こんにちは、デジタルペンテスト部のst98です。 2022年6月14日(火)から2022年6月17日(金)にわたって、ギリシャはアテネで開催されたInternational Cybersecurity Challenge (ICC) 2022というCTFの大会に、アジアチームのメンバーとして参加してきました。 競…
こんにちは、デジタルペンテスト部のst98です。 2022年6月14日(火)から2022年6月17日(金)にわたって、ギリシャのアテネで開催されたInternational Cybersecurity Challenge (ICC) 2022というCTFの大会に、アジアチームのメンバーとして参加してきました。 ど…
どーも、デジタルテンペスト部の松田です。先月、単著で書いた『オンラインゲームセキュリティ』という書籍が発売になりました。ここでは本の内容に言及するのではなく「技術書を一冊仕上げる」ことについて思ったことを書いてみたいと思います。 なぜ技術書…
こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。情報収…
こんにちは、デジタルペンテスト部のねいちゃーどです。 普段は チート対策ペネトレーションテストサービス の診断員として、主にゲームに関わるサービスの脆弱性診断を担当しています。 私たちのチームでは、お引き受けさせていただいた案件に対する成果物…
※こちらの記事は2020年11月9日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です デジタルペンテストサービス部のkjです。(自分担当の)ブログネタに困っていたのですが、むかーしXDPを少し触っていたことを思い出し、半ば無理やりeBPFとセ…
※こちらの記事は2020年10月26日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちは。ラック デジタルペンテストサービス部、ペンネーム Diogenes です。主に情報システムに対するペネトレーションテストを担当しています。本稿が初…
※こちらの記事は2020年10月19日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちは、セキュリティエンジニア見習いのA#です。セキュリティ関係の仕事をしていると、「暗号」という言葉を目にしない日がありません。暗号(暗号化)と…
※こちらの記事は2020年10月5日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですデジタルペンテストサービス部の魚脳、3dbd、カペルです。コロナの影響で出社の機会が減った昨今、皆様いかがお過ごしでしょうか。リモートワークが広まってか…
こんにちは、Diogenes です。今回は、MITRE ATT&CK For ICS というフレームワークについてご紹介したいと思います。 MITRE ATT&CK というと、APTサイバー攻撃グループの手法をマトリックス形式にとりまとめたフレームワークが有名です。膨大な手間とこだわり…
デジタルペンテスト部の飯田です。 ひと昔前までは悪意ある攻撃者により市販製品からファームウェアの抽出やデバッグ機能を利用した製品仕様の解析や改変が簡単にできたと聞きますが、最近では安価なチップであっても知的財産の保護等を目的にそのような行為…
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 私事ですが、半年ほど前に新しいデスクトップPCを購入しました。 脆弱性の検証やリサーチ業務だけでなく流行りのゲームもやりたかったため、そこそこ高スペックないわゆるゲーミ…
※こちらの記事は2020年9月28日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですデジタルペンテストサービス部のしゅーとです。前回は Covenant を紹介しました。今回は Covenant の C2 チャンネルを増やすために C3 を連携し、Slack を使っ…
はじめまして!デジタルペンテストサービス部のbooooomです。 私は入社2年目で、いつも話題になっているようなPoCはもちろんまだ書けていません。また、それらを理解するのにタブ100個くらいを開きながら調べ続けないとダメです。今はmetasploitableやVulnHu…
デジタルペンテストサービス部のGoDaiです。 去年の事になりますが11月のある土曜日の夕方に突然知り合いの方から画面にウイルスに感染等のメッセージが表示されているので助けて欲しいと連絡がありました。 幸い次の予定まで時間があったので折り返し連絡を…
ペネトレーションテスターのしゅーとです。 先日、匿名ハッカーによる航行データの改ざんにより、プーチン大統領の所有するヨットの位置がウクライナ領土のスネーク島に座礁したように見せかける事件が発生しました。 本記事では世界で広く用いられているAIS…
受講経緯 SANS GMOBとは オンデマンド受講&試験勉強 教材資料 テキストブック Device Architecture and Application Interaction The Stolen Device Threat and Mobile Malware Static Application Analysis Dynamic Mobile Application Analysis and Manipu…
始めまして。デジタルペンテストサービス部の北川です。 筆者の自宅ではダークネット観測装置という名のただのtcpdumpがずっと動いてるだけのRaspberry Piがあります。 パケットをどんどん記録していくのは良いのですが、どんなパケットが来ているか全然見て…
こんにちは!デジタルペンテストサービス部(以下「DP部」)で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です この記事では、こないだ受けてきた「CISSP®認定試験」のことを書こうと思います!正直いって、このブログ…
注意事項 Neo4jは、Apache Log4jを使用しているため、評価時のバージョン(Neo4j version 4.2以降)により、脆弱性(CVE-2021-44228)の影響を受ける可能性があります。評価時のバージョンをご確認の上、以下のサイトから詳細情報をご確認ください。 Apache …
デジタルペンテストサービス部の魚脳です。 今回はiOS内部ストレージの中、たまにどっかに隠れているbplistファイルの構造やそれを引っ張り出す方法のまとめとなります。 bplistとは まずplistとは プロパティリストの略であり、macOS Cocoa・NeXTSTEP・GNUs…
※こちらの記事は2020年9月14日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちは、かすたーど先生と申します。私が所属しているデジタルペンテストサービス部は、IoT、オンラインサービス/ゲーム、情報システム、スマホアプリ等…
DP部 マきむら です。 私は裏垢特定というものをやったことがありませんが、 今回は裏垢特定について考察し、防御方法を提案します。 ※注意※ 弊社では以下の本記事のような卑劣で最低な下衆極まりない 裏垢特定 行為は一切行っておりません。 採用活動におけ…
※こちらの記事は2020年12月21日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちは デジタルペンテストサービス部のみゅーろっくまるです。 前回の記事で接触感染通知アプリ「COCOA」について、技術的な仕組みを説明しましたが、そ…
※こちらの記事は2020年9月7日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちはデジタルペンテストサービス部のみゅーろっくまるです。今回は話題の接触感染通知アプリ「COCOA」について、技術的かつセキュリティ⾯での解説をした…
こんにちは、デジタルペンテストサービス部、井上(WHI)です。 主に、オンプレのWindows Active Directory環境のペネトレーションテストを担当しています。 いきなりですが、弊社の無料サービス「FalconNest」はご存知でしょうか? 「FalconNest」とは? ”…
デジタルペンテストサービス部でスマートフォンアプリケーション診断を担当しているlac01です。本稿では、AndroidのCTFであるhpAndro Vulnerable Application (Kotlin) CTF(以降、hpAndro CTF)をご紹介します。 hpAndro CTFとは、Hiral Patel氏とRAVIKUMAR R…
デジタルペンテストサービス部の木田です。 ハンドル名のウケが悪かったので実名にて失礼します。 はじめに 昨年の10月(2020年10月)にITU-TにてIoT機器のエラーログフォーマットについて標準化が行われX.1367として勧告されました。この勧告においてIoT機器…
オンライン会議でよく「画面映ってますか?」と聞かれることがありますが、だいたい問題なく映っています。でも確認せずに自信満々で進める人に限って映っていません。心の声を認識するだけではなく反抗する時代になったのでしょうか。 お久しぶりです、もん…
お久しぶりです。「早くAIに仕事を奪われて楽になりたい!」と祈っているセキュ松です。 今年の2月にOSVが発表されましたね!Google様の力で、主要なOSSを対象として継続的にファジングを実施し、発見された脆弱性のDBを作っていく夢のようなプロジェクトで…
