はじめに こんにちは。久々に寝坊やらかして凹んでる、SST研究開発部の小野里です。今年入ってきた新人さんたちは、私のようにならないでほしいと祈るばかりです。 さて、新年度には入ってしまいましたが、つい先日まで2021年度新卒研修最後の延長戦として、以前話題になったLog4Shell脆弱性のPoCを作るという課題に取り組んでいました。やっと動作するところまでいったものの、ここまでの道のりは非常に果てしなく複雑で長く険しいものでした。 セキュリティ業界において、多くの場合脆弱性の詳細な再現手順は伏せられる傾向にあります。それは主に悪用を防ぐためなのですが、セキュリティの初学者には実際の所何をどうするとどう危ないのか、分かりづらい場合も多いのが現状です。 Log4Shell脆弱性は非常に大きな騒ぎになったため、各所の対応も早かったかと思います。そこで、比較的Log4Shellの影響が落ち着いてき

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日の記事では Linux のネットワークインターフェイス名を出発点として systemd や udev について調査しました。 どうやって調査したかというと、 検索キーワードをあれこれ試してみて、見つかった記事から気になるコマンドや設定ファイルがあれば、実際の内容を確認し、 そこからmanページを辿ってパッケージ情報にさかのぼり、パッケージがインストールした他のコマンドや設定ファイルの一覧から構成を把握し、 さらに関連するコマンドや設定ファイルをmanページで辿って・・・ というサイクルを繰り返しました。 時には同じmanページを数度に渡って辿り直し、読み直したりして自分の中の情報を整理しました。 読者の皆様は、そのような時どうされますか？ 初めて触るLinuxディ

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 前回の記事では Raspberry Pi 4 Model B Starter Kit (以下「ラズパイ」) をセットアップしました。 本記事では WiFi AP 化した上で、HTTP(S) アクセスを PC 上の Burp の Invisible (透過型) Proxy に転送し、スマホからのHTTP(S)通信をキャプチャできる環境を構築します。 検証環境： Burp Suite Community Edition v2021.5.1 Raspberry Pi 4 Model B, OS: Raspbian (32bit) iPad (iOS 12.5.4)*1 なぜ WiFi AP を経由して Invisible(透過型) Proxy を通すのか？ そもそも iOS

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 社内で診断ツールやプロキシを開発していることもあり、通信関連のトラブル相談を受けることがあります。 その中で「そもそも HTTP(S) Proxyを設定するとはどういうことか？」を解説する機会が何度かありましたので、これを機にエンジニアブログで紹介したいと思います。 当ブログの読者としてはWebエンジニアや情報セキュリティ関係者が多いと思います。 そうした方であれば「Proxyを設定する」経験がある方もいらっしゃるでしょう。 では「Proxyを設定する」とはどういうことか、ご存知でしょうか？ 本記事ではその疑問について、Wiresharkを用いたパケットレベルの観察を元に解説します。 パケット観察1: HTTP Proxy ON/OFF curlコマンドでHTTPリク

こんにちは！CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です（前編はこちらからどうぞ)。

昨秋、著者の米内貴志(つばめ)さんにお願いされてこの本のレビューを行ったこともあり、出版記念ということで同じくレビュアーだったにしむねあさん、キヌガワマサトさんもお招きして4人でこの本やWeb技術周辺についてワイワイと話をしましたので、2回に分けてその模様をお届けします！ レビュー楽しかったですね！

はじめに こんにちは、研究開発の宇田川です。 前回のブログでは、防御ログ（リスト）をAWSを使って自動取得する方法を公開させていただきました。 ScutumAPIリリース記念！防御ログをAWSで自動取得してみた。 第二弾は、AWSサービスを利用して詳細な防御ログの自動取得する方法を公開させていただきます。 ちなみにもっと早く公開する予定でしたが、書き始めてから構成を変更すること3回。そして、結構な長文になってしまいました… 斜め読みでもいいので目を通していただければ幸いです。 防御ログ（詳細）とは 防御ログ（詳細）について説明する前に防御ログ（リスト）で取得できる情報をおさらいします。 防御ログ（リスト）で取得できる要素を表にすると下記の通りとなります。 検知又はブロックした攻撃の集計する場合はこれで足りると思いますが、リクエストどこに攻撃が含まれているかを分析したい場合は、リクエストのメ

はじめに こんにちは、研究開発の宇田川です。 2020年11月2日にScutumのログを取得できるAPIがリリースされました！ https://www.scutum.jp/information/technical_articles/api.html ScutumのログをSIEMへの取り込みや分析で使用したいと考えていた方々には待望のリリースなのではないでしょうか。 私自身も楽しみにしていた機能追加であり、リリース前にScutumAPIを試用する機会をいただきました。 今回のブログではその時に試したAWSサービスを利用した自動取得する方法を共有させていただきます。 Scutum APIについて まず、ScutumAPIについて、簡単に説明します。 ScutumAPIの事前準備 ScutumAPIにアクセスするためには、APIキーが必要になります。 APIキーはScutumの管理画面で発行で

どうも！脆弱性診断士の西尾です！ 今回は今更ながらEmotetについて調べてみたので、全体的な攻撃の流れや、各フェーズでの動作についてまとめてみました。 正直この記事を書くか迷ったのですが、Emotetの全体像を分かりやすく解説されてる記事があまりないなぁと感じたので、勇気を出して書いてみます。 ※ 本記事は2020年8月24日に執筆したものを追記して更新しています。一部古い情報が含まれている可能性があります。 【2022/3/8 追記】 Emotetは2021年1月以降、活動を一時停止1していましたが、2021年11月頃から活動を再開し始めました。2 また、2022年2月頃から感染が急拡大していることが報告されています。3 攻撃方法に大きな変化はないようですが、攻撃メールにExcelファイルを直接添付するパターン4や、偽のPDF閲覧ソフトをダウンロードさせるサイトに誘導するパターン5も確

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 5月のGW明けごろに、社内のエンジニア向けにJava開発のスキルアップサポートを行う機会がありました。 コロナの影響で在宅となったため、Google Meets を使ってリモートでJava開発についての細々としたノウハウを若手エンジニアに伝授しました。 「細かすぎたかな・・・」と不安になりましたが幸いにも好評だったので、ざっくりとした箇条書きになりますがこちらでも公開します。 対象読者 : 中級レベルにステップアップしたい Java ビギナー（Javaの入門書を1 – 2冊、環境構築も含めて写経したくらいを想定） なお一部には坂本個人の意見も混ざっています。参考程度にとどめ、もし所属するチームで定められたルールやレギュレーションがあったり、読者自身のこだわり/意見があ

こんにちは。研究開発部のつじもとです。今回は、静的サイトにおけるセキュリティについて、書いていきます。私は脆弱性診断ではなく開発などをメインにしているので、ここで皆さんと「静的サイトとセキュリティ」について一緒に勉強していけたらと思います！ なので、この記事の対象読者の方は、なんかWebとかセキュリティのことよくわからないけど、とりあえずWebサイトの発注やら管理をやることなりました！　といった方が対象になります。 ということで早速、「静的サイト セキュリティ」とググってみました。ググった結果はというと 静的サイトは外部の攻撃にたいして堅牢です! サーバーのセキュリティ対策はほぼ必要ありません! セキュリティリスクがほぼない! すごいですね！ 静的サイトセキュリティ最強みたいな記事が結構ヒットします。 確かに静的サイト自体はデーターベースがないので、攻撃されて何かしらの情報が漏れるというよ

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日DeNA様がGitHub上で公開された PacketProxy を触ってみました。 https://github.com/DeNA/PacketProxy ここがすごい PacketProxyすごい!! 名前の通り、パケットレベルで中身を見たり、編集するのに向いてる。 javaソースで約4万8千行とそれなりの規模。 フレームワークやライブラリはあまり使わず、HTTP/WebSocketのパースなどを手作りしてる。 ソケット周りも Java8 時代のJDKライブラリベースで、Nettyみたいなフレームワークは使ってない。でも手作りでここまで作れるのはすごい。 DNS偽装 + invisible https proxy でスマホの通信を intercept できるよう

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月～8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localproxy」を開発しました。 本記事(Part2)では公開しても差し支えない範囲で技術的な内容を紹介します。 開発の経緯や簡単な機能説明については、 Part1 を参照してください。 (以下、特に断りがない場合は「ローカルHTTPプロキシ」を「HTTPプロキシ」と表記します。) Part2. 技術的な内容紹介 今回開発したHTTPプロキシは、診断サービスの事前調査における画面遷移図作成をサポートする社内ツールになります。 Part2 では技術選定や要件で考慮したポイント、HTTPプロキシの実装とWebSo

こんにちは！もう新卒エンジニアとは言えなくなった西尾です！（社会人2年目） 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは Webスキミング（Web skimming）とは、その名の通り Web版のスキミング です。具体的には、ECサイトなどの決済画面に不正なスクリプトを埋め込み、ユーザがフォームに入力したクレジットカード情報を窃取する攻撃です。 一般的には「フォームジャッキング」とも呼ばれている攻撃ですが、個人的には「Webスキミング」の方が直感的に分かりやすいかなぁと思ってます。 Webスキミング自体は数年前から発生していたようですが、昨年イギリスの大手航空会社が大きな被害を受けたことがきっかけで有名になり、最近は世界中でスキミング被害が

注: この記事の内容は2018年12月に執筆された時点の情報です。この記事で紹介していますACM Professional Membershipの特典であるO’Reilly Online Learning（旧O’Reilly Safari Books Online)へのアクセスは2022年7月1日から利用できなくなります。詳しくは ACMによるアナウンスをご覧ください。 事業開発部と研究開発部に属している宇田川です。 最初に言っておきます。今回はAWS WAFの記事ではないですよ～ 今回は私の読書について、お伝えいたします～ SSTでは過去２つの読書記事があります。 第1弾 読まずに読む！？私の読書法 第2弾 積読を消化する技術 そして、今回勝手に第3弾です。 今頃かいっ！的な方々もいらっしゃるかもしれませんが、Safari Books Onlineという技術系洋書が読み放題のサービスがあ

はじめに 事業開発部と研究開発部に属している宇田川です。 2018/11/08に開催されたSecurity-JAWSで質問がありましたAWS WAFのログ解析基盤の料金を算出してみました。 ちなみに、AWS WAFのログ解析基盤はこのような構成です。 で、構築内容は下記を見ていただければと思います。 フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。～ログ保存編～ フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。～見える化編～ なお、AWS WAFをCloudFrontにデプロイすることが多いことから、北バージニアリージョンでの算出内容となります。 他のリージョンの場合もS3とkinesis data firehoseの従量課金が多少違うだけで、その他のサービスはリージョン間で違いはありませんでした。 全体の料金は大きな差はなかったので、他のリージ

はじめに 事業開発部と研究開発部に属している宇田川です。 今回の内容は、11/08に開催のSecurity-JAWSで登壇させていただたいた内容の構築方法を紹介させていただきます。 書き進めるうちに長くなってしまったので、今回の「ログ保存編」と「見える化編」に分けさせていただきました。 最終的には、下記のような解析基盤ができます。 （左上）国別「action」の比率が表示される世界地図 （右上）時間に関係なく国別の比率が見たいので円グラフ （左下）分単位での検知したルール別に名前入りで集計されるグラフ （右下）時間に関係なくルール名別の比率が見たいので円グラフ 構成 構成は下記の通りです。 AWS WAFのほかにKinesis Data Firefose、Lambda、S3、Athena、QuickSightを使用しています。 それぞれ北バージニアリージョンで使用しています。 東京リージョ

はじめに 事業開発部と研究開発部に属している宇田川です。 今回の内容は、「フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。～ログ保存編～」の続編となりますので、ご覧になっていない方は、ログ保存編から読み進めてください。 Glueでデータカタログの作成 Athenaでログのデータベース、テーブルの作成もできるのですが、Glueが、S3やRDS上にあるデータを自動で解析して Amazon Athena のデータベースとテーブルを作成してくれるクローラーという機能があるため、それを使ってみます。 Glue クローラ設定 AWS マネージメントコンソールのサービスで「AWS Glue」を選択。 左メニューで「クローラ」を選択し、「クローラの追加」をクリックします。 クローラの名前を入力します。 ここは「aws-waf-logs-custom-crawler」とします。 「次へ

こんにちは、スプラトゥーン2のやりすぎでJoyConが壊れてあまり仕事する気になれないウデマエ A+程度の岩間です。 はじめに 11月1日, 2日にかけて CODE BLUE 2018 に参加してきました。 どのセッションも各方面のスペシャリストによる講演で非常に濃密な内容でした。 ここでは私が聴講してたいくつかのセッションについて簡単に書きたいと思います。 Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out! BLACKHATやDEFCONなどでも講演を行っているオレンジ・サイ氏の講演でした。去年もSSRFに関するレポートを発表しており、webの脆弱性診断を行う身として楽しみにしていたセッションでした。 今回はパスのパーサと正規化にある矛盾についてフォーカスを当てた内容でした。 そもそも正しい