「日立評論のサイバー攻撃事案の教訓と社内堅牢化の取り組みを読め！」https://t.co/j2NEvOM3P0 #kagosec

— 白船（田中ザック） (@yamatosecurity) October 25, 2019

偽の三井住友銀行。httpsを使っている pic.twitter.com/SQvbtUzto7

— Haruhiko Okumura (@h_okumura) October 25, 2019

初期のWebUSB、実装が雑すぎるChromeと一般ユーザのプロセスに対して寛大すぎるWindowsの合わせ技によってWebページを提供する攻撃者はいつでもユーザのUSB HIDを毟り取れる状態になってた話面白すぎる(現在のChromeでは既に対策済み) https://t.co/DwiKCrW62b

— Fadis (@fadis_) October 26, 2019

DoS要素無くない？と思ったけど、大量のデータを送りつけなくてもサービスが拒否されたらDoSだった。
正しいウェブページの代わりにエラーページを強制表示させる新型サイバー攻撃「CPDoS」が発見される - GIGAZINEhttps://t.co/Lr5XjqZkl8

— kusanoさん@がんばらない (@kusano_k) October 26, 2019

増加するIoT機器への攻撃 - パナソニックが進めるセキュリティの見える化
https://t.co/bzdeVYtNwA - https://t.co/0rCPgbzCby

— セキュリティ・トレンド bot (@sec_trend) October 27, 2019

x

ロシアが「インターネットを停止する」試験を行うと発表。
サイバー戦争の際、全世界的なインターネット網から締め出されても国内の経済,通信の停止を防ぐ独自バックアップ網(RuNet)の初稼働となる。
またこれは中国の「金盾」のような検閲システムに発展すると考えられているhttps://t.co/zLNjlwKoXC

— tetsu (@metatetsu) October 28, 2019

なりすましメールにご注意ください
全日本空輸株式会社
2019年10月25日https://t.co/l83DF2hl1e

— piyokango (@piyokango) October 28, 2019

Webの維持更新は日常業務に深く組み込まれるので、どうあるべきかは職員が示すべき。携わる職員自身がWebへの理解を深めないと、業者と対話もできない。一時的に専門家の力を借りても抜本的な解決は難しいだろう。 / “滋賀県HPの不具合多発　知事、抜本的見直しは当面せず …” https://t.co/ISyAhJXEoD

— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) October 28, 2019

ジョージアに大規模サイバー攻撃 https://t.co/wjruf9haFs

— Mr.Rabbit@Perdanto (@01ra66it) October 28, 2019

PHP7 UnderFlow #RCE Vulnerabliity(CVE-2019-11043) ?? ?? https://t.co/nL13zuTjc4 [posted by #hahwul] #exploit

— HAHWUL (@hahwul) October 28, 2019

ISC2 CPEs :: Hack The Box :: Penetration Testing Labs https://t.co/oh16485CvR

— Mr.Rabbit@Perdanto (@01ra66it) October 29, 2019

KOSENセキュリティコンテスト

Writeup書きました！
参加チーム「バイナリ何キロバイト読める？」#sckosen

KOSENセキュリティコンテスト2019 Writeup https://t.co/K4F4M7hIbj

— こんにゃく (@konnyaku256) October 26, 2019

はてなブログに投稿しました
KOSENセキュリティコンテスト2019 Write up - チラシの裏からうっすら見える外枠の外のメモ書き https://t.co/63GngWpwl5 #sckosen

— Kazuaki Hyoda (@HyodaKazuaki) October 27, 2019

はてなブログに投稿しました #はてなブログ
変なホテルのLance R. Vick氏とコンタクトしてみた - Fox on Securityhttps://t.co/qmOtcQkHyu

— キタきつね (@foxbook) October 28, 2019

KOSENセキュリティコンテスト2019Writeup https://t.co/AVMNZXn15s

— Mr.Rabbit@Perdanto (@01ra66it) October 28, 2019

実機PCを回収したのでスクショとかコードをちょっと貼った
KOSEN セキュリティコンテスト2019 write-up - Java初心者の勉強日記https://t.co/lgpjMwb74e

— 精進します (@NaoppyJ) October 28, 2019

はてなブログに投稿しました #はてなブログ #sckosen

初めてのブログ投稿なので拙い文章だと思いますが、読んでいただけると幸いです
KOSENセキュリティコンテスト2019 writeup - datt's memohttps://t.co/m3TXcz3JHB

— datt (@osa_osa_datt) October 28, 2019

Writeupです

はてなブログに投稿しました
KOSENセキュリティコンテスト2019( #sckosen )に参加したおはなし - なんか書くとこ https://t.co/cPyYRBFJHN #はてなブログ

— うしけん (@o__g_) October 28, 2019

KOSENセキュリティコンテスト2019( #sckosen )に参加したおはなし - なんか書くとこ https://t.co/8BsOWl6Sts
SSTI解けるのしゅごい

— 精進します (@NaoppyJ) October 28, 2019

#codeblue_jp

明日からCODEBLUE国際カンファレンスが開催となります。2日間一緒に盛り上がりましょう！
CBNOCスタッフも会場でお待ちしております！ #codeblue_jp #cbnoc pic.twitter.com/rdXrTfqXG7

— cbnoc (@codeblue_noc) October 28, 2019

会場めっちゃ広ーい!!#codeblue_jp pic.twitter.com/8oihFjiMSI

— ピン村@ユウキ (@yukiafronia) October 28, 2019

明日からCODEBLUE国際カンファレンスが開催となります。2日間一緒に盛り上がりましょう！
CBNOCスタッフも会場でお待ちしております！ #codeblue_jp #cbnoc pic.twitter.com/rdXrTfqXG7

— cbnoc (@codeblue_noc) October 28, 2019

日本語も上手ですごく面白いセッションだった！[CODE BLUE 2019][U25]わたしはあなたが昨夜に何をしたかを知っている：最新のIoT Hubへの侵入手法[レポート] #codeblue_jp｜クラスメソッドブログ https://t.co/4LO3ccdwep

— けーにー (@ke_ni_) October 29, 2019

#DevelopersIO [CODE BLUE 2019] アジア地域における最新のサプライチェーン攻撃概要 [レポート] #codeblue_jp https://t.co/2NCiSAEeH1

— クラスメソッド＆Developers.IO (@classmethod) October 29, 2019

#DevelopersIO [CODE BLUE 2019] CYDERとCURE、NICTのサイバーセキュリティ最前線[レポート] #codeblue_jp https://t.co/d2sMYKUAMu

— クラスメソッド＆Developers.IO (@classmethod) October 29, 2019

[CODE BLUE 2019] Shattering the dark:ダークウェブの脆弱性を暴く [レポート] #codeblue_jp | DevelopersIO https://t.co/VpNUr1FKdO

— Yosuke Katsuki (@yokatsuki) October 29, 2019

[CODE BLUE 2019] SYN/ACKパケットを用いたDDoS攻撃の脅威 [レポート] #codeblue_jp | DevelopersIO https://t.co/WsjfWZxuKC

— Yosuke Katsuki (@yokatsuki) October 29, 2019

めっちゃトラフィック流れてる??#codeblue_jp pic.twitter.com/53UD1Gahum

— Takashi Kaga (@TAKA_0411) October 29, 2019

#DevelopersIO [CODE BLUE 2019] ローカルハッキングの探求 [レポート] #codeblue_jp https://t.co/DMfKKJUVY7

— クラスメソッド＆Developers.IO (@classmethod) October 29, 2019

#DevelopersIO [CODE BLUE 2019][フューチャー株式会社] 情報漏えい事件の謝罪対応の裏側[レポート] #codeblue_jp https://t.co/Jsc1PI2Oiz

— クラスメソッド＆Developers.IO (@classmethod) October 29, 2019

パネラーの皆様のご紹介：
-Sony PSIRT 渋谷 様
-東芝 PSIRT 小田原 様
-三菱電機 PSIRT 桜井 様
-Panasonic PSIRT 中野様

戦略立案、マネジメント、セキュリティガバナンス、インシデント対応、トレーニングなどに責任を持たれています。#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

昨年からの PSIRT 目線の振り返り：
Software Supply Chain Security の議論が活発になってきている（Software Bill of Materials (SBoM) 問題など）。CVE の採番問題や CVSS v3.1 がリリースされたことなども話題になった。#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

今回のテーマ：
今回はPSIRT 活動における「付き合い」がテーマ。１つ目は脆弱性との付き合い方。中でも使用しているコンポーネントでの脆弱性が公開された場合に着目。使っているコンポーネントの情報収集や、対応のタイミングの決め方、脆弱性の深刻度の見方を議論する。#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

OSS も含めてソフトウェアの構成と各ソフトウェアのライセンスを把握することを指示している。フォーマットは特に定めていない。
事業や製品によって温度差があるのが実情。プロジェクトごとにある程度メリハリをつけている。
フォーマットを統一し、中央に情報を集めている。#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

パネルの議論としては、外部の脆弱性評価には使うが、Reputation や経営層の意見も含めたリスク管理を行う必要があり、自分達の製品には適用しない or 参考値として使うという考え方が多い。#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

CVE 採番されない基準：
CNA が個別に脆弱性のものさしを持っているのが実情。全ての脆弱性に対して採番することは義務ではない。CVE Board としては、CNA を増やす活動に注力したいと思っている。

CNA の解説はこちら：CNA (CVE Numbering Authority)https://t.co/8pjmRS4y94#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

脆弱性の認定基準：
外部から報告を受けた場合よりも、内部で見つけた場合に開発者・事業部と調整することは難しい。
届出者フレンドリーに受け付けることが重要だと考えている。
--
届出者フレンドリーについては共感度高いなぁ。事前に認定基準を文書化しておくことが大事だと思う。#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

脆弱性情報の入口・出口を管理する中で苦労した事例や、成熟していくうえでの転換点に関する共有ってなかなかできないので、パネルの中で聞けたことは嬉しいです。ありがとうございます！#codeblue_jp

— 伊藤 彰嗣 (@springmoon6) October 29, 2019

#DevelopersIO [CODE BLUE 2019]VBScriptからChakraCoreへ：Windowsシステムのスクリプトエンジンを使ったアドベンチャー[レポート] #codeblue_jp https://t.co/rQ6fjrxcRj

— クラスメソッド＆Developers.IO (@classmethod) October 29, 2019

#DevelopersIO [CODE BLUE 2019]APIに起因するSSRF：Apple PayがWeb全体にいかに脆弱性をばらまいたか[レポート] #codeblue_jp https://t.co/ikvcqZcrBo

— クラスメソッド＆Developers.IO (@classmethod) October 29, 2019

本日もCODEBLUE会場ネットワークをご利用いただきましてありがとうございました。本日のトラフィック量です。
明日も会場でお待ちしております。#codeblue_jp #cbnoc pic.twitter.com/5a0ZAd1whQ

— cbnoc (@codeblue_noc) October 29, 2019