はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 今回はアドベントカレンダーの11日目として、前回投稿した「macOSの暗号化zipファイルはパスワードなしで解凍できる」という記事に寄せられたコメントのうち、特筆すべきものをピックアップして回答していきます。 前回の記事を読んでいない方や、もう覚えてないという方は是非前回の記事を見てから続きを読んでいただければと思います。 Q. 正解するまでbkcrackを回さなくてもzip内のCRC32値と比較すれば良いのでは? はい、その通りです。 筆者が前回の記事を書いている時には完全に失念していましたが、zip内にはファイル破損を検出するためにCRC32形式のハッシュ値が含まれています。そのため、bkcrackを正解パターンを引くまで都度回さなくても簡単に正解の.DS_Storeを見つけ出すことができます。 実際に
「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境(のレプリカ)に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
オープンソースのWebサーバーソフトウェアとして広く使われている「Apache HTTP Server」に、新たなゼロデイ脆弱性(ぜいじゃくせい)が存在することが開示されました。今回報告された脆弱性「CVE-2021-41773」により、本来は見られないファイルにアクセスするパストラバーサル攻撃が可能となってしまうとのことで、Apacheソフトウェア財団は最新バージョンへのアップグレードを呼びかけています。 Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project https://httpd.apache.org/security/vulnerabilities_24.html Apache fixes actively exploited zero-day vulnerability, patch no
3月17日の報道以降、LINEの個人情報取り扱いについて懸念の声が上がっている。23日夜には同社が会見を開き、LINEに関するデータ保存を国内に全て移管することを軸とした対策を発表した。 これで問題解決……と考えてはいけない。データ保存の国内移管は一つの方策にすぎないし、個人情報を取り扱う上での万能薬でもないからだ。 さらに言えば、今回の問題の本質は、問題そのものの見通しの悪さと、消費者側の認識とのズレにある。 では、LINEが本当に抱えていた課題とはなんなのかを考えてみよう。 LINEではデータがどう扱われていたのか 会見でLINEの出澤剛代表取締役CEOは、「ユーザーの皆さまにご迷惑とご心配をおかけしたこと、ユーザーの信頼を損なうこととなったことをおわびします」と謝罪した。 ただこれは、あくまで「ご心配をおかけしたこと」と「信頼を損なったこと」への謝罪であり、データが漏れた、という話で
インフラもセキュリティも,まだまだ未熟な私ではありますが,これだけはお願いします. オリジンサーバを暗号化なしの HTTP で運用しないでください. TL;DR ここで,オリジンサーバは,ファイアウォールやゲートウェイを通った先の最も奥にある,最終的にリクエストを処理するサーバをいいます.アプリケーションサーバが当てはまることが多いですが,静的ファイルサーバも例外ではありません.対して,間に入るサーバをエッジサーバと呼ぶことにします. また,この記事では暗号化なしの HTTP を HTTP , TLS レイヤ上の HTTP を HTTPS として記述します.HTTPS における TLS 上での通信も HTTP ではあるため,差別化のために明記しておきます. 何がだめなのか 近年, Web サイトのほとんどが TLS を用いた HTTPS で運用されています.パブリックな静的コンテンツに対し
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます フロリダ州レイクシティはランサムウェアの攻撃を受け、米国時間6月24日に50万ドル(約5400万円)近くにもなる莫大な身代金を支払う決定を下した。その後、同市はIT部門の従業員1名を解雇したという。 その従業員の名前は明らかにされていないが、現地のメディアが同市の市長に問い合わせたところ、28日付けでの解雇が確認されたという。 また、同市では、今後こういった問題が引き起こされないようにするために、IT部門全体の改革を計画しているという。 同市のITネットワークがマルウェアに攻撃されたのは6月10日のことだった。「Triple threat」(三段攻撃)と呼ばれるこの攻撃により、同市のサーバーと電話回線、電子メールが人質に取られる状況に陥
CDについているシリアルコードで、ライブのチケットに応募することがしばしばある。いくつかコードを打ち込むうち、魔が差してこんなことを考えてしまう。「適当に打ち込んだら通ったりしないかな……」と。 応募券のイメージ 本当に通ったら一大事なので、このような仕組みを設計する段階でどうにかして防いでいる訳だが、どのようにやっているのだろう。その防止策の1つに「チェックディジット」というものがある。 まず、完全にランダムな文字列にすると困る あなたがライブを主催することになり、0~9の数字からなる16桁のシリアルコードで抽選を行うとしよう。あなたならどのようにコードを作るだろうか? 単純に考えれば、16個の枠それぞれに0~9の数字を1つずつランダムに選べばいい(つまり、0~9の乱数を16個並べればいい)のだが、完全にランダムだと不都合が多い。例えば、ランダムだと限りなく似ているコードが生成される可能
Liam Tung (Special to ZDNET.com) 翻訳校正: 佐藤卓 高橋朋子 中村智恵子 吉武稔夫 (ガリレオ)2018年03月27日 11時30分 「Windows 10」のセキュリティ機能は、「Windows 7」およびそれ以前のバージョンに被害を与えている最新のランサムウェア攻撃から消費者や企業を保護していると、Microsoftはたびたび主張している。 実際、セキュリティベンダーのWebrootが、同社のウイルス対策製品を2017年に利用していたWindows 10搭載PCとWindows 7搭載PCを対象に、マルウェアへの感染レベルを調査したところ、Windows 10はWindows 7より「2倍安全」であることがわかったという。 この結論の根拠となっているのは、発見されたマルウェアファイルの数だ。Windows 10搭載PCでは1台あたり平均0.04個だった
GMOペイメントゲートウェイは3月10日、受託運営する東京都の都税支払いサイトと、住宅金融支援機構の団体信用生命保険特約料支払いサイトに不正アクセスがあり、クレジットカード番号など計約6万2000件が流出した可能性があると発表した。 流出した可能性があるのは、 (1)「都税クレジットカードお支払いサイト」を利用したユーザーのクレジットカード番号と有効期限が6万1661件と、これに加えメールアドレス61万4629件 (2)「団信特約料クレジットカード払い」を利用したユーザーのクレジットカード番号・有効期限・セキュリティコードと住所氏名など個人情報が622件、これに加えメールアドレスなど計4万2918件 不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用したもの。脆弱性について、 独立行政法人・情報処理推進機構(IPA)などが9日に注意喚起をしたのを受け
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く