なかなか興味深い資料が出ていますね。英語で記載されたレポートになっています。
CCIA:Review of Cyberattacks from US Intelligence Agencies(米国情報機関によるサイバー攻撃のレビュー)
http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20230411/20230411080719_9921.pdf
▼紹介記事
CHINADAILY:CCIA report exposes malicious behavior and threat of US cyber hegemony(CCIAの報告書が悪意のある行為と米国のサイバー覇権の脅威を暴露)
https://www.chinadaily.com.cn/a/202304/11/WS6434fe4fa31057c47ebb97bd.html
最近なーんか、よくサイトが落ちるんだよなー(思い当たるところはあるのですが)。ということで、研究所サイトからブログ部分を分離しました。
かつて2016年のサイト統廃合で合体した経緯もあるものの、作りの違うものが同居しているのはメンテナンスの面でもセキュリティの面でもイマイチなので、改めて分離することにしました。
各サイトは以下になります。
・研究所サイト :https://ldlus.org/
・これまでのブログ:https://ldlus.org/blog
・これからのブログ:https://blog.ldlus.org/
これまで1つのインスタンスの中でApacheとMySQLを同居させていたのですが、MySQLの負荷がどうにも大きい。1時間に1回MySQLを再起動するようcron設定してみたりもしましたが、まあ、付け焼き刃ですしカッコ悪いですからね…。抜本的に見直すことにしました。
最近のWebサーバ事情としてはApacheよりNginxの方が主流のようなので、新しい環境ではNginxを採用したり。プラットフォームとして某クラウドを使っていますが、同一インスタンスでWebとDBを実装するのではなく、別途RDBのコンポーネントを試してみたりと、ちょっとずつ新しいこともやってます。どのぐらい課金されるかは最初の無料期間の間に検証していこうかと。
こうして記事書いて動作確認しているだけでも、レスポンスが早くなっているのが実感できますね。
11/9(水) 周辺で公開されたアップデート情報のまとめになります。
※今回から動画配信は無しにします。試行錯誤してみたものの、やっぱり一般向けでないし、一方で専門家に向けては不足感がありますので。脆弱性の話は大事なのですが、まだまだデファクト・スタンダードと呼べるものが定まっておらず振り回されてばかりの状況。皆様に馴染みのあるものになるには、もう少し年月が必要なのかなぁと思う今日この頃でございます。
主な情報源
パッチチューズデー周辺のアップデート情報
Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
→今回分:https://www.ipa.go.jp/security/ciadr/vul/20221109-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
→今回分:https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/
・SecurityNext:https://www.security-next.com/141292
【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
Apple:
https://support.apple.com/ja-jp/HT201222
Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
VMware Workspace ONE Assist:
https://www.security-next.com/141251
PHP:
https://www.security-next.com/141222
XKCP SHA-3(PHPやPythonに影響):
https://www.security-next.com/141201
Apache Commons BCEL:
https://www.security-next.com/141262
OpenSSL:
https://www.ipa.go.jp/security/ciadr/vul/alert20221102.html
https://www.jpcert.or.jp/at/2022/at220030.html
JVN:
https://jvn.jp/report/index.html
これまでの振り返り
10/12(水) 21:00よりパッチチューズデー配信やります!
YouTube Live:https://youtu.be/OaKBmDOiHdU
ニコニコ生放送:https://live.nicovideo.jp/watch/lv338835353
OPENREC.tv:https://www.openrec.tv/live/12rokk39x8n
Twitch:https://www.twitch.tv/kiha_hacking_laboratory
主な情報源
パッチチューズデー周辺のアップデート情報
Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
→今回分:https://www.ipa.go.jp/security/ciadr/vul/20221012-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
→今回分:https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/
・SecurityNext:
https://www.security-next.com/140456
https://www.security-next.com/140462
【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html
Adobe:
・本家:https://helpx.adobe.com/security/security-bulletin.html
・SecurityNext:https://www.security-next.com/140459
・IPA:https://www.ipa.go.jp/security/ciadr/vul/20221012-adobereader.html
Apple:
・本家:https://support.apple.com/ja-jp/HT201222
・SecurityNext:https://www.security-next.com/140469
Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
Fortinet:
・本家:https://www.fortiguard.com/psirt/FG-IR-22-377
・JPCERT/CC:https://www.jpcert.or.jp/at/2022/at220025.html
・SecurityNext:https://www.security-next.com/140430
bingo!CMS:
・本家:https://www.bingo-cms.jp/information/20221011.html
・JPCERT/CC:https://www.jpcert.or.jp/at/2022/at220026.html
・SecurityNext:https://www.security-next.com/140439
JVN:
https://jvn.jp/report/index.html
先月のパッチチューズデーまでの振り返り
クレジット
9/14(水) 21:00よりパッチチューズデー配信やります!
YouTube Live:https://youtu.be/DFO7IXPzb4s
ニコニコ生放送:https://live.nicovideo.jp/watch/lv338479339
OPENREC.tv:https://www.openrec.tv/live/kdr7dxwxwrj
Twitch:https://www.twitch.tv/kiha_hacking_laboratory
主な情報源
パッチチューズデー周辺のアップデート情報
Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
→今回分:https://www.ipa.go.jp/security/ciadr/vul/20220914-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
→今回分:https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/
・SecurityNext:https://www.security-next.com/139728
【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
https://www.security-next.com/139736
→今回はAdobe Readerは無し
Apple:
https://support.apple.com/ja-jp/HT201222
https://www.security-next.com/139691
https://www.security-next.com/139404
→古いバージョン含め最近アップデート多いです。ぜひ一度アップデートが来ていないかチェックお願いします!
Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
SonicWall:
https://psirt.global.sonicwall.com/vuln-list
https://www.security-next.com/139696
Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220023.html
https://www.security-next.com/139721
Movable TypeのXMLRPC APIの脆弱性に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220022.html
JVN:
https://jvn.jp/report/index.html
先月のパッチチューズデーまでの振り返り
クレジット
8/10(水) 21:00よりパッチチューズデー配信やります!
YouTube Live:https://youtu.be/FtMuycLGGoo
主な情報源
パッチチューズデー周辺のアップデート情報
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://www.ipa.go.jp/security/ciadr/vul/20220810-ms.html
https://msrc-blog.microsoft.com/2022/08/09/202208-security-updates/
https://www.security-next.com/138811
【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
Apple:
https://support.apple.com/ja-jp/HT201222
Android:
https://support.google.com/android/answer/7680439
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
WMware :
https://www.vmware.com/security/advisories.html
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
https://www.security-next.com/138819
https://www.vmware.com/security/advisories/VMSA-2022-0022.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/vmware-releases-security-updates
Cisco:
https://tools.cisco.com/security/center/publicationListing.x
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/cisco-releases-security-updates-rv-series-routers
F5:
https://support.f5.com/csp/article/K14649763
https://www.security-next.com/138686
カスペルスキーのVPN製品:
https://www.security-next.com/138707
QNAP製NAS:
https://www.security-next.com/138775
JVN:
https://jvn.jp/report/index.html
先月のパッチチューズデーまでの振り返り
クレジット
8/4(木) 21:00よりLdLuS6周年記念配信やります!
YouTube Live:https://youtu.be/1YjlCEh9yx8
▼健康診断の受診者▼
https://ldlus.org/
以下、このたび健康診断にご協力いただくお医者様です。
サイトカテゴリのチェック
ドメイン周りのチェック
https通信の強度チェック
身バレチェック
魚拓サイト
クレジット
7/13(水) 21:00よりパッチチューズデー配信やります!
YouTube Live:https://youtu.be/ILICbEHjqrQ
以下、本日のお題です。
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://www.ipa.go.jp/security/ciadr/vul/20220713-ms.html
https://msrc-blog.microsoft.com/2022/07/12/202207-security-updates/
IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
Apple:
https://support.apple.com/ja-jp/HT201222
Android:
https://support.google.com/android/answer/7680439
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
Citrix:
https://support.citrix.com/search/#/All%20Products?ct=Security%20Bulletins&searchText=&sortBy=Created%20date&pageIndex=1
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/citrix-releases-security-updates-hypervisor
WMware :
https://www.vmware.com/security/advisories.html
https://www.security-next.com/138122
Cisco:
https://tools.cisco.com/security/center/publicationListing.x
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/07/cisco-releases-security-updates-multiple-products
PHP:
https://www.php.net/
https://www.security-next.com/138043
Django(Pythonのフレームワーク):
https://www.djangoproject.com/weblog/
https://jvn.jp/jp/JVN12610194/index.html
JVN:
https://jvn.jp/
KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
6/15(水) 21:00よりパッチチューズデー配信やります!
YouTube:https://youtu.be/6BL5DDsZe3E
以下、本日のお題です。
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/2022/05/10/202205-security-updates/
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
Apple:
https://support.apple.com/ja-jp/HT201222
Android:
https://support.google.com/android/answer/7680439
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓3月分のリンク先が最新の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
RealPlayer:
https://www.security-next.com/137286
Confluence:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Drupal:
https://www.drupal.org/sa-core-2022-011
JVN:
https://jvn.jp/
KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
IPA:Microsoft 社 Internet Explorer のサポート終了について
https://www.ipa.go.jp/security/announce/ie_eos.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
5/11(水) 21:00よりパッチチューズデー配信やります!
YouTube:https://youtu.be/ys3KmbsemC4
以下、本日のお題です。
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/2022/05/10/202205-security-updates/
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
Apple:
https://support.apple.com/ja-jp/HT201222
Android:
https://support.google.com/android/answer/7680439
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓3月分のリンク先が5月分の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
Intel:
https://www.jpcert.or.jp/newsflash/2022051101.html
F5 Networks(BIG-IP):
https://support.f5.com/csp/article/K55879220
https://www.security-next.com/136392
JVN:
https://jvn.jp/
KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
4/13(水) 21:00よりパッチチューズデー配信やります!
YouTube:https://youtu.be/tYk7iGLCvnY
以下、本日のお題です。
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/セキュリティ情報/
Adobe:
https://helpx.adobe.com/security/security-bulletin.html
Apple:
https://support.apple.com/ja-jp/HT201222
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓見当たらないなあと思ったら3月分のリンク先が4月分の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
Apache Struts 2の脆弱性(S2-062)に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220011.html
JVN:
https://jvn.jp/
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
こちらで取り上げるのが遅くなりましたが、今月のパッチチューズデー アップデート情報でございます。
以下、今回のお題です。
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e6%83%85%e5%a0%b1/
Adobe:
https://helpx.adobe.com/security.html
Apple:
https://support.apple.com/ja-jp/HT201222
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
JVN:
https://jvn.jp/
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
おじいちゃんが…、もっとおじいちゃんになっちゃった!
はい、私(岩田)の犯行です。何ら反省しておりません。おじいさんのモデルらしさをなるべく追求させていただきましたwww。老人肌のテスクチャ作っていただいている方を見つけた時は…まさか同士がいるとは…と呆れつつも親近感を覚えつつ、テンション上がってました。
バ美肉という、若い女の子に乗り移るおじさん界隈も面白いですけど、あえて年寄りに乗り移る方向性も面白いんじゃないかと思ってこんな感じでやっておりますので、物好きな方はぜひお付き合いいただければと思います。いやー、…ほんと。物好きな人しか見ないと思うんだけれども…。「バーチャル 美少女 受肉」がバ美肉だから、ウチは「バーチャル 爺 受肉」でバ爺肉かなwww。
とはいえ、最近リスナーさんが徐々に増えてくださっているようで、感謝感謝でございます。お昼の配信はじめ、熱心な方が日々見てくださっていて、所長もモチベーション上がっていると申しておりました。今後ともどうぞよろしくお願い致します。
2/9(水) 21:00よりパッチチューズデー配信やります!
YouTube:https://youtu.be/Lp_sJVeRCzk
以下、本日のお題です。
Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/セキュリティ情報/
Adobe:
https://helpx.adobe.com/security.html
Apple:
https://support.apple.com/ja-jp/HT201222
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035
Citrix Hypervisor:
https://support.citrix.com/article/CTX337526
Zoom:
https://www.security-next.com/134026
FortiWeb:
https://www.security-next.com/133961
JVN:
https://jvn.jp/
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
今月もパッチチューズデー配信やっていきます!
以下、本日のお題です。
Microsoft:
https://www.ipa.go.jp/security/ciadr/vul/20220112-ms.html
https://msrc-blog.microsoft.com/2022/01/11/202201-security-updates/
Adobe:
https://helpx.adobe.com/security.html
Apple:
https://support.apple.com/ja-jp/HT201222
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035
Samba:
https://www.security-next.com/133144
https://www.samba.org/samba/history/
Citrix Workspace App for Linux:
https://support.citrix.com/article/CTX338435
JVN:
https://jvn.jp/
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
今月も毎月恒例のパッチチューズデー配信やります。米国時間の第2火曜日が該当しますので、我々としては12/15(水)の21:00から配信させていただきます!
▼2021年12月 パッチチューズデー アップデート情報
以下、今回のお題です。
Microsoft:
https://www.ipa.go.jp/security/ciadr/vul/20211215-ms.html
https://www.jpcert.or.jp/at/2021/at210051.html
Adobe:
https://helpx.adobe.com/security.html
Apple:
https://support.apple.com/ja-jp/HT201222
Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates
Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/
SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021
Apache Log4j:
https://www.jpcert.or.jp/at/2021/at210050.html
https://www.security-next.com/132515
OpenSSL:
https://www.security-next.com/132492
FortiOS:
https://www.security-next.com/132444
JVN:
https://jvn.jp/
JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2021.html
主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA :https://us-cert.cisa.gov/ncas/current-activity
意外とここまで続きましたね。下の方の記事に貼ってある配信始めたばかりの頃と比べると、随分安定したもので。3日3月3年とはよく言ったものです。最近では当たり前のようにやっていることも、始めたばかりの頃はこんなに雑だったんですね…。まあ、走りながら考えようとやってきたので、そうなってしまうのは仕方ないのですが。
また、手の動きをキャプチャするLeap Motionのクセに振り回されていますが、もうちょっと所長には使いこなしてもらいたいですね。ろくろを回したりとか、そういう練習も期待して導入したところもありますし。お昼の配信は毎回似たような内容ですから、しゃべる方はそろそろ余裕出てきてると思いますので、ジェスチャーも織り交ぜながらお話できるように頑張っていきましょう。
毎週月~金曜日の12:25から、こんな感じで配信しておりますので、ぜひご覧ください。
ただ、12/13(月)はお休みをいただく予定ですので、あしからず…。
先日まで愛用していたCentOSに別れを告げて、新しいOSに引っ越しをしました。viエディタでコピペができないんだけど、なんだこれ?とか慣れないところはあるものの、標準のアップデートでPHPやSSLのパッケージが最新になってくれるのは何を置いても安心感が違いますね。
このタイミングでWordpressのプラグインを見直して古いものや使っていないものはアンインストールしたり、ログインページを隠すプラグインを導入したりと、セキュリティ強化も色々試してます。やっぱり、どういう風に使えばセキュアに使えるのかは、実際に使いながら頭を悩ませていかないとお客様にも説得力を持って説明できないと思いますからね。別の製品に変えれば問題が解決するかといえば、今度は別の問題が出たりしてね。おまえが変えろって言うから変えてみたらこのザマだよ!なんて言われた日にゃあ賠償モンですよ。くわばらくわばら。転職するときによく言われることと同じなのかもしれませんね。それって今の会社じゃあできないことなの?っていうやつ。
機能面でも改修を進めていこうと計画しておりますが、まずはこちらの右メニューのガイドライン欄が形骸化していたので見直しをかけております。ここは、にゅーすページとの棲み分けをどうするのかも検討課題ですね。
そうそう、実は先週あたり1週間近くビオラサイトが死んでおりまして…。原因はhttps化で使うLet’s Encryptなんですけど、どうも証明書の取得がうまく行かなくて「君は証明書要求し過ぎなので1週間待ての刑!」って怒られてしまっていたんですよ。その説明ページ見ると何十回とか結構な数要求しないとそれに該当しないはずなのに、なんでか引っかかってしまってね、まあ1週間待ったらちゃんと解消したのでまだ良かったんですが、別の原因だったらどうしようと戦々恐々としていたりもしました。あぁ、そうだ。もう一つ証明書関連で課題があるんでした。証明書の作成は問題ないんですが、証明書の更新を月に一回実行しているものの、どうも証明書の有効期限の開始日が変わってなくて、これ大丈夫なのかな?と不安になっているところです。ひとまずは期限が1ヶ月以内になったら更新が動くとかそういうやつなのか?とか推し量りながら様子見しようと思ってます。
まだまだやることはあって、広告を色々貼っているものの随分前に設置したものばかりだからリンクが切れているものもあったり、全体的に最新化しないといけませんね。特に自宅サーバのページなんかは、すでにクラウド化してるしCentOS卒業したから内容を見直さないとですね…。
なんか、そう言えるところまで運用を続けられて感慨深いものがあります。エンジニアってサーバ建てるのはみんなやるんですけど、コンテンツを作れない人が多かったりするので、それではイカン!と思って私はこうしてヘタクソなりにやっている所存であります。まあ、そんなでも続けていれば何かしら得られるものはあるもので、継続は力なりという言葉をひしひしと感じているところですね。
そういえば所長から要望もらっていたのでした。お昼の配信で不審メールの話をするときに、悪性URLを開いて色々入力しちゃったときの対処について取り上げてますが「もうちょっとスムーズに説明できるようにしたいので、うちのサイトに全部まとめたページ作りたいね」とのことで、仰る通りだなと思いました。時間の関係で言いたいことを言えてない日もあるとのことなので、後はウチのページ読んどいて!という流れにするものアリですからね。こうしてウチのサイトを育てていくことに繋がるとは、何がどう転ぶか分からないものです。
そんな感じでLdLuS6年目は年末を迎えようとしております。相変わらず大したコンテンツもご提供できておりませんが、できる範囲で皆様に情報を共有させていただければと思いますので、今後ともどうぞよろしくお願い致します。
おかげさまで、ウチのサイトがLdLuSのブランドを掲げてから5年間が経過しました。いろいろな取り組みが生まれては育ち、廃れ、色々なことがありました。
5周年 生誕祭として、様々なツールを使いながら複数方向からldlus.orgを見てみる紹介動画を作成してみましたのでご確認ください。
▼LdLuS5周年 生誕祭【#KIHA所長/#木波ハッキング研究所】
今後もチャレンジ精神やベンチャーマインドを大切にしながら、知的好奇心の赴くままにいろいろやっていきたいと思います。
Link the Deep Logics to our Usual Sceneries.
LdLuS
上の動画で途中、お前は何を言っているんだ状態のところがありましたので補足の動画を作成しました。こちらも併せてご覧ください。
▼LdLuS5周年 生誕祭の補足
このおじいちゃん急に大きい声出すじゃん! 耳ないなった。
所長いわく、日曜日に収録していて「さいばん」で噛みまくったので、さ行が多い地域の天気予報を選んだとのことです。ほぅ…、え、ホントに?
★天気予報 ★
尖閣諸島 :https://www.mapion.co.jp/weather/spot/L0630053/
長崎県対馬市:https://www.mapion.co.jp/weather/admi/42/42209.html
竹島 :https://www.mapion.co.jp/weather/spot/L0630652/
占守島 :https://www.google.com/search?q=%E5%8D%A0%E5%AE%88%E5%B3%B6+%E5%A4%A9%E6%B0%97&oq=%E5%8D%A0%E5%AE%88%E5%B3%B6%E3%80%80%E5%A4%A9%E6%B0%97&aqs=chrome..69i57.6014j1j7&sourceid=chrome&ie=UTF-8
▼<音量注意!>昼休憩の声出し活動 08/02
何を思ったかKIHA所長がVTuberを始めました。
どんなコンテンツなのかと興味津々だったのですが、なぜか日本国憲法を朗読しています。ちょいちょい間違えたり同じ条文を読んでしまうのはご愛嬌w。
▼日本国憲法 前文 を朗読してみたんじゃが
We now have a following new email address.
Please feel free to contact us.
LdLuSのメールアドレスが正式に運用開始の運びとなりました。今後はこちらにご連絡いただくと華麗にスルーさせていただきますので、どうぞよろしくお願い致します。
目の前IPv6移行期としては、こんな感じがあるべき姿なんだろう。しかし、量子コンピュータへの移行期にはこれとは随分変わってそうだなぁ。そこまで見据えてマイルストーンを考えねばいかんのだが…。
横田空域にしても、沖縄の基地問題にしても、どこかで米国の横っ面をひっぱたかないといけないのは間違いない。しかし、それは短期的な目線でやることではない。パズルを組み合わせていくように、切った貼ったを繰り返した上で進めていくべきことだと思う。
サイバー方面にしても、米国の助けなしに日本が無事ですむはずがない。ましてや米国を敵に回すようなことがあればどんな恐ろしいことになるか…。日本を囲む国すべてが日本を攻撃するような状況になってしまったとすればそれはもはや、亡国の歩む道。
中長期的な視野を踏まえて1つ1つ選択肢を吟味しながら進めていかなければなりません。
5/13 接触確認アプリ勉強会 公開版
https://www.youtube.com/watch?v=Mj1AH1SPW7c
面白いことやっている人達がいますね。行政頼みではなく、自分たちでできることをやる試みは素晴らしいです。
とはいえ、使う人を増やすためには広報なりで政府に動いてもらわないといけないというジレンマ…。 難しいところですね。使う人が増えないとアプリの存在価値もないわけで。
マイナンバーの普及率にせよ、日本のIT後進国っぷりを少しでも前に進められれば良いのですが、尻すぼみにならないと良いのだけれど…。
これは良い取り組み。「Have I Been Pwned」で漏洩が確認されたパスワードを拒否する。
元データだと7GB以上あるので、複数回漏洩したものに絞って容量を削減しているのか。
ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合
https://www.itmedia.co.jp/news/articles/2001/28/news093.html
2020年、ユーザエージェント(UA)が簡略化されていく。ひとまずChromeだけ。他のブラウザがどうなるかは様子見状態。
既存のUAはそのまま。新しいバージョンからは、ブラウザが何か、PCかモバイルか、ぐらいしか分からなくなるとのこと。
まあ、現状のUA複雑だから分かりやすくなるのはむしろ歓迎かも。ブラウザのバージョン分かったところで何とも言えないし、おまえは結局EdgeなのかSafariなのかとか謎のクセあるし…。
▼Google to phase out user-agent strings in Chrome
https://www.zdnet.com/article/google-to-phase-out-user-agent-strings-in-chrome/
▼UserAgentからOS/ブラウザなどの調べかたのまとめ
https://qiita.com/nightyknite/items/b2590a69f2e0135756dc
やってみたけど自分のヘロヘロぶりは相変わらずでした…。もっと頑張らねば。
脆弱性診断、ペネトレーションテスト、バグバウンティの位置づけがよく整理されている良記事です。
▼ペネトレーションテストが脆弱性診断の上位互換サービスであるという誤解 ~ セキュリティ標準化企業 SHIFT SECURITY 執行役員 松尾雄一郎に聞く
https://scan.netsecurity.ne.jp/article/2019/11/27/43286.html
サイバー空間はまだまだ成長期であり不安定。セキュリティのあり方もスタンダードがどこなのか迷走しています。でもいずれは誰もがちょうど良いと思える在り方に収束していくはずです。それがどのへんなのか、当たりを付けつつ推進していくのが我々のお仕事なのかなと思っています。
家で言うと、セキュリティを強化するぜぃ!と言って窓という窓に鉄格子をはめるのが妥当なのでしょうか。なんか暗いし雰囲気悪い。どこの牢屋ですかw。それに、洗濯物どうするんだ。ご近所さんの見る目も心配ですね。
普通、窓なら「クレセント鍵」と呼ばれるあれですよね。空き巣が窓を割って鍵を開けるケースもあるアレ。
内側にしても、ドアというドアに玄関と同じレベルの鍵を設置するのでしょうか。色々マズい状況が思い浮かんできますね。
トイレなら「サムターン」の鍵だけど、外からでも10円玉とかで回せば開けられたり。
どうしてそれが普通なんでしょうか。家を借りる時に内見してても、そうなっていれば違和感を感じないでしょう。
その地域の治安が悪いという話を聞くと、やっぱりもう少しセキュリティを意識したオートロックの玄関のところだとか、1Fなら窓側は雨戸が閉められるとか、欲しくなるんじゃないでしょうか。
一方で、リスク受容という考え方もあります。一切セキュリティ対策をしない、もしくはもう少しセキュリティに投資してもいいけど、事故が起こった際に想定される損害を考えると、費用対効果が期待できないからやめておく、というもの。事なかれ主義の日本の大企業ではその選択は難しくやや過剰投資の傾向にあり、攻撃された経験のない中小企業は消極的に(数値的な根拠なく)その選択肢を選んでいるような気がします。
私はリスク受容は大いに結構だと考えています。一昔前ならサイバー攻撃を受けることも珍しかったですが、もはや日常茶飯事。サイバー攻撃による情報流出によって責任者が首を切られていてはいくつ首があっても足りないご時世になってきています。売上とセキュリティ投資のバランスを見ながら、あえて対策をしないという英断もあって良いと思います。
セキュリティ投資は保険のようなもので、200万円の売上のあるECサイトがあったとして、300万円のセキュリティ投資をすることはありえないのです。売上をあなたの年収に読み替えたらよく分かるのではないでしょうか。
じゃあ、100万円いける? いやいや、それでは明日のメシが食えない。じゃあ、20万円? ちょっとやりすぎな気はするけど、いけなくはない。1万円? うーん、それならもっと投資した方が、もしもの時を考えるといいかも。もしくは投資せずに貯金に回しておいて、何かあったときは貯金から拠出する。…とかね。
対策したところで対策していなかったところを攻撃されたら何の意味もない、というのも保険と近しいところです。外部からのサイバー攻撃の対策をしっかりしていたものの、内部不正で大変なことになったとか。今どきどうせ入院させてもらえないから保険の入院部分はなしでいいやとしてたら、しっかり入院することになってしまったとか。
セキュリティでメシを食っていくのであれば、セキュリティ原理主義者にはならないよう、気をつけたいところですね。こうやってWordPress運用している人を指差して「ばーか!」って言っている程度の人はプロではないと思います。何が問題で、どのようにすれば安全に使えるのか、自分事として理解して提案できなくてはダメです。
私は過去、Drupalのせいでサーバをぶっ潰された経験があるので、それに比べればWordPressの安定感や使いやすさには満足しています。ぜひぜひ、自分で運用しながら本質的な問題を理解していけるハッカーが日本に増えていくことを期待しています。