今さら聞けないセキュリティ　2020年12月30日

「ゼロトラストネットワーク」を読んだので要約する

## 目的
少しずつ実際のソリューションが登場しつつあるゼロトラストネットワークについて、その成り立ちや設計思想、セキュリティの構成や実運用の課題について解説された「ゼロトラストネットワーク」の要約をしてみます。
特に、組織のネットワーク構築や運用を担当する情報システム部門の担当であれば、今後のネットワークの在り方を考える上で指針になる一冊だと思います。
https://www.oreilly.co.jp/books/9784873118888/

## ゼロトラストネットワークの成り立ちと概要
* 1967年まで遡り、主に軍事・学術目的で通信するために、各ノードがパケットを交換しあう[ARPANET](https://ja.wikipedia.org/wiki/ARPANET)というネットワーク設計が考案されました。今のインターネットの前身です

表層解析入門

# 表層解析

# サマリ（目的／手法／アウトプットデータ）
– ファイル形式の特定／PPEE、pestudio、trid、fileコマンド／OS、アーキテクチャ
– ハッシュ値の取得／PPEE、pestudio、sha1sum、ssdeep／インジケータ
– 文字列の抽出・難読化検出／Exeinfo PE、Detect It Easy、FLOSS、stringsコマンド／インジケータ
– PE解析／Resource Hacker／プログラムの挙動、内蔵されたコンテンツ

# 表層解析とは
解析対象となるプログラムを実行せずに情報を得る方法。
ハッシュ値やメタデータなどを取得でき短時間で情報を得られるため初動として表層解析を行い、
詳細な解析を行う上での方向性やインシデントレスポンスとしての一時措置の方針決定などの根拠として活用することができる。

# ファイル形式（実行環境OS／アーキテクチャ）の特定
ファイルのヘッダに書き込まれているマジックナンバー／シグネチャ（ファイルシグネチャ）から
ファイルの実行環境OSやアーキテクチャを特定する。

# ハッシュ値の取得
ファイル全体をハ

Power BIのWeb公開と抑止

## はじめに
　Power BIでよいビジュアルができたので、組織内で共有を超えて、Webに公開～と。とても便利でよろしいのですが、組織としてPower BI Serivceを運用していたときに、知らない間で公開しちゃいけないレポートが公開されていた～ なんてことになっては困りますよね。なので、外部Web 公開の制御について、そして合わせて公開方法についても書きたいと思います。

### 免責等
　「このように設定すべき」等はありませんし、主張するものではありません。各組織の運営に合わせたり、見直しの話し合い材料にしていただければと思います。また、組織の利用で一般資料者の方は、管理者権限がないために、管理者メニューが表示されないということもあります。ご了承を。
　個人利用でのPower BI Service利用の場合は、自己の管理方法のご参考にどうぞ。

### Web公開は外部への一般公開（Annoymous Access）のこと
　通常、ビジュアルはオーサリングツールである、Power BI Desktop作り、発行（Pubish）で、Power BI Serviceに上げます。

GitHubの認証方法の新しいビッグウェーブに乗り遅れるな！

GitHubから何やら物騒なメールが来ました。

#パスワード認証を使っていた僕に来たメール [GitHub] Deprecation Notice

>You recently used a password to access the repository at {自分のリポジトリ名} with git using git/2.24.3 (Apple Git-128).

>Basic authentication using a password to Git is deprecated and will soon no longer work. Visit https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information around suggested workarounds and removal dates.

# 何が問題なのか
[メールに記載のGitHubのブログ記事](https://github.blog/2020-1

マルウェア研究用データセットEMBER datasetの紹介

### マルウェアデータセット

マルウェア解析の研究においてマルウェアデータセットは有用です．マルウェアデータセットは主にマルウェアの研究のために作られたデータ集合です．マルウェアのプログラムやデータそのものを集めたデータセットもあれば，マルウェアの静的解析の結果や動的解析の結果を集めたデータセットもあります．

古くは [1998/1999 DARPA Intrusion Detection Evaluation Dataset](https://www.ll.mit.edu/r-d/datasets) が有名で，このデータセットを題材に，それこそ無数に論文が書かれました．最近では国内では [MWS Datasets](https://www.iwsec.org/mws/2019/about.html) が有名だと思います．海外では [Microsoft Malware Classification Challenge (BIG 2015)](https://www.kaggle.com/c/malware-classification) などがあります．このChallengeの論

あれ、認証・認可についてちゃんと説明できるっけ。。

# はじめに
* なぜこんな記事を書こうと思ったかというと、認証・認可について僕がなあなあになっている気がしたので、改めて自分の中で整理したかった為です。

## 認証 (Authentication)
あるウェブサイトにユーザがログインした際に誰なのかを確認することを指します。
本人確認をイメージすると分かりやすいかもです。

## 認可 (Authorization)
認証したユーザに対して、リソースのアクセス権限をどこまで与えるか決定することです。

## フェデレーテッドログイン
これは、例えばあるサービスがあった場合にそのサービス以外が管理するIDを利用してログインする方法です。

# 実装パターン
以下に実装パターンをいくつか紹介しますが、だいたい今はOAuth 2.0かOpenID Connect(別記事で書きます。)ですねw

## シングルサインオン
シングルサインオンは、各システム間のアカウント管理を別々に行わず、一度認証したら全システムが全て有効になるような仕組みです。
また、シングルサインオンにはいくつか方法があります。
一つ例にあげるのであれば、あるサービスが

Tor 経由の HTTP 通信を Burp Suite でキャプチャーする手順

# はじめに

2018 年 9 月から 2020 年 8 月まで、週 1 ～ 2 件のペースでウェブサイトの脆弱性を IPA に報告していました。

ただ、今は脆弱性の報告が推奨されない立場となりましたので、備忘録としてウェブサイトの挙動を確認する際に利用していた手順を書きとめておこうと思います。

# 環境

– Windows 10 Version 1909
– Internet Explorer 11[^1]
– Burp Suite Community Edition v1.7.36
– Java SE Runtime Environment 1.8.0_40[^2]
– Tor Browser 10.0.7

# 構成

Internet Explorer，Burp Suite，Tor Browser を以下のように接続します。

基本情報技術者　Chapter13~20

セキュリティマネジメントの３要素　機密性　完全性　可用性

システム開発の流れ　企画→要件定義→開発→運用→保守

プロジェクトマネジメント　作業範囲を把握するためのWBS(Work Breakdown Structure)

プログラミング　インタプリタ方式とコンパイラ方式

3層クライアントサーバシステムはビジネスロジックに変更があってもサーバ側だけ修正すればいい
オンライントランザクション処理とバッチ処理

暗号資産(仮想通貨)取引所にたびたび送られてくる危険なトラップとその対策について

# はじめに

普段はビットバンクという暗号資産(仮想通貨)取引所にてエンジニアをしています。
会社の技術的な内容やセキュリティの話などについては [ビットバンク株式会社 Advent Calendar 2020](https://qiita.com/advent-calendar/2020/bitbank) にて公開してますのでこちらも合わせて読んでみてください。

近年、たびたび情報漏洩が報道されています。
暗号資産(仮想通貨)取引所に勤務している中でもたびたび情報漏洩のリスクをはらんだトラップがたびたび送られてきます。
IT業界に携わる人たちは情報漏洩のリスクをはらんだトラップに引っかからないようにするために取り組んでいる習慣の一例を紹介します。

# 結論

**メールでコミニュケーションをとるのはやめましょう!!せめてチャットツールを使いましょう!!**

# メールコミニュケーションの危険性

## コインチェック事件

2018年に暗号資産(仮想通貨)取引所のコインチェックにて580億円相当の[NEM](https://ja.wikipedia.org/wiki/NEM_

Cuckoo Sandboxのanti-anti-sandbox処理（2）： 解析環境「らしさ」の払拭

Cuckoo Sandboxのanti-anti-sandbox処理（1）からの引き続きで，Cuckoo Sandboxのanti-anti-sandbox処理（2）です．

Cuckoo Sandboxでは仮想マシン上で動くゲストOSを解析環境として利用します．このゲストOSが仕事用や家庭用などの通常の用途の環境としてあまりに不自然だと，マルウェアは怪しいと気づくかもしれません．たとえば通常の環境では「最近使用したファイル」にファイルがたくさん並んでいて，ここに何もファイルがなかったら怪しいですよね．インストール直後ならいざ知らず，OSを数時間使うだけで，そこにファイルがたまっていくはずです．なお，「最近使用したファイル」は，エクスプローラーを起動すれば何も指示しなくてもウィンドウ内に表示されるので，そこで確認できます．

Cuckoo Sandboxは，おそらく解析環境であると見破られにくくするために，ゲストOSにダミーファイルを作成します．Cuckoo Sandboxのソースツリーのrecentfiles.pyというファイルに書かれたPythonプログラムに，その作成処理が記述さ

ゼロトラスト設計例

###ゼロトラストの設計例
コロナ禍でDXの社会的な期待が増し、セキュリティではzerotrustが次世代の手法として注目されていますが、その設計を具体的にどうすれば良いか？については悩んでいる人が多いと思います。
ここではその設計例を公開します。

#####【目次】
1. “セキュリティ”が経営に及ぼす影響
2. 設計
1)手法の選択
2)機能別設計
3. 期待される効果

#####＜リンク＞

企業向けのセキュリティの設計例 from M_Murakami Murakami

#####＜抜粋＞
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/585213/e4fb44f4-a9fa-c8d0-1a5c

謎解きで学ぶ隠ぺいの技術

どうも。@hinoraです。
今日でクリスマスを迎え、今年もいよいよ終わりです。

せっかくのクリスマスということで、僕からプレゼントをご用意しました。

少しわかりにくいところに置いてありますが、よかったら探してみてくださいね。
探すのはPCがおすすめです。

—

改めまして、今回は隠ぺいの技術である**難読化**と**ステガノグラフィ**についてご紹介します。

## 難読化とは

「難読化」という言葉はご存じでしょうか。
意味は文字通り、意図的に読みにくくしたコードのことです。

その目的は、ウィキペディアによれば

1. コードの目的を隠ぺいしたり、リバースエンジニアリングなどを阻止するため
2. コードを解読するもののためのパズルや娯楽として

とのことです。

実際のコードを見てみましょう。

“`js:change.js
$=~[];$={___:++$,$$$$:(![]+””)[$],__$:++$,$_$_:(![]+””)[$],_$_:++$,$_$$:({}+””)[$],$$_$:($[$]+””)[$],_$$:++$,$$$_:(!””+””)[

今更かもしれないけどHeartbleedやってみた

はじめに
—
こんにちは、株式会社シーエー・アドバンス技術統括本部の@sk888です。
普段はWEBサイトやスマートフォンアプリの脆弱性診断業務をしています。

タイトルの通り今更なんですが、まぁ、今日でHeartbleed童貞を卒業したいと思います。
脆弱性を含んだWEBサーバーを立ててhttpsのポートに対してPoCを実施します。

Heartbleedとは
—
ウィキペディアのページ
>このバグはTransport Layer Security（TLS）のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった[13][14] 。このバグは生存確認信号（Heartbeat）の発信毎に、アプリケーションメモリーを64キロバイトずつ露出する可能性があった[14]。このバグは不適切なハートビート要求をサーバーに送信し、サーバーが返信する際に実行される。サーバーは通常は受け取った情報と同じ大きさのデータのバッファー（塊）を返信するが、バグにより境界検査が欠けていたので、バグがあるバージョンのOpenSSLはハートビート要求の大きさの妥当性を確認しない。その結果、攻撃者

DeepSecurityのサーバ多層防御について

今年も[PayPayの不正アクセス](https://paypay.ne.jp/notice/20201207/02/)などの、セキュリティインシデントがありました。今年の年末年始も安心して過ごせるようセキュリティネタで行かせていただきます。AWS MarketPlaceで提供されている[Trend Micro Cloud One Workload Security（C1WS）](https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html)（旧Trend Minro DeepSecurity as a Service（DSaaS））について調べたのでまとめました。本記事ではDeepSecurityの名称で記載させていただきます。

# DeepSecurityとは
– DeepSecurityはTrendMicroが提供してる、サーバで多層防御を実現するセキュリティ製品

# DeepSecurityの構成
![DeepSecurity-DSの構成 (1

マルウェア「IcedID」についてまとめてみた

この記事は[ ISL Advent Calendar 2020 ](https://adventar.org/calendars/5538)24日目の記事です。
初投稿ですがよろしくお願いします。

# 目次
1.はじめに
2.IcedIDって？
3.Emotetとの違い
4.参考情報
5.おわりに

# 1.はじめに
近年Emotetと呼ばれるマルウェアの流行を耳にしたことがある人は多いかと思います。
2019年9月ごろから活動が活発化し、以降2020年2月ごろまで活動が見られ、その後また同年7月ごろから10月末ごろまで活動していました。
近頃は活動が落ち着いていたのですが、3日前の2020年12月21日からまた活動再開が報告されています。今回の話からは逸れてしまうので、詳しく知りたい方は[ こちら ](https://www.jpcert.or.jp/newsflash/2020122201.html)を参照ください。

そんなEmotetと似た、別のマルウェアが流行の兆しを見せています。それが**IcedID**です。
今回は、IcedIDに関する情報を集めてまとめてみたので、是

VPNとアクセスポイントと安全性

## はじめに
アドベントカレンダー最終日となりました。入社一年目の貴志です。何を書こうか迷ったのですが、趣味であさっているセキュリティ記事の１つをざっくり紹介していこうと思います。紹介するのは[Black Hat USA 2020](https://www.blackhat.com/us-20/)でOrange Cyberdefense社が発表した調査レポート ([Virtually Private Networks](https://www.blackhat.com/us-20/briefings/schedule/#virtually-private-networks-20729))です。

今年はコロナ禍ということもありリモートワークとVPNは大活躍だったと思いますが、一方でVPN関連のインシデントも多く報告されています。紹介するレポートからVPNを使っていれば絶対安全というわけではないという１例を知っていただければと思います。

## VPNとは
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaw

WEBアプリケーションの脆弱性まとめ

#SQLインジェクション
**概要**
DBに投げるクエリの中に不正な命令文を注入して、意図しない操作を実行させる攻撃手法。
クエリ中に外部から指定されたパラメータを使用する場合に考慮する必要がある

**被害**
外部から任意のクエリを実行できてしまう状態なため、DBにある情報が漏洩したり改ざんされたりする

**対策**
外部から受け取るパラメータにはサニタイズ（無効化）を施して、意図しないクエリが混入しないようにする

#OSコマンド・インジェクション
**概要**
OSコマンドを実行する部分に不正な文字列を注入して、意図しない操作を実行する攻撃手法。
システムに対して何らかの操作（ファイルの実行とかディレクトリの作成とか）を行う際、コマンドの中に外部から指定されたパラメータを含む場合に考慮する必要がある

**被害**
外部から任意のOSコマンドを実行できてしまう状態なため、乗っ取られたり踏み台に使われたりする

**対策**
外部から受け取るパラメータにはサニタイズを施して、意図しないOSコマンドが混入しないようにする

#パストラバーサル (ディレクトリトラバーサル)
**

イスラエル8200部隊出身のガチプロハッカーに、一流のハッカーになる方法について聞いてみた。

私がインターンで勤めている企業のハッカーは、イスラエル国防軍におけるサイバー攻撃・防御の超精鋭部隊、 **8200部隊出身のガチプロハッカー**です。8200部隊はアメリカのNSAと並んで世界最高のハッキング技術を持つと言われています。高校卒業後に兵役の義務があるイスラエルで、なんと彼は大学の学位を取り終えて、入隊したそう。

そんなスペシャルなハッカーに、東京大学で（一応）コンピュータ関係を専攻する私が、「**一流のハッカーになる方法**」について聞いてみたら面白かったので、本人の許可を得てその邦訳を記事にしてみました。

## イスラエルのハッカーエコシステム

> イスラエルの8200部隊について教えてください。

8200部隊はイスラエル軍における**インテリジェンスユニット**です。詳しい内容は秘密事項でお伝えすることはできませんので、Wikipediaなどを見ていただくのが早いと思います（笑）。主にサイバーセキュリティに関して色々やっています。

> どのような過程を経て入隊したのですか？

イスラエルでは男女ともに兵役の義務があり、高校卒業と同時に入隊します。自分は高校時

証明書について調べる(メモ)

こちらも、雰囲気でなんとなくで理解しているので
深堀りして調べてみる

##まずはじめに
インターネットには、「**4大リスク**」と呼ばれるものがある
→`盗聴、改ざん、なりすまし、事後否認`

それを防ぐためにあるのが、**電子証明書**
現実の世界における運転免許証やパスポートのように
対象を正しく認証・特定する、インターネットにおける身分証明書のようなもの

##証明書とは
電子証明書も、信頼できる機関(＝認証局)が発行することで、
正しく本人を証明することができる。

さらに、期限が切れた証明書や、
内容が古く正確でなくなった証明書を無効にすることもできる

ほぼ現実の免許証やパスポートと同じだ

##SSLサーバー証明書とは
SSLサーバ証明書は、Webサイトの「運営者の実在性を確認」し、
**ブラウザとWebサーバ間で「通信データの暗号化」**を行うための`電子証明書`で、認証局から発行される

SSLサーバ証明書には、
Webサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データなどが含まれる

####SSLとは
SSL(Secure Sockets La

Azure MonitorでECサイトのクレジットカードの大量試行を検知した話

# はじめに
[Azure Advent Calendar 2020](https://qiita.com/advent-calendar/2020/azure) 23日目の記事ということで、[Azure Monitor](https://docs.microsoft.com/ja-jp/azure/azure-monitor/overview)とKustoの話を書きます。
本記事はクレジットカードを取り扱うサイトにおいて、悪用を試験的に検知した話になります。
**悪用対策のベストプラクティスではなく、Azure Monitorでこんなこともできるよ的な内容**になりますので、
その旨ご留意いただければと思います。

また本記事はKusto初学者による試行錯誤が含まれていますので、
同じくこれからKustoにチャレンジされる方はぜひご参考ください。
Kustoに改善点があればご指摘いただけますと幸いです。

### 背景
#### 有効なクレジットカードの当たり判定に悪用されてしまった…
勤め先はWebシステムのパッケージを持ち、カスタマイズして納品するBtoB企業です。
ECサイトの