並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 109件

新着順 人気順

セキュリティ技術の検索結果1 - 40 件 / 109件

  • イスラエルはどうしてあんなにひどいことができるの? 早尾貴紀——後編|じんぶん堂

    記事:平凡社 パレスチナ・イスラエル問題に関するオンラインセミナー「パレスチナ連続講座」に登壇する東京経済大学教授の早尾貴紀さん 書籍情報はこちら 《前編はこちらから》 ホロコーストを経験したユダヤ人とイスラエル 「ホロコーストを経験したユダヤ人が、どうしてジェノサイドをする側になるのか」という質問をよく受けます。そのことについて、2023年に日本でも公開された『6月0日 アイヒマンが処刑された日』という映画を例にお話しします。ナチスの戦犯アドルフ・アイヒマンは1960年に逮捕され、62年にイスラエルで処刑されました。映画ではその死体を焼却する炉を作る過程が描かれます。映画に登場する鉄工所の社長、作業員、臨時に雇われた少年工は、それぞれ、「イスラエル国民」を構成する3階層のユダヤ人グループに属しています。 1つめのグループは、イスラエルの建国運動を中心的に担った人たちです。ヨーロッパ出身で

      イスラエルはどうしてあんなにひどいことができるの? 早尾貴紀——後編|じんぶん堂
    • IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita

      隠れ端末問題 背景 CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance):無線LANのアクセス制御、送信前に電波の電波の空き状況を確認して、空いているときに送信データを送ることで衝突を避ける 問題 障害物によってお互いの通信が検出できず、同時に送信フレームをアクセスポイントに送り衝突が発生すること 隠れ端末問題の解決策 RTS/CTS Request To Send/Clear To Send) 常時利用すると効率が悪いため、何度か失敗したときにRTS/CTSによる通信制御が開始される RTS:「これから送ります」という合図 CTS:「他の端末が利用中です」または「送っていいですよ」という合図 参考:https://milestone-of-se.nesuke.com/nw-basic/wireless/csma-c

        IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
      • 「絵で見てわかるLinuxカーネルの仕組み」という本の宣伝 - 覚書

        本日10/23発売の「絵で見てわかるLinuxカーネルの仕組み」という本を自分含め6人で書きましたので、宣伝します。 絵で見てわかるLinuxカーネルの仕組み 作者:市川 正美,大岩 尚宏,島本 裕志,武内 覚,田中 隆久,丸山 翔平翔泳社Amazon 本書はIT技術のさまざまな分野について視覚的に理解するための翔泳社の「絵で見てわかる」シリーズの中の一冊です。 www.shoeisha.co.jp このシリーズは、これまでに「ITインフラの仕組み」、「Webアプリ開発の仕組み」、「マイクロサービスの仕組み」など、さまざまなものを扱ってきました。本書は「Linuxカーネル*1の仕組み」を扱います。Linuxカーネルを絵から理解するというコンセプトの本です。 Linuxカーネルは Red Hat Enterprise LinuxやUbuntuといったLinuxディストリビューションの核(カー

          「絵で見てわかるLinuxカーネルの仕組み」という本の宣伝 - 覚書
        • 「VPN」をやめて「SDP」や「SASE」に移行すべき4つの条件

          関連キーワード VPN | クラウドサービス | ネットワーク | ネットワーク管理 企業がさまざまなクラウドサービスを利用するようになり、ネットワークが複雑になるにつれて、VPN(仮想プライベートネットワーク)は必ずしも適切なセキュリティツールとは言えなくなっている。 より安全なリモート接続の手段として、何も信用しない「ゼロトラストセキュリティ」の考え方に基づいた「SDP」(ソフトウェア定義境界)と、ネットワークとセキュリティを単一のクラウドサービスとして提供する「SASE」(セキュアアクセスサービスエッジ)がある。 VPNでも問題ない場合はあるが、特定の条件に当てはまる企業はSDPやSASEへの移行を検討すべきだ。どのようなタイミングや条件でVPNに移行すべきなのか。 「脱VPN」をすべき4つの条件とは? 併せて読みたいお薦め記事 連載:脱VPNは必要なのか 前半:なぜVPNは「もはや

            「VPN」をやめて「SDP」や「SASE」に移行すべき4つの条件
          • Windowsカーネルから見るオブジェクトハンドル - ラック・セキュリティごった煮ブログ

            デジタルペンテスト部の北原です。 今回は、Windowsでのツール開発者にとっては重要なハンドルの内部について解説します。 Windowsでは、ファイルやプロセスから始まりすべてのリソースはオブジェクトとして扱われ、ファイルの削除やメモリの確保にはハンドルを取得する必要があります。 ツールやアプリケーションの開発者にとっては、日常的にハンドルを操作する機会がありますが、通常の利用者にとってはあまり意識するものではありません。 本記事では、Windows OSでのハンドルの役割と、OS内部でどの様に管理されているのかについて解説します。 記事の構成は以下の通りです。 ハンドルの役割とアクセス権限 ハンドルへの情報の問い合わせと操作 カーネル空間でのハンドル管理 応用例1 - オブジェクトをロックしているプロセスの特定 応用例2 - カーネルモードルートキット 本記事は以下の読者層を想定してい

              Windowsカーネルから見るオブジェクトハンドル - ラック・セキュリティごった煮ブログ
            • Intelの取締役会は半導体に詳しくない人物が大半を占め無能な決定でIntelを死に追いやっている

              Intelは業績の低迷が続いており、2024年8月には100億ドル(約1兆5000億円)のコスト削減計画の一環として全従業員の15%に相当する約1万5000人の人員削減を実施しました。また、競合他社によるIntelの一部事業の買収計画も報じられています。いったいなぜIntelがこれほどまでに没落してしまったかについて、テクノロジー系メディアのSemiAnalysisが「Intelは死の瀬戸際にいる(Intel on the Brink of Death)」と題した分析記事を公開しています。 Intel on the Brink of Death | Culture Rot, Product Focus Flawed, Foundry Must Survive – SemiAnalysis https://semianalysis.com/2024/12/09/intel-on-the-br

                Intelの取締役会は半導体に詳しくない人物が大半を占め無能な決定でIntelを死に追いやっている
              • AIが100%突破できない「私はロボットではありません」 海外チームによる新CAPTCHA AI生成の“錯視画像”利用

                このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「私はロボットではありません」でおなじみの米Googleが開発するセキュリティ技術「CAPTCHA」は、人間とbotを区別するために「人間にとって容易だがbotにとって困難」を目標に工夫して作られている。 しかし、従来のCAPTCHAは大規模言語モデル(LLM)の進化により脆弱性を示している。そこでこの研究では、既存のCAPTCHAの課題を詳細に分析し、より効果的な解決策を提案する。 研究チームはまず、現在のCAPTCHAの問題点を明らかにするため、包括的な実証研究を実施した。テキストベース、画像ベース、推論ベースの3種類のCAPTCHAにつ

                  AIが100%突破できない「私はロボットではありません」 海外チームによる新CAPTCHA AI生成の“錯視画像”利用
                • WordPress開発に14年以上参加してきたエンジニアが離脱を表明、「Automatticの周囲にカルトが形成されている」

                  WordPressのオープンソース開発プロジェクトであるWordPress.orgの所有者でAutomatticのCEOでもあるマット・マレンウェッグ氏の発言をきっかけに、WordPress.orgならびにAutomatticがウェブホスティングサービスを提供するWP Engineと激しい論争を繰り広げ、争いの舞台はついに法廷にまで発展しています。そんな中、WordPress.orgに14年以上にわたって貢献してきたエンジニアのクリス・ウィーグマン氏が、WordPressとの決別を宣言しました。 So Long WordPress - Chris Wiegman https://chriswiegman.com/2024/10/so-long-wordpress/ ウィーグマン氏はセキュリティ技術企業のSuperFileでエンジニアリング担当バイスプレジデントを務めています。同時に14年以

                    WordPress開発に14年以上参加してきたエンジニアが離脱を表明、「Automatticの周囲にカルトが形成されている」
                  • 「セキュリティエンジニアの知識地図」の感想と、自分の今までのキャリアの振り返り - トリコロールな猫/セキュリティ

                    はじめに 予約して買って読みました。 セキュリティエンジニアの知識地図 作者:井上 圭,大塚 淳平,幸田 将司,国分 裕,下川 善久,洲崎 俊,関根 鉄平,坪井 祐一,山本 和也,山本 健太,吉田 聡技術評論社Amazon Xでとりとめなくポストしたものをまとめた記事です。Xの方にはここに書いていないことも書いているで興味のある方はこちらをどうぞ。 扁桃炎で寝込み中だけど昨日から寝っぱなしでこれ以上眠れなさそうなので、「セキュリティエンジニアの知識地図」を読んだ感想として自分のキャリアを振り返ってみる。ここに書いてあとでブログにまとめたい。 2000年に民間のセキュリティ企業に就職。入社直前に科学技術庁(現在の文科省)のサイトが— トリコロールな猫 (@nekotricolor) February 28, 2025 本の感想 まずは本の感想を章ごとに。 第1章 セキュリティエンジニアという

                      「セキュリティエンジニアの知識地図」の感想と、自分の今までのキャリアの振り返り - トリコロールな猫/セキュリティ
                    • レベル別で紹介!オープンソースで挑戦できる120のプロジェクトアイデア集 - Qiita

                      はじめに 「オープンソースに挑戦したいけど、どんなプロジェクトを作ればいいかわからない…」そんな悩みを持っていませんか? 本記事では、初心者・中級者・上級者・達人 の4つのレベルに分けて、合計 120個のオープンソースプロジェクトアイデア を紹介します。 それぞれのアイデアの詳細については折りたたんであります。興味がある内容については広げてみて機能要件や実装のポイント、拡張機能、学べることを見てみてください! 自分のスキルレベルに合ったプロジェクトを見つけて、実際に開発に挑戦してみましょう! 初心者向けプロジェクトアイデア 1. ToDoリストアプリ 概要 ToDoリストアプリは、ユーザーがタスクを追加・編集・削除し、完了状況を管理できるシンプルなアプリです。 初心者でも取り組みやすく、プログラミングの基礎となる CRUD(Create, Read, Update, Delete) の概念

                      • だます技術

                        この本の概要 「自分がひっかかるわけない」 そう思ってる人が,なぜカモになるのか? 被害者が年々増える一方の特殊詐欺で使われる手口を体系化。 本物と錯覚させる 美味しい話で惹きつける 話術と仕掛けで信用させる 考えられない状況に陥れる 被害例をもとに,だましのテクニックとだまされる心理の仕組みがわかる。 あなたを,親を,子どもを,被害から守るための知識を金融犯罪対策のプロ集団が解説。 【巻頭付録】詐欺一覧表 こんな方におすすめ 特殊詐欺の被害に遭う可能性がある高齢の親御様や10代後半~20代のお子様のいらっしゃる方 会社紹介 株式会社ラック 金融犯罪対策センター(かぶしきがいしゃらっく きんゆうはんざいたいさくせんたー) 情報セキュリティ分野のリーディング企業である株式会社ラックが,近年増加するサイバー犯罪や金融犯罪に対応する専門組織として,2021年5月に設立。「安心して利用できる金融サ

                          だます技術
                        • 学生が生成AIでマルウェアをつくってみた――ほぼコーディングせず脱獄もなし 北海道科学大が検証

                          このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 北海道科学大学に所属する研究者らが発表した論文「ChatGPTを用いたマルウェア実装」は、コーディング作業を極力せずに、GPT-4を用いてマルウェアが作れるかを実際に検証した研究報告である。 先行研究では、高度なセキュリティ技術を持つ研究者がChatGPTの脱獄(ジェイルブレーク)を行うことでマルウェアを作成できることを示した。今回は、GPT-4に対して、脱獄を行わずにプロンプトによる指示を出すだけで、セキュリティ技術に熟練していない人でも高度なマルウェアを作成できるかを検証する。 具体的には、以下の4種類のマルウェアをPythonで作成する

                            学生が生成AIでマルウェアをつくってみた――ほぼコーディングせず脱獄もなし 北海道科学大が検証
                          • 『情報セキュリティの敗北史』を読んだ - chroju.dev

                            https://www.hakuyo-sha.co.jp/science/security/ 面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。 歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速に

                              『情報セキュリティの敗北史』を読んだ - chroju.dev
                            • ITロードマップ2025年版【Day1】2030年のサイバーセキュリティ

                              概要 NRIが2005年から毎年刊行している、最新のIT動向の調査結果をまとめた書籍『ITロードマップ』に、NRIセキュアテクノロジーズは、2017年版からセキュリティ技術の最新動向について執筆しています。 2025年版では、「セキュアな未来の創造」をテーマに、「2030年の日本社会におけるセキュリティランドスケープ」「SDV時代のセキュリティ」「半導体デバイスとセキュリティ」「半導体開発の民主化とRobotics Securityの展望」「次世代のネットワークセキュリティ」「リスクベースの脆弱性管理」「組織に求められるWeb3.0セキュリティ対策」「秘密計算で強化するデータセキュリティ」を取り上げています。 この中から、今回のフォーラムでは「セキュリティロードマップ」と題して、2030年までに発生しうるサイバーセキュリティに関連する6つの変化について解説します。

                                ITロードマップ2025年版【Day1】2030年のサイバーセキュリティ
                              • 世界を上回るペースでBoxが日本で受け入れられている理由 「Box AI」で加速する社内コンテンツの活用

                                世界を上回るペースでBoxが日本で受け入れられている理由 「Box AI」で加速する社内コンテンツの活用:IT産業のトレンドリーダーに聞く!(1/3 ページ) Boxが、「第3章」の幕開けを迎えている。 コンテンツの同期と共有からスタートしたBoxのサービスは、コロナ禍においてリモートワークが進展する中、セキュアなコンテンツ管理の仕組みとして高い評価を得て、日本でも利用が大きく拡大。さらに、昨今ではAIを活用したインテリジェントコンテンツマネジメント(ICM)のメッセージを打ち出し、セキュアなコラボレーションやコンテンツ管理、AIを活用したワークフローの実現を支援するサービスへと進化している。 そして2024年11月に、米サンフランシスコで開催した同社年次カンファレンス「BoxWorks 2024」では、「Content+AI」をテーマに、ICMを次のステージへと引き上げた。 インタビュー

                                  世界を上回るペースでBoxが日本で受け入れられている理由 「Box AI」で加速する社内コンテンツの活用
                                • KDDIがラックを買収した件 - orangeitems thinks that...

                                  www.itmedia.co.jp KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付(TOB)を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円におよぶという。 昨日のSCSKによるネットワンシステムズの買収も驚いたが、こちらの件も驚いた。これはもうブームになりつつあるのではないか。専業で手を動かせる中小規模の会社はどんどん大型の資本に吸い込まれていく気がする。 それだけ、人の手を確保するのが競争になっている。競争に買ったところで単価は値上がりするだけなので、もう企業ごと押さえた方がいい。それはその通りである。この件はセキュリティー技術、である。 何かデジタルで新しく構築する際には、必ずセキュリティー的な担保が必要となってくる。そこをサボればどうなるか。安く仕上げることはできるかもしれないが、その後何かあった時のリスクが顕在

                                    KDDIがラックを買収した件 - orangeitems thinks that...
                                  • 10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 | レバテックラボ(レバテックLAB)

                                    10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 2024年12月17日 GMOサイバーセキュリティ byイエラエ株式会社 福森大喜 2002年に国内大手セキュリティ企業に入社後、不正検知システムの開発、インシデントレスポンスチーム、Webアプリケーションのセキュリティ検査などに従事。2006年にはサイバーセキュリティ企業の立ち上げに携わりCTOを務める。世界最高峰のハッキングコンテスト「DEF CON CTF」決勝戦に2009年から5年連続出場した後、2014年にインターポールサイバー犯罪捜査部門に民間からの出向者として世界初登用。サイバー犯罪捜査を行う傍らインターポールに加盟国のサイバー犯罪捜査官の技術的指導にあたる。2016年、2021年には韓国のセキュリティ技術者エリート養成所BoB (Best of the Best) の特別講師も

                                      10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 | レバテックラボ(レバテックLAB)
                                    • ASM導入検討を進めるためのガイダンス(基礎編)

                                      第1章 はじめに1.1 ASM(Attack Surface Management)の必要性1.2 本ドキュメントの構成と読み進めるための補足第2章 Attack Surface Management(ASM)とは何か2.1 ASMの位置づけ2.2 ASMとは2.3 ASMのプロセス2.4 ASMや同カテゴリに類されることが多いツールやサービス第3章 ASM導入が必要であるかの判断(ASMの要件定義)3.1 課題の把握3.2 課題解決のための要件定義第4章 ASMツール/サービスの選定4.1 本章でのケース設定4.2 ASMツールに求める機能4.3 ASMツールの注意点第5章 ASMの運用体制の構築5.1 現状のIT資産の特定と評価5.2 主管の決定・運用リソースの確保5.3 発見したIT資産・脆弱性情報への対応プロセスの検討第6章 ASM活用事例6.1 活用事例1コラムASMツールは脆弱

                                      • 注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術

                                        2025年がスタートしました。セキュリティにおいては季節による変動要素というよりも、攻撃者が活発に動くかどうかが影響します。攻撃者が年末年始を「気が緩む時期」と捉えていれば、大量のフィッシングメールなどであなたの気の緩みを狙うかもしれません。普段通り、焦らずに対応をお願いします。 年初ということで、今回は少々緩めに2025年こそ流行ってほしい3つのセキュリティ技術を取り上げたいと思います。 1.パスキー パスワードレスの世界を2025年こそ実現しよう 1つ目は、徐々に浸透しつつある「パスキー」です。これは、皆さんが持つスマートフォンを生体認証デバイスとし、ログイン時にIDと生体認証を使うという本人認証の仕組みです。大手サービスが対応し始めていることで、皆さんも1つくらいはパスキー登録したサービスがあるのではないでしょうか。 ゲーム機を製造する任天堂は早くからパスキー対応を表明しており、大人

                                          注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
                                        • なぜアメリカのイスラエル支持はかくも盤石なのか?|公益財団法人 中東調査会

                                          MEIJコメンタリーNo.8 明治学院大学法学部政治学科准教授 溝渕正季 はじめに アメリカとイスラエルはしばしば「特別な関係(Special Relationship)」にあるといわれることがある。この言葉を最初に用いたのはジョン・F・ケネディ大統領であった。1962年12月、彼はイスラエルのゴルダ・メイア外相に会い、こう告げたといわれる。「アメリカはイスラエルと特別な関係を築いている。かつて、そして今も英国とそうであるように」。 実際、アメリカはかつても現在も変わらず、イスラエルにとって大恩人である。1948年にイスラエルが建国されて以来、アメリカは外交面でも経済面でも一貫してイスラエルを力強く支持してきた。イスラエルは第二次世界大戦後、アメリカの対外援助を最も多く受けた国であり、これまでにおよそ3,100億ドル(インフレ調整後)の経済的・軍事的援助を受けている。1970年代から200

                                            なぜアメリカのイスラエル支持はかくも盤石なのか?|公益財団法人 中東調査会
                                          • 司法省とFBIが数ヶ月にわたる国際活動を展開 数千台のコンピュータから中国ハッカーのマルウェアを除去 - 黄大仙の blog

                                            米国司法省と連邦捜査局(FBI)は14日、数カ月にわたる法執行活動を発表しました。米国当局が国際的なパートナーと協力したこの作戦により、影響を受けた世界中の数千台のコンピュータからPlugXマルウェアが除去されました。 米国国営国際放送の美國之音の記事より 米司法省とFBIが中国ハッカーのマルウェアを除去 ペンシルベニア州東部地区連邦地方裁判所で公開された文書によると、中国政府がスポンサーとなったハッカー集団が、このマルウェアのバージョンを使って被害者のコンピューターをコントロールし、感染させ、情報を盗んだと司法省は声明で述べました。このハッカーたちは、民間では「ムスタング・パンダ」「ツイル・タイフーン」と呼ばれていました。 司法省によると、裁判文書によると、中国政府はムスタング・パンダに、このバージョンのPlugXマルウェアの開発を含む、さまざまなコンピュータ侵入サービスを提供するよう支

                                              司法省とFBIが数ヶ月にわたる国際活動を展開 数千台のコンピュータから中国ハッカーのマルウェアを除去 - 黄大仙の blog
                                            • SLSA (Supply-chain Levels for Software Artifacts) について - SIOS SECURITY BLOG

                                              OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 SLSA (Supply-chain Levels for Software Artifacts) についてSBOMとの関係を調べるうちにいくつかわかったこと・翻訳などをまとめておきます。 SLSAとは SLSAとはGoogleが提唱しているソフトウェアのサプライチェーンにおける完全性を確保するためのセキュリティフレームワークです。SLSAの主な目的は、ソフトウェアの開発から顧客が使用までの一連の流れであるサプライチェーンを保護し、改ざんやインシデントからソフトウェアを保護することです。SLSAのフレームワークは、成熟度によってレベル1から4に分類されており、各段階ごとにソフトウェア・サプライチェー

                                                SLSA (Supply-chain Levels for Software Artifacts) について - SIOS SECURITY BLOG
                                              • 正規通信との区別はほぼ不可能な「偽のMicrosoftメール」に注意、「従来のセキュリティでは認識しにくい」のはなぜ? 対策は?

                                                チェック・ポイント・ソフトウェア・テクノロジーズによると、Microsoftの従業員や関連するベンダーを装って電子メールの受信者を欺く詐欺行為が急増している。同社は過去1カ月間で、Microsoftからの通知を装った電子メールを5000通以上検出したとしている。メールが侵害されると、メールアカウントの乗っ取りや、ランサムウェアへの感染、情報窃取などの深刻な問題が発生し、ビジネスに重大な影響を及ぼしかねない。 チェック・ポイント・ソフトウェア・テクノロジーズが発見した「Microsoftになりすましたフィッシングメール」の特徴は、“怪しげなドメイン”ではなく実際の組織が使っている“正規ドメインからのメール”を装っていることだ。これらのメールは、高度な難読化技術が使われていることに加え、一部のメールにはMicrosoftのプライバシーポリシーの文言が書かれているなど、本物に見せかける工夫がされ

                                                  正規通信との区別はほぼ不可能な「偽のMicrosoftメール」に注意、「従来のセキュリティでは認識しにくい」のはなぜ? 対策は?
                                                • IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料

                                                  情報処理推進機構(IPA)は4月8日、「セキュリティ・キャンプ2024 全国大会/ネクスト/ジュニア」のエントリー受付を開始した。IPAとセキュリティ・キャンプ協議会(東京都千代田区)が主催し、8月12日から17日の6日間、東京都府中市にて開催する。エントリーは5月13日まで、応募課題の提出は5月20日まで。参加費は交通費、宿泊費を含み無料。 同イベントは情報セキュリティに関する高度な技術教育と倫理教育を目的に、審査に通過した日本国内の学校に在籍する学生や生徒、児童を対象に実施。それぞれ募集年齢やレベルの異なる「全国大会」「ネクスト」「ジュニア」の3種類で募集する。 全国大会は、セキュリティ分野に興味を持ち、将来同分野で活躍したいという意志を持つ13~22歳の学生、生徒が対象。高度な情報セキュリティ技術やモラル、自律的な学習意識の習得機会を提供する。2004年度のスタート以来、23年度まで

                                                    IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料
                                                  • 「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab

                                                    はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした

                                                      「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
                                                    • 1万5000台超のFortiGateデバイスの情報が流出 過去のゼロデイを悪用か

                                                      サイバーセキュリティ研究者のケビン・ボーモント氏は2024年1月16日(現地時間)、「Belsen Group」と呼ばれるサイバー犯罪グループが1万5000台以上の「FortiGate」デバイスのファイアウォールの設定を公開したと報告した。 同氏によると、2022年に公開されたゼロデイ脆弱(ぜいじゃく)性(CVE-2022-40684)を悪用して多数のFortiGateデバイスから機密情報が窃取され、そのデータが公開されたという。公開された情報にはユーザー名やパスワード(プレーンテキストを含む)、ファイアウォールルール、デバイス管理証明書といった重要な情報が含まれている。 ゼロデイ脆弱性の悪用によってFortiGateの機密データが流出 Fortinetは2022年10月、FortiGateファイアウォールのゼロデイ脆弱性の存在を報告している。この脆弱性が悪用された場合、攻撃者がデバイスの

                                                        1万5000台超のFortiGateデバイスの情報が流出 過去のゼロデイを悪用か
                                                      • AppleのアシスタントAI「Apple Intelligence」に使われるAI処理サーバー「Private Cloud Compute」の安全性への取り組みをAppleが説明

                                                        Appleが2024年6月11日に発表したAIアシスタント「Apple Intelligence」は、デバイス上で処理しきれない高負荷タスクをAppleのサーバー上で実行します。AppleはAI処理実行サーバーを「Private Cloud Compute(PCC)」と名付けており、PCCの安全性への取り組みを公式ブログで説明しています。 Blog - Private Cloud Compute: A new frontier for AI privacy in the cloud - Apple Security Research https://security.apple.com/blog/private-cloud-compute/ Apple IntelligenceはiPhoneやMacなどのApple製デバイスに統合されるAIアシスタントで、通知の要約やコンテンツの生成など多

                                                          AppleのアシスタントAI「Apple Intelligence」に使われるAI処理サーバー「Private Cloud Compute」の安全性への取り組みをAppleが説明
                                                        • 世界中の何百万台ものPixelデバイスに影響を与えるAndroidの脆弱性が発見される

                                                          スマートフォン向けのセキュリティ製品を提供するiVerifyが、2017年9月以降に出荷されたGoogleのPixelデバイスには、非常に高い確率でリモートコード実行やリモートパッケージインストール機能を含む過剰なシステム権限を持つAndroidパッケージ「Showcase.apk」が含まれていると指摘しています。 iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world 2024年初頭、iVerifyのセキュリティツールであるEDR

                                                            世界中の何百万台ものPixelデバイスに影響を与えるAndroidの脆弱性が発見される
                                                          • Appleがついに日本で「iPhoneのタッチ決済」を提供開始、専用デバイスや決済端末なしのiPhoneのみで手軽にタッチ決済を導入可能に

                                                            2024年5月16日、AppleがiPhoneさえあればタッチ決済を導入できるようになる「iPhoneのタッチ決済」の提供を日本でも開始したと発表しました。これにより小売店や事業者は、Squareリーダーのようなクレジットカード読み取りデバイスや決済端末なしで、簡単にタッチ決済を導入可能となります。 Apple、iPhoneのタッチ決済を日本で提供開始 - Apple (日本) https://www.apple.com/jp/newsroom/2024/05/apple-introduces-tap-to-pay-on-iphone-in-japan/ 「iPhoneのタッチ決済」で誰でも簡単に非接触決済に対応する方法 - YouTube 「iPhoneのタッチ決済」は、iPhoneを使ってシームレスかつ安全に非接触決済のクレジットカードやデビットカード(一部の非接触決済カードは利用でき

                                                              Appleがついに日本で「iPhoneのタッチ決済」を提供開始、専用デバイスや決済端末なしのiPhoneのみで手軽にタッチ決済を導入可能に
                                                            • 徳丸氏が解説、クラウドネイティブ環境でWebサービスを立ち上げる際に気を付けるべきポイント

                                                              「@IT Cloud Native Week 2024 冬」の基調講演にイー・ガーディアングループCISO(最高情報セキュリティ責任者)兼EGセキュアソリューションズ取締役CTO(最高技術責任者)の徳丸 浩氏が登壇。「クラウドネイティブなWebサービスにおけるセキュリティの勘所」と題し、クラウドネイティブ環境でWebサービスを展開する際に気を付けるべきセキュリティのポイントを解説した。 DevOpsやマイクロサービス、コンテナにもセキュリティ課題はある 著書『体系的に学ぶ 安全なWebアプリケーションの作り方』(通称、徳丸本)やYouTubeチャンネルなど、数多くの媒体での発信や提言を通じて、サイバーセキュリティ業界の発展に貢献し続けている徳丸氏。冒頭、クラウドネイティブの目的をこう解説した。 「クラウドネイティブの目的は柔軟性と迅速性にあります。Webサービスを提供していく上では、ニーズ

                                                                徳丸氏が解説、クラウドネイティブ環境でWebサービスを立ち上げる際に気を付けるべきポイント
                                                              • 絶えぬIoT機器への攻撃、一般家庭のリスクは? スマート化していくお家の未来と対策【フォーカス】 レバテックラボ(レバテックLAB)

                                                                絶えぬIoT機器への攻撃、一般家庭のリスクは? スマート化していくお家の未来と対策【フォーカス】 2024年7月22日 神奈川工科大学情報学部情報ネットワーク・コミュニケーション学科 教授 岡本 剛 情報セキュリティ学者。マルウェアの解析やサイバー攻撃の検出に関する技術研究を専門分野とする。主なテーマとして、生物の免疫システムをモデルにした情報システムやセキュリティ技術の確立に取り組む。情報処理学会のコンピュータセキュリティシンポジウム2022では、NTT社会情報研究所との共同研究にて発表したIoTマルウェアの解析ツール「xltrace」により最優秀論文賞を受賞。 研究室公式サイト researchmap) 公的機関や企業をターゲットにしたサイバー犯罪が横行し、近年はIoT機器をターゲットにした攻撃も増えています。セキュリティプロバイダ「チェック・ポイント・ソフトウェア・テクノロジーズ」の

                                                                  絶えぬIoT機器への攻撃、一般家庭のリスクは? スマート化していくお家の未来と対策【フォーカス】 レバテックラボ(レバテックLAB)
                                                                • OpenVPNに「緊急」の脆弱性 急ぎ修正済みバージョンへの更新を

                                                                  米国国立標準技術研究所(NIST)は2025年1月6日(現地時間、以下同)、同組織が管理している脆弱(ぜいじゃく)性情報データベース(NVD)に「OpenVPN」の脆弱性「CVE-2024-5594」に関する情報を登録した。 該当バージョンにはPUSH_REPLYメッセージのサニタイズが適切に実施されていない問題があるとされており、脆弱性が悪用された場合、サイバー攻撃者によって予期しない任意のデータをサードパーティーの実行ファイルやプラグインに注入される可能性がある。 OpenVPNに「緊急」の脆弱性 該当バージョンは? 脆弱性が存在するバージョンは以下の通りだ。 OpenVPN 2.6.11は2024年6月21日に既に公開されており、その段階で「CVE-2024-5594」が修正されていることについても説明されている。 OpenVPN 2.6.11の公開時には「CVE-2024-4877

                                                                    OpenVPNに「緊急」の脆弱性 急ぎ修正済みバージョンへの更新を
                                                                  • 当社子会社(SCSK株式会社、証券コード9719)によるネットワンシステムズ株式会社(証券コード7518)に対する公開買付け開始に関するお知らせ

                                                                    2024 年 11 月 6 日 各 位 会社名 住友商事株式会社 代表者名 代表取締役 社長執行役員 CEO 上野 真吾 (コード番号:8053、東証プライム) 問合せ先 広報部長 長澤 修一 (TEL:03-6285-3100) 当社子会社(SCSK 株式会社、証券コード 9719)によるネットワンシステムズ株式会社(証券コード 7518)に対する公開買付け開始に関するお知らせ 当社連結子会社である SCSK 株式会社が、ネットワンシステムズ株式会社の普通株式等を対象とす る公開買付けを開始することを 2024 年 11 月 6 日に決定いたしましたので、お知らせします。 SCSK株式会社の概要 所在地 東京都江東区豊洲三丁目2番20号 代表者の役職・氏名 代表取締役 執行役員 社長 當麻 隆昭 事業内容 ソフトウェア開発、 情報処理サービス、 通信ネットワークサービス、 パッケージ・

                                                                    • 複数のトンネリングプロトコルに脆弱性 420万以上のホストに影響

                                                                      Top10VPNは2025年1月15日(現地時間)、複数のトンネリングプロトコルに新たな脆弱(ぜいじゃく)性が見つかったと報告した。VPNサーバや家庭用ルーターを含む420万以上のインターネットホストが攻撃者による乗っ取りの危険にさらされており、匿名攻撃の踏み台として悪用される可能性がある。 調査によると、218の国または地域に脆弱なホストが存在することが判明しており、その中には日本も含まれているという。 420万以上のVPNとルーターを脅かすトンネリング脆弱性 日本にも影響 発見された脆弱性のCVE情報は以下の通りだ。 CVE-2024-7595: GREおよびGRE6プロトコルで認証やフィルタリングを必要としないように設定されている場合、リモートの認証されていない攻撃者がパケットを偽装したり、アクセス制御を回避したりする可能性がある CVE-2024-7596: Generic UDP

                                                                        複数のトンネリングプロトコルに脆弱性 420万以上のホストに影響
                                                                      • ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット

                                                                        303人のセキュリティリーダーを対象とした調査に基づき、Gartnerが2024年4月22日(現地時間)に発表したレポートによると(注1)、全世界の組織のほぼ3分の2がゼロトラストセキュリティ戦略を完全または部分的に導入しているという。 ゼロトラストセキュリティはいいことばかりではない? 導入のデメリット ゼロトラストセキュリティを完全または部分的に導入している組織のうち、約80%の企業が成功を測定するための戦略的な指標を持っている。そのうちの約90%はリスクを測定するための指標も持っている。 Gartnerの調査によると、ゼロトラストセキュリティ構築後、5社に3社はコストが増加すると予測し、5社に2社はスタッフの人数が増加する可能性が高いと予測している。 悪質なサイバー攻撃の急増を受けて、ゼロトラストセキュリティ戦略を採用する企業が増えている。テレワークやハイブリッドワークなど、1週間を

                                                                          ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット
                                                                        • Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性

                                                                          セキュリティニュースメディア「GBHackers on Security」は2025年1月14日(現地時間)、Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が発見され、数百万人のユーザーの個人情報が漏えいするリスクがあると報じた。 Googleの認証システムに重大な欠陥 Slackなどに不正アクセスできるリスク この脆弱(ぜいじゃく)性はGoogleのOAuth(※)ログインの仕組みとドメイン所有権の変更に起因している。スタートアップ企業が倒産し、そのドメインが他者に購入されると、新しい所有者は旧従業員のメールアカウントを再作成し、さまざまなSaaSサービスにログインできる可能性がある。 この影響を受ける可能性のあるサービスには、「Slack」や「ChatGPT」「Zoom」などのプラットフォームや人事システムが含まれる。特に人事

                                                                            Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性
                                                                          • iPhone対Android、セキュリティはどっちが上? 明白な差が判明 | GetNavi web ゲットナビ

                                                                            iPhoneとAndroidでは、どちらのほうがセキュリティがより強固で、プライバシーが保護されているのか? 長年にわたるこの問題についてサイバーセキュリティ技術を扱うメディアのCybernewsが実際に検証し、結果を報告しました。 ↑セキュリティ能力がより高いのは… 今回の検証では、ドイツのApp StoreとGoogle Playストアからトップ100のアプリを、それぞれ工場出荷状態にリセットしたiPhone SEとAndroidスマートフォンにインストール。その後、両方のスマホをアイドル状態にしておき、外部サーバーにアクセスする頻度と、そのサーバーがどこにあるかをチェックしています。 その結果、iPhoneは1日あたり平均3308クエリ(問い合わせ)を外部サーバーに送信したのに対し、Androidは2323クエリを送信。つまり、前者が後者より42%多く情報を外部とやり取りしていたこと

                                                                              iPhone対Android、セキュリティはどっちが上? 明白な差が判明 | GetNavi web ゲットナビ
                                                                            • Windows 10や11の「Smart App Control」と「SmartScreen」をすり抜けて警告なしでプログラムが起動できる不具合の存在が判明

                                                                              Windowsに搭載されているセキュリティ機能である「Smart App Control」と「SmartScreen」に、セキュリティ警告やポップアップ表示なしでプログラムを起動できる設計上の欠陥があることが、セキュリティ企業のElastic Security Labsによって発見されました。 Dismantling Smart App Control — Elastic Security Labs https://www.elastic.co/security-labs/dismantling-smart-app-control Researchers Uncover Flaws in Windows Smart App Control and SmartScreen https://thehackernews.com/2024/08/researchers-uncover-flaws-

                                                                                Windows 10や11の「Smart App Control」と「SmartScreen」をすり抜けて警告なしでプログラムが起動できる不具合の存在が判明
                                                                              • Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など

                                                                                Microsoftは5月20日(米国時間)、「New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog」において、Windows 11に追加予定の新しいセキュリティ対策を発表した。これは「Secure Future Initiative」の取り組みに基づいたWindowsのセキュリティ強化プログラムとされる。 New Windows 11 features strengthen security to address evolving cyberthreat landscape|Microsoft Security Blog Windows 11に組み込まれる新しいセキュリティ対策 Microsoftが発表したWindows 11

                                                                                  Windows 11の新しいセキュリティ対策を発表、NTLMの非推奨など
                                                                                • 知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう

                                                                                  脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。 筆者は、最新のセキュリティ技術にも関心を持っていますが、やはり重要なのは「基礎」だと考えています。基礎は地味で目立たず、皆知っているという前提になっていることが多いため、メディアでも大きく取り上げられません。 例えば個人的には大変重要であると思っている「バックアップ」などは特集されることはまれですし、「最小権限の原則」などはセキュリティの基礎の基礎だけに、既に知っているということになっています(実際は別として……)。これはセキュリティ分野に限らない現象だと思っていますが、もはや「ゼロトラスト」の概念や「脆弱性(ぜいじゃく)管理」すら、基礎とされつつあり、注目が薄れているように思えます。 筆

                                                                                    知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう