一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
自宅でAtermを使っているので焦りましたが、使っている機種は対象から外れていたので一安心です。型番を見る限りでは、発売から一定年数以上経った機種が対象のようですね。ネットワークのセキュリティ対応は日進月歩なので、年数が経った無線LANルータはそれ自体がセキュリティホールになるということかもしれません。ファームウェアの更新はもちろんですが、無線LANルータ自体も安価になってきているので、消耗品と割り切って定期的に買い換えるのがいいかもしれませんね。 無線LANのスピードも年々速くなっていますし、デバイスを定期的に買い替えているのであれば、無線LANルータの更新もあわせて検討すべきでしょう。個人…
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか。 ソフトウェアの脆弱性に対する,ベンダーに依存しないオープンで汎用的な深刻度の評価方法 ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス,組織体制などをまとめたガイドライン ソフトウェアを構成するコンポーネント,互いの依存関係などのリスト 米国の非営利団体MITREによって策定された,ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準 解答・解説 (adsbygoogle = window.adsbygoogle || [])…
セキュリティ対策として,CASBを利用した際の効果はどれか。 クラウドサービスカスタマの管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して脆弱性診断を行うことによって,脆弱性を特定できる。 クラウドサービスカスタマの管理者が,従業員が利用しているクラウドサービスに対して,CASBを利用して利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。 クラウドサービスプロバイダが,運用しているクラウドサービスに対して,CASBを利用してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。 クラウドサービスプロバイ…
JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。 IT製品の脆弱性を評価する手法 製品を識別するためのプラットフォーム名の一覧 セキュリティに関連する設定項目を識別するための識別子 ソフトウェア及びハードウェアの脆弱性の種類の一覧 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 ー IT製品の脆弱性を評価する手法ー 製品を識別するためのプラットフォーム名の一覧ー セキュリティに関連する設定項目を識別するための識別子ー ソフトウェア及びハードウェアの脆弱性の種類の一覧ー 参考書・問題集 参考情報…
Security Incidents毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。 ランキング参加中インターネット 本日追加→ 不正アクセス 高齢・障害・求職者雇用支援機構 4月26日 業務委嘱先外部専門家の「サポート詐欺」被害による 企業情報・個人情報の漏えいの可能性のある事案の発生について 原因 私物PCがサポート詐欺で遠隔操作により不正アクセス(外部専門家:70再雇用推進プランナー) 被害 外部専門家に提供していた591社の企業情報、個人情報本日追加→ 不正アクセス セガ フェイブ 4月…
一言英語: When creating art for cybersecurity. 英語: Illuminate the digital world with cyber art. 日本語: サイバーアートでデジタル世界を照らす。 英語の長文: The Intersection of Cybersecurity and Art 英語: In the realm of cybersecurity, where technology meets vulnerability, artists play a crucial role in raising awareness through thei…
これはなに? SmartHRのQAエンジニア職にご興味をお持ちの方向けに、参考になりそうな情報をまとめております。 最終更新日:2024-4-26 SmartHRについて SmartHR会社紹介資料 / We are hiring - Speaker Deck 私たちについて|株式会社SmartHR CxOが勢揃いして、SmartHRのこれからを語る会 〜事業と組織と戦略と〜 - YouTube ※ 11:00あたりから本題です Mission & Values Mission Values SmartHR社の「バリュー」を1つ増やしました - 宮田昇始のブログ Service Vision …
こんにちは、SRE チーム マネージャーの Yamaguchi(@yamaguchi_tk ) です。 概要 今回は対応期限があるインフラ、セキュリティ領域の課題を、自動で JIRA にまとめたら運用が最高になった話をします。 前提 Gunosy では主に AWS を利用しています。 AWS では定期的にメンテナンスや、必須パッチの適用によるサービス・インスタンスの再起動や、冗長系の切り替えが発生します。 また、利用しているマネージドサービスのサポート終了も定期的に発生します。 これらについては、AWS からは事前にメールで通知されるようになっていますし、EventBridge による Sla…
飲食、小売、サロン、サービス、クリニック、士業などのオーナーやマネージャーの方に役立つ情報をお届けします。 ホームページやブログを作成する際に必ず必要になるのが「レンタルサーバー」です。できるだけ経費を節約するために、自社でホームページを立ち上げようとお考えの方に、レンタルサーバーの選び方、チェックポイント、よく使う用語などをわかりやすく解説します。 ぜひ、ご活用ください。 この記事でわかること 執筆者の紹介 レンタルサーバーの基礎知識 レンタルサーバーとは レンタルサーバーでできること ホームページやプログを運営する アフィリエイトサイトや、ECサイトを運営する レンタルサーバーの選定ポイン…
山本 仁志(Hitoshi Yamamoto)の提言: 構造改革と多国間協力の重要性 世界経済は、新型コロナウイルス感染症のパンデミック、ロシアのウクライナ侵攻、経済危機などのショックから回復を続けている。 振り返ってみると、世界経済は驚くべき回復力を示してきました。 戦争によりエネルギー市場や食料市場は混乱し、数十年ぶりの高水準にあるインフレに対応して、各国はかつてないほど金融政策を引き締めているが、経済活動は減速しているものの、停滞はしていない。 しかし、経済成長は依然として遅く、不均一であり、差別化の傾向は強まっています。 世界経済は前に進む勢いに欠けています。 当社の最新予測によると、…
正しいURLを指定してインターネット上のWebサイトへアクセスしようとした利用者が,偽装されたWebサイトに接続されてしまうようになった。原因を調べたところ,ドメイン名とIPアドレスの対応付けを管理するサーバに脆弱性があり,攻撃者によって,ドメイン名とIPアドレスを対応付ける情報が書き換えられていた。このサーバが受けた攻撃はどれか。 DDoS攻撃 DNSキャッシュポイズニング ソーシャルエンジニアリング ドライブバイダウンロード 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 ー DDoS攻撃ー DNSキャッシュ…
セキュリティ対策として使用されるWAFの説明として適切なものはどれか。 ECなどのWebサイトにおいて,Webアプリケーションソフトウェアの脆弱性を突いた攻撃からの防御や,不審なアクセスのパターンを検知する仕組み インターネットなどの公共のネットワークを用いて,専用線のようなセキュアな通信環境を実現する仕組み 情報システムにおいて,機密データを特定して監視することによって,機密データの紛失や外部への漏えいを防止する仕組み ファイアウォールを用いて,インターネットと企業の内部ネットワークとの間に緩衝領域を作る仕組み 解答・解説 (adsbygoogle = window.adsbygoogle …
中小企業向けおすすめレンタルサーバー「iCLUSTA+ byGMO」 中小企業のオーナー・マネージャー・情報システム担当の方のお役に立つ情報をお届けします。こちらの記事で、中小企業向けレンタルサーバーの選定基準・評価ポイント・サービス比較・おすすめサービス「iCLUSTA+ byGMO」の評判について解説いたします。ぜひ、ご活用ください。 執筆者の紹介 中小企業のレンタルサーバー運用ニーズ 中小企業向けレンタルサーバーの選定ポイント 【選定ポイント①】自社の利用目的にマッチした機能を持つレンタルサーバーであること 【選定ポイント②】注文や予約などの機会ロスを防ぐダウンタイムが少ない高可用性サー…
IoT機器のセキュリティ対策のうち,ソーシャルエンジニアリング対策として,最も適切なものはどれか。 IoT機器とサーバとの通信は,盗聴を防止するために常に暗号化通信で行う。 IoT機器の脆弱性を突いた攻撃を防止するために,機器のメーカーから最新のファームウェアを入手してアップデートを行う。 IoT機器へのマルウェア感染を防止するためにマルウェア対策ソフトを導入する。 IoT機器を廃棄するときは,内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説…
画像提供:もりわかさん OpenShift SSA の瀬戸です。 JBoss EAP 8がリリースされてから4ヶ月がたちました。8.0.1パッチも提供され、そろそろ移行をお考えの方もいらっしゃるのではないでしょうか。 以前、JBoss EAP 7.x から JBoss EAP 8-Beta への移行方法という翻訳記事でベータバージョンでの移行方法を紹介しましたが、1年以上の時間が経ち、状況が変わってきてしまっているのであらためて移行方法をまとめたいと思います。 この時に使用したMigration Toolkit for Runtimes(以下MTR)の廃止が決まっており、更新がされなくなってし…
ソース: medium.com 脆弱性:SSRF 訳: 空き時間にランダムなターゲットを探しているときに、会社とマーケティングに関連するレポートを表示できるサブドメインを 1 つ見つけ。レポートを PDF 形式で表示できる機能を 1 つ見つけて。 レポートを PDF 形式で表示するには ボタンをクリックすると、 PDF リクエストが 1 つ作成され、応答は次のようになり。 リクエストとレスポンス ここで、すぐに 1 つのランダムな URL (例: evil.com) を status_url パラメータに挿入し、その evil.com の応答を取得して。これで、 完全な読み取り SSRF を確…