IaC Security入門 ~tfsecを用いたTerraformファイルのセキュリティチェック~ | IIJ Engineers Blog
2018年新卒入社し、SOCにてインフラ管理を担当。その後、マルウェア解析や検証業務などに従事。2022年度からは、社内のSREチームにて兼務を開始。主な保持資格は、CISSP, OSCP, GREM, GXPN, RISS, CKA, CKSなど。バイナリを読むのが好きで、一番好きな命令はx86の0x90(NOP命令)。 はじめに Infrastrucutre as Codeは、インフラの構成情報をコードとして管理するという取り組み・概念です。最近、といっても結構前からですが、このコード自体のセキュリティもチェックしようという動きがあります。それは、IaC Securityと呼ばれます。今回は、IaC Securityの入門として、Terraformを題材にセキュリティチェックを行うことができるtfsecを紹介します。 普段SOCでマルウェア解析をしている私は、兼務として社内のSREチー
スマートフォンなどの一般的なカメラを使って手のひら静脈認証の登録処理を可能にする技術を開発 : 富士通
近年、店舗での決済処理やイベント会場での本人確認など、本人認証の重要性が増加する一方で、本人のなりすましや不正利用被害は非常に深刻な社会問題になっています。加えて各種ID・パスワード管理の煩雑さから、生体認証を活用したパスワードレス化が注目されています。 生体認証は、本人しか持ち得ない生体情報を利用した認証であるため、なりすましの危険が少ないという特徴があります。その中でも手のひら静脈認証は、認証精度が高く、体内情報であるため、偽造されにくいなど優れた特長を持っています。 従来の静脈認証では近赤外光を用いた専用センサが必要でしたが、今回、スマートフォンなどの一般的なカメラで手のひらを撮影した画像から、手のひらの静脈パターンを抽出して専用センサで取得した静脈パターンと照合できる技術を開発しました。本技術により、例えば、利用者がどこの場所からでも自分のスマートフォンで登録手続きして、オフィスや
やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
アングラ犯罪者らが、ChatGPTの悪用防止機能を回避してフィッシングメールを作成
OpenAIが提供するChatGPTは、AI(人工知能)によって自然言語による質問から極めて自然な回答文章を生成できる。このサービスは各種応用が期待されて注目を集めているが、サイバー犯罪者もサイバー攻撃に利用するツールとして高い関心を持っている。 OpenAIは、プラットフォーム上での悪意のあるコンテンツの作成を阻止するための障壁や制限を設けており、ChatGPTに銀行を装ったフィッシングメールの作成やマルウェアの作成を依頼しても、本来これらが生成されることはない。だがサイバー犯罪者はこうした制限を回避するためアンダーグラウンドのハッキングフォーラムなどで情報を共有し、悪用する方法を模索している。 例えばサイバー犯罪者は、Telegram botによってOpenAIのAPIを利用して悪意ある電子メールやコードの生成を可能とするサービスをアンダーグラウンドのハッキングフォーラムで販売している
偽のChatGPTアプリに要注意 人気にあやかる詐欺行為が横行中
ChatGPTに関連したサービスや新技術が連日注目を集めている。ChatGPTが実現した機能は今後の社会活動に大きな影響をもたらす可能性が高い。多くの企業がこの技術の可能性や有効的な活用方法を模索している。サイバーセキュリティ面の懸念や教育業界がその取り扱いに頭を悩ませる状況を生んでいるが、今後しばらくの間話題の中心であり続けることは間違いない。 しかしこうした状況はサイバー犯罪者にとって都合のよい状況だ。Bleeping Computerは、最近のChatGPT人気に乗じた幾つかのサイバー攻撃を取り上げた。説明されている主なサイバー攻撃は以下の通りだ。 プレミアムChatGPTへの無料アクセスをルアーにしてマルウェアをインストールさせたりアカウント情報を窃取したりするサイバー攻撃を確認 ChatGPTをルアーにしてクリップボードの内容窃取とマルウェアへの感染を促すWebサイトを確認 Ch
GitHub - containers/bubblewrap: Low-level unprivileged sandboxing tool used by Flatpak and similar projects
Many container runtime tools like systemd-nspawn, docker, etc. focus on providing infrastructure for system administrators and orchestration tools (e.g. Kubernetes) to run containers. These tools are not suitable to give to unprivileged users, because it is trivial to turn such access into a fully privileged root shell on the host. There is an effort in the Linux kernel called user namespaces whic
自作サービスがDDoS攻撃された話 - 週休7日で働きたい
攻撃に立ち向かうイヌさんThe English version is available here. タイトル訂正: 「自作サービス『に』→『が』DDoS攻撃された話」「それはDDoSではない」という指摘に関して末尾に追記 (6/18)SaaSを開発していると本当にいろんな事が起こります。それらは時に開発者に喜びや悲しみ、怒り、感謝、落胆や興奮をくれます。思い返してみれば結局はみんないい思い出になるものです。先週末に、拙作の小さなウェブサービスがDDoS攻撃を受けました。言わずもがな、悪い出来事です。本稿ではこの事故がどんなものだったのか、どうやって対処したのかについてお話します。 どうもTAKUYAです。僕はInkdropというクロスプラットフォームなMarkdownノートアプリを独りで3年以上開発・運用しています。ユーザ数2万人以下のとてもニッチなSaaSで、僕はこのサービスで生計を立
不正なリクエストを弾くために使える Fetch Metadata という仕様について
作成日 2023-01-29 更新日 2023-01-29 author @bokken_ tag Web, App, Sec はじめに リクエストのコンテキストをサーバ側に伝えることで、サーバ側でリクエストが危険なものかを判別するための Fetch Metadata Request Headers という仕様がある。今回、このヘッダがどういったものなのかについて Fetch Metadata Request Headers を読んだり、周辺のドキュメントを読んでまとめる。¶ TL;DR Fetch Metadata ヘッダはクライアント側では特に何も設定する必要はなく、サポートされていればブラウザによってリクエストに自動的にヘッダに付与されサーバに送付される サーバは送られてきた Fetch Metadata をもとに CSRF などの、攻撃の可能性があるリクエストを弾く事ができる 20
Enpass - Password manager for iOS, Android, Mac, Windows, Linux
Choose your own safest place to store passwords Your data belongs to you. Enpass enables you to store and sync passwords and passkeys wherever is best for you — iCloud, Google Drive, OneDrive, Box, Dropbox, NextCloud, WebDAV, or completely offline. You were not born to remember passwords Create one master password and let Enpass take care of the rest. Logins, credit cards, ID cards and other impor
その証明書、安全ですか? | IIJ Engineers Blog
はじめに いまやWebサイトはすっかりHTTPSが常識になりました。ほんの数年ほど前は「常時SSL」というキーワードをよく目にしましたが、それが実現した今となってはまったく見なくなりました。 平文のHTTPが安全でないのはわかるとして、HTTPSならばほんとうに安全なのでしょうか。 事例1: MyEtherWallet 2018年4月、MyEtherWalletという仮想通貨事業者の権威DNSサーバへの経路がBGPハイジャックされました。myetherwallet.comのDNS問い合わせに対して、偽の権威DNSサーバが偽のWebサーバにアクセスさせるような応答を返し、結果として、偽MyEtherWalletにアクセスすることになったユーザから15万ドル相当の仮想通貨が奪われました。 The Registerの記事 Oracleによる解説 ユーザが誘導された偽のWebサイトはHTTPSで動
メアドから身バレ危機 ツイッター2億件超「流出」あなたは大丈夫?:朝日新聞デジタル
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
セキュリティ責任者も流出 マスク氏“独裁”のTwitterは安全なのか
関連キーワード Twitter | サイバー攻撃 | セキュリティ 2022年11月中旬、Twitter社の同名短文投稿サイトの2要素認証(2FA)について、エンドユーザーから障害の報告が相次いだ。Twitterはイーロン・マスク氏のTwitter社CEO(最高経営責任者)就任以前から、さまざまなセキュリティの問題を抱えていた。Twitterは安全なのか。 CISOもさじを投げた? Twitterの「深いセキュリティ問題」とは 併せて読みたいお薦め記事 連載:Twitterの「2要素認証」(2FA)障害とは 前編:Twitterで起きた「2要素認証が使えない」問題とは何だったのか Twitterはさまざまな問題を抱えている マスク氏は“もうかるTwitter”を実現できるのか 「Twitterは危険だ」と納得させられてしまう理由 マスク氏によるTwitter社の買収は大きな波紋を呼んだ。2
やはり俺の情報教科書はまちがっている。 - Qiita
目次 はじめに 個人を特定する情報が個人情報じゃない デジタル署名は暗号化しない TLS(SSL) は共通鍵を公開鍵で暗号化しない TLS(SSL) が使われていれば安全じゃない 変数は箱じゃない Python 等は「ソースコードを 1 行ずつ実行するインタプリタ方式」じゃない 日本語 1 文字は 2 バイトじゃない 動画が動いて見えるのは残像によるものじゃない 標本化定理は「2 倍以上の周波数」じゃない その他いろいろ はじめに 2022 年から高等学校で、プログラミング等を学ぶ「情報Ⅰ」が 必修 必履修科目になりました。1 さらには 2025 年入試から大学入試共通テストでも出題されるようになり、教科「情報」の重要性が高まっています。 これで 2030年に79万人不足すると言われる IT 人材 の問題が解決!…と言いたいところですが、先日も『課題感ある教科1位「情報」』という調査結果が
Node.js にプロセスレベルの Permission が入りそうな話 - from scratch
Node.js の Permission についての解説を行います。 Node.js に Permission 機能が入りそう。 すでに PR が出されており、 land も間近です。おそらく次かその次くらいのリリースで入ることになるでしょう。 github.com おそらく初期リリースでは experimental flag を付けた上で、 fs, child_process, worker のパーミッションを許可するかどうかに留まり、 net, env などのパーミッションは今後になるでしょう。 以下の方法で利用します。 // filesystemの読み書きを許可する $ node --experimental-permission --allow-fs foo.mjs --allow-fs ファイルシステムの読み書きを行えるようにする --allow-fs-read= に記載のファイ
なぜ出力時のHTMLエスケープを省略してはならないのか - Qiita
メリークリスマス! 週末もPHPを楽しんでますか? ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね! メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを
Dropboxのソースコードを「GitHub」で流出させたフィッシング攻撃の手口
関連キーワード フィッシング対策 | 情報漏えい対策 | 情報漏えい | サイバー攻撃 | 不正アクセス 2022年11月(米国時間、以下同様)、オンラインストレージサービスを手掛けるDropboxは、同社が受けたフィッシング攻撃についての詳細を公開した。攻撃者の手口は、CI/CD(継続的インテグレーション/継続的デリバリー)ツール「CircleCI」を装ったメールを介したものだった。 Dropboxを狙ったフィッシング攻撃 手口と被害は? 併せて読みたいお薦め記事 「フィッシング攻撃」関連の注目記事 Microsoft 365のMFA(多要素認証)を無効化した「AiTM」の危険性とは “1日1万件”の攻撃を受ける英自治体が恐れる「あの脅威」とは Dropboxはソースコードの一部をコード共有サービス「GitHub」で管理している。CircleCIにはGitHubのユーザー認証情報でログイ
RSA署名を正しく理解する
初めに 「署名とはメッセージのハッシュ値を秘密鍵で暗号化したものであり、検証は署名を公開鍵で復号してハッシュ値と等しいかを確認することである」という説明(×)をよく見かけます。 正しい署名の定義と実際のRSA署名がどのようなものであり、上記説明(×)がなぜよくないのかを理解しましょう。 署名の定義 署名の解説は署名の概要でも解説しましたが、再掲します。 署名(方式)は鍵生成(KeyGen)、署名(Sign)、検証(Verify)の3個のアルゴリズムからなります。 KeyGenではアリスが署名鍵sと検証鍵Sを生成します。署名鍵sは自分だけの秘密の値なので秘密鍵、検証鍵Sは他人に渡して使ってもらう鍵なので公開鍵ともいいます。 Signは署名したいデータmに対して署名鍵sを使って署名と呼ばれるデータσを作ります。 データmと署名σのペアを他人(ボブ)に渡します。 Verifyはボブが検証鍵Sを使
セキュリティーチェックシートという闇への防衛術 - Qiita
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
Node.js — Security Best Practices
Security Best Practices Intent This document intends to extend the current threat model and provide extensive guidelines on how to secure a Node.js application. Document Content Best practices: A simplified condensed way to see the best practices. We can use this issue or this guideline as the starting point. It is important to note that this document is specific to Node.js, if you are looking for
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】サイトの「問い合わせフォーム」を悪用する攻撃に警戒を(1ページ目 / 全3ページ):Security NEXT