一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク) 脆弱性の内容、対処方法、Fix バージョンについて説明します。 CVE-2023-42658 公式 CVE リンク: https://nvd.nist.gov/vuln/detail/CVE-2023-42658 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42658 重大な脆弱性として報告されており、早急な対処が必要であることがわかります。 影響範囲 InSpec CLI の archive check export コマンド実…
はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけるのが好きで、プライベートでも脆弱性を探しています。 弊社には「IPA経由で脆弱性を報告すると報奨金がもらえる」という素晴らしい福利厚生が存在するため、脆弱性調査のモチベーションが高まります! さて、今回2つの脆弱性を発見したのですが、脆弱性が公表されるに至った経緯が興味深いものだったので紹介していきます。 CVE-2023-40587: Pyramid…
CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます)
ソース: medium.com 脆弱性:API 訳: テスト中に、user_id とパスワードを要求するログイン パネルに遭遇し。 User_ID(121212)とパスワード(テスト)を入力しました。ログインしようとすると、応答は次のとおりで。 {"timestamp":"2024–03–15T08:22:36.064","errorCode":"AuthenticationFail","message":"Username not found : 121212","path":"/api/v1/authentications/signin"} 結果 (「ユーザー名が見つかりません」) は、ユ…
ITの安全・安心を支えるセキュリティの番人 情報システムや組織に対する脅威や脆弱性を評価し,技術面・管理面での有効な対策を遂行できるセキュリティエンジニアや情報システム管理者を目指す方に最適です。情報セキュリティの重要性はますます高まっており,いま最も旬なエンジニアです。 国家資格 公的資格 民間資格 業務独占 名称独占 必置 // 0.01 ? 1 : 0"}, "align": {"value": "center"}, "baseline": {"value": "middle"}, "fontWeight": {"value": "bold"}, "fill": {"value": co…
はじめての方限定!初回購入50%割引クーポン ↑詳細は今すぐクリック↑ インターネットの普及に伴い、スパムメールは私たちの日常生活における一大課題となっています。 特に、フィッシング詐欺や個人情報の漏洩など、スパムメールによる被害は年々増加しており、これに対処するための知識が必要不可欠です。 本記事では、「スパムメール対策 対処方法」というテーマで、不審なメールを見分け、安全にインターネットを利用するための具体的な手法や注意点を詳しく解説します。 メールを安全に使いこなすための基本から応用まで、この記事が皆さんのデジタルライフを守る一助となることを願っています。 記事のポイント フィッシング詐…
当記事は下記記事からの続きとなっています。 【文明崩壊編】 ・第一章『イースター島の文明崩壊』 ・第二章『マヤ文明の崩壊』 CONTENTS ローマ帝国の滅亡~専門分化社会がもたらした快適さと脆弱性~ よく頑張ったね。 パクス=ロマーナ 混乱の時代 帝国の東西分割 帝国の滅亡 文明崩壊後の世界 目が覚めると、そこは僕の知らない空間だった。 コンクリートで囲まれた無機質な部屋の奥…僕の正面には人間?らしきものが弓矢を構えて立っている。 体に力が入らない… 眼球すらも動かせない。 そんな状況だから逆に、僕は冷静に自分の置かれている状況を理解することができた。 「これは…助からないな。」 グズァッ!…
はじめに こんにちは、ACS事業部の東出です。 私はACS事業部でDX Enabling部という、内製化コンサルティング・プロダクト開発支援を提供する部署の責任者をしております。 ACS事業部では、Platform Engineeringに関する取り組みや情報発信を積極的におこなっています。 techblog.ap-com.co.jp www.ap-com.co.jp www.ap-com.co.jp ユーザー企業の方々にPlatform Engineeringのご紹介をさせて頂く際に、「標準化とどう違うの?」といったご質問を頂くことがございます。 今回は、所謂「標準化」とPlatform E…
はじめての方限定!初回購入50%割引クーポン インターネットの普及に伴い、スパムメールは私たちの日常生活における一大課題となっています。 特に、フィッシング詐欺や個人情報の漏洩など、スパムメールによる被害は年々増加しており、これに対処するための知識が必要不可欠です。 本記事では、「スパムメール対策 対処方法」というテーマで、不審なメールを見分け、安全にインターネットを利用するための具体的な手法や注意点を詳しく解説します。 メールを安全に使いこなすための基本から応用まで、この記事が皆さんのデジタルライフを守る一助となることを願っています。 記事のポイント フィッシング詐欺メールを見分ける方法 ス…
情報セキュリティ10大脅威 2024の解説書を見て、ざっと気になったり思ったことをメモしています。 表紙 なにげに面白い…。 どんな要素が入ってますかね…? 手前右、USBメモリを外部の人に渡そうとしている → 内部不正による情報漏洩 手前左、持ち出し厳禁や社外秘っぽい資料がちらばっている → 不注意による情報漏洩 中段右、盗聴・盗撮 上段、クラッキングによる営業妨害 はじめに 順位は選考会での投票 個人版 順位を廃止 順位が危険度と誤解されるおそれのため、五十音順 手口は古典的で、存在を知っているだけでも対策になる 企業版 社会的影響で判断 情報セキュリティ10大脅威2024 順位にとらわれ…
ランキング参加中インターネット フィッシング詐欺毎日大量に配信されているフィッシング詐欺メールを観測し、その正体をお知らせします。このメールは開かないようにし、間違って開いても接続先URLのリンクをクリックしないようにしてください。メールの見た目差出人: Amazon.co.jp件名: 【ご注意】Amazonプライム会費のお支払い方法に問題があります #数字本文:メールの正体メールの送信元: Elk Grove Village, Illinois, United States (ColoCrossing) ColoCrossing (米国のプロバイダー)のネットワークに接続されたイリノイ州エル…
YouTube What I Amホワット・アイ・アムZAYNゼインのかなルビと歌詞和訳 What I Amホワット・アイ・アムZAYNゼインの歌詞の意味と解説 ゼインの「ホワット・アイ・アム」:自己受容への旅路 ゼインの「ホワット・アイ・アム」におけるスラングと比喩表現の解説 ゼイン「ホワット・アイ・アム」の背後にある深い考察 この曲の画像 他の記事を検索する YouTube 歌詞和訳の部分は以下の順番で記載しています。 かなルビ歌詞和訳、意味など What I Amホワット・アイ・アムZAYNゼインのかなルビと歌詞和訳 (adsbygoogle=window.adsbygoogle||[]…
ソース: medium.com 脆弱性:XSS 訳: かなりの期間にわたってプライベート プログラムを探していたときに、気になる紹介機能を見つけ。 この機能により、ユーザーの電子メールと紹介コードの両方を組み込んだ紹介リンクを生成できるようになりました。 これらのパラメータを URL 経由で渡すことに内在する潜在的な脆弱性に興味をそそられた私は、XSS (クロスサイト スクリプティング) 攻撃の可能性を調査することに。 私の最初の試み、ペイロードの注入: “><img src=1 onerror=alert()> すぐに Cloudflare ブロックに遭遇し。 私はひるむことなく、Cloud…
高知県には土佐山田という公立の工業大学しかない携帯電話の電波すら怪しい田舎町がある。 そんな土佐山田は、元プロ野球選手の江本孟紀さんの生まれた地だ。 江本さんの名言(迷言)に「首脳陣がアホやから野球ができん!」というのがあるが、そこまで言わしめる出来事が個人事業主の自分にもある。 (1)企業の営業担当は案件を理解していない。 個人事業主にお金の知識は欠かせないが営業がアホすぎることがある。 何が専門かわからないが理解しないで仕事を依頼してくることが多い。 生成AIのウェブサービスの開発を進めていたが、クライアントの意向でモバイルアプリを先に進めることになり、現在は基本設計中だという。 話してい…
www.itmedia.co.jp biz-journal.jp 今回注目されているのが、同じタイミングでイギリス、オーストラリア、韓国、台湾、香港、タイ、カナダ、ドイツ、ニュージーランドなど海外のマクドナルド店舗でも同様の障害が発生したという点だ。 マクドナルド・システム障害、世界で同時発生→店舗も臨時休業の「複雑な原因」 | ビジネスジャーナル ⇧ う~む、システムを疎結合に維持するのが如何に難しいのかが証明された良い事例ですな。 とは言え、 jp.reuters.com イアン・ボーダン最高財務責任者(CFO)は、海外のフランチャイズ店は中国、インド、日本、ブラジルなどでおよそ7000店…
ポッドキャスト収録用のメモですよ。 podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。 事件、事故 海底ケーブルの障害により、複数のアフリカ諸国の通信に影響 マクドナルドでシステム障害が発生し、世界中の店舗に影響 攻撃、脅威 警察庁が「令和5年におけるサイバー空間をめぐる脅威の情勢等について」を公開 Sekoia と Orange Cyberdefense が共同で、Residential Proxies (RESIP) サービスに関する調査結果を報告 脆弱性 Microsoft が 2024年 3月の月例パッチを公開 Arcserve UDP に複数の…
日本マクドナルドは、2024年3月15日に発生したシステム障害が全店舗で復旧し、通常営業を再開したことを発表しました。この障害は日本国内だけでなく、世界的にも影響を及ぼしました。原因はシステムの設定変更中に発生した問題であるとされています。 障害は15日の午後に発生し、レジシステムが使用不能になるなど、多くの店舗で大きな支障をきたしました。モバイルオーダーやその他のサービスも一部利用できなくなり、顧客には大きな不便を強いる結果となりました。 しかし、日本マクドナルドは迅速な対応を行い、16日の昼頃にはほぼ全ての店舗で通常営業を再開することができました。同社は、公式ウェブサイト上で「大変ご迷惑を…