10月25日のtwitterセキュリティクラスタ

サイバー攻撃っていうか標的型なのかただのウイルスなのかよくわかりませんが、衆議院の議員さんがやられてしもうたことの続報とまとめです。

piyokango :何となく書いてみました。 ／衆議院がサイバー攻撃を受けたらしいので記事をまとめてみた。 http://bit.ly/sEQYRu

piyokango :「添付ファイル付きメールが３人に送られ、その内一人が感染していた」と「３人の端末が感染していた」の２つの報道があるのですが、どちらが事実なんでしょうね。

kitagawa_takuji :NHKニュース　サーバー“感染”衆院が対策本部 http://nhk.jp/N3yK5euj 「サーバーの監視を続けているが、不正なアクセスはないと承知している。また、パスワードなどが盗まれたという事実もないと認識している。一部報道で伝えられているような事実は確認しておらず、引き続き

kitagawa_takuji :NHKニュース　衆院サーバー ウイルス感染か http://nhk.jp/N3yK5erz

HyoYoshikawa :「漢字情報」ねえ。//サイバー攻撃　米が対中警戒強化　日本に「漢字情報監視を」 （産経新聞） - Yahoo!ニュース - headlines.yahoo.co.jp/hl?a=20111025-…

XR230 :全衆院議員にパスワード変更要請　サイバー攻撃で議運 t.asahi.com/4e34 ぜひ、28日発売の『PCのウイルスを根こそぎ削除する方法』amazon.co.jp/gp/product/477…　を読んでみるといいかも！！　そもそも感染していたら、パスワード変更しても意味がない。

risa_ozaki :サイバー攻撃に情報共有体制: 国や企業の機密情報を盗み出そうとするサイバー攻撃が相次いでいることを受けて、最新の攻撃に関する情報を国や企業などの間で共有して今後の被害を防ぐ体制が、２５日発足しました | NHK http://nhk.jp/N3yK5fIA

mokez :国会議員のPCにはセキュリティソフトも入ってたしNTTが監視していたそうだけど、それでも全員のパスワードを盗まれて踏み台にもされたんだね。セキュリティが甘いのかハッカーがすごいのか。。。？

いくらシステムの脆弱性が防がれても、人の脆弱性を突かれるとダメなところが多いんでしょうね。

soutou_d :ちなみに、どこだかの銀行を対象に行った、侵入テストで、十分に教育され、訓練された銀行員に対して最も効果を挙げたサイバー攻撃は、「ウィルス入りのUSBメモリを社員駐車場にまいてくる」だったそうである。

kitagawa_takuji :【再】「トロイの木馬」が如何に簡単に受け入れられてしまうかという動画　youtube.com/watch?v=Xs3SfN…

モバゲーにならってセキュリティ診断も最初は無料で、課金アイテムでお金を稼ぐビジネスモデルのお話。タダの部分はちっともうれしくない気がしますが。

ockeghem :まぁ、マジでモバゲーベイスターズは途中までは無料というのアリじゃないかと思うの。すると、一方的な試合だと客が帰っちゃうから、選手は好ゲームになるようにがんばる、と

ockeghem :脆弱性診断も、メールヘッダインジェクションとかセッションフィクセイション（みたいなマイナーで見る場所が決まっている奴）は無料で、XSSとかSQLインジェクションみたいな（量が多くて面倒な奴）は有償にするとか:)

ten_forward :@ockeghem Apache のバージョンチェックは無料です！(嫌がらせ :p)

ockeghem :@ten_forward 奮発して、PHPのバージョンもバナーでチェックしましょう！無料です！！

ymzkei5 :“メールヘッダインジェクションとかセッションフィクセイション（みたいなマイナーで見る場所が決まっている奴）”が見つからなかった場合に、「なーんだ。うちのサイトは比較的セキュアなんだな。じゃあ詳細な診断は買わなくて良いや」と勘違いされても困るのでｗ @ockeghem

ockeghem :@ymzkei5 その時は、適当なXSSを探しますか(^o^)

bakera :@ockeghem @ymzkei5 「適当なXSS」ならすぐに見つかるという圧倒的な自信……! さすがです。

日本でもぜひCTFを。できるなら何らかの形でお手伝いさせていただきたいものです。

_kana :これは国際CTFを運営しないとわからないよ RT @tessy_jp: Please import this! RT @_kana: Secuinside CTFで優勝したPPPとHARUと飲む。フィードバックなど。日本にこのノウハウが入ってこないのが非常に残念。

_kana :WOWHACKERのsecretが今回のCTFを準備したんだけど、攻防戦だったのね。SLAポイントの話とかしてたよ。やっぱシークレットってあたまいいよなー。日本でCTFヘルプしてくれるそうな

その他気になったことはこのあたり。

ockeghem :音楽配信サイトのセキュリティ施策が音質に与える影響については、さらに調査を進める必要がある。例：SQLインジェクション脆弱性が配信サイトにあると、中音域の厚みのない痩せた音になる

kitagawa_takuji :2011年、これまでの事例にみる脅威とその対策　第2回 - 日本のセキュリティチーム - Site Home - TechNet Blogs : blogs.technet.com/b/jpsecurity/a…

roaring_dog :IPA、「標的型サイバー攻撃の特別相談窓口」を開設 - ITmedia ニュース itmedia.co.jp/news/articles/…

kitagawa_takuji :企業 IT セキュリティでハッカーに活躍してもらう方法 - インターネットコム japan.internet.com/webtech/201110… via @jic_news

Fantom_JAC :zipにパスワードかけてメールで送り、すぐさまそのパスワードを二通目のメールで送る手法、なんの意味もないのでやめましょうよ。

security_inci :[JVNRSS] MIT Kerberos 5 KDC に複数の脆弱性 http://bit.ly/vX7qbA