ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

新しく生まれ変わったBloodHound Community Editionを使ってみた

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 突然ですが皆さんはBloodHoundを使っていますか? BloodHoundとは、Active Directory(以下、ADとする)環境やMicrosoft Entra ID(旧称:Azure Active Directory)環境を対象と…

★☆★ペンテスター星座占い★☆★

Mi*

こんにちは! デジタルペンテスト部で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です 早速仕事の話でめんごです わたしの普段の仕事では、お客様などに対して「ペネトレーションテストとはどういうものか」を説明する…

コピープロテクトの作り方(基礎編)

どーも、デジタルペンテスト部のbubobuboです。 はじめに スケジュールの都合上、夏季休暇を挟んでこのエントリを書かざるを得なかったため、(筆者にとっては)手頃なネタを書き記そうと思います。 ゲーム会社におけるセキュリティ上の敵といえば「昔コピー…

船舶のGPS・AISシステムへの攻撃手法~レッドチーム演習の先生をやってきた!~

しゅーとです。先日、日本で初となる実運航船を用いたサイバー攻撃への船舶防御演習を実施しました。実際に動いている船に対して本気でスプーフィング攻撃を仕掛け、船員がどのように対応するかを考える非常にアツいイベントです。 演習の概要は広島商船高専…

Content Providerの調査をdrozer以外で頑張ってみた!

こんにちは!デジタルペンテスト部のbooooomです!今回は私の好奇心だけを満たす内容でごった煮ブログを書かせていただきます! 最近はOWASPが公開したMobile Application Security Testing Guide(以下、MASTG)に基づいてスマートフォンアプリの調査を勉強…

【CRTP取得奮闘記】WindowsADセキュリティ資格を攻略してみた!

※こちらの記事は2021年1月25日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですこんにちは、デジタルペンテストサービス部ホワイトハッカーの井上(WHI)です。昨年の10月よりDP部にジョインしまして、主に情報ネットワークのペネトレーショ…

サーマルカメラの処分にはご用心 - 意図しない情報漏洩リスク

寒暖の差が激しい今日この頃、皆様いかがお過ごしでしょうか?DP部日野です。 HDDやSSDなどの記憶媒体やサーバー・ネットワーク機器などと同様、その処分に際してはデータの消去という視点がとても重要です。 このごった煮ブログでは以前にも、サーバー・ネ…

DP部流 機器を処分する際のあれこれ

※こちらの記事は2021年3月22日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です デジタルペンテスト部のν(ニュー)です。(某ごった煮ブログで見かけることができる人と同一人物です) さて、今回はDP部こと、デジタルペンテスト部で自分が…

ラックグループ内CTF「LACCON 2022」で作問した話

こんにちは、デジタルペンテスト部のst98です。 私がこのブログでこれまで投稿してきた記事は、いずれもCTFに参加する側の視点から書いたwriteupでした。本記事では、CTFの問題を作る側の視点に立ってお話をしたいと思います。 弊社では、毎年「LACCON」とい…

"Prompt Engineering Guide"からプロンプトエンジニアリングを学んでChatGPTを駆使しよう!

はじめまして、南と申します。私はAIに関する開発、および啓発を中心に活動しています。WBCも盛り上がりましたが、プロ野球も開幕となり、試合やその結果を見ながら、一喜一憂するのが楽しい毎日を過ごしております。 はじめに みなさんご存じのChatGPT。Cha…

Egghunterについて学んでみた

はじめに はじめまして、DP部新人のもたもたです。 今でこそフレームワークの充実やOS側の防御が充実し、あまり見ることがなくなった感のあるバッファオーバーフロー脆弱性ですが、たまに見つかってしまうとRCEの可能性のある危険なものであることに変わりは…

お家で簡単!?EMFI攻撃を試してみた

デジタルペンテスト部でIoTデバイスペネトレーションテストを担当している飯田です。 今回はお家で簡単にできるEMFI攻撃の実験方法をご紹介します。 EMFI 攻撃とは 聞きなれない方もいるかと思いますので簡単に説明しますと、 EMFI (Electromagnetic Fault I…

Ripple20を考える

※こちらの記事は2021年1月18日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですこんにちは、デジタルペンテストサービス部の山梨ブルースです。 今回は軽めのお話を紹介します。2020年より、IoT機器に関連して大騒動になったRipple20、その…

高得点合格者が教える! 脅威インテリジェンスに関するSANSトレーニング受講のコツ

※こちらの記事は2021年1月15日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です はじめに 「本物女性とデートできると期待したのに、ICカードのAndroidだ」 SANS トレーニング Forensics 578 Cyber Threat Intelligence(以下、CTI) に繰り返…

スマートフォンアプリケーションにおけるサーバ証明書検証不備の検証方法

※こちらの記事は2021年1月12日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です はじめに こんにちは、デジタルペンテストサービス部のlac01です。主に、スマートフォンアプリケーション診断を担当しています。今回は、スマートフォンアプリ…

いつの間にか情報漏えいに繋がる!?ブラウザ拡張機能の話

※こちらの記事は2020年11月24日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です 初めましての人は初めまして!そうでない人はこんにちは!どうも、お久しぶりです。セキュ松です。 古の同人誌の後書きにありがちな挨拶になってしまいました…

ペネトレーションテストの検証・勉強用環境の紹介

デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 たまに新卒採用活動のお手伝いをさせていただくことがあり、セキュリティ業界を目指す学生さんや、配属先が決まる前の内定者の方とお話する機会があります。そういった際に将来ど…

子供のネット接続を時間制御してみた

この記事を書いている日が成人の日だからか、若い人を見るとキラキラしているなと思う反面、自分の時はこうだったと話をする人は既に老害の始まりだそうです。 ご無沙汰しています。もんじろうです。 成人の日だからだと思いますが、若者のように真っ直ぐな…

CDLEハッカソンで入賞したモデルを検証してみた

※こちらの記事は2020年11月5日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です こんにちはサイバー・グリッド・ジャパン 次世代セキュリティ技術研究所のひよっこデータサイエンティスト、ささかまです。CDLEハッカソン2020 予測性能部門で…

図書館司書流☆情報検索術

Mi*

デジタルペンテスト部(以下「DP部」)で、セキュリティコンサルタントとかテクニカルコミュニケーターとかをやっているMi*です。 よりにもよって、「師も走るほど忙しい師走」とも言われる12月にごった煮ブログの当番が回ってきてしまいました・・・。仕方…

QualcommのEDLモードの話

どうも(人によってはお久しぶりです)、ν(ニュー)です。 個人的に最近スマートフォンの内部の話にハマっていて、いろいろ調べています。今回は、その中からQualcomm製SoCに搭載されている「EDLモード」についての話をします。 注意 説明を簡単にするため…

CODEGATE CTF 2022決勝大会のwriteup

こんにちは、デジタルペンテスト部のst98です。 2022年11月7日(月)から2022年11月8日(火)にわたって、韓国のソウルで開催されたCODEGATE CTF 2022の決勝大会に、チームzer0ptsのメンバーとして参加してきました。zer0ptsは参加した10チーム中6位という結果で…

ECUのコードを読んでみよう

デジタルペンテスト部の宮崎です。 突然ですが、ECUという言葉を聞いたことがあるでしょうか?かつてはEngine Control Unitの略称として、その名の通り、エンジンを制御するための電子制御ユニットを指していましたが、今となってはエンジン以外の制御にも使…

GPSによる一方的な位置特定と対策について💖マッチングアプリ編💖

あいさつ DP部 マきむら です。みなさん、マッチングアプリ使ってますか? 今回はマッチングアプリを使用する上でのリスクとその防御について考えてみました。 導入 世間には数多くのマッチングアプリが存在しています。その中のいくつかのマッチングアプ…

AWSのIAMユーザで権限昇格してみる

こんにちは、DP部の井上(WHI)です。最近は、クラウドサービスのペネトレをちょくちょく勉強しています。 夏ごろには、当社の別メディアであるLAC WATCHでAWS上にあるK8sに対するペネトレ事例などを紹介させていただきました。 www.lac.co.jp 今回は、AWS環…

久しぶりにダークウェブマーケットを訪問してみた

こんにちは。デジタルペンテストサービス部のGoDaiです。 最近、ダークウェブマーケットを調査する必要があり検証環境からアクセスしてみました。以前ダークウェブの調査・分析を担当するサービスを担当していた時にアクセスした時に比べ様変わりしており驚…

動的解析によるメモリ破壊の発見

デジタルペンテスト部の木田です。今回は開発者よりのお話です。 はじめに プログラム開発を行うときにメモリの境界を越えてR/Wしてしまう事は時折存在します。例えば、入力されるデータの検証が不十分な状態で予期せぬ長さの文字列が入力され、用意されたメ…

Android 12上のFridaでエラーが発生する事象とその解消法

どうも,デジタルペンテストサービス部の魚脳です.今回はAndroidアプリ診断中実際遭遇したAndroid 12環境下におけるFridaの不具合とその解消法を紹介したいと思います.

簡単なwifiハッキング あなたの家は大丈夫?

はじめまして、デジタルペンテスト部2年目のれーじです。 1年目はIoTペネトレ、2年目の現在はスマホアプリ診断を担当しています。先輩も後輩も化物みたいな人しかいないため、足を引っ張らないように必死です。 先日友人から「フリーwifiとかって危ないって聞くけど…

Token Stealing の仕組み

デジタルペンテスト部の北原です。 本日は、Windows OS への侵入に成功した攻撃者が管理者権限を奪取した後に悪用する、Token Stealing という手法について解説します。 要点 技術的な詳細に興味がない読者向けに、先に要点を書きます。 要点は以下の3点です…