(収録日: 2024/06/06)

# 感想はSNSでハッシュタグ「#secure旅団  #secureLiaison」や⁠Google Form⁠にいただけると嬉しいです。

# 内容

• @EurekaBerryさん登場
• ひとくちPKI
• 2020年近くのSBOMの概要 - 国家安全保障
• サプライチェーンとは何を指すのか
• 2010年近くのSBOMの概要 - Component管理、透明性管理
• 本邦におけるSBOMは？
• 各機関におけるSBOM
• Metiの「ソフトウェア管理に向けたSBOMの導入に関する手引」
• 厚生労働省
• （米）FDA
• attestation可能な方法での配布パイプライン
• 2020年におけるニーズの高まりからよりその課題は高まった
• SLSA, CICD
• OSSとSBOM
• PowershellのSBOM
• まとめ

# 参照

• https://whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
• https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
• https://csrc.nist.gov/glossary/term/sbom
• https://www.meti.go.jp/press/2024/04/20240426001/20240426001.html
• EU’s Cyber Resilience Act

#積ん読

• なし

# 参加者: @EurekaBerry、@Wireworkes、@ken5scal

(収録日: 2024/04/14)

# 感想はSNSでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• XZ Utilsに脆弱性が埋め込まれた話

• OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話

# 参照

## 経緯

• https://research.swtch.com/xz-timeline
• https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html
• https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/

## CVEそのもの

• SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
• Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
• Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
• CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

## 関連PR

• https://github.com/libarchive/libarchive/pull/1609
• https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
• https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86

#積ん読

• なし

# 参加者: 中谷さん、ken5scal

(収録日: 2023/11/05)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• CVSSv4と、今までの脆弱性評価の思い出

• Oktaのインシデントの話（10/30以降に更新された話）。主に公私分離、体制、サービスアカウント

# 参照

• https://www.first.org/cvss/v4-0/
• https://www.sec.gov/Archives/edgar/data/1739942/000173994223000079/swi-20230623.htm
• https://sec.okta.com/harfiles

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、名無しさん、ken5scal

#  ジングル: @hajipion

(収録日: 2023/10/30)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 仙台で MINI Hardening した話

• Oktaのインシデントの話（10/30までの時点の情報です）

# 参照

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2023/10/16)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 雑な談
• 新しいスマホ
• ノートアプリ
• 気になるニュースあったっけ？ -> 全銀のはレポート待ち。ほかはない（とかいいながら、その数日後にNTT西日本とOktaのやつがくる）
• 雑な談 part2
• NTLM廃止の話 -> Microsoftプロトコル・ライフサイクルの温故知新、ライセンス
• curlの脆弱性の話
• 脆弱性管理とパッチ管理の話
• ルート証明書の更新
• ArcとWarpの宣伝

# 参照

• SOCKS5 heap buffer overflow - CVE-2023-38545

• cookie injection with none file - CVE-2023-38546

  How I made a heap overflow in curl

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers

#  ジングル: @hajipion

(収録日: 2023/10/02)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 言い訳
• passkeyのニーズの話
• Colab
• 最近気になったインシデントとオフボーディング 

# 参照

• 前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
• 前職の名刺情報を転職先に不正提供した事案についてまとめてみた - piyolog

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers

#  ジングル: @hajipion

(収録日: 2023/09/05)

• 今回は @bbr_bbq さんをゲストにお呼びしています

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 自己紹介
• 出会い
• AISEC
• Adversarial Example/Evasion Techniqueについて

• AIに対する攻撃手法と論文の傾向について
• 実際の攻撃について
• どうLLMを使っているか

• 学生向けのAIセキュリティ講座の内容

# 参加者:@bbr_bbq 、ken5scal

#  ジングル: @hajipion

(収録日: 2023/05/)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 野球の話
• GWの話
• 衛星データの話
• Colab
• RSA - CrowdStrike, PassKey
• ライドシェア状況
• 徳丸先生のQiita

# 参照

• フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか
• https://www.tellusxdp.com/

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2023/04/10)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 海外カンファレンスと海外行きたいって話
• 新しい社会人の方々の話
• ちょっとだけ情報収集の話
• llmを使った手法やビジネス。ちょっとMicrosoft Sentinelの話
• web proxyの話

# 参照

• https://gihyo.jp/article/2023/01/mitene-04oncall-engineer
• https://www.publickey1.jp/blog/23/chatgptmicrosoft_365_copilotexcel.html

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal、名無しさん

#  ジングル: @hajipion

(収録日: 2023/02/07)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• リトアニア旅行記
• 若干のWinny（映画）の話
• お便り紹介

# 参照

• https://gihyo.jp/article/2023/01/mitene-04oncall-engineer

#積ん読

• なし

# 参加者: 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2023/02/07)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• NISC情報セキュリティ月間タイアップ
• Twitterの思ゐ出
• 障害・オンコール
• お便り紹介
• https://twitter.com/todkm/status/1620686930546692097
• https://twitter.com/TTamadwu/status/1620460595744223232

# 参照

• https://gihyo.jp/article/2023/01/mitene-04oncall-engineer

#積ん読

• なし

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/01/23)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• CircleCIのレポート
• 攻撃者は勤勉
• 昨今の脆弱性診断の発注と予算
• 積読紹介
• 勉強会 - ChatGptイベント: https://connpass.com/event/273062/

# 参照

• https://connpass.com/event/273062/

#積ん読

• 偽情報戦争　あなたの頭の中で起こる戦い: https://amzn.asia/d/iFXvgl0

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/01/04)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• Lastpass
• PyTorchとSupply Chain
• EmbeddedなSupply ChainとPipelinelessなSupply Chain
• 今週の積ん読

# 参照

• https://www.arnica.io/blog/what-is-pipelineless-security
• https://pytorch.org/blog/compromised-nightly-dependency/

#積ん読

• なし

# 参加者: 針金細工さん（元名無しさん）、 ken5scal

#  ジングル: @hajipion

(収録日: 2022/10/18)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 雑談
• Fortinetの脆弱性
• ネットワークの管理IFはなぜ気をつけたいのか（どういう場合に）z
• パッチマネジメント
• 脆弱性とCloud misconfigurationとマルチクラウド
• ノーコードの利用者の幅がひろがりつつ、そのリスクをケアできているか
• 今週の積ん読

# 参照

• https://www.jpcert.or.jp/at/2022/at220025.html
• https://jpn.nec.com/cybersecurity/blog/220826/index.html

#積ん読

• 詳解Go言語Webアプリケーション開発: https://www.amazon.co.jp/dp/B0B62K55SL
• APIを作りながら進むGo中級者への道: https://techbookfest.org/product/jXDAEU1dR53kbZkgtDm9zx
• 事業をエンジニアリングする技術者たち ― フルサイクル開発者がつくるCARTAの現場: https://www.amazon.co.jp/dp/4908686157

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/09/05)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 今週はMINI Hardening運営の松本さんをゲストに、大会の意義や内容について教えていただきました。

# 参照

• https://bsidessg.org/schedule/workshop3-mini-hardening-kenro-project/

#積ん読

# 参加者: 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/07/25)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• ストレスのシグナル
• 新作ゲーム（ライブアライブ, Stray）
• トップガン・マーヴェリック（２回目）
• Grafana OAuthの脆弱性（CVE-2022-31107）
• ダッシュボードの話
• Cloud Security Podcast by Googleのおすすめ
• RSAカンファレンスのMicrosoftの話
• NISTとAutomation

# 参照

• Software Supply Chain and DevOps Security Practices | NCCoE
• Cloud Security Podcast by Google - EP75 How We Scale Detection and Response at Google: Automation, Metrics, Toil
• Grafana account takeover via OAuth vulnerability · Advisory · grafana/grafana
• All Hands-on Deck: A Whole-of-Society Approach for Cybersecurity – Microsoft Security Response Center

#積ん読

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/07/30)

• 今回は @seko_law さん（hp: https://seko-law.info）をゲストにお呼びしています

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• sekoさん登場
• 法務としての立ち振舞方
• 今回の背景
•  まずは個人情報保護委員会のガイドラインやQ&Aを読もう
• チェックシートを個人情報保護の観点から（フォーマット
• なぜチェックシートは自動化できないか
• 提供元基準としての個人情報
• チェック内容の繊維
• 個人情報とリスクベース
• ガイドラインレベルでも違うが、結局、業界も含め利用ユースケース次第
• 日常的な（よく日常手きく）個人情報のと法律的な個人情報は違う
• GDPRがベース
• 法律メンと技術メンのか変わり方
• 文脈共有
• 60分でわから個人情報保護
• グラデーションによって個人情報の取り組みの濃淡をつけたい

# 参照

• 法務が知っておきたいデータセキュリティの基本（動画）
• 法務が知っておきたいデータセキュリティの基本（資料）
• ＯＥＣＤ理事会勧告８原則
• 個人情報保護の法令・ガイドライン等
• 個人情報の保護に関する法律についてのガイドライン に関するＱ＆Ａ
• コロラド州のプライバシー法

#積ん読

• 60分でわかる! 改正個人情報保護法 超入門

# 参加者: seko_lawさん、針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/07/13)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 政府系ドキュメントに思うこと。CNCFみたいなコンポーネントとかにするとか
• サンドラッグ　リスト型攻撃 https://smbiz.asahi.com/article/14668844
• IPAの産業サイバーセキュリティセンターの中核人材育成プログラムについて
• 松本さんが社会人の要件について語る
• メタップスペイメントの話
• 脅威の考え方について
• 
  

# 参照

#積ん読

• オンラインゲームセキュリティ

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/06/13)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• トップガンの話
• スプリガンの話
• ドローン規制の話
• ゲームの話

# 参照

#積ん読

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion

(収録日: 2022/03/28)

# 感想はtwitterでハッシュタグ「#secure旅団  #secureLiaison」やGoogle Formにいただけると嬉しいです。

# 内容

• 東京ドームの入場チケット
• LAPSUS$とOkta/Microsoft
• 拾うボールの話

# 参照

• DEV-0537 criminal actor targeting organizations for data exfiltration and destruction
• Microsoft Investigating Potential LAPSUS$ Hack After Sensitive Screenshot Leak
• Cloudflare’s investigation of the January 2022 Okta compromise

#積ん読

# 参加者: 針金細工さん（元名無しさん）、 松本さん(@ym405nm)、ken5scal

#  ジングル: @hajipion