情報収集 - 2020/12/07
今週のおすすめ/一言所管
今回はちょっと時間ないのでスルー
また、Android(fully managed enterprise)では
Managed Google Playからのみのダウンロード
managed appのアンインストールのブロック
factory resetのblock
証跡収集の自動化
コントロール(ポリシー、procedure、アクティビティ)の状況確認の効率化
ビルド印レポート
行政解釈をベースにした文献
各種パブコメ
信頼コストが高すぎた -> 削減する仕組みが必要
ツールそのものにゼロデイexploitはない模様
顧客から収集したインテリジェンスもない
今後の検討課題案
サイバー攻撃の対策
事例と対策
IoTを踏み台にした攻撃の対策
クラウドサービスのセキュリティ対策
グローバル化するサイバー空間への対応強化
5Gにおけるサイバー空間のセキュリティ確保(resilient化)
国際連携の推進
安心・信頼できるサイバー空間
トラストサービス
eKYC, 認証の強化
ユーザーの被害防止
出資法が疑われた
入金した残高に1%の年利を付与するサービス。ただし付与されるのはポイント(kyashバリュー)で現金化はできない
付与されるポイントで現金化はできないものの、元本は預入なので、それが出資法に当たる可能性がある
また、期間に比例するため、長期間の預託になる可能性もあった
↑パブコメで金融庁の考えとして例示されている
ただし、その中の考えは4つの条件が揃った際に預託になり、うち一つは個別判断になりそうであるため、現時点ではなんともいえない
1. 不特定かつ多数のものが相手であること
金銭の受け入れであること
元本の変換が約されていること
預け主の便宜のために金銭の価値を保管することを目的とするもの
とはいえ、kyashがtake backしたのも事実
ブロックチェーン(分散型台帳)上で管理することでより小口かつ迅速に発行できるのが特徴
シンガポールで立てて、アジアの中小企業の未公開株や社債に対する小口投資を実現する
世界には9兆5000億ドル(約990兆円)の非上場資産
トレンド: (1)世界的なインフレ率と金利の低下(2)急速な高齢化(3)デジタル化(4)規制強化で、投資から貯蓄へのトレンド
手数料対象の変化: コミッションから預かり資産ベースの手数料へ
クレカによる決済サービスの技術進展と拡大戦略におけるフィンテック企業との提携や買収に、独占禁止法(半トラスト)提 訴
具体的にはVISAのPLAID買収に対する司法省のストップ
ほー、NTTデータの東南アジアにおける決済市場の開拓
他の銀行でも発生したことを、主にドコモのせいにしている銀行擁護記事。
また、東証のインシデントで会見を開くタイミングが遅いといってたり、一回ですべてをカバーすることが鉄則というなど、根本的に価値観があわない
こういった記事をよむために月額課金しているのではない
行政/会社/団体
Stripe Treasury: API型のBaaS
金融機能のアンバンドリング => embedded finance
ただし銀行業ではない。あくまでもインフラと決済。口座も開けるようになるっぽいけど
イベント/勉強会/発表資料
Enclave: EC2の中で動作するkvmベースのハイパーバイザ ( + ec2からcpu/memoryを割り当てられて独立したカーネルOSで動作)
EC2とEnclaveはvsockだけのやりとり。外部とのやりとりや、admin IAM権限によるアクセスはできない
EIF(Enclave Image Faile)が実際に作成されるVMである
CASBを使ってそう。どうもNetskopeっぽい。
2年を目安にデバイスを新調する
スプシ周りの運用がいけてる
三菱パワーがMSP(managed Service Provider)経由で不正アクセスされ、外部通信を発生されてた
三菱パワー社内が対象範囲
サーバー設定情報、アカウント情報、認証処理プロセスのメモリダンプ
MSPのソフトウェアに0day脆弱性があった
同時期に日立システムズの運用監視サービス経由の不正アクセス被害発表があった。関連性は不明
PayPayのインシデント
時系列(対応が遅い...)
10/xx: 設定ミス -> 公開アクセス
11/28: 不正アクセス発生
12/1: ヤフーからの指摘
12/3: 遮断
12/7: 第一報
そもそも何に対してどういう理由で一時で公開にする変更をしたんだ?
エンドユーザーでなくて、加盟店の情報漏えい件数で2千万件もあるpaypayエコシステム恐るべし
その他