Docker Hubの不正アクセスについてまとめてみた - piyolog
2019年4月27日、Dockerはコンテナ共有サービス「Docker Hub」が不正アクセスを受け約19万件のアカウントに影響が及んだとして情報漏えいの可能性について発表しました。ここでは関連する情報をまとめます。 公式リリース success.docker.com 被害の状況 Docker Hubのデータベースが不正アクセスを受けた。 不正アクセスにより一部のユーザー情報が盗まれた恐れがある。 影響を受けたのは約19万件のアカウント。全ユーザー数の約5%未満。 Dockerは不正アクセスの時間は短時間と説明。 2019年4月25日にDockerがDocker Hubデータベースへの不正アクセスを把握。 この侵害によるDockerの公式イメージへの影響はない。 不正アクセスの手口については明らかにされていない。 メール届いた場合は影響を受けた恐れ Dockerから連絡メールが届いた場合は
TLS1.3時代の新常識
TLS • TLS (reliable) endpoint endpoint CC BY 3.0 https://www.youtube.com/user/TheWikiLeaksChannel ClientHello+ ApplicationData end_of_early_data Finished ServerHello EncryptedExtension ServerConfiguration Certificate CertificateVerify Finished ApplicationData
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
政府によるインターネットの検閲とSNIについて
しかし今回一般の人の目にも触れる形でSNIやHTTPSのことが報じられた結果、エンジニアも含めて明らかに技術に関して勘違いをしているのではないかと感じる発言を見ることがありました。このまま放置するのも良くないと感じているので、Q&Aという形でSNIやHTTPSに関する誤解を少しでも解ければと思います。 Q&AQ: そもそもSNIって何?以前書いた記事にも書かれているので是非読んでみてください。 簡単に説明すると、HTTPSではSSL/TLSを利用して通信が暗号化されます。なので1つのIPアドレスで複数の証明書を扱おうとした場合、最初の通信時にどの証明書を利用すればいいか分かりません。そこでSNIが必要になります。 SNIは最初の通信時に今から通信したいサーバーネーム(ドメイン名と考えてください)をサーバーに平文で渡すことで、通信したいSSL証明書を指定できます。SNIは現在の一般的なブラウ
当社サーバへの不正アクセスによる 一部データ流出の可能性に関する 詳細調査のご報告(最終報)
2018年12月20日発表の「不正アクセスによる一部データ流出の可能性に関するお詫びとお知らせ(第一報)」について、お客さまおよび提携先企業の皆様、関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。 2018年9月17日から12月6日にかけて当社の保有するサーバへの不正アクセスおよびお客様情報流出の可能性があることが判明したため、本件を公表し、発生の原因について、詳細な調査を進めてまいりました。 第三者機関によるフォレンジック調査*1および社内調査の結果、当社で管理するお客様情報のファイルが流出した痕跡は確認されませんでした。このたびの経緯ならびに第三者機関による調査の結果、再発防止策等について下記の通りご報告いたします。 1. 本件の概要ならびに調査概要、経緯 2018年12月6日、当社で利用しているクラウドサービス(AWS*2)において、不正アクセ
セキュリティキー YubiKey 4C Nanoの設定と運用
結構前にYubiKey 4C Nanoを買って使ってるので、その設定や使い道についてのメモ。 追記(2022/11/27): より実践的なYubikeyの運用方法については次の記事を参照してください。Yubikey 2枚ないと実用は難しかった。 パスワード管理/MFA管理の戦略 | Web Scratch Macbook Pro/AirとYubiKeyの運用 Macbook系はUSB Cなので、YubiKey 4C Nanoを買った。 AirもProも2ポート以上あるので、基本的にずっと挿しっぱなし。 1ポートはUSB Cハブ、1ポートはYubiKey 4C Nanoを刺している状態。 Yubikey 4C Nano + Macbook Air 2018 pic.twitter.com/cciCb01h7P — azu (@azu_re) January 2, 2019 この運用からも分か
ゼロワンオンカジチャンネル
さまざまな証券会社がある中、PayPay証券はスマホアプリで簡単に投資ができるためおすすめのネット証券会社です。そこで「PayPay証券はどんな特徴があるの?」「登録方法は?」といった疑問を持つ人も多いのではないでしょうか。 本記事ではそんな疑問を解決するためにPayPay証券の特徴や取り扱い銘柄、登録から取引までの流れを解説していきます。 PayPay証券の特徴 PayPay証券は以下のような特徴があるネット証券会社です。 少額から取引できる おいたまま買付サービスがある IPOに1株から申込みできる 漫画コンテンツで株式が学べる 米国株が24時間取引できる 上記の特徴を詳しく解説していきます。 少額から取引できる PayPay証券では最低取引額1,000円から始めることができます。そのため、資金が少ない人や株式投資未経験の人におすすめです。 PayPay証券が少額取引できる理由は、相対
クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記
はじめに 先日の日記「ECサイトからクレジットカード情報を盗み出す新たな手口」は多くの方に読んでいただき、ありがとうございました。この記事では、「新たな手口」ではなく、従来からある手口についてまとめてみました。 1.SQLインジェクション 古典的な手法としてはSQLインジェクションがあります。下図のように、SQLインジェクション攻撃により、DBに保存されたクレジットカード情報を盗み出します。 攻撃が成立する条件は下記のとおりです。 DBにクレジットカード情報が保存されている ウェブサイトにSQLインジェクション脆弱性がある いずれも、現在の観点では論外の状況と言えますのでさすがに頻度は減っています。今年6月1日から施行されたカード情報非保持化により、今後はほとんど見られなくなると予想されます。過去の代表的な事例には以下があります。 エクスコムグローバル、SQLインジェクションで約11万件の
中国、マイクロチップ使ってアマゾンやアップルにハッキング-関係者 - Bloomberg
米アマゾン ・ドット・コムは2015年に、エレメンタル・テクノロジーズという新興企業の調査を始めた。今ではアマゾン・プライム・ビデオとして知られる動画ストリーミングサービスを拡大するため、買収することを検討していた。オレゴン州ポートランドを本拠とするエレメンタルは、動画ファイルを圧縮し、異なる機器向けにフォーマットするソフトウエアを作っていた。同社の技術は国際宇宙ステーションとの通信やドローンの映像を中央情報局(CIA)に送ることにも使われていたため、アマゾンの政府関連事業にも役立つと考えられた。 CIAのために安全性の高いクラウドを構築していたアマゾン・ウェブ・サービシズ(AWS)が、デューデリジェンス(資産評価)の一環としてエレメンタルのセキュリティーを調査した。事情に詳しい関係者が述べた。気になる点が発見され、AWSはエレメンタルの主力製品を詳しく調べることにした。顧客企業が動画圧縮
徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗
Googleが設立し、Alphabet傘下の子会社として運営されているテクノロジインキュベーターのJigsawが米国時間10月3日、ISPレベルのDNS操作への対抗策として、DNSクエリを暗号化できるAndroidアプリ「Intra」をリリースした。 DNS操作は、独裁的な政権や悪質なISPがネット検閲に用いる最も一般的な手法の1つで、ニュースサイト、情報ポータル、ソーシャルメディアプラットフォーム、望ましくないソフトウェアなどへのアクセスを遮断するのに利用されている。 Intraは、独裁政権が支配する国のISPなど、国家レベルの監視能力を備えた第3者からDNSのトラフィックを隠すことで、DNSが操作されるのを防ぐ。 技術的に見ると、Intraは「DNS over HTTPS」(DoH)というまだ新しいテクノロジを実装している。この技術はまもなく、Internet Engineering
2018/07/12 に発生したセキュリティ インシデント (eslint-scope@3.7.2) について - Qiita
2018 年 7 月 12 日に、ESLint 開発チームが管理する npm パッケージに悪意あるコードが挿入されるセキュリティ インシデントがありました。 ESLint からのアナウンス: https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes npm からのアナウンス: https://status.npmjs.org/incidents/dn7c1fgrr7ng 以下の場合に npm install を実行したユーザーの npm アカウントへのログイン情報 (アクセストークン) が盗まれた恐れがあります (盗まれたアクセストークンはすでに無効化されています)。 日本時間の 18:49 から 19:25 の約 1 時間のあいだに npm install を実行し、eslint-config-e
AWS Secrets Managerを使ってLambdaのシークレットを管理する | DevelopersIO
新サービス、AWS Secrets Managerでシークレットに保存される値がどのように管理されているのか、AWS CLIを使って、その構成要素であるバージョン、ステージラベルを色々と操作しながら理解してみたいと思います。 AWS Summit 2018 San Francisco でシークレットを簡単にローテーション、管理、取得するAWS Secrets Manager が発表されました。 AWS Lambda のシークレットを管理する場合、従来は AWS KMS で暗号化し、実行時に復号する方法などが採用されました。 KMSで認証情報を暗号化しLambda実行時に復号化する AWS Lambda のブループリント(CloudWatchアラームをAmazon SNS経由でSlackに通知する cloudwatch-alarm-to-slack など)もこのアプローチを採用しています。
無料で脆弱性検査!Dockerfileに4行追加で導入できるmicroscannerを試してみた
microscannerは、CVEベースでDockerイメージの脆弱性検査をするツールです。簡単に導入できかつ有用なので、導入方法と利用上の注意事項などをまとめました。 先日レポートした「Docker漬けの一日を共に〜Docker Meetup Tokyo #23」は、情報量がてんこ盛りで、学び多くて楽しくてワッセロイだったんですが、その中で、とく(@CS_Toku)さんがLT発表されていた「KubeCon報告とmicroscanner試してみた」のmicroscannerが、面白そうだったので早速触ってみました。 Dockerfileに4行追加するだけで、CVEベースの脆弱性検査が無料で利用でき、既存のイメージビルドに組むこむのもお手軽そうなので、これからコンテナ導入しようと思っている人も、既に本番でガンガンコンテナ使っている人も、一度導入を検討してみてはいかがでしょうか。 __ (祭)
中国IT企業が、続々とWeChat使用禁止に。苦悩するテンセント - 中華IT最新事情
テンセントの主力SNSアプリである「WeChat」が危機に立たされている。ファーウェイを始めとする中国企業が続々と社内での使用を禁止しているからだ。その原因は、プライバシーの軽視にあると今日頭条が報じた。 10億アカウントを超えるQQ、WeChat テンセントは、PCベースのSNS「QQ」で一世を風靡した。2009年末には10億アカウントを突破し、中国人のほとんど全員がアカウントを持っていた。メールだけでなく、チャットや音声チャットの機能も持ち、海外にいる親戚と話をするのに使われるツールの定番となった。 しかし、スマートフォンが普及し始めると、次第にQQは時代遅れとなったが、テンセントはスマートフォン向けにWeChatを公開。あっという間に、200カ国で使われ、ユーザー数は11億人を超えている。 さらに、このWeChatにスマホ決済機能「WeChatペイ」サービスを開始すると、アリババのア
森永乳業の情報漏洩、正確な情報が少ない訳
森永乳業は2018年5月9日、同社の通販サイト会員の情報が漏洩した可能性があると公表した。だが、被害人数が報道によって2万3000人だったり、12万人だったりと大きく異なる。また、漏洩した可能性のある情報はセキュリティコードを含むカード情報としているが、会員のメールアドレスやパスワード、住所、電話番号などが含まれているかどうかを明らかにしていない。 同社は、クレジットカード会社から不正利用の被害が発生していると4月24日に指摘を受けて事態を把握していた。そこから既に2週間が経過しているのに、どうしてもっと正確な情報が出てこないのか。 被害人数の2万3000人は森永乳業による推測 森永乳業は、クレジットカード会社から指摘を受けた4月24日にセキュリティ会社に調査を依頼。最終結果は5月末日までに報告されることになっているが、「公表した5月9日時点では、被害の範囲や漏洩経路に関する中間報告を受け
「VPS」サービスにおけるMeltdownおよびSpectreへの対応について | さくらのサポート情報
ホストサーバーのOS及び関連パッケージを適切なバージョンにアップデートし、脆弱性対策を行います。 アップデート作業に伴い、ホストサーバーをリブートいたします。 リブートに伴い、お客様サーバーの再起動が発生いたします。 お客様サーバーの再起動のご案内はスケジュールが決定次第お知らせいたします。 ホストサーバーのアップデートが完了しない限り、お客様の仮想サーバーのアップデートをしても、一部の設定ができない可能性があります。 お客様サーバーのOSにあわせて関連パッケージ等を適切なバージョンにアップデートしてください。 ご利用のOSによって、Meltdown/Spectre対策の進捗が異なります。 詳細は以下のページをご参考ください。 https://meltdownattack.com/#faq-advisory お手数ですが、ご利用のOSについて情報を確認し、対策完了バージョンにアップデートし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Railsエンジニアのためのウェブセキュリティ入門
https://www.rfc-editor.org/rfc/rfc8484.txt
Intel、第9世代Coreプロセッサに「Meltdown」対策をハードウェア実装 ~開発中の“単体GPU”のコンシューマ向け投入も明言
