Japan
サイト内の現在位置を表示しています。
NEC セキュリティブログ
NEC セキュリティ技術センターのエンジニアが、サイバーセキュリティに関するテクニカルトピックスをお届けします。


Microsoft 365 SharePoint Onlineのフォレンジック

セキュリティ対策におけるリスク~「リスク受容=何もしない」ではない~

CISAが展開する脆弱性情報充実化プロジェクト「Vulnrichment」について

ばらまき型フィッシングメールについてv3

Objectionを用いたモバイルアプリの動的解析

LLMのテストプラットフォーム「Giskard」を触ってみた

AIレッドチームのいわゆるAI脱獄問題や多言語問題について

ペネトレーションテスターの視点で見る「AIセーフティに関するレッドチーミング手法ガイド」

クレジットマスターの特殊な脅威
水田 辰也
宮澤 智輝

AIエージェントを活用したサイバー脅威インテリジェンス生成とAWS Config・Ansibleを用いたセキュリティ実装の効率化、体験CTF~CODE BLUE 2024~

Red Team Ops:Cobalt Strikeを用いたレッドチーム演習のトレーニングと資格

CVE IDの付与可能範囲が拡大、従来出来なかったクラウドサービスもOKに

MEGA CMDによる情報盗み出し時の痕跡について
浅原 洋
川西 康仁
長浜 佑介
長谷川 奨
Kた

Hardening 2024 Convolutions参加記

簡単!Excelからはじめる脆弱性管理 ~トリアージ~

ランサムウェア被害と暗号資産価値

AWS向けセキュリティ診断:Amazon Inspectorの性能を検証

MITRE ATT&CK 頻出手口 トップ10 Vol.6

USBデバイスの接続痕跡について

NEC Security Skills Challenge for Students 2024開催報告

サイバー攻撃によって生じる損害額
Dr.Manikantan Srinivasan
Dr.Sareena Karapoola

ChamelDoH インプラント ~DNSトンネリング or DNS over HTTPS (DoH) ?~

ビジネスメール詐欺について

Microsoft Power Automateのセキュリティ

「PortSwigger Web Security Academy」でWeb LLM の脆弱性を学ぶ
Dr.Manikantan Srinivasan
Dr.Sareena Karapoola

Andromedaマルウェアの解析

2024年改訂「情報セキュリティ早期警戒パートナーシップガイドライン」について解説
S田
田中 大樹

XZ Utilsに対するサプライチェーン攻撃から考えるバックドアの検知

【入門】SSVCとは?基礎を学ぼう!

MWDBとKartonを用いたマルウェア管理システムの構築方法のご紹介
勝瀬 陸

Windowsフォレンジックの効率化とAIエージェントによるサイバー脅威インテリジェンス生成 ~Hardening Designers Conference 2024~

Active Directory Certificate Services (ADCS) におけるAttack Path

OWASP IoT Security Testing Guideを読んでみた

ダッシュボード作成に関するガイドラインやベストプラクティスのご紹介

Difyで作ったAIチャットアプリでペンテストを一部自動化できるか試してみた

OWASP Top 10 CI/CD Security Risksから考えるCI/CDパイプラインのセキュリティ

デスクトップ版OneDriveのフォレンジック
松井 祐輔
桐下 拓也

Splunk Boss of the SOCに向けた取り組みの紹介

Amsterdam 2024 FIRST Technical Colloquium参加記

ばらまき型フィッシングメールについてv2

英国のCyber Assessment Frameworkを読んでみた

クレジットカード決済の認証サービス「3-Dセキュア」の思わぬ落とし穴
山﨑 泉樹
郡 義弘
中島 春香

セキュリティ・バイ・デザインの取り組み~第4回九州サイバーセキュリティシンポジウム~

トップレベルの高専学生向け演習”2023 堅牢化スキルチャレンジ”開催報告

CCSP合格体験記:クラウドセキュリティのベンダーニュートラルな資格

攻撃者がサイバー攻撃の成果を主張する事例に着目してみる

MobSFを用いたAndroidアプリの動的解析手法

Fargoランサムウェアの解析結果のご紹介

クラウドサービス利用における責任共有モデルの実情について
小泉 嘉彦
桐下 拓也

Tanium CTF参加レポート

PowerShellのログを理解する

NECのセキュア開発の取り組み

QRコードのセキュリティについて

セキュリティ対策ソリューションの選び方

CIS Controls®の実装状況を評価するためのツール「CIS CSAT」のご紹介

LME × Hayabusa - Windowsイベントログの集約と解析の効率化

本当は怖いXML ~XML外部実体参照(XXE)に関する脆弱性について~

Splunk Boss of the SOC参加レポート

国内で検討が加速しているeシールの紹介

そのCron設定、安全ですか?
宮崎 駿

フォレンジック調査におけるマルウェア解析の活用とMITRE ATT&CKに新しい脅威情報を提供して貢献する方法~CODE BLUE 2023~

業種別(医療機器/自動車/電気・通信/金融)のSBOMへの取り組み
松本 隆志
中島 春香
長浜 佑介
杉本 元輝
高橋 航

シェルスクリプトとGrafanaを使用したサーバ監視~Hardening 2023 Generatives~

オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介

Active DirectoryにおけるAttack Path(攻撃パス)

EPSSとCVSSを組み合わせた脆弱性ハンドリング

話題のOpen Interpreterを触ってみた

ハッシュ値問い合わせツール「munin」のご紹介

Elastic Securityを触ってみた

RDPビットマップキャッシュについて

NEC Security Skills Challenge for Students 2023開催報告

HayabusaとSplunkによるファストフォレンジック効率化

情報セキュリティとは何のためにあり、どう向き合えばよいか
吉田 樹弥

CRYPTREC暗号リストの改定について

ばらまき型フィッシングメールについて

セキュリティ業界でのワーママのキャリア形成について考える

【合格記】あなたはCCSE(Certified Cloud Security Engineer)を知っていますか…?

アルティメットサイバーセキュリティクイズ2023参加記

OSCP合格体験記:ペネトレーションテストの国際的認定資格へのチャレンジ
U松
木津 由也

インシデント発生時のフォレンジック効率化とAnsible Playbookによる効率的な堅牢化~サイバーセキュリティシンポジウム道後2023~

AWSのセキュリティイベントシミュレーションツール「AWS CloudSaga」のご紹介

MITRE ATT&CK 頻出手口 トップ10 Vol.5

「OWASP Wrong Secrets」でシークレットの管理を学ぶ

電子メール誤送信の発生原因と対策

安全なコンテナイメージレジストリIron Bankの紹介

効率的な堅牢化に役立つツール「CIS Build Kit」のご紹介
竹内 俊輝
宮崎 駿

濃厚なサイバーセキュリティ最前線:攻撃手法の解析とAnsibleによる堅牢化の自動化~Hardening Designers Conference 2023~

Adversary Emulation × AutomatedLab - 攻撃エミュレーション環境を自動で作成する

RSA Conference 2023参加記

ChatGPTをはじめとするLLMでサイバー脅威インテリジェンスは作れるのか

インシデント対応時の証拠データ収集ツールMagnet Responseについて

サービス提供者側が行うべきフィッシング対策について

Pentest Active Directory LAB project - GOADの紹介

SBOMが解決する課題と関連資料の紹介

Windowsの権限昇格の脆弱性(CVE-2023-21746、LocalPotato)の検証

Azure Active Directoryのゲストユーザー侵害による情報収集

Androidアプリの静的解析ツール「APKHunt」のご紹介

クラウドで使えるセキュアなマシンイメージ CIS Hardened Images

情報セキュリティインシデント対応におけるガイドラインの紹介と活用例

ハニーポットで見るログイン試行

ChatGPTとセキュリティに関わる課題

個人情報保護士認定試験を受けてみた

Amazon ECRにEvilなコンテナをねじ込んでみた

「能動的サイバー防御」を考える、この言葉の指すところは何なのか?

資格情報の窃取 ~Cached Domain Credentials編~

スレットランドスケープの歩き方

無料で利用できるセキュリティ学習アナログゲームを5つご紹介

メタバースと脅威インテリジェンス共有

NECセキュリティスキルチャレンジ2022開催報告

パスワードに代わる認証方式として注目される「パスキー」について

KubernetesのPod Security Policy非推奨化と今後

Hardening 2022 DECADE参加記

日本の大学を詐称する日本語で書かれたばらまき型メールの解析

MITRE ATT&CK 頻出手口 トップ10(2022年4月~9月)

脆弱性対応の判断に有効なKEV(Known Exploited Vulnerabilities catalog)の解説

ローコード開発におけるセキュリティ検討ポイント

MobSFを用いたiOSアプリのソースコード解析

SIEMシステム用シグネチャフォーマット「Sigma」とSigmaルールの変換ツール「Uncoder.io」のご紹介

CVE-2007-4559(Pythonのtarfileモジュールに対するディレクトリトラバーサル)についての考察

多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について

ポートスキャンツールRustScanのご紹介
岡 史晃

脆弱性管理におけるCVEと修正パッチについて

Living off the land というサイバー攻撃の方法論

経験から考えたインシデント対応のポイント

OWASP Top10 Low-Code/No-Code Security RisksとOWASP Top10の比較

インターネット定点観測環境について

「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」を読んでみた

ここがスゴイぞ!ICSCoE 中核人材育成プログラム

国内におけるインシデント報告傾向を見てみる

フォレンジックにおけるSRUMの活用

Virtual AttendanceからみたFIRSTカンファレンス

新しいクラウド認定制度ISMAP-LIUが発表されました
榊 龍太郎
松本 隆志

Atlassian Confluenceに見つかったリモートから任意のコードを実行可能な脆弱性(CVE-2022-26134)の検証

重要インフラに求められる情報セキュリティ
榊 龍太郎

Microsoft Wordなどを介して任意コード実行が可能なMSDTの脆弱性(CVE-2022-30190、Follina)の検証

ウェブサイト改ざんについて

PCやスマートフォン、タブレット端末などのソフトウェアアップデートについて

ソフトウェアサプライチェーン対策の紹介

MITRE ATT&CK 頻出手口 トップ10 Vol.3(2022年5月版)

トレーニングコンテンツ:脆弱なウェブアプリケーション「VulnerableAPP」のご紹介

ディレクトリスキャンツール「feroxbuster」のご紹介

偽情報・誤情報とサイバーセキュリティ

トレーニングコンテンツ:脆弱なAPIラボ環境「vAPI」の紹介

Windowsイベントログのファストフォレンジックツール Chainsaw

産業制御システムのセキュリティについて:A SANS 2021 Survey: OT/ICS Cybersecurityより考察

2021年の迷惑メールを振り返る

セキュア開発の取り組み方について考える

アジャイル開発におけるセキュリティテストとIAST

アカウントや銀行情報を窃取するフィッシングメール

改めてWindows OSのセキュリティ設定を考える

トレーニングプラットフォーム「BLUE TEAM LABS ONLINE」のご紹介

アクティブディフェンスとその先行事例について

コンテナイメージのセキュリティ

【図解】サイバーレジリエンス

AWSエクスプロイトフレームワーク「Pacu」のご紹介

そのURLはそっくりさん?~ミスリードURLに注意~

プログラミング言語のパッケージ管理ツールに潜む危険性

Hardening 2021 Active Fault参加記

【2周年記念】エンジニアにとって「伝える」ということ

サイバー攻撃リスクを自動診断するための技術

トレーニングプラットフォーム「CyberDefenders」のご紹介

MITRE ATT&CK v10のアップデートについて

トレーニングコンテンツ:脆弱なAPIサーバー「Tiredful API」のご紹介

ペネトレーションツールの紹介 ~nuclei~

メモリフォレンジックツール Volatility Explorer

MITRE ATT&CK 頻出手口 トップ10 Vol.2(2021年10月版)

スマートフォンにおける個人情報の外部送信を調査する方法

脆弱なAWS環境構築ツール「CloudGoat」で学ぶクラウド環境におけるSSRF

国家によるサイバー攻撃に対する声明「パブリック・アトリビューション」について

サイバーレジリエンスとはなにか(パート2:他分野やリスクとの関係)

サイバーレジリエンスとはなにか(パート1:定義と成り立ち)

本当は怖いワイルドカード(「*」)

【コラム】NECとセキュリティ教育

クラウドサービスを利用する際の責任範囲の明確化とクラウド事業者の信頼性の確認について

暗号鍵管理のガイドラインNIST SP800-57 part1のご紹介

特権コンテナの脅威から学ぶコンテナセキュリティ

トレーニングコンテンツ:「PentesterLab」のご紹介

Best Practices for MITRE ATT&CK® Mappingの紹介

トレーニングコンテンツ:脆弱なAndroidアプリ「InsecureBankv2」の紹介 ~動的解析~

NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察

ペネトレーションツールの紹介 ~LFISuite~

WEBファジングツール FFUFのすゝめ

MITRE ATT&CK v9の注目更新ポイントをご紹介

認証方式の整理とNIST SP800-63での認証方法決定

Bluetoothによるファイル送信の解析

セキュリティ学習プラットフォーム:「Hack The Box Academy」を触ってみた

CNA (CVE Numbering Authority)について

「DetectionLab」で手軽にWindowsラボ環境を構築

NECセキュリティスキルチャレンジ2020開催報告

MITRE ATT&CK 頻出手口 トップ10(2020年度下期)

偽ショートメッセージ「不在通知SMS」について2

2038年問題はセキュア開発で防げるのか?

トレーニングコンテンツ:「Log Analysis Training」のご紹介

ランサムウェアによる第三の脅迫手法

トレーニングコンテンツ:脆弱なAndroidアプリ「InsecureBankv2」の紹介

ペネトレーションツールの紹介 ~Ninja C2~

セキュリティアウェアネスとは何か

ペネトレーションツールの紹介 ~ProxyChains~

脅威インテリジェンス共有基盤の取り組み

パスワード付きzip PPAP 問題について

情報処理安全確保支援士と(ISC)²の倫理からセキュリティのプロフェッショナルに求められている心得を考える

AWS環境での疑似インシデントレスポンス

ビジネスとして改良が続けられている二重脅迫ランサムウェア

JavaScriptで書ける!APIフックによるマルウェア動的解析

PortSwigger Web Security Academy: Business Logic Lab – Write-up

そもそもテレワークのセキュリティとは何かを考える

ゼロトラストの実現とSASE(Secure Access Service Edge)について

ATT&CK con とATT&CKフレームワークの変化

本当は怖いsudoコマンド

【超図解】ゼロトラスト

RE for Beginners: Playground Exercises - Write-up

OSWE認定試験の紹介と受験記

偽ショートメッセージ「不在通知SMS」について

パスワードの要件をガイドラインと実態調査から考える

個人情報漏洩インシデント発生時の損害額算出モデル

CTF作問での新たな挑戦と得られた気づき

New Normal時代のリスクアセスメント
郡 義弘
2020年7月31日

二重脅迫ランサムウェア攻撃の増加について
山﨑 泉樹
2020年7月10日

メモリフォレンジックCTF「MemLabs」Lab2のWriteUp
山田 道洋
2020年7月3日

Microsoft Azureでのディスクフォレンジック
杉本元輝
2020年6月26日

Azure Security Virtual Training Day参加記
中島 春香
2020年6月19日

トレーニングコンテンツ:「Hack The Box」を触り始めてみた
日下部 孝太朗
2020年5月29日

ICSの特性と脅威対策 ~つながる社会のセキュリティ対策~
妹脊 敦子
2020年5月22日

CIS Benchmarksを活用したシステムの堅牢化について
角丸 貴洋
2020年5月8日

MITRE ATT&CKサブテクニックでみるサイバー攻撃の手口
大家 政胤
2020年4月24日

トレーニングコンテンツ: 脆弱なサーバレスアプリケーション「DVSA」の紹介
江村 勇紀
2020年4月17日

ペネトレーションツールの紹介 ~Koadic編~
岩下 直之
2020年4月10日

SCAPの要素 第一回~製品の識別と脆弱性情報管理の難しさ~
松本 康平
2020年4月3日

ペネトレーションツールの紹介 ~bettercap編~
小林 昌史
2020年3月27日

NECセキュリティスキルチャレンジ2019を開催
宇井 哲也
2020年3月19日

Cyber Threat Intelligenceの活用
岩田 友臣
2020年3月13日

Holiday Hack Challenge 2019のWriteUp
竹内 俊輝
2020年3月6日

RSA Conference 2020参加記
冬瓜
2020年2月28日

IoT機器検索エンジン:「SHODAN」の利用~インターネット上に公開している制御システム~
中島 健児
2020年2月14日

Columbus Cybersecurity Conference 参加記
郡 義弘
2020年2月7日

Hardening 2020 Business Objectives参加記
山﨑 泉樹
2020年1月31日

メモリフォレンジックCTF「MemLabs」Lab1のWriteUp
木津 由也
2020年1月17日

SECCON Final(CTFの攻防戦)について
山﨑 泉樹
2020年1月10日

SECCON国際決勝の裏側で学生向けCTFを開催
2020年1月6日

「SECCON 2019」国際決勝大会5位入賞!
杉本 元輝
山田 道洋
2019年12月20日

AWS re:Invent2019(Security Jam&新サービス)
中島 春香
2019年12月13日

SANS Threat Hunting & Incident Response Summit 2019 参加記
竹内 俊輝
2019年11月29日

一般ユーザ権限でクレデンシャル情報を取得するPost-Exploitationツール「Mimikittenz」について
アクセスランキング

セキュリティブログウェビナーのアーカイブ動画を視聴いただけます
過去に開催したブログウェビナーの動画がアーカイブでご覧いただけます。
当日の配信を見逃した方はぜひご活用ください。