バージョン管理システムについておさらい Gitというのはバージョン管理システムで広く世の中に使われています。あのLinuxの大元を作ったLinusさんが2週間で作ったっていうのは有名な話です。 hyoshiok.hatenablog.com だいたい、バージョン管理システム自体…
完全性の話 セキュリティーの三原則と言えば、「機密性」「可用性」「完全性」なのですが、その中の完全性の話です。 完全性と言えば、「いつでも完全な形でシステムやデータを使えるか」という話なのですが、結局のところシステムというのはこれに尽きるん…
SSLサーバー証明書は2年物を買うべきではない 今日の今日、今の今知ったことですが、たくさんの人に知られるべきだと思ってまとめます。サーバー証明書を購入する時、たいてい「1年」「2年」が選べると思います。更新作業は面倒なので、2年を選びたくなる…
はじめに Zoomというサービスがテレワークで流行していて、しかしセキュリティーに問題があっていろいろとすったもんだしていると伺いました。 何がZoomに起きているのか、いろんな記事を確認していきます。 さまざまな脆弱性 toyokeizai.net アメリカ連邦捜…
テレワークとSaaSの関係 テレワークも長丁場となってくると想像力が働いてくるのですが、この状況を機に新しいSaaSなどのシステムを入れた企業も多いのではないでしょうか。 SaaS提供企業もこの状況に対して寄与するために、無償利用キャンペーンをするのが…
意図しないメールが送信された 私はメール運用なんて、さっさとGmailやらMicrosoft365やらにぶん投げちゃえばいいと思っていますが、こういう件があるとさらにそう思いますね。 www.itmedia.co.jp 日本郵便は2月14日、同社のメールアカウントが第三者から不…
日本の消防はすごい 日本ってどこの地域に行っても消防署があって、防火・防災を中心に地域の安全を守ってますよね。火事や災害は人の命や財産に直結しているので、国民が生活をしていくうえでとても重要な組織だと思います。 法的な根拠として「消防法」と…
『ITの7つの無意味な習慣』 セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。 qiita.com 2019年の今年は「令和元年」であるわけだが…
ハードディスクやSSDの中身はどうやったら消えるか 某事件の発生以来、世間で「おい、システム終了後にシステムが保管していたデータは本当に消えるんだろうな?」という疑念は沸きあがっているように思います。もっと具体的に言えば、ストレージにあるデー…
消えないハードディスクの中身 オンプレミスの運用をやっていたときの思い出ですが。 お客様の物理サーバーをお預かりし、データセンターでシステムを運用していたことがあります。 お客様のシステムを終了する際、そのシステムを動かしていた物理サーバーの…
セキュリティー問題と、深刻という言葉 多くのソフトウェアがインターネットによって接続され、相互に関係しあうようになったため、あるソフトウェアの脆弱性が多くの人々を巻き込むようになりました。自分が使っていないからと言って関係ないとは言い切れな…
sudoってヤバいの? 久々にセキュリティーネタでびっくりしましたよ。 japanese.engadget.com Linuxのsudoコマンドに、本来root権限をとれないユーザーがそれを奪取できるようになる脆弱性が発見されました。この脆弱性を突けば、sudoを利用する際の権限設定…
Linuxに新種のランサムウェアが猛威 ランサムウェア「Lilu」あるいは「Lilocked」が、Linuxサーバーに対して脅威となっているそうです。 news.mynavi.jp 既に数千台のLinuxサーバがこのランサムウェアに感染したとされている(フランスのセキュリティ研究者で…
初の是正勧告 リクナビ問題について、個人情報保護委員会が初めての是正勧告を出すと日経新聞が報道しました。 www.nikkei.com 就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が就活生の同意を得ずに「内定辞退率」の予測を企業に…
サイバー攻撃とIT技術者 日韓の安全保障問題が大きな話題となる中、IT技術者としては別の記事が気になりました。サイバー攻撃への防衛力強化の件です。 www.nikkei.com 日米両政府が19日に開いた外務・防衛担当閣僚協議(2プラス2)はサイバー攻撃への防衛力…
個人情報のデータ活用に潜むリスク リクナビが学生の個人情報を元に内定辞退率の予測データを販売していた問題は、これからのWebサービスを考える上で問題提起となったと思います。 www.itmedia.co.jp リクルートキャリア(東京・千代田)が、就活支援サイト…
「BIG-IP」に深刻な脆弱性? 夏の大型連休直前、金曜日の夕方に報道されていて何となくスルーされているニュースがあります。 pc.watch.impress.co.jp エフセキュア株式会社は、F5 Networksの提供するロードバランサー(負荷分散装置)の「BIG-IP」において、…
はじめに 7PayにおけるGitHubソースコード漏洩(の可能性)の件、できるだけわかりやすく、何が起こったかを説明してみたいと思います。一般の人にはなかなかわかりにくいと思いますので。 この件そのものの顛末は、下記の記事をごらんください。 www.busine…
はじめに SMS(ショートメッセージサービス)は電子メールと違って、電話番号に届くメッセージであり通知の仕方も特別なので最近は企業等から通知する手段として見直されている存在です。 メッセージ開封率も高いのですが、それを逆手にとってフィッシングサ…
はじめに 毎日のようにセブンイレブンを使っていて、7payが始まるのは知っていたのですが様子見していました。そうしたところ、不正利用の話が各所で炎上しています。状況を把握すべくこれまでに入っている情報をまとめます。 メディア記事 2019/7/3 19:08 I…
Exim メールサーバーに深刻な脆弱性 私はメールサーバーを構築するときは、postfixと決めているので今回の件全く影響を受けないのですが、なんだかEximというメールサーバープログラムは結構シェアを伸ばしていたようですね。 nakedsecurity.sophos.com 6 月…
ヤマダ電機のECサイトから流出 大きいのが来ましたね・・。 www.yamada-denki.jp このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性がある…
FIrefoxのアドオンが全滅。世界中でユーザーが悲鳴。 もう世界中で騒ぎになっているこの件。 forest.watch.impress.co.jp 「Firefox」にインストール済みのアドオンがすべて無効化され、利用不能になる問題が複数報告されている。アドオンを新規にダウンロー…
Docker Hubにて重大セキュリティインシデントが発生 10連休初日からリスク発生です。 Docker Hubという、Dockerを使う人ならば誰でも使っていると言っても過言ではない、Docker純正のパブリックコンテナ置き場(公式リポジトリ)が、ハッキングされ、190,000…
RPAで業務が圧縮された。ところが・・。 国内SIerが熱心に売り込んでいるRPAですが、少しクールダウンする必要があるという件です。 techtarget.itmedia.co.jp 企業を狙ったサイバー攻撃の一つに「ビジネスプロセス詐欺」(BPC)がある。攻撃者が業務プロセ…
WordPressが狙われている 私の担当は基本的にOSから下、ITインフラ基盤なのです。しかし、その上物であるミドルウェア・アプリケーションがセキュリティーリスクにさらされると、お客様が不幸になるので、セキュリティーについては後半に情報を収集していま…
アクセスはしたい。でも自分の存在を知られたくない。 インターネットをいかに安全に利用するか。 自分とサーバーの間には通信路があるのですが、この間に何者かが介在して盗聴されるかもしれない。特に公衆の無料Wifiなど、運営者が100%信用できない場合に…
そのクラウド、セキュリティーは大丈夫? パブリッククラウドの利用において、「セキュリティーは大丈夫か?」という質問を受け取ることはありませんか?。 質問自体はシンプルなのですが、「大丈夫ですよ」と答えるのはなかなか大変ではないでしょうか。も…
NOTICEの概要 目的 日本国内でインターネットにつながるIoT機器のうち、認証が脆弱でサイバー攻撃に悪用される可能性のある機器を探し、インターネットプロバイダーを通じて機器の所有者へ改善を求めること。 主管 総務省、国立研究開発法人情報通信研究機構…
Peingの脆弱性の件は初動対応がまずいという話を書きました。一方で、今日Googleから受け取ったメールを見て、脆弱性のリスクについては大企業もベンチャーも似たようなものなんだということを深く確信しました。 Googleから受け取ったメール いつも Google …