2019年7月23日のtwitterセキュリティクラスタ

日米政府のサイバー運用能力を比較してみました。
米国政府は政府41組織がAS(インターネットの運用やサイバーセキュリティ防護等を自律して行なう責任と能力を有する、ネットワークポリシー的に独立した組織の識別番号)を保有していますが、日本政府はなんと2政府組織しか保有していません。 pic.twitter.com/52YDCQdGB4

ProFTPdに任意のファイルがアップロード可能な脆弱性。
最新版の適用、もしくはmod_copyの無効化で回避可能。

WebShell 置かれて好き勝手にサーバが操作される可能性があります。

対応を急ぎましょう!

ProFTPD Remote Code Execution Bug Exposes Over 1 Million Servers bleepingcomputer.com/news/security/…

In Deutschland werden ca. 180.000 ProFTPd Server betrieben, die offen aus dem Internet erreichbar sind. pic.twitter.com/k70dzHbZT9

普通に電子投票にしてしまうと、システム上「山田太郎」票を「山本太郎」票にカウントしてしまうバグ(人間による設定ミス)が発生した場合、カウントしなおすことができない。が、投票用紙による投票だと、誤カウント発生疑惑に対しては残っている投票用紙を再検査することができる。 twitter.com/kumaemon9/stat…

メモ。

Orange: Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study! blog.orange.tw/2019/07/attack…

PaloのRCE

Orange: Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study! blog.orange.tw/2019/07/attack…

・録音に際して相手の承諾をとる必要はない
・鞄やポケットの中から録音していてもそれなりに聞ける
・重要な発言だけ録音するのではなく,会話の開始から最後まで連続して録音できていることが重要
・背後にBGMや鉄道音が聞こえるような場所での会話だと,録音データの改ざんが困難

です

2019年9月19日(木)虎ノ門にて開催します / “【9月19日(木)】セキュリティ診断事例に学ぶEC-CUBEセキュリティセミナー 開講 | EGセキュアソリューションズ株式会社” htn.to/3RuXbdeEMq

【Windowsアップデートを装った #偽警告 に注意】
Windowsアップデートを装った偽の警告画面から、迷惑ソフトをDLさせようとする手口が拡散中。ネット中に、↓のような画面が表示されても慌てずにページを閉じましょう。OSや正規ソフトのアップデートは、各ソフトの設定画面から確認してください。 pic.twitter.com/WtnTQGyWRW

『エクイファクスは制裁金以外に、12億ドルをかけてデータ保護のための技術強化を実施するとしている』 / “米信用情報大手の情報流出、750億円で政府と和解 (写真=ロイター) :日本経済新聞” htn.to/isNVqgdTz6

【JC3】犯罪被害につながるメールが拡散中。件名は「【楽天市場】注文内容ご確認(自動配信メール)」。本文中のリンク先に表示されるサイトは、ログインIDやパスワード、クレジットカード情報などを詐取する偽サイトです。リンクをクリックしないようご注意下さい。
jc3.or.jp/topics/virusma… #ウイルス

いいんだけど、惜しい。数字とか記号は問題じゃないし、単語を入れることは問題なくて3語以上入れればいい。

「Payでパスワードの使い回しは厳禁!」
pref.aichi.jp/police/anzen/c…
「大小英字、数字、記号を組み合わせて長く複雑にする」「推測されやすい単語、 個人情報(名前、誕生日等)を使わない」

あと、ダメな例に、キーボード配列のパスワードを入れて欲しいニャ。
twitter.com/HiromitsuTakag…

登録覚えのない 「コーナンPayサービスアカウント発行のご案内」というメールが着弾しました。
偶然の誤操作であるか、攻撃者によるアカウント実在調査であるかは不明ですが、#コーナンPay ユーザーの方は念の為、不正な利用がないか、適切なパスワードが設定されているかのご確認を推奨します。 pic.twitter.com/la2L1UUeqZ

#コーナンPay 謎メールの件ですが、予想通り既存会員のメールアドレスで新規登録を試みるとエラーを返す仕様でした。
即ち、任意のメールアドレスを入力してエラー画面が返れば、そのメールアドレス(=会員ID)は存在していることが第三者にも判明します。 pic.twitter.com/RQwTT7XB8H

これ詳細レポート soliton.co.jp/special/collec… が出ている Collection#1 以外 (#2-#5) の .jp ドメインを今更ながらに見てみると、メジャーな展示会の41万件超を筆頭に未だ公表されておらず明るみになっていない大規模流出がいくつかあるのが分かる pic.twitter.com/mtWRXaYSqK

金を取るセキュリティ勉強会のSlack覗いてみたら会場提供してるコワーキングスペースが副業紹介所みたいなことしててそっとページ閉じたよね。

触らぬ神に祟りなし

Huaweiが北朝鮮でスパイ活動にも使われる無線通信網に貢献した疑い
bit.ly/2Ybvy8i

月間アクティブユーザー10億人超のメッセージアプリが行う自動リアルタイムフィルタリング
bit.ly/2Y8QrAN

Facebookのメッセージアプリに構造上の欠陥があり子どもが不正なユーザーとチャットする事態に
bit.ly/2YbxPQS

仮想通貨「Libra」の提供をうたう偽Facebookアカウント、早くも登場か japan.cnet.com/article/351402…

ファーウェイ、北朝鮮の無線ネットワーク構築を秘密裏に支援か japan.cnet.com/article/351402…

Apple、「macOS Mojave 10.14.6」をリリース ~不具合と44件の脆弱性を修正/標準ブラウザーも「Safari 12.1.2」へ forest.watch.impress.co.jp/docs/news/1197… pic.twitter.com/sBcalJLT1T

途中から有料だから全編読めてないけど、本来MFAが必要なサービスのうちの2割なのか、そうではないサービスも含めて、その中の2割なのか。後者だったら、典型的な2要素認証だけが独り歩きした記事。 / 「2要素認証」導入はたったの2割、Webサービスのあまりに無防備な実態 tech.nikkeibp.co.jp/atcl/nxt/colum…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>