セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事
IT Search+では、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」を2016年より開催している。 第88回IT Search+スペシャルセミナーでは、今年3月に開催した「第3回 情報セキュリティ事故対応アワード」で優秀賞を受賞したぴあの取締役社長室長 兼 広報室長 小林覚氏とCISO室長 兼 システム局専任局次長 川上誠氏が登壇。事故発生当時の対応を振り返りながら、EGセキュアソリューションズ代表 徳丸浩氏、NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏、インターネットイニシアティブセキュリティ情報統括室 シニアエンジニア 根岸征史氏、ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiy
JWT認証、便利やん? - ブログ
どうして JWT をセッションに使っちゃうわけ? - co3k.org に対して思うことを書く。 (ステートレスな) JWT をセッションに使うことは、セッション ID を用いる伝統的なセッション機構に比べて、あらゆるセキュリティ上のリスクを負うことになります。 と大口叩いておいて、それに続く理由がほとんどお粗末な運用によるものなのはどうなのか。最後に、 でもそこまでしてステートレスに JWT を使わなくてはいけないか? とまで行っていますが、JWT認証のメリットはその実装のシンプルさとステートレスなことにあります。現実的には実際はDB参照とか必要になったりするんですが、ほとんど改ざん検証だけで済むのは魅力的です。トレードオフでリアルタイムでユーザー無効化ができないことくらいですかね。ライブラリなんて使う必要ないほどシンプルだし、トレードオフさえ許容できればむしろ、なぜこれ以上に複雑な認証
どうして JWT をセッションに使っちゃうわけ? - co3k.org
備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ
徳丸先生が『安全なWebアプリケーションの作り方』第二版を語る会 - Qiita
安全な Web アプリケーションの作り方 ブログ枠で入り込みました。 2018年9月10日(月)19:00~20:30 @ EGセキュアソリューションズ株式会社 Connpass から引用: 弊社代表 徳丸の著書であり、ウェブエンジニアのみなさまのバイブルとして親しんでいただいております『安全なWebアプリケーションの作り方』。6月21日に待望の第2版が発売されました。 今回の勉強会では少しカジュアルに、『安全なWebアプリケーションの作り方』第2版執筆にあたっての想いや、初版との違い、お勧めの読み方等を著者徳丸自らがお伝えします。 さらに、第2版で新規に追加された以下の脆弱性のデモもご覧いただきます。 表紙 初版の表紙と第二版の表紙で微妙に向きが変わっている、特に意味はないけど。逆向きの矢印も検討したんだけど、座りが悪った。 初版(amazon) 第二版(amazon) 第二版で改訂しま
Burp Suite Japan LT Carnivalイベントレポート
Burp Suite Japan LT Carnivalイベントレポート 2018.07.13 プロフェッショナルサービス事業部 洲崎 俊 皆さんこんにちは、私は、MBSDに所属する『とある診断員』の洲崎と申します!今回は、7/5に開催されたBurp Suite Japan LT Carnivalというイベントの内容を弊社ブログにてレポートいたします。 Burp Suiteというツールを知っていますか? 皆さんはBurp Suiteというツールをご存知でしょうか?Burp SuiteとはPortSwigger社が開発している脆弱性診断ツールであり、「ローカルプロキシ」と呼ばれる機能を持ったソフトウェアの一つです。 ローカルプロキシとはその名の通りクライアントのLocal環境で動作するプロキシのことで、このソフトウェアを利用することで、HTTPプロトコルの通信内容の詳細を確認したり、通信内容
LPIC取り扱い停止に関するお知らせ | LPIC | LPI-Japan
LPIC取り扱い停止に関するお知らせ LPI-Japanでは長期にわたりLinux技術者認定試験として「LPIC」の普及活動を行ってまいりましたが、下記の理由からその取り扱いを基本的には停止することといたしました。 今後のLinux技術者認定試験においては、2018年3月から提供をしておりますLinuC(リナック)をご利用いただけますよう、よろしくお願いいたします。 取り扱い停止の理由 1. LPICの試験問題は、インターネットで検索し第三者のサイトから購入ができてしまう状況になってしまいました。このような状況はLinux技術者認定資格としてのLPICの公正性・信頼性が毀損されている状態であると言え、この状況を解決するためにLPI-JapanはLPICの開発元であるLPI Inc.(本拠地:カナダ)に対して早急な試験問題の差し替えを含む改善依頼をしてまいりました。 しかしながらLPI-Ja
「世界最悪のログイン処理コード」を解説してみた
概要 ところでこのツイートを見てほしい。このソースコードをどう思う? 世界最悪のログイン処理コード。 実際のサービスで可動していたものだとか……https://t.co/C2bG93ZCkj pic.twitter.com/EfVNAEslrn — はっしー@海外プログラマ🇳🇿元社畜 (@hassy_nz) 2018年8月10日 すごく……セキュリティーホールです…… 一応は動いていますが、あまりに問題がありすぎるため、Twitterでも話題になっていました。 問題点は片手に入り切らないぐらいある気がしますが、一つづつ解説していきます。 ※元記事のタイトルに記載されていますが、このコードはイントラネット内で動作していたものです。 問題点リスト 1. クライアント上のJavaScriptで書かれている 他の問題点を全部ぶっ飛ばすぐらいの重大な不具合です。 クライアントと言うのはこの場合、
総務省からの要請の受領について | お知らせ・報道発表 | 企業情報 | NTT東日本
本日、総務省から「東日本電信電話株式会社の光回線サービスの卸売の提供の業務の運営の在り方に関する要請について」を受領致しました。当社は要請された事項に適切に取り組んでまいります。 〔要請の背景〕 当社がお預かりしたお客様情報を、本来の目的ではない当社サービスのご案内に誤って用いてしまったことが判明しました。 当該お客様の情報は既に回収し、適正に処分していることから、お客様情報の流出や再利用されるおそれはなく、同様の誤りにより当社サービスをご案内することはありません。 報道発表資料に記載している情報は、発表日時点のものです。 現時点では、発表日時点での情報と異なる場合がありますので、あらかじめご了承いただくとともに、ご注意をお願いいたします。
【セキュリティ ニュース】総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答(1ページ目 / 全2ページ):Security NEXT
総務省は、インターネット機器のスキャンシステムを独自に構築し、同システムを通じて一般利用者向けIoT機器におけるポートの開放状況などについて調査を実施した。 ICT-ISACと横浜国立大学などが協力し、家庭用ルータや防犯カメラなど一般家庭用機器などの脆弱性が含まれる機器を発見することを目的に、オープンソースをベースに機能追加などを図った独自のネットワークスキャンシステムを構築。2017年9月から2018年3月にかけて調査を実施した。 調査対象は、日本国内のグローバルIPアドレス約1億5000万件。TCPにおける約500ポートに対し、ポートスキャンやバナースキャン、Pingによる応答状況など、稼働するサービスの状況を調べた。 ポートスキャンを実施したところ、ウェブサービスで利用される「TCP 80番ポート」や「同443番ポート」をはじめ、SMTPで利用する「同25番ポート」、telnetの「
【セキュリティ ニュース】パスワードリスト攻撃の事前スクリーニング、大胆なその手口(1ページ目 / 全8ページ):Security NEXT
ログインを試行するIDを既存の登録IDのみに絞り込む「スクリーニング」を事前に行ったパスワードリスト攻撃。その大胆かつ周到な手口がその後の取材で明らかになってきた。 パスワードリスト攻撃を受けたのは、通信販売大手の「セシールオンラインショップ」。6月2日10時過ぎから同日18時ごろにかけて、パスワードの使い回しを行っているユーザーを狙ったログインの試行1938件が確認された。 同社では、攻撃開始から3分後には攻撃を自動で検知。アクセスを遮断したが、攻撃者は201件におよぶIPアドレスを使用。執拗に攻撃を繰り返した。 なかでも今回の攻撃が巧妙だったのは、ログインの試行を同社サービスへ登録された「既存のID」のみに絞り込んでいたことだ。一時は情報流出も懸念されたが、その後の調査で同サイトの新規登録機能を悪用し、事前に「スクリーニング」が行われていたことが判明した。
ブラウザのしくみ: 最新ウェブブラウザの内部構造 - HTML5 Rocks
How browsers work Stay organized with collections Save and categorize content based on your preferences. Preface This comprehensive primer on the internal operations of WebKit and Gecko is the result of much research done by Israeli developer Tali Garsiel. Over a few years, she reviewed all the published data about browser internals and spent a lot of time reading web browser source code. She wrot
自動車がネットにつながる「コネクテッドカー」の時代に必要なセキュリティの考え方
あらゆる分野にデジタル技術の影響が及ぶ「デジタルトランスフォーメーション」の時代において、その先陣を切っている業界の1つが「自動車」だ。ソフトウェアによる情報処理で利便性や安全性能を高めた「スマートカー」、インターネットと接続しデータをやりとりしながら各種の制御を行う「コネクテッドカー」などは、その最新の成果として期待されている。 そうした進化が進む一方、懸念されているのが「セキュリティリスクの増大」だ。新しいカーシステムが次々と生まれて進化する中で、どのようなリスクが生じる可能性があるのか。また、そのリスクを突こうとするサーバ攻撃を、どう防げばいいのだろうか。日本マイクロソフトが開催した技術イベント「de:code 2018」では、それをテーマにセッションが行われた。 「セキュリティマニアックス ~みんなで守ろうコネクテッドカー~」と題されたセッションに登壇したのは、カーシステムのセキュ
ルーター・NAS経由でトラフィックを傍受したり中間者攻撃を仕掛けるマルウェア「VPNFilter」の被害が拡大中
ルーターやネットワークアタッチトストレージ(NAS)をターゲットとする新しいマルウェア「VPNFilter」の存在が、セキュリティ企業のシマンテックにより報告されています。シマンテックのセキュリティ研究者によると、VPNFilterは感染したデバイス経由でネットワークトラフィックを監視したり、中間者攻撃を仕掛けたり、悪質なコードを挿入したりすることが可能です。 VPNFilter: New Router Malware with Destructive Capabilities | Symantec Blogs https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware Cisco's Talos Intelligence Group Blog: VPNFilter Update - VPNFilter
『“やり切る”にはどうすべきか?』
司法試験:勝利のアルゴリズム 現在、フリーの司法試験系講師(主にBEXAとTACにて講義・教材等を提供中)になった中村充が、受験生時代(2005.11.9まで)から続けているブログです。 司法試験・予備試験・法科大学院入試対策の方法論を中心に書いています。 昨日の記事のつづきです。 タイムリーに、ななしさんから下記のコメントをいただきました。 「司法試験でもサッカーでもやりきることってできないと思います。 やりきったと思うことはできるかもしれないですけどね。サッカーでも練習は無限にあるし、司法試験でも教材ややり方は無限にあって色んな人が異なることをいいます。 でもサッカー日本代表とは違って司法試験受験生は個人の戦いだから意思決定は早そうですね」 …全くおっしゃるとおりで、司法試験でもサッカーでも、やった方がいいことは無数にありますから、その全てを客観的にやり切ることは、事実上不可能です。
『“やり切る”ことの重要性』
司法試験:勝利のアルゴリズム 現在、フリーの司法試験系講師(主にBEXAとTACにて講義・教材等を提供中)になった中村充が、受験生時代(2005.11.9まで)から続けているブログです。 司法試験・予備試験・法科大学院入試対策の方法論を中心に書いています。 このテーマについては、非常に残念ながら…サッカー日本代表がすごく分かりやすい反面教師なので! これを使わせてもらいます。 ハリルホジッチ監督の解任の際、「ハリルサッカーをやり切るべきだった…解任しちゃうと、ここ数年のハリルサッカーの反省・分析ができず、次につながらない」といった言説が結構見られた。 まあ、この点については私も、そうだろうと思う。 で、現状のサッカー日本代表は、前回のブラジルW杯以来、代表選手(の一部)が求める「自分たちのサッカー」に回帰しているとの評価が一般的だろう。 ただ、そうだとすると、私は代表選手たちをそんなに責め
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
【問題提起】篠原嘉一氏に情報教育の講演を依頼する前に考えていただきたいこと ~ITエンジニアから見た、情報教育のあり方について~ - give IT a try
要約(僕の主張) 篠原嘉一氏の講演内容には、IT関連の知識がない人にはわかりづらいウソや間違い、極論が多く含まれているため、適切な情報教育だとは言いがたい。よって改善を強く希望する。 学校側は「生徒をネットのトラブルから守りたい」という思いが優先されるため、ITエンジニアよりも「情報の正しさ」がないがしろにされてしまうのかもしれない。だが、ITエンジニアとして、そして保護者として、学校は子どもたちに正しい情報を伝える努力をしてほしい。 我々ITエンジニアも情報教育を学校に丸投げするのではなく、正しい知識を伝えるために、主体的に情報教育に協力していく必要がある。 はじめに Image: http://www.mrf-ip.com/blog/0067/ 先日、息子が通っている中学校で開催された情報教育講演会に参加してきました。 これは中学校の全生徒と、任意参加の保護者で、情報教育(主にSNSや
IoTの発達がまねいた史上最悪のDDoS攻撃
私たちのビジネスは、さまざまな脅威にさらされている。古くから多様な攻撃手法が登場し、そのたびにIT担当者を悩ませてきた。昨今のITの進化はサイバー攻撃すらも高度化させ、いっそう重篤な問題として企業を脅かしている。アーバーネットワークスの名誉アドバイザーを務めるサイバーディフェンス研究所の名和利男 上級分析官が、最先端の「IoT」と「DDoS攻撃」の関係に着目し、アーバーネットワークスの最新の調査データ「ワールドワイド・インフラストラクチャー・セキュリティ・レポート 第13版」を基に「今」を解き明かす。 みんなが取り組むIoT、みんなに狙われるIoT 現在、最も注目度の高い企業ITといえば「IoT」の分野であろう。製造業では、機械設備にセンサーを取り付け、さまざまなデータを集めて稼働状況を見える化して生産の効率化を図ることは、もはや常識となっている。建築業界でも、工作機械や製造装置などをモニ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDDD本から理解するドメイン駆動設計一覧
徳丸浩のWebセキュリティ事件簿
