脆弱性

米NBAは「 The Association NFT 」という新しいシリーズのNFTを立ち上げた。これは、NBAコミュニティのサーバーに所属する初期メンバーに限定してNFTを提供することを目的としている。ただし、このNFTシリーズのスマートコントラクト（NFTの作成と取引を可能にするコンピューターコード）のセキュリティ上には脆弱性があり、現在NFTが複製され、マーケットプレイスで転売されている。 NBAはスマートコントラクトの脆弱性について認め、ファンに対して問題解決に取り組むと述べた。4月22日、このNFTシリーズの個数を18,000個から30,000個に増やすと発表した。 「The Ass…

脆弱性とは、脅威がつけこめることができる組織や情報システムを指します。組織に於ける脆弱性としては、機密情報や個人情報を管理する為の体制がしっかりしていないことが挙げられます。情報システムに於ける脆弱性は、ソフトウェアやハードウェアの欠陥により発生したセキュリティホールが挙げられます。脆弱性が発見されたら、OSやソフトウェアの開発元はその脆弱性を解消するためのアップデートを行います。脆弱性情報を把握しアップデートを心がけることが大切です。下記の表で①②③に入るべき言葉を選んでください。 ア ①脅威②脆弱性③リスク イ ①リスク②脅威③脆弱性 ウ ①脅威②リスク③脆弱性 エ ①脆弱性②脅威③リスク…

ホンダの乗用車シビックのキーレスシステムに脆弱性が発見された記事をまとめた記事になります。 脆弱性の種類 CVSS 関連CVSS 対象車 可能な悪用 攻撃方法 対策 関連記事 脆弱性の種類 キーレスシステムの脆弱性 CVSS CVE-2022-27254 Score: 未定 https://nvd.nist.gov/vuln/detail/CVE-2022-27254 関連CVSS 過去にも類似の脆弱性が存在。 CVE-2019-20626 Score:6.5(Medium) https://nvd.nist.gov/vuln/detail/CVE-2019-20626 対象車 Civic L…

CRI-O の脆弱性 (CVE-2022-0811) について調べた内容をまとめました。脆弱性の詳細と、関連する CRI-O の実装や Linux の機能を紹介します。 CVE-2022-0811 概要 CRI-O について CRI-O 概要 pinns による pod へのカーネルパラメータ設定 Coredump エクスプロイト 要点 検証 回避策 修正パッチ commit1 commit2 containerd の場合 さいごに 参考リンク CVE-2022-0811 概要 CVE-2022-0811 は CRI-O の任意コード実行・コンテナブレイクアウトの脆弱性で、報告した Crowd…

はじめに こんにちは！CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています！*2 blog.flatt.tech たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発…

CEHの復習 Webアプリケーションの脆弱性検査をするため、久々にCEHのテキストを見直す。 14章が「Hacking Web Applications」で300ページほどあり、20章のうちで、特にボリュームが多かったと記憶している。 改めて見直すと、基本的な理論からツールの紹介まで、幅広く網羅されている。 ツールについては、以下のカテゴリで列挙されていた。 Web application Analyze Web application Vulnerability Web application Hacking API Vulnerability Fuzz Testing Web applic…

CentOS Linux 8のサポートは、当初のアナウンスの通り2021年12月31日で終了しました。サポートがなくなったOSが危険であるということは一般に広く認識されています。でも、その危険性とは具体的にどういったものなのでしょうか？ 脆弱性はどれくらい報告されているのか ここでは脆弱性情報を総合的に取り扱っている「CVE Details」のサイトからいくつかの数字を見ていきます。このサイトではLinuxだけでなくWindowsや各種アプリケーションの脆弱性情報も含まれていますので、全体的な傾向がわかります。 www.cvedetails.com 脆弱性件数はこの10年で大幅に増加 2010…

概要 KubeCon + CloudNativeCon EU が 2022年5月16日から20日の日程で行われた。 16日と17日には co-located event があり、本体のイベントは18日からの3日間であった。 トラック毎のセッション数の比較を下に示す。 増減がはっきりしないものがほとんどであるが、"Security + Identity + Policy" と Observability と "Customizing + Extending kubernetes" は増えているように見える。 セッション数 前回に引き続き、会場とネット配信のハイブリッド開催で、co-located…

「えーっ？、その英語の頭文字略語って・・・・こんな読み方するんですか？」 ①カンファレンスの時に、准教授達がこんな読み方をするので・・・・②社内でべテラン課長（もう出世しない）が、頑固にこう読むので・・③ベテランのラボランチンがこう読むので、これ彼だけのアクロニム読みですか？④院内では皆がこう読みます・・・ええ隠語としても使ってますね・・・⑤うちの研究室の抄読会では、この読み方が普通なんですけど・・・⑥ええ、地方会に出てから、こんな読み方を私も・・・これ間違ってます？⑦MR（チョット生意気な）がこんな言い方をするので、つられて私も・・・⑧看護師達全員がこう読むので、いつの間にか院内では・・・・…

はじめに 「マネジメントの責任」とは？ マネジメントについて 具体的な実施例 他の管理策との関連性 具体的な実施例 その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「マネジメントの責任」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。 「マネジメントの責任」とは？ 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。 ISO/IEC 27002:2022 5.4 Ma…

[!]お断り: この記事はZen.conf's Record 旧本館の仕様変更に伴い、Tumblrからhatenablog に記事を移したものです。そのため内容は2021年12月26日時点のままとなっています。 はじめに 2018年辺りに「ネットに繋がったウェブカメラやPCの映像やログイン画面が見れるヤベー検索エンジンがある」というインパクト全開の文脈でTechCrunch日本語版で発表されてから日本でも利用者が増え始めたネットワーク機器検索エンジンShodan.io。非常に便利です。 しかしこのShodanを使う上で障壁になっているのが、無料ユーザに対する大幅な検索回数制限。アカウントを持た…

2084年のＳＦ (ハヤカワ文庫JA) 作者:日本ＳＦ作家クラブ編 早川書房 Amazon 1000の小説とバックベアード (新潮文庫) 作者:友哉, 佐藤 新潮社 Amazon 私の好きな小説に佐藤友哉の『1000の小説とバックベアード』という小説があって、その中にこんな一文がある。 なぜなら、小説を書くような心で書いたら……それはもう、小説なのだから。 (1000の小説とバックベアード P.151) これは私にとって本当に大切な言葉の一つで、どんなに人に欠点を指摘されようと心の中で自分の文章を信じる限り、自分の小説について信じられる金言だからだ。 その上で、空木春宵先生の『R____ R_…

目次 目次 はじめに 購入動機 本 出版社 発売日 言語 単行本 内容 得た知識 はじめに 個人的な読書記録です。 購入動機 IPAの情報安全確保支援士試験を受験する予定だったので、勉強がてら購入。 結論として、支援士の勉強にはあまり参考にならないかもです。 本 実践ネットワークセキュリティ監査―リスク評価と危機管理 実践ネットワークセキュリティ監査―リスク評価と危機管理作者:クリス マクナブオライリージャパンAmazon 出版社 オライリージャパン 発売日 2005/4/25 言語 日本語 単行本 455ページ ￥4,200 内容 本書では、ネットワーク防衛戦略を行うにあたり管理者が行うべき…

はじめに フロントエンドにVue.jsを用いている際にHtmlを動的に出力する処理について備忘録として残します。 v-htmlディレクティブを用いる 結論から言うとv-htmlディレクティブを用いることで対応が可能です。 利用例としては以下のような感じとなります。 <template> <div v-html="testHtml"></div> </template> <script> export default { data() { return { testHtml: "" }; }, created(){ // testHtmlへHtmlを入れる処理 // 値の例は<p>テスト</p>…

1.応用情報はどうやって採点されてるの？ 2.自己採点 3.実際 こんにちは！ rITblogの運営者、おたまると申します。 本日は応用情報を受けてみての自己採点と実際の点数の差を 比べてみたいと思います。 今回はitecでの差異をみていこうと思います。 勉強したのは、セキュリティ、データベース、組込みシステム プロジェクトマネジメント、サービスマネジメント、システム監査 となります。 当日はSQLが難しそうと判断したためデータベースは選択しませんでした 自己採点 1.セキュリティ 設問1 a.サービス コンテンツにした× -2 設問2 b.WAF 〇 設問3 バージョン、名称 → バージョン…

明日Googleアナリティクスのダッシュボードを開いて、トラフィックが横ばいになっていることに気付いた場合、どれほど困惑するか想像してみてください。 このシナリオは一般的ではありませんが、検索エンジンの巨人がペナルティでサイトを平手打ちした場合に発生する可能性があります。 誰もがGoogleのペナルティを恐れています。 あなたもそうだと思います。 Googleのペナルティは、Googleがアルゴリズムを変更した場合にのみ発生すると考える場合（ペンギンの更新など）、あなたは間違っています。 今でも、これを読んでいると、主要なアルゴリズムの更新がないにもかかわらず、何らかの形のGoogleペナルテ…

はじめに 「職務の分離」とは？ 具体的な実施例 「職務の分離」が十分に機能しないとどうなるのか？ その他 まとめ 参考資料 脚注 はじめに 情報セキュリティのための管理策の中で組織的対策として分類されている「職務の分離」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。 「職務の分離」とは？ 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。 ISO/IEC 27002:2022 5.3 Segregation of duti…

2015年の発売以来、根強い人気が続く「GTA5」をPCで遊ぶ方向けに推奨スペックと必要動作環境(CPU,グラボ、メモリ、HDD容量など)を確認していきます。 記事作成日 : 2019/01/08 作成最終更新日 : 2022/06/26 更新34回目 最新情報に更新

2018年11月20日にバトルフィールドシリーズ最新作「Battlefield Ⅴ」のPC版が発売されます。購入を検討されている方向けに推奨スペックと必要動作環境(CPU,グラボ、メモリ、HDD容量など)を確認していきます。 記事作成日 : 2018/09/06 作成最終更新日 : 2022/06/26 更新42回目 最新情報に更新