動画を投稿しました。前回のCTFの続きです。 ／ あかりさんCTFに挑戦する（後編） - YouTube https://t.co/qXzqRt2jRI pic.twitter.com/TA5f8K9B8a

— soji256 (@soji256) February 1, 2020

Hardware Walletの脆弱性に関する分析記事。プロトコルの解析など色々と学びが多い。https://t.co/IVHw2RAn1J

— gr4vit0n (@gr4vit0n) February 2, 2020

JenkinsのRCE
アメリカの国防省でも起きるのか。
日本でバグバウンティが進んでいったら、どんだけバグがバッコンバッコン出るのだろうか。

Public instance of Jenkins on https://??????????/ with /script enabled https://t.co/r65W9oSN6t

— Nick (@STUSecInfo) February 2, 2020

今年に入ってからばらまかれた Emotet の Maldoc について解析した記事。特に難読化手法の変化に焦点を当てた記事で、図も多く分かりやすい。 ／ New Obfuscation Techniques in Emotet Maldocs ? Security Soup https://t.co/XhlwSxTe7Q

— soji256 (@soji256) February 3, 2020

Active Directory環境でLateral Movementなどに使えそうなCOM Objectを検索するためのPowerShellスクリプト。https://t.co/MEO42I3rwj

— gr4vit0n (@gr4vit0n) February 4, 2020

Sudo Bug Lets Non-Privileged Linux and macOS Users Run Commands as Root https://t.co/OA9gGEF8kf

— piyokango (@piyokango) February 3, 2020

Japan Security Analyst Conference 2020開催レポート～前編～ https://t.co/68QbDOhBPs

— ほよたか (@takahoyo) February 3, 2020

ビジネスロジックエラーっぽい

スマホ99個を１カ所に集めてGoogle Mapsに偽の渋滞を起こし，現実世界の人間の動きを誘導する実験が面白い - Togetter https://t.co/xs6N0Wacbp @togetter_jpより

— Nick (@STUSecInfo) February 3, 2020

マイクロソフトは「サイバーセキュリティ月間」に賛同し、期間中、セキュリティレスポンスチームのブログにて IT 管理者向けのセキュリティ管理に役立つ情報を公開していきます。https://t.co/D3rnCTAfQt

— マイクロソフト セキュリティチーム (@JSECTEAM) February 3, 2020

スマホからモバイルネットワークへの侵入に関する解説https://t.co/12zwyvhgfm

— gr4vit0n (@gr4vit0n) February 4, 2020

「医療機器サイバーセキュリティにおけるOWASPとCSAの連携」
笹原英司(OWASP Los Angels Chapter/CSA Japan)https://t.co/hRgxgB3fGy#owaspjapan #owaspnight

— OWASP Japan Chapter (@OwaspJapan) February 5, 2020

今日の #owaspnight (#owaspjapan) で使ったスライドを公開しました。最近思いついた regexp injection を利用して search 対象の文字列を leak するテクニック (blind regexp injection attack と勝手に呼んでいる) について話しました。https://t.co/RaR4oZhtcY

— つばめ (@lmt_swallow) February 5, 2020

#Emotet が実行ファイル名を生成するロジックを変えたようです。 pic.twitter.com/fOtVqaZncy

— tike (@tiketiketikeke) February 6, 2020

防衛関連企業に対する不正アクセス事案について（防衛省）（PDF）https://t.co/eUzXYno5Pr
『２０１６年度に（株）神戸製鋼所が、２０１８年度に（株）パスコが、それぞれ社内ネットワーク端末に対する不正アクセスを受けたとして、防衛省に対し報告が
あり』

— にゃん☆たく (@taku888infinity) February 6, 2020

「ネットバンキング被害4倍に　「ワンタイムパス」破る」https://t.co/g1ShLIdyk3

— 白船（田中ザック） (@yamatosecurity) February 6, 2020

コインハイブの東京高裁裁判長をググったら、一審の判決棄却 && 重罪化マンだった

— ken\d (@ken5scal) February 7, 2020

無断で暗号資産獲得 ２審は有罪｜NHK 首都圏のニュース https://t.co/m6Xb7KP1UB

— piyokango (@piyokango) February 7, 2020

『裁判長は「プログラムはサイトを見た人に無断でパソコンの機能を提供させて利益を得ようとするもので、社会的に許される点は見当たらない。プログラムによってサイトを見た人のパソコンで電力が消費されるといった不利益が認められる」と指摘』https://t.co/FCad9UBco5

— piyokango (@piyokango) February 7, 2020

「机や床を伝わる超音波」でスマホを勝手に操作可能な攻撃「SurfingAttack」が報告される - GIGAZINE https://t.co/HRMHIjHR6v

— Mr.Rabbit@Insomnia (@01ra66it) February 7, 2020

「サービスの向上は、使用者が気づかないような方法で、意に反するプログラムの実行を受忍させた上で実現されるべきものではない。」

おお。言ったわ。言いよったわ。そこに踏み込んだか。https://t.co/5DDuAYqONW

— 7594591200220899443 (@shyouhei) February 7, 2020

コインハイブ事件の逆転有罪について、弁護士や研究者などに話を聞きました。

今回問題となった「ウイルス罪」について、壇弁護士は「『デジタルけしからん罪』として濫用されつつある」と懸念を示しています。https://t.co/VsSKwa7jB1

— 弁護士ドットコムニュース (@bengo4topics) February 7, 2020

Allsafeついに禁断のステージへ...登場以来、様々なAPTグループの権限昇格に利用されているmimikatzの使用方法、動作原理、カスタマイズを徹底解説！Know your enemy!
※本書はC言語の学習とWindowsのセキュリティを実験するために作成した本です。#技術書典https://t.co/LYK0w1kCz6

— ぴんく (@PINKSAWTOOTH) February 8, 2020

CoinhiveがPotentially Unwantedであることには同意するけれどもMaliciousとまでは言い難い訳で、単に利用者の電気の無駄遣いがけしからん、小遣い稼ぎがけしからんという話なら、アドテクも富豪的プログラマーもみんな塀の内側に落ちる。それはそれで見てみたいディストピアだが

— 楠 正憲 (@masanork) February 7, 2020

オランダの Maastricht University で昨年末に発生したランサムウェア感染事案。その後の情報公開の姿勢がなかなか素晴らしい。対応を支援した Fox-IT のフォレンジックレポートも公開されている。身代金支払いの経緯や、攻撃者によるラテラルムーブメントの様子も説明あり。https://t.co/JmtLL3F3jq

— Masafumi Negishi (@MasafumiNegishi) February 7, 2020

PowerShellのセキュリティ対策の指南書的投稿https://t.co/mvnuktsT1s

— gr4vit0n (@gr4vit0n) February 7, 2020

NICTER観測レポート読みました。今年も非常に読み応えのある内容でした。大変参考になります。

IIJ でもハニーポットによる観測を行っているので、レポートの内容について 2つほどコメントします。(続く)

NICTER観測レポート2019の公開 | NICT-情報通信研究機構 https://t.co/Avvk1DyIVH

— Masafumi Negishi (@MasafumiNegishi) February 10, 2020

内部侵入後ではなく管理サーバが外部から直接？？

『当社の中国拠点内ネットワークにあるウイルス対策管理サーバーが、外部から未公開脆弱性を突いたゼロデイ攻撃を受け、』

2020年2月12日
不正アクセスによる個人情報と企業機密の流出可能性について（第3報）
[PDF] https://t.co/YKk3RleAqA pic.twitter.com/zRYKQ7Ay6k

— Autumn Good (@autumn_good_35) February 12, 2020

【ABCニュース】
「ＰａｙＰａｙ」決済金額を書き換え本を不正購入　専門学校生の女逮捕 https://t.co/duTy7BW8UO

なんとも物理的な。。。

— にゃん☆たく (@taku888infinity) February 12, 2020

三菱電機が不正アクセス詳報発表 必読??
①開示理由は社会全体への情報共有??
②Powershellを使用したファイルレスマルウェアに感染
③132台感染疑念/内9台が重要情報関連
④起点は中国のウイルス対策管理サーバー
⑤アップデート悪用し④から3か月で国内から情報流出可能性https://t.co/ge0XwEswFl

— piyokango (@piyokango) February 12, 2020

サイバー空間のガバナンスについて、去年1年色々な本と論文を読んだ結果、一番共感したのがこの論文 "Privatized Cybersecurity Law"。ハイテク企業の政府化がおきているが、ハイテク企業は透明性も公平性も保障しない。だから民主主義政府もっと頑張れという主張。無料ダウンロードできる。長いけど https://t.co/EQzCZsTvdL

— Sparky (@kchr) February 14, 2020

良記事ではありますが、トレンドマイクロの辺りも掘り下げて欲しかった…

三菱電機、不正アクセス事案の第三報を公開。サイバー攻撃者にとって有益なヒントが多数公開される。（大元隆志）- Yahoo!ニュース#Yahooニュースアプリ https://t.co/dhulAREqtu

— キタきつね (@foxbook) February 13, 2020

#secjaws #secjaws16 #jawsug #iam #iga #aws #情報収集https://t.co/lhZxpaYOAg

今日の資料「AWS IAMどうしましょ」をうｐしました。https://t.co/Ah6n8b7LzN
他の方のユースケースや考え方は上記にありますね。参考になります。ありがとうございます

— ken\d (@ken5scal) February 14, 2020

YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは https://t.co/649ZXklB2z

著者、@cheenanet じゃん！！！

— にゃん☆たく (@taku888infinity) February 14, 2020

新型コロナウィルス関連のサイバー攻撃まとめ - みっきー申す https://t.co/0lSYjocU5U

— にゃん☆たく (@taku888infinity) February 14, 2020

政府当局が配布した「子どものPCに入っていたら注意すべきソフトウェアリスト」がハイレベル過ぎると話題に - GIGAZINE https://t.co/S0uK5EPe77

— piyokango (@piyokango) February 15, 2020

shodanガイド
メンバーシップであることが確認できた矢先にこれはありがたい！https://t.co/tHb8MtrcIG

— Nick (@STUSecInfo) February 15, 2020

Hack The Boxを楽しむためのKali Linuxチューニング https://t.co/pZD2K0Nhxa

入門者向けにわかりやすく書かれてる

— ほよたか (@takahoyo) February 15, 2020

androidハッキングについての概要。
モバイルの流れが来ている気がする。#AndroidHackingMonth: Introduction to Android Hacking by @0xteknogeek https://t.co/ewXgbGZR4a

— Nick (@STUSecInfo) February 15, 2020

結論として、SECCON2020でCTFを開催する方針は決まりました。しかし、現時点ではその詳細は決まっていません。

CTF国際大会第1位の栄冠を手にしたのは日本チーム！（前）：【公式】データ・マックス　NETIB-NEWS https://t.co/66nUInVLqJ @data_max_snsさんから

— icchy (@icchyr) February 15, 2020

ファイルレスマルウエアは「ファイルは作らない」が、何も作らないわけではない - wakatonoの戯れメモ https://t.co/VmCZTSkeIG

— みむら (@mimura1133) February 15, 2020

はてなブログに投稿しました #はてなブログ #Fox on Security
本番データをテストに使ってはいけない - Fox on Securityhttps://t.co/jiBgtJHbkm

— キタきつね (@foxbook) February 16, 2020

マルウェア対策のイロハ。 ①プロキシ使え: マルウェアの通信がプロキシ想定しないことはまだ多い ②実行ファイルのダウンロード禁止: いまだダウンローダが落としてくる最後が実行ファイルってこと多い ③端末間の通信禁止: 横の感染を防ぐ。こういう基礎固めが大事という話。 https://t.co/GuKsm0buCG

— Sparky (@kchr) February 16, 2020