2019/10/29 セキュリティ関連Twitterメモ
「日立評論のサイバー攻撃事案の教訓と社内堅牢化の取り組みを読め!」https://t.co/j2NEvOM3P0 #kagosec
— 白船(田中ザック) (@yamatosecurity) October 25, 2019
偽の三井住友銀行。httpsを使っている pic.twitter.com/SQvbtUzto7
— Haruhiko Okumura (@h_okumura) October 25, 2019
初期のWebUSB、実装が雑すぎるChromeと一般ユーザのプロセスに対して寛大すぎるWindowsの合わせ技によってWebページを提供する攻撃者はいつでもユーザのUSB HIDを毟り取れる状態になってた話面白すぎる(現在のChromeでは既に対策済み) https://t.co/DwiKCrW62b
— Fadis (@fadis_) October 26, 2019
DoS要素無くない?と思ったけど、大量のデータを送りつけなくてもサービスが拒否されたらDoSだった。
— kusanoさん@がんばらない (@kusano_k) October 26, 2019
正しいウェブページの代わりにエラーページを強制表示させる新型サイバー攻撃「CPDoS」が発見される - GIGAZINEhttps://t.co/Lr5XjqZkl8
増加するIoT機器への攻撃 - パナソニックが進めるセキュリティの見える化
— セキュリティ・トレンド bot (@sec_trend) October 27, 2019
https://t.co/bzdeVYtNwA - https://t.co/0rCPgbzCby
x
ロシアが「インターネットを停止する」試験を行うと発表。
— tetsu (@metatetsu) October 28, 2019
サイバー戦争の際、全世界的なインターネット網から締め出されても国内の経済,通信の停止を防ぐ独自バックアップ網(RuNet)の初稼働となる。
またこれは中国の「金盾」のような検閲システムに発展すると考えられているhttps://t.co/zLNjlwKoXC
なりすましメールにご注意ください
— piyokango (@piyokango) October 28, 2019
全日本空輸株式会社
2019年10月25日https://t.co/l83DF2hl1e
Webの維持更新は日常業務に深く組み込まれるので、どうあるべきかは職員が示すべき。携わる職員自身がWebへの理解を深めないと、業者と対話もできない。一時的に専門家の力を借りても抜本的な解決は難しいだろう。 / “滋賀県HPの不具合多発 知事、抜本的見直しは当面せず …” https://t.co/ISyAhJXEoD
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) October 28, 2019
ジョージアに大規模サイバー攻撃 https://t.co/wjruf9haFs
— Mr.Rabbit@Perdanto (@01ra66it) October 28, 2019
PHP7 UnderFlow #RCE Vulnerabliity(CVE-2019-11043) ?? ?? https://t.co/nL13zuTjc4 [posted by #hahwul] #exploit
— HAHWUL (@hahwul) October 28, 2019
ISC2 CPEs :: Hack The Box :: Penetration Testing Labs https://t.co/oh16485CvR
— Mr.Rabbit@Perdanto (@01ra66it) October 29, 2019
KOSENセキュリティコンテスト
Writeup書きました!
— こんにゃく (@konnyaku256) October 26, 2019
参加チーム「バイナリ何キロバイト読める?」#sckosen
KOSENセキュリティコンテスト2019 Writeup https://t.co/K4F4M7hIbj
はてなブログに投稿しました
— Kazuaki Hyoda (@HyodaKazuaki) October 27, 2019
KOSENセキュリティコンテスト2019 Write up - チラシの裏からうっすら見える外枠の外のメモ書き https://t.co/63GngWpwl5 #sckosen
はてなブログに投稿しました #はてなブログ
— キタきつね (@foxbook) October 28, 2019
変なホテルのLance R. Vick氏とコンタクトしてみた - Fox on Securityhttps://t.co/qmOtcQkHyu
KOSENセキュリティコンテスト2019Writeup https://t.co/AVMNZXn15s
— Mr.Rabbit@Perdanto (@01ra66it) October 28, 2019
実機PCを回収したのでスクショとかコードをちょっと貼った
— 精進します (@NaoppyJ) October 28, 2019
KOSEN セキュリティコンテスト2019 write-up - Java初心者の勉強日記https://t.co/lgpjMwb74e
はてなブログに投稿しました #はてなブログ #sckosen
— datt (@osa_osa_datt) October 28, 2019
初めてのブログ投稿なので拙い文章だと思いますが、読んでいただけると幸いです
KOSENセキュリティコンテスト2019 writeup - datt's memohttps://t.co/m3TXcz3JHB
Writeupです
— うしけん (@o__g_) October 28, 2019
はてなブログに投稿しました
KOSENセキュリティコンテスト2019( #sckosen )に参加したおはなし - なんか書くとこ https://t.co/cPyYRBFJHN #はてなブログ
KOSENセキュリティコンテスト2019( #sckosen )に参加したおはなし - なんか書くとこ https://t.co/8BsOWl6Sts
— 精進します (@NaoppyJ) October 28, 2019
SSTI解けるのしゅごい
#codeblue_jp
明日からCODEBLUE国際カンファレンスが開催となります。2日間一緒に盛り上がりましょう!
— cbnoc (@codeblue_noc) October 28, 2019
CBNOCスタッフも会場でお待ちしております! #codeblue_jp #cbnoc pic.twitter.com/rdXrTfqXG7
会場めっちゃ広ーい!!#codeblue_jp pic.twitter.com/8oihFjiMSI
— ピン村@ユウキ (@yukiafronia) October 28, 2019
明日からCODEBLUE国際カンファレンスが開催となります。2日間一緒に盛り上がりましょう!
— cbnoc (@codeblue_noc) October 28, 2019
CBNOCスタッフも会場でお待ちしております! #codeblue_jp #cbnoc pic.twitter.com/rdXrTfqXG7
日本語も上手ですごく面白いセッションだった![CODE BLUE 2019][U25]わたしはあなたが昨夜に何をしたかを知っている:最新のIoT Hubへの侵入手法[レポート] #codeblue_jp|クラスメソッドブログ https://t.co/4LO3ccdwep
— けーにー (@ke_ni_) October 29, 2019
#DevelopersIO [CODE BLUE 2019] アジア地域における最新のサプライチェーン攻撃概要 [レポート] #codeblue_jp https://t.co/2NCiSAEeH1
— クラスメソッド&Developers.IO (@classmethod) October 29, 2019
#DevelopersIO [CODE BLUE 2019] CYDERとCURE、NICTのサイバーセキュリティ最前線[レポート] #codeblue_jp https://t.co/d2sMYKUAMu
— クラスメソッド&Developers.IO (@classmethod) October 29, 2019
[CODE BLUE 2019] Shattering the dark:ダークウェブの脆弱性を暴く [レポート] #codeblue_jp | DevelopersIO https://t.co/VpNUr1FKdO
— Yosuke Katsuki (@yokatsuki) October 29, 2019
[CODE BLUE 2019] SYN/ACKパケットを用いたDDoS攻撃の脅威 [レポート] #codeblue_jp | DevelopersIO https://t.co/WsjfWZxuKC
— Yosuke Katsuki (@yokatsuki) October 29, 2019
めっちゃトラフィック流れてる??#codeblue_jp pic.twitter.com/53UD1Gahum
— Takashi Kaga (@TAKA_0411) October 29, 2019
#DevelopersIO [CODE BLUE 2019] ローカルハッキングの探求 [レポート] #codeblue_jp https://t.co/DMfKKJUVY7
— クラスメソッド&Developers.IO (@classmethod) October 29, 2019
#DevelopersIO [CODE BLUE 2019][フューチャー株式会社] 情報漏えい事件の謝罪対応の裏側[レポート] #codeblue_jp https://t.co/Jsc1PI2Oiz
— クラスメソッド&Developers.IO (@classmethod) October 29, 2019
パネラーの皆様のご紹介:
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
-Sony PSIRT 渋谷 様
-東芝 PSIRT 小田原 様
-三菱電機 PSIRT 桜井 様
-Panasonic PSIRT 中野様
戦略立案、マネジメント、セキュリティガバナンス、インシデント対応、トレーニングなどに責任を持たれています。#codeblue_jp
昨年からの PSIRT 目線の振り返り:
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
Software Supply Chain Security の議論が活発になってきている(Software Bill of Materials (SBoM) 問題など)。CVE の採番問題や CVSS v3.1 がリリースされたことなども話題になった。#codeblue_jp
今回のテーマ:
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
今回はPSIRT 活動における「付き合い」がテーマ。1つ目は脆弱性との付き合い方。中でも使用しているコンポーネントでの脆弱性が公開された場合に着目。使っているコンポーネントの情報収集や、対応のタイミングの決め方、脆弱性の深刻度の見方を議論する。#codeblue_jp
OSS も含めてソフトウェアの構成と各ソフトウェアのライセンスを把握することを指示している。フォーマットは特に定めていない。
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
事業や製品によって温度差があるのが実情。プロジェクトごとにある程度メリハリをつけている。
フォーマットを統一し、中央に情報を集めている。#codeblue_jp
パネルの議論としては、外部の脆弱性評価には使うが、Reputation や経営層の意見も含めたリスク管理を行う必要があり、自分達の製品には適用しない or 参考値として使うという考え方が多い。#codeblue_jp
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
CVE 採番されない基準:
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
CNA が個別に脆弱性のものさしを持っているのが実情。全ての脆弱性に対して採番することは義務ではない。CVE Board としては、CNA を増やす活動に注力したいと思っている。
CNA の解説はこちら:CNA (CVE Numbering Authority)https://t.co/8pjmRS4y94#codeblue_jp
脆弱性の認定基準:
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
外部から報告を受けた場合よりも、内部で見つけた場合に開発者・事業部と調整することは難しい。
届出者フレンドリーに受け付けることが重要だと考えている。
--
届出者フレンドリーについては共感度高いなぁ。事前に認定基準を文書化しておくことが大事だと思う。#codeblue_jp
脆弱性情報の入口・出口を管理する中で苦労した事例や、成熟していくうえでの転換点に関する共有ってなかなかできないので、パネルの中で聞けたことは嬉しいです。ありがとうございます!#codeblue_jp
— 伊藤 彰嗣 (@springmoon6) October 29, 2019
#DevelopersIO [CODE BLUE 2019]VBScriptからChakraCoreへ:Windowsシステムのスクリプトエンジンを使ったアドベンチャー[レポート] #codeblue_jp https://t.co/rQ6fjrxcRj
— クラスメソッド&Developers.IO (@classmethod) October 29, 2019
#DevelopersIO [CODE BLUE 2019]APIに起因するSSRF:Apple PayがWeb全体にいかに脆弱性をばらまいたか[レポート] #codeblue_jp https://t.co/ikvcqZcrBo
— クラスメソッド&Developers.IO (@classmethod) October 29, 2019
本日もCODEBLUE会場ネットワークをご利用いただきましてありがとうございました。本日のトラフィック量です。
— cbnoc (@codeblue_noc) October 29, 2019
明日も会場でお待ちしております。#codeblue_jp #cbnoc pic.twitter.com/5a0ZAd1whQ