Hatena::ブログ(Diary)

まっちゃだいふくの日記★とれんどふりーく★ このページをアンテナに追加 RSSフィード Twitter

カレンダー
<< 2018/01 >>
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

このBlogは個人的に収集しているセキュリティ情報や製品情報について書いています。
各ウイルスバスターの不具合やBlogでの反応:クラウド(2015)クラウド(2014)クラウド(2013)201220112011続き201020092008
情報なし:20162017
日本の情報セキュリティ勉強会ポータルサイト

2018年01月09日(火曜日) クイズの日

ripjyr2018-01-09

[][]ASCII.jp:2018年はどんなセキュリティ脅威が?9社予測まとめ《前編》 (1/2)

(情報元のブックマーク

メモ

毎年年末になるとセキュリティベンダー各社が、翌年のセキュリティ脅威動向についての予測レポートを発表する。昨年(2017年)末にも、多くのベンダー2018年(そしてそこからの数年間)に関するセキュリティ脅威と対策に関するレポートを発表した。

 各社のレポートには濃淡の違いがあるものの、まとめて見ると一定の「脅威の方向性」を読み取ることができる。本稿では、昨年発生した事件も振り返りつつ、2018年に企業が警戒すべき脅威のキーワードをまとめてみたい。まず前編では、昨年(2017年)の脅威状況も振り返りつつ、引き続き脅威となる幾つかを取り上げる。

ASCII.jp:2018年はどんなセキュリティ脅威が?9社予測まとめ《前編》 (1/2)

screenshot

[][]各規制はセキュリティ診断の頻度をどのように定めているか? - セキュリティコンサルタントの日誌から

(情報元のブックマーク

メモ

少し前ですが、2017年8月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーションがどのようについてどのように言及しているか整理を行いました。

今回は、各レギュレーションがどのようにセキュリティ診断の頻度を定めているか整理したいと思います。

各規制はセキュリティ診断の頻度をどのように定めているか? - セキュリティコンサルタントの日誌から

screenshot

[][]パチモン・レストランをロンドンNO.1レストランに仕立て上げる | VICE JAPAN

(情報元のブックマーク

メモ

昔々、VICEでライターとして記事を書き始めるずっと前、私は別の仕事をしていた。そのなかでも、今日の私に大きな影響を与えた仕事は、〈トリップアドバイザーで偽レビューを書く〉という仕事だった。いち度も訪ねたことのないレストラン好意的レビューを書き、報酬は10ポンド(約1500円)。やっているうちに、レビューしたレストランの評価を監視するのに夢中になった。レビューがきっかけで、評価が上がったりもしたのだ。

no title

screenshot

[][]日本のロックバンドの曲「ピコ太郎に続く洗脳ソング」と中国で話題 - ライブドアニュース

(情報元のブックマーク

なかなかw

2017年1月3日、日本のロックバンド・打首獄門同好会が昨年YouTubeに発表した新曲「布団の中から出たくない」のミュージックビデオが中国版ツイッター・微博(ウェイボー)で紹介され、日本の新たな「洗脳神曲」として急速に拡散している。

話題になっているのは、生活密着型ラウドロックバンド・打首獄門同好会が今月24日に発売するCD「冬盤」の収録曲である「布団の中から出たくない」のミュージックビデオ。寒い冬の朝、ぬくぬくの布団から出たくない、でも出なきゃいけないという心の葛藤を、ゆったりとしたレゲエ調と超高速のハードロックを織り交ぜて歌い上げている。レゲエの途中で突然襲いかかる「寒い寒い寒い寒い!」という魂の叫びのような激しいシャウトが印象的でクセになる。そして、るるてあ氏の人気ペンギンキャラクター「コウペンちゃん」のアニメーションとのコラボレーションがかわいらしく、楽しい

日本のロックバンドの曲「ピコ太郎に続く洗脳ソング」と中国で話題 - ライブドアニュース

screenshot

[][]米朝開戦の瀬戸際で、32ヵ国の陸軍トップを前に僕が話したこと(伊勢崎 賢治) | 現代ビジネス | 講談社(1/4)

(情報元のブックマーク

メモ

会議のテーマは、Unity in effort(共に闘う): Building Civil-Military Partnerships in Land Force Response to Non-traditional Security Threats (非通常戦脅威に対する陸軍戦略における軍民連携)。

僕は講演者として招かれ、講演内容は在日米軍司令部と韓国の安全保障専門のシンクタンクが僕と調整した。

講演テーマは、僕がアメリカアフガニスタン戦や国連PKOの現場で経験した国際部隊による「占領統治」と敵対行為が進行中の国家建設、ということで落ち着いた。

no title

screenshot

[][]家庭のIoT機器を狙う「サイバー攻撃ビジネス」--BBソフトサービスに聞く防衛策 - CNET Japan

(情報元のブックマーク

山本さんだ!

ソフトバンクグループBBソフトサービスはこのほど、一般家庭のスマート家電スマートデバイスネットワークに接続するIoT機器を襲うサイバー脅威の実態把握と防止策の研究を目的とした、横浜国立大学との共同研究の中間報告をまとめた。

 この研究では、横浜国立大学 情報・物理セキュリティ研究拠点の施設内に、一般家庭を想定したコネクテッドホームの試験室をつくり、国内で販売されているスマート家電ネットワーク機器、IoTデバイスなどを設置。サイバー攻撃マルウェアの侵入・活動についての観測や、攻撃を受けた際のネットワーク機器への影響を調査したほか、その防衛策についても研究した。

 2017年6月の研究開始からこれまでにどのような発見があり、今後のネットワークセキュリティにどのような示唆が得られたのか。BBソフトサービス オンラインセキュリティラボのシニアエヴァンジェリストである山本和輝氏に話を聞いた。

家庭のIoT機器を狙う「サイバー攻撃ビジネス」--BBソフトサービスに聞く防衛策 - CNET Japan

screenshot

*

(情報元のブックマーク

各国当局がビットコイン利用者を監視できるソフトウエアの採用を進める中で、取引のトラッキングを回避できるよう設計されたモネロなどプライバシーに優れた仮想通貨は、直近の2カ月でビットコインを上回る上昇を遂げた。米チェーンアリシスなど多数の分析会社は犯罪や資金洗浄マネーロンダリング)と仮想通貨との関連を指摘、こうした仮想通貨と従来型通貨との交換を控えるよう取引所に注意を促している。

欧州刑事警察機構(ユーロポール)は3カ月前、「モネロやイーサリアム、Zキャッシュなどビットコイン以外の仮想通貨デジタルの地下世界で人気を得つつある」と警告を発した。パソコンを使用不可能にして原状回復と引き換えに金銭を要求するランサムウェアの送り主らも、これらの仮想通貨での支払いを要求し始めた。

no title

screenshot

[][][IPA] デスマらないために「超上流から攻める IT 化の原理原則17ヶ条」が思った以上に使える件 [要件定義] | oshiire*BLOG

(情報元のブックマーク

メモ

「超上流」という言葉自体はとても気に入らないけれども、IPA 独立行政法人 情報処理推進機構 が作って公開している「超上流から攻める IT 化の原理原則17ヶ条」が、当たり前のことを当たり前に並べてあってとても役に立つ。

[IPA] デスマらないために「超上流から攻める IT 化の原理原則17ヶ条」が思った以上に使える件 [要件定義] | oshiire*BLOG

原理原則 17箇条

#ユーザベンダの想いは相反する

#取り決めは合意と承認によって成り立つ

#プロジェクトの成否を左右する要件確定の先送りは厳禁である

#ステークホルダ間の合意を得ないまま、次工程に入らない

#多段階の見積りは双方のリスクを低減する

#システム化実現の費用はソフトウェア開発だけではない

#ライフサイクルコストを重視する

#システム化方針・狙いの周知徹底が成功の鍵となる

#要件定義は発注者の責任である

#要件定義書はバイブルであり、事あらばここへ立ち返るもの

#優れた要件定義書とはシステム開発を精緻にあらわしたもの

#表現されない要件はシステムとして実現されない

#数値化されない要件は人によって基準が異なる

#「今と同じ」という要件定義はありえない

#要件定義は「使える」業務システムを定義すること

#機能要求は膨張する。コスト、納期が抑制する

#要件定義は説明責任を伴う

screenshot

[][]How web trackers exploit password managers - gHacks Tech News

(情報元のブックマーク

memo

Most web browsers come with a built-in password manager, a basic tool to save login data to a database and fill out forms and/or sign in to sites automatically using the information that is in the database.

Users who want more functionality rely on third-party password managers like LastPass, KeePass or Dashlane. These password managers add functionality, and may install as browser extensions or desktop programs.

How web trackers exploit password managers - gHacks Tech News

screenshot

[][]元年生まれの挑戦:/1(その2止) サイバー犯罪を追う 県警情報管理専門官・奥津全道さん(28) /熊本 - 毎日新聞

(情報元のブックマーク

熊本電波高専出身のサイバー担当。頑張れ!!!

伝統芸能と対照的に目まぐるしく変化するインターネットの世界を舞台に活躍する平成元年生まれもいる。県警サイバー犯罪対策課、奥津全道(ともゆき)さん(28)は豊富な知識と技術でサイバー犯罪に携わる警察官を支援している。

 奥津さんは県警に3人だけのIT系専門職の情報管理専門官。警察官ではなく一般職員だが、サイバー犯罪の捜査に関わることも多い。近年はパソコンスマートフォンなどを使った犯罪も多く、事件現場でしかできない解析などもあり呼び出されることも珍しくない。また事件によっては証拠となるデータクラウドインターネット上の空間)にあり、不正アクセス禁止法に抵触しないよう注意して捜査しなくてはならないことなど専門的な立場からアドバイスもする。

元年生まれの挑戦:/1(その2止) サイバー犯罪を追う 県警情報管理専門官・奥津全道さん(28) /熊本 - 毎日新聞

screenshot

[][]ヒマスタのLED照明は照射角36度の電球色2700kに統一しました! : himag

(情報元のブックマーク

なかなかよい。

ヒマスタは5本のライトレールがありそこにリモコンで独立してオンオフできるE11のライトソケットを12系統装備しています。ここにつけるLEDも商品によって色が違うのでいろいろ試して2018年から統一することにしました。

右が司3331に入居した時に部屋についていたLEDで左がこれから統一して使うLEDです。

Amazonで買ったこのMuslishのE11用LEDは調光器対応の白熱球モデルです。肉眼で光源を見て不自然な黄色を感じないので気に入っています。色温度は2700kとなっていますが実際はカメラのWB設定を3300kから3500kくらいで運用したほうがライブ配信の時にしっくりくる色になります。5個セットで3000円弱です。

ヒマスタのLED照明は照射角36度の電球色2700kに統一しました! : himag

screenshot

[][]平昌五輪は「すでにハッカーの標的に」、マカフィーが報告 写真1枚 国際ニュース:AFPBB News

(情報元のブックマーク

東京の参考に。

1月7日 AFP】平昌冬季五輪の開幕を2月に控え、米セキュリティ企業は6日、大会はすでにハッカーの標的になっていると発表。 米インターネットセキュリティソフト大手マカフィーMcAfee)によると、ハッカーウイルスメールを使ってパスワードやお金に関する情報を盗もうとしていると報告している。

 報告書の中では平昌五輪に関わる複数の組織、主にアイスホッケー関連の団体に対して悪意のあるメールが送られたと指摘されており、マカフィーは「(標的にされた)組織の大半は、インフラ提供や支援業務など五輪に関連があった。攻撃側は、五輪に大きな網を張っているようだ」と述べている。

 攻撃が始まったのは昨年12月22日からで、メールは五輪へ向けた対テロ訓練を実施中だった韓国の国家対テロセンターから送られてきたように「偽装」されていたが、実際の送信元はシンガポールだった。

 メールには「農林部および平昌五輪が作成」と題された韓国語ファイルを開くよう指示があり、ファイル内の文章や画像にはステガノグラフィーというマルウェアが隠されていた。報告書では「こうした埋め込みマルウェアが攻撃者のサーバーとの暗号化チャネルを構築し、攻撃側は被害者マシン上でコマンドを実行し、別のマルウェアインストールできるようになるとみられる」としている。

平昌五輪は「すでにハッカーの標的に」、マカフィーが報告 写真1枚 国際ニュース:AFPBB News

screenshot

[][]CNN.co.jp : 中国の「天宮1号」、3月までに地球に落下 - (1/2)

(情報元のブックマーク

メモ

香港(CNN) 制御不能となっている中国の無人宇宙実験室「天宮1号」が3月末までに地球に落下する見込みであることが6日までに分かった。人間に危険を及ぼす可能性は非常に小さいが、宇宙大国を目指す中国にとっては汚点になりそうだ。

ハーバード・スミソニアン天体物理学センタージョナサンマクドウェル氏は、「中国はPR上の失態を抱えている」と指摘。「実際の危険は少ないが、これほど大きな物体がこうした形で空から落下することがあってはならないというのが国際的ベストプラクティス(最良の事例)だ」と述べた。

宇宙関連の専門家は、人間に危険を及ぼす可能性はごくわずかだと強調。天宮1号の残骸が人間に当たる確率は推定で1兆分の1以下とされる。大部分は大気圏突入時に海の上空で燃え尽き、一部が海底に沈むのが最も可能性の高いシナリオだ。

CNN.co.jp : 中国の「天宮1号」、3月までに地球に落下 - (1/2)

screenshot

[][]Arrested hacker from Lurk group admits creation of WannaCry virus and DNC hack on request of intelligence agencies

(情報元のブックマーク

メモ

Konstantin Kozlovsky is arrested on a charge of swindle as a part of hacker group Lurk. He is now being held in a pre-trial detention center. Earlier the hacker told that he “under direction of the Federal Security Service” cracked servers of the Democratic party of the USA and e-mail of Hillary Clinton. Kozlovsky said that employee of the Federal Security Service (FSB) contacted him. Then he changed indications, saying that the operation was supervised by employee of the Center of Information Security of FSB Dmitry Dokuchaev who is arrested on the case of high treason now. Dokuchaev through his lawyer said that he was not familiar with Kozlovsky.

Arrested hacker from Lurk group admits creation of WannaCry virus and DNC hack on request of intelligence agencies

screenshot

[][]macOS 10.13.2 High Sierraでも実行可能なCPU脆弱性「Spectre」のPoCが公開される。 | AAPL Ch.

(情報元のブックマーク

macOSのSpectreのPoCが出たらしい。

GoogleのProject Zeroチームは現地時間2018年01月03日、IntelやAMD, ARMなどで利用されている投機実行機能不具合を利用し認証されていないユーザーシステムメモリからパスワードや暗号鍵などを窃取する事が出来る「Meltdown(CVE-2017-5754)」および「Spectre(CVE-2017-5753, CVE-2017-5715)」脆弱性の存在を公開し、既にこの脆弱性を利用したPoC[1, 2]が公開されていますが、

no title

関連URL

About the security content of macOS High Sierra 10.13.2 Supplemental Update - Apple サポート

screenshot

[][][検証]いま買えるiPhone用ワイヤレス充電器で一番コスパが良いのはどれ? | ギズモード・ジャパン

(情報元のブックマーク

Mophieのワイヤレス充電が良いってことか。まぁ、対象機器もってないけどなw

結論

ワイヤレス充電器で充電したいときはまず、iOS11.2にアップグレードする必要があります。ソフトウェアインストールするだけで、iPhoneの充電速度をアップさせることができるからです。また、iPhoneに最適なワイヤレス充電器を探す場合、Qi互換(PMAではなく)であることを確認し、7.5ワットの電圧であることを確認しましょう。今回のテスト結果では、Mophieの60ドル(6980円)の Wireless Charging Baseがもっとコストパフォーマンスに優れていたと言えます。

no title

screenshot

[][]2018年の天体イベント、カレンダーにまとめてみました | ギズモード・ジャパン

(情報元のブックマーク

楽しみ!

元旦の夜に今年最大級の満月が現れたことを筆頭に、2018年は天体イベントが盛りだくさん。油断していると見逃してしまいそうですが、ありがたいことにニューヨーク・タイムズが今年の注目すべき天体イベントカレンダーにまとめました。しかも、GoogleカレンダーやiOSに追加できるんです。

冒頭に書いたように、今年最初のスーパームーン1月2日の夜明けにやってきました。もし見逃してしまっても、月末の31日には皆既月食ブルームーンがやってくるので、月を観測するチャンスにはもう一度恵まれます。NASAによれば、皆既状態は北米の西部から太平洋をまたいで東アジアにかけて観測できるとのこと。

no title

screenshot

[][]都会では絶対に見ることのできない美しい星空の様子 | ギズモード・ジャパン

(情報元のブックマーク

すげぇな

都会の夜景は煌びやかで魅力的ですが、時には人工的に計算された景色から離れて美しい星空を満喫するのもいいですよね。でも実際に満点の星空を眺められる場所に行くのは容易ではありません。

そこで! 星空のタイムラプス映像です。ウットリするような星空をスクリーンいっぱいに広げてお楽しみください。

no title

screenshot

[][]New Google Apps script vulnerability extends URL-based threats to SaaS platforms | Proofpoint

(情報元のブックマーク

Google AppScriptって有能すぎるからなぁ。。。マルウエアを配布するプラットフォームの一部になってるという話。

Proofpoint researchers discover a new means of exploiting Google Apps Script to deliver malware via URLs.

Software-as-a-Service (SaaS) applications have become mainstays of modern business and consumer computing. However, they are also quickly becoming the latest frontier of innovation for threat actors looking for new opportunities to distribute malware, steal credentials, and more. Proofpoint researchers identified a vulnerability that allowed attackers to leverage Google Apps Script to automatically download arbitrary malware hosted in Google Drive to a victim’s computer.

Google Apps Script is a development platform based on JavaScript that allows both the creation of standalone web apps and powerful extensions to various elements of the Google Apps SaaS ecosystem. Proofpoint research has found that Google Apps Script and the normal document sharing capabilities built into Google Apps supported automatic malware downloads and sophisticated social engineering schemes designed to convince recipients to execute the malware once it has been downloaded. We also confirmed that it was possible to trigger exploits with this type of attack without user interaction, making it more urgent that organizations mitigated these threats before they reach end users, whenever possible.

no title

screenshot

当ページでは、掲載内容による不具合、問題に関する責任もちません、内容が正確である保障もできません。m(__)m
各自の自己責任で、情報の確認をお願いします

毎日のトップに掲載されている今日の記念日は、MIEさんのページから頂いております。ありがとうございます。