【セキュリティ】オヤジのきまぐれニュース – 2017/04/21

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「その説明では分からん」と言われたら、効果を“見える化”しよう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041100009/?ST=security&itp_list_theme
ケーススタディーを交えて、分かりやすく説明されている良記事。経営層には数字で説明しないとですね。まあ、数字は独り歩きすることがあるから、そこも注意しないといけないのだけれど…。

This is a good article which is explained with case studies. When you explain to the management, you should use numbers. However, numbers sometimes walk alone, so you also be careful it.

ヤフーがパスワード使わない認証方式導入、SMSで確認コード送信

http://itpro.nikkeibp.co.jp/atcl/news/17/042001220/?ST=security&itp_list_theme
手元に必ず携帯がないとログインできないとも言えるが、そういう状況は珍しい。今後の主流となるや否や。
電話番号のなりすましは難しいっていうことなんでしょうね。ただ、ワンパスとはいえ確認コードが数字のみ6桁というのは脆弱性足り得ないのだろうか…。
まあ、銀行の暗証番号が4桁であることを考えると、大きな問題ではないのかな。3回ではないだろうけど、何度も間違えたらロックされるんだろうし。

When you forget to bring mobile phone, you can’t login the system. But I think such the situation is unusual. It may become mainstream in the future.
I guess that it is difficult to impersonate telephone number. However, one-time password has high security level, but I doubt safety because check code is only 6 numbers.
On the other hand, I guess it isn’t big problem because banks security code is 4 numbers. Also, your account is going to be locked if you misstype several times.

ラック、新卒採用で新たな試み – CTF突破で「即！西本面接」

http://www.security-next.com/080778
ラックさんは流石ですね。ウチの会社もこんなことができればいいんだが、そもそもCTFの基盤がない。まずは、そこからなんですよね…。

LAC Co., Ltd. is great! We want that our company also adopts new members similarly, but we don’t have any infrastructur of CTF unfortunately. First of all, we have to prepare it.

「企業のCISOやCSIRTに関する実態調査2017」報告書について

http://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html
300人以上の企業であれば、CISOの設置が6割を超えたんですね。良い傾向です。
やってることは、テクニカルな対応が中心で、経営目線や部署横断はまだまだこれから、という状態ですか。セキュリティに詳しいけど、それほど高くない役職の人がCISOやってるにおいがする…。権限もっと与えてあげなよ。
セキュリティ対策はコストであり、事故が起こったときの被害想定額と突き合わせながら検討しないといけない。そういう意味では、セキュリティのスキルが高いことも大事だけど、それ以上に数字でものを語れる人や台風のように色んな人を巻き込んでいける人がCISOに就くと良いと思う。

Over 60% Japanese companies which have over 300 employees appointed CISO according to this report. It’s good trend.
Large number of them is given technical work, but the management view or the other departments involvement is still a few. I predict that the people who has high technical skill and low position were appointed CISO. These companies should give CISO more authority.
After you calculated how much does it cost when an security incident occurs, you should think the investment for managing security. In that sense, I think that certainly it’s important that CISO has high technical skills, but the skills which is telling with numbers or adjusting with people including other department is more important.

「その説明では分からん」と言われたら、効果を“見える化”しよう

ヤフーがパスワード使わない認証方式導入、SMSで確認コード送信

ラック、新卒採用で新たな試み – CTF突破で「即！西本面接」

「企業のCISOやCSIRTに関する実態調査2017」報告書について

クックCEO、テクノロジを学ぶ女性の少なさ憂慮–「米国の優位性が失われる」

WikiLeaksが暴露したCIAのハッキングツールの使用実態が明らかに–シマンテック

潜在ニーズはいかに、IPv6の技術書をクラウドファンディングで作る試みが注目を集める

情報セキュリティ10大脅威 2017

こっそり待たせて処理を実行、メール無害化

知らないと炎上必至？ 新人に教えるべきクラウドサービスの使い方

「Android」、ネット利用シェアで「Windows」を抜き初の首位に

インシデント発生の認知スピードは大幅改善も、まだまだ不十分 ほか

「Google Home」がついに米国外へ–4月6日に英国上陸

セキュリティ人材は9割の企業で不足、NRIセキュアが調査

4社に3社が過去1年間にインシデントを認知 – 標的型攻撃は8社に1社

「報われないから報告しない」、若者ハッカーの本音

「AIが雇用の脅威になるのは50～100年先」：米財務長官

国内2万台超の端末がマルウェア感染、ドイツで600万ユーロの被害を引き起こしたインターネットバンキング不正送金事案で

ワンタイムパスワードでも危ない、警視庁が新型ウイルスの被害を確認

沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か

[セキュリティ ホットトピック] 改正個人情報保護法、変更点・注意点などガイドライン公表

ChromiumでAPNG（アニメーションPNG）の表示をサポート

日本狙う「偽Google Play」に注意 – スミッシングで誘導

サイバー防御をレベルアップ、ファイア・アイらがセキュリティインテリジェンスを進化

国立情報学研究所、「匿名加工情報」の加工方法をまとめた報告書を公表

痕跡を残さないサイバー犯罪集団「Lurk」の変遷：第1回 組織化とマルウェアの巧妙化

マイクロソフトの水中データセンター特許–冷却が必要なら水に沈めてしまえ

「Office 2007とVistaは速やかな移行を」、IPAがサポート切れ迫る2ソフトに注意喚起

WordPress脆弱性狙う複数の攻撃キャンペーン – すでに数万件規模の被害か

上場企業の3割以上がランサムウエアや標的型攻撃の被害に、CSIRTは1割超が設置

不正アクセス可能なプリンターを見つけると警告してくれる親切なハッカーが海外で話題に

資生堂子会社のECサイト、無いはずのカード情報が漏れた原因とは

最高裁、グーグル検索結果の削除で初の統一判断

IPA、脆弱性晒されたサイト運営者へ例外的に連絡 – 政府機関や上場企業も

「鍵マーク」表示される偽Amazonに注意 – Googleの短縮URLで誘導

「Office使えなくなる」と脅すメールが再び流通

セキュ月間が開始、3月18日（サイバー）まで – キャッチフレーズは「＃サイバーセキュリティは全員参加！」

イスラエルでCyberTech 2017開催、ネタニヤフ首相がサイバーテロ対抗で国際協力を宣言

最速0.2秒でリアルタイム音声翻訳、ネット接続不要のスティック型翻訳機「ili」

ソニー、小学生以上向けロボット・プログラミング学習キット「KOOV」

フィッシング対策協議会、サイト改ざんについて中間報告 – 原因特定できず

不正送金マルウェアが16.8倍と急増 – 侵入経路の大半が「メール」

[セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

アップルのPPTP終了が製品/サービスに影響

2016年個人と法人の三大脅威：日本におけるサイバー脅迫元年

「セキュリティAI」、ITシステムをAIが守る

セキュリティ甘い「MongoDB」狙ったランサム攻撃が発生中

サイバーソリューションズ、ファイルを添付したまま無害化するメールサーバーを販売

「脱BIND」、脆弱性多数の代表的DNSソフトから移行を

SHA-1証明書を用いたウェブサイト閲覧時の警告／エラーや表示についてフィッシング対策協議会が注意喚起

日本で空前のCSIRTブーム／IoT機器ベンダーは「緊張感」を～2016年のセキュリティを振り返る ほか

2016年3Qのクレジットカード不正被害は34.1億円 – 番号盗用が62.9％

5人に1人、個人情報漏洩が不安 – 前年度から大きく改善

両手両足の感覚をVR体験にプラス–Cerevoが触感センサ付きVRシューズ＆グローブ発表

介護施設で働く「Pepper」–血圧測定、個人データ管理ができるシステム開発の背景は

ランサムウェアによる最大の標的国は日本

ソニー米国子会社が「ブリトニー死去」の偽ツイート、アカウント乗っ取りで

後ろに回るとキャラを背後から見られる、透明スクリーンへの両面投影ムービーがすごいと評判

カラーイラストが自由自在、人工知能を用いて線画に自動着色する技術がネットで話題に

予期せぬクリスマスプレゼント？ 正規版Windows 10が約400円で購入可能になるも速攻終了

こんなところまで？ハッキング被害続出の韓国

2016年アクセスランキング発表！ – ［セキュリティ］「セキュリティ人材」は増えるのか？新しい試験や資格に関心集まる

Mozilla、「Firefox」のXP／Vistaサポートを来年終了へ

「セゾンNetアンサー」の偽サイトが大量発生

MyJVN

アバスト、Androidのリソースを大量に消費する20のアプリを発表

横浜市のマイナンバーシステム障害、待機系のパスワード変更漏れが原因

年末年始の長期休暇に向けたセキュリティ対策を

家庭用ルータや IoT機器を「ゾンビ化」する攻撃、その影響を解説

「彼らは本気度が違う」 ～ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

船舶をモチーフにしたデザイン照明「Siphon Grande」

経営者に向けた300ページのサイバーセキュリティ指南書、パロアルトが無償配布

2016年の主要なサイバーセキュリティ事例を振り返る

セキュリティコード含むクレカ情報流出の可能性 – 家具販売サイト

NTTドコモからマイナンバーカード対応Androidスマホが登場

ロシア、中国とのネット提携が進む。GFW技術の輸出も ほか～2016年11月

ランサム被害者の15％が支払に応じる – 5万円以上が3割超

「Dirty COW」にあらたな攻撃手法 – 直接メモリにコードを追加可能

Evernoteがプライバシーポリシーを変更へ–一部の社員がコンテンツを閲覧可能に

トレンドマイクロ、Wi-Fiの危険性と安全な運用方法を解説した「IoT時代を見据えたWi-Fiセキュリティガイド」公開

知らないと炎上必至？新人に教えるべきクラウドサービスの使い方

インシデント発生の認知スピードは大幅改善も、まだまだ不十分　ほか

[セキュリティホットトピック] 改正個人情報保護法、変更点・注意点などガイドライン公表

痕跡を残さないサイバー犯罪集団「Lurk」の変遷：第1回組織化とマルウェアの巧妙化

[セキュリティホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

日本で空前のCSIRTブーム／IoT機器ベンダーは「緊張感」を～2016年のセキュリティを振り返る　ほか

予期せぬクリスマスプレゼント？　正規版Windows 10が約400円で購入可能になるも速攻終了

「彼らは本気度が違う」～専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

ロシア、中国とのネット提携が進む。GFW技術の輸出も　ほか～2016年11月

[セキュリティホットトピック] 未成年によるサイバー犯罪が多発、営利目的と違う動機に注目