タグ: セキュリティ

tagsに10件の記事があります

Hackfes2025参加メモ

セキュリティ

イベント概要

「Webアプリケーション(SPA)脆弱性診断入門」徳丸 浩

10:10 - 11:40

Burp Suiteを用いてSPA(Single Page Application)に対する脆弱性診断を実践。 対象は、HTMLとJavaScriptで構成された動的コンテンツ生成型のシンプルなSPAサーバー。

CORS(Cross-Origin Resource Sharing)の設定不備

ログインAPIへのプリフライトリクエスト(OPTIONSメソッド)は、CORSによって処理されます。

プリフライトリクエスト

OPTIONS /api/v1/login HTTP/1.1
Host: api.example.jp
Accept: */*
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type
Origin: http://spa.example.jp
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Sec-Fetch-Dest: empty
Referer: http://spa.example.jp/
Accept-Encoding: gzip, deflate, br
Accept-Language: ja,en-US;q=0.9,en;q=0.8
Priority: u=1, i
Connection: keep-alive

レスポンス

HTTP/1.1 204 No Content
X-Powered-By: Express
Access-Control-Allow-Origin: http://spa.example.jp
Vary: Origin, Access-Control-Request-Headers
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET,HEAD,PUT,PATCH,POST,DELETE
Access-Control-Allow-Headers: content-type
Access-Control-Max-Age: 300
Content-Length: 0
Date: Sat, 19 Jul 2025 01:31:57 GMT

Burp Repeaterを使ってOriginヘッダーを悪意あるドメインに書き換えたリクエストを送信すると、本来許可されるべきではないオリジンからのリクエストに対しても、アクセスが許可されてしまいます。

自費で18万円かけてCISSP試験に挑戦してみた話

セキュリティ

きっかけ

昨今の情報漏洩うんぬんかんぬんの話を聞くと、やらかしそうで怖い。(学生時代、サークルのDBを消し飛ばしたりした。。。)
もちろん、誰のPCがハッキングされてもおかしくありませんし、その人を責める文化は良くないと思います。しかし、自分のPCが原因で情報漏洩するのは嫌だああああああああ。
ということで、まずは知識をつけねばと思い、手近なところでIPAが実施する情報処理安全確保支援士を取ってみました。
こちらは運良く合格した部分もありもう少し学習したいなと考えていました。
そんな時、セキュリティ業界ではCISSP(Certified Information Systems Security Professional)という資格があると聞き、受験してみようと思いました。(名前もかっこいいし。。。。x2)

補足

CISSPの認定を受けるためには、試験に合格することと5年間の実務経験が必要になります。
私には実務経験が足りないため、現在はAssociate会員というステータスにあります。したがって、正確にはCISSPを取得したわけではなく、CISSPの試験に合格しただけということになります。

学習期間と教材

  • 学習期間:2024年6月初ー9月末
  • 教材選び:身近に資格保持者がいなかったため、社内のセキュリティ担当の方にアドバイスいただきました。

  • 新版 CISSP CBK公式ガイドブック
  • CISSP公式問題集
  • Eleventh Hour CISSP®: Study Guide
  • Official Practice Tests(英語版の公式問題集)
  • CISSP Exam Cram (English Edition)
  • CISSP Study Guide (English Edition)

記事系

動画

  • Udemyの講座
    • 【日本語】初心者から学べるCISSP講座:CISSP Domain1 ビデオ学習 2024年度版
    • …..
    • 【日本語】初心者から学べるCISSP講座:CISSP Domain7 ビデオ学習 2024年度版

やったこと

  1. 記事で全体像を把握。
  2. Udemyの講座を2周。
  3. CISSP CBK公式ガイドを1周+付属問題3周。
  4. CISSP公式問題集を4周。

その他

この期間に以下の本を新しく読んだり、読み直したりしました。(趣味も兼ねて読んでいたので試験に直接関係しないのも多いです。)

おかね

思ったより金がかかった。(自費)

『OSINT実践ガイド』読書メモ:オープンソースインテリジェンスの基礎

セキュリティ

面 和毅; 中村 行宏. サイバー攻撃から企業システムを守る! OSINT実践ガイド. 日経BP. Kindle 版. を読んだ感想メモ

概要

OSINTとは、Open Source Intelligence(オープンソースインテリジェンス)の略で、公開されている情報源から有益な情報を収集・分析する手法のことです。インターネットや公的なデータベース、ニュース記事、SNSなど、誰でもアクセス可能な情報からインテリジェンスを生成することが主な目的です。OSINTはサイバーセキュリティの分野で特に重要であり、攻撃の予防や対策、リスク管理において欠かせない手法となっています。

OSINTの歴史

OSINTの概念は新しいものではなく、歴史的には情報戦の一部として用いられてきました。例えば、第二次世界大戦中の1941年、CIAの前身であるOSS(Office of Strategic Services)は、OSINTを用いてナチス・ドイツの新型戦艦や航空機の画像を収集していました。これにより、敵の技術や戦力の評価が可能となり、戦略的な意思決定に役立てられました。

現在のOSINT

現代においては、OSINTは主にインターネット上の情報を対象としています。次のような多岐にわたる情報源からデータが収集されます。

  • ウェブサイトやニュース記事: 一般公開されている情報源。
  • ソーシャルメディア(SNS): Twitter、Facebook、Instagramなど、個人や組織が情報を発信するプラットフォーム。
  • GitHubなどのコード共有サイト: ソースコードやプロジェクトの進捗状況が公開されている。
  • 脆弱性データベース: CVEやNVDといった、既知の脆弱性情報が集約されているデータベース。
  • ゼロデイ攻撃に関する情報: 未知の脆弱性を狙った攻撃についての公開情報。

OSINTの調査方法

データソースの見つけ方

OSINT調査を行う際には、目的に応じたデータソースを見つけることが重要です。以下のツールやリソースは、OSINTのデータソースを探索する際に役立ちます。

便利ツール

以下のツールは、OSINT調査を支援するために広く利用されています。

  • Shodan: インターネットに接続されたデバイスの検索エンジン。デバイスのセキュリティ状況を確認可能。 Shodan
  • Censys: インターネット上のデバイスとサービスを調査するためのプラットフォーム。 Censys
  • Have I Been Pwned: メールアドレスの漏洩をチェック。 Have I Been Pwned
  • VirusTotal: ファイルやURLをスキャンしてマルウェアの有無を確認。 VirusTotal
  • Aguse: Webサイトのレピュテーションを調べる。 Aguse
  • Exploit Database: 公開されているエクスプロイト情報のデータベース。 Exploit-DB
  • SecurityTrails: ドメインやIPアドレスの利用履歴を確認。 SecurityTrails

その他の重要リソース

脆弱性情報収集

  • NVD: National Vulnerability Databaseは、米国政府が提供する脆弱性情報のデータベース。 NVD
  • JVN iPedia: 日本の脆弱性データベース。 JVN iPedia
  • Vulmon: グローバルな脆弱性情報を提供。 Vulmon

SSL/TLSの強度確認

  • SSL Labs: サーバーのSSL/TLS設定の強度をチェック。 SSL Labs

その他の調査ツール

  • Anymail Finder: メールアドレスの漏洩状況を確認。 Anymail Finder
  • MaxMind: IPアドレスの地理的情報を調査。 MaxMind
  • Wigle: WifiネットワークのSSID情報を収集。 Wigle
  • BuiltWith: ウェブサイトで使用されている技術を確認。 BuiltWith
  • Phishtank: フィッシングサイトを報告・検証するためのリソース。 Phishtank

諸外国のOSINT活動事例

中国のAPT1に関するレポート (Mandiant)

Mandiantが発表したレポートでは、中国のAPT1(Advanced Persistent Threat 1)、別名「61398部隊」として知られるグループに関する詳細な調査結果が示されています。このレポートでは、中国の人民解放軍総参謀部GSD第3部第2局との関係が特定されており、APT1の以下のような活動が明らかにされました。

主要セキュリティモデルの比較:Biba完全性モデル、Clark-Wilsonモデル、Brewer-Nashモデル、Bell-LaPadulaモデル

セキュリティ

セキュリティガバナンスを効果的に管理するために、以下の主要なセキュリティモデルがあります。

Biba完全性モデル

  • 策定者: ケネス・J・ビバ(Kenneth J. Biba)
  • 策定年: 1977年
  • 策定国: アメリカ合衆国
  • 特徴:
    • データの完全性を保護することを目的としたセキュリティモデル。
    • 主なルールは「no write up, no read down」で、低い信頼レベルのデータを高い信頼レベルに書き込むことや、高い信頼レベルのデータを低い信頼レベルから読むことを防止。
    • 主に商業環境でのデータの完全性維持に利用される。
  • 違い:
    • 完全性に特化しており、機密性や可用性は対象外。
    • 軍事用途よりも商業用途に向いている。

Clark-Wilsonモデル

  • 策定者: デイビッド・D・クラーク(David D. Clark)とデイビッド・R・ウィルソン(David R. Wilson)
  • 策定年: 1987年
  • 策定国: アメリカ合衆国
  • 特徴:
    • 商業的なトランザクションのセキュリティを確保するためのモデル。
    • 3つの主要概念(CDI:Constrained Data Items、TP:Transformation Procedures、IVP:Integrity Verification Procedures)を使って完全性を維持。
    • 分離の義務(セグリゲーション・オブ・デューティ)を強調し、不正行為を防止。
  • 違い:
    • トランザクションと完全性に特化しており、他のセキュリティ属性は二次的。
    • 商業環境に特に適している。

Brewer-Nashモデル(中国のウォールモデル)

  • 策定者: デビッド・F・C・ブリュワー(David F.C. Brewer)とマイケル・J・ナッシュ(Michael J. Nash)
  • 策定年: 1989年
  • 策定国: イギリス
  • 特徴:
    • 利益相反を防止することを目的としたモデル。
    • ユーザーは、一度アクセスした情報に基づいて、競合するデータへのアクセスが制限される。
    • 主に金融や法律などの分野で利用される。
  • 違い:
    • 利益相反の管理に特化しており、他のセキュリティ属性は対象外。
    • ダイナミックなアクセス制御を提供。

Bell-LaPadulaモデル

  • 策定者: デビッド・E・ベル(David E. Bell)とレナード・J・ラパドゥラ(Leonard J. LaPadula)
  • 策定年: 1973年
  • 策定国: アメリカ合衆国
  • 特徴:
    • 機密性を保護するためのセキュリティモデル。
    • 主なルールは「no read up, no write down」で、低いクリアランスレベルのデータを高いクリアランスレベルから読むことや、高いクリアランスレベルのデータを低いクリアランスレベルに書き込むことを防止。 主に軍事や政府機関で利用される。
  • 違い:
    • 機密性に特化しており、完全性や可用性は対象外。
    • 軍事用途や機密情報の管理に向いている。

CISSP:セキュリティガバナンスにおける主要フレームワークの比較

セキュリティ

セキュリティガバナンスを効果的に管理するために、以下の主要なフレームワークと標準があります。

NIST (National Institute of Standards and Technology)

  • 策定団体: アメリカ合衆国商務省の国家標準技術研究所(NIST)
  • 特徴:
    • 主にアメリカ国内の政府機関や企業向けに標準とガイドラインを提供。
    • 特にサイバーセキュリティに関するフレームワーク(NIST Cybersecurity Framework)が有名。
    • NIST SP 800シリーズは、具体的なセキュリティ管理と技術に関する詳細なガイドラインを提供。
  • 違い:
    • 政府主導であり、特にアメリカ国内での適用が多い。
    • 実践的で技術的なガイドラインが豊富。

ITIL (Information Technology Infrastructure Library)

  • 策定団体: AXELOS(英国政府と民間企業の合弁企業)
  • 特徴:
    • ITサービスマネジメントのベストプラクティスを提供。
    • セキュリティ管理も含むが、主にITサービス全般の効率化と品質向上を目的とする。
    • サービスライフサイクル(サービスストラテジー、サービスデザイン、サービストランジション、サービスオペレーション、継続的サービス改善)に焦点を当てている。
  • 違い:
    • ITサービスマネジメント全般に焦点を当てており、セキュリティはその一部として扱われる。
    • プロセスと役割の明確な定義が特徴。

ISO/IEC 27000シリーズ

  • 策定団体: 国際標準化機構(ISO)と国際電気標準会議(IEC)
  • 特徴:
    • 情報セキュリティ管理のための国際標準。
    • ISO/IEC 27001: 情報セキュリティマネジメントシステム(ISMS)の要件を定義。
    • ISO/IEC 27002: ISO/IEC 27001の実装ガイドラインを提供。
    • グローバルに認知され、広く適用される。
  • 違い:
    • 国際標準として広く受け入れられており、認証制度が存在する。
    • 組織全体の情報セキュリティ管理に焦点を当てている。

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

  • 策定団体: COSO(トレッドウェイ委員会スポンサー団体委員会)
  • 特徴:
    • リスク管理と内部統制のフレームワークを提供。
    • COSO Internal Control - Integrated Framework: 組織の内部統制を強化し、リスクを管理するためのガイドライン。
    • 会計と財務報告の視点からもリスク管理を強調。
  • 違い:
    • 主に内部統制とリスク管理に焦点を当てており、情報セキュリティはその一部。
    • 財務報告の信頼性確保にも関連。
  • 策定団体: ISACA(Information Systems Audit and Control Association)
  • 特徴:
    • ITガバナンスと管理のためのフレームワーク。
    • COBIT 2019: ITガバナンスと管理のための包括的なフレームワークを提供し、リスク管理、コンプライアンス、セキュリティ管理を含む。
    • ビジネスとITの整合性を重視。
  • 違い:
    • ITガバナンスに特化しており、ビジネス目標とIT戦略の整合性を強調。
    • フレームワーク全体がIT管理とガバナンスに焦点を当てている。