今さら聞けないセキュリティ　2022年02月18日

2022.02.18
OTHER

今さら聞けないセキュリティ　2022年02月18日

目次

1. 2022/2/18主にITとかセキュリティの記事
2. OSSECについて学び始めたその９
3. OSSECについて学び始めたその８
4. GIAC試験攻略法
5. 2022/2/17主にITとかセキュリティの記事
6. 2022/2/16主にITとかセキュリティの記事
7. CSRF攻撃対策についてNode.js Expressでアプリを構築して実例で理解する
8. 2022/2/15主にITとかセキュリティの記事
9. セキュリティ用語
10. 「５さいじがわかるcyber security（サイバセキュリティ）」のかんがえかた
11. 認可に関するチェックマトリクス
12. 登録情報の供与のチェックマトリクス
13. 2022/2/14主にITとかセキュリティの記事
14. picoCTF 2019 part2
15. SpringBootセキュリティ 10 のベストプラクティス
16. オレオレ証明書って何
17. 2022/2/13主にITとかセキュリティの記事
18. 公開鍵暗号使ってTwitterで恥ずかしいことをいってみる。
19. Apple Silicon Mac(M1 Mac)で「詳解セキュリティコンテスト」の実習環境(もどき)を動かす
20. 2022/2/12主にITとかセキュリティの記事

2022/2/18主にITとかセキュリティの記事

「Emotet」に感染、従業員なりすましメールが送信される – ワコール
https://www.security-next.com/134212

ROSを外部ネットワークと安全に接続する方法(2/16)
https://ascii.jp/elem/000/004/083/4083659/?rss

Google Chrome、すぐにアップデートを – 脆弱性の悪用確認(2/16)
https://news.biglobe.ne.jp/it/0216/mnn_220216_9937322835.html

ソフトバンク、メールでのパスワード付き圧縮ファイルを運用廃止。受信すると自動削除(2/16)
https://pc.watch.impress.co.jp/docs/news/1388648.html

Google Chrome、すぐにアップデートを – 脆弱性の悪用確認(2/16)
https://news.infoseek.co.jp/article/mynavi_2368934/?tpgnr=it

ウクライナの国防省サイトや大手銀行にサイバー攻撃(2/16)
https:

元記事を表示

OSSECについて学び始めたその９

#はじめに
前回はosssecのディレクトリ全体のツリー構造を調べましたが、さすがに膨大でしたので、src直下のツリー構造を調べました。

#以下
“`
/home/ec2-user/ossec-hids-master/src
|–addagent
| |–b64.c
| |–main.c
| |–manage_agents.c
| |–manage_agents.h
| |–manage_keys.c
| |–read_from_user.c
| |–validate.c
|–agentlessd
| |–agentlessd.c
| |–agentlessd.h
| |–main.c
| |–README
| |–scripts
| | |–main.exp
| | |–register_host.sh
| | |–ssh_asa-fwsmconfig_diff
| | |–ssh.exp
| | |–ssh_foundry_diff
| | |–ssh_generic_diff
| |

元記事を表示

OSSECについて学び始めたその８

#はじめに
ossecのソースコードについて、とりあえずツリー構造を調べました。

#以下
“`
/home/ec2-user/ossec-hids-master
|–active-response
| |–cloudflare-ban.sh
| |–disable-account.sh
| |–firewalld-drop.sh
| |–firewall-drop.sh
| |–firewalls
| | |–ipfw_mac.sh
| | |–ipfw.sh
| | |–npf.sh
| | |–pf.sh
| |–host-deny.sh
| |–ip-customblock.sh
| |–ossec-aws-waf.sh
| |–ossec-pagerduty.sh
| |–ossec-slack.sh
| |–ossec-tweeter.sh
| |–restart-ossec.sh
| |–route-null.sh
| |–win
| | |–firewall-drop.cmd
|

元記事を表示

GIAC試験攻略法

#はじめに
この記事はGCFA、GREM、GNFAの3つのGIAC試験を突破した私が考える試験攻略法について記載したものです。
私以外のGIAC試験合格者の意見も参考にしています。

#GIAC試験について
公式サイトは以下です。GIACとは資格試験の総称であり、個々の資格は、GIAC Certified Forensic Analyst (GCFA)のように、「GIAC」が冒頭にきます。
試験によって内容は違いますが、セキュリティ分野における著名な認定資格です。日本ではGPEN、GCFA、GREM、GCIHあたりを取得している人が多いように思います。

https://www.giac.org/get-certified/

#GIAC試験の特徴
一般的な資格試験との大きな違いは以下の3点です。

１．英語で出題される
２．紙媒体であればなんでも持ち込める（模擬試験の問題のみNG)
３．原則として1度回答を決めたら後から直せない

１．は英語が苦手な人には大きな壁になると思います。ただし、試験で使用される英語は比較的わかりやすいように思います。
２．はGIAC試験の肝になるルールです

元記事を表示

2022/2/17主にITとかセキュリティの記事

不正端末利用を防ぐ「eSIM」を開発 – NTTコムとトレンド
https://www.security-next.com/134198

申込フォームでセミナー参加者の個人情報が流出 – 愛知県
https://www.security-next.com/134135

「Apache Gobblin」に深刻な脆弱性 – アップデートが公開
https://www.security-next.com/134188

「VMware ESXi」などに複数脆弱性 – 組み合わさると深刻な影響
https://www.security-next.com/134166

EC基盤「Adobe Commerce」「Magento」にゼロデイ脆弱性 – 早急に対応を
https://www.security-next.com/134168

街づくり地域セミナー参加申込者情報が閲覧可能に、委託先の一社代表理事報酬3ヶ月辞退(2/15)
https://s.netsecurity.ne.jp/article/2022/02/15/47136.html

FBI、ランサムウェアグループ「Black

元記事を表示

2022/2/16主にITとかセキュリティの記事

【更新あり】Google、「Chrome 98.0.4758.102」を公開 – 一部脆弱性はすでに悪用報告も
https://www.security-next.com/134123

ESETのWindows向け製品に権限昇格の脆弱性
https://www.security-next.com/134151

実例をSNSで共有、被害を未然に防ぐ「#迷惑メール展」
https://www.security-next.com/134138

「セキュリティ・キャンプフォーラム2022」がオンラインで開催
https://www.security-next.com/134130

大和ハウスグループ会社がEmotet感染、不審メールに注意を呼びかけ(2/14)
https://s.netsecurity.ne.jp/article/2022/02/14/47124.html

第17回認知バイアス錯覚を知らなければリスク管理は始まらない(2/14)
https://www.risktaisaku.com/articles/-/64996

オープンソース開発、欠陥修正に弱点　有志頼み

元記事を表示

CSRF攻撃対策についてNode.js Expressでアプリを構築して実例で理解する

## はじめに
Node.jsのExpressでテンプレートエンジンejsを使って実装するWebアプリを実例に、CSFR攻撃を受ける脆弱性がある状態と対策を講じた場合の実装を見ていく事で、CSRF攻撃について理解を深めてみようと思う。

## CSRF（クロスサイト・リクエスト・フォージェリ）攻撃とは？
悪意のある人が用意した罠により、Webアプリのユーザ（利用者）に意図しないリクエストを送信させ、利用者の意図しない処理をWebアプリに実行させることが可能な状態になっている＝脆弱性がある時に、それを利用されてユーザが意図していない処理が勝手に実行されてしまうような攻撃を CSRF（クロスサイト・リクエスト・フォージェリ）攻撃という。（問題は、ユーザ本人の意図したものではない悪意のあるリクエストをWebアプリが受け入れてしまう事）。

詳細は以下のサイトを参照。

https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html

※IPAのサイトを見ると、認証の仕組みを持つWebアプリ（ログインしているユーザ）に対する攻撃のみが

元記事を表示

2022/2/15主にITとかセキュリティの記事

2021年のサイバー犯罪検挙数は1万2275件 – 前年比25％増
https://www.security-next.com/134090

「macOS」や「iOS」にゼロデイ脆弱性 – ウェブ閲覧でコード実行のおそれ
https://www.security-next.com/134101

PCR検査のデータ管理システムがランサム被害 – 愛知県
https://www.security-next.com/134098

アフィリエイト広告への懸念
奔流eビジネス（アジャイルメディア・ネットワークアンバサダー　徳力基彦氏）(2/11)
https://www.nikkei.com/article/DGXZQOUC01D0J0R00C22A2000000/

日本の対応“後手後手”　北京五輪のスマホ情報セキュリティー　パラでは使い捨てスマホ配布も(2/12)
https://www.zakzak.co.jp/article/20220212-K36GAYVED5P25MSHB6JQ2FRLA4/

【重要ニュースまとめ（2/5~2/11）】国内財閥グループ2社が暗号資産業界に本格

元記事を表示

セキュリティ用語

## 疎通

通信が正常に通じるか

## ペネトレーションテスト

kalilinux等を用いたホストやネットワークへの侵入を行うために攻撃するテスト

## PCIDSS

クレジット会社が共同で策定したセキュリティ規格

## CSRFトークン

CSRF攻撃を防ぐために利用されるトークン文字列

## header body

httpリクエストのヘッダー部分とボディー部分

## ペイロード

通信内容のボディ部分？

## origin

同一生成元の単位？

元記事を表示

「５さいじがわかるcyber security（サイバセキュリティ）」のかんがえかた

５さいじがわかるcyber security（サイバセキュリティ）

https://qiita.com/kaizen_nagoya/items/105173527a8e54502bb7

の本文の考え方を整理します。

# よみあげ、よみきかせ

音読という言い方もあるかもしれません。

言葉は、音にすると、伝わりやすいという言い伝えがあります。

歌にして、調子を取るとなおよいともいいます。

# あんしんする

あんしんするばしょ、あんしんするひと、あんしんするときがわかっているとよい。

# じぶんをまもる

あんしんするばしょにいく、あんしんするひととあう、あんしんするときをすごす。
じぶんをまもるひとつのほうほう。

# おそれる

おそれることがあったほうがいいかどうかはわからない。

こわいことからじぶんをまもることができたらいいね。

# じぶんのあたまでかんがえる

じぶんをまもるほうほうを、じぶんのあたまでかんがえられるといいね。

ちょっとしたおもいつきでも、だれかといっしょにためしてみるといいかも。

怖いものと、守ってくれるものがわかったら、自分の頭で考

元記事を表示

認可に関するチェックマトリクス

仮定：権限A　権限Bが存在する場合

閲覧可能: o
閲覧不可能: x

||権限Aユーザ|権限Bユーザ|未認証|管理者|
|–|–|–|–|–|
|Aコンテンツ|o|x|x|o|
|Bコンテンツ|x|o|x|o|
|パブリックコンテンツ|o|o|o|o|
|管理画面|x|x|x|o|

元記事を表示

登録情報の供与のチェックマトリクス

||パスワードo|パスワードx|
|–|–|–|
|ID o|ログインできる|メッセージA|
|ID x|メッセージA|メッセージA|

メッセージAがすべて同じであること

元記事を表示

2022/2/14主にITとかセキュリティの記事

サイバーセキュリティにとって厳しかった2021年は関連スタートアップには記録的な年に(2/11)

サイバーセキュリティにとって厳しかった2021年は関連スタートアップには記録的な年に

Windows Defender(Microsoft Defender)とは？最大限に有効活用する方法と組み合わせるべき対策について(2/11)
https://japan.zdnet.com/release/30644375/

県内ぴりぴり、ウイルスメールテレワーク浸透、セキュリティーと社員教育強化(2/12)
https://www.yamagata-np.jp/news/202202/12/kj_2022021200369.php

AWSを触らずに「AWS認定ソリューションアーキテクトアソシエイト」に合格した話(2/11)
https://qiita.com/shoshohehe/items/6862bf0363d62d5e3344

【イギリスの元スパイが説く】
どんな状況の予測にも使える考え方とは

元記事を表示

picoCTF 2019 part2

前回からの続きです。
https://qiita.com/daihi_t/items/70f0a097ed25fd2ed3c5

## slippery-shell

実行画面
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/1183260/ef5e8a10-fe6d-0d6f-4047-f8836344334d.png)

配布（されたと思われる）ソースコード

“`
#include
#include
#include
#include
#include

#define BUFSIZE 512
#define FLAGSIZE 128

void vuln(char *buf){
gets(buf);
puts(buf);
}

int main(int argc, char **argv){

setvbuf(stdout, NULL, _IONBF,

元記事を表示

SpringBootセキュリティ 10 のベストプラクティス

JavaフレームワークのSpring Boot。

Spring Bootを使用していて、セキュリティに関してどこから手をつけてよいかわからないとお悩みであれば、ぜひご一読ください。

今回は、こちらのブログ翻訳の内容をお届けいいたします。

https://snyk.io/blog/spring-boot-security-best-practices/

#SpringBootセキュリティ 10 のベストプラクティス
Simon Maple, Matt Raible
サイモン・メープル、マット・レイブル
2018年8月16日

[チートシートのダウンロード](https://res.cloudinary.com/snyk/image/upload/v1534422834/blog/Spring_Boot_Security_Cheat_Sheet.pdf)

この

元記事を表示

オレオレ証明書って何

よくオレオレ証明書って言葉を聞くので調べてみた。

証明書＝公開鍵だが、その公開鍵を認証局の発行したものでなく、自分で発行した秘密鍵で署名したものをオレオレ証明書という

元記事を表示

2022/2/13主にITとかセキュリティの記事

「盗んだデータを公開する」と恐喝、身代金ウイルスの被害急増…昨年１４６件で製造業が５５件(2/11)
https://www.yomiuri.co.jp/national/20220210-OYT1T50429/

サイバーセキュリティへの関心高まる–O’Reilly「2022年テクノロジートレンド」(2/11)
https://japan.zdnet.com/article/35183122/

シーメンス製品に緊急の脆弱性、アップデートを(2/10)
https://news.mynavi.jp/techplus/article/20220210-2270145/

JPCERT/CCの「Emotet感染有無確認ツールEmoCheck」を試した(2/10)
https://qiita.com/yasthon/items/81fcdcd43c649dd08e7e

キヤノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される(2/11)
https://jp.techcrunch.com/2022/02/11/2022-02-10-maze-e

元記事を表示

公開鍵暗号使ってTwitterで恥ずかしいことをいってみる。

# 王様の耳はロバの耳
エライヒトの悪口とか、言ってはいけないこととか、そういうことって大っぴらにいうと気持ちよくないですか？僕は気持ちいいです。一方で、そんなことを大っぴらにいって自分の上司とかにみられるのもちょっと困ってしまいますね。
そんな欲望を一気に発散するために

**ツイッターの中心で愛を叫ぶ。でも誰にも内緒で**

をやってみたいと思います。

## おことわり
技術的な方法の解説を、おもしろおかしく記事にするのが目的です。実際にこの方法で投稿を繰り返して発生する様々な問題について当方は一切の責任を追いません。

## 前提事項

|No.|項目|前提|備考|
|–|–|–|–|
|1.|OS|Windows |一部Windows独自のコマンドを利用します。|
|2.|導入ソフトウェア|OpenSSL|暗号全般、すべてこのコマンドで実施します。OpenSSLの導入方法は別途説明します。|

## Alice と Bobのお話

なぜか、通信するのはいつもAliceとBobなんですよね。秘密鍵を利用したメッセージのやり取りはこんな感じで行います。

![open

元記事を表示

Apple Silicon Mac(M1 Mac)で「詳解セキュリティコンテスト」の実習環境(もどき)を動かす

# はじめに
「詳解セキュリティコンテスト」(以降、CTF本)の実習環境はvagrantを使用してデプロイすることとなっていますが、x86_64アーキテクチャを前提とした構成となっており、アーキテクチャが異なるApple Silicon Macではそのまま動かすことができません。
…この手の実習系はASM民には辛いですね。
今回、Mac向けの仮想化環境である[UTM](https://mac.getutm.app)を使って何とか動かすことができましたので、備忘として公開します。
なお、CTF本の手順通りに構成した場合はUbuntu Server 20.04 vagrant could imageをベースに構成したものが出来上がりますが、この記事ではcloud imageではないUbuntu Server上に同等の環境を再現するという方針で構成します。完全に同等の環境となるものではなく、動作の保証は出来かねる点は予めご留意ください。

# 想定する読者
– CTF本を買って実習しようとワクテカしてたけど、Apple Silicon Macしか持ってなくてつまづいてしまった方

元記事を表示

2022/2/12主にITとかセキュリティの記事

CrowdStrike、AQUATIC PANDAによる侵入の試みでLog4Shellエクスプロイトツールの悪用を検知(2/10)
https://s.netsecurity.ne.jp/article/2022/02/10/47108.html

9カ月で37億件の違法ダウンロード‐アカマイが世界の著作権侵害状況を公表(2/9)
https://news.mynavi.jp/techplus/article/20220209-2269140/

公文書の電子媒体化「急速なデジタル化に対応」と官房長官(2/9)
https://www.sankei.com/article/20220209-BFSPMU5MCVORPKANBQPN2LWFWQ/

米19歳、E・マスクのジェット機追跡に成功　業界は保安面を懸念(2/10)
https://forbesjapan.com/articles/detail/45736/1/1/1

多数のIntel製品に脆弱性～CPUやマザーボード、Wi-Fiデバイスなど身近な製品にも(2/10)
https://forest.watch.impress.

元記事を表示

関連する記事

Lambda関連のことを調べてみた2020年05月27日 2020.05.27

目次 1. CodePipelineを使ってLambdaに自動デプロイ2. Sansan API + AWSで企業情報のマスターDBを構築する3. c[…]
Rails関連のことを調べてみた2023年01月05日 2023.01.05

目次 0.0.1. コミット→プッシュ→マージ0.0.2. Github ActionsでECSに自動デプロイできているのに想定通りの挙動にならなかっ[…]
PHP関連のことを調べてみた2020年09月13日 2020.09.13

目次 1. PHPUnitのバージョンアップで使えなくなったgetMock()の置き換え法（草刈り）2. PHPでWindows向けのCSVデータをL[…]

OTHERカテゴリの最新記事