同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
未知の脅威に対抗するメルカリのCI再設計 | メルカリエンジニアリング
この記事は、Mercari Advent Calendar 2022 の3日目および Developer Productivity Engineering Campブログシリーズの一環で、メルカリCI/CDチームのMichael Findlater (@michaelfindlater)が執筆したものです。 ※本記事は2022年2月3日に公開された記事の翻訳版です。 ここではメルカリにおける次世代Continuous Integration(CI)システムの実装、そしてそれに向けたいくつかの技術的な取り組みについて解説します。またこの施策の動機とも言える、サプライチェーンアタックがどのようにCI/CDエンジニア達にとって今後より重要になってきたのかについて解説します。 背景 これまでも常にCI/CDパイプラインに対する攻撃は存在していたものの、ここ最近のこのエリアに対しての攻撃の急増は脅威
マイクロソフトが脅威インテリジェンスを外販してるってよ - Qiita
こんにちは、はじめまして @daimat と申します。 Microsoft Security Advent Calendar 2022 4 日目にお邪魔させてもらいます。 はじめに セキュリティに携わるみなさま、突然ですが Microsoft Defender 脅威インテリジェンス(MDTI) というプラットフォームをご存じですか? 今年の 8 月に公開されたばかりですので、まだ知らない。という方も多いと想像しますが、まずは次のページにアクセスしてみてください。 *Microsoft 365 または Microsoft アカウントが必要です。 接続するとこのような画面が表示されたと思います、これが Microsoft Defender 脅威インテリジェンスのトップ画面です。 このページの上段には脅威に関するおすすめの記事が表示されていますので、興味に応じていくつかの記事を開いてみてください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How we boosted WebAuthn adoption from 20 percent to 93 percent in two days