Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
制度関連のNEWS|メール添付のファイル送信について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。 プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。 プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします。 この件に関するお問合せ先 プライバシーマーク推進センター 電話:03-5860-7563 公開日 2020年11月18日
MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。(大元隆志) - エキスパート - Yahoo!ニュース
MS365でMFAの効かないIMAP等がパスワードスプレー攻撃で狙われている(写真:Panther Media/アフロイメージマート) 三菱電機が契約しているMS365に不正アクセスが発生した。このニュースを見て「我社のMS365はMFA(多要素認証)を利用しているから大丈夫」と思った人も少なくないだろう。しかしMS365に対する不正アクセスの多くはMFAをバイパスするIMAP等が狙われている。 ■基本認証と先進認証 MS365には大きく分けて二種類の認証方式が存在し、先進認証と基本認証と呼ばれている。主にMS365にアクセスするクライアントによって使い分けられる。 ・先進認証 IE/Chrome/Safariなどのウェブブラウザから、MS365にアクセスする場合や、先進認証対応のMS365アプリからアクセスする場合に利用される認証方法。MFA等が利用出来る。 ・基本認証(レガシー認証)
2017年版 SSH公開鍵認証で使用する秘密鍵ペアの作り方 - Qiita
何番煎じかわからないが、 ssh-keygen 最近他の種類も生成すること多くなってきたので。 まあ、 Advent Calendar ネタということで。 よーし埋めるぞ。 RSA 1024bit 以下 絶対に使ってはいけません。 古い puttygen.exe とかだと 1024 ビット以下の鍵が生成されることがあるので注意が必要です。 無難に RSA 2048bit よく使われますが、最近は計算機性能も向上したためか、このビット長の暗号は推奨されないようです。 とはいえNISTによると、2031年以降、RSA 2,048bitをはじめ強度の低いアルゴリズムはほとんどが使用禁止扱いになる。 ECDSAがスタンダードになるのは時間の問題。 ECDSA鍵をGitHubで使う - Qiita
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(1/3 ページ) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「所有物認証」について。 ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・
サーバレス(AWS Lambda, S3)なウィルス対策(ClamAV) - Qiita
はじめに AWS Lambdaでアンチウィルスソフト(ClamAV)を動作させ、AWS S3のオブジェクトをチェックできるようにします。 できるようになること ウィルスチェック済みのオブジェクト av-status: CLEAN タグが付与されます。 ウィルス感染を検知したオブジェクト av-status: INFECTED タグが付与されます。 感染したオブジェクトをGETしたときの応答 ステータスコード403と共に以下のXML応答があります。 アンチウィルスソフトはClamAVを利用します。ClamAVは、npmのアンチウィルスソフトとしても利用されているオープンソースです。現時点で660万種のウィルスを認識します。 S3バケットにオブジェクトをアップロードすると、Lambda上のウィルスチェックソフトがS3のオブジェクトをスキャンしウィルスかどうか判定します。 ウィルスチェックでクリ
セキュリティセンター
若い世代を中心に人気のティックトック(Tik Tok)について、そこに潜んでいる危険性と、その危険性に適切に対処する方法を解説します。
「ドコモ口座」新規の登録停止へ | IT・ネット | NHKニュース
電子決済サービス「ドコモ口座」を通じて銀行の預金が不正に引き出された問題で、NTTドコモは10日からドコモ口座への新たな登録を全面的に停止することを決めました。 これまでに全国10の銀行で不正な引き出しが確認され、18の銀行でドコモ口座への新たな登録が停止されています。 被害が相次いでいることを受けて、NTTドコモは連携している35の銀行すべてについて、10日午前0時から新たな登録を停止することを決めました。 サービスを利用していなくても何者かによるいわゆる「なりすまし」でドコモ口座を開設され、銀行の口座から預金を不正に引き出される被害が出ているためで、新規の登録を全面的に停止することで再発防止につなげたい考えです。
JavaScript文字列のエスケープ
これらの中で注目すべきは ‘ と ” と \ です。シングルクォート、ダブルクオートは文字リテラルを作成する為に利用され、\ でエスケープできることです。つまり、文字リテラルの最後に \ が現れると文字列の終端が無くなります。単独で不正なJavaScriptの挿入が可能になる訳ではありませんが、プログラムの構造が破壊される事を意味します。 PHPにはJavaScript文字列用のエスケープ関数が用意されていません。htmlspecialchars()やhtmlentities()で代用している場合も多いと思います。しかし、これらの関数ではJavaScript文字列のエスケープを十分に行う事ができません。 JavaScriptプログラムの構造が破壊される例 <?php $msg1 = 'test string\\'; $msg2 = ');alert(document.cookie); //
NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita
要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を
ssh-rsa,非推奨のお知らせ
2020-05-28T14:11+9:00 追記 これは SHA-1 を用いた RSA 鍵についての話で,OpenSSH 7.2 以降で生成・利用される RSA 鍵はまだ利用可能です 2020-05-28T19:27+9:00 追記 既に生成されている RSA 鍵でもホスト・クライアントの両方が OpenSSH 7.2 以降ホスト・クライアントの両方が OpenSSH 7.2 以降,ただしサーバー側は OpenSSH 7.4 以外であれば SHA-2 で署名するので大丈夫なようです。(OpenSSH 7.4 はバグがあるようです) ssh-rsaという名前は"公開鍵の形式"と"公開鍵を使った署名方式"の二つで使われていて、廃止対象となっているのは署名方式の方だけです。なのでOpenSSH 7.2以降を入れれば、鍵自体は古いOpenSSHで生成した物がそのまま使えます。 — いわもと こうい
2段階認証アプリ「Google 認証システム」でようやくまとめて移行可能に
2段階認証で必要な認証コードをアプリ上で確認できる「Google Authenticator」の最新版バージョン5.10がGoogle Playで公開された。 同アプリがアップデートされるのは2017年以来、3年ぶりとなる。 アプリ上で移行用のQRコード表示に対応 バージョン5.10では、ここ数年のトレンドである縦長のディスプレイに対応。Pixel 4シリーズでもフルサイズで認証コードを確認可能になった。マテリアルデザインも最新化されており、有機ELディスプレイのスマートフォンに恩恵のある真のダークモードにも対応している。 最大のアップデートは認証コードをカンタンに別のスマートフォンに移行できるようになったこと。 これまでは1つ1つのサービスにアクセスして2段階認証の登録をしなおす必要があったが、バージョン5.10では、アプリ上で移行用のQRコードを表示して、新しいスマートフォンで読み込む
英国家サイバーセキュリティセンター、用語「whitelist」「blacklist」を使用中止へ | スラド セキュリティ
英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は4月30日、サイバーセキュリティ用語としてこれまで使用してきた「whitelist」「blacklist」の使用をやめ、「allow list」「deny list」へ置き換えることをブログで発表した(NCSCのブログ記事、 The Registerの記事)。 現在、サイバーセキュリティの現場では「許可」「不許可」を示す用語として「whitelisting」「blacklisting」が普通に使われている。しかし、これは「white」を良い、「black」を悪いと結び付けた場合にのみ意味を成す表現であり、「allow list (許可リスト)」「deny list (不許可リスト)」と表現する方が明確だ。用語の置き換えはサイバーセキュリティから人種差別を取り除くのにも役立つという。 このような用語置き換えをする計画は
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
不正アクセスからサーバを守るfail2ban。さくらのクラウド、VPSで使ってみよう! | さくらのナレッジ
こんにちは。さくらインターネットの前佛です。 今回は、サーバのログファイルを自動スキャンして、悪意のある SSH 通信を自動遮断するツール fail2ban の概要と使い方をご紹介します。 日々、不正アクセス インターネット上のサーバは、SSH や HTTP など、公開しているポートに対する不正アクセスの試みに日々晒されています。不正アクセスは悪意を持った人からの攻撃だけではありません。マルウェアやワームなど、いわゆるボットからの攻撃にも日々晒されているのです。 そのため、誰でもアクセス可能なパブリックな環境にサーバを公開する場合、セキュリティに対して細心の注意を払う必要があります。 たとえば、近年話題になっている Linux 向けのマルウェアとしては XOR.DDoS が有名です。これは root ユーザのパスワードに対する総当たり攻撃(broute-force attach)を試みます
Google Chrome、4月から混在ダウンロードの禁止を開始 - 準備を
HTTPSで提供されているページで、HTTP経由でのリソースやファイルダウンロードを提供している場合、少なくとも2020年4月から徐々にそのファイルはダウンロードできなくなる。現状、そのような提供形態を取っているのであれば、すべてHTTPS経由で提供するように変更していく必要がある。 Google Chromeチームは2020年2月6日(米国時間)、「Google Online Security Blog: Protecting users from insecure downloads in Google Chrome」において、2020年4月の配信を予定しているChrome 82から混在コンテンツのダウンロードブロックを開始すると伝えた。 HTTPSのページでHTTPによるリソースの提供やファイルのダウンロード提供などがブロックに該当する。ブロックは次の手順で段階的に進められるとされて
世界一受けたい授業「ホワイトハッカー」特集を見てみた - piyolog
2020年2月8日夜、日本テレビ系列が放送している「世界一受けたい授業」で「ホワイトハッカー」の仕事紹介を特集したシーンがありました。ここでは放送内容からpiyokangoが気になった点を取り上げます。 番組該当パートの構成 www.ntv.co.jp 番組の該当パートは約23分。以下構成で放送されていた。 イントロ(サイバー犯罪、サイバー攻撃の概要紹介) 該当パート説明担当者の紹介 ホワイトハッカーの仕事紹介 設問①としてFBIのiPhoneロック解除を取り上げ 仮想通貨流出事件のIR支援事例紹介 設問②として逆SEOを取り上げ 無線Wifiのハッキング実験 ランチ合コン探偵の番宣 番組中取り上げられた数字 番組中ではいくつかの数字に触れられていた。 サイバー犯罪の被害予想額は660兆円 Cybersecurity Venturesが2016年に発表している数字より引用された予測値。
sudoに深刻な脆弱性、アスタリスクが表示されているなら要注意
LinuxディストリビューションやmacOSなどでroot権限を使用するために使われるsudoコマンドに脆弱性が存在することが、「Buffer overflow when pwfeedback is set in sudoers」において伝えられた。 脆弱性が存在するとされるバージョンが公開された日から換算すると、10年以上にわたり、この脆弱性が存在していたことになる。 Buffer overflow when pwfeedback is set in sudoers 脆弱性が存在するとされるバージョンは次のとおり。 sudo 1.7.1から1.8.30までのバージョン 脆弱性は次のバージョンで修正したとされている。 sudo 1.8.31 sudoはデフォルトではパスワードの入力時にターミナルに何も表示しない。pwfeedbackはパスワード入力時に視覚的なフィードバックとしてアスタリス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
jwtのtoken漏洩した場合に備えてセキュリティ対策
