今宵のサイバーセキュリティについて気になること:pictSquare データベースに不正アクセス、LinkedInの情報漏洩について、サイバーサクラ、Hardeing夏祭り、能動的サイバー防御など

pictSquare データベースに不正アクセス 至急パスワードの変更を

pictSquareのデータベースに不正アクセスが行われ、2023/8/15 20:16 にリークサイトで公開されました。 不正アクセスとの関係は依然として不明ですが、登録ユーザーは、パスワードの使い回しが狙われております。至急パスワードの変更をして下さい。

使えるセキュリティ:人間中心のアプローチへ

お気づきだと思いますが、人は複雑で長いパスワードを沢山は覚えきれません。今やFacebook、Twitter、gmail、Amazon、楽天、沢山のアカウントが必要となり、複雑で長いパスワードを使い回します…。

またDNSSECや公開鍵システムPGP、パスワードなど人に依存している仕組みは、破綻しやすいと感じます。
私も含めて人は忘れ、ミスをする生き物。現実と向き合いヒューマンファクターを考慮するアプローチが必要だと感じます。

LinkedInのアカウントの乗っ取り被害について

先ずは、データ侵害されているか have i been pwned でメールを確認してみて下さい。

https://haveibeenpwned.com/

データ侵害したサービスとしてLinkedIn や Twitter など表示されるので、その時は Password を変更することが必要です。私はTwitterが該当していました。

https://haveibeenpwned.com/

Microsoft 2023 年 8月のセキュリティ更新プログラム (月例)リリース

既に悪用が確認されている脆弱性が以下の3点となります。

  • CVE-2023-38180 .NET and Visual Studio Denial of Service Vulnerability 
  • ADV230003 Microsoft Office の多層防御機能の更新プログラム 
  • ADV230004 Memory Integrity System Readiness Scan Tool Defense in Depth Update 

以下の脆弱性は、CVSS 基本値が 9.8 と高いスコアです。

  • CVE-2023-21709 Microsoft Exchange Server の特権の昇格の脆弱性 
  • CVE-2023-35385 Microsoft Message Queuing のリモートでコードが実行される脆弱性 
  • CVE-2023-36910 Microsoft Message Queuing のリモートでコードが実行される脆弱性 
  • CVE-2023-36911 Microsoft Message Queuing のリモートでコードが実行される脆弱性 

なるべく早く更新することをお勧め致します。

https://msrc.microsoft.com/blog/2023/08/202308-security-update/

エンカレッジ小牧でセキュリティ勉強会とCyber Sakuraの講習会を開催

8/18エンカレッジ小牧で子供達にセキュリティ勉強会とCyber Sakuraの講師として登壇致しました。

約20人の子どもたちが自ら考え、意見を交えながらアクティブに講義が進みました。思考力が柔軟で、どんな話題でも自分の頭で考え、伝える力を持っていると思いました。

子供達から「企業がセキュリティ対策をする上で可用性の考慮をすべきではないか」といった意見がありました。問題の本質を見抜いていると感じます。 子供達に教えられたのは、使えるセキュリティ:人間中心のアプローチだと思います。

エンカレッジ小牧

講義内容

  • サイバーセキュリティ基本法 第二条
  • 警察庁 令和4年のオレオレ詐欺、預貯金詐欺及びキャッシュカード詐欺盗
  • Google広告では、検索した人に、すぐに届くのはなぜでしょうか?
  • 2023年02月24日 電通が発表した日本の広告費の概況
  • IPA情報セキュリティ10大脅威2023 第1位 フィッシングによる個人情報等の詐取
  • ロシア系ハッカー集団 KILLNET 日本政府に宣戦布告
  • 小松製作所 KOMTRAX 経済指標
  • サイバーサクラ 実践トレーニング(競技体験デモソフト
    米国最⼤のサイバー防衛コンテスト「National Youth Cyber Defense Competition

子供達は初めてのCTF体験でしたが、PatriotのVM環境や問題文は全て英語です。戸惑いながらも自分の頭で考え、一部の生徒は解答率100%に到達しました。

Hardening Project 2023 Generativeに向けたもっとも気の早いイベントHardeing夏祭り

開催日時:8月11日 (山の日) 19:00 〜 21:00​

参加者たちによる自由なLT大会とパネルディスカッション​です。あいにくキャンプに出掛けているため、ビデオレターでLTさせて頂きました!

https://mokumokuhardening.connpass.com/event/292531/

「能動的サイバー防御」導入へ 背景と課題

能動的サイバー防御の導入にあたっては、攻撃者による悪用が疑われるサーバーなどを検知するため国内の通信事業者の情報を活用することや、攻撃者の情報の収集・監視、サーバーへの侵入を可能にすることが検討されるものとみられます。

https://www.nhk.or.jp/kaisetsu-blog/100/486718.html

なお、OSINTとはクローズドなCSINTに対して、オープンなソースという位置付けであり、どちらも不正アクセスの有無などの定義ではないため、法的にも倫理的にも適切な対応が必要となります。

内閣府「安全・安心に関するシンクタンク」サイバー分野

JPCERT 原因となった個別製品名等を明かさない理由とは何か – 佐々木 勇人

「みんな何が原因だったのかわかっているのに当事者はかたくなに言及しない」状況に一体どのような秘匿すべき利益があるのでしょうか。」

最近のビッグモーターのような企業がレモン市場を形成してしまう問題は、中古車市場だけでなく、あらゆる業界に偏在しています。自身の業界を発展させる為に何を成すべきか、他山の石以て玉を攻むことが必要だと考えます。

トリリオンゲーム AIオンラインショップ「ヨリヌキ」を丸パクリしたドラゴンバンク

第3話切り抜き💸「パクっと丸ごと」#目黒蓮 #佐野勇斗 #今田美桜 #福本莉子 #トリリオンゲーム

例えば、1980年IBMがベンチャー企業にOSの開発を委託して、その技術をまるパクりしていたら、今のMicrosoftは生まれていなかったと思います。

IBMのオープン・アーキテクチャ戦略の元で生まれたIBM-PCの成功と、シリコンバレーに集うIT産業を育成したことが、今や世界に覇権が及ぶGAFAをもたらしたのだと思います。

ティム・パターソン – DOSの生みの親

IBMのオープン・アーキテクチャ戦略の元で生まれたIBM-PCの成功と、シリコンバレーに集うIT産業を育成したことが、今や世界に覇権が及ぶGAFAをもたらしたのだと思います。

奪い合いの競争原理から共に創る共創原理へ

“マッキンゼーはパーデューの医療用鎮痛剤「オキシコンチン」の販売を「ターボがかかったように加速させる」方法を検討し、過剰摂取となる量のオキシコンチンを患者に販売した医薬品販売業者にリベートを支払うよう提案していた”模様です。

オキシコンチンの不適切な販売促進活動について マッキンゼーの最高経営幹部数名は従業員向けにメモを作成し、そこにこう記した。

過去を変えることはできないが、過去から学ぶことはできる

The New York Times

ビッグモーター経営再建に向けて

M&A業界では、デロイトトーマツファイナンシャルアドバイザリーが再生計画の策定に入り、事業再生型M&Aによる売却の動きが観測がされております。

「協会けんぽ」およそ40万人分の情報がマイナンバーとひも付かず

中小企業の従業員などが加入する「協会けんぽ」で、およそ40万人分の情報がマイナンバーとひも付かず、他の団体も含めて更なる調査が必要だと考えます。

今後、マイナ保険証導入に向けて、様々な実態が明らかになると思います。

DAOが辿り着く未来

DAO や WEB3 は主観的評価による効用価値によって対価を得ます。 これは既存の権威や地位によるものではなく、あなたが良いと感じるものです。 そのような無形資産を生み出す人々が、これから主流になると感じます。

分散型アイデンティティ LTO Network

パーミッションレスの信頼性をTrust Networkの形で獲得する分散型アイデンティティ(DID)によって、ブロックチェーンという分散型の世界に信頼をもたらし、匿名性のジレンマを解決することが必要だと考えます。

LTO Network 分散型アイデンティティ(DID)の概要

RedTeamVillage defconワークショップの資料

RedTeamVillageで開催されたdefconワークショップに参加できなかった方へ
こちらからすべての資料にアクセスできます。

このリポジトリのコンテンツとすべてのコード例は教育と研究のみを目的としており、倫理的に使用してください。 このワークショップはシェルコードの実行と EDR 回避の文脈で基本を理解するのに役立つものです。

DEFCON-31-Syscalls-Workshop

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ