「闇グーグル」は賢く使え NHKニュース
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
パスワード認証を脆弱にする10の方法とアンチパターン
いかにしてパスワード認証を脆弱にするか。プログラミング黎明期からずっとデベロッパーの頭を悩ませ続ける問題です。 ここでは脆弱なパスワード認証を実現するための方法を紹介します。 パスワード自動入力の禁止 不届きなブラウザがパスワードを記憶してしまうことがあります。 パスワードは間違いの無いように、ひともじひともじ、人間が入力するべきです。 <input name="pw" type="password" autocomplete="off" /> とするのは常識ですね。ブラウザのパスワード管理機能より、脳内の文字列の方がずっと安心です。 フォームを動的生成、AjaxでPOST cursor: textスタイルで偽input などで、ブラウザのパスワード保存をスキップする方法もあります。 パスワード貼り付けの禁止 貼り付けも自動入力と同罪です。onpaste属性を利用して <input nam
無償かつ高機能な「ModSecurity」をもっと活用しよう!
無償かつ高機能な「ModSecurity」をもっと活用しよう!:OWASP AppSec USA 2013 レポート(後編)(1/2 ページ) 前編に続き、講演内容を中心に、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」の模様をお伝えします。 2013年11月18日から11月21日の4日間にわたり、米国ニューヨークでWebアプリケーションのセキュリティに関する国際的なカンファレンスである「OWASP AppSec USA 2013」が開催されました。前回の記事に続き、そのトレーニングや講演の模様を紹介していきます。 注目すべきModSecurityの機能とは 筆者らが受講した2つ目のトレーニングは、「Web Application Defender’s Cookbook: LIVE」です。このコースはModSecurityを
トレンドマイクロ社より連続誤検知問題の根本原因だったウイルスバスター不具合の修正が完了した旨連絡がありました - INASOFT 管理人のふたこと
本文書は、Web上等で公開することを、トレンドマイクロ社にご了解いただいているものですが、公開にあたり、公印部分・文書番号部分・上席執行役員のお名前については公開しないようトレンドマイクロ社より要望がございましたので、マスクしております(一部メディアの記事には載っていることがあるようですが、少なくとも私に対してはそのように要望がありましたので、マスクをしております)。これにより、本文書の信憑性が薄れることはないと考えますが、万が一お疑いがある場合は、トレンドマイクロ社へ直接、お問い合わせ下さいますよう、お願いします。 ■補足事項 なお、トレンドマイクロ社のサポートサイトにおいても、同様の内容の発表がされていると、担当者より聞いております。 ■ご注意事項 上にも書いたとおり、私はトレンドマイクロ社の広報担当ではありませんし、多くのユーザーの代理人でもありませんので、トレンドマイクロ社への質問
AWSの認証キーを奪われて仮想通貨を採掘される攻撃が発覚
クラウド環境を悪用した仮想通貨の採掘が密かに行われているようです。今回発覚したのはLuke Chadwick氏のAWSのキーがGitHub上にアップされているのを発見した何者かが、20台ものcc2.8xlargeインスタンスを起動させてBitCoinプロトコルを使った仮想通貨であるlitecoinの採掘を行ったとの事です。 AWSからの警告で気がつき、インスタンスを停止するまでの数日間で利用料金は3000ドルを越えたとの事です。 Litecoinは、世界中の誰に対してもすぐに支払えるP2Pの仮想通貨です。Bitcoinプロトコルに基づいていますが、一般のハードウェアを用いて効率的にデータマイニングできるという点でBitcoinと異なります。Litecoinは素早い取引認証(平均2分半)を実現し、多くの人が所有している一般コンピュータとGPUをターゲットにするメモリーハード、scryptベー
fail2banでサービスを死守せよ:ニフティクラウド活用Tips:オルタナティブ・ブログ
こんにちは、ちなつです。 さて今回は、株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発しているライター・石田健亮氏の記事をご紹介します。 (*本記事の最後に石田氏のプロフィールを掲載しています) ********************************************************************* こんにちは。株式会社ドリーム・アーツの石田です。 ニフティクラウドなどのパブリッククラウドを利用するときにとにかく不安なのはセキュリティですね。 最近、ニフティクラウドではファイヤウォール機能が追加されたり、PFUからはVPN接続でニフティクラウドのサーバーにアクセスできるサービスが提供されたりと、自社でサーバーを構築する場合は当たり前だったセキュリティレベルがようやくパブリッククラウドでも実現できるようになりました。 企業内で利用
AWSでブラックリスト型のFirewallを実装する。〜BlackList Firewallパターン〜 - プログラマでありたい
CDP Advent Calendar 2013 の13日目です。クラウドデザインパターンというよりNetworkACLの機能そのままなのですが、AWSでBlackList型のFirewallを実現する方法についての情報が少ないので書いてみました。名前を付けるとしたら、そのまま「BlackList Firewallパターン」です。 1 解決したい課題 AWSのセキュリティグループによるアクセス制御は、ホワイトリスト方式のFirewallである。しかし、特定IPからの攻撃を検知した場合は、そのIPアドレスからの通信をブラックリスト方式によるFirewall機能で遮断したい。残念ながらセキュリティグループでは、特定IPからのアクセスは出来ない。 2 クラウドでの解決/パターンの説明 VPCのネットワークACLを利用すれば、ブラックリスト方式のFirewallを実装出来る。そこで、インターネット
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
ApacheのVirtualHostによる高集積Webホスティングでsymlink問題を根本解決する方法について考えた
人間とウェブの未来(旧) 「ウェブの歴史は人類の歴史の繰り返し」という観点から色々勉強しています。2014年までの人間とウェブの未来の旧ブログです。 最近、各所でApacheのVirtualHostを利用した高集積ホスティングのセキュリティに関するインシデントが起きています。僕自身、自分の専門の一つがWebサーバのセキュリティなので、他人事には思えず、毎日各所の経過情報を眺めています。また、数社からApacheのセキュリティに関してもいくつか質問を受けたりしており、公に話せるような内容はこのブログでも公開していきたいと思います。 ということで、ApacheのVirtualHostによる高集積Webホスティングにおけるsymlink問題を根本解決するにはどうしたら良いのかを考えました。まずは、静的コンテンツも動的コンテンツのようにファイルのユーザ権限で処理する方法から紹介します。その後、ホス
Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
研究所から流出した可能性のある過去の情報について | 理化学研究所
一部のインターネット掲示板に研究所から流出したと思われる情報が発見されましたので報告いたします。本来、所外に出るべきではない情報が外部に流出してしまったことについてお詫び申し上げます。 流出した情報 1998年頃に管理されていた特定のサーバーへの職員のアカウント名(1563件分) 当該サーバーのパスワードに関連する暗号化された情報 当該サーバーに格納されていたと思われる一部のデータ 流出の原因は不明ですが、当該情報は、1998年頃発生した不正アクセス時に漏洩したものである可能性が高いと考えております。また今回当該掲示板に流出した情報には、研究上の機密事項は含まれておりません。 1998年の不正アクセスは、一部アカウントが不正使用されたことが発端と見られております。当時、不正アクセス発覚後、直ちに全職員のパスワードの再発行等を行っており、また現在では当該サーバーは廃止されています。 再発防止
IPAが“出口対策ガイドライン”の続編を公表、標的型攻撃に絞って詳細に
IPA(情報処理推進機構)は2013年8月29日、「『標的型メール攻撃』対策に向けたシステム設計ガイド」を公開した(IPAの文書配布ページ)。標的型メール攻撃について、攻撃の全体像や特徴、システム設計による対策手法をまとめている。2011年に公開された「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」の続編となる。 2011年のガイドラインでは、仮にマルウエアに侵入されても、ネットワークの出口段階で情報を持ち出されないようにする「出口対策」を打ち出した(関連特集:急増する標的型攻撃から社内の情報流出を防げ)。今回の新ガイドラインでも方針は変わらない。マルウエアの感染を防ぐことより、攻撃を無効化することに重点を置いている。対象とするサイバー攻撃を標的型メール攻撃に絞ることで、攻撃の分析や対策手法の解説を詳細にしているのが前回との違いだ。 さらに前回のガイドラインにはなかった対策の解説も
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
某レンタルサーバでの大規模改ざんで起こっていた(と推測される)状態の整理。 | 技術系メモ
2013/08/31 01:36 初版 2013/08/31 10:00 参考リンク追加 2013/08/31 18:45 体裁変更と「周辺情報とこれらからの推測」へ追記 注意喚起追記 2013/09/02 11:55 徳丸さんの解説記事へのリンクを追加 2013/09/03 12:30 さとうふみやすさんの解説記事へのリンクを追加 注意喚起追記 お願い追記 2013/09/09 22:15 公式リリース[2013/09/09 20:42 追記]について 追記 2013/09/09 22:30 某グループ代表の投稿について参考リンクに追記 http://lolipop.jp/info/news/4151/ http://lolipop.jp/info/news/4149/ [追記 2013.09.09. 22:15]← こちらに[2013/09/09 20:42 追記]として事象説明が出ま
田中邦裕@さくらインターネット社長🐈⬛🐕 on Twitter: "共用サーバの他人の覗きたいディレクトリにln -sして、htaccessのOptionsで+FollowSymLinksし、Apache経由でブラウザからアクセスすると、他人のファイルが見れてしまいます。そしてMySQLにアクセスすれば…というものです。詳しくは書きません。"
共用サーバの他人の覗きたいディレクトリにln -sして、htaccessのOptionsで+FollowSymLinksし、Apache経由でブラウザからアクセスすると、他人のファイルが見れてしまいます。そしてMySQLにアクセスすれば…というものです。詳しくは書きません。
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜(METI/経済産業省)
トップページ > 報道発表 > 過去の報道発表 > クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜 本件の概要 経済産業省では、クラウドサービスを安全に安心して利用するために「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(以下、ガイドライン)」を策定しました。 本ガイドラインは、クラウド利用者が、クラウドサービス利用の際に、情報セキュリティ対策の観点から活用することを企図して策定しています。本ガイドラインを利用することで、より一層のクラウドサービスの利用促進を目指します。 担当 商務情報政策局 情報セキュリティ政策室 公表日 平成23年4月1日(金) 発表資料名 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表〜クラウドサービスの安全・安心な利用に向けて〜(PDF形
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2013年6月5日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2013年6月5日公開) 株式会社日本レジストリサービス(JPRS) 初版作成 2013/06/05(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 該当するBIND 9.xを利用しているユーザーは関連情報の収集、緊急パッチの 適用など、適切
エクスコムの情報流出はシステム設計というより業務設計がだめな件 - aike’s blog
そんなわけでクレジットカード再発行しました。そうです流出です。今年の3月にアメリカ行ったときに海外旅行者向けWiFiルーターレンタル業者を探してたらエクスコムが安かったので申し込みました。まさかこんなことになろうとは、という感じでくやしかったのでブログのネタにしてみました。 申し込みから返却まで経緯はこんな感じでした。 ■3月5日 申し込み エクスコムのウェブフォームから住所氏名とともにクレジットカード情報を入力して申し込んだら、こんな確認メールが返ってきました。一部省略、伏字にしています。 Subject: レンタルお申し込みありがとうございます Date: 5 Mar 2013 10:46:21 +0900 From: エクスコムグローバル株式会社 この度は、お申込みいただき、誠にありがとうございます。 ご利用に際しては、以下の注意事項をご確認ください。 (略) ━━━━━━━━━━━
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
まとめよう、あつまろう - Togetter
