北朝鮮による拉致被害者は日本政府認定だけでも17名。最初の被害者、久米裕さんが拉致されて47年が経過しようとしている。拉致問題の風化を防ぐ必要性を改めて問う。
米GoogleのPixelシリーズに搭載されているスクリーンショット編集機能「マークアップ」の脆弱性が、エンジニアのサイモン・アーロンズ氏とデビッド・ブキャナン氏によって3月18日にツイートで明らかにされた。この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。Googleは3月のセキュリティ更新でこの問題を修正したが、暗号化されない画像アップロードサービスでは注意が必要だと、エンジニアたちは警告している。 マークアップは、Android 9から利用できるようになっているスクリーンショットの編集機能だ。スクリーンショットを撮影し、画面左下に表示されるサムネールをタップすることで編集画面を表示できる。 例えばマークアップで電話番号などの個人情報部分を塗りつぶしたり、見せたくない部分をトリミングしたりしたPNG画像は、アーロンズ氏が「aCropalyps
先日OpenAIより発表されたGPT-4が話題ですが、同タイミングで公表されたTechnical Reportを読んでみたところ、全99ページのうち後半60ページを占めるドキュメント「GPT-4 System Card」において解説されていた、言語AIが抱える危険性と、いかにしてGPT-4が危険な回答を回避するように学習されているかについての内容が非常に興味深かったため、簡単にまとめてみました。 https://arxiv.org/pdf/2303.08774.pdf サマリ GPT-4のリリースに向けて、OpenAIでは安全性を評価するために50人超の専門家らを含む"レッドチーム"を結成。2022年8月から8ヶ月に渡ってリスクの評価とその軽減に向けたチューニングを実施してきた リスク評価における実験の中には「自身をコピーするプログラムを実行できるGPT-4が自己増殖をしないか確認する」と
ただし、いきなりすべての開発者に対して要求するのではなく、来週月曜日(3月13日)から一部の開発者に対して開始し、1年をかけてすべての開発者へ展開していく予定とのことです。 二要素認証の要求は、オープンソースに対して厳密なセキュリティの要求が高まっていることが背景にあります。二要素認証によって、コードを投稿する開発者のなりすましなどを防ぎ、オープンソースに不正なコードが入り込むまないようにする効果が期待されます。 参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに 二要素認証の要求は昨年12月に予告されており、今回それが実行されることになります。 SMS、TOTP、セキュリティキーなどが利用可能に 二要素認証の方式として、SMS、TOTP(認証アプリによるTimebase One Time Pas
Schneier on Security で知ったが、バイデン政権がアメリカ合衆国のサイバーセキュリティ戦略を公開している(全文 PDF 版、要約版)。 シュナイアー先生のエントリに Krebs on Security などこの戦略を解説する専門家のページのリンクもまとまっているが、米国がサイバースペースにおける役割、責任、リソースをどのように配分するかについて根本的な転換が必要と訴えている。 yamdas.hatenablog.com ちょうど一年前にワタシはクリス・イングリス国家サイバー局長の文章を紹介したが、個人や企業任せだったサイバーセキュリティのグリップを最も適した立場にある組織(つまり国家組織ですね)に取り戻すことを明確に打ち出している。 ヴィジョンとして、Defensible(防御可能性)、Resilient(回復力がある)、Values-aligned(価値観の一致)という
2023年2月14日 お客様各位 ソースネクスト株式会社 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ このたび、当サイト(www.sourcenext.com)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。 なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて
1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した 最近、コミットはされないがローカルのディレクトリに置かれている.envのようなファイルから生のパスワードやAPI Tokenを削除しました。 これは、ローカルでマルウェアを実行した場合に、ローカルに置かれている生のパスワードやAPI Tokenを盗まれる可能性があるためです。 最近は、npm install時のpostinstallでのデータを盗むようなマルウェアを仕込んだりするソフトウェアサプライチェーン攻撃が多様化しています。 Compromised PyTorch-nightly dependency chain between December 25th and December 30th, 2022. | PyTorch What’s Really Goin
クリエイターに有償でイラストなどを発注できるサービス「Skeb」を提供するスケブ(東京都千代田区)は1月23日、2022年12月に発生した障害について「セールスフォース・ジャパン担当者との協議を経て、完全に解決した」と発表した。原因がクラウドサービス「Heroku」の障害でないことを確認したという。 Skebでは12月23日から24日にかけて障害が発生。当時の発表では、原因はHerokuのアカウントにあったとしていた。ただし詳細に不明点があり、解決後も問題の経緯を探っていたという。 スケブによれば、セールスフォース・ジャパンは障害の解決後、12月28日にスケブを訪問。原因がHerokuの障害ではないことを確認した他、セールスフォース・ジャパンが当時把握していた状況について説明を受けたという。その後協議を経て、1月23日に問題の解決に至ったとしている。ただし障害が起きた実際の原因については説
2023年1月4日、CircleCIはセキュリティインシデントが発生したことを公表し、利用者へ注意を呼びかけました。また1月13日には侵入経路を含む調査結果などをまとめたインシデントレポートを公表しました。ここでは関連する情報をまとめます。 CircleCIより流出したデータから利用者のサードパーティシステムに影響 CircleCIが不正アクセスを受け、同社のプラットフォーム上に保存された利用者のサードパーティシステム(Githubなど)の環境変数、キー、トークンを含む情報の一部が流出した。不正アクセスにより情報が流出したのはクラウドで提供されるCircleCIで、オンプレミス型のCircleCI Serverは影響を受けない。 2023年1月13日公表時点で本件の影響を受け、利用者よりサードパーティシステムへの不正アクセスが生じたと報告を受けたケースは5件未満。但しCircleCIは不正
以前の現場でタイトルの事象があった。 プルリク(プルリクエスト)に修正前後の添付画像を貼ってたんだが、プライベートリポジトリでもURLを知ってれば誰でも参照可能。 ちょっと、ビックリしますよね!! 違う現場で、プルリクに画像貼ってて、この事象を共有したのでブログにも書く。 (忘れないために) Githubのドキュメントにも書いてある ちゃんとGithubのドキュメントにも書いてあった。 しかもWarningで。 Attaching files – GitHub Docs Warning: If you add an image or video to a pull request or issue comment, anyone can view the anonymized URL without authentication, even if the pull request is i
2023年1月5日以降、2億件を超えるTwitterアカウントのデータを公開したと主張する投稿がハッカーフォーラムで行われていたことを複数の報道機関が報じました。*1ここでは関連する情報をまとめます。 自分が影響を受けたのかを確認するには 約2億件のデータに自分のメールアドレスが含まれているか(影響対象か)はHave I been pwnedを使って確認することが可能。 メールアドレス入力後に「pwned?」をクリックし、「Twitter (200M)」と表示された場合は、今回のデータに含まれている。(それ以外のリークに含まれていた場合は別のリーク情報も表示される。) メールアドレスがリークデータに含まれていた場合にTwitter (200M)が表示。 Twitter APIの脆弱性より流出したデータと主張 Twitter APIに第三者が他人のアカウント情報を取得できる脆弱性が2021年
食事宅配サービス「ナッシュ」を展開するナッシュ(大阪市北区)は1月4日、第三者によるランサム攻撃を受け、約6000件の顧客情報が流出した可能性があると発表し、謝罪した。社内PCの一部に保存されていた情報が暗号化され、一部システムに障害が発生した。 問題を認識したのは2022年12月21日。社内システムで障害が発生したため調査したところ、ランサムウェアを使った不正アクセスとデータの暗号化があったと分かった。 暗号化されたのは当該PC内のデータのみ。顧客の氏名や会社名、住所、電話番号など6184件が第三者に閲覧された可能性がある。影響を受けた可能性がある顧客には個別に連絡済み。情報の不正利用などの二次被害は確認されていないという。 ナッシュは「今回の不正アクセスはサーバの脆弱性を利用した攻撃。当社のネットワーク設定やパスワードの強度の問題により発生した」と説明。問題判明後は当該PCをネットワー
CircleCI security alert: Rotate any secrets stored in CircleCI (Updated Jan 13) Security update 01/12/2023 - 00:30 UTC We have partnered with AWS to help notify all CircleCI customers whose AWS tokens may have been impacted as part of this security incident. Today, AWS began alerting customers via email with lists of potentially impacted tokens. The subject line for this email is [Action Required]
ファイルに含まれるAPIトークンやパスワードなどの機密情報を見つけるSecretlint v6をリリースしました。 Release v6.0.1 · secretlint/secretlint Secretlintは secretlint "**/*"のようにglobやファイルを指定して実行すると、ファイルに含まれる機密情報を見つけて標準出力に表示します。 一方で、SecretlintはESLintやtextlintなどと違って、--fixといった自動修正はできません。 なぜなら、APIトークンなどを見つけて消しても、ただ単に壊れるだけだからです。 そのため、見つけた機密情報は報告して、ユーザーがそれを手動で修正する必要があります。 たとえば、ソースコードにハードコードするのではなく、環境変数などで受け取るように変更するといった修正をします。 secretlint/credentials-
メリークリスマス! 週末もPHPを楽しんでますか? ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね! メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを
いつもSkebをご利用いただき、誠にありがとうございます。 12月23日12時よりskeb.jpにアクセスできない大規模な障害が発生しておりましたが、12月24日07時に復旧いたしました。 12月23日、および12月24日が納品期限のリクエストは納品期限を12月25日23時59分までに延長させていただきます。 みなさまには多大なご迷惑をお掛けしましたことをお詫び申し上げます。 本障害につきまして詳細をご報告させていただきます。 概要日時: 12月23日12時22分〜12月24日7時00分 (JST) ダウンタイム: 18時間38分 内容: skeb.jpにアクセスできない不具合 原因: SkebはすべてのサーバとシステムをHerokuに設置していたが、障害発生時刻より同サービスのアカウントが理由の通知なく利用できなくなった。 解決: Herokuの一切の利用を中止し、すべてのサーバとシステ
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
2022年11月30日03:24(東京)に、AdGuard DNSに深刻な障害が発生し、マイアミ、ニューヨーク、ロンドンの3ヶ所のサーバーが影響を受けました。 障害発生中、これら3つの拠点に接続されているすべてのお客様のインターネットが事実上遮断されました。 これは、AdGuard DNSの全顧客の約20%、すなわち1000万人以上の方がインターネットに問題を抱えたことになります。 影響を受けた方に、このような事態になったことを心からお詫び申し上げます。 今後このような問題が発生しないよう対策を講じる所存です。 何が起きたのか 小さなミスがいくつも重なり、問題発生に至りました。 これらのミスは、それぞれ単独なら致命的ではなく、障害を引き起こすものではありませんでした。 しかし、残念なことに、これらのミスが重なったことこそが、より大きなトラブルの原因となりました。 最初のミスは、11月28日
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm|NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く