連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバー攻撃によって侵入されることを前提とした、企業側の打ち手について解説します。 今のサイバーセキュリティは「侵入されること」が前提 鈴木暢氏:みなさま、こんにちは。このセッションでは「ログの監視分析とSOCサービス、組み合わせの勘どころ」と題して、ログの分析・監視環境をどのように構成すべきかという情報提供と、ALogを活用した弊社のマネジメントセキュ
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:
三井物産デジタル・アセットマネジメントで、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 いきなりですが、ログ管理はどの職種どの場面でも重要です。セキュリティにおいても、古生代よりサーバー、ネットワーク機器、アプリケーションなどから出力されるログを一元的に収集し、監視や分析を行うことで、セキュリティインシデントの早期発見や対応、コンプライアンス要件の達成が可能になります。 このようなログ一元管理を実現する代表的なソリューションは、そう、皆様よくご存知のSIEM。我らが「Security Information and Event Management」であります。 私はSIEMを、新卒で入社した大手企業でSOC(Security Operation Center)として触れ、その後ユーザー企業でもOSSやAWS GuardDuty(?)などの形で利用す
ローコード・ノーコードに潜むリスクを攻撃ツールで確かめてみた(インターンシップ体験記) - NTT Communications Engineers' Blog
こんにちは、NTTドコモグループの現場受け入れ型インターンシップ2024に参加させていただきました、佐藤と鈴木です。 本記事では、現場受け入れ型インターンシップ「D1.攻撃者視点に立ち攻撃技術を開発するセキュリティエンジニア」での取り組み内容について紹介します。NTTドコモグループのセキュリティ業務、とりわけRedTeam PJに興味のある方への参考になれば幸いです。 目次 目次 RedTeam PJの紹介 参加に至った経緯 インターンシップ概要 ローコード・ノーコードとは 検証業務 Power Pwnの概要 PowerDump reconコマンド dumpコマンド 条件や制約の調査 dumpコマンドの制約 検証まとめ 感想 おわりに RedTeam PJの紹介 私たちは、NTTコミュニケーションズ イノベーションセンター テクノロジー部門 RedTeam PJのポストに参加しました。Re
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
グループ企業間で使うSlack Botと脅威ベースのリスク評価 - Entra ID編 - LayerX エンジニアブログ
ドーモ、読者のミナ=サン、@ken5scalです。 今回はLayerXと、Fintech事業部のメンバーが出向する三井物産デジタル・アセットマネジメント(以降、MDM)をまたがる業務システムと、それに伴うリスク評価および発見的統制についてお話したいと思います。 これにより、コンパウンドスタートアップなグループ会社をまたがって必要とされる業務のデジタル化、 そしてその初期からの安全への取り組みについて紹介していきます。 業務 先述した通り、MDMはグループ会社です。 そこにはLayerXの代表取締役社長の一人(@y_matsuwitter)も非常勤取締役として出向しています。 私自信もLayerX CTO室のマネージャーを兼任しながら出向しています。 さて、私はともかく(?)、@y_matsuwitterさんは面接・登壇・取締役会など重要なスケジュールでドチャクソ忙しいです。 LayerXと
Pool Partyという攻撃手法を通じてWindowsの深淵を覗いた7日間(インターンシップ体験記) - NTT Communications Engineers' Blog
はじめに はじめまして、今回ドコモグループの現場受け入れ型インターンシップに参加させていただいた上野です。大学院ではコンテナセキュリティなどについて研究しています。 この記事では、インターンシップ体験記として以下の内容を紹介します。 私のインターンシップの参加経緯や取り組み NTTコミュニケーションズの業務やインターンシップについて知りたい就活生向け Process InjectionとPool Partyの概要 Pool Partyについて日本語で概要を知りたいセキュリティエンジニア向け 目次 はじめに 目次 RedTeam プロジェクト(RedTeam PJ) インターンシップ参加の経緯 インターンシップ概要 T1055 - Process Injection Pool Party Thread Pool Pool Party Variants Variant 1: Worker Fa
GitHub Actions で Amazon Inspector を利用した脆弱性スキャンを行う - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 2024/6に Amazon Inspector が GitHub Actions でのコンテナイメージスキャンをサポートしたとのアナウンスがありました。コンテナイメージの脆弱性スキャンに既にTrivyを利用している方も多いと思いますが、別の選択肢として Inspector によるスキャンを試してみました。 また、実はコンテナイメージのスキャンだけではなく、言語パッケージのバージョンファイルやDockerfileを静的解析することも可能のため、それもやってみました。 仕組み アクションを紐解く リポジトリ内のファイルをスキャンする場合 試してみた サマリページの結果 CSV形式の検出結果 JSON形式の検出結果 Markdown形式の検出結果 脆弱性が検出されなかった場合 コンテナイメージをスキャンする場合 サマリページの
JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[
GW中に風邪で寝込んでしまい、家で古銭プッシャー2を一人でプレイしていたらGWが終わってやる気がでない岩間です。みなさんは、GW満喫できたでしょうか。 先日社内の情報共有で知ったのですが、2月12日頃からNISTのNVDが更新する脆弱性情報のエンリッチメントデータが大幅に減っているようです。 関連のツイート: NISTがCVEデータをNVDに登録するときのenrichmentを1か月前に突然停止した、なんてことが起こってたんですね。 Risky Biz News: NIST NVD stopped enriching CVEs a month ago https://t.co/fDK7dYdbki — todkm IT系 (@todkm) March 15, 2024 NIST¹が、NVD²における脆弱性への情報付加を2/12から停止している。CVSSやCWE等が付与されていない状態。2/
セキュリティ組織 MITRE は、誰も攻撃を免れることはできないという教訓を示すため、自らが攻撃の対象となったことを認めた。 非営利団体 MITRE は、同団体の研究開発センター NERVE(Networked Experimentation, Research, and Virtualization Environment:実験・研究・仮想化環境ネットワーク)が、Ivanti の仮想プライベート・ネットワークのゼロデイ脆弱性を通じて侵入されたことを報告した。報告によると、センターは、MITRE が「国家体制を有する国外の脅威アクター」と呼ぶ攻撃者が狙った多くの標的のうちの 1 つであった。
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 ペネトレーションテストを実施する中で、ほぼ必ずと言ってよいほど検出される問題に「パスワードの強度に関する指摘事項」があります。 これは一言で言えば弱いパスワードが使用されているという問題であり、ペンテスター(攻撃者)の観点からすれば非常に悪用が容易、かつシナリオの達成(攻撃目的の達成)に直結することも多いことから真っ先に狙う脆弱性です。 しかし、ペネトレーションテストの中でパスワードの強度を確認する際には、気をつけなければならないことがあります。 それは、アカウントロックです。 これは、本番環境で実施することが多いペネトレーションテストにおいて、アカウントロックを発生させてしまうと、テスト対象組織の実業務に影響を及ぼしてしまう可能性があるためです。 アカウントロックは、一定の回数認証に失敗するとアカウントがロックされ
オーバーレイ ファクトシート
Webアクセシビリティ オーバーレイとは何ですか?オーバーレイは、Webサイトのアクセシビリティを向上させることを目的とした技術の総称です。サードパーティのソースコード(多くはJavaScript)を読み込み、フロントエンドコードを改善します。 アクセシビリティの向上を謳うWebサイトのアドオン製品は、1990年代後半に登場したReadspeakerやBrowsealoudに遡ります。これらは、インストールされたWebサイトにテキストの読み上げ機能を追加するものでした。 その後、そのようなソフトウェアに機能を追加した類似製品が、市場に出回るようになりました。それらは、読みやすさを向上させるために、ユーザーのニーズに基づき文字サイズや色などをコントロールするものです。 最近のオーバーレイ製品のなかには、支援技術からのアクセスのしやすさを妨げる問題を修正することを目的としているものがあります。
どこか特別な響きを持つ「ハッカー」や「ハッキング」という言葉。エンジニアなら一度はハッキングをしてみたいと思ったことがあるのではないでしょうか。そんなキケンな夢を叶える方法の1つが、仮想環境を利用したハッキング実験です。その具体的なやり方を解説した書籍『7日間でハッキングをはじめる本』(翔泳社)から、サイバーセキュリティトレーニングプラットフォームのTryHackMeを使ったハッキング実験を行うための準備について紹介します。 本記事は『7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性』(著:野溝のみぞう)の「Day 0:ブリーフィング」から抜粋したものです。掲載にあたって編集しています。 ハッカーに憧れる永遠の厨二病のあなたへ 本書は、いい歳して映画やアニメで見るようなスーパーハッカーに憧れている厨二病患者の方のために書きました(筆者のことです)。 ハ
MITREはなぜ侵入されたか? 調査結果 今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。 MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。 MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。 MITREは2024年4月に同組織の研究・開発・プロトタイピング用
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルの弱い箇所が存在します。一方で、企業がサイバーセキュリティ対策を進める上では、人材予算の不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバーリーズン合同会社の菊川悠一氏が、サイバー攻撃の被害を最小限に抑える方法を解説しました。 被害組織の90%がウイルス対策ソフトでランサムウェアを検出できず 菊川悠一氏:みなさんこんにちは。サイバーリーズンの菊川と申します。この講演ではサイバーセキュリティ対策についてお話しします。 サイバーセキュリティ対策の肝は、「どれだけ初動を早くするか」。どれだけ被
こんにちは!セキュリティサービス部セキュリティ開発グループの今村です。 今回のブログでは、私が2023年8月に IPA に報告した脆弱性についての内容、また報告から公表までの経緯や脆弱性の探し方などをご紹介します。 <免責事項> 本記事は脆弱性情報を扱う性質上、攻撃手法の一部に触れますが、違法行為を助長するものではなく脆弱性の発見により安全なソフトウェアが増えることを目的としております。 本記事に掲載した行為を自身の管理下にないネットワーク・コンピューターに行った場合は、攻撃行為と判断される場合があり、法的措置を取られる可能性があります。脆弱性の検証を行う場合は、くれぐれも許可を取ったうえで自身の管理下にあるネットワークやサーバーに対してのみ行ってください。 はじめに 自己紹介 私は、23卒として SBテクノロジーに入社し、普段は主に、セキュリティ監視に使用するログ分析基盤の担当エンジニア
OpenSSHの脆弱性(regreSSHion: CVE-2024-6387)と9.8リリース - SIOS SECURITY BLOG
07/01/2024にOpenSSHの脆弱性(regreSSHion: CVE-2024-6387)が公開され、OpenSSH 9.8がリリースされました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 [過去関連リンク(最新5件)]【悪用に条件あり】OpenSSH(ssh-agent)のリモートコード実行の脆弱性(Important: CVE-2023-38408)とOpenSSH 9.3p2OpenSSHの脆弱性(CVE-2023-28531)と新バージョン(OpenSSH 9.3)OpenSSHの脆弱性(CVE-2023-25136)OpenSSHのssh-agentの脆弱性情報(CVE-2021-28041)と新バージョン(OpenSSH 8.5)のリリースOpenSSHの脆弱性情報(Important: CVE-2021-41617)と、OpenS
ばらまきメールに潜む死神の悪戯を紐解く - ITOCHU Cyber & Intelligence Inc.
はじめに 感染フロー 攻撃メール 解析結果 考察 防御策 IoCs This post is also available in: English はじめに 当社では、日常的に大量のばらまき型の攻撃メールを観測しており、その中で新たな攻撃や日本に対する大規模なキャンペーンの萌芽を把握するために、検体を日々確認しています。特に、ビジネスで通常使われない拡張子を持つファイルが添付されたメールや、日本語の攻撃メールは標的型攻撃メールの可能性も考慮し注視しています。 今回のブログでは、最近観測された多段の感染プロセスを有する日本語のばらまき型攻撃メールの解析内容について解説します。 この検体は難読化された VBScript や PowerShell スクリプトに加えて、不正コードが埋め込まれた画像(ステガノグラフィー)や、フリーの画像アップロードサイト・テキスト共有サイトをペイロードの取得先として
Best practices for event logging and threat detection Best practices for event logging and threat detection 3 Table of contents Executive summary �4 Introduction �5 Audience �5 Best practices �5 Enterprise-approved event logging policy �5 Event log quality �5 Captured event log details �6 Operational Technology considerations �7 Additional resources �7 Content and format consistency �7 Timestamp c
生成AIの自動サイバー攻撃 成功率9割の脅威
イリノイ大学の研究チームは生成AI(GPT-4)を利用したサイバー攻撃の実験結果を公開した。攻撃の成功率を高める方法も分かった。 生成AIを使ったサイバー攻撃が急速に強力になっている。初期にはフィッシングメールの作成やマルウェアのコード作成などに利用されていたが、さらに危険な段階に進んだ。 公開されている脆弱(ぜいじゃく)性情報を利用して、自動的に攻撃を仕掛ける能力を得たからだ。イリノイ大学の研究チームは複数の大規模言語モデル(LLM:Language Model)について攻撃能力を調査した。 それによれば、複数の脆弱性を複数のLLMに与えたところ、OpenAIの「GPT-4」はそのうち約9割を悪用できた。 生成AIを使った攻撃はなぜ危険なのか サイバー攻撃に生成AIを使う動きが広がるとどのような危険性があるのだろうか。 イリノイ大学アーバナ・シャンペーン校の研究チームによれば、LLMを利
RomCom攻撃グループ、新型マルウェア「SingleCamper」でウクライナとポーランドを標的に - イノベトピア
Last Updated on 2024-10-18 11:02 by admin ロシアの脅威アクターグループ「RomCom」(別名:Storm-0978、Tropical Scorpius、UAC-0180、UNC2596、Void Rabisu)が、2023年後半から少なくとも2024年10月まで、ウクライナ政府機関と一部のポーランド組織を標的としたサイバー攻撃を行っていることが明らかになった。 この攻撃では、RomCom RATの新しい亜種「SingleCamper」(別名:SnipBot、RomCom 5.0)が使用されている。SingleCamperはレジストリから直接メモリにロードされ、ローダーとの通信にループバックアドレスを使用する特徴がある。 攻撃チェーンは、スピアフィッシングメールから始まり、C++またはRustで書かれたダウンローダーを経由して、「ShadyHammo
Amazon Web Services ブログ 生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 本ブログは「Securing generative AI: Applying relevant security controls」を翻訳したものとなります。 本ブログは、生成 AI をセキュアにするシリーズのパート 3 です。まずは、スコーピングマトリックスについての詳細を紹介したブログ「生成 AI をセキュアにする: 生成 AI セキュリティスコーピングマトリックスの紹介」の概要から始めましょう。本ブログでは、生成 AI アプリケーションを保護するためにセキュリティコントロールを実装する際の考慮事項について説明しています。 アプリケーションをセキュアにするための最初のステップは、アプリケーションのスコープを理解することです。本シリーズのパート 1 では、アプリケーショ
米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
商用ソフトウエアやオープンソースソフトウエア(OSS)に脆弱性が見つかった場合、開発組織が脆弱性情報を公開するのが過去20年以上の通例となっている。しかしクラウド事業者はこれまで、クラウドサービスに見つかった脆弱性の情報を公開していなかった。そんな業界の「悪弊」が、改善され始めている。 米Microsoft(マイクロソフト)は2024年6月27日(米国時間)に「透明性の向上に向けて:クラウドサービスのCVEの公開について(Toward greater transparency: Unveiling Cloud Service CVEs)」と題するブログを公開し、クラウドサービスに存在する脆弱性についても、CVE(共通脆弱性識別子、Common Vulnerabilities and Exposures)に基づく情報を公開することを明らかにした。 CVEとは米国の非営利研究機関であるMITR
JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者:BlackBerry Japan 株式会社 糟
はじめに 脆弱性を報告してCVE識別番号(CVE-ID:以下CVEと記す)を取りたい若者がいるみたいなので、そういう人に向けて持続可能(だと思っているけれども他の人がどう感じるかは不明)なやり方をざっくりとガイドする。 筆者は主にWebアプリケーションの脆弱性を報告してCVEを取得しているので(どういうものを見つけているのは各自探してください)、本稿ではWebアプリケーションで脆弱性を見つけて報告してCVEをもらうためのアプローチと具体的なやり方についてざっくり書く。他のスマホアプリとかネイティブアプリとかネットワーク層より下には基本的に触れないつもりだが、基本的には似たような流れだ。 必要な環境 PC スマホとかタブレットだけだとたぶんつらい。とはいえ筆者が最初に脆弱性報告した際に使用していたPCではスペックが低くてプロキシソフトが動かなかったので、最悪Webサーバーとブラウザーさえ動け
7日間でハッキングをはじめる本をやってみた
はじめに 2024/8/28に発売された、野溝のみぞう氏著の「7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性」をやってみた。思いの外長くなったので、感想を最初に書き、各章の内容を振り返ってみる。 感想 ハッキングの楽しさに触れられる良書だった。環境構築をはじめ、各章がかなり丁寧に解説されており、初心者でも躓くことなくハッキングを学べる本だと思った。用語の説明も詳しいが、「なぜこの方法を取るか?」や「どうアプローチするか?」の道筋の説明が丁寧で、わかりやすかった。あとイラストが最高にかわいい。 TryHackMeは登録したきりだったが、楽しさがやっとわかった。閉じた環境で遊べるのと、幅広いルームで遊べるのがいいと思った。ツールを試したり、脆弱性を悪用した攻撃を試せたり、CTF形式で遊べるなど、好きな遊び方ができるのが楽しい。 自身の場合は、Learni
OWASP Top 10 for LLM を活用した生成 AI アプリケーションの多層防御セキュリティ設計 | Amazon Web Services
Amazon Web Services ブログ OWASP Top 10 for LLM を活用した生成 AI アプリケーションの多層防御セキュリティ設計 大規模言語モデル (LLM) を中心に構成された生成 AI (人工知能) アプリケーションは、ビジネスに経済的価値を生み出し、さらに加速する可能性を示してきました。アプリケーションの例には、会話型検索、カスタマーサポートエージェントアシスト、カスタマーサポート分析、セルフサービス仮想アシスタント、チャットボット、リッチメディア生成、コンテンツモデレーション、セキュアで高パフォーマンスなソフトウェア開発を加速するコーディングコンパニオン、マルチモーダルコンテンツソースからのより深いインサイト、組織のセキュリティ調査と緩和策の加速などがあります。 多くのお客様が、生成 AI アプリケーションを開発する際に、セキュリティ、プライバシー、コンプ
OSSデータベース取り取り時報 第102回連載100回記念第2弾「OSSデータベースは100ヶ月後も生き残れるか?」、MySQL 8.3.0のリリース、PostgreSQL最新情報 この連載はOSSコンソーシアム データベース部会のメンバーがオープンソースデータベースの毎月の出来事をお伝えしています。前回紹介した連載100回記念セミナー第1弾につづく第2弾について報告します。 連載100回記念第2弾「OSSデータベースは100ヶ月後も生き残れるか?」 前回にお知らせしたとおり、1月27日のオープンソースカンファレンス(OSC)2024 Osaka(大阪開催)にて本連載の100回を記念した企画セミナーの第2弾を実施しました。今回のOSC 2024 Osakaは4年ぶりに展示とセミナーの両方が会場で開催することになり、OSSコンソーシアムメンバに加えてオープンソースソフトウェア協会(O
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? これは鋭い疑問だと思います。②という認識であっていますが、もう少し補足したいと思います。 狭義のOSコマンドインジェクション(CWE-78)は、ご指摘の②のとおり、複数コマンドを起動するための構文(/bin/sh のセミコロン等)を使って複数のコマンドを実行するものです。しかし、広義ではコード実行可能な脆弱性全体を
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、ソフォス株式会社の杉浦一洋氏が、侵入を前提にしつつも今一度保護対策に着目すべき理由を解説しました。 メール経由のサイバー攻撃 杉浦一洋氏:みなさんこんにちは。ソフォス株式会社 セールスエンジニアリング本部の杉浦一洋です。本セッションでは、「ホームセキュリティで考える単純なサイバーセキュリティ対策 他人に踊らされないサイバー攻撃対策強化ステップ」についてお
はじめに 弊社では2022年にゼロからゼロトラストセキュリティを全面的に導入していきました。 ベンチャー/大企業問わず、ここまで対応を進めている企業様があまりないらしく、他社の方からこのあたりの話を聞きたいと言われることが多いので、導入に当たっての話を記事化することにしました。 導入の意思決定から実際の設定作業まで私がメインで行ったので、詳細まで把握しています。 インターネット上でも、ベンダー側からの情報は多くあっても実際に導入をした企業側の話は少ないので、そういった観点でも多少は参考になる部分はあるかと思います。 ゼロトラストセキュリティとは そもそもゼロトラストとは、これまでの「境界内部は信頼できる領域で、境界外部は信⽤できない領域である」という考え⽅ではなく、「たとえ境界内部であっても無条件に信⽤せず全てにおいて確認し認証・認可を⾏う」という考え⽅に基づいて社内の情報資産を守る概念で
ファストフォレンジックの実務とは?
はじめに 「デジタルフォレンジック」はだいぶ耳馴染みのある言葉になってきた気がしますが、「ファストフォレンジック」という言葉を耳にされたことはあるでしょうか? と書き出して「おい、これ長くて堅い話になりそうだぞ、ファストじゃないぞ」と自覚しました。が、もし10分程度のお時間があれば、何か飲みながらでもおつきあいただけると幸いです。。 この記事では、組織内のPCがEmotetのようなマルウェアに感染したセキュリティインシデントを事例として、ファストフォレンジックの実務をご紹介したいと思います。 デジタル・フォレンジック研究会の証拠保全ガイドライン(第9版)では、次のように説明されています。 ファスト・フォレンジック(ファストフォレンジック) 早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし、解析すること ※ 出典 : https://digitalfo
Using Amazon Detective for IAM investigations | Amazon Web Services
AWS Security Blog Using Amazon Detective for IAM investigations Uncovering AWS Identity and Access Management (IAM) users and roles potentially involved in a security event can be a complex task, requiring security analysts to gather and analyze data from various sources, and determine the full scope of affected resources. Amazon Detective includes Detective Investigation, a feature that you can
米Appleは3月25日(現地時間)、21日に一連のセキュリティ更新を配信した際、「詳細は近日公開予定」としていた“詳細”を公開した。 対処した脆弱性は米GoogleのProject Zeroチーム、ニック・ギャロウェイ氏が報告したもので、CVE IDはCVE-2024-1580。MITREによると、フレームサイズの大きい動画をデコードする際に発生する可能性のあるdav1d AV1デコーダの整数オーバーフローにより、AV1デコーダ内のメモリ破損が発生する可能性があるという。 Appleによると、これを悪用すると、画像処理の際に任意のコードが実行される可能性があったが、入力検証を改善することでこの問題は解決したという。「積極的に悪用された可能性」はなかったようだ。 21日にはiOS以外にも「iPadOS 17.4.1」「iOS 16.7.7」「iPadOS 16.7.7」「visionOS
2024年のセキュリティトレンド大予想【各業界の開発・セキュリティエンジニア13人に聞く(後編)】 - #FlattSecurityMagazine
2024年、プロダクトセキュリティのトレンドはどうなるのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! ▼前編(2023年のプロダクトセキュリティに関する取り組みの振り返り) flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product Security team, Manager Yannarak Wannasaiさん
サイト内の現在位置 NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの竹内です。 本稿では、竹内およびサイバーインテリジェンスグループの一員のNECインドのメンバーであるDr Sareena Karapoola 、Dr Manikantan Srinivasan による、マルウェア解析結果を紹介いたします。 This post is also available in: English(英語) インテリジェンスグループでは日ごろから脅威情報の収集・分析を行い、分析結果を社内やお客様に展開しています。これらの活動の中で、MITRE ATT&CKで共有されていない新たな脅威を発見した場合、MITREへ情報提供しています。この活動の一環としてマルウェアの解析も行っています。本ブログではChamelGangが使用したマルウェアChamelDoHの解析結果を紹介いたします。 中国との関
【セキュリティ ニュース】米当局、悪用リストから脆弱性1件を除外 - PoC機能せず、CVEは廃番(1ページ目 / 全2ページ):Security NEXT
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「悪用が確認された脆弱性カタログ(KEV)」より1件の脆弱性を削除した。脆弱性であるとの指摘そのものが誤りであることが判明し、CVE番号そのものが廃止となっている。 問題の脆弱性は、D-Link Systemsが提供するルータ製品「DIR-816L」の脆弱性として報告された「CVE-2022-28958」。2022年4月にCVE番号が採番され、「KEV」には現地時間2022年9月8日に追加された。 悪用されるとリモートよりコードを実行されるおそれがあるとされ、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」との評価だった。 同脆弱性に関しては、Palo Alto Networksによ
関連キーワード 資格 | セキュリティ | セキュリティ対策 ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃が活発になっていることを背景にして、売り手市場が続くセキュリティ人材。とはいえセキュリティ担当者としてキャリアアップを図るには、継続的に専門性を高めていくことが求められる。 高度な知識とスキルを持っていることを示す手段の一つが認定資格の取得だ。セキュリティ担当者が“次のステップ”を踏むためには、どのような資格を取得すればよいのか。主要な4つのセキュリティ認定資格のうち、3つ目と4つ目を取り上げる。 実力派の「セキュリティエンジニア」ならどの“認定資格”を取得する? 併せて読みたいお薦め記事 連載:“できるセキュリティ人材”向けの資格4選 前編:「セキュリティエンジニア」としての道が開ける推奨の“認定資格”はどれだ? 認定資格を賢く取得するこつ IT認定資格で「証明できるス
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
企業がサイバー攻撃を「防げる」という考え方は時代遅れ 攻撃を受けて「侵入される」前提のセキュリティ対策
ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ
攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes
NIST NVDの脆弱性情報更新が停滞しているので調べてみた - セキュアスカイプラス
範を示す ~ MITRE がサイバー攻撃被害公表 | ScanNetSecurity
アカウントロックにご用心!Windowsにおける認証の罠 - ラック・セキュリティごった煮ブログ
ハッカーに憧れる永遠の厨二病に贈る『7日間でハッキングをはじめる本』のすすめ
「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
ランサムウェア被害の9割はウイルス対策ソフトで検出できず… 万一感染しても被害を最小限に抑える仕組み・体制のつくり方
実録 脆弱性発見から報告まで 〜CVE 保持者になりたくて〜 | SBテクノロジー (SBT)
Best practices for event logging and threat detection
生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 | Amazon Web Services
脆弱性情報を公開し始めたクラウド事業者、きっかけは米政府へのサイバー攻撃
JSAC2024 開催レポート~DAY 1~ - JPCERT/CC Eyes
初心者でもCVE番号を取れるかもしれないガイド - Qiita
第102回 連載100回記念第2弾「OSSデータベースは100ヶ月後も生き残れるか?」、MySQL 8.3.0のリリース、PostgreSQL最新情報 | gihyo.jp
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? | mond
「入れたら終わり」では済まないEDR導入の“壁” セキュリティツールを効果的に使うための方法
ベンチャー企業でゼロからゼロトラストセキュリティを導入した話 - Qiita
Apple、「詳細は近日公開予定」としていたセキュリティ更新の詳細を公開
ChamelDoH インプラント ~DNSトンネリング or DNS over HTTPS (DoH) ?~
セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ