1
説明会にて
講師「一番になるって重要なんですよ。日本で一番高い山は知っていますか?」
学生「富士山」
「それでは…」
学生「( …北岳来るぞ…)」
「日本で12番目と13番目に高い山は?」
「はい、だれも知りませんよね。答えは中岳、中岳です」
「ここまでくると名前も同じになってしまうのです。」
2
←一般人の常識的な回答
→プロOSINTerの回答
エアコンの型番から建物の年代を特定
サボテンの形や成長具合からサボテンからでもSNSのアカウント特定
窓枠の型番や壁紙から住居を特定
本棚の本から趣味や行動を予測
3
デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。
様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。
腕があって興味ある方はDMください。直接応募は
herp.careers/v1/digitalsaiy…
4
講師「日本で一番にならなくても、地方で一番になるという方法もあります。」
「それでは、九州で一番高い山は?」
学生「(…)」
講師「だれも知らないですね。答えは、中岳です。」
「地方も行っても認知度は変わらないのです。」
…
「それでは阿蘇山で2番目に高い山は、…」
学生「(…中岳…)」
5
中学生が不正アクセスで書類送検されるんだったらいじめがあったら暴行罪でどんどん書類送検した方が良いな。
6
講師「このように、知る人の少ない中岳も、ストーリーを作ることにより、一番でなくとも皆さんの記憶に残るのです。」
講師「最後に、この手前の山の名前は?」
学生「中岳!」
講師「どこの中岳かは本日の宿題とします。」
7
兵庫県警が利用者に黙ってGoogle Analyticsを使ってJavaScriptで個人情報をGoogleに取得させている。不正なプログラムを仕込んでいる。
『プライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知する』Google アナリティクス利用規約より
police.pref.hyogo.lg.jp
8
世界一受けたい授業のネット犯罪の授業が制作会社が悪いのかあまりに適当な感じになっていた。これ日本人ハッカーなら明日から仕事できないレベル。パスワードを01805052でいいとか解読一瞬。https なら安全とか、世界一受けてはいけない内容だった。
10
Cloubhouseの登録情報1,300,516件 が漏洩情報取引サイトに掲載されました。
11
自分の面接以降は大学向けにDDoS打っておけば、後の受験者が全員落ちるのか。DDoSは裏口より安いだろうから。受験生の対策は大学まで行ってクロスケーブルで接続してオンライン面接しないとね。
asahi.com/articles/ASN98…
12
通信に疎い人はわからないかもしれないが、電話はすでにIP化されており、FAXを送信するということは、IPネットワーク上でG3,G4で送信することになり、それらは平文で流れている。厚生労働省の出している医療情報システムの安全管理に関するガイドラインでは通信の暗号は必須
news.yahoo.co.jp/articles/de769…
13
顔認証システムを使っていて顔情報が漏洩した場合は、顔の変更が必要です。また顔の定期変更により顔漏洩被害を少なくする必要もあります。
クレジットカードの場合は漏洩した会社が変更時の再発行費用を負担をしてくれますが、顔認証の場合は顔の変更費用負担を漏洩した会社に負担させた事例がない。
15
マイナンバーカードのコピーが必要ということなので、生のICカードにデータをコピーして送った。これじゃダメだと言われたので、ICカードにカードプリンタで券面データをコピーして送ったら、原本を送らないでくださいと言われた。
17
ロシア人が作っている、「<<許可>>をクリックして、ロボットではないことを確認してください!」はウイルス対策ソフト McAfeeの広告だった。 Windowsサンドボックスで実行してみた。許可するとWindowsの通知領域にプッシュ通知広告が出ます。
18
さてここで問題です。あなたがQiitaに与えている権限で、Qiitaがあなたのツイートをいつでも削除できることを知っていますか?
19
2名とも不起訴になりました。やっぱサイバー事件で疑われたらすぐにITと刑事に強い弁護士に連絡すべき。(SEO対策注意)
" アラートループ家宅捜索(いわゆる「兵庫県警ブラクラ摘発」)事件に関する寄付の呼びかけ #alertloop hacker.or.jp/alertloop/
20
「閉域網だから安全です」すべて嘘です。
これからのレターパックはこれに書き換えて送ることにした。
21
テレワークも社会的に認知されつつあり、エクストリームテレワークが競技として認知されるようになってきました。巨大なモバイルバッテリーを持っていけば1日8時間耐えられます。在宅勤務から抜け出せます。次回は太陽光発電しながらリモートワークしようと思います。
22
組み込み系でネット接続しているやつかなり逝ったな。RTOS脆弱性
security-next.com/099690
CVE-2018-16522
CVE-2018-16525
CVE-2018-16526
CVE-2018-16528
CVE-2018-16523
CVE-2018-16524
CVE-2018-16527
CVE-2018-16599
CVE-2018-16600
CVE-2018-16601
CVE-2018-16602
CVE-2018-16603
CVE-2018-16598
23
パスワード付きZIPの代替案は
1. ファイル共有サービス(onedrive,gdrive,box)での受け取り人を指定した、要パスワード、閲覧のみ、ダウンロード不可など適切に指定しての提供
2. OfficeでエクスポートしたPDFの暗号化機能の使用
3. Officeの暗号化機能の使用
4. 暗号化しないzipファイル
の順番です
24
WPA2の脆弱性をついて、そのAPの利用者のIDパスワードを盗む動画もう公開された。今後はVPN必須だな。TSLに脆弱性のあるアプリも使えない。
youtube.com/watch?v=Oh4WUR…
25
ハックする人としない人の特徴
ハックしない人
「仕様ガー」
「設計ガ―」
「法に抵触する可能性ガー」
「スキルガー」
「人材ガー」
ハックする人
「できたよ!」
新製品開発と情報セキュリティをやっています。経済産業省主催のCTFチャレンジ優勝。 クローラ/パケットキャプチャ/P2P/リバースエンジニアリング/情報漏えい/暗号解読/商品化/MOT/標的型攻撃/the movie/不正アプリ解析/IoT/暗号通貨セキュリティ/pinja/ドローン撃墜/OSINT