ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた!

デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 …

まだパスワードを暗記しているの?便利なパスワードマネージャー「Bitwarden」の話

こんにちは、デジタルペンテスト部のねいちゃーどです。 普段は チート対策ペネトレーションテスト の診断員として、主にゲームに関わるサービスの脆弱性診断を担当しています。 さて、6月末は 高難易度で知られるアクション RPG の DLC が配信開始 されたり…

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~

デジタルペンテスト部の山崎です。4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていな…

CISSP受験記 ChatGPTと共に

or2

こんにちは、DP部のor2です。 ギャルにあこがれて(嘘)CISSPを受験しました。1回落ちましたが2回目で無事合格できました。 勉強方法は独学?です。(「CISSP CBKトレーニング」未受講) 勉強方法をまとめていきます。(「CISSPってなんだ」とかの話はギャルの方…

生成AIがウソをつく時 ~生成AIの「キャラ」を理解しよう~

こんにちは、ディオゲネスです。私は、仕事が暇な時には、息抜きに生成AIと対話する趣味があります。これには次のような3つのメリットがあります。 (1)生成AI の性能や特性がなんとなく分かってくる(2)前から気になってた疑問が解消されることもある…

HTB Business CTF 2024のwriteup・upsolve(Cloud編)

コーポレートIT推進部の山根です。もともと脆弱性診断をしていたのですが、ディフェンシブなこともやってみたくなり、今年からいわゆる情シスでセキュリティ関連業務を担当しています。CTFは大好物で、「LACCON」と呼ばれる社内CTFの運営をやっています。 こ…

HTB Business CTF 2024の参加レポート・writeup(Web&Misc編)

こんにちは、デジタルペンテスト部(DP部)のst98です。 2024年5月18日(土)から2024年5月22日(水)にかけて、HTB Business CTF 2024という世界中の企業が競い合うオンラインのCTF(Capture The Flag)が開催されました。ラック社内のCTFプレイヤーに声をかけ、14…

アカウントロックにご用心!Windowsにおける認証の罠

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 ペネトレーションテストを実施する中で、ほぼ必ずと言ってよいほど検出される問題に「パスワードの強度に関する指摘事項」があります。 これは一言で言えば弱いパスワードが使用…

AVRマイコンでROPを試した話

初めまして、DP部の今井です。 バイナリエクスプロイトのROP(Return-oriented programming)をAVRマイコンに対して試してみた話です。 注意:本記事の内容によってトラブルなどが発生した場合でも、当社は一切の責任を負いかねます。また、本情報の悪用はしな…

AWS Cloud Questでエンジニア未経験者がAWSを勉強してみた

こんにちは、かすたーど先生です。 私はペネトレーションテストを提供する部門でプロモーション活動や部門運営を担当しています。仕事内容はエンジニアではないのですが、セキュリティサービスをプロモーションをするうえでIT技術やソリューションに関するこ…

class-dumpの実行エラーから始まるchained fixups入門

どうも、でぃーぴーぶの魚脳です。今回はiOSアプリの解析時に使用するツールclass-dumpを利用した時遭遇したエラー、その原因及び解決策をソースコードを合わせて解説できたらと思います。

グループ内CTFで出題した、WebAssemblyを使ったゲームでチートをする問題の話

こんにちは、デジタルペンテスト部(DP部)のst98です。 以前の記事で、ラックグループ内CTFの「LACCON 2022」で出題した「Hadena Star」というWebセキュリティを題材にした問題について紹介しました。ほかにも十数問を出題したと記事中で言及していましたが、…

ゼラチンで指紋認証

or2

初めまして。DP部のor2です。 世に普及している指紋認証がどれくらいの識別能力を持っているのか気になったのでゼラチンを使って簡単な実験をしてみました。 対象としたのはTouchID第2世代のみです。 検証対象は一つだけと寂しいですが先に結論を述べると認…

IoTセキュリティどこまでやる?

※こちらの記事は2021年2月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です はじめまして、こんにちは。デバイスペネトレーションサービス部の√(ルート)です。ブログネタを探して、さまよい、迷走し、けっきょく見つからず。そんなこ…

getsystemの中身

※こちらの記事は2021年1月12日公開note版「ラック・セキュリティごった煮ブログ」に一部加筆した内容ですデジタルペンテスト部の北原です。ここ数年で日本国内でも情報セキュリティに対する関心が高まり、日本語のセキュリティ技術書が増え、サイバー攻撃手…

危ない橋、渡るべからず~NOTICEの観測結果から考えるIoT機器の買い換えについて

はじめに このブログを書いている時に阪神淡路大震災から29年経過しました。そして今年になって能登半島地震で大きな被害が出ました。犠牲となられた方々に、謹んでお悔やみを申し上げますとともに、被災されました皆様に心からお見舞い申し上げます。被災地…

Active Directoryに対するRBCD攻撃の対策の話

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 Active Directoryに対する攻撃手法に、Resource-based Constrained Delegation(以下、RBCD)攻撃というものがあります。 この攻撃手法は原理が分かりづらく、私自身対策方法につ…

SDDLで学ぶWindowsのアクセス制御

北原です。 今回は、Windows OSを守るセキュリティ機能の中でも重要な役割を担う、アクセス制御に関する話題を解説します。 UnixやLinuxでは「Everything is a file」と言われていますが、Windows OSではファイルやプロセスをはじめとする全てのものがオブジ…

CTFの問題を作ろう

こんにちは、デジタルペンテスト部(DP部)のst98です。 皆さんは、CTF(Capture The Flag)で出題するために問題を作られたことはおありでしょうか。そもそもCTFとは何かについては、たとえば「CTFの紹介と始め方 - うさぎ小屋」のようなブログ記事を参照くださ…

Python製Webフレームワークの脆弱性を報告したはずが、Pythonの脆弱性を見つけていた話

はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけ…

新しく生まれ変わったBloodHound Community Editionを使ってみた

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 突然ですが皆さんはBloodHoundを使っていますか? BloodHoundとは、Active Directory(以下、ADとする)環境やMicrosoft Entra ID(旧称:Azure Active Directory)環境を対象と…

★☆★ペンテスター星座占い★☆★

Mi*

こんにちは! デジタルペンテスト部で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です 早速仕事の話でめんごです わたしの普段の仕事では、お客様などに対して「ペネトレーションテストとはどういうものか」を説明する…

コピープロテクトの作り方(基礎編)

どーも、デジタルペンテスト部のbubobuboです。 はじめに スケジュールの都合上、夏季休暇を挟んでこのエントリを書かざるを得なかったため、(筆者にとっては)手頃なネタを書き記そうと思います。 ゲーム会社におけるセキュリティ上の敵といえば「昔コピー…

船舶のGPS・AISシステムへの攻撃手法~レッドチーム演習の先生をやってきた!~

しゅーとです。先日、日本で初となる実運航船を用いたサイバー攻撃への船舶防御演習を実施しました。実際に動いている船に対して本気でスプーフィング攻撃を仕掛け、船員がどのように対応するかを考える非常にアツいイベントです。 演習の概要は広島商船高専…

Content Providerの調査をdrozer以外で頑張ってみた!

こんにちは!デジタルペンテスト部のbooooomです!今回は私の好奇心だけを満たす内容でごった煮ブログを書かせていただきます! 最近はOWASPが公開したMobile Application Security Testing Guide(以下、MASTG)に基づいてスマートフォンアプリの調査を勉強…

【CRTP取得奮闘記】WindowsADセキュリティ資格を攻略してみた!

※こちらの記事は2021年1月25日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですこんにちは、デジタルペンテストサービス部ホワイトハッカーの井上(WHI)です。昨年の10月よりDP部にジョインしまして、主に情報ネットワークのペネトレーショ…

サーマルカメラの処分にはご用心 - 意図しない情報漏洩リスク

寒暖の差が激しい今日この頃、皆様いかがお過ごしでしょうか?DP部日野です。 HDDやSSDなどの記憶媒体やサーバー・ネットワーク機器などと同様、その処分に際してはデータの消去という視点がとても重要です。 このごった煮ブログでは以前にも、サーバー・ネ…

DP部流 機器を処分する際のあれこれ

※こちらの記事は2021年3月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です デジタルペンテスト部のν(ニュー)です。(某ごった煮ブログで見かけることができる人と同一人物です) さて、今回はDP部こと、デジタルペンテスト部で自分が…

ラックグループ内CTF「LACCON 2022」で作問した話

こんにちは、デジタルペンテスト部のst98です。 私がこのブログでこれまで投稿してきた記事は、いずれもCTFに参加する側の視点から書いたwriteupでした。本記事では、CTFの問題を作る側の視点に立ってお話をしたいと思います。 弊社では、毎年「LACCON」とい…

"Prompt Engineering Guide"からプロンプトエンジニアリングを学んでChatGPTを駆使しよう!

はじめまして、南と申します。私はAIに関する開発、および啓発を中心に活動しています。WBCも盛り上がりましたが、プロ野球も開幕となり、試合やその結果を見ながら、一喜一憂するのが楽しい毎日を過ごしております。 はじめに みなさんご存じのChatGPT。Cha…