Sen Ueno
@sen_u
Followers
9,810
Following
1,710
Media
1,454
Statuses
47,321
サイバーセキュリティの株式会社トライコーダ、OWASP Japan Chapter Leader など。飲むとすぐ寝る。
日本 東京
Joined April 2007
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
Iggy
• 316213 Tweets
#GranHermano
• 192377 Tweets
#WWENXT
• 79896 Tweets
Lali
• 74193 Tweets
Game 5
• 67327 Tweets
Kyrie
• 65984 Tweets
#SnowMan
• 58225 Tweets
Mavs
• 52603 Tweets
僕のもの
• 36478 Tweets
Renê
• 35926 Tweets
Delfina
• 35504 Tweets
#君のボディガード
• 29579 Tweets
Mika
• 29471 Tweets
王道夏恋ソング
• 25665 Tweets
Doncic
• 24453 Tweets
ロッキン
• 23497 Tweets
Gobert
• 21439 Tweets
Belgrano
• 20557 Tweets
超・獣神祭
• 19241 Tweets
Guercio
• 18302 Tweets
Panthers
• 17959 Tweets
バナナブリュレフラペチーノ
• 14431 Tweets
ブートヒル
• 13240 Tweets
Ethan Page
• 12152 Tweets
HilangnyaKasus Timah271T
• 11989 Tweets
चौधरी चरण सिंह
• 11156 Tweets
Wheeler
• 10934 Tweets
何年か前にやった「天職の就き方」ってプレゼンの中で自分の「天職」の定義が「好きなこと」「できること」「お金になること」の3つが揃ったとき。どれか1つでも欠けると夢、趣味、労働と呼ぶ。
54
36K
107K
長野県人には常識らしいけど、この七味の出口は必ず唐辛子のヘタの上に穴があるらしい。人生でこのフタを無駄に何回回したことか。この先の人生の時間を節約したな。
82
11K
29K
ここで衝撃的な話を聞いて欲しい。ドイツのヒルシュホルンでホテルに泊まっているのだが、この2日間客が俺しかいない。それはいいとして、2日目の今日ホテルの戸締まりも任された。スタッフは帰るらしい!w
6
6K
3K
中国の何百もの漁船がアルゼンチン沖で消失。消失しているのは追跡システムAISを無効化していて、漁船の位置を隠してアルゼンチンの領域に入って漁をする違法な行為を行っているとのこと。
28
1K
2K
ドイツの古城のホテルにおっさん一人で泊まりに来た。他に客がいないのか、ハネムーンルームというめっちゃラブリーな部屋に通された。外観から中まで中世ファンタジー。でも、ビール飲む以外にすることはない。
7
2K
2K
本人は「俺は生涯現役エンジニア」って息巻いてるが、実際にはただの老害の話を聞いたので、生涯現役エンジニアの方は老害になってないかご注意下さい。もしくは独立して下さい。
4
278
770
セキュリティを全くやっていないところからの相談。最低限読んで欲しいと下記3点セットを紹介した。
サイバーセキュリティ経営ガイドライン
ECサイト構築・運用セキュリティガイドライン
セキュリティ対応組織の教科書
1
101
638
Zoomで中国の盗聴が!って気になる人は中国と香港を経由しないように設定変更すると良いよ。ZoomのWebポータルから、管理者>アカウント管理>アカウント設定>ミーティング内にある「データセンターの領域を選択」をオンにして疑ってる国をチェック外すだけ。
8
307
625
Webとかで見る「三」みたいなボタン?を「ハンバーガーボタン」って言うと教えてもらってから、たまに解説の時に使うけど誰も知らないんだがホントに言うのか?一部のデザイナーだけが使ってるのでは?
22
208
602
Sky社の担当の人に「何でも好きに書いて下さいね」って言われたので「じゃあ、SKYSEAの脆弱性でもいいですか?」って言ったらOKだった。
1
84
591
お名前.comが連日ドメインの期限日を確認しろとメールを送ってくるけど、毎日送ってくると人は無視するようになるので本当の期限切れの際に役に立たないからこのやり方は改めた方がいい。ちなみに2年ほど期限残ってます。
8
283
555
最近不満な Evernote の代替を探し続けてきたけど先日知った『Joplin』がいいかも。Markdownが普通に書けて最高だし、OSSでDropboxでも連携できて暗号化(E2EE)対応。もちろんEvernoteデータもインポートできる。 Evernoteは13年使ったけど乗り換えそう。
2
89
530
マルウェアの攻撃によってDDR SDRAMバスに流す電流を操作し、IEEE802.11b/g/n の周波数の電磁波を発生させる。それによって100bps程度で1.8mぐらいデータが飛ばせるのだとか。なんだそれスゴいな。
0
329
527
三菱UFJ銀行で新しく秘密の質問の登録が始まったけど、この辺の回答って私のWikipediaだったり、友達だったり親戚だったりしたらわかるよね。
「ご本人確認が必要になった場合に使用されます」ってあるけど、それならパスワードや何らかのデバイスで良くない?
20
305
494
GPT-4に課金して15分ぐらいでもう手放せなくなってる。資料作りやその下調べが加速するわ。
たまに嘘をつくという話を聞くけど、作る資料は自分の専門分野だし間違いは自分でわかるから問題ない。
3
96
490
○○.tokyoってドメイン取った4日後にドメインレジストラから不正利用の疑いがあると強制廃止にされた。まだAレコード1つ登録すらしてないのに、何の理由かも答えないし、2度と.tokyoドメイン取らないわ。
3
391
474
AirDropユーザーの電話番号のSHA-256ハッシュを解読し、ミリ秒単位で元の数字を発見することが可能らしい。AirDropは送信者は認証ハンドシェイクの中でユーザーのメールアドレスか電話番号のハッシュを送信するみたい。AirDropの仕組みってそうなってるんだ。
1
232
421
スピード重視だからセキュリティは仕方ないって言うけど、セキュアな要件定義や設計、実装は遠回りじゃなくて、右から行くか左から行くかくらいの違いで理解してる人がやれば工数にほとんど差はない。屁理屈で出来ない理由にしないで欲しい。セキュアな要件定義書とか無償で公開されてる。
6
124
419
創業時に「4分の1ルール」という売上1/4以上を1社に依存しないルールを作って実践している。私がストレスなく仕事してる方法の1つで、起業する人や独立する人にもお勧めしてる。自分に不利な条件を提示されても最悪1/4なら捨てても死なない。だから良いお客でも1/4を超えないように気をつけてる。
2
95
410
『本人確認プロセスのためにご提供いただきました、お客様の身分証明書、セルフィー画像、住所証明等の本人確認書類28,639件』
この情報漏えいはヤバいだろ。eKYCとかで悪用される未来しか見えない。
2020年11月13日に発生した当社利用のドメイン登録サービスにおける不正アクセスにつきまして、最終報をお知らせページに掲載いたしました。
30
282
234
0
535
375
コンピューターサイエンスはちゃんと学ぶとこのITの世の中の仕組みがわかって知的好奇心満たされまくりで楽しい上に、ITを仕事にするなら揺るぎない基礎を築けるのだから学ばない手はない。プログラミングとか形から入った人も後からでも学ぶと良いと思います。
2
63
365
電波時計がしばしば狂うので手で合わせたり、JJYシミュレータとか試してたけどイライラしたので、Wi-FiでNTPにつなぐ電波時計用リピーターP18-NTPWR買ってみたら、機器が離れてても電波時計の時刻がすんなり合ってくれてめちゃめちゃ気持ちがいい!10m飛ぶと書いてる。早く買っておけばよかった。
2
227
360
Zoomを会社で使うとかセキュリティ大丈夫ですかってリプ飛んできたけど、オンライン会議禁止ってなら仕方ないけど、使うならZoomもTeamsもWebexもリスクはそんな変わんないよ。Zoomに脆弱性があるっていう古いニュースの印象で止まってるんだろうな。
5
114
353
ある組織のTeamsの外部ゲストにinviteされてて、全然接続できなくて、新しくメールアドレス作ったり、macとiPhoneで試したり、先方にもトラブルシュートしてもらってたら、原因は外部ゲストはWindowsしか許可されていないことだった。めっちゃめんどうくさい。Teams捨てて欲しい。
1
76
340
ペネトレーションテストはセキュリティ的に成熟した組織が受けた方がいいですよと言っていますが、実施前にはこの記事の内容ぐらいは最低限確認しておいた方がいいと思います。この辺があると1日目でAD陥落してしまうことも。
0
59
312
海外カンファレンスで日本人がスマホでガシャガシャ音を鳴らして写真撮っていて、うるさいって怒られるの毎回見てる。日本のだけが音が消せないって知らないしね。写真撮るつもりなら、海外スマホか、カメラ持ってきた方がいいって、誰か事前に教えてあげるべき。
5
626
299
ゼロトラストしたい人はまず目次だけでも読むと良さそう。
米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書
0
67
304
なんかまとめられてた。/ ドイツの古城のホテルに泊まったら他に客がおらず、お留守番まで任されちゃったお話「羨ましいけど怖い」 - Togetterまとめ
1
480
261
解析のベースとしたハードはGigabyte GeForce RTX 2080 Ti Turbo11GBっぽい
1
144
263
サイバーセキュリティ関連の報告書いろいろあるな。読み応えありすぎる。
経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在: まるちゃんの情報セキュリティ気まぐれ日記
0
43
264
某全社員在宅勤務にするぞと息巻いてるメーカーさんとオンライン講義しようとリハーサルしたら、ブラウザがIE11とかめちゃ古いChromeとか、社用PCにアプリケーションインストールできないとかで、Zoomが誰も正常に開始できずに無事死亡。大丈夫か?そんなんで在宅勤務にして!
3
127
255
ひゃー。Tile使ってるけど海に沈めてこようかな。
探し物トラッカーTileを買収したLife360、数百万人の正確な位置情報データを販売
1
367
258
バズってるので弊プロジェクトで作成してるWebアプリのセキュリティ要件定義書を宣伝させて頂きます!開発者や発注者の皆様ご自由にご活用下さい。
1
43
247
アメリカのセキュリティ系官庁のCISAが無料のサイバーセキュリティサービスとツールの一覧を紹介。CISAのサービス以外にも防御や検出、インシデント対応、レジリエンスなど各社のサービスやツールがたくさん載っています。
0
52
245
こんないい資料公開されてたのか。オリパラのサイバーセキュリティのレガシーだな。
2020年東京オリンピック・パラリンピック競技大会のサイバーセキュリティの確保に向けたリスク評価資料一式(2021年4月)
1
66
243
Sky社の社内報SKYSEA Client View newsで連載を始めました。1回目からSKYSEAの脆弱性の悪用について書かせてくれる良い会社です!Webでもそのうち公開されるようです。
2
75
237
SSHサーバーを安全に立てたいなら公開鍵認証を適切に設定するのはもちろんだけど、22/tcpを別のポートに変えるだけで攻撃がくる可能性はだいぶ減るよ。全ポート探索するのは意外と手間なので、nmapのTop1000とかに入ってないポート(20022/tcpとか)ならなおさら効果有り。
0
82
223
対人関係とかどうするの?っていうリプがありましたが、このプレゼンの中では「ストレスは自分ではどうしようもない状況下で感じる」という理屈の元に、私は従業員を雇わない1人でやる株式会社というのを立ち上げたという話です。
0
31
214
何か事件が起きたとき、セキュリティ界隈にいる誰かが急に黙ると、それはその人や会社が事件の解決に携わってるとき。逆にどこかの問題について語ってるなら、その人の客じゃないってことだ。
0
59
215
ペネトレーションテストを業務としてやりたいなら、hack何とかとかペンテスト資格だけじゃなく、一般的な開発手法とか環境とか言語とか、awsはもちろん流行のクラウドとか知っておいた方が良い。実際の現場で必要なのはそれ。脆弱性を攻めるとかホントピンポイントでしか使わない。
0
53
213
バズったし宣伝して良いのかな。私の天職はサイバーセキュリティという分野ですが、世の中もっとセキュリティのテストをやっておけばWebなどでの事件事故が減るはずです。
『Webセキュリティ担当者のための脆弱性診断スタートガイド』という本を書いているので是非!
3
32
207
無事に朝を迎えられてよかった。このままお城に1人取り残されるかと思ったけど、さっきスタッフが出勤してくるのが見えた。一国一城の主はこれにて終了だな。
1
465
202
情報セキュリティ文化賞受賞しました!このご時世ですので残念ながら授賞式は中止となり、トロフィーと楯を郵送にて授賞です。ありがとうございます!
3
18
207
Microsoftが公開している「Threat Hunthing Survival Guide」が脅威ハンティングって何?どういうことするの?という入門として最適なドキュメントだった。(下記ページの「e-Bookを入手��る」のリンクから)
1
36
207
専門家が自分の分野で何か間違えたことを発信して指摘された場合、正しいことを学び直して、再度発信し直すしかないんじゃないだろうか。自分の場合は指摘して頂いた方にインタビューまでしにいって訂正記事にした。また上野宣ですw
1
77
202
7payみたいな事がないように、OWASPなどで無料で使えるセキュアWebアプリの要件定義書や脆弱性診断ガイド作ったり、ハンズオンまでやってるのに、使ってくれないと意味ないよな。普及も頑張る!
0
95
198
ドメインレジストラに登録しているDNS情報が不正に書き換えられる件が複数起きているようです。手口は似ていて「」だった場合「」と0が付いた劇似ドメインに書き換え。皆さん自社ドメインをWHOISしてDNSが正しいか確認してみて下さい。
0
181
186
めっちゃまとまってる。/ 【悲報】ドイツの古城のホテルに泊まったら他の客が誰もいないうえに、スタッフは戸締まりを自分に任せて帰ったwwwwでも、古城にたった1人というのは素敵やん(古城画像あり)|オタクニュース
1
246
176
いつの間にか徳丸さんが解説してた。
1
49
180
昨日の講演で「情報漏えい」「情報流出」と報道されると企業が悪いイメージだが、本当に悪いのは犯罪者なので「ハッキング被害」「窃取」「盗まれた」という表現にした方がいいという提案があった。英語のニュースだとたしかにそういうニュアンス。その方が良いかも知れない。
0
58
174
「security.txt」の目的はセキュリティ研究者などが発見した問題について企業と連絡をとる方法について記載するもの。連絡先、暗号化のための情報、謝辞、セキュリティ関連の求人へのリンクなども記載できる。RFCのドラフト段階にある。知らなかった、広めていきたい。
1
78
169
え?三菱UFJ銀行さん、令和の時代に「秘密の質問」始めるんですか?NIST SP800-63-3でも秘密の質問はNGになりましたけど。
『(BizSTATION��約のみのお客さま)初回ログイン時、新認証項目「秘密の質問」のご登録が必要です。』
0
138
172
こんにちは。「社外のセキュリティアドバイザー」です。教科書に載せたいレベルの事件でした。
ある日突然、自社ドメインが乗っ取られた――“原因も手口も不明”の攻撃に、セキュリティチームはどう立ち向かったか
0
58
166
脆弱性診断士スキルマッププロジェクトから『Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.1(2021年3月版)』を公開しました。現在求められるセキュリティ要件を加味した内容になっております。
0
51
170
ホワイトハウスがサイバーセキュリティチェックリストを発表
多要素認証の義務づけ、パッチ適用やパスワード変更、オフラインバックアップ、従業員教育など。一般的な内容な気もする。
0
42
168
あるCSIRTメンバーと輪読してた『クラウドネイティブセキュリティ入門』が良かった。コンテナやマイクロサービス、イミュータブルインフラなどの技術解説とセキュリティ脅威や対策、開発から組織論までのアプローチを解説。DevSecOpsしたい人に最適です。
0
24
166
通ってる歯医者の女医さんがいつも「がんばりましたね!」とか言って励ましてくれるんだけど、今日は「うがい上手ですね!そんなにうがい上手にする人なかなかいないですよ!」と言われて40年ぶりにうがいを褒められてまんざらでもなかった44歳です。人は何でも褒められると嬉しい。
3
16
164
「マルウエアの教科書」増補改訂版頂きました。ありがとうございます。
分厚くなってない?って思ったら生成AIやランサムウェアなどで70ページも増えてた。これは読み直さねば。
2
21
158
平時の対策から有事の対策まで網羅されているそうです。参考事例なんかも紹介されていて発売に期待!中身がよかったら客先での勉強会などの参考資料にしよ。
0
32
160
古城ホテルで晩ご飯食べてるときに、明日はレストランは閉まるし、ホテルもドアを閉めるから、出掛けるなら鍵を忘れるなよ。と言ってたけどまさか全員帰るとは思ってなかった。私にも気軽に考えていた頃もありました。でも、いいホテルなんだよ!
1
187
150
後世のために教科書に載せる事例として永久保存したいレベル。経過も見守りたい。
【Omiaiまとめ①】個人情報171万件の流出「クソ過ぎる対応が話題」
0
47
150
「情報セキュリティ文化賞」というのを受賞させていただく事となりました。受賞理由はどれも一人では成しえないもので支えていただける皆さんのお陰です。
5
26
149
『Webアプリケーション脆弱性診断ガイドライン 第1.2版』を脆弱性診断士スキルマッププロジェクトで公開
CSSi、Relative Path Overwrite、SSTI、SSRFを始めとした脆弱性項目の追加や診断方法などの見直し実施。ご活用下さい!
1
52
148
デジタル庁より最適な脆弱性診断を選定・調達するためのガイドラインが公表されました。当脆弱性診断士スキルマッププロジェクトも助言などで協力させて頂きました。民間でも参考になるかも。
DS-221 政府情報システムにおける脆弱性診断導入ガイドライン
1
34
146
中国の攻撃者が好きな脆弱性トップ20を米国当局が発表
1位はLog4jの脆弱性、Pulse Connect Secure、GitLab CE/EE、Atlassian、Microsoft Exchange、F5 Big-IPなどが並ぶ。当たり前だけどRCEが多いね。
0
38
145
ハッカージャパン創刊から25年ぐらい?の付き合いのある斉藤さんに取材して頂きました。
シリーズ「ハッカーと仕事」第4回~情報セキュリティを天職とするには
#jha
@japanhackera
より
4
33
140
脆弱性診断士スキルマッププロジェクトから『脆弱性情報開示のためのチートシート 』を公開しました。
脆弱性を取り扱う組織や研究者の両者に脆弱性の公開プロセスに関するガイダンスを提供することを目的としています。
1
39
141
安全なWebアプリ開発にご利用頂ける『Webシステム/Webアプリケーションセキュリティ要件書 Ver.4.0』を脆弱性診断士スキルマッププロジェクトから公開しました。ご活用下さい!
0
39
142
多くのドキュメントとか教科書に「.org ドメインは非営利団体などしか取得できないので信頼性の証しである」と書かれているらしい。ホントに?.orgドメインは"誰でも" 15ドルで取得できる。っていう.orgドメインあるのウケるw
1
61
139
学生の時にはペネトレーションテストなんて言葉は知らなかったけど、詳解TCP/IPを読み込んでBSDのソースコードも読んで、TCP/IPの解説する連載を雑誌に書いてたのは今の下地になってる。広範囲に応用効くから学生のうちに基礎やるのは大事だよ。社会人になるとそんな時間なくなる。
0
13
136
ある資格がディスられてるけど、貴方を知らない人がその資格を持ってるのを知ったときに、どこまで専門的な話をしていいかという共通言語がある程度わかるので履歴書に書けるだけって以上に便利。IPAのポスターにも『「技術がある」と口で言うだけじゃ分からない。』って言ってる。
0
66
136
NICTへの出向は事実上の更迭w
「国立研究開発法人の情報通信研究機構総務部副部長に出向させる人事を発表した。7月1日付で、事実上の更迭とみられる。」
総務省放送政策課長 事実上更迭 接待11回受ける:朝日新聞デジタル
4
65
135
OWASPで公開している Vulnerability Disclosure Cheat Sheet(脆弱性を公開するためのイロハ)という文章がとても良かったのでWGで日本語化していく所存です。とりあえずGoogle翻訳でもいいから皆読むべき。
0
41
136
政策研究大学院大学の詳細な不正アクセスの調査報告書ありがたい!
従来型の社内システム的なネットワーク構成の組織の方々は、同様のことが起きた場合、自社で検知したり被害最小化するにはどうしたら良いかを考えながら読むといいかもしれません。
0
36
134
デジタル庁から『DS-221 政府情報システムにおける脆弱性診断導入ガイドライン』の改訂版が出ております。
0
41
131
情報処理安全確保支援士は弁護士と同じ士業なのに資格がないと出来ない仕事がないと思ってたでしょ?残念!制度が変わり支援士集合講習講師は要資格者になったので、受けろこの無資格野郎!と言われたので先日受けたら一応合格したみたいです。
6
17
125
Zoomに色んな意見があって使わないようにしている人たちから数々のコメント寄せていただいたけど、過去にソニーがrootkitでやらかした件とか、スノーデンの報告にあるアメリカがやってた内容とか知ったら、その人たちはソフトウェアどころかインターネットも使えなくなりそう。
0
46
122