![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2024-03-27T15:14:01+09:00","default:irrp","irrp") #author("2024-04-11T12:15:24+09:00","default:irrp","irrp") →セキュリティ関連 #contents * 一般 [#i9ae37a5] -[[iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される - GIGAZINE>https://gigazine.net/news/20240327-iphone-apple-id-mfa-bombing/]] 2024.3 -[[セキュリティ主要7分野・脅威の進化と対応 - RAKUS Developers Blog | ラクス エンジニアブログ>https://tech-blog.rakus.co.jp/entry/20240315/security]] 2024.3 -[[【雑記】セキュリティ担当の喧嘩術 - 2LoD.sec>https://nikinusu.hatenablog.com/entry/2024/01/21/221314]] 2024.1 -[[サブドメイン列挙とはどういうものなのか調べてみた - NTT Communications Engineers' Blog>https://engineers.ntt.com/entry/2023/12/02/121544]] 2023.12 -- サブドメイン列挙(Subdomain Enumeration)とは、特定のドメインに関して利用されているサブドメイン2を調査し、そのドメイン名をリスト化するプロセスです。 -[[日本は11万人不足「セキュリティ人材」確保の難題 人材は前年比23.8%増も需給ギャップ過去最大 | 東洋経済Tech×サイバーセキュリティ | 東洋経済オンライン>https://toyokeizai.net/articles/-/727210]] 2024.1 -[[なぜサイバーセキュリティ分野で人材が不足しており、職が埋まらないのか? - YAMDAS現更新履歴>https://yamdas.hatenablog.com/entry/20231030/cybersecurity-jobs-shortage]] 2023.10 -[["security.txt" についてまとめみた>https://zenn.dev/tk88e/articles/1b319f90700ed8]] 2022 -[[【Infostand海外ITトピックス】C2PAがデファクトになるか 対ディープフェイクへの取り組み - クラウド Watch>https://cloud.watch.impress.co.jp/docs/column/infostand/1504129.html]] 2023.10 -[[たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita>https://qiita.com/potesara/items/d5870ce4244eee22ccc1]] 2023.7 -[[セキュリティヘッダ警察です!既に包囲されている!観念してヘッダを挿入しなさい! - エムスリーテックブログ>https://www.m3tech.blog/entry/2023/06/13/110000]] 2023.6 -[[フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita>https://qiita.com/ockeghem/items/c6a3602d2c2409f89fbb]] 2023.5 -[[必ずスパムと判定されるメールと、ウィルスの作り方 - プログラマでありたい>https://blog.takuros.net/entry/20110309/1299643759]] 2023.4 -[[2022年に公開されたセキュリティ関連文書まとめ - FFRIエンジニアブログ>https://engineers.ffri.jp/entry/2023/04/10/120852]] 2023.4 -[[ウェブセキュリティの知識は普及しているか、徳丸本の著者が憂慮していること | ドクセル>https://www.docswell.com/s/ockeghem/58GYP2-forkwell20230303#p1]] 2023.3 -[[セキュリティの基本を学ぶのに最適な良書「AWSではじめるクラウドセキュリティ」を読んでみた - クラウドセキュリティエンジニアブログ>https://devblog.nuligen.com/entry/20230322/1679460521]] 2023.3 -[[[書評]クラウドに限らないセキュリティの原理原則を学びすぐに組織に適用できる本「AWSではじめるクラウドセキュリティ」 #AWS #クラウドセキュリティ #AWSではじめるクラウドセキュリティ | DevelopersIO>https://dev.classmethod.jp/articles/start-cloud-security-with-aws/]] 2023.2 --[[【書籍】AWSではじめるクラウドセキュリティ>https://amzn.to/3S9aFZ0]] -[[フロントエンド開発のためのセキュリティ入門 - Speaker Deck>https://speakerdeck.com/masashi/frontend-security]] 2023.2 -[[情報セキュリティ10大脅威 2023:IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/vuln/10threats2023.html]] 2023.1 -[[ASCII.jp:Webセキュリティの2022年の振り返り>https://ascii.jp/elem/000/004/118/4118085/]] 2022.12 -[[Month of PowerShell: Process Threat Hunting, Part 2 | SANS Institute>https://www.sans.org/blog/process-threat-hunting-part-2/]] 2022.7 Is the process a new or unrecognized name? Is the process name random-looking? Is the process running from a non-standard path or a temporary directory? Is the parent-child relationship suspicious? Is the parent process suspicious? Are the command-line options suspicious? -[[「このサイトは安全ではありません」が表示された際の原因・対処法|サイバーセキュリティ.com>https://cybersecurity-jp.com/column/67400]] 2022.5 -[[「壁」で守る時代は終わった。「データそのもの」を守り抜く「秘密計算」の時代へ|セキュリティ通信>https://securitynews.so-net.ne.jp/topics/sec_20228.html]] 2022.5 -[[未経験からOSCP取得ガイド - Qiita>https://qiita.com/GkKeeg/items/055caf7384549330dbcf]] 2022.3 -[[サイバーセキュリティの2022年の予測〜クラウド・セキュリティのトレンドのトップ5〜 (Oracle Cloudウェビナーシリーズ: 2022年1月26日)/20220126-OCW-CyberSecurityTrend2022 - Speaker Deck>https://speakerdeck.com/oracle4engineer/20220126-ocw-cybersecuritytrend2022]] 2022.1 -[[CSIRTとは?その概要や役割、必要性、設置方法について詳しく解説|サイバーセキュリティ.com>https://cybersecurity-jp.com/security-measures/26260]] 2018 -[[GPOでWindows10『モバイル ホットスポット』を無効にする方法 | IT trip>https://ittrip.xyz/active-directory/mobile-hotspot]] 2021.10 -[[非エンジニアがHack The Boxを始めてHackerになるまで>https://qiita.com/daihi_t/items/95d5adfc4b2cea1d4c5c]] 2021.3 -[[もうEDRしか勝たん、という話>https://qiita.com/taro-hiroi/items/24dac0c0eb600d9f085a]] 2020.12 --Endpoint Detection and Response の頭文字。 --「エンドポイントの情報(インストールされているアプリケーション、ログ、起動プロセスなど)を収集し、エンドポイントでの脅威検知及び対応を支援するツール」 -[[体系的に学ぶモダン Web セキュリティ>https://speakerdeck.com/lmt_swallow/learn-modern-web-security-systematically]] 2019.8 -[[“守り”に入ったセキュリティ部門は捨てられる>http://itpro.nikkeibp.co.jp/article/Interview/20130809/497716/]] 2013.8.9 -[[基本に勝る防御なし:直撃取材! 「たて」の裏側>http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html]] 2013.6.21 -[[Gmail乗っ取りが大流行中!被害報告まとめ>http://togetter.com/li/428959]] 2012.12.26 -[[アカウント乗っ取りを防げ!Google2段階認証プロセスを設定する全手順>http://lifehacking.jp/2012/11/google-2-step-verification/]] 2012.12.26 -[[ソーシャルエンジニアリングは他人事じゃない>http://fladdict.net/blog/2012/08/social-hack.html]] 2012.8.10 -[[美しいグラフィックでサイバー攻撃をリアルタイムに可視化、警告を発するシステム>http://jp.diginfo.tv/v/12-0116-r-jp.php]] 2012.6.20 -[[エロサイトに「いいね」した人がエロサイトを見ていたとは限らない>http://blog.maripo.org/2012/05/like-trap/]] 2012.5.2 -[[各種Webサービスでやっておくべきプライバシー設定まとめ>http://matome.naver.jp/odai/2133335300607689101?&page=1]] 2012.5.2 -[[「2011年版 10大脅威 進化する攻撃...その対策で十分ですか?」を公開>http://www.ipa.go.jp/security/vuln/10threats2011.html]] 2011.3 --http://www.ipa.go.jp/security/vuln/documents/10threats2011.pdf -[[PS3 呆気無く陥落>http://www.love-mac.net/archives/01/4668.html]] --何で、そんな大事な private key が解析されてしまったのでしょうか?。 --カンファレンスにおける fail0verflow の説明によると、ECDSA(楕円曲線暗号デジタル署名) でキーの生成に使う乱数がなんと「固定値」になっているということで、private key の探索範囲が一挙に縮まり、どうやら private key の奪取に成功したようです。 --これはもう人災ですね。カンファレンスでも、「これはプログラムの不具合ではなく、PS3 の実装を使っただけですから」どか言われてるし…。 -[[ソニーに何が起きたのか――ハッカーとの暗闘の末に史上最大規模の個人情報流出>http://diamond.jp/articles/-/12144]] 2011.5.5 -[[悪質なFlashリダイレクタ>http://itpro.nikkeibp.co.jp/article/COLUMN/20080916/314817/]] 2008.9.17 -[[ボットネットの新たな温床になりかねないネットワーク・プロセッサ>http://itpro.nikkeibp.co.jp/article/COLUMN/20080730/311774/]] 2008.7.31 --NPUネットワーク・カードが普及し,さらに同カードを悪用するボットが登場したとしよう。悪質なソフトウエアが同カードに攻撃を仕掛け,パソコン本体のプロセッサやOSに影響を与えずに同カードを完全に掌握する可能性がある。ボットがNPUを管理下に置いてしまえば,このパソコンで送受信しているすべてのネットワーク・データが盗聴される上,ほかのパソコンのNPUネットワーク・カードも攻撃対象になりかねない。加えて,これらの攻撃はすべて,通常のウイルス対策ソフトから検知されずに実行できるのだ。 -[[無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者>http://takagi-hiromitsu.jp/diary/20080727.html#p01]] 2008.7.28 -[[SQLインジェクション攻撃の波が再来、通常の70〜100倍に>http://www.atmarkit.co.jp/news/200803/12/sqlinjection.html]] 2008.3.13 --ASPを用いて開発されたアプリケーションは、企業の要件に応じて個別に開発されることが多いが、その「バグが作り込まれやすいところを狙ってきている。このため、一概にパッチの適用で修正できるというわけではなく、対処が困難だ」と新井氏は指摘。Webサーバを運用している企業や組織は、パッケージ製品だけでなく、外注しているアプリケーションについても改めて診断を受け、修正を施すべきだと述べた。 -[[無線LANのMACアドレス制限の無意味さがあまり理解されていない>http://takagi-hiromitsu.jp/diary/20071103.html]] 2007.11.2 --パケットの中にMACアドレスは暗号化されずに入っている --WPAによる暗号化が有効に働いていれば、鍵を知る者以外には接続できないのだから、MACアドレス接続制限をする必要性は全くない。それなのに、なぜか、「暗号化で秘匿」「MACアドレスで接続制限」の両方が必要だと勘違いした解説がたくさん出回っている。 -[[IPアドレスがブラックリストに載っているか調べるスクリプト@Ruby>http://code.nanigac.com/source/view/173]] -[[IPアドレスを最近傍識別するスパムフィルタ>http://home.f01.itscom.net/toge/programingreport/program/clang.html]] 2007.4.13 --内容でなくてIPアドレスを識別することに意味があるのか? --→IPアドレスは,組織の種別によって番号の偏りがあるので,まっとうな送信元と,SPAMメイルの送信元にはかなりの偏りがあるため --参考URL:http://vrl.sys.wakayama-u.ac.jp/~twada/NNIPF.html --参考2:http://blog.livedoor.jp/dankogai/archives/50809795.html -[[Hello Screensaver, Sayonara Files>http://www.symantec.com/enterprise/security_response/weblog/2007/02/hello_screen_saver_sayonara_fi.html]] 2007.3.5 -[[何が変わった? エッジ層を保護するISA Server 2006>http://www.atmarkit.co.jp/fsecurity/rensai/forefront02/forefront01.html]] -[[McAfeeによる2007年におけるセキュリティ問題ベスト10>http://itpro.nikkeibp.co.jp/article/USNEWS/20061130/255506/]] 2006.11.30 1. 偽のサインインのページを使って人気のあるオンライン・サービスの IDやパスワードを盗むWebサイトが増加する 2. スパムの量,とくに画像を使ったスパムが引き続き増加する 3. オンラインのビデオ共有サービスの人気により,攻撃者が悪意のあるコードを 配布する手段としてMPEGファイルを利用するようになる 4. 携帯電話が多機能化してインスタント・メッセージング,BlueTooth,WiFi,USBなどを通じて 接続性が高まるにつれて,携帯電話をターゲットとする攻撃が増加する 5. 商用のPUP(Potentially Unwanted Program:不審なプログラム)の増加に続き,アドウエアも増加する 6. コンピュータの盗難,バックアップの損失,情報システムへの侵入などによる 個人情報の盗難やデータ損失が引き続き社会的な問題となる 7. ボットを使った攻撃が増加する 8. ディスク上の既存のファイルを書き換える寄生型のマルウエアまたはウイルスが復活する 9. 32ビット・プラットフォームをターゲットとするルートキットが増加する 10. 公開されるぜい弱性が増加する -[[『ハッカーズ その侵入の手口』PDFで半分公開:http://home.impress.co.jp/hackers/]] -[[コストをかけずにできるセキュリティ対策:http://www.thinkit.co.jp/free/article/0606/1/5/index.html]] 2006.7.28 -[[S/MIMEでセキュアな電子メール環境を作る:http://www.atmarkit.co.jp/fsecurity/special/04smime/smime01.html]] *公的な情報源 [#n1ae3c23] -[[情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/10threats/10threats2024.html]] 2024.3 -[[セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ>https://engineers.ffri.jp/entry/2023/07/24/110037]] 2023.7 -[[セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ>https://engineers.ffri.jp/entry/2023/06/29/120625]] 2023.6 -[[SPAセキュリティ超入門 | ドクセル>https://www.docswell.com/s/ockeghem/K2PPNK-phpconf2022#p1]] 2022.9 -[[第7回「産業サイバーセキュリティ研究会」を開催し、「産業界へのメッセージ」を発出しました (METI/経済産業省)>https://www.meti.go.jp/press/2022/04/20220411003/20220411003.html]] 2022.4 -[[Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog>https://blog.flatt.tech/entry/anzenna_website_no_tsukurikata]] 2022.4 --[[安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/vuln/websecurity.html]] 2021 -[[情報セキュリティ白書2023 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/publish/wp-security/2023.html]] 2023.7 -[[情報セキュリティ白書2022 7月15日発売:IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/publications/hakusyo/2022.html]] 2022.7 -[[情報セキュリティ白書2019>https://www.ipa.go.jp/security/publications/hakusyo/2019.html]] 2019.8 *セキュリティ関連資格 [#kc414cc4] -[[情報処理安全確保支援士試験 完全制覇への道>https://thinkit.co.jp/series/6213]] 2019.8 -[[Linuxセキュリティ標準教科書(Ver1.0.0)>http://www.lpi.or.jp/linuxtext/security.shtml]] 2013.10.1 --本教材を学校教育や企業研修において活用していただき、OSS/Linuxにおけるセキュリティ教育の質向上の一助としていただければ幸いです。 --また、本教材は、セキュアなシステム設計・サーバ構築のスキルを認定する「LPICレベル3 303試験(LPI-303 Security Exam)」の教育および学習にも役立ちます。 *ISMS [#f0a3fe86] -[[ISMSとPマークの管理にSecureNaviを使い始めた話 - hacomono TECH BLOG>https://techblog.hacomono.jp/entry/2024/04/11/1100]] 2024.4 -[[ISMS>http://www.isms.jipdec.jp/isms/]] --ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。 --組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用) --●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。 --●完全性:資産の正確さ及び完全さを保護する特性。 --●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 --[[ISMS形骸化問題と向き合う – SecureNavi追検証ブログ – CloudNative Inc. BLOGs>https://blog.cloudnative.co.jp/14222/]] 2023.2 --[[ISMS改訂で追加された「情報削除」の要点とは 削除タイミングを失って情報漏えいする大手企業も (1/2)|EnterpriseZine(エンタープライズジン)>https://enterprisezine.jp/article/detail/18277]] 2023.8 *用語説明 [#j842afd3] -[[CSP(コンテンツセキュリティポリシー)について調べてみた - SSTエンジニアブログ>https://techblog.securesky-tech.com/entry/2020/05/21/]] 2020 --CSP(Content Security Policy)は、対応しているユーザーエージェント(通常はブラウザ)の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1 --[[CSP Evaluator>https://csp-evaluator.withgoogle.com/]] -[[共通脆弱性評価システムCVSS v3概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/vuln/scap/cvssv3.html]] 2022.4 -[[CVSSとは? 脆弱性の深刻度の評価基準とスコアの算出方法 - ベアケア>https://barecare.jp/blog/2023/04/10/246/]] 2023.4 -[[サイドチャネル攻撃>http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%89%E3%83%81%E3%83%A3%E3%83%8D%E3%83%AB%E6%94%BB%E6%92%83]] --サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。 --白熱電球の例えがわかりやすい。電球の明滅の情報だけでなく、消した後に残る熱からどの電球が点いていたかの情報を得るのがサイドチャネル攻撃に相当する。 -[[シフトレフト|セキュリティ用語解説|NRIセキュア>https://www.nri-secure.co.jp/glossary/shift-left]] 2022 --シフトレフトとは、開発ライフサイクルが短期間化し、迅速かつ頻繁にアプリケーションをリリースする傾向が広がっていくなか、リリースのスケジュールを妨げないように、セキュリティに関わる工程を前倒しして実施するという概念です。 --具体的には、開発前の段階からセキュリティを考慮した設計を行ったり、開発したシステムにおけるセキュリティ診断工程を内製化・自動化したりする取り組みが行われています。システム開発のスケジュールは、左から右に進行する流れで描かれるため、工程を前倒しすることは、左側へ移行することを意味することから、このように呼ばれるようになりました。 -[[What is Shift Left Security? | CrowdStrike>https://www.crowdstrike.com/cybersecurity-101/shift-left-security/]] 2022.1 -[[クロスサイト・リクエスト・フォージェリ>http://itpro.nikkeibp.co.jp/article/lecture/20070831/280887/]] --[[「ぼくはまちちゃん」 ――知られざるCSRF攻撃>http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html]] --[[CSRFで強制ログインさせるというアイデア>http://d.hatena.ne.jp/Hamachiya2/20120522/csrf]] 2012.5.22 -[[セッション固定攻撃について>http://www.atmarkit.co.jp/fsecurity/rensai/struts04/struts01.html]] -[[セッション・フィクセーション>http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294389/]] 2008.3.5 --対策は,ログイン成功時に古いセッションIDを無効化し,セッションIDを再発行することである。 -[[ルートキット@Wikipedia:http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E3%82%AD%E3%83%83%E3%83%88]] -[[Buffer Overflow@Wikipedia:http://en.wikipedia.org/wiki/Buffer_overflow]] -[[Data Execution Prevention@Wikipedia:http://en.wikipedia.org/wiki/Data_Execution_Prevention]] --いわゆるDEP。データ領域においたコードを実行できないようにすること --[[参考になるページ:ハードウェアDEPの調査:http://mcn.oops.jp/wiki/index.php?CodeZine%2F%A5%CF%A1%BC%A5%C9%A5%A6%A5%A7%A5%A2%20DEP%20%B5%A1%C7%BD%A4%CE%C4%B4%BA%BA]] --[[参考になるページ2@ひまじゃのう:http://www.doblog.com/weblog/myblog/39230/1779717#1779717]] ---XP SP2のソフトウェアDEPで防げるのは例外処理を利用したDEであり、リターンアドレス書き換えによるDEは防げないという話 -[[検疫ネットワーク:http://www.atmarkit.co.jp/fnetwork/tokusyuu/27keneki/01.html]] --外から持参したノートなどをLANにつなぐ前にいったんそこにつないで検査するための隔離されたネットワークのこと --参考:[[なぜ検疫ネットワークが普及しないのか:http://www.atmarkit.co.jp/fsecurity/special/69quarantine/quarantine01.html]] -[[SQLインジェクション:http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole01.html]] …文字列を単純に接続してSQLを作成しているような場合、入力値をうまくいじって想定外の動きをさせることでクラックする。くわしくは上記ページを参照。 -ゼロデイアタック…問題が発見されてから1日とたたずに(対応パッチが出たりする前に)攻撃すること -[[マジックバイト問題:http://japan.cnet.com/news/sec/story/0,2000050480,20090015,00.htm]] 2005.11.2
