SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析 | ScanNetSecurity日本電気株式会社(NEC)は5月17日、ばらまき型フィッシングメールについての分析記事を同社セキュリティブログで発表した。セキュリティ技術センター サイバーインテリジェンスグループのA藤(ハンドルネーム)氏が執筆している。
JVNVU#99012560: 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備
複数のHTTP/2実装において、CONTINUATIONフレームの取り扱い不備によりサービス運用妨害(DoS)攻撃が可能となる問題が指摘されています。 本件の公表時点では、影響を受ける製品として以下が挙げられています。 Node.js HTTP/2 server(CVE-2024-27983) Envoy HTTP/2 codec(CVE-2024-27919、CVE-2024-30255) Tempesta FW(CVE-2024-2758) amphp/http(CVE-2024-2653) Go net/http および net/http2(CVE-2023-45288) nghttp2(CVE-2024-28182) Apache httpd(CVE-2024-27316) Apache Traffic Server(CVE-2024-31309) 影響を受けるバージョンや、上記以
鍵生成には暗号論的に安全な乱数を使おう
SSHの鍵生成には暗号論的に安全な疑似乱数を使おうという話。 暗号論的に安全ではない疑似乱数がどれだけ危険かというのを、簡単なCTFを解くことで検証してみました。 背景 SSH公開鍵に自分の好きな文字列を入れる、という記事を読みました。 かっこいいSSH鍵が欲しい 例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか? かっこいい!真似してみたい! そこまではいいんですが、問題は実装です。 秘密鍵を生成する際の乱数生成には高速化のために Goのmath/randを使っていますが、乱数が用いられるのは公開しない秘密鍵自体であり、このアルゴリズム自体はLagged Fib
「クレジットカード・セキュリティガイドライン」が改訂されました (METI/経済産業省)
令和6年3月14日に「クレジット取引セキュリティ対策協議会第11回本会議」が開催され、クレジットカード取引に関わる事業者が実施すべきセキュリティ対策を定めた「クレジットカード・セキュリティガイドライン」が改訂されました。 1.「クレジットカード・セキュリティガイドライン」について 「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード会社、加盟店、PSP※1等のクレジットカード決済に関係する事業者が実施すべきクレジットカード情報の漏えい及び不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。 同ガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられています。
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
「DNSに対する最悪の攻撃」 迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての
楕円曲線暗号方式の強度について - dwango on GitHub
※本ブログは2024/2に執筆されています。そのため、アップデートによってここに記載されている内容が現状と乖離する可能性があります。記載する内容を参照する場合は自己責任でお願いします。 はじめに こんにちは! ドワンゴでエンジニアをやっている小林と申します。競技プログラミングを趣味にしています。 今回は業務には関係ありませんが、個人的に興味のあるトピックであるセキュリティーについて執筆します。 対象読者: 以下のどれかを満たす人 AtCoder で青色〜黄色以上、あるいは意欲のある水色以上 暗号理論に興味のある人 数学が好きな人 また、簡単な群論の知識を仮定します。(群の定義など) まとめ セキュリティーの強さはセキュリティーレベルと呼ばれる尺度で測ることができます。 \(k\) ビットセキュリティーはおよそ \(2^k\) 回の計算を要するレベルです。 \(n\) ビットの楕円曲線暗号方
mTLS: When certificate authentication is done wrong
EngineeringSecuritymTLS: When certificate authentication is done wrongIn this post, we'll deep dive into some interesting attacks on mTLS authentication. We'll have a look at implementation vulnerabilities and how developers can make their mTLS systems vulnerable to user impersonation, privilege escalation, and information leakages. Although X.509 certificates have been here for a while, they have
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
『Origin-Bound One-Time Codes』の提案仕様 - ASnoKaze blog
Apple勢から「Origin-Bound One-Time Codes」というSMSで発行するワンタイムコードのフォーマットの提案仕様がIETFに提出されています。 こちらの仕組みの標準化ということで良いかなと思います。 developer.apple.com 背景 Webのログイン時にSMSでワンタイムコードを送信し、入力させることがあります。昨今ではformの 『autocomplete="one-time-code"』属性によりユーザエージェントがSMSのコードを自動入力してくれたりします。 こちらのサイトでも書かれているように、攻撃者がフィッシングの手口で入力させたID/Passを正規サイトにインプットさせるとSMSコードを自動入力させる事ができます。 akaki.io そこで、SMSで発行したワンタイムコードをドメインに紐付けることでこのような攻撃を防ぐのが今回の目的です Or
サブドメイン列挙とはどういうものなのか調べてみた - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 2日目の記事です。 こんにちは、イノベーションセンターの坪井です。 1日目の記事を担当した平木と同じくNetwork Analytics for Securityというチーム(通称NA4Sec)に所属しています。 1日目の記事はこちらです。 engineers.ntt.com NA4Secプロジェクトについては、 サイバー脅威インテリジェンス(CTI)配信はじめました を読んでいただくと我々がどんな活動を行なっているかわかると思います。 先日の11/21(火)にInternet Week 2023のC10 DNS DAYというプログラムの中で「ランダムサブドメイン攻撃において事業者として行なった対策と解析について」というタイトルで講演をさせていただきました。 講演の中で、私はDNSハニーポットを運
OpenSSF ガイド - The Linux Foundation
(このページは OpenSSF Guides の日本語版です。) ソースコード管理プラットフォーム設定のベストプラクティス GitHub や GitLab などの SCM プラットフォームのセキュリティを確保し、ベスト プラクティスを実装するためのガイド。 より安全なソフトウェア開発のための簡潔なガイド すべてのソフトウェア開発者を対象とした、ソフトウェアの開発、構築、配布に関する簡潔なガイド。 オープンソース ソフトウェアを評価するための簡潔なガイド ソフトウェア開発者として、オープンソースソフトウェア(OSS)の依存関係やツールを使用する前に、候補を特定し、あなたのニーズに照らして主要なものを評価します。 セキュリティ研究者のためのオープンソース ソフトウェア プロジェクトと脆弱性の公表を調整するためのガイダンス このガイドは、セキュリティ研究者(別名「発見者」)がオープンソース ソフ
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
PCI DSS監査体験記 - ROBOT PAYMENT TECH-BLOG
どうも!! ペイメントシステム課の川上です!! サブスクペイの中の人です!! 今回は、先日実施されたPCI DSSバージョン4の監査に参加した所感を書きます。 ちなみに私は、昨年サブスクペイにジョインするまでPCI DSSに関わったことはありませんでした。 ですので元シロウトなりに感じたことを綴りたいと思います。。。 PCI DSSってなんだっけ PCI DSSについては我らがボスが詳しく分かりやすく説明してくれています。 「PCI DSSなにそれおいしいの」状態の方は、まずはこちらをご覧いただければ幸いでございます(宣伝)。 tech.robotpayment.co.jp 備えよ常に ボスのブログでは「毎年監査を受け」ていることしか書かれていませんので、ここをもう少し掘り下げてみましょう。 PCI DSSに準拠するには、PCI SSC(PCI Security Standards Cou
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】
「Apache」「Node.js」も ~多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」/「Rapid Reset」脆弱性と比べても深刻
CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection
GitHub - mkjt2/lockbox: Lockbox is a forward proxy for making third party API calls.
セキュアなWeb APIの作り方 / Secure Web API
