Impervaは3月28日(米国時間)、「From ChatBot To SpyBot: ChatGPT Post Exploitation|Imperva」において、ChatGPTの「カスタム指示(Custom instructions)」を悪用して永続的なプロンプトインジェクション攻撃を可能にする手法を解説した。この手法は実際に用いられたわけではないが、同社は利用の可能性があるとして注意を促している。 From ChatBot To SpyBot: ChatGPT Post Exploitation|Imperva プロンプトインジェクションとは ChatGPTなどの生成AIは出力に制限がかけられており、機密情報などの生成すべきでない情報の出力を防止する仕組みが備わっている。しかしながら、プロンプトを細工してこの制限を突破するプロンプトインジェクションと呼ばれる手法が存在し、生成AIの
電気自動車(EV)や自動運転車の登場により、インターネットへの接続機能を持った自動車が普及しつつあります。日本の東京で開催された自動車のサイバーセキュリティ向上を目指すイベントでは、テスラ車をサイバー攻撃する方法が複数報告され、あるセキュリティ企業が多額の賞金を獲得しました。 Tesla hackers win big at first Pwn2Own automotive hack fest • The Register https://www.theregister.com/2024/01/29/infosec_news_roundup_in_brief/ Pwn2Own Automotive 第1日目: テスラに対する3件の脆弱性チェーン攻撃、リモート攻撃デモ、およびその他のハイライト - VicOne https://vicone.com/jp/blog/pwn2own-autom
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 アプリのマイクロサービス化とAPIの関係 世界中のWeb通信を中継しているAkamai Technologies (以下 Akamai)が取り扱う通信の8割以上は、すでにAPIの通信が占めている。 APIを利用するスマートフォンやブラウザアプリが普及の後押しをしているのは間違いないが、近年ではサーバ側のマイクロサービス化(あるシステムを小規模なシステムを組み合わせて開発する手法)の影響も大きい。 日本も同様だ。商用のWebアプリケーション開発者に話を聞くと「いま開発中のWebアプリやスマホアプリのサーバ
2023年9月26日から2日間にわたり、EnterpriseZine編集部主催のオンラインイベント「Security Online Day 2023 秋の陣」を開催。同イベントのクロージング講演として、セキュリティリサーチャーとして活躍し、ポッドキャスト「セキュリティのアレ」を主宰する辻伸弘氏、piyokango氏、根岸征史氏の3人によるパネルディスカッション「それは見えるのではなく、気付くもの」と題した講演が行われた。ここでは「BOD 22−01」「BOD 23−01」「BOD 23−02」という、重要な示唆に富んだドキュメントが取り上げられ、今私たちができる精一杯の“脆弱性対応”を考えるきっかけとなるようなトークが繰り広げられた。本稿では、その様子をレポートする “アレ”な3人が注目するドキュメント「BOD」が指し示す方向 今回のディスカッションでは、登壇者3人がそれぞれ、とあるドキュ
米国防省の研究部門であるDARPA(米国防高等研究計画局)が2023年8月、ソフトウェア脆弱性の自動修正システム競技大会「AI Cyber Challenge」(AIxCC)開催を発表した。競技大会をサポートするのは、生成AIのトップ企業であるAnthropic、Google、Microsoft、OpenAIの4社だ。 AIxCCは、丸2年間をかけて行われる大がかりな大会となっている。まず来年(2024年)5月に予選を行い、上位20チームが8月のセキュリティイベント「DEF CON 32」併催の準決勝大会に進出。その上位5チームには開発資金200万ドルが与えられ、再来年(2025年)8月の「DEF CON 33」で決勝大会が開催される。優勝チームには400万ドル、2位には300万ドル、3位には150万ドルの賞金が授与される。
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 サイバーセキュリティ会社の米IOActiveに所属する研究者らは「Shuffle Up and Deal: Analyzing the Security of Automated Card Shufflers」と題して、8月に開催の「Black Hat USA 2023セキュリティカンファレンス」で、カジノのカードシャッフルマシンをハッキングする手法を発表した。 カジノでは、ポーカーなどのトランプゲームにおいて、テーブルの下に置いて使用されている自動カードシャッフルマシン(Deckmateと呼ばれる装置)がある。 公平さを保つために導入して
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ
つながるクルマ、自動運転車に潜む脆弱性 不正な遠隔操作でロック解除や始動も:この頃、セキュリティ界隈で 米ラスベガスで開幕したCESでは、クルマが話題の中心になることが増えた。クルマ本体だけでなく、自動運転やつながるクルマなどの技術に注目が集まる一方、メーカー各社のシステムに、数多くの脆弱性が潜んでいる実態が明らかになっている。 米ラスベガスで2023年もCESが開幕した。このところCESといえば、クルマが話題の中心になることが増えた。しかもクルマそのものではなく、自動運転やつながるクルマなどの技術に注目が集まる。だがそうしたメーカー各社の車に使われているシステムに、数多くの脆弱性が潜んでいる実態が明らかになった。 脆弱性を発見したのはWebアプリケーションセキュリティ研究者サム・カリー氏のチーム。数カ月かけて調べた結果、車の移動体通信システムやAPI、さらにはそれを支えるインフラの脆弱性
Palo Alto Networksが発見したリモートコード実行(RCE: Remote Code Execution)の脆弱性「CVE-2022-23529」は、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値で7.6となり、深刻度は「重要」(High)とされる。 脆弱性が存在するとされるプロダクトおよびバージョンは以下だ。 node-jsonwebtoken 8.5.1およびこれよりも前のバージョン 脆弱性が修正されたプロダクトおよびバージョンは以下だ。 node-jsonwebtoken バージョン9.0.0 同脆弱性はリモートコード実行が可能だが、実際にサイバーセキュリティ攻撃を行うのは困難だと分析される。共通脆弱性評価システムで「緊急」(Critical)に分類されていないのはそうした理由からだ。 一方、Jso
サイバーセキュリティ研究者のSam Curry氏は1月3日、同氏のブログ「Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and More」において、主要な自動車メーカーが車両の制御や監視などの目的で使用しているWeb APIの脆弱性について調査した結果を公表した。 これによると、多くの自動車メーカーが脆弱なAPIを使用しており、悪用するとリモートからエンジンの始動や停止、ロックおよびロック解除、ライトの点滅、クラッションを鳴らすなどといった行為を行えることが判明したという。 Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls R
Googleは2022年12月13日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。 Googleは2021年にオープンソースソフトウェア(OSS)の開発者と利用者のために、脆弱性のトリアージ(優先順位を付けて対処すること)を改善する取り組みとして、「Open Source Vulnerability」(OSV)スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。 OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの
Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。 SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/ For Cyberattackers, Popular EDR Tools Can Turn into Destructive Data W
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国家安全保障局(NSA)は米国時間11月10日、ソフトウェアのメモリー安全性強化に向けたガイダンスを公開した。同機関はその中で開発者らに対して、ハッカーらによるリモートコード実行(RCE)をはじめとするさまざまな攻撃からコードを保護するために、C#やGo、Java、Ruby、Swift、Rustといったメモリー安全性の高い言語に移行するよう推奨している。 これらの言語の中では、Javaが企業向けアプリや「Android」アプリの開発で最も幅広く使用されている一方、Swiftは「iOS」アプリの開発環境に取り込まれている点もあって人気プログラミング言語の上位に入っている。また、RustはシステムプログラミングにおいてCやC++の代替とし
Microsoftが中国で制定された2021年の法律によって、中国のサイバー攻撃の能力が向上したと指摘しています。 China likely is stockpiling vulnerabilities, says Microsoft • The Register https://www.theregister.com/2022/11/07/china_stockpiles_vulnerabilities_microsoft_asserts/ 中国政府が制定した2021年の法律では、企業がセキュリティー上の脆弱(ぜいじゃく)性を公表する前に地元当局に報告することが義務づけられました。一方でこの法律では政府が現地の報告を利用することで脆弱性に関する情報をため込むことができるとされています。 2022年には、アトランティック・カウンシルの研究者が、中国から報告される脆弱性の減少と匿名の報告の増
Trellixが15年前公表のPythonモジュール脆弱性について約58万レポジトリを調査、いま何件存在する?:セキュリティ・アディッショナルタイム(48) McAfeeのエンタープライズ事業とFireEyeの統合で設立された新しいセキュリティ企業Trellixは2022年9月28日、カンファレンスをラスベガスで開催し、一部をオンラインで配信。リサーチ部門Trellix Advanced Research Center(ARC)の設立を発表した。ARCが15年前に公表したPythonのtarfileモジュールに存在するパストラバーサル脆弱性について約58万の公開レポジトリを調査したところ、今なお存在する割合は高いものだったという。 ランサムウェアによる被害が急増し、脆弱(ぜいじゃく)性を突いた不正アクセスも後を絶たない中、かつてに比べると企業トップもセキュリティ対策の必要性を認識するように
関連キーワード 脆弱性対策 | Apple | iOS | Mac | 脆弱性 Appleは2022年8月、同社製のデバイスやブラウザに影響を及ぼす可能性のある、2つのゼロデイ脆弱(ぜいじゃく)性を公開した。ゼロデイ脆弱性は、ベンダーが欠陥を解消する前に攻撃に悪用される脆弱性だ。同社が公開した脆弱性は、「iOS」「iPadOS」「macOS Monterey」といったOSや、Webブラウザ「Safari」が影響を受ける可能性がある。 Appleが公開した脆弱性 攻撃者はどう悪用するのか? 併せて読みたいお薦め記事 Apple製品の脆弱性対策 iPhoneで“野良アプリ”を使ってはいけない理由と、それでも使うときの判断基準 「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念” 2つの脆弱性には、「CVE-2022-32893」「CVE-2022-32894」という識別番号
米国の政府機関および民間セクターは、中国政府が支援するサイバー攻撃者の活動によって知的財産や機密情報の窃取などの被害に遭っているとされている。 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米連邦捜査局(FBI)、米国家安全保障局(NSA)は2022年10月6日(現地時間)、こうした状況を改善する取り組みとして「中国政府が支援するサイバー攻撃者によって積極的に悪用された上位のCVE(共通脆弱性識別子)」を公開した。 同アラートは、中国政府が支援するサイバー攻撃者が悪用している脆弱(ぜいじゃく)性をまとめたもので、政府機関や民間セクター、同盟国に対してこれらの情報を活用して防御体制を強化することを推奨している。 CVE-2021-44228:「Apache Log4j」におけるリモートコード実行の脆弱性。CVSS v3のスコアは10で深刻度「緊急」(C
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 これまで、以下の記事でソフトウェアの脆弱性の対応およびその解決策としての「ソフトウェア部品表」(SBOM:Software Bill Of Materials)の有効性などについて述べてきた。 セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由 セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情 「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク 米国政府が「SBOM」による管理を大統領令に盛り込んだ意味 今
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く