今さら聞けないセキュリティ　2020年02月04日

セキュリティマネジメントの勉強-情報セキュリティ

#情報セキュリティ
##情報セキュリティとは
コンピュータの中の顧客情報、技術情報に対するセキュリティ

技術面だけではなく、組織におけるマネジメントも含めて対策が必要
「モレなく、全員で当たり前の事を確実に行う」

決めたルールを守るための仕組みを作る事が重要
組織の戦略により決定、組織の状況により変わるもの

##定義
機密性・・・適切なアクセス権限
完全性・・・改ざん防止
可用性・・・二重化したりしていつでも見れるようにする
真正性・・・主張通りであること(なりすましなどない事)
責任追跡性・・・入退室とかアクセスログで追跡できる事
否認防止・・・エンティティを証明する能力(利用した本人が事後になって否定できないようにする)
信頼性・・・意図した動作が確実に行われる事（人為的でなくても、バグによる意図しない更新も含む）

##ISMS
情報マネジメントシステム
PDCA(計画、運用、監査と見直し、改善)を回る

##脅威
システムや組織に損害を与える可能性があるインシデントの潜在的な要因

##脆弱性
資産がもつ弱点
バグとかセキュリティホールとか
会話による情報漏洩とか施錠ミス

BIGLOBE(mesh.ad.jp)のHOST名が変わったっぽい

`***.○○.mesh.ad.jp` は BIGLOBE の HOST 名です。

これまでは `○○` の部分が、例えば新潟なら `nig` で兵庫なら `hyg` のように県単位で割り当てられていたのですが、2020 年 1 月下旬頃よりこのルールが変わったっぽいです。

私が現在確認しているのは…

– `fl1-***.nig.mesh.ad.jp` ⇒ `flh2-***.tky.mesh.ad.jp`
– `fl1-***.hyg.mesh.ad.jp` ⇒ `flh3-***.osk.mesh.ad.jp`

…といったパターンです。

固定 IP アドレスでアクセス制限をかける事ができず、仕方なくHOST 名で制限をかけているような方はご注意ください。

——————————————————————————–

BIGLOBE 利用者の方で、それまではアクセスできていた管理画面などが急に…

> 403 Forbidden
> You don’t have per

WEBサービスを公開して一週間経ったのでアクセスログを調べてみる

### 経緯など

WEBサービスを作った記事を書いて一週間が経ちました。

[アラフォーのおっさんが一ヶ月でWebサービスを作った話]
https://qiita.com/othAn/items/923d9177149f5d177542

[カタカナ道場]
https://katakanadojo.tokyo/

アクセスいただいた方、ありがとうございました。
プロモーションは上述のQiita記事のみで、あとは知人に知らせたのみ。

そんな状態でアクセスログを眺めてみたのですが、ロボットとか攻撃と思しきものの方が多かったです。

せっかくなので記事にしてみたいと思います。

### どんな環境か

構成については下図のとおり。
443番ポート（HTTPS）でListenします。

赤の線は、コンテナ間通信を意味しています。

「docker-

簡単なセキュリティ・Gmail振分け・携帯高速化講座

#必要最小限のセキュリティ
社内や友達向けの共有記事。
なお、iphone6sしか持ってないのでそれ以外の機種については詳しくはわかりません。あしからず。

##携帯のパスワードロック
携帯のパスワードロックは必ず設定しましょう！
指紋認証やtouch IDでもOKです。
**自分だけでなく、同僚、友達の個人情報も危険にさらされます！！**
社会人の責任として、必ずロックの設定をしましょう！

###iphoneの設定方法
https://support.apple.com/ja-jp/guide/iphone/iph14a867ae/ios

###androidの設定方法
https://support.google.com/android/answer/9079129?hl=ja

##変なメールは無視しましょう
だいたい日本語がおかしいのでわかりやすいのですが、眠い時とかは騙されやすいかも！
あとはSMS(ショートメッセージ)で来る場合もあるので注意！

apple、amazon、microsoft、楽天、佐川急便、日本郵便など。
巧妙に偽装された偽メールや、偽サイトが作られて

PE解析ツール　PPEE(Puppy)の紹介

PE解析ツールの1種であるPPEE(Puppy）について紹介します。
従来は[pestudio](https://www.winitor.com/get.html)を愛用していましたが、無償版の場合見れる機能がかなり削減されてしまったため、（ライセンス買っておらず申し訳ない気持ち。。。）Puppyに移行しました。

シンプルで非常に使いやすく、さらにプラグインを追加することで応用的利用も可能ということで、
初学者から熟練者まで使えるツールだと感じました。

#インストール
下記のサイトよりインストールし、展開することで利用開始できます。
https://www.mzrst.com/

#画面構成
exeを実行して、ファイルをドラックアンドドロップすることで解析結果が表示されます。
DOSheader(マジックナンバー確認）、Rich Header

Windows向けBase64デコードのバッチ作成

POWLOAD（マクロ有効化するとPowershell起動して通信）の検体を解析する際に
powershellで実行される引数がBase64でエンコードされていることが多いので、効率化のためにバッチを作成したので共有です。

#使い方
1.バッチを実行するとコピペ待ちになるので、デコードしたい文字列を貼り付け
2.デコードされた文字列がクリップボードにコピーされます

#バッチファイルの中身
“`
@ECHO OFF
setlocal

pushd “%~dp0″
REM 変数定義
SET /P BASE64_STR=”Input encoded strings: ”
SET BASE64_START=—–BEGIN CERTIFICATE—–
SET BASE64_END=—–END CERTIFICATE—–
echo %BASE64_START%%BASE64_STR%%BASE64_END% > before.txt

REM Decodeを実行する、元ファイルの削除、デコード結果のクリップボードコピー
certutil -decode before.

情報システムの構成とリスクの関係

これまでとは趣向を変えて、（10年前に捻りだした）ネタ投下します。全く役に立たない、浮世離れした話ですので、一見真面目そうに見えても、内容の妥当性などは何ら保証はないです。

# 【広げた風呂敷】

情報システムの構築・運用計画を立てる際、セキュリティ投資を抑えられるようにシステム構成を計画すための知見が必要である。そこで、ＩＴシステム構築の際しての、ネットワーク構成と扱い情報量とリスクの関係を数学的に評価した。

扱い情報量１のシステムＮ個ごとに、扱い情報量Ｍの上位システムで統合する樹形構造を重ねたシステムを構成した場合、扱い全情報量Iとシステム全リスクRとの関係は、

R∝I^(log(N+M^2)/log(N))
となる。

# 【検討（見当）】

　ＩＴシステムのリスクは、情報が集中し、そこでは自由流通する「ノード」が持つ情報量の二乗に比例する。単一のノードを図形的に正三角形で表すと、正三角形の面積でリスクを表すことができる。

　ＩＴシステムを拡大する際、システム内での情報は自由にやりとりされるフラットで均一な構成形態で拡大すると、ノードの大きさ（＝図形の長さ）は扱い情報

タイムスタンプ偽装について

解析者を誤解させるため・不正ファイルの発覚を遅らせる目的でマルウェアがタイムスタンプ偽装を行うことがあります。
本記事ではタイムスタンプ偽装に関する初歩的な内容を記載します。

#タイムスタンプとは
ある時刻にその電子データが存在していたことと、それ以降改ざんされていないことを証明する技術。
タイムスタンプに記載されている情報とオリジナルの電子データから得られる情報を比較することで、タイムスタンプの付された時刻から改ざんされていないことを確実かつ簡単に確認することが可能。

>国民のための情報セキュリティサイト　タイムスタンプとは？
>https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/05.html
>「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典　タイムスタンプ (timestamp)
>https://wa3.i-3-i.info/word13116.html

#タイムスタンプ偽装とは
フォレンジックの際に解析者を誤解させたり、不正ファイルの発覚を遅らせる目的など

Fuzzyhashとは？検証してみた

Hashの一種として、Fuzzyhashというものがあることを知ったので、類似の検体を用いて検証を行いました。

#Fuzzy hashとは？
ハッシュに関する基本的な説明は省略します。
ファイルの内容を少しでも変えるとSHA-1やSHA-256などのハッシュは全く異なる値をとる仕様となっていますが、
これらと異なりFuzzy hashはファイルが類似している場合、ファイル同士で近い値をとります。
そのため、マルウェアの挙動の類似性を検証する際などに有効と言えます。

##Fuzzy hashの種類
知名度の高いものとして下記２点がありますが、今回はSSDEEPの値をもとに検証します。
・imphash
・ssdeep

#検証内容
動きがほぼ同様なEMOTET/POWLOAD検体を５つ用意し、Fuzzy hashの値の類似性を検証します。
▼検知名
Googleが発表したITPの欠陥を眺めてみる

Googleが投稿した[ITPの欠陥に関する論文](https://arxiv.org/ftp/arxiv/papers/2001/2001.07421.pdf)の紹介です。

# tl;dr
* ITPのトラッキング判定はデバイス毎に行われるよ
* あるドメインがトラッキング判定されているかを知る方法がいくつかあるよ
* 特にそのドメイン・サイトが攻撃者管理なら
* ので、閲覧情報のリークやフィンガープリントとして使われる可能性があるよ

# 指摘している問題
この論文では、

* あるドメインがトラッキング判定されているか、別のサイト（攻撃者管理）で判断出来る(1,2,3,5)
* 攻撃者が、あるドメインをトラッキング判定させることが意図的に出来る(2,3,4)

ことがマズい場合を指摘しています。

## 1.トラッキング判定されているドメインを判定出来る（かもしれない）
トラッキング判定はユーザー毎に異なるので、トラッキング判定されているドメインがわかると、ユーザーの地域などがわかる可能性があります。
（例：hoge.co.jpがトラッキング判定されているから、日本在住っぽ

安全な廃棄のために使用すべきストレージの機能(1/2)

# はじめに
　もう昨年（2019年）の話になってしまいましたが、「個人情報が保存された自治体のHDDが、廃棄処理委託先業者の従業員によって、データ復元可能な状態のまま転売された」、という事件がありました。

　既に多くの方がそれぞれお持ちの知見からこの事件について解説されていますが、この手の話は時間が経過すると忘れられてしまうことが多いので、定期的に話題にすることで注意喚起する必要があると考えています。

　そこで今回は、この事件を題材に、ストレージを安全に廃棄するために使用すべきストレージの機能として**データ難読化**と**ロック**を挙げ、具体的なロックの方法を説明します。データ難読化は次回まとめる予定です。

　なお、ストレージに格納されたデータが流出する状況には、以下の2つがあります。

1. ストレージがオンライン（ホストに接続され通電状態、正規のアクセス権を持ったアカウントがデータにアクセス可能な状態）でのデータ流出
2. ストレージがオフライン（非通電状態）でのデータ流出（物品流出）

　この2つは構図が全く異なるので、適用すべき対策も大きく異なります。前者は、正規の

オンラインサンドボックスサービスまとめ

##単なるメモです。

###hybrid-analysis
https://www.hybrid-analysis.com/

###JOESandbox Cloud
https://www.joesandbox.com/

###malwr.com
https://malwr.com/
(2019/04/23 現在休止中 Coming back soon!!とのこと)

###Any.Run
https://app.any.run/
ロシア発サンドボックス。
完全自動化のものと違い、インタラクティブ操作が可能等特色がある。
　参考URL: http://ed3159.hatenablog.com/entry/any-run-realtime-interactive-malware-analysis-sandbox-service

セキュリティがよくわからないエンジニアのためのセキュリティ対策入門

## 対象読者

自分たちが作るサービスは自分たちが守る！けどどうすれば良いかよくわからない！というチーム。のほか、

– セキュリティはなんとなく重要だと思ってるけど何すればいいかわからない人
– DevSecOpsの実現を目指していてどこから手を付けようかなーとか思ってる人
– リスクアセスメントや脅威モデリングをやろうとしたけど難しすぎて挫折した人

## ざっくり内容

セキュリティ対策を下記４つのステップで分析し、情報システムのセキュリティを考えるための基本を習得する。

1. 守るべきモノ（アセット）を特定する
2. 守るべきモノを脅かす事象（脅威）を探す
3. 弱点（脆弱性）を見つける
4. どうやって守るか（リスク軽減）を考える

前半は身近なセキュリティ対策の例として「家（部屋）」を対象に分析し、セキュリティ対策とは何かを理解する。
後半は架空のオンラインショッピングサービスを分析し、ソフトウェア開発におけるセキュリティ対策とは何かを理解する。

## スライド

文章を起こすのがつらかったのでスライドで。※[slideshare へのリンク](https://ww

【絶対見て】SNSアカウントに不正アクセスされた。～対処法と業者の悪質な手口～

#それは突然起こった
私は普段からiPhoneを用いて**Twitter**を利用していた。
しかし、とある日。諸事情でTwitterをPCのブラウザから利用しなければならなかったので、いつも通りGoogleChromeでツイッターを開く。
しかし、セッションが切れている。**「あれ？」**ここで薄々嫌な予感はしていた。
普段からちょこちょこと同じPCから同じブラウザを使用して、セッションが切れた事が無かったし、通常セッションが切れるのはパスワード変更時くらいだからだ。
※もちろん他の原因もあるが

#ログインできない
まぁ、面倒だがログインすればいいか。
そうして、案の定いつも通りGoogleChromeに保存しているパスワードを使用してログインを試みる。


**「あれ？」**
**「あれ？」**
**「あれ？

元記事を表示

【ウィルス感染】WordPressサイトがマルウェアに感染した場合の救護策

私がお手伝いで作成させていただいているWordPressサイトの方がフィッシング詐欺のサイトに誘導されるように外部のハッカーから中のファイルをハッキングされて書き換えられる事件が起きたので、その対処法を共有したいと思い、記事にしておきます。WordPressを使用している方は、チェックしていただけるといいと思います。

# いつのまにかマルウェアがいる
サイトにGoogle検索経由で来た方がフィッシング詐欺のページに転送されるというお話があり、困っていました。
というのも、Google検索経由で来て一定確率で転送されるので、サイトを管理しているウェブマスターからでは現象の確認がしづらいためです。


FTP経由でWordPressのファイルの中身を確認したところ、いくつかのphpファイルの追記が確認できた

元記事を表示

Node.jsでAWS ElasticSearchへのHTTP リクエストの署名

#はじめに
情報保護を難しくなっている現代社会では、セキュリティ対応はますます重要になってきています。
Cloud技術の進化によって、セキュリティ対応しやすくなる部分もあります。

AWSのElasticeSearchサービスへのHTTP リクエストの署名方法を簡単にまとめてみます。

#1. AWS SDKのライブラリを使う
AWSのドキュメントにある通り、署名したリクエストを送信できますが、検索のクエリなどはちょっと手間ですね。

参考URL:　https://docs.aws.amazon.com/ja_jp/elasticsearch-service/latest/developerguide/es-request-signing.html

“`node.js
var credentials = new AWS.EnvironmentCredentials(‘AWS’);
var signer = new AWS.Signers.V4(request, ‘es’);
signer.addAuthorization(credentials, new Date());

元記事を表示

セキュリティマネジメントの勉強-暗号化技術と認証

#暗号化技術
##暗号化
平文を暗号文にする
暗号化 <---> 復号

暗号化鍵、復号鍵が存在する

##共通鍵暗号＝秘密鍵暗号方式
暗号化鍵＝復号鍵
鍵が１種なので、秘密にしておく必要あり。

利点は単純で高速。
ただし、経路の数だけ鍵が必要になる。
zipのパスワード的なやつかな。

###DES
Data Encryption Standard
56bit、米国の旧国家暗号規格
今では安全性低い

###RC4
ストリームで徐々に暗号化していく
WEPでつかわれている
高速だが安全性はお察し

###Triple DES
DESを３回やる
でも推奨されない

###AES
Advanced Encryption Standard
DES後継
XORを繰り返し行う。128bit,192bit,256bit色々あり。
XORを行う回数を段数という

###Camelia
NTTと三菱が作った
AESと同等の安全性を保ちつつ、消費電力低めらしい

###Kcipher-2
九州大学とKDDIが作った
ストリーム型128bit
AESより7〜10倍早い

##公開鍵暗号方式
暗号化鍵≠

元記事を表示

JavaScriptでgetUserMediaでマイク・カメラ（ビデオ）を使うときの注意点とデバイスへのアクセス権限について

# マイクのみ使用するのにaudioのみの指定では動かないブラウザがある

とあるサンプルがEdgeで動作したがChromeで動作しなかったので調べてみた。

Chromeは`audio`だけでなく`video`も指定しないと音声入力が取得ができない。
https://www.html5rocks.com/ja/tutorials/getusermedia/intro/ より引用：
> 注: Chrome にはバグがあり、「audio」のみを渡しても無効です（crbug.com/112367）。Opera でも

自分でも確認しましたが、
　Chromeのバージョン: 79.0.3945.130（Official Build） （64 ビット）
で再現しました。`audio`指定のみでは動作せず、`video`を`audio`と一緒に指定すると動作する。

# navigator.mediaDevices.getUserMediaが推奨らしい

`navigator.getUserMedia`ではなく`navig

元記事を表示

【初学者向け】セキュリティ対策入門[番外編①]〜OSコマンドインジェクション編〜

# 前提

## 確認環境

以下と同様です。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜](https://qiita.com/junkimatsuda/items/b29e496132b7fe596397)

## 本シリーズの目的

以下と同様です。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜](https://qiita.com/junkimatsuda/items/b29e496132b7fe596397)

## 本記事の目標

**OSコマンドインジェクションの概要、原因、対策について理解すること**です。

## 本記事を読み進める上での必要事項

以下の内容を終えていることです。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜](https://qiita.com/junkimatsuda/items/b29e496132b7fe596397)

## どうでもいいお話

あまり主要ではない脆弱性についてはこちらの番外編で扱っていきます。主要ではないというのは被害ケースをあまり耳にしないという意味で、脆弱性をつかれたときの被害が少ないというわ

元記事を表示

flaws.cloudに挑戦してみた

#はじめに
　先日、[大和セキュリティ勉強会](https://yamatosecurity.connpass.com/)に参加してきまして、とても勉強になったので備忘録程度に記事を書こうと思います。今回やったのは、[flaws.cloud](http://flaws.cloud)というサイトです。ctf形式でAWSにおけるハッキングトピックを学べるサイトになっています。level1からlevel6までの計6問で構成されています。詳しいwrite upはもっと偉大な方々が書かれているので適度な感じに書いていこうと思います。解き方もそこで教えてもらった解き方で書かせてもらいます。

#事前準備
今回はawsに関する問題なのでawscliを使用します。そのため[こちら](https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-chap-install.html)でawscliのインストールと初期設定をしてください。
※regionはすべてのクレデンシャルで’us-west-2’で設定してください。

#level1
　flaw

元記事を表示