並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 120件

新着順 人気順

*Securityの検索結果1 - 40 件 / 120件

*Securityに関するエントリは120件あります。 セキュリティsecurityパスワード などが関連タグです。 人気エントリには 『macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ』などがあります。
  • macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ

    はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本

      macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
    • 短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog

      2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中

        短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
      • 【Excel】パスワードロックを強制的に解除する方法

        Excelのシートに設定したパスワードを忘れた場合の解除方法 操作ミスなどによって値が書き換わらないようにシート保護を使って特定のセルを編集不可能にしたり、書き込みや読み込みに対してパスワードを設定したりしたシートの肝心のパスワードが分からない、ということはないだろうか。自分で設定したものを忘れることもあれば、前任者が設定したまま退職してしまった、ということもあるだろう。そのような場合でも、パスワードを解除できる可能性がある。その方法を紹介しよう。 「Microsoft Excel(エクセル)」のシートは、既に作成したものをテンプレートとしてコピーして使うケースも多い。その際、操作ミスなどで入力して値が変更されないように、「シートの保護」機能で編集可能なセル以外をロックしている場合もある(「シートの保護」機能については、Tech TIPS「Excelシートの特定のセルを編集禁止にする」参照

          【Excel】パスワードロックを強制的に解除する方法
        • OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog

          2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

            OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
          • 日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立

            2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き

            • USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」

              委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」

                USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
              • 謎の文字列「1qaz2wsx」 漏えいした日本のパスワードに頻出するワケ

                ソリトンシステムズが発表した「日本人のパスワードランキング2021」。2021年に発生した209の情報漏えい事件から日本人が利用するパスワードを分析したもので、1位は「123456」、他は「password」や「000000」などよく見掛けるものだが、少し変わったものとして、4位に「1qaz2wsx」がランクインしている。 一見ランダムに生成されたものに思えるが、実際にキーボードをタイプしてみれば納得がいく。QWERTY配列のキーボードを左から縦2列打ち込むと「1qaz2wsx」となるわけだ。「qwerty」の亜種みたいなものだが、ランキングを見るとこの手の配列に沿ったパスワードが多いことが分かる。

                  謎の文字列「1qaz2wsx」 漏えいした日本のパスワードに頻出するワケ
                • ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果

                  パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ

                    ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
                  • ほぼすべてのLinuxのブートローダーに脆弱性

                      ほぼすべてのLinuxのブートローダーに脆弱性
                    • パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~

                      ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする

                        パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
                      • GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020

                        GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020 GitHubは、オンラインイベント「GitHub Satellite 2020」において、コードの脆弱性を発見してくれる新機能「GitHub Code Scanning」を発表しました。 Code scanning, powered by CodeQL, helps protect your code from vulnerabilities you might otherwise miss. #GitHubSatellite pic.twitter.com/8vGq3eFWPE — GitHub (@github) May 6, 2020 GitHub Code Scanningは、昨年買収したSemmleのソフトウェアを基にし

                          GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020
                        • パスワード付きzip PPAP 問題について

                          セキュリティ技術センターの宇井です。 今回はメールでファイルを共有する際によく用いられているパスワード付きzipの問題について取り上げていきたいと思います。 ファイルを共有する際にパスワード付きzipファイルをメールで送信し、あとからメールでパスワードを送信するという方法は現在もよくつかわれている方法なのではないでしょうか。実際に私もこの方法でファイルを共有したこともありますし、周りで使っている人を今もよく見かけます。しかしこの方法はセキュリティ面で多くの問題があります。 皮肉をこめてかPPAPと呼ばれることがあります。(ピ〇太郎のことではありません。)

                            パスワード付きzip PPAP 問題について
                          • AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege

                            ssmonline #43 での発表資料です。 (運用設計ラボ合同会社 波田野裕一)

                              AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
                            • Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | DevelopersIO

                              こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま

                                Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | DevelopersIO
                              • AWS×コンテナで基本的なDevSecOpsアーキテクチャをデザインしたお話 - How elegant the tech world is...!

                                はじめに 先日、僕が担当する業務でECS/Fargate利用を前提にDevSecOpsアーキテクチャをデザインし、社内のAWS勉強会にて登壇する機会をいただきました。 本ブログでも内容をかいつまんでご紹介できればと思います。 AWSによらず、コンテナを利用されている方にとって、一つのプラクティス例としてご参考になれば幸いです。 ※コンテナ自体の説明や必要性に関する内容は省略していますm(_ _)m そもそもDevOpsとは? DevSecOpsの導入意義をお伝えするた前に、まず軽くDevOpsの意義をお伝えします。 ※とは言え、この記事をご訪問されている方にとっては「何をいまさら...」な内容かもしれませんし、ググればDevOps自体の情報はたくさん見つかりますので、重要なポイントのみ述べることにします。 DevOpsとは、一言で述べれば、開発チームと運用チームが協力してビジネス価値を高め

                                  AWS×コンテナで基本的なDevSecOpsアーキテクチャをデザインしたお話 - How elegant the tech world is...!
                                • 盗み見されても問題ない歪み画像を用いたパスワードシステム。筑波大が考案

                                    盗み見されても問題ない歪み画像を用いたパスワードシステム。筑波大が考案
                                  • Cloudflare Zero Trustで自宅PCにアクセスする

                                    イントロダクション 最近自宅のネットワークが極端に遅かったため、IPv4 PPPoEからIPv6 IPoEに構成変更しました。 IPv4時代は固定グローバルIPを購入して外出先から自宅にVPNを張れるようにしていましたが、IPv6では残念ながらL2TP/IPSecが使えない。 (参考:https://zenn.dev/apple_nktn/articles/80acf34cf0634b) そもそもVPNで拠点接続するという構成自体が最近のトレンドではないよね、ということもありZTNA(Zero Trust Network Access)サービスであるCloudflare Zero Trustを試してみることにしました。 ゼロトラストネットワークとは(個人的な理解) ネットワーク上のあらゆるアクセスを信頼せず全て検査するという概念。 従来のDMZを用いた境界型防御は境界の内側は「暗黙的に信頼

                                      Cloudflare Zero Trustで自宅PCにアクセスする
                                    • 大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場、どんなパスワードであればPassGANでも解析不可能なのか?

                                      サイバーセキュリティ企業のHome Security Heroesが、ニューラルネットワークでパスワード予測を行うAI「PassGAN」を使って実際のパスワードを解析する実験の結果を発表しました。それによると、一般的なパスワードのおよそ半分が1分で、65%が1時間で解析できてしまったとのことです。 2023 Password Cracking: How Fast Can AI Crack Passwords? https://www.homesecurityheroes.com/ai-password-cracking/ 通常、パスワードの解析に使われるパスワード推測はシンプルなデータ駆動型のツールが使われます。つまり、膨大なデータを元にパスワード分析を行うというやり方で、こうした方法は小規模で予測可能なパスワードの場合は効率的に解析可能ですが、サンプルサイズが大きくパターンが複雑になって

                                        大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場、どんなパスワードであればPassGANでも解析不可能なのか?
                                      • データ分析基盤における個人情報の扱いについて - NRIネットコムBlog

                                        こんにちは佐々木です。 誰に望まれた訳でもないですが、データ分析基盤の設計シリーズの第三弾です。今回のテーマは、データ分析基盤における個人情報&パーソナルデータの扱いについてです。ここを最初に考えておかないと、データ分析基盤は毒入りとなって、扱いづらいものになります。 データ分析基盤構築の肝は、データレイクとDWHの分離 - NRIネットコムBlog データレイクはRAWデータレイク・中間データレイク・構造化データレイクの3層構造にすると良い - NRIネットコムBlog 個人情報&パーソナルデータと匿名加工について まず最初に個人情報&パーソナルデータの定義と匿名加工について、サラッと確認しておきましょう。 個人情報&パーソナルデータ 個人情報とは、任意の一個人に関する情報であり、かつその情報をもとに個人を特定できるものを指します。代表的な個人情報としては、名前・住所・電話番号・E-ma

                                          データ分析基盤における個人情報の扱いについて - NRIネットコムBlog
                                        • Terraformのセキュリティ静的解析 tfsec の導入から始めるAWSセキュリティプラクティス - BASEプロダクトチームブログ

                                          こんにちは。BASE BANK 株式会社 Dev Division にて、 Software Developer をしている東口(@hgsgtk)です。 BASE BANK Dev での開発では、クラウドインフラの構成管理に、 Terraform を利用しています。 世の情報をたくさんキュレーションしている CTO の@dmnlkさんに、手軽に CI に組み込めそうなセキュリティチェックツールがあることを教えてもらったので、導入してみました。 CTO氏のキュレーションメディアで紹介された tfsec を早速試して良さそうだったhttps://t.co/bl67dlW2Ub https://t.co/vAkTOVagec— Kazuki Higashiguchi (@hgsgtk) August 21, 2020 このブログの公開日は 2020/10/30 ですので、導入してから約 2 ヶ月

                                            Terraformのセキュリティ静的解析 tfsec の導入から始めるAWSセキュリティプラクティス - BASEプロダクトチームブログ
                                          • CookieのPartitioned属性 (CHIPS) の標準化はじまる - ASnoKaze blog

                                            サードパーティCookieをトラッキングに使用できないようにする「Cookies Having Independent Partitioned State (CHIPS)」という仕組みが議論されています。 現在は、その仕組はW3CのPrivacy CGで議論されています。細かい仕組みは以前書いたとおりです。 ( トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組み (partitioned属性) - ASnoKaze blog ) このCHIPSは、Cookieに新しいPartitioned属性を利用します。Cookie自体の仕様は、IETFが発行するRFC 6265で定義されており、そこにPartitioned属性を追加してやる必要があります。 そのためIETF側にも「Cookies Having Independent Partitioned State specif

                                              CookieのPartitioned属性 (CHIPS) の標準化はじまる - ASnoKaze blog
                                            • 全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制

                                              2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。 問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。 攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。 攻撃者は給食事業社のシス

                                                全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制
                                              • 100を超えるAWSアカウント運用におけるガードレール構築事例

                                                先日行われました AWS JAPAN SUMMIT ONLINE 2020 にて、「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」のテーマにて、私たちのグループで取り組んでいる全ての AWS に対する横断的な取り組みを ビジョナル CTO 竹内 と ビジョナル CIO 園田 より発表させていただきました。 今回は、その発表内容について、発表の中で伝えきれていない内容などより詳細にお話しさせていただきます。 こんにちは、システム本部 プラットフォーム基盤推進室 ORE (Organizational Reliability Engineering) グループ の 長原 です。 私が在籍するグループでは、 Visional グループの全事業のクラウドや非機能要件等に対して、横断的にエンジニアリングによる課題解決に取り組んでいます。 複数事業・マルチ

                                                  100を超えるAWSアカウント運用におけるガードレール構築事例
                                                • GitHub Actionsにおける脅威と対策まとめ

                                                  はじめに こんにちは、サイボウズ24卒の@yuasaです。 サイボウズでは開発・運用系チームに所属する予定の新卒社員が研修の一環として、2週間を1タームとして3チームの体験に行きます。新卒社員の私が生産性向上チームの体験に行った際に、チーム内でGitHub Actionsを利用する際の脅威と対策について調査を行い、ドキュメント化した上で社内への共有を行いました。本記事では、そのドキュメントの一部を公開します。 対象読者 本記事の主な対象読者としては、以下のような方を想定しています。 GitHub Actionsを組織で利用しているが、特にセキュリティ対策を実施していない方 GitHub Actionsを組織で利用しており、部分的にセキュリティ対策を実施しているが、対策が十分かどうか分からない方 本記事がGitHub Actionsのセキュリティ対策を検討する上で参考になれば幸いです。 本記

                                                    GitHub Actionsにおける脅威と対策まとめ
                                                  • 脆弱性報告で GitHub から $4,000 貰った話

                                                    はじめに こんにちは、ダイニーの ogino です。 この記事では GitHub の bug bounty で脆弱性を報告し、実際に報奨金を受け取った時の体験を共有します。 私は特にセキュリティの専門家ではなく、偶然に問題を見つけて初めて報告をしました。読者の方が同じようなチャンスに遭遇した時スムーズに行くように、海外からお金を受け取る上での意外なつまずきポイントや、実際に貰える金額などについて紹介します。 どんな問題を見つけたのか 今回見つけたのは、GitHub Copilot の VSCode 拡張機能に関する問題です。 この拡張機能のソースコードは本来公開されていないはずですが、TypeScript のソースマップによって元のコードが露出していました。 そもそも VSCode の拡張機能は .vsix という拡張子の付いたパッケージ形式で配布されます。これは実態としてはただの zip

                                                      脆弱性報告で GitHub から $4,000 貰った話
                                                    • 総務省|テレワークにおけるセキュリティ確保

                                                      企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しています。 テレワークセキュリティガイドライン(第5版)(令和3年5月) テレワークセキュリティガイドライン 改定概要 ※本ガイドラインについてURLで紹介いただく場合は、PDF直接ではなく、次のURL(本ぺージ)を案内いただけますようお願いいたします。 https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ <改版履歴:報道資料へのリンク> 初版:平成16年(2004年)12月 第2版:平成18年(2006年)4月 第3版:平成25年(2013年)3月 第4版:平成30年(2018年

                                                        総務省|テレワークにおけるセキュリティ確保
                                                      • おーい磯野ー,Local StorageにJWT保存しようぜ!

                                                        ある日,HTML5のLocal Storageを使ってはいけない がバズっていた. この記事でテーマになっていることの1つに「Local StorageにJWTを保存してはいけない」というものがある. しかし,いろいろ考えた結果「そうでもないんじゃないか」という仮定に至ったのでここに残しておく. 先の記事では,「Local StorageにJWTを保存してはいけない」の根拠として「XSSが発生した時,攻撃者がLocal Storageに保存したJWTを盗むことが出来てしまう」といったセキュリティ上の懸念事項が挙げられていた. これに対し,クッキーを用いたセッションベースの認証では,セッションIDをクッキーに保存する.クッキーにHttpOnlyフラグをつけておけば,JavaScriptからはアクセスできず,XSSが発生しても攻撃者はセッションIDを読み取ることが出来ない. 一見すると,これは

                                                          おーい磯野ー,Local StorageにJWT保存しようぜ!
                                                        • これは分かりやすい、「パスワードが破られるまでの時間」を条件別でまとめたチャート【やじうまWatch】

                                                            これは分かりやすい、「パスワードが破られるまでの時間」を条件別でまとめたチャート【やじうまWatch】
                                                          • 開発チームとともに進めるインフラセキュリティの継続的な改善 / SRE Lounge 17

                                                            2024年7月2日に開催された SRE Lounge #17 の発表資料です。 SRE Lounge #17(ハイブリッド開催) - connpass https://sre-lounge.connpass.com/event/321335/ このプレゼンの技術的な詳細は、過去のブログ記事…

                                                              開発チームとともに進めるインフラセキュリティの継続的な改善 / SRE Lounge 17
                                                            • パスワードマネージャーに保存された認証情報を狙うマルウェア、前年の3倍に増加【やじうまWatch】

                                                                パスワードマネージャーに保存された認証情報を狙うマルウェア、前年の3倍に増加【やじうまWatch】
                                                              • bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife

                                                                こんばんは、ritouです。 今日はこの機能を使ってみましょう。 /#bosyu をメールアドレス✉️で ご利用いただけるようになりました! \ 今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりました。 より多くの方に、bosyuしたり応募していただければうれしいです☺️#bosyu開発室 pic.twitter.com/46zCST53Kg— bosyu公式 (@bosyu_me) 2020年7月27日 何の話? medium が前から採用していた方式です。 medium.com これを新しい方式と捉えるかどうか、個人的にはそれほど新しくは感じません。 長年の歴史からいわゆる「パスワード認証を用いた登録や認証フロー」には人類の持つ脆弱性への対策として必ずメールやSMSによるリカバリーがセットになって実装されて

                                                                  bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife
                                                                • 【インフラエンジニアbooks】30分でわかる「AWS継続的セキュリティ実践ガイド」

                                                                  インフラエンジニアbooks #49

                                                                    【インフラエンジニアbooks】30分でわかる「AWS継続的セキュリティ実践ガイド」
                                                                  • 個人向けMicrosoft アカウント、「完全な」パスワードレス運用に対応/アカウントからパスワードを削除。認証アプリやWindows Helloだけでログインできる

                                                                      個人向けMicrosoft アカウント、「完全な」パスワードレス運用に対応/アカウントからパスワードを削除。認証アプリやWindows Helloだけでログインできる
                                                                    • GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog

                                                                      こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環

                                                                        GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog
                                                                      • ランサムウェア攻撃者が利用する脆弱性リストメモ

                                                                        ■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが

                                                                          ランサムウェア攻撃者が利用する脆弱性リストメモ
                                                                        • パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など

                                                                          パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など 一般にWebサービスなどへのログインには、ユーザー名とパスワードの組み合わせが使われます。しかしこのパスワードの情報などが漏洩することで、企業や個人に大きな損失を与える事故が繰り返されてきました。 そこで、ユーザー名とパスワードの組み合わせの代わりにスマートフォンなどのデバイス内に保存したクレデンシャルを用いてユーザー認証を行い、パスワードの入力を不要にする技術が登場しています。 業界標準となっているのが、FIDOアライアンスによる「FIDO2」と、それをW3CのWeb標準として策定した「Web Authentication」(WebAuthn)です(以下、FIDO/WebAuthn)。 ユーザーはスマートフォンなどのデバイスに対

                                                                            パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など
                                                                          • More secure private attachments · GitHub Changelog

                                                                            AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be

                                                                              More secure private attachments · GitHub Changelog
                                                                            • Apple端末のセキュリティチップ「Secure Enclave」はどのようにして突破されてしまったのか?

                                                                              Appleデバイスで機密データの暗号化に使用される「Secure Enclave(SEP)」にパッチ不可能な脆弱性が存在すると、中国人ハッカーグループ「Pangu」に所属するwindknown氏がMOSEC 2020にて発表しました。この脆弱性に関する情報をまとめた資料がGitHubで公開されており、仮想メモリ空間の暗号化キーの抜き出しといった脆弱性の詳細を知ることができます。 presentations/Attack_Secure_Boot_of_SEP.pdf at master · windknown/presentations · GitHub https://github.com/windknown/presentations/blob/master/Attack_Secure_Boot_of_SEP.pdf ほぼすべてのApple端末に組み込まれている「Secure Encla

                                                                                Apple端末のセキュリティチップ「Secure Enclave」はどのようにして突破されてしまったのか?
                                                                              • ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog

                                                                                2020年8月4日、ZDnetはハッキングフォーラム上で900を超える脆弱なVPNサーバーから取得した認証情報が公開されたと報じました。ここでは関連する情報をまとめます。 www.zdnet.com 何が起きたの 900件以上のVPNサーバー(Pulse Connect Secure)のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレス。 ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性がある。 影響を受けたサーバーの場合、ファームウェア更新だけでなく、パスワード変更やセッション破棄を即行う必要がある。 1年以上前に修正された脆弱性悪用か データ窃取のために悪用された脆弱性は2019年4月に修正されたPulse Connect Secureの脆弱性CVE-2019-11510とみられる。 Bad Packetsの

                                                                                  ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog
                                                                                • 2022年、日本で最も使われたパスワード 2位は「password」、1位は?

                                                                                  リトアニアのセキュリティ企業であるNord Securityは11月15日(日本時間)、2022年に最も使われたパスワードのランキングを発表した。米国やオーストラリアなど世界30カ国の1位は「password」(使用回数約500万回)。日本の1位は「123456」(同1210回)だった。 日本のランキングは2位が「password」(926回)、3位が「1234」(921回)、4位が「12345678」(562回)、5位が「akubisa2020」(438回)、6位が「xxxxxx」(406回)、7位が「sakura」(355回)、8位が「303030」(295回)、9位が「12345」(270回)、10位が「123456789」(247回)だった。 上位には「Garba3060」(14位、193回)、「ilove12345@」(19位、143回)、「diskunion」(20位、140回

                                                                                    2022年、日本で最も使われたパスワード 2位は「password」、1位は?

                                                                                  新着記事