情報処理 セキュリティブログ

情報処理系の話、セキュリティの話など書いていきます。

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog メルカリで個人情報流出です。 CDNですが、Content Delivery Networkの略です。 すっごくざっくり説明すると、 「あなたから一番近いところから情報と…

IoT時代の情報セキュリティ

こんばんわ。 koutaです。 IoTという言葉。 最近よく聞くと思いますが皆さん知ってますか? Internet of Thingsの略です。 oが小文字の理由は知りません。 物のインターネットです。 ちなみにですが、 IoH(Internet of Human) IoX(NOSOLの登録商標) という言…

ボトムアップとトップダウン

こんばんわ。 koutaです。 今日はIT投資について考えてました。 (仕事はしてましたよ) IT投資はボトムアップであるべきかトップダウンであるべきか。 という、自身の業務には到底関係ないことを考えていました。 (将来的には業務範囲にしたいです) 結論は出…

インシデント発生の対応。

こんばんわ。 koutaです。 何も決めてくれないPLのせいで私の業務時間がただただ増えてます。 何回も 自分で考えろや!! と言いそうになりました(笑) 情報セキュリティインシデントついてです。 見つけ方とかそういう話ではないです。 ランサムウェアとか…

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構 すでに遅いかもしれませんが。 世界的な被害です。 かっこいい名前をつける必要性を感じませんが。。。 感染した場合、 基本的…

struts2の脆弱性どうしておけばよかったか。。。

こんばんわ。 koutaです。 何回かstruts2の脆弱性について書きました。 これだけ書いたら対策してくれていることを祈っています。 今日はどうしたら良かったか?です。 まず問題の原因ですが、 struts2のOGNL(Object Graph Navigation Library)の解釈の問題…

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170012.htmlUSB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起 お久しぶりです。 koutaです。 本日はこんなの出てました。 共有します。 USBよく使う人。 気を付けて下さい!!

S2-046 struts2の脆弱性情報

https://struts.apache.org/docs/s2-046.htmlS2-046 こんばんわ。 koutaです。 体調不良でやられていたので。。。 今日はこんな時間になりました。 新しい情報です。 脆弱性管理番号は CVE-2017-5638 のまま変わりません。新しい攻撃方法が発見されたとの内…

情報セキュリティ対策に足りないもの

こんばんわ!! koutaです。 先日のstruts2の脆弱性のせいで(CVE-2017-5638,S2-045)仕事中にネットサーフィンすることが増えました。 そこてとある記事を見つけました。 情報セキュリティ対策に足りないものはなんと。 予算ではなく。。。 人材だそうです。 …

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170009.htmlApache Struts 2 の脆弱性 (S2-045) に関する注意喚起 最新情報です。 struts2をアップデートできない場合の対策と言われていた。 パーサーの変更ですが、 それでも攻撃されることが確認されたそうです。 そ…

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/touch/20170311/14892538802017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog 展開しておきます。 被害をまとめているサイトです。 どこの会社も同じだと思…

Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について | LAC WATCH | 株式会社ラック

Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について | LAC WATCH | 株式会社ラック ラック社の記事ですが、リンクを貼ります。 先日紹介したstruts2の脆弱性問題ですが、 かなりの広がりを見せています。 実際に情報流出の被害も出て…

Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構

Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構 出ていたので共有します。 お陰様で大変。。。(´Д⊂ヽ じゃなくて。 注意してください。 今回はstruts2というwebアプリのデファクトスタンダードともいうフ…

正しいハッシュ化

こんばんわ!! koutaです!! 本日は正しいハッシュ化についてです。 その前に。。。 SHA1のアルゴリズムについてですが、 衝突が見つかったようです。 論理的には昔からあると言われていましたが。。。 https://security.googleblog.com/2017/02/announcin…

パスワードの保管方法

こんばんわ!! koutaです。 日が開いてしまいました。 本来であれば、情報の棚卸のフォーマットを作って説明の予定でしたが、 作るってる時間がとれなくて。 別テーマにしてしまいました!! ごめんなさい(´Д⊂ヽ 本日はパスワードの保管方法についてです。 …

WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

おはようございます。 koutaです。 こんなん出てました。 大至急だそうです。 WordPress使ってる方は至急アップデートしてください。 投稿内容の改ざんが可能だそうです。 WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構 少し内容の説…

情報セキュリティの制度

こんばんわ!! koutaです。 前回は教育について少し書きました。 まとめるとちゃんと意識出来るように教育しなさいって話でした。 今回は制度についてですが。 まともに書いたらどうなってしまうのか…という感じなので。 詳しくは個別に書いていくとして概…

セキュリティ意識2

こんばんわ!! koutaです。 装飾が微妙ですが、スマホだと書くのはそれほど大変じゃないですね。 パソコンは起動するという障壁がありますから(笑) さて。 昨日の質問の答えはわかりましたか? 問:公共交通機関などで、社内情報を話してしまうような人達…

セキュリティ意識

こんばんわ。koutaです。 昨日は前職の同僚と飲みに行ってました。 おかげ様で今日はしんどい一日でした。 今日はスマホなので難しい内容は大変なので。。。 IoTの続きではなくセキュリティのお話を。。 さて、通勤や出張で公共交通機関に乗ることがあります…

情報セキュリティブログ始めます!!!

こんにちは!!! koutaです。 情報処理やセキュリティに関するブログをはじめます。 現在、IoTが推進されています。 IoT(Internet of Things)とは、ITにObjectをくっつけたもの。 今まで単なる物だったものをインターネットとつなげ様々な便利機能を追加擦…