取材・文/小峯隆生 写真/©Pool/Wagner Group/Planet Pix via ZUMA Press Wire/共同通信イメージズ 武装蜂起したワグネルのプリゴジン氏だが、プーチン大統領にとっての「中立化」が達成されていれば、どうやら殺されることはないようだ ウクライナ戦争勃発から世界の構図は激変し、真新しい『シン世界地図』が日々、作り変えられている。本連載「#佐藤優のシン世界地図探索」ではその世界地図を、作家で元外務省主任分析官、同志社大学客員教授の佐藤優氏が、オシント(OSINT Open Source INTelligence:オープンソースインテリジェンス、公開されている情報)を駆使して探索していく! * * * ――去る6月23日にワグネルのブリゴジン氏が武装蜂起しました。これは、プーチン大統領とプリゴジン氏が密かに組んで、ロシア軍の中の反プーチン勢力を駆逐するため
デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい!」「待遇はどうなるんだろう?」
lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。 様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。 腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2022-09-02 19:16:44
2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。ここでは関連する情報をまとめます。 予防的措置でパイプライン全停止(2021/5/7) 被害に遭ったのはメキシコ湾岸の精製業者から米国南東から北東(NY港、NY空港まで)にかけ約8,850㎞のパイプラインを運用する会社。ガソリン、ディーゼル、ジェット燃料など1日に250万バレル(米東海岸で消費される半分近くのシェア 約45%)を輸送している。 サイバー攻撃は米国時間で5月6日に始まり、ランサムウエアによりColonial Pipeline社内の一部のITシステムが影響を受けた。同社が攻撃事実に気づいたのは7日。わずか2時間で100GB近いデータ窃
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
All over Russian state TV, propagandists have been painstakingly painting the picture that Russian troops retreated after battling NATO—not Ukraine. One pundit made fun of the transparent plot to make Russia's defeats seem less humiliating, angering the Kremlin's mouthpieces. pic.twitter.com/6gEh6hpiey — Julia Davis (@JuliaDavisNews) September 16, 2022 ウクライナでの戦争について、ハルキウ東部でのウクライナの反抗が成功して以降、ロシア国内では
サイバーセキュリティチームでマネージャーをしている岡地と申します。本記事では、いま話題(!?)の脅威モデリングを参考に実施した、社内のセキュリティリスク分析について紹介させて頂きます。 サイバーセキュリティチームについて 私は2022年12月にウェルスナビにジョインし、2023年はコーポレートIT部門でセキュリティ担当として従事してきました。2024年1月からサイバーセキュリティチームとして独立し、チーム戦略の策定から始めているのですが、その中で改めて感じたのが、自社のリスク認識の解像度が不十分だということです。別の表現でいうと、自社のセキュリティのカタチがいまいちわからない状態でした。 この段階でも、過去からの経緯で認識できている課題や昨今のトレンドを踏まえた計画の策定も可能ではあるのですが、より精度の高い戦略を立てるためには、自社環境に対する解像度を上げる必要があると感じました。 自社
「戦争から利益を得ることはしたくない」Oryx創設者が語るウクライナでの“OSINT最前線”《世界初インタビュー》 | 文春オンライン
2022年2月に始まったロシアによるウクライナ侵攻。21世紀のヨーロッパで始まった戦争では、住民や兵士らによってネット上に大量の情報が投稿されている。そうした公開情報を収集して戦場の実相を明らかにする活動、オープンソース・インテリジェンス(OSINT)が民間人の間で盛んに行われ、戦争報道や研究に大きな影響を及ぼしている。 中でも、撃破された兵器の写真や動画をカウントし、ロシア・ウクライナ両軍の損耗兵器をリスト化しているオランダの軍事情報サイトOryxに世界的な注目が集まっている。Oryxが作成した損耗リストは、ロシア軍の多大な損害を物証付きで明らかにしており、CNN、BBC、NHKといった世界中のメディア、さらにはイギリス国防省でも信用できる情報源として引用されている。現在、Twitterのフォロワーは約43万人だ。 ロシア軍の損害をカウントするOryxのページ(Oryxサイトより) その
こんにちは、freee Developers Advent Calendar 2022 8日目の記事です。 PSIRTでblue teamとして活動している eiji です。 サービスやシステムのsecurityを確保したいとき、まず、最初にやらなければならないことはなんでしょう? FirewallやIPSのようなsecurity sensorを配置することが頭に浮かぶかもしれませんが、それよりも先にやっておかなければならないことがあります。 それは、logを取ることです。 logがなければ、攻撃や異常を検知できませんし、検知できなければ、サービスやシステムを守るための行動をとることができません。 では、全部のlogを取るのか? といわれると、答えは乱暴に言うとYesなのです。でも、全てのlogを単純に保存したとして、多くの人はそこからsecurityを確保したと言える状況に至る道筋を思い
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
■概要 #OpRussia からの派生したオペレーション(以下、OP)として #OpRedScare というものが立ち上げられています。「Red Scare」とは、日本語にすると「赤狩り」となりWikipediaには以下のように説明されています。 赤狩り(あかがり、英: Red Scare)は、政府が国内の共産党員およびそのシンパ(sympathizer:同調者、支持者)を、公職を代表とする職などから追放すること。第二次世界大戦後の冷戦を背景に、主にアメリカとその友好国である西側諸国で行われた。 OpRussiaは、当初ロシアをターゲットとしていたOPでしたが、OpRedScare は、ロシアに加え、ベラルーシも含まれていることから別名とされているようです。状況の変化によって派生したものと考えらるため、実質的には、OpRussiaとして扱って問題ないかと思います。このOPにおいて共有されて
Sigstore によるコンテナイメージの Keyless Signing - Flatt Security Blog
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
国土交通省から流出したと考えられるデータについて ダークネット上で確認 NTTセキュリティ・ジャパン OSINTモニタリングチーム 公開:2023年5月29日 最終更新日:2023年6月19日 © NTT Security Holdings All Rights Reserved エグゼクティブサマリー 2 • 2023年5月26日、g0dと名乗るアクターがハッカーフォーラムにて、日本の国土交通省(mlit.go.jp)からハッキングした と主張するデータを投稿した。 • データには、ID及び平文パスワードの他、名前、役職、メールアドレス等も含まれていた。 • 5月28日、国土交通省 九州地方整備局は本件と関連すると思われる「個人情報の流出に関するお知らせとお詫び」とい うニュースリリースを発表している。 2023 © NTT Security Holdings All Rights Re
ブログをおっ立てて、特に書くこともなかったのですが、今日、Google Hackingをしている時にふと考えました。。。 GitHub情報多いし、GitHub Hackingできるんじゃね!? そこで素人ながら試してみたのですが、とある企業の海外拠点のサービスの内部情報やらマルウェアらしき何かやら見つかり、意外と面白そうだったので記事をおこします。 先駆者がいましたら教えてください。 Google Hackingについては要望あれば書きたいと思います。 GitHub Hackingのための材料 検索ページ 検索クエリについて 取り扱える文字 条件式 空白文字を含む場合 ファイルの内容で検索 ファイル名で検索 ファイルパスで検索 範囲指定検索 GitHub Hackingをしてみる 最後に GitHub Hackingのための材料 まずはGitHubの検索仕様を確認します。 検索ページ 普通
我々の位置情報はいかにしてデータブローカーに収集・販売・集約され、政府機関にわたっているのか投稿者: heatwave_p2p 投稿日: 2022/6/162022/6/16 Electronic Frontier Foundation この数年、データブローカーと軍、情報機関、法執行機関は、無数の市民の動きを監視するために、巨大かつ秘密のパートナーシップを構築してきた。我々のスマートフォンにインストールされた多数のモバイルアプリは、正確かつ頻繁に我々の行動を追跡している。データブローカーはアプリ開発者から我々の位置情報を収集し、政府機関に売却している。政府の手に渡ったデータは、軍による国外でのスパイ活動、ICEによる国内外の人物の監視、FBIやシークレットサービスなどの法執行機関に使用されている。本稿では、最近の調査や報道をもとに、この監視パートナーシップがどのように機能し、なぜ懸念しな
![我々の位置情報はいかにしてデータブローカーに収集・販売・集約され、政府機関にわたっているのか | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/508527582f7abffc77f487883d2047e7668f82a0/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F06%2Flocationdata_v2.mov1_.gif)
テスト中の次世代軍用機らしき映像がTikTokに流出
過去に見たことがない航空機らしき物体が撮影された映像が話題を呼んでいます。映像はTikTokに掲載されたのち、TwitterやRedditなどを経由して拡散していますが、正体がなんなのかははっきりとはわかっていません。 Mysterious Stealthy Shape That Resembles Future Fighter Concepts Spotted At Radar Test Range (Updated) https://www.thedrive.com/the-war-zone/42480/mysterious-stealthy-shape-that-resembles-future-fighter-concepts-spotted-at-radar-test-range Something interesting testing at the Helendale Rad
誰が私を拡散したのか ハワイにペーパーカンパニー、アルバムコレクションの正体は?(14) 2023年09月14日19時31分 辻麻梨子 (イラスト:qnel) 本人の同意を得ていない性的な画像が、スマートフォンのアプリ「アルバムコレクション」と「動画シェア」で売買されていた。子どもが性的虐待の被害にあった映像も、取引されていた。私はこの問題を昨年夏から取材し、本シリーズで報じている。 これらのアプリは、数十万回以上ダウンロードされている。アプリをダウンロードしたユーザーは、入手した写真や動画をさらにネット上に拡散する。被害の最終的な規模は計り知れない。 アプリが多くのユーザーに広まったのは、日本でスマホのアプリ市場を独占するGoogleとAppleが自社のストアに掲載していたからだ。Appleは両アプリを、Googleは動画シェアを掲載していた。本シリーズを始めてから半年後、Googleは
[速報]「Gemini for Google Cloud」発表。Google Cloudでの開発から運用、セキュリティなど利用シーン全体をAIが支援。Google Cloud Next '24
[速報]「Gemini for Google Cloud」発表。Google Cloudでの開発から運用、セキュリティなど利用シーン全体をAIが支援。Google Cloud Next '24 Google Cloudは、日本時間4月10日未明から開催中のイベント「Google Cloud Next '24」で、最新のAIによるGoogle Cloudを用いたアプリケーションの開発から運用、セキュリティなどライフサイクル全体をAIが支援する「Gemini for Google Cloud」を発表しました。 「Gemini for Google Cloud」は、同社の最新AIモデルである「Gemini」を用いた複数のサービスの統合的なブランドです。コーディング支援のGemini Code AssistもGemini for Google Cloudの傘下と位置づけられています。 それぞれの機
![[速報]「Gemini for Google Cloud」発表。Google Cloudでの開発から運用、セキュリティなど利用シーン全体をAIが支援。Google Cloud Next '24](https://cdn-ak-scissors.b.st-hatena.com/image/square/f977007ed1f9dbef1830334f7a565047c504dd95/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2024%2Fgemini4googlecloud01.png)
Ver. 2023.11.15 r1 // OSINT のための情報源、というのが正しい気がするが、そこはそっとじ。
中国のフェミニストの間で上野千鶴子が大人気に! ――一体、どうなっているの? Twitterでも話題で、中国語圏では上野千鶴子氏の書籍や言動が取りまとめられて大変な人気を博している。実際には社会の不安定工作としては大変に有効な作戦であることには変わりない。中国社会を揺るがす一大ムーブメントになるかもしれない――!? ロシアのウクライナ侵攻で、我が国・日本語圏でもロシア発か、あるいはロシアの影響力下にある知識人による対日プロパガンダもそこそこ確認されるようになってきました。 あからさまに「こりゃ嘘だろ」と思うようなことでも、ロシア大使館の公式ツイッターアカウントが堂々とロシアは正しいと言い募ります。また、知識人クラスタでも隠れて親ロシアの立場にあった人物が「ロシアもウクライナも、どっちもどっち論」で戦争口実の正当化を図るなど、香ばしくも古典的な作戦を展開しており、さすがに半笑いで対処すること
Attack Surface Management? はじめました - freee Developers Hub
こんにちは、北海道から freee PSIRT(Product Security Incident Response Team)に参加している yu です。 今年は雪が少ないな〜と思っていたら最近ドカドカ降るようになってきて、1日デスクで集中した後に外に出ようとすると玄関のドアが雪で開かない日もありました。雪国エンジニアの各位、除雪も忘れず頑張っていきましょう! さて、この記事では前回の記事で bucyou が紹介した開発合宿において、私と同僚の tomoya さんで取り組んだ freee の Attack Surface Management(以下、ASM)について紹介します。 ASM とは ASM、Attack Surface Management という用語はさまざまなところで異なる定義がされており、私自身、この言葉を使うときにはまだ少しだけ違和感があります。 国内では昨年の5月に経
TwitterなどのSNSを中心に「Googleマップがロシア軍周辺施設の衛星写真の解像度制限を撤廃した」と話題だ。一方で、同サービスを手掛けるGoogleは「ぼかしを加えたことはない」とコメント。解像度の変更を否定している。 これは、ウクライナ軍を名乗るTwitterアカウントが、Googleマップが高解像度の衛星画像を公開したとツイート。「誰もがさまざまなロシアの発射装置、大陸間弾道ミサイル、司令部、秘密の施設をピクセルあたり約0.5mの解像度で見ることができる」としており、複数の海外メディアも衛星画像の高解像度化を報じた。 国内でも、高精細画像を元にロシア軍を分析しようとするユーザーが現れ始めており、「OSINT(オープンソースインテリジェンス:公開情報から目的の情報を分析する手法)ができるようになった」との声も複数上がっている。 この件についてGoogle広報部に確認したところ、「
ロシアとウクライナ間の緊張が高まる中、ロシア軍の動向がTwitterやTikTokなどのSNSを通じて拡散されています。Twitter上には各種SNSに投稿されたロシア軍の情報をまとめるアカウントが多数存在していますが、それらのアカウントがTwitterに凍結される事態が発生しました。 Twitter accounts sharing video from Ukraine are being suspended when they’re needed most - The Verge https://www.theverge.com/2022/2/23/22947769/twitter-osint-russia-ukraine-invasion-suspended-error ロシアとウクライナを巡っては、アメリカ国防総省の高官がロシア軍について「大規模な侵攻を行うための準備が完全にできて
家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始〜5分以内に検査結果をメールでお知らせ。マルウェアに感染していた場合の対処法までサポート〜 国立大学法人 横浜国立大学(所在地:神奈川県横浜市、学長:梅原出、以下「横浜国立大学」)と株式会社ゼロゼロワン(本社:東京都渋谷区、代表取締役 CEO:萩原雄一、以下「ゼロゼロワン」)は、家庭用ルーターやスマート家電を始めとしたIoT機器のマルウェア(※1)検査サービス「am I infected?(アム・アイ・インフェクテッド)」(https://amii.ynu.codes/)の提供を開始します。 「am I infected」トップページ 本サービスは、家庭用ルーターやスマート家電などのIoT機器がマルウェアに感染していないか、脆弱な状態で利用していないかを利用者自身で検査・対策できる無料のサー
2023年8月に米ラスベガスで開催された、世界的なハッカーの祭典「DEF CON 31」。このDEF CONで催されたOSINT CTF「Recon Village CTF」において、日本のCTFチーム「pinja(ピンジャ)」が優勝を果たした。おめでとう、pinja!! ……と、まるで他人事のように書き始めてみたが、実は筆者もpinjaチームの一員なのである。そこで今回は、実際に難問に挑んだCTFチームのメンバーという視点から、優勝に至るまでの裏側を体験記としてお届けしたい。まだ「CTF」や「OSINT」といったものをよくご存じない方にも、“総合知的格闘技”としての楽しさが伝われば幸いだ。 CTFとは? Recon Village CTFとは?:知的なかけひきを楽しもう まずは「CTF」とはどんな競技なのか、簡単に説明しておこう。 「Capture The Flag(旗取りゲーム)」の頭
ウクライナ情勢が緊迫する中、Twitterで関連情報を多数共有している複数のアカウントがロックされたと米The Vergeなど複数のメディアが2月23日(現地時間)に報じた。 一般に公開されている多様な情報源を収集し、分析するいわゆる「OSINT(Open Source Intelligence、オープンソースインテリジェンス)」の研究者、カイル・グレン氏は、ウクライナのユーザーが投稿した動画をRTの形で多数ツイートしているが、多くのアカウントがロックされていると複数の報告をリツイートした後、12時間ロックされたとツイートした。Twitterからはどのツイートが規則違反だったかの説明はなかったとしている。 OSINTアナリストと称するオリバー・アレグザンダー氏もウクライナ関連の情報をRTしたことが規則違反だとして24時間ロックされたとツイートした。同氏の場合は、異議申し立ての結果、Twit
Check Point Software Technologiesは3月10日(米国時間)、「Check Point Research Reveals Leaks of Conti Ransomware Group - Check Point Software」において、今後猛威を振るう可能性が高いマルウェア「Conti」について、その開発・運用を行っている組織の詳細情報を公開した。Contiはロシアのウクライナ進攻を支持しているとされており、この行動に意義を唱える内部関係者が流出したデータを分析した結果とされている。分析結果はContiが通常の大規模なテクノロジー企業と同様な形態で運営されている様子が示されている。 Check Point Research Reveals Leaks of Conti Ransomware Group - Check Point Software 報告書
渡邉英徳 wtnv @hwtnv Hidenori Watanave / Visualization & Information Design / Digital Archives / OSINT / 「記憶の解凍」/ Professor at University of Tokyo / 東京大学 大学院情報学環 教授 labo.wtnv.jp
国際的なネット調査集団「ベリングキャット」が用いていることでも注目を集めている、デジタル時代の新しい取材方法「OSINT(Open Source Intelligence)」――。 「OSINT」は、インターネット上の情報やSNSに投稿された動画や画像、あるいは地図情報や衛星画像などといった全世界に溢れる「公開情報」を扱いながら、真実に迫る手法である。 では、ベリングキャットはOSINTを使ってどのような「真相」を暴いてきたのか? 『NHKスペシャル取材班、「デジタルハンター」になる』から特別にお届けする。 ウクライナ東部でマレーシア航空機が撃墜 2014年7月、ウクライナ東部の上空で、オランダ発マレーシア行きのマレーシア航空17便(MH17便)が撃墜され、乗客・乗員298名全員が死亡した。犠牲者の国籍は10ヵ国にも及び、なかでもオランダがいちばん多かった。 事故が起きたのはロシアの支援を
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える:ITmedia Security Week 2024 冬 2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。
インシデントレスポンスサービスを支えるOSINT-DB | NTT Communications Developer Portal
経営企画部 マネージドセキュリティサービス推進室の細谷です。私が所属するインシデントレスポンスチームでは、攻撃の被害に遭ってしまったお客様を対象としたインシデントレスポンスサービス(インシデント全容解明・再発防止策の提示)を提供しています。 今回は、インシデントレスポンスチームで構築したOSINT1のデータベース(通称、OSINT-DB)を紹介します。 OSINT-DBとは? OSINT-DBは、主にWeb上に公開されている悪性URLやハッシュ値などの脅威情報を予め収集し、インシデントレスポンスの案件対応時に検索できる弊社独自のデータベースです。OSINT-DBを活用することで、インシデントレスポンス時に見つけたURLやハッシュ値を最新の脅威情報と照らし合わせ、悪性かどうかを瞬時に判断することができます。その結果、既知のばらまき型マルウェアなどの早期発見や、解析時間の大幅な短縮につながりま
CTF OSINTカテゴリ 入門
2022/08/29(月)に 第30回ゼロから始めるCTF入門勉強会 で発表した資料です。 https://zeroctf.connpass.com/event/257534/ ■ 演習問題について □ 演習問題の画像は下記URLで配布していますのでダウンロードをお願いします https://drive.google.com/drive/folders/1a7QrkI3Twso2Hrv9g7qVmE0k4c65yU5h?usp=sharing □ 演習問題を取り組むにあたっては下記をご準備ください ・ブラウザ: Chrome のインストール ・Chromeの拡張機能『Search by Image』のインストール https://chrome.google.com/webstore/detail/search-by-image/cnojnbdhbhnkbcieeekonklommdnndc
はじめに こんにちは。7月下旬、セキュリティベンダー等のBlogを巡回していた際、ちょっと面白いBlogを発見しました。それがマクニカさんのBlog「ハニーマンション」です。 Blogのタイトルも惹かれたのですが、さらに本文の一文にも。 そうですか、特定しろとよみました。これはマクニカさんが出したOSINT CTFなんですね、と即座の理解しました(そういうフリにしか読めないです)。ということでこれに挑戦したWriteUpを書きます。 1章 FLAGの設定 このBlogから、こんな課題を勝手に設定しました。 ①ハニーマンションのIP/ネットワークを特定せよ ②ハニーマンションの立地を特定せよ 山崎さんの部屋まで特定せよ、という課題にしようかと思ったのですが、答えを得るのは現地まで行って表札の有無から確認する必要がある=刑法に触れる可能性もあり、難しいと考えて止めておきました。そして、今回使
![[OSINT]shodanを使ってハニーマンションを探せ|__aloha__](https://cdn-ak-scissors.b.st-hatena.com/image/square/0a2bb7b36786021becc517c3f55a0929ba03c96c/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F33673739%2Fpicture_pc_e003d23297974f7772d42b078a100823.png)
DevOpsと(セキュリティ系)静的コード解析 (+DAST)が相性が悪いのはなぜか - ぶるーたるごぶりん
※ 2020/5/22 一部加筆 SASTとIterativeな開発の相性の悪さ 若干煽り気味なタイトルですが、チーム内で話していてなぜセキュリティ静的コード解析(Static Application Security Testing: SAST)と言ったセキュリティアプローチがDevOpsで回りにくいのかが言語化できた。 そもそも静的コード解析というアプローチによるセキュリティ担保は基本的に「教科書的なウォーターフォール型」において有効で、 理由としては「人月・工数」のみで考えられた「誰でもその作業ができ、セキュリティの知識がなくても良い」みたいな作業者の能力を考慮しないアプローチが基本だからである。 そう言ったアプローチだと「SASTのアラート全部直してくれな!そしたらセキュアだから!」という形に落とし込むことにより、 問題をある程度封じ込めれると。 ただ、これをDevOps、というよ
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog おはようございます、技術戦略本部テクノロジーインテリジェンス室の鎌田篤慎と申します。 ヤフーでは中長期的な視点で新しいテクノロジーを獲得し、サービスに適用することで得た競争優位性をテコに、事業を成長させていくという取り組みがあります。そうした目的のもと、新しいテクノロジーをリサーチし、経営陣が適切なタイミングで適切な意思決定を行えるようなインテリジェンス活動を行っています。 この記事では、私たちのそうしたインテリジェンス活動の一端をご紹介することで、われわれ、ヤフーが捉える未来のインターネットへの布石がどのようなものなのかという話と、この記事をご覧の読者の方々がお勤めの企業において、技術戦略を策定する際のヒントになればと思い筆を取
この衝撃的な会話、警察官が交わしたものとみられます。戒厳令が出されている最大都市ヤンゴンのラインタヤ地区を見下ろす橋の上で3月14日に撮影されたとして出回っているものです。 これと同じ日、兵士たちが「ラインタヤでは容赦しないで重火器を使おう」と話しながら出動していく別の動画も投稿され、その後削除されました。 現地の人権団体AAPPによるとラインタヤ地区ではこの日1日だけで、60人以上が亡くなっています。 私たちは映像をもとにラインタヤで何が起きていたのか検証を続けています。 半世紀以上続いた軍事政権から民政に移管した2011年以降、ミャンマーの人々はスマートフォンを手に入れ、SNSを通じて海外の情報にアクセスし、国外の人ともつながるようになりました。 連行中に突然頭を撃たれ引きずられていった人 バイクで警察官の横を通ったところ狙い撃ちにされた後トラックに積み込まれた人 警察官の膝の間に挟ま
【更新履歴】 2020年12月10日 情報更新:12月10日にソリトンシステムズ(株)から脆弱性に係る情報が詳細の公開されため追記。 2021年3月2日 情報更新:「【重要】FileZen脆弱性に関するお知らせ」として2月18日に開発元のソリトンシステムズから新たな脆弱性に係る情報の発出がなされました。本件については脆弱性に係るパッチが存在しない「ゼロデイ」の情報であることが公開されています。 https://www.soliton.co.jp/support/2021/004334.html 2021年4月27日 情報更新: 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて https://www.cao.go.jp/others/csi/security/20210422notice.html また、情報がでてきたため、追加調査(パッチはいつ適用したのかを調
![[OSINT]Shodanを使ってFileZenを探せ その1|__aloha__](https://cdn-ak-scissors.b.st-hatena.com/image/square/4b5144d6d7dfe94349769dbdc4c146fe846efae2/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F40425274%2Fpicture_pc_fb297569192625412286ad66b9673712.png)
セキュリティ英単語帳
2022年6⽉ 独⽴⾏政法⼈ 情報処理推進機構 産業サイバーセキュリティセンター 第5期中核⼈材育成プログラム 「セキュリティエンジニアのための English Reading」プロジェクト 動詞 単語 意味 関連語 使用例 include ~を含む 【名】inclusion: 包含、含まれるもの 【形】inclusive: すべてを含んだ the email including a malicious macro 悪意のあるマクロを含むメール steal ~を盗む steal sensitive information 機微な情報を盗む exploit (脆弱性) を突いて攻撃する 【名】エクスプロイト (コード) 【名】exploitation: (脆弱性を突く) 攻撃 【形】exploitable: 悪用可能な actively exploited vulnerability よく攻
Black Hat USA 2019 / DEF CON 27に参加してきました | NTT Communications Developer Portal
技術開発部 セキュリティユニットの小林です。 8月上旬にアメリカ・ラスベガスで開催された Black Hat USA 2019 および DEF CON 27 へ参加してきました。その模様をレポートしつつ、初めての方向けのアドバイスも添えてお送りします。 Black Hatとは Black Hatは1997年より開催されているコンピューターセキュリティに関する世界有数のカンファレンスで、レギュラーイベントとしては毎年アメリカ (USA) 、ヨーロッパ (Europe) 、アジア (Asia) の3地域で行われています。今回参加したUSAはBlack Hatの中でも最も長い歴史を持ち、また参加者の数も最大です。USAの会場は例年ラスベガスのマンダレイ・ベイホテルのコンベンションセンターで、今回は世界112カ国から2万人を超える参加者が訪れました1。 ちなみに本来このイベント全体を指してBlac
知らないうちに、自分の個人情報が明かされているかもしれない。なんとも不気味で恐ろしいことだが、ネット交流サービス(SNS)の投稿内容から、発信者の情報を特定する行為が忍び寄っている。どのような投稿が危ういのか。身を守るにはどうすればいいのか。サイバー犯罪に詳しい専門家は「常に見られているという意識で投稿しなければいけない」と口をそろえる。 「卒業証書、停電、リュックにぶらさげたIC定期券……。何気ない投稿のつもりでも、こうした画像から生活エリアなどを特定される恐れがあります」 そう解説するのはITサービス大手「SCSK」(東京都江東区)のエンジニア、亀田勇歩さん(36)。2016年から仲間たちと、エンジニアとしての情報収集技術を高めるためのイベントを開いてきた。公開情報を読み解く「オシント(OSINT)」(open-source intelligenceの略)の一環として、画像の撮影場所を
ロシアによるウクライナ侵攻をめぐり、衛星画像などのデータ分析を駆使した最新の調査手法が注目を集めています。 「オープンソースインテリジェンス=OSINT(オシント)」とよばれ、かつては各国の軍や情報機関が中心でしたが、いま、世界中の民間の研究者やメディアも取り組む、新たな潮流となっています。 日本でこの分野をけん引してきた1人が、東京大学先端科学技術研究センターの専任講師、小泉悠さんです。OSINTを駆使してウクライナ侵攻に迫る小泉さんの取り組みを取材しました。 (7月19日の「国際報道2023」で放送した内容です。 動画は9分38秒。データ放送ではご覧になれません)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【#佐藤優のシン世界地図探索⑱】スターリン主義へ回帰するロシアの「機構」 - 政治・国際 - ニュース
米石油パイプライン企業へのサイバー攻撃についてまとめてみた - piyolog
‼ ロシア軍はNATO軍に負けた|✨わん🐶にゃん😺癒し動画✨
脅威モデリングを参考に、社内全体のセキュリティリスク可視化を試みた話
脅威 Intelligence と log 運用 - freee Developers Hub
ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare メモ
国土交通省から流出したと考えられるデータについてダークネット上で確認
ド素人がGitHub Hackingというものを考え試してみた - かわしまのつぶやき
我々の位置情報はいかにしてデータブローカーに収集・販売・集約され、政府機関にわたっているのか | p2ptk[.]org
ハワイにペーパーカンパニー、アルバムコレクションの正体は?(14) | Tansa
普段の調査で利用するOSINTまとめ - Qiita
中国との情報戦には「彼らに都合の悪い思想」を輸出せよ。例えば上野千鶴子とか【山本一郎】
Googleマップで「ロシア軍施設の衛星画像が高精細になった」と話題 Google「ぼかしを加えたことない」
Twitterがロシアのウクライナ侵攻の写真や動画を伝えるアカウントを次々と停止
家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始
優勝してきたぜ! ハッカーイベント「DEF CON」OSINT CTF体験記 (1/3)
Twitter、ウクライナ情報提供アカウントを複数停止に 「人為的エラー」と公式
ランサムウェア「Conti」操る犯罪組織の驚くべき正体判明、内部分裂か
地震発生から24時間以内のツイートを地図上で見れる「東日本大震災ツイートマッピング」が考えさせられる
犯人はロシア軍? 298名全員死亡…マレーシア航空17便撃墜事件の真相(樋爪 かおり) @gendai_biz
[OSINT]shodanを使ってハニーマンションを探せ|__aloha__
ヤフーにおける技術獲得の考え方、AI倫理の議論も添えて
「エンジェルさん」の死が問いかけるミャンマー軍の非道 | NHK | WEB特集
[OSINT]Shodanを使ってFileZenを探せ その1|__aloha__
オシント新時代~荒れる情報の海:卒業証書、停電、リュック… 何気ないSNS投稿に潜む落とし穴 | 毎日新聞
【動画】ロシア軍の実態に最新の調査手法で迫る 小泉悠氏 | NHK