• Security関連
  • メアドを入力すると、流出被害に遭っているかが分かる　Mozillaが無料のチェックサービス
  • 【国内初】ラックを代表する監視サービス「JSOC®」にサイバー保険を付帯
  • Secure your web application with these HTTP headers
  • Meltdown & Spectre Attacks and Mitigations(1)
  • 最近のやられアプリを試してみた
  • OWASP Juice Shopを触ってみた！
• 技術関連
  • 分岐予測の簡単な歴史 – Part 2
  • Ophal: The highly scalable Lua CMS/CMF and web platform
  • 普通のHTMLの書き方
  • Now Chrome Doesn’t Delete “Google Cookies” Even If You Clear All Cookies 撤回されたみたいだけど、裏側で何を考えているのかそろそろ恐ろしくなってきた。
  • Sequel Proを超えるGUIツールが出てきたぞ
  • TeamSQL もいいけど、 DBeaver もいいぞ
• その他
  • 「無敵の人」問題　ネットからリアルへ波及した事件について、謝罪と炎上の専門家が議論 うん、まぁ、そうだよな。
  • 科学の方法 中谷先生の文章。ちゃんと読むべき。
  • 「白ブリーフ裁判官」と「新潮45」問題に共通するものとは何か
  • 「macOS Mojave」でフォントが汚い・見づらい・ボヤける問題の対処法

少し間が空いたので、記事が溜まってしまった。

• Security
  • HoneyPot
    • Honeypot Or Not?
    • OWASP Honeypot: open source software for creating honeypot and honeynet
    • ハニーポットのログ分析（2018/09/22）
    • 【ハニーポットの検証】ハニーポット設置255日目　～場所が変われば攻撃も変わる…かは、こうご期待！～
    • ハニーポット簡易分析(40-42日目:9/17-9/19)
  • Vulnerability
    • PHPの脆弱性 CVE-2018-17082 によるキャッシュ汚染についての注意喚起
    • Multi-exploit IoT/Linux Botnets Mirai and Gafgyt Target Apache Struts, SonicWall
    • Researcher Discloses New Zero-Day Affecting All Versions of Windows
    • ImageMagickを使うWebアプリのセキュリティ - 3. XSS・アクセス制御
    • 心臓のペースメーカーはハッキングできる？ エンジニアたちが示した脆弱性の「証拠」
  • 読物
    • DNS登録していないドメインでもIP指定して脆弱性検査可能に！
    • 学生2人組でBlack Hatに登場、自作の攻撃解析ツール披露！
    • セキュリティエンジニアのための機械学習入門の入門
    • DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認
    • 【図解】日本企業”だけ”が「セキュリティ人材が足りない」と嘆く理由まぁ、こんなもんだろうなぁ。
    • サイバー空間の探索行為が再び増加、2018年上半期の脅威動向｜警察庁
    • iPhone版ウイルスバスター、買ってもインストールできない状況が続く そろそろ、トレンドマイクロは営業戦略とかそう言うところを根本的に見直してほしい。解析系の技術は十分にあると思うんだけどなぁ…
    • サイバー攻撃の被害額を計算、経営層がセキュリティリスクを想定しやすく
    • IoTマルウェアが激増　Telnetのパスワードや脆弱性を悪用
    • 合憲性巡り紛糾　「ブロッキングありき」の事務局案
    • 前代未聞、ブロッキング法制化巡り委員の半数が反対
    • 被害総額盛りすぎ、委員の利益相反疑い…　目を覆うばかりの知財本部TFの迷走
    • せきゅぽろ 22
    • Zaifで発生した不正送金事案についてまとめてみた
    • 仮想通貨の入出金停止に関するご報告、及び弊社対応について
    • 脆弱性診断を通じて見えてくるWebセキュリティ
    • 日本企業も対策待ったなし？　米国のセキュリティ基準「NIST SP800-171」が与える大きなインパクト
• Tech
  • Xen, XenServer, XCP-ng関連
    • Xen Project 4.10.2 and 4.9.3 are available
    • Xen virtualization modes
    • Xen Orchestra 5.27
    • XCP-ng new install features
    • XCP-ng Security Bulletin
    • UDS Enterprise – A Virtual Desktop solution compatible with XCP-ng
  • その他ツール関係
    • MariaDB 10.2.18 and MariaDB Connector/Node.js 2.0.0 now available
    • pfSense 2.4.4-RELEASE now available
    • TLS 1.3の標準化と実装
    • ビジュアルエフェクト制作ツール「Effekseer1.4」リリース、エフェクト編集ツールがmacOSに対応
    • Apple File System Reference
      • Apple File System Reference
    • 「LLVM 7.0」リリース
  • 読物
    • macOS で sslscan を使う…ソースからコンパイルすると inet_ntop のエラーが出る
    • 実行してはいけないLinuxコマンド(6) Ubuntu Serverで『Fork爆弾』を実行
    • GPUとNVMEでPostgreSQLの限界に挑む ～クエリ処理速度10GB/sを越えて～
    • 分岐予測の簡単な歴史 – Part 1
    • Path MTU Discovery が原因の通信障害は分りづらい
    • MySQL・PostgreSQLだけで作る高速あいまい全文検索システム
    • 「NoOps？ よろしい、ならば戦争だ」 NoOpsコミュニティに異議申し立てた「Opsの味方」 決裂か？ 和解か？ NoOps Meetup Tokyo ＃1
    • ある規約違反 iOS アプリが削除されるまでの4日間
• その他
  • 読物
    • アレルギーは予防できますか？
    • THE RIEMANN HYPOTHESIS おそらく査読に通っておらず、かつおそらく穴があるであろうという論文。
    • ゲームの話を言語化したい
      • 実は相性が悪かった「ゲーム」と「ホラー」～ホラーゲームが抱える問題点とは！？（寄稿：岩崎啓眞）
      • 難しいほど怖くないって、ホント？ ホラーゲームが抱える致命的な欠点とは⁉︎ 【ゲームの話を言語化したい：第一回】
      • マリオのジャンプには、こんなにたくさんのルールが詰まっている！ コンピュータゲームの本質は、ルールを探る面白さにあった【ゲームの話を言語化したい：第二回】
      • 上手なプレイヤーほどファミコンゲームは苦痛だった？ 多くの問題を解決できる、RPGメカニクスの正体【ゲームの話を言語化したい：第三回】
      • 「レベルを上げて物理で殴る」の素晴らしさをゲームデザイナー視点で語ろう。ドラクエで学ぶ「RPGメカニクス」の3大メリット【ゲームの話を言語化したい：第四回】
      • 『ポケモン』はもっとも買い切り市場に適したゲームである──環境とそれに適したビジネスモデルがゲームの形を規定してきた歴史を語ろう【ゲームの話を言語化したい：第五回】
    • 【poke2vec】ポケモンの役割ベクトルの 学習とその分析・可視化 / pyconjp-poke2vec
    • 「本が読者に届かない」Amazon商法に公取委が突入で炙り出される出版業界の予後不良
    • とんかつ屋の悲劇　～　行列ができる人気店がなぜ廃業するのか

ここ数日の気になった記事

• Security
  • HoneyPot
    • ハニーポット簡易分析(30日目:9/7)
    • ハニーポット簡易分析(31-33日目:9/8-9/10)
    • ハニーポット簡易分析(34-38日目:9/11-9/15)
    • ハニーポット簡易分析(39日目:9/16)
    • 【ハニーポットの検証】ハニーポット設置247日目　～９月前半の攻撃を検証！～
    • ハニーポット観察記録【10】
    • ハニーポットのログ分析（2018/09/14）
    • Satori 系ボットネット観察 Attack from Japan
  • Vulnerability
    • IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に　脆弱性放置に警鐘
    • 前世紀の電話制御技術で、Android端末機器の多くがハッキングできる：研究結果
      • ATコマンドとか懐かしいなぁ。今でも使っているのは知ってたけど…
    • [FreeBSD] Improper ELF header parsing
    • [FreeBSD] LazyFPU remediation causes potential data corruption
    • 注目の脆弱性：TALOS-2018-0560 – ERPNext SQL インジェクションの脆弱性
    • 「Edge」と「Safari」にアドレスバー偽装の脆弱性 ～「Edge」はすでに修正済み
    • 正しいURLと偽のログインページを表示して個人情報を抜き取る攻撃を可能にする脆弱性がSafariに存在する
    • 隠された（見えない）デスクトップに潜む脅威とその仕組み
    • Intel暗号鍵に危険度「高」の脆弱性、ファームウェア更新で対処
    • ほぼ全ての最新ノートPCに脆弱性、コールドブート攻撃で情報盗まれるおそれ
    • 「ほぼすべて」のPCとMacに、暗号化データを盗まれるセキュリティー欠陥がある
  • 読み物
    • 翻訳：Mac App Store のトレンドマイクロのアプリに関する質問への回答
      • CoinHiveを弾いたTrendMicroが自社アプリでAppleからReject食らうあたり、闇が深い
    • わずか「40KB」のファミコンゲームを作るための方法
    • 政府機関等の対策基準策定のためのガイドライン (平成 30 年度版)
      • 読んでおかなきゃ。
    • 中国サイバー攻撃がCIAスパイネットワークを出し抜いた
    • PowerShell難読化の基礎 (2)
    • IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」（ラック）
    • CYBER GRID JOURNAL Vol.6
    • これがdポイント不正利用・盗難被害の手口か？dポイントカード偽造方法の再現で驚きの事実が発覚！
• Softwares
  • 「Git 2.19」リリース
  • オンラインストレージソフトウェア「Nextcloud 14」リリース、認証機能を強化
    • そろそろ本気で…
  • 【OSS】「Fedora CoreOS」開発コミュニティの経緯と現状---「Red Hat CoreOS」の上流コミュニティへ
  • OpenSSL 1.1.1 Is Released TLS1.3が実装されている
  • 脆弱性を修正した「Ghostscript」v9.24が公開 ～「CubePDF」など影響ソフトは更新を
  • HeimdalでKDCを多重化する
• 読み物
  • 最密球充填
  • 世界に1つだけの三角形の組 －抽象現代数学を駆使して素朴な定理の証明に成功－
  • 日本企業は「礼儀正しく時間を奪う」　マイクロソフトが働き方改革で歩んだ“地雷だらけ”の道
  • 仮想通貨、今年の下落率が80％にードットコム・バブル破裂を超える
  • 「ブロッキングはインターネットの破壊への第一歩」　WIDEプロジェクトが反対声明
  • 「ブロッキングの章は削除すべき」、海賊版対策会合第7回はまとめ案巡り批判の応酬
  • 大炎上プロジェクトを立て直した話をする。
    • ラノベみたいな内容w
  • x86/x64におけるメモリオーダーの話
  • コラ！勝手に持ってくんじゃない！！！〜WebカメラとOpenCVで俺のカップ麺を狙う奴に警告する〜

• Security
  • 脆弱性
    • WordPressのプラグインDuplicator 1.2.40以前にリモートコード実行の脆弱性
  • 読み物
    • Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた 個人的にはとっくにTM社は採用してないけどひどいな、これ。
    • 日経ビジネスが報じたパスワード16億件流出についてまとめてみた 安定のセキュインコさんの記事。素晴らしいよな。
    • マルウェア検出数に異変、攻撃者の手法にも変化--半期レポート
    • WidnowsでOVAL情報を使おう
• System関連
  • XenServer 7.6 XCP-ngももうすぐVersionUpなのか。準備が必要だな。
• 読み物
  • 機械学習についての考え方 (Benedict Evans, a16z)

• Security関連
  • HoneyPot
    • ハニーポット簡易分析(26-29日目:9/2-9/6)
    • ハニーポット簡易分析(30日目:9/7)
  • Vulnerability
    • JVNVU#99302544 LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題
  • 読み物
    • ダークウェブの住人たちを襲う次世代の「プロキシ型」フィッシング詐欺
    • マルウェアに感染したと思ったら（多分）してなかった話
    • IPA、情報漏洩の防止マニュアルを拡充 ～「Windows 10」「Office 2016」などの解説を追加
    • 正規のWindowsツールを使って不正ファイルをダウンロード--情報盗取の新攻撃
    • 無線LANのセキュリティ強化、今どきの設定方法
    • Let's Trade: You Read My Email, I'll Read Your Password!
    • 「わたしのパスワードも流出している！」をクリック１回で確かめる方法
• Software/Freeware
  • MariaDB 10.1.36 and MariaDB Connector/C 2.3.7, Connector/J 2.3.0 and Connector/ODBC 2.0.18 now available
  • CentOS7.0 + HHVM3.5 + Nginx環境構築 そろそろHHVMを本気で…
• 読み物
  • 漫画村外伝：広告詐欺と仕掛け人三兄弟
  • 「インターネット・アーカイブのウェイバックマシンが記録した過去のウェブサイトの情報」に証拠能力があると裁判所が認める
    • Archive.org's Wayback Machine is legit legal evidence, US appeals court judges rule
  • Javaカードの世界 / The world of Java Card IC内蔵カードの話
  • いくつもの人気iPhoneアプリがユーザーの位置情報を売っている まぁ、結構いるだろうなぁ。無料アプリで収益上げるのは難しいからなぁ。
  • DXレポート ～ITシステム「2025年の崖」克服とDXの本格的な展開～ DX=Digital Transformation
  • 「函数」が音訳というデマと、本当の語源