Yosuke HASEGAWA
@hasegawayosuke
Followers
12,025
Following
595
Media
531
Statuses
33,260
株式会社セキュアスカイ・テクノロジーCTO / セキュキャン / CODE BLUE /
Osaka / Japan
Joined April 2007
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
الهلال
• 956787 Tweets
Neymar
• 321350 Tweets
Eminem
• 188884 Tweets
Ronaldo
• 166301 Tweets
#اغلي_الكووس
• 106906 Tweets
FLORENCIA AL 9009
• 93051 Tweets
رونالدو
• 92060 Tweets
سلمان
• 90804 Tweets
Al Hilal
• 84124 Tweets
#كاس_خادم_الحرمين_الشريفين
• 71507 Tweets
البليهي
• 67868 Tweets
Defante
• 41827 Tweets
Happy Pride Month
• 36670 Tweets
كريستيانو
• 34356 Tweets
Al Nassr
• 30275 Tweets
Stolas
• 29521 Tweets
نيفيز
• 24896 Tweets
كره القدم
• 21930 Tweets
جيسوس
• 20350 Tweets
Bono
• 18941 Tweets
الدون
• 16567 Tweets
コインor時短
• 16426 Tweets
كوليبالي
• 16200 Tweets
تمبكتي
• 15285 Tweets
علي الفوز
• 14615 Tweets
نيمار
• 12954 Tweets
#A101Boykot
• 12839 Tweets
اوسبينا
• 12423 Tweets
#radiozetaFHL24
• 11918 Tweets
ايمن يحيى
• 11269 Tweets
Pinned Tweet
そういうわけでよろしくお願いします。
1
16
76
リモートワークが当たり前になったIT職で誰にも気づかれないまま自宅で孤独死、本人がタイムカード打刻なども自動化していて会社も把握できなかった。みたいなのそのうち起こりそう。
27
838
4K
見てる。すごいな。 / ��化祭で某チェーン店を再現して失敗した話 - Qiita
3
1K
4K
log4jの脆弱性に関して実際に観測された攻撃や様々に難読化された攻撃パターンなどについて、本来であれば広く共有されたほうが脅威の理解や対策に役立つ情報が、日本国内では不正指令電磁的記録に該当するのではないかという懸念から表立っての共有が敬遠される様をいくつも見かけた。
3
1K
2K
自分も昨日ITmediaでめっちゃ出てきた。
元postでITmedia NEWSの編集長が対応を協議すると言われているのでとりあえず様子見ではあるものの、セキュリティ記事も多く扱っているメディアにこういう広告が入っていると、セキュリティの教育などで「この記事を参考に」などのかたちでの紹介ができなくなる
itmedia見てたらノーアクションで詐欺サイトに飛ばされてhistory破壊されて戻るボタンも効かないという。広告経由だと思うけど最近本当に治安が悪化していて、セキュリティのために広告ブロック入れてjsも無効化する暗黒時代が再来しそう
10
3K
3K
3
1K
1K
誰やこんな悪用方法考えついたやつ…。
とりあえず、Windowsならソフトウェアの制限ポリシーで「新しいパスの規則」からRLOがファイル名に入ったものの実行を禁止してしまうのが対策としては手っ取り早い。
友人から渡されたexeファイルによるウイルス感染問題、「流石にexeファイルは開かない」なんて人も騙されるのが、Unicodeの制御文字(RLO)で文字方向を途中から入れ替える手法。
ファイル名の途中にこの制御文字を入れ、そこから文字方向を変えることで、本来の拡張子とダミー拡張子を逆転させる。
13
12K
18K
4
565
1K
この手の悪意のある広告、ITmedia NEWSの編集長が対応を協議すると言われてからすでに2ヶ月近く経っている。(名前通り)メディアとしてはITへの適応力が高いところでも対応が難しいということで、一般的なメディアでの対応は無理なのではという絶望的な感覚
ITmediaのAIの記事を読んでいて、次のページを読もうとしてうっかり広告のボタンをクリックしたらこれが出た。閉じようとして色々なショートカットを試すもだめで、CTRL-ALT-DELを使うしかなかった。
22
1K
2K
2
723
981
勉強会の活動休止のお知らせ – すみだセキュリティ勉強会 「しばらく活動休止することにしました。理由は、昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないため」 (つД`)
1
1K
889
世の中でセキュリティ事故が発生したときに、セキュリティ業界の人が色々なことを言うけれど、関わってたセキュリティ会社の人は何も発言しないのが普通なので、誰が黙っているかを調べることでどの会社が関わっているのか推測できることがあります。発信されていないこと自体が情報的な意味を持つ。
2
429
805
機密情報の写った写真の塗りつぶしが雑だと復元できるというのを見かけたので試してみた。簡単。
1枚目:元写真にmspaintでブラシ「マーカー」を設定して黒で塗りつぶし
2枚目:パワポに貼り付け、図の形式→明るさ/コントラストを+40%/-40%
3枚名:何度か繰り返す。「5」っぽいのがそれとなく浮かぶ。
3
223
760
ペースト禁止にしてもクリップボード内に保持されているパスワードを盗まれることは防げないので、ペースト禁止にするのではなくペースト後にランダム文字列コピーするとかにしてほしい。
とてもわかるけど、クリップボードの中身はブラウザから簡単に抜けるのでパスワードがクリップボードに入ったまま他のサイトに行くと抜かれてアップロードされてしまう可能性がある。僕はパスワードをコピペした後は必ず適当な文章でクリップボードの中身を上書きする様にしてる。
16
977
2K
1
198
698
かつて、2月2日は情報セキュリティーの日と定められていたことがあって、SOCでネットワーク監視している友人が誕生日でもあるということで、そのSOC企業のコーポレートサイトに対して検知されそうなXSSっぽいペイロードにおたおめメッセージを載せてリクエスト送ったことがある。そしたら速攻で
1
280
689
「IDに連番を使わないほうがいい。仮にユーザーIDが連番だと…」
「紹介制のSNSで自分は3桁なIDだとか、変なマウント合戦が始まりますもんね」
1
205
628
日常的な定型業務も自動化しつつそれを悟られないために人間らしさも交えた処理になっていたとして、死後しばらく会社がそれに気づかないとしたら、それはもう労働力を提供しているのと変わらないのではないか、死後も給与を支払うべきなのではないか、みたいな哲学的問題につながる未来
2
146
617
次回の情報セキュリティ10大脅威、「信頼されるべき情報を発信している組織のWebサイトがリニューアルされ、各所から参照されていたコンテンツが軒並み404になる」ってのを入れておいて欲しい
4
312
564
福井産業支援センターのサーバー管理をしていたNECキャピタルソリューション社内で契約更新手続きがされておらず、契約期間終了扱いになりサイトの全データが消失。
5
704
504
偽造(?)マイナンバーカードの目視確認によるSIMスワップ事例。マイナンバーカードかどうかに限らず、身分証の目視での確認をやめない限り防ぐの難しそう。
昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェックをしていると画像のようなメールが突然届き、これはおかしい、とパスワード再設定しようと...
77
9K
9K
1
389
508
利用者の意図に沿わない動作をするcoinhiveなJS VS 設置者の意図に沿った動作をしない神奈川県警のJS
0
422
486
経験上、「文字化けしたメールを解読するのが好き」みたいな人はエンジニアとして優秀な人が多い印象だったけど、文字化けしたメールが絶滅したので優秀なエンジニアもいなくなった。
1
60
493
非エンジニア「こんなのってすぐにできる?」
エンジニア「簡単ですよ。また時間あるときに作ってみますね。」
→ 簡単なので好奇心が湧かず時間もないのでいつまでも作らない。
1
154
474
静 = 0x90 0xC3 = NOP/RET
3
173
481
見てる。設置会社、名指しなんだ。 / 弊社サーバーのマルウェア感染に関する お詫びとお知らせ – Endless Corporate
4
268
480
Unicode RLOを使った拡張子の偽装を、脆弱性じゃないよなと思いつつ報告したときのやり取りを発掘した。15年以上前。
0
179
470
学生からセキュリティ業界のキャリアの相談を受けた時は、「いまのセキュリティ業界の30代後半以上は、そもそも業界が存在しなかったり未成熟だった中でそれを作り上げてきた人が多いので、あんまり(自分を含めた)彼らのキャリアを参考にしないほうがいい」って言ってる。
0
128
460
組織内で「このままじゃ失敗しますよ」みたいな問題意識を持ってる(ように見える)人の一部には、失敗して欲しい願望というか失敗したときに「それ見たことか」って言いたい願望みたいなのを潜在的に持ってることがあって、そうすると、そういう人が関わってるとどうやっても失敗する。
1
83
458
むかし、Windowsのプログラム作ってて、どうしてもarpを投げる必要がでてきてすげー困ったんだけど、SendARPっていうWin32APIが準備されてるのを見つけたとき、WindowsってなんてすばらしいOSなんだって思いましたね。
2
80
447
海外ハッカー「日本でハッキングに関する資格って何かあるの?」
ぴんく氏「ITパスポートっていうのがある。これは名前通り、ITのあらゆる箇所へ入ることができるすごい資格だ」「それ以外にも支援士っていうのがあるが、これはアシスタントだ。大したことない」
…っていう話をつい先日きいた
0
137
444
とある勝手スライド共有サイトが自分のサイトのpptxを無許可でクロールしてるんだけど、XSSの説明をしたpptxなので、そのそのページを開いた瞬間 alert(1) が動いてて笑った。
2
274
427
「IoT機器のセキュリティ」って、稼働状態でのセキュリティばかりが議論されてて、廃棄後の内部の情報どうするのみたいな話ってあんまり聞かないな。
3
98
421
数日前の時点で「エンジニアは騒いでいるが一般人に届いていない。これはやばい」と気づいてメディアに連絡をとって報道までつなげた知人がいて、まじでそういうセンスすごいなって思う。自分ではそこまで俯瞰して全体を見れていなかった。
1
115
417
自分たちは把握してる情報なので共有する必要がないし、自分たちを守るという観点では共有しないという選択肢になってしまう。が、長期的には相当よくない状況だと思う。
0
225
412
Chrome、 chrome://flags から `Enable sharing page via QR Code` を有効にするとアドレスバーからQRコード生成できるようになる。QRには怪獣がいる。Android版ChromeもフラグはあるけどUIがない。
0
233
413
「情報セキュリティ10大脅威」に今回「セキュリティ人材の不足」がランクインしたわけだけど、あれの策定に関わってるセキュリティ業界の知人が続々と「おれはあの項目には投票してない」って言ってて、もしかすると人材不足すぎでセキュリティ人材ではない人が10大脅威を決めているのかもしれない。
0
300
383
「なぜHTTPが一番使われているかという理由のひとつは、いちばん使われているプロトコルだからです」っていう進次郎構文みたいな講義をした。
3
66
360
XSS探す人、 <img src=0 onerror=alert(1)> とか <img src=0 onerror=alert(1)> とか書くことが多いので、あらゆるディレクトリに 0 とか x っていう画像を配置しておくことでalert発火させないようにできる
5
62
360
先日お会いした、セキュリティの教育コンテンツを販売している会社の方も「ああいうレベルで逮捕・補導されるようでは、自分たちの事業も危ういのではないかと危機感を抱かざるを得ない。自分たちの感覚と乖離しすぎている」と言われていた。確実に萎縮してるだろ。
1
286
329
大量に届いたセキュリティキャンプ応募用紙を処理するため講師の一人が応募用紙をmarkdownに変換するスクリプトを書く→mdをpandocでhtmlに変換→ブラウザで表示→回答内のalertが発動。←いまここ
0
255
325
「たまごっちにWi-FiのSSIDとパスワードが平文で保存されてる」のやつ、コストや利便性考えたらどうしようもなさそうな気がするけど、一方で「今後も、PINやログインのような仕組みの導入も難しい安価な携帯機器もWi-Fi接続がより当たり前になっていく」を考えたら、それはそれで課題が。
1
84
316
これ、情報セキュリティの資料を置いてるのもいつサイバーテロの予備行為と見なされるかわからんな。他人事じゃない
個人のGoogle Driveに「装甲車の歴史」に関する研究資料を置いておいたら、自動的にテロリストと判定されbanされた研究者の話。アカウントごと削除されているため、サポートすら受けられないらしい。個人的なメールや写真も削除された。
12
4K
5K
0
163
295
Google docsが生HTMLからCanvasベースになるの、Google docs用ではなく「画面上のHTMLから何かする」みたいな汎用的なブラウザ拡張が軒並み動かなくなるのに忘れたころに気づくんだろうな。
3
57
287
セキュリティ業界で論争が発生するたびに例えば「徳丸さんと上野さんって実は仲悪かったんですか?」みたいになぜか僕に尋ねられることが時々あるんで、都度適当なことを吹聴してるわけですけど、そうすると「長谷川は適当なことしか言わない」という実績だけが積みあがり事実は闇に葬られ世界は平和へ
4
58
274
Windowsで、 `cmd /c "ping 127.0.0.1/../../../windows/system32/calc.exe"` でpingではなくcalc.exeが実行される。たしかに。おもしろい。
1
184
270
遠慮なく会社で技術書買っていいよって言っても、買わない人は買わないし買う人でも遠慮は入るので、「全員1冊技術書選んで!」って言って強制的に買う機会を年1くらいで設けてる。
1
106
258
これは徳丸本第2版に関するリーク情報なんですが、書籍のサポートフォーラム的なものが欲しいねという話題になった時にFacebookグループはどうだろうという提案が出たので、「問い合わせをするのにFacebookアカウントが必要なの武雄市みたいですね」ってコメントしたらFb案はボツになりました
2
142
258
──何歳?
19です
──女子大生かな?
そうです
──人前でのXSSは初めて?
はい
──緊張してる?
少しだけ(笑)
──初めてXSSにしたのはいつ?
高3の冬です
──じゃあまずalertからやってみようか?
え…いきなりここで…ですか?
2
237
243
今回のcurlの問題で象徴的なのは、公式に脆弱性情報が公開される前にベンダーからのパッチがフライング公開され、原因や影響が各所で推測、解析されていた点。たまたま影響を受ける環境が限定的だったが(←これは推定。まだ確定ではない)、もし影響が大きいものだったら未対応な状態でガンガン攻撃が。
2
89
242
斧を落とした事例を公開したら本物の斧が飛んできた事例だ。
このSQLインジェクション攻撃は末尾にシングルクォートが残りシンタックスエラーになるはずだ。無粋なようだが立場上指摘しないわけにはいかない / “ケースA 落とした斧の種類を尋ねた際に攻撃を受けた事例 - 脆弱性を攻撃される童話…”
1
492
494
0
270
232
相手に即レスを求めるな、非同期コミュニケーションであることの特性を自分のレスが遅いことの言い訳に使うな、自分のレスは相手のために極力早く返してあげると��い、あたりかな。
先日、社内向けにコミュニケーションガイドラインを書く機会があったんだけど、「テキストチャットに即レスしないと非効率になるということは、それは非同期コミュニケーションではなく同期コミュニケーションをお互いに強いています。非同期の良さを最大化したいなら、返事のタイミングが多少前後して
18
3K
11K
0
66
239
ISUCON の話が話題になってる中、過去「Webを改ざん対策製品を突破できるならやってみろ」というセキュリティのコンテストで`crackcontest. com` を `crack-contest. com` と誤記したのに気づいた人が後者のドメイン取って改ざん後のページを公開して終了ってのがあった。
0
85
234
メモ帳がLFだけの改行をサポートした��とについて "Today, we’re excited to announce that we have fixed this issue!" っていうの笑ってしまう。
2
222
233
パスワードのコピペ入力できないログインフォーム、JSコンソールから document.querySelectorAll('input[type="password"]')[n].value にコピペで代入してる
2
82
228
その手のサービスいろいろ、僕のあげたXSS解説スライドを勝手に複製して含まれてるテキストで勝手にXSS起こしまくってた
0
61
223
「セキュリティ会社に勤務してるけど立て続けに経営体制が変わってちょっとしんどい、もうちょっと小さい規模の会社がいい。オフィスは淡路町がいい」みたいな方、連絡お待ちしてます!
3
56
220
社内での「忘れてたPINを思い出せた」という発言に「ピンと来たんですね!」って返すの、仕事の邪魔になりそうだと思って自重したオレえらい。
0
34
222
USのMS本社にイベントで行ったら「時間あるならちょっと顔を出せよ」って別室に呼び出されて、その部屋に入ったらIE/Office/MSN/Windowsなど各プロダクトのセキュリティ担当者がずらっと並んで座ってて1時間くらい尋問された。
#フォロワーが体験した事が無さそうな体験
0
125
214
良かれと思って正規表現の例を公開する→マサカリが飛んでくる→誰も正規表現のサンプルを公開しなくなる→ググっても間違いの記事しか出てこなくなる
0
128
202
セキュリティに詳しいと偉そうになる(と見える)の、そもそもの構図が他者への間違いの指摘だし、公の場でとりあげるのは「やめたほうがいい」レベルではなく「絶対やめろ」みたいなレベルを指摘することになりがちなので、さもありなん、みたいな。技術に真摯であればなおさら。
2
59
208
もしこれがめっちゃ普及したら、Reverse HTTP Transportを使うプロキシーをリバースプロキシって呼ぶ未来もあり得る? / 逆向きに接続する Reverse HTTP Transport の仕様 - ASnoKaze blog
1
41
207
なるほどw RT 鍵: log4j をぼやきながらも生き生きうきうきしてる人たちが、セキュリティ担当者として雇うべき人たちです
1
67
200
バグハンターになると、ちょっと嫌なことがあっても「まあ数日すれば未公開のCVEも公表されるしな」ってなるし仕事でむかつく人に会っても「そんな口きいていいのか?私は某CVEの保有者だぞ?」ってなれる。セキュリティ戦闘力を求められるエンジニア社会においてCVEホルダーになることは有効 (???)
1
32
195
宗教上の理由でTwiter使わないっていう人と、先祖からの遺言でFacebook使わないっていう人と、業務上の都合でサイボウズLive使わないっていう人、その3人を相手に同時にコミュニケーションをとる方法を考えてる…。
11
251
183
VPN接続/切断時にPowerShellスクリプト使って壁紙を切り替えていたの、瞬間的にコンソールが表示されるのが気に食わなかったんだけど、おーいさんのこのテクニックのおかげでコンソールを表示せず実現できるようになった。ありがたい。
0
39
194
セキュリティパワポ職人仲間。
0
41
193
毎年春にはお客さんからも新入社員向けのセキュリティ研修をお願いされるのが何件かあるけど、そういうのの中で「米村でんじろうみたいな感じでお願いします」っていう依頼が今まで一番難易度高かった。
2
51
189
投機パケット、受信が完了する前に応答を返し始めるやつの出所を教えてもらった。すごい世界だ…。
http://t.co/jCTk71vAlh
http://t.co/xormsGxK0d
1
142
183
「取引先から要求されるセキュリティのヒアリングシート/チェックリストがフォーマットや内容が異なっていて記載に無限に時間がかかる」って話、最近ありとあらゆる会社の人から聞くんだけど、ほんとまじでこれ標準化できないものなのかな。
2
92
178
脆弱性探しに対して「そんな変なこと誰もしませんよ」「よくそういう発想に至りますね」みたいなのよく言われてきたけど、ChatGPTのプロンプトでみんな制約回避して想像を上回る出力を得てるのを見ると「そういうのやぞ、やればできるやん」って謎の上から目線なお気持ちが高ぶる
1
52
175
こういうのを後悔鍵認証と言います
1
57
172
Webアプリの難読化を解説した書籍のタイトルでECサイトでXSS
Most hilarious xss vector:
Write & publish a book with xss on the cover, then 0wn all the shopz!!
@thornmaker
@sirdarckcat
@garethheyes
9
338
998
0
90
163
しゅごい。 / 趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog
2
71
160
こんな方法ありなのw「なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです。何ということでしょう…。」
1
72
165
「勉強会でなれ合いしてるヒマがあったら手を動かせ」みたいなdisで疎外感を誤魔化しはじめてからが真のジジイ
最近の悩み: 東京でセキュリティ系のイベントよくやってるけど、ジジイすぎてキャッチアップできておらず、タイムラインの知り合いが行ってるツイートしてるの見てなんかイベントがあることに気づき、疎外感がある
1
1
38
0
24
163