私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
OAuthの仕組みを説明してHonoで実装してみる
はじめに はじめまして!レバテック開発部でレバテックプラットフォーム開発チームに所属している塚原です。 直近に認証・認可周りの改修を予定しているため、チーム内で認証・認可の基礎からOAuth・OpenID Connectの仕組みを学ぶ勉強会を実施しました。今回はそこで学んだことのうち、認証・認可の基礎とOAuthの仕組みをまとめます。また、WebフレームワークとしてHono、JavaScriptランタイムとしてBunを使って、OAuthクライアントを実装してみます。 対象読者 認証と認可の違いってなんだっけ...?という人 Basic認証やDigest認証てなんだっけ...?という人 OAuthはライブラリ使って実装してるから仕組みよくわかっていない...という人 OAuthのクライアントの実装って何をすればいいんだっけ...?という人 認証・認可の基礎 2024/7/18 追記 こちらで
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。 【誤】ジョン・キンダーバグ氏 【正】ジョン・キンダーバーグ氏 昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。 確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロ
2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
データ窃盗と恐喝を目的として Snowflake の顧客データベース インスタンスを標的にする UNC5537 | Google Cloud 公式ブログ
※この投稿は米国時間 2024 年 6 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。 はじめに Mandiant は、インシデント対応業務と脅威インテリジェンス収集の過程で、データ窃盗と恐喝を目的として Snowflake の顧客データベース インスタンスを標的とする脅威キャンペーンを特定しました。Snowflake は、大量の構造化データと非構造化データの保存と分析に使用されるマルチクラウド データ ウェアハウス プラットフォームです。Mandiant は、この活動クラスタを UNC5537 として追跡しています。UNC5537 は、Snowflake の顧客環境から大量のレコードを盗んだ疑いのある、金銭目的の脅威アクターです。UNC5537 は、盗んだ顧客の認証情報を利用して Snowflake の顧客インスタンスを体系的に侵害し、サイバー犯罪フォー
執筆:Nick Biasini、協力:Kendall McKay、Guilherme Venere クラウド データ プラットフォーム Snowflake のログイン情報の流出、盗難に端を発した数々の影響と流出後の攻撃が続々とニュースになっています。 攻撃者は、情報窃取マルウェアを使用して Snowflake アカウントのログイン情報を入手しました。中には多要素認証(MFA)で保護されていないものがあり、それを使用して Snowflake の顧客アカウントに侵入し、機密情報を盗み出しました。しかし、Snowflake の本当の問題はこの点ではありません。このインシデントは、ここしばらく脅威環境で見られているはるかに大きな変化の現れであり、その焦点はアイデンティティにあります。 過去数十年の間に犯罪的脅威を取り巻く環境が崩壊し、ランサムウェアやデータ強奪が広まっている状況を Talos は目
安全ではない「多要素認証」 5つの攻撃手法と防御策
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
オーストラリアの空港や国内線の機内に偽の無料Wi-Fiアクセスポイントを設置して他人の個人情報を盗んだとして、42歳の男が逮捕・起訴されました。オーストラリア連邦警察は、公共の無料Wi-Fiに安易にアクセスすることを控えるよう警鐘を鳴らしています。 WA man set up fake free wifi at Australian airports and on flights to steal people’s data, police allege | Cybercrime | The Guardian https://www.theguardian.com/technology/article/2024/jun/28/wa-man-fake-free-wifi-airports-data-theft-ntwnfb Australian charged for ‘Evil Twin’
CyberNewsは7月4日(現地時間)、「RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews」において、ハッキングフォーラムから約100億件の漏洩パスワードが公開されたと伝えた。これは「ObamaCare」と名乗る脅威アクターが「RockYou2024パスワードコンピレーション」として公開したもので、過去に公開されたRockYou2021に新しい漏洩パスワードを追加したとみられる。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews 2021年は約84億件の漏洩パスワードが公開 2021年にハッキングフォーラムに投稿されたRockYou
データストレージベンダーであるPure Storageは2024年6月11日(現地時間、以下同)、自社のセキュリティ速報で(注1)、顧客サポートサービスに使用しているテレメトリーデータを含むSnowflake環境に攻撃者がアクセスしたことを発表した。 同事案は脅威アクター「UNC5537」によるSnowflakeの顧客データをターゲットとする脅威キャンペーンに関連したものだ。UNC5537はインフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしたとされている。 Snowflake事件の最初の被害者としてPure Storageが名乗り Pure Storageは「テレメトリー情報は顧客システムへの不正アクセスに使用できない」と述べている。今回の攻撃で公開された情報には、企業名やLDAP(Lightweight Directory A
ゼロトラストの欠点は何ですか?
A:セキュリティ強化のためにゼロトラストを導入すると、厳格な認証とネットワーク上のリソースの継続的な監視が欠かせなくなります。つまり、運用コストと運用に必要な時間や人員が増えます。 ゼロトラストセキュリティは、ネットワークを対象としてセキュリティを高める手法だ。「信頼は与えられるものではなく、検証されるものだ」という原則に従う。従来のセキュリティモデルでは、企業のネットワーク境界内に存在するデバイスやユーザーを信頼できると考えて扱ってきた。しかし、ゼロトラストモデルでは、従来の境界内であっても全てのアクセスを潜在的な脅威として扱い、アクセスを許可する前に厳格な認証と検証を必要とする。 厳格な認証を実現するため、多要素認証はもちろん、ユーザーのアクセス状況からリスクを判定し、リスクがあると判定した場合に追加の認証を実行するリスクベース認証の他、IPアドレスや地域、利用デバイスなどによるアクセ
Twilioは2024年7月1日(現地時間)、多要素認証(MFA)アプリの「Authy」の最新アップデートをリリースした。アップデートはAuthyの「Android」版および「iOS」版に対する修正が含まれている。 今回のアップデートは2024年6月下旬に発生したAuthyの脆弱(ぜいじゃく)性による3300万件以上の電話番号流出インシデントに対処したものとされている。漏えいした情報によって、SMSフィッシングやSIMスワッピング攻撃を実行される可能性があるため注意が必要だ。 3300万件以上電話番号流出を引き起こした脆弱性に対処 Twilioはコンピュータ情報サイト「Bleeping Computer」の取材に対し、認証されていないエンドポイントが原因で、Authyアカウントに関連付けられた個人データを攻撃者に特定されたと報告しており、直ちに対応を実施し、エンドポイントを保護する措置を講
NetAppは2024年7月5日、大分県立病院が第3期病院総合情報システムにストレージシステム「NetApp AFF A250」および「NetApp FAS2720」を採用したと発表した。クラウドやAIといった技術との連携を見据え、ランサムウェア対策を含めた医療分野でのDX推進を目的に導入したとされている。 医療現場のセキュリティ強化に向けてストレージシステムを採用 大分県立病院は第3期病院総合情報システムの構築において、サイロ化していた部門システムとバックアップ環境を単一の仮想基盤上に集約し、その仮想基盤にNetAppソリューションを導入した。これによって、ランサムウェア対策や定期的に繰り返されるハードウェア更新時のデータ移行をセキュアかつスピーディーに対応できる環境を構築した。 NetAppのソリューションが採用された主要な理由としては、ランサムウェアに対して「万が一感染しても即座に復
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
【セキュリティ ニュース】ドメインやホスティングが停止すると不安煽るフィッシングに警戒を(1ページ目 / 全1ページ):Security NEXT
ドメイン登録サービスやホスティングサービスの事業者を装い、提供中のサービスが停止するなどと不安を煽って偽サイトへ誘導し、アカウント情報などをだまし取るフィッシング攻撃が確認されている。 GMOインターネットグループによれば、同社サービス「お名前.com」を装い、「支払いの問題でドメインが停止した」「ホスティングの自動更新に失敗した」などとあたかも利用するサービスが停止したかのようにだまして不安を煽り、偽サイトへ誘導するフィッシング攻撃が確認されているという。 同社に限らず、同様のサービスを展開している他社に対しても類似した攻撃が展開されているとし、同社はサービスの利用者に注意を呼びかけた。 ひとたびインターネットサービスのアカウントを侵害されると、アカウント内の情報を窃取されたり、データの改ざん、破壊、攻撃の踏み台として悪用されるなど、さまざまな被害へ発展する可能性がある。 インターネット
AWS責任共有モデル - Qiita
はじめに AWSの責任共有モデルとは、クラウドサービス提供者であるAWSと顧客との間で、セキュリティとコンプライアンスに関する責任を分担する考え方です。AWSは物理的なインフラストラクチャのセキュリティを担当し、顧客は自身のデータとアプリケーションのセキュリティに責任を持ちます。 AWSにおいてこの責任の相違を「クラウド”の”セキュリティに対する責任」と、「クラウド”内の”セキュリティに対する責任」としています。 AWSの責任共有モデルのメリット AWSの責任共有モデルでユーザーが享受できる主なメリットとして、ユーザー側の作業負担軽減が挙げられます。AWS責任共有モデルは、企業が自社内で管理・運用するオンプレミス環境と比較して、AWS側にインフラの運用やプラットフォーム、ソフトウェアの管理を任せることができるため、管理コスト面でユーザーの負担を軽減できます。 それ以外にも、オンプレミスと比
関連キーワード VPN | セキュリティリスク | 脆弱性 セキュリティベンダーCheck Point Software Technologies(以下、Check Point)は2024年5月、同社VPN(仮想プライベートネットワーク)製品の脆弱(ぜいじゃく)性を公開すると同時に、パッチ(修正プログラム)の適用を促した。同社によると、攻撃者はこの脆弱性を、“ある共通点”のあるユーザー企業を狙った攻撃に悪用していた。標的となったユーザー企業のVPNに共通する点とは何だったのか。 Check Pointが明かした「狙われるVPN」の共通点とは 併せて読みたいお薦め記事 VPN製品の脆弱性は要注意だ 最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とは FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか Check Pointが2024年
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
Snowflake の情報流出騒動は異例の事態ではなく、危険が迫っている前兆
偽の無料Wi-Fiアクセスポイントを空港や飛行機内に設置して個人情報を盗んだ男が逮捕される
漏洩したパスワード100億件近くが公開、漏洩の有無の確認を
Pure Storageは、Snowflakeに関連する攻撃の早期被害者として名乗りを上げた
多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出
大分県立病院がDXやランサムウェア対策に向けてNetAppのストレージシステムを採用
「狙われるVPN」の共通点とは? Check Pointが明かした攻撃の実態