tsujileaks.com/?p=498
e+のリスト型攻撃の被害の特徴: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/e-6487.html
Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎 - サインのリ・デザイン
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/
リスト型攻撃は本当か、ケイ・オプティコムの情報漏洩 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01042/
9/22
Windows Server 2008のEOSに伴うAzure移行の基礎知識(前) | マイナビニュース
https://news.mynavi.jp/article/20180921-695224/
最後に
4日しか働かないとさらに1週間が早い。
気になった記事2018/09 その2
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/9
- AppleがMac App Storeから削除したアプリ以外にも、複数のセキュリティ系アプリがユーザーデータを収集し外部のサーバーへ送信していることが確認される。 | AAPL Ch.
- ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog
- 2017年のJoomla LDAPインジェクション脆弱性について - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
- モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開 | セキュリティ対策のラック
- コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開 - Publickey
- 9/10
- 知らなかった、時に困るWebサービスのセキュリティ対策 / Where Do We Start With Information Security? - Speaker Deck
- URLがなにかおかしい……「Google Chrome 69」に加えられたある小さな変更が話題に - やじうまの杜 - 窓の杜
- "ハッカーの祭典"DEFCON 26 〜DEFCON CTF参加者インタビュー〜 | ココン株式会社
- DBやセキュリティ製品で乗り換えの兆し、価格への不満が高まる | 日経 xTECH(クロステック)
- 「サイバー保険」って何?加入する組織で働く従業員が知っておくべきこと|@DIME アットダイム
- 動く標的を追いかけて――「Spamhaus」約20年の歩み:セキュリティ・アディッショナルタイム(25) - @IT
- サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ
- ポイント不正利用関連
- Coinhive利用サイトを探してみた - SSTエンジニアブログ
- なぜパスワードに数字・記号を強制すべきでないのか | Bizコンパス -ITによるビジネス課題解決事例満載!
- 9/11
- 9/12
- 「Google Chrome 69」にセキュリティ更新 ~物議を醸していたサブドメインの省略は無効に - 窓の杜
- Firefox、Windows XP/Vista対応版のサポートを終了 - Computerworldニュース:Computerworld
- Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE
- ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - 個人 - Yahoo!ニュース
- ネット閲覧履歴を外部送信 トレンドマイクロ製ソフト - 共同通信
- Apple takes down Trend Micro Mac apps that collected, stored user data | Ars Technica
- サポート情報 : トレンドマイクロ
- 「サマータイム」はセキュリティホールなのか? (1/3):セキュリティクラスタ まとめのまとめ 2018年8月版 - @IT
- 2018 年 9 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
- Adobe Security Bulletin
- ウイルスバスターなどトレンドマイクロ製品がiOSのApp Storeから削除される - ケータイ Watch
- ドコモ、ポイント不正利用の原因特定 被害は3.5万件 :日本経済新聞
- はたしてそれはウイルスなのか? Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿:日経 xTECH Active
- 2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
- 9/13
- 9/14
- 9/15
- 最後に
9/9
AppleがMac App Storeから削除したアプリ以外にも、複数のセキュリティ系アプリがユーザーデータを収集し外部のサーバーへ送信していることが確認される。 | AAPL Ch.
https://applech2.com/archives/20180909-trend-micro-app-stealing-user-data.html
ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog
https://www.mbsd.jp/blog/20180907.html
2017年のJoomla LDAPインジェクション脆弱性について - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
https://www.scutum.jp/information/waf_tech_blog/2018/09/waf-blog-057.html
モバイルアプリのセキュリティ検証標準であるOWASP MASVSの日本語訳を公開 | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/people/20180831_001686.html
コードを静的解析して脆弱性を検出する「SCALe」、米CERTがオープンソースで公開 - Publickey
https://www.publickey1.jp/blog/18/scalecert.html
9/10
知らなかった、時に困るWebサービスのセキュリティ対策 / Where Do We Start With Information Security? - Speaker Deck
URLがなにかおかしい……「Google Chrome 69」に加えられたある小さな変更が話題に - やじうまの杜 - 窓の杜
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1142317.html
これ、地味に嫌じゃないかなあ。
"ハッカーの祭典"DEFCON 26 〜DEFCON CTF参加者インタビュー〜 | ココン株式会社
https://cocon-corporation.com/cocontoco/defconctf_interview/
DBやセキュリティ製品で乗り換えの兆し、価格への不満が高まる | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/083000135/
「サイバー保険」って何?加入する組織で働く従業員が知っておくべきこと|@DIME アットダイム
動く標的を追いかけて――「Spamhaus」約20年の歩み:セキュリティ・アディッショナルタイム(25) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/10/news020.html
サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ
https://blog.trendmicro.co.jp/archives/19522
ポイント不正利用関連
dポイントが加盟店で不正利用される被害 その2: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/d-2-07ed.html
ローソンID会員様へのアカウントメールアドレス・パスワード変更のお願い|ローソン
http://www.lawson.co.jp/info/20180908_mai.html
Coinhive利用サイトを探してみた - SSTエンジニアブログ
https://techblog.securesky-tech.com/entry/2018/09/10/
なぜパスワードに数字・記号を強制すべきでないのか | Bizコンパス -ITによるビジネス課題解決事例満載!
https://www.bizcompass.jp/original/re-management-121-3.html
9/11
日経ビジネスが報じたパスワード16億件流出についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180910/1536610792
トレンドマイクロのアプリの話題
トレンドマイクロ、アプリによるブラウザー履歴の収集を認める | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02602/
Answers to Your Questions on Our Apps in the Mac App Store -
https://blog.trendmicro.com/answers-to-your-questions-on-our-mac-apps-store/
IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に 脆弱性放置に警鐘 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/11/news065.html
当選詐欺リダイレクト広告の配信経路とメカニズム - Togetter
https://togetter.com/li/1265394
これは消滅してほしい
ポイント不正利用関連続き
ローソンが不正アクセス対策に乗り出した! : よしなしごと
http://yoshinashigoto.blog.jp/archives/11905959.html
「dポイントカード」の不正利用について | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403505705.html
ドコモのセキュリティ意識の低さが浮き彫りに | 負けない投資術 ■ ポイント投資 サヤ取り
https://ameblo.jp/pointtoushi/entry-12403930854.html
英国航空から38万件の銀行・クレジットカード情報流出 | マイナビニュース
https://news.mynavi.jp/article/20180911-691287/
9/12
「Google Chrome 69」にセキュリティ更新 ~物議を醸していたサブドメインの省略は無効に - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1142619.html
Firefox、Windows XP/Vista対応版のサポートを終了 - Computerworldニュース:Computerworld
https://tech.nikkeibp.co.jp/it/atcl/idg/14/481542/091200548/
Microsoft製のソフトウェアに17個の「致命的な脆弱性」が発見されたと報告される - GIGAZINE
https://gigazine.net/news/20180912-microsoft-software-updates-critical-vulnerabilities/
ドコモ「dポイント」偽造の懸念を巡る不正行為の気になる話(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180911-00096494/
ネット閲覧履歴を外部送信 トレンドマイクロ製ソフト - 共同通信
https://this.kiji.is/412341786804274273?c=39550187727945729
Apple takes down Trend Micro Mac apps that collected, stored user data | Ars Technica
サポート情報 : トレンドマイクロ
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271
「サマータイム」はセキュリティホールなのか? (1/3):セキュリティクラスタ まとめのまとめ 2018年8月版 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/12/news021.html
2018 年 9 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/12/201809-security-updates/
Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb18-31.html
ウイルスバスターなどトレンドマイクロ製品がiOSのApp Storeから削除される - ケータイ Watch
https://k-tai.watch.impress.co.jp/docs/news/1142672.html
ドコモ、ポイント不正利用の原因特定 被害は3.5万件 :日本経済新聞
https://www.nikkei.com/article/DGXMZO35264260S8A910C1X35000/
はたしてそれはウイルスなのか? Coinhiveによる採掘問題 - 徳丸浩のWebセキュリティ事件簿:日経 xTECH Active
https://tech.nikkeibp.co.jp/it/atclact/active/17/081800125/072700010/?n_cid=nbpnxta_twbn
2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
http://mkt-eva.hateblo.jp/entry/2018/09/03/070300
9/13
WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ
https://www.infoq.com/jp/news/2018/09/whitesource-free-oss-checking
[セキュリティ基本対策 5 か条] 第 1 条 最新の状態で利用する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/13/securitybasicrule1/
募集要項 – Hardening II SecurEach | Web Application Security Forum - WASForum
https://wasforum.jp/hardening-project/hardening-ii-secureach/
9/14
「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある | TechCrunch Japan
企業とセキュリティの脆弱性を発見するハッカーをつなぐHackerOne | The SV Startups 100
ASCII.jp:ServiceNowが脆弱性対応日数を60%短縮できる理由、担当幹部に聞く
http://ascii.jp/elem/000/001/741/1741813/
文系エンジニアですが、ハッカーになれますか? (1/3):教えて! キラキラお兄さん - @IT
http://www.atmarkit.co.jp/ait/articles/1809/14/news013.html
9/15
Internet Explorerは意外にしぶとい Windowsデフォルトブラウザの功罪 (1/2) - ITmedia PC USER
http://www.itmedia.co.jp/pcuser/articles/1809/15/news014.html
【いま大人が子供にできること(84)】読まれたくないスマホ文章を、韓国語に変換する中学生(ニュースソクラ) - Yahoo!ニュース
https://headlines.yahoo.co.jp/hl?a=20180915-00010000-socra-soci
隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog
https://www.mbsd.jp/blog/20180914.html
最後に
生活意欲が低下しているかもしれない。
気になった記事2018/09 その1
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 9/2 - 9/8
- 全体に対してのコメント: これといった流れはないのですが、いろんな記事がありました。
- 概要
- 9/2
- 9/3
- 9/4
- 9/5
- 9/6
- 9/7
- バグバウンティの始め方 - No1zy Web Security Blog
- 本物のパスワードで信用させる、脅迫メールのえげつない中身 | 日経 xTECH(クロステック)
- 海賊版サイトにDoS攻撃「全く賛同しない」 JAIPA、IT団体連盟の案に反対 - ITmedia NEWS
- 個人情報流出事件が原因か? 米国で顕著な「Facebook離れ」、具体的な割合も明らかに【やじうまWatch】 - INTERNET Watch
- 目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ (1/4):セキュリティ・アディッショナルタイム(24) - @IT
- ASCII.jp:RPAユーザーが再び金曜夜に大集合!RPA Community勉強会Vol4 (1/2)
- 9/8
- 最後に
9/2
Burp Suite日本語ドキュメント | burp-resources-ja
https://burp-resources-ja.webappsec.jp/
ブラウザをひそかに乗っ取り勝手に盗掘する新手の「クリプトジャッキング」が急増 | CoinChoice
https://coinchoice.net/new-crypto-jacking-surges/
先週のサイバー事件簿 - 偽「国境なき医師団」の詐欺に注意 | マイナビニュース
https://news.mynavi.jp/article/20180901-687381/
TLPT・TIBERに関する動向まとめ - セキュリティコンサルタントの日誌から
https://www.scientia-security.org/entry/2018/09/01/101945
Cisco Catalyst のTDR試験コマンドでポート故障を遠隔診断する - miyalog
https://miyalog.hatenablog.jp/entry/catalyst_tdr_cable-diagnostics
9/3
【セキュリティ ニュース】Windowsタスクスケジューラのゼロデイ脆弱性、回避策が公開 - 独自パッチも(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097556
不正ログインどう防ぐ 最低限知っておきたいパスワード設定 (1/3) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/03/news014.html
Google、「ウイルスに感染しました」などの詐欺広告対策で検証プログラム立ち上げへ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/03/news060.html
9/4
NTTセキュリティ、米Symantec社との戦略パートナーシップの一環としてSymantec社製クラウド型セキュリティサービスを組み込んだ高度分析サービスを提供開始|NTTセキュリティ株式会社のプレスリリース
https://www.atpress.ne.jp/news/164915
9/5
Google、Androidの月例セキュリティ情報公開 メディアフレームワークに深刻な脆弱性 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/05/news063.html
「Chrome 69」安定版、10周年でパスワード自動生成など多数の新機能 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/05/news058.html
JPCERT コーディネーションセンター Weekly Report
http://www.jpcert.or.jp/wr/2018/wr183401.html
正規のWindowsツールを使って不正ファイルをダウンロード--情報盗取の新攻撃 - ZDNet Japan
https://japan.zdnet.com/article/35125030/
9/6
他社の「有事」を自分事として生かす「平時」であれ――セキュリティリサーチャーズが示す、平時と有事の対応指針とは:@ITセキュリティセミナー2018.6-7 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/04/news003.html
Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)
http://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html
「Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan
https://japan.zdnet.com/article/35125188/
7月は「memcached」を悪用した攻撃や「.iqy」ファイル付きスパムメール攻撃を確認~IIJ調査 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1141694.html
9/7
バグバウンティの始め方 - No1zy Web Security Blog
https://no1zy.hatenablog.com/entry/how-to-start-bugbounty
本物のパスワードで信用させる、脅迫メールのえげつない中身 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/082700025/
海賊版サイトにDoS攻撃「全く賛同しない」 JAIPA、IT団体連盟の案に反対 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/07/news080.html
個人情報流出事件が原因か? 米国で顕著な「Facebook離れ」、具体的な割合も明らかに【やじうまWatch】 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/yajiuma/1141934.html
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ (1/4):セキュリティ・アディッショナルタイム(24) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/07/news020.html
ASCII.jp:RPAユーザーが再び金曜夜に大集合!RPA Community勉強会Vol4 (1/2)
http://ascii.jp/elem/000/001/737/1737450/
9/8
「社会的責任」からじゃない。 趣味でつくって、おすそ分け。──まつもとゆきひろ|WIRED.jp
https://wired.jp/waia/2018/01_yukihiro-matsumoto/
最後に
台風に地震、散々な一週間な印象でした。
気になった記事2018/08 その5
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 8/26 - 9/01
- 全体に対してのコメント: QRコードとかEVSSLとか。
- 概要
- 8/26
- 8/27
- 高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!
- パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH(クロステック)
- マストドンセキュリティガイドライン - ashphy's commit logs
- 「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission
- QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー|:QRコードメーカーお知らせ
- 米T-Mobileに不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS
- 8/28
- 【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明(1ページ目 / 全1ページ):Security NEXT
- デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH(クロステック)
- Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog
- 【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも(1ページ目 / 全1ページ):Security NEXT
- 【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷|セキュリティ|IT製品の事例・解説記事
- 「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ
- 8/29
- 8/30
- 便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース
- QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ
- 2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記
- サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース
- 『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン)
- GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)
- 8/31
- ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース
- 2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム
- Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE
- Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE
- wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
- ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
- 不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース:セキュリティ通信:So-netブログ
- 9/1
- 最後に
8/26
2018年のリスト型攻撃の被害事例をまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180824/1535144979
マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log
https://cha-shu00.hatenablog.com/entry/2018/08/25/122848
Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている
http://d.hatena.ne.jp/ozuma/20180826/1535258202
個人でEV SSL証明書は取れるのか (2) - ろば電子が詰まっている
http://d.hatena.ne.jp/ozuma/20180825/1535255303
FirefoxでオレオレEVSSL証明書
https://qiita.com/angel_p_57/items/ffa34ae8953059deb4a6
8/27
高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!
https://www.bizcompass.jp/original/re-management-129-1.html
パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00900/
マストドンセキュリティガイドライン - ashphy's commit logs
http://ashphy.hateblo.jp/entry/mastodon-securit-guidelines
「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission
https://srad.jp/submission/78134/
QRコード作成|QRの解析 無料【公式】|商用利用可|QRコードメーカー|:QRコードメーカーお知らせ
https://m.qrqrq.com/service/news/
米T-Mobileに不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/27/news066.html
8/28
【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097343
デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02449/
Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog
http://eng-blog.iij.ad.jp/archives/1968
【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097318
【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷|セキュリティ|IT製品の事例・解説記事
https://news.mynavi.jp/itsearch/article/security/3912
「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1808/28/news033.html
8/29
JPCERT コーディネーションセンター Weekly Report
http://www.jpcert.or.jp/wr/2018/wr183301.html
「微博」など中国SNSから個人情報30億件流出 現地IT企業トップが首謀か (1/2ページ) - SankeiBiz(サンケイビズ)
https://www.sankeibiz.jp/macro/news/180829/mcb1808290500001-n1.htm
子どもに「パスワード」の付け方を教えられますか? (1/2) - ITmedia PC USER
http://www.itmedia.co.jp/pcuser/articles/1808/28/news084.html
Black Hat USA 2018 & DEF CON 26レポート(1) - DARK MATTER
ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1140382.html
8/30
便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180829-00094904/
QRコード“読み取り”で位置情報送信の危険性? 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ
http://nlab.itmedia.co.jp/nl/articles/1808/28/news115.html
dポイントが加盟店で不正利用される被害: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html
2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記
http://d.hatena.ne.jp/hatenadiary/20180830/blog_unify
サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース
https://www3.nhk.or.jp/news/html/20180830/k10011599481000.html
『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11092
GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)
GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立:CodeZine(コードジン)
8/31
ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース
https://www.sankei.com/economy/news/180830/ecn1808300032-n1.html
2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を! – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/08/31/o365_tls/
Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE
https://gigazine.net/news/20180831-google-mastercard-data-link/
Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE
https://gigazine.net/news/20180831-firefox-block-trackers-default/
wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
https://wizsafe.iij.ad.jp/2018/08/428/
ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
https://www.mbsd.jp/blog/20180831.html
不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース:セキュリティ通信:So-netブログ
https://security-t.blog.so-net.ne.jp/2018-08-31
9/1
Firefoxに実行時パッチ(オレオレEVSSL番外編)
https://qiita.com/angel_p_57/items/973960bc4b301c91611b
GRCSがSBTと協業、ImpervaのクラウドWAF「Imperva Incapsula」やマネージドサービスを提供 - クラウド Watch
https://cloud.watch.impress.co.jp/docs/news/1140616.html
ASCII.jp:経営寄りの技術者、橋渡し人材の重要性|ホワイトハッカーのおしごと
http://ascii.jp/elem/000/001/730/1730343/
ブロックチェーンでハッカーから電力網を保護する、Xageのセキュリティ自動化ツール | TechCrunch Japan
最後に
8月が終わった。
気になった記事2018/08 その4
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 8/19 - 8/25
- 全体に対してのコメント: 今週も雑多な感じですが、Atruts2の話題が多かった印象です。
- 概要
- 8/19
- 8/20
- Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
- ブロックチェーンサービスのセキュリティを考える - Speaker Deck
- 本当にわかる Spectre と Meltdown
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
- 無一文館: オリンピックボランティアステマ騒動まとめ
- 8/21
- 8/22
- 8/23
- Apache Struts2 (CVE-2018-11776)(S2-057) 関連
- お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
- グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZine(エンタープライズジン)
- GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
- ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)
- Black Hat USA 2018 & DEF CON 26! の登壇
- 【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
- 8/24
- 8/25
- 最後に
8/19
Googleは「邪悪な」検閲付き検索で中国に進出するのか? - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/19/news012.html
Android端末は買った瞬間からセキュリティに“穴”がある? 米企業が調査結果を公表|WIRED.jp
https://wired.jp/2018/08/18/android-smartphones-vulnerable/
8/20
Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
ブロックチェーンサービスのセキュリティを考える - Speaker Deck
本当にわかる Spectre と Meltdown
www.slideshare.net
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
http://www.antiphishing.jp/news/alert/saison_20180820.html
家には来てないけれど、気を付けたい。
無一文館: オリンピックボランティアステマ騒動まとめ
http://muichimonkan.blogspot.com/2018/08/blog-post.html
8/21
「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/21/news019.html
不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1808/21/news046.html
WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3):今さら聞けない「セキュリティ基礎の基礎」(1) - @IT
http://www.atmarkit.co.jp/ait/articles/1808/20/news009.html
日本のハッカー元祖が語る、花形プログラマー育成に必要なこと
8/22
4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02374/
8/23
Apache Struts2 (CVE-2018-11776)(S2-057) 関連
Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース
https://nanashi0x.hatenablog.com/entry/apache-struts2-vuls1
Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180036.html
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20180823-struts.html
「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan
https://japan.zdnet.com/article/35124441/
北河さんのツイート
S2-057に関するタイムライン(日本時間)
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) August 23, 2018
攻撃の観測、被害報告は今後出てくる可能性あり pic.twitter.com/jHyJ62bqmX
お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1139204.html
グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11060
GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
https://japan.zdnet.com/article/35124415/
ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00205/080200008/
Black Hat USA 2018 & DEF CON 26! の登壇
https://www.mbsd.jp/blog/20180817.html
【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
http://harv-tech.hatenablog.com/entry/new-employee-training
8/24
記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog
http://blog.livedoor.jp/blackwingcat/archives/1971605.html
米民主党へのサイバー攻撃、実は「テスト」 :日本経済新聞
https://www.nikkei.com/article/DGXMZO34540100U8A820C1000000/
ニュースになっていない攻撃: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/post-80b7.html
8/25
【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定(1ページ目 / 全2ページ):Security NEXT
http://www.security-next.com/096892
【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097088
最後に
自分の所属している組織でもフィッシングメール訓練があったのですが、結構な数の人がメールを開いたとの結果報告をみました。メール開く開かないはそんなに重要ではなくて、開いてしまったときにちゃんと決められたとおりに報告できるか、周りと連携できているかも集計したほうがいいのではないかと思いました。中にはちゃんと報告があったようだったので、まったく無駄ではなかったのだなあと思いました。とはいえ、今回とりあげた「米民主党へのサイバー攻撃、実は「テスト」 」みたいなケースもあるので気をつけて運用してほしいし、自分が実施する立場になったら気をつけたいです。