個人情報入りUSBメモリ紛失の件のメモ
こんにちわ、モグ(@moneymog)です。
尼崎市の全市民の個人情報入りのUSBメモリ紛失の件が、目立ったので関連URLを整理してみました。 事案が起きたときは、ビジネスと悪用の両影響は考慮が必要だと感じました。 加えて、会見対応は有事だからこそ日頃の準備が大事ですね・・・。
また、エレコム社のツイートは単にソリューション紹介ともとれますが、 賛否ありそうで、若干ヒヤッとしますね・・・。 あと、紛失起こしても『会社に報告したのはわずか13%』との統計は、 セキュリティ事案の報告の重要さ、報告のし易さを定着する必要があり、 CSIRT等の組織の活動がカギになりますね。
公式
- 住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について
令和4年6月23日 尼崎市
https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html
まとめ
- 全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた https://piyolog.hatenadiary.jp/entry/2022/06/24/005044
経緯
- USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」 https://www.itmedia.co.jp/news/articles/2206/23/news202.html
- 尼崎市 紛失のUSBメモリー見つかる 全市民46万人余の個人情報 | NHK https://www3.nhk.or.jp/news/html/20220624/k10013686601000.html
- 尼崎市のUSBメモリ、スマホのGPS辿り発見 「漏えいしていない保証はない」とBIPROGY https://www.itmedia.co.jp/news/articles/2206/24/news200.html
- 尼崎市、全市民の個人情報入りUSBを発見 メモリ内のデータの調査へ https://www.itmedia.co.jp/news/articles/2206/24/news148.html
影響
ビジネス
- 尼崎市USBメモリ紛失事件でBIPROGYが謝罪 株価は一時100円近く下落 https://www.itmedia.co.jp/news/articles/2206/23/news240.html
悪用
- 尼崎USBメモリ紛失事件の便乗詐欺に注意 市「金銭・個人情報を要求することはない」 https://www.itmedia.co.jp/news/articles/2206/24/news136.html
- 「尼崎のUSB」偽物と断定、メルカリ一時出品 https://www.itmedia.co.jp/news/articles/2206/24/news078.html
その他
- 分解されてもデータが漏れない“情報漏えい対策USBメモリ”もある 尼崎事件受けエレコムがツイート https://www.itmedia.co.jp/news/articles/2206/24/news129.html
- 2人に1人がテレワーク中の置き忘れ・紛失を経験‐会社に報告したのはわずか13% https://news.mynavi.jp/article/20220624-2377439/
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
『AWS Certified Cloud Practitioner (CLF-C01)』取得までの道のり
こんにちわ、モグ(@moneymog)です。
前回取得した『AZ-900: Microsoft Azure Fundamentals』に続き、『AWS Certified Cloud Practitioner (CLF-C01)』も取得できましたので、 クラウドを学習し始めたいという方に向けて、取得までの学習方法やコロナ禍における自宅受験等を紹介します。 なお、勉強時間は40時間前後、教材は『Udemy』の1講座のみでした。
役立ちそうな人
『AWS Certified Cloud Practitioner (CLF-C01)』とは
- Amazon社のクラウドサービスである『AWS(Amazon Web Services)』に関する基礎知識等を問われる試験
- 受験料は11,000円(2020年9月現在)
- 制限時間90分、65問、700点/1000点で合格
- (公式)AWS 認定 クラウドプラクティショナー
取得までの流れ
Udemy講座を受講
『これだけでOK! AWS認定クラウドプラクティショナー試験突破講座(豊富な試験問題290問付き) | Udemy』を受講しました。AWSサービスは、新しいサービスや仕様の変更など変化がありますが、それにも追従してくれる講座になっています。また、練習問題が290問ついているので、記憶の定着も併せて実施可能な講座になっています。Udemyセールを狙うと1,500円前後で購入可能なので、それを狙っての購入がおすすめです。 なお、勉強量としては動画を2週して、問題集を10周くらいしました。自宅受験
2020年9月15日にピアソン(Pearson VUE)経由で、自宅受験しました。
受験に必要なものはパソコン、身分証明書(パスポート等)、一人になれる部屋です。
受験中に人が入ってきたりすると試験終了なので、部屋の確保が大事です。
Azureと異なり、試験監督の言語は英語だけだったと思いました。
また、試験監督とのやり取りは、音声で話しかけられましたが、「チャットプリーズ」と言ったら、チャットで指示してくれましたので、軽い読み書きができれば英語で問題ないと感じました
(参考)AWS認定試験を自宅で受験しました | トレノケート公式ブログ
結果
- 840点/1000点で合格
所感
『AZ-900: Microsoft Azure Fundamentals』の次に受験する資格としては、マルチクラウドや難易度という観点から最適でした。加えて、基礎知識をさらに深めたことで、クラウド系の記事やセミナーの理解度がより深まり、いろいろなクラウド系の記事の内容がクリアになりました。
なお、次はセキュリティの観点から『AWS 認定 セキュリティ – 専門知識』または『CCSP(Certified Cloud Security Professional)』の受験を検討中です。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
『AZ-900: Microsoft Azure Fundamentals』取得までの道のり
こんにちわ、モグ(@moneymog)です。
クラウドを学習し始めたいという方に向けて、先日取得した『AZ-900: Microsoft Azure Fundamentals』について、取得までの学習方法やコロナ禍における自宅受験等を紹介します。 なお、勉強時間は約15時間(セミナー受講込み)、教材は参考書(テキスト&問題集)1冊、受験料は無料でした。
役立ちそうな人
『AZ-900: Microsoft Azure Fundamentals』とは
- Microsoft社のクラウドサービスである『Microsoft Azure』に関する基礎知識等を問われる試験
- 受験料は12,500円(2020年8月現在)、ただしセミナー参加で無料受験できる
- 制限時間60分、44問程度、700点/1000点で合格(問題数は人によって違うようです)
- (公式)Exam AZ-900: Microsoft Azure Fundamentals - Learn | Microsoft Docs
取得までの流れ
無料オンラインセミナーを受講
AZ-900 試験対応:クラウド と Microsoft Azure の基礎を受講しました
月に1~2回程度開催されているようなので、『Microsoft Azure Virtual Training Day: Fundamentals』で検索すれば、セミナーを見つけられます
2日間(6時間)受講すると、AZ-900の無料受験が可能になります(超重要)学習
参考書を購入し、テキスト2週、問題集5週しました
(参考書)合格対策 Microsoft認定 AZ-900:Microsoft Azure Fundamentalsテキスト&問題集
こちらの参考書は、初心者向けに書かれており、非常に読みやすかったのでお勧めです自宅受験
2020年8月17日にピアソン(Pearson VUE)経由で、自宅受験しました
受験に必要なものはパソコン、身分証明書(パスポート等)、一人になれる部屋です
受験中に人が入ってきたりすると試験終了なので、部屋の確保が大事です
申し込み時に試験監督の言語を日本語/英語で選びますが、日本語だと選べる日程が非常に少なかったです
また、試験監督とのやり取りは、試験中の問い合わせチャットくらいだったので、軽い読み書きができれば英語で問題ないと感じました
(参考)おうちから受験してみた:オンライン試験 AZ-900 - Microsoft Azure Fundamentals - Qiita
結果
- 920点/1000点で合格
所感
クラウドの学び始めとしては、無料受験、基礎知識の獲得が可能という観点から最適でした。また、難易度も高くないため、低負荷で合格に至ることができました
加えて、基礎知識を獲得したことで、クラウド系の記事やセミナーの理解度が深まり、より多くの知識を得られるようになったのが良かったです
なお、次はマルチクラウドの観点から『AWS 認定クラウドプラクティショナー』を自宅受験予定です
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/8/5th
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週は国内38社のVPNパスワード流出などが気になりました。
なお、各カテゴリ内のおすすめ記事には★マークが文頭に記載しています。
目次
注目キーワード
- 国内38社のVPNパスワード流出
テレワーク、VPN暗証番号流出 国内38社に不正接続
国内企業38社のVPNパスワードがダークウェブ上で出回る
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
(参考)ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた
日立化成や住友林業など日本の38社のVPNパスワードがダークウェブ上に流出した恐れがあるとのことです。おそらく、以前にpiyologで報告された内容のその後の動きですね。
セキュリティ事案
★New Zealand stock exchange (NZX) halted 2 days by DDoS attack
ニュージーランド証券取引所(NZX)がDDoS攻撃により2日間停止350 million decrypted email addresses left exposed on an unsecured server
3億5千万個の復号化されたメールアドレスが無防備なサーバーで公開されたままになっている
サイバー攻撃
脆弱性
セキュリティ対策
★Experts hacked 28,000 unsecured printers to raise awareness of printer security issues
専門家が2万8000台のセキュアでないプリンターをハッキングし、プリンターのセキュリティ問題への意識を高める★Former Cisco employee pleads guilty to hacking, damaging company systems
元シスコ社員がハッキングと会社のシステム破壊で有罪を認める★Elon Musk confirms that Russian hackers tried to recruit Tesla employee to plant a malware
エロン・ムスク、ロシアのハッカーがテスラの従業員を勧誘してマルウェアを仕込もうとしたことを確認ネットで殺害予告されて被害届を提出したら…犯人は逮捕されたがヒドい目に遭った話
(参考)相手に住所を知らせず訴訟ができる? | 薬院法律事務所
セキュリティ市場
ガイドライン・ツール
★【解説】医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン|従来の3省3ガイドラインとの違いは?
Adobe released open- source tool Stringlifier to identify randomly generated strings
キャリア・マネジメント
クラウド
学習
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/8/3nd-4th
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
先週はお休みして、今週は2週分の情報を掲載しています。
直近2週間では、noteのIPアドレス表示、ギブアウェイ詐欺などが気になりました。
なお、今週からカテゴリを見直し、各カテゴリ内のおすすめ記事には★マークが文頭に記載しています。
目次
注目キーワード
noteのIPアドレス表示
【お詫び】IPアドレスが他者からも確認できてしまう不具合について|note株式会社
【再発防止策】IPアドレスが外部から確認できた事態について|note株式会社
noteのIPアドレス漏洩の本当の問題点|竹洞 陽一郎|note
note利用者の直近のログインIPアドレスが、記事詳細ページのソースコードに記載されていたとのこと、IPアドレスを基にVtuberや芸能人の掲示板への書き込みの推測などもされていたようですね
また、IPアドレス(特に動的IPアドレス)だけでは、同一人物の書き込みかどうかを推定できない場合があり、誤った推定になり得るので注意が必要ですギブアウェイ詐欺
被害額は1000万円超 前澤氏の現金配布企画に便乗した「ギブアウェイ詐欺」とは
筆者が把握した限りですが、日本円にして1000万円を超える額になっていたとのことです。結構な被害が出てるんですね
セキュリティ事案
★Technology giant Konica Minolta hit by a ransomware attack
技術大手コニカミノルタがランサムウェア攻撃の被害University of Utah pays a $457,000 ransom to ransomware gang
ユタ大学、ランサムウェアのギャングに45万7000ドルの身代金を支払うOver 6,000 email accounts belonging to Taiwan government agencies hacked by Chinese hacked
台湾政府機関に属する6000件以上のメールアカウントが中国にハッキングされるCity of Lafayette (Colorado) paid $45,000 ransom after ransowmare attack
ラファイエット市(コロラド州)は、ランソワメア攻撃の後、45,000ドルの身代金を支払いUS OCC imposed an $80 Million fine to Capital One for 2019 hack
米OCC、2019年のハッキングでキャピタルワンに8000万ドルの罰金を科す
サイバー攻撃
Threat actors managed to control 23% of Tor Exit nodes
脅威行為者がTor Exitノードの23%を制御New Attack Lets Hackers Decrypt VoLTE Encryption to Spy on Phone Calls
ハッカーがVoLTEの暗号を解読して通話を盗聴できるようにする新しい攻撃How Malicious Tor Relays are Exploiting Users in 2020
悪意のあるTorリレーが2020年にユーザーを利用する方法
脆弱性
★PoC exploit code for two Apache Struts 2 flaws available online
Apache Struts 2の2つの欠陥に対するPoCエクスプロイトコードがオンラインで公開JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
TeamViewer flaw can allow hackers to steal System password
TeamViewerの欠陥により、ハッカーはシステムパスワードを盗むことができる可能性がある
セキュリティ対策
Texas man sentenced to 57 months for the hacking of a major tech firm in New York
テキサスの男、ニューヨークの大手テック企業のハッキングで57ヶ月の刑を言い渡されるThe Australian government wants to respond to attacks on critical infrastructure
オーストラリア政府は重要インフラへの攻撃に対応したいと考えている
セキュリティ市場
★XDR: The Next Level of Prevention, Detection and Response [New Guide]
Extended Detection and Response (XDR)とはEDR、NTA、UEBA等がすべてSOARのようなプラットフォーム上に緊密に統合、パッケージ化されたもの
ガイドライン・ツール
キャリア・マネジメント
クラウド
学習
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/8/2nd
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週は、Twitter大規模乗っ取り(続報)、VPN認証情報の投稿などが気になりました。
目次
注目キーワード
Twitter大規模乗っ取り(続報)
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog
Chainalysis Blog | Chainalysisの対応: Twitter事件の資金追跡・犯人特定のために法執行機関がいかにブロックチェーン分析を行ったか
Twitter大規模ハッキング事件のオンライン公聴会でポルノ動画が爆音で流れる「Zoom爆撃」がさく裂
Discordのチャットログ分析し、過去に流出したハッキングフォーラムデータを利用、取引所に情報照会し、犯人を特定したとのこと。今後の犯人特定のカギは、インテリジェンス情報とブロックチェーン分析ですかね。VPN認証情報の投稿
ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog
2019年4月に修正されたPulse Connect Secureの脆弱性(CVE-2019-11510)が悪用され、収集された模様。1割(90件)が日本国内のIPアドレスとのことなので、利用者は注意が必要ですね。
事案
攻撃
Ghostwriter disinformation campaign aimed at discrediting NATO
NATOの信用失墜を狙ったGhostwriter偽情報キャンペーンReddit massive hack: hackers defaced channels with pro-Trump messages
Redditの大規模ハッキング:ハッカーがチャンネルを改ざんし、親トランプ派のメッセージを掲載
脆弱性
JVNTA#96129397 Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題
Microsoft Bug Bounty Programs Year in Review: $13.7M in Rewards
マイクロソフトのバグバウンティプログラムの1年を振り返る。1,370万ドルの報奨金
サービス・製品
防御・ツール
Belarussian authorities arrested GandCrab ransomware distributor
ベラルーシ当局がランサムウェアの販売者「GandCrab」を逮捕
キャリア・学習
GitHub - Ignitetechnologies/Privilege-Escalation
CTFプレーヤーと初心者向けコマンドリスト集
経営・マネジメント
クラウド
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/8/1st
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週は、脆弱性『BootHole』、EUにおけるサイバー攻撃に対する制裁措置などが気になりました。 なお、今週からカテゴリにクラウドを追加しています。
目次
注目キーワード
脆弱性『BootHole』
Linuxで広く使われるブートローダー「GRUB2」にセキュアブートを回避できる脆弱性「BootHole」が見つかる
バッファオーバーフローの脆弱性の悪用して、セキュアブートを回避して不正なプログラムが実行可能とのこと。Persistence(持続性)の側面で悪用されそうですね。EUにおけるサイバー攻撃に対する制裁措置
EUがサイバー攻撃で初の制裁措置、ロシアのスパイ機関や北朝鮮・中国のハッキンググループが対象
ロシア連邦軍参謀本部情報総局(GRU)、Chosun Expo(APT38フロント企業)、Huaying Haitai(APT10フロント企業)、実行犯とされる個人6名が対象。今後こういった制裁が増えるんですかね。
事案
不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ
パーソルプロセス&テクノロジー社の事案IndieFlix streaming service leaves thousands of confidential agreements, filmmaker SSNs, videos exposed on public server
IndieFlixのストリーミングサービスは、数千の機密契約、映画制作者のSSN、公開サーバーで公開されたビデオを残す
攻撃
脆弱性
サービス・製品
防御・ツール
キャリア・学習
経営・マネジメント
クラウド
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。