システム」カテゴリーアーカイブ

システム構築やプログラミングに関わる内容です。
セキュリティに関する情報も紹介します。

【セキュリティ】オヤジのきまぐれニュース – 2017/01/27

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


フィッシング対策協議会、サイト改ざんについて中間報告 – 原因特定できず

http://www.security-next.com/077789
あ、スシコンやられちゃったんだ。対応として、こういう時はDNSを変更するものなのか。ウイルス感染した時に、とりあえずLANケーブルを抜くのと同じか。


不正送金マルウェアが16.8倍と急増 – 侵入経路の大半が「メール」

http://www.security-next.com/077832
元々メールが多いんだろうと思っていたけど、ダウンロードの方が多かったのか。

【セキュリティ】オヤジのきまぐれニュース – 2017/01/11

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


[セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

http://scan.netsecurity.ne.jp/article/2017/01/11/39331.html
特にITに強くない人に説明する際、こういう文書を活用できればいいんですが、いつも存在を忘れているんですよね…。ブログの共通ヘッダーとかにリンク張ってればいいのか。よし、そうしよう。

▼秘密情報の保護ハンドブック
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/hbtebiki.pdf

▼ネットワークビギナーのための情報セキュリティハンドブック Ver.2.02
http://www.nisc.go.jp/security-site/files/handbook-all.pdf


アップルのPPTP終了が製品/サービスに影響

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/122000744/?ST=security&itp_list_theme
なかなか思い切ったことしますね。まあ、社内システムにMacを繋いでいる会社がどれだけあるかと言われると、こと日本企業に関してはインパクトがあまりないような気もします。
↓実際にRC4の暗号を破るには…
短時間でcookie解読、RC4暗号通信を破る新手法
http://www.itmedia.co.jp/enterprise/articles/1507/17/news058.html


2016年個人と法人の三大脅威:日本におけるサイバー脅迫元年

http://blog.trendmicro.co.jp/archives/14229
ランサムウェアは堂々の一位ですね。情報漏洩については、ここ数ヶ月クレジットカード情報の流出が毎週ぐらい出ていたように思います。本職のIT企業すらやられ、おかげさまで私も被害者になりました。他人事と思わず、家の施錠をするように、ネットのセキュリティにも気を配るようにしましょう。

【セキュリティ】オヤジのきまぐれニュース – 2017/01/06

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「セキュリティAI」、ITシステムをAIが守る

http://itpro.nikkeibp.co.jp/atcl/column/16/120900297/121500002/?ST=security&itp_list_theme
「マルウエアに感染しやすい行動をしているユーザーを監視して、感染を起こす前に対策を講じる」って、なかなかですね。AIに怒られる日も近いのかw。システムやってる立場だと特に怒られそうだな。「いや、いま作業中だからフォールスポジティブなの!」ってAIと会話したりしてね。


セキュリティ甘い「MongoDB」狙ったランサム攻撃が発生中

http://www.security-next.com/077192
愚か者すぎるでしょう…、外部公開しておきながら認証かけてないとか。データがなくなったら、システムは痴呆症のおじいちゃんと化してしまいますので、ちゃんと鍵かけましょうね。
しかし、MongoDBに限った話ではないにせよ、7割ってすごいな。デフォルト設定のままで使えちゃうのが災いしてるってところか?
あと、MongoDBは6万サーバか…、って多いのか少ないのか分かんない。他のDBMSの数ってどう調べればいいんだろう。うーん、お手上げ。


サイバーソリューションズ、ファイルを添付したまま無害化するメールサーバーを販売

http://itpro.nikkeibp.co.jp/atcl/news/17/010600026/?ST=security&itp_list_theme
最新のメールセキュリティ。添付ファイルを映像化するっていうのは面白い発想。たしかに無害化できる。ディスクとかネットワークのリソースさんが息してないかもしれんけどw。
だが、穴発見。無害化できるファイル形式は「パスワードが付いていない圧縮ファイル」とのこと。今後はパスワード付きの圧縮ファイルを送りつけて、パスワードはこれだよっていうスパムメールが増えるんでしょうかね。


「脱BIND」、脆弱性多数の代表的DNSソフトから移行を

http://itpro.nikkeibp.co.jp/atcl/column/16/120900297/121600003/?ST=security&itp_list_theme
Adobe Flash Playerと同じく、お別れの時期が近づいているのでしょうかね。しかし、DNSの移行か…。このプロジェクトに関わるとハゲそうだな。関わる方は頑張ってください。


SHA-1証明書を用いたウェブサイト閲覧時の警告/エラーや表示についてフィッシング対策協議会が注意喚起

http://internet.watch.impress.co.jp/docs/news/1037904.html
いよいよSHA-1とはお別れですね。また、併せてSHA-2にしても厳しくなっていきそうな気がする。ちょいちょいウチのサーバもSSL LABSでチェックした方がいいな。

▼Qualys SSL Labs(サイトのセキュリティチェックサイト)
https://www.ssllabs.com/ssltest/


日本で空前のCSIRTブーム/IoT機器ベンダーは「緊張感」を~2016年のセキュリティを振り返る ほか

http://internet.watch.impress.co.jp/docs/column/security/1037746.html
いかに日本のサイバー環境が安全なのかが分かりますね。オリンピックに向けてどこまで地図が塗り替わるか、興味深いです

【セキュリティ】オヤジのきまぐれニュース – 2017/01/04

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


2016年3Qのクレジットカード不正被害は34.1億円 – 番号盗用が62.9%

http://www.security-next.com/077076
年間の被害額が「120億円を上回ることはほぼ確実」ということですが、先日試算したランサムウェアの市場規模が225億円でしたので、それに比べれば小さいことに驚愕です。月に一回でもクレジットカードの利用内容をチェックするようにしましょう。


5人に1人、個人情報漏洩が不安 – 前年度から大きく改善

http://www.security-next.com/077081
去年はマイナンバーが始まるタイミングだったから、みんな気にしてたんだろうな。減少したということは、マイナンバーで大きな事故が起こらなかった証拠なのでしょうね。


両手両足の感覚をVR体験にプラス–Cerevoが触感センサ付きVRシューズ&グローブ発表

http://japan.cnet.com/news/service/35094519/
おー、これはアツい! けど、10万円以上ですか、そうですか…。電池も大きな課題ですね。うまいことハマるゲームがあれば爆発的に売れてもおかしくないな。


介護施設で働く「Pepper」–血圧測定、個人データ管理ができるシステム開発の背景は

http://japan.cnet.com/sp/ai2017/35094027/
なかなか憎いセリフを吐きますなあw。メニュー3つですか。シンプルなのは大事だけど、これが普及していくかというとなんとも。客寄せパンダの域を出てない気がするな…。
↓Google先生のトレンドでは、Pepperくんイマイチ立ち上がってないな…
https://www.google.co.jp/trends/explore?q=Pepper%20%E3%83%AD%E3%83%9C%E3%83%83%E3%83%88

【セキュリティ】オヤジのきまぐれニュース – 2016/12/27

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ランサムウェアによる最大の標的国は日本

http://www.security-next.com/076950
意外だな、といっても4.4%だけど。あくまで検知だしね。被害の実態と一致しているかはなんとも言えないところがあります。


ソニー米国子会社が「ブリトニー死去」の偽ツイート、アカウント乗っ取りで

http://itpro.nikkeibp.co.jp/atcl/news/16/122703850/?ST=security&itp_list_theme
セキュリティ対策の甘さを指摘するって言ってるけど、所詮ツイッターのID/パスワードの攻撃でしょう。あんま面白くないな。さらに、内部関係者の犯行なんだったらもはや技術関係ないしw。


後ろに回るとキャラを背後から見られる、透明スクリーンへの両面投影ムービーがすごいと評判

http://internet.watch.impress.co.jp/docs/yajiuma/1037013.html
謎の技術すげえ。いずれモニタが取って代わられる入出力機器たり得るかどうか。ワクワクしますね。


カラーイラストが自由自在、人工知能を用いて線画に自動着色する技術がネットで話題に

http://internet.watch.impress.co.jp/docs/yajiuma/1037012.html
これは良い人工知能。お絵描きしたいけどできてない人なので、こういうの使うと線画さえ描ければそれなりのものができそうだな。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/26

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


予期せぬクリスマスプレゼント? 正規版Windows 10が約400円で購入可能になるも速攻終了

http://internet.watch.impress.co.jp/docs/yajiuma/1036790.html
こんなことあるのか。非合法なわけでもないような気がするけど、払い戻されちゃうものなのか…?


こんなところまで?ハッキング被害続出の韓国

http://itpro.nikkeibp.co.jp/atcl/column/14/549762/122100124/?ST=security&itp_list_theme
韓国のIT普及率を考えれば信じられない状況だな。よく今まで無事だったもんで…、いや、ファイヤウォールすら稼働していなかったんだったら、攻撃されていることに気付いていないだけか。休戦中とはいえ、仮にも戦時中の国の軍隊とは思えない。


2016年アクセスランキング発表! – [セキュリティ]「セキュリティ人材」は増えるのか?新しい試験や資格に関心集まる

http://itpro.nikkeibp.co.jp/atcl/column/16/120900296/121500003/?ST=security&itp_list_theme
ランキングは興味深いですね。セキュマネは技術者以外の関心事でもあるから、見る層が広がるよね。
支援士については今の方針では増えないよ。今いる専門家を別の現場に流動化させることが狙いだから。


Mozilla、「Firefox」のXP/Vistaサポートを来年終了へ

http://itpro.nikkeibp.co.jp/atcl/news/16/122603840/
おおう、ついにFirefoxも終わりか。とはいえ、さっさと見切りをつけたChromeに対して、Vistaのサポート終了後も面倒見てくれるというのはありがたいことで。というか、まだXPもサポートしてるんですねw。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/22

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「セゾンNetアンサー」の偽サイトが大量発生

http://www.security-next.com/076964
すごいな、こんなにドメイン取って。まあメインどころのトップレベルドメインではないから、安いか。カード情報を引っこ抜ければ余裕で採算合うよね。


MyJVN

http://jvndb.jvn.jp/apis/myjvn/index.html
MyJVNバージョンチェッカがパワーアップしたらしい。ちょいちょい使ってますが、重宝しています。Chromeのバージョンもチェックできるようになった模様。


アバスト、Androidのリソースを大量に消費する20のアプリを発表

http://itpro.nikkeibp.co.jp/atcl/news/16/122203828/?ST=security&itp_list_theme
Facebookは最近悪い噂が多いのでスマホからは削除したのですが、リソース面でも食ってるんですね。裏で何やってるんだか…。


横浜市のマイナンバーシステム障害、待機系のパスワード変更漏れが原因

http://itpro.nikkeibp.co.jp/atcl/news/16/122103821/?ST=security&itp_list_theme
待機系のせいで稼働系まで落ちるって、なんか本末転倒…。このシステムで何ができるのか分からないけど、今のタイミングでマイナンバーの交付手続きする人なんて僅少だろうし、ほとんど影響ないんじゃない?


年末年始の長期休暇に向けたセキュリティ対策を

http://internet.watch.impress.co.jp/docs/news/1036380.html
そうは言うけど、年末年始であると同時に月末月初だし、事務や営業やっている人だったらむしろ忙しい時期だろうよ。みんな言う事聞いてくれないやつだ。こういうときはホント、リモートでパッチ当てたりできる仕組みがあるとシステム部の人達は幸せになれるよね…。


家庭用ルータや IoT機器を「ゾンビ化」する攻撃、その影響を解説

http://blog.trendmicro.co.jp/archives/14185
ビットコインって発掘するものだったのね。もうちょいビットコインの仕組みを勉強した方がいいな…。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/21

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

http://scan.netsecurity.ne.jp/article/2016/12/21/39295.html
ただただ「すごい」の一言。尊敬します。私も本気出さなきゃ。


船舶をモチーフにしたデザイン照明「Siphon Grande」

http://japan.cnet.com/news/service/35094037/
素敵だけどきっと電気代が…。でも欲しいなあ。


経営者に向けた300ページのサイバーセキュリティ指南書、パロアルトが無償配布

http://internet.watch.impress.co.jp/docs/news/1036145.html
経営層向けにしては数値が少ない気が…。技術者にとっては薄っぺらい内容だし、使い所難しいかも。
↓ダウンロードはコチラ
https://get.info.paloaltonetworks.com/webApp/the-security-management-book-ja?CampaignId=70170000001Y3HNAA0&referer=http%3A%2F%2Finternet.watch.impress.co.jp%2Fdocs%2Fnews%2F1036145.html&utm_medium=press-release


2016年の主要なサイバーセキュリティ事例を振り返る

http://blog.trendmicro.co.jp/archives/14173
日常的になりすぎて気にしなくなりつつあるけど、Adobe Flash Playerの脆弱性はホント終息しないね。また、これによってHTML5の普及を後押ししているのは興味深いところがあります。
あと、MSパッチが多かったのはWindows10の影響が大きいだろうね。7月末に無償アップグレードの期限が来て、利用者も一気に増えただろうし。

【特集】2017年セキュリティ予測

年の瀬のセキュリティといえば、来年の予測ですよね!ということで特集です。


トレンドマイクロ:2017年 セキュリティ脅威予測

  1. ランサムウェアが高止まりで多様化
  2. IoT機器を乗っ取られて攻撃に悪用される
  3. ビジネスメール詐欺は引き続き増加
  4. ビジネスプロセス詐欺の標的が金融機関以外へ拡大
  5. AdobeやApple製品の脆弱性はもはやMicrosoft以上
  6. サイバープロパガンダが一般的に
  7. 2018年にEUが施行予定の一般データ保護規則(GDPR)への準備
  8. 最新セキュリティ技術を回避する攻撃の出現

2017 年以降のセキュリティ: シマンテックによる今後の予測

  1. 企業ネットワークが拡大し、境界線が不明確に
  2. ランサムウェアがクラウドを攻撃する
  3. AI/マシンラーニングには高度なビッグデータ機能が不可欠
  4. 「無法国家」が自らの手で犯罪行為に乗り出す
  5. ファイルが存在しないマルウェアが増える
  6. SSLを悪用したフィッシングサイトが増加する
  7. ドローンがスパイ活動や過激な攻撃に悪用される
  8. クラウド時代に伴う脅威の増加
  9. IoT デバイスの企業への浸透が進み、IoT への DDoS 攻撃が増加

インテル セキュリティ、2017年と今後4年間のサイバー脅威予測を発表
↓そういえばインテル=マカフィーか。こっちはPDFもあるよ。
McAfee Labs 2017年の脅威予測

  1. 2017年後半はランサムウェアの勢いが低下
  2. Windowsへの攻撃は減少、他のプラットフォームでは増加
  3. ハードウェア・ファームウェアへの攻撃が増加
  4. ドローンの乗っ取り
  5. モバイルへの攻撃は引き続き増加
  6. お家のIoT機器にバックドアが仕掛けられる
  7. 機械学習がソーシャルエンジニアリングを加速させる
  8. 偽の広告と「いいね」の売買
  9. 広告戦争がマルウェア配信を促進
  10. システムが勝手に収集している情報をハクティビストが暴露する
  11. 当局のサイバー犯罪の取締りが本格化
  12. 脅威インテリジェンスの共有が進む
  13. サイバー戦争における当局と業界の連携強化
  14. リアルとサイバーのセキュリティが相互に連携

これはなんだか面白くなってきたぞ。SFの世界がひとつ、またひとつと実現されていきますね。


Palo Alto:2017年日本のサイバーセキュリティ予測

  1. サイバー保険がより一般的に
  2. 中小企業や非重要インフラ部門にもサイバーセキュリティ対策強化に向けた圧力が高まる
  3. サイバー脅威インテリジェンスと分析の共有が企業間でより活発に
  4. 高齢化社会における災害救助での遠隔医療サービスのセキュリティ
  5. 大量のマイナンバー個人情報漏えいが発生

マイナンバー、不吉なこと言うなよってところですが、当然狙われる情報だけに否定はできないですよね。インシデント発生時にどこまでスムーズにレスポンスできるチームワークを見せてくれるのか、日本のCSIRTの動向に注目です。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/20

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


セキュリティコード含むクレカ情報流出の可能性 – 家具販売サイト

http://www.security-next.com/076794
カゴヤ・ジャパンもそうだったけど、自分とこのDBにクレカ情報持ってるところって少なくないんだな。決済代行サービスやってる会社に投げつけて、自分では持たないようにしないとダメだよ。


NTTドコモからマイナンバーカード対応Androidスマホが登場

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/121600736/?ST=security&itp_list_theme
さすがAndroidは小回りがきくなあ、ってなところですが、マイナンバーを日常的に使うようになるまでは使おうと思えないな…。証券口座作るのに1週間かかっても別にいいよ。微妙すぎる利便性に比べて、リスクの方がよっぽど気になってしまう。


ロシア、中国とのネット提携が進む。GFW技術の輸出も ほか~2016年11月

http://internet.watch.impress.co.jp/docs/column/m_china/1035905.html
赤いネットが金盾実装。見方を変えれば、ロシアと中国が脆弱性を共有したことになる。どちらかでほころびが見つかれば、そのほころびを突いた攻撃が両方で発生しうる。このことが今後どう影響するか…。


ランサム被害者の15%が支払に応じる – 5万円以上が3割超

http://www.security-next.com/076728
この題名不正確じゃないか? 10万円以上はほぼゼロだぞ。4割が1万円以下って方がニュースのような気がするし。こんなのでも生計成り立つのかねえ?
↓インターネット利用者数がこれなので…
http://www.soumu.go.jp/joho_tsusin/kids/internet/statistics/internet_02.html

試しに計算してみると、
(1億46万人 × 4.5% × 15.2%) × (\500×23.5% + \5,000×17.6% + \30,000×17.6% + \75,000×35.3% + \?×6.0%)
=687,147人 × (\32,753 + \?×6.0%)
=\22,505,762,466 + (\?×41,229人)

ということで、市場規模は225億円以上。日本だけでね。この金額はと言うと、単純にググって出てきたのが以下。ほう…、基地局向けってマニアックだなw。

▼携帯基地局向け部材市場、2015年度は225億円 – ケータイ Watch Watch
http://k-tai.watch.impress.co.jp/docs/column/mca/751143.html

他には200億円台だと、水素水とか男性肌ケアとか。微妙だけど、決して小さくもないぐらいの規模ですね。


「Dirty COW」にあらたな攻撃手法 – 直接メモリにコードを追加可能

http://www.security-next.com/076618
脱!なるほど分からん! ということで、もっと掘り下げてみましょう。
↓カーネルの脆弱性
https://rhn.redhat.com/errata/RHSA-2016-2124.html
REHL6や7のところには書かれてなくて、REHL5のところにしか記載がないけどこれで合ってるのかな? Google先生の通訳を交えてバグの原因を探ってみる。

  1. ジャーナルモード ‘ordered’を実行しているときに、カーネルクラッシュまたはファイルシステムの破損が発生する。
  2. カーネルクラッシュは、2つのジャーナル関数間の競合状態によるヌルポインタ逆参照によって引き起こされる。
  3. ファイルシステムの破損は、do_get_write_access()関数とバッファ書き込みの間の競合状態のために発生する。

⇒まず、ジャーナルモードってなんじゃい!ということで、ファイルシステムのお勉強から。

▼CentOS ext4ファイルシステム
http://www.unix-power.net/linux/ext4.html

書き込む本体データと、そのメタデータをどう記録するかの設定らしい。んで、デフォルトがorderedモード。それなりに処理が速くて、状況によって書き込みに失敗することがあるモードとのこと。その失敗するパターンをうまいこと悪用して、カネールクラッシュさせたりファイルシステムを壊したりしたよ、ってことか。

  1. ファイルのタイムスタンプ処理に問題があったため、一部のGFS2(Global File System 2)ファイルのタイムスタンプ値が正しくない状態になっていた。問題の処理は以下の2つ。
  2. GFS2ファイルにアクセスした実際の時刻よりも、前の時刻に終了した場合のatimeタイムスタンプに関する処理。
  3. GFS2ファイルが1つのノードから書き込まれ、別のノードから読み書きされたときに失われたmtimeおよびctimeタイムスタンプの更新に関する処理。

⇒通常ではありえない時刻の更新によって想定外の動きをしちゃいました、ってことか。

うーん、本題と結びついてないような気が…。メモリ関係ないじゃん。単にREHL5だけのバグなのかな。カーネル作ってる人たちのコミュニティとかに入れば、もっと具体的なことが見えてくるのかな?

【セキュリティ】オヤジのきまぐれニュース – 2016/12/15

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


Evernoteがプライバシーポリシーを変更へ–一部の社員がコンテンツを閲覧可能に

http://japan.cnet.com/news/service/35093750/
まあ、他所だって実態がどうかなんて分かったもんじゃないけど、明言されるとな…。そろそろOneNoteに移行するかな。


トレンドマイクロ、Wi-Fiの危険性と安全な運用方法を解説した「IoT時代を見据えたWi-Fiセキュリティガイド」公開

http://internet.watch.impress.co.jp/docs/news/1034912.html
公衆WiFiってまともに使えた試しがないので、セキュリティ以前の問題の方が気になるんだけど…。使い物にならなくてセキュリティガバガバじゃあ、何のために設置してんだか分からないな。
↓ダウンロードはコチラ
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=217


Google、IoT向けOS「Android Things」Developer Previewをリリース

http://internet.watch.impress.co.jp/docs/news/1035012.html
おもしろそう。「低性能なIoTデバイスで」か。Androidだとスペックを要求しすぎちゃうのかな。


今年最も「岐阜県」と一緒にググられるようになったワードは。――「2016年都道府県別Google検索ランキング」発表

http://internet.watch.impress.co.jp/docs/news/1034935.html
岐阜はそういうことか。広島もそういうことかw。東京が思いの外シンプル。これなんだ?っていうのが多くて面白いですね。


[セキュリティ ホットトピック] 未成年によるサイバー犯罪が多発、営利目的と違う動機に注目

http://scan.netsecurity.ne.jp/article/2016/12/09/39256.html
「チートツールを使う人を懲らしめようと思った」だなんて、なんて心強いんでしょう。クラッカーハンターじゃないですか。犯罪として片付けるのが果たして妥当なのかどうか…。ネゴってないからダメなだけなんだよね。今後こういう人たちがギルドを組んで、企業や国とは別の組織体として取引できるようになると、なんだか面白いことになるような気がしてしょうがない。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/12

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ランサムウェアやMiraiなど、セキュリティの最新動向をISPが解説

http://internet.watch.impress.co.jp/docs/news/1032281.html
具体的に説明してくれそうで面白そう。Miraiって水飲み場的な要素もあったのか。


法執行機関とトレンドマイクロの連携:安全なデジタルインフォメーション交換実現に向けて

http://blog.trendmicro.co.jp/archives/14126
アバランチがやられた…、プレート崩壊かな? あ、いや、FFⅦね。それはさておき、トレンドマイクロのビジョンは素敵ですね。


2017年の脅威予測-法人組織の事業継続を脅かす新たなサイバー攻撃が増加すると予測

http://blog.trendmicro.co.jp/archives/14147
ああ、もう1年経ったのか。昨年末に各社の脅威予測をまとめたのが、そんなに前じゃないように感じてしまう。まあ、オッサンだから仕方ないね。
↓去年のまとめはコチラ
https://ldlus.org/blog/?p=741


Linux 脆弱性「Dirty COW」を突く攻撃手法を新たに確認。更新プログラムは公開済み

http://blog.trendmicro.co.jp/archives/14155
「SELinux のポリシーによって攻撃可能な範囲は限定されているとはいえ」ね…。いい加減、SELinuxを使いこなせるようにならないと、いつまでもDisableにしてちゃダメだな。
↓COWはcopy-on-writeの略なのか
https://en.wikipedia.org/wiki/Dirty_COW

【セキュリティ】オヤジのきまぐれニュース – 2016/12/07

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


北朝鮮の独自OS「Red Star」はセキュリティ性能がウリなのにリンクを開かせるだけで簡単にハックできる

http://gigazine.net/news/20161207-red-star-os-vulnerability/
/usr/bin/とか出てる時点でどうせLinuxベースだし、ブラウザもFirefoxベースなんだったら、所詮Linuxディストリビューションの1つってだけじゃん。Fedoraで叩かれ、CentOSで安定化させ、RedHatを商用にする流れに比べれば、品質が低いのは明らか。
これだけ変化の激しい分野で外と交流できない技術者が、どれだけのものを作れるかと言えば限界を感じる。全然セキュアな要素ないね。
技術者の皆さん拉致されないようにね。きっと日本のブラック企業も真っ青なブラック具合だろうから。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/06

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「セキュリティ人材は引っぱりだこ」は本当か?

http://itpro.nikkeibp.co.jp/atcl/watcher/16/110700001/120200011/?ST=security&itp_list_theme
良い考察。納得感あります。経営層のセキュリティ意識が日本は低いと言っていますが、48%は高いと思います。アメリカの方がIT先進国なんだから意識が高いのは当然ですし、インシデントの発生率も日本とは比にならないでしょう。


レジなし、行列もなし–アマゾンがAI活用の新コンセプトストア「Amazon Go」を開店

http://japan.cnet.com/news/service/35093243/
そして万引きも撲滅される、のか? Amazonのことだから、また強引なことやりそうで素直に賞賛できないな。


ランサーズが品質向上委員会を設置–管理体制強化でガイドラインに適さない依頼は排除へ

http://japan.cnet.com/news/business/35093234/
なんだかクラウドソーシングもブラックな臭いがするなあ。


脆弱性はどう悪用されるのか、代表的な手口を完全図解

http://itpro.nikkeibp.co.jp/atcl/column/16/112800281/112800002/
具体的でわかりやすい。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/05

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


Google、うるう秒の1秒分を前後20時間のクロック変更で吸収

http://internet.watch.impress.co.jp/docs/news/1033101.html
じゃあGoogleのNTPサーバをNTPの同期先に設定しておけば、うるう秒対策になるのか。これはいいな。
↓ホスト名はここに書いてあるやつかな
https://developers.google.com/time/


PCを使ったプログラミングが子供の可能性を大きく広げる

http://pc.watch.impress.co.jp/topics/wdlc1611/02.html
子供ができたらこんな感じになるのかな…。子供がいると自分がやることの方向性も変わっていきそう。今は業務的なツール作ったり攻撃・防御とか固い方向だけど、子供も楽しめるようなGUIバリバリの方向にシフトしていきそうだな。


新しい「Mirai」、ルータを狙うポート7547への攻撃が示す今後の脅威

http://blog.trendmicro.co.jp/archives/14108
いまいちイメージ湧かないな。
↓これか。ホームルータですね。
http://gigazine.net/news/20161129-router-flaw-attack/
ISPがルータをリモートで管理…? そんなことやってんの?? うちのルータ1回ポートスキャンしといた方が良いな。

【セキュリティ】オヤジのきまぐれニュース – 2016/12/01

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。
※今回からタイトル変えました


IPA:ひろげよう情報モラル・セキュリティコンクール

http://www.ipa.go.jp/security/event/hyogo/
なかなか良いものがありますね。勉強会とかで使ってみようかな。


Androidマルウエア「Gooligan」、100万超のGoogleアカウントが被害に

http://itpro.nikkeibp.co.jp/atcl/news/16/120103574/?ST=security&itp_list_theme
私は Android 6 だから大丈夫そう。しかし、対策の記載がないのですが、Google任せか。挙動からして、いかにもアフィリエイトやってる人の犯行ですな。すぐに捕まりそうなもんだけど。
↓こっちはCheckPointの診断ページへのリンクあり
http://japan.cnet.com/news/service/35093009/


「Firefox」に脆弱性–「Tor Browser」ユーザーへの攻撃が発生

http://japan.cnet.com/news/service/35093021/
Tor BrowserってFirefoxベースだったのか。Torユーザへの攻撃ということは、FBIがISとか国際犯罪組織を追ってるのか、中国国家主導の国内向け粛清の動きか…。

【Sec/Tech News】2016/11/29

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


人間中心のAIめざす 「代替」より「能力拡張」 米マイクロソフトCEOに聞く

http://www.nikkei.com/article/DGXKZO10049350Z21C16A1FFB000/?dg=1
まずはWindowsがユーザの好みを学習して、レイアウトを変えたり旧バージョンのUIにしたりとかやったらいいんじゃない?


「セキュリティ対策にハッカーを使う」、その意味と効果は

http://itpro.nikkeibp.co.jp/atcl/column/16/112500275/112500003/?ST=security
これだけで生計立てることできるのかな? 多分ムリなんだろうな。不安定すぎるよね。週半分ぐらいはクラウドワークスとかでフリーランスの仕事しながら、もう半分でこういうのをやったり、とかなら回せるか。


ウイルス使いID盗んだ疑い 警視庁、高校生を逮捕

http://www.nikkei.com/article/DGXLASDG29H29_Z21C16A1CC0000/
おっ、この子はスクリプトキディじゃなくてそれなりのクラッカーだな。出所したらどこかから声がかかるかも?

【Sec/Tech News】2016/11/28

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


最高経営責任者を狙うビジネスメール詐欺「BEC」、米国・英国・カナダの医療機関が標的に

http://blog.trendmicro.co.jp/archives/14092
なぜ医療機関が狙われるのでしょうか。単にお金持ってそうだから? 戦争の一歩手前? 国レベルの攻撃? ここは読み解いておいたほうが良さそうですね。


ランサムウエアの身代金支払いに「違法性なし」

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112500716/?ST=security&itp_list_theme
こんなことまで気にしないといけないのか。じゃあ、相手が暴力団だと分かっている状態で身代金を払うと罪になるってこと? なかなか無い状況だろうけど、頭の片隅には置いとかないといけないな。


サイバー攻撃で陸自の内部情報が流出か、防衛省は全面否定

http://itpro.nikkeibp.co.jp/atcl/news/16/112803519/?ST=security&itp_list_theme
産経も…? こういう情報って、当事者が発信しない場合、どこから出てくるんだろうか。
↓この基盤のことか
https://ja.wikipedia.org/wiki/%E9%98%B2%E8%A1%9B%E6%83%85%E5%A0%B1%E9%80%9A%E4%BF%A1%E5%9F%BA%E7%9B%A4
へー、呉に副系があるんだ。外から攻撃可能なのって業務系システムでしょ。作戦系統のクローズ系を攻撃できると思えないけど…。
↓クローズ系というより半開き系だったらしい…
http://www.sankei.com/affairs/news/161128/afr1611280003-n1.html


不足するセキュリティエンジニアの育成に王道はあるか

http://itpro.nikkeibp.co.jp/atcl/column/16/112500275/112500002/?ST=security&itp_list_theme
仰るとおりですね。地道にやるしかないです。私自身、開発の経験が地盤となってセキュリティの仕事が成り立っています。システムがどんなふうに作られているのか分かっていないと、何が問題でどこまでやったらOKなのかを判断することはできないでしょう。


SNS上の画像で感染、新手口でランサムウエアが大規模拡散

http://itpro.nikkeibp.co.jp/atcl/news/16/112803518/?ST=security&itp_list_theme
SNSも分岐点に立たされている。某国との怪しげな動きが懸念されるFB。マルウェア拡散に歯止めをかけられない仕組み。生き残るのは誰か?
↓Facebook大丈夫かな…。
http://business.nikkeibp.co.jp/atcl/opinion/15/221102/111600106/?rt=nocnt

【Sec/Tech News】2016/11/24

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


五輪を狙うサイバー攻撃対策は情報共有とチーム作りが鍵

http://itpro.nikkeibp.co.jp/atcl/news/16/111803436/?ST=security&itp_list_theme
英語を話せるエンジニアがより重宝されそう。一方で、Google先生の翻訳がレベルアップしたこともあって、そのへんどうなっていくか全然読めないな。


JPRS トピックス&コラム – Bot経由でDNSサーバーを広く薄く攻撃~DNS水責め攻撃の概要と対策~

https://jprs.jp/related-info/guide/021.pdf
存在しているサブドメインを探そうとしているのかと思ったら、そうではなくて。存在しないドメインなのでキャッシュサーバから毎回親に問い合わせさせるところが狙いなのか。うーん、防ぎようないな…。


グーグル、ニューラル機械翻訳の仕組みをブログで解説

http://japan.cnet.com/news/service/35092631/
↓これか
https://research.googleblog.com/2016/11/zero-shot-translation-with-googles.html
今まで直接翻訳していなかった言語まで翻訳できるのはすごいな。日本語を一旦英語に翻訳して、英語から別言語に翻訳するみたいなことをやってるのかな。どこまでニュアンスが生きるか怪しいけど、多言語喋れるわけではないのでそこは確かめられないな…。


過少と過剰で揺れるセキュリティ対策、求められる「原価」の発想

http://itpro.nikkeibp.co.jp/atcl/column/14/531236/112100070/?ST=security&itp_list_theme
半分賛成、半分反対です。その原価をどうやって算出するのか深掘りしないと。また、セキュリティ事故が起こった時にどれ程の損失が発生するかの見積もりを出さないことには話が進みません。この程度の損失なら別にいいよ、というリスク受容という考え方もあります。見積もりがあればその金額の範疇で対策を検討するよう指示することもできます。例えば、ECの売上がいくらあるが、事故が世間に露見することで売上の80%がフイになったというような場合。この80%までが投資すべき金額です。

【Sec/Tech News】2016/11/21

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


消火ガス噴射音でHDDに障害、データセンターの「騒音リスク」明らかに

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/111700702/?ST=security&itp_list_theme
機器を壊さないための消火方法だったはずなのに、ナンテコッタ。ディスクだからこの問題が起こるので、SSDなら大丈夫なんだろうな。まあ、サーバの外部記憶装置がSSDに取って代わるのはいつになることやら、ってなところですが。アメリカは未だに水での消化が主流ってのは意外だな。


2016年10月から継続して確認される巧妙な日本語メールと頒布されるランサムウェアを解析

http://blog.trendmicro.co.jp/archives/14066
これ興味深いな。Defenderが起動してれば、しっかり仕事してくれそうだね。コンテンツは巧妙だけど、ツッコミどころも多いな。なんで個人のメールに総務省からメールが届くんだよ。ネットの世界でも、知らないおじさんについて行っちゃダメだよ、ってなところですかね。


トランプ氏勝利で批判高まるネットの虚偽ニュース–真実を決めるのは誰か

http://japan.cnet.com/news/commentary/35092442/
Facebookの見解は、システム屋の立場からすると同意できるものだ。FacebookはあくまでSNSの基盤であって、投稿される内容を検閲するのは、インターネットの良さを損なうものだ。インターネット黎明期から「ソースよろ」というフレーズを見かけるが、今後も変わらず信頼できるソースなのかを自ら見極めていかないといけない。

【Sec/Tech News】2016/11/18

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「メリットが見えない」、盛り上がり欠ける情報処理安全確保支援士

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/111600700/?ST=security&itp_list_theme
富士通の見解は興味深いですね。デメリットの方が目につくから推奨すらしない、と。
私はCISSPの取得を視野に入れていますが、こちらは業務経験の年数が条件であったり、海外でも通用する資格という特徴があります。引き合いに出されたら勝てないでしょうね。グローバル企業なら、なおのこと。
セキュリティ分野の人が足りないと言われているのに、一部の企業に業務を独占させていたら本末転倒だしね。はてさて、この資格はどこへ向かおうとしてるんでしょうか。

▼新しくなったGoogle翻訳で↑のコメントを英語訳してみた。
Fujitsu’s view is interesting, is not it? The disadvantage is more noticeable, so do not recommend it.
Although I am planning to acquire CISSP, this is a condition that the number of years of business experience is a condition, and it is characterized by the qualification which can pass even overseas. I will not win if you get in touch with me. If it is a global company, that is more.
Although it is said that people in the security field are insufficient, if some businesses have monopolized their work, it is totally overwhelmed. Okay, where will this qualification go?

なんだか翻訳レベルが上がりすぎて、訳がおかしいというより、元の自分の日本語がすいませんと思えてきた。おかげさまで日本語の方を手直し手直し…。文章校正ツールとしても使えたのかw。


パソナとIBM、サイバーセキュリティ人材の育成コンテンツ開発で協業

http://www.itmedia.co.jp/enterprise/articles/1611/18/news053.html
パソナってセキュリティどのぐらいやってるんだろう?
↓これか
https://www.pasonacyberlab.co.jp/
グループ会社立ち上げてるのか。イマイチ人数とか書いてないから規模感分からないけど、派遣ではなく請負とかサービスがメインみたいだな。

【Sec/Tech News】2016/11/17

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


テリロジー、イスラエル製ダークネットモニタリングサービスを開始

http://www.security-next.com/075807
イマイチ何をしてくれるサービスなのかよく分からんな。ダークネットのIP帯を巡回して、ポートが開いているところがあればクロールして脅威の度合いを判定する、みたいなことなのかな。んで、そこと社内で通信してたらアラート上げるようなことが、API使うとできるよ、と。
↓これか
http://www.terilogy.com/product/kela/index.html
やっぱTorが出てくるよね。ダークネット踏むこともあるのか。あとI2Pっていうのもあるのね。


IoTウイルス「Mirai」の攻撃が活発化か、TELNETを狙ったパケットが急増

http://itpro.nikkeibp.co.jp/atcl/news/16/111703414/?ST=security
IoTウイルスと呼ばれる由縁は何なんだろう。
↓これか
https://ja.wikipedia.org/wiki/Mirai_(%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2)
ネットに繋がる機器だったら、だいたいデフォルトのログインユーザ/パスワードが用意されているものだから、そのリストをもとにTELNETでアクセスを試みるってことか。
対策としてはTELNETの23ポートを閉じれるなら閉じること。デフォルトユーザを使わないこと。使うとしてもパスワードを変更すること、かな。


ヤフーの「超リアル」なサイバーセキュリティ演習に見た凄み

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/111300720/
これすごいな。サーバだけでなく操作PCまで標的にされてるとか、やりこみようが違う。加えて精神攻撃もあれば、チームプレーも要求される。これは総合力が身につくでしょうね。組織力強化にも大いに貢献すると思います。


NTT Comグループの新たな海底ケーブル敷設船「きずな」が進水

http://internet.watch.impress.co.jp/docs/news/1030333.html
海底ケーブルってどうやって設置しているのかと思ったら、それ用の船があるんですね。

【Sec/Tech News】2016/11/11

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


カゴヤに不正アクセス、過去の全ユーザー4万8685人分の個人情報が流出した可能性、カード情報2万809件を含む

http://internet.watch.impress.co.jp/docs/news/1029352.html
ぎゃー、ウチにも流出しちゃったかもメール来てる! クレカ再発行しなきゃ。KAGOYAは7月に契約したばっかりなのに、いいタイミングでやってくれるな。


Google Maps API無償版のポリシー変更、猶予期間が10月12日で終了、地図が突然表示されなくなる可能性も

http://internet.watch.impress.co.jp/docs/special/1029218.html
ポリシー変更という名の一方的な仕様変更。こういう情報全然キャッチできてないな…。Googleからメール来てるんだろうけど、無視フォルダだからな…。


予想外の「トランプ大統領誕生」に不安を覚えるシリコンバレー

http://internet.watch.impress.co.jp/docs/special/1029218.html
オバマ氏がシリコンバレーと蜜月だっただけで、クリントン氏でも維持されたかは怪しいと思うが…。記事書いてる人が単にトランプ氏を嫌ってるだけなんじゃ?


経団連のパソコンが外部と不正通信 – 詳細を調査中

http://www.security-next.com/075654
昨日の帰りに京葉線のニュースでこれ見ました。ワリと秘匿性の高い情報が流出してそうでヤバそうですね。


日本語メールでのランサムウェア拡散事例「マルウェアへの感染者に対する注意喚起」を偽装

http://blog.trendmicro.co.jp/archives/14009
なんか、手口がオレオレ詐欺っぽくなってきたな。普通に考えればそんなのダウンロードしねえだろって思うけど、人によってはやっちゃうんだろうなあ…。オレオレ詐欺と同じく根絶が非常に難しいタイプだな。

【Sec/Tech News】2016/11/10

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ChromeにおけるHTTPS使用状況、PCでの閲覧時間で3分の2を超える

http://internet.watch.impress.co.jp/docs/news/1029046.html
MacってiOSのこと? Androidを出すならiPhoneを分離してくれないと値を判断できないんだが…。しかし、いつのまにここまで増えたのか。SEOに有利だぞ!っていう、Google先生の影響力なのかな。


Google、ポリシー違反を繰り返すサイトを「再犯者」に分類

http://itpro.nikkeibp.co.jp/atcl/news/16/111003327/?ST=security&itp_list_theme
素晴らしい取り組み!…だけど、これはあくまでGoogleの話だから、他の検索エンジンでは実装されないのよね。もっと横断的にできないものなのか。

【Sec/Tech News】2016/11/09

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


人は危険と知っていてなぜパスワードを適切に設定しないのか?/ユーザーの「セキュリティ疲れ」をNISTが研究

http://internet.watch.impress.co.jp/docs/column/security/1028590.html
おもしろい。特にタイプB。システム作ってる側からすると、「いやいやいやそういう問題じゃないってぇ!」ってなところですが。ただ、言われてみると私もタイプBだなw。


中国でサイバーセキュリティ法案が可決、高まる懸念の声

http://itpro.nikkeibp.co.jp/atcl/news/16/110803289/
なちす中国。ふわっとさせておいて適用範囲を広げる作戦ですね。
↓もうちょい具体的な内容はこちら。
サイバーセキュリティ法案を公表
https://jcvisa.info/post-2299


2段階で情報をだまし取る「偽Amazon」に注意 – サインインしたように見せかけクレカ情報を追加要求

http://www.security-next.com/075515
いかにも翻訳だね。しかし、日本語がしっかりしてたら騙されてもおかしくないな。


the Forrester Wave Endpoint Security Report(Carbon Blackからリンクされてたやつ)

https://kloudrydermcaas.s3.amazonaws.com/Forrester/RES113145.pdf

リベラルアーツ -文系・理系制度の終焉-

日本にはガラパゴスな教育制度があります。社会人になってからもよく聞きますね。「俺は理系だから、云々」「私、文系だから四の五の」とかとか。これって、どうなんでしょうか? 最近ちょいちょい耳にするリベラルアーツという考え方を、今日は取り上げてみようと思います。

あれ、WikiPediaがアテにならないぞアラートが出てる…
https://ja.wikipedia.org/wiki/%E6%96%87%E7%B3%BB%E3%81%A8%E7%90%86%E7%B3%BB

うにゃ、しかも全然信憑性の感じられない記事しかググっても出てこない…。では、経験的に見聞きしたベースで書くしかないですね。

理系・文系に別れる制度としたのは、ある意味では選択と集中であり、事情として教える側が不足していた、という話を聞いたことがあります。明治以降の劇的な成長、戦後の高度経済成長を支える上では、とても効率的にその効力を発揮したと言えるでしょう。

ですが、ここへ来て状況は変わりつつあります。イケイケドンドンの時代はもはや過ぎ去り、縦割りの価値が薄れていっています。これからはロボットに仕事を奪われていきます。ロボットができない仕事を人間がやることになります。そして複雑な判断が求められる仕事が多くを占めることになっていくでしょう。クリエイティブな仕事、といえば聞こえは良いですが、ラクなものではありません。より広い視野で情報を集めて、今までにない組み合わせを提案していく仕事というのがそれです。私のような人間は楽しめますが、多くの人はそれほど望んでいない仕事のように思えます。少なくとも周囲のサラリーマンを見ている分にはね。

それに、より良い仕事をするためには文系・理系と制限せず、全教科横断して理解を深めていかなければなりません。言語力の低さは全ての能力の上限に影響します(母国語・外国語)。いくら熱を込めたところで論理的に数値で語らなければYesとは言ってもらえません(算数・数学・統計学)。ハードな仕事をするには栄養面や各種ケアも馬鹿にできません(理科・家庭科・体育)。世間知らずでは会話にならないし、モラルがなければ信用してもらえず、グローバルに仕事をするならアイデンティティを明確にしておかないと苦労します(社会科・倫理・道徳)。

また、大学全入時代と言われたのは既に10年以上前の話。教える側が足りない状況はとっくに解消しています。リソース面でも文系・理系制度はそろそろお役御免になってもいいんじゃないでしょうか。まあ、人はいてもナンボのモンかという話はあるでしょうが…。

んー、GHQが日本人の学力低下のためにやったとかって話もあったような気がするけど、この制度は明治からか…? 関係ないのか。

私がこの考え方を意識するようになったのは、他でもない、私の夢であるハッカーのせいです。プロフェッショナルであるはずのハッカーという存在は、なんともリベラルアーツにまみれた要件を提示しています。なにか楽器が弾けるようになりなさい。武道をやるべきだ。プログラム言語を何か書けるようにしなさい。母国語や英語を勉強すべきだ。大学時代に見つけた以下のサイトではそんなことが書かれているのです。

ハッカーになろう
http://cruel.org/freeware/hacker.html

実際、私は一通りやってきています。ビオラ弾きです(でした)し、人知れず武術をやっていたりします。PHP・JS・SQLはじめ色々書けますし、こうしてブログで文章を書くことで日本語の鍛錬もし、英会話スクールに通いつつ定期的にTOEICを受験していたりします。

こう聞くと、ただひたすら大変そうだと思われるかもしれませんが、意外と相乗効果があるものでね。スタートラインが全てゼロからというワケでもなかったりします。不思議と音楽と武術に共通点を見出すことがあったりします。人にモノを教えるという意味では、どれもそれほど変わらなかったりします。内容は違っても、学ぶことに慣れるとパターン化できたりします。どんなことを学ぶでも、反復練習が最も大事と言われ、やってみると実際その通りで。武術で言うところの「守破離」という考え方は、どんな分野に対しても言えるのだなあと感じたり。


そういえば、私は学生時代は歴史が嫌いだったのですが、最近は特にここ100年の歴史にフォーカスを当てて情報収集しています。自然と勉強している感覚。学生時代に嫌いだった理由は、嘘か真かも分からないと言われながら数年ごとに書き換えられる程度の歴史なぞ学ぶ価値があるのか?と思っていたことや、「歴史に学ぶ」ことで過去の過ちを繰り返さないようにすることが肝要なはずが、歴史に学べるほど深いところまで授業には出てこないこと。今では教科書は投げ捨てて、自分の足で探しながら、自分の感覚ではどう思うかを大事にするようにしています。

今年は夏からこっち、色々なところに足を運びました。また詳しいことは追ってご紹介しますが、ひとまずサマリだけチラ見せ。千葉空襲については既に記事にしています。

7月:きぼーるで千葉空襲の展示(千葉)
8月:回天記念館(山口)、遊就館(東京)
9月:鹿児島市街、知覧特攻平和会館、鹿屋航空基地史料館(鹿児島)
10月:きぼーるで樺太の展示(千葉)
11月:記念艦三笠(神奈川)

遊就館は3時間ではとても時間が足らなかったので、もう1度や2度は行かないといけないです。また、箱根のパール下中記念館や毎日通りすぎている新木場にある第五福竜丸の展示館なんかにも行きたいですね。

次回広島に帰省した際は、旧呉鎮守府周りの「てつくじ」や江田島にも行かないと…。子供の頃に少なくとも3回は行ったけど、広島の原爆資料館に改めて行くと、また違った見え方がするかもしれないな。ああ、その意味では長崎にも行かないとな。旧佐世保鎮守府もチラ見したいし――。


さて、そんなことを言っている私は何のお仕事してる理系or文系でしたっけ?と。はい、エンジニアやってるバリバリの理系です。

私の仕事はITであり、国境のない技術である側面があります。そう言いつつもサイバー戦争とかいって、国レベルで攻防していたりします。そんな中、「あなたはどこの国のためにどんな貢献ができるのですか」と聞かれて、どう反応するのでしょうか? だからこそ、エンジニアだって歴史や政治を学ぶべきだし、他者を理解するためには様々な文化を知り、「そういうのもあるのか」と知見を広げる必要があります。単にお金につられてあっちへこっちへと傭兵の真似事をやっているようでは、そのうち足元を掬われます。

と、そのような事情があって、私は世に言われているリベラルアーツというものに賛成なのです。皆さんもどうか、文系理系の壁を取り払って、幅広い知見を得られることを切に願います。

【Sec/Tech News】2016/11/07

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

“サポート詐欺”の電話番号に実際に電話してみた結果をトレンドマイクロが報告、手口に注意呼び掛け
http://internet.watch.impress.co.jp/docs/news/1027887.html
分かってる人がこういうのやっているとニヤニヤしてしまう。え、そのコマンドで何が分かったの!?ってね。

ネットワークのトラブルシューティングを自動化 NETSCOUT「OneTouch AT」「AirCheck G2」
http://internet.watch.impress.co.jp/docs/column/shimizu/1026111.html
ええのう、ええのう。ほんと遠隔でやってもらうのって苦行なんですよね。でも、お高いんでしょう?

Evernote、Googleアカウントでのログインに対応
http://internet.watch.impress.co.jp/docs/news/1028280.html
Evernoteなかなかダイナミックなことするな。Googleのプラットフォームに移行するのか。これでフリーズしなくなるといいんだが…。

英デスクトップ仮想化企業、ランサムウェアによる攻撃に230万円支払う(The Register)
http://scan.netsecurity.ne.jp/article/2016/10/18/39056.html
IT企業もやられてますね。他人事じゃないです。しかし攻撃する側からしてみれば、これだけリスクを負っても230万円しか得られていないとも考えられます。つまり、新卒の1年間の給与ぐらいのもの。真面目に働いた方が良いんじゃないかなあ…。

【番外編】
無料プランのEvernoteベーシックで2台以上の端末を同期させる裏技
http://hitoriblog.com/?p=42337
なるほど、頭いいな。この手があったか。

【Sec/Tech News】2016/11/02

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

監視カメラから“史上最大級”のサイバー攻撃、IoTの危険な現状
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/102000701/?ST=security&itp_list_theme
テラビット/秒でアクセスされるとか、考えられないな…。マルウェアのソースコードを公開することで作者である証拠を隠滅させるって面白い考え方、インターネットならではだな。

グーグル、VRヘッドセット「Daydream View」を11月10日に発売へ
http://japan.cnet.com/news/service/35091497/
VRヘッドセットをスマホで操作…。装着している時どうやってスマホを見るんだ…? コントローラーはとてもシンプルで良い感じですね。

Webサイトの集客にSEOは外せないという常識は正しいのか?
http://web-tan.forum.impressrd.jp/e/2016/10/25/24036
すごいもんだよね。もはや検索アルゴリズムは人間より頭いいかもしれない。たしかに私も買い物する時、楽天に直接行ってるな。しかも楽天アプリで買ってるな。ググってないや。楽天やAmazonで扱っていないような商品でないとSEOの効果が期待できないってことか。

これは便利? それとも無謀? ドローンを使って天井の電球を交換してみた動画
http://internet.watch.impress.co.jp/docs/yajiuma/1027430.html
無茶しやがって…。ドローンに器用さを求めてどうすんだ。お・・・、外せた!でも、落ちたーー、お前も落ちるんかーい!

「墾田永年私財法」から「THE IDOLM@STER」まで何クリックで行ける? 最短解がすごいと話題に
http://internet.watch.impress.co.jp/docs/yajiuma/1027429.html
く、くだらない…。しかし千早の誕生日ってのがいいな。意外とシンデマスのメンバーじゃなかった。

 

【Sec/Tech News】2016/11/01

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

情報安全支援士 サイバーテロ防ぐ要にしたい
http://www.yomiuri.co.jp/editorial/20161101-OYT1T50003.html
ヘッドハンティングとかされちゃったりするのかしら。けど、いいように使われそうでなんか複雑だなあ…。ウチの会社どのぐらい補助出してくれるんだろうな…。まだまだ海の物とも山の物ともつかないから誰も判断できないよね。

Mozilla、Firefoxのレンダリングエンジンを2017年中にGeckoから置き換える「Project Quantum」を発表
http://internet.watch.impress.co.jp/docs/news/1027501.html
Geckoってユーザエージェント見た時にちょいちょい出てるのは知ってたけど、レンダリングエンジンの名前だったのか。Servoになると並列処理で高速化っていうけど、言うほど早くなるのかなあ…。

自組織ネットワークから「不審な通信」、、、その時どうする?
http://blog.trendmicro.co.jp/archives/13979
「すぐ役立つ!法人で行うべきインシデント初動対応 ~「不審な通信」その時どうする~」のダウンロードもできるよ!

【番外編】
情報処理技術者試験
https://ja.wikipedia.org/wiki/%E6%83%85%E5%A0%B1%E5%87%A6%E7%90%86%E6%8A%80%E8%A1%93%E8%80%85%E8%A9%A6%E9%A8%93
位置付け
公的機関の情報技術職に関しては、ほとんどの場合において情報処理技術者試験や相当する試験の合格が求められている。例としては、自衛隊の予備自衛官補(技能公募)や、警視庁特別捜査官(コンピュータ犯罪捜査官)の各職位の任用資格を得る場合などがある。尚、情報処理技術者試験は…

自衛隊の予備自衛官補(技能公募)
https://ja.wikipedia.org/wiki/%E4%BA%88%E5%82%99%E8%87%AA%E8%A1%9B%E5%AE%98%E8%A3%9C
これ、おもしろいかも。この記事は陸自だけど、記事下方に海自でも採用開始したって出てるね。本職として活動するわけではないから、手を出しても良いかも。

コンピューター犯罪捜査官(先輩の声)
http://www.keishicho.metro.tokyo.jp/saiyo/28/info/agent-voice-computer.html
こっちは公務員というか警察官。警視庁なので東京都の警察です。実は何度か受験した経験あり。東京の東端から飛田給まで朝から行くのは辛かった…。

【Sec/Tech News】2016/10/31

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

最新サイバー攻撃の恐るべき手口
http://itpro.nikkeibp.co.jp/atcl/column/16/102500243/102500001/?ST=security&itp_list_theme
簡単なような難しいような微妙な位置づけの記事。

Windowsの設計に起因する攻撃手法「AtomBombing」、セキュリティ企業が発見
http://www.itmedia.co.jp/enterprise/articles/1610/31/news056.html
Windowsいつのまに原爆を実装していたのかと思ったら、意外とシンプルなネーミングだった。

不安をあおって電話でだます「サポート詐欺」の手口を追う
http://blog.trendmicro.co.jp/archives/13970
2~4万円とかやらしい価格帯で攻めてくるなあ…。それで解決するなら、と払ってしまえるレベルなんですよね。

脆弱性体験学習ツール AppGoat
https://www.ipa.go.jp/security/vuln/appgoat/index.html
やってみよう!


IPAでまとめて更新があった模様

IPA セキュア・プログラミング講座が更新された模様
https://www.ipa.go.jp/security/awareness/vendor/programming/index.html

サイバーレスキュー隊J-CRAT(ジェイ・クラート)
https://www.ipa.go.jp/security/J-CRAT/index.html

サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
http://www.ipa.go.jp/security/J-CSIP/index.html

「情報セキュリティ対策ベンチマーク バージョン4.5」と「診断の基礎データの統計情報」を公開
http://www.ipa.go.jp/security/benchmark/benchmark_20161027.html