[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示すため、あるいは呼び出す側を特定して課金するなどの目的でアクセストークンを用いることがあります。 アクセストークンは第三者に知られないように安全に管理し利用する必要がありますが、何らかの原因でアクセストークンがコード内にそのまま記述されてそのコードがGitHubなどで公開された結果、悪意のある第三者に使われ、アクセストークン本来の持ち主に膨大な利用料金が請求される、といった事故がしばしば起きています。 GitHubはこうした事故を防ぐため、コード内に記
Fork爆弾『 :(){ :|:& };:』とは? Linuxに限らず、UNIX系のオペレーティングシステムで実行してはならないとされるコマンドや処理に「Fork爆弾」がある。これはひたすらプロセスをfork(2)する処理を行うことで、処理のほとんどをプロセスの生成やコンテキストスイッチに費やさせたり、新しいプロセスの生成を困難にさせたりして、システムを正常に利用できない状況にすることを指す。サービス妨害攻撃(Denial-of-service attack)の一種とも言える。 Fork爆弾は実行が簡単なことでも知られており、Bashであれば「:(){ :|:& };:」と入力するだけで実行できる。今回はこのコマンドを実行してみる。 Ubuntu Serverで『:(){ :|:& };:』を実行 では、早速Ubuntu Server 18.04 LTSで『:(){ :|:& };:』を実
ZMAPとは、ミシガン大学の研究者たちがワシントンで開催されたUSENIXセキュリティカンファレンス上で発表した、オープンソースのネットワークスキャナです。 このツールの売りは、「スキャンの速さ」で、インターネット上にあるすべてのIPv4アドレス(/0)をわずか45分でスキャンできると言われています。スキャンツールとして有名な「Nmap」はネットワーク全体のスキャンに2~3ヶ月かかると言われていますから、ZMAPはとんでもない速さです。 ZMAPのサイトはこちら↓ ZMap · The Internet Scanner ZMAPはLINX系OS全般に対応しているようですが、今回はKali Linx 64bitへのインストールの手順を説明します。 最も簡単な方法は以下のようにapt-getすることなのですが、何故か自分の環境ではできませんでした。("Unable to locate pack
インターネットでは、過去に幾度となく大規模なパスワードの漏えい事故が発生しています。たとえこうしたセキュリティ関連のニュースをこまめに追っていたとしても、その全貌を把握するのは容易ではありません。大丈夫だと思っていた自分のパスワードがとっくの昔に漏えいしており、単にその事実を知らないだけ、というケースは少なくありません。 漏えいした5億件のパスワードを保管 こうした場合に試してみたいのが「Have I Been Pwned」(https://haveibeenpwned.com/)というサイトです。このサイトは、過去にインターネット上で漏えいした約5億件のパスワードデータを保管しており、メールアドレスを入力して検索するだけで、パスワード漏えいの有無、および漏えいしたデータの種類を手軽にチェックできます。 今年に入ってからはメールアドレス以外にパスワードそのものでの検索も可能になるなど、使い
先日、Appleのモバイル向けOS「iOS」の最新版「iOS 11.4.1」がリリースされました。従来版からのマイナーバージョンアップとして計22件の脆弱(ぜいじゃく)性が修正されたので、全てのiPhone/iPadユーザーはアップデートを適用すべきでしょう。 (参考) Apple、iOSやmacOS、Windows向けiCloudなどのセキュリティ情報公開 そして今回のアップデートでは、iOSに追加された「新機能」に注目が集まっています。表向きは、アクセサリにちょっとした仕様変更があったようにしか見えません。しかし、その背景には、Appleが長年、米司法当局とユーザーのプライバシーを巡って繰り広げてきた“戦いの歴史”が横たわっているのです。 「ロック中にUSBアクセサリを接続させない」の意味 まずは、新機能そのものを確認してみましょう。もしあなたがiPhoneユーザーで、OSを「iOS
Miraiボットネットとは Miraiは、2016年9月13日夜、米国のセキュリティジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」に対して行われた大規模なDDoS攻撃に使用されたとして話題になったボットネットです(関連記事)。Miraiは主にWebカメラやルーター、デジタルビデオレコーダーなどのIoTデバイスを踏み台としてDDoS攻撃を仕掛けます。 参考:セキュリティ用語事典:DDoS攻撃 攻撃を受けた後に投稿されたKrebs氏のブログ記事によれば、同サイトを保護していたAkamaiが、ピーク時にはそれまでに経験した最大規模の攻撃の2倍近いトラフィックを観測したそうです。 また、2016年10月21日にTwitterやNetflixなどが利用するDNSサービスへ行われたDDoS攻撃でも、Miraiボットネットが利用されていたのではないかと推定され
マルウェア「Satori」による攻撃を国内初観測、従来のファイアウォール機能では対応が難しい?:状況に応じて誘導先ホスト変更 サイバーセキュリティクラウドは、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃を日本国内で観測した。攻撃元は世界中に分散し、誘導先ホストを変えることが特徴。 サイバーセキュリティクラウドは2018年6月25日、同社が独自にサイバー攻撃データを分析した「サイバー攻撃速報」を発表した。それによると、botネットを構築するマルウェア「Mirai」の亜種である「Satori」による攻撃が日本国内で観測された。 Satoriの攻撃目的は、マルウェアの新たな亜種を拡散させることで、リモートコマンド実行の脆弱(ぜいじゃく)性を悪用して、Satoriのダウンローダーに誘導し、マルウェアをダウンロードさせる。 サイバーセキュリティクラウドでは、2
コンピューター内に保存されている写真やPDFなどのさまざまなデータは、専用のアプリケーションを使って開くことで初めて中身を確認できるようになります。しかし、MacBookやiMacのOSである「macOS」では、ファイルを開かなくてもマウスオーバーして指定のアクションをするだけで中身をチェックできる「クイックルック」という機能があります。これはデータのサムネイル画像を作成することで実現する機能なのですが、このクイックルックによりパスワードで保護されたドライブや暗号化されたボリュームに保存されている機密性の高いデータが漏えいしてしまう可能性があることが指摘されています。 Objective-See https://objective-see.com/blog/blog_0x30.html Reminder: macOS still leaks secrets stored on encryp
この記事では、私が実施したCISSPの勉強方法を、具体的に解説します。 合格してから少し時間がたちました。情報処理安全確保支援士の参考書とかでCISSPの勉強に有効なものが出ないかな?って様子を見ていたのです。結局出ませんでしたが・・・ CISSP勉強に対する基本戦略CCIEやVCIX-NVの時と同様に、まずは勉強の基本戦略を検討しました。 今回のCISSPの勉強では、以下の戦略で合格を目指しました。 研修・セミナーは受講しない他の方のブログを見てみると、かなりのCISSP Candidateが受験前に研修・セミナーを受講するっぽいです。 でも、数十万円します。 私はCISSPを目指している事を会社に言っていませんでした。なので、仮に研修を受講するとしたら、全て自腹になります。 私はCISSPを受験するのに、そこまでの投資は出来ませんでした。なので、研修・セミナーを受講しないでも合格する方
テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな
感染したデバイスに対して「kill」コマンドが実行されれば、大量のルータが同時に使用不能に陥る恐れもある。 米Ciscoのセキュリティ部門Talosは5月23日、国家の関与が疑われる高度なモジュール式マルウェア「VPNFilter」が、世界54カ国で50万台以上のルータなどに感染を広げていると報告した。一斉攻撃を仕掛けられれば大量のルータが同時に使用不能に陥る恐れもあるとして、警戒を呼び掛けている。 Ciscoによると、VPNFilterの感染が確認されているのはLinksys、MikroTik、NETGEAR、TP-LinkのSOHO向けネットワーキングデバイスと、QNAPのNASデバイス。同マルウェアにWebサイトの認証情報を盗んだり、産業制御装置(SCADA)用通信プロトコルのModbusを監視したりするコンポーネントが含まれている点は、特に憂慮されるとしている。 さらに、感染したデ
by Andre Francois 仮想通貨のBitcoin(ビットコイン)はオンライン上のウォレットに保管されるのが一般的ですが、過去にはこのオンラインウォレットサービスから1億2000万円相当が盗まれた事件なども起きており、ウォレットをインターネットに接続されたコンピューター上に保管することでビットコインを盗み出される危険があることはよく知られています。そこで生まれたのがインターネットから隔離されたコンピューターにウォレットを保管する手法の「コールドストレージ」です。しかし、最新の研究ではこのコールドストレージ上からでもビットコインを盗み出すことが可能であると示されています。 Stealing Bitcoin Wallet Keys From Air-Gapped Computers (Cold Storage) https://thehackernews.com/2018/04/bi
多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかし、その方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるために、パスワードの使い回しを避けようとした結果として起こる、多数のパスワードを管理することの手間などが挙げられます。 そして、こうしたパスワードの不便さが、結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合には、それを基にしたリスト型攻撃が有効になってしまう、といった状況も引き起こしてしまいます。 この状況を改善するために、パスワードに依存した認証ではなく、公開鍵暗号などを用いることでWebの安全性や利便性をより高めようと、W3Cが標準化を進めているのが「Web Authentication(WebAuthn)」です。 We
コンピューターの感染は、大体がアダルトサイトを見たのが原因。こういう意見もありますが、はたして本当でしょうか? コンピューターをマルウェアに感染させないために注意することとして、よく言われるのは「アダルトサイトを見ない方がいい」という忠告です。本当にそうなのでしょうか?確かめてみましょう。 改めて言うまでもなく、成人向けコンテンツはかなり人気があります。SimilarWebのWebサイトランキングを見ると、世界で最もアクセスされているWebサイトの上位20の中に、現時点でアダルト関連が3つ入っています。うち2つは、先頭集団のFacebookやYouTube、検索大手のGoogleやBaiduに迫る勢いです。あと1つのPornHubは、InstagramとYandexの間に挟まれた14位です。PornHubは統計好きで、毎年数字をまとめて公開していますが、驚いたことに、2017年の同サイトへ
580億円相当の仮想通貨「NEM」が不正に流出した問題で警視庁は29日、コインチェックの関係者から任意で事情聴取を行っていたことがわかった。警視庁は今後、通信記録を解析するなど不正にコインチェックにアクセスした発信元の特定に向け本格的に捜査する方針だ。また金融庁は同日、コインチェックに対し管理体制の強化などを求める業務改善命令を出した。 こうしたなか、金融庁がコインチェックに対し「仮想通貨の一部がマネーロンダリングに使われる恐れがある」と警告していたことがわかった。朝日新聞デジタルによると、「コインチェックが扱う計13の仮想通貨の一部に、持ち主や取引状況が分かりにくい匿名通貨がある」と不安視。犯罪組織の資金洗浄に悪用されるリスクを再三指摘し対策を求めていたが、コインチェック側の反応は鈍いままだったという。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く