GitHub - deepfence/ThreatMapper: Open Source Cloud Native Application Protection Platform (CNAPP)You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
プロンプトインジェクション2.0 : 進化する防御機構とその回避手法
HackFes. 2025「プロンプトインジェクション2.0 : 進化する防御機構とその回避手法」の発表資料です。
(HackFes)米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
2025/07/19 HackFesでの発表資料です。 https://hackfes2025.hacker.or.jp/ #hackfes
GITHUB_TOKEN のアクセス許可の制御 - GitHub Docs
概要 permissions を使用して GITHUB_TOKEN に付与された既定のアクセス許可を変更し、必要に応じてアクセスを追加または削除することで、必要最小限のアクセスのみを許可することができます。 詳しくは、「自動トークン認証」をご覧ください。 permissions は、最上位のキーとして、ワークフロー内のすべてのジョブに適用するか、または特定のジョブ内で使用できます。 特定のジョブ内に permissions キーを追加すると、GITHUB_TOKEN を使用するそのジョブ内のすべてのアクションと実行コマンドが、指定したアクセス権を取得します。 詳細については、「jobs.<job_id>.permissions」を参照してください。 以下の表に示すように、使用可能なアクセス許可ごとに、read (該当する場合)、write、または none のいずれかのアクセス レベルを割
自動脆弱性診断ツールの導入と効率化の取り組み - Cybozu Inside Out | サイボウズエンジニアのブログ
はじめに こんにちは、PSIRTの田口です。 今回は、自動脆弱性診断ツール「AeyeScan」の導入とそれを活用するための取り組みによってサイボウズの脆弱性診断がどのように変わったのかをご紹介します。 背景となる課題、導入に向けた検討、そして実際の運用に至るまでの取り組みををまとめました。 サイボウズの脆弱性検出 まず、サイボウズが日頃どのように脆弱性検出に取り組んでいるかをご紹介します。 サイボウズが開発・提供する各製品に対して、PSIRTのテスターが製品ごとの特性に応じた脆弱性診断を内製で実施しています。 診断の実施タイミングや規模は製品ごとに異なりますが、各製品の開発体制やリリースプロセスに応じて柔軟に方針を定め、開発チームと連携しながら対応しています。 また、外部ベンダーによる脆弱性診断も定期的に実施しており、内製できていない領域も含め幅広い対象で診断を実施しています。 他にもサイ
IIJが受けた「Living off the Land攻撃」、河野前デジタル相が24年8月に危険性を指摘
インターネットイニシアティブ(IIJ)が2025年4月15日に同社のメールセキュリティーサービス「IIJセキュアMXサービス」から400万件超のアカウント情報が漏洩した可能性があると発表。同社の谷脇康彦社長は2025年5月13日、決算会見の冒頭で漏洩事故について謝罪し、サービスが受けた攻撃は「Living off the Land(LotL)攻撃」だったことを明らかにした。このLotL攻撃の危険性について、デジタル庁やJPCERTコーディネーションセンター(JPCERT/CC)は2024年6月に注意喚起を出していた。 IIJは、IIJセキュアMXサービスで利用するクオリティアのメールシステム「Active! mail」のゼロデイ脆弱性を悪用されて外部から攻撃を受けた。攻撃が始まったのは2024年8月3日で、同社が攻撃を受けたと認識したのは2025年4月10日だった。同社の谷脇社長は会見で、
能動的サイバー防御法が成立 基幹インフラへの攻撃に対応 | 毎日新聞
「能動的サイバー防御」導入に向けた関連法が賛成多数で可決、成立した参院本会議=国会内で2025年5月16日午後0時40分、平田明浩撮影 サイバー攻撃を未然に防ぐ「能動的サイバー防御」導入に向けた関連法は16日の参院本会議で、自民、公明両党や立憲民主党、日本維新の会、国民民主党などの賛成多数で可決、成立した。政府が平時から通信情報を監視し、攻撃元サーバーに侵入、無害化することが可能となる。2027年までの本格運用を目指す。 林芳正官房長官は16日の記者会見で「基幹インフラ事業者からのインシデント報告の受領や通信情報の収集・分析が可能となり、より早期かつ効果的にサイバー攻撃を把握して対応することができるようになる」と述べ、関連法の意義を強調した。 政府は外国・国内間の「外内・内外通信」と、日本経由の外国間の「外外通信」を対象に、インターネット上の住所に当たるIPアドレスなどを収集・分析。電気や
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 本稿では、当時のPHPの状況を振り返る手段として、この後PHPのセキュリティ機能がどのように変化
セキュリティインシデント発生!!復旧までに何してるの?インシデントレスポンス対応者のリアルインタビュー | サイバーセキュリティラボ
セキュリティ事故(インシデント)が毎日のようにニューストピックにあがる時代になりました。インシデントは、いつ、どの組織で発生してもおかしくありません。その時、迅速かつ的確な対応が求められますが、実際に復旧作業にあたる担当者は、どのような状況下で、何を考え、どう動いているのでしょうか? 今回は、インシデントレスポンスのプロ集団であるNTTセキュリティ・ジャパン株式会社で実際に実務にあたる濱崎様にインタビューをいたしました。「インシデント発生の一報を受けてから、完全復旧を宣言するまで、一体何をしているのか?」その疑問に、経験者の視点から具体的にお答えいただきました。知られざるインシデント対応の裏側を、ぜひご覧ください。
サイバーセキュリティサーベイ2025
生成AIの登場で、サイバー攻撃は一段と巧妙化しています。特に、生成AIを使ったランサムウェア攻撃やAIが翻訳した自然な日本語が悪用される「ビジネスメール詐欺」の被害が増えています。ランサムウェアの身代金やサイバー攻撃の被害にあった企業の経済的な損失も深刻な問題になっており、サイバーセキュリティへの取組みは企業にとって重要な経営課題となっています。 また、OT(Operational Technology:制御システム)セキュリティ、製品セキュリティ、AIセキュリティに関しては、海外での法整備が進み、日本企業においても海外の規制を考慮した対応が必須となりつつあります。 本レポートでは、2024年に実施したサイバーセキュリティに関する調査結果を基に、重要テーマについてトレンドと必要となる取組みをまとめています。今回で7回目となる「サイバーセキュリティサーベイ」は、KPMGコンサルティングが、サ
セキュリティインシデント対応机上演習教材 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
概要 近年、大企業のみならず中小企業においてもサイバー攻撃の脅威にさらされている状況です。組織においてセキュリティインシデントが発生した場合には、被害とその影響範囲を最小限に抑えて事業継続を確保する必要があります。その為には、予めの対応体制と手順を整備したうえで、実際にセキュリティインシデントが発生した場合を想定して演習しておくことが重要です。 こうした背景を踏まえ、IPAは中小企業を対象としたセキュリティインシデント対応机上演習を開催していますが、より多くの組織に机上演習を実施いただけるようにするため、演習教材と演習実施のためのマニュアルを公開することとしました。セキュリティ意識向上と対策強化にご活用ください。 教材について 本教材は、ランサムウェア感染のインシデントシナリオを使用して、インシデント対応の一連の流れを机上で演習する教材(パワーポイント)とその実施マニュアルです。 教材は一
30代エンジニアが考える、エンジニア生存戦略~~セキュリティを添えて~~
2025.03.22開催した[サイバーセキュリティ、失敗と後日談 Vol.01]での登壇資料です connpassページ:https://connpass.com/event/345194/
社内でCTFを開催してみた - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは。開発本部内でセキュリティ活動を行っているPSIRTです。PSIRTで初の社内CTF(Capture The Flag)を開催したので、本記事ではその開催準備の様子や開催中の様子を紹介します。 開催背景 2025年2月4日から6日にかけて、開発・運用系のメンバーが一同に集まる「開運冬まつり」が開催されました。このイベントは、部門やチーム、職能を超えて社員同士が交流し、新たな視点や刺激を得ることを目的としています。 昨年の開運冬まつりの様子は以下のブログを御覧ください。 blog.cybozu.io このイベントのコンテンツとして、PSIRT有志のメンバーで初の社内CTFを開催することにしました。 CTF開催のねらいは二つありました。 セキュリティを難しく遠い存在と感じているメンバーに、セキュリティを楽しみながら身近に感じてもらいたい CTFを通じて普段の開発や運用の中でもセキュリ
PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア
Last Updated on 2025-03-20 11:23 by TaTsu サイバーセキュリティ企業Bitdefenderの報告によると、脅威アクターがPHPの重大な脆弱性(CVE-2024-4577)を悪用して、暗号通貨マイナーやリモートアクセストロイの木馬(RAT)を配布する攻撃が急増している。 この脆弱性は、Windows系システム上でCGIモードで実行されているPHPに影響し、リモート攻撃者が任意のコードを実行することを可能にする。 この脆弱性は2024年6月7日に公開され、CVSS v3スコアは当初9.8(最大10点)と評価されたが、後に6.9に下方修正された。影響を受けるのはPHP 8.3.8未満、PHP 8.2.20未満、PHP 8.1.29未満のバージョンである。 攻撃は主に台湾(54.65%)、香港(27.06%)、ブラジル(16.39%)に集中しており、日本も1
セキュリティ人材の採用現場で起きている現実
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。 前回は、転職市場でのサイバーセキュリティのポジションや動向、セキュリティエンジニアのスキルやキャリアパスなど、筆者が重要だと思う点について述べた。この20年ほどのセキュリティ市場を見てきた筆者としては、この現状に対して思うところがたくさんあり、今回はセキュリティエンジニアの求人・採用の現場で起こっている実状を述べる。 サイバーセキュリティという分野自体は古くからある。だが、この市場は、重要なシステムや情報資産を守るために外部の脅威から隔絶する「境界防御」の思想の
人気のセキュリティエンジニア、希望者が誤解しがちなこと
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティのスキルを向上させていくための視点やヒントを提示する。 前回は、日本の転職市場におけるセキュリティのポジションや動向について述べた。今回は、近年すっかり人気職種になってしまったセキュリティエンジニアの現状について述べる。 改めて考えると、ほんの10年前まではセキュリティが人気の仕事になるということをほとんどの人が想像していなかっただろう。それが、現在ではIT業界の中でも指折りの人気となってしまった。 理由の一つは、サイバー攻撃による被害の報道だろう。現代はITが世の中に多くの恩恵をもたらしており、今や社会基盤と言って
高級ホテルの客室タブレットに潜む危険:他客室も操作、盗聴可能だった脆弱性を発見するまで - ラック・セキュリティごった煮ブログ
しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TryHackMe — Intro to Pipeline Automation Q&A
GitHub - kootenpv/gittyleaks: :droplet: Find sensitive information for a git repo
ハッキングの世界に迫る~攻撃者の思考で考えるセキュリティ~
