家studyをつづって

セキュリティ関係の会社で働きながら、日々勉強したことをつづっていきます。

セキュリティ

hpingを使ったDoS攻撃

概要 hpingはオープンソースのパケットジェネレーターです。 hpingを使うことで、任意のTCP/IPパケットを送信することができます。 今回はhpingを使ってSYN Floodを実行してみました。 // 環境 以前構築したKali Linuxの検証環境で、 Kali Linux上でhpingを…

OpenSSLの脆弱性「HeartBleed」を試してみた

概要 今更な感じはありますがHeartBleedの脆弱性を試す機会があったので、脆弱性の内容についてまとめてみます。 // 「Heartbleed」とは、暗号化通信に使われる「OpenSSL」の脆弱性です。HeartBleedはSSL/TLSのハートビート実装の脆弱性で、攻撃されると脆弱…

hashcatの使い方

hashcatの概要 hashcatはパスワードクラックのツールです。hashcatで行うパスワードクラックは稼働しているシステムに対してアカウントがロックされるまでログイン試行を行うようなものではなく、パスワードのハッシュ値から元のパスワードを割り出すもので…

Webアプリの脆弱性の概要 ~「安全なウェブサイトの作り方」を読んで~

概要 「安全なウェブサイトの作り方」をよみ、Webアプリの脆弱性について調べたことをまとめました。 SQLインジェクション 概要 ウェブアプリケーションの多くはデータベースと連携しており、ユーザの入力情報からSQL文作成します。SQL文の組み立てに問題が…

2020年11月のIT・セキュリティトピック

2020年11月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/11/01 GMOクリックで不正アクセス、149万円流出/FX各社「トルコリラ相場への注意喚起」ほか 10 ... 2020/11/01 コロナ禍の米国で医療機関へのランサムウェア攻撃が急増、さらなる…

HTTPのメソッドをnetcatで実行する

概要 HTTPにはいくつかのメソッドがあります。この記事ではHTTPのメソッドについてまとめ、また、netcatを使って実際の実行結果を見てみます。 netcatとは netcatとは、TCPもしくはUDP接続などを利用して、コマンドラインからデータを送受信するためのツール…

nmapを使ったポートスキャン

概要 nmapとはNetwork Mapperの略で、オープンソースで開発されているポートスキャナです。nmapには多くのオプションが用意されており、対象ホストのOS情報や稼働しているサービスの情報を調査することができます。 // nmapの実行例 nmapは単純に対象のホス…

ファイルのダウンロード元を記録するADS

ADSとは Windows NTの標準ファイルシステムであるNTFS(NT File System)で管理するファイルやフォルダには、代替データストリーム(Alternate Data Stream、ADS)という、ファイルやフォルダの付加情報を記録する領域があります。 // ADSには、セキュリティ…

クラウドのセキュリティ評価制度「ISMAP」

概要 ISMAPとはInformation system Security Management and Assessment Programの略で、 日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。 ISMAPは、クラウド・バイ・デフォルトの方針が打ち出されたことを受け、政府機関におい…

Metasploitの更新と入れ替え

概要 Kali LinuxにあるMetasploitについて、初期インストール状態のものと、GitHubよりインストールしなおしたものではExploitの更新に差があるらしいことがわかりました。※初期状態ではmsfupdateを実行しても裏でapt updateが行われるのに対し、GitHubから…

犯罪による収益の移転防止に関する法律(犯収法)とeKYC

概要 ドコモ口座の件より、eKYCという言葉が話題になっています。 この記事ではeKYCについて調べたことをまとめます。 // eKYCとは eKYCとは(electronic Know Your Customer)の略で、電子的な(非対面、オンラインでの)本人確認を行うための機能です。 本人…

CVSSの読み方

概要 脆弱性の深刻度を表すCVSSの読み方について整理しました。 // CVSSとは CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を評価するための指標で、FIRST(Forum of Incident Response and Security Teams)により、適用推進や仕様改善が行わ…

Webにおける「オリジン」について整理してみた

概要 最近みたニュースで「オリジン」に触れたものがありました。「オリジン」という言葉について、理解しきれていなかったので整理してみました。 // オリジンとは IPAのサイトでは、以下のような解説がされていました。 3.2. 源泉(origin) English原則と…

Hyper-V上でKali Linuxの検証環境を構築する

概要 個人的に勉強中のCompTIA PenTest+に関連して、Kali Linuxの検証環境(Kali Linuxと攻撃対象のmetasploitable2)をHyper-V上に構築しました。構築した環境のイメージは以下の通りです。 構築した環境イメージ ※2020/11/06追記 上記に追加して、Hyper-V…

Windowsの自動実行機能(AutoRun)について

Windowsの自動実行機能(Autorun)について Windowsには自動実行の機能があります。Windowsの自動実行とは、CD-ROM、DVD、USBメモリ、外付けハードディスク、あるいはネットワークドライブなどをパソコンに挿入/接続したり、そのアイコンをダブルクリックし…

2020年8月のIT・セキュリティトピック

2020年8月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/08/01 7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020/08/03 地域銀行の8割がクラウド利用 勘定系などレガシーシステムが壁 2020/08/03 「Emotetウ…

MITRE ATT&CKの概要

MITERとは MITREは、米国の連邦政府が資金を提供する非営利組織であり、国の安全性に関する事項に取り組んでいます。サイバーセキュリティの分野では、NISTの連邦研究開発センター(Federally funded research and development center:FFRDC)の運営を行い…

SDP(Software Defined Perimeter)とは

SDPの概要 Software Defined Perimeterは、ネットワークを経由した様々な脅威からインフラや情報を守るための機能です。 最近ではクラウドサービス(社外のサービス)等の活用が増え、従来のファイアウォール等を使った境界型セキュリティでは守り切れないも…

Web会議のセキュリティ注意事項について

概要 コロナの影響もあり最近はリモートワークがに関する話題が多くなっています。それに伴い、Web会議のツールの利用も増えています。Web会議ツールは業務以外にもリモート飲みなどにも使われています。そういった中で、独立行政法人情報処理推進機構は7月1…

2020年7月のIT・セキュリティトピック

2020年7月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/07/01 公取委が目を付けた決済インフラ「CAFIS」の正体 2020/07/01 「NISTプライバシーフレームワーク」の翻訳を無料で提供 2020/07/01 5月のDDoS攻撃、件数は減少するも攻撃規模は…

フィッシング対策ガイドラインの比較(2020年版と2019年版)

概要 フィッシング対策協議会では、フィッシング詐欺の被害を防ぐためにWebサービス事業者に向けた対策をまとめたガイドラインを公開しています。 www.antiphishing.jp 2020年度版では、最近の脅威動向を踏まえ対策要件を見直し、また、優先度の設定が見直さ…

個人情報保護法の2020年改正について

背景 色々なIT技術を使ったサービスが次々に登場し、個人情報を含む、様々な情報が活用されています。個人情報保護法ではそういった社会情勢を踏まえ、平成27年(2015年)より「いわゆる3年ごとの見直し」(附則第12条3項)を設けました。 個人情報保護法は…

2020年6月のIT・セキュリティトピック

2020年6月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/06/01 外出自粛によるECサイト利用増でフィッシングも増(BBSS) 2020/06/01 個人情報流出の54歳市職員、人事に不満か…懲戒免職 2020/06/01 Wi-Fi利用者や提供者向けセキュガイド…

「Guidelines for Securing Wireless Local Area Networks(WLANs)」の概要 NIST SP800-153

Guidelines for Securing Wireless Local Area Networks(WLANs) NIST Special Publication 800-153 発行年月日:2012年2月 https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-153.pdf // 概要 このガイドラインは、NISTが企業の無線LA…

GCPのセキュリティ設定を監査してみた「Scout Suite」

背景など 最近ではクラウドの利用が進んでおり、様々な企業がクラウド上にシステムを構築し、データを格納しています。 ascii.jp クラウドは常に新しい機能が開発されており、クラウドに対する理解が浅いままシステムを構築するとセキュリティの観点からは脆…

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の概要

政府情報システムにおけるクラウドサービスの利用に係る基本方針 発行年月日:2018年6月7日 https://cio.go.jp/sites/default/files/uploads/documents/cloud_%20policy.pdf // 概要 内閣官房IT総合戦略室は、標準ガイドライン付属文書に「政府情報システム…

ネットワークセキュリティ製品のテスト基準を策定する「NetSecOpen」

先日、Sonicwallの製品評価に関する記事を読みました。 blog.sonicwall.com 上記の記事に出てきた「NetSecOpen」について調べてみました。 // NetSecOpenとは NetSecOPENは、ネットワークセキュリティベンダー等が参加している、会員制の非営利団体で、ネッ…

「働き方改革のためのテレワーク導入モデル」の概要

働き方改革のためのテレワーク導入モデル 発行年月日:2019年6月発行者:総務省 https://www.soumu.go.jp/main_content/000616262.pdf // 概要と目的 「働き方改革のためのテレワーク導入モデル」は、テレワーク導入のためのノウハウやプラクティスをまとめ…

2020年5月のIT・セキュリティトピック

2020年5月に気になったニュースをまとめます。 // 記事の投稿日 概要 2020/05/01 盗まれたZoomのログイン情報を売買する闇市場が活況 2020/05/01 重要インフラ分野の企業に侵害リスク調査を無償提供、マクニカネットワークス 2020/05/01 三井住友銀 7万件の…

Hyper-v上にKali Linuxをインストールする

概要 Hyper-v上にKali Linuxをインストールしました。今回記事にしたのは、Hyper-vの通常の仮想マシン作成手順でインストールした際に、Kali Linuxのインストールの途中「パッケージの選択とインストール」でエラーが発生しました。そこから試行錯誤しながら…