はてなブックマーク

BatBadBut: You can't securely execute commands on Windows Posted on April 9, 2024 • 10 minutes • 2120 words Table of contents Introduction TL;DR CVSS Score Technical Details Root Cause Wrapping CreateProcess Parsing rule of cmd.exe Mitigation Escaping double quotes? As a Developer As a User As a Maintainer of the runtime Conclusion Appendix Appendix A: Flowchart to determine if your applications a

トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」（ZDI）が主催しているバグバウンティコンテスト「Pwn2Own」。対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストで、2007年から毎年開催されています。 今回は、日本からPwn2Ownに出場し実績を残したMasato KinugawaさんとFlatt Security 執行役員 プロフェッショナルサービス事業CTOの志賀遼太の2人に、Pwn2Ownの魅力やコンテストの舞台裏について語り合っていただきました。 プロフィール Masato Kinugawaさん XSSが好き。Pwn2Own winner (Vancouver 2022)。 2016年よりCure53で脆弱性診断。 X: @kinugawamasat

2023年11月25日(土)に開催されたWebアプリケーションのチューニングコンテスト「ISUCON13」。 プロダクトセキュリティスタートアップのFlatt Securityは、ISUCON13にメディアスポンサーとして初協賛。ISUCON13の作問にフォーカスした前回記事に引き続き、#FlattSecurityMagazineにて、ISUCON13の裏側やISUCONの魅力に関する記事を発信していきます。 史上最多の1662人が参加したISUCON13で運営に携わった、LINEヤフー株式会社の櫛井優介さん、さくらインターネット株式会社の江草陽太さん、長野雅広さん、芦野光さんの4人に、ISUCONの運営・作問・環境構築の舞台裏や今後チャレンジしたいことなどについてお話を伺いました。 【ISUCON運営の歴史について】 flatt.tech プロフィール 櫛井優介さん LINEヤフー株式会

Flatt Security 代表取締役CEOの井手です。 今回、Flatt SecurityはGMOインターネットグループから10億円の増資を受けるとともに、既存株主からグループへの株式譲渡が行われることにより、GMOインターネットグループに参画するという決断をしました。これは、Flatt Securityが最速で「外貨を稼げる1兆円企業」となるために、事業成長のスピードをこれまで以上に上げるための意思決定です。 まずはこの意思決定をするにあたって少なくとも影響を受けるステークホルダーの方々にお礼させてください。企業として全く知名度も信用もなかった頃からFlatt Securityを信じてご愛顧いただいているお客様、一人一人が各分野のプロフェッショナルとして会社の成長を成し遂げてくれたFlattmate(flatmateという同居人というワードをもじった、社内メンバーを指すワード)の皆、

2024年、プロダクトセキュリティのトレンドはどうなるのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします！ ▼前編（2023年のプロダクトセキュリティに関する取り組みの振り返り） flatt.tech 今回コメントをいただいた方々 CADDi CTO　小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO　田島悟史さん Google　小勝純さん グラファー　森田浩平さん IssueHunt 取締役 CTO　Junyoung Choiさん カンム　金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product Security team, Manager Yannarak Wannasaiさん

はじめに 調達トレンドのマクロ状況変化 2023年の海外セキュリティSaaSの注目トレンド トレンド1: Application Security Posture Managementとしての製品戦略の加速 Application Security Posture Managementとは Application Security Posture Managementの2つの成長背景 既存のスタートアップの巨額買収やピボットによるASPMの加速 トレンド2: セキュリティSaaS × 生成AI のトレンド ビッグテックによる、生成AIを活用したセキュリティ機能の登場 生成AIを活用したセキュリティSaaSスタートアップの登場 2024年以降のトレンド予想 予想1: クラウドセキュリティ領域とアプリケーションセキュリティ領域のベンダー統合の加速 予想2: 生成AIをコア機能に組み込んだセキュ

プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします！ ＜13人の方々による「2024年セキュリティトレンド予想」＞ flatt.tech 今回コメントをいただいた方々 CADDi CTO　小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO　田島悟史さん Google　小勝純さん グラファー　森田浩平さん IssueHunt 取締役 CTO　Junyoung Choiさん カンム　金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product

Webアプリケーションのチューニングコンテスト「ISUCON13」が、いよいよ2023年11月25日(土)に開催されます。 サイバーセキュリティスタートアップのFlatt Securityは、今回ISUCON13にメディアスポンサーとして初協賛。プロダクト開発コミュニティにおける国内最大級のイベントであるISUCON13を盛り上げるべく、#FlattSecurityMagazineにて、ISUCON13の見どころやISUCONの魅力を発信していきます。 予選はなく、本選のみの一本勝負となるISUCON13。問題構成や内容に変化はあるのか、注目が集まっています。問題作成に携わる、さくらインターネット株式会社の長野雅広さん、穎川和弘さん、菅原大和さんの3人に、ISUCONに関わり始めたきっかけや作問の裏側、ISUCON13の”傾向と対策”についてお話を伺いました。 プロフィール 長野雅広さん

組織としてプロダクトセキュリティに向き合っている企業のノウハウや現場の課題などをお伝えする特集「プロダクトセキュリティ組織の作り方」。 第3回の今回は、日経電子版をはじめとする様々なデジタルサービスの内製開発を進めている株式会社日本経済新聞社の取り組みについて、同社CDIO室セキュリティエンジニアの藤田尚宏さんにお話を伺いました。 各領域のメンバーが結集したチームでプロダクトセキュリティを牽引 得意分野が異なるメンバーが集まることで広い領域をカバー 「メディア企業ならではのやりがい」を実感 チームが目指すDevSecOpsのビジョンに向けて施策を展開 セキュリティ人材に必要なスキルセットや推奨資格などを明確に定義 プロダクトセキュリティチーム経験者が開発現場で活躍する未来を目指す プロダクトセキュリティの民主化をテーマに3社が語る！「NIKKEI Tech Talk」10/19(木)19:

こんばんは。株式会社Flatt Security 執行役員 CCOの豊田恵二郎(@toyojuni)です。 先程、ドラマ『トリリオンゲーム』の第5話が放送されましたね。弊社Flatt Securityは第1話に引き続き「IT・セキュリティ技術監修」としてハッキングシーンの監修に携わっています。 第1話放送後に公開した前回の記事では、技術的な用語の解説や具体的な設定を紹介しました。 本記事では、『トリリオンゲーム』原作とドラマの監修の流れを紹介しながら、第5話で放送されたドラゴンバンクへのハッキングシーンの設定を解説します。 普段は見ることができないドラマ制作の舞台裏から、同作品の魅力であるリアルな設定・作り込みがどのように出来ているか解き明かしてみましょう。 免責事項 本記事の内容はセキュリティに関する知見を広く共有する目的で執筆されており、脆弱性の悪用などの攻撃行為を推奨するものではあり

はじめに こんにちは！事業開発やDevRelを担当している、小島です。 先週開催された「はてなブログDevBlog Meetup #1」に参加し、Flatt Securityからは執行役員の豊田がLTを行いました。今回は発表したLTの簡単な解説を中心に、イベントレポートをまとめていきたいと思います。 イベントの詳細や公式の情報はこちらです！ hatena.connpass.com はじめに LT解説：スタートアップ・Flatt Securityが技術ブログとオウンドメディアの両方にフルコミットする理由 全体のイベントレポートとセッションの感想 はてなさんのセッション はてなブログ利用企業の座談会 各社のLT 日本経済新聞社さん Flatt Security ヘンリーさん 懇親会 おわりに [告知] エンジニア育成・オンボーディングをテーマにしたイベントを開催します！ LT解説：スタートアッ

2023年7月に放送が始まったTBS系金曜ドラマ『トリリオンゲーム』。ドラマの原作となっている作品は、原作・稲垣理一郎先生と作画・池上遼一先生のタッグによる人気漫画『トリリオンゲーム』です。2020年12月に「ビッグコミックスペリオール」で連載がスタートしてから、その破天荒なストーリーとコミカルな作風が話題を呼び、2022年には「マンガ大賞2022」にノミネートされるなど、人気作品となっています。 作中にはCTF（ハッキングコンテスト）やプロダクト開発に関するシーンも多数登場。原作漫画の技術監修、ドラマのIT・セキュリティ技術監修を、サイバーセキュリティスタートアップのFlatt Securityが務めており、フィクションながらもリアリティのある表現がなされています。 prtimes.jp 今回は、作品の原作を務める稲垣理一郎先生と、技術監修者であるFlatt Security 執行役員

こんにちは！株式会社Flatt Security 執行役員 CCOの豊田恵二郎（ @toyojuni ）です。 弊社は漫画『トリリオンゲーム』(原作：稲垣理一郎、作画：池上遼一)の連載開始時より技術監修を担当しており、先ほど第1話が放送されたTBS系金曜ドラマ『トリリオンゲーム』においてもIT・セキュリティ技術監修として携わっています！ 同作には様々な魅力がありますが、ドラマでは佐野勇斗さんが演じるガクがサイバーセキュリティの技術力を披露するシーン抜きには語れないでしょう。 そのようなシーンに関して、ドラマを視聴した皆様は「セクチャンのようなコンテストは本当にあるのだろうか」「どのような技術的設定になっているのだろう」と気になった方も多いはず。今回は、原作監修時のエピソードも交えながら、ドラマ『トリリオンゲーム』1話の元となった原作各シーンの技術的要素について解説していきます！ ▼『トリリ

組織としてプロダクトセキュリティに向き合っている企業のノウハウや現場の課題などをお伝えする特集「プロダクトセキュリティ組織の作り方」。 第2回となる今回は、クラウド型建設プロジェクト管理サービス「ANDPAD」を開発・展開している株式会社アンドパッドの取り組みについて、同社執行役員・開発本部長 VPoE兼CSOの下司宜治さん、コーポレート本部 経営管理部 部長の青木勝則さんのお二人にお話を伺いました。 プロダクトに関わる様々なチームを同一部門内に集結 メンバーは全員「開発エンジニアからセキュリティエンジニアに」 プロダクトの多様化を受け組織化に着手 チームが目指す「4つの未来」 アンドパッドからのお知らせ プロダクトに関わる様々なチームを同一部門内に集結 ーー皆様の現在のお仕事について教えてください。 下司：執行役員・開発本部長 VPoE（VP of Engineering）兼CSO（Ch

はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。自分はもともとWebやUIのデザインを本職としていましたが、大学の同期と共同創業したセキュリティ企業であるFlatt Securityにて経営やDevRelを担っています。 デザインとセキュリティは普段話題が交わることが少ない領域ですが、UI/UXのデザインであればソフトウェア開発と不可分であることは間違いなく、すなわちデザインもセキュリティに無自覚ではいられないでしょう。 そのような観点で、本記事では「パスキー(Passkey)」を取り上げてみようと思います。 本記事は「パスキー」「FIDO」「WebAuthn」といったキーワードに関して以下のような認識を持っている方向けの記事です。 名前も知らない / 聞いたことがない 聞いたことはあるが、ほとんど理解していない はじめに パスキーをなぜ今知るべきか

株式会社サイバーエージェント、サイボウズ株式会社、ピクシブ株式会社の3社の新卒エンジニア採用・育成担当者の皆様に、新卒エンジニア採用・研修の取り組みや裏話を教えていただきました。今回は各社の新卒エンジニア研修にフォーカスしてお届けします！ ＜前編：各社の新卒エンジニア採用の取り組み＞ flatt.tech プロフィール 各社の新卒エンジニア研修の特徴は？ 新卒エンジニア研修で大切にしているコンセプト 新卒エンジニアに「社会人としての働き方」を身につけてもらうには 新卒エンジニア研修のコンテンツ制作スケジュール 研修担当も新入社員も苦労した2020年の新卒研修 研修実施後の効果測定、各社はどうやっている？ 今後チャレンジしたいこと お知らせ プロフィール 株式会社サイバーエージェント 技術人事本部長　峰岸啓人さん（@mine_roto） 2012年、エンジニアとして株式会社サイバーエージェン

システムやサービス開発の内製化が進む中、組織的にプロダクトセキュリティに取り組む企業が増えつつあります。#FlattSecurityMagazineでは、組織としてプロダクトセキュリティに向き合っている企業のノウハウや現場の課題などをお伝えする特集「プロダクトセキュリティ組織の作り方」をスタート。様々なフェーズ・規模の企業の取り組みをお届けしていきます。 初回となる今回は、CXプラットフォーム「KARTE」をはじめとした様々なプロダクトを開発・展開している株式会社プレイドの取り組みについて、同社セキュリティエンジニアの赤坂翔太さんにお話を伺いました。 3つの組織が融合しながらプロダクトセキュリティに取り組む プロダクトセキュリティを支えるバーチャル組織「セキュリティ組」 「1人目のセキュリティエンジニア」としてバーチャル組織を牽引 マインド面・エンジニアリング面での今後の目標は プレイドか

Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします！ セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼ flatt.tech Q.セキュリティエンジニアになろうと思ったタイミングはいつですか？ 回答者：shopper 回答者：Yuki_Osaki Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか？ 回答者：pizzacat83 Q.情シスからセキュリティエンジニアになるには？ 回答者：akiym 回答者：moosan63 Q.Flatt Secu

#FlattSecurityMagazineでは「セキュリティエンジニアだけど何か質問ある？」と題して、「セキュリティエンジニアに答えてほしい質問」をTwitterで募集。ゆるい質問からちょっと答えづらい質問まで、多くの質問をいただきました。 今回は、セキュリティエンジニアという職業や仕事内容にまつわる質問にFlatt Securityのセキュリティエンジニアたちがお答えします！ ▼「情シスからセキュリティエンジニアになるには？」などの質問に答えた後編はこちら flatt.tech Q.セキュリティエンジニアとは？ 回答者：fujir 回答者：moosan63 Q.プログラマより儲かりますか？ 回答者：akiym 回答者：fujir Q.セキュリティエンジニアは楽しいですか？しんどくないですか？ 回答者：azara 回答者：fujir 回答者：ishikawa 回答者：Jiroken 回答

様々な企業のCTOを歴任してきた株式会社LayerX 代表取締役CTOの松本勇気さんと、2023年1月にクックパッド株式会社のCTO兼CISOに就任した星北斗さん。実は、同じ会社で働いていた過去があるといいます。 CTOという現在の立場から、組織づくりについて語っていただいた前編とは話題を変え、後編ではそんなお二人の「新人時代」にフォーカスしてお話を聞いてみました。 ▼前編 flatt.tech プロフィール 一緒の会社で働いた若手時代 経験を通して感じた「自分の領域が拡張する感覚」 これからエンジニアを目指す人たちへのメッセージ お知らせ プロフィール 株式会社LayerX 代表取締役CTO　松本勇気さん（@y_matsuwitter） 東京大学在学時にGunosy入社、CTOとして技術組織全体を統括。またLayerXの前身となるブロックチェーン研究開発チームを立ち上げる。2018年より

組織のセキュリティレベルを底上げするために、各社のCTOは何を考え、どう取り組んでいるのか。 開発者向けのセキュリティサービスを展開する株式会社Flatt Security CTOの米内貴志が、様々な企業のCTOを歴任してきた株式会社LayerX 代表取締役CTOの松本勇気さんと、2023年1月にクックパッド株式会社のCTO兼CISOに就任した星北斗さんのお二人にお話を伺いました。 ▼後編 flatt.tech プロフィール CTOに就任して感じる「キャリアの連続的な変化」 会社のミッションの中でセキュリティをどう位置付けるか 目標は「全員セキュリティ」と言える組織 ”やりすぎと思われるぐらい”早期から体制を強化 技術によるガードレールでセキュリティレベルを底上げ セキュアな組織づくりの第一歩は「雑に相談できる窓口を作る」 平時のセキュリティの肝は「基本的なことを丁寧に整理」 お知らせ プ

はじめに 2022年の海外セキュリティスタートアップの市場環境 2022年の海外セキュリティスタートアップの3つの注目トレンド トレンド1: ソフトウェアサプライチェーンを対象にした開発者向けセキュリティSaaSの増加 プラットフォーム化を狙うプレイヤーの巨額調達 Apiiro Chainguard 特定の領域に強みを持つプレイヤーの誕生 Socket Arnica 新規プレイヤーの大型シード調達とステルス解除 Ox Security Endor トレンド2: コンプライアンスチェックの自動化SaaSの競争激化 トレンド3: プライベートエクイティファンドによるセキュリティスタートアップの巨額買収 2023年のセキュリティスタートアップのトレンド予想 ソフトウェアサプライチェーン関連のセキュリティSaaSが成長期へ Policy as Codeの潮流の加速 ユースケースの変化に伴う、急成長

9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々（社名五十音順・順不同） 後編（本記事） サイボウズ 開発本部 PSIRT SmartHR セキュリティグループ　岩田季之さん メルカリ Security Engineering Team Manager 　Simon Girouxさん Ubie　水谷正慶さん LayerX　鈴木研吾さん 前編 Aqua Security Open Source Team　福田鉄平さん カンム　金澤康道さん グラファー　森田浩平さん Finatextホールディングス 取締役CTO/CISO　田島悟史さん ▼前編記事 flatt.tech 今回

Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いました。2週連続・前後編でお届けします！ 今回コメントをいただいた方々（社名五十音順・順不同） 前編（本記事） Aqua Security Open Source Team　福田鉄平さん カンム　金澤康道

const http = require('node:http'); const {URL} = require('node:url'); const portNum = 8082; const host = 'localhost'; const server = http.createServer(function(request, response) { const url = new URL(`http://${host}:${portNum}${request.url}`); const name = url.searchParams.get('name') || ""; response.writeHead(200, {'Content-Type': 'text/html; charset=utf-8'}); if(name === "") { response.end('<h1

はじめに 本記事の流れ 最初にして最大の難関「ネタ出し」 「1. ネタ出しのコミュニケーション・体制作りを構築していない」の解決 「2. 本来ネタになるはずのものを見逃している / 諦めている」の深掘り 「切り口を考える」とは？ ☔️ 切り口を考えていない例 🌞 切り口を考えられている例 切り口のまとめ 切り口を考えるために必要な要素 情報の希少性 課題の鏡面性 (構造の頑強性) 「情報の希少性」「課題の鏡面性」を意識して切り口を考える 企画は難しいからこそ、ガチガチの運用はしない どのように難しいのか？ 2つに共通する難しさ 「情報の希少性」をジャッジする難しさ 「課題の鏡面性」をジャッジする難しさ 難しさを受け入れる まとめ はじめに はじめまして。開発者のためのセキュリティサービスを提供したい、Flatt Security 執行役員の豊田恵二郎 @toyojuniです。 Flatt