Mar 30, 2016

スマホロック解除。car hack ほか

・「故人のスマホロックを外したい」、デジタル遺品取得の壁 (2016/03/29)
  http://itpro.nikkeibp.co.jp/atcl/column/16/032400070/032400002/

・スマートキーをハックして遠隔チームプレイで手際よく高級車を盗み出す驚愕の手口が明らかに (2016/03/24)
  http://gigazine.net/news/20160324-car-smartkey-amplifier-attack/

  > 自動車のセンサーが送る信号を増幅して、遠隔地のスマートキーに信号を送りつけて、
  > あたかもドライバーが車内にいるかのように偽装してエンジンをかける窃盗手口

 前述手段を実行できる人なら
 『車内に侵入しさえすれば』という所は、ネックにはならない、ということかな?

・WindowsとSambaに重大な脆弱性、「サーバ管理者はパッチ公開に備えて」とMS (2016/03/24)
  http://www.itmedia.co.jp/enterprise/articles/1603/24/news057.html

  > WindowsおよびSambaのほぼ全バージョンに存在する
  > 重大な脆弱性に関する情報を4月12日に開示し、パッチを提供する

  > この脆弱性は「Badlock」と命名

incident 3/30

・イラン、サイバー攻撃関与 米司法省がハッカー7人起訴 (2016/3/25)
  http://www.nikkei.com/article/DGXLASGM25H0Z_V20C16A3EAF000/

  『DDoS...を実施、数千万ドル(数十億円)の被害を与えた』
 被害額の見積根拠、対象システムの概要は?


・[第8回]データ持ち出しなどの「内部不正」
 調査の過程は事細かに証拠に残す (2016/03/25)
  http://itpro.nikkeibp.co.jp/atcl/column/15/110900259/031600008/

  > ハードによる保全は、無償ソフトによる保全よりコストがかかりますが、
  > コピーが早く、調査対象PCのOSを立ち上げる必要が無いため、
  > データを改変しないことがメリットです。

 > 電源を入れるのは避けたい行為です。
  > OSを立ち上げるとディスクに変更を加えるだけでなく、
  > 削除領域を上書きしてしまい、
  > 復元できるデータを復元できなくなる可能性があるため

いろいろ 3/30

・ムーアの法則、インテル自らが成り立たなくなったと静かに宣言 (2016.03.28)
  http://www.gizmodo.jp/2016/03/MooreEnd.html

・グーグルのAI「アルファ碁」が人間に勝った理由とその意味とは? (2016/03/25)
  http://itpro.nikkeibp.co.jp/atcl/column/14/255608/032200180/?ST=system&P=3

ここで使われた学習の方法や探索木の評価方法は幅広く応用可能
将来的には、スマートフォンのアシスタント機能をより使いやすくしたり、
研究者が気象モデリングや疾病分析をする際に役立てたりすることを期待
コンピューターが「どのくらいしっかり勉強(学習)しているか」が問題になる

・グーグル、固定電話サービス「Fiber Phone」発表--「Fiber」加入者向けに月額10ドル (2016/03/30)
  http://japan.cnet.com/news/service/35080336/
  ←興味をひかれる

無料malwareスキャナー

■online scanner

・無料オンラインスキャン一覧
   http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/onlinescan.htm

   他にも、いろいろ使えそうなまとめ
   http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/

・トレンドマイクロオンラインスキャン
   http://safe.trendmicro.jp/products/onlinescan.aspx

・F-Secure オンライン スキャナ
   https://www.f-secure.com/ja_JP/web/home_jp/online-scanner

・Bitdefender Quick Scan
   http://www.bitdefender.com/scanner/online/free.html

・Kaspersky Security Scan | Free Download
   http://www.kaspersky.com/free-virus-scan
   インストール要

・The power and speed of Norton scan technology, available to you for FREE
   https://security.symantec.com/nss/getnss.aspx?langid=ie&venid=sym
   インストール要

■各種Webスキャナー


リンクだけのメモです。
  https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html#url=www.us-crea.com

  https://www.c-sirt.org/en/incidents-on-domain/www.us-crea.com

  https://sitecheck.sucuri.net/results/www.us-crea.com

  http://quttera.com/detailed_report/www.us-crea.com

  https://www.virustotal.com/ja/url/fa088a43073958912962b437267b7681614cbf132700519e66348665e668a067/analysis/

  http://www.avgthreatlabs.com/ww-en/website-safety-reports/domain/us-crea.com

・トレンドマイクロオンラインスキャン
   http://safe.trendmicro.jp/products/onlinescan.aspx

■その他

   https://www.virustotal.com/ja/file/78eb0919a6f2b188c76d4a4a5000712914da924a47baeed06710073dd0d48c79/analysis/

--> 12/03 追記
(US-Cert  12/01)

スキャナー箇所のみ抜粋.
          ESET Online Scanner
          https://www.eset.com/us/online-scanner/  
          F-Secure
          https://www.f-secure.com/en/web/home_global/online-scanner
          McAfee Stinger
          http://www.mcafee.com/us/downloads/free-tools/index.aspx
          Microsoft Safety Scanner
          https://www.microsoft.com/security/scanner/en-us/default.aspx
          Norton Power Eraser
          https://norton.com/npe

Mar 24, 2016

BYOD memo

・BYODユーザーが数百人から100人以下に減少
 ソニー・ピクチャーズ社員が仕事で私物スマホを使いたがらない理由 (2014/06/30)
  http://techtarget.itmedia.co.jp/tt/news/1406/30/news16.html

> 『あなたが預けた端末は私が操作でき、あなたの写真やテキストメッセージもコピーできる』
> 同制度に参加するユーザーを増やすため、Citrixの「XenMobile Enterprise Edition」の
> 追加導入を検討
...
> ドイツの法律では、電力会社のEnBWはMDMで端末に制限をかけることはできない
> 「Microsoft Outlook」メールと連動する「Worx Mail」を導入

ANAシステム障害、メモ

・ANAシステム障害の原因はオペレーションミス?ベンダーの皆様、心中お察しします。 (2016/03/23)
  http://www.tepkode.com/2016/03/10894.html

・ANAシステム障害サーバー4台ダウン、今回・過去の障害原因は? (2016/03/23)
  http://jetkaichou.hatenablog.com/entry/2016/03/23/112350

> 2016年3月22日
>  ANAでは、4台のサーバー間で顧客データベースを同期させる
>  システムに障害が発生したとみています。
>  現時点では ... 特定に至っていません
>
> 2016年2月24日
>  サーバーの外部監視システムの変更作業ミス
>
> 2008年9月14日
>  原因は端末認証管理サーバーに設定されていた暗号化認証の有効期限切れ。
>  コミュニケーションエラーによる人為的ミス
>
> 2007年5月27日
>  発端はチェックイン端末をつなぐためのネットワーク機器内のメモリーの物理的故障。
>  これにより2系統あるうち1系統のスイッチの通信が断続的に途絶え始めた。
>  さらに、連携するネットワーク機器の能力不足、プログラムのバグ、人為的な設定ミス
>  が複合的に重なったことが原因でした。

・[続報]ANAシステム障害、1万6100人に影響広がる (日経BP 2016/03/22)
  http://itpro.nikkeibp.co.jp/atcl/news/16/032200839/

2016/04/02 追記 --->
・ANAシステム障害の原因判明、
 シスコ製スイッチの「世界初のバグ」でDBサーバーがダウン (2016/03/30)
  http://itpro.nikkeibp.co.jp/atcl/news/16/033000936/

・ANA、システム障害で日本ユニシスへの損害賠償検討 (2016/03/31)
  http://itpro.nikkeibp.co.jp/atcl/news/16/033100944/

2017/06/08 追記 --->
・企業考現学 (2007/05/30)


Sony Pictures Entertainment のハッキング、メモ

以前の話ですが、復習

・企業秘密だけじゃない、ソニーがハッカー攻撃で失ったもの (2014/12/13)
  http://www.newsweekjapan.jp/column/takiguchi/2014/12/post-896.php
ハッカー集団が ... 侵入し、重要な書類等を盗み出した
何が盗まれたのか ...
社員(とくにエグゼクティブ)の給与明細、社会保障番号、ビジネス戦略の概要、
俳優や取引先との契約額、
新作未公開の映画5本、そして社内メールだ。
ただし全容はまだ不明 ...
単なるセキュリティー以上にもっと複雑な構図を露呈させてしまった

・ソニー・ピクチャーズがハッキングを受けて全システムがダウン、さらに脅迫も (2014/11/26)
  http://gigazine.net/news/20141126-sony-hacking-attack/

・ソニー・ピクチャーズへの攻撃は新たな警鐘? 企業が講じるべき対応策 (2015/03/11)
  http://www.itmedia.co.jp/enterprise/articles/1503/11/news007.html
 ←この記事内容だけでは対策は不透明で
   Mandiant社(米セキュリティ企業FireEyeの傘下)のPRに終始している印象

・セキュリティインシデントに立ち向かう「CSIRT」:
 煩雑化するセキュリティインシデントの対応、企業で広がるCSIRTとは? (2015/02/23)
  http://www.itmedia.co.jp/enterprise/articles/1502/23/news015.html
対応は、既存のツールを利用した現場中心型 ...
今後インシデントが増加すれば対応が間に合わず、大きな被害につながるケースが増えていく恐れもある。
そこで、こうした実態に危機感を抱く企業を中心に
「コンピュータ・セキュリティ・インシデント・レスポンス・チーム」(CSIRT)
と呼ばれる体制を社内に構築する動きが広がっている。

始まったiPhone 6s/6s Plusの「SIMロック解除」--au、ソフトバンク、ドコモまとめ (2016/03/24)

  http://japan.cnet.com/news/service/35080026/
 ←おお、ついに!!
    各社必須の条件として
  「2015年5月以降に発売された対応機種」他

Mar 23, 2016

memo ... [第6回]マルウエアの痕跡暴くデジタル鑑識 感染PCをすぐに“現場保全”すべし


・[第6回]マルウエアの痕跡暴くデジタル鑑識 感染PCをすぐに“現場保全”すべし (2016/03/23)
   http://itpro.nikkeibp.co.jp/atcl/column/15/110900259/031600006/
   ←色々なフリーのツールの紹介あり

2016.03.24 追記 --->
・[第7回]通信パケットが残す攻撃の足跡 ツール使い被害を正しく分析 (2016/03/24)
   http://itpro.nikkeibp.co.jp/atcl/column/15/110900259/031600007/


Mar 17, 2016

いろいろ 3/17

■サービス、プロダクト
・“守り”から“攻め”へ!IT部門が舵を切り始めた (2015.03.04)
   http://www.bizcompass.jp/original/bu-growth-022-1.html
   「Global Management One」 by NTTコミュニケーションズ

■いろいろ
・なぜ日本のGDPは低迷を続けるのか? (2016.03.15)
   http://www.bizcompass.jp/original/re-trend-028-31.html

■脆弱性
・Yahoo Bug Bounty #37 - Sender Spoofing Vulnerability
   ... PoC Video
  https://www.youtube.com/watch?v=tD7XmyF83NM

Mar 16, 2016

サービス、プロダクト 格安SIM他

・“LTE使い放題”の新・格安SIMがヨドバシで発売!FONの無料Wi-Fiも利用可能 (2016/03/16)
   http://www.rbbtoday.com/article/2016/03/16/140608.html

2016/03/17 追記 --->

・2年縛り、3年目以降解約料なし ソフトバンク新プラン (2016/03/17)
   http://digital.asahi.com/articles/ASJ3J538LJ3JULFA01V.html

2016/04/02 追記 --->
・「iPhone SE」はMNPで格安SIMが鉄板! 「DMM mobile」でサクサク乗り換え!! (2016/03/31)
  http://ascii.jp/elem/000/001/137/1137423/

Mar 15, 2016

まとめがあるところ

・セキュリティ特集
  https://zuuonline.com/archives/category/business-economy/security


・関連キーワードとか
 □デジタル世界と現実世界の接点
    https://www.youtube.com/watch?v=CashAq5RToM

 □CloudFlare
  https://ja.wikipedia.org/wiki/CloudFlare

 □Bulletproof Hosting Services: Cybercriminal Hideouts for Lease (July 15, 2015)
   http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/bulletproof-hosting-services-cybercriminal-hideouts-for-lease

 □The most reliable datacenterin the world
   http://www.cyberbunker.com/web/index.php

 □Spamhaus' Blackmail War
   https://www.cyberbunker.com/web/spamhaus.php


いろいろ 3/15

・伝説のハッカー「ジェスター」とは何者か?
  https://zuuonline.com/archives/100048?

・班目春樹のページ
  http://ponpo.jp/madarame/


Mar 10, 2016

いろいろ 3/11

・いま一度考えたい! ERP環境の最適化 (2016.03.09)
   http://www.bizcompass.jp/original/bu-growth-044-1.html

・ 異色の経歴が異色のセキュリティコンテンツを作る (2016/03/10)
   http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/030800502/

Weblio、主に金融庁の日英文例

-------------------------------
なお、財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行うものとする(企業集団全体に関わり連結ベースでの財務報告全体に重要な影響を及ぼす内部統制を以下「全社的な内部統制」という。)。

The assessment of internal control over financial reporting effectiveness should be, in principle, performed on a consolidated basis. Internal control that has a significant impact on consolidated financial statements in their entirety throughout the company group is hereinafter referred to as "company-level controls."

参考: http://ejje.weblio.jp/sentence/content/%E4%BC%81%E6%A5%AD%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E5%85%A8%E4%BD%93%E3%81%AB%E9%96%A2%E3%82%8F%E3%82%8A%E9%80%A3%E7%B5%90%E3%83%99%E3%83%BC%E3%82%B9%E3%81%A7%E3%81%AE%E8%B2%A1%E5%8B%99%E5%A0%B1%E5%91%8A%E5%85%A8%E4%BD%93%E3%81%AB%E9%87%8D%E8%A6%81%E3%81%AA%E5%BD%B1%E9%9F%BF%E3%82%92%E5%8F%8A%E3%81%BC%E3%81%99%E5%85%A8%E7%A4%BE%E7%9A%84%E7%B5%B1%E5%88%B6

-------------------------------
管理責任者の役割・責任

Roles and Responsibilities of Manager

参考: http://ejje.weblio.jp/sentence/content/%E7%AE%A1%E7%90%86%E8%B2%AC%E4%BB%BB%E8%80%85

-------------------------------
内部統制の評価体制

Internal control assessment structure

参考: http://ejje.weblio.jp/sentence/content/%E8%A9%95%E4%BE%A1%E3%81%AE%E4%BD%93%E5%88%B6

-------------------------------
「開示すべき重要な不備」とは、財務報告に重要な影響を及ぼす可能性が高い財務報告に係る内部統制の不備をいう。 例文帳に追加

"Material weakness" is a deficiency in internal control over financial reporting, that has a reasonable possibility of having a material effect on financial reporting.

経営者は、財務報告に係る内部統制の有効性の評価を行った結果、統制上の要点等に係る不備が財務報告に重要な影響を及ぼす可能性が高い場合は、当該内部統制に開示すべき重要な不備があると判断しなければならない。

If the assessment of internal control over financial reporting effectiveness reveals that deficiencies relating to key controls, etc. are very likely to have a material impact on financial reporting, the management should conclude that there are material weaknesses in internal control over financial reporting.

参考: http://ejje.weblio.jp/sentence/content/%E8%B2%A1%E5%8B%99%E5%A0%B1%E5%91%8A%E3%81%AB%E9%87%8D%E8%A6%81%E3%81%AA%E5%BD%B1%E9%9F%BF%E3%82%92%E5%8F%8A%E3%81%BC%E3%81%99%E5%8F%AF%E8%83%BD%E6%80%A7%E3%81%8C%E9%AB%98%E3%81%84%E9%96%8B%E7%A4%BA%E3%81%99%E3%81%B9%E3%81%8D%E9%87%8D%E8%A6%81%E3%81%AA%E4%B8%8D%E5%82%99
-------------------------------

Mar 9, 2016

韓国政府要人数十人のスマホまで盗聴 北朝鮮サイバー攻撃、電話番号も流出 (2016/03/08)

  http://www.sankei.com/affairs/news/160308/afr1603080054-n1.html

・ソウル地下鉄にハッキング 北のサイバー攻撃か、
 パソコン58台が自由に操られる状態に (2015/10/05)

・「北朝鮮が要人・脱北者の毒殺や拉致計画」 韓国情報機関が分析
 サイバーテロ能力増強を指示か 米韓演習、最大規模に (2016.02.18)


Mar 5, 2016

「SQL Server 2014 Express」へのアップグレードを!!

・システムの裏で残り続け、IT部門が把握していない場合も:
 マイクロソフト、隠れ“SQL Server 2005 Express”に注意喚起 (2016/03/03)
  http://www.atmarkit.co.jp/ait/articles/1603/03/news137.html

・“詳しい人”も見落としがちな対策の落とし穴:
 「隠れSQL Server」、まさかこんな場所に…… (1/4)  (2015/12/04)
  http://www.atmarkit.co.jp/ait/articles/1512/03/news053.html

  『無償版のSQL Serverが多くの会計パッケージソフトウエアに組み込まれています。
  その数は約7万台とみています』
 だそうです。

Mar 3, 2016

脆弱性 (3/3)

・JVNVU#99797968
 無線接続するキーボードやマウスなどの入力機器が
 安全でない独自通信プロトコルを使用している問題 (2016/02/25)
   http://jvn.jp/vu/JVNVU99797968/

 ロジクールは新verのファームがあるので、updateすれば良い。
 それ以外は、発見者の該当機器情報(下記URL)を参考に。

   https://www.bastille.net/affected-devices
  ←けっこうな数のKeyBoardも対象。

・JVNVU#91475438
 Internet Key Exchange (IKEv1, IKEv2) が
 DoS 攻撃の踏み台として使用される問題 (2016/02/29)
  http://jvn.jp/vu/JVNVU91475438/


まとめとかが有るところ

・リスク管理 (Bizコンパス)
   http://www.bizcompass.jp/business/risk?lse_id=

・セキュリティアンテナ
   http://www.st.ryukoku.ac.jp/~kjm/security/antenna/

・McAfee Blog マカフィー株式会社 公式ブログ
  http://blogs.mcafee.jp/mcafeeblog/

・エフセキュアブログ
  http://blog.f-secure.jp/

Mar 1, 2016

人間の「思考」が加速度的に進化する シンギュラリティを不安視する必要はない

Ray Kurzweil and Steve Aoki (2015/05/21)

http://wired.jp/innovationinsights/post/technology/w/neon-future-sessions-ray-kurzweil-steve-aoki/?user=normal

脆弱性 (3/1)

・日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に (2016/02/25)
  http://www.itmedia.co.jp/enterprise/articles/1602/25/news067.html

 『リーフのアプリのAPIには認証の仕組みが実装されておらず
  個々の車に割り当てられている車両識別番号(VIN)の
  下5ケタさえ分かれば、
  他人のリーフを制御できてしまう』

 『実験ではハント氏の操作でヘルム氏のリーフの
    エアコンやファンを作動させることに成功。
  リーフの走行日時や距離などの運転履歴も取得できた。』

  とは言え、ハンドルやアクセル、ブレーキまでは制御出来てない模様。

 以前の同様案件も参考までに
  ↓
・クライスラーのcar hackingの件 (2015/07/26)
  http://akasaka-taro.blogspot.jp/2015/07/car-hacking_1.html