「DNSに対する最悪の攻撃」 迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての
スペインのセキュリティ企業Tarlogic Securityは3月10日(現地時間)、6日に発表した「ESP32」の「隠し機能」の悪用方法について、改めて公式ブログで説明した。 ESP32は、中国Espressif Systems製のMCU(マイクロコントローラ)チップ。多数の市販IoTデバイスに搭載されていることから、この発表は注目を集めた。ただ、Tarlogicは当初、この隠し機能を「バックドア」と説明したため、批判された。 バックドアは意図的に組み込まれた侵入経路を指す言葉だが、ESP32に存在するのはメーカーが文書化していない隠されたコマンドであり、バックドアとは異なる。 これらの隠し機能を使うと、チップの機能を拡張したり、通常はアクセスできない領域を制御したりできる可能性があるとTarlogicは説明する。 例えば、Bluetooth Low-Levelプロトコルにアクセスできる
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 米Google、ETH Zurich、NVIDIA、Robust Intelligenceに所属する研究者らが発表した論文「Poisoning Web-Scale Training Datasets is Practical」は、学習用データセットの一部を改ざんし、それらを学習した機械学習モデルを攻撃する手法を提案した研究報告である。 機械学習モデルの学習用データセットには、インターネットをクロールして収集した大量のデータサンプルが含まれるWebスケールデータセットがある。だが、これらの収集したデータの信頼性が保証されているわけではない。信頼性を保証す
「トランプ政権の4年間で、米国も世界も大きく変わるだろう」 米ワシントン・ポスト紙のバロン元編集主幹(小林恭子) - エキスパート - Yahoo!ニュース
今年1月に就任したばかりの米トランプ政権だが、着任早々矢継ぎ早に大統領令に署名し、バイデン前政権の政策を次々と覆して米国内を驚かせた。 複数の国に高関税を課すとともに、米国の対外援助の大半を90日間凍結する大統領令も出し、政府は海外援助団体への助成金のほぼ全額の支払い停止を決めた。 政権発足前、すでに米テック大手はトランプ氏に擦り寄るような姿勢を見せたが、その頂点に位置するのが富豪のIT起業家イーロン・マスク氏だ。トランプ大統領はマスク氏に「DOGE=政府効率化省」を担当させ、政府予算の大幅削減が進んでいる。そのやり方があまりにも乱雑で、政府機能の一部が不全化していると伝えられている。 筆者が住む欧州も、「トランプ・ショック」の真っ最中だ。 トランプ氏は、3年前から続くウクライナ戦争でロシアに侵攻された側のウクライナ・ゼレンスキー大統領を「独裁者」に例えたかと思うと、第2次大戦後80年近く
ハッキングAPI
Web APIは近年急速に利用が拡大しています。APIの呼び出しが全Webトラフィックの80%以上を占めるほど、Webサービスに欠かせない技術となっている一方で、Web APIに対するサイバー攻撃も急増しており、そのセキュリティ対策はあらゆる組織で重要な課題となっています。 本書の目的は、Web APIの基本をしっかり押さえ、脆弱性が存在しないかどうかテストする方法を示すことです。攻撃者(APIハッカー)の視点から、あらゆるAPI機能と特徴を活用するための知識を学ぶことで、これから起こり得る情報漏えいの危機を防ぐことができます。まず、WebアプリケーションやWeb API脆弱性の種類などの基礎知識を学んだのち、実際に検証用ラボを構築しながら、脆弱性の調査方法、ツール、さまざまな攻撃手法などを、実践的に解説していきます。Webアプリケーションで最も一般的なAPI形式であるREST APIのセ
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 スマートフォンやノートPC、電気自動車などで使用するバッテリー(リチウムイオン電池)は、長年使っていると充電の減りが早くなる。これは電池を使っていないときに電池内で放電と似た化学反応が起きてしまう自己放電という現象が原因だ。 カナダのダルハウジー大学に所属する研究者らは、そんなリチウムイオン電池が自己放電する理由を、偶然にもリチウムイオン電池の実験中に明らかにした。 前提の説明として、リチウムイオン電池には正極と負極があり、その間にセパレータがある。これらの部品は、いわゆるジェリーロール状に巻かれたものと積層されたものがある。いずれの場合も、ジェリーロールや電池の積み重ねを固定するためにテ
三井住友銀行(SMBC)は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。委託先の企業に勤務するSE(システムエンジニア)から流出したとみられるものの、顧客情報の流出はなく、セキュリティに影響はないとしている。 委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。 ソースコードを公開した人物は自身のTwitterアカウントで「転職の準備のために現在あるコードを全てアップした」と説明。委託されて開発したコードが含まれていた理由については「分からない」としている。「関係各所に多大なご迷惑をおかけしたことを深く反省いたします」と謝罪するツイートも投稿していたが、現在は非公開アカウント
関連キーワード サイバー攻撃 | ハッキング | セキュリティ 無料でSSLサーバ証明書を発行する認証局(CA)「Let's Encrypt」について、ドメイン所有権の検証方法に脆弱(ぜいじゃく)性があることが分かった。サイバー犯罪者は実際に所有していないドメインのSSLサーバ証明書を取得できる可能性があるという。脆弱性は、ドイツの研究機関であるフラウンホーファー研究機構のサイバーセキュリティ分析部門が見つけた。 意図的に検証を失敗させる巧妙な手口 Copyright © ITmedia, Inc. All Rights Reserved.
攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度
英ケンブリッジ大学コンピュータ研究所は11月1日(現地時間)、「Trojan Source:Invisible Vulnerabilities」(リンク先はPDF)という論文を公開した。Trojan Sourceは、「人間のコードレビュアーには見えないターゲットを絞った脆弱性を作成するためのクールな新トリック」という。 研究者のロス・アンダーソン氏は、「Unicodeの方向性オーバーライド文字を使って、コードを別のロジックのアナグラムとして表示するこの攻撃は、C、C++、C#、JavaScript、Java、Rust、Go、Pythonに対して機能することを確認しており、他のほとんどの言語に対しても機能すると思われる」と説明する。 「人間が見るのと異なるロジックをコンパイラに示せるように、ソースコードファイルのエンコーディングを操作する方法を発見した」。コメントや文字列に埋め込まれた制御文
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。 大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか? CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。 同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 先日、私がワードプレスで運営しているサイトでサイバー攻撃を受けました。 サイトのいくつかのファイルが改ざんされ、管理系ページにアクセスできない状態に陥りました。 その後、なんとか復旧できたものの、インシデント対応中は生きた心地がせず、手の震えと動悸が凄まじかったです。 今回サイバー攻撃による障害の経験から学んだ、サイバー攻撃に備える7つの心構えを説明します。 ※本記事は個人開発でサービスを運営している方や、1人でシステム担当を行っている人を対象にした記事です。 いきなりサイトアクセスが403エラー 私は個人でレンタルサーバーを借りてワー
LINEの利用者の大規模な情報漏えい問題で、運営会社のLINEヤフーは漏えいの原因となった韓国の企業への業務委託を見直す方針を固め、調整を進めていることが明らかになりました。今月、会社に対し行政指導を行った総務省が両社の関係の見直しを求めていました。 LINEの利用者の情報など51万9000件が漏えいしたとみられる問題で、総務省は今月、LINEヤフーへの行政指導のなかで、サイバー攻撃を受け、漏えいの原因となった韓国のIT企業、ネイバーへの管理監督が不十分だったと指摘しました。 総務省は4月1日を期限に再発防止策の報告を求めていますが、関係者によりますと、LINEヤフーはITインフラに関わるネイバーへの業務委託を見直す方針を固めたということです。 会社は今後、LINEのサービスや利用者への影響を確認しながら、段階的に業務委託の内容を縮小する方向で具体的な検討を進めることにしています。 ネイバ
「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ
追記と修正 2024/01/09: FOR710 についてはプロ視点で賛否両論あったので表現を変えました 2024/01/09: FLARE-VM の構築部分でも書きましたが、解析環境と普段生活する環境は分離しましょう。VMWare or VirtualBox を使ってください。普段使いの環境にここで述べた解析ツールをいきなりインストールするとAnti-Virusに検知される可能性もあります。 TL;DR 将来的にベンダーレポートやカンファレンス発表レベルでの"マルウェア解析"を想定した話です とりあえず FLARE-VM 環境を作ってインストールされたツールを見る・触るところから始めるといいんじゃないでしょうか TL;DR はじめに "マルウェア解析" のスコープと前提知識の明確化 ツールの選択元(プール) : FLARE-VM FLARE-VM に入っている中でもよく使うツール PES
陰謀論は一度信じ始めると、反証によって覆すのが非常に難しい信念だと考えられている。しかし、この研究では従来の陰謀論に対する反証の試みが失敗してきたのは、単に各陰謀論者に合わせた説得力のある反証が不足していたためではないかという可能性を検討した。陰謀論者は自分の関心のある陰謀について非常に詳しいことが多く、反論する側が議論で劣勢に立たされるのである。 この課題に対処するため、この研究ではLLM(GPT-4 Turbo)を活用した。実験では、計2190人の陰謀論者がLLMと3ラウンドの対話を行った。参加者は自分が信じる陰謀論を詳細に説明し、AIにはそれぞれの陰謀論の信念を低下させるよう指示した。 その結果、参加者の陰謀論信念が21.43%低下した。さらに、参加者の27.4%が対話後に陰謀論を確信しなくなった。この効果は2カ月後も持続し、非常に広範な陰謀論で一貫して見られ、陰謀論信念が深く根付い
KADOKAWAは8月14日、大規模サイバー攻撃による業績影響を発表した。サイバー攻撃を受けた影響で「ニコニコ」関連サービスのクリエイター補償費用や調査・復旧費用などが発生。これにより25年3月期第1四半期連結累計期間で特別損失20億円を計上した。 KADOKAWAを巡っては、6月にハッカー集団からサイバー攻撃を受け、さまざまなサービスが提供休止になるなどの影響が生じた。出版事業については、被害拡大を防ぐため関連サーバをシャットダウンしたことで出版製造・物流システムが停止に。本の出荷は8月中旬に平常通りに戻ると見通していた。 KADOKAWAはサイバー攻撃により「国内紙書籍事業の生産高・出荷部数が減少したことや、ニコニコファミリーのサービス全般が停止したことなどの影響が生じた」と説明。このため、2025年3月期第1四半期連結累計期間で、営業売上で26億円、営業利益で19億円の減少影響が発生
6月8日未明に発生したニコニコの障害は、KADOKAWAグループへのサイバー攻撃の影響だったようだ。KADOKAWAは9日午前中、グループ内の複数Webサイトで障害が発生していると報告した。 KADOKAWAによると、6月8日の未明、グループの複数のサーバにアクセスできない障害が発生。データ保全のため、関連するサーバを緊急シャットダウンした。ニコニコも同時に障害が発生し、8日午前6時から緊急メンテナンスに移行していた。 KADOKAWAは社内で分析調査を行い、8日中に「サイバー攻撃を受けた可能性が高い」と判断。9日午前の時点で「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」「エビテン(ebten)」などに影響があったという。また、N高等学校を運営する角川ドワンゴ学園も10日、学習アプリ「N予備校」が利用できないと明らかにした。 現在は外部専門家や警察などの協力を得て調査を進
数値上はこうなるものの、意図的な短期的メンテナンスや、意図しない障害でも1回あたりの期間が短ければ、その期間に積まれるはずだった売上は、その復帰後に売り上がる場合も多いでしょう。その辺りは、ユーザーの信頼を損なわない方法や運用を心がけることで、十分に埋められる可能性を含む性質です。 しかしこれが、あまりに高頻度であったり長期間になると、その復帰後に停止期間分を含めた売り上げにならず、そのまま機会損失となる可能性が高まります。いわゆるユーザー離れというやつです。その損失だけで済めばまだマシで、普通に考えればその後に想定していた売上も減少し続け、元に戻すには相応の時間と労力を伴うでしょうから、数値以上の痛手となるはずです。 こう考えていくと、運用関係者が健全であれば、無理に100%の可用性を目指さず少なくとも合計99%以上となる停止猶予を持たせた運用とし、数日を跨ぐような連続した長期間の停止だ
マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える:東京新聞デジタル
国内の社会保険労務士の多くが利用している業務支援システム「社労夢(シャローム)」に対し、ランサムウエア(身代金要求型ウイルス)攻撃があった。なにより気になるのは、このシステムが800万人超分のマイナンバーを含む個人情報を扱っていたこと。もし外部に流出していれば、影響は計り知れない。政府・与党によってマイナンバーの利用範囲拡大や健康保険証廃止を含む改正マイナンバー法が成立したばかりだが、こんなことで大丈夫か。(岸本拓也、木原育子)
クラウドファンディングサイト「Makuake」を手掛けるマクアケは8月20日、19日午後3時13分から4時1分の48分間にかけて、ログインしているアカウントが他人のものに入れ替わる不具合が発生したと発表した。これにより、少なくとも1人分の情報が他のユーザーに閲覧されたという。 影響を受けたユーザーは計3916人。それぞれ最大10分にわたって不具合の影響を受け、アカウントが入れ替わったユーザーに氏名、電話番号、住所、メッセージ機能内の送受信情報、登録済みクレジットカードの下4桁や有効期限を閲覧された可能性がある。 このうち1人は、入れ替わり中にクラウドファンディング中のサービスや商品を先行購入できる機能を利用。クレジットカード決済で商品を購入した。ただし、入れ替わり先の氏名やクレジットカード情報は利用せず、新たに自分の氏名やクレジットカード情報を登録し、商品を購入したという。この際、入れ替わ
防衛省、サイバーセキュリティ担当の防衛技官を募集
防衛省が、サイバーセキュリティに従事する防衛技官を募っている。自衛隊のシステムをサイバー攻撃などから防御したり、隊員の能力を向上させたりする係長級の人材を若干名募集しており、応募は12月10日まで。 民間企業や官公庁などで、正社員・正職員として勤務した経験が通算13年以上ある人で、1962年4月2日(58歳)~89年4月1日までに生まれ(現在58~31歳)、情報処理推進機構(IPA)のITスキル標準「レベル3」以上か相当する民間資格を持っている人――などの条件がある。 「係長相当職員(行(一)3級)」として採用し、法律に基づいて給与を支給する。例えば、4年制大学を卒業後、民間企業の正社員として13年間勤務した後に採用され、東京都特別区に勤務した場合で、30万6000円。扶養手当、住居手当、超過勤務手当などが付く。将来、転勤がある。 書類選考と小論文試験による一次試験の後、面接と身体検査によ
世界中の研究機関や企業が、従来のコンピューターでは複雑すぎて解けない問題を解ける量子コンピューターの開発競争を繰り広げており、中には「量子コンピューターは既にRSA暗号を解読できるようになっている」と主張する研究者もいます。登場が時間の問題ともいわれている量子コンピューターと、量子コンピューターによる暗号解読に対抗するために開発が進められている「ポスト量子暗号(PQC)」についてのFAQを、アメリカ国立標準技術研究所(NIST)がまとめました。 ・目次 ◆1:そもそも量子コンピューティングとは? ◆2:ポスト量子暗号化アルゴリズムとは? ◆3:「ポスト量子暗号」と「量子暗号」の違いは? ◆4:そんな危険な量子コンピューターがなぜ開発されているのか? ◆5:現行の暗号化技術とそれを量子コンピューターが解読する仕組み ◆6:ポスト量子暗号はどう役に立つのか? ◆7:なぜ今からポスト量子暗号の開
by Tim Reckmann 2022年2月24日にロシアがウクライナ侵攻を開始し、ウクライナ国内の通信インフラストラクチャが使用不可になる懸念が高まっています。テスラやSpaceXのイーロン・マスクCEOが、一部の地域限定で提供されているSpaceXの衛星インターネットサービス「Starlink」をウクライナで提供開始し、同国に接続端末を送ることを明らかにしました。 Elon Musk Says SpaceX Starlink Satellite Internet Is Active in Ukraine https://www.vice.com/en/article/n7n94q/elon-musk-says-spacex-starlink-satellite-internet-is-active-in-ukraine きっかけはウクライナの副首相兼デジタル変革大臣を務めるミハイロ・
ソースコード共有サービス「GitHub」で三井住友銀行(SMBC)などに関連するソースコードが無断公開されていた問題で、SMBCのソースコードの中に埼玉県庁の所在地が含まれていたが、県が運用するシステムには関係ないことが2月2日に分かった。 埼玉県は取材に対し「流出したソースコードに、県庁の所在地が含まれていることを確認しており、県庁の住所が入力された形跡がある」と回答。しかし、埼玉県が関連するプログラムなどには一切関係が無く、住民の個人情報保護や、システムのセキュリティへの影響はないという。 埼玉県によると、1日までに埼玉県警から「流出したSMBCのソースコードの中に埼玉県の文言が入っているとの指摘がある」と情報提供があり、調査を進めていた。 【訂正とおわび:2021年2月2日午後9時45分 記事初出時、タイトルを「埼玉県庁のソースコードも流出 三井住友銀、NTTデータ、NECらに続き」
AIの無断学習は絶対許さない──Webクローラーを“出口のない落とし穴”に閉じ込めるプログラム、海外ユーザーが公開
Webを巡回してAIモデルの学習に使う情報をかき集めるクローラーの横行に対し、反発が強まっている。Webサイト側で対策を講じてもかわされてしまう現状に対抗して、ある海外ユーザーが迷惑クローラーを“出口のない落とし穴”に閉じ込めて撃退するプログラム「Nepenthes」を公開した。 Nepenthesの名称は、昆虫を袋の中に閉じ込めて捕食する食虫植物「ウツボカズラ」(ネペンテス)にちなむ。これをひそかにWebサイトに仕掛けておけば、Webクローラーによるコンテンツ収集を阻止できるという。さらに「攻撃的な」オプション機能を有効にすれば、クローラーに時間と処理能力を延々と浪費させ、AIモデル学習用データの汚染を狙うこともできるという。 同ツールがベースとしているのは、サイバーセキュリティ業界で迷惑メール対策として使われる「ターピット」と呼ばれる手法。ターピットは「タール穴」の意味で、Nepent
長年にわたり、テレワークを行う際の最も一般的なリモートアクセス手段として、「VPN」が利用されてきました。昨今、テレワークの需要が急増するにつれ、多くの企業がVPNゲートウェイ(社内にVPN接続するための機器)の性能限界に悩まされています。 また、VPNゲートウェイの脆弱性を悪用したサイバー攻撃も絶えず、VPNゲートウェイ経由で攻撃者に侵入されてしまい、大きなセキュリティインシデントに発展してしまった事例が多々見受けられます。このような状況から、今後のテレワークセキュリティについて不安を抱える企業は多いのではないでしょうか? 本記事では、従来のVPNモデルが抱える課題、およびその課題を解決する新たなリモートアクセス手段、ゼロトラストネットワークアクセス(ZTNA)について解説します。 従来のリモートアクセスにおける課題 最近はAWS等のパブリッククラウド上で自社システムを運用する企業が増え
米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾(1/6 ページ) Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。 IPA Apache Log4j の脆弱性対策について(CVE-2021-44228) Apache Log4j 2公式ページ Log4j 2で今回問題
久保田さんは講演の冒頭で「報道などでご存じの方も多いと思いますが、現在ニコニコは大規模なサイバー攻撃の影響により、多くのサービスが利用できない状態が続いています。ユーザー・関係者の皆さまには、ご不便をおかけしており、心からおわび申し上げます」とサイバー攻撃について触れた。 観客からは拍手があり、久保田さんは「ありがとうございます。少しでも早い復旧に向け、全社を挙げて取り組んでいますので、今しばらくお待ちください」と感謝の意を述べ、講演を続けた。 動画・生放送の相乗りが足かせに 基盤刷新に至ったワケ 久保田さんは、基盤の刷新に至った背景や、新しい基盤の構成について講演。ニコニコ動画では2016年から約8年間オンプレミスの配信基盤を利用していたが、24年3月に新たなクラウド基盤に乗り換えた。性能は安定していたものの、設計思想に由来するいくつかの課題があったという。 そもそも旧基盤は、ニコニコ動
Microsoftが、2022年2月24日にロシアがウクライナに侵攻を開始する数時間前に、ウクライナのネットワークがサイバー攻撃の標的にされていたことを発表しました。Microsoft Threat Intelligence Center(MSTIC)の研究者は、このウクライナを標的とした「破壊的なサイバー攻撃」で「FoxBlade」と名付けられた新しいマルウェアを発見したと報告しています。 Digital technology and the war in Ukraine - Microsoft On the Issues https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/ Microsoft: Ukraine hit with new FoxBlade
いつもニコニコをご利用いただきありがとうございます。 大変お待たせいたしました。 2024年8月5日(月)15時より、新バージョン「帰ってきたニコニコ」として、ニコニコ動画・ニコニコ生放送をはじめとする「ニコニコ」サービスを再開いたしました。 サービス再開にともない、臨時サービスとして提供していた「ニコニコ動画(Re:仮)」「ニコニコ生放送(Re:仮)」「ニコニ・コモンズ(Re:仮)」「ニコニコ広場(Re:仮)」「ニコニコ実況(Re:仮)」を終了いたしました。 (Re:仮)バージョンをご利用いただきながら、サービス再開をお待ちいただいた皆様へ心より感謝いたします。 ※sheetaを使った有料の生放送サービス「【有料放送】ニコニコ生放送(Re:仮)」はニコニコ生放送が公式有料番組に対応するまで継続します 各サービスの再開状況の詳細や8月開催のイベント情報については、下記ニコニコインフォ記事を
「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び
「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び(1/4 ページ) 闇バイトや投資詐欺の脅威が頻繁に取り沙汰される昨今。サイバー攻撃や内部不正、不手際によって自社から情報が漏れるのも怖いが、一連の犯罪に悪用される事態はさらに恐ろしい。「弊社をかたる詐欺を確認したのだが、御社から漏れた情報を使っているんじゃないか?」──いま、企業が一番聞きたくない言葉の一つだだろう。 一方で、これに近い事態を想定したセキュリティ訓練を社内で実施し、万一に備える企業もある。クラウド型会計・人事サービスを提供するフリー(freee)だ。過去にも報じてきた通り、freeeでは2018年10月に発生した大規模障害を風化させないため、毎年10月に全社的な障害訓練を実施してきた。 参考記事:「うちの情報、freeeから漏れたんじゃないんですか?」 顧客
ドワンゴは6月14日、8日から続く大規模障害に関する詳細を発表した。原因はランサムウェアを含む大規模なサイバー攻撃。復旧には1カ月以上かかる見込みという。 今回の発表に合わせ、KADOKAWA・ドワンゴの夏野剛社長、ドワンゴの栗田穣崇COO、鈴木圭一CTOによる状況説明の動画や、事態に関するQ&Aも公開した。一方、各所に情報が分散しているため、本記事ではそれぞれの媒体で発表された内容をトピック別にまとめる。 ニコニコの状況、動画データは無事か ニコニコのシステム全体のうち、ニコニコ動画のシステム、投稿された動画データ、動画の映像配信システム、ニコニコ生放送のシステムが無事という。ただしニコニコ生放送については、映像配信をつかさどるシステムが被害を受けており、過去にタイムシフト(視聴予約)した映像が使用できない可能性がある。その他、現在停止中のサービスは以下の通り。 ニコニコ動画、ニコニコ生
Googleの正規のセキュリティ通知で利用されるメールアドレスの「[email protected]」から送信されたメールであるかのように偽装するフィッシングメールの存在が明らかになっています。 Phishers abuse Google OAuth to spoof Google in DKIM replay attack https://www.bleepingcomputer.com/news/security/phishers-abuse-google-oauth-to-spoof-google-in-dkim-replay-attack/ Google Spoofed Via DKIM Replay Attack | EasyDMARC https://easydmarc.com/blog/google-spoofed-via-dkim-replay-attack-a-techn
ドワンゴが運営する「ニコニコ」サービスのYouTube公式チャンネルの登録者数が10万人を超え、YouTube社から「シルバークリエイターアワード」が授与された。 アワード受賞者に贈られる「銀の盾」の写真を、ニコニコのX公式アカウントが8月13日に公開。フォロワーから「どちらも動画配信サイトなので不思議だ」といった反応が届いている シルバークリエイターアワードは、著作権やガイドラインなどのルールに則って活動し、かつ、チャンネル登録者数が10万を超えるアカウントに対して、YouTubeが贈るもの。 ニコニコは6月初旬から8月初旬にかけ、サイバー攻撃の影響でサービスが停止。その間、一部の公式番組などをYouTube公式チャンネルで配信し、YouTubeの登録者数を増やした。8月16日現在、登録者数は20万人を超えている。 登録者数が多いチャンネルにYouTubeが贈るアワードは、10万人のシル
【シリコンバレー=清水孝輔】米セキュリティー大手クラウドストライクは24日、同社のソフトが原因で発生した世界的なIT(情報技術)障害を巡り、原因に関する暫定的な検証結果を公表した。品質を検査するソフトにバグ(不具合)があり、問題のあるデータを含む更新ファイルを検知できずに配信したと説明した。クラウドストライクは様々な手法のサイバー攻撃に素早く対処するため、更新ファイルを配信してセキュリティーソ
Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい
米セキュリティ企業のUpGuardは8月23日(現地時間)、米Microsoftの「Power Appsポータル」で作成された47の組織のアプリで、合計3800万件に上る個人情報の漏えいがあったと発表した。 UpGuardは5月にこの問題を発見し、Microsoftおよびデータを漏えいさせていた企業には通知済み。アプリの脆弱性のせいではなく、ある機能を初期設定のまま使うとホストされているデータが公開されてしまう仕様になっていたためだ。 Power Appsは、Microsoftが「だれでもローコードのアプリをすばやく構築して共有できる」と謳う、クラウドホスト型BI(ビジネスインテリジェンス)アプリ作成スイート。Power Appsポータルは、外部に公開するウェブサイトを作成できるツール。 今回の情報漏えいは、Power Appsポータルのリストからデータを取得するためのOData APIを
企業を狙ったサイバー攻撃は複雑化、巧妙化している。特にサプライチェーンを狙った攻撃は増加傾向にある。情報処理推進機構(IPA)が2023年2月28日に公開した「情報セキュリティ10大脅威 2023(組織)」では「サプライチェーンの脆弱(ぜいじゃく)性を悪用した攻撃」が第2位にランクインした。 サプライチェーンセキュリティ対策が難しいのは「自社だけでは守れない」ことだ。ビジネスが複雑化している中、サイバー攻撃者は中堅・中小企業のセキュリティ対策が十分ではない部分を突いてくる。これに対し、企業はどのように対策を講じるべきか。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」に、業界のご意見番であるEGセキュアソリューションズの徳丸 浩氏(取締役CTO)が登壇。「古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか」と題す
テレワーク中のウェブ会議などで使われる「スピーカーフォン」と呼ばれる、小型のスピーカーとマイクが一体となった機器について、機器から出る電磁波を通じて音声の情報が漏れるおそれがあることが、奈良先端科学技術大学院大学の研究でわかりました。 研究グループでは、ハードウエアのセキュリティー対策が必要だとしています。 これは奈良先端科学技術大学院大学の林優一教授らの研究グループが20日、開かれた情報セキュリティーの学会で発表しました。 「スピーカーフォン」は、パソコンに接続して使う、小型のスピーカーとマイクが一体となった機器で、コロナ禍でテレワークが要請される中、ウェブ会議など音声を通じた長時間のやり取りでの利用が増えています。 このスピーカーフォンについて調べたところ、一部の機種では、スピーカーから音が出る際に、人間の耳には聞き取れない音声の情報が電磁波として出ていて、離れた場所で受信して変換すれ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
「ESP32」の(「バックドア」改め)隠し機能の悪用方法について、Tarlogicが説明
「AIに毒を盛る」──学習用データを改ざんし、AIモデルをサイバー攻撃 Googleなどが脆弱性を発表
スマホやPCなどの充電量が自然に減少する「自己放電」の原因 カナダの研究チームが解明
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”とは?
ソースコードに脆弱性を潜ませられるUnicode悪用攻撃法「Trojan Source」を研究者が発表
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
個人開発(1人システム)担当者がサイバー攻撃に備える7つの心がけ - Qiita
LINEヤフー 韓国企業への業務委託見直しへ 大規模漏えい問題で | NHK
陰謀論者 vs. 生成AI──大規模言語モデルは陰謀論を説得できるか? 米MITなどが2000人以上で検証
KADOKAWA、特損20億円を計上 「ニコニコの補償費用や復旧費用で」 サイバー攻撃の業績影響を発表
ニコニコ、N高なども影響 KADOKAWAグループに大規模なサイバー攻撃の可能性
ITシステムの可用性と損失を考える | 外道父の匠
マクアケ、ログインしているアカウントが他人のものに入れ替わる不具合 個人情報やカード情報が閲覧された例も
Microsoftアカウントへの不正ログイン試行が急増中? KADOKAWAへのサイバー攻撃と関連?【やじうまWatch】
来たるべき量子コンピューターの時代に向けて一般人が知っておくべき「ポスト量子暗号」の基礎知識まとめ
イーロン・マスクの指示で衛星インターネット「Starlink」がウクライナであっという間に利用可能に
三井住友銀のソースコード流出、埼玉県は関係なし 県庁所在地が含まれていただけ 県が調査【追記あり】
ゼロトラストネットワークアクセス(ZTNA)とは? 「脱VPN」の最有力ソリューションを解説
Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
サイバー攻撃渦中のニコニコがAWSのイベントで講演 動画の配信基盤について解説、観客から拍手の一幕も
「破壊的なサイバー攻撃」がロシアによる侵攻直前にウクライナを襲ったもののMicrosoftが速攻で対応していた
8/5ニコニコサービスの再開と新バージョン「帰ってきたニコニコ」のお知らせ|ニコニコインフォ
ニコニコを襲ったサイバー攻撃の全体像まとめ 動画データは無事か、復旧に1カ月かかる理由は
「no-reply@google.com」から送信されたように見えるフィッシングメール攻撃
ニコニコ、YouTubeから表彰 登録10万人超えで「銀の盾」もらう
世界システム障害「品質検査にバグ」 クラウドストライクが原因報告 - 日本経済新聞
「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
「スピーカーフォン」に音声の情報が漏れるおそれ | IT・ネット | NHKニュース