基幹系システムのような社内システムにおいても、オープンソースソフトウエア(OSS)の利用が当たり前になってきた。クラウドサービスを利用する場合や、開発担当者と運用担当者が連携する開発手法DevOpsを採用する場合など、OSSの利用を避けられない。 多くの企業でOSSの利用が進む中、OSSを採用した当初は想定していなかった誤算に直面するケースが浮上している。商用のソフトウエアに比べてサポート期間が短かったり、サポートが充実していないため脆弱性が見つかっても放置してしまったりといった課題だ。ユーザー企業は安易に導入コストだけを見てOSSを採用するのは禁物だ。その後の長期間の運用・保守も含めた体制の検討が求められる。 「OSSの採用がここ数年で周辺システムから基幹系に広がった。その結果、ユーザー企業からは長期間、同じバージョンのソフトウエアを使いたいという要望が増えている」。OSSのデータベース
ぼくのかんがえたさいきょうのDevOps実現構成
はじめに 昨年、AWS のインフラを運用・監視する上で使いやすいと思ったサービスを組み合わせて構成図を紹介した記事、「【AWS】ぼくのかんがえたさいきょうの運用・監視構成」が投稿したその日の Qiita のトレンド 1 位になり、はてなブックマークのテクノロジー分野でトップを飾りました。(たくさんの方に見ていただき感謝してます!) 本記事では「ぼくのかんがえたさいきょうの運用・監視構成」の続編として「ぼくのかんがえたさいきょうの DevOps 実現構成」を紹介させていただきます。あくまでも「ぼくのかんがえた」なので私個人の意見として受け入れていただけると助かります。 前回の記事でもお伝えいたしましたが、各個人・企業によって環境は違うと思いますし、使いやすいサービスは人それぞれだと思うので、これが正解という訳ではありません。一個人の意見として参考にしてただければ幸いです。 また、こちらの記事
以下の文章は、コリイ・ドクトロウの「Holy CRAP the UN Cybercrime Treaty is a nightmare」という記事を翻訳したものである。 Pluralistic 国連の専門機関にNGO代表として参加した長年の経験から学んだことが一つあるとすれば、国連の条約は危険で、権威主義国家と貪欲なグローバル資本家の不道徳な同盟に利用される可能性があるということだ。 私の国連での仕事のほとんどは著作権と「補助的著作権」に関するものであり、戦績は2勝0敗だった。ひどい条約(WIPO放送条約)を阻止し、素晴らしい条約(著作物へのアクセスに関する障害者の権利に関するマラケシュ条約)の成立を手伝った。 https://www.wipo.int/treaties/en/ip/marrakesh ひげを剃ってスーツとネクタイを着てジュネーブに行く必要がなくなってから何年も経つが、それ
![国連サイバー犯罪条約がもたらす最悪の悪夢 | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/ed3979ff8a1955824c32055f1c05b89157c7e5f3/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F07%2Fcybercrime-2024-2b.png)
PostgreSQL Row Level Security (RLS) を使って顧客データ保護の安全性を高めている件 - Techouse Developers Blog
はじめに 初めまして、株式会社Techouseエンジニアインターンの sakaidubz と申します。本日は私の携わっているプロダクトであるクラウドハウス労務で利用している RLS (Row Level Security) の技術について紹介します。 Techouse では、重要技術として RLS を多用しています。 通常 PostgreSQL の運用時には利用しないものであるため Techouse の開発メンバーとしてジョインしたみなさんが手慣れるまでに少し苦労をされているようです。 そこでこの場を借りて解説してみようと思い立ちました。 クラウドハウス労務について RLS について紹介する前に、私が開発しているクラウドハウス労務について紹介します。 クラウドハウス労務は人事労務における複雑な業務の電子化を推進するセミオーダー型・クラウド業務支援サービスです。各種手続きや年末調整といった法
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST
フロントエンドの移り変わりは早すぎるのか
インターネットでは毎日のように言われることですが、私はそこまでではないと考えています。 ネットでよくそう言われる理由として考えられるものと、それを踏まえてどう向き合っていくとよさそうか、個人的な考えをまとめてみます。 なぜ言われるのか 言語が実質的にJavaScript一択 バックエンド、というかサーバサイドでは技術選定に「言語の選択」が入りますが、フロントエンドでは実質的にはJavaScriptにほぼ固定されます(TypeScriptも別言語ではないので、ここではJavaScriptに含めます) サーバサイドと比較して「技術の移り変わりが早すぎる」と評される場合、多くはその人の使用しているとある言語と比較されているように思われます。 実質的に言語が固定なので、比較するならすべてのサーバサイドの変化の総量と比較するのが妥当でしょう。 PHP + Python + Ruby + go + J
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表
JavaScriptパッケージシステム「npm」は巨大なバグを抱えていると指摘し、新たなパッケージシステムを開発する「vlt」。npm作者らの参加を発表 npmに代わる新しいJavaScriptのパッケージシステム「vlt」(vōlt:ボールト)を開発しているvlt technologyは、同社にnpmの作者であるIsaac Z. Schlueter氏、npmのスタッフエンジニアリングマネージャであったDarcy Clarke氏、npmのCLIチームであったRuy Adornoらが参加すると発表しました。 Node.jsとnpmが作ったJavaScriptのエコシステム サーバサイドでJavaScriptを実行可能にしたNode.jsの登場と、そのNode.jsを基盤にJavaScriptのアプリケーションやモジュールなどをパッケージングして登録し、自由にダウンロード可能にしたレジストリで
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、セキュリティ対策に注力する企業の事例をもとに、予算も人材も限られた中堅・中小企業がITに投資する際のポイントをご紹介します。 日経新聞記者がサイバーセキュリティの要点を語る 寺岡篤志氏:日本経済新聞の記者の寺岡と申します。私からは「セキュリティはコストではなく戦略投資 年1億以上の予算をかける部品メーカーのグッドプラクティス」というタイトルで、お話をさせ
はじめに WebAssembly (略して Wasm) では WASI や WIT、 Component Model など様々な仕様があります。 それぞれが登場した背景、モチベーションなどを理解することでなんとなく概要を掴んでいくことができるのではないかと考えたため、過去・現在・未来と時間軸で整理してみました。 まず Wasm とその特徴に関して簡単に紹介した後、Wasm の過去として生まれた背景やモチベーションを紹介します。 そして現在の Wasm がなぜ注目を集めているのか、そして現在策定中の仕様と目指している未来について紹介します。 WebAssembly とはなにか WebAssembly はスタックベースの仮想マシン用バイナリ命令フォーマットの仕様です。Wasm と略されます。 Wasm ファイル(Wasm モジュール)は一般に .wasm という拡張子で表されるバイナリファイル
GMOインターネットグループ CISOの牧田誠氏が、才能があるエンジニアやクリエイターが評価される世界を作るための取り組みを発表しました。全2回。前回はこちら。 入社当日から有給休暇を15日付与・10連休は年間で3回以上 2つ目ですが、休みをだいぶ増やしました。我々の会社は中途入社が多くて、中途入社はだいたい入社後半年で有給10日が日本の一般的なルールかと思いますが、中途入社だって休む必要があるよねと。子どもが病気になるかもしれないし、いろいろあるから入社当日から有給休暇を15日付与する。これは2011年の話ですが、そういう制度を作りました。 10連休は年間で3回以上ですね。年末年始はその有休を組み合わせることによってだいたい17連休とか。去年1番(連休が)多かった人は、24連休を取っていました。残業に関しては、ゼロが理想ですよね。マイナスでも良いと僕は思っています。 フルフレックスなので
この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
アジャイルプラクティスガイドブック チームで成果を出すための開発技術の実践知 チーム・組織にプラクティスを導入し、根付かせるために! 116の手法を一冊にまとめた“実践”の手引き チームでのアジャイル開発には、開発技術やツールなどの「技術プラクティス」の活用が重要です。 プラクティスはそれぞれの目的や役割を意識することで効果を発揮します。しかし、目まぐるしく状況が変化する開発では、当初の目的を忘れて、プラクティスに取り組むこと自体が目的化してしまうチームも少なくありません。 本書は、チーム・組織でアジャイル開発に取り組んできた著者が、プラクティスの効果的な選択・活用のしかたについて、自らの実践経験に基づいてまとめたガイドブックです。 架空の開発現場を舞台にしたマンガとともに、チーム開発の様々なシーンで役立てられるプラクティスを、幅広くかつわかりやすく解説しています。開発現場に備えておけば、
ニコニコ動画、ニコニコ生放送などニコニコサービスで6月8日早朝から障害が発生している件で、運営元のドワンゴは大規模なサイバー攻撃を受けていることを明らかにしました。 障害とメンテナンスの告知 同サービスで8日3時23分ごろから正常に利用できない場合がある不具合が発生。6時から緊急メンテナンスを実施しています。その後12時間が経過しても復旧に至っていませんでした。 メンテナンス中の画面 ドワンゴは同日19時ごろ「大規模なサイバー攻撃を受けており、影響を最小限に留めるべく、サービスを一時的に停止しています」と説明。調査と対策を進めているものの、サイバー攻撃の影響を完全に排除できたと確信し、安全が確認されるまで、復旧に着手できないと述べています。「少なくともこの週末中は復旧の見込みがございません」 停止中のサービスは「ニコニコ動画、ニコニコ生放送、ニコニコチャンネル等のニコニコファミリーサービス
Doctor Webは29月12日(現地時間)、「Void captures over a million Android TV boxes」において、Android TVボックスから新しいマルウェア「Android.Vo1d」を発見したと報じた。すでに世界中のデバイスに感染していることが確認されており注意が必要。 Void captures over a million Android TV boxes マルウェア「Android.Vo1d」 Doctor Webの分析によるとマルウェア「Android.Vo1d」はトロイの木馬とされる。3つのコンポーネントで構成され、複数の手段で永続性を確保する。これまでのところ、初期の感染経路は明らかになっていない。 攻撃者は何らかの方法でデバイスへのアクセスを確保し、管理者権限を取得してマルウェアを展開したとみられている。被害報告のあったデバイスに
あけましておめでとうございます。年がもう明けてしまいましたが、2023年に読んでよかった本について簡単に書いていこうと思います。noteで書いていましたが、こちらのブログをしっかり使わないといろいろもったいなと思ったので、技術に関係ない話題ではありますがこちらに書いていきます。 技術書 単体テストの考え方/使い方 フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 プロを目指す人のためのTypeScript入門 安全なコードの書き方から高度な型の使い方まで 技術書でないもの サピエンス減少 縮減する未来の課題を探る ネガティヴ・ケイパビリティで生きる 2050年の世界 見えない未来の考え方 訂正可能性の哲学 GitLabに学ぶ 世界最先端のリモート組織のつくりかた ドキュメントの活用でオフィスなしでも最大の成果を出すグローバル企業のしくみ 2024
AWS Security HubとSlackを利用して、セキュリティ状況の監視運用を効率化したお話 - Uzabase for Engineers
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ
日本人のサイバーセキュリティ知識は世界最下位
日本人のサイバーセキュリティ知識は世界最下位世界のオンラインプライバシーとサイバーセキュリティに対する意識は悪化の一途をたどっているという調査結果 世界のオンラインプライバシーとサイバーセキュリティに対する意識は悪化の一途をたどっているという調査結果 昨年と比べ、日本は世界ランキングで9位から12位に後退しました。韓国と並び世界最下位です。 日本人はAIを仕事に使用する際のプライバシー問題について無知です。 2023年と比較すると、FacebookがFacebookを利用していない人のデータも収集できることを理解している日本人の数は減りました。 サイバーセキュリティ企業NordVPNの新たな調査[https://nordvpn.com/ja/blog/national-privacy-test-japan-2024/] によると、サイバーセキュリティとインターネットプライバシーに関する知識
関連キーワード VPN | ネットワーク・セキュリティ | 在宅勤務 エンドユーザーはインターネットを利用する際、VPN(仮想プライベートネットワーク)を用いることでその接続の安全性を保てる。企業のネットワークチームは、従業員がリモートアクセスをするための手段としてVPNを重宝している。 VPNにはさまざまな選択肢がある。中には暗号化方式が古く、安全でないものもある。主要な5つのVPNを解説する。 主要な5つのVPNの特徴とは 1.L2TP/IPsec 併せて読みたいお薦め記事 連載:VPN徹底解説 前編:いまさら聞けない「VPN」の基礎知識 暗号化が必要になった理由は? VPNの新しい姿とは 「無料VPN」を好むZ世代はクールじゃない? 有料VPN世代との違い アラブ諸国で「VPN」が使い倒されていた“意外な理由” 「L2TP/IPsec」は、「Layer 2 Tunneling Pro
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
今回の羽田の航空事故を巡り、事故の刑事責任の追及が自動車事故などに比べて緩やかなのはやはり納得できない、という声と、今後の安全性のためにはそれが当然、という現在の慣行を支持する主張が改めて持ち上がり、議論になっている。現在の慣行については、その日米比較を行ったこちらの服部健吾氏の論文が参照されることが多いようだが、同論文では現在の慣行を支持する論拠として、「萎縮効果(chilling effect)」が一つのキーワードになっている*1。そこで「chilling effect accident criminalize」で検索を掛けてみたところ、Flight Safety Foundation*2のPresident兼CEOのHassan Shahidiが2019年5月17日に書いた「Criminalizing Accidents and Incidents Threatens Aviatio
中小の太陽光発電施設がサイバー攻撃を受け、不正送金などに悪用される事例が出始めた。売電収入を目的にパネルを設置した個人所有者が十分なセキュリティー対策を施していないことが原因だ。中小の設備は日本全体の2割強に相当し、発電の出力低下などにつながるリスクもある。太陽光を活用した分散型電源システムの普及に影を落とす可能性も出てきた。「ハッカーが当社の遠隔監視機器の脆弱性を突き、機器が悪用されうる状況
2024年7月17日、東京ガスおよびグループ子会社の東京ガスエンジニアリングソリューションズは、不正アクセスにより同社が保有する顧客情報などが流出した可能性があると公表しました。流出の可能性のある情報には委託元より提供を受けている情報も対象となっていることが明らかにされています。これを受け委託元の組織からも相次ぎ関連する公表が行われています。ここでは関連する情報をまとめます。 VPN機器を介して不正アクセス 不正アクセスが確認されたのは東京ガスエンジニアリングソリューションズ(以降TGES社と表記)の社内ネットワーク。TGES社ネットワーク上での不正アクセスを検知し調査を進めていたところ、特定のファイルサーバーへアクセスが可能な複数の従業員のクレデンシャル情報(IDとパスワード)が窃取されていた事実が判明した。(不正アクセスがいつ頃から行われていたのかは調査中ためか2社公表での説明はない。
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023 GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプティング)などのコードのロジックなどの潜在的な脆弱性や、漏洩すると大きな事故を引き起こすシークレットがコード内に含まれていないか、などをチェックしてくれる機能です。 今回発
Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について[2024年7月31日更新]|サポート技術情報|目的別で探す|Aterm(エーターム) サポートデスク
このたびAterm製品の一部で、悪意のある第三者により、お客様の意図しない現象を引き起こされる可能性があることがわかりました。 Aterm製品は、管理パスワードおよび無線暗号化キーによって、お使いの方以外はアクセスできないようになっておりますが、対象製品をお使いの場合は、影響を受けにくくする対策として、以下の内容に従ってご対応をお願いいたします。 ご利用いただいているお客様には、ご不便とご迷惑をお掛けいたしましてまことに申し訳ございません。 現象1 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、telnet経由で任意のコマンドが実行される可能性 現象2 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、UPnP経由で任意のコードが実行される可能性 現象3 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、任意のコマンドが実行される、
TOPフォーカス「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】 セキュリティ芸人 アスースン・オンライン ゲーム会社でプログラマーをしつつ、趣味でセキュリティ芸人として活動。情報セキュリティ系のイベントやYouTube上でネタを披露している。R-1グランプリ2023では1回戦を突破。芸名は、大学の後輩にSNS上で陰口を書かれていたとき、本名の「麻生さん」をもじり、敬称まで含めて「ASUSN」と呼ばれていたのが由来とのこと。「オンライン」は語感で付けた。 X 「脆弱だなあ~」のツッコミをキーフレーズに、情報セキュリティや脆弱性をテーマにしたネタを披露する「セキュリティ芸人」のアスースン・オンラインさん。2023年3月に、YouTubeチャンネルに投稿したネタ披露の動画は90万回以上再生されるなど、エンジニアを中心に一定の人気を集
ランサムウエア起因による岡山県精神科医療センターのシステム障害についてまとめてみた - piyolog
2024年5月20日、岡山県精神科医医療センターは、サイバー攻撃に起因した電子カルテのシステム障害が発生していると公表しました。また6月11日には同センターが保有する患者情報が流出の可能性も判明したことが明らかにしました。ここでは関連する情報をまとめます。 ランサムウエアで電子カルテシステムに障害 ランサムウエアによる被害にあったのは岡山県精神科医療センターと東古松サンクト診療所。攻撃によってデータが暗号化され、2024年5月19日16時頃に両施設で運用している電子カルテシステムを含む総合情報システムで障害が発生した。また翌20日にはシステム内に脅迫メッセージとその連絡先であるメールアドレスを記載したものが確認された。 同センターでは障害発生後に紙カルテを用いた診療体制に運用を切り替えしており、医療サービスの提供への直接的な影響は生じていない。また6月1日からは仮の電子カルテシステムを使用
Dockerは公式にDockerfileのベストプラクティスを表明しています。 が、このベストプラクティスに沿っているかどうか?を人間がいちいちレビューしていくのは正直しんどい、というか現実的ではない… そこで「せや!静的解析したろ!」という時に便利なのがhadolintというライブラリです。 使ってみる 今回はVSCode拡張機能とGHAのCI時に静的解析してもらいたいと思います。 今回はちょうどメンテナンスしていない自分のリポジトリがあるので、これに対して静的解析をかけていきます。 まずはVSCode拡張機能で利用するための下準備として、hadolint本体をOSにインストールします。 Macの場合はこちら。 docker/php/Dockerfile:8 DL3008 warning: Pin versions in apt get install. Instead of `apt-
2024年5月1日、太陽光発電施設の遠隔監視機器 約800台がサイバー攻撃を受けていたと報じられました。ここでは関連する情報を調べた内容についてまとめます。 監視機器を経由し不正送金 太陽光発電施設の遠隔監視機器がサイバー攻撃を受けているとして、報じたのは産経新聞の次の記事。コンテック社の遠隔監視機器が乗っ取られ、インターネットバンキングの不正送金に悪用されていたというもの。 www.sankei.com 攻撃を受けた機器には脆弱性(記事では「サイバー攻撃対策の欠陥」と表記)が存在。これを悪用されたことで機器上にバックドアが設置され、機器を経由(攻撃者が身元を隠すために踏み台にしたとみられる)して不正送金にかかる操作が行われていた。当該事案については既に静岡県警も不正アクセス禁止法違反の容疑で捜査中とされている。 SolarView Compactの脆弱性を悪用 脆弱性が悪用された監視機器
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
元Google・現Microsoftのソフトウェアエンジニアであるジュリオ・メリノ氏が、現代のWindows 11の基盤アーキテクチャとなっているWindows NT系と、FreeBSDやLinuxなどに代表されるUNIX系を比較した考察をまとめています。 Windows NT vs. Unix: A design comparison - by Julio Merino https://blogsystem5.substack.com/p/windows-nt-vs-unix-design ・開発の経緯 MicrosoftはDOS系となるMS-DOSを1981年8月に、Windows 1.0を1985年11月にリリースしました。そして、DOS系の後継としてOS/2をIBMと共同開発していましたが、プロジェクトが難航したため、OS/2とは別となるMicrosoft独自の「Windows N
The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register
デジタルペンテスト部の北原です。 今回は、Windowsでのツール開発者にとっては重要なハンドルの内部について解説します。 Windowsでは、ファイルやプロセスから始まりすべてのリソースはオブジェクトとして扱われ、ファイルの削除やメモリの確保にはハンドルを取得する必要があります。 ツールやアプリケーションの開発者にとっては、日常的にハンドルを操作する機会がありますが、通常の利用者にとってはあまり意識するものではありません。 本記事では、Windows OSでのハンドルの役割と、OS内部でどの様に管理されているのかについて解説します。 記事の構成は以下の通りです。 ハンドルの役割とアクセス権限 ハンドルへの情報の問い合わせと操作 カーネル空間でのハンドル管理 応用例1 - オブジェクトをロックしているプロセスの特定 応用例2 - カーネルモードルートキット 本記事は以下の読者層を想定してい
Go製アプリケーション/ライブラリにおけるメンテナンス性を重視したGoのバージョン管理戦略 - Diary of a Perpetual Student
2024-08-28 GOTOOLCHAIN=auto時にはtoolchainディレクティブに指定したものより新しいGoがインストールされていても戻るわけではないという話を追記しました。 Go言語では半年に1回メジャーリリース(マイナーバージョンの更新)がやってきます。ちょうどこの8月にGo 1.23がリリースされたばかりです。Go言語のメジャーリリースは最新2つ分までサポートされるポリシーであることがhttps://go.dev/doc/devel/releaseに書かれています。現在であればGo 1.23やGo 1.22はサポートされており、Go 1.21はサポートが切れているということです。 また、サポートされているバージョンでは、不定期でマイナーリリース(パッチバージョンの更新)がやってきます。バグ修正や脆弱性対応がメインですね。 Goがリリースされると、Goでアプリケーションを作
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
AWS Lambdaの高速なコンテナロードの仕組み | CyberAgent Developers Blog
CTO統括室の黒崎(@kuro_m88)です。今回はAWS Lambdaの高速なコンテナロードの仕組みについて紹介します。 AWS Lambdaはサーバレスなマネージドサービスであり、難しいことを知らなくてもユーザ(私たち)は簡単にアプリケーションをホストでき、簡単にスケールします。 ユーザから見るとシンプルですが、その裏側では様々な仕組みがあったり最適化が行われたりしています。 マネージドサービスの裏側を必ずしも知る必要はありませんが、仕組みを知っておくとより使いこなせるはずですし、自信を持って技術選定ができるはずです。(そして何より裏側を知ることは楽しい!🤗) 本記事はUSENIX ATC 2023で発表された論文「On-demand Container Loading in AWS Lambda」の内容に基づいて、読んでいて面白かったポイントをまとめています。 On-demand
さて、米国連邦政府のクラウド戦略についてのレポートその2である。その1はこちらを参照。その1を読んでいなくても支障はないが、歴史的な話をしているので先に読んでいただくと理解が捗ると思う。 前回は、どちらかというと連邦政府の取り組みがうまくいかなかった、というトーンで話をしたが、公平を期して言うならば、成功している部分もあるし、うまくいかなくても諦めず粘り強く進行している取り組みもある。こういうとき米国人というのは強くて、失敗を教訓にどんどん再トライを繰りかえし、大きなブレイクスルーに繋げてしまう。 本稿では、そのようなダイナミズムを持った取り組みとして連邦政府のクラウドセキュリティ戦略を取り上げたいと思う。今後日本政府がクラウドシフトを進めていくうえでの参考にもなれば幸いである。 連邦政府のクラウドセキュリティ政策は、大きく三つの柱から成り立っている。一つ目が「FedRAMP」と呼ばれるク
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
基幹系への安易なOSS採用は禁物、バージョンアップ多発で運用保守が重荷に
国連サイバー犯罪条約がもたらす最悪の悪夢 | p2ptk[.]org
「Apache」「Node.js」も ~多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」/「Rapid Reset」脆弱性と比べても深刻
自社のセキュリティの甘さに対し、情シス部が起こした“反乱” 年1億円超の予算をITにかける、ある企業の改革の裏側
WebAssembly の過去・現在・未来 - Qiita
天才ホワイトハッカーが集まる「エンジニアの楽園」はどう作られた? “世界レベル”が続々集まる組織の仕組みづくり
【2024年】ITエンジニア本大賞まとめ - Qiita
ニコニコ動画など「大規模なサイバー攻撃」で一時停止 今週末中は復旧の見込みなし
130万台のAndroid TVからマルウェア検出、確認と対策を
2023年、読んで印象に残った本 - Don't Repeat Yourself
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
「VPNプロトコル」5種の違い あの定番から“高速VPN”の新技術まで
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
航空事故とフォーク定理 - himaginary’s diary
太陽光発電、サイバー攻撃の温床に IoT経由で不正送金 - 日本経済新聞
東京ガスエンジニアリングソリューションズへの不正アクセスについてまとめてみた - piyolog
「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】
hadolintを使ってDockerfileをベストプラクティスに沿った状態に保つ
太陽光発電 監視機器約800台へのサイバー攻撃について調べてみた - piyolog
SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
Windows NT系はUNIX系と比較して設計上のどういう点が先進的だったのか?
Google認証に不正アクセスの脆弱性、パスワード変更では不十分
【大原雄介の半導体業界こぼれ話】 不安定問題に脆弱性問題……CPUのメンテナンスは大変
Windowsカーネルから見るオブジェクトハンドル - ラック・セキュリティごった煮ブログ
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
米国連邦政府におけるクラウド戦略 - クラウドセキュリティをどう担保するか|ミック