orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

セキュリティー問題で「深刻」と表現する意味はあるのか

セキュリティー問題と、深刻という言葉 多くのソフトウェアがインターネットによって接続され、相互に関係しあうようになったため、あるソフトウェアの脆弱性が多くの人々を巻き込むようになりました。自分が使っていないからと言って関係ないとは言い切れな…

sudo脆弱性(CVE-2019-14287)はてへぺろ

sudoってヤバいの? 久々にセキュリティーネタでびっくりしましたよ。 japanese.engadget.com Linuxのsudoコマンドに、本来root権限をとれないユーザーがそれを奪取できるようになる脆弱性が発見されました。この脆弱性を突けば、sudoを利用する際の権限設定…

ランサムウェア「Lilu」「Lilocked」にLinuxサーバーが感染するとどうなるか

Linuxに新種のランサムウェアが猛威 ランサムウェア「Lilu」あるいは「Lilocked」が、Linuxサーバーに対して脅威となっているそうです。 news.mynavi.jp 既に数千台のLinuxサーバがこのランサムウェアに感染したとされている(フランスのセキュリティ研究者で…

リクナビ問題 個人情報保護委員会の是正勧告とは何か?

初の是正勧告 リクナビ問題について、個人情報保護委員会が初めての是正勧告を出すと日経新聞が報道しました。 www.nikkei.com 就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が就活生の同意を得ずに「内定辞退率」の予測を企業に…

IT技術者はどこまで業務指示に従うべきか

サイバー攻撃とIT技術者 日韓の安全保障問題が大きな話題となる中、IT技術者としては別の記事が気になりました。サイバー攻撃への防衛力強化の件です。 www.nikkei.com 日米両政府が19日に開いた外務・防衛担当閣僚協議(2プラス2)はサイバー攻撃への防衛力…

ITエンジニアは個人情報問題で炎上しないためにPIA(プライバシー影響評価)を知ろう

個人情報のデータ活用に潜むリスク リクナビが学生の個人情報を元に内定辞退率の予測データを販売していた問題は、これからのWebサービスを考える上で問題提起となったと思います。 www.itmedia.co.jp リクルートキャリア(東京・千代田)が、就活支援サイト…

「BIG-IPの深刻な脆弱性」をエフセキュア社が主張 情報まとめ

「BIG-IP」に深刻な脆弱性? 夏の大型連休直前、金曜日の夕方に報道されていて何となくスルーされているニュースがあります。 pc.watch.impress.co.jp エフセキュア株式会社は、F5 Networksの提供するロードバランサー(負荷分散装置)の「BIG-IP」において、…

会社でGitHubを使うとなぜ危ないのか

はじめに 7PayにおけるGitHubソースコード漏洩(の可能性)の件、できるだけわかりやすく、何が起こったかを説明してみたいと思います。一般の人にはなかなかわかりにくいと思いますので。 この件そのものの顛末は、下記の記事をごらんください。 www.busine…

ショートメッセージサービス(SMS)がフィッシングに使われる案件が急増している背景は何か

はじめに SMS(ショートメッセージサービス)は電子メールと違って、電話番号に届くメッセージであり通知の仕方も特別なので最近は企業等から通知する手段として見直されている存在です。 メッセージ開封率も高いのですが、それを逆手にとってフィッシングサ…

7Pay不正利用関連の情報をまとめる

はじめに 毎日のようにセブンイレブンを使っていて、7payが始まるのは知っていたのですが様子見していました。そうしたところ、不正利用の話が各所で炎上しています。状況を把握すべくこれまでに入っている情報をまとめます。 メディア記事 2019/7/3 19:08 I…

Exim メールサーバーに深刻な脆弱性 マイクロソフトが警告

Exim メールサーバーに深刻な脆弱性 私はメールサーバーを構築するときは、postfixと決めているので今回の件全く影響を受けないのですが、なんだかEximというメールサーバープログラムは結構シェアを伸ばしていたようですね。 nakedsecurity.sophos.com 6 月…

ヤマダ電機不正アクセス発生 業界を挙げてWeb改ざんへの厳しい対応が必要

ヤマダ電機のECサイトから流出 大きいのが来ましたね・・。 www.yamada-denki.jp このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性がある…

(更新・復旧方法あり)Firefoxの署名有効期限切れによるアドオン利用不可は復旧に時間がかかるのではないか→66.0.4リリースで解決

FIrefoxのアドオンが全滅。世界中でユーザーが悲鳴。 もう世界中で騒ぎになっているこの件。 forest.watch.impress.co.jp 「Firefox」にインストール済みのアドオンがすべて無効化され、利用不能になる問題が複数報告されている。アドオンを新規にダウンロー…

Docker Hubのデータベースがハックされ190,000ユーザーのデータが一時的に露出したこと:速報

Docker Hubにて重大セキュリティインシデントが発生 10連休初日からリスク発生です。 Docker Hubという、Dockerを使う人ならば誰でも使っていると言っても過言ではない、Docker純正のパブリックコンテナ置き場(公式リポジトリ)が、ハッキングされ、190,000…

RPAが流行するとプロセスを改変する攻撃が広がるという罠

RPAで業務が圧縮された。ところが・・。 国内SIerが熱心に売り込んでいるRPAですが、少しクールダウンする必要があるという件です。 techtarget.itmedia.co.jp 企業を狙ったサイバー攻撃の一つに「ビジネスプロセス詐欺」(BPC)がある。攻撃者が業務プロセ…

WordPressへのサプライチェーン攻撃が相当に深刻な状況だ

WordPressが狙われている 私の担当は基本的にOSから下、ITインフラ基盤なのです。しかし、その上物であるミドルウェア・アプリケーションがセキュリティーリスクにさらされると、お客様が不幸になるので、セキュリティーについては後半に情報を収集していま…

新しく実装されたOperaブラウザのVPNの出口を調べてみた

アクセスはしたい。でも自分の存在を知られたくない。 インターネットをいかに安全に利用するか。 自分とサーバーの間には通信路があるのですが、この間に何者かが介在して盗聴されるかもしれない。特に公衆の無料Wifiなど、運営者が100%信用できない場合に…

「そのクラウド、セキュリティーは大丈夫?」に回答するための方法をまとめる

そのクラウド、セキュリティーは大丈夫? パブリッククラウドの利用において、「セキュリティーは大丈夫か?」という質問を受け取ることはありませんか?。 質問自体はシンプルなのですが、「大丈夫ですよ」と答えるのはなかなか大変ではないでしょうか。も…

2019年2月20日から総務省とNICTが実施する「NOTICE」まとめ

NOTICEの概要 目的 日本国内でインターネットにつながるIoT機器のうち、認証が脆弱でサイバー攻撃に悪用される可能性のある機器を探し、インターネットプロバイダーを通じて機器の所有者へ改善を求めること。 主管 総務省、国立研究開発法人情報通信研究機構…

GoogleもPeingも、脆弱性のレベルは似たようなもんだよねって話

Peingの脆弱性の件は初動対応がまずいという話を書きました。一方で、今日Googleから受け取ったメールを見て、脆弱性のリスクについては大企業もベンチャーも似たようなものなんだということを深く確信しました。 Googleから受け取ったメール いつも Google …

「情報セキュリティ10大脅威 2019」に初登場したサプライチェーン攻撃とは何か

「情報セキュリティ10大脅威 2019」の発表 本日、「情報セキュリティ10大脅威 2019」という記事がIPAから発表されています。 この情報については情報処理安全確保支援士の研修の中でも題材に必ず挙げられます。セキュリティー攻撃のトレンドについては常に最…

プライバシーマークは、パスワード保管時の暗号化を義務づける認証ではない件について

平文でパスワードを保管することとプライバシーマークの関係 宅ファイル便の個人情報漏洩事件が業界では大騒ぎとなっているのですが、1つ話題にしておかなければならないことがあります。運営会社はプライバシーマークを取得しているという事実です。しかし…

Peing脆弱性案件に見る初動のまずさ

https://peing.net/ 質問箱Peingに脆弱性が発見されメンテナンス中に 現在、下記ツイートに関連して、質問箱Peingのサービスがメンテナンス中となっています。 第三者が勝手にツイートできてしまう問題について対応中で、明朝までに復旧見込みです。本事象に…

宅ふぁいる便、480万件情報流出についてまとめる

問題の概要 宅ふぁいる便の情報流出がニュースになっています。 www.nikkei.com 大阪ガス子会社のオージス総研(大阪市)は25日、大容量ファイル転送サービス「宅ふぁいる便」で一部サーバーが不正アクセスを受け、全登録ユーザー数に相当する480万件の顧客…

Emergency Directive 19-01「DNSインフラストラクチャ改ざんの軽減」

DNSの改ざんが多発しているとのこと アメリカ政府も閉鎖が長期化する中でよくやっているなと思いますが、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が緊急指令を各省庁に出したそうです。 www.itmedia.co.jp 米連…

ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている

ThinkPHPという中国ローカルのフレームワークに脆弱性 ThinkPHPと聞いても日本の誰も知らないと思いますが、中国ではかなりの人気のあるフレームワークだそうです。このフレームワークに脆弱性が見つかり、中国ではこれに対する攻撃が蔓延しているとZDnet.co…

【注意喚起】Windowsの臨時更新プログラムがリリース(2018/12/20)、すぐに適用した方がよさそう

Windowsの臨時更新プログラム発表 もうすぐ年も終わるこの時期に、Microsoftから臨時の更新プログラムが出ました。 www.itmedia.co.jp 米MicrosoftのInternet Explorer(IE)で未解決の脆弱性を突く攻撃が発生していたことが分かり、同社は12月19日、定例外…

マイナンバー法、無断再委託禁止ルールをベンダー視点で再考する

マイナンバー法の再委託の件を再び考える 国税庁のマイナンバー入力案件について、委託先が無断再委託した、という件が問題になっていた件があったと思います。 www.orangeitems.com この件について、受注したベンダーの側を想像して、別の視点から考えてみ…

クレジットカードが危ない?!、認証の脆弱性事例が続々と

PayPayでクレジットカード不正利用の報道 ここ最近大きな話題となったPayPayに、クレジットカード不正利用の報道が流れています。 www.msn.com QRコードを使ったキャッシュレス決済で話題の「ペイペイ」で、クレジットカードの不正利用が判明した。購入額…

これって漏えいと呼ぶのかなあ・・・「国税庁委託先がマイナンバーなど個人情報70万件漏えい」

マイナンバーが漏えいの報道 マイナンバーの運用は運用開始当時から適当だなあと思いますが、ついに運用エラーが起きてしまったようです。 mainichi.jp 国税庁は14日、東京、大阪両国税局からデータ入力を委託されていた業者が契約に反して別業者に再委託し…