こんにちは、近頃は情シスで社内セキュリティを頑張っている山根です。 この度、ラックの有志でGlobal Cyber Skills Benchmark CTF 2025: Operation Blackoutに参加しました。 (長くて伝わりづらいため、タイトルやこれ以降の文章では昨年同様「HTB Business…

こんにちは、or2です。 こちらの記事は消費電力から機密情報を特定する方法(SPA編)の続編です。 前編は見なくても問題ないですが、電力解析についてご興味があればぜひご覧ください。 今回は電力解析の一種、Differential Power Analysis(DPA)/Correlation P…

デジタルペンテスト部の吉原です。 普段はプラットフォーム診断で診断作業や新規診断スクリプトを開発したりしています。 そんな私ですが、今回は、ペネトレーションテスト初心者である私が生成AIを使ったりして、Hack The Box （以下 HTB）でペネトレーショ…

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 2019年にActive Directoryにおけるリソースベースの制約付き委任（Resource-Based Constrained Delegation; RBCD）を悪用する攻撃手法（以下、RBCD攻撃）が発表されて以降、弊社…

デジタルペンテスト部の中嶋です。 2024年6月8日(土)の14:00(UTC)から2024年6月9日(日)の14:00(UTC)にかけて開催されたCrypto CTF 2024の問題を解いたのでWriteupを書きました。 CTFが開催されてからWriteupを公開するまでの間に2025年度になってしまいまし…

デジタルペンテスト部のMです。プラットフォーム診断やコンサル事業を担当しています。 プラットフォーム診断をしていると、SSL/TLSのプロトコルにおいて脆弱な暗号スイートが有効になっており報告するケースがございます。またそれに合わせて、「この脆弱性…

デジタルペンテスト部の中嶋です。 2025年の3月1日(土)から3月2日(日)にかけて開催されたSECCON CTF 13の国内決勝にチームBunkyoWesterns、プレイヤー名parabola0149として参加しました。 実はSECCON CTF 13の予選では別のチームとして参加して予選を通過す…

免責事項 当記事の内容は教育・学習およびセキュリティの向上目的で執筆されており、サイバー攻撃行為を推奨するものではありません。​第三者が所有する資産に管理者の許可なく攻撃行為を行うと各種の法律に抵触する可能性があります。​当記事の内容を使用し…

はじめに DP部のもたもたです。本日は、今年度中に取った資格2つについて合格体験記を書いていきたいと思います。今年取得したのはOffensive Security社のOSDAと、SANS InstituteのGXPNの二つになります。弊社では資格支援が充実しているので、SANSもOffsec…

免責事項 当記事の内容は教育・学習およびセキュリティの向上目的で執筆されており、電波法を始めとする各種の法律に抵触しないよう十分に注意してください。 当記事の内容を使用して起こるいかなる損害や損失に対し、当社は一切責任を負いません。​ ※当記事…

はじめに HarmonyOS Nextアプリのファイル構成 静的解析 HAPファイル形式の分析 HAPの構造概要 module.json の解析 Ark Bytecodeの逆コンパイル おわりに はじめに どうも、でぃーぴーぶの魚脳です。みなさん、HarmonyOS Nextのことはご存知でしょうか。Harm…

こんにちは、or2です。 最近サイドチャネル攻撃の一種、電力解析(PowerAnalysis)という攻撃の実験をしていました。 非常に面白いもので、デバイスの消費電力から内部動作を推定したり、扱っているデータを推測することができます(条件はありますが)。 「消費…

しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロー…

こんにちは、Diogenes です。 もはや昨年の話ですが、「環境寄生型攻撃」という言葉が話題になりました。 河野デジタル相（当時）が、2024年8月27日に、オーストラリア・米国・韓国などとの情報連携の元、このタイプの攻撃に対する注意喚起を行い、重要イン…

※こちらの記事は2020年2月6日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」と同じ内容です はじめまして。ねこやなぎです。今回は身近な通信技術「Bluetooth」の話です。 Bluetoothのプロファイル Bluetoothには、使用目的に応じた多数の…

※こちらの記事は2019年11月28日公開ネットエージェント版「ラック・セキュリティごった煮ブログ」と同じ内容です※シミュレーターで。 ペンテスターの皆さん、工場をハッキングする準備は万端ですか？ 実際に工場を買収して好きに爆発させたいところですが、…

※こちらの記事は2019年12月19日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」と同じ内容です どーも bubobubo です。ブログの締め切りが近いため、日ごろからストックしているネタを小出しにしてお茶を濁したいと思います。 かつては一部…

※こちらの記事は2019年8月1日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」と同じ内容です どーも、bubobuboです。引き続き「プログラムの難読化」をテーマに、急ぎ気味で作文を行いました。難読化をテーマとしたエントリはこれで５本目…

※こちらの記事は2019年3月14日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」と同じ内容です どーも、bubobuboです。 前フリ NSA（米国家安全保障局）が、マルウェア解析を目的として開発したリバースエンジニアリングツール『GHIDRA』を…

※こちらの記事は2019年2月14日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」と同じ内容です どーも、bubobuboです。 かい○ゃから前回の続編を書けと言われたので、クライアントプログラムのセキュリティの一分野である（とされている）、…

※こちらの記事は2018年11月22日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」の記事と同じ内容です どーも、bubobuboです。 かい○ゃから何か書けと言われたので、クライアントプログラムのセキュリティの一分野である（とされている）、…

※こちらの記事は2018年7月26日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」の記事と同じ内容です どーも、bubobuboです。 竹返し、投扇興、ヨーヨー、ディアボロ、チャッターリング、ボールジャグリング、アストロジャックス、ポイ、ス…

※こちらの記事は2019年11月14日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」と同じ内容です はじめまして、boatです。会社から何か書けと言われ、IoT製品をハックした話でもしようかと思ったのですが、このご時世では中々グレーゾーンな…

※こちらの記事は2018年12月6日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」の記事と同じ内容です 皆さん、ゲームしていますか？ 自分もSteamで150本以上のゲームを持っています（積んでるゲームばかりとか言わない）が、その中でも「普…

※こちらの記事は2017年11月16日公開ネットエージェント株式会社版「セキュリティごった煮ブログ」の記事と同じ内容です ※この物語は、あるホワイトハッカーのとある一日を淡々と描いた物です。 時と場合とケースにより変わります。 あと、ニンニクは用法・容…