トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2016年に公開されたセキュリティ関連文書まとめ

完成しました。ルールは以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません ちゃんと読んだものについては、以下のようなメモも公開しています。security.nekotricolor.com 政府機関 METI 文…

「ポケモンGO」「ランサムウェア」など特定のキーワードを含むセキュリティ関連記事を月ごとにまとめる試み

RSSリーダー「Feedeen」で取得しているセキュリティ関連の記事で何かできないか、ということで、月ごとの人気記事を探る試みをしました。security.nekotricolor.comで、せっかく過去のRSSエントリが手に入ったので、もう一つ、特定のキーワードがタイトルに…

【毎月更新】2016年下半期の「ランサムウェア」についてのセキュリティ関連記事

RSSで購読している記事の中で、タイトルに「ランサムウェア」を含んでいるものをまとめました。数が多いので半期で分けてます。 作り方はこちら。security.nekotricolor.com 2016年7月 日付 タイトル 07-01 暗号化型ランサムウェアの侵入方法およびその対策…

2016年上半期の「ランサムウェア」についてのセキュリティ関連記事

RSSで購読している記事の中で、タイトルに「ランサムウェア」を含んでいるものをまとめました。数が多いので半期で分けてます。作り方はこちら。security.nekotricolor.com 2016年1月 日付 タイトル 01-05 JavaScriptのみで開発されたランサムウェア出現、Sa…

【毎月更新】2016年の「ポケモンGO」についてのセキュリティ関連記事

RSSで購読している記事の中で「ポケモンGO」について言及しているものをまとめました。7月より前の記事では言及はありませんでした。 作り方はこちら。security.nekotricolor.com 2016年7月 日付 タイトル 07-12 ポケモンGOは、Googleアカウントのフルアクセ…

2016年9月のセキュリティ関連記事トップ20

月ごとにセキュリティ関連記事のはてブ数とFacebookのいいね!数をカウントし、トップ20を探る試み。英語と日本語に分けています。security.nekotricolor.com 日本語 順位 タイトル はてぶ数 いいね数 計 1 無料Wi-Fi 一度登録すれば全国的に利用可能へ…

2016年7月のセキュリティ関連記事トップ20

月ごとにセキュリティ関連記事のはてブ数とFacebookのいいね!数をカウントし、トップ20を探る試み。英語と日本語に分けています。security.nekotricolor.com 日本語 順位 タイトル はてぶ数 いいね数 計 1 <ポケモンGO>政府が注意喚起 「みんなへおねが…

2016年8月のセキュリティ関連記事トップ20

月ごとにセキュリティ関連記事のはてブ数とFacebookのいいね!数をカウントし、トップ20を探る試み。英語と日本語に分けています。security.nekotricolor.com 日本語 順位 タイトル はてブ数 FBいいね!数 合計 1 スノーデンの警告「僕は日本のみなさんを本…

はてブ数といいね数から月ごとのセキュリティ関連の人気記事を探る

セキュリティ関連の記事を手動ではてブして、それを月ごとに自動的にまとめるスクリプトを作ったんですよ。security.nekotricolor.comでも1日ほっとくだけで未読がものすごい数になるのであっさり挫折しました。で、なんか自動的にできないものかと思って、…

著名なOSやソフトウェアなどの脆弱性情報を網羅的に収集するために私がやっていること

ここでいう脆弱性情報とは、 脆弱な製品とバージョン 脅威(= 攻撃者ができること(任意のコード実行、DoS攻撃など) 対策の有無 のことです。情報収集の基本的な流れ: US-CERT・CERT/CC・JVNをチェック(RSS購読。この3つにあがってこないものはベンダ情報…

2016年6月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

この記事ははてなブックマークフィードから自動生成しました。security.nekotricolor.com 文書公開 2016/06/02 エンタープライズロール管理解説書 JNSA 2016/06/02 エンタープライズにおける特権ID管理解説書 JNSA 2016/06/08 製品分野別セキュリティガイド…

情報セキュリティスペシャリストの午後問題はインシデント対応の訓練にいいかもしれない

今さらですけど情報セキュリティスペシャリスト試験に受かりました。www.jitec.ipa.go.jp まず自慢 受かりましたいえーい。過去2回受けてどちらも午前Iが通らなかったんですよ、ハイ。今回初めて午前Iで6割を超えて無事合格しました。今回の午前Iは前回前々…

はてなブックマークフィードを利用して月ごとのはてブをまとめる

今年毎月まとめているセキュリティに関する記事。「文書公開」「インシデント・脆弱性」「読み物」の3つのカテゴリに分けてまとめています。security.nekotricolor.com最初は地道に手でコピペしてましたがさすがに面倒なのと、せっかくはてなに越してきたの…

2016年5月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。なお、以下の表ははてなブックマークフィードを使ってRubyで生成しています。security.nekotricolor.com 文書公開 2016/05/10 「企業のCISOやCSIRT…

デジタル・フォレンジック研究会「証拠保全ガイドライン第5版」メモ

@nekotricolorはCTF for GIRLSの運営のお手伝いをしています。girls.seccon.jpで、次回のCTF for GIRLSのテーマはフォレンジックです。CTF for GIRLS 第5回ワークショップの募集を開始しました。6月24日19時からソラシティにて。テーマはフォレンジックです…

2016年4月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。 文書公開 日付 記事 情報源 2016/04/02 医療情報ネットワーク基盤検討会審議会資料 厚生労働省 2016/04/04 「Internet of Things (IoT)インシデン…

2016年3月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。3月は忙しかったこともあり、読み物は琴線に触れたもののみまとめました。 文書公開 日付 記事 情報源 2016/03/01 情報セキュリティ管理基準(平成…

JNSA「情報セキュリティポリシーサンプル改版」メモ

以前「情報セキュリティポリシーを書くときに使えそうな情報を集めてみた」という記事を書いたところ、コンスタントにアクセスがあって、需要があるんだなあと思ってたんですよ。security.nekotricolor.comで、そこで紹介したJNSAの「情報セキュリティポリシ…

2016年2月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。1月分はこちら。security.nekotricolor.com さすがに読み返しにくいので、「脆弱性・インシデント・文書公開」と「読み物」で分けました。 脆弱性…

データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン 第1.1版」メモ

2015年9月に公開されたものの改訂版です。2016年2月3日に公開されました。DB 内部不正対策ガイドライン 第1.1版 構成 1 はじめに 1.1 目的 1.2 本ガイドラインの前提 1.3 語彙の定義 1.4 本ガイドラインに関する注意事項 2 DB内部不正対策概略 3 管理者の誘…

IPA公開の情報セキュリティ10大脅威 2006年〜2016年のまとめ

IPAから、情報セキュリティ10大脅威 2016が公開されました。www.ipa.go.jpそこで、2006年〜2016年の10大脅威をまとめてみました。はてな記法の表だと読みにくくなるので画像です。クリックで拡大。 *1いくつかピックアップしてみました。 2006年第3位 音楽CD…

METI「秘密情報の保護ハンドブック~企業価値向上に向けて~ 」メモ

2016年2月8日に経済産業省から公開されました。秘密情報の保護ハンドブック~企業価値向上に向けて~本文に出てくる参考資料をまとめたものも公開されています。 構成 第1章 目的及び全体構成 1-1 目的及び留意点等 1-2 本書の全体構成 1-3 本書の…

NISC「ネットワークビギナーのための情報セキュリティハンドブック」メモ

2016年2月1日、サイバーセキュリティ月間ということで公開されました。ネットワークビギナーのための情報セキュリティハンドブック 構成 プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ …

2016年1月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。とりあえずは目に付いたものを放り込んでみてます。公的な文書の公開からただのネタまで雑多です。 日付 記事 2016/01/04 Adobe Flash Player の脆…

NISC「我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針」メモ

2016年1月25日に決定したものです。我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針この手の「方針」は、基本的にふわっとしたことしか書かれていませんが、別の方針が出るまではずっとこの方針に付随するような仕事が増え、国のお金が使…

サイバーセキュリティ月間 茨城県内のイベント

2月1日から「サイバーセキュリティ月間」です。 今年は2月1日から3月18日まで。内閣サイバーセキュリティセンター(NISC)が主体となり、様々なイベントが行われます。2016 年 「サイバーセキュリティ月間」 の実施についてそこで、茨城県内のイベントを集め…

独自ドメインに移行しました

明けましておめでとうございます。@nekotricolorです。今年もよろしくお願いします。 photo by nekotricolor 筑波山神社で初詣してきました。ホスティングサービス+Wordpressだったwww.nekotricolor.comをはてなブログに移行したため、こちらのブログもneko…

2015年下半期に公開されたセキュリティ関連文書まとめ

上半期に公開された文書は以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません リンク先は全てPDFです。 政府機関 METI 文書タイトル 公開日 平成 26 年度サイバーセキュリティ経済基盤構築事…

JALマイレージバンクのパスワード導入記念にTwitterでパスワードについてのツイートを集め、頻出単語を探ってみました

2014年の10月23日、こんな記事を書きました。 記事は「JALさん、お願いですから英数字のパスワードの導入を!!!」という魂の叫びで締められているわけですが、ついに!2015年9月29日より、JALマイレージバンクでもパスワードが導入されることになりました…

政府機関等のセキュリティ関連の新着情報をつぶやくTwitterボットを公開しました

【2017/05/25 追記】日本クラウドセキュリティアライアンス(CSAJC)に対応しました。 【2017/05/17 追記】重要生活機器連携セキュリティ協議会(CCDS)に対応しました。 以下のような、公共性の高いドキュメントを楽に集めたい。nekotricolor.hatenablog.co…

2015年上半期に公開されたセキュリティ関連文書まとめ

ガイドライン、マニュアル、指針、報告書など、文書としてネットに公開されたものをちまちまと集めていたので、せっかくなのでまとめて公開してみたいと思います。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱…

OllyDbgを使ってx86アセンブラを学ぶシリーズ「第六話:EBPとESP、スタック領域の使われ方」公開

OllyDbgを使ってx86アセンブラを学ぶシリーズ第六話を公開しました。投げ銭方式なので最後まで無料で読めます。 今回はスタック領域のキモとなるEBPとESPについての説明です。こういう、単純だけどスマートな仕組みが大好きです。第六話:EBPとESP、スタック…

情報セキュリティポリシーを書くときに使えそうな情報を集めてみた

情報セキュリティポリシーは、基本方針(狭義のポリシー)、対策標準(スタンダード)、実施手順書(プロシージャ)の3つからなります。基本方針は偉い人の「頑張りまーす」という宣言なのであまり口は挟めず、実施手順書はマニュアルなのでわざわざ集めなく…

【随時更新】セキュリティに関する情報源を整理してみた

【2017/02/06更新】警察庁「情報セキュリティ広場」 URL修正、CSAジャパン追加個人的なブックマークをどこでも使えるようにここに公開しておこうと思います。随時更新予定。 政府機関 サイトURL RSSまたは新着情報の場所 情報セキュリティ政策(METI/経済産…

OllyDbgを使ってx86アセンブラを学ぶシリーズ「第五話:スタックとLIFO、だから何?(怒)」公開

OllyDbgを使ってx86アセンブラを学ぶシリーズ第五話を公開しました。投げ銭方式なので最後まで無料で読めます。 今回は、スタックの仕組みとLIFOについて、@nekotricolorが初めて習ったときに感じたことを率直に書いております。第五話:スタックとLIFO、だ…

Binary Ninjaのプロトタイプ版が公開されたのでインストールしてみた

Pythonベースのソフトウェア解析ツールBinary Ninjaのプロトタイプが公開されました。Binary Ninjaバイナリエディタや逆アセンブラなどがセットになっていて、近日公開のフルバージョンではシェルコードコンパイラ(shellcode2exe.pyみたいな、シェルコード…

無線LANの暗号化方式について整理してみた

無線LANのセキュリティって分かりづらいよね。と思っていて調べてみたら、どうも 暗号化アルゴリズム 完全性の検証方法 規格名 などが同次元に語られるせいで無駄に複雑になっているように思われます。 そこで、いくつかの切り口でまとめてみました。 とりあ…

OllyDbgを使ってx86アセンブラを学ぶシリーズ「第四話:CALL命令で起こること」公開

OllyDbgを使ってx86アセンブラを学ぶシリーズ第四話を公開しました。投げ銭方式なので最後まで無料で読めます。 ここから、古き良きバッファオーバーフローを利用した攻撃でキモになるCALL命令の説明に入ります。第四話:CALL命令で起こること | トリコロー…

OllyDbgを使ってx86アセンブラを学ぶシリーズ「第三話:ASLRの意味をデバッガで見てみる」公開

OllyDbgを使ってx86アセンブラを学ぶシリーズ第三話を公開しました。WindowsのASLR(Address Space Layout Randomization:アドレス空間配置のランダム化)をデバッガで見てみました。まさに百聞は一見に如かず。第三話:ASLRの意味をデバッガで見てみる | …

週間海外セキュリティニュース #12 15/02/08〜15/02/14

Pickup 懐かしのAlephOne。VERT Vuln School: Stack Overflow 101 I still remember my first time reading AlephOne’s ‘Smashing the Stack for Fun and Profit' 私もよく覚えてます。「クラシック:趣味と実益のスタック破壊」というタイトルで日本語訳が…

週間海外セキュリティニュース #11 15/02/01〜15/02/07

Pickup 遠隔操作ウイルスの話がwelivesecurityで取り上げられていました。江ノ島の猫動画も貼られています。The utterly crazy story of the death threat hacker The utterly crazy story of the death threat hacker Brace yourself, as this is one of th…

OllyDbgを使ってx86アセンブラを学ぶシリーズ「第二話:メモリマップから見るコードとスタックの場所」公開

OllyDbgを使ってx86アセンブラを学ぶシリーズ第二話を公開しました。デバッガのメモリマップからコードとスタックが書かれている場所を見てみようという話です。軽い話なんで無料で最後まで読めます。第二話:メモリマップから見るコードとスタックの場所 | …

週間海外セキュリティニュース #10 15/01/25〜15/01/31

Pickup 中国のグレイトファイアウォールがVPNサービスをブロックし始めたそうです。VPN services blocked by China's Great FirewallVPN提供企業も必死です。 "Further, we have noticed both our New York and Miami server locations are still very acces…

週間海外セキュリティニュース #9 15/01/18〜15/01/24

Pickup 久々に日本(企業)の話。富士通がサイバー攻撃に遭いやすい人を判定する技術。Snoopy Fujitsu tech KNOWS you'll click that link – before YOU doSCISで発表されたようです。富士通、“サイバー攻撃に遭いやすいユーザー”を判定できる技術を開発もう…

【随時更新】イギリスとアメリカがサイバー戦争ごっこをするらしい

週間海外セキュリティニュース #8 15/01/11〜15/01/17 - トリコロールな猫/セキュリティでも言及したイギリスとアメリカのサイバー戦争訓練の話です。面白そうなのでウォッチしたいと思います。 随時更新予定です。US and UK declare red-team CYBER WAR – o…

週間海外セキュリティニュース #8 15/01/11〜15/01/17

ピックアップ 先週は英キャメロン首相と米オバマ大統領が首脳会議をやったのに伴いイギリス・アメリカのネタが多いんですが、中でもイギリスとアメリカが訓練のためにサイバー戦争ごっこするって話がすごく面白そう。 ここでもよく出てくる英GCHQ(政府通信…

週間海外セキュリティニュース #7 15/01/04〜15/01/10

年末年始分はガン無視して1月4日分から。Sony Picturesがようやく下火になってきたと思ったら今度はBitcoinネタが。 United States 7 FTC chair worries about IoT privacy in CES speech • The Register USPS Reports Healthcare Breach for 485K Employees…

週間海外セキュリティニュース #6 14/12/14〜14/12/20

年内最後。やっぱりこれはアメリカの陰ぼ(ryThe Evidence That North Korea Hacked Sony Is Flimsy | WIRED Think North Korea hacked Sony? Think about this | Network World United States 14 Iranian CLEAVER hackers may DRAIN energy and defence fir…

OllyDbgを使ってx86アセンブラを学ぶシリーズ「第一話:ステップイン/ステップオーバー/ステップアウト」公開

OllyDbgを使ってx86アセンブラを学ぶシリーズ第一話を公開しました。デバッガの基本であるステップイン、ステップオーバー、ステップアウトについてです。 実際のexeファイルをOllyDbg上で動かしながら学ぶスタイルです。第一話:ステップイン/ステップオー…

週間海外セキュリティニュース #5 14/12/07〜14/12/13

Sony、反撃?ソニー、流出情報掲載サイトにDoS攻撃実行か--アマゾンはAWSサービスの関与を否定映画よりよっぽど面白いw United States 6 NSA spy program targets mobile networks worldwide | Network World 8 Orion hacker sends stowaway into SPAAAAACE …