2017/06/13の気になったセキュリティ記事
海外のセキュリティブログとかまとめたり
目次
概要:クラウドのアプリケーションを使う上での脅威について
雑訳:
クラウドのアプリケーションを使う上で開発者はセキュリティの脅威を理解する必要がある。その脅威をまとめます
①クラウドリソースの悪用
Amazon S3, Apple icloud, Microsoft SkyDriveは設定の漏れを攻撃者の突かれ得る。
②セキュアではないAPIの存在
クラウドサービスの提供しているAPIをデフォルトのまま使っていると、
適切なアクセス制御ができていない場合があるのでパスワードや平文のデータが漏洩する可能性がある。
クラウドサービスには、ハードウェア、ソフトウェア、ネットワークなど様々な脆弱性の可能性があり、その結果アプリケーションに影響を及ぼす可能性がある。クラウドサービスの脆弱性は、アプリケーションに影響を及ぼしてしまう。
④データの消失と漏洩の可能性
攻撃者にログインを許すと、XSS,XSRFを通じてデータの消失や漏洩に繋がる。
まとめ:
クラウドサービスには、様々なリスクがあるが、チームが脆弱性とその攻撃方法を明確にすることが大事である。
----
この記事ではクラウドサービスについての脆弱性の脅威についての問題を提起していますが、個人PCやオンプレサーバの脆弱性管理の方がもっと困難だと考えています。
クラウドサービスのセキュリティリスクの認知や対策を行うことがこの時代は大事なのかなとこの記事を読んでて思いました。
Oplcarus2017
海外のセキュリティブログとかまとめたり
目次
Oplcarus2017
https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/opicarus2017/
概要:
2017.6.11-2017.6.21にかけて、ハッカー集団のアノニマスが世界中の金融機関に対して、DDosを仕掛ける声明文をFacebookで発表した。この活動は、政府や金融機関に対しての抗議活動としている。
なおターゲットとなる金融機関は、以下のページに記載されている金融機関で日本銀行のサイトも含まれる。
2017/06/08の気になったセキュリティ記事
海外のセキュリティブログとかまとめたり
目次
Don’t like Mondays? Neither do attackers (雑訳:攻撃者もまた月曜が苦手?)
雑サマリ
曜日によって、攻撃の量や手法にトレンドがあるとのこと。
例えば、木曜日は、悪意のある添付ファイルメールが他の曜日に比べて38%多い傾向がある。次点で水曜が多く、週末は少なくなる傾向がある。
また、攻撃手法によっても傾向が見れる。
トロイの木馬は週末にピークを迎える。
で、多少の例外はあるものの全体的に木曜日辺りが攻撃の量が増えている傾向にあるとのこと。
セキュリティ担当者は、週の後半に注視しておくと早期に脆弱性を検知できる可能性があがるかもしれない。
------
まとめ
攻撃のトレンドを統計から分析するアプローチは、面白いと思いました。
個人的な感覚ですが、たしかに週末の方が多いような気がします。
2017/06/07の気になったセキュリティ記事
海外のセキュリティブログとかまとめたり
目次
Five simple steps to protect your startup from a cyber crime crisis
スタートアップに対してのセキュリティに関する記事。
スタートアップだからこそ、セキュリティインシデントが発生してしまうと、
サービスの評判が落ちてしまう。そのための5つのセキュリティ対策について書いてあった記事があったので、要約してみました。
方法①フィッシングに気をつけること
(雑要約)
特にスタートアップは、フィッシングの標的になる。十分に気をつけること。
またランサムウェアなどで、暗号化されても対応できるようにバックアップをちゃんと取ろう。
方法② 社員のセキュリティ教育をちゃんとやろう
(雑要約)
社員のセキュリティ教育を実施することで、リスクをぐっと減らせる。
外部から専門家を呼ぶのもよし。ちゃんとセキュリティトレーニングをやろう。
方法③ WiFiの設定を更新しよう
(雑要約)
WiFiを更新していないと危険。ちゃんと更新して通信が暗号化されていることも確認すること。WEPは脆弱なのでWPA2を使ってね。
方法④ 社員の個人的なデバイスもちゃんと管理して
どれだけオフィスの機器を管理しようと個人のPCなどのデバイスに穴があれば、
インシデントにつながる。特にスタートアップは、個人のデバイスを使いがちなので。
企業は、ちゃんと業務用のデバイスを用意して管理するようにした方が良いよ。
方法⑤ 暗号化をすること
(雑要約)
暗号化は大事。
社員が業務で使っているPCをなくしたなどがあっても、暗号化があれば防げる場合がある。MacやWindowsにはフォルダやファイルを暗号化するプログラムがあるので、
それを使うのを推奨するよ。
----
読んでて、スタートアップ企業だけでなく、どこの企業にも通づる話かなと思いました。ただ、スタートアップ企業は、個人PCとか使いがちなのはイメージとしてやっぱりあって、そこのセキュリティ対策をやるってのは読んでてあぁ確かにって思いました。
2017/06/06の気になったセキュリティ記事
目次
Trend Micro CTF 2017
昨日の記事で書いたGoogle CTFに引きつづきTrend MicroさんでもCTFを開催するそうです。
Capture the Flag | Trend Micro
オンライン予選は、2017.06.24-25です。
Google CTFは 2017.06.17-18なので、
Google のCTFとは一週間違いですね。
6月はCTF が熱いですね。賞金も出る。
WikiLeaks、CIAのファイルサーバ潜入ツール「Pandemic」に関する文書を公開
WikiLeaks、CIAのファイルサーバ潜入ツール「Pandemic」に関する文書を公開 - ITmedia NEWS
WikiLeaks関連ですね。
今回は、ファイルサーバへ潜入するためのツールで、Pandemicというそうです。
Google Capture the Flag 2017
Google Capture the Flag 2017
Google Capture the Flag 2017 が6月17日〜18日に開催されるので、
ルールを簡単にまとめてみようと思います。
まず参加するチームについて
最大でも4人までのチーム編成になります。
次に賞金
1位:$13,337 USD
2位:$7,331 USD
3位:$3,133.7 USD
その他にも、上位のwriteupsを出した32人に$100~$500を
出してくれるそうです。
ランキング上位に入るとGoogleから決勝にきてくれとの招待がくるそう。
なおランキング上位じゃなくてもすごいwriteupを出したは、
別途連絡が6月20日中にくるそうです。
とは言いつつ、どれくらいレベルが高いかというと、
去年(2016)の参加者が、2400チームほど出ていて、900チームが一つ以上の
回答を出したそうです。つまり1問も解けないチームが1500チームもあると。
6割近いですね。。
去年の問題と回答はGitHubに上がっているもで、
もし参加する人は練習をしておいた方が良さそうですね。
