メモ。HTTP/2 Bomb というリモートサービス拒否(DoS)の脆弱性が発見されている。対象は限定的だが、フィットすると一撃で落とされる。怖い。
- HTTP/2 を使っていなければ、該当しない。
- WAFやFirewallで防げるのかが不明。
- ウェブサーバのApacheやNginxは、対応版がリリースされている。
- IISは、対応版が出ていない。
- ウェブサーバのメモリを使い切る攻撃。
参考:
タグ: Security
-
HTTP/2 Bomb リモートサービス拒否(DoS)の脆弱性
-
thetravellersrest.click は既知のスパムメール用ドメイン
別サイトで、「thetravellersrest.click」のドメインを使ったコメントスパムやサブスクライブ登録が多かったので調べてみた。
thetravellersrest.click は既知のスパムメール用ドメインなので、クリックしてはいけない。容赦なく削除かリジェクトでよい。
よく似たドメインで「Travellers Rest(トラベラーズレスト)」というゲームがあるが、これをひっかけようとしているフィッシング用のドメインだ。やめてほしいものだ。
-
WithSecureでオーバーコミットした話
アンチウィルスのWithSecure Elementsで、保有ライセンス数をオーバーして、インストールしてしまったときの動作の話。
ライセンスキーは、WithSecure Elementsのインストーラーに埋め込まれているので、PCにインストールはできる(エラーにならずにインストールは完了した)。そのあと、ライセンスキーの入力画面が画面に表示された。
この段階で、ライセンスオーバーであることがわかる。WithSecure Elementsの管理画面で、廃止済みのPCを探して、削除を実施した。保有ライセンスの空きができるように数台分を削除した。
ライセンスキーの入力画面が出たPCは、入力画面を一度閉じて、WithSecure Elementsのアップデート更新を行ってみると、ちゃんとサーバ側と通信ができて、更新ができた。
ライセンスの空きができると、アクセスしたときにちゃんと登録ができるという仕様だった。管理画面から削除したPCについても同様で、手動で削除していても、PC側がアクセスしてくると、自動登録されて、ライセンスが消費されるという仕様になっている。なので、間違えて、削除してしまったも、そこまで影響は出ない。
-
読了:はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける
分厚くて、読み終えるまでに何度か積読になった。「都市伝説」と「誤解」の解説は面白くて役立つ。都市伝説的に信じられているものもあるんだな。読んで損はなかった。
Amazon: https://amzn.to/4pBPNK4
-
読了:セキュリティエンジニアの知識地図
ざっと、読んだ。必要な知識の辞書的な感じなので、「これ知ってる」とか「こんな感じなのか」という感じで読んでいった。辞書的な読み方が良い。
セキュリティエンジニアの職種については、技術レベルの云々よりも適性として「高い倫理基準と責任感」「ストレス耐性」「コミュニケーション力」が求められている職種が多い。これ全部はきついので、人がいないのは納得。「ストレス耐性」が高いとコミュニケーション不得手なことも多い。キャリアパスを考えても、全部できればCISOまでいけるわな。「高い倫理性」を要件から落とすと、ダークサイドな人材になるわけで、これまた難しい。セキュリティ関連の職種の仕事は自動化が心を痛めずに済む最良策かもしれない。
あと、隠れ特性としては、自己研鑽というか情報収集、知識のアップデートが好きでじゃないと厳しいはず。常にトレンドが変わっていき、新しいことがふえていくので、それが苦にならない人じゃないとダメだろう。その隠れ特性を持っている人は、セキュリティエンジニアでなくても生きていけるというかパフォーマンスを発揮できる。そうすると本当に人の確保は大変だ。
-
Windows11のCopilotアプリは企業用アカウントでのログインができない
一番便利そうな場所にいるWindows11のCopilotアプリは、企業用のM365アカウントでログインができない。
ログインなしでも利用はできる、個人のMicrosoftアカウントの場合、入力データの保護が気になる。アプリの下にも「会話はAIのトレーニングに使用され、Copilotはあなたの関心事項について学習できます。」とある。
となると、セキュリティ的に気になってしまい、使い勝手が悪い。
企業用のアカウントで使えるようになれば、もっと活用できるのだが。
-
セキュリティインシデント対応机上演習教材がIPAから公開された
IPA(独立行政法人情報処理推進機構)より、セキュリティインシデント対応机上演習教材が公開された。
机上演習用のシナリオもついている。
https://www.ipa.go.jp/security/sec-tools/ttx.html
ざっと中身を見てみたが、配布用の資料もついている。議論のポイントやサンプル回答(これは配布資料とは別)もついているので、答え合わせ的なこともできる。とても細かい作業を想定しているのではく、初動対応として何を目指すのか、エンジニアを対象というよりも、普通の人を対象にしている感じだった。個別ツールの話ではないので、研修教材としてはいいのではないかな。
-
メモ:JPCERT/CCが確認したフィッシングサイトのリスト
JPCERT/CCが確認したフィッシングサイトのURLを整理して、GitHubで公開している。
CSVファイルで公開されているので、項目を加工してフィルタリングツールなどにも入れやすい。アレなサイトは載っていないけれど、危険なフィッシングサイトのリストはありがたい。
JPCERT/CCが確認したフィッシングサイトのURL
https://github.com/JPCERTCC/phishurl-list/?tab=readme-ov-file -
「パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中」とのこと
IPAから「パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中」の情報が公開されている。
なかなか厄介な・・・。
潜伏型なので、Windows Defenderで防げていない可能性が高いってことかな。
Windows Defenderをすり抜けるんだとすると、他のアンチウィルスもすり抜けてくる可能性はありそうだ。
パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中
https://www.ipa.go.jp/security/anshin/attention/2024/mgdayori20240917.html解明しきれていないところが多いので、これになったら、初期化一択だな。
そもそも、そんな問い合わせがないのが一番だが。
-
OpenSSHの脆弱性 ”regreSSHion”
OpenSSHの脆弱性 ”regreSSHion” (CVE-2024-6387 )。Linux系で新しいディストリビューションは、影響を受けてる。UbuntuやAmazon Linuxなどは対応されているので、アップデートを行えば対応される。 Ubuntuはapt updateでサクッと終わることは確認できた。脆弱性の先祖返りか。そういうこともあるよな。
あっちこっちサイトを見たけれど、piyologがわかりやすい。
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/163a1c53.782276f8.163a1c54.121378ab/?me_id=1213310&item_id=21231231&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F0695%2F9784296070695_1_3.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/163a1c53.782276f8.163a1c54.121378ab/?me_id=1213310&item_id=21499585&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F7488%2F9784297147488_1_54.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")