Linux」カテゴリーアーカイブ

アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!|株式会社イルグルムのプレスリリース

アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!|株式会社イルグルムのプレスリリース

アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!|株式会社イルグルムのプレスリリース

株式会社イルグルム(本社:大阪府大阪市北区 代表取締役:岩田 進、以下「イルグルム」)は、マーケティング効果測定プラットフォーム「アドエビス」が2019年10月より提供する3rd party Cookieを使わない新しい計測方法「CNAMEトラッキング」の導入企業が300社※を突破したことをお知らせいたします。 ※2020年1月14日時...

はてなブックマーク - アドエビス、3rd party Cookieを使わない新計測法「CNAMEトラッキング」が提供開始から3ヶ月で導入企業300社突破!|株式会社イルグルムのプレスリリース はてなブックマークに追加

東芝また粉飾決算、売上高440億円の子会社・東芝ITサービスで200億円規模の架空取引 : 市況かぶ全力2階建

東芝また粉飾決算、売上高440億円の子会社・東芝ITサービスで200億円規模の架空取引 : 市況かぶ全力2階建

東芝また粉飾決算、売上高440億円の子会社・東芝ITサービスで200億円規模の架空取引 : 市況かぶ全力2階建

「と、東芝!お前どうしたんだよ!二部で頑張ってるんじゃなかったのか」 「子会社がやっちまってな・・・・」 pic.twitter.com/gUJFsOn61N — ○イジー (@daisycutter7) 2020年1月18日 2020/01/18 11:30 東芝 当社子会社における実在性の確認できない取引について https://www.toshiba.co.jp/about/ir/jp/news/20200118_2...

はてなブックマーク - 東芝また粉飾決算、売上高440億円の子会社・東芝ITサービスで200億円規模の架空取引 : 市況かぶ全力2階建 はてなブックマークに追加

Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) – ぼちぼち日記

Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記

Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記

1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、...

はてなブックマーク - Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記 はてなブックマークに追加

閉ざされたアーミッシュ社会、彼らが隠してきた「恐るべき秘密」

閉ざされたアーミッシュ社会、彼らが隠してきた「恐るべき秘密」

閉ざされたアーミッシュ社会、彼らが隠してきた「恐るべき秘密」

アメリカ版『コスモポリタン』誌と非営利の調査報道機関『タイプ・インベスティゲーションズ(Type Investigations)』との1年にわたる共同調査で明らかにされた、アーミッシュの近親相姦とレイプ、性的虐待の戦慄の文化とは――。 Photos: Getty Images From COSMOPOLITAN ※アーミッシュとは、アメリカやカナダの一部で自...

はてなブックマーク - 閉ざされたアーミッシュ社会、彼らが隠してきた「恐るべき秘密」 はてなブックマークに追加

Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正

Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601Microsoft Security Response Centerのブログ記事NSAのアドバイザリー: PDFNSAのニュース記事SlashGearの記事)。

CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。

NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | Windows | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米NSA、WannaCryには北朝鮮の諜報機関が関与していると判断 2017年06月20日
Microsoft、脆弱性情報をサイバー兵器として備蓄する政府を批判 2017年05月17日
Microsoft、Windows XPのセキュリティ更新プログラムを公開 2017年05月14日
Shadow BrokersがNSAも使っているというエクスプロイトを公開、Windowsにおいてはすべて対応済み 2017年04月19日
ハッカー集団が米国家安全保障局のサイバー攻撃ソフトを奪取、競売で売る計画 2016年08月20日
米NSA局長曰く、発見した脆弱性のほとんどは公表している 2014年11月09日

ヒトラーを「左翼」「社会主義者」と見なしてはいけない理由(田野 大輔) | 現代ビジネス | 講談社(1/6)

ヒトラーを「左翼」「社会主義者」と見なしてはいけない理由(田野 大輔) | 現代ビジネス | 講談社(1/6)

ヒトラーを「左翼」「社会主義者」と見なしてはいけない理由(田野 大輔) | 現代ビジネス | 講談社(1/6)

広がる「ヒトラーは社会主義者だ」の認識 近年、右派勢力の間で「ヒトラーは社会主義者だ」という主張が広がりはじめている。事実、そうした主張はアメリカのオルトライト(新右翼)や共和党の一部の常套句となっていて、敵対陣営である民主党左派を攻撃するのに多用されている。 日本のいわゆる「ネット右翼」の間でも...

はてなブックマーク - ヒトラーを「左翼」「社会主義者」と見なしてはいけない理由(田野 大輔) | 現代ビジネス | 講談社(1/6) はてなブックマークに追加

娘をどうやって説得しますか?|泰輔|note

娘をどうやって説得しますか?|泰輔|note

娘をどうやって説得しますか?|泰輔|note

先日娘と話す機会があって、その後少し考え込んでしまったので、文章にしてまとめてみようと思いました。 きっかけは大学生の娘がバイトの愚痴を話していて、その流れで「○○ちゃんとか数人はパパ活で毎回5万とか貰ってるから、羨ましいとか思っちゃうよ」と呟いたことでした。 先に言っておきますが、もちろん私はパパ活...

はてなブックマーク - 娘をどうやって説得しますか?|泰輔|note はてなブックマークに追加

娘がパパ活をやろうとしたらどうやって説得しますか?|泰輔|note

娘がパパ活をやろうとしたらどうやって説得しますか?|泰輔|note

娘がパパ活をやろうとしたらどうやって説得しますか?|泰輔|note

先日娘と話す機会があって、その後少し考え込んでしまったので、文章にしてまとめてみようと思いました。 きっかけは大学生の娘がバイトの愚痴を話していて、その流れで「○○ちゃんとか数人はパパ活で毎回5万とか貰ってるから、羨ましいとか思っちゃうよ」と呟いたことでした。 先に言っておきますが、もちろん私はパパ活...

はてなブックマーク - 娘がパパ活をやろうとしたらどうやって説得しますか?|泰輔|note はてなブックマークに追加

2020年も脆弱性に注意:「CVE-2019-19781」と「CVE-2020-0601」

先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。

■CVE-2019-19781

CVE-2019-19781は「Citrix Application Delivery Controller(ADC)」と「Citrix Gateway」の脆弱性であり、一般に「Remote Code Execution(RCE)」と呼ばれる影響のある脆弱性です。サイバー犯罪者はこの脆弱性を利用して遠隔から任意のコードを実行することが可能になる、つまり、ネットワーク越しの遠隔攻撃が可能になります。2019年12月に公開された脆弱性ですが、2020年に入り攻撃の実証コード(PoC)が公開され危険度が高まっていることで注目されています。脆弱性の影響を受ける2つの製品はSSL Gatewayの機能を持っているため、この脆弱性を悪用した攻撃のシナリオとしては、内部ネットワークへの侵入を試みる攻撃シナリオが予想されます。類似のものとしては2019年に確認された複数のSSL VPN製品の脆弱性の事例がありました。

更新プログラムは1月20日以降順次公開されることが発表されており、本記事執筆時点では「ゼロデイ」の状態です。サイバー犯罪者は既知の脆弱性を利用して攻撃可能なシステムをインターネット上で探索し、攻撃します。何等の緩和策をとらずに脆弱性を放置すれば、遅かれ早かれ攻撃の被害を受けることになります。これらの製品を利用されている法人利用者はCitrix社が公表している緩和策を行うと共に、更新プログラムが公開された場合には速やかに適用することが推奨されます。運用上の理由などにより、すぐに更新プログラムを適用できない場合には、必ず緩和策を行うと共に、脆弱性を利用した攻撃を防御するための対策を有効にする必要があります。

■CVE-2020-0601

「Curveball」とも呼ばれているこのMicrosoft Windowsの脆弱性は、米国の国家安全保障局(NSA)が警告したことで注目を浴びました。内容としてはWindowsの暗号化機能である「CryptoAPI(crypt32.dll)」における脆弱性であり、特定の状況において、攻撃者が認証プロセスをバイパスすることを可能にします。攻撃者はこの脆弱性を利用して「なりすまし」、つまり、不正なファイルや電子メール、ネットワーク接続を正当な当事者により署名されているもののようにみせることが可能になります。結果的にマルウェアを正規のプログラムのように思わせたり、暗号化通信の傍受や改ざんを行ったりできます。Windows 10およびWindows Server 2016/2019にのみ影響する脆弱性であり、Microsoftの「2020年1月のセキュリティ更新プログラム」にて既に修正が公開されていますので、適用を推奨します。このセキュリティ更新プログラムは1月15日にサポートが切れたWindows7の最後の更新プログラムとしても注目されていますが、Internet Explorerや、.NET Framework、リモートデスクトップ機能などのRCE脆弱性など「最大深刻度」が「緊急」とされる修正も含まれており、速やかな更新が望まれます。

■被害に遭わないためには

脆弱性を利用する攻撃は、攻撃対象の脆弱性が存在しない環境では無効です。脆弱性の更新プログラムを迅速に適用することで根本的な解決が可能となります。もし、使用上の都合などですぐには更新プログラムを適用できない場合には、必ずソフトウェア開発元などが推奨する脆弱性の影響緩和策を実施してください。

■トレンドマイクロの対策

ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterにより本記事内で挙げた脆弱性を利用する攻撃を検出します。

CVE-2019-19781

  • 36876: HTTP: Citrix Application Delivery Controller (ADC) Directory Traversal Vulnerability
  • 36927: HTTP: Citrix Application Delivery Controller (ADC) Directory Traversal Vulnerability

CVE-2020-0601

  • 36956: HTTP: Microsoft Windows CryptoAPI Spoofing Vulnerability

法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」、総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールにより本記事内で挙げた脆弱性を利用する攻撃を検出します。

CVE-2020-0601

  • 36956: 1010130 – Microsoft Windows CryptoAPI Spoofing Vulnerability (CVE-2020-0601)

総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では総合ログ監視機能の以下のルールにより、CVE-2020-0601脆弱性利用の活動を記録します。

  • 1010129 – Microsoft Windows CryptoAPI Spoofing Vulnerability (CVE-2020-0601)

今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性 | ギズモード・ジャパン

今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性 | ギズモード・ジャパン

今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性 | ギズモード・ジャパン

今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性2020.01.17 21:00 Tom McKay - Gizmodo US [原文] ( scheme_a ) メリーランド州、フォート・ミードにあるNSA本部 教えてくれたのはいいけど、ほかにもいろいろバグを知ってそう。 MIT Technology Reviewによりますと、Windows(ウィンドウズ)10と...

はてなブックマーク - 今すぐWindows 10をアップデートして! NSAすら警戒するヤバい脆弱性 | ギズモード・ジャパン はてなブックマークに追加

闇市で買った睡眠導入剤でトリップ 西成あいりん地区に若い女性群がる訳 – ライブドアニュース

闇市で買った睡眠導入剤でトリップ 西成あいりん地区に若い女性群がる訳 - ライブドアニュース

闇市で買った睡眠導入剤でトリップ 西成あいりん地区に若い女性群がる訳 - ライブドアニュース

2020年1月17日 17時15分 ざっくり言うと 大阪市西成区のあいりん地区に、若い女性がやってくることがあるという 違法な露店で販売されている抗不安薬や睡眠導入剤を求めに来ているそう 大量に服用してトリップするために買っているのだと現地に住む男性は語った ■土日の朝に開催される闇市大阪市。労働者の街からバック...

はてなブックマーク - 闇市で買った睡眠導入剤でトリップ 西成あいりん地区に若い女性群がる訳 - ライブドアニュース はてなブックマークに追加

企業を狙う標的型ランサムウェアに注意–“サイバー衛生”の確保を – ZDNet Japan

企業を狙う標的型ランサムウェアに注意--“サイバー衛生”の確保を - ZDNet Japan

企業を狙う標的型ランサムウェアに注意--“サイバー衛生”の確保を - ZDNet Japan

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 2019年後半に国内で企業を標的にするマルウェア「Emotet」の大規模な拡散攻撃が発生した。海外では、同種の攻撃からランサムウェアの被害に至るインシデントが相次いでいる。20...

はてなブックマーク - 企業を狙う標的型ランサムウェアに注意--“サイバー衛生”の確保を - ZDNet Japan はてなブックマークに追加

シトリックス製品に脆弱性、パッチ公開まで緩和策実施や使用中止を勧告 – ZDNet Japan

シトリックス製品に脆弱性、パッチ公開まで緩和策実施や使用中止を勧告 - ZDNet Japan

シトリックス製品に脆弱性、パッチ公開まで緩和策実施や使用中止を勧告 - ZDNet Japan

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Citrix Systemsのネットワーク製品「Citrix Application Delivery Controller(ADC)」と「Citrix Gateway」などに存在する脆弱性が12月に報告され、1月以降にこれを悪用する攻...

はてなブックマーク - シトリックス製品に脆弱性、パッチ公開まで緩和策実施や使用中止を勧告 - ZDNet Japan はてなブックマークに追加

ASCII.jp:セキュリティ対策ソフトも見つけにくい「ファイルレスマルウェア」とは!? (1/2)

ASCII.jp:セキュリティ対策ソフトも見つけにくい「ファイルレスマルウェア」とは!? (1/2)

ASCII.jp:セキュリティ対策ソフトも見つけにくい「ファイルレスマルウェア」とは!? (1/2)

ファイルが「ない」から見つけにくい! さまざまなサイバー犯罪がはびこる今日においては、セキュリティベンダーやメーカーなどは、サイバー犯罪の被害を防ごうと日々努力している。まだ見ぬ脅威に対しても、事前に怪しい動きを察知し、発見できるように調査しているものだ。 そんな時代であれば、悪意をもった犯罪者か...

はてなブックマーク - ASCII.jp:セキュリティ対策ソフトも見つけにくい「ファイルレスマルウェア」とは!? (1/2) はてなブックマークに追加

効率的に不正接続を試みるリスト攻撃プログラムが見つかる

流出したIDとパスワードの組み合わせリストを使ってほかのサービスへの不正ログインを狙う攻撃は「リスト型攻撃」と呼ばれるが、これを使ってメールアカウントを奪取し、さらにそのアカウントでやりとりされているメールの内容を自動で分析してネットバンキングや電子決済サービスなどの攻撃対象を自動分類するという攻撃プログラムが確認されたそうだ(NHK)。

問題の攻撃プログラムでは、メール内容から事前に使用しているサービスを特定することで試行数を減らして効率的に攻撃が行える。また、IPアドレスを自動的に変えながら攻撃を行う機能も付いているという。

このプログラムは、昨年5月に無届けで中継サーバーを運用しているとして摘発された中国人業者のサーバーから見つかったとのこと。また、このサーバーからは6500万件にも上るID・パスワードのリストも見つかっているという。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
三井住友カードのアプリに不正アクセス、約1万7000件の不正ログインか 2019年08月26日
ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩 2019年07月26日
So-netのメールサービスに対し不正アクセス 2015年01月16日
ユニクロやGUに不正ログイン46万件、住所など流出の可能性 2019年05月21日

JVN#49593434: トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性

JVN#49593434: トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性

JVN#49593434: トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性

トレンドマイクロ製パスワードマネージャーには、情報漏えいの脆弱性が存在します。 なお、本脆弱性は JVN#37183636 とは異なる問題です。 パスワードマネージャー Windows 版 バージョン 3.8.0.1103 およびそれ以前 パスワードマネージャー Mac 版 バージョン 3.8.0.1052 およびそれ以前 開発者によると、パスワードマ...

はてなブックマーク - JVN#49593434: トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性 はてなブックマークに追加

複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起

複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起

複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起

JPCERT-AT-2020-0003 JPCERT/CC 2020-01-17 I. 概要JPCERT/CC では、Citrix Application Delivery Controller および Citrix Gatewayの脆弱性 (CVE-2019-19781) について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。本脆弱性を悪用された場合、遠隔の第三者が任意のコードを実行...

はてなブックマーク - 複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起 はてなブックマークに追加

JVN: トレンドマイクロ製パスワードマネージャーにおける情報漏えいの脆弱性

トレンドマイクロ製パスワードマネージャーには製品内で生成されるルート CA 証明書用の秘密鍵が取得可能な脆弱性が存在します。<br /> <br /> なお、本脆弱性は <a href="https://jvn.jp/jp/JVN49593434/">JVN#49593434</a> とは異なる問題です。続きを読む

富士通がイスラエル企業とコネクテッドカーのセキュリティで協業 | マイナビニュース

富士通がイスラエル企業とコネクテッドカーのセキュリティで協業 | マイナビニュース

富士通がイスラエル企業とコネクテッドカーのセキュリティで協業 | マイナビニュース

富士通とコネクテッドカー向けセキュリティ技術を保有するイスラエルのUpstream Security(アップストリームセキュリティ)は1月16日、コネクテッドカーのセキュリティ分野で協業することに合意したと発表した。今回の協業のもと、両社はコネクテッドカーのためのセキュリティオペレーションセンター(Vehicle Security Ope...

はてなブックマーク - 富士通がイスラエル企業とコネクテッドカーのセキュリティで協業 | マイナビニュース はてなブックマークに追加

去年の自殺者 2万人下回る 調査開始以来 最少の見通し | NHKニュース

去年の自殺者 2万人下回る 調査開始以来 最少の見通し | NHKニュース

去年の自殺者 2万人下回る 調査開始以来 最少の見通し | NHKニュース

1年間に自殺した人の数が去年、速報値としては初めて2万人を下回り、調査が始まって以降でもっとも少なくなる見通しとなりました。 年間の自殺者が2万人を下回るのは速報値の公表を始めた平成22年以降で初めてです。 また例年、3月に公表される確定値では人数が増える可能性があるものの調査を始めた昭和53年以降で...

はてなブックマーク - 去年の自殺者 2万人下回る 調査開始以来 最少の見通し | NHKニュース はてなブックマークに追加

サルでもわかるGoogle Chromeのプライバシー対策で何が起こるのか | marketechlabo

サルでもわかるGoogle Chromeのプライバシー対策で何が起こるのか | marketechlabo

サルでもわかるGoogle Chromeのプライバシー対策で何が起こるのか | marketechlabo

Chromeが2年以内にサードパーティcookieをブロックすると正式に発表しました。 https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html いろいろなことが言われていますが、具体的に何が起こるのか、混同しやすいところを含めて初心者でもわかるようにまとめました(このサイトでは珍しい初心...

はてなブックマーク - サルでもわかるGoogle Chromeのプライバシー対策で何が起こるのか | marketechlabo はてなブックマークに追加

ますます巨大化するネット詐欺集団! 「詐欺を防ぐ10カ条」で迫り来るリスクに準備せよ【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 – INTERNET Watch

ますます巨大化するネット詐欺集団! 「詐欺を防ぐ10カ条」で迫り来るリスクに準備せよ【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

ますます巨大化するネット詐欺集団! 「詐欺を防ぐ10カ条」で迫り来るリスクに準備せよ【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

はてなブックマーク - ますます巨大化するネット詐欺集団! 「詐欺を防ぐ10カ条」で迫り来るリスクに準備せよ【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch はてなブックマークに追加

SunshinePHP 2020

In February 2020 come to Miami, Florida and escape the cold to learn more about PHP and speak with other developers, like you, to see what others are doing. The SunshinePHP 2020 speaker list has been announced, and we've assembled a great line-up with the most current PHP related topics for you.

Topics include:

  • API Development
  • Middleware
  • Security
  • Blockchain
  • DevOps
  • Progressive Web Apps (PWA)
  • Continuous Delivery
  • Databases
  • Javascript
  • PHP Core
  • Unit Testing
  • UI/UX
  • Async PHP
  • Scalability
  • Team Development

Come celebrate our 8th year from February 6th to 8th, 2020 in sunny Miami, Florida. There will be a full tutorial day featuring 3-hour sessions followed by 2 days of 1-hour talks and inspirational keynotes.

Register now! SunshinePHP.com

IDとパスワード、6500万件流出か 茨城県警、押収サーバー確認 – 産経ニュース

IDとパスワード、6500万件流出か 茨城県警、押収サーバー確認 - 産経ニュース

IDとパスワード、6500万件流出か 茨城県警、押収サーバー確認 - 産経ニュース

茨城県警は16日、電気通信事業法違反で昨年5月に逮捕し、略式起訴された女性(28)=同県行方市=の自宅から押収したサーバーコンピューターから、ウェブサイトのログインIDとパスワードの組み合わせ約6500万件が見つかったと発表した。IDやパスワードを使って利用者になりすましてログインを試みる「リス...

はてなブックマーク - IDとパスワード、6500万件流出か 茨城県警、押収サーバー確認 - 産経ニュース はてなブックマークに追加

【倒産速報】ガジェット速報を運営 クーロン株式会社が事業停止 | アラームボックスブログ

【倒産速報】ガジェット速報を運営 クーロン株式会社が事業停止 | アラームボックスブログ

【倒産速報】ガジェット速報を運営 クーロン株式会社が事業停止 | アラームボックスブログ

クーロン株式会社について 佐藤由太氏によって2011年に設立された「クーロン株式会社」は、東京都港区にオフィスを構え、ウェブメディアの運営やシステム開発を手がけていました。設立間もない同社ですが、ウェブメディアの『GGSOKU(旧:ガジェット速報)』の運営の他に、自社開発したコメント管理サービス「Quelon(ク...

はてなブックマーク - 【倒産速報】ガジェット速報を運営 クーロン株式会社が事業停止 | アラームボックスブログ はてなブックマークに追加

グーグル「閲覧データ」提供停止に広がる波紋 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

グーグル「閲覧データ」提供停止に広がる波紋 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

グーグル「閲覧データ」提供停止に広がる波紋 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

グーグルのブラウザー「Chrome(クローム)」が広告配信で使われる閲覧履歴データ「クッキー」の扱いを大きく変えようとしている(記者撮影) ネット広告業界に大きな衝撃が広がった。 グーグルは1月14日、世界シェア約6割を占める同社のウェブブラウザ「Chrome(クローム)」で、「クッキー」と呼ばれるユーザーのネッ...

はてなブックマーク - グーグル「閲覧データ」提供停止に広がる波紋 | インターネット | 東洋経済オンライン | 経済ニュースの新基準 はてなブックマークに追加

競輪の全レースを2日間開催できず、2年以上「潜伏」していたバグが表面化 | 日経 xTECH(クロステック)

競輪の全レースを2日間開催できず、2年以上「潜伏」していたバグが表面化 | 日経 xTECH(クロステック)

競輪の全レースを2日間開催できず、2年以上「潜伏」していたバグが表面化 | 日経 xTECH(クロステック)

競輪の全レースが2日間にわたって中止される異例の事態が起こった。業務マニュアルの不備で選手データの更新処理が期限に間に合わず、データの不整合が発生。夜間のバッチ処理が異常終了し、競輪を支える中核システムが全面ダウンした。現行システムの稼働から2年半以上にわたり潜んでいた不具合が顕在化した。 「お客様...

はてなブックマーク - 競輪の全レースを2日間開催できず、2年以上「潜伏」していたバグが表面化 | 日経 xTECH(クロステック) はてなブックマークに追加

後払いサービスとフリマサイトを悪用した売上金詐取についてまとめてみた – piyolog

後払いサービスとフリマサイトを悪用した売上金詐取についてまとめてみた - piyolog

後払いサービスとフリマサイトを悪用した売上金詐取についてまとめてみた - piyolog

2020年1月に入ってから後払いサービス「Paidy」とフリマサイト「メルカリ」を悪用した詐取発生が話題になっています。ここでは関連する情報についてまとめます。 1月17日時点の状況(利用者の二重支払い被害無し) 1月9日にPaidy翌月払いを悪用する事例が出ているとメルカリの質問掲示板に投稿。5ちゃんねる掲示板、Twi...

はてなブックマーク - 後払いサービスとフリマサイトを悪用した売上金詐取についてまとめてみた - piyolog はてなブックマークに追加

オレオレ証明書を使い続ける上場企業をまとめてみた – megamouthの葬列

オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列

オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列

あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなけれ...

はてなブックマーク - オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列 はてなブックマークに追加

AWS Security Hubで特定のコンプライアンスチェック項目を無効化する – Qiita

AWS Security Hubで特定のコンプライアンスチェック項目を無効化する - Qiita

AWS Security Hubで特定のコンプライアンスチェック項目を無効化する - Qiita

Help us understand the problem. What is going on with this article? はじめに 2020/1/15 の Updateにより AWS Secuirty Hub のコンプライアンス標準機能で CIS AWS Foundations Benchmark の個別のチェック項目を無効化できるようになりました。 AWS Security Hub releases the ability to disable specific complia...

はてなブックマーク - AWS Security Hubで特定のコンプライアンスチェック項目を無効化する - Qiita はてなブックマークに追加

iPhoneユーザーは必ずやろう!iPhoneがGoogleアカウントのセキュリティキーに使用できるようになりました | 男子ハック

iPhoneユーザーは必ずやろう!iPhoneがGoogleアカウントのセキュリティキーに使用できるようになりました | 男子ハック

iPhoneユーザーは必ずやろう!iPhoneがGoogleアカウントのセキュリティキーに使用できるようになりました | 男子ハック

Googleは1月15日、iPhoneをGoogleアカウントのセキュリティーキーとして設定できるようになったと発表しました。Googleが提供する「Smart Lock」アプリをインストールし、「高度な保護機能」を有効にすることで、iPhoneがセキュリティーキーとして利用可能になります。 Googleアカウントのセキュリティーキーに、iPhone...

はてなブックマーク - iPhoneユーザーは必ずやろう!iPhoneがGoogleアカウントのセキュリティキーに使用できるようになりました | 男子ハック はてなブックマークに追加

血圧って結構だいじ。イヤホンで正確に血圧測定、年内にも! #CES2020 | ギズモード・ジャパン

血圧って結構だいじ。イヤホンで正確に血圧測定、年内にも! #CES2020 | ギズモード・ジャパン

血圧って結構だいじ。イヤホンで正確に血圧測定、年内にも! #CES2020 | ギズモード・ジャパン

血圧って結構だいじ。イヤホンで正確に血圧測定、年内にも! #CES20202020.01.16 14:00 Victoria Song - Gizmodo US [原文] ( 湯木進悟 ) Photo: Victoria Song(Gizmodo US) スマートイヤホンですね…。 ワイヤレスのイヤホンを使っている人、このところ一気に増えましたよね。もしかしたら、スマートウォッチより...

はてなブックマーク - 血圧って結構だいじ。イヤホンで正確に血圧測定、年内にも! #CES2020 | ギズモード・ジャパン はてなブックマークに追加

「Windows 7」のサポートが終了、それでも企業は古いOSを使い続ける|WIRED.jp

「Windows 7」のサポートが終了、それでも企業は古いOSを使い続ける|WIRED.jp

「Windows 7」のサポートが終了、それでも企業は古いOSを使い続ける|WIRED.jp

ニューヨークにある「Microsoft Store」。これまで「Windows 7」を使い続けてきた人の多くは、新しいOSを利用することになる。BRYAN THOMAS/GETTY IMAGES ついに「Windows 7」を手放すことになった。個人的には「Windows 10」が嫌いというわけではないが、Windows 7には特別な“何か”があった。より洗練されていたのだ。 ...

はてなブックマーク - 「Windows 7」のサポートが終了、それでも企業は古いOSを使い続ける|WIRED.jp はてなブックマークに追加

買われたクチコミ。Googleマップ、Amazon、楽天で横行か。 温床になっていたのは…

買われたクチコミ。Googleマップ、Amazon、楽天で横行か。 温床になっていたのは…

買われたクチコミ。Googleマップ、Amazon、楽天で横行か。 温床になっていたのは…

Amazonや楽天市場、Googleマップなどで、「サクラ」として商品や飲食店などに高評価な口コミを書き込む行為が、クラウドソーシングサイトで売買されている。 ネットで商品を購入したりGoogleマップで食事の場所を選んだりする際、多くの人々は、ユーザーのレーティングとコメントを参考にしている。意図的に高い評価のコ...

はてなブックマーク - 買われたクチコミ。Googleマップ、Amazon、楽天で横行か。 温床になっていたのは… はてなブックマークに追加

ASCII.jp:セキュリティー意識の向上が、高度化するスプーフィング攻撃への対策

ASCII.jp:セキュリティー意識の向上が、高度化するスプーフィング攻撃への対策

ASCII.jp:セキュリティー意識の向上が、高度化するスプーフィング攻撃への対策

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「増加するスプーフィング攻撃へどのような対策が必要?」を再編集したものです。 サイバー攻撃にはさまざまな手法があるが、いわゆる「なりすまし」による攻撃もそのひとつだ。なりすましは、英語ではSpoofing、スプーフィング攻撃と...

はてなブックマーク - ASCII.jp:セキュリティー意識の向上が、高度化するスプーフィング攻撃への対策 はてなブックマークに追加

日産 ゴーン被告に立ち退き要請 滞在中のレバノンの住宅から | NHKニュース

日産 ゴーン被告に立ち退き要請 滞在中のレバノンの住宅から | NHKニュース

日産 ゴーン被告に立ち退き要請 滞在中のレバノンの住宅から | NHKニュース

日産自動車は、レバノンに逃亡した元会長のゴーン被告が暮らしているベイルート市内の住宅は、会社が所有しているものだとして立ち退きを求めています。しかし、ゴーン元会長側は応じていないということで、立ち退きの要請を続けることにしています。 しかし、ゴーン元会長側は立ち退きには応じず、住み続けているという...

はてなブックマーク - 日産 ゴーン被告に立ち退き要請 滞在中のレバノンの住宅から | NHKニュース はてなブックマークに追加

IIJ、接続サービスで提供するDNSのセキュリティを強化 | IIJについて | IIJ

IIJ、接続サービスで提供するDNSのセキュリティを強化 | IIJについて | IIJ

IIJ、接続サービスで提供するDNSのセキュリティを強化 | IIJについて | IIJ

最新のDNSプロトコル(DoT、DoH)およびDNSSECをDNSキャッシュサーバに導入し、安全性を向上 このニュースのPDF版 [512KB] 株式会社インターネットイニシアティブ(IIJ、本社:東京都千代田区、代表取締役社長:勝 栄二郎)は、お客様のインターネット利用時の安全性を高めるため、IIJのインターネット接続サービスで提...

はてなブックマーク - IIJ、接続サービスで提供するDNSのセキュリティを強化 | IIJについて | IIJ はてなブックマークに追加

IIJのDNS暗号化への取り組み | IIJ Engineers Blog

IIJのDNS暗号化への取り組み | IIJ Engineers Blog

IIJのDNS暗号化への取り組み | IIJ Engineers Blog

はじめに ネットワーククラウド本部の其田です。今回はIIJのDNS暗号化への取り組みを紹介します。 この記事で紹介するのは、本日プレスリリースした「IIJ、接続サービスで提供するDNSのセキュリティを強化」の中の、DNSキャッシュサーバとお客様の間の通信(DoT/DoH)に該当します。 取り組みのきっかけ IIJでのDNS暗号化...

はてなブックマーク - IIJのDNS暗号化への取り組み | IIJ Engineers Blog はてなブックマークに追加

メール内容から利用サービスを割り出しするリスト型攻撃についてまとめてみた – piyolog

メール内容から利用サービスを割り出しするリスト型攻撃についてまとめてみた - piyolog

メール内容から利用サービスを割り出しするリスト型攻撃についてまとめてみた - piyolog

2020年1月16日、2019年摘発の事案からリスト型攻撃で新たなプログラムを利用する手口が判明したとNHKが報じました。ここではその手口についてまとめます。 www3.nhk.or.jp プログラムでメール内容を解析 メール内容を使って利用するサービスを自動分類 過去のサービス等から流出したID,パスワードのリストを大量に入手す...

はてなブックマーク - メール内容から利用サービスを割り出しするリスト型攻撃についてまとめてみた - piyolog はてなブックマークに追加

Chromiumベースの新Microsoft Edge、延長サポート終了後もWindows 7をサポート

headless曰く、

Windows 7の延長サポート終了翌日に正式版がリリースされるChromiumベースの新Microsoft Edgeだが、延長サポート終了後もWindows 7をサポートするそうだ(NeowinSoftpedia)。

GoogleはMicrosoftによるサポート終了から少なくとも18か月はGoogle ChromeでWindows 7をサポートする計画を明らかにしている。Microsoftは当初、少なくともGoogle Chromeと同じ期間は新Microsoft EdgeでWindows 7をサポートするとNeowinに声明を出していたそうだが、その後声明から期間に関する部分を削除したとのこと。Neowinでは有料セキュリティアップデートオプションWindows 7 Extended Security Updates(ESU)が提供される3年間、新Microsoft EdgeでWindows 7をサポートするのではないかとの見方を示している。

なお、Vivaldiも少なくともGoogle Chromeと同期間、Windows 7をサポートする方針とのことだ。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | マイクロソフト | インターネット | Chromium | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 7のサポートが本日で終了 2020年01月14日
Google Chrome、Microsoftによるサポート終了から少なくとも18か月はWindows 7をサポート 2020年01月12日
Windows 7、4分の1以上のシェアを維持したまま2019年を終える 2020年01月05日

「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース

「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース

「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース

インターネット上で不正な接続を試みる「リスト型攻撃」に関する新たなプログラムが、茨城県で警察に押収されたサーバーから見つかったことが、捜査関係者への取材で分かりました。攻撃対象のサービスを絞り込み、効率的に不正接続を試みているとみられています。 捜査関係者によりますと、その後サーバーを分析したとこ...

はてなブックマーク - 「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース はてなブックマークに追加

「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース

「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース

「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース

インターネット上で不正な接続を試みる「リスト型攻撃」に関する新たなプログラムが、茨城県で警察に押収されたサーバーから見つかったことが、捜査関係者への取材で分かりました。攻撃対象のサービスを絞り込み、効率的に不正接続を試みているとみられています。 捜査関係者によりますと、その後サーバーを分析したとこ...

はてなブックマーク - 「リスト型攻撃」 新たなプログラム判明 効率的に不正接続か | NHKニュース はてなブックマークに追加

インフラ未経験の私が内定から入社までに読んだ技術書11冊 | Developers.IO

インフラ未経験の私が内定から入社までに読んだ技術書11冊 | Developers.IO

インフラ未経験の私が内定から入社までに読んだ技術書11冊 | Developers.IO

ジョインブログでも書いた通り、今までは主にアプリケーションプログラマとして仕事してきました。 インフラ周りの知識は趣味でAWSを触ったりする程度だったので、クラスメソッドから内定が出てから、「とりあえず勉強しないと!」ということで技術書を読み漁りました。その期間で読んだものをインフラ初心者の目線で紹...

はてなブックマーク - インフラ未経験の私が内定から入社までに読んだ技術書11冊 | Developers.IO はてなブックマークに追加

ランサムウェアの開発者が「身代金を支払わなかった企業のデータを公開するブログ」を作成すると脅迫 – GIGAZINE

ランサムウェアの開発者が「身代金を支払わなかった企業のデータを公開するブログ」を作成すると脅迫 - GIGAZINE

ランサムウェアの開発者が「身代金を支払わなかった企業のデータを公開するブログ」を作成すると脅迫 - GIGAZINE

by Rawpixel 近年、コンピューターに感染してシステムへのアクセスを制限し、データを盾に取って身代金を要求するランサムウェアが世界的に猛威を振るっています。2019年8月に発見された新たなランサムウェアである「Nemty」は、「身代金を支払わなければ、被害者のコンピューターから盗み出したデータをブログ上で公開...

はてなブックマーク - ランサムウェアの開発者が「身代金を支払わなかった企業のデータを公開するブログ」を作成すると脅迫 - GIGAZINE はてなブックマークに追加

GoogleアカウントのセキュリティキーとしてiPhoneも使えるように | TechCrunch Japan

GoogleアカウントのセキュリティキーとしてiPhoneも使えるように | TechCrunch Japan

GoogleアカウントのセキュリティキーとしてiPhoneも使えるように | TechCrunch Japan

半年以上前にGoogle(グーグル)はAndroidスマホをセキュリティキーとして使えるようになる、と発表した。その機能がiPhoneにもやってくる。 Googleは、ジャーナリストや政治家といった常にリスクを抱えるユーザーが、YubicoやGoogle Titan keyのような物理的セキュリティキーを使わなくても追加のアカウントへアクセス...

はてなブックマーク - GoogleアカウントのセキュリティキーとしてiPhoneも使えるように | TechCrunch Japan はてなブックマークに追加

「iPhone」がセキュリティキー代わりに–「Google Smart Lock」アプリに新機能 – CNET Japan

「iPhone」がセキュリティキー代わりに--「Google Smart Lock」アプリに新機能 - CNET Japan

「iPhone」がセキュリティキー代わりに--「Google Smart Lock」アプリに新機能 - CNET Japan

2020年には、2段階認証技術を使ってもスマートフォンユーザーのアカウントをすべてのリスクから完全に保護することはできないだろう。それでも2段階認証は、ある程度の助けにはなる。ユーザーのスマートフォンにテキストメッセージで認証コードを送信するという方法は何もしないよりはましだが、しかしそのやり方では「S...

はてなブックマーク - 「iPhone」がセキュリティキー代わりに--「Google Smart Lock」アプリに新機能 - CNET Japan はてなブックマークに追加

Weekly Report: F-RevoCRM にクロスサイトスクリプティングの脆弱性

シンキングリード株式会社が提供する F-RevoCRM には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、当該製品を使用しているユーザのブラウザ上で、任意のスクリプトを実行する可能性があります。続きを読む

Facebookのレッドチームはいかに世界最大のSNSをセキュアにしているか – ZDNet Japan

Facebookのレッドチームはいかに世界最大のSNSをセキュアにしているか - ZDNet Japan

Facebookのレッドチームはいかに世界最大のSNSをセキュアにしているか - ZDNet Japan

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Facebookは、同社のレッドチームがシステムを攻撃から守るためにどのような活動をしているかについて、その一端を明かした。 巨大ソーシャルメディア企業であるFacebookは、10...

はてなブックマーク - Facebookのレッドチームはいかに世界最大のSNSをセキュアにしているか - ZDNet Japan はてなブックマークに追加

10億件を超える医療画像がオンライン上で公開状態になっているという指摘

Anonymous Coward曰く、

最近の医療機関ではデジタル化が進み、さまざまな医療画像もすべてデジタルで記録・保存されるようになっている。しかし、少なくない医療機関でセキュリティ上の問題があり、簡単にこうしたデータが保存されているストレージにアクセスできてしまうという話がTechCrunchで紹介されている(Slashdot)。

たとえばとあるセキュリティ企業による調査では、7億2000万件以上の医療画像が発見されたという。その2か月後には、流出した画像の数は11億9000万に増加したという。

すべて読む | セキュリティセクション | セキュリティ | 医療 | インターネット | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国のサイバー攻撃集団によるものとみられる医療業界を狙った攻撃、2013年より継続中との分析 2019年08月28日
10万人分以上の健康保険証情報が流出 2015年12月30日
旧高知市立市民病院からWinny経由で過去最大規模26万人の患者情報漏洩 2006年11月04日
医療カルテがネットに流出? 実はマスコミが不正入手? 2007年05月07日

【注意喚起】Citrix社ネットワーク製品の深刻なゼロデイ脆弱性(CVE-2019-19781)での攻撃を確認、今すぐ対策を | セキュリティ対策のラック

【注意喚起】Citrix社ネットワーク製品の深刻なゼロデイ脆弱性(CVE-2019-19781)での攻撃を確認、今すぐ対策を | セキュリティ対策のラック

【注意喚起】Citrix社ネットワーク製品の深刻なゼロデイ脆弱性(CVE-2019-19781)での攻撃を確認、今すぐ対策を | セキュリティ対策のラック

JSOCアナリストの山坂です。 2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり、非常に危険です。 2020年1月11日には、脆弱性を悪用する攻撃コードがインターネット上に公開...

はてなブックマーク - 【注意喚起】Citrix社ネットワーク製品の深刻なゼロデイ脆弱性(CVE-2019-19781)での攻撃を確認、今すぐ対策を | セキュリティ対策のラック はてなブックマークに追加

産業制御システムはハッキング可能?「Pwn2Ownマイアミ」開催直前

トレンドマイクロ運営のセキュリティ研究機関Zero Day Initiative(ZDI)が開催するハッキングコンテスト「Pwn2Own」は、この12年間で大きく成長し、進化し続けています。バンクーバーを拠点とするこのハッキングコンテストは、コンテストの対象がWebブラウザから始まり、現在では仮想化ソフトウェアや法人向けアプリケーションまで扱っています。2012年には、モバイルデバイスも追加しました。以降、さらにさまざまなタイプのデバイスを扱うまでに進化し、2019年8月に東京で実施された際には、無線ルータ、Webカメラ、スマートテレビのセキュリティ侵害も扱いました。そして今回のPwn2Ownは2020年1月21〜23日に、産業制御システム(ICS)のセキュリティを扱う「S4カンファレンス」内で開催されます。これは、Pwn2Ownにとってさらなる成長を遂げること、つまり新たにICSをコンテストの対象とすることを意味します。Pwn2OwnでICSを扱うかどうかについては長年議論されてきており、多くの課題に直面してきました。課題を克服するため、Pwn2Ownの主催者であるZDIは、ICS業界の専門家や企業と協力し、ICS製品やプロトコルのセキュリティに関連する意味のあるコンテストを目指し、製品と関連部門の選定に尽力しました。これまでのコンテストと同様、今回も、脆弱性を明らかにし、調査結果をベンダーに提供することで、プラットフォームのセキュリティ強化に努めています。主催者の目標は、これまでと変わらず「脆弱性が攻撃者に悪用される前に修正する」という点に尽きます。

■Pwn2Ownマイアミの詳細

今回のコンテストでは、以下の5つの部門を扱います。

  • 制御サーバ
  • OPC Unified Architecture(OPC UA)サーバ
  • DNP3ゲートウェイ
  • ヒューマンマシンインターフェイス(HMI)/オペレータワークステーション
  • エンジニアリングワークステーションソフトウェア(EWS)

コンテストでは、特定カテゴリ内で複数回入賞した場合に賞品が授与されます。例えば、あるカテゴリで3位に入賞した場合、引き続き賞品を獲得する資格を有することになります。こうしてより多くの分野からのリサーチャー参加を期待しています。なお、コンテストで遠心分離機をハッキングできても、それが賞品として授与されるわけではありません。入賞者には代わりにノート型パソコンが贈られます。コンテスト名「Pwn2Own」の由来である「ハッキング(Pwnage)したものを所有(Own)する」は、この形で保持されます。全体としては、5つの部門の8つの対象製品に25万米ドル(約2,750万円)以上の賞金と賞品が割り当てられます。

以下、対象となるカテゴリおよび製品を賞金と共に説明します。

制御サーバ部門

この部門では、サーバ関連のソリューションを扱います。これらは、さまざまタイプの「プログラマブルロジックコントローラー(PLC)」およびその他のフィールドシステムを介する接続、監視、制御などの機能を提供するソリューションです。多くの場合、分散制御システム(DCS)よりも低コストであり、多様なプロトコルや製品が含む各種サイトで使用されます。制御サーバをハッキングした場合、攻撃者は、関連プロセスを任意の方法で変更することが可能となります。ただしその範囲はエンジニアリングや自動化のスキルでの変更に限定されます。コンテスト対象となる制御サーバは、Iconics社やInductive Automation社の製品になります。

このコンテストは、同部門のネットワーク内に接続された参加者のノート型パソコンから公開ネットワークのサービスへ攻撃を仕掛ける形で実施されます。

制御サーバ部門

例えば、参加者が「リモートコード実行(RCE)」を達成した場合、ハッキングを継続できるContinuation追加ボーナス取得の資格が得られます。そして脆弱性利用により、対象のネットワークサービスやプロセスのセキュリティ侵害に成功し、侵害の影響を受けずに通常操作が継続できた場合、参加者は、追加で5,000米ドル(約55万円)およびMaster of Pwnポイントを5ポイント獲得できます。

OPC UAサーバ部門

OPC Unified Architecture(UA)」は、特定のプラットフォームに依存しないサービス指向のアーキテクチャであり、OPC Classic各仕様における全機能を1つの拡張可能なフレームワークに統合します。このため、ICSでは万能の翻訳プロトコルとして機能し、ほぼすべてのICS製品でさまざまなベンダーのシステム間のデータ送信に使用されます。また、従来型のDCOMよりも強固なセキュリティの設計が施されており、利用者から人気を得ています。この部門では、「Unified Automation ANSI C Demo Server」および「OPC Foundation OPC UA .NET Standard」の2つの製品がコンテスト対象として扱われます。

このコンテストでは、同部門のネットワーク内に接続された参加者のノート型パソコンから公開ネットワークのサービスへ攻撃を仕掛ける形で実施されます。

OPC UAサーバ部門

この部門でも、参加者がRCEを達成した場合、ハッキング継続のためのContinuation追加ボーナス取得の資格が得られます。そしてセキュリティ侵害に伴う影響を受けずに通常操作が継続できた場合、参加者は、追加で5,000米ドル(約55万円)およびMaster of Pwnポイントを5ポイント獲得できます。

DPN3ゲートウェイ部門

DNP3とは、ICSシステムのさまざまなコンポーネント間で使用される一連の通信プロトコルであり、主に北米地域の電力供給網やその他のセクターで使用されています。この部門のコンテストで扱う製品は、Triangle Microworks社のDPN3ゲートウェイ「SCADA Data Gateway」となります。同社のDNP3プロトコルのスタックは、最も広く利用されており、このSCADA Data Gatewayがハッキングされた場合、ICS内の他の攻撃起点として機能したり、エネルギー管理システム(EMS)監視機能を無効にしたりする可能性があります。

このコンテストでは、同部門のネットワーク内に接続された参加者のノート型パソコンから公開ネットワークのサービスへ攻撃を仕掛ける形で実施されます。この部門で対象となる最初の脆弱性はDPN3ゲートウェイ上に存在している必要があります。

DPN3ゲートウェイ部門

この部門でも、参加者は、RCE達成に際し、ハッキング継続のためのContinuation追加ボーナス取得の資格が得られ、追加で5,000米ドル(約55万円)およびMaster of Pwnポイントの5ポイント獲得が可能になります。

ヒューマンマシンインターフェイス(HMI)/オペレータワークステーション部門

ICSに精通している方であれば「Human Machine Interface(HMI)」システムについて聞いたことがあるでしょう。HMIは、ICSのオペレーターによるICS各種ハードウェアコンポーネントの閲覧を可能にします。攻撃者は、HMIを乗っ取ることで、ICSでプロセス上の問題をオペレータが間際まで気づけない細工を施せます。この部門のコンテストでは、Rockwell Automation社の「FactoryTalk View SE」およびSchneider Electric社の「EcoStruxure Operator Terminal Expert」が対象製品となります。Rockwell Automation社のHMIは、製造業で大規模に展開されており、その他のほとんどのセクターでもよく利用されています。Schneider Electric社の製品も複数のセクターで利用されています。

Rockwell Automation社のFactoryTalk View SEを対象にしたコンテストでは、同部門のネットワーク内に接続された参加者のノート型パソコンから、公開ネットワークのサービスへ攻撃を仕掛ける形か、もしくは対象の機器上の不正ファイルを開く形で実施されますSchneider Electric社のEcoStruxure Operator Terminal Expertを対象にしたコンテストでは、対象の機器上の不正ファイルを開く形で実施されます。

ヒューマンマシンインターフェイス(HMI)/オペレータワークステーション部門

HMI部門では、Rockwell Automation社の製品に限り、このセキュリティ侵害に伴う影響を受けずに通常操作が継続できた場合、参加者は、Continuation追加ボーナスにより追加で5,000米ドル(約55万円)およびMaster of Pwnポイントを5ポイント獲得できます。Schneider Electric社の製品はこの条件の対象外となります。

エンジニアリングワークステーションソフトウェア(EWS)部門

HMIと同様、エンジニアリングワークステーションソフトウェア(EWS)も、攻撃者に格好の標的を提供します。EWSを使用すれば、PLCなどの主要な制御機器への直接通信による設定や、担当者ごとの設定が可能になります。EWSを狙った攻撃としては、マルウェア「Stuxnet」の感染事例が有名です。攻撃者は、EWSを狙うことでプロセス自体を変更することもできます。この部門のコンテストでは、業界でよく知られたRockwell Automation社製「Studio 5000」を対象製品としました。

エンジニアリングワークステーションソフトウェア(EWS)部門

■コンテストの詳細と結果について

こうした「Pwn2Own Miami 2020」のルールに関する詳細は、ここから入手できます。

コンテスト結果は、ZDIのブログやツイートを介してアップデートされます。最新の結果は、ZDIのブログに掲載されます。Twitterの「@thezdi」および「@trendmicro」をフォローし、ハッシュタグ「#P2OMiami」にもご注目ください。ICS機器にどれほどのハッキングリスクがあるのかが試される、初めてのPwn2Ownとなります。ここで明らかになる新たな脆弱性利用の手口や攻撃手法を糧に、よりICSのセキュリティが高められることを期待しています。

参考記事:

翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)

Shin Hori on Twitter: “東京大学、「我々は反日勢力に支配されてないのに、支配されてるような印象を与えた」という理由で大澤准教授を懲戒解雇し、ウヨ業界用語にお墨付きを与えてしまう https://t.co/sEtViGi2V8”

Shin Hori on Twitter: "東京大学、「我々は反日勢力に支配されてないのに、支配されてるような印象を与えた」という理由で大澤准教授を懲戒解雇し、ウヨ業界用語にお墨付きを与えてしまう https://t.co/sEtViGi2V8"

Shin Hori on Twitter: "東京大学、「我々は反日勢力に支配されてないのに、支配されてるような印象を与えた」という理由で大澤准教授を懲戒解雇し、ウヨ業界用語にお墨付きを与えてしまう https://t.co/sEtViGi2V8"

東京大学、「我々は反日勢力に支配されてないのに、支配されてるような印象を与えた」という理由で大澤准教授を懲戒解雇し、ウヨ業界用語にお墨付きを与えてしまう https://t.co/sEtViGi2V8

はてなブックマーク - Shin Hori on Twitter: "東京大学、「我々は反日勢力に支配されてないのに、支配されてるような印象を与えた」という理由で大澤准教授を懲戒解雇し、ウヨ業界用語にお墨付きを与えてしまう https://t.co/sEtViGi2V8" はてなブックマークに追加

「差別、許されない」東大特任准教授の解雇に対し、学生が思うこと

「差別、許されない」東大特任准教授の解雇に対し、学生が思うこと

「差別、許されない」東大特任准教授の解雇に対し、学生が思うこと

大澤氏は2019年11月、自身が経営するAI(人工知能)開発会社「Daisy」では「中国人は採用しません」などツイート。さらに、「そもそも中国人って時点で面接に呼びません。書類で落とします」などと相次いでツイートし、「中国人に対する差別」と批判を浴びていた。 東大は1月15日付けのプレスリリースで、大澤氏がSNS上...

はてなブックマーク - 「差別、許されない」東大特任准教授の解雇に対し、学生が思うこと はてなブックマークに追加

警備大手ALSOKが「監視カメラ」無断撤去トラブル | 文春オンライン

警備大手ALSOKが「監視カメラ」無断撤去トラブル | 文春オンライン

警備大手ALSOKが「監視カメラ」無断撤去トラブル | 文春オンライン

警備業界大手のALSOK(綜合警備保障)が、取引先企業の「監視カメラ」をはじめとする機械警備システムを無断で撤去してトラブルになっていることが、「週刊文春」の取材で分かった。 ALSOKは東京五輪のオフィシャルパートナーであり、東京五輪の警備を担う共同事業体をセコムなどと設立している。 「事務所にALSOKの機械...

はてなブックマーク - 警備大手ALSOKが「監視カメラ」無断撤去トラブル | 文春オンライン はてなブックマークに追加

「宅ふぁいる便」サービス終了

昨年1月、オージス総研が運営するファイル転送サービス「宅ふぁいる便」に不正アクセスがありユーザー情報が漏洩する事件があった(過去記事)。同社はシステムの再構築を目指し一時的にサービスを休止していたが、このたび同サービスを終了することが発表されたYahoo!ニュース)。

お客さまに安心してお使いいただけるサービスを将来にわたって提供していくためには相当程度のシステムの再構築が必要であり、再構築に要する時間・費用等を踏まえ総合的に判断した結果、本サービスを終了させていただくことといたしました。

とのこと。別のシステムで運用されている有償サービス「オフィス宅ふぁいる便」についてはサービスは継続される。

すべて読む | セキュリティセクション | セキュリティ | ニュース | インターネット | IT | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 2019年04月10日
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
「企業から閲覧できないWebサイト」トップ3は2ちゃんねる、ニコニコ動画、Gmail 2013年12月12日

東大大学院特任准教授、差別投稿で懲戒解雇 「中国人は採用しない」 – 毎日新聞

東大大学院特任准教授、差別投稿で懲戒解雇 「中国人は採用しない」 - 毎日新聞

東大大学院特任准教授、差別投稿で懲戒解雇 「中国人は採用しない」 - 毎日新聞

東大は15日、ツイッターで国籍や民族を理由とする差別的な投稿を行うなどし、大学の名誉や信用を著しく傷つけたとして、大学院情報学環の大沢昇平特任准教授を同日付で懲戒解雇処分にした。 東大によると、大沢氏はツイッターのプロフィルに「東大最年少准教授」と記した上で昨年11月、自身が経営する会社に関し「中国人...

はてなブックマーク - 東大大学院特任准教授、差別投稿で懲戒解雇 「中国人は採用しない」 - 毎日新聞 はてなブックマークに追加

JVNVU#98141012: 複数の CDN サービスプロバイダが HTTP キャッシュポイズニングの影響を受ける問題

JVNVU#98141012: 複数の CDN サービスプロバイダが HTTP キャッシュポイズニングの影響を受ける問題

JVNVU#98141012: 複数の CDN サービスプロバイダが HTTP キャッシュポイズニングの影響を受ける問題

コンテンツデリバリネットワーク (CDN) は、キャッシュと呼ばれる一時的なローカルストレージを使用して、オリジンとなるバックエンドの Web サーバから集められたコンテンツを配信するプロキシサーバのネットワークです。CDN のキャッシュに対して、無害化処理が行われていない HTTP ヘッダを使用して遠隔から任意のコ...

はてなブックマーク - JVNVU#98141012: 複数の CDN サービスプロバイダが HTTP キャッシュポイズニングの影響を受ける問題 はてなブックマークに追加

翌月払いでの商品購入ができるサービス「Paidy」を悪用した詐欺が発生

Paidy」という、翌月払いで商品購入が行えるサービスを使った詐欺がフリマアプリなどで発生しているようだ(ITmediaTogetterまとめ)。

手口としては、悪意のある出品者が何らかの商品をメルカリなどに出品し、購入者からはメルカリ経由で支払いを受けた上でPaidyで商品を購入して購入者に発送する。このときPaidyへの支払いは行わない点がポイントだ。Paidyを利用した購入では、請求を無視すると商品の発送先住所に請求書が送られる。つまり、購入者に対してはメルカリ上で悪意のある出品者宛に支払いを済ましているにも関わらず、2重の請求が行われることになる。

このトラブルを受けて、Paidyは悪用の恐れがある取引で決済サービスの提供を制限もしくは停止すると発表した(ITmediaの続報)。また、Paidyに対応していた一部通販サイトではトラブルを受けてPaidyの利用を停止する事態にもなっているようだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
フリマアプリの普及でコインランドリーに撮影スペースが設置される 2019年12月19日
NTTドコモのd払い、相次ぐ不正利用を受け利用規約を改定、補償を明記。PayPayも追随 2019年08月30日
フィッシング詐欺被害にあったにも関わらず被害者ではないとして被害届を受理されないという事案 2019年07月24日
悪評の多い香港の通販サイト、DMCA悪用で悪評潰し 2018年06月07日
代金の支払方法が「前払い、銀行口座振込み」に限定されている通販サイトでトラブル多発 2017年12月22日
ゾゾタウンの「ツケ払い」、やっぱり悪用される 2017年08月08日

警備大手ALSOKが「監視カメラ」無断撤去トラブル(文春オンライン) – Yahoo!ニュース

警備大手ALSOKが「監視カメラ」無断撤去トラブル(文春オンライン) - Yahoo!ニュース

警備大手ALSOKが「監視カメラ」無断撤去トラブル(文春オンライン) - Yahoo!ニュース

警備業界大手のALSOK(綜合警備保障)が、取引先企業の「監視カメラ」をはじめとする機械警備システムを無断で撤去してトラブルになっていることが、「週刊文春」の取材で分かった。 【写真】ALSOKが先方に渡したお詫び状 ALSOKは東京五輪のオフィシャルパートナーであり、東京五輪の警備を担う共同事業体をセコムなどと...

はてなブックマーク - 警備大手ALSOKが「監視カメラ」無断撤去トラブル(文春オンライン) - Yahoo!ニュース はてなブックマークに追加

三井住友カード、クレカのデザイン刷新 カード情報を裏面に集約、盗み見防止 – ITmedia NEWS

三井住友カード、クレカのデザイン刷新 カード情報を裏面に集約、盗み見防止 - ITmedia NEWS

三井住友カード、クレカのデザイン刷新 カード情報を裏面に集約、盗み見防止 - ITmedia NEWS

三井住友カードがクレジットカードのデザインを30年ぶりに刷新。盗み見を防止するため、カード番号とセキュリティ番号を裏面に集約した。ネット経由で申し込むと、最短5分でカード番号とセキュリティ番号を発行するサービスも始める。

はてなブックマーク - 三井住友カード、クレカのデザイン刷新 カード情報を裏面に集約、盗み見防止 - ITmedia NEWS はてなブックマークに追加

複数の CDN サービスプロバイダが HTTP キャッシュポイズニングの影響を受ける問題

コンテンツデリバリネットワーク (CDN) は、キャッシュと呼ばれる一時的なローカルストレージを使用して、オリジンとなるバックエンドの Web サーバから集められたコンテンツを配信するプロキシサーバのネットワークです。CDN のキャッシュに対して、無害化処理が行われていない HTTP ヘッダを使用して遠隔から任意のコンテンツを注入する攻撃を HTTP キャッシュポイズニングと呼びます。一度悪意のあるコンテンツを注入されると、将来的に対象のウェブサイトへアクセスする閲覧者の環境で、悪意あるスクリプトが配信、実行されてしまいます。

JVN: 複数の CDN サービスプロバイダが HTTP キャッシュポイズニングの影響を受ける問題

コンテンツデリバリネットワーク (CDN) は、キャッシュと呼ばれる一時的なローカルストレージを使用して、オリジンとなるバックエンドの Web サーバから集められたコンテンツを配信するプロキシサーバのネットワークです。CDN のキャッシュに対して、無害化処理が行われていない HTTP ヘッダを使用して遠隔から任意のコンテンツを注入する攻撃を HTTP キャッシュポイズニングと呼びます。一度悪意のあるコンテンツを注入されると、将来的に対象のウェブサイトへアクセスする閲覧者の環境で、悪意あるスクリプトが配信、実行されてしまいます。続きを読む

ツイッターに差別的な投稿 東大特任准教授を懲戒解雇処分 | NHKニュース

ツイッターに差別的な投稿 東大特任准教授を懲戒解雇処分 | NHKニュース

ツイッターに差別的な投稿 東大特任准教授を懲戒解雇処分 | NHKニュース

東京大学は、ツイッターに差別的な投稿をしたなどとして、所属していた特任准教授を懲戒解雇の処分にしました。 東京大学によりますと大澤特任准教授はツイッターで、去年11月以降に自分が経営する会社では「中国人は採用しない」という趣旨の差別的な投稿をしたほか、ほかの教員を根拠なくひぼう中傷する投稿をするなど...

はてなブックマーク - ツイッターに差別的な投稿 東大特任准教授を懲戒解雇処分 | NHKニュース はてなブックマークに追加

セキュリティー – ネットショップ作成を依頼されたが、分からないことだらけで困っています。|teratail

セキュリティー - ネットショップ作成を依頼されたが、分からないことだらけで困っています。|teratail

セキュリティー - ネットショップ作成を依頼されたが、分からないことだらけで困っています。|teratail

超初心者の質問なので、お手柔らかにお願いします。真剣に悩んでいます。 この度、新規でECサイト作成を依頼されました。海外の顧客であり、当該顧客がシステム開発に関してはど素人で、1ヶ月くらいで作ってよって感じです。ただ、工数に関しては多少融通が効きます。新規回線・新規マシンなど必要経費は事前に稟議を出...

はてなブックマーク - セキュリティー - ネットショップ作成を依頼されたが、分からないことだらけで困っています。|teratail はてなブックマークに追加

ライター用オイル缶の新幹線持込発覚で約6万円の増運賃が請求される事件

Anonymous Coward曰く、

西日本新聞が、新幹線の車両内へのライターオイル持ち込みについて取り上げている。これによると、東海道新幹線に市販の缶入りオイルライター用オイル133mlを持ち込んだところ車掌に注意され、増運賃など含め、約6万円を請求されたとのことで、まことにご愁傷さまとしか言いようがない。

過去にスラドでも「JR、可燃性液体の持ち込みを全面禁止へ」という話題があったが、まさにそのときの懸念通りになった格好だ。

この規則改正は、東海道新幹線火災事件を契機としている。JR各社の他、私鉄やバスでも危険品の手回り品を制限する規則は基本的に同じ。

たとえば、JRの告知による持ち込めない荷物と具体的なJR東日本の旅客営業規則では、別表第4号 危険品がこれに相当し、パンフレットも用意されている。

一時的に判断が揺れたようだが、今回の件で判断は確定したものと思われる。市販の缶のままのであっても「可燃性液体を含む製品」とはみなさず、可燃性液体そのものの携行と判断されるようだ。

記事の主張にもあるように確かに国交省や事業者も周知不足な面があり、マスコミも事件に比べて規則改正に対しては著しく反応が薄い。ガスコンロ用のカートリッジは一定制限内でOKなのに、可燃性液体は単独で存在する場合は一律禁止になっているので、一律禁止と条件付き許容が混在していてわかりにくいこともあると感じるが、この手も話ではある程度仕方がない。

可燃性液体の基準も総務省(消防法)なのか国交省(航空法など)なのか今一つ不明確。列車・バスの管轄は航空機や船舶と同じく国土交通省の管轄だが、トラックの輸送規制と同じであれば消防法となる(フェリーもトラックのまま積み込むなら消防法を準用してOKになっている)。

規則がわかっていれば回避手段を考えるのが王道だが、一律禁止されるものは意外に多いので注意が必要。燃料系では、ライター用オイル以外にもアルコールランプ用メタノール、登山ストーブ用ケロシン、ホワイトガソリン。燃料以外にも、消毒用エタノール、油性ペンキ、うすめ液(シンナー)、ペンキの剥離剤、一部の試薬類など。

例えば、喫煙者は出張時マッチかガスライター携行、カイロは追加燃料の携行不可(燃料の現地調達or使い捨てカイロor電化など)、電車バスでの山行は燃料ガス化or現地調達、特定品目の調達はネット通販活用orご近所or自家用車でのお買い物が安心などtipsが出てきそうです。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
JR、可燃性液体の持ち込みを全面禁止へ 2016年02月20日
リトアニアの空港、乗客から没収した機内持ち込み禁止物品でクリスマスツリーを作る 2019年12月15日
ヴァージンオーストラリア航空、MacBook全モデルの預け入れを禁止 2019年08月30日
京都アニメーションのスタジオで火災、負傷者多数 2019年07月18日

東大、「中国人は採用しません」ツイートの大澤昇平氏を懲戒解雇。「決して許されるものではない」 | ハフポスト

東大、「中国人は採用しません」ツイートの大澤昇平氏を懲戒解雇。「決して許されるものではない」 | ハフポスト

東大、「中国人は採用しません」ツイートの大澤昇平氏を懲戒解雇。「決して許されるものではない」 | ハフポスト

東京大学は公表文で、大澤氏が自身のTwitterアカウントのプロフィール欄に「東大最年少准教授」と記載して(現在は変更済み)、以下の5つの投稿を行ったと認定。東大職員の就業規則に違反したと判断した。 (1) 国籍又は民族を理由とする差別的な投稿 (2) 本学大学院情報学環に設置されたアジア情報社会コースが反日...

はてなブックマーク - 東大、「中国人は採用しません」ツイートの大澤昇平氏を懲戒解雇。「決して許されるものではない」 | ハフポスト はてなブックマークに追加