近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
11月上旬、岸田首相の生成AIを使って作成されたフェイクニュース動画が問題になりました。 5日、日本テレビは自社のニュース番組のロゴが使われてはまずいということで強めに注意を呼びかけましたが、6日、松野博一官房長官は「罪になる場合もあるのでくれぐれも慎んでほしい」と記者会見時に、やや抑制的な物言いをしました。もちろん、フェイクニュースを流すことは、生成AIに関係なく、現行法で刑事罰にも当たる可能性のある行為です。 その後、14日に、YouTubeからAI生成動画に関するガイドラインが出ましたが、そこでも公人のパロディは必ずしも規制対象にするわけではないという方針が出されていました。これはどちらかというと、来年に大統領選を控えたアメリカでフェイク動画拡散の可能性が高まってくるため、事前対策をしているという側面があると思います。 生成AIの登場でフェイクの作成が容易になったとも言われはじめてお
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米ボイシ州立大学などに所属する研究者らが発表した論文「Exploiting CPU Clock Modulation for Covert Communication Channel」は、インターネット接続を遮断された規制の厳しいPCであっても、CPUの処理速度を意図的に操作することで、一部のアプリケーションでひそかにデータをやりとりできる攻撃を提案した研究報告である。 コンピュータをハッキングから守るためには「エアギャップ」と呼ばれる、ネットから物理的に分離したセキュリティ上の予防措置がある。また全てを遮断するのではなく、コンピュータ自体はインターネ
Intel製CPUに情報漏えいの恐れがある脆弱性「Downfall」が発見される、データやパスワードなどの機密情報が抜き取られる危険性
Intelは2023年8月8日に、同社が2015年から2020年に販売したCPUに新たな脆弱(ぜいじゃく)性が見つかったことを報告しました。「Downfall」と呼ばれるこの脆弱性は、攻撃者に悪用されるとデータや機密情報が抜き取られる恐れがあるとされています。 INTEL-SA-00828 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html Downfall https://downfall.page/ ‘Downfall’ vulnerability leaves billions of Intel CPUs at risk | CyberScoop https://cyberscoop.com/downfall-intel-cpu-vulnerability/ Int
こんにちは、セキュリティチームでソフトウェアエンジニアをしてる@sota1235です。 明けましておめでとうございます!本年も10X Product Blogを何卒よろしくお願いします。 さて、今回はセキュリティチームで今年の6月ごろから取り組んできたGitHub Dependabot Alertの削減についてお話しします。 サマリーとしては以下です。 今年の6月頃から取り組みを開始 初期はセキュリティチームで毎日トリアージ、泥臭くAlertの対応を行う 主要なRepositoryのAlertは一通り解消、一部は担当チームへの移譲等を行い継続的に維持できる状態へ 結果として半年間で500件弱のAlertをcloseし、残ってるAlertも対応方針が全て確定した状態になりました。 この数が多いか少ないかはソースコードの規模感にも依存するので言及しませんが、この記事では小さいリソースで取り組み
本記事は、TechFeed Experts Night#19 〜 達人に聞く、Linuxカーネルコードの歩き方のセッション書き起こし記事になります。 イベントページのタイムテーブルから、その他のセッションに関する記事もお読み頂けますので、一度アクセスしてみてください。 本セッションの登壇者 セッション動画 GMOペパボの伊藤洋也です。2007年からGMOペパボにて勤務しており、ホスティングサービスや技術基盤チームを経て現在はセキュリティ対策室に所属しております。オンラインではTwitterおよびGithubのアカウントとブログで活動しています。今回は実際のサービス環境でのLinuxカーネルのトラブルシューティング事例とともに、カーネルの詳細調査やコードリーディングの方法をご紹介します。 私はLinuxカーネルのコミッターをしているわけではなく、またLinuxカーネルの開発業務もさほど行って
福岡市で飲食店を経営する会社は、自社のネット通販のウェブサイトが不正アクセスを受け、1万5000人余りのクレジットカードの情報が漏えいしたおそれがあると発表しました。 一部のカード情報は不正に利用された可能性があるということです。 情報漏えいのおそれがあるとホームページで発表したのは、福岡市博多区で飲食店を経営する「有限会社なごみ」です。 発表によりますと、商品を購入することができる自社のウェブサイト「味市春香なごみオンラインショップ」が不正アクセスを受け、顧客が入力したクレジットカードの情報が外部に流出するよう改ざんされていたということです。 漏えいしたおそれがあるのは、2021年1月27日から去年5月15日の間にクレジットカードで決済した1万5274人分の名前やカード番号、有効期限、それに、セキュリティコードなどの情報です。 一部のクレジットカード情報は不正に利用された可能性があるとい
You can read about these vulnerabilities in English at https://ec0.io/post/hacking-cloudflare-pages-part-2/ 免責事項Cloudflareは、HackerOne上で脆弱性報奨金制度(Bug Bounty)を実施しており、脆弱性の診断行為を許可しています。 本記事は、当該制度を通して報告された脆弱性をCloudflareセキュリティチームの許可を得た上で公開しているものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 また、Cloudflareは脆弱性調査において他の研究者との協力を許可しており、脆弱性調査を目的とした他の研究者との脆弱性情報の共有が許可されています。 Cloudflareが提供する製品に脆弱性を発見した場合は、Cloudflareの脆弱性報奨金
NTTグループは2024年3月8日、NTT西日本子会社のNTTマーケティングアクトProCXで個人情報が流出した問題を受け、再発防止を徹底する考えを示した。 不正に持ち出されたのは、NTTマーケティングアクトProCXにテレマーケティング業務を委託していた一部クライアントの情報だったが、後にNTTドコモのユーザー情報が含まれていることが発覚した。 →ドコモユーザーの個人情報流出 NTT西日本子会社の元派遣社員が不正持ち出し →NTT西日本子会社で約900万件の個人情報流出 元派遣社員が不正持ち出し NTTが2023年11月7日に開催した記者向けの決算説明会では、島田明社長が「業務においてUSBメモリの使用を原則禁止していたが、一切禁止にしていく必要がある。例外的に使わざるを得ない場合は許可を取るようにしていく」ことを明らかにした。 NTTグループCISO(Chief Information
①生成AIの影響で真偽が判断つかない情報や、無意味・無内容な情報が、加速度的にSNSなどに溢れかえる ➁もはや、オープンなSNSやインターネットはスカム情報で溢れかえりナンセンスで役に立たないものになる ➂オンライン/オフライン問わずニッチでフェイス2フェイスなコミュニケーションが流行 ④ニッチなコミュニティを横断するミニコミ的媒体の需要が復活する 「意味のある情報」が人の手に戻ってくる時代と考えると、インターネットがより身近になる、人間中心的テクノロジーになる契機なのかもしれないよね。もはや、「ただの情報」がスカム化して意味をなさなくなり、「人とのつながり」みたいなコンテクストが重要になる。 この話はなにも生成AIを話題に出すまでもなく、そもそもインターネット広告モデルの持つ情報流通の脆弱性の話なんだけどね。 つまり、インターネットはすべてをフリーにした。そういったアナーキーな価値観で草
北海道立近代美術館のXが炎上した件
自分の感覚というか感想まとめ 概要道近美で展示予定の田中武「十六痴漢図」の作品紹介をXでしたところ、フェミニズムクラスタから批判を受け、Xの投稿をコメントなく取り下げたもの。作品は以下の「裏側」。 https://www.artid.jp/tanaka_works_category/%E5%8D%81%E5%85%AD%E6%81%A5%E6%BC%A2%E5%9B%B3/ 拡散のきっかけになった瀧波ユカリのXポストhttps://twitter.com/takinamiyukari/status/1697049349656859061 瀧波は北海道出身で現在は札幌市在住。ご存知の通り女性の機微や男女間の複雑な感情の交差を作品に仕立ててきた。「マウンティング女子」という用語の発案者でもある。 田中武「十六痴漢図」にはマウンティングに関する一枚がある。 こうした事情から北海道近代美術館の投稿
江草陽太 大阪府生まれ。ネットワーク、データベース、情報セキュリティのスペシャリスト。 洛星中学・高校のロボット研究部創立メンバー。ロボカップジュニアジャパンなどのロボコンに出場。 その後、大阪大学工学部電気電子情報工学科に進学。NHK大学ロボコンに出場。学生時代より個人事業としてシステム開発を行う。 2014年10月、新卒採用によりさくらインターネットに入社。「さくらのVPS」等のバックエンド開発を担当。IoTプラットフォーム「sakura.io」の開発責任者を担当し、サービス設計と開発を行う。 2016年7月、執行役員に就任。現在は、さくらインターネット全体の技術統括とコーポレートIT、情報セキュリティを担当。宅急便をSlackから発送できるサービスを開始するなど、コーポレートITに関わるDXのサービス化も行っている。 AIが提示した内容をきちんと理解して、うまく活用できる人とできない
X (旧Twitter)のURLカードに致命的な脆弱性。うかつに開かないで | ニッチなPCゲーマーの環境構築Z
X (旧Twitter)のURLカードに致命的な脆弱性が見つかりました。海外メディアのBleeping Computerが報じました。 XのURLカード(Webサイトカード、Twitterカードなどとも呼ばれる)を開いた際、カードの左下に表示されているURLとはまったく違うサイトが表示されたことはないだろうか。 例えば以下の例では、『forbes.com』がリンク先として表示されているが、実際にこのURLカードを開くと、仮想通貨詐欺のTelegramアカウントページが開く。 リンク先に『forbes.com』と書いているが 実際には詐欺のTelegramアカウントページが開く いったいなぜこのようなことが起こるのか、仕組みはこうだ。URLカードを開くと、まず、『joinchannelnow[.]net』というサイトにアクセスする。 まず『joinchannelnow[.]net』へとアクセ
インテルCPUに新たな脆弱性「Downfall」 修正で「パフォーマンスに最大50%の影響」 対象は第6~11世代
米Intelは8月8日(現地時間)、同社製CPUに脆弱性(CVE-2022-40982)が見つかったと発表した。同社のメモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。 メモリ内に散在するデータへのアクセスを高速化する命令「Gather」が引き起こす問題という。この脆弱性により、信頼できないソフトウェアが、通常はアクセスできないはずのデータにアクセスする可能性がある。脆弱性の影響を受けるのは第6世代Skylakeから第11世代Tiger LakeまでのCPU。 脆弱性を発見した米Googleの研究者ダニエル・モギミ氏は、脆弱性を悪用することで、同じコンピュータを共有する他ユーザーのパスワード、電子メールのメッセージ、銀
米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。企業や個人の日常生活に浸透している生成AIが悪用されれば、社外秘情報や個人情報の流出を招いたり、悪用防止対策がかわされて偽情報の作成に利用されたりする恐れもある。 イスラエルのベングリオン大学の研究チームは、生成AIとユーザーの間に割り込んでデータパケットを傍受し、AIの回答内容を高い精度で復元する攻撃に成功したと発表した。この攻撃は、生成AIがユーザーの質問に回答する際のデータ処理に存在する脆弱性を突いている。 (関連記事:他人がGPT-4とやりとりしたテキストを盗む攻撃 成功率50%以上 イスラエルの研究者らが発表) ChatGPTなどの生成AIがユーザーの指示や質問に対して答えを返す際は、文章を単語や文字ごとにトークン化し、個々のトークンを連続的にユーザーに送信して
攻撃者視点の獲得を目的としたボードゲーム:Cyber Attacker Placement | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
概要 セキュリティを題材にしたボードゲームは各団体などで作成されている中で、攻撃を題材にしたボードゲームを作成しました。 防御を学ぶには攻撃を知ることも重要です。また、教育性だけでなく、ゲーム性にも注力して作成しましたので是非一度プレイしていただければ幸いです。 プロジェクトメンバー 一同 Cyber Attacker Placement プレイ人数:3人~4人 プレイ時間:45分~1時間 学習効果:攻撃者を疑似体験することでセキュリティ対策の重要性を学ぶ。 また、初学者に対してセキュリティへの興味を持ってもらう。 ゲームの目的 サイバー攻撃は対岸の火事ではないという事を学ぶ サイバー攻撃の種類、多様性について学ぶ セキュリティの重要性を学ぶ 脆弱性の放置の危険性を学ぶ ゲームの導入(ストーリー) あなたはハッカーグループに所属する凄腕ハッカーの一人です。 与えられたミッションはそつなくこ
Dockerはなぜサイバー攻撃者に狙われやすいのか?
Check Point Software Technologiesはこのほど、「Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog」において、Dockerイメージの危険性について伝えた。Dockerイメージには構築と使用に特有の脆弱性があることから、攻撃者の格好の標的となってしまっている。同社は既知の脆弱性を含む基礎コンポーネントの使用、クラウド環境の動的な性質、簡単な配布方法によって、セキュリティインシデントが引き起こされていると指摘している。 Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog Dockerイメージは攻撃者にとって好ましいターゲットの一つとなっている。一般的にさ
「脆弱(ぜいじゃく)性管理」は企業における喫緊の課題です。しかし漢字5文字のわりには考えなければならないことが多く、どう管理するか悩まれている方やどこから手を付けるべきか分からずひとまず見て見ぬ振りをせざるを得ない方もいると思います。 脆弱性管理においては「アップデートパッチが提供されたら速やかに適用する」のがいわゆる鉄則ですが、脆弱性は日々、数え切れないほど生まれます。そしてパッチを適用するには、一通りのテストを実施しなければなりません。「セキュリティ観点からパッチを当てる必要があるとは分かってはいるもののすぐには難しい……」というのが現状なのです。まずは自分たちの組織にとって、本当に緊急の対応が必要な脆弱性と、そうでない脆弱性を区別することから始めましょう。 と言いたいのはやまやまですが、それすら非常に難しいというのが実際に手を動かすと直面する課題でしょう。緊急の脆弱性かどうかを判断す
『オッペンハイマー』原爆投下は必要だったか?本人が答える1965年のインタビュー映像 https://www.youtube.com/watch?v=AdtLxlttrHg 「原爆の父」物理学者ロバート・オッペンハイマーを描く映画『オッペンハイマー』が、米公開からおよそ8ヶ月を経てついに日本公開を迎えた。映画ファンから熱い支持を受けるクリストファー・ノーラン監督によるこの最新作は早くから映画賞を席巻することが期待されていたが、日本ではさまざまな事情によって公開が危ぶまれる時期もあった。 映画では、オッペンハイマーが「マンハッタン計画」に携わるようになる経緯や、人類史上初の核実験「トリニティ」を成功させる様子、その裏にあった心理的葛藤などが繊細に描かれる。すでに各所で語られているように、映画はあくまでもオッペンハイマーの視点に集中しており、彼らが開発した原爆が広島・長崎に投下される様子、その
スズネ @mattun_ @st_s_n_assstnt @applesorce 上のは鍵をかけるとなると、一度上をみないといけなくて、他のトイレと鍵の位置が違って混乱させる。さらに鍵の構造がしっかりかける形で、一般の人からしたら面倒。 だから、子供を連れてない人は下を使う形。 2023-08-27 18:25:16
Security.Tokyo #3の発表資料です。 クライアントサイドのパストラバーサルと、postMessage経由の脆弱性を取り上げました。
自然言語処理(NLP)アルゴリズムが意図的な攻撃に対して脆弱であることはすでに実証されている。しかし、これらの脆弱性がソフトウェアのセキュリティリスクとしてどのように影響するかについては、十分に調査されていない。 この問題を解決するために、データベースと自然言語インタフェースを結び付けるためのText-to-SQLシステムの脆弱性テストを実施した。Text-to-SQLシステムとは、自然言語での質問や命令をSQL(Structured Query Language)クエリに変換する技術やアルゴリズムのことを指す。 ユーザーが「過去1年間で最も売れた商品は?」という質問をすると、Text-to-SQLシステムはクエリに変換してデータベースに問い合わせ、適切な結果をユーザーに返してくれる。目的は、Text-to-SQLアルゴリズムの悪用によるデータベース攻撃の可能性を評価することである。 具体
愛してやまないAWSで展開するセキュリティ対策戦略
TL;DR セキュリティ対策には予防的統制と発見的統制の2つの観点が欠かせない AWSが提供するセキュリティサービスが予防的・発見的統制にどう寄与するかを解説 セキュリティ対策は、リスクの特定と可視化、リスク分析と優先度付け、施策費用の算出、経営層への報告とサポートの獲得で進めるべし セキュリティは、単に技術やツールを導入するだけではなく、組織全体の意識や文化、そして継続的な改善が求められる はじめに レバテック開発部レバテックプラットフォーム開発チームに所属している内藤です。 普段は、バックエンドの設計や実装、さらにインフラの構築まで幅広く担当しています。 最近、私は弊社開発部を代表して(色々な方面から怒られそう笑)、AWSセキュリティインシデント擬似体験GameDayに参加する機会に恵まれました。このイベントでは、セキュリティインシデントへの対応方法や予防策など、実際のインシデント調査
Red Hatが「Red Hat Enterprise Linux」(RHEL)のソースコードの配付対象を顧客のみにすると発表したことで、RHELのソースコードが簡単には入手できなくなり、「AlmaLinux」や「Oracle Linux」、「Rocky Linux」などのRHELクローンのディストリビューション作成工程は大きな影響を受けることになった。これに対し、Oracle LinuxやRocky Linuxは争う姿勢を見せているが、AlmaLinuxは穏健な手段を選択した。しかしその方針は、期待されていたほどどうまくいっていない。 AlmaLinuxは、RHELとのソースコードの互換性を100%保証することを放棄した。その代わり、AlmaLinuxの開発者は、アプリケーションバイナリインターフェイス(ABI)レベルでの互換性を確保することを選んだ。ほとんどの場合、実用的な目的にはこれ
コードの脆弱性をAIが自動で発見、解説と修正提案する機能をGitHubが発表。JavaScript、TypeScript、Java、Python対応 | テクノエッジ TechnoEdge
ITジャーナリスト/Publickeyブロガー。IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。 GitHubは、脆弱性のあるコードをAIボットが自動的に発見、修正したコードとその解説をプルリクエストしてくれる「code scanning autofix」(コードスキャン自動修正機能)を発表しました。 下記がそのコードスキャン自動修正機能の説明です。「Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL」から引用します。 Powered by GitHub Copilot and CodeQL, code scanning autofix covers more than 90% of alert types
ペットフード事業を手掛けるバイオフィリア(東京都新宿区)は5月13日、自社のクラウドサーバに不正アクセスを受け、最大で約20万アカウント分の情報が漏えいした可能性があると発表した。 漏えいした可能性があるのは、ペットフード出荷時や、ユーザーによるアカウント情報変更時のログ。2022年1月13日から24年5月3日までに、同社のサイトからペットフード「ココグルメ」「ミャオグルメ」を購入した19万8200アカウントの情報が対象という。このうち16万3474アカウントは氏名、住所、電話番号が、3万4726アカウントは氏名、住所、電話番号、メールアドレス、生年月日、性別、パスワードが漏えいした可能性がある。 19万8200アカウントのうち2万8237アカウントは、18年3月5日から24年5月3日にかけて同社のサービスにアップロードした写真も漏えいした可能性がある。このうち1万8149アカウントは会員
AIによる画像の無断利用にアーティストたちが対抗する新たなツールが開発された。人間の目にはわからない加工を画像データに施すことで、この画像データを訓練に使った生成AIモデルを破壊できるという。 by Melissa Heikkilä2023.10.27 41 22 アーティストがこの新しいツールを使用すると、自分の作品をインターネット上にアップロードする前に、作品内のピクセルに対して目に見えない変更を追加できる。人工知能(AI)企業が、この変更を加えた作品を収集し、生成AI(ジェネレーティブAI)の訓練に使用すると、AI学習モデルが無秩序で予測不可能な状態に破壊される可能性がある。 「ナイトシェード(Nightshade)」と呼ばれるこのツールの目的は、アーティストの許可なく作品を使用してモデルを訓練しようとするAI企業に反撃する方法を提供することだ。「ダリー(DALL-E)」、「ミッドジ
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 米ミシガン州立大学に所属する研究者らが発表した論文「■https://dl.acm.org/doi/10.1145/3581791.3596837■」は、被害者に気が付かれることなくスマートイヤフォン(Airpods、Pixel Budsなど)からスマートフォンに音声入力する不可聴攻撃を提案した研究報告である。被害者の近くから超音波を発して、スマートイヤフォンに音声コマンドを送り、音声入力を行う。 スマートイヤフォンはBluetoothを使って近くの機器(スマートフォン、スマートスピーカー、スマートホームデバイスなど)に接続し、音声認識技術を駆使して音
VMware(Broadcom)は2024年2月12日(現地時間)、「End Of General Availability of the free vSphere Hypervisor(ESXi 7.x and 8.x)(2107518)」(注1)で、「VMware vSphere Hypervisor」(ESXi 7.xおよびESXi 8.x)(以下、VMware ESXi)の提供を終えたことを発表した。永久ライセンス終了に伴って無償版である「ESXi Hypervisor」の提供も終了するとしている。 VMware ESXiのユーザーには中小企業や個人が多く、提供終了によって大きな影響が出るとみられる。サブスクリプションプランへの移行というVMwareの方針は、仮想化技術の使用方法や業界のエコシステム(生態系)に長期的な影響を及ぼす可能性もある。 VMwareは2023年12月、同社
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
VSCodeベースのCursorっていうGPT連携組込みエディタがあって、GitHub Copilot Chatと比較してみた。 cursor.sh 関心 読みテスト 脆弱性探知 OSS解析 書きテスト Cursor Copilot Chat 関心 GPTでソースコードからpatchを生成し続けたらプログラミングを自動化できるのでは???? - laiso ChatGPTのCode Interpreterのコードリーディング能力は結構優秀 - laiso で書いたようにコーディング(読み書き)を自動化したい。 Cursorをとくに薦めはしないけどLLM組込みエディタのUXの例としてわかりやすかったので紹介します。 読みテスト 脆弱性探知 例によって脆弱性診実習用アプリ(通称「やられサイト」)のSQLインジェクションを発見してもらうという会話をした。 ディレクトリを開いて「PHPファイルにS
通販サイト「プレミアムバンダイ」を運営するBANDAI SPIRITSは、業務委託先が保存していた会員の個人情報が漏えいした可能性があると6月11日に発表した。委託先社員が私物の外付けHDDを業務に利用し、データを削除せずに廃棄したため。このHDDを入手した人からの連絡で発覚した。 ダークウェブなどのモニタリングを行っているが、個人情報が外部へ流出した事実は確認できず「データが外部へ漏えいした可能性は極めて低い」とみている。 漏えいした可能性があるのは、「プレミアムバンダイ」の会員情報の一部で、2012年11月に行われたキャンペーンに参加した一部の顧客のメールアドレス233件と、13年11月18日に出荷した顧客の住所、氏名、電話番号1951件。 2019年11月27日、開発保守支援の委託先従業員が、私物の外付けHDDを業務に使い、2023年12月末ごろデータを削除せずに廃棄したという。 2
ノエル・ジョンソン&マーク・コヤマ「近代国家と経済成長にはどんな関係があるのか:国家行使能力(State Capacity)に関する経済史研究のサーヴェイ」(2017年4月1日)
近年の政治経済学と開発経済学における研究は揃って、経済成長を実現させた国とさせられなかった国を分かつ要因を説明する上で、「国家行使能力」(state capacity)の重要性を強調している。 アブストラクト 「国家行使能力」(State capacity)は、開発経済学や政治経済学で最も議論される概念の1つとなってきている。このサーヴェイでは、近代国家が行使能力を獲得するプロセスについて、経済史研究が重要な洞察を提供していると論じる。ヨーロッパとアジアの様々な国における国家建設のプロセスを検討することで、国家行使能力と経済成長の関係を「解きほぐす」(decompress)ことができる。本稿での分析は、国家建設プロセスが多様な性質を持っていることを強調する。また本稿では、国家行使能力と経済成長を関係づけるメカニズムの解明にとって手助けとなる近年の研究に焦点を当てる。 [1] … Conti
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月21日、「JVNVU#99392903: 複数のTP-Link製品における複数の脆弱性」において、TP-Linkの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって認証の回避と任意のコマンドを実行される危険性があるとされており注意が必要。 JVNVU#99392903: 複数のTP-Link製品における複数の脆弱性 脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。 Archer A10「Archer A10(JP)_V2_230504」より前のファームウェア Archer AX10「Archer AX10(JP)_V1.2_230508」より前のファームウェ
NginxをフォークしたFreeNginxが早くも「FreeNginx 1.25.4」正式版をリリース。Windows版とLinux版のバイナリも公開
NginxをフォークしたFreeNginxは、FreeNginxを名乗る最初のバージョンとして「FreeNginx 1.25.4」正式版を公開しました。Windows版とLinux版のバイナリも提供されています。 FreeNginx 1.25.4は、FreeNginxへの名称変更と同時にフォーク直前のNginx 1.25.3からいくつかのバグフィクスが行われています。 ほぼ同時にNginxからも同バージョンとなるNginx 1.25.4がリリースされており、こちらもCVE-2024-24989、CVE-2024-24990の2つの脆弱性の修正を中心としたバグフィクス版です。そしてNginxとFreeNginxのそれぞれのリリースノートを見る限り、どちらもほぼ同じ修正内容となっているため、バージョン1.25.4においては両者はほぼ同一のものと見られます。 今後FreeNginxがNginxと
米GoogleのChromeや米MicrosoftのEdgeなど、主要Webブラウザが9月11日から重大なゼロデイ脆弱性に対処するアップデートをリリースしている。この脆弱性「CVE-2023-4863」は、GoogleのWeb向け画像フォーマット「WebP」のヒープバッファオーバーフローに関するもので、既に悪用されているという。 この脆弱性は、米Apple Security Engineering and Architecture(SEAR)と加トロント大学のCitizen Labが6日に報告した。 本稿執筆現在、Chrome、Mozilla Firefox、Brave、Microsoft Edgeがこの脆弱性に対処するアップデートをリリースしている。 Googleは公式ブログで、「CVE-2023-4863のエクスプロイトが存在することを認識している」とした。 また、米Stack Dia
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトウェアを外部の攻撃から守るために SBOMを使った脆弱性管理の方法1章~3章までを解説
生成AI、学習時の著作権使用料は“支払い義務なし”の可能性が有力に? (1/4)
職場の「一部ネット接続できない規制PC」から機密データを盗むサイバー攻撃 米研究者らが発表
GitHub Dependabot Alertを愚直に潰し込んだ話 - 10X Product Blog
トラブルシューティングからLinuxカーネルに潜り込む ‐ 実際のサービス運用で深めたカーネルへの理解
ネット通販で1万5000人余クレジットカード情報漏えいか|NHK 福岡のニュース
Cloudflare Pagesにおける権限昇格と任意ページの改竄
NTT、各社ごとに重要情報漏えい対策を推進 「USBメモリの使用禁止」も
今後3年以内に起こることは「ミニコミ的媒体の復活」なのではないか
エンジニア間でも大きく差が出る「生成AIをうまく活用できる人」と「できない人」 江草陽太氏が考える、AI時代に求められる能力【一問一答】
生成AIの弱点が相次ぎ発覚 ChatGPTやGeminiがサイバー攻撃の標的に 情報流出や不正操作の恐れも
見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
『オッペンハイマー』原爆投下は必要だったか?本人が答える1965年のインタビュー映像 | THE RIVER
個室のチャイルドシートに幼児を座らせたら手の届く範囲に鍵やボタンがある脆弱性、修正パッチが当たってた
注目したいクライアントサイドの脆弱性2選/ Security.Tokyo #3
ChatGPTでデータベースに侵入 機密情報を漏えいさせるコードを生成 英国と中国の研究者らが実証
AlmaLinux、ソースコードの公開方針を変更したレッドハットとの関係に暗雲
約20万アカウントの情報漏えいか 平文パスワードも ペットベンチャーに不正アクセス
生成AIにアーティストが反撃、汚染データでモデルを壊す新技術
AirPodsを乗っ取り、スマホにこっそり音声入力する超音波攻撃 成功率は8割超 米研究者らが開発
VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
銃乱射した少年の両親に10~15年の禁錮刑 親の実刑判決は米国初:朝日新聞デジタル
安全なVPNに繋いだつもりが筒抜け……「TunnelVision」脆弱性をJVNが警告/Windows、macOS、Linux、iOSなどに広く影響
Cursorはコードベースに質問できる - laiso
委託先が私物HDD使用、データ削除せず廃棄 「プレミアムバンダイ」顧客情報漏えいの可能性
TP-Link製Wi-Fiルータに重要な脆弱性、すぐにアップデートを
WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新
OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに
大阪メトロ「駅ナカ」ローソン、3割が閉店 立ちはだかった「限界」:朝日新聞デジタル