PostgreSQL Row Level Security (RLS) を使って顧客データ保護の安全性を高めている件 - Techouse Developers Blog
はじめに 初めまして、株式会社Techouseエンジニアインターンの sakaidubz と申します。本日は私の携わっているプロダクトであるクラウドハウス労務で利用している RLS (Row Level Security) の技術について紹介します。 Techouse では、重要技術として RLS を多用しています。 通常 PostgreSQL の運用時には利用しないものであるため Techouse の開発メンバーとしてジョインしたみなさんが手慣れるまでに少し苦労をされているようです。 そこでこの場を借りて解説してみようと思い立ちました。 クラウドハウス労務について RLS について紹介する前に、私が開発しているクラウドハウス労務について紹介します。 クラウドハウス労務は人事労務における複雑な業務の電子化を推進するセミオーダー型・クラウド業務支援サービスです。各種手続きや年末調整といった法
この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
Security best practices when using ALB authentication | Amazon Web Services
Networking & Content Delivery Security best practices when using ALB authentication At AWS, security is the top priority, and we are committed to providing you with the necessary guidance to fortify the security posture of your environment. In 2018, we introduced built-in authentication support for Application Load Balancers (ALBs), enabling secure user authentication as they access applications.
0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security
Oligo Security's research team recently disclosed the “0.0.0.0 Day” vulnerability. This vulnerability allows malicious websites to bypass browser security and interact with services running on an organization’s local network, potentially leading to unauthorized access and remote code execution on local services by attackers outside the network. The issue stems from the inconsistent implementation
By Daniel Shechter, CEO & Co-Founder of Miggo Security Miggo Research identifies over 15,000 potentially impacted applications using AWS ALBFor a more detailed technical analysis of how we hunted down ALBeast, please visit The Hunt for ALBeast: A Technical Walkthrough. Executive SummaryMiggo Research identified a critical configuration-based vulnerability, dubbed ALBeast, affecting applications th
GoogleがAndroidアプリの脆弱性を報告した開発者に報奨金を支払う「Google Play Security Reward Program」を2024年8月31日で終了することを発表
Googleは2017年10月から、Androidアプリの脆弱(ぜいじゃく)性を特定して報告したセキュリティ研究者に対して報奨金を支払う「Google Play Security Reward Program(GPSRP)」と呼ばれるプログラムを実施していました。しかしGoogleは2024年8月31日をもってGPSRPを終了することを開発者らに伝えています。 Google Play Security Reward Program Rules - Rules - About - Google Bug Hunters https://bughunters.google.com/about/rules/android-friends/5604090422493184/google-play-security-reward-program-rules Google Play will no lo
LAC Security Insight 第9号 2024 夏 続・SSL-VPN機器を狙った攻撃 | LAC WATCH
本レポートは、ラックの中でもサイバー攻撃の脅威に対して最前線で対応しているJSOCおよびサイバー救急センター、そして攻撃者が利用するサイバー攻撃手法も採り入れてお客様のシステムへ侵入テストを行うデジタルペンテスト部において、分析・調査・侵入テストを実施する中で得た最近の脅威の傾向や特徴を、セキュリティ専門家が「洞察」としてまとめたものです。 日々発生している実際の攻撃やインシデントに根ざしており、また日本の企業や団体を狙った脅威を中心にまとめているため、日本の企業や団体のサイバーセキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を把握できる内容です。 サイバー119で出動したインシデント傾向 サイバー119の出動傾向:2024年4月~6月 当該期間では、マルウェア関連による被害の相談が37%、およびサーバ不正侵入による被害の相談が31%であり、両者で全体の68%を占めています。
【セキュリティ ニュース】複数メールサービスプロバイダに送信ドメイン認証回避の脆弱性(1ページ目 / 全2ページ):Security NEXT
複数のメール送信サービスにおいて、送信ドメイン認証技術を回避し、「なりすましメール」の送信が可能となる脆弱性が研究者によって報告された。 複数ドメインやテナントをホストするメール送信サービスの多くで、送信ドメイン認証技術である「SPF(Sender Policy Framework)」や「DKIM(Domain Key Identified Mail)」による検証や認証の信頼性を低下させる脆弱性が報告されたもの。 メール送信にホスティングプロバイダを利用することで、認証されたユーザーや信頼されたネットワークからの送信者として別の送信元を偽って「なりすましメール」を送信できるとし、CERT/CCがセキュリティアドバイザリを公開している。 共有のホスティング環境を提供しているメールサービスの多くは、メール送信前にユーザー認証を行うものの、ドメインとの関係を照合しておらず、共有インフラ上にある別
Test your website security and get a comprehensive security report card.
Hackers may have leaked the Social Security Numbers of every American
Several months after a hacking group claimed to be selling nearly 3 billion records stolen from a prominent data broker, much of the information appears to have been leaked on a forum. According to Bleeping Computer, the data dump includes 2.7 billion records of personal info for people in the US, such as names, Social Security Numbers, potential aliases and all physical addresses they are known t
【Security Hub修復手順】[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります | DevelopersIO
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります [Inspector.2] Amazon Inspector ECR scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 対象コントロールの説明 本コントロールは、Amazon Inspector ECRスキャンが有効になって
![【Security Hub修復手順】[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ad9624ef3c3eec726d644036ee7ce06f3a9792ac/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-e71a738589e583b65670923628e8b6f4%2F45568b9fd457506bd2f3d6fd304d4b6a%2Faws-security-hub)
08/29/2024 IntroductionLike many, Sam Curry and I spend a lot of time waiting in airport security lines. If you do this enough, you might sometimes see a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips. The KCM process is fairly simple: the employe
【セキュリティ ニュース】図書館サーバが改ざん被害、PHP脆弱性が標的に - 大分大(1ページ目 / 全1ページ):Security NEXT
大分大学は、同大図書館が貴重書のアーカイブを公開している公開用サーバが不正アクセスを受けたことを明らかにした。「PHP」の脆弱性を突かれ、改ざんされたという。 同大によれば、7月30日に同大ウェブサイトの改ざんに関する外部からの連絡を受け、調査を行ったところ、同大図書館が提供する貴重書アーカイブの公開用サーバが侵害されたことが判明したもの。 同サーバ上で稼働する開発言語「PHP」のバージョンに脆弱性が存在。脆弱性を突く外部からのアクセスによって、サーバ上のファイルを改ざんされた。 不正なファイルに起因するSEOポイズニングにより、同サーバのドメインに対するGoogleの検索結果が汚染され、海外のサイトに誘導される状態だったという。 被害が発生したサーバの運用を停止し、再構築を行っている。同サーバでは個人情報や機密情報は扱っておらず、情報流出については否定している。 (Security NE
【セキュリティ ニュース】患者情報含む市民病院の旧端末がフリマアプリに流通 - 気仙沼市(1ページ目 / 全2ページ):Security NEXT
気仙沼市は、委託先を通じて処分した市立病院の端末が、個人情報を消去することなく転売されており、個人情報が外部に流出したことを明らかにした。 同院によれば、移転にともない、2018年3月に旧施設での備品や医療機器などを処分した際、委託業者が会計窓口に設置していたPOSレジ端末3台を内部のデータを消去することなく外部へ流通させていた。 問題の端末内部には、のべ10万5316件、重複を除くと患者4万8651人分のカタカナ氏名、患者ID、診療科、請求金額などの情報が記録されており、外部に流出したおそれがある。 3万7063件の情報が記録された端末1台がフリマアプリ上で売買され、購入者から端末内に個人情報が記録されているとの連絡が警察を通じて寄せられ、問題が発覚。同院では端末を回収、購入者が閲覧した内容を記録、利用していないことを確認した。 回収した端末は、直近11営業日のログがテキスト形式で記録さ
AWS Security Hub オートメーションルールで特定のコントロールを自動抑制してみた | DevelopersIO
はじめに Security Hub オートメーションルール(Automation Rules)を使用して、特定のコントロールの検出結果のステータスを自動的に抑制する方法を紹介します。 Security Hub オートメーションは、Security Hubの検出結果をほぼリアルタイムで自動的に更新できる機能です。 この機能は、Security Hubの委任管理アカウントのみが利用可能です。 本記事で想定する環境です。 Security Hubの有効化状況 管理アカウント(= Security Hubの委任管理アカウント):全リージョンで有効 メンバーアカウント:利用リージョン(東京リージョンとバージニアリージョン)のみで有効 中央設定 利用していない Security Hubの通知設定 管理アカウントの集約リージョン(東京リージョン)でEventBridgeルールで通知 上記の環境において、
【セキュリティ ニュース】Yahoo!のログインシステムに不具合 - 第三者がメール閲覧(1ページ目 / 全2ページ):Security NEXT
LINEヤフーは、「Yahoo! JAPAN ID」のログインシステムに不具合があったことを明らかにした。一部利用者では第三者に「Yahoo!メール」を閲覧されたという。 6月13日にシステムアップデートを実施したところ、不具合が含まれていたもの。6月13日13時過ぎから同月27日午前11時半ごろにかけて、SMS認証による「Yahoo! JAPAN ID」のログインにおいて、特定の条件下にある第三者がログインすることが可能だった。 具体的には、ユーザーのログイン時にSMS認証に使用する携帯電話番号の利用者が変更されていないかを確認するしくみが正常に動作していなかった。 SMS認証で利用する携帯電話番号が利用停止などにともない第三者が取得していた場合、一部のユーザーでその電話番号を用いて「Yahoo! JAPAN ID」へログインできる状態だった。 第三者にログインされ、メールサービス「Ya
【Security Hub修復手順】[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります | DevelopersIO
【Security Hub修復手順】[Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.4] Amazon Inspector Lambda 標準スキャンを有効にする必要があります [Inspector.4] Amazon Inspector Lambda standard scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります
【セキュリティ ニュース】酪農事業者の個人情報をメールで誤送信 - 茨城県(1ページ目 / 全1ページ):Security NEXT
茨城県は、県央農林事務所において、無関係の酪農事業者に関する個人情報含んだファイルをメールで誤送信する事故があったことを公表した。 同県によれば、8月14日に県央農林事務所の職員が、調査対象法人1件に対し、調査票の表計算ファイルを送信した際、非表示となっていた同法人以外の情報を削除して送信すべきところ、削除せずに送信するミスがあったという。 法人7件、個人97件の事業者情報が記載されており、氏名または事業者名、補助金額、飼養頭数などが記載されていた。 8月16日に県央農林事務所が送信したファイルを確認した際、調査対象外の酪農事業者の情報が含まれていることに気づいた。 同県では送信先の法人に対して謝罪し、誤送信したメールの削除を依頼し、削除された。情報が漏洩した酪農事業者には、電話で経緯の説明と謝罪を行っている。 (Security NEXT - 2024/08/20 ) ツイート
インシデント調査における、Microsoft Copilot for Securityと一般的な生成AIの違い | LAC WATCH
インシデント調査における、Microsoft Copilot for Securityと一般的な生成AIの違い AI セキュリティ 情シス向け 「Microsoft Copilot for Security(以下、Copilot for Security)」がリリースされて数ヶ月がたちました。この短期間で、企業やセキュリティの専門家の間で大きな話題となっています。現在、数多くの生成AIサービスが存在する中で、Copilot for Securityはセキュリティに特化した生成AI利用サービスという独自の位置を確立しています。 Copilot for Securityと一般的な生成AIとの違いはどこにあるのでしょうか。今回は、インシデント調査と調査クエリの提案に焦点をあてて、Copilot for Securityと他の生成AIの共通点と相違点を具体的に見ていきます。今後、業務でCopilo
【セキュリティ ニュース】アクセス管理サーバ「OpenAM」に脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT
シングルサインオンやフェデレーションなどの機能を提供するアクセス管理サーバ「OpenAM」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 「同15.0.3」および以前のバージョンに、テンプレートインジェクションの脆弱性「CVE-2024-41667」が明らかとなったもの。テンプレートを自由に指定できるため、テンプレートエンジン「FreeMarker」を指定することでコードを挿入することが可能となる。 同脆弱性の悪用には一定の権限が必要となるが、既知の脆弱性「CVE-2023-37471」と組み合わせた場合、認証なしにリモートよりコードを実行できるという。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を上から2番目にあたる「高(High)」とレーティングしている。 現地時間7月25日にリリースした
【セキュリティ ニュース】英語課外活動の申込者宛メールで送信ミス - 富岡市(1ページ目 / 全1ページ):Security NEXT
群馬県富岡市は、英語課外活動事業で申込者へメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同市によれば、7月16日夕方に英語課外活動の申込者107人に対し、3回にわけて連絡メールを送信した際、送信先を誤って宛先に設定するミスがあったという。同一グループの受信者間でメールアドレスが閲覧できる状態となった。 同日受信者から指摘があり、誤送信が判明した。同市では対象となる申込者にメールで謝罪。誤送信したメールの削除を依頼している。 (Security NEXT - 2024/07/31 ) ツイート
【セキュリティ ニュース】ICT人材マッチング支援サイトが改ざん被害 - 宮崎県(1ページ目 / 全1ページ):Security NEXT
宮崎県は、ICT人材マッチング支援サイト「ひなターンみやざき」が改ざん被害に遭ったことを明らかにした。原因や被害の状況について調べている。 同サイトは、県外ICT技術者と県内ICT企業とのマッチングを支援するウェブサイト。同県によれば、インターネットの検索結果から同サイトへアクセスすると、無関係のサイトに誘導される状態となっていた。 7月30日にサイト管理業者が点検作業した際に問題が判明。同日同サイトを閉鎖した。前週26日に点検した際は問題なかったという。 サーバには、91人分の情報が登録されており、ニックネーム、メールアドレス、性別、職種、居住都道府県、出身地域、相談の有無など含まれる。 同県では、侵害された原因や内容、登録者情報に対するアクセスなどがなかったか調査を進めている。 同サイトの登録者に対してメールで状況を報告。原因調査を終えたあとは、サーバ内部より登録者データを消去し、対策
2024年8月14日開催 「なんでもCopilot」の登壇資料
【セキュリティ ニュース】都水道局に個人情報聞き出す複数の「なりすまし電話」(1ページ目 / 全2ページ):Security NEXT
東京都水道局は、都内2カ所の営業所で、契約者や関係者になりすました電話により、個人情報を詐取されたことを明らかにした。いずれも正しい情報を伝えることで、当人と信じ込ませ、情報を聞き出していた。 同局によれば、板橋営業所では7月29日、契約者の息子をかたる人物より電話があったという。電話口で名義人として登録されている正しい氏名や住所、電話番号を告げたため、職員が契約者の息子であると信じてしまい、メーター検針基準日や料金未納の有無などを伝えた。 電話を終えたあと、職員が不審に感じ、念のため登録されていた電話番号へ連絡を取ると、契約者に息子は存在せず、血縁関係がない実在する別の契約者をあたかも息子であるかのように見せかけ、情報をだまし取っていたことが判明した。 「息子」を名乗った人物は、電話口で自身も口座振替を申し込むかのように見せかけ、名乗っていた別の契約者に関する顧客番号、検針月、直近のメー
【セキュリティ ニュース】東急Gへの不正アクセス、検証用環境経由で侵入(1ページ目 / 全2ページ):Security NEXT
東急は、同社のネットワークが不正アクセスを受けた問題で、子会社である東光食品のファイルサーバから個人情報が流出した可能性があることを明らかにした。 同社では、同社ネットワークを侵害されたことが4月28日に判明。ログなどを調査したところ、東急ストアの子会社で同一ネットワーク環境を利用していた東光食品のファイルサーバなどから一部データを読み出されたことが判明し、事態を公表するとともに調査を進めていた。 同社は、不正アクセスを受けた原因について、構築中だったあたらしい社内ネットワーク基盤の検証用環境が脆弱な状態だったと説明。 検証用環境を経由して同社既存ネットワークへアクセスが行われ、脆弱な設定にあった東光食品が管理するファイルサーバが侵害されたという。 同社は、同ファイルサーバに含まれるすべてのデータが持ち出されたと想定。含まれるすべての個人情報を精査し、流出した可能性のある個人情報として取り
【セキュリティ ニュース】「Wantedly」で設定不備 - 非公開ページや個人情報が閲覧可能に(1ページ目 / 全2ページ):Security NEXT
求職者と企業のマッチングプラットフォームである「Wantedly」においてシステムに設定不備があり、本来閲覧できない第三者によってページやユーザーの個人情報を閲覧できる状態だったことがわかった。 同サービスを運営するウォンテッドリーによれば、未公開であったり、削除された募集記事や企業ページにおいて、直接URLを指定することで権限がない第三者から閲覧できる状態となっていたもの。4月10日にシステムの保守点検作業を行った際に判明した。 企業ページは2016年12月19日、募集記事は2017年6月14日より閲覧可能な状態が発生。同社は4月11日までに対策を講じた。募集記事は1万3982件が対象で、メンバーとして登録されたユーザー1万6158人の氏名、所属企業、職種、プロフィール画像が閲覧できる状態だった。 さらに企業ページ1796件についても第三者により閲覧された可能性がある。同ページへメンバー
【Security Hub修復手順】[Inspector.3] Amazon Inspector の Lambda コードスキャンを有効にする必要があります | DevelopersIO
【Security Hub修復手順】[Inspector.3] Amazon Inspector の Lambda コードスキャンを有効にする必要があります 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります [Inspector.3] Amazon Inspector Lambda code scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります
【セキュリティ ニュース】連続して3回メールを誤送信、メアド流出 - 篠栗町(1ページ目 / 全1ページ):Security NEXT
福岡県篠栗町は、講座申込者にメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同町によれば、7月18日14時半過ぎ、3種類の講座に関する当選のお知らせと開催通知メールを、それぞれの講座の申込者に送信した際、3回のメールともに送信先を誤って宛先に設定するミスがあったという。 一連の誤送信を通じて、あわせて44件のメールアドレスが受信者間で閲覧できる状態が発生。送信直後に職員が問題に気づいた。 同日、対象となる申込者に電話で謝罪。誤送信したメールの削除を依頼している。 (Security NEXT - 2024/08/07 ) ツイート
【セキュリティ ニュース】「Zabbix」に複数の「クリティカル」とされる脆弱性(2ページ目 / 全2ページ):Security NEXT
またフロントエンドの監査ログにおいて、パスワードが平文で表示される「CVE-2024-36460」や、制限なしにリソースを割り当てる「CVE-2024-36462」なども明らかとなった。 CVSS基本値はそれぞれ「8.1」「7.5」、重要度はともに上から2番目にあたる「高(High)」としている。 脆弱性によって修正が反映されたバージョンが異なるが、「同7.0.0rc3」「同6.4.16rc1」「同6.0.31rc1」「同5.0.43rc1」などでいずれも修正されている。今回明らかとなった脆弱性は以下のとおり。 CVE-2024-22114 CVE-2024-22116 CVE-2024-22121 CVE-2024-22122 CVE-2024-22123 CVE-2024-36460 CVE-2024-36461 CVE-2024-36462
【セキュリティ ニュース】個人宛と勘違いし、メールを同報送信 - 富岡市(1ページ目 / 全1ページ):Security NEXT
群馬県富岡市は、かぶら文化ホールより送信したメールにおいて、イベント申込者の個人情報が流出したことを明らかにした。 同市によれば、7月25日13時半ごろ、イベント「スタンウェイを弾いてみませんか」の申込者11人に対し落選メールを送信した際、誤って落選者1人の氏名とメールアドレスを本文に記載するミスがあったもの。同日、メール受信者から指摘があり判明した。 担当者が作成したメールの宛先欄に、発信元のかぶら文化ホールのメールアドレスを選択すべきところ、誤って落選者のメールアドレスを入力。 さらに別の職員が個人宛てのメールと勘違いし、本文に個人の氏名とメールアドレスを改めて明記し、BCCに別人のメールアドレスが入っていることへ気がつくことなく、送信してしまったという。 同日、氏名とメールアドレスが流出した申込者に電話で謝罪した。メール送信対象者には謝罪し、誤送信したメールの削除を依頼している。 (
【セキュリティ ニュース】宛名の異なる書類を送付、対象者リスト加工時のミスで - 高槻市(1ページ目 / 全1ページ):Security NEXT
大阪府高槻市は、発送した障害福祉サービスの一部支給申請書において、宛名が誤っていたことを明らかにした。 同市によれば、7月30日に障害福祉サービスの受給者証の更新案内と支給申請書を郵便局より発送したが、翌8月1日に書類を受け取った住民より封筒に記載された宛名が郵送先の住所と異なる人物であるとの指摘を受けたという。 調査を行ったところ、対象者リストのデータ加工時にミスがあり、送付する221件のうち205件について、送付先の住所に対し、宛名が別人となっていることが判明した。 郵便局に確認したところ、8月5日の時点で8人分が送付済みで、1人については開封済みだったが、7件については未開封の状態で回収したという。 一方139人分が発送前であったり、宛先に該当がないとして郵便局に持ち帰っていた。のこる書類についても回収を実施。誤送付された対象者に対して説明と謝罪を行っている。 (Security N
【セキュリティ ニュース】委託先にサイバー攻撃、情報流出の可能性 - CTC(1ページ目 / 全1ページ):Security NEXT
伊藤忠テクノソリューションズは、業務委託先がサイバー攻撃を受け、顧客や取引先に関する情報が外部に流出した可能性があることを明らかにした。 同社によると、ランサムウェアを用いたサイバー攻撃があり、委託業務で使用するファイル共有サービスが侵害されたもの。 攻撃者によって閲覧されたり、窃取された可能性があるファイルには、顧客や取引先に関する企業情報や個人情報が含まれていたという。 同社では、問題のファイル共有サービスに対するアクセスを制限するとともに、影響を受けた端末をネットワークから隔離。フォレンジック調査を含め、侵入経路や情報流出の有無など詳細について調査を進めている。 また個人情報保護委員会へ報告。影響を受けた可能性がある関係者に対して個別に連絡を取っている。 (Security NEXT - 2024/08/14 ) ツイート
【セキュリティ ニュース】ウェブアプリフレームワーク「Django」に脆弱性 - 「クリティカル」も(1ページ目 / 全1ページ):Security NEXT
ウェブアプリケーションフレームワーク「Django」に複数の脆弱性が明らかとなった。アップデートで修正されている。 「CVE-2024-42005」は、SQLインジェクションの脆弱性。一部メソッドにおいて、細工された「JSON オブジェクトキー」により悪用が可能になるという。 開発チームでは重要度を「高(High)」とした。一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。 のこる3件については、サービス拒否やリソースを過剰に消費する脆弱性としており、開発チームでは重要度を「中(Moderate)」とした。NVDでは、いずれもCVSS値を「7.5」とし、重要度を「高(High)」とレーティングしている。 開発チームでは、脆弱性を修正した「
【セキュリティ ニュース】ボランティア宛メールで誤送信、異なるファイル添付 - 大野城市(1ページ目 / 全1ページ):Security NEXT
福岡県大野城市は、歴史博物館「大野城心のふるさと館」において、ボランティアの個人情報を誤ってメール送信する事故があったことを明らかにした。 同市によれば、7月24日にボランティア「ふるサポの会会員」の活動シフト表を53人にメール送信した際、誤送信が発生したもの。 本来はシフト表のみPDF化して送信すべきところ、会員の個人情報含む表計算ファイルを送信してしまったという。 同データには、ボランティア89人の氏名のほか、このうち81人については口座情報も含まれていた。 対象となるボランティアに対し、電話で謝罪を行うとともに、経緯や謝罪を記載した書面を送付するとしている。 (Security NEXT - 2024/08/05 ) ツイート
【セキュリティ ニュース】老舗ランドセルメーカーの通販サイト、侵害の可能性(1ページ目 / 全1ページ):Security NEXT
ランドセルブランド「ふわりぃ」の公式オンラインショップが侵害された可能性があることがわかった。販売を一時停止し、調査を行っているという。 同サイトを運営する協和によれば、同サイトを侵害された可能性が判明したもの。フルオーダー、イージーオーダー以外の同社商品について同サイトでの販売を一時停止し、調査を行っている。 同通販サイトの停止にともない、同社では直営店のほか、ショッピングモールの店舗にてクーポンを配布し、公式オンラインショップと同様の製品を提供するとしてアクセスを促している。 (Security NEXT - 2024/08/07 ) ツイート
【セキュリティ ニュース】幸和製作所がランサム被害 - 影響調査と復旧急ぐ(1ページ目 / 全1ページ):Security NEXT
介護用品や福祉用具の製造、販売を手がける幸和製作所は、ランサムウェアを用いたサイバー攻撃を受け、一部サーバーを暗号化される被害が発生したことを明らかにした。 8月21日に外部より侵害され、サーバ内部に保存していたファイルを暗号化されたもの。翌22日に被害を確認した。 ファイル以外にも業務用ソフトウェアが暗号化され、アクセスできない状況に陥っている。 同社ではサーバを隔離し、外部協力のもと、影響の範囲について調査を進めている。また通常の業務にも影響が出ており、復旧を急いでいる。 (Security NEXT - 2024/08/23 ) ツイート
【セキュリティ ニュース】「Microsoft COM」既知脆弱性に悪用報告 - 台湾狙う攻撃に使用(1ページ目 / 全1ページ):Security NEXT
2018年に修正された「Microsoft COM for Windows」の脆弱性「CVE-2018-0824」が、台湾の政府系研究機関に対するサイバー攻撃に悪用されていたことがわかった。 「ShadowPad」や「Cobalt Strike」などを使用した台湾の政府系研究機関に対するサイバー攻撃において、同脆弱性の悪用が確認されたもの。攻撃グループ「APT41」が犯行に関与した可能性があるとしてCisco Systemsが報告した。 「CVE-2018-0824」は、異なるプログラミング言語で書かれたオブジェクト間のやり取りを可能にする「Microsoft COM for Windows」に判明した脆弱性。悪用されるとリモートよりコードを実行されるおそれがある。2018年5月にマイクロソフトより公開された月例パッチで修正された。 Ciscoでは、2023年8月に異常な「PowerShe
【セキュリティ ニュース】町教委でメール誤送信、ボランティア登録者のメアド流出 - 松前町(1ページ目 / 全1ページ):Security NEXT
愛媛県松前町は、同町教育委員会においてメールの送信ミスがあり、ボランティア登録者に関するメールアドレスが流出したことを明らかにした。 同町によれば、8月19日に同町教委事務局において、「いきいきまさきっ子ボランティア体験活動」の登録者79人に主催事業の案内メールを送信した際、誤送信が発生したもの。 受信者間ですべてのメールアドレスが閲覧できる状態となった。 同町では誤送信の発生を受けて関係者に対し謝罪。職員に対し、個人情報などの取り扱いや、情報管理について徹底を図り、再発の防止を図るとしている。 (Security NEXT - 2024/08/27 ) ツイート
🕰️ Four years ago, I published An AWS IAM Security Tooling Reference. It’s time to revisit it and take a look at the current landscape.1 Identity and Access Management (IAM) is a cornerstone of security. However, AWS IAM is not only crucially important, but also immensely complex. This complexity and the resultant challenges it can pose for security have not gone unnoticed. In addition to efforts
![An AWS IAM Security Tooling Reference [2024]](https://cdn-ak-scissors.b.st-hatena.com/image/square/4e2eafc6de4defa998cab07e399b32780f07123d/height=288;version=1;width=512/https%3A%2F%2Framimac.me%2Fassets%2Fimages%2Fiam-tools.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Security Update Guide - Microsoft Security Response Center
ALBeast Security Advisory by Miggo Research | Miggo
inspect.new - Instant website security insights for companies
Bypassing airport security via SQL injection
なんでもCopilot for Security
An AWS IAM Security Tooling Reference [2024]