はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ

ソースコード共有サービス「GitHub」で三井住友銀行（SMBC）などのシステムに関連するソースコードが無断公開されていた問題で、NECが顧客向けに開発したシステムのソースコードも無断公開されていたことが分かった。2月1日に同社が明らかにした。 【画像】Profit Cubeのコメント ソースコードの流出を認めたのはSMBC、NTTデータ ジェトロニクスに続き、3社目。NECは取材に対し、「流出したソースコードの中に、（同社が）特定のお客さま向けに開発したシステムのソースコードが含まれていることを確認している」と回答。流出したシステムの詳細やセキュリティなどへの影響については「お客さまとの都合で、これ以上のことは話せない」として明言を避けたが、「原因究明と再発防止に努める」としている。 ソースコードの流出を巡っては、1月29日までに各社の委託先に所属していたSEとみられる人物による無断公開

三井住友銀行（SMBC）が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE（システムエンジニア）らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。 ソースコードの中には、SMBCに加えてNTTデータ ジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に「GitHub」「SMBC」などがトレンド入りした。 流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータ ジェトロニクスはそれぞれ「顧客情報の流出には影響がない」「単独では悪影響を与えるものでない」と説明している。 今回の事態に対し、ネット上では「これを機にGitHubの利用やテレワーク

【これは約 16 分の記事です】 （2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます） 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理　：警視庁（リング切れ） この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか？ ｜ ライフハッカー［日本版］ ht

日本年金機構の情報漏えい、本当に必要な再発防止策とは？：「事故前提」で早期発見、早期対処の仕組み作りと文化を 日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。 直

日本年金機構から年金情報125万件が流出した問題は、機構の職員が標的型攻撃メールの添付ファイルを開いたことでウイルスに感染したことが原因とみられており、「怪しいメールは開かないのが常識」などと批判する声もある。 ただ標的型攻撃メールは、送信元や内容を巧妙に偽装していることが多い。報道によると年金機構に届いたメールは、タイトルが「『厚生年金基金制度の見直しについて（試案）』に関する意見」となっているなど、年金業務に関連する内容を偽装していたという。 怪しいメールをどう見分け、被害を防ぐか――情報処理推進機構（IPA）は、標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点を解説するリポートを、今年1月に公開している。 内容、差出人、添付ファイル……怪しいメールの「着眼点」は リポートでは、IPAが情報提供を受けた実例などから、標的型攻撃メールを見分ける際の着

流出を受け、6日と7日は「休日年金相談」を全国の年金事務所で行う。 各紙の報道によると、データは東京都、和歌山県、沖縄県の3拠点から流出していたことが分かったという。 関連記事 年金機構のウイルス感染、公表前に2chに書き込みか　「感染しました」「月曜日には公表するのかな？」 「ウィルス感染しました」「月曜日には公表するのかな」――年金機構の個人情報流出について、公表前に2chに書き込みがあったことが分かった。 ウイルス入り「標的型攻撃メール」どう見分ける？　「高度な“だまし”のテクニック」、IPAが対策指南 年金流出問題は、機構の職員が不審なメールを開いたことが原因とされている。標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点をIPAが指南している。 甘利大臣「マイナンバー導入予定は変更なし」　セキュリティ懸念否定 甘利社会保障・税一体改革担当相は、

怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね（一部隠してます）。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 http://t.co/SwKNkH4t9s

By Carlos Lee 2013年、アメリカの国家安全保障局(NSA)や連邦捜査局(FBI)などの政府系機関が秘密裏に国民の情報収集をしていた問題が明らかになり、インターネットの秘匿性が大きな話題になりました。通信の秘匿性を高める技術の根幹は暗号化なのですが、「究極の暗号化技術」とも呼ばれる「量子インターネット」の構築に向けた取り組みがアメリカと中国で進められています。 Building a globe-spanning quantum internet | The Verge http://www.theverge.com/2014/11/18/7214483/quantum-networks-expand-across-three-continents 元CIA職員のエドワード・スノーデン氏がリークした情報により、政府機関が「PRISM」と呼ばれる極秘の監視システムを用いて通信内容

2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要 ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。 ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人