■ Claude 3に例の「読了目安2時間」記事を解説させてみた Anthropicの先日出たばかりのClaude 3(Opus)が、ChatGPTのGPT-4を超えてきたと聞いて、自分の原稿を解説させてみたところ、確かに革新的な進歩が見られる。もはや内容を「理解」しているようにしか見えない。GPT-4では、昨年11月に試した時には、そうは見えず、優れた文章読解補助ツールという感じでしかなかった。 一昨年のCafe JILIS「高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱」は、発表した当時、長すぎて読めないから誰か要約してという悲鳴があがっていた。その後、ChatGPTの登場で、その要約能力に期待されたが、冒頭のところしか要約してくれなかったり、薄い論点リストが出てくるだけで、その期待に応えられるものではなかった。 もっとも、GPT-4でも、質問力があ
総務省|報道資料|ヤフー株式会社に対する行政指導
総務省は、本日、ヤフー株式会社(代表取締役社長 小澤 隆生)に対して、検索関連データの提供に関する利用者周知及び安全管理措置の実施について、文書により行政指導を行いました。 ヤフー株式会社(以下「ヤフー社」といいます。)は、Yahoo!JAPANの検索エンジン技術の開発・検証の観点から、NAVER Corporation(以下「NAVER社」といいます。)に対して、令和5年5月18日(木)から同年7月26日(水)までの間の検索関連データの提供を試験的に行っており、その際、慎重な取扱いが求められる情報である位置情報等(約756万のユニークブラウザ分の検索クエリ等(うち、位置情報は約410万のユニークブラウザ分))を利用者に対して事前の十分な周知を行うことなく、NAVER社へ提供し利用させていたほか、当該位置情報等について十分な安全管理措置がとられていなかったことが判明しました。
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
SNSを利用している方であれば、おそらくほとんどの方が「もふもふ動画」や「最多情報局」といったアカウントを一度は見たことがあるでしょう。 面白動画やかわいいペットの写真などの投稿で、多くのフォロワーを集めていますが、実はその大半が無断転載によるもの。転載を知らされていない元の投稿主らから、問題視されています。 ■ 「削除依頼はDMまで」とあるものの、要請に応じず 投稿を見てみると、完全に無断転載しているものと、Xの動画引用方法(URLの末尾に「video/1」を付ける方法)を使用した、“仕様の範囲内”で引用しているものの2パターンがあります。 しかしながら後者の“仕様”を使った場合でも、投稿者(動画や写真の権利者)が嫌だといえばそれまで。投稿者には著作権および著作者人格権があり、Xにポストしたからといって権利を手放したわけではありません。 これは利用規約の概要にも「ユーザーは、ポストまたは
YAPC::Hiroshima 2024
対策とセットで公開しろよボケが まずサンプルは https://www.neo-blood.co.jp/ を見..
対策とセットで公開しろよボケが まずサンプルは https://www.neo-blood.co.jp/ を見れば大体わかる こういう詐欺サイトにはひっかからないようにしような で、対策 見分け方としては https://www.ccj.kokusen.go.jp/jri_sysi?page=sgSite あたりが参考になる 最初から騙されずに買わないのが一番いい。このサイトで予習すればだまされる率も減るだろう で残念ながら騙されてしまった場合。 汎用的な対処法については https://www.ccj.kokusen.go.jp/chatbot_answer?page=mhuhn&ksi=credit の3.クレジットカード会社への相談についてを見ろ 追記を見たが銀行振り込みの場合は https://www.ccj.kokusen.go.jp/chatbot_answer?page=mh
ニコニコのサービス停止に関するお詫びと今後について
※書き起こし字幕がございます。YouTubeの字幕をオンにしてご覧ください。 2024年6月8日(土)より発生している、サイバー攻撃を主因とするニコニコ関連サービスの停止について、6月14日(金)時点での現況と、今後の見通しをお話させていただきます。 ニコニコに関するご意見等はX(旧Twitter)にて #ニコニコへのご意見 でポストをお願いします。 詳細 https://blog.nicovideo.jp/niconews/225099.html 出演: 栗田穣崇(ニコニコ代表、ドワンゴ取締役COO) 鈴木圭一(ニコニコサービス本部 CTO)
オンライン詐欺は、インターネットを通じて世界中の人々を標的とする社会全体の脅威です。 詐欺は、多くの場合に国境を越えて行われ、自動化やその他のあらゆる手法を使って、意図的に私たちの検出を回避しようとする、悪意のある人々による仕業です。金銭を目的とし、詐欺をはたらく者が、様々なサービスやウェブサイト上で、広告と投稿の双方を活用したり、プラットフォーム間を移動したりと、人を欺くために常に新たな方法を編み出し続けている、敵対的な状況です。 Metaは、プラットフォーム上における安全を守るため、長年にわたり大規模な投資を行っており、2016年以降、チームと技術に200億ドル以上を投資してきました。これには詐欺対策も含まれ、プラットフォーム上の利用者を詐欺から守るための多面的な対策を講じています。 これには、弊社プラットフォームのすべてにおいて、この種の行為を禁じるポリシーやシステム、利用者が自身を
どうしてもドメインを永久保持できない企業向け 企業はどうドメインを捨てるべきか - web > SEO
コロナ禍中に取得された地方自治体のドメインがオークションで高値売買され、中古ドメインとして悪用されるなど、公的機関のドメイン放棄問題が注目されています。 11月25日のNHKニュース7でドメイン流用の件が報じられました。私も取材を受け少しご協力をしています。 www3.nhk.or.jp 公的機関のドメイン放棄問題の理想の解決は、今後は lg.jp、go.jp などの公的機関しか使えないドメインだけを使うようにすることです。 ただ今回の問題はコロナ禍初期の大混乱時、非常にスピーディにサイト立ち上げが求められていた時の話です。 信頼が求められる lg.jp などのドメインの利用には厳格なルールがあるのも当然です。あの混乱時期にルール改定も難しかったと思います。新規ドメインが選ばれた事は仕方がない事と思っています。 ただ、コロナ禍が落ち着いた今、無責任に放棄されるのは明らかな問題です。 今回の
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配:ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構(IPA)サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。
広告ブロッカーの除外設定に、ドメイン「smhn.info」を追加するようお願いいたします。 お願いするに至った背景と、解除方法について解説します。 広告ブロッカーの浸透は「現状、やむを得ない部分がある」 すまほん!!は、主に広告掲載収入によって日々の取材、レビュー、記事更新を行っています。 最近、アプリストアのランキング上位に広告ブロッカー(Adblock)が表示される例が見られ、浸透している様子がうかがえます。弊誌の広告収入も減少しています。 確かに、最近では日本の各種大手媒体が「画面を埋め尽くすほど異常に大量の広告を表示する」「記事タイトルのリンクをクリックしても、記事ではなく利用者の意図しない全画面広告を表示する」「バックキーの操作を乗っ取って広告を表示して戻るのを妨害する」などの極めて悪質な手法を取るようになっています。 Google、広告業者、大手メディアの著しい劣化であり、この
X(Twitter)のトレンドでよくみかける、「トレンドワードに便乗した謎の美女アカウント」。 「わ~こわい~みんな気をつけてね。詳しくはプロフ♥ #地震」など、その時トレンド入りしているワードとともに投稿。胸元などアップした写真が添えられるまでがセットです。 トレンドに便乗して人の目に触れることを狙ったものだと思われますが、みなさん気になっていますよね?彼女たちは一体何が目的なのかって。だってあまりにも数が多いですから。 大体の結末は予想することができましたが、一応確かめるべく接触してみました。 それでは結果を見ていきましょう。 ■ 出会いはXのトレンドワード 今回紹介する女性との出会いは、その日Xにあったあるトレンドワード。適当なトレンドワードをのぞいてみると……いました、いました。沢山のトレンド便乗投稿者たちが。 なかでもあからさまに胸を強調しているアカウントを選択。この手の甘い誘惑
2023年8月7日(現地時間)、2020年頃に中国軍が日本政府にサイバー攻撃を行い防衛機密情報にアクセスしていたとして米国のThe Washington Postが報じました。ここでは関連する情報をまとめます。 日本政府のネットワーク侵害を米国が把握 発端となったのは、現地時間2023年8月7日付でThe Washington Postが報じた中国が日本の防衛ネットワークへハッキングを行ったとする当局者の話などを取り上げた記事。2020年秋に米国NSAが日本政府が侵害されていることを確認した後、米国が日本に情報提供をはじめとする本件への対応をどのようにとってきたか経緯や関連事案などをまとめたもの。同紙で国家安全保障やサイバーセキュリティの取材を行っているEllen Nakashima氏の署名記事。氏が面談した米国の元高官ら3人を情報ソースとしているが機密性が高いことからいずれも匿名での取材
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道 2023年08月08日07時08分配信 ポッティンジャー前米大統領副補佐官(国家安全保障担当)=2022年7月、ワシントン(EPA時事) 【ワシントン時事】米紙ワシントン・ポスト(電子版)は7日、中国人民解放軍のハッカーが日本の防衛省の最も機密性の高い情報を扱うコンピューターシステムに侵入していたと報じた。2020年秋に米国家安全保障局(NSA)が察知し、日本政府に伝達した。しかし、日本のサイバー対策は依然として十分ではなく、日米間の情報共有の支障となる可能性が残っている。 米大使らのメール流出か 中国発サイバー攻撃で―報道 同紙によると、中国軍によるネットワーク侵入は「日本の近代史上、最も有害なハッキング」となった。元米軍高官は「衝撃的なほどひどかった」と語ったという。 報道では、米政府は20年秋、当時のポッティンジャー大統領副補佐
【読売新聞】 外交上の機密情報を含む公電をやりとりする外務省のシステムが中国のサイバー攻撃を受け、大規模な情報漏えいが起きていたことがわかった。米政府は2020年に日本政府に警告して対応を求め、日本側は主要な政府機関のシステムを点検
“消えない広告” ×マークが押せません!? | NHK
スマホを使っていて、イラッと感じること、ありませんか。 「×マークが小さくて、消そうとしたら、意図せず広告に触れてしまった」 「×マークを押そうとしたら、急に広告が動き、誤って広告サイトに飛んでしまった」 ウェブでの不快なことを聞いたある調査では、「広告を誤って押してしまったり、押しそうになった」と答えた人が、最も多いという結果でした。 実は、これ、「ダークパターン」と呼ばれ、世界で問題になっています。 (デジタルでだまされない取材班 芋野達郎) 押す気はないのに、広告を… マーケティングのリサーチ会社「クロス・マーケティング」が、20代から60代の1100人に、ウェブサイトやアプリを利用している際に感じる不快なことを、複数回答でたずねました。 すると、最も多かったのは『広告が表示され、押す気はないのに誤って押してしまった(押しそうになった)』で、29.5%、およそ3割にのぼりました。 続
この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023 の4日目です。年末進行、いかがお過ごしでしょうか?みなさま無事に仕事が納まることを願っております… 新人インフラエンジニアが、本番ウェブサーバー60台のホスト名を全部 cat にしてしまった話について、ここに供養させていただきたいと思います 背景 おそらく今から7年くらい前、インフラエンジニアとして転職してきて1年ほどが経ち、本番環境での作業もこなれてきたなというバッチリのタイミングで事を起こしてしまいました。サーバーは CentOS 6 だったと思います。 職場としてはまだまだベンチャー感にあふれ大きな裁量が与えられスピード感のある環境ながら、サービスの登録ユーザー数は1,000万を超え、本番環境の規模としては既になかなかの大きさがあり、ウェブサーバーだけでも60台くらいあったと思います。ひと山につき
パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー - Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー:マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵(と訳されていますが秘密鍵のことで良い……
Gmailに届かなくなる?最近の電子メールで何が起っているのか? | IIJ Engineers Blog
IIJ 技術担当部長 最近はインターネットの技術を紹介するのがお仕事です。元々プログラマ、サーバ・データセンター・ネットワーク・セキュリティ・モバイルといろいろやってきました。 ここしばらく「2024年6月よりGoogle (Gmail) が迷惑メール対策を強化、メールが届かなくなるかも」というややセンセーショナルなニュースが流れていました。本件、掘り下げるとややこしい話ではあるのですが、この記事ではざっくりと「何が起っているのか」についてまとめてみたいと思います。(説明を簡単にするため、細かいことは省いています) 結局、私は何をすれば良いの? この問題、「Google (Gmail)で何か起るらしい」という報道のため、Gmailを使っている人が何かしなければならない雰囲気があります。ですが、実際に対応しなければならないのは、Gmailを使っている人ではありません。むしろGmailを使って
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
ブラウザからDBに行き着くまでただまとめる
はじめに あなたはブラウザからデータベース(DB)に情報が行き着くまでにどんな技術が使われているか説明できますでしょうか? どのようなプロトコルが用いられ、どの技術を駆使してサーバと通信しているのか、Webサーバでは何が行われ、どのようにして負荷が分散されているのか、トランザクションはどのように管理されているのか、そしてデータベースではシャーディングや負荷対策のためにどのような対策が取られているのか… なんとなくは理解しているものの、私は自信を持って「こうなっている!!」とは説明ができません。 そこで今回は「大規模サービス」を題材としてブラウザからデータベースに至るまでの、情報の流れとその背後にある技術について、明確かつ分かりやすく解説していきたいと思います。 対象としてはこれからエンジニアとして働き出す、WEB、バックエンド、サーバーサイド、インフラ、SREを対象としております。 1.
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた | オタク総研
OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた
はじめに 社内インフラの運用担当者にとってソフトウェアのバージョンアップは地味な割に大変な業務です。 特に社内のオンプレサーバで動いているようなソフトウェアの場合、バージョンアップに伴う諸々の調整をそのソフトウェアを利用している各部署と行う必要があります。 そんなときに「今は忙しいからバージョンアップを先送りしてほしい」「このバージョンはスキップしてもよいのでは?」なんて声が各部署から聞こえてきます。バージョンアップの価値を各部署に理解してもらうのは大変です。 この文章はそんな時になぜバージョンアップしなければならないのかを上司や各部署のマネージャに伝えるために書きます。 ソフトウェアの有効期限は2-5年 まず、第一に、ソフトウェアというものは無限に使えるわけではなく、一定の有効期限があり、それを過ぎると徐々に動かなくなってきます。俗にいう「何もしてないのに動かなくなった問題」です。 なぜ
おととい、群馬県伊勢崎市の公園で小学生ら12人が犬にかまれた事件で、この犬が狂犬病の予防注射を打っていなかったことが分かりました。この事件はおととい夕方、伊勢崎市の公園で小学生9人を含むあわせて12人が…
2024年1月2日18時前ごろ、新千歳発・東京/羽田行のJAL516便(エアバスA350-900、JA13XJ)と、海上保安庁所属「みずなぎ」(DHC-8 Dash 8、JA722A)が羽田空港C滑走路で衝突する事故が発生しました。 ※事故自体の経過についてはNHKの記事などをご覧ください(随時更新されるようです)。 要約Flightradar24など、航空機追跡サイトはボランティアによる受信で成り立っている 海保機は「ADS-B」に対応していなかったので、航空機追跡サイトでは低高度(地上走行中)に表示されなかった 加えて、Flightradar24は自主規制によって海保機の位置を表示していなかった 「ADS-B非対応」はトランスポンダを積んでいないという意味ではない。トランスポンダは積まれていたし、管制側のレーダーには表示される ADS-B非対応機は民間機にも存在するため、海保機のみが特
川上量生氏「先ほど、KADOKAWA社長の夏野剛のXアカウントが乗っ取られました。これはNEWSPICKSの報道による犯罪者グループとの関係の変化によるものです。」
NewsPicks [ニューズピックス] @NewsPicks このアカウントでは、NewsPicksオリジナルの新着記事に加え、WEEKLY OCHIAIのダイジェスト、経営者や偉人の名言、経済トピックスの4コマ解説など、ビジネスのヒントとなるコンテンツを、毎日お届けします。 ※有料記事・動画は、下記のリンクから10日間無料トライアルに登録いただくことでご覧いただけます。 premium.newspicks.com/?utm_source=tw… NewsPicks [ニューズピックス] @NewsPicks 【極秘文書】ハッカーが要求する「身代金」の全容 newspicks.com/news/10160526/… NewsPicks編集部は、このハッカーから送られてきた脅迫メールと、それに応対するドワンゴ経営陣のやりとりを入手。 KADOKAWAが、流出データなどと引き換えに、17億円
他人のマイナ保険証 顔写真かぶったら使えた…「なりすましできてしまう」医師懸念【実験動画】:東京新聞 TOKYO Web
「これでは、なりすましもできてしまう」―。長崎市の内科医院院長(67)が2日、自らの顔写真をお面のようにかぶった女性スタッフに自分のマイナ保険証を使ってカードリーダー(読み取り機)で顔認証を試みたところ、あっさり認証され、その後の手続きに進めてしまった。院長は警鐘を鳴らすためにもその一部始終を動画に収めた。(長久保宏美)
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する「ニコニコ動画」などがサービス停止に追い込まれた。KADOKAWAの業務サーバーも使えなくなり、業務に影響が出た。取引先や従業員の情報漏洩も確認されている。 KADOKAWAへの大規模なサイバー攻撃が分かったのは、2024年6月8日土曜日の午前3時30分ごろ。グループ内の複数サーバーにアクセスできない障害が発生していることが検知された。 子会社のドワンゴが運営する動画配信サービス「ニコニコ動画」「ニコニコ生放送」をはじめとする一連の「ニコニコ」サービスのほか、チケット販売の「ドワンゴチケット」などが提供不能になった。 8日午前8時ごろには、不具合の原因がランサムウエアを含むサイバー攻撃であることを確認。グループ企業のデータセンター内におけるサーバー間通信の
モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。
大規模なサイバー攻撃を受けている出版大手、KADOKAWAの夏野剛社長のX(旧ツイッター)アカウントについて、傘下のドワンゴが手掛ける「ニコニコ動画」の窓口担当は25日、「乗っ取られたわけではない」とXで明らかにした。夏野氏はドワンゴの代表取締役社長も務めている。 「ニコニコ窓口担当」の投稿によると、「昨日、弊社代表取締役のXアカウントに連携しているアプリのいずれかよりスパムポストが投稿されるという事案がありました」という。一方、「代表取締役当人とともに弊社エンジニアが確認したところ、アカウントへの不審なログイン形跡は見当たらず、また不審なポストをされるより以前、サイバー攻撃を検知した当日にパスワードの変更を実施済みでした。したがいまして、代表取締役のXアカウントが乗っ取られたわけではなく、Xアカウントに連携しているアプリのいずれかよりスパムポストが投稿されてしまったものと思われます」と説
2023年10月にGoogleとYahoo!がメール送信者向けのガイドラインを更新してから早3か月。いよいよ適用開始の2024年2月が近づいてきました(ドキドキ)。 私は昨年から本件の対応を進めていて、地味に大変だな、と感じています。多くの企業では自社ドメインから様々なメールを送信していると思います。利用しているツール・サービスも様々で、たとえば、Sendmail/Postfix/Eximのサーバを立てている、Google WorkspaceやMicrosoft 365を使っている、といった他に、CRMであるSalesforce、マーケティングツールのHubspotやAccount Engagement(旧Pardot)、メール送信用のAmazon SESやSendGridを使っているなど、多くのツール・サービスを併用している企業が多いのではないでしょうか。 そういった状況では自社のどこか
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
「//このコメントを消したら動かない」は大体Shift_JISの2バイト目が原因で発生する - Qiita
TL;DR Shift_JISにしただけでコンパイラが通らなくなる恐ろしい事件とその回避法について。 \ (¥)のASCIIコードは0x5c 表、能は良くない UTF-8は神 2023/12/06追記 誤りがあったので訂正します。こんな読まれると思ってなかったので正直ちょっとびっくりしていますが、いろいろコメントありがとうございました。(ツイート等全て拝見しました。) Shift_JISが悪いわけではない(デフォルトのエンコーディング設定の問題)→追記しました UTF-8にはUTF-FSSという仕様でこの問題が回避されている→マジでタメになる知識ありがとうございます OSによってデフォルトのエンコーディング設定が異なるせいで、デフォルト環境での動作がOSにより異なる→なるほど?(調査中) CRLFとLF問題では→なるほど?(調査中) そんな問題何を今更→UTF-8が出てから生まれたからです
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - Claude 3に例の「読了目安2時間」記事を解説させてみた
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
「もふもふ動画」はただの無断転載アカウントではない?その正体に迫る<前編> | おたくま経済新聞
Gmailにメールが届かなくなる!? 5月中にやるべき対応策をマンガで教えてください!WACUL安藤健作さんに聞いてきた | Webのコト、教えてホシイの!
VISAカードの裏側と “手が掛かる” 決済システムの育て方
著名人になりすました詐欺広告に対する取り組みについて | Metaについて
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
「怖かった。京アニ事件思い出した」 『少女革命ウテナ』監督に"盗作指摘"繰り返す女性に賠償命令 - 弁護士ドットコムニュース
【お願い】広告ブロッカーの除外設定をお願いします。 - すまほん!!
Xのトレンドでよくみかける「謎の美女」 目的はなんなのか?やりとりしてみた | おたくま経済新聞
米紙が報じた中国による日本の防衛ネットワークの侵害についてまとめてみた - piyolog
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道:時事ドットコム
外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検
本番サーバー60台のホスト名を全部 cat にしてしまった話 - Qiita
パスキーが快適すぎる - yigarashiのブログ
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
ソフトウェアはなぜバージョンアップしなければならないのか - Qiita
狂犬病の予防注射せず 小学生ら計12人をかんだ四国犬 群馬・伊勢崎市 | TBS NEWS DIG
JAL機と衝突した海上保安庁機(JA722A)がフライトレーダーに表示されない理由|ryo-a (vitya)
%2520-%2520%25E9%2585%258D%25E5%25B8%2583%25E8%25B3%2587%25E6%2596%2599%25E3%2581%259D%25E3%2581%25AE1%2520-%2520%25E7%25A7%2598%25E5%25AF%2586%25E3%2581%25AE%2520NTT%2520%25E9%259B%25BB%25E8%25A9%25B1%25E5%25B1%2580%25E3%2580%2581%25E3%2583%2595%25E3%2583%25AC%25E3%2583%2583%25E3%2583%2584%25E5%2585%2589%25E3%2580%2581%25E3%2582%25A4%25E3%2583%25B3%25E3%2582%25BF%25E3%2583%25BC%25E3%2583%258D%25E3%2583%2583%25E3%2583%2588%25E5%2585%25A5%25E9%2596%2580.pdf)
2023/06/10 総務省「西日本横断サイバーセキュリティ・グランプリ」 講演第 1 部 (登 大遊) — 参加者向け配布資料その 1 秘密の NTT 電話局、 フレッツ光、 およびインターネット入門 (1)
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず
次世代Web認証「パスキー」 / mo-zatsudan-passkey
KADOKAWA夏野社長のXアカウント「乗っ取りではなかった」ニコニコ窓口担当が公表
Googleの新しい送信者ガイドラインに備えてDMARCレポートに基づいて具体的にやったこと
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog