サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
GPT-4o
wakatono.hatenablog.com
時期的に、卒論/修論/博論のラストスパートで死にそうな方々が多い頃だと思いますが、今から目の前に差し迫る締切までに、「ゼロからそういうものを書き上げる」のは多分不可能、と思う私が、「博士の学位を取得するにはどうする?」を、ざっと書いてみました。 言う以上、私自身は博士の学位を取得していますし、よかったことダメだったことを振り返って、以下にまとめています。 博士の学位を取得する意味と、おおまかな取得条件 博士号を取得できる=「独力で研究テーマを決定し、結論を出す能力を有する」ことを認められることかなと考えてます。これは、学術研究を行う者としては必要な能力であり、自称研究者か、きちんとした研究者かを見分けるための指標の1つ*1とも考えています。 落ちこぼれ寸前で博士号を取得した者(5年かかったw)が言えることは…以下を客観的かつ論理の飛躍を起こすことなく説明出来ることが最低条件、ということです
PrintNightmare(CVE-2021-34527)は、修正ファイルがリリースされた模様 以下の記事を書いてから半日も経たないうちに、修正ファイルがリリースされた。 wakatono.hatenablog.com 修正ファイルは以下のところに。 修正プログラム名のところにSecurity Rollupと書かれてはいるが、これ立派にOOBリリース(定例外リリース)なので、見間違えないように。 msrc.microsoft.com Print Spoolerサービスが止まるとPDFでの保存ができなくなる理由 自分も忘れていたが、PDFは「どんな紙に印刷されるのか」を想定した設定を行える。それこそA4縦とかA4横とか。 これらの設定は、Microsoft write to PDFの場合はPDFプリンタに設定に、Microsoft Office Professional Plus 2019
Print Nightmare(CVE-2021-34527)、修正プログラムがまだ出ておらず、Workaroundだけが出てる状態だけど(2021年7月7日 1:26時点)、この2つあるWorkaroundのうちの1つが一見面倒に見えて、1つがお手軽だけどいろいろと大変なことになる、という話し。 追記:修正公開されたようです(2021年7月7日 10:00時点の情報)。が、こんだけ迅速だと地雷埋まってないか心配。 Workaround自体は、以下のページに記述されている。 msrc.microsoft.com Workaroundは2つ。Print Spoolerサービスを停止するか、ローカルポリシーを変更するか~Print Spoolerサービス停止は大いなる罠~ Print Spoolerサービスの停止はものすごい罠で、「Print Spoolerサービスを停止する=ローカルにつなが
久々に(技術的にも実務的にも)良い意味で考えさせられる対応報告書を読んだ。 コインチェックの対応報告書がそれ。 読み解いてみたけど、存外に大変なことに(主にオレが書いた文の分量が)…。 コインチェックからリリースされたたインシデント対応報告 読んでいて、真面目な意味で面白く、かつ自分で考えようと思えばいろいろと考えられる報告書は、久しぶりに出会った。オレもこういう報告書を書けるようになりたい…。 corporate.coincheck.com 真面目な意味で「どこが」面白いのか?(あくまで私見) あくまで私見ではあるが、「監視業務にてレスポンスの遅延を検知し関連システムの調査を開始」という1行が、ものすごく興味をそそられた。 その次に「第三者によりドメイン登録情報が変更されていたことを確認」という結果につながるのが面白い。 この間の経過時間は、おおよそ7時間ちょっと。 その7時間にどんな調
極端なテレワーク推奨期間に入ってはや数ヶ月(?)、VPNについて「クラウドベースに移行するのを視野に入れて」とかなんとかいろいろと出てるけど、別にVPNが悪いわけじゃないぞ。使うVPNの種類と使い所を間違っているだけだ。 ということで、本日はざっくりとしたVPNの種類と使い所を、自分の記憶と理解の範囲だけで説明してみよう*1。 VPN is 何?~種類の前にまずはここから VPNとは、「専用線とみなして使うことができる回線であり、「専用線のようなもの」である。」という以上の意味しかない。ちなみに対義語はPN(Private Network)。技術的には、「接続される2点もしくはそれ以上をつなぐ」専用に使われる回線である。しかしVPNは、技術的に専用線のようなものと言えるかもしれないけど、厳密には専用線ではない。それっくらいの意味しかない。 IP-VPN is 何? IP専用のVPN。網は通
久しぶりに個人的なツボにはまる脆弱性が… CVE-2020-10136の脆弱性概要 詳しくは以下のJVNの記事を見てください。 要は「IP over IPを実現する規格の1つで、悪用される脆弱性があるからね」というもの。 jvn.jp この脆弱性を悪用すると、何ができるのか? 脆弱なIP-in-IPを使えるところを経由して、好きなところにIPパケットを送りつけることができます。いわば「IPパケットプロキシ」のような感じです。 IP-in-IPは、以下のRFCに記述されています。 tools.ietf.org TCPコネクションが必要など、戻りパケットが必須な攻撃を仕掛けるためには、少しアタマを使う必要がありますし、DDoSのように「大量にあちこちからパケットを送りつける用途」には若干効率が落ちる可能性はありますが*1、単にパケット送りつけられればいいという話であれば、これは非常に有用な脆弱
さんざん書くだけ書いて、すっかり忘れてたw テレワーク関係で「即座に」留意しなきゃいけないことその1~リモート操作ツールのファイル共有機能 例えばWindowsのリモートデスクトップを使う場合、ローカルのドライブをRDP経由でアクセスさせることが可能です。 また、クライアントとサーバの間でファイルをコピペすることも可能です。 ポリシーで禁止することは可能だけど、忘れないでね。 当然、TeamViewerやVNCなどでもファイル転送は可能になるケースはありますし、いわゆるリモート操作系ツールではファイル転送の機能は結構な高確率で実装されているので、ファイルの持ち出しとか點せたくない場合には注意。 テレワーク関係で「即座に」留意しなきゃいけないことその2~オンライン会議サービスのファイル共有機能 これも上記と似ている課題。 契約した側でオフにしたり、会議開催側が無効にしたりとできるみたいだけど
書いたら長くなった…けど、何らかの議論のネタなりになればということで、とりあえず放流する。 「テレワーク」というと、なかなか魅惑なパワーワードだが、ちょっとアタマを巡らせると、かなり大変であることがわかる。 大変といっても、実は文章の読み替えをやったり考え方を柔軟にしたりということをできれば、あんまりハードルにならないのかもしれないが、考えないといけないことをとりあえずざっと書いてみた。 とりあえず、一つの思考実験的に書いたものなので、考え違いや抜け漏れあるかもしれないが、そこはご容赦を。 1. 制度面の課題 テレワークというと、オフィスにいなくても仕事が出来る、とポジティブに考える人が多いが、会社の就業規則などの面を考慮すると、結構な難事が出てくる懸念がある。 とはいえ、(最初に結論を書いてしまうが)何のための業務で、どんな成果を期待するのか?が明らかになれば、下記の話は(本質的には)問
IPAから続報が出ていたので、ちょっと見てみました。 www.ipa.go.jpそこには、「どうやったら警告が出てくるのか?」の解説がありました。 なんだ、インストールした後に「買う」とすると、あの警告が出てくるのね。ということで、またまた検証してみました。いろいろと釈然としないのもあるので、とりあえずスッキリするために。 なお、同じことやってマシン壊れたとか調子悪くなったとか言われても、こちらで責任取れないので、試すときは自己責任で。 まずは「Zoom」を起動して「Purchase」を選ぶ これは、上記のIPAのページでも紹介しているものですが、とりあえず「Zoom」を起動して出てくる画面から「Purchase」を選びます。 「Zoom」を起動した時の画面 一番上を選ぶと、「警告画面」が出てくるはず…なので、確かに警告画面は出てきたのですが、ウチでは違うものが出てきました。 我が家の検証
みんな大好き&私も大好きなZoomですが、最近偽物が増えてるという噂を聞きます。 japanese.engadget.com で、我らがにゃん☆たく先生も検証されている。 ただ、にゃん☆たく先生の検証範囲は、「これは僕が使いたいリモート会議のZoomじゃない!」という結論で終わっているように見えるので、じゃあそのZoomはどのZoomじゃい?というのを確認してみました。 なお、本稿では以降、、いわゆるリモート会議サービス「じゃない」Zoomを「Zoom」と称します。 まずはかの「Zoom」をインストール 「Zoom」をどうやってインストールしたか?はおいときます。同じことやって「PCが壊れたどうしてくれる」と因縁つけられても嫌なんで。 普通にインストーラをダウンロードして実行することで、普通にインストールされたわけですが、なるほど。インストール直後に以下のような画面が。 インストール後の実
またも新たな脆弱性…。 「Type 1 Font Parsing Remote Code Execution Vulnerability」ですか… この脆弱性は、 Adobe Type Manager Libraryに存在しており、悪意ある細工がなされたファイルが置かれたフォルダをExplorerで開くと、コードが実行される「かも」という剣呑な代物。なぜ「かも」としているのか?については後述する。 ADV200006 | Type 1 Font Parsing Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006 (こちらは英語版) https://portal.msrc.microsoft.com/ja-jp/secu
月刊マイクロソフトで修正されたCVE2020-0796のWorkaroundに関連した情報が、油断するとわからなくなる書き方になっている*1ので、覚書。 記事自体は後述するが、別にこの記事が悪いというわけではなく、用語自体をきちんと押さえておかないと、一気に混乱する恐れがある、というだけ。 SMBv3 ServerとSMB Client SMBv3 Serverと書かれているが、別にこれはWindows Serverでしか稼働していないというわけではない。Windows 10などのClient系Windows OSでも普通に動作している「Server」サービスに実装されているのが、SMBv3 Serverだ。 同じようにSMB Clientも、Windows Clientでしか稼働していないというわけではない。「Workstation」サービスに実装されているのがSMB Clientである
私の勤務先もご多分にもれず、原則テレワーク状態に。 そんな中、この短期間に3種類のオンライン会議システムを使うことになったので、個人的な所管ではあるけど書き留めてみようかなと思う。 Zoom 今やオンライン会議サービスの代表的な選択肢になっている感のあるモノ。 無償で使えるのは40分まで。あとは契約しているサービス内容によって、時間とか付加サービスの内容が変わる風。 遅延も少ないし、共有画面もきれい。これ使ってから、オンライン会議のイメージがガラッとかわった感。 Microsoft Teams Microsoftが提供するコミュニケーション基盤。 Business Chatの分野では比較的新参という印象を受ける。 これもまた、オンライン会議の機能を持っており、会議へのinviteはOutlook(筆者が仕事で使ってるのは、Outlook 2016)からボタン一発で行えるのが便利(プラグイン
VBAでネットワーク使う時に、いろいろと制約事項が出て来やしないか?というので調べてた。 結論は以下のとおり HTTPリクエスト系は、VBAマクロで普通に書ける WinSockを用いたネットワークアプリケーションは、どこでも動くものを書くのは困難(MSWINSCK.OCXが必要だが、このOCXファイルはVB6ランタイムに含まれるらしく、Windows 10で使うのはちと勇気がいる(というか普通には入っていない))。 いろいろと凶悪なBotが出てくる中で、マクロで完結させられるかどうか?の調査をしていたのだけど、とりあえず素の状態でVBAでネットワークを、というのは難しいという結論になりました。
標的型攻撃に「ファイルレスマルウエア」が使われるようになって久しいが、標的型攻撃を仕掛けるモチベーション(きっかけ/やる気の源)は一体何か?を考えてみよう。 仕掛ける相手の持ってる情報が欲しい できれば長い期間、情報を継続的に獲得したい でも、仕掛ける相手に侵入するのは結構手間 となると、何らかの方法で(だいたいはHTTP/HTTPS経由)情報を持ち出す手段を攻撃を仕掛ける相手に仕込みたいとなる。 ファイルレスマルウエアは、単純にファイルをスキャンするツールではみつからない。 しかし、単にメモリ上にしか存在しないマルウエアは、永続性の観点で不安定である。「再起動したら消える」脆弱な存在だ。 それでは、永続化するためにはどうしたらいいのだろうか。Windows上でファイルレスマルウエアを永続化するのは、(わりかし)容易かなと思う。以下、例えばこんな方法がある、ちうのを挙げていく。 サービスに
MS15-034については,まとめがPiyokangoさんのところにあるので,そういうまとめ的な話を読みたい方はそちらへどうぞという感じ. この脆弱性に関連する情報でオレが面白いなぁと思ったのは,PoC(Pastebin,Ghostbin,Exploit-DB)のPoCで書かれた検証リクエストの内容と,「パッチされている」と判断されているメッセージが以下のようなものである,というくだり. 要は Range: byte=ほにゃららというヘッダを伴うリクエストをぶん投げると,修正がされている環境であれば, The request has an invalid header nameというレスポンスが帰ってくる. これは結構興味深くて,要は「IISで『Rangeヘッダの処理をしない』ように変更した」=「MS15-034の修正が適用された」と判断しているということを意味する. これと同等の効果を期
思うところあって、TSURUGI Linuxを使ってみた TSURUGI Linuxは、デジタルフォレンジック向けのLinuxディストリビューション。 デジタルフォレンジックに使えるLinuxディストリビューションには、例えばKali LinuxやSANS SIFT Workstationなどがあるが、今回あえてTSURUGI Linuxを使ってみたのには理由がある。 わりかし新しいディストリビューションである Acquire向けの機能に絞ったISOイメージを配布している 起動するだけであれば、誤ってHDDイメージを壊すことがない 新しいのはまぁいいとして、なぜ2,3が重要なのか?を以下に述べる。 まずは2から。実際にフォレンジックをやったことある人ならば経験ある人もいるかもだけど、HDDイメージを取得する時に、普通に配布されているLinuxディストリビューションではうまくいかない(そもそ
2ヶ月前にGMO-PGさんが受けた不正アクセスの調査報告書が出てたので、読んでみた。 …所感だけ。 専門家アドバイザーが少し偏り気味でないかい?と思ってたり。 実は結論が少々偏ってたりするなぁ(間違ってるわけではないけど、方向性が偏ってるという意味)…と思っていたのだけど、再発防止委員会の構成を見て納得。 3/10 2:15にインシデントが発覚し、公表が同日18:22に行われている。 関係各所の調整も含めて16時間で公表というのは、個人的な所感では超高速だと感じる。 3/9 18:00にヤバさを認識し、同日21:56にWAFによるブロックを開始したのはGood。 ヤバさを知覚してから対応に入るまでの速度が高速なのはいいのだけど、脆弱性が公開された時刻からGMO-PG側で脆弱性情報を確認し、ヤバさを知覚するまでの時刻に開きがありすぎというのがヤバい。 簡単に脆弱性公開からGMO-PGさん対応
セキュリティ・キャンプに興味がある人に対して、「これまでの応募用紙を見てみたら?」という返事をすることが多いのですが、真意が曲がって伝わっていないか心配なので、すこし補っておくことに。 個人的には、「やる気はあります」とだけ書かれていて、こちらからの設問にほとんど答えていない応募が一番困りました。 これは、「やる気」を見るための応募用紙に単に「やる気はある」と書かれても、どこでそれを測ればいいのかわかりようがないためです。 セキュリティ・キャンプの応募用紙は、「やる気や熱意、興味の見える化」をするためのものであり、全部正答すれば参加できるというものではありません。 過去の応募用紙を見ることで、当然ですが「何を問うてきたか」を見ることはできます。 でも、それに対して自分が答えられないということは、少なくともその応募用紙と格闘して参加した人と比べると、前提知識ややる気、熱意(興味といってもいい
カスペルスキー マルチプラットフォームセキュリティ 2016を新規インストールしたところ、Firefoxでおかしなことにw カスペルスキー マルチプラットフォームセキュリティ 2016(以下KMS2016)のWindows版を入れた後、FirefoxでGoogleにつなごうとすると以下のような画面が。 要は「変な証明書使ってるからつながせないよ」という意味。 KAV2015とかは探すと対処法出てくるんだけど、KMS2016(のWindows版)はなぜか出てこない。 KMS2016は最初からそうなんだけど、最近のカスペルスキー社のセキュリティソフトウェアは、SSL接続の中を確認するために、MITMをかけている。 そのために必要な証明書なんかは用意されているんだけど(KMS2016の機能を使ってインストール可能)、後付けで入れたブラウザだからなのか、それとも別の理由からか、Firefoxが使う
最近猛威を振るっているランサムウェアだけど、トレンドマイクロさんの記事で「身代金を支払う」ことはおすすめできないというのが書かれていたりして、ちょっと気になった…。 いろいろと書いてるうちに、「こいつは犯罪者/攻撃者の片棒を担ぐのか?」と言われそうなことも出てくるかもしれませんが、そんなつもりは1ビットもありません。 あくまで「客観的」「中立」にものごとを考察した結果であって、そんなたいそうな意図は全くありません。 まあ、本当だと思う。ただこれは、ソフトウエアのバグなどに起因して、(攻撃者側が)戻す意図があってもできないケースなどもありうるため、どの程度「元に戻らない」のかはよくわからない。 こんだけ流行ってる状況を見ると、ランサムウェアは、すでに犯罪者ネットワークでは認知されたビジネスモデルになっていると考えるのが自然だ。 そして、ランサムウェアの生成から配布までをサービスとして提供する
本格的な解析はまた後日やるとして、autorun.exeの件続報。 ロッキーメモリがリリースされたのは2009年2月。 で、autorun.exeのタイムスタンプ(更新日時)は2007年。 で、このファイルがVirusTotalで解析されたのは2013年。 https://www.virustotal.com/ja/file/f8c88ff5a6399661e22e3ef8f3b05a0c4150fbe79d70cc8e304e777d3b9ca114/analysis/ タイムスタンプが異様に古いけど、この検体の検出名から確認可能な情報を考えると、ここは矛盾なし。単純にVirusTotalに送られたのがこのタイミングってだけかなと。 10年以上のマルウエア入り景品騒動などでも類似の事案があり、こちらは調査中のまま(結局原因がわかったのかどうかも不明)だけど、この件で見つかったのは、WOR
やってもうたw 2016年3月21日追記:記述が足りないなぁというところもあった&Redditで「釣りか?」と書かれてしまってたのもあり、少しautorun.exe関連の追加情報(3/18)とかなぜVirusTotalでの日付が古いのか(あたりを中心に補足してます。 機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしw。 まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」であり、それ以上でもそれ以下でもなかったり。 なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ… autorun.infの中を見てみたところ。 えーと、なんかRecycl
今月はなんか、いろんな作文ばっかりしてた…(死 このところ、標的型攻撃の話がいろいろ出て来て、それにともなって訓練って話もあれこれ聞くのだけど、とにかく訓練内容がイケてない。 「標的型攻撃の対応訓練やりますよー」というセールストークに対し、「具体的に何を測るの?」というのを質問すると、「開封率」というお返事が帰ってくることが多い。 これは実は、現在行われるべき訓練としては中途半端な内容にしかなり得ない。 まず、オレは「開封率を計測すること」が意味ないとは思わない。しかし、これだけで充分とも全く思っていない。理由は以下の4点による。 開封率を測定して、後日同様の訓練を実施した際に開封率を下げていくという対処は、予防の観点からはある程度役立つが、0%まで持って行かないと(そして実際に攻撃を仕掛けられても0%を維持できないと)全く意味が無い 昨今のインシデント対応は、攻撃が来ても有効にならないよ
手がかりがほとんどない状態ですが、現在、アマゾンさんで有効なアカウントの収集が何者かによって実施されているような動きが見えます。 事の発端は、アマゾンさんから、以下のようなメールアドレス変更通知が届いたことです。 これがいきなり届くメールアドレスは、アマゾンへの利用登録がなされていないということにほかなりません。 アマゾンに利用登録がなされているメールアドレスの場合は、以下のような画面に飛びます。この画面に飛んでなお「変更する」となった場合には、変更先のメールアドレスの持ち主に「変更するけど心当たりある?」というような内容のメールが、検証用のリンク*1をともなって飛んでいきます。 この画面に飛ばず、いきなりメールアドレス変更された的なページに飛ぶ場合は、間違いなく変更先のメールアドレスはアマゾンへの登録がなされていません。 このため、有効なメールアドレスに巡り会えない場合は、また元に戻して
まぁ,夏に限らんわけですが 改ざんに遭わないのが一番なんだけど,改ざん被害に遭ってしまったらまず最初にどうするか? 改ざんされたと思しきコンテンツをまるごと削除し,バックアップから復旧 バックアップがないので,改ざん箇所を特定の上当該箇所を削除 コンテンツ作成を委託した会社に連絡して直させる …はい,いずれも間違いです. 改ざんされたタイミングで改ざんされたことに気付けるWebサイトオーナはそうそういない. じゃあ,「OSまるごとインストールしなおし」とか「CMSなりを全部入れ替え」となるのか?と言われると,さっきの対応よりはマシだが実は全然不十分.というのも,なぜ改ざんされたのか?根本原因を突き止められていないから. となると,非常におおざっぱではあるけど,とりあえず以下の対処が役に立つ. とりあえずWebサイトそのものの稼働を一旦停止する(Shutdownできればいいけど) Webサイ
ひまっつーわけではないですが,日々(5分でいいので)いろいろ書き留めるクセをつけなおす(というか,自分で後で見返せるようにする)ということで. printf()デバッグに近いことをやりたいけど, 出力フォーマットはいらない バイナリデータ(メモリ上のデータ)を吐き出させたい という時にやること(C限定)… write(1,buf,length);というような行を入れたりする感じ. 特に「バッファに保存されてると思しきデータを見たい」とかいう時に使います(まんまや). 自分だけが使うようなモンを作る時は,(タイミングがシビアでなくてもいいとかいう話であれば)わりと重宝します.タイミングがシビアであっても,シビアなタイミングをずらしてwrite()かけられるようなシチュエーションであれば,使えることもあるかなと.
昨年といい,今年といい,なぜこうなるかねーw MS15-034については,まとめがPiyokangoさんのところにあるので,そういうまとめ的な話を読みたい方はそちらへどうぞという感じ. この脆弱性に関連する情報でオレが面白いなぁと思ったのは,PoC(Pastebin,Ghostbin,Exploit-DB)のPoCで書かれた検証リクエストの内容と,「パッチされている」と判断されているメッセージが以下のようなものである,というくだり. 要は Range: byte=ほにゃららというヘッダを伴うリクエストをぶん投げると,修正がされている環境であれば, The request has an invalid header nameというレスポンスが帰ってくる. これは結構興味深くて,要は「IISで『Rangeヘッダの処理をしない』ように変更した」=「MS15-034の修正が適用された」と判断してい
なんつうか,予告の後にまぐろ漁船ラッシュ… ということで今になりました. 自分の日記で過去に山ほど書いてるので,それらを見るとなにかヒントがあるかもしれません. ミニキャンプやキャンプキャラバンで話をした内容はいくつかあるけど, 応募するかどうか迷うくらいならば,応募すると決めて応募用紙の内容をどう書くかで悩め コピペ・ダメ・ゼッタイ(ばれるから) 見直し重要.書き上がったと思っても推敲することで確実に良くなる(はず 出し忘れがコワい人は,書き上がった時点で送付して,見なおして書きなおして納得行ったものを(締切前に)送ろう ギリギリ送付は,到着遅延リスクをはじめとする各種リスクが想定されるので,可能な限り避けること! すでに応募用紙書いて送った人も,「一番いい装備で応募に臨め」という感じなので,この週末で見直すのもアリ(締切前ならば応募用紙送り直しOK). そんな感じ. ここは初めてな気が
次のページ
このページを最初にブックマークしてみませんか?
『wakatonoの戯れメモ』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く