Evident.ioでAWS環境のセキュリティ診断をしてみた | DevelopersIO
こんにちは、佐伯です。 今回はEvident.ioを利用して、AWS環境のセキュリティ診断を実施してみました。 Evident.ioとは Evident.ioはAWSやAzureなどのクラウドサービスにおける、セキュリティリスクやコンプライアンス要件を満たしているかなどを継続的にモニタリングしてくれるEvident Security Platform(以下、ESP)というサービスを提供しています。特徴として組織、サブ組織、チームといった形でユーザーと外部アカウント(AWS or Azure)をグルーピングすることができ、組織で管理しているAWSアカウントやAzureアカウントのセキュリティリスクを一元的に管理することができます。 やってみた モニタリング対象のAWSアカウントの登録からやってみました。 外部アカウントの登録 外部アカウントが登録されていない場合、登録手順が表示されるので手順
QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。 このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。 これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。 このため、金融機関などにつながると偽装したQRコードが表
システムソフトウェアに対する攻撃の歴史と傾向 - 高度標的型攻撃や国家に支援された攻撃の仕組み - - るくすの日記 ~ Out_Of_Range ~
A History of system-level offensive security researches: How is your system compromised by nation state hacking, APT attack はじめに 企業や個人に対するサイバー攻撃の頻度は年々増加の一途を辿っているが、これらはskiddyによる悪戯程度の物から、企業を標的とした高度な標的型攻撃、あるいは政府による諜報活動に至るまで多岐にわたっている。 特に大規模な組織や政府による綿密に練られたサイバー攻撃は、確実に目的を果たすために高度な手段が講じられる事が多い。 本記事では高度標的型攻撃や政府による諜報活動で用いられる手法の一つとして、"システムソフトウェアに対する攻撃"について紹介する。 これはオペレーティングシステム (OS) や仮想マシン、ファームウェアといった基盤システムを
最高のセキュリティとは?メルカリを守るエンジニアの本音 | mercan (メルカン)
フリマアプリ「メルカリ」の安全性向上のために、セキュリティチームはプロダクト開発における技術的サポートだけでなく、社内メンバーのトレーニングや業務支援などを日々行っています。 そこで今回のメルカンは、2018年1月~3月期のAll for One賞を受賞した、同チームの八木橋優さん(@yagihashoo)にインタビュー。透明性の高い環境にいるからこそ直面する、セキュリティエンジニア特有の悩みとは…? 八木橋優(Yu Yagihashi) 大学卒業後、大手セキュリティベンダーに入社。セキュリティコンサルタントとして主に金融業界の技術的課題解決に携わる。2018年1月にメルカリへジョインし、メルカリ/メルペイ/ソウゾウの多岐にわたるセキュリティエンジニアリングに従事。 オープンすぎるメルカリにカルチャーショック ーまずはAll for One賞、おめでとうございます! 八木橋さんがメルカリへ
Facebookのバグで1400万人が意図せず投稿を「全員に公開」 被害者に通知
Facebookはこの期間中の対象となるすべての投稿(ユーザーが「公開」を意図していたものも含む)の共有設定をプライベートに変更し、ユーザーに以下のような通知を送った。 通知の内容は「5月18日~27日の間、あなたが作成した投稿が自動的に公開設定になる技術的なエラーを最近発見しました。このミスについて謝罪します。この問題は修正済みで、この期間のあなたのすべての投稿の共有範囲を、念のためあなたが以前設定したものに変えました。「アクティビティログ」で投稿を確認できます」となっている。 Facebookに対しては、Cambridge Analyticaスキャンダルやユーザーに無断で端末メーカーに個人情報へのアクセスを許可していた問題で批判が高まっている。 関連記事 GoogleとFacebook、GDPR施行初日にさっそく提訴される EUがGDPR(一般データ保護規則)を施行した5月25日、プラ
PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで
セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻撃「ブルーノート」に関して注意を呼びかけた。PCのスピーカやPCの近くに置かれたスピーカからある種の音を流すだけで、PCを使用不能な状態に陥れられるという。なお、攻撃を受けるのはハードディスクなので、SSDのみを搭載しているPCはクラッシュしない。 この攻撃は、ミシガン大学と浙江大学の研究チームがデモンストレーションしたもの。音楽である音程を意味する用語“ブルーノート”と、Windowsのクラッシュ画面“ブルースクリーン”から、ブルーノート攻撃と呼ばれるようだ。 研究チームによると、音の振動でハードディスクの読み書きヘッドとプラッターがそれぞれ振動し、振幅が限界を超えるとハードディスクそのものが損傷したり、ソフトウェアが誤作動したりして、ファイルシステムが破壊されクラッシュやリブートに至るという。攻撃を実行するにあ
指紋認証を悪用した悪質広告が話題に 広告タップ → 指紋認証起動 → 触ってしまうと週5500円の定期購入発生
スマートフォンの指紋認証を悪用した、悪質な広告がTwitterで確認され、話題になっています。投稿者によると、広告をタップし、ホームボタンに触れただけで指紋認証が行われ、5500円のアプリを購入したことになってしまったとのこと。しかもアプリは1週間ごとの継続課金になっており、放置しておけば毎週ごとに5500円が請求され続ける仕組みになっていたようです。 画像提供:えぴたん(@epitan25)さん 問題のアプリは「Dora - Photo Editor」というアプリとみられています。投稿者によると、広告をタップしたところすぐに指紋認証画面が立ち上がり、スクリーンショットを撮るためにホームボタンに触れたところ、すぐに課金完了になってしまったとのこと。編集部ではこの広告を発見することができませんでしたが、投稿者はTwitterで1回、Instagramで10回程度確認したといいます。 【訂正:
DNSトンネリングの手法 / A technique of DNS tunneling (#ssmjp)
2018/05 の #ssmjp で発表した時の資料。 @shutingrz
nginx で EU からのアクセスを拒否する - えいのうにっき
「あ、EUからのアクセスを拒否したいな......」と思うこと、ありますよね。私も今日、そう思いました。 私は趣味と実益を兼ねて(いるつもり)、いくつかのしょうもないWebサービスを個人で運用してるのですが、そこに対するEUからのアクセスを遮断したいと思い、それを nginx で対応してみたので、そのメモです。 手順 基本的にはこちら↓の知見の固まりを参考文献としています。 inaba-serverdesign.jp EU加盟国は、外務省のページ(EU加盟国と地図 第5次拡大|外務省)によると以下の28カ国。 アイルランド イタリア 英国 エストニア オーストリア オランダ キプロス ギリシャ クロアチア スウェーデン スペイン スロバキア スロベニア チェコ デンマーク ドイツ(加盟時西ドイツ) ハンガリー フィンランド フランス ブルガリア ベルギー ポーランド ポルトガル マルタ ラ
WebサイトのGDPR対応用パッケージを作ったので、GDPR準拠のランディングページを作ってみた | DevelopersIO
GDPRの施行が迫る中、いくつかの著名サービスがGDPRの趣旨を正しくとらえずに回避する手法で不誠実に対応していると批判されています。 例えばTwitterは、広くソーシャルログインを提供しているにも関わらずユーザーのローカルストレージの使用に選択権を与えず、複雑なプライバシーポリシー文書とともに「嫌なら見るな」「見ているということは合意したことだ」という旧態然とした運用を行なっているためこの批判を浴びています。 ドイツおよびヨーロッパのデータ保護やセキュリティ標準を多く作り出してきた DSK: Datenschutzkonferenz は、今年4月にWebトラッキングはオプトアウトではなく明確にオプトインで実装せよと声明を出しています。 9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Track
無料で脆弱性検査!Dockerfileに4行追加で導入できるmicroscannerを試してみた
microscannerは、CVEベースでDockerイメージの脆弱性検査をするツールです。簡単に導入できかつ有用なので、導入方法と利用上の注意事項などをまとめました。 先日レポートした「Docker漬けの一日を共に〜Docker Meetup Tokyo #23」は、情報量がてんこ盛りで、学び多くて楽しくてワッセロイだったんですが、その中で、とく(@CS_Toku)さんがLT発表されていた「KubeCon報告とmicroscanner試してみた」のmicroscannerが、面白そうだったので早速触ってみました。 Dockerfileに4行追加するだけで、CVEベースの脆弱性検査が無料で利用でき、既存のイメージビルドに組むこむのもお手軽そうなので、これからコンテナ導入しようと思っている人も、既に本番でガンガンコンテナ使っている人も、一度導入を検討してみてはいかがでしょうか。 __ (祭)
キャッシュレス化どころじゃない? カード加盟店に迫る決済停止の悪夢
『2018年○月○日に携帯電話(フィーチャーフォン)向けサイトでのクレジットカード決済を廃止します』――。 2018年初め頃から、このようなメールを登録済みのEC(電子商取引)サイトなどから受け取った人は少なくないだろう。「スマートフォンが主流になって、ガラケー(フィーチャーフォン)の利用者が激減したから当然だよな」と納得した人もいるかもしれない。 だが本当の理由は、携帯電話向けEC市場の縮小ではない。法制度への対応である。実際に「割賦販売法の改正に基づくクレジットカード取引のセキュリティ強化のため」と、理由を明記しているECサイトもある。 割賦販売法(割販法)はクレジット決済を規制する法律であり、8年半ぶりの改正法が2018年6月1日に施行される。改正法の主眼の一つが、今も頻発するカード情報の漏えいやカード加盟店での不正使用を防ぐことだ。 改正法の実務上の指針である「実行計画」(クレジッ
EU一般データ保護規則(GDPR)への対応に向けたやるべき事まとめ – 週休7日で働きたい
EUの個人情報保護に関する新しい法律(General Data Protection Regulation)が2018年5月25日から施行される。EUの居住者に対してサービスを提供していて個人情報を取り扱っている業者は、たとえ個人であろうとも遵守義務が課せられる。 最近多くのサービスがプライバシーポリシーの改定を行っているのはそのためである。個人で作っている自分のサービスにもEUのユーザが沢山いるので、そろそろ対応しなければならない(遅い)。 今回はEUの法律によるものだが、内容は至極真っ当な、客観的に見れば当たり前のルールだ。将来的には事実上のデファクトとなり、アメリカや日本もこの法律に倣うのは時間の問題だろう。だから「日本人向けのサービスだから大丈夫」とほったらかしにしている業者は後々痛い目に遭うだろう。 Twitter社がパスワードをログに記録していた件は記憶に新しいが、今これが公に
CDNを悪用したDomain Fronting(ドメイン・フロンティング)とは
今回は、標的型攻撃で実際に使われた、Domain Fronting(ドメイン・フロンティング)というテクニックについて解説します。 ネットワークの監視とバックドアの検出 攻撃者は通常、ターゲットのネットワークに侵入したあと、何らかの方法でバックドアを設置し、ネットワークへの継続的な足がかりを作ります。そこで、最近では高度なファイアウォールやUTM機器などを用いてネットワークを監視している組織も少なくありません。これらの組織では、組織内のネットワークからインターネットに出て行く不審な通信を監視することで、マルウエアのコネクトバック(コールバック)を検知しています。最近セキュリティ企業のFireEyeが報告した事例では、攻撃者は匿名通信システムTorを介してターゲットのシステムに仕込んだバックドアと通信していました。もしネットワークが監視されていれば、このような通信は不審なトラフィックとして検
長くて覚えやすくて複雑なパスワードとemojiの話
すみだセキュリティ勉強会2018その1での発表資料です。 http://ozuma.sakura.ne.jp/sumida/2018/03/22/38/
量子コンピューターでも解けない 新暗号技術開発 NTT | NHKニュース
あらゆる通信の分野で暗号の技術は不可欠なものとなっていますが、桁違いの計算能力がある量子コンピューターが完成すれば、現在の暗号は解かれてしまうと指摘されています。これに対して、NTTは、量子コンピューターでも解けない次世代の暗号の実現に向けた新たな技術を開発しました。 特に心配されているのが、現在の暗号が抱える弱点です。この弱点は、暗号化された情報をわざと一部書き換えたうえで暗号を解く操作を大量に繰り返すと、得られた結果の規則性から、どのように暗号化したかが類推できるおそれがあるというものです。 これに対して、NTTは、こうした操作が行われた場合に意味の無い数字を示す新たなプログラムを開発しました。こうすることで、たとえ量子コンピューターでも規則性を読み取ることは難しいということです。 しかも、このプログラムは現在のパソコンや携帯端末でも動かすことができ、次世代の暗号の実用化に一歩近づいた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フェイスブックとグーグルは、データ保護規制「GDPR」の可能性を“潰そう”としている
GDPRとは? Web担当者やWebアナリストはどう対処すればいい? | 知っておきたい法律関係
セキュリティログ分析基盤の構築 on AWS - Speaker Deck
バグハンターが見てきたBug Bountyの7年 / LINE Developer Meetup #34 Security Bug Bounty
