業務日誌
自社内で掲示していた自分の報告を消したので、こちらにコメントを付けて転記。「この薄い色」がコメントです。主に文系学部出身の新卒新人を小規模のシステム開発会社の新人として迎えて研修する際の指針の例として参考になれば。 2019年新人研修報告(7月…
久々にひどいコードに遭遇したので記録しておきます。 DBの列名を定数にしている データベースに格納された「製品名」の列を、C#のプログラム中では定数で定義しています。まぁこれ自体は理由があるならば良いと思うのですが、こんな感じです。 const string…
2021年1月26日掲載分。 WindowsのRDPを利用した増幅攻撃が流行っています(1/20) 大量のアクセスで対象を利用不能にするDDoS攻撃の応用版に利用されるWindowsサーバー、利用「されかねない」ものが3万台以上あるそうです。外向けサーバーを運営されている方…
VMware WorkstationのVMをPC入れ替えなどで移動してフォルダー構成が変わってしまった場合、あるVMを元にリンククローンで作成したVMが「クローン元のVMファイルが見つからない」というエラーを出して起動しなくなります。その場合の対処例をメモしておきま…
2021年1月21日掲載分。 Oracle Java の脆弱性(1/20) Java SEに脆弱性が見つかってパッチが出ているようです。利用しているシステムではパッチ適用作業が発生するかもしれません。 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14803 (CVE) NT…
2021年1月8日 日産のソースコードが初期ID/PWDのBitBucketに収められていて流出(1/6) 日産の自動車関連ソースコードがGitのローカルサーバーに、id:admin/PWD:adminでおかれていてすっぱ抜かれたようです。初期ID/PWDのまま運用ってのはダメですね(昔よく…
2021年1月7日 まだの人はいますぐに。サポート終了したFlashの削除方法(1/11) Webサイトなどにベクターグラフィックによる動画やインタラクティブ要素を取り入れられた「フラッシュ」がサポート終了になったので、既に入っているFlash関連のソフトを消す方…
情報処理安全確保支援士のオンライン講習があと半分残っているのですが、1月末に更新手続きを行う為に必要なので1月前半での完了が必須……。そういえば更新って何をするんだ?と改めて確認したところ、IPAのサイトで更新申請のチェックリストが出てきました。…
2020年12月15日 危険なパスワードは? NordPassが2020年版を発表(12/11) @ITの会員登録が必要ですが。興味のある方はどうぞ。 https://www.atmarkit.co.jp/ait/articles/2012/11/news088.html (@IT) SMSの不在通知に注意!宅配業者からの連絡を装うフィ…
だなぁ……というお話。2013年に今の会社に移って、比較的小規模で生き残ってる結構強い基盤を持ってる会社かと思っていたのですが……。ただの仲良しグループの会社ごっこに近い雰囲気だってことを最近ひしひしと感じてます。なんとういか、古参メンバーや自分…
自分用備忘録です。 法律、指針 サイバーセキュリティ基本法 …… https://elaws.e-gov.go.jp/document?lawid=426AC1000000104 情報処理の促進に関する法律 …… https://elaws.e-gov.go.jp/document?lawid=345AC0000000090 情報処理学会 倫理綱領 …… https://ww…
2020年12月2日掲載分。 改竄チェックのない CBC モードで暗号化実行ファイルで任意のコード埋設の可能性(11/25) ブロック暗号の図があるので詳細は難しいですが漠然とイメージを掴む参考に。 https://jvn.jp/ta/JVNTA94494000/index.html (JVN) 複数の VM…
2020年11月16日掲載分。パッチフェスタの様相。 Microsoft製品の脆弱性対策パッチ(11/11) すでに被害報告が出ているようですのでご自宅なども含めて対応をお勧めします。 https://www.ipa.go.jp/security/ciadr/vul/20201111-ms.html (IPA) Oracle WebLo…
メモです。情報処理安全確保支援士(情報セキスペ)の作業や業務に於ける参考情報の所在。 サイバーセキュリティ基本法 平成26年法律第104号。 elaws.e-gov.go.jp 情報処理の促進に関する法律 昭和45年法律第90号。 elaws.e-gov.go.jp 情報処理学会 倫理綱領…
2020年11月10日掲載分。 JCBを名乗るフィッシングメール(11/2) 私の所にも来ていたので。 https://j-faq.jcb.co.jp/faq/show/1544?site_domain=default (JCB) データを無意味化して格納するストレージシステム(10/30) ドングルを使ってる時点でそれが…
2020年10月29日掲載分。 慶應義塾大学、次世代デジタルアイデンティティ基盤を実証実験(10/28) 在学証明書や卒業見込証明書のデジタル化。これは受け入れ側企業の選別が始まったとも考えられますね。 https://japan.zdnet.com/article/35161552/(ZDNet) …
いろいろあって、今は研修関連業務から外れました。というか外されました。現在、過去のやりとりを変な風に利用されないうちに保全しておこうと、社内グループウェアからテキストファイルに転記しているのですが……。2018年5月末、初年度の状況について社内に…
2020年10月27日掲示。 Java SEに不正アクセス可能性の脆弱性(10/21) Oracle Java SEの7移行のバージョンに不正コードを実行できてしまう脆弱性が見つかったようでパッチが出ています。 https://www.ipa.go.jp/security/ciadr/vul/20201021-jre.html (IPA…
2020年10月27日掲載分。 Java SEに不正アクセス可能性の脆弱性(10/21) Oracle Java SEの7移行のバージョンに不正コードを実行できてしまう脆弱性が見つかったようでパッチが出ています。 https://www.ipa.go.jp/security/ciadr/vul/20201021-jre.html (IP…
2020年10月24日掲示。情報処理安全確保支援士の資格取得のお金を出してもらっている都合上、役員から「不定期でいいのでセキュリティ情報を発信してくれ」との依頼があったので自社内グループウェアの掲示版に掲載している内容です。若手などには「私の影響…
2020年10月24日掲示。 ブクログの本棚ソースコードにメールアドレス(10/21) 読書/蔵書記録サービスのブクログで、個人の「書棚」ページのソースに利用者メールアドレスが記載されたまま運用されていたようです。2018年のシステム改修以降、ずっととのこと…
2020年10月15日掲示。 GitHubにセキュリティチェック機能が追加される(9/30) GitHubにCodeQLを使ったセキュリティチェック機能が追加されたそうです。シグマクレストはインターネット上のリポジトリーにはGitLabを使うことになっているのですかね?おそら…
2020年10月13日掲示。 マイクロソフトがデジタルディフェンスレポート2020公開(10/7) マイクロソフトのセキュリティレポートです。英文ですが、単純に「PC閲覧想定のパワポ」としてデザイン等を参考にするのにもいいかもしれません。特に「色の数」に注目…
ちょっと古い情報を掘り返し QRコード決済における不正な銀行口座紐付けの防止対策ガイドライン(9/18) 例のドコモ銀行事件などのような口座との関連付けのガイドラインが公開されています。 https://www.meti.go.jp/press/2020/09/20200918002/20200918002…
新人研修が途中で打ち切りに近い形になり、本来やる予定だった簡単な開発プロジェクト模擬実習なども無くなってしまいました。その流れで人事課長さん達からは「残りの半月でできるところまでやってもらえないか(プロジェクト模擬実習を)」「仕事で使うツ…
客先環境で使うとのことで、導入手順とか教えてくれと聞いたところ「勝手に入れろ」とのこと。新人とか大変ね… ダウンロード 下手に検索するといきなりサインインしますか?というサイトに誘導されるので、「teams ダウンロード」で検索すると下記のサイトが…
2020/10/7に掲示した内容のメモです。 東映ビデオからクレカ情報1万件、セキュリティコード込みで(10/1) 東映系列の企業。東映ビデオのオンラインショップでクレカ情報漏洩。カード裏面にあるセキュリティコード(CVC、CVV)もサーバーに保存されていたそ…
2020/10/2に掲示した内容のメモです。 「原神」、iOS版でクリップボードの内容を読み取る不具合「テスト版の機能が削除できていなかった」/ ITmedia(10/1) ■ゲーム「原神」アンチチートプログラムのスパイウェア疑惑(9/28) オンラインゲームでのチート(…
2020/09/30に社内掲示した内容のメモです。 更新:Microsoft製品の脆弱性対策について(9/28更新) IPAから、CVE-2020-1472という、シグマ社内LANでも使っているActiveDirectoryのサーバーに接続する際に動く処理を悪用すると、管理者アカウントとしてサーバ…
2020/9/24に掲示したものの転記です。多分もう個別に通知行っているとおもいますが、基本情報技術者試験受けようとしている方は今後の日程等に注意してくださいね。 IPA/ 今秋の基本情報技術者試験(FE)は延期&CBTで 今年の10月実施の試験2つ(情報セキュリ…
