セキュリティ屋の仕事はモノや組織をセキュアにすることであって、それはモノへの適切な理解と、人との適切にコミュニケーションと、自らの積極的なエンジニアリングなしには成し得ない、というのが個人的な考えです。とりわけ監査や解析は手段であって目的ではない。ましてや糾弾は手段ですらない。
Follow
YONEUCHI, Takashi | Flatt Security
@lmt_swallow
Translate bio
YONEUCHI, Takashi | Flatt Security’s posts
本を書きました🎉 複雑な Web ブラウザのセキュリティ機構を正しく理解するための、Web アプリケーション開発者に向けた一冊です。来る 2021/1/5 に発売開始予定ですので、乞うご期待 :-)
CPU 実験でやった余興「Linux が動作する RISC-V CPU を自作する」の詳細をブログにまとめました。よかったらご一読ください。みなさま、よい CPU 自作ライフを。| "Linux が動作する RISC-V CPU を自作した (2019 年度 CPU 実験 余興)" -
最近学科の実験で同級生と一緒に作っている自作 RISC-V コアの上で xv6 (小さな OS) が動いた。めでたい。
ゼエゼエ(意訳: セキュリティ・キャンプの講義「ちいさな Web ブラウザを作ろう」の事前課題資料を作っています。ここから三週間くらいの間、随時更新しては更新情報をこのツイートのスレッドにぶら下げるので、気になっている方はこのツイを時折眺めてください🙇)
セキュリティ・キャンプの宣伝活動の一環として、本日お茶の水女子大学で「正規表現とセキュリティ」というタイトルのショートトークをさせてもらいました。その時に使ったスライドを公開したので、興味のある方はぜひご覧ください〜
セキュリティ・キャンプ全国大会 2019 の B5「体系的に学ぶモダン Web セキュリティ」で利用する講義資料の一部を公開しました。Enjoy! :-) #seccamp
seccamp で題材にする予定のミニ自作 Web ブラウザがそれっぽくなってきた。教育用なので機能は最小限だけども。現状 HTML のサブセットのパース・描画、JS の実行、JS から DOM を操作するための小さな DOM API などを積んでいます。
GIF
Quote
セキュリティ・キャンプ全国大会 2021 オンラインの詳細が公開されました!今年僕は『ちいさな Web ブラウザを作ってみよう』という講義をやります。B トラックの応募課題にもそれっぽい設問があるので、ぜひ取り組んでみてください。#seccamp
ipa.go.jp/jinzai/camp/20
昨年末に予告していた拙著『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』、先ほど発売開始されました!どうぞご一読ください〜!
2021年度の未踏ターゲット事業に採択されました🎉 具体的には9ヶ月間「古典・量子ハイブリッドな高機能プログラミング言語の設計及び処理系の開発」というPJを学部時代の同級生二人とやります。彼らは僕にない専門性をもってる超優秀人間なので共同作業がとても楽しみ。ipa.go.jp/jinzai/target/
これはとても大事な話なんですが、若者を対象に、拙著『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』をプレゼントする企画をやります。応募の締切は【1/17 (日) 23:59 JST 】です。どしどしご応募ください!
そういえばセキュリティ・キャンプでやった講義 + ハンズオン (4時間) を倍の時間 (8 時間) にして、丁寧に & ゆったりやりたいな、と考えているんですが、興味のある方、いらっしゃったりしませんか 👀
昨日弊社メンバーが書いてくれた GitHub Organization 運用の Tips 集が公開されてました。チームでさくっと読みあわせ & 実践できるような内容なので、GitHub を使っている方はよければ目を通してみてください!
#seccamp 全国大会 2020 の講義「マクロな視点から捉える Web セキュリティ」の資料を公開しました。昨今の技術スタックの変化をふまえて Web セキュリティ領域を概観した後、ソフトウェア間の一貫性の欠如からくる問題と、サイドチャネル攻撃についてを整理しています :-)
新しいサービスをリリースしました。まずはここから🐣 / Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。 prtimes.jp/main/html/rd/p via
最近 Flatt というセキュリティ系ベンチャーにジョインしました。技術的にも社会的にも色々な挑戦をしていきますので、ご愛願いただけますと幸いです。また現在は事業を加速していくためにもセキュリティエンジニアを募集しています。ぜひ気軽にお声がけください :-)
prtimes.jp/main/html/rd/p
セキュリティ・キャンプ 全国大会 2019 で「体系的に学ぶモダン Web セキュリティ」という題の講義をやります。
古典的 XSS や基礎的なブラウザのセキュリティ機構の話からはじめて、XS-Search やタイミング攻撃など、モダンな攻撃とその対策などについて取り扱う予定です。興味あればぜひ! #seccamp
Replying to
自作 RISC-V コア上で Linux も動いた。長い戦いだった。余興班各位、約一ヶ月間ありがとうございました🙇
セキュリティ・キャンプ全国大会 2021 オンラインの詳細が公開されました!今年僕は『ちいさな Web ブラウザを作ってみよう』という講義をやります。B トラックの応募課題にもそれっぽい設問があるので、ぜひ取り組んでみてください。#seccamp
ipa.go.jp/jinzai/camp/20
Shibuya.XSS techtalk #11 で使うスライドを公開します。 XSS の"後"の世界をのぞいてみよう、というのがテーマです。Enjoy! :-) #shibuyaxss | "Gimme a bit!" - Exploring Attacks in the "Post-XSS" World
Replying to
炎上は風物詩であるべきでないし、嘲笑は正義ではない。それに事故を事前に防ぐ仕組みも作れているわけでもなければ、適切な知識を広く啓蒙できているわけでもないのであれば、その時点でセキュリティ屋はすでに後手を取ってるんじゃないですかね。セキュリティ「を」職業としている人としては。
学生証の処理などのために大学に行き、そのついでに卒業シーズンの人間がよくするコスプレをしてきたんですが、案外これ着ると僕みたいな人間でも 4 年間ちゃんと学業に励んできた感が出ることがわかった
Black Hat USA 2019 の Web 系セッションのちょっぴり詳しめの紹介記事を書きました。よかったら読んでみてください :-)
単に誰かの役に立てばいいな〜と思って何かを公開するたびに、とにかくストレスが溜まってそうな方からストレスをぶつけられるの、かなり無だな。人生の先輩各位はこの手のヘイトとどう付き合っているんだ……
2019 年度 CPU 実験の余興として作成した自作 RISC-V コア上で Linux が動作する様子です。この後の学内での発表会で使うためにアップロードしておいたんですが、よかったら皆さんもぜひ。
本日喋る資料です。LT なので短いですが, CSS によるタグの属性・内部の両方のデータリーク手法に関して話します。 | CSS Injection ++ - 既存手法の概観と対策
時間の計算ができない僕(22 歳)、80min のセミナーで 30 分喋ったタイミングで「気がついたら時間めっちゃ超過してないか?!やべえなオイオイ」となり、高速オタクトークをし、早めに話を切り上げ、最終的に持ち時間を 35 分残して話を終えてしまった。みんなは元気?
今日喋るやつです。お手元にスライドが欲しい方は適宜こっちを見ていただければ嬉しいです。 | XSS in the era of *.js - JS ライブラリ時代の XSS (ゼロから始めるセキュリティ入門勉強会 #15)
アジア代表チームの Head Captain として参加してきました。全体順位でも表彰台圏内、A&D では昨年度同様1位ということで、悔しさはありつつも胸を撫で下ろしたところです。
僕は来年出場権が無いはずなので、来年は別の形で次の世代のチームに貢献できたらいいな。頑張ります!🫡
Quote
ICC (International Cybersecurity Challenge) 2023にて
アジアチームは総合3位を獲得し、A&D CTFでは優勝することができました。
選手の皆さん、おめでとうございます!
#seccamp
選手の皆さん、おめでとうございます!
#seccamp
拙著『Webブラウザセキュリティ』の紙版がご購入くださった方のお手元に届きはじめているようです(僕の手元にも今日届いた)。今週末のお供にどうぞ💪
セキュリティ・キャンプ全国大会 2019 で提供した講義「体系的に学ぶモダン Web セキュリティ」を 11/23(土) に一般(主に学生)向けにやります。キャンプ当日参加しそびれた方、Web セキュリティに興味がある方等々、枠は狭いですが登録をお待ちしています! websecjp.connpass.com/event/147500 #websecjp #seccamp
Proxy-Wasm で Envoy をいじって遊ぶ話について書きました。「Envoy などのプロキシの拡張を書こうとして悲しい思いをしたことがある方」や、「これから拡張を書こうとしている方」には多少有益かも。小ネタなんでサクッと読めます。
今日の #owaspnight (#owaspjapan) で使ったスライドを公開しました。最近思いついた regexp injection を利用して search 対象の文字列を leak するテクニック (blind regexp injection attack と勝手に呼んでいる) について話しました。
セキュリティ・ミニキャンプ in 岡山 2018 の講義「Web セキュリティ入門」で使用した資料を公開しました。演習は XSS Challenge だけ外部公開中となります。Enjoy :-) #seccamp
セキュリティ・ミニキャンプ in 岡山
2018 で使用した XSS Challenge を公開しました。XSS 初学者の方向けで, 制約は全体的に緩めです。Enjoy! :-) xss.shift-js.info #seccamp
書きました。読んでネ
『詳解セキュリティコンテスト』という CTF に関する書籍、僕もポエム係として少しだけ製作に参加しました。僕以外の著者陣は現役の CTF プレイヤーたちで、旧ハリネズミ本よりも今に即した原稿になっているなあと感じてます。CTF に入門したい各位は是非〜
先日発売が開始された拙著『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』、想定よりも大きな反響があり、とても嬉しい…!
最近ものを書くために、改めて Web セキュリティ周りの日本語文献を拾って読んでを繰り返しているんですが、あるメディアの Web セキュリティ系の記事が検索上位にでて来るたびに鬱になる。誤情報で SEO バトルするの、本当に悪だと思う。
実質の Web の Welcome 問題として(?!)、Option-Cmd-U を出題しました。想定解は http://nginx/flag.php⁈.jp みたいな Host/Split 解法で、ローカル IP の Guessing は必要ありません。Guessing しても解けてしまうんですが。申し訳ないです。 #seccon
このまえの #ldd21sec において、近年のセキュリティプロダクトが押し出している Developer-First Security というコンセプトについて喋ったんですが、そのときの資料を公開しました〜
軽い気持ちで HackerNews にキャンプの自作ブラウザの話投げたら思いの外反応があって困惑しているの巻
news.ycombinator.com/item?id=277991
頭の整理として書いた
この前 OWASP Night で喋った小ネタ的な手法 (Blind Regular Expression Injection Attack)、諸事情あってブログ記事にもしました。よかったら読んでまさかりください。| "A Rough Idea of Blind Regular Expression Injection Attack" - diary.shift-js.info/blind-regular-
今日で 21 歳になりました。20 歳の間は特に何も成し遂げられなかったので、ここからの一年はより一層精進してオタクしていく所存です。わいわい。
この前報告した Chrome の (些細な) バグに reward がついたので、リングフィットアドベンチャーでも買おうかという気分になっている。運動不足だし。
弊社の eラーニングサービスが GA 🎉昨夏の β リリースから改善を重ねてました。今春既に新卒研修でも利用されています。
Flatt Security、セキュアコーディングのeラーニング「KENRO」を正式リリース。サイバーエージェント新卒研修での大規模導入も決定 prtimes.jp/main/html/rd/p via
誕生日です。ようやく 20 歳になりました! 成人です。
中学生の頃から”つばめ”と交友を持っていた人もいると思うと驚き…😇 今後ともみなさまよろしくお願いいたします。
ちなみに次のリンクは欲しいものリストで、キレートレモンを送るのに便利です(?) amzn.asia/60YRKDH
これすごすぎる | "アプリケーションにおける権限設計の課題" - kenfdev.hateblo.jp/entry/2020/01/
U-NOTE 様に取り上げていただきました。今自分がセキュリティ領域にコミットしている経緯や、自分が大事にしている判断軸などについて話しています。ご興味あればぜひ〜
これは多くの技術者にとってすご〜〜〜〜く大事な話なのですが、一部機能のみβ版公開していた弊社プロダクト「Shisho Cloud」を、ソフトウェアサプライチェーンの保護のためのサービスとして大幅にアップデートします & 事前登録の受付を開始しました。気軽にご登録ください!
今年のセキュリティ・キャンプでも講義をやります!お題は『マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価』です。オンラインの講義にはなりますが、新たな出会いを楽しみにしています。 #seccamp
ipa.go.jp/jinzai/camp/20
弊社 () は約2億円の資金調達を実施しました!プレスリリースはこちらです:
——
Flatt Securityが2億円を資金調達。開発とセキュリティの分断を解消する「B2Dセキュリティ」を軸に海外を含めた多面展開を加速
Replying to
2/28 の最終発表会で利用したスライドも公開しました。ブログは (半分僕の回顧録な分) 長いし、ポエム要素もあるので、こっちのほうが手短でいいかもしれません。
現在 Black Hat の Web 周りの発表を中心に参加レポートを執筆中です。お楽しみに。
Quote
アメリカはラスベガスで開催されていたBlack Hat USA 2019 & DEFCON 27 に弊社からは @lmt_swallow が参加しておりました!
レポート記事を近日中に公開しますのでお楽しみに!
去年の seccamp 講義のマテリアルを公開しました。
もうこれをオンサイトの勉強会で使うことはないと思うので、環境が生きてるうちにお楽しみください! #seccamp
Quote
セキュリティ・キャンプ ブログを更新しました。おうちでキャンプ: 2019 年全国大会「体系的に学ぶモダン Web セキュリティ」 講義の内容をアップデートしたものを企画グループの米内さん @lmt_swallow が公開してくれました! blog.security-camp.or.jp/posts/learn-mo #seccamp
今日結果が出たのですが、今年度も前期分の学費は全額免除でした。本当によかった。これでまた半年は大学で学問に励めそうだ。
僕が上野さんに初めてお世話になったのは 2012 年のセキュリティ・キャンプ全国大会。僕の原点となった場所です。あれから 8 年、このような形でご一緒できることになるだなんて!驚きと嬉しさが隠せません。
今後とも弊社をよろしくお願い致します :-)
Quote
上野宣氏がFlatt Securityの社外取締役に就任しました prtimes.jp/main/html/rd/p
Replying to
もっとも、ぼくはセキュリティ屋としてのキャリアが長いわけではないし、ここで述べたようなことは理想論なのかもと感じる瞬間もありますが、最近はこういう考え方の元仕事をしています。という話です。
今年一つ目の CVE が降ってきた
Quote
Today's Chrome release includes a fix for a security issue I reported last year (CVE-2020-6400). Yay! chromereleases.googleblog.com/2020/02/stable
自分の最近発表したやつを PortSwigger の The Daily Swig が記事にしてくれた!わいわい。
Quote
Blind regex injection: Theoretical exploit offers new means of forcing web apps to spill secrets portswigger.net/daily-swig/bli
ACSC お疲れさまでした。5 億年ぶりに CTF 出た。もしかすると Finals (ICC) 圏内ってやつ?
Replying to
オンラインブック「ちいさな Web ブラウザを作ろう」の第 1 章「前提を整理する」を公開しました。第 2 章以降で取り組むことを整理する章です。
browserbook.shift-js.info/chapters/basic #seccamp #browserbook
先週金曜日のセキュリティ・ミニキャンプ in 大阪 2021 で利用した資料を公開しました。 ご興味がある方がいればどうぞ。#seccamp
. さんのメルカリインターンの成果『サプライチェーンセキュリティにおける脅威と対策の再評価』すごい。この領域の実プロダクトチームに向けた整理という位置付けでも、ありうる今後の思索という意味でも素敵な記事!
#seccamp 2022 のクラス P 視点での記憶をダンプしておこうと思い久々にブログ書きました
今夏のセキュリティ・キャンプ全国大会2022オンラインで「Webセキュリティクラス」を開講します!プロダクトを作る・守ることに関して第一線で活躍中の講師陣との 5 日間を通して、Web 系のモノを安全に作るための知識・経験を得ていただけます。ご応募お待ちしております!ipa.go.jp/jinzai/camp/20
本件, Twitter 社とのいくつかのやり取りを経て, 復活しました…。お騒がせしました………… :-(
Quote
Replying to @y0n3uchy
(Japanese) .@lmt_swallow が誕生日設定(アカウント作成時は 11 歳だったため)によって凍結されてしまいました
今後は .@y0n3uchy を使いますので, よろしくお願い致します
(差し支えなければ RT していただけると嬉しく思います)
参考: gadget-touch.info/2018/07/03/twi
今後は .@y0n3uchy を使いますので, よろしくお願い致します
(差し支えなければ RT していただけると嬉しく思います)
参考: gadget-touch.info/2018/07/03/twi#SECCON は dodododo というチームで国内決勝に出てました。昨年に引き続きチームとしては優勝しました。しかし個人としては大した貢献ができなくて、優秀なチームメンバーの作業を邪魔したり眺めたりしてました。大反省。
みなさま、今年もありがとうございました。お会いできてよかったです。またいつかお会いしましょう! #seccamp
Quote
「セキュリティ・キャンプ 全国大会 2019」「セキュリティ・ネクストキャンプ 2019」の全ての日程が無事に終了しました。また来年もよろしくお願いいたします! #seccamp
来年の 3/7 に OWASP Kansai で、今年のセキュリティ・キャンプ全国大会でやった講義「体系的に学ぶモダン Web セキュリティ」のアップデート版をやります!奮ってご応募ください。#owaspkansai #websecjp
今日・明日で開催される #codeblue_jp ですが、僕も明日 10/30 15:20-15:50 に Track 1 で開かれるパネルディスカッション「我々はなぜCTFを運営するのか?」に参加します。今年はオンライン・無料でご覧いただけるので是非!
#codeblue_jp codeblue.jp/2020/time_tabl
TSG CTF 2021 おつかれさまでした。ぼくは新作麺類として udon という問題を出題させてもらいました。Writeup はここ:
Quote
SECCON Beginners CTF 2020 は終了しました!今年は例年より参加者が多く、最終的な参加チーム数は計 1070 チームでした。ぜひ今後も継続してCTFに参加してみてください。ご参加いただきありがとうございました。#ctf4b #seccon
Quote
専門講座1つ目の講義はセキュリティ・キャンプ全国大会2016修了生 髙橋 祐花氏による『ミニキャン言語を作ってみよう!』です。参加者はなんと既に事前課題として LLVM バックエンドの言語を実装しており、本日はその成果を一人一人発表する日となっています。#seccamp
ところでご報告ですが、つばさと間違えてやまびこに乗った挙句、福島駅で慌てて乗り換えようとした際にスーツケース忘れをし、無事乗り換えに失敗しました。対戦ありがとうございました。ア
Quote
【SECCON Beginners CTF 2020 開催!】
SECCON Beginners は 5/23 (土) 14:00 JST からの 24 時間、オンライン CTF を開催します。初心者向けの簡単な問題をはじめとした、幅広い難易度の問題が出題される予定ですので、腕試しには最適です。ぜひご参加ください! #seccon #ctf4b
CODE BLUE 2022 で弊社 Flatt Security のブースにお越しいただいた皆様、ありがとうございました!オフラインイベントならではの会話や出会いもあり嬉しかったです。今後ともどうぞよろしくお願いいたします🙌 #codeblue_jp
Web 開発者のためのセキュリティ教育 SaaS「Flatt Security Learning Platform」、本日提供開始しました。自社製品のセキュリティが気になる経営層の方、自チームの実力の底上げをしたいマネージャーの方、新卒・中途の教育にお悩みの方等、皆様ぜひ導入をご検討ください :)
昨日は NICT 様の一室をお借りして、「#websecjp: 体系的に学ぶモダン Web セキュリティ」というイベントを開催しました。8 時間の長丁場でしたが、楽しんでいただけたようでホッとしております。
ご参加くださった皆様&ご協力くださった皆様、誠にありがとうございました :)
websecjp.connpass.com/event/147500/
Replying to
全体は Rust で書いていて、JS エンジンの自作は (講義の目的とズレるので) V8 を使ってます。Rust から V8 触るのしんどそうだなと思ってたけど、Deno が中で使ってる rusty_v8 がいい感じにラップしてくれてて助かった。DOM API V8 バインディングを作る時に unsafe が少し生えるくらい
こう見ると「米内貴志の弟です。この度は〜」の雰囲気あって草
Quote
セキュリティ・キャンプ全国大会2022オンライン
専門コースB プロデューサー 米内貴志氏より
Webセキュリティ クラスの紹介動画です。
#spcamp #seccamp
youtube.com/watch?v=y0Td87
dodododo で虚無役をしていたら国内優勝していました。TSG も優勝したし何より。各位ありがとうございました。 #seccon
Quote
SECCON Beginners CTF 2021 は終了しました!今年は昨年より参加者が更に多く、最終的な参加チーム数は計 1095 チームでした。ぜひ今後も継続してCTFに参加してみてください。ご参加いただきありがとうございました。#ctf4b #seccon
