GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライ
暗号アルゴリズム「SHA-1」の廃止を発表、NIST
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm|NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:
Wizard Bible事件・Coinhive事件・アラートループ事件を扱った本がリリースされました - はてな村定点観測所
本日、PEAKS出版『Wizard Bible事件から考えるサイバーセキュリティ』の電子書籍版がリリースされました。著者は私と、Wizard Bible事件の当事者であるIPUSIRONさんです。 Wizard Bible事件を中心にCoinhive事件やアラートループ事件も扱った本です。一連の事件を扱った一般本としては国内初になると思います(法学雑誌・紀要を除く)。 一連の事件の取材・寄稿協力 本書は複数の関係者の取材・寄稿をオムニバス形式で掲載しています。以下の方々から取材や寄稿のご協力を頂いています。 IPUSIRONさん(Wizard Bible事件当事者) Lyc0risさん(Wizard Bible事件関係者) 金床さん(Wizard Bible投稿者) 元Coinhiveユーザーさん(Coinhive事件当事者) モロさん(Coinhive事件当事者) 平野敬さん(Coinh
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
https://blog.animereview.jp/zero-trust-architecture/
シンジです。社内インフラを構築するとき、何を指標として設計しているか、何のために作るのか、誰が嬉しいのかを考えずに淡々と予算を投入している企業の多いこと多いこと。これから会社を作るならまだしも、既存企業は長年の蓄積があるわけです。物理機器や、買収合併の弊害、シャドーITに働き方改革推進の圧力。これらに個別的に対処することこそが無駄かつ自己満足なので、自社のインフラはどうなるべきだったのかを考えたい物です。 ITは企業にとってコアである 企業や組織運営において、ITを使うことで便利になったり、効率が良くなったりする程度の時代はとっくに終わっています。企業や組織からIT全てをとっぱらってしまうと、企業や組織が消え去る可能性が非常に高い、というか確実に死ぬであろう状態にまでITに依存しています。つまり現代においてはITはコアなのです。 情報システム部門はその重要性を理解していない 企業においての
高木浩光@自宅の日記 - 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。 App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日 トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日 これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。 セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善
不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、再発防止に向けて歩み出した同大学は、脆弱性スキャナーの「Tenable.io」を導入した。事件を通じて、彼らが気付いたこととは。 江戸時代、緒方洪庵が設立した適塾に源流を持ち、人文系、理工学系から医学・歯学に至るまで11学部・16研究科を擁する大阪大学では、3200人を超える教員の下、1万5000人以上の学部生と7000人以上の大学院生が学業・研究に取り組んでいる。その基盤となるネットワークや各種システム、そしてキャンパスクラウドサービスの運用を担っているのがサイバーメディアセンターだ。 この大阪大学を激震が襲ったのは2017年6月のことだった。「何か不審なアクセスがある」と気付いて調べてみると、どうやら標的型攻撃を受け、教員のIDとパスワードが盗まれているらしいと分かった。さらに調査を進めた結果、そのPCを足掛かりに不正
相手を信用させる前例なき手口 コインチェック攻撃で明らかに | NHKニュース
前例のないサイバー攻撃の手口が明らかになりました。ことし1月、大手交換会社から巨額の仮想通貨が流出した事件で、犯人は半年余り前からこの会社の複数の社員と偽名で交流を重ね、信用させたうえでウイルスを仕込んだメールを送りつけていたことが関係者への取材でわかりました。 コインチェックの通信記録や社員のメールなどを分析した結果、犯人は事件の半年余り前からSNSなどを通じてシステムの管理権限を持つコインチェックの技術者を複数割り出し、それぞれに対してネットを通じて偽名で交流を重ねていたことが関係者への取材でわかりました。 この間、不審な行動は一切行わず時間をかけて信用させたうえでウイルスを仕込んだメールを送った結果、これらの技術者も疑うことなくメールを開いてしまったということです。 ウイルス感染後、海外との不審な通信が急速に増えていることから、犯人は管理権限を奪って外部からシステムの内容を調べ、イン
【全文1/4】コインチェック、仮想通貨「NEM」の不正流出を受けて緊急会見 被害額は約580億円相当
仮想通貨「NEM」の不正流出を受けて 和田晃一良氏(以下、和田):本日弊社サービス・コインチェックにおいて、機能が停止する事態が発生しました。本件に関しまして、みなさまをお騒がせしておりますことを、深くお詫び申し上げます。たいへん申し訳ございませんでした。 では、本日の事実に関しまして、大塚の方からご説明申し上げます。ちょっと着座にて失礼させていただきたいと思います。すみません、それでは着座にて失礼いたします。 大塚雄介氏(以下、大塚):私大塚から、本日どのようなことがあったかという事実を、ご説明させていただきたいと思います。本日、【聞き取り不明】。当日、弊社にて11時25分、残高が異常に減っているところを検知いたしました。 同日11時58分、NEMの入れるのと出すのの送信を一時停止いたしました。 来場者:すみません、もう少し大きい声で話してもらえませんか? 大塚:はい。 来場者:もう1回
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター:米田 聡 一般メディアにもニュースとして取り上げられたので,2017年末からにわかに騒がれだした「CPUの脆弱性」については,4Gamer読者も多くが聞き及んでいることだろう。海外では,「Spectre」(スペクター)や「Meltdown」(メルトダウン)といったおどろおどろしい名前が付いているので,そちらを目にしたという読者もいると思う。 「Intel製のCPUだけが持つ脆弱性で,AMD製のCPUなら問題ない」から始まって,「いやいやAMD製のCPUも同様の脆弱性を抱えている」,さらには「メモリページング方式の仮想記憶を使うCPUのすべてが持つ脆弱性である」などと,情報が錯綜しているので,何を信じたらいいのか分からないという人も多いのではなかろうか。そもそも,メモリページング方式
量子計算機でも解読困難 北海道教育大学らが新方式の公開鍵暗号開発
量子計算機でも解読が困難な新しい原理に基づく公開鍵暗号が、北海道教育大学、九州大学、産業技術総合研究所と株式会社東芝の共同研究により開発された。量子計算機でも計算が困難と期待される非線形不定方程式の最小解問題に基づいた構成で、この領域で有力とされてきた格子暗号と同等またはそれ以上の安全性と計算効率性が期待できるとしている。 現在、大手IT企業や政府の大規模な投資により量子計算機の開発が急ピッチで進んでいる。量子計算機が開発されると、現行の公開鍵暗号が安全性の根拠としている素因数分解や離散対数問題が短時間で解かれ、暗号が解読されてしまうことから、量子計算機でも解読が困難な対量子公開鍵暗号の研究開発が近年活発に行われてきた。しかし、対量子公開鍵暗号は公開鍵サイズが大きいという欠点があり、これまで実用化に至っていなかった。 今回開発されたのは、従来の対量子公開鍵暗号が安全性の根拠としてきた線型方
NISTが警告、SMSでの二段階認証が危険な理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所(NIST)が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」(デジタル認証ガイドライン)の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」(帯域外検証者)に
三井住友銀行ネットバンクの暗証が数字4桁になった件 | 栗原潔のIT弁理士日記
高木先生案件かもしれません。 ネットバンクでは基本的にトークン(ワンタイムパスワード生成機)を使うようにしています。トークンとは一定時間毎に暗号化による6桁のパスワードを表示する親指くらいの大きさのデバイスです。 ジャパンネット銀行ですと、ログイン時はパスワード(自分で決めた英数字最大8文字)でログイン可、振込みや限度額変更など重要な処理の場合にトークンが表示するワンタイムパスワードを入力という合理的な設計になっています。 一方、三井住友銀行(SMBCダイレクト)はログイン時はパスワード(自分で決めた英数字最大8文字)とトークンのワンタイムパスワードの両方が必要、そして、振込みや限度額変更など重要な処理の場合にはもうトークンは関係なくて、昔ながらの暗証カードが必要、という変てこな仕様になっていました。 これですと外出先から振込みがあったか確認したいなんて場合にトークンを持ち歩かなければなり
高木浩光@自宅の日記 - 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める
■ 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める 非公開で進められている(傍聴が許されていない)「情報連携基盤技術WG」の配布資料を入手した。しかも、この「情報連携基盤技術WG」には、存在自体が非公表のサブWGがあり、その構成員は、「情報連携基盤技術WG」から中立の有識者らを除いた、ベンダーの人々だけの集まりになっているらしい。入手した資料は、そうしたベンダーの構成員から今月提出されたもののようだ。 入手した資料のうち、一つは重大な問題のある文書であり、他にもう一つ、問題のある文書があった。 「番号制度」は、推進派に言わせれば「国家百年の大計として国の礎を作ることに他ならない」という*1ものであり、ベンダー試算によれば何千億円もの国家予算が必要と言われているものである。しかも、その方式設計は国民のプライバシー影響を左右する重要なものであって、一度不適切な方式を普及させると
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~|株式会社レピダム
【速報: 角川の代表取締役、個人がDNSを立てられないようにしようと公言】OP53Bは内容規制で情報アクセスそのものを遮断する。フィルタリングのポートが違うだけ、ではない。