特定のS3バケットへの通信だけプライベート接続を実現したい
こんにちはますのです。 S3バケットへのGet、Putをする際に、機密情報モリモリなS3バケットだけを内部的なプライベート接続に出来ないか?と思うことがありました。 今回は特定のS3バケットのみ内部通信を実現する方法がないか調べて実装しましたので紹介です。 実現したいこと 特定のS3バケットへのAWS CLIアクセスをプライベート接続にしたい プライベートサブネットに所属するEC2インスタンスのみ接続許可としたい パブリックサブネットに所属するEC2インスタンスは接続不可とする yumやdnfコマンドでAmazon Linuxリポジトリへのアクセスはパブリックでアクセスしたい なるべく費用はかけない 構成図 概要 パブリックサブネットからの通信はゲートウェイ型VPCエンドポイントのみ接続許可とする 名前解決はRoute53リゾルバ経由でプライベートホストゾーンを参照する 特定のS3バケット
特定のIPまたはVPCからのみ許可するS3バケットポリシーの設定
こんにちはますのです。 先日、X(旧Twitter)でとある投稿を見ました。 AWSドキュメントのS3バケットポリシー制御で、IP制限にDeny使ってるけど、Allow条件入ってないからアクセス出来ないのでは?? { "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } }
偽造マイナンバーカードを使用したSIMスワップについてまとめてみた - piyolog
2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ(八尾市議会議員の事例ではソフトバンク柴田店)で何者かが契約変更(MNPや最新のiPhoneへの機種変更など)を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェック
中小企業に聞く「無駄な事務作業」第1位は?、女性セキュリティ人材の比率と給与格差、ほか
本連載「ざっくり知っておきたいIT業界データ」では、過去1週間に調査会社などから発表されたIT市場予測やユーザー動向などのデータを、それぞれ3行にまとめてお伝えしています。 今回(4月13日~4月26日)は、サイバーセキュリティ業界のダイバーシティ、生成AIとデジタル・シフト、中小企業が考える「バックオフィス業務の無駄」、勤続希望理由の中の「退職給付」、「65歳を超えても働きたい」シニア世代の意識調査を紹介します。 [セキュリティ][ダイバーシティ]サイバーセキュリティチームの女性比率、グローバル平均は23%(ISC2、4月26日) ・サイバーセキュリティチームに占める女性の割合は平均23% ・ただし、30歳未満の人材における女性比率は65歳以上層の2倍 ・女性の平均給与は10万9609ドル、男性は11万5003ドル(米国) サイバーセキュリティに従事する女性2400人を調べた2023年度
LINEヤフーへの不正アクセスについてまとめてみた - piyolog
2023年11月27日、LINEヤフーは同社のシステムが不正アクセスを受け外部にユーザー情報などが流出したと公表しました。その後も調査が継続して進められたところ、2024年2月14日には最終の調査報告として社外のサービス(ファイル共有やSlackなど)に対しても影響が認められたと公表しました。さらに今回の調査を通じて別の委託先2社を通じた不正アクセス事案も確認されたと同日に公表しました。ここでは関連する情報をまとめます。 社内外システムへ不正アクセス LINEヤフーが主体として管理運用するシステム(社内システム)と社内コミュニケーションに利用していた社外サービスシステムに影響が及んでいた。11/27公表を事案A、2/14公表を事案Bとして、具体名称が上がっているシステムは以下の通り。*1 旧ヤフー社側とはシステム基盤が異なることから、ヤフー側の情報への影響はない。また公表時点では流出可能性
PCでも生体認証を必須に。三井住友銀行、不正利用防ぐ新サービス
三井住友銀行は4月8日、個人向けのインターネットバンキング「SMBCダイレクト」において、不正ログインの手口の巧妙化を受け、生体認証を用いた新たなセキュリティーサービスとして「SMBCセーフティパス」を導入したことを発表した。 本サービスに登録後、三井住友銀行アプリでのログイン、インターネットブラウザーでのSMBCダイレクトのログイン、いずれの場合も、サービス登録時のスマホ端末による生体認証が必要となる。インターネットバンキングのログインチャネルを問わず、ログイン時には暗証番号やPINだけでなく生体認証を必須とすることについて、邦銀として初の取り組みとしている。 SMBCセーフティパスの利用にあたり、三井住友銀行アプリでのサービス登録が必要となる。SMBCセーフティパスでログインした場合、振込等の取引における従来のワンタイムパスワードは不要となる。 登録上限は、SMBCダイレクト1契約あた
「Windows Hello」を搭載したPCなら接続指紋認証機能を"後付け"できますよ! | &GP
煩わしいパスワードの手入力から解放してくれる生体認証機能。特にWindows 10/11以降のOSに標準機能として搭載されているWindows Helloは、あらかじめ指紋を登録しておけば後はタッチするだけですぐさまログインできる便利な機能。一度使ったら、もう元には戻れない快適さです。 この便利な機能を全てのPCで活用できたらいいのに!ということでサンワダイレクトから登場したのが、Windows 10/11搭載かつ指紋認証非対応のPCに指紋認証機能を後付けできるUSBドングル型のデバイス「400-FPRD2」(6980円)。家庭でもビジネスでも、さまざまなシーンで活用できそう! 【次ページ】指先タッチで即ログインが快適です▶ 12
パスワード管理は"完全オフライン"がベスト。150コード記憶可能な超薄型ツールが登場! | &GP
日常生活の様々なシーンで使用することが多くなったIDとパスワード。より強固なセキュリティを確保するため、複雑なパスワードを要求されることも多くなり、危険だとは分かってはいても、その煩わしさから同じパスワードを使い回しがち。 “さすがに何十個もパスワードは覚えられない”、“毎回のように初期化して再設定のループから脱出したい…”など、パスワードの管理に困っている人にうれしい、完全オフラインパスワード管理ツール「PIN-Master2.0」(1万980円~ 3月29日現在)が登場。Makuakeにて先行販売中です。 「PIN-Master2.0」は様々なパスワードを一括管理、簡単検索できる、ネット、クラウド、Wi-Fi、IOTなどに繋がない完全オフラインの管理ツール。 大事な個人情報をアナログと同等のセキュリティでしっかりと管理。最大60文字のパスワードを150個記憶します。 記憶させたパスワー
「Gmailガイドライン」が適用開始
迷惑メール対策を強化したGmailの「メール送信者のガイドライン(Email sender guidelines)」が2024年2月1日に適用され、1カ月以上が経過した。現在では特に大きな問題は発生していないようだが、適用開始に向けて企業や組織は対応に追われた。 特に大変だったと思われるのは、大量のメールを送信する顧客を抱えるメール配信事業者だ。プレスリリースなどを見る限りでは、適用直前の2024年1月末にガイドラインへの対応が完了した事業者は多かった。 米Googleがガイドラインを発表したのは2023年10月3日(米国時間)であり、4カ月の猶予があった。にもかかわらず、なぜ対応がギリギリになったのか。業界大手2社への取材を基に、ガイドライン対応の舞台裏を探った。 送信ドメイン認証の全てに要対応 今回のガイドラインのポイントは、1日当たりのGmailアカウントへのメール送信数で要件が異な
"VNC password" を設定すると通信が平文になるから、注意して使おう
一方、認証手法 = VNC Authentication(VeNCryptの時のVncAuth subtypeとは異なる)にはsubtypeがありません。これは暗号化手法が未定義となるため通信は平文で行うことになります。 このようにRFBは「認証手法」に「暗号化手法」が連動した仕様となっています。 VNCの「Authenticatiionを "VNC password" に設定する」と、何が起こるのか? ここからが本題です。 "No matching security types" の対策として「Authenticatiionを "VNC password" に設定する」とVNCの通信がすべて平文になります。 「Authenticatiionを "VNC password" に設定する」というのは、Security TypeでいうところのVNC Authenticationを、サーバー側に
Fletsのルータ設定 - Atsuo Ishimoto's blog
Fletsのルータ設定¶ちょっとした実験で、自宅から外部のサーバとTCP接続を試みたところ、どうもうまくつながらなくて往生してました。接続先サーバのFirewallをすべて取っ払っても届きません。 しばらく苦戦した挙げ句、ためしに他のサーバから接続してみると成功。おお?と思って、自宅のPCから試すとつながらない。自宅の回線になんらかの制限がかかっているようなので、別のポートを試してみたらあっさりつながりました。 で、自宅の環境を確認してみると、AtermもNTT Fletsのルータもデフォルトでいくつかポートを制限してて、適当に使ってたポート 12345 はアウトなんでした。このポートを使うマルウェアのたぐいがあるみたいですね。知らなんだ。 というわけで、以下のポートは使わないほうが安全、という話でした。 137 138 139 445 1243 2049 12345 27374 3178
LINEヤフー、総務省も呆れ果てた「変わらぬ体質」
「行政指導でここまで踏み込んだ文書は、あまり見たことがない。次こそは許しませんよ、というメッセージだろう」 総務省は3月5日、SNS「LINE」や検索サービス「Yahoo! JAPAN」などを運営するLINEヤフーに行政指導を行った。その指導内容を記した文書を見た通信業界関係者は、驚きの声を上げた。 LINEヤフーは2023年9~10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩させていた。総務省はこのうち2万件以上が電気通信事業法上の「通信の秘密」の漏洩に当たると判断した。 具体的な指導項目として、LINEヤフーの親会社に50%出資する韓国のIT大手、NAVERとのシステムの切り離しや、グループ全体のセキュリティガバナンス体制の強化などを要請。その取り組み方針などを4月1日までにとりまとめたうえで、今後少なくとも1年間は、四半期ごとに総務省に対応状況を報告することを
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
総務省は、本日、LINEヤフー株式会社(代表取締役社長 出澤 剛、法人番号 4010401039979、本社 東京都千代田区)に対し、同社における、不正アクセスによる通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう、文書による行政指導を行いました。 LINEヤフー株式会社(代表取締役社長 出澤 剛。以下「LINEヤフー社」という。)からの報告により、同社及び同社のITインフラの運用に係る業務委託先であるNAVER Cloud社が、それぞれセキュリティに係るメンテナンス業務を委託していた企業においてマルウェア感染が生じたことを契機として、NAVER Cloud社の社内システムが侵害されるとともに、同社を介して、同社とネットワーク接続のあったLINEヤフー社の社内システムに対して不正アク
SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Aterm」シリーズのWi-Fiルーターなど59製品に複数の脆弱性。対策や買い替えの検討を 
ポート番号 一覧 危険な ポート番号 閉じておいた方が良い ポート番号 - Windows & IT
変われぬLINE、見えぬ信頼回復 情報管理キーマンも退任 - 日本経済新聞
「情報セキュリティの敗北史」が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は→賢者は歴史に学ぶ
