セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

2016-01-01から1年間の記事一覧

Phishing FrameworkのGoPhishを検証してみた!!

以前、ソーシャル・エンジニアリング系のコミュニティにてGoPhishというオープン・ソースのフィッシングフレームワークを教えてもらい、なかなか使えるという評判を聞いていました。最近やっと検証する機会ができたので、検証結果をまとめています。 なお、U…

DEF CON 24 Social-Engineer Villageで講演してきた!!

2017/01/17 スライドをアップロードしました。 2ヶ月以上前の話ですが、DEFCON 24のThe Social-Engineer Villageにて講演する機会をいただだき、"Does Cultural Differences Become a Barrier for Social Engineering?"というテーマで講演を行ってきました…

ネットワーク・フォレンジック・ツール Broについて

先日、BSidesDCというカンファレンスにて、Bro Clash Courseというコースを受講してきました。そのメモを今日は共有します。 www.scientia-security.org Broとは? ネットワーク・フォレンジック・ツールとして知られており、Threat HuntingなどIR系で最近非…

BSidesDCに参加してきた!!

先日、BSidesDCというイベントに参加してきました。(バックデートして投稿しています。) Security B-Sides Washington DC BSidesシリーズへの参加は、BSidesCharm・BSidesBoston・BSidesLVと過去参加してきており、4回目です。いつも安価にもかかわらず非…

DerbyConに参加してきた!!

2017/01/18 投稿日付を変更しました。 先日、DerbyConに参加してきましたのでその参加報告を。 DerbyConとは? DerbyConとは、ダービー(競馬)で有名なケンタッキー州ルイビルで行われるカンファレンスです。今回6回目と歴史は浅いですが、米国のセキュリ…

DEF CON 2014に参加してきた!!

忙しく時間が取れていませんでしたが、記事を更新します。 BSidesLVの後にDEF CON 24に参加してきました。 DEF CONは、米国で開かれている最大級のカンファレンスのひとつです。通常、BlackHatというカンファレンスと一緒に参加することが多く、様々な分野の…

ペネトレーション・テスト関連ツール 2016

先日つたない記事を書いたところ、(このブログとしては)すごい反響をいただきました(かなりこっそりやっていて誰も見ているとは思わなかったので)。ペネトレーション・テストにみんな関心があるんだなと思い、もうひとつ記事を書こうと思います。 www.sc…

セキュリティの基本7原則

先日、Philadelphia InfoSec Meetupに参加してきました。今回は、Empower Security AcademyというWashington D.C.をベースとした人がセキュリティの基礎とAPI・Wiresharkについて話してくれました。 www.meetup.com 内容がビギナー向けなコンテンツでしたが…

(BlackHatに参加せず)BSidesLVに参加してきた!!

先日、BSidesLVに参加してきました。BSidesLVはBlackHatと同じスケジュールで開催されるカンファレンスです。 www.bsideslv.org BSidesLV:8/2 - 8/3 BlackHat USA:8/3 - 8/4 DEFCON:8/4 - 8/7 BlackHatは同僚が調査に参加していること、参加費も安くない…

格言から考えるセキュリティ

今日はすこし趣向を変えて、格言からセキュリティを考えてみたいと思います。 私がセミナーで講演をする際には、よく格言を色々引用することが多いのですが(そしてあまり好まれないのですが)、色々と示唆に含む発言も多いので個人的に好きなものを列挙して…

米国のペネトレーションテスト事情

2016/08/13 書き忘れた項目があったため、追記しました。 今日は米国流ペネトレーション・テストについての実情についてまとめてみたいと思います。 日本におけるペネトレーション・テストとは? ざっくりとまとめると、日本におけるペネトレーション・テス…

米国でセキュリティ人材としてスキルアップするには?

米国に赴任して以降、米港における人材育成方法にかなり興味を持って色々見ています。今回のエントリーでは、米国におけるセキュリティ人材の育成方法について書いてみたいと思います。 米国の人材育成の特徴 色々な人に話を聞く限り、米国には(日本人が想…

THE ELEVENTH HOPE: DAY3 の様子

Las VegasへBSidesLV・DEF CONに参加していたため、投稿が遅くなりました。以前のエントリに引き続き、カンファレンスの様子を書いてみたいと思います。 Hunting APTs using our free MazeRunner WORKSHOPの内容をもとに、別エントリーにまとめることにしま…

THE ELEVENTH HOPE: DAY2 の様子

前回のエントリーに引き続き、HOPE DAY2の様子をまとめていきます。 www.scientia-security.org Understanding Tor Onion Services and Their Use Cases Torに関する技術的プレゼンで、現時点の技術的解説とそれに今後の実装に関する内容が含まれていました…

THE ELEVENTH HOPE: DAY1 の様子

以前のエントリーに引き続き、HOPE DAY1の様子をまとめます。 www.scientia-security.org When Vulnerability Disclosure Gets Ugly CCSF(City College San Francisco)で講師をしているSam Bowne氏の講演です。授業中に行ったGoogle Hackingのデモを行った…

自動車セキュリティ(Automobile Security)の講演メモ

先日、HOPEに参加してきましたが、ひとつ注目を集めていたセッションの中に『2016 Car Hacking Tools』というセッションがありました。スピーカーは『The Car Hacker's Handbook: A Guide for the Penetration Tester』の作者であるCraig Smith氏です。 www.…

サイバー・デセプション(Cyber Deception)とは何か?

2016/08/11に記事の一部を更新しました。 サイバー・デセプション(Cyber Deception)というキーワードをご存知でしょうか? 最近ガートナーが発表した「企業・組織にとって戦略的な重要性を持つと考えられる情報セキュリティ・テクノロジのトップ10」にも登…

THE ELEVENTH HOPEに参加してきた。

金曜日から日曜日にかけてニューヨークで開催されるイベントHacker On the Planet Earth(HOPE)に参加していました。 [The Eleventh HOPE] Welcome to Hackers On Planet Earth! HOPEとは? 詳しい歴史などは、Hackers on Planet Earth - Wikipedia, the fr…

Philly New Technology Meetup に参加してみた。

先日、Phily New Technology Meetupに参加してみました。 www.meetup.com 今回のネタは、Microsoft HoloLensのデモとShara Evans女史による『Life in the Software-enabled World of Tomorrow』というプレゼンテーションでしたが、非常に面白かったので記事…

セキュリティ×安全学

大学で一番面白かった授業の教授は誰かと聞かれれば、科学哲学を専門としている村上陽一郎先生の名前を挙げるのですが、STS(科学技術社会論)の授業で取り扱われていた安全学という学際的なアプローチが非常に印象に残っています。 安全学とは? 詳しい説明…

フォレンジック・IRの米国資格事情

以前の記事では、ペネトレーション・テスターの資格について考察しましたが、今回はフォレンジックやインシデント・レスポンスの資格について考察してみたいと思います。(昔はフォレンジックをかなり専門的にやっていたのですが、最近はまったく携わってい…

セキュリティ×組織文化

セキュリティを組織に定着させるためには、組織文化が大きく絡むと考えることが多いのですが、セキュリティ&組織文化分析なんというテーマの研究があまり見当たりませんでした。その一方、「組織文化の分析と適用すべきアジャイル手法の選択」なんという面…

インセンティブ・セキュリティ

某学会に参加したときに知った概念でインセンティブ・セキュリティというものがあります。意外と知られていないので、少し考えをまとめたので記載をしてみたいと思います。 インセンティブとは? そもそもインセンティブとは、何でしょうか。簡単に言えば、…

FBI Elicitation Techniquesを翻訳してみた

注意:リンク先が変わったようで翻訳した内容も当時と異なる可能性があります。(2018/10/13) www.fbi.gov ソーシャル・エンジニアリングの世界で有名なドキュメントであるFBI Elicitaiton Techniquesを改めて読む必要があったのですが、今後も参照することが…

良いペネトレーション・テスターはどう見極めるべきか?

日本企業がセキュリティ診断をする場合、ベンダーに依頼することが一般的だと思います。 ベンダー選定時には、コスト・品質・評判など色々な判断基準はあるかと思いますが、特に品質は難しい問題です。「高品質なのか?」、「値段に見合う品質なのか?」とい…

ペネトレーション・テスターの米国資格事情

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。 日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。(評価には個人の意見がかなり含まれてい…

Philadelphia InfraGard All Day Trainingへ参加してきた!!

先日、Philadelphia InfraGard All Day Training というイベントに参加してきました。(バックデートして投稿しています。) InfraGardとは? InfraGardとは、FBIと民間セクターの連携を促進するための団体で、産業界・大学・法執行期間の関係者が参加してい…

BSides Bostonに参加してきた

2016/08/18 Youtube上にビデオが公開されていることを確認したため、追記しました。 先日、BSides Bostonというイベントに参加してきました。(バックデートして投稿しています。) BSidesの特徴などは、過去の投稿をご参照ください。 www.scientia-security…

BSidesCharmに参加してきた!!

2016/08/18 Youtube上にビデオが公開されていることを確認したため、追記しました。 先日、BSidesCharmというカンファレンスに参加してきました。(バックデートして投稿しています。) BSidesとは? BSidesとは、米国で開かれているカンファレンスの一つで…

物理ペネトレーション・テストの研修に参加してきた。

2016/08/12に一部内容を更新しました。 先日、テキサス州オースティンにて、物理ペネトレーション・テスト(Physical Penetration Test)の研修を受講してきました。(バックデートして投稿しています。) 米国では、Red Team Opeartionの流れや様々な情報漏…