- 1. 2022/3/25主にITとかセキュリティの記事
- 2. Node.js Expressでサーバ情報を隠蔽するには?
- 3. 2022/3/24主にITとかセキュリティの記事
- 4. コンパクトTLS (cTLS)
- 5. 2022/3/23主にITとかセキュリティの記事
- 6. TwitterでPGPを使って(比較的)安全に情報をやり取りする
- 7. ログイン情報保持について理解する(ステートレス、ステートフル)
- 8. 駆逐してやる!!AWS Security Hubの指摘を…この世から…一匹残らず!! ~ S3編 (CLI) ~
- 9. 2022/3/22主にITとかセキュリティの記事
- 10. 駆逐してやる!!AWS Security Hubの指摘を…この世から…一匹残らず!! ~ S3編 (CloudFormation) ~
- 11. 2022/3/21主にITとかセキュリティの記事
- 12. nginxでIPアドレス直打ちのアクセスを拒否する
- 13. 2022/3/20主にITとかセキュリティの記事
- 14. 2022/3/19主にITとかセキュリティの記事
- 15. EICAR マルウェア対策テストファイルを使ってウイルスチェックソフトが正しく動作しているか検証する
- 16. 警告 (CVE-2022-23812): ウクライナ侵攻の抗議目的で peacenotwar モジュールが node-ipc パッケージを通じて npm 開発者を妨害
- 17. 2022/3/18主にITとかセキュリティの記事
- 18. 2022/3/17主にITとかセキュリティの記事
- 19. 【Web】セキュリティと認証について図を使って説明してみた
- 20. 2022/3/16主にITとかセキュリティの記事
2022/3/25主にITとかセキュリティの記事
個情委、破産者情報サイトの運営者に命令 – 違反すれば刑事告発も
https://www.security-next.com/135096「Carbon Black AppC」に複数の深刻な脆弱性 – アップデートが公開
https://www.security-next.com/135101消費者の7割は利益に関わらず個人情報の提供に慎重 – JIPDEC調査
https://www.security-next.com/135023遺伝情報用いる事業分野の個人情報保護ガイドラインが改正
https://www.security-next.com/135110化粧品通販サイトに不正アクセス – クレカ情報流出の可能性
https://www.security-next.com/135118株式会社シダー、Emotet感染で不審メール発生(3/22)
https://cybersecurity-jp.com/news/64986先週のサイバー事件簿 – 東映に不正アクセス、映画『ドラゴンボール超』上映延期(3/22)
https://news.mynavi.jp/
Node.js Expressでサーバ情報を隠蔽するには?
## 以下の記事を参照して頂ければと思います
https://note.com/shift_tech/n/nd76b27d81458
**※Qiitaの記事は全て個人的な記載であり、所属する組織団体とは無関係です**
## 補足
ソースコード全体は以下。https://github.com/yuta-katayama-23/post-restaurant-reviews/commit/00786d6b94cefbfefd1159eb665dd9117cdbf36c
2022/3/24主にITとかセキュリティの記事
カーパーツショップに不正アクセス – クレカ情報が流出
https://www.security-next.com/135092複数自治体が導入進めるクラウドがスパム踏み台に – メンテ時の設定ミスで
https://www.security-next.com/135087複数サーバにサイバー攻撃、顧客情報流出の可能性 – 森永製菓
https://www.security-next.com/135060EC事業者の4社に1社、不正アクセスや不正注文を経験
https://www.security-next.com/134905東京辰巳国際水泳場の指定管理者がマルウェア感染 – 利用者情報が流出か
https://www.security-next.com/134875自治体から迷惑メール91万件 SBテクノロジーのセキュリティクラウド、設定ミス突かれ踏み台に(3/22)
https://www.itmedia.co.jp/news/spv/2203/22/news096.htmlサイバー攻撃がラインを止める日――いま、私たちにできることは?(3/22)
htt
コンパクトTLS (cTLS)
## 1. はじめに
TLS(Transport Layer Security)のセキュリティプロトコルの仕様としての課題はTLS1.3でかなりのところ整理されました。それでもいくつかの点ではさらに検討が進められています。コンパクトTLS(cTLS)もその一つです。cTLSはTLS1.3[RFC8446]プロトコルの軽量化を目指すプロトコル仕様で、2019年から検討が進められています。RFCとなるにはまだ時間がかかると思われるものの、2022年3月現在[ドラフト5](https://datatracker.ietf.org/doc/draft-ietf-tls-ctls/05/)が公開されていて、その骨格を知ることができます。以下、その内容について紹介します。
## 2. コンパクト化の方針、目標
cTLSはTLSに残されている後方互換性のためのフィールドなどを排除し、楕円曲線の点圧縮などのコンパクトエンコーディング以上の軽量化を目指します。テンプレートベースの特殊化(後述)を利用することで、ネゴシエーションによらずに通信の両者で必要な情報を共有させます。また、準静的ディフィーヘル
2022/3/23主にITとかセキュリティの記事
「Movable Type」の既知脆弱性を探索するアクセスが増加
https://www.security-next.com/135037「Suicaのオートチャージが無効」と不安煽るフィッシング
https://www.security-next.com/135043複数Dell製品のBIOSに任意のコードを実行されるおそれ
https://www.security-next.com/135017PPAPメール、14.4%が受信を禁止 – 今後3割が禁止予定
https://www.security-next.com/134979ファンクラブ会員のメアド流出 – 鹿児島レブナイズ
https://www.security-next.com/135026投資求める偽サイトに注意喚起 – 住友商事
https://www.security-next.com/134942ウクライナ侵攻後、サイバー攻撃が急増。3割の企業「攻撃を受けた」。小規模企業から標的に(3/21)
http://economic.jp/?p=95804県情報セキュリティクラウドに不正アクセス
TwitterでPGPを使って(比較的)安全に情報をやり取りする
Twitterにはダイレクトメッセージ(DM)という機能があります。
この機能はフォロワーと、他のユーザーに見られたくない個人的なやり取りをするのに便利です。
しかしながらこの機能には次のような問題点があります。
1. メッセージは暗号化されておらず、Twitter社の社員が見ることができる。
ダイレクトメッセージは基本的には送信者と受信者しか見ることができないようになっていますが、Twitter社の社員という例外があります。
住所や電話番号、メールアドレス、プライベートの写真等をダイレクトメッセージで共有するのは避けるべきです。# 解決策: PGPを使う
OpenPGPという暗号化メッセージの規格があります。本記事ではこれをTwitterで使う方法について説明します。## 必要なコマンドをインストールする
“` bash:必要なコマンドをインストールする
sudo apt install gpg zbar-tools qrencode
“`
* gpg: PGPの実装の1つ
* zbar-tools: QRコードをデコードするための `zbarimg` コマンドを含むパッ
ログイン情報保持について理解する(ステートレス、ステートフル)
## 目次
– ログイン情報はどのように保存されている?
– ステートレスの概念とは
– ステートフルの概念とは
– HTTP通信の仕組み
– ①リクエストに含まれるuser_idを頼りにする
– ②情報を暗号化してブラウザのクッキーのみで保持する
– その他のセッション管理方法
– セッション管理まとめ## ログイン情報はどのように保存されている?
ログイン情報などを保存する際に重要になる「ステートレスな通信、ステートフルな通信」という概念について解説をします。### ステートレスの概念とは
HTTP通信は **「ステートレス」** な通信です。
これは 前の通信を引き継がない、 **1つの通信が独立している** という意味です。
ステートレスの概念を理解するために、 マクドナルドでポテトを注文する ケースを想定してみましょう。 ~
# Security Hub の指摘、駆逐してますか?
* **とりあえず、Security Hub を有効化したけど、セキュリティスコアが低くて困っている…**
* **Security Hub の検出結果 (Findings) にどう対処すればよいのかわからない…**
* **S3 のセキュリティを強化したい…**そんな方々のために、本記事では Security Hub の S3 に関する指摘事項を一匹残らず駆逐する方法を解説します。
また、解説と合わせて、Security Hub に指摘されない S3 バケットを作成するための CLI スクリプトも紹介していきます。
「解説はいいから早よ CLI をよこせ」という方はこちらをどうぞ。
↓ ↓ ↓
[**CLI を捧げよ!**]
2022/3/22主にITとかセキュリティの記事
不正メール80万件送信か 4県システムに不正アクセス(3/20)
https://www.jiji.com/sp/article?k=2022032000438&g=pol秋田県情報セキュリティクラウドからの不正メール転送について(3/20)
https://www.city.akita.lg.jp/bosai-kinkyu/1034080.html2、3月企業へサイバー攻撃急増 ウクライナ侵攻後(3/20)
https://news.goo.ne.jp/article/kyodo_nor/business/kyodo_nor-2022032001000402.htmlHP改ざん被害相次ぐ 企業など情報流出恐れも(3/20)
https://www.yomiuri.co.jp/local/toyama/news/20220319-OYTNT50108/「iPhone」はウイルスに感染する? 危険な症状と対策まとめ(3/20)
https://www.lifehacker.jp/article/2203how-to-check-iphone-for-virus-or-ma
駆逐してやる!!AWS Security Hubの指摘を…この世から…一匹残らず!! ~ S3編 (CloudFormation) ~
# Security Hub の指摘、駆逐してますか?
* **とりあえず、Security Hub を有効化したけど、セキュリティスコアが低くて困っている…**
* **Security Hub の検出結果 (Findings) にどう対処すればよいのかわからない…**
* **S3 のセキュリティを強化したい…**そんな方々のために、本記事では Security Hub の S3 に関する指摘事項を一匹残らず駆逐する方法を解説します。
また、解説と合わせて、Security Hub に指摘されない S3 バケットを作成するための CloudFormation テンプレートも紹介していきます。
「解説はいいから早よ CloudFormation をよこせ」という方はこちらをどうぞ。
2022/3/21主にITとかセキュリティの記事
ブリヂストンにサイバー攻撃、狙われるサプライヤー(3/18)
https://s.response.jp/article/2022/03/18/355318.html?utm_source=https://tokiocyberport.tokiomarine-nichido.co.jp/&utm_medium=referral国際ハッカー集団「アノニマス」
https://www.jiji.com/sp/d4?p=any316&d=d4_et米CISAとFBI、国際衛星通信ネットワークの脅威を緩和するセキュリティアドバイザリ(3/18)
https://news.mynavi.jp/techplus/article/20220318-2296901/米CISAとFBIが米国の衛星ネットワークへの脅威を警告、Viasatへのサイバー攻撃を受け(3/19)
ロシア関与の「Cyclops Blink」ボットネットがASUS製ル
nginxでIPアドレス直打ちのアクセスを拒否する
# はじめに
80番ポートを開放してWebサーバーを構築すると、よくわからない国からの変なアクセスがログに残っていることが多々あります。
そのログを確認してみると「admin」なり「eval」なりの不正アクセスを目的としてそうな単語が…
何か良からぬことをされる前に、URLからのアクセスのみを許可してIPアドレス直打ちでのアクセスをすべてブロックする設定をしてしまいましょう。ここでは「ブラックリスト方式」と「ホワイトリスト方式」の二種類を紹介しています。
最後まで読んだ上で自分に合った方式を利用することをおすすめします。:::note warn
警告
この記事では何かしらの方法で証明書を取得した前提で説明を行っています。
証明書を取得しておらずhttp通信のみでnginxを運用している場合、https関連の設定(443番ポートやsslなど)を上手いことスルーして設定を行ってください。
:::# 環境
* Ubuntu 20.04.4 LTS
* nginx 1.18.0
* Let’s Encryptにて証明書を取得
* http通信には80番ポートを使
2022/3/20主にITとかセキュリティの記事
キヤノンMJ、2021年サイバーセキュリティレポートを公開 ~多発するランサムウェア攻撃、いまだ続く脆弱性を悪用した攻撃などを解説(3/18)
https://securityinsight.jp/news/13-inbrief/4963-220318-1世界で前年比50%増のサイバー攻撃 チェック・ポイントがセキュリティレポートを公開(3/17)
https://enterprisezine.jp/news/detail/15724ブリヂストン、米社にサイバー攻撃 工場が一時稼働停止(3/18)
https://jp.reuters.com/article/jp-bridgestone-idJPKCN2LF019パッチを当てずにランサムウェア被害にあった英法律事務所、情報保護当局から罰金を命じられる(3/18)
https://security.srad.jp/story/22/03/16/211214/森永製菓に不正アクセス 日本企業を狙った攻撃相次ぐ(3/18)
https://news.nicovideo.jp/watch/nw10682191ブリヂストンに
2022/3/19主にITとかセキュリティの記事
ECサイトの情報流出被害、4割で1000万円超 – 責任範囲や技術の理解乏しく
https://www.security-next.com/134970「e-Tax」の接続障害、原因はDB処理のパフォーマンス低下
https://www.security-next.com/135008メールアカウントに不正アクセス、スパムの踏み台に – 通信機器メーカー
https://www.security-next.com/134934「Bitdefender」のエンドポイント製品に脆弱性
https://www.security-next.com/134960LINE、賞金総額1万ドルのCTFイベントを開催
https://www.security-next.com/134999復活し猛威振るう「Emotet」 感染拡大を止められない理由(3/16)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/030400077/ロシア国家関与のサイバーアクター、多要素認証と「Windows」の脆弱性悪用–FBIとCIS
EICAR マルウェア対策テストファイルを使ってウイルスチェックソフトが正しく動作しているか検証する
最近は多くの企業でランサムウェアやEmotet(エモテット)のようなマルウェアに感染して業務が継続できない被害が発生している状況。というニュースが多々あります。自分の環境で本当にウイルスチェックソフトウエアが動作しているのか不安になることも多いと思います。そこでウイルスチェックソフトをインストールしているが本当に動作しているのかを確認するためにEICARで作成されている無毒化されているサンプルウイルスを取得してどのような動きになるのか確認してみます。
# はじめに
European Institute for Computer Anti-virus Researchは、1991年に欧州コンピュータアンチウイルス研究所(EICAR)として設立された組織。アンチウイルスソフトウェアの応答をテストするためのファイルとして、EICARテストファイル (EICAR Standard Anti-Virus Test File) がある。
詳しくは下記参照
https://www.eicar.org/# ダウンロードしてみる
では、ローカル環境にEICARテストファイルをダウンロードしてウイル
警告 (CVE-2022-23812): ウクライナ侵攻の抗議目的で peacenotwar モジュールが node-ipc パッケージを通じて npm 開発者を妨害
本記事は2022年3月16日に発表した弊社の英語ブログ[Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine](https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/)を日本語化した内容です。
[](https://snyk.io/jp)
2022年3月15日、人気の JavaScript フロントエンドフレームワーク Vue.js のユーザーは、npm のエコシステムに対するサプライチェーン攻撃に見舞われました。これは、パッケージ `node-i
2022/3/18主にITとかセキュリティの記事
「BIND 9」に複数の脆弱性 – サービス拒否やキャッシュ汚染のおそれ
https://www.security-next.com/134945退職予定者の氏名が流出、Googleフォーム設定ミスで – 鳥取県
https://www.security-next.com/134912Proofpointの内部脅威対策製品に権限昇格の脆弱性
https://www.security-next.com/134929「KINGSOFT Internet Security」など複数のキングソフト製品に脆弱性
https://www.security-next.com/134926金銭や個人情報狙う新型コロナ便乗詐欺に注意
https://www.security-next.com/1349072021年サイバーセキュリティレポートを公開~多発するランサムウェア攻撃、いまだ続く脆弱性を悪用した攻撃などを解説~(3/16)
https://www.jiji.com/sp/article?k=000000822.000013943&g=prtサイバー攻撃ツール5000万円超
2022/3/17主にITとかセキュリティの記事
「OpenSSL」にDoS攻撃のおそれ – アップデートが公開
https://www.security-next.com/1348912割から3割が無許可のクラウドサービスを利用
https://www.security-next.com/134750ウェブソースに顧客のメールアドレス – 壽屋
https://www.security-next.com/134902HIS、なりすましメールに注意喚起 – 「Emotet」に感染か
https://www.security-next.com/134910Log4j脆弱性による被害は今後も継続 NTTデータがセキュリティ動向四半期レポートを公開(3/15)
https://enterprisezine.jp/news/detail/15704「PPAP」対策導入は3割超にとどまる──廃止についてソースポッド調べ(3/15)
https://enterprisezine.jp/news/detail/15705IPA、「情報セキュリティ10大脅威 2022」を発表(3/15)
https://securityins
【Web】セキュリティと認証について図を使って説明してみた
## Webシステムのセキュリティ
– **気密性**:アクセスを認められたものだけがその情報にアクセスできる状態を確保すること
– **完全性**:情報が破壊・改ざん・消去されていない状態を確保すること
– **可用性**:必要なときはいつでも情報にアクセスできる状態を確保すること
– **リスク**:何らかの損失が発生する可能性
– **脅威**:リスクを現実化させる要因
– **脆弱性**:脅威に対する弱み
## パスワードクラッキング、DoS攻撃
– **パスワードクラッキング**:
2022/3/16主にITとかセキュリティの記事
「iOS 15.4」が公開、マスク着用時でも顔認証可能に – 脆弱性39件を修正
https://www.security-next.com/134860「Apache httpd」に4件の脆弱性 – アップデートが公開
https://www.security-next.com/134879Webサイトのフォーム通じてBazarLoaderマルウェアへの感染狙う攻撃に注意(3/14)
https://news.mynavi.jp/techplus/article/20220314-2292833/デンソー独拠点にサイバー攻撃=身代金要求ウイルスに感染(3/13)
https://news.nifty.com/article/economy/economyall/12145-1519897/トヨタ系のデンソーにサイバー攻撃、身代金要求か:報道(3/14)
デンソー、ドイツの拠点にサイバー攻撃-事業自体には影響なし(3/13)
https://www.bloomberg.co.jp/news/a
