今さら聞けないセキュリティ　2022年02月23日

TLSでポスト量子暗号を試してみる (その2: 署名)

## 1. はじめに

この記事では、オープンソースプロジェクトのオープン量子安全([OQS: Open Quantum Safe](https://openquantumsafe.org/))のライブラリーliboqsと[wolfSSL](https://www.wolfssl.jp)を組み合わせて、TLSでポスト量子暗号を実際に動かして試してみます。前回の「鍵交換」に引き続き今回は「署名」を中心にみていきいます。ポスト量子暗号標準化(Post-Quantum Cryptography Standardization)の背景については[「TLSでポスト量子暗号を試してみる (その１：鍵交換）」](https://qiita.com/kj1/items/8531feac2f3a56e6d6d9)を参照してください。

## 2. ポスト量子暗号の署名アルゴリズム

liboqsでは、署名アルゴリズムとしてNISTコンペティション ラウンド3の最終候補 Dilithium, Falcon, Rainbowの３つがサポートされています。

|アルゴリズム|詳細種別|
|—|—|

2022/2/23主にITとかセキュリティの記事

「EC-CUBE」に脆弱性 – 危険度は「低」
https://www.security-next.com/134350

Foxit製PDF製品に複数の深刻な脆弱性 – アップデートを
https://www.security-next.com/134324

NoSQL分散データベース「Apache Cassandra」に脆弱性 – 特定構成に注意
https://www.security-next.com/134322

マット販売サイトに不正アクセス -顧客情報流出の可能性
https://www.security-next.com/134330

BONOのデザインレビューでUI設計への理解が深まった話(2/21)
https://note.com/hayashirine/n/n0e3b85af63b7

無償で使えるセキュリティソフトやサービス一覧公開、米セキュリティ当局(2/21)
https://news.mynavi.jp/techplus/article/20220221-2277152/

欧州IAB に GDPR 違反の指摘、どう対応する？：「爆弾並みの衝撃だ」

CVE-2022-24086 Magento Ecommerce を使用しているウェブサイトに対する脆弱性警告

本記事は2022年2月17日に@developersteveが公開した英語ブログ[CVE-2022-24086 Vulnerability alert for websites using Magento Ecommerce](https://snyk.io/blog/vulnerability-alert-for-websites-using-magento-ecommerce/)を日本語化した内容です。

なお、この脆弱性にはさらに新しい情報が出てきておりますので、近日中に最新情報をブログにて公開します。最新情報を常にチェックして安全で迅速な開発生活をお楽しみください。

[](https://snyk.io/jp)

# はじめに

Magentoは、2008年の最初のリリース以来、多くの人々に利用され、

2022/2/22主にITとかセキュリティの記事

政府、「企業のプライバシーガバナンスガイドブック」を改訂
https://www.security-next.com/134288

金融庁、サイバーセキュリティ強化取組方針を改訂
https://www.security-next.com/134293

約8割がスマホアプリ開発時などにセキュ対策 – 「自信ない」との声も
https://www.security-next.com/134290

インスタアカウントが乗っ取り被害 – 新潟食料農業大
https://www.security-next.com/134257

件名「Yahoo! JAPAN IDを制限いたしました」のメール、Yahoo! Japanをかたるフィッシングに注意
偽サイトに誘導して個人情報などを詐取(2/18)
https://internet.watch.impress.co.jp/docs/news/1389599.html

広島県にサイバー攻撃
丸２日以上継続、目的不明(2/18)
https://www.hokkoku.co.jp/articles/-/664094

【コラム】すべての情報封鎖

npmセキュリティ10のベストプラクティス

こんにちは！
IT用語には、Acronym　、頭文字の略称がたくさんありますよね。
便利ですが、時々　いい間違えや、会話がこんがらがることがあります。

Linuxコマンドのrpmと、
npmの字面が、rpmと似ていて、「全然、違うし！」と自分で、思わずツッコミをいれたくなったことが何度かありました:joy:。

npm　→　Node Package Manager
rpm　→　Red Hat Package Manager

今回はこちらの翻訳から、お届けします。
https://snyk.io/blog/ten-npm-security-best-practices/

#npmセキュリティ10のベストプラクティス
オープンソース アプリケーションのセキュリティ
Liran Tal, Juan Picado
リラン・タル、フアン・ピカド
2019年2月19日

npmの脆弱性が心配？
フロントエンドとバックエンドどちらのデベロッパにとっても、npmのセキュリティのベストプラクティスを考慮に入れることは重要です。[オープンソースのセキュリティ](https://snyk.io/b

ヒューリスティック検知について調べてみた

## 勉強前イメージ

パターンマッチングでもないけど、振る舞い検知でもない、
動きのパターンを検知する方法ってぐらいしか・・・

## 調査

### ヒューリスティック検知 とは

Heuristic は 「経験則の・試行錯誤的な」 という意味で、セキュリティソフトのウイルス検出手法の一つです。
あらかじめウイルスが持つ特徴的な挙動を登録して、その挙動を比較して検知する方法です。
ただ、挙動が似ている正常なプログラムも検出するため誤検知も可能性としてあります。
基本的にはパターンマッチングと併用して使われていることが多いです。

### ヒューリスティック検知の種類

以下の2種類があります。

– 静的ヒューリスティック検知

静的なことから、スタティックヒューリスティックとも呼ばれています。
プログラムが実行する前に分析し検知する方法で、実行する前に排除することができます。
しかしこの段階でウイルスかどうかがわからない時があり、その際は動的ヒューリスティック検知で最終的に確認を行います。

– 動的ヒューリスティック検知

動的なことから、ダイナミックヒューリスティックとも呼ば

100倍速の Log4Shell 対策法を Snyk で実現

本記事は2022年2月4日に公開した英語ブログ[Log4Shell remediation with Snyk by the numbers](https://snyk.io/blog/log4shell-remediation-with-snyk-by-the-numbers/)を日本語化した内容です。

[](https://snyk.io/jp)

# Snyk を使って業界平均より100倍速く Log4Shell を対策しよう

[**Log4Shell**](https://qiita.com/SnykSec/items/fccc10bd25cd5de0b56f) の公表から2ヶ月近くが過ぎました。Java ユーザーに大影響を与えたこの脆弱性の検出と修正において、Snyk が大きな役割を果たしてきました。

シフトレフトセキュリティ導入時のベストプラクティス

[**Snyk**](https://snyk.io/jp) の提供するセキュリティ基礎シリーズ DevSecOps 編より [**Shift Left Security: Best Practices for Getting Started**](https://snyk.io/learn/shift-left-security/) を翻訳しました。2022年2月17日に Developers Summit で行った @ToshiAizawa のセッション[『Snyk – デベロッパーファーストで実現するDevSecOps』](https://event.shoeisha.jp/devsumi/20220217/session/3661/)の後に読んでいただきたい内容の記事です。セッション参加者も、そうでない方も、ぜひご一読ください。

**読了時間：9分**

# シフトレフトセキュリティ導入時のベストプラクティス

今日、多数の企業がテクノロジーとソフトウェアを、業界内での差別化要因として位置づけています。そのため、ペースの速い開発はこれまでになく重要になりました。[ソフトウェア

2022/2/21主にITとかセキュリティの記事

【記者のひとこと】対処すべき5％の脆弱性(2/18)
https://www.bcnretail.com/market/detail/20220218_267071.html

iPhoneのSafariで表示されるプライバシーレポートとは｜見方と危険性を解説(2/18)
https://news.nifty.com/article/technology/techall/12276-1477759/

メモアプリから口座ID不正入手し送金容疑　大学生を再逮捕　愛知県警(2/17)
https://www.ctv.co.jp/news/articles/b68zqpyey8nim5m6.html

知られざる「IT拠点ウクライナ」の企業が直面する危機的状況(2/18)
https://forbesjapan.com/articles/detail/45922

ウクライナ危機：ロシアのサイバー攻撃に備えは必要、パニックは不要(2/19)
https://japan.zdnet.com/article/35183736/

TwitterでDMを削除する方法 – 送信取消（相手側も消去）は

振る舞い検知ってなにするの？

## 勉強前イメージ

監視と似たようなもの？

## 調査

### 振る舞い検知 とは

「怪しい動きをしている」 という普通ではない挙動でウイルスを検知するもの。
未知のウイルスにも対応できるという特徴があります。

### そもそもウイルス検知の種類

– パターンマッチング

こちらがウイルス対策ソフトで一般的に使われている手法になります。
ウイルスのパターンを記録しておき、それと一致すればウイルスである という検知の方法です。
事前にウイルスのパターンを記録しておかないといけないという方式から、未知のウイルスには対応していないですが、マッチングするため誤検知の可能性は低くなります。
ウイルスは1日に大量の種類が作られているので、パターンマッチングだけでは対応しきれません。

– ヒューリスティック

ウイルスには一定の特徴があり、特徴をあらかじめ登録しておくことで
その特徴にハマったプログラムが見つかった際にウイルスだと判断する手法になります。

– 振る舞い検知

↑にも書いている通り、ウイルス特有の怪しい動きを検知するという方法。
ビヘイビアという振る舞いを見て危険だと

OWSP Top10のとRailsにおける対策

Railsのセキュリティに関する記事は、[Railsセキュリティガイド](https://railsguides.jp/security.html)をはじめとして、たくさんありますが、
今回はOWSPのTop10に沿って、Railsにおけるその対策を書いていきます。

※あくまでも自分が調べた一部の機能や対策の紹介のため、これらの対策を全てやっていれば問題ないという訳ではありませんし、全てのRailsアプリケーションに同じ対策が当てはまるわけではありません。
また、一部対策の重複や、説明(引用)のみの項目もあります。

## 対象バージョン
Rails: 7.0

## OWSPとは？
https://owasp.org/www-chapter-japan/
>OWASP – Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです

##

SHA-1をJohn the ripperで突破する

せっかくハッシュ化のGASを作って、Kaliの環境も整えたので、ちょっと遊んでみたくなりました。
ということで、**SHA-1でハッシュ化したデータを元に戻してみたいと思います**。

ちなみに言うまでもないですが、**悪用は厳禁**です。

https://qiita.com/tatataichi/items/7e3a27e1b69200d3fd86

https://qiita.com/tatataichi/items/d6b9127a90497c3a674e

ハッシュ化関数のSHA-1は、簡単に突破できてしまうので現在は非推奨となっています。
非推奨と言われれば使いたくなってしまうのが、僕と言う人間なので
**前回作成したコードを流用して、しょぼいパスワード群をSHA-1でハッシュ化しました**。

“`javascript:SHA1_GAS
function myFunction() {
var currrentSheet = SpreadsheetApp.getActiveSheet();
var targetSheet = SpreadsheetApp.ope

セキュリティ学習　〜ブラウザの偽警告編〜

# はじめに
社会人として働くようになり、今までの自分のセキュリティ意識の低さや知識不足を痛感しています。
自分の身を守るため、所属組織や取引先へ迷惑をかけないためにもセキュリティに関して学ぶべきと感じました。

その手口について知らないと、気づかないうちに取ってはいけない行動をとってしまう可能性があるため、IPAの動画などを参考に学んでいきます。

# ブラウザの偽警告について
ネット閲覧中に、「ウイルスに感染しました」等の不安を煽る警告メッセージが表示される「偽警告」というものがあります。

> 表示される具体的な警告のメッセージには以下のようなものがあります。
>
– Windowsのセキュリティシステムが破損しています
– パソコンの性能が低下しています
– マルウェアが検出されました
– ディスクの空き容量がありません

>また偽警告の中には表示されると同時に「ピー」のような大きな警告音を鳴らすものもあります。突然パソコンから音が鳴るため、偽警告のメッセージに加えて、さらにユーザーを動揺させる要因となっています。
引用元：[偽警告とは？仕組みや種類、セキュリティ対策

2022/2/20主にITとかセキュリティの記事

ウェブ3が3Dテレビから学べる教訓【オピニオン】(2/18)
https://m.finance.yahoo.co.jp/news/detail/20220218-00160146-coindesk-bus_all

.NET 20周年(2/17)
https://developers.srad.jp/story/22/02/16/1535247/

遠のくネット利用者保護　総務省の法改正案、大幅に後退(2/17)
https://www.nikkei.com/article/DGXZQOUA175S20X10C22A1000000/

英数字＋記号12桁の強固さを実感？ パスワードを推測するWordle風ゲームが堂々登場(2/18)
https://internet.watch.impress.co.jp/docs/yajiuma/1389314.html

デジタルウォレットアプリ「Kyash」のアカウント乗っ取りを注意喚起(2/18)
https://japan.cnet.com/article/35183742/

Gucci（グッチ）がサンドボックスの仮想土地を購入し、メタバ

AWS公式資料で挑むSCS認定(1)-計画を立てる

## はじめに

自分にとって初めてとなるAWS認定試験、
SCS(AWS Certified Security – Specialty)の試験準備を本日から開始します。
AWS公式資料をしっかり勉強し、認定試験に挑もうと思います。
「えー、問題集たくさん解かなくていい?」と、ご指摘の声が聞こえてきます。
今回は、学生時代から教わった「教科書の基本が最重要」を信じて挑戦してみます。

## ブログ記事は認定受かってから書いても。。。

受験宣言し、準備過程を公開・共有する理由は、

– 退路を断つ、途中で投げ出さないように
– プレッシャーが一番のモチベーション
– どなたか間違いを突っ込んでくださるのではと期待
– 切磋琢磨しながらゴールに向かう仲間が現れたら幸甚

## SCS資格とは

[AWS認定ページ](https://aws.amazon.com/jp/certification/certified-security-specialty/)から抜粋しますと:
「この資格は、組織がクラウドイニシアチブを実装するための重要なスキルを持つ人材を特定して育成するのに役立ちます。AW

2022/2/19主にITとかセキュリティの記事

「Adobe Commerce」「Magento」に今月2度目の緊急パッチ
https://www.security-next.com/134234

広島県にDDoS攻撃 – 県や市町のウェブ閲覧や防災メール配信に影響
https://www.security-next.com/134283

Cisco製メールセキュリティ製品にDoS攻撃を受けるおそれ
https://www.security-next.com/134253

「Emotet」感染で従業員装うメール出回る – クラシエ
https://www.security-next.com/134260

「Drupal」に2件の脆弱性 – アップデートが公開
https://www.security-next.com/134247

「Yahoo! JAPAN ID」を制限とだますフィッシング攻撃に注意
https://www.security-next.com/134275

個人情報保護法改正や越境問題をテーマにセミナー開催 – DBSC(3/2開催)
https://www.security-next.com/1342

2022/2/18主にITとかセキュリティの記事

「Emotet」に感染、従業員なりすましメールが送信される – ワコール
https://www.security-next.com/134212

ROSを外部ネットワークと安全に接続する方法(2/16)
https://ascii.jp/elem/000/004/083/4083659/?rss

Google Chrome、すぐにアップデートを – 脆弱性の悪用確認(2/16)
https://news.biglobe.ne.jp/it/0216/mnn_220216_9937322835.html

ソフトバンク、メールでのパスワード付き圧縮ファイルを運用廃止。受信すると自動削除(2/16)
https://pc.watch.impress.co.jp/docs/news/1388648.html

Google Chrome、すぐにアップデートを – 脆弱性の悪用確認(2/16)
https://news.infoseek.co.jp/article/mynavi_2368934/?tpgnr=it

ウクライナの国防省サイトや大手銀行にサイバー攻撃(2/16)
https:

OSSECについて学び始めた その９

#はじめに
前回はosssecのディレクトリ全体のツリー構造を調べましたが、さすがに膨大でしたので、src直下のツリー構造を調べました。

#以下
“`
/home/ec2-user/ossec-hids-master/src
|–addagent
| |–b64.c
| |–main.c
| |–manage_agents.c
| |–manage_agents.h
| |–manage_keys.c
| |–read_from_user.c
| |–validate.c
|–agentlessd
| |–agentlessd.c
| |–agentlessd.h
| |–main.c
| |–README
| |–scripts
| | |–main.exp
| | |–register_host.sh
| | |–ssh_asa-fwsmconfig_diff
| | |–ssh.exp
| | |–ssh_foundry_diff
| | |–ssh_generic_diff
| |

OSSECについて学び始めた その８

#はじめに
ossecのソースコードについて、とりあえずツリー構造を調べました。

#以下
“`
/home/ec2-user/ossec-hids-master
|–active-response
| |–cloudflare-ban.sh
| |–disable-account.sh
| |–firewalld-drop.sh
| |–firewall-drop.sh
| |–firewalls
| | |–ipfw_mac.sh
| | |–ipfw.sh
| | |–npf.sh
| | |–pf.sh
| |–host-deny.sh
| |–ip-customblock.sh
| |–ossec-aws-waf.sh
| |–ossec-pagerduty.sh
| |–ossec-slack.sh
| |–ossec-tweeter.sh
| |–restart-ossec.sh
| |–route-null.sh
| |–win
| | |–firewall-drop.cmd
|

GIAC試験攻略法

#はじめに
この記事はGCFA、GREM、GNFAの3つのGIAC試験を突破した私が考える試験攻略法について記載したものです。
私以外のGIAC試験合格者の意見も参考にしています。

#GIAC試験について
公式サイトは以下です。GIACとは資格試験の総称であり、個々の資格は、GIAC Certified Forensic Analyst (GCFA)のように、「GIAC」が冒頭にきます。
試験によって内容は違いますが、セキュリティ分野における著名な認定資格です。日本ではGPEN、GCFA、GREM、GCIHあたりを取得している人が多いように思います。

https://www.giac.org/get-certified/

#GIAC試験の特徴
一般的な資格試験との大きな違いは以下の3点です。

１．英語で出題される
２．紙媒体であればなんでも持ち込める（模擬試験の問題のみNG)
３．原則として1度回答を決めたら後から直せない

１．は英語が苦手な人には大きな壁になると思います。ただし、試験で使用される英語は比較的わかりやすいように思います。
２．はGIAC試験の肝になるルールです