一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
自宅でAtermを使っているので焦りましたが、使っている機種は対象から外れていたので一安心です。型番を見る限りでは、発売から一定年数以上経った機種が対象のようですね。ネットワークのセキュリティ対応は日進月歩なので、年数が経った無線LANルータはそれ自体がセキュリティホールになるということかもしれません。ファームウェアの更新はもちろんですが、無線LANルータ自体も安価になってきているので、消耗品と割り切って定期的に買い換えるのがいいかもしれませんね。 無線LANのスピードも年々速くなっていますし、デバイスを定期的に買い替えているのであれば、無線LANルータの更新もあわせて検討すべきでしょう。個人…
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
こんにちは。@chaspyです。技術戦略グループのマネージャをしています。 本記事では dep-doctorという依存ライブラリのメンテナンス状態をチェックするツールを活用した事例を紹介します。 依存ライブラリのメンテナンス状態を確認したい スタディサプリ小中高では、言うまでもなく多くの OSS / ライブラリに支えられています。しかし、それらのライブラリがメンテナンスされなくなってしまったとしたら、以下のリスクが存在します。 セキュリティ: 既知の脆弱性が修正されない可能性があります。新たに発見された脆弱性に対して、パッチが提供されないため、プロジェクトがセキュリティ上の危険にさらされる可能…
本日の気になった技術ブログ Tips リンク集です。 [Unity]metaファイル追加のコミット漏れをGit Hooksで検知 【Unity】「UnityEngine.dll」を使用した DLL の作成方法 AUTO_INCREMENTで正しくインクリメントされない 複数IEnumerableのZip関数 Brother TD-4750TNWBR RFIDタグへの書込とラベル印刷を両方行う Mind8のディスパッチャ実装MCodePointerの謎に迫る(Cのtype unionの代替実装をC#で行う) [Android] Arm64でAnti-Disassembly/Decompile 【…
Security Incidents毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。 ランキング参加中インターネット 本日追加→ 不正アクセス エンドレス 4月23日 弊社サーバーのマルウェア感染に関する お詫びとお知らせ 原因 FortiGate設置時のテスト用アカウント放置により侵入されサーバーがランサムウェア感染(設置委託先:スターティア) 被害 (調査中)本日追加→ 不正アクセス(続報) HOYA 4月23日 当社グループにおけるシステム障害について(続報) 原因 グループのサーバーへの…
ダゾーンで、日韓戦を最後まで見てみたが、うーん。韓国は守備的に戦ってきたんだよね。 日本はW杯以降、名波などをコーチに迎えて、攻撃的な戦術を試してきた。そして、比較的いい成績を練習試合で残していたんだけど、そこでは5−4ブロックをしく相手から久保などを中心として、点をとる試合も何回かあって、けっこう点がとれていた。しかし、アジア杯という「公式戦」で弱かった。 こうやって、日本が負けた試合を並べてみると、コスタリカ、イラク、イラン、今回のU23の韓国。しかし、アジア杯予選のトルシエが監督をやっていたベトナム戦もかなり苦しい試合だった。 ベトナムはトルシエが日本をよく研究していたことがよく分かる試…
こんにちは、4月18日が誕生日のしいは(418)です。 2024年4月20日に開催されました桜花の大交流祭(シーズン9)にて準優勝の結果を残した旗魂遺物、そのなかの魂遺物(ヤツハAA/レンリA)について解説します。 旗魂(ホノカ/ヤツハAA)の家路デッキについては先行研究がありましたのでこちらをご覧下さい。 note.com 発見の経緯 1.2つの軸を持つ魂のデッキ 1-1.色づく世界ワンショット 1-2.アグロ帰宅 2.魂遺物の強み 2-1.家路の効果処理と『夜山恋離のなれの果て』の相性 2-2.対応性能の幅広さ 2-3.『色づく世界』と『ロルレロラルロ』で山札を引き切れる 3.構築 3-1…
CapitalVault Crypto:暗号資産取引の安全基準を設定 Web3の崛起により、暗号資産業界は急速に発展していますが、これに伴い益々多くのセキュリティ上の脅威が発生しています。CapitalVault Cryptoは、グローバルリーディングの暗号資産取引所として、過去に重大なセキュリティ事故をゼロに抑えた運営を続けています。CapitalVault Cryptoは異なる点として、革新的なセキュリティ対策に注力し、ユーザーに安定かつ信頼性の高いデジタルアセット取引環境を提供することを目指しています。 デジタルアセット取引の安全を保護するために、CapitalVault Cryptoは…
サイバーセキュリティは、サイバー空間のセキュリティリスクから守るだけでなく、それらに関連するリスクを広く対象に考える必要があり、総合的なセキュリティリスクへの対処が必要です。 物理セキュリティをそれぞれ別に考え個別に対処することは サイバーセキュリティという言葉は耳にするけど、実際にその用語の定義は?というと答えに困ったりしませんか? セキュリティと言えば、コンピューターだけに限らず、一般的な生活の中にも存在し、家庭を守るホームセキュリティーや、企業を守る警備などももセキュリティと言えます。 そして、サイバーは、一般的にサイバー空間のようにコンピュータやネットワーク上に構築された仮想的な環境を…
ソース: manasharsh.medium.com 脆弱性:XSS、postMessage 訳: XSS を見つけるのが大好きな人の多くは、かつては可能性があったにもかかわらず、通常、PostMessage XSS を見逃していて。 そこで、簡単なリソースを探している人に役立つかもしれないこのトピックをここで取り上げることにして。 まず、PostMessage がどのように機能するかを理解しましょ。 によると Mozilla :- window.postMessage() メソッドは、Window オブジェクト間のクロスオリジン通信を安全に有効にします。 たとえば、ページとそれが生成したポッ…
離散チベット人に対する中国の大規模サイバースパイ活動が明らかに 2024 年 4 月 23 日マッシモ・イントロヴィーニュA+ | あ- 民間企業i-Soonから流出した文書で、ダライ・ラマを含むチベット亡命者の電子メールや携帯電話に対する継続的な攻撃が明らかになった マッシモ・イントロヴィーニュ著 Turquoise Roof 2024 年 4 月レポートの表紙。 中国の諜報機関がチベット人とウイグル人の離散民を監視下に置き、さまざまな方法で嫌がらせをしていることは誰もが知っていた。しかし、 2024 年 2 月 18 日に発生した民間企業、Shanghai Anxun Informatio…
このブログでは、テレアポ代行会社における情報セキュリティ対策について、その重要性、具体的な対策例、顧客の安心・安全を守るための取り組みなどを詳しく解説します。テレアポ代行会社を運営している方、情報セキュリティ対策に関心がある方、ぜひ参考にしてください。 はじめに 情報セキュリティ対策の具体的な内容 個人情報保護法の遵守 情報セキュリティ対策の徹底 顧客情報の適切な管理 定期的な監査 顧客の安心・安全を守る 具体的な対策例 個人情報保護法の遵守 情報セキュリティ対策の徹底 顧客情報の適切な管理 定期的な監査 顧客の安心・安全を守る 本日のまとめ はじめに 近年、情報漏洩や不正アクセスなどの問題が…
【訳】ArcaneDoorのハッカーがCiscoのゼロデイを悪用して政府機関のネットワークに侵入 【要約】 シスコは、ArcaneDoorとして知られるハッキンググループが、2023年11月以降、シスコのASAおよびFTDファイアウォールの2つのゼロデイ脆弱性を悪用して政府機関のネットワークに侵入したことを警告した。これらの脆弱性を修正するために、シスコはセキュリティアップデートをリリースし、すべての顧客にデバイスをアップグレードすることを強く勧めている。攻撃者はマルウェアを展開し、Line DancerとLine Runnerと呼ばれる2つのバックドアを使用してシステムに侵入しました。シスコ…
gigazine.net ⇧「XZ Utils」の問題は、偶然発見された感じだったような気がするから、コミュニティの健全性は関係ない気はしますが、影響範囲が大きい機能については、AIとかで自動的に脆弱性の検知をしてソースコードに反映できないようにとかして欲しいですな。 REST APIのレスポンス作成でOOEM(OutOfMemoryError)は簡単に起こり得るという話 画面とかであれば、ページング機能を実装して、一度に大量のデータをレスポンスに持たせないようにするなどができるんだけど、疎結合になっているシステム間で、Rest APIで処理のリクエストを送り、別システムで大量の処理を行った後…
今日は主に YJIT の不具合修正、正規表現の不具合修正、parse.y の CRuby 依存を減らす変更などがありました。また今日は脆弱性修正を含む CRuby の安定版の各バージョンのリリースがありました。利用しているバージョンの更新をお願いします。https://www.ruby-lang.org/en/news/ [aa5b53d232] Kevin Newton 2024-04-22 14:07:38 UTC prism の更新。 [1bb7638e7a] Alan Wu 2024-04-22 15:16:46 UTC YJIT でコード生成時に最適化でコードを消し過ぎてコード書き替…
※本記事は、Geminiによる意訳+翻訳を活用し、レイアウト調整したものです。 ※感想は、オリジナルです。 原文 意訳+要約 IoTセキュリティの脆弱性とオペレーションテクノロジーにおけるリスク IoTセキュリティの脆弱性 OTにおけるリスク 対策 まとめ 重要なポイント GeminiへのQA Q:OTシステムとは何ですか? Q:ベンダーロックインされそうな気がしますが 感想+雑記 原文 IoT Security Vulnerabilities in Operational Technology: Addressing the Risks - DEV Community 意訳+要約 IoTセキ…
こんにちは、Orca Security 担当の尾谷です。 表題の通り、Orca Security は稼働しているコンテナのリポジトリ情報まで巻き戻って情報を確認することができます。 今日は実際のスクリーンショットを使って操作方法を解説したいと思います。 稼働しているコンテナは修正できない ご存知の通り、コンテナは今稼働している環境を直接変更するのではなく、イメージの元となるリポジトリのコードを修正して再デプロイする必要があります。 Orca にて取得した以下のアセット「rtl_tomcat_container_4」を元に解説をします。 「rtl_tomcat_container_4」は、サポー…