知らないと危険！Cookieのセキュリティリスクと対策 / 開発者向けブログ・イベント | GMO Developers

2024/12/18 13 users Advent Calendar GMO NIKKO 脆弱性

この記事は「GMOインターネットグループ Advent Calendar 2024」19日目の記事です。 こんにちは、GMO NIKKOの横内です。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。今回はWebブラウザで広く利用されているCookieの脆弱性について書いていきたいと思います。 はじ... 続きを読む

パスキーの本質 - falsandtruのメモ帳

2024/12/18 444 users falsandtru 本質 責任転嫁 メモ帳 削減

パスキーの本質はユーザー側としてはパスワード入力機会の削減、サービス側としては企業のセキュリティリスクのユーザーへの責任転嫁とコストカットである。 サービス側 企業がユーザーにパスキーを使わせようと強要するのはログイン情報の流出や流出したログイン情報による攻撃のリスクと責任とコストから企業を守るた... 続きを読む

検知が難しいサイバー攻撃が増加中　サイバーセキュリティの専門家を唸らせた脅威アクターの実例 | ログミーBusiness

2024/11/29 196 users サイバーセキュリティ 脅威アクター 検知 実例 一堂

サイバーセキュリティの専門家が一堂に会する、株式会社網屋の「Security BLAZE 2024」。現代の企業運営には、ランサムウェアに代表されるサイバー攻撃や内部不正など、さまざまなセキュリティリスクが伴います。本セッションでは、サイバーセキュリティの専門家が、脅威アクターの攻撃手法や対応策を解説しました。後編... 続きを読む

セキュリティ対策における「自社」の範囲はどこまでか？　業務委託先からの情報流出リスクへの備え | ログミーBusiness

2024/11/27 17 users ログミーBusiness 自社 範囲 セキュリティ対策 一堂

セキュリティ対策における「自社」の範囲はどこまでか？　業務委託先からの情報流出リスクへの備え提供：株式会社網屋 サイバーセキュリティの専門家が一堂に会する、株式会社網屋の「Security BLAZE 2024」。現代の企業運営には、ランサムウェアに代表されるサイバー攻撃や内部不正など、さまざまなセキュリティリスク... 続きを読む

Windows 10 のサポート終了に伴う注意喚起 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

2024/10/15 11 users IPA 注意喚起 独立行政法人 情報処理推進機構 サポート終了

2025年10月14日（米国時間）に、Windows 10のサポートが終了します。 サポート終了後はセキュリティ更新プログラムの提供がなくなり、セキュリティリスクが高まります。 同ソフトウェア製品の利用者においては、サポートが継続している後継製品、または代替製品への移行などの対応が望まれます。また、OSだけでなく、対... 続きを読む

IT部門が頭を抱える「CentOS終了問題」　なぜ企業は後継OSに「AlmaLinux」を選ぶのか

2024/10/09 298 users AlmaLinux CentOS 有償 後継ＯＳ ゴス

IT部門が頭を抱える「CentOS終了問題」　なぜ企業は後継OSに「AlmaLinux」を選ぶのか：移行先の検討で留意すべきこと 無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コス... 続きを読む

「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識

2024/09/26 262 users 混在 記号 数字 NISC 内閣サイバーセキュリティセンター

パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準... 続きを読む

GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog

2024/08/19 60 users GitHub セキュリティチーム セキュア github上

こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI... 続きを読む

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

2024/05/30 165 users XSS セキュリティエンジニア Content-Type

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作... 続きを読む

オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog

2024/05/21 12 users オブジェクトストレージ クラウド時代 データ オブジェクト

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクト... 続きを読む

システム開発の外注とは？メリット・デメリットと外注先の選定ポイント

2024/05/17 16 users 外注 外注先 選定ポイント メリット システム開発

目次[非表示] 1.システム開発を外注するメリット 1.1.①IT人材の確保・育成にコストをかけずに済む 1.2.②業界のスペシャリストに開発を依頼できる 1.3.③あらゆる開発コストを削減できる 1.4.④セキュリティリスクを低減できる可能性がある 2.システム開発を外注するデメリット 2.1.①自社にシステム開発のノウハウが蓄積さ... 続きを読む

ChatGPTでデータベースに侵入　機密情報を漏えいさせるコードを生成　英国と中国の研究者らが実証

2023/11/05 17 users chatgpt NLP アルゴリズム 実証 侵入

自然言語処理（NLP）アルゴリズムが意図的な攻撃に対して脆弱であることはすでに実証されている。しかし、これらの脆弱性がソフトウェアのセキュリティリスクとしてどのように影響するかについては、十分に調査されていない。 この問題を解決するために、データベースと自然言語インタフェースを結び付けるためのText-to... 続きを読む

「署名をUSBメモリで渡す」の是非　“FAX縛り”の取材に見た、国政DXの遅れ

2023/10/23 35 users 署名 USBメモリ 取材 署名活動 情報漏えい

国や企業などに要望を伝えるための署名活動が変化してきている。最近は、署名データをUSBメモリに格納して渡す例も出てきたが、情報漏えいなどのセキュリティリスクも指摘されている。大量の署名を安全に受け渡すにはどうすればいいのか考える。 国や企業などに要望を伝えるための署名活動が変化してきている。以前は、... 続きを読む

「それは、本当に安全なんですか？」　セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ

2023/10/19 423 users GitHub Copilot PSIRT 全社一斉 ただし氏

「GitHub Copilot 導入時に考えたセキュリティのあれこれ」というタイトルで登壇したのは、freee株式会社のただただし氏。タイミー社主催の「GitHub Copilotで拓く開発生産性」で、「GitHub Copilot 」を全社一斉導入する際に考えるべきセキュリティリスクについて発表しました。 freee株式会社 PSIRT マネージャーのた... 続きを読む

SREを以てセキュリティエンジニアリングを制す / SRE, Security Engineering, and You

2023/10/02 16 users SRE Reliability SRE NEXT 共通項 概念

SRE NEXT 2023 のスポンサーセッション (20min) で使用したスライドです。 --- 概要: システムやソフトウェアの信頼性（Reliability）とセキュリティは多くの共通項を持つ概念です。本セッションでは、信頼性に主な関心を置いた技術体系であるSREを、セキュリティリスクの健全な管理のための技術体系として活用する方法... 続きを読む

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク

2023/08/12 13 users import Python 悪用 解決策 危険性

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク：便利だが攻撃者による悪用の可能性も Pythonのimportステートメントには、開発者や企業が注意する必要があるセキュリティリスクが伴う。これがどのように機能するのか、そしてなぜ簡単な解決策がないのかを解説する... 続きを読む

APIはインターネットトラフィックの83%を占める ー APIのセキュリティリスクについての試算が公開

2023/07/31 18 users インターネットトラフィック 試算 標的 API サイバー攻撃

7月28日、APIインフラストラクチャは使命上重要であることを強調する発表を行いました。 APIはあらゆる産業を革新し、デジタルトランスフォーメーションを推進し、グローバルなインターネットトラフィックの83％以上を占めています。 しかし、APIはセキュリティ上の課題を抱えており、サイバー攻撃の標的になっています... 続きを読む

Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明

2023/04/27 16 users エンドツーエンド 懸念 判明 クラウドバックアップ e2e

ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Go... 続きを読む

FortinetのVPN製品に「バッファオーバーフロー」の脆弱性　どう対処すべきか

2023/01/13 13 users Fortinet バッファオーバーフロー VPN 米国 攻撃

関連キーワード VPN | 脆弱性 | セキュリティリスク セキュリティベンダーFortinetによると、同社のVPN（仮想プライベートネットワーク）製品に存在する深刻な脆弱（ぜいじゃく）性が攻撃に悪用された。脆弱性「CVE-2022-42475」は、米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）の評価では... 続きを読む

セキュリティ事故につながる“クラウドの設定ミス”を自動検知、安全なクラウド運用支える日本発サービス | DIAMOND SIGNAL

2022/08/24 11 users DIAMOND SIGNAL 自動検知 クラウド 設定ミス

INDEX 数百項目のセキュリティリスクを自動で診断、設定ミスを検出 海外では複数のユニコーン、注目市場の「CSPM」 知人のアドバイスをきっかけに業界を徹底研究 AWS（Amazon Web Services）やGCP（Google Cloud Platform）、Microsoft Azureといったパブリッククラウドサービスの普及に伴い、これらにまつわる大規模な... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティエンジニア 森岡 本稿 scgajge12 視点

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

富士通、AIに潜むセキュリティリスクを分析するツールを無償公開　“安全なAI”開発を可能に

2022/06/30 10 users 富士通 情報窃取 人工知能 特性 サイバー攻撃

富士通は、AIに潜むセキュリティリスクを分析する「AIリスク問診ツール」の無償公開を発表した。AIに誤判断させて情報窃取したり、機械を誤動作させたりするAIの特性を悪用したサイバー攻撃を防ぐことができる。 富士通は2022年6月29日、AI（人工知能）に潜むセキュリティリスクを分析する「AIリスク問診ツール」を開発... 続きを読む

AWS Lambdaにおけるセキュリティリスクと対策

2022/05/30 10 users AWS Lambda 対策

Transcript ɹ"84�-BNCEBʹ͓͚Δ� ɹɹɹɹɹɹηΩϡϦςΟϦεΫͱରࡦ גࣜձࣾ'MBUU�4FDVSJUZ� ৿Ԭ�༏ଠ���:VUB�.PSJPLB� !TDHBKHF�� �����������4FDVSJUZ�+"84�����4FTTJPO�� ◦ ࢯ໊� ◦ ৿Ԭ�༏ଠ���:VUB�.PSJPLB� ◦ 4/4� ◦ NPSJPLB��� !TDHBKHF�� �� ◦ ॴଐ� ◦ גࣜձࣾ'MBUU�4FDVSJUZ� ◦ ϓϩϑΣογϣφϧαʔϏεࣄۀ෦� ◦ ৘ใՊֶઐ໳ֶߍ� ◦ ৘ใηΩϡϦςΟֶՊ ࣗݾ঺հ � �TFDKBXT��ɹ"84�-BNCEBʹ͓͚ΔηΩϡ... 続きを読む

サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog

2022/03/16 220 users サーバーレス セキュリティエンジニア 森岡 本稿 脆弱性攻撃

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク ... 続きを読む

リモートワークに伴う「燃え尽き症候群」のセキュリティリスクとは【海外セキュリティ】

2022/01/13 11 users リモートワーク 症候群 海外セキュリティ

続きを読む