mixiはじめました

最近SNS界隈がカオスなので、国産SNSにも居場所を確保しておこうかと今さらながらmixiにアカウント作成しました。以下のコミュニティはログインしなくても覗けるようですので、ぜひ冷やかしに来ていただければ幸いです。

KIHAハッキング研究所のコミュニティ
https://mixi.jp/view_community.pl?id=6380220

今のところ、浦渡さんと岩田の2人で運営しています。更新頻度はあまり高くないですが、ユルい雰囲気でやっていければなと考えています。

トピックではITニュースを取り上げていますが、こちらのブログで取り上げているものの中から一般向けのニュースを選んで投稿しています。ブログでは専門的な内容が多いと思いますので、専門家以外でもとっつきやすいニュースを選別して話題に上げていけると差別化できるかなと考えている次第です。まずはご紹介まで。

Facebooktwitterredditpinterest

【ITニュース】2023年10月2日の気になる話題

本日は、決済アプリで返金すると言いつつ送金させようとする新手の詐欺や、電話番号でメッセージをやり取りできるSMS、デジタル庁に関する話を取り上げます。


①ショッピングの代金、「○○ペイで返金します」という新手の詐欺に、国民生活センターが注意喚起【INTERNET Watch】https://internet.watch.impress.co.jp/docs/news/1535546.html

おじさんから一言:返金すると言うから手続きを進めていたら、気付いたらこちらが支払っていた!?というのは既出の手口だと思いますが、決済アプリを使っての手法は新しいということですかね。処理に失敗したからと繰り返し決済を促すところはサポート詐欺の手口でも見覚えがあります。どうぞご注意ください。


「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/02/news039.html

おじさんから一言:RCSを実装しているアプリってあるのかな?と調べてみると、実はすでに使ってますね。+メッセージやRakuten Linkでメッセージを送っていれば、それはSMSではなくRCSらしい…。知らずに使っていたよ。端末標準のメッセージアプリよりも、こういったアプリを使った方が良い理由はコストだけではなかったようです。

RCSとは?SMSとの違いや利用できる国内のサービスも解説【Accrete】
https://www.accrete-inc.com/column/20220527.html


③デジタル庁の失策に「全社一丸」の欠如、ダメな会社のDXプロジェクトと酷似する【日経XTech】
https://xtech.nikkei.com/atcl/nxt/column/18/01111/092800046/?n_cid=nbpnxt_twbn

おじさんから一言:あれぇ、おかしいな…。デジタル庁がDXの立場の組織だと思ってたけど、情シス側だったかぁ😩
国民のリテラシーについても言及いただいていますが、これも重要なことだと思います。デジタル庁だけに責任をなすりつけて終わりにするのではなく、ひとりひとりが何か改善できることはないかと問題意識を持っていかないと、日本のITはいつになっても残念なままです。皆様におかれましては、一緒になって社会基盤を作っていくのだという気概を持って、日常風景にリンクさせる思考を養っていただけますと幸いです。…抽象的で何をすれば良いのか分からない?

職場が風通しの良い雰囲気になるよう日頃からコミュニケーション不足にならないようにすること。日々の業務で改善できる所があれば積極的に改善提案をすること。提案された側は無下にせず、気軽に試してみるよう促すこと。自分さえ良ければいいという思考を捨て、全体としてどういう在り方が望ましいのか考える習慣をつけること。目先のことに目を奪われて戦術的な対応をするのではなく、長い目で見て良い方向になるように戦略的な視野を持って対応をすること。

これらはITに限った話ではないはずです。どんな仕事でも言えることだと思います。実現できれば、巡り巡って様々なことが良い方向に運んでいくはず。身近なところから、できるところから、一つずつやってみてください。

Facebooktwitterredditpinterest

【ITニュース】2023年9月27日の気になる話題

本日は、パスワードレス認証のパスキーやCiscoのSplunk買収に関する話を取り上げます。


①1Passwordがパスキー対応 ChromeなどのWebブラウザとiOSで提供【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2309/24/news019.html

おじさんから一言:パスワードレス認証について昨年末頃にFIDO2の話題が盛り上がっていましたが、最近は「パスキー」と呼ぶのが一般的なのかな? いずれにせよパスワードを使わず、別の方法で認証する仕組みになります。未来が来てる感じしますね!

最近もパスワードの使い回しをしている人が尋常じゃないほどいる!という記事も出ていましたが、パスワードで認証するのがもう限界なのは間違いないので早く普及してほしいです。


②CiscoによるSplunk買収、背景にあるもの【@IT】
https://atmarkit.itmedia.co.jp/ait/articles/2309/27/news095.html

おじさんから一言:Ciscoには生成AIを扱っているイメージがないので、この機会に大量データの知見のあるSplunkを抱えて勝負に出ようということなのかな? 後発組として果たして食い込めるのや否や。

Splunkは当研究所でも使っているので、便利になる分には大歓迎です! 間違っても無料枠なしにするとかは止めてね?

Facebooktwitterredditpinterest

【ITニュース】2023年9月20日の気になる話題

本日は、研究段階のパスワードクラック手法や詐欺メールで悪用されたドメインに関する話を取り上げます。


①スマホからWi-Fiで送信されたパスワードを盗聴、暗号解読不要の恐るべき手法【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00676/091500149/

おじさんから一言:キー配置が明確な数字の入力であればかなりの精度で盗聴できるということのようですが、日本語のフリック入力だったり隣接キーとの距離が近いQWERTY配列でも行けるのかは気になるところですね。さすがに数字のみのパスワードを使っている人なんていないとは思いますが、英大文字・小文字・数字・記号を混在させ、桁数を増やすことはこの手法の対策としても有効そうですね。また、パスワードマネージャーを使っていれば、そもそもパスワードを手入力しないので対策になると思います。


②2023年上半期フィッシングサイト ドメイン集計【Digital Arts】
https://www.daj.jp/security_reports/33/

おじさんから一言:昨年よく見たicuドメインは、たしかに最近見なくなりましたね。値上がりしたのかな? それとも管理が厳しくなった? com, top, co, shopあたりは引き続き悪用されているようなので気をつけましょう。cn(Chinaの国ドメイン) や ru(Russiaの国ドメイン) は基本的にダウトでよろしいかと。独自ドメイントップ20はよく悪用されてしまう正規サービスということだと思いますが、安易に通信ブロックすると利便性を損なう可能性がありますので、組織内で意識合わせしてからブロックした方が良いと思います。

Facebooktwitterredditpinterest

工場のセキュリティ(OTとかICS)に関する最近の話題

ちょうど4年前ぐらいに米国ではOTセキュリティに火が付き始めていましたが、日本でもそろそろ盛り上がり始めているようです。最近の記事をまとめてみました。


①標準から学ぶICSセキュリティ【JPCERT/CC】
https://www.jpcert.or.jp/ics/information07.html

②スマート工場化でのシステムセキュリティ対策事例 調査報告書【IPA】
https://www.ipa.go.jp/security/controlsystem/securityreport-smartfactory-2023.html

③産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴【Internet Watch】
https://internet.watch.impress.co.jp/docs/column/security/1528348.html

④OTセキュリティリスク可視化サービス OsecT、リニューアルしました【NTTコミュニケーションズ 開発者ブログ】
https://engineers.ntt.com/entry/2023/08/31/100633


【関連用語】

  • OT:Operational Technology(社会インフラのハードウェアを制御・運用する技術)
  • ICS:Industrial Control System(産業用制御システム)
Facebooktwitterredditpinterest

【ITニュース】2023年9月4日の気になる話題

本日は、パスワードの使い回しの実態やガバメントクラウドの選考基準緩和、乗っ取られた正規サイトに関する話を取り上げます。


①パスワードの利用実態調査2023、8割以上が使い回し【マイナビTECH+】
https://news.mynavi.jp/techplus/article/20230901-2762626/

おじさんから一言:6種類以上を良しとしても、5種類以下のパスワードの使い回しが7割以上ですか…。 せめてどこのサイトでどのパスワードを使っているかは管理しておいてくださいね。事故の際にリカバリできるよう。


②デジタル庁がガバメントクラウドの選考基準を一部緩和へ、国産ベンダー参入に光明【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/15854/

おじさんから一言:安全保障上、正しい方向であろうと思います。国産ベンダーには「なんちゃってクラウド」から脱却して頑張ってほしいところですが、どこが一番可能性高いんでしょうね?? 以下のあたりが候補になりそうだけど、果たして食い込めるのや否や。

昨年6月の記事でも大事なことを伝えられていますね。
「今さら国産クラウドの育成」、自民党と経産省は何を考えているのか【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00166/053000103/


③ハッキングされたWebサイトを見破る方法【kasperskyブログ】
https://blog.kaspersky.co.jp/how-to-spot-phishing-on-a-hacked-wordpress-website/34535/

おじさんから一言:最近の詐欺メールに登場するURLは、あからさまに悪性と判断がつかないようなものも増えてきています。こちらの記事のように正規サイトが乗っ取られて悪用されているケースも多々ありますのでご注意ください。

Facebooktwitterredditpinterest

【ITニュース】2023年8月29日の気になる話題

本日は、AIが生成したであろうフィッシングメールに引っかかってしまった話、ダークウェブの閲覧で使われるTorのサイバーセキュリティに関する話を取り上げます。


①セキュリティ専門家もだまされかけた、巧妙すぎるAIフィッシング詐欺の顛末【ZDNET】
https://japan.zdnet.com/article/35208153/

おじさんから一言:恥を忍んでこうして記事にしていただくことはありがたいことだと思います。「私は大丈夫だと考えている、あなた!」そう、あなたです。明日は我が身と思って今一度警戒いただくよう、よろしくお願いします。


②匿名ネットワークTorはどのようにDDoS攻撃を防ぐ? 鍵を握る「PoW」とは【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/29/news074.html

おじさんから一言:Torもまたサイバー攻撃の対象になっていて、PoWという防御機構があるようなのですが、ブロックチェーン関連の考え方みたいですね。Torもブロックチェーンも中央集権ではなく端末同士がやり取りする(アドホックな)思想なので同じように適用できるのか。興味深い。

Facebooktwitterredditpinterest

【ITニュース】2023年8月28日の気になる話題

最近の気になった情報を取り上げて、余裕があればコメントします。


①インターネットとトラスト ~AI時代に必要なインフラの再考~ クロサカタツヤ(株式会社企)【JPNIC】

現状でPCよりもスマホの方が本人確認には有効。
→スマホのOS握ってるのって、ほぼGoogleとApple。
→かつてのような自由さを取り戻したい。
→これまで放置してきた課題に取り組もう!

おじさんから一言:ハッカー精神を感じる内容で大変感銘を受けました。それにしてもPCよりもスマホの方がサイバー攻撃の対象足り得る時代に入って来ていますね。PCのセキュリティ対策はそれなりにやってきたけど、スマホはほとんど対策できていないケースも多いのではないでしょうか。これまでとは考え方を改めて対策していく必要がありそうです。


②SIerの技術者は「洗脳」されているかもな、滅びの道を行く前に考えたほうがよいぞ【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00148/082200298/

おじさんから一言:なかなか言いづらいことを相変わらずの調子で語られていて痛快ですね。私は20代のうちに転職した元SIer SEですが、仰る通りだと思います。


③攻撃者は何曜日にランサムウェアを仕掛けるのか? 2023年上半期Sophosレポートが公開【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/28/news052.html

おじさんから一言:休日前(金曜日の夜とか)が最も狙われやすいとのこと。じゃあと言って、戸締まりに気をつけましょう!のレベルでは済まないのが悩ましいところですね…。日頃からサイバーセキュリティ対策をできるところからコツコツ積み重ねていくしかないです。

Facebooktwitterredditpinterest

メッセージアプリならLINE…じゃなくてSignalの方がいいと思うんだけど??

メッセージアプリ比較 強固にプライバシーを守るには?【kasperskyブログ】
https://blog.kaspersky.co.jp/what-makes-a-messenger-secure/34400/

Signal優秀なんだけど、全然話題に上がらないのが不思議。電話番号見えるのってそんなに問題かな…。家族とか古くからの友達なら特に気にしないと思うんだけど。

Telegramは話題に上がるけど日本語対応していないので積極的におすすめしようと思わないのよね。まあ、サイバー攻撃者のみなさんがよく使っているので情報セキュリティ関連の情報収集としては重宝するのだけど。万人向けではないかな。

Facebooktwitterredditpinterest

米国諜報機関からのサイバー攻撃に関するレビュー(China目線)

なかなか興味深い資料が出ていますね。英語で記載されたレポートになっています。

CCIA:Review of Cyberattacks from US Intelligence Agencies(米国情報機関によるサイバー攻撃のレビュー)
http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20230411/20230411080719_9921.pdf

▼紹介記事
CHINADAILY:CCIA report exposes malicious behavior and threat of US cyber hegemony(CCIAの報告書が悪意のある行為と米国のサイバー覇権の脅威を暴露)
https://www.chinadaily.com.cn/a/202304/11/WS6434fe4fa31057c47ebb97bd.html


【参考】英語のPDFファイルを日本語化する手順

HTML化してブラウザの機能で翻訳すると、比較的自然な日本語で読めると思われ。
①以下のようなツールを用いて、PDFをWordに変換。
 https://www.ilovepdf.com/ja/pdf_to_word
②①のWordを開いて、HTML形式で保存。
③Google Chromeで②のHTMLを開いて、[右クリック] – [日本語に翻訳] を選択して日本語化。

Facebooktwitterredditpinterest

【メンテナンス】サイトの分離を行いました

最近なーんか、よくサイトが落ちるんだよなー(思い当たるところはあるのですが)。ということで、研究所サイトからブログ部分を分離しました。

かつて2016年のサイト統廃合で合体した経緯があるものの、作りの違うものが同居しているのはメンテナンスの面でもセキュリティの面でもイマイチなので、改めて分離することにしました。

各サイトは以下になります。
・研究所サイト  :https://ldlus.org/
・これまでのブログ:https://ldlus.org/blog
・これからのブログ:https://blog.ldlus.org/

これまで1つのインスタンスの中でApacheとMySQLを同居させていたのですが、MySQLの負荷がどうにも大きい。1時間に1回MySQLを再起動するようcron設定してみたりもしましたが、まあ、付け焼き刃ですしカッコ悪いですからね…。抜本的に見直すことにしました。

最近のWebサーバ事情としてはApacheよりNginxの方が主流のようなので、新しい環境ではNginxを採用したり。プラットフォームとして某クラウドを使っていますが、同一インスタンスでWebとDBを実装するのではなく、別途RDBのコンポーネントを試してみたりと、ちょっとずつ新しいこともやってます。どのぐらい課金されるかは最初の無料期間の間に検証していこうかと。
→(後日追記)月当たり¥1,300前後の課金になりました。このぐらいなら良いかな。

こうして記事書いて動作確認しているだけでも、レスポンスが早くなっているのが実感できますね。

Facebooktwitterredditpinterest

【新機能リリース】国境付近の天気

当研究所サイトの以下ページで国境付近5地点の天気予報を確認できるページをリリースしました。

国境付近の天気 | LdLuS
https://ldlus.org/weather.php

これまで動画配信活動で扱ってきた「お昼の声出し活動」や「情報研究室の日報」では幾度ごとにお伝えして参りましたが、日本国内の天気予報サービスでは択捉島を始め、日本の領土であるはずの場所で天気予報ができない現実があります。

天気予報のAPIにはそのような国境の事情がなく、淡々と緯度経度に応じて天気予報を確認できてしまうため、そのあたりのメッセージ性が薄れてしまうところは気にしているところでありますが、これはこれで領土を主張するという意味で別の角度からメッセージ性を持たせることができるのかなと考えています。

これを見たところで日々の生活には天気予報を活かせないとは思いますが、上記のページで扱う5地点が日本の領土であることを改めてご認識いただき、日本人ひとりひとりが問題意識を持っていただく上での一助となりましたら幸いです。

Facebooktwitterredditpinterest

2022年11月 パッチチューズデー アップデート情報

11/9(水) 周辺で公開されたアップデート情報のまとめになります。

※今回から動画配信は無しにします。試行錯誤してみたものの、やっぱり一般向けでないし、一方で専門家に向けては不足感がありますので。脆弱性の話は大事なのですが、まだまだデファクト・スタンダードと呼べるものが定まっておらず振り回されてばかりの状況。皆様に馴染みのあるものになるには、もう少し年月が必要なのかなぁと思う今日この頃でございます。


主な情報源


パッチチューズデー周辺のアップデート情報

Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
 →今回分:https://www.ipa.go.jp/security/ciadr/vul/20221109-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
 →今回分:https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/
・SecurityNext:https://www.security-next.com/141292

【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

VMware Workspace ONE Assist:
https://www.security-next.com/141251

PHP:
https://www.security-next.com/141222

XKCP SHA-3(PHPやPythonに影響):
https://www.security-next.com/141201

Apache Commons BCEL:
https://www.security-next.com/141262

OpenSSL:
https://www.ipa.go.jp/security/ciadr/vul/alert20221102.html
https://www.jpcert.or.jp/at/2022/at220030.html

JVN:
https://jvn.jp/report/index.html


これまでの振り返り

Facebooktwitterredditpinterest

2022年10月 パッチチューズデー配信

10/12(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/OaKBmDOiHdU
ニコニコ生放送:https://live.nicovideo.jp/watch/lv338835353
OPENREC.tv:https://www.openrec.tv/live/12rokk39x8n
Twitch:https://www.twitch.tv/kiha_hacking_laboratory


主な情報源


パッチチューズデー周辺のアップデート情報

Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
 →今回分:https://www.ipa.go.jp/security/ciadr/vul/20221012-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
 →今回分:https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/
・SecurityNext:
 https://www.security-next.com/140456
 https://www.security-next.com/140462

【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
・本家:https://helpx.adobe.com/security/security-bulletin.html
・SecurityNext:https://www.security-next.com/140459
・IPA:https://www.ipa.go.jp/security/ciadr/vul/20221012-adobereader.html

Apple:
・本家:https://support.apple.com/ja-jp/HT201222
・SecurityNext:https://www.security-next.com/140469

Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Fortinet:
・本家:https://www.fortiguard.com/psirt/FG-IR-22-377
・JPCERT/CC:https://www.jpcert.or.jp/at/2022/at220025.html
・SecurityNext:https://www.security-next.com/140430

bingo!CMS:
・本家:https://www.bingo-cms.jp/information/20221011.html
・JPCERT/CC:https://www.jpcert.or.jp/at/2022/at220026.html
・SecurityNext:https://www.security-next.com/140439

JVN:
https://jvn.jp/report/index.html


先月のパッチチューズデーまでの振り返り


クレジット

Facebooktwitterredditpinterest

2022年9月 パッチチューズデー配信

9/14(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/DFO7IXPzb4s
ニコニコ生放送:https://live.nicovideo.jp/watch/lv338479339
OPENREC.tv:https://www.openrec.tv/live/kdr7dxwxwrj
Twitch:https://www.twitch.tv/kiha_hacking_laboratory


主な情報源


パッチチューズデー周辺のアップデート情報

Microsoft:
・IPAの注意喚起リスト:https://www.ipa.go.jp/security/announce/alert.html
 →今回分:https://www.ipa.go.jp/security/ciadr/vul/20220914-ms.html
・Microsoft本家リスト:https://msrc-blog.microsoft.com/?s=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0
 →今回分:https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/
・SecurityNext:https://www.security-next.com/139728

【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
https://helpx.adobe.com/security/security-bulletin.html
https://www.security-next.com/139736
→今回はAdobe Readerは無し

Apple:
https://support.apple.com/ja-jp/HT201222
https://www.security-next.com/139691
https://www.security-next.com/139404
→古いバージョン含め最近アップデート多いです。ぜひ一度アップデートが来ていないかチェックお願いします!

Android:
https://support.google.com/android/answer/7680439
→メーカーによってそれぞれなので、みなさんもそれぞれ確認お願いします~

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Microsoft Edge:
https://docs.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

SonicWall:
https://psirt.global.sonicwall.com/vuln-list
https://www.security-next.com/139696

Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220023.html
https://www.security-next.com/139721

Movable TypeのXMLRPC APIの脆弱性に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220022.html

JVN:
https://jvn.jp/report/index.html


先月のパッチチューズデーまでの振り返り


クレジット

Facebooktwitterredditpinterest

2022年8月 パッチチューズデー配信

8/10(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/FtMuycLGGoo


主な情報源


パッチチューズデー周辺のアップデート情報

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://www.ipa.go.jp/security/ciadr/vul/20220810-ms.html
https://msrc-blog.microsoft.com/2022/08/09/202208-security-updates/
https://www.security-next.com/138811

【備忘録】IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

WMware :
https://www.vmware.com/security/advisories.html
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
https://www.security-next.com/138819
https://www.vmware.com/security/advisories/VMSA-2022-0022.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/09/vmware-releases-security-updates

Cisco:
https://tools.cisco.com/security/center/publicationListing.x
https://www.cisa.gov/uscert/ncas/current-activity/2022/08/04/cisco-releases-security-updates-rv-series-routers

F5:
https://support.f5.com/csp/article/K14649763
https://www.security-next.com/138686

カスペルスキーのVPN製品:
https://www.security-next.com/138707

QNAP製NAS:
https://www.security-next.com/138775

JVN:
https://jvn.jp/report/index.html


先月のパッチチューズデーまでの振り返り


クレジット

Facebooktwitterredditpinterest

LdLuS6周年記念配信

8/4(木) 21:00よりLdLuS6周年記念配信やります!

YouTube Live:https://youtu.be/1YjlCEh9yx8

▼健康診断の受診者▼
https://ldlus.org/


以下、このたび健康診断にご協力いただくお医者様です。

サイトカテゴリのチェック

ドメイン周りのチェック

https通信の強度チェック

身バレチェック

魚拓サイト


クレジット

Facebooktwitterredditpinterest

2022年7月 パッチチューズデー配信

7/13(水) 21:00よりパッチチューズデー配信やります!

YouTube Live:https://youtu.be/ILICbEHjqrQ

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://www.ipa.go.jp/security/ciadr/vul/20220713-ms.html
https://msrc-blog.microsoft.com/2022/07/12/202207-security-updates/

IPA:Windows 8.1 のサポート終了に伴う注意喚起 https://www.ipa.go.jp/security/announce/win8_1_eos.html

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Citrix:
https://support.citrix.com/search/#/All%20Products?ct=Security%20Bulletins&searchText=&sortBy=Created%20date&pageIndex=1
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/12/citrix-releases-security-updates-hypervisor

WMware :
https://www.vmware.com/security/advisories.html
https://www.security-next.com/138122

Cisco:
https://tools.cisco.com/security/center/publicationListing.x
https://www.cisa.gov/uscert/ncas/current-activity/2022/07/07/cisco-releases-security-updates-multiple-products

PHP:
https://www.php.net/
https://www.security-next.com/138043

Django(Pythonのフレームワーク):
https://www.djangoproject.com/weblog/
https://jvn.jp/jp/JVN12610194/index.html

JVN:
https://jvn.jp/

KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

2022年6月 パッチチューズデー配信

6/15(水) 21:00よりパッチチューズデー配信やります!

YouTube:https://youtu.be/6BL5DDsZe3E

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/2022/05/10/202205-security-updates/

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓3月分のリンク先が最新の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

RealPlayer:
https://www.security-next.com/137286

Confluence:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Drupal:
https://www.drupal.org/sa-core-2022-011

JVN:
https://jvn.jp/

KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html

IPA:Microsoft 社 Internet Explorer のサポート終了について
https://www.ipa.go.jp/security/announce/ie_eos.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

2022年5月 パッチチューズデー配信

5/11(水) 21:00よりパッチチューズデー配信やります!

YouTube:https://youtu.be/ys3KmbsemC4

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/2022/05/10/202205-security-updates/

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Android:
https://support.google.com/android/answer/7680439

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓3月分のリンク先が5月分の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Intel:
https://www.jpcert.or.jp/newsflash/2022051101.html

F5 Networks(BIG-IP):
https://support.f5.com/csp/article/K55879220
https://www.security-next.com/136392

JVN:
https://jvn.jp/

KNOWN EXPLOITED VULNERABILITIES CATALOG:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

2022年4月 パッチチューズデー配信

4/13(水) 21:00よりパッチチューズデー配信やります!

YouTube:https://youtu.be/tYk7iGLCvnY

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/セキュリティ情報/

Adobe:
https://helpx.adobe.com/security/security-bulletin.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022
↓見当たらないなあと思ったら3月分のリンク先が4月分の内容に上書きされているようです
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

Apache Struts 2の脆弱性(S2-062)に関する注意喚起:
https://www.jpcert.or.jp/at/2022/at220011.html

Citrix:
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

2022年3月 パッチチューズデー配信

こちらで取り上げるのが遅くなりましたが、今月のパッチチューズデー アップデート情報でございます。

以下、今回のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e6%83%85%e5%a0%b1/

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+2022

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

第150回 昼休憩の声出し活動 3/1

おじいちゃんが…、もっとおじいちゃんになっちゃった!

はい、私(岩田)の犯行です。何ら反省しておりません。おじいさんのモデルらしさをなるべく追求させていただきましたwww。老人肌のテスクチャ作っていただいている方を見つけた時は…まさか同士がいるとは…と呆れつつも親近感を覚えつつ、テンション上がってました。

バ美肉という、若い女の子に乗り移るおじさん界隈も面白いですけど、あえて年寄りに乗り移る方向性も面白いんじゃないかと思ってこんな感じでやっておりますので、物好きな方はぜひお付き合いいただければと思います。いやー、…ほんと。物好きな人しか見ないと思うんだけれども…。「バーチャル 美少女 受肉」がバ美肉だから、ウチは「バーチャル 爺 受肉」でバ爺肉かなwww。

とはいえ、最近リスナーさんが徐々に増えてくださっているようで、感謝感謝でございます。お昼の配信はじめ、熱心な方が日々見てくださっていて、所長もモチベーション上がっていると申しておりました。今後ともどうぞよろしくお願い致します。

Facebooktwitterredditpinterest

2022年2月 パッチチューズデー配信

2/9(水) 21:00よりパッチチューズデー配信やります!

YouTube:https://youtu.be/Lp_sJVeRCzk

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/announce/alert.html
https://msrc-blog.microsoft.com/tag/セキュリティ情報/

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035

Citrix Hypervisor:
https://support.citrix.com/article/CTX337526

Zoom:
https://www.security-next.com/134026

FortiWeb:
https://www.security-next.com/133961

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

2022年1月 パッチチューズデー配信

今月もパッチチューズデー配信やっていきます!

以下、本日のお題です。

Microsoft:
https://www.ipa.go.jp/security/ciadr/vul/20220112-ms.html
https://msrc-blog.microsoft.com/2022/01/11/202201-security-updates/

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035

Samba:
https://www.security-next.com/133144
https://www.samba.org/samba/history/

Citrix Workspace App for Linux:
https://support.citrix.com/article/CTX338435

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2022.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

今年最後のパッチチューズデー! 年越し前にやることやっときましょうね

今月も毎月恒例のパッチチューズデー配信やります。米国時間の第2火曜日が該当しますので、我々としては12/15(水)の21:00から配信させていただきます!

▼2021年12月 パッチチューズデー アップデート情報

以下、今回のお題です。

Microsoft:
https://www.ipa.go.jp/security/ciadr/vul/20211215-ms.html
https://www.jpcert.or.jp/at/2021/at210051.html

Adobe:
https://helpx.adobe.com/security.html

Apple:
https://support.apple.com/ja-jp/HT201222

Google Chrome:
https://chromereleases.googleblog.com/search/label/Stable%20updates

Mozilla(FirefoxやThunderbirdなど):
https://www.mozilla.org/en-US/security/advisories/

SAP:
https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021

Apache Log4j:
https://www.jpcert.or.jp/at/2021/at210050.html
https://www.security-next.com/132515

OpenSSL:
https://www.security-next.com/132492

FortiOS:
https://www.security-next.com/132444

JVN:
https://jvn.jp/

JPCERT/CC Weekly Report:
https://www.jpcert.or.jp/wr/2021.html


主な情報源:
JPCERT/CC :https://www.jpcert.or.jp/
Security NEXT:https://www.security-next.com/category/cat177
CISA    :https://us-cert.cisa.gov/ncas/current-activity

Facebooktwitterredditpinterest

来週あたり、お昼の配信が第100回を迎えるようです

意外とここまで続きましたね。下の方の記事に貼ってある配信始めたばかりの頃と比べると、随分安定したもので。3日3月3年とはよく言ったものです。最近では当たり前のようにやっていることも、始めたばかりの頃はこんなに雑だったんですね…。まあ、走りながら考えようとやってきたので、そうなってしまうのは仕方ないのですが。

また、手の動きをキャプチャするLeap Motionのクセに振り回されていますが、もうちょっと所長には使いこなしてもらいたいですね。ろくろを回したりとか、そういう練習も期待して導入したところもありますし。お昼の配信は毎回似たような内容ですから、しゃべる方はそろそろ余裕出てきてると思いますので、ジェスチャーも織り交ぜながらお話できるように頑張っていきましょう。

毎週月~金曜日の12:25から、こんな感じで配信しておりますので、ぜひご覧ください。
ただ、12/13(月)はお休みをいただく予定ですので、あしからず…。

Facebooktwitterredditpinterest

サーバ引っ越し完了!

先日まで愛用していたCentOSに別れを告げて、新しいOSに引っ越しをしました。viエディタでコピペができないんだけど、なんだこれ?とか慣れないところはあるものの、標準のアップデートでPHPやSSLのパッケージが最新になってくれるのは何を置いても安心感が違いますね。

このタイミングでWordpressのプラグインを見直して古いものや使っていないものはアンインストールしたり、ログインページを隠すプラグインを導入したりと、セキュリティ強化も色々試してます。やっぱり、どういう風に使えばセキュアに使えるのかは、実際に使いながら頭を悩ませていかないとお客様にも説得力を持って説明できないと思いますからね。別の製品に変えれば問題が解決するかといえば、今度は別の問題が出たりしてね。おまえが変えろって言うから変えてみたらこのザマだよ!なんて言われた日にゃあ賠償モンですよ。くわばらくわばら。転職するときによく言われることと同じなのかもしれませんね。それって今の会社じゃあできないことなの?っていうやつ。

機能面でも改修を進めていこうと計画しておりますが、まずはこちらの右メニューのガイドライン欄が形骸化していたので見直しをかけております。ここは、にゅーすページとの棲み分けをどうするのかも検討課題ですね。

そうそう、実は先週あたり1週間近くビオラサイトが死んでおりまして…。原因はhttps化で使うLet’s Encryptなんですけど、どうも証明書の取得がうまく行かなくて「君は証明書要求し過ぎなので1週間待ての刑!」って怒られてしまっていたんですよ。その説明ページ見ると何十回とか結構な数要求しないとそれに該当しないはずなのに、なんでか引っかかってしまってね、まあ1週間待ったらちゃんと解消したのでまだ良かったんですが、別の原因だったらどうしようと戦々恐々としていたりもしました。あぁ、そうだ。もう一つ証明書関連で課題があるんでした。証明書の作成は問題ないんですが、証明書の更新を月に一回実行しているものの、どうも証明書の有効期限の開始日が変わってなくて、これ大丈夫なのかな?と不安になっているところです。ひとまずは期限が1ヶ月以内になったら更新が動くとかそういうやつなのか?とか推し量りながら様子見しようと思ってます。

まだまだやることはあって、広告を色々貼っているものの随分前に設置したものばかりだからリンクが切れているものもあったり、全体的に最新化しないといけませんね。特に自宅サーバのページなんかは、すでにクラウド化してるしCentOS卒業したから内容を見直さないとですね…。

なんか、そう言えるところまで運用を続けられて感慨深いものがあります。エンジニアってサーバ建てるのはみんなやるんですけど、コンテンツを作れない人が多かったりするので、それではイカン!と思って私はこうしてヘタクソなりにやっている所存であります。まあ、そんなでも続けていれば何かしら得られるものはあるもので、継続は力なりという言葉をひしひしと感じているところですね。

そういえば所長から要望もらっていたのでした。お昼の配信で不審メールの話をするときに、悪性URLを開いて色々入力しちゃったときの対処について取り上げてますが「もうちょっとスムーズに説明できるようにしたいので、うちのサイトに全部まとめたページ作りたいね」とのことで、仰る通りだなと思いました。時間の関係で言いたいことを言えてない日もあるとのことなので、後はウチのページ読んどいて!という流れにするものアリですからね。こうしてウチのサイトを育てていくことに繋がるとは、何がどう転ぶか分からないものです。

そんな感じでLdLuS6年目は年末を迎えようとしております。相変わらず大したコンテンツもご提供できておりませんが、できる範囲で皆様に情報を共有させていただければと思いますので、今後ともどうぞよろしくお願い致します。

Facebooktwitterredditpinterest

祝! LdLuS5周年!!

おかげさまで、ウチのサイトがLdLuSのブランドを掲げてから5年間が経過しました。いろいろな取り組みが生まれては育ち、廃れ、色々なことがありました。

5周年 生誕祭として、様々なツールを使いながら複数方向からldlus.orgを見てみる紹介動画を作成してみましたのでご確認ください。

▼LdLuS5周年 生誕祭【#KIHA所長/#木波ハッキング研究所】

今後もチャレンジ精神やベンチャーマインドを大切にしながら、知的好奇心の赴くままにいろいろやっていきたいと思います。

Link the Deep Logics to our Usual Sceneries.

LdLuS


上の動画で途中、お前は何を言っているんだ状態のところがありましたので補足の動画を作成しました。こちらも併せてご覧ください。

▼LdLuS5周年 生誕祭の補足

Facebooktwitterredditpinterest

お天気おじいさん

このおじいちゃん急に大きい声出すじゃん! 耳ないなった。

所長いわく、日曜日に収録していて「さいばん」で噛みまくったので、さ行が多い地域の天気予報を選んだとのことです。ほぅ…、え、ホントに?

★天気予報 ★
尖閣諸島  :https://www.mapion.co.jp/weather/spot/L0630053/
長崎県対馬市:https://www.mapion.co.jp/weather/admi/42/42209.html
竹島    :https://www.mapion.co.jp/weather/spot/L0630652/
占守島   :https://www.google.com/search?q=%E5%8D%A0%E5%AE%88%E5%B3%B6+%E5%A4%A9%E6%B0%97&oq=%E5%8D%A0%E5%AE%88%E5%B3%B6%E3%80%80%E5%A4%A9%E6%B0%97&aqs=chrome..69i57.6014j1j7&sourceid=chrome&ie=UTF-8

▼<音量注意!>昼休憩の声出し活動 08/02

Facebooktwitterredditpinterest