yousukezan Profile Banner
yousukezan Profile
yousukezan

@yousukezan

Followers
4,278
Following
800
Media
2,770
Statuses
59,911

2匹の猫を見守りながら自宅勤務しています。サイボウズバグバウンティ2016、2020、2021、2022年度ランク1位。 @neco_time ボットと血統表検索()に何かあったら連絡ください。

Japan
Joined August 2007
Don't wanna be here? Send us removal request.
Explore trending content on Musk Viewer
@yousukezan
yousukezan
3 years
Coinhiveはなんとか無罪になったけど、日本ではインターネットで何か実験的なことをすると警察と検察のお気持ち次第でカジュアルに逮捕されるということは忘れないようにしたいものです
7
2K
5K
@yousukezan
yousukezan
4 years
パスワード登録でコピペさせないようにしてるサイト、安全なパスワードを設定させたくないという強い意志を感じる
5
472
2K
@yousukezan
yousukezan
4 years
正月早々ねんきん定期便見てねメールが届いたので何となくログインしてみたら「秘密の質問と答えが一定期間変更されていません。秘密の質問と答え変更画面にて、変更を行ってください。」と表示されて、母親の旧姓が変更されないのは当たり前だろクソボケ
3
716
1K
@yousukezan
yousukezan
2 years
日本には誇るべきIPAの脆弱性報告窓口があるんだけどWebサイトの脆弱性に関しては報告によって報告者が逮捕される可能性があるので危険度が高く不正アクセス禁止法に抵触するような脆弱性は実質報告できない状況なのもわかってほしい
6
460
1K
@yousukezan
yousukezan
5 years
最終出社終わったけど、今の会社のことは「誹謗、中傷その他貴社の社会的、技術的その他一切の評価を低下させもしくは低下させる恐れのある一切の言動(インターネット上のサイトやSNSへの書き込み・投稿などを含む)を行わないことを約束いたします」という誓約書に判を押したので何も書けないです。
4
188
515
@yousukezan
yousukezan
7 months
こういうの許可されてるのかもしれないけど、GMOグループはモラルに欠けるって思われても仕方ない気がするなあ
@ockeghem
徳丸 浩
7 months
『有効期限が切れた後にGMOインターネットグループが取得し、23年9月にオークションに掛けていた。ドメイン名は約322万円で落札された』 / “厚生労働省コロナ情報サイトのドメイン名、投資関連に転用か - 日本経済新聞”
12
336
527
4
221
485
@yousukezan
yousukezan
9 months
ふわっとセキュリティ人材が足りない、ではなく、CISSPか支援士持ってて社内調整ができて毎日ちゃんと出社できていきなり叫んだりしない人材が足りない、みたいにきっちり定義すれば目標も立てやすくなると思うのだけど
3
96
413
@yousukezan
yousukezan
6 years
「無断でユーザーの金儲けに使われる」ってネット広告だいたいそうだよね
@ono_matope
小野マトペ
6 years
#nhk_news 「今日の判決は専門家の間でも意見が分かれています」そうかなー
Tweet media one
2
121
163
1
355
369
@yousukezan
yousukezan
4 years
預金者を危険に晒しておいてから金ないアピールされても困るし体力ないならサービス止めるしかない
@tanuwo_ponpoko
たぬを@かけ出汁エンジニア
4 years
システム界隈が無責任に銀行のセキュリティについて叩いてるけど、根本的にセキュリティに体力を使う程銀行は儲けてないんですよ。(´・ω・)y-~ 日本最大のメガバンクであるMUFGですら減収傾向なんだ。地銀何かがマトモに対応できる訳がない。
7
131
182
0
175
225
@yousukezan
yousukezan
3 years
これを見て興味を持った人が見つけたサイトのIDにこれを入れてDB全部吹っ飛ぶってことが起こりうるかも
3
65
218
@yousukezan
yousukezan
3 years
セキュリティ人材の無償労働を賛美するだけじゃなくて後で報われるようになる日本になって欲しい
2
63
214
@yousukezan
yousukezan
1 year
OSSのログイン画面(たぶんサイト全体)にあるXSSを報告したら「ドキュメントにインターネットからの管理インターフェイスへの直接アクセスを禁止すると書いてるので、規約を守らないユーザーのせいだ。修正はしない(要約)」という返事が来たのでインターネットは広い
0
105
211
@yousukezan
yousukezan
6 years
JavaScriptの使用減少まじか 「スクリプトとはJavaScriptのことで、Webサイト上でさまざまな機能を使用できるため、多くのサイトに導入されていました。ただし、現在は脆弱性の多さから減少傾向にあります。」
2
222
200
@yousukezan
yousukezan
3 months
怪文書を錬成した。とりあえず形にするって大切だと思う
1
47
170
@yousukezan
yousukezan
6 years
徳丸本1版と2版の厚みの違い
Tweet media one
1
81
163
@yousukezan
yousukezan
1 year
自分の見えてる範囲だけどCTF的なことがセキュリティだと思ってる若者がわりといて、こういう認識だと事業会社に入ってセキュリティの仕事に就くとギャップに困るのかなあと思ってる。ペンテスト専業とかになれればいいんだろうけど。
2
46
161
@yousukezan
yousukezan
1 year
GMOがドコモの持ってたドメインをオークションにかけた件、GMOサイバーセキュリティ byイエラエの人に意見を聞きたいけど誰か答えてくれないかしら。
1
54
161
@yousukezan
yousukezan
3 years
Webの脆弱性絡み、海外からどんどん公開されているようなことを日本人が公開すると正義の人たちに犯罪者扱いされたりするのでなかなか表だって書けない気がする。
0
52
160
@yousukezan
yousukezan
7 years
セキュリティの記事書いて公開すると逮捕される時代が本当に目の前に来てるようで、お上に見つからないように裏でやり取りするか海外から買うしかないような誰も得しない未来になるのかと思うと残念でならない
0
118
154
@yousukezan
yousukezan
12 years
誰かのふりをした殺人予告の手紙が出されたときに、中継する郵便局やクロネコが責められることはないのに、サーバー管理者や開発者はなりすまされないために過剰なまでの努力をしなくちゃいけないってのがなんか解せないんだよね。
4
354
148
@yousukezan
yousukezan
6 years
ぜひともこの頃のp2pダウソ界にとても詳しい津田大介氏の感想がほしい
0
137
141
@yousukezan
yousukezan
3 years
お金にも出世にも名誉にも関係あるって
@nhk_news
NHKニュース
3 years
お金も出世も名誉も関係ない。 凶悪なコンピューターウイルスと最前線で戦い日本を守った 8人の“ホワイトハッカー” “最恐ウイルス”との知られざる戦いを追いました。
7
144
448
0
61
143
@yousukezan
yousukezan
6 months
セキュリティ界隈、表に出ていたかつての若手が順調に年を取って、今ではずいぶんなおっさんになったけどそのまま出続けてしまっている感がある。このままでは老人とおっさんが上から偉そうにべきである論を語るだけのように見えてしまい、誰も相手にされなくなるのではないかとちょっと心配。
1
42
143
@yousukezan
yousukezan
3 years
セキュリティ界隈、わりとハラスメントがあるということがこれを機会に周知されるといいですね
2
34
140
@yousukezan
yousukezan
4 months
もう日本では機微なセキュリティに関する情報は信頼できる仲間内でしか共有してはいけないようになってしまった感
1
15
141
@yousukezan
yousukezan
5 years
システム開発の入札をめぐり、セキュリティー会社「ラック」のために提案書を代筆したほか、入札審査で問われる重要な着眼点を教えるなど、ラックが落札できるようにした公契約関係競売等妨害の疑いが持たれている。
1
165
124
@yousukezan
yousukezan
1 year
粛々と社内規定に従ってオークションにかけているので前にどこの会社が持ってたかなんて知りませんよこっちだって商売なんですよ言いがかり付けるの止めてください訴えますよそんなにうちどもが儲かるのが悔しいですかみたいないい話を聞きたい
1
28
123
@yousukezan
yousukezan
4 years
確定申告の季節になると3ヶ月とか半年分しか履歴の見えないWeb履歴閲覧サービスなんて止めちまえと思うよね
0
38
114
@yousukezan
yousukezan
10 months
セキュリティの仕事を始めてわかることは、だいたいのセキュリティエンジニアは脆弱性を探したり攻撃したりすることはないということで、そのあたり誤解している人も多い気はする。
4
31
117
@yousukezan
yousukezan
4 years
なんでインターネットバンキングだと新規にパスワード設定させるのに銀行登録は4桁の暗証番号で登録できんねんと思ったけど、4桁の暗証番号でログインできる銀行があって震える
0
74
115
@yousukezan
yousukezan
3 months
GMOグループはセキュリティ人材を集めつつもこういうevilな広告を売ってるわけですね
1
18
110
@yousukezan
yousukezan
1 year
俺たちセキュリティエンジニアはインターネットがどんなかんじで動いててプログラムがどんな感じで動いててWebサイトががどんなかんじで動いてて、攻撃するにはどこを突けばいいかくらいはざっくりわかってるような世界で生きているけど世の中はそんなことはないのというのは自覚しておくべき
0
32
107
@yousukezan
yousukezan
1 year
最近Webの脆弱性探すなんてド素人でツールの使い方学べば誰でもできるだとと思って興味ある人とちょっとやり取りしてたけど、脆弱性を理解したり攻撃したりするにはそもそもHTTPが何かとかクライアントとサーバーって何かみたいなところの理解が必要だということがわかった。
2
16
102
@yousukezan
yousukezan
1 year
今知ったけどCookieにSecure属性ない報告でCVE発行されるんだな。CVE取らないと親が殺されるような脅しを受けてるような人はハードオフで古いルーター買ってくればいいのではと思いました。
1
28
106
@yousukezan
yousukezan
4 months
参加費用がわりとかかるセキュリティイベント(国内で言うなら温泉系シンポジウムとかCodeBlueとか?)に組織の金で気軽に参加できる立場の人を上級セキュリティ人材と呼びたい
2
15
104
@yousukezan
yousukezan
4 years
サイボウズからバグバウンティ上位の景品をいただきました!CVEが書かれてる!
Tweet media one
Tweet media two
1
10
96
@yousukezan
yousukezan
5 months
CVSSのみで危険度を評価するのは専門知識がない人でもできる単純な方法ですが、実際の攻撃リスクと乖離する可能性があります。 今後の公開を予定している本ドキュメントの2章以降では、専門的な知識を活用して脆弱性の危険度や影響範囲をより正確に評価する方法を紹介する予定です。
0
17
96
@yousukezan
yousukezan
4 years
銀行接続に関わったことがない人が想像でいろいろ書いてるけど今関わってる人は書けないとは思う
0
63
89
@yousukezan
yousukezan
1 year
有罪か無罪かはともかく、日本ハッカー協会としてもマンガをタダでばらまくのに関与していた人を支援するのは難しいのかな
@romi_hoshino
星野ロミ 漫画村で捕まった人
1 year
@JapanhackerA 大体の人にとっては正しさよりは自分の名誉しか興味はない 日本は口封じのシステムが完成し切ってる
Tweet media one
2
7
45
3
55
91
@yousukezan
yousukezan
9 months
セキュリティを生業にする人はセキュリティのことが好きであるべき、みたいなのはなくしていきたい
0
13
92
@yousukezan
yousukezan
11 months
誰がやってるか知らんけどどういう理屈でお客様環境に勝手に攻撃ペイロードぶち込んでいいと判断しているのか見解を伺いたいところですね
0
15
90
@yousukezan
yousukezan
1 year
会社のセキュリティっていうのはサーバーが攻撃するされるみたいなことだけじゃなくて、話題となってるドメインやサーバーももちろんだけど、それ以外にも有形無形含めて会社を維持するために資産をどう守るかの戦略みたいな大きな話になるので、サーバー攻撃に興味あるからセキュリティの仕事したい人
0
22
89
@yousukezan
yousukezan
3 years
これでイエラエのみんながリモート勤務からスーツ着てGMOタワーで9時5時で働くようになったりするとうけるんだけど
0
8
88
@yousukezan
yousukezan
4 months
海外で公開されているリークやPoCを翻訳したりして日本人向けに見やすくすることを無闇に叩く自称セキュリティ専門家ってなんなんだろう。日本人の素人にだけは知らせたくないということなのか。
4
15
88
@yousukezan
yousukezan
7 years
何度も書いてる気がするけど公衆無線LANが暗号化されてないとか共通のIDとパスワードが使われてることを問題にしてもしょうがなくて、そういうものだと許容してTLS使ったり機微情報含んだ通信しないとか自分たちが対策しなきゃいけないんだってば
0
93
85
@yousukezan
yousukezan
5 years
まとめブログの更新を止めることにしました。そして連載も今月で終わり。今までご覧いただきありがとうございました。
8
22
84
@yousukezan
yousukezan
1 year
すごいなあこれ
Tweet media one
@o_ob
Dr.(Shirai)Hakase - AICU media編集長 しらいはかせ
1 year
ToDoを分解してくれるツール助かる
Tweet media one
14
881
4K
0
13
81
@yousukezan
yousukezan
6 years
JVNが開発者と連絡が取れない脆弱性が報告された製品の使用中止を求めるのは異例ではなく通常の対応なんだけど
@nikkeibpITpro
日経クロステック IT
6 years
脆弱性情報サイトが使用中止を呼びかけ 開発者と連絡が取れないため異例の対応 #ネットワーク #トラブル #業界動向 #IT システム
0
4
8
0
96
76
@yousukezan
yousukezan
3 months
フルリモートだと仕事しなくて出社だと仕事すると思ってる奴らは、出社していきなりどこかに消えたりずっと何かやってる風だけど何もできてないような人たちのことを知らないのだと思う。
0
27
79
@yousukezan
yousukezan
7 years
利便性とセキュリティを両立させるために日々みんながんばってるのに、セキュリティにだけ全力振り切ったことをいくら書かれてもすごいですねへーおたくの世界線ではそれでいいんじゃないでしょうかという感じで何も心に響かないというのが今日の感想
0
43
76
@yousukezan
yousukezan
9 months
XSSで攻撃される事例と見るとこれを思い出すので、何か書くときには注意したいと思っている
1
15
78
@yousukezan
yousukezan
6 years
ホワイトハッカーは希少な人材だ。大手企業の現在の人員は、NTTデータ20人超、日立ソリューションズ11人、富士通9人、さらにセキュリティー専業のラックがマネジャークラスで20人(他に攻撃者の行動把握など特定分野に特化した高度人材80人)
@dol_editors
ダイヤモンド・オンライン
6 years
企業守る「ホワイトハッカー」を官民で奪い合う愚 - Close Up
0
18
36
0
56
75
@yousukezan
yousukezan
3 years
報道だからって脆弱性について具体的に書けるっていいご身分ですね
0
10
77
@yousukezan
yousukezan
4 months
そういや以前いたセキュリティチームで新しくきたマネージャーが週次スプリントを回してチケット何枚処理したみたいな目標管理をするようになって組織が崩壊したのを思い出した。
@suganami0510
りっきぃ🥑上富良野ヒルクライムブロンズ
4 months
Tweet media one
65
4K
14K
0
19
74
@yousukezan
yousukezan
5 years
私たちは過去を忘れないようにしたい
@Adolfoi_
Mitsuhiro Hashimoto
5 years
有識者の方にお聞きします。 脆弱性があるサイトがあったので ハッキングをしてデータベースを取り出してみたら 1551名の顧客の個人情報の流出が確認されました。 現在HPの会社とそのHP���管理している会社には連絡してあります。 他に何かするべきことはありますか?
11
288
269
3
27
71
@yousukezan
yousukezan
2 years
CISSPとか支援士ってわりとリスク管理とか社内調整とかコンサルトとかわりと人とコミュニケーションが必要な業務だと思うんだけど、セキュリティエンジニアになりたい人ってそういう仕事がしたいのだろうかとか思ったりもする。
3
16
71
@yousukezan
yousukezan
2 months
週一の脆弱性情報すら確認したくない現場って
@Ysan_999
Ysan
2 months
@tigerszk 若い人でいきなりセキュリティやってる人は、優秀で勉強意欲も高いが、開発プロセスが分かってない人が多い。そのために実務の想像ができずに施策を考えて、現場から総スカンを食らって、結局やってる感を出すための施策となっているものも多い。毎週脆弱性情報流して都度現場が確認することとか。。
1
24
71
2
12
70
@yousukezan
yousukezan
6 years
Coinhiveの件があって今後会社で「ユーザーの許可を得ずにJavascriptを埋め込んで動作させるのは違法ではないか」みたいなことを言い出す奴が現れないか心配でならない
0
46
70
@yousukezan
yousukezan
3 years
新しくなったけど前のものをどうして引っ込めたのか理由を書いてほしい
@spp_cyber
埼玉県警察本部サイバー対策課
3 years
負けるな、日本のセキュリティ!サイバーセキュリティは365日、ピクトグラムでサイバー犯罪や攻撃の手口を表現してみました 第一弾はデータベースの不正利用を招くSQLインジェクションです #ピクトグラム #サイバーセキュリティ
Tweet media one
5
131
282
0
20
70
@yousukezan
yousukezan
3 years
一番許せないのはパスワード設定で設定したパスワードがいくら長くても8桁で切り捨てられるけど、認証の時は切り捨てられないので設定したパスワード入力してもエラーになる銀行
1
24
69
@yousukezan
yousukezan
4 years
インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。
6
33
67
@yousukezan
yousukezan
10 months
たった10時間でセキュリティコンサルタントだそうだがどういう改造するのだろうか
5
30
69
@yousukezan
yousukezan
6 years
これまで信じて取材してきたトレンドマイクロがやらかしてしまったことが明らかになった今でもマスコミ各社は信じて言い分を報道するのかあっさり見捨てるのか成り行きが注目される
0
68
65
@yousukezan
yousukezan
2 years
だれか鬱病にならずにエンジニアとして長く生き残るための技術とか書いてくれないかな
6
14
67
@yousukezan
yousukezan
5 years
sqlmap回しただけの奴がなに正義語ってんだよ偉そうに書いてるけど全部ただ��自己顕示じゃねえかという感想
1
8
65
@yousukezan
yousukezan
1 year
事業会社のセキュリティ部門に関係してると思うんだけど、フィッシングとか追い続けるのってどんなモチベーションでやってるのか気になってる。脆弱性探すのとかマルウェア解析ってパズル解くような楽しみがあると思うんだけど、絶え間ない攻撃者相手に地道に調査して対応し続けるのってすごく大変だと
2
9
66
@yousukezan
yousukezan
2 years
支援士とかの資格持ってるからって脆弱性の見つけ方とか攻撃のやり方を知ってるわけではない人がわりといるんだよなあという感想
2
13
65
@yousukezan
yousukezan
3 years
Webの脆弱性診断どころかペネトレもわりとトレーニングコースもあって順調に定型化されてコモディティ化してて、このあと大部分は機械に置き換えられると思うんだけど、診断とかペネトレとかしたい若手はどうやって生き延びればいいんだろうなあと考えてる
2
12
63
@yousukezan
yousukezan
4 years
自分がフレッツ光にいくら払ってるのかどんなプランを使ってるのか調べたくてフレッツのサイトにログインしたけど自分がどのプラン使ってていくら払ってるのか知るのがクソ難しい。これなら普通の人ならサポートに電話するだろうなと思った
0
22
62
@yousukezan
yousukezan
1 year
天海祐希はタカラジェンヌとしてはかなり異質で、生徒個人のファンクラブやお茶会やらの貢ぎ物文化と遠くにいてファンに金を使わせないようにしていたと、その頃特に宝塚にどっぷりだった(天海祐希のファンでない)母が言ってたのを思い出した。
0
27
63
@yousukezan
yousukezan
3 years
セキュリティ業界では、技術系エンジニアのメンタルヘルスに対する懸念が高まっています。
0
19
62
@yousukezan
yousukezan
2 years
これで社内ネットワークに変なパケット投げてめっちゃ怒られる奴でそう
@kanpo_blog
官報ブログ
2 years
NTT、社員20万人でサイバー防衛 弱点発見で報奨金:日本経済新聞 NTTグループはサイバー上の弱点を見つけた社員に通常の給料とは別に報酬を払う制度を導入する。副業として業務委託契約を結び、1報告当たりの報酬は最大で数十万円とする。約20万人の全社員が参加できる。
3
75
215
0
26
61
@yousukezan
yousukezan
9 years
さっき昼飯食ってたら、横に座ってたおじいちゃん2人組の会話から「私はスマホはしっくりこなくって…」って聞こえてきて、やっぱガラケーなのかなと思ってたら「やっぱ私は7インチの方が」って続いたので思わずそっち見たら2人ともめっちゃタブレット使ってた
0
86
61
@yousukezan
yousukezan
6 months
この春いきなりセキュリティ担当者になって社内規定でWebの診断しなきゃいけないけど何していいのかわからないみたいな人ってどれくらいいて、報告書とかどうやって見てるんだろうかとか気になってる。診断手順とか再現方法とかレクチャーする機会でもあればいいのかもしれない。
0
13
62
@yousukezan
yousukezan
4 years
SOCアナリストやったんや
1
11
63
@yousukezan
yousukezan
7 years
さらっと攻撃方法書いててびっくり
1
26
60
@yousukezan
yousukezan
4 years
セキュリティ関連のお仕事いろいろあるのでお仕事したい人はまずはこれくらい見ておいてほしいです
0
17
60
@yousukezan
yousukezan
2 years
バグバウンティの紹介されててうける
@ORIHUSAY02
suzuki yuka
2 years
@yousukezan ちなみに合法な脆弱性発見の方法はあるんです。 任天堂やマイクロソフトはバグバウンティ制度を設定して、脆弱性を見つけたらむしろお金をあげます。ってのもあります。下記は一例です。ご参考までに。
0
5
24
1
4
60
@yousukezan
yousukezan
4 years
毎年この季節になると新入社員用のコンテンツを見てすげえなあレベル高すぎて全然わからんわとなるのだけどそれでもなんとか生きていけてるので社会人みんなが全部理解してるわけではないということを新入社員の人は知って気楽に研修受けて欲しいと思う
0
22
57
@yousukezan
yousukezan
7 years
「ITの世界に魅了され、追求する中で医師の道を中途で断念したというエピソードを披露することを繰り返すうちに、事実と異なる経歴を語ってしまった」って自分が盛った話を事実として記憶に上書きするタイプのヤバい人ってことだよねー
0
44
57
@yousukezan
yousukezan
3 years
ラック株価ダダ下がりで何があったのかと思ったらシステム開発で訴えられたのか
0
26
58
@yousukezan
yousukezan
10 months
バリュードメインこれはつらい
Tweet media one
0
48
58
@yousukezan
yousukezan
1 year
ヘッドハンターから「Webの脆弱性ございます。」という誘いが届いて意味がわからない
0
8
58
@yousukezan
yousukezan
9 months
俺も某社のSOCをまたいだ職場で働いてたけど、お客さんが来るときだけおそろいのジャケット着て、大きいモニターで表示したりしてそれっぽい雰囲気を演出してたのを見てた記憶がある
0
6
58
@yousukezan
yousukezan
9 months
今後はGMOが勝手に診断で攻撃パケット送ってるのをイエラエが監視してアラート出すという流れもあったりするのか
0
11
58
@yousukezan
yousukezan
3 years
PTSDになったとの発表は皇室がネットの中傷コメントに対して発信者情報開示請求する準備だったりして
0
27
57
@yousukezan
yousukezan
10 years
今さっき「あなたのスカウトレジュメに興味を持った企業」が追加されましたというメールが来てたけどそんな正月早々レジュメチェックしてる会社に転職したくないだろ普通
0
95
55
@yousukezan
yousukezan
5 years
転職報告w
@CybozuBugBounty
Cybozu BugBounty
5 years
今週のポイントランキングです。 上位3名の方の順位に変動がありました! 先週3位の方が、トップに躍り出ております🎊
Tweet media one
0
8
10
0
7
55
@yousukezan
yousukezan
24 days
これくらいがっつり改ざんされてるならCSPの設定も書き換えられる可能性もありそうだし、JSは好きに書けるので防がれないように書き直せばいいだけのような気もする。知らんけど
0
10
55