概要

なんとなく自分が気になった記事を週単位でまとめてみようという試み。公開された日というよりは自分が気になった日でまとめています。

• 期間: 8/26 - 9/01
• 全体に対してのコメント: QRコードとかEVSSLとか。

• 概要
• 8/26
  • 2018年のリスト型攻撃の被害事例をまとめてみた - piyolog
  • マルウェアに感染したと思ったら（多分）してなかった話 - teru_0x01.log
  • Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている
  • 個人でEV SSL証明書は取れるのか (2) - ろば電子が詰まっている
  • FirefoxでオレオレEVSSL証明書
• 8/27
  • 高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載！
  • パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH（クロステック）
  • マストドンセキュリティガイドライン - ashphy's commit logs
  • 「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission
  • QRコード作成｜QRの解析 無料【公式】｜商用利用可｜QRコードメーカー｜：QRコードメーカーお知らせ
  • 米T-Mobileに不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS
• 8/28
  • 【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明（1ページ目 / 全1ページ）：Security NEXT
  • デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH（クロステック）
  • Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog
  • 【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも（1ページ目 / 全1ページ）：Security NEXT
  • 【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷｜セキュリティ｜IT製品の事例・解説記事
  • 「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ
• 8/29
  • JPCERT コーディネーションセンター Weekly Report
  • 「微博」など中国ＳＮＳから個人情報３０億件流出 現地ＩＴ企業トップが首謀か (1/2ページ) - SankeiBiz（サンケイビズ）
  • 子どもに「パスワード」の付け方を教えられますか？ (1/2) - ITmedia PC USER
  • Black Hat USA 2018 & DEF CON 26レポート(1) - DARK MATTER
  • ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性 - INTERNET Watch
• 8/30
  • 便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース
  • QRコード“読み取り”で位置情報送信の危険性？ 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ
  • 2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記
  • サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース
  • 『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5)：EnterpriseZine（エンタープライズジン）
  • GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立：CodeZine（コードジン）
• 8/31
  • ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース
  • 2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を！ – 日本のセキュリティチーム
  • Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE
  • Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE
  • wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
  • ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog
  • 不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース：セキュリティ通信：So-netブログ
• 9/1
  • Firefoxに実行時パッチ(オレオレEVSSL番外編)
  • GRCSがSBTと協業、ImpervaのクラウドWAF「Imperva Incapsula」やマネージドサービスを提供 - クラウド Watch
  • ASCII.jp：経営寄りの技術者、橋渡し人材の重要性｜ホワイトハッカーのおしごと
  • ブロックチェーンでハッカーから電力網を保護する、Xageのセキュリティ自動化ツール | TechCrunch Japan
• 最後に

8/26

2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20180824/1535144979

マルウェアに感染したと思ったら（多分）してなかった話 - teru_0x01.log

https://cha-shu00.hatenablog.com/entry/2018/08/25/122848

Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている

http://d.hatena.ne.jp/ozuma/20180826/1535258202

個人でEV SSL証明書は取れるのか (2) - ろば電子が詰まっている

http://d.hatena.ne.jp/ozuma/20180825/1535255303

FirefoxでオレオレEVSSL証明書

https://qiita.com/angel_p_57/items/ffa34ae8953059deb4a6

8/27

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載！

https://www.bizcompass.jp/original/re-management-129-1.html

パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH（クロステック）

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00900/

マストドンセキュリティガイドライン - ashphy's commit logs

http://ashphy.hateblo.jp/entry/mastodon-securit-guidelines

「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される | スラド Submission

https://srad.jp/submission/78134/

QRコード作成｜QRの解析 無料【公式】｜商用利用可｜QRコードメーカー｜：QRコードメーカーお知らせ

https://m.qrqrq.com/service/news/

米T-Mobileに不正アクセス、顧客200万人の個人情報が流出した恐れ - ITmedia NEWS

http://www.itmedia.co.jp/news/articles/1808/27/news066.html

8/28

【セキュリティ ニュース】Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明（1ページ目 / 全1ページ）：Security NEXT

http://www.security-next.com/097343

デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止 | 日経 xTECH（クロステック）

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02449/

Black Hat USA でトレーニング講師になってみた | IIJ Engineers Blog

http://eng-blog.iij.ad.jp/archives/1968

【セキュリティ ニュース】「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも（1ページ目 / 全1ページ）：Security NEXT

http://www.security-next.com/097318

【連載】どうする!? セキュリティ運用アウトソーシング [1] サイバーセキュリティの変遷｜セキュリティ｜IT製品の事例・解説記事

https://news.mynavi.jp/itsearch/article/security/3912

「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2) - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1808/28/news033.html

8/29

JPCERT コーディネーションセンター Weekly Report

http://www.jpcert.or.jp/wr/2018/wr183301.html

「微博」など中国ＳＮＳから個人情報３０億件流出 現地ＩＴ企業トップが首謀か (1/2ページ) - SankeiBiz（サンケイビズ）

https://www.sankeibiz.jp/macro/news/180829/mcb1808290500001-n1.htm

子どもに「パスワード」の付け方を教えられますか？ (1/2) - ITmedia PC USER

http://www.itmedia.co.jp/pcuser/articles/1808/28/news084.html

Black Hat USA 2018 & DEF CON 26レポート(1) - DARK MATTER

https://io.cyberdefense.jp/entry/2018/08/29/Black_Hat_USA_2018_%26_DEF_CON_26%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88%281%29

ヤマハの一部ルーターやファイアウォールにスクリプトインジェクションの脆弱性 - INTERNET Watch

https://internet.watch.impress.co.jp/docs/news/1140382.html

8/30

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(山本一郎) - 個人 - Yahoo!ニュース

https://news.yahoo.co.jp/byline/yamamotoichiro/20180829-00094904/

QRコード“読み取り”で位置情報送信の危険性？ 一部アプリで物議、サービス提供社は当該機能を停止に - ねとらぼ

http://nlab.itmedia.co.jp/nl/articles/1808/28/news115.html

dポイントが加盟店で不正利用される被害: 独房の中

http://f36type.cocolog-nifty.com/blog/2018/08/d-9088.html

2019年春「はてなダイアリー」終了のお知らせと「はてなブログ」への移行のお願い - はてなダイアリー日記

http://d.hatena.ne.jp/hatenadiary/20180830/blog_unify

サイバー攻撃対策強化 43億円要求へ 五輪・パラ見据え | NHKニュース

https://www3.nhk.or.jp/news/html/20180830/k10011599481000.html

『よそがやっているから、やっている』では不十分だ――インターネット分離、SIEM、脆弱性対応…トヨタファイナンスが取り組むセキュリティ強化 (1/5)：EnterpriseZine（エンタープライズジン）

https://enterprisezine.jp/article/detail/11092

GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立：CodeZine（コードジン）

GMOペパボ、情報セキュリティに特化した新会社「GMOペパボガーディアン」を福岡に設立：CodeZine（コードジン）

8/31

ボランティアをマイナンバー管理 東京五輪視野に富士通、実証受託 - 産経ニュース

https://www.sankei.com/economy/news/180830/ecn1808300032-n1.html

2018 年 10 月 Office 365 で TLS 1.0, 1.1 での接続無効化。 最終確認を！ – 日本のセキュリティチーム

https://blogs.technet.microsoft.com/jpsecurity/2018/08/31/o365_tls/

Googleはクレジットカード利用状況をカード会社から入手してオンライン広告閲覧状況に紐付けて把握していた - GIGAZINE

https://gigazine.net/news/20180831-google-mastercard-data-link/

Mozillaは2019年1月リリースの「Firefox 65」からユーザートラッキングをデフォルトでブロックするよう変更する方針 - GIGAZINE

https://gigazine.net/news/20180831-firefox-block-trackers-default/

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

https://wizsafe.iij.ad.jp/2018/08/428/

ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | MBSD Blog

https://www.mbsd.jp/blog/20180831.html

不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース：セキュリティ通信：So-netブログ

https://security-t.blog.so-net.ne.jp/2018-08-31

9/1

Firefoxに実行時パッチ(オレオレEVSSL番外編)

https://qiita.com/angel_p_57/items/973960bc4b301c91611b

GRCSがSBTと協業、ImpervaのクラウドWAF「Imperva Incapsula」やマネージドサービスを提供 - クラウド Watch

https://cloud.watch.impress.co.jp/docs/news/1140616.html

ASCII.jp：経営寄りの技術者、橋渡し人材の重要性｜ホワイトハッカーのおしごと

http://ascii.jp/elem/000/001/730/1730343/

ブロックチェーンでハッカーから電力網を保護する、Xageのセキュリティ自動化ツール | TechCrunch Japan

https://jp.techcrunch.com/2018/08/29/2018-08-28-xage-security-automation-tool-could-protect-power-grid-from-hackers/

最後に

8月が終わった。