本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

大量の脆弱性報告で注意喚起、インストーラ作製アプリなどに起因 – 脆弱性狙うマルウェアも

http://www.security-next.com/082096
うーん、永遠の課題ですな…。仕組みは分かりやすいですね。libフォルダ配下のファイルをワイルドカード指定で取得するような実装でしょ。組織で作っていれば１ファイル１ファイル指定するようなコーディングルールにしたりするだろうけど、個人とか小規模で作っているものだと怪しいですね。

Twitterに第三者が勝手にツイートできる脆弱性、発見者に報奨金7560ドル

http://itpro.nikkeibp.co.jp/atcl/news/17/052501503/?ST=security&itp_list_theme
文面だけ読むと脆弱性というより、ただのバグじゃないの？と思ってしまうのですが…。本家見てみると、Burp使ってパラメータいじるぐらいはしてるのか。これで80万円弱。

WannaCryの活動を緊急停止、「キルスイッチ」とは何だったのか

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/052300002/?ST=security&itp_list_theme
名前解決できないときだけ活動する、って面白い仕組みだな。ウラのかき合い。
サンドボックスでは活動しないマルウェアってこういう仕組みなんですね。思ってたより普通だった。

「ログインの3割がなりすまし」、アカマイが最新の攻撃動向と対策を解説

http://itpro.nikkeibp.co.jp/atcl/news/17/052301479/?ST=security&itp_list_theme
ハニーポットのCowrieちゃん見てると、入力を再生できたりするんだけど、操作がめちゃくちゃ速いログがあるんよね。あれボットなんだろうね。というか、ほぼそういうパターンなんだけど。

IT業界の多重下請け構造とは何なのか

http://axia.co.jp/2017-05-06
過去こういう会社に所属していたような…。相手にしている会社が大きい会社だったし、さっさと帰れな文化の現場だったので悲惨ではなかったけど、やっぱグレーじゃなくてブラックよね。指示系統については書かれている通りでしたし。
ただ、労務の観点でばかり書かれているけど、経験を積む意味では必ずしも悪いことばかりではないと思いますよ。本人のやりたいことができるのであれば、こういう働き方を必ずしも否定しません。
ちなみに現在の私は、派遣契約でクリーンにお仕事してます。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 – 関連ツールが共通のC2サーバを利用

http://www.security-next.com/082012
すさまじい感染力ですね…。北朝鮮の戦争は、すでにサイバー空間で激戦となっています。
ミサイルの話もロクに報道されていないようですが、サイバー戦争の話はそれ以上に伝わらない…。
しかし、パスワードってランサムウェアを解除するためのパスワードのこと言ってるのかな。思ったより簡単でびっくりしてるんだけど。

ラック、複数顧客環境で「WannaCrypt」被害を確認 – 百数十台規模

http://www.security-next.com/082020
大企業は大丈夫だが、中小企業が危ない印象ですね。弱者を狙うとは、卑劣な輩だな。

IPA 安心相談窓口だより：IPAに寄せられているランサムウェアの相談について　～Wanna Cryptorの感染防止のために今すぐWindows Updateを～

https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
感染する様子が動画で紹介されていますよ。とにかくWindowsアップデートですね。

ランサムウェア「WannaCry」の侵入経路は？　トレンドマイクロが解説

http://internet.watch.impress.co.jp/docs/news/1059794.html

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

もう始まった！？登録セキスペのオンライン講習受けてみた

http://itpro.nikkeibp.co.jp/atcl/column/14/090100053/051000246/?ST=security&itp_list_theme
これは良い情報。まだ登録してないけど、来年の秋までには私も登録する予定です。
私のように３年以上前に合格した人は、初年度が集合研修なんですね…。会社が補助出してくれないと10万円直撃ですか、ツラい。

Windows 10次期大型更新は「Fall Creators Update」–新デザインなど

https://japan.cnet.com/article/35101039/
なんかすごそう。タイムラインは使いそうだな。gifアニメのコピペもいいな。

マストドンが照らす21世紀型インターネットのありかた

http://internet.watch.impress.co.jp/docs/special/1057683.html
日本人はいつも4年程度で同じサービスに対して「飽き」がはじまる、か。とても興味深い。

「マストドン」なぜ人気？　今のうちに押さえておきたい基礎知識とビジネス活用の可能性

http://internet.watch.impress.co.jp/docs/special/1057976.html
実際にやってみないとTwitterとの違いがわからないな～。ウチのサーバに立ててみようか。

トランプ大統領、サイバーセキュリティを強化する大統領令に署名

https://japan.cnet.com/article/35101045/
FBI長官罷免ともリンクしてるのかな。日本に比べて、米国へのサイバー攻撃はレベルが違うだろうから、どんなことをしていくのかは注視していきたいところです。

無線ＬＡＮただ乗り「電波法違反の可能性」　総務省見解

http://www.nikkei.com/article/DGXLZO16282390S7A510C1CC0000/
ただ乗り用の法制度作るといいと思うよ。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

あまりに危険なIoT、濃いコーヒーを飲まされる恐れ

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/042700830/?ST=security&itp_list_theme
タイトルの通りギャグな記事でしたｗ。
なんでコーヒーメーカーをインターネットに接続するんだよ…。
第三者に皿を洗われてしまうとか、ダメなんですか？って感じですし。

「それはセキュリティ対策じゃない」、固定観念を捨ててもらおう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/042400011/?ST=security&itp_list_theme
脆弱性のあるマシンが一箇所でもあったら、他のマシンがどれだけ注意していても攻撃されてしまいます。
可用性の対策にランサムウェアの話を持ち出すのは、とても説得力がありますね。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「RSA暗号は量子コンピュータで破られない」、生みの親が日本国際賞受賞で熱弁

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042700954/?ST=security&itp_list_theme
ほう…、あと10～15年は破られない、か。米国のトップシークレットレベルの人たちは実現しちゃってる時期なんじゃないか？

Facebook、「虚偽ニュースを見分けるコツ」を英紙広告に掲載

http://itpro.nikkeibp.co.jp/atcl/news/17/050901347/?ST=security&itp_list_theme
こういうナレッジは大事。ITのIたるところですな。

泥沼化する“証明書抗争”の幕引きなるか、シマンテックがグーグルに逆提案

http://itpro.nikkeibp.co.jp/atcl/news/17/042801325/?ST=security&itp_list_theme
Google先生の影響力すごいな。所詮ひとつの検索エンジンのはずなのに、シマンテックのこの焦りよう。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

15.3％の企業で被害、ランサムで泣き寝入りも

http://www.security-next.com/081027

「当社には取られて困る情報はない」？経営層による3つの勘違い

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041900010/?ST=security&itp_list_theme

ウイルス感染の警告メールがニセモノ、文面に従うとウイルスに感染

http://itpro.nikkeibp.co.jp/atcl/column/16/012900025/042100040/?ST=security&itp_list_theme
もう何も信じられない…。

グーグル、ニューラル機械翻訳技術でインド向けにサービス強化

https://japan.cnet.com/article/35100488/

Windowsサーバーを狙ったランサムウェア攻撃、IPAが注意喚起

http://internet.watch.impress.co.jp/docs/news/1057516.html

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「その説明では分からん」と言われたら、効果を“見える化”しよう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041100009/?ST=security&itp_list_theme
ケーススタディーを交えて、分かりやすく説明されている良記事。経営層には数字で説明しないとですね。まあ、数字は独り歩きすることがあるから、そこも注意しないといけないのだけれど…。

This is a good article which is explained with case studies. When you explain to the management, you should use numbers. However, numbers sometimes walk alone, so you also be careful it.

ヤフーがパスワード使わない認証方式導入、SMSで確認コード送信

http://itpro.nikkeibp.co.jp/atcl/news/17/042001220/?ST=security&itp_list_theme
手元に必ず携帯がないとログインできないとも言えるが、そういう状況は珍しい。今後の主流となるや否や。
電話番号のなりすましは難しいっていうことなんでしょうね。ただ、ワンパスとはいえ確認コードが数字のみ6桁というのは脆弱性足り得ないのだろうか…。
まあ、銀行の暗証番号が4桁であることを考えると、大きな問題ではないのかな。3回ではないだろうけど、何度も間違えたらロックされるんだろうし。

When you forget to bring mobile phone, you can’t login the system. But I think such the situation is unusual. It may become mainstream in the future.
I guess that it is difficult to impersonate telephone number. However, one-time password has high security level, but I doubt safety because check code is only 6 numbers.
On the other hand, I guess it isn’t big problem because banks security code is 4 numbers. Also, your account is going to be locked if you misstype several times.

ラック、新卒採用で新たな試み – CTF突破で「即！西本面接」

http://www.security-next.com/080778
ラックさんは流石ですね。ウチの会社もこんなことができればいいんだが、そもそもCTFの基盤がない。まずは、そこからなんですよね…。

LAC Co., Ltd. is great! We want that our company also adopts new members similarly, but we don’t have any infrastructur of CTF unfortunately. First of all, we have to prepare it.

「企業のCISOやCSIRTに関する実態調査2017」報告書について

http://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html
300人以上の企業であれば、CISOの設置が6割を超えたんですね。良い傾向です。
やってることは、テクニカルな対応が中心で、経営目線や部署横断はまだまだこれから、という状態ですか。セキュリティに詳しいけど、それほど高くない役職の人がCISOやってるにおいがする…。権限もっと与えてあげなよ。
セキュリティ対策はコストであり、事故が起こったときの被害想定額と突き合わせながら検討しないといけない。そういう意味では、セキュリティのスキルが高いことも大事だけど、それ以上に数字でものを語れる人や台風のように色んな人を巻き込んでいける人がCISOに就くと良いと思う。

Over 60% Japanese companies which have over 300 employees appointed CISO according to this report. It’s good trend.
Large number of them is given technical work, but the management view or the other departments involvement is still a few. I predict that the people who has high technical skill and low position were appointed CISO. These companies should give CISO more authority.
After you calculated how much does it cost when an security incident occurs, you should think the investment for managing security. In that sense, I think that certainly it’s important that CISO has high technical skills, but the skills which is telling with numbers or adjusting with people including other department is more important.

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

クックCEO、テクノロジを学ぶ女性の少なさ憂慮–「米国の優位性が失われる」

https://japan.cnet.com/article/35099565/
適材適所を考えると、ただ同数いることが大事とは思えないけどな。女性が少ないことでどんな問題が起こっているのかを説明してくれないと、誰も本気で取り組みはしないだろう。ただ多様性ガー、と言われても費用対効果を測れないのですが…。

それに、米国の優位性が失われるって言うけど、女性活用してたからIT分野で米国が優位だったわけでもないと思うのですが。何言ってんだろうね、このおっさん。多様性を訴える前に、自分がマイノリティであることを自覚して行動しなければ、周囲は「うへぇ」としか思いませんよ。

ものつくりという切り口なら、男性の方が好きだろうし。デザインという話になったら、圧倒的に女性の優位性が上がる。デザインがSTEM分野かというと、なんとも言えないだろう。しかし、システムにとって大変重要な部分である。使いやすさという意味でもマーケティングという意味でも、大いに影響がある。

むしろ、多様性と言うならテクノロジを学んでいない人の意見を採用することだって多様性なはずで…。あ、そっか。そういうことね。Appleなんて大企業ともなるとエリートしか採用しないから、上がってくるパイに女性が少ないんだけどっていう、贅沢なことを言ってるだけなのね。まったく、どの口が多様性を語ってんだよ。没個性な製品ラインナップな割に、WindowsやAndoroidに負けてる会社が、果たしてどこまで続くんでしょうかね。

WikiLeaksが暴露したCIAのハッキングツールの使用実態が明らかに–シマンテック

https://japan.cnet.com/article/35099559/
WikiLeaksすごいな。なぜそのツールがCIAで使われていたのか知っていることを含め、どうやって調査したのか。
こういうギルドチックな存在は面白いな。

潜在ニーズはいかに、IPv6の技術書をクラウドファンディングで作る試みが注目を集める

http://internet.watch.impress.co.jp/docs/yajiuma/1054162.html
職場でも、全然IPv6の話は出ないですね。しかし、いつまでも逃げ続けていていいわけでないのも事実。IoTが普及するほどIPv6の必要性は増していきますからね。クラウドファンディングで本を作るか。面白い時代になったもんだ。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

情報セキュリティ10大脅威 2017

https://www.ipa.go.jp/security/vuln/10threats2017.html
いつものやつです。納得感あるな。カード情報の流出多かったし、ランサムウェアはいわずもがな。IoTは思ったより低いな。

こっそり待たせて処理を実行、メール無害化

http://itpro.nikkeibp.co.jp/atcl/column/17/033000113/040300004/?ST=security&itp_list_theme
いやいや、電話しながら今送りました！ってことあるよ。来ないねー、っていうやり取りするの嫌なんだけど。もっとも、既存のメールセキュリティシステムでも遅延実行するものはあるけどね。自動で暗号化するやつとか、一旦メール送っちゃったけど、やっぱやめができるやつとか。

知らないと炎上必至？ 新人に教えるべきクラウドサービスの使い方

http://itpro.nikkeibp.co.jp/atcl/column/17/033000112/033100002/?ST=security&itp_list_theme
そもそもクラウドストレージと言って、正確に伝わるのだろうか。数多あるクラウドサービスの全てを我々も知っているわけではないし、あ、これクラウドのアプリだったんだ？！っていうこともありそう。ダメというなら、システムで弾くしかないでしょう。

「Android」、ネット利用シェアで「Windows」を抜き初の首位に

https://japan.cnet.com/article/35099212/
なんと、iPhoneと戦っているのかと思ったらWindowsに勝っていた。ケータイあるからPC使わない人が増えている状況をよく表したグラフだと思います。しかし、Apple勢は全く立ち上がってないね。周囲ではiPhone使ってる人をよく見かける割にこの結果。世界的にはAndroidの方が人気ということでしょうかね。私はiPhoneを使うメリットが分からないのでAndroid一択です。

インシデント発生の認知スピードは大幅改善も、まだまだ不十分　ほか

http://internet.watch.impress.co.jp/docs/column/security/1052894.html
世界レベルで見た地域ごとのサイバーに対する状況。なかなか興味深いです。
ハッキングコンテストでも中国の強さが出るんですね。もし戦争になったらこんなの相手にしなきゃいけないのか。勝てる気がしない…。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「Google Home」がついに米国外へ–4月6日に英国上陸

https://japan.cnet.com/article/35098885/
なんかイマイチ凄さが伝わってこない。
↓これか
https://madeby.google.com/home/
これからIoT機器が増えていく中で、司令塔的役割になっていくのかな？

セキュリティ人材は9割の企業で不足、NRIセキュアが調査

http://itpro.nikkeibp.co.jp/atcl/news/17/032800955/
「どのような人材が必要なのかもわからないという企業が少なくない」というのは、現状の日本企業の正直な声でしょうね。セキュリティが流行りだしたのもここ2,3年だから、システム部門のメンバーであっても、何から優先度付けしていくべきかは暗中模索なところがあると思います。
右メニューにガイドラインを乗っけてるので参考にしてくださいな。

4社に3社が過去1年間にインシデントを認知 – 標的型攻撃は8社に1社

http://www.security-next.com/079978
「従業員50人以上である国内企業」ということで、中堅企業も含めての数字。なかなか興味深い。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「報われないから報告しない」、若者ハッカーの本音

http://itpro.nikkeibp.co.jp/atcl/column/17/031500082/031700003/?ST=security&itp_list_theme&rt=nocnt
若者に限った話ではない気がします。修正しない事情も分かりますが、たしかに反応がないと脆弱性を報告するモチベーションは蒸発しちゃいますよね。
ただ、クレジットカード情報の流出やら、Struts2の脆弱性で個人情報が大量流出やら、最近はサイバー攻撃が激しいので企業の舵取りも変化を求められていると思います。だんだんバグハントなんかも一般的になっていくのではないでしょうか。

「AIが雇用の脅威になるのは50～100年先」：米財務長官

https://japan.cnet.com/article/35098738/
AIの範囲をどうとらえるかによって変わってくるって、それはそうだけれども…。先見の明があるのか、シロウトが適当なことを言っているのか、どちらでしょうね。技術の進歩をナメない方がいいと思いますが。

国内2万台超の端末がマルウェア感染、ドイツで600万ユーロの被害を引き起こしたインターネットバンキング不正送金事案で

http://internet.watch.impress.co.jp/docs/news/1050987.html
国際的に連携したサイバー犯罪捜査の例。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

ワンタイムパスワードでも危ない、警視庁が新型ウイルスの被害を確認

http://itpro.nikkeibp.co.jp/atcl/news/17/031700858/?ST=security&itp_list_theme
さて、どう回避しますかね…。インターネットバンキングなしでは生きられない体になってしまっているので、引っかからないように気をつけないと。

沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か

http://itpro.nikkeibp.co.jp/atcl/news/17/031600847/?ST=security&itp_list_theme
ここに限らずStrutsの脆弱性やられてますね。フレームワークのバージョンアップとか、地獄絵図しか見えない…。

[セキュリティ ホットトピック] 改正個人情報保護法、変更点・注意点などガイドライン公表

https://scan.netsecurity.ne.jp/article/2017/03/14/39548.html
2017年5月30日より全面施行ということで、気にしておかないといけませんね。

ChromiumでAPNG（アニメーションPNG）の表示をサポート

http://internet.watch.impress.co.jp/docs/news/1049820.html
APNGなんてあるんだ。
↓これか
GIFアニメからAPNGの時代に！
https://ics.media/entry/2441

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

日本狙う「偽Google Play」に注意 – スミッシングで誘導

http://www.security-next.com/078678
スミッシングなんて言うんだ。ググってみると2013年の記事もあるな、地味に長い…。SMS（ショートメール）のスパムは珍しいけど、油断せず気をつけましょう。

サイバー防御をレベルアップ、ファイア・アイらがセキュリティインテリジェンスを進化

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/022100836/?ST=security&itp_list_theme
セキュリティが分かる人がいないから自動化でどうにかするなんて、おかしな話だ。物理的に考えれば、入退館のシステムがあるから警備員を全く雇わないなんてことはないはず（この機器を導入できる会社規模ならね）。とはいえ、サイバー警備員が当たり前になる日はまだまだ遠そうだな…。

国立情報学研究所、「匿名加工情報」の加工方法をまとめた報告書を公表

http://itpro.nikkeibp.co.jp/atcl/news/17/022100571/?ST=security&itp_list_theme
えらく小難しく書いてあるけど、第三者に情報を渡す際は、個人を特定できる情報はモザイクかけてねって言ってるだけか。生年月日は日を取るだけでも効果あるのか。

痕跡を残さないサイバー犯罪集団「Lurk」の変遷：第1回 組織化とマルウェアの巧妙化

http://blog.trendmicro.co.jp/archives/14479
50億円窃取して、50人逮捕。つまり1人あたり1億円。さて、費用対効果をどう考えますか？ 悪いことをやってもサラリーマンの生涯年収と言われている2億円の半分。ムショから出た後の就職はお寒いもんです。悪いことせずに、真面目に働きましょうね。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

マイクロソフトの水中データセンター特許–冷却が必要なら水に沈めてしまえ

https://japan.cnet.com/article/35096477/
カッコイイけど、中国の潜水艦に魚雷発射されないようにしてね。

「Office 2007とVistaは速やかな移行を」、IPAがサポート切れ迫る2ソフトに注意喚起

http://itpro.nikkeibp.co.jp/atcl/news/17/021000449/?ST=security&itp_list_theme
Vistaは意識してたけど、Office2007もか。UIがガラッと変わってブーブー言ってたのも、もう随分前なんですね…。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

WordPress脆弱性狙う複数の攻撃キャンペーン – すでに数万件規模の被害か

http://www.security-next.com/078227

上場企業の3割以上がランサムウエアや標的型攻撃の被害に、CSIRTは1割超が設置

http://itpro.nikkeibp.co.jp/atcl/news/17/020900444/?ST=security&itp_list_theme

不正アクセス可能なプリンターを見つけると警告してくれる親切なハッカーが海外で話題に

http://internet.watch.impress.co.jp/docs/yajiuma/1043512.html
正しい「ハッカー」の在り方。憧れちゃうな～。

資生堂子会社のECサイト、無いはずのカード情報が漏れた原因とは

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/020300804/?ST=security&itp_list_theme
もはやホラーだな…。通販サイト上のデータベースにカード情報を入れていないことを、どう証明したものか。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

最高裁、グーグル検索結果の削除で初の統一判断

http://www.nikkei.com/article/DGXLASDG01H1Z_R00C17A2000000/?dg=1&nf=1
ネットの潮流に軍配が上がったらしい。なかなか興味深い。

IPA、脆弱性晒されたサイト運営者へ例外的に連絡 – 政府機関や上場企業も

http://www.security-next.com/077966
いつになったらSQLインジェクションは撲滅されるんでしょうね…。脆弱性ポータルサイトねえ…、クラッカーポータルサイトの間違いじゃ？

「鍵マーク」表示される偽Amazonに注意 – Googleの短縮URLで誘導

http://www.security-next.com/077950
鍵マークの意味は、暗号通信と存在証明。この場合はサイト乗っ取りみたいだけど、ドメインさえ取れば、Let’s Encryptでタダで鍵マークを付けられるご時世です。信用の基準としては、もはや使えないと思ってください。

「Office使えなくなる」と脅すメールが再び流通

http://www.security-next.com/077932
ロシアを騙る中国からの攻撃。まあ、どっちも怖いんですが…。カード情報狙った攻撃は相変わらず盛況ですね。

セキュ月間が開始、3月18日（サイバー）まで – キャッチフレーズは「＃サイバーセキュリティは全員参加！」

http://www.security-next.com/077999
なんで3月18日？と思ってたら、語呂合わせだったのね…。こんな年度末にやるより、新年度入ってからの方が良いような気もするのですが。

イスラエルでCyberTech 2017開催、ネタニヤフ首相がサイバーテロ対抗で国際協力を宣言

http://itpro.nikkeibp.co.jp/atcl/news/17/020100314/?ST=security
国際協力ねぇ、具体的にどうするんだろう。営業トークにしか見えないが。

最速0.2秒でリアルタイム音声翻訳、ネット接続不要のスティック型翻訳機「ili」

http://internet.watch.impress.co.jp/docs/news/1041794.html
外観よりもソフトウェアがどこまで強いのかが気になる。音声認識の技術は、まだまだだろうし。月額3980円はいいな。

ソニー、小学生以上向けロボット・プログラミング学習キット「KOOV」

http://pc.watch.impress.co.jp/docs/news/1041893.html
なかなか高いおもちゃですね。10分の1ぐらいにならんかな。ゲーム機と競合する値段じゃあ、幸先悪そうだな。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

フィッシング対策協議会、サイト改ざんについて中間報告 – 原因特定できず

http://www.security-next.com/077789
あ、スシコンやられちゃったんだ。対応として、こういう時はDNSを変更するものなのか。ウイルス感染した時に、とりあえずLANケーブルを抜くのと同じか。

不正送金マルウェアが16.8倍と急増 – 侵入経路の大半が「メール」

http://www.security-next.com/077832
元々メールが多いんだろうと思っていたけど、ダウンロードの方が多かったのか。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

[セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

http://scan.netsecurity.ne.jp/article/2017/01/11/39331.html
特にITに強くない人に説明する際、こういう文書を活用できればいいんですが、いつも存在を忘れているんですよね…。ブログの共通ヘッダーとかにリンク張ってればいいのか。よし、そうしよう。

▼秘密情報の保護ハンドブック
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/hbtebiki.pdf

▼ネットワークビギナーのための情報セキュリティハンドブック Ver.2.02
http://www.nisc.go.jp/security-site/files/handbook-all.pdf

アップルのPPTP終了が製品/サービスに影響

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/122000744/?ST=security&itp_list_theme
なかなか思い切ったことしますね。まあ、社内システムにMacを繋いでいる会社がどれだけあるかと言われると、こと日本企業に関してはインパクトがあまりないような気もします。
↓実際にRC4の暗号を破るには…
短時間でcookie解読、RC4暗号通信を破る新手法
http://www.itmedia.co.jp/enterprise/articles/1507/17/news058.html

2016年個人と法人の三大脅威：日本におけるサイバー脅迫元年

http://blog.trendmicro.co.jp/archives/14229
ランサムウェアは堂々の一位ですね。情報漏洩については、ここ数ヶ月クレジットカード情報の流出が毎週ぐらい出ていたように思います。本職のIT企業すらやられ、おかげさまで私も被害者になりました。他人事と思わず、家の施錠をするように、ネットのセキュリティにも気を配るようにしましょう。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「セキュリティAI」、ITシステムをAIが守る

http://itpro.nikkeibp.co.jp/atcl/column/16/120900297/121500002/?ST=security&itp_list_theme
「マルウエアに感染しやすい行動をしているユーザーを監視して、感染を起こす前に対策を講じる」って、なかなかですね。AIに怒られる日も近いのかｗ。システムやってる立場だと特に怒られそうだな。「いや、いま作業中だからフォールスポジティブなの！」ってAIと会話したりしてね。

セキュリティ甘い「MongoDB」狙ったランサム攻撃が発生中

http://www.security-next.com/077192
愚か者すぎるでしょう…、外部公開しておきながら認証かけてないとか。データがなくなったら、システムは痴呆症のおじいちゃんと化してしまいますので、ちゃんと鍵かけましょうね。
しかし、MongoDBに限った話ではないにせよ、7割ってすごいな。デフォルト設定のままで使えちゃうのが災いしてるってところか？
あと、MongoDBは6万サーバか…、って多いのか少ないのか分かんない。他のDBMSの数ってどう調べればいいんだろう。うーん、お手上げ。

サイバーソリューションズ、ファイルを添付したまま無害化するメールサーバーを販売

http://itpro.nikkeibp.co.jp/atcl/news/17/010600026/?ST=security&itp_list_theme
最新のメールセキュリティ。添付ファイルを映像化するっていうのは面白い発想。たしかに無害化できる。ディスクとかネットワークのリソースさんが息してないかもしれんけどｗ。
だが、穴発見。無害化できるファイル形式は「パスワードが付いていない圧縮ファイル」とのこと。今後はパスワード付きの圧縮ファイルを送りつけて、パスワードはこれだよっていうスパムメールが増えるんでしょうかね。

「脱BIND」、脆弱性多数の代表的DNSソフトから移行を

http://itpro.nikkeibp.co.jp/atcl/column/16/120900297/121600003/?ST=security&itp_list_theme
Adobe Flash Playerと同じく、お別れの時期が近づいているのでしょうかね。しかし、DNSの移行か…。このプロジェクトに関わるとハゲそうだな。関わる方は頑張ってください。

SHA-1証明書を用いたウェブサイト閲覧時の警告／エラーや表示についてフィッシング対策協議会が注意喚起

http://internet.watch.impress.co.jp/docs/news/1037904.html
いよいよSHA-1とはお別れですね。また、併せてSHA-2にしても厳しくなっていきそうな気がする。ちょいちょいウチのサーバもSSL LABSでチェックした方がいいな。

▼Qualys SSL Labs（サイトのセキュリティチェックサイト）
https://www.ssllabs.com/ssltest/

日本で空前のCSIRTブーム／IoT機器ベンダーは「緊張感」を～2016年のセキュリティを振り返る　ほか

http://internet.watch.impress.co.jp/docs/column/security/1037746.html
いかに日本のサイバー環境が安全なのかが分かりますね。オリンピックに向けてどこまで地図が塗り替わるか、興味深いです

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

2016年3Qのクレジットカード不正被害は34.1億円 – 番号盗用が62.9％

http://www.security-next.com/077076
年間の被害額が「120億円を上回ることはほぼ確実」ということですが、先日試算したランサムウェアの市場規模が225億円でしたので、それに比べれば小さいことに驚愕です。月に一回でもクレジットカードの利用内容をチェックするようにしましょう。

5人に1人、個人情報漏洩が不安 – 前年度から大きく改善

http://www.security-next.com/077081
去年はマイナンバーが始まるタイミングだったから、みんな気にしてたんだろうな。減少したということは、マイナンバーで大きな事故が起こらなかった証拠なのでしょうね。

両手両足の感覚をVR体験にプラス–Cerevoが触感センサ付きVRシューズ＆グローブ発表

http://japan.cnet.com/news/service/35094519/
おー、これはアツい！ けど、10万円以上ですか、そうですか…。電池も大きな課題ですね。うまいことハマるゲームがあれば爆発的に売れてもおかしくないな。

介護施設で働く「Pepper」–血圧測定、個人データ管理ができるシステム開発の背景は

http://japan.cnet.com/sp/ai2017/35094027/
なかなか憎いセリフを吐きますなあｗ。メニュー３つですか。シンプルなのは大事だけど、これが普及していくかというとなんとも。客寄せパンダの域を出てない気がするな…。
↓Google先生のトレンドでは、Pepperくんイマイチ立ち上がってないな…
https://www.google.co.jp/trends/explore?q=Pepper%20%E3%83%AD%E3%83%9C%E3%83%83%E3%83%88

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

ランサムウェアによる最大の標的国は日本

http://www.security-next.com/076950
意外だな、といっても4.4%だけど。あくまで検知だしね。被害の実態と一致しているかはなんとも言えないところがあります。

ソニー米国子会社が「ブリトニー死去」の偽ツイート、アカウント乗っ取りで

http://itpro.nikkeibp.co.jp/atcl/news/16/122703850/?ST=security&itp_list_theme
セキュリティ対策の甘さを指摘するって言ってるけど、所詮ツイッターのID/パスワードの攻撃でしょう。あんま面白くないな。さらに、内部関係者の犯行なんだったらもはや技術関係ないしｗ。

後ろに回るとキャラを背後から見られる、透明スクリーンへの両面投影ムービーがすごいと評判

http://internet.watch.impress.co.jp/docs/yajiuma/1037013.html
謎の技術すげえ。いずれモニタが取って代わられる入出力機器たり得るかどうか。ワクワクしますね。

カラーイラストが自由自在、人工知能を用いて線画に自動着色する技術がネットで話題に

http://internet.watch.impress.co.jp/docs/yajiuma/1037012.html
これは良い人工知能。お絵描きしたいけどできてない人なので、こういうの使うと線画さえ描ければそれなりのものができそうだな。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

予期せぬクリスマスプレゼント？　正規版Windows 10が約400円で購入可能になるも速攻終了

http://internet.watch.impress.co.jp/docs/yajiuma/1036790.html
こんなことあるのか。非合法なわけでもないような気がするけど、払い戻されちゃうものなのか…？

こんなところまで？ハッキング被害続出の韓国

http://itpro.nikkeibp.co.jp/atcl/column/14/549762/122100124/?ST=security&itp_list_theme
韓国のIT普及率を考えれば信じられない状況だな。よく今まで無事だったもんで…、いや、ファイヤウォールすら稼働していなかったんだったら、攻撃されていることに気付いていないだけか。休戦中とはいえ、仮にも戦時中の国の軍隊とは思えない。

2016年アクセスランキング発表！ – ［セキュリティ］「セキュリティ人材」は増えるのか？新しい試験や資格に関心集まる

http://itpro.nikkeibp.co.jp/atcl/column/16/120900296/121500003/?ST=security&itp_list_theme
ランキングは興味深いですね。セキュマネは技術者以外の関心事でもあるから、見る層が広がるよね。
支援士については今の方針では増えないよ。今いる専門家を別の現場に流動化させることが狙いだから。

Mozilla、「Firefox」のXP／Vistaサポートを来年終了へ

http://itpro.nikkeibp.co.jp/atcl/news/16/122603840/
おおう、ついにFirefoxも終わりか。とはいえ、さっさと見切りをつけたChromeに対して、Vistaのサポート終了後も面倒見てくれるというのはありがたいことで。というか、まだXPもサポートしてるんですねｗ。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「セゾンNetアンサー」の偽サイトが大量発生

http://www.security-next.com/076964
すごいな、こんなにドメイン取って。まあメインどころのトップレベルドメインではないから、安いか。カード情報を引っこ抜ければ余裕で採算合うよね。

MyJVN

http://jvndb.jvn.jp/apis/myjvn/index.html
MyJVNバージョンチェッカがパワーアップしたらしい。ちょいちょい使ってますが、重宝しています。Chromeのバージョンもチェックできるようになった模様。

アバスト、Androidのリソースを大量に消費する20のアプリを発表

http://itpro.nikkeibp.co.jp/atcl/news/16/122203828/?ST=security&itp_list_theme
Facebookは最近悪い噂が多いのでスマホからは削除したのですが、リソース面でも食ってるんですね。裏で何やってるんだか…。

横浜市のマイナンバーシステム障害、待機系のパスワード変更漏れが原因

http://itpro.nikkeibp.co.jp/atcl/news/16/122103821/?ST=security&itp_list_theme
待機系のせいで稼働系まで落ちるって、なんか本末転倒…。このシステムで何ができるのか分からないけど、今のタイミングでマイナンバーの交付手続きする人なんて僅少だろうし、ほとんど影響ないんじゃない？

年末年始の長期休暇に向けたセキュリティ対策を

http://internet.watch.impress.co.jp/docs/news/1036380.html
そうは言うけど、年末年始であると同時に月末月初だし、事務や営業やっている人だったらむしろ忙しい時期だろうよ。みんな言う事聞いてくれないやつだ。こういうときはホント、リモートでパッチ当てたりできる仕組みがあるとシステム部の人達は幸せになれるよね…。

家庭用ルータや IoT機器を「ゾンビ化」する攻撃、その影響を解説

http://blog.trendmicro.co.jp/archives/14185
ビットコインって発掘するものだったのね。もうちょいビットコインの仕組みを勉強した方がいいな…。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「彼らは本気度が違う」 ～ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

http://scan.netsecurity.ne.jp/article/2016/12/21/39295.html
ただただ「すごい」の一言。尊敬します。私も本気出さなきゃ。

船舶をモチーフにしたデザイン照明「Siphon Grande」

http://japan.cnet.com/news/service/35094037/
素敵だけどきっと電気代が…。でも欲しいなあ。

経営者に向けた300ページのサイバーセキュリティ指南書、パロアルトが無償配布

http://internet.watch.impress.co.jp/docs/news/1036145.html
経営層向けにしては数値が少ない気が…。技術者にとっては薄っぺらい内容だし、使い所難しいかも。
↓ダウンロードはコチラ
https://get.info.paloaltonetworks.com/webApp/the-security-management-book-ja?CampaignId=70170000001Y3HNAA0&referer=http%3A%2F%2Finternet.watch.impress.co.jp%2Fdocs%2Fnews%2F1036145.html&utm_medium=press-release

2016年の主要なサイバーセキュリティ事例を振り返る

http://blog.trendmicro.co.jp/archives/14173
日常的になりすぎて気にしなくなりつつあるけど、Adobe Flash Playerの脆弱性はホント終息しないね。また、これによってHTML5の普及を後押ししているのは興味深いところがあります。
あと、MSパッチが多かったのはWindows10の影響が大きいだろうね。7月末に無償アップグレードの期限が来て、利用者も一気に増えただろうし。

年の瀬のセキュリティといえば、来年の予測ですよね！ということで特集です。

トレンドマイクロ：2017年 セキュリティ脅威予測

1. ランサムウェアが高止まりで多様化
2. IoT機器を乗っ取られて攻撃に悪用される
3. ビジネスメール詐欺は引き続き増加
4. ビジネスプロセス詐欺の標的が金融機関以外へ拡大
5. AdobeやApple製品の脆弱性はもはやMicrosoft以上
6. サイバープロパガンダが一般的に
7. 2018年にEUが施行予定の一般データ保護規則(GDPR)への準備
8. 最新セキュリティ技術を回避する攻撃の出現

2017 年以降のセキュリティ: シマンテックによる今後の予測

1. 企業ネットワークが拡大し、境界線が不明確に
2. ランサムウェアがクラウドを攻撃する
3. AI/マシンラーニングには高度なビッグデータ機能が不可欠
4. 「無法国家」が自らの手で犯罪行為に乗り出す
5. ファイルが存在しないマルウェアが増える
6. SSLを悪用したフィッシングサイトが増加する
7. ドローンがスパイ活動や過激な攻撃に悪用される
8. クラウド時代に伴う脅威の増加
9. IoT デバイスの企業への浸透が進み、IoT への DDoS 攻撃が増加

インテル セキュリティ、2017年と今後4年間のサイバー脅威予測を発表
↓そういえばインテル＝マカフィーか。こっちはPDFもあるよ。
McAfee Labs 2017年の脅威予測

1. 2017年後半はランサムウェアの勢いが低下
2. Windowsへの攻撃は減少、他のプラットフォームでは増加
3. ハードウェア・ファームウェアへの攻撃が増加
4. ドローンの乗っ取り
5. モバイルへの攻撃は引き続き増加
6. お家のIoT機器にバックドアが仕掛けられる
7. 機械学習がソーシャルエンジニアリングを加速させる
8. 偽の広告と「いいね」の売買
9. 広告戦争がマルウェア配信を促進
10. システムが勝手に収集している情報をハクティビストが暴露する
11. 当局のサイバー犯罪の取締りが本格化
12. 脅威インテリジェンスの共有が進む
13. サイバー戦争における当局と業界の連携強化
14. リアルとサイバーのセキュリティが相互に連携

これはなんだか面白くなってきたぞ。SFの世界がひとつ、またひとつと実現されていきますね。

Palo Alto：2017年日本のサイバーセキュリティ予測

1. サイバー保険がより一般的に
2. 中小企業や非重要インフラ部門にもサイバーセキュリティ対策強化に向けた圧力が高まる
3. サイバー脅威インテリジェンスと分析の共有が企業間でより活発に
4. 高齢化社会における災害救助での遠隔医療サービスのセキュリティ
5. 大量のマイナンバー個人情報漏えいが発生

マイナンバー、不吉なこと言うなよってところですが、当然狙われる情報だけに否定はできないですよね。インシデント発生時にどこまでスムーズにレスポンスできるチームワークを見せてくれるのか、日本のCSIRTの動向に注目です。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

セキュリティコード含むクレカ情報流出の可能性 – 家具販売サイト

http://www.security-next.com/076794
カゴヤ・ジャパンもそうだったけど、自分とこのDBにクレカ情報持ってるところって少なくないんだな。決済代行サービスやってる会社に投げつけて、自分では持たないようにしないとダメだよ。

NTTドコモからマイナンバーカード対応Androidスマホが登場

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/121600736/?ST=security&itp_list_theme
さすがAndroidは小回りがきくなあ、ってなところですが、マイナンバーを日常的に使うようになるまでは使おうと思えないな…。証券口座作るのに１週間かかっても別にいいよ。微妙すぎる利便性に比べて、リスクの方がよっぽど気になってしまう。

ロシア、中国とのネット提携が進む。GFW技術の輸出も　ほか～2016年11月

http://internet.watch.impress.co.jp/docs/column/m_china/1035905.html
赤いネットが金盾実装。見方を変えれば、ロシアと中国が脆弱性を共有したことになる。どちらかでほころびが見つかれば、そのほころびを突いた攻撃が両方で発生しうる。このことが今後どう影響するか…。

ランサム被害者の15％が支払に応じる – 5万円以上が3割超

http://www.security-next.com/076728
この題名不正確じゃないか？ 10万円以上はほぼゼロだぞ。4割が1万円以下って方がニュースのような気がするし。こんなのでも生計成り立つのかねえ？
↓インターネット利用者数がこれなので…
http://www.soumu.go.jp/joho_tsusin/kids/internet/statistics/internet_02.html

試しに計算してみると、
(1億46万人 × 4.5％ × 15.2％) × (\500×23.5% ＋ \5,000×17.6% ＋ \30,000×17.6% ＋ \75,000×35.3% ＋ \?×6.0%)
＝687,147人 × (\32,753 ＋ \?×6.0%)
＝\22,505,762,466 ＋ (\?×41,229人)

ということで、市場規模は225億円以上。日本だけでね。この金額はと言うと、単純にググって出てきたのが以下。ほう…、基地局向けってマニアックだなｗ。

▼携帯基地局向け部材市場、2015年度は225億円 – ケータイ Watch Watch
http://k-tai.watch.impress.co.jp/docs/column/mca/751143.html

他には200億円台だと、水素水とか男性肌ケアとか。微妙だけど、決して小さくもないぐらいの規模ですね。

「Dirty COW」にあらたな攻撃手法 – 直接メモリにコードを追加可能

http://www.security-next.com/076618
脱！なるほど分からん！ ということで、もっと掘り下げてみましょう。
↓カーネルの脆弱性
https://rhn.redhat.com/errata/RHSA-2016-2124.html
REHL6や7のところには書かれてなくて、REHL5のところにしか記載がないけどこれで合ってるのかな？ Google先生の通訳を交えてバグの原因を探ってみる。

1. ジャーナルモード ‘ordered’を実行しているときに、カーネルクラッシュまたはファイルシステムの破損が発生する。
2. カーネルクラッシュは、2つのジャーナル関数間の競合状態によるヌルポインタ逆参照によって引き起こされる。
3. ファイルシステムの破損は、do_get_write_access（）関数とバッファ書き込みの間の競合状態のために発生する。

⇒まず、ジャーナルモードってなんじゃい！ということで、ファイルシステムのお勉強から。

▼CentOS ext4ファイルシステム
http://www.unix-power.net/linux/ext4.html

書き込む本体データと、そのメタデータをどう記録するかの設定らしい。んで、デフォルトがorderedモード。それなりに処理が速くて、状況によって書き込みに失敗することがあるモードとのこと。その失敗するパターンをうまいこと悪用して、カネールクラッシュさせたりファイルシステムを壊したりしたよ、ってことか。

1. ファイルのタイムスタンプ処理に問題があったため、一部のGFS2（Global File System 2）ファイルのタイムスタンプ値が正しくない状態になっていた。問題の処理は以下の2つ。
2. GFS2ファイルにアクセスした実際の時刻よりも、前の時刻に終了した場合のatimeタイムスタンプに関する処理。
3. GFS2ファイルが1つのノードから書き込まれ、別のノードから読み書きされたときに失われたmtimeおよびctimeタイムスタンプの更新に関する処理。

⇒通常ではありえない時刻の更新によって想定外の動きをしちゃいました、ってことか。

うーん、本題と結びついてないような気が…。メモリ関係ないじゃん。単にREHL5だけのバグなのかな。カーネル作ってる人たちのコミュニティとかに入れば、もっと具体的なことが見えてくるのかな？