- 1. 電子契約は商業登記電子証明書の電子署名を利用すべき
- 2. DTLS1.3で何が変わったか
- 3. 2022/5/9主にITとかセキュリティの記事
- 4. レインボーテーブル について
- 5. 2022/5/8主にITとかセキュリティの記事
- 6. RaaS ってなに?
- 7. 2022/5/7主にITとかセキュリティの記事
- 8. アノマリ検知 とは
- 9. CISO マインドマップ 2022 和訳
- 10. 2022/5/6主にITとかセキュリティの記事
- 11. 【Rails/MySQL】dotenv-railsを使ってデータベースの認証情報を環境変数で管理する
- 12. 2022/5/5主にITとかセキュリティの記事
- 13. 2022/5/4主にITとかセキュリティの記事
- 14. 2022/5/3主にITとかセキュリティの記事
- 15. 駆け出しエンジニアが入社する前にやってほしいセキュリティ対策 5選
- 16. npm の依存関係かく乱攻撃をおとり捜査で明らかに
- 17. 脆弱性診断士メモ
- 18. 2022/5/2主にITとかセキュリティの記事
- 19. [セキュリティ]ハッシュと暗号化~CryptとHashの違い~
- 20. 2022/5/1主にITとかセキュリティの記事
電子契約は商業登記電子証明書の電子署名を利用すべき
# はじめに
商業登記電子証明書を利用した電子署名による契約書作成は、おそらく流行ってないです。
でも、流行らせたいです。◯◯◯サインとか、◯◯◯◯サインとか、
「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービス」が様々ありますが、サービス提供事業者がサービスを終了するリスクなどを考えると**法務省による「商業登記にもどづく電子認証制度」による電子署名が、最も安全性が高い**
と思っているのですが、民業圧迫という懸念からか、あまり宣伝されておらず、また、使い方がわかりにくい。
以下のリンク(有限会社ラング・エッジ様)で、商業登記電子証明書での電子署名のおすすめポイントが紹介されていますので、まずはそれをご覧いただき、**本稿で具体的な作業手順を説明して、商業登記電子証明書での電子署名を流行らせます。**
# 商業登記電子証明書の取得方法
まず、昔より安くなってます。
**3ヶ月で 1000円 + 300円 です。**(2022/5現
DTLS1.3で何が変わったか
# はじめに
[RFC9147](https://datatracker.ietf.org/doc/rfc9147/)([日本語](https://tex2e.github.io/rfc-translater/html/rfc9147.html)) : DTLS1.3が発行されたので、1.3で何が変わったのか少しまとめてみました。なお、RFCの “12. Changes since DTLS 1.2” にも変更点のまとめがあります。また、DTLSの一般的な説明については[「組込み向けDTLSを試してみる」](https://qiita.com/kj1/items/2ada57a3690274def706)の記事も参照してください。
一口で言うと、DTLS1.3はTLS1.3の成果を取り込んだことで、セキュリティ上の改善とともにデータグラム向けのよりスループットの高いセキュリティプロトコルになったと言えそうです。
プロトコル仕様の位置付けの観点からは、DTLS1.2はDTLS1.0(*)からの差分として定義されたのに対して、DTLS1.3は(DTLS1.2ではなく)TLS1.3か
2022/5/9主にITとかセキュリティの記事
メールチェックに要注意!GW中サイバー攻撃のリスク(5/7)
https://news.tv-asahi.co.jp/news_economy/articles/000253892.html?display=full元ツイッター警部が警視庁流「デジタル鑑識」サービス開始 「千葉県割」も(5/7)
https://otakei.otakuma.net/archives/2022050705.html中国支援の攻撃グループ、数百GBの機密データ窃取 – 2019年から偵察開始(5/7)
https://news.mynavi.jp/techplus/article/20220507-2338283/米、ハッカー情報に報奨13億円 ロシアを支援、パナ子会社攻撃(5/7)
https://www.tokyo-np.co.jp/article/175959?rct=economicsメール返信装うウイルス「エモテット」にご用心 県警が注意呼び掛け(5/7)
https://www.chunichi.co.jp/article/465995国産クラウド推進 政府、経済安保で「重
レインボーテーブル について
## 勉強前イメージ
虹色のテーブル…?
## 調査
### レインボーテーブル とは
ハッシュ値から平文を割り出す効率的な手法の一つ。
ハッシュ値と平文の対照表のこと、またその対照表を使用して平文を割り出すことを指します。ハッシュ値は平文を不可逆的に変換したもので、ハッシュ値から復号化することは出来ません。
しかし、レインボーテーブルを使えばハッシュ値から平文を出すことが出来ます。
そのため、レインボーテーブルはハッシュ化された情報を不正に取得する際に使用されます。### レインボーテーブルの関数
レインボーテーブルには以下の2つの関数が使用されています。
– ハッシュ関数
平文をハッシュ化する関数になります。
ハッシュ化する関数はいくつもアルゴリズムが存在しますが、同じアルゴリズムであればハッシュ化した値はいつも同じになります。– 還元関数
ハッシュ値から平文を割り出す関数です。
そのままではハッシュ値から正しい平文を得ることは出来ないので、一旦なにかの平文と紐づけます。### レインボーテーブル攻撃の対策
– ソルト処理を行う
ソルト処理は
2022/5/8主にITとかセキュリティの記事
フィッシング対策協議会をかたるフィッシング詐欺に注意──フィッシング対策協議会(5/6)
https://www.itmedia.co.jp/news/spv/2205/06/news118.html巧妙化するランサムウエア攻撃 NTTサイバー専門家・松原実穂子(5/6)
https://www.sankei.com/article/20220506-3WOGIKV7YFLBDNPRJEU4B6OC6E/2022年5月5日は世界パスワードの日、Bitwarden が日本人のパスワード管理の実態や意識を調査(5/6)
https://ascii.jp/elem/000/004/090/4090834/?rssHeroku、全ユーザーのパスワードをリセット – OAuthトークンの漏洩受け(5/6)
https://news.mynavi.jp/techplus/article/20220506-2338798/GitHub、ユーザーの2要素認証を義務化すると発表(5/6)
https://news.mynavi.jp/techplus/article/20220506-2
RaaS ってなに?
## 勉強前イメージ
SaaSとかPaaSとかの仲間?
## 調査
### RaaS とは
Ransomware as a Service の略で、ラースと読みます。
身代金要求型不正プログラムの [ランサムウェア](https://qiita.com/miyuki_samitani/items/3fd9a681bbaf70aba3e1) をサービスとして提供するものです。
ユーザはRaaSを利用してランサムウェアを作成、使用して身代金を受け取ります。
RaaSの利用者はランサムウェアの手間を省く、またサービス提供者は自身の手を汚さずに費用を受け取ることができます。気軽にRaaSを利用してランサムウェアで攻撃を行うことができるので、最近のランサムウェアの増加につながっています。
### RaaSの対策
RaaSの対策としては、マルウェアの対策と一緒になります。
あくまでランサムウェアを実行する側の話なので
受ける側としては基本的にはOSやソフトウェアのアップデートを行い、セキュリティソフトを導入したりすることが必要になります。## 勉強後イメージ
全然違ったわ・・
2022/5/7主にITとかセキュリティの記事
「Cisco NFVIS」に深刻な脆弱性 – ゲストVMよりホスト乗っ取りのおそれ
https://www.security-next.com/136296「BIG-IP」などF5の複数製品に脆弱性 – 重要度「クリティカル」も
https://www.security-next.com/136288「フィッシング対策協議会」を装うフィッシング攻撃に注意
https://www.security-next.com/136292「Firefox 100」が公開 – 機能強化や脆弱性修正を実施
https://www.security-next.com/136282愛知の中小企業の約6割が情報機器使う際のルールを定めず(5/3)
https://www3.nhk.or.jp/tokai-news/20220503/3000022328.html独ベルリン、サイバー対策強化ウクライナ情勢深刻化で運用センター開設(5/5)
https://dempa-digital.com/article/310995GitHub、コード提供の全ユーザーに2要素認証(2FA)を義務付け
アノマリ検知 とは
## 勉強前イメージ
なんかの検知方法?
## 調査
### アノマリ検知 とは
[IDS/IPS](https://qiita.com/miyuki_samitani/items/b4676484119a89c00467) での検知方法の一つ。
通常時の通信のパターンやデータ転送値の上限下限を設定しておき、
明らかに超えるような通信量や、通常時とは異なる通信先やプロトコルでの通信が発生した際は
異常とみなしてアラートを出すような仕組みになります。
また最近では機械学習やAIが活用されるケースもあります。
イメージとしてはホワイトリスト形式のような形になります。不正を検知した状態を異常=アノマリーということから `アノマリー検知` と呼ばれます。
### アノマリ検知のメリデメ
#### メリット
通常時を設定しておいてそれ以外を異常とみなすので
怪しい動きのものは検知の対象になります。
その為、未知の脅威も検知できます。#### デメリット
登録されている不正パターンの通信を検知するシグネチャ型よりも誤検知が多いです。
たまたま登録しているデータ通信量より多か
CISO マインドマップ 2022 和訳
# CISO マインドマップとは
セキュリティで考慮すべき事項にはどのようなものがあるかが俯瞰できるマインドマップです。
セキュリティの専門家ではない人にセキュリティに対する考慮事項を説明するのに役立つほか、セキュリティプログラムの設計や改良にも活用できます。
セキュリティ業界の時流に合わせて毎年更新されています。
公式サイト:[RAFEEQ REHMAN | CYBER | AUTOMATION | DIGITAL](https://rafeeqrehman.com “RAFEEQ REHMAN | CYBER | AUTOMATION | DIGITAL”)# 著者
RAFEEQ UR REHMAN
オハイオ州コロンバス在住の IT エンジニア。ラホール工学技術大学で、電気とコンピューター工学の学士号および修士号を取得。著作は「HP-UX CSA: Official Study Guide and Reference」「Intrusion Detection with SNORT: Advanced IDS Techniques Using SNORT, Apache, MyS
2022/5/6主にITとかセキュリティの記事
2021年のWebサイトの脅威の特徴とは?Sucuriが調査レポート公開(5/4)
https://news.mynavi.jp/techplus/article/20220504-2336249/“サイバー攻撃のリスク ウクライナ侵攻などで高まる” 政府(5/4)
https://www3.nhk.or.jp/news/html/20220504/k10013610801000.html【主要企業アンケート】サイバー攻撃「侵攻後に増加」33社(5/4)
https://www.sankeibiz.jp/article/20220504-LI7B2NH5SFNWTIOYBFB4ITZA4M/インドIT省、仮想通貨取引所にユーザーデータを5年間保存するよう指示(5/3)
https://jp.cointelegraph.com/news/indian-it-ministry-directs-crypto-exchanges-to-store-user-data-for-5-years[社説]スマホOS寡占に対処を(5/4)
https://www.nikkei.com/a
【Rails/MySQL】dotenv-railsを使ってデータベースの認証情報を環境変数で管理する
RailsにMySQLを導入する際に、パスワードをdatabase.ymlに直接書くのはいかがなものかと思い、他の方法を調べた結果、dotenv-railsを使って認証情報を環境変数で管理できることがわかりました。
今回は作成済みのRailsアプリケーションにdotenv-railsを導入する手順を紹介します。
## 環境
macOS Monterey:12.3.1
Ruby:3.1.0
Ruby on Rails:6.1.5
dotenv-rails:2.7.6
MySQL:8.0.28## dotenv-railsとは
– 認証情報などを環境変数で管理するためのgem
– 起動時にプロジェクトのルートディレクトリにある.envファイルを読み込み、ENVに設定する
– [dotenv-rails公式レポジトリ](https://github.com/bkeepers/dotenv)## 手順
以下の手順で進めていきます。
1. dotenv-railsのインストール
1. database.ymlファイルの修正
1. .envファイルの作成
1. .gitignoreフ
2022/5/5主にITとかセキュリティの記事
Windows更新プログラムにランサムウェア(5/3)
https://jp.sputniknews.com/20220503/windows-11006930.html露のIT技術者、すでに15万人が国外脱出…宇侵攻受け 国家競争力に長期打撃(5/3)
https://news.nifty.com/article/world/korea/12329-1611998/新政府の「未来金融」・・・デジタル「革新金融システム」の構築(5/3)
https://m.jp.ajunews.com/view/20220503151043955デジタルはアナログでもある(5/2)
https://www.orangeitems.com/entry/2022/05/02/140354ブロック報酬とは?【GWに考える暗号資産の基本】(5/3)
JVNVU#92363469
Apache HTTP ServerにおけるNULLポインタ参照の脆弱性(5/2)
https://jvn.jp/vu/JVNVU92363
2022/5/4主にITとかセキュリティの記事
Microsoft Azure、PostgreSQLに不正アクセスできる脆弱性【修正済み】(5/2)
https://news.mynavi.jp/techplus/article/20220502-2334455/東映アニメ、不正アクセスの調査結果を公表–業務ソフト配布元が改ざん(5/2)
https://japan.zdnet.com/article/35187047/ハッカー集団「Anonymous」、ロシア主要電力組織や銀行などからデータ流出(5/2)
https://news.mynavi.jp/techplus/article/20220502-2334519/ランサムウェア「Yanluowang」暗号化アルゴリズムに脆弱性、カスペルスキーが復号ツールをリリース(5/4)
https://gunosy.com/articles/eaw2L資産形成コンサルティングの明光トレーディングにランサムウェア攻撃、顧客情報等が流出した可能性(5/2)
https://s.netsecurity.ne.jp/article/2022/05/02/47548.html
2022/5/3主にITとかセキュリティの記事
未感染者にも及ぶ「Emotet」被害 – なりすまされ、約10万件のメール
https://www.security-next.com/136270クライアントソフトなど複数製品に脆弱性 – 米Zoom
https://www.security-next.com/136265スマホ向け主要プロセッサのAppleロスレス処理に脆弱性 – 2021年12月に修正
https://www.security-next.com/136277経産省など セキュリティ対策徹底を サイバー攻撃に注意喚起(5/1)
https://ab.jcci.or.jp/article/63461/【重要】弊社社員を装った不審なメール (なりすましメール) に関する注意喚起のお知らせ ノアドット(5/1)
https://nordot.app/893306469486280704サードウェーブに誤情報提供しライセンス契約 マカフィーに損害賠償命じる判決(4/29)
https://www.zaikei.co.jp/article/20220429/670479.htmlハーモニーOSで巻き返
駆け出しエンジニアが入社する前にやってほしいセキュリティ対策 5選
情報を扱うプロになる前に、これぐらいはやっておいてほしい&癖付けしておいてほしいというのをまとめてみました。
# ① OSの標準機能でドライブ自体を暗号化しておく
## 理由
盗難されたり紛失した際も、SSDやハードディスクをMacから取り出してデータを取り出そうとしても、パスワードを入力しなければデータにアクセスすることはできないから。## やり方
### Mac OS(FileVault)
https://support.apple.com/ja-jp/HT204837### windows(BitLocker)
https://support.microsoft.com/ja-jp/windows/%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E3%81%A
npm の依存関係かく乱攻撃をおとり捜査で明らかに
本記事は、2022年4月29日 (米国時間) に Snyk Security Research team が公開した [Targeted npm dependency confusion attack caught red-handed](https://snyk.io/blog/npm-dependency-confusion-attack-gxm-reference/)を日本語化した内容です。
[](https://snyk.io/jp)
:::note info
UPDATE – 01/05/2022 – npm はレジストリから悪意のあるパッケージを削除しました。
:::# npm マルウェアの動向
近年、様々なエコシステムにおいて、悪意のあるパッケージの数が増え続けています。一般的に、これらのパッ
脆弱性診断士メモ
# 脆弱性診断士メモ
PF/WA脆弱性診断やペンテストについて、学習した内容をアウトプットしていきます。## ペンテスト
### pivotとは
既に侵入したシステムから、同一ネットワーク上の別システムへの侵入を行うこと。
水平移動(lateral movement)とも表現される。外部からの侵入のシナリオとして、一般ユーザの認証情報で侵入されたとします。
攻撃者の目標を達成するために一般ユーザの権限では足りない場合、同一ネットワーク上でpivotし、より権限の強いシステムに対して更に侵入を試みます。## 脆弱性診断
今後追加予定
2022/5/2主にITとかセキュリティの記事
中国のハッカー集団APT41が、米国の家畜管理システムに謎の攻撃(4/30)
https://forbesjapan.com/articles/detail/47238去年のサイバー犯罪被害 日本人の7人に1人 被害額は320億円に(4/30)
https://www3.nhk.or.jp/news/html/20220430/k10013606061000.html2022年1月~3月対象「Webサイト・Webアプリケーションを狙ったサイバー攻撃検知レポート」を発表(5/1)
https://www.jiji.com/sp/article?k=000000276.000009107&g=prtZoom for Macのアップデート中にパッケージのバージョンを確認できない脆弱性が発見され、Zoomがアップデートを呼びかけ。(4/30)
https://applech2.com/archives/20220430-zoom-for-mac-critical-security-vulnerability.html東映アニメーションへの不正アクセスについてまとめてみた(4/3
[セキュリティ]ハッシュと暗号化~CryptとHashの違い~
# はじめに
Laravelで、ユーザーのIDを生データでブラウザに不必要に表示してしまうのはいかがなものかと思い、Hashをすべきかencryptすべきか悩んで色々調べていた。
その時に自分の知識が浅はかすぎたことを痛感した、、、Laravelでは「暗号化」の方法として`Crypt`ファサードによる`encryptString`やヘルパメソッドである`encrypt`が、「ハッシュ」の方法として`Hash`ファサードによる`make`メソッドがあるのは知っていたけど、どのように使い分けるか知らなかったのでメモ。
https://readouble.com/laravel/8.x/ja/encryption.html
https://readouble.com/laravel/8.x/ja/hashing.html
# 暗号化とハッシュの違い
上記のドキュメントに合わせてコチラを参考にしました。
https://tooljp.com/windows/chigai/html/IT/hash-encrypt-chigai.html
恥ずかしい話、ここを知らなかったです。。
2022/5/1主にITとかセキュリティの記事
米国当局、サイバー攻撃に悪用されている脆弱性トップ15公開、ただちに確認を(4/29)
https://news.mynavi.jp/techplus/article/20220429-2332490/2022年1月~3月対象「Webサイト・Webアプリケーションを狙ったサイバー攻撃検知レポート」を発表(4/29)
https://www.jiji.com/sp/article?k=000000276.000009107&g=prt法人3割が個人情報流出、過去1年で トレンドマイクロ(4/29)
https://www.nikkei.com/article/DGXZQOUC079GS0X00C22A4000000/米国政府は、悪意のある仮想通貨取引アプリについて投資家に警告(4/29)
https://nextmoney.jp/?p=50054米歯科医師会に身代金ウイルス攻撃、9ギガのデータが盗難(4/29)
https://forbesjapan.com/articles/detail/472712022年2月のモバイルマルウェアレビュー ― スパイウェア型トロイ
