[B! security] iwasimanのブックマーク

サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog

はじめにこんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。はじめに AWS Lambda についてサーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策セキュリティ

iwasiman 2022/03/23

これは読み応えがあります。根本はオンプレと同じなんですかね。

security
AWS

リンク

NECもソースコード流出を確認、GitHubで　三井住友銀、NTTデータに続き（ITmedia NEWS） - Yahoo!ニュース

ソースコード共有サービス﹁GitHub﹂で三井住友銀行︵SMBC︶などのシステムに関連するソースコードが無断公開されていた問題で、NECが顧客向けに開発したシステムのソースコードも無断公開されていたことが分かった。2月1日に同社が明らかにした。︻画像︼Profit Cubeのコメントソースコードの流出を認めたのはSMBC、NTTデータジェトロニクスに続き、3社目。NECは取材に対し、﹁流出したソースコードの中に、︵同社が︶特定のお客さま向けに開発したシステムのソースコードが含まれていることを確認している﹂と回答。流出したシステムの詳細やセキュリティなどへの影響については﹁お客さまとの都合で、これ以上のことは話せない﹂として明言を避けたが、﹁原因究明と再発防止に努める﹂としている。ソースコードの流出を巡っては、1月29日までに各社の委託先に所属していたSEとみられる人物による無断公開

iwasiman 2021/02/02

自分もコードの実物見たけど、あちこちに広がってますね

security

リンク

GitHubへのソースコード流出問題、防ぎようはあるのか　専門家に聞く

三井住友銀行︵SMBC︶が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE︵システムエンジニア︶らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス﹁GitHub﹂に公開したことが原因という。ソースコードの中には、SMBCに加えてNTTデータジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に﹁GitHub﹂﹁SMBC﹂などがトレンド入りした。流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータジェトロニクスはそれぞれ﹁顧客情報の流出には影響がない﹂﹁単独では悪影響を与えるものでない﹂と説明している。今回の事態に対し、ネット上では﹁これを機にGitHubの利用やテレワーク

iwasiman 2021/02/02

GitHubが悪いわけではない...と安心の徳丸先生の談。ほんとこういう話題は無知なメディアでなく有識者に語ってほしいですねえ。

security

リンク

標的型サイバー攻撃を受けたため上田市では現在インターネットを遮断しています／上田市役所

平成27年6月12日︵金曜日︶午後7時45分に専門機関からの通報を受け、調査した結果、上田市役所の庁内ネットワークが、標的型サイバー攻撃を受け、ウィルスに感染していたことが判明しました。上田市役所では、二次被害を防止するため、15日︵月曜日︶午前11時30分からインターネットを遮断していることから、電子メールの送受信ができず、市民の皆様をはじめ関係の皆様に大変なご不便をおかけしております。現在までに情報が外部に流出した事実は確認されておりませんが、市は対策本部を設置し、迅速な対策を進めてまいります。復旧までのしばらくの間、ご不便をおかけいたしますが、ご理解いただきますようお願いいたします。情報流出を口実とした特殊詐欺などの発生が懸念されます。市役所から電話で個人情報をお聞きしたり、お金の振込をお願いするようなことは絶対にありませんので、十分にご注意いただくとともに、冷静な対応をお願い

iwasiman 2015/06/17

サマーウォーズ感と攻殻感をアゲるブコメ多数..！/最近多いですね。確かにこの文章だとなぜか市全体でネット遮断できるように読めてしまいます。

リンク

パスワードの定期的変更がセキュリティ対策として危険であること | まるおかディジタル株式会社

︻これは約16分の記事です︼︵2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます︶定期的なパスワード変更を奨めるサービス提供者や行政ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。IDとパスワードの適切な管理　‥警視庁︵リング切れ︶この中で、﹁パスワードの定期的変更﹂がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか？｜ライフハッカー﹇日本版﹈ht

iwasiman 2015/06/12

パスワードを変えすぎると今度は生成ルールを推測されるリスクがあるよというお話。

リンク

日本年金機構の情報漏えい、本当に必要な再発防止策とは？

日本年金機構の情報漏えい、本当に必要な再発防止策とは？‥﹁事故前提﹂で早期発見、早期対処の仕組み作りと文化を日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は﹁再発防止﹂に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。直

iwasiman 2015/06/05

難しい話ですが納得の内容です。人を責めるより、攻撃がありえる前提で被害を軽減できる仕組みが必要なんですね。

リンク

Expired

Expired：掲載期限切れですこの記事は，産経デジタルとの契約の掲載期限（6ヶ月間）を過ぎましたので本サーバから削除しました。このページは20秒後にITmedia ニューストップページに自動的に切り替わります。

iwasiman 2015/06/05

やはり内部ルールやシステム自体はちゃんとしてた模様。持ち出しが可能な造り、ユーザのセキュリティ意識の低さあたりが影響か。人的ミスは必ず起こるのだなあと思いました。

リンク

ウイルス入り「標的型攻撃メール」どう見分ける？　「高度な“だまし”のテクニック」、IPAが対策指南

日本年金機構から年金情報125万件が流出した問題は、機構の職員が標的型攻撃メールの添付ファイルを開いたことでウイルスに感染したことが原因とみられており、「怪しいメールは開かないのが常識」などと批判する声もある。ただ標的型攻撃メールは、送信元や内容を巧妙に偽装していることが多い。報道によると年金機構に届いたメールは、タイトルが「『厚生年金基金制度の見直しについて（試案）』に関する意見」となっているなど、年金業務に関連する内容を偽装していたという。怪しいメールをどう見分け、被害を防ぐか――情報処理推進機構（IPA）は、標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点を解説するリポートを、今年1月に公開している。内容、差出人、添付ファイル……怪しいメールの「着眼点」はリポートでは、IPAが情報提供を受けた実例などから、標的型攻撃メールを見分ける際の着

iwasiman 2015/06/05

こちらもアヤしいメールの例。確かに超忙しいときに見たら騙されそうな文面です。

リンク

年金機構、職員の電子メールを禁止　外部向け「当面の間」

流出を受け、6日と7日は﹁休日年金相談﹂を全国の年金事務所で行う。各紙の報道によると、データは東京都、和歌山県、沖縄県の3拠点から流出していたことが分かったという。関連記事年金機構のウイルス感染、公表前に2chに書き込みか　﹁感染しました﹂﹁月曜日には公表するのかな？﹂﹁ウィルス感染しました﹂﹁月曜日には公表するのかな﹂――年金機構の個人情報流出について、公表前に2chに書き込みがあったことが分かった。ウイルス入り﹁標的型攻撃メール﹂どう見分ける？　﹁高度な“だまし”のテクニック﹂、IPAが対策指南年金流出問題は、機構の職員が不審なメールを開いたことが原因とされている。標的型攻撃メールには﹁高度なだましのテクニック﹂が使われているとし、見分ける際の着眼点をIPAが指南している。甘利大臣﹁マイナンバー導入予定は変更なし﹂　セキュリティ懸念否定甘利社会保障・税一体改革担当相は、

iwasiman 2015/06/05

いかにもお役所っぽい対応ですね。基幹システムから機密データをDLできる端末は最初からメール送受信環境の端末とは切り離す...とかか。

security
web

リンク

上原哲太郎/Tetsu. Uehara on Twitter: "怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね︵一部隠してます︶。これを﹁怪しい﹂って判断できる人は大したもんだと思います。今はもっと巧妙だし。 http://t.co/SwKNkH4t9s"

● 425 users ● twitter.com/tetsutalow ●テクノロジー

怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね︵一部隠してます︶。これを﹁怪しい﹂って判断できる人は大したもんだと思います。今はもっと巧妙だし。 http://t.co/SwKNkH4t9s

上原哲太郎/Tetsu. Uehara on Twitter: "怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね（一部隠してます）。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 http://t.co/SwKNkH4t9s"

iwasiman 2015/06/03

これはよくわかる例ですね。標的型攻撃メールも高度になってくるとぱっと見判別できない。難しいものです。

リンク

盗聴を完全に不可能にする「量子化インターネット」の構築が本格的に進行中

By Carlos Lee 2013年、アメリカの国家安全保障局(NSA)や連邦捜査局(FBI)などの政府系機関が秘密裏に国民の情報収集をしていた問題が明らかになり、インターネットの秘匿性が大きな話題になりました。通信の秘匿性を高める技術の根幹は暗号化なのですが、﹁究極の暗号化技術﹂とも呼ばれる﹁量子インターネット﹂の構築に向けた取り組みがアメリカと中国で進められています。 Building a globe-spanning quantum internet | The Verge http://www.theverge.com/2014/11/18/7214483/quantum-networks-expand-across-three-continents 元CIA職員のエドワード・スノーデン氏がリークした情報により、政府機関が﹁PRISM﹂と呼ばれる極秘の監視システムを用いて通信内容

iwasiman 2014/11/25

セキュリティの本やSFに量子通信として出てくるやつですね。実現するといいなあ。

リンク

ベネッセの情報漏えいをまとめてみた。 - piyolog

2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人

iwasiman 2014/07/10

ふむふむ

security

リンク

はてなブックマーク

タグ

関連タグで絞り込む (7)

securityに関するiwasimanのブックマーク (12)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス