本ブログをご覧の皆様、弊社についてどのような印象をお持ちでしょうか?「謎のハッカー集団」「なんか凄そう」「やばいことやってそう」...etc.おそらくこんな風に思ってらっしゃるのではないでしょうか。今回はそんな風に思われがちな弊社エンジニアに「セキュリティ初心者🔰や新人さんにオススメな本・サイト」を聞いてみました! 導入 技術統括部の鶴亀です。内容に入る前に突然ですが、皆さん己の中に「コッテコテな関西弁を喋るおっちゃんかおばちゃん」を宿しましょう。...ちょっとずーつ、ちょとず~つ関西弁が聞こえてきますでしょう?「そんな無茶な!」や「豚まん食べたい」が関西弁で聞こえるようになったなら、早速次へ進みましょうか。 本ブログ記事制作のきっかけですが、「新年度なったし新人さん向けにお勧めの本まとめたら反響あるんちゃう?とりあえず聞いてみよ~」と社内で呟いた事です。結果として、「ええんちゃう?ほな
trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
The ZAP Homepage
Zed Attack Proxy (ZAP) The world’s most widely used web app scanner. Free and open source. Actively maintained by a dedicated international team of volunteers. A GitHub Top 1000 project. Quick Start Guide Download Now Intro to ZAP If you are new to security testing, then ZAP has you very much in mind. Check out our ZAP in Ten video series to learn more! Automate with ZAP ZAP provides range of opti
「ノルウェーの一部都市だけであっても多数のスマートフォンが位置情報を追跡されており、それは販売されている」と、ノルウェーの公共テレビ・ラジオ局であるNRKが独自調査の内容をまとめています。 Avslørt av mobilen – Norge https://www.nrk.no/norge/xl/avslort-av-mobilen-1.14911685 仕事や幼稚園のお迎え、友人との外食などあらゆるタイミングで、ユーザーはスマートフォンを持ち出します。そのため、位置情報を追跡することで、「この人は何が好きなのか?」という情報を継続的に収集することが可能です。 一部のスマートフォン向けアプリは位置情報へのアクセスを要求しており、これを許可するとアプリはユーザーの位置情報を継続的に収集できるようになります。このデータは非常に貴重なものであり、多くのモバイルアプリ開発者は位置情報を販売するこ
1 Introduction Compilers, assemblers and similar tools generate all the binary code that processors execute. It is no surprise then that these tools play a major role in security analysis and hardening of relevant binary code. Often the only practical way to protect all binaries with a particular security hardening method is to have the compiler do it. And, with software security becoming more and
Obsidian Authenticator has been renamed "Sentinel"For too many times we have been confused with the "Obsidian note-taking app". Same team, same purpose. We only thought we deserved our own identity.
2020/11/17(火)、平井デジタル改革担当相が定例会見で「パスワード付き ZIP (通称、PPAP) の廃止」について言及されました。国民からの意見を直接募り、一国の担当者が、このような運用にまで言及されたことは、とても珍しいように思えます。 IIJスタッフがやりとりするメールでも、業務やお客様のご都合もあり、全面的にすぐ廃止はできませんが、準備ができたところから順次、パスワード付き ZIP を廃止していく方針です。 なぜパスワード付き ZIP を廃止するのか まず、メールを運用する立場から、パスワード付き ZIP 廃止の方針に賛成します。 なぜなら、一言に危険だからです。 じつは、従来から誤送信対策とされるパスワード付き ZIP (暗号化 ZIP) は効果が薄いばかりか危ない、という主張をしていました。次の資料は 2018年 11月に開催された「迷惑メール対策カンファレンス × J
sigstore
sign. verify. protect. Make sure your software is what it claims to be.
The Atlanticより。 Story by バートン・ゲルマン 内部告発者から大量の文書の山を受け取った後、私は気が付くと米国政府の監視と調査を受けていました。 バートン・ゲルマンは、The Atlanticの常勤ライターであり、『Dark Mirror: Edward Snowden and the American Surveillance State』と『Angler: The Cheney Vice Presidency』の著者です。 「あなたの時計は正確に何時を示していますか?」電話口で尋ねたのは、エドワード・スノーデンがこれまで声に出して聞いた最初の言葉でした。(それまでのコミュニケーションはすべて、秘密のサーバー上の暗号化された匿名リンクを介した安全なテキストチャットで行われていました。) 私は手首をちらっと見ました — 午後3時22分でした。「いいでしょう。4時ちょう
マイコンの重要なデータは通常、データの読み出しを制限する「読み出し保護機能」によって守られていますが、その機能の回避方法はセキュリティ研究者などによって日々研究開発されています。組み込みエンジニアのMarc Schink氏とJohannes Obermaier氏は、マイコンの1つであるSTM32F1シリーズの保護機能を回避する方法をブログで公開しています。 Exception(al) Failure - Breaking the STM32F1 Read-Out Protection | blog.zapb.de https://blog.zapb.de/stm32f1-exceptional-failure/ STM32F1シリーズでは、攻撃者は物理的なアクセスが可能であればデバッグ機能を使用することが可能。また、プログラムに例外が発生した際、プロセッサはベクタテーブル上に示された例外処
by Erica Fischer 街角を歩くと、チャイムや音声で目が不自由な人に横断歩道の信号が青になったことを案内する音響信号機の音を耳にします。アメリカにある横断歩道の音響装置が、安全に横断歩道を渡れることを知らせる代わりに、パスワードの変更を訴えている様子が捉えられました。 The walk signs in Crystal City, VA are just repeating “Change Password” | Hacker News https://news.ycombinator.com/item?id=30675727 アメリカの首都・ワシントンD.C.を拠点とするエコノミストのジョーイ・ポリターノ氏が2022年3月14日に、Twitterに「バージニア州クリスタルシティの歩行者用標識は、道路を渡っても安全なタイミングを教えてくれる代わりに、『パスワードを変更してくださ
2017年7月、アメリカ・ロードアイランド州で開催された全米知事協会の会議に参加したイーロン・マスクCEOは、「原理的には、もし誰かが自律運転可能なテスラをすべてハッキングできたら、『ロードアイランドに全部車を送れ』と命じることができるでしょう」と冗談めかしてコメントしました。しかし、技術系ニュースメディアのElectrekによれば、テスラの車を一斉に遠隔操作できる脆弱性が、マスクCEOのコメントから数カ月前に発見されていたそうです。 The Big Tesla Hack: A hacker gained control over the entire fleet, but fortunately he's a good guy - Electrek https://electrek.co/2020/08/27/tesla-hack-control-over-entire-fleet/ テ
Cookieのセキュリティを改善する Scheming Cookiesについて - ASnoKaze blog
Chromeが「Cookie の SameSite=Lax をデフォルト化」を進めたことは記憶に新しい。 asnokaze.hatenablog.com Cookieの改善は引き続き議論されており、Cookieの扱いでスキーム(http://やhttps://)を考慮に入れることが検討されている。 Incrementally Better Cookies Cookieのセキュリティ改善を精力的に行っているGoogleのMike West氏は、Secure属性の利用が30%、"__Secure-"プレフィックスの利用が0.18%ほどにとどまっていると述べており(リンク)、セキュリティ改善のためにCookieの扱いを段階的に変更していくことを考えている。 同氏がIETFに提出している「Incrementally Better Cookies」では、Cookieを次のように段階的に改善することを
This post shows different use cases for a Yubikey. There are also command line examples in a cheatsheet like manner. I’m using a Yubikey 5C on Arch Linux. If you run into issues, try to use a newer version of ykman (part of yubikey-manager package on Arch). Some features depend on the firmware version of the Yubikey. The tooling (like the wording) around the Yubikey is sometimes a bit confusing. I
「ついに来た!Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020 | DevelopersIO
こんにちは、臼田です。 みなさん、インシデントの調査やっていますか?(挨拶 今回はオンラインで2020年6月16日より開催しているDevelopers.IO 2020 CONNECTにおいてAmazon Detectiveの紹介とガッツリデモを含んだ動画を公開したのでそちらを紹介します! 動画 解説 前置き スライドは最後尾に乗せています。が、デモの内容をバッサリカットしているので動画を見ていただくのが一番いいです。 今回は事前に収録できるということで、思う存分見せたい内容、伝えたい内容を乗せてみました。普段デモをやるのはけっこう大変なためやっていませんので、今回は私の中では珍しい内容です。 そして、お見せできないようなデータはモザイクをかけられるので、気にせず公開することができるのも動画投稿のいいところですね。 以下の内容は主に動画をこれから見る方向けです。 今回のコンセプト 2020年
by EFF Photos IBMの「Lotus-Notes」は、電子メール、スケジュール管理、文書共有などを行えるクライアントサーバー型のグループウェアです。実は、かつてこのLotus-Notesには、アメリカ国家安全保障局(NSA)によるバックドアが仕込まれていました。NSAによるバックドアの中身と仕込まれた理由について、このバックドアを2002年に発見した暗号技術者のアダム・バック氏が解説しています。 NSA Backdoor Key from Lotus-Notes http://www.cypherspace.org/adam/hacks/lotus-nsa-key.html バック氏はリバースエンジニアリングによって、2000年以前にリリースされていたLotus-Notesの輸出バージョンに、「differential cryptography(差分暗号化)」と呼ばれる、キーエ
Resynth1943 - Your Ultimate Destination for Business, Education, Gaming, Health, Lifestyle, News, Software, and Sports
In today’s fast-paced world, it can be easy to lose touch with our senses. We often find ourselves rushing from Read more
RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts
「GW直前!まだ間に合うコンテナバケーション with Amazon EKS」で話した内容です。 SAML 認証と IAM Role for Service Accounts について話しています。
Google、RustとseL4マイクロカーネルを活用したセキュリティ重視のOSとして「KataOS」を発表
Phoronixより。 Googleは今週、アンビエントな機械学習ワークロードを実行する組み込みデバイスに焦点を当てた最新のオペレーティング・システムの取り組みとして、KataOSのリリースを発表しました。KataOSはセキュリティを重視し、Rustプログラミング言語のみを使用し、その基盤としてseL4マイクロカーネルの上に構築されています。 KataOSは、増え続けるスマート デバイスでの使用を想定としており、特に、機械学習アプリケーションを実行する組み込みハードウェアに重点を置いています。業界ではRISC-Vへの関心が高まっていることを考えると、このCPUアーキテクチャはKataOSの主要なサポート対象になっています。Googleのオープンソース・ブログは次のように発表しました。 「この新しいオペレーティング・システムの基盤として、セキュリティを最前線と中心に置いているマイクロカーネル
Huawei has been secretly funding research in America after being blacklisted
How a simple Linux kernel memory corruption bug can lead to complete system compromise
In this case, reallocating the object as one of those three types didn't seem to me like a nice way forward (although it should be possible to exploit this somehow with some effort, e.g. by using count.counter to corrupt the buf field of seq_file). Also, some systems might be using the slab_nomerge kernel command line flag, which disables this merging behavior. Another approach that I didn't look
パスワードを忘れたWindows 11にサインインする方法(UbuntuのインストールUSBメモリ編)
パスワードを忘れたWindows 11にサインインする方法(UbuntuのインストールUSBメモリ編):Tech TIPS スタッフの急な退社などでパスワードの分からないPCがある場合、どうしているだろうか。初期化しても問題ないPCならいいが、大事なデータが入っているような場合など、パスワードを再設定して使い続けたいということもあるだろう。そのような場合にパスワードを再設定する方法を紹介する。
26日(日本だと27日)に「MSのクラウドのデータベースに脆弱性 数千社に通知」みたいなタイトルのニュース記事がロイターからありました。情報不足で正確性にかけるタイトルですが。 より細かい詳細はそのうちでるかも知れませんが現状はこちらを参照。 Update on the vulnerability in the Azure Cosmos DB Jupyter Notebook Feature – Microsoft Security Response Center(MicrosoftのSecurity Response Centerの記事) ChaosDB: How we hacked thousands of Azure customers’ databases | Wiz Blog (脆弱性発見者の記事) 脆弱性の概要 Cosmos DB組み込みのJupyter Notebook機能を
パスワード管理ツールのおすすめ4製品:1Password・Bitwarden・LastPass・Dashlane - こぼねみ
みなさんはパスワード管理ツールを使っていますか? 使っている方は、どんなツールでしょうか。 ちなみに僕は1Passwordです。 The Wall Street Journalは、WSJ記者レビューとして「パスワード管理ツール、これがおすすめ」を公開しています。 パスワード管理ツールとは、「パスワードを全て記憶したり、新しい安全なパスワードを生成したりしてくれるサービス」であり、この記事では、「LastPass」「Dashlane」「1Password」「Bitwarden」という各パスワード管理ツールを紹介しつつ、ベストなツールを挙げています。 これからパスワード管理ツールを使いたいと思っている方も、現在すでに使っていて別のものを試してみたいと思っている方も、必見の内容かと思います、 また、パスワードを保護するために知っておくべき4つのシンプルなルールも教えてくれるので、有料記事ですが、
うわっ…AWSのセキュリティ系サービス、多すぎ…?オンプレエンジニアにも分かりやすく整理してみた
JAWS-UG朝会 #34 https://jawsug-asa.connpass.com/event/240121/
プライバシーテックの動向 〜エンジニア視点でのプライバシーの理解とBigTech企業のプライバシーテックの動向〜
⽵之内隆夫 Takao Takenouchi LINE株式会社ML Privacy Team Senior Privacy Evangelist 2022/8/23 「MLプライバシー論文読み会」での発表資料です https://line.connpass.com/event/256697/
Zenbleed
If you remove the first word from the string "hello world", what should the result be? This is the story of how we discovered that the answer could be your root password! Introduction All x86-64 CPUs have a set of 128-bit vector registers called the XMM registers. You can never have enough bits, so recent CPUs have extended the width of those registers up to 256-bit and even 512-bits. The 256-bit
はじめに IAMユーザを利用者へ引き渡す際に「絶対に多要素認証(MFA)の設定を入れてくださいね!!」と伝えても、 そのユーザが本当にMFAを有効化してくれたのか、その確認や催促に手間がかかるときがあります。 そんな手間を省くため、引き渡すIAMユーザには予め MFAを利用していないと権限に制限がかかる仕組みを仕込んでおくことができます。 概要 IAMユーザに以下の権限を付与すれば完了です。 (1) MFAを設定・有効化するための権限 (2) MFAを利用していない場合、(1)以外すべてのアクションを拒否する権限 (3) 本来許可したい権限 (2)の設定では、IAMポリシーのContdition要素を使ってMFA利用有無による条件分岐を設定します。 (3)で許可された権限であっても、 MFAを利用していない場合は(2)による明示的な拒否設定が上回り、利用することができなくなる仕組みです。
GitHubが脆弱性ワークフローを改善してCVE採番機関に
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Microsoftが新たなセキュリティチップ「Microsoft Pluton」を開発中だと発表しました。Plutonの開発には、Microsoftのシリコンに関する主要なパートナーであるAMD・Intel・Qualcommが参加しています。 Microsoft Pluton Processor のご紹介 – Windows PC の未来に向けて 設計されたセキュリティチップ - News Center Japan https://news.microsoft.com/ja-jp/2020/11/18/201118-meet-the-microsoft-pluton-processor-the-security-chip-designed-for-the-future-of-windows-pcs/ Meet the Microsoft Pluton processor – The sec
This post is also available in: English (英語) 概要 Wiresharkは、ネットワーク内を流れるパケットをキャプチャし、その内容(pcap)を確認するためのツールです。筆者は2018年からさまざまなWiresharkチュートリアルを執筆し、世界中のカンファレンスでワークショップを開き、そこで対面で講師をつとめてきました。これまで筆者が行ったこれらのワークショップは、情報セキュリティ業務にあたる方々がWiresharkを使ってWindowsベースのマルウェア感染トラフィックを確認できるようにすることを目指したものでした。 ただ残念ながら、2020年初頭以降は新型コロナウイルス感染症の拡大による渡航制限で、対面でのワークショップは開催できていません。そこで私たちは、それまで対面で行ってきたワークショップの大半をカバーしたビデオチュートリアルを開発し、
関西オープンフォーラム内で開催された"jus研究会大阪大会「AWS IAM - 設計上の戦略と戦術」"での発表資料です。 https://k-of.jp/backend/session/1299 運用設計ラボおよびJAWS-UG CLI専門支部での実践を例に、AWS IAM設計上の戦略と戦術…
Aegis Authenticator
Aegis AuthenticatorAegis Authenticator is a free, secure and open source app for Android to manage your 2-step verification tokens for your online services. Secure, simple and actively developed.
OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた | DevelopersIO
OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた はじめに AWSサービスのうち、以下のサービスでは、ユーザー認証のシングルサインオン (SAML 2.0 ベースのフェデレーション認証)に対応しています。 AWS IAM Identity Center Amazon WorkSpaces Amazon AppStream 2.0 AWS Client VPN OktaとAWSのシングルサインオンを試したいと思った時、Okta Starter Developer Editionが無料で利用できることを知りました。 Okta Starter Developer Editionとは、Oktaの認証、認可、ユーザー管理の機能をアプリに組み込む開発者向けに無料で提供されています。 一部制限がありますが、Oktaの機
[CloudFront] Lambda@EdgeでHTTPセキュリティヘッダーを追加する方法 | DevelopersIO
Lambda@EdgeはAmazon CloudFrontの機能で、CloudFrontのイベントに応じてLambda関数を実行できます。この機能を利用して、CloudFrontで配信しているコンテンツのレスポンスヘッダーにHTTPセキュリティヘッダーを設定します。 Lambda@Edge | AWS HTTPセキュリティヘッダーは、Webブラウザのセキュリティ対策のためにWebアプリで使用されるHTTPヘッダーです。HTTPセキュリティヘッダーを設定することで、クリックジャッキングやクロスサイトスクリプティング(XSS)など、クライアント側の脆弱性を利用した攻撃を困難にします。 OWASP Secure Headers Project Lambda@Edgeの仕組み Lambda@Edgeはオリジのレスポンスをトリガーにした場合、CloudFrontがオリジンから取得したコンテンツをキャ
![[CloudFront] Lambda@EdgeでHTTPセキュリティヘッダーを追加する方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fde6f7c8a9687a84d77b4283284f2288984c2659/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cloud-front.png)
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
ESETは2023年4月11日(米国時間)、パスワードマネジャーを選択する上で押さえておきたい10個の機能を解説した。 ESETは、パスワードを置き換える新たな技術の登場により、将来的にはパスワードが不要になるとした一方、現状では、パスワードに代わる新たな手段として普及には至っていないと指摘している。 パスワードは、メッセージやSNS、ストリーミングアプリのアカウントなど、個人情報を保護する手段の一つだが、同時に潜在的なセキュリティリスクでもある。「銀行口座などのオンラインアカウントですら二要素認証を使用している人は少ない」とESETは指摘している。 なぜ強いパスワードが重要なのか? ハッキングによって取得されたパスワードは、個人データや保存されたクレジットカードなど、さまざまなアカウントへの侵入が可能になるため、ブラックマーケットで売買される。 関連記事 パスワードに代わる認証方式「パス
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あら、セキュリティの勉強を始めたとこなん?それやったらこれオススメやで!~オススメ本・サイトまとめ~
「保護者からも賛同を得た」 練馬区中学校の「SNSパスワード」提出問題、教育委員会に聞く - 弁護士ドットコムニュース
「スマホの位置情報の売買」は一大ビジネスと化しており、匿名化されたものからでも簡単に個人を特定することが可能
マイナカードの長い方のパスワード(16桁)、コンビニで再設定可能に
Low-Level Software Security for Compiler Developers
Obsidian - 2FA / MFA Authenticator
パスワード付き (暗号化) ZIP廃止の考え方と対策 | IIJ Engineers Blog
ブログ: 私は、エドワード・スノーデンに出会ってから、警戒し続けてきた
「プロセッサの例外処理」を用いてマイコンの保護領域を読み出す手順が公開中、ソースコードもあり
「パスワードを変更してください」と繰り返し続ける横断歩道の音響装置が発見される
テスラの車にはネット経由で一斉にリモート操作できる脆弱性があった
How to Yubikey: a configuration cheatsheet
諜報機関によるバックドアがIBMのグループウェアに仕込まれていた理由とは?
Engadget | Technology News & Reviews
Azure Cosmos DB の組み込みJupyter Notebook機能に関する脆弱性について
多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | DevelopersIO
MicrosoftがWindows搭載PCを保護する新型セキュリティチップ「Microsoft Pluton」を発表
Wireshark チュートリアル: Wiresharkワークショップビデオシリーズを公開
AWS IAM 〜 設計上の戦略と戦術 / 20191109-kof-iam
【Mac Info】 Macのパスワードを忘れてしまったら、どうする?
パスワードマネジャーはどれを選ぶべき? 押さえておきたい10の機能とは ESET
www.nikkei.com
yygames.hateblo.jp
www.google.com
yanegaihekiya.com
www.pixiv.net
note.com/takuya14