セキュリティにおける倫理って何だ? | ドクセル
長谷川陽介(はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーション に関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2024-05-18 #secmomiji https://utf-8.jp/
5月下旬以降、日本各地でランサムウェア攻撃の被害が相次いでいる。影響は企業だけでなく、病院や自治体にも及んでおり、業界を問わず警戒が必要だ。 例えば5月20日には、岡山県精神科医療センターが電子カルテなどに不具合が起きたと発表。後にランサムウェア攻撃が原因だったと明かした。6月11日には、患者情報約4万人分や、会議の議事録が漏えいした可能性があることも発表した。 5月29日には、システム機器の製造販売を手掛けるイセトー(京都市)が、ランサムウェア攻撃の被害を発表。追って、同社に事業を委託していた三井住友海上あいおい生命保険、神奈川県横須賀市、藤沢市、茅ケ崎市などが、イセトーに委託していた業務に関する情報漏えいの可能性を発表している。 6月3日には、九州電力グループで電気温水器の販売などを手掛けるキューヘン(福岡県福津市)が、第三者によるランサムウェア攻撃を受けたと発表。5日までに約10万4
【重要】OpenSSHに含まれる脆弱性(CVE-2024-6387)について(2024年7月4日 17:30更新) | さくらインターネット
お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2024年7月1日(月)、OpenSSHに対して重大かつ緊急性の高いセキュリティ脆弱性(CVE-2024-6387)が発表されました。 弊社提供中の下記サービスのOSにおいて、対象となるバージョンのOpenSSHがインストールされている場合がございます。 お客様におかれましてはご利用のOpenSSHのバージョンをご確認いただき、不正に利用されないよう対策をお願いいたします。対策の一例として詳細情報を下記にご案内いたしますのでご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 対象サービス さくらのクラウド さくらのVPS さくらの専用サーバ さくらの専用サーバ 高火力シリーズ さくらの
スポーツ用品店「KISHISPO」などを展開する岸和田スポーツ(大阪府岸和田市)は5月14日、同社が運営する「Kemari87KISHISPO公式通販サイト」が第三者による不正アクセスを受けたと発表した。2021年2月24日から24年1月17日までに、同サイトで商品を購入した顧客のクレジットカード情報1万3879件および、個人情報3万8664件が漏えいした可能性があるという。 漏えいした可能性があるクレジットカード情報は、期間中に同サイトでクレジットカード決済をした顧客のカード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、住所、電話番号など。個人情報は、期間中に同サイトで商品を購入した顧客の氏名、メールアドレス、住所、電話番号などが含まれる。どちらもメールアドレスのパスワードの漏えいはないという。 該当する利用者には5月14日から個別にメールで連絡する。同社
『Apex Legends』eSports北米大会の試合中にチート付与したハッカー、「面白半分」で犯行に及んだと語る | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 人気ゲーム『Apex Legends』の eSports北米大会決勝で、試合中に選手のPCをハッキングする大胆な行為に及んだハッカーが、事件後初めて発言しました。 Destroyer2009と名乗るApex Legendsのチーター(ハッカー)は、TechCrunchのインタビューに応じ、自らがハッキング行為を行ったことを認め、「単純に面白半分」で2人の著名選手のゲームプレイ中にチートプログラムを起動したと語りました。このハッカーは、この問題を「開発者に修正させようとした」と述べています。 ハッカー本人は「試合中に選手に非がないとわかる方法であのようなチートを付与した者は、これまでにいなかっただろう」と自らの
「セキュリティコンテストは本当にあるの?」「具体的な技術的設定は?」ドラマ『トリリオンゲーム』第1話 技術監修の裏側を解説します! - #FlattSecurityMagazine
こんにちは!株式会社Flatt Security 執行役員 CCOの豊田恵二郎( @toyojuni )です。 弊社は漫画『トリリオンゲーム』(原作:稲垣理一郎、作画:池上遼一)の連載開始時より技術監修を担当しており、先ほど第1話が放送されたTBS系金曜ドラマ『トリリオンゲーム』においてもIT・セキュリティ技術監修として携わっています! 同作には様々な魅力がありますが、ドラマでは佐野勇斗さんが演じるガクがサイバーセキュリティの技術力を披露するシーン抜きには語れないでしょう。 そのようなシーンに関して、ドラマを視聴した皆様は「セクチャンのようなコンテストは本当にあるのだろうか」「どのような技術的設定になっているのだろう」と気になった方も多いはず。今回は、原作監修時のエピソードも交えながら、ドラマ『トリリオンゲーム』1話の元となった原作各シーンの技術的要素について解説していきます! ▼『トリリ
はじめに 「近々ペネトレーションテストを実施したい!」と思っている会社、たくさんあるんじゃないでしょうか。 そこで質問、 あなたの会社は本当にペネトレーションテストを実施する準備ができていますか? セキュリティをよく考えないまま、監視製品を導入しているだけじゃないですか? はっきりいいます。 基本的なセキュリティ対策を行わないままペネトレーションテストを行なっても、有意義な調査結果は得られません。 せっかく高額な費用を払ってテストをするのであれば、有意義な調査結果を得るためにも、基本的なセキュリティ対策だけでもしっかり事前に実施し、準備を行なった上でテストを依頼すべきです。 対象の読者 企業の情報システム、特にエンタープライズネットワークなど、Windows Active Directoryに関連するネットワークのペネトレーションテストやレッドチーム演習、TLPTの実施を検討している会社の
独学で未経験のモダンな技術を学習してポートフォリオを作るまで【Rails / Next.js / AWS / Docker / GitHub Actions】 - Qiita
独学で未経験のモダンな技術を学習してポートフォリオを作るまで【Rails / Next.js / AWS / Docker / GitHub Actions】RailsAWS初心者個人開発Next.js はじめに こんにちは!きいな(@keynyaan)と申します。 今回、モダンな技術を使って初めてポートフォリオを作ってみたので、開発背景や学習教材などを紹介します。 ポートフォリオを作るにあたって、色々な方の素晴らしいポートフォリオ作成記事が参考になったので、今度は私の記事が誰かのためになることを祈ってます。 自己紹介 大学卒業後、新卒でSIer企業に入社し、3年ほどJavaやJavaScriptなどを使って、バックエンドやフロントエンドのシステム開発を行っていました。 そんな私が自社開発企業に興味を持ち、退職を機に、2023年1月からポートフォリオ作成に向けて学習を始めました。 学習期間
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
OpenAIのチャットボットであるChatGPT、AnthropicのAIアシスタントであるClaude、Perplexity.aiのチャットボットであるPerplexityという3つの人気AIツールが、同時にシステム障害を起こし利用不可能となりました。 AI apocalypse? ChatGPT, Claude and Perplexity all went down at the same time | TechCrunch https://techcrunch.com/2024/06/04/ai-apocalypse-chatgpt-claude-and-perplexity-are-all-down-at-the-same-time/ アメリカ太平洋標準時の2024年6月4日、ChatGPTですべてのプランのユーザーに影響を与える大規模な障害が発生しました。OpenAIのサービス
過去の出来事を科学的に分析することで、未来を予想できるとする「歴史動態学」が登場した。既存の歴史学者は懐疑的だが、このアプローチは興味深い。 SOURCE:REF.1 「歴史は繰り返す」という格言は、時に真実であるように思われる。例えば米国では、1861~65年の南北戦争後に民族間・階級間の反目による暴力事件が都市部で急増し、それが全米に広がって、1870年頃にピークに達した。国内騒乱が次に増加したのは1920年頃で、人種的反感による暴動、労働者のストライキ、反共感情の高まりなどにより、多くの人が近いうちに革命が起こるかもしれないと思った。米国社会は1970年頃にも不穏な状態に陥り、激しい学生デモ、政治的暗殺、暴動、テロが頻発した(『暴力の周期』参照)。 コネチカット大学(米国ストーズ)で個体群動態学の研究をしているPeter Turchinは、米国の政情の不安定さがピークに達した3つの時
社内で脆弱性診断を行なっている理由や、どのように診断から修正までを行なっているか、また社内で脆弱性診断をやることでどのような変化が起きたかについて紹介します。
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本記事に登場する企業・団体及び人物は全て架空の存在である。 荒井考人(あらいこうと):入社したばかりの新人プログラマー。基本的なプログラミングスキルはあるが、情報セキュリティに関する知識は豊富とはいえず、荒いコードを書きがち。今は研修でWebアプリ「ToDoリスト」を作っている。 上
概要 IPA発信のネットワーク貫通型攻撃に関する注意喚起 脚注1 の中でも触れている通り、インターネットに接続されたオンラインストレージの脆弱性を悪用した攻撃が継続しております。特に、国家を背景としたAPT攻撃などに関わる事案も確認されており、組織間のデータ授受をメール以外で行うことも多い昨今では、特に注意が必要です。 重要な脆弱性情報についてはIPAでも継続的に注意喚起を行っておりますが、オンラインストレージが広く利活用されるなか、未だ適切な対応がなされていない運用組織が多く存在していることを懸念しています。 最近の動向 「Proself」については管理者権限での認証バイパス(CVE-2023-39415)およびOSコマンドインジェクション(CVE-2023-39416)の脆弱性が確認されていますが 脚注2 、これら脆弱性を悪用する攻撃も既に確認されています。また、XML外部実体参照(X
ChatGPT時代の生き残り戦略 ChatGPTが話題です。これからChatGPTに代表される生成AIが当たり前に使える時代が来ると「ソフトウェアエンジニアという職業は無くなる」と脅かす人がいます。新卒で晴れてエンジニアになった方は、もしかしてちょっと後悔しているかもしれません。正直に言えば、ChatGPT登場時は、私も将来が少し不安になりました。 でも安心してください。今のところ、生成AIは優れた人間のエンジニアが書くようなコードは書けないようです(今のところは、ですが)。ChatGPTが生成するコードにはセキュリティ脆弱性が含まれるものが多かったと報告する論文もあります。業務で使えるような高い品質のコードを書くには、生成AIはまだまだ力不足なようです。 少なくとも当面は、生成AIの高速なプロトタイピングの強みなどを活かしつつ、人間のエンジニアが主役となって高品質のコードを書いていく時代
企業向けLinuxとして幅広く採用されている「CentOS Linux」(CentOS)。現在サポートされている「CentOS Linux 7」のサポートが2024年6月30日に終了(EOL)するため、CentOSを使い続けるか移行先はどうするかと頭を悩ませている担当者も多いだろう。そんな中、Red Hat Enterprise Linux(RHEL)互換のOSである「AlmaLinux」と「MIRACLE LINUX」の合流が注目を集めている。 コミュニティーベースで開発されているAlmaLinuxとサイバートラストが提供するMIRACLE LINUXの合流はユーザーにどんなメリットをもたらすのか。 日本ユーザーにより安心になった AlmaLinux サイバートラストの合流でAlmaLinuxがどう変わるのか。ポイントは3つある。 1つ目は、MIRACLE LINUXを20年以上提供して
CERT Coordination Center (CERT/CC, Carnegie Mellon University)は4月10日(米国時間)、「VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows」において、Windows上で動作する複数のプログラミング言語から引数を適切にエスケープしない脆弱性を発見したと報じた。この脆弱性はアプリケーションのコマンドインジェクションにつながるとして注意を呼びかけている。 VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows 脆弱性の詳細 多くのプログラミング言語にはオ
お知らせ - NISC
今般、内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました。 これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています。 NISCにおける本事案の経緯及び講じた措置は以下のとおりです。 ・6月13日 電子メール関連システムに係る不正通信の痕跡を発見。 ・6月14~15日 当該システムの状況を確認するため、速やかに運用を停止。不正通信の原因と疑われる機器を交換するとともに、他の機器等に異常がないことの確認や、内部監視の強化等の対策を実施の上で、当該システムを再稼働。 ・6月21日 保守運用事業者の調査により、不正通信が当該機器の脆弱性を原因とするものであることを示す証跡を
iMessageを送信するだけでiPhoneの機密データにアクセスできるゼロデイ脆弱性「Triangulation」の詳細が公開、秘密のハードウェア機能が利用されていたことも明らかに
2023年6月に判明・修正されたApple製デバイスへのゼロクリック攻撃を可能にする脆弱(ぜいじゃく)性「Triangulation」について、この脆弱性を発見したセキュリティ企業のカスペルスキーが分析結果を発表しました。 Operation Triangulation: The last (hardware) mystery | Securelist https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ 4-year campaign backdoored iPhones using possibly the most advanced exploit ever | Ars Technica https://arstechnica.com/security/2023/12/expl
明けましておめでとうございます。 2023年9月にINGAGEにジョインしたSREチームのanecho108です。 さっそくですが本記事の内容に入りたいと思います。 弊社のサービスは、AWS上のオブザーバビリティを獲得する方法としてNew Relic を利用していましたが、 そこからDatadogに乗り換えました。 Datadogの導入は僕が主体で行っていましたので、その時に考えていたことや反省点をまとめました。 なお、Datadogを肯定するわけでも、New Relicを否定するわけでもございませんのであしからず。 なぜ乗り換えしようとした? New Relicのコスト問題 日本語テクニカルサポートが受けられていなかった "僕"がオブザーバビリティの獲得に至っていなかった 周りにDatadogを使ってます勢が多い 日本リージョンがある そんなところへDatadogから営業メール Data
米港湾の中国製クレーンに通信装置、スパイ活動懸念 米議会調査
「上海振華重工」(ZPMC)のクレーン=2019年1月/L. Todd Spencer/The Virginian-Pilot/Getty Images (CNN) 米連邦議会下院の国土安全保障委員会などは10日までに、米国内の港湾に導入されている中国製の荷役クレーンの一部に用途が把握できない通信装置が見つかったとの新たな調査結果を明らかにした。 これらのクレーンが監視や妨害工作用に用いられる可能性があるとの懸念をかき立てる調査内容となっている。 同委と下院の中国問題を扱う特別委員会による今回調査は、米港湾と関連施設で使われている200基以上の中国製クレーンに焦点を当てていた。安全保障問題に関して米中間で強まる攻防と、米沿岸警備隊が先月、港湾当局に中国製クレーンの安全利用の向上に注意を促したことが背景にあった。 両委の調査結果によると、米港湾で使われている中国製クレーンに遠隔通信が可能なセ
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
この記事の内容 WordPressで作成したコンテンツを静的にホスティングする設計まとめ ハンズオンを兼ねた事例報告(+自分の所感)の流れで執筆 背景 そもそもなぜタイトルのような設計を考えたのかというと、先日アサインされたプロジェクトの要件が以下のとおりだったからです。 誰でも簡単にコンテンツを作成できる セキュアな設計 ここで、WordPressには以下の長所があります。 技術に明るくない人であっても簡単にコンテンツを作成できる 裏はPHPで動いているので拡張性が非常に高い 初期導入に必要となるコストが少ないこと ただし、ご存知の通りWordPressの欠点として大きなものが以下です。 脆弱性が多く十分な対策を要求される 上記を鑑みて、WordPressの長所を余すことなく享受し欠点を最大限カバーすることができるようになる「WordPressを静的コンテンツで配信」を目標に構築を行いま
セキュリティ SaaS を「プログラマブル」に再設計した話 ― Shisho Cloud の正式リリースによせて - Flatt Security Blog
はじめに CTO の米内です。Flatt Security は、本日 2023 年 8 月 23 日、テック組織がクラウドのセキュリティを考える際の一歩目を支える SaaS 「Shisho Cloud」(シショウ クラウド) をリリースしました。 Shisho Cloud は、大雑把に言えば 「AWS/Google Cloud 上のリソースの設定がセキュリティ的に良さそうか、改善できそうかというのを検査してくれる製品」 です。 小難しい言い方をすると Cloud Security Posture Management(CSPM)の実現のための製品です。 我々がどんな背景で、どのような強みのサービスを提供するかが気になる方は、是非プレスリリースをご一読ください。 ただプレスリリースは、より広いオーディエンスに向けて書かれるという特性上、若干技術者の方には淡白に見えるかもしれません。手練の(セ
CloudbaseはPostgreSQLのORMとしてPrismaを使用しています CloudbaseはAWS, Azure, Google Cloud等のパブリッククラウドを対象にしたセキュリティリスクの検出・管理SaaSです。 個人情報の入ったS3バケットを公開してしまうなどの設定ミスや、近年騒がれたLog4Shellなどの脆弱性をエージェントを使用せず検出し、その修正をサポートするプロダクトです。 CloudbaseではAPIサーバとしてNode.js、DBとしてPostgreSQLを使用し、そのORMとしてPrismaを使用しています。本記事では入門を超えて本番環境でPrismaを使いこなすために必要な知識、弊社がPrismaを運用する中で得た知見を共有していきます。 対象読者 PrismaをRDBのORMとして使っている人 雰囲気でPrismaを使っている人 これからPrisma
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
漏えいしたのは、1人分の氏名、生年月日、健康保険・厚生年金保険資格の喪失年月日、基礎年金番号、マイナンバー。一連の情報は、すでにファックスを受け取った人物の手によって破棄されたという。 漏えいがあったのは14日。沖縄労働局の職員が、労働保険事務組合の担当者に対し、メールかファックスで書類を送信するよう依頼したところ、組合の担当者からファックスの番号を聞かれたという。沖縄労働局ではファックスを禁止しているが、職員は利用を許可。ファックスの番号を教えた。 組合の担当者は、教えられた番号宛てにファックスで書類を送った。しかしファックスの番号は誤っており、無関係な人物に書類内の情報が漏えいしたという。事態は18日、ファックスを受け取った人物の連絡で判明した。 沖縄労働局は労働保険事務組合や、情報が漏えいした人物に謝罪したという。今後は、ファックスの利用禁止を徹底することで再発防止を目指す。 関連記
TOPインタビュー【2週間の爆速開発】食べログChatGPTプラグインPJを率いたPMに聞く、緊急度の高いPJに抜擢される優秀なエンジニアの特徴 【2週間の爆速開発】食べログChatGPTプラグインPJを率いたPMに聞く、緊急度の高いPJに抜擢される優秀なエンジニアの特徴 2023年8月10日 株式会社カカクコム 食べログシステム本部 ウェブ開発部 マネージャー 関戸 康介 2015年にSIerからカカクコムに転職。レストラン検索機能を中心に数々の食べログメディアの開発に携わる。 食べログChatGPTプラグインPJでは、プロジェクトマネージャーを担当 2023年5月6日、食べログがChatGPTプラグインの提供を開始し、大きな話題となりました。このプロジェクトは、OpenAI社がChatGPTプラグイン機能を開放した3月23日の翌日にスタートし、約2週間後には実装が完了していたそう。 月
2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く(前編)】 - #FlattSecurityMagazine
プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! <13人の方々による「2024年セキュリティトレンド予想」> flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product
米Appleは2月21日(現地時間)、同社のE2EEのメッセージングサービス「iMessage」に“画期的なポスト量子暗号プロトコル”の「PQ3」を導入すると発表した。“iMessage史上最も重要な暗号セキュリティアップグレード”という。3月に予定しているiOS 17.4、iPadOS 17.4、macOS 14.4、watchOS 10.4のリリースで展開する計画だ。 PQ3は、高度な量子コンピューティング攻撃からメッセージを守るための堅固な暗号化と防御を提供する。そうした攻撃が実行されるのはまだ何年も先だとAppleは考えているが、ポスト量子認証の必要性を評価しているという。 「実用レベルの量子コンピュータはまだ存在しないが、豊富なリソースを持つ攻撃者は、データストレージコストの低下を利用して量子コンピュータの出現に備えている可能性が高い。こうした攻撃者は、現在はまだ復号できないデー
KEELチームの相原です。 今回はeBPFを利用してKubernetesクラスタの可観測性の隙間を埋めている話です。 前回のエントリではLLMにうつつを抜かしていたので本業(?)の話をしようと思います。 www.lifull.blog LIFULLの可観測性の現在地 eBPFとは 可観測性の隙間 NAT Loopback eBPFを実行するには BPF CO-RE libbpf-rsを利用したNAT Loopbackの検知 1. (ユーザ空間) コマンドライン引数として受け取ったDNSをTTLごとに名前解決してIPアドレスを取得する 2. (ユーザ空間) IPアドレスに変化がある度にカーネル空間で動くBPFプログラムにそのIPアドレスのリストを渡す 3. (カーネル空間) Kprobesで tcp_v4_connect/tcp_v6_connect にフックを仕込む 4. (カーネル空間)
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の浙江大学や米ミシガン大学、米ノースイースタン大学に所属する研究者らが発表した論文「GhostType: The Limits of Using Contactless Electromagnetic Interference to Inject Phantom Keys into Analog Circuits of Keyboards」は、電磁干渉(EMI)を利用して、他人のキーボードに物理的に触れることなく偽のキーストロークを注入できる攻撃を提案した研究報告である。 具体的には、キーボードの電気回路に誤った電圧を誘導し、キーボード
政府サイバー司令塔に攻撃 メールアドレス5千件流出か
内閣サイバーセキュリティセンター(NISC)は4日、外部からの不正なアクセスで、メールアドレス約5千件が外部に漏洩した可能性があると発表した。メールの文面も流出した恐れがある。NISCは政府のサイバーセキュリティー戦略の司令塔で、個人情報の漏洩が疑われる事案は初という。 外国からサイバー攻撃を受けた可能性もあるとみて、原因を調査している。現時点で個人情報悪用などの被害は確認されていない。 NISCによると、漏洩の恐れがある期間は、昨年10月上旬~今年6月中旬。NISCとやり取りしていたIT関係の民間事業者や学術関係者のメールアドレスなどが流出した可能性がある。 不正アクセスはNISCが使用している機器の脆弱性を利用したもので、外国でも同様の被害が確認されているという。攻撃元や機器の名前は明らかにしていない。 6月13日に職員が電子メールシステムで不正通信の痕跡を発見した。同14日にシステム
RFC 9116「security.txt」の紹介(2022年8月)の続報 - JPCERT/CC Eyes
早期警戒グループの戸塚です。昨年(2022年)8月に「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」[1]で、同年4月に公開された「RFC 9116:A File Format to Aid in Security Vulnerability Disclosure」[2]を紹介しました。本記事では、その続報を2つお届けします(RFC 9116自体や私の業務との関係に関しては、2022年8月の記事をご確認ください)。 1つ目は、RFC 9116のおかげで開発者との脆弱性関連情報のコーディネーション(調整)が大変スムーズにできた事例です。 開発者との調整では、連絡しても応答がもらえないケースが少なくないことは昨年8月の記事でも書きました。このような場合、別の連絡先があればそちらにも連絡を試みます。今
Amazon BedrockのKnowledge baseで簡単にRAGを構築 - Taste of Tech Topics
ポトフがおいしい季節ですね、菅野です。 Amazon BedrockのKnowledge baseがGAとなり、Amazon BedrockでもRAGが作成できるようになりました。 docs.aws.amazon.com 今回はKnowledgeベースを実際に作成して統計データを検索するRAGを構築してみます。 RAGとは RAGアーキテクチャ(Retrieval-Augmented Generation)は、自然言語処理において、Google検索のような検索技術と、ChatGPTのような文章生成技術を組み合わせた技術です。 このアーキテクチャを利用すると、生成AIが学習していないデータ、例えば自社の内部レポートのようなデータを用いて、ChatGPTライクな応答システムを構築できます。 具体的には、何か質問を受けると、質問に関連した文章を検索し、その検索結果を元に自然となるような回答を生成
多くのプログラミング言語の処理系に、攻撃者が任意のコマンドを実行できる深刻な脆弱性が見つかった。JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」で2024年4月15日に公開された。 脆弱性が確認されたのは「PHP」「Rust」「Haskell」の各言語処理系とJavaScript/TypeScriptの処理系「Node.js」、音声や動画をダウンロードできる高機能なコマンド「yt-dlp」である。ただし、この脆弱性の影響を受けるOSはWindowsだけで、LinuxやmacOSなどの他のOSには影響しない。 多くのプログラミング言語は、プログラムの中からOS上でコマンドを実行する機能を持つ。Windowsでは言語処理系が「CreateProces
企業や組織から大量の情報を窃取する手段として、ファイルの受け渡しや共有に使うIT製品やサービスに対するサイバー攻撃が増えている。機密情報の入手が目的とみられる攻撃の他、窃取した情報を暴露すると脅迫して身代金を要求する暴露型の攻撃にも悪用され、被害が広がっている。 暴露型の攻撃では、多数の企業が同時に脅迫を受ける事件が相次いでいることが特徴だ。2023年6月には犯行グループが短期間で1000社規模の企業や組織から情報を窃取したとみられる事件も発生した。一方、機密情報を狙った不正アクセスは日本や米国の政府機関などで確認され、実際に内閣府などで情報流出が確認されている。国家の支援を受けた犯罪グループによるAPT(Advanced Persistent Threat)攻撃の可能性が浮上している。 IT製品の脆弱性を悪用するサイバー攻撃は、2019年ごろからVPN(仮想私設網)装置を標的にした攻撃が
Appleが、2021年8月に発表したもののプライバシー侵害や国家による弾圧への懸念から批判が集中した性的虐待画像(CSAM:Child Sexual Abuse Material)の検出を断念した理由を詳細に説明しています。脆弱性の悪用や、監視に拡大される懸念が開発断念の理由だったとのことです。 ■3行で分かる、この記事のポイント 1. Appleが、子どもの性的虐待画像スキャン機能の開発断念理由を説明。 2. 脆弱性を悪用される可能性や、一斉監視社会につながる懸念があったとのこと。 3. 子どもを性的虐待から保護する他の機能は提供されており、iOS17で進化する。 2021年8月に発表後、物議醸したCSAMスキャン Appleは2021年8月に、児童への性的虐待画像(CSAM:Child Sexual Abuse Material)を機械学習技術によってデバイス上で検出し通報する機能を
あすかです。 Fediverse Advent Calendar 2023の16日目の記事にするつもりだったのですが、全方位を砲撃するような内容、せっかく盛り上がってきたFediverseに水をさすような内容、論理が破綻してないか自分ですら判断がつかないような内容なのでカレンダーのオーナーに迷惑かかるのもアレだと思い、カレンダーには全く別の記事を急いで書いてあてがいまして、こちらはカレンダーから外すことにしました。 この記事、最初は全く別のこと(自作Mastodonフォークkmyblueの宣伝)を書こうと思ってたんですが、やっぱこうね、何書いてもみなさんMisskey使うと思いますんでね、面白みのない宣伝を書いても仕方ないんじゃないかというふうに思いまして、 みなさんがMisskeyを使い続けるのを念頭に、あすかが絵文字リアクションをしばらく使ってみて思ったことを書いてみます。 この記事に
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ランサム攻撃の被害相次ぐ、5月下旬から各所で 企業だけでなく自治体、病院にも影響
約1.4万人分のクレカ番号・セキュリティコードなど漏えいか 約3.9万人分の個人情報も 大阪のスポーツ用品店
ペネトレーションテスト実施検討中の企業担当者が実施前に読む記事
ChatGPT、Claude、Perplexityという3つの競合AIが同時にシステム障害を起こし利用不可に
科学としての歴史 | Nature ダイジェスト | Nature Portfolio
社内でのプロダクト脆弱性診断の方法、継続することで見つかる脆弱性の傾向の変化
え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
オンラインストレージの脆弱性対策について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
なぜ今、コード品質が求められるのか? ChatGPT時代を生き残るためのエンジニアの基礎スキル
CentOS後継候補のAlmaLinuxが日本ユーザーに「より安心に」
Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃
Intel CPUから機密情報が漏洩する「Downfall」脆弱性、Microsoftが軽減策・解除方法を案内/GDS軽減策は既定で有効
New RelicからDatadogに乗り換えした話 - インゲージ開発者ブログ
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
WordPressをS3で静的ホスティングしてセキュアに配信する - Qiita
Prisma ORMを使いこなす ~歴史と対RDB運用の知見を添えて~
旧ジャニーズの不十分な情報発信 テレビ局幹部はガバナンスに注文:朝日新聞デジタル
禁止なのにファックス利用、しかも宛先を間違えマイナンバー1件漏えい 沖縄労働局
【2週間の爆速開発】緊急度の高いPJに抜擢される優秀なエンジニアの特徴とは
Apple、「iOS 17.4」の「iMessage」に量子コンピューティング攻撃防御の「PQ3」搭載へ
Kubernetesクラスタの可観測性の隙間を埋めるeBPF - LIFULL Creators Blog
他人のキーボードに“1分で2万回の誤入力”をする攻撃 DoS攻撃やDeleteキー連打で妨害
PHPやNode.jsなどに任意コマンド実行の脆弱性、原因はWindows仕様の理解不足
ファイル転送ツールへのサイバー攻撃が増加中、脱PPAPにも影を落とす
Apple、児童ポルノスキャン機能の開発を断念した理由を説明 - iPhone Mania
Misskeyにおける絵文字リアクションの危険性(怪文書)|KMY