【セキュリティ】オヤジのきまぐれニュース – 2017/06/29

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


SIer大グループ各社のセキュリティ人材状況

[特報]NTTがセキュリティ人材を3万人育成、2020年までの目標値の3倍達成
「セキュリティを完全に体に染み込ませる」、NECの受注拡大作戦
「セキュリティの分からないSE」はもういらない?富士通の1万人計画
WannaCryに襲われた日立、セキュリティ人材1万人の確保急ぐ

まとめると
・NTT:3万人確保済み
・NEC:1万人確保済み
・富士通:2000人確保済みで、1年後に1万人を目指す
・日立:600人確保済みで、3年後に1万人を目指す

まあ、なんというか、日立はやられるべくしてやられたんだろうな…。もちろん各社の基準は違うだろうけど、動きが遅すぎるでしょう。


「Petya」系ランサムウェア、ファイル1つで感染防止?–米研究者

https://japan.cnet.com/article/35103489/
すげえ。こういう人こそが本来「ハッカー」と呼ばれるべき人なんですよね。


葬儀準備の手間を軽減する遺族向けウェブサービス「tsunagoo」

https://japan.cnet.com/article/35103472/
意外と、こういうのなかったんだね。神経使うだろうけど、良いサービスだと思います。


クアルコム、金属やガラスの下に指紋スキャナを搭載する技術–2018年市場へ

https://japan.cnet.com/article/35103485/
これはすごい! 一方で、どこで指紋を取られているか分かったもんじゃない時代が来てしまったとも言える。指紋認証は認印としては使えるけど、銀行印や実印としてはちょっと…、ぐらいの位置づけになっていきそうだな。


家庭用IoT機器を狙うサイバー脅威、その実態を探る–BBソフトサービスと横国大が共同研究

https://japan.cnet.com/article/35103471/
IoTハニーポットを高対話型で作るとこうなるかw。ハニーポットというかハニールームとかハニーハウスになっちゃうんですね。


AR市場で優位なのは遅れてきたアップルか–競合にない強みとは

https://japan.cnet.com/article/35103096/
Apple製品は音楽・描画・映像に強いから、AR・VRに繋がっていくのもそれほど不思議な事ではないか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/28

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


大規模サイバー攻撃、米国に波及 メルクなど被害

http://www.nikkei.com/article/DGXLASGM28H12_Y7A620C1MM0000/?dg=1
クラッカーがクラッカー会社を攻撃してるw。言ってる場合か、ってね。
↓こっちの方が詳しいか
新たなランサムウエア攻撃が世界で拡大中、「WannaCry」より危険との声も
http://itpro.nikkeibp.co.jp/atcl/news/17/062801782/?ST=security&itp_list_theme
WannaCryではないが突いている脆弱性は同じとのこと。公開サーバをそうそう再起動できないのは分かるけど、感染した際のダウンタイムは再起動の比ではないですよ。さっさとWindowsアップデートしてください。


世界襲った身代金ウイルスが覆すサイバー防衛の定石

http://www.nikkei.com/article/DGXMZO18111630W7A620C1000000/?n_cid=DSTPCS003
例えが分かりやすい。ラックの社長さんともなるとさすがですね。
そうか、キルスイッチって感染したときの対処が傷を広げる仕組みだったのか。なんか逆向きの仕組みだなあと思っていたけど、そういう狙いだったんですね。


「Petya」拡散、「WannaCrypt」と同じ脆弱性を悪用 – 犯人と連絡取れず、身代金支払いは無駄に

http://www.security-next.com/083190
悲惨だな。こういうパターンもあるので、多少世代が前になっても自力でリカバリーできるようにバックアップ運用を工夫しないと、全てのデータを失うことになってしまいます。頭が痛いですね…。


不正アクセスでクレカ情報流出の可能性 – 防犯カメラ通販サイト

http://www.security-next.com/083163
決済代行会社がこういうのを指摘してくれるもんなんだね。攻撃者のAPIと通信するスクリプトでも仕込まれたのかな。


[特報]「WannaCry亜種に感染」、マクドナルド障害のマルウエア判明

http://itpro.nikkeibp.co.jp/atcl/news/17/062801786/?ST=security&itp_list_theme
感染が広がる前に、ネットワークが詰まったと。良かったのやら悪かったのやら。数台の端末しか接続しない店舗のネットワークなんて大して強くないだろうから、こういうことも想定しておかないといけないんですね。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/26

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


Google、無償版Gmailのメールスキャンを年内に停止へ

http://itpro.nikkeibp.co.jp/atcl/news/17/062601759/?ST=security&itp_list_theme
広告屋さんが広告に関する機能を削るなんて、時代が変わったもんですね。
もっとも、私はPCではThunderbirdでGmailを見ているし、スマホではGmailアプリだし、Gmail画面に広告なんて表示されてたっけ?という感覚です。リスクが上がるばかりで、費用対効果出ねえやってのが本音のような気がしますね。


どんなパソコンが感染したのか、WannaCryを再検証

http://itpro.nikkeibp.co.jp/atcl/column/16/012900025/062300042/?ST=security&itp_list_theme
メール経由での感染ではなかったとのこと、大変興味深いですね。先日の記事で取り上げた通り、WannaCryは未完成の状態だったようですが、もっと完成度の高い仕上がりになっていたら被害はもっと大きくなっていたんでしょうね。


初のセキュリティ国家資格試験、「講習義務付け」で敬遠されたか?

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/062201027/?ST=security&itp_list_theme
「合格したのに登録してくれないと、支援士制度の意味がなくなる」の前に、支援士になる意味が見えてないんですが、それは…。


ランサムウエア身代金に1億3000万円払った韓国IT企業、データは戻ったか

http://itpro.nikkeibp.co.jp/atcl/column/14/549762/062200152/?ST=security&itp_list_theme
値切ってるwww。クラッカーも応じてくれるもんなんだね。13億ウォン≒1.3億円として、損害賠償を考えるとそれほど悪くない判断なのかな。ただ、ランサムウェアの話題としてはかなり強気の価格設定ですね。攻撃側も防御側もグルのような…。
あと、2分で感染するってよく分からないんだけど、どんな仕組みなんだろう。普通に考えれば暗号化したファイルを作って、完成してから元ファイルを削除するはずで、それなりに時間がかかると思うんだが…。
バックアップサーバがやられたのは痛いですね。他人事とは思えないな。今後はバックアップのソリューションも多様化していきそうです。


グーグル検索、個人の医療記録も削除対象に

https://japan.cnet.com/article/35103282/
そもそもなんで医療記録が見える状態になってるんだ…。元サイトの閲覧権限を見直すことが何より大事。


モジラ、ウェブを脱集権化するアイデア募集–賞金200万ドル

https://japan.cnet.com/article/35103296/
人工衛星経由で通信する技術なんじゃないの? 電話が通じていない地域も多いでしょうし。端末の充電は太陽光発電でなんとかするしか。その辺のコストを現実的にできるかどうか次第ですかね。


警察庁が「サイバーポリスエージェンシー」開設、サイバー犯罪・サイバー攻撃情報を発信

http://internet.watch.impress.co.jp/docs/news/1067253.html
んー、外部リンクばっか…。中身がない。にゅーすページに載っけるか悩むけど、一旦載せとこうか。


システム開発が失敗する理由

http://axia.co.jp/2017-06-26
言われてみれば確かに確かにと思いながら読んでました。
うまく巻き込めていない顧客は上司にドヤされながら進んでいってたな…。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/23

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


IPv4をどのように終わらせるか――IPv6普及拡大の前に片づけなければならない課題

http://internet.watch.impress.co.jp/docs/column/ietf2017/1066863.html


Google Cloudはセキュリティの高さにこだわりあり

http://enterprisezine.jp/dbonline/detail/9441


これはひどい!実際にいたとんでもない求人応募者達

http://axia.co.jp/2017-06-23
無限に近い体力w。羨ましいですね、私なんかはモヤシなんで。知能労働なのに脳筋アピールしてどうすんだろうね。
前の会社にいた頃、上司が第4位のような人に当たっていましたね。男性だったそうですが、自意識過剰すぎ。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/22

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


アマゾンの荷物、一般人が運ぶ時代

http://www.nikkei.com/article/DGXLASDZ22H3H_S7A620C1000000/?dg=1&nf=1
一般人が、ですか。考えられないなあ。まあ、本とかゲームソフトとか実質的に数に限りがないものであればそれほどトラブルもないかもしれないけど、数に限りのある商品ではトラブルが起きそうな気配がするな。…もっとも、アマゾンだったら「んなこと知るか」って強行しちゃいそうだけどね。
本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


実は幻想、iPhoneの「日本製部品頼み」

http://www.nikkei.com/article/DGXMZO17370580W7A600C1000000/?dg=1
台湾・中国・香港を分けてるグラフなのはなんでだっけ。中国+香港だと横這い~減少傾向になりそうですよね。なんか意図を感じるんだが。
↓サプライヤーリストはこれか。ここの情報をもとに日経がグラフ作ってるんだね。ふーん…。
https://images.apple.com/jp/supplier-responsibility/pdf/Apple-Supplier-List.pdf


「FF14」にDDoS攻撃 – 断続的なネットワーク障害が発生

http://www.security-next.com/083037
FFを攻撃する理由ってなんだろうか。スクエニへの私怨、競合他社の企て、FFのストーリーが気に入らない、有名ユーザへの嫌がらせ、攻撃できれば誰でも良かった。
手法を変えつつってなると、組織的に攻撃されてそうなんだよね。ここにはさすがに北朝鮮は関わってなさそうです。ロケーションとしてもアメリカのクラッカー集団かな。


Linuxなどに「Stack Clash」脆弱性、権限昇格の恐れ

https://japan.zdnet.com/article/35103039/
この対処はOSのアップデートかな。うちのサーバもやっておかなきゃな。


「剣と魔法のログレス」で開発企業の従業員が逮捕 – RMTに利用者アカウント

http://www.security-next.com/083007
RMTってそういうんじゃなかったような…。いくらで売れたのか知らないけど、割に合わないだろうに。


繰り返される悲劇、「1億円あげます」メールの罠

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/061900005/?ST=security&itp_list_theme
最近はスパムと無縁の生活なので、こういう文面懐かしいな。いつの時代も、うまい話には裏があるってことです。
たとえ貰えたとしても、税務署にマークされてけっこう大変なことになると思うんだけどね…。


ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意

http://internet.watch.impress.co.jp/docs/special/1066659.html
お祭りなのです?


エンジニアは数字を意識するべきか(客先常駐編)

http://axia.co.jp/2017-06-22
ここまで露骨ではないにしても、請負で客先常駐していた頃はおっしゃる通り、効率化と残業代の矛盾には苛まれていました。
当時の上司からは「160時間が損益分岐点だから、なるべくそれ以上は働いてほしい」とは言われていましたね。あくまで、なるべくね。
数字を意識するほど、会社に有利で自分に不利な状況になっていくし、やりたい仕事はできないし、尊敬する先輩は病んで辞めていくし、尊敬できない先輩が昇進するし。まあ、1社目はそんな感じでした。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/20

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ランサムウェア「Jaff」が拡散、国内で多数検知

http://www.security-next.com/082599
アジアをターゲットにするとなると攻撃元は中国かねえ。北朝鮮がゼニ稼ぎしてる可能性も高いか。


フリーランスを考えたエンジニアが絶対に知っておくべきこと

http://axia.co.jp/2017-06-20
面倒くさい×3がひしひしとw。ほんとサラリーマンは気楽な稼業ですよ。私はフリーランスにはなりたくないなあ。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/16

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


セキュリティのないIoTは世界の害悪である

http://itpro.nikkeibp.co.jp/atcl/column/17/030900077/061400007/?ST=security&itp_list_theme
ユーザにセキュリティを意識させているうちは、まだまだ。語られている通りフールプルーフが甘いんですよね。
家を借りた時に、玄関やトイレなど必要なドアには鍵が付いているが、リビングのドアには鍵はない。また、同じ鍵でも、玄関とトイレでは目的が違うので鍵の強靭さのレベルが異なっている。窓には鍵はないが、内側からのみ閉めることができる。
それが当たり前であり、過不足を感じない。治安が悪い地域だから…など、必要が生じて初めて強化する。
IoT機器も同じように、誰しもフツーこうだよねと思われるラインがだんだん見えてくるはず。どこに落ち着くかは時間が教えてくれるでしょう。


「明日あなたが狙われる」と予測できてこそAI、シマンテックのAI戦略

http://itpro.nikkeibp.co.jp/atcl/news/17/061501670/?ST=security&itp_list_theme
箱入り娘に育てるか、モラルを持った逞しい子に育てるか…、AIの話ですけどね。そのうちAIを利用する前提のマルウェアなんかも出てくるんでしょうか。なかなかタチ悪そうです。このドラ息子が!ってねw。


マイクロソフトのAIが「ミズパックマン」でフルスコアを達成

https://japan.cnet.com/article/35102833/
AIも報酬与えると喜ぶのかw。


サイバー・セキュリティサービス市場、2021年度には市場規模3,800億円へ――ITRがレポート発刊

https://enterprisezine.jp/article/detail/9415
そんなに順調に伸びるのかなあ…。途中から自社でやろうって流れになって、尻すぼみになる気がするけど。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/15

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


グーグル、世界ブランド価値ランキングで首位–2年連続アップル超え

https://japan.cnet.com/article/35102778/
売上はAppleがズバ抜けているはずなのに、こうなるんだ。なんか不思議。
↓時価総額はこんな感じ
http://www.180.co.jp/world_etf_adr/adr/ranking.htm


ドローン、救急車より16分早く到着–スウェーデン研究チームが実証

https://japan.cnet.com/article/35102769/
ドローンのイメージがあまり良くない方向に行っている気がする中、こういうニュースは良いですね。


セキュリティ専門家が指摘する「使ってはいけない」パスワード

https://japan.cnet.com/article/35102671/
予想外と言うか、日本人では予測できないものがちらほら。国ごとに特徴が異なりそうですね。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/14

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「Firefox 54」がリリース–「Electrolysis」技術で速度と安定性を強化

https://japan.cnet.com/article/35102704/
Firebugとかあって開発向きなのでFirefoxを使ってるけど、そんなことになってたのか。でも、グラフと文章一致してなくないか? Chromeにユーザ奪われてるのはIE(Edge)じゃん。
しかし、普段使いはどうしてもChromeになってしまいますね。複数ユーザ切り替えられたり、Androidとの連携度が高かったり、もう他では満足できない身体にされてしまってますね。
Vivaldiさんは圏外みたいだけど、元気にしてるかな…。私はもう使わないだろうけど。


アップルの「極秘」自動運転プロジェクト、クックCEOがついに発言

https://japan.cnet.com/article/35102686/
ハード+ソフトで攻めるアップルが、ソフトに注力する判断は興味深いですね。Uberがあんなことになっているタイミングだから、言った気がしないでもないが。


スマートスピーカは安全か–「HomePod」「Echo」「Google Home」を比較

https://japan.cnet.com/article/35102601/
海外(米国かな?)では売れてるんですね。日本では、まだ安全を語る以前の状態ですが…。持ってる人どのぐらいいるんだろう。
GoogleやAmazonは自動でデータを削除しないようですが、相変わらずストレージどうなってんだ。
Appleは思い切った仕組みにしましたね。会社としてはユーザの趣味・嗜好を読み取って、別のビジネスに活かそうとスケベ心が出てきそうなもんですが、そこは広告屋さんやブローカー屋さんとの違いか。


Microsoft、6月の月例パッチをWindows Vista/XPなどサポート終了済みの環境へも提供

http://internet.watch.impress.co.jp/docs/news/1065158.html
あれ、永遠の不遇者Vistaちゃんまでパッチ出るの? 相当やばいんだねぇ。皆さん、さっさとWindowsアップデートやってくださいね。


PowerPointファイル上のURLにマウスオーバーするとマルウェアに感染、新たな攻撃の予行演習か

http://internet.watch.impress.co.jp/docs/news/1065007.html
保護ビューってこういう時に仕事するのか。オオカミ少年過ぎて知らんがな状態だけど…。
仕組みは一種のインジェクション攻撃っぽいですね。ハイパーリンク設定にPowerShellのコードを書くようなイメージか。


「サイバー保険」付きネットワークセキュリティサービスを提供開始

http://cweb.canon.jp/newsrelease/2017-06/pr-home-insurance.html
キャノンが保険をやるのか。5年間で77万円かかり、1年あたり100万円まで補償、でいいのかな? 防御も提供することで保険の支払い機会を少なくさせるという意味では、なかなか頭の良いソリューションなのかも。サイバー保険が登場してから暫く経つけど、どのぐらい需要があるんだろうね。
↓これか
[FT]サイバー保険の見直し迫られる データ不足で
http://www.nikkei.com/article/DGXMZO13259170T20C17A2000000/
世界レベルでは増加傾向だが、課題ありとのこと。日本で流行るのはもうちょっと先になりそうですね。


エンジニアと呼ばれる人達の仕事の実態

http://axia.co.jp/2017-06-14
私なんかはマネージャにさせられそうになっては逃げてきている技術志向の人間なので、他人事に思えないですね。冒頭の大学生の気持ちは大事にしたいです。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/12

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ダウンロードフォルダーが危ない、「DLL読み込みの脆弱性」でウイルス感染

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/060701007/?ST=security&itp_list_theme
ちょいちょい目にするなあとは思っていましたが、列挙するとこんなにあるんですね。仕組みも具体的に紹介してあって良い記事です。


中国のAI、難関の大学入試に挑む–150点中105点を獲得

https://japan.cnet.com/article/35102589/
中国の難関大学と東大ってどっちがレベル高いのか分からないけど、なんだかリアルな点数出しますね。仮にも計算機とか電脳って呼ばれてるんだから、数学はもうちょっと頑張ってほしいところですw。


ノートPCの画面をタッチパネル化する「AirBar」–手袋でも操作可能

https://japan.cnet.com/article/35102463/
えっ? こんなのあるの! 買っちゃおうかな。ノートパソコンで終わらず、27インチモニタ対応あたりまで頑張ってほしいですね。


イラストのエロ基準を判断するのがTwitterでいいのか? “場”の細分化による超巨大SNSからのパラダイムシフト

http://internet.watch.impress.co.jp/docs/event/1064605.html
mstdn.jpやPawooは登録してみましたが、えらい中途半端だなあという印象。記事の通り、小規模に運営するなら分かるけど(LINEやSkypeでいいじゃんという思いは拭えませんが…)。Pawooの背景はなるほど、といった感じですが、だとすると日本人が利用するメリットはなさそうですね。本家でいいじゃん、となってしまいます。
マストドン立ててみようかとは思うけど、誰も来ないだろうし…、魅力的なテーマがないと如何ともしがたいな。悩む。


[速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由

https://scan.netsecurity.ne.jp/article/2017/06/07/39821.html
今後流行りそうな機器の皆さんです。


退役軍人をセキュリティ人材に、米企業が採用を拡大(上)

http://itpro.nikkeibp.co.jp/atcl/idg/17/060700043/060700001/
米国でもサイバー方面は人手不足。たしかに軍人であれば堅いですね。じゃあ、日本では自衛隊経験者優遇とかやれば良いのか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/09

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ユーザーはセキュリティを気にしない! それでも安全なIoTデバイスを

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/060200006/?ST=security&itp_list_theme
そうですよね、ユーザなんてトリセツすら読まないんだから。セキュリティをフールプルーフ(ミスってもひどいことにならない)に用意しておくのは今後当たり前になりそうですね。


米大統領選、露によるサイバー攻撃は「最低でも数百件」–コミー前FBI長官

https://japan.cnet.com/article/35102487/
1件あたりが何を指しているのか分からないんですが…。ロシアからのサイバー攻撃なんて常にあるだろうに。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/08

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


10代サイバー犯 ホワイトハッカー育てよ

http://www.sankei.com/column/news/170608/clm1706080001-n1.html
一般の紙面でも取り上げられてますね。少佐のようなウィザード級ハッカーが登場しないかとワクワクしますね。


邪魔者扱いはもう卒業、SELinuxで守るIoTセキュリティ

http://itpro.nikkeibp.co.jp/atcl/column/17/041900153/052500001/?ST=security&itp_list_theme
ホントね、SELinux使ってないとかダメですよね。…はい、すいません。このサーバも無効化してます。そろそろ使いこなせるようにならないとな。単純に有効化したら、どこが動かなくなるかぐらいは洗い出しておこうかね。
まあしかし、ググってみても相変わらず無効化する話題ばっかりですね。


“正義のウイルス”出現!?脆弱なIoT機器を使用不能に

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/060500003/?ST=security&itp_list_theme
ウイルス同士の攻防か、なかなかアツいですね。まあ、とばっちりは所有者にいくんですけどね…。


国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

http://blog.trendmicro.co.jp/archives/15144
既存のウイルススキャンの弱点は、メモリ上のデータまではチェックしていないこと。ディスクに比べれば小さいんだし、やればいいだけじゃんと思ってしまいますが…。どこにネックがあるのか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/07

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


恐れすぎるのは愚かだ、サイバー攻撃はアニメの「防壁迷路」で対処

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/?ST=security&itp_list_theme
ワクワクが止まりませんなあw。あっという間に陳腐化してしまう可能性もあるけど、STARDUSTには頑張ってもらいたい。


ITセキュリティが使えないIoTの世界、技術の違いを理解する

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/052900003/?ST=security&itp_list_theme
ユビキタス、M2M、IoTと呼び名を変えながら、それほど目立った進捗がない理由が垣間見えます。
何でもかんでもネットに繋ぐことが大事なのではなく、それぞれネットに繋ぐことでこんな効果を期待でき、リスクもこの程度なら許容できると言えるところまで評価しないと、セキュリティ以前の問題で頓挫してしまうんですね。
方式やプロトコルが違うことがネックなのであれば、CORBAやAPIのような仕組みが今後登場して、全体的に実装が進んで、やっとセキュリティも考えられるようになって、と。うーん…、準備だけで10年かかりそうだな。


「注文のキャンセル」を促すAppleのフィッシングメール出回る

http://internet.watch.impress.co.jp/docs/news/1063937.html
なんで注文をキャンセルするのに住所やクレジットカード情報を入力するんだよ…。
ID・パスワードの方は本当に危険ですね。1つのIDでなんでもできると、いざ流出した時になんでもバレちゃう。
偽サイトはhttpsが半分より多いぐらいか。httpsだから信用できる時代はすで過去のものなんですねえ。トップレベルドメインにしても、安物ばかりでなくcomとかinfoも入ってるね。Let’s Encryptを使うにしても、それなりには投資してるんだな。


[セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況

https://scan.netsecurity.ne.jp/article/2017/06/06/39813.html
日立がやられたのは噂に聞いてたけど、メールがやられてたのか。関係された方は大変お疲れ様です。
しかし、XPはパッチ出たのに、Vistaは出ない相変わらずの不遇さ…。ごちそうさまです。


未成年者がランサムウェアを作る時代、日本初の逮捕事例を読み解く

http://blog.trendmicro.co.jp/archives/15133
まあ、仕組みはそれほど難しくないから、できてもおかしくないか。見た感じからしてスクリプトキディじゃなく、自作っぽいですね。私なんかはむしろ、こういう若い人には好印象を覚えてしまうけど…。
バッチファイルを作成しただけでウイルスとして撒いたわけではなさそうですね。学校で遊び半分で実行したらエライことになった(汗)、みたいな感じでしょうか。反抗期・思春期な頃合い、大目に見てあげてよ。

あと、大阪の子に対して神奈川県警が動いたのはなんでじゃ?
↓こういうことみたい
全国警察、サイバー捜査の腕競う=警察庁初開催、優勝は神奈川
http://www.jiji.com/jc/article?k=2017020801115&g=soc
最近は京都じゃないんですね。2位:茨城県警、3位:宮城県警というのも意外だな。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/05

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


話題のSNS マストドンは「400万年生きたゾウ」

http://www.nikkei.com/article/DGXLASDZ05H5H_V00C17A6000000/?dg=1
マストドンが日経で紹介されていますね。お宅の会社ではやらないんですか?的なアピールですかね。


本格普及間近のIoT、今できるセキュリティ対策は?

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/052900001/?ST=security&itp_list_theme
通信コストの多様化はぜひ進んでほしいですね。しかし、結論イマイチだな。徹底的に守れと言いつつ、統合管理するなって…。打つ手なしって言ってるようなもんじゃん。


「保証期間内で軽度のデータ復旧なら無償対応」、バッファローが価格破壊の深層語る

http://itpro.nikkeibp.co.jp/atcl/news/17/060201574/?ST=security&itp_list_theme
ありがたい一方で、HDDってどうしても情報流出が気になるから、どれだけの人が利用するのか読めないな…。
私は自分で復旧を試みるか、諦められるようにバックアップをしっかり取っておくかを選択します。


ドローンによる配達で使うパラシュート入り宛名ラベル–アマゾンが特許を取得

https://japan.cnet.com/article/35102244/
と見せかけて爆弾を投下するテロは起こらないんだろうか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/02

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「Tera Term」のインストーラに脆弱性 – 修正版がリリース

http://www.security-next.com/082338
まさに先日紹介したワイルドカード読み込みの脆弱性ですね。SEにはおなじみのTeratermでやらかしてるぐらいだから、常に疑ってかからないといけませんね。


「sudo」に深刻な脆弱性 – ルート権限を取得されるおそれ

http://www.security-next.com/082335
雑な設定でsudo使ってるから正直ピンとこなかったけど、sudoでできることを制限した状態なのに乗っ取られちゃうよ、っていう脆弱性なんですね。sudoの設定も見直さないといけないな。


ジュピターテクノロジー、ランサムウエア攻撃を無害化するソフト「Ranstop」を発売

http://itpro.nikkeibp.co.jp/atcl/news/17/060101567/?ST=security&itp_list_theme
半月タダで使えますって言われてもな…。既存のウイルススキャンソフトと併用したら、相当リソース持って行かれそうだけど、どんなもんなんでしょうね。まだまだ、この手のものは海の物とも山の物とも、です。


Shadow Brokersから「エクスプロイトを買い取る」キャンペーンが中止に

https://japan.cnet.com/article/35102151/
発想は興味深いんですけどね…。ちょいと脇が甘かったみたいです。


「Googleスプレッドシート」、AIでグラフ作成が簡単に–自然言語を理解

https://japan.cnet.com/article/35102157/
Googleスプレッドシートは複雑なグラフを作れないのがなぁ~。Open Officeでできることは実現してほしい。


イーロン・マスク氏、トランプ大統領の諮問委員やめる–パリ協定離脱に反発

https://japan.cnet.com/article/35102155/
離脱に反対する意味が分からん。そもそも米国は京都議定書に調印してなかったし、その後のパリ協定なんて強制力のない、あって無きものだったわけで。就任当初から囁かれている、IT業界とトランプ大統領の確執なんじゃないの?


NICT、サイバー攻撃を模擬環境に誘引して長期観測を可能にする「STARDUST」を開発

http://internet.watch.impress.co.jp/docs/news/1063212.html
10年前に流行ってたハニーネットの後継ですかね。良い情報が取れそうです。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/01

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「WannaCry」で騒ぎすぎ?セキュリティのプロが静観する理由

https://japan.cnet.com/article/35101892/
数百万円単位の被害では失敗扱い。身代金のビットコインも回収できず、と。たしかにサイバー兵器と言うにはお粗末なものだったかもしれませんが、感染力は相当なものでした。先日のニュースで取り上げたキルスイッチが見つかったから終息しているものの、楽観視するのもオススメできません。まだまだ亜種が出続けるでしょうから、さっさとWindowsアップデートしといてくださいね。


認証試行の3分の1はわずか25個のパスワード/セキュリティ専門家の実態に関する「残念」な調査結果

http://internet.watch.impress.co.jp/docs/column/security/1062756.html
「攻撃元」としているのは、実際には踏み台にされていることが多いため、真の「攻撃者」の所在地を示しているわけではない、と。
そうか、ウチのハニーポットもそういう目で見ないといけないんだよね。アメリカ・中国・オランダ・ロシアあたりが常連だけど、踏み台にされてるマシンが多い国、と捉えた方がいいのね。


ダークWebでのサイバー犯罪者同士の縄張り争い

http://blog.trendmicro.co.jp/archives/15107
大変興味深いですね。ダークWebにどうやったらWebサイトを設置できるのか全くイメージが湧いていない状態ですが、ハニーポット設置するところまで頑張ってみようかな。しかし、さすがトレンドさんですね。改竄を許しているところからして高対話型のハニーポットのようですね。やってみたいな~。


エンジニア不足で外国人大量採用に日本人激怒

http://axia.co.jp/2017-06-01
外国人大量採用、結構なことだと思います。そもそもインターネットはグローバルなものなんだから、エンジニアがグローバルであっても何ら不思議ではない。日本にまで来れるレベルのアジアの人達は、なんとなくやってる日本のエンジニアよりもレベルや意識は高いでしょう。少なくともマルチリンガルな時点でね。
システム屋もITセキュリティ屋も人手不足ですし、先日取り上げたニュースではバブル期を上回る売り手市場とのことでした。日本人の雇用を奪うことにはならないでしょう。悔しかったら資格の1つでも取得することです。

観点を変えて述べると、中国や北朝鮮のスパイをみすみす受け入れてしまう可能性について。これは受け入れ企業ごとに判断することであって、募集の条件に外国人エンジニアをOKとするかNGとするか、各々がコストや秘匿性と相談しながら考えるべきことです。極論を言ってしまえば、日本人のエンジニアだってハニートラップに引っかかれば同じことなわけですし…。
市場原理に従えば、受け入れる企業が多くないのであれば自然と外国人を採用しなくなります。そのへんまで含めた日本人の総意は、果たしてどうなっていくのでしょうね。

Let’s Encryptが失効したタイミングでyumを壊した件

すいません、今このサイトにアクセスするとhttpsのエラーが出ている状態になっています。まあ、回復しない限りこの画面を表示する所まで来ないとは思いますが、一応ね。

おととい、ようやくDionaeaFRでエラー吐き続けていたページをリカバリできたんですが、その影響かyumがこんなエラーを吐くようになってしまいました。


# yum
There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

No module named yum

Please install a package which provides this module, or
verify that the module is installed correctly.

It’s possible that the above module doesn’t match the
current version of Python, which is:
2.6.9 (unknown, May 31 2017, 20:06:51)
[GCC 4.8.5 20150623 (Red Hat 4.8.5-11)]

If you cannot solve this problem yourself, please go to
the yum faq at:
http://yum.baseurl.org/wiki/Faq

Google先生にお伺いを立ててみたんですが、全然回復できない…(激汗)。まあ、それだけなら良かったんですが、よりにもよって証明書がぴったし失効してしまうという二重苦。どうやらLet’s Encryptのコマンドを打つと、yumを実行しているようで、yumが壊れていると正常に動いてくれないんみたいなんですよ。

そもそも毎月自動更新するようにcron仕掛けてもいたのに、動作確認せずに放置していた結果がこれだよ…。
ちょっと時間がかかりそうですが、最悪OS再インストール含め対応していきます。いい勉強になりますね!(泣)

—————————–
[6/1追記]
ひとまずyumは壊れたままですが、仮想環境にコピー環境を作ってそっちに向くようにルータの設定変えて、Let’s Encryptの更新コマンドを打って証明書を作って、その証明書を元のサーバにコピーしてルータの設定を戻して、とやったらひとまずhttpsのエラーは解消しました。

面倒くさすぎだけど、ひとまず解消して良かったです。タイムリミット90日。サーバ立て直しかなあ…。原因分かってないのは辛いけど。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/31

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


いきなり正解は出ないのがプログラミング、試行錯誤しながら正解に近づくことが「主体的・対話的で深い学び」に

http://internet.watch.impress.co.jp/docs/column/teens/1062516.html
ここまで突っ込んだ記事は珍しいですね。プログラミングを通して、別分野の学習への関心を持つというのは素晴らしいことです。
学生時代に「なんでこんなの勉強しなきゃいけないんだよ。三角関数なんて日常生活で使わねえだろ。」とか思っていた一人として、こうした機会が得られるのは羨ましささえ感じてしまいます。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/30

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


求人倍率 バブル期超え 4月1.48倍、43年ぶり水準

http://www.nikkei.com/article/DGXLASFS30H26_Q7A530C1MM0000/?dg=1
2008年度に新卒入社した私が就活していた頃は超売り手市場と呼ばれたものですが、今はそれより売り手なんですね。医療・介護には触れられていますが、エンジニアはどうなのやら。身近にはあまり若い人が増える気配がないんですよね。
↓こんな良い資料あったのか。経済指標ダッシュボード。
https://vdata.nikkei.com/economicdashboard/macro/


2016年は14億件のデータが漏洩、ジェムアルト公表

http://itpro.nikkeibp.co.jp/atcl/news/17/052901525/?ST=security&itp_list_theme
個人情報が多いけど、多いなら細分化してほしいな。例えば、住所が漏れるのと、楽天の購入履歴が漏れるのでは全く意味あいが違ってくるでしょうし。
金融の情報はそうそう変えるもんじゃないけど、住所なんかは引っ越すことで無効な情報になったりするので、なかなかリスクの評価が難しいですね。
なんであれ、もはやどこで情報が漏れるか分かったものではないので、定期的にクレジットカードの使用履歴をチェックしたり、銀行預金の記帳をマメにやったりと、リスクの高いところには対策するよう習慣付けていきましょうね。


NRIセキュアテクノロジーズ、自動車のセキュリティ診断を開始

http://itpro.nikkeibp.co.jp/atcl/news/17/052501496/?ST=security&itp_list_theme
さすがにまだ時代を先取りしている段階だけど、いずれは車検の一項目になっていくんでしょうね。


Appleの最新透明性レポート、米国家安全保障関連の要請が急増

http://itpro.nikkeibp.co.jp/atcl/news/17/052501492/?ST=security&itp_list_theme
急増と言っても少ない印象ですね。日本ではだいたい1日に1つの情報提供要請が出ている状態。


ウォズニアック氏、次の技術革新はアップルではなくテスラからと予想

https://japan.cnet.com/article/35101929/
日本ではあまり馴染みがないイーロン・マスク氏。今行っている英会話スクールのCEOが大好きで、2年前の正月にレッスンを受けた際、熱く語っていたのを印象的に覚えています。


ランサムウェア「AES_NI」「BTCWare」被害者向けに復号化ツール

http://www.security-next.com/082190
検証は怖くてできませんが、こういうものも出始めているんですね。JigsawやTeslaCryptなど有名どころもカバーできていて心強いです。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/29

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ダウンロードフォルダーからのインストールは危険、JVNが注意喚起

http://itpro.nikkeibp.co.jp/atcl/news/17/052601516/?ST=security&itp_list_theme
ダウンロードフォルダは定期的にお掃除しましょう。私はブラウザのデフォルト設定でデスクトップにダウンロードするようにしています。変なファイルがあったらすぐに目につくので、これはこれで対策としてはアリかもしれませんね。


お宅に悪用されそうな不具合や設定ミスはありませんか? 無料の「Nessus Home」で自宅デバイスの脆弱性をスキャン

http://internet.watch.impress.co.jp/docs/column/shimizu/1061381.html
16IP使えれば十分ですね。やってみようかな。しかし、機能比較表が…バカっぽくて素敵ですw。


プログラマーになりたい人が考えるべきこと

http://axia.co.jp/2017-05-29
よくまとまっていて良い記事です。若い人って意外とエンジニア志向なんですね。もう嫌われている仕事だと思っていたので、正直驚きました。我々の子供時代に比べれば、プログラミングをしようと思えば簡単にチャレンジできる環境になっているのは事実か…。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/26

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


大量の脆弱性報告で注意喚起、インストーラ作製アプリなどに起因 – 脆弱性狙うマルウェアも

http://www.security-next.com/082096
うーん、永遠の課題ですな…。仕組みは分かりやすいですね。libフォルダ配下のファイルをワイルドカード指定で取得するような実装でしょ。組織で作っていれば1ファイル1ファイル指定するようなコーディングルールにしたりするだろうけど、個人とか小規模で作っているものだと怪しいですね。


Twitterに第三者が勝手にツイートできる脆弱性、発見者に報奨金7560ドル

http://itpro.nikkeibp.co.jp/atcl/news/17/052501503/?ST=security&itp_list_theme
文面だけ読むと脆弱性というより、ただのバグじゃないの?と思ってしまうのですが…。本家見てみると、Burp使ってパラメータいじるぐらいはしてるのか。これで80万円弱。


WannaCryの活動を緊急停止、「キルスイッチ」とは何だったのか

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/052300002/?ST=security&itp_list_theme
名前解決できないときだけ活動する、って面白い仕組みだな。ウラのかき合い。
サンドボックでは活動しないマルウェアってこういう仕組みなんですね。思ってたより普通だった。


「ログインの3割がなりすまし」、アカマイが最新の攻撃動向と対策を解説

http://itpro.nikkeibp.co.jp/atcl/news/17/052301479/?ST=security&itp_list_theme
ハニーポットのCowrieちゃん見てると、入力を再生できたりするんだけど、操作がめちゃくちゃ速いログがあるんよね。あれボットなんだろうね。というか、ほぼそういうパターンなんだけど。


IT業界の多重下請け構造とは何なのか

http://axia.co.jp/2017-05-06
過去こういう会社に所属していたような…。相手にしている会社が大きい会社だったし、さっさと帰れな文化の現場だったので悲惨ではなかったけど、やっぱグレーじゃなくてブラックよね。指示系統については書かれている通りでしたし。
ただ、労務の観点でばかり書かれているけど、経験を積む意味では必ずしも悪いことばかりではないと思いますよ。本人のやりたいことができるのであれば、こういう働き方を必ずしも否定しません。
ちなみに現在の私は、派遣契約でクリーンにお仕事してます。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/24

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 – 関連ツールが共通のC2サーバを利用

http://www.security-next.com/082012
すさまじい感染力ですね…。北朝鮮の戦争は、すでにサイバー空間で激戦となっています。
ミサイルの話もロクに報道されていないようですが、サイバー戦争の話はそれ以上に伝わらない…。
しかし、パスワードってランサムウェアを解除するためのパスワードのこと言ってるのかな。思ったより簡単でびっくりしてるんだけど。


ラック、複数顧客環境で「WannaCrypt」被害を確認 – 百数十台規模

http://www.security-next.com/082020
大企業は大丈夫だが、中小企業が危ない印象ですね。弱者を狙うとは、姑息な輩だな。


IPA 安心相談窓口だより:IPAに寄せられているランサムウェアの相談について ~Wanna Cryptorの感染防止のために今すぐWindows Updateを~

https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
感染する様子が動画で紹介されていますよ。とにかくWindowsアップデートですね。


ランサムウェア「WannaCry」の侵入経路は? トレンドマイクロが解説

http://internet.watch.impress.co.jp/docs/news/1059794.html

【セキュリティ】オヤジのきまぐれニュース – 2017/05/12

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


もう始まった!?登録セキスペのオンライン講習受けてみた

http://itpro.nikkeibp.co.jp/atcl/column/14/090100053/051000246/?ST=security&itp_list_theme
これは良い情報。まだ登録してないけど、来年の秋までには私も登録する予定です。
私のように3年以上前に合格した人は、初年度が集合研修なんですね…。会社が補助出してくれないと10万円直撃ですか、ツラい。


Windows 10次期大型更新は「Fall Creators Update」–新デザインなど

https://japan.cnet.com/article/35101039/
なんかすごそう。タイムラインは使いそうだな。gifアニメのコピペもいいな。


マストドンが照らす21世紀型インターネットのありかた

http://internet.watch.impress.co.jp/docs/special/1057683.html
日本人はいつも4年程度で同じサービスに対して「飽き」がはじまる、か。とても興味深い。


「マストドン」なぜ人気? 今のうちに押さえておきたい基礎知識とビジネス活用の可能性

http://internet.watch.impress.co.jp/docs/special/1057976.html
実際にやってみないとTwitterとの違いがわからないな~。ウチのサーバに立ててみようか。


トランプ大統領、サイバーセキュリティを強化する大統領令に署名

https://japan.cnet.com/article/35101045/
FBI長官罷免ともリンクしてるのかな。日本に比べて、米国へのサイバー攻撃はレベルが違うだろうから、どんなことをしていくのかは注視していきたいところです。


無線LANただ乗り「電波法違反の可能性」 総務省見解

http://www.nikkei.com/article/DGXLZO16282390S7A510C1CC0000/
ただ乗り用の法制度作るといいと思うよ。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/11

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


あまりに危険なIoT、濃いコーヒーを飲まされる恐れ

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/042700830/?ST=security&itp_list_theme
タイトルの通りギャグな記事でしたw。
なんでコーヒーメーカーをインターネットに接続するんだよ…。
第三者に皿を洗われてしまうとか、ダメなんですか?って感じですし。


「それはセキュリティ対策じゃない」、固定観念を捨ててもらおう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/042400011/?ST=security&itp_list_theme
脆弱性のあるマシンが一箇所でもあったら、他のマシンがどれだけ注意していても攻撃されてしまいます。
可用性の対策にランサムウェアの話を持ち出すのは、とても説得力がありますね。

【セキュリティ】オヤジのきまぐれニュース – 2017/05/09

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「RSA暗号は量子コンピュータで破られない」、生みの親が日本国際賞受賞で熱弁

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042700954/?ST=security&itp_list_theme
ほう…、あと10~15年は破られない、か。米国のトップシークレットレベルの人たちは実現しちゃってる時期なんじゃないか?


Facebook、「虚偽ニュースを見分けるコツ」を英紙広告に掲載

http://itpro.nikkeibp.co.jp/atcl/news/17/050901347/?ST=security&itp_list_theme
こういうナレッジは大事。ITのIたるところですな。


泥沼化する“証明書抗争”の幕引きなるか、シマンテックがグーグルに逆提案

http://itpro.nikkeibp.co.jp/atcl/news/17/042801325/?ST=security&itp_list_theme
Google先生の影響力すごいな。所詮ひとつの検索エンジンのはずなのに、シマンテックのこの焦りよう。

【セキュリティ】オヤジのきまぐれニュース – 2017/04/28

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


15.3%の企業で被害、ランサムで泣き寝入りも

http://www.security-next.com/081027


「当社には取られて困る情報はない」?経営層による3つの勘違い

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041900010/?ST=security&itp_list_theme


ウイルス感染の警告メールがニセモノ、文面に従うとウイルスに感染

http://itpro.nikkeibp.co.jp/atcl/column/16/012900025/042100040/?ST=security&itp_list_theme
もう何も信じられない…。


グーグル、ニューラル機械翻訳技術でインド向けにサービス強化

https://japan.cnet.com/article/35100488/


Windowsサーバーを狙ったランサムウェア攻撃、IPAが注意喚起

http://internet.watch.impress.co.jp/docs/news/1057516.html

【セキュリティ】オヤジのきまぐれニュース – 2017/04/21

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「その説明では分からん」と言われたら、効果を“見える化”しよう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041100009/?ST=security&itp_list_theme
ケーススタディーを交えて、分かりやすく説明されている良記事。経営層には数字で説明しないとですね。まあ、数字は独り歩きすることがあるから、そこも注意しないといけないのだけれど…。

This is a good article which is explained with case studies. When you explain to the management, you should use numbers. However, numbers sometimes walk alone, so you also be careful it.


ヤフーがパスワード使わない認証方式導入、SMSで確認コード送信

http://itpro.nikkeibp.co.jp/atcl/news/17/042001220/?ST=security&itp_list_theme
手元に必ず携帯がないとログインできないとも言えるが、そういう状況は珍しい。今後の主流となるや否や。
電話番号のなりすましは難しいっていうことなんでしょうね。ただ、ワンパスとはいえ確認コードが数字のみ6桁というのは脆弱性足り得ないのだろうか…。
まあ、銀行の暗証番号が4桁であることを考えると、大きな問題ではないのかな。3回ではないだろうけど、何度も間違えたらロックされるんだろうし。

When you forget to bring mobile phone, you can’t login the system. But I think such the situation is unusual. It may become mainstream in the future.
I guess that it is difficult to impersonate telephone number. However, one-time password has high security level, but I doubt safety because check code is only 6 numbers.
On the other hand, I guess it isn’t big problem because banks security code is 4 numbers. Also, your account is going to be locked if you misstype several times.


ラック、新卒採用で新たな試み – CTF突破で「即!西本面接」

http://www.security-next.com/080778
ラックさんは流石ですね。ウチの会社もこんなことができればいいんだが、そもそもCTFの基盤がない。まずは、そこからなんですよね…。

LAC Co., Ltd. is great! We want that our company also adopts new members similarly, but we don’t have any infrastructur of CTF unfortunately. First of all, we have to prepare it.


「企業のCISOやCSIRTに関する実態調査2017」報告書について

http://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html
300人以上の企業であれば、CISOの設置が6割を超えたんですね。良い傾向です。
やってることは、テクニカルな対応が中心で、経営目線や部署横断はまだまだこれから、という状態ですか。セキュリティに詳しいけど、それほど高くない役職の人がCISOやってるにおいがする…。権限もっと与えてあげなよ。
セキュリティ対策はコストであり、事故が起こったときの被害想定額と突き合わせながら検討しないといけない。そういう意味では、セキュリティのスキルが高いことも大事だけど、それ以上に数字でものを語れる人や台風のように色んな人を巻き込んでいける人がCISOに就くと良いと思う。

Over 60% Japanese companies which have over 300 employees appointed CISO according to this report. It’s good trend.
Large number of them is given technical work, but the management view or the other departments involvement is still a few. I predict that the people who has high technical skill and low position were appointed CISO. These companies should give CISO more authority.
After you calculated how much does it cost when an security incident occurs, you should think the investment for managing security. In that sense, I think that certainly it’s important that CISO has high technical skills, but the skills which is telling with numbers or adjusting with people including other department is more important.

【セキュリティ】オヤジのきまぐれニュース – 2017/04/11

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


クックCEO、テクノロジを学ぶ女性の少なさ憂慮–「米国の優位性が失われる」

https://japan.cnet.com/article/35099565/
適材適所を考えると、ただ同数いることが大事とは思えないけどな。女性が少ないことでどんな問題が起こっているのかを説明してくれないと、誰も本気で取り組みはしないだろう。ただ多様性ガー、と言われても費用対効果を測れないのですが…。

それに、米国の優位性が失われるって言うけど、女性活用してたからIT分野で米国が優位だったわけでもないと思うのですが。何言ってんだろうね、このおっさん。多様性を訴える前に、自分がマイノリティであることを自覚して行動しなければ、周囲は「うへぇ」としか思いませんよ。

ものつくりという切り口なら、男性の方が好きだろうし。デザインという話になったら、圧倒的に女性の優位性が上がる。デザインがSTEM分野かというと、なんとも言えないだろう。しかし、システムにとって大変重要な部分である。使いやすさという意味でもマーケティングという意味でも、大いに影響がある。

むしろ、多様性と言うならテクノロジを学んでいない人の意見を採用することだって多様性なはずで…。あ、そっか。そういうことね。Appleなんて大企業ともなるとエリートしか採用しないから、上がってくるパイに女性が少ないんだけどっていう、贅沢なことを言ってるだけなのね。まったく、どの口が多様性を語ってんだよ。没個性な製品ラインナップな割に、WindowsやAndoroidに負けてる会社が、果たしてどこまで続くんでしょうかね。


WikiLeaksが暴露したCIAのハッキングツールの使用実態が明らかに–シマンテック

https://japan.cnet.com/article/35099559/
WikiLeaksすごいな。なぜそのツールがCIAで使われていたのか知っていることを含め、どうやって調査したのか。
こういうギルドチックな存在は面白いな。


潜在ニーズはいかに、IPv6の技術書をクラウドファンディングで作る試みが注目を集める

http://internet.watch.impress.co.jp/docs/yajiuma/1054162.html
職場でも、全然IPv6の話は出ないですね。しかし、いつまでも逃げ続けていていいわけでないのも事実。IoTが普及するほどIPv6の必要性は増していきますからね。クラウドファンディングで本を作るか。面白い時代になったもんだ。

【セキュリティ】オヤジのきまぐれニュース – 2017/04/04

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


情報セキュリティ10大脅威 2017

https://www.ipa.go.jp/security/vuln/10threats2017.html
いつものやつです。納得感あるな。カード情報の流出多かったし、ランサムウェアはいわずもがな。IoTは思ったより低いな。


こっそり待たせて処理を実行、メール無害化

http://itpro.nikkeibp.co.jp/atcl/column/17/033000113/040300004/?ST=security&itp_list_theme
いやいや、電話しながら今送りました!ってことあるよ。来ないねー、っていうやり取りするの嫌なんだけど。もっとも、既存のメールセキュリティシステムでも遅延実行するものはあるけどね。自動で暗号化するやつとか、一旦メール送っちゃったけど、やっぱやめができるやつとか。


知らないと炎上必至? 新人に教えるべきクラウドサービスの使い方

http://itpro.nikkeibp.co.jp/atcl/column/17/033000112/033100002/?ST=security&itp_list_theme
そもそもクラウドストレージと言って、正確に伝わるのだろうか。数多あるクラウドサービスの全てを我々も知っているわけではないし、あ、これクラウドのアプリだったんだ?!っていうこともありそう。ダメというなら、システムで弾くしかないでしょう。


「Android」、ネット利用シェアで「Windows」を抜き初の首位に

https://japan.cnet.com/article/35099212/
なんと、iPhoneと戦っているのかと思ったらWindowsに勝っていた。ケータイあるからPC使わない人が増えている状況をよく表したグラフだと思います。しかし、Apple勢は全く立ち上がってないね。周囲ではiPhone使ってる人をよく見かける割にこの結果。世界的にはAndroidの方が人気ということでしょうかね。私はiPhoneを使うメリットが分からないのでAndroid一択です。

インシデント発生の認知スピードは大幅改善も、まだまだ不十分 ほか

http://internet.watch.impress.co.jp/docs/column/security/1052894.html
世界レベルで見た地域ごとのサイバーに対する状況。なかなか興味深いです。
ハッキングコンテストでも中国の強さが出るんですね。もし戦争になったらこんなの相手にしなきゃいけないのか。勝てる気がしない…。

【セキュリティ】オヤジのきまぐれニュース – 2017/03/29

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「Google Home」がついに米国外へ–4月6日に英国上陸

https://japan.cnet.com/article/35098885/
なんかイマイチ凄さが伝わってこない。
↓これか
https://madeby.google.com/home/
これからIoT機器が増えていく中で、司令塔的役割になっていくのかな?


セキュリティ人材は9割の企業で不足、NRIセキュアが調査

http://itpro.nikkeibp.co.jp/atcl/news/17/032800955/
「どのような人材が必要なのかもわからないという企業が少なくない」というのは、現状の日本企業の正直な声でしょうね。セキュリティが流行りだしたのもここ2,3年だから、システム部門のメンバーであっても、何から優先度付けしていくべきかは暗中模索なところがあると思います。
右メニューにガイドラインを乗っけてるので参考にしてくださいな。


4社に3社が過去1年間にインシデントを認知 – 標的型攻撃は8社に1社

http://www.security-next.com/079978
「従業員50人以上である国内企業」ということで、中堅企業も含めての数字。なかなか興味深い。