orangeitems’s diary

クラウドで働くエンジニアの日々の感想です。

「そのクラウド、セキュリティーは大丈夫?」に回答するための方法をまとめる

そのクラウド、セキュリティーは大丈夫? パブリッククラウドの利用において、「セキュリティーは大丈夫か?」という質問を受け取ることはありませんか?。 質問自体はシンプルなのですが、「大丈夫ですよ」と答えるのはなかなか大変ではないでしょうか。も…

2019年2月20日から総務省とNICTが実施する「NOTICE」まとめ

NOTICEの概要 目的 日本国内でインターネットにつながるIoT機器のうち、認証が脆弱でサイバー攻撃に悪用される可能性のある機器を探し、インターネットプロバイダーを通じて機器の所有者へ改善を求めること。 主管 総務省、国立研究開発法人情報通信研究機構…

GoogleもPeingも、脆弱性のレベルは似たようなもんだよねって話

Peingの脆弱性の件は初動対応がまずいという話を書きました。一方で、今日Googleから受け取ったメールを見て、脆弱性のリスクについては大企業もベンチャーも似たようなものなんだということを深く確信しました。 Googleから受け取ったメール いつも Google …

「情報セキュリティ10大脅威 2019」に初登場したサプライチェーン攻撃とは何か

「情報セキュリティ10大脅威 2019」の発表 本日、「情報セキュリティ10大脅威 2019」という記事がIPAから発表されています。 この情報については情報処理安全確保支援士の研修の中でも題材に必ず挙げられます。セキュリティー攻撃のトレンドについては常に最…

プライバシーマークは、パスワード保管時の暗号化を義務づける認証ではない件について

平文でパスワードを保管することとプライバシーマークの関係 宅ファイル便の個人情報漏洩事件が業界では大騒ぎとなっているのですが、1つ話題にしておかなければならないことがあります。運営会社はプライバシーマークを取得しているという事実です。しかし…

Peing脆弱性案件に見る初動のまずさ

https://peing.net/ 質問箱Peingに脆弱性が発見されメンテナンス中に 現在、下記ツイートに関連して、質問箱Peingのサービスがメンテナンス中となっています。 第三者が勝手にツイートできてしまう問題について対応中で、明朝までに復旧見込みです。本事象に…

宅ふぁいる便、480万件情報流出についてまとめる

問題の概要 宅ふぁいる便の情報流出がニュースになっています。 www.nikkei.com 大阪ガス子会社のオージス総研(大阪市)は25日、大容量ファイル転送サービス「宅ふぁいる便」で一部サーバーが不正アクセスを受け、全登録ユーザー数に相当する480万件の顧客…

Emergency Directive 19-01「DNSインフラストラクチャ改ざんの軽減」

DNSの改ざんが多発しているとのこと アメリカ政府も閉鎖が長期化する中でよくやっているなと思いますが、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が緊急指令を各省庁に出したそうです。 www.itmedia.co.jp 米連…

ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている

ThinkPHPという中国ローカルのフレームワークに脆弱性 ThinkPHPと聞いても日本の誰も知らないと思いますが、中国ではかなりの人気のあるフレームワークだそうです。このフレームワークに脆弱性が見つかり、中国ではこれに対する攻撃が蔓延しているとZDnet.co…

【注意喚起】Windowsの臨時更新プログラムがリリース(2018/12/20)、すぐに適用した方がよさそう

Windowsの臨時更新プログラム発表 もうすぐ年も終わるこの時期に、Microsoftから臨時の更新プログラムが出ました。 www.itmedia.co.jp 米MicrosoftのInternet Explorer(IE)で未解決の脆弱性を突く攻撃が発生していたことが分かり、同社は12月19日、定例外…

マイナンバー法、無断再委託禁止ルールをベンダー視点で再考する

マイナンバー法の再委託の件を再び考える 国税庁のマイナンバー入力案件について、委託先が無断再委託した、という件が問題になっていた件があったと思います。 www.orangeitems.com この件について、受注したベンダーの側を想像して、別の視点から考えてみ…

クレジットカードが危ない?!、認証の脆弱性事例が続々と

PayPayでクレジットカード不正利用の報道 ここ最近大きな話題となったPayPayに、クレジットカード不正利用の報道が流れています。 www.msn.com QRコードを使ったキャッシュレス決済で話題の「ペイペイ」で、クレジットカードの不正利用が判明した。購入額…

これって漏えいと呼ぶのかなあ・・・「国税庁委託先がマイナンバーなど個人情報70万件漏えい」

マイナンバーが漏えいの報道 マイナンバーの運用は運用開始当時から適当だなあと思いますが、ついに運用エラーが起きてしまったようです。 mainichi.jp 国税庁は14日、東京、大阪両国税局からデータ入力を委託されていた業者が契約に反して別業者に再委託し…

サイバーセキュリティー基本法の最高責任者がパソコン未経験者でも成り立つ理由

サイバーセキュリティー最高責任者のITリテラシーが低いという問題 サイバーセキュリティー基本法という、2016年に制定された法律があります。 これを所管する最高責任者であるサイバーセキュリティー担当大臣は、パソコンを全く知らない、と言うことが話題…

情報安全確保支援士のオンライン研修が教えてくれたこと

情報安全確保支援士 情報安全確保支援士という資格をご存知でしょうか。 www.ipa.go.jp サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営…

HTTP-over-QUIC(HTTP/3)って、UDPなの!??

HTTP/3のお話 IETFやGoogleは、Webの世界を発展させるためにはHTTP/HTTPSをもっと最適化させなければいけないと思っています。これは正しいです。 ただ、今考えられているHTTP over QUIC、これをHTTP/3と呼ぶ、と決まったらしいのですが。 gigazine.net イン…

またまたまたCPU脆弱性!Portsmashの詳細を知る

今度はPortSmash(ポートスマッシュ) 去年の年末あたりから、延々とCPU脆弱性の話題が尽きません。最近はやっと各種パッチなどで収束した!、と思った矢先に新しい話が投入です。 pc.watch.impress.co.jp 11月2日、Intelの「Hyper-Threading」テクノロジー…

ICMPごときでクラッシュする、iPhone・IPadやMacの深刻な脆弱性が発見される

Apple製品のひどいバグ発見 久しぶりに見ましたね、こんなひどいバグ。 pc.watch.impress.co.jp 米セキュリティ企業のSemmleは10月30日(米国時間)、Appleの開発する、macOSやiOSなどのOSカーネルである「XNU」に脆弱性を発見したことを公表した。 (中略) 1…

コンテナ時代のセキュリティーをどう確保していくかを考えなければいけない時期が来ている

ファミコンっぽいコンテナの世界 最近コンテナ、Docker、Kubernetesと流行に触れたことにより肌で感じたことがあります。 ・イメージ=ファミコンのカセット ・コンテナ=ゲーム ・docker=ファミコン ・永続ストレージ=ディスクシステム+ディスク 例えが…

DDoS攻撃とCDNの関係について考える

また大規模なDDoSが こちらは、はてなブックマークに22:30ごろアクセスしたときのエラーです。 はてなブックマークはAWSのCloudFrontをCDNとして使っているんですね。で、そのCloudFrontがエラーをはいています。 要求を満たすことができませんでした。Cloud…

はてな、ニコニコ動画、まとめブログ、相次ぐDoS攻撃にアカマイの警告やパワーオフ作戦を思い出す

立て続けに複数のサイトがダウン 全く良くない状況が続いています。 bookmark.hatenastaff.com 2018年10月29日(月)19:12より、はてなブックマーク(Web、アプリとも)に接続できない障害が発生しています。原因はネットワークに過大な負荷がかかっているた…

WEBサイト改ざんによるクレジットカード情報漏洩の手口が広がっている

カード情報をデータベースに持っていないECサイトが次々と漏えい ECサイトにおいて消費者がクレジットカードで決済するときに、偽の画面を挿入しカード情報を別サイトに送信してから、元の画面に戻し再度入力させユーザーにもECサイト管理者にも気づかせない…

カード情報は、クレジットカード情報非保持でも漏えいするということ

クレジットカード情報漏えいの新しい手口 下記のエントリーは、WEB管理者は一度読んでおいたほうがいいでしょう。 blog.tokumaru.org 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによる…

東証のシステム障害は、「仮想サーバートラブル」ではなく「ネットワークトラブル」だった

東京証券取引所の障害 東京証券取引所の株式売買システムの一部で障害が発生し、一部の証券会社が影響を受けたシステム障害の件に言及したいと思います。 当初「仮想サーバー」というキーワードが出てきて大変混乱しました。午前の段階では表現は以下の通り…

Windows 10 Octover Update適用でファイル消失 | 具体的な症状とは

Windows 10 Octover Updateが提供中断 先週リリースしたばかりのWindows 10 Octover Updateを適用したら、ファイルが消失する現象が発生するケースがあり、2018/10/7現在公開を停止するという状況にあるそうです。 pc.watch.impress.co.jp 米Microsoftは、先…

その具体的な攻撃方法とは?「サーバ用マザーボードに不正なマイクロチップ、中国軍がバックドアに利用か」

中国軍がマザーボードにバックドア!? 日本国内では話題にならないかもしれませんが、インフラエンジニアとして衝撃のニュースなので取り上げておきます。 www.itmedia.co.jp 米Bloombergは10月4日、中国の工場で製造されたサーバ用のマザーボードに、中国…

DNSサーバーでDNSSECを使っている人は要対応、と総務省が言っている件

総務省が注意喚起 DNSサーバーの運用と言うのは慣れてしまうと空気みたいなものですが。総務省が注意喚起をしているので取り上げます。 www.soumu.go.jp インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム…

仮想通貨取引所Zaifがハッキング被害 | 仮想通貨取引所とセキュリティーの関係を改めて考える

Zaifにてハッキング被害発生 仮想通貨取引所Zaifがハッキング被害を受けました。 たくさんのメディアが報道しています。 【速報】仮想通貨取引所Zaifがハッキング被害でBTCなど67億円流出、フィスコが株式を過半数取得・50億円支援へ Zaif、不正アクセスでビ…

GitHubで継続的に発生している大規模インシデント | 便利と危険は裏返し

GitHubから情報漏えい 中国の大規模な情報漏えいのお話です。 www.itmedia.co.jp 技術情報サイトのBleeping Computerは8月28日、中国の大手ホテルチェーンHuazhu Hotels Group(華住酒店集団)の利用客1億3000万人あまりの個人情報が、中国のダークWebフォー…

インテルCPU脆弱性「Foreshadow」の影響をまとめる

新たな脆弱性「Foreshadow」 お盆休み明けの多数のエンジニアは、脆弱性「Foreshadow」の情報収集に追われるのではないでしょうか。この記事では、報道されている情報をまとめます。 問題となっている脆弱性のコード CVE-2018-3615 : 「Intel SGX」の利用で…