セキュリティ
GMailに、本日9時半頃に「Evernoteへの新しい端末からのログイン」というメールが。Evernoteは一時期使おうかと思っていたけれど、ほぼ放置の休眠状態。アクセスなんてしていない。メールにはアクセス元として「Hong Kong」……あ-、やられてる。 新しいログ…
背景 2009年の12月に、情報セキュリティスペシャリストの試験に合格し、2018年に現在の会社で「会社の指示により」情報処理安全確保支援士の資格取得費用を出してもらって資格を維持していましたが、以下の理由で資格の維持をやめさせてもらうことにしました…
5/18 掲載分 全てのWifiデバイス/プロトコルに対しての設計/実装上の問題(FragAttack)(5/11) 無線LANのプロトコル上の問題で最新のWPA3でも突破可能とのこと。特にサポート切れのOSやパッチ適用が行われていないOSだと狙われやすいのでお気を付けください…
5/12掲載分 10年前の自分の子供Youtube動画が原因でアカウントBan(5/11) 直接セキュリティというわけではありませんが、いろんなものの根幹になりつつあるGoogleアカウントが停止させられて復活するまでの経緯が書かれていたので参考まで。Googleドキュメ…
2021年4月6日掲載分。 採用業務のタスクが筒抜け(4/6) タスク管理ツールTrelloのプライバシー設定を誤って、完全パブリックにしたまま使っている企業が結構あるとのこと。実際検索すると……出てきますね。皆さん個人も含めて使ってるツール類のセキュリティ…
2021年3月23日掲載分 NEC Univerge AspireシリーズにDoS攻撃を受ける脆弱性(3/22) 以前紹介したシリーズでの脆弱性、やはり後継機種や関連機種にも問題があったことが判明したようですね。同じ会社の製品であれば、同じ人達が作っている可能性があるので同…
2021年3月1日掲載分 これだけは知っておきたい!事例から学ぶ無線LANセキュリティ対策(2/10) 総務省主導で、無線LANのセキュリティ講座が開設されていました。興味ある方はどうぞ。 https://gacco.org/wifi-security/ (Gacco) アトラシアン製Bitbucketにア…
2021年2月17日掲載分 Mastercardがビットコイン取り扱いを発表(2/12) カードの支払いなどに仮想通貨の利用を可能にするとのこと。ビットコインは完全に乗り遅れたら偉いことになってるし、確定拠出年金の運用はコロナ禍を恐れて日本株から安牌へ乗り換えた…
2021年1月26日掲載分。 WindowsのRDPを利用した増幅攻撃が流行っています(1/20) 大量のアクセスで対象を利用不能にするDDoS攻撃の応用版に利用されるWindowsサーバー、利用「されかねない」ものが3万台以上あるそうです。外向けサーバーを運営されている方…
2021年1月21日掲載分。 Oracle Java の脆弱性(1/20) Java SEに脆弱性が見つかってパッチが出ているようです。利用しているシステムではパッチ適用作業が発生するかもしれません。 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14803 (CVE) NT…
2021年1月8日 日産のソースコードが初期ID/PWDのBitBucketに収められていて流出(1/6) 日産の自動車関連ソースコードがGitのローカルサーバーに、id:admin/PWD:adminでおかれていてすっぱ抜かれたようです。初期ID/PWDのまま運用ってのはダメですね(昔よく…
2021年1月7日 まだの人はいますぐに。サポート終了したFlashの削除方法(1/11) Webサイトなどにベクターグラフィックによる動画やインタラクティブ要素を取り入れられた「フラッシュ」がサポート終了になったので、既に入っているFlash関連のソフトを消す方…
情報処理安全確保支援士のオンライン講習があと半分残っているのですが、1月末に更新手続きを行う為に必要なので1月前半での完了が必須……。そういえば更新って何をするんだ?と改めて確認したところ、IPAのサイトで更新申請のチェックリストが出てきました。…
2020年12月15日 危険なパスワードは? NordPassが2020年版を発表(12/11) @ITの会員登録が必要ですが。興味のある方はどうぞ。 https://www.atmarkit.co.jp/ait/articles/2012/11/news088.html (@IT) SMSの不在通知に注意!宅配業者からの連絡を装うフィ…
自分用備忘録です。 法律、指針 サイバーセキュリティ基本法 …… https://elaws.e-gov.go.jp/document?lawid=426AC1000000104 情報処理の促進に関する法律 …… https://elaws.e-gov.go.jp/document?lawid=345AC0000000090 情報処理学会 倫理綱領 …… https://ww…
ついさっき(2020年12月10日)、タスクトレイのDropBoxアイコンがエラーになっているのに気づきました。Windows 10のPC版常駐プログラムです。 Dropboxがエラーになっているエラー内容は セキュリティで保護されたインターネット接続を確立できません んー………
2020年12月2日掲載分。 改竄チェックのない CBC モードで暗号化実行ファイルで任意のコード埋設の可能性(11/25) ブロック暗号の図があるので詳細は難しいですが漠然とイメージを掴む参考に。 https://jvn.jp/ta/JVNTA94494000/index.html (JVN) 複数の VM…
2020年11月16日掲載分。パッチフェスタの様相。 Microsoft製品の脆弱性対策パッチ(11/11) すでに被害報告が出ているようですのでご自宅なども含めて対応をお勧めします。 https://www.ipa.go.jp/security/ciadr/vul/20201111-ms.html (IPA) Oracle WebLo…
メモです。情報処理安全確保支援士(情報セキスペ)の作業や業務に於ける参考情報の所在。 サイバーセキュリティ基本法 平成26年法律第104号。 elaws.e-gov.go.jp 情報処理の促進に関する法律 昭和45年法律第90号。 elaws.e-gov.go.jp 情報処理学会 倫理綱領…
2020年11月10日掲載分。 JCBを名乗るフィッシングメール(11/2) 私の所にも来ていたので。 https://j-faq.jcb.co.jp/faq/show/1544?site_domain=default (JCB) データを無意味化して格納するストレージシステム(10/30) ドングルを使ってる時点でそれが…
2020年10月29日掲載分。 慶應義塾大学、次世代デジタルアイデンティティ基盤を実証実験(10/28) 在学証明書や卒業見込証明書のデジタル化。これは受け入れ側企業の選別が始まったとも考えられますね。 https://japan.zdnet.com/article/35161552/(ZDNet) …
2020年10月27日掲示。 Java SEに不正アクセス可能性の脆弱性(10/21) Oracle Java SEの7移行のバージョンに不正コードを実行できてしまう脆弱性が見つかったようでパッチが出ています。 https://www.ipa.go.jp/security/ciadr/vul/20201021-jre.html (IPA…
2020年10月27日掲載分。 Java SEに不正アクセス可能性の脆弱性(10/21) Oracle Java SEの7移行のバージョンに不正コードを実行できてしまう脆弱性が見つかったようでパッチが出ています。 https://www.ipa.go.jp/security/ciadr/vul/20201021-jre.html (IP…
2020年10月24日掲示。情報処理安全確保支援士の資格取得のお金を出してもらっている都合上、役員から「不定期でいいのでセキュリティ情報を発信してくれ」との依頼があったので自社内グループウェアの掲示版に掲載している内容です。若手などには「私の影響…
2020年10月24日掲示。 ブクログの本棚ソースコードにメールアドレス(10/21) 読書/蔵書記録サービスのブクログで、個人の「書棚」ページのソースに利用者メールアドレスが記載されたまま運用されていたようです。2018年のシステム改修以降、ずっととのこと…
2020年10月15日掲示。 GitHubにセキュリティチェック機能が追加される(9/30) GitHubにCodeQLを使ったセキュリティチェック機能が追加されたそうです。シグマクレストはインターネット上のリポジトリーにはGitLabを使うことになっているのですかね?おそら…
2020年10月13日掲示。 マイクロソフトがデジタルディフェンスレポート2020公開(10/7) マイクロソフトのセキュリティレポートです。英文ですが、単純に「PC閲覧想定のパワポ」としてデザイン等を参考にするのにもいいかもしれません。特に「色の数」に注目…
ちょっと古い情報を掘り返し QRコード決済における不正な銀行口座紐付けの防止対策ガイドライン(9/18) 例のドコモ銀行事件などのような口座との関連付けのガイドラインが公開されています。 https://www.meti.go.jp/press/2020/09/20200918002/20200918002…
2020/10/7に掲示した内容のメモです。 東映ビデオからクレカ情報1万件、セキュリティコード込みで(10/1) 東映系列の企業。東映ビデオのオンラインショップでクレカ情報漏洩。カード裏面にあるセキュリティコード(CVC、CVV)もサーバーに保存されていたそ…
2020/10/2に掲示した内容のメモです。 「原神」、iOS版でクリップボードの内容を読み取る不具合「テスト版の機能が削除できていなかった」/ ITmedia(10/1) ■ゲーム「原神」アンチチートプログラムのスパイウェア疑惑(9/28) オンラインゲームでのチート(…
