データ提供 コダシップは最もポピュラーなサイバー攻撃を積極的に防ぐプロセッサ セキュリティを提供します [Codasip GmbH] 業界初のCHERI商用実装による、きめ細かなメモリ保護 2023年10月31日、ドイツ、ミュンヘン、RISC-Vカスタム・コンピュートのリーダーであるコダシップは本日、半導体業界が必要とする高度なセキュリティ・メカニズムであるCHERIの初の商用実装を発表しました。英ケンブリッジ大学で開発されたこのCapability Hardware Enhanced RISC Instructions (CHERI)テクノロジは、システムのセキュリティを向上させるためにハードウェアとソフトウェアの基本的な設計の見直しを行った研究の成果です。この技術は実験用プロセッサで既に実証されており、当社はセキュア・バイ・デザイン製品を実現する業界初の商用製品としてこれを提供します。
企業の重要データを窃取しようとするサイバー攻撃に対抗するには、何が必要だろうか。防御策の一つが暗号化だ。データが暗号化されており、犯罪者がそれを復号できないのなら、データを盗まれたとしても損害は少ないからだ。では、データの暗号化にはどのような計画が必要なのだろうか。 サイバー攻撃による情報漏えいが止まらない。ランサムウェアは暗号化を前提としない“恐喝”にシフトしており、情報の窃取と暴露のリスクがますます大きくなっている。 脅威を完全に食い止めることが困難な今、“データそのものを守る”という基本に立ち返り、漏えいしたとしても情報が犯罪者の手に渡らない方策が必要だ。そこで暗号化技術による情報漏えい対策を推奨するのがタレスDISジャパン(以下、タレス)だ。同社が提唱する「データセキュリティ」の詳細を聞いた。 データ保護は企業にとって急務 暗号化でよくある“誤解”とは? タレスの舟木康浩氏(クラウ
2023年10月30日 株式会社Doctor Web Pacific 2023年9月初旬、Doctor Webは Android.Pandora.2 に関する調査結果を公表しました。 Android.Pandora.2 は感染させたデバイスでボットネットを形成し、脅威アクターのコマンドに従ってDDoS攻撃を実行する機能を備えたバックドアです。9月中旬には、 Android.Spy.Lydia ファミリーに属する悪意のあるプログラムについて注意を喚起する記事を掲載しました。これらは多機能なスパイウェア型トロイの木馬で、オンライン取引の金融プラットフォームを装いイランのユーザーを標的にしています。攻撃者のコマンドに従って、さまざまな悪意のある動作(SMSを傍受・送信する、ユーザーの電話帳に登録された連絡先に関する情報を収集する、クリップボードの内容をハイジャックする、フィッシングサイトを開くな
マルバタイジングは、サイバー犯罪者が広告を利用してデバイスをマルウェアに感染させる行為をさす言葉です。 オンラインで目にする広告は多くの人の目に留まりますので、大きな効果を発揮します。 記憶に新しいところでは、「Punycodeでマルバタイジング」や「Bing Chatの会話でマルウェアを拡散」がありました。 通常これまでこういったマルバタイジングは、脅威アクターが仕掛けを用意して、その仕掛けに誘い込むための広告を出す、という構図を取っていました。 このように文字にすると今回の話も同じといえば同じなのですが、少し構図が異なります。 こんな風に進みました。 普通のWebコンテンツが公開される 悪意のない人による、悪意のないコンテンツで構成される、普通のWebコンテンツが作成されて公開されます。 運用の問題を悪用される その普通のWebコンテンツの運用になにか問題があったのでしょう、そのサイト
また新たなワイパー型マルウェアが観測されています。 名前はBiBi-Linux Wiperです。 どういった内容でしょうか。 活動内容 破壊活動が目的です。 Linux環境の破壊を行います。 難読化 難読化は行われていません。 C/C++で記述されてgccでコンパイルされたx64のELF実行可能ファイルです。 パッキングやその他の保護手段も施されていません。 静的解析を実行すれば処理内容が確認できます。 それどころか実行すると標準出力に処理内容に関連する情報が次々に出力されます。 プロセスの継続動作の機構 実行された後継続動作が可能なように、nohupコマンド経由で実行されます。 これにより、マルウェアが起動されたshellなどのプロセスが終了する場合にでも、マルウェアは終了することなく動作し続けます。 またそれと同時に、マルウェアが出力する文字列も端末に出力されるのではなく、ファイルに出
Appleが複数のインド野党政治家に対し、国家の支援を受けた悪意ある攻撃者によってiPhoneが狙われているとの自動メッセージを送っていたことが明らかになりました。 ■3行で分かる、この記事のポイント 1. 国家によるハッキング警告がインド野党政治家のiPhoneに届いた。 2. Appleが2021年より導入した通知機能で、今回の攻撃にはモディ政権の関連が疑われている。 3. Appleは警告について言及したものの、政権による攻撃の事実を肯定も否定もしなかった。 モディ政権の関連が疑われている 国家支援型のハッキングを警告する機能は2021年に導入されたもので、今回受け取った議員の一人はX(旧Twitter)で、実際にAppleから送られてきたとされるメッセージを公開しています。 Was notified by Apple late last night that my iPhone l
セキュリティ企業CertiKの報告によれば、10月のWeb3関連の盗難被害額は今年最低となった。CertiKが確認したハッキング、不正流出、詐欺によるインシデントは38件で、被害額は3220万ドルに上った。単一の事件による損失は700万ドルを超えることはなかった。 今年10月までの累計14億ドルに比べて、10月の損失は月間平均の約4分の1だった。二番目に損失が少なかったのは1月で、その時の損失は3370万ドルだった。10月の統計は、損失が着実に減少している結果ではなく、むしろその月に大きな事件がなかったことを示している。10月の38件という数も件数的には最低だった。 10月の主要なWeb3インシデント Source: CertiKAlert X accountCertiKの第3四半期報告書によれば、7月のインシデント件数は79件で、8月には66件、9月には39件に減少した。ただし、10月に
Appleが、政府と対立する立場にあるインドの政治家らが所有するiPhoneに、国家主導の攻撃が試みられていると警告する通知を送ったことがわかりました。これを受けて、野党連合はインド政府をスパイ容疑で非難しましたが、インド与党は嫌疑を否定しました。 Indian opposition MPs accuse government of trying to hack their iPhones https://www.ft.com/content/2f23e923-ca42-4c6f-9980-2314e66ab0bb Apple warns Indian opposition leaders of state-sponsored iPhone attacks | TechCrunch https://techcrunch.com/2023/10/30/indian-opposition-le
秋のブログ週間2023 の4本目です。 こんにちは。金融グループ所属、新卒2年目の斎藤大樹です。 社会人になってから勉強する時間をなかなか取れていないなと思い、暗号の基礎と、暗号の進化の歴史を勉強してみました。 暗号をテーマに選んだ理由は、先日プロジェクト内の定期勉強会で先輩社員の方が暗号・認証についてお話してくれたのが興味深かったからです。 書籍の紹介今回の勉強のお供は「Pythonでいかにして暗号を破るか」というソシム社出版の本です。 内容はどちらかというと古典暗号よりですが、暗号の基礎と歴史を学ぶにはもってこいです。 暗号だけでなく、Pythonの解説も豊富で、ソースコードも章が進むごとにレベルアップしていく構成になっているので、Pythonの初学者の方にもおすすめの一冊です。 暗号とは何か本書によれば、暗号を構成する要素は「アルゴリズム」と「暗号鍵」の2つです。 暗号文は受信者が平
三菱UFJ銀行をかたり、フィッシングサイトへ誘導するショートメッセージ (SMS) の報告を受けています。 2023/10/30 17:00 時点では、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので、引き続きご注意ください。 このようなフィッシングサイトにて、店番、口座番号、ご契約番号、ログインパスワード、お名前、携帯電話番号、Eメールアドレス、生年月日、設定用番号、ワンタイムパスワード等を、絶対に入力しないよう、ご注意ください。 フィッシングサイトは本物のサイトの画面をコピーして作成することが多く、見分けることは非常に困難です。 日頃からサービスへログインする際は、メールや SMS 内のリンクではなく、いつも利用しているスマートフォンの公式アプリやブラウザーのブックマークなどからアクセス
私たちはこれまで、サイバーセキュリティ上のリスクについてよく記事を書いており、アカウントがハッキングされた場合や携帯電話が盗まれたりした場合の対処法について、さまざまなアドバイスをしてきました。この記事では、より複雑な状況を取り上げます。誰かがあなたをハッキングしたり、欺こうとしていて、問題の深刻さが不明な場合です。たとえば、次のようなシナリオが挙げられます。 メールまたはWeb広告のリンクをクリックした直後、ふとそのリンクを不信に思った。 Microsoftの社員を名乗る人物が、パソコンのウイルスを駆除すると言って電話をかけてきた。 間違った請求書を受け取ったのでカスタマーサポートに連絡したところ、問題を解決して過払いを避けるためのリンクが送られてきた。 ハッキングの被害に遭わないためにどうすればよいでしょうか? これ以上情報を明かさない これは、迷うことなく実践できる最も基本的なルール
あなたの持ち物の中で、個人情報を最も積極的に収集しているのは何だと思いますか? 答えは「自動車」です。Mozilla Foundationの専門家によると、Privacy Not Includedプロジェクトが調査したスマートウォッチ、スマートスピーカー、監視カメラなどのガジェットは、現代の自動車が収集するデータの量には遠く及びません。このプロジェクトでは、デバイスが所有者の個人データをどのように使用するのかを理解するために、専門家がユーザー契約やプライバシーポリシーを調査しました。 プロジェクト史上初めて、レビュー対象となった自動車ブランドすべて(25社中25社)が、容認できないほど広範な個人情報を収集していること、その用途に関する透明性が欠如していること、データ送信の記録や保管方法が不十分であること(暗号化が使用されているかどうかが不明であるなど)を理由に「レッドカード」を受け取ってい
漏えいした可能性があるのは、社員やグループ社員、退職者などの氏名、社員番号、所属していた社名、部署、役職名、メールアドレス、ハッシュ化されたパスワード。取材に関連する情報は含まれておらず、漏えいした可能性がある情報の悪用も同日時点では確認していないという。個人情報保護委員会への報告はすでに済ませた。 共同通信は7月22日にサーバの不審な動作を検知しており、外部の専門業者と協力の上、詳細を調査していたという。調査の結果、個人情報が漏えいした明確な証拠は見つからなかったものの、逆に漏えいの可能性を完全に否定することもできないことから、今回の発表に至ったとしている。 関連記事 東京海上日動、メール1300件超が漏えいの可能性 富士通の法人向けネットワークで起きた不正通信で 東京海上日動火災保険と東京海上日動あんしん生命保険が、メール1300件以上が外部に漏えいした可能性があると発表した。原因は富
ハニーポット(仮) 観測記録 2023/10/28分です。 特徴 共通 zgrabによるスキャン行為 /.envへのスキャン行為 WordPress Pluginへのスキャン行為 phpMyAdminへのスキャン行為 Location:JP CensysInspectによるスキャン行為 curlによるスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 configファイルへのスキャン行為 5.188.210.227に関する不正通信 Gh0stRATのような動き を確認しました。 Location:US D-link製品の脆弱性を狙うアクセス GPONルータの脆弱性を狙うアクセス PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス CensysInspectによる
ハニーポット(仮) 観測記録 2023/10/27分です。 特徴 共通 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP Spring Bootの脆弱性を狙うアクセス Fuzz Faster U Foolによるスキャン行為 Odinによるスキャン行為 curlによるスキャン行為 fasthttpによるスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 configファイルへのスキャン行為 を確認しました。 Location:US Spring Bootの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス CensysInspectによるスキャン行為 WordPress Pluginへのスキャン行為 configファイルへのスキャン行為 phpMyAdminへのスキャン行為 を
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
iPhone全モデルと2020年以降のMacを対象とした「iLeakage」と呼ばれるサイドチャネル攻撃の手法が、ジョージア工科大学の研究チームによって発見された。iLeakageは、CPU性能の向上を図る「投機的実行」を悪用する攻撃で、攻撃手順は、ウェブサイトに悪意あるコードを組み込み、ウェブサイトにアクセスしたユーザーの行動を追跡して情報を盗み取るというもの(iLeakage、Help Net Security、GIGAZINE)。 この攻撃手法を悪用するウェブサイトにアクセスすると、ウェブサービスのパスワードやメール情報などが盗まれる可能性がある。研究チームは2022年9月12日にiLeakageの存在をAppleに報告ずみとしているが、具体的な対策はおこなわれていないようだ。緩和策としてはロックダウンモードに切り替えるか、ブラウザーでJavaScriptを無効にするなどの手段がある
Googleは10月31日(現地時間)、デスクトップ版Chromeブラウザの最新版「Chrome 119」をリリースしました (Chrome Releases、Chrome Developers)。 Chrome 119.0.6045.105(LinuxとMac)、119.0.6045.105/.106(Windows)では、深刻度Highの脆弱性3件を含む合計15件の脆弱性が修正されています。セキュリティ関連の修正の詳細はChromium Security Pageで確認可能です。 Chrome 119ではCookieの有効期限が400日までに制限されます。Chrome 104以降は、新しく作成されたクッキーや有効期限付きで更新されたクッキーは、期限が400日までに制限されていますが、今後は既存のCookieにも適用されます。Chrome 119以降のバージョンが初めて起動した際に制限が
国税庁が提供する e-Taxソフトには、同製品が内包する XML パーサの実装方法に起因した XML 外部実体参照 (XXE) に関する脆弱性が存在します。
クラウド環境のセキュリティを高める際に考慮しなければならない課題、そしてセキュリティ強化のための施策について解説しています。クラウド環境のセキュリティに不安を感じている管理者、開発者の方にお読みいただきたい内容です。 クラウドセキュリティとは クラウドセキュリティとは、クラウド環境で発生するセキュリティリスクへの対策のことです。クラウドセキュリティを講じないことで、データが盗まれたり、システムを悪意ある第三者に乗っ取られたりする可能性があります。 近年は自社内にサーバを設置せず、クラウドサービスを使用する企業が増加しているため、クラウドセキュリティの重要性が高まっています。 クラウドのセキュリティレベル クラウドはインターネット経由でサービスを使用するため、自社のサーバにデータを保管するオンプレミスよりもセキュリティレベルを不安視する意見がありました。 しかし、ここ数年でクラウドサービス利
産総研らは、計算資源ABCIを用いて世界トップレベルの生成AIの開発を開始しました。日本の産業競争力強化や社会課題解決に資する成果を創出します。 このAIニュースのポイント 産総研らは、計算資源ABCIを活用して、世界トップレベルの生成AIの開発を開始した 開発の第一歩として、LLM-jpは従来の国産LLMの10倍の規模を持つ1750億個のパラメタ数を持つ、日本語に強いLLMの構築に着手 構築される国産LLMは、ABCI以外の計算資源も活用してモデルを完成させ、LLM-jpを通じて公開される予定 国立情報学研究所(NII)らが主宰する勉強会LLM-jpと、国立研究開発法人産業技術総合研究所、国立大学法人 東京工業大学は、2023年10月17日に世界トップレベルのLLMの構築と開発を開始したと発表しました。産総研はLLM構築に必要な計算資源、AI橋渡しクラウド(ABCI)を提供します。 産総
「サワイなら安心だ、と思っていた患者さんや医療機関の期待を裏切ってしまったことに、心からお詫びを申し上げる」 10月23日の午後、急きょ開催された記者会見。後発医薬品メーカー最大手、沢井製薬の澤井光郎会長は沈痛な面持ちで頭を下げた。 沢井製薬は同日、胃薬「テプレノンカプセル50mg『サワイ』」で、品質試験における不正が2015年から継続的に行われていたことを明らかにした。 後発薬業界では2020年以降、品質不正が続々と発覚し、製品の自主回収が相次いでいる。業界大手だった日医工や、中堅の小林化工が業務停止命令を受けた影響で製品の流通に混乱が生じ、3年経った現在も供給不安が続く。そんなさなかで判明した最大手の不正に、業界関係者は「さらなる混乱につながるのでは」と不安をあらわにする。 品質試験で「溶けない薬」が検出 沢井製薬はこの日、外部の専門家や弁護士らで構成する特別調査委員会がまとめた調査報
Learn how to create a "Save for Later" list in Notion to keep track of everything you want to come back to later. Readers like you help support MUO. When you make a purchase using links on our site, we may earn an affiliate commission. Read More. We're all quite familiar with this scenario: you Google something, hop from one page to another, and eventually find yourself engrossed in a random blog
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く