NTTの島田明社長は7日の記者会見で、傘下のNTT西日本の子会社から約900万件の顧客情報が不正流出した問題について「ご迷惑をおかけしたお客さまには誠に申し訳ない」と謝罪した。顧客情報は元派遣社員がUSBメモリーに記録して持ち出したとみられ、グループ全体でUSBメモリーを業務に一切使わないなどの再発防止策も明らかにした。 島田氏は「記録媒体を持ち込まないなどの社内ルールは設けていたが…
Policy-as-code for everyone Checkov scans cloud infrastructure configurations to find misconfigurations before they're deployed. Checkov uses a common command line interface to manage and analyze infrastructure as code (IaC) scan results across platforms such as Terraform, CloudFormation, Kubernetes, Helm, ARM Templates and Serverless framework. Get started Supported clouds and frameworks Verify c
We have computed the very first chosen-prefix collision for SHA-1. In a nutshell, this means a complete and practical break of the SHA-1 hash function, with dangerous practical implications if you are still using this hash function. To put it in another way: all attacks that are practical on MD5 are now also practical on SHA-1. Check our paper here for more details. Slides from RWC are also availa
日本に本社がある大手情報セキュリティー会社、トレンドマイクロは、海外の事業所の従業員が最大12万人分の顧客のデータを不正に持ち出して売却していたことを明らかにしました。持ち出されたデータには日本国内の顧客は含まれていなかったということです。 流出したのは、過去にトレンドマイクロのサポート窓口に連絡したアメリカやドイツなど8か国の顧客の名前やメールアドレス、それに電話番号などで、日本国内の顧客は含まれていなかったということです。 会社によりますと、ことし8月、顧客の所にサポートを名乗る不審な電話があり、セキュリティー対策のために金を支払うよう求めたことから調査したところ、流出が発覚したということです。 会社では、情報を持ち出した従業員を懲戒解雇にしたうえで、捜査機関に情報を提供するなどの対応を取ったということです。 トレンドマイクロは、ホームページにコメントを掲載し、「極めて遺憾で、お客様を
こんにちは、Recruit-CSIRTのきっかわです。 「ウィルスオタクの若手エース」と呼ばれるようになったから、というわけではないでしょうが(笑)、このたび、話にはよく聞くが見かけたことのなかった「クレジットカード情報を盗むJavscript」を見つけたので、そのマルウェアと周辺の攻撃について情報を共有します。みなさんにとって本ブログが有益な情報になれば幸いです。 忙しい方へ 今回発見されたJavaScriptの概要 クレジットカードのチェックディジットの計算とクレジットカード番号の構成をチェックする チェックが通ると、外部サイトへ入力情報を全て送信する Javascriptコードの仕込まれ方 Webサイトのjsファイルを改ざんして動作 元のサイトの動きに対して、見た目上の動きは変わらない IOC https://ww1-filecloud[.]com/img 攻撃の流れ 今回観測した攻
背景 ソフトウェアの脆弱性を確認する際、必ず出てくる用語であるCVE, CVSS, CWEをざっくり把握しておく。 簡単に言うと、 CVEは世の中の脆弱性の一元的なID、 CVSSはその脆弱性の深刻度点数、 CWEはその脆弱性がどのカテゴリなのか を表す。 参考文献 情報セキュリティスペシャリスト - SE娘の剣 - IPA - 共通脆弱性評価システムCVSS概説 CVE Details CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子 一言でいうと、「世の中の脆弱性情報を一意に管理するためのID」 様々のソフトウェア製品の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与し、脆弱性を管理 命名規約は、「CVE-YYYY-XXXX」 : YYYYは年、XXXXは一意の番号を表す。 例)CVE-2014-3566(SSLv
TL;DR AWSのマネージドサービスを活用して低インタラクション型のハニーポット環境を作った コストも月々約$15で運用可能 コマンド3回ぐらいで誰でもデプロイできるようになっているので興味があれば使ってみてくれよな 背景 AWSに置く低インタラクション型ハニーポット(synに対してsynackだけ返して後は送られてくる通信を監視するやつ)、今ならシャキッとスパッと実装できるんだろうなあああと過去のクソ実装を思い出して悶絶してる— Masayoshi MIZUTANI (@m_mizutani) 2019年2月1日 という感じで昔クラウド上で運用していたハニーポットのことをふと思い出したのですが、仕事で多少AWSのサービスを理解した今だったらもうちょっとまともに実装できそうだよなぁ、実装するならインスタンスで完結するんじゃなくてクラウドのマネージドサービスちゃんと使って消耗しない作りにし
「宅ふぁいる便」サービスは終了いたしました。 2020年3月31日をもちまして「宅ふぁいる便」サービスは終了いたしました。 これに伴い、退会申請やポイント交換等の機能をご提供しておりましたWEB特設サイトもサービスを終了いたしました。 大変長らくご愛顧いただき、誠にありがとうございました。
この記事はRuby Advent Calendar 2018 - Qiitaの23日目です。 今年はRubyやOSSの脆弱性をいろいろ探していたので、その感想を。 Ruby (Cruby) Tmpでのディレクトリトラバーサル DirでのNUL文字の扱いの問題 UNIX ドメインソケットでのNUL文字 Ruby 2.6での挙動変更 Dir[]でのNUL文字について Rubygems rubygems 65534倍効率的なブルートフォース minitarでのKernel.open*2 geminabox Discourse Heroku Rails pgでのNUL文字 Active StorageでのXSS 報奨金 感想 Rubyに詳しくなった 脆弱性としての判定 自分が使うものを安全にする まずはRubyから Ruby (Cruby) techlife.cookpad.com 昨年公開された
Chrome 70から、WebAuthnでMacのTouchIDとAndroidの指紋認証がデフォルトで利用可能に。Webサイトへのログインもタッチで パスワードを使わずデバイス側での指紋認証やPINコードなどによる認証によりWebサイトへログインできるWebAuthnは、2018年4月にW3Cの勧告候補になり、Chrome、Firefox、Microsoft Edgeへの実装が進められています。 参考:パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ Googleは5月にリリースしたChrome 67でWebAuthnへの対応を行いましたが、10月にリリースされるChrome 70では実装を進化させ、デフォルトでMacのTouchIDとAndroidの指紋認証に対応するこ
インフラストラクチャー部セキュリティグループの水谷 (@m_mizutani) です。 現在、クックパッドのセキュリティグループではセキュリティ監視を高度化に対して取り組んでいます。サービスに関連する部分の監視は以前からやってきたのですが、ここしばらくはそれ以外のインフラやオフィスで発生するセキュリティ侵害を検知することを目的とした監視基盤の構築に力を入れています。 昔は一般的にオフィス、インフラのセキュリティ監視と言えば、イントラネット内に閉じた環境でのログ収集から分析まで完結していたケースも少なくなったと考えられます。しかし現在だとインフラとしてクラウドサービスを多用したり、業務で使うツールをSaaSによって提供するという場面も増えているかと思います。このような状況だとセキュリティ監視のために見るべき箇所がばらけてしまうといったことが起こります。クックパッドでも積極的にSaaSやAWS
パスワードには問題があり、多くの人がパスワードを適切に管理していない。そこで代替策が、複数の主要ウェブブラウザでサポートされる。Google、Mozilla、Microsoftは今後、パスワード不要の認証方式を「Chrome」「Firefox」「Edge」の各ブラウザに組み込む見通しだ。 World Wide Web Consortium(W3C)は米国時間4月10日、FIDO Allianceから提出された「Web Authentication(WebAuthn)」の仕様を勧告候補(Candidate Recommendation)の段階に進めたと発表した。 これが実装されれば、ユーザー名とパスワードを使わなくても、一意の暗号鍵を使って別のデバイスにIDを保存することで、セキュリティを管理できるようになる。また、PIN(暗証番号)や、指紋、顔認証などの生体認証データを使って、オンライン接
こんにちは。Rubyコミッターのusaです。 なんかRuby の 最新 リリースと一緒に、脆弱性 情報 が いっぱい 公開 されましたね。うわー、なんかよくわかんないけど、やばそうですね!正味のところ、こいつら結局どれくらい危なそうなのか、それらの脆弱性の記事を書いた人がたまたまピクシブにいましたので、率直に本音を語っていこうと思います。 CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について うまく利用するのは難しいとは思いますが、使いようによっては利用者(WEBrickで作って公開したサイトを訪問した人)をひどいめにあわせることができるかもしれない脆弱性です。 でも、WEBrickで作ったサイトをプロダクションで公開してる人なんているわけないよねははは。 CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS
本件に関する問い合わせにつきましては、2月16日(金)15時より以下の通り、変更させていただきます。 電話番号:050-3204-4543 受付時間:午前10時~午後7時(平日のみ) このたび、GMOペパボ株式会社(以下、「弊社」)が運営するネットショップ運営サービス「カラーミーショップ」(以下、「本サービス」)において、第三者による不正アクセスが確認され、本サービスを利用してネットショップを運営いただいている一部のお客様(以下、「ショップオーナー様」)の情報の流出と、一部のショップオーナー様および本サービスを利用しているネットショップで購入された一部の方(以下、「購入者様」)のクレジットカード情報の流出、またはその可能性があること(以下、「本件」)が判明いたしました。
お客様各位 スターバックス コーヒー ジャパン 株式会社 弊社ホームページにおけるセキュリティ強化に関する重要なお知らせ 平素より弊社をご愛顧賜り、厚く御礼申し上げます。 このたび、弊社では、お客様の情報保護を第一に考え、通信の安全性を確保するために、弊社ホームページにおける「TLS1.0/1.1」を無効化することといたしました。 これにより、一部の端末やブラウザ(インターネット閲覧ソフト)からは、サイトの閲覧およびサービスの利用ができなくなりますのでご確認ください。 ■影響がある主なご利用環境 ・スマートフォン iOS4以前、およびAndroid 4.4以前の端末における標準ブラウザ環境 ・パソコン Internet Explorer 10.0 以前のブラウザ環境 ■対象ページ 弊社公式ホームページ内の、「https」で始まるアドレスのWebページ(My Starbucksマイページ、ス
セキュリティ・キャンプ全国大会2017の講義資料です(Masato Kinugawaさんとの共同制作です)。
Malicious packages in npm. Here’s what to do | Ivan Akulov’s blog People found malicious packages in npm that work like real ones, are named similarly real ones, but collect and send your process environment to a third-party server when you install them 訳: 悪意のあるパッケージがnpmで発見された。それらは、実際のパッケージによく似た名前で同じように動くが、パッケージのインストール時にプロセスの環境変数を外部のサーバに送信する。 発見されたパッケージの一覧は元エントリをどうぞ。このようなマルウェアである偽パッケージの一例をあげると、 ba
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く