はてなキーワード: ゼロデイとは
どうせ反自動運転派のレッテル貼られるんだろうけど、事件当時はやっぱ自動運転なんて危険だ、もう乗りたくないみたいな空気だったじゃん
例のヒプノ広告の成果なのか知らんが、もう誰も怖がってないのが、逆に俺には怖いよ
カメラアイがハッキングされる危険性を隠して販売してたことも、最初チョロっと報道されただけでもう誰も言ってないし
(赤信号を青だと誤認識させる技術の存在を知ってたから俺は「やっぱりか」って感じだったけど)
事件当時ネットで「どうせバカが手動操作で運転してたんだろ?」みたく手動運転派が槍玉に挙げられたのも気持ち悪かった
そりゃ「自動ぉ〜運転安心安全♪」と毎日呪文のように聞かされてたんで気持ちはわかるけど、
何もわかってない内から住所氏名卒アル勤務先まで晒されてたのは本当最悪だった
この前の配信でも語ってたけど、突然17人を次々と跳ねた大犯罪者に仕立てあげられたらそりゃ吊りたくもなるわな
後で真相がわかったのが唯一の救いだった
俺は自動運転野郎にぶつかられるのも怖いから気をつけて運転してるけど、あいつら何でもないことでビープ鳴らすからマジで腹立つ
自動運転車専用レーンといい、どうしていつも手動運転派が肩身の狭い思いをしたり老害呼ばわりされなきゃいけないんだよ
例えばゼロデイ脆弱性を悪用されたら即卒アル晒しの刑、あるいは崖からダイブさせられたりするかもしれないのに、マジで何で平気で乗れてるの?
多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
webページを開いたら仮想通貨発掘するサイトが増えてるが、それをウィルスだと思ってる人が少なからずいるようだ
少し前に某マンガサイトに仮想通貨のウィルスがあるなんて書いていたのを拡散してたから鵜呑みにでもしたのだろう
まずwebページを開いたところでできることは少ない
exeファイルを開くのとは違って、webページではできることが厳し目に制限されている
ユーザが自分からドロップでもしなければ、ローカルファイルの中を見ることも出来ないし、別のショッピングサイトのwebページで入力したクレカ番号を見るなんてことはできない
古いOSやブラウザなら脆弱性をつかれて、任意のプログラムが実行されるなんていうことがあるかもしれないが、普通にアップデートしていれば気にすることはない
最新ブラウザでも修正前の脆弱性を使ったゼロデイなんていうものもあるが、めったにあるものでもないしそれを恐れてwebページを開かないなんていうのは、外に出たら事故に合うからと家から出ずに引きこもってるのと同レベルだと思う
セキュリティは専門じゃないからそこまで詳しくないが間違いがあったらブコメでなんか書いてくれるだろう
詳細にどんなプログラムが動いているかまでは把握してはいないが、上の制限がある以上ブラウザ上で実行できることしかしていない
仮想通貨の発掘とは言っても何かの計算をしてるだけで、一般的な発掘と聞いて想像するようなことじゃない
その計算というのをwebページを開いた人にさせるのがwebページ型の仮想通貨の発掘だ
自分一人でやるのに比べれば開いてくれた人みんなで計算できる分多くの計算ができて多くのお金を稼げる
ページを開いた人から直接お金を取るわけでなく、ページ管理者がお金を得る仕組みとしてはweb広告(アフィリエイト)に近いものだ
暇つぶしや価値のある情報を提供してくれているわけだから、管理者にお金が入ることを嫌う必要はないと思う
広告の場合でも意地でもお金を稼げないようにリンク踏まずにわざわざ自分でググったり、広告ブロッカーを入れたりする人がいる
邪魔な広告があるページも多いからブロックはわかるが、クリックせずにわざわざググってから同じページを開いてページ管理者の収入をなくそうとするほどのアフィ嫌いが病的だと思う
どちらかといえば趣味に関する新しい情報が入ることもあり好きな方だ
しかし、webページによっては、見えない広告が表示されていてリンク押したはずなのに関係ない広告が開かれたり、スクロールしたら付いてきたり、マウスを動かすとついてきたりするとても迷惑な広告があるページも存在する
そういったページになるくらいなら仮想通貨発掘を入れて邪魔な広告をやめてほしい
もちろん両方を入れることは可能なのだが、仮想通貨発掘の場合は長くユーザがいてくれたほうが得になる
そのため、両方入れていてもこういうユーザの気分を害するような広告は控えめになってることが多い印象がある
広告みたいに画面にアピールされずに見えないところでプログラムが動いてるだけである分ユーザにはありがたいものではある
が、デメリットもある
それがCPUを常時使う部分だ
モバイルだと少し気になるかもしれない
だが、動画再生やずっと動いてる広告がたくさんある場合やゲームをしている場合と比べると極端に変わる部分でもないと思う
ただwebページを見てるにしては電池が減るなと言う程度だろう
それが困るのであればそういったページを開かなければいいが、暇つぶしコンテンツを提供してくれてるわけだからゲームしてるのと同程度であれば個人的には気にしなくていいレベルだと思う
PCであれば、電池は気にしなくて済むが、電気代が関わってくるとも言える
しかし、電気代と言ってもそのPCが処理出来る限界を超えるわけでもないのですごくハイスペックPCでもないなら大したことにはならないと思う
PCの処理での電気代といえばWindowsUpdateのほうが困ってる
よくよくCPUがフル使用されてるし、何時間経っても終わる気配がないことがある
フルで使用されてるから他のソフトがすごく重いし、さらには夜などに勝手に起動してから長いことアップデートをしてそのまま起動したままになってたり
それに比べればwebページ開いてるときだけな上にwebページのコンテンツを見る分には困らない程度のCPU使用率なんて全然気にするほどでもない
まあ、電気代等は気にする人はすればいいのだろうが、変に誇張して言ってる人を真に受けて悪いものだと思い込む必要はない
個人情報が盗まれたりはしないし、ムダな処理がされているだけだ
あえていうなら、ひどい作りのwebページでムダなJavaScriptタイマがいっぱいあって常時なにかやってることもあるから、仮想通貨発掘をしていてもそれよりマシということもあるかもしれない