S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - GMO Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
アプリケーションロジック固有の脆弱性を防ぐ、開発者のためのセキュリティ観点をまとめたスライド(全59ページ)を無償公開しました - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。 先週、GMO Flatt Securityでは日本初のセキュリティ診断AIエージェントである「Takumi」をリリースしました。Takumiは高度なセキュリティレビューを自律的に行えるAIです。 今回はこのリリースに関連し、機能開発におけるロジックの脆弱性を防ぐためのセキュリティ観点をまとめたスライドを公開しました。 AIエージェントである Takumi は、ソースコードを元にセキュリティ診断を行いますが、脆弱なスニペットのパターンマッチに留まらず、アプリケーション固有のロジックを理解し、ロジックに潜む脆弱性まで発見します。 GMO Flatt Securityがこれまで脆弱性診断サービスの中でお客様に報告した1000件以上の脆弱性を元に公開したデータで過半数を占めていたのがロジックの脆弱性であり、その重要度は明らか
OpenAI APIを使ってgit commitメッセージやコードレビューをAIに任せましょう! - GMOインターネットグループ グループ研究開発本部
2024.09.27 OpenAI APIを使ってgit commitメッセージやコードレビューをAIに任せましょう! 次世代システム研究室の Y.I です。 OpenAI API を活用してちょっと便利なコマンドを作成したのでご紹介します。作成したものは、「自動Git Commitメッセージ生成」と「コードレビュー」機能です。LangChainやVectorDBなどを利用しなくても、発想次第で便利な機能を作れますので1例としてご覧ください。 機能紹介 Pythonで以下の機能を実現しています。 Git commitメッセージの自動生成 Gitの変更履歴に基づき、適切な日本語のcommitメッセージを生成します。 コードレビューの自動化 Gitの変更履歴に基づき、コードに問題がないかやパフォーマンス改善の提案を行います。 openai apiのtokenを環境変数から取り込み 簡易的ですが
ローカル環境でコード生成を使いたい 〜Continue+Llama.cpp+ELYZA-japanese-CodeLlamaを試してみた〜 - GMOインターネットグループ グループ研究開発本部
2024.01.12 ローカル環境でコード生成を使いたい 〜Continue+Llama.cpp+ELYZA-japanese-CodeLlamaを試してみた〜 ご覧頂きありがとうございます。グループ研究開発本部 AI 研究開発室の N.M.と申します。 ChatGPTをはじめAIに関する大きなムーブメントの起きた激動の2023年が終わり、2024年が始まりました。我々AI研究開発室も日々AI技術を追いかけています。昨年から話題になることの多いGitHub Copilotもその一つであり、特にコードの補完は非常に使い勝手もよく開発や解析のサポートに使うことができます。今回はなるべくローカルに閉じた状態で近しい環境が作れないか試してみたことを紹介します。最後までご覧いただければ幸いです。 TL;DR VSCodeのExtensionであるContinueとELYZA-japanese-Cod
開発組織のためのセキュアコーディング研修の始め方を紹介したスライド(全32ページ)を無償公開しました - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。弊社では、KENRO byGMO(ケンロー)という脆弱性への攻撃と修正で学ぶハンズオン演習に特化した、開発者向けのセキュアコーディング学習サービスを開発しています。 flatt.tech 本日はこのサービスに関連して、セキュアコーディング研修を始める上でどのような項目を検討すべきか、そしてその中で最も悩みのタネである外部の学習コンテンツの活用方法についてまとめたスライドを公開しました。 スライドは下記のSpeakerdeckのURLより無料・登録不要で閲覧・ダウンロードいただけます。 https://speakerdeck.com/flattsecurity/secure-coding-handbook この記事では、そのスライドを公開のお知らせを兼ねて、公開の背景や概要について紹介できればと思います。 はじめに スラ
けんすうとはてブ、GMOに風評加害をばら撒く
はてブもデマを元に一斉にGMO叩きしてボロクソに貶してたけど一体どう責任取るわけ? https://b.hatena.ne.jp/entry/s/togetter.com/li/2496592 けんすう2 @kensuu こちらですが、お名前.comさんとやりとりをさせていただいて、色々教えていただいたんですが、結論で言うと「僕の勘違い」でした!大変申し訳ございません! 先方は「我々が誤解させてしまったので・・・」と言っていただいたんですが、完全に僕が悪いので、訂正させてください、めちゃくちゃご迷惑をおかけしてしまいました・・・。 以下に経緯を説明します。 -- # 前提 ・勘違いした理由の一つとして「お名前.comは確かに、何かの文字列のドメインを取得したときに.shopドメインや.siteなどをカートに自動的に入れる機能がある # 仕様について ・お名前では、以前にカートに入れたドメイ
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - GMO Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対する複数の脆弱性を報告しました。 本日(2024/04/09(訳者注: これは英語版記事の公開日です))、影響を受けるベンダーがこれらの脆弱性に関するアドバイザリーを公表しました。 その影響は限定的なもののCVSSスコアは非常に高く、混乱が予想されるため、脆弱性に関する詳細を本記事にまとめます。 はじめに TL;DR CVSSスコア 技術詳解 根本原因 CreateProcessのラッパー cmd.exeのパース規則
10,000リクエストを166msで送信する、Race Conditionの新手法のリサーチについて - GMO Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアShion1305が日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK(@ryotkak)です。 2023年にPortSwigger社のJames Kettle氏は、同社の記事でSingle-packet attackという新しい攻撃手法を提案しました。これはネットワークのジッター値に関係なくレースコンディションを悪用できるというものです。 Smashing the state machine: the true potential of web race conditionsより引用 最近私は、同時に約10,000件のリクエストを送信することで安定して成立するレースコンディションを発見し、Single-packet attackを適用
GMOペパボは、2025年入社の新卒エンジニアを対象とした「バイブコーディング(Vibe Coding)」研修の取り組みについて、ブログにて公表した。 Vibe Codingとは、「雰囲気に身を任せて、コードの詳細に気を払わず、“自然言語だけで指示をして”コーディングする」手法。OpenAIの共同創設者である、アンドレイ・カーパシー(Andrej Karpathy)氏が提唱したものだ。進化が著しい、AIを活用したコーディングツールや開発環境を前提とした、AI時代に対応するソフトウェア開発の手法である。 GMOペパボでは、これまでの新卒研修においても、その時で一番良いとされるエンジニアリング手法が学べるよう、幅広い技術要素を組み入れてきた。今年の研修でVibe Codingを採用した理由は2つあるという。 ひとつ目は、「今後のエンジニアリングについて考えてもらう」ためだ。現在では、LLMに自
おかげさまで10年働かせてもらいました。 振り返れば、前職のQtnetで働いているときに、当時の委託先に所属していた森本さんというエンジニアが、Perlを書いているのを見て、完全にビビッときてしまい、プログラマを目指したのがきっかけだった。 それからPerlのオライリー本や、牧さんの書いたモダンPerlを読みあさったり、当時Qtnetのフットサルチームの練習日を決めるアプリとしてコントローラーにすべてのロジックが載っているRailsアプリケーションを書いたりしていた。 その後、いくつかの会社を選考を受けたが、コードをかけると言い張っても、すぐに見抜かれてしまいうまくいかず、最後に当時住んでた家から一番近くて自社サービスやっていたペパボに応募したところ、潜り込むことが出来て、それから10年です。 ペパボでは、面接に行くとビーサン履いた英輔さんが面接官で出てきて、これがWEB業界のノリ!!とか
経産省、さくらインターネットに最大500億円の助成金 計算資源整備で GMOは最大19億円、KDDIは102億円
経産省、さくらインターネットに最大500億円の助成金 計算資源整備で GMOは最大19億円、KDDIは102億円 経済産業省は4月19日、AIの開発に必要な計算資源の整備に向け、国内IT5社に最大725億円を助成を行うと発表した。クラウド事業の基盤を持つさくらインターネット、GMOインターネットグループ、KDDIなどを支援する。 計算資源の安定供給に向けた「特定重要物資クラウドプログラムの供給確保計画」の一環。助成額はさくらインターネットに最大501億円、KDDIに同102億4000億円、GPUクラウド事業を手掛けるハイレゾなど2社(共同申請)に同77億円、AI事業を手掛けるRUTILEA(京都市)など2社(共同申請)に25億6000万円、GMOインターネットグループに最大19億3000万円。 このうちKDDIは、助成を踏まえ計算資源の整備に最大1000億円投資する方針を発表した。今後4年
Takumiは、Slackでいつでもセキュリティ診断を頼めるAIです。ソースコードや仕様を理解し、自律的に診断します。
GMOあおぞら銀行は10月7日、9月30日に発生した誤送金問題への対応に当たり、誤送金先の一部で残高不足により送金取消できないケースがあるとし、対応を呼び掛けた。 残高不足の誤送金先に対して、残高を確認して組み戻しに応じるか、振込元に返金してほしいという。合理的な理由なく返金されない場合は、法的手続きを取る可能性も示唆している。 30日の誤振込はシステム障害が原因。複数の振込先に一度で振り込みできる「一括振込」機能で、個別の振込先に一括振込の合計額が送金された。 誤送金された受取人からの返金はおおむね行われているが、一部残高不足で送金取消ができないケースがあるとし、協力を呼び掛けた。送金元である同社顧客にも、受取人に返金を呼び掛けてるよう求めている。 同社は「度重なる連絡にもかかわらず、合理的な理由なく返金に応じていただけない場合は、法律に基づき、当社から返還請求の手続きを取る場合がある」
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
GMOインターネットグループ株式会社(代表取締役グループ代表:熊谷 正寿)は、2024年8月1日(木)に、月額990円(税込)から利用できる画像生成AIサービス『ConoHa AI Canvas』の提供を開始いたしました。 『ConoHa AI Canvas』は、世界中で人気の高いオープンソース画像生成AI「Stable Diffusion XL」と最新GPUを採用し、ウェブブラウザ上で簡単に高品質な画像生成を楽しむことができます。初心者でも直感的に操作ができ、生成した画像はクラウド上で一元管理可能です。また、生成枚数や機能制限なく、高品質な画像を好きなだけ生成できます。 【新サービス提供の背景】 画像生成AIは、国内市場規模が2028年度に280億円に達すると予測される成長市場です。(※1)「ConoHa byGMO」ユーザーアンケートでも、95.8%が画像生成AIの存在を知っており、4
生成AIのためのGPU投資、さくらインターネットが1000億円、KDDIも1000億円、GMOは100億円規模を発表。経済産業省の認定プログラムを受け
生成AIのためのGPU投資、さくらインターネットが1000億円、KDDIも1000億円、GMOは100億円規模を発表。経済産業省の認定プログラムを受け 経済産業省は、経済安全保障推進法に基づく特定重要物資、具体的には主に生成AIに関するシステムの安定供給確保をはかるためのクラウドプログラムの認定を相次いで発表しました。 認定を受けた企業は助成金を得ることができます。そしてこの助成金を含めた、生成AIのためのクラウド基盤整備に向けた投資計画を各社が明らかにしています。 さくらインターネットやKDDIが1000億円をGPU関連に投資 今回最大の助成金を受け取るのはさくらインターネットで、最大約500億円の助成金を受けることが発表されました。 さくらインターネットは、すでに73億円の助成金が予定され、生成AI向けのクラウドサービスに3年間で130億円の投資をすると発表しています。 そして今回の追
DevSecOps文化を育てる:少しずつ、でも着実にチームと前進するために / 開発者向けブログ・イベント | GMO Developers
はじめに:文化は、導入するものではなく、育てていくもの この記事は、複数のチームが関わる中規模〜大規模な開発組織で、DevSecOpsを推進しようとしている方々に向けて書いています。 横断チームのマネージャーとして、組織をまたいで文化を育てるという難易度の高いテーマに向き合ってきました。 DevSecOpsという言葉に初めて出会ったとき、定義や概念には納得感がありました。 でも、いざ現場に落とし込もうとすると、「で、うちのチームでは何から始めるべきなのか?」が見えてこない。 本や記事では「継続的な価値提供」「セキュリティのシフトレフト」などの美しいフレーズが並んでいます。 しかし、それをどう実現するか──現場と一緒に、泥臭く、迷いながら、どこまで進めるのか? その答えは、自分たちで見つけるしかありませんでした。 この記事は、私たちがその中で見えてきたもの、失敗したこと、気づいたことを丁寧に
10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 | レバテックラボ(レバテックLAB)
10年後に訪れる「サイバー犯罪捜査の限界」とは?元・インターポール捜査官がGMOに楽園を見た理由 2024年12月17日 GMOサイバーセキュリティ byイエラエ株式会社 福森大喜 2002年に国内大手セキュリティ企業に入社後、不正検知システムの開発、インシデントレスポンスチーム、Webアプリケーションのセキュリティ検査などに従事。2006年にはサイバーセキュリティ企業の立ち上げに携わりCTOを務める。世界最高峰のハッキングコンテスト「DEF CON CTF」決勝戦に2009年から5年連続出場した後、2014年にインターポールサイバー犯罪捜査部門に民間からの出向者として世界初登用。サイバー犯罪捜査を行う傍らインターポールに加盟国のサイバー犯罪捜査官の技術的指導にあたる。2016年、2021年には韓国のセキュリティ技術者エリート養成所BoB (Best of the Best) の特別講師も
実務で担当するまでに独学した、攻撃者視点のセキュリティ|GMO Flatt Security株式会社
こんにちは、GMO Flatt Security セキュリティエンジニアの @k1rnt です。 現在私は、業務として手動脆弱性診断を担当しています。 今回の記事では、私がサイバーセキュリティに興味を持った後にGMO Flatt Securityに入社するまでに行った独学の内容と、入社してからの独学でのコンテンツと実務での違い、また弊社の制度の一つである資格支援制度について紹介します。 独学コンテンツサイバーセキュリティに興味を持った元々ソフトウェアエンジニアとして働いていた私ですが、学生の頃から攻撃者目線でのサイバーセキュリティの分野に強く関心があり、ある日X(旧Twitter)にてコミュニティの募集を見かけ、参加しました。 セキュリティの基礎知識は学生時代にCTFやAndroidの解析、PC弄りによって少し持っていたものの、具体的に何から始めれば良いのかはよく分かっていませんでした。ま
知らないと危険!Cookieのセキュリティリスクと対策 / 開発者向けブログ・イベント | GMO Developers
この記事は「GMOインターネットグループ Advent Calendar 2024」19日目の記事です。 こんにちは、GMO NIKKOの横内です。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。今回はWebブラウザで広く利用されているCookieの脆弱性について書いていきたいと思います。 はじめに 今回この記事を書こうと思った経緯としては、最近の業務でCookieについて理解を深める機会がありそれを共有しようと思ったからです。Cookieは普段あまり意識することなく使用していますが、適切な設定を行わなければ容易に脆弱性になりうることを再確認し、今回ブログにて共有しようと思った次第です。 Cookieの基礎知識 Cookieは、ウェブサイトがユーザーのブラウザに保存する小さなテキストファイルで、ユーザーの情報や設定を保持するために
2024年10月30日をもって、約3年間勤めたGMOペパボを退職します。 入社したのは2021年7月なのでした。 ryuichi1208.hateblo.jp ペパボでは主にSREとして、サービスの信頼性に関する施策の考案と実践を担当してきました。入社時にはSREの概念は認知されていましたが、当時はまだ改善の余地が多く、日々多くの課題に取り組んでいました。 特にアラート対応は大変で、一晩に3〜4回もアラートが鳴ることがありました。携帯を投げ捨てたくなるほど頻繁に通知が鳴っていたのを今でも覚えています。「このままでは日中の業務に支障が出るやん...」と思い、オンコール当番に入るタイミングで、アラート整備を進めました。 実際、記事にも取り上げていただき、PagerDutyの整備やアラート内容の見直し根本対応の実施などで、最近では月単位で深夜の呼び出しがゼロの日も増えました。(逆に少し物足りない
上場廃止ラッシュ2025 東証の淘汰がついに始まる! コーポレートガバナンス・コードの導入から10年を迎える2025年、企業改革に対応できない上場企業が市場から強制退場を迫られる。東京証券取引所の経過措置期間が25年3月で終了し、新たな上場維持基準が適用されるからだ。さらに政策保有株式や親子上場の解消も進み、安定株主を失った企業は同意なき買収を容赦なく突き付けられる。あらゆる上場企業が安穏としていられない、淘汰の時代が本格到来する。その最前線に迫る。 バックナンバー一覧 GMOインターネットグループが、米国で900億円超の巨額賠償訴訟を起こしていることが分かった。グループを率いる熊谷正寿会長兼社長の“肝いり”で始めた仮想通貨マイニング事業が失敗し、米企業とトラブルを抱えている。特集『上場廃止ラッシュ2025』(全11回)#6で、その詳細をお届けする。(ダイヤモンド編集部副編集長 重石岳史)
Wi-Fi情報に加え、客室や施設についての詳しい情報を確認できる「こだわりレビュー」も提供する。ユーザーは、ベッドの硬さや枕の使い心地、コンセントの口数、シャワーの水圧などの室内設備の他、サウナ情報(ドライ、ミスト、オートロウリュ)や、コインランドリー、領収書のインボイス制度への対応、周辺のコンビニ情報などについて投稿できる。レビューを投稿したユーザーには、GMOインターネットグループの共通ポイント「GMOポイント」を付与するという。 関連記事 経産省、さくらインターネットに最大500億円の助成金 計算資源整備で GMOは最大19億円、KDDIは102億円 経済産業省は4月19日、AIの開発に必要な計算資源の整備に向け、国内IT5社に最大725億円を助成を行うと発表した。クラウド事業の基盤を持つさくらインターネット、GMOインターネットグループ、KDDIなどを支援する。 生成AIで月10万
経済産業省は人工知能(AI)を開発する際に使うスーパーコンピューターの国内整備に乗り出す。AI開発が経済安全保障の観点で重要だと判断し、KDDIやさくらインターネットなど5社のAIスパコンの整備に計725億円を補助する。KDDIがAIスパコン事業に参入するのは初となる。膨大なデータ学習を必要とするAIや生成AIの開発には、高性能なコンピューターが欠かせない。日本国内の計算基盤は乏しく、AIの開
SREが明かす!システム監視における動的閾値設定の適応例 / 開発者向けブログ・イベント | GMO Developers
お疲れ様です。技術ブログを久しぶりに投稿します。SREチームのキム・ドンヒョンです。 SREチームは、信頼性の高いシステムを提供するため、様々な活動を通じてシステムをサポートしています。その中でもシステムの監視と通知活動は、SREチームの重要な業務の一つです。今回は、サービスの安定性を確保するための重要な活動の一つである閾値設定について詳しく説明します。 基本的な監視と閾値設定 基本的なシステムの監視は、システムのパフォーマンスが特定の閾値を超えたり下回ったりしたときに警告を発することです。こうした監視により、システムは自己フィードバックを受けて安定した正常状態を保つことができます。例えば、エアコンのように室内温度を一定に保つ必要があるシステムでは、温度が一定の範囲を外れるとイベントを発生させたり、必要な動作を行ったりしてシステムの安定性を維持します。このような閾値設定は、システムの特性に
GitLab 2024年バグバウンティプログラムの全貌:データから読み解く脆弱性トレンド|GMO Flatt Security株式会社
本記事では、上記サマリーの情報と日々のセキュリティリリースを元に、2024年GitLabのバグバウンティプログラムにおける全体的な規模感や検出された脆弱性の傾向を紹介します。 バグバウンティ最前線の事例のキャッチアップとして、普段セキュリティ業務に当たられている方や、バグバウンティに興味がある方の参考になれば幸いです。 そもそもバグバウンティとは?バグバウンティとは、企業や組織が自社の製品やサービス上の脆弱性を発見して報告してくれたセキュリティ研究者やホワイトハッカーに対し、報奨金を支払う制度です。 バグバウンティと診断の違いやメリット・デメリットを分かりやすく解説した弊社ブログの寄稿記事が参考になると思います。 GitLabのバグバウンティプログラムGitLabは、HackerOneを利用してバグバウンティプログラムを運用しています。プログラムの対象としては、GitLabの主なコードベー
「これが上場企業のクリエイティブ?」疑問から始まった、自走できるデザイナー組織づくりの旅 / 開発者向けブログ・イベント | GMO Developers
GMOインターネットグループが今年4月から開始する、年間を通してデザイン・クリエイティブの発信を強化する施策「Creator Synergy Project」の取り組みとして、本ブログでもデザイナー・クリエイターへのインタビュー連載をスタートします! 記念すべき初回は、GMOインターネットでクリエイティブ組織を牽引する丸山清人さんへのインタビューとなります。 丸山さんは、イベントのアートワークからセキュリティ、ドメイン、レンタルサーバーなどの自社サービスまで多様なプロジェクトに関わりながら、“提案できるデザイナー集団”の育成に力を注いでいます。 現場とチームの両輪を動かす、その思考と実践に迫ります。
Webセキュリティ最大のリスクにAIで立ち向かう。Shisho Cloud 認可制御診断機能の技術的解説 - GMO Flatt Security Blog
はじめに GMO Flatt Security は2025年3月5日「認可制御不備を検知できる自動診断機能」をリリースしました。 「Shisho Cloud byGMO」の認可制御診断でできること ロールベースアクセス制御も、マルチテナントアプリケーションの認可制御も、Shisho Cloudで自動診断 認可制御診断のセットアップはShisho AIで一瞬 Shisho AIがアプリケーションの仕様を把握し、権限ごとに可能な操作を一覧化した権限マトリクスを自動で作成 認可制御不備にすぐ気付ける 見つかった認可制御不備がダッシュボードで一目で分かる 新規アラートのSlack通知も可能 開発サイクルに合わせた頻度で継続的に診断 アジャイル開発で随時追加・変更されていく機能にも、正しく認可制御を実装できているかを、機能リリースの度に洗い出し可能 従来の認可制御診断と新世代の認可制御診断 従来の認
マイグレーション実行時のロック競合によるDBインシデントから学んだこと / 開発者向けブログ・イベント | GMO Developers
ActiveRecord::AdapterTimeout Mysql2::Error::TimeoutError: Timeout waiting for a response from the last query. MySQLへの接続がタイムアウトしているようです。このエラー自体は時々見かけるものですが、今回は明らかに様子が違います。通知の量が尋常ではなく、minneへのアクセスが全くできなくなってしまっていました。 原因を探るため、まずは直近の変更内容を確認します。すると、ちょうどその時間にデータベースマイグレーションを実行していたことが分かりました。しかし、マイグレーションの内容自体はそれほど複雑なものには見えません。 Mackerel(サーバーやアプリケーションの監視サービス)の監視画面を確認すると、MySQLのDisk IOPSのreadと接続数が急上昇していました。しかし、そ
GMOペパボは、ソーシャルVRプラットフォームの「VRChat」を運営する米VRChat社とのパートナーシップ契約を、2024年12月20日に締結いたしました。 本契約により、VRChat社と連携を図りながら、バーチャル空間上で活動するクリエイターへの支援をさらに加速させていきます。 今後もGMOペパボは、ミッション「人類のアウトプットを増やす」のもと、クリエイターへの新しい活動の場の創出と体験の提供を続けて参ります。 VRChatは、仮想世界やアバター、インタラクティブな体験を作成・共有できるソーシャルVRプラットフォームです。昨今ではメタバースとして注目されています。2015年に公開されてから、数百万人のユーザーを抱えるまでに成長し、数千万ものユニークなコンテンツを公開しているクリエイター達の熱狂的なコミュニティを特徴としています。
AIコードレビュー「ai-pr-reviewer」のプロンプト改善 / 開発者向けブログ・イベント | GMO Developers
この記事は GMOインターネットグループ Advent Calendar 2024 2日目の記事です。 こんにちは! GMO NIKKO株式会社の石丸です。 今回はAIによるコードレビューツール「ai-pr-reviewer」のレビュー精度を向上させるために行ったチューニングや独自で実装したプロンプトについて紹介します。 はじめに CodeRabbitの「ai-pr-reviewer」はGitHubのPull Requestに対してAIが自動でコードレビューやPull Requestの要約を行うコードレビュー支援ツールです。 GitHub Actionsで簡単に導入することが可能ですが、レビューの精度や頻度、フォーマットなど、デフォルトの状態では複数の観点で改善が必要だと感じたため、この記事では実際にカスタマイズした設定ファイルやプロンプトの一部を紹介します。 本記事では「ai-pr-re
GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる6個の脆弱性をGitおよびGitHub関連サービスに報告
GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる6個の脆弱性をGitおよびGitHub関連サービスに報告 GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社(代表取締役社長:井手 康貴 以下、GMO Flatt Security)の「脆弱性リサーチプロジェクト」において、セキュリティリサーチャーのRyotaKがGitの認証情報漏洩につながる6個の脆弱性を報告しました。 関連するプログラム・サービスをご利用の皆様はアドバイザリに従いアップデート等の対策を実施することを推奨いたします。 「脆弱性リサーチプロジェクト」とは GMO Flatt Securityはソフトウェアプロダクトの脆弱性診断を主軸としてサービスを展開しており、脆弱性の検出において世界トップクラスの実力を持
登録や投資でAmazonギフト券や楽天ポイントなど各種ポイントがザクザク貯まる案件も紹介中! どうせなら、お得に登録や投資をしていきましょう👍 キャンペーン一覧はこちら サイドバーに不動産クラファン&ソシャレンのおすすめファンド情報を掲載しています! GMOコインの貸暗号資産・レンディングができない時の対応策!GMOコインで仮想通貨をレンディングしよう! とおもっても、 ・貸暗号資産ベーシックができない ・貸暗号資産プレミアムもできない というときの対応策(代替案)を掲載します。 この記事でわかること ・GMOコインの貸暗号資産でレンディングができない理由 ・GMOコインで貸暗号資産ができない時の対応策 ・ビットレンディングがおすすめの理由 ・PBRレンディングがおすすめの理由
楽天証券の不正アクセス祭り、セーラー万年筆を勝手に4万株買われてしまったが結果的に39万円の売却益が出たという嘘みたいな人まで現れる
GMO Flatt Security Top 10 - 2025年版 - GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社の @toyojuni です。 弊社は "エンジニアの背中を預かる" をミッションにさまざまな開発組織のセキュリティをサポートしていますが、その主たるサービスがWebアプリケーション・Web APIの脆弱性診断です。今回、この脆弱性診断サービスの中でお客様に報告した1000個以上の脆弱性データをもとに、検出数ランキングの形でそのリスクの実態を分析しました。 同様にWebアプリの脆弱性を分析したものとしてはOWASP Top 10が世界的に有名ですが、グローバルでの分析結果となると日本企業の実態にそのまま当てはまるとは限りませんし、自分ごととして考えづらい面もあると思います。 そこで今回は、日本企業のWebセキュリティのリアルなリスクをお伝えすることを目的に、独自調査レポート「GMO Flatt Security Top 10
GMOあおぞらネット銀行は、同時に複数の相手に送金する「一括振り込み」と呼ばれる取り引きの一部で、誤送金するトラブルがあったと発表しました。 トラブルがあったのは、GMOあおぞらネット銀行です。 会社によりますと、30日、同時に複数の相手に送金する「一括振り込み」と呼ばれる取り引きの一部で、一括で振り込む合計金額を誤って個別の振込先に送金するトラブルがあったとしています。 会社は、顧客には個別に連絡した上で速やかに対応していくとしています。 GMOあおぞらネット銀行では、30日昼ごろから振り込みの遅れも発生していましたが、この障害は、30日午後4時半に復旧が完了したとしています。 会社は「システムの不具合により重ね重ねご迷惑をおかけし深くおわび申し上げます」とコメントしています。
GMOインターネットグループ子会社は人工知能(AI)を使ってソフトウエアのセキュリティー上の脆弱性を診断するサービスを開発した。細かく指示しなくても自律的に作業する「AIエージェント」の一種で、4月からアプリ開発企業などに提供を始める。サービス名は「Takumi(タクミ)」。2024年に買収した子会社のGMOフラットセキュリティ(東京・渋谷)が開発した。「このソースコードの脆弱性を探して」とい
GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開する株式会社Flatt Security(代表取締役社長:井手 康貴)は、2025年1月20日より商号を「GMO Flatt Security株式会社(以下、GMO Flatt Security)」に変更いたします。 なお、商号変更に伴う経営体制・資本構成等の変更はございません。 社名変更の背景 GMO Flatt Securityは、2024年2月のGMOインターネットグループ参画以降、調達した10億円の資金とグループとのシナジーを活かし、着実な事業成長を実現してきました。今回、「GMO」を冠する商号に変更することにより、グループの資産を最大限に活用し、事業拡大をより加速させていくことを目指します。 一方で、これまで「エンジニアの背中を預かる」のミッションのもと当社がエンジニアの皆様からの信頼を積み
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
目指せ1日1万行のコード生成 GMOペパボは新卒研修から「Vibe Coding」を教える
GMOペパボを退職します | pyama.fun
Takumi - 日本初・セキュリティ診断AIエージェント | GMO Flatt Security
「返金に協力を」 GMOあおぞら、誤送金先の一部が「残高不足」で取消できず
GMOインターネットグループ、AI画像生成サービス 『ConoHa AI Canvas』を提供開始
GMOペパボを退職します - 地方エンジニアの学習日記
【スクープ】GMOが900億円超の巨額賠償訴訟!熊谷氏“肝いり”の仮想通貨マイニング事業失敗で米企業と泥沼トラブル
宿泊施設のWi-Fi速度が分かるレビューサイト、GMOが提供開始
KDDI、AIスパコン参入へ 経産省がさくらインターネット・GMOなど5社に補助 - 日本経済新聞
VRChat社とパートナーシップ契約を締結しました | GMOペパボ株式会社
GMOコインの貸暗号資産・レンディングができない時の対応策!
GMOあおぞらネット銀行、面白誤送金で盛大にやらかす : 市況かぶ全力2階建
GMOが無料のネットセキュリティ診断サービスを発表、「セキュリティを事業の柱に」と熊谷代表
GMOあおぞらネット銀行 「一括振り込み」で誤送金トラブル | NHK
ソフトのサイバー弱点、AIエージェントが診断 GMOフラットセキュリティ - 日本経済新聞
株式会社Flatt Security、「GMO Flatt Security株式会社」へ商号変更