今さら聞けないセキュリティ　2021年12月30日

<初心日記>セキュリティコンテストについて勉強したこと、、、

セキュリティコンテスト参加の為に勉強したこと

こんにちは。Uriです。
今回は、セキュリティコンテストに参加するために、
僕が勉強したことをまとめてみます。。。

やったこと一覧

1. セキュリティコンテストってなに？
2. セキュリティの知識を付けよう
3. 基本的なIT知識をつけなきゃいけない
4. 過去問題を解いてみよう

1．セキュリティコンテストってなに？

まず、セキュリティコンテストってどんなことするの？という疑問についてです。
以下の本を購入して読んでみました。

最新版Log4j 2.17.1ではCVE-2021-44832のリモートコード実行が修正されています

本記事は2021年12月28日（米国時間）に公開した英語ブログ[New Log4j 2.17.1 fixes CVE-2021-44832 remote code execution but it’s not as bad as it sounds](https://snyk.io/blog/new-log4j-2-17-1-fixes-cve-2021-44832-remote-code-execution-but-its-not-as-bad-as-it-sounds/)の日本語版です。


[事前の予測通り](https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/)、2021年12月28日19時35分頃（GTM/グリニ

Webシステムのセキュリティについて

Webシステムがどんどん発達していくのに伴ってセキュリティ対策の重要性も高まっています。
情報セキュリティの基礎となる用語をまとめました。

#情報セキュリティ

`機密性`・・・第三者がアクセスできないような状態を確保すること
`完全性`・・・情報が改ざんされていない状態を確保すること
`可用性`・・・情報のアクセスを認められたものがいつでも情報にアクセスできる状態を確保すること

上記三つの要素を維持すること

#悪意を持った第三者による攻撃例
###パスワードクラッキング　
####1. 辞書攻撃
よくパスワードとして使われる単語をまとめたリストを用いて順にログインしてパスワードを当てる手法
####2. ブルートフォース攻撃
パスワードに組み合わせられる文字列を全てのパターンを試してパスワードを当てる手法

—

###Dos（Denial of service）攻撃
####1. SYN Flood攻撃
大量のSYNパケットをWebサーバーに送り付け、Webサーバーが新しいユーザーの接続に対応できなくする攻撃

####2. F5攻撃
大量のWebページの再読み込みリク

大量のログを調査したい際に使えるSOF-ELK

#SOF-ELKとは
SANSのトレーニングで使用されているログ調査ツールです。 ElasticsearchやKibanaを使用したログ調査ツールで、通常は非常に大変な設定が予め行われており、一般的なログであればすぐに調査することが可能です。

https://www.sans.org/tools/sof-elk/
https://github.com/philhagen/sof-elk

#使い方

以下からVMをダウンロードして起動します。
http://for572.com/sof-elk-vm

起動したマシンの/logstash/ 以下のディレクトリにログファイルをコピーするだけです。
コピーすることで自動的にデータベースに追加されます。

あとはブラウザでhttp://\:5601にアクセスし、以下の画面上部のDashboardをクリック
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/549537/5a55a1a4-c053-50b5-3374-c13f1c3f5ac

StackOverflowからのコピペをやめろ。今すぐにだ。

**Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f**

その昔[コピペできない文章](https://nlab.itmedia.co.jp/nl/articles/1204/24/news103.html)というものがありました。
実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。

さて、最近になって[似たような攻撃に関する論文が公開されました](https://arxiv.org/abs/2111.00169)。
人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。

ただ[論文](https://trojansource.codes/trojan-source.pdf)は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。
平易に解説している記

フィッシングEメールはどう防ぐべきか

[BBC](https://www.bbc.com/news/technology-52319093)によると、Googleはおおよそ1800万ものCOVID-19に関連したフィッシングEメール毎日がGmailユーザーに送られているようだ．またGoogleは1日あたりやく1億件ものフィッシングEメールをブロックしていると報告している．Eメールを利用するにあたってフィッシングEメールを目にするのは止むを得ないことである．基本的にはプロバイダーによるアルゴリズムによってそのようなEメールはブロックされるか，スパムフォルダーにストアされることになるが，それでもそのEメールを受け取ること自体を防ぎたいというのはある程度共通の意見なのではないだろうか．そこで今回はそれをどう防ぐかについて少しお話ししたいと思う．

1. ___フィッシングEメールを受け取る前___
1. ___自身のEメールの扱い___
2. ___捨てアカウント___
3. ___センダーをブロック___
2. ___フィッシングEメールを受け取った後___
1. ___返信しない___

脆弱性対応の確認方法

# はじめに
サーバーの運用管理を行っている場合、サーバーやソフトウェアの脆弱性情報を受信し対応を行うと思います。その際、どのように対応すればよいかコマンドを含めまとめます。
基本的には、各組織において対応ポリシーがあると思いますが、ある程度容易かつスピード感を維持できる対応方法を記載します。
厳密に行うのであれば、脆弱性のターゲットとなっているモジュールやライブラリが使われているか詳細に確認するべきですが、開発元への確認や詳細な調査に時間がかかります。

#0.実行環境

“`shell:console
[marseille@hogehoge ~]$ hostnamectl
Static hostname: hogehoge
Icon name: computer-vm
Chassis: vm
Machine ID: ********************************
Boot ID: ********************************
Virtualizati

【機械学習】フィッシングメール傾向分析

#初めに

どうも、クソ雑魚のなんちゃてエンジニアです。

本記事はコロナ禍になり急激に増えていたフィッシング詐欺に着目し、
今後のフィッシングメールの増加傾向を機械学習を用いて予測してみようといった記事である。

昨今のフィッシングメールの詳細な傾向については過去記事の以下のものを参考にしてほしい。
※今回は１フィッシングメールに着目するというより、大局的に世の中でどのようにフィッシングの傾向があるのか分析する。

###簡単★フィッシングサイト構築

https://qiita.com/schectman-hell/items/cc165faef707aec1a934

###フィッシング詐欺を様々なWebサイトを用いて見破る方法

https://qiita.com/schectman-hell/items/8bb1b750f78d71f38a02

#目次
+ 調査するためのデータ源
+ 使用する機械学習
+ Prophet
+ 環境構築
+ Pythonコード
+ 実行結果
+ 手順
+ 結果
+ まとめ

#調査するためのデータ源
今回調査するた

Pythonで学ぶサイバーセキュリティプログラミング

# はじめに
Python Advent Calendar 2021 25日目:christmas_tree:です。

機械学習でデファクトスタンダードとなっているPythonは、セキュリティとも相性が良くスクリプトなどで使用されてハッカー達に好まれています。

本記事は[ペネトレーションテスト](https://ja.wikipedia.org/wiki/%E3%83%9A%E3%83%8D%E3%83%88%E3%83%AC%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%86%E3%82%B9%E3%83%88)など、ユーティリティとして使うための方法を踏まえて、ソケット通信の仕組みについて解説しています。

Pythonのバージョンは3.9.4を使用。

## ソケット通信の仕組み
[ソケット](https://ja.wikipedia.org/wiki/%E3%82%BD%E3%82%B1%E3%83%83%E3%83%88_(BSD))は、コンピュータがOSを介してネットワーク通信を行うために標準化された仕組みです。

ソケットの仕組みを

セキュリティを学びたくてCTFに入門した話


こちらは[READYFOR Advent Calendar 2021](https://qiita.com/advent-calendar/2021/readyfor)の24日目の記事です。

こんにちは、READYFORエンジニアの@s-moriです。
自分史上、例を見ないラッコブームの到来により、頻繁にラッコの動画を探してはぼーっと眺めて癒される日々を送った年でした。

さてさて本編ですが、「セキュリティ意識大事ですね」と頭では認識しつつ、「何からやろうかな」となったことはないでしょうか。
自分はそのタイプで、徳丸先生の書籍をはじめとするセキュリティ関連の書籍（属性的にWeb寄りの）を読んだりしたものの、いまいち上手く活用できていない感がありました。
書籍に書いてあることは攻撃手法の一部であり、応用した攻撃や、掲

AWSで考えるクラウドセキュリティ　マルチアカウントを運用せよ

# はじめに
この記事は、[Supershipグループ Advent Calendar 2021](https://qiita.com/advent-calendar/2021/supership)の24日目の記事になります。

組織がスケールするにあたり、アジリティを下げずにセキュリティを高めていくためには、正しいクラウド戦略が必要です。

本記事はクラウドインフラ（AWS）でセキュリティを実現するための考え方や、マルチアカウントの運用方法について記載しています。

前半は**Cloud Center of Excellence**（以下、CCoE）の観点から、セキュリティ・ガバナンスを実現するために、フレームワークの考え方や、ガードレールなどクラウドにおけるセキュリティ対策の考え方について記載していきます。

後半はセキュリティ・ガバナンスの実装方法として、**AWS Control Tower**を軸に、関連するAWSサービスの概要やポイントについて解説しています。

※CCoEについては以前書いた[Cloud Center of Excellenceとは何か](https:/

あなたのサーバは大丈夫？Vulsで脆弱性スキャンしてみる

この記事は[NTTコムウェア Advent Calendar 2021](https://qiita.com/advent-calendar/2021/nttcomware) 24日目の記事です。

## はじめに
皆さん、「バルス」という言葉を聞いたら、某アニメ映画で登場する滅びの呪文を連想する人も多いのではないでしょうか？
この記事ではバルスを紹介したいと思います！

と言っても紹介するのは勿論アニメではなく、脆弱性スキャンツールの「Vuls(バルス)」です。

Vulsはオープンソースソフトウェアの脆弱性スキャンツールで、GitHub上で公開されています。
Vulsを導入することで、UbuntuやDebian、CentOSなどのサーバOSの脆弱性関連情報を収集でき、IPAからも脆弱性対策に有効なツールとして紹介されています。

今回はVulsの導入方法を仮想マシンでの検証を交えつつ紹介します。

## 環境情報
今回の検証用に作成した仮想環境の情報を記載します。
![NW構成図](https://qiita-image-store.s3.ap-northeast-1.amazon

ポートフォリオを公開してたらサイバー攻撃された話 〜Laravelで多重送信対策をしよう〜

## 初めに

去年の今頃、私は未経験からサーバーサイドエンジニアを目指して転職活動をしていて、
Laravel6系で開発したポートフォリオをインターネット上に公開していました。

実装のツメが甘い部分もあり、いろんなイタズラをされては対策して..を繰り返していましたが、
ある日容赦ないサイバー攻撃をくらってしまい、サーバーが死にかけるという経験をしたので
今回はそんな当時の出来事と、どう対策したかを記事にしてみようと思います?

現在 転職活動でポートフォリオを作成されている方や、プログラミング学習中の方のご参考になれば幸いです?

## 最初はまだイタズラレベルだった..

当時開発していたポートフォリオは、朝活をテーマにしたSNSアプリでした。
twitterみたいに、ユーザーが投稿できる機能があります。

![スクリーンショット 2021-01-15 22.59.37.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/613419/87067860-

話題のLog4ShellのPOCをサラッと試してみた

はじめに
—
こんにちは、株式会社シーエー・アドバンス技術統括本部の@sk888です。

今回はこのところ巷を騒がせているLog4Shellの脆弱性についてPoCを試してみた記事になります。
下記の記事を参考に脆弱性を含んだアプリケーションに対してPoCを実施します。

[Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package]
(https://www.lunasec.io/docs/blog/log4j-zero-day/)

Log4Shellとは
—
JPCERTページでは下記の通り解説されています。
[Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起]
(https://www.jpcert.or.jp/at/2021/at210050.html)
>JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があります。Apache Log

Log4Shellデモ（実証〜検出〜修正）を公開しました

#Log4Shellデモ（実証〜検出〜修正）
世間を騒がせている重大な脆弱性Log4Shellを、実際に体験して、修正するところまでを見ることができる動画を公開しました。ぜひご覧ください。

#参考リンク
* [記事『Log4Shellの脆弱性が公開されました：Version 2.17.0にアップデートしてLog4j RCEを防ぐ』] (https://qiita.com/SnykSec/items/fccc10bd25cd5de0b56f)
* [Proof of Concept 用アプリ

よく使う正規表現メモ

#これは何？
個人的によく使う正規表現のメモです。主にgrepで使います。必要に応じてsortやuniqなどと組み合わせて使います。

#正規表現の基本

| 正規表現 | 意味 |
|:-:|:-|
| [0-9] | 0から9までの数字1文字を示す |
| [A-z] | Aからzまでの英字1文字を示す。大文字小文字両方が対象 |
| [A-Z] | AからZまでの英字1文字を示す。大文字のみ。 |
| [a-z] | AからZまでの英字1文字を示す。小文字のみ。|
| . | 任意の1文字を示す。記号も含まれる。 |
| + | 直前に記載された文字の1回以上の繰り返し |
| ? | 直前に記載された文字の0回または1回の繰り返し |
| {n} | 直前に記載された文字または正規表現のn回の繰り返し |
| {1,3} | 直前に記載された文字または正規表現の1～3回の繰り返し |
| * | 直前に記載された文字の0回以上の繰り返し |
| []の中の^ | 直後の1文字または正規表現の否定。 |
| ^ | 直後の1文字または正規表

情報セキュリティマネジメント試験に合格した勉強方法

2021年7月に情報セキュリティマネジメント試験に
合格しました。

その時の勉強方法を書いていこうと思います。

#情報セキュリティマネジメント試験とは
IPA(独立行政法人情報処理推進機構)が実施している国家資格です。
平成28年4月から実施しているので新しい資格です。

最近ニュースで見ることも多いサイバー攻撃や内部不正を防止する
セキュリティマネジメント人材を増やすことが目的のようです。

#試験形式
試験は午前と午後に分かれています。
午前試験は90分で四択問題50問、
午後試験は90分で大問3題です。

午後の大問は1つの文章に関して10問前後の
選択問題が出る形式です。

また午前試験、午後試験となっていますが、
別日に申し込むこともできます。

#合格基準点と合格率
合格基準点は60点と公表されています。
合格率は50％前後ということで、
合格率20～30％の基本情報技術者試験などと比べると
易しい試験です。

#なぜ受験しようと思ったのか
IPAの資格で基本情報技術者試験は取得していたので、
次の資格ということで受験しようと思いました。

また仕事で画面の開発もするの

書籍『セキュリティエンジニアのための機械学習』の紹介

この記事は[EAGLYS Advent Calendar 2021](https://qiita.com/advent-calendar/2021/eaglys_adcal)の22日目の記事です．

書評するコーナーをやってみます．

今回は第３回です．

# 何をするのか

格子暗号に秘密計算・機械学習って最近の話題を色々紹介しているけど，なんか良い本ないの？という要望に応える企画です．
ちなみに暗号全般や暗号で使われる数学関連の書籍は，[「プログラマブルブートストラップの原著論文を理解する回」を理解する回](https://qiita.com/0917laplace/items/679fa72d44bf02b4e17c#%E5%8F%82%E8%80%83%E6%96%87%E7%8C%AE)という記事で紹介しているので，そちらをご参照ください．

全３回に渡って，主に３冊を取り上げて紹介します．今回は第３回目で最終回です．

１冊目：[縫田 光司，『耐量子計算機暗号』，森北出版，2020](https://www.morikita.co.jp/books/mid/087211)

正規表現をフリーズさせないために

本記事では、正規表現が極端なパフォーマンスの悪化を招く例について扱い、その背景や対策を紹介します。
対象の読者として、基本的な正規表現の記法や用途を把握している方を想定しています。また、アルゴリズムの計算量について概要レベルの理解があると望ましいです。

この記事は正規表現一般について扱うものですが、記事中の例としては JavaScript の正規表現を用います。
JavaScript では、 `/` と `/` で囲うことで正規表現を記述します。
ブラウザで Ctrl + Shift + i キーを押して Console タブを開くことで正規表現を手元で実行できますが、数秒間やそれ以上の間処理が返らないようなコードも記載しているため、十分にご注意ください。

## 処理が終わらない正規表現
複雑な文字列操作を行いたいとき、簡単に書き上げることができる正規表現は非常に重宝するものですね。
専用のパーサを用意しなければならないほど複雑な解析を要する文字列処理というのはほとんどないか、またはそのためのライブラリが提供されているので[^dedicated-lib]、私たちは文字列の中身を検

SnykではじめるDevSecOps

# はじめに
[Snyk](https://snyk.io)はコードベースを軸にオープンソースの依存関係、コンテナ、インフラストラクチャ等の脆弱性を検出し、自動的な修正を可能とするセキュリティプラットフォームです。

ソフトウェア開発ライフサイクル（SDLC）に従って、開発者のセキュリティ対策を支援します。

また、Snykは米国に本社を置き、ロンドンを拠点としたユニコーン企業です。
世界中で2,700万人以上の開発者がSnykのツールを使用し、IPOも間近と噂されています。

開発者として初めてSnykを利用する場合、GitHubまたは、Googleアカウントを利用したフェデレーションのサインインにより、簡単に始めることができます。また、SSOにも対応しています。

本記事では、DevSecOpsを踏まえて、Snykの基本的な使い方などについて解説しています。

## DevSecOps
DevSecOpsは、DevOpsのカルチャーにセキュリティを融合したDevOpsのアプローチです。

DevOpsのカルチャーに対して、最初からセキュリティ対策を組み込み、ワークフローの速度が低下