読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2016年2月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

月間まとめ

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。1月分はこちら。

security.nekotricolor.com


さすがに読み返しにくいので、「脆弱性・インシデント・文書公開」と「読み物」で分けました。

脆弱性・インシデント・文書公開

日付 記事 情報源
2016/02/01 遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 ラック
Amazon をかたるフィッシング (2016/02/01) フィッシング対策協議会
2016/02/02 複数の省庁のWebサイトの閲覧障害についてまとめてみた piyolog
2016/02/03 サイバーセキュリティのひみつ IPA
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2016年2月1日版】を公開しました。 JSSEC
EMET 5.5 リリースしました Microsoft
2016/02/04 防衛関連団体にサイバー攻撃 文書の外部流出も NHKニュース
DBセキュリティガイドライン実装WG 対応表 データベースセキュリティコンソーシアム
2016/02/08 「秘密情報の保護ハンドブック~企業価値向上に向けて~」を策定しました! METI
2016/02/09 米国土安全保障省やFBIの職員情報、大量に流出か ITmedia
2016/02/10 まんがで学ぼう「セキュリティ入門」 Google Japan Blog
国税庁、JETRO、日本証券金融、日本政策金融公庫のWebサイト閲覧障害についてまとめてみた piyolog
Adobe Flash Player の脆弱性 (APSB16-04) に関する注意喚起 JPCERT/CC
2016年2月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起 JPCERT/CC
2016/02/12 「Firefox 44」に深刻な脆弱性、アップデートで対処 ITmedia
Cisco ASAシリーズに深刻な脆弱性、CVSS値は最大 ITmedia
2016/02/15 情報セキュリティ10大脅威 2016 IPA
2016年北朝鮮核実験以降の韓国サイバー関係の情勢についてまとめてみた piyolog
日本郵政を騙った不審メールが急増していますのでご注意ください 日本郵政
2016/02/17 GNU Cライブラリの脆弱性(CVE-2015-7547)についてまとめてみた piyolog
2016/02/19 国際協力機構、住宅金融支援機構、日本格付研究所のWebサイトの閲覧障害についてまとめてみた piyolog
2016/02/22 サイバーセキュリティ注意喚起サービス「icat for JSON」の公開 IPA
2016/02/23 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました~国際水準のクレジットカード決済環境の整備を進めます~ 経済産業省
2016/02/24 「EMETを使ってEMETを無効化」、Microsoftが脆弱性に対処 ITmedia
Ruby 2.0.0 および Ruby 2.1 の今後について Ruby
2016/02/25 改ざんの標的となるCMS内のPHPファイル JPCERT/CC
2016/02/26 マルウェアに対する被害未然防止の実施 総務省
2016/02/29 情報と金銭を狙ったサイバー犯罪の矛先が法人に - 2015年日本と海外における脅威動向 トレンドマイクロ
2015年下半期 Tokyo SOC 情報分析レポート 公開 Tokyo SOC Report

読み物

日付 記事 情報源
2016/02/01 SECCON決勝に決着、DEF CON出場権は誰の手に? Security NEXT
サイバーセキュリティ月間:エキスパートたちのセキュリティ対策 Google Japan Blog
2016/02/02 不審ドローン対策の切り札になるか。オランダ警察、鷲にドローン捕獲を訓練中 Engadget Japanese
サイバーセキュリティ基本法改正案など衆院提出 政府 日本経済新聞
2016/02/03 加入者がマルウェア指令サーバーと通信するのをISPが強制的に遮断、新たなサイバー攻撃対策スタート INTERNET Watch
国際サイバー犯罪集団が相次ぎ日本進出、その理由は ITmedia エンタープライズ
PCやネットのセキュリティ対策、一般ユーザーとセキュリティ専門家との違いとは スラド
JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される スラド
サイバー法改正案が閣議決定、「情報処理安全確保支援士」新設へ ITpro
2016/02/04 マルウエアと正面から向き合うのはもうやめよう ITpro
ハッカーとセキュリティ担当者のサイバー軍拡競争が急速に進行 -- ENISA ZDNet Japan
2016/02/05 「公衆無線LAN」の安全な使い方 @IT
偽Flash更新マルウェア、OS X感染を狙う手口が横行 ITmedia
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ SlideShare
セキュリティ人材をどう育成するか、日本シーサート協議会が採用担当者向けセミナー開催 INTERNET Watch
往年のDOSマルウェアをDOSエミューレーター上で実行できる博物館 本の虫
2016/02/07 内閣サイバーセキュリティセンター、LINE公式アカウントを開設 RBB TODAY
企業・団体がウイルス感染 2万件以上情報流出か NHKニュース
2016/02/08 インターネット以前から存在した「DDoS的なもの」――DDoS攻撃の本質と対策を考える (1/2) @IT
オラクルが放った最新プロセッサ「SPARC M7」の実像 - 「SPARC M7はOracleの気持ちが入ったプロセッサ」の真意 ITpro
日本のハッキング大会で韓国チームが優勝、専門教育センターの成果 趙 章恩「Korea on the Web」
2016/02/09 DoS/DDoS攻撃の概要と一般的な緩和対策 - 【AWS 初心者向け Webinar】 AWS 上での DDoS 対策によせて AWS Solutions Architect ブログ
現金より情報の方が盗みやすい?――ある実験が明らかにした「行動規範はセキュリティに役立つか」 @IT
米国で進む医療機器とビッグデータ連携のためのルール整備 @IT
米大統領選「注目候補者」のサイバーセキュリティ政策(後編) カーソンの「NCSA計画」とサンダースの「反NSA」、そしてトランプは… THE ZERO/ONE
今ならGoogle ドライブに2GBの無償容量を追加可能。セキュリティ診断を行うだけ 窓の杜
情報セキュリティのまとめ(春) 言葉足らず
2016年はCISO(最高情報セキュリティ責任者)の設置がトレンドに? マイナビニュース
2016/02/10 日本型セキュリティの現実と理想:第16回 標的型攻撃が生んだセキュリティビジネスの“光と影” ITmedia
個人番号カード、パソコンやスマホのオンライン申請で別人のカード交付の恐れ ITpro
スマホがカギになってBluetoothでロック解除できる南京錠「Noke」は未来を感じるスマートデバイス GIGAZINE
2016/02/11 「情報セキュリティ人材が足りない」は本当か ZDNet Japan
2016/02/12 1分で理解するプロの知恵[ネットワーク設計&運用編] - ユーザーの手が届くスイッチはループ対策オンがマスト ITpro
スマートフォンの暗号化で捜査が進まない現状 FBIが2カ月かけても破れない トリビアルニュース
米国の確定申告システムにマルウェア攻撃、阻止に成功 ITmedia
IoT時代において重要性が増すデバイスのセキュリティ CodeZine
マルウェア博物館がオープン あの頃のウイルスは楽しかった? ITmedia
三井住友、東京VISAのクレジットカード うるう年問題で今月29日は利用不可 ライブドアニュース
エネルギー業界だけが標的ではなかった「BlackEnergy」の攻撃 トレンドマイクロ
2016/02/13 Windows コマンドを監視しよう www.morihi-soc.net
AWSにおけるセキュリティの考え方 SlideShare
マルウェアを機械学習する前に Speaker Deck
2016/02/15 敵は内部にもあり! エンドポイントセキュリティの果たす役割 @IT
「データベースセキュリティ」の視点から見る「ユーザー管理」「監査証跡(ログ)管理」のポイント @IT
「CIA」の視点で見るIoT機器のセキュリティ(前編) ITpro
日本を襲うDDoSサイバー攻撃、打つ手はあるか? ITpro
「裁判所への通知」を装った「ばらまき型」メール調査メモ (n)inja csirt
ランサムウェアが「ランク外」から「第3位」に:「情報セキュリティ10大脅威 2016」、IPAが発表 @IT
富士通研究所、暗号鍵が異なるデータを復号せずに照合可能な暗号技術開発 マイナビニュース
「CIA」の視点で見るIoT機器のセキュリティ(後編) ITPro
DNSを悪用する新たな標的型攻撃が日本を襲う ITPro
サイバー攻撃のリスク最小化のために、いざというとき意思決定者が行うべきアクション EnterpriseZine
車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ MONOist
2016/02/16 Linuxサーバをマルウェアから守る3つのツール マイナビニュース
ハリウッドの病院がコンピュータウィルスに"院内感染"。全システムダウンで業務に支障、復旧の"身代金"は約4億円 Engadget Japanese
CISO設置企業は半数以下、セキュリティ人材のキャリアパスと体制整備が課題 ZDNet Japan
2016/02/17 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム(SCIS2016)」レポート @IT
インターネットに直結されるIoT機器(前編) ITPro
セキュリティの人材難、ITとセキュリティの担当を分けるべき? ITmedia
Instagramにようやく2要素認証が追加 TechCrunch Japan
「日本政府を攻撃する」公安を震撼させた少年ハッカー 普通の子供が「アノニマス」にあこがれた末に暴発したナゾ 産経WEST
Apple、FBI捜査のためのiPhoneバックドア命令を拒否──自由を脅かすもの ITmedia
2016/02/18 米国帰りの青年が夢見る「サイバーセキュリティ」の世界 @IT
インターネットに直結されるIoT機器(後編) ITPro
多発する犯罪の切り札に?「日本サイバー犯罪対策センター」の活動とは ITmedia
DevOps時代に明日から活かせる セキュリティ対策術#devsumi20160218 Speaker Deck
明日、敗訴しないためのセキュアコーディング SlideShare
「非」標的型の攻撃者は9日で諦める--では標的型は? ZDNet Japan
Tim Cook、FBIの要請でも全機種に適応できるようなiPhoneの「バックドア」は作らないと明言 TechCrunch Japan
2016/02/19 Facebook、TwitterのドーシーCEOもAppleのバックドア拒否に賛同表明 ITmedia
Facebookで相手がいつ寝ているのかがわかる秘密のAPIが発見される GIGAZINE
新たな多言語対応ランサムウェア「Locky」が国内でも拡散中 トレンドマイクロ セキュリティブログ
ランサムウェアに感染した病院、身代金要求に応じる ITmedia
2016/02/22 「セキュリティに自信がある」は45%、ランサムウェアの被害額3400万ドルに ZDNet Japan
Stuxnet、ドキュメンタリー映画化 スラド
できる人に任せ過ぎ? 堺市68万個人情報流出事件、最大の問題 ITpro
2016/02/23 ウィルス感染でWebサービスが20日間ダウン。本当にごめんなさい Qiita
バックドア仕込んだ「Linux Mint」、Webサイト改ざんしてダウンロードさせる ITmedia
ノーガード戦法とは異なる、これからの「事故前提型対策」とは @IT
「Android」を狙うマルウェアの「GM Bot」--ソースコードがオンラインに流出 CNET Japan
Linux MintのWebサイトが改ざん、バックドア付きISOのダウンロードリンクに書き換えられる スラド
よくわかる認証と認可 Developers.IO
BIGLOBEが中小向け標的型攻撃対策、クラウドでサンドボックス提供 ITpro
人生を台無しにする危険も? SNSで共有しない方がいいもの ライブドアニュース
2016/02/24 技術者を魅了する「Slack」とは? ITpro
空港で不正Wi-Fiの提供実験 2000人以上が接続、63.5%が端末や身元を特定される ITmedia
バレやすい暗証番号やパスワードの代わりに指紋・音声・自撮りなどで認証を行う動きが加速中 GIGAZINE
2016/02/25 「誘導質問術」の恐怖――あなたにもある“六つの脆弱性” @IT
「標的型メール訓練」がもてはやされる理由 ITmedia
「Linux Mint」にバックドアを仕込んだハッカー、手口と目的を語る ZDNet Japan
ソニー攻撃の集団、世界でスパイや破壊活動 日本でもマルウェア発見 ITmedia
News Up IoT機器がサイバー攻撃に加担 NHKニュース
【セキュリティ ニュース】「WordPress」や「Joomla!」など主要CMSで原因不明の改ざん被害が発生中 Security NEXT
ASUS、ルータの脆弱性問題で米当局と和解 ITmedia
2016/02/26 無線キーボードやマウス、知らずに乗っ取られる危険性が判明 ギズモード・ジャパン
マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰 INTERNET Watch
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開 SlideShare
セキュアコーディング方法論再構築の試み SlideShare
「さくらの平和は私たちが守る!」さくらインターネットのサイバーセキュリティ担当にインタビュー さくらのナレッジ
OSC2016 Tokyo/Spring セミナー資料 SlideShare
2016/02/27 EMETを利用してEMETを無効化する手法、FireEyeが解説 スラド
2016/02/29 “尖って”なくても認められていいんだ――「セキュリティキャンプ・アワード」創設へ @IT
「CSIRT」に求められる役割とその実現に必要な人材のスキルとは INTERNET Watch
自社のWebサイトを守るために今できること―JPCERT/CC満永拓邦氏に聞くWEBセキュリティ事情 EnterpriseZine
総SSL通信化時代のセキュリティ死角、F5ネットワークスが解説 INTERNET Watch
農業や土木/建設など商業利用で立ち上がる海外のドローンスタートアップと日本の取り組み fabcross
稼働中のシステムでセキュリティを理解する人材が不足--慶應大と日立、共同研究 ZDNet Japan