本日は、セキュリティ担当から経営層への訴求の仕方、メタバースの通信制高校について話を取り上げます。
おじさんから一言:分かってる、それは分かってるんだ。それを具体化して進めていくのが大変なんだよ。
おじさんから一言:ここまで来たか…。こういうメタバースはどんどん発達してほしいですね。
本日は、悪性URLの変装方法、震災に乗じた詐欺への注意喚起、かわいい拡張機能についての話を取り上げます。
おじさんから一言:GoogleのAMPやBaiduについてはオープンリダイレクトの脆弱性と呼ばれることもありますが、大手サイトでこういうのを野放しにしているのは、いただけないですね。
おじさんから一言:皆様の想いを踏みにじられるようなことがないよう、募金は信頼できるところにお預けするようにしてください。
おじさんから一言:これってなんか意味あるの?→かわいいだろ?
本日は、JNSAのセキュリティ十大ニュース、パスワードレスの策定を進めているFIDOのセミナー、OTへのランサムウェア攻撃について話を取り上げます。
おじさんから一言:今年も色々ありましたね。セキュリティ事故については他人事とせず、学べるところは取り入れながら自分事として活かしていきましょう。
おじさんから一言:2023年は「パスキー」というキーワードでパスワードレスが広まった1年だったと思います。日々のニュースを見ていると、パスキーって言葉を使っているけど、それ本来のパスキーの意味と違くない…?という記事を度々目にするぐらいには誤用を含め使われる言葉になったのではないでしょうか。パスワードを使わなくなる日が来るまで、あと何年かかるかな。
おじさんから一言:工場のシステムへのサイバー攻撃が増えているようですね。防御側はまだ十分な対策を取れていないところが多い中、今後の注力分野になっていきそうです。
本日は、IPAさんのサポート詐欺対策特集、年末年始の注意喚起、現代デザインの江戸時代の地図について話を取り上げます。
おじさんから一言:サポート詐欺の体験サイトまでご用意いただいています。とても出来が良いのでぜひ一度お試しください。
おじさんから一言:いつものやつです。
おじさんから一言:こういうの見ていると時間が溶けるのよね。色々発見があって楽しい♪
本日は、ちゃんと迷惑メール対策をしないと受信拒否するGoogle、AIを使った情報工作についての話を取り上げます。
おじさんから一言:DMARC導入待ったなし!
おじさんから一言:情報は信頼できるサイトから集めるようにしましょう。…というと、お宅のサイトはどうなんだい?って言われそうだけどw。ウチではニュースソースとして信頼できるところを選んでるつもりですし、明記するよう心がけておりますので、そちらも踏まえつつご覧くださいませ。
本日は、ブラウザの拡張機能を介したパスワード漏洩や台湾の地政学についての話を取り上げます。
おじさんから一言:ブラウザの拡張機能で変なやつをインストールした場合の話が多いので、ユーザが普通に使っている分には影響なさそうですが、サーバ運営側としては対策しておいた方が良いですね。
おじさんから一言:峯村さん、やっぱすごいな😮 勉強させていただきます。
本日は、SMSの詐欺メッセージの見分け方、役に立つIT資格、LINEの個人情報流出についての話を取り上げます。
おじさんから一言:「0005」から始まる送信元番号であれば信用して良いそうです。SMSが届いたらチェックしてみてください。
おじさんから一言:納得。SEであれば応用情報は欲しいですね。そこからようやく自分の専門性をどっちにするか、上位の資格を目指していくことになるわけですから、そこには何とか辿り着いてもらわないと。
おじさんから一言:私も三木谷さんに期待です。楽天Linkはすでにあるわけだから、機能拡張すればLINEに代わるものをスッと作れたりしないのかな? 中小企業だとエアレの二の舞いになってもしょうがないですし、ここは大企業に頑張ってほしいところ。
本日は、さくらインターネットの政府クラウド参入、ドメインの終活、日本のIT業界の闇について話を取り上げます。
おじさんから一言:おぉ! さすがさくらさんですね。応援してます!
おじさんから一言:うちではldlus.orgのドメインだけ取っていますが、最後まで面倒見たいのはやまやまなものの、ペットに寿命があるのに対して、ドメインの寿命ってなんだっけ…?? KIHAハッキング研究所の寿命とイコールなのかな。研究所が閉鎖された後は誰が面倒見てくれるんだろう…。
おじさんから一言:運用は年々予算を削られていく一方で、どこかでリプレースが必要になって開発案件でドーンと予算が出るイメージ。運用より開発が重要なのは間違いない。ただ、誰も使いたがらないような残念なシステムを作ることは決して良いことではないし、それに比べれば多くの人に使われているシステムを長い間運用することは尊いとは思う。日本にそんな優秀なシステムがあるのであればの話だけど。
みんな大好きLINEが、性懲りもなくまたやらかしています。再発防止を徹底できない企業のサービスを使い続けても良いことにはなりません。この機会に正規の国産サービスを育てることを真剣に考えるべきだと思います。
①と②で概要を捉えて、③で詳細をご確認いただければと思います。
③の報告書を拝見しておりますと、LINEってだいたい日本でしか使われてないのかと思っておりましたが、被害状況からすると台湾やタイでも使われてるんですね。台湾のみなさんもLINEは考えた方が良いかも知れませんよ? 韓国経由で中国に情報が筒抜けになっているとしたら色々危ないかも…。
④では、2021年に画像や動画のデータを保持するサーバが日本になく、韓国にあることが発覚したことを受けて、日本国内への移転の進捗状況が示されています。ご覧いただければお分かりになりますが、まだ終わっていません。執行猶予中に事件を起こしたようなもので、情状酌量の余地はないのではないでしょうか。
月刊WiLL 2024年新春2月号では、髙橋洋一さんと平井宏治さんの対談の中(129~131ページ)でLINEの危険性について取り上げていただいております。また、併せて純国産のメッセージアプリをデジタル庁で作るべきであると提言されていらっしゃいます。こちらもぜひご一読いただき理解を深めていただければ幸いです。
本日は、東京大学の量子コンピュータ、オープンソースのサンドボックス、最近のAI事情についての話を取り上げます。
おじさんから一言:現状で127量子ビット。まだ不安定なところもあり、そのへんのパスワードが全部解読されてしまうような日が来るまでにはまだ時間があると思いますが、パスキーを始めとした脱パスワードも進めつつ、量子コンピュータも発達させつつと、技術革新を見守っていきたいですね。
おじさんから一言:なかなか良さそうなので試しているのですが、VirtManagerにWindows10をインストールするところで毎回ブルスクになってしまい、おしい感じです。あとちょっとなんだけどな…。 当研究所でもノートPCにUbuntu22.04をOSインストールして、その上にCAPEv2を構築できました。検体をアップロードすると自動で解析してくれるタイプなので、ANY.RUNのように自分で触りながら挙動を確認できるものではありません。例えば、検体をVirusTotalにアップロードしてしまうと無料アカウントでは外部公開されてしまうので利用するのを躊躇うような場合、こういったツールを構築できていると情報漏洩の心配なく調査できるかと思います。
おじさんから一言:その勢力次第ではターミネーターの世界にもなるし、ドラえもんのような世界にもなるし、ということですかね。ドラえもんの方が良いなぁ。
本日は、Googleフォームを悪用した詐欺、大流行するマルウェアの発生周期、Microsoftの生成AIの名称変更についての話を取り上げます。
おじさんから一言:正規サービスを悪用した手口の一つですね。本物かどうかを見分けるのは難しいですが、まずはこういう手口があることを知っていただければと思います。
おじさんから一言:うーん、どうかなぁ…。言ったもん勝ちな気がするよ。
おじさんから一言:名前が変わったようなので覚えておきましょう。
本日は、ロマンス詐欺、セキュリティに特化したMicrosoftの生成AIサービス、Excel標準のデータ分析機能の話を取り上げます。
おじさんから一言:引っかかってしまうと根が深いロマンス詐欺。人情に付け込む手口では周囲の人の手助けが重要になってくると思います。万が一近くに引っかかっている人がいたら、なんとか救いの手を差し伸べてあげてください。
おじさんから一言:CopilotはMicrosoftの汎用AIの名称ですが、Security CopilotというとSOCで使うようなセキュリティサービスと連携したAIだそうです。Microsoftのサービスを多用されている会社さんであれば導入を検討してみては?
おじさんから一言:いつの間にこんな便利機能が…?!
本日は、セキュリティ部隊とIT部隊の分断、Windows11 ペイントアプリの新機能、京都大学のプログラミング教育の話を取り上げます。
おじさんから一言:ダウンタイムを意識するのはCIAのA(可用性)でありセキュリティ要件の1つ。歩み寄れるはずなんですけどね…。もう少しタテ割りでなく対応できれば良いのですが。
おじさんから一言:標準機能が拡充されると余計なアプリをインストールしなくて済むのでありがたいですね。
おじさんから一言:京大生でなくともPythonの教科書をダウンロードできるようですので、Pythonの勉強をしようと思っている方はこちらも試してみては?
教科書はこれかな?
Kyoto University Research Information Repository > 685 国際高等教育院 > 教材 > プログラミング演習 Python 2023
https://repository.kulib.kyoto-u.ac.jp/dspace/handle/2433/285599
本日は、Google Chromeの新しいセキュリティ機能、CISAがTwitterに投稿できなくなった話、楽天モバイルがプラチナバンドを獲得した話を取り上げます。
おじさんから一言:Torほどではないが、誰が接続してきているのか分かりにくくするということですね。ログ分析にも影響が出てきそうなので、仕様がどこに落ち着くのかは注視しておきたいところです。
おじさんから一言:脆弱性情報の収集ではお世話になっているCISA。CISAからTwitterやFacebookに投稿しちゃダメよってことなのか。本家サイトを見に行っている場合は影響ないでしょうが、Twitterの投稿をトリガーに対応していた人は業務フロー見直さないとですね。…といってもまだ現時点ではTwitterの投稿は続いているみたい。
おじさんから一言:三木谷社長の言葉通り進んでいますね。楽天モバイルは完全仮想化クラウドネイティブモバイルネットワークとのことで、ハードウェアの入れ替えなしにソフトウェアを切り替えられるようです。1年程度でソフトウェアを用意してサービスリリースを目指しているということなのだと思いますが、サービスとしても技術面でも興味深い楽天モバイルの取り組みには今後も期待しています。
本日は、ダークウェブ取引の現状やサイバー保険の話を取り上げます。
おじさんから一言:流出したクラウドサービスのログイン情報が大安売り! みなさんは買っちゃダメですよ? Microsoft Outlookクラウドが最も狙われているということですので、お使いの方は何か不審な点を感じたら放置せず、パスワードを変更したり、覚えのない転送設定がされていないか確認したり、必要なアクションを起こすようにしてください。
おじさんから一言:Microsoft、Adobe、Fortinet、Oracle、Veeam、VMwareの製品の脆弱性を悪用する不正プログラムが取引されているとのこと。特にIPAで定期的に注意喚起が出されるMicrosoft、Adobe、Oracle製品の利用者は多いですが、それゆえ攻撃者にとってオイシイターゲットでもあります。アップデートを放置せず、すぐにアップデートできなかったとしても、少なくともいつまでにはアップデートすると計画を立てる習慣付けをお願いします。
おじさんから一言:サイバー保険は有事の際に財政面では助けになるかもしれませんが、サイバー攻撃の本質的な対策にはなりません。できるところからコツコツと、サイバーセキュリティ対策を進めていくしかないですね。
本日は、顔認証についての抵抗感やサポート詐欺の手口、Googleのセキュリティプログラムに関する話を取り上げます。
おじさんから一言:これを多いと見るか、少ないと見るかですね。今後はパスワードレス認証にも関わってくることを考えると、もう少し増えてもらわないと組織で導入するには厳しいかも知れません。
一方で、安易に抵抗感がなくなるのも考えものです。本人が所持しているデバイスからのみ顔認証や指紋認証などの生体認証を許可するようにするなど、なるべくリスクを最小化することが大事です。もし、何でもかんでも生体認証でOKとしていたら、知らぬ間に怪しげなところへ生体認証情報が流出して悪用される可能性も出てくるでしょう。抵抗感も適度に維持しつつ、利便性の向上を図っていきたいですね。
おじさんから一言:サポート詐欺についての概要や対処方法はIPAさんの安心相談窓口だよりの記事が詳しいですが、Digital Artsさんの記事では仕組み寄りの話をご紹介いただいていて大変興味深かったです。
サポート詐欺の手口ではWindowsのセキュリティ検知になりすましたものが大半を占めますので、Macをお使いの方に表示しても刺さらないですよね。そのあたりを考慮して、Windowsユーザの場合にしか詐欺の画面を表示しないようにして無駄玉を撃たないようにしている様子が見えてきたりと、攻撃者のみなさんも最適化を進めているようです。
おじさんから一言:Google先生、ステキ!✨✨✨ 日本リスキリングコンソーシアムに新規で登録した先着2万人は無料で受講できるとのことですので、皆様も是非ご登録を検討いただければと思います。
最近SNS界隈がカオスなので、国産SNSにも居場所を確保しておこうかと今さらながらmixiにアカウント作成しました。以下のコミュニティはログインしなくても覗けるようですので、ぜひ冷やかしに来ていただければ幸いです。
KIHAハッキング研究所のコミュニティ
https://mixi.jp/view_community.pl?id=6380220
今のところ、浦渡さんと岩田の2人で運営しています。更新頻度はあまり高くないですが、ユルい雰囲気でやっていければなと考えています。
トピックではITニュースを取り上げていますが、こちらのブログで取り上げているものの中から一般向けのニュースを選んで投稿しています。ブログでは専門的な内容が多いと思いますので、専門家以外でもとっつきやすいニュースを選別して話題に上げていけると差別化できるかなと考えている次第です。まずはご紹介まで。
本日は、決済アプリで返金すると言いつつ送金させようとする新手の詐欺や、電話番号でメッセージをやり取りできるSMS、デジタル庁に関する話を取り上げます。
おじさんから一言:返金すると言うから手続きを進めていたら、気付いたらこちらが支払っていた!?というのは既出の手口だと思いますが、決済アプリを使っての手法は新しいということですかね。処理に失敗したからと繰り返し決済を促すところはサポート詐欺の手口でも見覚えがあります。どうぞご注意ください。
おじさんから一言:RCSを実装しているアプリってあるのかな?と調べてみると、実はすでに使ってますね。+メッセージやRakuten Linkでメッセージを送っていれば、それはSMSではなくRCSらしい…。知らずに使っていたよ。端末標準のメッセージアプリよりも、こういったアプリを使った方が良い理由はコストだけではなかったようです。
RCSとは?SMSとの違いや利用できる国内のサービスも解説【Accrete】
https://www.accrete-inc.com/column/20220527.html
おじさんから一言:あれぇ、おかしいな…。デジタル庁がDXの立場の組織だと思ってたけど、情シス側だったかぁ😩
国民のリテラシーについても言及いただいていますが、これも重要なことだと思います。デジタル庁だけに責任をなすりつけて終わりにするのではなく、ひとりひとりが何か改善できることはないかと問題意識を持っていかないと、日本のITはいつになっても残念なままです。皆様におかれましては、一緒になって社会基盤を作っていくのだという気概を持って、日常風景にリンクさせる思考を養っていただけますと幸いです。…抽象的で何をすれば良いのか分からない?
職場が風通しの良い雰囲気になるよう日頃からコミュニケーション不足にならないようにすること。日々の業務で改善できる所があれば積極的に改善提案をすること。提案された側は無下にせず、気軽に試してみるよう促すこと。自分さえ良ければいいという思考を捨て、全体としてどういう在り方が望ましいのか考える習慣をつけること。目先のことに目を奪われて戦術的な対応をするのではなく、長い目で見て良い方向になるように戦略的な視野を持って対応をすること。
これらはITに限った話ではないはずです。どんな仕事でも言えることだと思います。実現できれば、巡り巡って様々なことが良い方向に運んでいくはず。身近なところから、できるところから、一つずつやってみてください。
本日は、パスワードレス認証のパスキーやCiscoのSplunk買収に関する話を取り上げます。
おじさんから一言:パスワードレス認証について昨年末頃にFIDO2の話題が盛り上がっていましたが、最近は「パスキー」と呼ぶのが一般的なのかな? いずれにせよパスワードを使わず、別の方法で認証する仕組みになります。未来が来てる感じしますね!
最近もパスワードの使い回しをしている人が尋常じゃないほどいる!という記事も出ていましたが、パスワードで認証するのがもう限界なのは間違いないので早く普及してほしいです。
おじさんから一言:Ciscoには生成AIを扱っているイメージがないので、この機会に大量データの知見のあるSplunkを抱えて勝負に出ようということなのかな? 後発組として果たして食い込めるのや否や。
Splunkは当研究所でも使っているので、便利になる分には大歓迎です! 間違っても無料枠なしにするとかは止めてね?
本日は、研究段階のパスワードクラック手法や詐欺メールで悪用されたドメインに関する話を取り上げます。
おじさんから一言:キー配置が明確な数字の入力であればかなりの精度で盗聴できるということのようですが、日本語のフリック入力だったり隣接キーとの距離が近いQWERTY配列でも行けるのかは気になるところですね。さすがに数字のみのパスワードを使っている人なんていないとは思いますが、英大文字・小文字・数字・記号を混在させ、桁数を増やすことはこの手法の対策としても有効そうですね。また、パスワードマネージャーを使っていれば、そもそもパスワードを手入力しないので対策になると思います。
おじさんから一言:昨年よく見たicuドメインは、たしかに最近見なくなりましたね。値上がりしたのかな? それとも管理が厳しくなった? com, top, co, shopあたりは引き続き悪用されているようなので気をつけましょう。cn(Chinaの国ドメイン) や ru(Russiaの国ドメイン) は基本的にダウトでよろしいかと。独自ドメイントップ20はよく悪用されてしまう正規サービスということだと思いますが、安易に通信ブロックすると利便性を損なう可能性がありますので、組織内で意識合わせしてからブロックした方が良いと思います。
ちょうど4年前ぐらいに米国ではOTセキュリティに火が付き始めていましたが、日本でもそろそろ盛り上がり始めているようです。最近の記事をまとめてみました。
本日は、パスワードの使い回しの実態やガバメントクラウドの選考基準緩和、乗っ取られた正規サイトに関する話を取り上げます。
おじさんから一言:6種類以上を良しとしても、5種類以下のパスワードの使い回しが7割以上ですか…。 せめてどこのサイトでどのパスワードを使っているかは管理しておいてくださいね。事故の際にリカバリできるよう。
おじさんから一言:安全保障上、正しい方向であろうと思います。国産ベンダーには「なんちゃってクラウド」から脱却して頑張ってほしいところですが、どこが一番可能性高いんでしょうね?? 以下のあたりが候補になりそうだけど、果たして食い込めるのや否や。
昨年6月の記事でも大事なことを伝えられていますね。
「今さら国産クラウドの育成」、自民党と経産省は何を考えているのか【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00166/053000103/
おじさんから一言:最近の詐欺メールに登場するURLは、あからさまに悪性と判断がつかないようなものも増えてきています。こちらの記事のように正規サイトが乗っ取られて悪用されているケースも多々ありますのでご注意ください。
本日は、AIが生成したであろうフィッシングメールに引っかかってしまった話、ダークウェブの閲覧で使われるTorのサイバーセキュリティに関する話を取り上げます。
おじさんから一言:恥を忍んでこうして記事にしていただくことはありがたいことだと思います。「私は大丈夫だと考えている、あなた!」そう、あなたです。明日は我が身と思って今一度警戒いただくよう、よろしくお願いします。
おじさんから一言:Torもまたサイバー攻撃の対象になっていて、PoWという防御機構があるようなのですが、ブロックチェーン関連の考え方みたいですね。Torもブロックチェーンも中央集権ではなく端末同士がやり取りする(アドホックな)思想なので同じように適用できるのか。興味深い。
最近の気になった情報を取り上げて、余裕があればコメントします。
現状でPCよりもスマホの方が本人確認には有効。
→スマホのOS握ってるのって、ほぼGoogleとApple。
→かつてのような自由さを取り戻したい。
→これまで放置してきた課題に取り組もう!
おじさんから一言:ハッカー精神を感じる内容で大変感銘を受けました。それにしてもPCよりもスマホの方がサイバー攻撃の対象足り得る時代に入って来ていますね。PCのセキュリティ対策はそれなりにやってきたけど、スマホはほとんど対策できていないケースも多いのではないでしょうか。これまでとは考え方を改めて対策していく必要がありそうです。
おじさんから一言:なかなか言いづらいことを相変わらずの調子で語られていて痛快ですね。私は20代のうちに転職した元SIer SEですが、仰る通りだと思います。
おじさんから一言:休日前(金曜日の夜とか)が最も狙われやすいとのこと。じゃあと言って、戸締まりに気をつけましょう!のレベルでは済まないのが悩ましいところですね…。日頃からサイバーセキュリティ対策をできるところからコツコツ積み重ねていくしかないです。
当研究所サイトの以下ページで国境付近5地点の天気予報を確認できるページをリリースしました。
国境付近の天気 | LdLuS
https://ldlus.org/weather.php
これまで動画配信活動で扱ってきた「お昼の声出し活動」や「情報研究室の日報」では幾度ごとにお伝えして参りましたが、日本国内の天気予報サービスでは択捉島を始め、日本の領土であるはずの場所で天気予報ができない現実があります。
天気予報のAPIにはそのような国境の事情がなく、淡々と緯度経度に応じて天気予報を確認できてしまうため、そのあたりのメッセージ性が薄れてしまうところは気にしているところでありますが、これはこれで領土を主張するという意味で別の角度からメッセージ性を持たせることができるのかなと考えています。
これを見たところで日々の生活には天気予報を活かせないとは思いますが、上記のページで扱う5地点が日本の領土であることを改めてご認識いただき、日本人ひとりひとりが問題意識を持っていただく上での一助となりましたら幸いです。
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/22686852.b42eec79.22686853.be16df61/?me_id=1213310&item_id=21038789&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F4240%2F9784166614240_1_8.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/390148bc.ecfa07dc.390148bd.3b20987b/?me_id=1278256&item_id=23009470&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Frakutenkobo-ebooks%2Fcabinet%2F8032%2F2000014218032.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")