AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
Miggo Securityは2024年8月20日(現地時間)、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱(ぜいじゃく)性「ALBeast」があると発表した。ALBeastはALBを認証機能として使用するアプリケーションにおいて認証バイパスを可能にするものだ。影響を受けるアプリケーションは1万5000以上におよぶ。 AWS ALBの認証機能に隠れた脆弱性「ALBeast」 ただし、AWSは脆弱性とは認めず、「サービスは意図された通りに動いている」と述べた。その理由は何か。また、ALBeastが悪用されるとどのような危険性があるのだろうか。 ALBeastはALBの認証メカニズムに依存しているインターネットに公開されたアプリケーションにおいて、攻撃者が認証や承認のプロセスをバイパスできる構成ベースの欠陥とされている。悪用された場合は不正アクセスやデータ侵害、情
ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要
Zabbixは2024年8月9日(現地時間)、監視ソリューション「Zabbix」に深刻な脆弱(ぜいじゃく)性があると伝えた。この脆弱性が悪用された場合、リモートコード実行の攻撃を受け、システム全体が危険にさらされる可能性がある。 Zabbixはネットワークやサーバ、仮想マシン、クラウドサービスなどのITインフラ全体をリアルタイムで監視し、パフォーマンスデータを収集・分析するオープンソースの監視ソフトウェアだ。シンプルなアプリケーションから大規模なインフラまで、さまざまなITリソースを監視するために利用されている。 ZabbixにCVSS 9.9の脆弱性 急ぎアップデートを 今回報告された脆弱性は「CVE-2024-22116」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.9で深刻度「緊急」(Critical)に分類されている。 影響を受けるバージョンでは制
リクルート、新卒エンジニア向け研修資料を無料公開 「実践データベース設計」など全26種類
リクルートは8月9日、新卒エンジニア向け研修資料を無料公開した。公開したのは、2024年度に実際行った研修の内容と資料の一部。エンジニアの心構えからデータベース設計、JavaScript研修、Webアクセシビリティー入門など、26種類の資料を無償公開している。 例えば、エンジニアの心構えを学べる資料「ソフトウェアエンジニアとしての姿勢と心構え」は、プログラマー向けの技術書を複数出版している、ソフトウェア開発者の和田卓人さんが作成したもの。エンジニアとしてどのように技術を学んでいけば良いのか、「技術の学び方を学ぶ」ために作成した資料だという。 同社は例年、新卒エンジニア向けの研修資料を無償公開している。23年度は24種類の資料を公開していたが、24年度は「実践データベース設計」などの資料を追加した。この資料を使った講座では、具体的なデータベースの設計方法や、実際の開発プロセスを実践に沿った形
Windowsのセキュリティパッチを全て巻き戻すゼロデイ脆弱性が見つかる
Windows 10 32ビット版 Windows 10 64ビット版 Windows 10 Version 1607 32ビット版 Windows 10 Version 1607 64ビット版 Windows 10 Version 1809 32ビット版 Windows 10 Version 1809 ARM64版 Windows 10 Version 1809 64ビット版 Windows 10 Version 21H2 32ビット版 Windows 10 Version 21H2 ARM64版 Windows 10 Version 21H2 64ビット版 Windows 10 Version 22H2 32ビット版 Windows 10 Version 22H2 ARM64版 Windows 10 Version 22H2 64ビット版 Windows 11 version 21H2
macOSのセキュリティ防御率は23% WindowsやLinuxと比べて大幅に劣ることが判明
Picus Securityは2024年7月30日(現地時間)、年次セキュリティレポートの最新版「Picus Blue Report 2024」を公開した。 このレポートは、サイバー攻撃に対する脆弱(ぜいじゃく)性や防御策に関する詳細な分析が実施されている。特に「macOS」におけるセキュリティ防御率は「Windows」や「Linux」に比べて大幅に劣ることも明らかになっている。 macOSとWindows、Linuxのセキュリティ防御率には大きな格差がある Picus Blue Report 2024における主なポイントは以下の通りだ。 テストしたIT環境の40%にドメイン管理者アクセスにつながる脆弱性があることが判明している 防御の予防効果が2023年の59%から2024年には69%に向上している 攻撃の検出効果は逆に低下し、アラートスコアは16%から12%に減少している macOSエ
世にも珍しい「無線ルーターの自動販売機」の謎を追う──富山に実在、バッファローのロゴ入りも「関与なし」?
去る8月5日、X(旧Twitter)上で1枚の写真が注目を集めていた。一見、ただの赤い自動販売機。しかしよく見ると、ガジェット好きにはなじみ深い「BUFFALO」のロゴが入っている。しかも商品は同社の無線LANルーターばかりだ。 この写真は、富山市在住のXユーザーさんが投稿したもの。バッファローの公式Xアカウントも反応しているが、びっくりした顔文字だけで詳しい説明はない。 ただ、リプライには多くの目撃談が寄せられていた。それらの情報を総合すると、この自動販売機は富山大学の近くにある不動産屋さんの店頭にあることが分かった。 Googleマップのストリートビューで該当する場所を表示してみると、確かにバッファローのロゴが入った赤い自動販売機が確認できる。 しかしバッファローが無線ルーターの自動販売機を展開しているといった話は聞いたことがない。そもそも一万円近くする無線ルーターが自動販売機で売れる
ウォンテッドリー、約20万人の情報が漏えいした可能性 設定不備10年近く リスク調査で発覚
ウォンテッドリーは7月30日、ビジネスSNS「Wantedly」について、ユーザー約20万人の情報が漏えいしていた可能性があると発表した。同社は4月、アクセス設定の不備による情報漏えいの可能性を発表。その後リスク調査をしたところ、同様の問題がサービス内で10件見つかり、新たな漏えいの可能性が発覚したという。 調査により、2013年10月17日から24年6月10日にかけて、未公開か削除済みの人材募集記事19万4733件、もしくは企業の公式ページ2万4435件が、本来アクセス権限を持たない第三者に閲覧された可能性が発覚。これにより、それぞれのページに載っていたユーザーの氏名や所属企業、職種、プロフィール画像、自己紹介文など20万578人分が漏えいした可能性が明らかになったという。 期間中は人材募集記事や企業の公式ページに対し「公開範囲を超えてブックマークやフォロー、募集に対する応募が可能であり
“新卒エンジニア向け”生成AI研修の教材、KDDI子会社が無償公開中 計2時間の体験型学習向け
KDDIグループでアジャイル開発事業を行うKDDIアジャイル開発センター(東京都港区、以下KAG)は7月23日、同社の新卒エンジニア向けに実施した生成AI研修の教材を無償公開した。体験型学習として、プロンプトエンジニアリングやRAG、API利用などの項目の研修メニューを紹介。計2時間程度の研修として想定した内容だという。 全研修メニューは「プロンプトエンジニアリング」(20分)、「いろいろな生成AIアプリを試す」(20分)、「API利用」(20分)、「RAG」(30分)、「AIエージェント」(30分)の5項目。エンジニアとデザイナー共通の体験型新卒研修として実施した。KAGでは事前に講義も実施し、実際の研修では受講者にペアを組ませ、相互フォローさせる形で行ったという。 プロンプトエンジニアリングでは「ChatGPT」を使用。いろいろな生成AIを試す際には、「Claude.ai」や「Perp
AI人材を新規採用→実は“北朝鮮の技術者”だった マルウェア感染など画策 米セキュリティ企業が体験明かす
雇ったAI人材が実は北朝鮮の技術者で、社内にマルウェアを仕込もうとしていた。履歴書の写真はAIで加工されたもので、オンライン面談でも気付けなかった──米セキュリティ企業のKnowBe4が、こんな出来事に遭遇したと自社ブログで明かした。結果として情報漏えいなどにはつながらなかったものの、注意喚起として事態の詳細を紹介している。 KnowBe4は7月15日(現地時間)までに、社内のAIチームで働くソフトウェアエンジニアを採用した。Web会議による面接を4回実施し、履歴書と同一人物かを確認したり、身元調査を行ったりした上での採用だったという。同社はその人物に、業務用端末としてMacを送付した。 しかし、その人物は身元を偽った別人だった。その人物はMacを受け取った瞬間にRaspberry Piからマルウェアをダウンロードしたり、不正なソフトウェアを実行したりしようとするなど、さまざまな操作を行っ
CrowdStrike、Windowsブルスク問題の原因と対策を説明
米CrowdStrikeは7月20日(現地時間)、同社のサービス更新が原因で世界同時多発的に発生したWindowsのブルースクリーン問題の発生原因と対策について公式ブログで説明した。 経緯 19日午前4時9分にリリースしたWindowsシステムに対するセンサー構成の「チャンネルファイル」の更新(Falconプラットフォームの保護メカニズムに関するもの)によってロジックエラーが発生し、影響を受けるシステムでクラッシュとブルースクリーンが発生。 クラッシュの原因となった更新は、19日午前5時27分に修正した。 なお、こうしたセンサー構成の更新はこれまでも1日に数回実行されてきたものという。 影響を受けた環境 更新リリース期間中オンラインだったWindows用FalconセンサーのVer.7.11以降を実行していた顧客が影響を受けた可能性がある。 クラッシュの原因 原因となったチャンネルファイル
ヤンマー製作のロボットアニメ、25年春に地上波放送へ 9代目「ヤン坊マー坊」も登場
農業機械などのメーカーとして知られるヤンマーホールディングス(大阪市北区)は7月18日、製作中のオリジナルアニメ「未ル わたしのみらい」が、2025年春に地上波で放送されると発表した。オムニバス形式で全5話を予定している。 併せて、総合プロデューサーとして、「機動戦士ガンダム」や「銀河漂流バイファム」「シティーハンター」などを手がけてきた植田益朗さんを迎えたことも明らかにした。 植田さんは「機動戦士ガンダムでアニメ人生をスタートし、まさかこの歳でまたロボットアニメを作ることになるなんて。しかし、話を聞くとあまりにもチャレンジングに取り組む姿勢、メンバーのやる気に、これは結構面白いことになるかと、今はかなりのめり込んでいる」とコメントを寄せている。 プロジェクトは、2023年6月に「未ル(みる)」として発表したもので、米国で開催された「Anime Expo 2023」会場では巨大なロボット像
佐川急便、9月に「置き配」本格導入 LINEで届く「お届け予定通知」からも選択可能に
佐川急便は、玄関前などに荷物を届ける「置き配」を9月2日から本格導入する。再配達を減らし、ドライバー業務の効率化を図る狙い。 対象は「飛脚宅配便」「飛脚ラージサイズ宅配便」「飛脚航空便」。利用者は、Webサービスの「スマートクラブ」や、佐川急便の公式LINEアカウントから届く「お届け予定通知」から置き配を選択できるようになる。 スマートクラブの場合、ログイン後に荷物の受け取り方法として「置き配」を選択。さらに「指定可能な受け取り場所」から「玄関前」や「ガスメーターボックス」「車庫」などを選ぶ。 佐川急便は2020年5月から、個別契約を結んだ送り主が出荷する荷物を対象として、受け取る人が置き配を選択できる「指定場所配送サービス」を提供してきたが、実際は「一部の限られたお荷物のみ」だった。 置き配の本格導入で再配達を減らし、ドライバー業務の効率化を図ると共に、トラック輸送時のCO2削減なども期
京アニ、「志を繋ぐ碑」公開へ 第1スタジオ跡地の訪問は「控えて」
36人が犠牲となった2019年の京都アニメーション第1スタジオ放火事件から、まもなく5年。京都アニメーションは7月5日、京都府宇治市内の公園に設置する「志を繋ぐ碑」を14日に公開すると発表した。 碑を設置するのは、宇治市立「お茶と宇治のまち歴史公園」。公開は14日の午後2時以降になるという。その前は、宇治市への寄贈に関連して設置報告会を予定しているため、関係者以外は碑の周辺に近づけない。 連休中ということもあり、公開後は周辺の混雑も予想される。京アニは、公園を訪れる人に向け、他の利用者に迷惑を掛けないように配慮してほしいと呼び掛けている。また第1スタジオ跡地への訪問は「引き続きお控えください」。 志を繋ぐ碑は、京アニ社員や遺族、宇治市観光協会などでつくる「志を繋ぐ会」が設置を目指し、宇治市などと協議を進めてきた。「事件と事件で遭難したスタッフ、世界中からお寄せいただいた祈りと支援、すべてへ
「プッチンプリン出荷停止」はなぜ起きた? “ベンダーのせい”にできない根深き問題
「プッチンプリン出荷停止」はなぜ起きた? “ベンダーのせい”にできない根深き問題:有識者に聞く(1/6 ページ) 近年、大手企業のERP導入失敗事例として注目を集めたのが「プッチンプリン問題」である。 2024年4月、江崎グリコは基幹システムを独SAPのERPパッケージ「SAP S/4HANA」に刷新する切り替えを実施した。ところが、この切り替えをきっかけにシステム障害が発生。乳製品、洋生菓子、果汁、清涼飲料といった「チルド食品」の受発注や出荷業務に影響が出た。その結果、看板商品であるカフェオーレやプッチンプリンなどが出荷できない事態に陥ったのだ。 多くの人は、この問題の原因をベンダーの能力不足や、企業のIT投資に対する姿勢の問題だと捉えているようだ。しかし、ERPのエキスパートである廣原亜樹氏の話を聞くと、実際はそれほど単純ではないらしい。 そもそもERPとは何なのだろうか。なぜ企業はE
ニトロプラス、サイバーエージェントの子会社に
サイバーエージェントは6月26日、ニトロプラスを子会社化すると発表した。ニトロプラスの株式の72.5%を約167億円で取得する。ニトロプラスの社員構成に変更はないという。 ニトロプラスはシナリオライターの虚淵玄さんや、下倉バイオさん、イラストレーターのなまにくATKさんが所属することで知られるゲーム会社。「沙耶の唄」「刀剣乱舞」などのゲームで知られる他、所属するクリエイターは「魔法少女まどか☆マギカ」「Fate/Zero」「仮面ライダー鎧武」など、著名なアニメやエンターテインメント作品に参加している。 子会社化の意図について、ニトロプラスの小坂崇氣社長は「資本協力を図ることでニトロプラスの組織力を強化し、コンテンツ制作により一層注力できる体制を整えることが可能となる。アイデアレベルで止まっていた企画を実現させたり、リソース不足で途中で諦めていたクリエイティブの品質を向上させたりと、これまで
消えたキーマン──「新プロジェクトX」のスパコン「京」回が批判を受けた理由 富士通とNHKの見解は?
スーパーコンピューター「京(けい)」を取り上げたNHK「新プロジェクトX~挑戦者たち~」が、ネット上で波紋を広げている。当時、京の開発責任者を務め、その後富士通を離れた人物に番組でほとんど触れられなかったことで、企業の都合が番組に反映されたのではないかという見方だ。一体、何があったのか。 京は、富士通と理化学研究所が開発し、2011年に稼働したスーパーコンピューター。演算性能は約10PFLOPS(ペタフロップス)で、これが1秒間に1京回(10000兆回)の計算にあたることから京と名付けられた。番組では富士通の技術者が登場し、当時の状況を語った。 しかし放送後、X上である投稿が注目を集めた──「プロジェクトX見た。京の開発責任者で、その後富士通と道を違えた父が一切出ず、直属の上司や部下で、今も富士通との関わりが深い人たちのみが登場する内容には、家族としては非常に複雑な気持ちである。集合写真で
ニコニコ、復旧まで1カ月以上かかる見通し ランサムウェアを含む大規模なサイバー攻撃だった【追記あり】
ドワンゴは6月14日、ニコニコのサービス全般が利用できない状況になっている障害について、「ランサムウェアを含む大規模なサイバー攻撃によるものであることが確認された」と明らかにした。今後は段階的な復旧を目指すが、1カ月以上かかる見通しだという。 今月8日、グループ企業のデータセンターがランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になった。その後も攻撃は繰り返し行われ、遠隔でプライベートクラウド内のサーバをシャットダウンしても、攻撃者が遠隔起動させて感染拡大を図るなど攻防が続いたという。 このため、サーバの電源ケーブルや通信ケーブルを物理的に抜いて封鎖したが、グループ企業が提供するデータセンターに設置されているサーバはすべて使用できなくなった。 「冗長構成とかバックアップというのは当然用意しておりましたし、セキュリティ対策というのも様々に実施してはいたのです
AppleはAIのOS統合をどのようにデザインしたのか? 林信行の「Apple Intelligence」考
昨今の生成AIの進化は著しく、もはやスマートフォンやPCに載っているOSにAIを統合することは、これからの必然といえる。実際、既にGoogleやMicrosoftは先行して取り組んでいる。後れを取るAppleが、WWDC24でどのようにAIをOSに統合するのか注目が集まっていた。 →Apple、生成AI「Apple Intelligence」発表 オンデバイス処理でSiriも大幅進化、ChatGPTとも連携 今回は基調講演の後、初の試みとして米国のインターネットパーソナリティー「iJustine」がAppleの重役2人にApple Intelligenceについてあれこれ聞く「In Conversation with Craig Federighi and John Giannandrea」というプレス向けのセッションが用意された。AppleのAI戦略担当で上級副社長(写真中央)は「可能な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「きもい」と入力したらイエローカード SNSでの暴言を抑止 スマホ用日本語入力アプリ「Simeji」が新機能を追加
室外機冷却カバー「GXマット」 JR西日本×南出が共同実験、電気代はどうなった?
