「IPA」を含む日記 RSS

はてなキーワード: IPAとは

2021-06-09

anond:20210608190114

グランドキリンIPAってやつが糞うまかった

スプリングバレーっていう赤いやつCMやってたから飲んでみたけど全然ふつー

もう他は飲み比べないでグランドキリンIPAだけ脳死で買えばいいかって思うくらいグランドキリンIPAうまい、うますぎる

他におすすめクラフトビールあったら教えてほしい

2021-06-01

架空名前で問い合わせて誤動作させるなんて許せん!って言わないの?

[B! セキュリティ] 【Omiaiまとめ①】個人情報171万件の流出「クソ過ぎる対応が話題」 | MY-TERRACE(マイテラス)

明らかに実在しない名前を入れても、流出判定されるって、これはもう明らかにちゃんと調べてないですよね……。

脆弱性IPA通報でしょ

2021-05-22

脆弱性の「現在」の定義

正しい脆弱性定義と言われると、非常に難しい。何となく自分でさえブレる気がする。

私は、一連の自衛隊の大規模接種予約センター報道すること自体は正しいと思うほうだが、報道内容自体はどうかと思ってる。

まずは、「現在」で真っ当と思われる定義自分で書いておこう。

辞書的な定義

辞書的な定義は以下になる。

基本的に「脅威」があって初めて脆弱性存在しうる。情報セキュリティ勉強でよくやる内容だ。

よって、そもそもが「脅威」により脆弱性存在しうるので、固定的な定義存在しない。

それは、「脅威」==システムへの攻撃は常に進化しているので、このような定義になってる。

昔の脆弱性、とは

「昔」で言う脆弱性の背景は以下のものだった。

なので、「脆弱性」は一部のシステムを作る人だけが関連し、内容が難しいのでその内容を拒否する人が多く、なかなか修正してくれなかったけど、間違ってるのは確かなので修正してください、という含意を「脆弱性」と呼んでいた。

現在脆弱性、とは

現在」の脆弱性の背景としては、以下がある。

こうなると「脆弱性」の定義は以下になる。

よって、現在脆弱性とは「CVE等の脆弱性データベース登録されるほど難しい内容のセキュリティ欠陥」を指す。

現在定義からすれば、報道非難するのは間違ってる。これは「脆弱性」ではないので、IPA等に知らせる必要などない。IPA等に知らせる必要があるのはあくまで「脆弱性」だ。もはや普通の人が分かるようなレベルではない。それこそ情報処理技術者試験のセキュリティ程度など教える方だが、それでさえ完全には理解できない程だ。

そして報道内容も間違ってる。これ「脆弱性」と呼んでしまうのは現在定義としてはずれてる。ただし、間違ってはいものの、「脆弱性」かどうかと報道内容は関係ないので報道すること自体は正しいと判断してる。

おそらく、報道非難している人は、政府のやることをすべて正当化したい人か、昔の定義か、表面上の定義しか理解していない人なのだろう。

2021-05-19

anond:20210519152905

IPAへの発言をなんで個人に宛てるねん。それが間違ってるって言ってるの。

anond:20210519145002

IPA広報取材にこんな回答をしたのであれば(中略)IPAが取り消し、ITmedia記事を訂正させなければならない。

これは普通IPAへの発言だろ。

anond:20210519142643

正式見解なら個人がそれを正式見解であると盾にするのは間違ってないだろ。

それを良しとしないなら、組織に影響力がある人なら内部から正せる。

なんにせよ、それを信じた個人に対して「それが公式見解だとしても私は偉いから私が正しい」と言うのはやはり違う。

相手が違う。広報が間違えて出してても、広報が正しく出してて間違っていると感じても、どちらにしてもIPAに対して言えばいい。

anond:20210519135448

間違ってることはあるけど、それなら広報が間違いを正すまではIPA公式見解はそのままだよ。

個人勝手に「それは間違ってるから俺こそが正しい」は通用しない。

権力者なら広報に間違いを正させてから「ほら、やっぱり俺こそが正しかった」と言え。

anond:20210519102719

いやだからそれを何で外部の人にイキっとんねん

申し訳ありませんでした!いうて急いでIPAとやらに電話せんかい

anond:20210519102316

IPA広報取材にこんな回答をしたのであれば、出鱈目であり、社会への悪影響(直ちに公表することが有効である事案が眠ってしまう)も無視できないのであるからIPAが取り消し、ITmedia記事を訂正させなければならない。

って言うとるやん。

anond:20210519091117

その被害の大小の対比で考えるんじゃなくてIPAの言うやり方で進めればよかったじゃんってのが正直なところだよ

バグ脆弱性(セキュリティホール)の線引

ワクチン大規模接種東京センターの予約システムで発生した、適当数字入力しても予約できるシステムの不備はバグなのか脆弱性(セキュリティホール)なのかを考えていこう。

もし、脆弱性であるとするならば、しかるべき報告フローを取る必要があるからだ。

記事の末尾に参考リンクをいろいろおいておいたので、詳細は確認してほしい。

この問題は、本来するべきチェック処理をしていないのだからバグ一種といえる。

// ただ、改善する気がないのなら仕様となるのだろうけどね。

あるゆる、脆弱性バグの結果起きる。

では、適当数字を入れても予約できちゃうバグは、脆弱性(セキュリティホール)と言えるのか?

もし、脆弱性(セキュリティホール)となるなら、ゼロディでいきなり公開する前に、しかるべき報告フローを取るべきだ。

// ただ、新聞社は、ネットで噂になったもの取材して報道しただけであるからゼロディで公開とは言えないだろうけどな。

個人的意見としては、脆弱性とまでは言えないと思う。

これはタダのバグであって、脆弱性(セキュリティホール)と呼ぶのは言い過ぎだろう。

例えば、教科書レベルの「"<script>alert("XSS");</script>」でXSSを発生させる意図的入力をして、誤動作が発生するなら、それは間違いなく脆弱性(セキュリティホール)といえる。

同様に、SQLインジェクションを発生させる意図的入力をして、何か変なことが起きれば、これも間違いなく脆弱性といえる。

他にも、超でかいデータを送りつけてバッファオーバーフローさせたり、特殊入力をしてスタック破壊して戻り値改ざんして任意コマンドを実行するみたいなものも同様に脆弱性と呼んでもいいだろう。

(注:念のために書いておくが、不正アクセス違法になる可能性があるので、自分の所有するサイトコンピュータ以外へは、これらの入力を試さないように。)

でも、ごく普通入力をしても、エラーとしてはじかないで受け入れてしまうのは、脆弱性ではなく、タダのバグであるように思う。

「こういう操作したら、計算結果が変になった」はバグ領域であって、脆弱性とまでは言えない。

今までの話を簡単に言うとしたら、ドラクエ4で8回逃げたら会心の一撃連続して出るのはバグなのか脆弱性なのか?って話になるのかな。

かに、8回逃げることで、データバッファオーバーフローが発生して、そのような結果になる。

でも、8回逃げるというはやろうと思えは誰でもできる動作であって、これをバグではなく脆弱性(セキュリティホール)と呼ぶのは違和感がある。

この裏技を見つけたとして、脆弱性としてしかるべき報告フローを取らずに公開したこと咎められるとしたら、実に変な話である

これら裏技を試しても不正アクセスと言われて、罪を着せられたり、裏技記事を削除されるとしたら、強烈な違和感がある。

このあたりのバグ脆弱性の線引はどうなっているのか。

今回の事件で、それが一番気になった。

最終的には、裁判裁判所が決めることになるんだろうけど、あまりアホな判決を出して、日本エンジニアの手足を拘束しないでほしいと思う。

参考URL:

ドラクエ4で「にげる」8回でずっと会心の一撃になるバグ、こういう仕組みで起こってたらしい

https://b.hatena.ne.jp/entry/s/togetter.com/li/1715732

■「誰でも何度でも予約可能ワクチン大規模接種東京センターの予約システムに重大欠陥

https://b.hatena.ne.jp/entry/s/dot.asahi.com/dot/2021051700045.html

岸信夫 on Twitter: "自衛隊大規模接種センター予約の報道について。...

https://b.hatena.ne.jp/entry/s/twitter.com/KishiNobuo/status/1394440062125805572

脆弱性の手口、IPA「見つけたらまず開発者IPA窓口に報告して」 コロナワクチン架空予約巡り

https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2105/18/news145.html

Hiromitsu Takagi on Twitter: "私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPA広報取材にこんな回答をしたのであれば、出鱈目であり、...

https://b.hatena.ne.jp/entry/s/twitter.com/HiromitsuTakagi/status/1394713619212816385

ワクチン大規模接種「架空ウェブ予約」やったら犯罪? 国は「法的手段」に言及

https://b.hatena.ne.jp/entry/s/www.bengo4.com/c_23/n_13071/

確認作業公益性高い、毎日新聞 接種センター架空入力取材目的

https://b.hatena.ne.jp/entry/s/this.kiji.is/767285347672670208

AERA dot. 記事への防衛省の申し入れに対する見解

https://b.hatena.ne.jp/entry/s/dot.asahi.com/info/2021051900065.html

anond:20210518175922

まーぶっちゃけIPA仕事ぷりが未知数な以上

直接バグ指摘した方が改修は早かったと思うよ

でもSNS政府が見てる事を逆手に取ったマスコミネットメディアに負けを認めてるようなモン

anond:20210518175922

IPAの報告するのも公開の一部

脆弱性は公にする、が基本

そのソフトサービスを使わないという選択ができる

サービス場合運営に連絡はついでにやっても良いけれど、それだけじゃあだめ

運営自体を信用できるかどうかが分からないのだから利用者防衛措置としては「使わない」の一択

2021-05-18

脆弱性は公開するな、サービス運営IPAに報告しろ

脆弱性を利用して誤動作させるのは犯罪(の可能性がある)」

というのが常識

まともな業界人はこれに沿った発言をしてる

まとめサイトなんかで色々試したり暴露してるヤカラは完全にアウト

マスコミ政府システムの不備を指摘、となると別の事情になる可能性もあるが、基本的IT業界の人はそれにも批判的だと思う

追記:

脆弱性公表するもんじゃない、という主流の見方

そもそも脆弱性ではなくて仕様だろ、という見解もある

もし、あなたワクチン予約のサイト脆弱性発見してしまったら

やるべきことはひとつです。

IPAの「脆弱性関連情報の届出受付」に届け出ましょう!

脆弱性関連情報の届出受付

https://www.ipa.go.jp/security/vuln/report/

脆弱性情報を適切に共有するために

https://www.npa.go.jp/cyber/kanminboard/siryou/sec_hole/partnership.html

間違っても、5chに「SQLインジェクションできる」などと書き込んだり、個人ブログ脆弱性をつく手口を公開したりすべきではありません。

また、それらの情報を粗雑な粒度でまとめたツイートまとめサイト記事などの拡散に協力すべきでもありません。

上記行為は、法的責任に問われる可能性があるだけでなく、当該サイト攻撃リスク晒す行為でもあります

もちろん、日々圏論データ分析記事ブクマし、技術力の向上に努める技術寄りのはてな民情報セキュリティ教育の基礎の基礎をすっ飛ばしているとは思いませんので、釈迦に説法とは思いますが、一応のリマインドとして置いておきます

anond:20210518135156

IT関連の仕事してる人が多い

民間サービスなら

脆弱性は公開するな、サービス運営IPAに報告しろ

脆弱性を利用して誤動作させるのは犯罪(の可能性がある)」

というのが常識

政府VSマスコミでそのまま適用できるのかわからないが

大規模接種予約システム、開発元は仕様通りの代物を納品しただけだろ

本来なら各自治体が作成した優先接種対象者情報マイナンバー、接種券番号、氏名、生年月日)を大規模予約システムに集約し照合をかけるべきだった。

しかしなあ、優先接種対象者連携仕様ができたのいつだと思う?ついこの間の4月だよ。

ベンダー側のプログラム入替が完了してなくて未対応自治体ほとんどだよ。

防衛省仕様段階で照合なしの予約システムだったのは確定だろう。

存在しない生年月日と自治体コードくらいはバリデーションすべきだとは思うが、

リリース前に開発元がやれたことといったらそのくらいしかない。

あとSQLインジェクションの噂があるが、本当であれば速やかにIPAなり開発元なり防衛省なりに通知すべきことで、噂だけ広めていいことじゃないだろう。

事実ではなかった場合は、例え噂を広めただけでも名誉棄損に問われる可能性もあるわけで、みなさん言動には慎重になろうよ。

IPA資格試験を全部パソコン使ったCBT方式に変えろ

情報処理推進機構と名乗っている癖にパソコンで行う資格試験は3つしかない。

上位の試験は全部手書きマークシート手書きの作文


バカか?

マークシートはまぁ許す。ただ手書きの作文は許さねえ。

何が情報処理推進機構だよ?

全部パソコン使って試験しろよ。

情報処理推進してんなら手書き試験はさっさとやめろよ

情報処理推進してねーじゃん。手書き推奨してんじゃん。時代錯誤もいい加減にしろよ。

ITわかってねー連中多いかファイル共有やってウイルス感染して情報流出すんだろ

これから情報処理非推進機構に変えろよ

2021-05-17

IT関係者の多いはてなーワクチン接種システム報道批判しないの?

ワクチン接種システムが誰でも予約可能って報道出てるけどさ

システム脆弱性を改修する暇もなく公表するのって最悪じゃね?

しか修正は困難()らしいのに

間違いなく悪意あるユーザーや反ワクチン信者のいたずら予約が殺到するじゃん

普通システム脆弱性ってIPAとか然るべき機関情報を受けて、脆弱性のあるシステム組織に連絡がいって

一定程度の準備期間を経てから公開するものじゃん。

そうしないと悪意ある人間攻撃を防げないから。

マスメディアにはそれくらい良識あるもんだと思ってたけどダメみたいですね・・・

2021-05-12

anond:20210511190555

個人情報記載書類とか社内の重要書類とか指定場所仕舞って退社するっていう決まり会社側が定めていないのだろうか。コンプラ的にその机の状態はまずいでしょう。

IPA情報セキュリティ自社診断では机上の書類関連は従業員としての対策欄ですし…。

https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

あとはもう、全部閉まって帰る→1か月以上使用しなかった書類はもう必要ないと判断してシュレッダーにかけてちょっとずつ片付けていくしかないのでは。

「いつか使うかも」と思うならスキャンしてフォルダに保管しておけばいいよ。

2021-05-02

最高のビールを見つけてしまって連休がやばい

一時期ビアバーにはまってクラフトビールばかり飲んでいた。なんだか甘さが鼻につくような気分の時はあったが、これがおいしいビールなんだと思って飲んでいた。

でも引っ越し先のスーパーにあったドイツダルグナーピルスナーを飲んで、自分ビールに求めていたものはこれだったと漸く知った。

程々にドライ、程々に麦のうまみ、割と強めのホップ。これでいいんだよ…。

甘さがくどくないし、自分ホップが好きでクラフトビールは好きじゃ無かったとやっと知ることができた。クラフトビールIPA の半額くらいだし。

箱買いしようと思ったが、ダブルダース買っても近所のスーパーバラ売りの方が安い。買いに行くついででやたらうまくてやたら安い惣菜でも買ってみたまえよ。健康なっちゃう。幸せなっちゃうよ…。ありがとう…。

2021-04-24

anond:20210424124031

中途採用してるほうだけど、資格は見るよ。

が、IPAのやつは完全に無視で、AWSとかの資格だね。

例えば、AWS資格*5(proってやつ*2)を1~3年目で持ってれば、育成枠採用コース直結って感じ。

ベンダー資格は、結構そういう目で見てる会社は多いと思う。

データ周りなら、bigdataとかml資格がある。bigdataのやつは持ってるな、、)

データ分析コンペ周り

kaggleも受けはいいと思うぞ!

いつか金貯めてD進したいな

おおう、、、

私は仕事適性はあるけど、学問適正はない人間なのでがんばれとしか言えませぬ。

2021-04-22

ハッカーの絵が男性だけなのになぜどこからも苦情がでないのか?

https://www.ipa.go.jp/security/controlsystem/riskanalysis.html

IPA資料だけど攻撃者が全員男性なのね。半分は女性でないとおかしいですよね。

https://www.npa.go.jp/bureau/safetylife/sos47/case/oreore/

あと警察オレオレ詐欺サイト詐欺師はみんな男性だけど、女性もいないとおかしいですよね。

なぜ男女平等をうたう人たちはこれを問題にしないだろうか?

セキュリティキャンプパワハラ

ざっとTwitterをみていても誰がやったみたいなのは出てこなかった。

そもそもセキュリティキャンプ全体の雰囲気ハラスメントギリギリなことが多いのが個人的には苦手で、変な正義感が働いてしまったのもあるが、こういうのをみる深堀りしたくなってIPAプログラムのページを見に行って web.archive.org で同じURLを開いて差分目視確認していた。プロデューサーの部分の差分があるのがわかって「もしかして...この人?」という予測を立ててしまったんだけど、いやいやそんな...。となってしまいかなりショックが大きい。別に犯人探しがしたいわけではないが、好奇心で調べてしまってなんかショックを受けてしまった...。

2021-04-21

普通の酒

https://r.gnavi.co.jp/g-interview/entry/tamaoki/5183

を読んで思ったこと。

「釜めしのアタマみたいに素朴な食べ物と合うのは普通酒。」「本来なら現地に行かないと飲めない酒。」と書いてあってこれは普通酒ではあるけれども普通の酒では無いのだなあと思った。


自分日本酒にまったく詳しくない。特に詳しくなろうと思ったこともない。でもどちらかと言えば日本酒は好きだ。

最近は行ってないけれど)居酒屋そば屋なんかでメニューに「日本酒」とだけ書かれているような日本酒でも飲めば結構美味いと感じる。

ただのバカ舌かもしれない。

とにかくこういう銘柄指定しないで出てくるのが普通の酒じゃないかと思う。


一方ビールはそんなに好きじゃない。近年増えたIPAは好きだ。

居酒屋とかでビールとか生ビールとだけ書かれているようなビール真夏の喉が渇いているとき以外は頼まない。

多分自分普通ビールはあまりきじゃない。


あとウイスキーはとても好きだ。

コロナの前はバーシングル数千円のウイスキーストレートバーテンダーの蘊蓄を聞いたりしながら飲んでた。

今はバーに行けないか毎日酒屋のサイトウイスキーを見てたまに買う。

でも居酒屋とかでは絶対に「ウイスキー」・「水割り」・「ハイボール」・「ロック」と書かれたものは頼まない。

銘柄が書かれていても基本的には水割りハイボールは頼まない。

普通ウイスキーはむしろ嫌いだ。


普通酒という言葉を見て色々思ったんだけど、俺は日本酒もっと飲むべきというのが結論だった。

ログイン ユーザー登録
ようこそ ゲスト さん