2023年にフォローすべきサイバーセキュリティ関連のTwitterアカウント

2022年10月のイーロン・マスクによる買収後、多くのTwitterユーザーが離れて、より分散型のソーシャルメディアプラットフォームであるMastodonに移行しました。

オープンソースでクラウドファンディングされたMastodonは昨冬、新規アカウントが急増しましたが、多くの新規Mastodonユーザーは複雑なソーシャルネットワークを再構築するのに苦労し、その後、青い鳥のアプリに戻ってきました。サイバーセキュリティコミュニティにとって、Twitterはサイバー関連の全ての情報の主要なソーシャルメディアチャンネルのままです。

知識とリソースを拡大する精神で、ここでは、サイバーセキュリティのトピック、問題、ニュースについて学びたいと考えているすべての人に推奨する、23の厳選されたTwitterアカウントを紹介します。

@matrosov | Alex Matrosov
@r00tbsd | Paul Rascagnères
@silascutler | Silas Cutler
@Wanna_VanTa | Van Ta
@n0x08 | Nate Warfield
@LittleJoeTables | Joe DeMesy
@greglesnewich | Greg Lesnewich
@hasherezade | Aleksandra Doniec
@stvemillertime | Steve Miller
@kyleehmke | Kyle Ehmke
@ophirharpaz | Ophir Harpaz
@oxleyio | David Oxley
@malwareunicorn | Amanda Rousseau
@cybersecmeg | Meg West
@AmarSaar | Saar Amar
@ale_sp_brazil | Alexandre Borges
@maddiestone | Maddie Stone
@cyberwarship | Florian Hansemann
@dinosn | Nicolas Krassas
@h2jazi | Hossein Jazi
@bushidotoken | Will Thomas
@milenkowski | Aleksandar Milenkoski
@tomヘーゲル | Tom Hegel

Twitterや他のマイクロブログプラットフォームの未来についての議論が落ち着くまでには、もうしばらく時間がかかるでしょう。

出典：Navigating the Cybersecurity Twitterverse | 23 Influential Accounts to Follow in 2023

【セキュリティ事件簿#2023-173】産経新聞社　メールアドレス漏洩のお詫び　2023年5月10日

産経新聞社 NIE（※）事務局よりメルマガを送信した際、一部の受信者が他の受信者のメールアドレスを確認できる状態で誤って送信していたことが判明しました。漏洩したメールアドレスは３４０件です。関係する皆様には多大なるご迷惑をおかけしました。深くお詫び申し上げます。

※「Newspaper in Education（教育に新聞を）」の略。教育現場に新聞の活用を広める活動のこと

１：経緯

2023年5月9日午後8時50分ごろ、NIE 事務局より、NIEメルマガ第１５５号を一斉送信いたしました。その際、担当者が入力を誤り、登録されている方の一部に、各人のアドレスが見える形で送信してしまいました。この結果、340人（件、一部学校・組織を含む）の方（メール受信者）は、相互にメールアドレスが確認できる状態になりました。

２：流出した情報

産経新聞 NIE メルマガに登録されている方の一部340人（件）のメールアドレス、および、このうち一部の方のメール「表示名」としての氏名

３：受信者様への対応

本件メールを受信した３４０人には、５月１０日午後 2 時 35 分ごろ、お詫びと当該メールの削除をお願いするメールをお送りしました。

４：再発防止策

一斉送信時には複数人による多段階チェックを必須とすることで、再発を防止します。

リリース文（アーカイブ）

IHGポイント購入100%ボーナスフラッシュセール（2023/6/19～2023/6/26）

IHG One Rewardsは、100%ボーナスと上限引き上げを伴うポイント購入フラッシュセールを2023年6月26日まで開催しています。IHGは頻繁にポイントを販売しており（最大ボーナスは100%）、メンバーは毎年カレンダーごとに最大150,000ポイント（時折250,000ポイントの上限引き上げあり）を購入することができます。

セール中だからといってポイントを購入するのは意味がありません。しかし、それらをうまく活用する方法がある場合（現金よりもポイント払いの方が節約できる場合）、購入することで滞在費を大幅に削減することができます。

IHGは頻繁に100％ボーナスでセールを行うため、100%ボーナス以外（80%、etc）で購入することはあまり意味がありません。

尚、このオファーで購入されたポイントは、IHG One Rewardsエリートステータスにはカウントされません。

出典：LAST CALL: IHG Buy Points 100% Bonus Flash Sale Until June 26, 2023

【セキュリティ事件簿#2023-172】愛知県　里親、里子等に係る個人情報の漏洩について　2023年5月2日

昨日（５月１日(月)）、愛知県尾張福祉相談センター（名古屋市中区）において、里親や里子に関する個人情報が漏洩する事案が発生しました。

このような事態を招いたことを、里親・里子の方々を始め、関係する皆様に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。

１漏洩した個人情報

愛知県尾張福祉相談センターが養育を委託している里親・里子等の方々に関する次の情報（過去に委託していた里親・里子を含む。）

里親６３名分の個人情報
氏名、住所、銀行口座情報、電話番号
里子８４名分の個人情報
氏名、生年月日、年齢、学年、委託開始年月日、委託里親種別（※）

※委託里親種別：養育里親、専門里親、養子縁組里親、親族里親の別

施設１か所の銀行口座情報

２経緯

里子を委託中の里親には、毎月、福祉相談センター又は児童相談センターから里子養育費(※)が支払われている。尾張福祉相談センターでは、里親の負担軽減のため、請求金額を入力した請求書をエクセルで作成してＰＤＦ化し、里親にメールで送付し確認してもらっている。

５月１日（月）に、里親５名に請求書を送付したところ、送付した里親の１人から電話連絡があり、ＰＤＦではなく、誤って他の里親等の個人情報を含むエクセルファイルを送付したことが発覚した。

※里子養育費：里親に対して支払われる里子の生活費、学費等

３当事者への対応

尾張福祉相談センターから、情報が漏洩した里親、里子、里子の親権者及び施設に、謝罪を行っている。

４再発防止策

今回の事案を踏まえ、県の全ての福祉相談センター及び児童相談センターに対し、本日、次のとおり指示を行った。

＜指示内容＞

個人情報を扱うことの重要性について、改めて職員に周知徹底すること。
里子養育費請求書を始め、個人情報をメールで送付する際には、複数人で送付先と添付ファイルを確認すること。
個人情報を含むファイルには必ずパスワードを設定し、担当者以外ではファイルを開けないようにすること。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-171】浜松いわた信用金庫　メールアカウント不正利用および迷惑メール送信に関するお詫びについて　2023年4月28日

当金庫の電子メールアカウントが第三者により不正利用され、当該アカウントから大量の迷惑メールが送信されるという事象が発生いたしました。当金庫といたしましては、本事象の発覚を受け、原因及び影響範囲を特定するための調査を進めておりますが、事実の判明には相当な時間を要するとの判断のもと、この度発生した事象について公表させていただくことといたしました。

今後、判明した事実については改めて公表していく方針であります。

なお、現時点では本件に関わる個人情報の漏洩、不正利用等は確認されておりません。

お客様ならびに関係者の皆様には、ご迷惑とご心配をお掛けしましたことを、深くお詫び申し上げます。

今後、同様の事象が発生しないよう、引き続きセキュリティ対策の見直しを行い再発防止に努めてまいります。

１．発生状況と対応

2023 年 4 月 23 日（日） 22 時頃から 2023 年 4 月 24 日（月）午前 9 時頃にかけて、以下のメールアドレスより、迷惑メールが大量送信されました。

　送信元メールアドレス：

　件名：「Fwd:」、「Re:」

　本文：英文等で記載された不審な内容

2023 年 4 月 24 日（月）午前 9 時過ぎに、上記不正利用されたメールアカウントを停止し、当該アカウントからメールの送受信が出来ないように対応しました。

不正利用された原因と影響範囲は現在調査中です。

２．当該メールを受信された皆様へ

2023 年 4 月 23 日（日） 22 時頃から 2023 年 4 月 24 日（月）午前 9 時頃に

から送付された迷惑メールを開封したり、本文中のリンク先をクリックすると思わぬ被害をうけたり、ウィルスに感染したりする可能性がありますので、開封せずに削除頂きますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-170】川崎市　川崎市高津スポーツセンター指定管理者による個人メールアドレスの流出について　2023年5月9日

川崎市高津スポーツセンター（高津区二子）の指定管理者（特定非営利活動法人高津総合型スポーツクラブＳＥＬＦ：高津区久本）が、令和５年５月３日に送信した「空き情報メール配信サービス」において、誤って個人のメールアドレス９２件が流出する事故が発生しましたので報告いたします。

１概要

高津スポーツセンターでは、施設の有効利用を目的として、施設利用のキャンセル発生時に、配信を希望される方に対して、空き情報をメール配信する「空き情報メール配信サービス」を実施しております。

本件は、当該メール配信登録者に対して、指定管理者から大体育室の施設の空き情報メールを送信するにあたり、誤ってメールアドレスが表示された状態で各個人あてに送信してしまったものです。

２影響

送信先：９２名

流出対象者：９２名

３経過

５月３日（水・祝）１４時１３分

指定管理者が空き情報メールを送信

５月４日（木・祝）１０時３４分

当該メールを受け取られた方から指定管理者あて御連絡をいただき、確認したところ、誤って全員を宛先に加える形で送ったことが判明

同日１６時４５分頃

指定管理者からの連絡により本市が事故の発生を把握

同日１９時５４分

指定管理者から対象者あてお詫びとともに送信したメールを削除いただく内容のメールを送信

４事故発生原因

高津スポーツセンター空き情報メール配信サービスマニュアルを整備し、これに基づく対応を行っておりましたが、今回のメール送信にあたってはダブルチェックを行っていなかったことによるものです。

５今後の対応

当該メール配信について、個人情報の流出を防止するため、今後はメールマガジンにより配信する形式に変更いたします。
今回の件を重く受け止め、指定管理者に対し、情報セキュリティ対策を踏まえた業務執行体制の確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

ハッキングスキル習得の道程

ハッキングを本格的に学びたいと思っているなら、あなたは正しい記事を読んています。この記事は個人的な学習経験と、私が今日持っている知識を得るのに役立ったリソースについて書かれています。

まず、あなたが初心者であることを前提に、コンピュータ、コンピュータハードウェア、OSの動作、基本的なネットワーキングについての基本的な知識を身につけることが重要です。また、Linuxコマンドの使用にも慣れておく必要があります。これらの基本的な知識は、オンラインのビデオ、記事、ブログなどを利用して学ぶことができます。

ステップ1

HackersploitによるYouTubeプレイリストを完了します。このチャンネルには初心者向けの145以上のビデオがあります。エラーが発生した場合は、GoogleやYouTubeを使って問題を自己解決します。知識は研究し、問題に直面し、再度研究することで得られます。

ステップ2

次に、CEH（Certified Ethical Hacker）認定の知識を得ることを目指します。ただし、業界ではCEH認定はもはや求められていないので、認定の取得は不要です。代わりに、CEHのシラバスを完了し、各トピックについて研究し、実践してみてください。このコースは3ヶ月間で基本をカバーします。

【CEHのシラバス】

チャプター1 - 倫理的ハッキングの紹介

ハッキングとは何か
倫理的ハッキングとは何か
ハッカーの種類
ホワイトハットハッカー
ブラックハットハッカー
グレーハットハッカー
スクリプトキディ
ハクティビスト
スパイハッカー
サイバーテロリスト
脆弱性
エクスプロイト
リモートエクスプロイト
ローカルエクスプロイト
ゼロデイ
ゼロデイ脆弱性
ゼロデイエクスプロイト
ブルートフォース攻撃
フィッシング
リモートアクセス
ペイロード

チャプター2 - 倫理的ハッキングの手順

情報収集
アクティブな情報収集
パッシブな情報収集
スキャン
アクセスの獲得
アクセスの維持
トラックの隠蔽

チャプター3 - 悪意のあるファイルの種類

ウイルス
ワーム
トロイの木馬
スパイウェア
アドウェア
バックドア
ルートキット
ランサムウェア

チャプター4 - ペネトレーションテスト

ペネトレーションテストとは何か
ペネトレーションテストの種類
ホワイトボックスペネトレーションテストとは何か
ブラックボックスペネトレーションテストとは何か
Linux OSの紹介
ソーシャルエンジニアリング

チャプター5 - Google Hacking Using Dorks Demo

ラボのセットアップ
仮想マシンとは何か
VMwareとは何か
Virtual Boxとは何か
VMwareのインストール
Parrot OSのインストール
Windows XPのインストール
Windows 7のインストール
Mozilaにアドオンをインストール
Tamper Data
Burp Suite
No-Redirect
Nessusのインストール

チャプター6 - システムハッキング

Kon-Bootを使用したシステムハッキング
ネットワークスキャン
ポートスキャン
サービススキャン
Nmapとは何か
Nmapを使ったスキャン
Nmapのさまざまなコマンド
Nmapを使ったファイアウォールのバイパス（詳細に学ぶ）

チャプター7 - Nessusを使ったスキャンメタスプロイトを使ったハッキング

メタスプロイトとは何か
メタスプロイトを使ったXpリモートエクスプロイト
Msfvenom
Windows7 UAC Bypass

チャプター8 - SE-Toolkitとは何か

SE-Toolkitの使用法
SE-Toolkitでフィッシングページを作成
Facebook & Gmailのパスワードハッキング

チャプター9 - リモート管理ツールとは何か

RATとは何か
RATを使ったエクスプロイト
RATからシステムを保護する方法

チャプター10 - スニッフィングとは何か

スニッフィングの種類
Wiresharkを使ったネットワークスニッフィング
Wiresharkを使ってFTPログイン詳細を取得

チャプター11 - DOSとは何か

DOSの詳細
DDOSとは何か、Xerxesツールのインストールと使用

チャプター12 - ワイヤレスネットワークハッキング

ワイヤレス暗号化
WPA 2のハッキング

チャプター13 - Webアプリケーションペネトレーションテスト

Webアプリケーションの動作
リクエストとレスポンス
スキャナーのインストール（Acunetix、Netsparker）
ウェブサイトのスキャン

チャプター14 - OWASP Top 10

SQLインジェクションとは何か
SQLインジェクションの種類
SQLインジェクションのデモ
XSS（クロスサイトスクリプティング）とは何か
XSSの種類
XSSのデモ
CSRF（クロスサイトリクエストフォージェリ）とは何か
CSRFのデモ
ファイルインクルージョンとは何か
ファイルインクルージョンのデモ
セキュリティミスコンフィギュレーションとは何か
セキュリティミスコンフィギュレーションのデモ
不適切なアクセス制御とは何か
不適切なアクセス制御のデモ
センシティブデータの露出とは何か
センシティブデータの露出のデモ
XMLエクスターナルエンティティ（XXE）とは何か
XXEのデモ
ブロークンアクセス制御とは何か
ブロークンアクセス制御のデモ
セキュリティミスコンフィギュレーションとは何か
セキュリティミスコンフィギュレーションのデモ
不適切なアクセス制御とは何か
不適切なアクセス制御のデモ
センシティブデータの露出とは何か
センシティブデータの露出のデモ
XMLエクスターナルエンティティ（XXE）とは何か
XXEのデモ
ブロークンアクセス制御とは何か
ブロークンアクセス制御のデモ

チャプター15 - ファイアウォールとは何か

ファイアウォールの種類
IDSとは何か
IPSとは何か
ファイアウォールのバイパス方法

チャプター16 - ハニーポットとは何か

ハニーポットの種類
ハニーポットの設定

チャプター17 - IoTとは何か

IoTデバイスのハッキング
IoTデバイスのセキュリティ

チャプター18 - クラウドセキュリティとは何か

クラウドコンピューティングとは何か
クラウドコンピューティングの種類
クラウドコンピューティングの脆弱性
クラウドセキュリティ

チャプター19 - クリプトグラフィとは何か

暗号化とは何か
暗号化の種類
ハッシュ関数とは何か
ハッシュ関数の種類
デジタル署名とは何か
デジタル証明書とは何か
SSLとは何か
TLSとは何か
VPNとは何か
VPNの種類

チャプター20 - フォレンジックとは何か

デジタルフォレンジックとは何か
デジタルフォレンジックの種類
デジタルフォレンジックの手順
デジタルフォレンジックのツール

ステップ3

CTF（Capture The Flag）を解くことを始めます。これはハッキングを学ぶ最も楽しい方法で、ゲームのように感じます。Vulnhubなどのプラットフォームで簡単なCTFから始め、難易度を徐々に上げていきます。

ステップ4

OTW（Over The Wire）のNatas Webチャレンジを解きます。これにより、Webハッキングの知識が向上します。

ステップ5

次に、Pythonを学びます。Pythonは少し退屈かもしれませんが、ハッカーがスクリプトやツールを書くために使用する言語なので、非常に重要です。

ステップ6

Pythonを学んだ後、BlackHat PythonやViolent Pythonのような本を読み終えることを目指します。これらの本は、実際のハッカーがPythonを使って攻撃的なハッキングを行うためのスクリプトやツールを書く方法を教えてくれます。

その他の情報

Android/IOSのハッキングに興味がある場合は、AndroidとIOSのペネトレーションテストについて学ぶこともできます。また、リバースエンジニアリングも重要なスキルであり、"Secrets of Reverse Engineering"という本を読むことをお勧めします。

ハッキングは新しいことを学び、課題を解決することについてのものです。多くのトピックがあり、学び続ける旅です。エラーや問題、質問があることは学習の一部です。情報セキュリティコミュニティの人々は非常に助けになり、彼らと話すことで多くのことを学ぶことができます。

ハッキングを学ぶための秘密のフォーラムはディープウェブにはありません。本、ブログ、研究、CTFの解決、実生活のプロジェクトを行うことで学びます。ハッキングを学ぶためのx y zのパスはありません。各ハッカーには自分自身のパスや旅があります。それを行うことで学びますので、学び続けてください。

出典：How to Learn Hacking? My Path!

【セキュリティ事件簿#2023-168】港区　お知らせの誤配信による個人情報の流出について　2023年5月2日

区立保育園の職員が、3歳児クラス園児一人の保護者に保育中の様子などを、スマホ等で情報の配信ができる「保育支援システム」（以下「システム」といいます。）のお知らせ一斉配信機能を用いて配信する際、誤って3歳児クラスの保護者全員にも配信してしまいました。配信した内容には、当該園児の名前と、保育中の様子や園での過ごし方に関するお願い事項などが記載されていました。

区は再発防止に向け、情報配信の取扱いについて厳正を期すことを徹底し、区民の皆様の信頼回復に努めてまいります。

経緯

令和5年4月28日（金曜）に、区立保育園職員が、システムのお知らせ一斉配信機能を用いて3歳児クラス園児の保護者一人に、その園児の保育中の様子や保育園での過ごし方に関するお願い事項を配信すべきところ、誤って3歳児クラス全員の保護者に配信してしまいました。

その後、保護者から「違う園児名のお知らせが届いている。」との連絡があり、誤配信していたことが判明しました。

また、5月1日（月曜）に、保育園側でシステムを操作して、お知らせ一覧から本件を削除しました。

原因

通常、お知らせ一斉配信機能を使って配信する際、内容を作成した職員とは別に、公開権限者（係長職）を含む二人がその場に立ち会い確認してから配信することになっています。

今回、確認を行った職員は、通常二人で確認するところを一人で行ってしまい、また、配信する文章の修正に気を取られ、配信先の確認を見落としたことが原因です。

再発防止策

区は、今後このような誤りを起こさないために、作成者と公開権限者（係長職）による配信時のダブルチェックの徹底に加えて、配信時にリーダー等の立ち合いの下、一斉配信か個人への配信か等を声出し及び指差し確認の上、配信するとともに、個人が特定されないよう本文には名前等は記載しないことを徹底してまいります。

また、職員に個人情報の取り扱いに関する研修を実施して個人情報の重要性を再認識させるとともに、緊張感を持って業務にあたるよう指導してまいります。

リリース文（アーカイブ）

登録: 投稿 (Atom)