背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……

お久しぶりです。しなもんです。 ここ数ヶ月作成していた「セキュリティエンジニアのための English Reading」が無事 IPA のサイトで公開されましたのでここで紹介させていただきます。 日本のセキュリティエンジニア全員に是非！是非！ご覧いただきたい内容に仕上がっていると自負しておりますので (誇張あり)、どうか冷やかしでも一度ご覧いただけると幸いです。 www.ipa.go.jp 中核人材育成プログラムとは プロジェクトの背景 「セキュリティエンジニアのための English Reading」紹介 Awareness ～英語情報の重要性を理解する～ Practice ～より「楽に」「上手く」読む～ Training ～リーディング力を鍛える～ セキュリティ英単語集 特長①: セキュリティニュースで「実際に使われている」単語を厳選 特長②: セキュリティならではの意味・使用例を掲載

SecurityExtend your dependency information in the GitHub Dependency Graph with new GitHub ActionsNew Actions from Anchore, NowSecure, SBT, and Trivy are now available to create a more comprehensive GitHub Dependency Graph. Earlier this month, we released an API that allowed you to upload dependency information directly to GitHub. Previously, GitHub built the dependency graph entirely from static s

株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分（改善命令）があいついで公開されました。 第三者委員会調査報告書（公表版） クレジットカード番号等取扱業者に対する行政処分を行いました （METI/経済産業省） 本稿では、主に第三者委員会の調査報告書（以下「報告書」と表記）をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい

はじめに SOCではインターネットに対して公開されたホストを狙うスキャン活動を観測しています。2021年以降は特に6379/TCP（Redis）と2375/TCP（Docker API）へのスキャンが大幅に増加していることを確認しており、IIJが発行している技術レポート「Internet Infrastructure Review（IIR）Vol.54」内のSOCレポートで紹介しています。 Redisはパスワードが標準では設定されていないため、外部に公開するとパスワードなしでアクセスされる可能性があります。 攻撃者によりconfigコマンドが悪用されることで、任意のコマンドが実行される恐れがあります。 また、Dockerはコンテナを操作できるDocker APIを外部に公開すると、攻撃者が用意したコンテナイメージがデプロイされ、任意のコマンドが実行される恐れがあります。 図-1と図-2に、

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク

サンライズ時代には数多くの男児向け作品やSF作品に参加し、フリー転向後は女児向けの長期シリーズや女性ターゲットの作品を手がけるなど、ジャンルにとらわれずに最前線で活躍を続ける菱田正和。そのルーツをたどるインタビュー連載の第1回に挙がった作品は、アニメ業界に進むきっかけとなった『機動戦士ガンダム』。 ――『機動戦士ガンダム（以下、ガンダム）』はリアルタイムで見ていたのですか？ 菱田　いえ、放送当時は小学校低学年でしたが、リアルタイムでは追っていなくて、クラスでガンプラが流行ったタイミングで初めて『ガンダム』の存在を知りました。もともとそんなにアニメを見る子供ではなかったんですが、ガンプラを見たときに「モビルスーツってカッコいいな」と感じて、自分でも作ってみたいと思ったんです。ところが当時は近所のおもちゃ屋さんに行っても発売日に行列ができるくらい大流行していて、なかなか手に入らない状態だったん