![https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/](https://cdn-ak-scissors.b.st-hatena.com/image/square/86c195afabbf48c4da6db7ec910103a566111b63/height=288;version=1;width=512/https%3A%2F%2Ftechcrunch.com%2Fwp-content%2Fuploads%2F2016%2F07%2Fnix-2fa.jpg)
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
AWSアカウントを作成したら最初にやっておきたいことをまとめてみた。 あわせて読みたい 本記事の内容を含めた最新の手順は、下記の書籍にまとまっている。 クラウド破産を回避するAWS実践ガイド AWSアカウント(ルートアカウント)の保護 AWSアカウントが乗っ取られると詰むので、真っ先にセキュリティを強化する。 AWSアカウントへ二段階認証を導入 AWSアカウントでのログインは、AWSアカウント作成時のメールアドレス・パスワードだけでできてしまう。心許ないにもほどがあるので、まずは二段階認証を設定しよう。 IAMのページを開く https://console.aws.amazon.com/iam/home 「ルートアカウントのMFAを有効化」を選択して、「MFAの管理」ボタンをクリック 「仮想MFAデバイス」にチェックが入っていることを確認し、「次のステップ」ボタンをクリック 注意書きを読ん
みなさんこんにちは。 マネーフォワードCTOの浅野です。 本日8月25日に住信SBIネット銀行および静岡銀行との業務提携ならびにSBIホールディングス、静岡銀行およびジャフコから10億円の資金調達に関する記者発表をさせて頂きました。 マネーフォワード、住信SBIネット銀行および静岡銀行との業務提携契約を締結 その中でも、特に当社が推進しようとしている戦略についての想いを書きたいと思います。 そもそもアカウントアグリゲーションとは? アカウントアグリゲーション(Account aggregation) とは、 インターネットバンキングなどに預金者が保有する、異なる金融機関の複数の口座の情報を、単一のコンピュータスクリーンに集約して表示するサービスの総称。 Wikipedia(アカウントアグリゲーション)より引用 Wikipediaの定義にもあるように、アカウントアグリゲーションとは異なる金融
日本年金機構は、年金情報を管理しているシステムに外部から不正アクセスがあり、年金加入者の氏名や基礎年金番号など、およそ125万件の情報が流出したとみられることが先月28日に分かったことを明らかにしました。日本年金機構の水島理事長は記者会見し、「125万件の個人情報が流出したことを深くおわび申し上げる。誠に申し訳ございません」と陳謝しました。 このうち、「年金加入者の氏名と基礎年金番号の2つ」が漏れたのがおよそ3万1000件、「氏名と基礎年金番号、生年月日の3つ」が漏れたのがおよそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所の4つ」が漏れたのがおよそ5万2000件で、合わせておよそ125万件となっています。日本年金機構では、今のところ、社会保険を支払うためのシステムへの不正アクセスは確認されていないとしています。 日本年金機構の水島理事長は厚生労働省で記者会見し、「125万
近年、広く使われているソフトウエアやWebサイトなどに相次いで脆弱性が見つかり、サイバー攻撃に悪用されている。このため、脆弱性の有無を診断して適切に対応できる技術者のニーズは高まる一方だ。 そこで、セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。将来的には、脆弱性診断士の資格化も目指す。取り組みの第一弾が、2014年12月末に公開した「脆弱性診断士(Webアプリケーション)スキルマップ」である(図1)。 一般的に、脆弱性を診断する技術者には多岐にわたるスキルが要求される。ソフトウエアやネットワークに関する基本的な知識を備えているのはもちろん、脆弱性診断ツールの使用方法や、最新の攻撃手法などにも精通している必要がある。 だが、脆弱性診断に携わる技術者が保有すべきスキルについて、ベンダーなどの関係者の間でコンセンサス
2015年もひきつづき「これまでの攻撃の洗練」が継続される~基本行動を忘れずに ところどころで大きなブレイクスルーはあるものの、防御困難な攻撃方法が何の前触れもなくバンバン使われたりするようなことはありませんでした。しかし、攻撃手法の改善や、これまでの攻撃手法をより洗練されたものにするという試みは、普通のユーザの目には見えない形で多く試みられています。特にこの数年は、Web改ざん時に仕掛けられるExploit Kitがより洗練されてきており、狙われる脆弱性もそのときの流行りに応じたものとなっています。 とは言え、洗練された攻撃に対抗する手段の1つは「当たり前の行動」です。パッチを適用したりウィルススキャナを有効にするというのは当たり前の行動ですが、それ以外でもたとえば何かおかしいと思ったら、すぐに然るべきところに問い合わせるというのも当たり前の行動にあたります。 少し難しい言葉を使うと、こ
インフラストラクチャー部の星 (@kani_b) です。 Heartbleed, ShellShock, XSA-108 (a.k.a. EC2 インスタンス再起動祭), POODLE など、今年は話題となるような脆弱性が各地を襲う一年でした。 脆弱性への対応に加え、いわゆるセキュリティ対策に日頃頭を悩ませている方も多いのではないかと思います。 一言にセキュリティ対策と言っても、実際やるべきことは多岐にわたります。今回はそのうちの一つとして、OSSEC という IDS (侵入検知システム) を使ったセキュリティログ監視についてご紹介します。 OSSEC とは OSSEC は、いわゆるホスト型の IDS (HIDS) です。以下のような機能を持っています。 ログ解析、監視 ファイルの変更監視 rootkit の検知 それらをトリガにしたプログラムの自動実行 (Active Response)
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた年にすることができました。 CIは広く普及し始めています。基本的にはビルドやユニットテストを頻繁に実行することで、デプロイ時の心理的、または実際の負荷を下げるために利用されていると思います。 VAddyはCIのサイクルの中でSQLインジェクションやクロスサイトスクリプティングのような、いわゆるウェブアプリケーションの脆弱性診断を行うためのサービスです。 私がVAddyのアイデア(CIに組み込むため
この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 本稿では、当時のPHPの状況を振り返る手段として、この後PHPのセキュリティ機能がどのように変化
サイバー攻撃への対応に国が責務を持つとした「サイバーセキュリティ基本法」が11月6日、衆院本会議で可決・成立した。 同法では国に対し「サイバーセキュリティに関する総合的な施策を策定し、および実施する責務を有する」と規定。国がサイバー攻撃の監視と分析を行い、関係省庁には攻撃について情報提供を義務付ける。また、官房長官をトップとしたサイバーセキュリティ戦略本部を設置し、セキュリティ戦略を策定する。 民間のIT関連事業者に対しても、セキュリティの確保と、国や自治体のセキュリティ関連施策に協力するとの努力義務を盛り込んだ。 法案は6月の通常国会で衆院で可決されていたが、参院で継続審議に。今国会では参院先議となり、参院を通過で後で衆院で審議していた。
Tweet 先週公開された bash の脆弱性について、管理されているサーバーへの影響を気にされている方が多いと思います。そこで緊急コラムとして、影響範囲の調査方法について紹介します。 bash は非常に多くの場面で使用されているプログラムであるため、 bash を呼び出す可能性のあるプログラムや場面をソースコード解析により列挙することは困難です。また、設定ファイルでの指定内容などにも依存する可能性もあり、文章でのお問合せにより漏れの無い的確な判断ができるかどうか不安が残ります。 Red Hat Enterprise Linux ( RHEL )には SELinux というセキュリティを強化するための機能が搭載されています。しかし、脆弱性の問題に限らず、システムのトラブル予防と適切な対処を行う上では、対象となるシステムの設定や挙動を事前に把握しておくことが重要であると考えます。 今回の脆弱
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
AWS アカウントを複数人で使ってシステムを作っていく時に、 セキュリティの面からやるべきことについて。 主に Web アプリケーションを想定した内容ですが、特に書いてあることは特殊ではないと思います。 各所の Blog にも記事書かれてますが思っていることをつらつらと書いてみます。 なんか変なこと言ってたらご指摘ください。 参考: AWSのセキュリティが気になるなら読んでおくべきAWSセキュリティのベストプラクティス - yoshidashingo はじめに (AWS アカウントと IAM ユーザ) 前提というか用語の話。 AWS アカウント アカウント作成時のメールアドレス、パスワードでログインして使うユーザ IAM ユーザ AWS アカウントから発行できる、ユーザ名とパスワードでログインして使うユーザ AWS アカウント周り AWS アカウント (ルートユーザ) で作業できないように
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く