一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
■サマリー 2022年4月~5月にかけてVMware製品の深刻な脆弱性が公表されました。 これを受けてCISA*1が緊急指令22-03を発出しました。 前回の緊急指令は22-02_ApacheLog4j 該当製品を利用している場合は急ぎアップデートが必要です。 www.cisa.gov ■脆弱性番号:報告日 CVE-2022-22954:2022年4月6日 CVE-2022-22960:2022年4月6日 VMSA-2022-0011 CVE-2022-22972:2022年5月18日 CVE-2022-22973:2022年5月18日 VMSA-2022-0014 ■どのような脆弱性か? C…
msrc-blog.microsoft.com ■悪用確認済の脆弱性 CVE-2022-26925:Windows LSA のなりすましの脆弱性 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925 攻撃条件の複雑さが「High」評価だが、以前公開されたアドバイザリ ADV210003 と組み合わせでリスクが高くなる。 Active Directory Certificate Services (AD CS) に対する NTLM リレー攻撃の緩和 https://msrc.microsoft.com/updat…
米NBAは「 The Association NFT 」という新しいシリーズのNFTを立ち上げた。これは、NBAコミュニティのサーバーに所属する初期メンバーに限定してNFTを提供することを目的としている。ただし、このNFTシリーズのスマートコントラクト(NFTの作成と取引を可能にするコンピューターコード)のセキュリティ上には脆弱性があり、現在NFTが複製され、マーケットプレイスで転売されている。 NBAはスマートコントラクトの脆弱性について認め、ファンに対して問題解決に取り組むと述べた。4月22日、このNFTシリーズの個数を18,000個から30,000個に増やすと発表した。 「The Ass…
脆弱性とは、脅威がつけこめることができる組織や情報システムを指します。組織に於ける脆弱性としては、機密情報や個人情報を管理する為の体制がしっかりしていないことが挙げられます。情報システムに於ける脆弱性は、ソフトウェアやハードウェアの欠陥により発生したセキュリティホールが挙げられます。脆弱性が発見されたら、OSやソフトウェアの開発元はその脆弱性を解消するためのアップデートを行います。脆弱性情報を把握しアップデートを心がけることが大切です。下記の表で①②③に入るべき言葉を選んでください。 ア ①脅威②脆弱性③リスク イ ①リスク②脅威③脆弱性 ウ ①脅威②リスク③脆弱性 エ ①脆弱性②脅威③リスク…
ホンダの乗用車シビックのキーレスシステムに脆弱性が発見された記事をまとめた記事になります。 脆弱性の種類 CVSS 関連CVSS 対象車 可能な悪用 攻撃方法 対策 関連記事 脆弱性の種類 キーレスシステムの脆弱性 CVSS CVE-2022-27254 Score: 未定 https://nvd.nist.gov/vuln/detail/CVE-2022-27254 関連CVSS 過去にも類似の脆弱性が存在。 CVE-2019-20626 Score:6.5(Medium) https://nvd.nist.gov/vuln/detail/CVE-2019-20626 対象車 Civic L…
CRI-O の脆弱性 (CVE-2022-0811) について調べた内容をまとめました。脆弱性の詳細と、関連する CRI-O の実装や Linux の機能を紹介します。 CVE-2022-0811 概要 CRI-O について CRI-O 概要 pinns による pod へのカーネルパラメータ設定 Coredump エクスプロイト 要点 検証 回避策 修正パッチ commit1 commit2 containerd の場合 さいごに 参考リンク CVE-2022-0811 概要 CVE-2022-0811 は CRI-O の任意コード実行・コンテナブレイクアウトの脆弱性で、報告した Crowd…
モスバーガー、ポテト販売再開。24日から - Impress Watch ポテトはジャガイモの種を日本国内に持ち込んで栽培することは出来無いのですよね 何故なら虫とかの侵入があるかもしれ無いからですね。 だからどっかで加工品になったポテトを輸入するしかないのですよね。 日本にはマクドナルドのポテトの品種がないので、 どっちにしろ輸入するしかないのです。 日本産のポテトは長さが足りないので、難しいのですよね。 まぁ販路開拓でどうにかするしかないのですけどね。どうやって販路を開拓したのか 気になっているところです。日本では既にポテト用のジャガイモは生産が難しいので。 最大1Gbpsの回線に乗り換え…
はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 blog.flatt.tech たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発…
CEHの復習 Webアプリケーションの脆弱性検査をするため、久々にCEHのテキストを見直す。 14章が「Hacking Web Applications」で300ページほどあり、20章のうちで、特にボリュームが多かったと記憶している。 改めて見直すと、基本的な理論からツールの紹介まで、幅広く網羅されている。 ツールについては、以下のカテゴリで列挙されていた。 Web application Analyze Web application Vulnerability Web application Hacking API Vulnerability Fuzz Testing Web applic…
CentOS Linux 8のサポートは、当初のアナウンスの通り2021年12月31日で終了しました。サポートがなくなったOSが危険であるということは一般に広く認識されています。でも、その危険性とは具体的にどういったものなのでしょうか? 脆弱性はどれくらい報告されているのか ここでは脆弱性情報を総合的に取り扱っている「CVE Details」のサイトからいくつかの数字を見ていきます。このサイトではLinuxだけでなくWindowsや各種アプリケーションの脆弱性情報も含まれていますので、全体的な傾向がわかります。 www.cvedetails.com 脆弱性件数はこの10年で大幅に増加 2010…
概要 KubeCon + CloudNativeCon EU が 2022年5月16日から20日の日程で行われた。 16日と17日には co-located event があり、本体のイベントは18日からの3日間であった。 トラック毎のセッション数の比較を下に示す。 増減がはっきりしないものがほとんどであるが、"Security + Identity + Policy" と Observability と "Customizing + Extending kubernetes" は増えているように見える。 セッション数 前回に引き続き、会場とネット配信のハイブリッド開催で、co-located…
先週に続き、2022年6月20日~6月26日に読んだ中で気になったニュースとメモ書き(TLSらじお第62回の前半用原稿)です。 [EdDSA Double-PubKey Oracle攻撃] [CertigoとTlsx] [その他のニュース] ▼e-GovのTLSプロトコル ▼Amazon CloudFrontのTLSヘッダー ▼JavaとTLS ▼OpenSSL:CVE-2022-2068 ▼証明書管理ツールStep [まとめ]
「えーっ?、その英語の頭文字略語って・・・・こんな読み方するんですか?」 ①カンファレンスの時に、准教授達がこんな読み方をするので・・・・②社内でべテラン課長(もう出世しない)が、頑固にこう読むので・・③ベテランのラボランチンがこう読むので、これ彼だけのアクロニム読みですか?④院内では皆がこう読みます・・・ええ隠語としても使ってますね・・・⑤うちの研究室の抄読会では、この読み方が普通なんですけど・・・⑥ええ、地方会に出てから、こんな読み方を私も・・・これ間違ってます?⑦MR(チョット生意気な)がこんな言い方をするので、つられて私も・・・⑧看護師達全員がこう読むので、いつの間にか院内では・・・・…
はじめに 「マネジメントの責任」とは? マネジメントについて 具体的な実施例 他の管理策との関連性 具体的な実施例 その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「マネジメントの責任」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。 「マネジメントの責任」とは? 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。 ISO/IEC 27002:2022 5.4 Ma…
[!]お断り: この記事はZen.conf's Record 旧本館の仕様変更に伴い、Tumblrからhatenablog に記事を移したものです。そのため内容は2021年12月26日時点のままとなっています。 はじめに 2018年辺りに「ネットに繋がったウェブカメラやPCの映像やログイン画面が見れるヤベー検索エンジンがある」というインパクト全開の文脈でTechCrunch日本語版で発表されてから日本でも利用者が増え始めたネットワーク機器検索エンジンShodan.io。非常に便利です。 しかしこのShodanを使う上で障壁になっているのが、無料ユーザに対する大幅な検索回数制限。アカウントを持た…
2084年のSF (ハヤカワ文庫JA) 作者:日本SF作家クラブ編 早川書房 Amazon 1000の小説とバックベアード (新潮文庫) 作者:友哉, 佐藤 新潮社 Amazon 私の好きな小説に佐藤友哉の『1000の小説とバックベアード』という小説があって、その中にこんな一文がある。 なぜなら、小説を書くような心で書いたら……それはもう、小説なのだから。 (1000の小説とバックベアード P.151) これは私にとって本当に大切な言葉の一つで、どんなに人に欠点を指摘されようと心の中で自分の文章を信じる限り、自分の小説について信じられる金言だからだ。 その上で、空木春宵先生の『R____ R_…
Hello there, ('ω')ノ 大企業から5.2kの顧客データをどのように漏らしたかを。 脆弱性: 壊れたアクセス制御 記事: https://infosecwriteups.com/how-did-i-leak-5-2k-customer-data-from-a-large-company-via-broken-access-control-709eb4027409 今回は、数か月前に見つけた脆弱性について。 この脆弱性は、社内の顧客やサプライヤを直接標的にしており。 大手スキンケア会社のサブドメインでもあって。 最初に、crt.shを使用していて、他のサブドメインへのハッキングの試…
目次 目次 はじめに 購入動機 本 出版社 発売日 言語 単行本 内容 得た知識 はじめに 個人的な読書記録です。 購入動機 IPAの情報安全確保支援士試験を受験する予定だったので、勉強がてら購入。 結論として、支援士の勉強にはあまり参考にならないかもです。 本 実践ネットワークセキュリティ監査―リスク評価と危機管理 実践ネットワークセキュリティ監査―リスク評価と危機管理作者:クリス マクナブオライリージャパンAmazon 出版社 オライリージャパン 発売日 2005/4/25 言語 日本語 単行本 455ページ ¥4,200 内容 本書では、ネットワーク防衛戦略を行うにあたり管理者が行うべき…
はじめに フロントエンドにVue.jsを用いている際にHtmlを動的に出力する処理について備忘録として残します。 v-htmlディレクティブを用いる 結論から言うとv-htmlディレクティブを用いることで対応が可能です。 利用例としては以下のような感じとなります。 <template> <div v-html="testHtml"></div> </template> <script> export default { data() { return { testHtml: "" }; }, created(){ // testHtmlへHtmlを入れる処理 // 値の例は<p>テスト</p>…
1.応用情報はどうやって採点されてるの? 2.自己採点 3.実際 こんにちは! rITblogの運営者、おたまると申します。 本日は応用情報を受けてみての自己採点と実際の点数の差を 比べてみたいと思います。 今回はitecでの差異をみていこうと思います。 勉強したのは、セキュリティ、データベース、組込みシステム プロジェクトマネジメント、サービスマネジメント、システム監査 となります。 当日はSQLが難しそうと判断したためデータベースは選択しませんでした 自己採点 1.セキュリティ 設問1 a.サービス コンテンツにした× -2 設問2 b.WAF 〇 設問3 バージョン、名称 → バージョン…
明日Googleアナリティクスのダッシュボードを開いて、トラフィックが横ばいになっていることに気付いた場合、どれほど困惑するか想像してみてください。 このシナリオは一般的ではありませんが、検索エンジンの巨人がペナルティでサイトを平手打ちした場合に発生する可能性があります。 誰もがGoogleのペナルティを恐れています。 あなたもそうだと思います。 Googleのペナルティは、Googleがアルゴリズムを変更した場合にのみ発生すると考える場合(ペンギンの更新など)、あなたは間違っています。 今でも、これを読んでいると、主要なアルゴリズムの更新がないにもかかわらず、何らかの形のGoogleペナルテ…
「今日の香港、明日の台湾、そして明後日の沖縄」の危惧感 正当性はどこまで?(Sputnik日本) https://jp.sputniknews.com/20220624/11685649.html 「今日の香港、明日の台湾、そして明後日の沖縄」の危惧感 正当性はどこまで? 2022年6月24日, 16:40 (更新: 2022年6月24日, 20:47) © AP Photo / Guang Niu リュドミラ サーキャン 沖縄県は、今年末までに、沖縄への武力攻撃予測の事態を想定した訓練を初めて実施する計画である。今回行われるのは、先島諸島からの住民の避難についての詳細を確認するための図上訓練…
はじめに 「職務の分離」とは? 具体的な実施例 「職務の分離」が十分に機能しないとどうなるのか? その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「職務の分離」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。 「職務の分離」とは? 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。 ISO/IEC 27002:2022 5.3 Segregation of duti…
2015年の発売以来、根強い人気が続く「GTA5」をPCで遊ぶ方向けに推奨スペックと必要動作環境(CPU,グラボ、メモリ、HDD容量など)を確認していきます。 記事作成日 : 2019/01/08 作成最終更新日 : 2022/06/26 更新34回目 最新情報に更新
2018年11月20日にバトルフィールドシリーズ最新作「Battlefield Ⅴ」のPC版が発売されます。購入を検討されている方向けに推奨スペックと必要動作環境(CPU,グラボ、メモリ、HDD容量など)を確認していきます。 記事作成日 : 2018/09/06 作成最終更新日 : 2022/06/26 更新42回目 最新情報に更新