タリーズコーヒージャパンは、同社のECサイトを利用したユーザーのクレジットカード情報が5万件以上漏えいした可能性があるとして謝罪しました。 タリーズECサイトでクレカ情報漏えいか(画像はタリーズ公式サイトより) 個人情報の流出可能性も 漏えいした可能性があるのは、2021年7月20日~2024年5月20日に「タリーズ オンラインストア」でクレジットカード決済をした5万2958人の「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」。 また2020年10月1日~2024年5月23日に会員登録をした9万2685人の名前や住所、ログインIDやログインパスワードなどの個人情報も漏えいした可能性があるとしています。 原因は「オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明。上記に該当
【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告 |TULLY'S COFFEE - タリーズコーヒー
【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告 弊社が運営する「タリーズ オンラインストア(通信販売サイト)」におきまして、第三者による不正アクセスを受けたことを、5月30日に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」として公表いたしました。このたび、第三者調査機関による調査の結果、お客様の個人情報(92,685件)、内クレジットカード情報(52,958件)が漏洩した可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 なお、個人情報及びクレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には
JF全漁連の通販サイト「JFおさかなマルシェ ギョギョいち 本店」が不正アクセスを受け、クレジットカード情報やセキュリティコードなどが1万件以上が流出した可能性がある問題で、JF全漁連は10月3日、休止中の同サイトを7日に閉鎖すると発表した。 5月に警視庁からサイト改ざんの恐れについて連絡を受けてサイトを休止し、調査や対応を行っていた。扱っていた商品は、「JFおさかなマルシェ ギョギョいち JAタウン店」で引き続き購入できる。 JF全漁連の8月の発表によると、サイトを構築サービスのクロスサイトスクリプティング(XSS)脆弱性を突いた第三者による不正アクセスにより、不正ファイルが設置され、ペイメントアプリケーションが改ざんされたことが原因で、ユーザー情報が流出した可能性がある。 流出の可能性があるのは、会員登録したユーザー2万1728件の氏名、性別、生年月日、メールアドレス、郵便番号、住所、
はじめに GuardDuty Malware Protection for Amazon S3は何が嬉しいのか GuardDuty Malware Protection for Amazon S3のコスト GuardDuty Malware Protection for Amazon S3によるスキャンコスト オブジェクトタグの使用コスト S3 API コールのコスト GuardDuty Malware Protection for Amazon S3の運用する上で直面した課題と解決策 AWS Security Hubに統合されていないため、検知に気づきにくい パスを柔軟に指定してスキャンができない マルウェアが検知された場合の隔離機能がない GuardDuty Malware Protection for Amazon S3の制限内でスキャン・隔離・削除する場合 柔軟なパス指定をしてスキ
Attacking PHP - PHP
2008年にまつもとゆきひろ氏によって書かれたエッセイ。 Attacking PHP - Matzにっき(2008-01-26) PHPがいかに駄目な言語か、という話。 2024年にはどうか 以下の見解は@tadsanによる私見である。 いろんなものがfalseだったりするせいで、新たな比較演算子「===」が必要 その通り hashやlistがobjectが区別できない objectは当時から区別できるので、事実誤認では。 hash(PHPでは連想配列)とlistはPHP 8.1でarray_is_list()関数が追加されて標準関数で識別できるようになった それまでもユーザーランドの静的解析でlist型として慣習的に扱われていた PHP 8でも型宣言として扱えるわけではない オブジェクト指向機能が壊れている PHP 4時代のOOPは「壊れていた」かはともかく、一般的なOOP言語の振る舞い
生成AIを活用したシステム開発の現状と展望
Copyright (c) The Japan Research Institute, Limited 生成AIを活用したシステム開発 の現状と展望 - 生成AI時代を見据えたシステム開発に向けて - 株式会社日本総合研究所 先端技術ラボ 2024年09月30日 <本資料に関するお問い合わせ> 伊藤蓮(ito.ren@jri.co.jp) 近藤浩史(kondo.hirofumi@jri.co.jp) 本資料は、作成日時点で弊社が一般に信頼できると思われる資料に基づいて作成されたものですが、情報の正確性・完全性を弊社で保証するもので はありません。また、本資料の情報の内容は、経済情勢等の変化により変更されることがありますので、ご了承ください。本資料の情報に起因して閲覧者 及び第三者に損害が発生した場合でも、執筆者、執筆取材先及び弊社は一切責任を負わないものとします。本資料の著作権は株式会社日
Automatticから159名が退職、WP Engineとの係争が深刻化 – Capital P – WordPressメディア
WordPress共同創業者のマット・マレンウェグは10月3日づけで “Automattic Alignment” と題したブログ記事を公開、それによると159名がAutomatticを退職したようだ。これは現在WP Engineとの争いが発端で、マットの方針に同意しなかった職員が辞職したようである。この人数はAutomatticの全従業員の8.4%にあたる。 そして、日本人WordPressユーザーとしてややショッキングなのは、長年にわたって日本のWordPressコミュニティの発展に寄与してきた高野直子氏もその1名に含まれていたということである! 辞める理由ですが、簡潔に言うとすれば「最近の WP Engineとの対立の中でマット (Automattic CEO・WordPressプロジェクトリード) が下した戦略的決定に賛同できないため」です。 Naoko Takano 「Autom
Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。 Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes 脆弱性の概要 この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Ki
タリーズECサイトでクレカ情報5万件以上流出か 不正アクセスで……「深くお詫び」(ねとらぼ) - Yahoo!ニュース
タリーズコーヒージャパンは、同社のECサイトを利用したユーザーのクレジットカード情報が5万件以上漏えいした可能性があるとして謝罪しました。 【画像】情報漏えいした可能性があるタリーズの公式オンラインストア 個人情報の流出可能性も 漏えいした可能性があるのは、2021年7月20日~2024年5月20日に「タリーズ オンラインストア」でクレジットカード決済をした5万2958人の「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」。 また2020年10月1日~2024年5月23日に会員登録をした9万2685人の名前や住所、ログインIDやログインパスワードなどの個人情報も漏えいした可能性があるとしています。 原因は「オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明。上記に該当する9
Part2で紹介したランサムウエア攻撃のフェーズごとに、攻撃者の動きを検知したり食い止めたりする様々な対策が考えられる。 例えば(1)侵入~(2)対策ソフトの無効化では、端末やネットワーク機器の脆弱性を速やかに塞いでいればリスクを大きく減らせる。(3)通信の永続化~(6)横展開のフェーズでは、端末やネットワークのログを収集・分析*1することで不審な通信を検出し、遮断できる可能性がある。(7)ADの乗っ取りには脆弱性の修正やアカウントの安全性を高めるツールを使う手などがある。 いずれもランサムウエア対策として有用で、網羅的に導入できれば理想的だ。ただ、方策1つを実施するだけでも運用の手間がかかり費用もかさむ。ひとり情シスをはじめ中小企業の現場には荷が重い。コスパが良い手段に絞って採用するのが現実的だろう。 リスクベースで守る 守る対象を絞る際は、リスクベースの脆弱性管理(Risk Based
【セキュリティ ニュース】400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を(1ページ目 / 全2ページ):Security NEXT
400近いセイコーエプソン製品に脆弱性が明らかとなった。初期設定を行わずにネットワークへ接続している場合、機器を乗っ取られるおそれがあるという。 複数の同社製品では、ブラウザより本体の設定を確認、変更できる「Web Config(Remote Manager)」機能が提供されているが、初期状態では管理者パスワードが未設定となっている脆弱性「CVE-2024-47295」が判明した。 初期設定を行わずにネットワークへ接続している場合、機器にネットワーク経由でアクセスできる攻撃者が任意のパスワードを設定し、管理者権限で操作を行うことが可能となる。 インクジェットプリンタ220モデル、レーザープリンタ58モデルをはじめ、ドットインパクトプリンタ、大判プリンタ、レシートプリンタ、スキャナ、ネットワークインターフェイスなど、あわせて393製品が脆弱性の影響を受けるという。 共通脆弱性評価システム「C
はじめに ついにLoggol(ロゴル)の正式版をリリースすることが出来ました。それに合わせてLoggolブログも開始です。まず最初の記事として、そもそも何故このサービスを作ったのかについて書いてみようと思います。理由は複数あり、それらが複合的に混ざることで実際のサービス化を決心しました。 1. WAFの技術を活かせる 私はLoggolの開発以前より、継続して2つのクラウド型のセキュリティサービスの開発・運用に携わってきました。1つはWAFであるScutum、もう1つは脆弱性検査ツールであるVAddyです。どちらもおかげさまで順調にユーザを獲得でき、軌道に乗っています。 前者はWAFなので、受け取ったHTTPリクエストのデータを見て、それが「攻撃かどうか」を判断するという部分がサービスの中核になります。これはソフトウェアによって瞬時に行われる処理であり、人が判断するヒマはありません。ウェブア
責任ある発信者であり続けるために。C++高橋晶氏が考える、お金と情報発信のリアルな関係性 2024年9月30日 C++ライブラリアン 高橋 晶 C++日本語リファレンスサイトcpprefjpを運営し、C++の最新情報を日本語で発信している。株式会社Preferred Networksに所属し、スーパーコンピュータのソフトウェア開発に携わっている。 著書として、『C++テンプレートテクニック』(SBクリエイティブ)、『C++ポケットリファレンス』(技術評論社)、『プログラミングの魔導書』(ロングゲート)。 X: @cpp_akira GitHub: faithandbrave こんにちは。プログラミング言語C++に関する日本語情報の発信をしている高橋 晶です。 私は長年に渡って、おもにプログラミング言語C++に関する最新情報を、日本語で発信しています。プログラミングまたはソフトウェア開発の情
匿名化ブラウザのはずのTor、実はユーザー特定されるらしい2024.10.03 15:0015,638 湯木進悟 ネットで悪いことしてもバレないはウソ…? インターネット上には、ダークウェブともいわれる闇の世界が広がっています。そこまでヤバい領域に踏み込まずとも、オンラインだったら身元を隠してできるかなってことに、つい人は手を出しがち。 しかしPCMagは、匿名化ブラウザともいわれる「Tor」のユーザーが、どんなふうに身バレしていたのかを報じました。 Torブラウザのユーザーの身元特定どうやら発端は、ドイツのNDRによる逮捕事件報道。児童ポルノに関連した捜査の一環で、警察はTorの複数ユーザーにターゲットを絞り、暗号化された通信の解析に成功。どこからTorユーザーがネットワークへ接続しているかを割り出して、逮捕にいたりました。 警察が用いた手法について、ドイツのハッキング集団のChaos
新規事業「toitta」で導入したGoogle Cloudのセキュリティ機能の紹介 - Hatena Developer Blog
toittaチームSREのid:cohalzです。 この記事は、はてなのSREが毎月交代で書いているSRE連載の9月号です。8月の記事はid:walnuts1018さんのはてなブログや GigaViewer で使われている画像変換プロキシを EC2 から EKS に移行しましたでした。 はてなでは2024年7月に生成AIを活用したtoittaというサービスをベータ版でリリースしました。現在正式リリースに向けて準備中で、無料トライアルも実施中です。 ja.toitta.com このサービスはビジネス向けのSaaSアプリケーションで、インフラはGoogle Cloud上に構築しています。 ユーザーの皆様に安心してサービスをお使いいただくために、どうやってセキュアなサービスにしていったのかを、toittaで利用しているGoogle Cloudのセキュリティ系のサービスと合わせて紹介していきます。
タリーズコーヒージャパンは10月3日、直営の通販サイト「タリーズ オンラインストア」が不正アクセスを受けてペイメントアプリが改ざんされ、ユーザーのIDやパスワード9万2685件が流出した可能性があると発表した。 うち、クレジットカード番号を登録していたユーザー5万2958件は、カード番号やセキュリティコードなども流出したおそれがあるという。 サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けてペイメントアプリが改ざんされたことが原因。 流出した可能性がある個人情報は、2021年7月20日~2024年5月20日にタリーズ オンラインストアで会員登録した9万2685人の氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報。 また、2021年7月20日~2024年5月20日に同ストアでクレジットカード決済した5万2958人のクレジットカ
ぬかるみの世界 - 叡智の三猿
かっての同僚と有楽町にある「千房(ちぼう)」でお好み焼きを食べに行きました。 仕事で関わっていたのは20代の頃でした。30年以上前の出来事も鮮明な記憶があります。 いまでも交流の場あるのは、嬉しい限りです。 宴もラストになり、同僚が注文したのは「ぬかるみ焼き」です。 独特なネーミングですが、これは千房のメニュー表には載ってないお好み焼きです。 その正体は、ミックス焼きです。ただ、メニュー表にあるミックス焼きより、安価な価格設定になってます。 「ぬかるみ焼き」は、千房の裏メニューとして知られています。 誕生のきっかけは、かって笑福亭鶴瓶が出ていた深夜ラジオ番組(ぬかるみの世界)からのようです。 昭和時代に大阪に住んでない人にとっては、馴染みはないと思います。 わたしも東京の人間です。大阪でやっていた鶴瓶のラジオ番組は聞いたことはありません。 ただ、わたしは大阪に本社がある会社に10年勤めてい
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月30日、「JVNVU#95133448: 複数のセイコーエプソン製品のWeb Configにおける初期パスワードに関する脆弱性」において、セイコーエプソンの複数の製品に脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、リモートからデバイスを乗っ取られる可能性がある。 JVNVU#95133448: 複数のセイコーエプソン製品のWeb Configにおける初期パスワードに関する脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 プリンター、スキャナーおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について|エプソン 脆弱性の情報(CVE)は次
今月より晴れて、情報処理安全確保支援士(登録番号028693)を名乗れるようになりました。昨年取った医療情報技師と合わせて、医療情報システムの情報処理安全についてのプロフェッショナルであることをある程度の説得力を持って説明できるようになったと考えています。 とはいえ資格をとったら急に仕事ができるようになるかというとンなわけないので、より複雑な課題解決ができるように継続して学んでいきます。とりあえず今日は、なぜセキュリティなのかと、今後の抱負をここにまとめておこうと考えた次第です。 なぜ今セキュリティなのか 私はいままでCDワークフロー改善であるとか、ログ管理含めた保守性であるとか、エンタープライズアプリケーションの性能改善であるとか、どちらかと言えばシステム実装に寄った非機能要件を多く見てきました。 一応OSSライセンスの管理やビルドスクリプト改善から発展して、OSS脆弱性への対応も経験し
継続的デプロイメントの継続的な学習 - Continuous Deployment の読書感想文 - じゃあ、おうちで学べる
自動化は私の忍耐力の限界を補完してくれます。 はじめに 本書「Continuous Deployment」は、継続的デプロイメントの実践に焦点を当てた包括的なガイドです。継続的デプロイメントは、ソフトウェアパイプラインを完全に自動化し、手動介入を必要としない手法です。この方法により、クオリティーゲートを通過したすべてのコードコミットが自動的に本番環境にデプロイされます。 私は、ソフトウェア開発の現場で、オンプレミスの手動デプロイから始まり、Makefileによる自動化、JenkinsやCircleCI、GitHub Actions、GitLab CI/CD、AWS CodePipeline、Cloud Build 、ArgoCD、PipeCDなど、様々なツールや手法を経験してきました。この過程で、継続的デプロイメントが開発プロセスを改善し、ビジネス価値を創出する様子を目の当たりにしました。
「セキュリティ若手の会」とは 「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちが、セキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。 ※本コミュニティの概要は、トップページをご覧ください。 X: @sec_wakate 参加対象 若手セキュリティエンジニア(社会人):新卒1~3年目の方 学生:16歳以上の方 こんな方におすすめ セキュリティに興味があり、セキュリティエンジニアになりたいと思う学生 セキュリティに関する業務に携わっている若手セキュリティエンジニアで、セキュリティに興味ある学生や同世代のセキュリティエンジニアと交流したい方 セキュリティ技術に関する業務に興味がある方 幹部メンバー 佐田 淳史(さだ あつし) ユーザー企業で働く24卒
【セキュリティ ニュース】「PHP」にアップデート - 悪用済み脆弱性の修正をバイパスされる問題に対処(1ページ目 / 全1ページ):Security NEXT
PHPの開発チームは現地時間9月26日、セキュリティアップデートとなる「PHP 8.3.12」「同8.2.24」「同8.1.30」をリリースした。 これらアップデートでは、CVEベースで4件の脆弱性を解消した。なかでも「CVE-2024-4577」の修正をバイパスされ、パラメータを不正に挿入できる脆弱性「CVE-2024-8926」への対処も含まれる。 「CVE-2024-4577」はWindows版に影響があり、「CVE-2012-1823」の修正を回避されることに起因。6月にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正されていた。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」と高く、ウェブシェルの設置やランサムウェア「TellYouThePass」の感染活動に悪
関連キーワード セキュリティ | 脆弱性 | 資格 ハッカーは必ずしも“悪者”ではない。攻撃者の目線でシステムのセキュリティの弱点を洗い出し、組織を攻撃から守る「ホワイトハッカー」(倫理的ハッカー)もいる。セキュリティ分野でのキャリア構築を目指すなら、ホワイトハッカーになるのも一つの手だ。セキュリティの認定資格を取得することは、ホワイトハッカーへの第一歩になる。本稿は厳選したホワイトハッカー認定資格5選のうち、4つ目と5つ目を紹介する。 ホワイトハッカー認定資格5選 併せて読みたいお薦め記事 連載:「ホワイトハッカー」認定資格5選 前編:ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ 今、注目の「セキュリティ資格」 有望なセキュリティエンジニアになれる「クラウド認定資格」はこれだ セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ 4.CompTIAの認定資
Apple、iPhone 16モデルでタッチスクリーンが反応しなくなる不具合やパスワードアプリでパスワードが読み上げられる可能性のあるの脆弱性を修正した「iOS 18.0.1」をリリース。
AppleがiPhone 16モデルでタッチスクリーンやカメラが反応しなくなる/フリーズする不具合などを修正した「iOS/iPadOS 18.0.1」をリリースしています。詳細は以下から。 Appleは現地時間202 […] The post Apple、iPhone 16モデルでタッチスクリーンが反応しなくなる不具合やパスワードアプリでパスワードが読み上げられる可能性のあるの脆弱性を修正した「iOS 18.0.1」をリリース。 first appeared on AAPL Ch..
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 技術解説 > 「インシデント発生は今や日常、サイバーハイジーンの全社的な定着を」─JPCERT/CC セキュリティ セキュリティ記事一覧へ [技術解説] 「インシデント発生は今や日常、サイバーハイジーンの全社的な定着を」─JPCERT/CC 前提のゼロトラスト、不断のサイバーハイジーン 2024年10月3日(木)神 幸葉(IT Leaders編集部) リスト 今日、ゼロトラストやサイバーハイジーンといった情報セキュリティのコンセプトが示される中で、実際の導入には至っていない企業・組織は多い。2024年8月29日に都内で開催された「IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン」(主催:インプレス IT Leaders)の基調講演に、JPCERTコーディネーションセンター
タリーズコーヒージャパンは10月3日、5月30日に公表した「タリーズ オンラインストア(通信販売サイト)」への第三者による不正アクセスにおいて、第三者調査機関による調査の結果、9万2685件の顧客の個人情報が漏えいした可能性があると発表した。 漏えいした個人情報のうち、クレジットカード情報は5万2958件となる可能性があるという。 漏えいした可能性がある個人情報は、2020年10月1日~2024年5月23日の期間中に「タリーズ オンラインストア」で会員登録をした顧客となる9万2685人の氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報。 そのうち漏えいした可能性があるクレジットカード情報は、2021年7月20日~2024年5月20日の期間中にオンラインストアでクレジットカード決済をした5万2958人のクレジットカード番号、カード名義人名、有
JavaScriptのコードレビューは、ソフトウェア開発プロセスにおいて品質を確保し、バグを未然に防ぐための重要なステップです。コードレビューは単にバグを見つけるだけでなく、チームメンバー間の知識共有や、ベストプラクティスの浸透にも寄与します。特にJavaScriptは、柔軟であるがゆえに書き方が多様で、初心者でも扱いやすい一方で、コードの品質が低下しやすいという特性があります。そのため、コードレビューは欠かせません。本記事では、JavaScriptのコードレビューを効果的に行うための具体的なベストプラクティスについて詳しく解説します。これを参考にすることで、プロジェクトの品質向上とチームのスキル向上を同時に図ることができるでしょう。 コードの可読性向上の重要性 コードの可読性は、ソフトウェア開発において非常に重要な要素です。特にJavaScriptのような動的型付け言語では、コードが複雑
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? これは鋭い疑問だと思います。②という認識であっていますが、もう少し補足したいと思います。 狭義のOSコマンドインジェクション(CWE-78)は、ご指摘の②のとおり、複数コマンドを起動するための構文(/bin/sh のセミコロン等)を使って複数のコマンドを実行するものです。しかし、広義ではコード実行可能な脆弱性全体を
高さ13メートルもある裸のトランプ像、ネバダ州に出現
発泡スチロールと鉄筋で作られる トランプ氏の全裸の像は高さが13mもあり、ネバダ州のラスベガスからリノへ向かう州間高速道路脇に、クレーンで吊り下げられているという。 重さは6000ポンド(約2700kg)もあり、発泡スチロールと鉄筋で作られているそうだ。しかも巨大なため、付近を車で通る人々が皆、目にしているという。 ネバダ州の共和党議員は、前大統領の裸の像を「ポルノ的」で「嘆かわしい」として、非難している。 POLITICAL VIOLENCE: Nevada Democrats have hung a 43 foot tall, 6000 pound naked President Trump in effigy near Las Vegas on Interstate 15. The display cost $550K+ It is designed to incite violen
脆弱性対処に伴うのがパッチの適用だ。ある見方では、パッチは自動化すべきではないとの意見もある。それはなぜか。 2024年7月、CrowdStrikeの誤ったアップデートが原因で大規模な障害が発生した。システムが相互接続されているため、誤ったパッチファイルが業務を阻害する可能性がある。 「安全のためにパッチの適用は手動にすべき」の間違い 脆弱(ぜいじゃく)性対応のためにパッチを当てることは、コンピュータネットワークを保護するために重要だ。パッチの適用には、手動と自動の2つの方法がある。 最近のセキュリティインシデントの傾向から、パッチは自動適用ではなく手動にすべきだという意見がある。だが、この考えは大きな誤りだ。 パッチの適用を遅らせることは、サイバー攻撃のリスクにさらすことにつながる。手動によるパッチ適用は、IT部門にとって時間と手間のかかるプロセスだ。 手動でパッチを適用する場合、まずI
The Linux Home Page at Linux Onlineは2024年9月26日(現地時間)、「UNIX」および「GNU/Linux」で広く使用されている印刷システム「CUPS」に深刻な脆弱(ぜいじゃく)性が存在することを伝えた。 CUPSの「cups-browsed」機能に関連した問題とされ、悪用された場合、システムのプリンタ設定が乗っ取られるだけでなく、リモートコード実行に利用されてしまう可能性がある。CUPSのcups-browsedはネットワークにあるプリンタを自動検出し、システムに追加するサービスだ。 Linuxなどで広く利用される印刷システム「CUPS」に深刻な脆弱性 今回の脆弱性は、「Linuxディストリビューション」や「ChromeOS」などCUPSがデフォルトで有効化されている多くのシステムに影響を与える可能性がある。リモートからプリンタのInternet P
生成AIのセキュリティ演習は“それっぽく見えるだけ”? 「AIレッドチーミング」を考える:小林啓倫のエマージング・テクノロジー論考(1/4 ページ) ますます注目が高まっている生成AIだが、その普及が進めば進むほど、サイバーセキュリティに対する懸念も高まっている。特に企業にとっては、導入した生成AIが犯す間違いやその不具合が、大きな経営上のインパクトとなって現れかねない。 それを防ぐためにさまざまな手段が検討されており、前回取り上げた「ガードレール」もその一つだが、今回は「レッドチーミング」について考えてみよう。 攻撃者視点で脆弱性を探す「レッドチーミング」 先日、情報処理推進機構(IPA)が国などと協力して設立した「AIセーフティ・インスティテュート」(AISI)が「AIセーフティに関するレッドチーミング手法ガイド」という文書を発表した。これは大規模言語モデル(LLM)を構成要素とするA
JavaScriptは、ウェブ開発において非常に重要な言語ですが、コードが複雑化しやすく、保守性を維持するための工夫が必要です。その中で、リントツールはコーディング規約の遵守やバグの早期発見を支援する重要なツールとして広く利用されています。特に、ESLintとJSHintは、JavaScript開発者の間で非常に人気があり、それぞれが持つ機能や特徴がコード品質の向上に大きく寄与しています。本記事では、これらのリントツールの進化と、それを活用してJavaScriptコードの品質を向上させる方法について詳しく解説します。 リントツールとは何か リントツールとは、ソースコードを静的に解析し、潜在的なエラーや非推奨なコードパターンを検出するためのツールです。これにより、開発者はコードの品質を保ち、バグや予期しない動作を防ぐことができます。特に、JavaScriptのように柔軟で多様なコーディングス
国慶節中に東証中国株ETFが爆上げしたのはなぜか?
本稿では、2024年10月第1週に東証中国株ETFが暴騰したことについて解説します。東証マイナーETFウォッチャーとしては2023年の1689天然ガスETFの1円割れ以来の興味深い出来事でした。 原因を一言で言えば「国慶節で中国本土の取引所が長期休場で設定解約が停止され、売りから入って裁定を抜く手段が無い中で、ババ抜きカジノと化してしまった」ということになります。 前引けの東証中国A株ETF(そろそろ飽きてきた) さすがに一部の銘柄(1309)は賢者モードに。 ただ2553は連日の値幅制限拡大を繰り返し今日も22,400円のストップ高。このファンドは昨日時点の基準価額(現地休場前9/30の株価+昨日の為替レートで評価)が1,721円なのでプレミアム1,200%です… https://t.co/ZLzj9YO1su pic.twitter.com/oMuLHyBMhf — トン@儲からない投
リモートデスクトップによる不正接続の監視
はじめに リモートワークや遠隔メンテンナンスなどのために、組織内のWindowsマシンへリモートデスクトップ(※以下「RDP」と略します)によるアクセスを許可している場合、セキュリティリスクには十分な注意が必要です。VPNやWindowsのアカウントが攻撃者に奪われた場合、Windowsマシンの完全な制御が攻撃者に渡り、機密情報の漏洩やランサムウェアの展開など重大な被害を受ける可能性があるからです。弊社でフォレンジック調査のご相談を受けるサイバー攻撃の手口でも、VPNの脆弱性などを悪用したWidowsマシンへのRDP不正接続が増加している感があります。 こうした被害を防止するには、インターネットに露出したVPNやファイアウォールなど、いわゆるアタック・サーフェスの認証制御やアクセス制限を強化することが重要です。逆に言えば、攻撃者は脆弱性スキャンやフィッシングによる認証情報窃取などのさまざま
JavaScriptは、Web開発において不可欠な言語であり、その使用範囲は年々広がっています。しかし、人気が高まると同時に、セキュリティリスクも増加しています。過去には、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)といった攻撃が多発し、多くのWebサイトが被害を受けました。そのため、JavaScript開発者は常に最新のセキュリティ対策を学び、実践することが求められています。本記事では、JavaScriptのセキュリティにおける進化を振り返り、現在の最適な対策やベストプラクティスを紹介します。これにより、より安全で信頼性の高いWebアプリケーションの開発を目指しましょう。 JavaScriptにおけるセキュリティの歴史 JavaScriptの誕生は1995年であり、当初は単純なクライアントサイドのスクリプト言語として設計されました。その頃、セキュ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
タリーズECサイトでクレカ情報5万件以上流出か 不正アクセスで……「深くお詫び」
カード情報1.2万件流出か、全漁連の通販サイト閉鎖 XSS脆弱性からペイメントアプリ改ざん
GuardDuty の機能を使って S3 のウィルスチェックをしよう! - NRIネットコムBlog
ナンバープレートから自動車のエンジンを始動できる脆弱性、発見
VPN機器とADを優先して守る 対処する脆弱性はたった3%
Loggolというサービスを作った理由 - Loggol ブログ
「iOS 18.0.1」「iPadOS 18.0.1」が公開 ~iPhone 16で発見された問題や脆弱性に対処/ユーザーが保存したパスワードを「VoiceOver」が読み上げてしまう欠陥など
責任ある発信者であり続けるために。C++高橋晶氏が考える、お金と情報発信のリアルな関係性
匿名化ブラウザのはずのTor、実はユーザー特定されるらしい
「タリーズ オンラインストア」クレカ情報5万件流出、IDやパスワードなど9万件も ペイメントアプリ改ざんで
セイコーエプソンの393製品に脆弱性、デバイスを乗っ取られる可能性
情報処理安全確保支援士になりました - Kengo's blog
「Google Chrome」にレイアウトの整数オーバーフローなど、4件の脆弱性/Windows環境には修正版のv129.0.6668.89/.90が展開中
無料の定番メールクライアント「Thunderbird 128.3.0esr」が公開 ~11件の脆弱性を修正/OpenPGP暗号化メッセージが開けないなどの問題に対処
第1回 セキュリティ若手の会(LT&交流会) (2024/12/08 13:00〜)
「Microsoft Edge」にセキュリティアップデート、「Chromium」「V8」の脆弱性を修正/v129.0.2792.79への更新を
ホワイトハッカーのスキルを習得できる「セキュリティ認定資格」はこれだ
「インシデント発生は今や日常、サイバーハイジーンの全社的な定着を」─JPCERT/CC | IT Leaders
タリーズ、9万件超の情報漏えいか--うちクレカは5万件超、2020〜24年に
JavaScriptのコードレビューで押さえておきたいベストプラクティス | IT trip
現在徳丸本を読み進めているのですが、OSコマンドインジェクションについて、以下の①と②のケースの区別が付かず混乱しております。 ① whoami、powershell、 cmd などのコマンドを外部から実行できる状態 ② シェルにある複数のコマンドを起動するための構文を利用して、上記のようなコマンドを複数実行出来る状態 ①はあくまでWindowsコマンドやシェルスクリプトのペイロード自体を指すものであり、OSコマンドインジェクションの脆弱性は②の状態という認識で合っていますか? | mond
ソフトウェアへのパッチの適用を自動化すべきか、それとも手動で慎重にやるべきか
UNIXなどで使われる印刷システム「CUPS」に深刻な脆弱性 推奨される対策は?
生成AIのセキュリティ演習は“それっぽく見えるだけ”? 「AIレッドチーミング」を考える
ESLintとJSHint: JavaScriptリントツールの進化とコード品質向上の方法 | IT trip
JavaScriptのセキュリティ進化と最新ベストプラクティスの詳細ガイド | IT trip