Secure Liaison

(収録日: 2024/06/06) # 感想はSNSでハッシュタグ「#secure旅団  #secureLiaison」や⁠Google Form⁠にいただけると嬉しいです。 # 内容 @EurekaBerryさん登場 ひとくちPKI 2020年近くのSBOMの概要 - 国家安全保障 サプライチェーンとは何を指すのか 2010年近くのSBOMの概要 - Component管理、透明性管理 本邦におけるSBOMは？ 各機関におけるSBOM Metiの「ソフトウェア管理に向けたSBOMの導入に関する手引」 厚生労働省 （米）FDA attestation可能な方法での配布パイプライン 2020年におけるニーズの高まりからよりその課題は高まった SLSA, CICD OSSとSBOM PowershellのSBOM まとめ # 参照 https://whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/ https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/ https://csrc.nist.gov/glossary/term/sbom https://www.meti.go.jp/press/2024/04/20240426001/20240426001.html EU's Cyber Resilience Act #積ん読 なし # 参加者: @EurekaBerry、@Wireworkes、@ken5scal

(収録日: 2024/04/14) # 感想はSNSでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 XZ Utilsに脆弱性が埋め込まれた話 OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話 # 参照 ## 経緯 https://research.swtch.com/xz-timeline https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/ ## CVEそのもの SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/ Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/ CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 ## 関連PR https://github.com/libarchive/libarchive/pull/1609 https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504 https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86 #積ん読 なし # 参加者: 中谷さん、ken5scal

(収録日: 2023/11/05) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 CVSSv4と、今までの脆弱性評価の思い出 Oktaのインシデントの話（10/30以降に更新された話）。主に公私分離、体制、サービスアカウント # 参照 https://www.first.org/cvss/v4-0/ https://www.sec.gov/Archives/edgar/data/1739942/000173994223000079/swi-20230623.htm https://sec.okta.com/harfiles #積ん読 なし # 参加者: 松本さん(@ym405nm)、名無しさん、ken5scal #  ジングル: @hajipion

(収録日: 2023/10/30) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 仙台で MINI Hardening した話 Oktaのインシデントの話（10/30までの時点の情報です） # 参照 #積ん読 なし # 参加者: 松本さん(@ym405nm)、ken5scal #  ジングル: @hajipion

(収録日: 2023/10/16) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 雑な談 新しいスマホ ノートアプリ 気になるニュースあったっけ？ -> 全銀のはレポート待ち。ほかはない（とかいいながら、その数日後にNTT西日本とOktaのやつがくる） 雑な談 part2 NTLM廃止の話 -> Microsoftプロトコル・ライフサイクルの温故知新、ライセンス curlの脆弱性の話 脆弱性管理とパッチ管理の話 ルート証明書の更新 ArcとWarpの宣伝 # 参照 SOCKS5 heap buffer overflow - CVE-2023-38545 cookie injection with none file - CVE-2023-38546 How I made a heap overflow in curl https://www.meta.com/jp/quest/quest-3/ https://twitter.com/zakosirasu/status/1711536931509776637 https://twitter.com/ROYCE62294821/status/1712104171795886326 https://twitter.com/enigma63/status/1713530528698368435 Pixelのアップデート Google Pixel にソフトウェア アップデートが提供されるタイミング https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848 https://devicepartner.microsoft.com/en-us/communications/comm-windows-ends-installation-path-for-free-windows-7-8-upgrade #積ん読 なし # 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers #  ジングル: @hajipion

(収録日: 2023/10/02) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 言い訳 passkeyのニーズの話 Colab 最近気になったインシデントとオフボーディング  # 参照 前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog 前職の名刺情報を転職先に不正提供した事案についてまとめてみた - piyolog #積ん読 なし # 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers #  ジングル: @hajipion

(収録日: 2023/09/05) 今回は @bbr_bbq さんをゲストにお呼びしています # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 自己紹介 出会い AISEC Adversarial Example/Evasion Techniqueについて AIに対する攻撃手法と論文の傾向について 実際の攻撃について どうLLMを使っているか 学生向けのAIセキュリティ講座の内容 # 参加者:@bbr_bbq 、ken5scal #  ジングル: @hajipion

(収録日: 2023/05/) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 野球の話 GWの話 衛星データの話 Colab RSA - CrowdStrike, PassKey ライドシェア状況 徳丸先生のQiita # 参照 フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか https://www.tellusxdp.com/ #積ん読 なし # 参加者: 松本さん(@ym405nm)、ken5scal #  ジングル: @hajipion

(収録日: 2023/04/10) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 海外カンファレンスと海外行きたいって話 新しい社会人の方々の話 ちょっとだけ情報収集の話 llmを使った手法やビジネス。ちょっとMicrosoft Sentinelの話 web proxyの話 # 参照 https://gihyo.jp/article/2023/01/mitene-04oncall-engineer https://www.publickey1.jp/blog/23/chatgptmicrosoft_365_copilotexcel.html #積ん読 なし # 参加者: 松本さん(@ym405nm)、ken5scal、名無しさん #  ジングル: @hajipion

(収録日: 2023/02/07) # 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 リトアニア旅行記 若干のWinny（映画）の話 お便り紹介 # 参照 https://gihyo.jp/article/2023/01/mitene-04oncall-engineer #積ん読 なし # 参加者: 松本さん(@ym405nm)、ken5scal #  ジングル: @hajipion

(収録日: 2023/02/07) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 NISC情報セキュリティ月間タイアップ Twitterの思ゐ出 障害・オンコール お便り紹介 https://twitter.com/todkm/status/1620686930546692097 https://twitter.com/TTamadwu/status/1620460595744223232 # 参照 https://gihyo.jp/article/2023/01/mitene-04oncall-engineer #積ん読 なし # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/01/23) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 CircleCIのレポート 攻撃者は勤勉 昨今の脆弱性診断の発注と予算 積読紹介 勉強会 - ChatGptイベント: https://connpass.com/event/273062/ # 参照 https://connpass.com/event/273062/ #積ん読 偽情報戦争　あなたの頭の中で起こる戦い: https://amzn.asia/d/iFXvgl0 # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/01/04) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 Lastpass PyTorchとSupply Chain EmbeddedなSupply ChainとPipelinelessなSupply Chain 今週の積ん読 # 参照 https://www.arnica.io/blog/what-is-pipelineless-security https://pytorch.org/blog/compromised-nightly-dependency/ #積ん読 なし # 参加者: 針金細工さん（元名無しさん）、 ken5scal # ジングル: @hajipion

(収録日: 2022/10/18) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 雑談 Fortinetの脆弱性 ネットワークの管理IFはなぜ気をつけたいのか（どういう場合に）z パッチマネジメント 脆弱性とCloud misconfigurationとマルチクラウド ノーコードの利用者の幅がひろがりつつ、そのリスクをケアできているか 今週の積ん読 # 参照 https://www.jpcert.or.jp/at/2022/at220025.html https://jpn.nec.com/cybersecurity/blog/220826/index.html #積ん読 詳解Go言語Webアプリケーション開発: https://www.amazon.co.jp/dp/B0B62K55SL APIを作りながら進むGo中級者への道: https://techbookfest.org/product/jXDAEU1dR53kbZkgtDm9zx 事業をエンジニアリングする技術者たち ― フルサイクル開発者がつくるCARTAの現場: https://www.amazon.co.jp/dp/4908686157 # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/09/05) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 今週はMINI Hardening運営の松本さんをゲストに、大会の意義や内容について教えていただきました。 # 参照 https://bsidessg.org/schedule/workshop3-mini-hardening-kenro-project/ #積ん読 # 参加者: 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/07/25) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 ストレスのシグナル 新作ゲーム（ライブアライブ, Stray） トップガン・マーヴェリック（２回目） Grafana OAuthの脆弱性（CVE-2022-31107） ダッシュボードの話 Cloud Security Podcast by Googleのおすすめ RSAカンファレンスのMicrosoftの話 NISTとAutomation # 参照 Software Supply Chain and DevOps Security Practices | NCCoE Cloud Security Podcast by Google - EP75 How We Scale Detection and Response at Google: Automation, Metrics, Toil Grafana account takeover via OAuth vulnerability · Advisory · grafana/grafana All Hands-on Deck: A Whole-of-Society Approach for Cybersecurity – Microsoft Security Response Center #積ん読 # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/07/30) 今回は @seko_law さん（hp: https://seko-law.info）をゲストにお呼びしています # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 sekoさん登場 法務としての立ち振舞方 今回の背景 まずは個人情報保護委員会のガイドラインやQ&Aを読もう チェックシートを個人情報保護の観点から（フォーマット なぜチェックシートは自動化できないか 提供元基準としての個人情報 チェック内容の繊維 個人情報とリスクベース ガイドラインレベルでも違うが、結局、業界も含め利用ユースケース次第 日常的な（よく日常手きく）個人情報のと法律的な個人情報は違う GDPRがベース 法律メンと技術メンのか変わり方 文脈共有 60分でわから個人情報保護 グラデーションによって個人情報の取り組みの濃淡をつけたい # 参照 法務が知っておきたいデータセキュリティの基本（動画） 法務が知っておきたいデータセキュリティの基本（資料） ＯＥＣＤ理事会勧告８原則 個人情報保護の法令・ガイドライン等 個人情報の保護に関する法律についてのガイドライン に関するＱ＆Ａ コロラド州のプライバシー法 #積ん読 60分でわかる! 改正個人情報保護法 超入門 # 参加者: seko_lawさん、針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/07/13) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 政府系ドキュメントに思うこと。CNCFみたいなコンポーネントとかにするとか サンドラッグ　リスト型攻撃 https://smbiz.asahi.com/article/14668844 IPAの産業サイバーセキュリティセンターの中核人材育成プログラムについて 松本さんが社会人の要件について語る メタップスペイメントの話 脅威の考え方について # 参照 #積ん読 オンラインゲームセキュリティ # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/06/13) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 トップガンの話 スプリガンの話 ドローン規制の話 ゲームの話 # 参照 #積ん読 # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/03/28) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 東京ドームの入場チケット LAPSUS$とOkta/Microsoft 拾うボールの話 # 参照 DEV-0537 criminal actor targeting organizations for data exfiltration and destruction Microsoft Investigating Potential LAPSUS$ Hack After Sensitive Screenshot Leak Cloudflare's investigation of the January 2022 Okta compromise #積ん読 # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # ジングル: @hajipion

(収録日: 2022/02/27) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 Androidのアップデート状況の話: 国内主要Androidスマートフォンブランドのアップデート実施状況を比べてみた Officeのmacroデフォ無効化: Microsoft、OfficeのVBAマクロをデフォルトブロックへ　悪用対策で 家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始｜株式会社ゼロゼロワンのプレスリリース 名古屋大学への不正アクセスによる個人情報流出について - お知らせ - 病院からのお知らせ | 名古屋大学医学部附属病院 #積ん読 Software Design 2022年３月号 # 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2022/02/20) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 アニメやフィクションの頼み仕方 ゲームの話から筋トレの話 メンタルの整え方 ラーメンの話 他 #積ん読 特に無し # 参加者: 針金細工さん（元名無しさん）、ykyanさん, 松本さん(@ym405nm)、ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2022/02/05) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 Mini Hardeningの運営の話 Firefoxの障害の振り返り　(Retrospective and Technical Details on the recent Firefox Outage) Coinhive訴訟の話　（一般社団法人日本ハッカー協会の寄付先はこちら） 地球外少年少女 #積ん読 特に無い # 参加者: 針金細工さん（元名無しさん）、ykyanさん, 松本さん(@ym405nm)、ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2022/01/16) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 firefoxOS搭載のTVを販売していたのはSHARPさんではなくPanasonicさんでした訂正します 他にも間違ったことに気づかれた方はご指摘いただけると幸いです。 # 内容 脆弱性情報の集め方 情報流出とHDDと Firefoxの障害の話 colors、faker.jsなどのnpmパッケージに悪意あるコードが作者により含まれていたはなし #積ん読 図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書 # 参加者: 名無し、ykyanさん, 松本さん(@ym405nm) # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2022/01/07) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 2022年あけましておめでとうございます、年始なのでエモい話多めです # 内容 経営統合とカルチャーの作り方 ポリシーメイキングと実態のトラッキングの話 リスク管理と経営に寄り添うとは～mins your own business～ 他業種との付き合い方 CESとCPU開発者の小話 # 参加者: 名無し、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/12/19) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 なお、今回のDevice Trust周りは製品によって差があるかもしれませんし、そもそも不正確なことを言っているかもしれません。 気づかれた方はご指摘いただけると幸いです。 # 内容 log4jの話（続 WAFとシグネチャと運用について 【マジで】サイバー演習シナリオの作り方【怖い】 Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego # 参加者: ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/12/12) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 log4jの話（収録日からやや経過してるため、現時点で古い話もある可能性があります） Defender`s mindset 人はなぜミスしてしまうのか 聴いてないけど聴いたふりする技術 読んでいない本について堂々と語る方法 # 参加者: 名無しさん、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/11/27) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 年末に向けて経済活動回してるよって話 BIMIの話 Emotet復活の話を少々とメールというプロトコルのユースケース PyPyのパッケージ汚染(11/18) セッションごととかにセキュリティ強弱をつける話（CAEP / Shared Signals and Events WG) OSSFのAllstartとかScore Cards runtimeのauditの話: Secure Namespaced Kernel Audit for Containers Redashの脆弱性の話とGithub Security Advisory 身代金払わず2億円で新システム　徳島サイバー被害病院 ブラックフライデーの話とPS5欲しいって話 # 参加者: 名無しさん、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/11/05) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 バッタ（蝗害）対策が前進した話 TOKYOワクションアプリのドメインのお話 npm(coa)に対する悪意ある改ざん おすすめ新卒研修とセキュリティコンテンツ セキュリティエンジニアがする採用の話 今日の積読: バッタを倒しにアフリカへ, セキュリティエンジニアのための機械学習 # 参加者: 名無しさん、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/10/31) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 採用と業務委託と権限 セキュリティのアレ ～ 知識と技術とあと2つ ～ – CODE BLUE 2021 #codeblue_jp Amazonが従業員向けのセキュリティオンライントレーニングを無償で一般公開 Minimum Viable Security Product ( Googleのブログ ） 集合知の話 メモツール VR, AR, MRと電脳コイル Netflixセキュリティの定量化 領域外を勉強する方法について( 苦手を捨てる決断により広がった世界 - 限られたリソースしか持たないエンジニアの戦い方 ) # 参加者: 名無しさん、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/10/23) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 AVTokyo セキュリティエンジニアのための機械学習 機械学習と専門外のことをキャッチアップする技術 やっぱりフィッシングサイトを見抜くのは難しい話(Jamf Wandera) https://phishing-quiz.wandera.com/#!/ Windows Subsystem for Android macOS Montereyの話 キーボードの小ネタ # 参加者: 名無しさん、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/10/08) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # お礼 当Podcastをブログ等で取り上げていただいた、次の方々に御礼申し上げます。 インハウスハブ東京法律事務所 世古 修平弁護士 Microsoft Yurika先生 # 内容 セブンの回者（非公式）として、舞茸展おむすびと塩むすびのオススメ 唐揚げ棒廃止のお知らせ iPhone, Android, Windows OSのアプデの話 量子暗号そろそろ気になるよね、という話 Yubikey Bio Apacheの脆弱性（CVE-2021-41773） セキュリティ10大脅威 2021 Golang 1.18とNative Fuzzingの話 (すみません、1.18はBeta Fuzzingでした） OSS的なPull Requestとアタックベクター # 参加者: 名無しさん、ykyanさん, @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/09/11) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 カレーパーンとﾏﾙﾄｯﾂｵの話 セキュリティ10大脅威 2021 トレーニングコンテンツ（例: Googleフィッシングクイズ） インフルエンサーや芸能人がフィッシングについてSNSで話すのいいよね OWASP Top10 2021 Peer Review プロダクトの脆弱性と対応方針 テスト文字列に”うんこ”と入れるな RFCかるた 今日の積ん読: オープンソースの教科書 # 参加者: 名無しさん、ykyanさん, 松本さん # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/08/28) 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 UC IrvineのNetworked Systems Programで博士課程にある中塚義道をゲストにお招きし、 Usenix Security 2021に採択された「CACTI: Captcha Avoidance via Client-side TEE Integration」についてお話いただきました。 具体的には現在のCaptchaの課題、それを解決するCACTIの各種コンポーネント、肝であるProvisioning Authorityなどについてご教示いただきました。 参考資料はこちら もとの論文: 「CACTI: Captcha Avoidance via Client-side TEE Integration」 Captchaの経済的合理性について説明する論文: 「Understanding CAPTCHA-Solving Services in an Economic Context」 CloudflareがGoogleのRe:Captchaをやめた話: 「Moving from reCAPTCHA to hCaptcha」 中塚さんのブログ # 参加者: 中塚義道 (@nyoshi93) , @ken5scal # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/08/27) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 カレーパンの話 OpenSSLの脆弱性の話 ホワイトハウスとテックジャイアントがセキュリティサミットした話 AWSのMFAの話 Azure ADのライセンスの話 スピーカーが自社でどうセキュリティ施策を進めてるか話あう話 # 参加者: 名無しさん、ykyanさん # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/08/20) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 Microsoft周りの脆弱性の話 + IEサポート終了の話 クラウドのセキュリティ管理の話 Google よりTwitterで検索しがちな話 Mizuho銀行の障害話 セキュリティ事故が起こるといくらお金がかかるのか（JNSA） # 参加者: 名無しさん、ykyanさん # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/08/13) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 オリンピックの話（雑談） 村田製作所の再委託先から情報漏えいがあった話 富士通のProjectWEBの話 Omiaiの不正アクセスの話 セキュキャン講師の話 今日の読書: ライトついてますか: 問題発見の人間学 # 参加者: ken5(@ken5scal) 、名無しさん、松本さん(@ym405nm), ykyanさん # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/07/31) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 コロナと山 データのバックアップの話 読んでいない本について堂々と語る方法 Github CopilotとOSSと機微情報の話 Github copilotとOSSの話（特にGPLライセンス） Github CEOのリプ 【続報】PHP不正コード混入はサーバ乗っ取りではなくアカウント流出原因か 日常的に悪用される脆弱性のリスト 危ない脆弱性種別top25 CWEベース 業務としてのペンテストをやるときに必要なもの # 主宰: ken5(@ken5scal) ゲスト: 名無しさん # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/06/16) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 主宰の同人誌宣伝: https://techbookfest.org/product/5356285534928896?productVariantID=6241307947171840 CNCFの話 どういう仕事していきたいのか Aquaセキュリティにおける募集: https://twitter.com/knqyf263/status/1414850569924141056?s=20 DropBoxのエンジニア向けキャリアフレームワーク スキルからチームへ ドラマやアニメの話: 攻殻機動隊Arise, Invincible, スプリガン, 閃光のハサウェイ JavaScript/CSSライブラリをホストするCDN「cdnjs」のパストラバーサルとリモートコード実行の脆弱性の話（詳細(日本語), 詳細(英語)） goのarchive/zipでファイルパスのサニタイズしてないじゃんIssue OSSの脆弱性情報の標準スキーマの提案 by Google # 主宰: ken5(@ken5scal) ゲスト: 名無しさん # BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/06/23) 今回は @hasegawayosuke さんをゲストにお招きし、個人的なIEと脆弱性のエピソードについて教えてもらっています。 なお、ここでいうIEの脆弱性は「Webアプリケーションに影響を与える部分」の範囲で、バッファオーバーフローやプラグイン周りの脆弱性はふくまれていません。 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 内容 Internet Explorer は Microsoft Edge へ – Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了　 ウェブブラウザの年表 とか眺めてあらためてすげー大作だなと感心していたところ IE11 サポート終了の歴史 サポート終了するために数年に渡ってフラグを立てていたんだなーと 若い世代が知らない2000年代のHTMLコーディングの地獄 よくIE対応が辛いとは聞いていたけど何が具体的に辛いのか良くわかってなかったので勉強になる 「ぼくたちの愛したIE8 IE8はセキュリティにすごく力を入れていた。 IEが引き起こした脆弱性といえば UTF-7によるXSS を外すわけにはいかない 2010年シアトルレドモンド訪問 IE6の“葬儀”行われる Microsoftから献花も X-XSS-Nightmare: 1; mode=attack ～XSSフィルターを利用したXSS攻撃～ Masato Kinugawa 5文字で書くJavaScript/ Shibuya.XSS techtalk #10 安心相談窓口だより：IPA 独立行政法人 情報処理推進機構 で2022年6月「Internet Explorer」サポートが終了へ ～ サポートが継続する他のブラウザへの切り替えを ～ のアナウンス Browser Market Share Japan 直近12ヶ月の日本でのIEのシェアは2.64% IE6 bot https://twitter.com/ie6bot 他 主宰: ken5(@ken5scal) ゲスト: 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/06/16) # 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 # 内容 みずほFGのシステム障害特別調査委員会の調査報告書（要旨）の話 システム子会社の開発系と運用系の話 開発フェーズと運用フェーズの話（10営業日は言い過ぎかも。でも、開発 -> 親会社にエスカレ -> オヤ会社から運用会社に連携 -> 開発・運用でのやり取りの予想） CISA senior security executiveの年収あてクイズ Appleはじめとした新しいプライバシー機構の話 Jamfの話 Google workspcaeの新しい機能の話 ファイル共有の話 新作ゲームの話 # 主宰: ken5(@ken5scal) ゲスト: 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/06/02) 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。 内容 日本ダービー３連複で買った競馬の話とJRAのドメインの運用方法 富士通製ツールへの不正アクセスで複数省庁や企業の情報が流出 Azure ADの新機能「Conditional Access authentication context now in public preview - Microsoft Tech Community」の話 パスワード認証と認証サービスを使った開発コストの話 パスワードレス化を進めまくってるYahooへのアカウント登録の話 AWS Nitro Enclaveの話（お詫び: Nitro Enclaveに対してAWS運用者がアクセスできる可能性がある、という部分については、確実にそうだといえる資料を確認できませんでした。） 今日の積ん読: Incident Metics in SRE 他 主宰: ken5(@ken5scal) ゲスト: 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/05/24) 感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。 内容 散歩の話 Podcastの話(Paul's Security Weekly, CyberWire Daily, ISC Stormcast等々） Omiaiアプリと個人情報漏洩の話 mercariのCodecovの話(github tokenの話、git commitの削除に関する話、影響の範囲の話） GitHubのプランの話 今日の積ん読紹介: なし 他 主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

(収録日: 2021/05/17) 感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。 内容 雑談（映画、PS5、バイオハザード、イベント、英語教育） 防衛省製のワクチン予約サイトなどの著名なサイトのフィッシング対策をどうすべきか（`脆弱性` などの話はしていません） Colonial Pipelineの話（DarkSideの話や反社への支払いに関する制裁対象の話）（収録当日にはまだ身代金支払いに関する公式なニュースはありませんでした） キャンプと教育の話 今日の積ん読紹介: 誰のために法は生まれた 他 主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

今回は結構話が飛び飛びです。 感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。 内容 Science FictionとSales Force DCとパンチカードの話 Enabling Hardware-enforced Stack Protection (cetcompat) in Chrome All Your Macs Are Belong To Us ECキューブの脆弱性の話 本の紹介（詳細セキュリティコンテスト、定理証明手習い） 他 主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

今回から前半パートはニュース解説、後半パートはテーマに沿った話の構成にしてみました。 内容 clubhouseの思い出 研究とミネソタ大学とLinux kernel (https://cse.umn.edu/cs/statement-cse-linux-kernel-research-april-21-2021) homebrew とcask (https://blog.ryotak.me/post/homebrew-security-incident/) メーリスで流れる情報について サイバーセキュリティ体制構築の話、経済産業省 サイバーセキュリティ経営ガイドライン(https://www.meti.go.jp/policy/netsecurity/mng_guide.html) 他 主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

Capcomの身代金支払いに関する発表から、反社の話へ、そこから普段なんの気なしに使っている制度およびサービスの信頼の話からCodecovへ、最後にやや反社の話に戻ります 内容 エナジードリンクの話 Capcom「不正アクセスに関する調査結果のご報告【第4報】」(https://www.capcom.co.jp/ir/news/html/210413.html) リブセンス「反社とは誰を指すのか。静かなる暴力「反社チェック」を問いただす」 (https://q.livesense.co.jp/2021/04/05/517.html) Codecov「Bash Uploader Security Update」 (https://about.codecov.io/security-update/) プラットフォーマーの義務とは 責任のありかの社会合意はどう形成されていくのか 推しが推せなくなったとき 他 主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

今回も @ozuma5119 さんをゲストにお招きし、クレジットカードについて教えてもらっています。 感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。 内容 クレジットカード不正利用被害 https://www.j-credit.or.jp/download/news20210331b1.pdf クレカの物理的なしくみ クレカ利用時の3Dセキュアなどのオプション指定 クレカ不正利用手法の繊維 クレカIssuerごとにことなる認証手法や認証挙動 クレカ情報狙いのフィッシングサイト傾向とその目的 クレカの有効性確認 クレカ利用者の心理 なんでPAN(Primary Account Number : カード番号)とセキュリティコード印字してるの？ 他 主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), @ozuma5119 さん, ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

収録自体は2021/01にしたものです。だいぶ遅れてしまい申し訳ありません。 感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。 # 内容 RモバイルとS社の話 福岡県のコロナ感染者情報流出の話 ISPとアビューズ対策の話 ラーメン屋を作るシミュレーションゲームの話 オチをつける方法の話 # 他 スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm), ykyanさん BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

いきなり噛んでます。 今回は @ozuma5119 さんをゲストにお招きし、ドメイン・WHOIS・ICANN・ISP・アビューズ対策についてお話していただきました。 感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです。 # 内容 WHOISの話 オリンピックの聖火ランナー募集サイト乱立しすぎワロタ ISPとアビューズ対策の話 インターネットは奇跡という話 # 他 スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm) BGM: "A Fool in Love" by Imprismed ジングル: @hajipion

感想はtwitterでハッシュタグ「#secure旅団 」やGoogle Formにいただけると嬉しいです # 内容 お年玉やご祝儀の認証と paypayの情報漏えい 依存しているSaaSに問題があった場合の対処 openSSHの脆弱性 Mac上のアプリとapple上ocspサーバー の話 # 他 スピーカー :主宰: ken5(@ken5scal) ゲスト: 名無しさん, 松本さん(@ym405nm) BGM: "A Fool in Love" by Imprismed ジングル: @hajipion