プロジェクト管理ツール「Jira」に緊急度高い脆弱性、認証回避の恐れ
Atlassianは4月20日(米国時間)、「Jira Security Advisory 2022-04-20」において、同社が提供しているプロジェクト管理ツールの「Jira」に認証バイパスの脆弱性が発見されたとして、セキュリティアドバイザリを公開した。この脆弱性を悪用すると、リモートの攻撃者が認証を回避して標的のシステムに不正にアクセスできる可能性がある。この脆弱性はJiraのコアに存在するものだが、ロールを指定するファーストパーティおよびサードパーティのアプリにも影響するという。 Jira Security Advisory 2022-04-20|Atlassian Support|Atlassian Documentation この脆弱性は、「Jira」および「Jira Service Management」に含まれるWeb認証フレームワークである「Jira Seraph」に発見さ
ロシア、証明書の更新停止を受け独自のTLS認証局立ち上げ
Bleeping Computerは3月10日(米国時間)、「Russia creates its own TLS certificate authority to bypass sanctions」において、ロシア当局が独自のTLS認証局を創設したと伝えた。同局は国外の証明書が期限切れまたは無効化された場合にその置き換えとなる証明書を無料で発行し、通常5営業日内で必要に応じて提供するとしている。 Russia creates its own TLS certificate authority to bypass sanctions これはロシアのサイトが既存のTLS証明書を更新することができず、Webブラウザによるアクセスがブロックされ始めている事態に対処するためとされている。欧米の企業や政府機関は制裁措置の一環として、ロシアサイトに対するTLS証明書更新の支払い処理を受け付けておらず、
インテルとARMのCPUに脆弱性「Spectre-v2」の悪夢再び、新たな攻撃手法
2017年、インテルやARMのCPUに情報窃取の脆弱性が存在することが明らかになった。通常、CPUのプロセスはほかのプロセスの処理しているデータを読み取ることはできない仕組みになっているが、ある機能を悪用することで実行中のプロセスから本来は入手できてはいけないデータを窃取できることが明らかになった。この仕組みを悪用して複数の攻撃手法が開発されたが、「Spectre-v2 (またはBTI: Branch Target Injectio)」と呼ばれる手法が最も危険な攻撃方法と認識されている。 これら脆弱性に対して、オペレーティングシステム側が対策を導入したほか、CPUメーカーがハードウェア緩和策(eIBRSやCSV2など)を導入した。この緩和策は意図した通りに機能するが、どうやら研究者はこの攻撃手法を復活させることに成功したようだ。 研究者らは「Branch History Injection
12月Webサーバシェア調査、Nginxが大量にシェア失う
ホスト名ベースWebサイト数推移グラフ 1995年8月〜2021年12月 資料:Netcraft Webサーバシェア推移グラフ 1995年8月〜2021年12月 資料:Netcraft Webサーバアクティブサイトシェア推移グラフ 2000年6月〜2021年12月 資料:Netcraft トップ100万ビジーサイトWebサーバシェア推移グラフ 2008年9月〜2021年12月 資料:Netcraft コンピュータ別Webサーバシェア推移グラフ 2007年9月〜2021年12月 資料:Netcraft供 ドメイン別Webサーバシェア推移グラフ 2009年6月〜2021年12月 資料:Netcraft 2021年12月においてドメインとホスト名の双方で大幅な増加を見せたのはAmazon Elastic Load Balancingサービスで使われている「awselb」で観測された。この増加がN
【続報】一晩でマルウェアに豹変したバーコードアプリ、攻撃の手口が明らかに
Malwarebytesは2月5日(米国時間)、これまで数年間にわたってバーコードスキャナとして機能していたアプリが、1度のアップデートでマルウェアへ豹変したと伝えた。該当するアプリはすでにGoogle Playストアから削除されているが、1000万人以上のユーザーが使用していると見られており、依然として注意が必要だ。Malwarebytesは、対象のスキャナをインストールしてしまったユーザーは自発的にアンインストールする必要があるとし、アプリを特定するために提供元、アプリ名、MD5、パッケージ名を公表していた。 Malwarebytesがこのサイバーインシデントを発表した段階では詳細はわかっていなかったが、新しい動きがあった。マルウェアをアップロードしたと考えられていた提供元から、マルウェアに豹変したバージョンのアップロードは行っていないという連絡があったという。マルウェアになってしまっ
直感的なWeb開発を促進する「Microsoft Edge Tools for VS Code」がリリース
Microsoftは米国時間2020年10月1日、「Microsoft Edge Tools for VS Code 1.1.0」をVisual Studio Marketplaceで公開した。Visual Studio Codeに同拡張機能をインストールすると、Microsoft Edge Toolアイコンが加わり、Microsoft Edgeで開いたWebページの開発が可能になる。本バージョンではデバッグモードを削除し、「Headless(ヘッドレス)」ブラウザーモードを新たに導入した。 Microsoft Edge Tools for VS Codeを起動した状態 公式ブログによれば、ヘッドレスブラウザーモードは対話可能なWebブラウザーウィンドウを新たに起動せず、Visual Studio Code内にWebブラウザーを内包し、より直感的なWeb開発環境を実現する。また、Webペー
2020年危険なソフトウェアの脆弱性トップ25が発表
United States Computer Emergency Readiness Team (US-CERT)は8月20日(米国時間)、「2020 CWE Top 25 Most Dangerous Software Weaknesses|CISA」において、アメリカ合衆国国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI: Homeland Security Systems Engineering and Development Institute)から、2020年Common Weakness Enumeration (CWE:共通脆弱性タイプ一覧)におけるソフトウェアに深刻な被害をもたらすおそれがある脆弱性トップ25が発表されたと伝えた。攻撃者はこうした脆弱性を悪用して影響を受けるシステムを制御したり、機密情報を窃取したり、サービス妨害攻撃(DoS: Denial
カシオ、数学のオンライン学習ツールを無料公開
カシオ計算機は6月9日、関数計算やグラフ描画ができるオンライン学習ツール「ClassPad.net」の提供を開始した。利用プランとして、FREE、BASIC、PLUSの3種類を用意。価格はFREEとBASICが無料、PLUSが有料。 ClassPad.net なお、新型コロナウイルスの影響によって需要が高まっているオンライン授業に利用できるよう、すべての機能を2020年8月31日まで無料公開する。9月1日以降は、PLUSプランが有料となる予定。発表時点では、PLUSプランの料金は年額で24.95米ドル(決済時点で日本円に換算し、日本の消費税を加算)となっている。 FREEプランはユーザー登録不要で、関数計算・グラフ・統計・作図といった機能を提供。BASICプランも無料だがユーザー登録とログインが必要となり、描画したグラフや計算結果などの保存・共有が可能だ。有料のPLUSプランはより高度な機
退屈なWeb会議がクイズ番組に変身、新サービス「Connected Flip」
複数の参加者がフリップに回答を書き、正解かどうかが色で表示されるテレビのクイズ番組風のエンターテイメントが、自宅のパソコンやスマートフォンで楽しめるようになります。 インターネット関連コンテンツの開発を手がけるバスキュールは6月9日、クイズ番組風のコンテンツを制御・表示するためのシステム「Connected Flip」を発表しました。ZoomやGoogle Meet、TeamsなどのWeb会議ソフトの画面内に表示でき、Web会議の合間に楽しむといったことが可能になります。 インターネット経由で楽しめるクイズ番組風のコンテンツを制御・表示するためのシステム「Connected Flip」 Connected Flipは、問題の出題や回答の集計、正誤の判定や表示などを行うホスト側と、回答する参加者に分かれて利用します。参加者がスマートフォンやタブレットを使って手書きで回答した内容は一覧でズラリ
ムーアの法則は死なず、トランジスタ数は今も2年で2倍の増加ペースを維持
ムーアの法則は終わったのか? 米国の半導体市場動向調査会社であるIC Insightsは、過去50年間にDRAM、NAND、APU、GPUがムーアの法則(Moore's Law)にどのようにしたがってトランジスタ数を増加させてきたのかについての調査分析結果を発表した。 ムーアの法則(Moore's Law)は、半導体業界がその技術的性能と進歩を測定する主要な物差しとして長年にわたり使われてきた。それは「チップあたりのトランジスタ数が2年で2倍のぺースで増加する」という経験則であるが、分析結果によると、一部の製品カテゴリの成長率は低下しているとは言うものの、チップあたりのトランジスタ搭載数の「2年で2倍の増加ペース」は現在もおおむね継続しており、半導体業界が引き続きしたがうに足るガイドラインとなっているという。 ムーアの法則は、3次元構造デバイスが登場するまでは、チップ当たりのトランジスタ数
Edge、Firefoxを抜く勢い - 2月ブラウザシェア
Net Applicationsから2020年2月のデスクトップブラウザのシェアが発表された。2020年2月はChromeとEdgeがシェアを増やし、Firefox、Internet Explorer、Safariがシェアを減らした。シェアの上では2位以下を引き離して強い存在感を示しているChromeだが、過去1年間の推移は横ばい傾向を示しており、デスクトップ向けのWebブラウザとしてはほとんどシェアが変わらない状況になりつつある。 一方、順位は3位だが、Microsoft Edgeは過去1年間にわたり増加傾向にある。すでにChromiumをベースに開発された新しいバージョンのMicrosoft Edgeはリリースされており、今後Windows Update経由でより多くのユーザーに行き渡ることにもなっている。現在の傾向が続いた場合、FirefoxとMicrosoft Edgeの順位は逆転
MS、Webアプリケーション開発の「Web Template Studio 2.0」リリース
Microsoftは米国時間2019年8月21日、Webアプリケーション開発を高速化するVisual Studio Codeの拡張機能「Web Template Studio(以下、WebTS)」が大きく進化したことを公式ブログを通じてアピールした。なお、WebTSのソースコードはGitHubで公開している。 新たなWebTSはコミュニティからのフィードバックに基づいて、AngularやVue.js、Flaskといったフレームワークを新たに追加。バックエンドフレームワークはFlaskを加えて、Node.jsとFlaskいずれかを選択できる。Webアプリケーション開発時のウィザードも再設計し、テンプレートの見直しや、クラウドホスティング用にApp Serviceを追加した。 新たにフロントフレームワークとしてReact.js、Vue.js、Angular、バックエンドフレームワークとしてFl
社内のカルチャー(文化)を変えるには ~ツール導入だけでは推進できない「働き方改革」~
働き方改革が推進される中で、特に大きな注目を集めている「長時間労働の是正」。しかし、計画なしにルールを定めたりツールやシステムを導入したりしたとしても、それを社内の文化として定着させなければ絵に描いた餅にすぎず、働き方改革の実現に失敗するというケースも少なくない。 「企業にとって、そして社員にとって本当にのぞましい働き方を提供するための改革とは何か?」 本記事では、2019年2月26日に東京・新宿で開催されたセミナー「〜社内のカルチャー(文化)を変えるには〜ツール導入だけでは推進できない"働き方改革"」を参考に、働き方改革を成功に導くために重要な、「カルチャー(文化)」の変革について解説する。 コラボレーションの本質は、社内外で「共創」を推進すること 基調講演に登壇したのは、Slack Japan 溝口 宗太郎 氏。講演冒頭で溝口氏は、昨今の日本企業を取り巻く、やや憂慮すべき実態を紹介した
機械学習を、機械学習と意識せずに使えるように - Google 鈴木氏が明かすML Kit事例
Googleは3月20日、機械学習に特化したイベント「Google Developers ML Summit」を六本木アカデミーヒルズおよびGoogle東京オフィスにて開催する。当日は、TensorFlow、Cloud ML、ML Kit、Actions on Googleなど、Googleが提供する開発者向けの機械学習ツールについてのセッションとハンズオンが行われる予定だ。 本稿では、同イベントでの中心的なテーマの1つ、Android/iOS向けの機械学習SDK「ML Kit」の使いどころについてGoogleの プログラムマネージャー 鈴木 拓生氏に解説していただいた。 コミュニティとの連携で機械学習のエコシステムをつくる ――Google Developers ML Summit開催の背景についてお聞かせください。 2015年にTensorFlowを公開したことをきっかけに、Cloud
5分でわかるセールス・イネーブルメント(1) 最近よく聞くSalesTech/セールス・イネーブルメントとは?
デジタルテクノロジーがあらゆる業務で活用されるようになり、業務効率の改善や生産性の向上が図られている現代。ビジネスの最前線ともいえる営業分野においても「SalesTech」(セールステック)というキーワードが熱くなっている。そのSalesTechのひとつとして、特に注目されているのが"継続的な営業活性化"を実現する「セールス・イネーブルメント」だ。本連載では、セールス・イネーブルメントの概要や価値、実際の導入効果について3回にわたって解説。第1回目は、SalesTech/セールス・イネーブルメントとは何かについて確認していく。 SalesTechは営業部門の課題解決をデジタル技術で支援するための仕組み ITの急速な進化はビジネスの世界を大きく変化させた。モバイルやクラウド、AI、IoTといった先進技術が活用されることで、新たな商品やサービスが矢継ぎ早に登場し、時間や場所にとらわれないワーク
セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話|セキュリティ|IT製品の事例・解説記事
IT Search+では、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」を2016年より開催している。 第88回IT Search+スペシャルセミナーでは、今年3月に開催した「第3回 情報セキュリティ事故対応アワード」で優秀賞を受賞したぴあの取締役社長室長 兼 広報室長 小林覚氏とCISO室長 兼 システム局専任局次長 川上誠氏が登壇。事故発生当時の対応を振り返りながら、EGセキュアソリューションズ代表 徳丸浩氏、NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏、インターネットイニシアティブセキュリティ情報統括室 シニアエンジニア 根岸征史氏、ソフトバンク・テクノロジー シニアセキュリティリサーチャー 辻伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiy
【2024年7月最新】カードローンおすすめ34社人気ランキング
カードローンはたくさんありすぎてどれを選んだら良いかわからない!と迷っている方へ、おすすめのカードローンをまとめてご紹介します。 まずはお金がないときにすぐに助けてくれる、初めての人でも安心のおすすめカードローンを紹介します。すべて最短即日融資可能で、WEB完結申込ができるカードローンです。 プロミス SMBCモビット アイフル アコム レイク オリックスマネー ベルーナノーティス 三菱UFJ銀行 カードローン バンクイック 三井住友銀行 カードローン セントラル スルガ銀行 ダイレクトワン LINE ポケットマネー dスマホローン auPAY スマートローン JCBカードローン FAITH 申込 年齢
マクロを使わないでマルウェア感染を広める新しいテクニックが発見
Malwarebytesは7月2日(米国時間)、「New macro-less technique to distribute malware - Malwarebytes Labs|Malwarebytes Labs」において、米セキュリティベンダーのSpecterOpsのセキュリティリサーチャーであるMatt Nelson氏が、Microsoft Officeのドキュメントにおいて、マクロを悪用せずにマルウェアの感染を行える方法を発見したと伝えた。 Windows 10特有のファイルに拡張子が「.SettingContent.ms」というものがある。これはフォーマットとしてはXML形式のファイルで、コントロールパネルに対してショートカットを作成する目的で使われている。問題はこのファイルのDeepLink要素に任意のコードを書くことが可能という点にあり、ここに指定したコードがユーザーに許
プロジェクター内蔵スマートライト「popIn Aladdin」、寝室を子どもとの思い出の場所に
ポップインから日、プロジェクターが一体となったLEDシーリング「popIn Aladdin」の量産デザインが発表されました。5月6日まで開かれる体験ストアに合わせ、5月31日までは先行予約価格として税込44,800円で販売。ここでは、発表会の様子を紹介しましょう。 popIn Aladdin popIn Aladdinは、クラウドファンディングで9,200万円以上の支援金額を達成して注目されたスマートライトです。家庭用のシーリングライト向けコンセントを使用するため、別途電源を用意する必要がありません。 寝室や子ども部屋での利用を想定しており、LEDシーリングの光量は4~12畳向け。昼光色、昼白色、電球色が利用でき、6段階の調光に対応します。LEDの寿命は約2万時間。 popIn AladdinはLEDシーリング、プロジェクター、スピーカーが一体となり、スマートフォンから操作可能なスマートラ
無線の電力だけでスイッチON! チロルチョコサイズの「WoW」なモジュール
2018年5月23日から25日かけて東京ビッグサイトで開催された「ワイヤレス・テクノロジー・パーク2018(WTP2018)」は、無線通信技術の研究開発に焦点を当てた国内最大級の専門イベントだ。詳しくはこちらをご覧いただくとして、内外のプロでにぎわう会場の片隅にJAXA(宇宙航空研究開発機構)の研究開発部門も小さなブースを出展していた。 JAXAが開発した待機電力ゼロの無線スイッチ JAXAは以前から宇宙技術の民生利用促進に力を入れているが、とくに近年は鉄道や物流や自動車の専門展示会にもブースを出展し、大型の供試体を扱える振動試験やEMC試験など特殊な設備・装置のビジネス利用を呼びかけている。 しかしWTP2018での出展は、そのような地道なセールス活動とは趣が異なる、ガチの技術開発案件だった。目玉はマッチ箱ほどの環境センサユニットにちょこんと乗っかった、チロルチョコサイズのモジュール。本
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
