はじめまして!技術開発部セキュリティグループの花塚です。 LIFULL Creators Blogにセキュリティグループが登場するのは初めてですね。 セキュリティグループでは、脆弱性診断や脆弱性の調査、セキュリティツールの開発など、幅広い業務を行っています。 今回は、脆弱性可視化基盤を開発した話を紹介したいと思います! 主に開発の経緯から、技術的な構成、そして、これからのことについて、まとめています セキュリティに関わる人にとって、少しでも参考になれば嬉しいです。 目次 目次 目的と経緯 脆弱性情報をスムーズにエンジニアに届けたい 組織全体で継続的に脆弱性対応をしていく風土をつくりたい 脆弱性可視化基盤を支える技術 機能 脆弱性スキャン ダッシュボード 全体の構成図 脆弱性スキャンの仕組み EC2インスタンス GitHub Docker Image 工夫した点 オートスケールされたインスタ
私が勤務するエフセキュアには300人近いホワイトハットハッカーが所属しており、彼らの多くは顧客から依頼を受けて行う本来の業務に加え、自分の研究としてさまざまなリサーチを行っています。最近、彼らがボランティアとして発見した2つの脆弱性に関するストーリーを紹介します。→過去の回はこちらを参照。 韓国KeyWe社のKeyWe Smart Lockは、主に個人の住宅で使用されるリモート制御のエントリデバイスであり、スマホアプリ経由でスマホ本体をかざすなど、ワンタイムパスワードを使用してドアの開閉ができます。通信プロトコルの設計における脆弱性により、物理デバイスとモバイルアプリの間で交換されるロックを制御する秘密のパスワードが傍受されてしまうことを発見しました。その脆弱性を悪用することで、所有者に代わってアクション(ロックの開閉、サービス拒否、ロックのサイレンシングなど)を実行できます。 この脆弱性
こんにちは。脆弱性自動管理ツール「yamory」の起案からサービス全体のディレクションに携わっている、サイバーセキュリティ事業部 プロダクト開発部 部長の鈴木康弘(やっぴー)です。 前回の記事「yamory の今までを振り返り、2020年に目指すこと」では、「yamory」の開発背景といったストーリーをお伝えしました。 ニュースサイトに掲載いただけるなど想像以上の反響をいただき、たいへん驚いております。 今回は「yamory」が対応するオープンソース・ソフトウェア(OSS)の脆弱性。 この OSS の脆弱性対策や管理がなぜ重要なのかについて皆さんにお伝えしていきたいと思います。 オープンソース・ソフトウェア(OSS)は自己責任でメンテナンスする必要があるオープンソース・ソフトウェア(以下OSS)とは、ソースコードを無償で公開し、誰でも自由に利用や改良・再配布できるようにしたソフトウェアです
インターネットバンキングの口座から不正送金される被害が2019年秋ごろから急増している。大きな要因は、手続きのたびに使い捨ての「ワンタイムパスワード」を発行する2要素認証を破る手口が編み出されたことだ。ネットバンキングの安全性を支える防壁の一端が崩れた形で、金融機関は送金できる額を制限するなどの対策を急いでいる。確認されている主な手口はこうだ。銀行に預金口座を持つ利用者のスマートフォンに「カ
セキュリティ企業Check Point Software Technologiesは2020年2月5日、スマートライトの脆弱(ぜいじゃく)性を突き、コントローラーを介して企業や家庭のネットワークにランサムウェアなどのマルウェアを仕込む実証について発表した。 Check PointはIoT(Internet of Things)のネットワークを悪用した攻撃の脅威を報じる目的で、Philipsが提供するスマートライト「Hue」に着目。既知の脆弱性(CVE-2020-6007)を悪用して短距離無線通信技術のZigBee経由で不正アクセスしたライトから、ネットワークに侵入した。 ZigBeeでコントロールするスマート照明のセキュリティ問題については、2017年に発表された論文で、Hueを制御して不正なファームウェアをインストールし、周辺のライトのネットワークに増殖させる方法が指摘されていた。今回C
by rawf8 さまざまなモノがインターネットにつながるIoTが社会に広まる中で、中国企業の製造する安価なスマートスピーカーやネットワークカメラが市場に多数流通するようになりました。しかし、過去に中国製のデバイスについて脆弱性やバックドアが報告され、セキュリティ面での信用が課題となっており、今回も中国製のファームウェアを搭載したネットワークカメラなどのIoT機器で管理者権限を奪取できるバックドアの存在がYourChief氏によって報告されています。 Full disclosure: 0day vulnerability (backdoor) in firmware for HiSilicon-based DVRs, NVRs and IP cameras / Habr https://habr.com/en/post/486856/ 0day vulnerability in firmw
Cisco Systemsがネットワーク製品で採用する複数のOSや、VoIPなどネットワーク製品に、リモートよりコードを実行される脆弱性「CDPwn」が判明した。数千万の機器に影響を及ぼすとの指摘が出ている。 複数のCisco製品が、ネットワーク接続機器の情報収集に利用しているデータリンク層のプロトコル「Cisco Discovery Protocol(CDP)」の処理に起因する脆弱性が明らかとなったもの。 同プロトコルを有効化している「IOS XR」や「NX-OS」においてスタックオーバーフローが生じ、リモートよりコードの実行が可能となる「CVE-2020-3118」や「CVE-2020-3119」が判明。 また同社VoIP製品に「CVE-2020-3111」や、IPカメラ「Video Surveillance 8000シリーズ」に「CVE-2020-3110」が存在し、いずれもコードを
まさかソフトウェアエンジニアの自分が本業で家を建てる仕事をするとは思っても見ませんでした。2年前、DeployGateの米国オフィスを自分で施工した事をきっかけに声をかけてもらい、以来、技術アドバイザーとして携わらせて頂いていた米国の建築スタートアップ「HOMMA」に本格的に参加し、ソフトウェア・アーキテクトとしてアメリカでスマートハウスをソフトウェア面から設計して家を建てる仕事をはじめました。趣味の電子工作から初まり、深センでの独自設計ハードの少量生産、アメリカでのオフィスの施工と来て、次はまさかの本物の建売住宅の開発です。プログラミングの傍ら取り組んできた物理的な「ものづくり」のサイズがどんどん大きくなってきて楽しい限りです。制御用のファームウェアやアプリ、Webシステムを書きながら、ヘルメットを被って建設現場で大工職人さんへ施工の指示出しをしたり、信号線や電力系統の配線を設計して建築
自身のウェブサイト上に他人のパソコンのCPUを使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪(通称ウイルス罪)に問われたウェブデザイナーの男性の控訴審判決が2月7日、東京高裁であった。 栃木力裁判長は、男性に無罪を言い渡した一審・横浜地裁判決を破棄し、罰金10万円の逆転有罪とした。弁護側は記者団に対し、上告する方針を明らかにした。 判決は、今回問題となったコインハイブは、ユーザーに無断でCPUを提供させて利益を得ようとするもので、「このようなプログラムの使用を一般ユーザーとして想定される者が許容しないことは明らかといえる」と反意図性を認めた。 さらに不正性についても、生じる不利益に関する表示などもされておらず、「プログラムに対する信頼保護という観点から社会的に許容すべき点は見当たらない」と判断。故意や目的も認めた。 一審は
現場猫の画像ください 2020年02月07日12:00 カテゴリ現場ネコ コメント数:コメント( 30 ) Tweet 1: 以下、?ちゃんねるからVIPがお送りします 2020/02/06(木) 22:39:28.548 ID:2DGjN8nep.net 現場猫かわすぎる 3: 以下、?ちゃんねるからVIPがお送りします 2020/02/06(木) 22:40:15.512 ID:VQHFNAcP0.net 7: 以下、?ちゃんねるからVIPがお送りします 2020/02/06(木) 22:43:04.861 ID:2DGjN8nep.net >>3 マジで可愛い 5: 以下、?ちゃんねるからVIPがお送りします 2020/02/06(木) 22:40:57.675 ID:/uu3q4Ud0.net 7: 以下、?ちゃんねるからVIPがお送りします 2020/02/06(木) 22:43
会社の体制が大きく変わり、カオスの中に少しの静寂(暇)ができました。特に日々執行に勤しんでいる方々は皆そうだと思いますが、色んなこと考えているのにそのプロセスをアウトプットする機会があまりなく、結果や結論、最終的な決断のみが共有されるため、サクセッションプランに対する有効な情報を残すことも出来ていないことと思います。僕もその一人。 この時間を有効に活用するため、頭の中にあるイメージと考え方をここに、時間の許す限り吐き出していこうと思います。時折、言葉が足りないところも前提条件やバイアスの記述が足りないところもあるかと思いますが、混沌とした頭の中を曝け出すプロセスにはつきものですので、大目に見ながら読んでいただけると幸いです。 財務諸表と同じように見える化する会社は財務諸表によって経営されるものなので、経営者たるもの財務諸表を見ながら戦略を立てるべきであると僕は考えています。数字以外信じない
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
