はじめに 3-shakeのSreake事業部に所属する齋藤(@kiyo_12_07)です。第12回目の今回は、Kubernetesなどのプラットフォームで稼働し、ワークロードのセキュリティリスクを検出するOSSツール「OpenClarity」を紹介します。 コンテナイメージのリスク Kubernetesはコンテナ化したアプリケーションをデプロイするシステムです。Kubernetes独自のセキュリティだけではなく、他のコンテナオーケストレーション同様、コンテナ自体のセキュリティについても考慮が必要となります。 セキュリティ対策を考えるときに「どのような攻撃方法があるか」ということから考えるアプローチがあります。下図はコンテナに対する主な攻撃経路をまとめた図です。
sponsored ヤリ手ビジネスマンになりたければビッグローブ光10ギガタイプを選べ! ベテラン編集者が新人営業マンに教える高速回線の重要性 sponsored ”モンハンワイルズ”を遊べる!インテル Arc B580ならOS込み15万円でゲーミングPCを作れる sponsored Backlog World 2024の運営ではチームワークマネジメントを実践していた 「解散が寂しくなる」ような居心地のいいチーム作りはどうやって実現するのか? sponsored 積み上がる課題とタスクをチームで前向きにさばくためのBacklog活用 メンバーのやる気をMAXにするチーム組成術 コミュニティイベントから学ぶ sponsored 驚くほど広くて高解像度のノートがほしい!? それなら14型+14型の2画面ノート「Zenbook DUO UX8406CA」だ sponsored 究極のデジタルライ
1億人以上のmacOSユーザーが新たな認証情報盗難攻撃のニュースに動揺し、Safariユーザーには「2回クリックしないように」という警告が出されている。さらにiOSがAndroidよりもハッカーの標的になっているという報告まであり、アップルユーザーにとっては気の休まらない数週間が続いている。 そうした中、セキュリティ研究者がアップルのセキュリティ保護を回避し、iPhoneのUSB-Cコントローラをハックした事例を公表した。これはスマートフォンのセキュリティにとって何を意味するのだろうか。 iPhoneのUSB-Cコントローラチップをハック 2024年末、ドイツ・ハンブルクで開催された「第38回Chaos Communication Congress(通称38C3)」で、あるセキュリティ研究者が行った講演動画が、最近公開された。テクノロジー、社会、ユートピアをテーマとする4日間のカンファレン
サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XSS)攻撃について説明する。これは、文字エンコーディングを適切に指定していないウェブコンテンツに対して、文字エンコーディングをISO-2022-JPと誤認させることでバックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃である。本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 はじめに クロスサイト・スクリプティング対策として、記号文字のエスケープ処理に加えて、コンテンツの文字エンコーディングをレスポンスヘッダやmetaタグで明示しましょうと言われてきました(参照)。その背景として、UTF-7という文字エンコーディングを悪用したXSSの存在がありました。この攻撃については以下
Menu UPDATE: Spoke too soon… The problem discussed here turned out to be specific to Little Snitch 6.1 and not a general issue in macOS. It has already been fixed in Little Snitch 6.1.1. See the end of the article for details. DNS Encryption 101 When you enter a hostname in your web browser (e.g., apple.com), that name must first be translated into an IP address so your computer can connect to the
FIDO認証のセキュリティキーとして人気のYubiKeyに脆弱(ぜいじゃく)性があることが判明したと、セキュリティ企業のNinjaLabが発表しました。脆弱性を突いた攻撃には高度な知識と高価な設備が必要ですが、YubiKeyはファームウェアの更新ができないため、バージョン5.7より前の製品はすべて永久に脆弱なままとなります。 Security Advisory YSA-2024-03 | Yubico https://www.yubico.com/support/security-advisories/ysa-2024-03/ EUCLEAK - NinjaLab https://ninjalab.io/eucleak/ YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel |
こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
GitHubは、コードをスキャンして脆弱性を自動的検出し、コードの修正案を示してくれる「Copilot Autofix」機能を正式サービスとして提供開始すると発表しました。 コード分析エンジン「CodeQL」でコードスキャン Copilot Autofixは、GitHubが開発したコード分析エンジンである「CodeQL」を用いてコードをスキャンし、クロスサイトスクリプティングやSQLインジェクションなどを含むさまざまな脆弱性を検出します。 検出された脆弱性に対しては、Copilotがその説明と修正コードの提案を行い、開発者に提示します。 開発者は提示された内容を確認した上で「Create PR with fix」ボタンを押すと、提示されたコードの変更を含むプルリクエストが作成されます。プルリクエストがマージされれば修正完了です。 Copilot Autofixは過去のコードに対しても適用で
Chrome、FireFox、Safariといった主要ブラウザにおけるIPアドレス「0.0.0.0」の扱い方に問題があり、問題を悪用することで攻撃者が攻撃対象のローカル環境にアクセスできることが明らかになりました。問題を発見したセキュリティ企業のOligo Securityは、この脆弱(ぜいじゃく)性を「0.0.0.0 Day」と名付けて注意喚起しています。 0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser Oligo Securityによると、主要なブラウザでは「『0.0.0.0』へのアクセスを『localhost (12
macOS 15 Sequoiaではランタイム保護のアップデートにより、署名/公証されていないアプリを開く際にコンテキストメニューからGatekeeperをオーバーライドすることが不可能になるそうです。詳細は以下から。 Appleは現地時間2024年08月06日、今年の秋にもリリースを予定しているmacOS 15 Sequoiaで悪意のあるアプリやコマンドからユーザーを保護するためにランタイム保護をアップデートし、既存の方法ではGatekeeperをオーバーライド(無視/無効化)することが出来なくなると通知しています。 macOS Sequoiaでは、ユーザーが正しく署名されていない、または公証されていないソフトウェアを開くと、「control」キーを押しながらクリックしてもGatekeeperをオーバーライドできなくなります。ユーザーはソフトウェアの実行を許可する前に、「システム設定」
GitHubでは削除されていたりプライベートに設定されていたりするフォークやリポジトリに誰でもアクセスでき、さらにその動作が欠陥ではなく仕様通りであるとオープンソースセキュリティ企業のTruffle Securityがブログに投稿しました。 Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co. https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github GitHubでの一般的なワークフローとして、「新しいフォークを作成する」「コミットする」「フォークを削除する」というものを考えてみます。 この時、削除したはずのフォークの中身を誰でも確認できてしまうとのこと。
2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
出版大手KADOKAWAがサイバー攻撃を受け、動画配信サイト「ニコニコ動画」などが利用できなくなった問題で、ロシア系ハッカー犯罪集団が27日、匿名性の高い「ダークウェブ」上の闇サイトに犯行声明を出したことが分かった。 ハッカー集団は「ブラックスーツ」を名乗り、真偽は不明だが、利用者や従業員の個人情報など大量のデータを盗んだと主張。金銭を支払わないと7月1日に公開するとした。KADOKAWAは「現時点で当社としては、お答えできることはない」とコメントした。 ブラックスーツは身代金要求型のコンピューターウイルス「ランサムウエア」を使う有力な犯罪集団の一つとされる。犯行声明の主張によると、約1カ月前にKADOKAWAの情報システムに侵入し、約1.5テラバイトのデータを盗み、暗号化した。KADOKAWAの経営陣と取引したが、提示された金額に不満があり、金額を上乗せするよう脅迫したという。 KADO
2024年3月29日に発覚した「XZ Utils」というライブラリへ仕掛けられていたバックドアについて、ロシアのセキュリティ企業であるカスペルスキーが分析記事を投稿しました。 Kaspersky analysis of the backdoor in XZ | Securelist https://securelist.com/xz-backdoor-story-part-1/112354/ XZは多くのLinuxディストリビューションで使用されている圧縮ツールで、今回は特にOpenSSHのサーバープロセスである「sshd」をターゲットに攻撃が行われました。「Ubuntu」「Debian」「RedHat/Fedora」などのディストリビューションではsshdの起動時に「systemd」経由でXZが呼び出され、sshdにリモートでコードが実行できるバックドアが仕掛けられます。 今回のバックド
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く