ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

2024-01-01から1年間の記事一覧

あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた!

デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 …

まだパスワードを暗記しているの?便利なパスワードマネージャー「Bitwarden」の話

こんにちは、デジタルペンテスト部のねいちゃーどです。 普段は チート対策ペネトレーションテスト の診断員として、主にゲームに関わるサービスの脆弱性診断を担当しています。 さて、6月末は 高難易度で知られるアクション RPG の DLC が配信開始 されたり…

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~

デジタルペンテスト部の山崎です。4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていな…

CISSP受験記 ChatGPTと共に

or2

こんにちは、DP部のor2です。 ギャルにあこがれて(嘘)CISSPを受験しました。1回落ちましたが2回目で無事合格できました。 勉強方法は独学?です。(「CISSP CBKトレーニング」未受講) 勉強方法をまとめていきます。(「CISSPってなんだ」とかの話はギャルの方…

生成AIがウソをつく時 ~生成AIの「キャラ」を理解しよう~

こんにちは、ディオゲネスです。私は、仕事が暇な時には、息抜きに生成AIと対話する趣味があります。これには次のような3つのメリットがあります。 (1)生成AI の性能や特性がなんとなく分かってくる(2)前から気になってた疑問が解消されることもある…

HTB Business CTF 2024のwriteup・upsolve(Cloud編)

コーポレートIT推進部の山根です。もともと脆弱性診断をしていたのですが、ディフェンシブなこともやってみたくなり、今年からいわゆる情シスでセキュリティ関連業務を担当しています。CTFは大好物で、「LACCON」と呼ばれる社内CTFの運営をやっています。 こ…

HTB Business CTF 2024の参加レポート・writeup(Web&Misc編)

こんにちは、デジタルペンテスト部(DP部)のst98です。 2024年5月18日(土)から2024年5月22日(水)にかけて、HTB Business CTF 2024という世界中の企業が競い合うオンラインのCTF(Capture The Flag)が開催されました。ラック社内のCTFプレイヤーに声をかけ、14…

アカウントロックにご用心!Windowsにおける認証の罠

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 ペネトレーションテストを実施する中で、ほぼ必ずと言ってよいほど検出される問題に「パスワードの強度に関する指摘事項」があります。 これは一言で言えば弱いパスワードが使用…

AVRマイコンでROPを試した話

初めまして、DP部の今井です。 バイナリエクスプロイトのROP(Return-oriented programming)をAVRマイコンに対して試してみた話です。 注意:本記事の内容によってトラブルなどが発生した場合でも、当社は一切の責任を負いかねます。また、本情報の悪用はしな…

AWS Cloud Questでエンジニア未経験者がAWSを勉強してみた

こんにちは、かすたーど先生です。 私はペネトレーションテストを提供する部門でプロモーション活動や部門運営を担当しています。仕事内容はエンジニアではないのですが、セキュリティサービスをプロモーションをするうえでIT技術やソリューションに関するこ…

class-dumpの実行エラーから始まるchained fixups入門

どうも、でぃーぴーぶの魚脳です。今回はiOSアプリの解析時に使用するツールclass-dumpを利用した時遭遇したエラー、その原因及び解決策をソースコードを合わせて解説できたらと思います。

グループ内CTFで出題した、WebAssemblyを使ったゲームでチートをする問題の話

こんにちは、デジタルペンテスト部(DP部)のst98です。 以前の記事で、ラックグループ内CTFの「LACCON 2022」で出題した「Hadena Star」というWebセキュリティを題材にした問題について紹介しました。ほかにも十数問を出題したと記事中で言及していましたが、…

ゼラチンで指紋認証

or2

初めまして。DP部のor2です。 世に普及している指紋認証がどれくらいの識別能力を持っているのか気になったのでゼラチンを使って簡単な実験をしてみました。 対象としたのはTouchID第2世代のみです。 検証対象は一つだけと寂しいですが先に結論を述べると認…

IoTセキュリティどこまでやる?

※こちらの記事は2021年2月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です はじめまして、こんにちは。デバイスペネトレーションサービス部の√(ルート)です。ブログネタを探して、さまよい、迷走し、けっきょく見つからず。そんなこ…

getsystemの中身

※こちらの記事は2021年1月12日公開note版「ラック・セキュリティごった煮ブログ」に一部加筆した内容ですデジタルペンテスト部の北原です。ここ数年で日本国内でも情報セキュリティに対する関心が高まり、日本語のセキュリティ技術書が増え、サイバー攻撃手…

危ない橋、渡るべからず~NOTICEの観測結果から考えるIoT機器の買い換えについて

はじめに このブログを書いている時に阪神淡路大震災から29年経過しました。そして今年になって能登半島地震で大きな被害が出ました。犠牲となられた方々に、謹んでお悔やみを申し上げますとともに、被災されました皆様に心からお見舞い申し上げます。被災地…

Active Directoryに対するRBCD攻撃の対策の話

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 Active Directoryに対する攻撃手法に、Resource-based Constrained Delegation(以下、RBCD)攻撃というものがあります。 この攻撃手法は原理が分かりづらく、私自身対策方法につ…