今さら聞けないセキュリティ　2022年01月04日

Snyk Open Sourceの2021年振り返りと2022年への抱負

本記事は、2021年12月21日に公開した英語ブログ[Snyk Open Source in 2021: A year of innovation](https://snyk.io/blog/snyk-open-source-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Open Sourceについて、2021年の製品アップデートのまとめと、2022年の方向性についての話になります。

![logo-solid-backgroun

ハニーポット とは

## 勉強前イメージ

聞いたことないかも・・・
なんのこと？

## 調査

### ハニーポット とは

蜂蜜の入った壺という意味で、
セキュリティの分野で攻撃者が何を狙ってるのかなどを確認するために
設計されたシステムのことを指します。
ハニーポットは通常主要な本番環境から切り離されており、
データやシステムに対して危険がないように罠を仕掛けておびき寄せます。

### ハニーポットの種類

ハニーポットにはいくつか種類があって、以下3点とされています。

– 低対話型ハニーポット

実際のアプリケーションは使用せずに、エミュレートしたシステムを用意し
そのシステムで監視を行います。
そのシステムの行動範囲が制限されるためリスクが減らせますが、
リアルな攻撃ではないため、得られる情報は少ない可能性があります。

– 高対話型ハニーポット

OSやアプリケーションは実際のものを使用して脆弱性はそのままにし、
攻撃を待つタイプのものです。
実際のアプリケーションを使用するのでリアルな攻撃対象であることがメリットですが
攻撃された際に他の箇所に影響を及ぼさないようにしないといけないので

【2021秋期】情報処理安全確保支援士　受験者視点の新規問題【午前Ⅱ】

# はじめに
– 筆者は受験時点で新卒１年目で主にWeb業界のエンジニアをやっており、特にセキュリティの実務経験などは全くありません。
– 2021秋期の情報処理安全確保支援士試験にギリギリ合格しました。
– 本記事では午前Ⅱの新規問題に焦点をあてて所感を述べます。
– 過去問は[こちら](https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03.html)
からアクセスできます。本記事の問題画像は上のページの問題からの引用です。
– 情報処理安全確保支援士ドットコムの[このページ](https://www.sc-siken.com/kakomon/03_aki/)で新規かどうかを確認しています。正確に新規かどうかの裏付けを確認をしておりませんので、本記事を引用するときなどは自己責任でお願いいたします。

# 問題一覧
– 1,2,3,4,9,11,17,18,20,21,22,23,25 (13/25)
– 半分くらいが新規/他分野からの問題って感じでしょうか。6割を安定して解くためには、過去問に出た

量子コンピュータでRSAを解くのに必要な物は？

# はじめに
量子コンピュータで、Shorのアルゴリズムを用いると、RSAの離散対数問題を位数推定という方法で求解できるのでは？というテーマはこちらで扱いました。

https://qiita.com/tarutaru000/items/bc299d14609d4470b04e

一方で、Shorのアルゴリズムは、
「理想的な量子コンピュータなら～～」のLong-termと呼ばれる部類のアルゴリズムですので、、
**量子コンピュータでRSAを解くというのは、まだ人類未踏の領域**でございます。

で、難しい。以上！と言ってもいいのですが、、
人類が何を手に入れたら量子コンピュータでRSAを解くことができるのか、
をまとめてみようというのが本稿のモチベーションです。

本稿は、下記の1.1 Our contributions and a summary of our resultsを参考に議論を進めます。

https://arxiv.org/abs/1905.09749

:::note warn
なお、著者は産業界の１エンジニアであり、研究者でも専門家でも無いので、
間違っていたらご

AUTOSAR 21-11 (8) Specification of Secure Hardware Extensions

AUTOSAR R21-11(3) Requirements on Diagnostics

AUTOSAR Advent Calendar 2021

https://qiita.com/advent-calendar/2021/autosar

12/16日の投稿です。

AUTOSARが、12/7 今年の版、R21-11を公開しました。

https://www.autosar.org/news-events/details/release-event-2021-2021-dec-07/

文書は検索してダウンロードできます。

https://www.autosar.org/nc/document-search/

AUTOSAR R21-11(0)公開　Specificationをダウンロード

https://qiita.com/kaizen_nagoya/items/9b3a1b9b8d1e8d7e288e
Diagnostics関連のAUTOSARの資料を順に確認。

技術的な内容に入る前に、用語、参照文献でわけわかめ。

# Specification of Se

AUTOSAR R21-11(7) Specification of Secure Onboard Communication Protocol(SecOC)

AUTOSAR R21-11(3) Requirements on Diagnostics

AUTOSAR Advent Calendar 2021

https://qiita.com/advent-calendar/2021/autosar

12/12日の投稿です。

AUTOSARが、12/7 今年の版、R21-11を公開しました。

https://www.autosar.org/news-events/details/release-event-2021-2021-dec-07/

文書は検索してダウンロードできます。

https://www.autosar.org/nc/document-search/

AUTOSAR R21-11(0)公開　Specificationをダウンロード

https://qiita.com/kaizen_nagoya/items/9b3a1b9b8d1e8d7e288e

DiagnosticsとFoundationを中心に見ています。

# Specification of Secure Onboard Communication

<初心日記>セキュリティコンテストについて勉強したこと、、、

セキュリティコンテスト参加の為に勉強したこと

こんにちは。Uriです。
今回は、セキュリティコンテストに参加するために、
僕が勉強したことをまとめてみます。。。

やったこと一覧

1. セキュリティコンテストってなに？
2. セキュリティの知識を付けよう
3. 基本的なIT知識をつけなきゃいけない
4. 過去問題を解いてみよう

1．セキュリティコンテストってなに？

まず、セキュリティコンテストってどんなことするの？という疑問についてです。
以下の本を購入して読んでみました。

最新版Log4j 2.17.1ではCVE-2021-44832のリモートコード実行が修正されています

本記事は2021年12月28日（米国時間）に公開した英語ブログ[New Log4j 2.17.1 fixes CVE-2021-44832 remote code execution but it’s not as bad as it sounds](https://snyk.io/blog/new-log4j-2-17-1-fixes-cve-2021-44832-remote-code-execution-but-its-not-as-bad-as-it-sounds/)の日本語版です。


[事前の予測通り](https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/)、2021年12月28日19時35分頃（GTM/グリニ

Webシステムのセキュリティについて

Webシステムがどんどん発達していくのに伴ってセキュリティ対策の重要性も高まっています。
情報セキュリティの基礎となる用語をまとめました。

#情報セキュリティ

`機密性`・・・第三者がアクセスできないような状態を確保すること
`完全性`・・・情報が改ざんされていない状態を確保すること
`可用性`・・・情報のアクセスを認められたものがいつでも情報にアクセスできる状態を確保すること

上記三つの要素を維持すること

#悪意を持った第三者による攻撃例
###パスワードクラッキング　
####1. 辞書攻撃
よくパスワードとして使われる単語をまとめたリストを用いて順にログインしてパスワードを当てる手法
####2. ブルートフォース攻撃
パスワードに組み合わせられる文字列を全てのパターンを試してパスワードを当てる手法

—

###Dos（Denial of service）攻撃
####1. SYN Flood攻撃
大量のSYNパケットをWebサーバーに送り付け、Webサーバーが新しいユーザーの接続に対応できなくする攻撃

####2. F5攻撃
大量のWebページの再読み込みリク

大量のログを調査したい際に使えるSOF-ELK

#SOF-ELKとは
SANSのトレーニングで使用されているログ調査ツールです。 ElasticsearchやKibanaを使用したログ調査ツールで、通常は非常に大変な設定が予め行われており、一般的なログであればすぐに調査することが可能です。

https://www.sans.org/tools/sof-elk/
https://github.com/philhagen/sof-elk

#使い方

以下からVMをダウンロードして起動します。
http://for572.com/sof-elk-vm

起動したマシンの/logstash/ 以下のディレクトリにログファイルをコピーするだけです。
コピーすることで自動的にデータベースに追加されます。

あとはブラウザでhttp://\:5601にアクセスし、以下の画面上部のDashboardをクリック
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/549537/5a55a1a4-c053-50b5-3374-c13f1c3f5ac

StackOverflowからのコピペをやめろ。今すぐにだ。

**Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f**

その昔[コピペできない文章](https://nlab.itmedia.co.jp/nl/articles/1204/24/news103.html)というものがありました。
実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。

さて、最近になって[似たような攻撃に関する論文が公開されました](https://arxiv.org/abs/2111.00169)。
人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。

ただ[論文](https://trojansource.codes/trojan-source.pdf)は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。
平易に解説している記

フィッシングEメールはどう防ぐべきか

[BBC](https://www.bbc.com/news/technology-52319093)によると、Googleはおおよそ1800万ものCOVID-19に関連したフィッシングEメール毎日がGmailユーザーに送られているようだ．またGoogleは1日あたりやく1億件ものフィッシングEメールをブロックしていると報告している．Eメールを利用するにあたってフィッシングEメールを目にするのは止むを得ないことである．基本的にはプロバイダーによるアルゴリズムによってそのようなEメールはブロックされるか，スパムフォルダーにストアされることになるが，それでもそのEメールを受け取ること自体を防ぎたいというのはある程度共通の意見なのではないだろうか．そこで今回はそれをどう防ぐかについて少しお話ししたいと思う．

1. ___フィッシングEメールを受け取る前___
1. ___自身のEメールの扱い___
2. ___捨てアカウント___
3. ___センダーをブロック___
2. ___フィッシングEメールを受け取った後___
1. ___返信しない___

脆弱性対応の確認方法

# はじめに
サーバーの運用管理を行っている場合、サーバーやソフトウェアの脆弱性情報を受信し対応を行うと思います。その際、どのように対応すればよいかコマンドを含めまとめます。
基本的には、各組織において対応ポリシーがあると思いますが、ある程度容易かつスピード感を維持できる対応方法を記載します。
厳密に行うのであれば、脆弱性のターゲットとなっているモジュールやライブラリが使われているか詳細に確認するべきですが、開発元への確認や詳細な調査に時間がかかります。

#0.実行環境

“`shell:console
[marseille@hogehoge ~]$ hostnamectl
Static hostname: hogehoge
Icon name: computer-vm
Chassis: vm
Machine ID: ********************************
Boot ID: ********************************
Virtualizati

【機械学習】フィッシングメール傾向分析

#初めに

どうも、クソ雑魚のなんちゃてエンジニアです。

本記事はコロナ禍になり急激に増えていたフィッシング詐欺に着目し、
今後のフィッシングメールの増加傾向を機械学習を用いて予測してみようといった記事である。

昨今のフィッシングメールの詳細な傾向については過去記事の以下のものを参考にしてほしい。
※今回は１フィッシングメールに着目するというより、大局的に世の中でどのようにフィッシングの傾向があるのか分析する。

###簡単★フィッシングサイト構築

https://qiita.com/schectman-hell/items/cc165faef707aec1a934

###フィッシング詐欺を様々なWebサイトを用いて見破る方法

https://qiita.com/schectman-hell/items/8bb1b750f78d71f38a02

#目次
+ 調査するためのデータ源
+ 使用する機械学習
+ Prophet
+ 環境構築
+ Pythonコード
+ 実行結果
+ 手順
+ 結果
+ まとめ

#調査するためのデータ源
今回調査するた

Pythonで学ぶサイバーセキュリティプログラミング

# はじめに
Python Advent Calendar 2021 25日目:christmas_tree:です。

機械学習でデファクトスタンダードとなっているPythonは、セキュリティとも相性が良くスクリプトなどで使用されてハッカー達に好まれています。

本記事は[ペネトレーションテスト](https://ja.wikipedia.org/wiki/%E3%83%9A%E3%83%8D%E3%83%88%E3%83%AC%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%86%E3%82%B9%E3%83%88)など、ユーティリティとして使うための方法を踏まえて、ソケット通信の仕組みについて解説しています。

Pythonのバージョンは3.9.4を使用。

## ソケット通信の仕組み
[ソケット](https://ja.wikipedia.org/wiki/%E3%82%BD%E3%82%B1%E3%83%83%E3%83%88_(BSD))は、コンピュータがOSを介してネットワーク通信を行うために標準化された仕組みです。

ソケットの仕組みを

セキュリティを学びたくてCTFに入門した話


こちらは[READYFOR Advent Calendar 2021](https://qiita.com/advent-calendar/2021/readyfor)の24日目の記事です。

こんにちは、READYFORエンジニアの@s-moriです。
自分史上、例を見ないラッコブームの到来により、頻繁にラッコの動画を探してはぼーっと眺めて癒される日々を送った年でした。

さてさて本編ですが、「セキュリティ意識大事ですね」と頭では認識しつつ、「何からやろうかな」となったことはないでしょうか。
自分はそのタイプで、徳丸先生の書籍をはじめとするセキュリティ関連の書籍（属性的にWeb寄りの）を読んだりしたものの、いまいち上手く活用できていない感がありました。
書籍に書いてあることは攻撃手法の一部であり、応用した攻撃や、掲

AWSで考えるクラウドセキュリティ　マルチアカウントを運用せよ

# はじめに
この記事は、[Supershipグループ Advent Calendar 2021](https://qiita.com/advent-calendar/2021/supership)の24日目の記事になります。

組織がスケールするにあたり、アジリティを下げずにセキュリティを高めていくためには、正しいクラウド戦略が必要です。

本記事はクラウドインフラ（AWS）でセキュリティを実現するための考え方や、マルチアカウントの運用方法について記載しています。

前半は**Cloud Center of Excellence**（以下、CCoE）の観点から、セキュリティ・ガバナンスを実現するために、フレームワークの考え方や、ガードレールなどクラウドにおけるセキュリティ対策の考え方について記載していきます。

後半はセキュリティ・ガバナンスの実装方法として、**AWS Control Tower**を軸に、関連するAWSサービスの概要やポイントについて解説しています。

※CCoEについては以前書いた[Cloud Center of Excellenceとは何か](https:/

あなたのサーバは大丈夫？Vulsで脆弱性スキャンしてみる

この記事は[NTTコムウェア Advent Calendar 2021](https://qiita.com/advent-calendar/2021/nttcomware) 24日目の記事です。

## はじめに
皆さん、「バルス」という言葉を聞いたら、某アニメ映画で登場する滅びの呪文を連想する人も多いのではないでしょうか？
この記事ではバルスを紹介したいと思います！

と言っても紹介するのは勿論アニメではなく、脆弱性スキャンツールの「Vuls(バルス)」です。

Vulsはオープンソースソフトウェアの脆弱性スキャンツールで、GitHub上で公開されています。
Vulsを導入することで、UbuntuやDebian、CentOSなどのサーバOSの脆弱性関連情報を収集でき、IPAからも脆弱性対策に有効なツールとして紹介されています。

今回はVulsの導入方法を仮想マシンでの検証を交えつつ紹介します。

## 環境情報
今回の検証用に作成した仮想環境の情報を記載します。
![NW構成図](https://qiita-image-store.s3.ap-northeast-1.amazon

ポートフォリオを公開してたらサイバー攻撃された話 〜Laravelで多重送信対策をしよう〜

## 初めに

去年の今頃、私は未経験からサーバーサイドエンジニアを目指して転職活動をしていて、
Laravel6系で開発したポートフォリオをインターネット上に公開していました。

実装のツメが甘い部分もあり、いろんなイタズラをされては対策して..を繰り返していましたが、
ある日容赦ないサイバー攻撃をくらってしまい、サーバーが死にかけるという経験をしたので
今回はそんな当時の出来事と、どう対策したかを記事にしてみようと思います?

現在 転職活動でポートフォリオを作成されている方や、プログラミング学習中の方のご参考になれば幸いです?

## 最初はまだイタズラレベルだった..

当時開発していたポートフォリオは、朝活をテーマにしたSNSアプリでした。
twitterみたいに、ユーザーが投稿できる機能があります。

![スクリーンショット 2021-01-15 22.59.37.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/613419/87067860-

話題のLog4ShellのPOCをサラッと試してみた

はじめに
—
こんにちは、株式会社シーエー・アドバンス技術統括本部の@sk888です。

今回はこのところ巷を騒がせているLog4Shellの脆弱性についてPoCを試してみた記事になります。
下記の記事を参考に脆弱性を含んだアプリケーションに対してPoCを実施します。

[Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package]
(https://www.lunasec.io/docs/blog/log4j-zero-day/)

Log4Shellとは
—
JPCERTページでは下記の通り解説されています。
[Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起]
(https://www.jpcert.or.jp/at/2021/at210050.html)
>JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があります。Apache Log