並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 1041件

新着順 人気順

DoS攻撃の検索結果1 - 40 件 / 1041件

  • IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現

    IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現 2020 年 11 月 3 日 (火) 独立行政法人情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室 登 大遊 独立行政法人 情報処理推進機構 (IPA) 産業サイバーセキュリティセンター サイバー技術研究室は、このたび、できるだけ多くの日本全国の地方自治体 (市町村・県等) の方々が、LGWAN を通じて、迅速に画面転送型テレワークを利用できるようにすることを目的に、J-LIS (地方公共団体情報システム機構) と共同で、新たに「自治体テレワークシステム for LGWAN」を開発・構築いたしました。 本システムは、すでに 8 万ユーザー以上の実績と極めて高い安定性 を有する NTT 東日本 - IPA 「シン・テレワークシステム」をもとに、LGWAN

      IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現
    • Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

      2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software

        Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
      • IPA情報セキュリティ10大脅威 知っておきたい用語や仕組み2023年5月.pdf

        情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................

        • colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

          追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu

            colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
          • TCPとQUICの比較

            ジェフ・ヒューストンのブログより。 QUICトランスポート・プロトコル(RFC 9000)は、オリジナルのTCPトランスポート・プロトコルを改良したものに過ぎないという一般的な見解があります[1][2]。私は、この意見に同意し難く、私にとってQUICは、通信のプライバシー、セッション制御の完全性、柔軟性の面で、アプリケーションが利用できるトランスポート機能における重要な変化を象徴しています。QUICは、より多くの形式のアプリケーションの動作に本質的に役立つ、異なる通信モデルを体現しています。そうです。TCPよりも高速です。私の意見では、公衆インターネットは、いずれQUICがTCPに取って代わると思っています。ですから、私にとってQUICは、TCPに少し手を加えただけのものではありません。ここでは、TCPとQUICの両方について説明し、QUICがトランスポート・テーブルに加えた変更について見

              TCPとQUICの比較
            • 【Web】知っておきたいWebエンジニアリング各分野の基礎知見80

              この記事は? それぞれが専門にしている領域に関わらず、Webエンジニアリングの基礎知識として知っておきたいと思う事を対話形式でまとめていく。知識はインプットだけではなく、技術面接や現場では、専門用語の正しい理解をもとにした使用が必要なので、専門がなんであれ理解できるようなシンプルな回答を目指したものになっています。解答の正しさはこれまでの実務と各分野の専門書をベースに確認してはいますが、著者は各技術の全領域の専門家ではなく100%の正しさを保証して提供しているものではないので、そこはご認識いただき、出てきたキーワードの理解が怪しい場合各自でも調べ直すくらいの温度感を期待しています。なお、本記事で書いている私の回答が間違っている箇所があったりした場合、気軽にコメント欄などで指摘いただけるとありがたいです。 Webエンジニアリングの基礎 この記事でカバーしている領域は、以下のような領域です。W

                【Web】知っておきたいWebエンジニアリング各分野の基礎知見80
              • 韓国の日本(人種)差別がレッドラインを超えつつある件

                韓国団体「戦犯国日本の歴史説明が必要」 ネットフリックスに抗議 https://news.yahoo.co.jp/articles/f1861e90b5bf3e2c4b59ba076845d4d1beca703f このほかにもVANKはネットフリックスで配信中のドラマ「ベビー・シッターズ・クラブ」で戦争加害者である日本が被害者であるように思わせる場面があることを問題視している。 同ドラマでは、太平洋戦争中の米国で日系人が強制収容されたことなどに触れており、VANKはこれについて、戦争を知らない子供らが日本を被害国と誤解する可能性が十分にあるとし、戦犯国である日本の歴史に関する説明を追加するよう要求した。 まず収容された日系人は「日本国民」ではなく「日本人の血を引くアメリカ国民」です。 日本人の血を引いた人たちが不当に差別された事を「日本という国が被害者であるようで不快だからやめろ」「戦犯国

                  韓国の日本(人種)差別がレッドラインを超えつつある件
                • 北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断

                  北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断2022.02.09 23:00104,443 satomi パジャマでサイバー攻撃。 「国家の主な財源がハッキング」と言われる国なんて、世界広しといえども(経済制裁でまともに貿易できない)北朝鮮ぐらいなわけですが、ここのスパイに猛攻をかけられてウンザリした米国のセキュリティ研究員が、米政府が何もしないことにしびれを切らせて先月ひとりオペレーションで報復、北朝鮮がまるまるインターネットから消え去る変事となりました。 消えていたのは長いときで6時間ほどです。攻撃がミサイル発射テストの前後に集中していたことから、最初はどこかの政府軍のサイバー攻撃かと思われていたのですが、Wiredに名乗りをあげたのは意外にも匿名希望のP4xさん個人。主要なサーバーとルーターに狙いを定めて全自動のDOS攻撃をプログラムし、パジャマのズ

                    北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断
                  • 隣の人がAirPodsの蓋を開けたり閉めたりしてるせいで、こっちの端末に通知が出続けて何もできない→やっちゃう理由や解決策「新たなDoS攻撃」

                    yuta(にしのん) @falsita 隣の人がずっとAirpodsの蓋を開けたり閉めたりしているので私のiPadにずっと「あなたのAirpodsではありません」って表示が出つづけて何も出来ない リンク Apple(日本) AirPods 魔法のようにシンプルな設定で、質の高いサウンドを。AirPodsがほかにはないワイヤレス体験を届けます。好きな言葉を無料で刻印することもできます。 68 users 1945

                      隣の人がAirPodsの蓋を開けたり閉めたりしてるせいで、こっちの端末に通知が出続けて何もできない→やっちゃう理由や解決策「新たなDoS攻撃」
                    • すぐに役に立つものはすぐに陳腐化してしまうから方法ではなく設計の本を読む - API Design Patterns の読書感想文 - じゃあ、おうちで学べる

                      あなたがさっきまで読んでいた技術的に役立つ記事は、10年後も使えるでしょうか?ほとんどの場合でいいえ はじめに 短期的に効果的な手法や知識は、ソフトウェア開発の分野において、急速に価値を失う傾向があります。この現象は、私たちが何を重点的に学ぶべきかを示唆しています。最も重要なのは、第一に基本的な原理・原則、そして第二に方法論です。特定の状況にのみ適用可能な知識や即座に結果を出すテクニックは、長期的には有用性を失う可能性が高いです。これは、技術や手法が時間とともに進化し、変化していくためです。 learning.oreilly.com 「API Design Patterns」は、このような考え方を体現した書籍です。しかも480 ページもあります。本書は単なる手法の列挙ではなく、Web APIデザインの根幹をなす原則と哲学を探求しています。著者のJJ Geewax氏は、APIを「コンピュータ

                        すぐに役に立つものはすぐに陳腐化してしまうから方法ではなく設計の本を読む - API Design Patterns の読書感想文 - じゃあ、おうちで学べる
                      • 三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を

                        三菱電機は9月29日、炊飯器や冷蔵庫などの家電製品やネットワーク機器などで複数の脆弱性が見つかったと発表した。悪用されるとDoS攻撃を受けた状態になったり、情報漏えいが発生したりする恐れがあるとしている。 【編集履歴:2022年9月30日午後8時 画像内に対象製品ではないものが含まれていたため修正しました】 対象製品は同社製のエアコン、無線LANアダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IHクッキングヒーターなど。 見つかったのは(1)情報漏えいの脆弱性、(2)DoSの脆弱性、(3)悪意のあるスクリプトを含むメッセージを応答する脆弱性。認証情報が暗号化されず、盗聴により情報を盗まれる恐れもある。 対象製品と対処法一覧(情報漏えいの脆弱性) 対象製品と対処法一覧(DoS、悪意のあるスクリプトを含むメッセージを応答する脆弱性) 三菱電機

                          三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を
                        • たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita

                          セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し

                            たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
                          • オンライン投票は現時点でも予見可能な未来でも「実現不可能」である | p2ptk[.]org

                            先日投開票が行われた総選挙でデジタル権に関連した各党の公約をまとめていて、いわゆる「インターネット投票」や「オンライン投票」の実現を掲げる党が少なくないことに驚いた。私自身その実現を望んでいるが、これまでオンライン投票の実現を阻んできた種々の問題が解決したとは寡聞にして知らない。 2013年の公職選挙法改正で「ネット選挙」が解禁され、ネット上での選挙運動こそできるようにはなったが、候補者・政党への投票は現在も紙ベースで行われている。 確かに投票が自分のスマートフォンやパソコンからできればラクでいいし、遠隔地にいるだとか投票所まで行く負担が大きいという人にとっては非常にありがたいのもわかる。投票率の向上が見込めるので、有権者の声がより反映されることにもなるだろう。 だがメリットが大きい一方で、リスクはさらに大きい。一番に思いつくところでは、投票の秘密が守られないこと(その結果として生じる投票

                              オンライン投票は現時点でも予見可能な未来でも「実現不可能」である | p2ptk[.]org
                            • トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置

                              トヨタ自動車は10月7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。 2017年7月以降にT-Connectユーザーサイトにメールアドレスを登録した人が該当する。氏名や電話番号、クレジットカード番号などが漏えいした可能性はないという。 原因は2017年12月にT-Connectユーザーサイトの開発委託先企業が、取り扱い規則に反してソースコードの一部を誤って公開設定のままGitHubアカウントにアップロードしたこと。その後、5年にわたって第三者がソースコードの一部にアクセスできる状態で放置されていた。ソースコードにはデータサーバへのアクセスキーが含まれ、これを利用するとサーバに保管しているメールアドレスやお客様管理番号にアクセスできたという。 トヨタは9月15日にGitHub上のソース

                                トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
                              • 東京オリンピックのサイバー関連の出来事についてまとめてみた - piyolog

                                東京オリンピックについて、これまで関係組織からの発表や報道されたサイバー関連事象についてまとめます。この記事は個別事象を整理したもので各々の関連性は一部を除きありません。また大会期間中のものを判別つきやすくするためタイトル部を赤文字で記載しています。 大会中に起きたこと 東京オリンピック期間中、過去大会で見られたようなサイバー攻撃などに起因する情報流出やシステム破壊の発生は報じられなかった。また官房長官は「サイバー攻撃に起因する問題発生は確認されていないとの報告を受領している」と7月26日にコメントしている。*1 大会後は経産大臣が電力やインフラなどのサイバーセキュリティに関してテロの様なものはなかったと説明した。*2 サイバー空間上でオリンピックに関連する事象が何もなかったわけではなく、大会に乗じた偽動画配信などの詐欺サイトの存在が報告されていた。またSNS上で選手への誹謗中傷が行われる

                                  東京オリンピックのサイバー関連の出来事についてまとめてみた - piyolog
                                • 続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編

                                  3月12日火曜日に始まったPublickeyへのDDoS攻撃に対して、これまでサーバの強化、Cloudflareの導入とDDoS対策のための設定を行ってきました。 その結果、3月24日日曜日の夜に始まり3月27日水曜日の朝まで3日間連続で続いたDDoS攻撃のあいだもWebサイトの閲覧と記事更新などを問題なく行える状態となり、DDoS攻撃がWebサイトの運営の大きな障害ではなくなりました。 ちなみにそれ以後DDoS攻撃は止んでいますが、今後はいつDDoS攻撃を受けてもWebサイトの運営に支障がでることはなくなったと考えられます。この記事では結局どのような対策を行ったのか、実際に効果を発揮したDDoS対策を紹介していきます。 これまでの経緯は下記の記事をご参照ください。 Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ 続、Publickeyが受けたDoS攻撃、これまでの経緯と

                                    続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編
                                  • 不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog

                                    2020年11月17日、Peatix Japanは米本社(Peatix.Inc)が提供するイベント管理サービス「Peatix」が不正アクセスを受け、登録されていた利用者情報が取得されたと発表しました。ここでは関連する情報をまとめます。 最大677万件のデータ流出 peatix.com 【Peatix不正アクセス事象】よくいただくご質問とその回答 [PDF] 弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ Peatix社が情報流出の可能性を把握したのは2020年11月9日頃。 外部企業による調査の結果、2020年10月16日~17日にかけて不正アクセスが同社サービスに行われていた。 登録されていた個人情報を含む利用者情報が最大約677万件不正に取得された事実が判明。 2020年11月17日発表時点で調査中。新事実等判明次第公表。 同社は今回の流出に関係する二次被害

                                      不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog
                                    • 未ログインでも叩けるAPIエンドポイントにレートリミットを導入する

                                      先日だれでもAIメーカーというWebサービスをリリースしました。このサービスは例によってOpenAI APIを使っており、トークンの使用量がランニングコストに大きく影響します。 また、気軽に使ってもらえるよう未ログインでも使用できる仕様にしているため、気をつけないと悪意のある人に大量にトークンを使用されてしまう可能性があります。 ノーガードだとどうなるか 例えば、POST /api/askという「リクエストbodyのpromptの値を取り出し、OpenAI APIのChat Completionsに投げる」という単純なエンドポイントを作ったとします。 「未ログインでも使ってもらいたいから」と認証を一切しなかった場合どうなるでしょうか? 悪意のある攻撃者に見つかれば、promptを上限ギリギリの長さの文章に設定したうえで、/api/askに対してDoS攻撃するかもしれません。 トークンを大量

                                        未ログインでも叩けるAPIエンドポイントにレートリミットを導入する
                                      • 三菱の炊飯器に脆弱性が発覚 凶悪ハッカーによりご飯の炊き方を玄米モードに変更される恐れも

                                        リンク ITmedia NEWS 三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を 三菱電機の家電製品やネットワーク機器などで複数の脆弱性が見つかった。悪用されるとDoS攻撃を受けた状態になったり、情報漏えいが発生したりする恐れがあり、ユーザー側で対処が必要。 288 users 357

                                          三菱の炊飯器に脆弱性が発覚 凶悪ハッカーによりご飯の炊き方を玄米モードに変更される恐れも
                                        • Python開発者のためのセキュアコーディングのコツ10個 - Qiita

                                          本記事は2021年9月27日に公開したPython security best practices cheat sheetを日本語化した内容です。 2019年、Snykは最初のPythonチートシートをリリースしました。それ以来、Pythonのセキュリティの多くの側面が変化しています。開発者向けセキュリティ企業として学んだこと、そしてPython特有のベストプラクティスに基づいて、Pythonのコードを安全に保つために、この最新のチートシートをまとめました。 【チートシート】2021年版Pythonセキュリティベストプラクティス 本記事では、下記に関するPythonのセキュリティに関するヒントを紹介します。 外部データを常にサニタイズする コードをスキャンする パッケージのダウンロードに注意 依存先パッケージのライセンスを確認する システム標準版のPythonを使用しない Pythonの仮

                                            Python開発者のためのセキュアコーディングのコツ10個 - Qiita
                                          • マイクロサービスの再考: タダ飯なんてものはない

                                            どうも、株式会社プラハCEO兼エンジニアの松原です。 先日かとじゅんさんがツイートで紹介していたマイクロサービスに関する論文を読むついでに、適度に意訳した内容を音声入力してみました。ついでに意訳レベルなので翻訳の質は保証できないのですが、もし内容を読んでみて少しでも興味を持てた場合は実際の論文にも目を通してみると良いかもしれません。 論文のリンク: 「これ日本語でなんて言うの?」って分からなかった部分も多々あったのでより適切な単語があったら教えてほしい...! 導入 マイクロサービスには様々なプラクティスや技術を用いて以下のメリットを目指す 素早いデリバリー 高いスケーラビリティ 自律性 しかし実際にこの業界で実装されるマイクロサービスは採用するプラクティスや効果に大きな差があるため、オンラインサーベイ(51回答)と経験豊富なマイクロサービス実践者14名にインタビューを行った。 わかったこ

                                              マイクロサービスの再考: タダ飯なんてものはない
                                            • Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ

                                              Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 関連記事 最終的にDDoS攻撃に効果を発揮した設定を下記記事で紹介しています。 続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われ

                                                Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
                                              • 続、Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ

                                                先週の火曜日、3月12日に始まったPublickeyへのDDoS攻撃は今週日曜日、3月18日日曜日の早朝を最後に収まったようです。この記事執筆時点でPublickeyのサーバは平常に戻っています。 この間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 前回の報告「Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ」の後、さらにいくつか対策を講じましたので、この記事では前回の報告以後の経緯と講じた対策を記したいと思います。 また、前回の報告では「DoS攻撃」と書きましたが、その後Publickeyのサーバをホスティングしているさくらインターネットのサポート担当の方から、今回の攻撃は分散した箇所から攻撃を受けていると

                                                  続、Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
                                                • アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

                                                  Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド(阿里雲)が脆弱性情報を発見後すぐに報告しなかったとして6カ月間の提携停止処分とした。中国の報道機関・21世紀経済報道が23日報じた。 問題となっているLog4jの脆弱性は、アリクラウドが発見したとされている。中国工業情報化部・ネットワーク安全管理局は、同社がこの脆弱性を米Apache Software Foundation(ASF)に報告した一方で、同局にはすぐに報告しなかったとしている。同局は別の情報セキュリティ機関からこの脆弱性の報告を受け、ASFに修正を促したという。 中国は「ネットワーク安全法」の第25条で「ネットワーク事業者は脆弱性など情報セキュリティ上のリスクが発生した場合、緊急対応を直ちに開始

                                                    アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
                                                  • IPv6アドレススキャン攻撃:Geekなぺーじ

                                                    IPv4では、アドレススキャン攻撃やポートスキャン攻撃は日常的に行われています。 ファイアウォールなしの状態でグローバルIPv4アドレスに接続していれば、すぐに攻撃を観測できます。 IPv6でもアドレススキャン攻撃は発生しています。私の家のネットワークでも、IPv6でのアドレススキャン狙いと推測されるトラフィックを簡単に観測できました。 ただ、いまのところ、私の家では、実際に利用しているIPv6アドレスを外部から発見できているようなスキャンの形跡を発見できておらず、主にステートフルDHCPv6や手動設定でのIPv6アドレスを探しているように見えました。 やはり、IPv4と比べると、IPv6の方がIPv6アドレススキャン攻撃の難易度は高いのだろうと思います。 ということで、IPv6でのアドレススキャン攻撃や、その他方法によって、稼働しているIPv6アドレスをどのように探すのかに関して解説して

                                                    • GraphQL採用サービスで任意カラムを取得できる脆弱性を見つけた話

                                                      初Zennです。 はじめてZennを使ってみました。いつもはTwitterにいるmipsparcです。鉄道と関連技術が好きで、本職ではPHPを書いています。別途ブログもあります https://mipsparc.wordpress.com/ 今年6月、TABICA(7/26に改称し、新名称「aini」、運営会社 株式会社ガイアックス)というイベント募集仲介サービスに、個人情報を自由に取得できる脆弱性を見つけて報告したところ、速やかに修正されて報奨金をいただいた話をします。 GraphQLは知ってますか? はじめに、GraphQLはご存知でしょうか。普通のHTTP API(RESTともいいますが)では、リクエストするエンドポイントが用途ごとに決まっているのが普通でしょう。たとえば /userdata にアクセスすると、JSONなどの形式でユーザーデータの決まった内容が帰ってくるものです。

                                                        GraphQL採用サービスで任意カラムを取得できる脆弱性を見つけた話
                                                      • 2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ - SoftEther VPN プロジェクト

                                                        2021/08/16 日本の広範囲のグローバル IP の IPsec VPN 装置宛へのサイバー攻撃の注意喚起と「SoftEther VPN」/「PacketiX VPN」への影響を防ぐための設定の確認のお願い・新ビルドのお知らせ はじめに 本ドキュメントは、2021/08/16 公開の 「SoftEther VPN」/「PacketiX VPN」の Ver 4.37 Build 9758 Beta に関連する情報を提供します。 本ドキュメントは、「SoftEther VPN」/「PacketiX VPN」をインストールし管理されている VPN サーバーの管理者様で、IPsec 機能 (L2TP/IPsec, EtherIP/IPsec または L2TPv3/IPsec) を有効にされ、かつ、以下の条件に合致する方向けのものです。 「SoftEther VPN」/「PacketiX VPN

                                                        • Kubernetesのマルチテナントの現状を整理する - TECHSTEP

                                                          はじめに 本記事では、Kubernetesで実現するマルチテナントについて、2020年9月時点での現状と、将来的に利用できるであろう機能の紹介をいたします。各機能についての詳細は、参考ドキュメント等を参照していただければと思います。 本記事の要点 マルチテナントは単一のクラスター上に複数のテナントを共存させることを指す。 Kubernetesにはマルチテナントを実現するための機能が備わっている。 アクセスコントロール:RBAC セキュリティ:Namespace / Network Policy / Pod Security Policy リソースの隔離:ResourceQuota / LimitRange / Affinity / Taintなど Kubernetesのマルチテナント機能は、SIGを中心として機能開発が進められている。 Benchmarks Tenant Controlle

                                                            Kubernetesのマルチテナントの現状を整理する - TECHSTEP
                                                          • Amazon出禁の高性能すぎる無線操作デバイス「Flipper Zero」でiPhoneを使用不能にする攻撃が発見される、防御方法はBluetoothオフのみ

                                                            「Flipper Zero」はNFC・Bluetooth・赤外線通信など多種多様な無線通信技術に対応した無線コントロールデバイスで、「テレビリモコンの代わりに使う」「カードキーを複製」といった使い方が可能です。そんなFlipper Zeroを使って「iPhoneにBluetoothペアング要求を連続で送りつけて強制再起動させる」という攻撃が可能であることが判明しました。 This tiny device is sending updated iPhones into a never-ending DoS loop | Ars Technica https://arstechnica.com/security/2023/11/flipper-zero-gadget-that-doses-iphones-takes-once-esoteric-attacks-mainstream/ Flipp

                                                              Amazon出禁の高性能すぎる無線操作デバイス「Flipper Zero」でiPhoneを使用不能にする攻撃が発見される、防御方法はBluetoothオフのみ
                                                            • 「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開

                                                              任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 新たな脆弱性(CVE-2021-44832)は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系(ただし特定のセキュリティ修正バージョンを除く)。 CVSS(共通脆弱性評価システム)スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性(CVSS10.0で「致命的」)より影響レベルは低いが、直前に見つかっていたDoS(サービス拒否)攻撃の脆弱性よりは高く見積もられて

                                                                「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
                                                              • Webサービスにおけるファイルアップロード機能の仕様パターンとセキュリティ観点 - Flatt Security Blog

                                                                はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、Webアプリケーション上で実装される「ファイルアップロード機能」の実装パターンをいくつか示し、「開発者が設計をする上で気をつけるべき脆弱性」とその対策について解説していきます。 「ファイルアップロード機能」の脆弱性は特定の言語やサービスによって発生する脆弱性だけでなく、特定の拡張子のファイルでのみ発生する脆弱性など非常に多岐にわたります。そのため、本稿では全ての脆弱性を網羅する事は目的としておりません。しかし、「ファイルアップロード機能」のセキュリティについて考えるための基本となる知識と対策観点を本記事で知って、今後の開発に応用していただければ幸いです。 はじめに ファイルアッ

                                                                  Webサービスにおけるファイルアップロード機能の仕様パターンとセキュリティ観点 - Flatt Security Blog
                                                                • ハッキングAPI

                                                                  Web APIは近年急速に利用が拡大しています。APIの呼び出しが全Webトラフィックの80%以上を占めるほど、Webサービスに欠かせない技術となっている一方で、Web APIに対するサイバー攻撃も急増しており、そのセキュリティ対策はあらゆる組織で重要な課題となっています。 本書の目的は、Web APIの基本をしっかり押さえ、脆弱性が存在しないかどうかテストする方法を示すことです。攻撃者(APIハッカー)の視点から、あらゆるAPI機能と特徴を活用するための知識を学ぶことで、これから起こり得る情報漏えいの危機を防ぐことができます。まず、WebアプリケーションやWeb API脆弱性の種類などの基礎知識を学んだのち、実際に検証用ラボを構築しながら、脆弱性の調査方法、ツール、さまざまな攻撃手法などを、実践的に解説していきます。Webアプリケーションで最も一般的なAPI形式であるREST APIのセ

                                                                    ハッキングAPI
                                                                  • IPv6セキュリティ概説-プロトコル編-

                                                                    必修!IPv6セキュリティ〜未対応で⼤丈夫ですか?〜 IPv6セキュリティ概説 -プロトコル編- 東京⼯業⼤学 学術国際情報センター 北⼝ 善明 November 28, 2017 Internet Week 2017 Copyright © 2017 Yoshiaki Kitaguchi, All rights reserved. IPv6対応時のキーワード IPv4ネットワークからIPv6ネットワークに置き換わるのではない IPv6ネットワークがIPv4ネットワークに追加される 三つの視点での考慮が求められる IPv4ネットワーク、IPv6ネットワーク、デュアルスタックネットワーク IPv4だけのネットワーク運⽤との相違点を理解することが重要 Internet Week 2017 Copyright © 2017 Yoshiaki Kitaguchi, All rights reser

                                                                    • DNSの脆弱性の歴史とクラウド

                                                                      This post is also available in: English (英語) 概要 時折、世界中の何十億台ものデバイスを危険にさらす、新たなDomain Name System (ドメイン ネーム システム - DNS)の脆弱性が発見されています。一般に、DNSの脆弱性は重大です。自分の銀行口座のWebサイトを閲覧したときに、DNSリゾルバが銀行のWebサイトのIPアドレスを返す代わりに、攻撃者のWebサイトのアドレスを返すことを想像してみてください。攻撃者のWebサイトは、銀行のWebサイトとそっくりです。それだけではなく、URLバーにも間違いは見当たりません。ブラウザが、銀行のWebサイトであると本当に認識しているためです。これが、DNSキャッシュポイズニングの一例です。 このブログでは、DNSについて説明するほか、過去の脆弱性から最近発見された高度なものまで、DNSキャッ

                                                                        DNSの脆弱性の歴史とクラウド
                                                                      • ヴォルデモートの名前を呼ぶと居場所を感知されるって設定、とんでもない脆弱性では?「世界中で呼びまくれば倒せそう」

                                                                        あかしあ みどり @akasia_midori ハリーポッターシリーズのヴォルデモート 名前を呼ぶと居場所を感知されるという設定があるんだけど実はこれとんでもない脆弱性なのではないかと思ってる あの世界なら秒間10^5回名前を呼ぶ道具とか作れそうだし たぶんDoS攻撃を受けたヴォルデモートは503を吐き出すだけのマシーンになる 2023-11-10 11:46:25 あかしあ みどり @akasia_midori ヴォルデモートも効率的なアルゴリズムを組めたら秒間10^5程度のリクエストはさばけるかもしれない 「競技プログラミング」でアルゴリズム力を鍛えてヴォルデモートを救おう! 日本で最大手の競技プログラミングコンテストサイトはAtCoder!みんなやろう!(ダイレクトマーケティング) 2023-11-10 14:33:13

                                                                          ヴォルデモートの名前を呼ぶと居場所を感知されるって設定、とんでもない脆弱性では?「世界中で呼びまくれば倒せそう」
                                                                        • シーライオニング - Wikipedia

                                                                          シーライオニング(英: sealioning)[1]とは嫌がらせの一種。礼儀正しく誠実な振りをしながら証拠・回答などを何回も要求すること[2][3][注釈 1]。 これは「議論への参加を執拗に、真意を偽りつつ求める」形をとることがあり[6]、人間を対象としたDoS攻撃に例えられることがある[7]。この用語はデヴィッド・マルキによるウェブコミック『Wondermark』の2014年のエピソード(インデペンデント紙は「これまでに見た中で最も的確にツイッターを表現したもの」と呼んだ[8])に由来する[9]。 これを行う者(シーライオン)は無知で礼儀正しいふりをし、「私はただ議論をしようとしているだけだ。」という体で、答えと根拠を容赦なく要求する。その際、ターゲットとなった人が既に提示した根拠を無視したり、回避したりすることもよくある。標的になった人が痺れを切らせて怒り出すと、その者はあたかも自分

                                                                          • CISSP 勉強ノート

                                                                            目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と

                                                                              CISSP 勉強ノート
                                                                            • ISUCON13のベンチマーカーのDNS水責め攻撃について - Hateburo: kazeburo hatenablog

                                                                              この記事はさくらインターネット Advent Calendar 2023の12月3日の記事になります。 先日行われました ISUCON13 の作問を担当しました。参加者の皆様、スタッフの皆様ありがとうございました。 このエントリではISUCON13のDNSに関わる要素とベンチマーカーから行われたDNS水責めについて紹介します。 ISUCON13の問題の講評と解説は以下のエントリーでも行っていますので読んでいただけると嬉しいです isucon.net こんいす〜 ISUCON13における名前解決 上記のエントリーにもある通り、今回のISUCONではDNSが問題の一部として出てきます。 これまでポータルから参加者は割り振られたサーバの中から負荷をかけるサーバ1台選択し、ポータルはそのサーバに対して負荷走行を行うことが多くありましたが、今回はサーバ1台を選択したら、ベンチマーカーはそのサーバの

                                                                                ISUCON13のベンチマーカーのDNS水責め攻撃について - Hateburo: kazeburo hatenablog
                                                                              • パスポート更新がオンライン化、手続き時の出頭が不要に 3月から

                                                                                政府は9月30日、4月に公布した改正旅券法の施行令などを閣議決定した。これにより、パスポートの更新手続きや紛失手続きなどを電子申請できるようになる。改正旅券法の施行は3月27日から。 これまでパスポートの更新手続きを行うには、各都道府県の申請窓口に届け出を提出する必要があったが、同法の施行後は申請時に出頭する必要がなくなる。電子申請時の手数料については、クレジットカードでの支払いも一部の在外公館から順次可能に。他にも大規模災害時のパスポート手数料の減免も可能になる。 旅券法の改正は、新型コロナウイルスの感染拡大による社会情勢の変化や、利便性向上、パスポートに関わる事務作業の効率化などを見直すために行われたとしている。 関連記事 旅行代金が40%オフ、観光庁の新施策が10月11日スタート じゃらんや楽天トラベルなどの対応は? 観光庁は9月26日、旅行代金の一部を補填することで観光需要を喚起す

                                                                                  パスポート更新がオンライン化、手続き時の出頭が不要に 3月から
                                                                                • 大規模Kafkaクラスターで起きた「SYN flood」 再現性のない問題をどのように原因究明したか

                                                                                  2021年11月10日と11日の2日間、LINE株式会社が主催するエンジニア向け技術カンファレンス「LINE DEVELOPER DAY 2021」がオンラインで開催されました。そこで岡田遥来氏が、LINEで最もよく使われるミドルウェアの1つ「Kafka」クラスターのリクエスト遅延を、どのように解決したかについて紹介しました。まずは起きた現象と、その原因究明について。 分散ストリーミングミドルウェア「Apache Kafka」 岡田遥来氏:ではセッションを始めます。よろしくお願いいたします。 こんにちは。岡田遥来と申します。LINEでシニアソフトウェアエンジニアをやっていて、全社的に利用されるApache Kafkaプラットフォームの開発・運用を担当しています。 ご存じの方も多いかもしれませんが、Apache Kafkaは分散ストリーミングミドルウェアで、LINEでは最もよく使われるミドル

                                                                                    大規模Kafkaクラスターで起きた「SYN flood」 再現性のない問題をどのように原因究明したか