Jul 30, 2016

Java, Android

20167 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 (7/20)

JVN#65273415
 Android OS CRIME 攻撃による影響を受けてしまう問題 (7/22-26)
  Android OS 4.1.2 およびそれ以前のバージョンで影響を受ける

  販売元の情報等をもとにアップデートすれば良い

Jul 28, 2016

自動車をサイバー攻撃から守るソフトウエア、シマンテックが発表

・自動車をサイバー攻撃から守るソフトウエア、シマンテックが発表 (2016/07/27)

 ←もう、そういう時代か

『車のIoTにおける、4つのセキュリティセグメント
 (1)通信保護
 (2)デバイスの保護
 (3)データの保護
 (4)システムの掌握
 これら4つを車内と車外で分類

 Symantec Anomaly Detection for Automotive
      車内におけるシステムの掌握というセキュリティセグメントでのソリューション
      2,000/ユニット

 機械学習を活用し、自動で車載用セキュリティアナリティクスを提供できる

 CAN busController Area Network bus)のトラフィックを監視 ...
 正常なトラフィックを学習し、それをベースに異常なトラフィックを検知し、サイバー攻撃の兆候を検出する
   


・過去の投稿
 クライスラーのcar hackingの件 (2015/01/26)

ビデオ、世界で活躍する日本人、その他

・Sony CEO praises employees, partners for standing up to hackers (2015/01/06)
  http://www.reuters.com/article/us-northkorea-cyberattack-sony-ceo-idUSKBN0KF03E20150106

・TEDxTokyo - Ken Mogi - 05/15/10 - (English) (2010/05/16)
  https://www.youtube.com/watch?v=7HU05V9HDHo

・茂木健一郎さん 連続ツイート914回「TED talkを、即興でやる人が最高」
  http://matome.naver.jp/odai/2136632391325766701
  『TED Long Beachでのトークは、原稿をver.8まで書いて30回くらいリハーサルした。』

・Steve Jobs your time is limited
  https://www.youtube.com/watch?v=bBNH6F7lHU0

・CNN Student News
  http://edition.cnn.com/studentnews
  ←本家
  https://www.youtube.com/watch?v=X_XcAfbz2AA
 ←スクリプト付きで、助かります

Jul 23, 2016

Flash自動再生 廃止

・Firefoxが目に見えないFlashコンテンツを完全ブロック、Flash自動再生も廃止へ (7/21)
  http://jp.techcrunch.com/2016/07/21/20160720firefox-will-soon-start-blocking-invisible-flash-content/

・Chromeは“重要でない”Flashコンテンツを自動的にポーズする (2015/06/05)
  http://jp.techcrunch.com/2015/06/05/20150604chrome-now-automatically-pauses-flash-content-that-isnt-central-to-a-web-page/

  関連
  都職員のPC被害、Flashの脆弱性 ... ほか (2015/07/26)
  http://akasaka-taro.blogspot.jp/2015/07/pc-flash-player-2015722-httpinternet.html

Jul 16, 2016

いろいろ 7/16

内部情報漏えい対策ソリューション 1 Windows 10対応とハードディスク暗号化
 
[第18回]見抜きにくくなったリスト型攻撃 四つの対策で攻撃を封じ込める (07/15)

[17回]事故を未然に防ぐ脆弱性検査 手法や観点を変えてあぶり出す (2016/07/14)

OWASP ZAPではじめる2016年のウェブアプリケーションセキュリテ (2016/01/06)

・ドメイン使用履歴
 怪しい感じ。VirusTotalくらいで事前に確認の事■■■

自動化から自律化へ!AI活用のステップアップ (07.13)
  『「どこまでAIを信じるのか」という問題が生じるのではないか』
  ←なるほど、な記事



自動車大手のFiat Chryslerがバグ報奨プログラムを導入、1件あたり最高1500ドル

・自動車大手のFiat Chryslerがバグ報奨プログラムを導入、1件あたり最高1500ドル (07/14)
  http://itpro.nikkeibp.co.jp/atcl/news/16/071402093/

・過去の関連投稿
 http://akasaka-taro.blogspot.jp/2015/07/car-hacking.html

Jul 2, 2016

メモ、LINEと流出

・第三者によるLINEアカウントへのアクセス可能性に関する当社の見解について (01.22)
http://linecorp.com/ja/security/article/52
『LINEは1つのアカウントにつき1台のスマートフォン端末でのみ利用いただく仕様 ...

スマートフォン以外のデバイスからログインする場合には、登録メールアドレスとパスワードが必要となり、またデバイスの利用初回時には、ランダムなPINコードをスマートフォンLINEアプリで入力し、認証する必要があります。また、他デバイスからのログイン時には本人のスマートフォンLINEアプリに通知が届くため、PCなどを通じ本人が知らないところでトーク内容が閲覧される可能性は限りなく低い ...

スマートフォン端末自体が盗難等により第三者に渡り、スマートフォン端末のロック機能などが適用されておらず、なおかつLINEアプリのパスコードロックが適用されていない場合にはトーク内容等が閲覧される可能性がありますので、ご自身の各端末の管理、登録メールアドレスとパスワードの管理を今一度徹底いただくようお願い申し上げます。

・ゲス乙女もこれが原因?「LINEクローン」で中身が流出〈AERA〉 (02/02)
  http://www.excite.co.jp/News/society_g/20160202/asahi_20160202_0010.html?_p=2

『身近な第三者がLINEの会話を手に入れる方法として、 
 (1)手動でスマホのロックを解除
 (2)遠隔操作できるアプリなどをスマホにインストール
 (3)iPad版のLINEで見る
 (4)他の端末にLINEの「クローン」をつくる の4パターン ...
  旧端末をパソコンのソフト「iTunes」に同期させてLINEのデータをバックアップし、新端末にコピーする。  その際、「iPhoneのバックアップを暗号化」を選択すると、旧端末にもLINEが使える状態で残ってしまう ...』
・ベッキーの「不倫漏えい」の原因はシンプルだ (1/25)


1、... 端末に触れられる身近な人物が端末を操作して画面キャプチャを取得
2、... 端末を操作した上で、情報を抜き出すために用意したiPadのLINEに権限を付与
3、... 端末バックアップから複製した別のiPhoneを用いる

川谷氏のiPhoneをiTunesでバックアップし、別のiPhoneに復元した後、LINEアカウントでログイン(当然、IDとパスワードが必要となる)して、さらに川谷氏のiPhoneで受信したパスコードを入力すれば、すべてのLINEトークが覗き見可能になる
旧い機種から中を見るのがもっともシンプル
...
・乗り換えた旧いiPhoneを使わないまま放置している
・初期化しないまま誰か別の人に旧いiPhoneを提供
といったことをしていれば、受け取った相手が端末ロックを外すことでLINEトークの内容を常時受信可能になる。

端末そのもののロック ... 4桁ならば家族ならずとも身近な人間が把握している可能性はある

端末を乗り換える際には、データを含めた完全なリセットを行わなければならない。たとえ誰かに端末を引き渡す予定がなかったとしても、机の中で眠っているあなたの旧型端末の中にはプライベート情報にアクセス可能なアプリが、アカウントへのアクセス権が残されたままで多数入っている。


DoNotPay

 ・罰金を支払わずに済むようアドバイスする無料ソフトウェア

 「DoNotPay」が16万件もの駐車違反切符の取り消しに成功 (6/30)
18歳の時にロンドン周辺で30枚もの駐車違反切符を受け取ったことがきっかけで、独学でDoNotPayを作り上げた』 

佐賀県の教育情報システムと校内LANへの不正アクセス

・佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた (6/27)

  http://d.hatena.ne.jp/Kango/20160627/1467041904

・高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ (06/27)

  http://www.j-cast.com/2016/06/27270828.html
 実際は「擁護」だろう。
 ホワイトハッカーとしての活躍を期待。


・教育システム管理用ID、生徒が見られる場所に (06/28)

  http://www.nikkei.com/article/DGXLASDG27HDL_X20C16A6CC1000/

  『システム管理者の情報を生徒も閲覧できる状態にしていた』

 これは「或る段階」を突破するためのきっかけで、
 他にも弱い箇所があったのでは?

 他の自治体や家庭など、同様の弱さが放置されている可能性がある、と想像。
 もう少し詳しい経緯の報道に期待。

  ひろみちゅセンセイがヒントをくれていたが、、、
  http://twilog.org/HiromitsuTakagi/month-1607

---> 2016.07.16 追記

・佐賀県中高不正アクセスの手口は、無線LAN突破とIDパスワードの不正入手 (07/15)

『サーバーの種類は、県立学校が共用するクラウド型の教育情報システム「SEI-Net(セイネット)」と「校内LANの校務用・学習用サーバー」の二つに大別される。この二つで不正アクセスの手口は全く異なる  ...

不正アクセスは無線LAN(Wi-Fi)経由で、電波が届く校内か周辺で行われたとみられる。無線LANのアクセス許可には、「パスワード認証」「MACアドレス認証」「デジタル証明書認証」などの方式がある。一般に、これらを組み合わせると不正アクセスが困難になる。佐賀県では「WPA2-EAP」方式のパスワード認証とMACアドレス認証を組み合わせていた。デジタル証明書認証は採用していなかったが、WPA2-EAPは無線LANのセキュリティとしては比較的強固で、パスワードが漏れない限り、簡単には破れない...

教委事務局によると「(無職少年は)何らかの方法で無線LANパスワードを入手し、MACアドレスを偽装してアクセスしたようだ」...

無職少年が無線LANのパスワードや校務用サーバーの管理者IDとパスワードを入手した経緯はまだ特定できていないという...

成績や生徒指導といった機微な個人情報を扱うこと、教職員に加えて生徒が出入りするため物理的なセキュリティを担保しにくいことなどをリスクとして重視。学校は教育委員会という独立した行政委員会に属しており、事務部門に比べてセキュリティ研修などを徹底しにくい事情も考慮した ...

生徒にパスワードを盗み見られる可能性がある学校の環境で無線LANを導入する場合、教職員向けにデジタル証明書認証が必須だろう
--> 11.29 追記

1万人超の個人情報漏洩から得た教訓、佐賀県教委が不正アクセス対策を公表 (11/28)

推測されにくいパスワードを設定するといったパスワードポリシーの強制と、
ポリシーを守らせるユーザー教育
...
休日や夜間に不正アクセスが行われる可能性を考慮し、それらの時間帯は運用を停止
...
学習用と校務用のサーバー ... 両サーバーをファイアウオールで論理的に分離し、アクセスできないようにした


セブン銀行ほか、一斉引き出し事件

・セブン銀行 ATM から 14 億 4000 万円を不正引き出しの件。  (5/26) 
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/2016/05.html#20160526__seven
この件、セブンが狙い撃ちされているので、「コンビニ ATM から」と言うべきではないだろう。

・コンビニATM14億円不正引き出し、管理甘い日本が狙われる
  アフリカ諸国、東欧、中東などでは不正分析ソフトが働くため同様の犯罪は発生せず (5/25)
  http://www.newsweekjapan.jp/stories/world/2016/05/atm14.php
『犯人が日本を選択した理由について「リスクが低いほか、ATMのネットワーク管理が甘く、不正分析ソフトによって見破られないと考えたからだろう」 ...
犯行グループはさまざまな方法でデータを入手した可能性があり、恐らく「スキミング」カードを使っただろうが、現金引き出しにおいては限られた選択肢しかなかったという。
より新しく安全性が高い「チップ・アンド・ピン」システムを導入しておらず、旧式で安全性の低い「磁気ストライプ」のカードが通用する国を選ばなくてはならなかった ...
日本は、犯罪率の低さや、銀行のATMの大半が外国のカードを受け入れないことからリスクが低いとみられている ...

・ATM 不正引き出し方面
 セブン銀行だけじゃなかった (6/8)
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/2016/06.html#20160608__seven

  ATM不正引き出し、首都圏に集中 ファミマでも被害 (6/2)
  http://www.asahi.com/articles/ASJ6265L1J62UTIL047.html
『偽造カード一斉使用?14億円不正引き出し 17都府県 ... ファミリーマート、イーネット、ゆうちょ銀行 ...  いずれも南アフリカの銀行が発行したクレジットカードの情報が使われていた』

・一斉引き出し事件、銀行に承認記録なし 不正アクセスか (6/28)
  http://www.asahi.com/articles/ASJ6X3HGWJ6XUTIL00Z.html
『犯行が行われた ... 3時間弱の間は、同行のシステムが不正アクセスを受けて誤作動を起こしていた ...  引き出しを承認させた後に痕跡を消したか、承認を経ずに引き出すことができた ...
  約3千件のカード情報は事前に銀行のシステムがハッキングされて盗まれた可能性が高いとみられているが、その痕跡はシステムに残っていなかった』