ランサムウェアで「かなりの割合のアメリカ人」の医療記録が盗まれたとヘルスケア大手が公表、35億円の身代金を支払うもデータ流出を防げず損害拡大
ランサムウェアによりニコニコ動画をはじめとするKADOKAWAの複数サービスが停止するなど、ランサムウェア被害は日本の企業や機関にとっても対岸の火事ではありません。アメリカ人の3分の1の健康データを扱う医事管理システム大手・Change Healthcare(CHC)が、2024年2月に発生したランサムウェア攻撃の調査結果として、「かなりの割合のアメリカ人に関する膨大なデータ」が盗み出されたと発表しました。 Change Healthcare HIPAA Substitute Notice | Change Healthcare https://www.changehealthcare.com/hipaa-substitute-notice Change Healthcare lists the medical data stolen in ransomware attack https:
年始に勉強したい AWS セキュリティのコンテンツまとめ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか ? (挨拶 今回はタイトルの通り、時間のあるときにしっかり確認していきたい AWS セキュリティのコンテンツをまとめて紹介します。 この記事では AWS セキュリティを学習するための参考になるコンテンツをまとめますが、AWS という膨大なプラットフォームとセキュリティという広大な領域について、すべての人の需要を満たすことが難しいのは自明の理であります。コンテンツの種類もたくさんあるので以下の 5 編にまとめ、レベル感は初級者から上級者までごちゃまぜでその都度解説していくので、まずは全部眺めてから自身にあったものを選択してください。 AWS とセキュリティの基礎編 詳細を理解しようユーザーガイド編 じっくり読む課題ホワイトペーパー編 積読しないで参考書編 オフェンシブに挑戦編 コンテンツだけをババっと紹介してもいいのですが
CPUにハードウェア的な欠陥が存在することがあります。 特に有名なのはMeltdown・Falloutあたりですが、これは投機的実行という高速化機構に潜んでいたバグです。 そして2023/08/08、CPUに潜んでいた新たなバグ、Downfallが発表されました。 CVE-IDはCVE-2022-40982です。 日本語紹介記事:Intel製CPUに情報漏えいの恐れがある脆弱性「Downfall」が発見される、データやパスワードなどの機密情報が抜き取られる危険性 / インテルのチップから機密情報が流出する? 新たな脆弱性「Downfall」の脅威 / Intel、第11世代までのCPUに影響する脆弱性などに対処 影響するCPUは2015年のSkylakeから2020年のTiger Lakeまでと、かなりの長期間にわたります。 ということで以下は公式?の紹介サイト、Downfall Atta
はじめに これまでのインフラ課題の管理方法およびその課題点 それぞれのチームの要件 現在の管理方法 AWS Health Eventを用いたJIRAチケットの自動起票 Slack通知の自動化 JIRAチケットの関連付け JIRAチケットでの期限管理 現在の運用フロー SREの作業 開発チームの作業 移行してみて感じたメリット 今後の課題 さいごに はじめに こんにちは。テクノロジー本部 プロダクト開発部 SREのkoizumiです。 最近、すっかり暑くなってしまいましたね。 さて、今回はAWS Security HubやSnykで検知された脆弱性の課題項目や、AWS Healthで通知されるメンテナンス情報の管理方法ならびにその自動化について取り上げます。 弊社では、週一でプロダクトチームとのふりかえり会というものを開催しており、SLO達成状況やアラート発生状況、セキュリティ指摘項目
セキュリティ研修 〜テクニカルパート〜(サイバーエージェント新卒研修2024)
アウトプット エンジニアリング 〜 インプット偏重から脱却して飛躍するための発想 /20240621-AWS-Summit-hatano-output
Intro Chrome 126 で筆者が実装した URL.parse が Ship された。 Chromium にコントリビュートしたことは何回かあったが、単体機能を Ship したのは初めてだった。 invalid URL の処理 new URL() によって、文字列の URL をパースすることができるようになって久しいが、この API は invalid な場合に例外を投げる。 例外処理をするよりも、先に URL としてパース可能かどうかを知るための URL.canParse() が提案され、先に実装が進んだ。 URL.canParse(str) // boolean しかし、これでは二回パースが必要になるため無駄が多い。 if (URL.canParse(str)) { // 1 回目のパース return new URL(str) // 2 回目のパース } そこで、失敗したら
2024年3月29日に、圧縮ツールの「XZ Utils」に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 research!rsc: Timeline of the xz open source attack https://research.swtch.com/xz-timeline XZ Utilsおよび設置されていたバックドアについては下記の記事で解説しています。 Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール「XZ Utils」に悪意のあるバックドアが仕掛けられていたことが発覚 - GIGAZINE XZ Utilsへの攻撃を行った「Jia Tan」という名前の攻撃者は2021年後半ごろから数年に渡ってXZ
Real World HTTP 第3版 ミニ版
TOPICS 発行年月日 2024年05月 PRINT LENGTH 207 ISBN 978-4-8144-0083-6 FORMAT PDF EPUB 本書は、2017年に発行し、2024年に第3版を発行した『Real World HTTP 第3版』のエッセンスを凝縮した、無料の電子書籍です。 HTTP/1.0、HTTP/1.1、HTTP/2と、HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。 ミニ版のため、一部の内容を割愛しています。詳しくは本書の「まえがき」をご覧ください。 ミニ版の使用について ミニ版の図版やテキストは、著作権法で認められている引用の範囲に加えて、有志での勉強会、自社の社員向けの研修に用いるプレゼンテーション資料のために、全体の10~20%程
※この投稿は米国時間 2024 年 1 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。 あなたは Acme Corp という架空の会社のエンジニアで、CI / CD と自動化を用いたソフトウェアの統合と配信、データ主導型の指標およびオブザーバビリティ ツールの実装を行う大型プロジェクトに関わっているとします。しかし仲間のエンジニアの多くは、認知負荷が高すぎることで苦戦しています。Kubernetes クラスタのデプロイと自動化、CI / CD パイプラインの構成、セキュリティに関する懸念事項など、検討すべきことはさまざまです。会社の拡大と成長を支援するには、そのような課題の解決方法に関する考え方を改める必要があるとあなたは気付きます。そこで役立つ可能性があるのが、プラットフォーム エンジニアリングです。 プラットフォーム エンジニアリングは「コンピューティ
前々回の第820回では「改めてUbuntuに入門したい人向けのUbuntuサーバー講座2024」と題してUbuntu 24.04 LTSのサーバー版のインストール方法を紹介しました。もちろんUbuntuはインストールしただけで終わりではありません。豊富なパッケージ資産の利用や、自分なりの環境のカスタマイズなどを行って初めて、「Ubuntuを使う」状態になるのです。そこで今回は、Ubuntuサーバーを使い始めてまず実施するであろう定番の作業をいくつか紹介しましょう。 UbuntuのCLIを使えるようになると、他のLinuxディストリビューションやWSL、Raspberry Pi OSなど他の環境におけるハードルもぐっと下がります。その人の使い方に合うか合わないかは別にして、一度は経験しておくことをおすすめします。 図1 fastfetchでUbuntuの情報を表示した様子 SSHサーバーの
カナダのフランソワ=フィリップ・シャンパーニュ革新科学産業大臣が2024年2月8日に、多機能デバイス「Flipper Zero」の輸入、販売および使用を禁止する予定だと発表しました。 Canada to ban the Flipper Zero to stop surge in car thefts https://www.bleepingcomputer.com/news/security/canada-to-ban-the-flipper-zero-to-stop-surge-in-car-thefts/ Flipper Zeroは、電子ペット育成ゲームにRFID・無線リモコン・NFC・赤外線・Bluetoothなどさまざまな無線通信機能を合体させたオープンソースのマルチツールです。 Flipper Zeroにはほとんどの国や地域で合法的に使用できる機能しか搭載されていませんが、多機能
以下の文章は、コリイ・ドクトロウの「The antitrust case against Apple」という記事を翻訳したものである。 Pluralistic 「Macカルト(Cult of Mac)」の基本的な教義は、時価総額3兆ドル企業から製品を購入すると迫害されたマイノリティの一員になれるということであり、したがってその企業へのあらゆる批判は民族的中傷ということになるらしい。 https://pluralistic.net/2024/01/12/youre-holding-it-wrong/#if-dishwashers-were-iphones これを「Apple例外主義」と呼ぼう。ビッグテック企業の中でAppleだけが善良であり、したがってその行動は善意のレンズを通して解釈されるべきだという考え方である。この美徳の源泉は都合よく曖昧なので、Appleの罪が明らかになったとて、Ma
![メタクソ化するアップル――Macカルトと“アップル例外主義” | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/1104bd774ee83cd14eeb72bb1d28cf0ca3935fc2/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F05%2Fapple-antitrust-doj.jpg)
目次 はじめに 私について 私なりの資格取得の意味 AWS全冠を目指した理由 AWS認定について いろいろランキング 自身の軌跡 AWS未経験から推奨したいロードマップ AWS公式のロードマップ 初学者におすすめの一冊 勉強方法 最後に はじめに 先月、AWS認定資格(12種) を全て取得し、いわゆるAWS全冠を達成しました。 達成の軌跡や資格の個人ランキングなどを紹介しますので、AWS初学者や若手で全冠を目指したいという方などの参考になれば幸いです。 私について 記事投稿現在、社会人1年目 大学は情報系を専攻し、プログラミングやコンピュータサイエンスを学習 AWSに関しては、大学在籍中にCLF、SAA、SAPを取得 学部2年の終わりまでは、個人でゲーム作成やWebアプリ、スマホアプリの作成などに大半の時間を費やしており、自分でも引くくらいコード漬けの日々を過ごしていました。。 ひょんなこ
日本とアメリカの当局が「中国政府のハッカーによってCisco製ルーターなどのネットワークにバックドアが仕掛けられている」と警告
アメリカの連邦捜査局(FBI)、国家安全保障局(NSA)、サイバーセキュリティ・社会基盤安全保障庁(CISA)および日本の内閣サイバーセキュリティセンター(NISC)と警察庁が合同で、中国政府により支援されているハッカー集団「BlackTech(ブラックテック)」によるサイバー攻撃についての注意喚起を発表しました。 People's Republic of China-Linked Cyber Actors Hide in Router Firmware | CISA https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a 中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について(注意喚起) (PDFファイル)https://www.nisc.go.jp/pdf/press/2023
モダンなアプリケーションのセキュリティ対策について学んできた #AWSreInvent | DevelopersIO
はじめに こんにちは!AWS事業本部コンサルティング部の和田響です。 AWS re:Invent 2023では、ラスベガスにて現地参加していました。 この記事では、現地で公聴したBreakout Sessionの「SEC227 | Improving security through modern application development」について紹介します。 概要 In this session, explore security practices used in modern application development and how these address common security challenges found in legacy applications. Learn patterns for integrating security early in t
メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。 Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch https://techcrunch.co
こんにちは。SCSKのふくちーぬです。 皆さんは、プライベート(閉域網)環境下でのLambdaを利用したことありますでしょうか。セキュリティに厳しい環境下でLambdaを利用する場合は、VPC設定を施したLambdaを利用する機会があると思います。 今回は、インターネットに接していないVPC Lambdaの設計ポイントをお話しします。また、VPC Lambdaを実現しているAWS内の裏側もご紹介します。 VPC Lambdaとは LambdaにVPC設定を施すことで、顧客VPC内のサブネット上に足を出すことができて(ENIが作成されます)、RDS等のプライベートなリソースにアクセスをすることができます。VPC設定をするためには、VPC・サブネット・セキュリティグループが必要なため、EC2同様のネットワーク設計を行う必要があります。 VPC Lambdaをプライベートサブネット内に配置するこ
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
環境に優しい肉の選択肢として「ヘビ肉」が有望だと科学者が訴える
牛や豚などの肉は人間にとって貴重なタンパク源ですが、畜産は温室効果ガスの主要な排出源のひとつであるため、近年では環境のために肉の消費量を減らしたり、昆虫食に切り替えたりする必要があるという主張も強まっています。そんな中、オーストラリアやベトナムなどの研究チームは、牛や豚などの主要な食肉より環境に優しい代替品として「ヘビ肉」が有望であるという研究結果を報告しました。 Python farming as a flexible and efficient form of agricultural food security | Scientific Reports https://www.nature.com/articles/s41598-024-54874-4 You Should Seriously Think About Eating More Python, Scientists Sa
IDチームの前田です。最近はNeo65というカスタムキーボードを組み立てて利用しており、カスタム幅が広くTocky寄りのCreemyなしっとりコトコトとした上質な打鍵音が心地良くて仕事が捗ります。 ここから本題。 今回は社内Slackで運用していたAI Chatbotが特定の人にしか返事をしなくなってしまった話と、原因解決(アプリエラーログ分析)にAIを活用した話です。 3行まとめ 社内Slackで運用していたAI Chatbotアプリが特定の人にしか返事をしなくなった アプリ不具合調査に生成AIを活用したら、人間が調査するよりも早く原因箇所の特定が完了 社内Azure OpenAI環境を整備し、エラーログ調査業務に積極的に活用していきたい 前提情報 seratch/ChatGPT-in-Slack をForkし、Azureインフラ(Azure OpenAI + Azure Functio
日本は11万人不足「セキュリティ人材」確保の難題
400万人ーー。世界のサイバーセキュリティ人材はこれだけ不足しているという。 この試算を出したのは、サイバーセキュリティに関する資格認定などを専門とするアメリカのNPO団体、ISC2(International Information Systems Security Certification Consortium、国際情報システムセキュリティ認証コンソーシアム)だ。 毎年独自に人材調査を行っており、最新となる2023年版は、北米、ヨーロッパ、アジア、ラテンアメリカ、中東、アフリカに居住する1万4865人のサイバーセキュリティ実務者を対象にオンライン調査を実施した(日本の回答者は936人)。 今回の400万人という需給ギャップは、ISC2の試算としては過去最大の規模だ。 人材需給ギャップの増加率が最も高い日本 日本も約48万1000人と前年から23.8%人材が増加した一方、需要は59万1
Network Load Balancer (NLB) がセキュリティグループをサポートして何が嬉しいのか整理してみた | DevelopersIO
うおおおおおおおおお!!! ってなったけどなんで歓喜しているんだっけ? こんにちは、のんピ(@non____97)です。 皆さんはNetwork Load Balancer (以降NLB) にセキュリティグループをアタッチしたいなと思ったことはありますか? 私はあります。 本日8/11についにサポートされましたね! 早速、偉大な先人がアップデートをまとめてくれています。 細かい仕様は以下AWS公式ドキュメントにも記載があります。 うおおおおおおおおおおおおお!!! という感じで目が覚めたのですが、なぜ私はこんなに歓喜しているんでしょうか。 この感情を言語化してみました。 いきなりまとめ クライアントIPアドレスを保持する場合、NLBを介さずに直接アクセスされるのを防ぐことが簡単になった 従来はターゲットのセキュリティグループでクライアントのIPアドレスからの許可をする必要があったため、NL
本記事は 基盤デザインウィーク 9日目の記事です。 🌈 8日目 ▶▶ 本記事 ▶▶ 10日目 💻 はじめに 前提(取得資格と実務年数) 役立った点 混乱した点 まとめ 最後に はじめに はじめまして。基盤デザイン事業部の木下です。クラウドエンジニアとしてお客様環境の運用業務を担当しています。 私はこれまでAWSで構築されたシステムを担当していましたが、Google Cloudに触れる機会が増えてきたため、資格取得と合わせて勉強を進めています。 そこで今回はGoogle Cloudの勉強や資格取得時に、AWSの経験が役立った点と逆に混乱した点について、個人の感想にはなってしまいますが書いていこうと思います。 前提(取得資格と実務年数) AWS 実務年数 7年 取得資格 AWS Certified Solution Architect Associate AWS Certified Dev
CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について - セキュリティ事業 - マクニカ
CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について 7月19日に発生しましたWindowsを搭載したパソコンでの全世界的なシステム障害につきまして、CrowdStrike社(以下CS社)のセキュリティソフトFalcon Sensorのアップデートに起因する障害であると、同社から連絡を受けております。マクニカでは、CS社の国内販売代理店として、本障害に関する情報を入手し次第、弊社ホームページ上にてご報告してまいります。 すでに、CS社からは、問題の原因は突き止め、復旧とお客様へのサポートに全力を尽くしていると報告を受けています。弊社でも、現在、ご契約のお客様の業務が復旧するよう全力でサポートに当たっております。お客様、販売パートナー様におかれましては、下記を参考の上、ご不明な点等ございましたら、弊社問い合わせ先までご連絡いただけますよう、ご
[エルサレム 14日 ロイター] - イスラエルのネタニヤフ首相は14日、イランが発射した300超のドローン(無人機)とミサイルのほぼ全てを撃墜したと国軍が発表したことを受け、勝利を収めると表明した。 イランは13日、今月初めにシリアの首都ダマスカスにあるイラン大使館周辺がイスラエルによるとみられる攻撃を受けた報復として、イスラエルにドローンとミサイルを発射。中東地域の紛争が拡大する懸念が高まっている。 もっと見る イスラエルのネタニヤフ首相(写真)は14日、イランが発射した300超のドローン(無人機)とミサイルのほぼ全てを撃墜したと国軍が発表したことを受け、勝利を収めると表明した。写真はエルサレムで2月撮影(2024年 ロイター/Ronen Zvulun)
カードキーシステムに存在する脆弱(ぜいじゃく)性を悪用してロックを解除する攻撃手法「Unsaflok」が発表されました。Unsaflokの攻撃対象となるカードキーシステムは日本を含む世界中のホテルで使われており、300万枚以上のドアが攻撃の影響を受けるとされています。 Unsaflok | Unsaflok is a series of serious security vulnerabilities in the Saflok brand of hotel locks. https://unsaflok.com/ ◆Unsaflokで解錠可能なドアの種類 Unsaflokはdormakaba製のカードキーシステム「Saflok」を対象とした攻撃手法です。Saflokを採用したカードキーシステムは複数の種類が存在していますが、すべてのSaflok採用システムが攻撃の対象となっています。 S
SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めてインジェクションに触れる方にとっては、インジェクションの実例や基本的な考え方に触れることができ、その全体像を把握する助けになるかと思います。 また、既にいくつかのインジェクション手法を知っている方にと
EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。
In this post I will hopefully detail my entire home network. Some of this has been in separate posts explaining single items, but nowhere do I have all of the network in one post with all the changes since last year. Here is a full shot of the rack in my house. Its in a centrally located closet which happens to have a 2ft x 2ft chase into the attic, which is very handy for running network cables.
GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回の記事ではその脆弱性に関して解説を行います。 なお、本記事で解説している脆弱性はGitHub Bug Bountyプログラムのセーフハーバーに則り行われた脆弱性調査の結果発見され、公開を行う許可を得たものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHubが開発するプロダクトやサービスに脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 GitHub Enterprise Im
株式会社クラウドネイティブは、Azure OpenAIで自組織専用のChatGPTの構築を支援するサービスを展開しています。ChatGPTとAzure AD OpenAI Serviceの取り組みや事例、支援… IDチームの前田です。今日は生成AI(ChatGPT)と音声認識モデル(Whisper)を利用した会議アシスタントツールに関する投稿になります。 (追記) 作ったツールはGitHub上で公開しており、Dockerを利用してすぐに試せるようになってます。 https://github.com/cloudnative-co/mtg-ai-assistant 2023年8月30日現在Azure OpenAIにてWhisperが利用出来ていないため、OpenAI Whisper APIを利用した試験段階のものになります。近日中にAzure OpenAIにてWhisperが利用出来るとアナウ
こんにちは、セキュリティチームでソフトウェアエンジニアをしてる@sota1235です。 明けましておめでとうございます!本年も10X Product Blogを何卒よろしくお願いします。 さて、今回はセキュリティチームで今年の6月ごろから取り組んできたGitHub Dependabot Alertの削減についてお話しします。 サマリーとしては以下です。 今年の6月頃から取り組みを開始 初期はセキュリティチームで毎日トリアージ、泥臭くAlertの対応を行う 主要なRepositoryのAlertは一通り解消、一部は担当チームへの移譲等を行い継続的に維持できる状態へ 結果として半年間で500件弱のAlertをcloseし、残ってるAlertも対応方針が全て確定した状態になりました。 この数が多いか少ないかはソースコードの規模感にも依存するので言及しませんが、この記事では小さいリソースで取り組み
EngineeringUpgrading GitHub.com to MySQL 8.0GitHub uses MySQL to store vast amounts of relational data. This is the story of how we seamlessly upgraded our production fleet to MySQL 8.0. Over 15 years ago, GitHub started as a Ruby on Rails application with a single MySQL database. Since then, GitHub has evolved its MySQL architecture to meet the scaling and resiliency needs of the platform—includi
Intel製CPUに情報漏えいの恐れがある脆弱性「Downfall」が発見される、データやパスワードなどの機密情報が抜き取られる危険性
Intelは2023年8月8日に、同社が2015年から2020年に販売したCPUに新たな脆弱(ぜいじゃく)性が見つかったことを報告しました。「Downfall」と呼ばれるこの脆弱性は、攻撃者に悪用されるとデータや機密情報が抜き取られる恐れがあるとされています。 INTEL-SA-00828 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html Downfall https://downfall.page/ ‘Downfall’ vulnerability leaves billions of Intel CPUs at risk | CyberScoop https://cyberscoop.com/downfall-intel-cpu-vulnerability/ Int
はじめに Windows NT は最初のバージョンから POSIX 準拠です。当時の POSIX で標準化されていた POSIX API を実装しており NIST が POSIX 準拠であると認めています。その資料も公開されています。 NIST(National Institute of Standards and Technology)とは、アメリカ合衆国の連邦政府機関の一つで、科学技術に関連する標準についての研究などを行う機関。主に度量衡や計測・計量についての標準を管理したり、関連する科学研究や技術開発を推進している。1988年に前身のNBS(National Bureau of Standards:国立標準局)から改組された。 いつの間にやら某所の Windows に関する POSIX の説明があまりにも酷いデタラメな内容に書き換えられていたので、ここに「1993年から Window
悪意のあるURLが含まれていないかを分析するurlscan.ioやマルウェア分析ツールのHybrid Analysis、URLのセキュリティ・パフォーマンス・テクノロジー・ネットワークなどを分析するURL Scannerなど、URLが悪意のあるものか否かを調べるための無料ツールが存在しています。こういったツールに非公開のプライベートなURLが入力されており、誰でもアクセスできる状態になっていると、エンジニアのvin01さんが指摘しました。 You can not simply publicly access private secure links, can you? | Vin01’s Blog https://vin01.github.io/piptagole/security-tools/soar/urlscan/hybrid-analysis/data-leaks/urlscan.
アジャイル開発で役立つセキュリティプラクティス / Agile Security Practice
RSGT2024の発表資料です!
匿名通信プロトコルのTorは、ウェブサイトにアクセスしたりメールを送信したりする際の通信経路を秘匿し、インターネット検閲の厳しい国や地域に住むユーザーが検閲を回避するために利用できます。そんなTorを手がける非営利組織のTorプロジェクトが、Torネットワークを標的とした検閲を回避するための新しいブリッジである「WebTunnel」のリリースを正式発表しました。 Hiding in plain sight: Introducing WebTunnel | The Tor Project https://blog.torproject.org/introducing-webtunnel-evading-censorship-by-hiding-in-plain-sight/ Tor Project | WebTunnel Bridge https://community.torproject
NTTグループは2024年3月8日、NTT西日本子会社のNTTマーケティングアクトProCXで個人情報が流出した問題を受け、再発防止を徹底する考えを示した。 不正に持ち出されたのは、NTTマーケティングアクトProCXにテレマーケティング業務を委託していた一部クライアントの情報だったが、後にNTTドコモのユーザー情報が含まれていることが発覚した。 →ドコモユーザーの個人情報流出 NTT西日本子会社の元派遣社員が不正持ち出し →NTT西日本子会社で約900万件の個人情報流出 元派遣社員が不正持ち出し NTTが2023年11月7日に開催した記者向けの決算説明会では、島田明社長が「業務においてUSBメモリの使用を原則禁止していたが、一切禁止にしていく必要がある。例外的に使わざるを得ない場合は許可を取るようにしていく」ことを明らかにした。 NTTグループCISO(Chief Information
Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対する複数の脆弱性を報告しました。 本日(2024/04/09(訳者注: これは英語版記事の公開日です))、影響を受けるベンダーがこれらの脆弱性に関するアドバイザリーを公表しました。 その影響は限定的なもののCVSSスコアは非常に高く、混乱が予想されるため、脆弱性に関する詳細を本記事にまとめます。 はじめに TL;DR CVSSスコア 技術詳解 根本原因 CreateProcessのラッパー cmd.exeのパース規則
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IntelのCPUに発覚した新たな脆弱性、Downfallについて - Qiita
クラウドインフラにおける脆弱性およびメンテナンス情報等の管理・自動化について - Gunosy Tech Blog
URL.parse を Chromium で Ship するまで | blog.jxck.io
XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ
How to become a platform engineer | Google Cloud 公式ブログ
第822回 CLIだけでUbuntuを使いたい人向けのUbuntuサーバー講座2024 | gihyo.jp
たまごっちっぽい多機能デバイス「Flipper Zero」をカナダ政府が禁止へ、自動車の盗難急増への対策で
メタクソ化するアップル――Macカルトと“アップル例外主義” | p2ptk[.]org
新卒5か月で転職し、AWS全冠を達成した話 - Qiita
2段階認証アプリAuthyの3300万ユーザー分の電話番号がサイバー犯罪者に盗まれる
VPC Lambdaを実現しているAWS内の裏側と設計の心得三箇条
社内SlackのAI Chatbotが特定の人にしか返事をしなくなりスカイネット爆誕5秒前
AWSの経験がGoogle Cloudで役立った点と混乱した点 - NRIネットコムBlog
イスラエル首相「勝利する」と表明、軍がイランの攻撃99%撃退
ホテルのカードキーをハックして扉を数秒で解錠する攻撃手法「Unsaflok」が発見される
【緊急寄稿】全銀システム障害に日本全体が向き合うべき理由──“切り戻しできなかった”背景にあるもの
My Overkill Home Network - Complete Details 2023
生成AIと音声認識を組み合わせて会議アシスタントツールを作ったら生産性が大幅に向上した話
GitHub Dependabot Alertを愚直に潰し込んだ話 - 10X Product Blog
Upgrading GitHub.com to MySQL 8.0
1993年から Windows は POSIX 準拠だという話 - Qiita
機密情報を共有するためのURLが分析ツールに入力されることで情報漏えいにつながりまくっていることが明らかに
Tor接続の検閲を回避するためにHTTPS接続を模倣するブリッジ「WebTunnel」のリリースが正式発表される
NTT、各社ごとに重要情報漏えい対策を推進 「USBメモリの使用禁止」も