- 1. 【初心者向け】ネットワーク技術検証(リモートログイン編)
- 2. 2022/1/29主にITとかセキュリティの記事
- 3. 情報処理安全確保支援士に合格するためのアウトプット(1/n)
- 4. 2022/1/28主にITとかセキュリティの記事
- 5. 【初心者向け】ネットワーク技術検証(ファイル転送編)
- 6. 電子署名の仕組みについて
- 7. クレジットカード不正利用被害により 対応をまとめる
- 8. 2022/1/27主にITとかセキュリティの記事
- 9. CVSS とは
- 10. 2022/1/26主にITとかセキュリティの記事
- 11. 2022/1/25主にITとかセキュリティの記事
- 12. 各セキュリティとその対策方法
- 13. これから始めるDevOps Cloud Buildでパイプラインを構築する
- 14. ジョーアカウント攻撃 とは
- 15. 2022/1/24主にITとかセキュリティの記事
- 16. OSSECについて学び始めた その7
- 17. GitHub PackagesでNode.jsのDockerイメージを管理する
- 18. 2022/1/23主にITとかセキュリティの記事
- 19. 2022/1/22主にITとかセキュリティの記事
- 20. TLSでポスト量子暗号を試してみる (その1: 鍵交換)
【初心者向け】ネットワーク技術検証(リモートログイン編)
#試してみたいこと
telnetとsshを使用して、ラズパイに対してリモートログインをしてみます。|関連記事|プロトコル|
|—|—|
|[ネットワーク技術検証(ファイル転送編)](https://qiita.com/TT551/items/acca70ba9229a0756829)|FTP/SFTP/FTPS/SCP|#対象者
PCからラズパイにリモートログインしたい方
ルータなどのネットワーク機器の設定をtelnetで行いたい方#環境
|機器|OS|固定IPアドレス|
|—|—|—|
|ノートPC|Windows 10 Home |192.168.1.17|
|raspberry pi 3|Raspbian 10.1|192.168.1.22|#telnetとは
一つのTCPコネクションを利用して、相手のPCにログインを行う。
#はじめに
##背景
今までは開発側にいたので技術技術を磨いてきたが、年が経って役割が変わり、抽象的な活動が多くなってきた。
また、活動範囲も広くなったため、今まで避けてきたIPAの資格取得を通じて体系的に学んだ方がいいなと思い始めました。##目的
実務的な内容を通して、体系的なことを学んで今まで以上にITの価値をユーザーに届けられる、
そんなエンジニアになりたいと思っています。##目標
今さらではありますが、まずは、4月に「情報処理安全確保支援士」の取得に向けて頑張ります。##ちなみに
エンジニアの皆さんなら分かると思いますが、体系的なものはあまり頭に入ってこない、やる気が出ないというか。
とはいえそうも言ってられないので、どうやってやる気を出すかと。だったら、アウトプットしながら進めれば「やる気」「理解力」のどっちも満たせるんじゃないかと安直に考え、凍結気味だったこのアカウントで投稿を再開しました。とりあえずやりながら進めていこうと思ってるので、当面は私が理解した内容をつらつらと書いていく感じにします。
「知ってるよ」みたいなことも、振り返りつつやっていければと思
2022/1/28主にITとかセキュリティの記事
IPA、「情報セキュリティ10大脅威 2022」を発表 – 「ゼロデイ攻撃」が新規ランクイン
https://www.security-next.com/133667JC3フォーラム(3/4開催)
2021年上半期の開示要請は2037件、70%に対応 – LINE
https://www.security-next.com/133532OneDrive、マルウェア配付に悪用された2大サービスのひとつに(1/26)
https://s.netsecurity.ne.jp/article/2022/01/26/47017.htmlLinux:プロセスとジョブの違いは?関連コマンドと、インストール方法を確認(1/26)
https://japan.cnet.com/release/30639175/?ref=rss穴埋めするだけで論文を作れるWebフォーム 便利すぎて無情な現実を突きつけてくると話題に(1/26)
https://www.itmedia.co.jp/news/spv/2201/26/news149.html
【初心者向け】ネットワーク技術検証(ファイル転送編)
#試してみたいこと
FTP(File Transfer Protocol)の概要を掴んだ後、FTPとSFTP(SSH File Transfer Protocol)を動かしてみて、パケット解析をしてみます。|関連記事|プロトコル|
|—|—|
|[ネットワーク技術検証(リモートログイン編)](https://qiita.com/TT551/items/a64431f9b3957b1ba229)|telnet/shh|#対象者
ファイル転送をコマンドプロンプトから行いたい方
FTPを動かしてみたい方
SFTPを動かしてみたい方
ラズパイとPC間でファイル転送したい方#環境
|機器|OS|固定IPアドレス|
|—|—|—|
|ノートPC|Windows 10 Home |192.168.1.17|
|raspberry pi 3|Raspbian 10.1|192.168.1.22|#FTPとは
FTP(File Transfer Protocol)は、ファイルを転送するプロトコルである。OSI参照モデルでは、5~7層に属する。FTPでは、2つのT
電子署名の仕組みについて
# 内容
この記事はAWS初学者を導く体系的な動画学習サービス
「AWS CloudTech」の講座を参考に作成しました。
https://aws-cloud-tech.com##### 以下に電子署名の仕組みとそれを実現するための技術である`一方向ハッシュ関数`について記載します。
#電子署名とは
・「電子データ作成者」情報を電子データに付与し、電子ファイルが改ざんされていないことを証明する技術です。
・紙の書類におけるサインや押印を電子的に実現したものになります。#一方向ハッシュ関数とは
・電子署名を実現するために用いられる暗号化技術です。
・対象のデータから特殊技術によりランダムな英数字(ハッシュ値:長さは固定)を生成することができます。
・対象のデータが1ビットでも異なるとまったく別のハッシュ値が生成されます。
・ハッシュ値から対象のデータを生成することは現実的ではありません。#電子署名の仕組み
1. 署名者(Aさん)は、電子ファイルのハッシュ値を計算し、`Aさんの秘密鍵`で暗号化します。
1. 上記の`電子ファイル`、`暗号化したハッシュ値`、`Aさんの証明
クレジットカード不正利用被害により 対応をまとめる
皆様こんばんわ。今はITエンジニアとしてはあまりかかわっていない当方ですが、クレジットカードの不正利用により、被害を受けたので、
その事を書こうかと思います。前提条件
1,二段階認証はしていた。
2、パスワードはワンタイムパスワードでやっていた。
3、パソコンにセキュリティソフトは入れていたが、スマホのセキュリティは無料ソフト
(パソコンはノートン、スマホはAVG アンチウイルス 無料版)
ちなみにスマホの端末はpixel5
4、Windowsのアップデートはこまめにやっていた(windows11の状態)メールはフリーのgmailとoutlookを使用。被害後にwordpressの有料メールを使用する。
——————————————————————————————————
それで今回のケースでは不正アクセスと、クレジットカードの情報流失の2段階にわけて勝手に考えている訳でありますが、相手が一体どのような手段で情報を入手したかは不明です。偽
2022/1/27主にITとかセキュリティの記事
SonicWall製VPN製品の脆弱性を狙った攻撃が発生 – 早急に更新を
https://www.security-next.com/133613「glibc」の非推奨関数に脆弱性 – 次期バージョンで修正予定
https://www.security-next.com/133636ImpervaのクラウドWAFにルール回避のおそれ – すでに修正済み
https://www.security-next.com/133632S/MIME最前線
「なりすましメール対策の現状と課題
-S/MIMEを活用したなりすまし対策事例紹介」(2/18開催)
https://www.jipdec.or.jp/sp/topics/event/20220218seminar.html?p04衣料品取り扱い「MONCLER」にサイバー攻撃、個人情報が流出した可能性(1/25)
https://s.netsecurity.ne.jp/article/2022/01/25/47009.htmlかがわ物産館「栗林庵」Webサイトに不正アクセス、閉鎖し詳細な調査を実施(1/25)
http
CVSS とは
## 勉強前イメージ
セキュリティ的な流れだった気がするけど知らへん
## 調査
### CVSS とは
Common Vulnerability Scoring System の略で、 日本語で共通脆弱性評価システムになります。
脆弱性の深刻度を評価する標準化されたものです。
現在はFIRSTというところが管理しています。
標準化されているため、なにかに依存しているわけではないので製品間の比較ができます。
CVSSにもバージョンが有ります。### 評価の方法
CSVVでは以下の3つの基準で脆弱性の評価を行っており、これらから脆弱性の深刻度を決定します。
– 基本評価標準
脆弱性に対する評価になります。
機密性、完全性、可用性の影響と複数の要素を合算して基本値を算出します。
評価結果は固定のため、時間経過や環境によって変わることはありません。– 現状評価基準
脆弱性の深刻度の評価です。
攻撃おコードの有無や対策情報が利用できるのかなどの基準で評価します。
上記から、脆弱性の対応状況によって変化します。– 環境評価基準
利用環境も含めての、最終的な脆弱性の深
2022/1/26主にITとかセキュリティの記事
ECサイト向けクレカ決済サービスに不正アクセス – メタップスP
https://www.security-next.com/133588「Deep Security」などトレンド2製品に脆弱性 – 実証コードが公開済み
https://www.security-next.com/133574「Redis」狙うパケットが1.8倍に – JPCERT/CC調査
https://www.security-next.com/133573監査関係者向けに「プライバシーガバナンス」のセミナー – 「プライバシー・バイ・デザイン」提唱者も登壇
https://www.security-next.com/133579NICTサイバーセキュリティシンポジウム2022(2/18開催)
https://www.d-wks.net/nict220218/?fbclid=IwAR0F_qVMcDD2jApm0T2nNy0TyvijYzwfdWPMajbPMegB85_1kwe8AY5YjhoEricsson、米国以外に欧州とブラジルでもAppleを提訴〜ライセンス料巡り(1/23)
htt
2022/1/25主にITとかセキュリティの記事
「McAfee Enterprise」のWindows向けエージェントに複数の脆弱性
https://www.security-next.com/133548「JVN iPedia」、2021年4Q登録は4676件 – 前期比1.4倍に
https://www.security-next.com/133522若年層向けプログラミングコンテストのサイトで個人情報が流出
https://www.security-next.com/133536Google Workspace、マルウェアやフィッシングを警告する機能(1/22)
https://k-tai.watch.impress.co.jp/docs/news/1382492.html子どもデータ連携実証事業へ、「究極の個人情報、国民の意識に沿った検討が必要」(1/21)
https://xtech.nikkei.com/atcl/nxt/news/18/12064/【続報】寄生サイトの営業は絶対に拒否すべし。グーグルも「全くお勧めしない」【SEO情報まとめ】(1/21)
https://webtan.impress.
各セキュリティとその対策方法
皆さんセキュリティ対策はバッチリでしょうか???
今回は、こういうセキュリティ問題があって主な事象、解決方法を紹介していきます
この記事によって皆さんのセキュリティ意識が上がればなと思います!# セキュリティとは
IT分野では暗号や防御のためのソフトウェア、アクセスの制限などを用いて、データやシステム、通信経路などを保護し、機密漏洩や外部からの攻撃、改ざんなどの危険を排除すること全般を指します。その中でも具体的な問題を説明していきます。
# SQLインジェクション
SQLインジェクションの脆弱性がある場合、悪意あるリクエストによってデータベースの不正利用を招く可能性があります!!
## 脆弱性のある実装
“`
String sql = “SELECT * FROM user WHERE id = ‘” + id + “‘”;
“`
これから始めるDevOps Cloud Buildでパイプラインを構築する
# はじめに
本記事はGCP環境にてCloud Buildでパイプラインを構築し、GCEの仮想マシンインスタンスに静的コンテンツをデプロイする方法について解説しています。## DevOps
[DevOps](https://ja.wikipedia.org/wiki/DevOps)は価値を提供することを目的に、迅速にデプロイを行い品質を担保するための仕組みであり、文化です。開発 (Development) と運用 (Operations) を組み合わせて、技術的要素だけではなく、体制を整備し、サイロ化を作り込まないことが重要です。
DevOpsを組織に導入することで、俗人化されていたデプロイ作業をパイプラインに置き換えて、誰でもビルド・デプロイできる仕組みを提供します。
本記事ではDevOpsの真髄となるCI/CDの自動化を実現する手段として、GCPの[Cloud Build](https://cloud.google.com/build)について学びます。
### 何故、パイプラインを構築するのか?
DevOpsにおいて、Cloud Buildなど自動化ツールを導入する
ジョーアカウント攻撃 とは
## 勉強前イメージ
アカウントを乗っ取る的な感じ?
ただ、ジョーってなに?## 調査
### ジョーアカウント攻撃 とは
まず、 `ジョーアカウント` についてですが、これは
IDとパスワードに同じ文字列を設定してるアカウントになります。
例としては、 「ID:admin password:admin」 こんなアカウントを指します。
セキュリティの観点から最も脆弱なパターンの一つにされていて、webサイトでは登録できない対策もされています。そして、 `ジョーアカウント攻撃` は、上記の通り
IDとパスワードに同じ文字列を設定しているアカウントを狙って不正アクセスを試す攻撃手法になります。
webサイトでは登録出来ないところもあるかと思いますが、
攻撃手法としてもあるので、IDとパスワードは同じ文字列にしないようにしないといけないです。ディクショナリアタック という辞書攻撃と日本語では呼ばれますが、
パスワードを不正に入手するための攻撃があります。
こちらの攻撃でもジョーアカウントがまず狙われますのでパスワードはきちんと設定しないといけません。## 勉強後イメージ
2022/1/24主にITとかセキュリティの記事
通販、宅配装うメールに注意 県内、サイバー犯罪相談が増加(1/21)
https://www.iwate-np.co.jp/article/2022/1/21/108471NFT×CC0の可能性(1/21)
https://hedge.guide/feature/possibility-about-cc0-nft-bc202201.htmlAWS 環境への一時的な昇格アクセスの管理(1/21)
https://aws.amazon.com/jp/blogs/news/managing-temporary-elevated-access-to-your-aws-environment/企業の老朽ソフト、世界で5割放置 サイバー攻撃懸念(1/22)
https://www.nikkei.com/article/DGXZQOUC106IK0Q1A211C2000000/「中国当局に情報を抜かれる」北京五輪の出場選手に通達が出た異常事態(1/21)
盗聴器、スパイツールは誰でも買うことができる…スマホ時代の
OSSECについて学び始めた その7
#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/今回は第七弾としまして、OSSECのSyscheckについて読んでいきます。
https://www.ossec.net/docs/docs/manual/syscheck/index.html#すいません、執筆中です。
#おわりに
今回は以上です。では、また。
GitHub PackagesでNode.jsのDockerイメージを管理する
早いもので1月もあと10日ほどで終わりですが、今年の冬は寒くリモートワークが有り難くも感じています。
節分の頃には、春に向けて期待が膨らませられる出来事が増えますように。
さて、
今回はこちら[Managing Node.js Docker images in GitHub Packages using GitHub Actions](https://snyk.io/blog/managing-node-js-docker-images-in-github-packages-using-github-actions/)を紹介します。開発ですでにGithubは使っている方は多いと思いますが、node.jsのDockerイメージ管理についてのブログ記事の翻訳をご紹介いたします。
#GitHub Actionsを使ってGitHub PackagesでNode.jsのDockerイメージを管理する
リランタル
2021年7月13日
今日オープンソース開発を行っている場合は、GitHubコミュニティ内でアクティブになっている可能性が高く、オープンソースプロジェクトとそのリポジトリ
2022/1/23主にITとかセキュリティの記事
NTTデータ 2021年度第2四半期 セキュリティグローバル動向調査、バイネーム記載で資料価値大(1/21)
https://s.netsecurity.ne.jp/article/2022/01/21/46989.htmlJIPDEC「Pマーク取得企業がランサムウェア被害にあったら必ず報告書提出」(1/21)
https://s.netsecurity.ne.jp/article/2022/01/21/46983.htmlInternet Explorer サポート終了目前(2022/6/16)、IPA が注意喚起を再掲(1/21)
https://s.netsecurity.ne.jp/article/2022/01/21/46990.html北京オリンピック公式アプリに検閲機能…個人情報漏洩の懸念も(1/21)
https://www.businessinsider.jp/post-249582Apache Log4j の脆弱性による影響の低減を支援する Google Cloud Armor WAF ルール(1/20)
https://cloud.google.c
2022/1/22主にITとかセキュリティの記事
「LINE VOOM」で非公開の友だちに投稿を閲覧される不具合
https://www.security-next.com/133479ペット用品通販サイトに不正アクセス – 閉鎖直後に被害が判明
https://www.security-next.com/1332022021年4Qの脆弱性届出、ソフトとウェブともに減少
https://www.security-next.com/133477「Drupal」に複数脆弱性 – サードパーティ製ライブラリに起因
https://www.security-next.com/133528悪意あるファイルの検知、前年比5.7%増 – 1日平均約38万件
https://www.security-next.com/133163SQLインジェクションで顧客アドレス9万8,635件が流出か、石橋楽器店(1/19)
https://cybersecurity-jp.com/news/62662サイバー攻撃でサイト壊滅、マルカンからカード情報1,152名流出か(1/19)
https://cybersecurity-jp.com/
TLSでポスト量子暗号を試してみる (その1: 鍵交換)
# 1. はじめに
米NISTのポスト量子暗号標準化([Post-Quantum Cryptography Standardization](https://wiki2.org/en/NIST_Post-Quantum_Cryptography_Standardization+Newton))にむけたコンペティションは2021年のラウンド3では格子暗号ベースのものを中心に4つの暗号化/鍵交換アルゴリズム、署名アルゴリズムがファイナリストとして絞られ、まもなく結果も発表される見込みです。オープンソースプロジェクトのオープン量子安全([OQS: Open Quantum Safe](https://openquantumsafe.org/))はそれらのファイナリストのアルゴリズムをライブラリーliboqsとして提供しています。
TLSプロトコルの中ではまだ扱いについて[ドラフト段階で](https://tools.ietf.org/id/draft-stebila-tls-hybrid-design-03.html)標準が確定したわけではありませんが、基本的にはこれらのアルゴリズムは、
