並び順

ブックマーク数

期間指定

  • から
  • まで

161 - 200 件 / 2099件

新着順 人気順

脆弱性の検索結果161 - 200 件 / 2099件

  • 国慶節中に東証中国株ETFが爆上げしたのはなぜか?

    本稿では、2024年10月第1週に東証中国株ETFが暴騰したことについて解説します。東証マイナーETFウォッチャーとしては2023年の1689天然ガスETFの1円割れ以来の興味深い出来事でした。 原因を一言で言えば「国慶節で中国本土の取引所が長期休場で設定解約が停止され、売りから入って裁定を抜く手段が無い中で、ババ抜きカジノと化してしまった」ということになります。 前引けの東証中国A株ETF(そろそろ飽きてきた) さすがに一部の銘柄(1309)は賢者モードに。 ただ2553は連日の値幅制限拡大を繰り返し今日も22,400円のストップ高。このファンドは昨日時点の基準価額(現地休場前9/30の株価+昨日の為替レートで評価)が1,721円なのでプレミアム1,200%です… https://t.co/ZLzj9YO1su pic.twitter.com/oMuLHyBMhf — トン@儲からない投

      国慶節中に東証中国株ETFが爆上げしたのはなぜか?
    • ロシアが圧縮・解凍ツール「7-Zip」の脆弱性を悪用してウクライナを攻撃していたことが発覚

      圧縮・解凍ツール「7-Zip」のアーカイブ作成機能にWindowsの保護を無効化する脆弱(ぜいじゃく)性が存在していることが明らかになりました。問題を報告したセキュリティ企業のトレンドマイクロによると、脆弱性がロシアによるウクライナへの攻撃に悪用されていたそうです。 CVE-2025-0411: Ukrainian Organizations Targeted in Zero-Day Campaign and Homoglyph Attacks | Trend Micro (US) https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html 7-Zip 0-day was exploited in Russia’s ongoing invasion of

        ロシアが圧縮・解凍ツール「7-Zip」の脆弱性を悪用してウクライナを攻撃していたことが発覚
      • Devindabot: Devinで実現するライブラリの脆弱性自動対応システム - freee Developers Hub

        freee PSIRT( Product Security Incident Response Team ) のhikaeです。freeeでも自律型AI AgentのDevin*1を雇用しています。 今回はPSIRTの業務の一つである Dependabot対応におけるDevinの活用事例(Devindabot)… ライブラリの脆弱性対策にAIを活用して、開発ライフサイクル全体にいい影響が出た話 をご紹介します。 Dependabot対応 ... ライブラリの脆弱性対策 ライブラリアップデートの辛さ フローを見直し負担を下げる ===DependabotがPull Requestを作る流れ 1. GitHub Advisory Database · GitHub に脆弱性情報が追加される 2. Dependabotがリポジトリごとの依存グラフを定期的に更新する。もし脆弱性による影響がある場合

          Devindabot: Devinで実現するライブラリの脆弱性自動対応システム - freee Developers Hub
        • ニコニコの大規模障害、原因はサイバー攻撃 「週末中での復旧は困難な状況」と栗田代表

          ドワンゴが運営する動画配信サービス「ニコニコ」で発生している大規模障害について、ニコニコの栗田代表がX(旧Twitter)で状況を報告した。障害の原因はサイバー攻撃だとしており、「少なくともこの週末中での復旧は困難な状況です」と明かした。 この障害は6月8日早朝から発生し、午前6時にメンテナンス状態へ移行。ニコニコ動画、ニコニコ生放送、ニコニコチャンネルなどのニコニコファミリーサービスの他、外部サービスでのニコニコアカウントログインが利用できない状態となっている。この措置について同社は「大規模なサイバー攻撃を受けており、影響を最小限に留めるべく、サービスを一時的に停止しています」と説明する。 また、「復旧作業と並行して、攻撃の経路および情報漏洩の可能性を調査中」としているものの、サイバー攻撃の影響を完全に排除し、安全が確認されるまで復旧に着手できないとのことから「少なくともこの週末中は復旧

            ニコニコの大規模障害、原因はサイバー攻撃 「週末中での復旧は困難な状況」と栗田代表
          • どこを読んでも学ぶとこしかない 岡山県の病院のランサム被害報告書を徹底解説

            前回このコラムで取り上げた、岡山県精神科医療センターにおけるランサムウェア事案調査報告書には大きな反響がありました。前回の記事は、ぜひこのレポートを読んでほしいということに注力した内容としましたが、皆さん読んでいただけたでしょうか。このインシデントを「人災だ」とし、非常に鋭い内容のレポートに仕上がっているため、タイトルだけでなく全文をしっかり読んでもらいたいと思っていました。 個人的に最も重要だと思ったのは、「閉域網」神話への妄信が続いている現状に対する警鐘です。このインシデントの初期侵入は、恐らく保守向けに設置されていたSSL-VPN装置ではないかと考えられています。報告書によると、システム内に設置された医療機器をはじめ、そのほとんどが境界防御を前提とした「閉域網」というセキュリティ施策を取り入れていたとされています。 同レポートでは、医療業界のインシデントを解説していますので、医療業界

              どこを読んでも学ぶとこしかない 岡山県の病院のランサム被害報告書を徹底解説
            • カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開

              カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開 アンチウイルスソフトウェアで知られるカスペルスキーは、Linux専用のアンチウイルスソフトウェア「Kaspersky Virus Removal Tool for Linux」の無料公開を発表しました。 Introducing our Virus Removal Tool for Linux! Our FREE application scans and cleans Linux systems for known cyber threats, ensuring your machines remain secure. #LinuxSecurity #CyberDefense All you need to know about KVRT for L

                カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開
              • AIに書かせたコードは理解する必要がある

                「AIコーディング時代に出力されたコードを理解する必要があるのか?」という議論についての私見です。 結論からいうとAIが出力したコードは理解する必要があると思っています。その理由を言語化してみます。 アプリが複雑になるとタスク遂行が困難になる 英語圏のエンジニアインフルエンサーにはAIコーディングの熱狂から一歩引いた見解を発信する人が結構いる印象です。自分の感覚を補正するために、そういった人をフォローしてときどき投稿を追っています(個人的に、未来は「エンジニア不要論」でも「AIぜんぜん使えない論」でもなく、両者の中間に落ち着いていくのではないかと思っています)。 元Uberでフォロワー27万人のエンジニアGergely Orosz氏の最近のポストです。 日本語訳: AIコーディングツール、バイブコーディング、AIエージェントについて多くの議論が交わされている これらのツールは、ある程度の複

                  AIに書かせたコードは理解する必要がある
                • イーロン・マスク並びにDOGEについてのゼイナップ・トゥフェックチーとローレンス・レッシグの見解 - YAMDAS現更新履歴

                  www.nytimes.com コロナ禍はそちら方面の記事が主になっていた印象があるゼイナップ・トゥフェックチーだが、最近は『ツイッターと催涙ガス ネット時代の政治運動における強さと脆さ』の著者らしい文章もぼちぼち New York Times に寄稿している印象がある。 彼女がイーロン・マスクが DOGE で行っているクーデターの真意を探る文章である。 マスクを政治の文脈だけに位置づけようとするのは間違いだと彼女は説く。彼は政府の役人のように課題に取り組むのではなく、国家の技術システムに組み込まれた脆弱性を悪用し、サイバーセキュリティの専門家が内部脅威と呼ぶような活動を行うエンジニアの手法を使っているというのだ。 米国政府の情報機関間の細分化が9.11を防げなかった反省から、膨大なデータを収集し共有する統合システムが構築されたが、それを運用するには数人のシステム管理者に強大な権限を与える

                    イーロン・マスク並びにDOGEについてのゼイナップ・トゥフェックチーとローレンス・レッシグの見解 - YAMDAS現更新履歴
                  • Webフロントエンドの脆弱性つまみ食い 2024年版

                    Chrome DevTools: State of the Union 2024 - Debugging React & Beyond

                      Webフロントエンドの脆弱性つまみ食い 2024年版
                    • 信頼性の高い機械学習

                      Cathy Chen、Niall Richard Murphy、Kranti Parisa、D. Sculley、Todd Underwood 著、井伊 篤彦、張 凡、樋口 千洋 訳 TOPICS System/Network 発行年月日 2024年10月 PRINT LENGTH 388 ISBN 978-4-8144-0076-8 原書 Reliable Machine Learning FORMAT Print PDF EPUB 本書では、ソフトウェアシステムの信頼性と安定性を保つことに優れたアプローチであるSRE(サイトリライアビリティエンジニアリング)の原則を適用し、信頼性が高く、効果的で、責任のある機械学習システムを構築し運用するための方法を紹介します。毛糸を販売している仮想のオンラインストア「yarnit.ai」を例に用いつつ、本番環境でのモデルモニタリングの方法から、製品開

                        信頼性の高い機械学習
                      • 部下から上納されかけた話

                        自分も最近のフジテレビの女子アナ上納ニュースを見てて思い出したので書く。 増田はアラフィフの非モテおっさんで、もう10年以上前の話。業種が特定されやすいのでフェイク多め。あと途中に不適切な表現があるので先にお詫びします。 外部から転職してきたやり手と評判の若手に、ある日飲みに誘われたことがあった。 それまで会社の飲み会で一緒になることはあったが直接の誘いははじめてだった。 やり手であることは確かなのだが、目的のためには手段を選ばないといった印象が否めず彼の同僚から不満や文句を聞かされることが時々あったが、補って余るほど業績は優秀だった。 当時の自分は課長クラスだったが、そんなやり手が自分を頼ってくるなんてことが嬉しくて二つ返事でOKを出した。 指定された店に行ってみると、そこには彼以外にももう一人、彼が入社する前から在籍する女性社員が座っていた。 仮に飲みに誘った部下をA氏、何故かそこに座

                          部下から上納されかけた話
                        • Intelが「AMDとNVIDIAには大量の脆弱性がある」と発表

                          Intelの製品セキュリティへの取り組みをまとめた年次報告書「2024 Intel Product Security Report」がリリースされました。この中でIntelは自社セキュリティチームが発見・対処したさまざまな製品の脆弱(ぜいじゃく)性を報告していますが、脆弱性の数について「IntelよりAMDやNVIDIAの方が多かった」と記しています。 2024 Intel Product Security Report Released https://community.intel.com/t5/Blogs/Products-and-Solutions/Security/2024-Intel-Product-Security-Report-Released/post/1663040 Intel roasts AMD and Nvidia in its latest product se

                            Intelが「AMDとNVIDIAには大量の脆弱性がある」と発表
                          • 米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始

                            米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始 アメリカ国防総省 DARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)は、C言語のコードからRust言語のコードへ高い精度での自動変換実現を目指す「TRACTOR」(Translating All C to Rust)プログラムの開始を発表しました。 DARPAは軍事技術の開発および研究を行う機関であり、現在のインターネットはDARPAの前身となるARPAが1967年に開始した「ARPANET」がその起源であることはよく知られています。 DARPAが発表したTRACTORプロジェクトは、C言語のコードからRust言語のコードへの自動変換を高い精度で実現することで、過去にC言語で開発された多くのソフトウェアをメモリ安全なソフ

                              米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始
                            • Windowsを“古いバージョン”に戻す「ダウングレード攻撃」 修正済みの脆弱性をゼロデイ化、“最新の状態”を偽り検出も困難

                              このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのサイバーセキュリティ企業の米SafeBreachの研究者であるアロン・レヴィーさんは、セキュリティカンファレンス「Black Hat USA 2024」でWindowsアップデートプロセスを悪用してシステムを古い脆弱なバージョンに戻すダウングレード攻撃「Windows Downdate」を発表した。 この攻撃はWindowsアップデートを乗っ取り、カスタムダウングレードを作成して、過去の数千もの脆弱性を露呈させ、修正済みの脆弱性をゼロデイ化する。これにより、世界中のWindowsマシンにおいて「完全にパッチ適用済み」が無意味になる可能性があ

                                Windowsを“古いバージョン”に戻す「ダウングレード攻撃」 修正済みの脆弱性をゼロデイ化、“最新の状態”を偽り検出も困難
                              • デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】

                                デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー

                                  デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】
                                • AWS ALBに脆弱性 1万5000以上のアプリケーションに影響

                                  Miggo Securityは2024年8月20日(現地時間)、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱(ぜいじゃく)性「ALBeast」があると発表した。ALBeastはALBを認証機能として使用するアプリケーションにおいて認証バイパスを可能にするものだ。影響を受けるアプリケーションは1万5000以上におよぶ。 AWS ALBの認証機能に隠れた脆弱性「ALBeast」 ただし、AWSは脆弱性とは認めず、「サービスは意図された通りに動いている」と述べた。その理由は何か。また、ALBeastが悪用されるとどのような危険性があるのだろうか。 ALBeastはALBの認証メカニズムに依存しているインターネットに公開されたアプリケーションにおいて、攻撃者が認証や承認のプロセスをバイパスできる構成ベースの欠陥とされている。悪用された場合は不正アクセスやデータ侵害、情

                                    AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
                                  • GitHub CI/CD実践ガイド ――持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用

                                    この本の概要 本書はCI/CDの設計や運用について,GitHubを使ってハンズオン形式で学ぶ書籍です。GitHub Actionsの基本構文からスタートし,テスト・静的解析・リリース・コンテナデプロイなどを実際に自動化していきます。あわせてDependabot・OpenID Connect・継続的なセキュリティ改善・GitHub Appsのような,実運用に欠かせないプラクティスも多数習得します。 実装しながら設計や運用の考え方を学ぶことで,品質の高いソフトウェアをすばやく届けるスキルが身につきます。GitHubを利用しているなら,ぜひ手元に置いておきたい一冊です。 こんな方におすすめ GitHubは使っているけれど,プルリクエストぐらいしか利用していない CI/CDというキーワードは知っているけれど,自分で設計したことはない GitHub Actionsには触れているけれど,正直雰囲気で運

                                      GitHub CI/CD実践ガイド ――持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用
                                    • 今だから再認識したいセキュリティの原則 情報セキュリティ対応はリスクマネジメントの一要素

                                      高度なセキュリティ対策を実施していると思われる組織であっても、遠く海外の攻撃者からインターネットを通じたサイバー攻撃により組織内部のネットワークに深く侵入され、重要な情報が搾取されたり、システムが止められたりすることが連日、報道されています。このような報道を目にして、いつ自分の組織がこのような事態になるかもしれないと考えている経営者は少なくないのではないでしょうか。経営のテクノロジーやサイバー空間への依存度がますます高まっている現在においては、それが適切な感覚と言えるでしょう。 サイバーセキュリティへの対応は、いつ、何が起こるかわからないという不確実性に対するマネジメントの一要素と言えます。毎年の初めに世界経済フォーラム(World Economic Forum)から発表される「グローバルリスク報告書」においても、サイバー攻撃は発生可能性が高いリスクとして常に注目されています。 サイバーセ

                                        今だから再認識したいセキュリティの原則 情報セキュリティ対応はリスクマネジメントの一要素
                                      • 自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17(令2ワ145) - IT・システム判例メモ

                                        ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。 事案の概要 前橋市(X)は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本(Y)に委託し(本件委託契約)、その後の保守業務も委託していた(月額100万円。本件保守契約)。 平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった(本件不正アクセス)*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。 Xは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行

                                          自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17(令2ワ145) - IT・システム判例メモ
                                        • なれる!SRE - Becoming SREで学んだこと - じゃあ、おうちで学べる

                                          はじめに エンジニアとして就職する前に読んだ「なれる!SE 2週間でわかる?SE入門」の内容があまりにも厳しく、業界に就職するのが怖くなったことを覚えています。本の中に登場する中学生の少女にしか見えない凄腕のSE、室見立華さんのような人物は現実には存在しないでしょうが、実際の業界には彼女のような凄腕エンジニアや年齢不相応な技術力を持つ人間も確かに存在します。 なれる!SE 2週間でわかる?SE入門 (電撃文庫) 作者:夏海 公司,IxyKADOKAWAAmazon SREの探求『Becoming SRE』の内容紹介 私は「なれる!SE」が好きすぎるあまり、「なれる!SRE」というタイトルのクソみたいな文章を吐き出したこともありましたが、そのクオリティがあまりにも低かったため、外には公開せずに留めておきました。そんな中、SREの探求の原著者であるDavid Blank-Edelman(ott

                                            なれる!SRE - Becoming SREで学んだこと - じゃあ、おうちで学べる
                                          • 「できる人」と「できない人」の分岐点:4M4E分析で手に入れる仕事の質 - STUDY HACKER(スタディーハッカー)|社会人の勉強法&英語学習

                                            どんな人間だって、大なり小なりミスはするものですよね。しかし、同じミスを繰り返す人と、繰り返さない人には決定的な違いがあるようです。その違いとは、ミスをしたあとに真因究明ができているかどうか。今回は、ミスの再発で悩むビジネスパーソンに向け、再発防止のカギを握る分析方法を紹介しましょう。 【ライタープロフィール】 STUDY HACKER 編集部 「STUDY HACKER」は、これからの学びを考える、勉強法のハッキングメディアです。「STUDY SMART」をコンセプトに、2014年のサイトオープン以後、効率的な勉強法 / 記憶に残るノート術 / 脳科学に基づく学習テクニック / 身になる読書術 / 文章術 / 思考法など、勉強・仕事に必要な知識やスキルをより合理的に身につけるためのヒントを、多数紹介しています。運営は、英語パーソナルジム「StudyHacker ENGLISH COMPA

                                              「できる人」と「できない人」の分岐点:4M4E分析で手に入れる仕事の質 - STUDY HACKER(スタディーハッカー)|社会人の勉強法&英語学習
                                            • インターンした企業へのDDoS攻撃容疑で摘発された事案についてまとめてみた - piyolog

                                              2024年11月27日、京都府警は京都市内の企業に対しDDoS攻撃を行った疑いとして会社役員の男とその妻を逮捕しました。男は攻撃を行った企業へ過去にインターンを行っており、その後に業務提携を持ち掛けるも実現しなかったと報じられています。ここでは関連する情報をまとめます。 実行者に依頼しDDoS攻撃 DDoS攻撃の被害にあったのは京都市中京区に本社をおくスポーツジムの紹介サイトを運営するIT企業。攻撃は2024年8月から9月にかけて合計10回確認されており、同社が京都府警に相談を行っていた。攻撃を受けた8月には広告契約が解約されるなどの影響もあった。 京都府警サイバー捜査課が電子計算機損壊等業務妨害の容疑で逮捕したのは中国籍の会社役員の男とその妻の二人。二人は氏名不詳の人物(攻撃の実行者)と共謀し、2024年9月2日9時40分頃から10時10分頃まで当該企業のサーバーに対し大量のデータを送信

                                                インターンした企業へのDDoS攻撃容疑で摘発された事案についてまとめてみた - piyolog
                                              • UEFI ブートキット入門 - FFRIエンジニアブログ

                                                はじめに 基礎技術研究部の松尾です。 PC やサーバーの電源を入れた際、まずはじめに実行されるのが Basic Input/Output System (BIOS) というシステムファームウェアです。 もし BIOS が攻撃者に乗っ取られたら、その後に起動される OS 等を好き勝手に改ざんできる事になります。 この、BIOS に感染するマルウェアの事を「ブートキット (Bootkit)」と呼びます。 そこまでして感染させる必要があるのかと思う方も多いと思いますが、ブートキットは机上の話ではなく、数は少ないものの実際に観測されている脅威です。 確かに民間企業を狙うマルウェアであれば、BIOS まで狙うのはオーバーキルだと思います。しかし、安全保障に関わる領域、クラウドや Trusted Execution Environment (TEE) 等のハイパーバイザーベースのセキュリティが絡む領域

                                                  UEFI ブートキット入門 - FFRIエンジニアブログ
                                                • あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ

                                                  デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 月から今まで担当してきた「Web アプリケーション診断担当」から「プラットフォーム診断担当」(現 DiaForcePSR グループ)に異動させて頂き、プラットフォーム診断を楽しみながら、お仕事させていただいております、、! そんな私ですが、先日「クライアント端末設定診断」の案件を担当させていただき、お客様の診断対象端末に対してセキュリティパッチスキャンをかける機会がありました。 そこで診断作業中にふと、「自分の私用デバイスは普段から WindowsUpdate を適用するように心がけてはいるけど、大丈夫かな、、?」と思い、診断作業の練習を兼ねて無償利

                                                    あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ
                                                  • GPT-4は財務諸表から将来の収益の伸びを予測する点で人間のアナリストよりも優れていることが研究により明らかに

                                                    OpenAIが開発する大規模言語モデル(LLM)の「GPT-4」は、道徳テストで人間の大学生より優れたスコアをたたき出したり、セキュリティ勧告を読むことで実際の脆弱性を悪用できたりと、すでに一部の分野で人間の能力を超えることが示されています。そんなGPT-4が、プロのアナリストに匹敵する精度の財務諸表分析を行えることが実証されました。 Financial Statement Analysis with Large Language Models by Alex Kim, Maximilian Muhn, Valeri V. Nikolaev :: SSRN https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4835311 The future of financial analysis: How GPT-4 is disrupting

                                                      GPT-4は財務諸表から将来の収益の伸びを予測する点で人間のアナリストよりも優れていることが研究により明らかに
                                                    • 脆弱性報告で GitHub から $4,000 貰った話

                                                      はじめに こんにちは、ダイニーの ogino です。 この記事では GitHub の bug bounty で脆弱性を報告し、実際に報奨金を受け取った時の体験を共有します。 私は特にセキュリティの専門家ではなく、偶然に問題を見つけて初めて報告をしました。読者の方が同じようなチャンスに遭遇した時スムーズに行くように、海外からお金を受け取る上での意外なつまずきポイントや、実際に貰える金額などについて紹介します。 どんな問題を見つけたのか 今回見つけたのは、GitHub Copilot の VSCode 拡張機能に関する問題です。 この拡張機能のソースコードは本来公開されていないはずですが、TypeScript のソースマップによって元のコードが露出していました。 そもそも VSCode の拡張機能は .vsix という拡張子の付いたパッケージ形式で配布されます。これは実態としてはただの zip

                                                        脆弱性報告で GitHub から $4,000 貰った話
                                                      • Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現

                                                        10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 以下に、その内容を紹介する。 Rustlsとは何か? Rustlsは、Rust言語で書かれ、メモリ安全性に優れたTLS(Transport Layer Security)実装である。 Rustlsはすでにプロダクション環境に対応しており、さまざまなアプリケーションで利用されている。C APIとFIPSサポートも備えており、既存のプログ

                                                          Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現
                                                        • ミニマムな React Web アプリケーションの技術スタックを大公開! - inSmartBank

                                                          はじめに こんにちは。サーバーサイドエンジニアの mokuo です。 最近、ミニマムな React アプリを実装する機会がありました。 社内のメンバーにアドバイスをもらいながら、今(2024年前半) React アプリをミニマムに作るならこんな感じかな、という構成になった気がするので、ご紹介したいと思います。 実例の1つとして参考にしていただけますと、幸いです。 はじめに 本文 📝 機能要件 ⚒️ 採用したツール (npm モジュール) 📁 ディレクトリ構成 👨‍💻 プロトタイピングの実施 🍩 おまけ コンポーネント設計について フロントエンドに DDD のエッセンスを取り入れてみたい おわりに 本文 📝 機能要件 社内の限られた CS メンバーのみが利用する、管理画面を開発しました。 バックエンドは Golang で実装される API サーバーで、認証機能以外だと、2つの機能

                                                            ミニマムな React Web アプリケーションの技術スタックを大公開! - inSmartBank
                                                          • 決済カード開発の裏側 - スマートバンクにおけるインフラセキュリティアーキテクチャ大解剖 - Findy Tools

                                                            2021年4月のリリースから3年で累計ダウンロード100万件以上、月間取扱高数十億円を達成した話題の金融サービス「B/43」を開発・運営するスマートバンク社。 今回は、スケーラブルで高いセキュリティが求められる同社のインフラにおいて、どのような技術を選択し、課題を乗り越えてきたのか、また現在の取り組みや今後の展望を、SREの中野さんにご紹介頂きました。 スマートバンク社の会社・事業説明スマートバンクは、「人々が本当に欲しかったものをつくる」をビジョンに掲げ、家計簿アプリとVisaプリペイドカードが一体となった 「B/43(ビーヨンサン)」 を提供しています。 毎月の予算をカードにチャージして日々の支払いをすることで、支出が自動で記録され、見える化されるので、支出管理をかんたんに継続することができます。 個人の支出管理ができる「B/43マイカード」や、夫婦やカップルで共有できる 「B/43ペ

                                                              決済カード開発の裏側 - スマートバンクにおけるインフラセキュリティアーキテクチャ大解剖 - Findy Tools
                                                            • 自動車業界のサイバーセキュリティ標準:「WP.29 Cybersecurity対応 AWS リファレンス」の無償公開とその意義

                                                              自動車業界向けサイバーセキュリティ標準「WP.29 Cybersecurity対応 AWS リファレンス」が無償公開。その意義について関係企業の担当者に聞いた。 自動車業界に求められる 「WP. 29 Cybersecurity 対応 AWSリファレンス」を無償公開 日立システムズ、SCSK、トレンドマイクロ、VicOneが「WP. 29 Cybersecurity 対応 AWSリファレンス」を6月6日に無償公開しました。このリファレンスは、国際的な自動車のサイバーセキュリティ標準「WP.29 UN-R 155」に準拠したAWS環境構築をサポートするためのドキュメントであり、Amazon Web Services(AWS)のパートナー企業が作成し、AWSが事務局として関わっています。 【参照】自動車業界に求められる『WP. 29 Cybersecurity 対応 AWS リファレンス』を無

                                                                自動車業界のサイバーセキュリティ標準:「WP.29 Cybersecurity対応 AWS リファレンス」の無償公開とその意義
                                                              • ITエンジニアの“推しの技術書”とは? 「ITエンジニア本大賞2025」ベスト10発表

                                                                翔泳社は1月15日、ITエンジニアがおすすめの本を選んで投票する「ITエンジニア本大賞2025」の結果を発表した。技術書・ビジネス書それぞれの部門で、投票数が多かった上位10冊を公開している。 技術書部門ベスト10(50音順)は以下の通り。 Amazon Bedrock 生成AIアプリ開発入門 [AWS深掘りガイド] GitHub CI/CD実践ガイド 持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用 この一冊で全部わかる ChatGPT & Copilotの教科書 サイバーセキュリティの教科書 ソフトウェア開発現場の「失敗」集めてみた。 42の失敗事例で学ぶチーム開発のうまい進めかた 体験しながら学ぶ ネットワーク技術入門 7日間でハッキングをはじめる本 TryHackMeを使って身体で覚える攻撃手法と脆弱性 ハッキング・ラボのつくりかた 完全版 仮想環境におけ

                                                                  ITエンジニアの“推しの技術書”とは? 「ITエンジニア本大賞2025」ベスト10発表
                                                                • 攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース

                                                                  一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度

                                                                    攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
                                                                  • AWS CDKの脆弱性が発覚したらしいので元レポートを読んでみた

                                                                    「AWS CDKの脆弱性が発覚した」というニュース記事が流れてきたのですが、読んでも不安を煽るだけで何を言っているかよく分からない内容でした。 仕方がないので、脆弱性を報告したAqua Security社の記事を読んでみました。 非常に分かりやすくまとめてくれているので、マスコミのよく分からない記事で不安を感じている方は、原文を読むことをお勧めします。 超概要 見つかった脆弱性は、特定の手順を踏んでしまったCDK用のS3バケットを乗っ取れるという内容のようです。 脆弱性の影響の可能性があるアカウントには、2024/10/15 (日本時間だと2024/10/16かもしれない)にAWSから「Missing CDK bootstrap bucket」がタイトルに含まれるメールが送られています。 メールが来てなければセーフです。(今回の脆弱性に対しては)安全です。安心してください。 メールが来てい

                                                                      AWS CDKの脆弱性が発覚したらしいので元レポートを読んでみた
                                                                    • 多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/

                                                                        多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/
                                                                      • ニコニコ、N高なども影響 KADOKAWAグループに大規模なサイバー攻撃の可能性

                                                                        6月8日未明に発生したニコニコの障害は、KADOKAWAグループへのサイバー攻撃の影響だったようだ。KADOKAWAは9日午前中、グループ内の複数Webサイトで障害が発生していると報告した。 KADOKAWAによると、6月8日の未明、グループの複数のサーバにアクセスできない障害が発生。データ保全のため、関連するサーバを緊急シャットダウンした。ニコニコも同時に障害が発生し、8日午前6時から緊急メンテナンスに移行していた。 KADOKAWAは社内で分析調査を行い、8日中に「サイバー攻撃を受けた可能性が高い」と判断。9日午前の時点で「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」「エビテン(ebten)」などに影響があったという。また、N高等学校を運営する角川ドワンゴ学園も10日、学習アプリ「N予備校」が利用できないと明らかにした。 現在は外部専門家や警察などの協力を得て調査を進

                                                                          ニコニコ、N高なども影響 KADOKAWAグループに大規模なサイバー攻撃の可能性
                                                                        • 開発組織のためのセキュアコーディング研修の始め方を紹介したスライド(全32ページ)を無償公開しました - GMO Flatt Security Blog

                                                                          はじめに こんにちは、GMO Flatt Security の小島です。弊社では、KENRO byGMO(ケンロー)という脆弱性への攻撃と修正で学ぶハンズオン演習に特化した、開発者向けのセキュアコーディング学習サービスを開発しています。 flatt.tech 本日はこのサービスに関連して、セキュアコーディング研修を始める上でどのような項目を検討すべきか、そしてその中で最も悩みのタネである外部の学習コンテンツの活用方法についてまとめたスライドを公開しました。 スライドは下記のSpeakerdeckのURLより無料・登録不要で閲覧・ダウンロードいただけます。 https://speakerdeck.com/flattsecurity/secure-coding-handbook この記事では、そのスライドを公開のお知らせを兼ねて、公開の背景や概要について紹介できればと思います。 はじめに スラ

                                                                            開発組織のためのセキュアコーディング研修の始め方を紹介したスライド(全32ページ)を無償公開しました - GMO Flatt Security Blog
                                                                          • ITシステムの可用性と損失を考える | 外道父の匠

                                                                            数値上はこうなるものの、意図的な短期的メンテナンスや、意図しない障害でも1回あたりの期間が短ければ、その期間に積まれるはずだった売上は、その復帰後に売り上がる場合も多いでしょう。その辺りは、ユーザーの信頼を損なわない方法や運用を心がけることで、十分に埋められる可能性を含む性質です。 しかしこれが、あまりに高頻度であったり長期間になると、その復帰後に停止期間分を含めた売り上げにならず、そのまま機会損失となる可能性が高まります。いわゆるユーザー離れというやつです。その損失だけで済めばまだマシで、普通に考えればその後に想定していた売上も減少し続け、元に戻すには相応の時間と労力を伴うでしょうから、数値以上の痛手となるはずです。 こう考えていくと、運用関係者が健全であれば、無理に100%の可用性を目指さず少なくとも合計99%以上となる停止猶予を持たせた運用とし、数日を跨ぐような連続した長期間の停止だ

                                                                              ITシステムの可用性と損失を考える | 外道父の匠
                                                                            • 「本当に必要なエンジニア」とは何か - AIアシスタント時代の新たなエンジニア像

                                                                              はじめに 近年、私たちの生活や仕事の様々な場面でAI(人工知能)の存在感が増しています。特にエンジニアの世界では、Claude、GPT-4、Geminiといった大規模言語モデル(LLM:Large Language Model)を搭載したAIアシスタントが、プログラミングの方法そのものを大きく変えつつあります。 これらのAIアシスタントは単にテキストを生成するだけでなく、コードの作成や修正、バグの発見と修正案の提案など、かつてはエンジニアだけが行えた専門的な作業を驚くべき精度で実行できるようになりました。特に注目すべきは、CLINEやCursorのようなエージェントモード機能を持つAIアシスタントの登場です。これらは単にコード生成を行うだけでなく、実際にコマンドを実行したり、ファイルを操作したり、更にはデータベースに接続するといった実務的な作業まで行える能力を持っています。例えば、「このJ

                                                                                「本当に必要なエンジニア」とは何か - AIアシスタント時代の新たなエンジニア像
                                                                              • 人事評価の脆弱性を衝く7つのバイアス『人材マネジメントの基本』

                                                                                人には何らかのバイアスがある。そこから、あなたを評価する人が犯す過ちが生まれる。本書では、そうした評価エラーのうち、代表的なものを7つ挙げ、注意を促している。 1. ハロー効果 2. 期末効果 3. 逆算化傾向 4. 中心化傾向、極端化傾向 5. 寬大化傾向・厳格化傾向 6. 対比誤差 7. 論理的誤謬 こうした認知バイアスは、言い換えるならば、評価者を攻略する弱点だともいえる。バイアスを逆手にとって利用することで、自分の評価にゲタを履かせることだってできるかもしれぬ。 人事制度を攻略する 人事評価の攻略シリーズ。人事制度のハッキングの続き。 「なぜ、あの人が出世するのか?」「どうして、私は評価されないのか?」など、人事にまつわる様々なモヤモヤがある。 運の要素もあるが、会社が社員を出世させるルールは確かにある。このルールをハックすることで、「同じ仕事をしても出世しやすくなる」「結果が報い

                                                                                  人事評価の脆弱性を衝く7つのバイアス『人材マネジメントの基本』
                                                                                • 企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?

                                                                                  データ圧縮ソフト「XZ Utils」を狙ったソーシャルエンジニアリングのキャンペーンが実行されてから数カ月が経過し、オープンソースのメンテナーたちは、これまで以上に高いセキュリティ基準を求められている。 しかしメンテナーをサポートするTideliftが2024年9月17日(現地時間、以下同)に発表したレポートによると(注1)、メンテナーの大半は依然として無報酬のままだという。 企業がメンテナーに“ただ乗り”する風潮はいつになったら是正される? 複数年にわたるソーシャルエンジニアリング攻撃が、XZ Utilsという多くの「Linux」ディストリビューションで使われているデータ圧縮ソフトウェアを標的にしており(注2)、攻撃は2024年3月末にピークに達した。このとき攻撃者と思われる者がxzライブラリーに悪意のあるコードを挿入した。「GitHub」が後にアカウントを停止した「@JiaT75」とい

                                                                                    企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?