連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバー攻撃によって侵入されることを前提とした、企業側の打ち手について解説します。 今のサイバーセキュリティは「侵入されること」が前提 鈴木暢氏:みなさま、こんにちは。このセッションでは「ログの監視分析とSOCサービス、組み合わせの勘どころ」と題して、ログの分析・監視環境をどのように構成すべきかという情報提供と、ALogを活用した弊社のマネジメントセキュ
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:
三井物産デジタル・アセットマネジメントで、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 いきなりですが、ログ管理はどの職種どの場面でも重要です。セキュリティにおいても、古生代よりサーバー、ネットワーク機器、アプリケーションなどから出力されるログを一元的に収集し、監視や分析を行うことで、セキュリティインシデントの早期発見や対応、コンプライアンス要件の達成が可能になります。 このようなログ一元管理を実現する代表的なソリューションは、そう、皆様よくご存知のSIEM。我らが「Security Information and Event Management」であります。 私はSIEMを、新卒で入社した大手企業でSOC(Security Operation Center)として触れ、その後ユーザー企業でもOSSやAWS GuardDuty(?)などの形で利用す
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
ローコード・ノーコードに潜むリスクを攻撃ツールで確かめてみた(インターンシップ体験記) - NTT Communications Engineers' Blog
こんにちは、NTTドコモグループの現場受け入れ型インターンシップ2024に参加させていただきました、佐藤と鈴木です。 本記事では、現場受け入れ型インターンシップ「D1.攻撃者視点に立ち攻撃技術を開発するセキュリティエンジニア」での取り組み内容について紹介します。NTTドコモグループのセキュリティ業務、とりわけRedTeam PJに興味のある方への参考になれば幸いです。 目次 目次 RedTeam PJの紹介 参加に至った経緯 インターンシップ概要 ローコード・ノーコードとは 検証業務 Power Pwnの概要 PowerDump reconコマンド dumpコマンド 条件や制約の調査 dumpコマンドの制約 検証まとめ 感想 おわりに RedTeam PJの紹介 私たちは、NTTコミュニケーションズ イノベーションセンター テクノロジー部門 RedTeam PJのポストに参加しました。Re
グループ企業間で使うSlack Botと脅威ベースのリスク評価 - Entra ID編 - LayerX エンジニアブログ
ドーモ、読者のミナ=サン、@ken5scalです。 今回はLayerXと、Fintech事業部のメンバーが出向する三井物産デジタル・アセットマネジメント(以降、MDM)をまたがる業務システムと、それに伴うリスク評価および発見的統制についてお話したいと思います。 これにより、コンパウンドスタートアップなグループ会社をまたがって必要とされる業務のデジタル化、 そしてその初期からの安全への取り組みについて紹介していきます。 業務 先述した通り、MDMはグループ会社です。 そこにはLayerXの代表取締役社長の一人(@y_matsuwitter)も非常勤取締役として出向しています。 私自信もLayerX CTO室のマネージャーを兼任しながら出向しています。 さて、私はともかく(?)、@y_matsuwitterさんは面接・登壇・取締役会など重要なスケジュールでドチャクソ忙しいです。 LayerXと
Pool Partyという攻撃手法を通じてWindowsの深淵を覗いた7日間(インターンシップ体験記) - NTT Communications Engineers' Blog
はじめに はじめまして、今回ドコモグループの現場受け入れ型インターンシップに参加させていただいた上野です。大学院ではコンテナセキュリティなどについて研究しています。 この記事では、インターンシップ体験記として以下の内容を紹介します。 私のインターンシップの参加経緯や取り組み NTTコミュニケーションズの業務やインターンシップについて知りたい就活生向け Process InjectionとPool Partyの概要 Pool Partyについて日本語で概要を知りたいセキュリティエンジニア向け 目次 はじめに 目次 RedTeam プロジェクト(RedTeam PJ) インターンシップ参加の経緯 インターンシップ概要 T1055 - Process Injection Pool Party Thread Pool Pool Party Variants Variant 1: Worker Fa
GitHub Actions で Amazon Inspector を利用した脆弱性スキャンを行う - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 2024/6に Amazon Inspector が GitHub Actions でのコンテナイメージスキャンをサポートしたとのアナウンスがありました。コンテナイメージの脆弱性スキャンに既にTrivyを利用している方も多いと思いますが、別の選択肢として Inspector によるスキャンを試してみました。 また、実はコンテナイメージのスキャンだけではなく、言語パッケージのバージョンファイルやDockerfileを静的解析することも可能のため、それもやってみました。 仕組み アクションを紐解く リポジトリ内のファイルをスキャンする場合 試してみた サマリページの結果 CSV形式の検出結果 JSON形式の検出結果 Markdown形式の検出結果 脆弱性が検出されなかった場合 コンテナイメージをスキャンする場合 サマリページの
JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[
GW中に風邪で寝込んでしまい、家で古銭プッシャー2を一人でプレイしていたらGWが終わってやる気がでない岩間です。みなさんは、GW満喫できたでしょうか。 先日社内の情報共有で知ったのですが、2月12日頃からNISTのNVDが更新する脆弱性情報のエンリッチメントデータが大幅に減っているようです。 関連のツイート: NISTがCVEデータをNVDに登録するときのenrichmentを1か月前に突然停止した、なんてことが起こってたんですね。 Risky Biz News: NIST NVD stopped enriching CVEs a month ago https://t.co/fDK7dYdbki — todkm IT系 (@todkm) March 15, 2024 NIST¹が、NVD²における脆弱性への情報付加を2/12から停止している。CVSSやCWE等が付与されていない状態。2/
セキュリティ組織 MITRE は、誰も攻撃を免れることはできないという教訓を示すため、自らが攻撃の対象となったことを認めた。 非営利団体 MITRE は、同団体の研究開発センター NERVE(Networked Experimentation, Research, and Virtualization Environment:実験・研究・仮想化環境ネットワーク)が、Ivanti の仮想プライベート・ネットワークのゼロデイ脆弱性を通じて侵入されたことを報告した。報告によると、センターは、MITRE が「国家体制を有する国外の脅威アクター」と呼ぶ攻撃者が狙った多くの標的のうちの 1 つであった。
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 ペネトレーションテストを実施する中で、ほぼ必ずと言ってよいほど検出される問題に「パスワードの強度に関する指摘事項」があります。 これは一言で言えば弱いパスワードが使用されているという問題であり、ペンテスター(攻撃者)の観点からすれば非常に悪用が容易、かつシナリオの達成(攻撃目的の達成)に直結することも多いことから真っ先に狙う脆弱性です。 しかし、ペネトレーションテストの中でパスワードの強度を確認する際には、気をつけなければならないことがあります。 それは、アカウントロックです。 これは、本番環境で実施することが多いペネトレーションテストにおいて、アカウントロックを発生させてしまうと、テスト対象組織の実業務に影響を及ぼしてしまう可能性があるためです。 アカウントロックは、一定の回数認証に失敗するとアカウントがロックされ
オーバーレイ ファクトシート
Webアクセシビリティ オーバーレイとは何ですか?オーバーレイは、Webサイトのアクセシビリティを向上させることを目的とした技術の総称です。サードパーティのソースコード(多くはJavaScript)を読み込み、フロントエンドコードを改善します。 アクセシビリティの向上を謳うWebサイトのアドオン製品は、1990年代後半に登場したReadspeakerやBrowsealoudに遡ります。これらは、インストールされたWebサイトにテキストの読み上げ機能を追加するものでした。 その後、そのようなソフトウェアに機能を追加した類似製品が、市場に出回るようになりました。それらは、読みやすさを向上させるために、ユーザーのニーズに基づき文字サイズや色などをコントロールするものです。 最近のオーバーレイ製品のなかには、支援技術からのアクセスのしやすさを妨げる問題を修正することを目的としているものがあります。
"�[31m"?! ANSI Terminal security in 2023 and finding 10 CVEs This paper reflects work done in late 2022 and 2023 to audit for vulnerabilities in terminal emulators, with a focus on open source software. The results of this work were 10 CVEs against terminal emulators that could result in Remote Code Execution (RCE), in addition various other bugs and hardening opportunities were found. The exact c
どこか特別な響きを持つ「ハッカー」や「ハッキング」という言葉。エンジニアなら一度はハッキングをしてみたいと思ったことがあるのではないでしょうか。そんなキケンな夢を叶える方法の1つが、仮想環境を利用したハッキング実験です。その具体的なやり方を解説した書籍『7日間でハッキングをはじめる本』(翔泳社)から、サイバーセキュリティトレーニングプラットフォームのTryHackMeを使ったハッキング実験を行うための準備について紹介します。 本記事は『7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性』(著:野溝のみぞう)の「Day 0:ブリーフィング」から抜粋したものです。掲載にあたって編集しています。 ハッカーに憧れる永遠の厨二病のあなたへ 本書は、いい歳して映画やアニメで見るようなスーパーハッカーに憧れている厨二病患者の方のために書きました(筆者のことです)。 ハ
MITREはなぜ侵入されたか? 調査結果 今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。 MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。 MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。 MITREは2024年4月に同組織の研究・開発・プロトタイピング用
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルの弱い箇所が存在します。一方で、企業がサイバーセキュリティ対策を進める上では、人材予算の不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバーリーズン合同会社の菊川悠一氏が、サイバー攻撃の被害を最小限に抑える方法を解説しました。 被害組織の90%がウイルス対策ソフトでランサムウェアを検出できず 菊川悠一氏:みなさんこんにちは。サイバーリーズンの菊川と申します。この講演ではサイバーセキュリティ対策についてお話しします。 サイバーセキュリティ対策の肝は、「どれだけ初動を早くするか」。どれだけ被
OpenSSHの脆弱性(regreSSHion: CVE-2024-6387)と9.8リリース - SIOS SECURITY BLOG
07/01/2024にOpenSSHの脆弱性(regreSSHion: CVE-2024-6387)が公開され、OpenSSH 9.8がリリースされました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 [過去関連リンク(最新5件)]【悪用に条件あり】OpenSSH(ssh-agent)のリモートコード実行の脆弱性(Important: CVE-2023-38408)とOpenSSH 9.3p2OpenSSHの脆弱性(CVE-2023-28531)と新バージョン(OpenSSH 9.3)OpenSSHの脆弱性(CVE-2023-25136)OpenSSHのssh-agentの脆弱性情報(CVE-2021-28041)と新バージョン(OpenSSH 8.5)のリリースOpenSSHの脆弱性情報(Important: CVE-2021-41617)と、OpenS
ばらまきメールに潜む死神の悪戯を紐解く - ITOCHU Cyber & Intelligence Inc.
はじめに 感染フロー 攻撃メール 解析結果 考察 防御策 IoCs This post is also available in: English はじめに 当社では、日常的に大量のばらまき型の攻撃メールを観測しており、その中で新たな攻撃や日本に対する大規模なキャンペーンの萌芽を把握するために、検体を日々確認しています。特に、ビジネスで通常使われない拡張子を持つファイルが添付されたメールや、日本語の攻撃メールは標的型攻撃メールの可能性も考慮し注視しています。 今回のブログでは、最近観測された多段の感染プロセスを有する日本語のばらまき型攻撃メールの解析内容について解説します。 この検体は難読化された VBScript や PowerShell スクリプトに加えて、不正コードが埋め込まれた画像(ステガノグラフィー)や、フリーの画像アップロードサイト・テキスト共有サイトをペイロードの取得先として
こんにちは!セキュリティサービス部セキュリティ開発グループの今村です。 今回のブログでは、私が2023年8月に IPA に報告した脆弱性についての内容、また報告から公表までの経緯や脆弱性の探し方などをご紹介します。 <免責事項> 本記事は脆弱性情報を扱う性質上、攻撃手法の一部に触れますが、違法行為を助長するものではなく脆弱性の発見により安全なソフトウェアが増えることを目的としております。 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、法的措置を取られる可能性があります。脆弱性の検証を行う場合は、くれぐれも許可を取ったうえで自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 はじめに 自己紹介 私は、23卒として SBテクノロジーに入社し、普段は主に、セキュリティ監視に使用するログ分析基盤の担当エンジニア
Best practices for event logging and threat detection Best practices for event logging and threat detection 3 Table of contents Executive summary �4 Introduction �5 Audience �5 Best practices �5 Enterprise-approved event logging policy �5 Event log quality �5 Captured event log details �6 Operational Technology considerations �7 Additional resources �7 Content and format consistency �7 Timestamp c
生成AIの自動サイバー攻撃 成功率9割の脅威
イリノイ大学の研究チームは生成AI(GPT-4)を利用したサイバー攻撃の実験結果を公開した。攻撃の成功率を高める方法も分かった。 生成AIを使ったサイバー攻撃が急速に強力になっている。初期にはフィッシングメールの作成やマルウェアのコード作成などに利用されていたが、さらに危険な段階に進んだ。 公開されている脆弱(ぜいじゃく)性情報を利用して、自動的に攻撃を仕掛ける能力を得たからだ。イリノイ大学の研究チームは複数の大規模言語モデル(LLM:Language Model)について攻撃能力を調査した。 それによれば、複数の脆弱性を複数のLLMに与えたところ、OpenAIの「GPT-4」はそのうち約9割を悪用できた。 生成AIを使った攻撃はなぜ危険なのか サイバー攻撃に生成AIを使う動きが広がるとどのような危険性があるのだろうか。 イリノイ大学アーバナ・シャンペーン校の研究チームによれば、LLMを利
セキュリティ対応組織の教科書 第3版
© 2023 ISOG-J セキュリティ対応組織(SOC/CSIRT) の教科書 ~ X.1060 フレームワークの活用 ~ 第 3.1 版 2023 年 10 月 17 日 NPO 日本ネットワークセキュリティ協会 (JNSA) 日本セキュリティオペレーション事業者協議会 (ISOG-J) © 2023 ISOG-J 改版履歴 2016/11/25 初版作成 2017/10/03 第2.0版作成 ・7章、8章の追加 ・別紙に「セキュリティ対応組織成熟度セルフチェックシート」を追加 ・これらに伴う、1章の修正 ・その他、軽微な修正 2018/03/30 第2.1版作成 ・ 「8.3. 各役割の実行レベル」における、成熟度指標(アウトソース)の 改善 ・これに伴う、別紙「セキュリティ対応組織成熟度セルフチェックシー ト」の修正 2023/2/13 第3.0版作成 ・ITU-T 勧告 X.10
Amazon Web Services ブログ 生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 本ブログは「Securing generative AI: Applying relevant security controls」を翻訳したものとなります。 本ブログは、生成 AI をセキュアにするシリーズのパート 3 です。まずは、スコーピングマトリックスについての詳細を紹介したブログ「生成 AI をセキュアにする: 生成 AI セキュリティスコーピングマトリックスの紹介」の概要から始めましょう。本ブログでは、生成 AI アプリケーションを保護するためにセキュリティコントロールを実装する際の考慮事項について説明しています。 アプリケーションをセキュアにするための最初のステップは、アプリケーションのスコープを理解することです。本シリーズのパート 1 では、アプリケーショ
米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
商用ソフトウエアやオープンソースソフトウエア(OSS)に脆弱性が見つかった場合、開発組織が脆弱性情報を公開するのが過去20年以上の通例となっている。しかしクラウド事業者はこれまで、クラウドサービスに見つかった脆弱性の情報を公開していなかった。そんな業界の「悪弊」が、改善され始めている。 米Microsoft(マイクロソフト)は2024年6月27日(米国時間)に「透明性の向上に向けて:クラウドサービスのCVEの公開について(Toward greater transparency: Unveiling Cloud Service CVEs)」と題するブログを公開し、クラウドサービスに存在する脆弱性についても、CVE(共通脆弱性識別子、Common Vulnerabilities and Exposures)に基づく情報を公開することを明らかにした。 CVEとは米国の非営利研究機関であるMITR
JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者:BlackBerry Japan 株式会社 糟
新Teamsアプリの一般提供開始 速度は2倍でメモリ使用量半減/「PlayStation 5」に新モデル登場 着脱可能なUHD BDドライブも用意
新Teamsアプリの一般提供開始 速度は2倍でメモリ使用量半減 米Microsoftは10月5日(現地時間)、WindowsおよびMac(macOS)向けに新しい「Microsoft Teams」の一般提供を開始した。3月からプレビュー版として公開していたが、ようやく正式版となった。同日から仮想デスクトップインフラストラクチャ(VDI)および政府クラウド顧客(GCC、GCC-H、DoD)向けのパブリックプレビューも開始している。 新しいTeamsアプリは、Windows上での動作速度とパフォーマンスを向上させるため、Reactフレームワークで新規に構築している。メモリとディスク容量の消費が最大50%削減され、アプリの読み込みや会議への参加、チャットとチャネルの切り替えが平均して2倍速くなっているという。 また、Mac上でもチャットとチャネルを素早く切り替える機能や、より高速なスクロールなど
はじめに 脆弱性を報告してCVE識別番号(CVE-ID:以下CVEと記す)を取りたい若者がいるみたいなので、そういう人に向けて持続可能(だと思っているけれども他の人がどう感じるかは不明)なやり方をざっくりとガイドする。 筆者は主にWebアプリケーションの脆弱性を報告してCVEを取得しているので(どういうものを見つけているのは各自探してください)、本稿ではWebアプリケーションで脆弱性を見つけて報告してCVEをもらうためのアプローチと具体的なやり方についてざっくり書く。他のスマホアプリとかネイティブアプリとかネットワーク層より下には基本的に触れないつもりだが、基本的には似たような流れだ。 必要な環境 PC スマホとかタブレットだけだとたぶんつらい。とはいえ筆者が最初に脆弱性報告した際に使用していたPCではスペックが低くてプロキシソフトが動かなかったので、最悪Webサーバーとブラウザーさえ動け
最近はもっぱらジム行って筋トレと水泳しかしてないですが、久し振りにブログを書こうと思います。 何を書くかと言うと、じつは少し前に、MITRE ATT&CKを完全に理解しました。せっかくなので、これを忘れないうちにアウトプットしていきます。あと、このフレームワークはセキュリティ監視をする上でとても役に立つため、知ってもらいたいと思っています。 セキュリティ監視入門! MITRE ATT&CK編 フレームワークの理解現状の評価テクニックの選定ログ収集の最適化検出ルールの作成・最適化シミュレーションテスト監視体制の強化継続的な学習定期的なレビュースタッフの教育・トレーニング 今日は「1. フレームワークの理解」です。 では、さっそく。 1.フレームワークの理解1.1 MITRE ATT&CKフレームワークとはMITRE ATT&CKフレームワークは、サイバーセキュリティの世界で広く採用されている
7日間でハッキングをはじめる本をやってみた
はじめに 2024/8/28に発売された、野溝のみぞう氏著の「7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性」をやってみた。思いの外長くなったので、感想を最初に書き、各章の内容を振り返ってみる。 感想 ハッキングの楽しさに触れられる良書だった。環境構築をはじめ、各章がかなり丁寧に解説されており、初心者でも躓くことなくハッキングを学べる本だと思った。用語の説明も詳しいが、「なぜこの方法を取るか?」や「どうアプローチするか?」の道筋の説明が丁寧で、わかりやすかった。あとイラストが最高にかわいい。 TryHackMeは登録したきりだったが、楽しさがやっとわかった。閉じた環境で遊べるのと、幅広いルームで遊べるのがいいと思った。ツールを試したり、脆弱性を悪用した攻撃を試せたり、CTF形式で遊べるなど、好きな遊び方ができるのが楽しい。 自身の場合は、Learni
OWASP Top 10 for LLM を活用した生成 AI アプリケーションの多層防御セキュリティ設計 | Amazon Web Services
Amazon Web Services ブログ OWASP Top 10 for LLM を活用した生成 AI アプリケーションの多層防御セキュリティ設計 大規模言語モデル (LLM) を中心に構成された生成 AI (人工知能) アプリケーションは、ビジネスに経済的価値を生み出し、さらに加速する可能性を示してきました。アプリケーションの例には、会話型検索、カスタマーサポートエージェントアシスト、カスタマーサポート分析、セルフサービス仮想アシスタント、チャットボット、リッチメディア生成、コンテンツモデレーション、セキュアで高パフォーマンスなソフトウェア開発を加速するコーディングコンパニオン、マルチモーダルコンテンツソースからのより深いインサイト、組織のセキュリティ調査と緩和策の加速などがあります。 多くのお客様が、生成 AI アプリケーションを開発する際に、セキュリティ、プライバシー、コンプ
メールを使った攻撃では、「フィッシングメール」の被害が有名だ。だが、もっと危険な攻撃がある。ユーザーの受信トレイを丸ごと乗っ取ってしまう攻撃だ。 メールは他のコミュニケーション手段と比較して、自動化が進んでいる。メールクライアントソフトウェアには発信者やタイトル、内容に応じた自動振り分け機能が備わっており、自動転送や自動削除の機能もある。 これが危ない。サイバー攻撃者はメールクライアントの「受信トレイ」を狙っている。どのような危険があるのだろうか。 受信トレイ攻撃はどれほど恐ろしいのか Barracuda Networksのプレブ・デブ・シン氏は2023年9月20日、同社の調査に基づいて受信トレイ攻撃の危険性を指摘した。 攻撃者がユーザーのメールアカウントを手に入れたとしよう。これはさほど難しくない。2022年に公開された日本の個人情報の漏えい・紛失事故だけでも約600万人に及び、この10
OSSデータベース取り取り時報 第102回連載100回記念第2弾「OSSデータベースは100ヶ月後も生き残れるか?」、MySQL 8.3.0のリリース、PostgreSQL最新情報 この連載はOSSコンソーシアム データベース部会のメンバーがオープンソースデータベースの毎月の出来事をお伝えしています。前回紹介した連載100回記念セミナー第1弾につづく第2弾について報告します。 連載100回記念第2弾「OSSデータベースは100ヶ月後も生き残れるか?」 前回にお知らせしたとおり、1月27日のオープンソースカンファレンス(OSC)2024 Osaka(大阪開催)にて本連載の100回を記念した企画セミナーの第2弾を実施しました。今回のOSC 2024 Osakaは4年ぶりに展示とセミナーの両方が会場で開催することになり、OSSコンソーシアムメンバに加えてオープンソースソフトウェア協会(O
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? これは鋭い疑問だと思います。②という認識であっていますが、もう少し補足したいと思います。 狭義のOSコマンドインジェクション(CWE-78)は、ご指摘の②のとおり、複数コマンドを起動するための構文(/bin/sh のセミコロン等)を使って複数のコマンドを実行するものです。しかし、広義ではコード実行可能な脆弱性全体を
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、ソフォス株式会社の杉浦一洋氏が、侵入を前提にしつつも今一度保護対策に着目すべき理由を解説しました。 メール経由のサイバー攻撃 杉浦一洋氏:みなさんこんにちは。ソフォス株式会社 セールスエンジニアリング本部の杉浦一洋です。本セッションでは、「ホームセキュリティで考える単純なサイバーセキュリティ対策 他人に踊らされないサイバー攻撃対策強化ステップ」についてお
ファストフォレンジックの実務とは?
はじめに 「デジタルフォレンジック」はだいぶ耳馴染みのある言葉になってきた気がしますが、「ファストフォレンジック」という言葉を耳にされたことはあるでしょうか? と書き出して「おい、これ長くて堅い話になりそうだぞ、ファストじゃないぞ」と自覚しました。が、もし10分程度のお時間があれば、何か飲みながらでもおつきあいただけると幸いです。。 この記事では、組織内のPCがEmotetのようなマルウェアに感染したセキュリティインシデントを事例として、ファストフォレンジックの実務をご紹介したいと思います。 デジタル・フォレンジック研究会の証拠保全ガイドライン(第9版)では、次のように説明されています。 ファスト・フォレンジック(ファストフォレンジック) 早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし、解析すること ※ 出典 : https://digitalfo
セキュリティ企業のESETは2023年9月27日(米国時間)、同社のリサーチャーや研究者の知見を掲載する公式ブログ「WeLiveSecurity」で、サイバーセキュリティ分野で最も使用されている5つのプログラミング言語をレビューし、それぞれの主な利点に焦点を当てるエントリを公開した。以下、その内容を要約する。 CやC++、Java、Bash、Go、Rubyなど、サイバーセキュリティで広く使用されているプログラミング言語は他にもあるが、今回は以下の5つをレビューする。 Python 関連記事 サイバー犯罪者も「ChatGPTを使ってコーディング」をしている チェック・ポイント チェック・ポイント・ソフトウェア・テクノロジーズは脅威アクターがOpenAIのChatGPTを悪用して悪質なコードを生成していることを、実例のサンプルとともに公開した。AIの悪用がサイバー犯罪の新たなトレンドになりつつ
Using Amazon Detective for IAM investigations | Amazon Web Services
AWS Security Blog Using Amazon Detective for IAM investigations Uncovering AWS Identity and Access Management (IAM) users and roles potentially involved in a security event can be a complex task, requiring security analysts to gather and analyze data from various sources, and determine the full scope of affected resources. Amazon Detective includes Detective Investigation, a feature that you can
米Appleは3月25日(現地時間)、21日に一連のセキュリティ更新を配信した際、「詳細は近日公開予定」としていた“詳細”を公開した。 対処した脆弱性は米GoogleのProject Zeroチーム、ニック・ギャロウェイ氏が報告したもので、CVE IDはCVE-2024-1580。MITREによると、フレームサイズの大きい動画をデコードする際に発生する可能性のあるdav1d AV1デコーダの整数オーバーフローにより、AV1デコーダ内のメモリ破損が発生する可能性があるという。 Appleによると、これを悪用すると、画像処理の際に任意のコードが実行される可能性があったが、入力検証を改善することでこの問題は解決したという。「積極的に悪用された可能性」はなかったようだ。 21日にはiOS以外にも「iPadOS 17.4.1」「iOS 16.7.7」「iPadOS 16.7.7」「visionOS
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
企業がサイバー攻撃を「防げる」という考え方は時代遅れ 攻撃を受けて「侵入される」前提のセキュリティ対策
ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ
攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes
NIST NVDの脆弱性情報更新が停滞しているので調べてみた - セキュアスカイプラス
範を示す ~ MITRE がサイバー攻撃被害公表 | ScanNetSecurity
アカウントロックにご用心!Windowsにおける認証の罠 - ラック・セキュリティごった煮ブログ
"�[31m"?! ANSI Terminal security in 2023 and finding 10 CVEs
ハッカーに憧れる永遠の厨二病に贈る『7日間でハッキングをはじめる本』のすすめ
「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
ランサムウェア被害の9割はウイルス対策ソフトで検出できず… 万一感染しても被害を最小限に抑える仕組み・体制のつくり方
実録 脆弱性発見から報告まで 〜CVE 保持者になりたくて〜 | SBテクノロジー (SBT)
Best practices for event logging and threat detection
生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 | Amazon Web Services
脆弱性情報を公開し始めたクラウド事業者、きっかけは米政府へのサイバー攻撃
JSAC2024 開催レポート~DAY 1~ - JPCERT/CC Eyes
初心者でもCVE番号を取れるかもしれないガイド - Qiita
セキュリティ監視入門! MITRE ATT&CK編 その①フレームワークの理解
メールが全て信じられなくなった 「受信トレイ攻撃」の脅威
第102回 連載100回記念第2弾「OSSデータベースは100ヶ月後も生き残れるか?」、MySQL 8.3.0のリリース、PostgreSQL最新情報 | gihyo.jp
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? | mond
「入れたら終わり」では済まないEDR導入の“壁” セキュリティツールを効果的に使うための方法
セキュリティ担当者がよく使う5つのプログラミング言語、何が役立つのか?
Apple、「詳細は近日公開予定」としていたセキュリティ更新の詳細を公開