気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック(以降本記事ではMalDoc in PDFとする)が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。 なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成され
FFRIセキュリティが提供するマルウェア対策製品「FFRI yarai」「FFRI yarai Home and Business Edition」にサービス拒否の脆弱性が明らかとなった。OEM製品なども影響を受ける。 脆弱性情報のポータルサイトであるJVNによれば、「FFRI yarai 3.5.0」や「同3.4.6」から「同3.4.0」および「FFRI yarai Home and Business Edition 1.4.0」にサービス拒否の脆弱性「CVE-2023-39341」が明らかとなったもの。ソリトンシステムズやNEC、ソースネクスト、Skyなどが提供するOEM製品も影響受ける。 「Windows Defender」との連携機能を有効にしている環境で、特定の条件を満たしたファイルを「Microsoft Defender」が脅威として検知した場合の処理に不備があり、監視機能が最
一般財団法人日本情報経済社会推進協会(JIPDEC)は8月10日、プライバシーマーク審査関連資料の漏えいについて発表した。 これは同協会に登録されたプライバシーマーク審査員1名が、同協会との契約に反して審査関連資料を自宅で保管し、そのうちの1事業者の審査関連資料の漏えいが判明したというもの。
米X(旧Twitter)の公式サポートアカウントは8月21日(現地時間)、週末に発生した「2014 年以前の画像を表示できないバグ」を修正したとポスト(旧ツイート)した。「問題は数日以内に完全に解決される予定」としている。 この“バグ”は、19日にユーザーのトム・コーツ氏が「Twitterは現在、2014年以前に投稿されたすべてのメディアを削除した」と指摘したもの。実際には削除されたわけではなかったようだが、サポートアカウントはこの“バグ”の原因などについては説明していない。 このバグにより、例えば2014年3月にエレン・デジェネレス氏がアカデミー賞授賞式で撮影し、リツイート(現リポスト)記録を更新したことで知られるツイートのセルフィー画像も表示されなくなっていた。本稿執筆現在は、また表示されるようになっている。
2023年5月の時点で、「Gmail」をメインのメールクライアントとして使用しているユーザーの割合は27.96%だった。世界中に無数のユーザーがいるGoogleは、Gmailのセキュリティを強化する新機能の追加を常に検討しているはずだ。 筆者もGmailを使用する数十億人のユーザーの1人であり、機密情報(契約書など)を他の人に送信しなければならないことがよくある。本当はGPG暗号化(「Thunderbird」などで提供されている)でセキュリティを保護したいのだが、Gmailでは利用できない。 幸い、Gmailには、機密情報を不正なアクセスから保護するのに役立つ「情報保護モード」という機能がある。情報保護モードでは、メッセージの有効期限とパスワードを設定したり、いつでもアクセス権を取り消したりすることが可能だ。また、情報保護モードを使って送信されたメッセージの受信者は、そのメッセージを転送や
ドラッグストアのマーケティングといえば、会員カードから顧客の年齢や性別など属性情報を収集し、購買情報とひも付けるID-POSが一般的である。しかし、この方法だけでは限界があると山本氏は言う。 「例えば会員カードを本人ではなく、その家族が使った場合はどうなるでしょうか。当然ながら、正しい購買データは取得できません。また、購入しようと考えたものの、結局購入に至らなかった場合の情報ももちろん取得できません。小売りがもっと精緻なマーケティングをしたいと思っても、どうしてもデータに限界があったのです」(山本氏) 全てがオンラインで完結するECの場合、顧客が商品を認知し、購入するまでの一連の行動はデータで収集できるだろう。しかし、顧客の行動を常にトラッキングできるわけではないリアル店舗においては「なぜこの商品は売れたのか? なぜ売れなかったのか?」まで深掘りすることが難しかったのだ。 関連記事 時価総
Introduction 米アマゾン・ドット・コムがネット広告事業に本腰を入れている。プライバシー規制の強化でこれまでのようなターゲッティング広告が難しくなるなか、自社の小売りサイトで効率よく商品を宣伝する「リテール・メディア・ネットワーク(RMN)」という手法で広告売上高を伸ばしている。他の小売業も追随しRMNの市場規模は2024年には60兆円に達する見込み。ビッグデータやマーケティング分析に詳しい米エール大学経営大学院の上武康亮准教授が解説する。
みなさんお元気ですか?僕は少しだけ元気ではありません。じんわりとした夏の暑さを感じながらブログを書いています。 実は、数ヶ月前にスマートニュースという会社を退職しました。 しばらく無職 しばらくは就職せずに無職でいようかなと思っています。 すぐに再就職した方がいいんだろうな〜。とは思うのですが少し疲れたかも。 いい時代になったものだ 最近は AI の進化も素晴らしく、昔ソフトウェアで出来なかったことがどんどんできるようになってるなって感じます。 Rust とか、ちょうど欲しかった感じのプログラミング言語もあるし、 ChatGPT は完璧ではないけど何か新しいことを始めるときに素晴らしい洞察を与えてくれる。 時代は確実に良くなってる。そんな時代に「自分は働いていないくていいのか」と少し不安になるけれど、自由気ままにコードを書く、そんな時間が今あってのもいいのかなって思ってます。 オフトピック
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く