TheShadowBrokersの "Data Dump of the Month" サービス

少し前になるが、TheShadowBrokers (以降 TSB) が 6月から月額のサブスクリプションサービス "TheShadowBrokers Data Dump of the Month" を始めるとのアナウンスをだした。TSBはご存知の通り Equation Group (NSA TAO) の内部データのリークを行っている正…

ポッドキャスト「セキュリティのアレ」

しばらく更新してなかったと思ったらもう1年も経ってた、こわい。その間に、約1年半程 @ ITで続けてきた動画による連載「セキュリティのアレ」が惜しまれつつも(?)終了しました。ありがとうございました。 かわりに 4月からは辻さんとポッドキャストをはじめ…

ここ最近の #セキュリティのアレ

えー前回の記事からずいぶん間があいてしまいました。7、8月は収録のスケジュールがあわなかったり、公開収録をやってみたり、全文文字起こしに挑戦するなどもあって*1、連載のスケジュールがやや不規則になってしまいました。まだまだ試行錯誤を繰り返して…

#セキュリティのアレ (27) Torを使ってみよう

少し間があいてしまいました。先週末は Hardening 100 Value x Value というイベントで沖縄に行ってまして、まあ端的に言うと、忙しくてブログのことすっかり忘れてました。あれ、同じことをその前も書いた気が…さて先週は「Tor」について解説してみました。…

#セキュリティのアレ (26) 脆弱性情報の見方

Hardeningの準備にかまけて、ブログのことすっかり忘れてましたw 先週は GW前に公開された Apache Struts2の脆弱性を題材に、脆弱性情報への対処の仕方について話してみました。地味だけど結構大事!www.atmarkit.co.jpwww.youtube.com 参考リンクを紹介しま…

#セキュリティのアレ (25) Google Hackingとは?

今週はちょっとマニアックな用語解説シリーズで "Google Hacking" をテーマに取り上げてみました。www.atmarkit.co.jpwww.youtube.com 例によって参考リンクをいくつか挙げておきます。 Google Hacking Database, GHDB, Google Dorks Shodan ZoomEye | 钟馗…

#セキュリティのアレ (24) 4月の時事ネタ振り返り

GWの休み明け最初の今回は4月の時事ネタについてです。www.atmarkit.co.jpwww.youtube.com 2つの話題について取り上げてみました。 ケータイキット for Movable Type CMSのプラグインにある OSコマンドインジェクションの脆弱性が攻撃されて情報が窃取される…

#セキュリティのアレ (23) パスワードの定期的な変更について

最近はアレかねの記事しか書いてない気が…まあいっか。ということで今週の Show Notesです。www.atmarkit.co.jpwww.youtube.com 今回は「みんな大好きパスワード」のネタです。パスワードを定期的に変更することの効果については、もう議論は尽くされている…

#セキュリティのアレ (22) APTとはなにか

今回は専門用語解説シリーズの第2弾ということで APT (Advanced Persistent Threat) について取り上げました。www.atmarkit.co.jpwww.youtube.com動画の中でも触れてますが、過去にブログ等で何度か APTについて書いているので紹介しておきます。 Advanced P…

#セキュリティのアレ (21) セキュリティ情報収集術

今週はセキュリティ情報の収集術をテーマに話をしてみました。www.atmarkit.co.jpwww.youtube.com情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を…

#セキュリティのアレ (20) 「3月の注目事件」

今週は月に1度の時事ネタ特集号です。www.atmarkit.co.jpwww.youtube.com今回は 2016年3月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。 リスト型攻撃 当社インターネットショッピングサイトでの会員ID、パ…

#セキュリティのアレ (19) 「バックドア」ってなんだ?

今週はよくわからないセキュリティ用語の解説シリーズとして「バックドア」について話しました。まあシリーズとして続くかどうかわかりませんが…wwww.atmarkit.co.jpwww.youtube.com 動画の中で触れたバックドア関連の話題について、参考リンクをのせておき…

#セキュリティのアレ (18) パスワード管理ソフト

えーっと、すいません、忘れてましたw というわけで先週はパスワード管理ソフトの話題を取り上げてみました。www.atmarkit.co.jpwww.youtube.com 基本的な仕組みはこんな感じです。 各種WebサービスのIDとパスワードを AESなどで暗号化して保存する 暗号化の…

#セキュリティのアレ (17) ソーシャルエンジニアリング

今週のセキュリティのアレでは「ソーシャルエンジニアリング」について取り上げてみました。www.atmarkit.co.jpwww.youtube.com あるサービスのお客さま対応窓口に電話をかけ、ターゲットの人物になりすまして言葉巧みに個人情報を入手し、その情報を使って…

#セキュリティのアレ (16) 「2月の注目事件」

さてさて今週も公開されています「セキュリティのアレ」。遅くなりましたがいつもの Show Notes 的な「アレかね」です。www.atmarkit.co.jpwww.youtube.com今回は 2016年 2月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせ…

#セキュリティのアレ (15) CMSのセキュリティ

さて今週も公開されましたよ「セキュリティのアレ」。www.atmarkit.co.jpwww.youtube.com 今回は CMSのセキュリティがテーマです。先に結論を言ってますが、これですね。 CMS本体 (WordPress, Drupal, Joomla!など) を最新にする プラグインも最新にする Wor…

Apple vs. FBI 今週の動き

先週から始まった(いや実際にはもっと前からだが) Appleと FBIとの仁義なき戦い。なんのことだかわからないという方はまずはこちらの記事をどうぞ。negi.hatenablog.com さてこの記事以降に起こった今週の主な動きを時系列で簡単にまとめておく。 2月22日(月…

#セキュリティのアレ (14) ネットワーク対応機器のセキュリティ

今週も公開されましたー。 www.atmarkit.co.jpwww.youtube.com今週のテーマは IoT機器のセキュリティ。ホームルータ、HDDレコーダー、複合機、Webカメラなど、さまざまな機器がネットワークにつながるようになり、関連する事件も増えてきてます。どんなこと…

#セキュリティのアレ (13) 紙でもできるよパスワード管理

毎回書こうとか考えると途端に面倒に感じるわけですが。(´Д` ) まあそれはともかく今週も公開されてます。www.atmarkit.co.jp まずはゆるりと動画をご覧ください。 www.youtube.com 今週のテーマは「パスワード管理」。パスワードと言えば基本となるのが、以…

iPhoneの「バックドア」問題について

今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なこと…

#セキュリティのアレ (12) 「1月の注目事件」

前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽…

よく使われるパスワード 2015年版

先月、パスワード管理ソフトなどを開発している SplashDataが、毎年恒例の "Worst Passwords of 2015" のリストを発表した。その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調べて、2011年から毎年発表しているものだ…

TAOによるハッキングへの道

先月末にサンフランシスコで開催された ENIGMAという USENIXの新しいカンファレンスのクロージングセッションにおいて、アメリカ国家安全保障局 (NSA) の Tailored Access Operations (TAO) という部門のチーフである Rob Joyce氏がプレゼンテーションを行っ…

LulzSecリーダー Sabuへの判決

5月27日、LulzSecのリーダーだった Sabuについに判決がでました。情報提供者として協力してきた結果が非常に評価されて、保護観察つきながら自由の身となりました (“time served and one year of supervised release”)。米司法省のプレスリリースによると Sa…

JICS2014のセキュリティ・トラックに参加しました

先週 1/14,15に JAPAN IDENTITY & CLOUD SUMMIT (JICS) が開催され、その中のセキュリティ・トラックに参加させてもらいました。@ITさんの記事(の後半)でセキュリティ・トラックの内容について紹介されています。Japan Identity & Cloud Summit 2014レポー…

よく使われるパスワード 2013年版

先週 SpalshData が "Worst Passwords of 2013" のリストを発表しました。SpalshDataはパスワード管理ソフトなどスマートフォン向けの製品を開発している会社ですが、その年に起きた情報漏洩事件のデータをもとに、ユーザがよく使うパスワードのトップ25を調…

Adobeでよく使われるパスワード Top 10

Adobeから大規模な情報漏洩が起きたことが先月明らかになったが、漏洩規模は当初想定よりもかなり大きく、およそ1億5千万件のアカウント情報が漏洩している(アクティブなアカウント約3,800万件を含む)。このうち 3DES (ECBモード) で暗号化されたパスワード…

OTRでオフレコチャット!

前回の記事で (Perfect) Forward Secrecy (FS) のテーマを取り上げたが、これは TLS/SSLだけに限定した話ではない。そこで今回はメールやチャットなどのメッセージングの話題を取り上げたいと思う。 PGP メールにおける End-to-Endの暗号化としては Pretty G…

Lavabit 事件とその余波、そして Forward Secrecy

Lavabit事件 Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情…

(続) Facebookのパスワードリセット機能のまとめ

前回の記事では、複雑な Facebookのパスワードリセット機能についてまとめてみたのですが、引き続き調べてみるとおもしろいことがわかってきました。ということで続編です。(割とどうでもいいような細かいことが気になるんですよね。)まずは前回の復習。私が…