ボンフォームオンラインストア
本お知らせは、2026年1月16日に公表した前回のお知らせの続報です。 お客様各位 このたび、弊社が運営する「ボンフォームオンラインストア」におきまして、第三者による不正アクセスを受け、お客様の個人情報(735件)および、クレジットカード情報(対象件数3,463件、対象者数3,268件)が漏洩した可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 なお、個人情報が漏洩した可能性のあるお客様には、本日より、書状にてお詫びとお知らせを個別にご連絡申し上げております。 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。 1.経緯 2026年1月
徳丸浩氏が見守る中、「攻撃者のロジック」をCTF形式で体感しました!! - コドモン Product Team Blog
こんにちは!プロダクト開発部の塚原です。 3月27日、開発チームで CTF形式のイベント「社内SECCON」 を開催しました。この記事では、企画の背景から当日の様子、振り返りまでをレポートします。 企画の背景:なぜ「攻撃者の視点」を学ぶのか コドモンのプロダクトは、保育施設に通う子どもたちの記録や健康情報、保護者とのやり取りといった、生活に密着した大切なデータを預かっています 。私たちはこれらを単なるデータではなく、社会インフラを支える基盤であると捉え、日々開発に向き合っています。 セキュリティはこの基盤を維持するための「土台」です 。問題が起きてから対処するのではなく、日頃の実装やレビューにおいて「攻撃者の視点」を持ち、未然に防ぐ体制を強化したい 。そのような思いから、今回のイベントを企画しました。 今回のゴールの中心は、以下の2点です 。 攻撃者のロジックを理解すること 「明日からここ
Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート
※2026/03/25(水)「GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド」を追加で公開しています。 注意: 本レポートは 2026年3月22日 23:00 JST(14:00 UTC)時点の情報に基づく。本インシデントは調査が続いており、情報が更新される可能性がある。最新の状況は Aqua Security の公式アドバイザリ(https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23 )を参照されたい。 1. Trivy サプライチェーン攻撃(第2波・3/19発生)調査結果 2026年3月19日、Trivy に対する2回目のサプライチェーン攻撃が発生した。本攻撃は2026年2月28日の初回攻撃で窃取されたクレデンシ
HTTPS 証明書クロニクル | blog.jxck.io
Intro Web サービスをデプロイする際に、CA から証明書を取得し HTTPS で暗号化するのが一般的となった。 かつては "SSL 証明書" として、メールでやり取りし有料で購入するのが常識だったが、自動/無料で取得することが増えた。かつては 5~10 年あった有効期限もどんどん短くなり、今では 6 日の証明書も発行されている。 このように、証明書を取り巻く変遷は目覚ましく、それは Web を取り巻く環境の劇的な変化を色濃く反映した結果と言える。 http:// が https:// になった裏で何が起こり、これからどうなっていくのか。まとめていく。 (極力ソースを付記するが、既に消えて WebArchive にも残っていないものも多く、筆者の記憶に頼る情報も多い。) 黎明期 (90 年代後半~2010 年頃) 90 年代の終わり頃、当時は TLS の前身にあたる SSL のデプロ
公衆WiFiでのMITMの脅威について、HTTPSなら心配不要というのはわかるのですが、汎用的なブラウザではなく専用のモバイルアプリの場合、HTTPSの検証結果を無視するものが一定割合あるという調査結果を見た記憶があります。 そのようなアプリに対してDoH/DoTは対策になりますか? | mond
DNSの完全性を確保しても、公衆Wi-FIの偽アクセスポイント(Evil Twin)を用いたMITM攻撃の緩和はできないです。その理由は、DNSの操作をしなくてもMITM攻撃はできるからです。 私の以前のブログ記事が参考になると思います。 https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html HTTPSを使ってもCookieの改変は防げないことを実験で試してみた寺田さんのブログエントリ「 他人のCookieを操作する 」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えるこ... blog.tokumaru.org
「足、口、目が動き始めた」サッカー試合中にボールが空飛ぶカモメに直撃 選手の“心臓マッサージ”で奇跡の回復 トルコ - ライブドアニュース
トルコ・イスタンブールでサッカーの試合中、ボールが空を飛んでいたカモメに直撃する珍しい瞬間がカメラに捉えられた。会場が騒然となる中、選手の1人がすぐに駆け寄り、救助活動を開始。心肺蘇生など迅速な対応を行ったことでカモメは回復し、医療チームへ引き渡された。 試合中ボールがカモメに直撃する不運トルコ・イスタンブールで2月に行われたサッカーの試合中に撮影されたのは、ゴールキーパーが蹴ったボールがカモメに直撃した瞬間だった。 不運な事態が起きたのは、試合開始から30分頃だった。 ゴールキーパーが勢いよくボールを蹴りだすと、カモメに命中してしまった。 とても珍しい瞬間だった。 実況席も驚き、「カモメに(ボールを)当ててしまいました!」と伝えていた。 選手がカモメに救助活動…徐々に回復そんな中、1人の選手が即座にカモメのもとへ向かった。 実況が伝えていたのは「現在カモメには心臓マッサージが行われていま
楽天モバイル回線の不正契約サイト運営容疑、男2人逮捕…500万件の楽天IDとPW入手し不正接続か
【読売新聞】 携帯大手「楽天モバイル」の通信回線を不正契約するためのウェブサイトを運営したなどとして、警視庁が、東京都練馬区の無職の男(19)ら2人を電子計算機使用詐欺ほう助などの容疑で逮捕したことがわかった。サイト登録者は100人
「不満と復讐心」勤務先に強制シャットダウンのプログラム仕込む、元IT会社員を逮捕
勤務先のファイルサーバーに強制的にシャットダウンさせるプログラムを組み込むなどしたとして、大阪府警サイバー犯罪捜査課は5日、偽計業務妨害容疑などで滋賀県長浜市の元IT会社社員の男(38)を逮捕したと発表した。容疑を認め「社長に対する不満と復讐(ふくしゅう)心からやった。社員のセキュリティー意識の低さを知らしめたかった」と供述しているという。 逮捕容疑は昨年8月、大阪市内のIT会社のファイルサーバーに、ランサムウエア(身代金要求型ウイルス)に感染したと誤信させる偽の警告画面を表示させたり、起動から3時間後に自動でシャットダウンするプログラムを組み込んだりして業務を妨害したとしている。 同課によると、男は当時、この会社のシステム担当者で、後に自主的に退職していた。会社は業務を停止して原因調査などを余儀なくされ、データ復旧の委託料などで少なくとも約2千万円の被害が生じたという。自身の業務用パソコ
claude-cycles.dvi
Claude’s Cycles Don Knuth, Stanford Computer Science Department (28 February 2026; revised 06 March 2026) Shock! Shock! I learned yesterday that an open problem I’d been working on for several weeks had just been solved by Claude Opus 4.6—Anthropic’s hybrid reasoning model that had been released three weeks earlier! It seems that I’ll have to revise my opinions about “generative AI” one of these d
徳丸本を学生4名で輪講した所感 - SevenAtOneDebug
経緯 脆弱性診断やバグバウンティを始めたいです.そのためには,脆弱性の発生原理を知ることが先決でしょう.Webセキュリティに関する王道的な教科書というと徳丸本ですが,ページ数も演習量も多いため,できれば輪講形式で進めたいです.そこで,この話をt_hに持ち掛けてみたところ割と乗り気だったので,ページ割りを組んで,さっそく開始することにしました. 開催形態 人数 本輪講の参加者はHoriK,t_h,YoshidaLTI氏,yamamoto-23氏の4名です.いずれもセキュリティとネットワークに関して多少の前提知識を持っています.HoriKやt_hは研究周りでWebセキュリティ技術を学習しています.YoshidaLTI氏は熱心なWebアプリケーションの開発者です.yamamoto-23氏は最近とあるWebアプリケーションの管理者となりました. 形式 発表者は,ホワイトボードを用いて担当範囲の内容
PRを送るだけでリポジトリを「乗っ取れる」?GitHub Actionsの危ない書き方を実際に検証してみた (hackerbot-claw)
こんにちは!エーアイセキュリティラボのはるぷです。 2026年2月下旬、オープンソース界隈を揺るがす自動攻撃キャンペーンが実施されました。ターゲットとなったのは、誰もが名前を知るような大手企業のプロジェクトを含む主要なリポジトリ群。攻撃の主導者は 「hackerbot-claw」 と呼ばれる、AI(Claude-Opus-4.5)を搭載した自律型セキュリティ調査エージェントです。 このボットはわずか1週間で、7つのターゲットのうち少なくとも4つでリモートコード実行(RCE)に成功し、書き込み権限を持つGitHubトークンを外部へ流出させました。 このStepSecurityの解析レポートを読み、私は自分のテスト用リポジトリ(private)で、攻撃手法を実際に再現・検証しどの程度簡単にできてしまうのかを調べてみました。 脆弱性の仕組みとリスクが大きくなる条件 実際にGitHub上で、多くの
マンガン電池「劣化ゼロ」の衝撃──東北大が量子力学で解いた30年の難問|情報の灯台
リチウムイオン電池からコバルトを追放する。その夢に、東北大学が物理学の深淵から答えを引き上げた。 500回充放電しても、劣化しない東北大学 材料科学高等研究所(WPI-AIMR)の研究チームが、安価なマンガンを主体とした正極材料で驚異的な成果を達成した。500回の充放電サイクル後も容量低下ゼロ ──これがその数字だ。2026年2月11日、米国化学会誌『Journal of the American Chemical Society(JACS)』に掲載された論文がその全貌を明らかにしている。 「ゼロ」という数字の重みを理解するには、少し前提が要る。マンガンを使った正極は数十年前から研究されてきたが、充放電を繰り返すと急速に容量が落ちる。数十サイクルで使い物にならなくなるものも珍しくなかった。それが500回でゼロ。桁が違う、というより次元が違う。 この成果を支えたのが「界面軌道工学」(inte
サイバーセキュリティインシデントに関するお知らせ | ニュース&イベント (2026)|株式会社アドバンテスト
株式会社アドバンテスト(本社:東京都千代田区、代表取締役 Group CEO:Douglas Lefever、以下「当社」)は、当社ネットワーク内の一部システムに影響を及ぼした可能性のある、ランサムウェアを伴うサイバーセキュリティインシデントが発生したことをお知らせいたします。なお、現在も本件に関する調査は継続しており、新たな事実が確認され、また、事実関係に変化が生じた場合には、本報告の内容に変更が生じることにご留意ください。 当社は、2026年2月15日(日本時間)、当社IT環境内において異常な動きを検知しました。直ちに社内の危機管理体制を立ち上げ、影響を受けたシステムを隔離するとともに、調査および被害拡大防止を進めるため、外部の主要なサイバーセキュリティ専門機関と連携を開始しました。 現時点における暫定的な調査の結果、権限のない第三者が当社ネットワークの一部に不正アクセスし、ランサムウ
当サイトのシステム障害および一部サービス停止に関するお詫びとご報告 - アジア学院
平素は本校の活動にご理解とご協力を賜り、誠にありがとうございます。 この度、本校が運用する一部のWebサーバーにおいて、外部からの不正なアクセス(システム脆弱性を突いたマルウェア感染)が検知されました。 これに伴い、安全確保を最優先として当該サーバーを緊急停止いたしました。ご利用の皆様には多大なるご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。 現在の状況および今後の対応について、以下の通りご報告いたします。 1. 発生した事象と経緯 2026年1月27日、Webサイトの運用システム(CI/CDツール)に内在する脆弱性を悪用した不正な挙動を確認いたしました。 直ちに当該サーバーのネットワークを遮断し、詳細な調査を行いました。 2. 影響範囲と個人情報の安全性について 本件による影響で、以下のサイトへのアクセスができない状態となっておりました。 キャンペーン特設サイト(※1月
X-Frame-Optionsが非推奨だよって言われたから調べたらそんなことなかった - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 調べた経緯 先日、とあるウェブサイトの脆弱性診断の結果を読んだ際に「X-Frame-Optionsは非推奨になっています。CSP frame-ancestoresの利用を検討していください。」と言われました。対応しないと思っていた中で一応MDNのページを調べてみたところ、X-Frame-Optionsに非推奨の項目が見つからず、戸惑ったのが調べた経緯になります。 ※2026/2/15日時点 X-Frame-Optionsとは? iframe によって別のサイトに埋め込みを可能にするかを設定するHTTPのレスポンスヘッダーです。昔からある
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3月の証券口座乗っ取り被害額302億円に拡大、昨年8月来の水準-金融庁 - Bloomberg
トランプ氏、イラン攻撃問われ真珠湾攻撃に言及「奇襲について日本ほどよく知っている国があるか」…高市首相との会談で
カレールウの箱の裏に書いてある通りに作ったカレーを食べてみてほしい「カスタムする前にノーマルを極めましょうと」「指示通り作ったら薄いよね?」
楽天モバイルeSIMの不正契約容疑で2人逮捕 1千回線契約か:朝日新聞
XSS攻撃の温床「innerHTML」はもう終わり、「Firefox 148」に「setHTML()」が導入/入力を自動でサニタイズしてくれる「Sanitizer API」が実装
