京王線 16:27 各停 調布 32768両編成 こんにちは。freeeでQAのマネージャをやってるuemuです。freee人事労務とグローバル開発のQAをメインで担当しています。 これは、freee QA Advent Calendar2023 23日目の記事になります。 はじめに みなさん、境界値分析はやってますか? 普段、QA業務を行っている人だったら、やったことがない人はいないでしょう。「そんなの知ってるよ」「いつもやってるよ」という人がほとんどだと思いますが、今回は普段より少し広い視野で境界値分析をやってみたいと思います。 ちょっと話が脱線しますが、私はブラタモリという番組をよく観ます。タモリさんが“ブラブラ”歩きながら知られざる街の歴史や人々の暮らしに迫る番組ですが、その中でタモリさんがよくこんなことを言っています。 「へりがおもしろいんですよ、へりが。」 「事件はへりで起きて
※この投稿は米国時間 2023 年 8 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。 Google Cloud は、コンテナ化されたワークロードを実行するための最適な場所になるという使命を担ってきました。それは 2014 年に始まり、Google の内部クラスタ管理システムである Borg を元に、Google は Kubernetes を発明し、世界初のマネージド Kubernetes サービスである Google Kubernetes Engine(GKE)を導入しました。GKE は、現在利用できる最もスケーラブルな、業界をリードする Kubernetes サービスです1。2019 年には、当社はコンテナとサーバーレスの利点を組み合わせた初のサーバーレス プラットフォームである Cloud Run をリリースしました。現在 Cloud Run は、ク
1. 始めに こんにちは、morioka12 です。 本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。 1. 始めに 想定読者 筆者のバックグラウンド 2. セキュリティエンジニアとは 脆弱性診断・ペネトレーションテスト 3. セキュリティエンジニア志望の就活 3.1 企業候補 セキュリティイベント JNSA 情報セキュリティサービス台帳 JVN 一般社団法人日本ハッカー協会 公務員 3.2 ユーザー企業・ベンダー企業 3.3 企業ホームページ 技術ブログ 3.4 求められるスキル 4. morioka12 の就活話 4.1 気になる企業をリストアップ 4.2 カジュアル面談 4.3 新卒採用 5. セキュリティエンジニアを目指す就活生へ (まとめ) 5.1 セキュリティ業界を知ろう 5.2 セキュリティイベント
ChatGPTがついに、目と耳を手に入れました。 9月25日、OpenAIがChatGPTに、画像解析機能と音声出力機能のGPT-4Vが追加され、マルチモーダルAIになったと発表しました。 とうとうChatGPTで画像入力と音声出力ができるようになりました!GPT-4V機能を使うと実際にこんなことができちゃうんです! 今回は話題沸騰中のGPT-4Vの概要や新機能について、特徴を踏まえながら紹介いたします。是非最後までご覧ください! なお弊社では、生成AIツール開発についての無料相談を承っています。こちらからお気軽にご相談ください。 →無料相談で話を聞いてみる GPT 4Vの概要 GPT-4Vは、Open AI社が開発した従来のGPT-4に画像解析機能と音声出力機能を持たせたマルチモーダルAIです。 これは、つまりGPT-4を搭載したChatGPTに「目」と「声」が実装されるということ! テ
NEC、世界トップレベル性能の高速な大規模言語モデル (LLM) cotomi Pro / cotomi Light を開発
NECは、LLM(Large Language Model:大規模言語モデル)「cotomi(注1)」のラインアップ拡充のため、学習データやアーキテクチャを刷新した「cotomi Pro」「cotomi Light」を開発しました。 昨今の生成AIの急速な発展に伴い、様々な企業や公共機関が、LLMを活用した業務変革の検討・検証を進めています。具体的な活用シーンが見えてくる中で、導入・運用に際してレスポンスタイム、業務データ連携や情報漏洩・脆弱性等のセキュリティ面など、お客様ニーズにあったモデル・形態での提供が求められています。 NECは、高速性と高性能の両立がお客様の課題解決に必須と考え、LLMのラインアップを拡充しました。今回開発した「cotomi Pro」「cotomi Light」は、グローバルのLLMと同等の高い性能を、十数倍の速度で実現する高速・高性能なモデルです。一般的に、LL
2023年8月に米ラスベガスで開催された、世界的なハッカーの祭典「DEF CON 31」。このDEF CONで催されたOSINT CTF「Recon Village CTF」において、日本のCTFチーム「pinja(ピンジャ)」が優勝を果たした。おめでとう、pinja!! ……と、まるで他人事のように書き始めてみたが、実は筆者もpinjaチームの一員なのである。そこで今回は、実際に難問に挑んだCTFチームのメンバーという視点から、優勝に至るまでの裏側を体験記としてお届けしたい。まだ「CTF」や「OSINT」といったものをよくご存じない方にも、“総合知的格闘技”としての楽しさが伝われば幸いだ。 CTFとは? Recon Village CTFとは?:知的なかけひきを楽しもう まずは「CTF」とはどんな競技なのか、簡単に説明しておこう。 「Capture The Flag(旗取りゲーム)」の頭
AWS x セキュリティに入門するならまずこの一冊 /「AWS ではじめるクラウドセキュリティ」を読んだ - kakakakakku blog
「AWS ではじめるクラウドセキュリティ」を読んだ❗️とても良かった \( 'ω')/ 本書ではもちろん AWS のセキュリティサービスの機能など「サービスカットな観点」も学べるけど,それ以上に「セキュリティポリシーとは何か」や「どんなリスク分析フレームワークがあるのか」や「どういうセキュリティ管理策を検討するべきか」など,セキュリティ全般の知識を「ソリューションカットな観点」で底上げできる素晴らしい一冊だった📕 まさに本書の はじめに に載っている通りの内容だった💡 本書は、AWS のセキュリティを学ぶということ以上に、AWS を通じてセキュリティを学ぶということを主眼に執筆されました。 ちょうど最近仕事で AWS でのセキュリティ対策全般の設計と構築にゼロベースで取り組んでいて,僕自身の知識アップデートをするだけではなく,開発メンバーにも読んでもらえる本を探していて,まさにこれだ❗
企業におけるデータセキュリティの役割は大きく変化している。特に、AI(人工知能)や高度なアナリティクスイニシアチブを巡る競争の圧力が高まる中、ビジネスリーダーはしばしば、関連するリスクを認識したり評価したりすることなくデータを活用している。 データリスクに関して、ビジネスの利害関係者はしばしばセキュリティインシデントに対する責任感に欠けており、財務や評判に対する潜在的な影響を完全に理解していない場合がある。これらの責任の欠如によって、データのセキュリティリスクを適切に管理するためのインセンティブが働かない。 意思決定者にデータリスクを正しく伝える3つの“コミュ力” セキュリティやリスクを管理するリーダーは、組織のデータリスクを最も包括的に認識しているが、自分たちの主張を伝えて最終的な意思決定に影響を与えることは難しいと感じることがよくある。 重要なメッセージを意思決定者に確実に届けるために
情報漏えいを防ぐべく人々の想いのこもった手紙を検閲する無料ゲー「Your letter has been rejected.」で祖国のために働いてみた
無料でブラウザからプレイできる「Your letter has been rejected.」は、他国へと送られる手紙に祖国・グルツァナの機密情報などが含まれていないかを確認する検閲官となり、さまざまな手紙の検閲を行うというアドベンチャーゲームです。機密情報の漏洩(ろうえい)につながるようなミスを犯せばゲームオーバーというディストピア で、祖国のために検閲官として奮闘してみました。 貴殿を検閲官へと任ずる。 問題がある手紙は、決して送り届けてはならない。 我らがグルツァナに栄光あれ。 Your letter has been rejected. - AZ. | フリーゲーム投稿サイト unityroom https://t.co/9f0xsXGQ5X #unity1week pic.twitter.com/zpJIpgjujV— AZ. (@az_period) 「Your letter
DDoS攻撃は複数のマシンから膨大な量のデータをターゲットに送信し、ウェブサイトやサーバーを処理不能な状態に追い込むサイバー攻撃手法です。そんなDDoS攻撃の多くは、使用可能な帯域幅を枯渇させる「帯域幅消費型」に分類されますが、近年は「パケットレート攻撃」と呼ばれる手法も増えているとして、クラウドコンピューティングサービスを展開するOVHCloudでコンピューターセキュリティインシデント対応チーム長を務めるセバスチャン・メリオ氏が、その手法について解説しています。 The Rise of Packet Rate Attacks: When Core Routers Turn Evil - OVHcloud Blog https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/ D
LINEは、LINEアプリにトーク内容や動画などを保存できる「LINE Keep」を8月28日に終了すると発表した。「より良いサービスの提供に注力し、アプリ全体の最適化のため」としている。 LINE Keepは、トーク内容や動画、画像、音声ファイルなどを1GBまで、期間無制限で保存できる機能。2015年8月にスタートした。利用していた人は、サービス終了までに必要なファイルをバックアップするよう呼び掛けている。 関連記事 LINEヤフー、韓国ネイバーとの委託関係を終了へ PayPayとLINEのアカウント連携も延期に LINEヤフーがネイバーへの業務委託を撤廃することを決めた。これは2023年度通期および第4四半期決算会見で明かしたもので、LINEヤフーが進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に、2024年度中としていた計画時
セキュリティの“構造”がカギ――パーソルキャリアのITセキュリティの現在地とは - techtekt
サイバー攻撃の激化やリスクの多様化など、ITセキュリティの話題が尽きない昨今。お客様からお預かりしている大切な情報を守り、より良いサービスを提供していくために、セキュリティ対策を日々柔軟に変化させていくことの必要性が高まっています。 そうした中、パーソルキャリアでは、ITセキュリティ企画推進グループを新設 。セキュリティを中心としたアーキテクチャや戦略の策定、サイバーセキュリティ施策のさらなる推進に向け、新体制でのスタートを切りました。 今回は、同グループでITセキュリティ領域をリードする役割を担うマネジャーの鈴木とシニアコンサルタントの櫻井へのインタビューです。実はこの2名、パーソルキャリアに入社してまだ半年。外からの視点も併せながら、“パーソルキャリアのITセキュリティの現在地”をテーマに、率直な思いを語っていただきました。 セキュリティのプロフェッショナルとしての豊富な経験と互いの強
AWS Control Tower でコントロールを適用する際のベストプラクティス | Amazon Web Services
Amazon Web Services ブログ AWS Control Tower でコントロールを適用する際のベストプラクティス マルチアカウント環境で効果的なガバナンスを実現し AWS のベストプラクティスや一般的なコンプライアンスフレームワークと連携させる作業は、複雑になることがあります。多くのお客様、特に規制の厳しい業界で事業を営むお客様は、リスクを特定し、サービス間の関係や依存関係に対処するための独自の統制を開発するために、時間とリソースを投資する必要があるという課題に直面しています。このプロセスによって、新しいサービスを実装する際のタイム・トゥ・バリュー (TTV) が長くなることがあります。 AWS Control Tower は、コンプライアンスドメイン全体にわたる包括的なコントロールをお客様に提供し、強固なコンプライアンスフレームワークの確立を促進します。AWS のベスト
OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響
セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vuln
Dockerが2023年に公開した新機能、拡張機能をおさらい ソフトウェアサプライチェーン管理の簡素化など強化
Dockerは2023年12月20日(米国時間)、「Docker 2023: Milestones, Updates, and What’s Next」(Docker 2023: マイルストーン、アップデート、今後の展望)と題したブログ記事を公開し、同社の2023年のハイライトを紹介した。 Dockerはまず、2023年にリリースした「Docker Desktop 4.16」~「Docker Desktop 4.26」の各バージョンの主な機能強化点を挙げ、さらに以下のように、2023年におけるDockerのパフォーマンスのマイルストーン、ソフトウェアサプライチェーン管理の簡素化、20個の新しいDocker拡張機能、Dockerの主な新機能を紹介している。 Dockerのパフォーマンスのマイルストーン Dockerは、2023年のパフォーマンスのマイルストーンとして以下を挙げている。 関連記
Azure AD参加端末におけるPRT (Primary Refresh Token)悪用のリスクと対策について | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
TOP > セキュリティブログ > ペネトレーションテスト > Azure AD参加端末におけるPRT (Primary Refresh Token)悪用のリスクと対策について はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 テレワーク環境の整備が進んだ昨今、エンドポイント端末の管理とセキュリティ対策はゼロトラストネットワークを実現するにあたって重要なポイントとなります。 ゼロトラストネットワークのよくある構成の一例としては、エンドポイント端末を Azure ADに参加させてIntuneでデバイス管理を実装している環境が挙げられます。 Azure ADに参加するエンドポイント端末は、PRT(Primary Refresh Token)と呼ばれる認証
◆深層学習において、過去の学習過程をモデル間で再利用する全く新たな仕組みとして「学習転移」技術を実現しました。 ◆本技術は、深層学習におけるパラメータ空間の高い対称性を活用し、実際に学習することなく低コストな変換により数秒~数分程度で一定の精度を実現できるため、モデルの再学習コストを抜本的に削減できることを示しました。 ◆これにより、NTTが研究開発を進める大規模言語モデル(LLM)「tsuzumi(*1)」をはじめとした多様な基盤モデル(*2)の運用コスト削減・消費電力の削減や、多数のAIで議論することで多様な解の創出をめざしたAIコンステレーション(*3)の構想具現化など、次世代のAI技術開発に貢献します。 日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明、以下「NTT」)は、深層学習において過去の学習過程をモデル間で再利用する全く新たな仕組みとして「学習転移」技術
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 サイバーセキュリティ会社の米IOActiveに所属する研究者らは「Shuffle Up and Deal: Analyzing the Security of Automated Card Shufflers」と題して、8月に開催の「Black Hat USA 2023セキュリティカンファレンス」で、カジノのカードシャッフルマシンをハッキングする手法を発表した。 カジノでは、ポーカーなどのトランプゲームにおいて、テーブルの下に置いて使用されている自動カードシャッフルマシン(Deckmateと呼ばれる装置)がある。 公平さを保つために導入して
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
橋本直子『なぜ難民を受け入れるのか』(岩波新書) 9点 : 山下ゆの新書ランキング Blogスタイル第2期
7月19 橋本直子『なぜ難民を受け入れるのか』(岩波新書) 9点 カテゴリ:社会9点 副題は「人道と国益の交差点」。タイトルからすると単純に「難民を受け入れるべきだ」という規範的な主張をする本をイメージするかもしれませんが、副題にもあるように各国の国益をシビアに検討しつつ「難民の受け入れを進めるべきだ」という本になっています。 著者は研究者であるとともに、国際移住機関(IOM)やUNHCRの職員、法務省の入国者収容所等視察委員会の委員、法務省の難民審査参与員などを務めてきた実務家であり、本書は理想と実務のバランスを意識しながら論じられています。 理想を掲げて終わるでもなく、現実の問題を数え上げて終わるのでもなく、「難民問題」という難しい問題が適切なやり方で論じられた本です。 目次は以下の通り。はじめに第一章 難民はどう定義されてきたか――受け入れの歴史と論理第二章 世界はいかに難民を受け入
ホワイトハウスが開発者に対しC++やC言語からRustやJavaなどのメモリ安全性に優れたプログラミング言語への移行を勧める
アメリカ・ホワイトハウスの国家サイバー局長室(ONCD)が、開発者に対し、C++やC言語といったプログラミング言語からRustやC#などのメモリ安全性が確保されたプログラミング言語への移行を勧めています。 BACK TO THE BUILDING BLOCKS:A PATH TOWARD SECURE AND MEASURABLE SOFTWARE (PDFファイル)https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf White House urges developers to dump C and C++ | InfoWorld https://www.infoworld.com/article/3713203/white-house-urges-developers
2024年2月8日(現地時間)、FortinetはFortiOSにおいて深刻な脆弱性 CVE-2024-21762 が確認されたとしてセキュリティ情報を公開し、同製品を利用する組織へ対応を呼びかけました。ここでは関連する情報をまとめます。 脆弱性の概要 Fortinetはセキュリティ情報 FG-IR-24-015を公開し、利用組織へ対応を呼びかけ。詳細は開示されていないが、既に脆弱性が悪用されている可能性について当該情報で記載している他、米国CISAはKEVカタログにこの脆弱性を追加している。国内でもJPCERT/CC、IPAが注意喚起を発出している。 CVE-2024-21762は境界外の書き込みが可能な脆弱性(CWE-787)。悪用された場合、特別に細工したHTTPリクエストを介して任意のコード(またはコマンド)が実行される恐れがある。認証の必要なく攻撃を行うことが可能。 影響を受ける
CO2排出量見える化・削減・報告クラウドサービス「アスエネ」 司会者:アスエネ、VP of Engineering、石坂達也さまです。持ち時間は6分間です。ご準備よろしいでしょうか? 石坂達也氏(以下、石坂):はい、お願いします。 司会者:それでは、お願いします。 石坂:アスエネの石坂です。「急成長プロダクトを支えるエンジニア組織づくり」についてお話しします。 初めに、みなさんは自社のCO2排出量を把握していますか? 日本は2050年に、温室効果ガスの排出を実質ゼロにする社会の実現を目指しています。こういった流れもあり、企業はCO2排出量を削減しなければならず、その手前となる見える化が急務になっています。 しかし、見える化だけを切り取っても、データの収集、CO2の計算方法、報告書の作成など、多くの課題が存在します。こういった課題を解決するために、我々はCO2排出量見える化・削減・報告クラウ
警察庁は2023年9月27日、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について」という注意喚起を発表しました。同庁はこれまで、状況証拠がある場合でも、こうした情報を公開しないケースが多かったのですが、今回は、国名を明記した形での注意喚起となっています。これは無視できるものではありません。 今回の注意喚起は警察庁やNISCだけでなく、何と米国連邦調査局(FBI)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)など、米国政府機関の名前も連なっています。その上で、中国を名指ししたものとなっているのですから穏やかではありません。 ここで名指しされているサイバー攻撃グループBlackTechはかなり前から日本をターゲットに活動しており、2020年1月に発生した三菱電機への不正アクセスにも関与していたとされています。セキュリティベ
日本セキュリティオペレーション事業者協議会(ISOG-J)は5月24日、「脆弱性トリアージガイドライン作成の手引き」を公開した。
Googleの最新AIモデルGeminiとStack Overflowのナレッジが統合、Google CloudとStack Overflowが戦略的提携
Google CloudとStack Overflowは戦略提携を発表しました。両社は最新AIモデルのGeminiとStack Overflowのナレッジを統合したサービスをそれぞれのプラットフォームで提供する予定です。 StackOverflowは生成AIによる新サービスを提供 Stack OverflowはITエンジニアのQ&Aコミュニティの代表的な存在であり、プログラミングやITシステムの構築に関わる大量のナレッジが15年にわたり蓄積されてきました。昨年(2023年)時点で5800万件の質問と回答があるとされています。 一方で、ChatGPTのような高度な生成AIの登場によって、これまでQ&Aコミュニティで質問されてきた多くの内容が生成AIに質問されるようになったことで、Stack OverflowのようなQ&Aコミュニティの必要性が薄れてきていると見られています。 Stack Ov
2023年11月15日、京都府警などはWebスキミングによるクレジットカード情報の窃取を行っていた疑いとして男を不正指令電磁的記録供用や割賦販売法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 Webスキミング事案 国内初摘発 男の容疑は不正指令電磁的記録供用と割賦販売法違反。2022年10月下旬から11月23日にかけ、音楽グループの公式オンラインショップに対しクレジットカード情報を窃取する不正プログラムを仕組み、同サイトで商品を購入しようとした3人のクレジットカード情報を入手した疑いがある。*1 この通販サイトでは数件の被害が確認されており、購入手続きで必要となるクレジットカード情報を入力した際に不正なプログラムが実行され、利用者が入力した情報を男が収集していたとみられている。*2 男は恒心教と呼ばれる活動に参加しており、2023年8月に爆破予告のFAX送信を行っ
Microsoftはセキュリティより利益を優先し連邦政府や大企業のハッキングにつながる脆弱性を数年間無視していたと元従業員が証言
2020年12月、アメリカの各種政府機関や大手企業がロシア政府の支援を受けるハッカーにハッキングされ、多くの機密データが流出する事態となりました。このハッキングにはMicrosoftの製品に存在した脆弱(ぜいじゃく)性が悪用されていましたが、Microsoftの従業員はこの脆弱性を2016年から察知して繰り返し警告していたにもかかわらず、Microsoftはセキュリティより利益を優先して無視していたと報じられています。 Microsoft Refused to Fix Flaw Years Before SolarWinds Hack — ProPublica https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers Microsoft Ignored Wh
この記事では、毎年少しずつ変化している標準添付ライブラリ、Default gemsとBundled gemsのRuby 3.3でのアップデートについて解説します。 標準添付ライブラリとDefault gems/Bundled gems、それぞれの違い 私、柴田はRubyインタプリタと同時に配布されている便利なライブラリ群(標準添付ライブラリ)の開発だけではなく、アップデートや配布の仕組みを担当しています。この標準添付ライブラリの中にはDefault gemsとBundled gems、そしてどちらでもないライブラリの3種類があります。便宜上ではありますが、どちらでもないライブラリのことを標準ライブラリと呼ぶことにし、それぞれの特徴について解説します。 標準ライブラリ 標準ライブラリは、RipperやCoverageなど、Rubyのインタプリタの挙動に深く依存するライブラリです。標準ライブ
「モバイルデバイス」と「Wi-Fiのアクセスポイント」をランドマークとして使用し、三角測量でデバイスの位置を特定するというのが「Wi-Fi Positioning Systems」(WPS:Wi-Fi測位システム)です。AppleのWPSが悪用され、世界規模でプライバシーの脅威となる可能性をメリーランド大学のエリック・ライ氏とデイブ・レビン氏が指摘しました。 [2405.14975] Surveilling the Masses with Wi-Fi-Based Positioning Systems https://arxiv.org/abs/2405.14975 Surveilling the Masses with Wi-Fi\replaced-Based Positioning Systems Geolocation Services https://arxiv.org/html/
通信アプリ「LINE(ライン)」の利用者や取引先などに関する最大44万件の情報が外部に流出した可能性がある問題で、LINEヤフーは14日、調査する中で新たに最大約7万9000件が流出した可能性があると発表した。大半が従業員に関する情報だというが、国内でも月間約9500万人が利用するサービスだけに安全性が心配だ。 流出した7万9000件のうち7万8000件は従業員の氏名、顔写真、メールアドレスといった情報という。社内連絡用のメールやシステムから漏洩(ろうえい)した。別のルートで5万7000件が流出した可能性も判明。業務委託先のアカウントを悪用した第三者による不正アクセスによるものという。
積水ハウスは5月24日、住宅オーナー向けの会員制サイト「積水ハウス Net オーナーズクラブ」で情報漏えいがあったと発表した。会員・従業員のメールアドレスやパスワードなど30万件近くが漏えいした他、これとは別に50万件超の情報が漏えいした可能性も否定できないという。 漏えいした情報は、サイト会員10万8331人のメールアドレス、ログインID、パスワード。過去に在籍していた人を含む積水ハウスグループの従業員や協力会社スタッフなど18万3590人のメールアドレスと、社内システムにログインする際に使うパスワードも漏えいした。これとは別に、会員46万4053人のメールアドレス、ログインID、パスワードと、従業員や協力会社のスタッフなど7万2194人のメールアドレス、パスワードも、漏えいの可能性が否定できないという。 2008年から11年にかけて運用していたが、現在は使用していないWebページのセキ
CVE-2020-19909 is everything that is wrong with CVEs | daniel.haxx.se
This is a story consisting of several little building blocks and they occurred spread out in time and in different places. It is a story that shows with clarity how our current system with CVE Ids and lots of power given to NVD is a completely broken system. CVE-2020-19909 On August 25 2023, we got an email to the curl-library mailing list from Samuel Henrique that informed us that “someone” had r
安易すぎるパスワード「admin」、IT管理者も使っていた 管理者用パスワードランキング、スウェーデンの企業が公開
組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業のOutpost24の調査でそんな実態が明らかになった。 Outpost24は法人向けセキュリティサービス「Threat Compass」を通じて1月~9月に収集した管理者パスワード180万件のデータを分析した。その結果、最も多かったパスワードは「admin」で、180万件のうち4万件を超えていた。 Threat Compassを通じて収集した管理者パスワードの1位は「admin」に。以降、トップ10までには、2位「123456」、3位「12345678」、4位「1234」、5位「Password」、6位「123」、7位「12345」、8位「admin123」、9位「123456789」、10位「adminis
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webサービスの歩き方 - シン・境界値分析 - freee Developers Hub
コンテナ プラットフォームの新たな進化について | Google Cloud 公式ブログ
新卒の学生によるセキュリティエンジニア志望の就活話 - blog of morioka12
【GPT-4V】ChatGPTが画像入力と音声入力に対応!使い方〜実践まで徹底解説 | WEEL
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響/「Firefox」内蔵PDFビューワーでも用いられているPDF表示ライブラリ
優勝してきたぜ! ハッカーイベント「DEF CON」OSINT CTF体験記 (1/3)
なぜ経営者にリスクが正しく伝わらないのか? セキュリティリーダーに必要な“コミュ力”を磨こう
近年増加中のDDoS攻撃の一種である「パケットレート攻撃」とは?
「LINE Keep」終了へ 自分専用トーク「Keepメモ」は継続
KADOKAWAのランサムウェア攻撃でさらなる情報漏えい
世界初、AIモデルの再学習コストを大幅に削減可能な過去の学習過程を再利用する「学習転移」を実現~NTT版LLM「tsuzumi」など基盤モデルの更新・差し替えを容易に~ | ニュースリリース | NTT
カジノの“カードシャッフルマシン”を不正操作するサイバー攻撃 小型機器をUSBに差し込むだけ
Intel CPUの「Downfall」脆弱性緩和を無効にして性能を稼ぐ方法
FortiOSの脆弱性 CVE-2024-21762 についてまとめてみた - piyolog
社会課題解決のアイデアはあるがエンジニアはほぼいない… 正社員のエンジニアを10倍にしたスタートアップの組織づくり
「Zoom」に最大深刻度「High」の脆弱性 ~最新版では修正済み/Windows版クライアントでパストラバーサルの脆弱性により権限昇格の恐れ
警察庁が名指しで注意喚起 高い技術力を持つBlackTechにどう対処する?
ISOG-J「脆弱性トリアージガイドライン作成の手引き」公開 | ScanNetSecurity
国内で初めて摘発されたWebスキミング事案についてまとめてみた - piyolog
徹底解説! default gemsとbundled gemsのすべて | gihyo.jp
Appleの「探す」で利用されるWi-Fi測位システムを悪用すると簡単に位置情報の追跡が可能になるとの指摘
LINEの安全性に疑念 専門家「使うか使わないかの二択しかない」
TP-LinkのWi-Fiルーターやメッシュシステム5製品に複数の脆弱性、最新ファームウェアへのアップデートを
積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】
JAXAサイバー攻撃、不正侵入1年で4回 対策後にスパコンも標的:朝日新聞デジタル