1
CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ
大阪大学CSIRTの柏崎礼生氏(大阪大学情報推進本部)が、Security Days Fall 2018において、自身や同大のインシデント事例をもとにCSIRTに重要なものはなにかを問うセッションを行った。
![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2018100901.png){kind=logo}
2018.12.16(日)
大阪大学CSIRTの柏崎礼生氏(大阪大学情報推進本部)が、Security Days Fall 2018において、自身や同大のインシデント事例をもとにCSIRTに重要なものはなにかを問うセッションを行った。
株式会社エディットモードは12月7日、同社が運営する任天堂グッズ販売Webサイト「editmode.jp」(2018年7月より閉鎖中)が外部から不正アクセスを受け顧客の個人情報の流出が判明したと発表した。
実はセキュリティでもアセンブラはすごく大事です。セキュリティエンジニアが、機械語で書かれたマルウェアをちゃんと解析しようと思ったら、アセンブラを読める必要があります。
IPAおよびJPCERT/CCは、デジタルアーツが提供する有害サイトへのアクセスを遮断するWebセキュリティソフトウェア「i-FILTER」に、複数の脆弱性が存在すると「JVN」で発表した。
実験の結果は、ある部分においては、大方の読者の予想と一致している。理系の学生は文系の学生に比べてクリック率が低い( 工学・情報技術学部では 65 % 、自然科学・数学学部では 70 % )。文系の教養・人文科学・社会科学学部ではクリック率は 80 % だった。
ディー・エル・マーケット株式会社は10月22日、同社が運営する電子書籍、楽譜、写真素材、イラスト素材などを販売するDLmarket(https://www.dlmarket.jp/)に使用しているサーバへの不正アクセスにより会員情報が流出した可能性がることが判明したと発表した。
山形県山形市は12月6日、同市へ平成29年度にふるさと納税を行い「寄附者からのメッセージ」欄の記入者のデータを誤ってホームページに掲載したことが判明したと発表した。
奈良県は12月7日、平成30年度の県職員の懲戒処分について発表した。
国内には、あるいは本誌読者のなかにはセキュリティの逸材がたくさん存在するだろう。業務や立場が許すのなら、CFP 応募と講演を通じて、成長する機会は広く開かれている。
NISCは、2018年度の重要インフラ分野における「分野横断的演習」の実施について発表した。
横浜市は12月7日、職員の懲戒処分について発表した。
フォーティネットジャパンは、脅威レポート2018年第3四半期版、および2019年以降の脅威環境に関するFortiGuard Labs(フォーティガード ラボ)の予測を発表した。
スターキャット・ケーブルネットワーク株式会社は12月7日、クレジットカード情報を含む個人情報の漏えいが判明したと発表した。
2018 年師走、あの男が帰ってきました。白いタキシードが似合う筋肉系ペネトレーションテスター、株式会社キーコネクト 代表取締役 利根川 義英 氏です。
IPAおよびJPCERT/CCは、セイコーエプソンが提供する複数のプリンタおよびスキャナ製品に、複数の脆弱性が存在すると「JVN」で発表した。
ラックは、ユーザ自身が自社組織内でタイムリーにプラットフォーム診断(ネットワーク診断)やWebアプリケーション診断を実施できる「セキュリティ診断内製化支援サービス」の提供を開始した。
富山県高岡市は12月10日、生活保護受給者に係る個人情報の一部を記載した名簿を紛失したことが判明したと発表した。
国立大学法人新潟大学は12月6日、同学学生へのフィッシングメールによりメールアカウントのパスワードが窃取され、不正アクセスを受けたことが判明したと発表した。
IPAは、「Microsoft 製品の脆弱性対策について(2018年12月)」を発表した。JPCERT/CCも「2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。
PHP において、IMAP によりメールを操作するために使用する imap_open 関数に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
トレンドマイクロは、2019年の国内外における脅威動向を予測したレポート「2019年セキュリティ脅威予測」を公開した。
11月20日「LastPass」のクラウドサービスが 5 時間停止したため、パスワードマネージャを使ってアカウントにログインできない事態が発生した。
IPAおよびJPCERT/CCは、サイボウズが提供するグループウェア「サイボウズ Garoon」および「サイボウズ リモートサービス」に脆弱性が存在すると「JVN」で発表した。
CrowdStrikeは、2018年のセキュリティ侵害の傾向を明らかにした「CrowdStrike Cyber Intrusion Services Casebook 2018(サイバーセキュリティ侵害調査報告書 2018)」を公開した。
マカフィーは、「2018年のセキュリティ事件に関する意識調査」の結果と、2019年の脅威予測について発表した。
カスペルスキーと静岡大学は、50歳以上のシニアのインターネット利用者を対象とした情報セキュリティ啓発教材「ネットの『あやしい』を見きわめよう(シニア編)」を共同開発し、無償でダウンロード提供を開始した。
IIJは、「IIJ C-SOCサービス」および「IIJ C-SOCサービス ベーシック」において、有事の際に利用者のインシデント対応をサポートする「インシデント対応支援オプション」を提供開始したと発表した。
フィッシング対策協議会は、OMC Plusを騙るフィッシングメールが出回っているとして、注意喚起を発表した。
CompTIA日本支局は、より高度なセキュリティ実務者を対象としたセキュリティの知識とスキルを証明する認定資格「CASP(CompTIA Advanced Security Practitioner)」の日本語試験を12月14日より配信開始すると発表した。
エフセキュアは、統合型ゲートウェイセキュリティソリューション「F-Secure ThreatShield(通常版)/TheatShield Premium」(ThreatShield)の2製品を同日より販売開始した。
フィッシング対策協議会は、MUFGカードを騙るフィッシングメールに関する報告を受けているとして、注意喚起を発表した。
株式会社SHFは12月4日、同社のコーポレートサイトが第三者からの不正アクセスにより改ざんされていたことが判明したと発表した。
株式会社えびすやは11月28日、同社Webサーバへ不正アクセスがありWebサイトの内容を改ざんされたことが判明したと発表した。
フィッシング対策協議会は、Amazonを騙るフィッシングメールが出回っているとして、注意喚起を発表した。
茨城県の牛久市観光協会は12月10日、同協会が運営する牛久フィルムコミッションがエキストラ登録者に募集お知らせの際、誤って受信者に他の受信者のアドレスが表示された状態で送信したことが判明したと発表した。
ガートナーのリサーチャー ロブ・マクミラン氏によれば、2020年までにすべての大企業が、CIO、CISOに対して最低年1回の取締役会での報告を求めるようになるという。セキュリティ担当者はどんな報告をすればいいのだろうか。
そんな中、転職活動の中でエージェントからサイバーディフェンス研究所というとっても香ばしい社名の会社の紹介を受ける。
大阪市は12月7日、同市立中学校の教員がテストの解答用紙を紛失していたことが判明したと発表した。
警察庁は、レポート「宛先ポート80/TCP を利用したSYN/ACK リフレクター攻撃とみられる観測等について」を「@police」において公開した。
IPAおよびJPCERT/CCは、Apple社が提供する複数の製品に脆弱性が存在すると「JVN」で発表した。
FIDOアライアンスは、FIDO認証の日本での普及を加速するためのFIDO Japan WGを中心とした日本に関する活動と概況を発表した。
株式会社サンドラッグは12月6日、11月30日に公表した同社が運営する「サンドラッグ e-shop 本店」の新規会員登録の「仮登録のご案内メール」が登録を行っていないユーザーに配信された問題について、現在は収束していると発表した。
JPCERT/CCは、「Adobe Reader および Acrobat の脆弱性(APSB18-41)に関する注意喚起」を発表した。IPAも、「Adobe Acrobat および Reader の脆弱性対策について(APSB18-41)(CVE-2018-15998等)」を発表している。
聖教新聞社は10月9日、9月4日に公表した同社が運営する「SOKAオンラインストア」での第三者からクレジットカード情報が不正取得された可能性について、調査会社Payment Card Forensics 株式会社に依頼した調査の結果を発表した。
モメンタムは、広告代理店向けアドフラウド・ブランドセーフティ対策用ブラックリスト提供サービス「HYTRA DASHBOARD(ハイトラ ダッシュボード)」の提供を開始した。
サイランスは、エンドポイントにおける検知と対応(EDR)機能「CylanceOPTICS」のAPIを提供すると発表した。
株式会社船井総研ホールディングスは11月20日、同社子会社の株式会社船井総合研究所の社員が個人情報を含む外付けハードディスクを紛失したことが判明したと発表した。
Tシャツにボタンダウンの半袖シャツを羽織った出で立ちの、NRIセキュアテクノロジーズ株式会社代表取締役社長 小田島 潤 氏である。
株式会社ボーンデジタルは9月25日、同社が運営するCGソフト、ハードの専門ショップ「CG-iN」が外部からの不正アクセスを受け、個人情報が流出したことが判明したと発表した。
メディアでは、サイバー攻撃とマフィアの関係を報じることはあるが、その詳細をなかなか表にでてこない。マフィア研究では、シェリング、ガンベッタ、ヴァレーゼらの論文が有名だが、新たな論文がジョナサン・ラスタウス氏によって発表された。
マカフィーは、「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」を発表した。
NISCは、「サイバーセキュリティ基本法の一部を改正する法律案」が閣議決定したと発表した。
海外メディアNintendo Insiderは、『大乱闘スマッシュブラザーズSPECIAL』のリーク動画を投稿していた2つのチャンネルがアカウントの永久停止を受けたことについてまとめています。
中国による世界の電子サプライチェーンへの介入に対する不安を煽ろうとしている情報関係者がおり、ブルームバーグは情報分野における誤情報キャンペーンがもたらした誤った情報を正確に伝えたのかもしれない、というわけである。
JPCERT/CCは、「Adobe Flash Player の脆弱性 (APSB18-42) に関する注意喚起」を発表した。IPAも「Adobe Flash Player の脆弱性対策について(APSB18-42)(CVE-2018-15982等)」を発表している。
もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。
株式会社あぐりーんは12月4日、同社が運営する農業求人サイト「農家のおしごとナビ」に登録された会員情報が外部に流出した可能性が判明したと発表した。
トレンドマイクロは、日本国内および海外でのセキュリティ動向を分析した報告書「2018年第3四半期セキュリティラウンドアップ:日本語化される法人向け詐欺と個人への脅迫」を公開した。
Web サーバにファイルアップロード機能を実装するためのライブラリである jQuery-File-Upload のサンプルアプリケーションに、認証を回避して任意のファイルがアップロード可能となる脆弱性が報告されています。
ウォッチガードは、2019年における情報セキュリティ業界の動向予測を発表した。
米国に本社を置くQuora,Inc.は12月4日、同社が運営する知識共有プラットフォーム「Quora」のシステムへの不正アクセスにより一部ユーザーの情報漏えいが判明したと発表した。
横浜市は7月13日、同市港南区にある芹が谷中学校の教諭が生徒の個人情報等を保存した公用USBメモリを紛失したことが同校からの報告により判明したと発表した。
エイチ・シー・ネットワークスは、同社が開発・販売している「QuOLA@Adapter」(クオラアダプター)のバージョン5.08の提供を開始したと発表した。
アメリカは世界有数のサイバー攻撃に弱い国家だ。
![2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018] 画像](/imgs/p/Yw5yahsgj9ZvF0bQnjgYVW8IYAf2BQQDAgEA/25811.jpg)
標的型攻撃やばらまき型攻撃、仮想通貨マイニング、ビジネスメール詐欺といった、今知っておくべきさまざまなサイバー攻撃の詳細を掘り下げて解説します。
「違う文脈で言うなら、そのような(Tor の)挙動は、ハッキングされたアカウントが『ボットネット』を通じてアクセスしている挙動だ、と示唆されるかもしれない(しかし、それは Tor にとって正常なことだ)」
いくつかのインテリジェンスサービスの取材をもとに、提供される情報の内容や活用方法、提供価格についてレポートする。
デジサート・ジャパンは、米国におけるIoTフレークワークの推進団体であるOCFが、米Eonti社と米デジサート・インクを、それぞれPKI向け登録局と証明書認証局として採用したと発表した。
横浜市は4月19日、同市職員が個人番号通知カードの申請書に記載された連絡先を私的に悪用したことが判明したと発表した。
福島県郡山市は11月29日、個人情報の不正使用に係る職員の懲戒処分について発表した。
デジサート・ジャパンは、USB Type-C認証仕様向け登録および認証局サービスの運用において、USB規格の標準化団体であるUSB Implementers Forum(USB-IF)に採用されたと発表した。
IDC Japanは、国内IoT(Internet of Things)セキュリティ製品市場の2018年~2022年の予測を発表した。
フィッシング対策協議会は、Amazonを騙るフィッシングメールが出回っているとして、注意喚起を発表した。
IPAは、2018年4月から6月の四半期における「サイバー情報共有イニシアティブ(J-CSIP)運用状況」を公開した。
JNSAセキュリティ被害調査WGは、「2017年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開した。
IPAは、「情報システムの障害状況 2018年前半データ」を公開した。同データは、社会に影響を与え全国紙等に報道された情報システムの障害情報について半年ごとに取りまとめているもの。
消費者庁は11月30日、電子メールを送信した際に誤ってファイルを添付したことにより他の事業者の情報漏えいが判明したと発表した。
聖教新聞社は9月4日、同社の通販サイト「SOKAオンラインストア」の顧客のクレジットカード情報が、第三者に不正に取得された可能性が判明したと発表した。
GSXは、情報セキュリティ人材マッチングのWebサービス「vCISOサービス」の提供を開始すると発表した。
大阪府は6月11日、府立泉大津高等学校において教員が生徒の個人情報が記録された私物のUSBメモリを紛失し個人情報が流出したことが判明したと発表した。
Antuitのサイバーセキュリティ対策事業「CYFIRMA(サイファーマ)」は、2018年のサイバー脅威総括と2019年のサイバーリスクの予測をまとめた最新のサイバー脅威レポートを発表した。
脆弱性が出すぎるという事がいったいどういう事か、恐らく本誌の読者の皆さんなら想像は容易いだろう。
横浜市衛生局 港湾病院は1月19日、同病院の元医師である佐々木良介および森井一弘の2名が、整形外科患者の個人情報を不正利用していたことが判明したと発表した。これは、同病院の元患者に元医師からハガキが届いたとの通報により発覚したもの。1月15日に港湾病院職員
北里大学病院は7月3日、患者の個人情報が記録された可能性があるUSBメモリの紛失が判明したと発表した。
国立大学法人島根大学は11月15日、同学医学部附属病院において一部の患者のカルテに対して診療・業務に関連しない閲覧記録が確認されたと発表した。
Antuitは、同社のサイバーセキュリティ対策事業「CYFIRMA(サイファーマ)」より、Nginxの脆弱性(CVE-2018-16843、CVE-2018-16844、CVE-2018-16845)を悪用した攻撃に関する注意喚起レポートを発表した。
三重県は7月13日、県職員の健康診断結果データが記録されたUSBメモリが盗難にあったと発表した。
図1はロシアが展開しているハイブリッド戦争のおおまかな流れである。
株式会社TBSテレビは11月26日、ロケのエキストラの当選者にメール連絡をした際、誤って受信者のメールアドレスが互いに表示される状態で送信したことが判明したと発表した。
過去事例あり。新しい話じゃない。しかも、もっと昔は被害のスケールが大きかった。
IPAおよびJPCERT/CCは、パナソニックが提供するアプリケーションが登録する一部のWindowsサービスに、登録される実行ファイルのパスが引用符で囲まれていない脆弱性が存在すると「JVN」で発表した。
ネットエージェントは、「2018年P2Pファイル共有ソフトウェア利用状況調査報告」を発表した。
デジサート・ジャパンは、マシンID保護の企業であるVenafi社と米デジサートが、セキュリティが重視される企業に向け、複雑なマシンIDプログラムを合理化・自動化するための新たな統合について発表した。
Microsoft Windows の Win32k.sys ドライバに整数オーバーフローを引き起こしてしまう脆弱性が報告されています。
プライバシーマークとよく似た第三者認証制度にISMS(Information Security Management System)適合性評価制度がある。プライバシーマーク制度と同様、事業者のセキュリティに対する取り組みを第三者が評価する一種の格付けである。しかし個人情報保護法の施行で注目が
SSH ライブラリソフトウェアである libssh に、認証機能の実装の不備に起因する、遠隔コード実行の脆弱性が報告されています。
上り調子の時に罠がある。このペースで延々と注目され続けることは、まず無い。
埼玉県は10月10日、県立日高特別支援学校において個人情報を含むSDカードを紛失したことが判明したと発表した。
株式会社ディノス・セシールは6月8日、6月6日に発表した同社が運営する通販サイト「セシールオンラインショップ」への「なりすまし」による不正アクセスについて外部機関の調査結果を公表した。
今回の事件は複数の専門家から見解が示されています。しかし実際はどうだったのでしょうか。
