#セキュリティのアレ (26) 脆弱性情報の見方

アレかね

Hardeningの準備にかまけて、ブログのことすっかり忘れてましたw
先週は GW前に公開された Apache Struts2脆弱性を題材に、脆弱性情報への対処の仕方について話してみました。地味だけど結構大事!

www.atmarkit.co.jp

www.youtube.com


参考リンクを紹介します。


みなさんからの質問やコメントなどハッシュタグ #セキュリティのアレでお待ちしてます!

#セキュリティのアレ (25) Google Hackingとは?

アレかね

今週はちょっとマニアックな用語解説シリーズで "Google Hacking" をテーマに取り上げてみました。

www.atmarkit.co.jp

www.youtube.com


例によって参考リンクをいくつか挙げておきます。

来週もお楽しみに!

#セキュリティのアレ (24) 4月の時事ネタ振り返り

アレかね CMS Ransomware

GWの休み明け最初の今回は4月の時事ネタについてです。

www.atmarkit.co.jp

www.youtube.com


2つの話題について取り上げてみました。

ケータイキット for Movable Type

CMSプラグインにある OSコマンドインジェクションの脆弱性が攻撃されて情報が窃取されるという事件が話題となりました。参照リンクをのせておきます。

ランサムウェア

この動画でもたびたび話題にしていますが、相変わらずランサムウェアは要注意ですね。実際に感染した被害者の方に辻さんがインタビューした記事はもうまもなく @ITで公開されるようです。楽しみですね〜。


来週もぜひご覧ください!

#セキュリティのアレ (23) パスワードの定期的な変更について

アレかね Password

最近はアレかねの記事しか書いてない気が…まあいっか。ということで今週の Show Notesです。

www.atmarkit.co.jp

www.youtube.com


今回は「みんな大好きパスワード」のネタです。パスワードを定期的に変更することの効果については、もう議論は尽くされていると思うので、タイトルに反して特に考え直すようなことはありません。あらためてポイントを整理してみたという感じですかね。パスワードは変えたいと思ったときが変え時です。

参考になるリンクを以下にあげておきますね。


あとついでに雑談編あらため増刊号もあわせて公開されました。何気に真面目なことを議論している増刊号、こちらもぜひご覧ください。

www.youtube.com


みなさん、楽しい連休をお過しください!

#セキュリティのアレ (22) APTとはなにか

APT アレかね

今回は専門用語解説シリーズの第2弾ということで APT (Advanced Persistent Threat) について取り上げました。

www.atmarkit.co.jp

www.youtube.com

動画の中でも触れてますが、過去にブログ等で何度か APTについて書いているので紹介しておきます。


また NISC, IPA, JPCERT/CCなどから出されている資料も非常に参考になります。それぞれ APTについてどう説明しているかもあわせて紹介します。

「高度サイバー攻撃対処のためのリスク評価等のガイドライン」について (NISC, 2014年7月)
この文書では「高度サイバー攻撃」という用語を「政府機関においては、標的型攻撃その他の組織的・持続的な意図をもって外部から行われる情報の窃取・破壊等の攻撃」と説明しています。

「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開:IPA 独立行政法人 情報処理推進機構 (IPA, 2014年9月)
この文書では「高度標的型攻撃」という用語を「特別な攻撃意図および計画性をもって、標的とする組織の情報システム内部に深く継続的に侵入し、国家や企業規模を問わず、機微情報や知財情報等の窃取を目的に、基幹業務システムや社会インフラシステムの破壊の恐れがある、他の標的型攻撃とは一線を画す特別な攻撃である」と説明しています。

高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて (JPCERT/CC, 2016年3月)
この文書では「高度サイバー攻撃 (APT)」という用語を「ある脅威が APT(先進的で執拗な脅威)とみなされるためには、攻撃者が戦略的かつ組織的に攻撃活動を行い、標的とする特定の企業や組織に対し執拗に関心を持ち続けるということが条件となる」と説明しています。


あと最後の方で触れた「標的型」と「ばらまき型」という言葉については、警察庁の発表資料とこれらの用語について説明している記事を紹介しておきます。


みなさんからの質問やコメントなどハッシュタグ #セキュリティのアレでお待ちしてます!

#セキュリティのアレ (21) セキュリティ情報収集術

アレかね

今週はセキュリティ情報の収集術をテーマに話をしてみました。

www.atmarkit.co.jp

www.youtube.com

情報の種類 (脅威、脆弱性、事件/事故ほか) や情報の発信元 (メディア、ベンダー、専門家、被害企業、公的機関ほか) などに注意しつつ、どうやってその情報を活用するのかを考えながら収集できるといいですね。

動画の中では自分の気になるキーワードを Googleアラートで追いかける方法なんかも取り上げてみました。はてなのマイホットエントリー機能も私はよく使いますね。

あと動画では触れませんでしたが、海外のセキュリティ情報やニュースをチェックするのに便利なサイトをいくつか紹介しておきます。(私自身は RSSリーダーで毎日ニュースをチェックしているので、これらのまとめサイトにお世話になることはあまりありませんw)


これが正解という方法があるわけじゃないので、みなさんもいろいろ試行錯誤してみてください。

#セキュリティのアレ (20) 「3月の注目事件」

Password アレかね

今週は月に1度の時事ネタ特集号です。

www.atmarkit.co.jp

www.youtube.com

今回は 2016年3月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。

リスト型攻撃

当社インターネットショッピングサイトでの会員ID、パスワード不正使用被害について
My JR-EAST への不正ログインに関するお詫びとお知らせ (3/25発表の資料が4/6に差し替えられた)
「Mobage」への不正ログインに関するご報告とパスワード変更のお願い | 株式会社ディー・エヌ・エー【DeNA】
不正アクセスのサーバーにID1800万件 警視庁押収:朝日新聞デジタル
サーバーに個人情報1800万件保存 中国からの不正アクセスに悪用か 警視庁摘発の業者 - 産経ニュース
摘発されたプロキシサーバーのしくみは? : IT&メディア : 読売新聞(YOMIURI ONLINE)
セキュリティのアレ(13):セキュリティ専門家が教える「誰でもできるパスワード管理のやり方」 - @IT
セキュリティのアレ(18):「パスワード管理ツール」を使ってみよう!――デモ有り - @IT

情報セキュリティ10大脅威

情報セキュリティ10大脅威 2016:IPA 独立行政法人 情報処理推進機構


みなさんからの質問やコメントなどハッシュタグ #セキュリティのアレでお待ちしてます!