システム」カテゴリーアーカイブ

システム構築やプログラミングに関わる内容です。
セキュリティに関する情報も紹介します。

【ITニュース】2024年1月11日の気になる話題

本日は、セキュリティ担当から経営層への訴求の仕方、メタバースの通信制高校について話を取り上げます。

metaverse
「Metaverse」の呪文によりLeonardo.aiで生成した画像。これはメタバース…なのか?

①中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは 予算獲得の勘所【ITmedia News】
https://www.itmedia.co.jp/news/articles/2311/14/news058.html

おじさんから一言:分かってる、それは分かってるんだ。それを具体化して進めていくのが大変なんだよ。


②アバターでメタバースから通学できる通信制高等学校–ホームルームもVR空間内で【CNET Japan】
https://japan.cnet.com/article/35213709/

おじさんから一言:ここまで来たか…。こういうメタバースはどんどん発達してほしいですね。

【ITニュース】2024年1月9日の気になる話題

本日は、悪性URLの変装方法、震災に乗じた詐欺への注意喚起、かわいい拡張機能についての話を取り上げます。

scam
「Scam」の呪文によりLeonardo.aiで生成した画像。爆弾っぽいところは悪くない。

①サイバー犯罪者はどのようにURLを偽装するか【kaspersky daily】
https://blog.kaspersky.co.jp/malicious-redirect-methods/35498/

おじさんから一言:GoogleのAMPやBaiduについてはオープンリダイレクトの脆弱性と呼ばれることもありますが、大手サイトでこういうのを野放しにしているのは、いただけないですね。


②震災に便乗して、義援金の募集等を名目に金銭を要求する詐欺等への注意喚起【警察庁】
https://twitter.com/NPA_KOHO/status/1743195994802831412

おじさんから一言:皆様の想いを踏みにじられるようなことがないよう、募金は信頼できるところにお預けするようにしてください。


③ウェブブラウザーで操作するたびにネコがマウスポインターに飛びかかってくるChrome拡張機能が爆誕【INTERNET Watch】
https://internet.watch.impress.co.jp/docs/yajiuma/1559095.html

おじさんから一言:これってなんか意味あるの?→かわいいだろ?

【ITニュース】2023年12月27日の気になる話題

本日は、JNSAのセキュリティ十大ニュース、パスワードレスの策定を進めているFIDOのセミナー、OTへのランサムウェア攻撃について話を取り上げます。

factory security
「Factory security」の呪文によりLeonardo.aiで生成した画像。渋いおっちゃん出てきてお気に入り。

①JNSA 2023セキュリティ十大ニュース【JNSA】
https://www.jnsa.org/active/news10/index.html

おじさんから一言:今年も色々ありましたね。セキュリティ事故については他人事とせず、学べるところは取り入れながら自分事として活かしていきましょう。


②第10回 FIDO東京セミナー ~ 2023年12月8日開催
https://www.youtube.com/playlist?list=PLQ1G6xGwz48yYqIjhX29CXF0-wYOQ0Gfv

おじさんから一言:2023年は「パスキー」というキーワードでパスワードレスが広まった1年だったと思います。日々のニュースを見ていると、パスキーって言葉を使っているけど、それ本来のパスキーの意味と違くない…?という記事を度々目にするぐらいには誤用を含め使われる言葉になったのではないでしょうか。パスワードを使わなくなる日が来るまで、あと何年かかるかな。


③ランサムウェア攻撃はOT環境へと拡大 クラロティが2023年の脅威状況を調査【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2312/26/news056.html

おじさんから一言:工場のシステムへのサイバー攻撃が増えているようですね。防御側はまだ十分な対策を取れていないところが多い中、今後の注力分野になっていきそうです。

【ITニュース】2023年12月21日の気になる話題

本日は、IPAさんのサポート詐欺対策特集、年末年始の注意喚起、現代デザインの江戸時代の地図について話を取り上げます。

New year japanese
「New year japanese」の呪文によりLeonardo.aiで生成した画像。誤った認識の日本のイメージみたいになってる…。

①偽セキュリティ警告(サポート詐欺)対策特集ページ【IPA】
https://www.ipa.go.jp/security/anshin/measures/fakealert.html

おじさんから一言:サポート詐欺の体験サイトまでご用意いただいています。とても出来が良いのでぜひ一度お試しください。


②2023年度 年末年始における情報セキュリティに関する注意喚起【IPA】
https://www.ipa.go.jp/security/anshin/heads-up/alert20231221.html

おじさんから一言:いつものやつです。


③地図や路線図でいろいろデザインするのって面白い! 現代の地図デザインで江戸時代の日本を表した「れきちず」が話題【INTERNET Watch】
https://internet.watch.impress.co.jp/docs/column/chizu2/1555973.html

おじさんから一言:こういうの見ていると時間が溶けるのよね。色々発見があって楽しい♪

【ITニュース】2023年12月14日の気になる話題

本日は、ちゃんと迷惑メール対策をしないと受信拒否するGoogle、AIを使った情報工作についての話を取り上げます。

cyber duck
「Cyber duck」の呪文によりLeonardo.aiで生成した画像。逆向きキーボードタイピングとは、此奴やるな!

①「Gmail」にメールを送れなくなる恐れ、グーグルによる迷惑メール対策強化の衝撃【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00989/120500134/

おじさんから一言:DMARC導入待ったなし!


②中国、AIで日米分断工作!日本で拡散される中国発の偽情報「スパモフラージュ」|竹田恒泰チャンネル2
https://youtu.be/DR8aN4S43cM?si=nsTAYHgaxGtLRcch

おじさんから一言:情報は信頼できるサイトから集めるようにしましょう。…というと、お宅のサイトはどうなんだい?って言われそうだけどw。ウチではニュースソースとして信頼できるところを選んでるつもりですし、明記するよう心がけておりますので、そちらも踏まえつつご覧くださいませ。

【ITニュース】2023年12月7日の気になる話題

本日は、ブラウザの拡張機能を介したパスワード漏洩や台湾の地政学についての話を取り上げます。

fake email
「Fake email」の呪文によりLeonardo.aiで生成した画像。メール感はないもののログイン画面っぽくなったので採用。

①ChromeやEdgeでパスワードがダダ漏れ? 対策はあるか【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2312/04/news049.html

おじさんから一言:ブラウザの拡張機能で変なやつをインストールした場合の話が多いので、ユーザが普通に使っている分には影響なさそうですが、サーバ運営側としては対策しておいた方が良いですね。


②【峯村健司】習近平のブレーンが暴露!2024年「台湾統一」の極秘シナリオ【デイリーWiLL】
https://youtu.be/tE23nzQFkaM?si=QOGSYSHMgbJBTrB1

おじさんから一言:峯村さん、やっぱすごいな😮 勉強させていただきます。

[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

中国「軍事強国」への夢 (文春新書) [ 劉 明福 ]
価格:1,210円(税込、送料無料) (2024/1/15時点)


【ITニュース】2023年11月29日の気になる話題

本日は、SMSの詐欺メッセージの見分け方、役に立つIT資格、LINEの個人情報流出についての話を取り上げます。

fishing
「Fishing」の呪文によりLeonardo.aiで生成した画像。

①怪しいSMSが届いたら「発信者番号」をチェック、“スミッシング詐欺”特有の見極めポイントを徹底解説【INTERNET Watch】
https://internet.watch.impress.co.jp/docs/column/smishing/1545156.html

おじさんから一言:「0005」から始まる送信元番号であれば信用して良いそうです。SMSが届いたらチェックしてみてください。


②最も役立つIT資格は応用情報技術者、「ITパスポートくらいは取得すべき」【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/02661/112100003/

おじさんから一言:納得。SEであれば応用情報は欲しいですね。そこからようやく自分の専門性をどっちにするか、上位の資格を目指していくことになるわけですから、そこには何とか辿り着いてもらわないと。


③【ありえない!】LINEヤフー「個人情報流出」に厳罰を求める【デイリーWiLL】
https://youtu.be/HcmVVGY8S4g?si=aYEyPL51OJvL3t16

おじさんから一言:私も三木谷さんに期待です。楽天Linkはすでにあるわけだから、機能拡張すればLINEに代わるものをスッと作れたりしないのかな? 中小企業だとエアレの二の舞いになってもしょうがないですし、ここは大企業に頑張ってほしいところ。

【ITニュース】2023年11月28日の気になる話題

本日は、さくらインターネットの政府クラウド参入、ドメインの終活、日本のIT業界の闇について話を取り上げます。

「Domain」の呪文によりLeonardo.aiで生成した画像。どうしてこうなったのかは分からないが、強そうw

①政府クラウド、さくらインターネットが参入 初の国産【日本経済新聞】
https://www.nikkei.com/article/DGXZQOUA281290Y3A121C2000000/

おじさんから一言:おぉ! さすがさくらさんですね。応援してます!


②ドメインの放棄 企業はどのようにドメインを捨てるべきか?【SEO 辻正浩のブログ】
https://webweb.hatenablog.com/blog/seo/expired-domain

おじさんから一言:うちではldlus.orgのドメインだけ取っていますが、最後まで面倒見たいのはやまやまなものの、ペットに寿命があるのに対して、ドメインの寿命ってなんだっけ…?? KIHAハッキング研究所の寿命とイコールなのかな。研究所が閉鎖された後は誰が面倒見てくれるんだろう…。


③技術者の仕事は「運用より開発が重要」だ、そんな当たり前が通らない日本のITの闇【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00148/112200310/

おじさんから一言:運用は年々予算を削られていく一方で、どこかでリプレースが必要になって開発案件でドーンと予算が出るイメージ。運用より開発が重要なのは間違いない。ただ、誰も使いたがらないような残念なシステムを作ることは決して良いことではないし、それに比べれば多くの人に使われているシステムを長い間運用することは尊いとは思う。日本にそんな優秀なシステムがあるのであればの話だけど。

【ITニュース】2023年11月27日 番外編 LINE特集

みんな大好きLINEが、性懲りもなくまたやらかしています。再発防止を徹底できない企業のサービスを使い続けても良いことにはなりません。この機会に正規の国産サービスを育てることを真剣に考えるべきだと思います。

「Spy」の呪文によりLeonardo.aiで生成した画像。

①LINEヤフー、情報流出の詳細公表 個人情報など44万件流出か クレカ情報は含まれず【産経新聞】
https://www.sankei.com/article/20231127-IVQVDGLNTVPAZK4VQXRT2XBT7M/

②LINEヤフー、個人情報流出発表 ネイバー経由で44万件か【日本経済新聞】
https://www.nikkei.com/article/DGXZQOUC270BU0X21C23A1000000/

③不正アクセスによる、情報漏えいに関するお知らせとお詫び【LINEヤフー】
https://ly.swcms.net/ja/ir/news/auto_20231127594672/main/0/link/Notice%20and%20apology%20regarding%20information%20leakage%20due%20to%20unauthorized%20access_JP.pdf

④LINEのデータ移転に関するご説明【LINE】
https://linecorp.com/ja/data_transfer/


①と②で概要を捉えて、③で詳細をご確認いただければと思います。

③の報告書を拝見しておりますと、LINEってだいたい日本でしか使われてないのかと思っておりましたが、被害状況からすると台湾やタイでも使われてるんですね。台湾のみなさんもLINEは考えた方が良いかも知れませんよ? 韓国経由で中国に情報が筒抜けになっているとしたら色々危ないかも…。

④では、2021年に画像や動画のデータを保持するサーバが日本になく、韓国にあることが発覚したことを受けて、日本国内への移転の進捗状況が示されています。ご覧いただければお分かりになりますが、まだ終わっていません。執行猶予中に事件を起こしたようなもので、情状酌量の余地はないのではないでしょうか。


月刊WiLL 2024年新春2月号では、髙橋洋一さんと平井宏治さんの対談の中(129~131ページ)でLINEの危険性について取り上げていただいております。また、併せて純国産のメッセージアプリをデジタル庁で作るべきであると提言されていらっしゃいます。こちらもぜひご一読いただき理解を深めていただければ幸いです。


【ITニュース】2023年11月27日の気になる話題

本日は、東京大学の量子コンピュータ、オープンソースのサンドボックス、最近のAI事情についての話を取り上げます。

cyber cat
「Cyber cat」の呪文によりLeonardo.aiで生成した画像。

①東京大学、IBM製の最新量子コンピューターを稼働【日本経済新聞】
https://www.nikkei.com/article/DGXZQOUC275M70X21C23A1000000/

おじさんから一言:現状で127量子ビット。まだ不安定なところもあり、そのへんのパスワードが全部解読されてしまうような日が来るまでにはまだ時間があると思いますが、パスキーを始めとした脱パスワードも進めつつ、量子コンピュータも発達させつつと、技術革新を見守っていきたいですね。


②オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介【NECセキュリティブログ】
https://jpn.nec.com/cybersecurity/blog/231124/index.html

おじさんから一言:なかなか良さそうなので試しているのですが、VirtManagerにWindows10をインストールするところで毎回ブルスクになってしまい、おしい感じです。あとちょっとなんだけどな…。 当研究所でもノートPCにUbuntu22.04をOSインストールして、その上にCAPEv2を構築できました。検体をアップロードすると自動で解析してくれるタイプなので、ANY.RUNのように自分で触りながら挙動を確認できるものではありません。例えば、検体をVirusTotalにアップロードしてしまうと無料アカウントでは外部公開されてしまうので利用するのを躊躇うような場合、こういったツールを構築できていると情報漏洩の心配なく調査できるかと思います。


③OpenAIのお家騒動で浮き彫りに、気になる「AI過激派」の台頭と対立【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00692/112200120/

おじさんから一言:その勢力次第ではターミネーターの世界にもなるし、ドラえもんのような世界にもなるし、ということですかね。ドラえもんの方が良いなぁ。

【ITニュース】2023年11月16日の気になる話題

本日は、Googleフォームを悪用した詐欺、大流行するマルウェアの発生周期、Microsoftの生成AIの名称変更についての話を取り上げます。

data analytics
「Data analytics」の呪文によりLeonardo.aiで生成した画像。

①Google フォームのクイズ機能を悪用した詐欺が急増中 その巧妙な手法とは?【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2311/16/news055.html

おじさんから一言:正規サービスを悪用した手口の一つですね。本物かどうかを見分けるのは難しいですが、まずはこういう手口があることを知っていただければと思います。


②“大流行するマルウェアには発生周期がある”は、トンデモ仮説かそれとも予言か?【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2311/17/news027.html

おじさんから一言:うーん、どうかなぁ…。言ったもん勝ちな気がするよ。


③マイクロソフト、「Bingチャット」を「Copilot」にリブランド【CNET Japan】
https://japan.cnet.com/article/35211575/

おじさんから一言:名前が変わったようなので覚えておきましょう。

【ITニュース】2023年11月15日の気になる話題

本日は、ロマンス詐欺、セキュリティに特化したMicrosoftの生成AIサービス、Excel標準のデータ分析機能の話を取り上げます。

data analytics
「Data analytics」の呪文によりLeonardo.aiで生成した画像。

①「だまされてもいい…」出会いはSNS 拡大するロマンス詐欺の被害者心理【産経新聞】
https://www.sankei.com/article/20231115-OVCXG2G33RIMLDQIE52STE7FXA/

おじさんから一言:引っかかってしまうと根が深いロマンス詐欺。人情に付け込む手口では周囲の人の手助けが重要になってくると思います。万が一近くに引っかかっている人がいたら、なんとか救いの手を差し伸べてあげてください。


②Microsoft、Security Copilotの成果を報告 基本タスクに掛かる時間を大幅削減【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2311/13/news029.html

おじさんから一言:CopilotはMicrosoftの汎用AIの名称ですが、Security CopilotというとSOCで使うようなセキュリティサービスと連携したAIだそうです。Microsoftのサービスを多用されている会社さんであれば導入を検討してみては?


③365のExcelに用意された「データ分析」機能、専門知識がなくてもグラフを自動作成【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/01787/110600112/

おじさんから一言:いつの間にこんな便利機能が…?!

【ITニュース】2023年11月9日の気になる話題

本日は、セキュリティ部隊とIT部隊の分断、Windows11 ペイントアプリの新機能、京都大学のプログラミング教育の話を取り上げます。

Transform
「Transform」の呪文によりLeonardo.aiで生成した画像。

①サイバーセキュリティ/ITチームの分断にどう対処するか–テナブル調査【ZDNET】
https://japan.zdnet.com/article/35211291/

おじさんから一言:ダウンタイムを意識するのはCIAのA(可用性)でありセキュリティ要件の1つ。歩み寄れるはずなんですけどね…。もう少しタテ割りでなく対応できれば良いのですが。


②Windows 11がAIで進化、標準アプリで背景の自動認識・ぼかし・切り抜きが可能に【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/02620/110700009/

おじさんから一言:標準機能が拡充されると余計なアプリをインストールしなくて済むのでありがたいですね。


③「京大生でもx=x+1が分からない」、喜多教授が明かすPython教育の実態【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/02629/110200002/

おじさんから一言:京大生でなくともPythonの教科書をダウンロードできるようですので、Pythonの勉強をしようと思っている方はこちらも試してみては?

教科書はこれかな?
Kyoto University Research Information Repository > 685 国際高等教育院 > 教材 > プログラミング演習 Python 2023
https://repository.kulib.kyoto-u.ac.jp/dspace/handle/2433/285599

【ITニュース】2023年10月24日の気になる話題

本日は、Google Chromeの新しいセキュリティ機能、CISAがTwitterに投稿できなくなった話、楽天モバイルがプラチナバンドを獲得した話を取り上げます。


①「Chrome」、IPアドレス秘匿化機能のテストを開始【CNET Japan】
https://japan.cnet.com/article/35210620/

おじさんから一言:Torほどではないが、誰が接続してきているのか分かりにくくするということですね。ログ分析にも影響が出てきそうなので、仕様がどこに落ち着くのかは注視しておきたいところです。


②CISA がソーシャルメディアとの連携を裁判所から禁じられる【ScanNetSecurity】
https://scan.netsecurity.ne.jp/article/2023/10/24/50138.html

おじさんから一言:脆弱性情報の収集ではお世話になっているCISA。CISAからTwitterやFacebookに投稿しちゃダメよってことなのか。本家サイトを見に行っている場合は影響ないでしょうが、Twitterの投稿をトリガーに対応していた人は業務フロー見直さないとですね。…といってもまだ現時点ではTwitterの投稿は続いているみたい。


③楽天モバイルが700MHz帯のプラチナバンド獲得、24年中にもサービス提供へ【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/16153/

おじさんから一言:三木谷社長の言葉通り進んでいますね。楽天モバイルは完全仮想化クラウドネイティブモバイルネットワークとのことで、ハードウェアの入れ替えなしにソフトウェアを切り替えられるようです。1年程度でソフトウェアを用意してサービスリリースを目指しているということなのだと思いますが、サービスとしても技術面でも興味深い楽天モバイルの取り組みには今後も期待しています。

【ITニュース】2023年10月15日の気になる話題

本日は、ダークウェブ取引の現状やサイバー保険の話を取り上げます。


認証情報がダークWebで爆売れ “ドーナツ1ダース分”払えばクラウドに侵入可能【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/15/news010.html

おじさんから一言:流出したクラウドサービスのログイン情報が大安売り! みなさんは買っちゃダメですよ? Microsoft Outlookクラウドが最も狙われているということですので、お使いの方は何か不審な点を感じたら放置せず、パスワードを変更したり、覚えのない転送設定がされていないか確認したり、必要なアクションを起こすようにしてください。


ダークWebで売買される不正プログラム 3分の1はMicrosoft製品に関連【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/15/news009.html

おじさんから一言:Microsoft、Adobe、Fortinet、Oracle、Veeam、VMwareの製品の脆弱性を悪用する不正プログラムが取引されているとのこと。特にIPAで定期的に注意喚起が出されるMicrosoft、Adobe、Oracle製品の利用者は多いですが、それゆえ攻撃者にとってオイシイターゲットでもあります。アップデートを放置せず、すぐにアップデートできなかったとしても、少なくともいつまでにはアップデートすると計画を立てる習慣付けをお願いします。


③第2回サイバー保険は、企業をどの程度守ってくれるのか?【ZDNET】
https://japan.zdnet.com/article/35209436/

おじさんから一言:サイバー保険は有事の際に財政面では助けになるかもしれませんが、サイバー攻撃の本質的な対策にはなりません。できるところからコツコツと、サイバーセキュリティ対策を進めていくしかないですね。

【ITニュース】2023年10月12日の気になる話題

本日は、顔認証についての抵抗感やサポート詐欺の手口、Googleのセキュリティプログラムに関する話を取り上げます。


①顔認証「抵抗ない」半数越える【ScanNetSecurity】
https://scan.netsecurity.ne.jp/article/2023/10/03/50020.html

おじさんから一言:これを多いと見るか、少ないと見るかですね。今後はパスワードレス認証にも関わってくることを考えると、もう少し増えてもらわないと組織で導入するには厳しいかも知れません。

一方で、安易に抵抗感がなくなるのも考えものです。本人が所持しているデバイスからのみ顔認証や指紋認証などの生体認証を許可するようにするなど、なるべくリスクを最小化することが大事です。もし、何でもかんでも生体認証でOKとしていたら、知らぬ間に怪しげなところへ生体認証情報が流出して悪用される可能性も出てくるでしょう。抵抗感も適度に維持しつつ、利便性の向上を図っていきたいですね。


②広告からサポート詐欺サイトが表示、その手口を分析【Digital Arts】
https://www.daj.jp/security_reports/34/

おじさんから一言:サポート詐欺についての概要や対処方法はIPAさんの安心相談窓口だよりの記事が詳しいですが、Digital Artsさんの記事では仕組み寄りの話をご紹介いただいていて大変興味深かったです。

サポート詐欺の手口ではWindowsのセキュリティ検知になりすましたものが大半を占めますので、Macをお使いの方に表示しても刺さらないですよね。そのあたりを考慮して、Windowsユーザの場合にしか詐欺の画面を表示しないようにして無駄玉を撃たないようにしている様子が見えてきたりと、攻撃者のみなさんも最適化を進めているようです。


③グーグル、即戦力人材育成に向けて日本語のセキュリティプログラムを提供【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/12/news054.html

おじさんから一言:Google先生、ステキ!✨✨✨ 日本リスキリングコンソーシアムに新規で登録した先着2万人は無料で受講できるとのことですので、皆様も是非ご登録を検討いただければと思います。

mixiはじめました

最近SNS界隈がカオスなので、国産SNSにも居場所を確保しておこうかと今さらながらmixiにアカウント作成しました。以下のコミュニティはログインしなくても覗けるようですので、ぜひ冷やかしに来ていただければ幸いです。

KIHAハッキング研究所のコミュニティ
https://mixi.jp/view_community.pl?id=6380220

今のところ、浦渡さんと岩田の2人で運営しています。更新頻度はあまり高くないですが、ユルい雰囲気でやっていければなと考えています。

トピックではITニュースを取り上げていますが、こちらのブログで取り上げているものの中から一般向けのニュースを選んで投稿しています。ブログでは専門的な内容が多いと思いますので、専門家以外でもとっつきやすいニュースを選別して話題に上げていけると差別化できるかなと考えている次第です。まずはご紹介まで。

【ITニュース】2023年10月2日の気になる話題

本日は、決済アプリで返金すると言いつつ送金させようとする新手の詐欺や、電話番号でメッセージをやり取りできるSMS、デジタル庁に関する話を取り上げます。


①ショッピングの代金、「○○ペイで返金します」という新手の詐欺に、国民生活センターが注意喚起【INTERNET Watch】https://internet.watch.impress.co.jp/docs/news/1535546.html

おじさんから一言:返金すると言うから手続きを進めていたら、気付いたらこちらが支払っていた!?というのは既出の手口だと思いますが、決済アプリを使っての手法は新しいということですかね。処理に失敗したからと繰り返し決済を促すところはサポート詐欺の手口でも見覚えがあります。どうぞご注意ください。


「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/02/news039.html

おじさんから一言:RCSを実装しているアプリってあるのかな?と調べてみると、実はすでに使ってますね。+メッセージやRakuten Linkでメッセージを送っていれば、それはSMSではなくRCSらしい…。知らずに使っていたよ。端末標準のメッセージアプリよりも、こういったアプリを使った方が良い理由はコストだけではなかったようです。

RCSとは?SMSとの違いや利用できる国内のサービスも解説【Accrete】
https://www.accrete-inc.com/column/20220527.html


③デジタル庁の失策に「全社一丸」の欠如、ダメな会社のDXプロジェクトと酷似する【日経XTech】
https://xtech.nikkei.com/atcl/nxt/column/18/01111/092800046/?n_cid=nbpnxt_twbn

おじさんから一言:あれぇ、おかしいな…。デジタル庁がDXの立場の組織だと思ってたけど、情シス側だったかぁ😩
国民のリテラシーについても言及いただいていますが、これも重要なことだと思います。デジタル庁だけに責任をなすりつけて終わりにするのではなく、ひとりひとりが何か改善できることはないかと問題意識を持っていかないと、日本のITはいつになっても残念なままです。皆様におかれましては、一緒になって社会基盤を作っていくのだという気概を持って、日常風景にリンクさせる思考を養っていただけますと幸いです。…抽象的で何をすれば良いのか分からない?

職場が風通しの良い雰囲気になるよう日頃からコミュニケーション不足にならないようにすること。日々の業務で改善できる所があれば積極的に改善提案をすること。提案された側は無下にせず、気軽に試してみるよう促すこと。自分さえ良ければいいという思考を捨て、全体としてどういう在り方が望ましいのか考える習慣をつけること。目先のことに目を奪われて戦術的な対応をするのではなく、長い目で見て良い方向になるように戦略的な視野を持って対応をすること。

これらはITに限った話ではないはずです。どんな仕事でも言えることだと思います。実現できれば、巡り巡って様々なことが良い方向に運んでいくはず。身近なところから、できるところから、一つずつやってみてください。

【ITニュース】2023年9月27日の気になる話題

本日は、パスワードレス認証のパスキーやCiscoのSplunk買収に関する話を取り上げます。


①1Passwordがパスキー対応 ChromeなどのWebブラウザとiOSで提供【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2309/24/news019.html

おじさんから一言:パスワードレス認証について昨年末頃にFIDO2の話題が盛り上がっていましたが、最近は「パスキー」と呼ぶのが一般的なのかな? いずれにせよパスワードを使わず、別の方法で認証する仕組みになります。未来が来てる感じしますね!

最近もパスワードの使い回しをしている人が尋常じゃないほどいる!という記事も出ていましたが、パスワードで認証するのがもう限界なのは間違いないので早く普及してほしいです。


②CiscoによるSplunk買収、背景にあるもの【@IT】
https://atmarkit.itmedia.co.jp/ait/articles/2309/27/news095.html

おじさんから一言:Ciscoには生成AIを扱っているイメージがないので、この機会に大量データの知見のあるSplunkを抱えて勝負に出ようということなのかな? 後発組として果たして食い込めるのや否や。

Splunkは当研究所でも使っているので、便利になる分には大歓迎です! 間違っても無料枠なしにするとかは止めてね?

【ITニュース】2023年9月20日の気になる話題

本日は、研究段階のパスワードクラック手法や詐欺メールで悪用されたドメインに関する話を取り上げます。


①スマホからWi-Fiで送信されたパスワードを盗聴、暗号解読不要の恐るべき手法【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00676/091500149/

おじさんから一言:キー配置が明確な数字の入力であればかなりの精度で盗聴できるということのようですが、日本語のフリック入力だったり隣接キーとの距離が近いQWERTY配列でも行けるのかは気になるところですね。さすがに数字のみのパスワードを使っている人なんていないとは思いますが、英大文字・小文字・数字・記号を混在させ、桁数を増やすことはこの手法の対策としても有効そうですね。また、パスワードマネージャーを使っていれば、そもそもパスワードを手入力しないので対策になると思います。


②2023年上半期フィッシングサイト ドメイン集計【Digital Arts】
https://www.daj.jp/security_reports/33/

おじさんから一言:昨年よく見たicuドメインは、たしかに最近見なくなりましたね。値上がりしたのかな? それとも管理が厳しくなった? com, top, co, shopあたりは引き続き悪用されているようなので気をつけましょう。cn(Chinaの国ドメイン) や ru(Russiaの国ドメイン) は基本的にダウトでよろしいかと。独自ドメイントップ20はよく悪用されてしまう正規サービスということだと思いますが、安易に通信ブロックすると利便性を損なう可能性がありますので、組織内で意識合わせしてからブロックした方が良いと思います。

工場のセキュリティ(OTとかICS)に関する最近の話題

ちょうど4年前ぐらいに米国ではOTセキュリティに火が付き始めていましたが、日本でもそろそろ盛り上がり始めているようです。最近の記事をまとめてみました。


①標準から学ぶICSセキュリティ【JPCERT/CC】
https://www.jpcert.or.jp/ics/information07.html

②スマート工場化でのシステムセキュリティ対策事例 調査報告書【IPA】
https://www.ipa.go.jp/security/controlsystem/securityreport-smartfactory-2023.html

③産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴【Internet Watch】
https://internet.watch.impress.co.jp/docs/column/security/1528348.html

④OTセキュリティリスク可視化サービス OsecT、リニューアルしました【NTTコミュニケーションズ 開発者ブログ】
https://engineers.ntt.com/entry/2023/08/31/100633


【関連用語】

  • OT:Operational Technology(社会インフラのハードウェアを制御・運用する技術)
  • ICS:Industrial Control System(産業用制御システム)

【ITニュース】2023年9月4日の気になる話題

本日は、パスワードの使い回しの実態やガバメントクラウドの選考基準緩和、乗っ取られた正規サイトに関する話を取り上げます。


①パスワードの利用実態調査2023、8割以上が使い回し【マイナビTECH+】
https://news.mynavi.jp/techplus/article/20230901-2762626/

おじさんから一言:6種類以上を良しとしても、5種類以下のパスワードの使い回しが7割以上ですか…。 せめてどこのサイトでどのパスワードを使っているかは管理しておいてくださいね。事故の際にリカバリできるよう。


②デジタル庁がガバメントクラウドの選考基準を一部緩和へ、国産ベンダー参入に光明【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/15854/

おじさんから一言:安全保障上、正しい方向であろうと思います。国産ベンダーには「なんちゃってクラウド」から脱却して頑張ってほしいところですが、どこが一番可能性高いんでしょうね?? 以下のあたりが候補になりそうだけど、果たして食い込めるのや否や。

昨年6月の記事でも大事なことを伝えられていますね。
「今さら国産クラウドの育成」、自民党と経産省は何を考えているのか【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00166/053000103/


③ハッキングされたWebサイトを見破る方法【kasperskyブログ】
https://blog.kaspersky.co.jp/how-to-spot-phishing-on-a-hacked-wordpress-website/34535/

おじさんから一言:最近の詐欺メールに登場するURLは、あからさまに悪性と判断がつかないようなものも増えてきています。こちらの記事のように正規サイトが乗っ取られて悪用されているケースも多々ありますのでご注意ください。

【ITニュース】2023年8月29日の気になる話題

本日は、AIが生成したであろうフィッシングメールに引っかかってしまった話、ダークウェブの閲覧で使われるTorのサイバーセキュリティに関する話を取り上げます。


①セキュリティ専門家もだまされかけた、巧妙すぎるAIフィッシング詐欺の顛末【ZDNET】
https://japan.zdnet.com/article/35208153/

おじさんから一言:恥を忍んでこうして記事にしていただくことはありがたいことだと思います。「私は大丈夫だと考えている、あなた!」そう、あなたです。明日は我が身と思って今一度警戒いただくよう、よろしくお願いします。


②匿名ネットワークTorはどのようにDDoS攻撃を防ぐ? 鍵を握る「PoW」とは【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/29/news074.html

おじさんから一言:Torもまたサイバー攻撃の対象になっていて、PoWという防御機構があるようなのですが、ブロックチェーン関連の考え方みたいですね。Torもブロックチェーンも中央集権ではなく端末同士がやり取りする(アドホックな)思想なので同じように適用できるのか。興味深い。

【ITニュース】2023年8月28日の気になる話題

最近の気になった情報を取り上げて、余裕があればコメントします。


①インターネットとトラスト ~AI時代に必要なインフラの再考~ クロサカタツヤ(株式会社企)【JPNIC】

現状でPCよりもスマホの方が本人確認には有効。
→スマホのOS握ってるのって、ほぼGoogleとApple。
→かつてのような自由さを取り戻したい。
→これまで放置してきた課題に取り組もう!

おじさんから一言:ハッカー精神を感じる内容で大変感銘を受けました。それにしてもPCよりもスマホの方がサイバー攻撃の対象足り得る時代に入って来ていますね。PCのセキュリティ対策はそれなりにやってきたけど、スマホはほとんど対策できていないケースも多いのではないでしょうか。これまでとは考え方を改めて対策していく必要がありそうです。


②SIerの技術者は「洗脳」されているかもな、滅びの道を行く前に考えたほうがよいぞ【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00148/082200298/

おじさんから一言:なかなか言いづらいことを相変わらずの調子で語られていて痛快ですね。私は20代のうちに転職した元SIer SEですが、仰る通りだと思います。


③攻撃者は何曜日にランサムウェアを仕掛けるのか? 2023年上半期Sophosレポートが公開【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/28/news052.html

おじさんから一言:休日前(金曜日の夜とか)が最も狙われやすいとのこと。じゃあと言って、戸締まりに気をつけましょう!のレベルでは済まないのが悩ましいところですね…。日頃からサイバーセキュリティ対策をできるところからコツコツ積み重ねていくしかないです。

メッセージアプリならLINE…じゃなくてSignalの方がいいと思うんだけど??

メッセージアプリ比較 強固にプライバシーを守るには?【kasperskyブログ】
https://blog.kaspersky.co.jp/what-makes-a-messenger-secure/34400/

Signal優秀なんだけど、全然話題に上がらないのが不思議。電話番号見えるのってそんなに問題かな…。家族とか古くからの友達なら特に気にしないと思うんだけど。

Telegramは話題に上がるけど日本語対応していないので積極的におすすめしようと思わないのよね。まあ、サイバー攻撃者のみなさんがよく使っているので情報セキュリティ関連の情報収集としては重宝するのだけど。万人向けではないかな。

米国諜報機関からのサイバー攻撃に関するレビュー(China目線)

なかなか興味深い資料が出ていますね。英語で記載されたレポートになっています。

CCIA:Review of Cyberattacks from US Intelligence Agencies(米国情報機関によるサイバー攻撃のレビュー)
http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20230411/20230411080719_9921.pdf

▼紹介記事
CHINADAILY:CCIA report exposes malicious behavior and threat of US cyber hegemony(CCIAの報告書が悪意のある行為と米国のサイバー覇権の脅威を暴露)
https://www.chinadaily.com.cn/a/202304/11/WS6434fe4fa31057c47ebb97bd.html


【参考】英語のPDFファイルを日本語化する手順

HTML化してブラウザの機能で翻訳すると、比較的自然な日本語で読めると思われ。
①以下のようなツールを用いて、PDFをWordに変換。
 https://www.ilovepdf.com/ja/pdf_to_word
②①のWordを開いて、HTML形式で保存。
③Google Chromeで②のHTMLを開いて、[右クリック] – [日本語に翻訳] を選択して日本語化。

【メンテナンス】サイトの分離を行いました

最近なーんか、よくサイトが落ちるんだよなー(思い当たるところはあるのですが)。ということで、研究所サイトからブログ部分を分離しました。

かつて2016年のサイト統廃合で合体した経緯があるものの、作りの違うものが同居しているのはメンテナンスの面でもセキュリティの面でもイマイチなので、改めて分離することにしました。

各サイトは以下になります。
・研究所サイト  :https://ldlus.org/
・これまでのブログ:https://ldlus.org/blog
・これからのブログ:https://blog.ldlus.org/

これまで1つのインスタンスの中でApacheとMySQLを同居させていたのですが、MySQLの負荷がどうにも大きい。1時間に1回MySQLを再起動するようcron設定してみたりもしましたが、まあ、付け焼き刃ですしカッコ悪いですからね…。抜本的に見直すことにしました。

最近のWebサーバ事情としてはApacheよりNginxの方が主流のようなので、新しい環境ではNginxを採用したり。プラットフォームとして某クラウドを使っていますが、同一インスタンスでWebとDBを実装するのではなく、別途RDBのコンポーネントを試してみたりと、ちょっとずつ新しいこともやってます。どのぐらい課金されるかは最初の無料期間の間に検証していこうかと。
→(後日追記)月当たり¥1,300前後の課金になりました。このぐらいなら良いかな。

こうして記事書いて動作確認しているだけでも、レスポンスが早くなっているのが実感できますね。

【新機能リリース】国境付近の天気

当研究所サイトの以下ページで国境付近5地点の天気予報を確認できるページをリリースしました。

国境付近の天気 | LdLuS
https://ldlus.org/weather.php

これまで動画配信活動で扱ってきた「お昼の声出し活動」や「情報研究室の日報」では幾度ごとにお伝えして参りましたが、日本国内の天気予報サービスでは択捉島を始め、日本の領土であるはずの場所で天気予報ができない現実があります。

天気予報のAPIにはそのような国境の事情がなく、淡々と緯度経度に応じて天気予報を確認できてしまうため、そのあたりのメッセージ性が薄れてしまうところは気にしているところでありますが、これはこれで領土を主張するという意味で別の角度からメッセージ性を持たせることができるのかなと考えています。

これを見たところで日々の生活には天気予報を活かせないとは思いますが、上記のページで扱う5地点が日本の領土であることを改めてご認識いただき、日本人ひとりひとりが問題意識を持っていただく上での一助となりましたら幸いです。

2022年11月 パッチチューズデー アップデート情報

11/9(水) 周辺で公開されたアップデート情報のまとめになります。

※今回から動画配信は無しにします。試行錯誤してみたものの、やっぱり一般向けでないし、一方で専門家に向けては不足感がありますので。脆弱性の話は大事なのですが、まだまだデファクト・スタンダードと呼べるものが定まっておらず振り回されてばかりの状況。皆様に馴染みのあるものになるには、もう少し年月が必要なのかなぁと思う今日この頃でございます。


主な情報源


パッチチューズデー周辺のアップデート情報

Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
 →今回分:https://www.ipa.go.jp/security/ciadr/vul/20221109-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
 →今回分:https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/
・SecurityNext:https://www.security-next.com/141292

【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

VMware Workspace ONE Assist:
https://www.security-next.com/141251

PHP:
https://www.security-next.com/141222

XKCP SHA-3(PHPやPythonに影響):
https://www.security-next.com/141201

Apache Commons BCEL:
https://www.security-next.com/141262

OpenSSL:
https://www.ipa.go.jp/security/ciadr/vul/alert20221102.html
https://www.jpcert.or.jp/at/2022/at220030.html

JVN:
https://jvn.jp/report/index.html


これまでの振り返り

2022年10月 パッチチューズデー配信

10/12(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/OaKBmDOiHdU
ニコニコ生放送:https://live.nicovideo.jp/watch/lv338835353
OPENREC.tv:https://www.openrec.tv/live/12rokk39x8n
Twitch:https://www.twitch.tv/kiha_hacking_laboratory


主な情報源


パッチチューズデー周辺のアップデート情報

Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
 →今回分:https://www.ipa.go.jp/security/ciadr/vul/20221012-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
 →今回分:https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/
・SecurityNext:
 https://www.security-next.com/140456
 https://www.security-next.com/140462

【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
・本家:https://helpx.adobe.com/security/security-bulletin.html
・SecurityNext:https://www.security-next.com/140459
・IPA:https://www.ipa.go.jp/security/ciadr/vul/20221012-adobereader.html

Apple:
・本家:https://support.apple.com/ja-jp/HT201222
・SecurityNext:https://www.security-next.com/140469

Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Fortinet:
・本家:https://www.fortiguard.com/psirt/FG-IR-22-377
・JPCERT/CC:https://www.jpcert.or.jp/at/2022/at220025.html
・SecurityNext:https://www.security-next.com/140430

bingo!CMS:
・本家:https://www.bingo-cms.jp/information/20221011.html
・JPCERT/CC:https://www.jpcert.or.jp/at/2022/at220026.html
・SecurityNext:https://www.security-next.com/140439

JVN:
https://jvn.jp/report/index.html


先月のパッチチューズデーまでの振り返り


クレジット