IP スプーフィングの仕組みとは? 防止・対策方法を紹介します
スプーフィングとは、第三者がコンピュータ、デバイス、またはネットワークを使用して、正規の人物になりすまし、他のコンピュータネットワークを不正に利用するサイバー攻撃のことです。 これは、ハッカーがコンピューターにアクセスして機密データをマイニングしたり、ゾンビ(悪意のある使用者に乗っ取られたコンピューター)に変えたり、サービス拒否 (DoS) 攻撃を開始したりすることを目的として使われるツールの1つです。 さまざまな種類のスプーフィング攻撃がある中で、IP スプーフィングは最もよく使われる手法です。 IP スプーフィングとは? 「IP スプーフィング」または「IP アドレススプーフィング」とは、別のコンピュータシステムになりすますために、偽の送信元「IPアドレス」を使用して、インターネットプロトコル(IP)パケットを作成することです。 IP スプーフィングにおいては、ほとんどの場合、サイバー
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング
この記事は、Merpay Tech Openness Month 2023 の4日目の記事です。 こんにちは。メルコインのバックエンドエンジニアの@goroです。 はじめに このGitHub Actionsのセキュリティガイドラインは、社内でGithub Actionsの利用に先駆け、社内有志によって検討されました。「GitHub Actionsを使うにあたりどういった点に留意すれば最低限の安全性を確保できるか学習してもらいたい」「定期的に本ドキュメントを見返してもらい自分たちのリポジトリーが安全な状態になっているか点検する際に役立ててもらいたい」という思いに基づいて作成されています。 今回はそんなガイドラインの一部を、社外の方々にも役立つと思い公開することにしました。 ガイドラインにおける目標 このガイドラインは事前に2段階の目標を設定して作成されています。まず第1に「常に達成したいこと
Prevent Attacks and Redirect Users with OAuth 2.0 State Parameters
Authorization protocols provide a state parameter that allows you to restore the previous state of your application. The state parameter preserves some state objects set by the client in the Authorization request and makes it available to the client in the response. The primary reason for using the state parameter is to mitigate CSRF attacks by using a unique and non-guessable value associated wit
紛失した Windows デバイスを探し、ロックする - Microsoft サポート
[マイ デバイスの検索] は、紛失または盗難にあった場合にWindows 10またはWindows 11デバイスを見つけるのに役立つ機能です。 この機能を使用するには、Microsoft アカウントでデバイスにサインインし、ご自分がデバイスの管理者であることを確認してください。 デバイスの他のユーザーがアプリの位置情報設定をオフにしていても、管理者のデバイスの位置情報がオンになっていれば、この機能を使用することができます。 管理者がデバイスを見つけようとする場合、デバイスを使用しているユーザーの通知領域には毎回通知が表示されます。 この設定は、PC、ノート PC、Surface、Surface ペンなどの Windows デバイスで有効です。 使用する前にオンにする必要があります。 職場または学校のアカウントでは使用できません。また、iOS デバイス、Android デバイス、Xbox O
noteの独自ドメインセッションの脆弱性について報告した件
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
例外規定が不正ログインの一因に 熊本県立大が被害 2要素認証なしの名誉教授が狙われ
熊本県立大学は12月13日、同学名誉教授のメールアカウントが不正ログインされ、個人情報が漏えいした可能性があると明らかにした。名誉教授は例外的に2要素認証を免除されていた上、他サイトでも使っている短いパスワードを設定していたという。 事実が判明したのは7日。名誉教授のメールアカウントに海外から8月30日以降で約1000件の不正ログインがあったと分かった。漏えいした可能性があるのは、教職員や学生などの氏名やメールアドレスなど3537人分、教職員などの履歴書43人分、名誉教授のアドレス帳991人分、その他の人事資料など。 熊本県立大学は原則として2要素認証を求めているが、名誉教授はスマートフォンを持っていなかったため例外的に免除していた。使っていたパスワードは短く、他サイトでも使っていたもので、これらが不正ログインの原因になったとみている。 問題判明後は、パスワードの変更やウイルススキャン、警
【マルウェアの代表的な6つの感染経路別】多層防御アプローチによる対策一覧まとめ
経路1 WEBサイト閲覧・誘導による感染不正なコードが埋め込まれたWebサイトを閲覧することで、マルウェアに感染することがあります。また、官公庁や企業などの正規のWebサイトが第三者によって改ざんされ、閲覧者が気が付かないうちに不正なサイトへ誘導される事例もあります。以下のような怪しいウェブサイトにはアクセスしないことをお勧めします。 ・電子掲示板やSNS上のリンクには特に注意する。 不特定多数がアクセスするため、むやみにリンクをクリックしないように気を付けましょう ・SSL証明書を利用していないサイトには注意する。 (例: 鍵アイコンとHTTPS:// で始まるものではなく HTTP:// で始まるサイト) 経路2 メールの添付ファイルやURLクリックによる感染安全だと思った電子メールの添付ファイルやWebサイトのリンクをクリックすると、マルウェアに感染するというのはニュースなどでもよ
従業員向けセキュリティ教育のネタ
情報セキュリティマネージメントというと、必ずやらないといけないのが従業員教育。 しかし、古めかしいe-learningツールで、nextボタンをポチポチしつつ、つまらない動画を見る教育コンテンツは、はっきり言って意味ないと思うし、苦痛でしかない。とはいえ、カスタマイズして数百人の従業員にデリバリーするほど工数も割けない。 自分の会社の場合、KnowBe4というプラットフォームを契約して、オンボードや年次の必須教育をデリバリーしているが、これらは、なるべく苦痛にならない程度のボリュームのものを選んで、宿題でやってもらう感じにしています。事前に読んでチェックしなければいけない利用規程(Acceptable Use Policy)を読ませて、読みましたチェックを押してもらう、などもKnowBe4でやっています。しかし、さすがに全部のエッセンスが入ったコンテンツを割り当ててしまうと、普通に1hとか
情報漏えい発生時の対応ポイント集 (PDF:775KB) - IPA
0 情報漏えい発生時の 対応ポイント集 情報が漏えいしてしまった時、 何をすべきか!! http://www.ipa.go.jp/security/ 2012年9月3日 第3版 1 目次 はじめに 2 1.基本的な考え方 3 2. 情報漏えい対応の基本ステップ 5 3. 情報漏えいのタイプ別対応のポイント 7 3.1. 紛失・盗難の場合の対応 9 3.2. 誤送信・Web での誤公開の場合の対応 11 3.3. 内部犯行の場合の対応 13 3.4. Winny/Share 等への漏えいの場合の対応 15 3.5. 不正プログラム(ウイルス、スパイウェア等)の 場合の対応 17 3.6. 不正アクセスの場合の対応 19 3.7. 風評・ブログ掲載の場合の対応 21 4. 発見・報告におけるポイント 23 5. 通知・報告・公表等におけるポイント 24 6. 参考情報 26 2 はじめに 本ポ
IPスプーフィングとは?攻撃の仕組みや危険性、対策について徹底解説
サイバー攻撃にはさまざまなものがあり、年々悪質化かつ巧妙化しています。その中に、「なりすまし」と呼ばれるものがあります。これは、他人のアカウントなどを使って、自分とは違う他人になりすまして、犯罪行為をはたらくといったものです。 IPアドレスを偽装する「IPスプーフィング」もある意味で、なりすましの一種です。別のIPアドレスに偽装することでさまざまな悪事を働くIPスプーフィングの実態に迫ります。 自分のIPアドレスを偽装、あるいは、偽装して攻撃を行うといったことを「IPスプーフィング」と言います。IPアドレスを偽装することで、たとえば以下のようなことを行います。 WebサイトなどでのIPアドレス制限を突破して攻撃を行う 他人のIPアドレスを使って別人になりすます サイバー攻撃を行う際に、攻撃元の特定を困難になる このように、別のIPアドレスに偽装することで、さまざまな犯罪行為に使われています
私がISO27001(ISMS)の勉強で最もお世話になった書籍
ISO27001とは?情報セキュリティマネジメントシステムフレームワークです。日本ではJIS Q27001(2014)で日本語化されています。 簡単に言うと「対象組織が情報セキュリティを管理できる体制・対策をしっかりしてるよね?」ってのを、確認する規格です。 難しいですね。何ていうか、直感的じゃないですよね。 分かります。私は何度かISO270001関係のお仕事に携わったことがあるのですが、初めは「何を言ってるんだ?」と、そもそもの言葉の解釈に苦労しました。 本日お勧めの書籍JISからJIS Q 270001:2014を購入することも可能なのですが、これだけでは「何を言っているのかさっぱり」状態になる可能性大です。 なので、必然的に解説書が必要になります。 私は仕事で何冊かISO27001関係の書籍を読んだことがあるのですが、間違いなくお勧めできるのは以下の2冊です。 初めのが、解説書。次
情報資産管理台帳とは?規格認証や監査のためには作成が必須 | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
「情報資産」は経営資源(ヒト・モノ・カネ・情報)の一種で、情報セキュリティ分野においては情報および情報を扱う仕組みまでを包含する概念となります。企業が保有・収集する情報のほか、情報メディア(書類や各種のデジタルメディア)、情報を扱うソフトウェア、端末や機器、設備等のハードウェア、担当要員、マニュアル等のドキュメントも含みます。 重要な情報資産の例として以下があげられます。 製品技術情報 財務や人事等の経営情報 顧客情報 知的財産(特許や著作権) 情報システム、社内ネットワークと関連機器 ただし、具体的な情報資産のうちどれをセキュリティ保護の対象とするかは、それぞれの組織が属する業界や業務特性をかんがみ、個々に決めていく必要があります。 情報資産管理台帳とは 作成にあたり、まずは事業継続において保護が必要な情報資産を特定し、それぞれの情報資産に対するリスク評価を実施します。そして評価結果を情
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
偽Wi-Fiアクセスポイントで本当にパスワードは盗聴できるか試してみた - YouTube
公衆無線LANは盗聴の危険があると言われていますが、常時SSLが普及した現在どのような状況で盗聴される可能性があるでしょうか。 この動画では偽のアクセスポイントを使ってしまった利用者を想定して、かつサイトのドメイン名は本物であるという前提での盗聴を実演を交えて解説します。 また、背景知識として、いわゆる「ウェブ認証」などで用いられるCaptiveポータル(俗に「ホテルページ」などとも呼ばれる)についても解説しています。 この動画では、利用者が正しくない利用法をすることによりオンラインバンキングのID・パスワードを盗聴されていますが、サイトに脆弱性があるわけではありません。 この動画の末尾では、このような攻撃にあわないためのサイト側、利用者側双方の対策について解説しています。 ※ 注意 ・動画中の解説では80/TCPのみBurp Suiteにリダイレクトしていますが、実演では443/TC
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Security Tips and Suggestion - Dokku - Node.js App | DigitalOcean
Load secrets into the environment | 1Password Developer
GitHub - sethvargo/ratchet: A tool for securing CI/CD workflows with version pinning.
JWT and one-time tokens?