サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
アメリカ大統領選
www.mbsd.jp
本ポータルはAIの開発者や利用者の皆様に対し、AIに対する攻撃手法と防御手法を発信することを目的としており、AIの開発時・利用時に認識しておくべきセキュリティのポイントを体系的に纏めていきます。なお、本ポータルは、総務省様の「5G端末等におけるセキュリティ確保のための技術課題の整理と情報発信」の一環として運用されています。 近年、ディープラーニングをはじめとする様々な機械学習を活用したAI*1の発展に伴い、日本国内においても顔認証システムや防犯システム、自動運転技術など、様々な分野でAIの社会実装が進んでいます。 その一方で、AIに対する攻撃手法も数多く生まれており、「AIを防御する技術」の確立が急務となっています。 しかし、AIに対する攻撃手法は既存システムに対する攻撃手法とは根本的に原理が異なるものが多く、従来のセキュリティ技術のみで対策することは非常に困難です。 そこで本ポータルでは
本ブログは「生成AIセキュリティ」シリーズの第4弾です。 これまで、画像生成AIのSafety FilterをBypassして不適切な画像を作成させる手法や、文章生成AIから機微情報を窃取する手法などを対策と共に解説してきました。 今回は、OpenAIが昨年公開したサービス「カスタムGPTs」にまつわるセキュリティ・リスクを取り上げます。カスタムGPTs(以下、GPTs)は、ChatGPT Plusのユーザが任意にGPTをカスタマイズし、特定の目的に特化したGPTを作成・公開することができるサービスです。このサービスは非常に有用ですが、GPTsを攻撃者が悪用することで、他ユーザを攻撃できることが海外の研究者らによって報告されています[1]。 そこで本ブログでは、「カスタムGPTsを悪用した攻撃と対策について」と題し、GPTsを悪用した攻撃手法と対策について解説します。本ブログが、GPTsの
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
本ブログは「生成AI x セキュリティ」シリーズの第二弾です。 前回は「DALL-E 2などの画像生成AIに対する敵対的攻撃」と題し、OpenAIのDALL-E 2やStability AIのStable Diffusionに実装されているSafety Filterをbypassして、悪意のある画像を生成する手法と対策を解説しました。 今回は「ChatGPTなど生成AIによる個人情報の開示」と題し、ChatGPTなどの生成AIを介して個人情報が開示されるリスクについて解説します。 昨今大きな話題となっているChatGPTは、12年間にわたる大量のWebクロールデータや英語版Wikipediaなどペタバイト級の情報に加え、ChatGPTユーザーが入力した文章(プロンプト)も学習していると言われています。このため、過去に誤って公開された機微情報を含むWebページや、ユーザーが誤入力した社外秘や
三井物産セキュアディレクション株式会社(本社:東京都中央区、代表取締役社長:鈴木大山、以下 MBSD) は、Webセキュリティに関する腕試しサイト「MBSD Secu-cise (セキュサイズ)」を2023年4月24日より無償で一般公開しました。 Webアプリケーションを開発した経験のない初心者の方や、腕に自信がある方、セキュリティに興味のある方など、自身のWebセキュリティに関する技術力を確かめるために無償で利用することができます。腕試し結果はスコアで表示され、他の参加者のスコアと比較することができます。 ■MBSD Secu-ciseの概要 MBSD Secu-ciseはクラウド上に構築された環境となっており、インターネット経由で誰でも参加することが可能です。課題は全7問あり、課題の内容はWebアプリケーション診断の実案件で発生した事象を題材にしています。 ■開発者の想い この度公開さ
主にWebアプリケーションスキャナを開発している寺田です。 本日はJavaのWebアプリケーションにおけるセッションのレースコンディションについて書きます。StrutsやSpringのセッションスコープのフォームを使用しているアプリケーションに影響しうる問題ですので、該当する方は参照ください。 要約 Java Servletのセッションは、同じセッションIDのリクエストを複数同時に処理する際にレースコンディション問題を起こしうる仕組みになっている。 Struts1/2, Springのセッションスコープのフォームを使っていると、レースコンディションによりフレームワークやアプリケーションによるチェックをバイパスされるおそれがある。 Synchronizedブロックによるロック等の回避策がある。 Java Servletのセッションが持つ特性 Java Servletのセッションは、他の処理系
【2024年8月号 (2024年7月分)】 暴露型ランサムウェア攻撃統計 CIGマンスリーレポート 弊社(MBSD) の Cyber Intelligence Group(以下、CIG)のチームが日々集計している暴露型ランサムウェア攻撃の統計情報をマンスリーレポートとして毎月掲載していく。 本ページで公開するマンスリーレポートは、以前から継続し、同じ集計基準や分析観点で、MBSD社内限定の資料として長期にわたり毎月まとめ続けてきたものであり、より広い皆様に有効活用して頂きたく、この度あらためて一般公開に踏み切ったものとなる。2重脅迫を行う暴露型ランサムウェアを中心とした脅威動向の各種把握に是非活用してほしい。 ※事前の留意点として、ランサムウェア攻撃の集計を一般公開している海外などの一部インテリジェンスベンダーにおいては、被害組織に関する情報(URLや被害組織名の表記など)がリークサイト上
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
最近はMBSDでWebアプリケーションスキャナの開発をしている寺田です。 Webアプリケーションを開発していると、セキュリティの観点でURLをチェックしなければならないことがしばしばあります。本日の記事では、そのようなURLのチェックを如何に行うか、正規表現を使う場合の注意点や、バイパス方法などについて書きたいと思います。 本記事で想定するのは、ブラウザからパラメータとして来るURLをチェックしてリダイレクトやリンクのURL等として使ったり、ブラウザから来たOriginヘッダ等のURLをチェックしてアクセス制御をするケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… よく使われてそうなチェック用の正規表現と、そのバイパスは以下のとおりです。 正規表現: ^https://.+\.example\.
本図は世界で確認されてきた主なランサムウェア攻撃グループ(※1)のうち、「リブランド」を軸とした複合的視点による組織間の繋がりを図示したものである(※2)。 本Rev.2は、2022年5月に公開し好評を頂いたRev. 1から、日々移り変わる様々な観点の関連情報を多数追加し大きくアップデートした更新版となる。現在までに確認されてきたランサムウェア攻撃グループに関するあらゆる繋がりを可能な限り盛り込んだ。 本図から、ランサムウェア攻撃グループの多くがお互いに何からの関連性を持ち活動している背景が浮かび上がる。CONTIやBABUKをはじめソースコードの流出やグループの解散/テイクダウンなどの影響が他の新種出現へ顕著に繋がる流れが見て取れる。一方、NIGHT SKYなどのように、周辺グループとの繋がりから特定国に帰属する攻撃者像が浮き上がってくるケースもある。全体を通して見え隠れするアフィリエイ
最近、Stable DiffusionやDALL-E 2といった画像生成AIが好評を博しています。 これらのAIは、ユーザーが文章や単語でキーワードを指定することで、それに応じた画像を高精度で自動生成することができます。 以下の画像は、DALL-E 2に「A samurai riding a horse in a photorealistic style.」という文章を与えて生成した画像です。 入力した文章のとおり、「馬に乗った侍がリアルな描写」で描かれています(この画像は、文章の入力から数秒足らずで生成されました)。 このような画像生成AIは、絵画や写真、アニメの生成などの芸術・娯楽用途での利用が見込まれる一方で、人々を不快にする画像(暴力、ハラスメントなど)や欺瞞、プロパガンダ、公人の評判を貶めるなどの有害画像を悪意を持って生成されるリスクをはらんでいます。 そこでStable Dif
本記事については先日開催されたMBSD勉強会にて発表した「Abuse of Data Transfer between Cloud Accounts」の内容に関する記事です。 勉強会登壇時のスライド 概要 クラウドプラットフォームでは提供しているサービスごとに異なるアカウント間にてデータの共有や転送を行う機能が存在します。今回の記事ではそれらの機能を悪用して攻撃を行う手法について、検証や考察の結果をまとめています。記事中でもいくつか紹介していますが、このような攻撃手法を題材としたブログやツールなどが公開されており、今回はそれらの内容を参考にしつつ、自分で手を動かしてみた結果を記載しています。また、いくつかの手法については筆者が携わるペネトレーションテスにおける評価でも利用できるものであると考えています。 なお、本記事にて考察している攻撃手法については、クラウド環境下でのいわゆるPost-E
先日(2022年8月)、Gitコード管理ツールであるBitbucketのコマンド実行脆弱性(CVE-2022-36804)が修正されました。 開発ベンダからは以下のアドバイザリが公開されています。 https://ja.confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html その後、脆弱性の発見者であるMaxwell Garrett氏が、脆弱性の詳細や発見の経緯などを書いた記事を公開しています。 https://blog.assetnote.io/2022/09/14/rce-in-bitbucket-server/ 脆弱性の内容については氏の記事でほぼ網羅されていますが、今回のブログでは、あらためて脆弱性の概要と、氏の記事では
はじめに はじめまして。昨年春に入社した新人診断員です。 突然ですが、皆さんはWebアプリケーションのフレームワークは何がお好きですか? 私はここ4-5年ほどRuby on Railsを好んで使っています。最近は他のフレームワークも気になっているのですが、慣れていることもあって使い続けています。 Webアプリケーションのフレームワークを使うメリットとしては、エンジニアが意識しなくてもある程度の脆弱性対策を行うことができる点が挙げられます。独自実装するよりも既存のきちんと作られたフレームワークを使った方が、セキュリティ面で優れていることが多いです。 しかし、フレームワークを用いているからといって100%安全とは限りません。フレームワークそのものに脆弱性が発見されるケースがあります。 フレームワークに存在した脆弱性 2019年の3月にRuby on RailsでCVE-2019-5418が発見
本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。 Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。 なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
はじめに はじめまして。MBSDでWeb診断をしている荒牧です。突然ですが、みなさんはCDやゲームソフトなどのケースを開けた時、別のCDやゲームソフトが入っている問題に遭遇したことはあるでしょうか。最近は音楽もゲームもダウンロードが主流でめっきりなくなりましたよね。実はWebの脆弱性にも似たような問題が存在します。そんなわけで、本ブログ記事では、目的のWebサイトのURLを開くと別のWebサイトに遷移してしまう脆弱性、オープンリダイレクトの概要と原因、その対策について説明します。またオープンリダイレクトが深刻度の高い脆弱性に繋がるケースも併せて紹介させていただきます。 ※ちなみに筆者が報告したオープンリダイレクトの脆弱性が昨年末に公開されています(https://jvn.jp/jp/JVN79798166/) オープンリダイレクトとは オープンリダイレクトとは、Webアプリケーション内の他
見てのとおり、一部のDBのバージョン文字列はかなり長いです。 一度に文字列全体が取得できる状況では長い文字列でも問題はありませんが、応答の内容/時間をもとにバイナリサーチにより1bitずつ特定していく場合、長い文字列の取得にはそれなりの時間がかかります。 さらに、バイナリサーチではなく、LIKE演算子で1文字(または1単語)ずつ特定していく場合には、もっと長い時間がかかります。次の例ではPostgreSの後の1文字を特定しようとしていますが、正解を探すには考えられるすべての文字を試すことになります。 ... CASE WHEN version() LIKE 'PostgreSa%' THEN ... ELSE ... END ... ... CASE WHEN version() LIKE 'PostgreSb%' THEN ... ELSE ... END ... ... CASE WH
はじめに 2021年12月9日に、任意のコード実行ができるApache Log4jの脆弱性(Log4Shell:CVE-2021-44228)が公開されました。 この脆弱性は、非常に影響度が高く、HeartBleedやShellShockに並ぶとも言われました。また、脆弱性の公開から攻撃開始までが非常に早く、しかも、修正版にも何度も脆弱性が公開され、対応に多くの負担がかかるものでした。組織/システムによって、何も影響がなかったところ、対応が落ち着いたところ、まだまだ対応中のところ等あるかと思いますが、今一度セキュリティ対策について見直す機会になったかと思います。 そこで、次回以降、大きな脆弱性が公開された際にスムーズに対応できるようにするために、また、被害を最小限に抑えるために、今回のLog4Shellを例にして、いくつかの観点から対策案をご紹介します。 FWでのアウトバウンド制限 Log
MBSD-SOCでは様々な分析結果を元に、みなさまの役に立つ情報を配信していきたいと考えています。 今回はMBSD-SOCで観測したアラート(※)において、HTTP(S)のリクエスト時に使用されるHostヘッダに着目しアラートの傾向を分析してみました。 この考察から、セキュリティ対策として一定の効果があると想定される対応や、クラウドWAFを使用する際の注意点について解説していきます。 (※MBSD-SOCが攻撃または正規でないと判断したリクエスト。SOCで把握しているセキュリティ診断によるリクエストを除く。) FQDNとIPアドレス直接指定によるリクエストの違い Webサイトを利用する際、FQDNでアクセス先を指定することがほとんどかと思います。 例えば、ブラウザのURL欄にwww.example.comと入力してアクセスした場合、リクエストのHostヘッダは「Host: www.exam
すでに多くのニュースや公開記事で言及されているように、「LockBit 2.0」はリークサイトを持つ暴露型ランサムウェア攻撃グループの中で現在(2021年後半)最も活発である攻撃グループです。LockBit 2.0のリークサイト上では、いきなり窃取データが暴露されるのではなく、「被害組織名」とともに「暴露までの残り時間」をリアルタイムでカウントし被害組織に圧力をかけます。そのため、リークサイトに初めて掲載された時点においては被害組織と攻撃者間で金銭の支払いに関する交渉が行われているかもしくは交渉前の段階にあるケースが多いものと考えられます。 LockBit 2.0の開発者は自身のサイト上で、LockBit 2.0のランサムウェアが世界で最も暗号化速度が速く他のランサムウェアよりも優れていると、攻撃の実働部隊であるアフィリエイトに向け詳細にアピールしており、加えて他のランサムウェアには無い新
当社では社内CTFを2020年度から開催しており今年度も開催予定ですが、昨年度に筆者が出題した問題についてご紹介したいと思います。 ご紹介する問題は、昨年度の社内CTF開催前に実施された大和セキュリティ勉強会主催のCTFで出題したものを一部カスタマイズしたものです。ちなみに、大和セキュリティ勉強会は2012年から開催されており、「大和魂の皆様のためのワイワイ楽しく合法ハッキングしながら実践的なスキルを身につけるセキュリティ勉強会」です。大和セキュリティ勉強会主催のCTFは、とあるアニメの世界観を踏襲したものになっており、出題した問題もそのアニメの中で2つの巻物を取得することで課題をクリアできるというストーリーを参考に作成しました。出題した2つの問題のうち、最初に解くべき問題(MakimonoHeaven)について解説したいと思います。 MakimonoHeavenは、batファイル、Pow
今回は、WAF(Web Application Firewall)についてご紹介したいと思います。 WAFの解説サイトは多くありますが、WAFは、理論としては分かっていても、実際に触ってみないと具体的にどういったものなのか分かりづらい製品かと思います。弊社のWAFを検討されているお客様からも「WAFとIPSの違いがいまいち分からない」といった声をよく頂きます。 そこで、 WAFの具体的な仕組み、製品の種類/特長、チューニング、WAFの効果について、 SOCベンダーの観点も交えてご紹介します。 WAFの対象範囲 まずは一般的な説明からとなってしまいますが、Webアプリケーションを外部からの攻撃から守るためのセキュリティ製品は、主に、ファイアウォール、IPS、WAFが挙げられます。それぞれ、役割・対象範囲が異なっています。 図1.各機器の対象レイヤー/プロトコル例 ファイアウォールは、機能とし
現在、世界各国で自動運転車の開発が盛んに行われています。 自動運転車は、人間が運転操作を行わなくとも自動で走行できる自動車と定義されており、カメラやレーダー、GPSなどのセンサー類や、高精細の地図情報を配信するクラウドサービス、また、他車両と通信を行うネットワークサービスなどを組み合わせることで、自律的な走行を実現しています。また、より完全な自律走行を実現するために、道路標識や歩行者などの認識や、運転操作の意思決定をディープラーニング・モデルで行う自動運転車も開発が進んでいます。 このように、自動運転車には「繋がる」「自律走行」という、従来の自動車にはなかった新たな性質が加わっています。しかし、これと同時に、センサー類やクラウドサービス連携に対する攻撃や、ディープラーニング・モデルに対する攻撃といった、従来の自動車にはなかった新たな攻撃経路も生まれています。 そこで、本連載は「自動運転車・
日本時間2021年8月9日の19時頃、国内企業を騙った以下のファイル名を持つランサムウェアがVirusTotal上にアップロードされたことを弊社の調査により確認しました。 NTT総合システムチェックソフトウェア(Ver1.0).exe 該当ファイルは以下の図の通り、アイコン情報を持たないEXEファイルとして作成されています。 図 1 国内企業を装ったファイル名を持つランサムウェアの検体 VirusTotalへアップロードされた際のアップロード元はJPとなっており、日本国内からであると考えられます。 図 2 日本国内からアップロードされたことがわかる様子 本検体のプロパティ情報には、デジタル署名は付与されておらず、以下のようにランサムウェアであることを示す「Rasomware2.0」(nが抜けている)という文字列が含まれています。(※以下の画像の通りransomwareではなくrasomwa
東京五輪に関係するファイルを装った以下のファイル名を持つマルウェアが2021年07月20日(火) 15時頃、VirusTotalにアップロードされたことを確認しました。 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 早速ですが、本記事では該当検体の解析結果を共有します。 該当のファイルはVirusTotalにフランスからアップロードされており、ジェネリック検出が多いもののすでに複数のアンチウイルス製品によって検知されていることを確認しています。 図1 VirusTotalにアップロードされた不審なファイル 上記のファイルのプロパティには以下の通り何も情報が付与されていません。 図2 プロパティ情報 該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳細表示で見た場合は以下のように拡張子がEXEであることがわか
現在、世界各国で自動運転車の開発が盛んに行われています。 自動運転車は、人間が運転操作を行わなくとも自動で走行できる自動車と定義されており、カメラやレーダー、GPSなどのセンサー類や、高精細の地図情報を配信するクラウドサービス、また、他車両と通信を行うネットワークサービスなどを組み合わせることで、自律的な走行を実現しています。また、より完全な自立走行を実現するために、道路標識や歩行者などの認識や、運転操作の意思決定をディープラーニング・モデルで行う自動運転車も開発が進んでいます。 このように、自動運転車には「繋がる」「自律走行」という、従来の自動車にはなかった新たな性質が加わっています。しかし、これと同時に、センサー類やクラウドサービス連携に対する攻撃や、ディープラーニング・モデルに対する攻撃といった、従来の自動車にはなかった新たな攻撃経路も生まれています。 そこで、本連載は「自動運転車セ
次のページ
このページを最初にブックマークしてみませんか?
『ITリスクマネジメントのリーディングカンパニー -MBSD』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く