気になった記事2018/10 その5
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 10/28 - 11/3
- 全体に対してのコメント: トレンドマイクロさんのリリース関連が一番印象に残りました。codeblueがありましたが、今年も不参加でした。codeblue関連の記事は週末から来週にかけてでしょうか。
- 概要
- 10/28
- 10/29
- FINAL FANTASY XIVへのDDoS攻撃による接続障害についてまとめてみた - piyolog
- 中国政府がチャイナテレコムを通してBGPハイジャックを実行--研究者が指摘 - ZDNet Japan
- 「サイバーセキュリティ庁」創設、対策強化を 笹川平和財団が提言 - 産経ニュース
- 「漫画村」運営者を特定 米IT企業、通信記録を開示 | 共同通信 - This kiji is
- Twitter、爆弾郵送容疑者の脅迫ツイートめぐり謝罪--報告に対処せず - CNET Japan
- IBMがLinuxのRed Hatを340億ドルで買収へ ハイブリッドクラウド強化 - ITmedia NEWS
- 10/30
- 標準時間で難航、EUがサマータイム廃止延期へ : 国際 : 読売新聞(YOMIURI ONLINE)
- ゲヒルン石森氏が明かす、セキュリティ会社が行っている脆弱性対策とは:@IT脆弱性対応セミナー2018 - @IT
- MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案:キャッシュを複数のバケットに分割 - @IT
- 【セキュリティ ニュース】メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも(1ページ目 / 全1ページ):Security NEXT
- 【セキュリティ ニュース】金属加工用制御機器にマルウェア、2年間潜伏 - 開発時に感染か(1ページ目 / 全1ページ):Security NEXT
- IPA、「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開 - SecurityInsight | セキュリティインサイト
- 10/31
- 「メルカリ」不正アカウント作り販売容疑 8500万円売り上げか | NHKニュース
- GDPRの「72時間以内報告」の本当の意味 - WirelessWire News(ワイヤレスワイヤーニュース)
- Google Chromeで不正なプログラムを検索して削除する:Google Chrome完全ガイド - @IT
- ケント大学の研究チーム、サイバー被害を57種類に分類:サイバー被害の指標となるか - @IT
- X.Orgに特権昇格の脆弱性、LinuxやOpenBSDに影響 - ITmedia エンタープライズ
- 企業はパッチを適用していない--大半の脆弱性は1カ月経っても未対応 - ZDNet Japan
- 古いOSやPCを使い続けるとコスト面、セキュリティ面でリスクも MS、「Windows 7」EOS対策の説得方法を指南 (1/2) - ITmedia エンタープライズ
- 【App Store上の当社アプリに関する重要なお知らせ】2018年10月31日更新 | トレンドマイクロ
- 会計ソフトfreee(フリー)が全サービス一時停止、月末に緊急システムメンテ | TechWave(テックウェーブ)
- Node.jsにおけるprototype汚染攻撃への対策 - SSTエンジニアブログ
- 【資料公開】Lead Initiative 2018 Technical TRACKのご紹介 | IIJ Engineers Blog
- 【連載】どうする!? セキュリティ運用アウトソーシング [3] 狙われるのは人|セキュリティ|IT製品の事例・解説記事
- 11/1
- イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
- 高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
- MICRO 51 - セキュリティに配慮したマイクロアーキテクチャ設計(前編)|BIGLOBEニュース
- wizSafe Security Signal 2018年9月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
- 偽警告でソフトを売り込むネット詐欺、巧みな手口に引っ掛かってみた | 日経 xTECH(クロステック)
- 11/2
- 11/3
- 最後に
10/28
「ブラッディ・マンデイを考察する」から10年が経ち、NHKドラマ「フェイクニュース」を監修した話 | 諸多日記
https://isid.ai/diary/2018/10/27/1294/
10/29
FINAL FANTASY XIVへのDDoS攻撃による接続障害についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20181028/1540749883
中国政府がチャイナテレコムを通してBGPハイジャックを実行--研究者が指摘 - ZDNet Japan
https://japan.zdnet.com/article/35127713/
「サイバーセキュリティ庁」創設、対策強化を 笹川平和財団が提言 - 産経ニュース
https://www.sankei.com/affairs/news/181029/afr1810290033-n1.html
「漫画村」運営者を特定 米IT企業、通信記録を開示 | 共同通信 - This kiji is
https://this.kiji.is/428625597506339937
Twitter、爆弾郵送容疑者の脅迫ツイートめぐり謝罪--報告に対処せず - CNET Japan
https://japan.cnet.com/article/35127704/
IBMがLinuxのRed Hatを340億ドルで買収へ ハイブリッドクラウド強化 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/29/news050.html
10/30
標準時間で難航、EUがサマータイム廃止延期へ : 国際 : 読売新聞(YOMIURI ONLINE)
https://www.yomiuri.co.jp/world/20181029-OYT1T50005.html
なくすのも大変
ゲヒルン石森氏が明かす、セキュリティ会社が行っている脆弱性対策とは:@IT脆弱性対応セミナー2018 - @IT
http://www.atmarkit.co.jp/ait/articles/1810/22/news010.html
MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案:キャッシュを複数のバケットに分割 - @IT
http://www.atmarkit.co.jp/ait/articles/1810/30/news048.html
【セキュリティ ニュース】メールで届く「wizファイル」に注意 - マクロ有効化でマルウェア感染のおそれも(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/099468
【セキュリティ ニュース】金属加工用制御機器にマルウェア、2年間潜伏 - 開発時に感染か(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/099465
IPA、「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開 - SecurityInsight | セキュリティインサイト
https://securityinsight.jp/news/13-inbrief/3460-181030-2
10/31
「メルカリ」不正アカウント作り販売容疑 8500万円売り上げか | NHKニュース
https://www3.nhk.or.jp/news/html/20181030/k10011692111000.html
GDPRの「72時間以内報告」の本当の意味 - WirelessWire News(ワイヤレスワイヤーニュース)
https://wirelesswire.jp/2018/10/67238/
Google Chromeで不正なプログラムを検索して削除する:Google Chrome完全ガイド - @IT
http://www.atmarkit.co.jp/ait/articles/1810/31/news028.html
ケント大学の研究チーム、サイバー被害を57種類に分類:サイバー被害の指標となるか - @IT
http://www.atmarkit.co.jp/ait/articles/1810/31/news037.html
X.Orgに特権昇格の脆弱性、LinuxやOpenBSDに影響 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1810/30/news077.html
企業はパッチを適用していない--大半の脆弱性は1カ月経っても未対応 - ZDNet Japan
https://japan.zdnet.com/article/35127641/
古いOSやPCを使い続けるとコスト面、セキュリティ面でリスクも MS、「Windows 7」EOS対策の説得方法を指南 (1/2) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1810/31/news036.html
【App Store上の当社アプリに関する重要なお知らせ】2018年10月31日更新 | トレンドマイクロ
https://www.trendmicro.com/ja_jp/about/announce/announces-20180912.html
会計ソフトfreee(フリー)が全サービス一時停止、月末に緊急システムメンテ | TechWave(テックウェーブ)
https://techwave.jp/archives/accounting-service-freee-all-service-stops-at-the-end-of-the-month.html
Node.jsにおけるprototype汚染攻撃への対策 - SSTエンジニアブログ
https://techblog.securesky-tech.com/entry/2018/10/31/
【資料公開】Lead Initiative 2018 Technical TRACKのご紹介 | IIJ Engineers Blog
http://eng-blog.iij.ad.jp/archives/2071
【連載】どうする!? セキュリティ運用アウトソーシング [3] 狙われるのは人|セキュリティ|IT製品の事例・解説記事
https://news.mynavi.jp/itsearch/article/security/4043
11/1
イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
https://takagi-hiromitsu.jp/diary/20181031.html
MICRO 51 - セキュリティに配慮したマイクロアーキテクチャ設計(前編)|BIGLOBEニュース
https://news.biglobe.ne.jp/it/1101/mnn_181101_7186065553.html
wizSafe Security Signal 2018年9月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
https://wizsafe.iij.ad.jp/2018/10/470/
偽警告でソフトを売り込むネット詐欺、巧みな手口に引っ掛かってみた | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/102600030/?P=1
11/2
サイバーセキュリティに関するグローバル動向四半期レポート(2018年7月~9月)を公開 | NTTデータ
http://www.nttdata.com/jp/ja/news/information/2018/2018103101.html
App Storeから消えたトレンドマイクロ、エバCEOの言い分 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01202/
「おさいふPonta」にパスワードリスト攻撃、1時間に約30万件 - 一部で残高の不正移行
http://www.security-next.com/099567
第18回 ポッドキャストを18回しただけなのに スペシャル « podcast - #セキュリティのアレ
http://www.tsujileaks.com/?p=503
第21回ゼロから始めるセキュリティ入門 勉強会に参加してきました | 猫とセキュリティ
http://nekotosec.com/join-the-study-group-the-21th/
11/3
- なし
最後に
今週は順調な週でした。
気になった記事2018/10 その4
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 10/21 - 10/27
- 全体に対してのコメント: Githubが止まったり、システムトラブルが大きく社会に影響するようなことが増えてきたり。
- 概要
- 10/21
- 10/22
- ハニーポット月次分析 9月度〜EthereumとRedis〜 - sec-chick Blog
- Twitterのエンジニアをサウジアラビアがスパイとして使っていた──New York Times報道 - ITmedia NEWS
- GitHub - OmerYa/Invisi-Shell: Hide your Powershell script in plain sight. Bypass all Powershell security features
- ホワイトハッカー、自衛隊員に 5年以内の任期付き :日本経済新聞
- Facebook、大手セキュリティ企業を買収か──The Information報道 - ITmedia NEWS
- 今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
- 10/23
- パスワード不要、生体認証でヤフーにログイン 「FIDO 2」対応 Androidスマホ+Chromeで - ITmedia NEWS
- MRJめぐり地上戦、ボンバルが米連邦地裁に提訴 (写真=共同) :日本経済新聞
- ヤフー、不正広告排除へ ガイドラインを強化 :日本経済新聞
- October 21 Incident Report | The GitHub Blog
- 失踪サウジ記者のアップルウォッチ暴行録音はW-Fiルーター+iCloud保存ではないか(三上洋) - 個人 - Yahoo!ニュース
- 継続する 5555/TCP ポート宛攻撃通信と ADB が有効化された脆弱な Android エミュレータについて
- 同じIPアドレスが原因 東証、システム障害で報告書 :日本経済新聞
- システム障害:札幌地下鉄で運行停止 乗客一時閉じ込めも - 毎日新聞
- 「中国にスパイチップを仕込まれた」と報じられたSupermicroがAppleに続いてBloombergに記事の撤回を要求 - GIGAZINE
- 10/24
- 2018年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog
- サーバーのアクセス管理/ログ管理などのセキュリティを包括的に実現するソフトウェア「ESS AdminGate」が多要素認証に対応|BIGLOBEニュース
- JPCERT コーディネーションセンター Weekly Report
- Mozilla、「Firefox 63」を正式公開 ~トラッキング防止を強化、パフォーマンスも向上 - 窓の杜
- Windows 10にゼロデイ脆弱性、“GitHub”でデモコードが公開される - 窓の杜
- “はてぶ”も餌食に ~新レート制限の導入で多くのTwitterアプリ・サービスに影響が出る - やじうまの杜 - 窓の杜
- NEC・日立・富士通、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定:EnterpriseZine(エンタープライズジン)
- 東証、9日のシステム障害の原因を説明 メリルリンチが重複IPアドレスで同時接続 - ITmedia NEWS
- 10/25
- 10/26
- 10/27
- 最後に
10/21
- なし
10/22
ハニーポット月次分析 9月度〜EthereumとRedis〜 - sec-chick Blog
https://sec-chick.hatenablog.com/entry/2018/10/21/233231
Twitterのエンジニアをサウジアラビアがスパイとして使っていた──New York Times報道 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/22/news048.html
GitHub - OmerYa/Invisi-Shell: Hide your Powershell script in plain sight. Bypass all Powershell security features
https://github.com/OmerYa/Invisi-Shell
ホワイトハッカー、自衛隊員に 5年以内の任期付き :日本経済新聞
https://www.nikkei.com/article/DGXMZO36743180R21C18A0PE8000/
ちゃんと期限なしで雇用したほうがいいと思うのですが、事情があるのでしょうか。
Facebook、大手セキュリティ企業を買収か──The Information報道 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/22/news058.html
今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
https://scan.netsecurity.ne.jp/article/2018/10/12/41484.html
10/23
パスワード不要、生体認証でヤフーにログイン 「FIDO 2」対応 Androidスマホ+Chromeで - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/23/news090.html
MRJめぐり地上戦、ボンバルが米連邦地裁に提訴 (写真=共同) :日本経済新聞
https://www.nikkei.com/article/DGXMZO36769750S8A021C1TJ2000/
ヤフー、不正広告排除へ ガイドラインを強化 :日本経済新聞
https://www.nikkei.com/article/DGXMZO36771250S8A021C1916M00/
October 21 Incident Report | The GitHub Blog
https://blog.github.com/2018-10-21-october21-incident-report/
失踪サウジ記者のアップルウォッチ暴行録音はW-Fiルーター+iCloud保存ではないか(三上洋) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/mikamiyoh/20181015-00100574/
継続する 5555/TCP ポート宛攻撃通信と ADB が有効化された脆弱な Android エミュレータについて
https://blog.nicter.jp/2018/10/android-5555/
同じIPアドレスが原因 東証、システム障害で報告書 :日本経済新聞
https://www.nikkei.com/article/DGXMZO36769740S8A021C1EE9000/
システム障害:札幌地下鉄で運行停止 乗客一時閉じ込めも - 毎日新聞
https://mainichi.jp/articles/20181023/k00/00m/040/166000c
「中国にスパイチップを仕込まれた」と報じられたSupermicroがAppleに続いてBloombergに記事の撤回を要求 - GIGAZINE
https://gigazine.net/news/20181023-supermicro-want-bloomberg-retract-story/
10/24
2018年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20181024/1540329015
サーバーのアクセス管理/ログ管理などのセキュリティを包括的に実現するソフトウェア「ESS AdminGate」が多要素認証に対応|BIGLOBEニュース
https://news.biglobe.ne.jp/economy/1024/atp_181024_4702090006.html
JPCERT コーディネーションセンター Weekly Report
http://www.jpcert.or.jp/wr/2018/wr184101.html
今週のJPCERTレポートは項目が多い印象。
Mozilla、「Firefox 63」を正式公開 ~トラッキング防止を強化、パフォーマンスも向上 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1149516.html
Windows 10にゼロデイ脆弱性、“GitHub”でデモコードが公開される - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1149600.html
“はてぶ”も餌食に ~新レート制限の導入で多くのTwitterアプリ・サービスに影響が出る - やじうまの杜 - 窓の杜
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1149608.html
NEC・日立・富士通、サイバーセキュリティ技術者の共通人材モデル「統合セキュリティ人材モデル」を策定:EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11321
これだけ細分化できるところはそうそうないので、やはり大会社。
東証、9日のシステム障害の原因を説明 メリルリンチが重複IPアドレスで同時接続 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/24/news069.html
10/25
海賊版サイト対策ブロッキングについて
海賊版対策会議「最後の3時間半で何が話されたか」
https://ironna.jp/article/11002
海賊版サイト「捜査を渋る」日本の警察こそ弊害である
https://ironna.jp/article/10999
株式会社日本貿易保険との契約に関わる不正の発表について | セキュリティ対策のラック
https://www.lac.co.jp/news/2018/10/25_news_01.html
10/26
本当に安全? 「二段階認証」のハナシ (1/3) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/26/news008.html
AppleのクックCEO、プライバシー国際会議で“個人データの武器化”に警鐘 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/25/news052.html
絶滅”したはずの10年前のハッキング手法が、あらゆるPCを危険に晒す|WIRED.jp
https://wired.jp/2018/10/25/cold-boot-break-pc-encryption/
サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2018年7月~9月]
https://www.ipa.go.jp/files/000069662.pdf
【セキュリティ ニュース】ランサム被害ファイルの解析作業、復号ツール活用も視野に - 宇陀市立病院(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/099412
10/27
「保守速報」「netgeek」などにDoS攻撃か サイト閲覧できない状態に - ねとらぼ
http://nlab.itmedia.co.jp/nl/articles/1810/27/news041.html
最後に
先週を引きずってさらにふがいないことをした週になりました。
気になった記事2018/10 その3
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 10/14 - 10/20
- 全体に対してのコメント: とりとめもない感じでたくさん。
- 概要
- 10/14
- 10/15
- 10/16
- 驚きのマネタイズ、攻撃者が不正ログインで得たもの | 日経 xTECH(クロステック)
- 米国防総省、セキュリティ侵害で職員約3万人の個人情報など流出との報道 - ZDNet Japan
- 「Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp
- 海賊版サイト対策、報告見送り 両論併記に反対根強く | 共同通信 - This kiji is
- “Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT
- 大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 - ITmedia エンタープライズ
- 2020 年 IE, Edge で TLS 1.0, 1.1 での接続無効化。確認を! – 日本のセキュリティチーム
- 森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム
- JPCERT/CCインシデント報告対応レポート[2018年7月1日 ~ 2018年9月30日]
- 「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に - ITmedia NEWS
- 一部手法を見直した「制御システムのセキュリティリスク分析ガイド」第2版(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
- 防御型対策から侵入を前提とした対策へシフトせよ――高度化するサイバー攻撃への備え (1/3):EnterpriseZine(エンタープライズジン)
- 10/17
- 10/18
- 10/19
- 10/20
- 最後に
10/14
「身元特定は『漫画村』運営者のミス」「議論を拒んでいるのは反対派」川上量生氏、改めてブロッキングの必要性訴える (1/2)
http://blogos.com/article/331475/
picoCTF 2018を主催した話 - security etc...
http://rintaro.hateblo.jp/entry/2018/10/14/155209
10/15
【セキュリティ ニュース】PHPにコード実行の脆弱性、リスク「高」 - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/098961
電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 - GIGAZINE
https://gigazine.net/news/20181015-sim-jacking-account-stealing-ransom/
孫正義ファンドのサウジ皇太子が記者暗殺を命令か。Apple Watchが殺害の一部始終を記録? | ギズモード・ジャパン
ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記
https://blog.tokumaru.org/2018/10/ec.html
10/16
驚きのマネタイズ、攻撃者が不正ログインで得たもの | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/100900158/
米国防総省、セキュリティ侵害で職員約3万人の個人情報など流出との報道 - ZDNet Japan
https://japan.zdnet.com/article/35126973/
「Google+」の閉鎖と情報流出問題は、大手テック企業の「矛盾」を浮き彫りにした|WIRED.jp
https://wired.jp/2018/10/15/googles-privacy-whiplash/
海賊版サイト対策、報告見送り 両論併記に反対根強く | 共同通信 - This kiji is
https://this.kiji.is/424479136794149985
“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT
http://www.atmarkit.co.jp/ait/articles/1810/15/news010.html
大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1810/16/news077.html
2020 年 IE, Edge で TLS 1.0, 1.1 での接続無効化。確認を! – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/10/16/tlsdeprecation/
森元首相の旧サイト別物に=中古ドメイン、第三者取得-専門家は犯罪利用の危険指摘:時事ドットコム
https://www.jiji.com/jc/article?k=2018101600117
JPCERT/CCインシデント報告対応レポート[2018年7月1日 ~ 2018年9月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20181016.pdf
「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/15/news131.html
一部手法を見直した「制御システムのセキュリティリスク分析ガイド」第2版(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
https://scan.netsecurity.ne.jp/article/2018/10/16/41498.html
防御型対策から侵入を前提とした対策へシフトせよ――高度化するサイバー攻撃への備え (1/3):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11226
10/17
トランプ支持者向け出会い系アプリ、リリース初日に個人情報流出 写真1枚 国際ニュース:AFPBB News
http://www.afpbb.com/articles/-/3193492?pid=20622074
[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey
https://www.publickey1.jp/blog/18/githubtoken_scanninggithub_universe_2018.html
2018年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2018/at180042.html
10/18
JPCERT コーディネーションセンター Weekly Report
http://www.jpcert.or.jp/wr/2018/wr184001.html
インターネット定点観測レポート(2018年 7~9月)
http://www.jpcert.or.jp/tsubame/report/report201807-09.html
クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記
https://blog.tokumaru.org/2018/10/methods-of-stealing-credit-card-information.html
朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
https://scan.netsecurity.ne.jp/article/2018/10/18/41512.html
「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan
https://japan.zdnet.com/article/35127169/
10/19
「AVGアンチウイルス」販売終了、無料版や「AVGインターネットセキュリティ」は引き続き提供 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1148687.html
他人のポイントで商品詐取 容疑の中国人逮捕 警視庁 :日本経済新聞
https://www.nikkei.com/article/DGXMZO36625320Y8A011C1CC0000/
JVN YukiWiki における複数の脆弱性
https://jvn.jp/jp/JVN36343375/
Facebookの個人情報流出、GDPRの重要な試金石に--欧州では300万人に影響 - CNET Japan
https://japan.cnet.com/article/35127288/
10/20
Java Usage Tracker の脆弱性「CVE-2018-3211」を発見、Windows 環境で検証 | トレンドマイクロ セキュリティブログ
https://blog.trendmicro.co.jp/archives/19747
「一太郎」は生きている―― 開発者が同人誌、知られざる進化の物語 - withnews(ウィズニュース)
https://withnews.jp/article/f0181019000qq000000000000000W04y10101qq000018121A
2件の脆弱性を修正した「Ruby」v2.5.2/2.4.5/2.3.8がリリース - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1148586.html
最後に
今週末はふがいないことのなった。つらい。ひきずって公開がだいぶ遅れた。
気になった記事2018/10 その2
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 10/7 - 10/13
- 全体に対してのコメント: 各種アップデートやシステムトラブル、情報漏洩など、今週もいろいろですね。
- 概要
- 10/7
- 10/8
- 10/9
- Google、個人情報へのサードパーティーアプリからのアクセス制限を強化 - ITmedia NEWS
- 「Google+」消費者版が終了へ--APIのバグで最大50万人の情報流出のおそれ - CNET Japan
- プログラミングとeスポーツ、うちの子に習わせるとしたら? | 日経 xTECH(クロステック)
- セキュリティが本業ではない企業のセキュリティ投資、人材はこう考えよ――ANAシステムズ阿部恭一氏が指南 (1/3):EnterpriseZine(エンタープライズジン)
- 「Python」はハッカーにも人気--Imperva - ZDNet Japan
- 「開発の丸投げやめて」 疲弊するAIベンダーの静かな怒りと、依頼主に“最低限”望むこと (1/5) - ITmedia NEWS
- Google、Gmail関連とAndroidアプリの審査を抜本的に変更――Project StrobeはGoogle+の閉鎖も発表 | TechCrunch Japan
- 東証関連
- 10/10
- 10/11
- 10/12
- 2018年上半期の流出データは「45億件」、ジェムアルトが調査:漏えいデータのうち、暗号化済みはわずか1% - @IT
- 仮想通貨取引所の陥落 vs. セキュリティ企業の個人情報収集 (1/3):セキュリティクラスタ まとめのまとめ 2018年9月版 - @IT
- 信頼性の低いシマンテック証明書の置き換えが予想以上に遅いとMozillaが嘆き - GIGAZINE
- サイバー犯罪に利用される公開ツール、5カ国のセキュリティ機関が注意喚起 - ITmedia NEWS
- ヴィッセル神戸 ニュース/レポート : DF高橋峻希選手による出場予定メンバー情報漏洩に係る調査結果並びに処分決定に関するお知らせ
- サイバー攻撃の主流はランサムウェアからマイニングマルウェアに? 2018年第1四半期以降急増 - INTERNET Watch
- 漫画村に次ぐ「漫画塔」は、とあるアルメニア人の儚い夢だった - 無能ブログ
- NTTデータ、金融機関でのセキュアなパブリッククラウド活用を支援するソリューション「A-gate」 - クラウド Watch
- 中国スパイチップ報道に揺れるシリコンバレーとApple--Appleニュース一気読み - CNET Japan
- Android端末が安いのは「ユーザーが個人情報を差出すから」と専門家。一方アップルはプライバシー重視を力説 - Engadget 日本版
- Tenable、脆弱性評価ソリューションの最新版「Nessus 8」発表 | マイナビニュース
- 10/13
- 最後に
10/7
アマゾン、メールアドレスの外部流出を顧客へ通知 - WSJ
https://jp.wsj.com/articles/SB11872399051430784739704584514670621685080
10/8
Apple、米議会に「ハッキング攻撃の痕跡はない」と報告 - iPhone Mania
https://iphone-mania.jp/news-229436/
AWS認定セキュリティ – 専門知識に合格しました
https://qiita.com/nakazax/items/03d3fb9c61b61dc87b75
10/9
Google、個人情報へのサードパーティーアプリからのアクセス制限を強化 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/09/news070.html
「Google+」消費者版が終了へ--APIのバグで最大50万人の情報流出のおそれ - CNET Japan
https://japan.cnet.com/article/35126682/
プログラミングとeスポーツ、うちの子に習わせるとしたら? | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/100400156/
自分の子供だったらどっちかやりたいと言われたらプログラミングを教える。
セキュリティが本業ではない企業のセキュリティ投資、人材はこう考えよ――ANAシステムズ阿部恭一氏が指南 (1/3):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11221
「Python」はハッカーにも人気--Imperva - ZDNet Japan
https://japan.zdnet.com/article/35126329/
「開発の丸投げやめて」 疲弊するAIベンダーの静かな怒りと、依頼主に“最低限”望むこと (1/5) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/09/news010.html
Google、Gmail関連とAndroidアプリの審査を抜本的に変更――Project StrobeはGoogle+の閉鎖も発表 | TechCrunch Japan
東証関連
東証でシステム障害=一部で株売買できず:時事ドットコム
https://www.jiji.com/jc/article?k=2018100900327
株式売買システム(arrowhead)における一部接続障害について | 日本取引所グループ
https://www.jpx.co.jp/news/1030/20181009-01.html
10/10
Microsoft関連
2018 年 10 月のセキュリティ更新プログラム (月例) - 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/10/10/201810-security-updates/
2018年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
http://www.jpcert.or.jp/at/2018/at180041.html
Microsoft 製品の脆弱性対策について(2018年10月):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20181010-ms.html
Windows 10 October Updateでファイルが消失する原因が判明 - PC Watch
https://pc.watch.impress.co.jp/docs/news/1147038.html
「漫画村」酷似サイトを実名で紹介、セキュリティアナリストの記事に批判の声が続出【やじうまWatch】 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/yajiuma/1146970.html
Zaif、フィスコに事業譲渡 テックビューロは解散へ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/10/news125.html
10/11
【セキュリティ ニュース】聖教新聞通販サイトから個人情報18万件が流出か - 偽決済画面でクレカ情報の詐取も(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】聖教新聞通販サイトから個人情報18万件が流出か - 偽決済画面でクレカ情報の詐取も(1ページ目 / 全1ページ):Security NEXT
仮面ブロガー、サイバー事件を斬る プロも注目 :日本経済新聞
https://www.nikkei.com/article/DGXMZO36178940V01C18A0CR8000/
総関西サイバーセキュリティLT大会(第11回)のまとめ - Togetter
https://togetter.com/li/1275356
[セキュリティ基本対策 5 か条] 第 5 条 バックアップの取得を設定する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/10/11/securitybasicrule5/
10/12
2018年上半期の流出データは「45億件」、ジェムアルトが調査:漏えいデータのうち、暗号化済みはわずか1% - @IT
http://www.atmarkit.co.jp/ait/articles/1810/11/news071.html
仮想通貨取引所の陥落 vs. セキュリティ企業の個人情報収集 (1/3):セキュリティクラスタ まとめのまとめ 2018年9月版 - @IT
http://www.atmarkit.co.jp/ait/articles/1810/12/news020.html
信頼性の低いシマンテック証明書の置き換えが予想以上に遅いとMozillaが嘆き - GIGAZINE
https://gigazine.net/news/20181012-delaying-symantec-tls-ca-distrust/
サイバー犯罪に利用される公開ツール、5カ国のセキュリティ機関が注意喚起 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/12/news064.html
ヴィッセル神戸 ニュース/レポート : DF高橋峻希選手による出場予定メンバー情報漏洩に係る調査結果並びに処分決定に関するお知らせ
https://www.vissel-kobe.co.jp/news/article/15379.html
サイバー攻撃の主流はランサムウェアからマイニングマルウェアに? 2018年第1四半期以降急増 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1147569.html
漫画村に次ぐ「漫画塔」は、とあるアルメニア人の儚い夢だった - 無能ブログ
NTTデータ、金融機関でのセキュアなパブリッククラウド活用を支援するソリューション「A-gate」 - クラウド Watch
https://cloud.watch.impress.co.jp/docs/news/1147674.html
中国スパイチップ報道に揺れるシリコンバレーとApple--Appleニュース一気読み - CNET Japan
https://japan.cnet.com/article/35126737/
Android端末が安いのは「ユーザーが個人情報を差出すから」と専門家。一方アップルはプライバシー重視を力説 - Engadget 日本版
https://japanese.engadget.com/2018/10/12/android/
Tenable、脆弱性評価ソリューションの最新版「Nessus 8」発表 | マイナビニュース
https://news.mynavi.jp/article/20181012-705534/
10/13
脆弱性を修正した「Wireshark」v2.6.4/2.4.10が公開 ~フリーのパケット解析ツール - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1147668.html
ハッキングで2900万人分の個人情報流出、フェイスブックが確認 | ロイター
https://jp.reuters.com/article/facebook-cyber-idJPKCN1MM2G2
あなたはFacebookの情報流出の“被害者”だったのか? それを実際に確かめる方法|WIRED.jp
https://wired.jp/2018/10/13/facebook-hack-check-if-account-affected/
最後に
10月も半ばであっという間。
気になった記事2018/10 その1
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日(たまに例外あり)でまとめています。
- 期間: 9/30 - 10/6
- 全体に対してのコメント: 今週もいろいろな話題がありましたが、これはというものはなく、いろいろ起きているなあという印象です。
- 概要
- 9/30
- 10/1
- Project Zeroの研究者、一部Linuxベンダーに苦言--セキュリティパッチ公開の遅さに - ZDNet Japan
- セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事
- 量子コンピューティングは暗号化技術を形骸化させるか―RSAのCTOに聞く | IT Leaders
- IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
- 【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT
- 2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
- サービス終了のお知らせ - Yahoo!ジオシティーズ
- 10/2
- 注意喚起
- 祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム
- 英保守党のアプリから議員らの個人情報が漏えい - CNET Japan
- 推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す - GIGAZINE
- カリフォルニア州接続される機器(コネクテッド・デバイス)のセキュリティ法 仮訳 - Harumichi Yuasa's Blog
- 不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ - ITmedia NEWS
- Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処 - ITmedia NEWS
- 10/3
- 【セキュリティ ニュース】経産省、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブコメ結果を公表(1ページ目 / 全1ページ):Security NEXT
- 「サイバー・フィジカル・セキュリティ対策フレームワーク(案)」に対する意見公募結果を取りまとめました (METI/経済産業省)
- 空港でスマホやPCと共にパスワードまで提出するよう求める法律が新たに施行 - GIGAZINE
- 仮想通貨交換所セキュリティの考え方-パブリックドラフト - Google ドキュメント
- 日報問題で揺れる防衛省、文書管理システムに558億円の謎 | 日経 xTECH(クロステック)
- Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」 | TechCrunch Japan
- 【セキュリティ ニュース】不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象(1ページ目 / 全4ページ):Security NEXT
- Web開発初心者向けセキュリティ入門・SQLインジェクションとXSSを試す - paiza開発日誌
- PCI DSSに完全準拠する企業の割合が6年ぶりに低下 - ベライゾン | マイナビニュース
- 10/4
- 10/5
- 10/6
- 最後に
9/30
- なし
10/1
Project Zeroの研究者、一部Linuxベンダーに苦言--セキュリティパッチ公開の遅さに - ZDNet Japan
https://japan.zdnet.com/article/35126345/
セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事
https://news.mynavi.jp/itsearch/article/security/4009
量子コンピューティングは暗号化技術を形骸化させるか―RSAのCTOに聞く | IT Leaders
https://it.impressbm.co.jp/articles/-/16763
IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
https://www.scutum.jp/information/waf_tech_blog/2018/10/waf-blog-058.html
【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/098496
2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃんたくのひとりごと
http://mkt-eva.hateblo.jp/entry/2018/10/01/133344
サービス終了のお知らせ - Yahoo!ジオシティーズ
https://info-geocities.yahoo.co.jp/close/index.html
10/2
注意喚起
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
http://www.soumu.go.jp/menu_news/s-news/01kiban04_02000141.html
Adobe Acrobat および Reader の脆弱性 (APSB18-30) に関する注意喚起
http://www.jpcert.or.jp/at/2018/at180040.html
祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム
https://lepidum.co.jp/blog/2018-10-01/tls1_3security/
英保守党のアプリから議員らの個人情報が漏えい - CNET Japan
https://japan.cnet.com/article/35126339/
推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す - GIGAZINE
https://gigazine.net/news/20181001-california-bill-require-better-password-iot/
カリフォルニア州接続される機器(コネクテッド・デバイス)のセキュリティ法 仮訳 - Harumichi Yuasa's Blog
https://blog.goo.ne.jp/yuasah1970/e/c2f2cfc4a7f7ea8c0d9b2a21dcd4d37d
不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/02/news055.html
Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処 - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1810/02/news057.html
10/3
【セキュリティ ニュース】経産省、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブコメ結果を公表(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/098548
「サイバー・フィジカル・セキュリティ対策フレームワーク(案)」に対する意見公募結果を取りまとめました (METI/経済産業省)
http://www.meti.go.jp/press/2018/10/20181001004/20181001004.html
空港でスマホやPCと共にパスワードまで提出するよう求める法律が新たに施行 - GIGAZINE
https://gigazine.net/news/20181003-travellers-refusing-digital-search/
仮想通貨交換所セキュリティの考え方-パブリックドラフト - Google ドキュメント
https://docs.google.com/document/d/1-6YF_Flj05tjwgVE4SrNWyBJ4zDFhPBfyxObuwhjENA/
日報問題で揺れる防衛省、文書管理システムに558億円の謎 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/092700151/?n_cid=nbpnxt_twbn
Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」 | TechCrunch Japan
【セキュリティ ニュース】不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象(1ページ目 / 全4ページ):Security NEXT
http://www.security-next.com/098578
Web開発初心者向けセキュリティ入門・SQLインジェクションとXSSを試す - paiza開発日誌
https://paiza.hatenablog.com/entry/2018/10/03/paizacloud_web_security
PCI DSSに完全準拠する企業の割合が6年ぶりに低下 - ベライゾン | マイナビニュース
https://news.mynavi.jp/article/20181002-700304/
10/4
何問解ける?情報セキュリティの常識10選 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00457/100100001/
改ざん可能製品 捜査で使用 県警などの証拠写真記録SDカード
http://www.niigata-nippo.co.jp/news/national/20181004423472.html
「パスワードの使い回しをしない」だけで十分なのか | Bizコンパス -ITによるビジネス課題解決事例満載!
https://www.bizcompass.jp/original/re-management-121-4.html
[セキュリティ基本対策 5 か条] 第 4 条 暗号化を行う - 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/10/04/securitybasicrule4/
10/5
一部第6世代以降のIntel CPU搭載機でOctober 2018 Updateのインストールがブロック - PC Watch
https://pc.watch.impress.co.jp/docs/news/1146510.html
【macOS、iOS向け当社アプリに関する重要なお知らせ】2018年10月5日更新 | トレンドマイクロ
https://www.trendmicro.com/ja_jp/about/announce/announces-20180912.html
中国、マイクロチップ使ってアマゾンやアップルにハッキング-関係者 - Bloomberg
https://www.bloomberg.co.jp/news/articles/2018-10-04/PG2CZY6TTDS801
マネージドサービスプロバイダー狙うAPT攻撃に米政府機関が注意喚起 - ZDNet Japan
https://japan.zdnet.com/article/35126615/
Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗 - ZDNet Japan
https://japan.zdnet.com/article/35126541/
10/6
Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る | TechCrunch Japan
自分が読んだのは10/7だったりしますが、10/5の記事の関連でもあるし、10/6に公開されているようですので、ここで載せておきます。
最後に
ジオシティーズは自分が大学時代にはじめてWebページ(ホームページ)を大学以外で公開して作成したサービスでした。また、いろんなページをネットサーフィンしたサービスでもあります。安らかにお眠りください。
気になった記事2018/09 その4
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/23
- 9/24
- 9/25
- RECRUIT RED TEAMのセキュリティトレーニング:OSSへの貢献とCVE IDの取得 | リクルートテクノロジーズ メンバーズブログ
- セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
- Ponta Web(リクルートID)にリスト型攻撃?: 独房の中
- ブロッキングは出版業の救世主か 編集委員 関口和一 :日本経済新聞
- 「Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS
- 「最悪のパスワード」禁止法案、カリフォルニア州議会で検討 | Forbes JAPAN(フォーブス ジャパン)
- 仮想通貨マイニングを悪用した攻撃の事例紹介 - SSTエンジニアブログ
- macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘 - ITmedia エンタープライズ
- セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
- ASCII.jp:100Gbps専用線接続「ExpressRoute Direct」、大規模データ検索を高速実行する「Azure Data Explorer」など多数の新発表 (1/2)|さとうなおきの「週刊アジュール」
- もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと (1/2):ビジネスインフラを狙う攻撃にどう対応するか(1) - @IT
- 日本の弱点は大学、世界のサイバー攻撃者が狙う | 日経 xTECH(クロステック)
- セキュリティコストを抑制する5つの掟 | 日経 xTECH(クロステック)
- ASCII.jp:学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露! (1/2)|Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート
- 9/26
- 9/27
- 9/28
- wizSafe Security Signal 2018年8月 観測レポート wizSafe Security Signal -安心・安全への道標- IIJ
- CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub
- Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ | TechCrunch Japan
- Microsoft Azure上での実行目的ならJavaの長期サポート(LTS)を無料提供、MacやWindowsでの開発用途もOK。マイクロソフトとAzul Systemsが提携で - Publickey
- 9/29
- 最後に
9/23
iOS 12で「同じパスワードの使い回し」がチェック可能に。(※iCloudキーチェーンで管理している場合のみ) | カミアプ
9/24
なぜ我々はいまだに文字列でコメントを書いているのか
https://qiita.com/tkrkt/items/2fc9a9a59ce679aab728
9/25
RECRUIT RED TEAMのセキュリティトレーニング:OSSへの貢献とCVE IDの取得 | リクルートテクノロジーズ メンバーズブログ
https://recruit-tech.co.jp/blog/2018/09/25/redteam_training/
セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
https://press.forkwell.com/entry/2018/09/25/folio
Ponta Web(リクルートID)にリスト型攻撃?: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/ponta-webid-740.html
ブロッキングは出版業の救世主か 編集委員 関口和一 :日本経済新聞
https://www.nikkei.com/article/DGXMZO35558800Q8A920C1X12000/
「Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1809/25/news065.html
「最悪のパスワード」禁止法案、カリフォルニア州議会で検討 | Forbes JAPAN(フォーブス ジャパン)
https://forbesjapan.com/articles/detail/23131
仮想通貨マイニングを悪用した攻撃の事例紹介 - SSTエンジニアブログ
https://techblog.securesky-tech.com/entry/2018/09/25/
macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/25/news086.html
セキュリティの概念がない世界が最もセキュア? セキュリティエンジニアが語る逆説のセキュリティ対策ーFOLIO 鈴木 研吾氏 - Forkwell Press
https://press.forkwell.com/entry/2018/09/25/folio
ASCII.jp:100Gbps専用線接続「ExpressRoute Direct」、大規模データ検索を高速実行する「Azure Data Explorer」など多数の新発表 (1/2)|さとうなおきの「週刊アジュール」
http://ascii.jp/elem/000/001/747/1747347/
もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと (1/2):ビジネスインフラを狙う攻撃にどう対応するか(1) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/18/news024.html
日本の弱点は大学、世界のサイバー攻撃者が狙う | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/091800072/091800001/
セキュリティコストを抑制する5つの掟 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/sys/18/091900038/091900001/
ASCII.jp:学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露! (1/2)|Black Hat USA 2018/DEF CON 26 ラスベガス現地レポート
http://ascii.jp/elem/000/001/745/1745712/
9/26
DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認 | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/people/20180925_001704.html
マイクロソフトがセキュリティ強化、セキュリティ被害を30分の1に削減する「Microsoft Secure Score」など発表 | IoTニュース:IoT NEWS
https://iotnews.jp/archives/107731
Firefox Monitor
Introducing Firefox Monitor, Helping People Take Control After a Data Breach - The Mozilla Blog
Mozilla、情報漏洩の被害に遭ってないかをチェックする“Firefox Monitor”をリリース - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1144794.html
Firefox Monitor は Troy Hunt 氏の "Have I been pwned" のデータを参照しているので、どちらのサイトでスキャンしても結果は同じになります。
— Masafumi Negishi (@MasafumiNegishi) September 26, 2018
やはり、そうなんだなあと思いました。
米陸軍の予備役で働く中国人 スパイ容疑で逮捕 | NHKニュース
https://www3.nhk.or.jp/news/html/20180926/k10011644511000.html
Java 11正式版がリリース、本バージョンからOracle JDKのサポートは有償に。OpenJDKで無償の長期サポート提供は現時点で期待薄 - Publickey
https://www.publickey1.jp/blog/18/java_11oracle_jdkopenjdk.html
9/27
[セキュリティ基本対策 5 か条] 第 3 条 アカウントやパスワードを管理する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/27/securitybasicrule3/
ホワイトハッカーの手を借りてバグを修正!BugBounty のススメ
https://blog.zaim.co.jp/n/nf3194b546a16
テストは20万時間、東京五輪ITシステムの舞台裏:スポーツIT革命の衝撃 - スポーツイノベイターズオンライン
https://tech.nikkeibp.co.jp/dm/atcl/feature/15/110200006/060800082/
9/28
wizSafe Security Signal 2018年8月 観測レポート wizSafe Security Signal -安心・安全への道標- IIJ
https://wizsafe.iij.ad.jp/2018/09/450/
CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub
https://gist.github.com/mala/ba23a7c1356857fd8297bc7efefcd34c
Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ | TechCrunch Japan
Microsoft Azure上での実行目的ならJavaの長期サポート(LTS)を無料提供、MacやWindowsでの開発用途もOK。マイクロソフトとAzul Systemsが提携で - Publickey
https://www.publickey1.jp/blog/18/microsoft_azurejavaltsmacwindowsokazul_systems.html
9/29
Facebookの5,000万人分の情報流出について、いま知っておくべきこと|WIRED.jp
https://wired.jp/2018/09/29/facebook-security-breach-50-million-accounts/
Microsoft、MS-DOSのソースコードをGitHubで公開 | ソフトアンテナブログ
https://www.softantenna.com/wp/software/microsoft-open-source-ms-dos/
最後に
台風怖い。
気になった記事2018/09 その3
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 概要
- 9/16
- 9/17
- 9/18
- Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan
- 長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan
- インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ
- iOS関連
- 日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch
- 徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ
- Ep.3: blackhat・DEF CONスペシャル - セキュア旅団
- メールに特化した詐称ドメインについて - tike blog
- 国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)
- noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい
- 【セキュリティ ニュース】PHPに脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT
- GoogleがAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE
- 9/19
- 脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck
- セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan
- ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ
- さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT
- 「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT
- 仮想通貨を要求する日本語の脅迫メールについて
- マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan
- 日本ハッカー協会
- ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp
- 9/20
- 高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース
- 被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース
- [セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム
- Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE
- Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE
- 「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
- フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT
- 10年モノのインフラを3年がかりでカイゼンした
- Zaifで発生した不正送金事案についてまとめてみた - piyolog
- 9/21
- 9/22
- 最後に
9/16
NTTデータ、加盟店におけるカード番号の非保持化対応を支援するソリューション - クラウド Watch
https://cloud.watch.impress.co.jp/docs/news/1143173.html
9/17
- なし
9/18
Linuxカーネル開発に「行動規範」--トーバルズ氏の態度許してきたコミュニティの今後を占う試金石に - ZDNet Japan
https://japan.zdnet.com/article/35125734/
長期視点から不足するセキュリティ人材を育成--シスコの学生向け教育 - ZDNet Japan
https://japan.zdnet.com/article/35125742/
インフルエンザを診断するAI、ディープラーニングで実現へ 医療機器ベンチャー「アイリス」の挑戦 (1/2) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/18/news018.html
iOS関連
Apple、「iOS 12」を一般公開 ~パフォーマンスの大幅向上で古い端末でも快適に動作 - 窓の杜
https://forest.watch.impress.co.jp/docs/news/1143390.html
iOS 12のセキュリティー設定、トップ5――バージョンアップを機に今すぐ確認しておこう | TechCrunch Japan
日本企業も対策待ったなし? 米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト - クラウド Watch
https://cloud.watch.impress.co.jp/docs/event/1143350.html
徳丸本 安全なWEBアプリケーションの作り方 第2版の公式勉強会のメモ
https://qiita.com/dh-megane/items/a3382b12597f4bd85912
Ep.3: blackhat・DEF CONスペシャル - セキュア旅団
https://secure-brigade.com/podcast/episode-3/
メールに特化した詐称ドメインについて - tike blog
https://tike.hatenablog.com/entry/2018/09/18/005041
国立大の3割がサイバー攻撃で実被害、独自調査で判明 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01010/
noteの全てが悪いわけではないが、悪質な情報商材には気をつけよう - 俺の遺言を聴いてほしい
https://oreno-yuigon.hatenablog.com/entry/2018/09/17/234009
【セキュリティ ニュース】PHPに脆弱性、セキュリティ更新がリリース - 不正プログラムをインストールされる可能性も(1ページ目 / 全2ページ):Security NEXT
http://www.security-next.com/098005
GoogleがAndroid端末の設定を遠隔から勝手に変更したことを認める - GIGAZINE
https://gigazine.net/news/20180918-google-remote-android-mobile/
9/19
脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck
セキュリティの人材不足--監視現場の責任者はどう見ているのか - ZDNet Japan
https://japan.zdnet.com/article/35125707/
ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1809/19/news042.html
さまざまなツールとAI/自動化がDevSecOpsの手助けに――「開発者はセキュリティにもオーナーシップを」:セキュリティ・アディッショナルタイム(26) - @IT
http://www.atmarkit.co.jp/ait/articles/1809/19/news013.html
「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee:@ITセキュリティセミナー2018.6-7 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/14/news016.html
仮想通貨を要求する日本語の脅迫メールについて
http://www.jpcert.or.jp/newsflash/2018091901.html
マーケティング企業のデータベースサーバから1100万件の個人情報が流出 - ZDNet Japan
https://japan.zdnet.com/article/35125806/
日本ハッカー協会
悪の道からハッカーを守る:日経ビジネスDigital
https://business.nikkeibp.co.jp/atcl/NBD/15/depth/091801214/?ST=pc
ASCII.jp:日本ハッカー協会設立、正しい認識の普及と活躍の場づくり支援
http://ascii.jp/elem/000/001/743/1743456/
ハッカーの正体を突き止めるには、窃盗犯の捜査手法が応用できる:研究結果|WIRED.jp
https://wired.jp/2018/09/18/case-linkage-hacker-attribution/
9/20
高額な課金が自動継続するアプリの問題 指紋認証で契約を完了 - ライブドアニュース
http://news.livedoor.com/article/detail/15328306/
被害総額盛りすぎ、委員の利益相反疑い… 目を覆うばかりの知財本部TFの迷走(山本一郎) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/yamamotoichiro/20180919-00097499/
[セキュリティ基本対策 5 か条] 第 2 条 アクション センターで PC のセキュリティやメンテナンス状況に問題がないかを確認する – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2018/09/20/securitybasicrule2/
Windows 10や8.1のタッチスクリーン対応端末は「WaitList.dat」にパスワードやメール内容が保存されているかも - GIGAZINE
https://gigazine.net/news/20180920-waitlist-dat/
Lenovo幹部が「中国ではバックドアを仕込んでるけど他の国ではやってない」ことを示唆 - GIGAZINE
https://gigazine.net/news/20180920-lenovo-backdoor-in-china/
「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
https://gigazine.net/news/20180920-mirai-botnet-creators-helping-fbi/
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ:「Vuls祭り#4」で披露 - @IT
http://www.atmarkit.co.jp/ait/articles/1809/21/news023.html#utm_term=share_sp
10年モノのインフラを3年がかりでカイゼンした
https://qiita.com/sasasin/items/30585a3a117d64973645
Zaifで発生した不正送金事案についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20180920/1537414861
9/21
第17回 スクープ!スクープ!16億!スペシャル « podcast - #セキュリティのアレ
http://www.tsujileaks.com/?p=498
e+のリスト型攻撃の被害の特徴: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/09/e-6487.html
Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎 - サインのリ・デザイン
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/
リスト型攻撃は本当か、ケイ・オプティコムの情報漏洩 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01042/
9/22
Windows Server 2008のEOSに伴うAzure移行の基礎知識(前) | マイナビニュース
https://news.mynavi.jp/article/20180921-695224/
最後に
4日しか働かないとさらに1週間が早い。