2020/1/1 セキュリティ関連Twitterメモ
大事なのはちゃんと消去することと、それを確認して証拠を残すこと。物理破壊はお手軽だけどコストに跳ね返るから暗号化消去がお勧め。調達時に決めれば楽。課題は国に基準がないことだから、何とかしないとね。 / “「性善説」だった自治体のHDD廃棄 対策強化も現場困…” https://t.co/IzJG8xCqIj
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) December 17, 2019
SQLのチートシートもあったんだ。
— Nick (@STUSecInfo) December 17, 2019
ありがたい!
SQL injection cheat sheet https://t.co/VAHKNSb13Y
雑ですが、先週の日本語Emotetの変化をまとめました。
— bom (@bomccss) December 18, 2019
2019/12/9(月) 添付ファイル付不審メール(Emotet -> Trickbot)の調査https://t.co/cViLhboFfJ
AWSセキュリティ学習サイトhttps://t.co/MDArPVCmu1 ってのがあるのですね。知らなかった。
— Noriaki Hayashi (@v_avenger) December 18, 2019
やっぱゼロトラストの本質って、認証と認可ではなくて、ユーザーやらエンティティの信頼性を、リソースへのアクセスを通して推定して、透明性を高めることにあると思うんだよね?。認証と認可はあくまでも、その一部
— ken\d (@ken5scal) December 18, 2019
Apple、セキュリティ機能についての説明をまとめた資料を公開 https://t.co/xka0l7B5FP
— 一般社団法人セキュリティ対策推進協議会 (@spread_jp) December 19, 2019
『生徒が解析プログラムを使ってパスワードを盗み出すまで、わずか2?3分だった。』 pic.twitter.com/gMsekY9CPp
— monasec? (@monacasec) December 19, 2019
神奈川の「消したつもりが消えてない」問題とJIP-Baseの「バックアップあるつもりが消えてる」問題の狭間で、クラウドにおけるデータどうするのってのは悩ましい問題だけど、やっぱり暗号化消去がカギだよ。 / “クラウドにおける安全なデータの廃棄 | Amazon Web Services …” https://t.co/dpfhBv6JVt
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) December 20, 2019
さよならFTP ~「Google Chrome 80」でFTP接続は非推奨に - 窓の杜 https://t.co/sKvoLxpdoV via @madonomori
— piyokango (@piyokango) December 22, 2019
[SECCON CTF 2019 Finals] Results of Day 1
— Daisuke INOUE (@d_a_i_i_n_o) December 21, 2019
Fig1: International (Ranking Mode)
Fig2: International (Graph Mode)
Fig3: Domestic (Ranking Mode)
Fig4: Domestic (Graph Mode)#SECCON pic.twitter.com/KZYN4OftBh
東工大が優勝、韓国2位 国内最大のハッカー大会 https://t.co/JxZLsF2uSH @Sankei_news #SECCON#SECCON2019
— ねこさん????ow or ?ever??(ΦωΦ) (@catnap707) December 22, 2019
"東京工業大の学生サークルチーム「NaruseJun」が優勝した。2位は韓国、3位に中国のチームが入った"
#SECCON
— kazkitictf (@kazkiti_ctf) December 23, 2019
国内決勝。結果は13位でした。
チームとしてはアタックポイントは10flagで1000pts取れてまぁまぁ。
個人としては3flag入れました(勝手にふってきた感があり解いた実感はない…)
デフェンスポイントは0ptsで意図せずノーガード戦法になりました。 pic.twitter.com/V1MyLd85a1
来年の 3/7 に OWASP Kansai で、今年のセキュリティ・キャンプ全国大会でやった講義「体系的に学ぶモダン Web セキュリティ」のアップデート版をやります!奮ってご応募ください。#owaspkansai #websecjphttps://t.co/MaodFv5Dz5
— つばめ (@lmt_swallow) December 24, 2019
ファイルレスマルウェア入門:非マルウェア攻撃を理解する https://t.co/8uLZFEKtV1
— ほよたか (@takahoyo) December 25, 2019
ファイルレスマルウェアの代表的な手法が、なぜそれを使うか、どんな事例があるかまとまってる
標的型攻撃手法解説:Waterbearキャンペーンでの「APIフック」による活動隠蔽 | トレンドマイクロ セキュリティブログhttps://t.co/dP5hcUOlXX 日本語版の記事
— ハマショー (@hamasho_sec) December 25, 2019
「中国のハッカー集団、2要素認証をかいくぐり政府機関などを攻撃」https://t.co/fwRu1epOSu #2FAバイパス
— 白船(田中ザック) (@yamatosecurity) December 26, 2019
2019年1月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・メール件名が顔文字のランサムウェアキャンペーン
・宅ふぁいる便情報流出(約480万件)
・7億超のメールアドレスと2000万超のパスワードのデータ(Collection #1)が流出
・元ZOZO社長の前澤氏を騙るTwitterアカウントが出回る
2019年2月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・政府のIoT機器調査「NOTICE」がスタート
2019年3月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・Coinhiveサービス終了
・Coinhive事件無罪判決
・無限アラートを掲示板に書き込んだとして兵庫県警が男性2名を書類送検及び女子中学生を補導
・破産者マップが炎上、閉鎖される
・ASUSの「Live Update」がバックドアとして攻撃者に悪用される
2019年4月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・ラブライブ!公式サイトが改ざんされる(ドメイン名移管の弱点を突かれる)
・新元号に便乗する詐欺メール出回る
・Coinhive事件で横浜地検が控訴
・ウィキリークスのジュリアン・アサンジ氏が英国で逮捕
2019年5月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・ユニクロ・GU公式サイトの約46万件のアカウントに不正アクセス
・ハッキング集団により、ウイルス対策ベンダ3社が不正アクセスを受ける
・政府が反撃用ウイルスを保有することを決める
・複数のWindows製品にRDPの脆弱性(CVE-2019-0708)が存在
2019年6月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・総務省とNICTらがIoT機器ユーザーに対して注意喚起を実施
・サークルKサンクスが放棄したドメインが6000万円で落札
・東京2020大会オリンピックの偽チケット当落メールが出回る
・東京ディズニーリゾートで撮影された写真が第三者から閲覧可能
2019年7月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・Zoomに脆弱性
・7pay、サービス開始するも9月末に終了すると発表
・「漫画村」元運営者の男が逮捕
・仮想通貨交換所のビットポイント、約35億円分の仮想通貨が流出
・Slack、一部ユーザーにパスワードを強制リセットすると発表
2019年8月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・三井住友アプリ約1万6千件のアカウントに不正ログイン
・Twitter社のCEOのTwitterアカウントが乗っ取られる
・宇宙飛行士が宇宙空間から不正アクセスを行った疑い
・AWS東京リージョンで大規模障害が発生
・「Incapsula」の顧客情報が外部に流出
2019年9月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・複数のSSL VPN製品に脆弱性
・みずほ銀行の『J-Coin Pay』で不正アクセス
・トヨタ紡織の子会社が、資金(40億円)を流出
・エクアドルの約2000万人の個人情報が流出
・初代JPCERT/CCの初代代表理事を務めた山口 英氏がインターネットの殿堂入り
2019年10月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・sudoコマンドに脆弱性(CVE-2019-14287)
・「変なホテル舞浜」の客室に設置されているロボット「タピア」に脆弱性
・DDoS攻撃を示唆して仮想通貨を要求する脅迫メールが出回る
・「ラグビーワールドカップ」の偽動画サイトに注意
2019年11月に起きたセキュリティネタを振り返ってみた
— にゃん☆たく (@taku888infinity) December 26, 2019
・Emotet(エモテット)感染が国内で急増
・トレンドマイクロの元従業員が在職時に不正アクセスを行い顧客情報12万人分を故意的に流出
・「信頼できるサイト」の見分け方を専門家が解説した内容(httpsは安全)についてTwitter等で問題視される
『国内でもメディア等で報道され被害が確認されているマルウェア「Emotet」への、弊社セキュリティ取り扱い製品での対応状況についてご案内致します。』
— Autumn Good (@autumn_good_35) December 26, 2019
2019年12月24日
「Emotet」マルウェアへの対応について(マクニカネットワークス株式会社)https://t.co/OtHDfmdoCk pic.twitter.com/bF0aPE4KqR
ロシアが「インターネット遮断実験」に成功、情報統制を強化
— セキュリティ・トレンド bot (@sec_trend) December 26, 2019
https://t.co/Lfa7ougoQs - https://t.co/t5fBHTIJqB
JSOC INSIGHT vol.25 | セキュリティ対策のラック https://t.co/uhSY5WcxY5
— にゃん☆たく (@taku888infinity) December 26, 2019
Mobile Application Pentesting :
— Emad Shanab (@Alra3ees) December 27, 2019
Part 1:-https://t.co/2JNzRqGiC9
Part 2:-https://t.co/CjwHrnbLzX
Part 3:-https://t.co/95qTKLXB2u
Part 4:-https://t.co/DYon15FDwr
Part 5:-https://t.co/ED3ZHZm9w0
Part 6:-https://t.co/fsgF4ZcReE
RE For Beginners.
— みむら (@mimura1133) December 27, 2019
リバーシングの入門者向けの学習コンテンツらしいです。https://t.co/S6gtWZyiZs
ベトナム拠点ハッカー進化 トヨタも標的か、知財権窃盗関与も
— セキュリティ・トレンド bot (@sec_trend) December 27, 2019
https://t.co/qzVEFd05aw - https://t.co/xMAO1B3o4c
2019年セキュリティ十大ニュース、1位は「7Pay」(JNSA)
— セキュリティ・トレンド bot (@sec_trend) December 27, 2019
https://t.co/kBdq086w2X - https://t.co/6gXAFXwifT
CSFとmitre attk&ckまたはCISの中間あたり?後で読む。#情報収集 #security #cis https://t.co/3GBIYEwvNe
— ken\d (@ken5scal) December 28, 2019
金融機関を装ったフィッシングについて - tike blog https://t.co/AXG01HEeJC
— piyokango (@piyokango) December 29, 2019
これが欲しかった / “アップル、157ページに及ぶ詳細なセキュリティガイドを公開 - ZDNet Japan” https://t.co/zFM4jfEkse
— 徳丸 浩 (@ockeghem) December 30, 2019
フォレンジックのツールや資料のまとめhttps://t.co/SOBfCTgjrh
— gr4vit0n (@gr4vit0n) December 30, 2019
RDPハニーポットの分析結果まとめ。侵入されてからDomain Admins権限が取られてしまうまでの過程が記述されています。https://t.co/VXzkwhjiJA
— gr4vit0n (@gr4vit0n) December 31, 2019
┏━━┓┏━━┓┏━━┓┏━━┓
— Jake Williams (@MalwareJake) December 30, 2019
┗━┓┃┃┏┓┃┗━┓┃┃┏┓┃
┏━┛┃┃┃┃┃┏━┛┃┃┃┃┃
We'll keep using Windows 7
┃┏━┛┃┃┃┃┃┏━┛┃┃┃┃
┃┗━┓┃┗┛┃┃┗━┓┃┗┛┃
┗━━┛┗━━┛┗━━┛┗━━
(you know it's true)
様々なSaaS(VPNサービス、音楽配信、Google Docsなど)と同等のサービスを自前ホスティングするためのソフトウェアリンク集。いいね。知らないのも結構あった。 / “GitHub - Atarity/deploy-your-own-saas: List of "only yours" cloud services for everyday needs” https://t.co/xIeCg7LOjl
— matsuu 2.02e+3 (@matsuu) December 31, 2019
はてなブログに投稿しました #はてなブログ
— キタきつね (@foxbook) January 1, 2020
私のセキュリティ情報収集法を整理してみた(2020年版) - Fox on Securityhttps://t.co/RAtFia3CdM