Free Software Foundation(以下、FSF)は現地時間2023年2月20日、GNU Linux-libre(リブレ) バージョン6.2の完成をメーリングリストで報告した。Linuxカーネルの完全かつフリーなソースコードを目指し、2008年からGNUが取り組んできたプロジェクトの一つ。Linuxカーネルのメインライン(非安定版)となるバージョン6.2向けのla quinceanera(開発コード名)用パッチコードやバイナリーは、FSFのサイトから入手できる。 メールを投稿したAlexandre Oliva氏は「LinuxはソースレスのバイナリーBLOBを導入し、疑似ソースとしてエンコードされたバイナリーオブジェクトコードを運んできた」と指摘しながら、バージョン6.2でAMD Radeonに代表されるBLOBリクエストをクリーンアップしたと公式サイトで変更内容を説明した。F

GNU tarの開発者であるSergey Poznyakoff氏は1月2日(米国時間)、メーリングリスト「tar-1.31 released [stable]」において、GNU tarの最新版となる「GNU tar 1.31」の公開を伝えた。 GNU tar 1.31の主な注目点は次のとおり。 Zstandard圧縮アルゴリズムをサポート（--zstd）。圧縮時は--zstdを指定することで利用できるほか、-aが指定されている場合は拡張子が.zstまたは.tzstの場合には自動的に適用されるようになる。リスト、展開、比較の操作では自動的に利用される -Kオプションで名前を指定することで、該当する名前のメンバーを展開することが可能 バグ修正と脆弱性対応 GNU tarはLinuxをはじめUNIX系オペレーティングシステムでよく使われているアーカイバ。利用される圧縮アルゴリズムは時代とともに変

滞在したい「場所」と「日数」を入力するだけで、旅行の日程を作成してくれるツール「GPT Travel advisor」が登場し、ネットで注目が集まっている。休みを利用して旅行に行きたいとは思ったものの、具体的な観光計画をたてるのが億劫になった時などに有用だろう。 As someone who loves to travel & travels often, Tripadvisor has become unusable, filled w/ ads + hard to navigate Using @OpenAI GPT3 I created a tool to build a travel itinerary (with links) for any city in the world that is 10x more helpful to mehttps://t.co/NukRI8TU

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けたり、ユーザーがサーバへ送信したアプリケーションのデータを復号されたりする危険性がある。 JVNVU#91213144: OpenSSLに複数の脆弱性 脆弱性の詳細は、OpenSSLプロジェクトによる次のセキュリティアドバイザリにまとめられている。 OpenSSL Security Advisory [7th February 2023] 脆弱性が存在するとされるプロダ

取引先からパスワード付きExcelファイルが送られてくる場合がある。安全性に配慮された形での受け渡しではあるが、すぐに内容を確認できず不便だ。とは言え、毎回同じパスワードであるならば、自動的に解除して自動処理するようなプログラムを作ることができる。今回は、パスワード付きExcelファイルを自動処理してみよう。 パスワード付きExcelファイルからデータを読み出したところ パスワード付きExcelファイルは本当に安全なのか もうずいぶん前から「メールにパスワード付きZIPファイルを添付して送るのは安全ではない」と言われている。それは、第一に、パスワード付きZIPファイルの解読が比較的簡単であること。第二に、ZIPファイルを添付したメールを第三者が見られるのであれば、そのパスワードが書かれたメールも見られることになるため、パスワードで暗号化する意味がないということが理由だ。 それでは、パスワー

Metabase Qは2月1日(米国時間)、「ImageMagick: The hidden vulnerability behind your online images」において、同社のセキュリティチームが発見した画像処理ソフトウェア「ImageMagick」の2件のゼロデイ脆弱性について報告した。これらの脆弱性を悪用されると、攻撃者によって標的のシステム上でサービス拒否（DoS）や情報漏洩などの攻撃を受ける可能性がある。 ImageMagick: The hidden vulnerability behind your online images - Metabase Q ImageMagickは画像の表示や操作、フォーマット変換などを行うことができるオープンソースのソフトウェアスイート。非常に多くの画像フォーマットに対応していることから、画像を扱う世界中のWebサイトで広く利用され

eSecurity Planetは1月24日(米国時間)「Cybercriminals Use VSCode Extensions as New Attack Vector｜eSecurity Planet」において、Visual Studio Codeの拡張機能がサイバー攻撃者にとって魅力的な攻撃手段になりつつあると伝えた。 Visual Studio Codeは人気の高い統合開発環境であり、開発者の75%が使っていると推測されている。拡張機能のインストールはワンクリックで簡単であり、この仕組みがサイバー攻撃における新しいベクトルになりつつあると指摘されている。 Cybercriminals Use VSCode Extensions as New Attack Vector｜eSecurity Planet Visual Studio Codeの拡張機能を悪用するサイバー攻撃は「タイポ

Sucuriはこのほど、「Fake jQuery Domain Redirects Site Visitors to Scam Pages」において、偽のjQueryドメインがWebサイト訪問者をフィッシングWebサイトにリダイレクトさせていると伝えた。160以上のWordPressサイトでJavaScriptインジェクションが検出されている。 Fake jQuery Domain Redirects Site Visitors to Scam Pages 脆弱性のあるWordPressサイトが侵害され、正規のJavaScriptファイルの先頭に悪意のあるJavaScriptスクリプトが注入されるというJavaScriptインジェクションが発見されている。そのスクリプトにはフィッシングWebサイトにリダイレクトするよう実装されていることが明らかとなった。 フィッシングWebサイトのドメイン

人とコンピュータの関係を考えると、二者間には常にインタフェースが存在します。本連載では、人とコンピュータの間に介在するインタフェースに着目し、インタフェースとそれらを世に生み出すプロダクト開発について議論します。Helpfeelが、独自のインタフェースを実装しながら、便利さと楽しさを備えたWebサービスをどのように開発しているのかについてお伝えします。 こんにちは。yuisekiです。私はHelpfeelでメディアキャプチャーツール「Gyazo」のプロダクトマネージャー兼ソフトウェアエンジニアをしています。本稿では、Gyazoの設計・開発の中でユーザー観察やイベントトラッキングから得られた、人間の認知と判断や行動、操作に関する知見をご紹介します。 人間は極めて速い 本稿で最もみなさんへお伝えしたいのは、「人間は極めて速い」という知見です。一言で表現するならば、人間はとても「短気」で「せっか

個人的にiOS 16になって最も嬉しかったのが「連絡先」アプリの大幅アップデートです。汎用的なvCard形式で連絡先が気軽に書き出せるようになりました。vCardはテキストベースの汎用的な電話帳データ形式です。今回はNode.jsからvCard形式を読む方法を紹介します。 スマートフォンからエクスポートしたvCardファイルをNode.jsで読んだところ クラウド時代であってもバックアップが大切 今やいろいろなデータがクラウドに保存されるようになりました。スマートフォン上のデータも例外ではなく、様々な情報がクラウドにバックアップされます。そのため、スマートフォンを新しくした際のデータ移行はずいぶん楽になりました。 しかし、先日、知人がApple IDが乗っ取りに遭い、iPhoneの再インストールを余儀なくされた話を聞きました。旧アカウントは利用することができなくなり、新たにアカウントを作る

「Vtuber」という存在を知っているだろうか。Vtuberとは、「Virtual Youtuber（バーチャル ユーチューバー）」の略で、仮想のキャラクターを利用して、人間の動きをモーションキャプチャで反映させた動画や配信映像をYouTubeに投稿している人のことを指す。 近年、盛り上がりを見せるVtuber業界だが、そこに企業の名前を背負い参入する「企業公式Vtuber」が登場している。 本連載では、会社の顔としてVtuberを導入している企業の担当者に話を伺い、その誕生秘話や担当者の想いに迫る。 第6回となる今回は、日本の「お天気情報」を支える世界最大の民間気象情報会社であるウェザーニューズの公式Vtuber「ウェザーロイドAiri」。マネージャーを務めるウェザーニュースキャスターの山岸愛梨氏に話を聞いた。 ウェザーロイドAiri

米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm｜NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:

Cisco Talos Intelligence Groupは12月13日(米国時間)、「HTML smugglers turn to SVG images」において、スケーラブル・ベクター・グラフィックス(SVG: Scalable Vector Graphics)画像を悪用した比較的新しいHTMLスマグリング手法が攻撃者に使われていると伝えた。HTMLスクリプトタグを含むSVG画像をエンコードしたHTML添付のフィッシングメールを発見したと報告されている。 HTML smugglers turn to SVG images HTMLスマグリングはHTTPリクエストでリモートサーバからマルウェアを取得するのではなく、HTMLとJavaScriptの正当な機能を悪用して、添付ファイルに含まれるエンコードされた悪質なコードを実行し、被害者のマシン上でペイロードを組み立てる攻撃手法とされている

Ars Technicaは10月25日(米国時間)、「Passkeys—Microsoft, Apple, and Google’s password killer—are finally here｜Ars Technica」において、安全で使いやすいパスワードの代用品がついに登場したと伝えた。Microsoft、Apple、Googleの「パスキー(Passkeys)」の登場によって、パスワードの代替手段を手に入れることが可能になったという。 パスワードに変わる新たな選択肢として、パスキーが具現化した。もともと認証情報をハードウェアに保存するためのさまざまなスキームのことをパスキーと呼び、コンセプトは10年以上前から存在していた。パスキーは、パスワードよりも使いやすく、クレデンシャルフィッシングやクレデンシャルスタッフィング、アカウント乗っ取り攻撃にも完全な耐性があるといわれている。 F

Gmailから自動で電子メールを送信したい場面は意外と多いものの、Gmailのセキュリティは日に日に強化されており、気軽にメールを送信できないようになっています。そこで、今回は、Node.jsを使ってGmailを自動送信する方法をまとめてみます。 まだまだ現役のメール送信を自動化しよう 友人同士の連絡には、SNSやLINEなどが使われることが増えましたが、ビジネス用途ではまだまだ電子メールが積極的に利用されています。それで、チームメンバーや顧客に電子メールを一括送信したい場面というのは、意外と多いものです。 今回は、JavaScript実行エンジンのNode.jsをPCにインストールしてメールの自動送信システムを作ってみましょう。なお、Node.jsのインストールについては、本連載の第2回で紹介しています。まだインストールしていない人は、手順を参照してください。 Gmail側でアプリパスワ

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月6日、「JVNTA#96784241: VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題」において、VLAN対応ネットワーク機器に複数の脆弱性が存在すると伝えた。 これら脆弱性を悪用されると、ネットワーク機器の保護機構がバイパスされ、サービス運用妨害(DoS: Denial of Service)攻撃や中間者攻撃(MITM: Man-in-the-Middle)による通信内容の窃取が行われる危険性があるとされており注意が必要。 JVNTA#96784241: VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題 脆弱性の影響を受けるとされるプロダクトは次のとおり。

熊本大学は9月27日、認知症が疑われ、同大学病院の認知症専門外来に訪れた446名の患者についての調査研究を行ったところ、約1.6％にあたる7名は認知症ではなく、高齢によって顕在化した発達障害の1つである「注意欠陥多動性障害(ADHD)」であったことを確認したと発表した。 同成果は、熊本大病院 神経精神科の佐々木博之特任助教、同・大学大学院 生命科学研究部 神経精神医学講座の竹林実教授らの共同研究チームによるもの。詳細は、精神疾患の予防や診断などに関する全般を扱う学際的なオープンアクセスジャーナル「BMC Psychiatry」に掲載された。 研究チームはこれまでの研究にて、高齢者において認知症のように誤診されうる発達障害患者を見出し、症例報告を行っていた。その症例では、これまで日常生活でそれほど大きな支障がなかった60歳前後の会社員が、徐々に物忘れや不注意が目立つようになり、認知症を疑われ

8月上旬、メッセージングサービスのTwilioがソーシャルエンジニアリング攻撃を受け、深刻なデータ漏洩に見舞われていたようだ。サイバー犯罪者が同社の従業員に対してフィッシング攻撃を行い、ユーザーデータが不正アクセスを受けただけでなく、攻撃がより広範囲に及んでいたことが明らかとなった。 Twilioは8月24日(米国時間)、「Incident Report: Employee and Customer Account Compromise」において、同社の二要素認証(2FA: Two-Factor Authentication)アプリであるAuthyの一部のユーザーアカウントが攻撃者に侵害されたと伝えた。今回の侵害で影響を受けたユーザーは少数とされているが、その影響は非常に深刻である可能性が高い。 Incident Report: Employee and Customer Account

Zigは2015年に登場した新しいオープンソースのプログラミング言語です。Go言語やRust言語のように、C言語の置き換えを目標にしたコンパイラ言語です。その最大の特徴はシンプルであることです。確かに、マクロもプリプロセッサもありませんが、現代的な言語に仕上がっています。最近話題になることが増えてきたので試してみましょう。 ZigのWebサイト Zigとは Zigはアンドリュー・ケリー氏によって2015年に登場した新しいプログラミング言語です。コンパイラ基盤のLLVMを利用しており、幅広いOSに対応した実行ファイルを生成することができます。 Zigはシンプルをモットーとしています。Zigのマニュアルでは、C++やRust、D言語など多くの機能を持つ言語を挙げて、それらとは異なりシンプルであることを名言しています。 そして、その構文は、C言語と似ているのですが、遅延処理のdefer構文や型推

Kaspersky Labは7月25日(米国時間)、「CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit｜Securelist」において、ユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)ファームウェアルートキットを発見したと伝えた。「CosmicStrand」と名付けられたUEFIルートキットは、中国の脅威アクターによって開発されたものと見られている。 CosmicStrand: the discovery of a sophisticated UEFI firmware rootkit｜Securelist このルートキットに初期感染する経路は判明していないが、感染したデバイスはGigabyteまたは