AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイート、 Ars Technicaの記事、 The Registerの記事)。 PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。 なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開
Myspace.com Blogs - Pitched Down House Sound Mix - The Revenge MySpace Blog
Help Site Info Privacy Terms Ad Opt-Out Do-Not-Sell My Personal Information A part of the People / Entertainment Weekly Network. May 31, 2016 You may have heard reports recently about a security incident involving Myspace. We would like to make sure you have the facts about what happened, what information was involved and the steps we are taking to protect your information. What Happened? Shortly
パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表しました。 Our Response to a Recent Security Incident- GoTo https://www.goto.com/blog/our-response-to-a-recent-security-incident GoTo says hackers stole customers' backups and encryption key https://www.bleepingcomputer.com/news/sec
原因は、クラウドコンピューティング環境にアクセスするための認証情報が破られたことにあった。被害に遭ったアカウントは、多段階認証を使っていなかったという。 過去を振り返るアプリ「Timehop」の提供企業は2018年7月8日、同社のネットワークが不正アクセスされ、ユーザー2100万人分の名前や電子メールアドレスなどの情報が流出したと発表した。 Timehopは、自分が過去にFacebookやInstagramなどに投稿した記事や写真を振り返ることのできるアプリで、iOS版やAndroid版が提供されている。 同社の発表によると、2018年7月4日に不正侵入が検知され、その日のうちに侵入を阻止したが、ユーザーの名前と電子メールアドレス、電話番号をログインに使っていたユーザーについてはその情報が流出したという。 さらに、Timehopでユーザーのソーシャルメディアの投稿を読み取るための「アクセス
Kaspersky Internet Security騒動の裏に隠された真実:Security Incident Report Kaspersky Labsのセキュリティ製品「Kaspersky Internet Security」を利用するユーザーの多くが悲鳴を上げている。4月18日に配布された更新ファイルを適用後、画面上のあらゆる文字が消えていくなどの被害報告が相次いで寄せられているのだ。現時点で国内総代理店のジャストシステムから公式な発表は出ていない。 「Kaspersky Internet Security」「Kaspersky Anti-Virus」などのセキュリティ製品を販売するKaspersky Labs。ユージン・カスペルスキー氏が創設したこのセキュリティベンダーの製品は、日本国内ではジャストシステムが国内総代理店として、同製品の販売/サポートを行なっており、少なくない数の
翻訳家志望だった文系女子が「セキュリティエンジニア」になった理由:セキュリティ、若手に聞いてみよう(3)(1/2 ページ) メディアではあまり脚光を浴びることのない“若手社員”の声を聞いてみるインタビューシリーズ。今回は、サイボウズでセキュリティエンジニアを務める長友氏にお話を伺いました。 「もともとは翻訳家になりたかったんです。でも、自分には才能がないことが分かって……」――そう語るのは、サイボウズ グローバル開発本部 東京品質保証部 PSIRT(Product Security Incident Response Team)の長友比登美氏。現在はセキュリティエンジニアとして同社製品の品質を守る社会人2年目の同氏だが、学生時代は社会学を専攻する“文系ど真ん中”の学生だった。 では一体何が、そんな長友氏をサイバーセキュリティの世界へと駆り立てることになったのだろうか? そして現在の仕事につ
How Google got to rolling Linux releases for Desktops | Google Cloud Blog
Hero image credit: Markus Teich At Google we run large production fleets that serve Google products like YouTube and Gmail. To support all our employees, including engineers, we also run a sizable corporate fleet with hundreds of thousands of devices across multiple platforms, models, and locations. To let each Googler work in the environment they are most productive in, we operate many OS-platfor
本連載「中堅・中小企業向け、標的型攻撃対策の現実解」では、中堅・中小企業における「高度標的型攻撃(APT)」への現実的な対策を、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」を参照しながら解説している。 ベースラインAPT対策コンソーシアム(以下、BAPT)のメンバーが交代で各回を担当。第1回と第2回では最初に取り組むべき「リスク分析」を扱った。第3回は「出入口対策」、第4回は「ログ管理」、第5回は「エンドポイント対策」について解説した。 今回は、広く一般的な言葉として使われるようになった「CSIRT(Computer Security Incident Response Team)」について、中堅・中小企業で構築する際の勘所を解説する。 中堅・中小企業のCSIRTを考える なぜ、CSIRTを含めたセキュリティ対応体制が必要なのか。それは、サイバー攻撃を完全に防ぐことは不
Archived AWS Well-Architected Framework July 2020 This whitepaper describes the AWS Well-Architected Framework. It provides guidance to help cus- tomers apply best practices in the design, delivery, and maintenance of AWS environments. We address general design principles as well as specific best practices and guidance in five conceptual areas that we define as the pillars of the Well-Architected F
CSIRTとはそもそも何か? CSIRTとは「Computer Security Incident Response Team」の略であり、そこに含まれる「Computer Security Incident(以降、インシデント)」とは、日本最初のCSIRTでもある公的機関JPCERTコーディネーションセンター(以降、JPCERT/CC)のWebサイトにおいて以下のように説明されています。 コンピュータセキュリティインシデントとは、「情報システムの運用におけるセキュリティ上の問題として捉えられる事象」です。コンピュータセキュリティインシデントの例として、情報流出、フィッシングサイト、不正侵入、マルウエア感染、Web改ざん、DoS(DDoS)などがあります。 ここで注意すべきなのは、いわゆる「不正アクセス」とは異なり、攻撃の試みなど実害のないものも含んでいる点です。例えば、日本において「不正
Cloudflareが社内Wikiなどをホストするサーバーへ不正アクセスされたことを発表、分析・対応済みでユーザーデータやシステムへの影響はなし
Cloudflareが2023年11月23日に社内Wikiなどをホストするサーバーへ不正アクセスが行われたことを発表し、同時に分析結果をブログに掲載しました。 Thanksgiving 2023 security incident https://blog.cloudflare.com/thanksgiving-2023-security-incident 攻撃を受けたのはCloudflareが社内Wikiなどを展開している自己ホスト型のAtlassianサーバー。2023年11月23日に攻撃を検出後、Cloudflareのセキュリティチームは直ちに攻撃者のアクセスを遮断し、調査を開始しました。攻撃の3日後である11月26日にはCrowdStrikeのフォレンジックチームを迎え入れて分析を実施したとのこと。 そして2024年1月31日に調査が完了しました。調査の結果、アクセス制御やファイア
How Cloudflare mitigated yet another Okta compromise10/20/2023 This post is also available in 简体中文, 繁體中文, 日本語 and 한국어. On Wednesday, October 18, 2023, we discovered attacks on our system that we were able to trace back to Okta – threat actors were able to leverage an authentication token compromised at Okta to pivot into Cloudflare’s Okta instance. While this was a troubling security incident, our
There will be cases like the serverless compute engine ECS Fargate, Google Cloud Run, etc., where some of these pieces are out of our control, so we work on a shared responsibility model. The provider is responsible for keeping the base pieces working and secured And you can focus on the upper layers. Prevention: 8 steps for shift left security Before your application inside a container is execute
昨年9月から本年5月まで、本学で発生しておりました情報セキュリティインシデントにつきましては、多大なご迷惑をおかけし、心からお詫び申し上げます。 この度、インシデントからの復旧にご尽力いただいた学外の専門家の方々に、「政策研究大学院大学の情報システムに対する不正アクセスの調査報告書」をおまとめいただきましたので公表いたします。 本インシデントは2022年8月29日に発生したもので、これに対して本学はネットワークを遮断した上で、徹底的な調査、復旧作業を実施し、2023年5月8日にはインターネットサービスの利用も再開いたしました。インターネットサービス利用再開までの間は別回線によるインターネット接続を確保し、電子メール等のクラウドサービスの利用や、オンライン授業、オンライン会議等の教育研究活動が実施可能な環境を整備し、一部制約はあるものの業務を実施してまいりました。 また、復旧作業にあたっては
WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか:「セキュリティリサーチャー」って何をする人?(1/2 ページ) サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 「人材不足」「育成の必要性」などの課題と関連してひとまとめに語られがちな「セキュリティ人材」。しかし、セキュリティ対策の実装や運用だけでなく、内外との調整役、脆弱(ぜいじゃく)性検査とその結果に基づく設計、いざ問題が生じた際のレスポンス対応など、さまざまな役割が必要だ。業務内容は多岐にわたるため、1人で全てを担うのは難しい。セキュリティ担当
ビジネスを支えるITインフラとしてクラウドの導入や活用が一般的になる中、企業には、オンプレミス時代とは異なるリスク管理が求められている。業務やサービスを支えるインフラが、クラウド上にあることを前提に、新たなセキュリティポリシーやBCP(事業継続計画)を策定する企業も多い。 しかし、実際に何らかの問題が発生した際、組織や個人がそれに適切に対処する行動を取れるかどうかは、文書化された「ポリシー」や「計画」とは別の問題だ。大規模災害の発生を想定し、非常時のアクションについて身をもって学ぶ「BCP訓練」が必要とされているのと同様、巧妙で悪質なサイバー攻撃に直面した際、組織が適切に対処できるように備える上で「インシデント対応訓練」の実施は有用な取り組みといえる。 クラウド会計サービスを提供するfreeeでは、2021年10月に「標的型攻撃によりセキュリティが突破され、ランサムウェアでCEO(最高経営
Array and hash container functions accept references - perldelta - search.cpan.org
NAME perldelta - what is new for perl v5.40.0 DESCRIPTION This document describes differences between the 5.38.0 release and the 5.40.0 release. Core Enhancements New __CLASS__ Keyword When using the new class feature, code inside a method, ADJUST block or field initializer expression is now permitted to use the new __CLASS__ keyword. This yields a class name, similar to __PACKAGE__, but whereas t
この文書は下記団体によって翻訳監修されています コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告 Karen Kent Murugiah Souppaya Special Publication 800-92 NIST Special Publication 800-92 コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告 Karen Kent Murugiah Souppaya コ ン ピ ュ ー タ セ キ ュ リ テ ィ 米国国立標準技術研究所 情報技術ラボラトリ コンピュータセキュリティ部門 Gaithersburg, MD 20899-8930 2006 年 9 月 米国商務省 長官 Carlos M. Gutierrez 技術管理局 技術担当商務次官 Robert C. Cresanti 米国国立標準技術研究所 所長 William
セキュリティ対策を講じるとき私たちは「どう守るか」に焦点を当てがちだが、重要なのは「そもそも『何を守ろう』としていて、それを関係者間で共有できているかどうか」だ。 サイバー攻撃が激化する昨今、規模にかかわらず全ての企業が被害に遭う可能性がある。「自社には関係ない」という考えを捨てて万が一脅威に侵入を許した場合に備えて、準備を整える必要があるだろう。この際、重要なポイントとは何か。 リクルートの六宮智悟氏(スタッフ統括本部 経営管理 セキュリティ統括室 セキュリティオペレーションセンター 部長)が、同社のCSIRT(Computer Security Incident Response Team)の歩んだ道のりやSOC(セキュリティオペレーションセンター)体制、セキュリティ組織で最も重視すべき基本姿勢を語った。 本稿は、アイティメディア主催のオンラインセミナー「ITmedia Securit
なわとしお・1971年、北海道生まれ。高校卒業後、航空自衛隊において、信務暗号・通信業務、在日米空軍との連絡調整業務、防空指揮システムなどのセキュリティ担当(プログラム幹部)業務に従事。 2005年に退官し、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャーなどを経てサイバーディフェンス研究所に参加。 専門分野であるインシデントハンドリング(サイバー攻撃の発見から対処・報告までの一連の流れ)の経験と実績を生かして、CSIRT(Computer Security Incident Response Team/情報漏えいなどセキュリティインシデントに対応する組織の総称)構築、およびサイバー演習(机上演習、機能演習など)の国内第一人者として、支援サービスを提供している。宇宙政策委員会 宇宙安全保障部会の委員、PwCサイバーサービス合同会社の最高技術顧問、Arbor Networksのテク
ニュースレター配信やメールマーケティングサービスを行う「Mailchimp」に攻撃者が侵入し、100件以上のアカウントのデータに不正なアクセスが行われたことがわかりました。 Information About a Recent Security Incident | Mailchimp https://mailchimp.com/january-2023-security-incident/ Mailchimp says it was hacked — again | TechCrunch https://techcrunch.com/2023/01/18/mailchimp-hacked/ Mailchimpの発表によると、2023年1月11日、顧客対応チームがカスタマーサポートとアカウント管理に使用しているツールのアカウントの1つに対して無許可のアクターがアクセスしているのをセキュリテ
全世界から注目されるオリンピック・パラリンピックは、サイバー攻撃者にとって格好の標的だ。2020年に開催される東京オリンピック・パラリンピック(東京2020大会)も例外ではない。被害を未然に防ぐには万全の備えが必要だ。 そこで国立研究開発法人 情報通信研究機構(NICT)は、サイバー攻撃対策の実践的なトレーニング「サイバーコロッセオ(CYBER COLOSSEO)」を2018年2月に開始した。目的は、東京2020大会のシステムをサイバー攻撃から守るセキュリティ人材の育成。対象は、東京2020大会 大会組織委員会のセキュリティ関係者。本番までに4回実施して、延べ250人を鍛え上げる。 侵入されてからが本当の勝負 現在では、様々なテクノロジーを駆使したセキュリティ製品が多数開発され、企業や組織に導入されている。それによりセキュリティレベルは確実に高まっているものの、100%防ぐことは難しい。相
データ圧縮ライブラリ「zlib」に脆弱性--広範な影響のおそれ
幅広く普及しているデータ圧縮技術にセキュリティ上の欠陥があり、多くのソフトウェアプログラムが攻撃を受けるおそれがあると、専門家らが注意を呼びかけている。 セキュリティ監視会社のSecuniaが米国時間7日に出した警告によると、オープンソースの「zlib」コンポーネントにバッファオーバーフローを引き起こす脆弱性が存在するという。この脆弱性には、攻撃者が特別に用意したファイルを使って、コンピュータを乗っ取ったり、zlibを利用するアプリケーションをクラッシュさせたりするおそれがあると同社では説明している。 zlibは、数多くのオープンソース/プロプライエタリアプリケーションでデータの圧縮/解凍に利用されており、また多くのLinuxやBSDディストリビューションに同梱されている。コミュニティベースのオンライン百科事典「Wikipedia」によると、zlibは「ほぼデファクトスタンダードに近い」技
CSIRTをめぐる5つの誤解
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。 昨今のサイバー攻撃は複雑かつ巧妙であり、どんなに堅牢に防御しても、インシデントの発生を100%防ぐことは不可能です。そのため、企業や組織は「インシデントは起きるものである」という事故前提の考えに基づいた対応体制を用意する必要に迫られています。そのような情報セキュリティ対応体制の中核を担うのがCSIRT(シーサート:Computer Security Incident Response Team)です。 CSIRTへの関心は
先日のブログ記事でもお伝えしたように、6月1日に公表された日本年金機構からの情報漏えいは、125万件の年金に関連する個人情報が漏えいしたという被害の大きさと同時に、典型的な標的型サイバー攻撃の事例として大きな注目を集めています。すでに公表から 10日が経過しようとしていますが、この間さまざまな発表や報道がなされています。これまでの発表や報道の中から、セキュリティ対策の観点で我々が学べることは何でしょうか。同様の標的型サイバー攻撃に対し、我々が対策を考える上での、4つのポイントをまとめてみました。 防げない標的型メール、侵入を前提とした対策が必要: この事例では、標的型メールが攻撃の侵入口であったことが確認されています。報道によれば、業務に関連する件名を含む複数種類の標的型メールが届いており、最終的に複数の職員が開封、感染したとのことです。 標的型メールは、繰り返し似たようなレベルの内容が届
Reddit - Dive into anything
We had a security incident. Here's what you need to know. TL;DR: A hacker broke into a few of Reddit’s systems and managed to access some user data, including some current email addresses and a 2007 database backup containing old salted and hashed passwords. Since then we’ve been conducting a painstaking investigation to figure out just what was accessed, and to improve our systems and processes t
LastPass Hacked - Identified Early & Resolved - The LastPass Blog
Update: July 10, 2015 @ 8:00 PM EST Thank you for taking the time to read our posts and follow our recommended actions after the recent events. Behind-the-scenes, our response has been ongoing. As we mentioned before, we’ve engaged security experts and firms to help us, and we’re working with the authorities to take the appropriate actions. These events have put our systems to the test, and we’re
攻撃にはPDFファイルが使われているため、一見するとAdobe Readerの脆弱性に思えるが、実はFlash Playerのコンポーネントに脆弱性が存在するという。 Adobe Flash Playerのゼロデイの脆弱性を突いた不正なPDFファイルが、新たに出回っていることが分かったとして、SANS Internet Storm CenterやUS-CERTが警戒を呼び掛けている。 Adobeの7月21日付のブログによると、脆弱性が指摘されているのはAdobe Flash Player 9/10と、Adobe Reader/Acrobat 9.1.2。SANSによれば、不正ファイルはPDFの形を取っているため、一見Adobe Readerの脆弱性のように見える。しかし実際にはFlash Playerのコンポーネントに脆弱性が存在し、このコンポーネントがReaderおよびAcrobatと共
パスワード管理ツールを手掛けるカナダの1Passwordは10月23日(現地時間)、自社の従業員向けアプリの管理に使っている米Oktaのツールで不審なアクティビティが検出されたが、ユーザーデータやその他の機密システムが侵害されていないと判明したと発表した。 Oktaは20日、サイバー攻撃者が盗んだ認証情報を使ってサポートケース管理システムに侵入したと発表している。 1Passwordは23日に公開した報告書(PDF)で、攻撃者は盗んだセッションcookieを使ってOktaテナントに侵入したとしている。攻撃者は管理者アカウントを侵害し、認証フローを操作し、組織内のユーザーになりすますためのセカンダリIDプロバイダーを確立しようとしたことが確認されたという。 1Passwordは9月29日にこの侵害を検知し、Oktaと協力して侵害の特定に努め、10月20日に確認した。その後、従業員の資格情報を
2021年2月19日、Accellionが提供するファイル転送サービスの脆弱性が利用したハッキングが行われ、アメリカの大手スーパーマーケット「クローガー」の顧客情報などが漏えいしたと報道されました。Accellionのサービスはクローガーの他にも多くの企業や政府機関が使用しているため、データ漏えいの被害は少なくとも数百万件に及ぶとみられています。 Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers https://www.prnewswire.com/news-releases/accellion-security-incident-impacts-kroger-family-of-companies-associates-and-
Windows PCで、過度に長いレジストリキーを使用して悪質なソフトウェアを隠せてしまう問題について、セキュリティ専門家らが注意を呼びかけている。 セキュリティベンダーのStillSecure(本社:コロラド州ルイビル)によると、ウイルス/スパイウェア対策製品のなかには、レジストリをスキャンして悪質なプログラムを見つけだすものがあるが、新たに見つかったこの欠陥を悪用すれば、それらのアプリケーションを隠すことが可能になるという。 StillSecureのCTO(最高技術責任者)Mitchell Ashleyは、「この問題を悪用して、悪質なプログラムをシステム内に隠せば、セキュリティソフトウェアやレジストリスキャンツールでは見つけられないだろう」と述べている。StillSecureによると、検知や除去は困難あるいは不可能だという。 インターネットに対する脅威を追跡調査するSANS Inter
政策研究大学院大学(以下、GRIPS)は2023年8月22日、「情報セキュリティインシデント報告書」を公開しました。2022年9月~2023年5月まで長期にわたり発生していた公開Webサーバに対する不正アクセス被害の経緯と原因、対策をまとめています。 筆者は早速このレポートを読んでみたのですが、非常に興味深く、また多くの組織が同様の事態に悩んでいるのではないかという点で、全ての業種や業態、特に「セキュリティ専任者はいないが、CSIRT(Computer Security Incident Response Team)は構築している」といった日本企業にはぜひ目を通してほしい資料です。今回はこのレポートの中でも、筆者が強く共感を覚えて印象に残った箇所をピックアップしたいと思います。 10年近く前から「長期潜伏」している攻撃者に気が付けますか? まず驚いたのは、同インシデントの初期感染が「201
監視部隊が検知した「不審な通信」の中身を見極めるのがCSIRTだ。今回はその調査方法と被害復旧について手順とポイントを解説する。マルウエアをばらまくサーバーだけに気を取られてはいけない。PC内部を暗号化して身代金をゆする「ランサムウエア」も要注意だ。 インシデント(セキュリティ上の事故)対応を担当するチームであるCSIRT(Computer Security Incident Response Team)は、セキュリティ機器などの監視を担当するチームであるSOC(Security Operation Center)がサイバー攻撃を検知すると、それを引き継いで調査から復旧までを担当します。今回はCSIRTの主要業務ともいうべき、一連の流れを具体的に解説します。後半では感染による被害が増加しているマルウエア(悪意のあるソフトウエア)である「ランサムウエア」の実態や対処方法を掘り下げます。 誤検
![[第3回]猛威振るう「マルウエア」 インシデント対応の王道](https://cdn-ak-scissors.b.st-hatena.com/image/square/621bafe1be94942301ead3943bacb7ae46fc4769/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F110900259%2F110900003%2Fph01.jpg%3F20220512)
LastPassは2022年8月、パスワード一元管理ツールLastPassの開発環境の一部で異常なアクティビティーが検出されたとして調査を開始し、ソースコードの一部と技術情報がサイバー攻撃者によって窃取されていたと報告した。今回のセキュリティインシデントでは、これを利用してサイバー攻撃者がユーザー情報の一部にアクセスしたことが分かっている。 同社はサイバー攻撃者による侵害の範囲を明らかにするとともに、アクセスされた情報を特定するための取り組みを続けている。LastPassからの報告を待ち、新たな情報が提供されたら迅速に確認してほしい。 同社のカリム・トゥバCEOは「LastPassのZero Knowledgeアーキテクチャによって、顧客のパスワードは暗号化されており安全であることに変わりない。調査の間もLastPassの製品とサービスは完全に機能し続けている」と説明した。ユーザーは、通常
バグを発見した人に、最高2万ドルの報酬金を出します―。 メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル(240万円)を支払った。 自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。 米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog はじめに こんにちは。システム統括本部 プラットフォーム開発本部 エンジニアの小柴(@masaori335)です。Yahoo! JAPAN は多くの Open Source Software(以下 OSS)に支えられています。そのなかの 1 つに Apache Traffic Server(以下 ATS)があります。ATS は過去にこの TechBlog でも紹介したこともある非常に高性能なキャッシュ/プロキシサーバーです。(*1)私の所属するチームでは日頃 ATS コミュニティへバグの報告やパッチの提供などを行っています。この記事ではその活動のなかから『ある脆弱性を発見した顛末』を紹介します。 CVE-2014-3525 脆弱性
あるセキュリティ研究者が、信頼できないところから入手したメディアファイルを不用意に開くと、利用しているコンピュータを乗っ取られるおそれがあると警告している。 このTom Ferrisというセキュリティ研究者は、Apple Computerの「iTunes」と「QuickTime」に脆弱性が存在することを12月上旬に明らかにしていたが、米国時間20日遅くにこの脆弱性に関するさらに詳しい情報を公開した。この脆弱性を悪用されると、WindowsやMac OS Xで動くシステムが攻撃の危険にさらされるという。 Ferrisは、自らが運営する「Security-Protocols.com」に掲載した勧告のなかで、攻撃者がユーザーをだまして悪質な「.mov」メディアファイルを開かせ、無防備なコンピュータを乗っ取る可能性があると述べている。 「この脆弱性は、攻撃者がプログラムをクラッシュさせたり、任意の
「未経験」から4年でチームを統率 最前線で戦う“セキュリティ女子”が後進に伝えたいこと:【特集】Transborder ~デジタル変革の旗手たち~(1/3 ページ) リクルートグループのセキュリティ集団「Recruit-CSIRT」で、商用監視チームを率いる安東美穂さん。エンジニア未経験でチームに飛び込んだ経験から、後進に送るアドバイスとは。 「サイバーセキュリティ」と聞くと、その道の専門家たちがひしめく分野、といったイメージを持つ人も多いのではないだろうか。ほとんど全ての企業がネットワークに接続し、サイバー攻撃が日夜進化する今となっては必須の分野だが、“入口が狭い”印象は否めない。 そんな中、現在リクルートテクノロジーズのセキュリティ専門家集団「Recruit-CSIRT(Computer Security Incident Response Team)」で、リスクの高いサイバー攻撃を検
2018年5月、「CISOハンドブック Ver. 1.0β」が公開された。NPO日本ネットワークセキュリティ協会のCISO支援ワーキンググループのメンバーによって作成されたこのハンドブックは、どのような狙いを持って作成されたのだろうか。中心となった4人のキーパーソンに、このドキュメントに込めた願いを聞いた。 「サイバーセキュリティ経営ガイドライン」は力強い味方、なのだが…… 皆さんは経済産業省が発行した「サイバーセキュリティ経営ガイドライン」をご存じだろうか。2015年12月に初版が公開され、ビジネスにおいてIT利活用を進める上で、セキュリティ投資をどう判断するかをまとめたものだ。経営者が情報セキュリティ対策を行う上で責任者となる「CISO」(Chief Information Security Officer:最高情報セキュリティ責任者)に指示すべき内容がまとめられており、2017年11
日の当たる場所で、セキュリティの話をしよう:「寝ている人がいないカンファレンス」、第2回CODE BLUE開催へ 2014年12月18日、19日の2日間に渡って、日本発の国際セキュリティカンファレンス「CODE BLUE」が開催される。事務局の篠田佳奈氏に、開催に向けた思いを聞いた。 2014年12月18~19日の2日間にわたって、日本発の国際セキュリティカンファレンス「CODE BLUE」が開催される。2014年2月に続き2回目の開催で、国内外の専門家が最先端の研究成果を紹介する予定だ。 第1回には、有料のセキュリティカンファレンスとしては異例ともいえる、400名を超える参加者が集まった。特筆すべきは、「来場者アンケートの結果を見ると満足度が大変高く、『寝ている人がいないカンファレンスだ』と評価していただいた」(CODE BLUE事務局の篠田佳奈氏)ことだ。今回もその期待に応える内容を提
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 | スラド セキュリティ
LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める
過去を振り返るアプリ「Timehop」、2100万人のユーザー情報が流出
Kaspersky Internet Security騒動の裏に隠された真実
翻訳家志望だった文系女子が「セキュリティエンジニア」になった理由
自社だけでできる、コストとリソースを最小限にした「CSIRT」構築レシピ&鉄則
ARCHIVED: AWS Well-Architected Framework
CSIRTとはそもそも何か?よくある誤解とCSIRTの本質を理解しよう【前編】
How Cloudflare mitigated yet another Okta compromise
Container security best practices: Comprehensive guide
情報セキュリティインシデント報告書の公表について | 政策研究大学院大学(GRIPS)
WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか
ランサムウェアがCEOを脅迫――経営層も巻き込んだリアルな「訓練」をfreeeが実施できた理由
NIST SP800-92 コンピュータセキュリティログ管理ガイド - 2006年9月
リクルートのSOCリーダーが語る「セキュリティ対策は“How”ではなく“What”から始めよ」
「雑用」も後で役立つ時がくるーサイバーセキュリティのプロ・名和利男が語る仕事観 - 就職ジャーナル
メール配信サービス「Mailchimp」がハッカーによる不正アクセスを受け顧客データの一部が流出か
敵と味方に分かれて本気でサイバー攻撃、五輪守るセキュリティ人材を育てる
日本年金機構の情報漏えい事例から、我々が学ぶべきこと | トレンドマイクロ セキュリティブログ
Flash Playerに新たな脆弱性、PDFを使うゼロデイ攻撃が発生 - ITmedia エンタープライズ
1PasswordにOkta悪用のサイバー攻撃 「ユーザーデータなどは侵害されていない」
数百万件もの個人情報が政府機関や企業から流出、ファイル転送サービスの脆弱性に原因
Windowsのレジストリに問題発覚--悪質なソフトウェアが検知不可能に
GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
[第3回]猛威振るう「マルウエア」 インシデント対応の王道
パスワード管理のLastPass、2度目のセキュリティインシデントを報告
先進2社が語るバグ報奨金制度、「やはり社内でも反対意見はありました」
Apache Traffic Server の脆弱性の発見と報告
iTunesとQuickTimeに脆弱性--悪質な「.mov」ファイルに注意
「未経験」から4年でチームを統率 最前線で戦う“セキュリティ女子”が後進に伝えたいこと
全ての悩めるCISOにささげる――「CISOハンドブック」はいかにして生まれたか
日の当たる場所で、セキュリティの話をしよう