- 1. これから始めるDevOps Cloud Buildでパイプラインを構築する
- 2. ジョーアカウント攻撃 とは
- 3. 2022/1/24主にITとかセキュリティの記事
- 4. OSSECについて学び始めた その7
- 5. GitHub PackagesでNode.jsのDockerイメージを管理する
- 6. 2022/1/23主にITとかセキュリティの記事
- 7. 2022/1/22主にITとかセキュリティの記事
- 8. TLSでポスト量子暗号を試してみる (その1: 鍵交換)
- 9. 2022/1/21主にITとかセキュリティの記事
- 10. 2022/1/20主にITとかセキュリティの記事
- 11. OSSECについて学び始めた その6
- 12. OSSECについて学び始めた その5
- 13. OSSECについて学び始めた その4
- 14. OSSECについて学び始めた その3
- 15. OSSECについて学び始めた その2
- 16. OSSECについて学び始めた その1
- 17. Log4Shellについて知っておいた方がよいこと
- 18. ダウングレード攻撃 とは
- 19. 2022/1/19主にITとかセキュリティの記事
- 20. Java開発者のためのセキュアコーディングのコツ10個
これから始めるDevOps Cloud Buildでパイプラインを構築する
# はじめに
本記事はGCP環境にてCloud Buildでパイプラインを構築し、GCEの仮想マシンインスタンスに静的コンテンツをデプロイする方法について解説しています。## DevOps
[DevOps](https://ja.wikipedia.org/wiki/DevOps)は価値を提供することを目的に、迅速にデプロイを行い品質を担保するための仕組みであり、文化です。開発 (Development) と運用 (Operations) を組み合わせて、技術的要素だけではなく、体制を整備し、サイロ化を作り込まないことが重要です。
DevOpsを組織に導入することで、俗人化されていたデプロイ作業をパイプラインに置き換えて、誰でもビルド・デプロイできる仕組みを提供します。
本記事ではDevOpsの真髄となるCI/CDの自動化を実現する手段として、GCPの[Cloud Build](https://cloud.google.com/build)について学びます。
### 何故、パイプラインを構築するのか?
DevOpsにおいて、Cloud Buildなど自動化ツールを導入する
ジョーアカウント攻撃 とは
## 勉強前イメージ
アカウントを乗っ取る的な感じ?
ただ、ジョーってなに?## 調査
### ジョーアカウント攻撃 とは
まず、 `ジョーアカウント` についてですが、これは
IDとパスワードに同じ文字列を設定してるアカウントになります。
例としては、 「ID:admin password:admin」 こんなアカウントを指します。
セキュリティの観点から最も脆弱なパターンの一つにされていて、webサイトでは登録できない対策もされています。そして、 `ジョーアカウント攻撃` は、上記の通り
IDとパスワードに同じ文字列を設定しているアカウントを狙って不正アクセスを試す攻撃手法になります。
webサイトでは登録出来ないところもあるかと思いますが、
攻撃手法としてもあるので、IDとパスワードは同じ文字列にしないようにしないといけないです。ディクショナリアタック という辞書攻撃と日本語では呼ばれますが、
パスワードを不正に入手するための攻撃があります。
こちらの攻撃でもジョーアカウントがまず狙われますのでパスワードはきちんと設定しないといけません。## 勉強後イメージ
2022/1/24主にITとかセキュリティの記事
通販、宅配装うメールに注意 県内、サイバー犯罪相談が増加(1/21)
https://www.iwate-np.co.jp/article/2022/1/21/108471NFT×CC0の可能性(1/21)
https://hedge.guide/feature/possibility-about-cc0-nft-bc202201.htmlAWS 環境への一時的な昇格アクセスの管理(1/21)
https://aws.amazon.com/jp/blogs/news/managing-temporary-elevated-access-to-your-aws-environment/企業の老朽ソフト、世界で5割放置 サイバー攻撃懸念(1/22)
https://www.nikkei.com/article/DGXZQOUC106IK0Q1A211C2000000/「中国当局に情報を抜かれる」北京五輪の出場選手に通達が出た異常事態(1/21)
盗聴器、スパイツールは誰でも買うことができる…スマホ時代の
OSSECについて学び始めた その7
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第七弾としまして、OSSECのSyscheckについて読んでいきます。
https://www.ossec.net/docs/docs/manual/syscheck/index.html#すいません、執筆中です。
#おわりに
今回は以上です。では、また。
GitHub PackagesでNode.jsのDockerイメージを管理する
早いもので1月もあと10日ほどで終わりですが、今年の冬は寒くリモートワークが有り難くも感じています。
節分の頃には、春に向けて期待が膨らませられる出来事が増えますように。
さて、
今回はこちら[Managing Node.js Docker images in GitHub Packages using GitHub Actions](https://snyk.io/blog/managing-node-js-docker-images-in-github-packages-using-github-actions/)を紹介します。開発ですでにGithubは使っている方は多いと思いますが、node.jsのDockerイメージ管理についてのブログ記事の翻訳をご紹介いたします。
#GitHub Actionsを使ってGitHub PackagesでNode.jsのDockerイメージを管理する
リランタル
2021年7月13日
今日オープンソース開発を行っている場合は、GitHubコミュニティ内でアクティブになっている可能性が高く、オープンソースプロジェクトとそのリポジトリ
2022/1/23主にITとかセキュリティの記事
NTTデータ 2021年度第2四半期 セキュリティグローバル動向調査、バイネーム記載で資料価値大(1/21)
https://s.netsecurity.ne.jp/article/2022/01/21/46989.htmlJIPDEC「Pマーク取得企業がランサムウェア被害にあったら必ず報告書提出」(1/21)
https://s.netsecurity.ne.jp/article/2022/01/21/46983.htmlInternet Explorer サポート終了目前(2022/6/16)、IPA が注意喚起を再掲(1/21)
https://s.netsecurity.ne.jp/article/2022/01/21/46990.html北京オリンピック公式アプリに検閲機能…個人情報漏洩の懸念も(1/21)
https://www.businessinsider.jp/post-249582Apache Log4j の脆弱性による影響の低減を支援する Google Cloud Armor WAF ルール(1/20)
https://cloud.google.c
2022/1/22主にITとかセキュリティの記事
「LINE VOOM」で非公開の友だちに投稿を閲覧される不具合
https://www.security-next.com/133479ペット用品通販サイトに不正アクセス – 閉鎖直後に被害が判明
https://www.security-next.com/1332022021年4Qの脆弱性届出、ソフトとウェブともに減少
https://www.security-next.com/133477「Drupal」に複数脆弱性 – サードパーティ製ライブラリに起因
https://www.security-next.com/133528悪意あるファイルの検知、前年比5.7%増 – 1日平均約38万件
https://www.security-next.com/133163SQLインジェクションで顧客アドレス9万8,635件が流出か、石橋楽器店(1/19)
https://cybersecurity-jp.com/news/62662サイバー攻撃でサイト壊滅、マルカンからカード情報1,152名流出か(1/19)
https://cybersecurity-jp.com/
TLSでポスト量子暗号を試してみる (その1: 鍵交換)
# 1. はじめに
米NISTのポスト量子暗号標準化([Post-Quantum Cryptography Standardization](https://wiki2.org/en/NIST_Post-Quantum_Cryptography_Standardization+Newton))にむけたコンペティションは2021年のラウンド3では格子暗号ベースのものを中心に4つの暗号化/鍵交換アルゴリズム、署名アルゴリズムがファイナリストとして絞られ、まもなく結果も発表される見込みです。オープンソースプロジェクトのオープン量子安全([OQS: Open Quantum Safe](https://openquantumsafe.org/))はそれらのファイナリストのアルゴリズムをライブラリーliboqsとして提供しています。
TLSプロトコルの中ではまだ扱いについて[ドラフト段階で](https://tools.ietf.org/id/draft-stebila-tls-hybrid-design-03.html)標準が確定したわけではありませんが、基本的にはこれらのアルゴリズムは、
2022/1/21主にITとかセキュリティの記事
Oracle、四半期定例パッチをリリース – 約500件の脆弱性に対応
https://www.security-next.com/133444インシデント件数、前四半期から1割増 – 「マルウェアサイト」は3.4倍に
https://www.security-next.com/133454「Java SE」に18件の脆弱性 – 定例パッチで修正
https://www.security-next.com/133483資料請求者間で個人情報が閲覧可能に – 高校生の進路支援サイト
https://www.security-next.com/133402キヤノン製レーザープリンタや複合機にXSS脆弱性
https://www.security-next.com/133455PHP向けメールフォームプログラムに脆弱性 – 昨年の更新で修正済み
https://www.security-next.com/133497第4回フィッシング対策勉強会 オンライン開催、ワコール不正サイト対策や TwoFive による DMARC レポート活用事例ほか(2/15開催)
http
2022/1/20主にITとかセキュリティの記事
「個人情報保護ガイドライン」のパブコメ結果で個人情報が流出
https://www.security-next.com/133382トレンドの法人向けエンドポイント製品に複数脆弱性
https://www.security-next.com/133392Check Pointのエンドポイントソフトに権限昇格のおそれ
https://www.security-next.com/133373「VMware Workstation」「VMware Horizon Client」にサービス拒否の脆弱性
https://www.security-next.com/133389ジェック不正アクセス問題、個人情報約2万件の流出と発表(1/19)
https://cybersecurity-jp.com/news/62554メタップスペイメント「会費ペイ」「イベントペイ」への不正アクセス、不正利用が疑われるケースが複数発生(1/18)
https://s.netsecurity.ne.jp/article/2022/01/18/46963.htmlさくらインターネット、クラウド
OSSECについて学び始めた その6
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第六弾としまして、OSSECのLog monitoring/analysisについて読んでいきます。
https://www.ossec.net/docs/docs/manual/monitoring/index.htmlログ監視と分析ですので、いよいよOSSECの中心部分に差し掛かってきたのかと思います。ここをある程度理解してから、ソースコードを読んでいくと良いのかなと思いつつ、まずはドキュメントを読むことから始めます。
#ログの監視と分析
ログ解析(またはログ検査)は、OSSEC内部ではlogcollectorとanalystdのプロセスによって行われる。前者はイベントを収集し、後者はそれらを分析(デコード、フィルタリング、分類)します。これはリアルタイムで行われるため、イ
OSSECについて学び始めた その5
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第五弾としまして、OSSECのAgentsについて読んでいきます。
https://www.ossec.net/docs/docs/manual/agent/index.html#Agent
OSSECのエージェントには、
・インストール型エージェント
・エージェントレス型エージェント
の2種類が存在します。#####インストール型エージェント
ホスト上にインストールされ、OSSEC暗号化メッセージプロトコルを介して中央のOSSECサーバーにレポートバックします。
#####エージェントレスエージェント
リモートホストにインストールする必要はありません。エージェントは、OSSECマネージャから起動されるプロセスで、リモートシステムから情報を収集し、任意のRPCメソッド(例:ssh
OSSECについて学び始めた その4
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第四弾としまして、OSSECのインストールについて読んでいきます。
https://www.ossec.net/docs/docs/manual/installation/index.html##インストール
###インストール要件
UNIX システムの場合、OSSEC は gnu make、gcc、libc のみ必要とします。OpenSSLは推奨ですが、オプションで前提条件として必要です。しかし、あるシステムでプリコンパイルして、そのバイナリを最終的な箱に移すというオプションも常にあります。
・PCRE2
・zlib
・libevent
・RedHat / Centos / Fedora / Amazon Linux
・Ubuntu / Debian
・OpenSuse
・Free
OSSECについて学び始めた その3
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第三弾としまして、OSSECがサポートするシステムについて読んでいきます。
https://www.ossec.net/docs/docs/manual/supported-systems.html#対応システム
##オペレーティングシステム
OSSECエージェントは、以下のOSに対応しています。
・GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, Debian, etc)
・Windows XP, 2003, Vista, 2008, 2012
・VMWare ESX 3.0,3.5 (including CIS checks)
・FreeBSD (all current versions)
・Open
OSSECについて学び始めた その2
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第二弾としまして、OSSECのアーキテクチャについて読んでいきます。
https://www.ossec.net/docs/docs/manual/ossec-architecture.html#OSSECアーキテクチャ
##マネージャー(またはサーバー)
マネージャーは、OSSECの展開の中心的な部分です。
・ファイルの整合性チェックのデータベース
・ログ
・イベント
・システム監査のエントリ
を保存します。
すべてのルール、デコーダ、主要な設定オプションは、マネージャに一元的に保存されます。
エージェントは、ポート1514/udpでサーバに接続します。
エージェントがサーバと通信するためには、このポートへの通信が許可されている必要があります。マネージャーはOSSECサーバーと呼ば
OSSECについて学び始めた その1
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/##概要
OSSECは、オープンソースのホストベースの侵入検知システムであり、提供する機能は以下になります。
・ログ解析、整合性チェック
・Windowsレジストリ監視
・ルートキット検出
・リアルタイムアラート
・アクティブレスポンス
また、Linux、OpenBSD、FreeBSD、Mac OS X、Solaris、Windowsを含むほとんどのオペレーティングシステムで動作します。
##OSSECを始めるにあたって
OSSECは、システムを監視・制御するためのプラットフォームであり、以下の機能の側面をオープンソースのソリューションにまとめています。
・HIDS(ホストベース侵入検知)
・ログ監視
・SIM(セキュリティインシデント管理)
・SIEM(セキュリティ情報およびイベント管理)の
Log4Shellについて知っておいた方がよいこと
本記事は2022年1月4日に公開した英語ブログ[Log4Shell webinar: What you need to know](https://snyk.io/blog/log4shell-webinar-what-you-need-to-know/)を日本語化した内容です。
[](https://snyk.io/jp)
多くのJavaアプリケーションに影響を与える[Log4Shellの脆弱性](https://snyk.io/log4j-vulnerability-resources/)については、すでに耳にしたり、対処したりしたことがあるのではないでしょうか。この重要なゼロデイ脆弱性についての最新情報を提供するため、弊社では最近オンラインセミナーを開催しました。
「Log4Shellについて知っておく
ダウングレード攻撃 とは
## 勉強前イメージ
なにかのバージョンを下げるっていう攻撃?
そんなことある?## 調査
### ダウングレード攻撃 とは
SSL/TLSの暗号化通信を行う際に、
わざと脆弱性のある古いSSL/TLSのバージョンを指定したり、弱い暗号化スイートでの通信強制し、
使用することで通信の傍受を行う攻撃を言います。### ダウングレード攻撃の例
1990年代に、FREAK攻撃というものが有りました。
こちらは非常に弱い暗号化方式(512ビット以下)を悪用した攻撃で
安全性の低い暗号化通信をわざと行うことで通信内容を復号し、傍受します。
基本的な対策としては、脆弱性のあるバージョンを使用しない通信を行うことで上記の攻撃や
今後起こりうる攻撃を未然に防ぐことが出来ます。## 勉強後イメージ
例が思いつかないけど、わざとTLSじゃなくてSSLを使ったりしてデータを盗むってことかな。
そう考えるとできるだけセキュリティの低いバージョンを許可するわけにいかないなーって思うけど
なかなかアップデートされないクライアントもあるしもどかしいね。## 参考
– [ダウングレード攻撃
2022/1/19主にITとかセキュリティの記事
2021年の上場関連企業の個人情報事故は137件 – TSRまとめ
https://www.security-next.com/133339パーソナルデータ、4割弱が利用目的に関わらず「提供したくない」
https://www.security-next.com/133277オーガニック食品の通販サイトに不正アクセス – クレカ情報が流出
https://www.security-next.com/133335JPCERT/CCが「侵入型ランサムウェア攻撃を受けたら読むFAQ」公開、相談窓口や初動対応の「3つの方針」など示す(1/17)
https://internet.watch.impress.co.jp/docs/news/1380952.htmlタイ財務省国税局のTwitterアカウントが乗っ取り被害(1/17)
https://www.thaich.net/news/20220116ou.htm[FT]米情報機関にデータ提供か デンマーク元国防相起訴(1/17)
https://www.nikkei.com/article/DGXZQOCB170RY0X1
Java開発者のためのセキュアコーディングのコツ10個
本記事は2019年9月16日に公開した弊社英語ブログ[10 Java security best practices](https://snyk.io/blog/10-java-security-best-practices/)を日本語化した内容です。
[](https://snyk.io/jp)
このチートシートでは、オープンソースのメンテナーと開発者の両方に向けた、Java言語におけるセキュアコーディングのコツ10個を取り上げます。このチートシートは、SnykのデベロッパーアドボケートのBrian Vermeerと、Java チャンピオンであり[Manicode](https://manicode.com/) Securityの創設者であるJim Manicoとのコラボレーションによって作成されたものです。
