はてなブックマーク

はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢中で・・とかいう人はいいです。その道を邁進してください。高校・大学からCTFやってますとか、なんとなくペンテストに興味があって、とかいう人は、興味のない分野でもとりあえずやってみることをお勧めします。意外な分野で適性があるかもしれません。社会人人生は五十年くらいあります。なるべくいろんなことをやってみて、自分に合っているものを見つけましょう。 できないことを悩まない 入社してしばらくすると、あの人はあんなにできるのになぜ自分はこんなにできないのかってなるんですよねえ。で

はじめに 歳をとってきたからか、「セキュリティエンジニアとしてやっていくには何を勉強すればいいのか」ということを聞かれるようになりました。 正直私は体系だった勉強をしておらず言えることがその場ではあまりなかったため、自分が勉強しておいてよかったことをここで改めて思い返してみようと思います。 シェルコード作成 要はアセンブリ言語の勉強です。シェルコードを作る、という目的があったのが私にはよかったです。 学生時代はCのポインタはさっぱり理解できませんでしたが、アセンブリ言語をやってよく理解できました。メモリの使い方とかもここで学んだ。私はSPARCが好きだったので、Delayed Slotやビッグエンディアン、メモリのウインドウシステムの美しさに感動したのを覚えています。便利なツールなぞない時代だったので、ひたすらgdbでbreakしてsiしてxです。 ちなみに、当時超役に立った本で「Pani

はじめに セキュリティ業界は人が少ないので、どこに行っても名前を聞く人とか、バイナリを見ただけでどこ製のマルウェアかわかる人とか、つよつよ人材が身近にいがちです。そんなトップガンを目指すのも一興ですが、ある程度の期間は、起きている時間全てをセキュリティに捧げる覚悟が必要です。私はそこまでできないので、別の戦略で生き延びています。そんな話です。 セキュリティ以外に得意分野を作ろう 私はもはやセキュリティの技術的な能力は干からびてしまっていますが、文書を作成するのがまあまあうまいです。今の会社はこの一点突破で採用されました。セキュリティを知っている人はたくさんいます。文書を作成するのがうまい人は星の数ほどいます。ではその両方は？おそらくとても少ないです。なぜなら大抵のセキュリティエンジニアは報告書などの文書作成が苦手or嫌いだからです。（そのうちchatGPTに駆逐されそうではありますが） 「

リアルタイムには情報を追っておらず、お知らせ一覧等から調べているため抜けがあるかもしれません。 ルールは以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません 情報源はこの辺。 security.nekotricolor.com 政府機関 経済産業省 エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン 2019/12/27 総務省 文書タイトル 公開日 我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項(緊急提言) 2020/01/28 IoT・5Gセキュリティ総合対策 プログレスレポート2020 2020/05/22 Wi-Fi利用者向け 簡易マニュアル（令和2年5月版） 2020/05/29 Wi-Fi提供者向け セキュリティ対策の手引き（令和2年5月版） 2020/05/29

【2020/04/21追記】 NTTとIPAによるテレワークサービスシステム。SoftEtherを使い簡単に構築できるリモートデスクトップ環境を無償で開放するそうです。 企業・組織における迅速なテレワーク環境の構築促進を目的にIPAとNTT東日本は、テレワークサービスの実証実験システム「シン・テレワークシステム」を共同で緊急構築し、本日から本年10月31日まで実証実験として無償開放します。https://t.co/YW3w2brw0c— IPA（情報処理推進機構） (@IPAjp) 2020年4月21日 【2020/04/21追記ここまで】 取り急ぎ、公的機関が公開しているテレワークのセキュリティに関する情報をまとめました。 突然テレワークをすることになった人はまずこの辺を読んでできる対策をしておきましょう。 テレワーク実施者の方へ（NISC。2020年4月公開） テレワーク勤務のサイバー

【2020/08/03 「デジタル・フォレンジック研究会」追加】 2015年に公開した以下の記事、そろそろ全体的に更新したくなったので新たに記事を作成しました。 security.nekotricolor.com リンク切れの修正が主ですが、多少追加・削除しています。間違いがありましたらtwitter等でお知らせいただけると大変助かります。 目次 目次 政府機関 セキュリティ関連団体 セキュリティベンダー その他団体 脆弱性情報（全分野） 脆弱性情報（ベンダ・開発者） Microsoft Apple Adobe Cisco Oracle WordPress その他 脆弱性情報（言語） 国内のニュースサイト 海外のニュースサイト 関連記事 政府機関 公式サイト 新着情報の場所 内閣サイバーセキュリティセンター What's New 経済産業省：情報セキュリティ政策 最新情報 総務省：サイバー

pwnable.twのスコア100の問題、「start」のwrite-upです。 pwnable.tw 昔CTF for Girlsのバイナリ解析の講師をやったときに、講義後に実習ということで簡単な問題をやってもらったのですが、まず何をしていいのか分からないという人が結構いて、その辺を説明しなかったことをずっと後悔していたので、だいぶ詳細に解説してみました。問題自体は基本をおさえたシンプルなもので、バイナリ解析の勉強にはとてもいいのではないかと思います。 なお、諸々思い出すためにも、pwn用ツールは使わずゆっくりじっくりやっています。*1 目次 目次 環境 まず何をするか そもそもフラグとは 問題に書かれているものをとりあえずやってみる startファイルをダウンロード fileコマンド stringsコマンド ファイルを実行 Exploit gdb上で実行する objdumpによる逆アセ

もう3月ですがやらないよりはいいだろうということで・・・。 2018年はリアルタイムには情報を追っておらず、お知らせ一覧等から調べているため抜けがあるかもしれません。 ルールは以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません 情報源はこの辺。 security.nekotricolor.com 政府機関 METI 文書タイトル 公開日 情報セキュリティサービス基準 2018/02/28 情報セキュリティサービスに関する審査登録機関基準 2018/02/28 システム監査基準 2018/04/20 システム管理基準 2018/04/20 総務省 文書タイトル 公開日 公衆無線 LAN セキュリティ分科会報告書*1 2018/03/22 テレワークセキュリティガイドライン（第４版） 2018/04/13 IoTセキュリティ総合対

【2019/02/20追記】参加するプロバイダについての情報がありましたので追記しました。 2月20日から始まる、総務省と国立研究開発法人情報通信研究機構 (以下 NICT) による大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました。 本件、いろんなところで記事になっていますが、このエントリは公的機関とNICTが公開している情報のみ参照して書いています。 まずはどういった検査を行うのかと、それに関わる法律についてまとめてみます。 検査の概要は総務省の報道資料「ＩｏＴ機器調査及び利用者への注意喚起の取組「NOTICE※」について」にあります。画像以外ほぼまるっとコピペ。 改正情報通信研究機構法に基づき、本年２月20日（水）より情報通信研究機構（NICT）がサイバー攻撃に悪用されるおそれのある機器を調査し、電気通信事業者を通じた利用者への注意喚起を行う取組「NOTIC

航空会社のパスワードについて調べてから4年経ったので、また調べてみました。 security.nekotricolor.com ルールは前回と同じです。 最初に日本語のサイトを確認 日本語のサイトが存在しない場合、（国を選べる場合は）日本の英語サイト→（国を選べる場合は）アメリカの英語のサイト→その航空会社の国の英語サイトの順 実際に登録はしていないため、登録ページやFAQなどにぱっと見情報がないものは掲載していません 4年前と比べてログイン機能を提供する航空会社が増えた印象ですが、登録時に住所やパスポート番号などの個人情報を要求するところも増え、調べられなかったサイトも多かったです。 ちと設定が古いのは否めませんが、前回も参照した情報漏えいを防ぐためのモバイルデバイス等設定マニュアル：IPA 独立行政法人 情報処理推進機構から、強度が十分なパスワード（＝ブルートフォース攻撃でのパスワード

IPAが毎年販売している「情報セキュリティ白書」、アンケートに答えるとPDF版が無料で読めるということで、主婦の嗜みとして読んでみました。 www.ipa.go.jp きれいにまとめようとすると時間がかかって旬を逃すため、まずは「第1章 情報セキュリティインシデント・脆弱性の現状と対策」について、気になった事件や用語をメモ付きで抜き出してみました。 Wanna Cryptor WannaCryじゃなくてCryptorになってる。2017年に世界を席巻したランサムウェアですが、実は身代金による被害は（振込人を特定する機能を持たず）比較的少なかったらしい。 ただ、ワームのような自己増殖機能を持っていたために感染はかなり拡大して、病院や鉄道などのインフラサービスにも波及し大きな話題になった、と*1。 この自己増殖機能は「EternalBlue」というワームの機能で、CVE-2017-0144のS

セキュリティ関連の記事を手動ではてブして、それを月ごとに自動的にまとめるスクリプトを作ったんですよ。 security.nekotricolor.com でも1日ほっとくだけで未読がものすごい数になるのであっさり挫折しました。で、なんか自動的にできないものかと思って、はてブとFacebookのいいね！がたくさんされているものを探る試み。 RSSフィードのリストを取得 まずは過去記事を取得しなきゃいけません。 私はRSSリーダー「Feedeen」というのを2014年7月頃から使っています。 Feedeen - いつでもどこでも新鮮な情報を ニュース関連のサイトで登録済みのRSSは以下のとおり。 注意喚起情報・脆弱性情報 RSS セキュリティレポート RSS エフセキュアブログ RSS トレンドマイクロ セキュリティブログ RSS インターネット セキュリティ ナレッジ RSS トレンドマイク

ここでいう脆弱性情報とは、 脆弱な製品とバージョン 脅威（= 攻撃者ができること（任意のコード実行、DoS攻撃など） 対策の有無 のことです。 情報収集の基本的な流れ： US-CERT・CERT/CC・JVNをチェック（RSS購読。この3つにあがってこないものはベンダ情報） ベンダ情報を確認 2.が曖昧な場合はNVD、SecurityFocusを確認 3.でもダメならググる US-CERT・CERT/CC・JVN ベンダ情報のほうが早いですが追いきれないのでこの3つが基本。それぞれ特徴があります。 US-CERT 著名なベンダのアップデートが出ると公開される感じ 脅威を記載 脆弱なバージョンについての言及はあまりない www.us-cert.gov CERT/CC ここに出ると、それが翻訳されたJVNが出る 脆弱なバージョンの記載はまちまち CWEベースで脅威を記載 JVNでの公開が待てる

2016年2月8日に経済産業省から公開されました。 秘密情報の保護ハンドブック～企業価値向上に向けて～ 本文に出てくる参考資料をまとめたものも公開されています。 構成 第１章 目的及び全体構成 １－１ 目的及び留意点等 １－２ 本書の全体構成 １－３ 本書の使い方 コラム① 本書をどのように使えばいいの？ 第２章 保有する情報の把握・評価、秘密情報の決定 ２－１ 企業が保有する情報の評価 （１）企業が保有する情報の全体像の把握 （２）保有する情報の評価 ２－２ 秘密情報の決定 （１）秘密情報の決定に当たって考慮すべき観点のイメージ 第３章 秘密情報の分類、情報漏えい対策の選択及びそのルール化 ３－１ 秘密情報の分類 ３－２ 分類に応じた情報漏えい対策の選択 ３－３ 秘密情報の取扱い方法等に関するルール化 （１）ルール化の必要性とその方法 （２）秘密情報の取扱い等に関する社内の規程の策定 コ

【2017/05/25 追記】日本クラウドセキュリティアライアンス（CSAJC）に対応しました。 【2017/05/17 追記】重要生活機器連携セキュリティ協議会（CCDS）に対応しました。 以下のような、公共性の高いドキュメントを楽に集めたい。 nekotricolor.hatenablog.com ということで、以前公開した以下の情報源のうち、RSSに対応していないサイトの更新情報をつぶやくTwitterボットを作成中です。 nekotricolor.hatenablog.com 仕様 アカウント名は@secutricolorです。毎日8:00に、前日に更新があったかどうかをチェックし、あった場合には「#セキュリティ新着情報」というタグを付けて以下のようなツイートをします。 首相官邸 IT総合戦略本部 【情報通信技術（IT）の利活用に関する制度整備検討会（第２回）の開催について】htt

上半期に公開された文書は以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません リンク先は全てPDFです。 政府機関 METI 文書タイトル 公開日 平成 26 年度サイバーセキュリティ経済基盤構築事業 （脆弱性診断人員に対するスキル評価に係る検討） 調査報告書 2015/08/11？ サイバーセキュリティ経営ガイドライン 2015/12/28 総務省 文書タイトル 公開日 インターネット上の個人情報・利用者情報等の流通への対応について 2015/07/17 ウェブサービスに関するID・パスワードの管理・運用実態調査結果 2015/07/30 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ 2015/09/09 NISC 文書タイトル 公開日 サイバーセキュリティ政策に係る年次報告（2014

ガイドライン、マニュアル、指針、報告書など、文書としてネットに公開されたものをちまちまと集めていたので、せっかくなのでまとめて公開してみたいと思います。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません リンク先は全てPDFです。 情報源は以下。nekotricolor.hatenablog.com 政府機関 METI 文書タイトル 公開日 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 2015/03/30 総務省 文書タイトル 公開日 Wi-Fi利用者向け 簡易マニュアル 2015/03/10 公衆無線LAN利用に関する情報セキュリティ意識調査結果 2015/03/16 地方公共団体における情報セキュリティポリシーに関するガイドライン 2015/03/27 サイバーセキュリティ政策推進に関する提言 2

情報セキュリティポリシーは、基本方針（狭義のポリシー）、対策標準（スタンダード）、実施手順書（プロシージャ）の3つからなります。基本方針は偉い人の「頑張りまーす」という宣言なのであまり口は挟めず、実施手順書はマニュアルなのでわざわざ集めなくても情報は豊富だろうということで、スタンダードを書くときに役立ちそうな情報を集めました。 つらつらと書いてますが、結局「サンプルあり」のとこに載せたJNSAのサンプルと総務省の地方公共団体向けのガイドラインだけで書ける気がする。 法律、ガイドライン等 情報セキュリティポリシーに関するガイドライン 平成12年（=西暦2000年）に策定された情報セキュリティポリシーに関するガイドラインの一部改定版。これが最新？ 経産省のガイドラインリスト 経産省系はここに一通りそろってます。 情報セキュリティ管理基準 (平成20年改正版) ポリシーはこれに準拠したことを書け

【2020/02/26更新】加筆修正を加えた2020年版を新記事を作成しました。この記事はもう更新しませんので、以下の記事をご覧ください。 security.nekotricolor.com 個人的なブックマークをどこでも使えるようにここに公開しておこうと思います。 政府機関 サイトURL RSSまたは新着情報の場所 情報セキュリティ政策（METI/経済産業省） 最新情報 総務省｜報道資料一覧：2020年2月 報道資料一覧 過去のトピックス一覧｜国民のための情報セキュリティサイト 過去のトピックス一覧 高度情報通信ネットワーク社会推進戦略本部（ＩＴ総合戦略本部） 【お知らせ】 警察庁 @police topics 警察庁 サイバー犯罪対策 What’s New 情報セキュリティ広場 警視庁 注目記事？ http://www.cryptrec.go.jp/topics.html トピックス一

無線LANのセキュリティって分かりづらいよね。と思っていて調べてみたら、どうも 暗号化アルゴリズム 完全性の検証方法 規格名 などが同次元に語られるせいで無駄に複雑になっているように思われます。 そこで、いくつかの切り口でまとめてみました。 とりあえず表でまとめてみる この表で一発解決な気がする。 暗号化方式 暗号化アルゴリズム 完全性の検証 規格「WEP」 規格「WPA」 規格「WPA2」 WEP RC4 CRC32 必須 - - TKIP RC4 Michael - 必須 任意 CCMP AES CCM - 任意 必須 TKIPとAESって同じ土俵で語られることじゃなくね？と漠然と思っていたのがこの表で解決しました。TKIPはRC4で暗号化し、Michaelで完全性の検証（=改ざん検知）するというプロトコルであり、AESは（RC4と同列で語られるべき）暗号化アルゴリズムであると。 で、

note.muで、表題のシリーズを書き始めました。目次からどうぞ。 書こうと思ったきっかけはこのエントリの最後に書いてあります。 誰かの役に立つことを願って。 目的 OllyDbgを使ってx86アセンブラ（32ビット）とデバッガの基礎の基礎を学ぶこと。 目次（随時更新） 第零話：まずは動かしてみる 〜ブレイクポイントとステップ実行〜 第一話：ステップイン・ステップオーバー・ステップアウト 第二話：メモリマップから見るコードとスタックの場所 第三話：ASLRの意味をデバッガで見てみる 第四話：CALL命令で起こること 第五話：スタックとLIFO、だから何？（怒） 第六話：EBPとESP、スタック領域の使われ方 第七話：CALL命令で起こること・再 最終話：古き良きバッファオーバーフロー攻撃の仕組み 以下未定 # 書いていくうちに変更するかも。 # 完結したらAmazonの電子書籍として出して

ついに！ANAマイレージクラブのログイン認証が4桁の数字から8〜16桁の英数字に変更されます！！！ 2014年12月3日（水）までが移行期間、2014年12月4日（木）からパスワード必須となります。 これを記念して、世界の航空会社のマイレージプログラムがどんなパスワードを使っているかまとめてみました。割と大変でした！ 以下の様な条件で、各航空会社のマイレージプログラムの登録ページやFAQなどにパスワードのルールに関する記載を探し、それをもとに表を作りました。 最初に日本語のサイトを確認 日本語のサイトが存在しない場合、（国を選べる場合は）日本の英語サイト→（国を選べる場合は）アメリカの英語のサイト→その航空会社の国の英語サイトの順 実際に登録はしていないため、登録ページやFAQなどにぱっと見情報がないものは掲載していません 以前「個人が使うWebサービスのパスワード管理について、現状を整理

※ここに書かれていることはnekotricolor個人の見解であり、所属する組織の公式見解ではありません。 一度書いてみたかった パスワード問題、結局どうすればいいのかというのを考えてみました。 ダラダラと書いてたらエラい力作になってしまいました。 ユーザ名は？という話もありますが、隠しようがなかったりメールアドレスだったりパスワード並みに複雑にできたり様々なのでここでは触れません。 長すぎて読む気がしないという方は「めんどくさいから簡単にできる方法を教えてという人へ」へどうぞ。 このエントリが対象とするサービス インターネットバンキング Amazon、楽天などのネットショップ（クレジットカード決済） Facebook、Twitter、mixiなどのSNS Gmail、hotmailなどのWebメール LINE、Skypeなどの無料通話・チャットサービス パスワードが破られたときに起こるこ