InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
RADIUSプロトコルの脆弱性により、ネットワーク機器の認証が暴露される
セキュリティ研究者のチームが、広く使われているRADIUS(Remote Authentication Dial-In User Service)プロトコル に重大な脆弱性を発見した。この脆弱性は、攻撃者がネットワーク機器に不正アクセスできる可能性がある。Cloudflareのスタッフは、この発見をブログ投稿で詳述し、長年使用されてきたネットワークプロトコルのセキュリティを維持するための継続的な課題を強調した。
-
HashiCorp Boundaryがエイリアス、MinIOストレージ、検索機能を追加
HashiCorp社は、Boundary 0.16を発表した。このアップデートは、ターゲットインフラへの接続を簡素化し、検索とフィルタリングを改善し、MinIOとの互換性を追加する。
-
TerraformのフォークOpenTofu 1.7.0は状態の暗号化などをもたらす
OpenTofu1.7.0がリリースされ、エンドツーエンドの状態暗号化、動的なプロバイダー定義関数、「削除された」ブロック、ループ可能なインポート ブロックなどの新機能が追加された。OpenTofuは、様々なAPIを使って宣言的にクラウドインフラを作成するためのオープンソースのInfrastructure-as-Codeツールだ。昨年、HashiCorpの Terraformの ライセンス変更後にフォークされた。
-
Polyfill.ioのサプライチェーン攻撃で10万以上のサイトが攻撃される
電子商取引のセキュリティ会社Sansecは、Polyfill JSサービスをホスティングしている多くのCDN経由でアクセスした場合に影響を与える新しいサプライチェーン攻撃を発表した。Sansecによると、10万以上のサイトが攻撃されたという。このサービスのオリジナル作成者であるAndrew Betts氏は、Polyfillを使用しているサイトからPolyfillを削除することを提案している。
-
AWS、Amazon S3へのオブジェクトのアップロードにマルウェア検知機能を導入
最新のre:Inforceクラウドセキュリティカンファレンスで、AWSはGuardDuty Malware Protection for Amazon S3を発表した。このAmazon S3向けの新しいマルウェアスキャン機能により、チームはAmazon GuardDutyを使用して新しいオブジェクトのアップロードからマルウェアを検出できる。
-
AWSはセキュリティ強化のためにパスキーのサポートを追加し、rootユーザーに対してMFAを強制
AWSは先日、2つの新しいセキュリティ機能を発表した。1つ目は、rootユーザーとIAMユーザーの多要素認証(MFA)にパスキーが使用できるようになり、ユーザー名とパスワードだけでなく、さらなるセキュリティを提供できるようになった。2つ目は、AWSはAWS組織のrootユーザーアカウントから、rootユーザーに対してMFAを要求するようになった。この要件は、年間を通じて他のアカウントにも拡大される予定だ。
-
AWSにおける攻撃対象領域としての非本番エンドポイント
Datadogのセキュリティチームは最近、AWSのセキュリティ問題を公開した。この問題では、本番環境ではないエンドポイントが攻撃対象として利用され、権限の列挙が無言で実行されていた。AWSはその後、これらの特定のバイパスを修正した。
-
Kubernetes向けクラウドネイティブ・セキュリティツール「Falco」がCNCFを認定
CNCFは、Linuxシステム向けに設計されたツールであり、事実上のKubernetes脅威検知エンジンであるFalcoの卒業を発表した。このプロジェクトは、適正評価プロセスを受け、第三者によるセキュリティ監査を完了し、ソフトウェア・ライセンスの承認を得るなど、すべての認定要件件を満たすことに成功した。
-
内部告発とジャーナリズムのためのセキュアなソリューション:Qubes OSを『The Guardian』紙が深堀り
The Guardian紙のエンジニアリング・チームは最近、セキュリティに特化したデスクトップOSであるQubes OSの使用経験を共有した。エンジニアリングチームは、Qubes OSのデフォルトの管理エンジンであるSaltStackを利用してQubesワークステーションを設定した。
-
Amazon Verified PermissionsとAmazon CognitoによるAPIアクセス
AWSは先日、Amazon API GatewayのリクエストがAmazon Verified Permissionsで認証可能になったことを発表した。この機能によって、Amazon Cognitoが発行したトークンを含むHTTPリクエストを使用し、APIリソースに対して認可の判断ができる。
-
Amazon S3不正リクエスト課金問題:空のS3バケットがコストを劇的に増加させる可能性
シニア・ソフトウェア・エンジニアのMaciej Pocwierz氏は最近、重大な問題を明らかにした。空のS3バケットは、予期せず多額のAWS請求書をもたらす可能性がある。彼のケースでは、ほぼ100,000,000のS3 PUTリクエストが1日以内に実行され、無視できない請求につながった。
-
ネットワーク監視とセキュリティ分析を強化するAzure仮想ネットワーク・フロー・ログ
マイクロソフトは最近、AzureのNetwork Watcherサービスの新機能である仮想ネットワーク・フロー・ログの一般提供(GA)を発表した。
-
OpenSSF、オープンソースに対する脅威インテリジェンス共有サービス "Siren"を発表
Open Source Security Foundation(OpenSSF)は、「オープンソースプロジェクトに特化した脅威インテリジェンスを集約し、広めるための共同作業」と称した、"Siren"を発表した。このイニシアチブは、オープンソースプロジェクトが関連する脅威インテリジェンスを普及させ、それらを受け取るためのより良い方法を必要としていることが明らかになった、XZ Utilsの侵害をきっかけに生まれた。企業の脅威インテリジェンス・プラットフォーム(TIPs)のように、Sirenは戦術、技術、手順(TTPs)と侵害の指標(IoCs)を共有する場所を提供する。
-
.NET 9 Preview 2のASP.NET Coreアップデート:Blazor、OIDC、OAuth、HTTP.sysの設定
Microsoftがリリースした.NET 9 Preview 2には、ASP.NET Coreに関するいくつかの更新が含まれている。Blazorコンポーネントコンストラクタインジェクション、BlazorインタラクティブサーバーコンポーネントのWebSocket圧縮などだ。さらに、開発者はOIDCとOAuthパラメータをカスタマイズし、HTTP.sys拡張認証フラグを設定することで、認証統合を効率化できる。
-
Azure API Management Basic V2とStandard V2をリリース:拡張性、セキュリティ、ネットワークの強化
先日、Microsoft社はAzure API Managementの新しい価格オプション、Basic v2とStandard v2のリリースを発表した。これにより小規模からエンタープライズレベルのアプリケーションまで、さまざまな開発プロジェクトをサポートする拡張性と柔軟性を提供する。