Device Bound Session Credentials（DBSC）は、Cookie の盗難やセッションの不正使用からユーザー セッションを保護するために設計された新しいウェブ機能です。この機能は、Chrome 135 でオリジン トライアルとしてテストできるようになりました。 背景 Cookie は、最新のウェブ認証において重要な役割を果たしており、ユーザーがブラウジング セッション間でログインしたままにしておくことが可能です。しかし、攻撃者は盗まれた認証 Cookie を悪用してセッションを乗っ取り、多要素認証やその他のログイン セキュリティ メカニズムを回避するケースが増えています。 マルウェアの運営者は、侵害されたデバイスからセッション Cookie を抜き出し、ユーザー アカウントへの不正アクセスを可能にします。Cookie は署名なしトークンであるため、所有権の証明を必

New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents ‍Executive SummaryPillar Security researchers have uncovered a dangerous new supply chain attack vector we've named "Rules File Backdoor." This technique enables hackers to silently compromise AI-generated code by injecting hidden malicious instructions into seemingly innocent configuration files used by Cursor a

描く人へ こうの史代 中学生の如月深雪は帰宅後、ひとり漫画を描いているのだが…。 胸に迫る「描く」と言う行為の深淵。漫画家生活30周年を迎えたこうの史代が贈る最新読切！

リクルートがこのたび実施した「SUUMO住みたい街ランキング2025 関西版」の「穴場だと思う街（駅）ランキング」部門において6位にランクインした「塚口」。そんな穴場として注目される塚口にある映画館「塚口サンサン劇場」が今、脚光を浴びています。一時期は不入りから閉館の危機にありましたが、現在は日本中から観客が駆けつける人気スポットとして蘇ったのです。いったいどのような方法で形勢逆転を果たせたのか。同館の映画営業部次長・戸村文彦さんにお話をうかがいました。 「マサラ上映の聖地」と呼ばれる映画館があった 物音を立てずに鑑賞するのがよしとされる映画館で、観客がコスプレをし、スクリーンに向かって歓声を上げる。クラッカーを打ち鳴らし、サイリウムを揺らす。ラストは前が見えないほどに舞い散る大量の紙吹雪。この掟破りなスタイルは「マサラ上映」と呼ばれています。インドの映画鑑賞スタイルを参考に、観客が自ら行

Imagine this: You’re sipping your morning coffee and scrolling through your emails, when you spot it—a vulnerability report for your open source project. It’s your first one. Panic sets in. What does this mean? Where do you even start? Many maintainers face this moment without a clear roadmap, but the good news is that handling vulnerability reports doesn’t have to be stressful. Below, we’ll show

想定読者 本書ではSBOMの導入・運用を主導する部門を主な対象読者として想定しています。また、SBOMを知らない組織をはじめ、導入に課題を抱えている組織、導入後に活用できていない組織など、幅広い組織層を対象としています。 本書の構成 第1章 背景と目的 第2章 SBOMの概要 第3章 SBOM導入・運用に関する基本指針 第4章 環境構築・体制整備フェーズにおける実施事項 第5章 SBOM作成・共有フェーズにおける実施事項 第6章 SBOM運用・管理フェーズにおける実施事項 第7章 まとめ Appendix ダウンロード SBOM導入・運用の手引き(PDF:3.0 MB) 更新履歴 2024年12月20日

SWET第二グループのKuniwakです。本記事では画面仕様（後述）の仕様書に対する静的検査器を開発した事例について紹介します。 伝えたいこと 画面表示と画面遷移を記述する仕様書は機械可読にできる 仕様書が機械可読であれば仕様の静的検査ができる 静的検査によって自身の担当範囲の15%の画面から計40件弱の欠陥を発見した 機械可読な仕様書にはさらなる応用が見込める おさらい：仕様とは 仕様の定義はいくつかあります。 ここでは仕様とは実装の正しい振る舞いを定める基準とします。 ある実装が正しいと判定されることを、実装が仕様を満たしたといいます。 誰による判定でも実装が仕様を満たしたかどうかの判定結果は一致すべきです。 さて実装の欠陥と同様に、仕様にも欠陥が生じえます。 本来正しいと意図した実装の振る舞いを誤っていると判断したり、その逆に誤っていると意図した実装を正しいと判断する仕様には欠陥があ

FOR IMMEDIATE RELEASE April 16, 2025 CVE Foundation Launched to Secure the Future of the CVE Program [Bremerton, Washington] – The CVE Foundation has been formally established to ensure the long-term viability, stability, and independence of the Common Vulnerabilities and Exposures (CVE) Program, a critical pillar of the global cybersecurity infrastructure for 25 years. Since its inception, the CV

昨今、多くの企業でCSIRTが構築されています。NRIセキュアの2022年の独自調査によると、従業員規模が10,000人以上の大企業では約8割がCSIRTを導入済みであり、従業員規模が1,000人以上の中堅企業でも約4割がCSIRTを構築しているという調査結果が出ています。自社の国内のOA環境でインシデントが発生した際に対応するためだけのCSIRTではなく、国内のグループ会社や現地法人等のグローバルの拠点まで対象を広げ、グローバル全体でのインシデント対応体制を整備される企業様が多くいらっしゃいます。 また直近では、CSIRTの構築支援ではなく、「CSIRTの運用開始後、これからどのようにCSIRTを良くしていくべきか」、「自社のCSIRTはどこまで成熟しているのか」、「実効性のあるCSIRTなのか評価してほしい」といったような要望をいただく機会も増えています。 過去評価したCSIRTの代表

FIRST is the global Forum of Incident Response and Security Teams FIRST is the premier organization and recognized global leader in incident response. Membership in FIRST enables incident response teams to more effectively respond to security incidents - reactive as well as proactive. FIRST brings together a variety of computer security incident response teams from government, commercial, and educ

Hajime Morita さんをゲストに迎えて、Bitcode, microservices, Rust, Go, Web Assembly, Polymer, Web Components などについて話しました。 Show Notes Apple’s Bitcode Telegraphs Future CPU Plans LLVM Bitcode File Format Monolith First Don’t start with a monolith RailsConf 2015 - Opening Keynote by DHH The Recipe for the World's Largest Rails Monolith cookpad/chanko The Rust Programming Language Mozilla 2 - MozillaWiki Servo Ge

こんにちは、Drawer Growthグループ ソフトウェアエンジニアの内田(id:usadamasa, @usadamasa)です。弊社ではApache Icebergの活用*1とともに、一部のアプリケーションにJavaを導入しています。今回は、システムアーキテクチャから一段レイヤを下げてアプリケーションレベルのお話しをしたいと思います。 アプリケーションアーキテクチャの設計と運用課題 アプリケーション開発において、私たちエンジニアは通常、パッケージ構成やレイヤの依存関係、ロギングなどの観点からアーキテクチャを設計します。 しかし、実装との不整合やチーム内での共通認識が不十分なまま進むと、品質課題として潜在化し、やがて本番障害や開発者の疲弊といった形で問題に発展します。また、DevinやClineなどのAIエージェントに適切に実装してもらうにはプロンプトやドキュメントで設計を伝える必要が

プラットフォームチームの菅原です。 Googleカレンダーのイベントに合わせてECSサービスをスケールする仕組みを作ったので紹介します。 従来のスケール方法について バンドルカードなどのカンムのサービスはAmazon ECSでコンテナとして動いており、負荷状況に合わせて自動的にスケールするように設定しています。 たとえばターゲットトラッキングスケーリングポリシーを設定してCPU使用率を一定に保つようにしたり resource "aws_appautoscaling_policy" "api" { name = "scale_out" policy_type = "TargetTrackingScaling" service_namespace = aws_appautoscaling_target.api.service_namespace resource_id = aws_appaut

PDF [172KB] / English 当社が法人向けに提供するメールセキュリティサービス「IIJセキュアMXサービス」において、下記の通り、お客様情報の一部が外部に漏えいした可能性があることを、4月10日に確認しました。該当のサービスをご利用いただいたお客様におかれましては、ご不明な点がございましたら下記のご相談フォームでお問い合わせいただけますようお願い申し上げます。お客様には多大なご迷惑をおかけすることとなり誠に申し訳ございません。深くお詫び申し上げます。 記 情報漏えいの概要 IIJ セキュアMXサービス （電子メールサーバ・セキュリティ機能のアウトソーシングサービス）のサービス設備が、2024年8月3日以降に不正なアクセスを受け、当該サービスを提供する設備上で不正なプログラムが実行されていたことを確認いたしました。これにより、当該サービス上で送受信された電子メールの情報、当該

ただひたすらモイちゃんの服を見て解説していくエントリはじめに古参の皆さまに謝っておく。 俺は完全なニワカだ。 ニワカの俺が偉そうにWitch Watchを語ることを許してほしい。 ごめん。 ウィッチウォッチを今月から始まったアニメ版で初めて見て、ニコ役の川口莉奈にやられた。 マジで良い。ああニコかわいい。川口莉奈の演技いい。 そしてニコまじポンコツ。ポンコツかわいい。 大好きな種崎敦美は売れっ子になりすぎ、素直に好きと言えなくなってきていたのでこれからは川口莉奈も推す。 俺はまほよめの智世のころからのファンなんだぞとか言っちゃいそうになる。かまそうぜ老害ムーブ。 言っちゃってるし、全然古参でもねーじゃねーか、という誹りは甘んじて受ける。 とにかく、彼女をニコ役にキャスティングした人と、川口さんご本人には感謝の気持ちを込めてアンティークフレンチリネンのワンピースを贈りたい。 え？ 贈るものが

Go Conference 2023 ( 2023/06/02 Fri. ) https://gocon.jp/2023/ 登壇資料 株式会社アンドパッド プロダクトテックリード 小島 夏海 みなさん、Googleが公開したGo Style Guideは読みましたか？ ソフトウ…

映画『シンシン／SING SING』の舞台はアメリカ最重警備の収監施設「シンシン刑務所」。ニューヨーク州・ハドソン川沿いの小さな街の中心に1826年に設立された。作品内でもたびたび映し出される、刑務所外に広がる豊かな自然と刑務所内の重苦しい空気のコントラストこそが、そこにある格差や差別・偏見を露呈する。そんな刑務所内で実施される「RTA（Rehabilitation Through the Arts）」プログラムに焦点を当てた本作で、本人役を演じ俳優デビューを飾ったクラレンス・マクリン。自信と勢いにあふれた笑みと、圧倒的な存在感が印象的だ。彼は実際にシンシン刑務所に収監され、プログラムに参加した経験を持つ。 2022年夏、撮影が行われたのはシンシン刑務所と同じハドソン渓谷近くに位置するダウンステート矯正施設。現在は閉鎖されているものの、過去には実際の刑務所として稼働した場所だ。強盗罪で17

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント『情報セキュリティ事故対応アワード』。第8回となる今年もオンラインにて開催いたしました。 今回は数百件のセキュリティ事故を対象に審査員が厳選し、優れた対応24件をノミネート。そのなかから、特に素晴らしかった組織を表彰いたしました。 主催：情報セキュリティ事故対応アワード実行委員会 後援：経済産業省 ロゴデザイン：カミジョウヒロ 審査概要 審査委員 徳丸 浩 氏：EGセキュアソリューションズ株式会社 取締役 CTO / 独立行政法人情報処理推進機構（IPA）非常勤研究員 / 技術士（情報工学部門） 北河 拓士 氏：NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 根岸 征史 氏：株式会社インターネットイニシアティブ セキュリティ情報統括室長 辻 伸弘 氏：SBテクノロジー株式会社

不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業を表彰するイベント『情報セキュリティ事故対応アワード』。第9回となる今年もオンラインにて開催いたしました。 今回は数百件のセキュリティ事故を対象に審査員が厳選し、優れた対応32件をノミネート。そのなかから、特に素晴らしかった組織を表彰いたしました。 主催：情報セキュリティ事故対応アワード実行委員会 後援：経済産業省 ロゴデザイン：カミジョウヒロ 審査概要 審査委員 徳丸 浩 氏：EGセキュアソリューションズ株式会社 取締役 CTO / 独立行政法人情報処理推進機構（IPA）非常勤研究員 / 技術士（情報工学部門） 北河 拓士 氏：NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 根岸 征史 氏：株式会社インターネットイニシアティブ セキュリティ情報統括室長 辻 伸弘 氏：SBテクノロジー株式会社