デジタルペンテスト部の飯田です。 ひと昔前までは悪意ある攻撃者により市販製品からファームウェアの抽出やデバッグ機能を利用した製品仕様の解析や改変が簡単にできたと聞きますが、最近では安価なチップであっても知的財産の保護等を目的にそのような行為…
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 私事ですが、半年ほど前に新しいデスクトップPCを購入しました。 脆弱性の検証やリサーチ業務だけでなく流行りのゲームもやりたかったため、そこそこ高スペックないわゆるゲーミ…
※こちらの記事は2020年9月28日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですデジタルペンテストサービス部のしゅーとです。前回は Covenant を紹介しました。今回は Covenant の C2 チャンネルを増やすために C3 を連携し、Slack を使っ…
はじめまして!デジタルペンテストサービス部のbooooomです。 私は入社2年目で、いつも話題になっているようなPoCはもちろんまだ書けていません。また、それらを理解するのにタブ100個くらいを開きながら調べ続けないとダメです。今はmetasploitableやVulnHu…
デジタルペンテストサービス部のGoDaiです。 去年の事になりますが11月のある土曜日の夕方に突然知り合いの方から画面にウイルスに感染等のメッセージが表示されているので助けて欲しいと連絡がありました。 幸い次の予定まで時間があったので折り返し連絡を…
ペネトレーションテスターのしゅーとです。 先日、匿名ハッカーによる航行データの改ざんにより、プーチン大統領の所有するヨットの位置がウクライナ領土のスネーク島に座礁したように見せかける事件が発生しました。 本記事では世界で広く用いられているAIS…
受講経緯 SANS GMOBとは オンデマンド受講&試験勉強 教材資料 テキストブック Device Architecture and Application Interaction The Stolen Device Threat and Mobile Malware Static Application Analysis Dynamic Mobile Application Analysis and Manipu…
始めまして。デジタルペンテストサービス部の北川です。 筆者の自宅ではダークネット観測装置という名のただのtcpdumpがずっと動いてるだけのRaspberry Piがあります。 パケットをどんどん記録していくのは良いのですが、どんなパケットが来ているか全然見て…
こんにちは!デジタルペンテストサービス部(以下「DP部」)で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です この記事では、こないだ受けてきた「CISSP®認定試験」のことを書こうと思います!正直いって、このブログ…
注意事項 Neo4jは、Apache Log4jを使用しているため、評価時のバージョン(Neo4j version 4.2以降)により、脆弱性(CVE-2021-44228)の影響を受ける可能性があります。評価時のバージョンをご確認の上、以下のサイトから詳細情報をご確認ください。 Apache …
デジタルペンテストサービス部の魚脳です。 今回はiOS内部ストレージの中、たまにどっかに隠れているbplistファイルの構造やそれを引っ張り出す方法のまとめとなります。 bplistとは まずplistとは プロパティリストの略であり、macOS Cocoa・NeXTSTEP・GNUs…
※こちらの記事は2020年9月14日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちは、かすたーど先生と申します。私が所属しているデジタルペンテストサービス部は、IoT、オンラインサービス/ゲーム、情報システム、スマホアプリ等…
DP部 マきむら です。 私は裏垢特定というものをやったことがありませんが、 今回は裏垢特定について考察し、防御方法を提案します。 ※注意※ 弊社では以下の本記事のような卑劣で最低な下衆極まりない 裏垢特定 行為は一切行っておりません。 採用活動におけ…
※こちらの記事は2020年12月21日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちは デジタルペンテストサービス部のみゅーろっくまるです。 前回の記事で接触感染通知アプリ「COCOA」について、技術的な仕組みを説明しましたが、そ…
※こちらの記事は2020年9月7日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちはデジタルペンテストサービス部のみゅーろっくまるです。今回は話題の接触感染通知アプリ「COCOA」について、技術的かつセキュリティ⾯での解説をした…
こんにちは、デジタルペンテストサービス部、井上(WHI)です。 主に、オンプレのWindows Active Directory環境のペネトレーションテストを担当しています。 いきなりですが、弊社の無料サービス「FalconNest」はご存知でしょうか? 「FalconNest」とは? ”…
デジタルペンテストサービス部でスマートフォンアプリケーション診断を担当しているlac01です。本稿では、AndroidのCTFであるhpAndro Vulnerable Application (Kotlin) CTF(以降、hpAndro CTF)をご紹介します。 hpAndro CTFとは、Hiral Patel氏とRAVIKUMAR R…
デジタルペンテストサービス部の木田です。 ハンドル名のウケが悪かったので実名にて失礼します。 はじめに 昨年の10月(2020年10月)にITU-TにてIoT機器のエラーログフォーマットについて標準化が行われX.1367として勧告されました。この勧告においてIoT機器…
オンライン会議でよく「画面映ってますか?」と聞かれることがありますが、だいたい問題なく映っています。でも確認せずに自信満々で進める人に限って映っていません。心の声を認識するだけではなく反抗する時代になったのでしょうか。 お久しぶりです、もん…
お久しぶりです。「早くAIに仕事を奪われて楽になりたい!」と祈っているセキュ松です。 今年の2月にOSVが発表されましたね!Google様の力で、主要なOSSを対象として継続的にファジングを実施し、発見された脆弱性のDBを作っていく夢のようなプロジェクトで…
答えは「NO」です。いきなり失礼いたしました。はじめまして、グループリーダーFです。株式会社ラックのデジタルペンテストサービス部でIoTデバイスペネトレーションテストサービスを担当しております。これはよく聞かれる質問の一つなのですが、なぜ「NO」…
デジタルペンテストサービス部の北原です。 今回は、Windowsでの開発や低レイヤのセキュリティの研究には欠かせないWinDbgの、GUI(Workspace)の構築方法とプラグインの導入方法について解説します。 本記事ではWorkspaceの作成方法とプラグインの導入方法…
デジタルペンテストサービス部のkjです。デジタルペンテストサービス部は名前のとおりペンテストを提供する部署なのですが、その成果は「報告書」としてお客様にご報告します。この報告書、どう作成するかというと大体Wordを使用して作成するのですが、私は(…
※こちらの記事は2020年8月30日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですデジタルペンテストサービス部のしゅーとです。今回は、統合的な Red Teaming (Red Team演習) を実現するためのオープンソースのC2フレームワークである「Coven…
こんにちは。ねこやなぎです。 今回は有名なファジングツールである Peach Fuzzer Professionalの大部分がオープンソース化されたことについてふれたのち、組み込み機器にファジングを行うときの課題についてお話しします。 ファジングとは ファジングとは、…
※こちらの記事は2020年8月24日に公開したnote版「ラック・セキュリティごった煮ブログ」と同じ内容です どーも、bubobuboです。 位置情報ゲーム『Pokémon GO』の登場と共に有名になってしまった「GPS情報偽装アプリ」の利用は、ゲームプレイとしては不正行為…
どーも、bubobuboです。最近また日本版IR(統合型リゾート)を「どこに建てるか」という綱引きが話題になっているようだ。IRは統合型リゾートの名の通り、カジノを含む宿泊・飲食・娯楽・MICE産業を包括したものを指すが、世間的にはカジノだけが悪い意味で…
※こちらの記事は2020年8月17日にnote版「ラック・セキュリティごった煮ブログ」と同じ内容ですデジタルペンテストサービス部のしゅーとです。 普段は IoT ペネトレーションテスト、情報システムペネトレーションテスト、ゲームセキュリティ診断など攻撃者が…
こんにちは、Diogenesです。 今回は、サイバーセキュリティ屋の、米中の覇権争いに関連した情勢分析に挑戦してみたいと思います。(本稿に記載される見解・考察等は筆者個人のもので、所属組織の見解等を示すものではありません。) はじめに 米中対立が「第…
こんにちは、かすたーど先生と申します。 先日開催された「第25回 サイバー犯罪に関する白浜シンポジウム 」1日目のナイトトークに、株式会社ラックのデジタルペンテストサービス部のペンテスターが登壇し、「ペネトレーションテストのお仕事」についてお話…