Claude Mythosが示すサイバー攻撃の構造変化とラックの見解 | LAC WATCH
生成AIの急速な進化を背景に、政府は5月12日、サイバーセキュリティ対策の強化を急ぐよう指示しました。海外製AIの悪用による攻撃の高度化・巧妙化が現実的なリスクとなる中、企業には従来とは異なる前提での備えが求められつつあります。本稿では、この変化をどのように捉えるべきかについて参考としていただけるよう、ラックの見解を示します。 Claude Mythosが示唆する構造的インパクト Anthropic社が発表したフロンティアAIモデル「Claude Mythos(クロード・ミュトス)」を契機に、生成AIがサイバー攻撃と防御の在り方を根本から変え得るとの認識が、国内外で急速に広がっています。本モデルは限定的にしか公開されていないものの、報道や関係者間の情報からは、「脆弱性の探索」「攻撃コードの生成」「検証プロセスの自律化・高速化」といった領域を一気に加速させる可能性が指摘されており、従来の前提
アクセスキーを使ったaws-cliはもうやめよう! - Qiita
はじめに アクセスキー発行するのって非推奨なの? 普段、CLI操作はCloudShellや、Cloud9上で行うようにしているのですが(環境構築 したくない。)、デスクトップ上で操作したい時があります。 そこで、一番簡単な方法であるアクセスキーを発行しようとすると、こんな代替案を提案されます。 この警告にモヤモヤしていたので、今回は「IAM Identity Center」を使ってみた。っていう記事です。 実は、アクセスキーは丸見えだったり。 最近、職場の本番リリース中に気づいたのですが、AWS CLIに保存したアクセスキーや、シークレットアクセスキーは丸見えだったりします。 (↓は既に削除しているキーたちです。) アクセスキーの何がいけないのか? おおむね以下の理由から、非推奨の模様。 永続的な認証情報だから。 キーが流出すると、攻撃者がリソースにアクセスし放題。 キーの管理が面倒。 複
ウェブアプリにおけるBash脆弱性の即死条件 #ShellShock - めもおきば
条件1. /bin/shの実体がbashのディストリビューション RHEL CentOS Scientific Linux Fedora Amazon Linux openSUSE Arch Linux (自ら設定した場合: Debian, Ubuntu) 条件2. 動作環境 CGI (レンタルサーバでありがちなCGIモードのPHP等も含む) Passenger(Ruby) 条件3. プログラム内容 Passengerは全死亡 *1 systemや `command`、 '| /usr/lib/sendmail' などで外部コマンド実行 *2 PHPのmailやmb_send_mail、その他フレームワーク等を介したメール送信 *3 以下は条件1が不要 明示的にbashを呼ぶ 先頭で #!/bin/bash や #!/usr/bin/env bash しているプログラムを実行 (rbenv
気持ち悪い…批判殺到!日立が「Suica履歴」をビッグデータとして活用開始 - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
アカウント乗っ取りを防げ!Google2段階認証プロセスを設定する全手順
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
【注意】LINEが勝手に電話帳を同期して友達を増やすバグアップデートで被害者多数の模様
LINE @LINEjp_official 【お詫び】本日公開したAndroid版LINE最新バージョンで「友だち自動追加」オフ設定が機能しない不具合が発生しました。申し訳ありません。現在は修正・削除がすべて完了しています。詳細はブログ追記をご覧下さい http://t.co/wVxxXQQd 2012-11-27 00:34:52 LINE @LINEjp_official @mil_tea バージョンアップ後に「友だち自動追加」のオフ機能が効かなくなることがありましたが、現在は修正が完了し、自動追加された友だち情報も削除対応中です。ご不明点などありましたらこちらから詳細をお送り下さい http://t.co/YG45diSR 2012-11-26 22:41:44
OAuthの認証にWebViewを使うのはやめよう
AndroidからTwitterへアクセスするためのライブラリとして,Twitter4Jが有名です. これを使ってみようと,「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます. ・・・いや,ちょっとまて. それはちょっとまずいだろう. そういうわけでもうちょっと賢い方法を探してみました. 何がまずいのさ 「Android Twitter4J」と検索すると,上位にこんなページが出てきます. Twitter4jを使ってOAuth認証をアプリ内で行う方法 Twitter4j-2.2.xを使ったOAuth認証のコーディング例 twitter4jでツイートする Android+Twitter4JでOAuthするためのソースコード 上のサイトでは次の様は方法をとっています. アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面
俺史上最強のiptablesをさらす - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? # !/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################
Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
高木浩光@自宅の日記 - LINEがこの先生きのこるには
■ LINEがこの先生きのこるには 先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。 人気急拡大「LINE」の実力は, ワールドビジネスサテライト, 2012年6月22日 番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。 @magic_kanata ご報告ありがと
Your E-Book Is Reading You
It takes the average reader just seven hours to read the final book in Suzanne Collins's "Hunger Games" trilogy on the Kobo e-reader—about 57 pages an hour. Nearly 18,000 Kindle readers have highlighted the same line from the second book in the series: "Because sometimes things happen to people and they're not equipped to deal with them." And on Barnes & Noble's Nook, the first thing that most rea
日本の超SFなサイバー攻撃警告システムに世界のネットユーザー大興奮! 海外の声「攻殻機動隊キター!」
» 日本の超SFなサイバー攻撃警告システムに世界のネットユーザー大興奮! 海外の声「攻殻機動隊キター!」 特集 日本の研究者たちが開発したサイバー攻撃アラートシステムに、現在世界のネットユーザーが大興奮している。 このシステムの名前は「DAEDALUS(ダイダロス)」といい、これを使えばネットワークが攻撃されている様子をリアルタイムで見られるようになる。詳細は以下の通り。 中心にある球がインターネットを表しており、その周りを回っているサークルの1つ1つが現在観測中のネットワークを表しています。これら、攻撃の様子は、3Dグラフィックで表示され、任意の視点から眺めることが可能です。(DigInfo TVより引用) ここで着目すべき点は、3Dグラフィック! 「サイバー攻撃をリアルタイムに可視化、警告を発する『DAEDALUS』」という動画にも映し出されているように、このシステムの凄いところはその
後付けでトラッキング機能が有効化されることについて、はてなとTwitterの場合 - 最速転職研究会
前: http://d.hatena.ne.jp/mala/20120308/1331193381 はてなのその後の話 http://hatena.g.hatena.ne.jp/hatenabookmark/20120313/1331629463 話題になってからの対応が遅い、という人がチラホラいたけれど、別に対応はそれほど遅いというわけでもないと思う。 これは近藤さんがSXSWというイベントに行っていて日本にいなかったためで、収益にも影響する話なので即断できなかったのだろう。 こういう時にあとさき考えないで不良社員が勝手に広報したり、勝手に修正しても良いと思う(個人の感想です) 公平のため記しておくとHUG Tokyoというイベントで大西さんにおごってもらった(はてなの脆弱性をちょくちょく報告しています) Twitterの話 先日、Twitterが外部サイト上でのボタン、ウィジェットでト
b-casカード不正改造問題の本質はカードの交換を不可能にしたこと - アンカテ
b-casカードの不正改造問題が騒がれているが、「カードがクラックされた」ということではなく「カードが交換できない」ということが問題の本質で、この点がクローズアップされるべきだと思う。 鍵を盗まれたのかアルゴリズムに欠陥があったのか? 2ちゃんねるでは「b-casカード完全解析」とか「b-casカード終了」とか言われているが、暗号化アルゴリズムが破られたわけではない。 「暗号化アルゴリズムが破られた」という言葉は、鍵無しで暗号文を復号する方法が発見された時に使うべきだ。暗号化アルゴリズムが知られても、鍵が無ければ破れない暗号はたくさんある。というか、本来は、暗号化アルゴリズムは公開され(てレビューを受け)るべきもので、中身を知られてから暗号文をどれだけたくさん集めて研究されても、鍵無しでは絶対に(現実的な計算時間では)復号されないということがアルゴリズムの役割である。 今回のクラッキングは
偏差値3でもわかる!武雄市図書館問題
目次今回の問題1分でわかる論争の要約だよ!論点1 現行の「個人情報」の解釈が遅れているか否か問題論点2 CCC(TSUTAYA )の管理する「IDに紐付いた貸出履歴が個人情報に該当するか」問題論点3 図書館の自由を守るべきか否か問題まとめ 今回の問題「図書館の貸出履歴をカルチュア・コンビニエンス・クラブに提供し、TカードのIDとヒモ付て管理することは、プライバシー上問題がないか」 とうことですねよ。これに関して、セキュリティの専門家、高木浩光さんと、武雄市長が論争を繰り広げています。 ただ、法律の専門用語が多かったりして難しいので、偏差値3でもわかるように、要約・解説してみました。 1分でわかる論争の要約だよ! お二人の議論を整理すると、 武雄市長「図書館の貸出履歴は、現行法の「個人情報」に該当しない。したがって、問題がない」 高木浩光氏「現行の「個人情報」の定義が遅れている。不備がある。
プライバシー侵害を懸念する際に「個人情報保護法」でいう個人情報でないから問題ないと主張する組織が相次いでいるのが問題 - 発声練習
高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでの追伸で述べられている 昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。 は冗談抜きで本当に休みなく同じような話が連続で発生している(高木さんや同じく危機感を持っている方ががんばって指摘している。行動ターゲティング広告とプライヴァシー保護の話のリンクの後ろの方のリンク集参照)。 2008年の端末固有番号を用いた簡単ログインの話ぐらいから始まり、2011年夏のiOSでのUDID使用禁止、秋のsupercookie問題(の再燃)、10月のAppLog、11月のWi-FiのMACアドレスと位置情報の紐付け、12月のキャリアIQ、ConnectFreeによるSNS情報およびMacアドレスの無断取得と延々と続いている、データの突合せによりプライバシー侵害が発生する(した
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
auスマートパスの個人情報利用範囲がとんでもない件 - shao's diary
えらべる自由な au が今日 3 月 1 日から "au スマートパス" というサービスを開始しています。 auスマートパス サービスの内容は、月額390円のサブスクリプションでAndroidアプリケーションの利用や写真クラウドの保存ができるサービスなんですが、その中に「スタンプカード」なるサービスがあります。 対象のアプリなどを使い回ることで au のポイントと引き替えられるみたいなサービスですが、その規約をみて仰天しました。 大切なことなので二度いいます 1.取得する情報 スタンプカードのご利用にあたっては、以下の情報をお客様からご提供頂きます。なお、当社は、通話内容・通信内容を取得することはありません。 (1)Web利用履歴(IS-NET等接続先) ご利用のau端末から行ったデータ通信(Webブラウザ、アプリケーションからの通信など、auスマートパス以外の通信も含むIS-NET、au
Androidの「the Movie」アプリで数万件~数百万件の個人情報が大量流出した可能性あり
スマートフォンの電話帳に登録されているすべての名前・メールアドレス・電話番号を無断で外部のサーバに送信する機能が「the Movie」シリーズのアプリにあることが判明しました。「個人情報漏れすぎ, - luminのコードメモ」によると、これまでにダウンロードされた数は6万6600~27万1500となっており、このアプリをダウンロードした各自の連絡帳に平均50人の情報があるとすれば333万~1357万5000人ぐらいの個人情報が漏れた可能性があるとのことです。 要するに、このAndroidアプリを登録した謎の開発会社(あるいは個人)が、最初から個人情報を抜き取るためだけにアプリを作って登録し、それによって少なく見積もっても約6万人、そしてその6万人のアドレス帳に入っている全員の情報が抜き取られてどこかへ送信され、作者は逃亡して消息不明、というわけです。 スマホアプリ 情報大量漏洩か NHKニ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cloudflare Apps