サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ
NECもソースコード流出を確認、GitHubで 三井住友銀、NTTデータに続き(ITmedia NEWS) - Yahoo!ニュース
ソースコード共有サービス「GitHub」で三井住友銀行(SMBC)などのシステムに関連するソースコードが無断公開されていた問題で、NECが顧客向けに開発したシステムのソースコードも無断公開されていたことが分かった。2月1日に同社が明らかにした。 【画像】Profit Cubeのコメント ソースコードの流出を認めたのはSMBC、NTTデータ ジェトロニクスに続き、3社目。NECは取材に対し、「流出したソースコードの中に、(同社が)特定のお客さま向けに開発したシステムのソースコードが含まれていることを確認している」と回答。流出したシステムの詳細やセキュリティなどへの影響については「お客さまとの都合で、これ以上のことは話せない」として明言を避けたが、「原因究明と再発防止に努める」としている。 ソースコードの流出を巡っては、1月29日までに各社の委託先に所属していたSEとみられる人物による無断公開
GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く
三井住友銀行(SMBC)が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE(システムエンジニア)らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。 ソースコードの中には、SMBCに加えてNTTデータ ジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に「GitHub」「SMBC」などがトレンド入りした。 流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータ ジェトロニクスはそれぞれ「顧客情報の流出には影響がない」「単独では悪影響を与えるものでない」と説明している。 今回の事態に対し、ネット上では「これを機にGitHubの利用やテレワーク
標的型サイバー攻撃を受けたため上田市では現在インターネットを遮断しています/上田市役所
平成27年6月12日(金曜日)午後7時45分に専門機関からの通報を受け、調査した結果、上田市役所の庁内ネットワークが、標的型サイバー攻撃を受け、ウィルスに感染していたことが判明しました。 上田市役所では、二次被害を防止するため、15日(月曜日)午前11時30分からインターネットを遮断していることから、電子メールの送受信ができず、市民の皆様をはじめ関係の皆様に大変なご不便をおかけしております。 現在までに情報が外部に流出した事実は確認されておりませんが、市は対策本部を設置し、迅速な対策を進めてまいります。復旧までのしばらくの間、ご不便をおかけいたしますが、ご理解いただきますようお願いいたします。 情報流出を口実とした特殊詐欺などの発生が懸念されます。市役所から電話で個人情報をお聞きしたり、お金の振込をお願いするようなことは絶対にありませんので、十分にご注意いただくとともに、冷静な対応をお願い
パスワードの定期的変更がセキュリティ対策として危険であること | まるおかディジタル株式会社
【これは約 16 分の記事です】 (2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます) 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理 :警視庁(リング切れ) この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー[日本版] ht
日本年金機構の情報漏えい、本当に必要な再発防止策とは?
日本年金機構の情報漏えい、本当に必要な再発防止策とは?:「事故前提」で早期発見、早期対処の仕組み作りと文化を 日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。 直
ウイルス入り「標的型攻撃メール」どう見分ける? 「高度な“だまし”のテクニック」、IPAが対策指南
日本年金機構から年金情報125万件が流出した問題は、機構の職員が標的型攻撃メールの添付ファイルを開いたことでウイルスに感染したことが原因とみられており、「怪しいメールは開かないのが常識」などと批判する声もある。 ただ標的型攻撃メールは、送信元や内容を巧妙に偽装していることが多い。報道によると年金機構に届いたメールは、タイトルが「『厚生年金基金制度の見直しについて(試案)』に関する意見」となっているなど、年金業務に関連する内容を偽装していたという。 怪しいメールをどう見分け、被害を防ぐか――情報処理推進機構(IPA)は、標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点を解説するリポートを、今年1月に公開している。 内容、差出人、添付ファイル……怪しいメールの「着眼点」は リポートでは、IPAが情報提供を受けた実例などから、標的型攻撃メールを見分ける際の着
年金機構、職員の電子メールを禁止 外部向け「当面の間」
流出を受け、6日と7日は「休日年金相談」を全国の年金事務所で行う。 各紙の報道によると、データは東京都、和歌山県、沖縄県の3拠点から流出していたことが分かったという。 関連記事 年金機構のウイルス感染、公表前に2chに書き込みか 「感染しました」「月曜日には公表するのかな?」 「ウィルス感染しました」「月曜日には公表するのかな」――年金機構の個人情報流出について、公表前に2chに書き込みがあったことが分かった。 ウイルス入り「標的型攻撃メール」どう見分ける? 「高度な“だまし”のテクニック」、IPAが対策指南 年金流出問題は、機構の職員が不審なメールを開いたことが原因とされている。標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点をIPAが指南している。 甘利大臣「マイナンバー導入予定は変更なし」 セキュリティ懸念否定 甘利社会保障・税一体改革担当相は、
上原 哲太郎/Tetsu. Uehara on Twitter: "怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね(一部隠してます)。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 http://t.co/SwKNkH4t9s"
怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね(一部隠してます)。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 http://t.co/SwKNkH4t9s
盗聴を完全に不可能にする「量子化インターネット」の構築が本格的に進行中
By Carlos Lee 2013年、アメリカの国家安全保障局(NSA)や連邦捜査局(FBI)などの政府系機関が秘密裏に国民の情報収集をしていた問題が明らかになり、インターネットの秘匿性が大きな話題になりました。通信の秘匿性を高める技術の根幹は暗号化なのですが、「究極の暗号化技術」とも呼ばれる「量子インターネット」の構築に向けた取り組みがアメリカと中国で進められています。 Building a globe-spanning quantum internet | The Verge http://www.theverge.com/2014/11/18/7214483/quantum-networks-expand-across-three-continents 元CIA職員のエドワード・スノーデン氏がリークした情報により、政府機関が「PRISM」と呼ばれる極秘の監視システムを用いて通信内容
ベネッセの情報漏えいをまとめてみた。 - piyolog
2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要 ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。 ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired