今さら聞けないセキュリティ　2022年01月14日

2022/1/14主にITとかセキュリティの記事

ランサム攻撃を受けたらどうする？　JPCERT/CCが初動対応FAQを公開
https://www.security-next.com/133205

ドコモ、スミッシングを拒否設定 – 申込不要で自動設定
https://www.security-next.com/133243

「Citrix Workspace App for Linux」に権限昇格の脆弱性
https://www.security-next.com/133191

キングジムのパスワード管理端末に脆弱性 -利用中止を
https://www.security-next.com/133225

サーバにSQLi攻撃、会員メアドが流出か – イシバシ楽器
https://www.security-next.com/133215

消費者金融「プロミス」の利用者を狙ったフィッシングに注意
https://www.security-next.com/133247

みずほ銀行またシステム障害　1年で10回目…“合併による複雑さ”指摘(1/12)
https://news.yahoo.co.jp/articles/c99

Python開発者のためのセキュアコーディングのコツ10個

本記事は2021年9月27日に公開した[Python security best practices cheat sheet](https://snyk.io/blog/python-security-best-practices-cheat-sheet/)を日本語化した内容です。

[](https://snyk.io/jp)

2019年、Snykは[最初のPythonチートシート](https://res.cloudinary.com/snyk/image/upload/v1551385381/Python_Security_Best_Practices_Cheat_Sheet__.pdf)をリリースしました。それ以来、Pythonのセキュリティの多くの側面が変化しています。開発者向けセキュリティ企業として学

2022/1/13主にITとかセキュリティの記事

「Samba」に脆弱性、アップデートがリリース
https://www.security-next.com/133144

不正アクセスでクレカ情報流出の可能性 – 警察実務書扱う出版社
https://www.security-next.com/133180

不正購入などと不安煽る「LINE Pay」のフィッシング – メディア記事の無断転載も
https://www.security-next.com/133171

WordPress向けクイズプラグインに3件の脆弱性
https://www.security-next.com/133177

日本航空電子工業ファイルサーバに不正アクセス、詳細は調査中(1/11)
https://s.netsecurity.ne.jp/article/2022/01/11/46930.html

イエラエセキュリティのエンジニアがサイボウズ Officeのアドレス帳に関するXSSの脆弱性を報告(1/11)
https://s.netsecurity.ne.jp/article/2022/01/11/46923.html

【警戒情報】「悪質なマ

ゼロデイ攻撃 とは

## 勉強前イメージ

0day？
その日に攻撃？どういうこと？

## 調査

### ゼロデイ攻撃 とは

OSなどソフトウェアに脆弱性が発見された際、ベンダーは脆弱性の修正パッチを提供します。
修正パッチが提供された日を1日目として、修正パッチが提供される前を0日目(ゼロデイ) として
修正パッチが提供される前に脆弱性を悪用した攻撃のことを指します。

### ゼロデイ攻撃は防ぐのが難しい

脆弱性やセキュリティホールはホワイトハッカー等によっても発見されることがありその後情報が共有されます。
「脆弱性が公開されているが、対処がまだ」という状況が悪意のある人にも情報収集ができてしまう状態にあり、
セキュリティホールのリスクを共有するための情報が、いち早く悪意のある第三者に渡ってしまえばゼロデイ攻撃がされる可能性があります。

### ゼロデイ攻撃を防ぐ方法

修正パッチが提供されるまで物理的にネットワークから分離するのが、攻撃を受けることがない一番の方法です。
しかし、すぐさま完全に遮断するのは企業などでは難しい場合もあり、
その場合は [IDS/IPS](https://qii

colorsやfakerといったnpmパッケージの悪意あるコードが公開された事件について

本記事は2022年1月9日に公開した英語ブログ[Open source maintainer pulls the plug on npm packages colors and faker, now what?](https://snyk.io/blog/open-source-npm-packages-colors-faker/)を日本語化した内容です。

[](https://snyk.io/jp)

#はじめに
2022年1月8日、大人気の[colors](https://snyk.io/advisor/npm-package/colors)というnpmパッケージのオープンソースのメンテナー（管理者）が、[ソースコードに無限ループを追加する問題のあるコミット](https://github.com/Mara

2022/1/12主にITとかセキュリティの記事

「利用環境の確認」などと騙すフィッシング攻撃に注意
https://www.security-next.com/133130

「H2DB」にRCE脆弱性 – 「Log4Shell」と同じく「JNDI」に起因
https://www.security-next.com/133102

サイバー攻撃、海外子会社サーバ経由で – パナソニック
https://www.security-next.com/133109

コロナ検査結果確認サイトで別人の検査結果 – 愛媛県総合保健協会
https://www.security-next.com/133112

管理状況、詳細に　個人情報保護法(1/10)
https://www.nikkei.com/article/DGKKZO79032530X00C22A1TCJ000/

2021年11月のウイルスレビュー ― マルウェア活動の増加等(1/10)
https://japan.cnet.com/release/30629771/?ref=rss

仮想通貨詐欺ミラートレーディングインターナショナルのCEOがブラジルで逮捕される(1/10)

チートシート：アプリケーションセキュリティのアルファベット略字トップ10

本記事は、英語ブログ[Cheatsheet: top 10 application security acronyms](https://snyk.io/blog/cheatsheet-top-10-application-security-acronyms/)を日本語化した内容です。アプリケーションセキュリティに関するアルファベット略語トップ10についてまとめてみました。SAST、DAST、SCA、OWASP、XSS、CSRF、RASP、DoS、CSP、SSRFについて解説しています。

[](https://www.snyk.io/jp)

# はじめに
例えば、あなたが開発者として会議に出席し、セキュリティ専門家が最近行ったペネトレーションテストや、あなたが書いたコードの静的解析の結果について議論している状況

2022/1/11主にITとかセキュリティの記事

富士通 法人向けサーバー値上げ 半導体不足で部品価格上昇など(1/7)
https://www3.nhk.or.jp/news/html/20220107/k10013419371000.html

フランスがグーグルとメタに制裁金275億円 クッキー拒否しにくくしたとして(1/8)
https://gunosy.com/articles/enhxu

Windowsはどう使われたがっているのか(1/8)
https://pc.watch.impress.co.jp/docs/column/config/1379224.html

サイバー防衛力の格付け広がる　「落第企業」取引停止も(1/8)
https://www.nikkei.com/article/DGXZQODZ317TQ0R30C21A3000000/

ノートン製品の暗号通貨採掘機能に懸念の声、日本では未搭載(1/8)
https://japan.zdnet.com/article/35181825/

ちょっとしたスクリプトにWindowsに含まれているアイコンを流用して、自分で作らずに済ませる方法(1/9)
https

Javaデベロッパが知るべきDockerセキュリティ５つの大切なこと

セキュリティのシフトレフトを考えると、開発段階から考えるということが重要ということはわかってはいても、どう実践すれば良いものか、、、
わかってはいつつ、なんとなく不安になりつつも、忙しく作業に没頭せざるをえないJavaデベロッパの方も多いのではないでしょうか。

######今回はJavaデベロッパ向けDockerのセキュリティの短めの記事のご紹介です。

参考資料:

* [JavaデベロッパのためのDocker：セキュリティを失敗させないために知っておくべき5つのこと(原文）](https://snyk.io/blog/docker-for-java-developers/)
* [Docker for Java developers: How not to fail your security（動画）](https://www.youtube.com/watch?v=v2SkWn-ZRDg)

#JavaデベロッパのためのDocker：セキュリティを失敗させないために知っておくべき5つのこと

Brian Vermeer
ブライアンフェルメール
2020年11月20日
D

2022/1/10主にITとかセキュリティの記事

パスワード破りSNSをのぞき見　不正アクセス容疑で男逮捕(1/6)
https://news.yahoo.co.jp/articles/99e5f3826675e63ed8d76f23a7da991b6534143b

暗号資産関連犯罪、2021年に140億ドル相当が奪われる──Chainalysis調べ(1/7)
https://news.yahoo.co.jp/articles/bf3fa92d5375b892a8f73c16c2ffb2997a7a8a77

京大で約77TB分のデータ消失　日本HPEのプログラムが不具合(1/8)
https://www.zaikei.co.jp/article/20220108/655180.html

カウネット、リスト型攻撃の形跡確認→ID・パスワードの変更呼びかけ(1/7)
https://www.tsuhannews.jp/shopblogs/detail/68140

「ノートン 360」で仮想通貨マイニング機能が自動インストールされる件に批判の声 – GIGAZINE(1/7)
https://newstopics.jp/url/1

【個人的4選】サイバーセキュリティニュースまとめ（2021年12月）

# はじめに

## この記事の目的
この記事は日々刻々と変化するサイバーセキュリティ関連のニュースの内、興味深いニュースを筆者の**独断と偏見**でピックアップしたものです。

日々の情報収集、セキュリティの勉強、~~セキュリティ全く関心のない経営層への啓蒙~~などに役立てていただけますと幸いです。

## 想定読者
– セキュリティ関連の仕事に従事している人
– セキュリティに関わらないけど、少しセキュリティに興味がある人
– セキュリティに興味のある学生

# サイバーセキュリティニュース
2021年12月は、4つのニュースをピックアップしました。

## 1位 Apache Log4j の脆弱性
1位はこれで異論のあるセキュリティ担当者はいないでしょう。
12/10頃に世界的に話題になった、Javaのログ出力ライブラリLog4jの脆弱性です。

多くのセキュリティ担当者がこの脆弱性に対応に忙殺されたのではないでしょうか。

### 概要

>
Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性（CVE-2021-44228）を修正したバージョンが公開された。その後も

Dockerで安全にnode.jsウェブアプリをコンテナ化する

Happy New Year!
年末、年始があっという間に終わり、明日は成人の日。
来週からコーディングのオンラインクラスを受けることになった。4−6ヶ月になりそうであるが、無事乗り切れるのか、少々不安も。javascriptを習得するコースなため、最終的にnode.jsのサーバーサイドでのコーディングもできるようになるまでの知識を得られるよう頑張ろう。node.jsの環境構築に不可欠ともいえるdocker。
今回は、[10 best practices to containerize Node.js web applications with Docker](https://snyk.io/blog/10-best-practices-to-containerize-nodejs-web-applications-with-docker/)
の翻訳記事のご紹介です。

今回は、特に翻訳に苦労しました。読みにくい部分もあると思いますが、どうぞ最後までお付き合いください。

#Dockerでnode.jsウェブアプリケーションをコンテナ化するための10のベストプラクティス

LiranT

【就活用】個人開発アプリケーションのセキュリティについて

個人開発アプリケーション

https://www.autof2f.io

を構成するセキュリティについて簡単に纏めます。

以下のように、主要なセキュリティ対策を行った。

## SQLインジェクション
この攻撃については、「SQLの組み⽴てを全てプレースホルダを⽤いて、実装する。」ことで対策した。具体例として、匿名掲⽰板に書き込まれたメッセージについて、「いいね」する処理を⾒てみる。

“`go
func MessageGoodsHandler(ctx *gin.Context) {
type JSONRequest struct {
MessageUUID string `json:”messageUUID”`
}

req := &JSONRequest{}
ctx.BindJSON(req)
// 「?」の記法は、SQLにおけるプレースホルダである。
if _, err := db.Exec(“UPDATE thread_messages SET goods=goods+1 WHERE message_UUID=? LIMIT 1”, req.M

DoS(DDoS)攻撃とは何か？その対策方法

# DoS(Denial of Service)攻撃とは
サーバーに対して大量のアクセスを行い、サービスを停止させる攻撃

# DDoS(Distributed Denial of Service)攻撃とは
複数のコンピューターがDoS攻撃を行うこと

# DoS(DDoS)攻撃の具体例

### SYN Flood攻撃
TCPのやり取りの際のコネクション確立要求を行うSYNパケットのみを大量に送り続ける攻撃。ACKパケットを送らずにサーバーを待ち状態にすることで、他ユーザーからの接続を確立させなくする。

### F5攻撃
サーバーに大量のリクエストを送り、サーバーを過負荷の状態にして、リクエストに対応できなくさせる攻撃。

# DoS(DDoS)攻撃の対策方法
– 送信元のIPアドレスからのリクエストを遮断(DDoSには効きにくい)
– IDSの設置[^IDS]
– IPSの設置[^IPS]
– WAFの設置[^WAF]

# おわりに
間違い等があればご指摘いただけるとありがたいです。

[^IDS]: Intrusion Detection Systemの略で不正アクセスを管理

米国連邦取引委員会（FTC）からのLog4jの脆弱性に関する警告について

本記事は2022年1月7日に公開した英語ブログ[FTC highlights the importance of securing Log4j and software supply chain](https://snyk.io/blog/ftc-highlights-the-importance-of-securing-log4j-and-software-supply-chain)を日本語化した内容です。

[](https://www.snyk.io/jp)

今週初め、[米国連邦取引委員会（FTC）がLog4jの脆弱性に関して企業に警告を発しました](https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remed

Snyk IaCの2021年の振り返りと2022年への抱負

本記事は2021年12月22日に公開した英語ブログ[Snyk IaC in 2021: Leading infrastructure as code security for developers](https://snyk.io/blog/snyk-iac-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Infrastructure as Codeについて、2021年の製品アップデートのまとめと、2022年の方向性についての話にな

Snyk Containerの2021年振り返りと2022年への抱負：コンテナセキュリティのシフトレフト

本記事は2021年12月22日に公開した英語ブログ[Snyk Container in 2021: Shifting container security all the way left](https://snyk.io/blog/snyk-container-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Containerについて、2021年の製品アップデートのまとめと、2022年の方向性についての話になります。

![lo

Snyk Codeの2021年振り返りと2022年への抱負：SASTの再定義

本記事は2021年12月21日に公開した英語ブログ[Snyk Code in 2021: Redefining SAST](https://snyk.io/blog/snyk-code-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Codeについて、2021年の製品アップデートのまとめと、2022年の方向性についての話になります。

![logo-solid-background.png](https://qiita-image-

第5回「AWS lambda＋Amazon EventBridgeを使ったAeyeScanによる診断の自動化」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。

[前回](https://qiita.com/AeyeScan/items/964f502cd780911599ac)はCircle CIを使ってAeyeS

第4回「CircleCIを使ったAeyeScanによる診断の定期実行」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。

[前回](https://qiita.com/AeyeScan/items/b30d341da28130bc8f7a)はGithub Actionsを使って