放浪玉葱

旅行やIT系(主にセキュリティ)の記事を中心としたブログです

9/13 セキュリティトピック

電子書籍作成サービスに不正アクセス、作品が改ざん - ロールバックで一部データが消失 http://www.security-next.com/097902

▼ IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック)
https://scan.netsecurity.ne.jp/article/2018/09/13/41380.html

▼ p-gen/smenu
https://github.com/p-gen/smenu

ターミナルのユーティリティ。リンク先の動画を見たほうがわかる。

9/11 セキュリティトピック

Yahoo!募金のフィッシングサイトをまとめてみた
http://d.hatena.ne.jp/Kango/20180909/1536527829

募金や緊急速報を騙るフィッシングが出回ってましたが、本当に悪質ですよね・・・。

日経ビジネスが報じたパスワード16億件流出についてまとめてみた
http://d.hatena.ne.jp/Kango/20180910/1536610792

9/7 セキュリティトピック

数日空けたつもりが、もう4日分も空いてしまった。 習慣化するのは難しいですね。

▼ 攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開
http://www.security-next.com/097666

PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。

動きが早いですね・・・。

▼ Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)
http://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html

いいですね。

▼ Webアプリケーションのおすすめセキュリティ設定
https://qiita.com/fukushi_yoshikazu/items/1a746fc8c8663be18bf9

Ruby + Nginxのプラクティス。apacheでの設定方法もあるのでいいですね。

地震影響で全域停電の道内DC、自家発電でサービス継続 - 追加燃料の調達急ぐ
http://www.security-next.com/097699

台風、大雨、地震など、このところ天災による被害が多いですね・・・。 契約するDCもマルチリージョンで物理的に離すことも考慮したほうがいいかもですね。

▼ 「Firefox 62」がリリース - 深刻な脆弱性含む9件を修正
http://www.security-next.com/097716

9/3 セキュリティトピック

▼ 945名分のアカウントがリスト型攻撃による不正ログイン被害に(アプラスフィナンシャル)
https://scan.netsecurity.ne.jp/article/2018/09/03/41351.html

同サービスにリスト型攻撃と推測されるアクセス

このうち939名のアカウントのメールアドレス、最大298名の口座情報(口座番号は一部非表示)、12名の自宅住所・自宅電話番号・携帯電話番号・会員番号、7名の家族会員氏名が閲覧された可能性があるとのこと。

ここでもリスト型攻撃

▼ 「Monappy」、ホットウォレット内の仮想通貨が盗難 - 高負荷時の不具合突かれる
http://www.security-next.com/097523

ホットウォレット内の仮想通貨「Monacoin」が奪われたもの。「Monappy」に残高を持つ全ユーザーに影響があるという。ただし、全残高の54.2%を保存していたコールドウォレット内の「Monacoin」に関しては影響ないとしている。

同サービスでは、「Monacoin」を送金できる「ギフトコード」のトランザクション管理をデータベースで行っていたが、高負荷時に生じるトランザクション処理の不具合を突かれ、本来1度しか受け取ることのできない「ギフトコード」を複数回利用され、「Monacoin」を窃取されたという。

▼ Burp Suite Enterprise Edition beta now available
https://portswigger.net/blog/burp-suite-enterprise-edition-beta-now-available

Burp のEnterpriseのベータ版がでてますよ。

8/31 セキュリティトピック

▼ Webサーバをセキュアに保つ設定のまとめ
https://qiita.com/ariaki/items/78ed2d3810ad17f72398
簡潔にまとめられています。

▼ カード会員向けサイトにPWリスト攻撃、アカウント945件がログイン許す - アプラス
http://www.security-next.com/097418

アカウント945件がログインを許し、氏名を閲覧された可能性があるという。
くわえてこのうち939件ではメールアドレス、最大298件では口座情報、12件では自宅の住所、電話番号、携帯電話番号、会員番号、7件では家族会員の氏名が閲覧された可能性がある。

使いまわしダメ絶対。

▼ 対応コストともなう「サイバー攻撃」「内部犯行」、43.9%が経験
http://www.security-next.com/097342

内部犯行を抑止するために、「監視」するという手もありますが、それだと息苦しい仕事環境になりかねないですし、難しいですね・・・。

Movable Type におけるクロスサイトスクリプティング脆弱性
https://jvn.jp/jp/JVN89550319/

▼ Physiix/topsi-project-manager
https://github.com/Physiix/topsi-project-manager
デスクトップアプリ。TODO管理表みたいなものかな。

8/30 セキュリティトピック

ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性
https://jvn.jp/jp/JVN69967692/
CVSSのランクは低いですけど、持っている方は要確認ですね。

▼ trimstray/test-your-sysadmin-skills
https://github.com/trimstray/test-your-sysadmin-skills
*nix(Unix系、Linux系など)のシステム管理者向けスキルテスト

Windowsタスクスケジューラの脆弱性、PoCは一部環境のみ動作 - コード修正で広く影響
http://www.security-next.com/097441
先日の脆弱性

8/29 セキュリティトピック

GMOペパボ、情報セキュリティ事業を行う新会社を福岡に設立
http://www.security-next.com/097317
福岡にセキュリティ会社が集まりますね!

Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明
http://www.security-next.com/097343
PoCも公開されているようです。

▼ 「Ghostscript」脆弱性、悪用コード公開済み - 修正版は9月後半
http://www.security-next.com/097360
結構修正箇所の根が深いのでしょうか・・・。

▼ Dopamine
https://github.com/google/dopamine
強化学習アルゴリズム用のプロトタイプ作成フレームワーク