一番古くて 2014 年製とのこと。そりゃ危なかろう。無線 LAN 製品は 2 ~ 3 年で買い替えることを周囲に推奨している。家庭用なら高級なものじゃなくていいので。 セキュリティ
こんにちはますのです。 S3バケットへのGet、Putをする際に、機密情報モリモリなS3バケットだけを内部的なプライベート接続に出来ないか?と思うことがありました。 今回は特定のS3バケットのみ内部通信を実現する方法がないか調べて実装しましたので紹介です。 実現したいこと 特定のS3バケットへのAWS CLIアクセスをプライベート接続にしたい プライベートサブネットに所属するEC2インスタンスのみ接続許可としたい パブリックサブネットに所属するEC2インスタンスは接続不可とする yumやdnfコマンドでAmazon Linuxリポジトリへのアクセスはパブリックでアクセスしたい なるべく費用はかけない 構成図 概要 パブリックサブネットからの通信はゲートウェイ型VPCエンドポイントのみ接続許可とする 名前解決はRoute53リゾルバ経由でプライベートホストゾーンを参照する 特定のS3バケット
こんにちはますのです。 先日、X(旧Twitter)でとある投稿を見ました。 AWSドキュメントのS3バケットポリシー制御で、IP制限にDeny使ってるけど、Allow条件入ってないからアクセス出来ないのでは?? { "Version": "2012-10-17", "Id": "S3PolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } }
迷惑メール対策を強化したGmailの「メール送信者のガイドライン(Email sender guidelines)」が2024年2月1日に適用され、1カ月以上が経過した。現在では特に大きな問題は発生していないようだが、適用開始に向けて企業や組織は対応に追われた。 特に大変だったと思われるのは、大量のメールを送信する顧客を抱えるメール配信事業者だ。プレスリリースなどを見る限りでは、適用直前の2024年1月末にガイドラインへの対応が完了した事業者は多かった。 米Googleがガイドラインを発表したのは2023年10月3日(米国時間)であり、4カ月の猶予があった。にもかかわらず、なぜ対応がギリギリになったのか。業界大手2社への取材を基に、ガイドライン対応の舞台裏を探った。 送信ドメイン認証の全てに要対応 今回のガイドラインのポイントは、1日当たりのGmailアカウントへのメール送信数で要件が異な
一方、認証手法 = VNC Authentication(VeNCryptの時のVncAuth subtypeとは異なる)にはsubtypeがありません。これは暗号化手法が未定義となるため通信は平文で行うことになります。 このようにRFBは「認証手法」に「暗号化手法」が連動した仕様となっています。 VNCの「Authenticatiionを "VNC password" に設定する」と、何が起こるのか? ここからが本題です。 "No matching security types" の対策として「Authenticatiionを "VNC password" に設定する」とVNCの通信がすべて平文になります。 「Authenticatiionを "VNC password" に設定する」というのは、Security TypeでいうところのVNC Authenticationを、サーバー側に
Fletsのルータ設定¶ちょっとした実験で、自宅から外部のサーバとTCP接続を試みたところ、どうもうまくつながらなくて往生してました。接続先サーバのFirewallをすべて取っ払っても届きません。 しばらく苦戦した挙げ句、ためしに他のサーバから接続してみると成功。おお?と思って、自宅のPCから試すとつながらない。自宅の回線になんらかの制限がかかっているようなので、別のポートを試してみたらあっさりつながりました。 で、自宅の環境を確認してみると、AtermもNTT Fletsのルータもデフォルトでいくつかポートを制限してて、適当に使ってたポート 12345 はアウトなんでした。このポートを使うマルウェアのたぐいがあるみたいですね。知らなんだ。 というわけで、以下のポートは使わないほうが安全、という話でした。 137 138 139 445 1243 2049 12345 27374 3178
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の
RFC9460が出ました 昨年、このエンジニアブログでHTTPSレコードについてとりあげました。これを書いたときはHTTPSレコードはまだインターネットドラフトだったのですが、2023年11月、ついにRFC9460として標準化されました。 RFCにはなったけど日本語の詳しい記事はまだ少ないし需要あるかなーと思って改めて解説を書きはじめたんですが、だらだらとクソ長くなって書いた本人が読んでも眠くて退屈な内容になってしまいました。ので、書いたものはばっさり捨てました。 そういえばいまから3年前、DNS Summer Day 2021で発表したプレゼン資料がありました。これをRFCになった現在の内容にあわせてアップデートしたほうがてっとりばやいしわかりやすそうです。 ということで、加筆修正した資料を置いておきます。DNS屋さんはとりあえず全部読んでおいてください。Web屋さんは前半だけ理解してお
CASBとは? Cloud Access Security Broker:キャスビー クラウドサービスの利活用に対する情報セキュリティのコンセプト。ユーザー(企業)と複数のクラウドサービスプロバイダーの間に単一のコントロールポイントを設け、クラウドサービスの利用状況を可視化/制御し、一貫性のあるセキュリティポリシーを適用するサービス。 クラウドサービスの利用は現在も急速な広がりを見せています。特にSaaS(Software as a Service: ソフトウェアをサービスとして提供する分野)は中小企業だけでなく大企業でも活発化しており、もはやクラウドファーストは現代社会において根付いたものと言ってよいでしょう。 こうしたクラウドサービスの利用拡大は、管理者が管理すべきITツールの増加も意味しており、それらの管理方法も複雑化しています。クラウドサービスは社内ネットワーク外に構築されたもので
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
こんにちは。エムスリー・QLife(エムスリーのグループ会社)・エムスリーヘルスデザイン(エムスリーのグループ会社)でエンジニアとして各種作業に関わっている山本です! 以前もメール送信の話を書かせていただいたことがありますが、今回もまたメールネタとなります。今回のお題はメールセキュリティです。 大量メール送信のための予備知識 - エムスリーテックブログ すでにご覧になった方もいるかと思いますが、次のようなニュースが流れています。 www.proofpoint.com この「GoogleとYahooの新Eメール認証要件」ってつまりどういうことよ? というところを具体的にどのように進めているかについて書かせていただきたいと思います。 2023/12/18追記 : Googleからメール送信にTLSを使うことが追加要件として示されました。 TL;DR とりあえず何から始める? 何はともあれ実際に
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
Sansan株式会社が提供するキャリアプロフィール「Eight」、朝日インタラクティブ株式会社が運営する中小企業向けウェブメディア「ツギノジダイ」の共催イベント「日本を変える 中小企業リーダーズサミット2023」より、日本ハッカー協会の代表理事・杉浦隆幸氏の講演の模様をお届けします。本記事では、中小企業が取るべきセキュリティ戦略の基本や、中小企業で大企業並みの「ゼロトラスト」を実現する方法などが語られました。 中小企業のセキュリティ年間予算は「100万円以下」 司会者:「ハッカーが教える、妥協しない高コスパなセキュリティ対策」と題し、一般社団法人日本ハッカー協会代表理事・杉浦隆幸さんよりご講演いただきます。それでは杉浦さん、よろしくお願いいたします。みなさん盛大な拍手でお迎えください。 (会場拍手) 杉浦隆幸氏:今日は「ハッカーが教える、妥協しない高コスパなセキュリティ対策」ということで、
いろいろなところからマサカリが飛んでくるのはわかっているが、以前から感じていた疑問について書いてみたい。「データセンターの所在地ってやっぱり書いてはいけないのか?」である。だって、ググれば所在地は出てくるんですよ。いろいろ秘密の多いデータセンターだが、インフラ界隈での内輪受けみたいな感じになっていやしませんかね。 実は制約の多いデータセンター取材 ITインフラ系の記者は、たまにデータセンター見学ツアーに招待される。エクイニクスやさくらインターネット、NTTコミュニケーションズなど、私も相当データセンターは見ている方だ。Coltテクノロジー(旧KVH)はシンガポールまで、IIJはコンテナ型データセンターを見に島根まで行っている。IDCフロンティアに至っては北九州も、白河も、府中も見ている。 5月には大阪までデジタルエッジのデータセンターを見にいった。関西のデータセンター事情までいろいろ説明し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く