2014年10月23日のtwitterセキュリティクラスタ

午前中の参議院内閣委員会のサイバーセキュリティ基本法案の審議は無事終了。法案は、可決された。この後、衆院に送付されるが、衆院では一度可決されているので、成立は間違いない。 pic.twitter.com/gqMakkeRFI

蓮舫@renho_sha

政府機関等に対するサイバー攻撃は平成24年に500万件で、6秒に1回との計算。ネットバンキング被害は今年上半期ですでに昨年の被害件数を上回る。2001年IT基本法制定時に措定していなかった事態に対応する議員立法のサイバーセキュリティ基本法案が午前中の参議院内閣委員会で可決。

nilnil@nilnil26

今日の参議院内閣委員会にてサイバーセキュリティ基本法案が賛成多数で原案通り可決。附帯決議付きだが、衆院のより分量少ない。

Kuts.原発ZEROは覚悟やねん@Kuts4ever

・サイバーセキュリティ基本法案
shugiin.go.jp/internet/itdb_…
第一条「…セキュリティの確保を図ることが喫緊の課題となっている状況に鑑み…」：今はそうかもしれないけど、いつまでも「喫緊の課題」じゃちょっと恥ずかしくないか？というプチ疑問。１０年後も耐えられる表現か？

Kuts.原発ZEROは覚悟やねん@Kuts4ever

・サイバーセキュリティ基本法案
第三条６「サイバーセキュリティに関する施策の推進に当たっては、国民の権利を不当に侵害しないように留意しなければならない。」（国の責務）
//この場合の「国民の権利」って何を指すの？また「留意」って具体的に何をしてくれるの？

Kuts.原発ZEROは覚悟やねん@Kuts4ever

・サイバーセキュリティ基本法案
第二十二条　国は、国民が広くサイバーセキュリティに関する関心と理解を深めるよう、サイバーセキュリティに関する教育及び学習の振興、啓発及び知識の普及その他の必要な施策を講ずるものとする。
//「啓発」云々以降は広告予算確保の為の文言ちゃうか？削除可。

楠正憲@masanork

“【重要】SSL3.0の脆弱性に対する対応について – お知らせ – Yahoo!ウォレット” htn.to/RxtK4t

だぁち@daachi

@masanork 説明で使われているブラウザのバージョンが低すぎませんか？
説明文と画像があってないですね。

楠正憲@masanork

@daachi IE7からはデフォルトでTLSが有効になっているので、IE6のダイアログで説明しています

だぁち@daachi

@masanork 個人的な感想ですが、EOLを迎えているOSで事例を出すのは良くないと考えています。
※windows server 2003もIE6ですが、ヤフーウォレットの利用シーンを考えると、windowsXPの利用を想定されてのことですよね

楠正憲@masanork

@daachi そこのところは悩みどころですが、今回の場合Windows Vista以降をお使いのお客様は問題なく使えるため、EOLを迎えたXP等を使い続けている方に対するご案内となるので、あえて古いバージョンのダイアログを出しています

だぁち@daachi

@masanork はい。悩みどころであると思います。ただ、EOLのOSで説明することで事業者側が暗に利用を肯定しているように読み取られてしまう可能性が残ることが懸念になると思います

はるぷ@harupuxa

プードルを描いてみましたー。：SSL v3.0の脆弱性「POODLE」ってかわいい名前だけど何？？ – Padding Oracle On Downgraded Legacy Encryptionの仕組み – developers.mobage.jp/blog/poodle

やまざきkei5@ymzkei5

かめっしー「定期変更プッシャー」

やまざきkei5@ymzkei5

かめっしー「セキュリティクラスタまとめに載りたかっためっしー」

やまざきkei5@ymzkei5

かめっしー「女子を怖がらせてステータス変更させる力があるめっしー」

abend@number3to4

かめっしー、ゲスなことしか言わない。

やまざきkei5@ymzkei5

かめっしー、ZAPもできるよ♡

やまざきkei5@ymzkei5

かめっしー「ボクの趣味はインフォメーションギャザリング（≒ストーキング）です！」

tigerszk@tigerszk

かめっしーは日本のCTF非公式マスコットです。#かめっしー

Sen UENO@sen_u

かめっしー、AVTOKYO のキャラクターの座を狙ってるとかホントかよ。

シルフィ@sylphy_c

ここ最近セキュリティ界隈で見かけるかめっしー、私気になります！ # かめっしー

abend@number3to4

かめっしーの特徴
・ネットワークギャザリング
・girlsイベントのウォッチング

no root, nobody@togakushi

かめっしーって自分で自分のの名前間違うらしいよ

tigerszk@tigerszk

かめっしー一体誰なんだ！#かめっしー

やまざきkei5@ymzkei5

かめっしー「自分の名前の漢字が書けないめっしー」

やまざきkei5@ymzkei5

かめっしー「公式Twitterアカウントを作りたいけど、かめっしーのスペルが自分でも分からないめっしー」

やまざきkei5@ymzkei5

かめっしー「女子と一緒にいる感を演出するため、マカロン買えば良かっためっしー」

やまざきkei5@ymzkei5

かめっしー「緑色かめっしーＺ。キャラがかぶるから叩きのめしに行くめっしー」

Sen UENO@sen_u

かめっしー、ScanNetSecurityに寄稿するらしい。非公認で？

やぎはしゅ@yagihashoo

kamessyを取得しておけばいいのかな

かめっしー@kame4i

かめっしーは、Hardening Evolutionを(勝手に)応援しています

Yosuke HASEGAWA@hasegawayosuke

「あのころは、PNGファイルを画像扱いしないブラウザがあって、画像をアップロードできるサイトのほとんどでXSSができたんじゃよ」 #XSSオジサン

Yosuke HASEGAWA@hasegawayosuke

「CSPがまだ世の中になかったころには、XSSっていう脆弱性が世界中にいっぱいあってな…」 #XSSオジサン

シェルまおう(電子書籍セール沼出身)@satoh_fumiyasu

#!/bin/sh
echo ‘Content-Type: text/plain’
echo
env
するだけの CGI でも IE が Content-Type 無視して内容によっては HTML と解釈する問題があると聞いたことあるけど、現代のIEや他ブラウザーでも健在?

Yosuke HASEGAWA@hasegawayosuke

@satoh_fumiyasu 今のIEならたぶん大丈夫ですね。

Yosuke HASEGAWA@hasegawayosuke

@satoh_fumiyasu @satoh_fumiyasu XSSはしないけど、envの結果をJSとして罠サイト上で<script src>経由で読み込んで、環境変数の値を攻撃者が知ることはできます。

DJ DEADBEEF@inaz2

MetasploitのexploitコードからIDSシグネチャを生成。へー / MetaSymploit: Day-One Defense Against Script-based… (USENIX Security 2013) usenix.org/sites/default/…

Kiyoshi Kurihara@kurikiyo

書きました＞匿名化機能付きルーターの顛末について(栗原潔) – 個人 – Yahoo!ニュース bit.ly/1nyumbT

Yosuke HASEGAWA@hasegawayosuke

Chrome のバグをレポートして報奨金を獲得しましょう – Google Developer Japan Blog googledevjp.blogspot.jp/2014/10/chrome…

Slashdot Japan 公式@slashdotjp

security.slashdot.jp/story/14/10/22… #security とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた？

JPCERTコーディネーションセンター@jpcert

JPCERT/CCとIPAは2014年第3四半期（7月～9月）の脆弱性関連情報の届出状況を「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」にまとめ、公開しました。^YK jpcert.or.jp/report/press.h…

セキュリティのささやき@ScanNetSecurity

Internet Week 2014 セキュリティセッション紹介第1回「本当に身につくセキュリティの学び方」について中津留勇氏が語る dlvr.it/7HbmSv

ITmedia Top@topitmedia

［itmedia.co.jp］Windows 10はセキュリティキー不要の2段階認証機能搭載に bit.ly/1ynSoak

ITmedia@itmedia

［エンタープライズ］Flashの脆弱性を突く攻撃コードが早くも出現、パッチ公開から1週間で bit.ly/1td1E23

ITmedia@itmedia

［News］Twitter、モバイルアプリ向け新SDK「Fabric」発表　パスワード不要の次世代認証「Digit」リリース bit.ly/1wlgB0J

ASCII.jp編集部@asciijpeditors

パスワードは50年前の技術――5年後は声＆網膜の生体認証へ ascii.jp/elem/000/000/9… #asciijp

So-netセキュリティ通信bot@sonetsecbot

UPnP対応機器がDDoS攻撃の踏み台に～警察庁が注意呼びかけ dlvr.it/7HjxX1

cas_nisc@cas_nisc

今日の一言「添付ファイルを開く前にしっかり確認しましょう」
nisc.go.jp/security-site/ pic.twitter.com/CmQHXewHXh

砂鉄@atomfe

ウェブ系の開発をしてると「古いバージョンのIE使うんじゃねえ！」となりますが、PCサポート業務をやると「ウィルスに感染してるみたいなんだけど、特に問題なく動いてたから1年ぐらいそのまま使ってる。」というレベルがゴロゴロいるのでIEのバージョンぐらいいいや、という気分になります。

2014年10月23日のtwitterセキュリティクラスタ

サイバーセキュリティ基本法案が成立しそうです。

どこの会社もSSLv3対応大変そうです。

かめっしーってなに？

その他に気になったことはこのあたり。