例のサイゼイヤをIPAに通報した
IPA通報代行、始めます。脆弱性っぽいものを見つけたけど、報告書を書くのも窓口対応も面倒な方向け。内容整理、届出文作成、IPA提出、追加確認対応まで代行します。まずはDMへ。 まず、サイゼリヤの「安さを徹底追求する」企業努力にはとても感謝しています。 だからこそ、この高校生(自称)の行為は、醤油ぺろぺろテロ行為と何ら変わりがないことを言いたいです。 彼がやったことは「やりすぎ」「法に触れる可能性」 彼がもし、本当にエンジニアとしてデベロッパーとしてクリエイターとして、将来を担っていきたいのであれば、サイゼリアのコードを解析した結果、容易に非公開APIを通じて、サイゼリヤのサーバーに到達する可能性があることを、まずIPAに報告すべきでした。 本件の問題は、 セキュリティホールを発見したことではなく、その後、その脆弱性を利用したことです。その時点でアウトですから、それをさらにOSSとして公開し
話題のニンジャマイルズについて調査してみた|okash1n
発端はこうだ。著名なエンジニアである mizchi 氏がX 上でキーボードアプリ「ニンジャマイルズ(Ninja Miles)」を「キーロガー」と指摘したことをきっかけに、大きな議論が巻き起こった。 あまりにも直球で危険なアプリ見つけて戦慄してる。ユーザーにキーロガーをインストールさせてポイ活と称して入力を促す こういうの誰に言えばいいんだろ@bulkneets @HiromitsuTakagi あたり? (自分が界隈知らないだけで世界はこういうので溢れてる可能性もあるが...)https://t.co/WV8izfmtT6 — mizchi (@mizchi) February 25, 2026
また病院がVPN経由でやられたわけだがVPNは悪だね|ロードバランスすだちくん(仮)
シンジです。2026年2月9日の午前1時50分、日本医科大学武蔵小杉病院のナースコールシステムがランサムウェア攻撃を受けました。侵入経路は医療機器保守用VPN装置です。またVPNです。またです。人類は過去の経験から学ばない生き物でしたね。 約1万人分の患者の個人情報(氏名、性別、住所、電話番号、生年月日、患者ID)が院外に持ち出されたことが確認されています。厚労省の初動対応チームが派遣される事態となりました。ナースコールですよ。入院患者さんが緊急時にナースを呼ぶためのあのボタンの裏側にあるシステムが、ランサムウェアにやられたわけです。 「医療機器保守用VPN装置」という闇今回の侵入経路が「医療機器保守用VPN装置」だったということは、つまり医療機器ベンダーが遠隔で保守するために設置されたVPN装置が入口になったということです。 これ、医療業界に限った話じゃないんですよね。製造業でも、ビル管
【優勝🥇】防衛省サイバーコンテストをAIで攻略した話 - Qiita
本記事は、筆者がAIとの対話形式で思考整理を行い、その内容を基に構成しています。いわゆるAI記事です。記載内容は公開情報の範囲内に基づいており、言及されているコンテストでのAIの使用は主催者の定めるルールに従っています。 はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。普段はWeb脆弱性診断をやりつつ、株式会社Ikotas Labsという会社で代表をやっています。趣味はCTFと呼ばれるセキュリティコンテストで、所属チームでは主にWeb・Misc・AIのジャンルを担当しています。 先日、防衛省サイバーコンテストに、チーム名 株式会社Ikotas_Labs として出場し、圧倒的な速度で優勝しました。これはコンテスト用に構築したAIエージェントを投入し、Flag提出までを完全自動化した結果です。 本記事では、なぜAIエージェントで挑んだのか、どう設計し
sudoをパスワードレス認証で使いたい | IIJ Engineers Blog
メール、DNS、サーバホスティング、クラウドIaaSサービスと数々のサービス立ち上げに参画。近年は過去の経験を活かしてプラットフォームエンジニアリング部門を発足。100を超えるサービス/プロジェクトをホストするプラットフォームに育て上げる。市場や技術の変化を捉え、自らをアップデートし続けることがビジネスを成功に導く秘訣と考えるストラテジスト。 【IIJ 2025 TECHアドベントカレンダー 12/9の記事です】 昨年は「SSHでも二要素認証を使いたい」のタイトルでご紹介したSSHで二要素認証を利用する方法が好評だったので、今年はsudoをパスワードレス認証で使う方法について解説します。ちなみに、昨年の解説通りにSSHで二要素認証を行う環境が整っていれば、sudoでも二要素認証が実現します。 sudoのダメな使い方 かつては特権操作を行うとき、suコマンドを利用して一般アカウントからroo
設計・開発・テストにおけるセキュリティの実践と考え方を知ろう | ドクセル
スライド概要 セキュリティ・キャンプ全国大会、プロダクトセキュリティクラス(Bクラス) B2『設計・開発・テストにおけるセキュリティの実践と考え方を知ろう』 プロダクトのセキュリティを担保するためには、できる限り開発工程の前段階でセキュリティリスクを発見することが大事であり、これを Shift-left と呼びます。 そのようなプロダクト開発の潮流の中で、セキュリティを担保するために、広範な知識と多くの技術が要求されるようになりました。 本講義では、ソフトウェア開発ライフサイクル(SDLC)をもとに、各工程でセキュリティをどのように担保すべきかについて、考え方や実践方法を学びます。 それにより、DevSecOps に代表されるセキュアな開発工程を俯瞰的に理解し、エンジニアの総合的な力を身につけます。 また、技術的な能力を高めるだけではなく、脆弱性に起因するリスクを他人にわかりやすく説明する
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。 本記事では、W3CのWorking Draft(2025年5月現在)である Web Authentication: An API for accessing Public Key Credentials Level 3 を読み解き、Relying Party(RP)としてPasskey認証を導入する際に実装で注意すべき点を説明いたします。 はじめに Passkey認証でも生まれ得るセキュリティリ
2025年6月配信の Windows Update で起動不能になる不具合はSecureBoot DBXが原因。BIOSの書き換えが必須に - ギャズログ | GAZ:Log
2025年6月配信の Windows Update で起動不能になる不具合はSecureBoot DBXが原因。BIOSの書き換えが必須に Microsoftが月例アップデートとしてWindows 11 24H2向けにはKB5063060とKB5060842が、Windows 11 23H2にはKB5060999、Windows 10 22H2にはKB5060533がそれぞれ2025年6月10日に配信されています。しかし、このアップデートを適用した後に一部GIGABYTEや富士通、マウスコンピューター製PCがBIOS/UEFI画面以降に進まないなど起動不可能になる致命的な不具合が確認されていますが、その原因や復旧方法が明らかになりました。 2025年6月の Windows 11 と Windows 10 アップデートでBIOSが壊れ文鎮化する不具合が発生中 オーストリアのGunnar Ha
2025年6月のWindows UpdateでPCが起動しなくなるメーカー一覧。原因はBIOS破損でほぼ確定。復旧方法は [Update 4] | ニッチなPCゲーマーの環境構築Z
2025年6月(以降)のWindows Update後にPCが起動しなくなったとの不具合報告が多数出ています。本記事では、この不具合の影響を受けるメーカーおよび製品をまとめています。 更新履歴 [記事初公開日: 2025/6/17] ① マウスコンピューターから本件に関する公式発表がされました。それに伴い、マウスコンピューターの内容・リンク先を改訂。 [2025/6/17] ② Gigabyteとマウスコンピューターが復旧方法を公開しました。その旨、記事に加筆・改訂。 [2025/6/18] ③ メーカー一覧にエプソンを追加。 [2025/6/18] ④ エプソンが修理対応を開始した旨を加筆。Microsoftが本不具合を認めた旨を加筆。メーカー一覧にThundeRobotを追加。『復旧について2』を記事下部に加筆。 [2025/6/19] ⑤ 『不具合の原因は』項目に不具合の影響を受ける
![2025年6月のWindows UpdateでPCが起動しなくなるメーカー一覧。原因はBIOS破損でほぼ確定。復旧方法は [Update 4] | ニッチなPCゲーマーの環境構築Z](https://cdn-ak-scissors.b.st-hatena.com/image/square/3b4991797031a5cdf485a0fe05d00347b6c44b28/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fwww.nichepcgamer.com%2Fwp-content%2Fuploads%2F2024%2F10%2Fwindows-issue-black.jpg)
グーグルが20億ユーザーに警告―今すぐGmailをパスワードからパスキーに変更を | Forbes JAPAN 公式サイト(フォーブス ジャパン)
以前から繰り返し述べてきたが、残念ながら読者が即座に行動を起こさない限り、この警告を言い続けるしかない──Gmailは他のすべてのメールプロバイダーと同様に攻撃を受けている。私がただ言っているだけではなく、グーグル自身が、米国消費者の61%がメール攻撃の標的になったことを認めている。この数字を直視してほしい。 さて、少しは危機感を抱いただろうか。抱いたはずだし、メールハッカーの次の犠牲者にならないために、ただちに手を打つべきだ。グーグルのプライバシー・安全・セキュリティ担当バイスプレジデント、エヴァン・コツォヴィノスは、プラットフォームの20億ユーザーに向けて「今すぐGmailパスワードを変えましょう」と「強く推奨」する警告を発している。以下、知っておくべきことと取るべき手順を示す。 グーグルは、Gmail アカウントを「パスキー」に即時変更するよう強く推奨大半のユーザーはいまだにパスワー
このリストにあるGoogle Chrome拡張機能はすべて削除せよ 日本語名でも存在し危険 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
今週、Chrome(クローム)ブラウザーに関する警告が再び報じられている。グーグルは攻撃が進行中であることを認め、約30 億人のユーザーに緊急アップデートを配信した(「CVE-2025-5419:深刻度 High」への対応)。同社はまた、先週すべてのユーザーに対して設定変更をアナウンスなしにプッシュし、この脅威を緩和したことも明らかにした。 Chrome拡張機能の振りをして、攻撃者の「号令」があるまで潜伏を続けるその一方で、イスラエルのLayerX Securityはまったく性質の異なる静かな脅威を警告している。同社は、ChromeやEdgeのブラウザー拡張機能として動作する、軽量なセキュリティソリューションを開発・提供している。 LayerX Securityによると、「悪意あるスリーパー(潜伏者)エージェント拡張機能のネットワーク」が確認されており、これらは「同一人物または同一グループ
Windows 11 24H2、自動で行われるストレージ暗号化に注意を
Neowinは5月1日(米国時間)、「Windows 11 users reportedly losing data due to Microsoft's forced BitLocker encryption - Neowin」において、Windows 11バージョン24H2はデフォルトでWindowsドライブを暗号化する可能性があると伝えた。 これまでHomeエディションは原則として対象外だったが、Windows 11バージョン24H2からは対象に加わり、すべてのデータを失う可能性があるとして注意を呼びかけている。 Windows 11 users reportedly losing data due to Microsoft's forced BitLocker encryption - Neowin Windows 11バージョン24H2にアップグレードする場合は要注意 Reddi
PostgreSQLにあるSQLインジェクションの脆弱性が9年以上発見されずアメリカ財務省への侵入に使用されてしまう
2024年12月30日、「中国政府が支援する高度で持続的な脅威攻撃者」がアメリカ財務省の機密データを管理するシステムを侵害しました。この侵入にはPostgreSQLに9年以上存在していたのに誰も気付いていなかったSQLインジェクションの脆弱(ぜいじゃく)性が使用されたことが判明しており、ソフトウェアエンジニアのニック・アグリアーノ氏が記事にまとめています。 Hidden Messages in Emojis and Hacking the US Treasury https://slamdunksoftware.substack.com/p/hidden-messages-in-emojis-and-hacking SQLインジェクションは多くのセキュリティの教科書の冒頭に載っているような非常に有名な攻撃手法で、SQLインジェクションを通して攻撃者はSQL文を書き換えられるためシステムに重
Active Directory攻防
長年にわたり、ペンテストやRed Teamの案件において、Active Directory環境でよく見られる脆弱性とその対策をまとめた資料です。
神奈川県立高校ネット出願システムのGmail到達性問題、改めて深堀りしてみた | DevelopersIO
神奈川県ネット出願システムのGmailへのメール到達性問題は、不適切なサーバー設定、大量メール送信、DNSミス、バウンスメール処理不備、急激な送信量増加、準備不足、新ドメインの低信頼性が複合的に作用して発生したと推測されます。 2024年1月、神奈川県のネット出願システムでGmailにメールが届かないトラブルが発生しました。 身内が受験するため、出願システムのトラブルに巻き込まれた当事者として原因調査を試みていました。 先日『日経クロステック』より、本件について取材を受ける機会がありました。 取材協力した記事で取り上げられた問題について、さらに深堀り、詳細な分析を行った内容を以下に紹介いたします。 問題の概要 概要 志願者登録時、二次元コード読み取りと空メール送信が必要 "@gmail.com"アドレスへの返信メールが届かない不具合発生 原因 システムのメールサーバ設定が不十分 大量メール
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CrowdStrikeの悲劇は、もう繰り返さない。Windows 11に新しい回復機能実装へ
8900万のSteamアカウント(全体の3分の2)がダークウェブに流出
TP-Link、AI人物検知を備えたスマートドアホン「Tapo D210」発売 
HDMIを無線化できるケーブル型送受信機
黙っていればわからないのに……「Vivaldi」が正直に告白したセキュリティ問題/利便性やデザインも大事だけど、アプリを選ぶときにもっておきたい評価軸【やじうまの杜】
