セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
2023年の話題&ベストセラーをまとめて紹介! Udemyで今年最大級のセール開催、生成AIなど対象講座が1,200円より - はてなニュース
世界中を席巻した生成AIは、ブームに終わることなく着実に社会のさまざまな場面で利用が進んでいます。特にChatGPTを始めとするテキスト生成はビジネスシーンですぐに適用可能なケースも多く、使いこなす人とそうでない人には大きな差が生じつつあります。 使いこなすノウハウにも一定の知見が貯まっており、定番となるセオリーが整理されています。正しく学ぶことができれば一気にキャッチアップできるでしょう。Udemyの講座でも、ChatGPTを使いこなすプロンプトの作法や、アプリケーションにLLM(大規模言語モデル)を組み込むノウハウ、AIをより深く知る数学知識などに人気があります。 この記事では、2023年11月17日(金)に始まるブラックフライデーセール(24日まで)、そして26日(日)から2日間のサイバーセールの対象になる人気講座から、エンジニアリングやビジネスシーンにおいて読者の成長を助けてくれる
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
GMOインターネットグループ CISOの牧田誠氏が、才能があるエンジニアやクリエイターが評価される世界を作るための取り組みを発表しました。全2回。前回はこちら。 入社当日から有給休暇を15日付与・10連休は年間で3回以上 2つ目ですが、休みをだいぶ増やしました。我々の会社は中途入社が多くて、中途入社はだいたい入社後半年で有給10日が日本の一般的なルールかと思いますが、中途入社だって休む必要があるよねと。子どもが病気になるかもしれないし、いろいろあるから入社当日から有給休暇を15日付与する。これは2011年の話ですが、そういう制度を作りました。 10連休は年間で3回以上ですね。年末年始はその有休を組み合わせることによってだいたい17連休とか。去年1番(連休が)多かった人は、24連休を取っていました。残業に関しては、ゼロが理想ですよね。マイナスでも良いと僕は思っています。 フルフレックスなので
さて、米国連邦政府のクラウド戦略についてのレポートその2である。その1はこちらを参照。その1を読んでいなくても支障はないが、歴史的な話をしているので先に読んでいただくと理解が捗ると思う。 前回は、どちらかというと連邦政府の取り組みがうまくいかなかった、というトーンで話をしたが、公平を期して言うならば、成功している部分もあるし、うまくいかなくても諦めず粘り強く進行している取り組みもある。こういうとき米国人というのは強くて、失敗を教訓にどんどん再トライを繰りかえし、大きなブレイクスルーに繋げてしまう。 本稿では、そのようなダイナミズムを持った取り組みとして連邦政府のクラウドセキュリティ戦略を取り上げたいと思う。今後日本政府がクラウドシフトを進めていくうえでの参考にもなれば幸いである。 連邦政府のクラウドセキュリティ政策は、大きく三つの柱から成り立っている。一つ目が「FedRAMP」と呼ばれるク
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast [Blog] Intigriti Q1 2024 の成績 インタビュー記事 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Mac
あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 月から今まで担当してきた「Web アプリケーション診断担当」から「プラットフォーム診断担当」(現 DiaForcePSR グループ)に異動させて頂き、プラットフォーム診断を楽しみながら、お仕事させていただいております、、! そんな私ですが、先日「クライアント端末設定診断」の案件を担当させていただき、お客様の診断対象端末に対してセキュリティパッチスキャンをかける機会がありました。 そこで診断作業中にふと、「自分の私用デバイスは普段から WindowsUpdate を適用するように心がけてはいるけど、大丈夫かな、、?」と思い、診断作業の練習を兼ねて無償利
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
TOPインタビューその魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味 バグハンター 森岡 優太 GMOサイバーセキュリティ byイエラエ株式会社の2024年新卒セキュリティエンジニア。 学生時代から数社で脆弱性診断等の業務を経験し、現在は所属企業でWebペネトレーションテストやソースコード診断等の業務に従事する。 外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、プライベートでもバグバウンティで脆弱性探しに取り組んでいる。 また、趣味でポッドキャスト「Bug Bounty JP Podcast」の運営とスピーカーをしている。 X (旧Twitter): @scgajge12 個人サイト: https://scgajge12.github.io/ Webサービスやスマホアプリなどを提供する企業が、外部のホワイトハ
一躍話題「鍵垢しかないSNS」。天才たちに囲まれてしまった筑波大生の個人開発奮闘記【フォーカス】 レバテックラボ(レバテックLAB)
一躍話題「鍵垢しかないSNS」。天才たちに囲まれてしまった筑波大生の個人開発奮闘記【フォーカス】 2024年8月30日 筑波大学 情報学群 情報科学類 2年 n4mlz(ネームレス) 小学生時代にビジュアルプログラミング言語「Scratch」に熱中し、情報技術者を志すようになる。古典的AIを入口として機械学習にも興味を抱き、高校進学後は本格的なテキストプログラミング言語学習に取り組む。現在は情報科学について体系的に学びつつ、フリーランスでのWeb制作業務受託や個人開発に勤しんでいる。名前は、良いハンドルネーム案が思いつかず、ひとまず無名を意味するNamelessにしたのがきっかけ。あまり気に入ってはおらず、いずれ改名したいと考えている。 X GitHub snooze(n4mlzさんが個人開発したSNS) 2024年5月、「鍵垢しかないSNS」をコンセプトとする「snooze」というサービ
各店側はどのレンズメーカーが原因なのか詳細は報告していないが、レンズメーカーのHOYA(東京都新宿区)は3月30日から、社内システムで障害が起きていると発表。4月4日に発表した調査結果によると、この障害は「第三者による当社サーバへの不正アクセスに起因する可能性が高い」と公表している。 この影響により、複数の製品で生産工場内のシステムや受注システムが停止し、4日時点では在庫出荷などの業務は手作業で対応しているという。なお、機密情報や個人情報の外部流出の可能性は現時点では調査中としており「解析には相当の日数を要する見込み」(同社)としている。 関連記事 第三者が個人情報15万人分ダウンロード 労務管理クラウド「WelcomeHR」で漏えい マイナカードや免許証の画像も ワークスタイルテック(東京都港区)が、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧
サブドメイン列挙とはどういうものなのか調べてみた - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 2日目の記事です。 こんにちは、イノベーションセンターの坪井です。 1日目の記事を担当した平木と同じくNetwork Analytics for Securityというチーム(通称NA4Sec)に所属しています。 1日目の記事はこちらです。 engineers.ntt.com NA4Secプロジェクトについては、 サイバー脅威インテリジェンス(CTI)配信はじめました を読んでいただくと我々がどんな活動を行なっているかわかると思います。 先日の11/21(火)にInternet Week 2023のC10 DNS DAYというプログラムの中で「ランダムサブドメイン攻撃において事業者として行なった対策と解析について」というタイトルで講演をさせていただきました。 講演の中で、私はDNSハニーポットを運
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
AWSセキュリティ成熟度モデルを活用することで自分たちのAWSセキュリティの現在地を確認できます。AWSセキュリティ成熟度モデルとはどんなものなのか、どうやって活用すべきかをコツも含めて解説します。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策できてますか?(挨拶 といっても具体的にどれくらいできているかって判断するのが難しいですよね。 今回はAWSから提供されているAWSセキュリティ成熟度モデル(AWS Security Maturity Model)を活用した、どれくらいできているのかを確認する方法を紹介します。こんな感じになります。 ぱっと見いい感じじゃないですか?これはちょっと作り込んでありますが、ベースはAWSセキュリティ成熟度モデルを活用しています。まずはAWSセキュリティ成熟度モデルがなんなのか、というところから説明していきます。 AWSセキュリティ成熟度モデル
ICI リスクアセスメントツール公開の背景 - ITOCHU Cyber & Intelligence Inc.
リスクアセスメントツールの公開 2024 年 7 月 31 日、ICI リスクアセスメントツールを公開しました。 このツールは、「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/ Business E-mail Compromise(BEC:読み方はビーイーシー)」の脅威に直面している組織が、自組織のリスク軽減率を可視化したり、多数の関連会社で構成される企業集団において、企業集団全体と個別のリスクを可視化したりするために有用なツールだと考えています。 図1. ICI リスクアセスメントツール 本ブログでは、このツールをどのような考えや価値観で作成したのか、背景について記載します。 サイバーセキュリティー分野のリスクアセスメントに関する資料 情報セキュリティーのマネジメントにおいて、リスクアセスメントはその推進のコアとして組織が行うべき作業に位置づけられています。そのため、過去から様々
車両サイバーセキュリティの実現に向けて
はじめに Turing Vehicleチームのチーフエンジニアの徳弘 (@res_circuit) です。 Turingは、完全自動運転システムを搭載した車を商品として販売することを目指しており、これに向けて量産を見据えた完全独自の車両の設計に取り組んでいます。お客様の元に届く商品としての車両を自社で開発する上では、膨大な数の課題を解決する必要が出てきます。 今回は、そのうちの一つであるサイバーセキュリティについての概要を説明した上で、Turingでの取り組みを少し紹介します。 車両サイバーセキュリティとは? 車両のサイバーセキュリティとは、車両に対するサイバー攻撃の防衛策が実施されており、車両を構成する部品や資産が保護されていることを意味します。現代の車両システムは多数のECU(電子制御ユニット)で構成され、車両内でネットワークを構築しています。車両の走行に関する制御指令や、ユーザーの個
テックリードによる社内キャリアイベントを開催しました - Sansan Tech Blog
こんにちは。技術本部 Digitization部 Bill One Entryグループでエンジニアをしている大森です。 普段の業務に加えてTech道場というイベントの運営に関わっており、本記事はそのイベントのレポートです。 Tech道場とは、最新の技術や生産性を高める技術、そしてエンジニアの技術力に触れることを目的とした全社員向けの社内イベントです。*1 今回のTech道場では、主にエンジニアをターゲットとした企画として、テックリードによる社内キャリアイベントを開催しました。 イベントの概要 テックリードとして笹川・藤原・黒澤の3人が登壇し、新卒3年目のエンジニア、江川が3人にさまざまな質問を投げかけるパネルディスカッションイベントを開催しました。 ゲストの経歴は次の通りです。さまざまなバックグラウンドを持つメンバーが集まりました。 笹川 裕人 技術本部 Sansan Engineerin
SOC2ってなに?テイラーは、エンタープライズ向けのソフトウェア開発基盤を提供しているため、セキュリティをとても大切にしています。 特に、米国市場においては、SOC2という認証規格が、エンタープライズにおけるソフトウェア選定・ベンダ選定の際に見られることが多く、「持ってて当たり前」の認証になりつつあります。日本でも個人情報を扱うコールセンター受託などの事業者が「Pマーク」や「ISMS」を持っているのが当たり前なのと似たような感覚と考えてOKです。 SOC2は基本的には個人情報のみならず、ソフトウェアセキュリティ全般の体制および内部統制が、基準を満たすことを、外部の監査人(CPA)がお墨付きを与える制度になっており、一般的にはISO27017(日本では「ISMSクラウドセキュリティ認証」と通称されているISO規格)よりも高難度であると解釈されています。 (厳密には、ISOが規格のフレームワー
1. 始めに こんにちは、morioka12 です。 本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。 1. 始めに 想定読者 筆者のバックグラウンド 2. セキュリティエンジニアとは 脆弱性診断・ペネトレーションテスト 3. セキュリティエンジニア志望の就活 3.1 企業候補 セキュリティイベント JNSA 情報セキュリティサービス台帳 JVN 一般社団法人日本ハッカー協会 公務員 3.2 ユーザー企業・ベンダー企業 3.3 企業ホームページ 技術ブログ 3.4 求められるスキル 4. morioka12 の就活話 4.1 気になる企業をリストアップ 4.2 カジュアル面談 4.3 新卒採用 5. セキュリティエンジニアを目指す就活生へ (まとめ) 5.1 セキュリティ業界を知ろう 5.2 セキュリティイベント
積水ハウスは5月24日、住宅オーナー向けの会員制サイト「積水ハウス Net オーナーズクラブ」で情報漏えいがあったと発表した。会員・従業員のメールアドレスやパスワードなど30万件近くが漏えいした他、これとは別に50万件超の情報が漏えいした可能性も否定できないという。 漏えいした情報は、サイト会員10万8331人のメールアドレス、ログインID、パスワード。過去に在籍していた人を含む積水ハウスグループの従業員や協力会社スタッフなど18万3590人のメールアドレスと、社内システムにログインする際に使うパスワードも漏えいした。これとは別に、会員46万4053人のメールアドレス、ログインID、パスワードと、従業員や協力会社のスタッフなど7万2194人のメールアドレス、パスワードも、漏えいの可能性が否定できないという。 2008年から11年にかけて運用していたが、現在は使用していないWebページのセキ
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント(1/4 ページ) ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。 個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。 こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SP
この記事は BASE Advent Calendar 2023 の10日目の記事です。 ちわ BASEから代わりまして、PAY株式会社(BASE株式会社グループ会社)のクリス @x86_64 です。数か月前、絵を買うよう執拗に勧めてくる人に言いくるめられ、額縁入りのライザのアトリエ複製原画だのデジタルアートブック特典付きのアーマード・コア6だのを入手しました。 この記事は私がセキュリティエンジニアとして日頃感じることや昔話、将来のイメージについてろくろを回しまくり、なんか宣誓を立てるものです。少しはPCI DSS v4.0の話もしますがあとは自分の話しかしません。 PAY株式会社とは BASE株式会社グループ会社で、同社をはじめとして国内のスタートアップなど多くの加盟店にクレジットカード決済サービス「PAY.JP」を提供する会社です。クレジットカード情報を加盟店のみなさまに完全に代わって安
Offensive Securityは2024年2月28日(現地時間)、ペネトレーションテストやセキュリティ監査に特化した「Linux」ディストリビューション「Kali Linux」の最新版となる「Kali Linux 2024.1」を発表した。 Kali Linuxの進化 2024.1版の目玉機能とは? Kali Linuxはペネトレーションテストやセキュリティ監査、フォレンジックス、リバースエンジニアリングなどの情報セキュリティタスクに特化したLinuxディストリビューションだ。Offensive Securityが主な開発や支援を実施している。 600以上のセキュリティテストツールがプリインストールされている他、高度なカスタマイズを特定のニーズに合わせて利用できる。継続した開発と定期的なアップデートが提供されている。 2023年12月に公開された「Kali Linux 2023.4」
東京五輪会場の制御システムに対するペネトレーションテストから得られた知見を公開します 長年、実際の様々な 制御システム の ペネトレーションテスト にて、初期侵入から被害発生までの攻撃シナリオをテストしてきた中からの紹介です。 2021年に開催された東京オリンピック・パラリンピックでは、大会に向け様々なサイバーセキュリティ対策が行われた事をご存知の方も多いかと思います。 そのような中、弊社は、内閣サイバーセキュリティセンター(NISC)が実施した大会会場の制御システムに対するペネトレーションテスト1にテスト実施事業者として参加しました。 本件はNISCのサイバー関連事業者グループのページにて、「主な施策 1.リスクマネジメントの促進 大規模国際イベントにおけるサイバーセキュリティ対策 競技会場に対するペネトレーションテスト結果の事例の情報共有 〜東京オリンピック・パラリンピック競技大会の取
▲ ここに「買ってよかった2023」を書こう 買ってよかったのは、この本です。コカ・コーラは誰もが知っているブランドだと思いますが、コカ・コーラは120年もどうして売れ続けているのかが不思議でした。そのずっと疑問だったことに回答してくれるすんごい本を紹介します。(笑) 【1.本書の紹介】 【2.本書のポイント】 【3.本書の感想】 【4.関連書籍の紹介】 【1.本書の紹介】 コカ・コーラといえばそのブランドは誰もが知っていると思いますが、意外にその中身については知らないものですね。 著者は現在、資生堂の会長を務めていますが、コカ・コーラ時代のマーケティングの実績は大変驚きます。 コカ・コーラのブランドは、コカ・コーラだけでなく、爽健美茶やQooなどがありますが、この本を読んで、このブランドはこうやってできたのか!と感心します。 この本のテーマは、マーケティングです。 著者はさまざなな成功を
ラック、ITで日本を守る職業を紹介する『サイバーセキュリティ仕事ファイル』の合本版を公開(2023年11月 6日)| 株式会社ラック
株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下 ラック)は、デジタル化された情報の改ざんや漏えいを防ぎ社会の安全を守るサイバーセキュリティに関わる仕事を紹介する『サイバーセキュリティ仕事ファイル~みんなが知らない仕事のいろいろ~(以下、サイバーセキュリティ仕事ファイル)』の合本版を、2023年11月6日に公開しました。自社の研究開発部門「サイバー・グリッド・ジャパン」のICT利用環境啓発支援室が制作発行したものです。 LAC WATCH:小学生にも分かる!サイバーセキュリティの仕事を紹介するハンドブック1・2を1冊にまとめました ラックでは、2022年2月にサイバーセキュリティ分野の仕事が世の中に認識されていないという課題に取り組むべく、小学生児童から大人までの幅広い層に向けた冊子『サイバーセキュリティ仕事ファイル 1(以下、仕事ファイル1)』を、2023年3月に『
三菱電機は12月5日、システムをあえて攻撃し、侵入可能か検証することで、サイバーセキュリティ対策の状況を確認する「ペネトレーションテスト」のシナリオを自動生成するツール「CATSploit」(キャッツプロイト)を発表した。同様のツールは世界初という。 テストの目的を入力することで、攻撃対象となるOSやアプリケーションのバージョン、セキュリティ監視機器の有無を考慮した上でシナリオを自動生成。各攻撃手段の有効性を「成功の可能性」「発見されにくさ」といった項目ごとに定量的に評価し、利用者に提案できるツールという。OSなどの情報が不足する場合も、それを考慮の上で攻撃の有効性を評価できるという。 これにより、高度な専門知識を持つセキュリティエンジニアがいない組織でも、ペネトレーションテストがしやすくなるとしている。より詳細な情報は、ロンドンで12月6日(現地時間)から開催予定のセキュリティイベント「
日本セキュリティオペレーション事業者協議会副代表が提言、ペネトレーションテストの成果を3倍おいしくいただくには
日本セキュリティオペレーション事業者協議会副代表が提言、ペネトレーションテストの成果を3倍おいしくいただくには:ITmedia Security Week 2023 秋 2023年8月に開催された「ITmedia Security Week 2023 秋」において、日本セキュリティオペレーション事業者協議会 副代表、そしてGMOサイバーセキュリティ by イエラエ サイバーセキュリティ事業本部 執行役員 兼 副本部長 阿部慎司氏が「ペネトレーションテストを技術観点、運用観点、組織観点で3倍美味しく活用するメソッド」と題して講演した。
プロフィール:GMOサイバーセキュリティ by イエラエ 阿部慎司氏 サイバーセキュリティ事業本部 執行役員兼副本部長。大手電気通信事業者にてSOC責任者やITU-Tでの国際標準化活動を経験後、GMOイエラエにてSOCイノベーション事業を立ち上げ。ISOG-JやSOCYETI、IPA専門委員など幅広く活動。CISSP。 プロフィール:SBテクノロジー 辻伸弘氏 コンピュータの専門学校に通いながら、サイバーセキュリティを手探りで学び、侵入テストの仕事に就きたくて上京。現在は、侵入テストだけでなく、事件・事故を調査するセキュリティリサーチの仕事にも携わっている。侵入テストで培った攻撃者視点や分析力と、リサーチで得た情報・知識を基に、執筆や講演などのエバンジェリストとしても幅広く活動する。 日本企業のセキュリティは「3周目」が多い? ──まずは、阿部さんが携わる業務についてお聞かせください 阿部
バグバウンティにおける XSS の具体的な脅威の事例まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティで実際にあった脆弱性報告の事例をもとに、XSS の具体的な脅威(Impact)についていくつか紹介します。 1. 始めに 免責事項 想定読者 2. XSS (Cross Site Scripting) HackerOne Top 10 Vulnerability Types Escalation (Goal) 3. XSS の脅威 (Impact) 3.1 Response Body から Session ID の奪取 3.2 Local Storage から Access Token の奪取 3.3 IndexedDB から Session Data の奪取 3.4 メールアドレスの改ざん 3.5 パスワードの改ざん 3.6 管理者アカウントの招待 3.7 POST Based Reflected XSS 4.
フィッシングキットから生成されたサイトの調査 (インターンシップ体験記) - NTT Communications Engineers' Blog
はじめに こんにちは、ドコモグループのウインターインターンシップ2023に参加した猪飼です。 普段は、大学院でマルウェアの動的解析に関する研究をしています。 「サイバー攻撃の原理を理解し、攻撃インフラ(マルウェアインフラ)を解明するセキュリティアナリスト」のポストに参加させていただきました。 この記事では、私がインターンシップで取り組んだ内容について紹介します。 NA4Secプロジェクトについて まずは、私がお世話になったNA4Secプロジェクトについて紹介します。 正式には「Network Analytics for Security」というNTTコミュニケーションズ イノベーションセンターのプロジェクトであり、通称NA4Sec(なよせ)と呼ばれています。 NA4Secプロジェクトは、「NTTはインターネットを安心・安全にする社会的責務がある」という理念に基づき、攻撃インフラの解明、撲滅
新米セキュリティエンジニア高山のBlack Hat USA 2024 参加レポート | IIJ Engineers Blog
セキュリティ本部 セキュリティ情報統括室。2023年7月にIIJに入社。マルウェアに起因する事案対応(インシデントレスポンス)に従事し、主にマルウェア解析とフォレンジック調査を担当している。 セキュリティ本部 セキュリティ情報統括室の高山です。2023年7月にIIJに入社し、以後マルウェアに起因する事案対応(インシデントレスポンス)に従事しています。 今回はBlack Hat USA 2024というイベントにトレーニング補助および聴講のため参加してきたので、現地の様子をレポートいたします。 Black Hatとは Black Hatは1997年から続く著名な情報セキュリティに関する国際カンファレンスです。米国以外でもアジア、ヨーロッパ、中東・アフリカ等で毎年開催されており、各国から情報セキュリティの専門家や研究者が集まる世界最大級のイベントとして知られています。 Black Hat USA
デジタルペンテスト部でペネトレーションテストを担当している小松奈央です。 ペネトレーションテストを実施する中で、ほぼ必ずと言ってよいほど検出される問題に「パスワードの強度に関する指摘事項」があります。 これは一言で言えば弱いパスワードが使用されているという問題であり、ペンテスター(攻撃者)の観点からすれば非常に悪用が容易、かつシナリオの達成(攻撃目的の達成)に直結することも多いことから真っ先に狙う脆弱性です。 しかし、ペネトレーションテストの中でパスワードの強度を確認する際には、気をつけなければならないことがあります。 それは、アカウントロックです。 これは、本番環境で実施することが多いペネトレーションテストにおいて、アカウントロックを発生させてしまうと、テスト対象組織の実業務に影響を及ぼしてしまう可能性があるためです。 アカウントロックは、一定の回数認証に失敗するとアカウントがロックされ
こんにちは。サイバー・グリッド・ジャパン ICT利用環境啓発支援室の高橋です。 サイバーセキュリティに関わる仕事について分かりやすく紹介する、『サイバーセキュリティ仕事ファイル 1』(以下、仕事ファイル1)を2022年2月に、『サイバーセキュリティ仕事ファイル 2』(以下、仕事ファイル2)を2023年3月に公開しました。これら2冊の内容をまとめた合本版を公開したのでご紹介します。 仕事ファイル1・2の反響 仕事ファイル1・2はそれぞれ増刷を重ねてきました。2023年10月時点で、仕事ファイル1・2合わせて18,500部以上を教育機関やイベントなどで配布しました。これは、サイバー・グリッド・ジャパンでは今までにないくらい多い部数です。 また、仕事ファイル1・2のリリースに合わせて公開したLAC WATCHもたくさんの方にご覧いただきました。実は、仕事ファイルをリリースする度に、「こんなにたく
序章1. 攻撃者の秘匿1.a Torの利用方法1.b 匿名電話番号の入手方法2. 倫理の問題2.a 無条件に行える行為2.b 倫理的に避けるべき行為2.c 法律的に行ってはならない行為3. 検索エンジンの利用と応用3.a 検索エンジン一覧3.b 特殊なクエリの発行3.c Sherlockによる複数サイトの同時検索4. Webサイトの調査4.a (前提)Webアーカイブの作成4.b ソースコードや利用している外部スクリプトの調査4.c ドメイン名のWhois照会4.d DNSレコードやIPアドレスについての調査4.e SSL/TLS証明書の調査5. Twitter(X)の調査5.a 高度な検索5.b 画像の撮影場所特定5.c FF(相互フォロー)の調査5.d 内部IDやスクリーンネーム履歴の調査5.e ツイート(ポスト)のログ作成方法5.f 鍵アカウントの調査5.g 位置情報付きツイート(ポ
ラック、セキュリティ専門家が発刊する「LAC Security Insight 第5号 2023 夏」を公開(2023年9月27日)| 株式会社ラック
本レポートは、日々発生している実際の攻撃やインシデントに根ざしています。日本の企業や団体を狙った脅威を中心にまとめているため、セキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を的確に把握できます。 サイバー119で出動したインシデント傾向 2023年4月~6月の出動傾向 当該期間においては、マルウェア関連、およびサーバ不正侵入により被害を受けた組織からの相談が78%を占める状況となっています。マルウェア関連に関する出動の中でも、ランサムウェアによる被害(16%)は引き続き高い割合となっています。 JSOCで観測したサイバー攻撃傾向 重要インシデントのトピックス 当該期間に発生した重要インシデントの合計件数は92件でした。内訳はインターネットからの攻撃によるインシデントが5件、ネットワーク内部からの通信によるインシデントが87件であり、前四半期と比較してネットワーク内部からの通信
情報セキュリティリスクが多様化・複雑化する一方で、セキュリティ人材の不足が叫ばれている。今、企業で求められるセキュリティ人材とはどのような人材なのか。セキュリティ人材はどのようにして育成すべきなのか。1月23日にマイナビPLACE歌舞伎座タワーにて開催されたセミナー「THE SECURITY 2024 January 最新のセキュリティトレンドを知る」のパネルディスカッションで、セキュリティの専門家3名が語った。 登壇者 インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏 SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏 セキュリティインコ piyokango氏 左から根岸征史氏、辻伸弘氏、piyokango氏(パネルでの出演) 登壇者のキャリアを振り返る まず3氏は、セキュリティの専門家としての自身のキャリアについて振り返った。 piyokango氏は自身
グループメールの設定ミスによるAWSアカウントの乗っ取りと対策 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 皆様はAWSやGoogle Workspaceなどのクラウドサービスは活用されているでしょうか。弊社で実施するペネトレーションテストでも、「AWSアカウントの乗っ取りが可能か」ということを目的に様々なスコープでテストを行うことがあります。 AWSにおけるrootユーザは、AWS上に展開されたすべてのリソースへのアクセス権を所有し追加のリソースの作成も可能です。攻撃者にとってみてもrootユーザを奪取することは、企業・組織が所有する重要な資産に対してアクセスを行うための攻撃目標になります。 そして、攻撃者にrootユーザの奪取がなされないためにも、多要素認証(MFA)の設定等を行い、AWSアカウント全体
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
天才ホワイトハッカーが集まる「エンジニアの楽園」はどう作られた? “世界レベル”が続々集まる組織の仕組みづくり
米国連邦政府におけるクラウド戦略 - クラウドセキュリティをどう担保するか|ミック
バグバウンティ入門(始め方) - blog of morioka12
その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味
メガネレンズの取り扱い停止、相次ぐ ZoffやJINSなどが発表 原因は「レンズメーカーのシステム障害」
AWSセキュリティ成熟度モデルによるセキュリティ現在地確認のススメ | DevelopersIO
担当者なしでセキュリティ認証 SOC2 Type2 を取った話|テイラー(YC S22)
新卒の学生によるセキュリティエンジニア志望の就活話 - blog of morioka12
積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント
われはセキュリティの子 - BASEプロダクトチームブログ
Kali Linux 2024.1が公開 セキュリティ対策に特化した複数の新機能を追加
東京五輪会場の制御システムに対するペネトレーションテストから得られた知見を公開します
【書評】心を動かすマーケティング 魚谷雅彦 ダイヤモンド社 - 京都のリーマンメモリーズ
“わざと自社にサイバー攻撃”のシナリオを自動生成するツール 三菱電機が開発 ペネトレーションテスト支援
「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は
企業セキュリティの穴を、実際に攻撃して見つける「ペネトレーションテスト」のスゴさを聞く[Sponsored]
![企業セキュリティの穴を、実際に攻撃して見つける「ペネトレーションテスト」のスゴさを聞く[Sponsored]](https://cdn-ak-scissors.b.st-hatena.com/image/square/538d537e4b6186e9f86373c66a5e1ab8b8b8143c/height=288;version=1;width=512/https%3A%2F%2Finternet.watch.impress.co.jp%2Fimg%2Fiw%2Flist%2F1594%2F200%2F001.jpg)
アカウントロックにご用心!Windowsにおける認証の罠 - ラック・セキュリティごった煮ブログ
小学生にも分かる!サイバーセキュリティの仕事を紹介するハンドブック1・2を1冊にまとめました | LAC WATCH
【OSINT】追跡調査のチートシート | ActiveTK's Note
根岸征史氏×辻伸弘氏×piyokango氏スペシャル座談会 - セキュリティ人材の必須スキルと育成方法とは