今さら聞けないセキュリティ　2020年12月25日

ゼロトラスト設計例

###ゼロトラストの設計例
コロナ禍でDXの社会的な期待が増し、セキュリティではzerotrustが次世代の手法として注目されていますが、その設計を具体的にどうすれば良いか？については悩んでいる人が多いと思います。
ここではその設計例を公開します。

#####【目次】
1. “セキュリティ”が経営に及ぼす影響
2. 設計
1)手法の選択
2)機能別設計
3. 期待される効果

#####＜リンク＞

企業向けのセキュリティの設計例 from M_Murakami Murakami

#####＜抜粋＞
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/585213/e4fb44f4-a9fa-c8d0-1a5c

謎解きで学ぶ隠ぺいの技術

どうも。@hinoraです。
今日でクリスマスを迎え、今年もいよいよ終わりです。

せっかくのクリスマスということで、僕からプレゼントをご用意しました。

少しわかりにくいところに置いてありますが、よかったら探してみてくださいね。
探すのはPCがおすすめです。

—

改めまして、今回は隠ぺいの技術である**難読化**と**ステガノグラフィ**についてご紹介します。

## 難読化とは

「難読化」という言葉はご存じでしょうか。
意味は文字通り、意図的に読みにくくしたコードのことです。

その目的は、ウィキペディアによれば

1. コードの目的を隠ぺいしたり、リバースエンジニアリングなどを阻止するため
2. コードを解読するもののためのパズルや娯楽として

とのことです。

実際のコードを見てみましょう。

“`js:change.js
$=~[];$={___:++$,$$$$:(![]+””)[$],__$:++$,$_$_:(![]+””)[$],_$_:++$,$_$$:({}+””)[$],$$_$:($[$]+””)[$],_$$:++$,$$$_:(!””+””)[

今更かもしれないけどHeartbleedやってみた

はじめに
—
こんにちは、株式会社シーエー・アドバンス技術統括本部の@sk888です。
普段はWEBサイトやスマートフォンアプリの脆弱性診断業務をしています。

タイトルの通り今更なんですが、まぁ、今日でHeartbleed童貞を卒業したいと思います。
脆弱性を含んだWEBサーバーを立ててhttpsのポートに対してPoCを実施します。

Heartbleedとは
—
ウィキペディアのページ
>このバグはTransport Layer Security（TLS）のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった[13][14] 。このバグは生存確認信号（Heartbeat）の発信毎に、アプリケーションメモリーを64キロバイトずつ露出する可能性があった[14]。このバグは不適切なハートビート要求をサーバーに送信し、サーバーが返信する際に実行される。サーバーは通常は受け取った情報と同じ大きさのデータのバッファー（塊）を返信するが、バグにより境界検査が欠けていたので、バグがあるバージョンのOpenSSLはハートビート要求の大きさの妥当性を確認しない。その結果、攻撃者

DeepSecurityのサーバ多層防御について

今年も[PayPayの不正アクセス](https://paypay.ne.jp/notice/20201207/02/)などの、セキュリティインシデントがありました。今年の年末年始も安心して過ごせるようセキュリティネタで行かせていただきます。AWS MarketPlaceで提供されている[Trend Micro Cloud One Workload Security（C1WS）](https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html)（旧Trend Minro DeepSecurity as a Service（DSaaS））について調べたのでまとめました。本記事ではDeepSecurityの名称で記載させていただきます。

# DeepSecurityとは
– DeepSecurityはTrendMicroが提供してる、サーバで多層防御を実現するセキュリティ製品

# DeepSecurityの構成
![DeepSecurity-DSの構成 (1

マルウェア「IcedID」についてまとめてみた

この記事は[ ISL Advent Calendar 2020 ](https://adventar.org/calendars/5538)24日目の記事です。
初投稿ですがよろしくお願いします。

# 目次
1.はじめに
2.IcedIDって？
3.Emotetとの違い
4.参考情報
5.おわりに

# 1.はじめに
近年Emotetと呼ばれるマルウェアの流行を耳にしたことがある人は多いかと思います。
2019年9月ごろから活動が活発化し、以降2020年2月ごろまで活動が見られ、その後また同年7月ごろから10月末ごろまで活動していました。
近頃は活動が落ち着いていたのですが、3日前の2020年12月21日からまた活動再開が報告されています。今回の話からは逸れてしまうので、詳しく知りたい方は[ こちら ](https://www.jpcert.or.jp/newsflash/2020122201.html)を参照ください。

そんなEmotetと似た、別のマルウェアが流行の兆しを見せています。それが**IcedID**です。
今回は、IcedIDに関する情報を集めてまとめてみたので、是

VPNとアクセスポイントと安全性

## はじめに
アドベントカレンダー最終日となりました。入社一年目の貴志です。何を書こうか迷ったのですが、趣味であさっているセキュリティ記事の１つをざっくり紹介していこうと思います。紹介するのは[Black Hat USA 2020](https://www.blackhat.com/us-20/)でOrange Cyberdefense社が発表した調査レポート ([Virtually Private Networks](https://www.blackhat.com/us-20/briefings/schedule/#virtually-private-networks-20729))です。

今年はコロナ禍ということもありリモートワークとVPNは大活躍だったと思いますが、一方でVPN関連のインシデントも多く報告されています。紹介するレポートからVPNを使っていれば絶対安全というわけではないという１例を知っていただければと思います。

## VPNとは
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaw

WEBアプリケーションの脆弱性まとめ

#SQLインジェクション
**概要**
DBに投げるクエリの中に不正な命令文を注入して、意図しない操作を実行させる攻撃手法。
クエリ中に外部から指定されたパラメータを使用する場合に考慮する必要がある

**被害**
外部から任意のクエリを実行できてしまう状態なため、DBにある情報が漏洩したり改ざんされたりする

**対策**
外部から受け取るパラメータにはサニタイズ（無効化）を施して、意図しないクエリが混入しないようにする

#OSコマンド・インジェクション
**概要**
OSコマンドを実行する部分に不正な文字列を注入して、意図しない操作を実行する攻撃手法。
システムに対して何らかの操作（ファイルの実行とかディレクトリの作成とか）を行う際、コマンドの中に外部から指定されたパラメータを含む場合に考慮する必要がある

**被害**
外部から任意のOSコマンドを実行できてしまう状態なため、乗っ取られたり踏み台に使われたりする

**対策**
外部から受け取るパラメータにはサニタイズを施して、意図しないOSコマンドが混入しないようにする

#パストラバーサル (ディレクトリトラバーサル)
**

イスラエル8200部隊出身のガチプロハッカーに、一流のハッカーになる方法について聞いてみた。

私がインターンで勤めている企業のハッカーは、イスラエル国防軍におけるサイバー攻撃・防御の超精鋭部隊、 **8200部隊出身のガチプロハッカー**です。8200部隊はアメリカのNSAと並んで世界最高のハッキング技術を持つと言われています。高校卒業後に兵役の義務があるイスラエルで、なんと彼は大学の学位を取り終えて、入隊したそう。

そんなスペシャルなハッカーに、東京大学で（一応）コンピュータ関係を専攻する私が、「**一流のハッカーになる方法**」について聞いてみたら面白かったので、本人の許可を得てその邦訳を記事にしてみました。

## イスラエルのハッカーエコシステム

> イスラエルの8200部隊について教えてください。

8200部隊はイスラエル軍における**インテリジェンスユニット**です。詳しい内容は秘密事項でお伝えすることはできませんので、Wikipediaなどを見ていただくのが早いと思います（笑）。主にサイバーセキュリティに関して色々やっています。

> どのような過程を経て入隊したのですか？

イスラエルでは男女ともに兵役の義務があり、高校卒業と同時に入隊します。自分は高校時

証明書について調べる(メモ)

こちらも、雰囲気でなんとなくで理解しているので
深堀りして調べてみる

##まずはじめに
インターネットには、「**4大リスク**」と呼ばれるものがある
→`盗聴、改ざん、なりすまし、事後否認`

それを防ぐためにあるのが、**電子証明書**
現実の世界における運転免許証やパスポートのように
対象を正しく認証・特定する、インターネットにおける身分証明書のようなもの

##証明書とは
電子証明書も、信頼できる機関(＝認証局)が発行することで、
正しく本人を証明することができる。

さらに、期限が切れた証明書や、
内容が古く正確でなくなった証明書を無効にすることもできる

ほぼ現実の免許証やパスポートと同じだ

##SSLサーバー証明書とは
SSLサーバ証明書は、Webサイトの「運営者の実在性を確認」し、
**ブラウザとWebサーバ間で「通信データの暗号化」**を行うための`電子証明書`で、認証局から発行される

SSLサーバ証明書には、
Webサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データなどが含まれる

####SSLとは
SSL(Secure Sockets La

Azure MonitorでECサイトのクレジットカードの大量試行を検知した話

# はじめに
[Azure Advent Calendar 2020](https://qiita.com/advent-calendar/2020/azure) 23日目の記事ということで、[Azure Monitor](https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview)とKustoの話を書きます。
本記事はクレジットカードを取り扱うサイトにおいて、悪用を試験的に検知した話になります。
**悪用対策のベストプラクティスではなく、Azure Monitorでこんなこともできるよ的な内容**になりますので、
その旨ご留意いただければと思います。

また本記事はKusto初学者による試行錯誤が含まれていますので、
同じくこれからKustoにチャレンジされる方はぜひご参考ください。
Kustoに改善点があればご指摘いただけますと幸いです。

### 背景
#### 有効なクレジットカードの当たり判定に悪用されてしまった…
勤め先はWebシステムのパッケージを持ち、カスタマイズして納品するBtoB企業です。
ECサイトの

XSS CSRF まとめ

# XSS
– 攻撃の対象はブラウザ
– 攻撃内容は不正なJavaScriptの実行
– ブラウザに保存されているユーザの情報を抜く
– 不正な文字などを表示
– 対策は不正なJavaScriptを実行させないようにする
– HTMLの出力の際に特殊文字をエスケープ

# CSRF
– 攻撃の対象はwebサーバ
– 攻撃内容はユーザになりすまして、webサーバにリクエスト
– 商品の購入
– コメントの書き込み
– 対策はユーザになりすませないようにする
– 画面遷移前後でトークンチェック
– ログイン直後にセッションを再発行

# 参考
https://qiita.com/att55/items/a50ca43adde206017525

webアプリにおける脆弱性やハッキング手法などのセキュリティについて

## はじめに

突然ですが、質問です。
2020年に登録された脆弱性で **一番多かったもの** は何かご存知ですか？

正解は **クロスサイトスクリプティング** です
(2020年上半期、脆弱性対策情報のデータベースのJVN iPediaに登録されたもの)

2020年上半期（1月～6月）にJVN iPediaへ登録された脆弱性で一番多かったのはクロスサイトスクリプティングで **1099件** だそうです

また、情報の漏えいや改ざんされるような**危険度が高い脅威であるものが全体の86.2％**も占めています

本記事では開発者として他人事だと思わずセキュリティについて調べてみようかと思います
**※自分自身調べながら書いているので足りない部分の不足している情報はあるかと思いますがご了承ください**

参考
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q1.html
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q2.ht

翻訳：不正な QQ コミュニティ：何が共有されている？（CODE BLUE 2020）

以下は CODE BLUE 2020 で発表された「[Illicit QQ communities: What’s being shared?](https://www.youtube.com/watch?v=FMJ9Zm74O3c)」を試訳したものです。

発表者：Aaron Shraberg
発表日：2020年10月29日

# 目的

CODE BLUE を聴講後、復習をかねて以下の手順で翻訳しました。

1. [Downsub](https://downsub.com/) で [YouTube](https://www.youtube.com/watch?v=FMJ9Zm74O3c) の動画の字幕をダウンロード
2. [Otter](https://otter.ai/jp) で YouTube の動画を音声から文字へ変換
3. YouTube の動画の字幕と比較して単語の誤変換を修正
4. [DeepL](https://www.deepl.com/ja/translator) と [Google Translate](https://translate.google.co.j

cowrie（ハニーポット）をpythonのpandasを使って分析してみた

## はじめに
今回は,pythonのpandasを使ってハニーポットのログを分析してみたという記事になります.なお,これは個人の遊びになります.
## cowrieってなに？
cowrieとは,SSHやTelnetのセキュリティー的脆弱性をあえて作ってクラッカにあえて攻撃をさせるものです.(低対話側パニーポット)
導入記事は前記事にありますのでもしよろしければご覧ください.
https://qiita.com/asmg07/items/73808eee7c960707da2b
## 分析する前段階(jaonログについて)
ログを分析する前にログの中身について理解する必要があります.
ここでは,全てではなくとりあえず必要なものだけをピックアップして
紹介します.

### eventidの種類について（自分が分析する上で使ったもののみを紹介）

| eventid |意味 |
|:———– |————:|
| cowrie.login.success|ログインに成功した|
| cowrie.logi

BitVisorのソースコードをGitHub Code Scanningにかけてみた

はい，タイトルそのまんまです．最新のBitVisorのソースコードを，最近publicレポジトリならタダで使えるようになったGitHub Code Scanningにかけてみました．コードをスキャンして，脆弱性などを自動的にみつけて報告してくれます．



![github-scanning.jpg](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/105071/d91e0a70-3977-6

EC2インスタンスのターミナルでの初回起動時の設定

#概要
AWSでEC2インスタンスを作成後、インスタンスの初回起動時の設定について、ターミナルでインスタンスにSSH接続し、セキュリティ対策を行うまでを簡単にまとめます。この記事はEC2インスタンスが作成してあることが前提となっています。

#手順
##ターミナルでインスタンスに接続
ターミナルからSSH接続します。”my-key.pem”が保存されているディレクトリへ移動し、次のコマンドを実行します。”ec2-user@0.0.0.0″は接続するユーザー名とIPアドレスです。IPアドレス部は自分のインスタンスのパブリックIPに合わせてください。

“`
例
ssh -i “my-key.pem” ec2-user@0.0.0.0
“`
必要に応じて、次のコマンドを実行して、キーが公開されていないことを確認します。400の”4″は自分だけしか読み込めないようにするための属性です。

“`
chmod 400 my-key.pem
“`
セキュリティ警告が出たら”yes”と入力してください。初回の接続時のみに尋ねられます。問題なければメッセージが表示され、接続が完了します。

Content-Security-Policy(CSP) 概要

* Content-Security-Policy(CSP) の概要をまとめる。

## Content-Security-Policy(CSP) とは？

* サーバーが、ブラウザに対して自身のセキュリティポリシーを表明するための仕組みを指す。
* スクリプトや画像の実行可能範囲を指定する。

## 導入が必要な理由

* **クロスサイトスクリプティング(XSS)対策**
* XSSを目的とした外部のスクリプトコードが埋め込まれた際の影響を軽減する。

## 構文

“`http
Content-Security-Policy: ; “`

* `` = `

「セキュリティ・キャンプ・ミニ　in 沖縄」でやったこと！

初めてブートキャンプに参加しましたので、~~学校の先生にお願いされたので~~ここに5つ残します！

* セキュリティ・キャンプとは？
* きっかけ
* なぜやろうと思った？
* 講義の詳細・感想
* 最後に

## セキュリティ・キャンプとは？
公式様ページ：[セキュリティ・キャンプについて](https://www.ipa.go.jp/jinzai/camp/index.html)
セキュリティ・キャンプとは２０１３年から**IPA(情報処理推進機構)**が行っている**学生に対して**セキュリティに関する高度な技術教育を実施し、次世代を担う情報セキュリティ人材を発掘・育成するプロジェクトです。

やはり専門の講師などお呼びするのでもちろん書類選考があります！応募書類にはいくつか質問が用意されており、その質問の回答内容で決めるそうです。

質問には**会社でセキュリティ面で〇〇があった時あなたの対処法は？**など質問がありました。

しかも**学生に対して**なので、実際に講義を受けられるのは**[現在学校に通っている人]****[２５歳以下]**のみに限られます。学校を卒業してし

2020年のサイバーセキュリティ事件を振り返る

#はじめに
今年は新型コロナウイルスが流行し、世界の様相は変わってしまった。

コロナ対策に追われる傍ら、サイバー空間では大企業を狙ったサイバー攻撃が今年も多く行われていた。

今年を振り返るにはまだ少し早いかもしれないが、
この1年で起きた事件を簡単にまとめてみたいと思う。

※個人的に気になったニュースを思い出した順で書いているので発生時期はばらばらです。

#2020年　サイバー事件
##ベネッセのサービスに対する不正アクセスによる情報漏洩　4月
[教育機関向けSaaS「Classi」へ不正アクセス、登録情報最大122万件流出か](https://cybersecurity-jp.com/news/36093)

ベネッセがまたやりました。
ベネッセとソフトバンクが共同で開発したアプリに対して不正アクセスがあり、登録されていた個人情報が漏れたらしい。
数年前にもベネッセは外部業者による情報漏洩を起こし、500円の図書券を配ったことがある。

##三菱電機　未公開脆弱性による重要情報漏洩　2019~2020
[不正アクセスによる個人情報と企業機密の流出可能性について](https:

マルウェアによるスリープ処理の悪用

マルウェアはセキュリティシステムやセキュリティエンジニアによる解析の検知や回避のためにスリープ処理を使うことがあります．マルウェアがスリープを使う目的としては例えば以下のものがあります．

1. 悪事を働くタイミングが来るまで待つため
2. スリープによって動的解析をタイムアウトさせるため
3. スリープによってサンドボックスやデバッガなどによる解析行為の存在を検知するため
4. 良性のソフトウェアも実行するような，イベント発生待ちやプロセススイッチなどの普通の処理のため

マルウェア解析の観点から興味深いのは1, 2, 3です．

1は広く知られていると思います．たとえば発病する時刻がマルウェアのプログラムの中に埋め込まれていることがあります．ネットワーク通信によってサーバから攻撃開始の司令を受け取るまで待つこともあります．

2は1と似ていますが，待つ対象，というかスリープ終了のタイミングを決めるとき考慮する対象，が若干違います．2ではたとえばマルウェアは実行の最初で1時間スリープしたりします．動的解析では，多くの場合，5分とか15分とかの比較的短い時間がタイムアウト時間として設定