CODE BLUE 2015 レポート - Cybozu Inside Out | サイボウズエンジニアのブログ
サイボウズ・ラボの光成です。 私は10月28, 29日に東京の新宿ベルサール新宿グランドで開催された情報セキュリティ国際会議CODE BLUEに参加、発表してきました。 参加者が600人を超える大規模な会議でした。 ここでは参加した中からいくつかの講演について軽くご紹介いたします。なお、詳細な資料は後日公開されるとのことです。 初日の講演から フローリアン・グルーノさんは「医療機器のセキュリティ」というタイトルで、病院で使われる医療機器の問題について講演されました。 医療機器は医師も患者も信頼しているにもかかわらず、セキュリティの観点を考慮していない製品が多く、今後は対策が必要だろうとのことです。 実際に、ファイアウォールが設定されていない、認証プロトコルが無い、古いOSを使っていて攻撃するとあっさりクラッシュするなどの例が紹介されました。 西村宗晃さんは「Firefox の倒し方」という
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
2. • Excelのバグによるパスワードを回避した解読 • 2015/10/13のWindows Updateで改修済み(MS15-110) • パスワード暗号化フォーマットの強度比較 • バグをみつけたきっかけ • バックドア対策の信頼できるフォーマットの提案 概略 2/54 3. • サイボウズ・ラボで クラウドセキュリティ関連のR&D • 『クラウドを支えるこれからの暗号技術』(2015) • 内容 : 前方秘匿性, 楕円曲線暗号, IDベース暗号, 属性ベース暗号, 関数型暗号, 準同型暗号, ゼロ知識証明など • http://herumi.github.io/ango/ • @ITで「クラウド時代の暗号化技術論」連載 • ペアリング暗号の世界最速実装(2013) • https://github.com/herumi/ate-pairing • Software implem
SecurityCamp2015「バグハンティング入門」
セキュリティ・キャンプ全国大会2015の講義「バグハンティング入門」で使用したスライドです。Read less
医療セキュリティハッカソン神戸に協賛しました - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは。Cy-SIRT 事務局の伊藤です。 2015 年 3 月 7 ~ 8 日に神戸デジタル・ラボ様にて開催された 医療セキュリティハッカソン神戸 に 審査員として参加いたしました。 今日は審査員としての仕事について、簡単にご報告をいたします。 医療セキュリティハッカソン 2007 年にアメリカで始まった Health 2.0 をベースにしたコンテストです。 用意された医療系ソフトウェアに存在するセキュリティ上の弱点を探す「バグハンティング」の技術を競います。 阪神大震災 20 年の節目である本年、同じ震災経験地である福島の株式会社 Eye's Japan 様と 株式会社神戸デジタル・ラボ様が共同開催されました。 サイボウズは神戸にて開催されたコンテストに協賛しています。 ボウズマン@神戸デジタル・ラボ 様 コンテストにおける脆弱性情報ハンドリング サイボウズでは昨年 cybozu.
Masato Kinugawa Security Blog: 第4期サイボウズラボユース成果報告会の発表資料を公開
実は昨年の夏、サイボウズラボユースという制度を利用させていただいて、3週間程度サイボウズラボのオフィスに出社していました。 サイボウズ・ラボ:人材募集:サイボウズ・ラボユース http://labs.cybozu.co.jp/recruit/youth.html 何をしていたかといいますと、@herumi さんや @takesako さんにご指導頂きながら、アセンブリ言語をずっと読んでいました。 XSSをはじめとするWebアプリケーションの脆弱性はそれなりに知っているつもりですが、バッファオーバーフローをはじめとするメモリ関連のバグは全然理解していませんでした。 これまでも、アプリケーションが偶然クラッシュするたび、そういった方面への関心がでてきて、アセンブリを読めば何かわかるのかなあと思って、読んではみるけど、無慈悲なバイナリの羅列に圧倒されるということを繰り返してきました。 ただ、アラ
「サイボウズ式」CSIRTの構築と機能を維持するポイントは何か?
「サイボウズ式」CSIRTの構築と機能を維持するポイントは何か?:セキュリティインシデントに立ち向かう「CSIRT」(1/2 ページ) クラウドやグループウェアでおなじみのサイボウズだが、CSIRTや脆弱性対策など様々な活動も積極的に展開している。CSIRTの構築やセキュリティインシデント対応での経験、機能する体制を維持していくためのヒントを聞いた。 小さく始めてコツコツと 企業や組織で発生した様々なセキュリティインシデントの対応にあたる「CSIRT」を構築する動きが広がりつつある。その形態や構築の仕方、活動内容は組織の環境や状況に応じて様々だが、重要なポイントはCSIRTとしての機能を適切に維持していくことにあるようだ。 クラウドサービスやグループウェアなどを手掛けるサイボウズは、脆弱性情報への報奨金制度をはじめセキュリティ対策にも積極的に取り組む。同社は2011年に「Cy-SIRT」を
サイボウズが脆弱性報奨金制度を続ける理由
サイボウズは1月28日に、自社製品での「脆弱性報奨金制度」ついて説明会を開いた。 脆弱性報奨金制度、いわゆるバグバウンティプログラム(BBP)は一般ユーザー(バグハンター)からの脆弱性の報告に対して、一定の報奨金を出す制度のこと。英語圏ではGoogleやMicrosoft・Facebookなどが実施しているが、同社によると国内ではサイボウズのみが現在実施しているものだ。 サイボウズの報奨金制度を担当するCy-SIRTの伊藤彰嗣氏が、2014年の実績と2月2日からスタートしている2015年の制度変更について説明した。 220万円を獲得したバグハンターも。総額で約700万円の報奨金が発生 サイボウズの脆弱性報奨金制度は、2013年の試行期間を経て、2014年6月から12月まで6ヶ月間行われた。サイボウズの各種クラウドサービス、各種製品を対象としたもので、共通脆弱性評価システムCVSS(Comm
「ハッカー」技術競うコンテスト NHKニュース
国や企業などを狙ったサイバー攻撃に対処できる人材を育てようとコンピューターへの侵入などといった「ハッカー」の技術を競うコンテストが東京で行われています。 独立行政法人の情報処理推進機構によりますと、国内ではサイバー攻撃から国や企業などの情報を守るための人材はおよそ8万人が不足しているとみられるということで、人材育成が緊急の課題となっています。 このコンテストは情報セキュリティ関連の企業や研究者などで作る実行委員会が開いたもので、日本やアメリカ、ポーランドなど7つの国と地域から予選を勝ち抜いた24チームが参加しました。 競技では、4人一組のチームでサーバーを攻撃して侵入したり、逆に外部の攻撃から防御したりする技術を競い合い、参加者たちはアイデアを出し合いながら戦略を練っていました。 実行委員会の竹迫良範委員長は「競技を通して今後、何を学ばなければならないのかを感じてもらい、それぞれの技術力の
【20-G-3】 cybozu.comバグハンター合宿の裏舞台~Webセキュリティ最前線の攻防戦~ | Developers Summit 2015 #devsumi
【20-G-3】 cybozu.comバグハンター合宿の裏舞台~Webセキュリティ最前線の攻防戦~ サイボウズでは2014年6月より脆弱性報奨金制度を開始しました。kintoneをはじめとするサイボウズのクラウド製品上の脆弱性を発見し報告いただいた方に1件あたり最大100万円の報奨金をお支払いする日本ではまだ珍しい制度です。この制度のベンチマークのため、日本で有名な18名のプロのバグハンターの方をお招きし「cybozu.comバグハンター合宿」を開催したところ、1泊2日で53件の脆弱性が報告されました。この数字は果たして大きいのか?小さいのか?サイボウズ製品のセキュリティを高める新しい試みについて舞台裏をご紹介します。 竹迫 良範〔サイボウズ・ラボ〕 サイボウズ・ラボ株式会社 SECCON実行委員長 OWASP Japan Advisory board 広島市立大学在学中に日本語検索エンジ
サイボウズグループ | ニュース | 脆弱性報奨金制度2015年スタート
2015.01.27 ゼロデイ攻撃を防ぐ「脆弱性報奨金制度」 2月2日より受付開始 特定の攻撃に関する脆弱性の報奨金を増額し、支払いサイクルを改訂 サイボウズ株式会社 Tweet 150127.pdf(182KB) サイボウズ株式会社 (本社: 東京都文京区、代表取締役社長:青野慶久) は、2015年2月2日(月)より「脆弱性報奨金制度」を昨年に引き続き実施いたします。これまでご協力いただいた皆様に感謝するとともに、2014年の結果と2015年の改訂点をご報告いたします。 ■2014年の結果 脆弱性報奨金制度は、社内のセキュリティ・エンジニアの育成や第三者機関による定期的な検証に加え、「外部の目」の協力を得て脆弱性を発見する取り組みを継続的に行うことで、ゼロデイ攻撃の可能性を未然に防ぎ、弊社製品を安心、安全に利用できることを目的としたものです。2014年は 95 名の方にご協力いただき、以
求むバグ・ハンター…プログラム欠陥発見人 : IT&メディア : 読売新聞(YOMIURI ONLINE)
プログラムの欠陥(バグ)を見つけてくれたら報奨金払います――。IT企業が始めたそんな試みが注目されている。バグなどが原因で生じるセキュリティーの穴(脆弱性(ぜいじゃく))はサイバー攻撃の“突破口”となりやすく、その情報は攻撃者の間で高値で売買されている。そこで、攻撃者の手に渡る前に外部の目を借りて探しだし、修正しようというのだ。脆弱性が表面化することを嫌い、探す行為を犯罪視さえしてきた日本の風潮に、一石を投じられるだろうか。(編集委員 若江雅子) 外部通報に報奨金も 「攻撃者が先に穴を見つけるか、我々が先に見つけて塞ぐか。その攻防に外部の『目』を借りたいということです」 東京のソフト開発会社・サイボウズの伊藤彰嗣さん(34)は、今年6月から始めた報奨金制度をこう説明する。自社の製品やサービスの脆弱性を見つけてくれた人に、その危険度などに応じて最大100万円の謝礼を提供する。これまで技術者や
安全性への取り組み| サイボウズのクラウド基盤サイト
安全性への取り組み サイボウズでは お客様のセキュリティを守るため 万全のチーム体制で取り組んでいます。
サイボウズが実施した「バグハンター合宿」、2日で53件の成果
リリース済みアプリやサービスのセキュリティを高めるための一つの手法として、「脆弱性発見者に対する報奨金制度」というものがある。海外では定着しつつあり、報奨金を専門に狙う「プロのバグハンター」まで登場しているほどだ。最近では、その有効性を認めて米グーグルや米フェイスブック、米マイクロソフトなど世界的なIT企業も続々と同制度を採用し始めている(関連記事:Google、オープンソースソフトの脆弱性パッチに報奨金を支払うプログラム、FacebookとMicrosoft、脆弱性発見の報奨金プログラムを発足)。 一方、国内に目を向けると、報奨金制度を採用するベンダーはまだほとんどない。そんな状況の中、報奨金制度をはじめとする“外部の目や頭脳を借りる”形での脆弱性発見の取り組みを積極的に推進しているのがサイボウズだ。 2日間の合宿で集中的に脆弱性を洗い出す 同社はこれまでも外部の解析者に検証環境を無償で
サイボウズ、社内CSIRT「「Cy-SIRT」の活動や脆弱性報奨金制度を説明
サイボウズは7月11日、cybozu.comのセキュリティに関する記者説明会を開催。同社が3年前に設立した社内のCSIRT(Computer Security Incident Response Team)「Cy-SIRT」の活動について説明した。 運用本部長 山本泰宇氏は、「セキュリティ対策では、セキュリティを正しく理解することが重要だ」と語り、正しいセキュリティ対策とは、構成要素を正しく理解する、各構成要素について分析する、インシデント発生を前提に備えるの3つだと説明した。 サイボウズではセキュリティ対策のため、セキュリティ専門の委員会「CSM」、インシデント対応組織「Cy-SIRT」、運用部門を分離した「運用本部」を設立しているという。
cybozu.comバグハンター合宿開催
サイボウズ株式会社は、2014年8月6日(水)、7日(木)の2日間、セキュリティ脆弱性発見に興味がある方を対象とした「cybozu.comバグハンター合宿」を開催します。 サイボウズが2013年11月にオンラインで実施した脆弱性発見コンテスト「cybozu.com Security Challenge」には、70名以上の方にご参加いただき20件の脆弱性をご報告いただきました。コンテストにご参加いただいた方々の「オフラインでも実施してほしい」というご要望を受け、8月6日(水)~7日(木)1泊2日の合宿形式で実施することにしました。 開催に当たってはSECCON実行委員会と協力し、弊社サービスの脆弱性発見だけにとどまらず、ご参加いただく皆様の情報交換の場となるよう、ライトニングトークもご用意いたします。皆様との情報交換を通じて、日本国内のバウンティハンターの技術力向上とコミュニティ結成を図りま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サイボウズが脆弱性報奨金制度のルール改定、OSSコミュニティへの寄付が可能に
New community features for Google Chat and an update on Currents
http://bogus.jp/wp/?p=1733
サイボウズの「脆弱性報奨金制度」は2015年も続行、一部条件の緩和も
cybozu.comバグハンター合宿
