2月2日のtwitterセキュリティクラスタ

終わってからが大変みたいでしたがお疲れ様でした。

yoshiokakizaki:遅くなりましたが， #scis2012 ナイトセッションでの発表をYoutubeにアップロードいたしました． http://bit.ly/wUSgyR

OAuth単体で認証に使うと危険！ってことらしいです。あくまでOAuthは認可の仕組みであって、認証はしないのでOpenID Connect使えってことですか。

_nat:OAuth 2.0 を認証に使うと、車が通れる程どてかいセキュリティ・ホールが開くよ、と言う良記事。コメントも読み応えあります。Facebook や、その他OAuthログインしているサイトはみんなチェク！ thread-safe.com/2012/01/proble…

_nat:@_nat あーダメだ。いきなり穴が開いてるし。Facebook login してるサイト、全滅じゃないか？signed_request 使ってるサイトってどのくらいあるのかな…。

_nat:@_nat ちょっと、インシデントレポート準備始めるかなぁ。メンドウダ。

_nat:@_nat まぁ、とりあえず…。良い子の皆さんは、FBログインするときには、scope には signed_request を指定して、それを使いましょう。イマスグニ。 developers.facebook.com/docs/authentic…

_nat:@_nat それ以外の OAuth 認証？を提供している人たちは、すぐに OpenID Connect 対応しましょう。Webサイト側は id_token で認証をするように。

_nat:単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone http://sakimura.org/?p=1487via @_nat

農林水産省にも標的型メールが届いたみたいです。うちみたいな独立系無職には届くはずもないので脅威のほどがよくわかりませんが、たまには届くとうれしいんですけどね。

piyokango:農水省で標的型メール攻撃の事案ですかー。

piyokango:『昨年１２月１９日、職員延べ約７０人分のアドレスにメモが添付されたメールを送信。１月１０日に送信先のアドレスの一つから同様の内容のメールが複数の職員に返信され、このメールにウイルスが仕込まれていた。』 / “農水省：職員メール外部流出…” http://htn.to/zLEWec

piyokango:『最初にメールを受け取った約５０人のうち２０人ほどが自宅のパソコンに転送していた。ウイルスに感染していた私有パソコンへの転送が原因で、メールアドレスなどが流出した可能性もあるとみている。』 / “農水省に標的型メール攻撃、情報流出狙う…” http://htn.to/LiDCxX

piyokango:毎日より読売の方が詳しいですね。打ち合わせメモの送付人数が毎日は約70人ですが、読売は約50人と、異なってます。

kitagawa_takuji:５０人に自宅に転送の２０人を合わせて述べ70人ということじゃない？ RT @piyokango 毎日より読売の方が詳しいですね。打ち合わせメモの送付人数が毎日は約70人ですが、読売は約50人と、異なってます。

piyokango:なるほど。確かに70人です。 :)

そして安倍氏のサイトにも攻撃があったみたいです。

piyokango:『安倍氏のＨＰに攻撃があったのは、先月２０日と２９日の計２回。ＨＰを閲覧すると、ウイルスを発見するためのスキャンをするように見せかけた画面が立ち上がり、..』 / “安倍元首相のホームページにもサイバー攻撃　　 - MSN産経ニュース” http://htn.to/gurHsP

読みます。

lac_security:ラックの取締役CTO西本と、サイバーセキュリティ研究所長　伊東それぞれによる、サイバー攻撃についての書籍が2月に発刊されました。ぜひ店頭でご覧下さい。(^ま) lac.co.jp/news/news20120…

奥さんの設定担当な人はアクセスしちゃいますよね。

kitagawa_takuji:ハッカーはいちばん身近な所にいる!? 約10人に1人は恋人のオンラインアカウントにアクセスしたことある ? ロケットニュース24（β） rocketnews24.com/2012/02/02/178…

その他に気になったことはこのあたり。

JSECTEAM:スター・ウォーズを題材に IT にかかわる法的な解説を交えたコラム「Security Wars: エピソード 3 - プライバシーの逆襲 - 5-2. ロスト・イン・ジェネレーション」 を公開しました。http://bit.ly/zNGdSj #JSECTEAM

packet_storm:Wireshark 1.4.4 Remote Stack Buffer Overflow http://packetstormsecurity.org/files/109342 #exploit

JVN:HTC 製 Android 端末に Wi-Fi 認証情報漏えいの脆弱性 jvn.jp/cert/JVNVU7633…

ChoichiHasegawa:「情報」「情報機器」「情報通信技術」を活用してなさそうな人が、「『情報セキュリティ』は重要だ」なんて言っても、説得力がない。なぜ、そんな当たり前のことを気がつかないのだろう？と、最近何度か思った・・・。

itmedia:[エンタープライズ]VeriSign、2010年の不正アクセスで情報流出　上層部への報告も遅れ http://bit.ly/wRU28Z

itmedia:[TechTargetジャパン]ボットネット検知や攻撃可視化の強化が進む：標的型攻撃の脅威に挑む「次世代ファイアウォール」の進化 http://bit.ly/A1YnrA

kaito834:これまで3DSの「すれちがいMii広場」でMiiから受け取ったメッセージでは、「' or 1=1'」がお気に入りです:)

piyokango:CODEGATE 今年の予選は2月末（2/24-26）。 予選登録は2月中旬。http://codegate.org/Eng/

kenji_s:JSのライブラリ、こういうのいっぱいありそうで怖いですね > yuga.jsのXSS直したバージョンがなかなかリリースされないので勝手に直したやつ http://ow.ly/8P7f9

mincemaker:最近は学生の厨房クラスタより、勉強会で意識高くなって会社やめた技術ない人クラスタの方が熱い。