サイバーセキュリティ」カテゴリーアーカイブ

2022年6月 パッチチューズデー配信

6/15(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/6BL5DDsZe3E
ニコニコ生放送:https://live.nicovideo.jp/watch/lv337292122
OPENREC.tv:https://www.openrec.tv/live/d1rn1q72p8v
Twitch:https://www.twitch.tv/kiha_hacking_laboratory

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/2022/05/10/202205-security-updates/

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓3月分のリンク先が最新の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

RealPlayer:
https://www.security-next.com/137286

Confluence:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Drupal:
https://www.drupal.org/sa-core-2022-011

JVN:
https://jvn.jp/

KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html

IPA:Microsoft 社 Internet Explorer のサポート終了について
https://www.ipa.go.jp/security/announce/ie_eos.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

2022年5月 パッチチューズデー配信

5/11(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/ys3KmbsemC4
ニコニコ生放送:https://live.nicovideo.jp/watch/lv336839288
OPENREC.tv:https://www.openrec.tv/live/ykz0lny3xzw
Twitch:https://www.twitch.tv/kiha_hacking_laboratory

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/2022/05/10/202205-security-updates/

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓3月分のリンク先が5月分の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Intel:
https://www.jpcert.or.jp/newsflash/2022051101.html

F5 Networks(BIG-IP):
https://support.f5.com/csp/article/K55879220
https://www.security-next.com/136392

JVN:
https://jvn.jp/

KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

2022年4月 パッチチューズデー配信

4/13(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/tYk7iGLCvnY
ニコニコ生放送:https://live.nicovideo.jp/watch/lv336461160
OPENREC.tv:https://www.openrec.tv/live/12ro0nexmrn
Twitch:https://www.twitch.tv/kiha_hacking_laboratory

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/セキュリティ情報/

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓見当たらないなあと思ったら3月分のリンク先が4月分の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Apache Struts 2の脆弱性(S2-062)に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220011.html

Citrix:
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

2022年3月 パッチチューズデー配信

こちらで取り上げるのが遅くなりましたが、今月のパッチチューズデー アップデート情報でございます。

以下、今回のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e6%83%85%e5%a0%b1/

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

2022年2月 パッチチューズデー配信

2/9(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/Lp_sJVeRCzk
ニコニコ生放送:https://live.nicovideo.jp/watch/lv335574988
OPENREC.tv:https://www.openrec.tv/live/nqz5xkdlx8v

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/セキュリティ情報/

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035

Citrix Hypervisor:
https://support.citrix.com/article/CTX337526

Zoom:
https://www.security-next.com/134026

FortiWeb:
https://www.security-next.com/133961

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

2022年1月 パッチチューズデー配信

今月もパッチチューズデー配信やっていきます!

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/ciadr/vul/20220112-ms.html
https://msrc-blog.microsoft.com/2022/01/11/202201-security-updates/

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035

Samba:
https://www.security-next.com/133144
https://www.samba.org/samba/history/

Citrix Workspace App for Linux:
https://support.citrix.com/article/CTX338435

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

今年最後のパッチチューズデー! 年越し前にやることやっときましょうね

今月も毎月恒例のパッチチューズデー配信やります。米国時間の第2火曜日が該当しますので、我々としては12/15(水)の21:00から配信させていただきます!

▼2021年12月 パッチチューズデー アップデート情報

以下、今回のお題です。

Microsoft:
https://www.ipa.go.jp/security/ciadr/vul/20211215-ms.html
https://www.jpcert.or.jp/at/2021/at210051.html

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021

Apache Log4j:
https://www.jpcert.or.jp/at/2021/at210050.html
https://www.security-next.com/132515

OpenSSL:
https://www.security-next.com/132492

FortiOS:
https://www.security-next.com/132444

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2021.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

サーバ引っ越し完了!

先日まで愛用していたCentOSに別れを告げて、新しいOSに引っ越しをしました。viエディタでコピペができないんだけど、なんだこれ?とか慣れないところはあるものの、標準のアップデートでPHPやSSLのパッケージが最新になってくれるのは何を置いても安心感が違いますね。

このタイミングでWordpressのプラグインを見直して古いものや使っていないものはアンインストールしたり、ログインページを隠すプラグインを導入したりと、セキュリティ強化も色々試してます。やっぱり、どういう風に使えばセキュアに使えるのかは、実際に使いながら頭を悩ませていかないとお客様にも説得力を持って説明できないと思いますからね。別の製品に変えれば問題が解決するかといえば、今度は別の問題が出たりしてね。おまえが変えろって言うから変えてみたらこのザマだよ!なんて言われた日にゃあ賠償モンですよ。くわばらくわばら。転職するときによく言われることと同じなのかもしれませんね。それって今の会社じゃあできないことなの?っていうやつ。

機能面でも改修を進めていこうと計画しておりますが、まずはこちらの右メニューのガイドライン欄が形骸化していたので見直しをかけております。ここは、にゅーすページとの棲み分けをどうするのかも検討課題ですね。

そうそう、実は先週あたり1週間近くビオラサイトが死んでおりまして…。原因はhttps化で使うLet’s Encryptなんですけど、どうも証明書の取得がうまく行かなくて「君は証明書要求し過ぎなので1週間待ての刑!」って怒られてしまっていたんですよ。その説明ページ見ると何十回とか結構な数要求しないとそれに該当しないはずなのに、なんでか引っかかってしまってね、まあ1週間待ったらちゃんと解消したのでまだ良かったんですが、別の原因だったらどうしようと戦々恐々としていたりもしました。あぁ、そうだ。もう一つ証明書関連で課題があるんでした。証明書の作成は問題ないんですが、証明書の更新を月に一回実行しているものの、どうも証明書の有効期限の開始日が変わってなくて、これ大丈夫なのかな?と不安になっているところです。ひとまずは期限が1ヶ月以内になったら更新が動くとかそういうやつなのか?とか推し量りながら様子見しようと思ってます。

まだまだやることはあって、広告を色々貼っているものの随分前に設置したものばかりだからリンクが切れているものもあったり、全体的に最新化しないといけませんね。特に自宅サーバのページなんかは、すでにクラウド化してるしCentOS卒業したから内容を見直さないとですね…。

なんか、そう言えるところまで運用を続けられて感慨深いものがあります。エンジニアってサーバ建てるのはみんなやるんですけど、コンテンツを作れない人が多かったりするので、それではイカン!と思って私はこうしてヘタクソなりにやっている所存であります。まあ、そんなでも続けていれば何かしら得られるものはあるもので、継続は力なりという言葉をひしひしと感じているところですね。

そういえば所長から要望もらっていたのでした。お昼の配信で不審メールの話をするときに、悪性URLを開いて色々入力しちゃったときの対処について取り上げてますが「もうちょっとスムーズに説明できるようにしたいので、うちのサイトに全部まとめたページ作りたいね」とのことで、仰る通りだなと思いました。時間の関係で言いたいことを言えてない日もあるとのことなので、後はウチのページ読んどいて!という流れにするものアリですからね。こうしてウチのサイトを育てていくことに繋がるとは、何がどう転ぶか分からないものです。

そんな感じでLdLuS6年目は年末を迎えようとしております。相変わらず大したコンテンツもご提供できておりませんが、できる範囲で皆様に情報を共有させていただければと思いますので、今後ともどうぞよろしくお願い致します。

祝! LdLuS5周年!!

おかげさまで、ウチのサイトがLdLuSのブランドを掲げてから5年間が経過しました。いろいろな取り組みが生まれては育ち、廃れ、色々なことがありました。

5周年 生誕祭として、様々なツールを使いながら複数方向からldlus.orgを見てみる紹介動画を作成してみましたのでご確認ください。

▼LdLuS5周年 生誕祭【#KIHA所長/#木波ハッキング研究所】

今後もチャレンジ精神やベンチャーマインドを大切にしながら、知的好奇心の赴くままにいろいろやっていきたいと思います。

Link the Deep Logics to our Usual Sceneries.

LdLuS


上の動画で途中、お前は何を言っているんだ状態のところがありましたので補足の動画を作成しました。こちらも併せてご覧ください。

▼LdLuS5周年 生誕祭の補足

Please contact us!/お問い合わせはこちらまで!

We now have a following new email address.
Please feel free to contact us.

shinobu.chouhou@ldlus.org

LdLuSのメールアドレスが正式に運用開始の運びとなりました。今後はこちらにご連絡いただくと華麗にスルーさせていただきますので、どうぞよろしくお願い致します。

LINEチックに使える日本国産のSNS「エアレペルソナ」を使ってみませんか?

LINEは韓国経由で中国に。Facebookやメッセンジャーは中国にも米国にも。Google(Youtube含め)やTwitterは米国に。情報が溜まっていくのは外国ばかり。このままでは情報戦争に戦う前から負けている。

ということで、今回は国産のSNSをみんなで使いませんか?という紹介です。その名もエアレペルソナ。

エアレロゴ
https://airlex.co.jp/

LINEとだいたい同じ感じのアプリですが、シンプルな設計なのでLINEみたいにどこにメニューがあるのか迷子にならないし、複数の端末で同時に起動できるので好印象です。

ちなみにペルソナという名前がついているだけあって、複数の顔を使い分けることができるようです。なので、友達用、職場用、趣味用など分けて使えるみたい。

ということで、こういう暴挙もできるってことですね! ↓に私の外向けの顔を貼っときますね。エアレをインストールしてから友だち追加してみてください。

こんなん怖くてQRコードスキャンできんわって反応が、セキュリティやっている人なら来そうですけどwww。テストでやってみるのに使ってみてもらっても良いので、ご興味あればぜひぜひ試してみてください。

実績ベースで脆弱なパスワードを拒否する方法

これは良い取り組み。「Have I Been Pwned」で漏洩が確認されたパスワードを拒否する。
元データだと7GB以上あるので、複数回漏洩したものに絞って容量を削減しているのか。

ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合
https://www.itmedia.co.jp/news/articles/2001/28/news093.html

ペンテストなのに診断チックなことをしている話は聞いたことあるけど…

脆弱性診断、ペネトレーションテスト、バグバウンティの位置づけがよく整理されている良記事です。

▼ペネトレーションテストが脆弱性診断の上位互換サービスであるという誤解 ~ セキュリティ標準化企業 SHIFT SECURITY 執行役員 松尾雄一郎に聞く
https://scan.netsecurity.ne.jp/article/2019/11/27/43286.html

ITセキュリティのほど良いところ

サイバー空間はまだまだ成長期であり不安定。セキュリティのあり方もスタンダードがどこなのか迷走しています。でもいずれは誰もがちょうど良いと思える在り方に収束していくはずです。それがどのへんなのか、当たりを付けつつ推進していくのが我々のお仕事なのかなと思っています。

家で言うと、セキュリティを強化するぜぃ!と言って窓という窓に鉄格子をはめるのが妥当なのでしょうか。なんか暗いし雰囲気悪い。どこの牢屋ですかw。それに、洗濯物どうするんだ。ご近所さんの見る目も心配ですね。

普通、窓なら「クレセント鍵」と呼ばれるあれですよね。空き巣が窓を割って鍵を開けるケースもあるアレ。

内側にしても、ドアというドアに玄関と同じレベルの鍵を設置するのでしょうか。色々マズい状況が思い浮かんできますね。

トイレなら「サムターン」の鍵だけど、外からでも10円玉とかで回せば開けられたり。

どうしてそれが普通なんでしょうか。家を借りる時に内見してても、そうなっていれば違和感を感じないでしょう。

その地域の治安が悪いという話を聞くと、やっぱりもう少しセキュリティを意識したオートロックの玄関のところだとか、1Fなら窓側は雨戸が閉められるとか、欲しくなるんじゃないでしょうか。

一方で、リスク受容という考え方もあります。一切セキュリティ対策をしない、もしくはもう少しセキュリティに投資してもいいけど、事故が起こった際に想定される損害を考えると、費用対効果が期待できないからやめておく、というもの。事なかれ主義の日本の大企業ではその選択は難しくやや過剰投資の傾向にあり、攻撃された経験のない中小企業は消極的に(数値的な根拠なく)その選択肢を選んでいるような気がします。

私はリスク受容は大いに結構だと考えています。一昔前ならサイバー攻撃を受けることも珍しかったですが、もはや日常茶飯事。サイバー攻撃による情報流出によって責任者が首を切られていてはいくつ首があっても足りないご時世になってきています。売上とセキュリティ投資のバランスを見ながら、あえて対策をしないという英断もあって良いと思います。

セキュリティ投資は保険のようなもので、200万円の売上のあるECサイトがあったとして、300万円のセキュリティ投資をすることはありえないのです。売上をあなたの年収に読み替えたらよく分かるのではないでしょうか。

じゃあ、100万円いける? いやいや、それでは明日のメシが食えない。じゃあ、20万円? ちょっとやりすぎな気はするけど、いけなくはない。1万円? うーん、それならもっと投資した方が、もしもの時を考えるといいかも。もしくは投資せずに貯金に回しておいて、何かあったときは貯金から拠出する。…とかね。

対策したところで対策していなかったところを攻撃されたら何の意味もない、というのも保険と近しいところです。外部からのサイバー攻撃の対策をしっかりしていたものの、内部不正で大変なことになったとか。今どきどうせ入院させてもらえないから保険の入院部分はなしでいいやとしてたら、しっかり入院することになってしまったとか。


セキュリティでメシを食っていくのであれば、セキュリティ原理主義者にはならないよう、気をつけたいところですね。こうやってWordPress運用している人を指差して「ばーか!」って言っている程度の人はプロではないと思います。何が問題で、どのようにすれば安全に使えるのか、自分事として理解して提案できなくてはダメです。

私は過去、Drupalのせいでサーバをぶっ潰された経験があるので、それに比べればWordPressの安定感や使いやすさには満足しています。ぜひぜひ、自分で運用しながら本質的な問題を理解していけるハッカーが日本に増えていくことを期待しています。