今さら聞けないセキュリティ　2021年05月29日 │ f@ctor

1. GIAC(GCFA) 合格するための勉強法と有用性
2. セキュリティの情報収集のために、日本語で提供されていて、巡回すると便利っぽいサイト
3. 3分で読める最新脆弱性～VMware vCenter Server～
4. TomcatのClickjacking対策について
5. 3分で読める最新脆弱性～Apple M1 chip～(M1RACLE)
6. 【動画あり】Metasploitで脆弱性をついてサーバを乗っ取る
7. 【動画あり】ダークウェブに安全に潜入してみた
8. DNS rebinding attack とは？
9. (初心者向け) AWSのアカウントを守るために最低限やっておきたいことまとめ ( IAMメイン )
10. SECCON Beginners CTF 2021(#ctf4b) writeup
11. x86でstagerを利用し、shellcode注入の準備をする
12. 防衛省の新型コロナウイルスワクチン接種予約システムの問題を解決するには
13. 色々なセキュリティベンダの概要を調べてみた
14. 個人情報の保護ってなにをすればいいの？
15. NISTサイバーセキュリティフレームワークに対応するソリューションを考えてみた
16. PythonでのIPアドレスの取扱いについて
17. セキュリティに関する組織・団体等の一覧
18. Web Audio APIを使ったブラウザフィンガープリント手法の紹介
19. サイバーリスクの削減 – 脅威の管理 – 在宅勤務組織のセキュリティを確保する
20. セキュリティに関する法令・ガイドライン等の一覧

GIAC(GCFA) 合格するための勉強法と有用性

#GIAC（Global Information Assurance Certification）とは
GIACは、国際的に有名な情報セキュリティ分野の教育機関である**[SANS Institute](https://www.sans-japan.jp/about)が発行している情報セキュリティ資格**の総称です。資格保有者はSANSの公式サイト上で[合格者一覧](https://www.giac.org/certified-professionals/directory/search)として氏名が掲示されます。

GIACと**他資格との大きな違いはPC操作を伴うハンズオンの多さ**にあり、試験でも実機操作の伴う問題が出題されます。本を読んだだけでは合格するのが難しい資格といえます。このため、特に海外では、**実用的なスキルを持っているという証明**として役立ちます。

かつ、**GIAC認定は[4年で期限切れ](https://www.sans-japan.jp/giac/renewal)**します。**継続にはトレーニングの受講や試験の再受講が必要**となっており、資格取得後も

元記事を表示

セキュリティの情報収集のために、日本語で提供されていて、巡回すると便利っぽいサイト

# 「セキュリティ関連情報」の提供サイト

会社のCSIRTの活動の中で、インシデント対応でない通常時の「セキュリティ関連情報の提供」があります。

【参考資料：CSIRTガイド：JPCERT/CC 2015/11/26】P23 [表 5.3-1 サービスリストの例]に「事前対応型サービス」の記載あり

https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf

定期的に以下のサイトを巡回しておいて、優先順位付けして社内関係各所にお知らせしておくと、それっぽい感じになるので、自分のメモとして残しておきます。

## 公的(準公的)機関
「セキュリティ関連情報」を提供している日本の公的機関と準公的機関。
並び順は適当です。

### NISC : 内閣サイバーセキュリティセンター

https://www.nisc.go.jp/

+ 最初のページに「What’s New」として、時系列に表示されているので見易い
+ ほとんどの情報がPDFで提供されているので保存も簡単

### IPA : 独立行政

元記事を表示

3分で読める最新脆弱性～VMware vCenter Server～

#はじめに
VMware vCenter Server上で動作する脆弱性について紹介する記事です。
詳細は記事内のリンクをご参照ください。

#目次
1．概要
2．原理
3．攻撃例
4．対策

#概要
VMware vCenter Serverに対して、リモートアクセスで無制限の特権を持つコマンドの実行が可能。

公開日：2020/05/25
影響範囲：VMware vCenter Server/VMware Cloud Foundation
リスク指標([VULDB](https://vuldb.com/?id.175807))(2021/5/28現在)
　　CVSS：7.3
　　CWE：[CWE-287](https://vuldb.com/?vulnerability_cwe.175850)(Improper Authentication)
脆弱性情報
　　CVE：[CVE-2021-21985](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985)
　　VULDB：[VDB-175850](https:/

元記事を表示

TomcatのClickjacking対策について

# TomcatのClickjacking対策

## 0.背景

近年、Webサイトへのサーバー攻撃が続いて増加傾向にあり。
その一つ-「clickjacking」の対策方法について紹介させていただきます。

## 1.clickjackingとは

ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。

## 2.TomcatはX-Frame-Optionsの設定で対応する

### 2.1　X-Frame-Optionsとは

X-Frame-Options は HTTP のレスポンスヘッダーで、ブラウザーがページを ``, ``,` <embed>`, `<object>` の中に表示することを許可するかどうかを示すために使用されます。サイトはコンテンツが他のサイトに埋め込まれないよう保証することで、クリックジャッキング</p></blockquote> </blockquote> <aside class='widget widget-post'> <div class='tag-cloud-link'>Tomcat</div> <div class='tag-cloud-link'>セキュリティ</div> <div class='tag-cloud-link'>clickjacking</div> </aside> <div><a style='width:100%;' class='btn__link' href='https://qiita.com/LiPing/items/a3ab93fea90a8691c7d0'>元記事を表示</a></div> <h3 id="outline__5"><a href='https://qiita.com/reacon4234/items/14fa7e313eef91510c1e'>3分で読める最新脆弱性～Apple M1 chip～(M1RACLE)</a></h3> <blockquote><p>#はじめに<br /> AppleのM1chip上で動作する脆弱性**M1RACLE**について解説する記事です。<br /> 詳細は記事内のリンクをご参照ください。</p> <p>#目次<br /> 1．概要<br /> 2．原理<br /> 3．攻撃例<br /> 4．対策</p> <p>#M1RACLESの概要<br /> Apple Silicon “M1” chipの欠陥により、OS下で動作する2つのアプリケーション間で密かにデータを交換可能。<br /> 交換には、メモリ・ソケット・ファイルといった通常使用される機能を使用しない。<br /> 異なるユーザーのプロセス間で、異なる特権レベルで動作する。</p> <p>公開日：2021/05/26<br /> 影響範囲：全てのM1 chipユーザー(A14 bionic chipも可能性あり)<br /> リスク指標([VULDB](https://vuldb.com/?id.175807))(2021/5/27 12:00現在)<br /> 　　CVSS：8.8<br /> 　　CWE：CWE-264(Permissions, Privileges, and Access Controls)<br /> 脆弱性情報<br /> 　　CVE：[CVE-2021-30747](https://cve.mitre.org/cgi-bin/c</p></blockquote> </blockquote> <aside class='widget widget-post'> <div class='tag-cloud-link'>apple</div> <div class='tag-cloud-link'>セキュリティ</div> <div class='tag-cloud-link'>脆弱性</div> <div class='tag-cloud-link'>M1</div> </aside> <div><a style='width:100%;' class='btn__link' href='https://qiita.com/reacon4234/items/14fa7e313eef91510c1e'>元記事を表示</a></div> <h3 id="outline__6"><a href='https://qiita.com/zukizukizukizuki/items/39a6ecd74ddb99308912'>【動画あり】Metasploitで脆弱性をついてサーバを乗っ取る</a></h3> <blockquote><p>#youtubeに動画あります</p> <div class="youtube"><iframe title="【悪用厳禁！】Metasploitでサーバを乗っ取る【ハッキング講座】【ハッカー】【エンジニア】【linux】【情報処理安全確保支援士】" src="https://www.youtube.com/embed/Us6eQ4kse6g?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen>

![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/924512/4d09c072-a335-207f-f7fd-c263204636a4.png)

元記事を表示

【動画あり】ダークウェブに安全に潜入してみた

###※youtube動画でも解説してます

—
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/924512/3594d8b8-7b01-04fc-694a-844065c38905.png)

元記事を表示

DNS rebinding attack とは？

## 勉強前イメージ

DNSの応答を利用して、その人になりすます的な攻撃？

## 調査

### DNS rebinding attack とは

DNSを使用して同一生成元ポリシーを回避して、重要な情報など取得する攻撃である
`同一生成元ポリシー` というのは `あるオリジンで読み込まれたリソースが異なるオリジン(クロスオリジン)のリソースへの通信・アクセスに制約をかけるもの` で、
要するに、 `DNSを使用して別のオリジンにデータを送信してデータを取得する` 攻撃です。

### 例

例としては、
フィッシングメールなどで被害者に偽サイトに誘導、偽サイトに悪意のあるスクリプトを設置しておいて
再度アクセスさせるとDNSが別IPを返し、そのサイトで入力された情報を悪意のあるサイトへ送信する方法である。

図としては以下になります。
ここでは、偽サイトと本物サイトを例としてますが、全部がそうじゃないと思います。

まず登場人物のご紹介

– 被害者 : データを盗まれる被害者
– 偽サイト : 偽サイト.com で、IPは a.a.a.a
– 本物サイト : 本物サイト.com

元記事を表示

(初心者向け) AWSのアカウントを守るために最低限やっておきたいことまとめ ( IAMメイン )

## はじめに
これまで業務でAWSを触る機会もあったのですが、1からアカウントを運用するなどは経験がなく基本的な部分が抜けているなと感じたので、自身の知識の確認も含めて、AWSアカウントを安全に利用するためのセキュリティの基礎中の基礎をまとめてみました。

## 対象読者
* AWSアカウントを開設してばかりの方
* AWS IAMの設定内容に自信がない方
* IAM ベストプラクティスで推奨されている内容をさくっと確認したい方

## AWSにおけるセキュリティの考え方
AWSはさまざまな便利なサービスをクラウドサービスとして提供してくれていますが、クラウドサービスだからといってセキュリティのあらゆる部分をAWSが担保してくれるわけではありません。

セキュリティに関してAWSがどの範囲は責任を持ってくれるのか、また利用者側がどの範囲のセキュリティを検討しなくてはいけないのかは[「責任共有モデル」](https://aws.amazon.com/jp/compliance/shared-responsibility-model/)という形で明示されています。

https:/

元記事を表示

SECCON Beginners CTF 2021(#ctf4b) writeup

# SECCON Beginners CTF 2021(#ctf4b) writeup

結果はこんな感じでした

“`txt
チーム名: SatoHack365
順位: 144
チームで解けた問題数: 13
チームで解けたスコア: 1110
自分が解けた問題数(メンバーが先に解いたものを含む): 8
自分が解けた問題のスコア: 575
“`

去年は出てませんが，一昨年は 0 完だったので結構成長していました．

## crypto

### simple_RSA (75 pt)

受け取ったファイルを見ると公開鍵`e`が 3 と，ものすごく小さいです(一般的には 65537 など)．Low Public Exponent Attack ができます．

“`python
import sys
import gmpy2

def long_to_bytes(x):
return x.to_bytes((x.bit_length() + 7) // 8, ‘big’)

def low_public_exponent_attack(c, e, n=0):
while

元記事を表示

x86でstagerを利用し、shellcode注入の準備をする

#stagerとは
shellcodeを組み立てる際、NULLバイトやスペース、改行が使用できない場合や、shellcodeの大きさに制限がある場合があります。
その際にstagerが役立ちます。
stagerは、shellcodeを受信できるコンパクトなコードです。stagerを対象のプログラム上で起動させてから、shellcodeを送り込むことになります。

#ターゲット
今回は以下のコードをターゲットにします。

“`C:target.c
#include

void input()
{
int a = 0x33333333;
int b = 0x44444444;
char user[8] = “”;
char pass[8] = “”;

printf(“user and pass\n”);

scanf(“%s”, user);
// scanf(“%s”, pass);
}

int main()
{
input();

元記事を表示

防衛省の新型コロナウイルスワクチン接種予約システムの問題を解決するには

#問題点
さんざん報道されている問題なので、今さらどういう問題なのかここで説明する必要もないと思います。誕生日をチェックしていないとか市町村コードのチェックすらしていないとかいろいろ問題はありますが、一番の問題点は存在しない接種券番号で予約ができることです。

なぜ接種券番号のチェックをやらないかと言うと、接種券番号は各市区町村で管理していて防衛省のシステムにはその情報が含まれていないからです。

接種券番号を各市区町村で管理するのは何故かというと、マイナンバーの利用が間に合いそうになかったからそうするしか方法がなかったのだと思われますが、市区町村が主体で接種をすすめる限りは特に問題ない制度でした。

しかし４月に突然、菅首相が自衛隊に大規模接種会場を運営させると言い出したことで状況が変わってしまいます。二重に摂取することを防ぐためには市区町村が発行した接種券を利用するしかありませんが、各市区町村が管理している接種券のデータを防衛省が集めるのは様々な問題があるからです。

#ダメな擁護論
– 期間がない中で接種数を増やすにはこの方法しかなかった

→ 不正予約が多ければ、接種数を増や

元記事を表示

色々なセキュリティベンダの概要を調べてみた

# 1. 要約
– 日本国内で事業を行っている色々なセキュリティベンダの企業概要を調べてみました。
– 詳細は以下の分類で記事を作成しており、本記事はそれらの記事へのリンクのみとなります。

# 2. 各記事へのリンク
https://qiita.com/taka0189469/private/662089176f86078f765b

https://qiita.com/taka0189469/private/2d313231f5dce598b34d

https://qiita.com/taka0189469/private/20e6b5fdc0cb6d32eefc

https://qiita.com/taka0189469/private/9c49af8fb7182952f0ad

# 3. 更新履歴
– 2021/5/17：初版投稿（記事の整理のため）

元記事を表示

個人情報の保護ってなにをすればいいの？

# はじめに

個人情報保護という単語はよく聞くけど、具体的に何が個人情報として扱いとなるのかが分からない。メールアドレスって個人情報なの？よく、「個人情報保護大丈夫？」といわれるけど、具体的に何をすればいいの？この疑問について、Webサイトの開発者側の視点で調べてみました。

# 個人情報として保護の対象となるもの

「個人情報」として扱うものの定義です。一言でいうと「特定の個人を識別できるもの」なのですが、例えば「メールアドレス」はどうでしょうか。「abcd01234@…」のように意味を持たない文字列のメールアドレスは個人情報とは言えませんが、「氏名@会社名」のように「どこどこの会社の〇〇さん」といったことが推測できるものは「個人情報」として扱われます。同様に、留守番電話の音声でも、「特徴のある声で、聞くだけで特定の個人を推測できる」ものは個人情報として扱われます。一般的に特定のサイトのIDなどは個人情報ではありませんが、Twitterのように投稿内容によって個人が特定できるものであれば、そのIDは個人情報として扱われます。

「同じ情報でも個人情報として扱われるものと、

元記事を表示

NISTサイバーセキュリティフレームワークに対応するソリューションを考えてみた

# 1. 要約
– NISTのサイバーセキュリティフレームワーク（以下、CSF）で定義されている機能・カテゴリに対応するソリューションを考えてみました。
– 本記事の内容は随時更新していきます。

# 2. CFSとは
https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework

# 3. 識別（IDENTIFY）
|カテゴリ|サブカテゴリ|ソリューション|具体例|
|-|-|-|-|
|資産管理|自組織内の物理デバイスとシステムが、目録作成されている。|資産管理ツール|SKYSEA Client View|
|〃|自組織内のソフトウェアプラットフォームとアプリケーションが、目録作成されている。|資産管理ツール|SKYSEA Client View|
|〃|組織内の通信とデータフロー図が、作成されている。|ネットワーク可視化ツール|RedSeal|
|〃|外部情報システムが、カタログ作成されている。|CASB|Microsoft Cloud App Security|
|〃|リソース（例:ハードウェア、デバイス、データ、

元記事を表示

PythonでのIPアドレスの取扱いについて

#はじめに
IPアドレスの8進数の不適切な検証の脆弱性(CVE-2021-28918)がPythonのipaddressモジュール影響あるということで、ipaddressにおけるIPアドレスの取扱いを調べた。
また、ドット区切りIPアドレスからドット区切りなしIPアドレスへの変換を行う関数を作成した。

#ipaddressモジュールにおけるIPアドレスの扱い
以下のように、ipaddressモジュールがインポートされていることを前提とします。

“`python
>>> import ipaddress
“`
例として、ローカルループバックアドレス(127.0.0.1)を用います。

##ドット区切りIPアドレスにおける8進数の扱い
先頭の0は単に除外される

“`python
>>> ipaddress.IPv4Address(‘127.0.0.01’)
IPv4Address(‘127.0.0.1’)
“`

3桁を超えるとエラーになる（この例はChromeなどでは「88.0.0.1」に変換される。）

“`python
>>> ipaddress.IPv4Addres

元記事を表示

セキュリティに関する組織・団体等の一覧

# 1. 要約
– 情報セキュリティ、サイバーセキュリティに関する組織・団体等の一覧です。（一般的な企業は除く）
– おまけも少し含みます。
– 本記事の内容は随時更新していきます。

# 2. 日本
### 2-1. 政府・行政
– [NISC（内閣官房）](https://www.nisc.go.jp/)
– [IPA（経済産業省）](https://www.ipa.go.jp/)

### 2-2. その他
– [JPCERT/CC](https://www.jpcert.or.jp/profile.html)
– [JIPDEC](https://www.jipdec.or.jp/)
– [JSA](https://www.jsa.or.jp/)
– [JNSA](https://www.jnsa.org/)
– [日本シーサート協議会](https://www.nca.gr.jp/)

# 3. 世界
### 3-1. 政府・行政
– [NIST](https://www.nist.gov/)

### 3-2. その他
日本に支部等を構えている組織・団体等についてはそのUR

元記事を表示

Web Audio APIを使ったブラウザフィンガープリント手法の紹介

[Web Audio API](https://developer.mozilla.org/ja/docs/Web/API/Web_Audio_API)というAPIがあります。
[RFC](https://www.w3.org/TR/webaudio/) / [日本語訳](https://g200kg.github.io/web-audio-api-ja/index.html)

ざっくり言うと、ブラウザで音を作ったり出したりできるAPIです。

RFCの時点で[フィンガープリントの懸念が大量に書かれてる](https://www.w3.org/TR/webaudio/#priv-sec)という有様ですが、実際に実用レベルでブラウザフィンガープリントしている例が存在しました。
[FingerprintJS](https://fingerprintjs.com/)という、そのまんまな名前のライブラリです。

以下は同ライブラリのブログより、[How the Web Audio API is used for browser fingerprinting](https://fingerpr

元記事を表示

サイバーリスクの削減 – 脅威の管理 – 在宅勤務組織のセキュリティを確保する

#シナリオ
シナリオ
世界的なパンデミックの影響で、全社員が在宅勤務に切り替えざるを得ない状況になっています。現在、多くの従業員が企業ネットワークではなくホームネットワークで仕事をしているため、データの安全性に不安を感じています。さらに、従業員の仕事の習慣が変わったため、通常とは異なるログイン時間に関するアラートなど、以前に設定したアラートが常に発火しています。このような新しい状況に合わせて、組織のセキュリティポリシーとプラクティスを再調整する必要があります。

#Splunkがどのように役立つか
Splunkソフトウェアを使用して新しいベースラインを作成し、そのデータを使用して在宅勤務に適した新しいアラート、監視、レポートを確立することができます。
#必要なものはなに？
このユースケースをうまく実装するには、以下の人的・システム的な準備が必要になります。
##人:
このユースケースを導入するのに最適なのは、リモートワーカーを抱える組織のセキュリティ監視に精通したセキュリティアーキテクトやセキュリティアナリストです。このような方は、みなさんのチームや、あるいは Splunk の[パ

元記事を表示

セキュリティに関する法令・ガイドライン等の一覧

# 1. 要約
– 情報セキュリティ、サイバーセキュリティに関する法令・ガイドライン等の一覧です。（認証制度、レギュレーション等を含む）
– おまけも少し含みます。
– 本記事の内容は随時更新していきます。

# 2. 日本
### 2-1. 法令等
– [個人情報保護法](https://www.ppc.go.jp/)
– マイナンバー法（番号法）
– 金融商品取引法（J-SOX法）
– サイバーセキュリティ基本法
– 不正アクセス禁止法

### 2-2. ガイドライン等
– [PMS（JIPDEC）](https://privacymark.jp/index.html)
– [FISC安全対策基準（FISC）](https://www.fisc.or.jp/publication/pubcat/sm/)
– [政府統一基準（NISC）](https://qiita.com/taka0189469/items/5454c9252cd84143e2de)
– [サイバーセキュリティ経営ガイドライン（経済産業省、IPA）](https://www.meti.go.jp/policy/n