弊社クラスメソッド株式会社主催のイベント「Developers.IO 2019 TOKYO」での登壇資料です。 セキュリティ対策メガ盛りマックス ブログ: https://dev.classmethod.jp/cloud/aws/developers-io-2019-tokyo-all-security-in-aws/ ハッシュタグ: #cmdevio ブログの方に喋った内容の補足など入れてあります ちなみにブログをシェアしてくれると喜びマックス
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ
自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。バックアップも消され、データを取り戻したければ、身代金を支払うよう要求される──企業にとって絶対に直面したくない事態の一つだ。しかしこのシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ。 freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。 訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあったという。同社のPSIRTが取り組んだ
みなさん Fuzz testing ってご存じでしょうか。 人間が作る物は必ずといっていいほどバグが存在します。そしてそのコードをテストする人間も必ずバグを見逃します。 想定していなかった境界値テスト等、人間には先入観という物があり、それが邪魔をして簡単にバグを見逃します。昨今、この様な誰も気付かなかったバグの隙間を突く様な脆弱性が沢山見つかっています。 物によっては重大インシデントに発展する物まであります。 こういった人間では想定できない様なバグを見付けてくれるのが Fuzz testing です。Fuzz testing を実施する事で、ソフトウェアは頑丈になり安全にもなりえます。 本日、Go の master ブランチに Fuzz testing の機能が入りました。 [dev.fuzz] Merge remote-tracking branch 'origin/dev.fuzz'
サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお知らせを掲載しています。 はじめに家人がテレビを見ていて欲しい商品があるというので、あまり気は進まなかったのですが、その商品を検索で探して購入することにしました。「気が進まない」というのは、利用実績のないサイトはセキュリティが不安だからという理由ですが、この不安は的中してしまいました。 最初の「えっ?」はパスワード登録のところでして、パスワードを再入力する箇所で「確認のためもう一度、コピーせず直接入力してください」とあるのですよ。私は乱数で長く複雑なパスワードを入力しかけていたのですが、コピ
Welcome to Shisho DocumentationShisho Documentation has mainly four components and the following pages explain for further details. "Shisho" is a lightweight static code analyzer and this is the core engine for the Shisho product family."Shisho Cloud" is a cloud-based service for IaC security."Shisho Action" is an extension of GitHub Actions to execute the code analysis with Shisho."Shisho Dojo" s
・CVE-2023-35636 – セキュリティ更新プログラム ガイド – Microsoft – Microsoft Outlook の情報漏えいの脆弱性 ・Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes ・The evolution of Windows authentication | Windows IT Pro Blog ・Introducing Mozilla Monitor Plus, a new tool to automatically remove your personal information from data broker sites ・Data Removal Service – Onerep ・PAPERWALL: Chinese Websites Posing as Loc
はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発生原因くらいは知ってるよ」という人を対象にしています。「XSSって何だっけ」という方は クロスサイトスクリプティング対策 ホンキのキホン (1/3):CodeZine(コードジン) などの記事を参照してください。 技術的な面からの解
HomeNewsSecurityNew Linux bug gives root on all major distros, exploit released A new Linux vulnerability known as 'Dirty Pipe' allows local users to gain root privileges through publicly available exploits. Today, security researcher Max Kellermann responsibly disclosed the 'Dirty Pipe' vulnerability and stated that it affects Linux Kernel 5.8 and later versions, even on Android devices. The vuln
Abstract¶ This is the story of CVE-2022-0847, a vulnerability in the Linux kernel since 5.8 which allows overwriting data in arbitrary read-only files. This leads to privilege escalation because unprivileged processes can inject code into root processes. It is similar to CVE-2016-5195 “Dirty Cow” but is easier to exploit. The vulnerability was fixed in Linux 5.16.11, 5.15.25 and 5.10.102. Corrupti
こんにちは、IIJ Engineers blog 編集部です。 今回は、2021年度「サイバーセキュリティに関する総務大臣奨励賞(以下、総務大臣奨励賞)」を受賞したポッドキャスト番組「セキュリティのアレ」の運営者のひとりであるIIJの根岸に今回の受賞について話を聞いてきました。 「総務大臣奨励賞」&「セキュリティのアレ」ってなに? 受賞の話を聞く前に、まずは今回の受賞概要を簡単に紹介します。 サイバーセキュリティに関する総務大臣奨励賞とは? 総務省が、サイバーセキュリティ対応の現場において優れた功績を挙げている個人・団体を表彰するもので、2017年に創設。 自薦または他薦で候補者を募集し、有識者で構成される選考委員会の審査結果を踏まえ受賞者が決定され、毎年、サイバーセキュリティ月間の期間中に表彰が行われます。 ポッドキャスト番組の「セキュリティのアレ」 SBテクノロジー株式会社の辻伸弘氏、
2024-06-24 The Working Group weclomes Nudge Security, Pangea, and OmniSec. 2024-04-04 CISA joins the Working Group - Read CISA's blog post here. 2024-02-29 Comparisons between MVSP and common standards launched Minimum Viable Secure Product (MVSP) is a list of essential application security controls that should be implemented in enterprise-ready products and services. The controls are designed to
2022年2月28日 各位 株式会社メタップスペイメント 代表取締役社長 和田洋一 不正アクセスによる情報流出に関するご報告とお詫び 2022年1月25日「不正アクセスに関するご報告とお詫び」にて、中間のご報告と共にトークン方式のクレジットカード決済サービスの停止をお知らせしました。 今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、下記の通り事態の概要および当面の対処、今後の対応についてお知らせいたします。 関係する皆様方に多大なご迷惑をおかけしましたことを、心よりお詫び申し上げます。 1. 本件の概要 弊社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。攻撃は、2021年8月2日から2022年1月25日にわたって以下の事項が複合的に行われ、決済情報等が格納されているデータベースに
■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」(以下、KEVC)は、米国土安全保障省のCISA(Cybersecurity & Infrastructure Security Agency)が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 (CVE) ベンダー/プロジェクト名 (Vendor/Product) 製品脆弱性名 (Vulnerability Name)
へようこそ 「このメール、迷惑メールかも?」 常に疑いながらメールを見ることを習慣に。 使っている日本語がおかしい。 送られてくるメールアドレスがおかしい。 そもそも書いてある内容に身に覚えがない。 あなたの手元にあるそのメールは迷惑メールかもしれません。 迷惑メール展では、そんな紛らわしいメールの事例や対処方法をまとめました。ご覧ください。 フィッシングサイトやフィッシングサイトに誘導するメール/SMSなどに遭遇した場合、各種フィルターや送信者への措置など対策を講じるために情報提供をお願いいたします。 情報提供のお願い
はじめに みなさんこんにちは、セキュアスカイ・テクノロジーのはせがわようすけと申します。 周知のとおり、ここ数年のブラウザの機能強化は目覚ましいものがあり、CSS3やSVGを含むHTML5ブーム以降のブラウザ内での表現力の向上や、JavaScriptエンジンの最適化による実行速度の向上は、数年前では考えられないような目を見張るものがあります。また、HTML5の仕様策定後の現在でも、WHATWGやW3Cではさまざまな議論が継続的に行われており、これまでブラウザ上に存在しなかったような多様なAPIの仕様が生み出され、各ブラウザに日々実装されています。 利用者視点だけでなく、以下のような開発者視点での需要に応えるフロントエンド開発環境の改善も、ここ数年でかつてないほど大きく進んでいます。 CoffeeScriptやTypeScriptに代表されるaltJSと呼ばれる言語処理系の登場 ES2015
Posted by Ryan Schoen, Project Zero tl;drIn 2021, vendors took an average of 52 days to fix security vulnerabilities reported from Project Zero. This is a significant acceleration from an average of about 80 days 3 years ago.In addition to the average now being well below the 90-day deadline, we have also seen a dropoff in vendors missing the deadline (or the additional 14-day grace period). In 20
SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254について SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例 SSRFを利用したメール送信ドメインの乗っ取り 「CODE BLUE 2018」参加レポート(岩間編) この「空前のSSRFブーム」に便乗して、SSRFという攻撃手法および脆弱性について説明します。 SSRF攻撃とは SSRF攻撃とは、攻撃者から直接到達できないサーバーに対する攻撃手法の一種です。下図にSSRF攻撃の様子を示します。 攻撃者からは、公開サーバー(203.0.113.2)にはアクセスできますが、内部のサーバー(192.168.0.5)はファイアウォールで隔離されているため外部から直接
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く