脆弱性関連

→セキュリティ関連

→マルウェア

→個人情報の保護・漏洩

ニュース・話題†

• 解凍・圧縮ツール「7-Zip」に「Mark of the Web」をバイパスできる脆弱性 - 窓の杜 2025.1

• WorstFit: Unveiling Hidden Transformers in Windows ANSI! | Orange Tsai 2025.1
  • Windowsの内部機能であるBest-Fit（最適適合）と呼ばれる文字コード変換機能の脆弱性を突いた新たな攻撃手法「WorstFit」
  • 開発者は、ANSI版APIの使用を避け、Unicode版APIを使用することを推奨する。

• CVSSを逆から読むと？脆弱性対応の意思決定に使えるSSVCについて - NTT Communications Engineers' Blog 2024.12

• IdM実験室: Okta AD/LDAP DelAuthモジュールに関する脆弱性 2024.11

• 多要素認証できない「非人間アイデンティティ」がサイバー攻撃の弱点に | TECH+（テックプラス） 2024.8

• Acer・Dell・GIGABYTE・Intel・Supermicroの数百以上のデバイスでUEFIセキュアブートのプラットフォームキーが漏えいしていたと発覚、システム侵害のリスクあり - GIGAZINE 2024.7
  • UEFIはBIOSからセキュリティ機能の強化や起動プロセスの高速化が図られており、特に「セキュアブート」機能が搭載されているのが特徴です。
  • セキュアブートは、不正なソフトウェアやマルウェアがシステムの起動プロセスに侵入するのを防ぐため、デジタル署名を使用してブートローダーやドライバー、OSの認証を行い、署名されていないコードの実行を防止します。
  • このセキュアブートのためのプラットフォームキーが漏洩
  • SupplyChainAttacks/PKfail/ImpactedDevices.md at main · binarly-io/SupplyChainAttacks

• oss-sec: CVE-2024-6387: RCE in OpenSSH's server, on glibc-based Linux systems 2024.7
  • SIGALRMハンドラ内から呼ばれるsyslog()などの中でmalloc()が呼ばれるがこれは非同期シグナル安全ではないためバッファオーバーフローが起こりうる

• 【OpenSSH】CVE-2024-6387について #脆弱性 - Qiita 2024.7
• 【緊急】OpenSSHの脆弱性について 2024.7
• OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響 - GIGAZINE 2024.7
• OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog 2024.7
• [2024-07-03 11:12 JST 更新] 脅威に関する情報: CVE-2024-6387 − OpenSSH における RegreSSHion の脆弱性 2024.7

• 見落としがちなURL正規化によるパストラバーサル | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ 2024.4

• Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関する注意喚起 2024.4
• CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect 2024.4
• Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2024.4

• 「Apache」「Node.js」も 〜多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」 - 窓の杜 2024.4
  • Apache HTTP Server 2.4.59リリース、複数の脆弱性に対処 | TECH+（テックプラス） 2024.4

• UEFIのPXEブートに脆弱性。多くのBIOSに影響 - PC Watch 2024.1

• GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告 - GIGAZINE 2023.9

• 情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開　実習用の題材に - ITmedia NEWS 2023.2

• なぜ出力時のHTMLエスケープを省略してはならないのか - Qiita 2023.1

• <a>タグ target="_blank"のセキュリティ対策 2021

• 解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 〜セキュリティ研究者が明らかに - 窓の杜 2022.4

• Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家 - GIGAZINE 2022.1
  • PolKitのメモリ破損の脆弱性（CVE-2021-4034）について - Qiita 2022.1

• スマートホンへの「ゼロクリック」攻撃と、その対策について 2020.4

• どうして俺の回線が何百ギガもアップロードしてるの？と思った時に読む話 2019.7

• 7Pay不正利用関連の情報をまとめる 2019.7

• IntelのCPUで新たに発見された脆弱性「Foreshadow」の解説ムービーをRedHatが公開中 2018.8

• Zip Slip脆弱性に関する詳報まとめ 2018.6.9

• MeltdownとSpectreの違いについて分かったこと 2018.1
  • Meltdown はアウトオブオーダー実行、Spectre は分岐予測の実装の問題を突くという違いはあるけれど、どちらも本来権限のないメモリ読み込み命令を投機的に実行させて、その結果キャッシュに残ったサイドエフェクトから値を読み取る

• Spectre, Meltdown に関するペーパー
  • https://spectreattack.com/spectre.pdf
  • https://meltdownattack.com/meltdown.pdf

• Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ 2018.1.5

• 「QuickTime」に2件のゼロデイ脆弱性。Windows版の修正は提供されず 2016.4.16
  • Appleは削除を推奨。同社製品を利用の場合はインストールされていないかチェック

• 【注意喚起】MS-CHAPv2プロトコルの破綻 2012.8.23
  • MS-CHAPv2という認証プロトコルは、マイクロソフト社製OSのWindowsで採用されている認証プロトコルで、WindowsでVPN通信を行う場合のプロトコルPPTP（Point to Point Tunneling Protocol）において、認証の機能として使用されています。

• Facebookのメッセージは送信者を自由に偽装して送れることが判明 2012.8.20

• IPAからAndroidアプリの脆弱性に関するレポート出ました 2012.6.19

• さくらDNSにサブドメインハイジャックを許す脆弱性 2012.6.14
  • 勝手にDNSサーバーを立てて他人のサブドメインを登録できることは問題ない
  • 権威サーバーと同じサーバー上に、他人がサブドメインを登録できることが問題
  • さくらDNSの問題は、「ちょっとDNSサーバー貸して下さい」と頼みながら、そのDNSサーバーに元々設定されているドメイン名のサブドメインが登録できてしまう（チェックされない）ことが問題です。

• WEBプログラマー必見！WEB脆弱性基礎知識最速マスター 2010.5.10

     *  インジェクション
     * クロスサイト・スクリプティング
     * セッション・ハイジャック
     * アクセス制御や認可制御の欠落
     * ディレクトリ・トラバーサル (Directory Traversal)
     * CSRF（クロスサイト・リクエスト・フォージェリ）

• 知らなかったらNGなWEBアプリケーション脆弱性一覧 2009.12.16
  • 1. SQLインジェクション
  • 2. OSコマンドインジェクション
  • 3. 公開領域へのファイルの配置
  • 4. ディレクトリトラバーサル
  • 5. パラメータ推測
  • 6. クロスサイトスクリプティング（XSS）
  • 7. クロスサイトリクエストフォージェリ（CSRF）
  • 8. エラーの詳細が表示されてしまうエラー画面
  • 9. デバッグモード
  • 10. Cookieの改ざん
  • 11. ヌルバイト文字列
  • 12. HTTPレスポンススプリッティング
  • 13. UTF-8エンコーディング
  • 14. DNSキャッシュポイズニング

• 文字エンコーディングが生み出す脆弱性を知る 2009.3.3

• ぜい弱性がなくならない本当の理由 2008.11.18

• 「アクセスするだけでキーロガーが仕込まれる」，IEの脆弱性を突くサイト 2006.9.25
• gzipに複数の脆弱性 2006.9.22
• 「狙われるWindowsの脆弱性，新しい攻撃手法が続々」，セキュリティ組織やベンダーが警告 2006.1.5
• .wmf脆弱性FAQ 2006.1.5
• TCP の「time-stamp」オプションに関する脆弱性 2005.5.22
• プロセサのハイパースレッディング技術に脆弱性 2005.5.16

関連Webサイト†

• 2024年度 年末年始における情報セキュリティに関する注意喚起 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2024.12

• 脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構 2024.7

• IPAセキュア・プログラミング講座 | アーカイブ | IPA 独立行政法人 情報処理推進機構 2022
• 安全なWebサイトの作り方 2020

• Webサービスの脆弱性をIPAに通報した話 2023.9

• Virtual Hacking Lab 2015.8
  • セキュリティ学習用にわざと脆弱性を持った状態のWebアプリを配布している

• JVN iPedia
  • ソフト毎の脆弱性データベース

XZバックドア埋め込み事件†

→マルウェア

Log4jのRCE問題†

→log4j関連

PPAP問題†

→ストレージ・ファイル転送サービス

• メールで「パスワードを別送する」意味があるのか、改めて調査してみた #ポエム - Qiita 2025.1

• メールで気軽に｢PPAP｣を使っている人のヤバさ ｢パスワードは別送します｣が相手に強いる負担 | 東洋経済Tech×サイバーセキュリティ | 東洋経済オンライン 2024.9

• 「PPAP」「決裁にハンコ」をやる人たちは何を考えている？　謎慣習が消えぬ理由を上原哲太郎教授が解説【フォーカス】 | レバテックラボ（レバテックLAB） 2024.4

• 日本人はなぜ「マスク」と「PPAP」をやめられないのか 2023.6

• 【レポート】PPAPからどう脱却すべきか メールから再考するセキュリティーの土台 #SecurityDaysSpring2023 | DevelopersIO 2023.3

• 最新版 - Microsoft 365サイト活用入門(80) 安全なファイルの共有方法とは? Microsoft 365でできる脱PPAP | TECH+（テックプラス） 2021

• Dropbox + mxHeroによるPPAP代替ソリューションの実現 – TechHarmony 2022.5

• 笑いごとじゃない！｢PPAP｣直ちに禁止すべき訳 | インターネット | 東洋経済オンライン | 社会をよくする経済ニュース 2022.5

• 廃止進むPPAPの代替案とは　Emotet拡大で企業が添付ファイル禁止 | ツギノジダイ 2021.12

• ソフトバンクG、パスワード付きZIP廃止　本文のみ受信、添付ファイルは自動削除：マルウェア「Emotet」増加で（1/2 ページ） - ITmedia ビジネスオンライン 2022.4
  • PPAPは誤送信防止対策として、日本企業の多くが採用するセキュリティ対策の一つだったものの、セキュリティソフトのウイルススキャンもすり抜けてしまうことから効果が薄いとされている。パスワードを同じ経路で送信することで、情報漏えいのリスクがかえって高まるとして、セキュリティの専門家からは効果がないとする意見も出ていた。

• PPAP禁止令が内閣府で！意味ない対策なの？丁寧に解説します！ | 情シスのミカタ 2021.6
  • 現代においては、PPAPによるファイルの送付は、セキュリティ対策として無意味で無意味なだけではなく、むしろ、組織のセキュリティリスクを高めてしまう悪習

• くたばれPPAP！〜メールにファイルを添付する習慣を変えるところから始める働き方改革〜 2019

• 21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか？ 2018.12
  • 後続メールでパスワードを別送しても、セキュリティはほぼ向上しない
  • パスワード付きzipではファイル名やフォルダ名は暗号化されない
  • パスワード付きzipは、サーバ上の自動的なセキュリティスキャンが行えない

• そろそろ「ZIPで暗号化」の謎文化をなくしたい 2013.6.23

ファイル共有サービス†

• オフィス宅ふぁいる便 2024.5

SQLインジェクション†

• プログラミングの原則：構造化テキストを文字列結合で作らない、置換でいじらない - Uzabase for Engineers 2023.11

• SQLインジェクションが通った原因は“静的解析ツールのバージョンアップ”　「自動修正機能」に気をつけるべき理由 - ログミーTech 2023.10

• パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita 2023.9
  • パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita 2023.9

• ちょっと変わったSQLインジェクション 2012.3.23

• SQLエスケープにおける「\」の取り扱い 2008.6.4
  • 「\」のエスケープを要求するデータベースは日本語処理に特に注意
  • 例えば、Shift_JISを避ける
  • 自作のエスケープを避け、DBにて用意されたものを使う
  • その場合でも過信は禁物で、できるならチェックしてから使うとよい

• 第9回 隠されていたSQLインジェクション 2011.8.26

• IPA ウェブサイトのSQLインジェクション脆弱性の検出ツールiLogScanner」を公開 2008.4.20
  • http://www.ipa.go.jp/security/vuln/iLogScanner/index.html
• サニタイズ言うなキャンペーン私の解釈 2006.12.1
  • 引用

    インジェクション系の脆弱性は、変数の出力時に、文脈を無視した文字列連結のコーディングをしているところに
    原因があるのであって、セキュリティ以前に、正常系として、任意の入力に対して正しく動作するプログラミングを
    していれば、普通に解決するはず（だが、できていない実態がある）というところに問題の本質がある。

  • 高木さんもこう書いているように(強調は前橋)、セキュリティ云々を考えなくても、通常のアプリケーション設計の発想で「できるだけきれいな世界にいられるように」書いていけば、自然に達成できるはずのことである。
• 今夜わかるSQLインジェクション対策 2006.11.5
  • ↑への高木浩光氏の批判

DNSポイズニング†

→DNS関連

• 今更だけどDNSキャッシュポイズニングについて説明するよ 2008.8.13
  • DNSが他のサーバに聞きに行くときに、ポートと呼ばれる窓口を通して聞きに行きます。
  • んで、このポートってのは65535個あるんだけど、ランダムに聞きに行くのが理想。※ここでランダマイズするポートは送信元ポートのことだと思われる
  • それと、一回聞きに行くごとに違うID(0-65535)を付けて送っています。
  • でも、これらの番号がもし予想しやすかったら?固定されていたら?
  • そこに目がけて嘘のデータを投げ込んでしまえば、嘘の住所をDNSが覚えちゃう。つまり、googleに繋ぎたい人を全く別のサイトに接続させたりすることが出来ちゃう！
  • 今回の問題としては、そのポート番号のランダム性が足りなかったり、決め打ち(53番)だったりする事です。※53番は接続先ポートなので送信元と送信先の混同がある？
  • 【メモ】ちなみにプロバイダなどでDNSアップデート後、特定のサイトにつながらないなど接続がおかしくなった場合はipconfig /flushdnsすると改善する場合があるようです

• DNS脆弱性問題、発見者が詳細を公表 2008.8.9
  • それまではSSL（Secure Socket Layer）を使えばこの攻撃から保護できると考える人が多かったが、Kaminsky氏はWebサイトの有効性を確認するためのSSL証明書でさえ、 DNS攻撃により回避できることを実証した。問題は、SSL証明書を発行する会社が証明書を確認する手段として電子メールやWebなどのインターネット・サービスを使っていることにあるという。「これではDNS攻撃の前では決して安全とは言えない」とKaminsky氏は警鐘を鳴らす。
  • もう1つの大きな問題は「パスワード忘れ」を装う攻撃であるとKaminsky氏は指摘した。この攻撃は、Web上にパスワード回復システムを用意している多くの企業に影響を及ぼす。犯罪者は、サイト上でユーザー・パスワードを忘れたように装い、DNSハッキング・テクニックを使って、そのサイトにパスワードを自分のコンピュータに送るよう仕向けることができるのだ。

• DNSの機器に対応を 2008.8.8
  • これはDNSキャッシュサーバに偽の情報を注入（毒入れ/Poisoning）するものです。DNSは原理的にキャッシュへの毒入れ脆弱性を持ち合わせており、特に脆弱な実装のDNSサーバソフトウェアでは過去に何度か対応が図られてきました。今回あきらかになった手法は従来手法よりはるかに効率的に、状況によってはほぼ確実に毒入れができるというもので、大変危険なものです。

• DNSサーバの脆弱性、「パッチの即時適用」を改めて呼びかけ 2008.7.24
• もう試しましたか？Googleの脆弱性発見ツールratproxy 2008.7.18

XSS(CSS)†

• AIは脆弱性がないコードを書けるのか試してみた #Security - Qiita 2024.12

• 知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 2014.3.17

• クロスサイトスクリプティング対策の基本
• クロスサイトスクリプティングFAQ

IP電話の脆弱性†

• IP電話のセキュリティ上の問題点 2005.6.15
• 誇張されているセキュリティ脅威 2005.6.11
  • IPテレフォニは安全ではない
    • 実際には攻撃はほとんどない
  • モバイル機器を狙ったMalware（悪意のあるソフト）は，広範囲に渡ってダメージを与える
  • ウォーホール型ワームは，ビジネス・トラフィックとVPNにおいてインターネットの信頼性に問題を生じさせる
  • 法令順守はセキュリティ強化と等しい
  • 無線ホット・スポットは安全ではない
    • 802.1Xのアクセス・ポイントを探せばよい
• Skypeのセキュリティ問題 2005.5.23
  • Skypeによる暗号化がセキュリティホールになる可能性

最新の50件