アップル製品の脆弱性が急増、グーグルやマイクロソフトに迫る

Apple製品は安全で、マルウェアやハッキングの心配はないというのは、まったくのでたらめであるにもかかわらず広く流布している、危険な思い込みだ。 実際、Apple製品の脆弱性の数は、GoogleやMicrosoftなどの企業の製品に急速に追いつきつつある。 Telefonica Tech Cybersecurityのデータに基づくAtlas VPNのレポートに…

Firebase Authentication 7つの落とし穴 – 脆弱性を生むIDaaSの不適切な利用 – Flatt Security Blog

はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿…

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? – くろの雑記帳

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(…

Web開発者はもっと「安全なウェブサイトの作り方」を読むべき – Flatt Security Blog

画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。 本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わ…

Windowsイベントログのファストフォレンジックツール Chainsaw

NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの松本です。今回はWindowsイベントログの解析ツールであるChainsaw[1][2]をご紹介します。また私自身のインシデント対応の経験を踏まえて、どのように役立つツールなのか、見解も交えてご説明します。 Chainsawはインシデントの初動対応を想定して開発され…

<独自>露侵攻前にサイバー攻撃頻発 政府機関標的

ロシアがウクライナに侵攻する直前の1月から2月末にかけ、ウクライナ国内でロシアが関与したとみられるサイバー攻撃や虚偽情報の拡散が急増していたことが、情報セキュリティー会社「トレンドマイクロ」の調査で分かった。政府の情報を得にくくしたり、社会の混乱を引き起こしたりする攻撃が目立つ。軍事力にサイバー…

golangで作るTLS1.2プロトコル

はじめに 前回自作でTCPIP+HTTPを実装して動作を確認することができました。 しかしご覧頂いた方はおわかりのように、通信はHTTP=平文でやり取りされておりパスワードなど機密情報が用意に見れてしまう状態です。 普段我々がブラウザに安心してパスワードを入力しているのは通信がTLSで暗号化されているからです。ではそ…

東北大、IC設計データに紛れた不正機能を高速に検知する技術を開発

東北大学は2022年4月13日、ICチップの設計データに紛れ込んだ不正機能を高速に検知する新技術を開発したと発表した。設計データの中に不正な回路を組み込んでおく「ハードウエアトロイ」を、数学的な手法を用いて網羅的に調べて検知できる。これまでは調べきれなかった大規模で複雑な設計データにも適用でき、不正行為を…