本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「Firefox 54」がリリース–「Electrolysis」技術で速度と安定性を強化

https://japan.cnet.com/article/35102704/
Firebugとかあって開発向きなのでFirefoxを使ってるけど、そんなことになってたのか。でも、グラフと文章一致してなくないか？ Chromeにユーザ奪われてるのはIE(Edge)じゃん。
しかし、普段使いはどうしてもChromeになってしまいますね。複数ユーザ切り替えられたり、Androidとの連携度が高かったり、もう他では満足できない身体にされてしまってますね。
Vivaldiさんは圏外みたいだけど、元気にしてるかな…。私はもう使わないだろうけど。

アップルの「極秘」自動運転プロジェクト、クックCEOがついに発言

https://japan.cnet.com/article/35102686/
ハード＋ソフトで攻めるアップルが、ソフトに注力する判断は興味深いですね。Uberがあんなことになっているタイミングだから、言った気がしないでもないが。

スマートスピーカは安全か–「HomePod」「Echo」「Google Home」を比較

https://japan.cnet.com/article/35102601/
海外（米国かな？）では売れてるんですね。日本では、まだ安全を語る以前の状態ですが…。持ってる人どのぐらいいるんだろう。
GoogleやAmazonは自動でデータを削除しないようですが、相変わらずストレージどうなってんだ。
Appleは思い切った仕組みにしましたね。会社としてはユーザの趣味・嗜好を読み取って、別のビジネスに活かそうとスケベ心が出てきそうなもんですが、そこは広告屋さんやブローカー屋さんとの違いか。

Microsoft、6月の月例パッチをWindows Vista/XPなどサポート終了済みの環境へも提供

http://internet.watch.impress.co.jp/docs/news/1065158.html
あれ、永遠の不遇者Vistaちゃんまでパッチ出るの？ 相当やばいんだねぇ。皆さん、さっさとWindowsアップデートやってくださいね。

PowerPointファイル上のURLにマウスオーバーするとマルウェアに感染、新たな攻撃の予行演習か

http://internet.watch.impress.co.jp/docs/news/1065007.html
保護ビューってこういう時に仕事するのか。オオカミ少年過ぎて知らんがな状態だけど…。
仕組みは一種のインジェクション攻撃っぽいですね。ハイパーリンク設定にPowerShellのコードを書くようなイメージか。

「サイバー保険」付きネットワークセキュリティサービスを提供開始

http://cweb.canon.jp/newsrelease/2017-06/pr-home-insurance.html
キャノンが保険をやるのか。5年間で77万円かかり、1年あたり100万円まで補償、でいいのかな？ 防御も提供することで保険の支払い機会を少なくさせるという意味では、なかなか頭の良いソリューションなのかも。サイバー保険が登場してから暫く経つけど、どのぐらい需要があるんだろうね。
↓これか
[FT]サイバー保険の見直し迫られる　データ不足で
http://www.nikkei.com/article/DGXMZO13259170T20C17A2000000/
世界レベルでは増加傾向だが、課題ありとのこと。日本で流行るのはもうちょっと先になりそうですね。

エンジニアと呼ばれる人達の仕事の実態

http://axia.co.jp/2017-06-14
私なんかはマネージャにさせられそうになっては逃げてきている技術志向の人間なので、他人事に思えないですね。冒頭の大学生の気持ちは大事にしたいです。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

ダウンロードフォルダーが危ない、「DLL読み込みの脆弱性」でウイルス感染

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/060701007/?ST=security&itp_list_theme
ちょいちょい目にするなあとは思っていましたが、列挙するとこんなにあるんですね。仕組みも具体的に紹介してあって良い記事です。

中国のAI、難関の大学入試に挑む–150点中105点を獲得

https://japan.cnet.com/article/35102589/
中国の難関大学と東大ってどっちがレベル高いのか分からないけど、なんだかリアルな点数出しますね。仮にも計算機とか電脳って呼ばれてるんだから、数学はもうちょっと頑張ってほしいところですｗ。

ノートPCの画面をタッチパネル化する「AirBar」–手袋でも操作可能

https://japan.cnet.com/article/35102463/
えっ？ こんなのあるの！ 買っちゃおうかな。ノートパソコンで終わらず、27インチモニタ対応あたりまで頑張ってほしいですね。

イラストのエロ基準を判断するのがTwitterでいいのか？　“場”の細分化による超巨大SNSからのパラダイムシフト

http://internet.watch.impress.co.jp/docs/event/1064605.html
mstdn.jpやPawooは登録してみましたが、えらい中途半端だなあという印象。記事の通り、小規模に運営するなら分かるけど（LINEやSkypeでいいじゃんという思いは拭えませんが…）。Pawooの背景はなるほど、といった感じですが、だとすると日本人が利用するメリットはなさそうですね。本家でいいじゃん、となってしまいます。
マストドン立ててみようかとは思うけど、誰も来ないだろうし…、魅力的なテーマがないと如何ともしがたいな。悩む。

[速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由

https://scan.netsecurity.ne.jp/article/2017/06/07/39821.html
今後流行りそうな機器の皆さんです。

退役軍人をセキュリティ人材に、米企業が採用を拡大（上）

http://itpro.nikkeibp.co.jp/atcl/idg/17/060700043/060700001/
米国でもサイバー方面は人手不足。たしかに軍人であれば堅いですね。じゃあ、日本では自衛隊経験者優遇とかやれば良いのか。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

ユーザーはセキュリティを気にしない！ それでも安全なIoTデバイスを

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/060200006/?ST=security&itp_list_theme
そうですよね、ユーザなんてトリセツすら読まないんだから。セキュリティをフールプルーフ（ミスってもひどいことにならない）で用意しておくのは今後当たり前になりそうですね。

米大統領選、露によるサイバー攻撃は「最低でも数百件」–コミー前FBI長官

https://japan.cnet.com/article/35102487/
１件あたりが何を指しているのか分からないんですが…。ロシアからのサイバー攻撃なんて常にあるだろうに。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

１０代サイバー犯　ホワイトハッカー育てよ

http://www.sankei.com/column/news/170608/clm1706080001-n1.html
一般の紙面でも取り上げられてますね。少佐のようなウィザード級ハッカーが登場しないかとワクワクしますね。

邪魔者扱いはもう卒業、SELinuxで守るIoTセキュリティ

http://itpro.nikkeibp.co.jp/atcl/column/17/041900153/052500001/?ST=security&itp_list_theme
ホントね、SELinux使ってないとかダメですよね。…はい、すいません。このサーバも無効化してます。そろそろ使いこなせるようにならないとな。単純に有効化したら、どこが動かなくなるかぐらいは洗い出しておこうかね。
まあしかし、ググってみても相変わらず無効化する話題ばっかりですね。

“正義のウイルス”出現！？脆弱なIoT機器を使用不能に

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/060500003/?ST=security&itp_list_theme
ウイルス同士の攻防か、なかなかアツいですね。まあ、とばっちりは所有者にいくんですけどね…。

国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

http://blog.trendmicro.co.jp/archives/15144
既存のウイルススキャンの弱点は、メモリ上のデータまではチェックしていないこと。ディスクに比べれば小さいんだし、やればいいだけじゃんと思ってしまいますが…。どこにネックがあるのか。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

恐れすぎるのは愚かだ、サイバー攻撃はアニメの「防壁迷路」で対処

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/060400850/?ST=security&itp_list_theme
ワクワクが止まりませんなあｗ。あっという間に陳腐化してしまう可能性もあるけど、STARDUSTには頑張ってもらいたい。

ITセキュリティが使えないIoTの世界、技術の違いを理解する

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/052900003/?ST=security&itp_list_theme
ユビキタス、M2M、IoTと呼び名を変えながら、それほど目立った進捗がない理由が垣間見えます。
何でもかんでもネットに繋ぐことが大事なのではなく、それぞれネットに繋ぐことでこんな効果を期待でき、リスクもこの程度なら許容できると言えるところまで評価しないと、セキュリティ以前の問題で頓挫してしまうんですね。
方式やプロトコルが違うことがネックなのであれば、CORBAやAPIのような仕組みが今後登場して、全体的に実装が進んで、やっとセキュリティも考えられるようになって、と。うーん…、準備だけで10年かかりそうだな。

「注文のキャンセル」を促すAppleのフィッシングメール出回る

http://internet.watch.impress.co.jp/docs/news/1063937.html
なんで注文をキャンセルするのに住所やクレジットカード情報を入力するんだよ…。
ID・パスワードの方は本当に危険ですね。１つのIDでなんでもできると、いざ流出した時になんでもバレちゃう。
偽サイトはhttpsが半分より多いぐらいか。httpsだから信用できる時代はすで過去のものなんですねえ。トップレベルドメインにしても、安物ばかりでなくcomとかinfoも入ってるね。Let’s Encryptを使うにしても、それなりには投資してるんだな。

[セキュリティ ホットトピック] ランサムウェア「WannaCry」被害概況

https://scan.netsecurity.ne.jp/article/2017/06/06/39813.html
日立がやられたのは噂に聞いてたけど、メールがやられてたのか。関係された方は大変お疲れ様です。
しかし、XPはパッチ出たのに、Vistaは出ない相変わらずの不遇さ…。ごちそうさまです。

未成年者がランサムウェアを作る時代、日本初の逮捕事例を読み解く

http://blog.trendmicro.co.jp/archives/15133
まあ、仕組みはそれほど難しくないから、できてもおかしくないか。見た感じからしてスクリプトキディじゃなく、自作っぽいですね。私なんかはむしろ、こういう若い人には好印象を覚えてしまうけど…。
バッチファイルを作成しただけでウイルスとして撒いたわけではなさそうですね。学校で遊び半分で実行したらエライことになった（汗）、みたいな感じでしょうか。反抗期・思春期な頃合い、大目に見てあげてよ。

あと、大阪の子に対して神奈川県警が動いたのはなんでじゃ？
↓こういうことみたい
全国警察、サイバー捜査の腕競う＝警察庁初開催、優勝は神奈川
http://www.jiji.com/jc/article?k=2017020801115&g=soc
最近は京都じゃないんですね。２位：茨城県警、３位：宮城県警というのも意外だな。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

話題のＳＮＳ　マストドンは「400万年生きたゾウ」

http://www.nikkei.com/article/DGXLASDZ05H5H_V00C17A6000000/?dg=1
マストドンが日経で紹介されていますね。お宅の会社ではやらないんですか？的なアピールですかね。

本格普及間近のIoT、今できるセキュリティ対策は？

http://itpro.nikkeibp.co.jp/atcl/column/17/052900219/052900001/?ST=security&itp_list_theme
通信コストの多様化はぜひ進んでほしいですね。しかし、結論イマイチだな。徹底的に守れと言いつつ、統合管理するなって…。打つ手なしって言ってるようなもんじゃん。

「保証期間内で軽度のデータ復旧なら無償対応」、バッファローが価格破壊の深層語る

http://itpro.nikkeibp.co.jp/atcl/news/17/060201574/?ST=security&itp_list_theme
ありがたい一方で、HDDってどうしても情報流出が気になるから、どれだけの人が利用するのか読めないな…。
私は自分で復旧を試みるか、諦められるようにバックアップをしっかり取っておくかを選択します。

ドローンによる配達で使うパラシュート入り宛名ラベル–アマゾンが特許を取得

https://japan.cnet.com/article/35102244/
と見せかけて爆弾を投下するテロは起こらないんだろうか。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「Tera Term」のインストーラに脆弱性 – 修正版がリリース

http://www.security-next.com/082338
まさに先日紹介したワイルドカード読み込みの脆弱性ですね。SEにはおなじみのTeratermでやらかしてるぐらいだから、常に疑ってかからないといけませんね。

「sudo」に深刻な脆弱性 – ルート権限を取得されるおそれ

http://www.security-next.com/082335
雑な設定でsudo使ってるから正直ピンとこなかったけど、sudoでできることを制限した状態なのに乗っ取られちゃうよ、っていう脆弱性なんですね。sudoの設定も見直さないといけないな。

ジュピターテクノロジー、ランサムウエア攻撃を無害化するソフト「Ranstop」を発売

http://itpro.nikkeibp.co.jp/atcl/news/17/060101567/?ST=security&itp_list_theme
半月タダで使えますって言われてもな…。既存のウイルススキャンソフトと併用したら、相当リソース持って行かれそうだけど、どんなもんなんでしょうね。まだまだ、この手のものは海の物とも山の物とも、です。

Shadow Brokersから「エクスプロイトを買い取る」キャンペーンが中止に

https://japan.cnet.com/article/35102151/
発想は興味深いんですけどね…。ちょいと脇が甘かったみたいです。

「Googleスプレッドシート」、AIでグラフ作成が簡単に–自然言語を理解

https://japan.cnet.com/article/35102157/
Googleスプレッドシートは複雑なグラフを作れないのがなぁ～。Open Officeでできることは実現してほしい。

イーロン・マスク氏、トランプ大統領の諮問委員やめる–パリ協定離脱に反発

https://japan.cnet.com/article/35102155/
離脱に反対する意味が分からん。そもそも米国は京都議定書に調印してなかったし、その後のパリ協定なんて強制力のない、あって無きものだったわけで。就任当初から囁かれている、IT業界とトランプ大統領の確執なんじゃないの？

NICT、サイバー攻撃を模擬環境に誘引して長期観測を可能にする「STARDUST」を開発

http://internet.watch.impress.co.jp/docs/news/1063212.html
10年前に流行ってたハニーネットの後継ですかね。良い情報が取れそうです。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「WannaCry」で騒ぎすぎ？セキュリティのプロが静観する理由

https://japan.cnet.com/article/35101892/
数百万円単位の被害では失敗扱い。身代金のビットコインも回収できず、と。たしかにサイバー兵器と言うにはお粗末なものだったかもしれませんが、感染力は相当なものでした。先日のニュースで取り上げたキルスイッチが見つかったから終息しているものの、楽観視するのもオススメできません。まだまだ亜種が出続けるでしょうから、さっさとWindowsアップデートしといてくださいね。

認証試行の3分の1はわずか25個のパスワード／セキュリティ専門家の実態に関する「残念」な調査結果

http://internet.watch.impress.co.jp/docs/column/security/1062756.html
「攻撃元」としているのは、実際には踏み台にされていることが多いため、真の「攻撃者」の所在地を示しているわけではない、と。
そうか、ウチのハニーポットもそういう目で見ないといけないんだよね。アメリカ・中国・オランダ・ロシアあたりが常連だけど、踏み台にされてるマシンが多い国、と捉えた方がいいのね。

ダークWebでのサイバー犯罪者同士の縄張り争い

http://blog.trendmicro.co.jp/archives/15107
大変興味深いですね。ダークWebにどうやったらWebサイトを設置できるのか全くイメージが湧いていない状態ですが、ハニーポット設置するところまで頑張ってみようかな。しかし、さすがトレンドさんですね。改竄を許しているところからして高対話型のハニーポットのようですね。やってみたいな～。

エンジニア不足で外国人大量採用に日本人激怒

http://axia.co.jp/2017-06-01
外国人大量採用、結構なことだと思います。そもそもインターネットはグローバルなものなんだから、エンジニアがグローバルであっても何ら不思議ではない。日本にまで来れるレベルのアジアの人達は、なんとなくやってる日本のエンジニアよりもレベルや意識は高いでしょう。少なくともマルチリンガルな時点でね。
システム屋もITセキュリティ屋も人手不足ですし、先日取り上げたニュースではバブル期を上回る売り手市場とのことでした。日本人の雇用を奪うことにはならないでしょう。悔しかったら資格の１つでも取得することです。

観点を変えて述べると、中国や北朝鮮のスパイをみすみす受け入れてしまう可能性について。これは受け入れ企業ごとに判断することであって、募集の条件に外国人エンジニアをOKとするかNGとするか、各々がコストや秘匿性と相談しながら考えるべきことです。極論を言ってしまえば、日本人のエンジニアだってハニートラップに引っかかれば同じことなわけですし…。
市場原理に従えば、受け入れる企業が多くないのであれば自然と外国人を採用しなくなります。そのへんまで含めた日本人の総意は、果たしてどうなっていくのでしょうね。

すいません、今このサイトにアクセスするとhttpsのエラーが出ている状態になっています。まあ、回復しない限りこの画面を表示する所まで来ないとは思いますが、一応ね。

おととい、ようやくDionaeaFRでエラー吐き続けていたページをリカバリできたんですが、その影響かyumがこんなエラーを吐くようになってしまいました。


# yum
There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

No module named yum

Please install a package which provides this module, or
verify that the module is installed correctly.

It’s possible that the above module doesn’t match the
current version of Python, which is:
2.6.9 (unknown, May 31 2017, 20:06:51)
[GCC 4.8.5 20150623 (Red Hat 4.8.5-11)]

If you cannot solve this problem yourself, please go to
the yum faq at:
http://yum.baseurl.org/wiki/Faq

Google先生にお伺いを立ててみたんですが、全然回復できない…（激汗）。まあ、それだけなら良かったんですが、よりにもよって証明書がぴったし失効してしまうという二重苦。どうやらLet’s Encryptのコマンドを打つと、yumを実行しているようで、yumが壊れていると正常に動いてくれないんみたいなんですよ。

そもそも毎月自動更新するようにcron仕掛けてもいたのに、動作確認せずに放置していた結果がこれだよ…。
ちょっと時間がかかりそうですが、最悪OS再インストール含め対応していきます。いい勉強になりますね！（泣）

—————————–
[6/1追記]
ひとまずyumは壊れたままですが、仮想環境にコピー環境を作ってそっちに向くようにルータの設定変えて、Let’s Encryptの更新コマンドを打って証明書を作って、その証明書を元のサーバにコピーしてルータの設定を戻して、とやったらひとまずhttpsのエラーは解消しました。

面倒くさすぎだけど、ひとまず解消して良かったです。タイムリミット90日。サーバ立て直しかなあ…。原因分かってないのは辛いけど。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

いきなり正解は出ないのがプログラミング、試行錯誤しながら正解に近づくことが「主体的・対話的で深い学び」に

http://internet.watch.impress.co.jp/docs/column/teens/1062516.html
ここまで突っ込んだ記事は珍しいですね。プログラミングを通して、別分野の学習への関心を持つというのは素晴らしいことです。
学生時代に「なんでこんなの勉強しなきゃいけないんだよ。三角関数なんて日常生活で使わねえだろ。」とか思っていた一人として、こうした機会が得られるのは羨ましささえ感じてしまいます。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

求人倍率 バブル期超え　４月1.48倍、43年ぶり水準

http://www.nikkei.com/article/DGXLASFS30H26_Q7A530C1MM0000/?dg=1
2008年度に新卒入社した私が就活していた頃は超売り手市場と呼ばれたものですが、今はそれより売り手なんですね。医療・介護には触れられていますが、エンジニアはどうなのやら。身近にはあまり若い人が増える気配がないんですよね。
↓こんな良い資料あったのか。経済指標ダッシュボード。
https://vdata.nikkei.com/economicdashboard/macro/

2016年は14億件のデータが漏洩、ジェムアルト公表

http://itpro.nikkeibp.co.jp/atcl/news/17/052901525/?ST=security&itp_list_theme
個人情報が多いけど、多いなら細分化してほしいな。例えば、住所が漏れるのと、楽天の購入履歴が漏れるのでは全く意味あいが違ってくるでしょうし。
金融の情報はそうそう変えるもんじゃないけど、住所なんかは引っ越すことで無効な情報になったりするので、なかなかリスクの評価が難しいですね。
なんであれ、もはやどこで情報が漏れるか分かったものではないので、定期的にクレジットカードの使用履歴をチェックしたり、銀行預金の記帳をマメにやったりと、リスクの高いところには対策するよう習慣付けていきましょうね。

NRIセキュアテクノロジーズ、自動車のセキュリティ診断を開始

http://itpro.nikkeibp.co.jp/atcl/news/17/052501496/?ST=security&itp_list_theme
さすがにまだ時代を先取りしている段階だけど、いずれは車検の一項目になっていくんでしょうね。

Appleの最新透明性レポート、米国家安全保障関連の要請が急増

http://itpro.nikkeibp.co.jp/atcl/news/17/052501492/?ST=security&itp_list_theme
急増と言っても少ない印象ですね。日本ではだいたい１日に１つの情報提供要請が出ている状態。

ウォズニアック氏、次の技術革新はアップルではなくテスラからと予想

https://japan.cnet.com/article/35101929/
日本ではあまり馴染みがないイーロン・マスク氏。今行っている英会話スクールのCEOが大好きで、２年前の正月にレッスンを受けた際、熱く語っていたのを印象的に覚えています。

ランサムウェア「AES_NI」「BTCWare」被害者向けに復号化ツール

http://www.security-next.com/082190
検証は怖くてできませんが、こういうものも出始めているんですね。JigsawやTeslaCryptなど有名どころもカバーできていて心強いです。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

ダウンロードフォルダーからのインストールは危険、JVNが注意喚起

http://itpro.nikkeibp.co.jp/atcl/news/17/052601516/?ST=security&itp_list_theme
ダウンロードフォルダは定期的にお掃除しましょう。私はブラウザのデフォルト設定でデスクトップにダウンロードするようにしています。変なファイルがあったらすぐに目につくので、これはこれで対策としてはアリかもしれませんね。

お宅に悪用されそうな不具合や設定ミスはありませんか？　無料の「Nessus Home」で自宅デバイスの脆弱性をスキャン

http://internet.watch.impress.co.jp/docs/column/shimizu/1061381.html
16IP使えれば十分ですね。やってみようかな。しかし、機能比較表が…バカっぽくて素敵ですｗ。

プログラマーになりたい人が考えるべきこと

http://axia.co.jp/2017-05-29
よくまとまっていて良い記事です。若い人って意外とエンジニア志向なんですね。もう嫌われている仕事だと思っていたので、正直驚きました。我々の子供時代に比べれば、プログラミングをしようと思えば簡単にチャレンジできる環境になっているのは事実か…。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

大量の脆弱性報告で注意喚起、インストーラ作製アプリなどに起因 – 脆弱性狙うマルウェアも

http://www.security-next.com/082096
うーん、永遠の課題ですな…。仕組みは分かりやすいですね。libフォルダ配下のファイルをワイルドカード指定で取得するような実装でしょ。組織で作っていれば１ファイル１ファイル指定するようなコーディングルールにしたりするだろうけど、個人とか小規模で作っているものだと怪しいですね。

Twitterに第三者が勝手にツイートできる脆弱性、発見者に報奨金7560ドル

http://itpro.nikkeibp.co.jp/atcl/news/17/052501503/?ST=security&itp_list_theme
文面だけ読むと脆弱性というより、ただのバグじゃないの？と思ってしまうのですが…。本家見てみると、Burp使ってパラメータいじるぐらいはしてるのか。これで80万円弱。

WannaCryの活動を緊急停止、「キルスイッチ」とは何だったのか

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/052300002/?ST=security&itp_list_theme
名前解決できないときだけ活動する、って面白い仕組みだな。ウラのかき合い。
サンドボックスでは活動しないマルウェアってこういう仕組みなんですね。思ってたより普通だった。

「ログインの3割がなりすまし」、アカマイが最新の攻撃動向と対策を解説

http://itpro.nikkeibp.co.jp/atcl/news/17/052301479/?ST=security&itp_list_theme
ハニーポットのCowrieちゃん見てると、入力を再生できたりするんだけど、操作がめちゃくちゃ速いログがあるんよね。あれボットなんだろうね。というか、ほぼそういうパターンなんだけど。

IT業界の多重下請け構造とは何なのか

http://axia.co.jp/2017-05-06
過去こういう会社に所属していたような…。相手にしている会社が大きい会社だったし、さっさと帰れな文化の現場だったので悲惨ではなかったけど、やっぱグレーじゃなくてブラックよね。指示系統については書かれている通りでしたし。
ただ、労務の観点でばかり書かれているけど、経験を積む意味では必ずしも悪いことばかりではないと思いますよ。本人のやりたいことができるのであれば、こういう働き方を必ずしも否定しません。
ちなみに現在の私は、派遣契約でクリーンにお仕事してます。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 – 関連ツールが共通のC2サーバを利用

http://www.security-next.com/082012
すさまじい感染力ですね…。北朝鮮の戦争は、すでにサイバー空間で激戦となっています。
ミサイルの話もロクに報道されていないようですが、サイバー戦争の話はそれ以上に伝わらない…。
しかし、パスワードってランサムウェアを解除するためのパスワードのこと言ってるのかな。思ったより簡単でびっくりしてるんだけど。

ラック、複数顧客環境で「WannaCrypt」被害を確認 – 百数十台規模

http://www.security-next.com/082020
大企業は大丈夫だが、中小企業が危ない印象ですね。弱者を狙うとは、卑劣な輩だな。

IPA 安心相談窓口だより：IPAに寄せられているランサムウェアの相談について　～Wanna Cryptorの感染防止のために今すぐWindows Updateを～

https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
感染する様子が動画で紹介されていますよ。とにかくWindowsアップデートですね。

ランサムウェア「WannaCry」の侵入経路は？　トレンドマイクロが解説

http://internet.watch.impress.co.jp/docs/news/1059794.html

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

もう始まった！？登録セキスペのオンライン講習受けてみた

http://itpro.nikkeibp.co.jp/atcl/column/14/090100053/051000246/?ST=security&itp_list_theme
これは良い情報。まだ登録してないけど、来年の秋までには私も登録する予定です。
私のように３年以上前に合格した人は、初年度が集合研修なんですね…。会社が補助出してくれないと10万円直撃ですか、ツラい。

Windows 10次期大型更新は「Fall Creators Update」–新デザインなど

https://japan.cnet.com/article/35101039/
なんかすごそう。タイムラインは使いそうだな。gifアニメのコピペもいいな。

マストドンが照らす21世紀型インターネットのありかた

http://internet.watch.impress.co.jp/docs/special/1057683.html
日本人はいつも4年程度で同じサービスに対して「飽き」がはじまる、か。とても興味深い。

「マストドン」なぜ人気？　今のうちに押さえておきたい基礎知識とビジネス活用の可能性

http://internet.watch.impress.co.jp/docs/special/1057976.html
実際にやってみないとTwitterとの違いがわからないな～。ウチのサーバに立ててみようか。

トランプ大統領、サイバーセキュリティを強化する大統領令に署名

https://japan.cnet.com/article/35101045/
FBI長官罷免ともリンクしてるのかな。日本に比べて、米国へのサイバー攻撃はレベルが違うだろうから、どんなことをしていくのかは注視していきたいところです。

無線ＬＡＮただ乗り「電波法違反の可能性」　総務省見解

http://www.nikkei.com/article/DGXLZO16282390S7A510C1CC0000/
ただ乗り用の法制度作るといいと思うよ。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

あまりに危険なIoT、濃いコーヒーを飲まされる恐れ

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/042700830/?ST=security&itp_list_theme
タイトルの通りギャグな記事でしたｗ。
なんでコーヒーメーカーをインターネットに接続するんだよ…。
第三者に皿を洗われてしまうとか、ダメなんですか？って感じですし。

「それはセキュリティ対策じゃない」、固定観念を捨ててもらおう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/042400011/?ST=security&itp_list_theme
脆弱性のあるマシンが一箇所でもあったら、他のマシンがどれだけ注意していても攻撃されてしまいます。
可用性の対策にランサムウェアの話を持ち出すのは、とても説得力がありますね。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「RSA暗号は量子コンピュータで破られない」、生みの親が日本国際賞受賞で熱弁

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042700954/?ST=security&itp_list_theme
ほう…、あと10～15年は破られない、か。米国のトップシークレットレベルの人たちは実現しちゃってる時期なんじゃないか？

Facebook、「虚偽ニュースを見分けるコツ」を英紙広告に掲載

http://itpro.nikkeibp.co.jp/atcl/news/17/050901347/?ST=security&itp_list_theme
こういうナレッジは大事。ITのIたるところですな。

泥沼化する“証明書抗争”の幕引きなるか、シマンテックがグーグルに逆提案

http://itpro.nikkeibp.co.jp/atcl/news/17/042801325/?ST=security&itp_list_theme
Google先生の影響力すごいな。所詮ひとつの検索エンジンのはずなのに、シマンテックのこの焦りよう。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

15.3％の企業で被害、ランサムで泣き寝入りも

http://www.security-next.com/081027

「当社には取られて困る情報はない」？経営層による3つの勘違い

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041900010/?ST=security&itp_list_theme

ウイルス感染の警告メールがニセモノ、文面に従うとウイルスに感染

http://itpro.nikkeibp.co.jp/atcl/column/16/012900025/042100040/?ST=security&itp_list_theme
もう何も信じられない…。

グーグル、ニューラル機械翻訳技術でインド向けにサービス強化

https://japan.cnet.com/article/35100488/

Windowsサーバーを狙ったランサムウェア攻撃、IPAが注意喚起

http://internet.watch.impress.co.jp/docs/news/1057516.html

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「その説明では分からん」と言われたら、効果を“見える化”しよう

http://itpro.nikkeibp.co.jp/atcl/column/17/021400032/041100009/?ST=security&itp_list_theme
ケーススタディーを交えて、分かりやすく説明されている良記事。経営層には数字で説明しないとですね。まあ、数字は独り歩きすることがあるから、そこも注意しないといけないのだけれど…。

This is a good article which is explained with case studies. When you explain to the management, you should use numbers. However, numbers sometimes walk alone, so you also be careful it.

ヤフーがパスワード使わない認証方式導入、SMSで確認コード送信

http://itpro.nikkeibp.co.jp/atcl/news/17/042001220/?ST=security&itp_list_theme
手元に必ず携帯がないとログインできないとも言えるが、そういう状況は珍しい。今後の主流となるや否や。
電話番号のなりすましは難しいっていうことなんでしょうね。ただ、ワンパスとはいえ確認コードが数字のみ6桁というのは脆弱性足り得ないのだろうか…。
まあ、銀行の暗証番号が4桁であることを考えると、大きな問題ではないのかな。3回ではないだろうけど、何度も間違えたらロックされるんだろうし。

When you forget to bring mobile phone, you can’t login the system. But I think such the situation is unusual. It may become mainstream in the future.
I guess that it is difficult to impersonate telephone number. However, one-time password has high security level, but I doubt safety because check code is only 6 numbers.
On the other hand, I guess it isn’t big problem because banks security code is 4 numbers. Also, your account is going to be locked if you misstype several times.

ラック、新卒採用で新たな試み – CTF突破で「即！西本面接」

http://www.security-next.com/080778
ラックさんは流石ですね。ウチの会社もこんなことができればいいんだが、そもそもCTFの基盤がない。まずは、そこからなんですよね…。

LAC Co., Ltd. is great! We want that our company also adopts new members similarly, but we don’t have any infrastructur of CTF unfortunately. First of all, we have to prepare it.

「企業のCISOやCSIRTに関する実態調査2017」報告書について

http://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html
300人以上の企業であれば、CISOの設置が6割を超えたんですね。良い傾向です。
やってることは、テクニカルな対応が中心で、経営目線や部署横断はまだまだこれから、という状態ですか。セキュリティに詳しいけど、それほど高くない役職の人がCISOやってるにおいがする…。権限もっと与えてあげなよ。
セキュリティ対策はコストであり、事故が起こったときの被害想定額と突き合わせながら検討しないといけない。そういう意味では、セキュリティのスキルが高いことも大事だけど、それ以上に数字でものを語れる人や台風のように色んな人を巻き込んでいける人がCISOに就くと良いと思う。

Over 60% Japanese companies which have over 300 employees appointed CISO according to this report. It’s good trend.
Large number of them is given technical work, but the management view or the other departments involvement is still a few. I predict that the people who has high technical skill and low position were appointed CISO. These companies should give CISO more authority.
After you calculated how much does it cost when an security incident occurs, you should think the investment for managing security. In that sense, I think that certainly it’s important that CISO has high technical skills, but the skills which is telling with numbers or adjusting with people including other department is more important.

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

クックCEO、テクノロジを学ぶ女性の少なさ憂慮–「米国の優位性が失われる」

https://japan.cnet.com/article/35099565/
適材適所を考えると、ただ同数いることが大事とは思えないけどな。女性が少ないことでどんな問題が起こっているのかを説明してくれないと、誰も本気で取り組みはしないだろう。ただ多様性ガー、と言われても費用対効果を測れないのですが…。

それに、米国の優位性が失われるって言うけど、女性活用してたからIT分野で米国が優位だったわけでもないと思うのですが。何言ってんだろうね、このおっさん。多様性を訴える前に、自分がマイノリティであることを自覚して行動しなければ、周囲は「うへぇ」としか思いませんよ。

ものつくりという切り口なら、男性の方が好きだろうし。デザインという話になったら、圧倒的に女性の優位性が上がる。デザインがSTEM分野かというと、なんとも言えないだろう。しかし、システムにとって大変重要な部分である。使いやすさという意味でもマーケティングという意味でも、大いに影響がある。

むしろ、多様性と言うならテクノロジを学んでいない人の意見を採用することだって多様性なはずで…。あ、そっか。そういうことね。Appleなんて大企業ともなるとエリートしか採用しないから、上がってくるパイに女性が少ないんだけどっていう、贅沢なことを言ってるだけなのね。まったく、どの口が多様性を語ってんだよ。没個性な製品ラインナップな割に、WindowsやAndoroidに負けてる会社が、果たしてどこまで続くんでしょうかね。

WikiLeaksが暴露したCIAのハッキングツールの使用実態が明らかに–シマンテック

https://japan.cnet.com/article/35099559/
WikiLeaksすごいな。なぜそのツールがCIAで使われていたのか知っていることを含め、どうやって調査したのか。
こういうギルドチックな存在は面白いな。

潜在ニーズはいかに、IPv6の技術書をクラウドファンディングで作る試みが注目を集める

http://internet.watch.impress.co.jp/docs/yajiuma/1054162.html
職場でも、全然IPv6の話は出ないですね。しかし、いつまでも逃げ続けていていいわけでないのも事実。IoTが普及するほどIPv6の必要性は増していきますからね。クラウドファンディングで本を作るか。面白い時代になったもんだ。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

情報セキュリティ10大脅威 2017

https://www.ipa.go.jp/security/vuln/10threats2017.html
いつものやつです。納得感あるな。カード情報の流出多かったし、ランサムウェアはいわずもがな。IoTは思ったより低いな。

こっそり待たせて処理を実行、メール無害化

http://itpro.nikkeibp.co.jp/atcl/column/17/033000113/040300004/?ST=security&itp_list_theme
いやいや、電話しながら今送りました！ってことあるよ。来ないねー、っていうやり取りするの嫌なんだけど。もっとも、既存のメールセキュリティシステムでも遅延実行するものはあるけどね。自動で暗号化するやつとか、一旦メール送っちゃったけど、やっぱやめができるやつとか。

知らないと炎上必至？ 新人に教えるべきクラウドサービスの使い方

http://itpro.nikkeibp.co.jp/atcl/column/17/033000112/033100002/?ST=security&itp_list_theme
そもそもクラウドストレージと言って、正確に伝わるのだろうか。数多あるクラウドサービスの全てを我々も知っているわけではないし、あ、これクラウドのアプリだったんだ？！っていうこともありそう。ダメというなら、システムで弾くしかないでしょう。

「Android」、ネット利用シェアで「Windows」を抜き初の首位に

https://japan.cnet.com/article/35099212/
なんと、iPhoneと戦っているのかと思ったらWindowsに勝っていた。ケータイあるからPC使わない人が増えている状況をよく表したグラフだと思います。しかし、Apple勢は全く立ち上がってないね。周囲ではiPhone使ってる人をよく見かける割にこの結果。世界的にはAndroidの方が人気ということでしょうかね。私はiPhoneを使うメリットが分からないのでAndroid一択です。

インシデント発生の認知スピードは大幅改善も、まだまだ不十分　ほか

http://internet.watch.impress.co.jp/docs/column/security/1052894.html
世界レベルで見た地域ごとのサイバーに対する状況。なかなか興味深いです。
ハッキングコンテストでも中国の強さが出るんですね。もし戦争になったらこんなの相手にしなきゃいけないのか。勝てる気がしない…。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「Google Home」がついに米国外へ–4月6日に英国上陸

https://japan.cnet.com/article/35098885/
なんかイマイチ凄さが伝わってこない。
↓これか
https://madeby.google.com/home/
これからIoT機器が増えていく中で、司令塔的役割になっていくのかな？

セキュリティ人材は9割の企業で不足、NRIセキュアが調査

http://itpro.nikkeibp.co.jp/atcl/news/17/032800955/
「どのような人材が必要なのかもわからないという企業が少なくない」というのは、現状の日本企業の正直な声でしょうね。セキュリティが流行りだしたのもここ2,3年だから、システム部門のメンバーであっても、何から優先度付けしていくべきかは暗中模索なところがあると思います。
右メニューにガイドラインを乗っけてるので参考にしてくださいな。

4社に3社が過去1年間にインシデントを認知 – 標的型攻撃は8社に1社

http://www.security-next.com/079978
「従業員50人以上である国内企業」ということで、中堅企業も含めての数字。なかなか興味深い。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

「報われないから報告しない」、若者ハッカーの本音

http://itpro.nikkeibp.co.jp/atcl/column/17/031500082/031700003/?ST=security&itp_list_theme&rt=nocnt
若者に限った話ではない気がします。修正しない事情も分かりますが、たしかに反応がないと脆弱性を報告するモチベーションは蒸発しちゃいますよね。
ただ、クレジットカード情報の流出やら、Struts2の脆弱性で個人情報が大量流出やら、最近はサイバー攻撃が激しいので企業の舵取りも変化を求められていると思います。だんだんバグハントなんかも一般的になっていくのではないでしょうか。

「AIが雇用の脅威になるのは50～100年先」：米財務長官

https://japan.cnet.com/article/35098738/
AIの範囲をどうとらえるかによって変わってくるって、それはそうだけれども…。先見の明があるのか、シロウトが適当なことを言っているのか、どちらでしょうね。技術の進歩をナメない方がいいと思いますが。

国内2万台超の端末がマルウェア感染、ドイツで600万ユーロの被害を引き起こしたインターネットバンキング不正送金事案で

http://internet.watch.impress.co.jp/docs/news/1050987.html
国際的に連携したサイバー犯罪捜査の例。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

ワンタイムパスワードでも危ない、警視庁が新型ウイルスの被害を確認

http://itpro.nikkeibp.co.jp/atcl/news/17/031700858/?ST=security&itp_list_theme
さて、どう回避しますかね…。インターネットバンキングなしでは生きられない体になってしまっているので、引っかからないように気をつけないと。

沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か

http://itpro.nikkeibp.co.jp/atcl/news/17/031600847/?ST=security&itp_list_theme
ここに限らずStrutsの脆弱性やられてますね。フレームワークのバージョンアップとか、地獄絵図しか見えない…。

[セキュリティ ホットトピック] 改正個人情報保護法、変更点・注意点などガイドライン公表

https://scan.netsecurity.ne.jp/article/2017/03/14/39548.html
2017年5月30日より全面施行ということで、気にしておかないといけませんね。

ChromiumでAPNG（アニメーションPNG）の表示をサポート

http://internet.watch.impress.co.jp/docs/news/1049820.html
APNGなんてあるんだ。
↓これか
GIFアニメからAPNGの時代に！
https://ics.media/entry/2441

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

日本狙う「偽Google Play」に注意 – スミッシングで誘導

http://www.security-next.com/078678
スミッシングなんて言うんだ。ググってみると2013年の記事もあるな、地味に長い…。SMS（ショートメール）のスパムは珍しいけど、油断せず気をつけましょう。

サイバー防御をレベルアップ、ファイア・アイらがセキュリティインテリジェンスを進化

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/022100836/?ST=security&itp_list_theme
セキュリティが分かる人がいないから自動化でどうにかするなんて、おかしな話だ。物理的に考えれば、入退館のシステムがあるから警備員を全く雇わないなんてことはないはず（この機器を導入できる会社規模ならね）。とはいえ、サイバー警備員が当たり前になる日はまだまだ遠そうだな…。

国立情報学研究所、「匿名加工情報」の加工方法をまとめた報告書を公表

http://itpro.nikkeibp.co.jp/atcl/news/17/022100571/?ST=security&itp_list_theme
えらく小難しく書いてあるけど、第三者に情報を渡す際は、個人を特定できる情報はモザイクかけてねって言ってるだけか。生年月日は日を取るだけでも効果あるのか。

痕跡を残さないサイバー犯罪集団「Lurk」の変遷：第1回 組織化とマルウェアの巧妙化

http://blog.trendmicro.co.jp/archives/14479
50億円窃取して、50人逮捕。つまり1人あたり1億円。さて、費用対効果をどう考えますか？ 悪いことをやってもサラリーマンの生涯年収と言われている2億円の半分。ムショから出た後の就職はお寒いもんです。悪いことせずに、真面目に働きましょうね。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

マイクロソフトの水中データセンター特許–冷却が必要なら水に沈めてしまえ

https://japan.cnet.com/article/35096477/
カッコイイけど、中国の潜水艦に魚雷発射されないようにしてね。

「Office 2007とVistaは速やかな移行を」、IPAがサポート切れ迫る2ソフトに注意喚起

http://itpro.nikkeibp.co.jp/atcl/news/17/021000449/?ST=security&itp_list_theme
Vistaは意識してたけど、Office2007もか。UIがガラッと変わってブーブー言ってたのも、もう随分前なんですね…。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

WordPress脆弱性狙う複数の攻撃キャンペーン – すでに数万件規模の被害か

http://www.security-next.com/078227

上場企業の3割以上がランサムウエアや標的型攻撃の被害に、CSIRTは1割超が設置

http://itpro.nikkeibp.co.jp/atcl/news/17/020900444/?ST=security&itp_list_theme

不正アクセス可能なプリンターを見つけると警告してくれる親切なハッカーが海外で話題に

http://internet.watch.impress.co.jp/docs/yajiuma/1043512.html
正しい「ハッカー」の在り方。憧れちゃうな～。

資生堂子会社のECサイト、無いはずのカード情報が漏れた原因とは

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/020300804/?ST=security&itp_list_theme
もはやホラーだな…。通販サイト上のデータベースにカード情報を入れていないことを、どう証明したものか。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

最高裁、グーグル検索結果の削除で初の統一判断

http://www.nikkei.com/article/DGXLASDG01H1Z_R00C17A2000000/?dg=1&nf=1
ネットの潮流に軍配が上がったらしい。なかなか興味深い。

IPA、脆弱性晒されたサイト運営者へ例外的に連絡 – 政府機関や上場企業も

http://www.security-next.com/077966
いつになったらSQLインジェクションは撲滅されるんでしょうね…。脆弱性ポータルサイトねえ…、クラッカーポータルサイトの間違いじゃ？

「鍵マーク」表示される偽Amazonに注意 – Googleの短縮URLで誘導

http://www.security-next.com/077950
鍵マークの意味は、暗号通信と存在証明。この場合はサイト乗っ取りみたいだけど、ドメインさえ取れば、Let’s Encryptでタダで鍵マークを付けられるご時世です。信用の基準としては、もはや使えないと思ってください。

「Office使えなくなる」と脅すメールが再び流通

http://www.security-next.com/077932
ロシアを騙る中国からの攻撃。まあ、どっちも怖いんですが…。カード情報狙った攻撃は相変わらず盛況ですね。

セキュ月間が開始、3月18日（サイバー）まで – キャッチフレーズは「＃サイバーセキュリティは全員参加！」

http://www.security-next.com/077999
なんで3月18日？と思ってたら、語呂合わせだったのね…。こんな年度末にやるより、新年度入ってからの方が良いような気もするのですが。

イスラエルでCyberTech 2017開催、ネタニヤフ首相がサイバーテロ対抗で国際協力を宣言

http://itpro.nikkeibp.co.jp/atcl/news/17/020100314/?ST=security
国際協力ねぇ、具体的にどうするんだろう。営業トークにしか見えないが。

最速0.2秒でリアルタイム音声翻訳、ネット接続不要のスティック型翻訳機「ili」

http://internet.watch.impress.co.jp/docs/news/1041794.html
外観よりもソフトウェアがどこまで強いのかが気になる。音声認識の技術は、まだまだだろうし。月額3980円はいいな。

ソニー、小学生以上向けロボット・プログラミング学習キット「KOOV」

http://pc.watch.impress.co.jp/docs/news/1041893.html
なかなか高いおもちゃですね。10分の1ぐらいにならんかな。ゲーム機と競合する値段じゃあ、幸先悪そうだな。

本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。

フィッシング対策協議会、サイト改ざんについて中間報告 – 原因特定できず

http://www.security-next.com/077789
あ、スシコンやられちゃったんだ。対応として、こういう時はDNSを変更するものなのか。ウイルス感染した時に、とりあえずLANケーブルを抜くのと同じか。

不正送金マルウェアが16.8倍と急増 – 侵入経路の大半が「メール」

http://www.security-next.com/077832
元々メールが多いんだろうと思っていたけど、ダウンロードの方が多かったのか。