2023年7月6日、警視庁は、東京のIT企業に勤めていた男を不正アクセス禁止法違反などの容疑で逮捕したことを公表しました。男はVPNサービスを使って不正アクセスを行っていたことが報じられています。ここでは関連する情報をまとめます。 開発者が権限悪用し不正アクセス 逮捕容疑は、私電磁的記録不正作出・同供用および不正アクセス禁止法違反。2022年9月から2023年1月にかけて、ビジネスチャットアプリの開発者権限を使用し、上司や同僚19人のパスワードを57回にわたり勝手に変更、その後不正にログインした疑い。 不正ログイン後、男は社員の悪口を上司や同僚になりすましてグループチャットに投稿したり、社内の誰もが読めるよう社員同士の個別チャットのやり取りの設定を変更していたほか、チャットで投稿された内容の改ざんをしていたとみられている。*1 *2 *3 男は容疑を否認しているが、社内では男は人間関係のト
画像生成ソフトウェア「ComfyUI」のノードにキーロガーが仕込まれていたことが発覚、クレジットカード情報やパスワードなど全ての入力が筒抜けに
ノードベースの画像生成ソフトウェア「ComfyUI」向けに作られたノードの一つ「ComfyUI_LLMVISION」にマルウェアが仕込まれていることがわかりました。発覚後、ComfyUI_LLMVISIONのGitHubリポジトリが削除されています。 PSA: If you've used the ComfyUI_LLMVISION node from u/AppleBotzz, you've been hacked byu/_roblaughter_ incomfyui クリエイターのロブ・ラフター氏がRedditで共有したところによると、ComfyUI_LLMVISIONをインストールして使用した場合、ブラウザのパスワード、クレジットカード情報、閲覧履歴がWebhook経由でDiscordサーバーに送信されてしまうとのこと。 ラフター氏自身も影響を受け、ComfyUI_LLMVISIO
【読売新聞】 中国政府が、政府や国有企業が使用するオフィス関連機器や情報システムを国内企業の製品のみで構成する「国産化」を2027年までに完了するよう内部文書で指示していることがわかった。中国は外国企業を差別しないことを定める世界貿
【読売新聞】 デジタル庁の「デジタル認証アプリ」計画が波紋を広げている。マイナンバーカードによる公的個人認証のためのアプリをデジタル庁が開発し、自らが認証業務を担う「署名検証者」になるという構想だ。計画の概要はパブリックコメントにか
NTTドコモがオンライン上での一部手続きに関して、「楽天カード」の受付を停止していることが9月6日わかった。編集部の取材に対し同社は「楽天カード側とも協議の上でオンラインの受付を停止している」と回答。受付停止の理由や再開の時期については回答を差し控えた。 「ahamo」を含む各プランが対象 同日17時現在、楽天カードの受付が停止されているオンライン手続きは、以下の通り。影響範囲は「ahamo」を含むNTTドコモの各料金プランだ。 ●楽天カードを利用できないオンライン手続き 月々の料金支払い方法の登録または変更手続き(新規契約、他社からの乗り換え、既存ユーザーの決済方法変更など) 店舗や電話窓口、郵送での手続きであれば楽天カードの登録も可能だが、オンライン専用プランのahamoは対象外。同プランについては受付再開まで待つ必要がある。 過去には11ヵ月に渡る「臨時システムメンテナンス」も 本件
堤 信之 <概略> 数あるサイバー攻撃の中でも、特定の攻撃手法が既に広く世間に周知され、かつ実際に被害も頻発しているようなケースでは、当攻撃手法に関し、システムベンダーは医療機関等に対し、委託契約又は信義誠実の原則に基づく付随義務として、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務を負うと考えられる。 従って、医療情報システムに設置されたFortinet製VPN装置(CVE-2018-13379)の脆弱性を突いたサイバー事故が医療機関に発生した場合、たとえ医療機関とシステムベンダーで締結したシステム保守契約において、当リスクにかかるシステムベンダーの情報提供義務が明記されていなかったとしても、当該装置の脆弱性に関する情報提供がなされていなければ、医療機関からシステムベンダーに対し、「信義誠実の原則」違反を理由に一定の責任を問える可能性がある。
🐰まおまお🐰 @OllieTheUsagi うちの旦那は銀行屋に務めているのだけど、詐欺アラートの中で最近増えてるのがQRコードを使った詐欺。レストランのメニューとかお店の情報とか最近QRコードでサイトにアクセスしてねって物が多い。詐欺師がそれを偽物にすり替えて、誰かがアクセスしたら全部個人情報流れるようになってるらしい。 2023-12-01 19:00:51 🐰まおまお🐰 @OllieTheUsagi 長い間ネザーランドドワーフ🐰の下僕で、今はギズモさんに仕えてます。 アートと音楽とゆるい笑いが好きで頑張り過ぎずに生きてます。ナチュラル・ボーン・怠け者。楽する事ばかり考えてます。イギリスと言う島に住んでる🇬🇧。 調べてみると、海外を中心に「クイッシング」と呼ばれる詐欺手口が増えているとのこと。日本でも数年前から「ステッカー型詐欺」など同じような手口のフィッシング詐欺は増え
就任記者会見に臨む河野太郎デジタル相=東京都千代田区で2023年9月14日午前11時19分、玉城達郎撮影 国の給付金などを受け取る預貯金口座が別人のマイナンバーに誤ってひも付けられて登録されるケースが相次いだ問題で、政府の個人情報保護委員会は20日、デジタル庁をマイナンバー法と個人情報保護法に基づいて行政指導した。誤った登録を防ぐための対策が不十分だったと判断し、10月31日までに対応状況を報告するよう求めた。デジタル庁が指導を受けるのは初めて。マイナンバー法を所管する官庁が指導を受ける異例の事態となった。 マイナンバーとひも付けることで給付金などを受け取れる「公金受取口座」制度を巡っては、他人の預貯金口座が登録されるミスが疑われるケースが6月末までに全国で940件起き、口座番号などの情…
YouTube上では詐欺的広告動画がまん延しており、YouTubeはその存在を把握しているにもかかわらず削除対応に応じないとの指摘
YouTube上で再生される広告動画の中に、ディープフェイクで作成されたイーロン・マスクが「AIを活用したトレーディングボットを使えばリスクなしでわずか6カ月で100万ドル(約1億4500万円)を稼ぐことができる」と語る詐欺的動画が紛れ込んでいることが報告されています。この詐欺的動画を削除するようYouTubeに訴えかけても、YouTubeは頑なに削除に応じないそうです。 YouTube doesn't want to take down scam ads : youtube https://old.reddit.com/r/youtube/comments/18gjiqy/youtube_doesnt_want_to_take_down_scam_ads/ 問題を報告したのはRedditユーザーのJakob_Gさん。同氏によると、ディープフェイクを用いて作成されたイーロン・マスクは「AI
米Google(グーグル)が2024年2月1日に適用を開始した「メール送信者のガイドライン(Email sender guidelines)」が奏功している。メールセキュリティーベンダーであるTwoFiveの調査によれば、日経平均株価を構成する上場企業225社の送信ドメイン認証「DMARC」導入率は85.8%に急増したという。メールのセキュリティーレベルは確実に向上し、迷惑メールや悪意のあるメールによる被害を防ぎやすくなっている。 DMARC導入状況を定点観測 メール送信者のガイドラインでは、Gmailアカウント宛てに1日当たり5000件以上のメールを送る企業などに対して、送信ドメイン認証「SPF」「DKIM」及びDMARCの全てに対応することを求めている。このうち、最も導入率が低いとされるDMARCへの対応が進むかどうかが注目されている。
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 特集:Webコンテンツの守り方 情報漏えい対策術 経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本
2024年度神奈川県公立高校入試の出願システムにおいて、1月9日よりメール受信障害が発生しています。神奈川県は「主に@gmail.comにおいて出願システムからのメールが受信できないという事象が発生」と説明していますが、送信元のアドレスにおいて適切な設定が行われていないとさまざまなサイトで指摘されています。 県入試 2024 出願システムからのメール、なぜ届かない? | カナガク https://kanagaku.com/archives/69286 ちょっと調べたが超酷い。汎用JPはどうよとか、ドメイン認証ちゃんとできてないとか以前の問題で、基本的なメール設定が間違っている。MXにIPアドレスいきなり書くなよ。しかもIPアドレスとしても正しくないという。 / “高校入試の出願システム、Gmailにメール届かず……神…” https://t.co/4sxyz2wAiw— 上原 哲太郎/Te
中国企業が運営している、少なくとも123のウェブサイトネットワークが、30カ国の報道機関を装ったニュースサイトで親中派の偽情報や感情に訴えるような攻撃を流す「PAPERWALL」という作戦を行っていることが明らかになりました。 PAPERWALL: Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content - The Citizen Lab https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content/ 中国はオンライン、オフラインの両面から影響力を高めるための作戦を展開しています。その中の1つとみられ
同じマンションの住民「誤配達されたとらのあなからの荷物に心当りがありすぎたため届先を確認せずに開けてしまいました」ツイ主「いいよ❤️」
ステ @showc1000 オタク友達の郵便配達員は、コミケの時期だと、この時期にこの異常な重さ アレだな?! って思うそうです。 twitter.com/same_sdtf/stat… 2023-10-20 10:50:56
マイナンバーカード🪪、便利ですね。 先日引っ越したのですが、引越しワンストップサービスを使うと、Androidのマイナポータルアプリから簡単に転出手続きができました。 さて、 Web版のマイナポータルサイト https://myna.go.jp/ の上部に、「よくあるご質問」というリンクがあります。 外部ソリューションを使用したFAQページ これをクリックすると、「よくある質問|マイナポータル」 https://faq.myna.go.jp/?site_domain=default というページに遷移します。 実は、この時点でマイナポータルから外に出ています。かつて株式会社オウケイウェイヴ(OKWAVE)が提供しており、現在では株式会社PKSHA Communication(パークシャコミュニケーション)が提供しているOKBIZという企業向けFAQプラットフォームに(気づかないうちに)遷
【重要なお知らせ】Gmailをご利用のみなさまへ |IT・機電エンジニアの派遣求人ならパーソルクロステクノロジー
平素は、パーソルクロステクノロジーの派遣サイト、およびマイページをご利用賜り誠にありがとうございます。 2024年2月1日から実施されるGmailガイドライン変更に伴い、当社から送信するメール(差出人アドレス)にドメインの追加を行います。 2月1日以降当社からの重要なお知らせ等が受信できなくなる可能性がございますので、 メールアドレスまたはドメインを指定して受信設定をされている方はドメイン追加変更後のメールを受信できるよう設定をお願いいたします。
キヤノン・ニコン・ソニーが写真にデジタル署名を埋め込むカメラ技術を開発中、AIが生成した精巧な偽物と写真を区別するのに役立つ可能性あり
AI技術の発展によって、実写と見分けが付かない精巧な画像を作成できるようになりました。しかし、画像生成AIで作成した精巧な画像は偽情報の拡散に用いられる可能性があるため、画像生成AIによって生成した画像とカメラで撮影した本物の写真を正確に見分ける技術の開発が求められています。新たに、キヤノン・ニコン・ソニーといったカメラメーカーが写真に「実写であることを証明するデジタル署名」を埋め込む技術を開発していることが報じられています。 ニコンやソニー、「AI偽画像」防ぐカメラ 電子署名で - 日本経済新聞 https://www.nikkei.com/article/DGXZQOUC21C520R21C23A2000000/ Nikon, Sony and Canon fight AI fakes with new camera tech - Nikkei Asia https://asia.ni
Wi-Fiの100倍高速、「Li-Fi」通信規格が登場。赤外線を活用、高セキュリティ | Gadget Gate
テクノロジー 光通信ゆえに壁越しに妨害や盗聴が困難なため Wi-Fiの100倍高速、「Li-Fi」通信規格が登場。赤外線を活用、高セキュリティ 米国電気電子学会(IEEE)は、光無線通信規格として「802.11bb」を正式リリースした。本規格の推進派は、Wi-Fiの100倍も速くかつ安全だと主張しており、今回のリリースはデータ伝送技術標準の展開と普及を加速させるものだと歓迎している。 この802.11bbはLi-Fi(Light Fidelity)の一種であり、無線周波数(RF)の代わりに光スペクトルを使ってデータの送受信を行う技術である。そのメリットは、支持者によれば「Wi-Fiや5Gといった従来技術に比べ、より高速で信頼性の高い無線通信を、比類のないセキュリティで実現する」とのこと。今後は、既存のWi-Fiシステムとの相互接続が完全に実現することが期待される。 まだLi-Fiは初期段階
Cloudflare、「CAPTCHA」に代わる「Turnstile」に完全移行、誰でも無制限に使える無料版も提供
Cloudflare、「CAPTCHA」に代わる「Turnstile」に完全移行、誰でも無制限に使える無料版も提供:簡単なのになぜbot対策ができるのか? Cloudflareは、同社が発行する全ての「CAPTCHA」を、新しい代替機能である「Turnstile」に置き換えたと発表した。数行のコードを追加するだけで、他のプラットフォームのWebサイト運営者もTurnstileを使えるようになるという。
シートベルトの素材って何? どんな仕組みで守ってくれるの? 素朴な疑問をメーカーにぶつけてみた #くるまも - くるまも|三井住友海上
シートベルトにとって重要な部品「リトラクター」 こんにちは、ライターの井上マサキです。 車に乗るときは、すべての座席(運転席・助手席・後部座席)で必ず着用しなくてはならないシートベルト。シートベルトを着用するかしないかで、事故にあったときの致死率は大きく変わります。特に後部座席で非着用の場合、一般道で約3.6倍、高速道路では約15.4倍も致死率が高くなる※そうです。 ※ 「後部座席シートベルト着用・非着用別致死率」過去10年の合計。参考:警察庁「全ての座席でシートベルトを着用しましょう」 そんな大事なシートベルトですが、そもそも、あのベルトはどんな素材でできていて、どれくらい強いものなんでしょう。どういう進化を遂げてきて、どんな仕組みで私たちの体を守ってくれているのか……? 知らないことばかりです。 そこで今回は、シートベルトで世界2位のシェアを占めるZF Friedrichshafen
ネット記事に発信元情報 偽情報の拡散抑止、来年開始へ | 共同通信
全国の新聞社やテレビ局、IT企業、広告代理店が加盟する団体が、偽情報の拡散を抑止するため、インターネット上の記事や広告に発信元の情報を付ける技術の開発を進めている。ユーザーが発信元を確認して、信頼できる情報かどうかを判断しやすくする。 この技術は「オリジネーター・プロファイル(OP)」と呼ばれ、記事や広告に、第三者機関が確認した発信元の企業情報やコンテンツの編集方針をひも付け、表示する仕組み。来年、米グーグルの「クローム」などの閲覧ソフトにこの機能を追加できるようにする計画だ。 ネット上には真偽不明の情報も多い。報道機関の配信記事の見出しや内容を改ざんするケースも発生している。生成人工知能(AI)の技術進化で、コンテンツが真正かどうかを見極めるのが難しくなっている。 OPの技術研究組合の理事長は「日本のインターネットの父」と呼ばれる村井純・慶応大教授が務める。村井氏は「偽情報の拡散が抑制さ
疲弊しないAWSセキュリティ統制の考え方【資料公開】 #devio_osakaday1 | DevelopersIO
大阪オフィスの川原です。 クラスメソッドのシン・大阪オフィスでの初イベント DevelopersIO OSAKA Day One -re:union- にて 『疲弊しないAWSセキュリティ統制の考え方』 というメインセッションを話しました。 ご参加いただいたみなさま、ありがとうございます! 発表で使った資料を本ブログで公開します。 当日の発表では時間の都合上話せなかった部分もいくつかありますので、 気になった方はぜひ見てください。 参考になれば幸いです。 スライド 参考資料 責任共有モデル | AWS NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST NIST Cybersecurity Framework (CSF) 2.0 Reference Tool | NIST Cyber Defense Ma
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
MySQLの最新バージョンである「8.1」が発表されたので超久しぶりに筆を取った。しばらく筆を取らなかった理由は個人的なものなのだが、このブログはごく個人的な活動であるので諸々の事情はご容赦頂きたい。 さて、MySQL 8.0の次のバージョン番号は何になるかという憶測は色々あったと思うのだが、8.1というものに落ち着いた結果になった。(9.0にしてしまうと、2桁目の番号が意味をなさなくなってしまうからね!!ちなみに次のバージョンは8.2、8.3・・・という具合に続く予定だ。)8.1という番号はバグデータベース上で既にチラチラと出ていたので、公式な発表よりも前に気づいていた人も多かったのではないだろうか。本稿では、バージョン8.1の概要と、8.1リリースと同時に発表されたInnovation ReleaseおよびLTS(Long Time Support)について解説しようと思う。 Inno
楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
この記事について この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2024年4月27日に配信されたものです。メールマガジン購読(税込み月額550円)の申し込みはこちらから。 第三者がフィッシングサイトなどを通じて入手した楽天IDとパスワードによって、My 楽天モバイルでeSIMの再発行を実施。モバイル通信サービスを乗っ取ってしまうという。 SMS認証で本人確認を行う他のサービスなども乗っ取られていくなど、さらなる犯罪に利用されてしまうことも予想される。 そもそも、楽天モバイルの仕組みは楽天IDとパスワードによって、eSIM再発行ができるなど、他社に比べてセキュリティが低いというのが以前から指摘されていた。 他社であれば、切り替えたい回線にSMSを飛ばす、あるいはeSIMを再発行する際、端末の紛失などでSMSを飛ばせない
軍事政権下のブルキナファソでは、イスラム勢力による市民への襲撃が横行している/Sophie Garcia/AP (CNN) 欧州連合(EU)対外行動庁(EEAS)は13日、西アフリカ・ブルキナファソの村で、市民およそ100人が殺害される虐殺事件が伝えられたと発表した。 EEASの発表によると、ブルキナファソ北中部のザオンゴ村で、女性や子どもを含む市民100人近くが殺害されたと伝えられている。 米政府とEUは虐殺を非難、暫定政権に対して虐殺が起きた状況を解明し、犯人を突き止めるよう求めている。 ブルキナファソは2022年7月に軍事クーデターが発生し、現在は軍事政権下にある。軍事政権は治安対策を優先しているが、今年に入ってイスラム勢力の襲撃が相次ぎ、市民が犠牲になっていた。 4月初めには北部の村が相次いで襲撃され、少なくとも44人が死亡。当局はテロ集団の犯行だったとしている。 4月下旬には同じ
現在、Webアプリの約60%がHTTP/2を採用しているという。 新たな攻撃は、何十万ものリクエストを作成し、すぐにキャンセルすることで機能するとCloudflareは説明した。リクエスト/キャンセルのパターンを大規模に自動化することでWebサイトを停止に追い込む。 3社は、HTTP/2を採用するプロバイダーに対し、可能な限り早くセキュリティパッチを適用するよう呼びかけた。 クライアントによるこの攻撃への最善策は、利用可能なすべてのHTTPフラッド保護ツールを使用し、多面的な緩和策でDDoS耐性を強化することだとしている。 Cloudflareは、8月の攻撃について今報告するのは、「可能な限り多数のセキュリティベンダーに対応の機会を与えるため、情報を制限してきた」と説明した。 HTTP/2 Rapid Reset Attackの詳しい説明などは、以下の「関連リンク」の各社の公式ブログを参照
動画配信などを行っている「ニコニコ動画」などのサービスが停止していることについて、親会社のKADOKAWAは、グループの複数のウェブサイトが利用できない状態となっていて、サーバーに外部から不正アクセスが行われたことによる可能性が高いと発表しました。KADOKAWAは、専門家や警察の協力を得て調査し、迅速に対応を進めるとしています。 動画配信などを行っている「ニコニコ動画」の運営会社の親会社、KADOKAWAによりますと、8日未明から、グループの複数のサーバーにアクセスできない障害が発生し、データの保全のために関連するサーバーをシャットダウンする対応を取ったということで、サイバー攻撃を受けた可能性が高いとみているということです。 この影響で、「ニコニコ動画」などの複数のサービスに影響が出ていて、動画の視聴や配信などができない状態になっているということです。 また、KADOKAWAの公式ウェブ
ニコニコ動画、ニコニコ生放送などニコニコサービスで6月8日早朝から障害が発生している件で、運営元のドワンゴは大規模なサイバー攻撃を受けていることを明らかにしました。 障害とメンテナンスの告知 同サービスで8日3時23分ごろから正常に利用できない場合がある不具合が発生。6時から緊急メンテナンスを実施しています。その後12時間が経過しても復旧に至っていませんでした。 メンテナンス中の画面 ドワンゴは同日19時ごろ「大規模なサイバー攻撃を受けており、影響を最小限に留めるべく、サービスを一時的に停止しています」と説明。調査と対策を進めているものの、サイバー攻撃の影響を完全に排除できたと確信し、安全が確認されるまで、復旧に着手できないと述べています。「少なくともこの週末中は復旧の見込みがございません」 停止中のサービスは「ニコニコ動画、ニコニコ生放送、ニコニコチャンネル等のニコニコファミリーサービス
絶望的。遺伝子検査企業から690万人のデータ漏洩
絶望的。遺伝子検査企業から690万人のデータ漏洩2023.12.09 12:0093,126 Thomas Germain - Gizmodo US [原文] ( 岩田リョウコ ) 超大規模の漏洩、しかもDNA情報...! 遺伝子検査で有名なアメリカの企業23andMeが、10月に顧客1万4000人分の個人情報がハッカーによって盗まれていたことを発表しました。 しかし、TechCrunchの報道では、自分の祖先や遠い親戚が判明するDNA Relativesという機能を使っていた約690万人分のDNA情報を含むデータが流出しているとのことです。1万4000人分どころの話ではなかったようです。 本当の数字は?23andMeが最初に報告した数は、顧客の0.1%、約1万4000人とのことでしたが、690万人となるとその約5万倍の数となります。先日23andMeの広報担当者は、DNA Relativ
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
AWS Security HubとSlackを利用して、セキュリティ状況の監視運用を効率化したお話 - Uzabase for Engineers
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
Malwarebytesは2月21日(米国時間)、「Vibrator virus steals your personal information|Malwarebytes」において、充電式バイブレータからマルウェアを検出したと伝えた。このバイブレータはUSB接続で充電するデバイスだが、コンピュータから充電しようとするとマルウェアの感染を試みるという。 Vibrator virus steals your personal information|Malwarebytes 情報窃取マルウェア「Lumma Stealer」の正体 Malwarebytesによると、この問題は、Malwarebytes Premiunの顧客が購入したデバイスを充電するためにコンピュータのUSBポートにデバイスを接続した際、感染をブロックしたとするセキュリティ通知が表示されたことで発覚したという。被害を免れたユー
なぜ Server Actions を使うのか
Next.js 14 の Server Actions の stable リリースに発表は大きな反響を呼びました。 特に <button> の formAction 属性内で直接 SQL クエリを実行するコードは多くの人に衝撃を与えていました。"use server;" の部分を PHP やバイナリに置き換えると行った多くのミームも生まれました。 function Bookmark({ slug }) { return ( <button formAction={async () => { "use server"; await sql`INSERT INTO Bookmarks (slug) VALUES (${slug})`; }} > <BookmarkIcon> </button> ) } X 上での反応を見ると、このクライントから直接 SQL クエリを実行するコードは見た目の印象
「キナ臭い」「裏がある」 公安調査庁HPから消えた国際テロ組織情報 担当者に真意を直接聞いてみた | 上毛新聞社のニュースサイト
「ミャンマーの項目が消えたぞい」「PKKのページがない?」―。公安調査庁がホームページなどで公表する「国際テロリズム要覧」で「テロ組織」として挙げていた情報が大幅に削除され、X(旧ツイッター)で憶測を呼んでいる。同庁によると、11月24日にウェブ版を更新したことで、複数の「テロ組織」に関する情報がなくなったという。世界各地で紛争が相次ぐこのタイミングでなぜなのか。ミャンマーの少数民族ロヒンギャの取材を続ける上毛新聞も同国の治安情勢を注視しており、広報担当者に真意を尋ねた。 国際テロリズム要覧は、国際テロリズムの潮流や組織の実態を把握し整理するため、公安調査庁が1993年から発刊している。今年9月下旬、通算で第20版となる2023年版を発行した。24日に更新されたのがこのウェブ版だ。 最新版の内容を22年版と比較すると、「主な国際テロ組織等の概要及び最近の動向」と題した項目では、トルコでクル
デジタル世界の「自由」は徐々に失われており「DRM義務化」「VPN非合法化」「アプリ更新への政府介入」といった最悪の状況に突き進む可能性がある
カエルを水に入れてゆっくり加熱すると危険を察知できずにそのまま死んでしまうというのがゆでガエル理論です。デジタル世界の自由が徐々に失われつつあることを時系列にまとめて今後さらに規制が強まる恐れがあると警鐘をならすブログ記事が機械学習エンジニアのロビン・ランジュさんによって投稿され、エンジニアが集うニュースサイト「Hacker News」で話題になっています。 The boiling frog of digital freedom | Gazoche's blog https://gazoche.xyz/posts/boiling-frog/ The boiling frog of digital freedom | Hacker News https://news.ycombinator.com/item?id=37368824 デジタル世界の自由を奪う仕様やルールの歴史は以下の通り。 2
本記事は4月3日21:30(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
内部関係者による海外VPNサービスを悪用した不正アクセスについてまとめてみた - piyolog
中国が情報システムの全面「国産化」内部指示…外国企業の排除進める
「KUMON」委託先事業者のランサムウェア被害により、会員と指導者の個人情報が漏えい
デジタル庁の「デジタル認証アプリ」迷走…オンライン利用履歴、政府に集中するリスク
NTTドコモ、各料金プランで楽天カード利用不可に 受付再開時期は「楽天カード側と調整」
サイバー事故に関し システムベンダーが負う責任: 医療DXを推進するために | 日本医師会総合政策研究機構
Windowsでもようやく利用できるようになった「Sudo」コマンドを早速体験/Linuxの「Sudo」とは似て非なるものだが快適。セキュリティレベルの低下には注意【やじうまの杜】
海外を中心に「街中のQRコードを不正利用して個人情報を抜き取る」という「クイッシング詐欺」が流行しているらしい
デジタル庁を行政指導 マイナンバー担当官庁が指導される事態に | 毎日新聞
大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功
新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか?
各国報道機関を装ったニュースサイトで親中派の偽情報を流す「PAPERWALL」作戦が展開されている
マイナポータルの「よくあるご質問」ページのアクセス解析が第三者企業に送信されている件
いろんなウェブサービスにパスキーでログインしてみる
MySQL 8.1登場!!Innovation ReleaseとLTSについて
ブルキナファソの村で虐殺、市民約100人が死亡の情報 EU発表
HDMIを無線化できるケーブル型送受信機
Google、Cloudflare、Amazon、 HTTP/2悪用の史上最大規模DDoS攻撃について説明
ニコニコ動画 サービス停止 “外部から不正アクセスの可能性” | NHK
ニコニコ動画など「大規模なサイバー攻撃」で一時停止 今週末中は復旧の見込みなし
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
充電式バイブレータからマルウェア検出、USB充電デバイスに注意
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita