パロアルトネットワークス（以下、パロアルト）は2020年3月6日、「クラウド脅威レポート 2020年春」を発表した。IaC（Infrastructure as Code）テンプレートを利用してクラウドインフラを自動構築する際に適切なセキュリティツールとプロセスが利用されず、さまざまな脆弱（ぜいじゃく）性によってこれらのテンプレートが改ざんされる事例が増えてきている、としている。 クラウドの設定ミスはテンプレートの利用が原因 今回のレポートによると、重大度が「中」から「高」程度の脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかったという。パロアルトの2019年の調査によると、クラウドに関するインシデントの65％が単純な設定ミスによるものだった。そのため同社は、「今回の調査で見つかったクラウドの設定ミスは、テンプレートの利用が原因だと示唆される」と分析している。 さら

出題分野、出題範囲はこれでも一部です。非常に幅広い分野の知識とスキルが求められます。 未経験・初心者がCTFに出場するための方法 CTF初心者や未経験の人でもCTFに参加することは可能です。ここでは、CTFに参加するまでに行っておいたほうがいいおすすめの手順を紹介します。 SECCON、SECCON以外のCTFのスケジュールを確認 まずはSECCONのサイトからCTFのスケジュールを確認する方法を紹介します。 SECCONの公式サイトへアクセス メニューから「スケジュール」をクリック SECCON以外で開催されているCTFのスケジュールは以下のサイトから確認することができます。 サイトCTFtime.org　https://ctftime.org/ CTFtime.orgのメニュー「Calendar」をクリックすると「Events calender」が表示されるので、ここから世界中で行われ

United States Computer Emergency Readiness Team (US-CERT)は3月4日(米国時間)、「Google Releases Security Updates for Chrome｜CISA」において、Google Chromeに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており、注意が必要。 脆弱性が修正されたプロダクトおよびバージョンは次のとおり。 Google Chrome 80.0.3987.132 Windows版 Google Chrome 80.0.3987.132 Mac版 Google Chrome 80.0.3987.132 Linux版 Google Chrome 80.0.3987.132 - macOS Catalina 脆弱性に関する

Intel製のCPUには、2018年に「Meltdown」や「Spectre」、2019年には「SPOILER」など、ここ数年多くの脆弱性が判明しています。そうした脆弱性のひとつとして、Intel製CPUのセキュリティシステムである「Intel CSME」に見つかった、「すでに修正パッチを配布済み」の脆弱性が、実は完全には修正不可能なものであることが判明しました。この脆弱性を悪用すると、悪意のあるコードを特権レベルで実行できるほか、著作権保護技術のDRMの回避などが可能になります。 Positive Technologies: Unfixable vulnerability in Intel chipsets threatens users and content rightsholders https://www.ptsecurity.com/ww-en/about/news/unfix

SQL インジェクションは広範囲に悪影響を与える危険な脆弱性です。今回は SQL インジェクションの種類と対策についてご紹介します。

Wi-Fiデバイスに内蔵されたチップのバグにより、世界10億台ものスマホやタブレットの通信が傍受される潜在的脅威が浮上した。 この脆弱性は、スロバキアのセキュリティ企業ESETが発見し、「Kr00k」と名づけられた。Kr00kは、BroadcommとCypress社製のWi-Fiチップのバグに起因する脆弱性だ。 この2社のチップは、世界で最も利用されているもので、アップルのMacBookやiPad、iPhoneやアマゾンのキンドルやエコー、サムスンのGalaxyやグーグルのPixelでも採用されている。 ESETによると、Kr00kはデバイス間通信で利用されるall-zero encryption key(すべてゼロ値の鍵)を引き金とし、サイバー犯罪者がネットワークパケットを解読可能にする脆弱性だという。 Wi-Fiデバイスは通常の場合、長く複雑な暗号化キーを用いることでネットワークへの侵

Firefoxに対する攻撃を防御、WebAssemblyを利用したサンドボックスが役立つ：Windows版にも適用可能 「WebAssembly」を使ってWebブラウザをサイバー攻撃から保護する仕組みをテキサス大学の研究者らが開発した。現在は「Firefox」で効果を検証しており、今後は全面的に適用される見込みがあるという。

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Intelは2019年に、同社のCPU技術で発見されたバグをパッチで修正したが、セキュリティ企業Positive Technologiesの研究者らによると、そのバグが与える影響は当初考えられていたよりもはるかに深刻である。 Positive Technologiesが米国時間3月5日に公表した報告書は、「過去5年間にリリースされたIntel製チップセットの大半に、この懸案の脆弱性が含まれている」と述べている。 攻撃は検出が不可能で、ファームウェアのパッチは問題を部分的にしか解決しない。 研究者らは、デバイスを保護し、機密性の高い業務を行えるように、このバグの影響を受けない最新のCPUに置き換えることを推奨している。この脆弱性がないCP

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 奈良県宇陀市は、2018年10月に市立病院で発生したランサムウェア「GandCrab」の感染に伴う電子カルテシステムの障害に関するインシデント対応や調査結果などの報告書を公開した。同市は、再発防止策など対応の完了にめどが立ったとして、2月28日に安全が確認されたと発表している。 このセキュリティインシデントは、2018年10月16日に発生した。電子カルテシステムが使用できなくなり、ランサムウェアの感染が発覚。翌17日にかけて被害確認や不正プログラムの除去、復旧作業などを行い、18日に電子カルテシステムを再稼働させた。ただ、ランサムウェアによって電子カルテのデータが暗号化され使用不能になり、約半年を費やして2019年3月25日に全データの

iPad Pro (2024) review: So very nice, and so very expensive

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 香港に本社を置く航空会社Cathay Pacificは、顧客情報の保護を怠ったとして50万ポンド（約6900万円）の罰金を科された。 英国の情報コミッショナー事務局（ICO）の発表によると、Cathay Pacificは2014年10月から2018年5月の間、同社のコンピューターシステムに適切なセキュリティ対策を講じておらず、結果として約940万人の顧客情報への不正アクセスが発生した。そのうち英国人は11万1578人だった。ICOは、Cathay Pacificがシステムのセキュリティ対策を怠ったために、乗客の個人情報（氏名、パスポート番号、IDカード番号、生年月日、郵便番号、Eメールアドレス、電話番号、渡航履歴など）への不正アクセスが

iPad Pro (2024) review: So very nice, and so very expensive

無料 SSL の認証局である Let's Encrypt は、有効な証明書のうち 2.6% に当たる300万件の証明書に対し、2020年3月4日に失効手続きを行うと宣言しました。しかもその事がユーザーに通知されたのは失効手続きの数時間前です。一体、Let's Encrypt に何が起きたのでしょうか？　私が調べた事を共有したいと思います。 この記事は Let's Encrypt の証明書失効に関する一連の出来事についてまとめた物です。今回の失効処理の対象となっているかどうかの確認方法等については、以下の記事をご覧下さい。 Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 更新しました(2020/3/7) 影響の度合いについての記載が正しくなかったので修正 現在の Let's Encrypt の見解が正しくなかったので修正 何が起きているのか？

本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト（Anonymous IP List) のルールが追加されました。 AWS WAF adds Anonymous IP List for AWS Managed Rules 何が嬉しいのか Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。 アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域

2020-03-10 Update1: あなたの macOS には何種類のPythonが入っていますか？私は401種類でしたが。 Update2: わりかん がん保険 やってます 2020-03-15 Update3: タイトルが Window 10 だったのを Windows 10 に修正。無意識typoでした。 タイトルは煽りです。WSL Ubuntu 18.04 上にはpyenv経由で3種類+OS由来の2種類で合計10種類でした。 なぜこの記事を書こうとしたのか 背景を説明します。ひさびさにWindows 10を開いたのでセキュリティアップデートも兼ねて Visual Studio Comminity 2019 update や Microsft Store からのアプリのアップデートをよく確認せずに実行したところ、Git bash から python が起動しなくなってしまったので

Googleアカウントのセキュリティを本気で強化する方法2020.03.07 20:0023,123 David Nield - Gizmodo US ［原文］ （ Rina Fukazu ） 周りに必要そうな人がいたら、教えてあげたい機能。 Google（グーグル ）アカウントを保護する方法は基本的に3つあります。まずセキュリティ強めなパスワードを設定すること。もっと強化するには、2段階認証プロセスを有効にすること。そして極めつけは、高度な保護機能を利用すること。今回は、この｢高度な保護機能｣とはどのようなものかについて解説します。 どんな人が使うべき機能？まず最初に明確にしておきたいのが、この機能はGoogleアカウントを持つ全ユーザーにお勧めできるもの...ではありません。 そもそも、設定するのに結構な時間がかかります。また、初めてログインする端末やたまにしか開かない端末を使うとき、

先日、Amazon Redshiftにおいて「列レベルのアクセスコントロール」が出来るようになった旨、アナウンスがありました。 Amazon Redshift のための列レベルのアクセスコントロールの発表 Announcing column-level access control for Amazon Redshift Amazon Redshift now supports access control at a column-level for data in Redshift. Customers can use column-level grant and revoke statements to help them meet their security and complianc... https://t.co/TJZlrbFvYI — What’s New on AWS (

一般的にセキュリティが強固だと信じられている2要素認証アプリ。ネットバンキングなど重要なサービスで設定している方も多いのではないか。 だが、意外にも2要素認証アプリのトークンは盗まれてしまう可能性があるという。 バンキングマルウェアに強いサイバーセキュリティ企業、ThreatFabricが、ブログ記事にて新手のトロイの木馬攻撃について明らかにしている。 ・RAT機能が追加されたCerberus2要素認証アプリのトークンを盗む手口は、2020年1月中旬に発見された「Cerberus（ケルベロス）」の亜種によって成し得るという。 Cerberus自体は、2019年6月に再登場したマルウェア「Anubis（アヌビス）」の流れを汲んでいる。アンドロイド端末で動作し、感染したデバイスから個人を特定できる情報（PII）を抽出。これに端末のリモート操作を可能にする「RAT機能」が追加されたのが今回出てき

iPhoneのOSであるiOS 13の純正アプリに表示される広告の多さについて、ミニブログサービスTumblrのエンジニアであるスティーブ・ストリザ氏が「これではもうアドウェアです」と苦言を呈して、波紋を投げかけました。この主張に対し、インターネット上の意見は賛成と反対の両方に割れています。 The Paywalled Garden: iOS is Adware - Steve Streza https://stevestreza.com/2020/02/17/ios-adware/ Apple is pushing its services, but iOS is not adware yet https://appleinsider.com/articles/20/02/19/apple-is-pushing-its-services-but-ios-is-not-adware-yet

世の中 くつざわ亮治テレビ改革党豊島区議会議員 on Twitter: "とあるサーバー管理者さんからご連絡 安倍やめろ ツイデモ発信は東京一極だったが細かく追跡した結果、そのほとんどが次の3つのIPアドレスからだった ・西早稲田 在日韓国人問題研究所 ・代々木 韓国旅券法の改正を求める会 ・高円寺 日… https://t.co/aPotONzSwZ"

0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し