- 1. 2022/2/8主にITとかセキュリティの記事
- 2. 2022/2/7主にITとかセキュリティの記事
- 3. Quiztime 2nd February 2022: A mysterious straw man
- 4. サービスでメール使う時にに知っておきたい『SMTP-AUTH』『SPF』『DKIM』『DMARC』『SSL』について
- 5. Javaセキュリティ 10のベストプラクティス
- 6. XXS攻撃対策についてNode.js Expressでアプリを構築して実例で理解する
- 7. McAfeeの偽広告を削除した。
- 8. 2022/2/6主にITとかセキュリティの記事
- 9. Angularセキュリティのベストプラクティス
- 10. 自宅VPNがWIFIルータの標準機能で爆速で構築できた件 #地球から勤務
- 11. セキュリティ基礎知識について簡潔にまとめました
- 12. 2022/2/5主にITとかセキュリティの記事
- 13. 第6回「AeyeScan+Google Apps Scriptを使ったスキャンの定期実行(Queuing対応)」
- 14. 2022/2/4主にITとかセキュリティの記事
- 15. 2022/2/3主にITとかセキュリティの記事
- 16. The Big Fix「脆弱性を修正すると、限定Tシャツが全員に当たります」
- 17. 2022/2/2主にITとかセキュリティの記事
- 18. 情報処理安全確保支援士に合格するためのアウトプット(4/n)
- 19. 情報処理安全確保支援士に合格するためのアウトプット(3/n)
- 20. 情報処理安全確保支援士に合格するためのアウトプット(2/n)
2022/2/8主にITとかセキュリティの記事
主要PCメーカーが採用する「InsydeH2O UEFI」に脆弱性 – 侵害されると影響大
https://www.security-next.com/133943「Emotet」感染でなりすましメールが送信される、情報流出も – テスコム
https://www.security-next.com/133941壁紙専門店で「Emotet」感染 – 社名やサイト装うメールが送信される
https://www.security-next.com/133939顧客のクレカ情報流出の可能性 – 医薬品容器メーカー
https://www.security-next.com/133204県女性センターかたる不審メール、利用者メアド流出か – 愛知県
https://www.security-next.com/133936Opera Software、なりすましによる偽の提携話に注意喚起(2/5)
https://www.zaikei.co.jp/article/20220205/659120.htmlペネトレーションテスト英語表記: Penetration Test(2
2022/2/7主にITとかセキュリティの記事
積水ハウスグループ企業がエモテット感染、不審メール確認される(2/4)
https://cybersecurity-jp.com/news/63254「漫画天国」運営者が書類送検–海賊版サイトに誘導する「リーチサイト」を運営(2/3)
https://japan.cnet.com/article/35183050/デジタル遺品整理で、遺族のトラブル回避 何をやれば最低限OK?(2/4)
https://xtrend.nikkei.com/atcl/contents/18/00585/00002/?i_cid=nbpnxr_right_ranking_y<今日は何の日>2月1日「『サイバーセキュリティ月間』スタート」(2/4)
https://www.weeklybcn.com/journal/column/detail/20220204_188840.html2022年北京冬季オリンピック・パラリンピック大会の開催に伴うサイバーセキュリティ対策について(注意喚起)(2/4)
https://www.npa.go.jp/newlyarrived/2022/2022020
Quiztime 2nd February 2022: A mysterious straw man
#概要
皆さん、お久しぶりです。
ニャンダウです♪今回のOSINTクイズは単純で、あまり書くことはないのですが、逆画像検索では決して見つからず、
約6時間も時間を費やしてしまいました。以下、問題のツイートです。
It‘s @Quiztime ?
? In which city was this photo taken?
✍️ Reply to me with your answer
? Reply to all for collaboration
? Good luck with the #MondayQuiz pic.twitter.com/ztHsyBUjJw— Julia Bayer (@bayer_julia) January 31, 2022
#思考作為
内容は単純に、この写真を撮った場所を突き止めるだけ。
当初、この問題に取り組んだときは、最近はGoogleレンズで簡単に解ける問題ばかりでうんざりしていたこともあり、
すぐに終わるだろうと思っていた。まずはGoogleレンズ。
見つからなかったのでFirefoxのSearch
サービスでメール使う時にに知っておきたい『SMTP-AUTH』『SPF』『DKIM』『DMARC』『SSL』について
# はじめに
メール設定時に、
『どこまですればセキュアか?』
『この設定はどこまで配慮してくれているのか?』
『どこまで行えば完璧か?』
等々曖昧だったので調べました!と言うものです。で結論ですが、
ある程度セキュアにはできますが『完璧』は難しそうです、、という報告です。
※詳しくは[SSL](https://qiita.com/sachiko-kame/items/cd9b5187cb767f6510c5#ssl)の箇所を参考にしてください。私はこの部分が一番残念な部分でした、、あと自分のサービス設定する場合、
『SPF』『DKIM』『SSL』は絶対に設定しておきたいなの気持ちです。(大切な情報送る場合)
『SMTP-AUTH』は気持ちあった方が嬉しいぐらいの認識です!
誰にでも見られてもいい場合は『SSL』はそこまで必要ないのかもの認識です。# 用語の大雑把な説明
何はともあれ、表で大雑把にみたい方が沢山いるはずなのでここで素晴らしくまとめられた表をご覧頂きたいと思います!:hatched_chick:
↑
(ハードルを自分で上げるから苦しくなるんだよ、、:con
Javaセキュリティ 10のベストプラクティス
陽が少しづつ伸びてきましたが、寒い日が続きますね。
昔から、問題を抱えつつも幅ひろく使われているJava.
典型的なSQLインジェクションの問題など、今一度振り返り、Javaデベロッパなら知って損はない10のセキュリティプラクティスについてのこちらのブログ記事の翻訳をご紹介しますhttps://snyk.io/blog/10-java-security-best-practices/
#Javaセキュリティ 10のベストプラクティス
Brian Vermeer, Jim Manico
ブライアン・フェルメール、ジム・マニコ
2019年9月16日今回のチートシート編では、オープンソースのメンテナとデベロッパの両者に向けて、10のJavaセキュリティのベストプラクティスに焦点を当てました。本チートシートは、Snyk社のDeveloper AdvocateであるBrian Vermeer氏と、Java Championで[ManicodeSecurity社](https://manicode.com/)の創設者であるJim Manico氏のコラボレーションによるも
XXS攻撃対策についてNode.js Expressでアプリを構築して実例で理解する
## はじめに
Node.jsのExpressでテンプレートエンジンejsを使って実装するWebアプリを実例に、XXS攻撃を受ける脆弱性がある状態と対策を講じた場合の実装を見ていく事で、XXS攻撃について理解を深めてみようと思う。## XXS(クロスサイト・スクリプティング)攻撃とは?
Webアプリケーションにスクリプト等を埋め込むことが可能な状態になっている=脆弱性がある時に、これを利用されて利用者のブラウザ上で不正なスクリプトが実行されてしまう可能性がある。
そのスクリプト等を埋め込むような攻撃をXXS(クロスサイト・スクリプティング)攻撃という。詳細は以下のサイトを参照。
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_5.html
以下ではNode.jsのExpressでテンプレートエンジンejsを使った実装を例に、実際に脆弱性がある実装をやってみて、脆弱性がある時どのような事が起きるのか?またそれを防ぐためにどうするのか?をみていく。
見ていく内容としては、IPAのサイトに書かれている対策の一覧に書か
McAfeeの偽広告を削除した。
###はじめに
iTuneをダウンロードしたり、youtubeの公式サイトから曲をダウンロードして使っていたら、Gomusic.infoの偽広告が右下に頻繁に表示されるようになったので削除する方法を調べました。
###環境
Chrome###対処
最初にChromeが日本語化していない場合、日本語化をやっておくといいと思います。
https://qiita.com/kidenkadenyorozuya/items/75b77efa1803095fc63e
Chromeの画面右上のメニューボタンをクリックし、
設定->左上の設定->セキュリティとプライバシ->サイトの設定->通知
で通知を許可していないGomusic.infoのサイトとそれ以外に複数のサイトが登録されていたので削除しました。###結果
あれ程うざかった広告が削除できました。
###参考
https://service.mcafee.com/?locale=ja-JP&articleId=TS103085&page=shell&shell=article-view
2022/2/6主にITとかセキュリティの記事
将棋動画配信サービスで不具合、個人情報が流出
https://www.security-next.com/133826秋葉山公園県民水泳場がエモテットに感染、利用者らにメール攻撃の可能性(2/4)
https://cybersecurity-jp.com/news/63256オンライン決済の需要拡大が生体認証の利用浸透に大きく影響、日立調査(2/4)
https://s.netsecurity.ne.jp/article/2022/02/04/47082.html「みんなやってる」許さない 著作権侵害、狭まる包囲網―官民連携、摘発相次ぐ(2/4)
https://www.jiji.com/sp/article?k=2022020300920&g=soc「漫画天国」運営者が書類送検–海賊版サイトに誘導する「リーチサイト」を運営(2/3)
https://japan.cnet.com/article/35183050/UPnPの脆弱性悪用してルータのNAT侵害するEternal Silence攻撃に注意(2/2)
https://news.mynavi.jp/tech
Angularセキュリティのベストプラクティス
太陽がなんとなく春めいてきましたね。
そして、なんとなく頭も重く、目も痒いこの季節。。。そう、花粉。
何か始めるにあたって良さそうな季節だったのですが、
1月から始まる予定だったコーディングブートキャンプが中止となりました。。。:sweat_smile:
残念な気持ちと、若干、ホットする気持ちもあり、、、今回は、こちらから。
https://snyk.io/blog/angular-security-best-practices/
フレームワークは、数多くありますが、今回はAngularのコーディングのセキュリティ対策。
xssの防御、プロジェクトのスキャンといったベースの知識はAngularに関わらず、役立ちそうです。#Angularセキュリティのベストプラクティス
Liran Tal(リラン・タル)Natalia Venditto(ナタリー・ベンディット)
2020年8月10日
前回は、[AngularJSセキュリティの基礎知識のチートシート](https://snyk.io/blog/angularjs-security/)をご紹介しました。今回は、最新のAng
自宅VPNがWIFIルータの標準機能で爆速で構築できた件 #地球から勤務
現在のリモートワークの風潮は、感染症が加速したように思えます。
最近は、ヤフーが「どこでもオフィス」という制度を始めたことを聞きました。https://about.yahoo.co.jp/pr/release/2022/01/12a/
研究室の先輩が、春から家から勤務するか、引っ越すか迷っているそうです。
**なんとも羨ましい悩みでしょうか?**
こうした「移動可能なライフスタイル」をデザインするには、通信路のセキュリティが担保されることは重要です。
通常のWIFIやTLS,SSL等の暗号化に加えてVPNを利用すれば、さらなるセキュリティが確保できます。まあ、VPNってなんかめんどくさそう、そんなあなたに朗報です!
# WIFIルータの標準機能で構築できてしまった件
VPNを構築するにはラズベリーパイ等にオープンソースのOpenVPNなどをインストールし、ネットワークの設定をターミナルで行うという面倒な手続きを踏む記事をよく見かけます。
しかし、現在のWIFIルータにはVPNサーバーがインストールされているものがあります。また、動的DNSも標準でサポートされているW
セキュリティ基礎知識について簡潔にまとめました
## はじめに
私は、AWSクラウドプラクティショナーの資格を取るために1月から勉強を始めた者です。
今回は、セキュリティの基礎知識について勉強したことをまとめましたので、みなさまの勉強の参考にしていただければと思います。
## 参考
[AWSエンジニア入門講座――学習ロードマップで体系的に学ぶ](https://www.amazon.co.jp/gp/product/B09PYMQZD4/ref=as_li_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=B09PYMQZD4&linkCode=as2&tag=itabashitat0a-22&linkId=22191d1b5e3489f226104a08d4d56681)
## ネットワークセキュリティ
#### 攻撃手法
######⚫️盗聴
悪意を持った第三者により、インターネット上に流れる情報を盗み見られること。
######⚫️改ざん
情報の送信元と送信先以外のの第三者により、情報の内容を書き換えられること。
######⚫️なりすまし
本物に似せて作られ
2022/2/5主にITとかセキュリティの記事
Cisco製ルータ「RVシリーズ」に複数の脆弱性 – コード実行など深刻な影響
https://www.security-next.com/1338952021年のマルウェア届出、前年の2倍 – ランサム感染被害は39件
https://www.security-next.com/133877「Emotet」感染で情報流出、なりすましメールが送信 – ライオン
https://www.security-next.com/133912「WordPress」関連事故の背景に知識や予算の不足
https://www.security-next.com/133910情シス担当者、「ゼロトラストを理解している」21%
https://www.security-next.com/133784サイト改ざんでフィッシングサイト設置される – 地質調査会社
https://www.security-next.com/133747GitHub傘下のnpm、上位100のパッケージメンテナは2FA必須に(2/3)
https://www.itmedia.co.jp/news/spv/2
第6回「AeyeScan+Google Apps Scriptを使ったスキャンの定期実行(Queuing対応)」
SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jpこんにちは。株式会社エーアイセキュリティラボ カスタマーサクセス担当 日髙です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。[前回](https://qiita.com/AeyeScan/items/24e28db5a57988a90e06)はAWS lambda+Am
2022/2/4主にITとかセキュリティの記事
XMLパーサーライブラリ「Expat」に複数の深刻な脆弱性
https://www.security-next.com/133864フィッシング報告が2割減となるも高水準 – 悪用されたURLは増加
https://www.security-next.com/133867【Q】Wi-Fi経由でインターネットにつながらない(2/2)
https://internet.watch.impress.co.jp/docs/column/wifi_qanda/1384837.html2021年はデジタル出版50周年だった(2/2)
https://hon.jp/news/1.0/0/32388Windows 10 1月の累積更新プログラムで修正の脆弱性、PoC公開で要注意(2/2)
https://news.biglobe.ne.jp/it/0202/mnn_220202_3712192834.html再生可能エネルギーの導入進展で生じるセキュリティリスクに要注意(2/2)
https://japan.zdnet.com/article/35182373/テレワーク「劣等
2022/2/3主にITとかセキュリティの記事
「Emotet」に感染、関係者になりすましメールが送信 – 積水ハウス
https://www.security-next.com/133829「IoTセキュリティ手引書」に改訂版 – 「NIST SP800-171」を反映
https://www.security-next.com/133831macOS 12.2、バッテリー消耗で不具合の報告「一晩スリープでバッテリーが0%に」(1/31)
https://www.danshihack.com/2022/01/31/junp/macos-12-2-bug.html地方公共団体に求められる セキュリティ対策と体制強化
https://www.projectdesign.jp/articles/42fea605-8be4-4e68-ab26-70cbbf611ef1「Windows」のアップデート、適用には十分な接続時間が必要–MSが明らかに(2/1)
https://japan.zdnet.com/article/35182904/Apple、macOSの脆弱性の報告者に約10万ドルの報奨金支払う(2/1)
ht
The Big Fix「脆弱性を修正すると、限定Tシャツが全員に当たります」
こんにちは。デベロッパーファーストのセキュリティプラットフォーム Snyk (スニーク) でソリューションエンジニアをしている @ToshiAizawa です!
#The Big Fix
Snyk では2月25日まで、The Big Fix というイベントをやっています。The Big Fix とは「みんなでアプリケーションの脆弱性を修正して、インターネットをもっと安全にしよう」という主旨のイベント。
オープンソースプロジェクトや、個人・会社のコードの中に隠れいている脆弱性を見つけて、修正する。それを世界中の開発者、運用担当者、セキュリティ担当者と、いっしょにやりませんか?
最終日の2月25日 (金) には、24時間のライブストリーミングイベントを予定しています (日本時間 午前9時から翌日午前9時まで)。また、The Big Fix に「参加」いただいた方には、The Big Fix のイベント T シャツをプレゼント。
# 参加方法
イベント特製の限定版 T シャツをゲットするためには、以下の4条件をクリアしてください!
1. [Snyk にサインアップ](#snyk
2022/2/2主にITとかセキュリティの記事
「Samba」に深刻な脆弱性 – リモートよりコード実行のおそれ
https://www.security-next.com/133774「サイバーセキュリティ月間」が開始、マクロスとタイアップ – 「おぼえていますか」と対策をアピール
https://www.security-next.com/133788フィッシング、人事装うメールが高クリック率 – IT部門が低いとは限らず
https://www.security-next.com/133792不正アクセスでクレカ情報流出の可能性 – 化粧品メーカー
https://www.security-next.com/133627県民プール利用者情報が流出、マルウェア感染で – 和歌山県
https://www.security-next.com/133782約7カ月にわたり個人情報を市サイトに掲載 – 有田市
https://www.security-next.com/133745Apache TomcatにTOCTOU 競合状態による権限昇格の脆弱性(1/31)
https://s.netsecurity.n
情報処理安全確保支援士に合格するためのアウトプット(4/n)
#Webアプリケーションファイアウォール(WAF)
IDS、IPSでNWを流れる不正なものを検知・防御できるようになったけれど、
アプリケーションの脆弱性を狙ったものは防御できない。
ただ、世の中にあるものはアプリケーションであり、そこも同様に防御する必要がある。
そんな時に近年利用されるものが、WAF(Webアプリケーションファイアウォールで、ワフと言われる)である。##WAFの種類
いくつか種類があるが代表的なものは3つほど– リバースプロキシ型
– いわゆるプロキシ(PCからWANに行く時に代理でアクセスする)の逆(リバース)
– なので、WANから来る通信をPCに代理で中に渡すもの
– これにより、どこの誰かも分からないアクセスを、知った人からの通信に変更できる
– ブリッジ型
– IPSなどと同様インラインで接続するが、通信は代行しない
– 橋のように単に架け橋となるだけ
– ソフトウェア型
– Webサーバーのプラグインとして利用されるもの
– サーバーには通信が届いてしまうので、防げないことも多いよ##W
情報処理安全確保支援士に合格するためのアウトプット(3/n)
#IPS(Intrusion Prevention System:侵入防御システム)
IDSの上位版のような形として使われることも多い。
従来のNIDSをインライン接続することで、NIDSの検知およびより強力な防御を備えている。##IPSの接続方法
– プロミスキャストモード
– 通信自体は垂れ流し(NIDSと同等)
– インラインモード
– NWの間に入って、一旦通信をキャッチする
– その分防御できるけど、NWへの影響はでかい##主な機能
– 検知
– 遮断
– 方向問わずのポリシー設定
– IN、OUT問わずに設定可能
– VLANでの仮想IPS
– IPS1台でカバーできるよっていう##構成例
– DMZに配置
– NIDSと同様の設置。
– インラインで接続できるので防御機能は高いが、全部チェックすると影響も大きい
– 各拠点間の接続ポイントに設置
– WANとLANの間にIPSをインラインで接続
– 双方向で防御できるが、拠点ごとに必要なので高価にはなる
– 特定システムへの経路上でIPSを
情報処理安全確保支援士に合格するためのアウトプット(2/n)
#IDS(Intrusion Detection System:侵入検知システム)
大きく2種類に分かれる。##NIDS(Network型IDS)
ネットワーク型なので、ネットワーク上に配置可能なもの。
どこに置くかによって目的・効果も変わるので配置場所は注意。– 設置方法
– FWの外に置く(バリアセグメント)
– FWの中に置く
– DMZに置く(中に入る前に検知できて良い)
– 内部ネットワーク上に置く(万が一内部に入ったものに対しても検知できる)– 検知方法
– パターンマッチング
– 事前に決められたパターンのデータかどうかをマッチングし、検知する
– アノマリ検知
– RFCなどの正しいプロトコル仕様や振る舞いなどと比較し、逸脱したものを検知する– 検知後
– TCP接続であれば、IDSからRSTパケットを送って通信を切断させる
– FWに異常検知した内容を伝え、FWに通信を遮断してもらう##HIDS(Host型IDS)
ホスト型なので、ホスト
