先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
There's An AI For That (TAAFT) - The #1 AI Aggregator
My name is Andrei and I'm an indie developer. If you liked this, please consider sharing it and for more cool things like this follow me on Twitter.
Ver. 2023.11.15 r1 // OSINT のための情報源、というのが正しい気がするが、そこはそっとじ。
《この記事は約 28 分で読めます(1分で600字計算)》 前回の記事では、2022年の電子書籍ライトノベル市場を65.1億円と試算しました。他方、出版社へのヒアリングをもとに「多めに見積もっても20億円台」と推測する声もあります。実際のところ、紙と電子のライトノベル市場はいまどうなっているのか? さらに調査・試算・考察してみました。少々長い記事なので、結論だけ見たい方は末尾の「紙と電子のラノベ市場を足すと?」をご覧ください。 電子ラノベ市場を公開情報から試算 前回の試算で筆者は「ライトノベルは同シリーズの続刊が年に複数回出ることも多く、利用頻度は他ジャンルより高い可能性もある」と示唆しておいた。つまり、利用率だけを元に試算する前回のやり方は値が低めに出ているが、電子書籍のライトノベル市場はもっと大きいはずだ、と考えていたのだ。 仮にラノベが「20億円台」なら、それ以外で420億円だが……
無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (技術編) - NFLabs. エンジニアブログ
tl;dr 前半をサイバー脅威インテリジェンスの理論、後半をハンズオンの形式で全6回の連載をしてきました 連載は現実のインテリジェンス業務をなるべく反映させたものであり、戦術脅威インテリジェンスがアウトプットの中心になります 実態のよくわからないバズワードに飛びつかず、企業は自組織の体制と世の中の脅威を正しく理解するところからはじめましょう はじめに 本稿は前回の記事「無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (非技術編)」の技術的内容部分を抜き出したものです。未読の方は先にそちらの記事を参考にしていただいた方が、内容を理解しやすいと思います。 blog.nflabs.jp 前回に引き続き @strinsert1Na です。事業推進部の Defensive チームで脅威インテリジェンスの生成やソフトウェアの開発をしていま
2019年夏から武漢でPCR機器の調達が急増~新データが示唆することは 「AUKUS」調査チームによる「中国武漢市PCR調達報告書」の詳細解説 井形彬 多摩大学ルール形成戦略研究所客員教授・事務局長 「我々は、中国がWHOに対してコロナウイルスについて報告した時期よりも相当前からこのパンデミックが始まっていたことを高確度(high confidence)で結論付ける」 これは、豪州と米国で活動する民間サイバーセキュリティ会社である「Internet 2.0」が本日(10月5日)、公式発表した「中国武漢市PCR調達報告書」の中で述べられたものだ。 10月5日午前4時に世界一斉公開 この結論は、中国湖北省にある武漢市周辺の諸施設において、2019年5月からPCR機器の政府調達が急増していたことを示すデータに基づいている。Internet 2.0は「OSINT」(オシント:誰でもアクセス可能な公
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
SIMスワップ攻撃はどれほど簡単に仕掛けることができるだろうか?また、攻撃者は電話番号を乗っ取った後、何ができるのだろうか?結論から言うと、SIMスワップ攻撃を仕掛けるのは驚くほど容易で、攻撃者はあらゆることが実行可能となるのだ。 SIMスワッピングは、SIMハイジャック、あるいはSIMスワップ詐欺とも呼ばれる。これらの言葉を耳にしたことがあるかもしれない。しかし、多くの人は自分の身には起きないものだと考えてしまうだろう。実際、「自分は絶対にハッキングされない」、「なぜ自分が狙われるのかわからない」という声も聞く。しかし、悪意のある攻撃者は日々、膨大な数の攻撃を仕掛けており、私たち一般消費者もそのターゲットになっているのは事実である。これらのリスクを軽減するために、具体的な対策を講じてみてはどうだろうか。 具体的な対策方法は後述するが、まず、リスクそのものについての理解を深めるために、どの
Ukraine Control Map continuously updated by people at Project Owl OSINT (@projectowlosint) Contact us on Twitter = @UAControlMap Discord: https://discord.com/invite/projectowl Information: * Presence = reports of troops but no specific geolocation or imagery; covers a very wide area * Position = there is some sort of evidence and/or geolocation of troops in question; covers a smaller, more specifi
ウクライナ情報調査アカウントが凍結。ロシアが関与?(dragoner) - エキスパート - Yahoo!ニュース
ロシアによる親ロ派勢力の国家承認など、緊迫の度合いを増すウクライナ情勢ですが、まだ本格的な戦闘には至っていません。しかし、ロシアや親ロ派勢力はウクライナから攻撃を受けたと度々主張しており、反撃や防衛を名目に戦端が開かれる可能性も依然としてあります。 緊迫状況が続く中、SNS上では公開されている情報からロシアらの主張を検証する人々がいます。近年、マレーシア航空機撃墜事件などの調査で注目されたOSINT(公開情報を収集・分析する諜報活動)により、事実を明らかにしょうとする人々です。 OSINTで明らかになった事例としては、ロシアから国家承認を受けた自称ルガンスク人民共和国は、ウクライナの攻撃に備えて住人に避難を呼びかけるビデオを配信しましたが、配信されたSNSのテレグラムはビデオのメタデータ(付帯情報)が削除されない仕様になっており、配信された2日前に撮影されたものだと明らかにされました。つま
iPhoneにApple IDのパスワードリセットを求める通知を連続送信してApple IDを奪い取る攻撃手法の存在が確認されました。攻撃者は「Apple公式サポートを装った電話」も併用しているとのことです。 Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/ Last night, I was targeted for a sophisticated phishing attack on my Apple ID. This was a high effort concentrated attempt at me. Other fo
2023/06/18 騒動の元凶となったTweetについては本人から掲載許可をいただいております。あくまで本記事の目的は知識・用語の整理および以後の混乱を避けるための一提案であるため、本人への突撃などはご遠慮ください。 2023/05/08 AIをArtifact Intelligenceと誤表記していたので修正 tl;dl 筆者が"OSINT"について言及した結果、炎上にガソリンを撒いてしまった恐れがあるため用語の整理と筆者なりの考えをまとめた OSINTという単語は『インターネットを使ってほにゃほにゃした』という非常に漠然としたコンテキストの元で使用される場面が散見され、聞き手にそのコンテキストが共有されていない場合は解釈に不一致が生じる 少なくとも単発のアクティビティや公開情報からの情報収集という行為においては、OSINTという専門用語を持ち出さずとも適切な日本語を使用したほうが聞き
『すぐ貢献できる!偽サイトの探索から通報まで』(Fighting Phishing Methods)の内容を「GitHubリポジトリ」でも公開しました。 本稿は、2018年7月2日に開催された Anti-Phishing Working Group 主催『巧妙化・国際化するオンライン詐欺やサイバー犯罪にどう対応していくのか?』にて講演された内容の解説記事です。 登壇資料 登壇資料のダウンロードはこちら -> 【LIVE】 すぐ貢献できる!偽サイトの探索から通報まで 不特定多数を狙った偽サイト・フィッシング詐欺は未然に防ぐのが難しく、犯罪者にとっては期待利益が高い犯行のひとつです。こうした現状を打開しようと、個人のボランティア活動として、技能を活かし「サイバー空間の浄化活動(サイバーパトロール)」に貢献されている方が数多くいらっしゃいます。本セミナーでは、誰かのために貢献してみたいと
インターネットで知りたいことがあれば、取りあえずXで調べるという人も多いのではないでしょうか。 Xには「高度な検索」機能もありますが、もっと細かい条件で検索したい場合は、検索コマンドが便利です。 本記事では、Xの検索コマンドを網羅的に掲載していますが、TwitterからXへの移行後に無効化されたものも一部含んでいます。 対応の有無は今後アナウンスなく変更されると思われるので、状況に応じて参考にしていただければと思います。 本記事の検索コマンドの収録では、下記の記事を参考にさせていただきました。 >> GitHub – igorbrigadir/twitter-advanced-search: Advanced Search for Twitter. 海外の記事なので英語で書かれていますが、簡潔に分かりやすくまとめられているので、ぜひ合わせてご覧ください。 X(旧Twitter)で特定のユー
攻めのセキュリティー対策の鍵「OSINT」
攻めのセキュリティー対策を実施する鍵として「OSINT」が注目されている。インテリジェンスやOSINTとは何か、それらはどのような関係があるかを解説する。 第5回 セキュリティー対策の最先端「デジタルOSINT」、進む生成AIの活用 今回は、「デジタルOSINT」について、さらに踏み込んで見ていきましょう。OSINTの調査を実施するに当たって、「欲しい情報が何か」からデータソースをたどっていける有用なツールがあります。 2024.02.09 第4回 インテリジェンスを脅威に適用、サイバーセキュリティーを強化する インテリジェンスは軍事関係から発展したものですので、その活用分野も軍事関係や地政学的活用から、企業活動やサイバーセキュリティの分野まで幅広くインテリジェンスの名が付けられた活動が存在します。特にサイバーセキュリティの分野においては「脅威インテリジェンス」が有名です。 2024.02
この記事は NFLaboratories Advent Calendar 2022 6日目の記事です。 ソリューション事業部セキュリティソリューション担当の岩崎です。 多くのウェブサイトでは登録されたドメイン名を利用して構築されており、サブドメインを作成して構築されるケースも多いです。中には、開発環境や公開前のプロダクト用にサブドメインを作成して運用されているケースも多いです。 昨今、公開を前提としたサーバでは適切なセキュリティ設定や脆弱性診断などセキュリティ侵害を防ぐための対策が取られているケースが多いです。一方、開発環境や公開前のプロダクト用のサーバでは十分な対策が取られていないケースも多く見受けられます。 そこで今回はセキュリティ侵害から防御することを目的として、攻撃者視点でサブドメイン名列挙をする手法についてまとめてみました。 総当たり ゾーン転送 対策 Passive DNS 検
天才ホワイトハッカー「Cheena」 かつてのブラックハッカーがネットの救世主になるまで|文藝春秋digital
サイバー犯罪の世界にいた少年が、ネット業界の救世主となるまで。/文・須藤龍也(朝日新聞社編集委員サイバーセキュリティ担当専門記者) <summary> ▶︎「漫画村」運営者の存在を独自の調査で割り出し、明らかにしたのが、チーナだった ▶︎チーナの手法はまさに、ネット時代の新たな諜報活動として、国家の情報機関も採用する「OSINT(オシント)」(Open Source Intelligence)と同じ流れを汲む ▶︎チーナは、「ネットの闇」を暴くホワイトハッカーとして知られるようになった。だが彼自身が、ネットの闇に陥った過去があった悪いハッカーに対抗する「正義の味方」 3月2日午後、約束の時間から20分遅れで、その男性は現れた。東京・渋谷駅に直結するホテルのラウンジ。筆者はこの原稿を書くにあたり、彼から近況を聞くため1年1カ月ぶりに再会することとなった。 寝起きの時間が日々めちゃくちゃな生活
GitHub - japan-opendata/awesome-japan-opendata: Awesome Japan Open Data - 日本のオープンデータ情報一覧・まとめ
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
渡邉英徳 wtnv @hwtnv 100年前の日本の少女たち。1914〜18年に掛けてElstner Hiltonが撮影した写真。ニューラルネットワークによる自動色付け+手動補正。 pic.twitter.com/C6ipxotctl 2020-03-26 15:04:00 渡邉英徳 wtnv @hwtnv Hidenori Watanave / Visualization & Information Design / Digital Archives / OSINT / 「記憶の解凍」/ Professor at University of Tokyo / 東京大学 大学院情報学環 教授 labo.wtnv.jp リンク Flickr A Group of Girls If this photo were in color, I'm guessing most of the dark f
2023年3月31日、NTTドコモは、同社の個人向けISPサービス「ぷらら」、映像配信サービス「ひかりTV」の利用者の情報が外部に流出した可能性があると公表しました。また2023年7月21日、業務委託先であったNTTネクシアは元派遣社員の男が不正に持ち出しを行ったことを公表しました。ここでは関連する情報をまとめます。 業務委託先から不正持ち出し NTTドコモがぷらら、ひかりTVの販売支援業務を委託しているNTTネクシアにおいて、当時派遣社員だった男が同サービスの利用者情報を不正に持ち出している事実が判明した。また、警視庁サイバー犯罪対策課は2023年7月21日付で男を不正競争防止法の容疑で書類送検した。*1 なお、外部に持ち出された情報についてこれまでのところは不正利用等の事実は確認されていない。 初報当時判明しているものとして最大529万件の流出の可能性をNTTドコモは説明していたが、そ
取材・文/小峯隆生 写真/©Pool/Wagner Group/Planet Pix via ZUMA Press Wire/共同通信イメージズ 武装蜂起したワグネルのプリゴジン氏だが、プーチン大統領にとっての「中立化」が達成されていれば、どうやら殺されることはないようだ ウクライナ戦争勃発から世界の構図は激変し、真新しい『シン世界地図』が日々、作り変えられている。本連載「#佐藤優のシン世界地図探索」ではその世界地図を、作家で元外務省主任分析官、同志社大学客員教授の佐藤優氏が、オシント(OSINT Open Source INTelligence:オープンソースインテリジェンス、公開されている情報)を駆使して探索していく! * * * ――去る6月23日にワグネルのブリゴジン氏が武装蜂起しました。これは、プーチン大統領とプリゴジン氏が密かに組んで、ロシア軍の中の反プーチン勢力を駆逐するため
デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい!」「待遇はどうなるんだろう?」
lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。 様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。 腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2022-09-02 19:16:44
2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。ここでは関連する情報をまとめます。 予防的措置でパイプライン全停止(2021/5/7) 被害に遭ったのはメキシコ湾岸の精製業者から米国南東から北東(NY港、NY空港まで)にかけ約8,850㎞のパイプラインを運用する会社。ガソリン、ディーゼル、ジェット燃料など1日に250万バレル(米東海岸で消費される半分近くのシェア 約45%)を輸送している。 サイバー攻撃は米国時間で5月6日に始まり、ランサムウエアによりColonial Pipeline社内の一部のITシステムが影響を受けた。同社が攻撃事実に気づいたのは7日。わずか2時間で100GB近いデータ窃
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><div class=\"naka6-banner\" style=\"margin:0 0 15px;\">\n<p style=\"display:block;margin:0 auto;\"><a href=\"https://www.asahi.com/special/bucha/?iref=kiji_bottom_banner\" style=\"display:block;\"><img src=\"https://www.asahicom.jp/special/bucha/images/banner/bucha-tokusyubanner_660x100.jpg\" alt=\"ウクライナ侵攻
1 はじめに 令和4年9月25日に北朝鮮の方峴(パンヒョン)飛行場を撮影した衛星画像で、同飛行場の中にある施設群の一角で見慣れない航空機がキャッチされました。 格納庫または整備施設の拡大図(中心に無人機が駐機)Image ©︎ 2022 Maxar Technologies無人機の位置を拡大したもの Image ©︎ 2022 Maxar Technologies この方峴飛行場は北朝鮮北西部の平安北道亀城(クソン)に位置する旧式のMiG-17戦闘機を装備している空軍基地であり、ほかの基地とは異なって大規模な整備施設が設けられているのが特徴です。 2015年3月下旬ころに金正恩党第1書記(当時)が国産と称する軽飛行機を自ら操縦した飛行場としても知られています。 方峴飛行場は平壌の北方約100キロメートルに位置する 今回新たに確認された機体は、既存の北朝鮮が保有している機体とは全く形状が異な
All over Russian state TV, propagandists have been painstakingly painting the picture that Russian troops retreated after battling NATO—not Ukraine. One pundit made fun of the transparent plot to make Russia's defeats seem less humiliating, angering the Kremlin's mouthpieces. pic.twitter.com/6gEh6hpiey — Julia Davis (@JuliaDavisNews) September 16, 2022 ウクライナでの戦争について、ハルキウ東部でのウクライナの反抗が成功して以降、ロシア国内では
サイバーセキュリティチームでマネージャーをしている岡地と申します。本記事では、いま話題(!?)の脅威モデリングを参考に実施した、社内のセキュリティリスク分析について紹介させて頂きます。 サイバーセキュリティチームについて 私は2022年12月にウェルスナビにジョインし、2023年はコーポレートIT部門でセキュリティ担当として従事してきました。2024年1月からサイバーセキュリティチームとして独立し、チーム戦略の策定から始めているのですが、その中で改めて感じたのが、自社のリスク認識の解像度が不十分だということです。別の表現でいうと、自社のセキュリティのカタチがいまいちわからない状態でした。 この段階でも、過去からの経緯で認識できている課題や昨今のトレンドを踏まえた計画の策定も可能ではあるのですが、より精度の高い戦略を立てるためには、自社環境に対する解像度を上げる必要があると感じました。 自社
「戦争から利益を得ることはしたくない」Oryx創設者が語るウクライナでの“OSINT最前線”《世界初インタビュー》 | 文春オンライン
2022年2月に始まったロシアによるウクライナ侵攻。21世紀のヨーロッパで始まった戦争では、住民や兵士らによってネット上に大量の情報が投稿されている。そうした公開情報を収集して戦場の実相を明らかにする活動、オープンソース・インテリジェンス(OSINT)が民間人の間で盛んに行われ、戦争報道や研究に大きな影響を及ぼしている。 中でも、撃破された兵器の写真や動画をカウントし、ロシア・ウクライナ両軍の損耗兵器をリスト化しているオランダの軍事情報サイトOryxに世界的な注目が集まっている。Oryxが作成した損耗リストは、ロシア軍の多大な損害を物証付きで明らかにしており、CNN、BBC、NHKといった世界中のメディア、さらにはイギリス国防省でも信用できる情報源として引用されている。現在、Twitterのフォロワーは約43万人だ。 ロシア軍の損害をカウントするOryxのページ(Oryxサイトより) その
urlscan.ioとShodanでお手軽にマルウェアの通信先サーバを調べる | IIJ Engineers Blog
セキュリティ本部データ分析課所属。2020年新卒入社。情報分析基盤のセキュリティログ分析を行う傍ら、マイニングマルウェアやIoTマルウェアを調査しています。 はじめに こんにちは、セキュリティ本部の森下です。 普段は情報分析基盤でセキュリティログの分析を行う傍ら、感染活動の動向を把握するためにマイニングマルウェアやIoTマルウェアを調べたりしています。 一般的にマルウェアに感染すると、C2サーバに通信して攻撃の指令を受けたり、マルウェア配布サーバからさらに別のマルウェアをダウンロードしてきたりします。 セキュリティ製品などによる検知を回避するために、マルウェアの通信先サーバは短期間で変わっていくことが多く、追跡し続けることが必要です。 マルウェアの通信先サーバでは、一般的なサーバとは異なる特徴が表れることがあり、その特徴を把握することで、新しく使われるサーバを迅速に発見できる可能性がありま
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
こんにちは、freee Developers Advent Calendar 2022 8日目の記事です。 PSIRTでblue teamとして活動している eiji です。 サービスやシステムのsecurityを確保したいとき、まず、最初にやらなければならないことはなんでしょう? FirewallやIPSのようなsecurity sensorを配置することが頭に浮かぶかもしれませんが、それよりも先にやっておかなければならないことがあります。 それは、logを取ることです。 logがなければ、攻撃や異常を検知できませんし、検知できなければ、サービスやシステムを守るための行動をとることができません。 では、全部のlogを取るのか? といわれると、答えは乱暴に言うとYesなのです。でも、全てのlogを単純に保存したとして、多くの人はそこからsecurityを確保したと言える状況に至る道筋を思い
■概要 #OpRussia からの派生したオペレーション(以下、OP)として #OpRedScare というものが立ち上げられています。「Red Scare」とは、日本語にすると「赤狩り」となりWikipediaには以下のように説明されています。 赤狩り(あかがり、英: Red Scare)は、政府が国内の共産党員およびそのシンパ(sympathizer:同調者、支持者)を、公職を代表とする職などから追放すること。第二次世界大戦後の冷戦を背景に、主にアメリカとその友好国である西側諸国で行われた。 OpRussiaは、当初ロシアをターゲットとしていたOPでしたが、OpRedScare は、ロシアに加え、ベラルーシも含まれていることから別名とされているようです。状況の変化によって派生したものと考えらるため、実質的には、OpRussiaとして扱って問題ないかと思います。このOPにおいて共有されて
goop - Google検索結果をスクレイピング
Googleの検索結果を取得して分析に使いたいと考える人は大勢います。しかし機械的に収集しようとすると、GoogleからCAPTCHA入力が求められます。そのため自動化しづらく、手作業で収集している人も多いでしょう。 しかし裏道がありそうです。Facebookを経由するとそのトラップに引っかからないようです。その実証として作られたのがgoopです。 goopの使い方 goopで検索を行います。その際、Facebookのクッキーを適用するのがコツです。 from goop import goop page_1 = goop.search('open source', '<facebook cookie>') print(page_1) ちゃんと検索結果が返ってきます。 {0: { 'url': 'https://opensource.org/osd-annotated', 'text': '
Sigstore によるコンテナイメージの Keyless Signing - Flatt Security Blog
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
国土交通省から流出したと考えられるデータについて ダークネット上で確認 NTTセキュリティ・ジャパン OSINTモニタリングチーム 公開:2023年5月29日 最終更新日:2023年6月19日 © NTT Security Holdings All Rights Reserved エグゼクティブサマリー 2 • 2023年5月26日、g0dと名乗るアクターがハッカーフォーラムにて、日本の国土交通省(mlit.go.jp)からハッキングした と主張するデータを投稿した。 • データには、ID及び平文パスワードの他、名前、役職、メールアドレス等も含まれていた。 • 5月28日、国土交通省 九州地方整備局は本件と関連すると思われる「個人情報の流出に関するお知らせとお詫び」とい うニュースリリースを発表している。 2023 © NTT Security Holdings All Rights Re
ブログをおっ立てて、特に書くこともなかったのですが、今日、Google Hackingをしている時にふと考えました。。。 GitHub情報多いし、GitHub Hackingできるんじゃね!? そこで素人ながら試してみたのですが、とある企業の海外拠点のサービスの内部情報やらマルウェアらしき何かやら見つかり、意外と面白そうだったので記事をおこします。 先駆者がいましたら教えてください。 Google Hackingについては要望あれば書きたいと思います。 GitHub Hackingのための材料 検索ページ 検索クエリについて 取り扱える文字 条件式 空白文字を含む場合 ファイルの内容で検索 ファイル名で検索 ファイルパスで検索 範囲指定検索 GitHub Hackingをしてみる 最後に GitHub Hackingのための材料 まずはGitHubの検索仕様を確認します。 検索ページ 普通
我々の位置情報はいかにしてデータブローカーに収集・販売・集約され、政府機関にわたっているのか投稿者: heatwave_p2p 投稿日: 2022/6/162022/6/16 Electronic Frontier Foundation この数年、データブローカーと軍、情報機関、法執行機関は、無数の市民の動きを監視するために、巨大かつ秘密のパートナーシップを構築してきた。我々のスマートフォンにインストールされた多数のモバイルアプリは、正確かつ頻繁に我々の行動を追跡している。データブローカーはアプリ開発者から我々の位置情報を収集し、政府機関に売却している。政府の手に渡ったデータは、軍による国外でのスパイ活動、ICEによる国内外の人物の監視、FBIやシークレットサービスなどの法執行機関に使用されている。本稿では、最近の調査や報道をもとに、この監視パートナーシップがどのように機能し、なぜ懸念しな
![我々の位置情報はいかにしてデータブローカーに収集・販売・集約され、政府機関にわたっているのか | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/508527582f7abffc77f487883d2047e7668f82a0/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F06%2Flocationdata_v2.mov1_.gif)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話
普段の調査で利用するOSINTまとめ - Qiita
続・ライトノベル市場とはなにか? 規模はどうなっているのか? | HON.jp News Blog
2019年夏から武漢でPCR機器の調達が急増~新データが示唆することは - 井形彬|論座アーカイブ
バグバウンティ入門(始め方) - blog of morioka12
SIMスワップ攻撃で電話番号は簡単に盗まれる
Ukraine Control Map - Google マイマップ
iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される
OSINTのすてきな乱れ - 切られたしっぽ
すぐ貢献できる!偽サイトの探索から通報まで - Qiita
X(旧Twitter)の検索コマンド63種類まとめ!【2024年最新版】
サブドメイン名列挙の方法についてまとめてみた - NFLabs. エンジニアブログ
バグハント入門 (OSS編) - blog of morioka12
100年前の少女たちの写真を自動色付けしてみたら途端に生き生きとした感じに「グッと身近に感じる」
NTTドコモ業務委託先からの利用者情報流出についてまとめてみた - piyolog
【#佐藤優のシン世界地図探索⑱】スターリン主義へ回帰するロシアの「機構」 - 政治・国際 - ニュース
米石油パイプライン企業へのサイバー攻撃についてまとめてみた - piyolog
「こたつCIA」も活躍、一変したサイバー戦 露呈したロシアの弱点:朝日新聞デジタル
北朝鮮の無人航空機と思われる物体を撮影した衛星画像について|ユーリィ・イズムィコ
‼ ロシア軍はNATO軍に負けた|✨わん🐶にゃん😺癒し動画✨
脅威モデリングを参考に、社内全体のセキュリティリスク可視化を試みた話
脅威 Intelligence と log 運用 - freee Developers Hub
ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare メモ
国土交通省から流出したと考えられるデータについてダークネット上で確認
ド素人がGitHub Hackingというものを考え試してみた - かわしまのつぶやき
我々の位置情報はいかにしてデータブローカーに収集・販売・集約され、政府機関にわたっているのか | p2ptk[.]org
インスタグラマー激怒? 写真が撮られたときの様子を街頭カメラの映像から探すプロジェクト【やじうまWatch】
