北原です。 今回は、Windows OSを守るセキュリティ機能の中でも重要な役割を担う、アクセス制御に関する話題を解説します。 UnixやLinuxでは「Everything is a file」と言われていますが、Windows OSではファイルやプロセスをはじめとする全てのものがオブジ…
こんにちは、デジタルペンテスト部(DP部)のst98です。 皆さんは、CTF(Capture The Flag)で出題するために問題を作られたことはおありでしょうか。そもそもCTFとは何かについては、たとえば「CTFの紹介と始め方 - うさぎ小屋」のようなブログ記事を参照くださ…
はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけ…
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 突然ですが皆さんはBloodHoundを使っていますか? BloodHoundとは、Active Directory(以下、ADとする)環境やMicrosoft Entra ID(旧称:Azure Active Directory)環境を対象と…
こんにちは! デジタルペンテスト部で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です 早速仕事の話でめんごです わたしの普段の仕事では、お客様などに対して「ペネトレーションテストとはどういうものか」を説明する…
どーも、デジタルペンテスト部のbubobuboです。 はじめに スケジュールの都合上、夏季休暇を挟んでこのエントリを書かざるを得なかったため、(筆者にとっては)手頃なネタを書き記そうと思います。 ゲーム会社におけるセキュリティ上の敵といえば「昔コピー…
しゅーとです。先日、日本で初となる実運航船を用いたサイバー攻撃への船舶防御演習を実施しました。実際に動いている船に対して本気でスプーフィング攻撃を仕掛け、船員がどのように対応するかを考える非常にアツいイベントです。 演習の概要は広島商船高専…
こんにちは!デジタルペンテスト部のbooooomです!今回は私の好奇心だけを満たす内容でごった煮ブログを書かせていただきます! 最近はOWASPが公開したMobile Application Security Testing Guide(以下、MASTG)に基づいてスマートフォンアプリの調査を勉強…
※こちらの記事は2021年1月25日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですこんにちは、デジタルペンテストサービス部ホワイトハッカーの井上(WHI)です。昨年の10月よりDP部にジョインしまして、主に情報ネットワークのペネトレーショ…
寒暖の差が激しい今日この頃、皆様いかがお過ごしでしょうか?DP部日野です。 HDDやSSDなどの記憶媒体やサーバー・ネットワーク機器などと同様、その処分に際してはデータの消去という視点がとても重要です。 このごった煮ブログでは以前にも、サーバー・ネ…
※こちらの記事は2021年3月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です デジタルペンテスト部のν(ニュー)です。(某ごった煮ブログで見かけることができる人と同一人物です) さて、今回はDP部こと、デジタルペンテスト部で自分が…
こんにちは、デジタルペンテスト部のst98です。 私がこのブログでこれまで投稿してきた記事は、いずれもCTFに参加する側の視点から書いたwriteupでした。本記事では、CTFの問題を作る側の視点に立ってお話をしたいと思います。 弊社では、毎年「LACCON」とい…
はじめまして、南と申します。私はAIに関する開発、および啓発を中心に活動しています。WBCも盛り上がりましたが、プロ野球も開幕となり、試合やその結果を見ながら、一喜一憂するのが楽しい毎日を過ごしております。 はじめに みなさんご存じのChatGPT。Cha…
はじめに はじめまして、DP部新人のもたもたです。 今でこそフレームワークの充実やOS側の防御が充実し、あまり見ることがなくなった感のあるバッファオーバーフロー脆弱性ですが、たまに見つかってしまうとRCEの可能性のある危険なものであることに変わりは…
デジタルペンテスト部でIoTデバイスペネトレーションテストを担当している飯田です。 今回はお家で簡単にできるEMFI攻撃の実験方法をご紹介します。 EMFI 攻撃とは 聞きなれない方もいるかと思いますので簡単に説明しますと、 EMFI (Electromagnetic Fault I…
※こちらの記事は2021年1月18日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですこんにちは、デジタルペンテストサービス部の山梨ブルースです。 今回は軽めのお話を紹介します。2020年より、IoT機器に関連して大騒動になったRipple20、その…
※こちらの記事は2021年1月15日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です はじめに 「本物女性とデートできると期待したのに、ICカードのAndroidだ」 SANS トレーニング Forensics 578 Cyber Threat Intelligence(以下、CTI) に繰り返…
※こちらの記事は2021年1月12日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です はじめに こんにちは、デジタルペンテストサービス部のlac01です。主に、スマートフォンアプリケーション診断を担当しています。今回は、スマートフォンアプリ…
※こちらの記事は2020年11月24日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です 初めましての人は初めまして!そうでない人はこんにちは!どうも、お久しぶりです。セキュ松です。 古の同人誌の後書きにありがちな挨拶になってしまいました…
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 たまに新卒採用活動のお手伝いをさせていただくことがあり、セキュリティ業界を目指す学生さんや、配属先が決まる前の内定者の方とお話する機会があります。そういった際に将来ど…
この記事を書いている日が成人の日だからか、若い人を見るとキラキラしているなと思う反面、自分の時はこうだったと話をする人は既に老害の始まりだそうです。 ご無沙汰しています。もんじろうです。 成人の日だからだと思いますが、若者のように真っ直ぐな…
※こちらの記事は2020年11月5日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちはサイバー・グリッド・ジャパン 次世代セキュリティ技術研究所のひよっこデータサイエンティスト、ささかまです。CDLEハッカソン2020 予測性能部門で…
デジタルペンテスト部(以下「DP部」)で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です。 よりにもよって、「師も走るほど忙しい師走」とも言われる12月にごった煮ブログの当番が回ってきてしまいました・・・。仕方…
どうも(人によってはお久しぶりです)、ν(ニュー)です。 個人的に最近スマートフォンの内部の話にハマっていて、いろいろ調べています。今回は、その中からQualcomm製SoCに搭載されている「EDLモード」についての話をします。 注意 説明を簡単にするため…
こんにちは、デジタルペンテスト部のst98です。 2022年11月7日(月)から2022年11月8日(火)にわたって、韓国のソウルで開催されたCODEGATE CTF 2022の決勝大会に、チームzer0ptsのメンバーとして参加してきました。zer0ptsは参加した10チーム中6位という結果で…
デジタルペンテスト部の宮崎です。 突然ですが、ECUという言葉を聞いたことがあるでしょうか?かつてはEngine Control Unitの略称として、その名の通り、エンジンを制御するための電子制御ユニットを指していましたが、今となってはエンジン以外の制御にも使…
あいさつ DP部 マきむら です。みなさん、マッチングアプリ使ってますか? 今回はマッチングアプリを使用する上でのリスクとその防御について考えてみました。 導入 世間には数多くのマッチングアプリが存在しています。その中のいくつかのマッチングアプ…
こんにちは、DP部の井上(WHI)です。最近は、クラウドサービスのペネトレをちょくちょく勉強しています。 夏ごろには、当社の別メディアであるLAC WATCHでAWS上にあるK8sに対するペネトレ事例などを紹介させていただきました。 www.lac.co.jp 今回は、AWS環…
こんにちは。デジタルペンテストサービス部のGoDaiです。 最近、ダークウェブマーケットを調査する必要があり検証環境からアクセスしてみました。以前ダークウェブの調査・分析を担当するサービスを担当していた時にアクセスした時に比べ様変わりしており驚…
デジタルペンテスト部の木田です。今回は開発者よりのお話です。 はじめに プログラム開発を行うときにメモリの境界を越えてR/Wしてしまう事は時折存在します。例えば、入力されるデータの検証が不十分な状態で予期せぬ長さの文字列が入力され、用意されたメ…
