安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
構築から運用まで!脅威インテリジェンス業務を体験(インターンシップ体験記) - NTT Communications Engineers' Blog
こんにちは、NTTコミュニケーションズの現場受け入れ型インターンシップ2024に参加した大学2年生の大堀です。X(旧:Twitter)では@LimitedChan(限界ちゃん)というハンドルネームでサイバーセキュリティに関して活動しています。 普段は大学で情報系の学習をしながら、個人的に脅威インテリジェンスをはじめとしたサイバーセキュリティに対して興味があり、さまざまな学習に取り組んでいます。 2024年8月26日〜9月6日までの2週間、「脅威インテリジェンスを生成・活用するセキュリティエンジニア/アナリスト」としてNetwork Analytics for Security(通称:NA4Sec)プロジェクトに参加しました。 この記事では、私がインターンシップで取り組んだ内容について紹介します。 Na4Secプロジェクトとは? インターンシップ参加の経緯 インターンシップ概要 今回作成した
「はてな」に不正ログイン 2398アカウントが対象 試行160万回
はてなは6月20日、はてなアカウントが不正ログインを受けたと発表した。16日から160万回のログイン試行があり、2398アカウントが不正にログインされたという。流出したID・パスワードを使ったリスト型アカウントハッキングとみている。 19日にユーザーから「メールアドレスが変更されている」との問い合わせを受けて調査したところ、複数のアカウントが不正ログインを受けたことを確認。疑わしいIPアドレスからのアクセスを遮断した。 不正ログインされたアカウントのうち3件で、メールアドレスが変更された上、Amazonギフト券交換の申し込みが行われていたという。ギフト券交換はスタッフが目視で確認して手続きを行っているため、交換には至っていないという。この3件以外でメールアドレスが変更されたアカウントはなかったとしている。 それ以外のユーザーでも、不正ログインを受けたアカウントは(1)登録している氏名、郵便
Huluに不正ログイン296件 リスト型攻撃受け
HJホールディングスは、動画配信サービス「Hulu」が、外部サービスから流出したIDなどを使ったリスト型攻撃を受け、296件のアカウント(解約済み含む)で不正ログインがあったと発表した。対象ユーザーにはメールでパスワード変更を依頼している。 不正ログインは9月11日に発生。被害にあったユーザは、氏名や生年月日、性別、設定している支払い方法、都度課金コンテンツの購入履歴などを閲覧されたり、自分のアカウントを使って動画を閲覧されたり、視聴履歴を見られた可能性がある。 支払い情報の詳細は保持していないため、閲覧されただけでは被害は生じないとしている。 同社は対策として、不正アクセスのあったIPアドレスからのアクセスを制限した他、不正ログインされたアカウントのパスワードを強制リセットした。 対象ユーザーには「[重要]Hulu 不正アクセス検知によるパスワード強制リセット実施のお知らせ」の件名でメー
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
OpenCTI 入門 | ninoseki.github.io
OpenCTI とは OpenCTI は、Luatix が開発している Open Cyber Threat Intelligence Platform. Luatix はANSSI/CERT-FR, CERT-EUが founder members になっている非営利組織。Tainum や Thales がスポンサードしている。 STIX2.1 をベースにした Threat Intelligence のナレッジ管理を行うことができる。 (Source: OpenCTI Introduction to the platform & next steps) アーキテクチャ (Source: OpenCTI Introduction to the platform & next steps) ユースケース CERT-EU (Source: OpenCTI Introduction t
OpenCTI触ってみた - birabiraのめも
OpenCTIとは 脅威情報を管理するためのプラットフォーム。技術情報と非技術情報を構造化・保存・整理・視覚化をすることができるらしい。 このプラットフォームはSTIX2.1ベースらしいので、STIXの規格については改めて確認したほうが良い。日本語の解説資料求む。 https://docs.oasis-open.org/cti/stix/v2.1/stix-v2.1.html 本記事はOpenCTIのGithubページやドキュメントページを中心に試してみる。 Githubページ: https://github.com/OpenCTI-Platform/opencti ドキュメントページ: https://docs.opencti.io/latest/ TIP (Threat Intelligence Platform) について TIPとはその名の通り、脅威情報を収集・集約し活用することが
Re:ゼロから始めるOpenCTI 導入編
Re:ゼロから始めるOpenCTI この記事は、所属組織内で脅威共有やってみようぜ(n回目)、という安易な考えから生まれた物語です。 OpenCTIとは Filigranが開発している、Open Cyber Threat Intelligence Platformです。要するに、サイバー脅威インテリジェンスを管理、可視化することができるプラットフォームです。 また、インテリジェンスの蓄積だけではなく、Connecterという機能を活用することで、様々なセキュリティ関連企業、団体が公開しているインテリジェンスをimportしたり、その他もろもろの便利機能を追加することができます。 とりあえず動かしてみる 公式ドキュメントを確認して以下の環境を用意しました。またOpenCTIは、Dockerを使って展開します。 Infrastructure OS : Ubuntu 22.04 server 6
GreyNoiseを使ったサイバー脅威インテリジェンス(CTI)活用 | DevelopersIO
また、CTIの情報内容はTactical(戦術的インテリジェンス)、Operational(運用インテリジェンス)、Strategic(戦略的インテリジェンス)の3つのレベルタイプに分けることができます。 今回は主にこの中のTactical、Operationalのインテリジェンスを取得するのに有効なツールGreyNoiseを使ってみました。 GreyNoiseの目的 GreyNoiseは、世界中のインターネットをスキャンし、攻撃に関連するIPを収集、分析、ラベル付けし、セキュリティツールのノイズを削減するために必要なインテリジェンスを提供します。 GreyNoiseでできること セキュリティアナリストが注目しなくても良いイベントを認識する 感染している端末を見つけることができる 実際にインターネット上で実行されている脅威情報を確認する 使ってみる こちらからアカウントを作成すると無料で使
OSINTツール「GreyNoise」を使ってみる - セキュリティ猫の備忘録
こんにちは、セキュリティ猫です。 久しぶりに(ホントに久しぶりに)何かを書きたい欲が出てきたので、自分でも使い方の整理・機能の確認の意味を込めてツールの使い方を扱うことにしました。 今回は、調査で便利なツール「GreyNoise」について紹介していこうと思います。 GreyNoise はじめに 【注意事項】 GreyNoiseとは? 機能 IPルックアップ GREYNOISEクエリ言語 (GNQL) タグトレンド その他の機能 主な使い方 まとめ はじめに 【注意事項】 本記事内で、GreyNoiseの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。 GreyNoiseを利用することで外部組織の情報を得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自
サブドメイン名列挙の方法についてまとめてみた - NFLabs. エンジニアブログ
この記事は NFLaboratories Advent Calendar 2022 6日目の記事です。 ソリューション事業部セキュリティソリューション担当の岩崎です。 多くのウェブサイトでは登録されたドメイン名を利用して構築されており、サブドメインを作成して構築されるケースも多いです。中には、開発環境や公開前のプロダクト用にサブドメインを作成して運用されているケースも多いです。 昨今、公開を前提としたサーバでは適切なセキュリティ設定や脆弱性診断などセキュリティ侵害を防ぐための対策が取られているケースが多いです。一方、開発環境や公開前のプロダクト用のサーバでは十分な対策が取られていないケースも多く見受けられます。 そこで今回はセキュリティ侵害から防御することを目的として、攻撃者視点でサブドメイン名列挙をする手法についてまとめてみました。 総当たり ゾーン転送 対策 Passive DNS 検
ReDoSの回避
(Last Updated On: 2018年8月8日)正規表現のアルゴリズムを攻撃するDoS攻撃のReDoSを可能な限り回避する方法を考えてみます。 追記: 破滅的なReDoSは非常に短い検索対象文字列でDoS攻撃が可能でした。念の為と思い、このエントリでは正規表現検索の対象文字列を短くする対策を紹介していましたが、この種の対策が効果があるケースがありました。 ReDoSに脆弱になる典型的な正規表現は以下のような正規表現です。 Evil Regex pattern examples (a+)+ ([a-zA-Z]+)* (a|aa)+ (a|a?)+ (.*a){x} | for x > 10 Payload: “aaaaaaaaaaaaaaaaaaX” 出典:CHECKMARX 2015 (PDF) マッチパターンが繰り返される正規表現が問題になります。 メールアドレスにマッチする正
ReDoS - Wikipedia
A regular expression denial of service (ReDoS)[1] is an algorithmic complexity attack that produces a denial-of-service by providing a regular expression and/or an input that takes a long time to evaluate. The attack exploits the fact that many[2] regular expression implementations have super-linear worst-case complexity; on certain regex-input pairs, the time taken can grow polynomially or expone
正規表現を使ったDoS – ReDoS
(Last Updated On: )いつかは忘れるくらい前に正規表現のアルゴリズム自体を利用してDoS攻撃を行うReDoSが発表されていました。今まであまり気にしていなかったのですが、検索しても日本語のページが出てこないようでした。詳しく知るためのリンクなどを紹介します。 少し検索して出て来た日本語ページはHPのページでしたが、たまたまインデックスされていたページがヒットしたようでした。また記載されている情報は不十分でした。(ページ下のコピーライトからFortifyの情報のようです) 日本語のページで良いものは無いようなので、ReDoSの英語ページ/PDFを紹介します。 Wikipedia OWASP CHECKMARX 2015 (PDF) CHECKMARX 2009 (PDF) 3つ目のCHECKMARXのPDFは解りやすいと思います。OWASPのページはCHECKMARXの資料
StackExchangeが攻撃されたReDoSの効果
(Last Updated On: )StackExchangeがReDoS攻撃に遭いサイトがダウンした原因をStackExchangeのブログで紹介していました。 PHPへの影響があるか試してみました。結論を書くと、脆弱な正規表現を使っていて攻撃者が入力をコントロールできる場合、簡単に攻撃できるようです。PCRE、Onigurumaの両方で試してみましたがどちらも脆弱でした。 参考:正規表現でのメールアドレスチェックは見直すべき – ReDoS Onigurumaでは破滅的なReDoSが可能です。以前からメールアドレスのチェックに利用する正規表現には注意喚起していましが、どの程度浸透していたのだろうか? ReDoSとは ReDoSはこのブログでも紹介しています。正規表現のアルゴリズムを利用してDoS攻撃する攻撃です。 参考: 正規表現を使ったDoS – ReDoS ReDoSの回避 脆弱
正規表現でのメールアドレスチェックは見直すべき – ReDoS
(Last Updated On: )前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS(十分短い文字列で指数関数的に実行時間が増加する)が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。(特にRubyユーザー) 追記:影響範囲はメールアドレスチェックに限らないので、正規表現チェックは全体的に見直さないと、どこが脆弱なのか判りません。見直してチェックしたとしても、それが完全であったと保証することは困難です。ネット検索して直ぐに見つかった検索パターンは非常に脆弱であったこと、メールアドレスのマッチパターンは脆弱になりやすい繰り返しの繰り返しが含まれること、これらがあったのでタイトルが「正規表現でのメ
【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散!:IPA 独立行政法人 情報処理推進機構
最終更新日:2015年 10月29日 独立行政法人情報処理推進機構 ~Google Apps(*1 )でメール機能を運用している組織は取引先に招待メールが届くことも ~ IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。 「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日現在)寄せられ、前月の3倍を超過しています(図1-1)。 また、JPC
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【やじうまPC Watch】 11歳の男の子がIoTテディベアで他人のスマホをハッキング ~電話番号を取得してメッセージまで送信
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
https://jp.techcrunch.com/2015/01/13/20150108ftc-iot-privacy-warning/
