月別アーカイブ: 2017年6月

【セキュリティ】オヤジのきまぐれニュース – 2017/06/29

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


SIer大グループ各社のセキュリティ人材状況

[特報]NTTがセキュリティ人材を3万人育成、2020年までの目標値の3倍達成
「セキュリティを完全に体に染み込ませる」、NECの受注拡大作戦
「セキュリティの分からないSE」はもういらない?富士通の1万人計画
WannaCryに襲われた日立、セキュリティ人材1万人の確保急ぐ

まとめると
・NTT:3万人確保済み
・NEC:1万人確保済み
・富士通:2000人確保済みで、1年後に1万人を目指す
・日立:600人確保済みで、3年後に1万人を目指す

まあ、なんというか、日立はやられるべくしてやられたんだろうな…。もちろん各社の基準は違うだろうけど、動きが遅すぎるでしょう。


「Petya」系ランサムウェア、ファイル1つで感染防止?–米研究者

https://japan.cnet.com/article/35103489/
すげえ。こういう人こそが本来「ハッカー」と呼ばれるべき人なんですよね。


葬儀準備の手間を軽減する遺族向けウェブサービス「tsunagoo」

https://japan.cnet.com/article/35103472/
意外と、こういうのなかったんだね。神経使うだろうけど、良いサービスだと思います。


クアルコム、金属やガラスの下に指紋スキャナを搭載する技術–2018年市場へ

https://japan.cnet.com/article/35103485/
これはすごい! 一方で、どこで指紋を取られているか分かったもんじゃない時代が来てしまったとも言える。指紋認証は認印としては使えるけど、銀行印や実印としてはちょっと…、ぐらいの位置づけになっていきそうだな。


家庭用IoT機器を狙うサイバー脅威、その実態を探る–BBソフトサービスと横国大が共同研究

https://japan.cnet.com/article/35103471/
IoTハニーポットを高対話型で作るとこうなるかw。ハニーポットというかハニールームとかハニーハウスになっちゃうんですね。


AR市場で優位なのは遅れてきたアップルか–競合にない強みとは

https://japan.cnet.com/article/35103096/
Apple製品は音楽・描画・映像に強いから、AR・VRに繋がっていくのもそれほど不思議な事ではないか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/28

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


大規模サイバー攻撃、米国に波及 メルクなど被害

http://www.nikkei.com/article/DGXLASGM28H12_Y7A620C1MM0000/?dg=1
クラッカーがクラッカー会社を攻撃してるw。言ってる場合か、ってね。
↓こっちの方が詳しいか
新たなランサムウエア攻撃が世界で拡大中、「WannaCry」より危険との声も
http://itpro.nikkeibp.co.jp/atcl/news/17/062801782/?ST=security&itp_list_theme
WannaCryではないが突いている脆弱性は同じとのこと。公開サーバをそうそう再起動できないのは分かるけど、感染した際のダウンタイムは再起動の比ではないですよ。さっさとWindowsアップデートしてください。


世界襲った身代金ウイルスが覆すサイバー防衛の定石

http://www.nikkei.com/article/DGXMZO18111630W7A620C1000000/?n_cid=DSTPCS003
例えが分かりやすい。ラックの社長さんともなるとさすがですね。
そうか、キルスイッチって感染したときの対処が傷を広げる仕組みだったのか。なんか逆向きの仕組みだなあと思っていたけど、そういう狙いだったんですね。


「Petya」拡散、「WannaCrypt」と同じ脆弱性を悪用 – 犯人と連絡取れず、身代金支払いは無駄に

http://www.security-next.com/083190
悲惨だな。こういうパターンもあるので、多少世代が前になっても自力でリカバリーできるようにバックアップ運用を工夫しないと、全てのデータを失うことになってしまいます。頭が痛いですね…。


不正アクセスでクレカ情報流出の可能性 – 防犯カメラ通販サイト

http://www.security-next.com/083163
決済代行会社がこういうのを指摘してくれるもんなんだね。攻撃者のAPIと通信するスクリプトでも仕込まれたのかな。


[特報]「WannaCry亜種に感染」、マクドナルド障害のマルウエア判明

http://itpro.nikkeibp.co.jp/atcl/news/17/062801786/?ST=security&itp_list_theme
感染が広がる前に、ネットワークが詰まったと。良かったのやら悪かったのやら。数台の端末しか接続しない店舗のネットワークなんて大して強くないだろうから、こういうことも想定しておかないといけないんですね。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/26

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


Google、無償版Gmailのメールスキャンを年内に停止へ

http://itpro.nikkeibp.co.jp/atcl/news/17/062601759/?ST=security&itp_list_theme
広告屋さんが広告に関する機能を削るなんて、時代が変わったもんですね。
もっとも、私はPCではThunderbirdでGmailを見ているし、スマホではGmailアプリだし、Gmail画面に広告なんて表示されてたっけ?という感覚です。リスクが上がるばかりで、費用対効果出ねえやってのが本音のような気がしますね。


どんなパソコンが感染したのか、WannaCryを再検証

http://itpro.nikkeibp.co.jp/atcl/column/16/012900025/062300042/?ST=security&itp_list_theme
メール経由での感染ではなかったとのこと、大変興味深いですね。先日の記事で取り上げた通り、WannaCryは未完成の状態だったようですが、もっと完成度の高い仕上がりになっていたら被害はもっと大きくなっていたんでしょうね。


初のセキュリティ国家資格試験、「講習義務付け」で敬遠されたか?

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/062201027/?ST=security&itp_list_theme
「合格したのに登録してくれないと、支援士制度の意味がなくなる」の前に、支援士になる意味が見えてないんですが、それは…。


ランサムウエア身代金に1億3000万円払った韓国IT企業、データは戻ったか

http://itpro.nikkeibp.co.jp/atcl/column/14/549762/062200152/?ST=security&itp_list_theme
値切ってるwww。クラッカーも応じてくれるもんなんだね。13億ウォン≒1.3億円として、損害賠償を考えるとそれほど悪くない判断なのかな。ただ、ランサムウェアの話題としてはかなり強気の価格設定ですね。攻撃側も防御側もグルのような…。
あと、2分で感染するってよく分からないんだけど、どんな仕組みなんだろう。普通に考えれば暗号化したファイルを作って、完成してから元ファイルを削除するはずで、それなりに時間がかかると思うんだが…。
バックアップサーバがやられたのは痛いですね。他人事とは思えないな。今後はバックアップのソリューションも多様化していきそうです。


グーグル検索、個人の医療記録も削除対象に

https://japan.cnet.com/article/35103282/
そもそもなんで医療記録が見える状態になってるんだ…。元サイトの閲覧権限を見直すことが何より大事。


モジラ、ウェブを脱集権化するアイデア募集–賞金200万ドル

https://japan.cnet.com/article/35103296/
人工衛星経由で通信する技術なんじゃないの? 電話が通じていない地域も多いでしょうし。端末の充電は太陽光発電でなんとかするしか。その辺のコストを現実的にできるかどうか次第ですかね。


警察庁が「サイバーポリスエージェンシー」開設、サイバー犯罪・サイバー攻撃情報を発信

http://internet.watch.impress.co.jp/docs/news/1067253.html
んー、外部リンクばっか…。中身がない。にゅーすページに載っけるか悩むけど、一旦載せとこうか。


システム開発が失敗する理由

http://axia.co.jp/2017-06-26
言われてみれば確かに確かにと思いながら読んでました。
うまく巻き込めていない顧客は上司にドヤされながら進んでいってたな…。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/23

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


IPv4をどのように終わらせるか――IPv6普及拡大の前に片づけなければならない課題

http://internet.watch.impress.co.jp/docs/column/ietf2017/1066863.html


Google Cloudはセキュリティの高さにこだわりあり

http://enterprisezine.jp/dbonline/detail/9441


これはひどい!実際にいたとんでもない求人応募者達

http://axia.co.jp/2017-06-23
無限に近い体力w。羨ましいですね、私なんかはモヤシなんで。知能労働なのに脳筋アピールしてどうすんだろうね。
前の会社にいた頃、上司が第4位のような人に当たっていましたね。男性だったそうですが、自意識過剰すぎ。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/22

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


アマゾンの荷物、一般人が運ぶ時代

http://www.nikkei.com/article/DGXLASDZ22H3H_S7A620C1000000/?dg=1&nf=1
一般人が、ですか。考えられないなあ。まあ、本とかゲームソフトとか実質的に数に限りがないものであればそれほどトラブルもないかもしれないけど、数に限りのある商品ではトラブルが起きそうな気配がするな。…もっとも、アマゾンだったら「んなこと知るか」って強行しちゃいそうだけどね。


実は幻想、iPhoneの「日本製部品頼み」

http://www.nikkei.com/article/DGXMZO17370580W7A600C1000000/?dg=1
台湾・中国・香港を分けてるグラフなのはなんでだっけ。中国+香港だと横這い~減少傾向になりそうですよね。なんか意図を感じるんだが。
↓サプライヤーリストはこれか。ここの情報をもとに日経がグラフ作ってるんだね。ふーん…。
https://images.apple.com/jp/supplier-responsibility/pdf/Apple-Supplier-List.pdf


「FF14」にDDoS攻撃 – 断続的なネットワーク障害が発生

http://www.security-next.com/083037
FFを攻撃する理由ってなんだろうか。スクエニへの私怨、競合他社の企て、FFのストーリーが気に入らない、有名ユーザへの嫌がらせ、攻撃できれば誰でも良かった。
手法を変えつつってなると、組織的に攻撃されてそうなんだよね。ここにはさすがに北朝鮮は関わってなさそうです。ロケーションとしてもアメリカのクラッカー集団かな。


Linuxなどに「Stack Clash」脆弱性、権限昇格の恐れ

https://japan.zdnet.com/article/35103039/
この対処はOSのアップデートかな。うちのサーバもやっておかなきゃな。


「剣と魔法のログレス」で開発企業の従業員が逮捕 – RMTに利用者アカウント

http://www.security-next.com/083007
RMTってそういうんじゃなかったような…。いくらで売れたのか知らないけど、割に合わないだろうに。


繰り返される悲劇、「1億円あげます」メールの罠

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/061900005/?ST=security&itp_list_theme
最近はスパムと無縁の生活なので、こういう文面懐かしいな。いつの時代も、うまい話には裏があるってことです。
たとえ貰えたとしても、税務署にマークされてけっこう大変なことになると思うんだけどね…。


ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意

http://internet.watch.impress.co.jp/docs/special/1066659.html
お祭りなのです?


エンジニアは数字を意識するべきか(客先常駐編)

http://axia.co.jp/2017-06-22
ここまで露骨ではないにしても、請負で客先常駐していた頃はおっしゃる通り、効率化と残業代の矛盾には苛まれていました。
当時の上司からは「160時間が損益分岐点だから、なるべくそれ以上は働いてほしい」とは言われていましたね。あくまで、なるべくね。
数字を意識するほど、会社に有利で自分に不利な状況になっていくし、やりたい仕事はできないし、尊敬する先輩は病んで辞めていくし、尊敬できない先輩が昇進するし。まあ、1社目はそんな感じでした。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/20

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ランサムウェア「Jaff」が拡散、国内で多数検知

http://www.security-next.com/082599
アジアをターゲットにするとなると攻撃元は中国かねえ。北朝鮮がゼニ稼ぎしてる可能性も高いか。


フリーランスを考えたエンジニアが絶対に知っておくべきこと

http://axia.co.jp/2017-06-20
面倒くさい×3がひしひしとw。ほんとサラリーマンは気楽な稼業ですよ。私はフリーランスにはなりたくないなあ。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/16

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


セキュリティのないIoTは世界の害悪である

http://itpro.nikkeibp.co.jp/atcl/column/17/030900077/061400007/?ST=security&itp_list_theme
ユーザにセキュリティを意識させているうちは、まだまだ。語られている通りフールプルーフが甘いんですよね。
家を借りた時に、玄関やトイレなど必要なドアには鍵が付いているが、リビングのドアには鍵はない。また、同じ鍵でも、玄関とトイレでは目的が違うので鍵の強靭さのレベルが異なっている。窓には鍵はないが、内側からのみ閉めることができる。
それが当たり前であり、過不足を感じない。治安が悪い地域だから…など、必要が生じて初めて強化する。
IoT機器も同じように、誰しもフツーこうだよねと思われるラインがだんだん見えてくるはず。どこに落ち着くかは時間が教えてくれるでしょう。


「明日あなたが狙われる」と予測できてこそAI、シマンテックのAI戦略

http://itpro.nikkeibp.co.jp/atcl/news/17/061501670/?ST=security&itp_list_theme
箱入り娘に育てるか、モラルを持った逞しい子に育てるか…、AIの話ですけどね。そのうちAIを利用する前提のマルウェアなんかも出てくるんでしょうか。なかなかタチ悪そうです。このドラ息子が!ってねw。


マイクロソフトのAIが「ミズパックマン」でフルスコアを達成

https://japan.cnet.com/article/35102833/
AIも報酬与えると喜ぶのかw。


サイバー・セキュリティサービス市場、2021年度には市場規模3,800億円へ――ITRがレポート発刊

https://enterprisezine.jp/article/detail/9415
そんなに順調に伸びるのかなあ…。途中から自社でやろうって流れになって、尻すぼみになる気がするけど。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/15

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


グーグル、世界ブランド価値ランキングで首位–2年連続アップル超え

https://japan.cnet.com/article/35102778/
売上はAppleがズバ抜けているはずなのに、こうなるんだ。なんか不思議。
↓時価総額はこんな感じ
http://www.180.co.jp/world_etf_adr/adr/ranking.htm


ドローン、救急車より16分早く到着–スウェーデン研究チームが実証

https://japan.cnet.com/article/35102769/
ドローンのイメージがあまり良くない方向に行っている気がする中、こういうニュースは良いですね。


セキュリティ専門家が指摘する「使ってはいけない」パスワード

https://japan.cnet.com/article/35102671/
予想外と言うか、日本人では予測できないものがちらほら。国ごとに特徴が異なりそうですね。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/14

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「Firefox 54」がリリース–「Electrolysis」技術で速度と安定性を強化

https://japan.cnet.com/article/35102704/
Firebugとかあって開発向きなのでFirefoxを使ってるけど、そんなことになってたのか。でも、グラフと文章一致してなくないか? Chromeにユーザ奪われてるのはIE(Edge)じゃん。
しかし、普段使いはどうしてもChromeになってしまいますね。複数ユーザ切り替えられたり、Androidとの連携度が高かったり、もう他では満足できない身体にされてしまってますね。
Vivaldiさんは圏外みたいだけど、元気にしてるかな…。私はもう使わないだろうけど。


アップルの「極秘」自動運転プロジェクト、クックCEOがついに発言

https://japan.cnet.com/article/35102686/
ハード+ソフトで攻めるアップルが、ソフトに注力する判断は興味深いですね。Uberがあんなことになっているタイミングだから、言った気がしないでもないが。


スマートスピーカは安全か–「HomePod」「Echo」「Google Home」を比較

https://japan.cnet.com/article/35102601/
海外(米国かな?)では売れてるんですね。日本では、まだ安全を語る以前の状態ですが…。持ってる人どのぐらいいるんだろう。
GoogleやAmazonは自動でデータを削除しないようですが、相変わらずストレージどうなってんだ。
Appleは思い切った仕組みにしましたね。会社としてはユーザの趣味・嗜好を読み取って、別のビジネスに活かそうとスケベ心が出てきそうなもんですが、そこは広告屋さんやブローカー屋さんとの違いか。


Microsoft、6月の月例パッチをWindows Vista/XPなどサポート終了済みの環境へも提供

http://internet.watch.impress.co.jp/docs/news/1065158.html
あれ、永遠の不遇者Vistaちゃんまでパッチ出るの? 相当やばいんだねぇ。皆さん、さっさとWindowsアップデートやってくださいね。


PowerPointファイル上のURLにマウスオーバーするとマルウェアに感染、新たな攻撃の予行演習か

http://internet.watch.impress.co.jp/docs/news/1065007.html
保護ビューってこういう時に仕事するのか。オオカミ少年過ぎて知らんがな状態だけど…。
仕組みは一種のインジェクション攻撃っぽいですね。ハイパーリンク設定にPowerShellのコードを書くようなイメージか。


「サイバー保険」付きネットワークセキュリティサービスを提供開始

http://cweb.canon.jp/newsrelease/2017-06/pr-home-insurance.html
キャノンが保険をやるのか。5年間で77万円かかり、1年あたり100万円まで補償、でいいのかな? 防御も提供することで保険の支払い機会を少なくさせるという意味では、なかなか頭の良いソリューションなのかも。サイバー保険が登場してから暫く経つけど、どのぐらい需要があるんだろうね。
↓これか
[FT]サイバー保険の見直し迫られる データ不足で
http://www.nikkei.com/article/DGXMZO13259170T20C17A2000000/
世界レベルでは増加傾向だが、課題ありとのこと。日本で流行るのはもうちょっと先になりそうですね。


エンジニアと呼ばれる人達の仕事の実態

http://axia.co.jp/2017-06-14
私なんかはマネージャにさせられそうになっては逃げてきている技術志向の人間なので、他人事に思えないですね。冒頭の大学生の気持ちは大事にしたいです。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/12

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ダウンロードフォルダーが危ない、「DLL読み込みの脆弱性」でウイルス感染

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/060701007/?ST=security&itp_list_theme
ちょいちょい目にするなあとは思っていましたが、列挙するとこんなにあるんですね。仕組みも具体的に紹介してあって良い記事です。


中国のAI、難関の大学入試に挑む–150点中105点を獲得

https://japan.cnet.com/article/35102589/
中国の難関大学と東大ってどっちがレベル高いのか分からないけど、なんだかリアルな点数出しますね。仮にも計算機とか電脳って呼ばれてるんだから、数学はもうちょっと頑張ってほしいところですw。


ノートPCの画面をタッチパネル化する「AirBar」–手袋でも操作可能

https://japan.cnet.com/article/35102463/
えっ? こんなのあるの! 買っちゃおうかな。ノートパソコンで終わらず、27インチモニタ対応あたりまで頑張ってほしいですね。


イラストのエロ基準を判断するのがTwitterでいいのか? “場”の細分化による超巨大SNSからのパラダイムシフト

http://internet.watch.impress.co.jp/docs/event/1064605.html
mstdn.jpやPawooは登録してみましたが、えらい中途半端だなあという印象。記事の通り、小規模に運営するなら分かるけど(LINEやSkypeでいいじゃんという思いは拭えませんが…)。Pawooの背景はなるほど、といった感じですが、だとすると日本人が利用するメリットはなさそうですね。本家でいいじゃん、となってしまいます。
マストドン立ててみようかとは思うけど、誰も来ないだろうし…、魅力的なテーマがないと如何ともしがたいな。悩む。


[速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由

https://scan.netsecurity.ne.jp/article/2017/06/07/39821.html
今後流行りそうな機器の皆さんです。


退役軍人をセキュリティ人材に、米企業が採用を拡大(上)

http://itpro.nikkeibp.co.jp/atcl/idg/17/060700043/060700001/
米国でもサイバー方面は人手不足。たしかに軍人であれば堅いですね。じゃあ、日本では自衛隊経験者優遇とかやれば良いのか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/09

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


ユーザーはセキュリティを気にしない! それでも安全なIoTデバイスを

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/060200006/?ST=security&itp_list_theme
そうですよね、ユーザなんてトリセツすら読まないんだから。セキュリティをフールプルーフ(ミスってもひどいことにならない)で用意しておくのは今後当たり前になりそうですね。


米大統領選、露によるサイバー攻撃は「最低でも数百件」–コミー前FBI長官

https://japan.cnet.com/article/35102487/
1件あたりが何を指しているのか分からないんですが…。ロシアからのサイバー攻撃なんて常にあるだろうに。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/08

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


10代サイバー犯 ホワイトハッカー育てよ

http://www.sankei.com/column/news/170608/clm1706080001-n1.html
一般の紙面でも取り上げられてますね。少佐のようなウィザード級ハッカーが登場しないかとワクワクしますね。


邪魔者扱いはもう卒業、SELinuxで守るIoTセキュリティ

http://itpro.nikkeibp.co.jp/atcl/column/17/041900153/052500001/?ST=security&itp_list_theme
ホントね、SELinux使ってないとかダメですよね。…はい、すいません。このサーバも無効化してます。そろそろ使いこなせるようにならないとな。単純に有効化したら、どこが動かなくなるかぐらいは洗い出しておこうかね。
まあしかし、ググってみても相変わらず無効化する話題ばっかりですね。


“正義のウイルス”出現!?脆弱なIoT機器を使用不能に

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/060500003/?ST=security&itp_list_theme
ウイルス同士の攻防か、なかなかアツいですね。まあ、とばっちりは所有者にいくんですけどね…。


国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

http://blog.trendmicro.co.jp/archives/15144
既存のウイルススキャンの弱点は、メモリ上のデータまではチェックしていないこと。ディスクに比べれば小さいんだし、やればいいだけじゃんと思ってしまいますが…。どこにネックがあるのか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/07

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


恐れすぎるのは愚かだ、サイバー攻撃はアニメの「防壁迷路」で対処

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/?ST=security&itp_list_theme
ワクワクが止まりませんなあw。あっという間に陳腐化してしまう可能性もあるけど、STARDUSTには頑張ってもらいたい。


ITセキュリティが使えないIoTの世界、技術の違いを理解する

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/052900003/?ST=security&itp_list_theme
ユビキタス、M2M、IoTと呼び名を変えながら、それほど目立った進捗がない理由が垣間見えます。
何でもかんでもネットに繋ぐことが大事なのではなく、それぞれネットに繋ぐことでこんな効果を期待でき、リスクもこの程度なら許容できると言えるところまで評価しないと、セキュリティ以前の問題で頓挫してしまうんですね。
方式やプロトコルが違うことがネックなのであれば、CORBAやAPIのような仕組みが今後登場して、全体的に実装が進んで、やっとセキュリティも考えられるようになって、と。うーん…、準備だけで10年かかりそうだな。


「注文のキャンセル」を促すAppleのフィッシングメール出回る

http://internet.watch.impress.co.jp/docs/news/1063937.html
なんで注文をキャンセルするのに住所やクレジットカード情報を入力するんだよ…。
ID・パスワードの方は本当に危険ですね。1つのIDでなんでもできると、いざ流出した時になんでもバレちゃう。
偽サイトはhttpsが半分より多いぐらいか。httpsだから信用できる時代はすで過去のものなんですねえ。トップレベルドメインにしても、安物ばかりでなくcomとかinfoも入ってるね。Let’s Encryptを使うにしても、それなりには投資してるんだな。


[セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況

https://scan.netsecurity.ne.jp/article/2017/06/06/39813.html
日立がやられたのは噂に聞いてたけど、メールがやられてたのか。関係された方は大変お疲れ様です。
しかし、XPはパッチ出たのに、Vistaは出ない相変わらずの不遇さ…。ごちそうさまです。


未成年者がランサムウェアを作る時代、日本初の逮捕事例を読み解く

http://blog.trendmicro.co.jp/archives/15133
まあ、仕組みはそれほど難しくないから、できてもおかしくないか。見た感じからしてスクリプトキディじゃなく、自作っぽいですね。私なんかはむしろ、こういう若い人には好印象を覚えてしまうけど…。
バッチファイルを作成しただけでウイルスとして撒いたわけではなさそうですね。学校で遊び半分で実行したらエライことになった(汗)、みたいな感じでしょうか。反抗期・思春期な頃合い、大目に見てあげてよ。

あと、大阪の子に対して神奈川県警が動いたのはなんでじゃ?
↓こういうことみたい
全国警察、サイバー捜査の腕競う=警察庁初開催、優勝は神奈川
http://www.jiji.com/jc/article?k=2017020801115&g=soc
最近は京都じゃないんですね。2位:茨城県警、3位:宮城県警というのも意外だな。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/05

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


話題のSNS マストドンは「400万年生きたゾウ」

http://www.nikkei.com/article/DGXLASDZ05H5H_V00C17A6000000/?dg=1
マストドンが日経で紹介されていますね。お宅の会社ではやらないんですか?的なアピールですかね。


本格普及間近のIoT、今できるセキュリティ対策は?

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/052900001/?ST=security&itp_list_theme
通信コストの多様化はぜひ進んでほしいですね。しかし、結論イマイチだな。徹底的に守れと言いつつ、統合管理するなって…。打つ手なしって言ってるようなもんじゃん。


「保証期間内で軽度のデータ復旧なら無償対応」、バッファローが価格破壊の深層語る

http://itpro.nikkeibp.co.jp/atcl/news/17/060201574/?ST=security&itp_list_theme
ありがたい一方で、HDDってどうしても情報流出が気になるから、どれだけの人が利用するのか読めないな…。
私は自分で復旧を試みるか、諦められるようにバックアップをしっかり取っておくかを選択します。


ドローンによる配達で使うパラシュート入り宛名ラベル–アマゾンが特許を取得

https://japan.cnet.com/article/35102244/
と見せかけて爆弾を投下するテロは起こらないんだろうか。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/02

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「Tera Term」のインストーラに脆弱性 – 修正版がリリース

http://www.security-next.com/082338
まさに先日紹介したワイルドカード読み込みの脆弱性ですね。SEにはおなじみのTeratermでやらかしてるぐらいだから、常に疑ってかからないといけませんね。


「sudo」に深刻な脆弱性 – ルート権限を取得されるおそれ

http://www.security-next.com/082335
雑な設定でsudo使ってるから正直ピンとこなかったけど、sudoでできることを制限した状態なのに乗っ取られちゃうよ、っていう脆弱性なんですね。sudoの設定も見直さないといけないな。


ジュピターテクノロジー、ランサムウエア攻撃を無害化するソフト「Ranstop」を発売

http://itpro.nikkeibp.co.jp/atcl/news/17/060101567/?ST=security&itp_list_theme
半月タダで使えますって言われてもな…。既存のウイルススキャンソフトと併用したら、相当リソース持って行かれそうだけど、どんなもんなんでしょうね。まだまだ、この手のものは海の物とも山の物とも、です。


Shadow Brokersから「エクスプロイトを買い取る」キャンペーンが中止に

https://japan.cnet.com/article/35102151/
発想は興味深いんですけどね…。ちょいと脇が甘かったみたいです。


「Googleスプレッドシート」、AIでグラフ作成が簡単に–自然言語を理解

https://japan.cnet.com/article/35102157/
Googleスプレッドシートは複雑なグラフを作れないのがなぁ~。Open Officeでできることは実現してほしい。


イーロン・マスク氏、トランプ大統領の諮問委員やめる–パリ協定離脱に反発

https://japan.cnet.com/article/35102155/
離脱に反対する意味が分からん。そもそも米国は京都議定書に調印してなかったし、その後のパリ協定なんて強制力のない、あって無きものだったわけで。就任当初から囁かれている、IT業界とトランプ大統領の確執なんじゃないの?


NICT、サイバー攻撃を模擬環境に誘引して長期観測を可能にする「STARDUST」を開発

http://internet.watch.impress.co.jp/docs/news/1063212.html
10年前に流行ってたハニーネットの後継ですかね。良い情報が取れそうです。

【セキュリティ】オヤジのきまぐれニュース – 2017/06/01

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


「WannaCry」で騒ぎすぎ?セキュリティのプロが静観する理由

https://japan.cnet.com/article/35101892/
数百万円単位の被害では失敗扱い。身代金のビットコインも回収できず、と。たしかにサイバー兵器と言うにはお粗末なものだったかもしれませんが、感染力は相当なものでした。先日のニュースで取り上げたキルスイッチが見つかったから終息しているものの、楽観視するのもオススメできません。まだまだ亜種が出続けるでしょうから、さっさとWindowsアップデートしといてくださいね。


認証試行の3分の1はわずか25個のパスワード/セキュリティ専門家の実態に関する「残念」な調査結果

http://internet.watch.impress.co.jp/docs/column/security/1062756.html
「攻撃元」としているのは、実際には踏み台にされていることが多いため、真の「攻撃者」の所在地を示しているわけではない、と。
そうか、ウチのハニーポットもそういう目で見ないといけないんだよね。アメリカ・中国・オランダ・ロシアあたりが常連だけど、踏み台にされてるマシンが多い国、と捉えた方がいいのね。


ダークWebでのサイバー犯罪者同士の縄張り争い

http://blog.trendmicro.co.jp/archives/15107
大変興味深いですね。ダークWebにどうやったらWebサイトを設置できるのか全くイメージが湧いていない状態ですが、ハニーポット設置するところまで頑張ってみようかな。しかし、さすがトレンドさんですね。改竄を許しているところからして高対話型のハニーポットのようですね。やってみたいな~。


エンジニア不足で外国人大量採用に日本人激怒

http://axia.co.jp/2017-06-01
外国人大量採用、結構なことだと思います。そもそもインターネットはグローバルなものなんだから、エンジニアがグローバルであっても何ら不思議ではない。日本にまで来れるレベルのアジアの人達は、なんとなくやってる日本のエンジニアよりもレベルや意識は高いでしょう。少なくともマルチリンガルな時点でね。
システム屋もITセキュリティ屋も人手不足ですし、先日取り上げたニュースではバブル期を上回る売り手市場とのことでした。日本人の雇用を奪うことにはならないでしょう。悔しかったら資格の1つでも取得することです。

観点を変えて述べると、中国や北朝鮮のスパイをみすみす受け入れてしまう可能性について。これは受け入れ企業ごとに判断することであって、募集の条件に外国人エンジニアをOKとするかNGとするか、各々がコストや秘匿性と相談しながら考えるべきことです。極論を言ってしまえば、日本人のエンジニアだってハニートラップに引っかかれば同じことなわけですし…。
市場原理に従えば、受け入れる企業が多くないのであれば自然と外国人を採用しなくなります。そのへんまで含めた日本人の総意は、果たしてどうなっていくのでしょうね。