筆者も早速読んでみましたが、選択科目ということで非常に思い切った内容にまで踏み込んでいるなと感じました。今回は、この中で「セキュリティ」についてはどのようなことが取り上げられているのかを見ていきましょう。 これ本当に高校生向け? 現役IT担当者にも役立つ「情報II」教材 同教材の第1章「情報社会の進展と情報技術」における、PCやネットワーク、情報システムの進化がどのように起きたのか、その歴史をまとめた学習1「情報社会の発達と社会や人への影響」の中でセキュリティについて触れられています。 ここでは、情報技術の発展とともにセキュリティがより重要になったとし、ITの進化に法律やルールが追い付かなくなっている実態を取り上げ、「情報化の進展に伴い今までは想定されていなかった事態についての法律も、整備する必要があることを生徒に理解させたい」といった学習の意図を伝えています。 続いて学習2「情報セキュリ
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
「アイティメディアの高橋と申します。今、Twitter上で、御社から顧客情報が漏えいしているのではないかという書き込みが複数流れているのですが、どういうことでしょうか?」──もし広報の窓口にこんな問い合わせが来たら、皆さんの会社ではどう対応するだろうか。クラウド型会計・人事サービスを提供するfreeeではこんな風に、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。 顧客・マスコミなど社外とのやりとりにもフォーカス freeeには2018年10月、会計処理の集中する月末に2時間半にわたってサービスが停止するという大障害を発生させてしまった苦い経験がある。その反省を踏まえ、記憶を風化させず、いざというときに適切な対処を迅速に取れるよう、全社にまたがる障害対応訓練を毎年10月に実施している。 21年の障害対応訓練は、今まさに猛威を振るうランサムウェアを題材にしたものだった。サプライチ
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
2021年5月25日 富士通株式会社 プロジェクト情報共有ツールへの不正アクセスについて 今般、当社がプロジェクト運営に際し社内外の関係者と情報を共有するためのツールである「ProjectWEB」を利用する一部プロジェクトに対して、第三者からの不正アクセスがあり、当該ツールに保存されているお客様からお預かりした情報の一部が不正に窃取されたことが判明いたしました。 本事案の関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますこと、深くお詫び申し上げます。 本事案の影響範囲および原因は現在調査中であり、更なる不正アクセスが発生しないよう「ProjectWEB」の運用を停止しております。 引き続き、「ProjectWEB」を利用する全てのプロジェクトにおいて、お客様にもご協力頂きながら、影響範囲および原因の調査・分析に努めてまいります。 当社では、本事案を重く受け止め、関係当局へのご相談
TL;DR GitHubのアクセス自体を禁止してもセキュリティリスクは高いまま 仮にやるならGitHubのPushだけを禁止するようなツールを使わないと意味がない GitHubでコード管理したいならアカウント管理や情報分類などの運用を組み立てよう はじめに 先日、大手銀行などのソースコードがGitHubを経由して漏れる、というキーワードが話題になりました。 そもそもGitHubってなによ? って方はこちらの四コマが分かりやすいです。 これだけ聞くと相当問題のようにも聞こえますが、別にGitHubの脆弱性を突かれたたとかではなく派遣業者の社給PCないしはそこを経由した私物のPCからGitHubにPushされたという良くある情報流出ですね。なお、幸いにも重要なコードは含まれていなかったようです。 幸か不幸かこのエンジニアがGitHubに不慣れだったので非公開ではなく公開設定にしていたため、SN
This post is also available in: 日本語 (Japanese) Executive Summary This tutorial is designed for security professionals who investigate suspicious network activity and review packet captures (pcaps). Familiarity with Wireshark is necessary to understand this tutorial, which focuses on Wireshark version 3.x. Emotet is an information-stealer first reported in 2014 as banking malware. It has since evol
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
はじめに 以前の記事DNS over HTTPSの必要性についてで触れたEncrypted SNIについて、その有効性と現在韓国で行われているSNIフィールドを利用したブロッキングを回避する方法についての説明です。 Encrypted SNIとは Encrypted SNIは、現在広く使われているTLS1.2以下のハンドシェイク時、接続したいドメインが「平文」で流れ、盗聴による接続先の推測やブロッキングが行われてしまうという問題を解決するための手法です。Encrypted SNIの手法については当初の案と現在Cloudflare社がサービスを運用している案で大きく異なるため、簡単に説明します。 トンネリング方式 TLS接続時に、まず中継サーバへTLS接続し、そのTLSコネクションの中で目的のドメインまでTLS接続を行う方式です。"TLS in TLS"と呼ばれています。 TLS 1.3 E
1月30日(土)~31日(日)の2日間、東京電機大学(東京都足立区)で日本における最大規模のCTF大会「SECCON 2015決勝大会」(竹迫良範 実行委員長)が開催された。(注) 今年の特徴は日本国内の学生チームを対象とした「intercollege決勝大会(学生大会)」(30日)と「international決勝大会(国際大会)」(31日)の2つに分けたことにある。 これに先立ち、15年の6月9日に行われた「SECCON2015」開催記者会見で竹迫実行委員長は「学生限定」枠を設けることを公表している。その理由は「1つは大会に出場する学生をもっと増やしたいこと」、「もう1つは、高いハッキング能力を持った学生に将来のキャリアパスを早くからイメージさせたいこと」と語っていた。今回、連携大会を含む国内予選のうち、3つの大会((1)白浜危機管理コンテスト<連携大会>、(2)SECCON福島大会「
10月15日(水)より、はてなブックマークボタンを設置したサイトの一部に対して、はてなブックマークボタンが原因とされるセキュリティ上の警告が、Googleセーフブラウジング等において報告されています。 この警告に対して、はてなでも15日より調査を行っておりますが、はてなブックマークボタンの貼り付けコードを配信しているサーバーに対する侵入や、貼り付けコードそのものの改ざんは確認しておりません。 この警告に関して、はてなに起因するセキュリティ上の問題はなかったものと判断しています。警告が報告された要因については、はてな外部のネットワークなどにある可能性が考えられますが、詳細や影響範囲については現時点でなお調査中です。 はてなでは、サービスのセキュリティを維持するよう日々さまざまな監視や対策を行っております。はてなのサービスに関して、セキュリティ上の懸念点等を発見された場合は、下記のページに従っ
今朝は SSL 3.0 の脆弱性が話題になっていますね。ちなみに私も影響を受けました(死 SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース 困らされて悔しいので、SSL 3.0 を IIS で無効化する方法を調べました。相変わらずレジストリ弄らないと変更できないのはどうかと思いつつ試します。 How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services How to Disable SSL 2.0 and SSL 3.0 in IIS 7 てか、何も考えずに Windows Server に IIS を追加すると、SSL 2.0 が有効になった状態になるのはいい加減にやめた方が良いのではないかと。 折角なので SSL 2.
昨日の福井新聞の報道(魚拓)によると、中学生がYahoo!の「秘密の質問と答え」を悪用して同級生のYahoo!アカウントにログイン成功し、不正アクセス禁止法などの疑いで書類送検されたようです。 同課によると、同級生との間には当時トラブルがあり、男子生徒は「自分の悪口をメールに書いているのではないか」と考え、盗み見たという。 男子生徒は、パスワードを再設定しようと「秘密の質問」のペットの名前に何度か答え、合致しパスワードを変更した。 ログインできなくなった同級生がパスワードを変更し直したが、男子生徒は再びパスワードを変更したという。同級生が「身に覚えのないログインがある」と警察に相談し、容疑が明らかになった。 不正アクセスで県内中学生を初摘発 容疑で県警、同級生のメール盗み見 より引用(赤字は引用者) 後述するように、Yahoo!の「秘密の質問と答え」を知っていると強大な権限が与えられたこと
mixi、Facebook、ツイッターなどのSNSがすっかり浸透し、コミュニケーションツールとして大きな役割を果たすようになった現代。読者の皆さんの多くも、何らかのSNSを利用した経験を持っているだろう。 メッセージのチェックや書き込みをするために必要なパスワードは、重要な個人情報だ。そのパスワードを恋人に教えることが愛の証、信頼の証と考える若者が増加していることが調査により明らかになった。 ニューヨーク・タイムズ誌によると、SNSやメールアカウントのパスワードを恋人に教える若者は増加の傾向にあり、2011年の調査では10代のユーザーの3割が恋人とパスワードを共有しているとの結果が出た。特に、恋人にパスワードを教えている女子は男子の2倍だった。 調査に答えたある女子高生は、「彼氏に隠すような後ろめたいことなんてないし、お互いを信頼しているから」と述べている。 しかしこうした行為が、束縛を助
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く