Introduction The objective of the cheat sheet is to provide advices regarding the protection against Server Side Request Forgery (SSRF) attack. This cheat sheet will focus on the defensive point of view and will not explain how to perform this attack. This talk from the security researcher Orange…

もっと読む »

「2020年夏の東京五輪・パラリンピックに向けて、サイバー攻撃の攻撃元としてこれまで以上に注意しなければならない国がある。それは韓国だ」。 こう警鐘するのは、新興セキュリティーソフトベンダーである米クラウドストライク(CrowdStrike)のアダム・マイヤーズ(Adam Meyers)インテリジェンス担当バイスプレジデン…

もっと読む »

関連キーワード Intel(インテル) | 脆弱性 前編「Intel製CPUを攻撃する『ZombieLoad』の脅威 見えないはずのデータが見える?」は、2019年5月中旬に明らかになった、Intel製プロセッサの新たな脆弱(ぜいじゃく)性について解説。その脆弱性に対する4つの概念実証(PoC)攻撃「ZombieLoad」「Fallout」「Rogue In-Fli…

もっと読む »

Webニュース 2019年9月の、これだけは押さえておきたいWeb関連の動き Monday, September 30th, 2019 【土曜開催】「スマートフォン時代のWebコーディングスクール」開催!PC・タブレット・スマートフォンに対応したHTML・CSSを基礎から学べます! 「HTML5再入門講座」という「HTML5を学び直す」ための無料講座も開催しま…

もっと読む »

中国通信機器大手の華為技術(ファーウェイ)が、国内外から1日に約100万件のサイバー攻撃を受けていることが分かった。同社が持つ高速大容量の第5世代(5G)移動通信システムの先端技術を盗み出す狙いがあった可能性があるとみている。サイバーセキュリティーを担当するジョン・サフォーク上級副社長が30日までに中国広…

もっと読む »

村田篤紀 合同会社DMM.com/日本インターネットプロバイダー協会 理事 石川県出身 本来の専門はソフトウェア工学。 地方のFM放送局関連会社や、OSSの会社、通信キャリア・ISPを経て、石川にUターン目的でDMM.comラボの前身であるDooGAに入社するも東京で勤務。その後他社にてインフラエンジニアをしていたが、2014年から…

もっと読む »

GmailやGoogle マップ、Facebook、Twitterなど、日ごろ私たちが使っているサービスの多くがWebアプリケーションである。これらはインストールすることなく、インターネットに接続するだけでWebブラウザから利用可能だ。そのため普及が進んでいるものの、ハッカーから狙われやすい側面もある。そこで今、注目を集めている…

もっと読む »

日本では海賊版サイトのブロッキングなどで認知度の上がったDNS。GoogleはこのDNSのトラフィックをよりセキュアなものにするため、Chromeブラウザーユーザーの一部で、暗号化のテストを実施する予定です。しかし、Googleのこの動きに対し、米下院司法委員会がDNSへのアクセスを独占することで、不当な優位性を獲得するの…

もっと読む »

jailbreak(脱獄)をせずにiOSデバイスに任意のアプリをインストールできるという「AltStore」なるサービスのプレビュー版が公開されている(Engadget日本版、The Verge)。
iOSでは公式のAppStore以外からのアプリインストールが原則として認められておらず、そのためAppleの審査を受けて許可を得たアプリしか利用できない。サードパーティが提供するアプリストアも存在するものの、利用するにはOSの脆弱性などを利用した脱獄を行う必要があった。AltStoreはmacOSもし…

もっと読む »

はじめに 今週のQiitaの記事は技術書典で買ったIAM本の書評を書く — nari@BOOTHで好評発売中「GoとAWS CDKで作る本格SlackBot入門」 (@fukubaka0825) September 27, 2019 今技術書典で買ったIAM本、Cognito本、OAuth本を読んでいて今までさらっと流してきた認証認可をがっつり学び直すことができて最高 — nari@BOOTHで好…

もっと読む »

はじめに 先日の電話は本当にびっくりしました。 デザイン事務所か、広告代理店か、企業のデザイン部門に進むのが君の希望だと思っていたからです。 それに、フリーランスとして活動するには早すぎると思ったからです。 専門卒で実務経験なしで20歳じゃあ舐められると思ったからです。 しかし、それは僕の常識がそうだか…

もっと読む »

セキュリティ研究者が米国時間9月27日、「iOS」の新たなジェイルブレイク(脱獄)の方法を公開した。報道によると、Appleの「A5」から「A11」チップを搭載するすべてのiOSデバイスに影響するという。これは、2011年にリリースされた「iPhone 4S」から2017年の「iPhone X」までに及ぶ。 米ZDNetの記事によると、このジェ…

もっと読む »

関連キーワード iOS | Apple | 脆弱性 | モバイルアプリケーション | モバイル端末 | セキュリティリスク Appleのスマートフォン「iPhone」が搭載する「iOS」は、企業が利用するモバイルデバイスのOSとして普及している。専門家は長年の間、iOSを比較的安全なモバイルデバイス用OSだと見なしてきた。 この数年で「Androi…

もっと読む »

iPhone 4S~8、Xを脱獄する“アンパッチャブル”なツール「checkm8」、GitHubで公開 悪用される可能性は低い AppleのiOS端末を“脱獄”するツール「checkm8」がGitHubで公開された。A5~A11搭載のApple製品が対象。物理的にアクセスする必要があり、端末を再起動すると無効になるので、悪用される可能性は低いと作者は語る…

もっと読む »

HTTPはハイパーテキスト・トランスファー・プロトコルの略称で、ウェブサイトを閲覧する際のサーバーとの通信にて使用されています。CloudflareがHTTPの新バージョン「HTTP/3」に対応するにあたり、これまでのHTTP通信の問題点がHTTP/3でどのように解決されているのかをブログにまとめています。 HTTP/3: the past, the …

もっと読む »

決まり文句のように繰り返される「サイバー攻撃の脅威が高まっている」というフレーズ。しかし、日本企業のほとんどは、自らを取り巻く現実の脅威が見えていないし、理解もしていない。したがって、対策もできない。その結果、脅威はさらに高まっている。この“負のスパイラル”を断ち切るにはどうすればよいのか。日本企…

もっと読む »

企業や業界を横断した情報共有も:怪しい口座を検知して犯罪を未然防止、セブン銀行のセキュリティ「販売」始まる (1/2) セブン銀行とISIDが新会社を立ち上げた。非対面取引のネット専業銀行ならではのセキュリティノウハウを汎用(はんよう)化して同業他社や他業種向けにも提供し、企業や業界を横断する不正対策体制の…

もっと読む »

iPhone 4sからiPhone Xまで対応されたbootRom exploit「checkm8」が公開されました。 それを利用して、現在の最新iOSであるiOS 13.1.1 iPhone Xの脱獄デモが動画として紹介されています。 Bootrom Exploitとは bootrom(ブートロム)(Appleでは「セキュアROM」と呼ぶ)は、iOSデバイス上で動く最初の重要なコードです。…

もっと読む »