忙しい人のためのセキュリティ・インテリジェンス No.47 - 2021/08/16
#忙しい人のためのセキュリティ・インテリジェンス_バックナンバー
#supplyChain
今週のおすすめ/一言所管
#supplyChain 祭り
Infra Study 2nd #4「セキュリティエンジニアリングの世界」にて「サプライチェーン・セキュリティ」を発表しました。
使用したリファレンスは以下の通りです
取り上げたインシデント
仮想通貨取引所とドメイン登録サービス
(coincheck) 当社利用のドメイン登録サービス「お名前.com」で発生した事象について
(Liquid) 当社利用のドメイン登録サービスにおける不正アクセスについて(第二報
GoDaddy Employees Used in Attacks on Multiple Cryptocurrency Services
マネージドサービス経由の侵害
(三菱パワー)マネージド・サービス・プロバイダを経由した第三者からの不正アクセス
(Kaseya) Updates Regarding VSA Security Incident
SolarWinds
(FireEye) Unauthorized Access of FireEye Red Team Tools
Microsoft Internal Solorigate Investigation Update
不正送金
(ゆうちょ銀行・三菱UFJ銀行、SBI証券)証券会社のユーザー認証突破からの銀行口座経由の不正出金
(ドコモ口座、ゆうちょ銀行)銀行の口座認証突破からのキャッシュレス事業者経由の不正出金
開発依存系
(CodeCov)Bash Uploader Security Update
PHP repository moved to GitHub after malicious code inserted under creator Rasmus Lerdorf's name
業務委託からの漏洩
(LINE) ユーザーの個人情報に関する一部報道について
村田製作所) 村田製作所の再委託先 IBM中国法人社員、業務情報を無断 DL & クラウドへアップ
バグハンター・専門家の実績
Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies
HomebrewのCaskリポジトリを介した任意コード実行
Remote code execution in cdnjs of Cloudflare
npmの@typesスコープにおける任意のパッケージの改竄 npmの@typesスコープにおける任意のパッケージの改竄
PyPIにおける潜在的な任意コード実行
(Twitter)こらからはいかにバレないようにゼロデイを埋め込んでいくかの時代が来る
ガイドライン
NIST.SP.800-161r1-draft.pdf
パブリックセクターの動き
(ENISA) Understanding the increase in Supply Chain Security Attacks
(米国) 大統領令(EO14028): Improving the Nation's Cybersecurity
Improving the Nation's Cybersecurity: NIST’s Responsibilities under the Executive Order
Guidelines on Minimum Standards for Developer Verification of Software
OSSの動き
OSSF
Identifying Security Threats
Scorecards
Allstart
Criticality Score
Security Metrics
SLSA
Professional Certificate in Secure Software Development Fundamentals
OWASP Security Knowledge Framework
Sigstore
Gitlab Hunter
プラットフォーマーの動き
大体下記のあたりでガッと調べてます
忙しい人のためのセキュリティ・インテリジェンス No.28 - 2021/04/05
忙しい人のためのセキュリティ・インテリジェンス No.29 - 2021/04/12
AWS Nitro Enclaveについて
その他
Infra Study 1st「コンテナや Kubernetes といったこれからのインフラ基盤技術における攻撃例と対策
Threat Modeling: Designing for Security (English Edition)
LayerXはブロックチェーンの会社じゃありません、という話
今の私のポジションに応募してくれ、頼む!というリンク
(ken5個人とのカジュアル面談)https://meety.net/matches/jAbffzvLqjNa
(公式な面接)https://herp.careers/v1/layerx/yr-q1HGTPR9x