You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
内閣サイバーセキュリティセンター(NISC)、「インターネットの安全・安心ハンドブックVer 5.00」を公開 テレワーク・リモート活動が積極的になり、全世代にとってネットが身近になった「現在」に即した、誰もがインターネットを安全・安心に使うためのハンドブック 内閣サイバーセキュリティセンター(NISC)は2023年2月24日、サイバーセキュリティに関する普及啓発活動の一環として公開している「インターネットの安全・安心ハンドブック」の改訂版、「インターネットの安全・安心ハンドブックVer 5.00」を公開した。 インターネットが社会インフラの1つとなった今、誰もが安心して、安全にインターネットを使えるよう、その時々に合ったサイバーセキュリティに関する知識を身に付け実行するとともに、家族や友人、職場など、身の回りの人たちと共有し、安全なネット社会の構築を実現することを目的に公開されているも
2023年1月26日、愛知県警は第三者のSIMカードを不正に取得したとして男2人を逮捕したと公表しました。また2月22日には、取得した他人名義のSIMカードを用いて不正送金を行っていたとして再逮捕されました。ここでは関連する情報をまとめます。 SIMスワップで4千万円超の不正送金か 摘発されたのは神奈川県の男と東京都の男の2名で、神奈川県の男が闇バイトとして勧誘を行っていた。男2名が行っていたのは不正に取得した他人名義のSIMカードを使用しSIMスワップと呼ばれる手口で、詐取した他人名義のSIMカードを使用して不正送金を行っていた。国内で同手口の逮捕者が出るのは珍しい(詐取した他人名義のSIMカードによる不正送金事案では全国で初めて)と報じられている。*1 愛知県警は男2名に対して、2023年1月25日に詐欺と偽造有印市公文書行使、その後2月22日には不正アクセス禁止法違反、電子計算機使用
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックしてますか?(挨拶 今回はAWS Security Hubが統合コントロールビューと統制結果の統合に対応したのでこれを紹介します。 Announcing Consolidated Control Findings and a Consolidated Controls View for AWS Security Hub このアップデートは以前予告があり、下記で注意喚起していました。 統合コントロールビューと統制結果の統合の概要 詳細は上記記事を見ていただければ大丈夫ですが簡単にだけ説明します。 AWS Security Hubで新しく下記2つの機能がリリースされました。 統合コントロールビュー 検知結果の統合 統合コントロールビューはデフォルトで機能が追加されており、これまで複数のコントロールはそれぞれの詳細ページで確認していた
あぁ、しくじった。毎日書こうとしたら休みの日である事を完全に忘れてゲームばかりした結果 0時を回って書いてしまっている。 しかも今回の内容が多分長くなりそうだから既に明日やる口実を作って明日作成しようとしている。 あぁ、憂鬱だ。 そんな始まり方のoauth 最近でこそoauth認証って普及されてますけど、 最初見た時、???ってなりませんでしたか? 僕は謎過ぎて良くわからなかったから、こんなのやらないと思ってました。 が、、、今になってみるとあまりにも便利が故に もはや、Googleサインインとかappleサインインが無いと嫌ですもんね。 おいおいおい、入れておけや。と。。。 それだけ楽にしてくれた認証機能ですが、 実は、認証機能以外にも認可という部分もあるので 今日はその辺を自分の備忘録的に書いていこうと思っています。 参考にしたもの まず先に参考にした動画を貼ります。 ざっくりと簡単に
Datadogのセキュリティモニタリングを使った不正ログイン検知の実装方法について
『情報セキュリティの敗北史: 脆弱性はどこから来たのか』(アンドリュー・スチュワート、白揚社 2022年10月12日)をご恵投いただいたので読んでみた。実は原題は「A Vulnerable System: The History of Information Security in the Computer Age」でだいぶ印象が違う。 内容はサイバーセキュリティの歴史そのものだった。考えてみると、意外とサイバーセキュリティの歴史についてまとめられた本、特に包括的なものは思いあたらない。特定のテーマや地域に限定したものなら、すぐに思いつく。たとえば、アメリカがサイバー空間でぼこぼこにやられた歴史をまとめた『Dark Territory: The Secret History of Cyber War』(Fred Kaplan、Simon & Schuster、2017年3月28日)や、サイ
はじめに 先日、海外向けに運用していた個人ブログがDDoS攻撃を受けてしまいました。 こういったサイバー攻撃は、企業に対して行われるものという先入観がありました。 しかし、調べてみると、最近では個人ブログも標的になってきていると報告があがっていました。 CloudFrontとS3で作成する静的サイトが人気になっており、特にCloudFrontの危険性について紹介したいと思います。 DDoS攻撃って? ざっくり説明すると、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃です。 インフラストラクチャーレイヤー攻撃(レイヤー3、4)とアプリケーションレイヤー攻撃(レイヤー6、7)の2つに分類されます。 ご指摘を頂きましたので、訂正いたします。 厳密には、EDoS攻撃でした。 AWS Shield Standard AWSを利用した場合、defaultでAWS Shiel
はじめに Laravel Advent Calendar 2017 22日目の記事です。 Laravelerにおなじみ?、最初にやらされる php artisan key:generate 。それで .env に APP_KEY=base64:xxxxxxx が埋まりますよね。自分はLaravel5くらいから使っているんですが、あれって具体的に何に使われているんだろうと思って、今回調べてみました! [注] composer でインストールすれば自動的に実行されてます。php artisan key:generate。 まずはドキュメント 何事もまずはドキュメントを確認してみましょう。 Laravelerにはおなじみ Readouble には key:generate に関して主に "インストール"と、"暗号化"項目にて触れられています。 インストール 次にインストール後に行うべきなのは、ア
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs
簡単な疑似攻撃リクエストを送りAWSマネージドルールにBLOCKまたは、COUNTのログを生成し、ルールが適用されているか確認したい。ルール設定後のテストでログを生成した際の備忘録です。 こんにちは、コンサルティング部の網走で生まれた大村です。 AWS WAFにルールを設定した後、設定したルールで検知するかテストしたくなりますよね。今回はAWSのマネージドルールについて手軽に検知ログを出力するアクセスパターンをまとめました。 WebACLの画面にBLOCKか、COUNTって表示したい。 環境 AWS WAFの構築は下記をご参照ください。 S3にログを出力するAWS WAFの構築 | Developers.IO テストWEBサーバはEC2インスタンスにNginxを入れて文字だけを表示するページ一枚のサイトです。 WEBサイトの内容に関係なくWordPress向けのルールや、SQL向けのルール
JavaScriptでHTMLエスケープする必要があったのでメモ。 一般的なWebアプリの場合、基本的にはサーバサイドでのHTMLエスケープが出来てれば問題無いケースが多い。 ただ、例えばDOMからテキストを取得して再度DOMに突っ込む、みたいな処理をクライアントサイドでやろうとした場合は、JavaScriptで改めてHTMLエスケープする必要がある。 ので、JavaScriptで最低限のHTMLエスケープするメソッド作った。 function escape_html (string) { if(typeof string !== 'string') { return string; } return string.replace(/[&'`"<>]/g, function(match) { return { '&': '&', "'": ''', '`': '`
ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 (あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。) サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)
はじめに AWS環境を構築する際、セキュアに保つためにAWS SecurityHubの『AWSの基本的なセキュリティのベストプラクティスコントロール』を活用しました。 今回は実際に運用して検出が多かったコントロール項目3選を紹介したいと思います。 AWSのドキュメントにすべての項目が詳しく記載されていますので参考にしてください。 1. IMDSv1の無効化 EC2起動時のデフォルト設定が「IMDSv1/IMDSv2を有効化する」となっています。 そのため、構築段階でIMDSv1の無効化の設定が漏れていることがありました。 IMDSv1と設定不備の組み合わせによるセキュリティ事故も発生していますので、不要であれば使わない方がよいと考えています。(気になる方は調べてみてください。) コントロール項目 [EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります 2. 保管中の
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top
力強く 歌声が呼ぶ 魔法が働く 私は 知恵の眠りから目覚めた 誰が 私から眠りを 追い払うのか? エルダ、「ニーベルングの指輪」より 私はオンプレミスで自宅にサーバーを設置してこのブログを稼働している。まぁ、本職だからね。 そして、SSLに関しては、Let's Encryptという無料のサーバー証明書を利用していて、しかもロボット化による自動更新になっているから、期限切れに伴う証明書入れ替えメンテナンスの手間もない。2か月に一度自動更新されるようになっている。 SSL通信の情報は、ブラウザのアドレスバー左端にある鍵のアイコンをクリックすると出てくる。試しに、私のブログをChromeで見てみると、当初ここにはLet's Encryptの証明書が表示されていた。 しかし。ESETというウイルス対策ソフトを入れた後から、ここに表示される証明書情報が、"ESET SSL Filter CA"となっ
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く