合格率も高く,ITSSのスキルレベルもITパスポート同等のものであるため,比較的とっつきやすい試験だと感じております. なぜ受けるべきか 「知識をつけたいなら参考書を読むだけで十分」「資格試験は取るだけでは実務に活かせる部分が少なく意味がない」等々,色々な意見があるのは重々承知していますし,どれも間違いではないと思います. ですが,「学習を進め,知識の習得率を測るために試験合格をゴールとする」ことは大変有意義なことだと私個人は思います.その理由を以下に2点述べたいと思います. セキュリティの体系的な知識は知ろうとしないと身につかない まず大前提ですが,受け身で学習していても部分的な知識しか身につきません. 受け身でいる場合,ニュースで見るようなセキュリティ事故やSNSで閲覧する表層的な知識くらい得ることができません.情報収集がしやすい反面,体系的に学ぶことができないのが欠点です. これは,
当社社員が作成協力した「セキュリティ対応組織の教科書 第3.2版」が公開されました | NTTデータ先端技術株式会社
ISOG-J(日本セキュリティオペレーション事業者協議会)より、当社セキュリティ&テクノロジーコンサルティング事業本部の河島 君知、藤原 稔也が作成協力している「セキュリティ対応組織の教科書 第3.2版」が公開されました。 「セキュリティ対応組織の教科書」は、日本のセキュリティオペレーション事業従事者たちがまとめた組織構築・運用ノウハウと国際勧告ITU-T X.1060を統合し、グローバルにも適用できるセキュリティ体制構築・運用・評価のフレームワークを提供しています。 今回公開される第3.2版では、64のサービスの着手事例が新たに紹介されています。これらの事例は、実際の運用に基づいた具体的なアプローチを示しており、セキュリティ対応組織が参考にできる貴重な情報が提供されています。また、セキュリティ対応組織の教科書 第2.1版からセルフアセスメントシートが刷新され、より実践的で具体的な評価が可
ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした 国立遺伝学研究所でセキュリティ珍事
国立遺伝学研究所 生命情報・DDBJセンターは10月22日、ハッカー集団から「データを窃取した」「データの5%を公開し、1万ドルを支払わなければ残りの95%も公開する」とする脅しをX上で受けたと発表した。しかし、肝心のデータはもともと誰でも無料でダウンロードできるもので「脅迫は無意味」(生命情報・DDBJセンター)という。 脅迫を確認したのは8日深夜。「CyberVolk」(サイバーフォルク)と名乗る国際ハッカー集団から、塩基配列のデータベース「DDBJ」の情報を窃取したと脅されたという。生命情報・DDBJセンターは事態を受け詳細を調べたが、22日時点ではシステムへの不正侵入や改ざんの形跡はなかった。 DDBJは、研究者から投稿された DNAおよびRNAの塩基配列データを収集・注釈付けし、無料で公開するプラットフォームだ。ハッカー集団が窃取したと主張するデータも、誰でも無料でダウンロードで
KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付(TOB)を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円におよぶという。 KDDIとラックは2007年に資本提携し、新サービスの共同開発や、クラウド・IoT領域への拡大など、数多くの協業案件を通じてサイバーセキュリティーソリューションを提供してきたという。KDDIは「本取引を通じて、ラックのサイバーセキュリティーに関する豊富な知見と、KDDIのネットワークサービスなどの経営資源を集約し、お客さまに最適なソリューションを提供できる体制を構築していく」としている。 公開買付は11月下旬を予定。買付が成立した場合、一連の手続きを経て上場廃止を見込む。これに先駆け、ラックが設置した特別委員会による答申を受け、24年11月7日開催のラックの取締役会において、TOBに賛同するとともに、
中国やロシア、北朝鮮などの国々のハッカーが世界各地を標的としたサイバー攻撃を行っているとのニュースが連日報道されており、IT企業やセキュリティベンダーはその戦いの最前線に立っています。2024年10月31日に、セキュリティ企業のSophosが、中国を拠点とする複数の脅威アクターに対応してきた2018年から2023年までの活動の記録を公開しました。 Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns – Sophos News https://news.sophos.com/en-us/2024/10/31/pacific-rim-timeline/ Pacific Rim: Inside the Counter-Offensive—The TTPs Use
こんにちは。エンジニアの @wa6sn です。開発組織を横断した課題を解決する Platform Unit というところに所属し、色々をやっています。 主にエンジニアとして新しく入社された方へ、オンボーディングの一環で「プロダクトセキュリティ」という講義を行っています。その資料を公開します。 speakerdeck.com なぜ、資料を公開するのか 弊社では、エンジニアバリューの一つに 「知見を贈り合う」 というものを掲げています。この資料を作成するにあたり、私も日経新聞社様のものや、MIXI 様のものをはじめ、たくさんの文献を参考にさせていただきました。公開版ゆえカットした部分がそれなりにあるものの、今回の資料が何らかの形で他の誰かの役に立てば良いなと思い、公開することとしました。 新卒エンジニア研修2023(セキュリティ)- 日本経済新聞社 セキュリティ研修【MIXI 23新卒技術研修
Request Header で Next-Action を送信してる curl で再現するとこんな感じの POST 通信 curl 'https://nextclicker.nanabit.dev/' \ -H 'Content-Type: text/plain;charset=UTF-8' \ -H 'Cookie: ...' \ -H 'Next-Action: 6eb8416051487420c0347306825a392adf55f29e' \ --data-raw '[1]' 手動でリクエストを試してみる --data-raw '[9999]' の数値をいじると、 1 クリックで上がる 数値を変更可能なことが分かった curl 'https://nextclicker.nanabit.dev/' \ -H 'Content-Type: text/plain;charset=UT
はじめに ブリーチングは、強引にドアや窓を突破する手法です。 鍵開けは職人的な技術を要するため、関心を持たれやすい傾向にあります。一方、破壊的なアプローチについては、専用の道具さえあればできると思われることが多く、比較的関心を引きにくい傾向にあります。 確かに鍵開けはスキルや経験が必要ですが、破壊的アプローチがそれらを全く必要としないわけではありません。解説を読めばわかるように、効率的にブリーチングするには、従来の物理的セキュリティ(錠前やホームセキュリティ)の知識が不可欠です。 本記事をきっかけに、破壊的アプローチへの理解が深まることを願っています。 今回はブリーチングの入門編ですが、1本の記事で約1万8千文字にもわたっており、セキュリティ初学者にとっては十分すぎる内容になっているはずです。 ブリーチングの世界をお楽しみください。 本テーマを選んだ経緯 ブリーチングには以前から関心があり
[アップデート] セキュリティグループを別の VPC で使えるようになりました | DevelopersIO
いわさです。 今朝の AWS API のアップデートみましたか。これ。 セキュリティグループを VPC に関連付け出来るようになったらしいのです。 どういうことだろう。VPC 内で共通で適用されるセキュリティグループが登場したのか?と思ったのですが、どうやら別の VPC 内でセキュリティグループを使えるようにするアップデートのようです。 What's New アナウンスも出ていました! これは驚きですね。 これまではセキュリティグループは VPC に関連付けして作成し、その VPC 内の EC2 や ENI にアタッチする形でした。 異なる VPC 間のセキュリティグループで ID の参照は出来ましたが、インスタンスやネットワークインターフェースへのアタッチは出来ませんでした。 そのため、同じセキュリティグループを別の VPC で使いたい場合は、例えば次のような方法でコピーする必要がありま
![[アップデート] セキュリティグループを別の VPC で使えるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/4dc8834472389a8411d6a2f3e9132d0c9aee24e2/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-50706ca4b3af64b50895745fa3ba1180%2F47af3f43efd69adb20976f201c9c3366%2Famazon-vpc)
PIXIV DEV MEETUP 2024当日の夕方にAquaステージ側におられた方は、「枕詞」についての語りから突然ボルテージ高くコールアンドレスポンスがはじまり、早口トークののちコールアンドレスポンスとともにドラが鳴るという発表を見た方も多くいらっしゃると思います。きっと言葉では言い表せないLT体験みたいなものを感じたのではないでしょうか。 申し遅れました。経営企画本部 経営企画補佐を務めております*1エンジニア職bashと申します。 ぜひこちらのじっくりとスライドを再読いただき、ポップな話に隠されたテック業界への問題提起とその解決について読み取っていただけるとうれしいです。 スライド この発表の経緯 世の中一般として「セキュリティチェックリスト」については大変だとか、記入を自動化できないかとか、そういう話題が多くあることにひっそりと心を痛めていました。 そこで私がセキュリティチェック
【セキュリティ ニュース】QNAP製NAS向けの複数ツールに深刻な脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
QNAP SystemsのNAS製品向けに提供されているファイル共有やバックアップツールに深刻な脆弱性が明らかとなった。 2件の脆弱性「CVE-2024-50387」「CVE-2024-50388」について、10月29日、30日にアドバイザリを公表したもの。いずれもバグバウンティコンテスト「Pwn2Own 2024」で報告を受けたという。 「CVE-2024-50387」は、ファイルやプリンタの共有に用いられる「SMB Service」に明らかとなった脆弱性で、同社は「同4.15.002」および「同h4.15.002」にて修正した。 またバックアップ機能を提供するアプリ「HBS 3 Hybrid Backup Sync」に「CVE-2024-50388」が判明。「同25.1.1.673」以降で解消されている。 いずれもアドバイザリで脆弱性の具体的な影響について言及していないが、重要度を4段
Ruby on Rails、今後は6カ月ごとに新機能を含む新バージョンが登場、セキュリティ修正はリリース後2年間提供。新しいメンテナンスポリシー発表
Ruby on Rails、今後は6カ月ごとに新機能を含む新バージョンが登場、セキュリティ修正はリリース後2年間提供。新しいメンテナンスポリシー発表 Ruby on Rails(以下、Rails)の開発チームは、今後6カ月ごとに新機能を含む新バージョンをリリースし、2年間のセキュリティ修正を提供するなどの新しいメンテナンスポリシーを発表しました。 New Rails maintenance policy and end of maintenance announcements https://t.co/c3TPIMOgiV — Ruby on Rails (@rails) October 15, 2024 不定期だったこれまでのRailsのリリース Railsはこれまで、不定期にバージョンアップが行われてきました。 例えば現在最新のRails 7.2は今年(2024年)8月にリリースされ、
Ed Bott (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-11-13 07:00 自宅やオフィスをサイバー攻撃から守る方法について助言を求めているなら、最初に話を聞く相手は、米政府機関のためにセキュリティ対策を日々実践している人々が良い。 米国立標準技術研究所(NIST)の職員たちが、「Cybersecurity Basics」(サイバーセキュリティの基本)というシンプルなページを作成した。これは、4巻からなる「Digital Identity Guidelines」(デジタルIDガイドライン)の技術情報を、中小企業のオーナーやマネージャー向けに一連の簡潔なガイドラインとしてまとめたものだ。 (レポート全文を読んでみたいという場合は、付録Aの「Passwords」セクションでIT担当者やサービスプロバイダー向けの有益なアドバイスが見つかるだ
NICTサイバーセキュリティ研究所長 井上大介が考える 日本の「セキュリティ自給率」向上を生む好循環 | ScanNetSecurity
なぜか、国産のセキュリティ製品となるととたんに導入のハードルが上がるんです。公的な研究所が作った技術をベースに国産で開発され、中身もわかっている製品であるにもかかわらず、「この製品は攻撃されても大丈夫なのか」とネガティブに見られがちです。
本社ビルに勤務している総務の衣笠さんはトイレの洗面台にUSBメモリが置いているのを発見しました。このとき、衣笠さんはどう行動するのがいいでしょうか?正しいと思うのを選択してください。 ア 誰かが置き忘れたと思われるので、自席にUSBメモリを持ち帰りパソコンに差し込み、USBのなかにあるドキュメントを確認する。 イ どのような経緯でUSBメモリが洗面台に置かれているかが、分からないので、IT部門か上長に連絡して指示を仰ぐ。 ウ もしかしたら、USBメモリにウイルスが格納されているかもしれないと思い、自席のパソコンにUSBメモリを差し込みウイルスチェックをする。 エ いずれ、置き忘れた人が取りにくることを考え、放置する。 答えを表示 答え:イ会社のトイレでUSBメモリを見つけた場合、慎重に取り扱うべきです。 それは、攻撃者がUSBメモリを悪用した罠を仕掛けている可能性があるからです。 ベイティ
いやいやセキュリティ ~ 上野宣がビビるほど○○だった脆弱性診断ツール「Securify(セキュリファイ)」とは? | ScanNetSecurity
いみじくも手塚は、取材開始から 12 分 30 秒ほど経過したところで、スリーシェイクのメンバーは運用者であり、日々運用に向き合って苦しんでいるため、言い方は良くないかもしれないが「いやいやセキュリティをやっている」という言葉を残している。なんと。セキュリティ担当者がセキュリティを「いやいや」やっているとは。
我が家のパソコンは当初「Macintosh」であった。 しかし、会社が「Windows」で統合された為、我が家のパソコンも「Windows」に変更した。 その際、「セキュリティ対策ソフト」は会社と同じT社のソフトを使用した。 詳細は忘れてしまったが、毎月の「セキュリティ」に関する「レポート」が「メール」と「サイト」で確認出来たと思う。 ところがある時から「メール」と「サイト」で内容に差異が生じた。 この件に関して何回も問い合わせたが、結局解決に至らなかった。 「セキュリティ対策ソフト」を提供する企業は信頼が重要であると考えるが、不具合に対する解決が出来ない事に不安を感じ、T社からN社に変更した。 我が家には「Windows」パソコンが2台と、「iPhone」が2台あった。 N社は世界的に利用者が多く、5台に対応する製品があった為採用する事にした。 しかし、使用を開始すると「Windows」
ラスベガスでセキュリティカンファレンスをハシゴしてきた話 - NTT Communications Engineers' Blog
こんにちは。NTT Comの市村、田口、村上です。2024年8月に米国ラスベガスで同時期に開催された3種類のセキュリティカンファレンスへ聴講者として参加しました。 この記事では連日参加した3種類のセキュリティカンファレンス及び、聴講した中で印象深かった講演の概要について紹介します。 目次 目次 8月のラスベガスを彩るセキュリティの祭典 BSides Las Vegas Black Hat USA DEF CON 複数の会議が同時開催されるメリットについて 講演内容 BSides Las Vegas: Devising and detecting spear phishing using data scraping, large language models, and personalized spam filters Black Hat USA: Modern Kill Chains:
ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした 国立遺伝学研究所でセキュリティ珍事(ITmedia NEWS) - Yahoo!ニュース
国立遺伝学研究所 生命情報・DDBJセンターは10月22日、ハッカー集団から「データを窃取した」「データの5%を公開し、1万ドルを支払わなければ残りの95%も公開する」とする脅しをX上で受けたと発表した。しかし、肝心のデータはもともと誰でも無料でダウンロードできるもので「脅迫は無意味」(生命情報・DDBJセンター)という。 【画像で見る】「脅迫は無意味」──生命情報・DDBJセンターの発表 脅迫を確認したのは8日深夜。「CyberVolk」(サイバーフォルク)と名乗る国際ハッカー集団から、塩基配列のデータベース「DDBJ」の情報を窃取したと脅されたという。生命情報・DDBJセンターは事態を受け詳細を調べたが、22日時点ではシステムへの不正侵入や改ざんの形跡はなかった。 DDBJは、研究者から投稿された DNAおよびRNAの塩基配列データを収集・注釈付けし、無料で公開するプラットフォームだ。
2024年、最も人気だったパスワードは何か──リトアニアのセキュリティ企業Nord Securityは11月14日までにそんな調査結果を発表した。同社は毎年、個人がよく使っているパスワードランキングを作成しているが、24年は企業が最も使うパスワードランキングも作成。同社は「リスト内の不名誉な受賞者たちを全てチェックして、(サイバーセキュリティの)最新のトレンドを学んでください」と案内している。 調査対象になったのは日本を含む全44カ国で、ダークウェブを含むさまざまな公開情報源から同社が抽出したという2.5TBのデータベース。データには、マルウェアによって盗まれたパスワードや、データ漏えいによって流出したパスワードが含まれている。多くの場合、メールアドレスとともに流出していたため、ドメイン名によって企業と個人を区別できたとしている。 日本の個人ランキングでは、1位は「123456789」で、
街角にゴミがあふれていると防犯意識も薄いと思われてしまう 田舎に住んでいても、防犯意識が必要となっているこの頃です。 玄関や窓の二重ロックや、地域の見回りパトロールなど。 日テレニュースでみた防犯への心構えについて、お伝えします。 スポンサーリンク 自宅の防犯対策 鍵のかけ忘れ SNSでおやすみなさい投稿は危険 家のセキュリティ対策 まとめ 自宅の防犯対策 日テレのニュースから 政府も強盗の増加に、緊急で対策を講じるそうです。 SNSの闇バイト広告の監視を強化する ボランティアによるパトロール拡充 必要なら補正予算も通じて対応するつもり 私はニュースを聞いて、ちょっと肩を落としました。 理由は地方は高齢者ばかり。 ボランティア活動はふだん、80代が中心です。 www.tameyo.jp ゴミ拾いをたまにしていますが、この上、パトロールも💦 夜道を見回ったら、側溝にハマってケガをしそうなシ
コンピュータ情報サイト「Bleeping Computer」は2024年10月17日(現地時間、以下同)、Microsoftが同年9月2~19日にわたりセキュリティログを紛失していたことを企業顧客に警告したと報じた。 この問題はバグが原因とされており、不正なアクティビティーの検出に重要なログデータが一部欠落する事態に陥っていることが分かった。失われたログにはネットワークの不審なトラフィックやログイン試行など、セキュリティにおいて重要なデータが含まれていたという。 約1カ月のセキュリティログを紛失 影響が出るMicrosoft製品は? この欠落によってサイバー攻撃が検出されず、企業が脅威にさらされる可能性がある。Microsoftが顧客に提供した事後インシデントレビュー(PIR)によると、ログ記録の問題はさらに悪化し、一部のサービスで2024年10月3日まで続いていたことが確認されている。
悪質なハッカーが狙っているのはPCやシステムの脆弱(ぜいじゃく)性に限らず、人間の心の隙や人為的ミスに付け込んだソーシャル・エンジニアリングなどもセキュリティの重大な脅威となっており、ある調査ではデータ侵害の原因の68%はヒューマンエラーだったことが判明しています。人間の存在がサイバーセキュリティ最大の弱点となっている問題に対処する方法について、認証技術の専門家が解説しました。 Human error is the weakest link in the cyber security chain. Here are 3 ways to fix it https://theconversation.com/human-error-is-the-weakest-link-in-the-cyber-security-chain-here-are-3-ways-to-fix-it-241459 ◆
衆議院議員総選挙の真っ最中です。来週10月27日が開票日です。 今回の選挙のいちばんの関心は、自・公で過半数を確保出来るか否かです。確保できれば、大した政局にはならないと思います。でも、過半数割れしたら、政党の枠組みが変わります。 政治が変化するしないは、投票率が影響するでしょう。投票率が低ければ、おそらくあまり変わりません。一方、第45回のような高い投票率(下図)になれば、大きな変化もあり得るんだろうと思います。 衆議院議員総選挙における投票率の推移(総務省のサイト)政治的な思想を「保守」と「リベラル」の括りで大別することがよくあります。保守は「旧来の風習・伝統を重んじる」思想です。リベラルは「変化を許容し、個人の権利を重んじる」思想です。 「保守」と「リベラル」は、よく二項対立として取り上げられるのですが、これは政治特有だと思います。政党政治は、複数の政党が争い、獲得議席数によって交替
DAST(動的アプリケーション・セキュリティ・テスト):気になる情報セキュリティ用語 - 叡智の三猿
DAST(動的アプリケーション・セキュリティ・テスト)は、アプリケーションが実行中に外部からの攻撃をシミュレートして、セキュリティ脆弱性を検出する手法です。 脆弱性を検出する別の方法であるSAST(静的アプリケーション・セキュリティ・テスト)と比較すると、以下のようになります。 アプローチ:SASTは静的にコードを解析するのに対し、DASTは実行中のアプリケーションを解析する。 視点:SASTは開発者の視点、DASTは攻撃者の視点でテストを行う。 検出可能な脆弱性:SASTはコードベースの問題を、DASTはランタイム環境での問題を検出する。 OWASP ZAP (Zed Attack Proxy)は、オープンソースのセキュリティテストツールで、多機能かつ広く使用されています。 SASTとDASTを組み合わせて使用することで、より包括的なセキュリティテストを実現できます。 情報セキュリティマ
Author Zachary Steindler ソフトウェアサプライチェーンについて、コミュニティが開発した、この問題を総合的に考えるためのフレームワークと、特にソフトウェアサプライチェーンの下流のセキュリティを向上させるためのGitHubの使い方について学びましょう。 ソフトウェアサプライチェーンのセキュリティは、2020年後半に米国連邦政府に対する大規模なサイバーセキュリティ攻撃が公表された際に世間の注目を集めました。本ブログでは、この攻撃への対応の歴史、米国政府だけでなくソフトウェアを生産するすべての人にどのような影響を与えたか、この問題を総合的に考える方法についてコミュニティが開発したフレームワーク、ソフトウェアサプライチェーンの下流のセキュリティを向上させるために特にGitHubをどのように使うかについて説明します。 略史 2020年後半、米国連邦政府に対する大規模なサイバー攻
たくさんの会社とクラウドサービスに関わる「情報セキュリティ対策」のやり取りをしてきました。 特にわたしはヨーロッパの外資系企業は、情報セキュリティに対する要望が高いイメージがあります。 なかでも、某スウェーデン会社とは、セッションタイムアウトに関わるやり取りを何度もしたのが強く印象にあります。 セッションタイムアウトは、クラウドサービスを含むオンラインサービスで、一定期間操作が行われなかった場合に自動的にセッション(通信の開始から終了まで)を終了する仕組みを指します。 セッションが継続されている間、システムはセッションIDを生成し、Cookieに保存します。Cookieに保存したセッションIDを読み取ることで、その通信がどのユーザーからのもので、どういった処理状態にあるのかを把握することが出来ます。 セッションタイムアウトを設定することで、利用者がログアウトを忘れた場合でも、一定時間後にセ
2017年からクラウドサービスを利用するお客様の問い合わせに応じ「情報セキュリティ」のQ&Aをするようになりました。 そのきっかけで、250社以上の企業と情報セキュリティに関わるコミニュケーションをしました。 情報セキュリティに対する要求事項は会社によって千差万別です。仕事を通じ、情報セキュリティ対策の正解は存在しないことが分かりました。 結局のところ、企業が情報をどのレベルまで管理するかは、情報セキュリティのリスクと、情報活用のメリットを天秤にかけてます。会社として納得できるバランスを見つけることが大切です。 情報セキュリティ対策は原理原則があります。ただ、そこに囚われすぎるのは現実的ではありません。 多くの会社と情報セキュリティのやり取りができたのは、経験として良かったことです。 残念なのは「中小企業」からの問い合わせがほとんど存在しないことです。 クラウドサービスは、初期コストがかか
2024年12月27日にタイで開催予定の ASIA ARTIST AWARDS(アジアアーティストアワード:略してAAA)の人気賞の決戦投票がアイドル応援アプリ(idol champ)で行われてます(11月20日まで)。 AAAは、韓国のK-POP部門とドラマを結合させた表彰です。人気賞は、K-POPとドラマの男女別、計4部門で投票が行われてます。各部門の予備投票を経た上位30名が候補です。 idol champで現在の状況を見ると、韓国ドラマについては、男性はピョン・ウソク、女性はキム・ヘユンが2位を圧倒してます。ふたりは、言わずと知れた「ソンジェ背負って走れ」で共演したカップルです。 2位につけているキム・スヒョン&キム・ジウォンは「涙の女王」のコンビです。この作品は始まる前から大きな話題になりました。大物俳優と大物女優の組み合わせだからでしょう。 一方、「ソンジェ背負って走れ」は、当
北からのジョブオファー: ソフトウェア開発者を狙うContagious Interview | セキュリティ研究センターブログ
はじめに LinkedInなどのソーシャル・ネットワーキング・サービスや人材マッチングプラットフォームでソフトウェア開発者に好条件の求人を提示し、インタビューの中でマルウェア "BeaverTail"、"InvisibleFerret"に感染させて暗号資産やソースコードなどの開発関連ファイルを窃取する攻撃キャンペーンが観測されています。その攻撃キャンペーンは"Contagious Interview"と呼ばれ、昨年分析記事が公開されました [1] 。 Contagious Interviewは北朝鮮(DPRK)が関与していると考えられており、CrowdStrike社は攻撃グループを"Famous Chollima"と呼称し [2] 、その活動を追跡しています。Contaigious Interviewにより多大な被害が発生した事案(US $72,000相当の暗号通貨を窃取。日本円で約1,0
2024年10月21日週は、VMware vCenter Serverのセキュリティアップデートに失敗したBroadの他、Fortinetの「FortiManager」に深刻な脆弱性が見つかったことなどが報じられた。 2024年10月21日週は、ソフトウェアの脆弱(ぜいじゃく)性対応と、ランサムウェアの被害が目立った。VMwareを買収したBroadcomの他、FortinetやCisco Systemsが脆弱性情報を発表した。 ランサムウェアでは日本郵船グループのMTIの事例が示唆に富む。同社は従業員数70人と小規模だが、船舶に関する技術で多数の受賞歴がある。高度な技術を持つ企業が狙われた事例だと捉えられるかもしれない。 次々見つかる深刻な脆弱性 Broadcomの課題はセキュリティアップデートに手間取ったことだ。いったん公開した「VMware vCenter Server」のアップデー
情報セキュリティの未来を考えるうえで、大きな影響を与えるのが「量子コンピュータ」です。 量子コンピュータがいつ普及するかは、本を読んでも予想されてません。 ChatGPTに聞いてみたら、こんな回答でした。 量子コンピュータの普及については、正確な時期を予測するのは難しいですが、一般的な見通しとしては、商業的に実用化され、広く普及するまでにはまだ10年以上かかると考えられています。現在は、基礎研究や実験段階にあり、特定の用途においては既に実験的に使われていますが、一般的なコンピュータの代替として普及するには、技術的な課題やコスト、インフラの整備など、まだ解決すべき課題が多いです。 具体的な課題としては、量子ビット(キュービット)の安定性やエラー訂正の問題、量子コンピュータ向けのソフトウェア開発、そしてそれを支える物理的なインフラの整備があります。これらの課題が克服されると、特定の産業分野(例
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブ・セキュリティ基礎試験(徳丸試験)受験のすゝめ - Qiita
KDDI、セキュリティ企業のラックを買収へ 約246億円で
セキュリティ企業のSophosが5年以上に及ぶ中国のハッカーとの戦いを記したレポート「パシフィック・リム」を公開
「プロダクトセキュリティ」の社内講義の資料を公開します - giftee Tech Blog
Next.js App Router セキュリティ
セキュリティ初学者のためのブリーチング入門 | サイバーリスクディフェンダー
みんな大好き 🫶🏼 取引先との「セキュリティチェックリスト」への付き合い方 - pixiv inside
「Google Chrome 131」が正式版に ~オンデバイスOCRで紙をスキャンしたPDFでもテキスト選択/セキュリティ関連の修正は全12件、コンプラ違反の「Entrust」のTLS証明書は不信任に
パスワードに関する7つの重要ルール--米政府セキュリティ専門家のアドバイス
運用技術サイバーセキュリティ「6つの原則」とは――ACSCによるガイダンスの内容を簡単に要約【海の向こうの“セキュリティ”】
【情報セキュリティリテラシーチェック】会社内でUSBメモリを見つけた - 叡智の三猿
「Excel 2016」のセキュリティパッチ「KB5002653」に問題か ~アドインが読み込めない/回避策あり
セキュリティ対策ソフト😈 - Madenokoujiのブログ
2024年、最も使われたパスワードは? “人気パスワードランキング” 海外のセキュリティ企業が公開
防犯の第一歩は施錠すること!家のセキュリティ向上を目指して - 貯め代のシンプルライフと暮らしのヒント
Microsoftがセキュリティログを紛失 複数の製品に影響
玉木雄一郎(国民民主党代表) @tamakiyuichiro 宮澤博行氏のケースは、政務三役にもセキュリティクリアランスが必要なことを示している。週刊誌で報じられた事案は、防衛副大臣就任以前の話であり、現在の仕組みではチェックから漏れていたわけだから、新たなシステムが必要だ。性的行動をチェックする国民民主党の修正案を取り入れてもらいたい。
「Firefox 132」が正式版に ~高画質・低負荷で動画をストリーミング「PlayReady」に対応/セキュリティ関連の修正は11件
「iOS 18.1」「iPadOS 18.1」が公開 ~通話録音に対応、カメラ強化、AirPodsによるヒアリング補助機能など/セキュリティ関連の修正は、CVE番号ベースで28件
サイバーセキュリティ最大の脆弱性は「人間」、ヒューマンエラーを防ぐ3つの戦略とは?
「保守」で「リベラル」な情報セキュリティ - 叡智の三猿
GitHub を活用したソフトウェアサプライチェーン下流のセキュリティ強化
サポート終了後のWindows 10に、個人向けの拡張セキュリティ更新(ESU)が初めて提供/支払いは年額、MicrosoftがWindows 11への移行を促すブログ記事で発表
外資系企業からの情報セキュリティ要望への対応 - 叡智の三猿
情報セキュリティのリスクとバランス - 叡智の三猿
推し活マーケティングと情報セキュリティ - 叡智の三猿
セキュリティ対応に課題が残るVMware製品【セキュリティニュースまとめ】
Apple、「macOS Sequoia 15.1」を公開 ~iPhoneミラーリングでドラッグ&ドロップがサポート/セキュリティ関連の修正は、CVE番号ベースで59件
量子コンピュータと情報セキュリティの未来について - 叡智の三猿