Pythonにおけるimportの危険性とは 全ての運用関係者が知っておくべきPython特有のセキュリティリスク
Pythonにおけるimportの危険性とは 全ての運用関係者が知っておくべきPython特有のセキュリティリスク:便利だが攻撃者による悪用の可能性も Pythonのimportステートメントには、開発者や企業が注意する必要があるセキュリティリスクが伴う。これがどのように機能するのか、そしてなぜ簡単な解決策がないのかを解説する。 Pythonを使用する場合に対応が必要な、あまり注目されていないリスクが存在している。 最新のソフトウェア開発言語は全てモジュール式であるため、開発者はコードの大きなセクションを、より管理しやすい小さな部分に分割できる。これにより、通常はライブラリにグループ化されたコード単位を再利用できる。これらのライブラリは社内で作成されていないことが多く、グラフ作成、データベース接続、配列計算などの一般的なタスクを実行するために作成されたオープンソースコレクションだ。 コード
Teamsには、外部テナントが組織内のスタッフにファイルを送信することを防ぐセキュリティ機能が実装されている。この機能は組織内にマルウェアを感染させる方法として悪用される可能性があることから、クライアント側で制御できるようになっている。 しかし今回、JUMPSECのセキュリティ研究者はクライアント側のセキュリティ制御をバイパスする方法を発見した。この方法を使うことで外部から内部に対してファイルを送ることが可能となり、マルウェア感染が可能になる。 JUMPSECの研究者はこのファイル配信手段について「ほぼ全てのアンチ・フィッシング・セキュリティ・コントロールを回避できる」と指摘した。加えて、この脆弱性はデフォルト設定で利用できるため、潜在的に非常に多くの組織が影響を受ける可能性がある。 JUMPSECは同脆弱性についてMicrosoftに報告しており、Microsoftもこの問題を認めている
日立の責任者に聞く生成AIの“勢力予想図” 「来年、かなりの差がつく」:「サービス乱立時代」到来か 日立製作所は9月、東京ビッグサイトで「Hitachi Social Innovation Forum 2023 JAPAN」を開催した。基調講演として小島啓二社長兼CEOが登壇。生成AIの開発に対するビジョンを話した。 さまざまな展示がある中でも、特に生成AIに関するものが目を引く。日立が2021年に買収したグローバルロジック社の事例をはじめ、生成AIを活用したメタバース空間上での保守など多くの関連出展もあり、同社が生成AIの活用に注力していることが分かる。 この中に、生成AIの利活用を推進する「Generative AIセンター」のブースがあった。同センターは5月に新設されたばかりの組織だ。このGenerative AIセンターが中心となって、日立は既にグループ内のさまざまな業務で生成AI
ChatGPTの登場以来、国内外の多数の企業が企業向けのLLM開発支援に手を挙げている。ディープラーニングの第一人者でもある東京大学 松尾 豊氏の研究室から生まれたAI系のスタートアップ企業であるELYZAも、企業が独自の大規模言語モデル(以下、LLM)を構築するための支援プログラム「独自LLM開発支援プログラム」の提供を開始する。 企業独自のLLM開発のコストを1ケタ安く 独自LLM開発支援プログラムは、事前学習(Pre-Training)のプロセスを効率化しつつ、精度向上のカギを握る事後学習(Post-Training)については専用の基盤を構築して企業ごとのチューニングと運用を効率化するものだ。学習データの継続的な整備やフィードバック学習の運用も支援する。 ELYZAは、Pre-Trainingを効率化することで、独自のLLM開発にかかる費用を1ケタ安く提供できるとしている。
常時認証技術とは 富士通の新技術をミサワホームと検証
ミサワホームと富士通は、富士通が開発した常時認証技術による暮らしのパーソナライズ化、家族や訪問者を見守る空間に関する検証を、2024年1月まで実施する。パーソナライズ化された空間や家族、訪問者を見守るセキュアな空間についても検証する。
セキュリティ企業Guardioは2023年8月2日(現地時間)、「Salesforce」のゼロデイ脆弱(ぜいじゃく)性を悪用する高度なフィッシングキャンペーンを検出した。 新キャンペーンは、フィッシングメールの検出を巧みに回避し信頼性のある電子メールゲートウェイサービスに悪意のあるメールトラフィックを隠す手法を使っている。 サイバー攻撃者はフィッシングメールを日々進化させ、検出を回避するためのさまざまな方法を模索している。その一つが、信頼できる電子メールゲートウェイサービスに悪意あるメールトラフィックを隠す手法だ。Guardioが今回発見したフィッシング詐欺キャンペーンも、基本的にはこの方法で検出を回避している。 Salesforceには電子メールゲートウェイ機能が搭載されており、システムの基本コンポーネントとして活用されている。当然ながらこの機能はサイバー攻撃に悪用できないように設計され
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Teamsにマルウェアを送り込む手法をJUMPSECが発見 Microsoftは未対処
日立の責任者に聞く生成AIの“勢力予想図” 「来年、かなりの差がつく」
オフライン、オンプレミスでの独自LLM開発を1ケタ安く ELYZAがLLM開発支援プログラムを開始
SalesforceとFacebookの脆弱性を悪用する新たなフィッシング手法とは?