Copyright © 2024 Information-technology Promotion Agency, Japan（IPA）　法人番号 5010005007126

こんにちは、NTTコミュニケーションズの現場受け入れ型インターンシップ2024に参加した大学2年生の大堀です。X（旧:Twitter）では@LimitedChan（限界ちゃん）というハンドルネームでサイバーセキュリティに関して活動しています。 普段は大学で情報系の学習をしながら、個人的に脅威インテリジェンスをはじめとしたサイバーセキュリティに対して興味があり、さまざまな学習に取り組んでいます。 2024年8月26日〜9月6日までの2週間、「脅威インテリジェンスを生成・活用するセキュリティエンジニア/アナリスト」としてNetwork Analytics for Security（通称:NA4Sec）プロジェクトに参加しました。 この記事では、私がインターンシップで取り組んだ内容について紹介します。 Na4Secプロジェクトとは？ インターンシップ参加の経緯 インターンシップ概要 今回作成した

はてなは6月20日、はてなアカウントが不正ログインを受けたと発表した。16日から160万回のログイン試行があり、2398アカウントが不正にログインされたという。流出したID・パスワードを使ったリスト型アカウントハッキングとみている。 19日にユーザーから「メールアドレスが変更されている」との問い合わせを受けて調査したところ、複数のアカウントが不正ログインを受けたことを確認。疑わしいIPアドレスからのアクセスを遮断した。 不正ログインされたアカウントのうち3件で、メールアドレスが変更された上、Amazonギフト券交換の申し込みが行われていたという。ギフト券交換はスタッフが目視で確認して手続きを行っているため、交換には至っていないという。この3件以外でメールアドレスが変更されたアカウントはなかったとしている。 それ以外のユーザーでも、不正ログインを受けたアカウントは（1）登録している氏名、郵便

HJホールディングスは、動画配信サービス「Hulu」が、外部サービスから流出したIDなどを使ったリスト型攻撃を受け、296件のアカウント（解約済み含む）で不正ログインがあったと発表した。対象ユーザーにはメールでパスワード変更を依頼している。 不正ログインは9月11日に発生。被害にあったユーザは、氏名や生年月日、性別、設定している支払い方法、都度課金コンテンツの購入履歴などを閲覧されたり、自分のアカウントを使って動画を閲覧されたり、視聴履歴を見られた可能性がある。 支払い情報の詳細は保持していないため、閲覧されただけでは被害は生じないとしている。 同社は対策として、不正アクセスのあったIPアドレスからのアクセスを制限した他、不正ログインされたアカウントのパスワードを強制リセットした。 対象ユーザーには「［重要］Hulu 不正アクセス検知によるパスワード強制リセット実施のお知らせ」の件名でメー

個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお

OpenCTIとは 脅威情報を管理するためのプラットフォーム。技術情報と非技術情報を構造化・保存・整理・視覚化をすることができるらしい。 このプラットフォームはSTIX2.1ベースらしいので、STIXの規格については改めて確認したほうが良い。日本語の解説資料求む。 https://docs.oasis-open.org/cti/stix/v2.1/stix-v2.1.html 本記事はOpenCTIのGithubページやドキュメントページを中心に試してみる。 Githubページ: https://github.com/OpenCTI-Platform/opencti ドキュメントページ: https://docs.opencti.io/latest/ TIP (Threat Intelligence Platform) について TIPとはその名の通り、脅威情報を収集・集約し活用することが

Re:ゼロから始めるOpenCTI この記事は、所属組織内で脅威共有やってみようぜ(n回目)、という安易な考えから生まれた物語です。 OpenCTIとは Filigranが開発している、Open Cyber Threat Intelligence Platformです。要するに、サイバー脅威インテリジェンスを管理、可視化することができるプラットフォームです。 また、インテリジェンスの蓄積だけではなく、Connecterという機能を活用することで、様々なセキュリティ関連企業、団体が公開しているインテリジェンスをimportしたり、その他もろもろの便利機能を追加することができます。 とりあえず動かしてみる 公式ドキュメントを確認して以下の環境を用意しました。またOpenCTIは、Dockerを使って展開します。 Infrastructure OS : Ubuntu 22.04 server 6

また、CTIの情報内容はTactical（戦術的インテリジェンス）、Operational（運用インテリジェンス）、Strategic（戦略的インテリジェンス）の3つのレベルタイプに分けることができます。 今回は主にこの中のTactical、Operationalのインテリジェンスを取得するのに有効なツールGreyNoiseを使ってみました。 GreyNoiseの目的 GreyNoiseは、世界中のインターネットをスキャンし、攻撃に関連するIPを収集、分析、ラベル付けし、セキュリティツールのノイズを削減するために必要なインテリジェンスを提供します。 GreyNoiseでできること セキュリティアナリストが注目しなくても良いイベントを認識する 感染している端末を見つけることができる 実際にインターネット上で実行されている脅威情報を確認する 使ってみる こちらからアカウントを作成すると無料で使

こんにちは、セキュリティ猫です。 久しぶりに（ホントに久しぶりに）何かを書きたい欲が出てきたので、自分でも使い方の整理・機能の確認の意味を込めてツールの使い方を扱うことにしました。 今回は、調査で便利なツール「GreyNoise」について紹介していこうと思います。 GreyNoise はじめに 【注意事項】 GreyNoiseとは？ 機能 IPルックアップ GREYNOISEクエリ言語 (GNQL) タグトレンド その他の機能 主な使い方 まとめ はじめに 【注意事項】 本記事内で、GreyNoiseの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。 GreyNoiseを利用することで外部組織の情報を得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自

この記事は NFLaboratories Advent Calendar 2022 6日目の記事です。 ソリューション事業部セキュリティソリューション担当の岩崎です。 多くのウェブサイトでは登録されたドメイン名を利用して構築されており、サブドメインを作成して構築されるケースも多いです。中には、開発環境や公開前のプロダクト用にサブドメインを作成して運用されているケースも多いです。 昨今、公開を前提としたサーバでは適切なセキュリティ設定や脆弱性診断などセキュリティ侵害を防ぐための対策が取られているケースが多いです。一方、開発環境や公開前のプロダクト用のサーバでは十分な対策が取られていないケースも多く見受けられます。 そこで今回はセキュリティ侵害から防御することを目的として、攻撃者視点でサブドメイン名列挙をする手法についてまとめてみました。 総当たり ゾーン転送 対策 Passive DNS 検

(Last Updated On: 2018年8月8日)正規表現のアルゴリズムを攻撃するDoS攻撃のReDoSを可能な限り回避する方法を考えてみます。 追記： 破滅的なReDoSは非常に短い検索対象文字列でDoS攻撃が可能でした。念の為と思い、このエントリでは正規表現検索の対象文字列を短くする対策を紹介していましたが、この種の対策が効果があるケースがありました。 ReDoSに脆弱になる典型的な正規表現は以下のような正規表現です。 Evil Regex pattern examples (a+)+ ([a-zA-Z]+)* (a|aa)+ (a|a?)+ (.*a){x} | for x > 10 Payload: “aaaaaaaaaaaaaaaaaaX” 出典：CHECKMARX  2015 (PDF) マッチパターンが繰り返される正規表現が問題になります。 メールアドレスにマッチする正

(Last Updated On: 2018年8月8日)いつかは忘れるくらい前に正規表現のアルゴリズム自体を利用してDoS攻撃を行うReDoSが発表されていました。今まであまり気にしていなかったのですが、検索しても日本語のページが出てこないようでした。詳しく知るためのリンクなどを紹介します。 少し検索して出て来た日本語ページはHPのページでしたが、たまたまインデックスされていたページがヒットしたようでした。また記載されている情報は不十分でした。（ページ下のコピーライトからFortifyの情報のようです） 日本語のページで良いものは無いようなので、ReDoSの英語ページ／PDFを紹介します。 Wikipedia OWASP CHECKMARX  2015 (PDF) CHECKMARX 2009 (PDF) 3つ目のCHECKMARXのPDFは解りやすいと思います。OWASPのページはCHE

(Last Updated On: 2018年8月13日)StackExchangeがReDoS攻撃に遭いサイトがダウンした原因をStackExchangeのブログで紹介していました。 PHPへの影響があるか試してみました。結論を書くと、脆弱な正規表現を使っていて攻撃者が入力をコントロールできる場合、簡単に攻撃できるようです。PCRE、Onigurumaの両方で試してみましたがどちらも脆弱でした。 参考：正規表現でのメールアドレスチェックは見直すべき – ReDoS Onigurumaでは破滅的なReDoSが可能です。以前からメールアドレスのチェックに利用する正規表現には注意喚起していましが、どの程度浸透していたのだろうか？ ReDoSとは ReDoSはこのブログでも紹介しています。正規表現のアルゴリズムを利用してDoS攻撃する攻撃です。 参考： 正規表現を使ったDoS – ReDoS R

(Last Updated On: 2018年8月13日)前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS（十分短い文字列で指数関数的に実行時間が増加する）が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。（特にRubyユーザー） 追記：影響範囲はメールアドレスチェックに限らないので、正規表現チェックは全体的に見直さないと、どこが脆弱なのか判りません。見直してチェックしたとしても、それが完全であったと保証することは困難です。ネット検索して直ぐに見つかった検索パターンは非常に脆弱であったこと、メールアドレスのマッチパターンは脆弱になりやすい繰り返しの繰り返しが含まれること、これらがあったのでタイト

SQLインジェクションを・・・駆逐してやる！！ この世から・・・一匹残らず！！ (PHPカンファレンス2015) Read less