Hello there, ('ω')ノ まず、どんなレポートがあるの？ 以下のような事例が、各社から公開されています： 脆弱性報告（例：GitHub、LINE、楽天などのバグ報告対応記録） セキュリティインシデント報告（例：通信障害、情報漏えい） 外部報告を受けての調査・…

Hello there, ('ω')ノ まず、再現とは何か？ 「脆弱性報告や事故記事に出てきた内容を、自社の環境で似たような形で試してみること」 実際の挙動を目で見て理解できる 自社でも起こりうるかどうかを確認できる 技術や仕様を深く理解するきっかけになる 最近…

Hello there, ('ω')ノ 「続かない理由」を最初につぶそう ❌ よくある挫折ポイント 情報が多すぎて何から手をつければいいかわからない 毎日やろうとして気合いが空回り 成果が見えず「意味あるの？」と思ってしまう こういうときは「学ぶこと」ではなく、「…

Hello there, ('ω')ノ よくある報告時のすれ違い 報告者「これは重大な脆弱性です！」 開発者「そんな細かいことで…」 報告者「XSSの危険があります」 開発者「そのパラメータはテスト用だし」 結果：「あの人、揚げ足取りばかり」と距離ができてしまう… 信…

Hello there, ('ω')ノ 「テストだから」は本当に安全？ 開発や検証中にありがちなセリフ： 「これはテスト環境だから気にしなくていいよ」 「テストだからパスワードは全部一緒でいいよ」 「仮の設定だからアクセス制限もまだ不要」 → こういった妥協の積み…

Hello there, ('ω')ノ なぜ導入時のチェックが重要なのか？ セキュリティ事故の多くは「初期設定のまま使っていた」が原因 一度運用が始まると「変更しづらい空気」が生まれる 担当者によって設定方針がバラバラになることも → 最初に“当たり前の安全”を仕込…

Hello there, ('ω')ノ バグや脆弱性の報告、どう扱われていますか？ 報告がこのように扱われていないでしょうか？ 「その程度は大丈夫でしょ」と軽視される 報告のあと音沙汰がない 上長に止められて放置される 指摘した人が“空気を乱す人”扱いされる このよ…

Hello there, ('ω')ノ なぜ「意識の低さ」が危険なのか？ コードに悪意があるわけではない チェックを省略したり、面倒だからと妥協しただけ でもその結果： 管理画面が無防備 認証が甘くなり データが外部から丸見えに… つまり“無意識の脆弱性”が仕込まれて…

Hello there, ('ω')ノ ソーシャルエンジニアリングとは？ 簡単に言うと： “人の行動や心理の隙”を悪用して情報を盗み出す手口 です。 例えば： 見知らぬ人が「○○部の新人です」と言ってオフィスに入ってくる なりすましメールで社内リンクを踏ませようとする…

Hello there, ('ω')ノ SaaSやWebhookとは？ざっくりおさらい SaaS（Software as a Service）： クラウド上で動作するアプリケーション（例：Google Workspace、Slack、Salesforce） Webhook： 外部サービスから自社システムへ通知やデータを自動送信する仕組…

Hello there, ('ω')ノ 基本フロー：5ステップで考える ① 対象システム・範囲の確認 ② 役割分担とチェック担当の決定 ③ チェック実施 ④ 結果共有とレビュー ⑤ 報告・修正依頼 それぞれ詳しく見ていきます。 ステップ① 対象システム・範囲の確認 どのシステム…

Hello there, ('ω')ノ 報告書に必ず含めるべき5項目 ✅ 1. 概要 何が問題かを一文でまとめる 例：「管理画面への不正アクセスが可能」など ✅ 2. 再現手順 誰が見ても同じ現象を再現できる手順を書く 画面操作 → URL → 入力内容まで細かく ✅ 3. 影響範囲 社内…

Hello there, ('ω')ノ まずは基本：ブラウザ開発者ツール（F12） ✅ できること： URLやパラメーター確認 リクエスト・レスポンスヘッダー確認 CookieやLocal Storageの確認 JavaScriptやエラーメッセージのチェック ✅ 対応ブラウザ： Google Chrome Microsof…

Hello there, ('ω')ノ 脆弱性調査前チェックリスト① 調査対象の範囲確認 [ ] どのシステムが対象か（社内ポータル、API、アプリなど） [ ] テスト環境 or 本番環境か [ ] 調査対象のサブドメイン一覧を確認済み [ ] 管理画面・バックエンドが含まれるかどう…

Hello there, ('ω')ノ マイルール① まずログイン画面まわりを最優先 ID・パスワード管理は一番影響が大きい ログインページ → パスワードリセット → ユーザー登録 の順に確認 特に： URLパラメーター Cookie 認証関連ヘッダー を最初に見る習慣をつけます。 …

Hello there, ('ω')ノ 自動テストと手動テストの特徴 ✅ 自動テスト（ツール） 短時間で広範囲チェック 見落としが少ない 同じ操作を何度も繰り返せる 代表例： OWASP ZAP Burp Suite（スキャナー機能） SaaS型診断サービス ✅ 手動テスト（人の目） 実際の業…

Hello there, ('ω')ノ なぜログやエラーが重要なのか？ システムが正しく動いている場合は目立たない部分 逆に問題発生時、エラー内容がそのまま公開されていると内部構造やパスワード情報まで見えてしまう場合があります これを「情報漏えい型脆弱性」と呼…

Hello there, ('ω')ノ そもそもCSPとは？ 正式名称：Content Security Policy（コンテンツセキュリティポリシー） ✅ 主な目的： 悪意あるスクリプト（XSSなど）を防ぐ 外部サービスとの通信を制限する 簡単に言うと「このページではどこまで許可するか」を細…

Hello there, ('ω')ノ キャッシュとは？ Webサイトの表示を速くするため、一度表示したデータを一時保存しておく仕組み ブラウザ側、サーバー側、CDN（Cloudflareなど）でキャッシュされることがあります たとえば： 社内ポータルのトップページ画像 公開資…

Hello there, ('ω')ノ サブドメイン乗っ取りとは？ 会社のドメインにはたくさんのサブドメインがあります。 例： www.example.co.jp portal.example.co.jp old-api.example.co.jp この中で： 削除したはずのシステム もう使っていないサービス のサブドメイ…

Hello there, ('ω')ノ HTTPヘッダーインジェクションとは？ システム側が受け取ったデータをそのままHTTPヘッダーに反映している場合： 不正な値を送り込むことで 本来意図しない挙動が発生してしまう そんな状態をHTTPヘッダーインジェクションと呼びます。…

Hello there, ('ω')ノ パラメーター汚染とは？ 本来URLやフォームのリクエストでは： https://intra.example.co.jp/search?user=100 のようにパラメーターが1つずつ指定されますが、意図的に： https://intra.example.co.jp/search?user=100&user=200 のよう…

Hello there, ('ω')ノ なぜ情報漏えいチェックが必要か？ 社内システムや社外向けサイトでは、以下のような問題が実際に起こっています： 本来はログインした人だけが見られるべきデータが誰でも見える 古いファイルや資料がそのまま公開フォルダーに残って…

Hello there, ('ω')ノ シングルサインオン（SSO）とは？ 一度ログインすれば、他の関連システムにも自動ログインできる仕組み たとえば： 勤怠システム → 経費精算システム → 社内ポータル すべて同じアカウント情報で使える状態 主にSAMLやOAuth、OpenID Co…

Hello there, ('ω')ノ 同一オリジンポリシーとは？ ブラウザが備えている基本的なセキュリティルールで： 違うドメイン（オリジン）のページやデータには 勝手にアクセスできないようにする という仕組みです。 【オリジンとは？】 プロトコル（http / https…

Hello there, ('ω')ノ RCEとは？ RCE（Remote Code Execution）とは： 外部からシステム内部に命令を送り 本来許可されていないプログラムやコマンドを実行できてしまう状態 社内システムの場合： 認証なしでファイルがアップロードできる パラメーターを通…

Hello there, ('ω')ノ ロジックエラーとは？ システムの設計上、本来こう動くべきなのに： 処理の順番がおかしい 条件分岐が抜けている 特定の操作で裏技的な動きができてしまう そんな状態をロジックエラーと呼びます。 アクセス制御ミスとは？ ログインし…

Hello there, ('ω')ノ そもそもテンプレートエンジンとは？ 社内システムでもよく使われている技術で、画面表示を組み立てるときにこういった記述を使います。 例： <p>ようこそ、{{ user_name }}さん</p> この{{ user_name }}の部分をシステムが自動で「山田太郎」…

Hello there, ('ω')ノ XMLとは？ データのやりとりに使われる形式 JSONと並んで業務システムでよく使われます 例： <user> <name>山田</name> </user> このような形のデータです。 XXEが発生するパターンとは？ XMLファイルを受け取って解析するシステム ファイルアップロード機能 API…

Hello there, ('ω')ノ シリアライズとは？ システム内のデータ（例：社員情報、申請データ）を一度「文字列形式」に変換して保存や送信することをシリアライズと呼びます。 逆にその文字列を元の形に戻す操作をデシリアライズと言います。 例： {"user_id":1…