2018年10月観測レポートサマリー DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントトピック セキュリティインシデントカレンダー ソフトウェアリリース情報 2018年10月観測レポートサマリー 当月もDDoS攻撃やマルウェアを利用した攻撃な…

もっと読む »

曲者に OSS の権限が付与され、悪意のあるコードを埋め込まるような事件をおこさない OSS 権限移譲フローを考えてみました。 TL;DR 基本的に OSS の権限譲渡を 選ばない方 が安全といえそうです。なぜなら、次のように権限譲渡の安全性を担保することはとても難しく、かつ高価につくからです。 代わりに、プロジェクトを…

もっと読む »

データベースのマネジメントといえば phpMyAdmin あたりが有名かと思いますが、インストールが手間だったりセキュリティリスクのことを考慮したりと手間があるものが多いかと思います。 今回紹介する Adminer はタイトルの通りたった一つの php ファイルをアップロードするだけでデータベースの管理ができるので非常にシ…

もっと読む »

初めまして、GameWith のインフラ担当 加我(id:damenaragyouza)です。 GameWith Advent Calendar 2018 の2日目を担当させて頂きます。 ここ最近、外部からの不正なトラフィックによる攻撃が流行しています。 ユーザにサービスを安心して使って頂くために弊社もちゃんとセキュリティを考えていく必要があると感じ、現状の…

もっと読む »

初めまして、GameWith のインフラ担当 加我(id:damenaragyouza)です。 GameWith Advent Calendar 2018 の2日目を担当させて頂きます。 ここ最近、外部からの不正なトラフィックによる攻撃が流行しています。 ユーザにサービスを安心して使って頂くために弊社もちゃんとセキュリティを考えていく必要があると感じ、現状の…

もっと読む »

大阪府吹田市のホームセンターがほぼ全焼。廃棄前のボタン電池から出火したとみられる。ボタン電池を捨てる前にすべきことは? 大阪府吹田市で11月28日、ホームセンター「コーナン千里山田店」がほぼ全焼する火災が発生しました。報道によれば、店舗内の棚に置かれた、廃棄前のボタン電池から出火した可能性が高いことが…

もっと読む »

マイナンバー制度に関する内閣府の世論調査で、カードを取得していないと答えた人は7割に上りました。政府は、引き続き普及に努めたいとしています。 マイナンバーカードについて、「取得しているか、取得を申請中」と答えた人は27.2%だった一方、「取得していない」と答えた人は69.8%でした。 「取得していない」と…

もっと読む »

SecureWorks Japanは11月29日、ユーザー企業のCSIRT(Computer Security Incident Response Team)のレジリエンス(復元力)を評価および強化する「Purple Team(パープルチーム)サービス」の提供を開始すると発表した。 同サービスは、インシデント対応ライフサイクルをベースとしたシナリオを作成して実践的な演習(…

もっと読む »

来年10月の消費増税に合わせて導入される軽減税率で、出版業界は出版物の税率を8%に据え置くよう求めている。ただ、性的・暴力的な表現で青少年に影響を与える本などについては区別するとし、これについては10%への増税を認めるとしている。出版界が自ら規制に乗り出し、表現の自由を脅かすのかと批判も相次いで…

もっと読む »

フリーランスでエンジニアとライティングなどをゆるゆる行っているerukitiと申します。 個人のサークル「東京ラビットハウス」から「Modern JavaScript」「簡単JavaScript AST入門」「JavaScriptで覚える暗号通貨入門#1 Bitcoin完全に理解した」といったJavaScript関連の技術同人誌を単著で発行しています。 この記事で…

もっと読む »

昔だったらさ、屋敷を焼くとか、 蔵から金品を持ち逃げするとかいろいろあったじゃん? でも、いまってなにしたらいいの? 家壊してもたいして痛くないだろうし、 通帳燃やしてもいみないじゃん? 金品も金融資産に比べたら大したものないし、 なんか、なにもできないなー。

もっと読む »

「これさえやればOK」のルール作りが大事:社員に伝えるセキュリティポリシー、理想は居酒屋で語れるレベル――MS澤氏からのメッセージ (1/2) 「会社のセキュリティポリシーを守っていたら、仕事にならない」「使用禁止のツールをどうしても使う社員がいる」――こうした現場とIT部門のせめぎ合いに悩む企業が多い中、日本マ…

もっと読む »

宇都宮市のメールを詐称したなりすましメールにご注意ください 宇都宮市のメールアドレス(アドレスの末尾が@city.utsunomiya.tochigi.jpのもの)を詐称した迷惑メールを無作為に送信する事案が発生しております。一見すると宇都宮市から送信されたメールに見えますが、実際は本市と無関係の第三者が送信したメールです…

もっと読む »

XSS(クロスサイトスクリプティング)はWebシステム開発者としては特に注意していることでしょう。今なお、大事なファイルが平文で保存されていたとか、脆弱性をついてユーザデータをすべて抜き取られたといった問題はXSSによって起こされています。 そんなXSSをチェックできるのがXSStrikeです。XSStrikeを使ってテスト…

もっと読む »

そう遠くない未来、現実化しそうなアニメのワンシーンをヒントに、セキュリティにもアニメにも詳しい内閣サイバーセキュリティセンター(NISC)の文月涼さん(上席サイバーセキュリティ分析官)がセキュリティ対策を解説します。第5回のテーマは「電脳コイル」です。 連載:アニメに潜むサイバー攻撃 サイバー攻撃は、時…

もっと読む »

FSBが出した仮想通貨のレポートに歴代バブル比較グラフあったけど、ビットコインがダントツの世界最大価格幅であったΣ(゚д゚lll) pic.twitter.com/RtX5sGmkmq — 遊撃部長F/S&RWAs (@fstora) 2018年10月14日 テレビでワイワイ取り上げられたところが天井でしたね pic.twitter.com/56S4MmVbvh — 海平 (@kabuman1000) 2018…

もっと読む »

あるAnonymous Coward曰く、JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した(Qiitaに投稿された解説記事、event-stremパッケージに対するチケット、Register、ZDNet)。

このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。
問題のev…

もっと読む »

先日「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコードという話題があったが、はてな村定点観測所の齊藤氏が、起訴されたIPUSIRON氏から直接聞いたという「検察と争わなかった理由」を明らかにしている。

理由の1つとしてPCが押収されて仕事に支障が出ているというものが報じられていたが、それ以外にも氏の母親が病気療養中であり起訴前に亡くなられていたこと、氏が住む地域のコミュニティにこの話が広まって自身や家族が孤立することを恐れたこと、の2つの理…

もっと読む »

iPadが突然、他人のIDで乗っ取られました。 Apple製品は紛失時に他人が使えぬよう「〜を探す」機能でロックできますが、自宅で自分のiPadを使っていたら、突然、見知らぬIDでロック。当然パスワードも知らないので使用不可。 解決策はApple Storeで解除のみだが、購入時のレシートで本人証明必須。1/ pic.twitter.com/VC…

もっと読む »