2024/10/5 YAPC::Hakodate 2024

IPA(Information-technology Promotion Agency, Japan：情報処理推進機構)は7月5日、「PHPの脆弱性（CVE-2024-4577）を狙う攻撃について｜情報セキュリティ｜IPA 独立行政法人 情報処理推進機構」において、2024年6月に公開されたPHPの脆弱性を悪用するネットワーク貫通型攻撃が確認されたとして注意を喚起した。IPAは国内の複数の組織においてWebシェルが設置されるなどの被害を確認したと説明している。 PHPの脆弱性（CVE-2024-4577）を狙う攻撃について｜情報セキュリティ｜IPA 独立行政法人 情報処理推進機構 ネットワーク貫通型攻撃とは ネットワーク貫通型攻撃とは、ルータやVPN(Virtual Private Network：仮想プライベートネットワーク)機器のようなインターネットに直接接続されたデバイスを侵害して、

GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通して完成させる手順となっており、実践に近い内容となっています。 昨年（2023年）3月に開始されたシーズン1は、PythonとC言語でのセキュアなコーディングを学べる内容でした。今回のシーズン2ではこれらに加えてJavaScript、Go、そしてGitHub ActionsのYamlファイルなどが含まれており、これらのコードのバグを修正することになります。 Secure Code Gameの始め方 「Secure Code Game」の始め方は次の通りです。 まず「Secure Code G

株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分（改善命令）があいついで公開されました。 第三者委員会調査報告書（公表版） クレジットカード番号等取扱業者に対する行政処分を行いました （METI/経済産業省） 本稿では、主に第三者委員会の調査報告書（以下「報告書」と表記）をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい

はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー

GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料 GitHubは、リポジトリに保存されているソースコードをスキャンすることで脆弱性やエラーなどを発見してくれる新機能「GitHub Code Scanning」が正式版として提供開始されたことを明らかにしました。 Code scanning is here! Prevent issues in code by automating security as a part of your workflow. Free for public repositories Developer-first, GitHub native Enabled for GitHub Enterprise Cloud Learn more! https://t.co/2SSCjb

404 NOT FOUND 指定されたページが見つかりません。 掲載から一定の日数が経過した記事は、 配信社との契約に基づき削除される場合がございます。 （その場合、一定期間経過後は記事を見ることが出来ません。） それ以外のケースについては、お手数ですが 以下のいずれかの方法でページをお探しください。 ブラウザの再読み込みを行う 入力したURL（ページアドレス）にタイプミスがないか確認する ブラウザの「戻る」ボタンを押して前画面からやり直す

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、大阪でYahoo!スコアを担当している黒澤です。 大阪で10月17日に行われたMix Leap Studyのセキュリティイベント「サイバーセキュリティ最前線」のイベントを紹介します。 今回のテーマは「サイバーセキュリティ」。 ヤフーのセキュリティに対する取り組みや、CTF（情報セキュリティー分野で技術を競う手法の一つ）のウェブ分野の強化法についての話がありました。 ヤフーからは中村と大角が登壇し、ゲストスピーカーとしてパナソニック株式会社より前田 朋久さんに登壇いただきました。 「脆弱性対応を特別なモノにしない為に」 中村 暢宏（ヤフー株式会社） 一人目はヤフーのインシデント対応チーム（YJ-CSIRT）に所属している

2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部（モザイク部）に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co

概要 2018年4月にnpm v6.0.0がリリースされ、セキュリティチェックができるコマンドnpm auditが追加されました。 さらに2018年5月にはnpm6.1.0がリリースされ、セキュリティチェックに追加して脆弱性のある箇所を自動修正してくれるサブコマンドnpm audit fixが追加されました。 この機能は非常に便利で、node_modulesに存在する大抵の脆弱性を自動修正してくれます。しかし、パッケージの依存関係によって自動で直しきれない脆弱性が残ってしまうことがあり、現時点ではこれを手動で解消しなくてはいけません。その方法を共有します。 実践 まずは$npm audit まずは任意のプロジェクトでnpm auditをポチッと実行します。 $ npm audit //中略。ここに脆弱性のあるパッケージ一覧が表示されます found 25 vulnerabilities (

「ハンズオンーOWASP TOP 10のリスクを体感してみよう」にてチャプターリーダー はせがわようすけさんより発表頂いたプレゼンテーションです

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

主要なLinuxディストリビューションの「Linux Unified Key Setup-on-disk-format」（LUKS）に、セキュリティホールが存在することが明らかになった。LUKSはLinuxで使われているハードディスク暗号化のための標準的な仕組みだ。LUKSは多くの場合、「cryptsetup」というユーティリティを使用してセットアップされている。この脆弱性はcryptsetupに存在するもので、かなり深刻度が高く、影響を受けるLinuxディストリビューションには、「Debian」、「Ubuntu」、「Fedora」、「Red Hat Enterpise Linux」（RHEL）、「SUSE Linux Enterprise Server」（SLES）が含まれる。 セキュリティレポートCVE-2016-4484には、このセキュリティホールを利用すると、攻撃者は「対象システム

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2015-03-04 16:45 ミシガン大学の研究者チームによって行われたテストによると、「暗号化された」ウェブサイトの3分の1以上が、「FREAK」攻撃に対して無防備だという。特にOpenSSLと、ウェブブラウザ「Safari」のようなAppleのTLS/SSLクライアントは、FREAK攻撃を受けやすい。こうしたプログラムを使っている場合、「セキュアな」接続を、「強い」RSAから解読されやすい「輸出グレード」のRSAへとダウングレードすることが、比較的簡単にできてしまう。 こういったことが起きているのは、ジョンズ・ホプキンス大学の暗号開発者で研究教授のMatthew Green氏が簡潔に言っているように、NSAが、初期の「SSLプロトコル自体を、解読しやすいように意図的

脆弱性関連情報の届出受付 脆弱性関連情報の届出受付とは 脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004年7月8日から経済産業省の告示に基づき策定された情報セキュリティ早期警戒パートナーシップガイドライン(PDF:1.2MB)に則り運用しています。 経済産業省の告示にて、下記のとおり指定されています。 脆弱性関連情報の届出の受付機関 独立行政法人情報処理推進機構（IPA） 脆弱性関連情報に関して製品開発者への連絡および公表に係る調整機関 一般社団法人JPCERTコーディネーションセンター（JPCERT/CC） 留意事項 脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。 発見者

2. 徳丸浩の自己紹介 • 経歴 – 1985年京セラ株式会社入社 – 1995年京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – HASHコンサルティング株式会社代表http://www.hash-c.co.jp/ – 独立行政法人情報処理推進機構非常勤研究員http://www.ipa.go.

手っ取り早く書きますと、昨日の夕方５時。仕事仲間のLINEアカウントが乗っ取られました。 いままでもLINEの友達アカウントが乗っ取られたことはあったのですが、今回はいつもと全く様子が違っていました。 そのLINEアカウントの主は、２週間ほど前にMNPでデバイスを変更し、同時にLINEアカウントをオリジナルにし、スマホのPINコードも設定してあったのです(PCログイン用とは違うスマホのアプリロックのやつ)。これはデバイスを購入するときに相談されて画面まで確認した私が言うんだから間違いない。当然PC用のPINも設定してありました。 今回ちょっと違う点 １　日本語が自然になった このへんは勉強したのかもね。または日本人が加わったか。 ２　挑発に乗らない 自分は「你也偷金以及钓鱼岛」(魚釣島と同じく金も盗むのか)と即レス。共通の友人も同様に書いたそうだが、既読になるものの全く無視。ところが引っか

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ