orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

セキュリティー

セキュリティーがらみの記事です。

カード情報は、クレジットカード情報非保持でも漏えいするということ

クレジットカード情報漏えいの新しい手口 下記のエントリーは、WEB管理者は一度読んでおいたほうがいいでしょう。 blog.tokumaru.org 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによる…

東証のシステム障害は、「仮想サーバートラブル」ではなく「ネットワークトラブル」だった

東京証券取引所の障害 東京証券取引所の株式売買システムの一部で障害が発生し、一部の証券会社が影響を受けたシステム障害の件に言及したいと思います。 当初「仮想サーバー」というキーワードが出てきて大変混乱しました。午前の段階では表現は以下の通り…

Windows 10 Octover Update適用でファイル消失 | 具体的な症状とは

Windows 10 Octover Updateが提供中断 先週リリースしたばかりのWindows 10 Octover Updateを適用したら、ファイルが消失する現象が発生するケースがあり、2018/10/7現在公開を停止するという状況にあるそうです。 pc.watch.impress.co.jp 米Microsoftは、先…

その具体的な攻撃方法とは?「サーバ用マザーボードに不正なマイクロチップ、中国軍がバックドアに利用か」

中国軍がマザーボードにバックドア!? 日本国内では話題にならないかもしれませんが、インフラエンジニアとして衝撃のニュースなので取り上げておきます。 www.itmedia.co.jp 米Bloombergは10月4日、中国の工場で製造されたサーバ用のマザーボードに、中国…

DNSサーバーでDNSSECを使っている人は要対応、と総務省が言っている件

総務省が注意喚起 DNSサーバーの運用と言うのは慣れてしまうと空気みたいなものですが。総務省が注意喚起をしているので取り上げます。 www.soumu.go.jp インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム…

仮想通貨取引所Zaifがハッキング被害 | 仮想通貨取引所とセキュリティーの関係を改めて考える

Zaifにてハッキング被害発生 仮想通貨取引所Zaifがハッキング被害を受けました。 たくさんのメディアが報道しています。 【速報】仮想通貨取引所Zaifがハッキング被害でBTCなど67億円流出、フィスコが株式を過半数取得・50億円支援へ Zaif、不正アクセスでビ…

GitHubで継続的に発生している大規模インシデント | 便利と危険は裏返し

GitHubから情報漏えい 中国の大規模な情報漏えいのお話です。 www.itmedia.co.jp 技術情報サイトのBleeping Computerは8月28日、中国の大手ホテルチェーンHuazhu Hotels Group(華住酒店集団)の利用客1億3000万人あまりの個人情報が、中国のダークWebフォー…

インテルCPU脆弱性「Foreshadow」の影響をまとめる

新たな脆弱性「Foreshadow」 お盆休み明けの多数のエンジニアは、脆弱性「Foreshadow」の情報収集に追われるのではないでしょうか。この記事では、報道されている情報をまとめます。 問題となっている脆弱性のコード CVE-2018-3615 : 「Intel SGX」の利用で…

アップデートする、アップデートしない、どうする日本の運用設計

福井県の総合行政情報システムで長期間の障害 ツイッターで知ったのですが、福井県の総合行政情報システムにて、ソフトウェアアップデートを行ったところ通信障害が発生し、5日間経った今でも一部影響が残っているそうです。 行政システム障害、段階的に復旧…

あるオフィスで経験した忘れられない一日

※大いにフィクションです。ご注意ください。 顔認識と居眠りとクーラー ある日、いつも通りに出社し席に着くと、ディスプレイの上にWEBカメラが取り付けられていた。これは何だろうと思ったらメールが来ていて、何か情シスがシステムを導入したらしい。何だ…

Google Chrome 68がリリース。証明書のないサイトがどんどん強調されていく。

保護されていない、が表示されるように Chrome 68がリリースされたということで、私のChromeも更新してみました。 そうしたところ、確かにHTTP(平文)のサイトは見事に「保護されていない」ということになりました。事前の報道通りですね。 はてなブックマ…

スタディストの障害報告書にいろいろと思うこと

スタディスト事件? 日経xTechの記事で、スタディスト事件なるものが発生し本日最終報告書が公開されていたことを知りました。 tech.nikkeibp.co.jp マニュアル作成・共有サービス「Teachme Biz」を手掛けるスタディストは2018年7月23日、6月26日に公表した…

Symantec VIPの障害により、全世界でトラブルが続出

(2018/6/27 13:35) 解決した模様です。 シマンテックの問題が波及 第一報は、りそな銀行のネット経由振込ができない件でした。 www.nikkei.com りそなグループや新生銀行など複数の大手銀行や地方銀行、信用金庫で27日午前9時ごろから、インターネットバン…

プリンスホテルの情報漏洩事件は国内初のGDPR案件か?

プリンスホテルの情報漏洩 昨日(6/26)夕方発表されたプリンスホテルの情報漏洩の件、内容を読むと日本国内で発生した案件とは毛色が異なるのがわかります。 japan.zdnet.com プリンスホテルは6月26日、同社が運営を外部委託する外国語予約サイトで不正アクセ…

Zip Slip脆弱性に関する詳報まとめ

Zip Slipが大きく報道 日経にてZip Slip脆弱性が報道されています。 www.nikkei.com 英セキュリティー企業のスニックセキュリティーは、複数のファイルを1つにまとめる「書庫ファイル」形式に深刻な脆弱性を発見したと発表した。この形式で作られた書類を展…

感想文:「Let’s encryptとSSL/TLSに関する誤謬」

SSLのことを理解できる記事 SSL証明書関連でよい記事を見つけました。 Let’s encryptとSSL/TLSに関する誤謬 – Chienomi 全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 何度か読み直しましたが「DVとOV」…

セシールオンラインショップの度重なる不正アクセスを考える

セシールオンラインショップでの不正アクセス 株式会社ディノス・セシールが運営する「セシールオンラインショップ」にて、2018年6月2日に不正アクセスが発生したとのニュースです。 セシール顧客情報流出か、中国から不正アクセス : 社会 : 読売新聞(YOMIU…

森永乳業の情報流出レポートに学ぶものなし

森永乳業通販サイトの件 当ブログでは、情報が少なくて静観していた「森永乳業通販サイトにおけるお客さま情報の流出」について最終?レポートが提出されました。 健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ | 大切な…

詳報:PCをクラッシュさせる音響攻撃「ブルーノート」

音でPCが壊れる? ある音を鳴らすとPCが壊れる。趣味の悪い攻撃が検出されたようです。 PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで - CNET Japan セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻…

図らずもTorの匿名性が証明されてしまった年金流出事件の時効

年金情報流出事件が時効 3年ほど前に大きな話題となった年金情報流出事件ですが、時効が成立し終了となってしまいました。 mainichi.jp 日本年金機構が2015年5月にサイバー攻撃を受け、約125万件(約101万人分)の個人情報が流出した事件は、20…

ソーシャルエンジニアリングという名前がちっとも攻撃っぽくない

前例のない手口? NHKスペシャル「仮想通貨ウォーズ~盗まれた580億円を追え!~」、という番組がNHK総合で昨日放映されました。その関連の記事が気になりました。 www3.nhk.or.jp 前例のないサイバー攻撃の手口が明らかになりました。ことし1月、大…

「I'm hacked, Bye2」監視カメラに不正アクセスって何をいまさら

監視カメラのハッキングが話題 監視カメラのハッキングが話題だそうですが、いまさら感があります。 www.nishinippon.co.jp インターネットに接続されたキヤノン製の監視カメラへの不正アクセスが相次いでいる問題で、千葉県銚子市沖の洋上風力発電施設の状…

バグ発見、ツイッター利用者は要対応 パスワードの即時変更を

ツイッター利用者はパスワード変更を ツイッター社がパスワード保管についてバグが発見されたため、全利用者にパスワード変更を求めている件の詳報です。 www.afpbb.com 米ツイッター(Twitter)は3日、ソフトウエアの不具合により利用者のパスワードが誤っ…

問題提起:Whoisの個人に関する情報って隠さなくていいんですかね?

Whoisで公開される情報について問題提起 最近、Whoisのデータベースを見ることが多いのですが、問題提起をしたいと思います。話題にならなければ、それはそれで世間は問題としていないということでしょう。 前提 インターネットのドメインは、Whoisデータベ…

Operation Power Off(パワーオフ作戦)によるwebstresser.orgの摘発の件を調べた

パワーオフ作戦 www.itmedia.co.jp 欧州刑事警察機構(ユーロポール)は4月25日、世界最大規模のDDoS(分散型サービス妨害)サービスを展開していた「webstresser.org」を摘発し、欧州各地の警察が複数の管理人を逮捕したと発表した。 発表によると、今回の…

AmazonのDNSトラフィック乗っ取り 仕組みについて解説

Route53のトラフィック乗っ取り AmazonのRoute53がトラフィック乗っ取りの被害に遭った、と聞くとぎょっとした人が多いのではないでしょうか。AWSの利用者は多いですからね。攻撃の仕組みについて解説します。 www.itmedia.co.jp AWSのクラウドベースのDNSサ…

アカマイ社「UPnProxy: Blackhat Proxyies via NAT Injections」を日本語で理解する

アカマイからルーター脆弱性の詳細が発表される 家庭用ルーターの脆弱性の件は記憶に新しいのですが、CDNで大きなシェアを持つアカマイ・テクノロジーズがその詳細をホワイトペーパーにまとめました。 forbesjapan.com 世界有数のクラウドセキュリティ企業「…

Googleから直販ECサイトの商品へGoogle Shopping Adsで流れるフローがAmazonの脅威になる

GoogleがAmazonの脅威に? 直販ECサイトが続々と構築されているのに、Amazonでしか買わないという流れが一変するのかもしれません。 www.mag2.com eコマースはAmazonの一強とも言える状況ですが、唯一の対抗馬としてGoogleが浮上しています。買い物の入口を…

もしかしたら「+メッセージ」は国策アプリなのかもしれませんね

「+メッセージ」は、はじめ高い評価をしなかったけれど NTTドコモ、AU、ソフトバンクの国内キャリア3社に閉じたメッセージングサービス「+メッセージ」については、RCSプロトコルを利用するものの、Googleのインフラにはのせない、日本国内に閉じたサービ…

Drupalの脆弱性を悪用可能な実証コードは怖いくらい簡単だった

攻撃用のコードが公開 以前記事にしましたCMSのDrupalの深刻な脆弱性について、実証コードが公開されたという件を聞きました。 japan.zdnet.com オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4…