DEF CON 31 & DEF CON Training 2023 参加記
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の庄司浩人です。 この度会社の支援を受けて、ラスベガスにて開催されたDEF CON 31への参加およびそのトレーニングプログラムであるDEF CON Train […]
View Articleグループメールの設定ミスによるAWSアカウントの乗っ取りと対策
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 皆様はAWSやGoogle […]
View ArticleIERAE DAYSトークセッションレポート 「GMOサイバー攻撃ネットde診断1万ドメインを診断してみた」
2023年12月7日(木)に開催された「IERAE DAYS」。その中で行われたセッションを対話形式でお届けします。1回目は「GMOサイバー攻撃ネットde診断 1万ドメインを診断してみた」です。GMOサイバーセキュリティ […]
View Article【DEF CON 31 出場の裏側 |前編】みんなの力を合わせて取り組んだ3日間
情報セキュリティのスキルを競い合うコンテスト、CTF(Capture The Flag)。そのなかでも世界最大規模を誇るのがラスベガスで行われる「DEF CON」です。2023年の本大会にて、GMOサイバーセキュリティb […]
View Article【DEF CON 31 出場の裏側 |後編】チーム力と個々の力により成し遂げた世界一の栄誉
※こちらは後編となります。前編では、参加のきっかけや当日の様子について聞いています。 前回に引き続き、2023年「DEF CON」に参加したエンジニアに迫る本記事。後編では、GMOサイバーセキュリティbyイエラエ株式会社 […]
View ArticleOSMR受験記とmacOSにおけるApp Sandboxエスケープの脆弱性について
はじめに オフェンシブセキュリティ部ペネトレーションテスト課の川田柾浩です。 普段はレッドチーム案件を中心にクラウドネイティブな環境やオンプレAD環境へのペネトレーションテスト、OSINTを含む外部からのペネトレーション […]
View Article暗号と情報セキュリティシンポジウム 2024 参加レポート
はじめに 高度解析部調査分析課の緑川・浅野です。この記事では、我々が参加した「暗号と情報セキュリティシンポジウム 2024 (Symposium on Cryptography and Information Secur […]
View ArticleIERAE DAYSトークセッションレポート 「イエラエが、今、SOCサービスを始める意義」
2023年12月7日(木)に開催された「IERAE DAYS」。その中で行われたセッションを対話形式でお届けします。2回目は「イエラエが、今、SOCサービスを始める意義」です。2023年春よりGMOインターネットグループ […]
View ArticleOSEP合格体験記 –ペネトレーションテストサービス品質のベースラインを作る取り組み
はじめに オフェンシブセキュリティ部の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテスト業務に従事しています。 突然ですが、皆さんはレッドチーム演習やペネト […]
View Article「日本で一番良いSOCを作りたい」SOC事業部の志とあくなき挑戦
GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第一回目は「GMOイエラエSOC 用賀」でも注目を集めたSOCイ […]
View Article見落としがちなURL正規化によるパストラバーサル
高度解析部アプリケーションセキュリティ課の金子です。 パストラバーサル(またはディレクトリトラバーサル)はXSSやSQLインジェクションに並んでWebアプリケーションに対する代表的な攻撃手法のひとつです。本記事では、パス […]
View ArticleApp Sandbox Escape vulnerability in macOS (CVE-2023-27966)
Introduction I am Masahiro Kawada, Penetration Testing Section, Offensive Security Department. Here, I report […]
View Articleプロセス(経過)とサイン(予兆)からの内部不正対策
はじめに こんにちは、ディフェンシブセキュリティ部 セキュリティスタッフ課の小林 雅哉です。 皆様は、「内部不正」と聞いてどのような印象をお持ちでしょうか。予期できない、対策がしにくい、疑心暗鬼になる・・・など、やや不気 […]
View Article侵入成功率は90%超!助け合い学び合う、最強ペンテスターチーム
GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第二回目は侵入成功率90%を誇るペンテスター集団、オフェンシブセ […]
View Article【HTB Business CTF 2024:Bulwark】Machine WriteupとActive Directoryの委任の話
はじめに ペネトレーションテスト及びレッドチームサービスのリーダーをしているルスランです。私達は「HTB Business CTF 2023」から参加し始めて、自分は今年も去年と同様に「Forensic」と「Fullpw […]
View Articleサービス紹介:FortniteやVALORANTはこうして狙われている!?Unreal Engine製ゲームのチートペネトレーションテスト
高度解析部アプリケーション解析課の伊藤と森木です。普段はAndroid/iOSのアプリ診断、Windows/macOSのデスクトップアプリ診断、ゲームチートペネトレーションテストを担当しています。 今回のブログでは、Un […]
View Article医療機関向けサイバーセキュリティ対策の効き方とは?:厚生労働省ガイドラインとランサムウェア攻撃から考える
はじめに こんにちは、ディフェンシブセキュリティ部 セキュリティスタッフ課の小林 雅哉です。 本ブログでは、医療機関のサイバーセキュリティ対策をご担当されている皆様に向けて、厚生労働省が公開している「医療情報システムの安 […]
View Article危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5. […]
View Article国産ASMツール「ネットde診断 ASM」でセキュリティ管理の障壁を下げる!担当者が語る開発秘話
GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第三回目はプロダクトサービス事業本部とマーケティング部のメンバー […]
View Articleエンジニアが語るMicrosoft Azure, mac OS, GitHub, LINEの脆弱性の見つけ方
スピーカーのご紹介 寺村 亮一博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTR […]
View Article