このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所（NIST）が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト

あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は４段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… Niishi Kubo | GitLab,Limeboard @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js（画像切り替えのライブラリ）を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定されていれば悪意あるドメインに対しての通信

Gain total lifecycle visibility, reduce risks and stop attacks with the most comprehensive, fully integrated Cloud Native Application Protection Platform (CNAPP)

はじめに こんにちは、セキュリティエンジニアのJJ (yuasa)です。今回はGitHub Actionsのワークフローにおける脅威検知ツールであるtracee-actionを触り、検知ルールの書き方について見ていきます。なお、tracee-actionは2024年7月時点で本番環境での利用は想定されていない点にご注意ください。 This project is not production ready. We are experimenting with it to test and demostrate Tracee capabilities. tracee-action tracee-actionはTraceeを用いてGitHub Actionsのワークフローにおける脅威を検知します。TraceeはeBPFを用いてLinuxランタイム上でのシステムコールを検出することができるツールです

最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ（設計・構築・ローンチ・最適化）で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur

This post is also available in: English (英語) 概要 本稿は、クラウド内の仮想マシン (VM) サービスに対する潜在的な攻撃ベクトルを特定・緩和するための戦略について解説します。組織はこの情報を使って、VM サービスに関連する潜在的リスクを理解し、防御メカニズムを強化できます。この調査では、Amazon Web Services (AWS)、Azure、Google Cloud Platform (GCP) という 3 つの主要クラウド サービス プロバイダー (CSP) が提供する VM サービスを中心に取り上げます。 VM はあらゆるクラウド環境で最も利用数の多いリソースの 1 つで、その多さがゆえに、攻撃者らの主要な標的にされています。私たちの研究からは、インターネットに公開されているクラウドホストの 11% には、深刻度が「緊急 (Crit

今、ランサムウェア（身代金要求型ウイルス）によるサイバー攻撃を巡って、セキュリティ関係者の間で物議が起こっている。 問題になっているのは、6月8日にランサムウェア攻撃を受けたニコニコ動画だ。ドワンゴが運営するニコニコ動画が停止してしまい、親会社のKADOKAWAにも影響は及んでいる。ニコニコ動画がサイバー攻撃から復旧するには、少なくとも7月末までかかると発表されている。 この事件を受けて6月22日、オンラインメディアのNewsPicksが「【極秘文書】ハッカーが要求する『身代金』の全容」とする記事を掲載。ランサムウェアの攻撃側と行っている交渉の内容を詳細に暴露したことで、ドワンゴ側から猛反発が起きている。 ここでは記事の詳細は書かないが、KADOKAWAとドワンゴの夏野剛社長は「このような記事をこのタイミングで出すことは、犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させか

「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか？(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね？そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いA

安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語（ローマ字）でもよいので無関係な（文章にならない）複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで

2001年にリリースされたWindows XPは、2014年4月に延長サポートが打ち切られてから記事作成時点で10年が経過していますが、要求スペックの低さや安定性などから根強く支持されており、2022年に公開されたレポートではWindows 11に匹敵するシェア率だったと報告されています。そんなWindows XPをファイアウォールを切った状態でインターネットに接続した動画をYouTuberのエリック・パーカー氏が公開したところ、投稿から約10日で45万回も再生されました。 What happens if you connect Windows XP to the Internet in 2024? - YouTube Idle Windows XP and 2000 machines get infected with viruses within minutes of being ex

2024年2月26日、NIST（米国立標準技術研究所）は、「NIST サイバーセキュリティフレームワーク（NIST Cybersecurity Framework：NIST CSF）」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV（統治）」について解説する。 はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリスク増加など、セキュリティ脅威が多様化・複雑化している。そのような状況に合わせて、各国でサイバーセキュリティに関する法規制・号令の発出、ガイドラインなどが整備されてきた。 直近10年間の脅威

API実装でトークン認証について調べている際にリフレッシュトークン（アクセストークンの有効期限が一時間ほどなのに比べ、こちらは数か月など）の必要性が分からなかったため調べてみた。 リフレッシュトークンは有効期限が切れる際にサーバーに送信され、両トークンの再発行を行うために使用されるとのこと。 だったら初めからアクセストークンのリフレッシュトークンと同じように長くとれば良いのでは、、、と思ったのが始まり。 アクセストークンを使った認証の流れ 以下の流れ ユーザーがログインした際に、サーバー側でアクセストークンを発行 ブラウザはアクセストークンを受け取り、保持 ブラウザはエンドポイントにアクセスする時に、ヘッダーにアクセストークンを付与して送信 サーバーはアクセストークンを受け取って、認証を行い、成功するとレスポンス アクセストークンの有効期限が切れたら、ユーザーは再びログイン 引用: 【Py

はじめに CSIRT とは CSIRT を立ち上げるモチベーション セキュリティインシデントは避けられない 意思決定者の訓練機会の不足 世界的なインシデントレスポンスの重要性の高まり CSIRT 作りの準備 教科書に学ぶ 他社に学ぶ テックタッチにおける CSIRT の設計 スモールスタートするための責任境界 ちゃんと機能する！ハンドリングマニュアル 窓口の明確化 継続的なスペシャリティの維持 さいごに 参考 はじめに こんにちは。SRE 兼 CSIRT の izzii（𝕏）です。Flatt Security mini CTF #4 に参加して入賞景品のTシャツをゲットできたのが最近のプチ自慢です。 さて本日の記事は、テックタッチにおいて私含む現場のメンバー（izzii, kacchan, ue）が Computer Security Incident Response Team (CS

2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

CloudNative Days Tokyo 2023 の登壇資料です。2023/12/12 https://event.cloudnativedays.jp/cndt2023

はじめに 歳をとってきたからか、「セキュリティエンジニアとしてやっていくには何を勉強すればいいのか」ということを聞かれるようになりました。 正直私は体系だった勉強をしておらず言えることがその場ではあまりなかったため、自分が勉強しておいてよかったことをここで改めて思い返してみようと思います。 シェルコード作成 要はアセンブリ言語の勉強です。シェルコードを作る、という目的があったのが私にはよかったです。 学生時代はCのポインタはさっぱり理解できませんでしたが、アセンブリ言語をやってよく理解できました。メモリの使い方とかもここで学んだ。私はSPARCが好きだったので、Delayed Slotやビッグエンディアン、メモリのウインドウシステムの美しさに感動したのを覚えています。便利なツールなぞない時代だったので、ひたすらgdbでbreakしてsiしてxです。 ちなみに、当時超役に立った本で「Pani

ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習（1/6 ページ） ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で