ハニーポット(仮) 観測記録 2022/09/24分です。 特徴 共通 Apache HTTP Serverの脆弱性(CVE-2021-41773)を狙うアクセス GPONルータの脆弱性を狙うアクセス zgrabによるスキャン行為 /.envへのスキャン行為 phpMyAdminへのスキャン行為 Location:JP D-link製品の脆弱性を狙うアクセス PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス Lkx-Apache2449TraversalPluginによるスキャン行為 Lkx-TraversalHttpPluginによるスキャン行為 aiohttpによるスキャン行為 curlによるスキャン行為 l9exploreによるスキャン行為 .jsへのスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 UserAgentがHello, worldで
いろいろなOSを対象にしたマルウェアがあります。 対象となるOSのなかには、ハイパーバイザーも含まれています。 とても多く使われているハイパーバイザーであるVMwareのESXiもマルウェアのターゲットになります。 これまでESXiをターゲットとし、そのなかにある仮想マシンを暗号化して恐喝するというタイプのランサムウェアは確認されていました。 今回別のタイプのマルウェアが確認されています。 今回確認されているマルウェアは、ESXiに仕掛けられ、その配下にある仮想マシンへの任意のコマンド実行を実現するといった内容のものになっています。 マルウェアの投入 ESXiの管理者権限の取得 攻撃に先立ち、何らかの方法で管理者権限を取得していると考えられます。 VIBとしてインストール ESXiにはパッケージ管理システムとしてVIBというものがあります。 これまでのESXi上のマルウェアはマルウェアを構
株式会社ランドマークは9月26日、同社が運営する「ユニフォームタウン」への不正アクセスによる個人情報漏えいについて発表した。 これは7月7日に、一部のクレジットカード会社から「ユニフォームタウン」を利用した顧客のカード情報の漏えい懸念について連絡があり、翌7月8日に当該サイトでのカード決済を停止し、第三者調査機関による調査を行ったところ、当該サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスでペイメントアプリケーションの改ざんが行われたことが原因で、購入者のカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性を8月12日に完了した調査機関の調査結果で確認したというもの。
イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第12回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティの高度解析部 ペネトレーションテスト課の課長で、執行役員でもあるルスラン・サイフィエフと、同じくペネトレーションテスト課の「黒林檎」こと、村島正浩。 イエラエセキュリティの
中堅・中小企業だからこそ考えたい、目の前にあるPCのアップデートから始めるセキュリティ対策:デジタル化の取り組みと同時にセキュリティ強化を 企業にとってセキュリティ対策は必須だが、中堅・中小企業では「人」や「予算」の都合で進められず、手薄なままの場合もある。そこで、セキュリティ対策への投資が難しい場合に見直したいのがOSだ。Windowsには高度なセキュリティ機能が標準搭載されているので、これを活用しない手はない。セキュリティ対策見直しの“第一歩”を最新の「Windows 11」から始めてみよう。 変わる働き方、増えるセキュリティ脅威との接点 オフィスに出社し、ファイアウォールをはじめとするセキュリティ製品で守られたネットワーク環境で、さまざまなセキュリティ対策を導入したPCを用いて業務を行う――。そんなスタイルはこの数年でがらりと変化した。周知の通り、コロナ禍をきっかけに、テレワークやハ
皆さんは「IDガバナンス&管理」(Identity Governance and Administration:IGA)という言葉をご存じでしょうか。ユーザーのIDやパスワード、所属する組織や保持するアクセス権限などを管理する従来の「ID管理」(Identity Management:IDM)の概念を包含する、より統制(ガバナンス)を意識した概念です。企業の内部統制対応やゼロトラストネットワークへの対応を受けて近年非常に注目されており、主要なIDM製品がIGAへの対応を次々に表明しています。 本連載『midPointで学ぶ「IDガバナンス&管理」(IGA)の基礎』では、オープンソースソフトウェア(OSS)でありながらIGA機能を備えた「midPoint」を使って、ハンズオン的にIGAについて学びます。第1回となる今回は、「IGAとは何か」から始め、その必要性について考えてみます。 IDガバ
親ロシアの「KILLNET」、「認証疲れ」でGTAコード流出…… 9月注目サイバー攻撃・インシデントまとめ 情報セキュリティ分野では常に新たなウイルスや手口が生まれている。それらの情報をキャッチし、トレンドを把握することが、対策方針を立てる一つの目安になる。 本記事では、9月に発表されたサイバー攻撃・情報インシデントの中でも特徴的なものを中心にまとめる。 政府サイトなどを親ロシアのサイバー犯罪集団「KILLNET」が攻撃 ロシアを支持するサイバー犯罪集団「KILLNET」が日本政府や日本の大企業のWebサイトにサイバー攻撃を行ったと表明し、各企業団体が対応に追われた。 影響を受けたのは行政情報の総合窓口サイト「e-Gov」、地方税ポータルシステム「eLTAX」、JCBブランドサイト、mixi、東京メトロWebサイトなど。 各サイトでは6日ごろから接続障害などが発生。手口はDDoS攻撃とみら
東京都水道局は9月29日、同局のWindowsアプリをダウンロードできるとかたる偽サイトを確認したとし、ユーザーに注意を呼び掛けた。ダウンロードすると詐欺被害につながる恐れがあるとしている。 「https://windowsapp.」で始まるURLで、Windows PC用を名乗るアプリがダウンロード配布されているという。 このサイトは水道局の公式アプリと無関係であり、クリックしないよう呼び掛けている。 正規のアプリは、App StoreかGoogle Playストアからダウンロードできる。 関連記事 個人情報狙う“偽アプリ”急増、半年で6倍超に 「Fortnite」の偽物も マカフィーがモバイル環境の脅威に関する最新レポートを発表。18年下半期は“偽アプリ”が大量発生し、同年6月時点で1万件だった検出数が12月には6万5000件に増加していたという。19年も偽アプリは増え続ける見込みとし
JVNVU#98868043 Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性 Apache Tomcatには、Http11Processorインスタンスにて競合状態が発生し、誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性が存在します。 Apache Tomcat 10.1.0-M1から10.1.0-M12までのバージョン Apache Tomcat 10.0.0-M1から10.0.18までのバージョン Apache Tomcat 9.0.0-M1から9.0.60までのバージョン Apache Tomcat 8.5.0から8.5.77までのバージョン The Apache Software Foundationから、Apache Tomcatの脆弱性に対するアップデートが公開されました。 Http11Proc
企業のデジタルトランスフォーメーション(DX)の推進にはデジタル人材が必要です。 このようなスキルを持つ人材は今後の日本企業の成長戦略に不可欠ともいわれており、最近では大手製造業を中心とした「デジタル人材育成」に取り組む動きが、メディアでも頻繁に取り上げられています。 DXに欠かすことができない「IoT」とは、モノの情報をデータ化し、ネットワークを通じてリアルタイムで共有する技術のことで、IoTの仕組み作りは、DXを推進する上で欠かせません。センサーやカメラで得られたデータをインターネットにつなぐことで、いつでも遠隔から手元の端末でモノや現場の状態を把握したり、制御・操作ができるようになります。 例えば、「ビニールハウスや倉庫内の温度・湿度をセンサーで計測し、パソコンやスマートフォンから過去のデータや現在のデータを確認する」ことで、これまでの目視点検や、手作業で紙に記録していたようなことが
電子設計を生業としているHales氏が、室内用の空気品質を測定する製品に関して「業界が崩壊状態にあり、製品がゴミでもそのことに気付く顧客が少ないから気にしていない」と指摘しています。 Many indoor air quality sensor products are a scam (temperature, humidity, pressure, CO2, TVOC) https://halestrom.net/darksleep/blog/048_indoorairsensing/ Hales氏の投稿は、組み込みシステム用ファームウェアとして用いられているLinuxディストリビューション「OpenWRT」のフォーラムへの「部屋の温度や湿度を測定したいけれど、4つの機器ですべて異なる値が出てしまうので、どうしたらいいのか真剣に悩んでいます」という書き込みに応じたものです。 電子設計を生
ホワイトハッカーは独学でもなれる?政府や自治体、大企業などのコンピューターシステムがサイバー攻撃を受け、しばしばニュースになっています。一方でこうした攻撃を未然に防いだり、復旧に当たる仕事をこなす「ホワイトハッカー」の注目が高まっています。 最近では中学生や高校生を対象としたハッキングコンテスト「CognitiveHack Japan 」※などもあり、若い人たちの間でホワイトハッカーは憧れの職業となりつつあります。 未経験者が独学で必要な知識や技術を身に着け、ホワイトハッカーになることはできるのでしょうか?この記事では、ホワイトハッカーについてや、なるために必要なスキル・知識・技術・資格・勉強法などについて解説します。 【参考】:CognitiveHack Japan 2022 ハッカーはネットワークやコンピュータープログラムなどに非常に詳しい人のことで、それ自体に善悪の概念はありません。
インターネットを利用中に、「Cookieを許可してください」というポップアップが表示されたり、許可するCookieの種類を選ばされたりしたことがある人は多いはず。こうした表示はGDPRといった規制を順守する上で必要なものですが、Cookieの使用を許可するつもりのない人や関心がない人にとってはわずらわしいものです。広告とトラッキングをブロックする機能を搭載しているブラウザのBraveが、このCookieの許可を促すバナーのブロックを開始しました。 Blocking annoying and privacy-harming cookie consent banners | Brave Browser https://brave.com/privacy-updates/21-blocking-cookie-notices/ Braveは2022年9月28日に公式ブログを更新し、10月にリリース
Google検索では特定のワードに関連する画像を検索することが可能であり、その中にはクリエイティブ・コモンズで再利用が許可されている画像を検索する機能も搭載されています。ところが、「Google画像検索のクリエイティブ・コモンズ絞り込み機能は壊れており、ライセンスが付与されているはずの画像がほとんど見つからない」と、ブロガーのAlan Levine氏が報告しています。 Google Broke Image Search for Creative Commons and Hardly Anyone Noticed/Cares – CogDogBlog https://cogdogblog.com/2022/09/google-broke-cc-image-search/ Googleで画像検索をすると、無料で使用できる画像もそうではない画像も混在して表示されます。しかし、2020年のアップデ
Googleスプレッドシートは、Microsoft Excelへの変換機能を備えている。例えば、自社内でスプレッドシート、取引先等でエクセルを使用しているような場合、ファイルの変換手順を知っておくとデータを管理する上で役立つはずだ。 そこで本記事では、スプレッドシートとエクセルのファイル変換の手順と注意点、スプレッドシートとエクセルの違いについて解説する。 スプレッドシートとエクセルのファイル変換 スプレッドシートとエクセルのファイル変換の手順はシンプル。スプレッドシートをエクセルに変換することはもちろん、Googleドライブにエクセルをアップロードしてスプレッドシートに変換することも可能だ。 スプレッドシートからエクセルに変換する方法 Googleドライブ上で変換したいスプレッドシートを開き、上部メニューの「ファイル」から「ダウンロード」→「Microsoft Excel(.xlsx)」
テクノロジー ソースコードには中国語 Windows、Linuxなど機器問わず感染するマルウェア「Chaos」が世界に拡散中 Image:Jozsef Bagota-Shutterstock ネットワーク企業Lumen Technologiesのサイバーセキュリティ部門Black Lotus Labsが、WindowsやLinux、FreeBSDなどのエンタープライズサーバーから、SOHO向けのネットワーク機器まで、広範なデバイスを標的にするマルウェア「Chaos」を発見したと発表した。 この悪質なソフトウェアはLinuxボットネット「Kaiji」をベースとした機能を含んでおり、その亜種とも見られている。またGo言語で書かれたソースコードには中国語が含まれており、中国のC2(C&C:Command & Control)インフラによって操作されているとのこと。 Chaosは、遅くとも4月16
学校にiPadを導入した長野県伊那市の「表現して学ぶ授業」ってこんな感じ2022.09.30 12:3011,375 amito 生徒に1人1台の端末が与えられる教育環境を目指す「GIGAスクール構想」。コロナ禍でオンライン学習の環境整備が急がれたこともあり、令和3年度末時点で98.5%の自治体の小中学校で、端末の整備が完了しています。 つまりほとんどの小中学生が1人1台何かしらの端末を使って学んでいるわけですが、実際の授業ってどんな感じなのでしょうか? 長野県の伊那市(いな市)ではGIGAスクール構想が始まる遥か前から、教育委員会を中心に1人1台のiPadを導入した教育環境の整備を進めてきました。iPadを使うことで授業がこれまでとどう変わるのか? 伊那市の中学校と小学校に取材をすることができたので、実際の授業の様子をお届けします。 実験データをNumbersで共同編集する理科の授業伊那
デロイト トーマツは2022年9月15日、同社グループのデロイト トーマツ サイバーが、IoT(モノのインターネット)製品のセキュリティ対策を監視するための「SBOM(ソフトウェア部品表)管理ソリューション」を提供すると発表した。製品ライフサイクル全般にわたり、セキュリティ対策の危殆(きたい)化や脆弱(ぜいじゃく)性を管理する機能を備える。 同ソリューションは、IoT製品の企画、設計段階におけるセキュリティ機能の組み込みに加えて、対象製品の製品ライフサイクル全般にわたるセキュリティの確保を支援する。 具体的には、IoT製品の企画、開発段階でソフトウェアおよびハードウェアの部品表を登録し、インターネット上などでアップデートされる情報から自動的に脆弱性を検知する。対象が危険にさらされている状態(危殆化)や脆弱性を監視してユーザーに通知することで、関連部門が連携して対処可能になる。 また、製造や
起業のために仲間集めを始めよう!仲間と起業するメリットや失敗しないためのポイントは? 起業・独立といった言葉を耳にすると、まずはひとりで事業を立ち上げることをイメージする方も多いかもしれません。 しかし、新規事業を始めたいと思っていてもひとりで起業するのは困難なことが多いです。 起業する時には、共に起業できる仲間がいた方が準備から細かな作業などの効率を上げられ、困難な場面でも分担できるようになるでしょう。 最近では、やりたいことを実現しようと起業を目指す方が増えてきています。中には、本業を続けたまま新規事業を立ち上げる方もいます。 このように優秀な起業仲間を集めるにはどうすれば良いのでしょう。 今回は、起業仲間を集める重要性や方法、新規事業スタートに向けて心得ておきたいことを紹介します。 仲間を集めて起業するメリット 新規事業を立ち上げるだけならひとりでも可能です。しかし、どんな時でも自分
PHPの開発チームは、現地時間8月29日に最新版となる「PHP 8.1.11」「同7.4.32」をリリースした。複数の脆弱性を解消している。 今回のアップデートでは、特定のgzipファイルにおける解凍処理においてサービス拒否が生じる脆弱性「CVE-2022-31628」や、ブラウザ上において問題あるCookieの設定が可能となる「CVE-2022-31629」に対処した。 開発チームでは、セキュリティアップデートと位置づけており、各系統の利用者へ最新版へアップデートするよう呼びかけている。 「同8.0」系統のアップデートについてはアナウンスが行われていないが、まもなく「同8.0.24」になると見られる。 (Security NEXT - 2022/09/30 ) ツイート
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 人工知能(AI)研究開発事業などを手がけるMorning Project Samuraiと印刷事業などを展開する図書印刷、製本機械メーカーの芳野YMマシナリーの3社は、書籍の三方断裁(化粧断ち)後の断裁面の外観検査を行う自己学習型AIを搭載した外観検査システムの共同開発を開始した。 同システムに用いる自己学習型AIは、学習に必要な教師データを自己生成するメカニズムを内部にもつAIで、人手によるアノテーションと呼ばれる教師データ作成にかかる手間が不要。 共同開発では、AI導入時・導入後の人手によるアノテーションを省くことができる、Morning Project Samuraiの自己学習型AIを外観検査システムに採用する。これにより検査員主
自動運転の法整備で、メディアなどは「トロッコ問題」を取り上げることがある。しかし、人間が判断する場合でも答えがない問題より、これからの車両設計・製造に直接かかわる法制度に注目すべきだろう。 型式指定に要求されるセキュリティ要件自動車サイバーセキュリティについて森・濱田松本法律事務所の佐藤典仁弁護士、蔦大輔弁護士が10月25日開催のオンラインセミナーコネクテッドカーのサイバーセキュリティ対策~今とこれから~に登壇し、自動車サイバーセキュリティに関する法制度の最新動向と実務上の留意点について講演予定だ。今回の講演の見どころを聞いた。 CASE車両の普及拡大とレベル3以上の自動運転を可能にするため、関連法(道交法、道路運送車両法、同保安基準)の見直しが進んでいる。改正基準は、自動運行装置の有無にかかわらず、継続生産される車両にも順次適用される。 具体的には、無線ソフトウェアアップデート(OTA)
このページはフリーソフトウェアファウンデーションのライセンシング&コンプライアンス・ラボによって保守されています。FSFへの寄付を行って、わたしたちの仕事を支援してください。ここに答えられていない質問がありますか? わたしたちのほかのライセンシングの資料を確認してください。または、こちらのコンプライアンス・ラボのメールlicensing@fsf.orgに連絡ください。 わたしたちは、ライセンスをいくつかの重要なポイントによって分類します。 それが自由ソフトウェアライセンスと言えるか。 それがコピーレフトのライセンスであるか。 GNU GPLと両立するかどうか。とくに記述がない限り、両立ライセンスはGPLv2とGPLv3の両方に両立性があります。 そのライセンスによって、現実的に何か特定の問題が生じるか。 よく出くわす自由ソフトウェアライセンスをほとんどこのページに挙げられるよう努力しますが
少しマニアックな知識、QRコードの仕組みを紹介します。 QRコード決済、リンクをQRコードで提供するなど、日常的に使用されているQRコードにあるそれぞれのパターンがどのように機能しているか、どういう役割をしているのか、なぜ上下逆さにしても読み取れるのか、なぜ一部が隠されても読み取れるのかなどが分かります。 QR codes by Dan Hollick (@DanHollick) 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに QRコードの仕組み 終わりに はじめに QRコードがどのように機能しているのか、疑問に思ったことはありませんか? 控えめに言って、実に、おもしろい! 注意: この記事⬇では非常にマニアックな内容が含まれています。 QRコードの仕組み QRコード(Quick Response code)は自動車部
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く