2016年3月15日のtwitterセキュリティクラスタ

Ikeda Masakazu@ikepyon

基本だ基本だと言いながら、シンプルじゃない方法を説明して、結局難しく考えさせるのやめてほしい。現場の人はあらゆる場面では基本だけど複雑な方法じゃなくて、特定の条件下でしか有効じゃないけど、簡単な方法を望んでるのだし

Ikeda Masakazu@ikepyon

現場の人間としては実現困難な理想論より、今そこにある問題を手っ取り早く、完璧に問題をなくさなくてもよくて、許容できる範囲で残ってもいいから解決できる方法を望んでるんだと思う

Ikeda Masakazu@ikepyon

セキュリティ対策には、とりあえず今ある問題に対処することと、根本的な対策と二つがあると思うんだ

Ikeda Masakazu@ikepyon

で、現場の人間としては今ある問題に対して「簡単に」、「許容できる範囲のリスク」とする方法が必要なわけで

Ikeda Masakazu@ikepyon

セキュアコーディングにおいても、エスケープやバリデーションといった本来すべきことをしろというのは必要であるが、現場の人間にこれを必ず守らせるのは難しい。そもそも、コーディングの基本というのが分からない促成栽培された開発者もいるし

Ikeda Masakazu@ikepyon

そういった現状において、根本的な対策はほっておいて、大体の場合、有効な脆弱性を作りこまないようにコーディング規約で縛ってしまうのは非常に短期的な効果は高いし、望まれていると思う

Ikeda Masakazu@ikepyon

並行して根本的な方法を教育するというのは必要だけど、セキュリティ対策だからやれというのはちと違うと思うんだよねぇ

Ikeda Masakazu@ikepyon

狭義のセキュリティと関係なくエスケープとか、バリデーションってしないといけないものだし

Ikeda Masakazu@ikepyon

「ならば、今すぐ愚民共すべてに叡智をさずけてみせろ！」(byシャア)と長期的な対策だけを主張する人には言ってあげたいｗ

Ikeda Masakazu@ikepyon

理想論だけではセキュリティ事故を防げないんでみんな困ってるんだよねぇ

Ikeda Masakazu@ikepyon

セキュリティ技術者ほど、組織外の人とのつながりが必要な技術者はいない気がするｗ今悩んでいることを他の人と共有でき、よりよい対策を議論できる場というのは必要だと思う

Ikeda Masakazu@ikepyon

そういった意味でセキュ蕎麦は結構面白い場だと思うんだよねぇ。公開できない議論とか酒飲みながら時間無制限でできるしｗ

Ikeda Masakazu@ikepyon

現場の人間からすれば、ある対策がセキュリティ対策かどうかなんでぶっちゃけどうでもよくて、問題を解決できるかどうかだよねｗセキュリティ対策というとめんどくさいことやらされるような気がするから嫌いｗ

Ikeda Masakazu@ikepyon

「セキュリティ対策のためにこういうコーディングをしましょう」は抵抗感を生むけど「バグを作りこまないようにこういうコーディングをしましょう」はすんなり開発者に受け入れられる気がする

Ikeda Masakazu@ikepyon

「セキュリティ対策だからバリデーションしましょう」は間違いで「バグをなくすために仕様に則ったバリデーションをしましょう」が正しいのだと思う。バグが無くなった結果、脆弱性も消えるのだし

日本経済新聞電子版@nikkei

ハッカー集団「アノニマス」10代多く（真相深層） nikkei.com/article/DGXLZO…

S.Nakata@shonantoka

アノニマスには10代が多く、目立ちたいという欲望からDDoS攻撃に加担していることが多いという日経の記事。だいたい1回800円でできるんですね。にしても日経、主犯格にコンタクトとったのはやるなぁ。 pic.twitter.com/SMuDpaeqwe

かいと（kaito834）@kaito834

OpenSSH Security Advisory: x11fwd.adv openssh.com/txt/x11fwd.adv 認証されたユーザが、ユーザ権限で任意のファイルをread/writeできてしまう。X11Forwardingを有効にしている場合のみ影響を受けるとのこと。

Sugano Yoshihisa(E)@koshian

この手の「バージョンを固定しておけば安全」みたいな信仰ってどこから来てんのかな……。バージョンを固定するのはこういう事例を見れば分かる通りリスクでしかなくて、互換性が保てない時の緊急避難だと思うのだが / “高木浩光＠自宅の日記…” htn.to/gMwnAMLq

SisterMaas_ver2@SisterMaas_ver2

eLTAX(地方税ポータルシステム)＝インターネットバンキング口座を使って納税できる＝古いバージョンのJavaを使ったシステムのままなので、利用するとマルウェアにやられるリスク大。国は対策済みだが地方自治体は放置。原因は憲法第92条→takagi-hiromitsu.jp/diary/20160314…

Hiroki Takakura@hiroki_takakura

え？三重大と三重県警が同じ「インターネット回線」を利用？？？
三重大にサイバー攻撃か　ＨＰに障害、「アノニマス」が声明:社会:中日新聞(CHUNICHI Web) chunichi.co.jp/s/article/2016…

濵田譲治@JojiHamada

例のランサムウェアに感染し、顔が撮られて犯罪者になってしまった。日本のIPを見て日本語訳の文章を表示してる。Safe Modeでも削除できないことも。その場合は端末を初期化するしかない。欧米で流行ってた奴がとうとうアジアに来たか。 pic.twitter.com/d6AefuNAJM

JVN 脆弱性レポート@jvnjp

[2016/03/15 14:40 公表] 国内のウェブサイトに SQL インジェクションの脆弱性 jvn.jp/ta/JVNTA999293…

Yu F@fj_twt

不正アクセス：家電量販店顧客パスワード保管、中国人逮捕 – 毎日新聞 mainichi.jp/articles/20160…

産経ニュースＷＥＳＴ@SankeiNews_WEST

三重大ＨＰが一時閲覧不能、サイバー攻撃か…「アノニマス」の可能性も sankei.com/west/news/1603…

産経ニュース@Sankei_news

「殺してやる」ＬＩＮＥで知人女性脅迫　容疑で姫路の大学生逮捕 sankei.com/west/news/1603…