BlackHat USA 2024 / BSides Las Vegas / DEF CON 32 に会社の海外研修制度を利用して参加しました！ - Flatt Security Blog

2024/09/26 5 users DEF CON BlackHat USA Tsubasa

はじめに Flatt Security セキュリティエンジニアの Tsubasa、lambdasawa、Osaki です。本ブログでは、2024年8月に開催された Bsides Las Vegas、Black Hat USA 2024、DEF CON 32 に弊社メンバーが参加した際の記録、および、特に興味深かったセッションの詳細についてお伝えします！ なお、本稿の作成にあたっては各セ... 続きを読む

GitHub Actionsの脅威検知ツール tracee-action を触ってみる

2024/07/16 20 users GitHub Actions 本番環境 書き方 利用

はじめに こんにちは、セキュリティエンジニアのJJ (yuasa)です。今回はGitHub Actionsのワークフローにおける脅威検知ツールであるtracee-actionを触り、検知ルールの書き方について見ていきます。なお、tracee-actionは2024年7月時点で本番環境での利用は想定されていない点にご注意ください。 This project is not pr... 続きを読む

ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita

2024/07/14 419 users ネットワークタブ CTF CSP Qiita Satoki

はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってくだ... 続きを読む

Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - Flatt Security Blog

2024/06/24 17 users コマンドインジェクション ryotak rust Ruby

※本記事は筆者RyotaKが英語で執筆した記事を社内で日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対す... 続きを読む

わざとシステムを攻撃させて攻撃手法を観測する「ハニーポット」を30日間設置した結果をセキュリティエンジニアが公開

2024/06/22 135 users ハニーポット SSH 遠隔 攻撃手法 攻撃

遠隔でシステムを操作するツールである「SSH」への攻撃をわざと行わせて行動を観察する「ハニーポット」を30日間にわたって設置した結果をセキュリティエンジニアのソフィアン・ハムラウイ氏が公開しています。 What You Get After Running an SSH Honeypot for 30 Days https://blog.sofiane.cc/ssh_honeypot/ ハムラウ... 続きを読む

数百万台のモデムを自由に書き換え可能な脆弱性を見つけるまでの経緯をセキュリティエンジニアが報告

2024/06/06 5 users HTT モデム 契機 プロバイダ 経緯

自身のモデムがハッキングされたことを契機に、モデムを運用しているプロバイダのシステムに脆弱(ぜいじゃく)性があることを突き止めたセキュリティエンジニアのサム・カリー氏が、「どのように突き止めたのか」についてブログに投稿しました。 Hacking Millions of Modems (and Investigating Who Hacked My Modem) htt... 続きを読む

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

2024/05/30 165 users XSS セキュリティリスク Content-Type 動作

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作... 続きを読む

オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog

2024/05/21 12 users オブジェクトストレージ クラウド時代 セキュリティリスク

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクト... 続きを読む

数百サイトがFirebaseのセキュリティルール設定を誤って合計1億2500万件の機密情報が公開されてしまっていた

2024/05/04 23 users Firebase vulnerability sites

Firebaseのセキュリティルールの設定を誤っていることが原因で数百のサイトが平文パスワードや機密情報を含む合計1億2500万件のレコードを公開してしまっているとセキュリティエンジニアの「Logykk」「mrbruh」「xyzeva」という3人がブログに投稿しました。 900 Sites, 125 million accounts, 1 vulnerability - env.fai... 続きを読む

春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ

2024/03/04 7 users バイナリコード トリコロール セキュリティ 老害 若手

はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢... 続きを読む

トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ

2024/01/09 90 users 一興 バイナリ マルウェア トリコロール 覚悟

はじめに セキュリティ業界は人が少ないので、どこに行っても名前を聞く人とか、バイナリを見ただけでどこ製のマルウェアかわかる人とか、つよつよ人材が身近にいがちです。そんなトップガンを目指すのも一興ですが、ある程度の期間は、起きている時間全てをセキュリティに捧げる覚悟が必要です。私はそこまでできないの... 続きを読む

「未来の“当たり前”を作る」セキュリティ・SREのスペシャリスト星北斗が今、LayerXを選ぶ理由｜LayerX

2024/01/09 9 users LayerX SRE CISO ＣＴＯ 出向

2024年1月1日。LayerXにまた、新たな仲間が加わりました。クックパッド株式会社でセキュリティエンジニア、SRE (Site Reliability Engineer) として経験を積み、技術本部長を経て2020年にグローバル本社（イギリス）に出向。コーポレートエンジニアリングを中心に海外でのマネジメントを経験したのち、CTO/CISOを務めた... 続きを読む

セキュリティエンジニアを3年続けて分かったおすすめ勉強法

2024/01/04 696 users 独断 偏見 範囲 費用対効果 時期

セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回... 続きを読む

2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く（前編）】 - #FlattSecurityMagazine

2023/12/21 8 users FlattSecurityMagazine 潮流 トピック

プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」という... 続きを読む

Amazonの元セキュリティエンジニアが仮想通貨取引所から約17億円を盗んだ罪を認める

2023/12/18 7 users Amazon 仮想通貨取引所 被告人 補償 全額

Amazonでセキュリティエンジニアだったシャキーブ・アーメド被告人が、2つの仮想通貨取引所から1230万ドル(約17億4900万円)以上を盗み出したことを認めました。すでに、被告人が詐取した資産の全額が没収されているほか、被告人はおよそ507万ドル(約7億2200万円)の補償を行うことを約束しています。 Southern District o... 続きを読む

GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog

2023/07/31 16 users GitHub SSRF ryotak HackerOne 許可

はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ

2023/07/24 245 users ガイドライン 研究開発 一瀬 サービス

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働い... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ

2023/06/29 177 users

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シーザ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュ... 続きを読む

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」

2023/04/18 5 users Winny 杉浦隆幸氏 抑圧 映画 権力

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」：むしろ「本質的に良くない部分」を問うことが必要（1/3 ページ） それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たち... 続きを読む

情シスからセキュリティエンジニアになるには？ みんなCVE取得してる？【セキュリティエンジニアだけど何か質問ある？】 - #FlattSecurityMagazine

2023/03/23 7 users Twitter Flatt Security 情シス 企画

Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします！ セキュリティエンジニ... 続きを読む

Cookie vs Local Storage マルウェア耐性等に差はあるか？Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog

2023/03/13 13 users Flatt Security Blog 暗号化 XSS 耐性

はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうか... 続きを読む

カイポケリニューアルでの SREチームの活動の一部の紹介：認証基盤選定と OpenTelemetry周辺ツール調査 - エス・エム・エス エンジニア テックブログ

2023/02/07 7 users SREチーム エム エス エンジニア SRE

こんにちは、SREをやっている@okazu_dmです。 経歴としては、サーバサイドエンジニアからセキュリティエンジニアを経て、エス・エム・エスではサービス横断で技術的な課題を解決しています。 基本的には組織に必要なことと自分ができることや、やりたいことが交わるポイントで仕事をしており、現在はSREとして働いていま... 続きを読む

2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く（後編）】 - #FlattSecurityMagazine

2023/01/26 15 users FlattSecurityMagazine 総括 サイボ

9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々（社名五十音順・順不同） 後編（本記事） サイボ... 続きを読む

Rust言語を推進する「Rust Foundation」がフルタイムのエンジニアを2名募集中。年収10万ドルから15万ドル

2023/01/10 6 users Rust言語 Rust Foundation エンジニア

Rust言語を推進する「Rust Foundation」がフルタイムのエンジニアを2名募集中。年収10万ドルから15万ドル Rust言語の開発やエコシステムを推進する「Rust Foundation」が、同団体のメンバーとしてフルタイムのエンジニア2名を募集しています。 1名はセキュリティエンジニア、もう1名はRustのパッケージリポジトリcrates.... 続きを読む

セキュリティ診断ツール "Dastardly" を WSL2 上で実行してみた - Qiita

2022/12/29 25 users Qiita GitHub Lifull WSL2 新卒

LIFULL に新卒入社し、もうすぐ4年目になるヒラノです。 普段はセキュリティエンジニアとして、セキュリティ/テスト自動化に関する推進、支援などを中心に取り組んでいます。 15日目の記事 では Dastardly を GitHub 上で動かしていましたが、今回はローカル（WSL2）上で動かしてみようと思います。 What is Dastardly? ... 続きを読む