気になった記事2018/08 その4
概要
なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。
- 期間: 8/19 - 8/25
- 全体に対してのコメント: 今週も雑多な感じですが、Atruts2の話題が多かった印象です。
- 概要
- 8/19
- 8/20
- Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
- ブロックチェーンサービスのセキュリティを考える - Speaker Deck
- 本当にわかる Spectre と Meltdown
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
- 無一文館: オリンピックボランティアステマ騒動まとめ
- 8/21
- 8/22
- 8/23
- Apache Struts2 (CVE-2018-11776)(S2-057) 関連
- お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
- グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZine(エンタープライズジン)
- GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
- ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)
- Black Hat USA 2018 & DEF CON 26! の登壇
- 【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
- 8/24
- 8/25
- 最後に
8/19
Googleは「邪悪な」検閲付き検索で中国に進出するのか? - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/19/news012.html
Android端末は買った瞬間からセキュリティに“穴”がある? 米企業が調査結果を公表|WIRED.jp
https://wired.jp/2018/08/18/android-smartphones-vulnerable/
8/20
Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
ブロックチェーンサービスのセキュリティを考える - Speaker Deck
本当にわかる Spectre と Meltdown
www.slideshare.net
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
http://www.antiphishing.jp/news/alert/saison_20180820.html
家には来てないけれど、気を付けたい。
無一文館: オリンピックボランティアステマ騒動まとめ
http://muichimonkan.blogspot.com/2018/08/blog-post.html
8/21
「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/21/news019.html
不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1808/21/news046.html
WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3):今さら聞けない「セキュリティ基礎の基礎」(1) - @IT
http://www.atmarkit.co.jp/ait/articles/1808/20/news009.html
日本のハッカー元祖が語る、花形プログラマー育成に必要なこと
8/22
4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02374/
8/23
Apache Struts2 (CVE-2018-11776)(S2-057) 関連
Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース
https://nanashi0x.hatenablog.com/entry/apache-struts2-vuls1
Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180036.html
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20180823-struts.html
「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan
https://japan.zdnet.com/article/35124441/
北河さんのツイート
S2-057に関するタイムライン(日本時間)
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) August 23, 2018
攻撃の観測、被害報告は今後出てくる可能性あり pic.twitter.com/jHyJ62bqmX
お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1139204.html
グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2):EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11060
GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
https://japan.zdnet.com/article/35124415/
ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH(クロステック)
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00205/080200008/
Black Hat USA 2018 & DEF CON 26! の登壇
https://www.mbsd.jp/blog/20180817.html
【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
http://harv-tech.hatenablog.com/entry/new-employee-training
8/24
記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog
http://blog.livedoor.jp/blackwingcat/archives/1971605.html
米民主党へのサイバー攻撃、実は「テスト」 :日本経済新聞
https://www.nikkei.com/article/DGXMZO34540100U8A820C1000000/
ニュースになっていない攻撃: 独房の中
http://f36type.cocolog-nifty.com/blog/2018/08/post-80b7.html
8/25
【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定(1ページ目 / 全2ページ):Security NEXT
http://www.security-next.com/096892
【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/097088
最後に
自分の所属している組織でもフィッシングメール訓練があったのですが、結構な数の人がメールを開いたとの結果報告をみました。メール開く開かないはそんなに重要ではなくて、開いてしまったときにちゃんと決められたとおりに報告できるか、周りと連携できているかも集計したほうがいいのではないかと思いました。中にはちゃんと報告があったようだったので、まったく無駄ではなかったのだなあと思いました。とはいえ、今回とりあげた「米民主党へのサイバー攻撃、実は「テスト」 」みたいなケースもあるので気をつけて運用してほしいし、自分が実施する立場になったら気をつけたいです。