こんにちは、IT基盤部の中村です。 主に社内システムのインフラを担当しています。 現在の業務内容とは少しずれてしまいますが、最近までメール系のインフラには深く携わっていたこともあり、今回はメールシステムについてお話します。 今どきSMTPなどレガシーな話かもしれませんね。しかしながら良くも悪くも枯れたSMTPはインターネット基盤の根底に位置する息の長い技術でもあります。 きっとみんなまだ使ってるはずなのに、あまりノウハウが出回っていないのが辛いと感じているそこの担当者の方、よろしければ少しの間お付き合いください。 サービスでのメールの利用用途 我々がサービスとしてメールを取り扱うとき、その主だった利用用途は下記の2つです。 メールマガジンなどの情報発信 入会・ユーザ登録時などのユーザ存在確認 メールマガジンはユーザーに情報を新たに届けたり、あらたに弊社の別のサービスに触れて頂く機会を提供す
インターネッツ老人会がこだわること3つ
・IPアドレスは手動。「え~っと、イックニ、ニゴロ、イチニッパと・・・。( ´Д`)=3 フゥ」とかつぶやきながらなぜか満足そう。 ・クルマで移動するときかたくなにスマホのマップを使わず大きな地図を広げて「ン、わかった」とかぶつぶつ言いながら運転。 ・スマホで撮れば一発なのをキーボードとか手書きで清書したがる。 ・「このホムペ重いね」とか「写メしといて」とかをいまだに使う。 あと1つは?
ネットワークレベルでサーバーと通信ができるか確認できる「ping」コマンドは、1983年にUNIXコマンドとして開発されて以来、サーバーの死活監視や通信速度の測定など、あらゆる場所で使われているコマンドです。そんなpingコマンドを開発したマイク・ムース氏は、2000年11月20日にレストランからの帰宅途中、高速道路で玉突き事故に巻き込まれて亡くなっていますが、ムース氏により「ping」コマンド開発秘話が綴られたブログ「The Story of the PING Program」はムース氏の没後20年となる2020年現在も閲覧することができます。 The Story of the PING Program https://ftp.arl.army.mil/~mike/ping.html ムース氏がpingコマンドについて語っているブログはアメリカ陸軍研究所のFTPサーバー「ftp.arl.
はじめに さっぶ。どうも、だーやまんです。 この記事は、本番環境でやらかしちゃった人 Advent Calendar 2019 - Qiitaの11日目の記事です。 これは、中途半端な知識でサービスを運用していた結果、タイトル通りの大失敗をしてしまったお話です。個人開発での出来事なので、業務で起きたことかと胃薬を握られていた方はご安心ください。 語るのもすごい恥ずかしいレベルですが、戒めのために晒しておきます。 この記事を読んでほしい人 初めてインターネット上にサービスを公開しようとしている人 喋太郎の利用者様(この場をお借りして、改めてお詫び申し上げます。本当に申し訳ございませんでした。) 背景とか Discord読み上げBot 「喋太郎」にてやらかしました www.dayaman.work 利用者が約10万人 さくらのVPSにてAppサーバ2台、DBサーバ1台で運用 各サーバの死活監視
AWS 認定 高度なネットワーキング – 専門知識(AWS Certified Advanced Networking – Specialty)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 高度なネットワーキング – 専門知識(AWS Certified Advanced Networking – Specialty)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 高度なネットワーキング –
社内で検知された悪性通信を調査したらドメインパーキングだった話 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
2021年1月20日、ジョー・バイデン氏が第46代アメリカ大統領に就任する数分前というタイミングで、インターネットのグローバルルーティングテーブル上に、5600万個ものIPv4アドレスが突如出現しました。複数の地域で枯渇したはずのIPv4アドレスが突如大量に出現したということで、大きな話題を呼んでいます。 The Florida mystery of dormant Pentagon IP addresses - The Washington Post https://www.washingtonpost.com/technology/2021/04/24/pentagon-internet-address-mystery/ The Mystery of AS8003 | Kentik https://www.kentik.com/blog/the-mystery-of-as8003/ こ
背景 間違って入ってしまったSI企業での開発経験談です。 入社前に「バックエンドの経験しかない」と伝えたがフロントもやる羽目に。 入って知ったLAMP環境での開発。あと顧客の窓口もやる羽目に。 私の担当するシステムは二期目で、引継ぎなし・ドキュメントなし・前任者なし、のトリプルコンボ。 PCは13インチのラップトップ、サーバはレンタルサーバ。 Gitなし、CIなし、規約なし、静的チェックなし(エディタはサクラ)。 既存コードがPHPなのにオブジェクト指向じゃない。フレームワーク使えない。 開発規模はだいたい20人月。期限は3か月。 偉い人「OSSハセキュリティガー」 開発の流れ ローカル環境(MAMP)で実装。 実装したファイルをFTPソフトでレンタルサーバのテスト環境にアップロード(上書き)。 テストを行って(テスト仕様書なし)動けば本番環境にアップロード なお、開発環境を変える裁量は
この記事はPySpa Advent Calendar 2021の14日目のエントリーとして書かれました。昨日のエントリーは冷凍食品でウキウキ引きこもり生活 でした。ちなみに私も70ℓの冷凍庫を購入しましたが本当にライフチェンジングでした。 総論: なぜログが必要か 可観測性 たとえ目的は自明でも、その動作までが自明なアプリケーションというものはほぼ存在しません。現実の世界のアプリケーションというものは、動作パラメータだったり実行環境だったり、起動時点でのさまざまな要因によって挙動を変えるものだからです。そして、そうしたアプリケーションにはライフサイクルというものがあります。ここでいうライフサイクルは、アプリケーションの処理が実行されるにつれ、アプリケーションの内外との情報のやりとりで生じる大局的な状態の変化のことです。アプリケーションが並行処理を行うようなものであれば、個々の並行処理の単位
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
OSCP: ペネトレーションテストの実践的な資格を取った話 - ommadawn46's blog
はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん
CTOのharukasanです。 pixivをはじめとするピクシブが運営している各サービスにおいて、ユーザーの投稿した作品を不当な目的を持って取得する行為から守ることは、プラットフォームとして重要な責務のひとつであるとピクシブは考えています。これまでもピクシブでは、作品が不当な目的で大量に取得されないよう機械的なクローリングを検知し、ブロックするために様々な手段を講じてきました。この記事では、現在行っている対策と、今後実施していくために現時点で取り組んでいる施策についてご説明します。 English version is available here これまでに実施している不当な目的での作品大量取得への対策について ピクシブでは不当な目的で作品を大量取得されることを防止するため、基本的な対策に加え、様々なソリューションを導入しています。ここでは特徴的な技術についていくつかの例を紹介します。
はじめに こんにちは。WEARバックエンド部SREブロックの春日です。普段はWEARというサービスのSREとして開発・運用に携わっています。本記事では、約60%のコスト削減に成功したNATゲートウェイの通信内容の調査方法と通信量の削減方法についてご紹介します。 目次 はじめに 目次 背景 コストの把握 NATゲートウェイの通信内容の把握 CloudWatchメトリクスでの確認 VPCフローログでの確認 リゾルバーでのクエリログでの確認 調査結果をもとにNATゲートウェイ経由での通信量を削減する AWSサービスとの通信 Datadogとの通信 WEARのAPIとの通信 ECRパブリックリポジトリとの通信 結果 まとめ 背景 ZOZOではより効果的な成長を目指してコストの最適化を進めています。コストの増大はサービスの拡大を鈍化させる原因となるため、常に最適な状態に保つことが必要です。WEARで
Webスクレイピングをしたいのだけど、VPNやプロキシーで一番良いサービスはないだろうか!? Linuxで使えるベストなVPNサービスを教えてほしい! …という形に、最適なプラクティスをご紹介します。 ということで、こんにちは! Webサイトを自動で取得する「Webスクレイピング」をする上で、必ずネックとなるのがアクセスするIPアドレスの問題です。 スクレイピングする対象のサービスの営業妨害にならない範囲でスクレイピングするのは言うまでもない当然の話ですが、Webサイトによっては、少しのアクセスでも不正なアクセスと認識してIPアドレスごとブロックしてしまうことがあります。 これを回避するためには、定期的なIPアドレス変更などの対応が必要です。 一般的にはこうした問題はプロキシーやVPNサービスを使って回避することになりますが、具体的にはどうしたら良いのでしょう? 結論を言いますと、「Nor
![【Linux】スクレイピングにはNordVPNが便利・設定方法を解説【[date]】](https://cdn-ak-scissors.b.st-hatena.com/image/square/a69980a212ecdfd7ae8ae663a2943971f7735423/height=288;version=1;width=512/https%3A%2F%2Ftipstour.net%2Fwp-content%2Fuploads%2FNordVPN_Linux.jpg)
東京オリンピックについて、これまで関係組織からの発表や報道されたサイバー関連事象についてまとめます。この記事は個別事象を整理したもので各々の関連性は一部を除きありません。また大会期間中のものを判別つきやすくするためタイトル部を赤文字で記載しています。 大会中に起きたこと 東京オリンピック期間中、過去大会で見られたようなサイバー攻撃などに起因する情報流出やシステム破壊の発生は報じられなかった。また官房長官は「サイバー攻撃に起因する問題発生は確認されていないとの報告を受領している」と7月26日にコメントしている。*1 大会後は経産大臣が電力やインフラなどのサイバーセキュリティに関してテロの様なものはなかったと説明した。*2 サイバー空間上でオリンピックに関連する事象が何もなかったわけではなく、大会に乗じた偽動画配信などの詐欺サイトの存在が報告されていた。またSNS上で選手への誹謗中傷が行われる
インターネット上の保護されていないデータベースのほぼすべてが削除され、「Meow(ニャー)」というネコの鳴き声だけが書き残される「Meow Attack(ニャー攻撃)」が報告されています。記事作成時点で既に4000近くのデータベースがニャー攻撃によって削除されてしまったとのことです。 New ‘Meow’ attack has deleted almost 4,000 unsecured databases https://www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/ Ongoing Meow attack has nuked >1,000 databases without telling anyone why | Ars Techn
AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 ソリュ
はい、どーも!CX事業本部の吉田です。 今日 Twitterをいつものように見てたところ、以下のようなツイートが流れてきました。 BRAVIAはガッツリAPIあるな。いいこと聞いた。 "はじめに | BRAVIA Professional Display Knowledge Center" https://t.co/0ngvvFMIrM — moyashi (@hitoriblog) August 21, 2020 ちょっと見た感じ、法人向け製品のみに実装されてるのかな?と・・・ ちょうど我が家のテレビもBRAVIA(KJ-55X8550G)だったので、試しにそのIPを叩いてみると、nginxのレスポンスが返ってくるではありませんか。 多分REST APIで叩けそうだぞ!ということで試してみました。 前準備 まずはテレビ側を準備します。 テレビのホーム画面から設定に入ります。機種によってこ
マイクロソフト、ソースコードをAIが読み込んで自然言語で説明してくれる「Copilot Explain」を開発中。GitHub Copilotは今夏に正式サービスへ。Microsoft Build 2022
マイクロソフト、ソースコードをAIが読み込んで自然言語で説明してくれる「Copilot Explain」を開発中。GitHub Copilotは今夏に正式サービスへ。Microsoft Build 2022 マイクロソフトは現在開催中の開発者向けイベント「Microsoft Build 2022」で、ソースコードの内容をAIが自然言語で説明してくれる「Copilot Explain」の開発を進めていることを明らかにしました。 AIが説明してくれることで、そのソースコードについてまだ詳しい内容を把握していないプログラマによるコードの修正やデバッグ作業などの効率化がはかれるとしています。 AIが自然言語の説明とコードの関係を学習 GitHub Copilotでは、人間のプログラマがペアプログラミングの相手であるAIに対してこれから書こうとしているコードの意図を説明するために、まずコメントを記述
Chrome、FireFox、Safariといった主要ブラウザにおけるIPアドレス「0.0.0.0」の扱い方に問題があり、問題を悪用することで攻撃者が攻撃対象のローカル環境にアクセスできることが明らかになりました。問題を発見したセキュリティ企業のOligo Securityは、この脆弱(ぜいじゃく)性を「0.0.0.0 Day」と名付けて注意喚起しています。 0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser Oligo Securityによると、主要なブラウザでは「『0.0.0.0』へのアクセスを『localhost (12
概略を説明すると、 Catalina の頃から Apple が Mac ユーザーのアプリ起動ログを勝手に収集していたが、 Big Sur の公開日にログ集約サーバーがダウンしてしまい、そのせいで Mac を使えなくなる人が続出して問題が発覚したというもの。 Rebuild の Episode 288 で触れられているので興味がある人は聞いて下さい。 この記事については日本語の翻訳もあってはてブで 500 ブックマークくらいついていたが、どうも機械翻訳されただけのようだったし、一部訳が違うのではと思われるところがあったので自分でも訳してみた。訳を原著者の Jeffrey Paul 氏にメールで送ったので恐らくそのうち本家に日本語訳が追加されると思う。 2020-11-25 9:16 追記 日本語訳追加してもらいました。 起きていることをまとめると以下のような感じだ。 Apple は Mac
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
【バックエンド】駆け出しエンジニアが目指すジュニアレベルのエンジニアとは【2024年版】 - Qiita
はじめに こんにちは。 普段はフロントエンドの開発をメインでやっておりますmamiと申します。 最近バックエンドの方の勉強や、少しずつですがDB設計やAPI作成などの業務もやらせてもらえるようになったので、自分のエンジニアとしてのレベル感や、この先目指すべき道筋を明確にしたいな〜という思いでこの記事を書いております。 これは自分のための記事であると同時に、同じように駆け出し中のエンジニアさんや、ミドル層を目指す手前のエンジニアさんにも刺さる内容になっているかと思います。 今、自分がどのようにキャリアアップしていくべきなのか、どのような道筋でスキルを磨いていけばいいのか。そんなふうに悩んでいる方は是非読んでみてください。 ※内容はバックエンドエンジニアが対象になりますが、フロントエンドの方もなにか通じるものがある…かもしれません。 ちなみにですがフロントエンドの方の記事は下記で執筆しています
Rui Ueyama @rui314 Googleソフトウェアエンジニア / スタンフォード大学院コンピュータサイエンス→投資生活→スタートアップ創業 Open-source dev. ex-@Google. MS/CS at Stanford. Creator of the mold and lld linkers. github.com/rui314 Rui Ueyama @rui314 マンションのネットが遅すぎるのでサポートに電話したら、ルータの設定を見直してくれとか、お客様はよくご存知ないかもしれないですがIPアドレスというものがあって・・みたいな話を聞かされたんだけど、そもそも200戸で1Gbps共有らしい。そりゃ遅いわ・・。 2023-08-14 12:12:01
IPアドレスのサーバ証明書が欲しい場合があります。そうすれば、ドメインを取得せずともサーバとHTTPS通信ができるようになります。 その他にも例えばDNS over HTTPSではIPアドレスでアクセス出来るように、有効な証明書がセットされていたりします。 https://1.1.1.1 https://8.8.8.8 しかし、Let's Encryptでは、IPアドレスのサーバ証明書は取得できません ~$ sudo certbot certonly --nginx -d 160.16.124.39 Requested name 160.16.124.39 is an IP address. The Let's Encrypt certificateauthority will not issue certificates for a bare IP address.ZeroSSLでは出来
どうも。 IPアドレスから住所を割られ、暇アノン界隈からネットリンチを受けたF9です。 私としても今回の盛り上がりは予想外で、困惑しているのが正直なところです。 それもそうです。「IPアドレス(モバイル回線)から住所割れたぜ!」なんて与太話を本気で信じる人が、この令和の時代に大勢いるとは思いませんよね? 特段ITスキルのない人間でも「IPアドレスではおおまかな地域しか絞り込めない」「IPはネットの住所みたいなもの」程度の認識を持っているのが普通です。 謂わば一般常識レベルの話ですが、暇アノン界隈は、そのレベルの知識すらない人間が大量にいたというのが恐ろしいですね。 というのもネタで煽っているのではなく、本当にIPとは何かを理解出来ていない人が大勢いるようですので。(後述) さて、事の経緯についてまとめましょうか。 経緯5ch旧速にあるcolabo本スレ(IPあり)を埋め立てた所、IPアドレ
そのメール、本当に届いてる?Amazon SESの運用で得た監視プラクティス - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、kintone.comのバックエンドエンジニアをしている@ueokandeです。 いきなりですが、メールって難しいですよね。 普段HTTPに慣れていると、メール周りのプロトコルの理解は難しく、トラブルにも見舞われることも少なくないです。 またメールプロトコルの性質上、メールを送った後にもトラブルは起こりがちです。 グローバル向けkintone.comはAWSで運用しており、メールの機能はAmazon Simple Email Service(SES)を利用しています。 この記事ではkintone.comのメール基盤の全貌と、Amazon SESを利用する上での運用プラクティスを紹介します。 kintone.comとメール kintone.comでは、ユーザーの招待やkintone上の更新を知らせるためにメールを利用し、メール送信は重要な機能の1つです。 kintone.comは
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
IIJ Technical NIGHTは、2020年9月11日にオンラインで開催した技術勉強会です。ここで熊坂氏が、SOC(Security Operation Center)のアナリストを支援するインシデント調査システム「CHAGE(チャゲ)」を社内で開発した理由と、その実装について紹介しました。 IIJのインシデント調査システム 熊坂駿吾氏(以下、熊坂):IIJの熊坂から、社内で作成しているインシデント調査システムに関して紹介いたします。「インシデント調査システムが内製すぎる件」というところで、IIJの中で作成しているCHAGE(チャゲ)を紹介します。 まず私は2015年にIIJに新卒入社しまして、2018年度からSOCで業務を行っています。アナリスト的なことは詳しくやっていなくて、どちらかというとアナリストたちが業務を行うための環境の整備をしています。 具体的には、Windowsのメ
令和にもなって自分でメールサーバーを作ってみたのでメモ。 OS は Ubuntu 22.04。 パッケージ更新後に自動的に再起動 メールとは関係ないけど apt で再起動が必要な更新があった場合は自動的に再起動するようにした。 /etc/apt/apt.conf.d/50unattended-upgrades: Unattended-Upgrade::Automatic-Reboot "true"; Lets Encrypt TLS 証明書を作るために certbot をインストール。自分はさくらのクラウドのDNSを使ってるのでそれ用のモジュールも追加。 # apt install certbot python3-certbot-dns-sakuracloud https://certbot-dns-sakuracloud.readthedocs.io/en/stable/ に従って /r
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
2021年4月22日、内閣府は外部とのファイルのやり取りで職員が利用するファイル共有サーバー(FileZen)が外部から不正アクセスを受けたと発表を行いました。ここでは関連する情報をまとめます。 内閣府の外部とのファイル共有に不正アクセス 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて 不正アクセスを受けたのは内閣府、内閣官房、個人情報保護委員会、復興庁の4組織の職員等が利用する内閣府LAN内に設置されたサーバー。 サーバーは外部とのファイル共有用途で設置されたソリトンシステムズの「FileZen」 内閣府はメール送信先誤りや記録媒体紛失の発生時に情報流出を防止する目的で利用していた。 イベント参加者情報流出の可能性 流出の可能性があるのはサーバー上に保管されていた231名分の氏名、所属、連絡先等を含む個人情報。内閣府が関わったイベント申込者等の情報。*1 実
「検索上位のWebサイトへの修理依頼、ちょっとまって」──東京都下水道局(@tocho_gesuido)は1月18日、ネットでのトイレ修理の依頼に関してこんな注意喚起をTwitterに投稿した。 同局によれば、トイレの修理が必要な場合に「トイレ つまり」などでインターネット上を検索し、上位に表示された業者に修理を依頼したことで、高額な料金を請求されるトラブルが増えているという。 Googleなどの検索エンジンは検索キーワードに対して適したWebサイトを表示するアルゴリズムを持っているが、このアルゴリズム上有利に働くようにサイトを調整する手法をSEO(検索エンジン最適化)という。一般的には検索上位に表示されるほどサイトが閲覧されやすくなることから、評判を伴わずとも、SEOにより顧客の流入を狙う業者もいる。 東京都下水道局は「点検や清掃、修理は有償になる。事前に見積もりをもらってほしい」とした
httpとhttpsの違い
TLSの有無 言うまでもないことですが、httpsでは通信路をTLSを使って保護することが想定されています。[1][2] デフォルポート httpは80、httpsは443です。[3][4] 権威性 以降の説明に入る前に前提を確認します。本稿は「httpとhttpsの違い」と題されていますが、これはURLのスキーム部分のことを指しています。URLはリソースの所在を指すものであり、通信方法はそこから二次的に決まるものです。このことを前提に置きつつ権威性について説明します。 Webにおいて、所望のリソースにアクセスする方法はひとつではありません。このような方法のうち、リソースの所有者の制御下にある(第三者による加工などが行われていないと期待される)方法で取得することを権威的アクセスと呼びます。[5] どのようなアクセス方法が権威的とみなせるかについて100%客観的で統一的な指標があるわけではな
完全に笑い話。 www.hackread.comwww.privateinternetaccess.com 香港を拠点とする"UFO VPN"なるサービス、この手のVPNではよくある「No Log Policy」(ログは一切取らない)を掲げてたにもかかわらず、ログどころかユーザ名・平文パスワード・IPアドレス・接続先・タイムスタンプ諸々が保存されていて、これが流出した。 しかも、発覚したきっかけは、VPNMenterと言う調査サービスがElasticsearchクラスタに894GBのデータベースがパスワード無しで保存されていたのを発見したこと、というアボガドバナナかと案件。 ほかにも"FAST VPN", "FREE VPN", "Super VPN", "Flash VPN", "Rabbit VPN"と言うサービスのデータも含まれていたが、どうやらサービスの名前だけ違って全て同じアプリ
元記事 元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。 本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。 結論 正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。 これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。 まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。 災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛
2022年12月4日よりDocker版実習環境を提供します。オリジナルの実習環境はVirtualBox上の仮想マシンとして提供していますが、M1/M2 MacではVirtualBoxが動作しないことから、Docker版として提供するものです。 元々はM1/M2 Macを想定してARM64アーキテクチャ用に作りましたが、AMD64のWindowsやMacでも動作するように作っています。 Dockerコンテナの起動方法 ダウンロードページから実習用仮想マシン (Docker版)をダウンロードして適当なディレクトリに設置してください。 以下のコマンドによるコンテナーのビルド及び実行をします。 $ cd <wasbook-docker.zip を設置したディレクトリ> $ unzip wasbook-docker.zip # あるいは適当な方法でのzip解凍 $ cd wasbook-docker
本章では、HTTP/3がTCPに代わって下位層で用いるQUICについて解説します。 QUICはトランスポートプロトコル QUICはトランスポートプロトコルです。QUICの説明に入る前に、トランスポートプロトコルついておさらいします。 TCP/IPの4階層モデル プロトコルは階層で役割を分担しています。TCP/IPの4階層モデルでは、アプリケーション層、トランスポート層、インターネット層、ネットワークインタフェース層に分かれます(図1)。 図1 TCP/IPの4階層モデル アプリケーション層に分類されるアプリケーションプロトコルは、クライアントやサーバで動作するアプリケーションの動作に関するデータやメッセージの通信ルールを規定します。たとえばSMTP(Simple Mail Transfer Protocol)は、メールを送信する通信ルールを規定しています。HTTPはこの層に属します。
Azure App Service (Web Apps) がリリースされて 6 年、情報のアップデートを行いつつ気になった情報は適当にブログに書くという日々ですが、Regional VNET Integration や Service Endpoins が使えるようになって設計に大きな変化が出るようになったのでまとめます。 最近は Microsoft で HackFest を行うことも多いのですが、App Service をこれから使い始めたいという場合に、失敗しない構成を共有したい、知ってほしいという意図もあります。多いですが中身は単純です。 基本設定 64bit Worker は必要な場合のみ利用する FTP / Web Deploy をオフにする Always on を有効化する ARR affinity をオフにする HTTP/2 の有効化を検討する Health Checks の
noteユーザーのIPアドレスが漏えい、運営会社が謝罪 有名人のIPアドレスと一致する5ちゃんねる投稿が検索される事態に
コンテンツ配信サービス「note」を運営するnote社は8月14日、記事投稿者のIPアドレスが第三者から確認できてしまう不具合があったとして謝罪した。漏えいした有名人のIPアドレスを、他サービスでの投稿に見られるIPアドレスと比較する者も現れている。 noteユーザーが直近でログインしたIPアドレスが、記事詳細ページのソースコードから確認可能な状態だったという。IPアドレスを他人に見られた可能性があるのは、noteで2記事以上投稿したことのあるユーザー。同社は14日午前10時40分にこの不具合を検知し、午前10時58分にnote全体へのアクセスを遮断。午前11時56分に修正対応を終え、サービスを再公開したとしている。 誰でもnote利用者のIPアドレスを確認できる状態だったことから、noteを利用する有名人のIPアドレスを、ネット掲示板「5ちゃんねる」など他のサービス上で見られるIPアドレ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メールを送信する話 | BLOG - DeNA Engineering
おなじみ「ping」コマンドの生みの親が20年以上前に開発秘話を記したブログ
postgresのデータを盗まれた話 - のんびりやの日記
枯渇が叫ばれるIPv4アドレスが突如1億7500万個も出現、一体何が起こったのか?
異世界召喚 ~私、能力はバックエンドって言ったよね!~ - Qiita
Goのロギングライブラリ 2021年冬 - moriyoshiの日記
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
ピクシブにおける不当な目的での作品取得行為に対する対策技術について - pixiv inside
NATゲートウェイの通信内容を調査して対策し、コストを約60%削減した話 - ZOZO TECH BLOG
【Linux】スクレイピングにはNordVPNが便利・設定方法を解説【[date]】
東京オリンピックのサイバー関連の出来事についてまとめてみた - piyolog
データベースの中身がほぼ削除されてネコの鳴き声だけが書き残される謎の「ニャー攻撃」が活発化
BRAVIAのREST APIを使ってテレビを操作してみた | DevelopersIO
「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される
Mac は「こちら側」のコンピューターではなくなった - portal shit!
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
マンションのネットが遅すぎるのでサポートに電話したらタワマンの闇だった→引っ越すしかないな…
ZeroSSL ならIPアドレスのサーバ証明書が取得できる - ASnoKaze blog
【暇空茜】暇アノン界隈と5ch旧速民の知能が想像以上に低かった件について【colabo問題】|F9
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
「よろしい。ではDBも内製だ」 IIJのインシデント調査システムが内製すぎる件
Ubuntu 22.04 でメールサーバーを作ったのでメモ - tmtms のメモ
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
内閣府のFileZenへの不正アクセスについてまとめてみた - piyolog
トイレ業者のSEO対策に東京都下水道局が「待った」 啓発ポスターがシュールで話題に
「ログを一切取らない」と謳っていたVPNサービスから、2000万件を超える個人情報が流出した件 - 悪霊にさいなまれる世界 -The Demon-Haunted World
Free Wi-Fi(00000JAPAN)は安全なのか? - Qiita
Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト
第2章 詳解QUIC ~ TCPに代わり下位層で使用する新しいトランスポートプロトコル | gihyo.jp
後悔しないための Azure App Service 設計パターン (2020 年版) - しばやん雑記