◎ 完全履歴消去マニュアル 書名に魅かれて読んだ。 セキュリティの参考になるかと思って読み始めた。 アメリカではいろいろな理由で姿をくらましたい人が多いようだ。 アメリカの話なので完全に参考になる訳ではないが、 逃亡したい人、ストーカー対策、個人…

◎ 欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法 数ヶ月前に読んで、そのうちに修正とメモを書いておいたが、 面倒なので、そのまま、書き出し。 この本のことは知っていたが、今まで読んだことがない。 絶版なので、図書館に予約して、可也待たさ…

○ ハッカーズ その侵入の手口 奴らは常識の斜め上を行く ケビン・ミトニックの二作目の著作。 と言っても、2005年の出版で、今更読んだ。 2003年の前作 欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法 が ソーシャルエンジニアリング中心の事例、対…

○ サイバーテロ 漂流少女 どこかのセキュリティ系記事/ブログで この本の話を読んで、図書館から借りて読んだ。 題名、本のカバーを見れば判るように、 高校生が集団で、サイバーテロ事件を引き起こす話。 セキュリティ系に興味のある人には面白い本。 話の…

◎ ソーシャルメディア炎上事件簿 炎上事件が列挙されていると思って借りて読んだが、 マーケティング、経営者向けのネット時代の企業経営に役立つ本だと思った。 目次を見ると判るが、 炎上事件事例を挙げて、これを分類し、 問題点、対応方法などを書いてい…

◎ ソーシャル・エンジニアリング ソーシャルエンジニアリングのテクニック、訓練方法、事例など満載の 400ページに渡る本。 凄い中身の濃い本で、これ一冊習得すれば、 ”あなたも今すぐにハッカーになれる”という感じの ソーシャルエンジニアリングの教科書…

◎ 犯罪者はどこに目をつけているか (新潮新書) 犯罪者へのインタビュー、書籍などから 犯罪研究者が、防犯方法を書き出している。 自分自身、家、近隣、都市と段々対象を広くしていき それぞれの防犯対策を論じている。 犯罪者の視点で述べられているので、…

◎ 暗号 情報セキュリティの技術と歴史 この本も、誰かのブログで推薦されていて図書館で借りて読んだ。 1996年の出版を、今年6月に文庫本化。 内容は最新情報で訂正されているそうだが、 CALSとか一部の話に古さを感じさせる部分もある。 暗号の話ばかりかと…

昨日の同窓会で、一人の先輩とはMixiで連絡したと話すと、 SNSは危なくないのか、問題はないのかと、皆が心配していた。 数ヶ月前に参加した会議でも、 参加者全員（5名）が リアルの友人、同僚しかFacebookではFriendになっていないとのことだった。 実名で…

インターネットの普及のおかげで、 誰でもが多くの情報を、簡単に入手できるようになり 非常に便利な世の中になった。 一方、情報を悪用しようとする人々も多く、 セキュリティ事件も多発し、セキュリティ対策が重要、必須になった。 セキュリティ事件のニュ…

◎ アイスマン やっと読み終わった。 通勤をしていないと、読書速度が落ちる。 2007年に逮捕されたアイスマンというニックネームのハッカーの話。 ホワイトハッカーだったのに, いつしかクレジットカード情報を盗むハッカーになってしまう。 実話。 POSシステ…

10のありがちなセキュリティ上のミスとその対処法 という記事を興味深く読んだ。 企業が対象となっていて、 10個のミスとは、 1．弱いパスワードを使っている 2．パスワードを変更しない 3．アンチウイルス・アンチマルウェアソフトをインストールしていない…

◎ 核を超える脅威 世界サイバー戦争 見えない軍拡が始まった 著者のリチャード･クラークは、 レーガン、ブッシュ、クリントン、ブッシュと 4代に渡るアメリカ大統領時代に国防、テロ対策分野を担当してきた人。 この本の最後にあるように、 現米国政府へのサ…

今日は久々の休日出勤 四半期毎に実施している、 セキュリティ遵守の抜き打ち検査。 ノートブックPCや機密情報の施錠管理の検査。 ルールでは、クリーンデスク、機密情報/個人情報の施錠管理、 パソコンの起動＆HDDパスワード、ウイルス対策ソフト導入・テン…

◎ サイバー・クライム 去年初めに出版され、今年10月に日本語訳が出版 内容は2部に分かれていて、 始めは南米の賭博サイトへのDDos攻撃への対応から サイバー対策会社を起こすバーレットが 賭博とそのバックのマフィアとのビジネスに決別する。 2部は、イギ…

TwiterNotificationというメールが来た。 未読のDirect Messageがあるとのこと。 リンクをクリックして，びっくり。 ロシアの薬の宣伝サイトだった。 今読んでいる サイバー・クライム では 盛んにロシアのハッカー達の話が出てくるので、 あ、やっちゃたか…

来月実施予定の社内向けセキュリティ研修では 標的型攻撃主体に資料を作っていた。 偶然と言うか、当然と言うか 三菱重工、衆議院での標的型攻撃が発見され、丁度話題。 説明がイマイチだなと思っていたが、 やっと自分でも納得できる説明になった。 イメー…

3ヶ月前に社内で異動し、 プライバシーマークも担当になった。 2005年に取得したプライバシーマーク。 今回は3回目の更新。 2ヶ月前に書類をそろえて更新の申請。 3週間程前に文書審査への沢山のコメント。 これには一つひとつに対応策を作成。 今日は朝から…

今日もセキュリティセミナーを聞きに行く。 傾向分析、ソニーへの攻撃の問題などを デモを交えての説明で判りやすく、参考になる。 3つ目の説明も、”Webサイトセキュリティのベストプラクティス” と非常に興味深い。 しかし、説明初めに ”ベストプラクティス…

◎ Hacker Japan (ハッカー ジャパン) 2011年 07月号 前からSQLインジェクション、クロスサイトスクリプティングなどの 脆弱性を実際に試してみたかった。 IPAの脆弱性体験学習ツール AppGoatで勉強を始めるが、良く判らない。 Hacker Japan (ハッカー ジャパ…

Registration Noticeという名前で ドメイン名のRegistrationという件名のメール。 中味は、”search engine registration”として75ドルとなっている。 サーチエンジンへの登録料金？ ”Failure to complete your search engine registration by Mar 19, 2011 m…

前から、ID管理とアクセス権管理、アクセス制御など、 関係が良く判らないなと思っていたのが、 この本情報セキュリティ教本の143ページで、 権限管理、認証（主体認証）、アクセス制御などで説明されている。 当ページにも図があるが、自分なりの解釈の図に…

どもｗ メールするのは初めまして、ですね。 城村っていいますｗいつも見ているんですが、 ここって知ってますか？http://xxxxxxxxxx ある意味、合っているとは思うんですがｗ っていうメールが来た。 スパムかどうか判らないので、aguse.jpで確認。 aguse.j…

◎ 保守事故 ジェームズ リーズンと言う方の、 航空機事故、石油掘削事故などを研究した保守事故対策の本。 ヒューマンエラー対策としては有名な本のようだ。 情報セキュリティ事件の誤操作対策として参考にならないかと思って読んだ。 しかし、大きな機器な…

今年もJNSAから2009年 情報セキュリティインシデントに関する調査報告書が 発表になった。 http://www.jnsa.org/result/incident/2009.html 何時ものように，原因別の分析。 13個の原因別のインシデント件数＆比率をExcelに入力。 原因別の被害人数と比率を…

◎ ウイニー―情報流出との闘い Winnyが出てきた経緯，仕組み，問題点，違法かどうかなど Winny全体が判りやすい。 一昨年末からセキュリティを担当するようになり， 企業としてのセキュリティの問題点は ・頻発するメールなどの誤送信対策 ・時々起きるPCなど…

先日情報セキュリティのセミナーに出席し， 非常に良いビデオを見た。 実際に起きたネットショップからの情報漏えい事件の再現ビデオ。 18分程度だが，非常に上手く作られていて，感動的。 ネットショップシステム提供会社が，古いプログラムの削除をしなか…

今，インターネットはガンブラー感染で大騒ぎ。 ガンブラーとは， Adobe ReaderやFlash PlayerでScriptが稼動するように設定されているPCで 「JSRedir-R」という、悪意のあるJavaScriptが埋め込まれたWebページを ブラウズすると，PCがウイルスに感染し， ウ…

数日前に，”You have 3 new gifts”とう件名のメールが "RockYou Live" apps+m5skneyx@facebookappmail.comというメールアドレスから来た。 内容は，Facebookでの海外の知り合い3名が使い始めての招待状となっていた。 メールヘッダーは確かにfacebookappmail…

去年からセキュリティ系の仕事が多くなり， 今年始めからセキュリティ管理グループの担当になった。 来週から情報漏えい問題のセキュリティ教育を実施する。 情報セキュリティ事件では， メールのご送信などの問題件数が異常に多いが， 本当に問題なのは内部…