10月29～30日のtwitterセキュリティクラスタ

もう10月も終わりですね。今月も何とかやり過ごせそうです。

「サイバー攻撃」が今年の流行語大賞に選ばれそうな勢いで使われていますが、受賞するのはやはり中国の人なんですかね。

kitagawa_takuji :サイバー攻撃、２０省庁に　関係者装うメールで感染多発 http://t.asahi.com/4g64

ntsuji :「サイバー犯罪先進国」ってw やられることにかけての先進って意味なんですね。 日本も“サイバー犯罪先進国”に - 過激化するサイバー犯罪：ITpro http://nkbp.jp/vLFnL5

piyokango :“中国軍、米衛星にサイバー攻撃か…米報道 : 国際 : YOMIURI ONLINE（読売新聞）” http://htn.to/pNqVxo

piyokango :“サイバーテロ攻撃。衆議院のネットワークシステムはどこが受注しているのか？: オフイス・マツナガのブログ！（現役雑誌記者によるブログ日記！）” http://htn.to/7URGbW

tdaitoku :Weekly Memo：サイバー攻撃にどう立ち向かうか itmedia.co.jp/enterprise/art…

その他に気になったことはこのあたり。

merio_h :クラウドサービスがはらむセキュリティ問題、Amazonに対する攻撃で実証 - ITmedia ニュース itmedia.co.jp/news/articles/…

risa_ozaki :ソーシャルメディアにパスワードのヒント - 世界のセキュリティ・ラボから | ITpro http://nkbp.jp/sGCnOm #itprojp

piyokango :“【2ch】ニュー速クオリティ:BF3にスパイウェアが組み込まれてることが判明　世界中のAmazonレビューで大炎上中” http://htn.to/LSyG2V

piyokango :「第23回まっちゃ１３９勉強会のTweetまとめ（#matcha139)」をトゥギャりました。 http://togetter.com/li/207116

keijitakeda :これ結構古いデータのようですね。（１年以上前）その後どういった経緯で現状どうなっているかは調査する価値がありそうです。 → WSJによるPhoneID等各スマートフォンアプリ送信情報の整理。よくまとまっている。 http://blogs.wsj.com/wtk-mobile/

ockeghem :Yahoo!知恵袋に『ハッキングについて知りたいのですが…まったくの初心者なんですが一から教えてもらえませんか？』という虫の良い質問（多分悪意はない）があったので、ハッカージャパンを読むように勧めておいた

10月28日のtwitterセキュリティクラスタ

もう10月も終わりですね。暖房の季節になってきました。

今度は「Dolphin Browser」というAndroidユーザーには意外とメジャーなアプリが勝手に情報を吸い取ってたらしいです。

Nanriu :Androidで人気のDolphin Browserを今すぐ消せ！ スパイウェアであることが判明 | ガジェット速報 (6 users) http://goo.gl/RT0sx #androidjp

ere_vellio :Dolphin Browserの件ですが、開発元は、送信されるURLのデータはウェブマガのレコメンドに利用し、保存はしていないとコメントしています。先にもツイートしましたが、問題の機能を削除したというバージョンが既にリリースされており、Android marketで入手可能です

goroh_kun :対応早くてよかったですね。Android向け「Dolphin Browser」でスパイウェア疑惑、開発元は機能停止 - ケータイ Watch k-tai.impress.co.jp/docs/news/2011… via @ktai_watch

syeriru75 :注意！スパイウェア疑惑のDolphin Browserの危険性と対策【Androidアプリ】 - NAVER まとめ matome.naver.jp/odai/213197675… 超ショック！！スマホ普通に使ってた・・・・・・・・・・ブラウザはどれを使えばいいの？

osakaeetoko :念のためiphone版も消したほうが。。。Androidで人気のDolphin Browserを今すぐ消せ！ スパイウェアであることが判明 ggsoku.com/2011/10/dolphi… via @ggsoku

youkoseki :Dolphin Browserの炎上事例で思ったのは、いま「あのAndroidアプリがスパイウェアだった！」と言えば、誰も検証しないまま人気アプリの評判を叩き落とせそうということ。「証拠」作りにxda-developersに適当な投稿をしておけば、まず誰も疑わない。

国土地理院もやられてしもうたようです。ゲートウェイの監視とか通信ログの確認とかしてないんですかね。

shu_tom :SSH Brute force かな。 「国土地理院に不正アクセス　外部攻撃の「踏み台」に:日本経済新聞」nikkei.com/news/headline/…

ockeghem :『今後は事前登録した利用者にしかアクセスできないよう対策』<普通、事前登録した利用者のみにアクセスさせると思うのですが / “国土地理院にもサイバー攻撃か　被害は確認されず - MSN産経ニュース” http://htn.to/Bbf9jz

piyokango :『同院の観測データ用のサーバー１台が外部から「辞書攻撃」と呼ばれるサイバー攻撃を受け、サーバーのパスワードなどの情報を盗まれていた』 / “国土地理院のサーバーに“辞書攻撃” : 社会 : YOMIURI ONLINE（読売新聞）” http://htn.to/LY4tzj

日本だと電波法的に個人では無理かと思ったのですが、実は5キロ届くAP（とアンテナ）が売られてたりするのでそっちを買うのがいいと思います。

871s :最大2.4km！　隣の山まで飛ぶ無線LAN : ギズモード・ジャパン - http://j.mp/vX0BhA

その他に気になったことはこのあたり。

cchanabo :ちょ、吹いた RT @Raemiel: これで @maruchan_MM の20年の衣装史が分かりますｗ→マカフィー、1990年から2010年までのマルウェアの歴史を紹介 http://ow.ly/7bqlk

hirotan1975 :【特集】相次ぐ情報漏えい、セキュリティ対策を見直すポイント :ソフトバンク ビジネス+IT http://bit.ly/ukvSQ5

bakera :[メモ] 徳丸本裏話。そんなイメージでしたか。w d.hatena.ne.jp/ockeghem/20111…

kim_upsilon :めも / DNS/キャッシュ毒盛/危険な大手サイト - moin.qmail.jp moin.qmail.jp/DNS/%E3%82%AD%…

beyondDNS :最近確認したドメインもいずれ追加の予定。この警告で対応してもらえるといいが、期待はできませんね。(情報拡散希望)

ten_forward :THC-SSL-DoSってのが少し話題だったので調べているけど，ずっと以前から知られていた事だと書いてある．実証コードは手元のApache2.2では動かないが，"自分のスキルで改造してテストしろ"と出てくる．どのくらいの脅威があって，どう対処すれば良いのかイマイチ...

ten_forward :@ten_forward 解説が書いてあるページを見てるけど，帯域と攻撃側のCPUパワーが貧弱でもそれなりにサーバに負荷が与えられるってだけかな．普通にDoS出来る場合はそっちを選択するかな? 普通の DoS と違ってそれなりに SSL/TLS に関わる計算は必要みたいだし．

JVN :FFFTP における実行ファイル読み込みに関する脆弱性 http://jvn.jp/jp/JVN62336482/

10月27日のtwitterセキュリティクラスタ

最近話題のスマートフォンアプリのプライバシー問題についてよくまとまっている記事です。徳丸さんって普通に顔出ししてたような…

ockeghem :“スマホアプリとプライバシーの「越えてはいけない一線」 － ＠IT” http://htn.to/BKeTCN

rocaz :徳丸さんの素顔って初めて見た気がするなあ(笑) / スマホアプリとプライバシーの「越えてはいけない一線」 － ＠IT http://j.mp/vLQdcu

生徳丸さんをご覧になりたい方はこちらに行けばいいようですね。

ockeghem :基調講演担当します / “事例にならうサイバー攻撃対策セミナー ～グローバル視点での情報セキュリティガバナンスの必要性～ ｜KCCS” http://htn.to/LXFrW4

そして、学問の秋ということで他にも興味深いセミナーや講座が開催されています。

ymzkei5 :ご好評につき11月17日(木)にも追加開催らしい。LAC無料セミナー。＞■第2回 情報流出緊急対策セミナー～今、セキュリティをとりまく情勢はどのように変化しているのか～ | LAC　lac.co.jp/event/20111028…

tomofumi0406 :自宅警備員だし、とりあえず申し込んでおこうかな。 / 情報セキュリティ大学院大学秋季公開講義（富士通総研寄付講義） iisec.ac.jp/event/20111115…

「DNSの浸透が遅れている」と「メールがロストした」は今では通用しない言い訳になったと思うのですがどうなんでしょう。

ymzkei5 :■なぜ「DNSの浸透」は問題視されるのか : Geekなぺーじ　geekpage.jp/blog/?id=2011/…

もう電話として使ってないiPhone3GSでもショートメール見れて便利、と思ってたのですが、ちと怖いです。

ymzkei5 :何これ怖い。iOS5。＞■iMessageを使って、SMSの盗み見が比較的簡単にできてしまう気がする - Togetter　http://togetter.com/li/205259

AVTokyoだから会場でかくなったんですねー。

hasegawayosuke :d.hatena.ne.jp/tessy/20111027… 裏AVの話。

このサイトからだと読んでもらいたい人に届かない気がするんですよね。

JSECTEAM :セキュリティをマンガで簡単に解説した「斉羽家のセキュライフ!」 を公開しました。斉羽 飛鳥 (さいば あすか) は、コンピューター大好きな高校一年生。斉羽家の人々とセキュリティについてマンガで学んでいきましょう。 http://bit.ly/ucOLoO #JSECTEAM

その他に気になったことはこのあたり。

piyokango :『約１０公館で発見されたウイルスは「バックドア・エージェントＭＯＦ」。』 トレンド製品使ってるんですかね。登録日は9/12。about-threats.trendmicro.com/malware.aspx?l…l…[大使館] / “在外公館感染、送信先は中国…スパイ活動か : 社会 …” http://htn.to/KJBHzF

piyokango :“New DoS tool overloads SSL servers with ease | Security - InfoWorld” http://htn.to/juNJQr

HiromitsuTakagi :FriendAppも中止されていない。中止するべき。なぜなら、FriendAppの利用者は、自分で公開用に選んだアプリの情報（インストールの有無）が送信されるだけだと思って使っているが、実際には他のアプリ全部が送信されるし、起動履歴まで抜かれることには、通常、気付けない。

kuno_ichi :韓国のサイバー攻撃を米軍が発表するという事実。 中国のアドレスで攻撃か　サイバー攻撃で北朝鮮 - 47NEWS（よんななニュース） 47news.jp/CN/201110/CN20… #IT #security

kjur :日記書きました：自堕落な技術者の日記：W3C XML暗号化の脆弱性に対するW3Cのコメントに「ちょっとなぁ」と思った件 blog.livedoor.jp/k_urushima/arc…

10月26日のtwitterセキュリティクラスタ

いろいろ足掻いていましたが、結局AppLogのサービス終了だそうです。出資元にはしご外されちゃったんですかね。

yoheikiguchi :遅くなりましたが、ミログ社重大発表| AppLogSDKサービス終了のお知らせ milog.co.jp/news/2011/10/a…　#applog

typex20 :#applog Evernoteのクリップ / “AppLogSDKサービス終了のお知らせ（2011年10月26日）” http://htn.to/k7gogP

yoheikiguchi :ミログは、今後もアプリ情報の可能性を追求し、アンドロイドの発展、ユーザー体験の向上に貢献していきたいと考えております。アンドロイドユーザーの皆様には、ぜひともアンケートへのご協力お願いいたします。http://surveymonkey.com/s/VZBVYCR #applog

takunoshin :誰がこれ以上情報渡すかよ！ RT @rono23 @HiromitsuTakagi 終了のお知らせですね。gyazo.com/9f48042245e72b… #applog

結局全員分やられてたみたいで、何考えてるんでしょうね。

hkunimitsu :全衆院議員のパスワード盗難か　管理者権限で操作 asahi.com/national/updat… ありえないな… 国家機密も何もあったもんじゃない…

これが事実だとすると困ったものです。

officematsunaga :衆議院議員会館へのハッカー攻撃。実はこれは、1ケ月以上もまえに発覚したものだが、衆議院事務局も、官邸も、経産も、対応してこなかった。たまりかねてＮＴＴが朝日新聞にリークしたという顛末。注意したいのは、ただウィルスに感染したというだけでなくて、すでに、常時監視されている点。

遊びか遊びじゃないかは主観的な問題で、パスワードが盗まれて中国に送られていた事実は変わることではありませんので、こういう論理で事件を矮小化しようとする動きはあまり感心できませんね。

furumai_yoshiko :もし一部報道のように中国からなら、目的は「ただ」のハッキングのような気が。中国をかばうんじゃなくて、そういう「遊び」延長のハッキングが蔓延してんねん、ここでは。 @clione @masanork @seshimo衆院議員のパスワード盗難 http://bit.ly/svX4yV

kitagawa_takuji :三菱重工、ハッカーによる情報窃盗を認める|セキュリティ・マネジメント|トピックス|Computerworld computerworld.jp/topics/563/%E3… via @computerworldjp

サイバーテロとかスパイとか何も考えていない人たちは多そうなので大使館とか捜索するといろんなものに感染してそうです。

kitagawa_takuji :在外公館コンピューター、サイバー攻撃でウイルス感染　国際ニュース : AFPBB News afpbb.com/article/disast… via @afpbbcom

AVTokyoのスピーカーが決まってきたようです。なんか今年は本格的なカンファレンスっぽくなってきました。

_kana :ところで！AVTOKYOがプレスリリースをだしました！詳細はぜひこちらで！ja.avtokyo.org/avtokyo2011/ne…

BINDのキャッシュポイズニング的な話はたまに聞きますが、それ以上にDNSには危ないことがあったりするのでしょうか。知りたいところです。

ockeghem :惨状以前の話として関心がない人がほとんどだと思います RT @qmailjp: @ockeghem web アプリケーション方面の方がどれくらいDNSの惨状をご存知なのか、興味があります。

C10_H14_N2 :アプリケーションレイヤのセキュリティも重要だとは思うのだけど、DNSともなると今のインターネットの構造上、そもそもの信頼性の根底が覆るように思うんだが。DNSの汚染、詐称がまかり通ると無法地帯ですしおすし。

その他に気になったことはこのあたり。

KenjiTsukagoshi :これは非常に興味深い。セキュリティ担当者が会社の不正を発見した場合どうするべきなのか。 / “エフセキュアブログ : 内部犯行 vs 内部告発 -- 内部情報流出をどのように捉えるのか” http://htn.to/ypJSku

kinyuka :ブログ書きました。まぁ、こんな変なハックをするのは僕くらいでしょうヽ(´ー`)ノ「Tomcatなど、Java製のサーバでBEAST対策を行う方法」 http://ow.ly/794BI

jpcert :こんにちは。Weekly Report 2011-10-26を公開しました。^YK jpcert.or.jp/wr/2011/wr1141…

network_1topi :運用者にとっては、IPv6アドレスの短縮表記は確かに弊害かも。短縮表記がログを目grepする際に大きな障害になり、ログを見るセキュリティアナリストにとっては、かえって迷惑になる場合もある。：IPv6、6つの悩み事 － ＠IT http://r.sm3.jp/32Lz #1tp

hasegawayosuke :発見者も脅威低く見積もってて実際その通りだし、これをXSSというのか疑問もあるけど、よい作りでないことは確か。 twitter的localStorage的xss wooyun.org/bugs/wooyun-20…

10月25日のtwitterセキュリティクラスタ

サイバー攻撃っていうか標的型なのかただのウイルスなのかよくわかりませんが、衆議院の議員さんがやられてしもうたことの続報とまとめです。

piyokango :何となく書いてみました。 ／衆議院がサイバー攻撃を受けたらしいので記事をまとめてみた。 http://bit.ly/sEQYRu

piyokango :「添付ファイル付きメールが３人に送られ、その内一人が感染していた」と「３人の端末が感染していた」の２つの報道があるのですが、どちらが事実なんでしょうね。

kitagawa_takuji :NHKニュース　サーバー“感染”衆院が対策本部 http://nhk.jp/N3yK5euj 「サーバーの監視を続けているが、不正なアクセスはないと承知している。また、パスワードなどが盗まれたという事実もないと認識している。一部報道で伝えられているような事実は確認しておらず、引き続き

kitagawa_takuji :NHKニュース　衆院サーバー ウイルス感染か http://nhk.jp/N3yK5erz

HyoYoshikawa :「漢字情報」ねえ。//サイバー攻撃　米が対中警戒強化　日本に「漢字情報監視を」 （産経新聞） - Yahoo!ニュース - headlines.yahoo.co.jp/hl?a=20111025-…

XR230 :全衆院議員にパスワード変更要請　サイバー攻撃で議運 t.asahi.com/4e34 ぜひ、28日発売の『PCのウイルスを根こそぎ削除する方法』amazon.co.jp/gp/product/477…　を読んでみるといいかも！！　そもそも感染していたら、パスワード変更しても意味がない。

risa_ozaki :サイバー攻撃に情報共有体制: 国や企業の機密情報を盗み出そうとするサイバー攻撃が相次いでいることを受けて、最新の攻撃に関する情報を国や企業などの間で共有して今後の被害を防ぐ体制が、２５日発足しました | NHK http://nhk.jp/N3yK5fIA

mokez :国会議員のPCにはセキュリティソフトも入ってたしNTTが監視していたそうだけど、それでも全員のパスワードを盗まれて踏み台にもされたんだね。セキュリティが甘いのかハッカーがすごいのか。。。？

いくらシステムの脆弱性が防がれても、人の脆弱性を突かれるとダメなところが多いんでしょうね。

soutou_d :ちなみに、どこだかの銀行を対象に行った、侵入テストで、十分に教育され、訓練された銀行員に対して最も効果を挙げたサイバー攻撃は、「ウィルス入りのUSBメモリを社員駐車場にまいてくる」だったそうである。

kitagawa_takuji :【再】「トロイの木馬」が如何に簡単に受け入れられてしまうかという動画　youtube.com/watch?v=Xs3SfN…

モバゲーにならってセキュリティ診断も最初は無料で、課金アイテムでお金を稼ぐビジネスモデルのお話。タダの部分はちっともうれしくない気がしますが。

ockeghem :まぁ、マジでモバゲーベイスターズは途中までは無料というのアリじゃないかと思うの。すると、一方的な試合だと客が帰っちゃうから、選手は好ゲームになるようにがんばる、と

ockeghem :脆弱性診断も、メールヘッダインジェクションとかセッションフィクセイション（みたいなマイナーで見る場所が決まっている奴）は無料で、XSSとかSQLインジェクションみたいな（量が多くて面倒な奴）は有償にするとか:)

ten_forward :@ockeghem Apache のバージョンチェックは無料です！(嫌がらせ :p)

ockeghem :@ten_forward 奮発して、PHPのバージョンもバナーでチェックしましょう！無料です！！

ymzkei5 :“メールヘッダインジェクションとかセッションフィクセイション（みたいなマイナーで見る場所が決まっている奴）”が見つからなかった場合に、「なーんだ。うちのサイトは比較的セキュアなんだな。じゃあ詳細な診断は買わなくて良いや」と勘違いされても困るのでｗ @ockeghem

ockeghem :@ymzkei5 その時は、適当なXSSを探しますか(^o^)

bakera :@ockeghem @ymzkei5 「適当なXSS」ならすぐに見つかるという圧倒的な自信……! さすがです。

日本でもぜひCTFを。できるなら何らかの形でお手伝いさせていただきたいものです。

_kana :これは国際CTFを運営しないとわからないよ RT @tessy_jp: Please import this! RT @_kana: Secuinside CTFで優勝したPPPとHARUと飲む。フィードバックなど。日本にこのノウハウが入ってこないのが非常に残念。

_kana :WOWHACKERのsecretが今回のCTFを準備したんだけど、攻防戦だったのね。SLAポイントの話とかしてたよ。やっぱシークレットってあたまいいよなー。日本でCTFヘルプしてくれるそうな

その他気になったことはこのあたり。

ockeghem :音楽配信サイトのセキュリティ施策が音質に与える影響については、さらに調査を進める必要がある。例：SQLインジェクション脆弱性が配信サイトにあると、中音域の厚みのない痩せた音になる

kitagawa_takuji :2011年、これまでの事例にみる脅威とその対策　第2回 - 日本のセキュリティチーム - Site Home - TechNet Blogs : blogs.technet.com/b/jpsecurity/a…

roaring_dog :IPA、「標的型サイバー攻撃の特別相談窓口」を開設 - ITmedia ニュース itmedia.co.jp/news/articles/…

kitagawa_takuji :企業 IT セキュリティでハッカーに活躍してもらう方法 - インターネットコム japan.internet.com/webtech/201110… via @jic_news

Fantom_JAC :zipにパスワードかけてメールで送り、すぐさまそのパスワードを二通目のメールで送る手法、なんの意味もないのでやめましょうよ。

security_inci :[JVNRSS] MIT Kerberos 5 KDC に複数の脆弱性 http://bit.ly/vX7qbA

10月24日のtwitterセキュリティクラスタ

秋のサイバー攻撃祭りとかパスワード収穫祭というわけでないですが、いろいろなところで攻撃されたりしたり盛り上がっているようです。

keijitakeda :衆院にサイバー攻撃　議員のパスワード盗まれる http://t.asahi.com/4dwe

dfnt :【Twitterのユーザー名とパスワードを狙った攻撃が相次ぐ、Sophosが注意喚起】 http://j.mp/ruPKLS すごく増えている手口のようなのでお気をつけ下さい。

connect24h :第2の「STUXNET」登場か！？　「Duqu」に要注意！ | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog） http://owl.li/76oQp

kitagawa_takuji :Microsoftの公式YouTubeチャンネルもハッキング被害 - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

risa_ozaki :Anonymous Attacks Child Porn Websites and Publish User Names zdnet.com/blog/violetblu…

kaito834 :2011年10月、アプリケーションサーバ「JBoss」の脆弱性を悪用して感染を広げるワームが確認された。記事からリンクしているコミュニティブログによると、悪用された脆弱性はCVE-2010-0738とのこと。 / “ISC Diary…” http://htn.to/heqpTw

Androidはもう攻撃者に目を付けられてるみたいなのでなかなか家族には使用をお勧めできませんが、だからといってiPhoneにも危険なツールがあるみたいで、ここでやはり昔のMacのように攻撃されないにはWindows Phoneオヌヌメ！とでもなるのかもしれませんが。

jssec_org :企業におけるモバイルセキュリティの憂鬱: スマートフォンやタブレット端末を、企業で利用しようという気運が高まっている。しかし、そこには日本市場特有のセキュリティ対策上の課題がありそうだ | ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

risa_ozaki :モバイル端末のセキュリティ・リスクが急上昇！: サイバー・セキュリティ20+ 件の脅威が増大すると業界識者が予想していたとおり、現状は悪化の一途をたどっている… | CIO ciojp.com/technology/t/2…

Ryo_Shimada :無料通話アプリtangoはけっこうヤバイとの評価急増。http://bit.ly/b0WPxH アップデートすると電話帳リストにあるメアドにかたっぱしから招待メール送っちゃうらしい

nirsoftのツールがライフハックとして紹介される時代になりました。

bizid :#BizID 環境移行に最適──ブラウザが記憶しているパスワードをまとめて書き出す http://bit.ly/nx2kx4

昔編集部にもこの手の電話があったのですが、こういう人たちはなかなか電話を切ってくれず、仕事の邪魔になるので勘弁していただきたいですね。

ockeghem :なぜ「ハッキングされ」たと思ったのだろう / “ハッキングされました。 保存している画像などがハッカーにしられてしまいました。... - Yahoo!知恵袋” http://htn.to/qJCeth

10月22～23日のtwitterセキュリティクラスタ

土曜日に私も末席に加わらせていただきました。プリンもモンブランも美味しかったです。あと、ここをご覧いただいてる方もいらしたようで、ありがとうございます。また時間があれば参加させていただきます。

matcha445 :昨日の 内容を纏めていただきました。 ありがとうございます! → 第18回 目覚ましSPと第18回 まっちゃ445勉強会のまとめ ( http://togetter.com/li/204152 ) #matcha445

そして、土曜日のまっちゃ445に参加して、より一層Android端末がほしくなりました。許諾さえさせればやりたい放題なんですね。そして高木先生に発掘されるやりたい放題アプリ群が。

HiromitsuTakagi :三井住友銀行「すまーと収支」の件、私に通報した方曰く、「三井住友銀行のアプリということで信用してダウンロードしたが、気持ち悪くなって使うのをやめた。許諾画面も出なければ、パーミッションも異常。扱う情報が収入とか収支だけに嫌。キャンペーンに応募すると口座と紐付けられかねない。」

HiromitsuTakagi :「アプリ探し」の件、「端末識別情報は何の目的で収集しているのですか？サービス内容からは必要とは思えません。」との指摘に対して、開発・提供元は理解していない様子。 twitter.com/clinks_apps/st…

HiromitsuTakagi :カレログ2は、ちゃんとプロセス・サービスの停止ができるようになったようだな。最初のバージョンでは、停止させても、（本格的なスパイウェアの如く）再び起動するようになっていたが。

金曜日の完璧なWAFの続き。勉強会が開かれるなら参加したいです。

kinyuka :僕のアンテナではずいぶん違う評判ですが、、、まあ触ったことないですが RT @ockeghem: @MasafumiNegishi シグネチャの調整が、過剰でもなし、足りないわけでもなし、でちょうどいい感じです。導入後のチューニングのコストが低いですね

ockeghem :@kinyuka @MasafumiNegishi 私は結構評価で使いましたが、ラボでの評価と実運用の評価が分かれるという可能性はありますね。思い当たるフシもありますが、ここでは書きませんw

MasafumiNegishi :@ockeghem @kinyuka 「完璧なWAF」勉強会とかやったら楽しそうですね。場所はいつでも提供しますよ！

hasegawayosuke :@MasafumiNegishi @ockeghem @kinyuka 参加したい！

その他気になったことはこのあたり。

risa_ozaki :モバイル端末のセキュリティ・リスクが急上昇！: サイバー・セキュリティ20+ 件の脅威が増大すると業界識者が予想していたとおり、現状は悪化の一途をたどっている… | CIO Online ciojp.com/technology/t/2…

kaito834 :2011年10月、アプリケーションサーバ「JBoss」の脆弱性を悪用して感染を広げるワームが確認された。記事からリンクしているコミュニティブログによると、悪用された脆弱性はCVE-2010-0738とのこと。 / “ISC Diary…” http://htn.to/heqpTw

kazy0021 :ふと、昨日のISSA CISOフォーラムで講演したSANSの人の言葉を思い出す。「APTの意味は判るよね？ Chinaって読む！」

10月21日のtwitterセキュリティクラスタ

今日はまっちゃ445にお邪魔させていただきますよ。会場の隅っこでスーパーハカーの皆さんに囲まれて小動物のようにプルプル震えていますが、いじめないでスルーしてください。

サイバー犯罪時代の情報漏えい対策セミナーというセミナーが開催されました。みんなヒマだったのか、この手のセミナーにしては珍しく基調講演やWAFや新しいタイプの攻撃の話題が実況されると妙にTLが盛り上がっていました。#新しいタイプの攻撃を新しく変化させよう ハッシュタグも作られたりしてましたね。

ockeghem :三輪さんの基調講演が「ハコモノに頼ってきたこれまでの対策では新しい攻撃には対応できません」なのに、その後がハコモノの宣伝のような / “サイバー犯罪時代の情報漏えい対策セミナー【2011/10/21開催】:ソフトバンク ビジネス+IT” http://htn.to/PwLqN7

ten_forward :@ockeghem きっとハコに入ってないのでしょう．:-p

ockeghem :@ten_forward 簡易包装と称してレジ袋に入っているとかw

MasafumiNegishi :Webアプリの脆弱性対策について。「(1) 脆弱性を作らないセキュアな開発、(2) 脆弱性検査、(3) WAF/IPS、の3つが必要。」「私は完璧なWAFができると思っています。」「最新のパッチを即時適用なんて無理です。誰もやってません。」 > いい感じです！

ockeghem :まさかの「完璧なWAF」 RT @MasafumiNegishi: Webアプリの脆弱性対策について「(1) 脆弱性を作らないセキュアな開発、(2) 脆弱性検査、(3) WAF/IPS、の3つが必要。」「私は完璧なWAFができると思っています。」「最新のパッチを即時適用なんて無理

ockeghem :完璧なWAFまだぁ～d.hatena.ne.jp/ockeghem/20100…

hasegawayosuke :location.hash 使った DOM based XSS みたいにネットワーク上を流れないものは、現状でWAFと呼ばれるタイプの機器では絶対防げないよね。

ハッシュちゃんねる 新しいタイプの攻撃を新しく変化させよう
http://hashch.info/tag/%E6%96%B0%E3%81%97%E3%81%84%E3%82%BF%E3%82%A4%E3%83%97%E3%81%AE%E6%94%BB%E6%92%83%E3%82%92%E6%96%B0%E3%81%97%E3%81%8F%E5%A4%89%E5%8C%96%E3%81%95%E3%81%9B%E3%82%88%E3%81%86

さすがにアップルストアで売られることはないんでしょうけど。

connect24h :PC横に置いたiPhoneをキーロガーに、ジョージア工科大学の研究成果が話題に | 携帯 | マイコミジャーナル http://owl.li/74cFO

jssec_org :スマートフォンでキーボード入力の内容を傍受――米研究チームが実証 | ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

その他に気になったことはこのあたり。

tshimojo :もう脆弱(惰弱)性が…。 RT @computerworldjp セキュリティ専門家が指摘、「iPhone 4Sの『Siri』に脆弱性あり」 http://ow.ly/1ff4Fo

touch_lab :iPad 2ユーザーはご注意?ロック画面にパスコードを迂回できるバグがみつかる - http://bit.ly/naGZiM

HiromitsuTakagi :三井住友銀行公式アプリ「すまーと収支」（アプリ内容はどうでもいいもの）が要求するpermission「現在地（基地局、GPS）」「完全なインターネットアクセス」「SDカードのコンテンツを修正/削除する」「電話/通話」「写真と動画の撮影」「実行中のアプリケーションの取得」

ScanNetSecurity :定番ソフトの脆弱性を悪用する標的型攻撃が多数発生--JVN登録状況（IPA） http://lb.to/prhTjH @ScanNetSecurity

kinugawamasato :はてなのDOM based XSS防止のjs、location.hrefを書きだすようなブログパーツは大抵が属性中に書きだすものだと思うので<>除去だけでは明らかに保険としても不十分だとおもう。#'onxxx=alert(1)//とかで詰む

mikamiyoh :巧妙手口について書きました／ネットバンク不正送金から身を守る５つの対策 : : YOMIURI ONLINE（読売新聞） http://ow.ly/74n9N

shingoym :OpenIDがオワコンかどうか確認できるイベント > 12/1（木） 「OpenID Summit Tokyo」 開催。次世代のインターネット・アイデンティティ、Web API、トラストフレームワークのトレンド #openid_tokyo http://event-info.com/openid/

typex20 :メモ。Androidのセキュリティを勉強する会の公式HP。（予定地） / “securedroid.org” http://htn.to/9QU6tm

FSECUREBLOG :世界中の技術者とセキュリティスペシャリストを目指しませんか？: エフセキュアは、フィンランドで1988年に産声を上げて以来、23年にわたりセキュリティに取り組んでいる業界の老舗で、世界規模でセキュリティサービスを提供していま... http://bit.ly/qAmDGg

rocaz :少しモバイルに詳しい系一部のクラスタはIMEIなんて元々公開されるから今更の話だと反発し、セキュリティクラスタは名寄せやかんたんログインの危険性を重視する。それぞれ違うレイヤーの話をしているんだよねえ、で今問題になっているのはL7でIMEIなどの固定IDを流す話でL2以下では無い

taguchi :あなたは何問わかる？HTML5に関するクイズに挑戦してみよう！ - http://bit.ly/qaCX5I via @taguchi

kKimitomo :こんなバイトもあるのか (´∀｀)ﾍｰ 県から委嘱の「学生ネット警備員」無断複製を通報: http://bit.ly/mWi0GT

10月20日のtwitterセキュリティクラスタ

iPhone4Sいじってる間にもう10月も下旬です。

Facebookのパスワードが流出したそうです。一応ぼくもアカウント持っているので心配ですね。

kKimitomo :Σ（￣■￣；）！！ Facebookのパスワードが1万件以上流出の恐れ、真偽は未確認 http://nkbp.jp/oJT5fK 今後の情報も要チェック！

piyokango :1万件のクレデンシャルと思われる情報は「Team Swastika」というグループがPastebinに投稿したものだった模様。http://pastebin.com/u/TeamSwastika(既に該当のものは削除済) / “Over 10,000 Face…” http://tn.to/ctwiP2

今朝になってまたまた復活したようです。また新しい脆弱性が見つからなければいいですが。

ymzkei5 :イケメン ウイルス相談員コンテスト http://ikemen.try-cloud.jp を表示すると、認証を求められるように。・・・イタズラし過ぎたせいでアク禁を食らった？！と一瞬焦ったが、全体的にかかっている予感。

徐々にスピーカーも見えてきて、AVTokyo楽しみですね。

hasegawayosuke :@s_hskz さん、@amachang と3人でブラウザの話とかやります！ #avtokyo ja.avtokyo.org/avtokyo2011/sp…

amachang :はせがわさんとほしくずさんと、 AVTokyo でお話しするお！ http://htn.to/wamXsN

hasegawayosuke :ついに amachang がAV出演！ RT @amachang: はせがわさんとほしくずさんと、 AVTokyo でお話しするお！

自分の経験でいうと、だいたいこういうときはチケットが…

PacSecjp :PacSec2011 Agenda updated. early registration price period being extended to Oct21. アジェンダ公開。早期割引価格の登録期間を10月21まで延長しています http://pacsec.jp/register.html

以前からSLでもネットゲームでもあったと思いますが、仮想空間内でのソーシャルというわけですか。子供は簡単にパスワードを教えてしまうようなので親御さんは注意しておく必要がありますよね。

chisei :パスワードの重要度を認識していないと教えちゃうのかも。『８人はサイト内で会話ができる機能で「通貨を増やしてあげる」と別の会員に持ちかけるなどして、パスワードを聞き出していたという。』 / “asahi.com（朝…” http://htn.to/8xPvuR

mincemaker :「罪悪感がない」「親のインターネットへの知識がない」「盗んだパスワードなどを同級生に教えて被害が拡大した」などの特徴があったという。 mainichi.jp/select/jiken/n…

閉域網に慣れすぎているのか、どの携帯キャリアも利用者のプライバシーについてはあまり深くは考えてないようで。

momen89en :ミログについてKDDIとしてはどう考えてるのかKDDIのサポートに聞いてみました。下記KDDIからの回答メール主管部署からの回答本件に関しては、各種ログの取得・利活用につきましては、ミログ社から法的な問題はない旨を確認済みであり、当社としてもその認識でございます。

rocaz :とりあえず送った / ドコモ メディアプレーヤーによるIMEI送信に関する公開質問状(予定地) | [ bROOM.LOG ! ] http://j.mp/qRpjVM #docomoimei

三菱重工が踏み台にされたようですが、もうちょっと内部からアクセスできるサイトを限定した方がよかったのでは。

kitagawa_takuji :元勤務先に不正アクセスの疑い　女を逮捕 http://s.nikkei.com/rmzfcv　現在の勤務先である三菱重工名古屋航空宇宙システム製作所（名古屋市）などのパソコンから、2009年11月まで勤めていた健康飲料会社（埼玉県蓮田市）の会員のＩＤやパスワードを使って会員サイトに入り、

その他に気になったことはこのあたり。

ockeghem :ビデオ公開されました。スライド→ http://htn.to/8KtHi8/ “徳丸 浩 - Webアプリでパスワード保護はどこまでやればいいか” http://htn.to/KyAwuj

FSECUREBLOG :Duqu - Stuxnet 2: 　今日大きなニュースがあった。 　「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。 　「Stuxnet」のソースコードは世間に出回っ... http://bit.ly/pvZxi5

ockeghem :“「Webセキュリティコンサルティング」導入事例 株式会社JR東日本ネットステーション様｜KCCS” http://htn.to/4Y9XUC

ymzkei5 :KCCSさんの「2011年版 Webアプリケーション脆弱性傾向」をダウンロードさせてもらった。何やらお問い合わせフォームのようなところに記入を求められたけど、この後、「セキュリティ診断いかがっすかー？」とセールス電話が来たりするのだろうか？ｇｋｂｒ

sophosjpmktg :【スパムの脅威】「荷物が大きすぎて・・」「住所が不明で・・・」配達できなかった郵便物を装い添付ファイルにトロイの木馬をしのばす詐欺。 http://wp.me/p120rT-nn1（英語）

sen_u :HTTPステータスコードが新たに追加。428, 429, 431, 511の4つ tools.ietf.org/html/draft-not…

kenji_s :SkypeなどVoIP電話にプライバシー漏えいにつながる問題、ファイル共有の趣味も http://ow.ly/736nE

HarutoJ :情報セキュリティ大学院大学秋季公開講義（富士通総研寄付講義）「クラウドのセキュリティ」開催のお知らせ iisec.ac.jp/event/20111115…

10月19日のtwitterセキュリティクラスタ

寒くてたまんなくなってきました。とりあえずスリッパを購入。

1日経つといろいろ火が付いてDoCoMoのIMEIが大騒ぎになってしまっていました。固有IDを送信することとプライバシーについてのつながりがよくわかっていない人たちが、騒ぎを大きくした気がします。

Izun_sama :「IMEIを送るのが何が悪いのかわからない（ｷﾘｯ）　騒ぎすぎ（ﾄﾞﾔｧｧｧ…）」 とか、笑いを通り越して殴りたくなるレベル。 RT @ChihiroShiiji: #IMEI に関してまとめ始めました。 http://togetter.com/li/202536

tamiyata :振り返りの意味も込め。：固有IDのシンプル・シナリオ http://ow.ly/71TlqTwitter / @SheseeTheCrazy

craftgear :IMEIってなにそれ？おいしいの？という人のための何が問題かを解説したわかりやすい記事 http://bit.ly/pa89uN この記事の場合メールアドレスが個人識別のキーになってるわけですが､IMEIが代わりに使えますネ､という話｡

dmp :docomoメディアプレイヤーのカス仕様を悪用することでパーミッションのないアプリでもIMEI取れるね nttdocomo.co.jp/service/develo…

SheseeTheCrazy :偽装可能なHTTP Request HeaderにIMEIみたいな端末固有情報入れて何がしたいんだか。端末固有秘密鍵で署名、docomoの端末認証局でdocomo端末と確認なら分かるけどさ。

suzukis :しかしHTTPヘッダにIMEI載せても認証に使えるでなし、何の意味があるのだろう？

ockeghem :私の疑問もそこです。個人特定ではない、何かの制限に使うとか? 回避されてもよい前提で RT @suzukis: しかしHTTPヘッダにIMEI載せても認証に使えるでなし、何の意味があるのだろう？

suzukis :回避されるの前提でも弱すぎじゃないでしょうか。よくわかりませんね。 RT @ockeghem: 私の疑問もそこです。個人特定ではない、何かの制限に使うとか? 回避されてもよい前提で RT @suzukis: しかしHTTPヘッダにIMEI載せても認証に使えるでなし…

bakera :個人情報保護法2条の括弧書きに「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とハッキリ書いてあるのですが、これを無視する人が多くて困りますね。まあ、そもそも条文なんか読んでいない人が多いのでしょうが。

sophizm :applog「カレログがやられたようだな」 app.tv「フフフ...奴は端末情報垂れ流し四天王の中でも最弱...。」 docomo「UDID？IMEI？よくわかんないけど別にいーじゃんねぇ♪」

MWS Cup 2011というマルウェア解析のコンテストが行われていたようです。観客として見に行きたいです。

m2htd :MWS Cup 2011は①drive-by-download攻撃解析、②侵入解析、③Androidマルウェア解析を90分間で行うコンテストです。 #MWS2011in新潟

m2htd :MWS Cup 2011は、解析の正確性を問うテクニカルコンポーネントと、どう解析したかを夕方に各チーム3分で披露するアーティスティックコンポーネントで評価されます。 #MWS2011in新潟

m2htd :MWS Cup 2011は、6チーム、31名がチャレンジ中。学部生から社会人まで多種多様なチームが全国から集結しています。 #MWS2011in新潟

Akira_Murakami :各チーム凄く真剣にデータを絶賛解析中！MWS Cup 2011　　なんかワークステーションらしきマシンを持ち込んでいるチームも・・・　#MWS2011in新潟

その他気になったことはこのあたり。

MasafumiNegishi :HITB Magazine Issue 007 Now Available for Download (PDF) magazine.hackinthebox.org/issues/HITB-Ez…

kitagawa_takuji :通常業務再開のご連絡 jp.globalsign.com/information/im… > 通常業務再開したようだが、後日公開するとされていた「米国子会社のウェブサーバへの侵入についての調査結果」jp.globalsign.com/information/im…　はまだのようだ

kitagawa_takuji :NHKニュース　不正送金 ウイルス感染の形跡 http://nhk.jp/N3yE5buI 被害にあった会社の社長のパソコンは、内部の情報を抜き取る性質のウイルスに感染した形跡があるということで、

kinyuka :ブログ書きました。BEAST(Browser Exploit Against SSL/TLS)とは何か - WAF Tech Blog ｜ SaaS型 WAFサービス　Scutum　【スキュータム】http://ow.ly/71QsS

dentomo :11/12（土）　AVTokyoスピーカー（一部）、タイムテーブル - 極楽せきゅあ日記 (id:sonodam / @sonodam) d.hatena.ne.jp/sonodam/201110…

kaito834 :JVN#41657660 関連だと、Androidの「ブラウザ」では Content-Disposition ヘッダで　attachement を指定すると、ダイアログが表示されずに自動的にダウンロードされる挙動があった。Xperia(SO-01B)で確認。関連：BID45048

kitagawa_takuji :フィッシングを処罰対象に、警察庁が不正アクセス禁止法改正案の提出目指す -INTERNET Watch internet.watch.impress.co.jp/docs/news/2011… via @internet_watch

risa_ozaki :【ブックレビュー】自著を語る「サイバー・クライム」福森 大喜: 本書は、昨今テレビや新聞を騒がせているサイバー攻撃の舞台裏をのぞくことができるノンフィクションである。その理由、そして本書の見所について、2011年に起こった主要な… scan.netsecurity.ne.jp/archives/52023…

10月18日のtwitterセキュリティクラスタ

急に寒くなってきました。

ドコモのAndroid端末でおまけに付く音楽再生ソフトでは怪しいヘッダが付くんですね。Android信用できないなあ。

rocaz :つまり偽リンクでちょろっとメディア再生させればC/PはIMEIによる紐付けまで可能になった訳だ。しかもCookieと組み合わせスーパーCookieの出来上がり "メディアプレイヤーがHTTP通信を行う際は以下の拡張ヘッダが付与されます" http://j.mp/nJWr9k

rocaz :IMEIは契約時に確実にキャリアに把握される。C/Pが自由に入手できるとなると、キャリアは契約情報に加えてC/Pからより詳細な属性情報も取得できるしC/Pにしてもより確実な個人情報と結べることにもなる。更に端末に依存し一切変化しないので究極のスーパーCookieとなる

rocaz :IMEIは端末に紐付くので例えばこれをDRMの根拠にすると、ライセンスの端末間移動や契約時変更は不能になる。更には中古端末の場合へたな認証に使って以前の持ち主情報漏洩は当然にして起こるだろうね。と考えると果たしてIMEIを何に使わせたいのかドコモのエンジニアは馬鹿揃いか

盗まれたら新しく作ればいいじゃない、カード使われたら保険でお金返してもらえばいいじゃないという、ケンチャナヨ精神で気にしなければ、大丈夫、問題ないということですか。

F0ro :これが慣れってやつですかね。日本も順応？早そう 「UK、人工の7%（400万人）がID窃盗の被害にあうも、無関心なまま」　/ Survey: '4 million' Brits stung by ID theft theregister.co.uk/2011/10/17/nat…

HironobuSUZUKI :似たようなのでは韓国はあとちょっとで人口の２倍を越える個人情報流出（延べ数）なんだけど、どう見ても「これが慣れってやつですかね」という状態になっている。 twitter.com/#!/HironobuSUZ… @F0ro

F0ro :人口の２倍！桁違い。これがケンチャンナヨの精神なのかな

水道使用量測るのに中に入る必要があるから暗証番号持ってるわけですね。

kitagawa_takuji :#mycomj 大阪市水道局、マンションの暗証番号など個人情報流出を発表 journal.mycom.co.jp/news/2011/10/1…　「つこうた」

残念なことにすでに申し込みは締め切られた模様。

zegenvs :ハッカーニュースのミートアップが中目黒であるのか　行ってみようかな　http://j.mp/r3TT52

乱数表の数字入力させるフィッシングに引っかかったらもはや乱数表は意味ないんですね。

tetsutalow :ほんと増えてますね。引っかかる人がわずかでもいればかなり儲かるからどんどん増えそう。乱数表はそろそろ辞めるべきじゃないかな。せめて使い捨てパスワード系。 / “ネットバンキングの乱数表を入力させるフィッシング詐欺に注意 -INTERN…” http://htn.to/wSQvUp

kjmkjm :ネットバンキング：不正引き出し２億８０００万円被害（毎日） mainichi.jp/select/today/n… 「１３３件、被害額約２億８０００万円」。明日になれば警察庁から資料が公開されたりするんだろうか。

その他気になったことはこのあたり。

kitagawa_takuji :2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?－ ＠IT情報マネジメント atmarkit.co.jp/im/cits/serial…

kitagawa_takuji :NHKニュース　無関係のＰＣ「踏み台」にアクセス http://nhk.jp/N3yE5bTV 悪用されたパソコンの中にはウイルス対策ソフトを導入していなかったために２５００種類以上のウイルスに感染していたケースもあった

tamiyata :直球のセキュリティネタ／せかにゅ：「iPhoneのFind My Friendsで妻の浮気発見」の書き込みが話題に - ねとらぼ http://ow.ly/70uA5

occhie3 :【情報セキュリティ対策】経産省/JNSA主催「中小企業向け指導者育成セミナー」～ケーススタディーによる実践型研修～新潟は11/25(金)NICOプラザにて開催。参加費無料ですぜひご参加ください！申込みは→ http://ow.ly/6Zi26 #security #ngt

sachikoy :国家レベルのサイバー攻撃も、普通に普通に手段の一つとして検討される時代… NYTimes: U.S. Debated Cyberwarfare in Attack Plan on Libya http://nyti.ms/qEZZPs

rocaz :某関西芸人さんの携帯電話番号やドコモのメルアドが漏れてますねえ。どうやらDMと間違えてツイートしちゃった模様・・

hasegawayosuke :JPNIC News & Views vol.896 「セキュリティ人材育成について」 by @takuho_kay #spcamp #itkeys nic.ad.jp/ja/mailmagazin…

10月17日のtwitterセキュリティクラスタ

もうそろそろ年末が近づいてきたのか、まとめが始まっていたりしますね。

JSECTEAM :ブログを公開しました。　「2011年、これまでの事例にみる脅威とその対策　第1回」　http://bit.ly/nni5rk　　#JSECTEAM

「DDoS撃たずにホームラン打とう！」とか「そうだ、root、取ろう」とか、秀逸なのが出てくることを期待しています。

bootheca :近々、「オトナの情報セキュリティ標語コンテスト」を始めます！ご期待ください。／「第7回IPA情報セキュリティ標語・ポスターコンクール」受賞作品決定 http://bit.ly/pOZ4j8

これはひどい。

kitagawa_takuji :Security researcher threatened with vulnerability repair bill scmagazine.com.au/News/276780,se…退職年金管理会社のWebサイトにおいてURLの文書IDをインクリメントするだけで他人の年金報告書が見れて 　(続
kitagawa_takuji :続）他人の年金報告書が見れてしまう脆弱性を報告した技術者（報告は対象企業のみで公開はしていない）が、警察に通報され、回復に関わる費用の請求をほのめかされ、データを完全に消去したかPCを監査することを要求され、アカウントをサスペンドされる。

その他に気になったことはこのあたり。

itsec_jp :[Bot] #ITSec_JP チェックしておきたい脆弱性情報＜2011.10.18＞（CSIRTメモ） http://goo.gl/fb/uiPS5

risa_ozaki :サイバー攻撃～狙われた防衛関連企業～ | 企業法務ナビ http://j.mp/mXkRq3

NobMiwa :講演資料やっとできた　10/21 グループ企業におけるセキュリティ最新動向～運用重視のセキュリティ対策への進化～ 　sbbit.jp/eventinfo/1271…

msaitotypeR :ちょっと前の記事ですが。「東日本大震災に関連したセキュリティ事件」 wirelesswire.jp/Close_Up_Techn…

ScanNetSecurity :「EC-CUBE」に個人情報漏えいの脆弱性、ユーザにアップデートを呼びかけ（IPA） http://lb.to/qfzUsN @ScanNetSecurity

bakera :JVNに出ましたね。JVN#41657660 「iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性」 jvn.jp/jp/JVN41657660…

expl01t :itmedia.co.jp/enterprise/art… ←に続報というかなんというか．．．読者から寄せられた「追加の情報」ってのが何で，どういう主張だったのか気になる．Reading: ハッシュ値の有効性　ITに疎い裁判官が起こした問題 itmedia.co.jp/enterprise/art…

MasafumiNegishi :週末のOccupyLSX(ロンドン)にWikiLeaksのアサンジがVの仮面で登場。Julian Assange shows up at Occupy London wearing an Anonymous mask http://tnw.co/o9X467

kitagawa_takuji :東京のデモでもVの仮面の人がいたようです。TBS報道特集で映っていました。"@MasafumiNegishi: 週末のOccupyLSX(ロンドン)にWikiLeaksのアサンジがVの仮面で登場。

ScanNetSecurity :海外で初快挙、HITB2011CTFで日本人チーム「sutegoma2」が優勝 http://lb.to/r2ydLe@ScanNetSecurity

kohgaku :【I/O11月号】祝！35周年！高木浩光氏特別インタビュー「ウイルス作成罪」成立とその周辺 http://on.fb.me/pk5LCN #IOMagazine 【明日発売】【創刊35周年】

typex20 :高木先生の調査能力は凄まじい。。(^_^;) ちなみに、app.tv系のコンテンツアプリ（ http://bit.ly/oW1GGb ）の関連情報に”applog検出アプリ”が表示されているのがシュールだ。Google先生、わかってらっしゃる。。

piyokango :“色んなパスワードが全部同じ奴→ - 勝つる2chまとめブログ” http://htn.to/BYMMFp

10月15～16日のtwitterセキュリティクラスタ

防衛産業はこれからの永遠に狙われ続けるんでしょうね。基本的にはインターネットに接続しなきゃいいと思うのですが、そうもいかないんでしょうかね。

piyokango :“三輪信雄氏インタビュー：低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓 今求められる企業のセキュリティ対策:ソフトバンク ビジネス+IT” http://htn.to/DFZuQp

piyokango :“ASCII.jp：三菱重工ハッキングでも使われた「自動実行」の仕組みとは？｜週刊セキュリティレポート” http://htn.to/qpxQtD

piyokango :『川崎重工には６～８月、少なくとも３回にわたって、ＳＪＡＣ職員や会員企業社員を偽装した標的型メールが送りつけられた。』 / “三菱・川崎重攻撃は同一犯？米サイトに強制通信 : 社会 : YOMIURI ONLINE（読売新聞）” http://htn.to/HSjvVU

Perlの祭典、YAPCで2011で竹迫さんがベストトーク賞2位、徳丸さんが3位だったそうですね。おめでとうございます。

ockeghem :スライド公開しました #yapcasia / “HASHコンサルティングオフィシャルブログ: 10月14日YAPC::ASIA Tokyo2011でトークしました” http://htn.to/8KtHi8

takesako :YAPC::Asia 2011 ベストトーク賞2位の副賞として Mac mini をいただきました。今まで Mac の環境自宅で使ったことなかったのでしっかり活用させていただきたいと思います。ありがとうございます。 #yapcasia yapcasia.org/2011/news/yapc…

ockeghem :日記書いた（ハッシュタグ追記） #yapcasia / “YAPC::Asia Tokyo 2011でベストトーク賞3位をいただきました - ockeghem(徳丸浩)の日記” http://htn.to/H5Xw2c

takesako :もう Lightning Talks の内容が載ってる！！gihyo.jp 相変わらず更新すごい速度だ。。。 #yapcasi gihyo.jp/news/report/01…

1日目の方はこちら。
http://gihyo.jp/news/report/01/yapcasia2011/0001

その他気になったことはこのあたり。

risa_ozaki :「Anonymous」は現在もハクティビスト集団なのか？: 「Anonymous」として知られるインターネット集団のメンバーは、しばしば、政治的ハッカーを意味するハクティビストと言われている。しかし… http://bit.ly/q97A9I via @FSECUREBLOG

HiromitsuTakagi :おお、三井住友銀行サイトと誤認させる偽サイト（日本語）へ誘引するフィッシングのメール（日本語）が（spamフィルタをすり抜けて）来た。偽サイトの eTLD は 8800.org

rocaz :なぜミログはクロか blog.sakichan.org/ja/2011/10/16/…

packet_storm :Mac App Store Man-In-The-Middle / Remote Command Execution http://packetstormsecurity.org/files/105826 #exploit

WoodyTokyo :米 サイバー攻撃の被害公表を　www3.nhk.or.jp/news/html/2011…

WoodyTokyo :ぜひ、国内でもやって欲しいですね。　国内では一般的な分析結果の公表さえも非常に少ないですから。　オーストラリア国防省の標的方攻撃の分析 dsd.gov.au/infosec/top35m…　@WoodyTokyo

nullpopopo :FBで知らない人から友達なりまへんかー？と来る→社名でggr→ぁゃιぃ求人サイト発見→メイドマッサージから卵子提供まであらゆる職種があってﾜﾛｽ←ｲﾏｺｺ ﾟ+.(っ´∀｀)っ ﾟ+.ﾟ

10月14日のtwitterセキュリティクラスタ

大雨です。そういえばオンライン予約したiPhone4Sはちっとも連絡が来やしませんが、なんか混乱しているみたいなので、しばらく放置されるのでしょうかね。

昨夜開催されたAndroidのセキュリティを勉強する会のまとめです。セキュリティ界で最近一番熱い話題なので、たくさんの人が興味を持ってるのがわかります。

roishi2j2 :#securedroid を中心にまとめときました。 http://togetter.com/li/200612

カリスマもいつでも見られるようになるとありがたみは失せてきますね。

kitagawa_takuji :“カリスマ”ハッカー ケビン・ミトニック氏　インタビュー tbs.co.jp/houtoku/plus/2…

実は公開してたのは冗談！嘘でした！っていうのは、脆弱性対応の新境地を切り開いた気がします。

hasegawayosuke :「開発者によると、「DBD::mysqlPP は、ジョークプログラムとして作成されたものであり」 JVN#51216285: DBD::mysqlPP における SQL インジェクションの脆弱性 jvn.jp/jp/JVN51216285…

すばらしいですなあ。

tessy_jp :優勝盾を比較用に13インチマックと並べてみる。ケースに入れた方向が逆で、突き破ってきた。 http://twitpic.com/7059kg

その他気になったことはこのあたり。

kinugawamasato :ぼーっと見てたらSafariのところに@bakeraさんのお名前が載ってて「おっ」と思った http://support.apple.com/kb/HT4999

bakera :@kinugawamasato あーほんとですね。何も聞いていないので、どういう風に対応したのかさっぱりわかりませんが……。

kitagawa_takuji :東京新聞:捜査にスパイソフト　独ハッカーが告発:国際(TOKYO Web) tokyo-np.co.jp/article/world/…

kitagawa_takuji :盗んだ情報悪用し標的型メール　サイバー攻撃で警察庁解析sankei.jp.msn.com/affairs/news/1…　攻撃者は実際に送信されたメールを盗み出したうえで、本文の大半を引用し、ウイルスを仕込んだ標的型メールを作成。実際のメールが送られた約１０時間後に標的型メールを送信していたという。

tiliaceus :Kotaku｜ アメリカ空軍にサイバー攻撃...と思ったら、原因はソーシャルゲームかも？ http://bit.ly/mYw2Qg #ktkjp

kinyuka :ブログ書きました。 SSL BEASTが利用する「選択平文攻撃」をJavaで実行する方法 - WAF Tech Blog ｜ SaaS型 WAFサービス　Scutum　【スキュータム】 http://bit.ly/nKKOWv

10月13日のtwitterセキュリティクラスタ

HITBセキュリティカンファレンス2011のCTFでチームステゴマ２が見事優勝したそうです。おめでとうございます！　ということでツイートで優勝までの軌跡を振り返ってみます。

sutegoma2 :Arrived at KL! #HITB2011KUL

HITBSecConf :#HITB2011KUL CTF Tower of Hackf00 Madness is about to begin!!!

kuroneko_stacy :CTF はっじまーるよー♪

tessy_jp :after 1hr , no team solved #ctf #HITB2011KUL http://twitpic.com/6z2y4b


kuroneko_stacy :現在3位。戦略が難しいルール。

tessy_jp :10-17時で終わると思ったCTFが、なんか夜通し翌日17時までという話らしい。ということであと24時間。体制と作戦立て直し。

tessy_jp :夜通しはなくなったらしい。朝まで中断。なんか終了間際に900点近く？を取って首位で終わっているらしい。部屋にいたので詳細不明。#ctf #HITB2011KUL

tessy_jp :明日は何時スタートだろう？とご飯食べて帰ってきたらCTF再開してるしww ベトナムチームに抜かれて2位に。

tessy_jp :CTF resuming :( sutegoma2 backed now. #HITB2011KUL http://twitpic.com/6zagxw

ucq :1位なう

sutegoma2 :back to 1st #ctf #HITB2011KUL http://twitpic.com/6zbbrz


kuroneko_stacy :2900点の問題やろうと思ったけど、ucqに怒られるから別のにしよう。

rip_ :え、何その点数w一番高い問題は何点あるの？ @kuroneko_stacy 2900点の問題やろうと思ったけど、ucqに怒られるから別のにしよう。

kuroneko_stacy :@rip_ なんか点数あがったり下がったりするんですよ。このゲーム。一番最初に解くと更に50%加算というw　最後に10000点でボーナス出すクイズ番組かよ！とww

tessy_jp :@rip_ 最初100点でだれも解けないと時間でタイムが加算。どこかが解くとそこから減点していく感じ。問題によって上限下限があります。 @kuroneko_stacy

kuroneko_stacy :よし、2625点差！

kuroneko_stacy :昨年は職場でドキドキしてた。今年は現場でドキドキしてる。Crypto解けない (´･ω･`)ｼｮﾎﾞｰﾝ

tessy_jp :sutegoma2として参戦して3年目。優勝できてよかった。今年のHITB CTFは、競技スタイルが変わったというのもありますが、参加メンバーだけでなくサポートやいろいろと応援をしていただいた皆さまのおかげです。

tessy_jp :Congraz! http://twitpic.com/6zmep4


ucq :優勝らしい

_kana :「優勝なう！」by Stacy and all of sutegoma2 team!

_kana :@tessy_jp にすれば６年越しの挑戦ですね。６年前、彼はHITB の CTFエリアをうらやましそうに外からながめてるだけでした。早かったのか長かったのか。目がうるうるしてました

sutegoma2 :Got 1st! Thanks everyone! #CTF #HITB2011KUL http://twitpic.com/6zljkg

こちらもおめでとうございます。アブダビだそうです。

a4lg :まぁふざけたツイートも良いんだけど、少しだけ真面目になって。Black Hat Abu Dhabi 2011 で発表することになりました。Android の root 化と rootkit に焦点を当てたお話です。 #blackhat

a4lg :blackhat.com/html/bh-ad-11/…

こちらはおめでたくない話で、まだ直りきってないみたいですよ。

ymzkei5 :あー。SQLインジェクションは直ったようだけど、XSSは直ってないな。。＞■イケメン ウイルス相談員コンテスト (トレンドマイクロ) ikemen.try-cloud.jp/i_list/detail.…

その他気になったことはこのあたり。

kitagawa_takuji :ネットバンキング：不正引き出し１０００万円　三井住友銀 - 毎日ｊｐ(毎日新聞) mainichi.jp/select/jiken/n… via @mainichijpnews

kinugawamasato :iPhoneにデフォルトで入ってるカレンダーでJavaScriptが実行できるやつiOS 5でfixされてた twitter.com/#!/rickdeaconx…

ockeghem :『説明によればphpmyadminへのアクセスが不正に実施されたとのこと』<不幸な事件だけど、phpmyadminに外部からアクセスできること自体が問題でしたね / “またもOSSプロジェクトが被害に! Wineプロジェクト、不正侵入…” http://htn.to/UjCi5A

mtakeshi :Twitterの設定「他のユーザーがメールアドレスから私を探せるようにする」にチェックを付けてる人は気を付けましょう。

kitagawa_takuji :セレブのメールをハッキング―米ＦＢＩがフロリダ州の男を逮捕 - WSJ日本版 - http://on.wsj.com/qYM8MT 被害者の公開情報を利用してパスワードやセキュリティーチェックのための質問を推測し、被害者のコンピューターに侵入しアカウントを乗っ取った。

10月12日のtwitterセキュリティクラスタ

＠ITの連載が更新され、9月のまとめまとめが掲載されています。http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/10.htmlぜひご覧ください。

またまたまたソニーが侵入されたそうです。殴られすぎてもう痛みなんか感じてないとは思いますが、対応がんばってもらいたいものです。

torikaeru :え！また！(ﾟoﾟ; ？ ソニー、オンラインサービス9万3000件で不正なサインイン | テクノロジーニュース | Reuters http://bit.ly/mPyw32

internet_watch :PSNなどになりすましによる不正ログイン試行、9万3000アカウントを一時停止 http://bit.ly/pjZLwu

niftynews :ソニー9万人超の情報流出か http://nifty.jp/r1zcHF #niftynews

ntsuji :「今回の不正ログインの試行者は、他社のサービスにログインするために使用されているとみられるユーザーID/パスワードの情報を流用し」ってなんでしょ？ http://bit.ly/o6pw9c

ntsuji :「不正アクセスに使われたアカウント情報は「他社から流出した可能性がある」（広報）」だそうですが「自社」からの可能性はないんでしょうかね。 / ソニーのネットサービスに大量不正アクセス - http://s.nikkei.com/nS3WSH

MasafumiNegishi :「今回の不正ログインの試行者は、他社のサービスにログインするために使用されているとみられるユーザーID/パスワードの情報を流用し、当社のサービスに不正にログインを試みた可能性があります。」ユーザーIDってメールアドレスだよね。パスワード使い回しユーザーが被害にあったということか。

MasafumiNegishi :@ntsuji もし自社からだったら、アクセス試行の大半が有効なアカウントと一致するはずなんじゃない? はっきり書いてないけど、多数の試行のうちの一部が一致したように読める。

ntsuji :@MasafumiNegishi そこなんです。なので母数が知りたいなーと思いました。それにしても、わざわざ他社って書く必要もない気がしますｗ

MasafumiNegishi :@ntsuji 「ウチからじゃないんだからねっ！」と強調したかったのでしょうね。

ntsuji :@MasafumiNegishi 行間に（ｷﾘｯ って見えましたｗ

keijitakeda :あーそういうことか。9万３千の有効なID/Passwordがばれちゃったということか。これ日本のメディアダメダメだなぁ。 @kitagawa_takuji ソニーのプレスリリースはマイルドな表現にしようとし過ぎているせいか訳がおかしい。英語版の方を見ないとダメだな

HITBセキュリティカンファレンス2011がマレーシアで開催されています。チームステゴマ２はそこで開催されているCTFに参加されているようで、現在一位だそうです。がんばれー。

tessy_jp :10-17時で終わると思ったCTFが、なんか夜通し翌日17時までという話らしい。ということであと24時間。体制と作戦立て直し。

a href="https://twitter.com/tessy_jp/status/124092606840975360">tessy_jp :夜通しはなくなったらしい。朝まで中断。なんか終了間際に900点近く？を取って首位で終わっているらしい。部屋にいたので詳細不明。#ctf #HITB2011KUL

sutegoma2 :back to 1st #ctf #HITB2011KUL http://twitpic.com/6zbbrz

SynAck Capture Nite 2011という合同勉強会が開催されてました。ツイート見てるだけでも興味深かったです。

smokeymonkey :「「SynAck Capture Nite 2011」tweetまとめ #SynAckCap」をトゥギャりました。 http://togetter.com/li/199782

申し込んでみましたよ。

matcha445 :10/22（土）開催の第18回まっちゃ445勉強会の一般募集を開始します。 右記のURLより申し込み下さい。 http://bit.ly/ma18entry #matcha445

LACの中の人がニコ生に初出演してました。

connect24h :国家の生命線“防衛機密”が流出の危機に！？サイバーテロ最前線 - ニコニコ生放送 http://owl.li/6V4J6

その他気になったことはこのあたり。

ntsuji :さ、参加したい… RT @ichirin2501: 京SEC第12回勉強会が「ペネトレーションテストの入門」、だと…

lifehackerjapan :最新記事： 自分の死後に大事なデータのパスワードを送信してくれる「PassMyWill」 http://bit.ly/qxPNEN #lh_jp

prof_morii :AppLog問題：　この手は90年代の中頃にも問題になりました。あるアプリケーションンがメンテだと称して、定期的にサーバ情報を送信していた問題です。この会社、確か米国で莫大な裁判費用に耐えられずつぶれたと記憶してますが…

tessy_jp :移籍フラグwかwRT @hasegawayosuke ﾋﾞﾘｰﾘｵｽってGoogleなのか。なんか、XSS界のスタープレイヤーってみんなGにいつのまにか移ってる気がする。

risa_ozaki :Microsoftのセキュリティレポート、ゼロデイ攻撃はマルウエア感染の1％未満 | ITpro http://nkbp.jp/qL36TE

10月11日のtwitterセキュリティクラスタ

いよいよカレログみたいな彼氏監視のプライバシーがとかいう、可愛いことではすまなくなってきました。

a_matsumoto :“アニメのアプリと思ったら…利用状況を無断収集 : 社会 : YOMIURI ONLINE（読売新聞）” http://htn.to/A8nMaW

HiromitsuTakagi :スパイウェア「app.tv」に係るミログ社の大嘘 - 高木浩光＠自宅の日記 takagi-hiromitsu.jp/diary/20111010… #applog

こういうのって避難訓練みたいに明日やりますから準備してくださいとか言われるんでしょうかね。管理者がサーバーサイドでフィルタしたりしてｗ

ymzkei5 :■省庁職員5万人を対象に「標的型攻撃」訓練、偽のウイルスメールを送信 - ニュース：ITpro　itpro.nikkeibp.co.jp/article/NEWS/2…

ytakai :NISCの省庁職員5万人を対象とした標的型不審メール訓練って、まさかこれ？ http://twitpic.com/6ytr6s

冗談アプリでも実装はふざけてないと。

ockeghem :ログアウトはPOSTでトークン確認。退会時のトークンとパスワード確認。パスワードは200文字までは識別することを確認。丁寧な作りで感心した / “退会させろドットコム” http://htn.to/zz3SZp

20年くらい前のSFで読んだようなサイバー戦争が水面下で繰り広げられていると思うと胸が熱くなりますね。

nhk_kabun :【ミサイル関連情報にアクセスか】三菱重工業のサーバーがウイルスに感染しているのが見つかった事件で戦闘機のミサイルに関する秘密レベルの高い情報のサーバーが不正にアクセスされていた可能性があることが関係者への取材で分かりました。(10/11) http://nhk.jp/N3y65Wxj

connect24h :CNN.co.jp：米軍無人偵察機の操縦システムがウイルス感染 http://owl.li/6Tsef

ML参加して亡くても募集フォームわかった人は参加申し込みしていいのでしょうか。

matcha445 :10/22（土）開催の第18回まっちゃ445勉強会の募集をMLに参加されている方から先行開始しています。MLに参加されている方は今すぐチェック♪ #matcha445

その他気になったことはこのあたり。

ockeghem :日記書いた / “徳丸浩の日記: 属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査” http://htn.to/zBKiHr

JSECTEAM :2011 年 10 月のセキュリティ情報を公開しました。詳しくは 2011年 10 月のセキュリティ情報をご覧ください。http://bit.ly/qKlCOu #JSECTEAM

kaito834 :HTC社のHtcLoggers.apk問題の時系列。 9/24 発見者によるHTC社への報告 10/1 発見者によるブログ記事公開 10/4 HTC社パッチ準備中表明 10/7 KDDIによるパッチ提供開始（時差を考慮していない） 2週間程度でパッチが提供されたことになるのか。

cnn_co_jp :ハッカー集団がＮＹＳＥサイトを攻撃、ウォール街デモに便乗 http://cnn.jp/nSzZDz

jpcert :こんにちは。2011年7月1日から9月30日の活動をまとめた「インシデント報告対応レポート」と「活動概要」を公開しました。^YK jpcert.or.jp/update/2011.ht…

10月9～10日のtwitterセキュリティクラスタ

AppLog以外にもAndroidにはいろんな怪しいツールがあるそうで。もう、なんだかなあというかんじです。

ma_naka :[memo] hamatzさんがapplog検出ツール[通報君Z]をリリース、あと、いろんな人が解析してくれた結果とか：：村上福之の「ネットとケータイと俺様」：ITmedia オルタナティブ・ブログ blogs.itmedia.co.jp/fukuyuki/2011/…

adtechfeed :高木浩光氏による行動トラッキングの歴史と境界線についての備忘録 - Togetter: AppLogの件、本人同意が不完全なままの場合の被害者は、その本人というだけでなく、履歴を取られる他のアプリ達の開発・提供元も被害者とな... http://bit.ly/oRDALM

Chamiu_IT :app.tvについての声明 - app.tvサービス停止に関して megalodon.jp/2011-1010-1811… #applog

HiromitsuTakagi :5月の記事 jp.techcrunch.com/archives/jp201… これ書いてる時点でまずいと思わなかったのかねこの Ryuichi Nishida とかいう記者。

HiromitsuTakagi :無料動画、無料コミックとうたって頒布されていたので拾ってみたら、こっそり端末の利用履歴（個人に関する情報）を抜くものだった。つまり、ど真ん中ストレートのスパイウェア。不正指令電磁的記録。

typex20 :高木先生、おちゃめすぎる。。 / “FriendApp | ヤバい系アプリ” http://htn.to/sBMcwp

HiromitsuTakagi :次の目標を立てよう。①McAfee等でスパイウェア認定されるよう通報、②Pマーク取り消しに向けた活動、③不正指令電磁的記録作成・提供・供用罪での刑事告発、④ANDROID_IDの使用自体が不適切であるという社会的合意の確立に向けた活動（方法募集）。

三菱重工は守る兵器は開発できても、インターネットからの侵入は守る気がなかったようですね。

kitagawa_takuji :三菱重工ウイルス感染５０種超…２８種の端末も（読売新聞） yomiuri.co.jp/national/news/… １台で２８種類のウイルスに感染した端末もあり、その中には既に７年前に危険性が指摘され、ウイルス対策ソフトを適切に使用していれば検知できたはずのウイルスもあった。

2chmtm :【ノーガード】三菱重工がGENOウイルスにも感染していた他7年前に流行ったウイルス⇒ blog.livedoor.jp/himasoku123/ar…

piyokango :“日本の軍事産業がサイバー攻撃にあう: The Voice of Russia” http://htn.to/M7BamJ

クッキーモンスターバグについて。実は仕様としては脆弱性ではないということなのですね。

ockeghem :Cookie Monster Bugの調査はとっくに終わっているけど、まとめ方が難しい。とても微妙な表現が要求される。なぜ僕はこんなものを調べているんだ

ockeghem :Cookie Monster Bugの説明が難しい理由の一つは、正式にはこれが脆弱性とはいえないということだな。RFC6265を読む限り、Cookie Monster Bug対策は必須ではない。これはIE等の現状を追認したとも言える。アプリケーション側で対策しろということだね

その他気になったことはこのあたり。

piyokango :“政府、職員向けにサイバー攻撃に対する訓練を行うことを決定 | スラッシュドット・ジャパン セキュリティ” http://htn.to/bwoomY

gohsuket :オンラインのペンテストツール RT @suffert Online Penetration Testing Tools http://flpbd.it/LWnI

akedon :ニセ三井住友銀行サイト来たw http://direct-smdc.com/reg.aspx

typex20 :ここの手順通りやれば、OS X 10.7.1上でhttpの通信の中間者攻撃が簡単にできる。httpsは一手間必要。 / “Security Log: Burpsuite (Burp Proxy) の使い方” http://htn.to/xKsc4s

kitagawa_takuji :迷惑メール対策推進協議会が、メーリングリスト参加者全員のメアドを漏洩させる　まさに迷惑メール blog.esuteru.com/archives/50703… via @htmk73

nolze :#spcamp 某機構経由で話があり、今日のTBS報道特集に出演する予定です。キャンパーの恥にならないよう最大限の努力をしましたが、どう取り上げられるか分からないので話半分にご覧頂ければと思います！ http://tbs.co.jp/houtoku/

tbs_houtoku :報道特集、本番に向けた作業は最終段階を迎えています。現在、特集のナレーション入れの真っ最中です。筆者は本日前半の『狙われる企業・国家・個人…サイバー攻撃の恐怖』を担当しています。今週もよろしくお願いします。放送中のご意見は #houtoku まで #tbs #facebookjp

tbs_houtoku :今週もご覧頂きありがとうございました。筆者は『サイバー攻撃』を担当したのですが、編集中のきょう未明、突然PCのスクリーンセイバーの３分の１に異変が･･･扱っているテーマがテーマだけに心配しましたが、再起動後には消えました。来週も宜しくお願いします。 #tbs #houtoku

10月7日のtwitterセキュリティクラスタ

世の中は三連休なようです。ぼくは最近休んでばっかりですよ。

AVTokyo主催の（最後までそこへの言及は全くなし）tessyさんがNHKラジオに御出演なさっていました。

hasegawayosuke :「攻撃すると…(スカッとするって言いたいな)…理解も深まりますね」

hasegawayosuke :「セキュリティに関しては、日本発のコア技術も少ない、セキュリティ産業も少ないので、技術が高くても生かす場が少ないのではないか」

そして、ニュースステーションはLACのSOCから生中継。顔バレとかは問題ないんですかね。

lac_security :テレビ朝日「報道ステーション」にて、サイバー攻撃についての取材を受けました！本日10/7（金）21:54～放送分にラック登場予定です！ http://tv-asahi.co.jp/hst/

ymzkei5 :いつもとちがう人が座っている気がするｗ　RT @shoutman0515: テレビ朝日 報道ステーションナウ。生放送で、JSOCが放映予定です。

情報セキュリティワークショップ in 越後湯沢が開催されているようです。何となく敷居が高いのですが、自分の思ってる敷居の高さが本当かどうか知るためにも時間が合えば行ってみたいですね。

ripjyr :情報セキュリティワークショップ in 越後湯沢で思ったのはIT勉強会カレンダーは、まだまだ知られてないということでも@tsudaさんが凄いって言ってくれて嬉しかった！(#^.^#)

ripjyr :#yuzawaws に参加するのは初めてのはずなんだけど、何回もきたことがあるようなあったかい感じは何なんだろうか。

ripjyr :#yuzawaws に参加躊躇してる人は来年は参加した方がいいよ、参加費の100倍以上の価値がある、でも車座は必須な。飲み会メインとかじゃなくて、参加者がフラットに話せるあの場はスゴく良い場所。名刺と少しの勇気を持って声掛けてみたら良いと思う。あと有名な人について歩くとかも良い

ripjyr :なお、僕は今回の#yuzawaws ではアルコールを一滴も飲まずに車座に参加してました。o(^▽^)o

ripjyr :欲を言うならもっと車座参加者で横の交流があってもよかったかも。隣の人、前の人が最後まで知らない人だったのは残念すぎる。テーマ自己紹介とか良いかも。ぁ、でも色々見て回るのが車座の楽しみ方でもあるので、今のでも良いかw #yuzawaws

はなずきんさん。

JVN :宴会くんにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN03869266/

おめでとうございます。タイミング悪くてなかなかお仕事できませんが、新企画も楽しみに待ってます。

sen_u :来週から新企画も。お楽しみに！ RT @ScanNetSecurity: ScanNetSecurity 創刊13周年の御礼 http://lb.to/rhmYAs @ScanNetSecurity

その他気になったことはこのあたり。

kitagawa_takuji :NHKニュース　三菱重工 ウイルス感染は１月から http://nhk.jp/N3y35VPb 「年賀状」を装って送られてきた電子メールの添付ファイルに含まれていて、 　送信者には実在する人物の名前が使われ、セキュリティ会社の調査が行われた先月までおよそ８か月の間、検知できなかった

ripjyr :SPFつけるの迷惑メールばかりなり （字余り）RT @Murashima: Sender ID 問題とかも RT @ripjyr: メールサーバ勉強会でやれって話かｗRT @Murashima: 一票 RT @ripjyr: なんか、迷惑メール対策な勉強会またやりたいなぁ、、、、

kitagawa_takuji :KDDI会長小野寺氏　情報セキュリティ政策会議へのコメント　nisc.go.jp/conference/sei… 「このようなＤｏＳ攻撃では、事前に攻撃宣言（予告）を行った上で攻撃を行うことが多く、世の中に攻撃を公開します。」＜世の中のDDoSはアノニマスが全てではないんだけど、

expl01t :そこセキュねた。8文字でも4時間で解読というのは1秒間に103億個のパスワードチェックができることに起因するようで。本当？ Reading: GPU cracks 6 character password in 4 seconds computerweekly.com/Articles/2011/…

suzukis :ServersMan VPSが昨年末にやらかした「ユーザー環境を勝手に改変したあげくopen proxyにしてしまいました事件」は dream.jp/support/announ… のアナウンス1本で総括なの？

ScanNetSecurity :SSLサーバ証明書に「脆弱性アセスメント」サービスを無償バンドル（ベリサイン） scan.netsecurity.ne.jp/archives/52020… @ScanNetSecurity

_nat :独自認証をやっているところより、GoogleやY!のOpenIDを使った方がセキュリティレベルは大概高い。 RT @y_aim: PSNってOpenIDにならないかなー。・・・ならないな。セキュリティが。

temosy :Steve Jobs氏の訃報を悪用した詐欺、早速Facebookに登場（ニュース） http://feedly.com/k/oCquen 詐欺とかやめてぇ

PR_M_Commerce :８７４人分の個人情報紛失　成績も　千葉大付属中 - MSN産経ニュース sankei.jp.msn.com/region/news/11…　校長によると、個人情報を含むデータは外部記憶装置に保存しないよう指導していた。

JSECTEAM :2011 年 10 月の事前通知を公開しました。2011 年 10 月 12 日に 8 件の月例セキュリティ情報を公開する予定です。詳しくは 2011 年 10 月の事前通知をご覧ください。http://bit.ly/pKEsMW #JSECTEAM

10月6日のtwitterセキュリティクラスタ

セキュリティとは関係ないですが、ちょっとジョブズ追悼ツイートを。

akihito :オバマ大統領のコメントが感慨深い。「世界中で多くの人々が彼の死を知ったのは、まさに彼が世に送り出した機器を通じてであるという事実こそ、スティーブの業績に対する最高の賛辞だろう」 http://1.usa.gov/obyahI

WirelessWire_jp :グーグル、ラリー・ペイジCEOの「お悔やみの辞」（Google+) - Larry Page - I am very, very sad to hear the news about Steve. He was a… http://bit.ly/nuBaNp

InsideCHIKIRIN :留学時代に一度、学校に来て話をしてくれました。（学生向けの講演会）特別な超ハイスペックマシンを持ってきて、みんなが驚いてたら「こんなんで驚いてたら始まらない。未来が想像の範囲内にあったら話にならない。もっとすごいことを想像しろ！」って、学生を煽ってた。

massagingcapsul :この5分で「スティーブ成仏」をもう3人見かけたので今日のNGワードに設定したい。

bluewill :ジョブス氏死去のNEWSで一番納得したコメント。。「神様もiPhoneが欲しくなったんだ」

ukaukatter :どこのどなたの作品か知りませんが、こんな画像を拾ってしまって、なんだか涙が止まらなくなってしまって。 http://p.twipple.jp/7B2Db

tessyさんラジオご出演だそうです。一度電話で出演したことがありますが、生放送ってドキドキしますよね。

tessy_jp :今日の夕方にラジオに出ることになった。慌てて内容チェックしてるところ。 私も一言！夕方ニュース － NHKラジオ第１ http://nhk.or.jp/hitokoto/

tessy_jp :DEFCONの話からいかに、一般向けにできるか。激しく難題(笑) っていうのを当日の朝にやっている時点で負けているようなものだが。

tessy_jp :肩書き「AVTOKYO主催」が採用されるか見物ｗ

最近はOSの方でもいろいろ対策が練られているので簡単にバッファオーバーフローとはいかず大変ですね。

kusano_k :理屈は知っていても実際に動かすのはなかなか難しかった。 CTF Exploitの練習 - kusano_kの日記 d.hatena.ne.jp/kusano_k/20111…

最近結構銀行からメールがやってくるので、それと間違えないようにしないと。

h12o :#mycomj 三菱東京UFJの場合と内容が酷似、三井住友銀が不審なメールに注意呼びかけ journal.mycom.co.jp/news/2011/10/0…

antiphishing_jp :緊急情報：三井住友銀行を騙るフィッシング(2011/10/6)を掲載しました。antiphishing.jp/news/alert/smb…

その他気になったことはこのあたり。

risa_ozaki :新たな「Androidウイルス」出現、ブログを使ってアップデート（ニュース） http://nkbp.jp/qQ3oZV via @nikkeibpITpro

matsuu :[share]つまり悪意のある者はもっとHTTPヘッダを巧妙に、かつHTTPSを使えと http://j.mp/o9kKMy HTTPベースでバックドア通信を遮断する - 急増する標的型攻撃から社内の情報流出を防げ：ITpro

hasegawayosuke :jvn.jp/cert/JVNVU3578… 複数のルータにてWAN側からUPnPリクエストを受け入れって最悪なんだけど、国内の機器がどうなのかさっぱりわかんないｗ

MasafumiNegishi :Apacheの Reverse Proxyの脆弱性についての解説。CVE-2011-3368。Rewriteの設定を今すぐ見直そう！ contextis.com/research/blog/…

Jin115 :ハッカー集団「アノニマス」 ニューヨーク証券取引所（ＮＹＳＥ）を「インターネット上から」消去すると予告 http://lb.to/psTVKN

kinugawamasato :RT @0x6D6172696F XSSMe2 - can you do it? http://bit.ly/quIuDn

ockeghem :寄稿しましたのでどうぞお読み下さい / “本当は怖いパスワードの話（1/4） － ＠IT” http://htn.to/RvmSXT

10月5日のtwitterセキュリティクラスタ

スティーブ・ジョブズ氏がお亡くなりになったそうです。ご冥福をお祈りいたします。
セキュリティクラスタのTLもジョブズでいっぱいです。

気になったことはこのあたり。

kitagawa_takuji :トレンドのぶつかり合いが招くサイバー攻撃 - 世界のセキュリティ・ラボから：ITpro http://nkbp.jp/prM51v #itprojp

ScanNetSecurity :「SlimPDF Reader」に複数の脆弱性、現時点で対策方法は未公開（JVN） http://lb.to/qbPJdB @ScanNetSecurity

stevewerby :XSS web attacks could live forever due to HTML5 local storage and other techniques. http://bit.ly/q9ZZBy

ciojapan :デジタルアーツ、“出口対策”を加えたWebフィルタリングソフトで情報漏洩を阻止 http://ow.ly/1eZfJI

piyokango :MUFGのフィッシング事例の解説あり。 / “情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2011年9月分および第3四半期）” http://htn.to/TaVxZB

suzukis :さくらのVPSで動かし始めたブルートフォース避けスクリプトに引っかかった記念すべき第一号はwww28249u.sakura.ne.jp 49.212.37.43でした。またさくら内部。

piyokango :“近い将来、サイバー戦争は起きるの？ : COME ON ギモン：その他 : Biz活 : ジョブサーチ : YOMIURI ONLINE（読売新聞）” http://htn.to/uQYWdg

maybowjin9 :他人のウィッシュリスト経由でウィッシュリストに載ってない商品だけを嫌がらせ配送できる裏技いい加減もう5年以上放置されてるし潰していいんじゃないかと思っている。

kaito834 :2011年9月、HTC製のAndroid端末におけるHtcLoggers.apk経由で「INTERNET」パーミッションしか許可していないアプリがログ情報などにアクセスできる問題が発覚。HTCは現在パッチを準備している模様。 / “M…” http://htn.to/FQH4Dx

HiromitsuTakagi :むしろこうでは？「AppLogは世界のJWordとなり得たのではないだろうか。」

10月4日のtwitterセキュリティクラスタ

iPhone5は結局なしですか。

shinichiro_beck :「iPhone 5」に便乗の迷惑メール、クリックでマルウェアに感染 - ITmedia エンタープライズ: http://me.lt/7v4CG

とりあえず社長の人が香ばしいAppLog関連。まとめ続編ができております。前のまとめも追加修正されておりますので、ぜひ再読を。

rocaz :AppLogまとめ（10月3日午前2時～） - Togetter http://j.mp/p3AVHl #applog

そして、入ってるアプリが現れているようですね。

Yuichiro_S :郵便番号検索アプリ，不具合修正，という名目でAppLog仕込んでた．最悪．AppLog仕込むならAppLog搭載って書けよ．嘘つかなきゃ搭載できないのが現実だって分かってやってるとかマジ悪質．

肝心な部分は新聞読めってことなので喫茶店でも行こうかと思ったのですが雨ですね。

kanda_daisuke :おはようございます。本日の朝日新聞朝刊に記事が掲載されました。Applog(SDK)に関するものです。asahi.comにも掲載されていますが、 http://goo.gl/YzGH3 全文はデジタル版でお読みいただけます。（なぜかリンクが「関連記事」扱いになってますが…）

そして、Linuxにも恐ろしいソフトが入っていることが判明＞＜ Windowsでも何でも同意なく記録するイベントビューアーってのが動作してますね＞＜ 怖い

hasegawayosuke :手元のLinuxに、起動したアプリのエラーをユーザの同意なく保存する、シスログというソフトがインストールされていることが発覚した。

ymzkei5 :ボクのマシンにもインストールされてた！設定によっては別の端末に情報を転送したりもするらしい。ｗ RT @hasegawayosuke: 手元のLinuxに、起動したアプリのエラーをユーザの同意なく保存する、シスログというソフトがインストールされていることが発覚した。

その他気になったことはこのあたり。

risa_ozaki :国内セキュリティ産業は困難な事業環境、経済や安全保障の危機 - IPA調査 | Security NEXT http://j.mp/qSucvK

risa_ozaki :国内モバイルセキュリティ市場予測／スマートフォン、タブレットのビジネス利用拡大で急成長 | RBB TODAY http://j.mp/pYGxSq

piyokango :“ Google、ウイルス扱いされたChromeを修復するアップデートを公開 - ITmedia ニュース” http://htn.to/MK88Mg

ntsuji :みんな大好きパスワードネタですね。オンラインサービスへの不安のことを書いているようなのでクラックにかかる時間についてはオンラインとオフラインに分けて解説して欲しいですよ。 / あなたのパスワードが破られる確率は？ - http://bit.ly/nTdwwh

sophosjpmktg :Mac を狙ったマルウェアの歴史 ：アップデート版 http://wp.me/p120rT-mfV（英語）

tya_neko :全てのユーザアカウントのゴミ箱を自動で空にするためのコマンドライン http://sns.mx/uTfWy9

piyokango :“近い将来、サイバー戦争は起きるの？ : COME ON ギモン：その他 : Biz活 : ジョブサーチ : YOMIURI ONLINE（読売新聞）” http://htn.to/uQYWdg

maybowjin9 :他人のウィッシュリスト経由でウィッシュリストに載ってない商品だけを嫌がらせ配送できる裏技いい加減もう5年以上放置されてるし潰していいんじゃないかと思っている。

kaito834 :2011年9月、HTC製のAndroid端末におけるHtcLoggers.apk経由で「INTERNET」パーミッションしか許可していないアプリがログ情報などにアクセスできる問題が発覚。HTCは現在パッチを準備している模様。 / “M…” http://htn.to/FQH4Dx

10月3日のtwitterセキュリティクラスタ

朝から出かけておりましたので更新遅れていますよ。

ちょっと前から続いている都道府県型JPドメインの続き。DNSは関係ないから知らんよと言っちゃうのは簡単なんでしょうが、最近ではWebに関するトラフィックがインターネットのかなりの部分を占めているのでしょうからCookieの問題をほったらかしにはできないでしょうね。

HiromitsuTakagi :cookieは一例であって、Cookie Monsterだけの問題じゃないから、あのように最小限記述の質問状にしたわけだが、他の人らの活動でCookie Monsterが目立ってしまい、脳死ネットオペレータらの自己正当化のいい餌食にされてる。「cookieが腐ってるだけだろw」と

ockeghem :@HiromitsuTakagi 今やCookieなしにWebは成り立たないし、Webのために色々なドメインを提供しようとしているのに、「Cookieが腐っているだけ」という理屈は現実を見ていないと思います。「Webは安全に使えないドメインですがよろしければ」と売り出すべきですね

typex20 :@ockeghem 今回の地域ドメインのCookie問題ですが、HTML5のWebStorage?には影響ないのでしょうか？ChromeOSとか影響が大きいような気がしています。

ockeghem :@typex20 JavaScriptのSame Origin PolicyはCookieと違って同一ホストが原則なので影響はないような気がします。しかし、ドメインの制約を緩めることもできるので、あるかもしれない…試してみないと分かりません。Chromeは安全方向ではありますが

beyondDNS :Cookieなしにwebが成り立たないのであれば、腐った仕様のcookieとともに捨てるしかないでしょう。腐った現状を肯定しても、いいことはない。

beyondDNS :@beyondDNS DNSの仕様やICANNが正常だという意味ではない。念のため。

ockeghem :都道府県型JPドメインは運用上どの程度の制限つけるのかなぁ。たとえば、川口市は東京24区のという冗談（本気?）があるけど、www.city.kawaguchi.tokyo.jp ホームページ上で東京都川口区をでっち上げることは可能?

beyondDNS :徳丸氏はwebのためにDNSがあると信じているらしい。他にもいそうだが。

ockeghem :『CITY.SUWA.NAGASAKI.JPというサブドメインを作った場合、長崎県諏訪市があるかどうかを確認しないと、地域公共団体のドメインか否かを判断できない様になる』 / “サーバ管理者日誌 全国びっくり自治体公式ドメインコンテスト” http://htn.to/tjocfW

beyondDNS :CITY.NERIMA.TOKYO.JP（練馬区）というドメインはすでに存在する。その状態でnerima.tokyo.jpが新規登録できるのか。練馬区が取得しないとしたら、city.nerimaはどうなるか。

beyondDNS :@pO_0q 地域型ドメイン名は新規登録できなくなるので、規則も改訂されるでしょう。都道府県型の詳細が分からないと、なんとも言えない。

beyondDNS :@ockeghem 誰が誰にどう告知すべきだと、思われるのでしょうか。ドメイン名が原野商法になっていること、webに危険性があること、 cookieが危険な使われ方をしていることなどはDNS基盤技術の問題とは言えませんが。

ockeghem :まずは、DNSを販売する方、その方たちが告知しないのであれば私のようなものが告知するしかないですね。DNSの基盤技術ではないと思います RT @beyondDNS: @ockeghem 誰が誰にどう告知すべきだと、思われるのでしょうか...DNS基盤技術の問題とは言えませんが。

beyondDNS :@ockeghem DNSを販売というのは広すぎるので、ドメイン名だと解釈すると、ドメイン名を売っているところにはまったく期待できません。徳丸さん方に告知を期待したいと思います。できるだけ、協力はしたいと思います。

ockeghem :今後都道府県型JPドメインを売り出す際には、「当ドメインはWebが安全に使えないと指摘されていますが、それはWebの仕様が腐っているためでドメインのせいではありません。メール等では安全に使えます」と説明して売ればよいのではないかな?（僕自身はWebが腐っているとは思ってないよ）

その他気になったことはこのあたり。

piyokango :“中国人２６歳ハッカー「国家に利益もたらす」 : 国際 : YOMIURI ONLINE（読売新聞）” http://htn.to/JkAXmn

cas_1974 :"痛いニュース(ﾉ∀`) : ウイルス対策ソフト「avast!」が自分自身をウイルスと判定 - ライブドアブログ" http://j.mp/qGwSeL 自分自身との戦い。

piyokango :10/11にカレログ2がリリースされるのですね。完全無料だとか。 / “カレログ” http://htn.to/A2KqEo

k_satoh :トレンド：フィッシングから「マンインザミドル」フィッシングへ blog.livedoor.jp/fsecure_blog/a… 詐術もより巧妙になってきている。サイバー犯罪と言えども、人間が人間を騙すことには変わりないのだが…

kaito834 :2011年10月3日の記事。「送信許諾をしてもしなくてもApplogが入っているアプリは、端末IDや開発者IDをミログさんのサーバーに送っているようです。」 / “Applogがあなたの端末にインストールされてないかどうか調べるツール…” http://htn.to/snNvoD

Hamachiya2 :RT @Hamachiya2 GREEで「かんたんログイン」を解除する為には、ヘルプ→ログイン→次へ→次へ(3ページ目)→「毎回パスワードを求められるのは何故」→文書中リンク「かんたんログイン」→パスワード再認証→これでやっと解除設定の画面が出るんだけど多分誰も辿り着けない

connect24h :JPCERT コーディネーションセンター インシデント対応状況 http://owl.li/6MwL0

rocaz :AppLogが受け入れられるか興味深いな http://j.mp/oDRDPS

10月1～2日のtwitterセキュリティクラスタ

もう10月ですね。急に寒くなってきました。

第二のカレログとなりそうな勢いで盛り上がっていたAppLogについて。とても長いのでtogetterにまとめておきましたのでどうぞ。


パスワードの保存について。平文じゃなきゃいけないこともあるのですが、問い合わせに答えるためってのはよろしくないんじゃないかと。

t_yano :パスワードをハッシュ化して保存しましょうと提案したら、問い合わせがあったら答えられないからダメ、と言われるケースの多いこと多いこと。

nouvellelune :パスワードを平文で保存しておく仕組みもアレだが、「ハッシュ化したら元パスワードがわからくなる」とかそういう発想の人達はきっと、問い合わせしてくる人が本物なのかどうかも確認していないだろうと思う

ockeghem :パスワードのハッシュ保存も結構危なっかしい状況になっているわけで、一概に可逆な暗号化が絶対ダメともいえないんだけど、鍵管理がネックなわけよね。正当なアプリからは読めて、それ以外はルート取った攻撃者からも読めない鍵管理方式を誰か発明して欲しい。あるいは既にある?

tomoki0sanaki :チャレンジ&レスポンス形式の認証に使う場合、ハッシュ化できない場合もある。

チケット買いました。

avtokyo :AVTOKYO 2011 登録受付開始！ Registration is opened now!!! http://avtokyo2011.peatix.comvia @peatix

期待してます。

hasegawayosuke :昨日、HTML5セキュリティ勉強会のときに、「よっしゃ、『新しいタイプの攻撃』思いついたぜ」って思ったけど、冷静に考えるといろいろハードル高いな。

その他気になったことはこのあたり。

kitagawa_takuji :感染サーバーに防衛品情報…重工サイバー攻撃 yomiuri.co.jp/national/news/… < これ漏らしていいの？これで海外の攻撃者には防衛品情報が保存されているサーバが特定できてしまった訳だ。

kaito834 :Windowsで動作するブラウザのルート証明書管理を調べてみたら、Firefox, Opera は独自の証明書管理だけど、Safari for Windows, Google Chrome は Windows が管理する証明書を使うみたい。

satomitw :MS無償アンチウイルスソフトにChromeを削除する不具合：Microsoft Security Essentials removes Google Chrome http://goo.gl/fb/fcOjn

smbd :Windowsのウィルス感染、大半がJava、Adobe製品のアップデート忘れ | スラッシュドット・ジャパン http://bit.ly/ofDKRz