- 1. Content Discovery Webアプリケーションに対する偵察行為
- 2. 2022/4/14主にITとかセキュリティの記事
- 3. Azure AD Identity Protectionでできること
- 4. 2022/4/13主にITとかセキュリティの記事
- 5. 2022/4/12主にITとかセキュリティの記事
- 6. Braveはフォントを取得できないようにした。いっぽうChromeはフォントを根刮ぎ取得しようとしている。
- 7. Tencent Cloud WAFの設定をしてみました!
- 8. 2022/4/11主にITとかセキュリティの記事
- 9. 2022/4/10主にITとかセキュリティの記事
- 10. 具体的なスクショ画像で見る、改ざんサイトの復旧作業メモ
- 11. Spring4ShellがGlassfishとPayaraに拡大:同じ脆弱性ですが、新しい悪用法です
- 12. 2022/4/9主にITとかセキュリティの記事
- 13. CXL (Compute Express Link) その16 – CXL.ioコマンド: セキュリティ関連
- 14. 2022/4/8主にITとかセキュリティの記事
- 15. 2022/4/7主にITとかセキュリティの記事
- 16. Dependency-Trackによるソフトウェア構成分析
- 17. 2022/4/6主にITとかセキュリティの記事
- 18. 2022/4/5主にITとかセキュリティの記事
- 19. セキュアなトークンの保持方法について
- 20. 2022/4/4主にITとかセキュリティの記事
Content Discovery Webアプリケーションに対する偵察行為
# はじめに
攻撃者[^1]は攻撃前の事前準備として、公開されている情報を基に偵察行為を行います。本記事は攻撃者がWebアプリケーションに対する偵察行為として、どのような情報収集を行なっているかに着目し、偵察の目的及び手段について記載しています。
攻撃者の偵察行為を知ることは、理にかなったセキュリティ対策の考え方を持つことができます。
[^1]: アタッカー、クラッカー
## 目的と手段
攻撃者が偵察行為として情報収集を行う目的は、収集した情報を基にシステムの脆弱性を特定し、攻撃方法を確立するためです。偵察行為はサイバーセキュリティフレームワークでも定義されています。
[キルチェーン](https://ja.wikipedia.org/wiki/%E3%82%AD%E3%83%AB%E3%83%81%E3%82%A7%E3%83%BC%E3%83%B3)や、**MITRE ATT&CKフレームワーク**の場合、[PRE Matrix(Enterprise)](https://attack.mitre.org/matrices/enterprise/pre/)に含まれます。M
2022/4/14主にITとかセキュリティの記事
「Apache Struts 2」に脆弱性 – 悪用観測ある既知脆弱性の対処不十分で
https://www.security-next.com/135746ランサムウェア身代金、平均支払額が前年比8割増
https://www.security-next.com/135678感染増加に便乗? 「偽コロナワクチンナビ」が再来
https://www.security-next.com/135743「Adobe Acrobat/Reader」に深刻な脆弱性 – アップデートが公開
https://www.security-next.com/135701au装うフィッシング – 誘導に「Google翻訳」を悪用するケースも
https://www.security-next.com/135708経済産業省、産業界・経営層に「サイバー攻撃対策の徹底」呼びかけ(4/12)
https://news.mynavi.jp/techplus/article/20220412-2319890/“サイバー攻撃への対策徹底を” 経産省 企業トップらに求める(4/12)
https:
Azure AD Identity Protectionでできること
# Azure AD Identity Protection
Azure AD Identity Protectionは、Azure AD Premium P2ライセンスを前提として利用可能なIDガバナンス機能です。https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/overview-identity-protection
> ID ベースのリスクの検出と修復を自動化します。
ポータルのデータを使用してリスクを調査します。
リスク検出データを SIEM にエクスポートします。ざっくり言うとリスクの検出・調査・エクスポートが可能な機能です。MicrosoftがXboxにおいて培ったコンシューマー向けの知見とAzureADのサービス提供によって得られた知見からリスクを特定します。
本記事ではAzurePortalベースでアクセスできる機能について確認します。
# リスクに対するポリシー定義
[保護]の部分からリスクへの対処の設定をすることができます。
https://enterprisezine.jp/news/detail/15842顧客情報8万件流出の恐れ 不正アクセスで―エディオン(4/11)
https://www.jiji.com/sp/article?k=2022041100986&g=eco経産省の研究会、サイバーセキュリティーで産業界に注意喚起(4/11)
https://jp.reuters.com/article/japan-cyber-security-idJPKCN2M30LWその
2022/4/12主にITとかセキュリティの記事
2021年のランサム被害報告は146件 – 目立つVPN経由の侵入
https://www.security-next.com/1355952021年の不正アクセス認知は1516件 – 前年から約46%減
https://www.security-next.com/135586日邦産業の海外グループ会社にサイバー攻撃 – 生産に影響なし
https://www.security-next.com/135641国家戦略特区に設置した「雇用労働相談センター」で「Emotet」感染
https://www.security-next.com/135625「Emotet」感染でなりすましメール出回る – サガン鳥栖
https://www.security-next.com/135627アクシーのRoninへの攻撃と、クロスチェーンのリスク(4/10)
https://finance.yahoo.co.jp/news/detail/20220410-00165677-coindesk-bus_allWeb3に流入するトップ人材:VCの見解(4/10)
https://f
Braveはフォントを取得できないようにした。いっぽうChromeはフォントを根刮ぎ取得しようとしている。
JavaScriptから、現在[表示されている](https://qiita.com/life5618/items/3c86c136ed5afd848981)[フォントを取得する](https://s8a.jp/javascript-is-installed-font)[ことが可能です](https://webutubutu.com/webdesign/4369)。
仕組みを簡単に説明すると、フォントによって文字の横幅は異なるので、`font-family`を変えてみて`width`が変わったらそのフォントがインストールされている、みたいな識別方法です。
つまり、フォントを表示させて、そのフォントが入っているかどうかをチェックすることで、ブラウザフィンガープリントになります。
# Braveはフォントを取得できないようにした
[How Brave defends against font fingerprinting](https://brave.com/privacy-updates/17-language-fingerprinting/#how-brave-defends-
Tencent Cloud WAFの設定をしてみました!
こんにちは!
Tencent Cloudについて猛烈勉強中のひよっこエンジニアです。前回Tencent Cloud WAFについて概要やコストなどをまとめてみましたのて、今回は実際の設定方法を行ってみました!!
記事:[「Tencent CloudのWAFについて」](https://qiita.com/b1a4jcsbgs23/items/cbc39c0c68292d741639)
構成
=
Tencent CloudのWAFにはSaaS WAFとCLB WAFがあり、今回は**SaaS WAF**の検証を行いました。
検証を行った構成は以下の通りです。
設定方法
=
WAFの購入後にAdd domains よりDomain Configurationでドメインの設定を行います。
**Domain Configuration**
2022/4/11主にITとかセキュリティの記事
詐欺の技術、SNSで売買 中国から日本を標的か(4/8)
https://www.nikkei.com/article/DGXZQOUE051KV0V01C21A2000000/シーエックスアールの業務サーバに不正アクセス、データ暗号化するも1週間で全面復旧(4/8)
https://s.netsecurity.ne.jp/article/2022/04/08/47433.htmlアンチウイルスアプリを偽装したAndroidマルウェア見つかる、確認と対処を(4/8)
https://news.infoseek.co.jp/article/mynavi_2396945/?tpgnr=itAWS WAF Bot Control のチューニングと最適化(4/8)
https://aws.amazon.com/jp/blogs/news/fine-tune-and-optimize-aws-waf-bot-control-mitigation-capability/NFTから考えるWeb3.0の本質(4/8)
https://hedge.guide/feature/web3-e
2022/4/10主にITとかセキュリティの記事
偽の「通信速度制限」サイトで個人情報を盗み取る、auが注意を呼びかけ(4/8)
https://k-tai.watch.impress.co.jp/docs/news/1401527.html英子会社に不正アクセス 大和証G、情報流出の恐れ(4/8)
https://www.jiji.com/sp/article?k=2022040801185&g=ecoサムスンのAndroidスマホに深刻度の高い脆弱性、確認とアップデートを(4/8)
https://news.mynavi.jp/techplus/article/20220408-2316824/大和証券G、英子会社に不正アクセス(4/8)
https://www.nikkei.com/article/DGXZQOUB08A7H0Y2A400C2000000/大和証G、英子会社に不正アクセス 調査を開始(4/8)
https://jp.reuters.com/article/idJPT9N2VY02NAkamaiデータによると、オンラインのホリデーショッピングに起因するサイバー攻撃が増加(4/8)
https:/
具体的なスクショ画像で見る、改ざんサイトの復旧作業メモ
**「サイトが攻撃を受けた。ウイルスに感染させられたらしい」**・・みたいな話。何が起きているのか、この記事で「見える化」します。
改ざんサイトの復旧作業を依頼されることが時々ありますが、「実際にはこんな作業をします」というのを事前にお伝えできるといいかなと思って、先日受けた依頼についてメモをまとめてみました。外部からの攻撃により設置されたのは「バックドア」。ウェブシェル、トロイの木馬と呼ばれることもあります。
絵文字がキモい。こんなのがサイトに埋め込まれ、悪用目的でこっそり起動したりできます。考えよ
Spring4ShellがGlassfishとPayaraに拡大:同じ脆弱性ですが、新しい悪用法です
本記事は2022年4月8日(米国時間)に公開した英語ブログ[Spring4Shell extends to Glassfish and Payara: same vulnerability, new exploit](https://snyk.io/blog/spring4shell-rce-vulnerability-glassfish-payara/)を日本語化した内容です。
[](https://snyk.io/jp)
先週、[Spring4Shell](https://security.snyk.io/vuln/SNYK-JAVA-ORGSPRINGFRAMEWORK-2436751)の発見について発表しました。`spring-beans`パッケージの古いバージョンにリモートコード実行(RCE)の脆弱性
2022/4/9主にITとかセキュリティの記事
重要インフラ事業者に情報共有求める、鍵となる10要素も – CISA
https://www.security-next.com/135577月桂冠がランサム被害、子会社にも影響 – 生産には影響なし
https://www.security-next.com/135612攻撃で制作停止していた新作TVアニメ作品を供給再開 – 東映アニメ
https://www.security-next.com/135605「Chrome」や「Microsoft Edge」にセキュリティアップデート
https://www.security-next.com/135583Linux向けに提供されている「VMware Horizon Client」に複数脆弱性
https://www.security-next.com/135580子会社リモート接続機器脆弱性が標的に、横展開からランサム – 小島プレス工業
https://www.security-next.com/135504セキュキャン全国大会、週明け11日より募集開始
https://www.security-next.
CXL (Compute Express Link) その16 – CXL.ioコマンド: セキュリティ関連
私はメモリデバイスの不揮発性メモリ制御やホストIFなどを扱うソフト屋をやっております。
仕事でCXL(Compute Express Link)まわりの技術に関わっています。
CXL技術に関連するメモ書きを残していこうと思います。
ホストのCPUとOS/Applicationまわりの経験・知識共に乏しいので、親切な方は教えて下さると幸いです。
また、間違い、アドバイス、その他、ご意見やご要望ありましたらお気軽にどうぞ。—
今回の記事で凡そCXL.ioのMailboxコマンドの詳細については書き終わってしまうので、CXL.ioコマンド関連する記事は今回で最後となると思います。次回はCLX関連で何を書くか決めていません。今回はセキュリティ機能に関連するCXL.ioコマンドについて書きます。
CXL IFの通信路の暗号化と完全性チェック機能であるCXL IDEについては、今回は触れません。# 1. セキュリティ
CXLの仕様として定められているセキュリティに関連のCXL.ioのコマンドセットは、以下の2つのコマンドセットです。
– Sanitizeコマンドセット
CXLメモリ
2022/4/8主にITとかセキュリティの記事
VMwareのIDアクセス管理製品に複数の深刻な脆弱性
https://www.security-next.com/135534IPA、内部不正防止ガイドラインを改訂 – テレワーク増加も反映
https://www.security-next.com/135547プロモーション情報サイトで顧客情報流出の可能性 – 電通グループ会社
https://www.security-next.com/135549園芸情報サイトが改ざん – 不正コードにより外部サイトへ誘導
https://www.security-next.com/135545国家が関与するサイバー攻撃、企業は懸念も対策に課題(4/6)
https://japan.zdnet.com/article/35185841/海外子会社への不正アクセスについて(4/4)
https://www.konicaminolta.com/jp-ja/newsroom/topics/2022/0404-02-01.htmlハッカー集団「Anonymous」によるロシアのデータ流出続く(4/4)
https://news.
2022/4/7主にITとかセキュリティの記事
「GitLab」にアカウント奪取が可能となる脆弱性 – 早急に更新を
https://www.security-next.com/135490フィッシングURLやブランド悪用が過去最多 – 報告は8万件超に
https://www.security-next.com/135498Fortinet、「OpenSSL」脆弱性判明受けてアップデート – 「Spring4Shell」の影響は調査中
https://www.security-next.com/135479「CODE BLUE 2022」、10月にハイブリッド開催 – 今年で10回目
https://www.security-next.com/135512「ウイルスバスター for Mac」に権限昇格の脆弱性
https://www.security-next.com/135524不正アクセスでメアド流出の可能性 – 岡山県医師会
https://www.security-next.com/135415サイバー攻撃 企業は脅威への備え急ぎたい(4/4)
https://www.yomiuri.co.jp/e
Dependency-Trackによるソフトウェア構成分析
# 1. ソフトウェア構成分析とは?
ソフトウェア構成分析(Software Composition Analysis, SCA)は、**コードベース内のサードパーティコンポーネントを特定し、それらの脆弱性やライセンス情報を検出・追跡する自動化されたプロセス**を指します。
自社で開発するソフトウェア/調達するソフトウェアに既知の脆弱性があるコンポーネントが存在していないかや、ソースコードの公開に繋がるようなライセンス形態のコンポーネントが存在していないかなどを検査するために使用されます。最近の例だと、Log4ShellやSpring4Shellの脆弱性が存在するライブラリを使用してないかどうかを調査するのに役立ちます。
# 2. ソフトウェア構成分析のツール
NISTの[Recommended Minimum Standards for Vendor or Developer Verification (Testing) of Software Under Executive Order (EO) 14028](https://doi.org/10.6028/NIST.IR.
2022/4/6主にITとかセキュリティの記事
「Spring4Shell」、一部Cisco製品に影響 – 調査中の製品も
https://www.security-next.com/1354432021年4Qのクレカ不正利用被害は約93億円 – 前四半期から14.6%増
https://www.security-next.com/135453ドローン向けにサイバーセキュリティガイドライン – 経産省
https://www.security-next.com/135458仮想通貨ウォレットのトレザー、情報漏えいの可能性を調査 ユーザーがフィッシング攻撃を指摘(4/4)
https://jp.cointelegraph.com/news/trezor-investigates-potential-data-breach-as-users-cite-phishing-attacks経営者やセキュリティ担当者の「悩み」から参考事例を探せる「プラクティス・ナビ」、IPAが公開(4/4)
https://internet.watch.impress.co.jp/docs/news/1399896.html病院狙われ地域医
2022/4/5主にITとかセキュリティの記事
「Apache Tomcat」のアップデートが公開 – 「Spring4Shell」対策も
https://www.security-next.com/135438中小企業の3分の1、直近3年間のセキュ投資ゼロ – 「必要性を感じない」
https://www.security-next.com/135364WindowsやDell、Trend Micro製品のサイバー攻撃での活発な悪用を確認、更新を(4/1)
https://news.mynavi.jp/techplus/article/20220401-2309288/Google、3月後半に東欧で行われたサイバー攻撃報告、中国やロシアの攻撃者が暗躍(4/3)
https://news.mynavi.jp/techplus/article/20220403-2309856/サイバー警察局発足 「深刻化するサイバー犯罪」に重点、対処業務を追加(4/1)
https://www.itmedia.co.jp/news/spv/2204/01/news093.html備忘録、、、File1 エクセルが開かなくなった(4
セキュアなトークンの保持方法について
# トークンの保持方法について
セキュアなトークンの保持方法について、検証と調査を行なって、実際に実装してみました。
## トークンを保持する際に考えなければならない脆弱性について
### XSS(クロスサイトスクリプティング)
– ユーザー(被害者)の Web ブラウザで任意の JavaScript を実行させることを許す脆弱性または攻撃手法
1. 攻撃者が脆弱性のある Web アプリケーションを見つける。
2. 不正なスクリプトを含んだ罠を用意する。
3. 罠に誘導するための URL をユーザー(被害者)に SNS / メールなどで配る。
4. 罠にかかったユーザーが URL にアクセスし、脆弱性のある Web アプリケーションにアクセスする。
5. Web アプリケーションから不正なスクリプトを含んだ Web ページが返される。
6. ユーザーの Web ブラウザで不正なスクリプトが実行される### CSRF(クロスサイトリクエストフォージェリ)
– 悪意を持つ攻撃者が作成したページなどにアクセスすると、知らない間に情報が送信されてしまう攻撃手法
1. ユーザー
2022/4/4主にITとかセキュリティの記事
GoogleのCEOがやってる、スマホを使わない「月曜朝の習慣」(4/4)
https://www.google.com/amp/s/www.lifehacker.jp/amp/2204googles-ceo-sundar-pichai-has-a-remarkably-simple-monday-morning-rule-that-explains-why-hes-so-productive/防衛省 契約企業により厳しいセキュリティー基準を義務づけ(4/1)
https://www3.nhk.or.jp/news/html/20220401/k10013562841000.htmlポルノサイト訪れた日本人を標的とした詐欺を確認、要注意(4/1)
https://news.mynavi.jp/techplus/article/20220401-2309311/米Verizonのユーザー、自分の携帯電話番号からスパムSMSが届く(4/2)
https://www.zaikei.co.jp/article/20220402/666873.htmlGoogle Playの「お
