インターネット・セキュリティ技術一般

ある日突然、今まで普通に開いていたWindows 10の「設定」が開かなくなってしまいました。設定の青いウィンドウは開くのですが、設定項目が表示されず、しばらくすると落ちてしまいます。 もちろん「ディスプレイ設定」や「個 […]

コード決済における不正利用に関する責任分担・補償等についての規定事例集（利用者向け利用規約） 発行機関：一般社団法人キャッシュレス推進協議会発行年月日：2019年8月30日 概要「コード決済における不正利用に関する責任分担・補償等についての規定事例集」は、利用者にキャッシュレス決済を安全に使ってもらうために、利用者に対して情報発信する目的で公開された事例集です。キャッシュレス決済には、不正利用のリスクがあり、利用者にとっては不安要素の一つになります。このガイドラインでは、上記の不安を払拭することを目的に、キャッシュレス決済サービスの利用規約の内、不正利用に対しての補償や責任分担等を調査してまと…

2019年9月に気になったニュースをまとめます。 記事の投稿日 概要 2019/08/31 スマホ決済サービスの不正アクセスの被害を補償する保険の取り扱いを三井住友海上火災保険とあいおいニッセイ同和損害保険がそれぞれ始める。 2019/08/31 マネーロンダリング対策における国際協調を推進する政府間機関FATF（金融活動作業部会）は、10月28日から11月15日の3週間に渡り、対日審査することが明らかになった。 2019/08/31 アメリカの400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生した。 2019/08/31 米ツイッター(TWTR.N)のジャック・ドーシー最高経…

SSL/TLS 暗号設定ガイドライン 発行機関：情報処理推進機構発行年月日：2019年5月 https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-2.0.pdf 概要このガイドラインは全部で9章で構成されています。 1. はじめに1.1 本書の内容及び位置付け1.2 本書が対象とする読者1.3 ガイドラインの検討体制2. 本ガイドラインの理解を助ける技術的な基礎知識2.1 SSL/TLS の概要2.2 暗号アルゴリズムの安全性3. 設定基準の概要3.1 実現すべき設定基準の考え方3.2 要求設定の概要3.3 チェック…

SOC（Security Operation CenterではなくService Organization Controlのほう）についてまとめてみました。本記事で対象とするSOCとは、監査法人がクラウドベンダーなどにだすお墨付きのようなものです。 SOCはもともと財務諸表監査の延長として取り入れられた制度です。例えば、情報システムの内部統制の監査をする場合に、クラウド等の利用により外部委託のようになっている部分については、自社（監査を受けている企業）ではわからないとなった場合、監査人が都度、ベンダ（上記の場合はクラウドを提供している外部委託先）に、監査をしに行くとなるとベンダ側の負担が大きく…

ケルベロス認証とはケルベロス認証とは、サーバとクライアント間のネットワーク認証方式の1つです。ケルベロス認証はクライアントとサーバとを相互認証でき、データの機密性のため、クライアントとサーバ間の通信を暗号化します。ケルベロス認証はRFC4120やRFC4121で仕様が規定され、KRB5とも呼ばれています。ケルベロス認証を使用したサービスにはMicrosofのActive Directoryがあります。 ケルベロス認証の構成要素 ケルベロスの用語 説明 KDC（Key Distribution Center） サーバとユーザに関する信頼関係の情報を一括管理する中央データベース AS（Authen…

インターネットに接続する場合はグローバルアドレスが必要になります。自分の端末がインターネットで通信する際に使用するグローバルアドレスを変更（偽装）する方法の一つとして、VPNを使ったものがあります。 VPNbookはフリーで利用可能なVPN接続サービスです。 www.vpnbook.com VPNbookを使用することで自分のグローバルアドレスを変更（なりすまし／隠ぺい）することができます。 www.youtube.com 上記の動画の例では、元のグローバルアドレスから、EU圏内のグローバルアドレスに変更し、Web閲覧ができました。 ※調べている過程で、VPNbookの設定にあるポート番号が2…

トレンドマイクロが、2019年1月から6月にかけてのセキュリティレポートを公開しています。 resources.trendmicro.com 2019年上半期の日本国内の攻撃傾向としては、以下の傾向があげられています。 ランサムウェア被害から明らかになるネットワーク侵入と内部活動の実態 金銭を狙うAndroid 向け不正アプリの攻撃が顕在化 継続するフィッシング詐欺の中でモバイルからの誘導が増加傾向 また、当該レポートではグローバルでの攻撃傾向もまとめていますが、グローバルにおいてもランサムウェアの脅威についてまとめられています。 ランサムウェアの脅威（グローバルの脅威レポートより引用） ラン…

2019年10月に気になったニュースをまとめます。 記事の投稿日 概要 2019/10/01 「Orifuri」PC用サイトがフィッシングサイトへ誘導される改ざん被害（ハリス） 2019/10/01 店の宣伝スクリーンにポルノ動画、アシックスが謝罪 ＮＺ 2019/10/01 テストラボ環境への不正アクセス報道、社内の調査結果を発表（トレンドマイクロ） 2019/10/01 米ソーシャルゲーム大手Zyngaが不正アクセス被害、約2億件のアカウント情報流出の可能性も 2019/10/01 FONルーター「FON2601E」にオープンリゾルバの脆弱性、意図せずDDoS攻撃に加担してしまう可能性も …

連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド 発行機関：NIST（IPA訳）発行年月日：2010年2月 https://www.ipa.go.jp/files/000025329.pdf 概要情報システムに対する脅威には、環境破壊や人的ミス、システムのエラ－、外部からの攻撃があります。情報システムを取り巻く脅威は増大しているため、組織においては自組織で運用するシステムのリスク管理が重要になります。本ガイドラインでは適切なリスク管理の実施により、情報システムのセキュリティを向上させることを目的として公開されています。リスクマネジメントの実施は組織全体で取り組む必要があり…

入室する際に社員証などのICカードをかざしてはいるような施設でたまに、「アンチパスバックエラーです」といわれて部屋から出られない、ということがあります。これまで聞き流していたアンチパスバックについて調べてみました。 アンチパスバックとはアンチパスバックとは、入室時と退室時にIDカードを用いて認証を行い、入退室を管理する区画において、入室時の認証に用いられなかったIDカードでの退室を許可しない、又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みのことをいいます。 アンチパスバックのイメージ 上記のような状態になる理由として、共連れがあります。 共連れのイメ…

forで配列の反復をしているところがたくさんあったので、配列のcountをしてそれから…というのは可読性が落ちる。 配列の書き直しなら参照渡しを使えばシンプルにまとめる事ができる。キーを取得しなくてもいいのでスマート…。 と思ったら…。PHPの繰り返し処理大全 - Qiita foreachでリファレンスが…

GitKrakenの無料版では非公開リポジトリを開けなくなりました。 サブスクリプションで年額$49…いや$29? いずれにしても無料版では非公開リポジトリを開く事ができくなってしまったので他のGitクライアントを探す事にしました。 基本は…たしかGit for Windowsだよねぇ…

2018年のパスワードハッシュ - Qiita ログイン認証と称してmd5とかsha1とか書いてあるソースはゴミなので投げ捨てましょう。単純なMD5やSHA1ハッシュを元に戻す | Bamboo lath　…

どうも！ぶーかぼです！前回は、「Xserverの自動バックアップと手動バックアップ」について学びましたね。今回は、実際に「Xserverを使って手動でバックアップをとる方法」についての説明です！今回も、完全図解で解説していきますよ！１つ１つ

以前こちらの記事でちらっと名前が出たCloverについて、一昨日確認できた情報があります。海外サイトからダウンロードできるCloverもマルウェアかもしれないネット上に海外サイトから安全にCloverをダウンロードできたという情報があり、人

Xserverの自動バックアップと手動バックアップについて詳しく説明しています。それぞれの違いや、メリット・デメリットについてわかりやすくまとめていますので、しっかり理解しておきましょう。

今回は、例を出しながら「データファイル」と「データベース」についての説明もしていきます。それに加えてFileZilla（ファイルジラ）などのFTPソフトでバックアップできるデータの種類について解説していきます。

三井住友銀行からこんなメールが届きました。 「【重要】「三井住友銀行の口座」カード・通帳一時利用停止、再開のお手続きの設定してください。〇〇＠〇〇.com」 中身を読んでみると、振込手数料引き上げに伴う、SMBCダイレクトの各種手数料改定で、使っている三井住友銀行の口座を一時利用停止している、とのこと。利用を再開する為には、以下のURLより、セキュリティ強化、カード・通帳一時利用の再開手続きをして

Amazonからこんなメールが届きました。 「お客様のAmazonプライム会員資格は、2019/09/07に更新を迎えます。〇〇＠〇〇.com」 中身を読んでみると、Amazonプライム会員の資格が2019/09/07に更新を迎えるとのこと。会費の支払いに有効なクレジットカードが登録されていないので、「支払い情報の更新をする」というボタンをクリックして、カード情報を更新してください、と書かれていま

ある日から、Windows 10を起動すると、突然画面が薄暗くなって、いくつかのウィンドウが表示されるようになりました。「配信とキャプチャ」「オーディオ」「パフォーマンス」などと書かれており、Xboxのロゴマークが表示さ […]

ブログの始め方の一番最初のステップである「Googleアカウントの作成方法」についてお話しします。Googleアカウントはブログを運営していく上で必要不可欠なものになりますので、必ず最初に作成しておきましょう。

ファイルの存在確認をするときに使う関数file_exists()、is_file()の速度を比較するため簡単なコードを書いてテスト。<?php $time_start = microtime(true);//計測開始 $img='img/hoge.png'; for($i=0; $i<100000;++$i){//10万回繰り返す file_exists($img); } $time = microtime(true) - $time_start; echo "{$time} …

phpでpasswordを暗号化して復号化…。 password_hash()は暗号化ではなくハッシュ化なので元のpasswordに戻す事はできません。 ではどうしたら…。PHPで文字列を暗号化 - Qiitaなんか複雑なコードが書いてある…。これは私には手におえない？ phpのマニュアルは…。

Windows 10でインターネットを閲覧する際には、Edge（エッジ）というブラウザが使われます。それよりも前のWindowsではInternet Explorer（インターネットエクスプローラー）（以下 IE）が使わ […]

POTI-boardの$delに不正な値が入らないようにする: STP^3 でこう書きました。$del = ( isset($_POST["del"]) === true ) ? ($_POST["del"]): ""; if(is_array($del)){ $countdel=count($del); for($i = 0; $i < $countdel; $i++){ if(!ctype_digit($del[$i])){//数&#x5B5…

情報信託機能の認定に係る指針発行機関：総務省/経済産業省発行年月日：2018年6月26日 www.meti.go.jp 参考にした資料http://www.soumu.go.jp/main_content/000564925.pdf 概要現在はIoTやスマホの普及により、大量の個人情報がインターネット上に集まるようになりました。集まった個人情報を活用してビジネスを拡大する動きもあります。そんな中、個人情報の円滑な流通を実現するため、情報信託機能を提供する「情報銀行」が求められています。「情報銀行」の提供者には、一定の要件を満たすことが必要であるという方針のもと、総務省及び経済産業省ではこれまで…

安全保障貿易管理ハンドブック発行機関：経済産業省発行年月日：2017年10月https://www.meti.go.jp/policy/anpo/seminer/shiryo/handbook.pdf 安全保障貿易管理とは武器そのものの他、高性能な工作機械や生物兵器の原料となる細菌など、軍事的に転用されるおそれのある物が、大量破壊兵器等の開発者やテロリスト集団など、懸念活動を行うおそれのある者にわたらないようにするのが安全保障貿易管理です。 日本を含む国際社会が一体となって安全保障貿易管理に取り組んでおり、日本にとっても、他国やテロリストから攻撃を受けないようするための方策の一つです。某国の核…

暗号利用環境に関する動向調査発行機関：情報処理推進機構（IPA）発行年月日：2015年6月 www.ipa.go.jp 概要情報処理推進機構では、総務省、経済産業省、情報通信研究機構(NICT)とともに、CRYPTREC を運営しています。CRYPTREC活動では、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)」の公開等、暗号政策に係る指針を示しています。このレポートは、今後の暗号政策の方針（2015年時点）を検討するための基礎資料であり、諸外国の暗号政策に関する調査結果をまとめたものです。（補足）CRYPTRECとは CRYPTREC とはCryptog…

言葉の定義があいまいになるときがあるので、マルウェアで使われる言葉の定義をまとめてみました。 マルウェアマルウェアとは、「Malicious Software」（悪意のあるソフトウェア）を略したもので、脆弱性や重要情報を窃取するなどの攻撃をするソフトウェアの総称です。広義な用語として使われており、コンピュータウイルスや、ワーム、スパイウェア、アドウェアなどさまざまな種類のマルウェアが存在しています。 www.soumu.go.jp コンピュータウイルス他のプログラム等に対して意図的に何らかの被害を及ぼすように作られたプログラムで、以下の機能をの内、一つ以上有するもの。 自己伝染機能自らの機能に…

Eメール脅威レポート発行機関：ファイア・アイ株式会社発行年月日：2019年7月23日 https://www.fireeye.jp/company/press-releases/2019/new-fireeye-email-threat-report-reveals-increase-in-social-engin.html概要ファイア・アイでは2019年1月から3月に検知した攻撃メールを分析した結果を「Eメール脅威レポート」として公開しています。2019年第1四半期の統計から見えてきたもの（抜粋） URLを用いて不正コンテンツをダウンロードさせる手法が主流となっている 第1四半期のフィッシン…

7つの気になる真実発行機関：SOPHOS発行年月日：2019年4月 https://www.sophos.com/ja-jp/medialibrary/Gated-Assets/white-papers/sophos-seven-uncomfortable-truths-about-endpoint-security-wpna.pdf 概要SOPHOSではエンドポイントのセキュリティ対策状況について、世界各国の企業のIT管理者3100人を対象に、インタビュー調査を行いました。インタビュー結果として、以下7つのポイントを解説しています。 エンドポイントセキュリティの対策状況調査結果 真実 その …

企業における情報セキュリティ実態調査2019発行機関：NRIセキュアテクノロジー株式会社発行年月日：2019年7月18日 www.nri.com 概要 日本および海外企業の情報セキュリティに関する取り組みの実態を把握することを目的とし、NRIセキュアテクノロジーズでは各企業に対してアンケート調査を行い、その結果を公開しています。このレポートではアメリカ、シンガポール、日本の3か国、計2800社以上の企業を対象とした調査結果を公開しています。 １．デジタルセキュリティアメリカ、シンガポールでの取り組みが進む一方で、日本は取り組んでいないという企業が半分を占めていました。また、日本企業においては、…

ビジネスメール詐欺「BEC」に関する事例と注意喚起（続報）発行機関：情報処理推進機構発行年月日：2018年8月27日 www.ipa.go.jp J-CSIPについて J-CSIPは、公的機関であるIPAを情報の中継点として、参加組織間でサイバー攻撃に関する情報共有を行い、対策に繋げていく取り組みです。IPAと各参加組織（あるいは参加組織を束ねる業界団体）間で秘密保持契約（NDA）を締結するなどして、参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに提供いただき、情報提供元に関する情報や機微情報の匿名化を行った上で、参加組織間での情報共有を行っています。 J-CSI…

セキュリティポリシーとは一般的にセキュリティポリシーとは、組織の情報資産を適切に保護するための統一方針のことを指します。セキュリティポリシーでは保護すべき情報資産の特定や、保護の目的、及び責任の所在等が明らかにされます。セキュリティポリシーをもとに、より具体的な内容を記載する基準や、規程、手順等が整備されます。 セキュリティポリシーの位置づけ www.ipa.go.jp 経済産業省が発表した「サイバーセキュリティ経営ガイドライン」にもあるように、組織のセキュリティ対策については、経営者が主導して推進することが求められています。組織においてセキュリティの基本方針となる「セキュリティポリシー」は経…

General Data Protection Regulation制定機関：欧州議会および欧州理事会制定年月日：2016年4月27日（2018年5月25日より施行） 参考https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN日本語訳 https://www.jipdec.or.jp/archives/publications/J0005075 概要2018年5月25日よりEU域内の個人データ保護を規定する法として、GDPR（General Data Protection Regulati…

セキュリティモデルとして挙げられる「Bell-LaPadula」や「Biba Integrity」について調べたことをまとめます。 「オペレーティングシステムのアクセスコントロール機能におけるセキュリティポリシーモデル」発行機関：情報処理推進機構発行年月日：2012年9月27日 https://www.ipa.go.jp/files/000002266.pdf 上記資料は、IPAがシステム管理者を対象に参考情報を公開している「情報セキュリティ対策実践情報」に掲載されています。 www.ipa.go.jp OSのアクセスコントロールと課題OSの課題として、特権ユーザがシステム全体を支配できること…

サイバーセキュリティ経営ガイドライン Ver 2.0発行機関：経済産業省/情報処理推進機構（IPA）発行年月日：2017年11月16日（Ver.2.0） https://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf 概要 「サイバーセキュリティ経営ガイドライン」は経済産業省とIPAが共同で策定した企業向けのセキュリティガイドラインです。企業の経営者が、CISO（Chief Information Security Officer 最高情報セキュリティ責任者）に対して指示すべきセキュリティ対策実施の指針を10個にまとめたもの…

ＭＤＭ導入・運用検討ガイド発行機関：一般社団法人日本スマートフォンセキュリティ協会（JSSEC）発行年月日：2013年1月24日 https://www.jssec.org/dl/MDMGuideV1.pdf 概要 「ＭＤＭ導入・運用検討ガイド」はスマートフォンを管理するMDMを企業で利用するにあたって、導入から運用に至るまでの工程についてのガイドラインです。章立ては以下の通りです。 ガイドラインの章構成1 はじめに 1.1 本ガイドの目的について 1.2 本ガイドの対象読者について 1.3 本ガイドの構成について 1.4 用語集2 スマートフォンとＭＤＭ 2.1 スマートフォンの特徴について…

Windows 10で最新のWindows Update（1903）を適用させようと思ったら、「次の作業が必要です」というようなエラーメッセージが表示されてアップデートできませんでした。「詳細についてはここをクリックして […]

PCにGoogleを名乗るエラーメッセージが表示され大阪の固定電話に電話するように促されました。同時にPCはフリーズ！！詐欺ですよ注意喚起

金融分野のサイバーセキュリティレポート 発行機関：金融庁 発行年月日：2019年6月 「金融分野のサイバーセキュリティレポート」の公表について：金融庁 概要金融庁では、2015年7月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を公開して、金融分野のサイバーセキュリティ強化に取り組んできました。 当サイトでの紹介記事 www.iestudy.work 「金融分野のサイバーセキュリティレポート」は、金融業界の企業が「金融分野におけるサイバーセキュリティ強化に向けた取組方針」をもとにして取り組んだセキュリティの取り組みの中で把握した課題や、セキュリティの対策状況の実体等をとりまとめ…

Accentureが2018年の企業におけるサイバー攻撃に対する対応コストについて、調査結果を公開しました。この調査では、対応コストが前年から130万ドル増加したことが公開されています。コスト増加の要因の一つについて、ランサムウェアの攻撃数の増加を挙げています。 japan.zdnet.com 今回はランサムウェア感染事例のうち、実際に身代金を支払ったケースについて調べてみました。 身代金を支払った事例 発生時期 対象となる企業 支払金額 参考 2015年 メイン州リンカーン郡の保安官事務所（アメリカ） 300ドル 政府機関がサイバー攻撃をうけた６つの事例 | STC's Ownd 2016年…

Eposカードを装ったフィッシングメールが流通しています。 www.eposcard.co.jp フィッシングサイトの動作を見てみました。サイト上部に表示されている、スマホ向けアプリのインストールメッセージが文字化けしている時点で、いつもと様子が違うことがわかります。 youtu.be

IPAでは技術的な内容をまとめた「IPAテクニカルウォッチ」を公開しています。 www.ipa.go.jp 2019年2月に、IPAテクニカルウォッチで「脆弱性対策の効果的な進め方（ツール活用編）」が公開されました。本記事では、上記で紹介されている脆弱性検知ツール「Vuls」をUbuntuにインストールする手順を記載します。 脆弱性対策の効果的な進め方（ツール活用編） 発行機関：情報処理推進機構（IPA）発行年月日：2019年2月21日 https://www.ipa.go.jp/security/technicalwatch/20190221.html 脆弱性への対応とVuls脆弱性への対応…

電子的認証に関するガイドライン（SP800-63）発行機関：アメリカ国立標準技術研究所（National Institute of Standards and Technology, NIST）発行年月日：2006年4月 原文：https://pages.nist.gov/800-63-3/和訳（IPA）：https://www.ipa.go.jp/files/000025342.pdf 概要 NIST SP800 63は認証に関するガイドラインです。SP800 63は以下の3つが含まれています。 SP800-63の要素 SP800-63 デジタル認証のガイドライン SP800-63A 登録プ…

フィッシング対策ガイドライン 2019年度版発行機関：フィッシング対策協議会発行年月日：2019年5月 https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf 概要 フィッシング対策協議会では、Webサイトの運営者及び利用者に対して、それぞれの観点でフィッシング被害にあわないための対策をまとめ、「フィッシング対策ガイドライン」として公開しています。 フィッシングのイメージと対策するポイント フィッシングの攻撃概要 Webサイト運営者が考慮すべき要件一覧 利用者が正規メールとフィッシングメールを判別可能とする対策 要件 実施の必…

新入社員等研修向け情報セキュリティマニュアル発行機関：JPCERT/CC発行年月日：2014年3月26日（Rev.3） https://www.jpcert.or.jp/magazine/security/newcomer-rev3_20140326.pdf 概要 「新入社員等研修向け情報セキュリティマニュアル」は、組織の教育担当者や情報セキュリティ担当者に向けたもので、新入社員にむけた情報セキュリティに関する教育のトピックをまとめたものです。 章立ては以下のようになっています。 1 企業等における PC 端末利用者のための基本的な情報セキュリティ対策 1.1 発生し得る問題事象 1.1.1 …

CTFとはcapture the flagの略、DEFCONやSECCONをはじめとする、コンピューターのハッキング技術を競うコンテストなどで採用される競技。コンピューターセキュリティーに関する攻撃・防御の両方の立場から、暗号、ネットワーク技術、プログラミングなど、さまざまな問題を解くことで技量や知識を競う。kotobank.jp 具体的には、問題を解くことでFlagと呼ばれる文字列を見つけ出し、解答すると点がもらえます。そして参加者同士で点数を競い合うゲームです。CTFでは、以下の2種類の形式があります。 King of hills形式問題サーバの脆弱性等からフラグを探し出す形式です。 Ki…

最近、パスワードに代わる認証、パスワード不要という言葉をよく聞きます。 it.impressbm.co.jp FIDOとは上の記事にも出てくる「FIDO」とは、Fast IDentity Online（以下FIDO、ファイドと呼んでいます）の略で、パスワードに代わる認証方式となります。 パスワードの問題パスワードには、 短いと総当たり的に試すことで突破されてしまう 長くすると覚えられない 単語や自分の誕生日だと、SNSや辞書から推測されて突破されてしまう といった問題があります。そういったパスワードの問題を解決するために、パスワードによる認証以外の方法を使った認証がFIDOとなります。 FID…