【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか？ 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途

2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン／シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元： SymantecGeoTrustRapidSSLThawte無効化スケジュール： 2018年3月15日ごろ： Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ： Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ： Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ： Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼

サイバー攻撃リアルタイム可視化ツールとは、世界中のどの場所でサイバー攻撃が起きているかをみることができるツールのことです。 サイバー世界での不正なアクセスや攻撃が世界中で増え続けている昨今ですが、実際どの国が、どこに攻撃をしているのか？普段の生活をしているとわからないですよね。 そんな情報を可視化できるリアルタイム可視化ツール。 下記にその代表的なものとして、世界中で発生している国家間のサイバー攻撃をリアルタイムで分析、解析したものを可視化できるツールを紹介いたします。 サイバー攻撃をリアルタイムに確認する理由 サイバー攻撃は、インターネット上の通信を利用して不正アクセスをしてくる脅威であるため、物的な破損等がほぼ発生しません。 そのため「サイバー攻撃」と言っても攻撃のイメージがしにくく、普段からセキュリティ関連の業務に従事している人でないと、その脅威を感じることがほとんどないのが現実です

本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日　CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない

総務省は13日、運営する統計サイト「e―Stat」が提供しているサービスの一つが不正アクセスを受け、最大で約2万3千人の利用登録者のメールアドレスや名前、勤務先などの個人情報が流出した恐れがあると発表した。個人情報の管理用のサーバーが直接被害を受けたわけでないため、総務省は「流出の可能性は低い」としているが、詳細を調べている。 サービスは、地図と人口などの統計情報を組み合わせて分析できる「地図による小地域分析（jSTAT　MAP）」。サイト構築に使われている「アパッチ・ストラッツ2」と呼ばれるソフトウエアの欠陥（脆弱性）を悪用されたという。

By Sean MacEntee 通信の内容を暗号化することでセキュアなインターネット通信を実現するHTTPSへの対応が全世界的に進められています。セキュリティ関連の専門家であるトロイ・ハント氏はこの状況について、変化の動きが急激に大きくなるティッピングポイントに達したと指摘しています。 Troy Hunt: HTTPS adoption has reached the tipping point https://www.troyhunt.com/https-adoption-has-reached-the-tipping-point/ ハント氏はまず、2016年10月にネットのトラフィックをモニタリングしているMozilla Telemetryにおいて、HTTPS経由で送信されたページリクエストが全体の50%を超えたことを挙げて潮目の変化を示しています。 Yesterday, for t

資生堂子会社「イプサ」が運営していた化粧品通販サイトの不正アクセス問題で2017年1月31日、新たな動きがあった。およそ2カ月前に公表した最大42万1313件の個人情報と最大5万6121件のクレジットカード情報の漏えいに加え、9699件のクレジットカード情報と150件の個人情報も流出していた可能性があると明らかにしたのだ。 合わせて、資生堂とイプサは、不正アクセスの経緯や原因、対策をまとめた調査報告書を公表した。本来は通販サイト内に蓄積しないはずのカード情報をサーバーに残していたことなど、セキュリティ対策の基本部分がおろそかだったことなどが明らかにした。報告書から分かる、経緯や問題点をみていこう。 攻撃を受けたサイトのサーバーは3台 今回攻撃を受けたイプサの通販サイト「イプサ公式オンラインショップ」は、2台のWebサーバーと1台のデータベース管理サーバーで運用していた。イプサがカード決済代

PHP勉強会#110での発表資料です。

銀河帝国CEO、シーヴ・パルパティーン皇帝は、汚職と内乱にまみれた銀河共和国と独立星系連合をまとめて帝国を成立させました（内乱の大半を画策していたのはダース・シディアスという謎の男であったが、後に、ナブーの元老院議員から元老院最高議長となっていたパルパティーンこそがこの男であったことが判明）。ヤヴィンの戦いの当時、帝国は成立から19年が経過し、銀河系最大の勢力となっていました。 一見したところ、デス・スターの崩壊は、一握りの宇宙の魔術師たちから支援を得た小規模な反乱軍による攻撃の結果に見えます。しかし、ハリウッドのエキスパートたるジョージ・ルーカスが行った徹底的な分析と再現により、指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策がデス・スターの崩壊をもたらしたと証明されました。もちろん、明白な理由の1つには、ストームトルーパーが目も当てられないほど訓練不足だった（射撃技術のお粗末さ

Help us understand the problem. What is going on with this article? TL;DR AWSの二段階認証（Multi-Factor Authentication）を利用しているとき、認証端末を無くすとAWSのサポートが必要になる 電話番号での認証ができない場合には本人確認書類を提出して二段階認証を解除する必要がある 本人確認書類には公証人のサインが必要で、アメリカ大使館でサインをしてもらうことができる AWSアカウントにはMFAを設定しよう、というプラクティス AWSを利用しているアカウントが不正利用され、高額な請求を受けてしまうケースが話題となり、個人であってもルートアカウントでMFAを設定することが当たり前な世の中になりました。 初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。 - Qiita

2016年12月25日、PHPのメール送信ライブラリPHPMailerに任意のコード実行可能な脆弱性が確認されたとして情報が公開されました。ここでは脆弱性の関連情報をまとめます。 脆弱性の概要 対象 PHPMailer CVE CVE-2016-10033 CVE-2016-10045 影響 RCE 重要度 Critical(発見者) 緊急(JVN) CVSS JPCERT/CC評価 CVSSv3：5.4 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N) CVSSv2：5.5 (AV:N/AC:L/Au:S/C:P/I:P/A:N) PoC インターネット上に公開済 CVE-2016-10033⇒2016/12/26 CVE-2016-10045⇒2016/12/28 発見者/報告者 CVE-2016-10033:Dawid Golunski氏(

Apache Software Foundationは2016年4月19日に脆弱性情報 S2-032と修正版を公開しました。ここでは関連情報をまとめます。 Apache 公開情報 S2-032 — Remote Code Execution can be performed via method: prefix when Dynamic Method Invocation is enabled. 脆弱性概要 対象 Apache Struts2 CVE CVE-2016-3081 影響 RCE 重要度 High PoC PoC公開あり。 攻撃パケット観測済。 CVSS(v3) 7.3(Base) 発見者 dbappsecurity(杭州安恒) 脆弱性情報 JVNVU#91375252 Apache Struts2 に任意のコード実行の脆弱性 Apache Struts2 の脆弱性対策について

2016年4月22日、アイデアマンズ株式会社は同社製品の「ケータイキット for Movable Type」の脆弱性情報と緊急パッチを公開しました。既にこの脆弱性を悪用した不正アクセス被害が発生しています。ここでは関連情報をまとめます。 公式発表 開発元、およびバンドル製品を提供しているベンダより公開されている情報は次の通り。 アイデアマンズ 2016年4月22日 緊急パッチファイルの提供を開始 (魚拓) 2016年4月23日 [重要] ケータイキット for Movable Type 1.65 の提供を開始 (魚拓) 2016年4月25日 【重要】ケータイキット for Movable Typeの脆弱性をチェックする「KeitaiKit セキュリティチェック」プラグインを公開、[購入者向け]ケータイキットの脆弱性対策 特設ページを開設 (魚拓) 2016年4月28日 【重要】ケータイキッ

春の嵐が吹き荒れた4月17日の日曜日。休日にもかかわらず、記者は朝から東急大井町線の尾山台駅に立っていた。経済産業省傘下の情報処理推進機構（IPA）が実施する「情報セキュリティマネジメント試験」を受験しに来たのである（写真1）。試験会場は尾山台駅徒歩15分。多摩川にほど近い東京都市大学の世田谷キャンパスである。 情報セキュリティマネジメント試験は経産省所管の国家試験「情報処理技術者試験」の新たな試験区分として今回から実施される新しい試験だ（ITpro関連記事：セキュリティの新しい国家試験「情報セキュリティマネジメント」が来春開始）。 具体的には、「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキル」を認定する（外部リンク：IPA「情報セキュリティマネジメント試験」紹介ページ）。典型的なお役所文書で、

調査の結果、これらのPHPファイルが改ざんされたことにより、Webサイトからのレスポンス内に不正なコードが、閲覧者のアクセス毎に動的に挿入されていたことが判明しました。 改ざんされたPHPファイルによって不正なコードが挿入される仕組み 改ざんされたPHPファイルには、「//istart」および「//iend」というコメントに挟まれた、図 1のような不正なPHPコードが挿入されていました（不正なPHPコードが難読化されている場合も確認しています）。 この不正なPHPコードは、外部から取得したコードを挿入する機能を持っており、特定のURLから不正なコードを受け取り、特定の位置に挿入します。 図 1: 「//istart」および「//iend」に挟まれた不正なPHPコード 挿入される不正なコード Webサイトに閲覧者がアクセスすると、改ざんされたPHPファイル中の不正なPHPコードは、図 2のよ

オンラインストレージが多いことに越したことはない。無料でもらえるものはもらっておこう！ 昨年に引き続き、今年も「Safer Internet Day 2016」を記念してGoogleアカウントの「セキュリティ診断」を行ったユーザーに対し、「Google Drive」の無料ストレージを2GB追加してもらえるプレゼントキャンペーンを実施している！ アカウントの復旧情報や接続端末、権限の確認など 僕の場合、なぜか「セキュリティ診断」の内容がすべて英語で表示されていたが、アカウント復旧情報、接続端末、アカウント権限の確認を済ませるだけで無料ストレージ2GBが手に入るのだ。作業時間も2、3分で終わる内容となっているため、自分のGoogleアカウントのセキュリティ状況を確認しつつ行うべし！ なお、僕も試したところ無事2GBのストレージが追加されていることが確認できた。昨年に引き続き2回目のキャンペーン

経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP（S）プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1：Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名（FQDN）からIPアドレスなどの情報を得るためにDNSサーバとの

12月17日(現地日付)に米Juniper社より公開されたScreenOSにおける認証回避の脆弱性(CVE-2015-7755)について注意して頂きたく、改めて概要をお伝えいたします。 はじめまして。 JSOCでシニアセキュリティアナリストをつとめている品川です。 私は技術者としてラックが持つセキュリティ監視センター「JSOC」にて分析業務を中心に従事する傍ら、教育事業であるセキュリティアカデミーではセキュリティオペレーション実践コースの講師担当なども行っています。 さて、今回は12月17日（現地日付）に米Juniper社より公開されたScreenOSにおける認証回避の脆弱性についてお伝えさせていただきます。 既に複数のメディア等でも報じられておりますが、本脆弱性は悪用が非常に容易な脆弱性であり、対象が境界防御の最前線であるファイアウォールであることから、極めて重大な被害を起こしかねないも