cles::blog

教育用に作られたセキュリティホールだらけのウェブアプリが公開されていました。

• ockeghem/badtodo

実際に脆弱性を突いてみてその挙動を確認することで、セキュリティの勉強をすることができるというものです。
ちなみに類似のソフトウェアとしてこれまでにも、IPA が公開しているAppGoatや、BadStore^*1などが公開されています。


情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開　実習用の題材に - ITmedia NEWS

WAF開発を手掛けるEGセキュアソリューションズ（東京都港区）は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。

• ^*1: オリジナル版の BadStore は現在公開停止になっており、現在は Burp Suite の拡張として実装された ankokuty/HakoniwaBadStore が公開されています。

2023 年 4 月 1 日から始まる自転車のヘルメットの努力義務化まで、あと約 1 ヶ月になりました。

努力義務化されようとされまいと、自転車に乗る場合のリスクは変わらないのでヘルメット自体は早めに用意して使う方が良いと思います。
僕は既にヘルメット用意してありますし、走行する場合はきちんと着用するようにしています。

自転車のヘルメット 4月から“年齢問わず”努力義務化 欠品も | NHK | 東京都

自転車の事故が全国で相次ぐ中、利用者の安全を守るため、この4月から年齢を問わず自転車に乗るすべての人に、ヘルメットの着用が努力義務化されます。実施まで1か月余りとなり、東京 渋谷区の自転車店は取り扱うヘルメットの種類を増やすなど対応を進めています。

昨年から予告されていたとおり、東京メトロの回数券の発売が今日の 23 時で終了するので、向こう 3 ヶ月分の回数券を買いだめしてきました。

代替で始まるメトロポイントクラブ（メトポ）は、割引率的にはかなり改悪なんですよね。

TeraTerm 4.106 はrsa-sha2-256/512 に対応していないというトラップがあって、最近リリースされた Ubuntu や CentOS などに ssh ができないことが多くて困っていましたが、やっと rsa-sha2-256/512 に対応した Tera Term 5.0 beta1 がリリースされました。

• Tera Term 5.0 beta1 Release

TeraTearm 4 から移行する場合、TERATERM.INI の置き場所が %APPDATA%\teraterm5\ に変更になっているので、設定を引き継ぎたい場合には以下のようなコマンドでファイルをコピーしてやる必要があります。

インターネットの安全・安心ハンドブックが第 5 版になっていたのでメモ。

すっかり忘れていましたが、今年も NISC が主催する2023年サイバーセキュリティ月間が始まっているんですよね。2016 年頃から攻殻機動隊や SAO などのアニメやゲームとのコラボをやっていましたが、さすがにネタ切れになったのか今年はそういうのはないみたいですね。

インターネットの安全・安心ハンドブック - NISC

内閣サイバーセキュリティセンター（NISC）では、サイバーセキュリティに関する普及啓発活動の一環として、「インターネットの安全・安心ハンドブック」を公開しています。みんなが安心して使えるネット社会を実現するためには、その時々のサイバーセキュリティに関する正しい知識を身に付け、実行するとともに、家族や友人など身の回りの人達にも伝えていくことが大切です。本ハンドブックは、みなさんにサイバーセキュリティに関する基本的な知識を紹介し、誰もが最低限実施しておくべき基本的なサイバーセキュリティ対策を実行してもらうことで、更に安全・安心にインターネットを利活用してもらうことを目的に制作したものです。

今年も税理士を通して確定申告が完了しました。
今年は出張を挟んだので昨年よりはちょっと遅めになりました。

国税庁が確定申告書等作成コーナーの動作が重いことについて注意喚起をしていたのでメモ。

令和 4 (2022) 年分の確定申告の期間は 2 月 16 日(木)～ 3 月 15 日（水）なので既にスタートしていますが、この事象、毎年のことになりつつあるのでそろそろ国税庁やデジタル庁もも含めてそろそろなんとかして欲しいところです。

【確定申告書等作成コーナー】-【重要】確定申告書等作成コーナーの動作が遅くなる事象について（２月22日更新）

令和５年２月19日（日）以降、確定申告書等作成コーナーへのアクセスが集中した場合に動作が遅くなる等の事象が発生しております。
納税者の皆様には、ご利用中に動作が遅くなる等の問題が起きた場合には、時間をおいてご利用いただきますようお願いいたします。

開発用のローカルサーバを 10080 で立ててしまうと、最近のブラウザからはアクセスできないということが TL に流れていたのでメモ。試しに 10080 でサーバを立てて Firefox でアクセスしようとしてみると、画像のような感じでブロックされてしまいました。

Web Application開発に10080番ポートは使ってはいけない

• 現在最新のGoogle Chormeで10080番ポートが使用できなくなった
• Firefoxではすでにブロック済み

NAT Slipstreaming v1^*1/v2^*2 についてはちょっと読んだことがありますが、結局ブラウザから不必要なポートにアクセスさせないという対策になったんですね。これについては、ちょっと復習しておこうと思います。

• ^*1: NAT Slipstreaming攻撃とブラウザ側の対策 - ASnoKaze blog
• ^*2: NAT Slipstreaming v2 攻撃とブラウザ側の対策 - ASnoKaze blog

デジカメの単価が 8.5 万円と 3 年前の 2 倍超になっていることがニュースになっていたのでメモ。

スマホが普及してからコンデジというものが死語になり、必然的に高画質ものしか売れなくなったことでデジカメ＝ミラーレス一眼という構図が定着してきて平均単価が上がったということなんだろうと思います。とはいえ、新型のスマホは軒並み 10 万円越えのものも多いので 8.5 万円が高いか安いかというところに議論はありそうです。

ミラーレス一眼になってから本体はともかく同じクラスのレンズが 2～3 割かなり値上がりしているような感じなので、これからいろいろ買いそろえる人は大変でしょうね。

デジカメ単価8万円台、3年で2倍　AI搭載モデルも - 日本経済新聞

2022年の世界のデジカメ平均単価は8万5千円と新型コロナウイルス禍前と比べて3年で2倍超に上昇した。人工知能（AI）など先端技術を活用し高速で動く被写体を撮影・認識できるキヤノンやソニーグループなどのミラーレスの人気が高い。

JPCERT/CC が「JPCERTCC/cwe-1003-ja: CWE-1003 日本語訳」を GitHub で公開していました。

CWE ( Common Weakness Enumeration ) はソフトウェアの脆弱性の種類を識別するための共通の基準^*1で、CWE-1003 CWE VIEW: Weaknesses for Simplified Mapping of Published Vulnerabilities というのは脆弱性を表すための、簡易な語彙集になっています。で、直訳がなんでできないのかというのは、例えば クロスサイトスクリプティング が Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') になっていたりするからですね。

CWE（Common Weakness Enumeration）のView「CWE-1003」日本語訳の公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

海外の脆弱性調整機関やベンダーが公表するさまざまな脆弱性情報をもとにJVN用に日本語のアドバイザリを作成する際、使われているCWEを直訳すると、対象とする脆弱性の内容をイメージしにくかったり、誤解を生む表現となってしまったり、アドバイザリ作成者によって邦訳に揺れが生じてしまったりすることがありました。そこで私たちのグループでは、対象の脆弱性に適した日本語表現の共有を目的に、CWEの邦訳に取り組むことにしました。

• ^*1: 共通脆弱性タイプ一覧CWE概説：IPA 独立行政法人 情報処理推進機構