- 1. Log4Shellについて知っておいた方がよいこと
- 2. ダウングレード攻撃 とは
- 3. 2022/1/19主にITとかセキュリティの記事
- 4. Java開発者のためのセキュアコーディングのコツ10個
- 5. 【リンク集】Webサイト(URL)やファイルの安全性確認ができるサイト
- 6. EDoS攻撃 ってのもあるらしい
- 7. 攻撃を基に防御を最大化する考え方 MITRE ATT&CKについて理解する
- 8. 2022/1/18主にITとかセキュリティの記事
- 9. 2022/1/17主にITとかセキュリティの記事
- 10. OWASP Dependency-Checkを使いLog4Shell(CVE-2021-44228)を検知する
- 11. 2022/1/16主にITとかセキュリティの記事
- 12. 2022/1/15主にITとかセキュリティの記事
- 13. 2022/1/14主にITとかセキュリティの記事
- 14. Python開発者のためのセキュアコーディングのコツ10個
- 15. 2022/1/13主にITとかセキュリティの記事
- 16. ゼロデイ攻撃 とは
- 17. colorsやfakerといったnpmパッケージの悪意あるコードが公開された事件について
- 18. 2022/1/12主にITとかセキュリティの記事
- 19. チートシート:アプリケーションセキュリティのアルファベット略字トップ10
- 20. 2022/1/11主にITとかセキュリティの記事
Log4Shellについて知っておいた方がよいこと
本記事は2022年1月4日に公開した英語ブログ[Log4Shell webinar: What you need to know](https://snyk.io/blog/log4shell-webinar-what-you-need-to-know/)を日本語化した内容です。
[](https://snyk.io/jp)
多くのJavaアプリケーションに影響を与える[Log4Shellの脆弱性](https://snyk.io/log4j-vulnerability-resources/)については、すでに耳にしたり、対処したりしたことがあるのではないでしょうか。この重要なゼロデイ脆弱性についての最新情報を提供するため、弊社では最近オンラインセミナーを開催しました。
「Log4Shellについて知っておく
ダウングレード攻撃 とは
## 勉強前イメージ
なにかのバージョンを下げるっていう攻撃?
そんなことある?## 調査
### ダウングレード攻撃 とは
SSL/TLSの暗号化通信を行う際に、
わざと脆弱性のある古いSSL/TLSのバージョンを指定したり、弱い暗号化スイートでの通信強制し、
使用することで通信の傍受を行う攻撃を言います。### ダウングレード攻撃の例
1990年代に、FREAK攻撃というものが有りました。
こちらは非常に弱い暗号化方式(512ビット以下)を悪用した攻撃で
安全性の低い暗号化通信をわざと行うことで通信内容を復号し、傍受します。
基本的な対策としては、脆弱性のあるバージョンを使用しない通信を行うことで上記の攻撃や
今後起こりうる攻撃を未然に防ぐことが出来ます。## 勉強後イメージ
例が思いつかないけど、わざとTLSじゃなくてSSLを使ったりしてデータを盗むってことかな。
そう考えるとできるだけセキュリティの低いバージョンを許可するわけにいかないなーって思うけど
なかなかアップデートされないクライアントもあるしもどかしいね。## 参考
– [ダウングレード攻撃
2022/1/19主にITとかセキュリティの記事
2021年の上場関連企業の個人情報事故は137件 – TSRまとめ
https://www.security-next.com/133339パーソナルデータ、4割弱が利用目的に関わらず「提供したくない」
https://www.security-next.com/133277オーガニック食品の通販サイトに不正アクセス – クレカ情報が流出
https://www.security-next.com/133335JPCERT/CCが「侵入型ランサムウェア攻撃を受けたら読むFAQ」公開、相談窓口や初動対応の「3つの方針」など示す(1/17)
https://internet.watch.impress.co.jp/docs/news/1380952.htmlタイ財務省国税局のTwitterアカウントが乗っ取り被害(1/17)
https://www.thaich.net/news/20220116ou.htm[FT]米情報機関にデータ提供か デンマーク元国防相起訴(1/17)
https://www.nikkei.com/article/DGXZQOCB170RY0X1
Java開発者のためのセキュアコーディングのコツ10個
本記事は2019年9月16日に公開した弊社英語ブログ[10 Java security best practices](https://snyk.io/blog/10-java-security-best-practices/)を日本語化した内容です。
[](https://snyk.io/jp)
このチートシートでは、オープンソースのメンテナーと開発者の両方に向けた、Java言語におけるセキュアコーディングのコツ10個を取り上げます。このチートシートは、SnykのデベロッパーアドボケートのBrian Vermeerと、Java チャンピオンであり[Manicode](https://manicode.com/) Securityの創設者であるJim Manicoとのコラボレーションによって作成されたものです。
【リンク集】Webサイト(URL)やファイルの安全性確認ができるサイト
Webサイト(URL)やファイル、メールの安全性確認ができるサイトをまとめました。
※各サービスの利用規約等を確認し、利用が適切か判断したうえでご利用ください。* **[aguse](https://www.aguse.jp/)**: URL,メール
* **[HYBRID ANALISYS](https://www.hybrid-analysis.com/?lang=ja)**: URL,ファイル
* **[VirusTotal](https://www.virustotal.com/gui/home/upload)**: URL,ファイル
EDoS攻撃 ってのもあるらしい
## 勉強前イメージ
DDoSとは聞くけど、E?
## 調査
### EDoS攻撃 とは
Economic Denial of Sustainability の略で、
DoS攻撃の一種になります。
内容としては経済的(Economic)な損失を与えることを目的とする攻撃になります。
クラウドサービスでは従量課金が多く、利用料に応じた金額を利用者は支払いします。
それを利用して、外部から不正なリクエストを大量に送りつけトラフィックを増加させることで
多額の利用料を支払わせるように仕向ける方法になります。### 対策
EDoS攻撃の対策としては以下が考えられます。
– 契約で課金の上限を設定する
課金の上限をサービス側で設定し、使えないようにする方法です。
しかし、上限に達すると他の利用者も使えなくなるので
上限を設定する場合はそれもセットで対策を考えないといけないです。– EDoS攻撃の際の費用について確認する
サービス内容によっては、EDoS/DDoS攻撃での課金に関しては費用が発生しない等もあります。
クラウドサービスとの契約を確認してください。– できる
攻撃を基に防御を最大化する考え方 MITRE ATT&CKについて理解する
# はじめに
本記事ではセキュリティフレームワークの一つであるMITRE ATT&CKについて記載しています。MITRE ATT&CK フレームワークは、MITREのプロジェクトとして2013年に開始されました。
ATT&CKを知る前に、まずはMITREについて知りましょう。
## MITRE
[MITRE](https://www.mitre.org/)はアメリカの非営利団体です。安全な世界のために問題を解決することをミッションとし、連邦政府が資金提供する研究開発センター(FFRDC)の管理や、航空、防衛、ヘルスケア、国土安全保障、サイバーセキュリティなどの分野で公益のために活動しています。
[Corporate Overview](https://www.mitre.org/about/corporate-overview)より、公益のために設立された会社として、「業界と競争しないこと、商業的な利益相反の欠如は私たちの客観性の基礎を形成する」など、利潤の追求が目的ではなく、各分野にて本質的な課題解決を行うことなどその崇高なマインドが伝わります。
>As a comp
2022/1/18主にITとかセキュリティの記事
旧サーバが改ざん、偽通販サイトを設置される – 江東区健康スポーツ公社
https://www.security-next.com/133274「Switch」が大幅割引とだます任天堂の偽サイトに注意
https://www.security-next.com/133304ウクライナ政府サイトに大規模サイバー攻撃(1/14)
https://www.afpbb.com/articles/-/3385157?act=all中国の拘束記者数は3年連続で世界最多(1/15)
https://www.epochtimes.jp/2022/01/84766.html仮想通貨犯罪の全体的な影響は22年にさらに低下へ:チャイナリシスが予測(1/16)
https://jp.cointelegraph.com/news/crypto-crime-s-overall-impact-set-to-fall-even-further-in-2022-chainalysisキングジムのパスワードマネージャー「ミルパス」に脆弱性、すぐに利用停止を(1/15)
https://news.myn
2022/1/17主にITとかセキュリティの記事
ドコモ「d払い」不正利用、主犯格と見られる男性逮捕(1/14)
https://cybersecurity-jp.com/news/62340米議会襲撃調査委、ネット大手4社に召喚状 過激思想の拡散巡り(1/14)
https://newspicks.com/news/6569417/body?sentlogGoogle、最新OSで「2Gを無効」機能を実装〜セキュリティ性能が向上(1/13)
任天堂、なりすまし偽サイトの存在を報告 同社ロゴの不正使用や商品が大幅割引価格で購入できるかのように表示(1/15)
https://news.yahoo.co.jp/articles/995ad1ec095de23ac590f5ab9fc9fc4fe6d9820dあなたのスマホがハッキングされている? 判断する方法とは(1/14)
https://ascii.jp/elem/000/004/079/4079934/72歳男性、「ウイルスに感染した」PCに表示され4万円を騙し取られる 同様のケース相次ぐ(1
OWASP Dependency-Checkを使いLog4Shell(CVE-2021-44228)を検知する
OWASP Dependency-Checkとは、SCA(Software Composition Analysis)[^1] を行うツールの一つで、プロジェクトが依存するライブラリに含まれる脆弱性を検出します。
https://owasp.org/www-project-dependency-check/
CLI / Ant / Maven / Gradle / Homebrew / Jenkins / SonarQube / Circle CI などで使用できる豊富なプラグインが用意されています。
今回は、 Gradle Plugin で、Apache Log4jの任意コード実行の脆弱性(CVE-2021-44228: Log4Shell)[^2] が検知できるを確認してみます。
[^1]: https://owasp.org/www-community/Component_Analysis
[^2]: https://www.jpcert.or.jp/at/2021/at210050.html# 実行環境
– Gradle: 7.3.3
# 準備
Gradleの
2022/1/16主にITとかセキュリティの記事
クラウド社会の盲点 個人が自衛策考える必要も(1/14)
https://www.nikkei.com/article/DGXZQOUC193PZ0Z11C21A2000000/Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題(1/14)
https://s.netsecurity.ne.jp/article/2022/01/14/46945.htmlエルサルバドルで記者らのスマホ監視か 政府は関与否定(1/14)
https://www.nikkei.com/article/DGXZQOGN13EJC0T10C22A1000000/主な攻撃対象は有色人種やLGBTQIA+、退役軍人―「Twitch」が2021年に削除したヘイトボット数を報告(1/13)
https://www.gamespark.jp/article/2022/01/13/115012.html物理的に外界から隔離されたコンピューターシステムへの攻撃の可能性を実証――レーザー光でデータを送信(1/14)
https://engineer.fabcross.
2022/1/15主にITとかセキュリティの記事
米政府、悪用済み脆弱性リストに15件を追加
https://www.security-next.com/133251博物館情報サイトが改ざん – 不正サイトへ誘導
https://www.security-next.com/133074ラベルプリンタ「テプラ」の一部製品に脆弱性 – Wi-Fiの認証情報が漏洩するおそれ
https://www.security-next.com/1332992021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary](1/13)
https://s.netsecurity.ne.jp/article/2022/01/13/46940.html「インターネットリテラシー」とは?|ネットやSNSとの上手な付き合い方【インターネット基本のき】(1/13)
https://gunosy.com/articles/aJumPAdobe Acrobat製品に任意コード実行などにつながる脆弱性(1/12)
https://news.yahoo.co
2022/1/14主にITとかセキュリティの記事
ランサム攻撃を受けたらどうする? JPCERT/CCが初動対応FAQを公開
https://www.security-next.com/133205ドコモ、スミッシングを拒否設定 – 申込不要で自動設定
https://www.security-next.com/133243「Citrix Workspace App for Linux」に権限昇格の脆弱性
https://www.security-next.com/133191キングジムのパスワード管理端末に脆弱性 -利用中止を
https://www.security-next.com/133225サーバにSQLi攻撃、会員メアドが流出か – イシバシ楽器
https://www.security-next.com/133215消費者金融「プロミス」の利用者を狙ったフィッシングに注意
https://www.security-next.com/133247みずほ銀行またシステム障害 1年で10回目…“合併による複雑さ”指摘(1/12)
https://news.yahoo.co.jp/articles/c99
Python開発者のためのセキュアコーディングのコツ10個
本記事は2021年9月27日に公開した[Python security best practices cheat sheet](https://snyk.io/blog/python-security-best-practices-cheat-sheet/)を日本語化した内容です。
[](https://snyk.io/jp)
2019年、Snykは[最初のPythonチートシート](https://res.cloudinary.com/snyk/image/upload/v1551385381/Python_Security_Best_Practices_Cheat_Sheet__.pdf)をリリースしました。それ以来、Pythonのセキュリティの多くの側面が変化しています。開発者向けセキュリティ企業として学
2022/1/13主にITとかセキュリティの記事
「Samba」に脆弱性、アップデートがリリース
https://www.security-next.com/133144不正アクセスでクレカ情報流出の可能性 – 警察実務書扱う出版社
https://www.security-next.com/133180不正購入などと不安煽る「LINE Pay」のフィッシング – メディア記事の無断転載も
https://www.security-next.com/133171WordPress向けクイズプラグインに3件の脆弱性
https://www.security-next.com/133177日本航空電子工業ファイルサーバに不正アクセス、詳細は調査中(1/11)
https://s.netsecurity.ne.jp/article/2022/01/11/46930.htmlイエラエセキュリティのエンジニアがサイボウズ Officeのアドレス帳に関するXSSの脆弱性を報告(1/11)
https://s.netsecurity.ne.jp/article/2022/01/11/46923.html【警戒情報】「悪質なマ
ゼロデイ攻撃 とは
## 勉強前イメージ
0day?
その日に攻撃?どういうこと?## 調査
### ゼロデイ攻撃 とは
OSなどソフトウェアに脆弱性が発見された際、ベンダーは脆弱性の修正パッチを提供します。
修正パッチが提供された日を1日目として、修正パッチが提供される前を0日目(ゼロデイ) として
修正パッチが提供される前に脆弱性を悪用した攻撃のことを指します。### ゼロデイ攻撃は防ぐのが難しい
脆弱性やセキュリティホールはホワイトハッカー等によっても発見されることがありその後情報が共有されます。
「脆弱性が公開されているが、対処がまだ」という状況が悪意のある人にも情報収集ができてしまう状態にあり、
セキュリティホールのリスクを共有するための情報が、いち早く悪意のある第三者に渡ってしまえばゼロデイ攻撃がされる可能性があります。### ゼロデイ攻撃を防ぐ方法
修正パッチが提供されるまで物理的にネットワークから分離するのが、攻撃を受けることがない一番の方法です。
しかし、すぐさま完全に遮断するのは企業などでは難しい場合もあり、
その場合は [IDS/IPS](https://qii
colorsやfakerといったnpmパッケージの悪意あるコードが公開された事件について
本記事は2022年1月9日に公開した英語ブログ[Open source maintainer pulls the plug on npm packages colors and faker, now what?](https://snyk.io/blog/open-source-npm-packages-colors-faker/)を日本語化した内容です。
[](https://snyk.io/jp)
#はじめに
2022年1月8日、大人気の[colors](https://snyk.io/advisor/npm-package/colors)というnpmパッケージのオープンソースのメンテナー(管理者)が、[ソースコードに無限ループを追加する問題のあるコミット](https://github.com/Mara
2022/1/12主にITとかセキュリティの記事
「利用環境の確認」などと騙すフィッシング攻撃に注意
https://www.security-next.com/133130「H2DB」にRCE脆弱性 – 「Log4Shell」と同じく「JNDI」に起因
https://www.security-next.com/133102サイバー攻撃、海外子会社サーバ経由で – パナソニック
https://www.security-next.com/133109コロナ検査結果確認サイトで別人の検査結果 – 愛媛県総合保健協会
https://www.security-next.com/133112管理状況、詳細に 個人情報保護法(1/10)
https://www.nikkei.com/article/DGKKZO79032530X00C22A1TCJ000/2021年11月のウイルスレビュー ― マルウェア活動の増加等(1/10)
https://japan.cnet.com/release/30629771/?ref=rss仮想通貨詐欺ミラートレーディングインターナショナルのCEOがブラジルで逮捕される(1/10)
チートシート:アプリケーションセキュリティのアルファベット略字トップ10
本記事は、英語ブログ[Cheatsheet: top 10 application security acronyms](https://snyk.io/blog/cheatsheet-top-10-application-security-acronyms/)を日本語化した内容です。アプリケーションセキュリティに関するアルファベット略語トップ10についてまとめてみました。SAST、DAST、SCA、OWASP、XSS、CSRF、RASP、DoS、CSP、SSRFについて解説しています。
[](https://www.snyk.io/jp)
# はじめに
例えば、あなたが開発者として会議に出席し、セキュリティ専門家が最近行ったペネトレーションテストや、あなたが書いたコードの静的解析の結果について議論している状況
2022/1/11主にITとかセキュリティの記事
富士通 法人向けサーバー値上げ 半導体不足で部品価格上昇など(1/7)
https://www3.nhk.or.jp/news/html/20220107/k10013419371000.htmlフランスがグーグルとメタに制裁金275億円 クッキー拒否しにくくしたとして(1/8)
https://gunosy.com/articles/enhxuWindowsはどう使われたがっているのか(1/8)
https://pc.watch.impress.co.jp/docs/column/config/1379224.htmlサイバー防衛力の格付け広がる 「落第企業」取引停止も(1/8)
https://www.nikkei.com/article/DGXZQODZ317TQ0R30C21A3000000/ノートン製品の暗号通貨採掘機能に懸念の声、日本では未搭載(1/8)
https://japan.zdnet.com/article/35181825/ちょっとしたスクリプトにWindowsに含まれているアイコンを流用して、自分で作らずに済ませる方法(1/9)
https
