「脆弱性」を含む日記 RSS

はてなキーワード: 脆弱性とは

2022-05-22

anond:20220522163908

phpはそのうちflashみたいに消える

脆弱性がいつまでたっても湧いて出るので

2022-05-21

結局VLC media playerは使って大丈夫なのか?

脆弱性があるだとか、誤報だとか、何を信じたらよいんだ

GOMとかはあからさまに胡散臭いから使いたくない・・・

2022-05-13

anond:20220513085041

これ、AVを潰したい女性が集まって、どんどん契約して、AVメーカースタジオや機材揃えてから当日に契約解除、ってのを繰り返せば、AVメーカー潰せるよな

いままでは未成年回避すればとりあえずリスク減らせたけど、新法だと年齢制限無しだから、明らかにAVメーカーに不利な脆弱性のある法律だよ

2022-05-06

anond:20220504211823

マネージドは手間がかからない分高いっていう当たり前の話してるだけなんだよね例の記事

赤字前提の個人開発なんて人件費ゼロなんだから手間かけてナンボだよ

ヤバい脆弱性なんてちゃんニュースになるんだから対応すれば良いし、バックアッブと定期更新ちゃんスケジュール切ってやれば良いし、それが無理ならフロントエンドしか出来ない自分を恨んで金払え

あるいは趣味しろ 趣味は金かけてナンボだ好きにマネージドサービス使え Firebaseだって使っていいぞ

2022-05-05

anond:20220505173659

さくらと ConoHa に VPS 持ってるよ。

個人情報置いてないので放置脆弱性あるかどうかもわからん

それに対する罪悪感はちょっとある。

金を払ってでも、そういうのから開放されたいんだよね。

anond:20220505101954

時間があって、自分人件費がタダならね

結局15年前は学生だったからできたけど、子供もできるとそうも言ってられないというよくあるやつでしょ

あるいは15年前の脆弱性放置でいいのなら

anond:20220504211823

★★再追記

レンタルサーバは、自由度が低くてストレスになるからやらない。SQLでwith使いたいかMySQL8をって言ってもさくらレンタルサーバじゃ無理なんでしょ? あと同居利用者のせいで高負荷ってのも避けたい。そこを気にしない人はレンタルサーバでいいと思うよ。

あと LB $0.025/h だった。月2000円くらいか

追記

LBは独自ドメイン+自動更新無料SSL証明書のためね。Cloud Storageの無味乾燥ドメインでいいなら、SSL自動かつ無料でほんとに月数円。

-------

もうねめんどくさいんだわ。もちろん以前はそうやってたよ。

PHPだのApacheだのMySQLだのインストールしたり設定ファイル置いたり、

脆弱性対応したり、SSL証明書更新したり、一応落ちてないか無料監視サービス使ったり。

でも仕事ならともかく、趣味からこそこんなことやりたくないじゃん。

なので、コンテンツは Cloud Storage に置く。

Cloud Load Balancing も使う (無料 SSL 証明書のために)。

認証必要なところは Cloud Identity で。

動的部分は Cloud Functions で。

AWS なら S3+ALB+Cognito+Lambda だな。

そうしておけば、放置できる。自前で立てたマシンインスタンスもないから落ちてるかどうかとか気にしなくてもいい。負荷も考えない。クラウド様がよきにはからってくれるさ。たまにクラウド障害あるかもしれないけど、Google なり AWS なりが頑張って直してくれる。

って感じ。

ちなみにこちらは 1日数十アクセスの過疎サイト独自ドメイン+自動SSL証明書にするための Cloud Load Balancing に 4000円くらい払ってる。それがなければ月数円。

2022-05-02

マイクロソフト陰謀により切り捨てられたcorei7-6700Kユーザーなんだが

俺はどうしたらいい?

お前ら昔はこういうときさっさと解決してたよな?

それともお得意の「ググって自分でわからない人には教えませーん(ゆーて単にワシも知らないんだが知らないって素直に言うのやだからマウント取りつつ誤魔化そ(^_^;))」って流れにするのか?

いやまあやり方はなんとなく分かるんだけどこのやり方でいいとは思えないというか、多分やったら脆弱性を突かれるリスクがある気がしてならねえ。

世界で同じことノリでやった奴が1000人に1人いたらWINユーザーが5億だとしても50万人釣れるわけだし仕掛けられそうだなって。

まあ買い替えろって話よな。

それかWIN10を使い続けながら酸っぱい葡萄

分かってんだよ俺だってそれぐらい。

でもなんか悔しいよな。

2022-04-27

自分は何年か前、例の服のブランドユーザーだった

で、あそこならああなるのもちょっとからなくもないなーって思うところもなくはないし、それを話してみたい気持ちもある

落ち度があるというよりは、そういう脆弱性があったかも、みたいな話

けど、別にソースのあるような話ではなくあくま自分の感じたことの話なのでうかつに話せないなーと思っている

もしあのブランド非難するのであれば、今ユーザーである人がする方が妥当だと思うし

と言いつつあのブランドユーザーになったことがある人向けにうっすら語れば、もうひとつブランド運営方針と比べるとちょっと色々うかつだったよね、って言うとたぶんわかってもらえるかも

もうひとつブランドが良い意味運営がしっかりしてたとも言える気はするけど

何にしても、自分の体型にあった服を着た人がただ背筋を伸ばして自信を持って暮らしているいるというだけのことを、「見せるんなら性的目線で見ていいんだ」という下劣偏見に置き換えることだけはほんとやめてほしいな、本当に

anond:20220427003337

単独パトロンに頼ったらそこが脆弱性になるんだよ。

ちょっと前にプーチン好意的に担がれてた頃と何が違うんだ。


ただ、Twitterという企業自体そもそも営利企業として事業継続性に難があるというのは事実なんだよな。

その規模に応じた収入Blueだけで稼ぐのは無理だし、

広告を挟む余地のないミニマムサービスが受けてたのに、

サービスを支えるために広告を挟んだからユーザー体験劣化し続けてる。

個人貶めるデマも法的措置が無きゃ止められないのは、自由じゃなくて無法地帯だろ。

デマを思いついたりそれを広めたりするコストは、それをデマだと証明するコストより段違いに低いわけで、

イーロンのいう自由Twitterを実現したら、待っているのはデマが溢れる修羅楽園だよ。

それこそがTwitterユーザーの望む世界だ、ってんなら好きにすればいいけどさ。

2022-04-26

最近のツイフェミがなぜ負け続けるのかの答えがウメハラの「勝ち続ける意志力」に書かれてた

https://anond.hatelabo.jp/20220426083457

俺の認識は逆だなあ。そういうゲリラ戦続けてくれる間は脅威でもなんでもないかいくらでもどうぞって感じ。




ウメハラは勝つことと勝ち続けることとは違うという。

一回勝つだけであれば「ずるい手」を使えばいい

キャラを使って、相手脆弱性を探り、対策不十分なところに奇襲をかけるようなやり方をとればいい。

伊是名さんのケースが典型例で、リベラルは昔からあいゲリラ的な方法でやってきた。

今回のたわわも同じ。

反論がしにくい公的機関を狙う

・嘘でもいいから大げさに性的虐待痴漢描写があると騒ぎ立て不意打ちのようにいきなり新聞メディア問題を断定的に論じる。

・できる限り一気にSNS拡散されるようにメッセージシンプルにして、理屈よりもインパクトで攻める。

とにかく電撃作戦だ。相手が反撃ができないうちに速攻で致命的打撃を与え、相手からちょっとでも譲歩を引き出したらあとはそれをもとに切り崩す。

反論がきてもゴールポストをずらし続ければ絶対に負けない。

こういう方法最初の一回、あるいは対策されるまでの何回かは有効だ。

後先考えずにたった一回か二回勝つだけならこういう方法でよい。

だが、勝ち続けたいなら、「どっちが正しいか」などというつまらないことを考える前にすべての可能性をひとつずつつぶしていく地道な作業必要

これに対して、ウメハラはそれでは勝ち続けることはできないと断言する。

なぜなら、そういう奇襲戦法は必ず対策されるからだ。

対策されただけで通用しなくなるような一時的な強さに頼っているとすぐに勝てなくなる。

勝ち続けたいならあえて自分の得意技を使わずに戦う訓練をしたり

得意でないスタイル方法論もひとつずつ試していかなければいけない。

都合が悪いところを指摘されたときに耳をふさいだり、向き合うことから荷が足り

自分気持ちいいところだけを練習したり繰り返している奴が勝ち続けることはない。

かにも負けないことと勝つことの違いなんかも語られていて大変面白い本だった。

今はツイフェミアンチフェミもどちらも雑魚プレイヤーしか残っていない

今回のたわわにおけるネッ終わったら面白くないと思った理由も本を読んで理解した。

参加者レベルが低すぎるせいだ。

一回か二回勝てばいいという低い志を持った人間しかいない。

どっちの陣営にも勝ち続けられる人材がいない。

有名なアンチフェミの青識にしたって「負けないだけで勝てるタイプではない」ただの素人領域だ。

どっちの陣営にも勝てる人がいなければ、「勝てなければ負けのツイフェミ」より「負けさえしなければいいアンチフェミ」のほうが有利だ

ツイフェミ自分から喧嘩をふっかけている以上、相手から何らかの譲歩を引き出せなければ負けだ。

いくら自己イメージ正義のために戦ってるつもりでも、

から見れば何の成果も得られないならただ騒音をまき散らしただけの迷惑存在で終わってしまう。

勝たなければいけないのだ。

からこそ、今回の国連の方から来ましたのように発言捏造などの卑怯な手を使うことをためらわない人がでてきてしまう。

これに対してアンチフェミは負けなければいい。相手に勝つ必要がないのだ。自分から攻撃を仕掛けたわけではないからだ。

たまに間抜けアンチフェミから攻撃しかけたらだいたい集中砲火にあって死んでいるが

いわれてみればアンチフェミ界隈の有名人迎撃に特化してる人間ばかりだ。

全然対等の立場の戦いじゃない。

誰も、勝ち続けよう、問題解決しようとはしていないのである

結果として、勝ちを焦って強引な手を使わざるをえないツイフェミは味方のオウンゴールでだいたいつぶれていく。

一方アンチフェミも、負けなければいいという意識の低さのせいで問題解決するつもりも勉強するつもりもない。

結果いくらネット議論しても建設的な話はほとんど出ない。

https://anond.hatelabo.jp/20220426131206  追記した。

2022-04-19

10年以上同じPCを使っていたが、25,000円で新調した

1か月ほど前まで初代第1世代Core iのPCをほぼノーマルで使っていたが、Windows肥大化(*1(本増田最後に参考webページ記載。以下同様))のせいかweb閲覧やExcel操作程度の作業でも引っかかりを覚えるようになったり、Windows11ブームに煽られてセキュリティ関連の記事を読み古いCPUには脆弱性が付き物だと知った(*2・3・4)り、あれこれあったためPCを新しくすることにした。

その際に色々な知見を得て情報更新ができたため、日記帳リンク集として増田に残しておくことにした。極少数の人にしか役に立たないであろう文章だが、体験談の類として暇つぶしに読んでもらえれば幸い。ただ、過去PC事情を懐古したりするのが目的なら、数年前にホッテントリ入りした別の記事(*5・6)を読む方が有意義かもしれない。

改装作業にどう臨んだか

まず、パーツの買い方を3種類に大別して検討した。

この前段階で格安中華ミニPC(*7)も候補に挙げていたが、拡張の厄介さや商品到着までの時間の長さを難に感じて選択肢から外した。

● H610M/BとローエンドCPUと8GB DIMM×2

今新しく自作PCを組むなら鉄板構成だと思う。現在相場では、M/B 13k円、Celeron 7k円、DIMM2枚組 6k円、SSD 200GB 4k円で約3万円くらいになるだろう(*8・9・10)。構成品のどれかを中古にすれば2万円台前半で抑えることもできそうだ。

しかしながら、最近まで骨董品我慢できた身には過剰スペックになりそうだという懸念逆張り志向のせいでRyzen APUに惹かれたためとで、この組合せは除外した。

中古パーツ1点買い

時機を見極めて個々のパーツを買えれば、安く挙げることができる方法だろう。

だが、動作不良品リマーク品(*11)・その他の不動品(*12)等を掴むリスクやピン折れ曲り(*13)他機器不良への対処を避けるため、この組合せも選ばなかった。

M/B+CPU+αのセット・ベアボーンキット・本体中古で購入

M/BCPU・ビープスピーカー・電源があれば動作検証可能だ(*14)。そのことは前提知識として通用してるだろうと期待し、ジャンクな出品物・者を弾けば少なくとも直ぐに判明するような不良品を掴むことは避けられるだろうと考えて、セット品を軸にパーツ調達することにした。

ただ、個別のパーツだけ欲しいと思う人が多いせいか希望に叶う出品は少なかった。値段や特定のパーツへのこだわりは捨てて条件をだいぶ緩くしたが、それでも購入作業を終えるには結構時間がかかった。

個々のパーツをどう検討たか

作業の結果以下のパーツが手に入った。これら以外にも試用して直ぐ売却したものがあるが、その分は少々の損失で済んだため、実質合計費用は25k円+10k円。

● 電源

元の電源が10年以上持ったので、5年前の製品なら後5年は使えるだろうと考え、中古で済ませることにした。

参考になるまとめ記事を元に、経年による劣化が小さいと思われる、電圧電流の波形が綺麗な製品(*15)を候補にした。5年以上前に発売された商品を1年少々しか使っていない状態良好品だと嘯く詐欺師フリマには跋扈しているが、そういう輩を除外しても選択肢が十分にあるのは幸いだった。プラグイン電源という危険そうな製品(*16)以外に無難選択肢が無かったのは、老害増田には難だったが。

余談だが、電動ブロワーは電源の清掃にとても役立った(*17)。騒音問題にならない環境の人には是非お勧めしたい。

● ケース・M/B

大型のファンを備えた電源ユニットをケース下部に置く組み方が主流になって久しいようだ(*18)が、冷却や静音にこだわる必要が無いのでケースは流用することにした。ただ、電源LEDそのままで機能しないので、オス-メスのジャンパワイヤー(デュポンケーブル)をフリマで買ってピンとコネクタをつないだ(*19)。

マザーボードについては色々調べたが、8ピンのATX 12V電源コネクタ(*20)が一般化して久しいことや、フェーズ数の増加(余談だが、I/O電圧とコア電圧が異なるデュアルボルテージは、30年近く前にモバイルP54Cで初めて採用された)(*21・22)といった電源回りのことで特に知ることが多かった。光物(*23)はあまり興味が無いのでほぼスルーした。

CPUメモリ

RyzenIntel Coreもどちらも魅力的だと思った(*24・25)が、結局はAMDで組むことにした。そこそこのGPUを省電力で使えることが大きかった。

メモリは多少勉強した(*26)つもりでパーツ選定に着手したが、チップセットの16Gbitチップ対応事情(*27)を全く把握していなかったため、相性問題にぶつかって最初に購入したパーツセットを買換えることになった。容量について言うと、16GBだとたまに心許なくなるが32GBだと過剰という感がある。Intelなら24GB(8+16の2枚)載せて16GB分をデュアルチャネルモードで使える(*28)ので、その点は良いなとも思う。

ストレージ光学ドライブ

SATA SSDでも体感速度は悪くない(*29)という言説を見て、安く手に入ったSSDで十分と判断した。記録方式TLCかどうかといった商品選択の時に普通ポイントになる点(*30)は、次に買換えたくなった時に気にかけようと思う。

光学ドライブも電源ユニットと同様、本来は5年程度で買換えるべき製品とされている(*31)が、それはそれとして、電源と同様の理由で5年くらい前の中古品を探そうかと思って調べてみたら、M-DISCという規格(*32)があると知った。対応するドライブメディアを購入すると割高だ、余計に金をかけてまで保存すべきデータはどれだけあるか、そもそも光学メディアの読み書きをする機会はどれだけあるか(*33)等、あれこれ考えた結果光学ドライブは買わないことにした。

サウンド

最近は無音でPCに向かうことが専らなので、USB-DAC排除してHDMIモニタイヤホン出力で済ませることにした。気まぐれに音楽を聴きたくなったらヘッドフォンアンプライン出力につないで使おうと思う。

入力装置

ケースと一緒に死蔵品を引っ張り出した。文字入力を業としない立場なのでキーボードは何でもどうでも良い。

マウスクリックが利き辛くなったので放置してたが、分解修理可能(*34・35・36)だと知ったので実例(*37)を参考に簡単に清掃して使えるようにした。マウスホイール部品交換が必要状態ホイールゴム部分が、加水分解して汚れてたので重曹で洗った(*38)ら、完全に溶けてなくなってしまった)なので、そのうちAliExpressで補修品(MX300適合品ではないが、サイズが同じもの)(*39)を購入しようと思う。

Windowsをどうセットアップたか

初めは旧システムの入ったHDDを新しいM/Bにつないで使っていた。後で中身をSSDクローンしようと考えたが、安物のSSDゆえガンガン書き込むことを必要以上に避けなくても良いなと思い直したので、結局新規インストールすることにした。

Raven RidgeではWindows11アップグレードできない(*40)。だが、Windows11ではGPUが重くなりその対策が未だ無いよう(*41)なので、Windows10のままで良いということにした。

● 旧システムドライブ駆動

Windows7の頃はUEFIで起動しないPCがまだ一般的(*42)だった。このHDDもそういうPCに接続されてたのでフォーマットMBRだった。CSMを有効にすればそのままで起動できるが、そうできるのは古いGPUを使っている時で現行のiGPUではたいてい無効にされる(*43・44)。CSMは頼りにせずGPTに変換して使うのが無難だ。

変換の際はWindows10USB起動メディアmbr2gptを使ったが、ReAgent.xml更新に失敗したというエラーメッセージが出たので、回復パーテーションを弄って(「コンピュータ管理」ではドライブレター付与できないのでdiskpartを使った)修正した(*45・46)。

Microsoftアカウントで常用していたためかライセンスの再認証を求められることも無く、上記問題を除けばほぼすんなりと使用できた。セクターにアライメントのずれが無いかどうか(*47)も調べたが、問題無かった。

新規セットアップ

VMWare上で予行した分も含めて何回もした。セットアップを繰り返した理由は、Administratorを有効にしパスワードを設定しないままメインアカウントを標準ユーザーにしたらAdministratorにログインできなくなって(*48)詰んだり、OneDrive動作選択画面で「このPCにのファイルを保存する」を選択せず「次へ」移動したら戻れなくなった(ドキュメントやピクチャ等のフォルダパスOneDrive指定した後で、再度ローカルストレージに変更するのは割と手間になる)(*49・50)り、システムファイルを移動させようとして次節で説明するようにシステム破壊したりしたためだ。

システムファイルの一部をHDDに移動

SSDの容量節約と書込み抑制のため、ページ、スワップハイバネーションの各ファイルOneDriveフォルダ(ただし、空フォルダマウントしたドライブは移動先に指定できない)・ユーザプロファイルフォルダ下のドキュメント等のフォルダ・AppDataフォルダ下のRoamingフォルダとLocalフォルダの一部・テンポラリフォルダ・ストアアプリフォルダを移動(*51・52・53・54)した。Superfetchはデフォルトで良しとした(*55)。

かつては別アカウントログインしてプロファイルフォルダを全部移動しジャンクションを貼って使うこともできたが、Windows10のあるバージョン以降でそれをするとスタートメニューショートカットやストアアプリ即死する(*56)。一部のシステムファイルが変化するとメニューアプリ全体が損壊判定されるようだ(十分な検証はしてないが、container.datハッシュ値名前になってるファイルを弄ると不味いように感じた)(*57)。こうなるとアカウントを消して再作成する他無くなる。ちなみにCドライブ直下のProgramDataフォルダ等を壊すともっと悲惨で、新規インストールくらいしか回復の手立てが無かった。

おわりに



参考ページ

はてなブックマークされたページにはeidを付記した。

https://b.hatena.ne.jp/entry/1 または https://b.hatena.ne.jp/entry?eid=2(それぞれ、数字部分がeid)のような形式url入力すれば、当該ブックマークエントリーアクセスできる。

タイトル
URL
eid
*1Windows 10バージョンアップを重ねるたびに本当に遅くなっているのか?検証結果はこんな感じ - GIGAZINEhttps://gigazine.net/news/20210622-windows-10-version-slow-down/4704430589992224258
*2Google発見した「CPU脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめhttps://www.4gamer.net/games/999/G999902/20180105085/373991174
*3AMDプロセッサ脆弱性セキュリティ企業情報公開--懐疑的見方も - CNET Japanhttps://japan.cnet.com/article/35116106/360332677
*4インテルARMCPU脆弱性「Spectre-v2」の悪夢再び、新たな攻撃手法 | TECH+https://news.mynavi.jp/techplus/article/20220312-2290634/4716634065497432514
*5Sandy Bridgeおじさん」とは何か? : 因画応報http://ingaoho.ldblog.jp/archives/4916067.html362560793
*6ありがとう鼻毛鯖 8年使った鼻毛鯖をついに買い替えました | 日本霜降https://nihonsoukou.com/20181123/18274665750545042615426
*72万円の超格安パソコンGREEN G2」値下げ、高性能CPUに大容量メモリSSD採用仕事でもプライベートでも大活躍 | Buzzap!https://buzzap.jp/news/20220318-trigkey-green-g2-ultra-low-price-pc-happy-price-down-3/4716943171239004674
*812世代インテル Core プロセッサ特集 | パソコンSHOPアークarkhttps://www.ark-pc.co.jp/special/intel-12th-gen-core-series/-
*98GBモジュール | 2枚組 | DDR4 DIMM (288pin) | デスクトップ用 | 通販価格/性能比較一覧 | 価格の安い順 | パソコンSHOPアークarkhttps://www.ark-pc.co.jp/search/?col=3&order=&p1=b21010&p2=c21050&p5=s21010&p6=w11726-
*10〜256GB | M.2 | SSD | 通販価格/性能比較一覧 | 価格の安い順 | パソコンSHOPアークarkhttps://www.ark-pc.co.jp/search/?col=3&order=&p1=b32020&p2=c32024&p5=s32220-
*11やじうまPC Watch中国Intel CPUの偽造品出回る。公式が注意を呼びかけ - PC Watchhttps://pc.watch.impress.co.jp/docs/news/yajiuma/1248215.html4684567815854719490
*12Lenovoに搭載されているAMD CPUベンダーロックが設定されているせいで中古市場が混乱している - GIGAZINEhttps://gigazine.net/news/20220118-lenovo-vendor-lock-amd-cpu/4714151541045747810
*13ASCII.jp冗談ではなく目の前が真っ暗になる恐怖……ピンを曲げてしまったRyzen 9 5950Xの修復を試みる (1/3)https://ascii.jp/elem/000/004/053/4053723/4703873313928579106
*14パソコンが起動しない場合確認方法テックウインド株式会社https://www.tekwind.co.jp/ASU/faq/entry_31.php4666842797243724258
*15自作PC】電源ユニットの選び方を自作経験者がガチ解説する | ちもろぐhttps://chimolog.co/bto-choose-psu/367187040
*16何故プラグインPC電源ユニットコネクタは規格統一されていないのか? - Togetterhttps://togetter.com/li/15640764688976497965880706
*17ブロワーの選び方 | DIY工具紹介部https://diytool.biz/blois170335990
*18“冷却の常識”を徹底検証 - AKIBA PC Hotline!https://akiba-pc.watch.impress.co.jp/docs/dosv/662237.html364049132
*19PCケースのPower LEDケーブル3ピンから2ピンに変換した | TeraDashttps://www.teradas.net/archives/16603/4705898232067265346
*2020ピン ATX 電源は 24ピンのマザーボードに使えるのか – 分かりにくい ASUS マニュアルATX 電源の規格 | Nire.Comhttps://www.nire.com/2009/10/atx-24pin-motherboard-vs-20pin-power/75424033

容量超過のため、anond:20220419200228 に続く。追記もあり。

こうなると止まるまで傍観するしかないのが増田脆弱性よな

今日は雨が強いので休みます!」みたいなことを連想して勝手にエモくなったりならなかったり

2022-04-13

anond:20220413185451

安倍という外交における最大の脆弱性よ。。。あいつの武器、これまた血税使ったプロパガンダ一択(多額の税金使って電通まで中抜き事業化させてしまう有様)だから外交には一切効かないんだよなあ。

anond:20220413173659

適当に答えると、パスワード長無制限にすると、それはそれでセキュリティホールになるよね

実際DoS脆弱性回避のために多くのbcryptでは73文字以降は切り捨てられる実装になっているらしい。

パスワードハッシュ化なんて問題は、過去の人発明したよく出来た車輪を使っておけば問題ない。

2022-03-29

企業セキュリティ担当脆弱性診断との向き合い方

これは、去年のアドベントカレンダーの時期に会社テックブログ寄稿するつもりだったが、少し過激だったので見送っていた文章です。

見返してみると公益性の高い内容だったので加筆した上で増田で公開することにしました。

お前は誰?

セキュリティベンダで勤務後、ユーザー企業間で何度か転職した人間です。もう現役を退いて長いですが、自身脆弱性診断の経験があります

最近ベンダコントロールや社内の小さなインシデントを片付けるCSIRT業務しかしていません。

外注脆弱性診断が抱える問題

クライアント目線ではベンダ側がブラックボックスなのでちゃんとチェックしているのかわからない。

例えば、脆弱性はありませんでしたという報告書を提出された場合、それを信じるしかない。

ちゃん報告書の質を見なければいけないが、予算を確保するのに精一杯でそこまでできている企業は少ないだろう。

以前、イ〇〇〇社を重宝していたが、あまりにも報告書品質のブレがひどいので、現役診断士の知人に相談したところ、イ〇〇〇社はエンジニアの実績を売りにして営業をかけているが、実際には下請け会社が診断を実施しているケースも多く、社内のエンジニア担当していない案件も数多くあるとのことであった。また、学生バイトが診断を担当することもあるらしい。下請けに流すのは、この会社だけの問題ではなく、大きな診断会社では結構やっている話らしいが、個人的にはかなり驚いた。

私が過去に在籍していた企業では行っていなかったと思う(知らないだけかもしれないが)....

このように実績が多そうな会社に依頼したところで、実績が多い人がやってくれる確証はない。

依頼側はどうすればいいのか

社内に報告内容を見極められる人を置く

報告書の内容が正しいかどうか分からなければ、報告書品質を見極めることはできない。

社内に脆弱性診断経験者がいれば、その人を担当にするのがいい。いなければ雇ってもいいだろう。脆弱性診断は一件あたり数百万かかるのでそれだけの価値はある。

まりにも報告された脆弱性が少ない場合は、重要機能だけ社内でダブルチェックをするくらいのことはやるべきである

コンペを行う

同じアプリケーション複数企業脆弱性診断にかけると、出てくる脆弱性にどれだけ差が出るのか検証することができる。

脆弱性診断はただでさえ高いのに5倍くらいの金額がかかってしまうので大企業しかこの手は使えないがおすすめである

その際にコンペであることはベンダに伝えてはならない。伝えてしまうとその時だけ凄腕のエンジニア担当するだろう。

また、差を見る際には総合件数ジャッジするのではなく、影響度の高い脆弱性件数ジャッジするべき。

少数精鋭の企業に依頼する

特定ベンダに肩入れしたいわけではないので名前は伏せるが信頼できる企業存在する。

実績を売りにしている少数精鋭の企業であれば、技術力に誇りをもっているので、がんばってくれるケースが多い。

個人に依頼する

インターネットで実績を確認できるエンジニア個人脆弱性診断を依頼するのも一つの手だ。そうすればベンダに依頼した場合とは異なり、間違いなくその人が脆弱性診断を行ってくれる。共通の知人やスカウトメールを通して脆弱性診断やってくれませんか?とお願いすればやってくれる場合もある。

まとめ

セキュリティベンダベンダが作り出したWebページを見て、なんとなく信用して依頼するのではなく、依頼する側で見極める力を持たなければならない。

というか外注より内製するべき。コンペする金があれば余裕でセキュリティエンジニアを雇えるだろう。

ネットワークへのペネトレーションテストだとまた話が違ってくるのだが、この増田が伸びれば新たに筆を取ろうと思う。

2022-03-25

Googleの脅威分析グループによれば、CVE-2022-0609の存在が明らかになったのは2022年2月のことでした。

しかし、少なくとも2018年ごろから攻撃が始まっていたこから北朝鮮ハッキンググループはずっと以前から

このゼロデイ脆弱性に気づいていた模様。

北朝鮮ハッカーグループ過去にも、Chromeの別のゼロデイ脆弱性を利用して攻撃を行っていたことがありました。

2022-03-16

脆弱性になんでもかんでも ナイトメアと付けるのやめてほしい

眠れなくなる。

2022-03-11

テレビ局ってネット繋がってんの?

どうやってハッキングしたんだ?

よう脆弱性見つけられたな。

それかソーシャルハッキングか?

2022-03-08

現代私企業制裁って地味にエグくない?

ウクライナニュースみて思ったんだけど、第二次世界大戦ときに比べて、私企業制裁破壊力って滅茶苦茶増してると思うんだがどうだろう?

具体的にいうと、MicrosoftAppleロシアでのビジネスストップをみて思ったんですよ。

現代社会って企業体が大きくなりすぎて、私企業による私刑みたいなことが可能ってこと?

プーチンじゃイメージわかないから、例えば岸田総理東アジア隣国あたりに侵攻したとするじゃん?

それにアメリカ企業がブチ切れたら、↓みたいな対応もできちゃうってこと?

VISA日本で決済事業やめるわ」

Master「うちもやめるわ」

Diners, Amex「俺らもやめるわ」

MicrosoftOffice売るのやめるわ。365も契約させない。OnedriveSharepointも止めたる。日本だけWindows更新させねぇ。脆弱性放置してやる。」

Apple「端末売るのやめるわ。iCloudも止める。」

AmazonAWS止める」

Microsoft「そやAzureも」

Google「岸田支持の検索結果は検索に引っかからんようにするわ。そういう動画YouTubeからもBANする」

FacebookFacebookとインスタからもBANするわ」

Netflix「岸田をヒトラーにする作品作るわ。岸田が開成二浪しても東大に入れなかった話とヒトラー美大に落ちた話くっつける」

Amazon「それいいな。じゃあプライムビデオで、新しい資本主義発言スターリンをくっつけてなんか作るわ」

↑こういうことされたら、だいたいの国が半年持たないんじゃないですかね?

巨大企業がこういうこと出来ちゃうとしたら、安全なのは企業が商圏として無視できない国、実質アメリカ中国以外は企業に屈するしかないと思うんです。

2022-02-20

自分仕事ができないことを認識したら全てが上手くいった

仕事ができないと言われたくなかった。

「俺、コミュ障だし」「俺、アスペだし」とは笑って言えるのに、「俺、仕事できないし」とは言えなかったのである

現代社会においてコミュ障であることは、仕事ができないことに等しいのは明白なのにだ。

俺はコミュ障だが勉強だけはそこそこ出来た文系という、最も潰しの効かないタイプゴミである

ということで、仕事は勿論うまくいかなかった。

まず俺は締め切りが億劫で守れない。

それに叱られるのが怖くて問題先延ばしにする上、報連相不能典型的な使えない新人だった。

取引相手につい嘘をついてしまい、会社にあらぬ損失を与えたことも何度もある。

こういう時、職場はこいつは排除しよう、という正当な動作をする。ということで俺は孤立した。

さっさと辞めちまえ、という周囲の心の声が聞こえてくるようだった。「仕事ができない」ことを認めたくない俺のプライドはズタズタである

病院ググるのが面倒なので病院はいかなかったが、当時は掃除洗濯風呂に入るという行為が1週間に一度くらいしかできなかったので、多分適応障害かプチ鬱病だったのだと思う。飯も録に食えなかった。

そんな俺の転機は、同じ社の、俺の尊敬する穀潰しの先輩にアドバイスをもらった時に訪れた。

彼は始末書レコード記録と横領じみた行為の数々による犯罪者スレスレの経歴を持ち、

議事録を社内サーバーに上げておく」というだけの仕事を振られていた伝説カス社員だった。

しかもその仕事すらサボり散歩コーヒーブレイクだけをしに会社に来ていたという偉人である

だが、そんな先輩の栄光の日々も、ついに終わる時は来たのだ。社が新たなビル移転する際に、更なる完全窓際部署へと追いやられることになっていた。

使えない新人として名を馳せていた俺は、その人の溜め込んだタコ焼き器だとか、やたら派手な扇風機だとか、そういうガラクタを含めた机回りの移動という雑用を振られた。

あらかた俺に荷物を運ばせた先輩は、俺の買ったコーヒーを飲みながら言ってくれたのだ。

「君なら、僕みたいになれる」、と。

その時、俺は目が覚めた。

「そうか、自分は、仕事ができないサイドの人間だったんだ!」と、ストンと胸になにかが落ちた。

それから、俺は使えないサイドの人間として、積極的会社を使い潰してやろうという意識が生まれた。

その時、ようやくわかったのだと思う。俺は、他人というものが、集団というものが、ルールというものが、嫌いだったのだ。

なぜ生まれた時から法律なんてもの強制されるのかわからず、法律科に行った時の、初心を思い出したような気分だった。

俺は社会人であり、社会恩恵を受けながら、社会というものが嫌いでたまらなかったのだ。

楽しそうな人間は楽しそうだから嫌いだし、つまらなそうな人間はつまらなそうだから嫌いだった。

この世の、ありとあらゆるコミュニケーションが嫌いだった。好きになる理由がなかった。

おそらく、先輩は俺にそういうことを伝えたかったのでは全くないと思うが、彼の言葉が俺の頭の中のスイッチを押して、回路が上手く繋がったのである

社会が嫌いなのに、社会に報いようだとか、社会ルールを守ろうだとか考えていた方がおかしかったのだ。

ということで、「仕事ができない男ですが?」という、ある種の開き直りをした俺の快進撃が始まった。

まず、俺は意図的に締め切りを守らないことにした。

あと、挨拶はしない、電話は取らない、メールは気分が乗った時だけ返す、といった自分ルールを設けるようにした。

さらに、積極的会社になるべく損失を与えるギリギリラインをつく仕事をするよう心がけた。

するとどうだろうか。

仕事が、上手く回りだしたのである

そもそも、俺はルールが嫌いで、ルールを守れない。その病気を上手く利用した形になる。

意図的に締め切りを守らない」という自分ルールが守れず、そこそこ締め切りを守るようになったのだ。

さらに、締め切りを守らないぞ!という意思は逆に締め切りを意識させることに繋がった。締め切りを完全に忘却していなければ、締め切りを破ってもどうとでもなった。

さらに、会社になるべくダメージを加えようという姿勢は、逆に業務を知ることに繋がったのだ。

例えば、うちの会社マニュアルPDF化すらしてなかったので、そのマニュアル悪戯勝手改竄する計画なんかを練ったわけだが、

どこを改竄すれば訴えられず、かつそこそこのダメージを社に与えられるか、というような遊びをしているうちに俺はすっかりマニュアルを暗記していた。

情報に捕まらないように、IT知識自分会社セキュリティ脆弱性に滅茶苦茶に詳しくなった。

勿論俺はそもそも仕事が出来なかったので、ミスは起きたし、会社に損害も与えた。

始末書顛末書も幾度も書いた。だが、左遷されるようなことはなかったし、懲戒減給もなかった。上手く綱を渡れたのだ。

そして、何度もやらかしているうちに周囲の評価も変わった。

「どれだけ叱られても会社に残る根性のあるやつ」という評価になったのである大丈夫かよこの会社、と思ったがとりあえず人間関係もまともになった。

仲良くなると、個人情報結構教えてもらえるようになったので、それも利用できるようになってまさにギブ&ギブの素晴らしい関係だったと言えるだろう。

人間は1人で生きるのではない。俺ような人間ミスカバーしてくれるアホ共がいるから世の中は回るんだな、と心が温かくなったのを覚えている。

あと、ニュース報道される、不正を行った人達も優しい目で見られるようになった。人は罪を許し、助け合うことが大事なのだ

しかし、いよいよ俺の薄汚いリーマン生命でもって罪を償わなければならない時がきてしまった。

まあ無能からいつか来る話ではあったが。

うっかり、社に億に近い額の損失を与え、しかも太い取引先を激怒させてしまったのだ。

今回ばかりはヤバい、という空気をヒシヒシと感じた俺は、世話になった会社に報いるべく、何とか多くの人間を巻き込んでメガンテを撃てないか考えた。

だが、告発書をしたためたり、転職サイトに悪評を流そうとか、上司名刺コピーを色街にバラ撒こうとか考えていた折、

なんと俺を救ってくれる人間が現れたのである。それは、例の左遷されたはずの、穀潰しの先輩だったのだ。

彼は役員になっていた。

俺はビビった。この会社大丈夫かと思ったが、カラクリ簡単な話で、その先輩は創業者から直接の血が流れる男だったのだ。

仕事なんてしてなくても、していても関係なくいつか役員になる、そういう運命の元に生まれていた人だった。だからこそ大出を振ってサボれていたというわけだ。

とにかく、彼のおかげで俺はクビにはならずに済んだ。

それどころか、俺は業務改善や社内法規を決める部署に転属になったのだ。会社的には出世である

顔に小じわの増えた、クズの先輩はこう語った。

法律ってのは犯罪者が作らないとダメなんだ」と。

ルールを破らない人間が作るルールほど穴だらけになるものはない、と。なるほど、と思うと同時に、その時、俺は先輩の隠れたメッセージを受け取ったのだ。

「俺達のような人間出世させる、こんな会社復讐してやれ」と。

俺は密命を果たすべく努力しまくった。明文化されていないが仕事を円滑にするためにあえて定まっていないルールというもの会社には多い。

からこそ法や業務効率の名の元に、仕事ものすごくやりにくくなるやろうなあ、という社内ルールを通すべく俺はあらゆる手を使った。

会社がどんどんギスギスしていく姿に、きっと役員の先輩も喜んでいてくれているに違いなかった。

そういう日々が続くうちに、俺にもいつの間にか妻と子供が出来た。(こればかりは本当に相性のいい人とたまたま出会った)。

基本的残業は一切しないので、子供の世話もしているが、仕事と違って楽しいものだ。手当も出て給料も上がり、順風満帆人生を送っている。

何故幸せになれたのかというと、やはり「仕事ができない人間である」というのを認められたからだと思う。

自分が正しい人間だとか、優れた人間だとか、そういうところから脱却するのが肝要だ。

そもそも大した世の中ではないのだから、世の中に報いようなんて考えなくていいのだ。

俺は仕事ができない。だが、それでも幸せに生きて良い。そう思うのが何より大事な事だ。

ログイン ユーザー登録
ようこそ ゲスト さん