症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
Paper Vulnerability Scanner Q&A Patches News The Terrapin Attack will be presented at Real World Crypto Symposium 2024, and USENIX Security Symposium 2024. We compiled a comprehensive list of SSH implementations adopting the "strict kex" countermeasure by OpenSSH. Recommended Articles: Ars Technica (Dan Goodin), The Register (Connor Jones) Introduction SSH is an internet standard that provides sec
はじめに この記事は、Go 言語 Advent Calendar 2023 シリーズ2の16日目の記事です。 こんにちは。reo です。 今年も気づけばアドベントカレンダーの時期ですね。 社のカレンダーにも参加したので、こちらも宣伝させていただきます。 今回はTrivyのWebAssembly拡張について紹介させていただきます。 前提 以下は詳しく触れません。 WebAssembly の概要 WebAssemblyランタイム(wazero)について Trivyの全体像について 掲載内容は私自身の見解であり、必ずしも所属する企業や組織の立場、戦略、意見を代表するものではありません。1 Trivy とは 公式の README にもあるとおり、コンテナイメージからファイルシステム、Gitリポジトリ、Kubernetes、AWSなど幅広いターゲットに対して、既知の脆弱性(CVE)や機密情報、IaC
SOCのインフラ運用から分析ルール管理までやってた自称何でも屋。 最近マルウェア解析に手を出し始めた。家ではニャンサムウェアの被害に度々あっている。 【IIJ 2023 TECHアドベントカレンダー 12/6の記事です】 はじめに こんにちは。SOCでマルウェア解析をしているtomoya-fです。 本記事ではマルウェアの動的解析ツールであるNoriben(ノリベン)を紹介します。 こういう機会にならないとドキュメント化しない体たらくさよ・・・ マルウェア解析の種類 Noribenの紹介をする前にマルウェアの解析種別について触れておきます。 マルウェア解析は解析の目的により、解析の手法や利用するツールが異なります。 代表的な解析として以下の3つが挙げられます。 ※ 解析種別は文献や個人によって定義や粒度が異なります 表層解析 動的解析 静的解析 表層解析とはマルウェアのメタデータなどを解析す
Development Division/Platform Team/Sys-Infra Unitの伊豆です。Sys-Infra Unitはインフラエンジニア・SRE 的な役割を担っています。 今回は、ある日突然SSHログインが遅くなったときに調査した内容を共有します。 SSHログインに数分かかる ある日、AWS EC2上で動いている開発環境のSSHゲートウェイにSSHログインすると30秒以上かかると報告がありました。-vvvオプションを指定してSSHログインしてみるとpledge: filesystemというログが出力された後、数十秒から数分程度かかってSSHログインが成功する状況でした。 pledge: filesystemやssh slowなどで検索してみると、主に以下のような対処法が挙げられていましたがどれを試しても状況は改善されませんでした。 systemd-logindを再起動
Flexible, fine-grained control for administrators across the stack Stop using a different policy language, policy model, and policy API for every product and service you use. Use OPA for a unified toolset and framework for policy across the cloud native stack. Whether for one service or for all your services, use OPA to decouple policy from the service's code so you can release, analyze, and revie
ESETは11月22日(現地時間)、「Your voice is my password – the risks of AI-driven voice cloning」において、生成AIにより合成した音声を悪用したソーシャルエンジニアリング攻撃の実験に成功したと伝えた。この実験では、従業員が自社の最高経営責任者(CEO: Chief Executive Officer)になりすまして、財務責任者から自分宛てに送金させることに成功しており、生成AIの危険性について注意喚起している。 Your voice is my password – the risks of AI-driven voice cloning これは事前にCEOの許可を得て行っ実験であり、ここで解説する手法をまねることは犯罪となる可能性があることに注意。この実験と同様の攻撃が今後増加する可能性があると懸念されており、企業や組
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
関連キーワード Intel(インテル) | Google | 脆弱性 Intel製CPU(中央処理装置)に、機密情報の漏えいにつながる恐れのある脆弱(ぜいじゃく)性が見つかった。2018年にGoogleが公開した「Spectre」「Meltdown」に続いて、Intel製CPUの新たな脆弱性が明らかになった形だ。 2023年8月、GoogleはIntel製CPUに脆弱性「Downfall」(CVE-2022-40982)を発見したと発表した。攻撃者がDownfallを悪用すると、レジスタ(CPU内蔵メモリ)のデータにアクセスできる可能性があるという。第6世代(開発コードネーム:Skylake)から第11世代(開発コードネーム:Tiger Lake)までのIntel製CPUが、Downfallの影響を受ける。 「Downfall」は何が危険なのか? 併せて読みたいお薦め記事 脆弱性によるリス
強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。 オンラインストレージサービス「Dropbox」を利用したビジネスメール詐欺(BEC)が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年9月の最初の2週間だけで、このような攻撃が5440件も発生した。Dropboxをどのように悪用しているのだろうか、どうやって防げばよいのだろうか。 そもそもDropboxが悪いのだろうか 攻撃の手口は3段階に分かれる。まず攻撃者が無料のDropboxアカウントを作成する。 次に危険性のない文書を作成して、関係者のふりをして攻撃対象(ユーザー)と共有する。最後に狙われたユーザーにDropboxから「共有したコンテンツを誰かがクリック
iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to ren
関連キーワード Apple | iPhone | iOS | サイバー攻撃 | モバイル端末 飛行機でのフライト中は、スマートフォンの電源を切るか、「機内モード」をオンにする必要がある。スマートフォンの電波は飛行機の通信システムやナビゲーションシステムに干渉すると考えられるためだ。機内モードにすることで、スマートフォンの無線通信がオフになり、モバイルネットワークへの接続が遮断される。実際には規則は以前よりも緩やかになっており、幾つかの航空会社は機内で無線LANサービスを提供している。それでも、機内モードをオンにすることは、フライト前のルーティンにおける重要な手順であることに変わりはない。 そうした仕組みを悪用するために機内モードを悪用する攻撃手法を、Apple製デバイス管理ツールベンダーJamfの研究チームJamf Threat Labsが発見した。どのような攻撃手法なのか。 iOS「偽の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く