すべてのGitHub Copilotユーザーは、追加料金なしでCopilot Chatで自然言語によるコーディングを利用できるようになりました。 GitHub UniverseにおいてGitHubがGitHub Copilotにより、世界有数のAIが支援するソフトウェア開発者プラットフォームへと拡張し、進化したことを発表しました。開発者プラットフォームのAI機能の核となるGitHub Copilot Chatは、自然言語を新しい普遍的なプログラミング言語として使うことを可能とするものです。 本日、GitHub Copilot Chatは、Visual Studio CodeとVisual Studio向けに一般提供(GA)を開始しました。当初からあるGitHub Copilotの生産性を高めるコード補完機能は、すべてのGitHub Copilotプランに含まれます。また、認定された教員、学
Palo Alto Networksは2024年11月1日(現地時間)、同社のエンドポイントセキュリティ対策製品「Cortex XDR」を標的としたサイバー攻撃の調査結果を発表した。 サイバー攻撃者らがCortex XDRの防御を回避しようと試みた事例が報告されており、攻撃者の活動内容や使用されたツールの詳細が明らかにされている。 攻撃者はどのようにしてエンドポイント防御の突破を試みるのか? Palo Alto Networksの調査によると、脅威アクターが初期アクセスブローカーから「Atera RMM」経由でネットワークへのアクセス権を購入し、不正な仮想システムを構築してCortex XDRエージェントをインストールしていたことが分かった。 この動向は、BYOVD(Bring Your Own Vulnerable Driver)技術を活用したアンチウイルス/エンドポイント検出応答(AV
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らが発表した論文「Unfiltered: Measuring Cloud-based Email Filtering Bypasses」は、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告である。 多くの組織がクラウドベースのメールフィルタリングサービスを導入し、高度化するメールの脅威から身を守っている。これらのサービスは、企業のメールサーバとインターネットの間に位置し、受信メールをフィルタリングして、スパムやマルウェアなどの脅威を取り除く役割を果たす。 しかし、この
Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。 Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes 脆弱性の概要 この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Ki
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
米国証券取引委員会(SEC)は、歴史的なサイバーインシデント報告要件の実施日を正式に迎えた。 重大なサイバーインシデントが発生したと判断された場合(注1)、4営業日以内の報告を義務付けるこの規則は、米国で事業を展開する上場企業に対して、最高レベルのサイバーリスク戦略の準備と実施を求める。 PwCでサイバーやリスク、規制マーケティングの領域を担当するリードパートナーのジョー・ノセラ氏は「重大性の判断について正確な情報を収集し、それらの情報に基づいた判断ができているかどうかを確認するために、企業はインシデント対応プログラムを見直している。SECが定める“重大性”の定義は曖昧であり、企業はそれを自らの組織にどのように適用すべきかを検討している」と述べた。 セキュリティ対策から逃げる経営責任者たち SECの重要な目標の一つは、重大な侵害やランサムウェア、国家によるスパイ攻撃を軽減するための企業の備
宇宙航空研究開発機構(JAXA)において昨年発生した不正アクセスによる情報漏洩への対応状況について、以下のとおりお知らせいたします。 昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス(以下、「本インシデント」といいます)を認知しました。その後速やかに不正通信先との通信遮断等の初期対応を実施しつつ、専門機関及びセキュリティベンダー等とも連携して調査を行い、事案の解明、対策の策定及び実施に取り組んできました。本インシデントの概要は別紙のとおりですが、その中で、JAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩していたことを確認いたしました。 本インシデントで漏洩した情報については、相手方との関係もあることから詳細は差し控えさせていただきますが、情報が漏洩したご本人・関係者の皆様には個別に謝
EC2ってなんやねん
1. はじめに どもども、東京喰種にどハマり中の井上弥風(いのうえみふう)です 今回は「EC2ってなんやねん」です 1.1 この記事を書こうと思った理由 現在インフラ案件でAWS構築に取り組んでいて、プロジェクト内でELBを利用していることからELBの内部機能を完全に理解したいと思っていました 手始めに「ロードバランサーってなんやねん」という記事を書き、その流れで「ELBってなんやねん」も書いてみたのですが、ELBの背後にあるEC2の冗長化やオートスケーリングの部分がいまいちピンときませんでした そこで、まずはELBの背後にあるEC2についてしっかりと理解することから始めようと思い、この記事を書くことにしました!って感じです 1.2 記事のゴール この記事を通じて、ELBを完全に理解するための基礎として、その背後にあるEC2が何なのか、どのように利用されるのかを明確にすることが当記事のゴー
春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ
はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢中で・・とかいう人はいいです。その道を邁進してください。高校・大学からCTFやってますとか、なんとなくペンテストに興味があって、とかいう人は、興味のない分野でもとりあえずやってみることをお勧めします。意外な分野で適性があるかもしれません。社会人人生は五十年くらいあります。なるべくいろんなことをやってみて、自分に合っているものを見つけましょう。 できないことを悩まない 入社してしばらくすると、あの人はあんなにできるのになぜ自分はこんなにできないのかってなるんですよねえ。で
10年前のPCから技術はどう進歩した? 実家のIvy Bridge搭載PCをIntel N100搭載ミニPCに買い替えた
レビュー 10年前のPCから技術はどう進歩した? 実家のIvy Bridge搭載PCをIntel N100搭載ミニPCに買い替えた ここ1年ほどで、実家に住む父から「自宅のデスクトップPCの調子が悪い」と相談を受けることが増えました。 はじめの方は「余計なアプリを閉じよう」とアドバイスをしていましたが、どうにも調子が戻らないということでPC本体を確認してみると、2012年に発売されたIntelの第3世代Core CPU「Ivy Bridge」を搭載したなかなか古いPCだったことが判明しました。 Ivy Bridgeは、当時としては高性能・省電力、かつ当時のドル円レートの影響で安価に購入できたという過去を持つCPU。このため、一般的なパソコンの買い替えサイクルである5年を超えても使い続けるユーザーが多い……とされています。前年に発売された「Sandy Bridge」と並んでかなり物持ちがよく
Linux環境で使用されている圧縮ツール「XZ Utils」のバックドアはどのように埋め込まれるのかをセキュリティ企業のカスペルスキーが解説
2024年3月29日に発覚した「XZ Utils」というライブラリへ仕掛けられていたバックドアについて、ロシアのセキュリティ企業であるカスペルスキーが分析記事を投稿しました。 Kaspersky analysis of the backdoor in XZ | Securelist https://securelist.com/xz-backdoor-story-part-1/112354/ XZは多くのLinuxディストリビューションで使用されている圧縮ツールで、今回は特にOpenSSHのサーバープロセスである「sshd」をターゲットに攻撃が行われました。「Ubuntu」「Debian」「RedHat/Fedora」などのディストリビューションではsshdの起動時に「systemd」経由でXZが呼び出され、sshdにリモートでコードが実行できるバックドアが仕掛けられます。 今回のバックド
DDoS攻撃は複数のマシンから膨大な量のデータをターゲットに送信し、ウェブサイトやサーバーを処理不能な状態に追い込むサイバー攻撃手法です。そんなDDoS攻撃の多くは、使用可能な帯域幅を枯渇させる「帯域幅消費型」に分類されますが、近年は「パケットレート攻撃」と呼ばれる手法も増えているとして、クラウドコンピューティングサービスを展開するOVHCloudでコンピューターセキュリティインシデント対応チーム長を務めるセバスチャン・メリオ氏が、その手法について解説しています。 The Rise of Packet Rate Attacks: When Core Routers Turn Evil - OVHcloud Blog https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/ D
マイクロソフト製の最新Linuxディストリビューション「Azure Linux 3.0」正式リリース。Azureに最適化され、Kernel 6.6を採用
マイクロソフト製の最新Linuxディストリビューション「Azure Linux 3.0」正式リリース。Azureに最適化され、Kernel 6.6を採用 マイクロソフト製のLinuxディストリビューションである「Azure Linux」の最新版となる「Azure Linux 3.0」が正式リリースされました。 Azure Linuxはマイクロソフトが提供しているサービス、MinecraftやAzure Kubernetes Service(AKS)、Azure Operator Nexus、Xbox、HDInsight, Microsoft Threat Protectionなどの基盤OSとしてマイクロソフト社内で作られていた、セキュリティを重視しMicrosoft Azureに最適化された同社独自のLinuxディストリビューションです。 3月に公開されたブログ「What’s new in
1. 始めに こんにちは、morioka12 です。 本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。 1. 始めに 想定読者 筆者のバックグラウンド 2. セキュリティエンジニアとは 脆弱性診断・ペネトレーションテスト 3. セキュリティエンジニア志望の就活 3.1 企業候補 セキュリティイベント JNSA 情報セキュリティサービス台帳 JVN 一般社団法人日本ハッカー協会 公務員 3.2 ユーザー企業・ベンダー企業 3.3 企業ホームページ 技術ブログ 3.4 求められるスキル 4. morioka12 の就活話 4.1 気になる企業をリストアップ 4.2 カジュアル面談 4.3 新卒採用 5. セキュリティエンジニアを目指す就活生へ (まとめ) 5.1 セキュリティ業界を知ろう 5.2 セキュリティイベント
2024年3月の、これだけは押さえておきたいWeb関連の動き
2024年3月の、これだけは押さえておきたいWeb関連の動き 「Web系の最新情報を知りたいけど、日々業務が忙しくて追いかけられない」という方のために、1ヶ月のWeb系ニュースの中で「これだけは押さえておきたい」というものを1つの記事にまとめています。 デザイン・Figma・UI Canva、Affinityを買収 Adobe対抗のデザインツール大手 個人的に注目のニュースだったので、記事を書きました。 CanvaによるAffinity買収は「Adobeとの競争への大きな一歩」である – Stocker.jp/diary Iconbuddy — 100K+ open source icons アイコン素材検索サイトです。 Figmaが生成AI機能を強化へ、アイデア出しや付箋の要約などをサポート/ディラン・フィールドCEOが「Figma」の今後の展望を語る 「UIの色を変えただけで大量のクレ
Googleのドメイン登録サービス「Google Domains」から移管されたドメインが移管先の脆弱性によってハイジャックされてしまう
2024年7月、ウェブサイト構築・ホスティングサービスやドメイン登録サービスを提供するSquarespaceのドメインを標的として、組織的なドメインネームシステム(DNS)ハイジャック攻撃が行われました。主に仮想通貨ビジネスを標的とした今回の攻撃は、2023年にSquarespaceの買収によってGoogle Domainsから移管されたドメインに関連しているとのことです。 DNS hijacks target crypto platforms registered with Squarespace https://www.bleepingcomputer.com/news/security/dns-hijacks-target-crypto-platforms-registered-with-squarespace/ Researchers: Weak Security Defaults
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
Googleは2024年6月20日(現地時間)、脆弱(ぜいじゃく)性の検出に大規模言語モデル(LLM)を活用する新しい研究開発プロジェクト「Naptime(お昼寝タイム)」を発表した。 C/C++の脆弱性検出はLLMに任せて“お昼寝しよう” NaptimeはAIエージェントとターゲットコードベース間のインタラクションを中心に構築されたアーキテクチャだ。特にC/C++の高度なメモリ破壊およびバッファーオーバーフローの脆弱性を発見することに焦点を当てている。この2つの対象は従来の方法論では発見することが難しく、GoogleはLLMを利用することで検出効率を最大20倍まで改善できると説明している。 なお、プロジェクト名の由来は開発した成果物がセキュリティ担当者やIT担当者を支援し、定期的に昼寝ができるくらいにはなりたいという願掛けになっているという。 Naptimeのアーキテクチャはセキュリティ
Apple Silicon Mシリーズにチップレベルで暗号鍵を漏らす可能性ある脆弱性。プリフェッチャー狙ったサイドチャネル攻撃、米大学セキュリティ研究者らが公表 | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 米国の複数の大学の研究者グループが、Apple Silicon搭載Macにチップレベルの脆弱性を発見したと発表しました。 同グループによると、この脆弱性はMacが備える暗号化のしくみをバイパスし、システムの暗号鍵にアクセスを許すため、Macに格納されている個人情報が悪意ある者の手に渡る可能性があるとのことです。 Apple SiliconのM1、M2、M3チップには、データメモリ依存プリフェッチャー(DMP)と呼ばれる、処理性能向上用の機能があります。 これは実行中のコードが近い将来にアクセスするであろうデータが使うメモリアドレスを予測しロードすることで、ボトルネックとなるCPUとメモリー間のレイテンシーを削
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
sponsored JN-MD-IQ1301FHDRをレビュー モバイルでも映像の質にこだわりたいなら、QLEDの13.3型液晶はいかが? sponsored JN-i27QR-C65W-HSPをレビュー USB Type-C給電&KVM対応の27型WQHDディスプレーで約2.8万円は即ポチ損なしの最安級 sponsored MSIがセール開催中!この夏に自作PCパーツを買う人はツイている サマーセールを活用すれば同じ予算でGeForce RTX 4070を4080にできないか考えてみた sponsored FRONTIERの「FRGBLSZ790/SG2」をチェック、自作erでも心くすぐられるケース内部 RTX 4070 Ti SUPERを垂直設置、デザインもゲーム性能も妥協なしのゲーミングPC sponsored ファーウェイ製スマートウォッチらしくバッテリー長持ちもうれしい スマート
DOMDOM トークス #1 mizdra (みずどら) です 株式会社はてな フロントエンドエキスパートやってます DOM をとりまく ブラウザのセキュリティ の話 DOM 成分ほとんど無いです 「iframe」がちょっと登場するくらい すみません... 皆さんご存知 ツールバーに機能を足したり Webページをカスタマイズしたり Webページにスクリプトを埋め込める機能 Web ページをカスタマイズしたい時によく使う code:content-script.js // ページ中のテキストを真っ赤に document.querySelectorAll('*') .forEach(el => el.style.color = 'red'); (ここまで3分) Chrome 開発チームが「Content Script の中で機密データを保持するな」と言ってる https://groups.go
NEC、世界トップレベル性能の高速な大規模言語モデル (LLM) cotomi Pro / cotomi Light を開発
NECは、LLM(Large Language Model:大規模言語モデル)「cotomi(注1)」のラインアップ拡充のため、学習データやアーキテクチャを刷新した「cotomi Pro」「cotomi Light」を開発しました。 昨今の生成AIの急速な発展に伴い、様々な企業や公共機関が、LLMを活用した業務変革の検討・検証を進めています。具体的な活用シーンが見えてくる中で、導入・運用に際してレスポンスタイム、業務データ連携や情報漏洩・脆弱性等のセキュリティ面など、お客様ニーズにあったモデル・形態での提供が求められています。 NECは、高速性と高性能の両立がお客様の課題解決に必須と考え、LLMのラインアップを拡充しました。今回開発した「cotomi Pro」「cotomi Light」は、グローバルのLLMと同等の高い性能を、十数倍の速度で実現する高速・高性能なモデルです。一般的に、LL
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
いつまでたってもなくならないVPN機器の脆弱性 その背景にあるもの ここ最近で話題になったインシデントの多くが、VPN機器の脆弱性をきっかけとしていることは、皆さんもご存じのはずです。かつて大きな話題になった病院におけるインシデント群もやはりVPN機器でした。特に大阪急性期医療センターのランサムウェア被害事例はサプライチェーンを通じて、関連会社から侵入を許してしまったというものでした。自社だけでなく関連会社や関連拠点に置かれた機器も、正しく管理しなくてはならないというのが、現状のランサムウェア対策を困難にしています。 かつてネットワークベンダーの間では「UTM」(Unified Threat Management:統合脅威管理)製品が大変なブームになりました。UTMが一段落したかと思えば、次世代UTMというものもプロモーションのキーワードとして多用されてきています。一方、UTMの導入現場で
橋本直子『なぜ難民を受け入れるのか』(岩波新書) 9点 : 山下ゆの新書ランキング Blogスタイル第2期
7月19 橋本直子『なぜ難民を受け入れるのか』(岩波新書) 9点 カテゴリ:社会9点 副題は「人道と国益の交差点」。タイトルからすると単純に「難民を受け入れるべきだ」という規範的な主張をする本をイメージするかもしれませんが、副題にもあるように各国の国益をシビアに検討しつつ「難民の受け入れを進めるべきだ」という本になっています。 著者は研究者であるとともに、国際移住機関(IOM)やUNHCRの職員、法務省の入国者収容所等視察委員会の委員、法務省の難民審査参与員などを務めてきた実務家であり、本書は理想と実務のバランスを意識しながら論じられています。 理想を掲げて終わるでもなく、現実の問題を数え上げて終わるのでもなく、「難民問題」という難しい問題が適切なやり方で論じられた本です。 目次は以下の通り。はじめに第一章 難民はどう定義されてきたか――受け入れの歴史と論理第二章 世界はいかに難民を受け入
グーグルがPC版Chrome利用者に警告「攻撃進行中、今すぐ更新を」 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
グーグルはデスクトップユーザー向けにブラウザ「Google Chrome」の緊急アップデートを発表し、深刻なセキュリティ脆弱性の攻撃手段が「野放しになっている」と警告した。 Chromeの安定版チャンネル(ブラウザの更新を管理する仕組み)は、WindowsとMac向けには128.0.6613.84/.85、Linux向けには128.0.6613.84にアップデートされた。これは自動的にPCにダウンロードされるはずだが、確実にインストールするにはブラウザを確認して再起動する必要がある。 「CVE-2024-7971」で識別される今回の脆弱性は、JavaScriptエンジンV8にの「型混乱」によるもので、これはChromeのゼロデイ(修正前に悪用される脆弱性)としては典型的なメモリ問題だ。これは「細工されたHTMLページを通じて、リモートの攻撃者がヒープ破壊(メモリ領域の破壊)を悪用することを
情報漏えいを防ぐべく人々の想いのこもった手紙を検閲する無料ゲー「Your letter has been rejected.」で祖国のために働いてみた
無料でブラウザからプレイできる「Your letter has been rejected.」は、他国へと送られる手紙に祖国・グルツァナの機密情報などが含まれていないかを確認する検閲官となり、さまざまな手紙の検閲を行うというアドベンチャーゲームです。機密情報の漏洩(ろうえい)につながるようなミスを犯せばゲームオーバーというディストピア で、祖国のために検閲官として奮闘してみました。 貴殿を検閲官へと任ずる。 問題がある手紙は、決して送り届けてはならない。 我らがグルツァナに栄光あれ。 Your letter has been rejected. - AZ. | フリーゲーム投稿サイト unityroom https://t.co/9f0xsXGQ5X #unity1week pic.twitter.com/zpJIpgjujV— AZ. (@az_period) 「Your letter
京王線 16:27 各停 調布 32768両編成 こんにちは。freeeでQAのマネージャをやってるuemuです。freee人事労務とグローバル開発のQAをメインで担当しています。 これは、freee QA Advent Calendar2023 23日目の記事になります。 はじめに みなさん、境界値分析はやってますか? 普段、QA業務を行っている人だったら、やったことがない人はいないでしょう。「そんなの知ってるよ」「いつもやってるよ」という人がほとんどだと思いますが、今回は普段より少し広い視野で境界値分析をやってみたいと思います。 ちょっと話が脱線しますが、私はブラタモリという番組をよく観ます。タモリさんが“ブラブラ”歩きながら知られざる街の歴史や人々の暮らしに迫る番組ですが、その中でタモリさんがよくこんなことを言っています。 「へりがおもしろいんですよ、へりが。」 「事件はへりで起きて
LINEは、LINEアプリにトーク内容や動画などを保存できる「LINE Keep」を8月28日に終了すると発表した。「より良いサービスの提供に注力し、アプリ全体の最適化のため」としている。 LINE Keepは、トーク内容や動画、画像、音声ファイルなどを1GBまで、期間無制限で保存できる機能。2015年8月にスタートした。利用していた人は、サービス終了までに必要なファイルをバックアップするよう呼び掛けている。 関連記事 LINEヤフー、韓国ネイバーとの委託関係を終了へ PayPayとLINEのアカウント連携も延期に LINEヤフーがネイバーへの業務委託を撤廃することを決めた。これは2023年度通期および第4四半期決算会見で明かしたもので、LINEヤフーが進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に、2024年度中としていた計画時
Apple初の空間コンピューティングデバイス「Apple Vision Pro」は、Appleとしては初めてのMR(複合現実)に対応したヘッドセットです。税込60万円近くという高価格帯デバイスな一方で、「ロック解除用のパスコードを忘れると二度と起動できなくなる」「何もしていないのにガラスにヒビが入った」などの不具合も報告されていますが、Apple Vision Proでユーザーが文字を入力する際の目の動きを追跡する「GAZEploit」という攻撃が新たに発見されたと研究者が報告しています。 [2409.08122] GAZEploit: Remote Keystroke Inference Attack by Gaze Estimation from Avatar Views in VR/MR Devices https://arxiv.org/abs/2409.08122 GAZEplo
OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響
セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vuln
Dockerが2023年に公開した新機能、拡張機能をおさらい ソフトウェアサプライチェーン管理の簡素化など強化
Dockerは2023年12月20日(米国時間)、「Docker 2023: Milestones, Updates, and What’s Next」(Docker 2023: マイルストーン、アップデート、今後の展望)と題したブログ記事を公開し、同社の2023年のハイライトを紹介した。 Dockerはまず、2023年にリリースした「Docker Desktop 4.16」~「Docker Desktop 4.26」の各バージョンの主な機能強化点を挙げ、さらに以下のように、2023年におけるDockerのパフォーマンスのマイルストーン、ソフトウェアサプライチェーン管理の簡素化、20個の新しいDocker拡張機能、Dockerの主な新機能を紹介している。 Dockerのパフォーマンスのマイルストーン Dockerは、2023年のパフォーマンスのマイルストーンとして以下を挙げている。 関連記
◆深層学習において、過去の学習過程をモデル間で再利用する全く新たな仕組みとして「学習転移」技術を実現しました。 ◆本技術は、深層学習におけるパラメータ空間の高い対称性を活用し、実際に学習することなく低コストな変換により数秒~数分程度で一定の精度を実現できるため、モデルの再学習コストを抜本的に削減できることを示しました。 ◆これにより、NTTが研究開発を進める大規模言語モデル(LLM)「tsuzumi(*1)」をはじめとした多様な基盤モデル(*2)の運用コスト削減・消費電力の削減や、多数のAIで議論することで多様な解の創出をめざしたAIコンステレーション(*3)の構想具現化など、次世代のAI技術開発に貢献します。 日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明、以下「NTT」)は、深層学習において過去の学習過程をモデル間で再利用する全く新たな仕組みとして「学習転移」技術
タリーズECサイトでクレカ情報5万件以上流出か 不正アクセスで……「深くお詫び」(ねとらぼ) - Yahoo!ニュース
タリーズコーヒージャパンは、同社のECサイトを利用したユーザーのクレジットカード情報が5万件以上漏えいした可能性があるとして謝罪しました。 【画像】情報漏えいした可能性があるタリーズの公式オンラインストア 個人情報の流出可能性も 漏えいした可能性があるのは、2021年7月20日~2024年5月20日に「タリーズ オンラインストア」でクレジットカード決済をした5万2958人の「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」。 また2020年10月1日~2024年5月23日に会員登録をした9万2685人の名前や住所、ログインIDやログインパスワードなどの個人情報も漏えいした可能性があるとしています。 原因は「オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明。上記に該当する9
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub Copilot Chat、組織と個人向けに一般提供(GA)開始
RFIDカードを用いた電子キーに脆弱性が見つかる。世界131カ国のホテル、300万カ所のドアに影響【やじうまWatch】
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
フリーの画像編集ソフト「GIMP 2.10.36」、Adobe製品との互換性向上、脆弱性の修正も/「Windows on Arm」でネイティブ実行できるバージョンも試験提供中
多くのベンダーの「メールフィルタリング」に設定ミス サイバー攻撃の原因にも 米研究者らが調査
ナンバープレートから自動車のエンジンを始動できる脆弱性、発見
「もうセキュリティから逃げられない」 SECの新規則施行で上場企業が頭を悩ませる
JAXA | JAXAにおいて発生した不正アクセスによる情報漏洩について
近年増加中のDDoS攻撃の一種である「パケットレート攻撃」とは?
新卒の学生によるセキュリティエンジニア志望の就活話 - blog of morioka12
C/C++の脆弱性をLLMで検出 Googleが新研究開発プロジェクト「Naptime」を発表
マイクロソフトが重大なセキュリティ脆弱性を発見 VMwareの仮想化システムが標的に
「Zoom」に複数の脆弱性、情報漏えい等の恐れ ~早急なアップデートを/最大深刻度は「High」、Windows/macOS/Linux版に影響
iframe を使って安全にブラウザ拡張機能を実装する - mizdra
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響/「Firefox」内蔵PDFビューワーでも用いられているPDF表示ライブラリ
「Zoom」に最大深刻度「High」の脆弱性 ~最新版では修正済み/Windows版クライアントでパストラバーサルの脆弱性により権限昇格の恐れ
Webサービスの歩き方 - シン・境界値分析 - freee Developers Hub
「LINE Keep」終了へ 自分専用トーク「Keepメモ」は継続
KADOKAWAのランサムウェア攻撃でさらなる情報漏えい
Apple Vision Proでユーザーの視線を追跡してパスワードを盗み取る攻撃「GAZEploit」が発見される
世界初、AIモデルの再学習コストを大幅に削減可能な過去の学習過程を再利用する「学習転移」を実現~NTT版LLM「tsuzumi」など基盤モデルの更新・差し替えを容易に~ | ニュースリリース | NTT