インフラ系SEの技術メモ

雑なエンジニアが低信頼性のメモを書いています。参考程度にとどめてください。

セキュリティ

(脆弱性)Confused Deputyとはなんぞや?

セキュリティ文書にて that could enable users to send network traffic to locations they would otherwise not have access to via a confused deputy attack. という文言があり、Confused Deputyという用語を調べました。同用語を直訳すると「混乱した使…

(メール/セキュリティ)SPFってどういう仕組み?

メールの規格 SPFという用語があり、これはSender Policy Frameworkの略。分かりやすい英語です。 具体的には送信元のホストを認証する仕組みですが、具体的にはどういう動きをするのか?について調べてみました。 メール送信元サーバを事前に公開する 「送…

(Gitでよく出てくる)SHA1ってなんぞ?

シャーワン? SHA-1(シャーワン)についてググってみましたが、Secure Hash Algorithmの略なんだとか。 シャー界隈で最初のバージョンかと思いきや、SHAの最初のバージョンはSHA-0。具体的には160ビット(20バイト)のハッシュ値を生成しますが、情報セキュ…

(TLS1.0無効化問題)セキュリティ上イマイチなTLS1.0/1.1は何が良くないのか?

プロトコルには脆弱性あり 最近はTLSといえば1.2ですが、未だに1.1や1.0を利用している現場もいるはず。 というのもTLS1.2に対応していないブラウザって結構あるんですよね。たとえばGoogle Chromeで言うとバージョン29以下。 未だにそんな古いクローム使っ…

【衝撃/Omiai】マッチングアプリで身分証明の画像データが流出したニュース

恐ろしい この度、当社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、会員様情報の一部が流出した可能性が高い事が判明しました。 なお、現時点におきまして、今回の事案に関わる個人情報の不正流…

クラウド関連のコンプライアンス関連メモ

CSA、ISO、SOCあたりの関連用語をまとめて整理しました。 CSA これはクラウドに特化した資格でクラウドセキュリティアライアンス、略してCSAです。 「クラウドコンピューティング内のセキュリティ保証を提供するためのベストプラクティスの使用を促進し、ク…

realmという文言が何を意味するのか調査してみた

realm? 一時期TURNサーバを構築していた際に設定ファイルにてよく見かけていた文言。 特に同パラメータは編集しなかったので気にしなかったんですが、DockerRegistryで同じ文言を発見。以下のような値と一緒に並んでいました。 realm service issuer rootce…

ホスト名と証明書のSubjectが違う時にChromeでどう怒られるか

証明書の流用 証明書にはCN欄にドメインが記載されており、そのドメイン名と実際のURLに指定したドメインでチェックが入ります。 で、そこでNGであれば 勝手に人の証明書使ってます とエラーになったり警告が出ます。そのような事象を再現してみました。 Goo…

CSRのCNとOってなに?

要するに コモンネームとオーガニゼーション です。CNにはFQDNに相当する用法、Oには組織名などを入れます。

DNSアンプ攻撃のアンプってなに?

要するに リクエストより応答の方がパケットが大きい ことを指しています。リフレクター攻撃ともいいますが、攻撃先のIPアドレスを自分のIPアドレスと詐称してDNSにリクエストを投げます。

ブラウザでセキュリティの警告が出る3つのパターンは?

要するに 信頼されたルート証明機関に該当の証明書が入っていない 証明書の期限が切れている 証明書のFQDNと実機が一致していない のどれかです。これをすらすらいえる人、猛者ですね。

HTTPスロー攻撃ってなに?

要するに じわじわWebサーバのリソースを奪うDOS攻撃 です。Asymmetric Attackとも呼ばれるますがApache 2.2.15以降にすればこちらの攻撃に対応していると言われています。

チャップってなに?

要するに ユーザ認証方式の一つ です。CHAP、 チャレンジハンドシェイク認証プロトコルの読み方です。 パスワードをハッシュ化して送ることで途中で盗聴されてもOKっていう寸法です。

Radiusってなに?

要するに クライアント、ユーザ、サーバの3構成の認証プロトコル です。Remote Authentication Dial In User Serviceの略で、リモート で 認証 を 電話回線 で ユーザ に サービス を提供するプロトコルでした。現在は電話回線に留まらず利用されています。

警戒口座ってなに?

要するに 銀行側が特別な体制で監視する口座 です。犯罪等に利用される可能性がある口座等を捜査の観点から見張るイメージですね。

IKEv2ってなに?

要するに IPsecにて利用される暗号化プロトコル です。 IKEv1という古いバージョンと互換性は確保されていないことはメモしておきましょう。 ちなみにInternet Key Exchange Protocol Version 2の略です。v2ってバージョン2のことなんですよね。

フォレンジクスってなに?

要するに セキュリティ的な調査 です。Forensicsのカタカナ読みで、セキュリティ違反などの原因を究明するための分析・調査の手法を指します。 あまり聞かない用語ですが、覚えていないと意味不明だと思うので知っていて損はないかと思います。4

電子透かしってなに?

要するに 画像や音楽の不正コピーやデータの改竄の検出を行う技術 です。主に著作権保護用途に使われ、英語ではDigital Watermarkと言われます。住民票等に入っている透かしのようなものをプレビュー時に表示させることで、ダウンロードの許可がないユーザが…

ISIMってなに?

要するに 複数サーバのパスワードを管理するツール です IBM Security Identify Managerの略で、こちらを使うことでユーザパスワードの一元管理が可能です。 例えば、ユーザが着任すると個別のサーバにログインしてユーザを作成する必要もなくなるので、便利…

オーディットってなによ?

要するに 監査 を意味します audit対応といった使い方にてシステム監査への対応を意味します。 また、製品やツールにおいても証跡ログをauditと言う場合もあります。