読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2016年6月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

この記事ははてなブックマークフィードから自動生成しました。

security.nekotricolor.com

インシデント・脆弱性

2016/06/01 TumblrやMyspaceから盗まれたログイン情報、ネットで大量流通を確認 - ITmedia エンタープライズ
 "盗まれたのは、2013年6月11日より前にMyspaceの旧プラットフォームで作成されたアカウントのメールアドレス、ユーザー名、パスワード"
2016/06/14 JTBへの不正アクセスについてまとめてみた - piyolog
 "JTBは開封してしまった担当オペレーターを責めておらず、一方で社内のルールの見直しも検討する必要があると会見にてコメント"
2016/06/29 「お届け予定eメール」を装った不審メールにご注意ください
 "ヤマト運輸の「お届け予定eメール」を装った不審なメールが送られています。不審メールにはZIP形式のファイルが添付されています"

読み物

2016/06/01 総務省と経産省、「IoTセキュリティガイドライン」(案) -INTERNET Watch
 "一般利用者向けとなる3章では、問い合わせ窓口やサポートがない機器やサービスの購入・利用を控える、初期設定に気を付ける、、使用しなくなった機器については電源を切る、機器を手放す時はデータを消す"
2016/06/01 成迫剛志の『ICT幸福論』:「プライバシー侵害はイヤ、でも対策はしない」日本人 - ITmedia エンタープライズ
 "政府のプライバシー保護の施策に最も不満を抱いている人が多い" "SNSなどのプライバシー設定をカスタマイズしている割合も50%で最下位"
2016/06/01 オンラインゲームのチートとセキュリティ
 "難読化する • デコンパイルされたとき、綺麗にソースコードが見えていた。 • デコンパイルされてもコードが読みずらくさせる。 →難読化されてるだけであきらめる人は多い"
2016/06/02 日本の金融が標的に--IBMのセキュリティ専門家が語るサイバー犯罪 - ZDNet Japan
 ”オーバーレイマルウェア” "ユーザーがバンキングなどのアプリケーションを開くとフェイクのウィンドウを重ねて表示するもの"
2016/06/03 サウジアラビアのセキュリティ求職者を対象にしたAndroidスパイウェア : マカフィー株式会社 公式ブログ
 "政府や軍隊のセキュリティ人材の求人ウェブサイトと連携したモバイルマルウェアの活動を確認" "感染した端末から電話帳、SMSメッセージ、通話音声を盗み、攻撃者のサーバーに送信"
2016/06/03 セキュリティ・アディッショナルタイム(8):地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」 (1/3) - @IT
 楽しそう>"机の上の電話が鳴り、次のように告げられる。「先ほど、お客さまからうちのWebページが見られないという連絡を頂いたんです。対応と原因追求をお願いします」——ここから、各チームの格闘が始まった。"
2016/06/06 SNSを機能不全に陥らせるほど猛威を振るったワームを作り、歴史に名が残る大事件を起こしたハッカー - GIGAZINE
 "Kamkar氏は、「Kamkar氏のプロフィールを見たユーザーが、自動的に相互友達になる」というコードを作成。さらに、このコードは相手ユーザーのプロフィールにも同じコードがコピーされるという非常に強力なものでした。"
2016/06/06 10の疑問を試して解明 セキュリティ大実験室 - 脆弱性を悪用するのは簡単か?:ITpro
 Metasploitで簡単にやれると
2016/06/06 市区町村の情報セキュリティ(1):市区町村のセキュリティ対策「4要件」とは (1/2) - @IT
 割と地に足ついてる>「持ち出し不可設定」「二要素認証」「ネットワークの分割」「通信の無害化」
2016/06/06 偽造カードで計20億円が一気に引き出された! セキュリティの脆弱性を突いた大胆手口とは (1/3) - ITmedia ニュース
 "遅れは加盟店のカード読み取り端末の多くが磁気ストライプ式にしか対応していないためで、経済産業省は平成30年にもIC対応端末の導入を加盟店に義務づける方針"
2016/06/07 趙 章恩「Korea on the Web」 - データを人質にする事件多発、韓国警察がサイバーテロ型犯罪取り締まり強化:ITpro
 "会社にばれたら「セキュリティ規定を守らなかったのではないか」、「会社のデータ管理を疎かにしたのではないか」と責任を取らされ解雇されるからという理由で、社員が個人的に身代金を払うケースも"
2016/06/07 新しい世代がデータプライバシーを切り拓く(1)なぜプライバシーの議論は分かりにくいのか - WirelessWire News(ワイヤレスワイヤーニュース)
 "動機や方法が全然異なるものであるはずが、「炎上リスク」とひとくくりにされ、企業の現場を委縮させる要因となっている"
2016/06/08 USB経由のスマートフォン充電に潜む危険 | Kaspersky Daily - カスペルスキー公式ブログ
 "初期設定のMTP(メディア転送プロトコル)モードで接続すると、スマートフォン内のファイルすべてがアクセス可能に"
2016/06/09 CNN.co.jp : シンガポール、省庁のネット接続遮断へ 安全性の向上図る
 "シンガポール政府は来年5月までに、各省庁にある約10万台のコンピューターのインターネットへの接続を遮断、公務員の勤務中のネットアクセスを不可能にする"
2016/06/09 インシデント調査に欠かせないログ管理、製品の相場観は? - ITmedia エンタープライズ
 "自社でインシデントを監視する場合はSIEMが必要になり、導入には700万円以上を要する"
2016/06/10 IT人材不足が深刻化、2030年には78.9万人不足に 経済産業省調べ - ITmedia ビジネスオンライン
 "各国のIT人材の年収比較調査でも、日本は年収500万円前後に回答者が集中している一方、米国では年収1000万円から2000万円の間に回答者が広く分布"
2016/06/10 マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」 - ITmedia エンタープライズ
 "Office 2010~2013になると、警告バーの「マクロを無効にしました」という通知の隣は「コンテンツを有効にする」というボタン" "これでマクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう"
2016/06/13 Twitter、パスワードが流出したユーザーのアカウントを凍結 - ITmedia ニュース
 "位置情報や使用デバイス、ログイン履歴などからアカウントへの不審なアクセスを検出している"
2016/06/14 モバイル向けランサムウェア「FLocker」、スマートテレビにも影響 | トレンドマイクロ セキュリティブログ
 "Android版端末ロック型ランサムウェア「FLocker(エフロッカー)」がスマートテレビをロックした事例を確認"
2016/06/14 暗号化型ランサムウェア「JIGSAW」、顧客サポートを開始、支払いを促す | トレンドマイクロ セキュリティブログ
 "「JIGSAW」のタイマーは、感染PC の cookie の設定に基づいているだけなので、cookie が削除されればカウントダウンはリセットされ、24時間に戻ります"
2016/06/14 http://www3.nhk.or.jp/news/html/20160614/k10010556681000.html
  "松山市民およそ13万人分の名前や住所、それに電話番号などの個人情報データが入ったパソコンとUSBを県内の会社の関係者に提供"
2016/06/15 News & Trend - [詳報]JTBを襲った標的型攻撃:ITpro
 「問い合わせ内容も特段おかしいものではなかった。一目しただけでは(攻撃メールかどうか)分からない」
2016/06/15 パスポート番号漏えい、偽造のリスクは? 外務省に聞いた - ITmedia ニュース
 "日本のパスポートには、偽造対策としてICチップが内蔵されており、偽造や改ざんが困難になっている"
2016/06/16 小さい会社に不審な?メールが着弾した時の対応を考える。 - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
 おっしゃる通り>"それを気を付けないのはセキュリティ教育がなってないからだとか言われる""やれサンドボックスだ、疑似メール送信訓練だとか言われても、そんなの会社規模によって違うはず"
2016/06/20 自治体のセキュリティを強化せよ! - ディスカッション1 セキュリティガバナンスのあり方:ITpro
 "組織改編を実現できたのは、2015年7月にマルウエア被害に遭った経験が大きい""東北や関東など地域ブロックごとにセキュリティゲートウエイを設置して、振る舞い検知など高度な解析をやってもらいたい"
2016/06/21 記者の眼 - JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか?:ITpro
 確かに>"セキュリティ事故の公表タイミングを、企業側の判断にゆだねるのは無理なのではないか。政府がガイドラインを公表するなど、目安を示すべき時期に来ているのではないか"
2016/06/21 総務省が発表したAI(人工知能)の20の主なリスク(制御不能・反乱・野良ロボットなど)
 "人間に投棄された「野良ロボット」が徒党を組んで人間に対して参政権等の権利付与を要求するリスク"
2016/06/27 【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch
 "併せて秘密の質問も使用するべきではないとしており"
2016/06/27 プレス発表 “情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて:IPA 独立行政法人 情報処理推進機構
 "支援士試験は、現在実施している国家試験「情報処理技術者試験」の「情報セキュリティスペシャリスト試験(以下、SC試験)」の内容をベースに実施されます"
2016/06/28 観光庁、旅行会社と「情報共有会議」、JTB問題受け | 旅行業界 最新情報 トラベルビジョン
 "観光庁は7月以降、業界関係者などからなる「旅行業界情報流出事案検討会」で再発防止策に関する検討を開始し、同月中の取りまとめをめざす"
2016/06/28 不正アクセス 少年「管理の甘さからかっていた」 | NHKニュース
 不正アクセスだから変に騒がれてるけど、「盗める場所にあったら盗んでいいのか」という万引きなんかに通じる問題だと思う。対策をすること、犯罪行為は罰すること、やらないように啓蒙すること、が大事なのでは
2016/06/28 事実と数字が語るランサムウェアの歴史と進化 | Kaspersky Daily - カスペルスキー公式ブログ
 画面ロック型ランサムウェア(ショートコードや電子ウォレットへ送金)が電子決済システムの規定変更で廃れて、ビットコインの普及で復活した、らしい
2016/06/29 ASCII.jp:単体では無害だが……アプリの「共謀」に注意、データ流出の恐れ
 "アプリAがアクセスした情報が、アプリケーション間通信を使用してアプリBに渡され、外部に流出してしまう恐れがある"
2016/06/29 「あやしいメールを開くな」は無意味? 掛け声で終わらせない方法 - ITmedia エンタープライズ
 せっかく擬似メールの訓練があっても、訓練後の解説が「怪しい添付ファイル/URLは絶対に開かないように!」ってだけだとうんざりしますよホント。それがわかれば苦労しないっつーの
2016/06/29 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も - ITmedia エンタープライズ
 "世界105カ国に設置された防犯カメラ2万5000台を踏み台にして、大量のトラフィックを特定の標的に送り付ける分散型サービス妨害(DDoS)攻撃が仕掛けられる事件が発生"
2016/06/29 品川区、サイバー攻撃などによる情報漏えいを防ぐ新機能を装備 - ITmedia エンタープライズ
 "インターネット環境と機密情報を取り扱うイントラネット環境を分離し、職員のPCにはWebサイトの画面だけを転送することで、サイト閲覧によるウイルス感染を防ぐ"
2016/06/30 【やじうまWatch】暗号化のキホンをゲーム感覚で学ぶ、ユニークな学習支援ツールがMozillaから登場 - INTERNET Watch
 "1つの暗号化キーによってメッセージがどのように書き替わるのかといった、セキュリティの基礎を知るのにはぴったり"
2016/06/30 備忘録: ランサムウェアを拡散する「ばらまき型」スパムメールに対する対策
 "メールに添付されるJavaScriptは、ブラウザ上で実行されるのではなく、Windows上のWindows Script Host (WSH) で実行される。WSHには、ブラウザでのサンドボックスの様な制限はなく、実行ファイルと同様の処理が実行できてしまう"
2016/06/30 備忘録: 続・巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、
 素晴らしい。「怪しい添付ファイルを開くな」という人はこれくらいキッチリ見極める方法を説明してほしい。
2016/06/30 【新連載】今日から始める「性悪説セキュリティ」:“性善説”で考えるセキュリティ、もうやめませんか? (1/2) - ITmedia エンタープライズ
 セキュリティ屋はずっと昔から性悪説信者だと思います。因業な職業です。