X(旧Twitter)から 05/10

 JNSAソリューションガイド

『「中小企業の情報セキュリティ対策ガイドライン」で示されている実行することで効果がある25項目（「５分でできる！情報セキュリティ自社診断」参照＞＞）の情報セキュリティ対策について、最良なセキュリティ対策（ベストプラクティス）をご紹介するとともにそれらの対策の実践に役立つ製品やサービスが検索できます。』

←見やすくまとまっているし読み物としても面白そう。

 

SECCON Beginners CTF 2024 を開催いたします！ - SECCON13 (05/08)

 

Fakenet-NG 単体で証明書エラー無くHTTPS通信の復号をやらせるまで - 切られたしっぽ (hatenablog.com) (05/06)

『Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です

実質 MitM をさせる Proxy を作るための話になります』

 

SecHack365 ? SecHack365 では、他にはない365 日の長期ハッカソン1によるモノづくりの機会を提供することで、「セキュリティ イノベーター」としてセキュリティの様々な課題にアイデアで切り込める人材の育成を目指しています。 (nict.go.jp)

『いま世界に求められるセキュリティ人材。

そんな人材を育てようと情報通信研究機構（NICT）では毎年40名程度の若者を募集しています。

..

実は先輩たちも同じ不安を抱えながら応募していた ..

「応募するのは自由。この機会を逃して後悔するよりも、とにかく挑戦してほしい」』

 

今すぐできる4つのセキュリティ対策 | セキュリティ | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

 

電子署名付き電子メール（S/MIME） | 当社のセキュリティ対策 | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

『当社の電子メールであることの確認方法

l  電子署名付き電子メールを受信した際、セキュリティ警告が出ていないことを確認する

セキュリティ警告が出ている電子メールは、信頼できない可能性があります。

l  送信者アドレスが “*****@netbk.co.jp” となっていることを確認する

住信SBIネット銀行から送られた電子メールであることが確認できます。

l  電子署名の発行元が“Cybertrust Japan SureMail CA G4”となっていることを確認する

サイバートラスト・シュアメールの発行する電子証明書であることが確認できます。』

 

GitHub comments abused to push malware via Microsoft repo URLs (bleepingcomputer.com) (04/20)

『たとえば、脅威アクターは、人気のあるゲームの問題を修正する新しいドライバーを装ったマルウェア実行可能ファイルをNVIDIAのドライバーインストーラーリポジトリにアップロードする可能性があります。また、脅威アクターは、Google Chromiumのソースコードにコメントでファイルをアップロードし、それがWebブラウザの新しいテストバージョンであるかのように装うことができます。

これらのURLは、会社のリポジトリに属しているようにも見え、はるかに信頼性が高くなります。

残念ながら、企業がリポジトリがマルウェアを配布するために悪用されていることを知ったとしても、BleepingComputerはプロジェクトに添付されたファイルを管理できる設定を見つけることができませんでした。

さらに、GitHubアカウントをこのように悪用され、評判を傷つけないように保護するには、コメントを無効にすることしかできません。このGitHubサポートドキュメントによると、コメントを一時的に無効にできるのは、一度に最大6か月間だけです。

ただし、コメントを制限すると、ユーザーがバグや提案を報告できなくなるため、プロジェクトの開発に大きな影響を与える可能性があります。』

 

セルゲイ フランコフさんによるライブストリーム（↓）。このバグを「脅威アクター達は活発に悪用している」とのこと。

https://twitter.com/i/status/1772988192678969567 (03/27)

 

社会人向けイベント「SOCアナリスト業務紹介&懇親会」の参加者を募集します（2024年6月7日, 2024年6月28日） | NTTセキュリティテクニカルブログ (security.ntt) (04/18)