知らないと危険！Cookieのセキュリティリスクと対策 / 開発者向けブログ・イベント | GMO Developers

2024/12/18 13 users Advent Calendar GMO NIKKO 脆弱性

この記事は「GMOインターネットグループ Advent Calendar 2024」19日目の記事です。 こんにちは、GMO NIKKOの横内です。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。今回はWebブラウザで広く利用されているCookieの脆弱性について書いていきたいと思います。 はじ... 続きを読む

パスキーの本質 - falsandtruのメモ帳

2024/12/18 444 users falsandtru 本質 責任転嫁 メモ帳 削減

パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。 サービス側 企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るた... 続きを読む

検知が難しいサイバー攻撃が増加中　サイバーセキュリティの専門家を唸らせた脅威アクターの実例 | ログミーBusiness

2024/11/29 196 users サイバーセキュリティ 脅威アクター 検知 実例 一堂

サイバーセキュリティの専門家が一堂に会する、株式会社網屋の「Security BLAZE 2024」。現代の企業運営には、ランサムウェアに代表されるサイバー攻撃や内部不正など、さまざまなセキュリティリスクが伴います。本セッションでは、サイバーセキュリティの専門家が、脅威アクターの攻撃手法や対応策を解説しました。後編... 続きを読む

セキュリティ対策における「自社」の範囲はどこまでか？　業務委託先からの情報流出リスクへの備え | ログミーBusiness

2024/11/27 17 users ログミーBusiness 自社 範囲 セキュリティ対策 一堂

セキュリティ対策における「自社」の範囲はどこまでか？　業務委託先からの情報流出リスクへの備え提供：株式会社網屋 サイバーセキュリティの専門家が一堂に会する、株式会社網屋の「Security BLAZE 2024」。現代の企業運営には、ランサムウェアに代表されるサイバー攻撃や内部不正など、さまざまなセキュリティリスク... 続きを読む

Windows 10 のサポート終了に伴う注意喚起 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

2024/10/15 11 users IPA 注意喚起 独立行政法人 情報処理推進機構 サポート終了

2025年10月14日（米国時間）に、Windows 10のサポートが終了します。 サポート終了後はセキュリティ更新プログラムの提供がなくなり、セキュリティリスクが高まります。 同ソフトウェア製品の利用者においては、サポートが継続している後継製品、または代替製品への移行などの対応が望まれます。また、OSだけでなく、対... 続きを読む

IT部門が頭を抱える「CentOS終了問題」　なぜ企業は後継OSに「AlmaLinux」を選ぶのか

2024/10/09 298 users AlmaLinux CentOS 有償 後継ＯＳ ゴス

IT部門が頭を抱える「CentOS終了問題」　なぜ企業は後継OSに「AlmaLinux」を選ぶのか：移行先の検討で留意すべきこと 無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コス... 続きを読む

「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識

2024/09/26 262 users 混在 記号 数字 NISC 内閣サイバーセキュリティセンター

パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準... 続きを読む

GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog

2024/08/19 60 users GitHub セキュリティチーム セキュア github上

こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI... 続きを読む

Windows OSにインストールされている全てのPHPに影響　緊急度「Critical」の脆弱性が発覚

2024/06/11 7 users Critical コンサルティングサービス PHP 発覚 台湾

台湾でサイバーセキュリティのコンサルティングサービスを提供しているDEVCOREは2024年6月6日（現地時間）、PHPに緊急度が「緊急」（Critical）に分類される重大なセキュリティ脆弱（ぜいじゃく）性が存在すると伝えた。 PHPに発覚した新たなセキュリティリスク この脆弱性はWindows OSにインストールされている全てのバ... 続きを読む

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

2024/05/30 165 users XSS セキュリティエンジニア Content-Type

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作... 続きを読む

オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog

2024/05/21 12 users オブジェクトストレージ クラウド時代 データ オブジェクト

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクト... 続きを読む

システム開発の外注とは？メリット・デメリットと外注先の選定ポイント

2024/05/17 16 users 外注 外注先 選定ポイント メリット システム開発

目次[非表示] 1.システム開発を外注するメリット 1.1.①IT人材の確保・育成にコストをかけずに済む 1.2.②業界のスペシャリストに開発を依頼できる 1.3.③あらゆる開発コストを削減できる 1.4.④セキュリティリスクを低減できる可能性がある 2.システム開発を外注するデメリット 2.1.①自社にシステム開発のノウハウが蓄積さ... 続きを読む

Linuxカーネルに特権昇格の脆弱性　急ぎ確認とアップデートを

2024/04/03 7 users Linuxカーネル 特権昇格 PoC 脆弱性 root

NSFOCUSは2024年3月29日（現地時間）、Linuxカーネルの特権昇格を可能にする脆弱（ぜいじゃく）性（CVE-2024-1086）の詳細と概念実証（PoC）ツールが公開されたと伝えた。 Linuxカーネル特権昇格のセキュリティリスク、NSFOCUSが報告 この脆弱性を悪用すると、サイバー攻撃者が自身の特権を一般ユーザーからrootに昇格さ... 続きを読む

ChatGPTでデータベースに侵入　機密情報を漏えいさせるコードを生成　英国と中国の研究者らが実証

2023/11/05 17 users chatgpt NLP アルゴリズム 実証 侵入

自然言語処理（NLP）アルゴリズムが意図的な攻撃に対して脆弱であることはすでに実証されている。しかし、これらの脆弱性がソフトウェアのセキュリティリスクとしてどのように影響するかについては、十分に調査されていない。 この問題を解決するために、データベースと自然言語インタフェースを結び付けるためのText-to... 続きを読む

「署名をUSBメモリで渡す」の是非　“FAX縛り”の取材に見た、国政DXの遅れ

2023/10/23 35 users 署名 USBメモリ 取材 署名活動 情報漏えい

国や企業などに要望を伝えるための署名活動が変化してきている。最近は、署名データをUSBメモリに格納して渡す例も出てきたが、情報漏えいなどのセキュリティリスクも指摘されている。大量の署名を安全に受け渡すにはどうすればいいのか考える。 国や企業などに要望を伝えるための署名活動が変化してきている。以前は、... 続きを読む

「それは、本当に安全なんですか？」　セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ

2023/10/19 423 users GitHub Copilot PSIRT 全社一斉 ただし氏

「GitHub Copilot 導入時に考えたセキュリティのあれこれ」というタイトルで登壇したのは、freee株式会社のただただし氏。タイミー社主催の「GitHub Copilotで拓く開発生産性」で、「GitHub Copilot 」を全社一斉導入する際に考えるべきセキュリティリスクについて発表しました。 freee株式会社 PSIRT マネージャーのた... 続きを読む

SREを以てセキュリティエンジニアリングを制す / SRE, Security Engineering, and You

2023/10/02 16 users SRE Reliability SRE NEXT 共通項 概念

SRE NEXT 2023 のスポンサーセッション (20min) で使用したスライドです。 --- 概要: システムやソフトウェアの信頼性（Reliability）とセキュリティは多くの共通項を持つ概念です。本セッションでは、信頼性に主な関心を置いた技術体系であるSREを、セキュリティリスクの健全な管理のための技術体系として活用する方法... 続きを読む

Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12

2023/08/31 8 users セキュリティ 脆弱性 Amazon 事例 EC2

1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性... 続きを読む

Shisho Cloud - エンジニア組織のクラウドセキュリティをもっとシンプルに。

2023/08/23 9 users Shisho Cloud クラウドセキュリティ 知見 堅牢化

Shisho Cloud は AWS/Google Cloud 運用を堅牢化するためのセキュリティサービスです。Flatt Security が培ってきた知見をもとに、膨大なクラウドの利用様態や設定不備を評価し、セキュリティリスクの可視化と修正を支えます。わかりやすい診断結果レポートの出力機能や、Policy as Code 機能による高いカスタマイズ性を... 続きを読む

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク

2023/08/12 13 users import Python 悪用 解決策 危険性

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク：便利だが攻撃者による悪用の可能性も Pythonのimportステートメントには、開発者や企業が注意する必要があるセキュリティリスクが伴う。これがどのように機能するのか、そしてなぜ簡単な解決策がないのかを解説する... 続きを読む

APIはインターネットトラフィックの83%を占める ー APIのセキュリティリスクについての試算が公開

2023/07/31 18 users インターネットトラフィック 試算 標的 API サイバー攻撃

7月28日、APIインフラストラクチャは使命上重要であることを強調する発表を行いました。 APIはあらゆる産業を革新し、デジタルトランスフォーメーションを推進し、グローバルなインターネットトラフィックの83％以上を占めています。 しかし、APIはセキュリティ上の課題を抱えており、サイバー攻撃の標的になっています... 続きを読む

Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明

2023/04/27 16 users エンドツーエンド 懸念 判明 クラウドバックアップ e2e

ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Go... 続きを読む

TikTokを中心とした「セキュリティリスクあり」と政府がみなしたアプリを禁止するための法案が米下院外交委員会で承認される

2023/03/02 6 users TikTok バイデン政権 法案 政策執行機関 政府

現地時間の2023年3月1日、バイデン政権にTikTokをはじめとする「セキュリティリスクあり」とみなされたアプリを禁止するため法案を、アメリカ下院外交委員会が承認しました。2023年2月末にはEUの政策執行機関である欧州委員会がTikTokの使用を禁止したばかりです。 U.S. House panel approves bill giving Biden power t... 続きを読む

古いiPhoneはいつまで安全なのか？セキュリティリスクになるタイミングを解説 | ライフハッカー・ジャパン

2023/01/31 5 users 古いiPhone タイミング ライフハッカー・ジャパン 解説

HACK! THE NEW SOCIETY with ＆e. より良い未来の作り方 交通事故のない世界を目指し、社会全体が豊かになっていくことを目的とした共創型自動車保険「＆e （アンディー） 」。ライフハッカーはそんな「＆e」とともに、より良い社会とビジネスの共創を模索する人々の対話と奮闘をご紹介します。 続きを読む

FortinetのVPN製品に「バッファオーバーフロー」の脆弱性　どう対処すべきか

2023/01/13 13 users Fortinet バッファオーバーフロー VPN 米国 攻撃

関連キーワード VPN | 脆弱性 | セキュリティリスク セキュリティベンダーFortinetによると、同社のVPN（仮想プライベートネットワーク）製品に存在する深刻な脆弱（ぜいじゃく）性が攻撃に悪用された。脆弱性「CVE-2022-42475」は、米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）の評価では... 続きを読む