九州商船の「弊社WEB予約サービスに対する不正アクセスに関する最終報告」は全てのエンジニアに読んでほしい - orangeitems’s diary
最終報告書を読む 九州商船株式会社のWEB予約サービスに対する不正アクセスについて、最終報告書が公開されました。報告書を読ませていただきましたが、その内容に関して大変勉強となることが多く含まれています。 弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船 ※ITmediaでニュースにもなっていましたので追記しておきます。 japan.zdnet.com 不正アクセスの目的は、linuxに不正侵入し仮想通貨マイニングを行うというものです。データを盗み出すのではなくマイニングというところが2018年っぽいです。ただCPUが100%に張り付くのですぐに見つかってしまっていますが。 この報告書について考察してみます。 原因についての考察 原因はvsftpdで使っているFTPプロトコルをANYで開けていて、ブルートフォースでパスワードが割れてしまったこと。かつ、OS/ミドルウェアの
CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
CentOS 7でyumからSecurityUpdateを行えるようにする | 俺的備忘録 〜なんかいろいろ〜
CentOSではyumでセキュリティ関連のパッケージのみ導入する場合は「yum-plugin-security」というパッケージを利用することで、セキュリティ関連のアップデートをかけることができる… のだけど、CentOSではこのパッケージを利用しても「No packages needed for security」と出力され、セキュリティアップデートは実行されない。同じRHELベースのAmazonLinuxなどでは実行されるのに… [root@BS-PUB-CENT7-01 ~]# yum --security update 読み込んだプラグイン:fastestmirror base | 3.6 kB 00:00:00 elasticsearch-2.x | 2.9 kB 00:00:00 epel/x86_64/metalink | 6.3 kB 00:00:00 extras | 3
プロセッサの脆弱性「Meltdown」と「Spectre」についてまとめてみた | DevelopersIO
森永です。 新年早々大変な脆弱性が出てきてセキュリティクラスタがざわついてます。 内容によって2つの脆弱性に分かれていて、「Meltdown」と「Spectre」と名前がつけられています。 現在使用されているほぼ全てのCPUにおいて対象となりうるという相当影響範囲が広い脆弱性です。 まだ詳細が公開されていない部分もありますが、パッチで対処できる脆弱性ですので落ち着いて対応し、続報を待ちましょう。 現在分かっている範囲の情報をまとめます。 Meltdown and Spectre 概要 今回の脆弱性は大きく3つに分けられます。 Variant 1: bounds check bypass (CVE-2017-5753) Variant 2: branch target injection (CVE-2017-5715) Variant 3: rogue data cache load (CV
メモリのビット反転エラーとセキュリティの話|Rui Ueyama
ハードウェアのエラーでメモリの内容が化けてしまうことが稀にある。大抵のDRAMエラーはせいぜいプログラムがクラッシュする結果になるだけだが、データ破壊になることもありえるし、悪意のある使い方をすればセキュリティ破りに使うこともできてしまう。ここではメモリエラーとセキュリティの話をしようと思う。 メモリのエラー率は意外なほど高い。データセンターで大規模なマシン群を対象に実際に観測したところ、1年間に1回以上のエラーが発生したDIMMモジュールは全体の8%にのぼったそうだ。DIMM 1枚に数百億個のメモリセルが実装されているといっても、このエラー率はちょっとびっくりするくらい大きな数字ではないだろうか? サーバでは普通はエラー訂正付きのDIMMを使うので1ビットのエラーは問題にならないが、エラー訂正のないコンシューマ機器ではこれは実際的な問題になりえる。 メモリエラーを利用したセキュリティ破り
postgresqlがラムサムウェアにやられたようです。対応方法は?
vps上のpostgresqlのdatabaseがすべて書き換えられました。 テーブルはwarningというものだけとなり、 カラムには以下のメッセージが入っていました。 Send 0.5 BTC to this address and go to this site http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be available after payment! ランラムウェアと思いますが、今ウイルススキャン中です。 データはバックアップに戻すとしても、 そもそも、ラムサムウェアなのか、サーバにログインされて、何かされたのか? 原因の特定ができていないので、 再発が怖くて手がつけれません。 (お客さんがうちの製品のトライアルに使っている環境なので、 リストアしてもまたデータ喪失したら嫌なの
さくらのVPSに来た攻撃観察記
1. さくらのVPSに来た、いろ いろアタック観察記 さくらのVPSに来たいろいろアタック観察記 (@ozuma5119) 1 "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 318 "-" "ZmEu" "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-" "ZmEu" "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "ZmEu" "GET /pma/scripts/setup.php HTTP/1.1" 404 298 "-" "ZmEu" 66.160.128.164 - - [31/Jul/2013:18:46:17 +0900] "POST /%70%68%70%70%61%74%
さくらのVPSに来る悪い人を観察する その2
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHURead less
teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記
teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。 そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。 周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω` )ペコ 【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうかより引用 どれどれ…と確認すると、トークンのチェックが入っているにも関わらずクロスサイト・リクエストフォージ
【暫定対応済み】日産レンタカー、メールアドレスと氏名と電話番号があれば全個人情報にアクセスできる事が発覚! - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 レンタカーの予約ならいつも笑顔の日産レンタカー 何の変哲もない日産のレンタカーのページ ところが、パスワードを忘れたときのページにアクセスすると…。 ログインID(メアド) と 氏名(カナ)と電話番号を聞いてくるのです これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか? パスワード生で表示!! なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。 そして、このパスワードでアクセスすると? ▂▅▇█▓▒
IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。 下記より「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」についてのレポートPDF版をダウンロードしてご利用いただけます。 1.CMSとは 2.CMSで構築されたウェブサイトを狙う攻撃と対策 3.CMSを使ったウェブサイト構築・運用のポイント 4. チェックリスト 【別冊付録】ウェブサイト構築・運用のポイント 1. ウェブサイトを構築する上での注意点 2. ウェブサイトの運用開
米DNSサービスに大規模DDoS攻撃で米国でTwitterやSpotifyが長時間ダウン
米DNSサービス大手のDynは10月21日の午前11時ごろ(協定世界時、日本との時差は9時間)、大規模な分散型サービス妨害(DDoS)攻撃を受けてダウンした。これにより、同サービスを使っているTwitter、Spotify、Reddit、Netflix、Wall Street Jounralなど多くのサービスが、主に米国で約6時間にわたって利用できなくなっていた。本稿執筆現在、Dynはシステムは復旧したとしているが、Dynの顧客である各種サービスの中にはまだ正常に戻っていないものもあるようだ。 以下は、オンラインサービスの稼働状況情報サービスDownditectorが掲載する本稿執筆現在の機能停止マップだ。 Dynの説明によると、午前11時10分ごろに米東リージョンのManaged DNSインフラが大規模なDDoS攻撃を受け、この攻撃は午後1時20分に軽減に成功したが、午後3時50分にさら
EC-CUBE脆弱性情報の公開の是非 | サンクユーWEB制作ブログ
脆弱性てなんて読むの? 脆弱性とは「ぜいじゃくせい」と読みます。 たまに、お客様と会話していると「きじゃくせい」と言われる方がおられ、さりげなく「そのぜいじゃくせいですが・・・」と正しい読み方を教えてあげるくらいは優しい私です。 ごく稀に、制作会社の方でも「きじゃくせい」と言われる方がおられるのにはビックリ仰天です。 それだけWEB制作業界も敷居が低くなったんだなぁ。。。と感慨深くなります。 脆弱性て何? すみません。 冒頭から脱線しました。 脆弱性とは、システムの不具合(プログラムの不具合、仕様の不具合)によるセキュリティの欠陥のことを言います。 悪意のある人がその脆弱性を利用して、システムの内部に入り込んだり、情報を盗んだりすることができます。 ですので、システム(サイト)に脆弱性が発見された際には、速やかに対応する必要があります。 脆弱性はあってはならないものですが、ほとんどのシステ
Webサービスを常時SSL化しようとして諦めた話
弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。 世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。 うちは新規だから最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。 つづく。 続き。 弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブ
Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。 この情報は、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日のブログで紹介した。脆弱性はJavaの「common-collections」ライブラリに存在していて、WebLogicなどのほか、企業のカスタム版のアプリケーションにも影響を及ぼすと指摘している。 コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、
ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した
すでに報道のように、ビックカメラの通販サイト「ビックカメラ.com」において、会員IDをメールアドレスにするという改修がなされました。従来は会員がIDを自由につけられる仕様でした。さっそく会員登録してみたところ、会員IDのメールアドレスの入力間違いに際して、安全性の配慮に掛ける仕様だと感じたのでビックカメラのサポートに報告したところ、以下のように「セキュリティ上の問題とは認識していない」との回答でした。このため、ここに問題点と対策を公開して、利用者に注意喚起いたします。 平素はビックカメラ.comをご利用いただき、誠にありがとうございます。 サポートセンター担当のXXXXと申します。 この程はお問い合わせいただきありがとうございます。 貴重なご意見を賜りまして、誠にありがとうございます。 今回サイトのリニューアルに関して、基本的に現状ではセキュリティ上の問題があるとの認識はございません。
年金番号の流出の話 - ビスケットのあれこれ
プログラミングから脱線すると色々と言いたくなるという. 年金番号がウイルスにかかって流出してしまって,想定される被害は年金番号の成り済ましが怖いので,流出してしまった人たちに番号を再発行して郵送するとかニュースで言ってました. 実は,僕の学位論文の一部で,オープンシステムにおける名前付けの問題について議論しています.ちゃんと論文にもなっています.そのときの議論の延長線上に今回の年金番号流出もからんでいるので,その話をしましょう. 当時の話題の中心は,インターネットでした.世界のコンピュータにそれぞれ一意の番号をつけて(つまり,全部のコンピュータが違う番号をもっている),その上で,ある番号のコンピュータにメッセージを送りたければ,どうやってそのコンピュータを探すか(ルーティング)という問題を解けば良い,ということにしていました.その後に出てきたIPv6も色々と修正してますが同じです. ルーテ
SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 | スラド IT
SourceForge.net(SF.net)にあったGIMP for WindowsのプロジェクトがSF.net運営者側にアカウントを乗っ取られ、配布物がアドウェア付きのインストーラーに置き換えられたという騒動が起きたようだ(Ars Technica)。 インストーラには「Norton anti-virus」および「myPCBackup.com remote backup」がバンドルされていたと報告されている。SF.net側は「18か月以上プロジェクトが放置されていたのでミラーに切り替えた」としているが、GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。 こちらのツイートにあるように以前はGIMP側の人が管理者になっていたGIMP for Winのページが、sf-editor1というアカウントの管理下になっていることが分かる。アドウェア配布の前にそもそも管理
脆弱性「VENOM」をセキュリティ企業が新たに報告--広範な仮想プラットフォームに影響
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Heartbleed」が世界を震撼させて1年が経とうとする今、新たな脆弱性「VENOM」が再び世界を揺るがそうとしている。 セキュリティ企業CrowdStrikeが極めて危険性の高いゼロデイ脆弱性を新たに発見した。「VENOM(Virtualized Environment Neglected Operations Manipulationの略)」と名付けられたこの脆弱性を悪用されると、仮想マシンを運用するデータセンター全体の制御を内部から奪われる恐れがある。 VENOMは仮想フロッピーディスクコントローラという、仮想化ソフトウェア内のレガシーコンポーネントに発見された。これはレガシーコンポーネントではあるが、一部の広く普及している最
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クラウド型Web脆弱性診断ツール「VAddy」
