あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か
Don Reisinger (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-05-08 09:42 セキュリティ研究者が、あらゆる仮想プライベートネットワーク(VPN)を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られている可能性があるという。 Leviathan Security Groupの研究者らは、VPNが使われたトラフィックを可視化する手法を発見した。攻撃者がこの手法を利用すれば、暗号化されていないトラフィックを盗聴し、価値あるデータをそのトラフィックから取り出すことが事実上可能になる。研究者はこのエクスプロイトを「TunnelVision」と名付けた上で、今のところこのトリックに引っかからないVPNは見つかっていないと指摘した。 VPNは、トラ
ブロードコム、ヴイエムウェアのライセンスを変更--永続版などの新規販売を終了
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Broadcomは米国時間12月11日、11月に買収を完了したVMware(現VMware by Broadcom)のライセンスを変更すると発表した。今後は「VMware Cloud Foundation」と「VMware vSphere Foundation」の2つの基本モデルとオプションをサブスクリプションで提供し、製品の永続ライセンスの新規販売や永続ライセンス製品のサポートおよびサブスクリプション(SnS)の更新などを同日付で終了(地域により変動あり)した。 新たなVMware Cloud Foundationライセンスは、ミッションクリティカルなインフラやモダンアプリケーションを運用する大規模環境向けのハイブリッドクラウドソリュ
PayPal、サイバー攻撃で3万5000人分の個人情報が流出
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます PayPalが米国時間1月18日にメイン州の規制当局に届け出たところによると、2022年12月にクレデンシャルスタッフィング攻撃を受けた結果、同社のユーザー約3万5000人分の社会保障番号(SSN)をはじめとする個人情報が流出したという。 提出された報告文書によると、PayPalは12月6~8日に攻撃を受け、その発覚は20日だったという。窃取された可能性があるのは、SSNのほか、ユーザー名や住所、生年月日、個人用納税者番号だ。 同社によると、金融情報の盗難や、顧客のアカウントの悪用があった痕跡はないという。また、同社決済システムへの影響もないとされている。 PayPalは1月19日、米CNETに向けた声明で、影響を受けた顧客に連絡し、個
グーグル、AMPページでオリジナルURLの表示を可能に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間4月16日、モバイル機器からのウェブ閲覧を高速化するための「Accelerated Mobile Platform」(AMP)を改良し、そのURLを簡潔かつ分かりやすいものにしたうえで、その展開を開始したと発表した。 AMPは、ウェブページをGoogleのキャッシュから取得することで、ページのローディングを高速化するという技術だ。しかし、AMP対応ページにアクセスするためのURLは、https://google.com/ampから始まるという短所があった。 この短所は、ウェブページの所有者とユーザーの双方に不満をもたらすものだった。ウェブページの所有者にとっての問題は、URLにGoogleのプリフィックスが前置され
「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 広く普及している「SQLite」データベースエンジンにセキュリティ上の脆弱性が発見された。この脆弱性により、膨大な数のデスクトップアプリやモバイルアプリがリスクにさらされているという。 TencentのBladeセキュリティチームによって発見されたこの脆弱性が悪用された場合、被害者のコンピュータ上において悪意のあるコードの実行が可能になるとともに、それほど深刻ではないケースでもプログラムメモリのリークやプログラムのクラッシュが引き起こされる可能性がある。 SQLiteは膨大な数のアプリに組み込まれているため、この脆弱性はIoTデバイスからデスクトップソフトウェア、ウェブブラウザ、「Android」アプリ、「iOS」アプリに至るまでの広範
「Kubernetes」に深刻な脆弱性
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2018-12-04 10:36 「Kubernetes」に初めて深刻な脆弱性が発見された。Kubernetesは最も人気のあるクラウドコンテナオーケストレーションシステムであるがゆえに、この日がくるのは時間の問題だったと言える。「CVE-2018-1002105」という脆弱性識別番号を割り当てられ、Kubernetesの権限昇格に関する脆弱性とも称されているこの脆弱性は深刻なものであり、共通脆弱性評価システム(CVSS)による深刻度は9.8(最大値は10.0)となっている。 特殊な細工が施されたネットワークリクエストを用いれば、誰でもKubernetes APIサーバ経由でバックエンドサーバとのコネクションを確立できる。そして、いったんコネクションを確立すれば、攻撃者はそ
新しい万能Windowsハッキングツール「L0rdix」、アンダーグラウンドで出回る - ZDNet Japan
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2018-11-27 06:30 アンダーグラウンドの掲示板に、Windows PCを狙う攻撃者のための新しい万能ハッキングツールが出回っている。 このソフトウェアは「L0rdix」と呼ばれている。enSiloのサイバーセキュリティ研究者によれば、L0rdixは「Windowsベースのマシンへの感染を目的としたもので、情報の窃盗と仮想通貨マイニングを組み合わせて使用でき、マルウェア分析ツールを回避する能力を持っている」という。 enSiloの研究者Ben Hunter氏は、米国時間11月20日に投稿されたブログ記事で、このツールは比較的新しく、金銭で購入可能だと述べている。このマルウェアにはすでにさまざまな機能が多数盛り込まれているが、今でも開発が続けられていることをうかがわせる点があると
富士通が「説明可能なAI」の開発に注力する理由 - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「松岡功の『今週の明言』」では毎週、ICT業界のキーパーソンたちが記者会見やイベントなどで明言した言葉をいくつか取り上げ、その意味や背景などを解説している。 今回は、富士通研究所の佐々木繁 代表取締役社長と、米Google CloudのPrabhakar Raghavan バイスプレジデントの発言を紹介する。 「企業が使うAIは“説明可能なAI”でなければならない」 (富士通研究所 佐々木繁 代表取締役社長) 富士通研究所が先頃、研究開発戦略および最新技術について記者・アナリスト向けの説明会を開いた。同社の社長で富士通の最高技術責任者(CTO)を兼務する佐々木氏の冒頭の発言は、その説明会で、「説明可能なAI(人工知能)」の必要性を
グーグルの機械学習フレームワーク「TensorFlow」が「Raspberry Pi」を正式にサポート
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます シングルボードのコンピュータ「Raspberry Pi」で、Googleの機械学習フレームワーク「TensorFlow」を利用するのがますます簡単になりそうだ。 開発者はすでに、Raspberry PiでTensorFlowをさまざまに活用し、深層学習モデルを追加して、画像分類などを行うことが可能だった。 TensorFlowは「Linux」「Windows」「Android」「macOS」「iOS」でも利用できるが、35ドルのRaspberry Piよりも安く利用できるハードウェアはないだろう。 しかし、TensorFlowモバイル・組み込みチーム責任者であるソフトウェアエンジニアのPete Warden氏が指摘するように、従来はTe
「オープンソース開発に重大危機」--GitHubがEUの著作権法改正に反対する理由
欧州連合(EU)がインターネットを使ってコンテンツ(著作物)を配布するすべてのプラットフォームに、コンテンツフィルタリングの導入を義務付けようとしている。世界最大のオープンソースレポジトリであるGitHub(同社に対してはMicrosoftが先ごろ買収計画を発表している)は、新たな法案が欧州議会を通過した場合、オープンソースソフトウェアの配布、維持に使われている仕組みが事実上崩壊すると警鐘を鳴らしている。 GitHubで政策担当責任者を務めるMike Linksvayer氏は米国時間6月20日、米ZDNetにあてたメモの中で「アップロードされるソースコードを自動的にフィルタリングするには、まったく新しい技術が必要になる」と述べる。「そして、(そうした自動フィルタリングの仕組みが導入された場合)結果的に膨大な数のフォールス・ポジティブ(誤検出)によってソフトウェア開発がはるかに不安定なものと
"高度に複雑"なボットネット「Mylobot」が新たに発見される
Danny Palmer (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2018-06-21 13:39 新たなマルウェア攻撃が、システムをボットネットに組み込み、攻撃者が感染したマシンを完全に制御できるようにするだけでなく、さらなるペイロードを送り込めるようにして、デバイスを「トロイの木馬」やキーロガー、DDoS攻撃などの悪意ある企みの危険にさらしている。 このマルウェアは3段階からなる回避機能を備えているが、発見したDeep Instinctの研究者らはこの回避機能について、高度に複雑で珍しく「これまで出回ったことがない」ものだとしている。 このマルウェアを拡散するボットネットは「Mylobot」と呼ばれており、出所や配布方法は今のところ不明だが、2017年にも猛威を振るったランサムウェア「Locky」と関連があるようだ。 Mylobotには、サンドボックスや
コインマイナーに10県警が注意喚起、8県警が「違法性」にも言及
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 警察庁が6月14日、ウェブサイトの閲覧者など明示することなく仮想通貨発掘ツール(コインマイナー)を設置した場合に、「犯罪に当たる可能性がある」との見解を発表した。21日午前の段階で、少なくとも10の県警がコインマイナーに対する注意喚起を行っており、うち8つの県警が警察庁と同様の見解を示していることが分かった。 広報サイトなどでコインマイナーへの注意を呼び掛けているのは、宮城、茨城、栃木、埼玉、千葉、神奈川、新潟、愛知、滋賀、福岡の10の県警。埼玉と神奈川を除く8つの県警では、ウェブサイト管理者などに対して「マイニングツールを設置していることを閲覧者に明示せずに同ツールを設置した場合、犯罪になる可能性があります」と、警察庁とほぼ同様の文章
Wi-Fiにありがちな5つの致命的ミス
Ryan Orsi (WatchGuard Technologiesプロダクトマネジメント担当ディレクター) 2017-09-06 06:00 誰もが常に1台以上のWi-Fi対応デバイスを持ち歩くようになりました。Cisco Systemsの2016年VNIレポートによると、2021年までに世界中で5億4000万を超える公共ホットスポットが提供され、スマートデバイスをサポートするようになる⾒込みです。ほとんどの商業施設や小売店舗が既に、来店客への信頼性の高いWi-Fiネットワークの提供をビジネスの基本コストと考えるようになっています。ただし、Wi-Fiをインターネット接続のための単なるツールと考えるべきではありません。無線ネットワークを設置してただ放置するだけではなく、そのメリットを最大限に活用することをお勧めします。 商業施設が来店客に無料Wi-Fiを提供する際に犯しやすい代表的なミスを
なぜ「マストドン」は生まれた?--開発者が語る過去、現在、未来
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 2017年上半期にIT業界で注目を浴びた「Mastodon」(マストドン)。6月7~9日に開催された「Interop 2017」の基調講演では、「マストドンを作った理由」をテーマに生みの親であるEugen Rochko氏がSkypeで参加し、「mstdn.jp」の構築支援を行っているさくらインターネット研究所所長の鷲北賢氏と、“コードを書けるタレント”の池澤あやか氏の質問に答えた。その模様をレポートする。 「Ruby」を愛用 モデレーターを務めた角川アスキー総合研究所 取締役主席研究員の遠藤諭氏は、まず超満員の会場でマストドンの認知度を確かめた。受講者のほとんどがマストドンを知っており、およそ3割はアカウントを取得、インスタンスを立ち上
グーグル、SHA-1衝突攻撃に成功--同一ハッシュ値の2つのPDFも公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます GoogleはSHA-1を現実的なリソースで破る手法を考案したと発表し、その証明として実際に同じSHA-1のハッシュ値を持つ2つのPDF文書を公表した。 SHA-1は多くのプロトコルやアプリケーションで採用されているハッシュ関数だ。ハッシュ関数はブラウザの安全性確保をはじめとして、多くのセキュリティ保護の仕組みの根幹を成しているが、2005年に総当たり攻撃よりも効率的な攻撃方法が考案されて以降、攻撃側の計算能力向上に伴って、近い将来安全性が保証できなくなる可能性があると指摘されていた。今回のGoogleの発表は、その懸念が現実になりうることを証明した。 Googleの使用した手法は、2013年にセキュリティ研究者のMarc Steven
約30ドルの超小型コンピュータ「Raspberry Pi」でスパコンを自作しよう - ZDNet Japan - Linkis.com
自作(DIY)コンピュータと言えば、おそらく多くの人が、超高性能のゲーム用コンピュータを組むことや、安価な部品を組み合わせて最低限の費用でPCを作ることをイメージするだろう。スーパーコンピュータを作ることなど、想像しないはずだ。しかし、考えてみるべきかもしれない。米ボイジー州立大学、電気・計算機工学科の博士課程の学生であるJoshua Kiepert氏は、「Raspberry Pi」(RPi)コンピュータを使って、2000ドル以下でミニスーパーコンピュータを作り出した。 RPiは、シングルボードのLinuxコンピュータだ。RPiはCPUに700MHzの「ARM11」プロセッサ、GPUに「VideoCore IV」を搭載している。Kiepert氏が使ったモデルBは、512 MバイトのRAMを持ち、2つのUSBポートと10/100 BaseTイーサネットポートが付いている。Kiepert氏はそ
アマゾンのドル箱となったAWSがこれほど破壊的である理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます AmazonをEコマースの会社だと思っているなら、認識を改めた方がいいかもしれない。Eコマースは、インフラを構築し、クラウドサービスとして販売することを正当化する口実のようなものだ。一番おいしい収益を上げているのは、「Amazon Web Services」なのだ。 Amazonの第3四半期の業績がそれを物語っている。実際にAmazonの業績報告を見てみれば分かる。Amazonの総売上高のうち、Amazon Web Servicesは8%だが、営業利益で見ると同事業は52%を占めているのだ。これは、Amazon Web ServicesがAmazonの北米のEコマース事業と同じ額の利益を上げていることを意味する。 これがどういうことか、
2012年に開発者が学ぶべき10のスキル
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ここ数年、ソフトウェア開発の世界は比較的穏やかだった。しかし、HTML5が地歩を固め、Windows 8がWindowsの開発シーンに大きな変化を迫っている今では、ジェットコースターの日々が戻り、スピードはますます上がってきている。もし最先端に居続けたいのなら、少なくともこの記事で挙げる10のソフトウェア開発スキルを身につけることを検討すべきだ。 1.モバイル開発 モバイル開発を学ぶのに時間を割く価値などないと考えているのなら、考え直した方がいい。2011年のAndroid携帯の世界出荷台数は、ほとんどPCの販売台数と同じだ。他の有名なモバイルデバイス(iPhone、iPad、そして「瀕死状態」のRIMデバイス)を加えれば、販売台数で見
IPv6アドレスについて知っておくべき10のこと
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 12月10日更新:本記事の項目4と項目6について、IPv6分野の最新状況を追記した。詳しくは各項目を参照されたい。 ここ数年、IPv6は徐々に主流の技術になりつつある。しかしIPv6はIPv4と大きく違っているため、多くのITプロフェッショナルは、IPv6への移行と言ってもどこから手を付けていいかわからないのが現状だ。この記事では、IPv6のアドレッシングの仕組みを理解するのに役立つ、10のポイントを紹介する。 1.IPv6アドレスは128ビットの16進数 われわれが見慣れているIPv4は、4つの10進数からなっており、これが合わさって32ビットのアドレスを構成する。しかしIPv6アドレスは、IPv4のアドレスとは似ても似つかない。IP
JavaScriptで3D描画―ネットアプリの常識変える?:Firefox 3.0で搭載へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 次期FirefoxとなるFirefox 3.0では、JavaScriptから3Dを描画する機能がCanvasに追加されるようだ。CanvasはJavaScriptから直接描画できる「キャンパスの」ことで、すでにいくつかのAjax JavaScriptフレームワークなどで同機能を活用したウィジェット描画などがおこなわれている。 Vladimirブログに、Canvasに3D機能を追加したCanvas 3Dが紹介されている。Firefox 3 Beta 1をインストールし、同氏が提供しているエクステンションを追加すればCanvas 3D機能が有効になるようだ。もちろんmoz-gles11の機能を使うならOpenGL 1.5が、moz-glwe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
