- 1. セキュリティ基準いろいろ
- 2. SIEM(シーム)とは
- 3. Githubから届いたDeprecation Noticeメールに対応する
- 4. .NET で秘密文字を安全に運用する(Azure Key Vault 編)
- 5. 表層解析入門
- 6. Power BIのWeb公開と抑止
- 7. GitHubの認証方法の新しいビッグウェーブに乗り遅れるな!
- 8. マルウェア研究用データセットEMBER datasetの紹介
- 9. あれ、認証・認可についてちゃんと説明できるっけ。。
- 10. Tor 経由の HTTP 通信を Burp Suite でキャプチャーする手順
- 11. 基本情報技術者 Chapter13~20
- 12. 暗号資産(仮想通貨)取引所にたびたび送られてくる危険なトラップとその対策について
- 13. Cuckoo Sandboxのanti-anti-sandbox処理(2): 解析環境「らしさ」の払拭
- 14. ゼロトラスト設計例
- 15. 謎解きで学ぶ隠ぺいの技術
- 16. 今更かもしれないけどHeartbleedやってみた
- 17. DeepSecurityのサーバ多層防御について
- 18. マルウェア「IcedID」についてまとめてみた
- 19. VPNとアクセスポイントと安全性
- 20. WEBアプリケーションの脆弱性まとめ
セキュリティ基準いろいろ
【企業が準拠しなければならないセキュリティ基準について】
色々なセキュリティサービス/製品を調べていると必ず出てくるセキュリティ基準の単語…。
この基準はつまり何なのか?をかなり簡単にまとめてみました。
※自分で気になったものだけ取り上げております。【今回取り上げるセキュリティ基準一覧】
①ISO 27001
②PCI DSS
③GDPR
④HIPAA・HITECH—————-
①ISO 27001とは?
ISOが定めた、情報セキュリティマネジメントシステム(ISMS)に関する国際規格。・ISMSの確立、実施、維持、継続的な改善
・情報セキュリティのリスクアセスメントおよびリスク対応
を実現するためにこういうことをしていきましょう、という内容が書かれている。■そもそもISOとは?
International Organization for Standardization
国際標準化機構ISOの主な活動は国際的に通用する規格を制定すること。
ISOが定めた規格のことをISO規格と呼ぶ。
国際的な取引をスムーズにするために、何らかの製品やサー
SIEM(シーム)とは
【SIEMとは?】
SIEM:シーム
Security Information and Event Managementの略称。
直訳はセキュリティ情報及びイベント管理となる。セキュリティ機器やネットワーク機器など(スイッチ、ルーター、ファイアウォール、IPS/IDS、DB等)からログを集めて一元管理し、相関分析によってセキュリティインシデントの予兆や痕跡をを自動的に発見するツール。
標的型攻撃に対する有効的なツールとして注目されている。■SIEMの機能
①ログの監視
→ログを収集しすぎるとシステムに負荷がかかったり、適切な解析を行えなくなる恐れがあるため、ログの収集/解析範囲を事前に選定しておく必要がある。②ログの収集と統合
→セキュリティ機器毎に管理画面を開く必要がない。③ログの相関分析
→不正行為と断定しにくい長期的な攻撃でも、様々な要因から総合的に判断をして脅威かどうかの判定をする。④インシデントの集中管理
→ログを一元管理していることで大小問わず、インシデント情報を一気に確認できる。⑤UBA/UEBA機能
UBA/UEBAを搭載したSIEMであれば、
Githubから届いたDeprecation Noticeメールに対応する
メールをチェックしていたら、Githubから以下のようなメールが届いていた。
>
You recently used a password to access the repository at アカウント名/リポジトリ名 with git using git/2.22.0. Basic authentication using a password to Git is deprecated and will soon no longer work. Visit https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information around suggested workarounds and removal dates.ざっくり和訳すると
>
最近[リポジトリ名]にパスワード利用しGitを使用しました。
ベーシック認証は非推奨になり、もうすぐ利用できなくなります。
代替策・利用できなくなる日についてはブログを確認ください。認証
.NET で秘密文字を安全に運用する(Azure Key Vault 編)
[.NET Core で秘密文字を安全に運用する(開発環境編)](https://qiita.com/tnishiki/items/0c3e73ed28a66591d676) の続きです。
開発環境では、UserSecret を用いた秘密文字列の管理方法と、.NET Core でのコード例について紹介しました。今回は、Azure KeyVault を用いた秘密文字列の運用について紹介します。KeyVault だと、Azure のセキュリティ機能を利用した安全な運用ができます。
# 概要
Azure KeyVault で秘密文字を管理するには、まず、キーコンテナを作成し、そこに秘密文字の登録を行います。
その後、.NET コンソールプログラムから秘密文字を取得するサンプルコードを紹介します。Azure Keyvault は、.NET に限らず、Java や Python などからも利用できます。各実装方法については、Microsoft Docs の KeyVault のドキュメントを参照ください。
[Azure KeyVault のドキュメント | Microsoft Do
表層解析入門
# 表層解析
# サマリ(目的/ツール、コマンド類/アウトプットデータ)
– ファイル形式の特定/PPEE(Win)、pestudio(Win)、trid(Win)、file(Linux)/OS、アーキテクチャ
– ハッシュ値の取得/PPEE(Win)、pestudio(Win)、sha1sum(Linux)、ssdeep(Linux)/インジケータ
– 文字列の抽出・難読化検出/Exeinfo PE(Win)、Detect It Easy(Win)、FLOSS(Linux)、strings(Linux)/インジケータ
– PE解析/Resource Hacker(Win)/プログラムの挙動、内蔵されたコンテンツ# 表層解析とは
解析対象となるプログラムを実行せずに情報を得る方法。
ハッシュ値やメタデータなどを取得でき短時間で情報を得られるため初動として表層解析を行い、
詳細な解析を行う上での方向性やインシデントレスポンスとしての一時措置の方針決定などの根拠として活用することができる。# ファイル形式(実行環境OS/アーキテクチャ)の特定
ファイルのヘッダに書き込まれている
Power BIのWeb公開と抑止
## はじめに
Power BIでよいビジュアルができたので、組織内で共有を超えて、Webに公開~と。とても便利でよろしいのですが、組織としてPower BI Serivceを運用していたときに、知らない間で公開しちゃいけないレポートが公開されていた~ なんてことになっては困りますよね。なので、外部Web 公開の制御について、そして合わせて公開方法についても書きたいと思います。### 免責等
「このように設定すべき」等はありませんし、主張するものではありません。各組織の運営に合わせたり、見直しの話し合い材料にしていただければと思います。また、組織の利用で一般資料者の方は、管理者権限がないために、管理者メニューが表示されないということもあります。ご了承を。
個人利用でのPower BI Service利用の場合は、自己の管理方法のご参考にどうぞ。### Web公開は外部への一般公開(Annoymous Access)のこと
通常、ビジュアルはオーサリングツールである、Power BI Desktop作り、発行(Pubish)で、Power BI Serviceに上げます。
GitHubの認証方法の新しいビッグウェーブに乗り遅れるな!
GitHubから何やら物騒なメールが来ました。
#パスワード認証を使っていた僕に来たメール [GitHub] Deprecation Notice
>You recently used a password to access the repository at {自分のリポジトリ名} with git using git/2.24.3 (Apple Git-128).
>Basic authentication using a password to Git is deprecated and will soon no longer work. Visit https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information around suggested workarounds and removal dates.
# 何が問題なのか
[メールに記載のGitHubのブログ記事](https://github.blog/2020-1
マルウェア研究用データセットEMBER datasetの紹介
### マルウェアデータセット
マルウェア解析の研究においてマルウェアデータセットは有用です.マルウェアデータセットは主にマルウェアの研究のために作られたデータ集合です.マルウェアのプログラムやデータそのものを集めたデータセットもあれば,マルウェアの静的解析の結果や動的解析の結果を集めたデータセットもあります.
古くは [1998/1999 DARPA Intrusion Detection Evaluation Dataset](https://www.ll.mit.edu/r-d/datasets) が有名で,このデータセットを題材に,それこそ無数に論文が書かれました.最近では国内では [MWS Datasets](https://www.iwsec.org/mws/2019/about.html) が有名だと思います.海外では [Microsoft Malware Classification Challenge (BIG 2015)](https://www.kaggle.com/c/malware-classification) などがあります.このChallengeの論
あれ、認証・認可についてちゃんと説明できるっけ。。
# はじめに
* なぜこんな記事を書こうと思ったかというと、認証・認可について僕がなあなあになっている気がしたので、改めて自分の中で整理したかった為です。## 認証 (Authentication)
あるウェブサイトにユーザがログインした際に誰なのかを確認することを指します。
本人確認をイメージすると分かりやすいかもです。## 認可 (Authorization)
認証したユーザに対して、リソースのアクセス権限をどこまで与えるか決定することです。## フェデレーテッドログイン
これは、例えばあるサービスがあった場合にそのサービス以外が管理するIDを利用してログインする方法です。# 実装パターン
以下に実装パターンをいくつか紹介しますが、だいたい今はOAuth 2.0かOpenID Connect(別記事で書きます。)ですねw## シングルサインオン
シングルサインオンは、各システム間のアカウント管理を別々に行わず、一度認証したら全システムが全て有効になるような仕組みです。
また、シングルサインオンにはいくつか方法があります。
一つ例にあげるのであれば、あるサービスが
Tor 経由の HTTP 通信を Burp Suite でキャプチャーする手順
# はじめに
2018 年 9 月から 2020 年 8 月まで、週 1 ~ 2 件のペースでウェブサイトの脆弱性を IPA に報告していました。
ただ、今は脆弱性の報告が推奨されない立場となりましたので、備忘録としてウェブサイトの挙動を確認する際に利用していた手順を書きとめておこうと思います。
# 環境
– Windows 10 Version 1909
– Internet Explorer 11[^1]
– Burp Suite Community Edition v1.7.36
– Java SE Runtime Environment 1.8.0_40[^2]
– Tor Browser 10.0.7# 構成
Internet Explorer,Burp Suite,Tor Browser を以下のように接続します。
基本情報技術者 Chapter13~20
セキュリティマネジメントの3要素 機密性 完全性 可用性
システム開発の流れ 企画→要件定義→開発→運用→保守
プロジェクトマネジメント 作業範囲を把握するためのWBS(Work Breakdown Structure)
プログラミング インタプリタ方式とコンパイラ方式
3層クライアントサーバシステムはビジネスロジックに変更があってもサーバ側だけ修正すればいい
オンライントランザクション処理とバッチ処理
暗号資産(仮想通貨)取引所にたびたび送られてくる危険なトラップとその対策について
# はじめに
普段はビットバンクという暗号資産(仮想通貨)取引所にてエンジニアをしています。
会社の技術的な内容やセキュリティの話などについては [ビットバンク株式会社 Advent Calendar 2020](https://qiita.com/advent-calendar/2020/bitbank) にて公開してますのでこちらも合わせて読んでみてください。近年、たびたび情報漏洩が報道されています。
暗号資産(仮想通貨)取引所に勤務している中でもたびたび情報漏洩のリスクをはらんだトラップがたびたび送られてきます。
IT業界に携わる人たちは情報漏洩のリスクをはらんだトラップに引っかからないようにするために取り組んでいる習慣の一例を紹介します。# 結論
**メールでコミニュケーションをとるのはやめましょう!!せめてチャットツールを使いましょう!!**
# メールコミニュケーションの危険性
## コインチェック事件
2018年に暗号資産(仮想通貨)取引所のコインチェックにて580億円相当の[NEM](https://ja.wikipedia.org/wiki/NEM_
Cuckoo Sandboxのanti-anti-sandbox処理(2): 解析環境「らしさ」の払拭
Cuckoo Sandboxのanti-anti-sandbox処理(1)からの引き続きで,Cuckoo Sandboxのanti-anti-sandbox処理(2)です.
Cuckoo Sandboxでは仮想マシン上で動くゲストOSを解析環境として利用します.このゲストOSが仕事用や家庭用などの通常の用途の環境としてあまりに不自然だと,マルウェアは怪しいと気づくかもしれません.たとえば通常の環境では「最近使用したファイル」にファイルがたくさん並んでいて,ここに何もファイルがなかったら怪しいですよね.インストール直後ならいざ知らず,OSを数時間使うだけで,そこにファイルがたまっていくはずです.なお,「最近使用したファイル」は,エクスプローラーを起動すれば何も指示しなくてもウィンドウ内に表示されるので,そこで確認できます.
Cuckoo Sandboxは,おそらく解析環境であると見破られにくくするために,ゲストOSにダミーファイルを作成します.Cuckoo Sandboxのソースツリーのrecentfiles.pyというファイルに書かれたPythonプログラムに,その作成処理が記述さ
ゼロトラスト設計例
###ゼロトラストの設計例
コロナ禍でDXの社会的な期待が増し、セキュリティではzerotrustが次世代の手法として注目されていますが、その設計を具体的にどうすれば良いか?については悩んでいる人が多いと思います。
ここではその設計例を公開します。#####【目次】
1. “セキュリティ”が経営に及ぼす影響
2. 設計
1)手法の選択
2)機能別設計
3. 期待される効果#####<リンク>
#####<抜粋>
[$],__$:++$,$_$_:(![]+””)[$],_$_:++$,$_$$:({}+””)[$],$$_$:($[$]+””)[$],_$$:++$,$$$_:(!””+””)[
今更かもしれないけどHeartbleedやってみた
はじめに
—
こんにちは、株式会社シーエー・アドバンス技術統括本部の@sk888です。
普段はWEBサイトやスマートフォンアプリの脆弱性診断業務をしています。タイトルの通り今更なんですが、まぁ、今日でHeartbleed童貞を卒業したいと思います。
脆弱性を含んだWEBサーバーを立ててhttpsのポートに対してPoCを実施します。Heartbleedとは
—
ウィキペディアのページ
>このバグはTransport Layer Security(TLS)のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった[13][14] 。このバグは生存確認信号(Heartbeat)の発信毎に、アプリケーションメモリーを64キロバイトずつ露出する可能性があった[14]。このバグは不適切なハートビート要求をサーバーに送信し、サーバーが返信する際に実行される。サーバーは通常は受け取った情報と同じ大きさのデータのバッファー(塊)を返信するが、バグにより境界検査が欠けていたので、バグがあるバージョンのOpenSSLはハートビート要求の大きさの妥当性を確認しない。その結果、攻撃者
DeepSecurityのサーバ多層防御について
今年も[PayPayの不正アクセス](https://paypay.ne.jp/notice/20201207/02/)などの、セキュリティインシデントがありました。今年の年末年始も安心して過ごせるようセキュリティネタで行かせていただきます。AWS MarketPlaceで提供されている[Trend Micro Cloud One Workload Security(C1WS)](https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html)(旧Trend Minro DeepSecurity as a Service(DSaaS))について調べたのでまとめました。本記事ではDeepSecurityの名称で記載させていただきます。
# DeepSecurityとは
– DeepSecurityはTrendMicroが提供してる、サーバで多層防御を実現するセキュリティ製品# DeepSecurityの構成
24日目の記事です。
初投稿ですがよろしくお願いします。# 目次
1.はじめに
2.IcedIDって?
3.Emotetとの違い
4.参考情報
5.おわりに# 1.はじめに
近年Emotetと呼ばれるマルウェアの流行を耳にしたことがある人は多いかと思います。
2019年9月ごろから活動が活発化し、以降2020年2月ごろまで活動が見られ、その後また同年7月ごろから10月末ごろまで活動していました。
近頃は活動が落ち着いていたのですが、3日前の2020年12月21日からまた活動再開が報告されています。今回の話からは逸れてしまうので、詳しく知りたい方は[ こちら ](https://www.jpcert.or.jp/newsflash/2020122201.html)を参照ください。そんなEmotetと似た、別のマルウェアが流行の兆しを見せています。それが**IcedID**です。
今回は、IcedIDに関する情報を集めてまとめてみたので、是
VPNとアクセスポイントと安全性
## はじめに
アドベントカレンダー最終日となりました。入社一年目の貴志です。何を書こうか迷ったのですが、趣味であさっているセキュリティ記事の1つをざっくり紹介していこうと思います。紹介するのは[Black Hat USA 2020](https://www.blackhat.com/us-20/)でOrange Cyberdefense社が発表した調査レポート ([Virtually Private Networks](https://www.blackhat.com/us-20/briefings/schedule/#virtually-private-networks-20729))です。今年はコロナ禍ということもありリモートワークとVPNは大活躍だったと思いますが、一方でVPN関連のインシデントも多く報告されています。紹介するレポートからVPNを使っていれば絶対安全というわけではないという1例を知っていただければと思います。
## VPNとは
を施して、意図しないクエリが混入しないようにする#OSコマンド・インジェクション
**概要**
OSコマンドを実行する部分に不正な文字列を注入して、意図しない操作を実行する攻撃手法。
システムに対して何らかの操作(ファイルの実行とかディレクトリの作成とか)を行う際、コマンドの中に外部から指定されたパラメータを含む場合に考慮する必要がある**被害**
外部から任意のOSコマンドを実行できてしまう状態なため、乗っ取られたり踏み台に使われたりする**対策**
外部から受け取るパラメータにはサニタイズを施して、意図しないOSコマンドが混入しないようにする#パストラバーサル (ディレクトリトラバーサル)
**
