メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見
「メモリ内の(アクセス権限のある)ある1つのアドレスに繰り返しアクセスするだけで、(アクセス権限のない)他のアドレスに格納されたデータを改ざんできてしまう」という脆弱性がDRAMにはあった。これを悪用した攻撃手法はローハンマーと呼ばれる。 CPUの投機的実行の脆弱性を突く(SpectreやMeltdownといった)攻撃と同様に、ローハンマーはメモリハードウェアにおけるセキュリティを侵害する。メモリ回路内部の電気的結合現象を悪用するローハンマーは、ハードウェアのメモリ保護ポリシーをくぐり抜けてしまう可能性がある。もしそうなれば、例えば不正なコードがサンドボックスから出て、システムを乗っ取る恐れがある。 Googleの回避策はこれまでメモリメーカーに採用されてきた ローハンマーを初めて扱った論文が登場した2014年当時、DRAMの主流世代は、「DDR3」だった。2015年にはGoogleのPr
APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2021年1月4日(米国時間)、APIの危険性と対策について解説したブログ記事を公開した。 APIに対する攻撃についての著書をNo Starch Pressから近く出版するコーリー・ボール(Corey Ball)氏へのマット・アトキンソン(Matt Atkinson)氏のインタビューに基づいた内容だ。ボール氏は、公認会計士事務所Moss Adamsのサイバーセキュリティコンサルティングマネジャーを務めている。ブログ記事の概要は次の通り。 APIセキュリティの現状 APIは長年にわたって使われており、成熟したインフラだ。だが、攻撃者の関心は高まる一方だ。近年のマイクロサービスの台頭に伴い、APIエコシステムは複雑さを増しており、昔ながらのセキュリティ問題も相まって、極めて多くの脆弱(ぜいじゃく)性が残っている
機械学習で従来の約0.1%のデータからコンピュータウイルスの侵入検知 東京都市大学
東京都市大学は従来の0.1%程度のサンプルデータでコンピュータウイルスの約82%を検出できるネットワーク侵入検知システムを、機械学習を用いて開発したことを発表した。 東京都市大学は2020年4月8日、従来の0.1%程度のサンプルデータでコンピュータウイルスの約82%を検出できるネットワーク侵入検知システムを、半教師あり機械学習アルゴリズムを用いて開発したことを発表した。同大学情報工学部知能情報工学科 教授の塩本公平氏による研究成果だ。 セキュリティ対策の一つとして知られるウイルス対策ソフトは、ウイルスの特徴をまとめて定義したパターンファイルを基に、侵入を検知する。しかし、既知のウイルスを改変した亜種(または新種)が出現した場合、パターンファイルに定義されていないため、ウイルスの侵入を検知できないという課題があった。 そこで近年、機械学習を使ってパケット通信の特徴を分析し、ウイルスの侵入を検
情報整理はクラウドサービス「Scrapbox」にお任せ?
今回紹介するのは、Notaが提供している「Scrapbox(スクラップボックス)」という情報整理のためのサービスだ。 筆者は、このような記事を書くことをなりわいとしているのだが、通常は、記事に必要な情報を集め、整理した上で、実際に執筆を行う。今、こうした作業に利用しているのが、今回紹介する「Scrapbox」である。 仕事では、関連する情報を収集して整理しておくのは基本中の基本である。こうした情報整理には、インターネットやデジタル技術が普及する以前から、さまざまな方法が提案されてきた。 情報の蓄積や整理のためのツールとしては、EvernoteやOneNoteなどが著名なところで、簡易なものとしては、GoogleのKeepなどもある。その他にもいろいろとツールやサービスが登場したが、短命に終わるものも少なくなかった。このScrapboxは、使い続けて、かれこれ2年ほどになる。 Scrapbo
「コードの実行速度」が分かるMLツールを開発、MIT研究チーム
マサチューセッツ工科大学の研究チームは、プロセッサ上でのアプリケーションコードの実行速度を予測する機械学習(ML)ツールを開発した。Intelのツールよりも誤差が少なく、Googleの「Tensor Processing Unit」のような新しいプロセッサにも適用できる。 マサチューセッツ工科大学(MIT)の研究チームは、プロセッサがさまざまなアプリケーションのコードを実行する速度を予測する機械学習(ML)ツールを開発した。Intelが自社開発したツールよりも約2倍高精度だと主張する。 従来の手法は正確性に問題あり なぜこのようなツールが必要なのだろうか。コードをできるだけ高速に動作させるため、パフォーマンスエンジニアやコンパイラ開発者は通常、特定のプロセッサアーキテクチャをシミュレートしてコードを実行する「パフォーマンスモデル」を使用する。 するとプロセッサがアセンブリ言語による特定の命
「この技術、10年後もイケてる?」を考えてきたハードウェアエンジニアから若者への提言
「この技術、10年後もイケてる?」を考えてきたハードウェアエンジニアから若者への提言:セキュリティ・アディッショナルタイム(37) 米国のセキュリティ企業FortinetでPrincipal ASIC Design Engineerを務める坂東正規氏は、何を思い渡米し、キャリアを築いていったのか。これからのセキュリティエンジニアは何を学ぶべきかなどを聞いた。 「NHKのドキュメント番組『電子立国日本の自叙伝』を見て、半導体という“産業のコメ”を輸出するなんてすごいな、かっこいいなと感激し、自分もこんな仕事をしてみたいと思いました。それが今の原点です」――FortinetでPrincipal ASIC Design Engineerを務める坂東正規氏はこのように語った。 最近では、米国で働くエンジニアはあまり珍しくはなくなってきたが、その多くはソフトウェア開発者。これに対し坂東氏は、日本のお
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
