[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]解説と登壇時の動画を載せたブログは以下です。こちらを見てください。シェアもブログの方をお願いします。 https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/ イベントページはこちら。 DevelopersIO 2021 Decade https://classmethod.jp/m/devio-2021-decade/
![[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]](https://cdn-ak-scissors.b.st-hatena.com/image/square/ad5ef06e544c41ba705f887120c121b38dbfccc4/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F95792f1ff5e147a5a32804b5ef5d1fd8%2Fslide_0.jpg%3F19221817)
コインチェックのドメインハイジャックの手法を調査した
しゅーとです。 コインチェックは 6月2日 、ドメインレジストラである「お名前.com」の管理アカウントに不正にアクセスされ、ドメイン登録情報が変更されたこと、またそれによって第三者によるメールの不正取得が行われたと発表しました。 プレスリリース(第一報)は以下です。 当社利用のドメイン登録サービスにおける不正アクセスについて(第一報) 攻撃を受けた時刻が 5/31 0:05 で、検知時刻が 6/1 12:00 と攻撃に気付くまでの時間は1日であり、また対応完了まで2日足らずとのことで、検知・対応は非常に迅速だったと思います。 今後第二報で詳細な内容が発表されると思いますが、プレスリリースから攻撃者がどのようにメールの不正取得を行ったのか、インターネット上の情報を用いて調査してみました。 ドメインハイジャックをされている関係上、メール以外にもSSL証明書の不正取得や偽Webサーバによる盗聴
「radiko」セキュリティ強化 「存続を危うくするサービスへの措置」
IPサイマルラジオ協議会は4月7日、AM・FMラジオを放送と同時に丸ごとPC向けに配信する試験サービス「radiko.jp」のストリーミングのセキュリティを強化したと発表した。「radikoの存続を危うくするサービスに対する措置」で、「ラジオの楽しみを広げるためのアプリを排除する目的ではない」としている。 同協議会はradikoについて「都市部を中心とした難聴取の解消を目的としたもの」と説明。ラジオ放送を、聴取エリア内のPC限定で配信しており、「実質的な放送エリアに向けた試験配信という枠組みで権利者、広告主など関係者の理解をいただいている」という。 「エリア外の聴取を可能にするサービスが一般化すると、実用化が困難になる可能性もある」ため、対策としてストリーミングのセキュリティを強化した。「ラジオの楽しみを広げるための様々なアプリを排除することが目的ではなく、エリア外聴取環境の提供、収益を得
Twitterクラック時の個人的観測データ:Geekなぺーじ
15時頃からTwitterがクラックされてました。 詳しい事はわかりませんが、個人的には大規模なDNSキャッシュポイズニングか、twitter.comのDNS権威サーバが乗っ取られたような気がします。(追記:文章公開後に色々時間をかけて考えると公開した文章の矛盾点が浮かんできました。キャッシュポイズニングじゃない気がしてきました。ということで、このエントリ、色々信用できないかも知れません。書いて公開しておいて申し訳ありませんが、各自の判断で内容を読んで下さい。) 追記:Twitterクラック事件の原因? HTML 偽twitter.comにアクセスしたときに以下のようなHTMLが返ってきていました。 (ただし、画面内に収まるように一部改行コード追加) <html> <head> <meta http-equiv="Content-Language" content="en-us"> <me
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
ミクシィ、4200人の情報が3日間「露出」 : 社会 : YOMIURI ONLINE(読売新聞)
パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。 ミクシィによると、トラブルがあったのは10月21日〜23日。 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」。 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使える仕組みを
配信初日に95%の海賊版を確認−iPhone用ゲームで制作者の嘆きの声 / GameBusiness.jp
iPhoneで再び不正コピー率90%を越えるゲームが出てしまいました。 iPhone用ゲーム『Rally Master Pro』では95%が海賊版だったとのことです。『Rally Master Pro』は3Dグラフィックのラリーゲーム。iPhoneらしいハイクオリティなグラフィックが特徴です。 開発元であるFishlabsは、配信開始日に95%の海賊版を確認したと発言しています。同社はUDID(unique device identifiers)と呼ばれるIDを収集することによって海賊版をチェックしているそうですが、数千の海賊版が見られたとのことです。 95%という不正コピー率が明かされたのは、欧州と米国における『Rally Master Pro』の価格差(北米版が欧州版より少し安い)に関する議論をしているスレッドです。 Fishlabsは「『Rally Master Pro』は練
Gizmodoに悪質広告が掲載、「スズキ」を名乗って担当者をだます - ITmedia News
Gizmodoの広告営業担当者が、スズキの担当者を名乗る相手にだまされて悪質な広告を掲載してしまったという。 ガジェット情報ブログのGizmodoに悪質な広告が掲載され、サイトを閲覧したユーザーがマルウェアに感染した恐れがあることが分かった。Gizmodo米国版が10月27日付で謝罪文を掲載して明らかにした。 Gizmodoやセキュリティ企業のSophosによると、問題の広告は先週掲載されたもので、スズキの広告に見せかけて悪質なコードが仕込んであった。Gizmodoの広告営業担当者が、スズキの担当者を名乗る相手に手の込んだ手口でだまされて掲載してしまったという。Gizmodo制作部では全員がMac OS XかLinuxマシンを使っていて気付くのが遅れたとしている。 影響を受けたのはごく一部のユーザーにすぎないとしながらも、もしポップアップが頻繁に表示されるようになった場合は「qegasys
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
JavaScriptを記述、実行を促す動画について‐ニコニコニュース
JavaScriptを記述、実行を促す動画について 2009年09月11日 ニコニコユーザーの皆さんへ、禁止事項、削除基準に関するお知らせです。 動画内、動画説明文や投稿者ロックタグにJavaScriptを記述し、これの実行を促す動画について、今後は禁止、削除対象になります。 悪質なJavaScriptを実行すると、視聴する方のマイリストが勝手に編集されたり、意図しない動画が再生されるなど、大変危険です。 これまで、このような可能性のある動画には、動画再生ページへ注意文を表示する仕組みの導入や、投稿者の方へご遠慮いただくよう連絡をする等の対策をしてまいりましたが、解決に至らない為、禁止事項・削除対象とする事にしました事をご理解下さい。 より多くの方が気持ちよくニコニコ動画を利用できるよう、皆さんのご協力をお願いいたします。
現在進行中の WordPress に対する攻撃の詳細と再現
WordPress フォーラムの http://wordpress.org/support/topic/307518 にて今回の攻撃方法が議論されていました。クラッカーの攻撃手法が解明されていましたのでご説明したいと思います。 と、特に攻撃方法が命名されていなかったので、「現在進行中の WordPress に対する攻撃」のことを今回の攻撃と記載しています…ややこしいので誰かとっとと名前付けてくれないかしら?wordpress.org のサイト構造にあまり詳しくないので実際はもう命名されてるのかもしれませんがw で、先に結論から言いますと、今回の攻撃は権限チェックのバグとスクリプトインジェクションが組み合わされたもののようです。攻撃が成功すると、ダッシュボードから見えない管理者アカウントが作成されます。また、バックドアが仕込まれることもあるようです。 攻撃条件 まず最初に、今回の攻撃が成功す
政府強制フィルタリングソフト、中国人ハッカー軍団に屈する
政府強制フィルタリングソフト、中国人ハッカー軍団に屈する:山谷剛史の「アジアン・アイティー」(1/2 ページ) 中国政府推奨のフィルタリングソフト「Green Dam」(緑■・花季護航。■は土へんに覇)については、中国国内から「個人情報が政府に筒抜け、恐い!」「こんなマイナーソフトを政府が推奨して金を落とすとは、どんな裏があるのやら?」とパワーユーザーたちの反感を買い、この連載でも「フィルタリングソフト義務化で中国人民の反応は?──ぶっちゃけ無理だろ」で紹介しているが、その後も、中国の「ヘビーユーザー軍団」は、その総力をあげて同ソフトの解析を水面下で続けていた。そして、解禁予定の7月1日を前にして、ついに「中国インターネットの御法度」を暴くことに成功したのだ。 アンインストールできない「Green Dam」……だったが 「いやなら、削除してもいいのだよ」と中国政府が譲歩を見せるGreen
iPhone OSにDoS攻撃を受ける脆弱性、最新版に更新を
独立行政法人情報処理推進機構(IPA)は6月18日、iPhone OSにサービス運用妨害(DoS)攻撃を受ける脆弱性が存在すると公表した。ベンダーが提供する対策済みの最新バージョンにOSをアップデートするよう呼びかけている。 この脆弱性は、iPhoneおよびiPod touchのOS上に存在する。ネットワークを通じたリクエストの処理に問題があり、脆弱性を悪用されると、外部から攻撃を受けた場合にiPhoneやiPod touchが停止状態にされてしまう恐れがある。 影響を受ける恐れがあるのはiPhone OS 1.0〜2.2.1、およびiPhone OS for iPod touch 1.1〜2.2.1。 この問題は2008年12月17日に吉田真樹氏からIPAに届出があり、有限責任中間法人 JPCERTコーディネーションセンターが製品開発者と調整したうえで公表したものだ。 なお、IPAではこ
Adobe ReaderおよびAdobe Acrobatにバッファオーバーフローの脆弱性
有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は2月23日、Adobe Systemsのソフトウェア「Adobe Reader」および「Adobe Acrobat」に、バッファオーバーフローの脆弱性が存在すると公表した。 これらのソフトは、Portable Document Format(PDF)ドキュメントを閲覧、編集するためのソフトウェア。脆弱性が確認されたバージョンは、Adobe Reader version 9およびそれ以前、もしくはAdobe Acrobat(Pro、Pro Extended、and Standard)version 9およびそれ以前となっている。 今回確認された脆弱性が悪用されると、細工されたPDFドキュメントをユーザーが閲覧した場合に、アプリケーションをクラッシュされたり、任意のコードを実行されたりする可能性がある。ユーザーがアプ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米Intelが米McAfeeを買収、買収総額は76億8000万ドル 
NECがコピー動画識別技術を開発。国際標準規格「MPEG-7」に採用 
PS3新ファームウェアでの他OS起動に成功か--ハッカーが動画公開 - GameSpot Japan
JPCERT、マルウェアによるアカウント情報窃取が確認されたFTPクライアントを公表
768bit合成数の素因数分解に成功、NTTらが世界記録更新 
脱獄済みiPhoneのデータ根こそぎ奪取、ハッキングツール見つかる 