Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Find Trust-Information -Public- 20170630 #ssmjp
Search
Yuho Kameda
June 30, 2017
1
2.4k
Find Trust-Information -Public- 20170630 #ssmjp
信頼できる情報源の探し方 #ssmjp
2017/6/30
Yuho Kameda
June 30, 2017
Tweet
Share
More Decks by Yuho Kameda
See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
8.8k
Enjoy Daily Life by handy tool
ykame
0
91
Intel CTF and Open xINT CTF 20161220
ykame
1
1.2k
Hey Siri! Hello Barbie! ssmjp
ykame
0
860
How to create the alert by script of ZAP
ykame
2
660
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.3k
What is ZAP?
ykame
0
480
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
ykame
2
520
How to install VMwarePlayer and OWASP BWA
ykame
1
950
Featured
See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
How to Think Like a Performance Engineer
csswizardry
19
1.1k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
92
16k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.2k
RailsConf 2023
tenderlove
29
880
Statistics for Hackers
jakevdp
796
220k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Building Better People: How to give real-time feedback that sticks.
wjessup
363
19k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
The Invisible Side of Design
smashingmag
297
50k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
107
49k
Transcript
#ssmjp 2017/6/30 @YuhoKameda
ykame (@YuhoKameda) ZAP Evangelist 主な経歴 Webアプリケーション脆弱性診断 プラットフォーム脆弱性診断 SOC監視担当 インシデントレスポンス担当 その他諸々
昔、インターンで記事を書いていたことも…。
2014/03/28 #ssmjp OWASP ZAPのススメ https://speakerdeck.com/ykame/owasp-zapfalsesusume 2014/06/17 #ssmjp Information Gathering (非公開)
http://ssm.pkan.org/ssmjpまとめ/2014年6月のssmjpまとめ/ 2015/10/16 #ssmjp ハセガワナイト SOCの話 (非公開) http://ssm.pkan.org/ssmjpまとめ/2015年10月のssmjpハセガワナ イトのまとめ/ 2016/4/28 #ssmjp Hey Siri! Hello Birbie! https://speakerdeck.com/ykame/hey-siri-hello-barbie-ssmjp
本スライドに記載の行為を、手当たり次第に実施する と、意図しない悪意あるURLへアクセスしてしまう恐れ があります。 アクセスする先は、毎回視認等で確認を行った上で自 己責任でアクセスするようお願いいたします。 あくまで私見に基づいた経験則も踏まえてまとめてい ます。 掲載企業やWebサイトに対する意図はなく、情報源の 参考に掲載させていただいています。
None
情報源(じょうほうげん)には主に次の2つの意 味がある。 情報の提供者、入手元、入手経路、発信源(ソース、 英: information source)。例えば、歴史においては 史料(英: historical source)、調査・研究において は資料(英:
source text)。ジャーナリズムにおいて は、取材源 (Journalism sourcing) 。 情報理論の概念。
研究・調査の基礎となる材料。またあることをす る上で、もととなる材料。特に、研究のための データ。 各公的機関によって、資料の扱い方が違う
図書館の資料はオリジナルな情報を一次資料 (primary source) 編集、加工した二次資料(secondary source) という区分が一般的になされている。 一次資料についてオリジナルか否かの判断の基 準は明確ではなく、むしろ二次資料の情報源と なるもの、さらには二次資料ではないという相 対的な意味で使われている。
(引用元:図書館情報学用語辞典 第4版)
編集や加工のされていない一次資料(Primary Source)を公開している また、二次資料(Secondary Source)の情報源 となっているもの
独自に分析した技術レポートを公開 (直接インタビューした内容を掲載) ソフトウェアや製品に関する見解の場合… ベンダが公表する情報 ベンダが公表する情報を常に収集し、加工せず参 照している 事件やサイバー攻撃被害に遭った場合… 被害者となる立場が公表する情報
一次資料を掲載してくれるWebサイトは信頼性 が高い情報源! 一次資料に近い情報を発信しているWebサイト、 人を見つけると、より信頼性の高い情報に辿り 着ける! とは言っても、情報源を見誤ることもあるので、 各自で見極められるようになりましょう。
(事例1:一次資料から追ってみる)
http://blog.yka.me/ でしばらく試してみました 意識したこと まだ記事を目にする人が少ない海外の情報が中心 ただ情報源を共有するだけでなく、概要をまとめた 一次資料、二次資料、掲載日をまとめた
https://technet.microsoft.com/en-us/library/security/4025685.aspx
https://blogs.windows.com/windowsexperience/2017/06/13/microsoft-releases-additional- updates-protect-potential-nation-state-activity/#JzzjpvwB7KhkphSS.97
https://blogs.technet.microsoft.com/jpsecurity/2017/06/14/201706-security-bulletin/
https://www.ipa.go.jp/security/ciadr/vul/20170614-ms.html
http://internet.watch.impress.co.jp/docs/news/1065158.html
Microsoftアドバイザリ/ブログ(英語) ↓ Microsoftアドバイザリ(日本語) ↓ IPAによる情報発信 ↓ ニュースメディアによる情報発信 ↓ 各種ブログで紹介 ・・・
Microsoftアドバイザリ/ブログ(英語) ↓ Microsoftアドバイザリ(日本語) ↓ IPAによる情報発信 ↓ ニュースメディアによる情報発信 ↓ 各種ブログで紹介 ・・・
拡散されると「気付く可能性」が高まる ↑(反面…) ↓ 編集や加工され掲載される
参考にする立場の人によって違う ベンダ情報(海外) ベンダ情報(国内) 公的機関情報(国内) ニュースメディア(国内) ブログ(国内) 記事を見つける目的なら、どの情報も役に立つ 実際に対応したり、分析・検討する人は、一次 資料に近い情報を参照すべき
(事例2:拡散された情報から追ってみる)
http://blog.yka.me/entry/todays-security-summary-20170608
Yahoo!Japan 情報源 ZUU online 掲載日 6/14 17:30 https://headlines.yahoo.co.jp/hl?a=20170614-00000014-zuuonline-bus_all
ZUU online 情報源 リンク無し 掲載日 - https://zuuonline.com/archives/156945
Gigazine 情報源 BGR 掲載日 6/9 21:00 http://gigazine.net/news/20170609-officials-arrest-apple-distributors/
BGR 情報源 Engadget 掲載日 6/8 20:00 http://bgr.com/2017/06/08/apple-china-arrests/
BGR 情報源 Engadget 掲載日 6/8 20:00 http://bgr.com/2017/06/08/apple-china-arrests/ リンク先はEngadget.com
Engadget 情報源 掲載日 6/7 https://www.engadget.com/2017/06/07/china-arrests-apple-distributors-for-selling- iphone-user-data/
Engadget 情報源 qq.com 掲載日 6/7 https://www.engadget.com/2017/06/07/china-arrests-apple-distributors-for-selling- iphone-user-data/ リンク先はqq.com
qq.com 情報源 掲載日 6/7 https://mp.weixin.qq.com/s/jro-EfF_Y5q_XLa1GmPW8Q
The Hacker News 情報源 掲載日 6/8 http://thehackernews.com/2017/06/china-apple-distributors.html
The Hacker News 情報源 weidu8.net 掲載日 6/8 http://thehackernews.com/2017/06/china-apple-distributors.html リンク先はweidu8.net
微读吧 情報源 - 掲載日 6/7 http://www.weidu8.net/wx/1013149676480838
[qq.com](P31)と[微读吧](P34)の2サイトを 比較してみる…。 発表時に画面で紹介
[qq.com](P31)と[微读吧](P34)の2サイトを 比較してみる…。 [qq.com]の方が、写真の量が多い 執筆者の情報が、記事に関する限りなく近い存在 qq.comに挙がっている情報が一次資料のよう だ!
個人的な事例(RSSのみ)
CTF : 競技やWriteup情報 Hobby : 趣味 IT News : IT全般
News : 世間全般 Security News : セキュリティ(日本 語) Security News(English) : セキュリ ティ(英語) Security Vulnerable : セキュリティ脆 弱性関連 Security Personal : セキュリティ発信 (個人系) Security News(Summary) : セキュリ ティまとめサイト
CTF : 15サイト Hobby : 6サイト IT News : 6サイト
News : 9サイト Security News : 22サイト Security News(English) : 43サイト Security Vulnerable : 14サイト Security Personal : 10サイト Security News(Summary) : 7サイト 一次資料を探しつつ随時更新
一次資料を掲載してくれるWebサイトは信頼性 が高い情報源! 一次資料に近い情報を発信しているWebサイト、 人を見つけると、より信頼性の高い情報に辿り 着ける! 自分に合った、信頼できると感じる情報源を探 しましょう
参考にする立場の人によって違う ベンダ情報(海外) ベンダ情報(国内) 公的機関情報(国内) ニュースメディア(国内) ブログ(国内) 目的と立場によって収集先を変える 誰もが一次資料を探せばよい訳ではない 詳細はぶれる可能性はあるが、 より広く情報を得たい
正確な情報を速やかに収集
<情報活用・探索> 信頼度の高い情報には価値があると気付く 自分自身で情報を探す能力を磨ける <疑う能力> フェイクニュースに踊らされない 発信される情報に疑いを持つことができる <記事の本質を見抜く> 情報源を読み解く(引用元や主語の理解) 情報源の引用か?執筆者の感想か?