2019年3月26日のtwitterセキュリティクラスタ

あと二人送検と補導されてた無限アラートURL貼り付け事件です

現在十分な寄付が集まり、担当する弁護士も決まりました。詳細な寄付金額は現在集計中です。 #alertloop

わずか一日で690万円の寄付が集まりました。ご協力ありがとうございます。
twitter.com/JapanhackerA/s…

#兵庫県警 の#無限アラート 事件について、衆議院法務委員会でとりあげました。これで家宅捜索とは、あまりにITリテラシーがなさすぎる。もっと取り締まるべきものがあるはず。#国会 pic.twitter.com/omLkE4b8VS

なんだとー?
www3.nhk.or.jp/kansai-news/20…
「中学生と大学生が相次いで摘発されていたことが分かりました。」
「同じプログラムのリンクを貼り付けていた13歳の男子中学生と19歳の男子大学生も去年、兵庫県警に摘発されていたことが分かりました。」

youtu.be/KTDQM5RZVDc?t=…
警察庁官房審議官のこの答弁ぶりを見よ。用意された文とはいえ、良心の痛みを少しは顔に出したらどうか。 pic.twitter.com/n9WBtBiSpV

松平議員 兵庫県警による無限アラート事件に関する質疑(52:25~1:17:30)
shugiintv.go.jp/jp/index.php?e…
法相は議員から、「不正指令電磁的記録に関する罪」の適用範囲の不明確さについて問われ「構成要件の明確性からすると、一般人であれば、その意義を十分理解しうるもの」と述べた

は?不正指令電磁的記録作成供用罪はコンピュータウィルスに対応するためのものじゃないの?ウィルスの定義は無いからまるで別に不正指令電磁的記録という法律上の概念が出来上がっていて必ずしもウィルス対策関係ないと?
twitter.com/it_giron/statu…

その他に気になったことはこのあたり。

いつの間にか公開されてた。/第13回 脆弱性診断とペネトレーションテストの違い | 【NECフィールディング】 solution.fielding.co.jp/column/it/itco…

↓みたいな位置づけの方が説明がすっきりするのかなって社内でも議論している(結論は出てないが)。

脆弱性診断⇒システム上の脆弱性を対象

ペネトレ⇒運用上の脆弱性を対象(システム上の脆弱性も一部含まれる)

twitter.com/sen_u/status/1…

@number3to4 脆弱性というとCVE付くと勘違いしてる勢の誤解が取れる説明が難しいんですよね

@vulcain ああ、そういう風にとらえる人もでてきてしまうんですね。そうなると、「脆弱性」ではなく「問題点」というように表現したほうがまだいいんですかね。

@number3to4 ベン図で表せって言われて概略示しても理解できない人がいたので、
脆弱性診断で扱う製品やサービス、システム単体のセキュリティ上脅威となる問題点は脆弱性、
ペンテストでは運用上の設定不備による脅威拡大要因や実装上の問題=仕様を含め、顕在化可能なリスクの洗い出し(ゴール次第で範囲は変化)

@number3to4 とか同じステージではないことをどうにかして明確化しないといけないかなぁと

@vulcain ペネでもSQLiとかコマンドインジェクションを使って侵入・侵入に使える情報収集をしたりするので、項目上では脆弱性診断にも含まれてしまうと考えています。それぞれのゴールの違い(網羅的に脆弱性を調査する、特定のサーバへの侵入とか)により、ペネと脆弱性診断で実施する深さが変化すると思ってます

@vulcain 「ペンテストでは運用上の設定不備による脅威拡大要因や実装上の問題=仕様」+一部の「製品やサービス、システム単体のセキュリティ上脅威となる問題点」がペネなのかなと。そうした時に、脆弱性≒CVEと認識してしまう人からすると、混乱はしそうですね。

Bug Bounty、現状個々のサービスがなんのライブラリ等を使っているかを事前に把握しておいて、その脆弱性が公開されたら全チェックするみたいな、ルールのハック(?)する人が儲かる構造になってて、個々のサービスのバグを探す方に人が動いてしまうのいびつだなと思う。本来もっと元のバグの発見者が

報われるべきな気がするし、投資される時間がそっちに向くようになった方がいい。なので、CVEと発見者を結び付けて照会できる仕組みを用意しておいて、どこかでその脆弱性が別のハンターに発見されたら、元の発見者に何割か賞金払うとかしたらいいんじゃないか、という話をこの間してた

@kinugawamasato @kusano_k @detectifyのような事業のビジネスモデルまさにおっしゃる通りです。発見者にお金払って、全部のお客さんに展開するモデルです。

#DevelopersIO 待望のAPI Gateway用のWAFマネージドルールがF5から出たので使ってみた! ift.tt/2HU5FW6

CyberNewsFlash「Apache Tomcat の脆弱性 (CVE-2019-0199) について」を公開。Apache Software Foundationからの情報を確認の上、アップデート等の対策の検討を。^TO jpcert.or.jp/newsflash/2019…

【更新情報】
Appleから、iOS 12.2 が公開されました。
脆弱性が修正されています。バックアップをした上で、アップデートの実施をお願いします。

詳細→ support.apple.com/en-us/HT209599

【ブログ更新】総務省がIoT機器に関する注意喚起の取り組みを行うなど、日本でもIoT機器への関心が高まっています。家庭のIoT機器やスマホのセキュリティに注意しないのは、戸締りをしないのと同じ。便利なコネクテッドホームで安全に過ごすための注意点をお伝えします。
blogs.mcafee.jp/hidden-fake-ap…

というわけで、本日付で、INASOFTのサイト上での「疑似シリーズ」の公開は、いったん休止としたいと思います。
理由は萎縮によるものです。

INASOFT 管理人のひとこと
bit.ly/2YrcST4

We’ll present new GyoiThon at BHASIA. The new GyoiThon can automatically generate signatures / training data to detect web products operated on the target Web Servers. Thus, new GyoiThon can detect more vulnerabilities than the old it.
#BlackHat #BHASIA
blackhat.com/asia-19/arsena… pic.twitter.com/Qr9IKVMdEa

Nokiaのスマートフォンが中国に端末のデータを送信していたことが発覚、Nokiaも公式に認める
bit.ly/2TtJqZ6

【高級車にPC接続し窃盗 逮捕】
yahoo.jp/DNtdGQ

車にパソコンを接続し、鍵を複製する手口で車を盗んだとして男が逮捕・起訴された。盗まれた車は「レクサス」や「プリウス」といった国産車が多く、被害総額は7億円あまりにのぼるという。

ASUSの自動更新ソフトにバックドア。更新サーバーが乗っ取られユーザーに配布
engt.co/2TAzXzg

ASUSのアップデートツールからマルウェア配信、世界で多数のPCに影響か–カスペルスキー japan.zdnet.com/article/351347…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>