1月12日のtwitterセキュリティクラスタ

数日前から問題になっている電子書籍が履歴などを送信している件が新聞などで話題になり話が大きくなっているみたいです。

ktai_watch:[ニュース] 閲覧履歴など無断で取得、ビューンが事情を説明 http://bit.ly/zomwxK

typex20:ビューン公式の釈明。これを読んだ限り、このサービスは即終了でしょう。。 / “「ビューン」サービスに関わる閲覧履歴等のデータの取り扱いについて / 2012/01/12ニュース | ビューン” http://htn.to/PWksV1

kaito834:電子書籍「ビューン」、「マガストア」関連。「高木浩光主任研究員は「...利用者に分かりやすく明示して同意を求める必要...電子書籍の利用者の閲覧情報まで記録することが必要なのか、議論する...」と話して...」 / “スマホアプリが情…” http://htn.to/sLkbxs

tk2to:ビューンの件、ニュースになったから色んな人が観てるみたい。案の定Webアクセスログと一緒じゃねって方も居たので @HiromitsuTakagi 氏の発言を抜粋しておきました。 http://j.mp/wM6dQQ

googleもやらかしてしまったようですね。

nhk_news:グーグル 誤って個人情報表示 http://nhk.jp/N3zc6OCr #nhk_news

frnk:経産省が個人情報保護法違反の疑いで調査開始だとか。アプリ購入者情報が流出、グーグルの決済不具合 - 読売新聞 yomiuri.co.jp/national/news/…

セキュリティ診断におけるツールと手動のメリットとデメリットについて比較されています。

ntsuji:セキュリティの診断において「ツールと手動」っていうのは永遠の課題なんですかね。社内向けですら１年に何度か違いとかそれぞれのメリット・デメリットなんかの説明をしていますよ。

ikepyon:@ntsuji ツールで何でもできると思っている人いますしね・・・ツールも正しい使い方を知らないと、ダメだし、手動は勘がないともれるし、手間かかるし・・・

ntsuji:@ikepyon 認識の違いと手間（金額）というジレンマですよねー

ikepyon:@ntsuji ですねぇ。ざっとツールで確認して、怪しいところを手動で深くというのが一番な様な気がします

そして@ntsujiさんが#NW診断におけるツールと比較したときの手動の優位点 というハッシュタグで整理されています。

ntsuji:誤検出と非検出の精査。報告されたものが実際に再現可能かのチェックを行う。診断での実績、経験から見落としの排除を試みる。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:検出された脆弱性の修正優先度の提示。機械的に示された危険度は再現できる/できないは加味されていない場合がある。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:攻撃手法さえ分かっていれば攻撃シグネチャ（アンチウイルスでいうパターンファイル）のリリースを待たずに確認することが可能。つまりは、即時性がある。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:１つのホストが攻略されたときの横展開の実施。侵入に成功したとき割り出すことができたパスワードを他ホストで使い回していないか。規則性に沿っていないかのチェック。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:というか本来比較とか対決とかではなく、人と道具だから本来は一心同体でなければならない。 #NW診断におけるツールと比較したときの手動の優位点

ntsuji:道具は考えることはしない。意思も持たない。道具を用いた結果は人に委ねられている。決して、道具に振り回されてはいけない。人は考えることができるんだから。 #NW診断におけるツールと比較したときの手動の優位点

sogasan:耳が痛いですわ。 “@ntsuji: 決して、道具に振り回されてはいけない。 #NW診断におけるツールと比較したときの手動の優位点”

sogasan:手動だけでもなく、ツールだけでもない検査じゃないと、やる意味すら疑わしくなると思う。ツールの利点は網羅性、手動の利点は拡張性。2つでやっと1になる。 #NW診断におけるツールと比較したときの手動の優位点

その他に気になったことはこのあたり。

tdaitoku:エフセキュアブログ : コンピュータ・ウイルスの分析を学ぶ：5年目 blog.f-secure.jp/archives/50647… @FSECUREBLOGさんから

piyokango:Twitter怖い。 / “「発言ねつ造」に対し脆弱な Twitter | スラッシュドット・ジャパン IT” http://htn.to/jgkce7

jpcert:Weekly Report 2012-01-12を公開しました。^YK jpcert.or.jp/wr/2012/wr1201…

piyokango:“トレンドマイクロウイルスバスター2012クラウドのポップアップがフィッシングクサイ件 - まっちゃだいふくの日記★とれんどふりーく★” http://htn.to/ajuWsd

zusanzusan:NICT 季報 Vol.57 No. 3/4, ネットワークセキュリティ特集 nict.go.jp/publication/sh…

tdaitoku:「カード情報を暗号化しなかったのは当社の過ち」――情報流出被害のStratfor itmedia.co.jp/enterprise/art…

kou_yan:無料でWindowsのパスワードをリセットするUSBメモリを作る方法 - GIGAZINE: 無料でWindowsのパスワードをリセットするUSBメモリを作る方法 - GIGAZINE「Trinity Rescue Kit」... http://bit.ly/x9CkUV