ヤフーの「超リアル」なサイバーセキュリティ演習に見た凄み
「通販サイトの注文データが消えている」。 引っ越したばかりのヤフー(Yahoo! JAPAN)の真新しいオフィス内で、悲鳴のような声が上がった。実際のサービスで起こったわけではない。ヤフーが2016年10月20日に社内で実施したサイバーセキュリティ演習に潜入取材したときの様子だ(写真1、関連記事:ヤフーがサイバー防御演習「Hardening」、顧客・マスコミ対応力も競う)。 「16時6分以降の注文が消えているようだ。該当するお客様に再度注文してもらうように告知しようか?」 「そもそも、注文受付を続けていいのか? サイトを止めた方がいいのでは」 「通販サイトの画面が改ざんされたりはしていない。サービスは継続できそうだ」 「いや、サイバー攻撃の可能性がある。事態が悪化すれば個人情報を抜かれるぞ」 7つに分かれたチームのそれぞれで、緊迫したやり取りが続いた。 Hardening方式で売上高競う
Security/Server Side TLS - MozillaWiki
The ordering of cipher suites in the Old configuration is very important, as it determines the priority with which algorithms are selected. OpenSSL will ignore cipher suites it doesn't understand, so always use the full set of cipher suites below, in their recommended order. The use of the Old configuration with modern versions of OpenSSL may require custom builds with support for deprecated ciphe
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
ゼロワンオンカジチャンネル
カジノでお金を稼ぎたいと考えている方にとって、最も重要なのは、勝てるゲームを選ぶことです。ベラジョンカジノは国内人気オンラインカジノとして知名度があり、また多数のゲームが提供、勝率が高いゲーム用意されています。 この記事では、ベラジョンカジノで勝てるゲームを徹底解説します。 オンラインスロット オンラインスロットは、ベラジョンカジノで最も人気のゲームの1つです。多数のジャックポットが用意されており、大金を獲得することができます。また、簡単なルールと手軽なプレイスタイルから、初めてのカジノ体験にもぴったりのゲームです。 ベラジョンカジノ内で最も人気のものとしては、 「スターバースト」 「ボニーとクライド」 「レッドタイガー」 などが挙げらます。これらのゲームはグラフィックスが美しいだけではなく、ゲームのペイアウト率も、業界最高水準となっておりカジノ初心者でも間違えなく楽しめるゲームの1つです
「IoT開発におけるセキュリティ設計の手引き」を公開 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
公開日:2016年5月12日 最終更新日:2023年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
[PDF]DNS水責め(Water Torture) 攻撃について /2014年9月27日 SECCON 2014 長野大会 DNS Security Challenge 株式会社日本レジストリサービス(JPRS) 森下 泰宏(Yasuhiro Orange Morishita)
Copyright © 2014 株式会社日本レジストリサービス 1 DNS水責め(Water Torture) 攻撃について 2014年9月27日 SECCON 2014 長野大会 DNS Security Challenge 株式会社日本レジストリサービス(JPRS) 森下 泰宏(Yasuhiro Orange Morishita) 最終更新:2014年10月2日 どんな攻撃なのか? • 2014年1~2月頃から世界的に観測され始めた、 DNSサーバーに対するDDoS攻撃の手法 – 攻撃は現在も続いている模様 • 2014年6~7月にかけて国内の複数のISPで発生 した「DDoS攻撃によるDNS障害」の原因の多く は、この攻撃によるものであったと考えられる – 複数の状況証拠 – 複数のISP関係者からの伝聞 Copyright © 2014 株式会社日本レジストリサービス 2 攻撃の
日本の金融機関はなぜ「常時SSL」を実装しないのか?
日本の金融機関はなぜ「常時SSL」を実装しないのか?:萩原栄幸の情報セキュリティ相談室(1/2 ページ) 通信内容を盗聴されないための暗号化通信の導入が世界中の多くのWebサイトで進んでいる。だが、日本ではまだ少なく、金融機関でも対応が鈍い。その理由はなぜか。 本連載で以前にノマドワーカーに関する記事を掲載した。記事の最後に「HTTPS通信などについては、機会があれば筆者の意見を含めて解説したい」を記載したところ、「この続きを読みたい」というご依頼のメールを何通かいただいたので、今回はその件について触れたい。 きっかけは、以前の記事にも登場したノマドワーカーでフリーライターのA君である。彼は筆者の忠告を素直に聞きながら、できるだけ安全な公衆Wi-Fiを利用するようになった(公衆Wi-Fiそのものを利用しないという選択肢はなかったようである)。その時の続きから始めよう。 なお、以降では日本の
セキュリティ・ダークナイト ライジング
あのダークナイトが再び這い上がり、帰ってきた! ペンテスターとしての長い経験を踏まえ、自らの、そして周りの人々を守るために知るべき「攻撃者のやり方」を解説する。
Amazon Inspectorで脆弱性を検知させる | DevelopersIO
はじめに 先月正式リリースされたAmazon Inspector。皆さん使ってみましたでしょうか?EC2にAgentを入れておくだけで、ルールに基づいてセキュリティ評価を行ってくれる便利サービスです。全てのEC2にデフォルトで導入しちゃっても良いくらいのサービスだと思います。 今回は実際に脆弱性を内包したEC2を構築し、Amazon Inspectorで脆弱性を検知させてみました。 やってみた EC2を構築する Amazon Inspectorの検査対象となるのは以下のリージョンのEC2です。 US West (Oregon) US East (N. Virginia) EU (Ireland) Asia Pacific (Tokyo) 検査対象として対応しているOSは以下の通りです。 Amazon Linux (2015.03 or later) Ubuntu (14.04 LTS) R
ゼロワンオンカジチャンネル
最近は室内娯楽としてオンラインカジノが話題となっています。このような環境の中インターネットで遊んだり何かを買ったりすることが多くなり、入出金方法も多様化しています。 本記事では、オンラインカジノで利用可能な入出金の種類について説明します。また、おすすめの決済方法も紹介します。 オンラインカジノで利用可能な入出金の種類 オンラインカジノで利用可能な入出金の種類には、基本的にクレジットカード、電子決済サービス、銀行振込、仮想通貨などがあります。 どの決済方法が1番自分にあっているかは、オンラインカジノサイトによってもかわってくると思うので、自身にあった入出金方法をみつけてカジノゲームを楽しんでください。 クレジットカード・デビットカード クレジットカードやデビットカードは、多くのオンラインカジノサイトで利用可能な決済方法の1つです。そのため、多くの決済方法が利用可能になっていますが、中でもクレ
ゼロワンオンカジチャンネル
カジノエックスは、オンラインカジノの中でも特に人気の高いライブカジノを提供するサイトです。このレビューでは、カジノエックスのライブカジノについて詳しく説明します。 カジノエックスでプレイできるライブカジノ カジノエックスでは、多数のライブカジノゲームを提供しています。ブラックジャック、バカラ、ルーレットなどのトラディショナルなゲームから、ポーカー、バンカーなどのより高度なゲームまで、様々なタイプのゲームを楽しむことができます。 カジノエックスでは、様々なタイプのライブカジノゲームを提供しています。以下にいくつかのゲームを紹介します。 カジノエックスのライブカジノゲーム ブラックジャック ブラックジャックは、カジノゲームの中でも最も人気の高いゲームの一つです。プレイヤーは、ディーラーとの勝負を行います。目標は、21を超えない数字で、できるだけ近い数字を作ることです。 バカラ バカラは、カード
Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 | POSTD
最近まで、SSL暗号化通信は「あると好ましい機能」という程度にしか考えられていませんでした。そのため、安全なのはアプリのログインページだけというサービスが数多く存在していました。 しかし、状況は良い方向へと変化しています。現在では暗号化は必須と考えられ、ほとんどの開発者が導入を義務付けています。また、巨大検索エンジンGoogleでは、SSLの導入が検索結果の順位を決定する要因にさえなっています。 しかし、SSLが広範に普及しているにも関わらず、セキュアなWebサービスを構築することは、未だに面倒で、時間がかかり、エラーの原因になりやすいと考えられています。 最近この分野では、 Let’s Encrypt が、SSL証明書をより広く普及させ、Webサイトのセキュリティ維持に係るワークフローを大幅に簡略化しようと取り組んでいます。 強力なWebサーバNginxや、他のハードニング方法と組み合わ
PC/スマホ10億台のBIOSに埋め込まれた「ある機能」とは
世界で稼働する10億台以上のPCやスマートフォンに、「OSを再インストールしても、特定のソフトウエアを自動的に復活させる」という機能が、BIOS(Basic Input/Output System)、つまりファームウエアのレベルで埋め込まれているのを、ご存じだろうか。 カナダを拠点とするセキュリティソフト開発のアブソルートソフトウエア(Absolute Software)は、PCやスマートフォンの資産管理、盗難・紛失時の遠隔ロック/ワイプに対応したエージェントソフトを販売している。 と同時に、OSの再インストールやストレージの初期化などでエージェントが消去された場合でも、自動的にエージェントを復活させる機能「Persistence Technology」を提供している。 このエージェント自動復活機能は、本来はCPUやデバイス制御、OSの起動を担うBIOSの一機能として、PCやスマートフォン
意外にあるぞ、無料で強力なセキュリティの教科書
こんなに分かりやすくセキュリティについて解説していて、無料でいいの!? 今回は、そんな驚くべきセキュリティコンテンツを紹介します。 セキュリティに関しては、とかく「コスト」の話がついて回ります。私はエンタープライズ系のセキュリティネタを追いかける仕事もしているのですが、ベンダーは「手の届きやすい価格帯の製品を用意しました」というものの、企業のトップにインタビューすると「多くの企業はセキュリティにコストをかけられないので……」という話が出ることも多く、両者の間には温度差があるような印象を受けています。 セキュリティは売上や利益に直結しないため、経営者としては、なかなか投資に踏み込めないのでしょう。しかし、あの手この手のサイバー攻撃が後を絶たない昨今、セキュリティを無視するわけにはいきません。 そこで今回は、ちょっと変わったアプローチでセキュリティについて考えることができる、面白い書籍を紹介し
外よりも中からの攻撃・ 事故がヤバイ、今やるべきクラウドセキュリティ対策 | ロードバランスすだちくん
シンジです。上げるつもりが無かったJAWS DAYS 2016の登壇資料、あげろあげろと背中押されまくったので、ヤバそうなところは削除して、ちょっと編集してアップしました。 資料はこちら 実はですね 資料の中で出てくる、「複数のAWSアカウント管理をしながらSAMLでログインする社内システム、ついでにリザーブドやコストも見えるという便利なツール」これ、adminpackというのですが、いまウチの社長がメインPMやっていて、年内を目処に販売するらしいです。cloudpackが抱える超大量のAWSアカウントは、全てこのadminpackが管理しています。欲しい方は早速シンジにご連絡頂ければ、今なら要望がそのまま形になって反映されやすい状況なので(機能や販売方法や価格帯の全てが未定なので)、是非ご連絡をー。
OS X キーチェーンから環境変数をセットするツールを作りました - クックパッド開発者ブログ
こんにちは、技術部の福森 (@sora_h) です。 最近は環境変数に API トークンや credential といった認証情報を入れる事が増えてきています。 たとえば、AWS を利用するツールでは AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY といった環境変数にだいたいの場合で対応しています。 そのため、~/.bashrc や ~/.zshrc などシェルの設定に export を書いておき常に使える状態にしている方も多いと思いますが、 それって実は危険ではないでしょうか? 例えば、下記のようなリスクが考えられます: 意図せず情報が利用されて意図しない副作用が発生してしまう危険性 本番に変更を与えるつもりはなかったけれど事故を起こしてしまう等 悪意のあるスクリプトを実行した際に環境変数を送信などされてしまう危険性 事故や漏洩を防ぐためにも、筆者はかな
クロスルート証明書って何? - [2013/02/11]
結論だけでいいという方はページ下部へどうぞ. クロスルート証明書の話に入る前に 下で参照元として提示するCybertrustやVeriSignなんかの証明書もそうなってますが,サーバに設定されてるEndEntity証明書(以下EE)の信頼性は以下の一連の流れによって検証されます. EEはCA証明書(IM1とする)から確認され,その確認が署名としてEEに記載された上で発行される IM1は別のCA証明書(IM2とする)から確認され署名されて発行される IM2は別のCA証明書(IM3とする)から確認され署名されて発行される -----上記繰り返し----- IMnは別のCA証明書(以下Root)から確認され署名されて発行される 上記のような「証明書パス」とも言われるこのつながり(以下Chainと表現)の終端(Trust Anchor:トラストアンカーと呼ばれる.Rootの事)を確認する証明書は無
HTTPレスポンスのgzip圧縮による日時リーク : Torの秘匿ネットワークの秘匿性を脅かす仕様・実装について | POSTD
よって、このヘッダがgzip圧縮データに付いていれば、適当なWebサーバにgzip圧縮リクエストを出し、gzip圧縮レスポンスを待って、バイト数が0x1f 0x8bで始まっているかどうかということと、正確な圧縮日を確認できるのです。 一般的なWebサーバでは、これは非常に限定的なシナリオにおいてのみ有用です。なぜなら、サーバの地理的な位置はいずれにしても隠されず、これもまた隠されていないサーバIPアドレスが分かればすぐに特定されるからです。しかし、 秘匿サービス では、サーバの時間帯に関する情報は、サーバが稼働している可能性のある国を特定するのに非常に役立ちます。 gzipの仕様を見れば、ファイル更新時間のヘッダフィールドには、ローカル時刻ではなく、世界時を使用すべきことは明確です。しかし、多くのサイトが世界時の代わりにローカル時刻を送信しています。どうもMicrosoft Windows
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
cisco-aironet-1240-ag-series
How to build a Kali HVM AMI From Scratch | Blackfin Security