Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.
08/29/2024 IntroductionLike many, Sam Curry and I spend a lot of time waiting in airport security lines. If you do this enough, you might sometimes see a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips. The KCM process is fairly simple: the employe
AWS now makes it easier to manage your security groups with new security group sharing features. You can now associate a security group with multiple VPCs in the same account using Security Group VPC Associations. When using shared VPC, you can now also share security groups with participant accounts in that shared VPC using Shared Security Groups. This feature improves security group consistency
HomeNewsSecurityVSCode extensions with 9 million installs pulled over security risks Microsoft has removed two popular VSCode extensions, 'Material Theme – Free' and 'Material Theme Icons – Free,' from the Visual Studio Marketplace for allegedly containing malicious code. The two extensions are very popular, having been downloaded nearly 9 million times in total, with users now receiving alerts i
CommunityOpen Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects Posted On: April 15, 2024XZ Utils cyberattack likely not an isolated incident By: Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094)
大阪市は、研修受講者に受講票をメール送信する際、誤って研修受講者の個人情報含むリストを添付して送信するミスがあったことを明らかにした。 同市によれば、9月18日に委託先の東住吉区中野地域包括支援センターが、研修受講者25人に表計算ソフトで作成された受講票をメールで送信する際、2023年度の研修受講者の個人情報が記載されているリストを誤って添付して送信するミスがあったという。 翌19日に受信者から連絡があり誤送信が判明。問題のリストには、研修受講者41人分の氏名、電話番号、メールアドレス、資格、介護支援専門員登録番号が記載されていた。 同市では、誤送信先となった研修受講者にメールの削除を依頼。リストに記載されていた研修受講者には、事情の説明と謝罪を行っている。 (Security NEXT - 2024/09/30 ) ツイート
Several months after a hacking group claimed to be selling nearly 3 billion records stolen from a prominent data broker, much of the information appears to have been leaked on a forum. According to Bleeping Computer, the data dump includes 2.7 billion records of personal info for people in the US, such as names, Social Security Numbers, potential aliases and all physical addresses they are known t
AWS News Blog New AWS Security Incident Response helps organizations respond to and recover from security events Today, we announce AWS Security Incident Response, a new service designed to help organizations manage security events quickly and effectively. The service is purpose-built to help customers prepare for, respond to, and recover from various security events, including account takeovers,
ここでは日本語でAWSセキュリティを学習するためのコンテンツをまとめます。AWSの学習コンテンツなどは日本語対応しているものもある一方で、その翻訳やコンテンツ自体のクオリティから理解しづらいものもあります。本ページでは特に日本語での学習に向いているコンテンツを、その評価とともにまとめます。 AWS初心者の方はAWS初心者向けページページからお読みください。メインコンテンツ以外のその他参考情報もご活用ください。 初心者が最初に利用するコンテンツ AWSそのものと、そのセキュリティの基礎を学習できる無料の手厚いコンテンツです。「ところどころかじった知識しかないので体系的に学びたい」「ある程度理解はできているつもりだが、チームメンバーや後輩に説明できるくらい適切に理解したい」等の場合にも、このコンテンツから着手するといいです。 AWS Cloud Practitioner Essentials
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
玩具の製造販売を手がけるセガフェイブは、同社従業員が利用するクラウドサービスのアカウントが不正アクセスを受け、顧客や取引先などの個人情報が流出した可能性があることを明らかにした。 同社によれば、Toysカンパニーの従業員が使用するMicrosoft 365アカウントが不正アクセスを受けたもの。同社のセキュリティを管理するセガサミーホールディングスが4月4日に検知した。 問題のアカウントには、直近1年間の取引先に関する情報やグループ会社従業員の個人情報が含まれていることが同月9日に判明。同月17日には、同従業員が過去に従事したグループ会社の顧客情報も含まれていることが明らかとなっている。 対象となる個人情報は、取引先の氏名、会社住所、電話番号、メールアドレス、口座情報など約1900件、同社従業員とその家族、セガサミーグループの従業員の氏名、住所、電話番号、メールアドレスなど約300件。 さら
警察庁は、ランサムウェアによる被害が引き続き多数発生しているとして注意喚起を行った。特にVPN機器などを経由した攻撃が目立っている。 2023年度の被害調査で有効回答があった115件において、63.4%が脆弱な「VPN」環境が侵入経路だったと指摘。VPN機器における脆弱性や、外部へ流出したアカウント情報が悪用されるなど、脆弱な認証情報が標的になっているとし、あらためて注意を呼びかけた。 一方18.3%は、リモートデスクトップが標的となっている。VPN機器とあわせると81.7%にのぼった。 同庁では、OSなどソフトウェアを最新の状態に保ち、VPN機器についても更新を行うよう注意を喚起。認証情報の適切な管理や、オフラインバックアップの実施など、基本的な対策の徹底を求めた。 またランサムウェアの被害に遭い、データを暗号化された場合は、感染端末をネットワークから隔離して電源を切り、再起動は「厳禁」
はじめに 筆者について SCSについて 学習期間 使用教材 学習方法 試験本番について 感想 おわりに お知らせ はじめに こんにちは、クラウド事業部の山下です。 先日AWS Certified Security - Specialty(SCS-C02)を受験し、合格しました! 体験記として、勉強方法や感想をまとめておきたいと思います。 筆者について AWS実務経験は2年半ほど CLF、SAA、SOA、SAPを取得済み SCSについて SCSの試験概要 下記公式ページにまとまっていますのでご参照ください。 aws.amazon.com SCSの試験範囲 公式の試験ガイドがわかりやすいです。 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-S
2025年4月、国立感染症研究所(NIID)と国立国際医療研究センター(NCGM)が統合し、「国立健康危機管理研究機構(JIHS)」が発足しました。
Apple pulls data protection tool after UK government security row Apple is taking the unprecedented step of removing its highest level data security tool from customers in the UK, after the government demanded access to user data. Advanced Data Protection (ADP) means only account holders can view items such as photos or documents they have stored online through a process known as end-to-end encryp
About a year ago, security researcher Sam Curry bought his mother a Subaru, on the condition that, at some point in the near future, she let him hack it. It took Curry until last November, when he was home for Thanksgiving, to begin examining the 2023 Impreza's internet-connected features and start looking for ways to exploit them. Sure enough, he and a researcher working with him online, Shubham
Learn more about Chrome Enterprise CorePowerful and flexible management capabilities both in the cloud and on premises, at no additional cost. Learn more Employees love Chrome extensions because they boost productivity, streamline workflows and let them customize their browser. Chrome already helps IT and security teams manage and control extensions, and we’re excited to announce powerful new feat
大和ハウス工業は、ネットワーク対応ストレージ(NAS)の設定不備により、一部顧客情報がインターネットからアクセスでき、流出したことを明らかにした。 同社によれば、同社が施工する物件の仮設現場事務所内で使用していた「NAS」に設定不備があったもの。顧客情報を含むプロジェクト情報の一部が外部からアクセス可能だった。 具体的には、集合住宅事業部門の一部工事現場に関する情報で、図面や工事概要書、工程表、施工計画書、竣工検査報告書、発注先リストなどとしている。 個人情報としては、物件名称に含まれる施主の氏名約5500件、取引先担当者の氏名や作業員に関する情報など約8300件が含まれる。 そのほか、近隣住民説明会の参加者の氏名約50件、物件に関係する施主の氏名、工事関係資料など36件なども対象としている。
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects XZ Utils cyberattack likely not an isolated incident By Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094) may not be an isolated incident as
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
本レポートでは、2024年6月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年6月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は390件であり、1日あたりの平均件数は13.00件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,228万ppsのパケットによって110.88Gbps
新潟県は、同県ウェブサイトにおいて、個人情報含むファイルを誤って公開する事故があったことを明らかにした。 同県によれば、3月29日2時ごろ、県民が文書を検索する際の目録となるファイル基準表を委託事業者が公開したが、誤って個人情報が記載されたファイルを公開したという。 4月2日にウェブサイトを閲覧した同県職員から連絡があり判明した。問題のファイルには、用地買収や不利益情報に関する氏名112件と、企業や団体名37件が含まれる。 委託事業者の担当者が、情報公開用のデータではなく、別のデータを用いて公開作業を行ってしまったという。 同県では委託事業者に公開停止を指示し、同日17時過ぎに公開を停止した。部外者による閲覧は確認されていないとしている。 (Security NEXT - 2024/04/15 ) ツイート
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
マルチアカウント環境における全アカウント・全リージョンのSecurity Hubセキュリティ基準を一括集計して確認してみた はじめに マルチアカウント環境において、全アカウント・全リージョンのSecurity Hubセキュリティ基準の有効化状況を一括で集計し、確認する方法をご紹介します。 マルチアカウント環境では、アカウントごとに有効化するセキュリティ基準が異なる場合、各アカウントで意図したセキュリティ基準が正しく有効化されているかを確認したり、 Security Hubの中央設定を利用していない場合、全アカウントで特定のセキュリティ基準が有効化されているかを確認したいケースがあります。 このような場合、効率的に全アカウントのセキュリティ基準の有効化状況を確認するには、管理アカウントから一括で情報を収集し、集計する方法が有効です。本記事では、その具体的な手順を解説します。 実施手順の概要は
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を SSH接続などに利用されるターミナルソフトの「PuTTY」に脆弱性が明らかとなった。複数の署名されたデータから秘密鍵を復元されるおそれがある。 「同0.80」から「同0.68」までのバージョンにおいて、NIST P521楕円曲線を使用したECDSA秘密鍵から署名を生成するコードに脆弱性「CVE-2024-31497」が明らかとなったもの。「PuTTY」がバンドルされている「FileZilla」「WinSCP」「TortoiseGit」「TortoiseSVN」なども影響を受けるという。 ECDSA署名時に利用するランダム値の生成に大きな偏りが存在。60程度の署名されたデータと公開鍵から「ECDSA秘密鍵」を復元することが可能だとしている。 中間者攻撃はできないものの、悪意のあるサーバなど
コーヒーの輸入販売をはじめ、食品事業を手がける石光商事は、同社国内グループ会社のサーバがランサムウェアの被害を受けた問題で、対応状況を明らかにした。データ流出の痕跡が確認されたものの、個人情報は含まれていないとしている。 同社やグループ会社である東京アライドコーヒーロースターズ、関西アライドコーヒーロースターズ、ユーエスフーズで利用している一部サーバーが外部よりサイバー攻撃を受けたもの。ランサムウェアによってサーバ内に保存されていたファイルを暗号化された。 同社は9月20日に事態を公表。個人情報保護委員会へ報告するとともに警察へ相談、外部協力のもと、原因や影響範囲の調査や復旧作業を進めていた。 同社によると、SIMカードを搭載するノートパソコンがリモートデスクトップ接続を介した攻撃を受け、同端末経由でグループで利用するサーバにアクセス。データの暗号化が行われたと見られている。 攻撃を通じて
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります [Inspector.2] Amazon Inspector ECR scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 対象コントロールの説明 本コントロールは、Amazon Inspector ECRスキャンが有効になって
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
Fortinetのアプライアンス製品にOSとして搭載されている「FortiOS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。 「FortiOS」において3件の脆弱性が明らかとなったもの。「CVE-2023-41677」は、管理者の「Cookie」が漏洩する脆弱性。認証情報の保護が不十分であり、管理者をだまして「SSL VPN」経由で細工したサイトにアクセスさせることで、「Cookie」を取得されるおそれがあるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」で、重要度を4段階中、上から2番目にあたる「高(High)」とレーティングした。同脆弱性については「FortiProxy」も影響を受ける。 また特権を持つ場合にコマンドラインインターフェイスで任意のコードまたはコマンドを実行できる脆弱性「CVE-2023-48784」が判明。 さらに「HT
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く