今さら聞けないセキュリティ　2021年06月03日

ログインしている自分or自OS（Windows資格情報）でのみ暗号化・復号できる・・・ProtectedDataクラス（.NET標準提供）

# この記事で知れること

ログインしている Windows ユーザーまたはコンピューターの資格情報を用いて暗号化・復号する
[System.Security.Cryptography.ProtectedData](https://docs.microsoft.com/ja-jp/dotnet/api/system.security.cryptography.protecteddata) クラスという存在、および使用法がわかると思います。

# 環境

.NET Framework 2.0以降 （古くからあるのですね）、.NET Core 1.0以降（Windowsのみ）
要参照設定 : System.Security.dll

Visual Studio 2019 (16.9.4) で実験しました

# 説明

Microsoft Docs の説明
> このクラスは、Windows オペレーティングシステムで使用可能なデータ保護 API ( [DPAPI](https://ja.wikipedia.org/wiki/DPAPI) ) へのアクセスを提供します。 これはオペレーティング

小さな会社のバックオフィス担当者のためのセキュリティ対策

弊社内でも急速に広まったテレワークという働き方はGoodだなと思う反面、
セキュリティという面から見ると「色々と手間が増えるなあ」と思うことも多いです。

実際に運用してみていろいろな課題もぽつぽつ出てきたところでしたが相談する相手もおらず、
一人唸っていたとき、中小企業庁からのアンケートに答えていたらこんな物を見つけました。

[リーフレット「テレワークのセキュリティ あんしん無料相談窓口」](https://www.lac.co.jp/telework/pdf/telework_security.pdf)

普通こうしたコンサルティングには当然フィーが必要ですし、思っている以上に高いものです。
でもこれは中小企業庁が費用負担してくれているのでなんと無料。大変オトクなサービスです。

## 質問内容

弊社には社内システムを専門にするエンジニアはおりません。バックオフィスを担当する私が基本的なことからお伺いしたいと思いました。

>現在PCを社員に貸与してテレワークを行っています。自宅にインターネット環境がない社員にはWi-Fiルーターを貸与しています。IT資産管理システム等は導

SNSの言語行為

昔パソコンのないころ、意思の伝達は身近な人たちの会話で成り立っていた。それは今でもそうだ。でも今はSNSなどのサービスが登場し、多くの人がコミュニケーションを書き込むようになった。
そして徐々に人々の関係がデータ化されている。

SNSを使うとき、もはやそれはその場にいる人のための情報ではない。それはすべて書き込まれ、データとして残り、莫大な情報資産がAIを使って個人の思想や購買履歴などと結び付けられ、誰にどのような広告を見せるか競売にかけられる。会話は最早金儲けの道具になっているのだ。

たしかに日常会話なら誰でも聞かれては困らないと思って使っているのかもしれないけど、韓国やアメリカにとっては違うかもしれない。例えばアメリカが嫌いだといえばその個人を特定して反米勢力というレッテルを貼り付けたいと思うかもしれない。

そうなると会話をしている本人がどう思っているかとは関係なく、第3者がそれを判断することになる。（でも本人はそのことはわからない）そして日常生活に影響が出てくる可能性がある。

例えばLINEは暗号化されているからみんなが安心して話ができると思っていたのに、それが韓国の情報

非エンジニアのウェブ・セキュリティ基礎試験（徳丸試験）受験記

2021年5月30日、[ウェブ・セキュリティ基礎試験（通称：徳丸基礎試験）](https://www.phpexam.jp/tokumarubasic/)に合格しました。
受験の動機や勉強方法を記録しておきたいと思います。
これから当試験を受験する方の参考になれば幸いです。

## プロフィール
– ニックネーム：とみー
– 職業：IT営業（代理店営業）
– 年齢：27歳
– 保有資格：
– 情報セキュリティマネジメント
– CompTIA CySA+
– 開発経験
– 独学
– 掲示板サイトが作れる程度

## 受験のきっかけ

– きっかけその1：webアプリケーション脆弱性の理解度向上のため
– きっかけその2：CTFのWeb問対策のため
– きっかけその3：エンジニアとのコミュニケーションのため

試験を受ける過程でWebアプリケーション脆弱性の理解を深められると思いましたので本資格を取得することに決めました。
結果的に知識の整理と理解に役に立ったと思います。

きっかけその2とその3についてはそのままの意図となります。
Webアプリケ

3分で読める最新脆弱性～Bluetooth～

#はじめに
ANSSI(仏国家情報システムセキュリティ庁)の研究者らによって指摘されたBluetooth上のいくつかの脆弱性について解説する記事です。
詳細は記事内のリンクをご参照ください。

#目次
1．概要
2．原理
3．攻撃例
4．対策

#概要
今回判明した脆弱性はBluetoothのCore SpecificationとMesh Profileに関連する脆弱性で、ペアリング時にMITM攻撃や不正な認証が行われる可能性があります。

公開日：2021-05-24(CERT/CC)
影響範囲：「Core Specification 5.2」「Mesh Profile 1.0.1」をサポートする全てのデバイス
リスク指標([VULDB](https://vuldb.com))(2021/05/30現在)
　　CVSS：3.1-3.9
　　CWE：[CWE-287](https://cwe.mitre.org/data/definitions/287.html)(Improper Authentication)
　　 　[CWE-290](https://cwe.mitre.o

サイバー攻撃についてまとめてみた

#はじめに
最近勉強していてふと、「あれ、ただ機能をつくるだけじゃなくてサイバー攻撃についても知識も学ばないと企業に大損害与えるエンジニアになってしまうのでは？」と不安になりました。今回は、世の中のサイバー攻撃についてまとめていきます

#サイバー攻撃の目的
そもそも、サイバー攻撃ってなんのためにやるんでしょうか？暇つぶし？利益の強奪？
理由については、様々ありますが主なものとして金銭の要求が挙げられます。例えば、不正アクセスで個人情報やクレジットカードの番号を盗み取ったり、あるいは盗んだ機密情報で金銭の要求をしたりする事例があります。他にも、不満を持つ企業や組織が運営するシステムにダメージを与えて、損害を発生させることを目的としたサイバー攻撃もあるみたいです。本当に厄介ですが、エンジニアたるものこうした悪とも戦わないといけません！

#サイバー攻撃の種類

それでは、実際にどんな攻撃があって、現実にどんなことが起きたのかみていきましょう

##マルウェア
マルウェアは、コンピュータやネットワークに被害を与えることを目的に作られた不正なソフトウェアの**総称**です。有名なもので言えば

kaliでDVWAを使いたい(ハッキングラボの構築で詰まったところ)

kaliでDVWAを使いたい！
現在セキュリティについて勉強しており、とりあえずハッキングラボの作り方という本を進めていますが、その中でWebアプリのハッキングを体験するという章があります。
その章でDVWAという脆弱性のある練習用で使われるらしいアプリを使うのですが導入がうまくいきませんでした。
導入や使ってみた的な記事は見つかったのですがこのトラブルに対してはなにもなかったので参考になれば

#何が起きたのか
DVWAアクセスしたときの画面が白くてログインできない

#version
kali-linux-2020.4
php 7.3.28
mysql Ver 15.1 Distrib 10.3.24-MariaDB

#解決策
本内では
‘http://localhost/DVWA-master/login.php’
にアクセスとなっていますがここで’login.php’ではなく’setup.php’にアクセスしてみました。

#別の問題
‘Database Setup’画面で’Create/Reset Database’ボタンを押すとメッセージが出るとありましたが、ここもうまく

GIAC(GCFA) 合格するための勉強法と有用性

#GIAC（Global Information Assurance Certification）とは
GIACは、国際的に有名な情報セキュリティ分野の教育機関である**[SANS Institute](https://www.sans-japan.jp/about)が発行している情報セキュリティ資格**の総称です。資格保有者はSANSの公式サイト上で[合格者一覧](https://www.giac.org/certified-professionals/directory/search)として氏名が掲示されます。

GIACと**他資格との大きな違いはPC操作を伴うハンズオンの多さ**にあり、試験でも実機操作の伴う問題が出題されます。本を読んだだけでは合格するのが難しい資格といえます。このため、特に海外では、**実用的なスキルを持っているという証明**として役立ちます。

かつ、**GIAC認定は[4年で期限切れ](https://www.sans-japan.jp/giac/renewal)**します。**継続にはトレーニングの受講や試験の再受講が必要**となっており、資格取得後も

セキュリティの情報収集のために、日本語で提供されていて、巡回すると便利っぽいサイト

# 「セキュリティ関連情報」の提供サイト

会社のCSIRTの活動の中で、インシデント対応でない通常時の「セキュリティ関連情報の提供」があります。

【参考資料：CSIRTガイド：JPCERT/CC 2015/11/26】P23 [表 5.3-1 サービスリストの例]に「事前対応型サービス」の記載あり

https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf

定期的に以下のサイトを巡回しておいて、優先順位付けして社内関係各所にお知らせしておくと、それっぽい感じになるので、自分のメモとして残しておきます。

## 公的(準公的)機関
「セキュリティ関連情報」を提供している日本の公的機関と準公的機関。
並び順は適当です。

### NISC : 内閣サイバーセキュリティセンター

https://www.nisc.go.jp/

+ 最初のページに「What’s New」として、時系列に表示されているので見易い
+ ほとんどの情報がPDFで提供されているので保存も簡単

### IPA : 独立行政

3分で読める最新脆弱性～VMware vCenter Server～

#はじめに
VMware vCenter Server上で動作する脆弱性について紹介する記事です。
詳細は記事内のリンクをご参照ください。

#目次
1．概要
2．原理
3．攻撃例
4．対策

#概要
VMware vCenter Serverに対して、リモートアクセスで無制限の特権を持つコマンドの実行が可能。

公開日：2020/05/25
影響範囲：VMware vCenter Server/VMware Cloud Foundation
リスク指標([VULDB](https://vuldb.com))(2021/5/28現在)
　　CVSS：7.3
　　CWE：[CWE-287](https://vuldb.com/?vulnerability_cwe.175850)(Improper Authentication)
脆弱性情報
　　CVE：[CVE-2021-21985](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21985)
　　VULDB：[VDB-175850](https://vuldb.com/

TomcatのClickjacking対策について

# TomcatのClickjacking対策

## 0.背景

近年、Webサイトへのサーバー攻撃が続いて増加傾向にあり。
その一つ-「clickjacking」の対策方法について紹介させていただきます。

## 1.clickjackingとは

ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・ 偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。

## 2.TomcatはX-Frame-Optionsの設定で対応する

### 2.1　X-Frame-Optionsとは

X-Frame-Options は HTTP のレスポンスヘッダーで、ブラウザーがページを ``, `