はじめに

大和セキュリティさん主催の以下勉強会に行ってきました。 　yamatosecurity.connpass.com

目的

マルウェア解析のためのリバースエンジニアリング手法ですが、組込みソフト屋も製品セキュリティを意識した取り組みとスキル向上が必要になってきましたので。
ちなみに以下も参加してました(ブログに書きそびれた)。
　2019年 大和セキュリティ MAIR忍者チャレンジ（神戸） (9月22日) - connpass

概要

Allsafe*1の方がGhidra*2の使い方をマルウェア解析を題材に解説する勉強会＆ハンズオン(6時間程度)

Ghidra(ギドラ)の基本的な機能と操作を聞いた後、実際にリバースエンジニアリングの問題を解いていく形です。 IDA(アイダ)との違いも詳しく説明されていました。

Ghidraの概要は↓にも書いてあります(今回の勉強会の資料とは別です) https://www.netagent.co.jp/study/blog/hard/20190530.html

内容

• Ghidraの使い方説明(インストールは各自事前対応済)

• Ghidraを使った簡単なCrackme*3を5問解く。

• Ghidraを使ったマルウェア解析(静的解析) 　マルウェア検体はMAIR忍者チャレンジの時と同じ内容(以下はWrite up)
  　Monero Miner-Malware Uses RADMIN, MIMIKATZ to Infect, Propagate via Vulnerability - TrendLabs Security Intelligence Blog

　以下のオンラインサンドボックス(動的解析)と並行して確認。 　any.run

• 有名なマルウェア(EternalBlue関係)の解析説明
  　※この辺りから難しくてついていくのがやっと、、、

• N-day Exploit 　GhidraのVersion Tracking機能を使ってセキュリティアップデートされる前後のモジュールを比較。 　Ghidraで修正した脆弱性内容を具体的に(関数レベルで)特定する

感想

• Ghidraのデコンパイラ結果を修正するシーンが結構あった(特に構造体など)。
  　→ 自分でアセンブラを見て修正する必要がある。アセンブラを読むスキルは必要。

• Crackmesを解くときにSloverプログラムを作ったが自分はとりあえずgccで書いちゃうけど周りはPythonで書いてた。内容的に言語はどっちでもいいんだけど、時代に取り残されてる感じがした。

• 自分でSloverプログラムを書くのではなくCyberChefというオンラインツールがあるらしい。最初は使い方わかりづらかったが高機能で便利。 　

  CyberChefの使い方（HamaCTF2019 WriteUp編） from Shota Shinogi
  www.slideshare.net

最後に

IoTセキュリティも色々なところで見かけるようになってきました

• 2019/11/20(水)～22(金) 組込み総合技術展 & IoT総合技術展＠パシフィコ横浜（CCDS のIoTセキュリティセミナー） 　http://www.jasa.or.jp/expo/conference2019/confpage-ccds.html

2019/12/29(日)@大阪で以下の勉強会もあるようです。 　naniwasecurity.connpass.com

はじめに

最近更新できてませんでした。主に1～2月に読んだ記事のまとめです。

イベント・セミナー情報

• 2019年3月14日(木)開催 セキュリティフォーラム2019 ｜ JSSEC

• 2019年3月27日(水)～28日(木) ソフトウェアテストシンポジウム 2019 東京
  　JaSSTソフトウェアテストシンポジウム-JaSST'19 Tokyo

技術系記事

• 人工知能ニュース：ラズパイゼロで推論も学習もできる組み込みAI「DBT」、“AIチップ”で開発容易に (1/2) - MONOist

• 機械学習/ディープラーニング/Python関係の記事まとめ - Qiita

• gihyo.jp

• 未来の重要セキュリティ職種「スレットハンター」とは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

• ブロックチェーンオンライン学習サイト作ったので紹介 - Qiita

• codezine.jp

• 知っているようで意外と知らない、DDoSの基礎知識 - Qiita

• 中国で激増：最多のDDoS攻撃は「SYNフラッド」、CDNetworksが2018年第1四半期の動向を発表 - ＠IT

• employment.en-japan.com

• オープンソースのCPU命令セット「RISC-V」は普及の一歩手前まで来ている - GIGAZINE

• www.buzzfeed.com

• グラディ・ブーチ氏講演◎ソフトウェアエンジニアリングの歴史 ～第1回｜エンジニアリングは高級神官イムホテプから始まる | アイマガジン｜i Magazine｜IS magazine

• Cloud Native化するには？LandscapeとTrail Mapのご紹介 | Mobingi Labs

プロセス系記事

• プラクティス厨から始めるアジャイル開発 from Arata Fujimura
  www.slideshare.net

• 0からはじめた！スクラム導入から今日まで / story introducing Scrum from SatoshiIuchi
  www.slideshare.net

• www.ryuzee.com

• 「受託」は時代遅れになり「共創」へとシフトする。顧客との関係が変われば、活躍する人材も変わる。｜『TAM made by people』創刊｜Shinji Tamehiro｜note

• blog.tinect.jp

• 聞き上手で全て上手くいく！コミュニケーションの基本は相手の話を聞くこと！傾聴力を高めて信頼関係を築く２４の方法

• kuranuki.sonicgarden.jp

• 「PDCA」を回しまくっている人が時代遅れなワケ。世界は “まずはやる” 方式にシフトしている。 | コラム

• 大きな組織にいても自由に働くために出来ること | Social Change!

• 初めてでも出来る！聴き手への思いやりでよくなる「おもてなしプレゼン」｜macheri｜note

• 管理職はAI・IoTの知識必須、ダイキンが新人事制度

その他

• デジタルトランスフォーメーションに向けた研究会の報告書『DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～』をとりまとめました （METI/経済産業省）

• 財務総合政策研究所のレポート
  　報告書等 : 財務総合政策研究所
  　例として「AI×データ時代における日本の再生と人材育成」の記事
  　　https://www.mof.go.jp/pri/research/conference/fy2017/inv2017_04_02.pdf

• b.kyodo.co.jp

• 基礎からわかる統計調査＜上＞ : 経済 : 読売新聞オンライン

• やりたいことがない人がやりたいことを見つける意外な方法。 | 面白法人カヤック

• 厚生労働省が作ったIT業界の働き方資料
  　IT業界の働き方・休み方推進｜日本現代ばなし

• 会社員の年収と「嫁ブロック」について｜えとみほ（江藤美帆）｜note
  　引用：年収800万円が天井の会社では、800万円の人は間違いなくスター社員でなくてはならない

• 【悲報】実家に帰省したら親がネトウヨになってた…元凶の「ビジネス右翼」を生む歴史と構造。そして治療法はあるのか｜古谷経衡（文筆家）｜FINDERS

はじめに

本年もよろしくお願い致します。主に12月に読んだ記事のまとめです。

技術系記事

• ROS講座00 目次 - Qiita
  　たまたまROSの事を聞かれたときに調べたら出て来た記事。

• IPA 2018/12/11に「AI白書2019」を刊行
  　AI白書2019：IPA 独立行政法人 情報処理推進機構

• AIが長文を3行ぐらいにギュッとまとめてくれるエンジン「IMAKITA」 　qhapaq.hatenablog.com

• 知っておきたい日本のサイバーセキュリティ政策 　ascii.jp

• 従量課金制サービスを自前で作る方法について
  　Stripeで従量課金制サービスを作る - Qiita

• JASST'18 東海より「Agileとテスト自動化導入の勘所」 　

  Jasst tokai18-rakuten-20181207 from Kotaro Ogino
  www.slideshare.net

• RISC-V採用のSoC FPGAアーキテクチャ「PolarFire SoC」、Linuxにリアルタイム性能を持たせる 　monoist.atmarkit.co.jp

• これなら分かる！マイクロサービス（活用編）～そのアーキテクチャを実現するデザインパターンを一気に学習 (1/4)：CodeZine（コードジン）

• オープンソース コンプライアンスの総合ガイド『Open Source Compliance in the Enterprise』最新版をリリース - The Linux Foundation

• 変更に強いアーキテクチャについてIT業界19年目の僕が超ザックリ説明する - Qiita

• アスペクト指向プログラミングについて(C#) 　

  C#とaop from Hiroshi Maekawa
  www.slideshare.net

• 内閣府の公開文書より公文書管理における 情報科学技術(ICT)利活用
  　配布資料 第71回公文書管理委員会 - 内閣府

• データベースとして，オープンソースとして，コミュニティとして ―石井達夫氏が語るPostgreSQLの強さと課題：新春特別企画｜gihyo.jp … 技術評論社

• GitLab Serverlessを搭載したGitLab 11.6がリリース。Knativeをベースに、どのクラウドでも使えるサーバレスの実現へ － Publickey

• 朗報、GitHub無料ユーザーも無制限にプライベートリポジトリを使えるようになる | TechCrunch Japan

プロセス系記事

• TIS社がアプリケーション開発ノウハウを共有するサイトを立ち上げ
  　Fintan | アプリケーション開発ノウハウ・ツール

• JASST'18 東海の基調講演資料 　anagileway.com

• 心理的安全性の育て方 　

• とれるだけ仕事を取ってはいけない、と言う話 　brevis.exblog.jp 　受注量を増やしすぎるとかえって赤字になる、という話は経験的にも一致するかなと思います。

• 人手不足なのに給料が上がらないのは、経営者の強欲のせいではなく、仕事に要求される能力が高くなったから。 | Books&Apps

• なぜ、マネジメントが重要なのか？ 　logmi.jp 『マネジメント側は「なにがゴールなのか」を発信し続けるべき』は結構できてない人が多いように思いますね。

• 【おすすめバグ管理ツール（BTS）】チームでの開発がうまくいく！オススメツール7選 | 8bit モノづくりブログ｜Web制作、Webサービスに関するコラム｜東京都渋谷区のWeb制作会社 株式会社8bit

• こんな幹部社員がいるから「炎上プロジェクト」は生まれる | 文春オンライン

• 会社は真面目に経営されるほど「学習しない組織」になってしまう | 未来を変えるプロジェクト by パーソルキャリア

• PMstyleプロデュース : 【ＰＭスタイル考】第１４２話：ティール組織を実現するコンセプチュアルスキル

• コーポレートベンチャーキャピタル(CVC)のワーストプラクティス 　svs100.com

その他

• IT業界へ転職した方に読んでほしい。DELLが選び抜いた200冊の本 | ハフポスト

• 「仕事を終わらせて帰る」のは二流、では超一流は？ | ZUU online

• 勉強会やイベントを開催したら、やたらと参加人数が少なくて焦ったときの対処法 - Hello, afroWorld

• ｢精神の奪い合い｣が次世代ビジネスの主戦場
  　前田裕二氏｢GAFAには､弱点があると思う｣ | IT･電機･半導体･部品 | 東洋経済オンライン | 経済ニュースの新基準
  　以下の話含めて最近、この手の記事をよく見かけるように思います。

• 11月発売＆絶賛ヒット中のビジネス書『新世界』を全ページ無料公開します（西野亮廣）｜新R25 - 20代ビジネスパーソンのバイブル 　全部読むと長いので抜粋。
  　- これから生き残るのは「社員を使う会社」ではなくて「社員に使われる会社」だ。
  　- つまるところ「これからは『お金持ち』ではなくて、『共感を集めている人』が社会を動かしますよー」だ。

• 悩むよりまず動け：僕を形作っているのは、才能ではなく体験――澤円氏が説く「迷えるエンジニアが納得のいくキャリアを築くためにやるべきこと」 - ＠IT

• 会社で必要な知識と自分のスキルを組み合わせてみんなの困りごとを解決し、「社内」の信頼貯金を作った（川口さんキャリアインタビュー） | 全日本キャリア教育改善推進協会

はじめに

10月下旬に読んだ記事のまとめです。

セミナー/勉強会情報

• 2018/11/6(火) 人材育成祭り(名古屋) 　人材育成祭り 秋 2018年11月6日（愛知県） - こくちーずプロ（告知'sプロ）

• Google Cloud Platformトレーニング(11/9大阪、11/20名古屋、12/12福岡) 　cloudplatformonline.com

• 2018/11/17(土) TOC基礎講座(大阪) 　tocfe-kansai.doorkeeper.jp

• 2018/11/27(火) RZマイコンを用いたRTOSとLinuxのAMP実装と開発手法紹介(東京)
  　RZファミリ(RZ/N、RZ/G)のデュアルコアを最大活用、RTOSとLinuxのAMP実装と開発手法紹介 | ルネサス エレクトロニクス

• 2018/12/1(土) Agile Tour Osaka 2018(兵庫)
  　Agile Tour Osaka 2018 2018年12月1日（兵庫県） - こくちーずプロ（告知'sプロ）

• 2018/12/24(月) ミニ四駆で「論理的に考える力」の育て方を学ぼう!(大阪) 　4884biz.doorkeeper.jp

技術系記事

• LeapMind社、CycloneV SoCでディープラーニングを動作させるソフトウェアスタック「Blueoil」をオープンソース公開 　monoist.atmarkit.co.jp

• Linux Security Summit 2018のレポート
  　C言語のセキュリティや、組み込みからクラウド利用まで「Linux Security Summit 2018」レポート | Think IT（シンクイット）

• デブサミ関西2018(9/28開催)のセッションレポート
  　【デブサミ2018 関西】セッションレポート連載一覧：CodeZine（コードジン）

• NEC、日立製作所、富士通の3社、セキュリティ技術者の共通人材モデルを公開 　it.impressbm.co.jp

• Red Hat Enterprise Linuxの修正はどのように出荷されるか 　 　IBMがRedHatを340億ドルで買収と言う話が巷を賑わせていますね。
  　「Fedora 29」公開--IBMによるレッドハット買収が注目されるもコミュニティは通常通り - ZDNet Japan

• サーバーレスアーキテクチャで実現するグローバル空調IoTプラットフォームへの挑戦 　

• Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー 　

  Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー from Toru Makabe
  www.slideshare.net

• 液晶付きマイコン「M5Stack」 と Google Home で、子どもとメッセージがやりとりできるシステムを作ってみた 　fabcross.jp

• DBSC(データベース・セキュリティ・コンソーシアム)シンポジウムより情報システムが時間に与える影響をサマータイムと2038年問題の話 　

  20181030 DBSCシンポジウム　情報システムと時間の表現 from UEHARA, Tetsutaro
  www.slideshare.net

• 言語別Youtubeおすすめチャンネル 　qiita.com

• AWS認定9冠制覇したのでオススメの勉強法などをまとめてみる 　qiita.com

• Dockerでプログラマが最低限知るべきことが、最速でわかるチュートリアル
  　Dockerでプログラマが最低限知るべきことが、最速でわかるチュートリアル - Qiita

プロセス系記事

• 心理的安全性を 0から80ぐらいに上げた話 　

  心理的安全性を 0から80ぐらいに上げた話 from Yusuke Hisatsu
  www.slideshare.net

• What is Agile? 　

• KPTとYWTの違いは？～KPTがうまくいかない理由と、YWTの特性を考える 　qiita.com

• マネジメントにおける「当事者意識を持て」という言葉の死
  　マネジメントにおける「当事者意識を持て」という言葉の死 | クラウドワークス社長 吉田 浩一郎のブログ

• 機械学習を使った事業を成功させるために必要な考え方や人材、フェーズとは？
  　機械学習を使った事業を成功させるために必要な考え方や人材、フェーズとは？ - Qiita

• 有害な上司を持つ人がとるべき10のアプローチ 　www.dhbr.net

その他

• 『ジャンプ』伝説の編集長は『ドラゴンボール』をいかにして生み出したのか
  　『ジャンプ』伝説の編集長は『ドラゴンボール』をいかにして生み出したのか (1/6) - ITmedia ビジネスオンライン
  　『つまり何が言いたいかというと、狭いところだけで仕事をしていると、自分たちが見ている世界がそのまま「世界の全て」になってしまうということです。外の空気が入らないから。』これは組織にも個人にも言える事かと思います。

• GNUプロジェクト提唱者のリチャード・ストールマンによる「心あるコミュニケーションのガイドライン」が発表される 　gigazine.net

• 自分の弱さをちゃんと認めることができれば、人と人はサステイナブルな関係が作れますという話 　www.sbbit.jp

• 人生の質を上げたいなら、｢アサーティブ（主張型）なセルフトーク｣を心がけよう 　www.lifehacker.jp

• 5G時代のビジネス開発拠点を開設、KDDIの狙いとは
  　5G時代のビジネス開発拠点を開設、KDDIの狙いとは 続々誕生！ DXのためのアジャイル拠点（第1回）(1/3) | JBpress(日本ビジネスプレス)

音楽の話

プロフィールに音楽の話もたまにすると書いたけど、今まで全然してませんでした。
今回は申し訳程度に北インド古典声楽に関するブログの紹介です。

　旋律腺〜Raag Gland〜北印度古典声楽的世界 |
　プラバー・アトレ女史の著書『Enlightening the Listener』の日本語訳が掲載されています。アーティキュレーションの技法を文章だけでは無く音声でも聞けるよう工夫がされており非常に参考になります。