Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.
08/29/2024 IntroductionLike many, Sam Curry and I spend a lot of time waiting in airport security lines. If you do this enough, you might sometimes see a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips. The KCM process is fairly simple: the employe
HomeNewsSecurityVSCode extensions with 9 million installs pulled over security risks Microsoft has removed two popular VSCode extensions, 'Material Theme – Free' and 'Material Theme Icons – Free,' from the Visual Studio Marketplace for allegedly containing malicious code. The two extensions are very popular, having been downloaded nearly 9 million times in total, with users now receiving alerts i
AWS now makes it easier to manage your security groups with new security group sharing features. You can now associate a security group with multiple VPCs in the same account using Security Group VPC Associations. When using shared VPC, you can now also share security groups with participant accounts in that shared VPC using Shared Security Groups. This feature improves security group consistency
2024 年 11 月 更新 こんにちは、クラウドエース所属、Partner Top Engineer で\textcolor{red}{赤髪}がトレードマークの Shanks です。 2年前に Professional Cloud Security Engineer を取得した際の学習ポイントをまとめた記事として本記事は公開されました。 ありがたいことに社内外から数多くの参考情報としてご紹介いただき人気(?)記事となりました。 2024/11 に再受験をして無事に更新することができましたので、「Professional Cloud Security Engineer 完全攻略ガイド2025」 と題して、合格体験記+攻略記事を更新いたします。 注意事項 試験を知る 出題背景 まず、認定試験ガイドを確認すると、大きく5つのセクションに分類されていることがわかります。 クラウド ソリューション
大阪市は、研修受講者に受講票をメール送信する際、誤って研修受講者の個人情報含むリストを添付して送信するミスがあったことを明らかにした。 同市によれば、9月18日に委託先の東住吉区中野地域包括支援センターが、研修受講者25人に表計算ソフトで作成された受講票をメールで送信する際、2023年度の研修受講者の個人情報が記載されているリストを誤って添付して送信するミスがあったという。 翌19日に受信者から連絡があり誤送信が判明。問題のリストには、研修受講者41人分の氏名、電話番号、メールアドレス、資格、介護支援専門員登録番号が記載されていた。 同市では、誤送信先となった研修受講者にメールの削除を依頼。リストに記載されていた研修受講者には、事情の説明と謝罪を行っている。 (Security NEXT - 2024/09/30 ) ツイート
Several months after a hacking group claimed to be selling nearly 3 billion records stolen from a prominent data broker, much of the information appears to have been leaked on a forum. According to Bleeping Computer, the data dump includes 2.7 billion records of personal info for people in the US, such as names, Social Security Numbers, potential aliases and all physical addresses they are known t
AWS News Blog New AWS Security Incident Response helps organizations respond to and recover from security events Today, we announce AWS Security Incident Response, a new service designed to help organizations manage security events quickly and effectively. The service is purpose-built to help customers prepare for, respond to, and recover from various security events, including account takeovers,
ここでは日本語でAWSセキュリティを学習するためのコンテンツをまとめます。AWSの学習コンテンツなどは日本語対応しているものもある一方で、その翻訳やコンテンツ自体のクオリティから理解しづらいものもあります。本ページでは特に日本語での学習に向いているコンテンツを、その評価とともにまとめます。 AWS初心者の方はAWS初心者向けページページからお読みください。メインコンテンツ以外のその他参考情報もご活用ください。 初心者が最初に利用するコンテンツ AWSそのものと、そのセキュリティの基礎を学習できる無料の手厚いコンテンツです。「ところどころかじった知識しかないので体系的に学びたい」「ある程度理解はできているつもりだが、チームメンバーや後輩に説明できるくらい適切に理解したい」等の場合にも、このコンテンツから着手するといいです。 AWS Cloud Practitioner Essentials
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
警察庁は、ランサムウェアによる被害が引き続き多数発生しているとして注意喚起を行った。特にVPN機器などを経由した攻撃が目立っている。 2023年度の被害調査で有効回答があった115件において、63.4%が脆弱な「VPN」環境が侵入経路だったと指摘。VPN機器における脆弱性や、外部へ流出したアカウント情報が悪用されるなど、脆弱な認証情報が標的になっているとし、あらためて注意を呼びかけた。 一方18.3%は、リモートデスクトップが標的となっている。VPN機器とあわせると81.7%にのぼった。 同庁では、OSなどソフトウェアを最新の状態に保ち、VPN機器についても更新を行うよう注意を喚起。認証情報の適切な管理や、オフラインバックアップの実施など、基本的な対策の徹底を求めた。 またランサムウェアの被害に遭い、データを暗号化された場合は、感染端末をネットワークから隔離して電源を切り、再起動は「厳禁」
はじめに 筆者について SCSについて 学習期間 使用教材 学習方法 試験本番について 感想 おわりに お知らせ はじめに こんにちは、クラウド事業部の山下です。 先日AWS Certified Security - Specialty(SCS-C02)を受験し、合格しました! 体験記として、勉強方法や感想をまとめておきたいと思います。 筆者について AWS実務経験は2年半ほど CLF、SAA、SOA、SAPを取得済み SCSについて SCSの試験概要 下記公式ページにまとまっていますのでご参照ください。 aws.amazon.com SCSの試験範囲 公式の試験ガイドがわかりやすいです。 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-S
2025年4月、国立感染症研究所(NIID)と国立国際医療研究センター(NCGM)が統合し、「国立健康危機管理研究機構(JIHS)」が発足しました。
Apple pulls data protection tool after UK government security row Apple is taking the unprecedented step of removing its highest level data security tool from customers in the UK, after the government demanded access to user data. Advanced Data Protection (ADP) means only account holders can view items such as photos or documents they have stored online through a process known as end-to-end encryp
About a year ago, security researcher Sam Curry bought his mother a Subaru, on the condition that, at some point in the near future, she let him hack it. It took Curry until last November, when he was home for Thanksgiving, to begin examining the 2023 Impreza's internet-connected features and start looking for ways to exploit them. Sure enough, he and a researcher working with him online, Shubham
Learn more about Chrome Enterprise CorePowerful and flexible management capabilities both in the cloud and on premises, at no additional cost. Learn more Employees love Chrome extensions because they boost productivity, streamline workflows and let them customize their browser. Chrome already helps IT and security teams manage and control extensions, and we’re excited to announce powerful new feat
大和ハウス工業は、ネットワーク対応ストレージ(NAS)の設定不備により、一部顧客情報がインターネットからアクセスでき、流出したことを明らかにした。 同社によれば、同社が施工する物件の仮設現場事務所内で使用していた「NAS」に設定不備があったもの。顧客情報を含むプロジェクト情報の一部が外部からアクセス可能だった。 具体的には、集合住宅事業部門の一部工事現場に関する情報で、図面や工事概要書、工程表、施工計画書、竣工検査報告書、発注先リストなどとしている。 個人情報としては、物件名称に含まれる施主の氏名約5500件、取引先担当者の氏名や作業員に関する情報など約8300件が含まれる。 そのほか、近隣住民説明会の参加者の氏名約50件、物件に関係する施主の氏名、工事関係資料など36件なども対象としている。
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
本レポートでは、2024年6月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年6月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は390件であり、1日あたりの平均件数は13.00件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,228万ppsのパケットによって110.88Gbps
AWS Security Blog Announcing upcoming changes to the AWS Security Token Service global endpoint AWS launched AWS Security Token Service (AWS STS) in August 2011 with a single global endpoint (https://sts.amazonaws.com), hosted in the US East (N. Virginia) AWS Region. To reduce dependency on a single Region, STS launched AWS STS Regional endpoints (https://sts.{Region_identifier}.{partition_domain}
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
マルチアカウント環境における全アカウント・全リージョンのSecurity Hubセキュリティ基準を一括集計して確認してみた はじめに マルチアカウント環境において、全アカウント・全リージョンのSecurity Hubセキュリティ基準の有効化状況を一括で集計し、確認する方法をご紹介します。 マルチアカウント環境では、アカウントごとに有効化するセキュリティ基準が異なる場合、各アカウントで意図したセキュリティ基準が正しく有効化されているかを確認したり、 Security Hubの中央設定を利用していない場合、全アカウントで特定のセキュリティ基準が有効化されているかを確認したいケースがあります。 このような場合、効率的に全アカウントのセキュリティ基準の有効化状況を確認するには、管理アカウントから一括で情報を収集し、集計する方法が有効です。本記事では、その具体的な手順を解説します。 実施手順の概要は
3月7〜10日:サイバーセキュリティ関連ニュース人気のPythonロギングライブラリにリモートコード実行の脆弱性:CVE-2025-27607Securityonline[.]info – March 9, 2025 JSONログの出力に使われる人気Pythonライブラリ「python-json-logger」に重大な脆弱性CVE-2025-27607が存在していたことが発覚。この脆弱性が攻撃者に悪用された場合、同ライブラリがインストールされたシステム上での任意コードの実行が可能となる恐れがある。 CVE-2025-27607(CVSS 8.8)は「msgspec-python313-pre」というオプションの依存関係がライブラリ所有者によって削除されたことに起因する脆弱性。これにより攻撃者は同名(msgspec-python313-pre)の有害なパッケージをPyPIに公開できるようにな
コーヒーの輸入販売をはじめ、食品事業を手がける石光商事は、同社国内グループ会社のサーバがランサムウェアの被害を受けた問題で、対応状況を明らかにした。データ流出の痕跡が確認されたものの、個人情報は含まれていないとしている。 同社やグループ会社である東京アライドコーヒーロースターズ、関西アライドコーヒーロースターズ、ユーエスフーズで利用している一部サーバーが外部よりサイバー攻撃を受けたもの。ランサムウェアによってサーバ内に保存されていたファイルを暗号化された。 同社は9月20日に事態を公表。個人情報保護委員会へ報告するとともに警察へ相談、外部協力のもと、原因や影響範囲の調査や復旧作業を進めていた。 同社によると、SIMカードを搭載するノートパソコンがリモートデスクトップ接続を介した攻撃を受け、同端末経由でグループで利用するサーバにアクセス。データの暗号化が行われたと見られている。 攻撃を通じて
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります [Inspector.2] Amazon Inspector ECR scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 対象コントロールの説明 本コントロールは、Amazon Inspector ECRスキャンが有効になって
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
Pluralistic で知ったのだが、セキュリティエンジニアリング研究の第一人者であるロス・アンダーソンの大著『Security Engineering: A Guide to Building Dependable Distributed Systems』の2020年に刊行された第3版がオンライン公開されている(第2版までは以前から公開されていたはず)。 これの第1版は『情報セキュリティ技術大全―信頼できる分散システム構築のために』(asin:4822281426)という邦訳があるが、第2版以降の邦訳はなかったと思う。 第3版を書籍として購入するとなると、1200ページ超の分量もあって、ハードカバーも Kindle 版もいずれも1万円超なのを考えると、とてもありがたいし、すごいねぇ、と思ってしまう。 実は今年の春、アンダーソンは亡くなっており、それを受けての全文オンライン公開かと思う。
こんにちは。GMO Flatt Securityの@toyojuniです。 昨年に引き続き、今年もGMO Flatt Securityは3月1日(土)に池袋サンシャインシティにて開催されたJAWS DAYS 2025にPlatinum Supporterとして協賛し、ブースを出展させていただきました! JAWS DAYSとは 日本全国に60以上の支部をもつAWSのユーザーグループ「JAWS-UG」が主催するもので、参加は有料でありながら1000人以上が参加者として登録している非常に大規模なものです。今年も大盛況でした。 クラウドセキュリティのサービスも提供する我々にとって、日々AWSを用いてプロダクト開発・運用に向き合う皆様と直接お話しする機会は貴重なものであり、ブースにてたくさんの生の声を聞かせていただくために出展しております。 「AWSのセキュリティ課題を大調査!」企画 GMO Fla
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く