2018年1月26日、コインチェック社が運営する取引所Coincheckにおいて、同社が管理するXEMが外部に送金される事案が発生しました。ここでは関連情報をまとめます。 コインチェック公式発表 プレス 2018年1月27日 Coincheckサービスにおける一部機能の停止について 2018年1月28日 不正に送金された仮想通貨NEMの保有者に対する補償方針について 2018年1月28日 日本円の入金について 2018年1月29日 当社に対する金融庁の業務改善命令について 2018年1月30日 各キャンペーン一時停止のお知らせ 2018年1月30日 出金再開の予定につきまして 2018年1月31日 公式ブログメンテナンスのお知らせ 2018年2月3日 日本円出金の再開の見通しについて 2018年2月9日 日本円出金再開のお知らせ 2018年2月13日 業務改善命令に係る報告書提出のご報告
声で家電製品などが操作できる「AIスピーカー」に特殊な音で指示を送ると、周囲に気付かれることなく、第三者が勝手に操れるとする実験結果を早稲田大学の研究グループがまとめました。直ちに悪用することは難しいものの、今後、より安全性の高い製品づくりが求められるとしています。 これに対し、早稲田大学の森達哉准教授らの研究グループは、人の声を特定の方向にしか伝わらない特殊な音に変換し、AIスピーカーに指示を出す実験を行いました。 その結果、周囲にいる人には何も聞こえないのに、AIスピーカーがスケジュールを読み上げたり通販サイトで商品を検索したりするなど、指示に従って動いたということです。 こうした動作は複数のメーカーの製品で確認されたほか、AIスピーカーを勝手に操る研究は海外でも進められています。 特殊な音を出す装置を用意する必要があるため、直ちに悪用することは難しいものの、声で操作する技術はお年寄り
GitLab 10.4では、デプロイ前のDockerイメージに対して静的セキュリティ解析を行うツールや、動的にセキュリティ解析を行うツール、そしてWebブラウザから利用できる統合開発ツールなどが搭載された。 主な新機能として、アプリケーションをDockerコンテナとしてパッケージしたあとで静的セキュリティ解析を行う「Static Application Security Testing (SAST) for Docker Containers」、Webアプリケーションに対して動的なセキュリティテストが可能な「Dynamic Application Security Testing (DAST)」、そしてWebブラウザでコードを編集できるWebIDE機能などが搭載されました。 clairを用いてコンテナの静的解析 GitLabには、コードの静的解析を行う「Code Quality」機能がすで
これから開発されるFirefoxの新規機能は、HTTPSにしか対応しない。新規のCSSプロパティなども対象 Firefoxを開発するMozillaは、Firefoxにおいてこれから開発されるWeb関連の新機能はすべて安全なコンテキスト(Secure Context)のみを対象にすると、Mozilla Security Blogの1月15日付の記事「Secure Contexts Everywhere」で明らかにしました。 安全なコンテキストとは? 安全なコンテキストとは、W3Cのドキュメント「Secure Contexts」で厳密に定義されています。日本語での説明はMDNの「Secure Contexts」で読むことができ、次のように説明されています。 (HTTPS / TLS を介して) コンテンツが安全に配信され、安全ではないコンテキストとの通信の可能性が限られているという合理的な確信
IT資格の業界団体である米コンプティア(CompTIA)は2018年1月24日、ITセキュリティ関連の資格「CompTIA PenTest+(ペンテストプラス)」を設置すると発表した。 PenTest+は、ITシステムの脆弱性を診断して対策を打つ業務に必要な知識・スキルに関する認定資格。外部から実際にシステムを攻撃してセキュリティ上の弱点を発見するペネトレーションテスト(侵入テスト)を実施する手順や、侵入テストの結果を評価する方法などを問う。主にクラウドに構築したシステムや、IoT(インターネット・オブ・シングズ)デバイスのシステムを想定しているという。 資格試験の日程は、英語版では先行してベータ版を2月に実施し、本試験は6月の予定。日本語版は2018年中にも実施する見通しである。受験料は、個人で受ける場合で約4万円の見込み。2月実施のベータ版の受験料は、5000~6000円程度の見込みで
心の調和を大切にし、自分の価値観にあった生き方を追求する理想主義者です。 想像力豊かで偏見がなく、好奇心旺盛。洞察力に優れ、長い目で物事を見ることができます。夢や理想に懸命に取り組むほか、芸術や新しい概念に惹かれます。 ものごとを一気にやり遂げる傾向があり、自分が打ち込んでいる事に深く集中し、大きな成果をあげます。また言葉で語るより、文章で表現するのが得意です。一方であまり意味が感じられない作業や、単純作業の繰り返しは嫌いです。 控えめで、自分の気持を打ち明ける相手を慎重に選びます。そのため周りからは、よそよそしい、無口で内気などと見られる事があります。しかし本当は誠意があり、とても思いやり深い人間です。 人の感情を敏感に感じ取って心から共感し、相手の事を深く理解しようとします。表面上のつきあいは好きではありませんが、自分の価値観を時間をかけて理解してくれる人は、宝物のように大切にします。
KPMG Japan Insight Plusは、KPMGジャパンの会員制ウェブサイトです。 記事、動画、セミナー、メールマガジン等を通じ、ビジネスのプラスとなるインサイト(洞察・考察)を会員の皆様にお届けします。 GDPR(EU一般データ保護規則)対応プロジェクト簡易診断 この診断は、「GDPR対応プロジェクトの運営」、「管理組織と業務プロセスの整備」、「安全管理対策の導入」、「個人データ国際移転に係る対応」、「ルールの浸透・点検活動」といった観点から、自社におけるGDPR対応プロジェクトに重要な漏れがないことを点検するものです。 この診断は、自社におけるGDPR対応プロジェクトに重要な漏れがないことを点検するものです。
Amazon Web Services(AWS)は、「Spectre」および「Meltdown」と名付けられたCPUの脆弱性に関して同社の対応をまとめたWebページ「Processor Speculative Execution Research Disclosure」において、すでに脆弱性対策が済んだことを報告しています。 AWSがこうした特設ページを設けるのは珍しいことで、本件の重要性と緊急性の高さがうかがえます。 ただ、Googleが脆弱性の詳細な報告と対策の経緯などを詳細にブログで開示したのに対し、AWSの情報提供は実務的であっさりしたものになっています。 Amazon EC2のワークロードに性能低下は見られない 下記はAmazon EC2に関する報告を引用したものです。すべての対策が済んだと報告されています。また、OSのアップデートが推奨されています。 All instances
お久しぶりです&あけましておめでとうございます。昨年はブログを書く時間をうまく作ることができず、あまり記事を書けませんでした。今年はできるだけ月に1回程度何か書いていきたいと思っています。今年もよろしくお願いします! さて、ブログを書かなかった間にXSSからSQLインジェクションへ興味が移った、なんてことはありませんでしたので、今日もいつも通り大好きなXSSの話をしたいと思います! 最近、正規表現にユーザ入力を使っていることに起因するDOM based XSSに連続して遭遇しました。あまり見慣れていない注意が必要な問題だと思うので、この記事では、見つけたもの2つがどのように生じたか、また、問題を起こさないためにどうすればよいかを紹介します。 そのうちの1つはLINEのBug Bounty Programを通じて報告した問題です。 賞金と、"LINE SECURITY BUG BOUNTY"
旧バージョンの「Lhaplus」に脆弱性、その問題と対策を脆弱性発見者が解説(JVN#57842148) セキュリティ 脆弱性 エンタープライズシステム部の安藤です。2018年1月11日に、JPCERTコーディネーションセンター※1と情報処理推進機構(IPA)が共同で運営する脆弱性対策情報ポータルサイトJVN(Japan Vulnerability Notes)において、「Lhaplus」の脆弱性に関する情報が公開されました。Lhaplus はファイルを圧縮・展開するために用いられる無料のソフトウェアで、このたび公開された脆弱性は、旧バージョンの Lhaplus(1.73 以前)では、細工されたアーカイブ(ZIP)を処理するとユーザの意図しないファイルが生成されるという問題です。開発者のSchezo氏が2017年5月に公開した Version 1.74 ですでに修正対応はなされていますが、
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター:米田 聡 一般メディアにもニュースとして取り上げられたので,2017年末からにわかに騒がれだした「CPUの脆弱性」については,4Gamer読者も多くが聞き及んでいることだろう。海外では,「Spectre」(スペクター)や「Meltdown」(メルトダウン)といったおどろおどろしい名前が付いているので,そちらを目にしたという読者もいると思う。 「Intel製のCPUだけが持つ脆弱性で,AMD製のCPUなら問題ない」から始まって,「いやいやAMD製のCPUも同様の脆弱性を抱えている」,さらには「メモリページング方式の仮想記憶を使うCPUのすべてが持つ脆弱性である」などと,情報が錯綜しているので,何を信じたらいいのか分からないという人も多いのではなかろうか。そもそも,メモリページング方式
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
XXE攻撃 基本編ではXXE攻撃ついて基礎となる説明を行いました。 今回は、前回の記事では取り上げなかったXXE攻撃にスポットをあてます。 また、脆弱性の診断や検証を行っていると、脆弱性が存在するにもかかわらずうまく攻撃が成功しないケースをよく経験します。 このようなときに障害となる問題をどのように解決をおこなっているかの過程についてもあわせて説明します。 XXE攻撃 基本編を読まれていない方はまずはこちらを一読ください。 パラメータ実体参照とは XXE攻撃 基本編では以下の2種類の実体参照について説明しました。 <!DOCTYPE name [ <!ENTITY nf "test"> <!ENTITY nl SYSTEM "external_file.xml"> ]> <name><first>&nf;</first><last>&nl;</last></name> 上記のようにXML内
2017.11.30 プロフェッショナルサービス事業部 諌山 貴由 先日 OWASP Top 10 - 2017 がついに公開されました。 このOWASP Top 10 とは、OWASP Top Ten Projectが最も重大と考えるセキュリティリスクの Top 10をまとめたものです。変更点はいくつかありますが、今回OWASP Top 10 - 2017 の中にXXE(XML External Entity)がランクインしていました。 XXEを用いた攻撃(以降 XXE攻撃)は、セキュリティ界隈においては、かなり昔から知られている攻撃手法ですが、開発者等にはあまり認知されていないと思われますので、あらためてこのXXE攻撃について解説を行っていきます。 今回触れていない攻撃手法については、またの機会に紹介をしたいと思っています。 XXEとは XXEとは XML External Entit
今年のトップニュースはマイナンバーの紐付けに相次ぐトラブルで、政府が総点検本部を組織して取り組むことになったが、単に人的ミスとは片付けられない問題をはらんでいる。第4位のAIのセキュリティリスクや第10位のパスキーの採用など、新たな切り口のニュースも出てきてはいるが、全体としては相変わらずのニュースで既視感が強いのは、際立つような重大事件等がなかった証であろう。プラス思考で考えれば、これは日本のサイバーセキュリティへの取り組みはそこそこうまくいっている証左とみることもできる。サイバー空間が社会に浸透して一体化してきた結果、それなりに事件事故は起こるものの、安定してきていることを示していると安心してもいいのかもしれない。 しかし、本当だろうかと疑いの目を向けてみると、今年のニュースには、「だんご三兄弟」とも揶揄されそうな事件・事故が並んでいる。これらのニュースの背後を深掘りしてみると、サイバ
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
先日公開されたOWASP Top10 2017の日本語版を公開しました。公開した資料はOWASP JapanのHPからダウンロードいただけます。 前回バージョンのOWASP Top10 2013からの変更点は下図のとおりです。 2013年版からの変更点 2017年版では、2013年版からA8−CSRFとA10−未検証のリダイレクトと転送がランキング外となっており、一方でA4:2017−XXE、A8:2017−安全でないデシリアライゼーション、A10:2017−不十分なロギングとモニタリングが新たにランキング入りしています。特に新たにランキング入りしたリスクに関しては、その内容についてご確認いただき、考慮・評価していっていただければと思います。もっとも、本文に記載のとおり10まででやめずに、上記ランキング外となったリスクを一例とした他のリスクについても考慮・評価していく必要があります。また2
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く