今さら聞けないセキュリティ　2021年12月20日

GNFA受験記

#はじめに
GNFA（GIAC Network Forensic Analyst）は、ネットワークフォレンジックの資格です。
この資格について日本語で書かれた記事は少ないので、私が受験した際の勉強法について記載します。

#GNFAについて
GREMは50問出題され、制限時間は2時間です。ほとんどの問題は4択です。（一部2択、3択もあります）
合格ラインは70%の正答率です。
ただし、受験前日に公式サイトを確認したところ、110問、3時間の試験に変わっていました。
私が受験した際には50問、2時間でしたので、申し込み時点の内容になるようです。

試験の内容は以下と公式サイトに記載されています。

Common Network Protocols
Encryption and Encoding
NetFlow Analysis and Attack Visualization
Network Analysis Tool and Usage
Network Architecture
Network Protocol Reverse Engineering
Open Source Netwo

Alibaba Cloudハードウェアセキュリティモジュールについて

# ハードウェアセキュリティモジュールとは
Hardware Security Module(HSM)とは、暗号化や暗号鍵の管理などをデバイス側が備えたものです。
主に国際規格のFIPS/CommonCriteria/JCMVPなどの認定を取得しているデバイスを指します。
規格のレベルなどによって保証されるセキュリティ水準は異なります。
AzureではDedicated HSM、AWSではCloudHSMというサービス名で提供されています。

# Data Encryption Serviceとは
Data Encryption Serviceとは、Alibaba Cloudが提供しているクラウドホスト型HSMサービスです。

# 概要
Data Encryption Serviceの機能や特徴、価格などについて説明します。

## 機能
Data Encryption Serviceが提供する機能として、次の7つが挙げられます。

* キーのライフサイクルの管理
* 複数のキータイプをサポート
* データの暗号化と復号化に対称鍵と非対称鍵をサポート
* 複数のダイジェストアルゴリズム

Dockerのセキュリティにおける10のベストプラクティス

2021の12月も、後半。1年があっという間。週末六本木ヒルズを通ったら、すごい人出であった。
この2年、コロナの収束とはいかず、
コロナの名が、Covid-19→デルタ→オミクロンと、徐々にとマーベル・コミックのヴィラン名の番付けのように凶暴化しているのが気になる今日このごろ。この先、ずっとワクチンを打ち続けなければならないのか？という疑問もある。

感染予防対策とセキュリティ対策の共通なのは、一人一人の基本的な対策なしには成り立たないという部分があげられ。
どこまでやればいいかという部分が悩ましいところですよね。

今日は、
デベロッパなら避けてとおれないDockerのセキュリティについて、SnykのBlogからお届けしたいと思います。

###序章
https://snyk.io/blog/10-docker-image-security-best-practices/
クラウドネイティブセキュリティ | DEVSECOPS | オープンソース
Dockerのセキュリティにおける10のベストプラクティス

Liran Tal（リラン・タル）、Omer Levi Hevroni（

マルウェアのアンパックについて

Windowsマルウェアを対象とする。
#パックされているかの確認
###Detect It Easyで確認
下の方にパッカーなどの情報が表示される。
###pestudioのfunctionsの部分を確認
functionsの数が少ないとパックされている可能性がある。
###pestudioのsectionsの部分を確認
![スクリーンショット 2021-12-19 14.15.49.png](https://

Webアプリケーションのセキュリティで気をつけること

社内で使われている問い合わせシステム(チャットボットと有人チャット)を開発しています。
私の会社では外に公開するシステムは基本的に脆弱性診断を受けてリリースする必要があります。
全システムで基本的に対応すべき項目に今回のリリースするシステムの事情を交えた対応方法と、
脆弱性診断で指摘もらった項目を失敗談交えて晒そうと思います。

# 基本的なこと

[Webアプリケーションのおすすめセキュリティ設定](https://qiita.com/fukushi_yoshikazu/items/1a746fc8c8663be18bf9)が参考になります。
上記の記事から今回のリリースしたシステムの事情に合わせて補足的に解説します。

## X-Frame-Optionsヘッダ（XFO）

ブラウザがiframeなどをページ内部に表示することを許可するかの設定です。
基本的に `X-Frame-Options DENY` ヘッダをつければ問題ありません。

ただ、今回は別のサイトに埋め込み可能なサービスであるという要件でした。(別のシステム内にiframeで埋め込んだり、ライブラリを提供して別シス

標的型攻撃メールについて

# はじめに
最近色々あり身近に感じている標的型攻撃メールについて改めて調べてみたのでここに記録します。

# 標的型攻撃メール

> 標的型攻撃メールとは、不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことなどを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールのことです。従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業もそのターゲットとなっています。
引用元：[標的型攻撃への対策 – 総務省](https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/05.html)

年々、その手口や技術も高度化しているとのことです、
そのため、ある程度のセキュリティへの意識がある人であればまだしもそうでない人だと引っかかってしまうこともあります。（自分もその中の一人）

## 想定される被害
標的型攻撃メールに添付されているファイルの開封や添付のリンクを開いた場合以下の

もうメンテされてないライブラリに最新のlog4jを強制する方法

# 問題
直接的にlog4jを利用している場合は、更新 or logbackへの移行 を行えばよい
しかし、脆弱なlog4jへの依存があるライブラリは、ライブラリ側の更新を待つ必要がある
そして、ある程度の規模のライブラリでも、結構な確率でメンテされておらず更新が見込めない

# 対処
“`gradle:build.gradle
ext[“log4j2.version”] = “2.17.0”
“`
外部から最新バージョンの使用を強制するため動作は保証されないが、脆弱なまま放置するよりはマシである

脆弱なlog4jへの依存を1コマンドで把握する

# log4shellについて
– [Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた](https://piyolog.hatenadiary.jp/entry/2021/12/13/045541)

# 問題
log4jの対応を行う上での最大の問題は、膨大な依存の中から完全に取り除く必要がある点である
直接的にlog4jを利用している場合は、更新 or logbackへの移行 を行えばよい
しかし、外部ライブラリやフレームワークが利用している場合は、そもそも依存の把握自体が困難になる

# 対処
## 方法1 gradale dependencies
gradleの`dependencies` タスクを利用する
現時点の全ての依存のリストを出力することができる
ただ、単純な依存ツリーを吐き出しているだけなので、ある程度の規模のアプリケーションでは数万行になる
そのため、特定のバージョンのライブラリを取り除く目的にはあまり適していない

## 方法2 OWASP dependency check
OWASP(Open Web Application Secur

標的型攻撃メールに引っかかってしまった件について

# はじめに
題名にある通り、私は業務中***【標的型攻撃メール】***に引っかかってしまいました。
ここでは、何故引っかかってしまったのか？その後の対応はどうするべきだったのか？私の様々なミスを元に振り返りをしたいと思います。

「普通に考えれば、怪しいだろ！」「こんなの引っかかるのか」と思う方もいるかと思いますし、自分の失敗を公開することはとても恥ずかしいですが一人でも自分と同じような失敗をしないで欲しいです。

また、やってしまったことは変えられないので、振り返りと再発防止を意識していきたいと思います。

# 経緯
## メール受信〜開くまで
業務中、1つのメールが届きました。
内容はしっかり覚えていないですが、***「ネットワークのメンテナンスするから、以下のスケジュールで使えなくなるよー」***といったものだったと思います。。

それ以外の情報は以下の通りです。

・アドレスは初めてみるようなもの
・宛先は社員全員ではなく、私個人あて
・スケジュールの詳細は、メール本文ではなくリンク先に記載

この時点で、多くの方から見ればどうみても怪しいと思い無視すると思います。
私も最初

プライバシを保護しながら糖尿病罹患リスクを正確に予測する！〜匿名ヘルスケアデータコンテストPWSCup2021参加記〜

# はじめに

NTTドコモクロステック開発部の長谷川です。

この記事はNTTドコモ [R&D AdventCalendar2021](https://qiita.com/advent-calendar/2021/nttdocomo) 18日目の記事です。

本稿では、個人情報の匿名加工コンペティションであるPWSCup2021における取り組みについて紹介します。

PWSCupへのNTTドコモからの参加は今回で二回目になります。
本稿の執筆者とは異なる参加メンバーですが、前回の参加の様子は[昨年のアドベントカレンダー](https://qiita.com/dcm_gentaro/items/d253a301c4493418fc2c)にて記載しておりますので、ご興味がありましたら併せてご覧ください。

なお、本コンペティションはテーマに相応しく匿名での参加が可能になっています。我々のチームも「**匿工野郎Aチーム**」というチーム名で参戦しておりましたが、以降本稿では割り当てられたチーム番号を用いて、自チームを**チーム05**と呼称します。

#

Request Highlighterを使って目を労ろう

これはシーエー・アドバンス Advent Calendar 2021 18日目の記事です。
17日目の記事は @fukushi_yoshikazu さんの [エンジニアが詐欺サイトに引っかかるまで](https://qiita.com/fukushi_yoshikazu/items/547453b07924a5bd2a90) でした。
明日の記事は @arakawa_moriyuki さんです。

こんにちは！
シーエー・アドバンス（CAAD）技術統括本部セキュリティチームの @inahuku_shingo です。
昨日の @fukushi_yoshikazu さんの記事は、誰もがうっかり引っかかってしまいそうな出来事を注意喚起させてくれるいい記事でしたね！
まだ読んでいない方はぜひ読んでみてください！

# 目がつらい…
さっそくですが、みなさん脆弱性診断でつらいことはなにかご存知ですか？

それは目の疲れです。

今回はそれをちょっと軽減できる（かもしれない）Tipsをご紹介します。
脆弱性診断を開始してまずやることの一つは、BurpSuiteというツールを使って診断対象の通信（

【初心者】0から調べてOWASP ZAPを使ってみた。

0から調べてOWASP ZAPを使ってみた時の手順書を投稿します。
「OWASP ZAPとは」と調べるところから行いました。
#本記事の環境
Windows 10
OWASP ZAP(ZAP_2_7_0_windows.exe)
Firefox 66
Java SE 12
脆弱性診断の対象サイト
※興味本位でサイトを攻撃しないようにしてください。

#OWASP ZAPとは
無料で脆弱性診断を行うことができるWebアプリケーションセキュリティスキャナ。
オワスプ ザップと読む。
https://www.zaproxy.org/

#OWASP ZAPのインストール手順
* OWASP ZAPのインストーラーをダウンロードする。
https://github.com/zaproxy/zaproxy/wiki/Downloads
※ZAP_2_7_0_windows.exe等

* ダウンロードしたインストーラーを実行する。
※「インストール4jウィザードは、システム上にJava(TM)ランタイム環境を
　　　見つけることができませんでした。適切な64-bitのJREを検索して

大学で企業のセキュリティの研究をやってた話

「Applibot Advent Calendar 2021」 17日目の記事になります。
前日は @MuuSan さんの[チームビルディングはぬるくない](https://qiita.com/MuuSan/items/81f379a8a2506522a4d2)という記事でした!

# 1. はじめに
皆様こんにちは。アプリボットのサーバサイドエンジニアをやっているノディです！
気づけば12月、新たな環境に身を置き、日々様々なインプット・アウトプットに取り組んでいます。
今年のアドカレでは、昨年までの整理という意味を込め、**大学でついこの前の3月まで取り組んでいた研究** について書きます。

どんな研究をしていたかを掘り下げて詳細に書こうと思いましたが、今回は研究内容だけでなく、研究の中で作ったプログラムや環境についても簡単に触れてみようと思います。
研究の詳しい内容については、末尾にあるリンクから論文を読んでもらうか直接アタックしに来てください！

# 2. 研究の概要
## 背景
大学の研究室では**『企業のセキュリティ』** という、今の仕事であるIT業界に近しい分野に関わ

エンジニアが詐欺サイトに引っかかるまで

# はじめに
本記事はWeb開発エンジニアの私が詐欺サイトに引っかかるまでの経緯を赤裸々にノンフィクションで解説していきたいと思います。

## 10月下旬
11月末に控えた妻の誕生日に生まれ年のワインをプレゼントしようとググってみると良さげなサイトを発見:bulb: → https://love-wine.jp/vintage/
※安心してください。まだ詐欺サイトではなく優良なサイトです:wine_glass:

このサイトで味もラベルも好きそうなドンピシャなワインを見つけるも既に「**終売**」:sob::sob::sob:
諦めきれずに他のワイン販売サイトで同じ銘柄を探すも「**在庫なし**」:cry:

## 11月上旬
少し時間を置き、再度ワイン探しの旅を開始 :mag_right:
すると、なんとお目当てのワインを発見 :heart:

:::note alert
:warning: :skull: ↓実際の詐欺サイトです↓ :warning: :skull:
パスワード管理どうればいいの？ ~令和最新版~

　　　画像: [パスワード－もっと強くキミを守りたい－ IPA情報処理推進機構](https://www.ipa.go.jp/security/keihatsu/munekyun-pw/sp/slideshow/index.html
)

この記事は [**NTTコムウェア Advent Calendar 2021**](https://qiita.com/advent-calendar/2021/nttcomware) 16日目の記事です。
コムウェアでは**セキュリティコンテストの問題作成**, QA, PO, SMなどをしてました。

## はじめに
突然ですが、正しくパスワード管理できますか？
「雰囲気でやってる」、「なかなか時間が無くて…」

そんな貴方に朗報です。実はパスワード管理を安全＆超絶簡単にする方法があるんです！
今回は具体的な方法を分かりやすく解説していきたいと思います。

## 対象読者
– 紙やメモ帳でパスワード管理をしている人
– パスワードを使い回している人

LFIとディレクトリトラバーサルの違い

##概要
以前、「LFI（ローカルファイルインクルード）」と「ディレクトリトラバーサル」の違いが分からなくなったことがあったので、その時に調べたものを共有したいと思います。
phpのソースコードを実際に見ながら、何が違うのかを見てみましょう。
本記事は教育目的で書かれています。許可を得ていない対象へのハッキングは犯罪です。

####参考

ソースコードは主に以下のサイトから引用しています。

https://medium.com/@Aptive/local-file-inclusion-lfi-web-application-penetration-testing-cc9dc8dd3601

https://www.neuralegion.com/blog/directory-traversal-attack/

##用語解説

**LFI（ローカルファイルインクルード）**：ローカルファイルインクルードはWebアプリにおける脆弱性で、本来閲覧権限のないサーバー内のファイルを読み込んだり、実行したりすることが可能です。

**ディレク

SPAでのバックエンド認証用トークンの管理方法に関する考察

Single Page Application (SPA) から呼び出すバックエンドAPIの認証トークンの管理方法について、Web上の文献やライブラリの実装を調査して、自分の考えを整理した。

### 前提

* 本記事はSPAにおいてバックエンド認証に使うトークンの管理方法（典型的にはLocal Storageに保管してよいか？Cookieを使うべきか？など）についての考察となる。認証トークンの仕組み（ステートフル vs ステートレス）については言及していない。
* ブラウザにはAndroidのKeyStoreのような仕組み（暗号化され、取得時に端末の認証が必要となるストレージ）がないという批判があるが、これも考慮から外している。（つまり、システム管理者やPCの共同利用者がCookie/Local Storageを参照して…というリスクについては考えていない。）

### 考察

* まず、そもそもの原因となるXSS脆弱性への対策が最も重要、というのは間違いない。
* XSS脆弱性によりアプリケーションのコンテキストでブラウザにコード実行させることができれば、認証トークンの管理方法

IDS,IPSについて

IDS,IPSとは？？
1.IDS,IPSの違い
2.IDS,IPSの検知方法
3 IDS・IPSの監視方法
4 IDS・IPSとファイアウォール・WAFの違いは？
5 IDS・IPSが検知・防御できる攻撃
6 IDS・IPSが検知・防御しにくい攻撃
7 IDS・IPSのメリット
8 IDS・IPS製品の選定ポイント
9 まとめ

1. IDS,IPSの違い

IDSとは・・・不正侵入の検知
IPSとは・・・不正侵入の防御

2. IDS,IPSの検知方法

主にシグネチャ型とアノマリ型がある。

シグネチャ型・・・ブラックリスト方式
誤検知は少ないが、未登録パターンの不正アクセスも通してしまう。

アノマリ型・・・ホワイトリスト方式
正常なパターンをあらかじめ登録し、パターンと異なる通信をすべて検知する。

3. IDS,IPSの監視方法

検知対象となる場所は主に以下二つに分けられる。
a.ネットワーク型
b.ホスト型

a. ネットワーク型

・NIDS,NIPSとも呼ばれる

OpenChain Security Assurance Reference Guide

こんにちは！
3日連続で登場のENDOです。

今週はセキュリティやツールに関するトピックスをご紹介していますが、
本日はOpenChainが今年の夏に[リリース](https://www.openchainproject.org/featured/2021/08/12/openchain-iso-5230-security-assurance-reference-guide-now-available)したSecurity Assurance Reference Guideについて紹介させて頂きます。

#Security Assurance Reference Guideって？
2021年8月にOpenchainのSpecification WGが[リリース](https://github.com/OpenChain-Project/SecurityAssuranceGuide/tree/main/Guide/1.0)した組織がOSSのセキュリティを確保するためのガイドラインです。
このガイドラインはISOとなっているOpenChainの標準そのものに含まれるものではありませんが、

Sigmaルールのすすめ

自組織で検知能力を上げる方法の一つとして、ログ監視を行っている機器に検知ルールを実装する方法があります。しかしながら、検知ルールの作成は攻撃の検証や過剰検知がないか確認する必要があり、いくつものルールを作成しようと思うと大変です。ネットワークトラフィックではSnort、ファイルではYaraといったルールがありますが、最近ではログファイルに対しても実装することが多いと思います。
ログファイルを対象としているルールとしてSigmaルールがあり、今回はSigmaルールについて自分の知識の整理するためにもこちらの記事に記載しています。

何か誤りがありましたら、Twitterやコメントで教えてもらえると助かります。
また、何か追加で分かったことがあれば、こちらの記事に記載していこうと思います。

#1.Sigmaルールとは
Sigmaルールとはログファイルに対する汎用的なシグネチャフォーマットです。
ログファイルを対象にしていることから主にログファイルを集約している製品で利用することが多いと思います。Sigmaルールでサポートされている機器は以下となります。

＜サポートされている製品＞

+