- 1. 静的アプリケーションセキュリティテスト(SAST)とソフトウェア構成分析(SCA):Snykなら組み合わせるとより効果的
- 2. 2022/4/24主にITとかセキュリティの記事
- 3. 2022/4/23主にITとかセキュリティの記事
- 4. 2022/4/22主にITとかセキュリティの記事
- 5. ネットワーク&セキュリティ勉強(using AWS)
- 6. 2022/4/21主にITとかセキュリティの記事
- 7. 2022/4/20主にITとかセキュリティの記事
- 8. 独学リバースエンジニアリング バイナリファイルの解析
- 9. 2022/4/19主にITとかセキュリティの記事
- 10. ソフトウェア構成分析(SCA)ツールの選び方
- 11. 2022/4/18主にITとかセキュリティの記事
- 12. 2022/4/17主にITとかセキュリティの記事
- 13. ホワイトハウスのサイバーセキュリティに関する勧告を満たすためにSnykができること
- 14. 2022/4/16主にITとかセキュリティの記事
- 15. 怪しいOfficeファイルの調査に使えるツール
- 16. HTTP Referrer-Policy ヘッダー概要
- 17. 2022/4/15主にITとかセキュリティの記事
- 18. dompdf セキュリティ警告:人気のある PHP PDF ライブラリに RCE の脆弱性が発見される
- 19. Content Discovery Webアプリケーションに対する偵察行為
- 20. 2022/4/14主にITとかセキュリティの記事
静的アプリケーションセキュリティテスト(SAST)とソフトウェア構成分析(SCA):Snykなら組み合わせるとより効果的
本記事は2022年2月10日(米国時間)に公開した英語ブログ[SAST and SCA: Better together with Snyk](https://snyk.io/blog/sast-and-sca-better-together-with-snyk/?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)を日本語化した内容です。
[](https://snyk.io/jp?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)
## はじめに
アプリケーションの複雑化に伴い、セキュリティ対策も同様に複雑になっています。アプリケーションを構成するソ
2022/4/24主にITとかセキュリティの記事
ランサムウェア「Hive」のハッカー、「Microsoft Exchange Server」狙う(4/22)
https://japan.zdnet.com/article/35186682/人気のオープンソース脅威インテリジェンス/脅威ハンティングツール7選(4/22)
https://atmarkit.itmedia.co.jp/ait/spv/2204/22/news101.html猛威振るう「Emotet」の感染確認ツールがアップデート 検知手法を追加(4/22)
https://www.itmedia.co.jp/news/spv/2204/22/news176.htmlAndroidに音楽再生で乗っ取りの脆弱性。パッチは公開済み(4/22)
https://pc.watch.impress.co.jp/docs/news/1404859.html「アカウントを乗っ取られた」「投げ銭してくれるファンに殺された」実際にあったライブ配信者の被害(4/21)
https://finance.yahoo.co.jp/news/detail/20220421-00582
2022/4/23主にITとかセキュリティの記事
進化する「Emotet」に対応した感染チェックツール最新版を公開 – JPCERT/CC
https://www.security-next.com/136067「Java SE」脆弱性の詳細が明らかに – 発見者が影響の大きさ指摘
https://www.security-next.com/136055「Log4Shell」緩和する「ホットパッチ」にホスト乗っ取りが可能となる脆弱性
https://www.security-next.com/136029サイバー攻撃の侵入経路、VPN脆弱性の可能性 – 日邦産業
https://www.security-next.com/136076新型コロナ検査キットに脆弱性 – 検査結果が改ざん可能に
https://www.security-next.com/1360352022年1Qの脆弱性届け出は176件 – ソフトとウェブともに増加
https://www.security-next.com/136034ハンモックのIT資産管理製品に脆弱性 – 修正プログラムが公開
https://www.security-nex
2022/4/22主にITとかセキュリティの記事
広域での安全な個人データ越境移転を目指して「Global CBPRフォーラム」設立
https://www.security-next.com/136018サイバー攻撃被害の情報共有に向けて検討会 – 政府
https://www.security-next.com/136026ランサム攻撃に2割が支払い、4割は復旧できず
https://www.security-next.com/1357152022年1Qの脆弱性DB登録は3780件 – 5四半期ぶりに減少
https://www.security-next.com/135988「Java SE」がアップデートで脆弱性7件を修正 – 「同7」延長サポートは7月に終了
https://www.security-next.com/1359846割以上の組織でサイバー攻撃が増加、約半数に実被害–Splunk調査(4/20)
https://japan.zdnet.com/article/35186543/認証サービスOkta、「LAPSUS$」による不正アクセスの影響は「想定よりはるかに小規模」(4/20)
ht
ネットワーク&セキュリティ勉強(using AWS)
勉強のために、以下の事をしました。
① AWS上で仮想サーバーを立てる
② VPCやサブネットの設定をする
③ ①で立てた仮想サーバー上に、apacheをインストールする
2022/4/21主にITとかセキュリティの記事
Lenovo製ノートPCのBIOSに複数脆弱性 – 100モデル以上に影響
https://www.security-next.com/135938Oracle、四半期パッチをリリース – のべ520件の脆弱性に対応
https://www.security-next.com/135967米政府、北朝鮮関連グループの攻撃に注意喚起 – 標的は暗号通貨やNFT関連
https://www.security-next.com/135959組込システム向け「mruby」に複数の脆弱性
https://www.security-next.com/135943インスタアカウントが乗っ取り被害、DMに個人情報 – 建築設計会社
https://www.security-next.com/135951Emotet感染でメール約85万件が流出した可能性 – JP-AC
https://www.security-next.com/135954件名「国民年金(基礎年金)アカウント停止通知」のメール、日本年金機構(ねんきんネット)をかたるフィッシングに注意 偽サイトに誘導して個人情報
2022/4/20主にITとかセキュリティの記事
2022年1Qのセキュ相談、前四半期比4割増 – Emotet関連が約54.7倍
https://www.security-next.com/135905「NHK」のフィッシング – 「ネット登録必要」とだます手口
https://www.security-next.com/135932WordPressのデザインを制御する人気プラグインに深刻な脆弱性
https://www.security-next.com/135893日本年金機構や「ねんきんネット」を装うフィッシングに注意
https://www.security-next.com/135897【5月12日】攻撃への対応/回復力を磨け、データ保護を重視する最新対策
https://active.nikkeibp.co.jp/atcl/sp/seminar/22/04/08/00227/?i_cid=nbpnxta_sied_pickup大和証券の英国子会社が不正アクセス被害(4/18)
https://cybersecurity-jp.com/news/65824ハッカー集団「Anonymous」によるロ
独学リバースエンジニアリング バイナリファイルの解析
# はじめに
バイナリファイルの解析はアプリケーションやファームウェアのデバッグ、マルウェアの解析等目的に応じて手段となるツールが異なります。本記事はバイナリファイルの解析を行うために必要となる基本的な知識や、リバースエンジニアリングツールの概要について記載しています。
リバースエンジニアリングツールは[IDA Pro](https://hex-rays.com/ida-pro/)など有料のプロダクトがありますが、本記事ではフリーで利用可能なツールに着目しています。
## バイナリファイルとは
コンピュータが処理する情報(データ)は基本的にテキストファイルと、バイナリファイルに大別できます。テキストファイルはテキストエディタなどを使用して何らかの文字コードでエンコードされたテキストファイルのことです。テキストファイルに書かれた内容は人間にしか理解できません。
[バイナリ](https://ja.wikipedia.org/wiki/%E3%83%90%E3%82%A4%E3%83%8A%E3%83%AA)ファイルは2進数の0と1が並んだビット列で表現されたファイルです。画
2022/4/19主にITとかセキュリティの記事
「Cisco WLCソフトウェア」に深刻な脆弱性 – 管理者としてログインされるおそれ
https://www.security-next.com/135863国内上場企業が優先対処したいリスク、上位に「サイバー攻撃」
https://www.security-next.com/135725スマホゲーム「イケメン戦国」で障害 – 不正アクセス原因か
https://www.security-next.com/135861クラウドサーバで個人情報流出の可能性 – 京都駅ビル
https://www.security-next.com/135852教育機関向け通販サイトに不具合 – 入金確認SMSを誤送信
https://www.security-next.com/135859「ZOZOTOWN」装いクレカ情報だまし取るフィッシング
https://www.security-next.com/135881<独自>露侵攻前にサイバー攻撃頻発 政府機関標的(4/18)
https://gunosy.com/articles/aTz7aサイバー保険、揺らぐ「戦時は補償
ソフトウェア構成分析(SCA)ツールの選び方
本記事は2021年3月22日(米国時間)に公開した英語ブログ[How to choose a Software Composition Analysis (SCA) tool](https://snyk.io/blog/how-to-choose-sca-tools/?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)を日本語化した内容です。
[](https://snyk.io/jp?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)
# はじめに
開発者であれ、セキュリティエンジニアであれ、ソフトウェア構成分析(Software Compositio
2022/4/18主にITとかセキュリティの記事
京都駅ビル開発、サーバーへの不正アクセスが発覚 利用客 約950件、取引先 約3,400件などの個人情報が流出の可能性 クレジットカード情報はない(4/16)
京都駅ビル開発、サーバーへの不正アクセスが発覚 利用客 約950件、取引先 約3,400件などの個人情報が流出の可能性 クレジットカード情報はない
サポート詐欺とは|仕組みや偽警告の消し方を解説(4/15)
https://news.nifty.com/article/technology/techall/12276-1579492/社説:クレカ被害 便利さのリスクに注意(4/16)
https://www.kyoto-np.co.jp/articles/-/773638Apple、Siriで購入を可能にする計画を中止していた〜プライバシー侵害を懸念(4/16)
改正個人情報保護法
個人データの利用停止・消去請求権を拡充(4/15)
https://www.jimin.jp/news/information/203304.html世界の検索エンジンシェア、Googleの一強が続く(4/16)
h
2022/4/17主にITとかセキュリティの記事
「Chrome」や「Microsoft Edge」にセキュリティ更新 – ゼロデイ脆弱性に対応
https://www.security-next.com/135848JR西子会社に不正アクセス=個人情報4650件流出か(4/15)
https://news.nifty.com/article/economy/economyall/12145-1580705/ざんねんなセキュリティ–流行のゼロトラストが「既に導入済」は本当か?(4/15)
https://japan.zdnet.com/article/35186181/【金融庁】日銀との連携で地銀のサイバー対策を調査(4/15)
https://news.mynavi.jp/techplus/article/20220415-2322766/CISAなど米政府機関、産業制御システム狙うマルウェアについて注意喚起(4/15)
https://japan.zdnet.com/article/35186362/【記者のひとこと】ゼロトラストの実現に向けて(4/15)
https://www.bcnretail.com/
ホワイトハウスのサイバーセキュリティに関する勧告を満たすためにSnykができること
本記事は2022年3月23日(米国時間)に公開した英語ブログ[How Snyk helps satisfy White House cybersecurity recommendations](https://snyk.io/blog/snyk-white-house-cybersecurity-recommendations/?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)を日本語化した内容です。
[](https://snyk.io/jp?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)# はじめに
現代のデジタル社会は、国家間のグローバルな緊
2022/4/16主にITとかセキュリティの記事
大和証券海外子会社にサイバー攻撃 – 情報流出など影響を調査
https://www.security-next.com/135816京セラ製のプリンタや複合機に脆弱性 – リモートでPWなど取得可能
https://www.security-next.com/135843「mixi」をかたるフィッシング – 「アカウントの使用を制限」とだます
https://www.security-next.com/135846日経電子版オンラインセミナー
中堅・中小企業のサイバーセキュリティー戦略
~今からでも遅くない!4月施行の改正個人情報保護法への対策~(5/25~)
https://events.nikkei.co.jp/47315/森永製菓/ランサムウェアで被害か/商品の発送用情報にロック (2022年4月14日号)(4/14)
https://www.bci.co.jp/netkeizai/article/10553警察庁、令和3年におけるサイバー空間をめぐる脅威の情勢等について発表(4/14)
https://securityinsight.jp/news/13-
怪しいOfficeファイルの調査に使えるツール
EmotetやQakbotなどのOfficeファイルのマルウェアが増えてきたので、Officeファイルの解析に使えそうなツールを紹介する。
https://www.jpcert.or.jp/at/2022/at220006.html
https://www.daj.jp/security_reports/220324_1/
https://news.sophos.com/ja-jp/2022/03/10/qakbot-injects-itself-into-the-middle-of-your-conversations-jp/
https://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid
# oletools
https://github.com/decalage2/oletoolsOLEファイルの解析に使えるいろんなツールのパッケージみたいなもの。
Pythonで動いており、pipを使ってインストールできる。
全部のツールを説明すると長くなるため、一部紹介する。
### olei
HTTP Referrer-Policy ヘッダー概要
## Refererヘッダーとは
* アクセス元情報を渡すためのHTTPヘッダー
* Webブラウザなどにより自動でRequestヘッダーとして送信元のURL情報を付与される## Referrer-policyヘッダーとは
* Refererヘッダーで送られる情報をリクエストにどれだけ含めるかを制御するHTTPヘッダー
### Refererヘッダーによる重要情報漏洩への対応
* 遷移元アクセス時のURLに重要情報(パスワードなどユーザー認証情報)が含まれていた場合、その情報が遷移先のサイトに送られてしまう。
* 例
“`http
Referer: https://example.com/auth?emailaddress=test@mail.com&password=Passw0rd
“`* Refererヘッダーに指定される情報をReferrer-policyヘッダーによって制御することで、重要情報の漏洩を防止する。
## 構文
“`http
Referrer-Policy: {ディレクティブ}
“`## デ
2022/4/15主にITとかセキュリティの記事
VMwareのIDアクセス管理製品に対する脆弱性攻撃が発生
https://www.security-next.com/1357552022年1Qのインシデント、前四半期から15.2%減
https://www.security-next.com/135773ヘッドレスCMS「Directus」に権限昇格の脆弱性 – アップデートが公開
https://www.security-next.com/135781経産省、増加するサイバー攻撃 産業界向けに効果的対策を公開 「身代金」支払いは控えて(4/13)
https://www.netdenjd.com/articles/-/265641PayPalアカウントは簡単に乗っ取られる? 友人で実験してみた(4/13)
https://ascii.jp/elem/000/004/088/4088965/?rss日本は世界最低の身代金支払い率 プルーフポイントがフィッシング脅威の調査結果を発表(4/13)
https://enterprisezine.jp/news/detail/15856スキル不要で誰でも使える、クラ
dompdf セキュリティ警告:人気のある PHP PDF ライブラリに RCE の脆弱性が発見される
本記事は、2022年3月18日に公開したブログ[dompdf security alert: RCE vulnerability found in popular PHP PDF library](https://snyk.io/blog/security-alert-php-pdf-library-dompdf-rce/?utm_source=QiitaBlog&utm_medium=Referral&utm_campaign=QiitaBlog)を日本語化した内容です。
# はじめに
先日、Positive Security社の研究者が、一般的なPDF生成ライブラリである[dompdfにリモートコード実行(RCE)の重大な脆弱性](https://security.snyk.io/vuln
Content Discovery Webアプリケーションに対する偵察行為
# はじめに
攻撃者[^1]は攻撃前の事前準備として、公開されている情報を基に偵察行為を行います。本記事は攻撃者がWebアプリケーションに対する偵察行為として、どのような情報収集を行なっているかに着目し、偵察の目的及び手段について記載しています。
攻撃者の偵察行為を知ることは、理にかなったセキュリティ対策の考え方を持つことができます。
[^1]: アタッカー、クラッカー
## 目的と手段
攻撃者が偵察行為として情報収集を行う目的は、収集した情報を基にシステムの脆弱性を特定し、攻撃方法を確立するためです。偵察行為はサイバーセキュリティフレームワークでも定義されています。
[キルチェーン](https://ja.wikipedia.org/wiki/%E3%82%AD%E3%83%AB%E3%83%81%E3%82%A7%E3%83%BC%E3%83%B3)や、**MITRE ATT&CKフレームワーク**の場合、[PRE Matrix(Enterprise)](https://attack.mitre.org/matrices/enterprise/pre/)に含まれます。M
2022/4/14主にITとかセキュリティの記事
「Apache Struts 2」に脆弱性 – 悪用観測ある既知脆弱性の対処不十分で
https://www.security-next.com/135746ランサムウェア身代金、平均支払額が前年比8割増
https://www.security-next.com/135678感染増加に便乗? 「偽コロナワクチンナビ」が再来
https://www.security-next.com/135743「Adobe Acrobat/Reader」に深刻な脆弱性 – アップデートが公開
https://www.security-next.com/135701au装うフィッシング – 誘導に「Google翻訳」を悪用するケースも
https://www.security-next.com/135708経済産業省、産業界・経営層に「サイバー攻撃対策の徹底」呼びかけ(4/12)
https://news.mynavi.jp/techplus/article/20220412-2319890/“サイバー攻撃への対策徹底を” 経産省 企業トップらに求める(4/12)
https:
