トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

読み物

MeCab用のセキュリティ用語辞書を作っています

日本語形態素解析システム「MeCab」を使って楽しく形態素解析をしているわけですが、セキュリティ用語が意外と辞書にないようで、期待通りの結果が出ないことが多いため、自分で作ってみることにしました。 とりあえずアウトプットしないと始まらないので、…

情報銀行ビジネスに関するメモ

今後セキュリティ的にもなにかと話題になりそうなのでメモ。といってもまだ始まったばかりで、「始まります」って程度の情報しかないです。 情報銀行とは 行動履歴や購買履歴といったものを含む個人情報にひも付いたITデータを個人から預託され、他の事業者…

機械学習・深層学習の主なアルゴリズムまとめ1〜教師あり学習と教師なし学習

数学的に完全に理解する必要はないけど、あれをするときはこれを使う、くらいは分かっておきたいのでメモ。オフラインで書いてるとテンションが上がらないのではてダに残す。長くなりそうなので半教師あり学習・強化学習・深層学習はこちら。security.nekotr…

2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました

【2019/02/20追記】参加するプロバイダについての情報がありましたので追記しました。2月20日から始まる、総務省と国立研究開発法人情報通信研究機構 (以下 NICT) による大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました。 本件、いろ…

航空会社のパスワードについて調べてみました〜2018年版

航空会社のパスワードについて調べてから4年経ったので、また調べてみました。security.nekotricolor.comルールは前回と同じです。 最初に日本語のサイトを確認 日本語のサイトが存在しない場合、(国を選べる場合は)日本の英語サイト→(国を選べる場合は)…

著名なOSやソフトウェアなどの脆弱性情報を網羅的に収集するために私がやっていること

ここでいう脆弱性情報とは、 脆弱な製品とバージョン 脅威(= 攻撃者ができること(任意のコード実行、DoS攻撃など) 対策の有無 のことです。情報収集の基本的な流れ: US-CERT・CERT/CC・JVNをチェック(RSS購読。この3つにあがってこないものはベンダ情報…

情報セキュリティスペシャリストの午後問題はインシデント対応の訓練にいいかもしれない

今さらですけど情報セキュリティスペシャリスト試験に受かりました。www.jitec.ipa.go.jp まず自慢 受かりましたいえーい。過去2回受けてどちらも午前Iが通らなかったんですよ、ハイ。今回初めて午前Iで6割を超えて無事合格しました。今回の午前Iは前回前々…

はてなブックマークフィードを利用して月ごとのはてブをまとめる

今年毎月まとめているセキュリティに関する記事。「文書公開」「インシデント・脆弱性」「読み物」の3つのカテゴリに分けてまとめています。security.nekotricolor.com最初は地道に手でコピペしてましたがさすがに面倒なのと、せっかくはてなに越してきたの…

JALマイレージバンクのパスワード導入記念にTwitterでパスワードについてのツイートを集め、頻出単語を探ってみました

2014年の10月23日、こんな記事を書きました。 記事は「JALさん、お願いですから英数字のパスワードの導入を!!!」という魂の叫びで締められているわけですが、ついに!2015年9月29日より、JALマイレージバンクでもパスワードが導入されることになりました…

2015年上半期に公開されたセキュリティ関連文書まとめ

ガイドライン、マニュアル、指針、報告書など、文書としてネットに公開されたものをちまちまと集めていたので、せっかくなのでまとめて公開してみたいと思います。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱…

情報セキュリティポリシーを書くときに使えそうな情報を集めてみた

情報セキュリティポリシーは、基本方針(狭義のポリシー)、対策標準(スタンダード)、実施手順書(プロシージャ)の3つからなります。基本方針は偉い人の「頑張りまーす」という宣言なのであまり口は挟めず、実施手順書はマニュアルなのでわざわざ集めなく…

【新記事作成しました】セキュリティに関する情報源を整理してみた

【2020/02/26更新】加筆修正を加えた2020年版を新記事を作成しました。この記事はもう更新しませんので、以下の記事をご覧ください。security.nekotricolor.com個人的なブックマークをどこでも使えるようにここに公開しておこうと思います。 政府機関 サイト…

Binary Ninjaのプロトタイプ版が公開されたのでインストールしてみた

Pythonベースのソフトウェア解析ツールBinary Ninjaのプロトタイプが公開されました。Binary Ninjaバイナリエディタや逆アセンブラなどがセットになっていて、近日公開のフルバージョンではシェルコードコンパイラ(shellcode2exe.pyみたいな、シェルコード…

無線LANの暗号化方式について整理してみた

無線LANのセキュリティって分かりづらいよね。と思っていて調べてみたら、どうも 暗号化アルゴリズム 完全性の検証方法 規格名 などが同次元に語られるせいで無駄に複雑になっているように思われます。 そこで、いくつかの切り口でまとめてみました。 とりあ…

iOSをターゲットとした「Masque Attack」について

脆弱性の概要はこんな感じ。 【前提】本来iPhone/iPadのアプリは、元々インストールされているものかAppStoreからインストールしたものだけである 【企業向けサービス】企業の業務アプリなどのために、AppStore経由でないアプリ(WebサイトやPC上にあるアプ…

ANAマイレージクラブのパスワード導入記念に航空会社のパスワードについて調べてみました

ついに!ANAマイレージクラブのログイン認証が4桁の数字から8〜16桁の英数字に変更されます!!!2014年12月3日(水)までが移行期間、2014年12月4日(木)からパスワード必須となります。 これを記念して、世界の航空会社のマイレージプログラムがどんなパ…

「実践的サイバー防御演習(CYDER)」の実施

総務省|「実践的サイバー防御演習(CYDER)」の実施総務省主催のサイバー運動会。去年から?やってるらしいです。 総務省、標的型サイバー攻撃を「体験」する実践的防御演習を実施 -INTERNET Watch総務省|「実践的サイバー防御演習(CYDER)」の実施去年と…

EU、Google、Facebook、Twitter、Microsoftがテロ対策について会合

TOEICを受けることにしたので海外のセキュリティ話をまた読むことにしました。10月8日にルクセンブルクにて、EUとGoogle、Facebook、Twitter、Microsoftがテロリストのサイバー攻撃を防御する方法について話しあう会合が開かれたそうです。 Yesterday evenin…

個人が使うWebサービスのパスワード管理について、現状を整理し、結局どうするのがいいのか考えてみる

※ここに書かれていることはnekotricolor個人の見解であり、所属する組織の公式見解ではありません。 一度書いてみたかったパスワード問題、結局どうすればいいのかというのを考えてみました。 ダラダラと書いてたらエラい力作になってしまいました。 ユーザ…