12月8日のtwitterセキュリティクラスタ

雪なのか雨なのかわかりませんがクソ寒いので困ります。

公衆無線LANサービスを始めたのはいいものの、競合他社へのWebサイトへのアクセスをブロックするそうです。どうやら電気通信事業法を知らなかった模様。

kuroxplum :しかし公衆無線LANで楽天とAmazonをブロックとは何考えてんだか＞7SPOT。いや、何も考えていないからこうなるのか。ここまで露骨な電気通信事業法違反事件も珍しい。こんなんじゃ、そもそも電気通信事業者の届出をしているかも怪しいなぁ…

SongOfYste :セブンスポットについては最初は？？？だったけと、翌々考えたら凄まじく悪質だよな…他社の通販サイトを完全ブロックって、社内NWじゃないんだから(´д｀)

itoishi :amazon・楽天などの競合他社へのアクセスを遮断している疑惑が出ているセブンスポット。どうやら「セブンスポットのサービスポリシーに反する」旨の表示がされるみたいだけど、サービスポリシーが公開されてない。 #セブンスポット

kuroxplum :公衆無線LANサービスはやっぱり電気通信事業だわね。参入マニュアル追補版 soumu.go.jp/main_sosiki/hu… 届出様式第４soumu.go.jp/soutsu/kanto/c…

kuroxplum :セブンスポットが電気通信事業であることは明らかになったので、セブンスポットの利用規約を見る。 http://webapp.7spot.jp/internets/about

kuroxplum :するってえと、規約の冒頭には「株式会社セブン－イレブン・ジャパン、株式会社イトーヨーカ堂、株式会社セブン＆アイ・フードシステムズ、株式会社そごう・西武、株式会社セブンネットショッピング（以下、総称して「当社ら」と言います）は、…」とあり、誰が提供主体か不明。

kuroxplum :電気通信事業法 第百八十五条 　第十六条第一項の規定に違反して電気通信事業を営んだ者（第九条の登録を受けるべき者を除く。）は、六月以下の懲役又は五十万円以下の罰金に処する。

kuroxplum :改めて7SOPT利用規約 webapp.7spot.jp/internets/about 読むと、そもそもブロッキングの話はどこにもない。ふつう、申し訳程度にでも書くものだろうと思うけれど、それもないということは、直前に偉いさんか誰かがねじ込んだとか、そんな臭がする。

kuroxplum :そういうことだとすると、セブンの法令遵守体制がとんでもなく不安であるというか、無理が通れば道理が引っ込む的なものをどう阻止するかということになるんだろうと、弊社で同じことがあったら職務柄阻止すべきある立場である自分に自戒を込めつつ、セブンイレブンで買ったビールを飲むことにする。

kuroxplum :ああ、大事なこと言い忘れてた。ブロッキング、明らかに通信の秘密の侵害（電気通信事業法第４条）だわね。わかりきってることだけど、そっちを先にTweetしないと、枝葉末節みたいなことになってまうな、これ。

Adobe Readerってなんでこんなに脆弱性ばっか見つかるんでしょうね。

AdobeSupportJ :【セキュリティ情報】先ほどお知らせしたAdobe Reader/Acrobat の識別番号APSA11-04に関する日本語抄訳を公開しました。アップデータは来週リリースの予定です。http://adobe.ly/uGr4PE

security_1topi :Adobe Reader/Acrobatのゼロデイ脆弱性を利用した攻撃が確認されていることを受けて、9は遅くとも12月12日週に。Xは保護モード機能で防御可能として2012年1月10日に修正プログラムリリースするようです。 / http://r.sm3.jp/3nlk #1tp

security_1topi :Adobe Acrobat/Reader のセキュリティに関しては http://r.sm3.jp/3nn8 。トラブルシュートは http://r.sm3.jp/3nn9。保護モードの状態を確認するには、ファイル／プロパティ／詳細設定／保護モード で確認可能です。 #1tp

kaito834 :2011年12月に発覚したAdobe Readerの脆弱性CVE-2011-2462を悪用した攻撃に関するブログ記事。攻撃の際のメール文面やexploitの一部が紹介されている。 / “A New Zero Day PDF Explo…” http://htn.to/SKgGsd

私も顔出すつもりですが雪が心配ですね。

hasegawayosuke :明日、突発的にセキュリティの勉強会やることになったみたいです。（僕は参加しませんけど http://atnd.org/events/23175 BlackHat AbuDhabi 2011壮行会（セキュそば前夜祭） : ATND

SixApartの関さんとか顔出ししていたわけですが、金出した側は責任を押しつけて逃げるわけですね。

rocaz :コネクトフリーのサイト http://connectfree.jp、サービス紹介が簡素になって事例が無くなり、役員紹介もクリストファーだけになった。DNPもサービス停止したみたいだし、みんな逃げ足早いねえ、オマエらも十分責任あるんじゃねえの？

ハッカージャパン今日発売なのですね。私も思った以上に書いてます。

kitagawa_takuji :本日発売のハッカージャパンに久しぶりに記事を書きました。 Metasploit関連ツールの　Armitage、Metasploit Community Edition、Metasploit vSploit についての紹介記事を4ページです。

その他に気になったことはこのあたり。

ockeghem :P11の「4.2レベル設定について」など抱腹絶倒もの。モデル契約書は全体としてはレベル高いのになぜ? / “モデル取引・契約書＜追補版＞－セキュリティチェックシート解説(PDF)” http://htn.to/9Sx5Xd

tdaitoku :Microsoft、14件の月例セキュリティ情報の公開を予告 itmedia.co.jp/enterprise/art…

ikepyon :セキュアな開発の動画らしい。見てみる education.isc2.org/csslp-webcast-…

ikepyon :つうかhttp://education.isc2.org/csslp-webcast-[1?9]/まであるみたいだな

PacSecjp :thank you for waiting. #PacSec 2011 slides are now available. お待たせしました、PacSec2011の発表スライドがアップされました pacsec.jp/psj11archive.h…

gohsuket :キター！米政府の「Trustworthy Cyberspace: 連邦サイバーセキュリティ研究開発戦略計画」RT @CipherLaw Federal Cybersecurity R&D Strategic Plan Released. http://goo.gl/gdGzU

roaring_dog :DNPとBBSec、「Web脆弱性診断サービス」の期間限定パッケージ - クラウド Watch - cloud.watch.impress.co.jp/docs/news/2011…

ockeghem :Webシステムで「重要資産の洗い出し」が違和感があると思ったら、洗い出ししてもSQLインジェクションとかXSSとかの脆弱性がどっか１箇所にあったらどかんと持って行かれるからですね。二要素認証とか暗号化の検討をする際には意味はありますが、そういうのをしない場合あまり意味がない

ockeghem :つまり、パスワード認証だけの一般的なWebシステムだと、「最重要情報資産」だけ把握して、それを基準にして対策すればよいということ。後は、暗号化の対象とするデータを洗い出すくらいで、本格的な「洗い出し」は出番がないですな。防衛分野とかは別なんでしょうが。