船舶セキュリティやAI！「ラック・セキュリティごった煮ブログ」2023年度人気記事紹介

こんにちは、デジタルペンテスト部の田端です。
セキュリティエンジニアがセキュリティやITの様々なジャンルの技術について情報を発信する、「ラック・セキュリティごった煮ブログ」を運営しています。

このブログは、セキュリティエンジニアが書きたい・好き・気になる技術ネタを自由に書いて公開しています。「ごった煮」という名前の通り、技術に関連するお話であればどんなネタでもOKな闇鍋のようなブログです。

最近、様々な場面で「ごった煮、読んでいます！」と言ってもらえる機会が増えてきて嬉しいです。どんどん新しい記事を掲載しているので、まだ読んだことがない方、ぜひこちらの記事をきっかけにブログを読んでみませんか？

それでは早速、2023年度に公開したなかでアクセス数の多かった記事を紹介します。

他では見られない、実体験を基にした記事が大人気！

第1位：船舶のGPS・AISシステムへの攻撃手法～レッドチーム演習の先生をやってきた！～

• 船舶のGPS・AISシステムへの攻撃手法～レッドチーム演習の先生をやってきた！～ - ラック・セキュリティごった煮ブログ

ライター：しゅーと

日本で初となる、実運航船を用いたサイバー攻撃への船舶防御演習で実施した内容を紹介したブログです。

船舶への特有の攻撃手法の解説や、偽電波攻撃デモの内容、船舶防御演習でレッドチーム（攻撃役）が実施した実運航船へのスプーフィング攻撃の内容などを具体的に紹介しています。

実際に動いている船に対してスプーフィング攻撃を仕掛け、攻撃に対して船員側は対応を考えるといった熱いイベントでした。実運航している船舶でのサイバー防御演習という、他では見られない内容に注目が集まり、2023年度で1番アクセス数の多い記事となりました。

船舶関連の方はもちろん、セキュリティ技術に興味がある方に楽しんでもらえる内容です。

第2位："Prompt Engineering Guide"からプロンプトエンジニアリングを学んでChatGPTを駆使しよう！

• "Prompt Engineering Guide"からプロンプトエンジニアリングを学んでChatGPTを駆使しよう！ - ラック・セキュリティごった煮ブログ

ライター：南

ChatGPTなど生成AIの性能を十分に引き出すには、どのような指示文が効果的なのかを体系的に学べるサイト、「Prompt Engineering Guide」の日本語訳が登場しました。そのサイトの内容解説とライターの所感を紹介しました。

話題のChatGPTを、より効果的に活用したい方にオススメです。

ラックでは、お客様のプライベートな環境でChatGPTを安全に使えるよう支援するサービス、「生成AI 社内活用導入支援サービス」も提供しています。

第3位：コピープロテクトの作り方（基礎編）

• コピープロテクトの作り方（基礎編） - ラック・セキュリティごった煮ブログ

ライター：bubobubo

コピープロテクトの技術について解説しました。

昔のソフトウェアのコピープロテクトや家庭用ゲーム機のコピープロテクトから、コピープロテクトの技術構成要素、実装で気を付けるべきことを解説しています。懐かしいコピープロテクトの歴史の部分では、写真も交えて説明しています。

ゲームのコピープロテクトの技術や、仕組みに関心がある方に注目してもらい、多数のアクセスをしてもらいました。ゲームセキュリティやコピープロテクトの技術に関心がある方にオススメの内容です。

第4位：SDDLで学ぶWindowsのアクセス制御

• SDDLで学ぶWindowsのアクセス制御 - ラック・セキュリティごった煮ブログ

ライター：北原

Windows OSにおける、アクセス制御設定の効率的な管理や調査に役立つ情報として、「SDDL」の読み方を解説しました。

SDDL解読のための基礎知識や、取得と解読の方法、実際にアクセス権限を確認するツールの使用方法など、具体的に説明しています。解読に慣れるためには少し時間がかかるSDDLについて詳細に解説しているため、はてなブックマークをたくさんもらえました。

Windowsのセキュリティ技術に関心がある方や、セキュリティ対策に携わっている方はぜひ読んでみてください。

第5位：CTFの問題を作ろう

• CTFの問題を作ろう - ラック・セキュリティごった煮ブログ

ライター：st98

CTFの問題を「作問する側」の視点で、どのように作問したのか解説しました。ライターの得意分野が「Web」であることから、特にWebカテゴリーの作問がメインです。作問を実施する流れや、注意している点について具体的に紹介しています。

CTFが好きな方、特にCTFの作問側に興味がある方にオススメです。

第6位：Active Directoryに対するRBCD攻撃の対策の話

• Active Directoryに対するRBCD攻撃の対策の話 - ラック・セキュリティごった煮ブログ

ライター：小松奈央

Active Directoryに対する攻撃手法である、「Resource-based Constrained Delegation（RBCD）攻撃」への対策方法を説明しました。

RBCD攻撃は、攻撃者がターゲットとなるActive Directoryへ侵入した後、他の端末へ侵入範囲を拡大したり、ドメインにおける権限昇格を行ったりするための攻撃手法の1つです。この攻撃手法は原理や対策方法が分かりにくいため、ぜひこちらの記事を読んで理解を深めてもらえたら嬉しいです。

情報システム担当者の方など、実際にセキュリティ対策を実施されている方のセキュリティ対策検討に役立つ内容です。

第7位：新しく生まれ変わったBloodHound Community Editionを使ってみた

• 新しく生まれ変わったBloodHound Community Editionを使ってみた - ラック・セキュリティごった煮ブログ

ライター：小松奈央

ペネトレーションテストを実施する方にとって馴染み深いツール「BloodHound」が新しくなりました。そこで、従来のツールとの相違点や使い方をペネトレーションテストの担当者の観点で解説しました。

BloodHoundとは、Active Directory環境やMicrosoft Entra ID環境を対象としたペネトレーションテストにおいて、高い権限を効率的に侵害するために使用するツールです。ペネトレーションテストやセキュリティツールに興味がある方にオススメの内容です。

第8位：ラックグループ内CTF「LACCON 2022」で作問した話

• ラックグループ内CTF「LACCON 2022」で作問した話 - ラック・セキュリティごった煮ブログ

ライター：st98

ラックグループでは、毎年「LACCON」というCTFの大会を開催しています。その大会で出題した問題を例にどのように作問したのか、具体的な問題の内容を紹介しながら解説します。

こちらはぜひ、第5位のCTF作問の記事と合わせて読んでみてください。また、解説だけでなく問題のソースコードもダウンロードできるようになっているので、CTFが好きな方はぜひ問題にチャレンジしてみてください。

第9位：Python製Webフレームワークの脆弱性を報告したはずが、Pythonの脆弱性を見つけていた話

• Python製Webフレームワークの脆弱性を報告したはずが、Pythonの脆弱性を見つけていた話 - ラック・セキュリティごった煮ブログ

ライター：山根

ライターがWebフレームワークの脆弱性を発見したところ、その脆弱性が公表されるに至った経緯が非常に興味深いものでした。その内容を紹介しています。

脆弱性を発見した際に実施した調査方法や、発見した挙動について、脆弱性発見に至る一連の流れを紹介しています。また、公表された際に記載されていた驚きの内容とは何だったのでしょうか。

Webアプリケーションのセキュリティ技術に興味がある方にオススメな内容です。ぜひ最後までご覧ください。

第10位：サーマルカメラの処分にはご用心 - 意図しない情報漏洩リスク

• サーマルカメラの処分にはご用心 - 意図しない情報漏洩リスク - ラック・セキュリティごった煮ブログ

ライター：日野

サーマルカメラを処分する際に潜む情報漏えいの危険性について、実際に機器を使用して調査した内容を紹介しました。

「処分時に適切な処理ができていなかったため、サーマルカメラを解析したら体温測定をした人の顔写真など機微な情報が残っていた」という投稿を見たライターが、実際に機器を分解・解析して調査してみました。

果たしてデータは残ってしまっていたのでしょうか？ブログを読んで確認してみてください。IoT機器開発やセキュリティ対策に関わる方に、特に興味を持ってもらえる内容です。

さいごに

2023年度に公開した記事の中で、アクセス数の多かった記事のベスト10を紹介しました。

この記事を読んで興味を持ってくれた皆さま、他にもたくさんある面白い記事も合わせて読んでもらえたら嬉しいです！

プロフィール