Secure Liaison

• https://www.first.org/cvss/v4-0/
• https://www.sec.gov/Archives/edgar/data/1739942/000173994223000079/swi-20230623.htm
• https://sec.okta.com/harfiles

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、名無しさん、ken5scal

#  ジングル: @hajipion

• SOCKS5 heap buffer overflow - CVE-2023-38545

• cookie injection with none file - CVE-2023-38546

  How I made a heap overflow in curl

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers

#  ジングル: @hajipion

• フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか
• https://www.tellusxdp.com/

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• NISC情報セキュリティ月間タイアップ
• Twitterの思ゐ出
• 障害・オンコール
• お便り紹介
• https://twitter.com/todkm/status/1620686930546692097
• https://twitter.com/TTamadwu/status/1620460595744223232

# 参照

• https://gihyo.jp/article/2023/01/mitene-04oncall-engineer

#積ん読

• なし

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• CircleCIのレポート
• 攻撃者は勤勉
• 昨今の脆弱性診断の発注と予算
• 積読紹介
• 勉強会 - ChatGptイベント: https://connpass.com/event/273062/

# 参照

• https://connpass.com/event/273062/

#積ん読

• 偽情報戦争　あなたの頭の中で起こる戦い: https://amzn.asia/d/iFXvgl0

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• Software Supply Chain and DevOps Security Practices | NCCoE
• Cloud Security Podcast by Google - EP75 How We Scale Detection and Response at Google: Automation, Metrics, Toil
• Grafana account takeover via OAuth vulnerability · Advisory · grafana/grafana
• All Hands-on Deck: A Whole-of-Society Approach for Cybersecurity – Microsoft Security Response Center

#積ん読

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• 今回は @seko_law さん（hp: https://seko-law.info）をゲストにお呼びしています

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• sekoさん登場
• 法務としての立ち振舞方
• 今回の背景
•  まずは個人情報保護委員会のガイドラインやQ&Aを読もう
• チェックシートを個人情報保護の観点から（フォーマット
• なぜチェックシートは自動化できないか
• 提供元基準としての個人情報
• チェック内容の繊維
• 個人情報とリスクベース
• ガイドラインレベルでも違うが、結局、業界も含め利用ユースケース次第
• 日常的な（よく日常手きく）個人情報のと法律的な個人情報は違う
• GDPRがベース
• 法律メンと技術メンのか変わり方
• 文脈共有
• 60分でわから個人情報保護
• グラデーションによって個人情報の取り組みの濃淡をつけたい

# 参照

• 法務が知っておきたいデータセキュリティの基本（動画）
• 法務が知っておきたいデータセキュリティの基本（資料）
• ＯＥＣＤ理事会勧告８原則
• 個人情報保護の法令・ガイドライン等
• 個人情報の保護に関する法律についてのガイドライン に関するＱ＆Ａ
• コロラド州のプライバシー法

#積ん読

• 60分でわかる! 改正個人情報保護法 超入門

# 参加者: seko_lawさん、針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• 政府系ドキュメントに思うこと。CNCFみたいなコンポーネントとかにするとか
• サンドラッグ　リスト型攻撃 https://smbiz.asahi.com/article/14668844
• IPAの産業サイバーセキュリティセンターの中核人材育成プログラムについて
• 松本さんが社会人の要件について語る
• メタップスペイメントの話
• 脅威の考え方について
• 
  

# 参照

#積ん読

• オンラインゲームセキュリティ

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• DEV-0537 criminal actor targeting organizations for data exfiltration and destruction
• Microsoft Investigating Potential LAPSUS$ Hack After Sensitive Screenshot Leak
• Cloudflare’s investigation of the January 2022 Okta compromise

#積ん読

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

• Androidのアップデート状況の話: 国内主要Androidスマートフォンブランドのアップデート実施状況を比べてみた
  • Officeのmacroデフォ無効化: Microsoft、OfficeのVBAマクロをデフォルトブロックへ　悪用対策で
• 家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始｜株式会社ゼロゼロワンのプレスリリース
• 名古屋大学への不正アクセスによる個人情報流出について - お知らせ - 病院からのお知らせ | 名古屋大学医学部附属病院

#積ん読

Software Design 2022年３月号

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• Mini Hardeningの運営の話
• Firefoxの障害の振り返り　(Retrospective and Technical Details on the recent Firefox Outage)
• Coinhive訴訟の話　（一般社団法人日本ハッカー協会の寄付先はこちら）
• 地球外少年少女

#積ん読

特に無い

# 参加者: 針金細工さん（元名無しさん）、ykyanさん, 松本さん(@ym405nm)、ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• 脆弱性情報の集め方
• 情報流出とHDDと
• Firefoxの障害の話
  • colors、faker.jsなどのnpmパッケージに悪意あるコードが作者により含まれていたはなし

#積ん読

図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書

# 参加者: 名無し、ykyanさん, 松本さん(@ym405nm)

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• log4jの話（続
• WAFとシグネチャと運用について
• 【マジで】サイバー演習シナリオの作り方【怖い】
• Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego

# 参加者: ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• log4jの話（収録日からやや経過してるため、現時点で古い話もある可能性があります）
• Defender`s mindset
• 人はなぜミスしてしまうのか
• 聴いてないけど聴いたふりする技術
• 読んでいない本について堂々と語る方法

# 参加者: 名無しさん、ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• 年末に向けて経済活動回してるよって話
• BIMIの話
• Emotet復活の話を少々とメールというプロトコルのユースケース
• PyPyのパッケージ汚染(11/18)
• セッションごととかにセキュリティ強弱をつける話（CAEP / Shared Signals and Events WG)
• OSSFのAllstartとかScore Cards
• runtimeのauditの話: Secure Namespaced Kernel Audit for Containers
• Redashの脆弱性の話とGithub Security Advisory
• 身代金払わず2億円で新システム　徳島サイバー被害病院
• ブラックフライデーの話とPS5欲しいって話

# 参加者: 名無しさん、ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• バッタ（蝗害）対策が前進した話
• TOKYOワクションアプリのドメインのお話
• npm(coa)に対する悪意ある改ざん
• おすすめ新卒研修とセキュリティコンテンツ
• セキュリティエンジニアがする採用の話
• 今日の積読: バッタを倒しにアフリカへ, セキュリティエンジニアのための機械学習

# 参加者: 名無しさん、ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• 採用と業務委託と権限
• セキュリティのアレ ～ 知識と技術とあと2つ ～ – CODE BLUE 2021 #codeblue_jp
• Amazonが従業員向けのセキュリティオンライントレーニングを無償で一般公開
• Minimum Viable Security Product ( Googleのブログ ）
• 集合知の話
• メモツール
• VR, AR, MRと電脳コイル
• Netflixセキュリティの定量化
• 領域外を勉強する方法について( 苦手を捨てる決断により広がった世界 - 限られたリソースしか持たないエンジニアの戦い方 )

# 参加者: 名無しさん、ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• AVTokyo
• セキュリティエンジニアのための機械学習
• 機械学習と専門外のことをキャッチアップする技術
• やっぱりフィッシングサイトを見抜くのは難しい話(Jamf Wandera) https://phishing-quiz.wandera.com/#!/ 
• Windows Subsystem for Android
• macOS Montereyの話
• キーボードの小ネタ

# 参加者: 名無しさん、ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# お礼

当Podcastをブログ等で取り上げていただいた、次の方々に御礼申し上げます。

• インハウスハブ東京法律事務所 世古 修平弁護士
• Microsoft Yurika先生

# 内容

• セブンの回者（非公式）として、舞茸展おむすびと塩むすびのオススメ
• 唐揚げ棒廃止のお知らせ
• iPhone, Android, Windows OSのアプデの話
• 量子暗号そろそろ気になるよね、という話
• Yubikey Bio
  • Apacheの脆弱性（CVE-2021-41773）
• セキュリティ10大脅威 2021
• Golang 1.18とNative Fuzzingの話 (すみません、1.18はBeta Fuzzingでした）
• OSS的なPull Requestとアタックベクター

# 参加者: 名無しさん、ykyanさん, @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• カレーパーンとﾏﾙﾄｯﾂｵの話
• セキュリティ10大脅威 2021
• トレーニングコンテンツ（例: Googleフィッシングクイズ）
• インフルエンサーや芸能人がフィッシングについてSNSで話すのいいよね
• OWASP Top10 2021 Peer Review
• プロダクトの脆弱性と対応方針
• テスト文字列に”うんこ”と入れるな
• RFCかるた
  • 今日の積ん読: オープンソースの教科書

# 参加者: 名無しさん、ykyanさん, 松本さん

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

UC IrvineのNetworked Systems Programで博士課程にある中塚義道をゲストにお招きし、

Usenix Security 2021に採択された「CACTI: Captcha Avoidance via Client-side TEE Integration」についてお話いただきました。

具体的には現在のCaptchaの課題、それを解決するCACTIの各種コンポーネント、肝であるProvisioning Authorityなどについてご教示いただきました。

参考資料はこちら

• もとの論文: 「CACTI: Captcha Avoidance via Client-side TEE Integration」
• Captchaの経済的合理性について説明する論文: 「Understanding CAPTCHA-Solving Services in an Economic Context」
• CloudflareがGoogleのRe:Captchaをやめた話: 「Moving from reCAPTCHA to hCaptcha」
• 中塚さんのブログ

# 参加者: 中塚義道 (@nyoshi93) , @ken5scal

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• カレーパンの話
• OpenSSLの脆弱性の話
• ホワイトハウスとテックジャイアントがセキュリティサミットした話
• AWSのMFAの話
• Azure ADのライセンスの話
• スピーカーが自社でどうセキュリティ施策を進めてるか話あう話

# 参加者: 名無しさん、ykyanさん

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• Microsoft周りの脆弱性の話 + IEサポート終了の話
• クラウドのセキュリティ管理の話
• Google よりTwitterで検索しがちな話
• Mizuho銀行の障害話
• セキュリティ事故が起こるといくらお金がかかるのか（JNSA）

# 参加者: 名無しさん、ykyanさん

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• オリンピックの話（雑談）
• 村田製作所の再委託先から情報漏えいがあった話
• 富士通のProjectWEBの話
• Omiaiの不正アクセスの話
• セキュキャン講師の話
• 今日の読書: ライトついてますか: 問題発見の人間学

# 参加者: ken5(@ken5scal)  、名無しさん、松本さん(@ym405nm),  ykyanさん

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• コロナと山
• データのバックアップの話
• 読んでいない本について堂々と語る方法
• Github CopilotとOSSと機微情報の話
• Github copilotとOSSの話（特にGPLライセンス）
• Github CEOのリプ
• 【続報】PHP不正コード混入はサーバ乗っ取りではなくアカウント流出原因か
• 日常的に悪用される脆弱性のリスト
• 危ない脆弱性種別top25 CWEベース
• 業務としてのペンテストをやるときに必要なもの

# 主宰: ken5(@ken5scal)  ゲスト:  名無しさん

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• 主宰の同人誌宣伝: https://techbookfest.org/product/5356285534928896?productVariantID=6241307947171840
• CNCFの話
• どういう仕事していきたいのか
• Aquaセキュリティにおける募集: https://twitter.com/knqyf263/status/1414850569924141056?s=20
• DropBoxのエンジニア向けキャリアフレームワーク
• スキルからチームへ
• ドラマやアニメの話: 攻殻機動隊Arise, Invincible, スプリガン, 閃光のハサウェイ
• JavaScript/CSSライブラリをホストするCDN「cdnjs」のパストラバーサルとリモートコード実行の脆弱性の話（詳細(日本語), 詳細(英語)）
• goのarchive/zipでファイルパスのサニタイズしてないじゃんIssue
• OSSの脆弱性情報の標準スキーマの提案 by Google

# 主宰: ken5(@ken5scal)  ゲスト:  名無しさん

#  BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

• Internet Explorer は Microsoft Edge へ – Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了　
• ウェブブラウザの年表 とか眺めてあらためてすげー大作だなと感心していたところ
• IE11 サポート終了の歴史 サポート終了するために数年に渡ってフラグを立てていたんだなーと
• 若い世代が知らない2000年代のHTMLコーディングの地獄 よくIE対応が辛いとは聞いていたけど何が具体的に辛いのか良くわかってなかったので勉強になる
• 「ぼくたちの愛したIE8 IE8はセキュリティにすごく力を入れていた。
• IEが引き起こした脆弱性といえば UTF-7によるXSS を外すわけにはいかない
• 2010年シアトルレドモンド訪問
• IE6の“葬儀”行われる Microsoftから献花も
• X-XSS-Nightmare: 1; mode=attack ～XSSフィルターを利用したXSS攻撃～ Masato Kinugawa
• 5文字で書くJavaScript/ Shibuya.XSS techtalk #10
• 安心相談窓口だより：IPA 独立行政法人 情報処理推進機構 で2022年6月「Internet Explorer」サポートが終了へ ～ サポートが継続する他のブラウザへの切り替えを ～ のアナウンス
• Browser Market Share Japan 直近12ヶ月の日本でのIEのシェアは2.64% 
• IE6 bot https://twitter.com/ie6bot

他

主宰: ken5(@ken5scal) 

ゲスト:  松本さん(@ym405nm),  ykyanさん

BGM: "A Fool in Love" by Imprismed

ジングル: @hajipion

• みずほFGのシステム障害特別調査委員会の調査報告書（要旨）の話
• システム子会社の開発系と運用系の話
• 開発フェーズと運用フェーズの話（10営業日は言い過ぎかも。でも、開発 -> 親会社にエスカレ -> オヤ会社から運用会社に連携 -> 開発・運用でのやり取りの予想）
• CISA senior security executiveの年収あてクイズ
• Appleはじめとした新しいプライバシー機構の話
• Jamfの話
• Google workspcaeの新しい機能の話
• ファイル共有の話
• 新作ゲームの話

# 主宰: ken5(@ken5scal)  ゲスト:  松本さん(@ym405nm),  ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

内容

• 日本ダービー３連複で買った競馬の話とJRAのドメインの運用方法
• 富士通製ツールへの不正アクセスで複数省庁や企業の情報が流出
• Azure ADの新機能「Conditional Access authentication context now in public preview - Microsoft Tech Community」の話
• パスワード認証と認証サービスを使った開発コストの話
• パスワードレス化を進めまくってるYahooへのアカウント登録の話
• AWS Nitro Enclaveの話（お詫び: Nitro Enclaveに対してAWS運用者がアクセスできる可能性がある、という部分については、確実にそうだといえる資料を確認できませんでした。）
• 今日の積ん読: Incident Metics in SRE
  

他

• 主宰: ken5(@ken5scal) 
• ゲスト:  松本さん(@ym405nm),  ykyanさん
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。

内容

• 散歩の話
• Podcastの話(Paul's Security Weekly, CyberWire Daily, ISC Stormcast等々）
• Omiaiアプリと個人情報漏洩の話
• mercariのCodecovの話(github tokenの話、git commitの削除に関する話、影響の範囲の話）
• GitHubのプランの話
• 今日の積ん読紹介: なし

他

• 主宰: ken5(@ken5scal)
• ゲスト: 名無しさん, 松本さん(@ym405nm),  ykyanさん
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion
  

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。

内容

• 雑談（映画、PS5、バイオハザード、イベント、英語教育）
• 防衛省製のワクチン予約サイトなどの著名なサイトのフィッシング対策をどうすべきか（`脆弱性` などの話はしていません）
• Colonial Pipelineの話（DarkSideの話や反社への支払いに関する制裁対象の話）（収録当日にはまだ身代金支払いに関する公式なニュースはありませんでした）
• キャンプと教育の話
• 今日の積ん読紹介: 誰のために法は生まれた

他

• 主宰: ken5(@ken5scal)
• ゲスト: 名無しさん, 松本さん(@ym405nm),  ykyanさん
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion
  

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。

内容

• Science FictionとSales Force
• DCとパンチカードの話
• Enabling Hardware-enforced Stack Protection (cetcompat) in Chrome
• All Your Macs Are Belong To Us 
• ECキューブの脆弱性の話
• 本の紹介（詳細セキュリティコンテスト、定理証明手習い）
  • 
    

他

• 主宰: ken5(@ken5scal)
• ゲスト: 名無しさん, 松本さん(@ym405nm),  ykyanさん
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion
  

• エナジードリンクの話
• Capcom「不正アクセスに関する調査結果のご報告【第4報】」(https://www.capcom.co.jp/ir/news/html/210413.html)
• リブセンス「反社とは誰を指すのか。静かなる暴力「反社チェック」を問いただす」 (https://q.livesense.co.jp/2021/04/05/517.html)
• Codecov「Bash Uploader Security Update」 (https://about.codecov.io/security-update/)
• プラットフォーマーの義務とは
• 責任のありかの社会合意はどう形成されていくのか
• 推しが推せなくなったとき

他

• 主宰: ken5(@ken5scal)
• ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。

内容

• クレジットカード不正利用被害
  • https://www.j-credit.or.jp/download/news20210331b1.pdf
• クレカの物理的なしくみ
• クレカ利用時の3Dセキュアなどのオプション指定
• クレカ不正利用手法の繊維
• クレカIssuerごとにことなる認証手法や認証挙動
• クレカ情報狙いのフィッシングサイト傾向とその目的
• クレカの有効性確認
• クレカ利用者の心理
• なんでPAN(Primary Account Number : カード番号)とセキュリティコード印字してるの？

他

• 主宰: ken5(@ken5scal) 
• ゲスト: 名無しさん, 松本さん(@ym405nm), @ozuma5119 さん, ykyanさん
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。

# 内容

• RモバイルとS社の話
• 福岡県のコロナ感染者情報流出の話
• ISPとアビューズ対策の話
• ラーメン屋を作るシミュレーションゲームの話
• オチをつける方法の話

# 他

• スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
  
• BGM: "A Fool in Love" by Imprismed
  
• ジングル: @hajipion
  

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。

# 内容

• WHOISの話
• オリンピックの聖火ランナー募集サイト乱立しすぎワロタ
• ISPとアビューズ対策の話
• インターネットは奇跡という話

# 他

• スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm)
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです

# 内容

• お年玉やご祝儀の認証と
• paypayの情報漏えい
• 依存しているSaaSに問題があった場合の対処
• openSSHの脆弱性
• Mac上のアプリとapple上ocspサーバー の話

# 他

• スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm)
• BGM: "A Fool in Love" by Imprismed
• ジングル: @hajipion