Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego

Transcript Trivy + Regoを用いたパッケージ脆弱性管理 Ubie株式会社 水谷 正慶 Ubie Tech Talk 2021.12.14 (Tue) Confidential 2 会社概要 自己紹介 水谷 正慶(@m_mizutani) Ubie Discovery セキュリティエンジニア 略歴: 2011/4~ 日本IBM(東京基礎研究所、SOC) 2017/10~ Cookpad株式会社 2021/09~ Ubie株式会社 医師…

SMSに届く認証番号を使った「2要素認証」はもはや安全ではない

ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。続きを読む……

半導体への攻撃が容易になりセキュリティ対策の必要性が高まっているとの指摘

半導体に対する攻撃は一昔前までは理論上のものとされていましたが、近年では自動車・ロボット・医療機器などの幅広い分野で半導体が用いられるようになったことに伴って、半導体に対する攻撃が現実的な脅威となっています。しかし、テクノロジー関連メディアのSemiconductor Engineeringは半導体のハードウェアセキュリ…

log4j2の脆弱性を使って実際に任意コード実行してみました👀

こんにちは。かえると言います。 Twitterでは https://twitter.com/harukaeru_en で活動しています。日本人です。 日本語版: https://twitter.com/harukaeru1981 何番煎じかわかりませんが、log4j2の任意コード実行ができるようなので、実際に実行してみて、どれぐらい危険なのかをここに書くことにしました。 どういう…

Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO

先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました …