今週はセキュリティ情報の収集術をテーマに話をしてみました。

www.atmarkit.co.jp

www.youtube.com

情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を活用するのかを考えながら収集できるといいですね。

動画の中では自分の気になるキーワードを Googleアラートで追いかける方法なんかも取り上げてみました。はてなのマイホットエントリー機能も私はよく使いますね。

あと動画では触れませんでしたが、海外のセキュリティ情報やニュースをチェックするのに便利なサイトをいくつか紹介しておきます。(私自身は RSSリーダーで毎日ニュースをチェックしているので、これらのまとめサイトにお世話になることはあまりありませんw)

• Security Research - Hewlett Packard Enterprise Community
• iSIGHT Partners—Finally, Cyber Intelligence That's Actually Intelligent
• SANS Institute| Newsletters - Newsbites
• SANS Institute| Newsletters - @RISK
• Recorded Future Cyber Daily
• HACKMAGEDDON – Information Security Timelines and Statistics

これが正解という方法があるわけじゃないので、みなさんもいろいろ試行錯誤してみてください。

今週はよくわからないセキュリティ用語の解説シリーズとして「バックドア」について話しました。まあシリーズとして続くかどうかわかりませんが…w

www.atmarkit.co.jp

www.youtube.com

動画の中で触れたバックドア関連の話題について、参考リンクをのせておきます。

• iPhoneの「バックドア」問題について - セキュリティは楽しいかね？ Part 2
• #セキュリティのアレ (12) 「1月の注目事件」 - セキュリティは楽しいかね？ Part 2
• Cisco Nexus 3000 Series and 3500 Platform Switches Insecure Default Credentials Vulnerability
• The Linux Mint Blog » Blog Archive » Beware of hacked ISOs if you downloaded Linux Mint on February 20th!
• Cisco chief urges Obama to curb NSA surveillance activity | Reuters

解説してほしい用語などありましたら、ハッシュタグ「#セキュリティのアレ」でコメントくださいませ。お待ちしてます！

あと雑談編もあわせて公開されたので、お時間あるときにでもぜひゆるりとご覧ください。
www.youtube.com

今週のセキュリティのアレでは「ソーシャルエンジニアリング」について取り上げてみました。

www.atmarkit.co.jp

www.youtube.com

あるサービスのお客さま対応窓口に電話をかけ、ターゲットの人物になりすまして言葉巧みに個人情報を入手し、その情報を使って別のサービスのターゲットのアカウントに侵入する…

国内ではあまりなじみがないかもしれませんが、米国などではたびたびこういったソーシャルエンジニアリングの事例が話題に上ります。以下、有名なものや最近のものをいくつか紹介しておきます。

Anonymousによる HBGaryへの侵入

• Anonymous speaks: the inside story of the HBGary hack | Ars Technica
• HBGary事件の顛末 - セキュリティは楽しいかね？
• GregとJussiのメールのやりとり (ソーシャルエンジニアリングってこうやるんだね！) - セキュリティは楽しいかね？

UGNaziによる CloudFlareへの侵入

• The Four Critical Security Flaws that Resulted in Last Friday's Hack
• CloudFlareの CEOが狙われた！その驚くべき手口とは？ - セキュリティは楽しいかね？

Mat Honanさんの事例

• How Apple and Amazon Security Flaws Led to My Epic Hacking | WIRED
• あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題 « WIRED.jp
• GizmodoのTwitter乗っ取られる 原因は元記者のiCloudアカウント窃盗 - ITmedia ニュース

Naoki Hiroshimaさんの事例

• How I Lost My $50,000 Twitter Username — Medium
• 50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 - にぽたん研究所
• Rebuild: 37: N Factor Auth (Naoki Hiroshima)

Amazon.comのカスタマーサービスの事例

• Amazon’s customer service backdoor — Medium

Crackas with Attitude (CWA) による CIA長官のメールアカウント乗っ取りや米司法省への侵入

• Hacker Plans to Dump Alleged Details of 20,000 FBI, 9,000 DHS Employees | Motherboard
• Teen Who Hacked CIA Director’s Email Tells How He Did It | WIRED
• Teen says he hacked CIA director’s AOL account | New York Post
• 瀧口範子のシリコンバレー通信 - 米国政府機関で相次ぐハッカー攻撃、「ソーシャルエンジニアリング」に注意：ITpro

あとついでといってはアレですが、少し遅れて「雑談編 2月分」もあわせて公開されました。こちらも意外と真面目な話をしていたり、ハッシュタグでいただいた質問を取り上げたり、なかなか盛り沢山な内容になってます。ぜひご覧ください。

www.youtube.com

雑談編の中で辻さんと私が紹介しているサイトをのせておきます。

• WPScan Vulnerability Database
• twitterセキュリティネタまとめ | 自宅セキュリティ研究所の研究日誌（嘘）
• Twitterセキュリティクラスタ まとめのまとめ 連載インデックス - ＠IT -
• GRC | Security Now! Episode Archive  
• Security Now | TWiT

また来週もお楽しみに！！

さて今週も公開されましたよ「セキュリティのアレ」。

www.atmarkit.co.jp

www.youtube.com

今回は CMSのセキュリティがテーマです。先に結論を言ってますが、これですね。

• CMS本体 (WordPress, Drupal, Joomla!など) を最新にする
• プラグインも最新にする

WordPressのセキュリティ対策に関しては徳丸さんの記事がとても参考になると思うので一読をおすすめします。

あと動画の中では具体的な事例に触れなかったので、最近目に留まった CMS関連の話題をいくつか紹介しておきます。

• When a WordPress Plugin Goes Bad - Sucuri Blog
• CTB-Locker is back: the web server edition - Securelist
• 改ざんの標的となるCMS内のPHPファイル(2016-02-25)
• WordPress Sites Leveraged in Layer 7 DDoS Campaigns - Sucuri Blog
• WordPress Compromise Campaign: From Nuclear EK To Angler EK | Malwarebytes Labs
• Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 | 徳丸浩の日記

また来週もお楽しみに〜。そういえば2月の雑談編はまだ公開されていませんね。収録が終わった後にだらだらとしゃべる雑談編でも意外と真面目な話もしています。通勤、通学のお供にぜひどうぞ！

www.youtube.com

www.youtube.com