トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

読み物

著名なOSやソフトウェアなどの脆弱性情報を網羅的に収集するために私がやっていること

ここでいう脆弱性情報とは、 脆弱な製品とバージョン 脅威(= 攻撃者ができること(任意のコード実行、DoS攻撃など) 対策の有無 のことです。情報収集の基本的な流れ: US-CERT・CERT/CC・JVNをチェック(RSS購読。この3つにあがってこないものはベンダ情報…

情報セキュリティスペシャリストの午後問題はインシデント対応の訓練にいいかもしれない

今さらですけど情報セキュリティスペシャリスト試験に受かりました。www.jitec.ipa.go.jp まず自慢 受かりましたいえーい。過去2回受けてどちらも午前Iが通らなかったんですよ、ハイ。今回初めて午前Iで6割を超えて無事合格しました。今回の午前Iは前回前々…

はてなブックマークフィードを利用して月ごとのはてブをまとめる

今年毎月まとめているセキュリティに関する記事。「文書公開」「インシデント・脆弱性」「読み物」の3つのカテゴリに分けてまとめています。security.nekotricolor.com最初は地道に手でコピペしてましたがさすがに面倒なのと、せっかくはてなに越してきたの…

JALマイレージバンクのパスワード導入記念にTwitterでパスワードについてのツイートを集め、頻出単語を探ってみました

2014年の10月23日、こんな記事を書きました。 記事は「JALさん、お願いですから英数字のパスワードの導入を!!!」という魂の叫びで締められているわけですが、ついに!2015年9月29日より、JALマイレージバンクでもパスワードが導入されることになりました…

2015年上半期に公開されたセキュリティ関連文書まとめ

ガイドライン、マニュアル、指針、報告書など、文書としてネットに公開されたものをちまちまと集めていたので、せっかくなのでまとめて公開してみたいと思います。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱…

情報セキュリティポリシーを書くときに使えそうな情報を集めてみた

情報セキュリティポリシーは、基本方針(狭義のポリシー)、対策標準(スタンダード)、実施手順書(プロシージャ)の3つからなります。基本方針は偉い人の「頑張りまーす」という宣言なのであまり口は挟めず、実施手順書はマニュアルなのでわざわざ集めなく…

【随時更新】セキュリティに関する情報源を整理してみた

【2017/02/06更新】警察庁「情報セキュリティ広場」 URL修正、CSAジャパン追加個人的なブックマークをどこでも使えるようにここに公開しておこうと思います。随時更新予定。 政府機関 サイトURL RSSまたは新着情報の場所 情報セキュリティ政策(METI/経済産…

Binary Ninjaのプロトタイプ版が公開されたのでインストールしてみた

Pythonベースのソフトウェア解析ツールBinary Ninjaのプロトタイプが公開されました。Binary Ninjaバイナリエディタや逆アセンブラなどがセットになっていて、近日公開のフルバージョンではシェルコードコンパイラ(shellcode2exe.pyみたいな、シェルコード…

無線LANの暗号化方式について整理してみた

無線LANのセキュリティって分かりづらいよね。と思っていて調べてみたら、どうも 暗号化アルゴリズム 完全性の検証方法 規格名 などが同次元に語られるせいで無駄に複雑になっているように思われます。 そこで、いくつかの切り口でまとめてみました。 とりあ…

iOSをターゲットとした「Masque Attack」について

脆弱性の概要はこんな感じ。 【前提】本来iPhone/iPadのアプリは、元々インストールされているものかAppStoreからインストールしたものだけである 【企業向けサービス】企業の業務アプリなどのために、AppStore経由でないアプリ(WebサイトやPC上にあるアプ…

ANAマイレージクラブのパスワード導入記念に航空会社のパスワードについて調べてみました

ついに!ANAマイレージクラブのログイン認証が4桁の数字から8〜16桁の英数字に変更されます!!!2014年12月3日(水)までが移行期間、2014年12月4日(木)からパスワード必須となります。 これを記念して、世界の航空会社のマイレージプログラムがどんなパ…

「実践的サイバー防御演習(CYDER)」の実施

総務省|「実践的サイバー防御演習(CYDER)」の実施総務省主催のサイバー運動会。去年から?やってるらしいです。 総務省、標的型サイバー攻撃を「体験」する実践的防御演習を実施 -INTERNET Watch総務省|「実践的サイバー防御演習(CYDER)」の実施去年と…

EU、Google、Facebook、Twitter、Microsoftがテロ対策について会合

TOEICを受けることにしたので海外のセキュリティ話をまた読むことにしました。10月8日にルクセンブルクにて、EUとGoogle、Facebook、Twitter、Microsoftがテロリストのサイバー攻撃を防御する方法について話しあう会合が開かれたそうです。 Yesterday evenin…

個人が使うWebサービスのパスワード管理について、現状を整理し、結局どうするのがいいのか考えてみる

※ここに書かれていることはnekotricolor個人の見解であり、所属する組織の公式見解ではありません。 一度書いてみたかったパスワード問題、結局どうすればいいのかというのを考えてみました。 ダラダラと書いてたらエラい力作になってしまいました。 ユーザ…