ゼロトラスト移行のすゝめ 背景 ゼロトラストの概念は近年のテレワークやクラウド利用の普及により注目を集めていますが、いざ自組織に実装しようとしたときにはさまざまな課題に直面することが予想されます。また、ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠になっています。 そこで本書ではゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントについてまとめました。これからゼロトラスト移行を検討している組織の担当者に参考にしていただけると幸いです。 本書の構成 第1章：はじめに 1.1. ゼロトラストとは 1.2. ゼロトラスト構成への移行に関する実態調査から見えること 1.3. 本書の目的 第2章：ゼロトラスト構成への移行 2.1. ゼロトラスト構成へ移行検討中の組織に必要なマインド 2.

まずはお詫び タイトルパクりました。ゴメンナサイm(__)m はじめに 立て続けに神本が発売されて、2023年はいい年になりそうと思っているAWS認定トレーニング講師の平野@おんせん県おおいたです。 ところでみなさん、「セキュリティ」と聞いてどんな印象お持ちですか？ たとえばこんな感じじゃないですか なんか大事なのは分かる なんか難しそうなので、できれば関わりたくない セキュリティ担当者がいい感じにやってくれるはず 時々セキュリティ事故のニュースを見るが、うちは関係ない まあ、僕も以前はそうでした。 AWSをはじめて、セキュリティには興味を持ったのですが、専門用語をググってもよく分からずに、心折れながら勉強してきました。 そんな中で、先日発売されたのが今回ご紹介する本です。全人類に読んでもらいたいと思ってます。 誰に読んでもらいたいか 全人類といいたいところですが、実際にはこんな方々になり

laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129PHPSecurityLaravelkinsingkdevtmpfsi webサーバー上でlaravelを動かしていれば、ちょっとした設定のミスで誰でもマルウェアに感染する可能性がある激ヤバセキュリティホール(CVE-2021-3129)が2021年1月20日に報告されています！ composerでインストールしたパッケージをバージョンアップせずに使っていませんか？ インターネット上に公開されているサーバー、特にステージングや開発環境でDEBUG=ONにしていませんか？ エラー画面がこんな風に見えますか？ この3つの条件を満たしていると、あなたのlaravelは、今すぐにでもマルウェアに感染する可能性があります。 laravelの脆弱性をついたkinsing(k

MicrosoftはWindowsのSMBv3に深刻な脆弱性（CVE-2020-0796）が存在するとして定例外で更新プログラムKB4551762を公開しました。ここでは関連する情報をまとめます。 この脆弱性は何？ Windows 10 など最新のOSに実装されているMicrosoft Server Message Block 3.1.1プロトコル（SMBv3）に脆弱性が確認された。 この脆弱性により、リモートから任意のコードを実行できる可能性がある。 Microsoftは脆弱性深刻度を「緊急」（Critical）と評価しており、3月12日に定例外で修正プログラムを公開した。 脆弱性はCVE-2020-0796が採番。JPCERT/CCによるCVSS（基本値）スコアは9.8（v3）*1 何故深刻な（話題となった）の？ 2017年以降多数の被害が発生したWannaCryのようなワーム型プログ

月刊マイクロソフトで修正されたCVE2020-0796のWorkaroundに関連した情報が、油断するとわからなくなる書き方になっている*1ので、覚書。 記事自体は後述するが、別にこの記事が悪いというわけではなく、用語自体をきちんと押さえておかないと、一気に混乱する恐れがある、というだけ。 SMBv3 ServerとSMB Client SMBv3 Serverと書かれているが、別にこれはWindows Serverでしか稼働していないというわけではない。Windows 10などのClient系Windows OSでも普通に動作している「Server」サービスに実装されているのが、SMBv3 Serverだ。 同じようにSMB Clientも、Windows Clientでしか稼働していないというわけではない。「Workstation」サービスに実装されているのがSMB Clientである

こんにちは、技術部の遠藤（@mametter）です。フルタイム Ruby コミッタとして、クックパッドにあたらしく入社しました。よろしくお願いします。 最近、Ruby や RubyGems の脆弱性を発見して、その結果セキュリティリリースにつながるということを経験しました。どういう動機でどのように脆弱性を発見したか、どのように通報したか、などについてまとめてみます。Ruby の脆弱性を見つけたけどどうしよう、という人の参考になれば幸いです。 HackerOne について HackerOne という脆弱性情報の通報と公開のためのプラットフォームをご存知でしょうか。 OSS にとって脆弱性情報の管理は面倒なものです。脆弱性の通報を秘密裏に受け付け、関係者だけで議論しなければなりません。そのため、通常のバグトラッカとは別のコミュニケーションチャンネルを用意する必要があります。 そこで Hacke

この記事を読んで、どんなソフトにもJavaScriptは万能すぎると感じました。 gigazine.net ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができる攻撃手法を発見した」と発表しました。「PDFex」と名付けられたこの攻撃手法はPDFの仕組みそのものを悪用しているため、Adobe Acrobat Reader DCやPDF-XChange Viewerといった特定のPDFビューワーソフトだけでなく、ChromeやFirefoxなどのブラウザで閲覧した場合でもPDFの暗号化を突破されてしまうとのことです。 （Gigazine記事より引用） ◆キタきつねの所感 今回発表されたPDFの脆弱性の１つは、「部分的にPDFが暗号化された部分を平文部分に改ざんする」という攻撃手法の様です

ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができる攻撃手法を発見した」と発表しました。「PDFex」と名付けられたこの攻撃手法はPDFの仕組みそのものを悪用しているため、Adobe Acrobat Reader DCやPDF-XChange Viewerといった特定のPDFビューワーソフトだけでなく、ChromeやFirefoxなどのブラウザで閲覧した場合でもPDFの暗号化を突破されてしまうとのことです。 PDF Insecurity Website https://pdf-insecurity.org/encryption/encryption.html Researchers Find New Hack to Read Content Of Password Protected

Cross-Origin-Opener-Policy (COOP)は現在、ChromeやFirefoxで実装が進められている機能です。 Chrome: Implement Cross-Origin-Opener-Policy firefox: Implement Cross-Origin-Opener-Policy 仕様としては、whatwgで長らく議論がされており、おそらく仕様に入るでしょう Restricting cross-origin WindowProxy access (Cross-Origin-Opener-Policy) · Issue #3740 · whatwg/html · GitHub Cross-Origin-Opener-Policy: provide a clearer spec. · Issue #4580 · whatwg/html · GitHub 面白

セキュリティ企業のFireEyeは4月15日、Adobe Flash Player（以下、Flash Player）の脆弱（ぜいじゃく）性を突く不審なファイルを自動的に検出して分析できるツール「FLASHMINGO」を開発し、オープンソースとして公開した。 FLASHMINGOは、SWF形式のFlashファイルを自動的に分析でき、最低限の労力で不審なFlashサンプルを洗い出して調査できるという。同ツールはスタンドアロンアプリケーションとして各種の分析ワークフローに組み込むことも、ライブラリとして使うことも可能で、ユーザーがカスタム版のPythonプラグインを使って機能を拡張できる。 Flash PlayerはかつてWeb上で広く普及していたことから攻撃の格好の標的とされ、脆弱性を悪用される事案が後を絶たなかった。FireEyeによると、2005年以降に発覚した脆弱性は1000件を超え、そ

by mynetx セキュリティ研究者がMicrosoft製のウェブブラウザであるInternet Explorer(IE)にゼロデイ脆弱性が存在することを発見しました。この脆弱性を利用すれば、ハッカーがWindows搭載PCからファイルを盗み出すことが可能になるとのことです。 hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt Internet Explorer zero-day lets hackers

2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。 概要 「Web Application Firewall 読本」 「Web Application Firewall 読本」は、ウェブサイト運営者がWAFの導入を検討する際に、WAFの理解を手助けするための資料です。本資料では、KISA(*1)やOWASP(*2)、WASC(*3)などの機関におけるWAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等をまとめました。 第1章では

人気アニメ「ラブライブ！」シリーズの公式サイトが、4月5日未明から正常に表示できない状態になっている。ページを開くと「ラブライブは我々が頂いた！」といったテキストが表示され、別アニメ作品の公式サイトに移動するように仕掛けられている。ラブライブ！の運営チームは「現在原因究明中」としている。 同日の午前2時ごろから、「ラブライブのページが開けない」「表示がおかしい」「ページが乗っ取られた？」といった報告がネット上で相次いだ。実際にページを開くと、本来表示されるアニメ紹介ではなく、以下のテキストが表示される。 「ラブライブは我々が頂いた！　我々がラブライブを入手する際、 手の込んだプログラミングを行なったり、 こっそりとデータを傍受したりする必要はなかった 我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった　元所有者はこれだけであっさりと、ラブライブ!を、我々へと移管して

はじめに 世の中には，サイバーセキュリティアナリストのコミュニティやセキュリティベンダ等の組織によって提供されているサイバー脅威情報が数多く存在します． これらの情報は，例えばIDS等のセキュリティ機器で検知された通信を調査するような場面において，通信先が悪性であるかを判定するための材料として有用です． このため，セキュリティオペレーションの現場では，特定のインディケータ情報に関連する脅威を調査する作業が度々発生します． しかし，サイバー脅威情報の粒度や提供方法は様々であり，調査作業が発生する度に手動で多数の情報源と突合するのは非効率です． NICTER解析チームは，サイバー脅威情報を自動集約することでこのようなタスクの処理を効率化するためのツールとしてEXISTを開発し，日頃の調査解析業務に利用しています．また，同様の課題を抱える解析者や研究者にも活用してもらえるよう，オープンソースソフ

2. Shun Suzaki(洲崎 俊) Twitter:@tigerszk ITイベントの参加・開催や日々の脆弱性検証をライフワークと する「とあるセキュリティエンジニア」 Daiki Ichinose(一ノ瀬 太樹) Twitter:@mahoyaya Perlが好きなウィークデーバグハンター。 土日は家族サービスとコミュニティ活動に勤しんでいる。 Ken Kitahara(北原 憲) 博士（理学）。物理学で博士号を取得してから、2014年4 月から縁も所縁もない情報セキュリティ業界で働き始める。 ネットワーク系のサイバー攻撃技術が専門。

IIJ のマルウェア活動観測プロジェクト MITF のハニーポットでは、送信元アドレスを偽装した 80/tcp に対する SYN/ACK リフレクション攻撃を2018年8月から継続して観測しています。2019年1月下旬からはさらに別のポートを対象とした同様の攻撃活動を観測しました。本記事でその内容について紹介します。 SYN/ACK リフレクション攻撃 80/tcp を利用した SYN/ACK リフレクション攻撃については、「wizSafe Security Signal 2018年9月 観測レポート」において詳しく報告しています。送信元アドレスを偽装した TCP の SYN パケットを多数のアドレスに同時に送信し、その応答である SYN/ACK パケットを利用して送信元アドレスに対して DDoS 攻撃を行うものです。IIJ の観測では2018年9月26日に大規模な SYN/ACK リフレ