The Hacker Newsは7月6日(現地時間)、「Researchers Uncover New Linux Kernel 'StackRot' Privilege Escalation Vulnerability」において、Linuxカーネルに深刻な脆弱性が発見されたと伝えた。新たに見つかった脆弱性は「StackRot」と名付けられており、現時点ではこの欠陥が悪用された形跡はないと報告している。 StackRotは「 CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。Linuxのバージョン6.1から6.4に影響を与える可能性があり、Red Hat Customer Portalによる共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値では7.8と分類され、深刻度は重要(High)と評価さ

AWSを使うなら見ておきたいチェック項目20選 AWSを実務で触られている方で「セキュリティ対策はばっちしだ💪」と言い切れる人はどれくらいいるでしょうか。特に創業間もないベンチャー企業や内製化直後のエンジニア組織の場合、サービスローンチや追加機能開発がビジネス上の最優先事項になってしまい、セキュリティ対策などの非機能要件のレビュー、設定などは後回しにされがちです。 そこで今回は、"時間がない人"でも注意したいセキュリティ脆弱性を生みやすい設定や設計の凡ミス集をまとめてみました。また、参考になりそうな記事も併せて紹介しています。 ご注意ください 筆者はAWSリソースに関するセキュリティの専門家ではありません。また本記事では、最低限の内容にとどめているためより詳細な内容は、公式ドキュメントや以下の資料をご覧ください。 1. IAM ポリシーの広すぎる権限 IAMポリシーに適切でない広い範囲の

多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例

2023年7月5日、名古屋港統一ターミナルシステム（NUTS / Nagoya United Terminal System）でシステム障害が発生しており、システムを管理する名古屋港湾協会は障害原因がランサムウエアによるものと公表しました。ここでは関連する情報をまとめます。 ランサムウエアによる国内初の物流影響事例か システム障害が起きたのは名古屋港湾協会が管理する名古屋港統一ターミナルシステム(NUTS)。名古屋港の5つのターミナル（飛鳥ふ頭北、NCB、飛鳥ふ頭南、TCB、鍋田ふ頭）と集中管理ゲート、荷役機器、NACCS、NUTS-Webをネットワークでつなぎ、船からの積み下ろし、プランニング、コンテナ保管、搬出入、ヤード作業、保税管理を行うシステム。*1 NUTSは1999年に導入されこれまで大きな障害が起きたことがなく、また2022年8月からシステム移行が行われ2023年1月に新シス

2023年6月8日、ガス関連の住宅設備など製造するパーパスは、同社がエネルギー事業者向けに提供している管理サービス「クラウドAZタワー」が稼働するデータセンター内のサーバーでマルウエアの感染を確認したとして、同サービスの停止などを行ったことを公表しました。その後パーパスによる復旧作業が行われ、同サービスは6月18日に復旧しました。ここでは関連する情報をまとめます。 利用者になりすました侵入者がシステム破壊 不正アクセスの被害にあい10日間にわたってサービスが停止したのはパーパスがエネルギー事業者向けに提供している管理サービス「クラウドAZタワー」で顧客や販売、検針など9つの基本機能から構成される。同サービスは約1,100社の事業者が利用しており、今回の10日間のサービス停止による影響で多数の事業者から顧客向けに関連する案内が行われていた。また今回の不正アクセスを受けて、同一のサーバー上で稼

富士通Japanのコンビニ証明書交付サービスをめぐっては、別人の住民票の写しを交付したり、抹消済みの印鑑登録証明書を誤交付したりといったトラブルが相次いでいた。 これを受け、河野大臣は富士通Japanにシステムの一時停止し、再点検を行うよう要請していた。 関連記事 富士通、コンビニ交付システムを一斉点検へ　最大で6月4日まで　証明書発行は利用不可に 富士通は5月23日、コンビニエンスストアの証明書交付サービスの誤発行を巡り、富士通Japanが提供するシステムを一斉点検すると発表した。最大で6月4日まで証明書交付サービスを停止するという。 富士通、相次ぐコンビニ交付サービス不具合に謝罪　「行政サービスへの信頼損ねた」　再発防止策を開示 富士通は、富士通Japan製システムで相次いで発生しているコンビニ交付サービスの不具合などについて謝罪した。一連のトラブルについて「住民が利用する行政サービス

米Microsoftは6月16日（現地時間）、同月初旬に発生したOutlookやOneDriveのアクセス障害の原因が、同社が「Storm-1359」と命名する脅威アクターによるDDoS攻撃だったと発表した。「進行中のDDoS攻撃の追跡を開始した」。 この攻撃により、顧客データがアクセスされたり流出したりした証拠は確認されていないとしている。 このアクセス障害は、まずOutlookで5日に発生し、約1日で収束した。9日には同様の障害がOneDriveで、10日にはAzure Portalで発生した。 Microsoftは公式Twitterアカウントでのツイートやステータスページで障害対策については報告していたが、DDoS攻撃を受けていることは16日まで公表していなかった。 この攻撃は、「レンタルクラウドインフラ、オープンプロキシ、DDoSツールと組み合わせた複数のVPSへのアクセスを悪用し

スマートフォンが手元にないとGoogleアカウントの2段階認証が行えない？ Googleアカウントの2段階認証プロセスでは、スマートフォンに送られてきたセキュリティ通知で［はい、私です］ボタンをタップする必要がある。しかし、スマートフォンが手元にないと、セキュリティ通知に対応できない。スマートフォンが手元になくても、2段階認証プロセスをパスできるようにする方法を紹介しよう。 Googleアカウントでは、セキュリティのため2段階認証を設定することが推奨されている。そのため、Googleアカウントに2段階認証を設定している人も多いのではないだろうか。 Googleアカウントの2段階認証プロセスでは、「新しいデバイスでのログインなど、重要な操作を検知した場合」などに、デフォルトではスマートフォンにGoogleからのメッセージ（セキュリティ通知）が表示され、そこで操作を行わないと、ログインできない

DNS水責め攻撃、食らっちゃいました：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（37） 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第37列車は「DNS水責め攻撃」です。※このマンガはフィクションです。

2023年3月以降、富士通Japanが提供する地方公共団体向けの住民情報ソリューションである「MICJET」(ミックジェット)において、プログラム不具合に起因するシステム障害によりコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生しています。ここでは関連する情報をまとめます。 証明書の誤交付が発生した地方公共団体 富士通Japanが提供する住民情報ソリューション「MICJET」に関連した誤交付が生じたのはこれまでに8つの地方公共団体。MICJETのコンビニ交付サービスにおいて住民票の写し、印鑑登録証明書などで誤交付が発生した。MICJETを導入している地方公共団体は全国で123。*1 誤交付を行った地方公共団体 誤交付された対象 誤交付を行っていた時期 横浜市 他人の住民票（個人番号あり）の写し1件(1名) 他人の住民票（個人番号無し）の写し5件(11名) 住民票記載事

2023年5月16日（現地時間）、米国司法省が3種のランサムウエアを用いて米国内の医療機関をはじめとした複数の分野に対して攻撃を行ったとして、ロシア国籍の男を起訴したことを公表しました。また日本の警察庁も捜査協力を行ったことが報じられています。ここでは関連する情報をまとめます。 ランサムウエアの展開に関わっていた男を起訴 ワシントンDC、ニュージャージー州地区より起訴*1 *2されたのはWazawaka、m1x、Boriselcin、Uhodiransomwarというハンドルネームを使用していたロシア国籍の30歳の男で、Lockbit、Babuk、Hiveの3種類のランサムウエアを使用したアフィリエイトとして主に活動に参加していた疑い(Babukは開発も関わっていた疑い)がある。次の表は起訴状に記載されていた被害組織の事例。男はランサムウエアの展開だけでなく、被害組織に対して身代金要求を行

5月11日から、マイナンバーカードの電子証明書機能をAndroid端末に搭載できるようになった。これを受け、ヤフーが運営するオークションサイト「ヤフオク！」は、中古スマートフォン出品の際、事前にスマホ用電子証明書の失効手続きを行うよう案内している。 スマホ用電子証明書は、端末の初期化だけでは削除できず、マイナポータルアプリから失効申請を行う必要がある。マイナカードの電子証明書機能を使っていたスマホを出品する際には、必ずこの手続きを行うよう呼び掛けている。 関連記事 マイナカードをAndroidスマホに入れてみた　何が便利で何ができる？　iPhone対応は？ 5月11日に、マイナンバーカードのスマホ用電子証明書搭載サービス、いわゆる「カード機能のスマホ搭載」がスタートした。「マイナカードがスマホに入る」なんて言われているが、何ができて何ができないのか。実際にスマホにマイナカードを搭載してみた

空港の無料USB充電は危険？　サイバー犯罪に警鐘も実は被害報告なし　「マスコミらが煽りすぎ」との指摘：この頃、セキュリティ界隈で 空港やホテルのロビーにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染し、個人情報やパスワードを盗まれてしまう――「ジュースジャッキング」と呼ばれるそんなサイバー犯罪の手口について、米連邦通信委員会（FCC）や米連邦捜査局（FBI）が改めて注意を呼びかけた。 しかし実はこの攻撃が実際に仕掛けられた事案は確認されておらず、今更の警告は不必要な不安をあおるだけだという意見もある。 ジュースジャッキングを巡ってFBIは4月「空港やホテル、ショッピングセンターなどにある無料の充電ステーションは使わないように。悪い連中が公共のUSBポートを利用してマルウェアや監視ソフトウェアをデバイスに仕込む方法を見いだした」とツイートした。 ジュースジャッキングの

ゴールデンウィークのはじめ（4月29日）に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ！スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい！ pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」：むしろ「本質的に良くない部分」を問うことが必要（1/3 ページ） それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たちが、さまざまな立場からWinny事件が残した影響を振り返った。

IIJでは広報誌「IIJ.news」を隔月で発行しています。本blogエントリは、IIJ.news連載コラム「インターネット・トリビア」を転載したものです。IIJ.newsはご希望者へ郵送でお送りしています。また、IIJ Webでも記事をご覧頂けます。 IIJ.news vol.175 もくじ ぷろろーぐ「早春が消えた」 / 鈴木 幸一 特別対談 人となり 株式会社ソシエテミクニ 代表取締役 三國 清三氏 株式会社インターネットイニシアティブ 代表取締役社長 勝 栄二郎 IT 詳解！Streaming Technology 動画配信新時代 ～ますます重要度を増す動画配信をめぐって / 福田 一則 CDN（Content Delivery Network）の仕組み / 髙田 壮吉 東京・春・音楽祭をライブ配信する / 岡田 裕夫 動画配信スタジオ IIJ Studio TOKYO / 渡辺

Notionにも二段階認証が設定可能となりました。設定する手順について解説します。 二段階認証の設定ができるようになりました? 以下の方法で認証できます： ?? 電話番号 ? 認証システム ? バックアップコード 「設定＆メンバー」 → 「マイアカウント」で設定可能です。 pic.twitter.com/qHc6nsWDRx — Notion Japan ?? (@NotionJP) April 25, 2023 手順 設定のマイアカウントから行います。以下の手順で完了です。 Notionパスワードを設定する 二段階認証を設定する Notionパスワードを設定する Notion側にパスワード設定が必須となります。 上記ダイアログへ入力にて完了です。 2段階認証を設定する Authyや1Passwordを用意しておきます。 読み取り用QRコードが表示されるので、アプリ側で読み取らせます。「認