今さら聞けないセキュリティ　2020年10月31日

ハッカーって？

##あいさつ
初めての人は初めまして！知っている人はこんにちは！
Atieです！実は前にハッカーに関するツイートしたときに
ハッカー　＝　ハッキングする人
と思っている人が多かったのでその誤解を解くためにも書きました！

##読んで得られること

✓ハッカーの本当の意味を知ることができる
✓ハッカーについて知ることができる
✓ハッカーになる方法

では！

#ハッカーとは？

皆さんは「ハッカー」と聞いたとき何を思い浮かべるでしょうか？
「ハッキングする人」「悪い人」「暗い部屋でカタカタPCするひと」
など様々だと思います
ただ
「ハッカー」の本当の意味は全然違います

##ハッカーの本当の意味
ではまず「ハッキング」というものから解説していきます

じつはハッキングって大まかにはけて二つあるんですよね

まぁ一つはバスケのファールで「ハッキング」という種類があるだけなのですが…(バスケ部だよー)

もう一つがコンピュータなどの「ハッキング」です
実はこのハッキングという語源はもともと学生たちがユニークのある「いたずら」を考えたことが始まりです
そのことを学生たちが「ハッキング」と

リンクを別タブで開く(target=”_blank”)を使うときの注意点

## 概要

`target=”_blank”`のみを使うのはセキュリティとパフォーマンスに悪影響があるため非推奨

##理由
リンク先のページに悪意のあるJavaScriptが仕組まれている場合、
リンク元のページを操作できてしまうから

##対策
`rel=”noopener”` 属性または `rel=”noreferrer”` 属性と併用する
これによってリンク先のページで`window.opener`での参照が不可能になる。

“`NG例.html

“`
“`OK例.html

“`

##参考
[グーグルのデベロッパーサイト](https://web.dev/external-anchors-use-rel-noopener/
)

>原文
・ The other page may run on the same process as your page. If the other

ゼロトラスト的なことを始める時に注意すべきだと思ったこと

自社内でゼロトラスト的な取り組みを行っていますが、設計や選定の時に注意すべきと感じたことを書きたいと思います。実際やってみてどうだったかも簡単に書きたいと思います。実は2020年10月28日の Akamai Gaming Leadership Summit でウェビナー登壇させて頂いた時の資料です。せっかくスライドを作ったので少し補足も加えつつ公開してみました。スライドは下記にもアップロードしてあります。

スライド版

ゼロトラスト的なことを始める時に注意すべきだと思ったこと from 直生 亀山

—


—

![ゼロトラストの取り組みと最初の注意点_ページ_03.png](https://qiita-image-store.s3.ap-northeast-1.ama

HTTPレスポンスヘッダーのバナー情報隠ぺいは無意味ではないけど根本的な対策ではない、という話

公開Webサーバーのバージョン露出は一般的には好ましくなく、安全対策として隠すことが推奨されています。

WebサーバとPHPのバージョンは、HTTPレスポンスヘッダーから取得できます（バナー情報）。バナー情報を隠すこと自体は全く無意味な対策ではないと思いますが、ただ、ネット上のサイトを色々見ているとバージョン番号を消す方法についてだけ書かれているものが多く、それ以上については踏み込んでいないサイトが多い印象がありました。そもそも、なぜデフォルトの状態では出力されているのでしょう？ 何の意味もなく出力しているだけなのでしょうか？

隠ぺいを主要な安全対策とする方法は「隠ぺいによるセキュリティ」と呼ばれます。が、これは安全性を担保しにくいというか、それだけに頼ることは避けるべきものです。

この記事では、HTTPレスポンスヘッダーからApache、NGINX、PHPのバナー情報を秘匿する方法も記載すると同時に、「隠ぺいのセキュリティ」についても踏み込んで考えてみたいと思います。

ちなみに、Qiitaでは初となる記事です（今まで自分のブログで書いていました）。不備や誤りについてはご指摘下

AWS利用時に踏み台サーバのログをS3に保存する

AWS利用時に踏み台サーバの操作ログを保存する方法です。
現在ではSessionManagerがあるのでこのような事をする場面は少なくなると思いますが
環境によってはサービス利用出来ない事もあるかと思いますのでメモしておきます。

AWSでは踏み台構築のクイックスタートとCloudFormationのテンプレートも用意されているので
細かい要件もなく手っ取り早く自動でログ保存してくれる踏み台を構築したい場合は
以下を参照ください。
[AWS クラウドでの Linux 踏み台ホスト: クイックスタートリファレンスデプロイ](
https://docs.aws.amazon.com/ja_jp/quickstart/latest/linux-bastion/welcome.html)

本記事は以下の記事を参考に解説、加筆・修正しています。
[How to Record SSH Sessions Established Through a Bastion Host | AWS Security Blog](
https://aws.amazon.com/jp/blogs/security/

cscの作法 その42

#概要

cscの作法、調べてみた。
dllinjectやってみた。
pidを指定するタイプやってみた。

#サンプルコード

“`
using System;
using System.Text;
using System.Diagnostics;
using System.Runtime.InteropServices;

class Test {
[Flags]
enum AllocationType {
MEM_COMMIT = 0x1000,
MEM_RESERVE = 0x2000,
}
[Flags]
enum MemoryProtection {
PAGE_EXECUTE_READWRITE = 0x40,
}
[Flags]
enum FreeType {
MEM_RELEASE = 0x8000,
}
[Flags]
enum DesiredAccess {
PROCESS_ALL_ACCESS = 0x1fffff,
PROCESS_QUERY_INFORMATION = 0x400,
PROCESS_CREA

[AWS】MFAの有効化とSSH接続

AWSの利用を開始した際、すぐにやっておきたいのは
ルートユーザの保護です。

今回はルートユーザのMFA有効化などによる保護、作業用アカウントの作成とSSH接続までをやってみます。
##ルートユーザのMFA有効化
MFAの詳細は以下AWSの公式サイトを参照。
AWS での多要素認証 (MFA) の使用

MFA（多要素認証）を利用するとログインに認証済デバイスが必要となるため
セキュリティがぐっと高くなります。ここではルートユーザだけMFAを有効化しますが
全ユーザでMFAを有効化しておくことをお勧めします。
MFAデバイスにはいくつか種類がありますが、仮想MFAデバイスを利用することが
多いと思いますので今回は仮想MFAデバイス（Android端末)を利用します。

１．ナビゲーションバーの右側で、使用するアカウント名を選択し、「マイセキュリティ資格情報」を選択
２．多要素認証（MFA）項目の中にある「MFA有効化」をクリックし、次のウィザードで続行を押下
３．QRコードを表示し、Androidで立ち上げた仮想MAFアプリでスキャンする
４．アプリで表示される連続するMFAコードを

outlook メール仕分けスクリプト

#概要

outlook 2010で、メール仕分けやってみた。

#環境

windows7 32bit
outlook 2010

#サンプルコード

“`
Sub test()
Dim NameSpc As Object
Dim objbox As Object
Dim fInbox As Object
Dim jnkbox As Object
Dim mail As Object
Set NameSpc = Application.GetNamespace(“MAPI”)
Set fInbox = NameSpc.GetDefaultFolder(olFolderInbox)
Set jnkbox = NameSpc.GetDefaultFolder(olFolderJunk)
MsgBox fInbox.Items.Count
For i = fInbox.Items.Count To 1 Step -1
Set mail = fInbox.Items(i)
If

volatilityの作法 その23

#概要

volatilityの作法、調べてみた。
vistaでも、yarascanがやりたい。
「青い空を見上げればいつもそこに白い猫」やってみた。

#写真


#yara-rules

“`
rule eicar_substring : eicar
{
strings:
$eicar_substring = “$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!”
condition:
all of them
}

“`

以上。

【Rails】SameSiteとSecure属性の付与〜Railsのセキュリティ対策〜

##はじめに
**社内でcookieのセキュリティに関する勉強会があったので、学んだことをまとめておきます〜〜**:writing_hand::writing_hand:
**Railsは優秀なフレームワークなので、そこそこのセキュリティ対策が標準装備されているんですよねえ。**
セキュリティについてはあまり考えなくても、実装できてしまうんですよねえ。
良いことでもあり、悪いことでもありますね:runner::runner:

## GoogleChrome80のリリース
2020年2月4日（現地時間）にGoogleChrome80が正式にリリースされました。
https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html
今回のバージョンアップで**デフォルトのCookieのSameSite属性がNone⇒Lax**に変更されました。
また**SameSite属性をNoneにする場合、Secure属性を付与しなければならない**仕様になりました。

？？？
なにそれ？？

私もピンと来ませんでし

cscの作法 その41

#概要

cscの作法、調べてみた。
dllinjectやってみた。

#写真


#環境

windows vista 32bit
.net 2.0

#サンプルコード

“`

using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;

public class Test {
[DllImport(“kernel32.dll”)]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport(“kernel32.dll”, CharSet = C

AWSでIAMユーザを使い捨てにする

## はじめに
私が所属する[aslead DevOps](https://aslead.nri.co.jp/solution/aslead_devops.html)チームでは、日々変化するユーザの開発サーバ構成に対して、セキュリティを保ちつつ開発業務の効率化・自動化ができないかを検討しています。

この記事では、AWSにログインして作業するIAMユーザの扱い方についてご紹介します。AWSの中でもセキュリティの基礎となる重要サービスであり、ユーザの棚卸しや権限の管理に時間を割かれているチームも多いのではないでしょうか。
そこで、Hashicorp社が提供しているVaultを利用し、作業のタイミングでIAMユーザを作成し、終わったら削除するアプローチを考えてみます。IAMユーザの作成自体はVaultの標準機能ですが、複数アカウントの権限制御ができるスイッチロールとの組み合わせを提案します。

## Vaultとは

![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/108008/acb29

iOS/Androidアプリのセキュリティ関連の参考リンク

ちょっとしたきっかけがあって、iOS/Androidアプリのセキュリティに関して情報を収集する必要がありました。

せっかくなので私が出会った良記事をシェアしたいと思います。

## [OWASP Mobile Top 10](https://owasp.org/www-project-mobile-top-10/)

– OWASPは「Open Web Application Security Project」の略で、「オワスプ」と読むようです。
– ソフトウェアのセキュリティ環境や、セキュリティを高めるための技術を共有・普及することを目的として活動しているボランティア組織だそうです。
– Webアプリの[OWASP Top 10](https://owasp.org/www-project-top-ten/)が有名ですが、OWASP Mobile Top 10はそのモバイルアプリ版です。
– ソフトウェアを開発する上で、セキュリティとして警戒をしなければいけない項目のTOP10をレポートしています。
– 何しろ有名どころなので、まずはこれを押さえる必要があると思います。顧客や上席に

民間企業の次期ネットワーク構想に向けて　第3話

#コロナで見えたセキュリティ問題から次期ネットワーク構想へ
テレワークで問題となるのはセキュリティと通信速度です。
※ここでいうテレワークとは，在宅勤務を指します。
セキュリティに関しては，各企業ごとにポリシーやガイドラインが策定されていると思います。
テレワークの多くは，自宅や公衆回線から社内ネットワークへVPN接続する方式だと思います。
中には，フルクラウドでテレワークでもインターネット接続だけで運用できる企業もあるかと思いますが，本記事では割愛します。
例にもれずウチもVPN接続利用をしています。
VPN接続をした上でPCを使用する場合は，社内ネットワーク経由でインターネットへ出るのでセキュリティはポリシー通りとなり，セキュリティレベルは保たれます。
(ちなみにFortiClientでローカルブレイクアウト利用はしていません)
問題はVPN接続をしないでインターネットなどを利用してしまった場合です。
悪意あるサイトへの接続は「URLフィルタリング」で制御しており，会社が許可したサイトにしか接続できません。
ですが，VPN接続をしないまま使用した場合，社内ネットワーク経由とならず，

マルチゾーンでFirewalldをらくらく設定

#はじめに
先日、[firewalldで特定IPアドレスのみsshを許可する](https://qiita.com/kimisyo/items/553d8879808834077fb1) という記事を書いては見たものの、-add-rich-rule というオプションを使ってゴリゴリの特別ルールでの対応がどうも引っかかった。Firewalldといえばiptablesの後継として比較的新しいライブラリであり、もっと洗練されたうまいやり方があるはずだと。

そこで色々調べた結果、あったあった。その名も**マルチゾーン**機能。この機能を使うことにより、かなり柔軟かつ効率的に設定できることが分かったので今回調べたことを共有したい。

#環境
– CentOS 8
– firewalld 0.8.0-4

#Firewalldの利点
まずはおさらいとして、Firewalldって何がいいのか見てみよう。
参考文献[1]によると、iptablesに対するFirewallの利点は以下とされている。

– 送信元IPやネットワークインターフェイスで定義されたゾーンごとに、拒否、許可等のルールを定義するこ

AWSアカウントのセキュリティチェックをし、採点してみた

#はじめに
AWSは俊敏にリソースを調達できたりし、AWS社がある程度のセキュリティも担保してくれる一方でたとえばIaaSであれば、責任共有モデル的に、ユーザデータなどOS以上のレイヤーはユーザ自身の責任でセキュリティを担保しなければなりません。
設定ミス一つでデータのリークなど大事件につながることもありえます。
今回は、普段使用しているAWSアカウントにConformityというツールを導入して採点してみようと思います。

#導入方法
以下のサイトのFree Trialでアカウントを作成します。作成すると14日間無料で使用できます。
https://www.cloudconformity.com/help/


次に登録時に入力したメールアドレスおよびパスワードを使用し、「Sign in」します。
![image.png](https://qi

volatilityの作法 その22

#概要

volatilityの作法、調べてみた。
実習してみた。

#参考にしたページ

http://sectanlab.sakura.ne.jp/sendaictf/fyi.html

#volatility –profile=Win7SP0x86 -f lab01/memdump.mem imageinfo

“`
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search…
Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 (Instantiated with Win7SP0x86)
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAdd

volatilityの作法 その21

#概要

volatilityの作法、調べてみた。
使い処。

#プロセス
プロセスリストを見れば，システム上で何が実行されているのかがわかる。
メモリ解析では，システム上の実行中の各プロセスを構成するExecutiveProcessブロックというカーネルデータの構造体を列挙することによって，プロセスリストを再現できる。
攻撃者がフックやカーネルオブジェクト操作などのルートキットのテクニックを用いて一般的なWindows API関数からプロセスを隠している場合，この手法で実行中のプロセスのリストを再構築し，観測することができる。

#Process
volatility -f [image] –profile=[OS Profile] pslist
volatility -f [image] –profile=[OS Profile] psscan
volatility -f [image] –profile=[OS Profile] pstree
volatility -f [image] –profile=[OS Profile] psxview
volatility -f

volatilityの作法 その20

#概要

volatilityの作法、調べてみた。

#コンピュータウイルスの定義。

経済産業省が告示した「コンピュータウイルス対策基準」においては、コンピュータウイルスの定義

##第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。

– 自己伝染機能
自らの機能によって、他のプログラムに自らをコピーし、又は、システム機能を利用して、自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能。

– 潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、条件が満たされるまで症状を出さない機能。

– 発病機能
プログラムやデータ等のファイルの破壊を行ったり、コンピュータに異常な動作をさせる等の機能。

具体的に、
プログラムに寄生する極めて小さなプログラムであり、
自分自身を勝手に他のプログラムファイルにコピーする事により増殖し、
コンピュータウイルス自身にあらかじめ用意されていた内容により、
予期されない動作を起こす事を目的とした特異なプログラムです。

#想定される侵

volatilityの作法 その19

#概要

volatilityの作法、調べてみた。
malwareのデータベースが欲しい。
IPAに届けられたウイルスの概要 2012年 5月 9日現在

#1554(イチゴウゴウヨン)
常駐型ウイルスでCOM、EXEファイルに感染する。感染ファイルは1,544～1,569バイト増加する。
このウイルスは9月～12月に発病する。
ファイルの更新時に10バイトずらして書き込みが行われるため最初の10バイトが消失し、最後の10バイトにゴミが追加され、ファイルが破壊される。
メモリの内容を上書きするため、システムがハングアップする場合がある。

#1575(イチゴウナナゴウ)
常駐型ウイルスでCOMMAND.COMを含むCOMとEXEファイルに感染する。
常駐時にプログラムを実行しても、そのファイルには感染しないが、DOSの「dir」または「copy」コマンドを実行すると、COMとEXEファイルに感染し、感染ファイルのタイムスタンプが感染日に変更される。

#15years(フィフティーンイヤーズ)
このウイルスは、常駐型でディスクのブートセクタに感染する。感染したディスクを起動するとウイル