2023/3/6 セキュリティ関連Twitterメモ
最近伸びているセキュリティ系オープンソースのdb. 一位はメタスプロイト。我らがtrivyは12位 #転記 https://t.co/VeQKazC3sC
— ken\d|\x (@ken5scal) Feb 19, 2023
Flattセキュリティ、スタートアップとトレンド予想。この中に紹介されてるArnicaは、今語られるdevsecops がほぼほぼパイプライン埋め込み型であるのに対して、hookを元にライトウエイトなpipeline lessを提唱しているのに好感を覚えるんだな? #転記https://t.co/b5olICll80
— ken\d|\x (@ken5scal) Feb 20, 2023
英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16) - まるちゃんの情報セキュリティ気まぐれ日記 https://t.co/uuKXIilmc1
— Mitsuhiko Maruyama (@maruchan_MM) Feb 20, 2023
ペイメントアプリケーションの改ざん(Webスキミング)に関する概説と対策手法について https://t.co/PXFQK7LrDi
— anemone_fish (@anemone_fish) Feb 20, 2023
尼崎市 個人情報入りUSB紛失問題で対策強化|NHK 関西のニュース https://t.co/ODmfkkmH5b ”それぞれの部局の情報システムを統括する役割を副市長が一元的に担った上で、それを補佐するため情報セキュリティーについて専門的な知識を持った人材を外部から新たに登用するという”
— ねこさん?(ΦωΦ) (@catnap707) Feb 21, 2023
Red Teaming Active Directory https://t.co/jBSEwLCcVb #Pentesting #CyberSecurity #Infosec https://t.co/lBj2Ls7Uwj
— Ptrace Security GmbH (@ptracesecurity) Feb 21, 2023
New OSCP Reporting Tool (SysReptor) https://t.co/9s5Uc3f1LW
— @_r_netsec@infosec.exchange (@_r_netsec) Feb 21, 2023
爆誕していた / OWASP Kubernetes Top 10 - Sysdig https://t.co/GKTh3aJ9SS
— Toru Makabe (@tmak_tw) Feb 21, 2023
サイバー人材「100万人育成」 資格団体、無料教材提供:日本経済新聞 https://t.co/Y1ion93GFr "(ISC)2(国際情報システムセキュリティ認証コンソーシアム)は実務経験を必要としない初級レベルのサイバー人材の資格制度を立ち上げた。教材や試験を無償提供し、日本でも2022年末に試験を始めた"
— ねこさん?(ΦωΦ) (@catnap707) Feb 22, 2023
CVSSは実社会の影響に対応できていないとの批判。JFrog社による調査では、「大多数」の事例ではNVD上のCVSS評価より自社調べの評価のほうが点数が低くなる。報告されているほど実際の悪用は容易ではないことや、多くの脆弱性では複雑な構成の環境や条件が必要なことが要因。 https://t.co/fDRxOO1HuR
— kokum?t? (@__kokumoto) Feb 22, 2023
「スマホの電源がオフの間も監視するマルウェア」はどのように動いているのか?(2015) https://t.co/NJApsS18gX
— GIGAZINE(ギガジン) (@gigazine) Feb 23, 2023
ProjectWebの次はFENICS。いずれも重要インフラを担うサービスで、一般にはあまり知られてないものをしっかり調べて狙ってる?攻撃者の狙いは結局、富士通の顧客に対する諜報とテロ準備だよねきっと。 / “富士通、法人ネット回線にサイバー攻撃 通信内容漏洩か - 日本経済…” https://t.co/2b2rxptdaD
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) Feb 23, 2023
良まとめ。 私は #Boot2Root 形式が好みです。 #VulnHub #HackTheBox #TryHackMe https://t.co/0Jb8fnoS4L
— Noriaki Hayashi (@v_avenger) Feb 24, 2023
【Asahi Lina】AppleのGPUドライバの脆弱性を専門家に教えてもらおう!【kurenaif】 低レイヤわからないので今回も専門家に教えてもらいます! コラボ相手は… 朝日リナ( @LinaAsahi )さんです!?!?!?https://t.co/t24wYEZKE2 @YouTubeより https://t.co/G5zeGpjsTB
— kurenaif????@2/26 20:00からコラボ配信! (@fwarashi) Feb 25, 2023
NISC インターネットの安全・安心ハンドブックVer 5.00 (2023.01.31) - まるちゃんの情報セキュリティ気まぐれ日記 https://t.co/YtD2Uz1iiv
— Mitsuhiko Maruyama (@maruchan_MM) Feb 25, 2023
Useful Resources for Pentesting and Bug Bounty https://t.co/toSuzbHgW7 #bugbounty #bugbountytips #cybersecurity #hacking https://t.co/wvIxc9XlmH
— Lohitaksh Nandan (@NandanLohitaksh) Feb 26, 2023
総務省 「クラウドサービス利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」 の公表 https://t.co/QpjartMtUk
— モグ|セキュリティ系マネージャー (@moneymog) Feb 27, 2023
- robinhoodにおけるDfirのエピソード - 攻撃検知はカスタムメイドではなくベンダーメイドやプラットフォームベースから始め、Threat intelligence/purple teamなどに展開 -プラットフォームはログをとれるので、カスタマイズしやすい #転記 https://t.co/rgbWvc2SsQ
— ken\d|\x (@ken5scal) Feb 27, 2023
LastPassへの攻撃についての情報が公開されたとのこと。元のリリースに攻撃の流れや対応内容が記載されていますね。 LastPass: DevOps engineer hacked to steal password vault data in 2022 breach https://t.co/gtqEbkDLTm
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) Feb 28, 2023
Incident 2 ? Additional details of the attack - LastPass Support https://t.co/DcdzRGrshy
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) Feb 28, 2023
こちらマルウェアではなく、NECさんの設定ミスだったとのこと https://t.co/KMCXhIEFwT https://t.co/H5G7fATsbl
— 徳丸 浩 (@ockeghem) Feb 28, 2023
Malware Analysis Series has exactly 450 pages so far: MAS_1: https://t.co/CqJcmTzygA MAS_2: https://t.co/49XWAoYgb9 MAS_3: https://t.co/eVgSSSzBhQ MAS_4: https://t.co/5b3zrZMZXk MAS_5: https://t.co/JMqvn2wK67 MAS_6: https://t.co/7WKSDijTIb MAS_7: https://t.co/V3rw0gSZfu
— Alexandre Borges (@ale_sp_brazil) Mar 1, 2023
パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 - GIGAZINE https://t.co/A5vL1RMZxA 『この際、攻撃者は管理者のアクセスキーを用いて各種データにアクセスしていたため「異常な動作」が検出されず、問題発見の遅延につながったとLastPassは述べています』
— にゃん☆たく/takumi.a (@taku888infinity) Mar 1, 2023
ランサムウエア攻撃ツール総まとめ https://t.co/IAy4gRq4lR
— にゃん☆たく/takumi.a (@taku888infinity) Mar 2, 2023
Windows 11のUEFIセキュアブートをバイパスしてPCを乗っ取る恐るべきマルウェア「BlackLotus」が70万円弱で販売されていることが発覚 - GIGAZINE https://t.co/WC2TMqIkGi
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) Mar 3, 2023
中華人民共和国の国家支援型サイバー犯罪者が積極的に悪用するトップCVEs アメリカのセキュリティ庁が評価した、2020年以降使用したものを提供。 悪用される脆弱性はなんだったろうとまるっと振り返り、整理するにはちょうどよい感じ。 https://t.co/gCC6kRkOdo
— つみたてエンジニア (@jojoginta) Mar 3, 2023
Anyone in need of a signed Mimikatz executable? https://t.co/5mur2FfeHE https://t.co/EoIGL9WccK
— Florian Roth (@cyb3rops) Mar 3, 2023
Active Directory Exploitation Cheat Sheet https://t.co/1Zr0OiQAa5 #cybersecurity #infosec #hacking https://t.co/YBKPIw0PrS
— Lohitaksh Nandan (@NandanLohitaksh) Mar 3, 2023
コード署名されたMimikatz!! https://t.co/T1skz3XacG
— Shota Shinog?i?? (@Sh1n0g1) Mar 3, 2023
Emulating the Cybercriminal Initial Access Broker #TA551 https://t.co/ZnD2tfNBck
— Cyber_OSINT (@Cyber_O51NT) Mar 4, 2023
Forkwellのエンジニア文化祭2023での講演資料です #Forkwell文化祭 / “ウェブセキュリティの知識は普及しているか、徳丸本の著者が憂慮していること | ドクセル” https://t.co/QZ2ynP4qte
— 徳丸 浩 (@ockeghem) Mar 4, 2023
面白そうなものが次から次へと出てくる https://t.co/Aqbi49hLh7
— shinobe179 (@shinobe179) Mar 4, 2023
Awesome Penetration Testing https://t.co/289yEIXuhO #cybersecurity #infosec #hacking #bugbounty https://t.co/Hj6zxkl5bh
— Lohitaksh Nandan (@NandanLohitaksh) Mar 5, 2023
ペネトレーションテストのユースケースに適用するのに適したチェックリストのリスト。 どのようなコマンドを使うべきか忘れてしまった場合や攻撃手法の把握などで役に立ちそう。 https://t.co/j2IiCUleZI
— つみたてエンジニア (@jojoginta) Mar 5, 2023
CISAによる重要インフラ組織に対するred team活動報告書。概要と本文チラ見したけど詳細が凄い. 各攻撃フェーズのイベントとmitre tacticsと実際のactionを表形式に纏めてるので再現可能なプロセスになってる。issueとrecommendationもわかりやすい。ゆっくり読む #転記 https://t.co/E2BMO5JdEV
— ken\d|\x (@ken5scal) Mar 5, 2023