- 1. 基本情報技術者試験其の13
- 1.1. 2022/5/20主にITとかセキュリティの記事
- 1.2. 【概要】秘密計算を調べてみた
- 1.3. 脆弱性とエクスプロイトについて理解する
- 1.4. 2022/5/19主にITとかセキュリティの記事
- 1.5. ファイルレスマルウェア とは
- 1.6. 2022/5/18主にITとかセキュリティの記事
- 1.7. 二次漏洩ってどんなこと?
- 1.8. JWTとは何か、そしてこの技術がどのようにドキュメントを保護するのか
- 1.9. 2022/5/17主にITとかセキュリティの記事
- 1.10. Snyk IaC で HashiCorp Terraform のクラウド設定ミスを防ぐ
- 1.11. 2022/5/16主にITとかセキュリティの記事
- 1.12. SDCTF
- 1.13. Blue Team Level 1を取ったので少し経験をシェア
2022/5/24主にITとかセキュリティの記事
「Firefox」や「Thunderbird」に深刻な脆弱性 – アップデートで修正
https://www.security-next.com/136694資格検定の申込サイトにサイバー攻撃 – データ改ざんや流出の可能性
https://www.security-next.com/136684トレンドマイクロのWindows向けパスワード管理製品に脆弱性
https://www.security-next.com/136696過去12カ月に従業員の電子メール関連のミスによってデータを損失した企業は6割超(5/21)
https://news.mynavi.jp/techplus/article/20220521-2348733/Microsoft、SQL Serverを標的とした新しいブルートフォース攻撃について警告(5/21)
https://news.mynavi.jp/techplus/article/20220521-2348587/連載企画「サイバーカオス 解明コンティ」 まとめ読み(5/22)
https://www.nikkei.com/artic
2022/5/23主にITとかセキュリティの記事
日立など、脱PPAP パスワード付きファイル廃止相次ぐ(5/21)
https://www.nikkei.com/article/DGXZQOUC112B30R10C22A5000000/Microsoft、SQL Serverを標的とした新しいブルートフォース攻撃について警告(5/21)
https://news.mynavi.jp/techplus/article/20220521-2348587/不審メールにご注意ください 地域包括支援センター利用者等のメールアドレス流出疑いについて(5月20日)仙台市
https://www.city.sendai.jp/kaigo-suishin/040520houkatu-maleadress-ryusyutuutagai.htmlAppleの最新CMに見る「プライバシー情報搾取」の現状(5/20)
https://www.itmedia.co.jp/pcuser/spv/2205/20/news048.html「ロシアによるウクライナ侵攻から考える情報リテラシー、サイバーセキュリティ」と題し、(株)第一生命経済研究所 柏村
2022/5/22主にITとかセキュリティの記事
中小企業等のサイバー対策強化に補助金の活用を(5/19)
https://www.jimin.jp/news/information/203580.html【記者のひとこと】技術力に優れたホワイトハッカー(5/20)
https://www.bcnretail.com/market/detail/20220520_280140.html女性服ECでクレカ情報1.6万件漏えいの可能性 不正アクセス・システム改ざん被害で(5/20)
https://www.itmedia.co.jp/news/spv/2205/20/news121.html日経新聞、シンガポール法人に不正アクセス ランサムウエアに感染(5/19)
https://newspicks.com/news/7082027/body?sentlogバックアップがあってもランサムウェア攻撃から回復できない理由とは(5/20)
https://news.mynavi.jp/techplus/article/20220520-2347539/首相 サイバー攻撃対策に万全を 来年日本開催のG7控え(5/20)
htt
ラテラルフィッシング とは
## 勉強前イメージ
フィッシングの一種?
## 調査
### ラテラルフィッシング
Lateral Phishing と書き、社会的信頼の高い組織で利用されているメールアドレスなどを乗っ取って悪用していく攻撃手法になります。
ラテラルとは横方向を意味しており、サイバー攻撃で不正侵入後感染を拡大するラテラルムーブメントとも近い意味になります。
ラテラルフィッシングは乗っ取り後、正規のアカウントからフィッシングメールを送るので一般的に検知が困難になります。以前の被害例で言えばMicrosoft365のアカウントの情報を狙ったものがありました。
企業アカウントを乗っ取ることで共有ファイルなど企業の機密情報を取得することが出来ます。### ラテラルフィッシングの対策
– 従来の考えは捨てる
ラテラルフィッシングでは怪しいドメインからメールが来たり、怪しいURLが来たときにクリックしないというだけでは防げません。
– セキュリティソフトを使用する
複数の種類のセキュリティソフトを導入する必要があります。
– 多要素認証を導入
多くのクラウドサービスでは多要素認証が
【大事!】GitHubアカウントで2段階認証を有効化する
# 本記事の内容
– Git Hubアカウントで2段階認証を設定する。
ID/PASS認証だけだと、「何かあったらどうしよう・・」等セキュリティーに不安に感じる覚えることもあり、GitHubアカウントへ2段階認証設定を行ってみました。
セキュリティー対策やって損は無いと思いますので、本手順を参考に実施頂ければと思います。# 実施環境
– Windows 10
– Chrome# 手順の流れ
1. GitHubアカウントを2段階認証設定にする
2. 2段階認証でのログインを確認する## 1.GitHubアカウントを2段階認証設定にする
GitHubのサイトにログインしマイページを表示する。
https://github.com/
右上のメニューから「Settings」をクリックする。
https://news.mynavi.jp/t
PG見聞録 ~FE編其の13 セキュリティ~
基本情報技術者試験其の13
セキュリティについて
2022/5/20主にITとかセキュリティの記事
米政府、VMwareのID管理製品脆弱性で緊急指令 – 侵害確認とパッチ適用求める
https://www.security-next.com/136609VMware製IDアクセス管理製品に重要度「クリティカル」の脆弱性 – 認証回避のおそれ
https://www.security-next.com/136589「BIND」の「DNS over HTTPS」に脆弱性 – DoS攻撃のおそれ
https://www.security-next.com/136615サービス終えた「ログ解析サービス」のドメインを第三者が取得 – タグの除去徹底を
https://www.security-next.com/136593楽天モバイルのフェムトセルに複数の脆弱性
https://www.security-next.com/136620住信SBIネット銀行の利用者狙うフィッシングに注意
https://www.security-next.com/136618サプライチェーンのマルウェアリスク意識に大きな断絶 NTTビジネスソリューションズがレポート発表(5/18)
ht
【概要】秘密計算を調べてみた
# 背景・目的
Techplayの「[映像データ解析によるDX協業実例と画像解析AIの未来](https://techplay.jp/event/856909)」というイベントで秘密計算というワードを聞き、興味を持ったので簡単に調べてみました。# まとめ
– データを暗号化したまま計算できる技術。
– 準同型暗号方式と、秘密分散方式の2つの方式がある。# 概要
NRIさんの[ページ](https://www.nri.com/jp/knowledge/glossary/lst/ha/secure_computation#:~:text=%E3%83%87%E3%83%BC%E3%82%BFに%E3%82%92%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%97%E3%81%9F,%E3%81%A8%E6%9C%9F%E5%BE%85%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B%E3%80%82)と、EAGLYSさんの[ページ]((https://www.eaglys.co.jp/news/column/secure
脆弱性とエクスプロイトについて理解する
# はじめに
攻撃者[^1]は偵察行為から得た情報を基に脆弱性を発見し、脆弱性に対する攻撃を確立させます。脆弱性に対する考え方を身につけることはセキュリティ対策の検討に役立ちます。
本記事はエンジニアなら知っておくべき脆弱性の概要や、攻撃者の視点から脆弱性を調査するための方法について記載しています。
[^1]: アタッカー、クラッカー
## 脆弱性
**脆弱性**はシステムにおけるアプリケーションの設計及び実装の欠陥です。脆弱性と攻撃者の**脅威**が紐づくことでリスクが生じます。従って、リスクを低減するためには攻撃ベクトルとなる脆弱性を塞ぐために適切なセキュリティ対策が必要です。脆弱性はさまざまな種類が存在します。例えば、OSやMWなどカーネルやライブラリの隙を突いて、特権の昇格を狙うものや、アプリケーション、認証で使用されるクレデンシャル情報、フィッシングメール等いくつかのカテゴリに分類できます。
セキュリティを維持し続けるためには脆弱性情報を収集し、パッチ適用や、セキュリティ対策を定期的に見直すなど日々の運用が重要です。
脆弱性は既知の脆弱性と未知の脆弱性の2種
2022/5/19主にITとかセキュリティの記事
クラウド利用機器にサイバー攻撃、脆弱性公表から3日後に – 富士通
https://www.security-next.com/136577ファイルサーバへのサイバー攻撃、海外子会社経由で – 沖電気
https://www.security-next.com/136559採用関連情報がネットより閲覧可能、権限設定ミスで – エイチーム
https://www.security-next.com/136528Emotet攻撃、日本が突出して狙われると仏セキュリティ企業が発表(5/17)
https://cybersecurity-jp.com/news/66795サイバー攻撃の動向 脅威増す標的型攻撃重要情報狙う攻撃集団確認、トレンドマイクロが注意喚起(5/17)
https://dempa-digital.com/article/314326未知の欠陥、サイバー攻撃倍増
中ロのハッカー集団が関与か(5/17)
https://nordot.app/899179430402949120?c=39546741839462401ゼットスケーラー、フィッシング攻撃に関
ファイルレスマルウェア とは
## 勉強前イメージ
ファイルなしでのマルウェア?
## 調査
### ファイルレスマルウェア とは
マルウェアの一種で、悪意のあるファイルなどを使うのではなく
OSに元々組み込まれているソフトウェアを使用してメモリに常駐することで攻撃を行うものになります。
なので、ソフトウェアをインストールせずとも実行ファイルがなくても攻撃を仕掛けることが出来ます。
そのため再起動すると消え、セキュリティソフトでの検知が難しいという一面があります。### ファイルレスマルウェアの仕組み
ファイルレスマルウェアはOSに組み込まれているソフトウェアを使用すると↑で記載しました。
Windowsでは特にPowerShellやWMIを使用して活動を行います。
それぞれの説明は以下になります。– Powershell
– windowsのCLIの一つ
– これでほとんどの操作が可能
– 標準搭載されているため検知が難しい
– WMI(Windows Management Instrumentation)
– windowsの管理の根幹の技術
– PC上のすべての情報に操作可能新
2022/5/18主にITとかセキュリティの記事
FRONTEO米子会社にサイバー攻撃 – DC上のデータがランサムウェアの標的に
https://www.security-next.com/136547小学校防犯カメラの映像含むHDDレコーダーがオークションに – 横浜市
https://www.security-next.com/136524/2初心者向け「SECCON Beginners CTF 2022」、6月に開催
https://www.security-next.com/136516Zoomの高度なプラットフォームセキュリティを実現するための最新の認証とイノベーションについてのご紹介新しいグローバルな第三者認証の取得や製品機能の開発を通じたセキュリティとプライバシー保護の強化(5/16)
https://prtimes.jp/main/html/rd/p/000000014.000046792.htmlランサムウェア被害企業の重役88%、再度被害にあえば身代金を支払うと回答(5/16)
https://www.zaikei.co.jp/article/20220516/672258.htmlハッカー集
二次漏洩ってどんなこと?
## 勉強前イメージ
セキュリティ系のことだとおもうけどいい例が思い浮かばない
## 調査
### 二次漏洩 とは
企業などによる情報漏洩についてで
情報が初めて社外に流出してしまう `一時漏洩` と
流出した内容がSNSなどで拡散されてしまうこと、または企業間とのやり取りで機密扱いの情報が取引先から流出してしまう `二次漏洩` があります。一時漏洩については企業の管理下で情報セキュリティの対策である程度コントロールは出来ますが、
二次漏洩は取引先やインターネットの上での拡散なのでほとんどがコントロール範囲外でのことになります。### 二次漏洩の対策
二次漏洩の防止については、以下のような対策があります。
– ドキュメントの暗号
– 閲覧のたびにサーバと通信を行いアクセス権限の確認を行うまず暗号化することで平文では見えません。
また、開くたびにアクセス権限の確認をすることで万が一第三者にドキュメントが渡ってしまった場合でも権限がないため閲覧が不可能。
そのため二次漏洩の対策になります。## 勉強後イメージ
結構セキュリティって今持ってる情報をどうやって守る
JWTとは何か、そしてこの技術がどのようにドキュメントを保護するのか
暗号化、透かし、アクセス権の制限など、ファイルを積極的に保護する方法があります。しかし、ドキュメントのセキュリティはそれだけでは終わりません。JWTは、常にバックグラウンドで動作し、許可されたユーザーだけがファイルを編集できるようにする重要なアクセス保護エージェントです。
**JWTとは**
[JSON Web Token](https://jwt.io/introduction)(JWT、発音は/dʒɒt/)は、主に認証とデータ転送の2つの目的で使用される安全なオンライン情報交換のオープン標準です。
コンパクトなJSONオブジェクトには認証情報が含まれていて、ウェブアプリケーションに適用すると、サービスの正当なユーザーを確認する機能が提供されます。一言で言えば、情報の送り手が本人であることをアプリケーションが確認するのに役立ちます。
JWTは、ヘッダー、ペイロード、署名の3つの部分からなる、文字列形式の自己完結型のオブジェクトです。ヘッダーにはトークンに関する情報と署名の生成方法、ペイロードにはアクセスの許可を与えるために必要なユーザーに関する主張、そして署名はユーザーの妥当性を検
2022/5/17主にITとかセキュリティの記事
SonicWallのVPN製品に複数の脆弱性 – アップデートが公開
https://www.security-next.com/136502米政府、「CVE-2022-26925」を緊急対応リストから一時削除 – DCへの影響で
https://www.security-next.com/136499「Apache Tomcat」に脆弱性 – 2月までの更新で修正済み
https://www.security-next.com/136505ランサムウェア攻撃の身代金の算出方法とは? リークされた内部情報から明らかに(5/13)
https://kn.itmedia.co.jp/kn/spv/2205/13/news086.html巧妙なバックドア「Saitama」を発見、ヨルダン政府組織を攻撃(5/15)
https://news.mynavi.jp/techplus/article/20220515-2345168/Windows 11向け累積更新プログラム「KB5013943」に認証できなくなる不具合(5/15)
https://news.mynavi.jp/
Snyk IaC で HashiCorp Terraform のクラウド設定ミスを防ぐ
本記事は 2021年3月13日にJim Armstrongが公開した英語ブログ [Prevent cloud misconfigurations in HashiCorp Terraform with Snyk IaC](https://snyk.io/blog/prevent-cloud-misconfigurations-hashicorp-terraform-snyk-iac/?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog) を日本語化した内容です。
[](https://snyk.io/jp?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)
2022/5/16主にITとかセキュリティの記事
スマホ盗聴の脅威 半導体回路の改ざん、専門家が警鐘 (5/14)
https://www.nikkei.com/article/DGXZQOUC10DNW0Q2A510C2000000/国立情報学研究所とKDDI総合研究所が共同で、アメリカの教育データに関する調査報告書を公開(5/13)
https://edu.watch.impress.co.jp/docs/news/1402453.htmlClassiqが世界最高レベルの量子回路の設計を競う、コーディングコンテスト「Classiq Coding Competition」の開催を発表効率的で革新的な量子回路を開発した参加者へ総額2万5千ドルの賞金とパブリシティの機会を提供する世界規模のコンテスト(5/13)
https://prtimes.jp/main/html/rd/p/000000001.000101286.html「穴になりかねない」 ネットデータ保護、改正法に弱点(5/14)
https://www.nikkei.com/article/DGXZQOUA27CMX0X20C22A4000000/中高年がやり
SDCTF
# 初めに
SDCTFで学んだことをまとめていきます。
全然時間が取れず期間内にはほとんど触ることができなかった(educationalしかできてない…)ので、次のCTFの時には解く時間をしっかり確保するようにしたいです。
間違ってたら教えていただけるとありがたいです。# OSINT
## This flag has been stolen
### Wayback Machine
Wayback Machineを使うことでサイトが過去にどのようなものだったのかを見ることができる。# REVENGE
## A Bowl of Pythons
わかった部分から少しずつコードを修正していくことで、コードを見やすくしていく。
関数化、コード化されている部分を自分で実行してみることでコードをより簡単にしていく。
pythonのコードを見るときは横にpythonのターミナルを開いて、逐次実行しながら理解していくとよい。### eval
pythonでは`eval`関数を用いることで引数のコードを実行することができる。### format
pythonでも`print`関
Blue Team Level 1を取ったので少し経験をシェア
## 紹介
Blue Team Level 1 という試験についてまったく知らない方が多くいると思います。qiitaで検索しても出てこなくて、googleでもそこまで有名ではなさそうだけど、とてもおもしろいコースと試験だと感じたので応募から証明書をもらうまでの経験をシェアしていきたいと思います。
Blue Team Level 1 (BTL1)は Security Team Training Ltd. というイギリスの機構が行うコースと試験です。オフィシャルサイト ( https://securityblue.team/why-btl1/ ) で見ると、範囲としてはセキュリティ基本(ネットワーク等)、フィッシング分析、脅威インテリジェンス、デジタルフォレンジック、セキュリティ情報とイベントの監視(SIEM)、インシデント対応とのことで、
