ドライバはPCの機能や周辺機器を適切に扱う上で重要だが、しばしば不具合の原因になる他、脆弱（ぜいじゃく）性の原因になっている。ドライバは高い権限で動作していることが多く、これを突かれるとシステムの制御権を乗っ取られやすくなる。 セキュリティ企業のSentinelLabsは2021年7月20日（現地時間）、同社のブログでHPとSamsung、Xeroxのプリンタドライバに深刻度の高い脆弱性を発見したと伝えた。これらのプリンタドライバは、2005年以降に出荷されたHPとSamsung、Xeroxのプリンタに同梱されていると説明されており注意が必要だ。

困っていた内容 セキュリティグループのインバウンドルールの編集を行おうとしたところ、 You may be missing IAM policies that allow DescribeSecurityGroupRules. You are not authorized to perform this operation. のメッセージが表示され、インバウンドルールの編集ができませんでした。 最近、特に設定を変更した覚えはないのですが、なぜこのようなエラーが発生するのでしょうか？ 対処方法を教えてください。 どう対応すればいいの? 先日より、セキュリティグループの各ルールにリソース識別子(Security group rule ID)が付くようになりました。 AWSからのアナウンスはこちらになります。 新しいセキュリティグループルール ID を使用してセキュリティグループルールを簡単に管

以下の記事を読みました。 CookieのPath属性は本当に安全性に寄与しないのか 結論として以下となっています。 結論。Path属性は特殊な状況下ではある程度安全性に寄与する Path属性は、これを設定してCookieを発行するあるパス(以下「自身のパス」)にサーバサイドのプログラムを書き換えられるような脆弱性がなく、同一オリジン内の別のパスにそのような脆弱性がある場合に、そのパスへのCookieの漏洩することを防ぐことができます。 中略 つまり、「体系的に学ぶ 安全なWebアプリケーションの作り方」の記述はおそらく間違えです。 とはいえ私はセキュリティは専門ではなく、特に攻撃側には疎く、この記事に書いた以上の調査・実験もしていないため、この結論も確実とは言い切れません。詳しい情報をお持ちの方がいたら、ぜひご教示ください。 記事では、iframeなどを用いた攻撃について言及されていて、そ

ここ数日、自分が管理している多数のアカウントの整理をしていまして、（本当はよくないことですが）使い回してるパスワードがわりとあったので、そういったパスワードを撲滅すべく変更をしては1Passwordに反映するということを繰り返していました。 そんな中で出会ったこれは嫌だなというパスワード変更画面を紹介したいと思います。 画面構成が複雑でパスワード変更画面にたどり着けない。 パスワード変更機能がなく、「変更及び再発行を希望される際は、再度新規登録をお願いいたします」と促される。 パスワードリセット機能（パスワードを忘れた方はこちら）がパスワード変更機能を担っているが、そんな説明がどこにもないので気づかない。 パスワードリセット機能もない。 最大文字数が「6文字以内」と短い。 「6文字以上で入力してください」と書かれているので試しに6文字で登録しようとすると「8文字以上で入力してください」とエ

Emotet制圧も、新たな脅威「IcedID」が登場　添付ファイル経由のマルウェアに必要な対策とは　専門家に聞く（1/3 ページ） 2014年ごろから20年にかけて、メールの添付ファイルを通じて感染するマルウェア「Emotet」が世界中で猛威を振るった。日本もその例外ではなく、19年から20年に関西電力や京セラ、NTT西日本など多くの企業がEmotetの標的となり、個人情報流出の被害を受けた。 しかし、Emotetの脅威はほぼなくなったといっていい。ユーロポール（欧州刑事警察機構）がEmotetを拡散するサーバを突き止め、21年1月、米、英、独、仏、蘭、加、リトアニア、ウクライナの8カ国の治安当局との合同作戦「Operation LadyBird」（テントウムシ作戦）で実行犯を逮捕するとともに、ネットワークの情報基盤に侵入して制圧。内部からEmotetの拡散を停止させたからだ。 その後、ワ

昨今、アクセスキーの漏洩から不正アクセスなどのセキュリティ事故の話が多いですね。AWS外部からAWSリソースを操作するために発行していたアクセスキーが不要になってアクセスキーを無効化したとしましょう。 その無効化したアクセスキーを使ってAWSリソースへアクセスしたらCloudTrailなどにログが残り「無効化したアクセスキーが使われている」と検知できるのか？と気になりました。 今回検証対象のアクセスキーについて IAMユーザのアクセスキーは、アクセスキーIDとシークレットキーの組み合わせにより、利用期間に期限設定がなく永続的に使える認証情報です。期限はないのですがアクセスキーを有効にする（使える状態）か、無効にする（使えない状態）かは設定できます。 アクセスキーを利用する場合の推奨事項 アクセスキーを発行する元のIAMユーザの権限を最小化する アクセスキーを定期的にローテーションして利用す

「シェル芸」を駆使？　Bashで開発されたランサムウェア「DarkRadiation」、RHELとDebianが標的 Bashで開発されたランサムウェアが発見された。Red HatやDebianをベースとしたLinuxディストリビューションが標的だ。攻撃に必要なツールがなければ自分でインストールし、自身を隠蔽し、Telegram API経由でサイバー攻撃者と通信をして、OpenSSLでファイルを暗号化する。

パスワードを推測されにくいものとする、という口実で記号を入れることが推奨されている。ただしどうやら誰かの思いつきを無批判的に踏襲しているようで、なぜなら使ってはいけない記号があることについて誰も述べていない。 パスワードとしては使えるが、実運用では使えないという記号、あるのだ。 ;（セミコロン） である。 セミコロンを含むパスワードに変更は可能である。が、シェルスクリプトはそれを扱ってくれない。シェルは論理的には２行に渡る入力を物理的に１行で受け付ける事ができる。そのとき;（セミコロン）を改行の記号とみなす。つまりシェルへの命令の中に;（セミコロン）があればシェルはそこで２行に分けて取り扱うのだ。 であるからシェルスクリプト中で「パスワードを入れてログイン（リモートなりsuなりで）」している場合、そのパスワードに;（セミコロン）が入っていると、;（セミコロン）までを一つの命令とみなし、つま

こんちは､テクニカルサポートチームの丸屋 正志です｡ ■ご注意ください このポリシーでは「IAMユーザーと同じ名称でMFA設定を行う場合」のみMFA設定の許可が与えられています。 2022/11よりMFA設定時に任意の名称を指定できるようになっており、上記の名称と異なるMFA名を指定した際にエラーになる場合があります。（上述のセキュアポリシー以外でMFA設定の許可が与えられていればエラーは発生しません。） （参考情報） https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-identity-access-management-multi-factor-authentication-devices/ 1. AWSアクセスキーセキュリティ意識向上委員会って何？ 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵

HTTPの暗号化は当たり前になったが、業務アプリケーションはどうか。事前に想定して設計したセキュリティ対策がハマらなかった場合の「想定外のリスク」を前提にするセキュリティ対策の話を聞いた。 シンガポールを本拠にするSecureAge Technology（以下・セキュアエイジ）は、シンガポール政府下にあったKent Ridge Digital Labで研究を続けていたTeow Hin Ngair博士が2003年に設立したセキュリティ企業だ。2021年3月には日本法人を設立し、いよいよ日本市場に向けて活動を開始した。政府や大手企業での実績が多いが、日本では新たに中小企業のセキュリティ対策支援に注力する計画だ。 同社のグローバル最高執行責任者（COO）と日本法人社長を兼任するジェリー・レイ氏に、同社の技術的特徴と今後の国内での展開を聞いた。 端末が扱うデータ全てを暗号化する理由 レイ氏は日本で

官公庁や企業で幅広く使われている富士通の情報共有ソフトに不正アクセスがあり、内閣官房の内閣サイバーセキュリティセンターの情報システムに関するデータが流出した問題で、センターが実施したサイバー攻撃の訓練への参加者の名前などの個人情報が流出していたことが新たに分かりました。 これは富士通のシステムが使われている官公庁や企業などで、システム担当者らがプロジェクト情報を共有する「ProjectWEB」と呼ばれるソフトが不正アクセスを受け、内閣官房をはじめ、国土交通省や外務省で情報流出があったことが先週、分かったものです。 この問題で内閣官房の内閣サイバーセキュリティセンターでは、内部の情報システムの機器の構成に関するデータの流出が確認されていましたが、新たに個人情報も流出していたことが分かりました。 流出したのはサイバー攻撃への対応のために、内閣サイバーセキュリティセンターと情報を共有する訓練に参

米当局に提出された情報漏えいの通知書によって、音響機器メーカーのBoseが高度なサイバー攻撃を受けていたことが明らかになった。公表資料から、対策の鮮やかさに注目が集まっている。 音響機器メーカーのBoseが高度なサイバー攻撃を受けていたことが明らかになった。ランサムウェアによる攻撃を受けており、元従業員数人の個人情報が漏えいした可能性があるとされる。 漏えいインシデントの詳細は、Boseがアメリカ合衆国司法省（DOJ：United States Department of Justice）に提出した通知書に記載されている。それによると、2021年3月初旬に同社のシステムを標的としたランサムウェア攻撃を受けたとされる。その際、Bose社内システムの一部が破壊され、同社の保有する特定の情報においてセキュリティ対策に影響を与えた可能性があると指摘されている。 このサイバーセキュリティインシデント

如月 宗一郎 @S_kisaragi Reserve Candidate上がりの林業作業者。1980年に生まれて2003年卒という、Lost GenerationからついにAbandoned Generationになった地方都市民。当地の林業では、年間最大で193人に1人が死ぬ世界なので、急にツイートが止まる可能性あり。ねご探し中。 twilog.org/S_kisaragi 如月 宗一郎 @S_kisaragi 年寄りのパスワード設定に付き合っているのだが… 「アルファベットで入力してください」 「数字？」 「アルファベットですよ」 「数字？」 とこのような感じに。（そりゃ携帯ショップのコストだだ上がるわ） 2021-05-24 10:28:42

","naka5":"<!-- BFF501 PC記事下（中⑤企画）パーツ＝1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下（中⑥デジ編）パーツ＝8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下（中⑥デジ編）パーツ＝8826 -->","adcreative72":"<!-- BFF920 広告枠）ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag ＰＣ誘導枠５行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">

比較サイトComparitech.comが、ハニーポットを使ったサイバー攻撃の調査結果を発表した。ハニーポットに対して24時間で10万1545件、1分当り70件の攻撃が加えられたという。 比較サイトComparitech.comは2021年4月26日（英国時間）、ハニーポットを使った調査の結果を発表した。ハニーポットは、サイバー攻撃者をおびき寄せ、その挙動を記録するために、無防備なままインターネットに接続して放置したダミーのコンピュータシステム。 Comparitechの研究者は、インターネットからアクセス可能なさまざまなサービスをエミュレートし、RDP（Remote Desktop Protocol）やSSH（Secure Shell）、MySQL、VNC（Virtual Network Computing）など幅広いプロトコルをサポートするハニーポットデバイスを設置した。セキュリティ対

Greg K-H @gregkh Linux kernel developers do not like being experimented on, we have enough real work to do: lore.kernel.org/linux-nfs/YH%2… 2021-04-21 17:27:05 Yoshimasa Niwa @niw ミネソタ大学がLinuxから追放された模様... “I will now have to ban all future contributions from your University and rip out your previous contributions” lore.kernel.org/linux-nfs/YH%2… 2021-04-22 01:24:20

4月5日深夜から6日にかけて、豪Atlassianが運営するプロジェクト管理ツール「Trello」で個人情報が閲覧できるなどといった情報がネット上で注目を集めた。一日のToDoリストなど作業管理のために作成するボード機能の閲覧範囲を「公開」と設定していたことが原因だった。 ボードの公開機能は、例えばオープンなプロジェクトの進捗を外部に公開するといった用途に使うもので、適切に利用すれば問題はない。しかし、Trelloで顧客や採用活動などの情報を管理していた一部の企業ユーザーが、住所氏名などの個人情報、運転免許証やパスポートの画像をそのままアップロードし、“公開”状態にしてしまっていた。 その結果、Googleの検索にヒットし、外部から誰でも閲覧できる状態になっていたことからネット上で騒動に発展した。中には企業の採用担当者が、面接の結果、不採用とした学生を「頭が悪い」などと中傷するコメントを残