- 1. 偽のサイトにアクセスしようとしています@PaizaCloud
- 2. SORACOM Harvest Files内にDebianのリポジトリを構築する
- 3. 商業登記に基づく電子認証制度のルート証明書の更新頻度が3年に1回に削減
- 4. サーバーレスやられアプリを使った脆弱性診断ハンズオン
- 5. Windows7 サポート期限後の安全運用方法
- 6. 平成のうちにやめたかった『ITの7つの無意味な習慣』
- 7. SOPHOS Cloud OptixでGKEの設定がアンセキュアなものをあぶり出す
- 8. 脱獄検知回避アプリを解析する Liberty lite
- 9. 【セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方】本の感想(Web問題)
- 10. YouTuberヒカルのHP騒動 WordPressの管理パネルはきちんと変えようって話とサイバーセキュリティ
- 11. それなりにセキュアなGKEクラスタを構築する
- 12. sudo がアレなので doas に乗り替えてみる
- 13. IATを特徴量としてマルウェア検出器を作ろうとした(失敗談)
- 14. 1870件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成する試験自動化技術
- 15. 信用には堪えない、廃止済み RSA 形式の SSL 整理ノート 〜 openssl とイラストをそっと添えて〜
- 16. GCPのデータリスク管理プラットフォーム Security Command Center を導入してみた
- 17. 2019年に実施したセキュリティ対策
- 18. 文系大学生がMini Hardeningに参加してみた
- 19. SQLインジェクションとその対策(PHP + PDO)
- 20. 【セキュリティ飯】軍用レーションを食べてみた
偽のサイトにアクセスしようとしています@PaizaCloud
# はじめに
[paiza.io](https://paiza.io/ja/projects/new)のヘッダ部のリンクから[PaizaCloud](https://paiza.cloud/ja/)へアクセスした所、「偽のサイトにアクセスしようとしています」というセキュリティに関するエラーが発生しました。
# ブラウザのエラーメッセージ
Chromeのデベロッパーツールでは、以下のエラーメッセージを確認できました。
どうやらCookieにSameSite属性が正しく設定されていないことが原因のようです。> A cookie associated with a cross-site resource at
was set without the `SameSite` attribute. A future release o
SORACOM Harvest Files内にDebianのリポジトリを構築する
# はじめに
以前の記事[「最強のセキュリティを誇るSORACOM Private Gardenが実用に耐えるかを検証する」](https://qiita.com/1stship/items/47afae52a5fd7ec53315)にて「aptなどのパッケージ管理ツールからのアップデートが出来ないのは難点ですが」と書きましたが、よく考えるとSORACOM Beam使えば簡単に対応できるな、ということに気付きましたので、試してまとめようと思ったのですが、、うまく行かなかったのでSORACOM Harvest Filesにリポジトリを作成する方法にしました。
試行錯誤をそのまま書いているので長いです。最終的な方法だけ知りたい場合は[こちら](#使うコマンド最終版)
# Private Gardenとは
ソラコムサービス以外への通信を遮断することで、IoTに必要な機能はそのままに高いセキュリティを実現する機能です。
詳しい説明はこちらの公式資料
https://dev.soracom.io/jp/docs/private_garden/および過去のブログ
https://qi
商業登記に基づく電子認証制度のルート証明書の更新頻度が3年に1回に削減
# 概要
[法務省のサイト](http://www.moj.go.jp/ONLINE/CERTIFICATION/REGISTRY/registry12.html)によると、従来1年に1回であった、商業登記に基づく電子認証制度のルート証明書の更新頻度が、2019年以降は3年に1回に削減されるとのことです。
これにより、サードパーティ製のソフトウェアを使わずAdobe AcrobatのみでPDFファイルに対して電子署名をする場合に、OCSPレスポンダの署名が毎年切り替わる影響で、毎年証明書を取得し直さざるを得なかった手間が緩和されると思われます。
なお、[e-Gov電子申請](https://www.e-gov.go.jp/)などでは、本記事に記載の方式(PDFファイル自体への署名埋め込み)とは異なる方式で電子署名が行われていますので、本記事の内容は当てはまりません。
# ルート証明書の更新
商業登記に基づく電子認証制度のルートCAは、東京法務局登記官(電子証明書上の`Common Name`は`Registrar of Tokyo Legal Affairs Bureau`)
サーバーレスやられアプリを使った脆弱性診断ハンズオン
セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。
元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった [OWASP Serverless Goat](https://github.com/OWASP/Serverless-Goat) をやっつけていきます。
## [OWASP Serverless Goat](https://github.com/OWASP/Serverless-Goat) とは
OWASP Serverless Goat はイスラエルのセキュリティスタートアップ [PureSec](https://www.puresec.io/) が作成した [The Ten Most Critical Risks for Serverless Applications v1.0](https://github.com/puresec/sas-top-10) に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。
以下の教育目的で作成されたものであ
Windows7 サポート期限後の安全運用方法
##要約
サポート期限到来後の端末を安全に運用する方法を考えました。
インターネットから隔離するため、ネットワークアダプタやファイアウォールの設定を変更します。##筆者
インフラエンジニアリング業務に5年間余従事。うちネットワーク構築が3年間半。
直近の業務は、企業の情報システムネットワークにおけるファイアウォールの構築。
令和元年秋の情報処理安全確保支援士試験に合格。
(その他の情報は[**スキル一覧**](https://kothaka.com/?p=skill)からご覧ください)
Windows 7のサポート期限対応は、情報処理安全確保支援士の題材でありそうな話題であるため、
今回考察してみました。##背景
2020年1月14日(執筆時点の2週間後)を以て、
Microsoftのパソコン用基本OSであるWindows 7の延長サポートが終了する事は、
聞いた事があるかと思います。
[**Windows 7 サポート終了情報**](https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-in
平成のうちにやめたかった『ITの7つの無意味な習慣』
2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。
※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。
#【7位】 2要素認証でない「2段階認証」
これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービス停止の失態であるが、この記事で注目したいのは使われている用語である。マスコミはあいかわらず「2要素認証」と「2段
SOPHOS Cloud OptixでGKEの設定がアンセキュアなものをあぶり出す
TOPGATEの堤です。
SOPHOS Cloud Optixというセキュリティ製品を試用する機会があったので、紹介させていただきます。これをGCPやGKEで使えるかどうかも含めて検証してみた。
## SOPHOS Cloud Optixとは・・・
英国のセキュリティベンダーであるSOPHOSがリリースしているセキュリティ可視化ツールといったところだろうか。インスタンスの状態はもちろんのこと、リソースの設定に不備があるかどうかなども、SOPHOSのAI技術を使って分析して、その結果をレポートしてくれるツールと理解しています。
GCP以外にも、AWSやAzureにも対応。詳細は公式HPを御覧ください。
https://www.sophos.com/ja-jp/products/cloud-optix.aspx
Cloud Optixは、30日まで無償で試用できるので、興味ある方はぜひ使ってみてください。
## レポート機能を試す
いろんな機能があるが、今回試すものは、構築したインフラやリソースにアンセキュアな設定がないかどうかを自動的に検出する機能「レポート」を試したいと思
脱獄検知回避アプリを解析する Liberty lite
—
typora-copy-images-to: ipic—
執筆途中
本記事では脱獄についての説明は省きます。
## 脱獄者 vs 開発者
今まで脱獄者は開発者にとって無視できない不都合な事象(アプリケーションの解析やチート、海賊版の作成 etc…)をもたらしてきました。これらの行為を防ぐべく、多くの開発者は__脱獄を検知__してアプリケーションの挙動を変えることで対策しました。
脱獄者の中には少なからず_開発者_や_セキュリティリサーチャー_といった類の「職」を持つ人々がいます。そしてこれらの人々の一部(野心的なデベロッパー・ハッカー)にとって脱獄検知という技術は非常に興味深いものであることに間違いありません。彼らもまた、__脱獄検知を回避__するという手段を通じて開発者に対抗しました。
__これは終わらないイタチごっこに違いありません!__
実際、今まで_Cydia_をはじめとした脱獄アプリストアには多くの__脱獄検知回避Tweak__が並んできました。
_Xcon, BreakThrough, FLEX, Liberty, Lib
【セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方】本の感想(Web問題)
お久しぶりです。長岡です。
最近 CTF に興味を持ちまして、その取っ掛かりとして今回タイトルに記載した本を購入しました。CTF って何って方は以下の URL から CTF の概要が確認できますので、ぜひご参照ください。
[CTF(Capture The Flag)とは?概要から基本ルール、メリットデメリットまで徹底解説](https://cybersecurity-jp.com/security-measures/33780#CTFCapture_The_Flag:embed:cite)
今回は現在の職であるアプリケーションエンジニアと近しい「Web 問題」から読みました。各章ごとに学んだことと、感想について書きます。
– [Web 問題とは](#-web-問題とは)
– [任意コード実行系の脆弱性について](#-任意コード実行系の脆弱性について)
– [各種脆弱性の利用](#-各種脆弱性の利用)
– [シェルを取った後の手法](#-シェルを取った後の手法)
– [FLAG がありそうな場所を探してみる](#flag-がありそうな場所を探してみ
YouTuberヒカルのHP騒動 WordPressの管理パネルはきちんと変えようって話とサイバーセキュリティ
#これで150万円って、本当ですか??
ちらっとYouTubeを見ていると、YouTuber「ヒカル」さんの最新動画を見かけました。
気になったので、ポチってみると…[「【ガチ説教】150万円でヒカルの公式サイト作ったらヒカルにブチ切れられた…」](https://www.youtube.com/watch?v=bgfGRgSMPIg)
[](http://www.youtube.com/watch?v=YOUTUBE_VIDEO_ID_HERE)該当ホームページ: http://hikaruchannal.com/
– doasのソース規模はsudoのそれに比べかなり小さい最近manやmakeを知らない人が居るという事実を見かけるので、その辺りの利用例も含めて少々回りくどく記述しています。
> 本記事はSoftware Design誌 2020年1月号 に掲載された「sudoからdoasへ」の内容とほぼ同じもの、というより元の原稿そのものです。ネタを明かすと、元々Qiitaで公開するつもりで書いたのですが、書きすぎてボリュームが雑誌の記事になるぐらいになってしまったのをSoftware Designに拾っていただいたというのが本当の話です。
#
IATを特徴量としてマルウェア検出器を作ろうとした(失敗談)
#はじめに
マルウェアデータサイエンスという本を読んで機械学習を勉強中です。
本とは違う特徴量を使用してマルウェア検出器を作成してみようと思い、IAT(Import Adress Table)を特徴量としてマルウェア検出器を作ろうとしたのですが実行できませんでした。
現時点までの流れを書いておきます。参考文献: マルウェアデータサイエンス サイバー攻撃の検出と分析
https://book.mynavi.jp/ec/products/detail/id=107362#コードver.1と実行結果
path(ターゲットファイル)からIATを抽出してハッシュ化する。“`コードver.1
def get_iat_features(path,hasher):
IAT_features = {}
pe = pefile.PE(path)
for entry in pe.DIRECTORY_ENTRY_IMPORT:
for function in entry.imports:
IAT_features[function.
1870件以上のカーネルの不具合修正に貢献した再現用プログラムを自動生成する試験自動化技術
# はじめに
この記事は [Linux Advent Calendar 2019](https://qiita.com/advent-calendar/2019/linux) の 23 日目の記事です。## 自己紹介
こんにちは。[OSSセキュリティ技術の会](https://secureoss-sig.connpass.com/) の [fujiihda](https://twitter.com/fujiihda) です。これまで Linux カーネルを含む OSS に関連する技術調査、技術講演、開発、サポート等を経験してきました。最近では、技術コミュニティを設立する側や運営側に関わらせていただく機会も増えてきました。## 本記事で扱うテーマ
カーネルの試験自動化技術として Google の Dmitry Vyukov さんが開発し OSS として公開した syzkaller (読み方:シスコーラー [^1] ) について解説します。2019 年 12 月時点では、内部実装まで踏み込んで調査した日本語の記事は本記事が初となるは
信用には堪えない、廃止済み RSA 形式の SSL 整理ノート 〜 openssl とイラストをそっと添えて〜
## 概要
わからんわからんとにかく SSL の仕組みがわからん、いくつネットの記事をめぐってもわからん、書いてあることが違うし「デマ記事が多すぎ」という意見もありどれを信用すべきかわからんし記事を書いている今でもやはりわからん。色んな人たちに「そのへんはブラウザやインフラがよしなにやってくれるからそんなに気にしなくていいよ」と言われたけどやっぱり気になる、わからん。
そんな状態で記事を書いて**本当にすみません。今からデマ記事をもうひとつ増やします。**正確な記事をお求めの方は無視していただきたく。本記事は、ざっと SSL の情報をめぐった結果を私なりにまとめ、湧いた疑問も併記したものになります。それと、各要素が複数の名称で呼ばれていること(サーバ証明書、 SSL 証明書など)も自体を難解にしていると感じたので、そのあたりにも触れつつノートし
GCPのデータリスク管理プラットフォーム Security Command Center を導入してみた
こんにちは、SRE所属の @h_amakasu です。
この記事は、All About Group(株式会社オールアバウト) Advent Calendar 2019 23日目の記事です。GCP を本格的に触るようになって随分たち、リソースがかなり多くなってきました。
将来はさらに増えていくのは確実なので、自動でリスク判定とかできないかなーと思ってたところ、掲題の Security Command Center がGAしたので導入してみました。本記事では、このSecurity Command Centerと機能拡張(スケジューリング、メール通知)の導入手順をまとめてみました。
これを導入のきっかけにしてもらえれば幸いです。
# Security Command Center ってなに?
GCPのセキュリティサービスを統括するサービスで、セキュリティおよびデータリスクを把握するためのリスクデータベースです。
2019年12月時点では導入により Cloud Anomaly Detection, Web Security Scanner, Event Treat Detecti
2019年に実施したセキュリティ対策
世間でも騒がれるほど大きいサイバー攻撃が目立つ年だった2019年ですが、弊社で実施したセキュリティ対策についてまとめておきたいと思います。
## フォームへの不正アクセス対策
Webサービスローンチ直後から、海外のIPアドレスから「お問い合わせフォーム」へ不正なアクセスが繰り返された案件がありました。
即座に対応が求められたため、Googleの reCAPTCHA v3 を導入して解決しました。### reCAPCHA v3
不可視のスコア判定をしてくれるモジュールで、v2の画像認証と比較してエンドユーザーのコンバージョンを落とすことなく導入できます。
導入した画面には reCAPCHAのアイコンが表示されます。
画像認証がないため、ユーザーには優しい反面、スコアや独自のロジックで OK/NG を決めるため、不正なアクセスで
文系大学生がMini Hardeningに参加してみた
#はじめに
現在、東北の大学2年生でリモートでITのスタートアップでアルバイトをしている文系エンジニアの佐藤です。詳しい自己紹介はこちらを参照ください。
(https://qiita.com/RyuseiSato/items/9253a9c4ad735dc5f3cb )#Mini Hardening
今回私はOWASP主催Mini Hardeningに参加してきました!
(https://minihardening.connpass.com/event/152553/ )今回はリモート含めて5つの競技会場があり、私はOWASP FUKUSHIMAが主催する会津会場から参加しました。
Mini Hardeningとは?
>WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。丸一日かけて行われるHardening
SQLインジェクションとその対策(PHP + PDO)
> この記事は、[North Detail Advent Calendar 2019](https://qiita.com/advent-calendar/2019/northdetail) の21日目の記事です。
## はじめに
先日、社内で[「安全なウェブサイトの作り方」](https://www.ipa.go.jp/security/vuln/websecurity.html)を使った読書会が行われました :green_book:
SQLインジェクションについて議題に上がったので、
勉強がてら実際に試してみよう!というのが今回の趣旨になります。## SQLインジェクション?
> SQLインジェクション(英: SQL Injection)とは、
> アプリケーションのセキュリティ上の不備を意図的に利用し、
> アプリケーションが想定しないSQL文を実行させることにより、
> データベースシステムを不正に操作する攻撃方法のこと。
>
> https://ja.wikipedia.org/wiki/SQLインジェクション「Injection」という単語が「注入する」と
【セキュリティ飯】軍用レーションを食べてみた
# はじめに
これは Sansan Advent Calendar 2019 第19日目の記事です。# 食事におけるセキュリティを考える
皆さんこんにちは、Sansanでセキュリティエンジニアをしているものです。
自分はサイバー空間や物理空間におけるセキュリティを日々考えていますが、食事のセキュリティはあまり考えたことがありませんでした。
しかし、歴史を見れば毒殺や食あたりで要人が逝ってしまい歴史が動くこのとも多々あります。
社内のCSIRTメンバーや要人(経営陣・エンジニア・キーマン)などを守ることができる脆弱性の無い食事をどのようにしてとればいいのでしょうか?## セキュリティ飯の要件
以下の二点を満たすことができればセキュアなご飯だといえます…(多分)
1. 可用性:常に食べることができる
2. 完全性:毒を盛られることがない
3. ~~機密性:第三者に知られることがない~~(食事については不要な要素)これらを満たす、セキュリティ飯とはズバリ ***MRE*** でしょう!
