ASUSの正規アップデートにマルウェアが混入した件
2019/03/25(月)に、ロシアのセキュリティ企業であるKaspersky Labが、台湾のASUSが配信していた正規のアップデート(ASUS Live Update)にマルウェアが混入していたと発表しました。
Kasperskyの発表はこちら。
このアップデートには、BIOS、UEFIやASUSのソフトウェアに関するものが含まれているようです。
マルウェアは、ASUSの正規の署名がされていたため、長期間気づくことができませんでした。
ポイントは、すべての人が対象ではなく、特定のMACアドレス(機器それぞれの固定値)を確認し、600のMACアドレスに該当する機器にのみ標的を絞って感染する、いわゆる「水飲み場攻撃」となっていたと記載されています。
Kasperskyでは、このMACアドレスをチェックできるWebサイトをオープンしています。ASUSの機器を使用されている方は、チェックされてみてはどうでしょうか。
また、もう一つのポイントは、ASUS以外にも3社が同様の攻撃を受けているとのことです。
詳細は、Kasperskyが主催する、本日から開催されるSecurity Analyst Summitにて、発表されるようです。
KINEZOのパスワード
映画館をご利用される方であれば、KINEZOを使われた方も多いのではないでしょうか。
正直言って、次のブログを読んでかなり衝撃を受けました。
受付の係員が、利用者のパスワードを見れること自体が問題です。
ソーシャルハックとかフィッシングとかそれ以前の状態です。
このブログを書かれているaikawameさんの仰るとおり、数字4桁のパスワードであるため、何かの暗証番号に設定されている方も少なくないのではないでしょうか。
まさか映画館の係員であれば、誰でも見られる状態とは思いませんからね。。。
パスワードを他の暗証番号等と同じにされているのであれば、是非変更いただけたらと思います。
アルティメットサイバーセキュリティクイズ
昨年好評だったアルティメットサイバーセキュリティクイズを今年も開催する予定です。
アルティメットサイバーセキュリティクイズ2019のWebサイトです。
最新情報はこちらから。
セキュリティ業界では、CTF(Capture The Flag)やHardeningと呼ばれる競技、講演がメインのカンファレンスがある中で、初心者でも誰でも参加できるようなモノを、とういことで始めたのが「クイズ大会」です。
知識だけでなく、時には運も味方に付けて戦っていただきます。
1回間違えたら終わりではなく、昨年は3回間違うまで楽しめたり、3回間違った後もテレビのクイズ大会の視聴者のように楽しめるようにしました。
また、クイズ終了後には基調講演まで聞けてしまうという贅沢な内容となっています。
詳細は、昨年の様子を取り上げていただいたITmediaの高橋睦美さんの記事です。
是非、第2回チャンピオンを目指していただけたら!!
チケット発売までもうしばらくお待ちいただけたらと思います。
情報処理安全確保支援士の登録人数とメリット
2019/02/27の記事で、情報処理安全確保支援士について記載しました。
今回は、違った切り口で見ていきたいと思います。
こちらのIPAのPDFでは、2018/10/01現在の都道府県別の登録者数が記載されています。
https://www.ipa.go.jp/files/000069252.pdf
これを見ると、次のような数字となっています。
登録者数:17,360人
東京都の登録者数:5,670人(全体の約32.7%)
4都県(東京都、埼玉県、千葉県、神奈川県)の登録者数:11,782人(全体の約67.9%)
登録者の2/3は、東京周辺といったことがわかります。
4都県以外で多いのは大阪府ですが、それでも980人と、1,000人に満たない数になっています。
IPAでは、情報処理安全確保支援士等のメリットについても公開しています。
中小企業診断士、弁理士、技術士、ITコーディネータの一部試験免除や警察官の採用に有利といった記載になっています。
他にも記載がありますが、詳細をご覧になられたい方はこちらのURLをご覧いただけたらと思います。
「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」の公開
昨日(2019/03/25)、経済産業省と独立行政法人 情報処理推進機構(通称:IPA)から、「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」が公開されました。
プラクティス集のダウンロードは、こちらから。
ダウンロードには、アンケート3問に答える必要があります。
「サイバーセキュリティ経営ガイドライン Ver 2.0」はこちらからダウンロード可能です。
種類 公開日 ページ数
ガイドライン Ver 2.0 2017/11/16公開 32ページ
プラクティス集 2019/03/25公開 70ページ
「サイバーセキュリティ経営ガイドライン Ver 2.0」は、「経営者のリーダーシップの下、 サイバーセキュリティ対策を 推進するためのガイドライン」と記載されています。
このガイドラインの実践方法を記載したのが、プラクティス集のようです。
見やすい構成で作られており、必要に応じて参照できるようになっています。
兵庫県警による13歳女子中学生の補導等について(その5)
兵庫県警による13歳女子中学生の補導等について(その4)の続きです。
こちらの記事では、書類送検された男性が兵庫県警との尋問のやりとりが記載されています。あくまで書類送検された男性側の主張です。
別の観点から、エンジニアと法律家のための勉強会「Study Code」では、本件の参考となる内容で開催されました。
この内容については、Facebook上で、当日の内容が動画配信されており、非常に勉強になります。
3人が登壇されているのですけれども、三者三様で、面白いです。
3人のお話で印象に残ったことを記載します。
伊藤太一さん(弁護士):講演や勉強会をする際には、主観として、悪いことをしているのではなく、世の中のためにしていることをアピールしておくことが大切。
坂井崇俊さん(元公設秘書):新しい技術を理解してもらう方法として、国会議員への働きかけがある。勉強会を開催してみては?
松田光秀さん(エンジニア):誰かが補導されたりしても、評価された技術は誰かが継承して、世界を良くしていく。
登壇されていた伊藤太一さんが、大阪にて勉強会を開催されます。
ご関心のある方はぜひ。
SecBok2019の公開
日本ネットワークセキュリティ協会(JNSA)から、セキュリティ人材育成の参考資料として、公開されています。
その最新版の2019年版が公開されました。
NIST SP800-181(NICE Cybersecurity Workforce Framework)として標準化されたことに伴い、SP800-181の内容を盛り込んだようです。
このSecBokでは、CISO、リサーチャー、脆弱性診断士、情報セキュリティ監査人といった16の役割にそれぞれ応じた必要なスキルを詳細に記載しています。
企業でセキュリティ人材を育成する場合にも活用できると思いますし、現状セキュリティに携われている方は、皆さんの役割の箇所をチェックしていただけたら、何を求められているかが確認できると思います。