トランプ政権のサイバーセキュリティ政策 2017年03月28日12:44 ツイート gohsuke_takama オフィシャルコメント  by：高間 剛典 2017年1月20日にドナルド・トランプ氏が大統領に正式就任し、約2ヶ月が経過したが、トランプ政権でのサイバーセキュリティ政策は一体どのようなものになるのだろうか? じつはサイバーセキュリティ政策についての大統領令は、すでにドラフトが上がっている。(PDF)https://assets.documentcloud.org/documents/3424611/Read-the-Trump-administration-s-draft-of-the.pdf 簡単にまとめた分析によると、この政策は、まず軍・インテリジェンス機関を含む各省でのセキュリティ対策状況を監査レビューし、現在は各省ごとに行なわれているサイバーセキュリティ対策をホワイトハ

ワッセナー・アレンジメントにおける定義の厄介さ 2015年06月09日22:25 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン （訳補：通常兵器や関連品の）輸出管理体制に関する多国間の申し合わせであるワッセナー・アレンジメントでは、「侵入ソフトウェア」の定義を、コンピュータやネットワーク機能のあるデバイス上で、監視ツールによる検知を回避したり防護手段を打破する目的で、特別に設計または修正されたソフトウェアのこととしている。侵入ソフトウェアは、次のような目的で使用される。データや情報の抽出、システムデータやユーザデータの変更、外部から与えられる命令を実行可能にするためのプログラムやプロセスの標準的な実行経路の変更などだ。 ワッセナー・アレンジメントでは、監視ツールとはデバイス上で実行されているシステムの振る舞いやプロセスを監視するソフトウェアまたはハードウェ

「バック・トゥー・ザ・フューチャーPART2」のマーティ・マクフライのような方法で会社をクビになる可能性は？ 2015年11月02日08:00 ツイート fsecure_blog ヘルシンキ発 主人公マーティ・マクフライが過去や未来でさまざまな冒険を繰り広げる映画「バック・トゥー・ザ・フューチャー」 に懐かしい思い出を持つ人は多いのではないでしょうか。「バック・トゥー・ザ・フューチャー」シリーズ3部作で、マーティはタイムマシンに乗って過去や未来にタイムスリップし、さまざまな問題に直面します。元の時代である1985年に戻るにはこれらの問題を解決しなければなりません。 「バック・トゥー・ザ・フューチャーPART2」で、マーティは1985年から2015年10月21日の未来にたどり着いていますが、今日がまさにその日です。 「バック・トゥー・ザ・フューチャーPART2」がどのように未来、つまり現在の

サイバー攻撃がロシアの情報収集とつながる 2015年09月29日08:00 ツイート fsecure_blog ヘルシンキ発 エフセキュアラボが発行した新しいレポートによると、国家主体のサイバー攻撃の多くが、ロシアの情報収集に関与するあるハッキング集団と関連しているとしています。ホワイトペーパーには、「デュークス」と呼ばれるハッキング集団について詳細な分析が記されており、米国、ヨーロッパおよびアジアの各国政府や関連団体に対する7年以上に及ぶ攻撃がまとめられています。 今回のレポートでは、他にないマルウェアのツールセット群を駆使し、コンピューターネットワークに侵入し、攻撃者にデータを返信する手口で情報を盗み出す攻撃者集団、「デュークス」について詳述が記されています。この集団は、先述のツールセットを使いサイバー攻撃を仕掛け、少なくとも7年以上、ロシアの情報収集を支援してきた、とレポートでは述べ

プライバシーに関する議論を変えるかもしれない質問 2015年05月15日08:00 ツイート fsecure_blog ヘルシンキ発 正しい質問をすることがいかに大切か。当社のセキュリティ・アドバイザーであるショーン・サリバンは、質問の仕方は、あなたの主張を後押しすることも損なうこともできる、大変重要なものだと考えています。 政府による監視と企業によるインターネット上のトラッキングの問題について議論する際、おそらくほとんどの人が、「隠すことなど何もない」と問題を片づけてしまう人に出会ったことがあるでしょう。 実際これは非常によくある意見です。エフセキュアの最近の調査では、「あなたには何か隠すべきことがありますか？」という質問に対し、英国の回答者の83％が「ない」と回答しました。 ショーンは、当社の最新の脅威レポートで次のように述べています。「これは、『あなたは不誠実な人間ですか』と質問して

データプライバシーデーに、企業がかつてないほど多くの個人情報を入手している状況について考える 2015年02月03日08:00 ツイート fsecure_blog ヘルシンキ発 企業は現在、かつてないほど多くの個人情報を入手するようになっています。しかし、皆さんはそのデータがどのように利用されているか、ご存知でしょうか。 1月28日は、データプライバシーデーでした。エフセキュアでは、ハッカーや詐欺師、WiFiスヌーピングといったオンライン犯罪から個人データを保護することについて、普段からよく話題に取り上げています。しかし今日は、私たちのプライバシーがどのようにして個人情報を収集する民間企業から合法的に侵害されているのか、そして、どのようにしたら自分自身を保護できるかについて、少し考えてみたいと思います。 私たちは企業に対し、これまで以上に多くの個人情報や購買習慣を提供しています。ウェブサイ

プライバシーを要求するな 2014年06月06日00:19 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 6月5日。Reset the Netのための日だ。 プライバシーを要求するのではない。プライバシーを取り戻すのだ。 どうやって？ HTTPS Everywhereのようなソフトウェアを試してみよう。 Reset the NetキャンペーンのPrivacy Packを通じて、さらに多くのソフトウェアが提案されている。 ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

「忘れられる権利」について 2014年05月20日21:23 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン グーグルによると、「忘れられる権利」は「論理的に複雑」ということだ。 Last Week TonightのJohn Oliverが、以下でこの問題を明確にしている。 Last Week Tonight : Right To Be Forgotten ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

管理者達へ：Heartbleedの修正するときに設定基準を見直そう 2014年04月09日18:39 ツイート fsecure_corporation ヘルシンキ発  by：ジャルノ・ネメラ とにかくSSLの更新は必要なので、設定が最近の基準に沿っているかについても確認しようではないか。 Heartbleedについてたくさんの大騒ぎがあったから、管理者ならすでに何をすべきか知っているだろう。 1. 脆弱なバージョンのOpenSSLを使っているものをすべて特定する　2. 最新バージョンのOpenSSLに更新する　3. 古いプライベートキーとSSL証明書は漏えいした可能性があるので、新しいものを作成する　4. 古い証明書を失効にする だがサーバの設定を触って、新しいSSL証明書を作成しなければならないのなら、証明書生成の設定やサーバの設定にも手を伸ばすことをお勧めする。HeartbleedはS

中小中堅企業(SMB)が知っておくべき セキュリティに関する10のヒント 2014年02月26日08:00 ツイート fsecure_blog 東京発 サイバー犯罪者にとって、社内セキュリティチームを有する可能性の高い大企業よりも、むしろ相当な資産を保有しながらセキュリティ管理を行っていない中小中堅企業が絶好のターゲットとなり得ます。サイバー犯罪者の目的は金銭であり、それを簡単に手に入れられる方を選ぶからです。 パッチをすぐに適用する ソフトウェア・メーカーは、製品に脆弱性が見つかると、修正パッチを開発し、それをすべての登録ユーザに送信します。この更新をスタッフに任せている企業もあれば、集中管理によって更新している企業もあります。いずれの場合もパッチはすぐに適用する必要があります。公開された脆弱性は、サイバー犯罪者がその存在を認識しているセキュリティホールであり、彼らは、パッチを適用しない

プライバシーの終焉 2014年02月01日02:05 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン ミッコがNPR（National Public Radio）の今週のTRH（TED Radio Hour）に登場している。The End Of Privacy（プライバシーの終焉）と題されたものだ。 TRHの司会者Guy Razとのインタビューの予定があると、何週間か前にミッコから聞いて以来ずっと、この特別な番組について楽しみにしていた。ミッコ以外にも、Hasan Elahi、Beth Noveck、John Wilbanks、Alessandro Acquistiといった顔触れが揃う。 週末に聞くには素晴らしい。ご確認を忘れずに。 Post by — Sean ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最

いかにWindows XPが攻撃しやすいか 2013年10月08日07:39 ツイート daiki_fukumori オフィシャルコメント  by：福森 大喜 先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。 [Windows XPでIE8の脆弱性を悪用し電卓を起動したところ] 攻撃が簡単な理由は、Windows 7ではASLRといってメモリ

プライバシー：フィンランド人の中心的価値観 2013年10月01日00:05 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 権利を列挙するのはクールだ。そして、以下に列挙するのは、我々がとりわけ好むものだ…。 フィンランド共和国憲法 第10条 プライバシーの権利 「Everyone's private life, honour and the sanctity of the home are guaranteed.（私生活、名誉、家庭における尊厳は何人にも保障される。）」 「The secrecy of correspondence, telephony and other confidential communications is inviolable.（信書、電話、他の機密通信の秘密は侵してはならない。）」 そして、以下にはさらに数多く列挙されている

9.18のサイバー攻撃に関しての補足的情報（追記） 2013年09月17日13:59 ツイート hiroki_iwa1 オフィシャルコメント  by：岩井 博樹 恒例の918サイバー攻撃の時期が近づいていますが、対策は万全でしょうか。 概要はニュースなどで報道されていますので、内容は割愛させて頂きます。 さて、報道にもありましたように9/18に向け、今年も紅客（ほんくー：中国のハクティビズムのグループの総称）らより攻撃の標的リストが公表されています。 しかし、残念ながら必ずしもこれらのリスト通りに攻撃が行われるわけではありません。 一部の攻撃者らはGoogleなどの検索エンジンを利用することで、標的を絞っています。つまり、攻撃者らの検索結果として表示されたウェブサイトは攻撃対象となる可能性がある、ということになります。 そういった意味では、リストに記載されていない組織においても警戒をしてお

Twitterパスワードの破綻 2013年05月07日21:51 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン Jack Dorsey氏のオンライン銀行のアカウントをハックしたいとしよう。どこから始める？ユーザ名？ やりがいはある。同氏のオンライン銀行のユーザ名は秘密だ。しかし、Twitterアカウントはどうだろうか。 ああ、これは簡単だ。@jackだ。 これが「ソーシャルな」ユーザ名の問題だ。知られてしまう運命にある。 もう1つの問題点。Twitterはメールアドレスのバリデーションを行っている模様だ。 jackd@twitter.comは空いているようだ。 Twitterの設定には、メールアドレスや電話番号のような「個人的な」情報を求めるオプションがある。 しかし自分の電話番号を実際にTwitterに登録しなければ、まったくもって役立たずだ。 そして、

Androidマルウェアが電子透かしを使用？ それほどでも… 2012年01月30日16:47 ツイート fsecure_corporation クアラルンプール発  by：スレットソリューションチーム 私がいつものようにAndroidマルウェア分析を行っている際、特定のサンプルのクラス・モジュールにざっと目を通していると、以下のようなコードを見つけた。 図1 昨年後半、私はPortable Network Graphics（PNG）画像フォーマット、特にテキスト情報を持つフィールドについて、より詳細にチェックしていた。コードを見ていると、なぜこのアプリケーションはPNGファイルの「tEXt」チャンクが存在しているかどうか、チェックする必要があるのかということについて、すぐに疑念が生じた。 私はコードに目を通し続け、この特定コードが画像ファイルを特定するため、どこでコールされるかを発見した

あなたはドイツ人のように考えますか？ それともポーランド人？ 2012年01月04日02:25 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 今日、我々は208ページに渡る欧州委員会の報告書を読み通した。報告書のタイトルは「Special Eurobarometer 359、　EUにおけるデータ保護および電子アイデンティティに対する態度」（PDF）だ。一つ明らかなことがある。デジタル・プライバシーとアイデンティティに対するヨーロッパ人の態度は、文化により非常に異なり、隣接している国でさえ、興味深い相違が見られる。 どの国の考えが、あなたの考えに最も近いだろうか？ 画像全体を見るには、ここをクリックして欲しい。 ＞＞原文へのリンク 「ヘルシンキ発」カテゴリの最新記事 「by：ショーン・サリバン」カテゴリの最新記事

「プライバシーは情報フローを管理する方法である。」 2011年10月18日22:02 ツイート sean_sullivan ヘルシンキ発  by：ショーン・サリバン 人々はどうして、自分の個人情報を赤の他人に与えることをいとわないのだろう？ それは人間が情報を共有したいと考えるからだ。そして実際、所有物やサービスといった「もの」よりも、ずっと気楽に情報をシェアしている。 以下のうち、あなたがもっとも、あまり考えずに提供しそうなものはどれだろうか？ •  見知らぬ人にバス停の方向を教える（情報） •  見知らぬ人をバス停まで連れて行く（サービス） •  見知らぬ人にバス代をあげる。（所有物） あなたが多くの人と同様なら、躊躇無く方向は教えても、自分のお金をあげることには抵抗するだろう。 そしてこれが、発達した人間社会の仕組みだ。中でも我々は特に情報を共有する。何故なら、それはほとんどコストが

発見：Twitterを介してコントロールされるBitcoinマイニングボット 2011年08月02日22:24 ツイート mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン Bitcoinは、いかなる通貨にも結びつかない電子マネーだ。他の通貨（米ドルなど）をBitcoinに変換するか、複雑な数学的タスクを完了することで、新たなBitcoinを「採掘」することができる。 これはボットネットのマスターたちが、Bitcoinのマイニングをするのに、他の人々のコンピュータを使用する誘因となる。そして、そうしようとするボットネットの例がいくつかある。 我々は現在、Twitterをコントロールチャネルとして利用するボットを発見している。 このボットは、ジェネレータで作成されている。ジェネレータは、特定のTwitterアカウントをセットして、このマイニングボットネットをコントロールす

LulzSecの解散宣言は混乱の収束を意味するのか? 2011年06月27日23:33 ツイート gohsuke_takama オフィシャルコメント  by：高間 剛典 6月26日、LulzSecは唐突に活動開始50日目になったので解散すると宣言した。 LulzSecはここ2ヶ月にわたりNPRやFOXなどの放送局からCIAやFBI関連InfraGuardやNATOなど国際的な政治・軍事機関やSony Picturesなど広範囲に侵入しては内部情報を流出させる騒ぎを引き起こしていた。 Lulzの事件時間軸グラフ そのため、法執行機関の捜査の手も迫っていて、Lulz自身は関連を否定していたがイギリス在住の19歳Ryan Clearyが逮捕されている。 「LulzSec」の容疑者を拘留 http://blog.f-secure.jp/archives/50611764.html ただし興味深いの