Olivia
Online
starkiller
@exthocat
インシデントレスポンスとか、フォレンジックに興味がある事業会社セキュリティ担当者です。
Joined August 2021
1.1K Following
1.1K Followers
338 Posts
ISMS 認証取得、PCI DSS 準拠、SOC2 Type II、ご立派な看板が並ぶ。
監査の日には書類が完璧に揃い、ヒアリングでは全員が同じ模範解答を返す。終わった翌週には、検知ルールは「過検知だから」と無効に戻され、退職者アカウントは引き継ぎ表に「あとで停止」と書かれて放置される。
ふふふ、認証は事故が起きない保証じゃない。事故が起きた時に「やるべきことはやっていた」と言うための紙だ。これがリアルというやつだ。
セキュリティVS現場がAIによって加熱し、現場が目先の利便性や効率を優先し、未統制のツールや外部公開資産を増やし、インシデントが起きたら考えるというリスクを貯めることで、有能なセキュリティ担当者から脱出し、セキュリティ投資できる会社に移動し、他の会社は滅びる未来が見えた。今まで通り。
「ISMS認証は、病院をなんら守ってくれなかった」
経済産業省の審議官・奥家さんの指摘がまさに、と思った。
・昔ながらのチェックリスト100個、97個完璧でも致命的なダメージが出たら無駄(リスクベースが重要)
・「自社が頑張っても、取引先が穴ならアウト」(サプライチェーン管理)
セキュリティ人材の採用相談でも、とくに伸び盛りベンチャーで「ISMS取得支援の経験者」のニーズは多いです。
ただ「ISMS認証をとる」こと自体が目的になると、本末転倒。
自社だけじゃなく、グループ全体で何をやるか。
その視点を面接で語れる方を、企業は欲しがっています。
出典:奥家審議官 Interop Tokyo 2025 講演(2026/5/22 ScanNetSecurity)
【Process Hollowing】
①CreateProcessA(0x4=SUSPENDED)でnotepad.exe等の正規プロセスを起動
②NtUnmapViewOfSectionでメモリ解放③VirtualAllocEx+WriteProcessMemoryで悪性コード注入④SetThreadContext+ResumeThreadで実行。
sudoやsu以外でeuidが1001から0へ遷移するのは権限昇格攻撃の直接的証拠。AuditログからUIDの切り替わりを検知し、当該PIDの前後でEXECVE等のコマンドライン引数を確認すれば、悪用された脆弱性や攻撃フローの特定が可能。不審なバイナリ実行が伴う場合は特に有力な証拠となりえる。
LNK起動のHTA等がTypeLibのwin64キーへscriptモニカーでSCTを登録。COM解決時にscrobj.dll経由でSCTを正規プロセス上で実行させるTypeLib Hijacking手法です。DLL不要で検知を回避しつつ、正規プロセスの権限とメモリ空間を借りてスクリプトを実行可能です。
組織が拡大するほど、アクセス権限の管理がガバナンスの生命線になる。
個人情報を扱う場合、全員が全データを見られる状態は漏洩リスクを高めるだけじゃない。
M&Aの際に管理体制の不備として指摘される要因にもなる。
担当者ごとに管理範囲を限定して、必要なデータにだけアクセスできる仕組みを作る。
これは冷徹に見えて、実は従業員を不正やミスから守ることにもつながる。
顧客情報を「会社の資産」として定義して、誰が・いつ・どこまでアクセスできるかを仕組み化しておく。
この地道なデータガバナンスが、企業の信頼性と永続性を支える。
@hrx0904 CISSPとしての勉強はそれだけですが、
CompTIAやほかの資格も持っているため、元々持っている知識もありました。
・【日本語】初心者から学べるCISSP講座:CBK Domain 1〜8の問題だけ
・ISC2 CISSP 6 Practice Exams
CISSPの試験パスした!
udemyの演習問題だけで何とかなりました!
JS難読化では、文字列を配列化し、インデックス参照関数経由で取得する手法がよく使われる。これは自動難読化ツールで生成されることが多く、解析・検知回避を目的とする。巨大な文字列配列、16進数インデックス、配列回転ループが典型的特徴。
AssumeRole悪用は、侵害済みIAM/EC2権限から別Roleへ昇格し、一時認証情報で横展開・永続化する手法。信頼ポリシー(trust policy)の許可範囲が広すぎると、不要なRoleへ AssumeRole可能となり権限昇格が発生する。特に Principalの過剰許可や permission policyにおける sts:AssumeRole * が危険。
SNI偽装は、TLS開始前に平文で送られる接続先名(SNI)を trusted domain(例: https://t.co/A9QisdLrtX)に見せかけ、FW/IDSの許可判定をすり抜ける手法。
一方でHTTPS側は、証明書検証ロジックを操作すると「IP接続+別名証明書」でも警告なく成立する場合があり、C2通信を正規通信に埋もれさせる。
DCSync は Active Directory の正規レプリケーション RPCを悪用し、ドメコンになりすまして GetNCChanges を要求することで、対象アカウントの NTLM hash や Kerberos key を取得。Domain Admin 権限は不要で、Replication 関連 ACLが付与されていれば成立。典型例として Mimikatz の lsadump::dcsync
sqlmapはSLEEP(n)を含むサブクエリへランダムaliasを付け、MySQL構文成立とWAFの固定シグネチャ回避を図ってtime-based SQLiを試行する。防御側はaccessログ中のSLEEP、BENCHMARK、pg_sleep、WAITFOR DELAYやURLエンコードされた同等文字列と、前後の時刻差による約n秒の応答遅延を照合して検知する。
Notarization/Gatekeeperの仕組みが重要
NotarizationはApp Store外で配布されるソフトウェアに対する重要な安全層を提供。
公証済みアプリはmacOSのGatekeeperにより「信頼済み」と判定され、ユーザーの承認なしに実行をブロックされにくくなる。
ユーザーは信頼性の高いアプリを安全に実行
macOSのpkgを悪用したマルウェア。
curlで本体とplistを取得し~/Libraryへ配置、launchctlで永続化。
findで.pem鍵やKeychainDBを収集しzip化してC2へ送信。
Desktop等アクセス時にTCCの許可ダイアログが表示される典型的インフォスティーラー挙動。
.pkgはPayload展開とScripts実行で構成され、攻撃ロジックはScripts内のシェルに実装されることが多い。preinstall/postinstall解析でシステム変更を把握可能。7zやxarで展開して確認すれば、実行せず安全に挙動を調査可能。実際は難読化など簡単には読めないケースもあり。
FortiGateの脆弱性悪用を防ぐには、WANインターフェースのset allowaccess設定を確認する。特に、HTTP/HTTPS/SSHを許可すると管理画面や管理通信がインターネットに公開され、不正ログインや脆弱性攻撃のリスクが高まるため、原則無効化し管理ネットワークからのアクセスのみに制限する。
手動カービングは、WinHexでヘッダー(マジックナンバー)とフッター(トレイラー)のバイナリ範囲を指定し、抽出・保存する手法がある。ただし、ファイルシステム上でデータが不連続(断片化)な場合、単純な範囲指定では壊れたファイルが抽出されるため、各クラスタの連結順序の特定が必要。
JWTのSecretが弱いと、攻撃者がSecretを特定して署名を再生成できる
結果として権限などを改ざんしたJWTを作成でき、なりすましや権限昇格などの不正アクセスの危険
JWTを認証トークンとして使うシステム=stateless認証の場合はsecretをセキュアにすることや、有効期限の設定が重要
Last Seen Users on Sotwe
ฝากรูปสาวใหญ่สาวสวยน่าเย็ด
Seen from Thailand
สาวอ้วนขี้เงี่ยนมีผัวแล้ว (คู่แท้สวิงภาคใต้)
Seen from Thailand
Allsologirls
Seen from Indonesia
türbanlı delisi
Seen from Turkey
Ladyboy - Video Productions - 30.7K
Seen from Thailand
Hggh Gddg
Seen from Egypt
Varun Mayya 
Seen from India
مقاطع للبالغين
Seen from Egypt
mouna
Seen from Qatar
Your Amma Lover 😍
Seen from India
Trends for you
Most Popular Users
Elon Musk
@elonmusk
240.2M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.6M followers
Cristiano Ronaldo
@cristiano
109.2M followers
Narendra Modi
@narendramodi
106.9M followers
Rihanna
@rihanna
97.3M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.6M followers
KATY PERRY
@katyperry
87M followers
Taylor Swift
@taylorswift13
80.8M followers
Lady Gaga
@ladygaga
72.3M followers
Kim Kardashian
@kimkardashian
69.5M followers
Virat Kohli
@imvkohli
68.8M followers
YouTube
@youtube
68.6M followers
Bill Gates
@billgates
63.5M followers
The Ellen Show
@theellenshow
62.5M followers
CNN
@cnn
61.9M followers
Neymar Jr
@neymarjr
61.4M followers
X
@x
60.9M followers
Selena Gomez
@selenagomez
60.1M followers