“ハッカーの考える攻撃シナリオ”を生成する、世界初の自動侵入テストツール 2018.05.11 Updated by Hitoshi Arai on May 11, 2018, 09:49 am JST 侵入テスト(ペネトレーションテスト)とは 多くの企業は、セキュリティ対策の一環として、年に1度か2度、定期的に自社システムの脆弱性診断を行っている。脆弱性診断とは、対象となるシステム・サーバーに対して、様々な通信やコマンドを送信し、それによって取得できるサーバーやアプリケーションの情報から、どのような脆弱性がシステムに内在するかを診断するものである。 さらに企業によっては、その脆弱性診断結果に基づいた侵入テストも実施する。侵入テストとは、診断結果から明らかになった脆弱性に基いて、攻撃者の目線に立ってシステム・サーバーに侵入し、どこまで企業の持つ情報が取得できるのかを評価する。つまり、その脆
サイバー攻撃を受けた端末を自動で切断、悪意ある通信をAIがあぶり出す:自動化された攻撃には「自動化された防御」が必要 Fortinetは2018年2月27~28日、年次カンファレンス「Accelerate 18」を米国で開催。専用OSの新バージョン「FortiOS 6.0」をリリースし、サイバー攻撃の検知から対処までを自動化する機能を追加した。目には目を、歯には歯を、そして自動化された攻撃には「自動化された防御を」という考え方だ。 Fortinetは2018年2月27~28日に開催した年次カンファレンス「Accelerate 18」(米国ネバダ州ラスベガス)において、同社のセキュリティアプライアンスに搭載する専用OSの最新バージョン「FortiOS 6.0」を発表した。200以上の新機能を追加したメジャーアップデートとなる。米国では2018年第1四半期に提供開始予定だ。 FortiOSは、
徳丸本こと、「体系的に学ぶ 安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。 そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。 改訂にあたり、以下を考えています。 Web APIとJavaScriptに関する説明を4章に追加 XHR2対応に向けてCORSの説明を3章に追加 携帯電話の章は丸ごと削除して、別の内
世界の何だコレ!?ミステリーで紹介されたスマホでプライベートが丸裸にされてしまうゴーストアプリ スマホの画面上にアイコンが表示されないゴーストアプリを勝手にインストールされてプライベートが覗かれるというネット被害が最近多くなってきてるらしい。 勝手に写真や動画を撮影されて送信されてしまういうのは、一日中持ち歩くことが多いスマホでそれが出来てしまうのは怖いですね。 ゴーストアプリで出来ること GPSで相手の現在地と通った道を確認できる。 位置情報は約15秒毎に更新されるのでどこを通って今どこにいるのかが簡単にわかってしまう。 録音機能で周りの状況を確認 写真撮影機能で現在の写真を撮ることが出来る。 内側のカメラ、外側のカメラの切り替えだけでなくフラッシュ機能も使えてしまう。 動画撮影機能で現在の状況を録画することも出来る。 画面上は変化がないので、勝手に録画されてその動画を送信されていること
2016 年 12 月 2 日 登 大遊 2016 年 12 月 2 日 (金) 7:40 頃から、SoftEther VPN プロジェクトにおいて学術実験目的で運用している以下のサービスに障害が発生しています。 このことにつきましては、これらの学術実験サービスを利用されている方々にご迷惑をおかけしており、誠に申し訳ございません。このページでは、障害の状況と回避策をお知らせします。障害が回復した場合も、このページでできるだけ早くお知らせします。 SoftEther Dynamic DNS (DDNS) サービス NAT トラバーサルサービス VPN Azure サービス PacketiX.NET サービス なお、今回の障害により影響を受けられているのは、上記のような学術実験サービスを経由して VPN 通信を実現されている一部のユーザーの方々に限られます。 SoftEther VPN Ser
ハッカー界で有名なサミー・カムカーさんが、自作のソフトウェアをRaspberry Pi Zeroに載せただけのハッキングデバイス「PoisonTap」を開発し、実際に使用した様子をYouTubeで公開しました。PoisonTapは、攻撃対象者のPCに接続するだけで、パスワードでロックされていたとしてもわずか1分以内にバックドアをインストールするという恐ろしいデバイスになっています。 Samy Kamkar: PoisonTap - exploiting locked computers over USB https://samy.pl/poisontap/ PoisonTapを実際に使っている様子は以下のムービーから確認できます。 PoisonTap - exploiting locked machines w/Raspberry Pi Zero - YouTube ハッカーのサミーさんが
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ある研究機関によると、「Android」端末を標的とするマルウェア「GM Bot」のソースコードがオンラインに流出したという。 IBM X-Forceは米国時間2月19日、同モバイルマルウェアのソースコードが(おそらくダークウェブ内部の)「アンダーグラウンドのフォーラム」で2015年12月に流出していたことが分かった、と述べた。 IBMのTrusteer部門のサイバーインテリジェンス専門家であるLimor Kessem氏のブログ投稿によると、このソースコードの流出により、サイバー攻撃者が代金やサブスクリプション料金を支払わずにこのコードにアクセスすることが可能になるだけでなく、さらに悪いことに、このコードにはチュートリアルとサーバ側のマ
UPDATE 公共Wi-Fiネットワークでの悪意ある攻撃に利用可能なルート証明書がDell製品の一部で新たに見つかった問題について、同社もこれを認めた。 この問題あるルート証明書は「DSDTestProvider」と呼ばれている。Dellは前日の米国時間11月24日、危険な証明書である「eDellRoot」を関連するDell製PCから削除したばかりだった。 DSDTestProviderによってDellのサポート機能は、またしても意図せず顧客を攻撃の危険性にさらしていたことになる。競合するLenovoも2015年2月、アドウェア「Superfish」で類似のセキュリティ問題を引き起こしている。 カーネギメロン大学のコンピュータ緊急事態対策チーム(CERT)も、秘密鍵の含まれたDSDTestProvider証明書により、攻撃者は証明書を作成し、なりすましや中間者攻撃(MiTM)、暗号文の解読
Dell製PCで確認された勝手ルート証明書問題(Superfish2.0とも呼称されている)の関連情報をまとめます。 Dellの公式見解・サポート情報 更新:弊社PC証明書脆弱性について(eDellRoot証明書ならびにDSDTestProvider証明書) 弊社PC証明書脆弱性について(eDellRoot証明書) Dell System Detect Security Update Response to Concerns Regarding eDellroot Certificate Information on the eDellRoot certificate and how to remove it from your Dell PC Information on the eDellRoot and DSDTestProvider certificates and how to
Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」について、危険を指摘する声が相次いでいる。 米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに
情報処理推進機構(IPA)は2015年9月15日、情報処理技術者試験に利用部門のセキュリティ担当者向けの「情報セキュリティマネジメント試験」を新たに設け、2016年春期試験から実施すると公表した(写真)。内部不正やサイバー攻撃が相次ぐ中、技術だけでなく人の対策が不可欠になってきたことに応える。 7年ぶりに新試験を追加する。新試験はユーザー企業の情報セキュリティを利用者側の現場で管理する人材に対して、基本的な知識やスキルを認定するもの。「内部不正や標的型攻撃で大量の情報漏洩が相次ぐ中、システムだけでなく人の対策も欠かせなくなった。だが試験からはすっぽりと抜け落ちていた」とIPA関係者は話す。 具体的にはどんな人材なのか。実態としては「火元責任者」のように兼任者がほとんどだろう。サイバー攻撃の被害が判明した時やサイバー攻撃の対策訓練の時などに、CISO(最高情報セキュリティ責任者)の指示の下、
VAddyは開発者向けツールという位置づけですが、今回は少し趣向を変えて「非エンジニア系WebディレクターのVAddy活用法」をお話したいと思います。 http://vaddy.net/ja 「Webディレクター」の肩書を持っている方の出身は、営業、Webデザイナー、フロントエンドエンジニア、プログラマー、新卒でそのまま(!)などさまざまだと思います。今回のお話は「非エンジニア系Webディレクターさん」に向けたものですので、技術系Webディレクターの方はそっとタブを閉じてください(笑) さて、非エンジニア系Webディレクターの皆様のうち、「SQLインジェクション」「クロスサイトスクリプティング」などの用語はどれくらいご存知でしょうか。また、Webアプリケーションの受け入れテスト(動作確認)を行う際、アプリケーションの脆弱性まで意識されている方はどれくらいいらっしゃいますでしょうか? 私の印
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く