一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
自宅でAtermを使っているので焦りましたが、使っている機種は対象から外れていたので一安心です。型番を見る限りでは、発売から一定年数以上経った機種が対象のようですね。ネットワークのセキュリティ対応は日進月歩なので、年数が経った無線LANルータはそれ自体がセキュリティホールになるということかもしれません。ファームウェアの更新はもちろんですが、無線LANルータ自体も安価になってきているので、消耗品と割り切って定期的に買い換えるのがいいかもしれませんね。 無線LANのスピードも年々速くなっていますし、デバイスを定期的に買い替えているのであれば、無線LANルータの更新もあわせて検討すべきでしょう。個人…
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
今日は23:00に寝て7:30に起き、朝食にベースブレッドのチョコ味を食べました。顔を洗って携帯でポケモンGOとポケモンスリープとピクミンブルームとXとDiscordtとGoogleスケジュールとGmailを見ていたらあっというまに8:30になっていました。11:30には家を出て単発肉体労働に向かいたいと思っています。残り3時間。とりあえず着替えるところからです。ポケモンスリープの睡眠計測を忘れていてびっくりしました。手入力で入れました。持っている「動きやすい服」が昨日着た一着だけなので、寝巻きにしているTシャツを召喚することになってしまい、ちょっと笑っちゃいました。どちらかといえば綺麗系な服…
ソース: medium.com 脆弱性:ファイルアップロード 訳: 今日は、報奨金プロジェクトで発見した、ファイルのアップロードによって引き起こされる XSS という興味深い脆弱性を共有したいと。 脆弱な機能はターゲットのフィードバック セクションにあり、画像ファイルをアップロードできるようになり。 データパケットを見てみましょう。 最初の試み。filename=”1713317086261.jpg” を filename=”1713317086261.svg” に変更 以下のようにうまく動作しなかったようで。(SVGファイルへのパスにアクセスできなかったため) そこで、2回目の挑戦をして。 …
Security Incidents毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。 ランキング参加中インターネット 本日追加→ 不正アクセス なごみ 4月22日 「味市春香なごみオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 原因 「味市春香なごみオンラインショップ」のペイメントアプリケーション改ざん 被害 15,274名のクレジットカード情報および個人情報 作業ミス 大塚商会 4月19日 メール誤送信に関するお詫びとお知らせ 原因 社外の特定の1名に、個人情…
JR東海が中央リニア新幹線の開業時期の延期を発表しました。静岡県が着工不許可としてから7年、今さらの発表です。JR東海は新たな開業予定時期を示していませんが、静岡工区の着工遅れがそのまま反映されて2034年以降になると考えられています。 延期発表に合わせるように他の工区での進捗遅れも発表したことで、「JR東海は延期はすべて静岡のせいかのようにしているが、静岡工区以外にも問題山積であり、静岡を隠れ蓑にしているだけ」といった記事もありました。 大規模インフラ建設の開業予定は、何も問題がなくすべて順調に進んだ場合の最速を示すのが一般的で遅れが生じることは珍しくなく、そういった指摘は批判派がここぞとば…
※本ページは、アフィリエイト広告を利用しています。 WordPressは現在に置いてもシェア第1位のCMSですが、そのテーマを自作するのはWordPressのアップデートに伴い非常に難しくなりました。 ブロックエディタ、フルサイト編集、theme.jsonの作成、対応PHPのバージョンアップなど、テーマの自作には様々なハードルがあります。 現代のWordPressのテーマ作成が難しい理由 ブロックエディタへの対応 オリジナルブロックの作成 フルサイト編集機能の対応 theme.jsonの理解 構文と設定の理解 試行錯誤とデバッグ ドキュメントの不足 従来からあるWordPressの問題 セキュ…
DDoS対策は? デフォルトでAWS Shieldが入っているので、それで対策される 脆弱性攻撃対策は? WAFを入れれば対策できる Basic認証入れたい CloudFront Functions を使う 特定のPATHの場合リダイレクトしたい CloudFront Functions を使う Lambda@Edgeと、CloudFront Functionsってどっち使えばいいの? レスポンスヘッダ編集、リダイレクト、キャッシュキーの正規化みたいな軽い処理は CloudFront Functions もっと重い処理は Lambda@Edge docs.aws.amazon.com TTLよ…
人事評価システムの設計と実装に関する次の記述を読んで,設問に答えよ。 K社は,人事評価システムを中小企業に提供するSaaS事業者である。現在は,契約している会社ごとに仮想サーバを作成して,その中にデータベースを個別に作成している。現在のシステムのOSやフレームワークのサポート期限が迫ってきたのを機に,機能は変更せずにサーバリソース最適化を目的として,システムを再構築することにした。 〔人事評価システムの機能概要〕 人事評価システムの機能概要を表1に示す。 表1 人事評価システムの機能概要 〔単一データベース・単ースキーマ方式の検討〕 データベースのリソースを最適化するために,会社ごとに個別に作…
このレポートでは、メキシコペソとアメリカ経済や日本円との為替レートの動き、メキシコペソの見通し、そしてその影響を受ける可能性がある要因について詳しく解説します。 執筆:株式会社外為どっとコム総合研究所 調査部長 神田卓也 X(Twitter): https://twitter.com/KandaTakuya 中東リスクでストップ巻き込み一時急落 ショックへの脆弱性を再認識 前週末19日、メキシコペソが一時急落した。イスラエルがイランを攻撃したと伝わり中東情勢の緊迫化を懸念したリスク回避の動きが強まると対円でおよそ2カ月半ぶりに8.50円付近まで下落。対ドルでは昨年10月以来の安値となる18.2…
はじめに サービス分析課のチェリーです。 サービス分析課では分析基盤の構築とブックウォーカー社が運営する各サービスのデータ分析を行っています。そのため業務を円滑に進めるために各事業部とのコミュニケーションが重要となります。 そこでブックウォーカー社の各チームがどのようなコミュニケーション形態をとっているかネットワーク図を使い可視化してみました。 ネットワーク図 Slack APIを利用した投稿情報抽出 ブックウォーカー社は全社的にテレワークを採用しているので業務のやりとりは主にSlackで行っています。Slack APIを利用し各社員のメンション元とメンション先を集計します。 Events A…
はじめに こんにちは、イノベーションセンターの鍔木(GitHub: takuma0121)です。 OT/ICSセキュリティリスク可視化サービス、OsecTの開発・運用を担当しています。 2024年3月4日から7日までの間、米国マイアミで開催されたS4x24に聴講参加しました。 このカンファレンスは日本では知名度が高いとは言えませんので、S4の全容とOT/ICSセキュリティのトレンドについてお伝えできればと思います。 目次 はじめに 目次 S4とは プレゼンテーション Vulnerability Management Pavilion Welcome Party / Cabana Session…
2024年4月15日~2024年4月21日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第153回分。 [PQCロック機能の提案] [その他のニュース] ▼New Lattice Cryptanalytic Technique ▼SSL/TLS実践入門発売予定 ▼PuTTYのECDSA脆弱性 (CVE-2024-31497) ▼conventionalcommits.orgの証明書エラー ▼24年4月の量子コンピュータ業界 ▼DES/3DES illustrated [おわりに]
【ニュース】 ◆OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに (Gigazine, 2024/04/22 14:08) https://gigazine.net/news/20240422-gpt-4-craft-attacks-based-chip-vulnerabilities/ ⇒ https://tt-ai.hatenablog.com/entry/2024/04/22/000000 【関連まとめ記事】◆全体まとめ ◆生成AI / ジェネレーティブAI (まとめ) ◆LLM / 大規模言語モデル (まとめ) https://tt-…
リモート環境のセキュリティ対策に関する次の記述を読んで,設問に答えよ。 Q社は,首都圏で複数の学習塾を経営する会社であり,各学習塾で対面授業を行っている。生徒及び生徒の保護者からはリモートでも受講が可能なハイブリッド型授業の導入要望があり,Q社の従業員からはテレワーク勤務の導入要望がある。 〔Q社の現状のネットワーク構成〕 Q社のネットワーク構成(抜粋)を図1に示す。 図1 Q社のネットワーク構成(抜粋) 〔Q社の現状のセキュリティ対策〕 Q社のセキュリティ対策は次のとおりである。 ・パケットフィルタリングポリシーに従った通信だけをFWで許可し,その他の通信を遮断している。 ・業務上必要なサイ…
【ニュース】 ◆OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに (Gigazine, 2024/04/22 14:08) https://gigazine.net/news/20240422-gpt-4-craft-attacks-based-chip-vulnerabilities/ 【関連情報】 ◆OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに (Gigazine, 2024/04/22 14:08) https://gigazine.net/news/20240422-gpt-4-…