今さら聞けないセキュリティ　2020年06月13日

暗号技術について自分なりにまとめてみる（第一夜）

# 前枠
この記事は「暗号化技術」について，「[暗号技術入門 第3版 秘密の国のアリス](https://www.hyuki.com/cr/)」を読んで勉強し，気になった技術について「自分なり」にまとめて理解を深める，備忘録的なものです．
内容に納得できない方も多々いらっしゃるかと思いますがご了承ください．

# お願い
初めての投稿ですので，読みにくい部分，間違っている部分，書いてはいけない部分が出てくると思われます．
そのような部分にお気づきいただけたら，アドバイス・コメントいただけるとありがたいです．

—
# 第一夜
## 暗号アルゴリズム
平文（素の文章，送る前の文章）を，暗号文（関係ない人にみられないようにした文章）に変換することを**暗号化**といい，逆に暗号文を平文に戻すのは**復号化（復号）**という．

具体的な，暗号化の手順（違う文字に変換，並べ替え・・・）・復号化の手順（元に戻す）を，合わせて**暗号アルゴリズム**という．

暗号化・復号化に際しては，**鍵**が使われる．これは，暗号アルゴリズムの重要な役割を担っているため，現実世界の「鍵」と同じように大

NIST

フレームワークサイバーセキュリティクリティカルインフラストラクチャNIST

https://www.ipa.go.jp/files/000071204.pdf

https://translate.google.com/translate?sl=en&tl=ja&text&u=https%3A%2F%2Fpublic.cyber.mil%2Fsite-map%2F

https://translate.google.com/translate?sl=en&tl=ja&text&u=https%3A%2F%2Fwww.gsa.gov%2Ftechnology

https://www.yokota.af.mil/%E6%A8%AA%E7%94%B0%E5%9F%BA%E5%9C%B0%E3%83%8B%E3%83%A5%E3%83%BC%E3%82%B9/

ホーム
…のリソース

障害を持つアメリカ人
市民と消費者
連邦職員
連邦機関
GSA従業員
ネイティブアメリカンの部族
大統領および議会の委員会、理事会または小規模

Tor導入後に必ず設定すること

# はじめに
この記事では、Torを導入した後にセキュリティを強化するためにやっておくべきことを紹介いたします。この記事に関するFAQは私のTwitter([@c477us](https://twitter.com/c477us))にお願いします。

**Torを用いて違法行為を行うこと、また違法な物品を売買することは明確な犯罪行為です。また、Tor利用中に発生したいかなるトラブルについて私は一切の責任を負いかねます。**

# torrcを編集する
torrcとは、Torにおいてどのように接続するかをユーザーが指定できる設定ファイルのようなものです。
初期状態では設定が不十分なので、ユーザーの手で書き足す必要があります。

## torrcの編集方法
torrcでは以下のコマンドが利用できます。
`ExludeNodes` – 使用しないサーバー
`ExludeExitNodes` – 出口ノードに使用しないサーバー
`StrictNodes` – 以上の設定を厳守するか(1 = 厳守, 0 = 緩やか)

基本的に日本・アメリカなどのサーバーはログを保存するので、ExludeNod

Hack The Box[Bank] -Writeup-

# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。

チートシートも公開しておりますが知識がまだまだ不足しているため、学習経過とともに身につけた内容などを随時更新していきます。
GitHub(ペネトレーションテスト用チートシート):
https://github.com/yukitsukai47/PenetrationTesting_cheatsheet
Twitter:@yukitsukai1731

# Bank

HackTheBox公式より
![スクリーンショット 2020-06-11 16.11.04.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/447800/1a5852e4-138d-02

[PHP]XSS、クリックジャッキング、CSRFの対策方法

#はじめに
PHPのセキュリティ対策についてアウトプットすることで知識の定着を図るためにこの記事を作成しました。
間違いがありましたらご指摘をいただけると幸いです。
XSS、クリックジャッキング、CSRFについて説明した後に、それらへの対策を施した入力フォームのコードを読んでいってます。

#XSS(クロスサイトスクリプティング)

外部からの入力に応じて表示が変化するサイトなどを作る時にHTML生成の実装に問題があると、外部からスクリプトを埋め込まれてクッキーを盗まれたり、JSによる攻撃を受けてしまいます。
このような攻撃手法をXSSと言います。

####XSSの脆弱性の確認方法
``
上記の文を入力フォームに入力して確認することができます。
アラートが出るとJSで仕込むことができてしまうということなので危ない状態です。

####対策方法
一般的な対策方法としては、`<`や`"`を文字参照によってエスケープするのが基本です。 *[文字参照とは](https://www.tagindex.com/html_tag/bas

Hack The Box[Resolute] -Writeup-

# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。

チートシートも公開しておりますが知識がまだまだ不足しているため、学習経過とともに身につけた内容などを随時更新していきます。
GitHub(ペネトレーションテスト用チートシート):
https://github.com/yukitsukai47/PenetrationTesting_cheatsheet
Twitter:@yukitsukai1731

# Resolute
このマシンはアクティブの時に僕がHackerになるために攻略した初のMediumマシンだったのでちょっとした思い入れがあります。

HackTheBox公式より
一般的な企業・家庭のファイアウォールで許可されるポート番号の一覧

# 1. 要約（3行まとめ）
– **環境によらず必要不可欠なサービスは、Web、DNS、NTPの3種類。**
– **企業の場合、上記に加え、Mail、VPN、VoIPなど、業務に必要なサービスを追加する。**
– **家庭の場合、OutboundはAll Allow、InboundはAll Denyとしてしまうことも多い。**

# 2. 概要
– 自宅等でファイアウォールの設定をする際に、「あれ？何許可しとけばいいんだっけ？」となることがあるので、一般的な企業や家庭で許可されることの多い（と思われる）ポート番号を整理してみました。
– 本記事の内容は経験則（主観）に基づくものなので、まあ普通こんな感じだよね、くらいのニュアンスで読んでいただけると幸いです。
– 使い方としては、後述の表をベースに、個別の要件を加味してカスタムする、という想定になります。

# 3. 凡例
　〇・・・許可
　－・・・拒否
　Outbound・・・From 内部、To 外部
　Inbound・・・From 外部、To 内部

# 4. 企業（エンタープライズネットワーク）
### 4-1. Outbo

UiPathのソースをGitHub等に公開する前に気を付けること～情報漏洩しないために

# はじめに
UiPathではGitHubなどと連携してのソース管理が可能で、個人やチームでのソース管理が簡単に行えます。しかし、自分で作ったソースを他人の目にさらす前に、最低限ここはチェックすべし！というところを押さえてから公開しましょう。ソース管理システムは一度コミットしてしまうと、修正は効くものの履歴が残るため、過ちはずっと履歴に記録されたままとなってしまいます( ;∀;)
そうならないように、気を付けましょう。

# UiPathソースの特徴と注意点
UiPathのプロジェクトはパソコンの `C:\Users\<ユーザー名>\Documents\UiPath`の下に作成されます。この場所を開いてみると、プロジェクトごとにフォルダーが掘られているのがわかります。

UiPath Studioで見ると、左側のプロジェクトパネルにツリー上で表示される構造とほぼ同じファイル構造がフォルダーの中に広がっています。
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/490819/f3d67cf5

Hack The Box[Blocky] -Writeup-

# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。

チートシートも公開しておりますが知識がまだまだ不足しているため、学習経過とともに身につけた内容などを随時更新していきます。
GitHub(ペネトレーションテスト用チートシート):
https://github.com/yukitsukai47/PenetrationTesting_cheatsheet
Twitter:@yukitsukai1731

# Blocky
HackTheBox公式より
サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介：使用方法・レッドチーム編

# サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介：使用方法・レッドチーム編

## はじめに

### 趣旨

本記事は、『サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介』の 第二弾「使用方法・レッドチーム編」です。
本編では、模擬サイバー攻撃を実施するレッドチームでの MITRE CALDERA の使い方を紹介します。
機能概要や環境構築につきましては第一弾「[機能概要・動作環境構築編](https://qiita.com/shiracamus/items/658ea3e5b28fa5ae3245)」をご覧ください。

### 記事構成

紹介内容が多いため、以下の4記事に分けて紹介しています。

* [機能概要・動作環境構築編](https://qiita.com/shiracamus/items/658ea3e5b28fa5ae3245)
* 使用方法：レッドチーム編（本記事）
* 使用方法：ブルーチーム編
* 使用方法：トレーニング編

### 注意・免責事項

本記事には、サイバー攻撃を模擬再現する方法が含まれています。
これ

Hack The Box[Optimum] -Writeup-

# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。

チートシートも公開しておりますが知識がまだまだ不足しているため、学習経過とともに身につけた内容などを随時更新していきます。
GitHub(ペネトレーションテスト用チートシート):
https://github.com/yukitsukai47/PenetrationTesting_cheatsheet
Twitter:@yukitsukai1731

# Optimum
HackTheBox公式より
![スクリーンショット 2020-06-05 17.16.22.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/447800/5cb721ff-1af6-a1

Hack The Box[Devel] -Writeup-

# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。

チートシートも公開しておりますが知識がまだまだ不足しているため、学習経過とともに身につけた内容などを随時更新していきます。
GitHub(ペネトレーションテスト用チートシート):
https://github.com/yukitsukai47/PenetrationTesting_cheatsheet
Twitter:@yukitsukai1731

# Devel
HackTheBox公式より
![スクリーンショット 2020-06-05 14.58.04.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/447800/05813241-84a5-8664

フィンガープリント、認証、署名、証明書、SSL/TLSってどんな関係だっけ？

ってなったときにざっくり思い出す用の記事です。

# 各用語の簡単な説明

|名称|説明|
|—|—|
|暗号化|メッセージを第三者に理解できない暗号文にすること。機密性を担保する。|
|認証|メッセージが本当に通信したい相手からのものであることを確かめること。|
|フィンガープリント|一方向ハッシュ関数の出力であるハッシュ値のこと。メッセージダイジェストとも。ソフトウェアの作者がハッシュ値を公開し、利用者が手に入れたソフトウェアのハッシュ値と、作者のハッシュ値が一致するか確かめることでソフトウェアの改ざん検知をすることができる。|
|署名(デジタル署名)|メッセージのハッシュ値を暗号化した暗号文。その暗号文はメッセージの作成者しか作ることができないので、「このメッセージは〇〇が作りました」と証明することができる。この暗号文は第三者が解読できる（メッセージの作成者を証明するだけ。機密性は守られない）。解読用の公開鍵が〇〇さんのもであることの証明はないので中間者攻撃ができてしまう。|
|証明書(公開鍵証明書)|認証局に登録された公開鍵と、それに対する認証局のデジタル署名をセットに

Hack The Box[Legacy] -Writeup-

# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。

チートシートも公開しておりますが知識がまだまだ不足しているため、学習経過とともに身につけた内容などを随時更新していきます。
GitHub(ペネトレーションテスト用チートシート):
https://github.com/yukitsukai47/PenetrationTesting_cheatsheet
Twitter:@yukitsukai1731

# Legacy
HackTheBox公式より
![スクリーンショット 2020-06-03 15.58.48.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/447800/378e11c1-8054-b3c

Excelマクロ 4.0を利用した攻撃における非表示シートを表示させるツール

2019年ころからExcelのマクロ4.0（化石のようなマクロだが、書けば最新のExcelでも動作してしまう）を利用した攻撃が観測されています。

出始めの攻撃は、マクロを記載したシートを非表示にしてぱっと見見えなくするような手法だった（右クリック「再表示」で表示可能）ようですが、
最近観測されているものではveryHiddenという形式のシートにすることで、右クリックでも再表示させることができなくなっているものがあります。

#veryHiddenを表示させるための方法
##コミュニティ
こちらで方法について議論されています
https://isc.sans.edu/forums/diary/Excel+Maldocs+Hidden+Sheets/25876/

##ツール
githubでいくつか公開されています。
・exe形式
https://github.com/DBHeise/ShowSheets/releases
・Powershell
https://github.com/denk-core/ExcelSheetUnhide

Powershellのほう使ってみたらシンプル

[月次配信] 月次攻撃サービスの統計及び分析 – 2020年5月

#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス（ポート）、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。

#月次攻撃サービス(ポート)TOP 10
2020年5月の1ヶ月間収取されたサービスポートTOP10では、Unsigned(TCP/9900)ポートを利用したイベントが先月と比べて上昇し、SNMP(UDP/161), Telnet(TCP/23), MSSQL(TCP/1433), Unsigned(TCP/7178)は先月と比べて減っている。

| 順位 | サービス(ポート) | 比率(%) | 前月比較 |
|:—-:|:———————:|:——-:|:——–:|
| 1 | HTTPS(TCP/443) | 36.78% | –

【新入社員向け】情報セキュリティ基礎

# 情報セキュリティについて

### 目次
1. 情報セキュリティとは
2. 脆弱性とは

## 1. 情報セキュリティとは
情報セキュリティとは、Webサービスにおいてのセキュリティ**(安全保障)**です。
情報セキュリティにおける理想は、「不正なアクセスや情報の漏洩を防ぎつつ、権限がある人は便利に利用できる」状態を維持することです。
これを分解し言い換え、**「機密性」** **「完全性」** **「可用性」**の3つの要素を維持することを目標にします。

#### 「機密性」

– 権限を持たない人が情報資産を見たり使用できないようにすること
（アクセス権限を関係者に限定し、パスワードをかけて関係者しか開くことができなくすること）

#### 「完全性」
– 権限を持たない人が情報を書き換えたり消したりできないようにすること
（WEBサイトの改ざん・データの改ざんがされないこと）

### 「可用性」
– 権限を持つ人がいつでも利用したいときに利用できるようにすること
（テレワーク等で社外からでも必要な情報を利用できるようにすること）

## 2.

SSLで使う暗号スイートはブラウザに任せていいのでは(※正しい設定なら)

# ……たぶん

自信がないわけではないのですが、私が知っている情報が古い可能性もあるので、誤りがあるようでしたらぜひご指摘ください。

また、本文で特に断りがない場合、SSLという単語は **SSL/TLS** を指します。

# 暗号スイート(cipher suite)の“選ばせ”方

Apache httpd の設定を解説した記事では、多くの場合
`SSLHonorCipherOrder` を `on` にすることが推奨されています。こうするとサーバで暗号スイートを指定するのでダウングレード攻撃を防げる、という理由からです。

でもこれはベストプラクティスと言えるでしょうか？
私は、サーバが提示する暗号スイートが **すべて安全なもの** なら、サーバで指定するのではなく、クライアント(ブラウザ)に選ばせた方がいい、と考えています。

# 暗号スイートの提示

安全な暗号スイートとはなにか、というのはサーバの運用次第だと思います。ここでは、2020年6月3日時点で安全な、たいていのクライアントが対応し、処理速度の速いものを選びました。

Apache httpd で、利用できる暗

GIPによるアクセス制限はそろそろやめないか

#はじめに
掲題の通りです。
そろそろGIP(Global IP Address)によるアクセス制限はやめませんか？

#GIPによるアクセス制限の定義
ここで伝えたいGIPによるアクセス制限とは以下です。

* アクセス元IPアドレスを使用したサービスへのアクセス許可/拒否の制御

SaaSなどのインターネットに開かれているシステムに対して、クライアントのアクセス元GIPによる制御をやめたほうが良いと考えています。
以降、理由について述べます。

#SaaSが当たり前に
政府がクラウド・バイ・デフォルト原則をうたっているように、もうクラウドが当たり前です。
参考: https://pfs.nifcloud.com/navi/beginner/cloud_by_default.htm

SaaS同士を連携しようとした際に、「信頼できるGIP」をSaaS上で登録したりします。
この方式はSaaSが大規模になればなるほど、登録すべきGIPの範囲が拡大します。
SaaSの進退に応じて柔軟に変更できる運用を敷けるのであれば止めはしませんが、そんなことに労力を割くべきではないと考えます。
なによ

CISSPまとめ（セキュリティとリスクマネジメント）その2

# 1. 概要
CISSPの学習を始めたので、備忘録も兼ねて
要点をまとめていこうかと思います。
その2はセキュリティガバナンスについてです。

# 2. セキュリティガバナンス
– コーポレートガバナンスの一部であり、ITガバナンスの一部とされることもあります。（セキュリティがITのみを対象にするか、IT以外も対象にするかによって異なります）
– 取締役会と経営幹部が企業のリスクを受容可能な水準で管理・監督するための仕組みです。
– 目的は、リスクが適切に低減され、投資が適切に指示され、その効果の可視性が保証されることです。
– ITガバナンス協会は、ITガバナンスを「取締役会と経営幹部の責任」と定義しています。

# 3. 組織の目的、使命、目標
– セキュリティは、組織のビジョン、使命、目標を実現するために存在します。
– 完全なセキュリティを実現することは非現実的かつ費用がかかりすぎ、維持することも困難です。（そのため、効果的かつ継続的なセキュリティマネジメントが必要になります）
– 経営幹部は、セキュリティにかかる費用と受容するリスクについて、最終的な決定を行います。（リスク