【実録】アクセスキー流出、攻撃者のとった行動とその対策 | DevelopersIO
それぞれのフェーズの詳細は以下のようになります。 当該アクセスキーを利用した不正な操作が行われる 流出したアクセスキーを利用し以下の操作が行われました。APIレベルの操作です。一連の操作はスクリプト化されているように見受けられます。 CreateAccessKey 流出したアクセスキーを利用し新規のアクセスキーを作成 DeleteAccessKey 流出したアクセスキーを削除 CreateUser IAMユーザーを作成(権限不足により失敗) CreateKeyPair 新規のアクセスキーを利用しキーペアを作成 RunInstances 全リージョンでインスタンスを起動 各リージョンで20のインスタンスが立ちあがる(起動上限はデフォルトのまま) m5.24xlargeなどインスタンスサイズが大きいものが優先される その後、起動したインスタンスにて仮想通貨Moneroのマイニングが行われました
メールアドレス登録時のガイドライン - なんか:かんがえて-6
お客さんからメールアドレスの入力を受けて登録し、何らかのサービス提供に至るまえに、メールアドレスの到達性を確認する手順を必須化するガイドラインの指導はまだかいな。 以前も書いたとおり、僕はmorimoto@gmail.comという非常にわかりやすいメールアドレスを持っているが、誤ってそのメアドを何かに登録してしまう、僕ではないおそらくどこかのモリモトさんたちがそこそこの人数いる。その結果、僕には覚えのないサービスの案内やマンション売却の相見積もりやドメイン購入や飛行機の予約や婚活サービスからのレコメンドなどが週に複数回は新たに届く。 ユーザから入力されたメアドの到達確認と本人確認を一度でもしていればこの問題は防げる。そのメアドに一時的なunique keyを送ってアクセスしてもらえばいいわけで、まともなサービス提供者はもちろんそうしている。例えばYahoo! Japanから届く確認メールに
企業はサイバーセキュリティ対応力を過信している?--リスクを抑えるためのヒント
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー攻撃や情報漏えいによって、英国のミッドマーケット企業は年間300億ポンド(約4兆円)以上の被害を受けているが、企業は自社のサイバーセキュリティ対応能力を過信しており、ハッカーやサイバー犯罪に対するリスクを拡大してしまっている可能性があるという。 ビジネスや財務のほかサイバーセキュリティなどに関するアドバイザリー業務を提供している会計事務所Grant Thorntonは、年商1500万~10億ポンド(約20億~1300億円)のミッドマーケット企業を対象とした調査を実施した。公開されたレポートは主に英国のビジネスリーダー約500人に対して実施したインタビューに基づいている。この調査では、サイバー攻撃の脅威が大きくなっているにも関わら
米国家安全保障局、サイバーセキュリティ指令部を新設へ
米国家安全保障局(NSA)がサイバーセキュリティ指令部を設置し、「ホワイトハットの使命を復活させる」という。このサイバーセキュリティ担当部門は10月1日から始動する予定だ。 サイバーセキュリティ指令部の責任者には、現在NSAの作戦指令部の副部長補佐を務めるAnne Neuberger氏が就任すると、NSAは7月23日に発表した。Neuberger氏はこれまで、NSAの最高リスク責任者、作戦副部長、「Russia Small Group」と呼ばれる組織の責任者を歴任してきた。Russia Small Groupは、2018年の米中間選挙期間中に、外国による選挙への干渉を阻止する役割を果たしたと、米CNETの姉妹サイトである米ZDNetは報じている。 NSAは23日の発表の中で次のように述べた。「サイバーセキュリティへのこの新たなアプローチにより、米国土安全保障省の連邦サイバー軍や米連邦捜査局
Bluetoothの脆弱性、iOSやMacで影響。
iOSやMacOSのBluetoothで使用しているデバイスが特定、追跡される危険性があるという脆弱性をボストン大学が発表しています。 Android以外のデバイスで問題あり? 報告によるとアップルが開発しているMac、iPhone、ipadそしてApple Watchとマイクロソフトの2in1 PCやノートパソコンが対象となるとのこと。 脆弱性について 脆弱性はボストン大学が開発したアドレスキャリーオーバーアルゴリズムを使うことで、IDトークンを取得してデバイスを突き止めることが出来るとのこと。 AndroidではiOSやWindowsとは違う方法を使っているため、この方法ではデバイスのIDトークンを追跡できなかったようです。 なおこの問題は今後iOSやMacOS、Windows OSのアップデートで修正される者と思われます。 Bluetooth exploit can track an
超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる
フリーソフトのVLCメディアプレーヤーは、大抵の形式のメディアファイルを再生可能で動作も軽快なことから、これまで30億回以上もダウンロードされ、世界中で愛用されています。そんなVLCメディアプレーヤーに、ムービーを再生するとリモートコードが実行されてしまうおそれがある脆弱性が発見されました。 Kurzinfo CB-K19/0634 https://www.cert-bund.de/advisoryshort/CB-K19-0634 NVD - CVE-2019-13615 https://nvd.nist.gov/vuln/detail/CVE-2019-13615 Vorsicht: Kritische Schwachstelle in aktueller Version des VLC Media Player | heise online https://www.heise.de/
100の人 on Twitter: "アットウィキ (@wiki) のXSS可能な脆弱性について、対策方法を書きました。同サービスを利用している方、過去に利用していた方は、ご参照をお願いします。 https://t.co/CV2I665D8K"
アットウィキ (@wiki) のXSS可能な脆弱性について、対策方法を書きました。同サービスを利用している方、過去に利用していた方は、ご参照をお願いします。 https://t.co/CV2I665D8K
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SVGでワードアート
クラウドネイティブ時代のセキュリティの考え方とIstioによる実装 / cloud native security and istio
7Payガバガバ問題、NTTデータにも飛び火 : 市況かぶ全力2階建