今さら聞けないセキュリティ　2022年02月28日

SASTツールの速度比較：Snyk CodeとSonarQubeおよびLGTMの比較

本記事は2021年7月21日に公開した英語ブログ[SAST tools speed comparison: Snyk Code vs SonarQube and LGTM](https://snyk.io/blog/sast-tools-speed-comparison-snyk-code-sonarqube-lgtm/)を日本語化した内容です。

[](https://snyk.io/jp)

[Snyk Code](https://snyk.io/product/snyk-code/)と一般的なSASTツール2種とのスキャン時間の比較について聞かれることが多くあります。LGTMとSonarQubeです。調査にあたって、いくつかの仮定をしましたが、透明性を確保するために詳細をこのブログで共有します。

# TL;

2022/2/28主にITとかセキュリティの記事

3フェーズでクラウドコスト最適化をはじめる　FinOpsの具体的なアプローチを解説(2/25)
https://enterprisezine.jp/article/detail/15548

自宅の「ルーター」大丈夫？サイバー攻撃のリスク高く注意を(2/26)
https://www3.nhk.or.jp/news/html/20220226/k10013503071000.html

AP通信の「難民のビデオのNFT」に抗議殺到、販売中止に(2/25)
https://forbesjapan.com/articles/detail/46059

SWIFT排除でEU分断 対ロシア制裁、エネルギー懸念が影(2/26)
https://news.yahoo.co.jp/articles/e77efd79d476b266f592cc22035950a30143902f

ロシア、ＦＢ利用を制限　国営メディア「検閲」に対抗(2/26)
https://www.jiji.com/sp/article?k=2022022600431&g=int

App Storeで契約したサブスクリプションを

プログラミング初学者が学習前に知っておきたかったネットワーク専門用語5選

今回は、私が本格的にプログラミング学習をはじめる前に知っておきたかったネットワーク専門用語を5つに絞って解説していきます。どれも基本ですが、学習するにあたって必ず目にする用語ですので、この機会に是非覚えましょう！

# ①HTTPとHTTPS

**HTTP**は「HyperText Transfer Protocol」の略称です。

– HyperText … 複数の文書（テキスト）を相互に関連付け、結び付ける仕組み（例：HTML, XML）
– Transfer … 通信のこと
– Protocol … ネットワークを通じてコンピュータ同士が情報をやり取りする手順、約束事のこと

つまり、HTTPは日本語に訳すと、「ハイパーテキストを通信する際のネットワーク上での手順」となります。
HTTPはごく簡単なプロトコルで、クライアントの発行するリクエストに対してサーバーが返答するだけといった仕組みで動作します。

一方、**HTTPS**は「HyperText Transfer Protocol over SSL」の略称です。先ほどのHTTPに**SSL**が追加されました

2022/2/27主にITとかセキュリティの記事

名古屋大医学部の教職員メールに不正アクセス、患者１８４人の個人情報が閲覧された恐れ(2/25)
https://www.yomiuri.co.jp/national/20220224-OYT1T50214/

JPCERT/CC「制御システムセキュリティカンファレンス 2022」資料公開、米国パイプラインへのランサムウェア感染事例も解説(2/25)
https://s.netsecurity.ne.jp/article/2022/02/25/47181.html

ＳＷＩＦＴからの排除は現在対ロシア制裁対象に入っていない＝財務省担当者(2/25)
https://jp.reuters.com/article/japan-sanctions-swift-idJPKBN2KU09Z

【動画】これ、全部フェイクです。ロシアのウクライナ侵攻めぐる誤情報にご注意を！(2/24)
https://nordot.app/869536919886708736?c=110564226228225532

ウクライナ、複数の政府ウェブサイトにＤＤｏＳ攻撃－機能停止(2/24)
https://www.b

PenTest.ws ～ペネトレーションテストでのクレデンシャル情報、攻略の進捗のメモ用サービス～

# 前置き
今後、なるべく記事を書く事を継続するために、
ちょっとした調べものの内容などもQiita記事にしていこうかと思います。

本記事は、今日から使い始めた[Pentest.WS](https://pentest.ws/)についての記事です。

# Pentest.WS便利そう

ペネトレーションテストに際してのメモが書けるだけでなく、ポートスキャンの結果、クレデンシャルの管理ができる模様。

使い心地が分かったら、スクショを張っておきます。

参考

Penetration Testing Workshop (PenTest.ws)

主要なクラウドストレージサービス（＋α）を調べてみた

# 1. はじめに
諸事情でクラウドストレージサービスを調べる必要があったので、ついでに記事にしてみました。

# 2. 法人向け
Boxのようにクラウドストレージサービスを専門に提供している企業と、MicrosoftのようにOfficeアプリケーション等も提供している企業に大別できそうです。法人は個人と比べると、ドキュメントを保存することが多いと思います。
ついでに、ランサムウェアに感染してファイルが暗号化されてしまった場合にファイルを復元する方法についても調べてみました。

* Box・・・Box DriveまたはBox Sync（Box Driveの旧版）を使用している場合のみ影響あり。ファイルを復元するためには、サポートへ問い合わせる or APIを使用する。
* Dropbox・・・ファイルのバージョン履歴からは1ファイルずつしか復元できない。巻き戻し機能であれば多数のファイルを一括で復元できる。
* OneDrive (Microsoft)・・・バージョン管理機能を有効にしておき、1ファイルずつ復元する。（既定は無効）
* Google Drive・・・1ファイルずつ、古い

2022/2/26主にITとかセキュリティの記事

金融庁、サイバー攻撃対策強化を金融機関に要請 – ウクライナ情勢を受け
https://www.security-next.com/134396

APIゲートウェイ「Apache APISIX」に深刻な脆弱性
https://www.security-next.com/134398

サイバー攻撃でシステム停止、生産や出荷に影響 – フジミインコ
https://www.security-next.com/134404

化粧品OEMメーカーにサイバー攻撃
https://www.security-next.com/134400

複数メルアカに不正アクアセス、サーバ内に個人情報 – 名大付属病院
https://www.security-next.com/134407

複数の化粧品通販サイトでクレカ情報流出のおそれ
https://www.security-next.com/134403

Gmailの時短テクニック｜送信時に役立つ隠れ機能7つ(2/24)
https://www.lifehacker.jp/article/2202-matome-gmail-sending/

ストーカーウェア とは

## 勉強前イメージ

ずっと追ってくる的なやつ？

## 調査

### ストーカーウェア とは

スマートフォンのアプリで悪意を持った人が被害者を監視して追跡するための監視用アプリの一種になります。
被害者のパートナーや家族など様々考えられますが、物理的にデバイスにアクセスできる人によってインストールされることがほとんどです。
ペアレンタルコントロールの意味で子供の見守るためのアプリなどがありますがこれを利用してストーカーウェアを行います。
正しい用途のために販売されているので、
違いは導入の意図が子供の安全を守るという目的があります。

### ストーカーウェアで送信する情報

ストーカーウェアで送信数情報は以下があります。
また、遠隔操作が可能なものもあり他の不正なアプリや情報が抜かれる可能性があります。

– 位置情報
– メッセージ
– 連絡帳
– カレンダー
– 画像

### ストーカーウェアの対策

– 画面のロックを行う

ストーカーウェアは身近な人の可能性があります。
そのため、目を離したすきにインストールされることを防ぐよう、指紋認証や顔認証などの生体認証を設定

IPsecのIKEパケットは届くのにESPパケットが届かない

# はじめに
備忘録として残します。
ネットワークの基本的な知識はあっても、IPsecの知識が抜けていたりするとこういうことが起きます。。。

# 前提
この記事でIPsecと言っているのは、**ESPトンネルモード**を指します。

この記事でIPsecの解説はしません。
IPsecについては以下の記事が参考なるのでリンクを載せておきます。
[【図解】初心者に分かりやすいIPsecの仕組みとシーケンス～パケットフォーマット,DPD(keepalive)について～](https://milestone-of-se.nesuke.com/nw-basic/ipsec/ipsec-summary/)

# 結論
長々と書くこともないので、いきなり結論に入ります。

ファイアウォール（以下、FW）で以下の通信のみ許可する設定になっていました。
|プロトコル|ポート番号|
|–|–|
|ICMP|フルオープン|
|TCP|フルオープン|
|UDP|フルオープン|

この設定の場合、IKEはUDPなのでFWを通過しますが、ESPはUDPでもTCPでもない（IPのプロトコル番号50）のでFWを

第7回「AeyeScan+zapierを使ってbacklogに危険度が高い脆弱性を自動で課題登録する」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

[](https://www.aeyescan.jp)

こんにちは。株式会社エーアイセキュリティラボ　カスタマーサク

2022/2/25主にITとかセキュリティの記事

緊張高まる国際情勢を受けてセキュリティ対策強化呼びかけ – 経産省
https://www.security-next.com/134357

マルウェア減るもランサムウェアは前年から倍増
https://www.security-next.com/134328

開発言語「Go」に複数脆弱性 – 重要度「クリティカル」も
https://www.security-next.com/134383

VMwareのBYOD用モバイルアプリに脆弱性 – アップデートが公開
https://www.security-next.com/134353

「ウイルスバスター for Mac」に脆弱性 – 「同11」以降に更新を
https://www.security-next.com/134365

「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
https://www.security-next.com/134393

PC本体ではなくディスプレイをハッキングする手口。偽サイトなのに、URL表示だけ本物(2/22)
http://www.kotaro269.com/articles/

AWS IAM Access Analyzerによる継続的ポリシーチェックを自動化する方法

# はじめに
AWSのIAMロールに付与するIAMポリシーの権限は、セキュリティリスクを考えれば、必要最小限にとどめる必要があります。
AWSの任意のインスタンスに関連付けられたIAMロールでは、設定時は最小権限になっていても、その後の運用で過剰な権限が付与される可能性があります。
また、開発者や運用者が作るIAMポリシーの権限も、必ずセキュリティベストプラクティスに沿っているかどうかは分かりません。
このIAMポリシーの検査を継続的に実施可能な環境を作るために、自動化されたメカニズムの導入を検討します。

# アプローチ
**AWS IAM Access Analyzer**には、IAMポリシーのチェック機能があり、この機能を利用してポリシーを検証できます。
マネジメントコンソール上だけではなく、AWS CLIやSDKでも実行可能であり、自動化できます。

IAM Access Analyzerのポリシーチェック機能では、IAM ポリシーの文法、ベストプラクティスに対する違反を検証します。
検証でセキュリティ警告、エラー、一般的な警告、ポリシーの提案があれば、結果が表示されます。

パスワードは使い回したくない、でも覚えるのが面倒な人へ

## 対象読者

– 「パスワードの使い回しは危険だ」と理解している
– ブラウザのパスワード記憶機能はなるべく使いたくないが、何個もパスワードを覚えるのはイヤだ

## 結論

1. 自分で覚えやすいパスワードを１つ作る
2. そのパスワードをいろいろな方法で**暗号化**したものを諸々のWebサービスで利用する

つまりこの方法なら、１つだけパスワードを覚えさえすればいいのです。
わざわざ何個もパスワードを覚える必要はなく、ただそれを暗号に変換してやるだけです。

なのであとは暗号化の方法ですね。ここからは、簡単な暗号についてご紹介します。

## 暗号の種類

ここでは、代表的な古典暗号

– シーザー暗号
– アトバシュ暗号
– スキュタレー暗号

の３つを解説します。

#### シーザー暗号
シーザー暗号は、元の文字を3文字分辞書順でズラすことで暗号とする手法です。

つまり、アルファベットの場合
ABCDEFGHIJKLMNOPQRSTUVWXYZ
を、それぞれ
XYZABCDEFGHIJKLMNOPQRSTUVW
に置き換えるということです。

例えば、
**JAPAN

サイバーイミュニティ とは？

## 勉強前イメージ

イミュニティってなに・・？

## 調査

### サイバーイミュニティ とは

イミュニティとは、immunity と書き免疫という意味で、
2019年にKasperskyのCEO、Eugene Kaspersky氏によって提唱された新たな概念になります。
サイバーセキュリティより次の段階になる概念になります。

サイバーイミュニティの基本的な考え方としては、
`攻撃者にとって攻撃をしても割に合わない状態を実現する` というものになります。
攻撃者が経済的利益を目的としている場合に、被害者の損害 < 攻撃のコスト となることで攻撃の意味を無くすことにも繋がります。 ### そもそもサイバーセキュリティ とは ネットワークやデバイス、データの不正アクセスから保護する技術で、機密性・完全性・可用性を確保するための方法です。 ### 現在のサイバー攻撃について Eugene Kaspersky氏は 現在のサイバー攻撃を以下の3種類に分けて現状を以下のように分析しています。 - マルウェア 増加傾向だが、AI技術によって対応できるため深刻ではない - 標

2022/2/24主にITとかセキュリティの記事

BlackBerry端末復活プロジェクト、頓挫(2/22)
https://www.itmedia.co.jp/mobile/spv/2202/22/news087.html

App Storeに本物にそっくりの危ない“偽アプリ”が存在！(2/22)

App Storeに本物にそっくりの危ない“偽アプリ”が存在！

ユーザーエクスペリエンス創造にレイテンシ無用！
マルチCDNの実際のメリットと障壁(2/22)
https://b-library.impress.co.jp//ud/product/code/WD-2022-0015

報道発表資料　大阪市住民基本台帳等事務システムの不具合について(2/22)
https://www.city.osaka.lg.jp/hodoshiryo/shimin/0000559828.html

第171回：米国企業の取締役がサイバーセキュリティに取り組む上での課題(2/22)
https://www.risktaisaku.com/articles/-/65311

ウクライナ東部で「欧州向け世界最大のパイプラインが爆発」と不正確な情

Docker for Node.jsデベロッパのための大切な５つのセキュリティ

リモートのアルバイトで始めた仕事が、長期化、長時間化。
Slackでの開発者との仕事で、文字が小さくスレッドやチャンネル迷子は相変わらず日常茶飯事。

**Slackの中で、最初に覚えたマークダウンはまた、コードを`インライン表示`すること**
\` バッククォート`

最近、Qiitaでのありがたい編集のフィードバックで覚えた
**コードブロックの書き方**
(空行)
\`\`\`
code….
\`\`\`
(空行)

コーディングとは程遠いですが、新しいトリックを覚えるのはシンプルに楽しいなと思えた瞬間でした。

さて、今回はこちらの翻訳のご紹介です。

https://snyk.io/blog/docker-for-node-js-developers-5-things-you-need-to-know/

こちらに関連し以前ご紹介した
[安全なNode.jsのためのDockerイメージ構築のステップバイステップのチュートリアル](https://qiita.com/bricolageart/items/a509594a5b4c349e90b7)の翻訳も、ぜひ参

Emotet って結局どんなやつ？

## 勉強前イメージ

恥ずかしながら最近流行ってるやつ・・・ってくらいの認識しかない。。

## 調査

### Emotet とは

エモテット と呼び、拡散力が強いマルウェアの一種になります。
2014年に発見されて以降、形を変え生き残っています。
元々はバンキングトロージャンと呼ばれる、オンラインバンキングの認証情報を盗むマルウェアでしたが、
2017年以降は単体での動作でなくトロイの木馬やランサムウェアなどいろんなマルウェアに感染させる役割を持ちます。

### Emotet の攻撃方法

Emotetは攻撃者によってメールに添付されるなどし、受け取ったユーザはそのファイルを開くと感染するというものになります。
攻撃者はマクロ付きのwordやexcelファイルを添付して大量に送付するという方法をとっています。
ファイルを開き感染してしまうと、アカウントやパスワード、取引先の情報なども抜き取られてしまいます。

よくある方法では？と思う方も多いかと思いますが、
被害が広がったのにはいくつかウイルスとは見分けがつかないような工夫がありました。

– メールが巧妙

実際にあったも

TLSでポスト量子暗号を試してみる (その2: 署名)

## 1. はじめに

この記事では、オープンソースプロジェクトのオープン量子安全([OQS: Open Quantum Safe](https://openquantumsafe.org/))のライブラリーliboqsと[wolfSSL](https://www.wolfssl.jp)を組み合わせて、TLSでポスト量子暗号を実際に動かして試してみます。前回の「鍵交換」に引き続き今回は「署名」を中心にみていきいます。ポスト量子暗号標準化(Post-Quantum Cryptography Standardization)の背景については[「TLSでポスト量子暗号を試してみる (その１：鍵交換）」](https://qiita.com/kj1/items/8531feac2f3a56e6d6d9)を参照してください。

## 2. ポスト量子暗号の署名アルゴリズム

liboqsでは、署名アルゴリズムとしてNISTコンペティション ラウンド3の最終候補 Dilithium, Falcon, Rainbowの３つがサポートされています。

|アルゴリズム|詳細種別|
|—|—|

2022/2/23主にITとかセキュリティの記事

「EC-CUBE」に脆弱性 – 危険度は「低」
https://www.security-next.com/134350

Foxit製PDF製品に複数の深刻な脆弱性 – アップデートを
https://www.security-next.com/134324

NoSQL分散データベース「Apache Cassandra」に脆弱性 – 特定構成に注意
https://www.security-next.com/134322

マット販売サイトに不正アクセス -顧客情報流出の可能性
https://www.security-next.com/134330

BONOのデザインレビューでUI設計への理解が深まった話(2/21)
https://note.com/hayashirine/n/n0e3b85af63b7

無償で使えるセキュリティソフトやサービス一覧公開、米セキュリティ当局(2/21)
https://news.mynavi.jp/techplus/article/20220221-2277152/

欧州IAB に GDPR 違反の指摘、どう対応する？：「爆弾並みの衝撃だ」

CVE-2022-24086 Magento Ecommerce を使用しているウェブサイトに対する脆弱性警告

本記事は2022年2月17日に@developersteveが公開した英語ブログ[CVE-2022-24086 Vulnerability alert for websites using Magento Ecommerce](https://snyk.io/blog/vulnerability-alert-for-websites-using-magento-ecommerce/)を日本語化した内容です。

なお、この脆弱性にはさらに新しい情報が出てきておりますので、近日中に最新情報をブログにて公開します。最新情報を常にチェックして安全で迅速な開発生活をお楽しみください。

[](https://snyk.io/jp)

# はじめに

Magentoは、2008年の最初のリリース以来、多くの人々に利用され、