一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
自宅でAtermを使っているので焦りましたが、使っている機種は対象から外れていたので一安心です。型番を見る限りでは、発売から一定年数以上経った機種が対象のようですね。ネットワークのセキュリティ対応は日進月歩なので、年数が経った無線LANルータはそれ自体がセキュリティホールになるということかもしれません。ファームウェアの更新はもちろんですが、無線LANルータ自体も安価になってきているので、消耗品と割り切って定期的に買い換えるのがいいかもしれませんね。 無線LANのスピードも年々速くなっていますし、デバイスを定期的に買い替えているのであれば、無線LANルータの更新もあわせて検討すべきでしょう。個人…
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
Development Division/Platform Team/Sys-Infra Unit で実施した Amazon EMR 1 のバージョンアップについてどのようなことをやったのか紹介します。 Repro では Presto や Hive などのセットアップに EMR を使用しており、以下の用途で活用しています。 プッシュ通知の配信対象を抽出する 管理画面で参照するデータを抽出する S3 などに貯まっているイベントデータを集計する EMR のアプリケーションとしては以下を使用していました。 Presto Tez Hadoop Hive Hue 経緯 Repro では多くのミドルウェア…
劇場アニメ「ルックバック」本予告【6月28日(金)全国公開】 「きのう退職届出してきた」入社したばかりの新入社員がなぜ? | NHK リュウジさん、卵を明太子化したレシピを公開したら海外の人やアレルギーの人、妊婦さんからお礼のコメントがめちゃくちゃ来る 187. 第187話 天才の血筋 / 龍と苺 - 柳本光晴 | サンデーうぇぶり [番外編14]株式会社マジルミエ - 岩田雪花/青木裕 | 少年ジャンプ+ お酒が飲める人ほど結婚しやすく、逆に飲めない人ほど結婚が不利になることを示した結婚相談所の統計に賛否両論、激論が交わされる 高松市様における「Fujitsu MICJET コンビニ交付」で…
ゼロデイ攻撃(Zero-Day Attack)は、特定のソフトウェアやハードウェアの脆弱性を攻撃者が発見し、その脆弱性が公に知られていない状態で攻撃する手法のことです。ゼロデイは、セキュリティベンダーやソフトウェアベンダーが脆弱性を発見してから、その問題を解決するための対策(パッチアップデート)を提供するまでの期間を表しています。ゼロデイ攻撃への対策としては、脆弱性を早期発見し、セキュリティパッチの迅速な適用が必要です。また、セキュリティ情報を共有し、ゼロデイ攻撃に対処することも必要です。ゼロデイ攻撃の特徴はどれか。 ア 脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/04/15 2024/03/19 CVE-2024-23486 NVD Buffalo - - - パスワードの平文保存 2024/04/15 2024/03/19 CVE-2024-26023 NVD Buffalo - - - OSコマンドインジェクション 【ニュース】 ◆バッファローの無線LANルータに複数の脆弱性、アップデートを (マイナビニュース, 2024/04/16 16:31) https://news.mynavi.jp/techplus/article/20240416-…
みなさんお久しぶりです!Hanaインターン生の山本です🌸 暖かくなってきて桜が綺麗に咲き始めましたね。 このブログでは3月24日(日)に行われた第3回CyberSakura決勝ラウンドの様子をお届けします(^^) 🌸CyberSakuraとは 初めに、CyberSakuraとはなにか簡単に説明します! CyberSakuraは仮想空間でのセキュリティの脆弱性を発見、修正することで獲得できるスコアを競うサイバーセキュリティの教育プログラムです。 全国の中学生、高校生、高専生に参加を募り、決勝はITの街でも知られる福井県鯖江市にて行われます。 実技形式の競技会として行われ、競技時間はなんと4時間!…
Hello there, ('ω')ノ セキュアソフトウェア開発ライフサイクル(SSDLC)は、ソフトウェアの設計から開発、配布に至るまでの全ての段階においてセキュリティを考慮に入れるプロセスです。 ここでは、計画から実装フェーズまでの各ステップを詳しく解説します。 1. 計画フェーズ この段階ではプロジェクトの範囲が定義され、セキュリティ要件が確立されます。 プロジェクトの目的、リスク評価、リソースの割り当てなどが行われ、セキュリティポリシーが策定されます。 このフェーズで重要なのは、セキュリティを設計の初期段階から組み込むことです。 ・リスク評価:システムに潜在的に影響を与えるリスクを特定…
はじめての方限定!初回購入50%割引クーポン ↑詳細は今すぐクリック↑ スパムメールの内容 タイトル: 5月ご請求額のお知らせ 送信先: イオンフィナンシャルサービス株式会社 <xxxxx(削除・省略)@lrh90.com> メール内容(本文): いつもイオンマークのカードをご利用いただき、ありがとうございます。 本メールはWeb明細(環境宣言)にご登録いただいているお客さまにお送りしております。 5月のご請求額が確定いたしました。 ━━━━━━━━ ご利用カード : イオンカード ご請求額 : 44,295円 お支払日 : 2024年5月2日(木) ━━━━━━━━ ▼ご利用明細の確認はこち…
今回はQubes OSの中の Whonixテンプレートを日本語化するやり方を解説します。日本語化するとプライバシーに一定の悪影響があることも説明します。 日本語化とプライバシーへの影響 この記事でのWhonixテンプレート日本語化の方針 whonix-workstation-17テンプレートの日本語化 ロケールをja_JP.UTF-8にする 日本語フォントのインストール 日本語入力システムのインストール anon-whonix など各キューブのfcitx5設定を修正 プライバシー強化のために英語専用のWhonixテンプレートを作成 whonix-workstation-17 テンプレートの名前…
はじめに はじめまして、今回ドコモグループの現場受け入れ型インターンシップに参加させていただいた上野です。大学院ではコンテナセキュリティなどについて研究しています。 この記事では、インターンシップ体験記として以下の内容を紹介します。 私のインターンシップの参加経緯や取り組み NTTコミュニケーションズの業務やインターンシップについて知りたい就活生向け Process InjectionとPool Partyの概要 Pool Partyについて日本語で概要を知りたいセキュリティエンジニア向け 目次 はじめに 目次 RedTeam プロジェクト(RedTeam PJ) インターンシップ参加の経緯 …
ソース: medium.com 脆弱性:情報漏洩 訳: HackerOne で新しいプログラムを見つけ。program.com と呼びましょう。 まだ数日しか経っていないのですが、ぜひチェックしてみたいと思い。 しかし、メインドメインをチェックし始めたとき、サインアップページはなく、ログインページだけで。 そこで、偵察を行うことにし。 通常、新しいプログラムや幅広い資産プログラムを見た場合、最初に頭に浮かぶのはshodanをチェックすることで。 今回はプログラムが新しくて範囲が広かったので幸運で。 それで私はshodanを開いてこのクエリを使用しました: ssl.cert.subject.CN…
このところのエレクトロニクス製品は、ほぼすべて小さなコンピュータを内蔵していると考えられる。それによって、自動車も家電もずっと使いやすくなった。メンテナンスも楽になって、相対的なライフサイクルコストも下げることができた。その一方、新しいサイバーリスクを抱えることにもなった。 ずっと昔、DVDプレーヤーが大量に乗っ取られて「DDoS攻撃」に利用される事件があった。インターネット経由でAV機器の能力は増したが、最初からネット接続を考慮しない設計だったゆえの「脆弱性」があったとされる。 昨年は、防犯カメラが同様に「DDoS攻撃」に使われた(*1)。総務省傘下の情報通信研究機構(NICT)が独自の調査…
本日の気になった技術ブログ Tips リンク集です。 【Unity】interface を作成すると開発の順序が変わる? .NET 8 で ASP.NET Core でホストされた Blazor WebAssembly アプリにレイヤードアーキテクチャーを実装する① Awaitable 使いづらそう問題 Flutter で Android や iOS のアプリアイコンを一括で変更したい! Flutterを採用している有名企業・有名アプリ 【Unity】HotReloadについて C#における「event Action」と「Action」の違いについて c#ラムダ式デリゲートジェネリック拡張メソ…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/29 2024/03/29 CVE-2024-3094 NVD Red Hat 10.0(Red Hat) CWE-506 埋め込まれた悪意のあるコード 【XZ Utils】 ◆CVE-2024-3094 (まとめ) https://vul.hatenadiary.com/entry/CVE-2024-3094 【ニュース】■2024年◇2024年4月 ◆緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を (マイナビニュース, 2024/04/01 15;…
【ニュース】 ◆Rustの圧縮ライブラリ「liblzma-sys」にxzの悪意あるコードが混入 (マイナビニュース, 2024/04/16 09:57) https://news.mynavi.jp/techplus/article/20240416-2927782/ 【関連まとめ記事】◆全体まとめ ◆ツール / コマンド の脆弱性 (まとめ) ◆XZ Utils (まとめ) https://vul.hatenadiary.com/entry/XZ
____________________ 前話(36話) https://yamanoha334.hatenadiary.jp/entry/Diva.BettyFlyower_036 ____________________「『まさか下駄子*1に声掛けられるなんて』」 ベティフラは頬を膨らませている。知覚的表現だ*2。(「すみません」) 「『あら、謝るとあんたが悪いことしたみたいじゃない。それより未来の決意が欲しいわ。どうしようもないお人よしになりたいんじゃなきゃ、面倒なのが道聞いてくるまで突っ立って待つのはやめなさいよね』」 (「はい……」) 「『ま、あたしも予想外だったもの。なかなか下駄子…