「セキュリティ人材が足りない」件について
一つのきっかけはCSIRT構築だろう。そもそもCSIRTを構築すれば、セキュリティ対応できる人材が必要になるのは必然なので、セキュリティ人材が足りないということになるのだろう。セキュリティ人材の足りないCSIRTって何…?という話は置いておいて、CSIRTで求められる人材像はとても幅広い。技術の範囲だけでなく、組織的、経営的にも幅広く高い能力が求められる。そもそも経営リスクであり、かつ、高度な事案に対処するのだから当然のことだ。 ところが、最近言われている「セキュリティ人材」には具体的な「スペック」が提示されていないことがほとんどだ。高い技術力が求められるからこそ、具体的な能力を定義しないといけないのに、「トップガン」とか「抜きん出た人材」など、あいまいなイメージでしか語られないのだ。 実際、最近目にする「セキュリティ人材募集」の募集要項には、資格など以外はほとんど触れられていない。そして
情報通信白書を“情報セキュリティ”の視点で読むと……
半年ほど前に2014年版の「情報通信白書」が公開された。白書は情報セキュリティの基本となる様々な数字を提供してくれる貴重な資料だ。どういう数字がセキュリティのヒントになるのか。 「情報通信白書」は、総務省が毎年公開している資料だ。ここにはびっくりするほど様々な統計数字が掲載されている。この分野で情報セキュリティは、「縁の下の力持ち」ともいえるだろう。今回は情報セキュリティを考える上で参考になる数字を取り上げてみたい。 携帯電話の普及率(世界) 携帯電話を世界でみると、発展途上国では固定電話回線が伸び悩む中、携帯電話の伸びが極めて高い。2000年の世界の普及率は12.1%だったが、2012年にはなんと89.5%という脅威の伸び率である。先進国と言われる日本、カナダ、米国、欧州を除くと、この伸び率はさらに驚愕の数字だ。携帯電話台数は2000年の2.6億台から2012年には50.5億台と、実に1
世界のメールの暗号化はたった一人の男に依存しており、開発資金はゼロになってしまっているという衝撃の事実が判明
世界中のジャーナリストやセキュリティ関連に敏感な人、さらにはエドワード・スノーデン氏のような内部告発者までもが使用している、無料のメール暗号化ソフトウェアが「GNU Privacy Guard(GPG)」です。この暗号化ソフトを1997年からたった一人で開発してきたのがヴェルナー・コッホ氏で、彼が置かれている厳しい現状をProPublicaが明かしています。 The World’s Email Encryption Software Relies on One Guy, Who is Going Broke - ProPublica http://www.propublica.org/article/the-worlds-email-encryption-software-relies-on-one-guy-who-is-going-broke ソフトウェアエンジニアのコッホ氏がGPGの開
「片山被告の方が捜査員より知識あった」と捜査関係者 誤認逮捕招いた遠隔操作事件、警察が得た反省と大きな教訓 - 産経ニュース
遠隔操作事件では、4人の誤認逮捕という重大なミスをした捜査当局に課題が突きつけられた。日進月歩のネット社会の犯罪にどう立ち向かうのか。 「被告のもくろみどおり誤認逮捕されており、一定の限度で考慮するのが相当だ」 4日の片山祐輔被告の判決では、起訴内容に含まれていない誤認逮捕も量刑の判断材料に加えられたが、捜査当局への直接的な言及はなかった。判決後の記者会見で、主任弁護人を務めた佐藤博史弁護士も「誤認逮捕があった捜査の問題に光が当たらずに残念だ」と述べた。 「素直に言って片山被告の方がアイデアがあり、当時の捜査員より知識が上回っていた」と捜査に加わった警視庁関係者は振り返った。パソコンが遠隔操作ウイルスに感染してもその痕跡が残らないという初めての経験を前に「誰かに遠隔操作されているかもしれないという発想は全くなかった」と誤認逮捕に至った事態を反省した。 事件は神奈川・江の島の防犯カメラを解析
ワンクリック詐欺で慌てた話
ワンクリック詐欺のことは知っているから遭遇しても対処できる、と思っていたらかなりダメだったというお恥ずかしい話をいたします。 「xyzxyzxyz.com(※仮)にスマホから行くと面白いですよ」- チャットで仕事のやりとりをしていた同僚が、ふと思いついたようにリンクを送ってきました。普段からサイバー脅威の話や技術的な背景についてなど、何かと教えてもらっている相手です。 Designed by Freepik 見た感じちょっと怪しげなURLなので、「自分のスマホから見に行きますけど大丈夫ですか?!変なことになりませんか?」と念押しすると「はい」とのこと。何か新しいセキュリティネタかな、とアクセスしてみました。 そのとたん、画面いっぱいにこんな通知が。御登録完了!?会員ID!?…いや、これはワンクリック詐欺の常套手段です。こうやっていかにも登録完了したかのように見せかけて、「登録したからにはお
中国、インターネットサービスの実名登録を義務づける新規制
中国政府がインターネットサービスへの実名登録を義務づける新たな規制を発表したと、米Wall Street Journalが報じた。国益に反するコンテンツの拡散を防止するためとしており、現地時間2015年3月1日より発効する。 インターネット規制当局である国家インターネット情報室(CAC)が2月4日にWebサイトに掲載した声明によると、新規制はブログ、ミニブログ、インスタントメッセージング(IM)、オンラインフォーラム、ニュースサイトのコメント欄などの利用者が対象となる。 また新たな規制では、誤解を招くユーザー名や他人をかたるユーザー名の使用も禁止する。具体的には、「People’s Daily(人民日報)」など国営メディアを装うもの、「Barack Obama」「Vladimir Putin」など外国の首脳を名乗るものは使用してはならない。 中国の大手インターネット企業は新規制の施行により
【セキュリティ ニュース】患者の個人情報がネット上で閲覧可能な状態に - 聖路加国際病院(1ページ目 / 全1ページ):Security NEXT
聖路加国際病院は、患者の個人情報含むファイルがインターネット上で閲覧可能な状態にあったことを明らかにした。 同院が扱うファイルにインターネット経由でアクセスできる状態になっていたことが判明したもの。2003年1月から11月の間に女性総合診療部で診療を受けた70人の個人情報が含まれるファイルが外部より閲覧が可能となっていた。 問題のファイルには、氏名、年齢、検査結果などが記載されており、同院ではファイルを削除した。関連する患者に対しては、書面で報告と謝罪を行っている。 (Security NEXT - 2015/02/04 ) ツイート
首都大学東京の情報流出の件で公開質問状送ったら *ちゃんとしたのが* 返ってきた - 職質アンチパターン
首都大学東京の情報流出の件で公開質問状送った - 職質アンチパターン これの件です.ちゃんとしたのが返ってきたので共有します. ご返答ありがとうございます. 以下回答ですが,雑にhtml組んだために読みにくいので生のpdf置いておきます.適宜見てください.pdfで読むほうが書いた人のあたたかみを直に感じられるので体験が高いでしょう. https://dl.dropboxusercontent.com/u/14832699/%E3%81%94%E8%B3%AA%E5%95%8F%E3%81%B8%E3%81%AE%E5%9B%9E%E7%AD%94.pdf 以下引用. No. ご質問 回答 1 外部から FTP でアクセス可能という事だったが,これは anonymous FTP だったのか 当該NASは、教務課内のみで情報共有を行う目的で設置しておりましたが、アクセス権限を設定していなかった
ここ数日のeo光、DTI、VALUE DOMAINで発生したDNSサーバー障害についてまとめてみた。 - piyolog
2015年2月2日以降、eo光、DTI、VALUE DOMAINのDNSサーバーにおいて障害が発生しました。ここではその関連情報をまとめます。なお、各事象の関連性について確証となる情報はpiyokangoが確認できておらず、DNS水責め攻撃の関連は推測です。(似たような障害が重なっただけといった可能性もあります。) DNSサーバー障害が起こった組織 piyokangoが確認した範囲では次の3社のDNSサーバーで障害発生。 (1) eo光 2015年2月1日 DNSサーバー設備障害復旧のお知らせとお詫びについて(修正報) 障害原因:アクセス数増加(DDoS攻撃)による過負荷 → サーバー設備障害にその後修正 障害発生期間:2015年2月1日 22時45分 〜 2015年2月2日 0時22分 障害による影響:ユーザーがWeb閲覧やメール等のサービスを利用できない場合があった。 (2) DTI
Google Playで1500万回以上ダウンロードされた複数のアプリにアドウェアが混入
By CyberHades セキュリティソフトウェア「avast!」の開発・販売を手がけるAVAST Softwareがユーザーからのタレコミを検証したところ、Google Playで配信されていた3つのアプリにアドウェアが潜んでいたことが明らかになりました。3つのアプリの合計ダウンロード数は1500万回以上あり、数多くの端末にインストールされた可能性があります。 Avast blog » Apps on Google Play Pose As Games and Infect Millions of Users with Adware https://blog.avast.com/2015/02/03/apps-on-google-play-pose-as-games-and-infect-millions-of-users-with-adware/ Google Playで公開されてい
はてなフォトライフはExif情報をデフォルトで削除する設定にしてほしい - ネットの海の渚にて
photo by mortimer? いつからだろうか。 カメラで撮った写真を気軽にネットにアップできるようになったのは。 携帯にカメラがついたころから、素人でも自分の撮影した写真を多くの人の目に触れさせることが容易になった。 それは今も継続してさらに発展中である。 iPhoneに搭載されているカメラはあっという間に進化して、一昔前のコンパクトデジカメを凌駕するような写真が気軽に撮れるようになっている。 そうなるとカメラ知識があまり無い人も写真を撮ってネット上にアップすることになる。 デジカメで撮影した写真にはExif情報が格納されている。 撮影日時だけでなく、シャッタースピードや絞りの数値、ISO感度等、後から見返す際にとても重要な情報が残されている。 写真とは光をどれだけ映像素子に取り込んだかということで結果が出る。 撮った写真がなぜこのような結果(写り)になったのかというのはExif
武雄市の小学生が使っているタブレットにバナー広告が入っている件 - 畳之下新聞
TSUTAYA図書館でおなじみの佐賀県武雄市が、市内の全児童にタブレットを無償貸与すると発表して話題になったのはちょうど1年前の事です。 事前に授業の動画などで予習をした上で授業にのぞむ「反転学習」とよばれる学習スタイルを導入するというのが目的でした。 タブレットを何につかっているのか 武雄市は、小学生へのタブレット配布にあたり、KEIAN製 7インチAndroid タブレット 3153台と11校分のシステムサーバー、学習支援システムで、総予算約1億2298万円を投じています。 3年生から算数、4年生からは理科を加えた2科目で活用を始めたとされていますが、武雄市が投じた1億2298万円には、授業に利用する「教材そのもの」の費用は含まれていません。 教材はどうしているかというと、学習塾のワオ・コーポレーション、科学雑誌のニュートンプレス、市内小学校の教諭が共同で開発しているそうです。 また、
物議を醸すグーグルの「Windows」脆弱性公表から学ぶべきこと
Paco Hope (Special to TechRepublic) 翻訳校正: 石橋啓一郎 2015-02-04 06:00 ゼロデイ攻撃の撲滅を目指すGoogleのProject Zeroは2014年の米国時間12月30日、Windows 8.1に存在する脆弱性の詳細(および実際に動作する攻撃コード)を公開した。問題はGoogleが、Microsoftがパッチを公開したかどうかに配慮することなく、90日で詳細を公開するというスケジュールを厳密に守ったことだ。その90日の期限は、冬のホリデーシーズンの最中に訪れた。 また2015年1月5日には、セキュリティ研究者のPaul Price氏が、数百万人単位の顧客のデータを漏えいさせる可能性のある、Moonpig.comのAPIに関する問題の詳細を公開した。同氏はMoonpig.comと連絡は取っていたものの、同社は1年間の間その問題を修正せ
Windows 7の起動時に管理者権限を強制的に取得する裏技
Windows 7の起動画面で使っているパスワードを忘れてしまい、ログインできないという非常事態に出くわしたときに、管理者権限を取得した状態でコマンドプロンプトを立ち上げられる裏技を知っておけば、コマンド入力であっという間にパスワードを設定し直してログインすることが可能です。ということで、実際にうまくいくのか、管理者権限を強制的に取得する裏技を試してみました。なお、この裏技は手順を間違えるとPCが正常に起動しなくなる危険がある点には注意が必要です。 A tutorial on how to get into an admin account on ANY computer. - Imgur http://imgur.com/gallery/H8obU 電源ボタンを押してPCを起動させ、「Windowsを起動しています」と表示されている間に、PCの電源ボタンを長押しして強制的にPCをシャット
IEに未解決の脆弱性情報、「悪用可能」との報告も
Full Disclosureに投稿された情報によると、IEにユニバーサルクロスサイトスクリプティングの脆弱性があり、同一生成元ポリシーをかわされる恐れがある。 MicrosoftのInternet Explorer(IE)に存在するという未解決の脆弱性に関する情報が、セキュリティ情報サイトのFull Disclosureに投稿された。 英セキュリティ企業のDeusenが1月31日に投稿した情報によると、IEにはユニバーサルクロスサイトスクリプティング(XSS)の脆弱性があり、同一生成元ポリシーをかわされる恐れがある。悪用された場合、攻撃者が別のドメインの内容を盗んだり、別のドメインに不正な内容を挿入したりできてしまうという。 同社はこの脆弱性のコンセプトを実証するリンクも掲載。英紙Dailymailのコンテンツを外部のドメインによって改ざんし、「Hacked by Deusen」の文字を
教育用タブレット使い児童買春 NHKニュース
ツイッターで知り合った同じ女子中学生に現金を渡すなどしてわいせつな行為をしたとして、会社員と大学生の男が児童買春の疑いで警視庁に逮捕されました。 この中学生は通信教育用のタブレット端末を使ってツイッターを利用していたということで、警視庁は、利用の仕方について注意を呼びかけています。 逮捕されたのは京都市の会社員、平山隼一容疑者(34)と、当時19歳だった東京・日野市の大学生です。 警視庁の調べによりますと2人はそれぞれ去年9月と10月に、埼玉県内のホテルと多摩市内のカラオケボックスで同じ15歳の女子中学生に18歳未満と知りながら現金3万円を渡すなどして、わいせつな行為をしたとして児童買春の疑いが持たれています。 警視庁によりますと、2人は容疑を認めているということです。 女子生徒は携帯電話を持っていませんでしたが、弟の通信教育用のタブレット端末を使ってツイッターを利用していたということで、
ssig33.com - よく分からない人のためのセキュリティ
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
「セキュリティ対策」
「不正な入力に対して脆弱性を発生させないようセキュリティ対策としてバリデーションを行う」。アホか。プログラマならセキュリティ対策とか気にするな。いや、気にするなというのは言い過ぎだけれど、ほとんどの場合においてあなたの書くコードはセキュリティ対策の必要性はない。 攻撃者の細工した入力によってSQL/HTML/JavaScriptが壊れるとかバッファオーバーフローが発生するとか、そういった脆弱性と呼ばれるほとんどのものはただのバグだ。セキュリティ対策っていうのはコードとは切り離された領域で行うDEPだったりASLRだったりX-Frame-OptionsだったりCSPだったりiframe sandboxだったり、そういうものがセキュリティ対策だ。コード上で書くのは「アプリケーションとして正しく動作するための処理」だけだ。 もちろん例外もあるかもしれないけど、それはあくまでも例外だ。日常的に書く
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
いまインターネットには「代替ネット構築」が必要だ──Applied Mindsダニー・ヒリス
ニフティ、ウイルス対策を施せないIoT機器もまるごと保護する「常時安全セキュリティ24プラス」 
【海外セキュリティ】Javaの脆弱性の悪用が減少――Ciscoによる年次セキュリティ報告書 ほか 
GoogleがWebでのSHA-1の利用停止を急ぐ理由 | POSTD