今さら聞けないセキュリティ　2022年02月13日

オレオレ証明書って何

よくオレオレ証明書って言葉を聞くので調べてみた。

証明書＝公開鍵だが、その公開鍵を認証局の発行したものでなく、自分で発行した秘密鍵で署名したものをオレオレ証明書という

2022/2/13主にITとかセキュリティの記事

「盗んだデータを公開する」と恐喝、身代金ウイルスの被害急増…昨年１４６件で製造業が５５件(2/11)
https://www.yomiuri.co.jp/national/20220210-OYT1T50429/

サイバーセキュリティへの関心高まる–O’Reilly「2022年テクノロジートレンド」(2/11)
https://japan.zdnet.com/article/35183122/

シーメンス製品に緊急の脆弱性、アップデートを(2/10)
https://news.mynavi.jp/techplus/article/20220210-2270145/

JPCERT/CCの「Emotet感染有無確認ツールEmoCheck」を試した(2/10)
https://qiita.com/yasthon/items/81fcdcd43c649dd08e7e

キヤノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される(2/11)
https://jp.techcrunch.com/2022/02/11/2022-02-10-maze-e

公開鍵暗号使ってTwitterで恥ずかしいことをいってみる。

# 王様の耳はロバの耳
エライヒトの悪口とか、言ってはいけないこととか、そういうことって大っぴらにいうと気持ちよくないですか？僕は気持ちいいです。一方で、そんなことを大っぴらにいって自分の上司とかにみられるのもちょっと困ってしまいますね。
そんな欲望を一気に発散するために

**ツイッターの中心で愛を叫ぶ。でも誰にも内緒で**

をやってみたいと思います。

## おことわり
技術的な方法の解説を、おもしろおかしく記事にするのが目的です。実際にこの方法で投稿を繰り返して発生する様々な問題について当方は一切の責任を追いません。

## 前提事項

|No.|項目|前提|備考|
|–|–|–|–|
|1.|OS|Windows |一部Windows独自のコマンドを利用します。|
|2.|導入ソフトウェア|OpenSSL|暗号全般、すべてこのコマンドで実施します。OpenSSLの導入方法は別途説明します。|

## Alice と Bobのお話

なぜか、通信するのはいつもAliceとBobなんですよね。秘密鍵を利用したメッセージのやり取りはこんな感じで行います。

![open

Apple Silicon Mac(M1 Mac)で「詳解 セキュリティコンテスト」の実習環境(もどき)を動かす

# はじめに
「詳解 セキュリティコンテスト」(以降、CTF本)の実習環境はvagrantを使用してデプロイすることとなっていますが、x86_64アーキテクチャを前提とした構成となっており、アーキテクチャが異なるApple Silicon Macではそのまま動かすことができません。
…この手の実習系はASM民には辛いですね。
今回、Mac向けの仮想化環境である[UTM](https://mac.getutm.app)を使って何とか動かすことができましたので、備忘として公開します。
なお、CTF本の手順通りに構成した場合はUbuntu Server 20.04 vagrant could imageをベースに構成したものが出来上がりますが、この記事ではcloud imageではないUbuntu Server上に同等の環境を再現するという方針で構成します。完全に同等の環境となるものではなく、動作の保証は出来かねる点は予めご留意ください。

# 想定する読者
– CTF本を買って実習しようとワクテカしてたけど、Apple Silicon Macしか持ってなくてつまづいてしまった方

2022/2/12主にITとかセキュリティの記事

CrowdStrike、AQUATIC PANDAによる侵入の試みでLog4Shellエクスプロイトツールの悪用を検知(2/10)
https://s.netsecurity.ne.jp/article/2022/02/10/47108.html

9カ月で37億件の違法ダウンロード‐アカマイが世界の著作権侵害状況を公表(2/9)
https://news.mynavi.jp/techplus/article/20220209-2269140/

公文書の電子媒体化「急速なデジタル化に対応」と官房長官(2/9)
https://www.sankei.com/article/20220209-BFSPMU5MCVORPKANBQPN2LWFWQ/

米19歳、E・マスクのジェット機追跡に成功　業界は保安面を懸念(2/10)
https://forbesjapan.com/articles/detail/45736/1/1/1

多数のIntel製品に脆弱性 ～CPUやマザーボード、Wi-Fiデバイスなど身近な製品にも(2/10)
https://forest.watch.impress.

2022/2/11主にITとかセキュリティの記事

「Emotet」感染、2月第1週より急速に拡大 – ピーク時に迫る勢い
https://www.security-next.com/134075

2021年の悪質ECサイト報告数、前年の約1.7倍に
https://www.security-next.com/134056

HISベトナム法人で顧客情報流出の可能性 – パスポート情報なども
https://www.security-next.com/134038

国内主要企業のDMARC導入率は24％ – 欧米とギャップ
https://www.security-next.com/134066

北海道新聞を装ったメールが送信、「Emotet」感染か
https://www.security-next.com/134064

弁護士や職員装うメールが送信される – 三宅法律事務所
https://www.security-next.com/134083

携帯電話の未払料金請求を装うスミッシング攻撃に注意
https://www.security-next.com/134079

応用地質グループ会社がサイト改ざん被害、フィッシン

５さいじがわかるcyber security（サイバセキュリティ）

# cyber security

## ＜よみきかせはじめ＞

「サイバセキュリティ」は、コンピュータ、ネットワークのしんごうで、ひとのいのち、そしき、くに、しゃかいにきけんをもたらすこうげきからまもることです。

ひとをきずつけることがおきたときに、そのこうげきからじぶんをまもることには、じぶんでできることがたくさんあります。

５さいになったら、じぶんのことは、じぶんでまもることをかんがえてみてください。

スマフォ、げーむき、ぱそこん、てれびなどからながれてくるおはなしで、ひとをきずつけるはなしがあったら、いやだなっておもうきもちがたいせつです。

いやだなっておもったら、どうやったらふせげるかをかんがえてみてください。

「サイバセキュリティ」として、サイバーこうげきからまもるひとは、ふつうにせいかつしたり、ふつうにしごとをしているひとたちです。

とくべつなのうりょくをもったひとだけが、サイバーこうげきからまもるわけではありません。

サイバーこうげきをしかけるひとはてんさいかもしれません。サイバーこうげきからまもるひとはふつうのひとです。

ふつうのひとが、ふつうのせいか

2022/2/10主にITとかセキュリティの記事

オンライン会議「Zoom」のチャット機能に脆弱性 – 「zip爆弾攻撃」受けるおそれ
https://www.security-next.com/134026

「Emotet」感染、従業員装うメールが送信 – リコーリース
https://www.security-next.com/134040

「Adobe Illustrator」などAdobe複数製品に深刻な脆弱性
https://www.security-next.com/134016

「Citrix Hypervisor」「XenServer」に脆弱性 – ホットフィクスが公開
https://www.security-next.com/134024

エレコム製の複数ルーターに脆弱性 – 開発画面よりコマンド実行が可能に
https://www.security-next.com/134020

GoAhead において遠隔からの任意のコード実行につながる環境変数のフィルタ処理不備の脆弱性（Scan Tech Report）(2/8)
https://s.netsecurity.ne.jp/article/2022/0

セキュリティことはじめ

セキュリティ勉強したいけど、何すればいいの！？という方向けの記事です。
サイトの脆弱性診断などについても書きます。

## 参考になるもの

### IPAのサイト

[安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構](https://www.ipa.go.jp/security/vuln/websecurity.html)
ここに載っているものはメジャーなものなので、それぞれの攻撃方法・対策方法を学習していくと良いと思います。

“`
1 SQLインジェクション
2 OSコマンド・インジェクション
3 パス名パラメータの未チェック／ディレクトリ・トラバーサル
4 セッション管理の不備
5 クロスサイト・スクリプティング
6 CSRF（クロスサイト・リクエスト・フォージェリ）
7 HTTPヘッダ・インジェクション
8 メールヘッダ・インジェクション
9 クリックジャッキング
10 バッファオーバーフロー
11 アクセス制御や認可制御の欠落
“`

### OWASP TOP 10

[OWASP Top 10:2021](https://owasp.org/To

いま一度確認したいEmotetのなんやかんや

# はじめに
**まず、この記事がすべてだとは思わないでください。**
攻撃手法は日々変わっていってますので、ここでの説明がぐるっとひっくり返ることが割とあり得ます。
一応、嘘を書かないように気を付けてはいますが、基本的にはIPAやセキュリティベンダー等の記事で定期的に情報を集めた方が情報の正確性は高いです。[^1]

# Emotetとは何ぞや
主に「なりすましメール」によって感染拡大しているマルウェアです。
最初は2019年12月頃に流行ったマルウェアで、ここしばらく活動は停止していました。
しかし、2021年12月から活動が再開され[^2]、現在（2022年2月時点）では多くの企業に被害が拡大しています。

# どっから感染すんの？
このマルウェアは「なりすましメール」に添付されたファイルやリンクされているURLから感染します。
> なりすましメールとか気を付ければひっかからんてｗ

みたいな声が聞こえてきそうですが、実はこのEmotetのメールはパッと見では気付けないレベルに偽装されており、油断は禁物です。
Emotetによって抜き取られた情報（氏名、メールアドレス、メールの内

2022/2/9主にITとかセキュリティの記事

政府、大会関係者に北京五輪公式アプリ利用で注意喚起 – 期間中の攻撃にも警戒を
https://www.security-next.com/133965

Fortinet製WAF「FortiWeb」に複数脆弱性 – アップデートで修正
https://www.security-next.com/133961

防災システムへの不正アクセス、スパム約31万件が送信される – 新潟県
https://www.security-next.com/133972

福井県ブランド課のTwitterアカウントが乗っ取り被害 – フォロー解除を
https://www.security-next.com/133974

【独自】国家機密の管理は国産クラウドで…技術開発を後押し、２３年度の運用目指す(2/7)
https://www.yomiuri.co.jp/economy/20220206-OYT1T50208/

ダークウェブで売買されている日本のクレジットカード情報の価格は平均4905.89円(2/6)
https://dime.jp/genre/1314978/

【独自】国家機密の管理は

2022/2/8主にITとかセキュリティの記事

主要PCメーカーが採用する「InsydeH2O UEFI」に脆弱性 – 侵害されると影響大
https://www.security-next.com/133943

「Emotet」感染でなりすましメールが送信される、情報流出も – テスコム
https://www.security-next.com/133941

壁紙専門店で「Emotet」感染 – 社名やサイト装うメールが送信される
https://www.security-next.com/133939

顧客のクレカ情報流出の可能性 – 医薬品容器メーカー
https://www.security-next.com/133204

県女性センターかたる不審メール、利用者メアド流出か – 愛知県
https://www.security-next.com/133936

Opera Software、なりすましによる偽の提携話に注意喚起(2/5)
https://www.zaikei.co.jp/article/20220205/659120.html

ペネトレーションテスト英語表記: Penetration Test(2

2022/2/7主にITとかセキュリティの記事

積水ハウスグループ企業がエモテット感染、不審メール確認される(2/4)
https://cybersecurity-jp.com/news/63254

「漫画天国」運営者が書類送検–海賊版サイトに誘導する「リーチサイト」を運営(2/3)
https://japan.cnet.com/article/35183050/

デジタル遺品整理で、遺族のトラブル回避　何をやれば最低限OK？(2/4)
https://xtrend.nikkei.com/atcl/contents/18/00585/00002/?i_cid=nbpnxr_right_ranking_y

＜今日は何の日＞2月1日「『サイバーセキュリティ月間』スタート」(2/4)
https://www.weeklybcn.com/journal/column/detail/20220204_188840.html

2022年北京冬季オリンピック・パラリンピック大会の開催に伴うサイバーセキュリティ対策について（注意喚起）(2/4)
https://www.npa.go.jp/newlyarrived/2022/2022020

Quiztime 2nd February 2022: A mysterious straw man

#概要

皆さん、お久しぶりです。
ニャンダウです♪

今回のOSINTクイズは単純で、あまり書くことはないのですが、逆画像検索では決して見つからず、
約6時間も時間を費やしてしまいました。

以下、問題のツイートです。

It‘s @Quiztime ?

? In which city was this photo taken?

✍️ Reply to me with your answer
? Reply to all for collaboration
? Good luck with the #MondayQuiz pic.twitter.com/ztHsyBUjJw

— Julia Bayer (@bayer_julia) January 31, 2022

#思考作為

内容は単純に、この写真を撮った場所を突き止めるだけ。

当初、この問題に取り組んだときは、最近はGoogleレンズで簡単に解ける問題ばかりでうんざりしていたこともあり、
すぐに終わるだろうと思っていた。

まずはGoogleレンズ。


見つからなかったのでFirefoxのSearch

サービスでメール使う時にに知っておきたい『SMTP-AUTH』『SPF』『DKIM』『DMARC』『SSL』について

# はじめに

メール設定時に、
『どこまですればセキュアか?』
『この設定はどこまで配慮してくれているのか？』
『どこまで行えば完璧か?』
等々曖昧だったので調べました！と言うものです。

で結論ですが、
ある程度セキュアにはできますが『完璧』は難しそうです、、という報告です。
※詳しくは[SSL](https://qiita.com/sachiko-kame/items/cd9b5187cb767f6510c5#ssl)の箇所を参考にしてください。私はこの部分が一番残念な部分でした、、

あと自分のサービス設定する場合、
『SPF』『DKIM』『SSL』は絶対に設定しておきたいなの気持ちです。(大切な情報送る場合)
『SMTP-AUTH』は気持ちあった方が嬉しいぐらいの認識です！
誰にでも見られてもいい場合は『SSL』はそこまで必要ないのかもの認識です。

# 用語の大雑把な説明
何はともあれ、表で大雑把にみたい方が沢山いるはずなのでここで素晴らしくまとめられた表をご覧頂きたいと思います！:hatched_chick:
↑
(ハードルを自分で上げるから苦しくなるんだよ、、:con

Javaセキュリティ 10のベストプラクティス　

陽が少しづつ伸びてきましたが、寒い日が続きますね。

昔から、問題を抱えつつも幅ひろく使われているJava.
典型的なSQLインジェクションの問題など、今一度振り返り、Javaデベロッパなら知って損はない10のセキュリティプラクティスについてのこちらのブログ記事の翻訳をご紹介します

https://snyk.io/blog/10-java-security-best-practices/

#Javaセキュリティ 10のベストプラクティス　

Brian Vermeer, Jim Manico
ブライアン・フェルメール、ジム・マニコ
2019年9月16日

今回のチートシート編では、オープンソースのメンテナとデベロッパの両者に向けて、10のJavaセキュリティのベストプラクティスに焦点を当てました。本チートシートは、Snyk社のDeveloper AdvocateであるBrian Vermeer氏と、Java Championで[ManicodeSecurity社](https://manicode.com/)の創設者であるJim Manico氏のコラボレーションによるも

XSS攻撃対策についてNode.js Expressでアプリを構築して実例で理解する

## はじめに
Node.jsのExpressでテンプレートエンジンejsを使って実装するWebアプリを実例に、XSS攻撃を受ける脆弱性がある状態と対策を講じた場合の実装を見ていく事で、XSS攻撃について理解を深めてみようと思う。

## XSS（クロスサイト・スクリプティング）攻撃とは？
Webアプリケーションにスクリプト等を埋め込むことが可能な状態になっている＝脆弱性がある時に、これを利用されて利用者のブラウザ上で不正なスクリプトが実行されてしまう可能性がある。
そのスクリプト等を埋め込むような攻撃をXSS（クロスサイト・スクリプティング）攻撃という。

詳細は以下のサイトを参照。

https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_5.html

以下ではNode.jsのExpressでテンプレートエンジンejsを使った実装を例に、実際に脆弱性がある実装をやってみて、脆弱性がある時どのような事が起きるのか？またそれを防ぐためにどうするのか？をみていく。

見ていく内容としては、IPAのサイトに書かれている対策の一覧に書か

McAfeeの偽広告を削除した。

###はじめに

iTuneをダウンロードしたり、youtubeの公式サイトから曲をダウンロードして使っていたら、Gomusic.infoの偽広告が右下に頻繁に表示されるようになったので削除する方法を調べました。

###環境
Chrome

###対処

最初にChromeが日本語化していない場合、日本語化をやっておくといいと思います。

https://qiita.com/kidenkadenyorozuya/items/75b77efa1803095fc63e

Chromeの画面右上のメニューボタンをクリックし、
設定->左上の設定->セキュリティとプライバシ->サイトの設定->通知
で通知を許可していないGomusic.infoのサイトとそれ以外に複数のサイトが登録されていたので削除しました。

###結果

あれ程うざかった広告が削除できました。

###参考

https://service.mcafee.com/?locale=ja-JP&articleId=TS103085&page=shell&shell=article-view

2022/2/6主にITとかセキュリティの記事

将棋動画配信サービスで不具合、個人情報が流出
https://www.security-next.com/133826

秋葉山公園県民水泳場がエモテットに感染、利用者らにメール攻撃の可能性(2/4)
https://cybersecurity-jp.com/news/63256

オンライン決済の需要拡大が生体認証の利用浸透に大きく影響、日立調査(2/4)
https://s.netsecurity.ne.jp/article/2022/02/04/47082.html

「みんなやってる」許さない　著作権侵害、狭まる包囲網―官民連携、摘発相次ぐ(2/4)
https://www.jiji.com/sp/article?k=2022020300920&g=soc

「漫画天国」運営者が書類送検–海賊版サイトに誘導する「リーチサイト」を運営(2/3)
https://japan.cnet.com/article/35183050/

UPnPの脆弱性悪用してルータのNAT侵害するEternal Silence攻撃に注意(2/2)
https://news.mynavi.jp/tech

Angularセキュリティのベストプラクティス

太陽がなんとなく春めいてきましたね。
そして、なんとなく頭も重く、目も痒いこの季節。。。そう、花粉。
何か始めるにあたって良さそうな季節だったのですが、
1月から始まる予定だったコーディングブートキャンプが中止となりました。。。:sweat_smile:
残念な気持ちと、若干、ホットする気持ちもあり、、、

今回は、こちらから。

https://snyk.io/blog/angular-security-best-practices/

フレームワークは、数多くありますが、今回はAngularのコーディングのセキュリティ対策。
xssの防御、プロジェクトのスキャンといったベースの知識はAngularに関わらず、役立ちそうです。

#Angularセキュリティのベストプラクティス

Liran Tal（リラン・タル）Natalia Venditto（ナタリー・ベンディット）

2020年8月10日
前回は、[AngularJSセキュリティの基礎知識のチートシート](https://snyk.io/blog/angularjs-security/)をご紹介しました。今回は、最新のAng