情報処理 セキュリティブログ

情報処理系の話、セキュリティの話など書いていきます。

Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170037.html
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起

 

少し遅くなりましたが、

Bluetooth脆弱性です。

 

下記の手順で攻撃が行われます。

  1. メモリをオーバーフローさせ、バックドアを仕込む。
  2. バックドアを利用して端末を乗っ取る

です。

 

動画も見ましたがものの10秒で乗っ取り。

バックドア仕込むまで1分はかからないでしょう。

 

特徴的なのは、インターネットに繋いでなくても攻撃が行われます。

バックドアの利用には必要ですが。

 

Bluetoothはデフォルトでオンになっていることもあるので気をつけましょう。

class1というものですと、100メートル程度の距離まで届くようです。

 

イントラやらvpnでしか繋いでいないプライベートな環境にある端末も安全ではないので今一度確認をしてください。

 

皆さんのpc スマホなどが対象になります。

パッチは既に提供されてますが特にスマホはキャリアの都合でアップデートされなかったり遅かったりするので、気をつけましょう。

 

まぁ。。。

Bluetoothをオフにするくらいしかないのですが。。。

Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構


Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構

 

前回のものと比べて全然ニュースになりませんが、

同じレベルの危険度です。

 

高信頼性が必要な業務用システムではstruts2は良くないかもですねー。

 

脆弱性発表と同時にpocが出回ってしまうので。。。

 

使いやすいフレームワークなのにな。

IE11 Window 7 IFrame print error since kb4021558 - Microsoft Edge Development

https://developer.microsoft.com/en-us/microsoft-edge/platform/issues/12349663/#comment-1
IE11 Window 7 IFrame print error since kb4021558 - Microsoft Edge Development

 

技術的なことで申し訳ありません。

 

こんばんわ。

koutaです。

IE11でiframeページの印刷ができなくなってます。

 

6月のwindowsupdateにバグがあったようです。

7月には修正予定という情報だけ入手してます。

 

対象の方、焦ってもあれなので。

頑張って調べてください。

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog


CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

 

メルカリで個人情報流出です。

CDNですが、Content Delivery Networkの略です。

 

すっごくざっくり説明すると、

「あなたから一番近いところから情報とってくるよ」

という仕組みです。

 

詳しくは知りませんが。。。

中間サーバーにキャッシュがあり、他人のキャッシュを表示してしまったとのことです。

 

個人的に釈然としないのが、中間サーバーはなぜ他人を同一人物と判断したのかです。

 

時間があれば詳しく見てみます。

IoT時代の情報セキュリティ

こんばんわ。

koutaです。

 

IoTという言葉。

最近よく聞くと思いますが皆さん知ってますか?

 

Internet of Thingsの略です。

oが小文字の理由は知りません。

 

物のインターネットです。

ちなみにですが、

IoH(Internet of Human)

IoX(NOSOLの登録商標)

という言葉もあります。

 

簡単に言えばなんでもインターネットにつなげるのです。

これがどれほど危険な事かわかりますか?

 

世の中的にはIoTばかりもてはやされセキュリティ的な話は専門の会社か一部のコンサルティング会社くらいでしか聞きませんね。

 

身近な例ですと、

玄関のドアがIoT化されて、鍵がちゃんと閉まってるかスマホから確認できるようになりました。

空いている場合は、鍵を閉めるという処理ができますが、開けるという処理はできません。

 

という商品だったとします。

心配性な人は導入したくなる製品です。

 

商品仕様としては、「開ける」はできませんが、

ハッキングしたら開けることができてしまいます。

閉めると逆回転に鍵が回る指示を出すだけですから。

 

鍵は右回りで閉めるものと左回りで閉めるものがあります。商品の提供元は当然どちらにも対応します。

 

こんな風に簡単に被害が想定できるのですが。。。

セキュリティは後回し(の事が多い)。

診断にもお金かかりますからね。

かなりね。


でも。。。怖くないですか?

 

ということで、私一人の力ではこんな社会は変えられないので皆様も自社で同様な事があれば、声高く指摘してくださいね☆

ボトムアップとトップダウン

こんばんわ。

koutaです。

 

今日はIT投資について考えてました。

(仕事はしてましたよ)

 

IT投資はボトムアップであるべきかトップダウンであるべきか。

という、自身の業務には到底関係ないことを考えていました。

(将来的には業務範囲にしたいです)

 

結論は出ませんでした。

ケースバイケースだと思います。

 

ボトムアップの場合は、現場に最適化されることになります。

経営者視点からは無駄な部分も出てくると思いますが、現場でのコストダウンには有用です。

 

トップダウンの場合は、投資効率の観点では正解だと思います。

ただし現場に最適化されていないということは、現場でのコストダウンは一定以上望めなくなる場合や、定形外業務には対応できなさそうです。

 

どちらが良いかは一長一短かなという気がします。

 

体制的に言うと、IT部門を全社部門とするか、事業部に持つかの違いなのですが。。。

 

何とも言えないですね。

個人的には現場からボトムアップで、

まとめ役が全社部門にいて、調整弁的な役割になると理想と思いますが。。。

 

現実的には業務が違いすぎて調整もくそもないと思いますので。。。

機能的には現場に最適化、データ的には全社で一括というのが良いかなと思いました。

 

インシデント発生の対応。

こんばんわ。

koutaです。

 

何も決めてくれないPLのせいで私の業務時間がただただ増えてます。

何回も

自分で考えろや!!

と言いそうになりました(笑)

 

情報セキュリティインシデントついてです。

見つけ方とかそういう話ではないです。

 

ランサムウェアとか脆弱性とか賑わってましたが、

そういう対応よりも必要なのが普段の業務につながるものです。

いわゆる体制のお話。

メール誤送信とか、無断の情報持ち出しとかね。

 

発生したあとの報告でよくあるのは

  1. 気の緩みです。
  2. ちゃんと確認してください。
  3. 気をつけて下さい

ですね。

 

もっともな内容ですが、

読者の方の所属組織にこんな連絡がきたら、

CSIRTや情報セキュリティ委員会といったものは機能してないということになります。

 

気をつけてもなくならないから対策するのです。

 

メール誤送信であれば、

送信前に確認をするソフトの導入。

アドレス帳に登録られてない送信先への禁止ソフトの導入。

適切なアドレス帳の作り方の指導。

組織外へのメールの警告。

で減ります。

 

無断の情報持ち出しであれば

適切な権限付与。

ゾーニング

規則による牽制(たまにみせしめ)。

 

双方、教育をきちんとやれば大分変わるはずです。

 

個人に起因するものは100%な対策はありません。

事前対策をしておくことで被害拡大を防ぐ事が大切ですね。

 

そんなことをやらずに「気をつけましょう」だけ言う組織は正すようにしてくださいね。