【転載】データベースを猫の鳴き声で埋め尽くす「ニャー攻撃」が急増、5000件超の被害か | 日経クロステック（xTECH）

データベースを猫の鳴き声で埋め尽くす「ニャー攻撃」が急増、5000件超の被害か | 日経クロステック（xTECH）:

2020.08.04

全1529文字

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

今回は3件のトピックを紹介する。数千件に及ぶデータベースの改ざんと、公正取引委員会が実施したアンケートの漏洩、勤務管理サービスのメールサーバーへの不正アクセスである。

別の攻撃の調査中に見つかった改ざん（7月21日）

セキュリティー設定が不十分なElasticsearchやMongoDBのデータベースが改ざんされる被害が続出している。セキュリティー専門家のBob Diachenko（ボブ・ディアチェンコ）氏があるサイバー攻撃を調査している最中にその攻撃に遭遇したとTwitterで明らかにした。

ニャー攻撃に関するBob Diachenko氏の書き込み

出所：Twitter

同氏は2020年7月上旬、あるVPNサービスベンダーのデータベースにアクセスできることを発見し、ベンダーにそのことを伝えた。その結果データベースはアクセスできないように対策されたが、その中身が別のデータベースで公開される事態が発生したという。対策前に中身を窃取した第三者が公開したとみられる。


　同氏がその公開されたデータベースを調査していると、その中身がランダムな数字と「meow」（ニャー、猫の鳴き声）という文字列を組み合わせたものに書き換えられたという。複数のセキュリティー専門家はこの攻撃を「ニャー攻撃」（Meow Attack）と呼ぶ。


　筆者がニャー攻撃の被害を受けたとみられるデータベースを探したところ、ディアチェンコ氏の書き込みがあった直後には1000件程度見つかった。その後7月27日時点には約3500件に、30日時点には5000件超に急増していることが分かった。

中身をmeowに書き換えられたとみられるデータベースを検索した結果。2020年7月30日時点で5000件超のデータベースが見つかった

出所：Shodan

https://twitter.com/MayhemDayOne/status/1285303164116389890

【転載】アメックスがセブンイレブンで20%（最大500円）キャッシュバックキャンペーンを開催！

アメックスがセブンイレブンで20%（最大500円）キャッシュバックキャンペーンを開催！:

アメリカン・エキスプレスがセブンイレブンでお得に買い物できるキャンペーンを開催します。

事前登録のうえ、セブンイレブンにてアメックスのカードで決済すると20％がキャッシュバックされます。

最大で期間中トータル500円なので、購入金額がトータルで約2,500円まで、20％還元となります（購入額の端数によって具体的な上限はまちまち）。

プロパーカードだけではなく、三菱UFJニコス、クレディセゾン、エムアイカードの提携アメックスも対象のお得なキャンペーンです。楽天カード アメックスは対象外。

アメックスのセブンイレブン20％キャッシュバックキャンペーンについて解説します。

キャンペーンの内容・対象店舗一覧

今回のキャンペーンは事前登録の先着100,000名限定で、キャッシュバックの対象はセブンイレブンです。

• 事前登録期間：2020年8月4日(火)～9月30日(水)
• 利用期間：2020年8月4日(火)～9月30日(水)

ドリンク、食品、日用雑貨、雑誌など生活全般で必要となる多様なアイテムが集結しているセブンイレブンにて、お得に購入できます。

しかも約2ヶ月の時間があるので、慌てずにじっくりとお買い物できますよ！



事前にキャンペーン登録したカードで、キャンペーン期間中に対象店舗にて、アメックスカードのクレジット払いで支払った方が対象です。

• 店頭レジでカードでの支払いが可能な商品のみ対象（税金・公共料金などは対象外）
• 日本国内のセブン‐イレブン対象店舗のみ対象（海外は対象外）
• 東京ミッドタウン店、オンライン決済は対象外（セブンミール等は対象外）

キャッシュバックの金額は通算で500円なので、1枚あたり最大で約2,500円利用分までが20％還元となります。

1度に2,500円以上である必要はなく、利用の都度キャッシュバックを受けられるので、ユーザーフレンドリーです。

アメックスのコンビニキャンペーンは、以前1度に500円以上という条件があった時があり、使い勝手が悪い側面がありました。今回のセブンイレブンは購入額の条件がないので安全・安心！

Apple Payによる支払いは対象外なので、必ずカード払いで支払いましょう。セブンイレブン店頭での直接カード決済が対象です。



カード利用によるポイントやマイルはもちろん別途もらえるので、キャッシュバック＋ポイント等で二重に得することが可能です。

将棋において飛車だけよりは飛車・角の方が強いのと同様に、お得な仕組みも一つだけよりは二つの方が嬉しいですね。

地味に家計が助かります。このようなキャンペーンは積極的に参加していきたいですね。

対象カード一覧

アメリカン・エキスプレス・インターナショナル, Inc.（日本支社）が発行しているプロパーのアメックスカードは、もちろんセブン-イレブンのキャッシュバックキャンペーンの対象です。

個人事業主・中小企業経営者向けのビジネス・アメックスも対象です。他方、以下のコーポレートカードは対象外となります。

• アメリカン・エキスプレス・コーポレートカード
• アメリカン・エキスプレス・ビジネス・トラベル・アカウント
• コーポレート・パーチェシング・カード

これらの券種に関しては例外なくNGですので、問い合わせるだけ無駄です。



アメリカン・エキスプレスがライセンスを許与して提携先のクレジットカード会社が発行しているカードも対象です。

• 株式会社クレディセゾン（セゾン・アメックスなど）
• 三菱UFJニコス株式会社
• 株式会社エムアイカード
• クレディセゾン、三菱UFJニコスの提携カード発行会社・フランチャイジー会社

プロパーカードだけではなく、MUFGゴールド(アメックス)、セゾンプラチナ・ビジネス・アメックス、エムアイカードなども対象です。



今回のキャンペーンは、年会費無料で維持できるセゾンパール・アメックス、ヤマダLABI ANAマイレージクラブカードセゾン・アメックス、ウォルマートカードセゾン・アメックス、三井ショッピングパークカード セゾンも対象です。



ただし、楽天カード アメックスは対象外。アメックスのキャッシュバックキャンペーンでは、楽天カードだけ排除されることが大多数であり、今回も同様となっています。

キャンペーン登録方法

アメックスのセブンイレブン500円キャッシュバックキャンペーンの留意点としては、事前登録する前のお買い物は対象外になる点です。まずエントリーです。

対象のアメックスカード会員にはキャンペーンのメールが届いているので、文中のリンクをワンクリックするだけで、サクッと簡単にエントリーできます。

また、アメックス会員サイトの「アメックス・オファー」ページで、サクッと簡単にエントリーできる場合もあります。



現在はリンクをクリックしなくても、トップページを下にスクロールすると、アメックス・オファーの一覧が出るので便利です。



スマホアプリの下部メニュー「アメックスオファー」からもキャンペーンに登録できます。



キャンペーンの登録が完了したら、すぐにお知らせメールが送られてくるので安心です。

キャンペーンの注意点

ボーナス払い・分割払いは対象外なので、一括払いで支払いましょう。

家族カード・追加カードはOK。複数のカードを持っている場合も全て対象なので、例えば2枚の対象アメックスカードを持っていれば、2回キャッシュバックを受けられます。



ただし、カード毎の登録が必要。例えば、本会員カードをキャンペーン登録しただけでは、家族カードでのお買い物はキャンペーン対象外です。家族カード番号も登録する必要がある点に注意が必要です。

また、複数枚のアメックスカードを持っている場合で、どのカードでもキャンペーンを受けるためには、各々で事前登録が必要です。

アメックス・ビジネス・カードと個人用アメックスの両方を持っている場合、それぞれで登録が必要です。



登録したカード1枚につきキャッシュバックの上限は1回限りなので、最大でも500円です。

一例として、2回2,500円使ったり、通算で5,000円使ってもキャッシュバックは1,000円にはならず500円となります。

キャッシュバックは、カード会員の登録カードの利用代金明細書で調整されます。現金での返金・振込はありません。



以前にAmazon利用でのキャッシュバックキャンペーンに参加した際も、利用代金明細でマイナスされました。

例えばキャッシュバックが行われる月の請求が77,000円で、500円のキャッシュバックがある場合、76,500円が銀行口座から引き落とされます。



キャッシュバックまでの時間は、優待特典の条件を満たした後、最長でキャンペーン終了から90日かかる場合があります。

ただし、利用条件を満たしてから1～3週間ほどで反映することが多いです。以下は5月12日に利用明細が上がり、5日後の5月17日にキャッシュバックされた明細です。

セブン‐イレブンのキャッシュバックキャンペーンまとめ

アメリカン・エキスプレスがセブンイレブンでお得なキャンペーンを開催します。

アメックスカードの決済で20%キャッシュバックを享受でき、最大で1枚あたり通算500円還元のお得さがあります。

対象カードが2枚あったら1,000円、3枚あったら1,500円と登録した分だけお得になるのが特徴です。

しかも利用期間は2020年8月4日(火)～9月30日(水)と約2ヶ月あり、ゆとりがあるのでありがたいです。

更にアメックスカードによるポイント・マイル等の還元や、他の共通ポイント、各種セール・割引き・クーポンとも併用できます。

将棋において飛車だけよりは飛車・角の方が強いのと同様に、お得な仕組みも一つだけよりは二つの方が嬉しいですね。

セブンイレブンでのお買い物がお得になり、実利的で万人にとって使いやすい流麗なキャンペーンです！



アメックスはこのようなお得なキャンペーンを定期的に開催しています(アメックスのキャンペーン一覧)。活用すると着実にお得です。

おすすめのアメックスについては、以下で徹底的に解説しています。

アメックスはライバルのクレカに一歩差をつける流麗な制度が満載であり、人生がもっと楽しくなるクレジットカードです。一度使ったらもう手放せません(アメックスカードの種類)。

私は入会前と入会後では、生活の豊かさが圧倒的に変わりました。サービスを利用したり、イベントに参加することで、それまでになかった体験が可能になっています。



当サイト経由での紹介でアメックス・ゴールドかグリーンに入会すると、お得な入会キャンペーンが適用されます。

通常申込より多いボーナスポイントがプレゼントされて、なんと年会費を上回る価値があるポイントを得られます。

• アメックス・ゴールド：21,500ポイント（通常+1,500）
• アメックス・グリーン：13,500ポイント（通常+3,500）

「何でアメックスはこんなに破格のキャンペーンを行っているの？」と疑問に感じる方もいらっしゃるかもしれません。

これに関しては、アメックスの充実したサービス・高いステータスを実感すると、ずっと利用する方が多いからです。

年会費を上回る価値がある大量のポイントを獲得できるキャンペーンですので、アメックスをまだお持ちでない方は、この機会にぜひ発行してみてはいかがでしょうか。

私もご紹介可能なので、お気軽に問い合わせフォームか、「matsunosuke_thegoal☆yahoo.co.jp」(※☆→@)へのメールでご連絡ください。24時間以内にご返信します。

公式アメックスの紹介キャンペーン（通常申込よりお得）

更に充実の特典をご希望の場合、アメックスプラチナが候補となります。詳細は以下をご参照ください。

各アメックスカードはお得な入会キャンペーンを開催しています。

マイル還元ではANAアメックスはエッジが効いています。

年会費無料の提携アメックスカードも、アメリカン・エキスプレスの一部キャンペーンを利用できます。

【転載】CIS Benchmarks July 2020 Update - CIS

CIS Benchmarks July 2020 Update - CIS:

CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.0.0

Prescriptive guidance for running Amazon Elastic Kubernetes Service (EKS) following recommended security controls. The CIS Bbenchmark only includes controls which can be modified by an end user of Amazon EKS.

Download the CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.0.0

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Linux Benchmark Releases

Thank you to all of our Community volunteers who contributed their time and expertise towards these updates in the form of tickets, comments, and joining our editor calls. Your contributions are invaluable to our consensus process. Special thanks to Jon Christopherson, James Trigg and Richard Costa without whose help the following CIS Linux Benchmarks would not have been possible.

CIS CentOS Linux 7 Benchmark v3.0.0*

Prescriptive guidance for establishing a secure configuration posture for CentOS Linux 7 systems running on x86 and x64 platforms. The document was tested against CentOS 7.8.

Download the CIS CentOS Linux 7 Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Oracle Linux 7 Benchmark v3.0.0*

Prescriptive guidance for establishing a secure configuration posture for Oracle Linux 7 systems running on x86 and x64 platforms. The document was tested against Oracle Linux 7.8.

Download the CIS Oracle Linux 7 Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Red Hat Enterprise Linux 7 Benchmark v3.0.0*

Provides prescriptive guidance for establishing a secure configuration posture for Red Hat Enterprise Linux 7 systems running on x86 and x64 platforms. The document was tested against Red Hat Enterprise Linux 7.8

Download the CIS Red Hat Enterprise Linux 7 Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS SUSE Linux Enterprise Server 15 Benchmark v1.0.0*

Prescriptive guidance for establishing a secure configuration posture for SUSE Linux Enterprise 15 SP1 systems running on x86 or x64 platforms. The document was tested against SUSE Linux Enterprise Server 15 SP1.

Download the CIS SUSE Linux Enterprise Server 15 Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Ubuntu Linux 20.04 Benchmark v1.0.0

Prescriptive guidance for establishing a secure configuration posture for Ubuntu Linux systems running on x86 and x64 platforms.

Commands and scripts are provided which should work on most Debian derived Linux distributions, however some translation to local styles may be required in places.

Many lists are included including filesystem types, services, clients, and network protocols. Not all items in these lists are guaranteed to exist on all distributions and additional similar items may exist which should be considered in addition to those explicitly mentioned.

Our members can visit CIS WorkBench to download other formats and related resources.

* The guidance within broadly assumes that operations are being performed as the root user. Operations performed using sudo instead of the root user may produce unexpected results, or fail to make the intended changes to the system. Non-root users may not be able to access certain areas of the system, especially after remediation has been performed. It is advisable to verify root users path integrity and the integrity of any programs being run prior to execution of commands and scripts included in these CIS Benchmarks.

CIS Check Point Firewall Benchmark v1.1.0

Prescriptive guidance for establishing a secure configuration posture for Check Point Firewall versions R75.x – 80.x installed on Gaia Platform. The guide was tested against Check Point R80.10 installed on Gaia.

Download the CIS Check Point Firewall Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Google Kubernetes Engine Benchmark v1.1.0

This CIS Benchmark only includes controls which can be modified by an end user of GKE. For information on GKE's performance against the CIS Kubernetes Benchmarks, and for items which cannot be audited or modified, see the GKE documentation.

Download the CIS Google Kubernetes Engine Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Microsoft SQL Server Benchmark Releases

The following CIS Microsoft SQL Server Benchmarks have been released, providing prescriptive guidance for establishing a secure configuration posture for Microsoft SQL Server. Each guide was tested against the associated version as noted in the CIS Benchmark.

• CIS Microsoft SQL Server 2019
• CIS Microsoft SQL Server 2016
• CIS Microsoft SQL Server 2014
• CIS Microsoft SQL Server 2012
• CIS Microsoft SQL Server 2008 R2

Download the CIS Microsoft SQL Server Benchmark Releases

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark v1.2.0

This guide was tested against Microsoft Windows Server 2016 Datacenter. The community made several changes to improve this CIS Benchmark:

• Added 15+ new security settings
• Moved and renamed several settings due to updated ADMX templates
• Updated 20+ recommendations that were outdated
• Removed 5+ settings that were outdated

The full change log is included at the end of both the PDF and DOC versions.

A huge thank you to the Windows Community and Team for making this happen, and special thanks to Haemish Edgerton.

Download the CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Oracle Database 18c Benchmark v1.0.0

Prescriptive guidance for Oracle Database 18c. The guide was tested against Oracle Database 18c installed with and without pluggable database support running on a Windows Server instance as a stand-alone system and running on an Oracle Linux instance also as a stand-alone system. Future Oracle Database 18c critical patch updates (CPUs) may impact the recommendations included in the document.

Download the CIS Oracle Database 18c Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

CIS VMware ESXi 6.7 Benchmark v1.1.0

Prescriptive guidance for establishing a secure configuration posture for VMware ESXi 6.7. The guide was tested against VMware ESXi 6.7.

Download the CIS VMware ESXi 6.7 Benchmark

Our members can visit CIS WorkBench to download other formats and related resources.

Get involved by helping us develop content, review recommendations, and test CIS Benchmarks. Join a community today! We're looking for contributors for the following technologies:

• Amazon Web Services
• Zoom Video Communication
• Cisco - NX-OS
• Oracle MySQL

Have questions about the CIS Benchmark development process, how you can contribute, or how to get involved? Reach out to us at benchmarkinfo@cisecurity.org. You can also learn more on the CIS Benchmarks Community page.

バックアップ(一部)