黙っていればわからないのに……「Vivaldi」が正直に告白したセキュリティ問題/利便性やデザインも大事だけど、アプリを選ぶときにもっておきたい評価軸【やじうまの杜】
さくらインターネットは、防衛省が約7億5000万円でクラウドサービス「さくらのクラウド」を導入すると発表した。防衛装備庁が実施する、防衛産業に関するサプライチェーンの調査基盤として採用が決まったという。 さくらのクラウドは2021年、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)のリスト入り。政府調達の対象になった他、23年には日本政府の共通クラウド基盤「ガバメントクラウド」にも条件付きで採択された。24年7月時点で、ガバメントクラウド中唯一の国産サービスになっている。 関連記事 日本政府の共通クラウド基盤に初の国産サービス さくらインターネットが仲間入り デジタル庁が、日本政府の共通クラウド基盤「ガバメントクラウド」(政府クラウド)として、さくらインターネットのクラウドサービスを新たに選定したと発表した。 さくらのクラウド、ガバメントクラウド
Application Load Balancer (ALB) への謎の大量アクセス攻撃 - Techouse Developers Blog
はじめに こんにちは、Techouse の人材プラットフォーム事業部でサーバーサイドエンジニアを担当している imayayoh と申します。 Techouse では各事業部でエンジニアがインフラの監視として、AWS・外部サービス等のグラフモニタリングを実施しています。モニタリングでは下記に重点を置いており、インフラ構成の見直しや障害対応の場として活用しています。 サービス運用に十分なスペックでインフラが構成されているか 最適なコストでサービスが運用されているか インフラ・外部サービスで重大な問題が発生していないか 本日はモニタリングの実施で即時対応できたトラブルの一例として、Application Load Balancer (ALB) への謎の大量アクセス攻撃を紹介します。 コストモニタリング 弊社のサービスではインフラに AWS を使用しており、モニタリングでは AWS Billing
「Operaは変わり果てたのでもう使うな」と有識者が語る
ノルウェー発のウェブブラウザのOperaは、「Opera最強伝説」で知られるなど、ニッチながら根強い人気に支持されているブラウザです。テクノロジージャーナリストのコービン・ダベンポート氏が、「素晴らしいウェブブラウザだったが見る影もなくなった」としてOperaや派生ブラウザのOpera GXを使うのをやめることを宣言し、その理由をブログを説明しました。 Stop using Opera Browser and Opera GX https://www.spacebar.news/stop-using-opera-browser/ ◆これまでのOperaの足取り Operaは1995年にリリースされたウェブブラウザで、当初は有料ソフトウェアだったということもあり、当時主流だったInternet ExplorerやNetscape Navigatorに比べてユーザーは少なく、全盛期でさえニッチ
マイクロソフトは、今月提供予定のWindows 11の大型アップデート「Windows 11 23H2」で、Windows 11にパスキー機能が搭載されることを明らかにしました。 Windows 11のパスキー対応は、7月のInsider Previewで実装されていました。 参考:Windows 11 Insider PreviewでPasskey対応を実装。Windows Helloの顔認証、指紋認証、PINなどでWebサイトにログイン Windows Helloでパスキーを生成、ログイン iPhoneやAndroidでのパスキーはスマートフォンの指紋認証や顔認証などを用いてパスキーを生成します。Windows 11でのパスキーも同様に、指紋認証や顔認証、PINなどに対応したWindows Helloでパスキーを生成し、ログインに利用します。 また、パスキーに対応したスマートフォンを認
デジタル人材の育成を目指す「中核人材育成プログラム」の参加者が開発。「(サイバー攻撃の)防御を行うにしても、攻撃を全く知らない状態だと何から身を守っているのかイメージし難い。このゲームでは攻撃者の立場になり、サイバー攻撃を疑似体験することで、防御側が見落とす可能性のある脆弱な点に気付き、セキュリティ意識の向上につながることを期待する」としている。 このゲームは「個人、法人組織における非営利、非商業的態様でのシステムセキュリティ教育・啓発目的でのみ、かつ健全な社会通念に反しない」場合のみ、制作者への事前連絡なしで無償利用できる。顧客向けサービスなどと組み合わせての利用、内容改変などのその他の利用をする場合は制作者から許諾を得る必要がある。 また、このゲームは教育とコミュニケーションを目的として作られたものであり、実際の犯罪行為や攻撃の推奨を意図しているわけではないとしている。 関連記事 IT
あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 月から今まで担当してきた「Web アプリケーション診断担当」から「プラットフォーム診断担当」(現 DiaForcePSR グループ)に異動させて頂き、プラットフォーム診断を楽しみながら、お仕事させていただいております、、! そんな私ですが、先日「クライアント端末設定診断」の案件を担当させていただき、お客様の診断対象端末に対してセキュリティパッチスキャンをかける機会がありました。 そこで診断作業中にふと、「自分の私用デバイスは普段から WindowsUpdate を適用するように心がけてはいるけど、大丈夫かな、、?」と思い、診断作業の練習を兼ねて無償利
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連
【シリコンバレー=清水孝輔】米グーグルは22日、ウェブサイトをまたいで消費者の閲覧履歴を共有する「サードパーティークッキー」の仕組みについて、廃止するとしていた方針を撤回すると表明した。仕組みを維持しながら、プライバシーに配慮した代替技術を提供する。英競争・市場庁(CMA)や広告業界の反発で方針を転換した。【関連記事】グーグルは22日、「利用者の選択肢を増やす最新の手法を提案する。(ウェブブラ
総務省は、今般、令和4年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の内容を、わかりやすく解説するために「クラウドの設定ミス対策ガイドブック」を策定いたしました。 総務省では、クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスについてとりまとめた「クラウドサービス利用・提供における適切な設定のためのガイドライン」を、令和4年10月に策定・公表しました。 今般、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が引き続き発生している中で、本ガイドラインの活用促進を図るため、ガイドラインの内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を策定しま
「DNSに対する最悪の攻撃」 迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての
はじめに 去年の「Digital Identity技術勉強会 #iddanceAdvent Calendar 2022」でも「認証と署名は何が違う? ~マイナンバーカードを例に~」として認証と署名の話をしました。実は今年も必要に迫られて認証と署名の整理をしてきてある程度まとまったかな…と言うことで今年も再び書かせてください!また署名業界では新たに電子シール(eシールとも呼ばれる非自然人/組織の電子証明書によるデジタル署名)の検討が進んでいます。なので署名も電子署名と電子シールに分けて整理をしてみます。年末の忙しい時期ですが楽しんでご笑読ください。認証と署名の整理についてはこれで最後にしたい…なぁw デジタルアイデンティティ さてまず認証と署名を比較するとはどういうことかを整理しましょう。認証…と言うよりも技術全体を示すのであれば最近はデジタルアイデンティティ(Digital Identit
VPN経由で行われるはずだった通信を直接インターネットに送信させ、暗号化やIPアドレスの隠匿などVPNを経由するメリットを失わせる攻撃手法が発見されました。どういう攻撃なのかについてセキュリティ企業のLeviathan Security Groupが解説しています。 CVE-2024-3661: TunnelVision - How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak — Leviathan Security Group - Penetration Testing, Security Assessment, Risk Advisory https://www.leviathansecurity.com/blog/tunnelvision TunnelVision - CVE-2024-3661 - De
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2023/08/04に2022 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。 2022年に最も悪用された脆弱性トップ12がリストアップされているようです。 以下では該当の脆弱性をそれぞれ紹介してみます。 理論上危険とか原理上危険とかではなく、実際に使われた脆弱性ということなので、対策する必要性は極めて高いといえるでしょう。 心当たりのある人はすぐに対処しましょう。 2022 Top Routinely Exploited Vulnerabilities CVE-2018-13379 Fortinet社のVPN機器FortiGateに存在する脆弱性で、VPNのログイン情報を抜かれます。 VPNでなりすまし放題ということなわけで、極めて重大な脆弱性と言えるでしょう。
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の南開大学や北京大学などに所属する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。 インターネットでサービスを利用すると、アカウント数が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような状況において、新しいパスワードを都度設定するのは
Linux Crisis Tools
(This is based on Table 4.1 "Linux Crisis Tools" in SysPerf 2.) Some longer notes: [1] bcc and bpftrace have many overlapping tools: the bcc ones are more capable (e.g., CLI options), and the bpftrace ones can be edited on the fly. But that's not to say that one is better or faster than the other: They emit the same BPF bytecode and are equally fast once running. Also note that bcc is evolving and
ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫
神奈川県教育委員会が2024年1月9日に開始した公立高校の出願システムでトラブルが生じている。利用者が米Google(グーグル)のメールサービス「Gmail」のアドレスを登録しても、手続きに必要なメールが届かないというものだ。神奈川県公立高校の募集案内によれば、出願期限は1月末。1月末までにトラブルは解消されず、県教育委員会はGmail以外のアドレスを使うよう呼びかけたり、メールアドレスを貸し出したりしている。手続きができなかったり、完了通知などのメールが届かなかったりした受験者やその家族は、気が気でないだろう。 筆者がこのトラブルを知ったとき、「まだ1月なのに」という疑問が頭をかすめた。グーグルは2024年2月に、メール送信者向けのガイドラインを適用する予定だったからだ。メール送信者のガイドラインとは、グーグルが2023年10月に発表した、Gmailの個人利用者に届く迷惑メールを減らすた
Windows 10 ProやWindows 11 ProなどのWindows上位エディションにはストレージ暗号化機能「BitLocker」が搭載されており、攻撃者にPCを分解されてストレージを抜き取られた場合でも情報の閲覧を防ぐことができます。ところが、BitLockerの暗号化解除用の回復キーを一瞬で奪取できるデバイスがセキュリティ系YouTuberのstacksmashing氏によって開発されてしまいました。 Breaking Bitlocker - Bypassing the Windows Disk Encryption - YouTube ◆BitLockerの回復キーを奪取する実例 以下はLenovo製のノートPCで、BitLockerによるストレージ暗号化が施されています。 ノートPCのカバーを外し始めるstacksmashing氏。 カバーを外したら、回復キー奪取用デバイ
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。 [2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields https://arxiv.org/abs/2308.16321 Chrome extensions can steal plaintext passwords from websites https://www.bleepingcomputer.com/news/securi
【パリ五輪】東京五輪優勝の女子カナダ代表チームに大スキャンダル!ドローンで対戦相手を偵察していたことが発覚し勝ち点6剥奪&監督・関係者は追放 :
カナダ代表は前回の東京オリンピックの女子サッカーで金メダルを獲得したチーム。 当時もプリーストマン監督がチームを率いており、英紙ガーディアンなどは東京オリンピックの優勝に対しても疑いの目が向けられる可能性があるとの見方を示しています。 Canada spying scandal threatens to tarnish their Tokyo football gold https://t.co/ciDt5Y4HmW — Guardian sport (@guardian_sport) July 26, 2024 なお、カナダ代表は男子チームでも過去にドローン騒ぎがあり、2021年のワールドカップ予選でホンジュラスとホームのトロントで対戦する際、ホンジュラスの練習場にドローンが現れ、スパイ行為を疑われたことがありました。 当時のジョン・ハードマン監督は、もともと一般人の操作によるドローンが
はじめに こんにちは、サイボウズ24卒の@yuasaです。 サイボウズでは開発・運用系チームに所属する予定の新卒社員が研修の一環として、2週間を1タームとして3チームの体験に行きます。新卒社員の私が生産性向上チームの体験に行った際に、チーム内でGitHub Actionsを利用する際の脅威と対策について調査を行い、ドキュメント化した上で社内への共有を行いました。本記事では、そのドキュメントの一部を公開します。 対象読者 本記事の主な対象読者としては、以下のような方を想定しています。 GitHub Actionsを組織で利用しているが、特にセキュリティ対策を実施していない方 GitHub Actionsを組織で利用しており、部分的にセキュリティ対策を実施しているが、対策が十分かどうか分からない方 本記事がGitHub Actionsのセキュリティ対策を検討する上で参考になれば幸いです。 本記
KADOKAWAは8月14日、大規模サイバー攻撃による業績影響を発表した。サイバー攻撃を受けた影響で「ニコニコ」関連サービスのクリエイター補償費用や調査・復旧費用などが発生。これにより25年3月期第1四半期連結累計期間で特別損失20億円を計上した。 KADOKAWAを巡っては、6月にハッカー集団からサイバー攻撃を受け、さまざまなサービスが提供休止になるなどの影響が生じた。出版事業については、被害拡大を防ぐため関連サーバをシャットダウンしたことで出版製造・物流システムが停止に。本の出荷は8月中旬に平常通りに戻ると見通していた。 KADOKAWAはサイバー攻撃により「国内紙書籍事業の生産高・出荷部数が減少したことや、ニコニコファミリーのサービス全般が停止したことなどの影響が生じた」と説明。このため、2025年3月期第1四半期連結累計期間で、営業売上で26億円、営業利益で19億円の減少影響が発生
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 まず、多くの方に記事を読んで頂きありがとうございます。解答もいくつかいただきましたが、その中で、以下のhm323232さんの解答は非常に優れたもので、これに付け加えることはほとんどありません。 しかし、気を取り直して、解答を書きたいと思います。 まず、ログイン処理の中核部分は以下に引用した箇所です。 $sql = "SELECT * FROM users WHERE userid = '$userid'"; $stmt = $pdo->query($sql); $user = $stmt->fetch(); if ($user && password_verify($password, $user['password'])) { echo "ログイン成功:" . htmlspecialchars(
「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ
追記と修正 2024/01/09: FOR710 についてはプロ視点で賛否両論あったので表現を変えました 2024/01/09: FLARE-VM の構築部分でも書きましたが、解析環境と普段生活する環境は分離しましょう。VMWare or VirtualBox を使ってください。普段使いの環境にここで述べた解析ツールをいきなりインストールするとAnti-Virusに検知される可能性もあります。 TL;DR 将来的にベンダーレポートやカンファレンス発表レベルでの"マルウェア解析"を想定した話です とりあえず FLARE-VM 環境を作ってインストールされたツールを見る・触るところから始めるといいんじゃないでしょうか TL;DR はじめに "マルウェア解析" のスコープと前提知識の明確化 ツールの選択元(プール) : FLARE-VM FLARE-VM に入っている中でもよく使うツール PES
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ(2024年1月23日 10:00更新) | さくらインターネット
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ(2024年1月23日 10:00更新) お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 「さくらのレンタルサーバ」および「マネージドサーバ」において、DKIM※1およびDMARC※2の対応を、2024年1月末日までに実施することを決定いたしました。 また、詳細な提供開始日が確定次第、改めてお知らせをいたします。 ■2024年1月23日 追記 2024年1月31日11:00から順次提供開始とすることが確定いたしました。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 ※1 DomainKeys Identified Ma
「顔画像が大量に保存されたままで衝撃を受けました」 中古で購入したサーマルカメラに知らない子どもたちの画像が残っていることに気付いた男性は当時のことをこう語りました。 残されていた画像は3700枚以上。 取材を進めると同じように、中古で購入したサーマルカメラから複数の画像を見つけたという別の購入者も…。流出の実態を追いました。 (社会部 佐々木良介) 生活の一部になった検温 2020年、新型コロナによって私たちの生活は一変し、建物や部屋に入る際には検温を求められるようになりました。 「正常な体温です」 毎日検温のたびに聞こえてくるこの音声は、多くの人にとって生活の一部に。顔を近づけるだけで接触せずに体温が測れるサーマルカメラは需要が急速に高まり、調査会社によると、2020年以降、年間4万台から5万台が販売されたと推計されています(富士経済調べ)。 その後、ことし5月に新型コロナが5類に移行
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。 大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか? CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。 同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナ
米セキュリティ企業のPhylumは7月3日(現地時間)、JavasScriptライブラリ「jQuery」の特定バージョンがトロイの木馬化され、GitHubなどで拡散していると警告した。 同社は5月26日、パッケージ管理システム「npm」でトロイの木馬化されたjQueryを確認。少なくとも1カ月にわたって、数十のパッケージで“汚染”されたバージョンが公開されているのを確かめた。さらに、GitHubやCDNサービス「jsDelivr」でも拡散していることが分かったとしている。 対象のパッケージには、悪意あるコードが追加されたjQueryのコピーが含まれていた。汚染されたバージョンはWebサイトのフォームデータを抽出し、外部に送信するという。 Phylumは「マルウェアを作動させるために必要な条件は限られているが、パッケージが広く配布されていることから、潜在的な影響は広く、多くの開発者に影響を与
6月8日未明に発生したニコニコの障害は、KADOKAWAグループへのサイバー攻撃の影響だったようだ。KADOKAWAは9日午前中、グループ内の複数Webサイトで障害が発生していると報告した。 KADOKAWAによると、6月8日の未明、グループの複数のサーバにアクセスできない障害が発生。データ保全のため、関連するサーバを緊急シャットダウンした。ニコニコも同時に障害が発生し、8日午前6時から緊急メンテナンスに移行していた。 KADOKAWAは社内で分析調査を行い、8日中に「サイバー攻撃を受けた可能性が高い」と判断。9日午前の時点で「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」「エビテン(ebten)」などに影響があったという。また、N高等学校を運営する角川ドワンゴ学園も10日、学習アプリ「N予備校」が利用できないと明らかにした。 現在は外部専門家や警察などの協力を得て調査を進
攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度
GitHubは、脆弱性のあるコードをAIボットが自動的に発見、修正したコードとその解説をプルリクエストしてくれる「code scanning autofix」(コードスキャン自動修正機能)を発表しました。 Meet code scanning autofix, the new AI security expertise now built into GitHub Advanced Security! https://t.co/cTDuKZCWMv — GitHub (@github) March 20, 2024 下記がそのコードスキャン自動修正機能の説明です。「Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL」から引用します。 Powered by GitH
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 香港大学や清華大学に所属する研究者らが発表した論文「Radio2Text: Streaming Speech Recognition Using mmWave Radio Signals」は、ミリ波(mmWave)信号から音声を認識するストリーミング自動音声認識(ASR)システムを提案した研究報告である。このシステムは、周囲のノイズに強く、防音対策した部屋の外からでも取得でき、これまでと異なり長い文章をリアルタイムに認識する能力を提供する。 無線センシングの進展に伴い、特にミリ波信号の注目が高まっている。なぜなら、音源のミリメートルレベルの
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
NGINXは世界で最も使用されているウェブサーバーですが、そのコア開発者の1人がNGINXを所有している会社であるF5 Networksと対立し、NGINXの開発を離れて新たにNGINXのフォーク版である「freenginx」を開発すると発表しました。 announcing freenginx.org https://freenginx.org/pipermail/nginx/2024-February/000000.html NGINXはロシアの開発者イーゴリ・シソエフ氏によって2004年に無料のオープンソースソフトウェアとしてリリースされました。その後、ソシエフ氏はマキシム・ドゥーニン氏およびアンドリュー・アレクセーエフ氏と共同で2011年に商用サポート提供のための会社Nginx Inc.を設立。着実にシェアを伸ばし続け、2024年2月時点では世界中のウェブサーバーのうち34.1%でN
数値上はこうなるものの、意図的な短期的メンテナンスや、意図しない障害でも1回あたりの期間が短ければ、その期間に積まれるはずだった売上は、その復帰後に売り上がる場合も多いでしょう。その辺りは、ユーザーの信頼を損なわない方法や運用を心がけることで、十分に埋められる可能性を含む性質です。 しかしこれが、あまりに高頻度であったり長期間になると、その復帰後に停止期間分を含めた売り上げにならず、そのまま機会損失となる可能性が高まります。いわゆるユーザー離れというやつです。その損失だけで済めばまだマシで、普通に考えればその後に想定していた売上も減少し続け、元に戻すには相応の時間と労力を伴うでしょうから、数値以上の痛手となるはずです。 こう考えていくと、運用関係者が健全であれば、無理に100%の可用性を目指さず少なくとも合計99%以上となる停止猶予を持たせた運用とし、数日を跨ぐような連続した長期間の停止だ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
防衛省が国産クラウド導入 さくらインターネットと7.5億円規模の契約
Windows 11がパスキーに正式対応、Windows Helloでパスキーの作成、ログインなど可能に
家のWi-Fiルーター、何年も“置きっぱなし”にしていませんか? 年に一度は「見直し」を
“ハッカー体験”ボードゲーム、IPAが無料公開 攻撃者視点で防御を学ぶ 手番は「最近怪しいメールが来た人」から
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
Google、サードパーティークッキー廃止方針を撤回 - 日本経済新聞
総務省|報道資料|「クラウドの設定ミス対策ガイドブック」の公表
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
認証と署名の整理をしましょう(またかよ) - Qiita
VPNを経由するはずだった通信を直接インターネットに送信させる攻撃手法「TunnelVision」が発見される
2022年に最も悪用された脆弱性12選 - Qiita
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表
ドラえも⚫︎で理解するCSRF - Qiita
波紋広がるGmailガイドライン、国内企業から相次ぐ利用者への「お願い」に感じる不安
BitLockerの回復キーを一瞬で奪取する激安デバイスが作り出されてしまう
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告
GitHub Actionsにおける脅威と対策まとめ
KADOKAWA、特損20億円を計上 「ニコニコの補償費用や復旧費用で」 サイバー攻撃の業績影響を発表
【特集】 LINEやSuicaなど、スマホ機種変更時の注意点まとめ。データの移行だけではトラブル確実
サーマルカメラの“顔画像”が流出 まさか残っているなんて… | NHK
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/
トロイの木馬化したjQueryがGitHubやCDN経由で拡散 米セキュリティ企業が警告
ニコニコ、N高なども影響 KADOKAWAグループに大規模なサイバー攻撃の可能性
GitHub、脆弱性のあるコードの自動修正機能発表。AIボットが修正済みコードと解説をプルリクエスト
隣の防音部屋をミリ波で盗聴、瞬時にテキスト化する技術 中国の研究者らが開発
NGINXのコア開発者が親会社と決別、新たに「freenginx」という名前でフォーク版を作成開始
ITシステムの可用性と損失を考える | 外道父の匠