misc.log

日常茶飯事とお仕事と

セキュリティ

情報処理安全確保支援士/業務上の判断指針や参考資料

メモです。情報処理安全確保支援士(情報セキスペ)の作業や業務に於ける参考情報の所在。 サイバーセキュリティ基本法 平成26年法律第104号。 elaws.e-gov.go.jp 情報処理の促進に関する法律 昭和45年法律第90号。 elaws.e-gov.go.jp 情報処理学会 倫理綱領…

社内向けセキュリティ関連情報共有メモ

2020年10月27日掲示。 Java SEに不正アクセス可能性の脆弱性(10/21) Oracle Java SEの7移行のバージョンに不正コードを実行できてしまう脆弱性が見つかったようでパッチが出ています。 https://www.ipa.go.jp/security/ciadr/vul/20201021-jre.html (IPA…

社内向けセキュリティ関連情報共有メモ

2020年10月24日掲示。情報処理安全確保支援士の資格取得のお金を出してもらっている都合上、役員から「不定期でいいのでセキュリティ情報を発信してくれ」との依頼があったので自社内グループウェアの掲示版に掲載している内容です。若手などには「私の影響…

社内向けセキュリティ関連情報共有メモ

2020年10月24日掲示。 ブクログの本棚ソースコードにメールアドレス(10/21) 読書/蔵書記録サービスのブクログで、個人の「書棚」ページのソースに利用者メールアドレスが記載されたまま運用されていたようです。2018年のシステム改修以降、ずっととのこと…

社内向けセキュリティ関連情報共有メモ

2020年10月15日掲示。 GitHubにセキュリティチェック機能が追加される(9/30) GitHubにCodeQLを使ったセキュリティチェック機能が追加されたそうです。シグマクレストはインターネット上のリポジトリーにはGitLabを使うことになっているのですかね?おそら…

社内向けセキュリティ関連情報共有メモ

2020年10月13日掲示。 マイクロソフトがデジタルディフェンスレポート2020公開(10/7) マイクロソフトのセキュリティレポートです。英文ですが、単純に「PC閲覧想定のパワポ」としてデザイン等を参考にするのにもいいかもしれません。特に「色の数」に注目…

社内向けセキュリティ関連情報共有メモ

ちょっと古い情報を掘り返し QRコード決済における不正な銀行口座紐付けの防止対策ガイドライン(9/18) 例のドコモ銀行事件などのような口座との関連付けのガイドラインが公開されています。 https://www.meti.go.jp/press/2020/09/20200918002/20200918002…

社内向けセキュリティ関連情報共有メモ

2020/10/7に掲示した内容のメモです。 東映ビデオからクレカ情報1万件、セキュリティコード込みで(10/1) 東映系列の企業。東映ビデオのオンラインショップでクレカ情報漏洩。カード裏面にあるセキュリティコード(CVC、CVV)もサーバーに保存されていたそ…

社内向けセキュリティ関連情報共有メモ

2020/10/2に掲示した内容のメモです。 「原神」、iOS版でクリップボードの内容を読み取る不具合「テスト版の機能が削除できていなかった」/ ITmedia(10/1) ■ゲーム「原神」アンチチートプログラムのスパイウェア疑惑(9/28) オンラインゲームでのチート(…

社内向けセキュリティ関連情報共有メモ

2020/09/30に社内掲示した内容のメモです。 更新:Microsoft製品の脆弱性対策について(9/28更新) IPAから、CVE-2020-1472という、シグマ社内LANでも使っているActiveDirectoryのサーバーに接続する際に動く処理を悪用すると、管理者アカウントとしてサーバ…

社内向けセキュリティ関連情報共有メモ

2020/9/24に掲示したものの転記です。多分もう個別に通知行っているとおもいますが、基本情報技術者試験受けようとしている方は今後の日程等に注意してくださいね。 IPA/ 今秋の基本情報技術者試験(FE)は延期&CBTで 今年の10月実施の試験2つ(情報セキュリ…

セキュリティ関連情報リンク

自分用メモ。 情報セキュリティ関連情報の入手元。 www.ipa.go.jp www.npa.go.jp jvn.jp www.jpcert.or.jp www.ipa.go.jp 情報セキュリティ関連サイト www.nisc.go.jp www.soumu.go.jp www.nisc.go.jp【イラスト図解満載】情報セキュリティの基礎知識作者:中…

DNS設定をコマンドで「自動」に切り替える

4月からほぼ在宅勤務が続いているのですが、会社の何人かのPCだけ「会社に持っていって職場の無線LANに接続すると、DNSサーバーの設定が社内のゲートウェイに切り替わってしまい、自宅に戻ってモバイルルーターでネット接続できなくなる」という現象が起きて…

文部科学省が公開した高校生の情報科「情報II」教材

文部科学省が高校生用の授業「情報II」の教師用教材を公開しました。www.mext.go.jpプログラミング言語としてはPython3を利用するようです。また、軽く見ただけですが第4章「情報システムとプログラミング」などは今新人向けにやっている、基本情報技術者を…

普段から備えていない人が緊急対応を行うとトラブる

コロナウイルスの影響で都内周辺の企業などは軒並み「リモートワークか、出勤か」という選択を迫られているのではないかと思います。自分が勤める会社も、来週からリモートが可能な業務は自宅から……ということになりそうなのですが、少し気になったことがあ…

2018年公開のセキュリティ情報まとめ、参考になる

こういうまとめ、意外にないので重宝します。ありがとうございます。security.nekotricolor.com社内に共有するかどうかちょっと悩ましいところ。あんまりこれ以上出すと仕事が増える&自分たちのいろんな作業への制約が増えそうで。システム開発会社がWebア…

ハッシュ値を実際に作ってみる

「宅ふぁいる便」というオージス総研がやっていたサービスで、480万件のアカウント情報が流出した件、パスワード情報が平文*1で保管されていたという件が盛り上がっています。 internet.watch.impress.co.jp これで「パスワードが暗号化されていない」という…

GitLabからクローンしようとして認証失敗する場合の対応例

開発作業で使っているGitLabのリポジトリーから、そのプロジェクトでは使ってなかったPCへクローンでソースを持ってこようとしたのですが…… 現象 コマンドラインからクローンしようとすると git clone https://gitlab.com/XXXXX-products/YYYYY/ZZZZZZZZ.git…

セキュリティソフトアップデート

ESETを最新版にする 長らく使っているESET ファミリーセキュリティ、よく見たらバージョン9で、最新版はバージョン11になっていました……。先ほどGoogle Chromeが「セキュリティソフトのバージョンが合わない」的なメッセージを出していたので、重い腰を上げ…

情報セキュリティ / 気になるワード / ISO/IEC 15408コモンクライテリア

なんとなく仕事でこういうのに近いものを定めたりしないといけなくなったりしそうなので用語等をメモ。 ISO 15408 コモンクライテリア 規格などで用いる形式、用語などについて定めた「コモンクライテリア」と呼ばれるもの。 TOE(Target Of Evaluation)…… …

情報処理安全確保支援士のオンライン講習開始

会社のお金で申請している情報処理安全確保支援士の資格維持に必要な購入の一つ、オンライン講習を開始しました。受講開始から3か月が期限なのでほぼ11月末まで。法人名義での支払いを選択して、支払い完了後に確認依頼を出すと1日ほどで確認&受付の通知が…

C#でCAPTCHA認証を取り入れてみる

研修でC#によるアプリのセキュリティ関連の話をした流れで、CAPTCHA認証という「画像として与えられた文字を入力することで、自動的なログイン試行などを除外する」という機能を盛り込んでみることになりました。下記のマイクロソフト系サイトのコードをサン…

CSVインジェクションなんてものがあるんですね

某所で話題になっていたので自分用メモ。ExcelなどのスプレッドシートソフトにCSVデータを取り込んだ際に、CSVにテキストとして仕込まれたコードが実行される可能性があるという問題。以下のサイトに例などが挙がっています。 The Absurdly Underestimated D…

情報処理安全確保支援士 資格申し込みに関する情報

どうもIPAのサイトで国家資格 情報処理安全確保支援士(情報セキュリティスペシャリスト:情報セキスペ)に関するページに到達しづらいので、自分用メモ。 過去に情報セキュリティスペシャリストか、テクニカルエンジニア(情報セキュリティ)に合格している…

「compromise」の意味

先に書いたパスワードの定期的変更に関する内容で、NISTのガイドラインを英語で少し読んでみて以前から疑問におもってた「compromise」ってなんなの?を調べました。www.backyrd.netevidendce of compromiseという形で文章に出てきます。compromiseは「妥協…

NISTがパスワードの定期的な推奨を「させるべきではない」としたガイドラインを公開

NIST(National Institute of Standards and Technology、米国国立標準技術研究所)がセキュリティに関する文書の中で、 パスワードの定期的な変更など現時点で結構常識として扱われている方針について「やるべきではない」との見解を示したようですね。inte…

McAfee Application Control 既知の問題

作業メモ。McAfee Application Controlに関連する既知の不具合、報告情報。 MAC 6.1.1 Known Issues https://kc.mcafee.com/corporate/index?page=content&id=KB78591 MAC 6.1 Known Issues https://kc.mcafee.com/corporate/index?page=content&id=KB76457 …

McAfee Application Controlのログ

ホワイトリスト方式で利用可能なアプリなどを制限する、McAfee Application Controlが出すログについての情報がMcAfeeのKBにあったのでメモ。 ログの種類と内容について https://kc.mcafee.com/corporate/index?page=content&id=KB80155&locale=ja_JP&viewlo…

Time Based SQL Injection、面白いですね

何に情報を持たせられるか、という観点で考えていくと、データを伝える方法は画面出力だけではないんですよね。 Time-based SQL Injectionは意外に実用的だった/徳丸浩の日記 http://blog.tokumaru.org/2015/04/time-based-sql-injection.html 条件に一致す…

Windows Server 2003で動くACRegl.exeって何?

セキュリティ回りの設定調査の過程で、ACRegl.exeというプログラムとそれに関連するスクリプト(実体はバッチファイル)について調べることがあったので、関連情報をメモしておく。あとでまとめること>自分。 Citrix User Profile Manager (UPM) and the Br…