Secure Liaison
By Secure旅団
Secure LiaisonSep 12, 2022
XZ UtilsのSWサプライチェーンとOSSエコシステムの話
(収録日: 2024/04/14)
# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- XZ Utilsに脆弱性が埋め込まれた話
- OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話
# 参照
## 経緯
- https://research.swtch.com/xz-timeline
- https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html
- https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/
## CVEそのもの
- SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
- Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
- Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
- CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
## 関連PR
- https://github.com/libarchive/libarchive/pull/1609
- https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
- https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86
#積ん読
- なし
# 参加者: 中谷さん、ken5scal
CVSSv4.0とかOkta(続)などの話
(収録日: 2023/11/05)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- CVSSv4と、今までの脆弱性評価の思い出
- Oktaのインシデントの話(10/30以降に更新された話)。主に公私分離、体制、サービスアカウント
# 参照
- https://www.first.org/cvss/v4-0/
- https://www.sec.gov/Archives/edgar/data/1739942/000173994223000079/swi-20230623.htm
- https://sec.okta.com/harfiles
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、名無しさん、ken5scal
# ジングル: @hajipion
仙台のmini hardeningやOktaの話
(収録日: 2023/10/30)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 仙台で MINI Hardening した話
- Oktaのインシデントの話(10/30までの時点の情報です)
# 参照
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
脆弱性管理・パッチ管理など
(収録日: 2023/10/16)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 雑な談
- 新しいスマホ
- ノートアプリ
- 気になるニュースあったっけ? -> 全銀のはレポート待ち。ほかはない(とかいいながら、その数日後にNTT西日本とOktaのやつがくる)
- 雑な談 part2
- NTLM廃止の話 -> Microsoftプロトコル・ライフサイクルの温故知新、ライセンス
- curlの脆弱性の話
- 脆弱性管理とパッチ管理の話
- ルート証明書の更新
- ArcとWarpの宣伝
# 参照
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers
# ジングル: @hajipion
久しぶりのエピソードの言い訳とか流行りのネタ
(収録日: 2023/10/02)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 言い訳
- passkeyのニーズの話
- Colab
- 最近気になったインシデントとオフボーディング
# 参照
- 前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
- 前職の名刺情報を転職先に不正提供した事案についてまとめてみた - piyolog
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers
# ジングル: @hajipion
データ・スペシャル - AIセキュリティ専門家とAIの話
(収録日: 2023/09/05)
- 今回は @bbr_bbq さんをゲストにお呼びしています
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 自己紹介
- 出会い
- AISEC
- Adversarial Example/Evasion Techniqueについて
- AIに対する攻撃手法と論文の傾向について
- 実際の攻撃について
- どうLLMを使っているか
- 学生向けのAIセキュリティ講座の内容
# 参加者:@bbr_bbq 、ken5scal
# ジングル: @hajipion
GWの話やRSAカンファレンスの話
(収録日: 2023/05/)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 野球の話
- GWの話
- 衛星データの話
- Colab
- RSA - CrowdStrike, PassKey
- ライドシェア状況
- 徳丸先生のQiita
# 参照
- フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか
- https://www.tellusxdp.com/
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
海外カンファレンス、LLMなどの話
(収録日: 2023/04/10)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 海外カンファレンスと海外行きたいって話
- 新しい社会人の方々の話
- ちょっとだけ情報収集の話
- llmを使った手法やビジネス。ちょっとMicrosoft Sentinelの話
- web proxyの話
# 参照
- https://gihyo.jp/article/2023/01/mitene-04oncall-engineer
- https://www.publickey1.jp/blog/23/chatgptmicrosoft_365_copilotexcel.html
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、ken5scal、名無しさん
# ジングル: @hajipion
リトアニア旅行記
(収録日: 2023/02/07)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- リトアニア旅行記
- 若干のWinny(映画)の話
- お便り紹介
# 参照
- https://gihyo.jp/article/2023/01/mitene-04oncall-engineer
#積ん読
- なし
# 参加者: 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
Twitterの思ゐ出や障害オンコール
(収録日: 2023/02/07)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- NISC情報セキュリティ月間タイアップ
- Twitterの思ゐ出
- 障害・オンコール
- お便り紹介
- https://twitter.com/todkm/status/1620686930546692097
- https://twitter.com/TTamadwu/status/1620460595744223232
# 参照
- https://gihyo.jp/article/2023/01/mitene-04oncall-engineer
#積ん読
- なし
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
CircleCIのレポート(続)とか脆弱性診断の発注と予算についてとか
(収録日: 2022/01/23)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- CircleCIのレポート
- 攻撃者は勤勉
- 昨今の脆弱性診断の発注と予算
- 積読紹介
- 勉強会 - ChatGptイベント: https://connpass.com/event/273062/
# 参照
- https://connpass.com/event/273062/
#積ん読
- 偽情報戦争 あなたの頭の中で起こる戦い: https://amzn.asia/d/iFXvgl0
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
メジャーでインターネット活動のコアになるサービスのインシデントについて
(収録日: 2022/01/04)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- Lastpass
- PyTorchとSupply Chain
- EmbeddedなSupply ChainとPipelinelessなSupply Chain
- 今週の積ん読
# 参照
- https://www.arnica.io/blog/what-is-pipelineless-security
- https://pytorch.org/blog/compromised-nightly-dependency/
#積ん読
- なし
# 参加者: 針金細工さん(元名無しさん)、 ken5scal
# ジングル: @hajipion
NW機器の管理インターフェースの公開の何がまずいかとか、マルチクラウドと脆弱性の話とか
(収録日: 2022/10/18)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 雑談
- Fortinetの脆弱性
- ネットワークの管理IFはなぜ気をつけたいのか(どういう場合に)z
- パッチマネジメント
- 脆弱性とCloud misconfigurationとマルチクラウド
- ノーコードの利用者の幅がひろがりつつ、そのリスクをケアできているか
- 今週の積ん読
# 参照
- https://www.jpcert.or.jp/at/2022/at220025.html
- https://jpn.nec.com/cybersecurity/blog/220826/index.html
#積ん読
- 詳解Go言語Webアプリケーション開発: https://www.amazon.co.jp/dp/B0B62K55SL
- APIを作りながら進むGo中級者への道: https://techbookfest.org/product/jXDAEU1dR53kbZkgtDm9zx
- 事業をエンジニアリングする技術者たち ― フルサイクル開発者がつくるCARTAの現場: https://www.amazon.co.jp/dp/4908686157
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
MINI Hardening meets BSIDES SINGAPORE
(収録日: 2022/09/05)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 今週はMINI Hardening運営の松本さんをゲストに、大会の意義や内容について教えていただきました。
# 参照
- https://bsidessg.org/schedule/workshop3-mini-hardening-kenro-project/
#積ん読
# 参加者: 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
Grafanaの脆弱性とか、SRE的なセキュリティとか
(収録日: 2022/07/25)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- ストレスのシグナル
- 新作ゲーム(ライブアライブ, Stray)
- トップガン・マーヴェリック(2回目)
- Grafana OAuthの脆弱性(CVE-2022-31107)
- ダッシュボードの話
- Cloud Security Podcast by Googleのおすすめ
- RSAカンファレンスのMicrosoftの話
- NISTとAutomation
# 参照
- Software Supply Chain and DevOps Security Practices | NCCoE
- Cloud Security Podcast by Google - EP75 How We Scale Detection and Response at Google: Automation, Metrics, Toil
- Grafana account takeover via OAuth vulnerability · Advisory · grafana/grafana
- All Hands-on Deck: A Whole-of-Society Approach for Cybersecurity – Microsoft Security Response Center
#積ん読
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
プライバシー・スペシャル - 弁護士先生とプライバシーとの話
(収録日: 2022/07/30)
- 今回は @seko_law さん(hp: https://seko-law.info)をゲストにお呼びしています
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- sekoさん登場
- 法務としての立ち振舞方
- 今回の背景
- まずは個人情報保護委員会のガイドラインやQ&Aを読もう
- チェックシートを個人情報保護の観点から(フォーマット
- なぜチェックシートは自動化できないか
- 提供元基準としての個人情報
- チェック内容の繊維
- 個人情報とリスクベース
- ガイドラインレベルでも違うが、結局、業界も含め利用ユースケース次第
- 日常的な(よく日常手きく)個人情報のと法律的な個人情報は違う
- GDPRがベース
- 法律メンと技術メンのか変わり方
- 文脈共有
- 60分でわから個人情報保護
- グラデーションによって個人情報の取り組みの濃淡をつけたい
# 参照
- 法務が知っておきたいデータセキュリティの基本(動画)
- 法務が知っておきたいデータセキュリティの基本(資料)
- OECD理事会勧告8原則
- 個人情報保護の法令・ガイドライン等
- 個人情報の保護に関する法律についてのガイドライン に関するQ&A
- コロラド州のプライバシー法
#積ん読
# 参加者: seko_lawさん、針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
脅威の考え方などについて
(収録日: 2022/07/13)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 政府系ドキュメントに思うこと。CNCFみたいなコンポーネントとかにするとか
- サンドラッグ リスト型攻撃 https://smbiz.asahi.com/article/14668844
- IPAの産業サイバーセキュリティセンターの中核人材育成プログラムについて
- 松本さんが社会人の要件について語る
- メタップスペイメントの話
- 脅威の考え方について
# 参照
#積ん読
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
雑談会v2
(収録日: 2022/06/13)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- トップガンの話
- スプリガンの話
- ドローン規制の話
- ゲームの話
# 参照
#積ん読
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
東京ドームの入場チケット、Lapsus$、拾うボールの話
(収録日: 2022/03/28)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 東京ドームの入場チケット
- LAPSUS$とOkta/Microsoft
- 拾うボールの話
# 参照
- DEV-0537 criminal actor targeting organizations for data exfiltration and destruction
- Microsoft Investigating Potential LAPSUS$ Hack After Sensitive Screenshot Leak
- Cloudflare’s investigation of the January 2022 Okta compromise
#積ん読
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion
Androidスマホブランド毎のアップデート状況などの話
(収録日: 2022/02/27)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- Androidのアップデート状況の話: 国内主要Androidスマートフォンブランドのアップデート実施状況を比べてみた
- Officeのmacroデフォ無効化: Microsoft、OfficeのVBAマクロをデフォルトブロックへ 悪用対策で
- 家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始|株式会社ゼロゼロワンのプレスリリース
- 名古屋大学への不正アクセスによる個人情報流出について - お知らせ - 病院からのお知らせ | 名古屋大学医学部附属病院
#積ん読
Software Design 2022年3月号
# 参加者: 針金細工さん(元名無しさん)、 松本さん(@ym405nm)、ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
雑談回
(収録日: 2022/02/20)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- アニメやフィクションの頼み仕方
- ゲームの話から筋トレの話
- メンタルの整え方
- ラーメンの話
- 他
#積ん読
特に無し
# 参加者: 針金細工さん(元名無しさん)、ykyanさん, 松本さん(@ym405nm)、ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
Mini HardeningやCoinhive事件の話
(収録日: 2022/02/05)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- Mini Hardeningの運営の話
- Firefoxの障害の振り返り (Retrospective and Technical Details on the recent Firefox Outage)
- Coinhive訴訟の話 (一般社団法人日本ハッカー協会の寄付先はこちら)
- 地球外少年少女
#積ん読
特に無い
# 参加者: 針金細工さん(元名無しさん)、ykyanさん, 松本さん(@ym405nm)、ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
脆弱性情報の集め方、情報流出とHDD、OSSに悪意のあるコードが注入された話
(収録日: 2022/01/16)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
firefoxOS搭載のTVを販売していたのはSHARPさんではなくPanasonicさんでした訂正します
他にも間違ったことに気づかれた方はご指摘いただけると幸いです。
# 内容
- 脆弱性情報の集め方
- 情報流出とHDDと
- Firefoxの障害の話
- colors、faker.jsなどのnpmパッケージに悪意あるコードが作者により含まれていたはなし
#積ん読
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
# 参加者: 名無し、ykyanさん, 松本さん(@ym405nm)
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
カルチャーの作り方、リスク管理、経営に寄り添う話
(収録日: 2022/01/07)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
2022年あけましておめでとうございます、年始なのでエモい話多めです
# 内容
- 経営統合とカルチャーの作り方
- ポリシーメイキングと実態のトラッキングの話
- リスク管理と経営に寄り添うとは~mins your own business~
- 他業種との付き合い方
- CESとCPU開発者の小話
# 参加者: 名無し、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
log4jとWAF, Freeeのサイバー演習, Regoの話
(収録日: 2021/12/19)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
なお、今回のDevice Trust周りは製品によって差があるかもしれませんし、そもそも不正確なことを言っているかもしれません。
気づかれた方はご指摘いただけると幸いです。
# 内容
# 参加者: ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
Log4j 2や防御側のマインドセットの話 他
(収録日: 2021/12/12)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- log4jの話(収録日からやや経過してるため、現時点で古い話もある可能性があります)
- Defender`s mindset
- 人はなぜミスしてしまうのか
- 聴いてないけど聴いたふりする技術
- 読んでいない本について堂々と語る方法
# 参加者: 名無しさん、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
PyPyのパッケージ汚染やRedashの脆弱性 の話 他
(収録日: 2021/11/27)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 年末に向けて経済活動回してるよって話
- BIMIの話
- Emotet復活の話を少々とメールというプロトコルのユースケース
- PyPyのパッケージ汚染(11/18)
- セッションごととかにセキュリティ強弱をつける話(CAEP / Shared Signals and Events WG)
- OSSFのAllstartとかScore Cards
- runtimeのauditの話: Secure Namespaced Kernel Audit for Containers
- Redashの脆弱性の話とGithub Security Advisory
- 身代金払わず2億円で新システム 徳島サイバー被害病院
- ブラックフライデーの話とPS5欲しいって話
# 参加者: 名無しさん、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
バッタ対策やTokyoワクションアプリ、採用・キャリアの話
(収録日: 2021/11/05)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- バッタ(蝗害)対策が前進した話
- TOKYOワクションアプリのドメインのお話
- npm(coa)に対する悪意ある改ざん
- おすすめ新卒研修とセキュリティコンテンツ
- セキュリティエンジニアがする採用の話
- 今日の積読: バッタを倒しにアフリカへ, セキュリティエンジニアのための機械学習
# 参加者: 名無しさん、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
セキュリティの権限と業務委託、Amazonのセキュリティ教育公開などの話
(収録日: 2021/10/31)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 採用と業務委託と権限
- セキュリティのアレ ~ 知識と技術とあと2つ ~ – CODE BLUE 2021 #codeblue_jp
- Amazonが従業員向けのセキュリティオンライントレーニングを無償で一般公開
- Minimum Viable Security Product ( Googleのブログ )
- 集合知の話
- メモツール
- VR, AR, MRと電脳コイル
- Netflixセキュリティの定量化
- 領域外を勉強する方法について( 苦手を捨てる決断により広がった世界 - 限られたリソースしか持たないエンジニアの戦い方 )
# 参加者: 名無しさん、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
イベントが多かったり社内での端末選定、OSリリースのお話
(収録日: 2021/10/23)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- AVTokyo
- セキュリティエンジニアのための機械学習
- 機械学習と専門外のことをキャッチアップする技術
- やっぱりフィッシングサイトを見抜くのは難しい話(Jamf Wandera) https://phishing-quiz.wandera.com/#!/
- Windows Subsystem for Android
- macOS Montereyの話
- キーボードの小ネタ
# 参加者: 名無しさん、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
各種プラットフォームの新OSやApacheの脆弱性にまつわる開発の話、等
(収録日: 2021/10/08)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# お礼
当Podcastをブログ等で取り上げていただいた、次の方々に御礼申し上げます。
- インハウスハブ東京法律事務所 世古 修平弁護士
- Microsoft Yurika先生
# 内容
- セブンの回者(非公式)として、舞茸展おむすびと塩むすびのオススメ
- 唐揚げ棒廃止のお知らせ
- iPhone, Android, Windows OSのアプデの話
- 量子暗号そろそろ気になるよね、という話
- Yubikey Bio
- セキュリティ10大脅威 2021
- Golang 1.18とNative Fuzzingの話 (すみません、1.18はBeta Fuzzingでした)
- OSS的なPull Requestとアタックベクター
# 参加者: 名無しさん、ykyanさん, @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
セキュリティ10大脅威とかOWASP Top10 2021とか
(収録日: 2021/09/11)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- カレーパーンとマルトッツオの話
- セキュリティ10大脅威 2021
- トレーニングコンテンツ(例: Googleフィッシングクイズ)
- インフルエンサーや芸能人がフィッシングについてSNSで話すのいいよね
- OWASP Top10 2021 Peer Review
- プロダクトの脆弱性と対応方針
- テスト文字列に”うんこ”と入れるな
- RFCかるた
- 今日の積ん読: オープンソースの教科書
# 参加者: 名無しさん、ykyanさん, 松本さん
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
【研究会】クライアントサイドのTEEを使ったキャプチャ回避に関する論文について伺う話
(収録日: 2021/08/28)
感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
UC IrvineのNetworked Systems Programで博士課程にある中塚義道をゲストにお招きし、
Usenix Security 2021に採択された「CACTI: Captcha Avoidance via Client-side TEE Integration」についてお話いただきました。
具体的には現在のCaptchaの課題、それを解決するCACTIの各種コンポーネント、肝であるProvisioning Authorityなどについてご教示いただきました。
参考資料はこちら
- もとの論文: 「CACTI: Captcha Avoidance via Client-side TEE Integration」
- Captchaの経済的合理性について説明する論文: 「Understanding CAPTCHA-Solving Services in an Economic Context」
- CloudflareがGoogleのRe:Captchaをやめた話: 「Moving from reCAPTCHA to hCaptcha」
- 中塚さんのブログ
# 参加者: 中塚義道 (@nyoshi93) , @ken5scal
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
スピーカーが自社でどうセキュリティ施策を進めてるか話あう会 他
(収録日: 2021/08/27)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- カレーパンの話
- OpenSSLの脆弱性の話
- ホワイトハウスとテックジャイアントがセキュリティサミットした話
- AWSのMFAの話
- Azure ADのライセンスの話
- スピーカーが自社でどうセキュリティ施策を進めてるか話あう話
# 参加者: 名無しさん、ykyanさん
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
Microsoft周りの脆弱性 他
(収録日: 2021/08/20)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- Microsoft周りの脆弱性の話 + IEサポート終了の話
- クラウドのセキュリティ管理の話
- Google よりTwitterで検索しがちな話
- Mizuho銀行の障害話
- セキュリティ事故が起こるといくらお金がかかるのか(JNSA)
# 参加者: 名無しさん、ykyanさん
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
メーカーの再委託先やOmiaiの話 他
(収録日: 2021/08/13)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- オリンピックの話(雑談)
- 村田製作所の再委託先から情報漏えいがあった話
- 富士通のProjectWEBの話
- Omiaiの不正アクセスの話
- セキュキャン講師の話
- 今日の読書: ライトついてますか: 問題発見の人間学
# 参加者: ken5(@ken5scal) 、名無しさん、松本さん(@ym405nm), ykyanさん
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
GitHub CopilotやPHP不正コード混入などのお話
(収録日: 2021/07/31)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- コロナと山
- データのバックアップの話
- 読んでいない本について堂々と語る方法
- Github CopilotとOSSと機微情報の話
- Github copilotとOSSの話(特にGPLライセンス)
- Github CEOのリプ
- 【続報】PHP不正コード混入はサーバ乗っ取りではなくアカウント流出原因か
- 日常的に悪用される脆弱性のリスト
- 危ない脆弱性種別top25 CWEベース
- 業務としてのペンテストをやるときに必要なもの
# 主宰: ken5(@ken5scal) ゲスト: 名無しさん
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
DropBoxのキャリアフレームワークやcdnjsの脆弱性の話
(収録日: 2021/06/16)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- 主宰の同人誌宣伝: https://techbookfest.org/product/5356285534928896?productVariantID=6241307947171840
- CNCFの話
- どういう仕事していきたいのか
- Aquaセキュリティにおける募集: https://twitter.com/knqyf263/status/1414850569924141056?s=20
- DropBoxのエンジニア向けキャリアフレームワーク
- スキルからチームへ
- ドラマやアニメの話: 攻殻機動隊Arise, Invincible, スプリガン, 閃光のハサウェイ
- JavaScript/CSSライブラリをホストするCDN「cdnjs」のパストラバーサルとリモートコード実行の脆弱性の話(詳細(日本語), 詳細(英語))
- goのarchive/zipでファイルパスのサニタイズしてないじゃんIssue
- OSSの脆弱性情報の標準スキーマの提案 by Google
# 主宰: ken5(@ken5scal) ゲスト: 名無しさん
# BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
IE11のサポート終了とブラウザとセキュリティ
(収録日: 2021/06/23)
今回は @hasegawayosuke さんをゲストにお招きし、個人的なIEと脆弱性のエピソードについて教えてもらっています。
なお、ここでいうIEの脆弱性は「Webアプリケーションに影響を与える部分」の範囲で、バッファオーバーフローやプラグイン周りの脆弱性はふくまれていません。
感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
内容
- Internet Explorer は Microsoft Edge へ – Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了
- ウェブブラウザの年表 とか眺めてあらためてすげー大作だなと感心していたところ
- IE11 サポート終了の歴史 サポート終了するために数年に渡ってフラグを立てていたんだなーと
- 若い世代が知らない2000年代のHTMLコーディングの地獄 よくIE対応が辛いとは聞いていたけど何が具体的に辛いのか良くわかってなかったので勉強になる
- 「ぼくたちの愛したIE8 IE8はセキュリティにすごく力を入れていた。
- IEが引き起こした脆弱性といえば UTF-7によるXSS を外すわけにはいかない
- 2010年シアトルレドモンド訪問
- IE6の“葬儀”行われる Microsoftから献花も
- X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~ Masato Kinugawa
- 5文字で書くJavaScript/ Shibuya.XSS techtalk #10
- 安心相談窓口だより:IPA 独立行政法人 情報処理推進機構 で2022年6月「Internet Explorer」サポートが終了へ ~ サポートが継続する他のブラウザへの切り替えを ~ のアナウンス
- Browser Market Share Japan 直近12ヶ月の日本でのIEのシェアは2.64%
- IE6 bot https://twitter.com/ie6bot
他
主宰: ken5(@ken5scal)
ゲスト: 松本さん(@ym405nm), ykyanさん
BGM: "A Fool in Love" by Imprismed
ジングル: @hajipion
みずほFGのシステム障害の調査報告書(要旨)の話 他
(収録日: 2021/06/16)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
- みずほFGのシステム障害特別調査委員会の調査報告書(要旨)の話
- システム子会社の開発系と運用系の話
- 開発フェーズと運用フェーズの話(10営業日は言い過ぎかも。でも、開発 -> 親会社にエスカレ -> オヤ会社から運用会社に連携 -> 開発・運用でのやり取りの予想)
- CISA senior security executiveの年収あてクイズ
- Appleはじめとした新しいプライバシー機構の話
- Jamfの話
- Google workspcaeの新しい機能の話
- ファイル共有の話
- 新作ゲームの話
# 主宰: ken5(@ken5scal) ゲスト: 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
主宰が以前話したパスワード認証における開発コストについて掌を返す話
(収録日: 2021/06/02)
感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
内容
- 日本ダービー3連複で買った競馬の話とJRAのドメインの運用方法
- 富士通製ツールへの不正アクセスで複数省庁や企業の情報が流出
- Azure ADの新機能「Conditional Access authentication context now in public preview - Microsoft Tech Community」の話
- パスワード認証と認証サービスを使った開発コストの話
- パスワードレス化を進めまくってるYahooへのアカウント登録の話
- AWS Nitro Enclaveの話(お詫び: Nitro Enclaveに対してAWS運用者がアクセスできる可能性がある、という部分については、確実にそうだといえる資料を確認できませんでした。)
- 今日の積ん読: Incident Metics in SRE
他
- 主宰: ken5(@ken5scal)
- ゲスト: 松本さん(@ym405nm), ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
OmiaiとかCodecov in mercariを話つつGitHubのプランについて愚痴る話
(収録日: 2021/05/24)
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。
内容
- 散歩の話
- Podcastの話(Paul's Security Weekly, CyberWire Daily, ISC Stormcast等々)
- Omiaiアプリと個人情報漏洩の話
- mercariのCodecovの話(github tokenの話、git commitの削除に関する話、影響の範囲の話)
- GitHubのプランの話
- 今日の積ん読紹介: なし
他
- 主宰: ken5(@ken5scal)
- ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
映画とかバイオに雑談しつつ、フィッシング対策や身代金支払いに関する話
(収録日: 2021/05/17)
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。
内容
- 雑談(映画、PS5、バイオハザード、イベント、英語教育)
- 防衛省製のワクチン予約サイトなどの著名なサイトのフィッシング対策をどうすべきか(`脆弱性` などの話はしていません)
- Colonial Pipelineの話(DarkSideの話や反社への支払いに関する制裁対象の話)(収録当日にはまだ身代金支払いに関する公式なニュースはありませんでした)
- キャンプと教育の話
- 今日の積ん読紹介: 誰のために法は生まれた
他
- 主宰: ken5(@ken5scal)
- ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
Science FictionとSales Forceをごっちゃにしながら喋ってた話
今回は結構話が飛び飛びです。
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。
内容
- Science FictionとSales Force
- DCとパンチカードの話
- Enabling Hardware-enforced Stack Protection (cetcompat) in Chrome
- All Your Macs Are Belong To Us
- ECキューブの脆弱性の話
- 本の紹介(詳細セキュリティコンテスト、定理証明手習い)
他
- 主宰: ken5(@ken5scal)
- ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
Linux kernelと研究の話、セキュリティの体制構築と経営と現場の話、他
今回から前半パートはニュース解説、後半パートはテーマに沿った話の構成にしてみました。
内容
- clubhouseの思い出
- 研究とミネソタ大学とLinux kernel (https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021)
- homebrew とcask (https://blog.ryotak.me/post/homebrew-security-incident/)
- メーリスで流れる情報について
- サイバーセキュリティ体制構築の話、経済産業省 サイバーセキュリティ経営ガイドライン(https://www.meti.go.jp/policy/netsecurity/mng_guide.html)
他
主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion
CapcomとかCodecovとか反社の話
Capcomの身代金支払いに関する発表から、反社の話へ、そこから普段なんの気なしに使っている制度およびサービスの信頼の話からCodecovへ、最後にやや反社の話に戻ります
内容
- エナジードリンクの話
- Capcom「不正アクセスに関する調査結果のご報告【第4報】」(https://www.capcom.co.jp/ir/news/html/210413.html)
- リブセンス「反社とは誰を指すのか。静かなる暴力「反社チェック」を問いただす」 (https://q.livesense.co.jp/2021/04/05/517.html)
- Codecov「Bash Uploader Security Update」 (https://about.codecov.io/security-update/)
- プラットフォーマーの義務とは
- 責任のありかの社会合意はどう形成されていくのか
- 推しが推せなくなったとき
他
- 主宰: ken5(@ken5scal)
- ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
クレジットカードスペシャル
今回も @ozuma5119 さんをゲストにお招きし、クレジットカードについて教えてもらっています。
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。
内容
- クレジットカード不正利用被害
- クレカの物理的なしくみ
- クレカ利用時の3Dセキュアなどのオプション指定
- クレカ不正利用手法の繊維
- クレカIssuerごとにことなる認証手法や認証挙動
- クレカ情報狙いのフィッシングサイト傾向とその目的
- クレカの有効性確認
- クレカ利用者の心理
- なんでPAN(Primary Account Number : カード番号)とセキュリティコード印字してるの?
他
- 主宰: ken5(@ken5scal)
- ゲスト: 名無しさん, 松本さん(@ym405nm), @ozuma5119 さん, ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
通信事業社間の不正競争防止法の話 他
収録自体は2021/01にしたものです。だいぶ遅れてしまい申し訳ありません。
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。
# 内容
- RモバイルとS社の話
- 福岡県のコロナ感染者情報流出の話
- ISPとアビューズ対策の話
- ラーメン屋を作るシミュレーションゲームの話
- オチをつける方法の話
# 他
- スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
フィッシング・DNSスペシャル - Abuse対策の話
いきなり噛んでます。
今回は @ozuma5119 さんをゲストにお招きし、ドメイン・WHOIS・ICANN・ISP・アビューズ対策についてお話していただきました。
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。
# 内容
- WHOISの話
- オリンピックの聖火ランナー募集サイト乱立しすぎワロタ
- ISPとアビューズ対策の話
- インターネットは奇跡という話
# 他
- スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm)
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion
PayPayの「管理サーバーのアクセス履歴について」他
感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです
# 内容
- お年玉やご祝儀の認証と
- paypayの情報漏えい
- 依存しているSaaSに問題があった場合の対処
- openSSHの脆弱性
- Mac上のアプリとapple上ocspサーバー の話
# 他
- スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm)
- BGM: "A Fool in Love" by Imprismed
- ジングル: @hajipion