概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

• 期間: 8/19 - 8/25
• 全体に対してのコメント: 今週も雑多な感じですが、Atruts2の話題が多かった印象です。

• 概要
• 8/19
  • Googleは「邪悪な」検閲付き検索で中国に進出するのか？ - ITmedia NEWS
  • Android端末は買った瞬間からセキュリティに“穴”がある？ 米企業が調査結果を公表｜WIRED.jp
• 8/20
  • Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck
  • ブロックチェーンサービスのセキュリティを考える - Speaker Deck
  • 本当にわかる Spectre と Meltdown
  • フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)
  • 無一文館: オリンピックボランティアステマ騒動まとめ
• 8/21
  • 「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS
  • 不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ
  • WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3)：今さら聞けない「セキュリティ基礎の基礎」（1） - ＠IT
  • 日本のハッカー元祖が語る、花形プログラマー育成に必要なこと
• 8/22
  • 4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH（クロステック）
• 8/23
  • Apache Struts2 (CVE-2018-11776)(S2-057) 関連
    • Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース
    • Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起
    • Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)：IPA 独立行政法人 情報処理推進機構
    • 「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan
    • 北河さんのツイート
  • お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch
  • グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2)：EnterpriseZine（エンタープライズジン）
  • GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan
  • ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH（クロステック）
  • Black Hat USA 2018 & DEF CON 26! の登壇
  • 【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話
• 8/24
  • 記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog
  • 米民主党へのサイバー攻撃、実は「テスト」 ：日本経済新聞
  • ニュースになっていない攻撃: 独房の中
• 8/25
  • 【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定（1ページ目 / 全2ページ）：Security NEXT
  • 【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳（1ページ目 / 全1ページ）：Security NEXT
• 最後に

8/19

Googleは「邪悪な」検閲付き検索で中国に進出するのか？ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/19/news012.html

Android端末は買った瞬間からセキュリティに“穴”がある？ 米企業が調査結果を公表｜WIRED.jp

https://wired.jp/2018/08/18/android-smartphones-vulnerable/

8/20

Electron: Context Isolationの欠如を利用した任意コード実行 / Electron: Abusing the lack of context isolation - CureCon(ja) - Speaker Deck

speakerdeck.com

ブロックチェーンサービスのセキュリティを考える - Speaker Deck

speakerdeck.com

本当にわかる Spectre と Meltdown

www.slideshare.net

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2018/08/20)

http://www.antiphishing.jp/news/alert/saison_20180820.html

家には来てないけれど、気を付けたい。

無一文館: オリンピックボランティアステマ騒動まとめ

http://muichimonkan.blogspot.com/2018/08/blog-post.html

8/21

「AIが犯罪を予測する世界」が危険なワケ (1/5) - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/21/news019.html

不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (1/3) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1808/21/news046.html

WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3)：今さら聞けない「セキュリティ基礎の基礎」（1） - ＠IT

http://www.atmarkit.co.jp/ait/articles/1808/20/news009.html

日本のハッカー元祖が語る、花形プログラマー育成に必要なこと

https://newswitch.jp/p/14132

8/22

4分の1の機器が公開不要なポートを開放、NRIセキュアが調査 | 日経 xTECH（クロステック）

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02374/

8/23

Apache Struts2 (CVE-2018-11776)(S2-057) 関連

Apache Struts 2に新たな脆弱性”CVE-2018-11776”。遠隔からコード実行の恐れ。 - 忙しい人のためのサイバーセキュリティニュース

https://nanashi0x.hatenablog.com/entry/apache-struts2-vuls1

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

https://www.jpcert.or.jp/at/2018/at180036.html

Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)：IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/ciadr/vul/20180823-struts.html

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

https://japan.zdnet.com/article/35124441/

北河さんのツイート

S2-057に関するタイムライン（日本時間）

攻撃の観測、被害報告は今後出てくる可能性あり pic.twitter.com/jHyJ62bqmX

— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) August 23, 2018

お手軽にマルウェアや詐欺サイトを作れる時代に――プランに応じてサイバー犯罪者をサポートするサイトの存在 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1139204.html

グーグルの「Project Zero」統括者が力説する「締切厳守のセキュリティ対策」 (1/2)：EnterpriseZine（エンタープライズジン）

https://enterprisezine.jp/article/detail/11060

GDPRの次は中国のサイバーセキュリティ法規制への対応が焦点か - ZDNet Japan

https://japan.zdnet.com/article/35124415/

ミス撲滅宣言は逆効果、IT職場にはびこる隠蔽体質 | 日経 xTECH（クロステック）

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00205/080200008/

Black Hat USA 2018 & DEF CON 26! の登壇

https://www.mbsd.jp/blog/20180817.html

【保存版】半年以内にエンジニアになりたい人が読んだ方がいい新卒研修資料まとめ - プログラミングとデザイン、スタートアップの話

http://harv-tech.hatenablog.com/entry/new-employee-training

8/24

記者が名誉回復の為にネットデマを配信する時代 その1 - Windows 2000 Blog

http://blog.livedoor.jp/blackwingcat/archives/1971605.html

米民主党へのサイバー攻撃、実は「テスト」 ：日本経済新聞

https://www.nikkei.com/article/DGXMZO34540100U8A820C1000000/

ニュースになっていない攻撃: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/08/post-80b7.html

8/25

【セキュリティ ニュース】「dアカウント」への「PWリスト攻撃」、攻撃規模は明らかにせず - 個人情報流出は否定（1ページ目 / 全2ページ）：Security NEXT

http://www.security-next.com/096892

【セキュリティ ニュース】GDPRにおける個人データ侵害通知のガイドラインなどに日本語仮訳（1ページ目 / 全1ページ）：Security NEXT

http://www.security-next.com/097088

最後に

自分の所属している組織でもフィッシングメール訓練があったのですが、結構な数の人がメールを開いたとの結果報告をみました。メール開く開かないはそんなに重要ではなくて、開いてしまったときにちゃんと決められたとおりに報告できるか、周りと連携できているかも集計したほうがいいのではないかと思いました。中にはちゃんと報告があったようだったので、まったく無駄ではなかったのだなあと思いました。とはいえ、今回とりあげた「米民主党へのサイバー攻撃、実は「テスト」 」みたいなケースもあるので気をつけて運用してほしいし、自分が実施する立場になったら気をつけたいです。