近代史上最悪となった、中国による防衛省ネットワークへの侵入事件 時代遅れで対応の鈍い日本政府のシステムは美味しすぎる標的 | JBpress (ジェイビープレス)
米紙ワシントン・ポストは8月7日、元米政府高官ら日米両政府の関係者への取材をもとに、中国人民解放軍のハッカーが日本の防衛省の機密情報を扱うネットワークに「深く、持続的にアクセスをしていた」と報じた。 その報道内容は次のようなものだった。 「米国家安全保障局(NSA)が2020年秋に察知し、マット・ポッティンジャー大統領副補佐官とポール・ナカソネNSA長官が東京を訪問し、『日本の近代史で最も深刻なハッキングの一つだ』と日本側に警告した」 「ただ、その後の日本側の対応が十分でなかったことから、2021年11月にはアン・ニューバーガー米国国家安全保障担当副補佐官が来日し対策を促した」 「また、米サイバー軍は被害の確認や中国のマルウエア除去に向けた支援を提案した」 「しかし、日本側は自国の防衛システムに『他国の軍』が関与することに警戒感を示し、日米双方は日本が民間企業にシステムの脆弱性を評価させ、
115人の参加者を対象に、1~9までの数字を使って300桁のランダムな数列を2回生成してもらう実験を行った。参加者には、数字の出現頻度ができるだけ均等になるよう意識しながら、なるべく予測不能な数列を生成するよう求めた。 そして、2つの数列の類似度を定量化する独自の手法を用いて分析したところ、わずか300桁の数列だけでも、同一人物が生成した数列と、別人が生成した数列を、96.5%の高い精度で見分けられることが分かった。 この現象は、個人によって好む数字の並びや、避ける数字の並びが異なることに起因しており、1週間後に再度実験を行っても、その傾向は変わらなかった。つまり、数列に現れる規則性は、その人固有の認知的な「指紋」のようなものだといえる。 また、この個人差が、単なる認知能力の違いでは説明できないこと、また、個人になじみ深い数字の並び(電話番号や郵便番号、生年月日など)が影響しているわけでも
【読売新聞】 今年2月に実施された早稲田大(東京都新宿区)の一般入試で、試験問題が眼鏡型の電子機器「スマートグラス」で撮影され、試験時間中にSNSで流出していたことがわかった。警視庁は近く、不正に解答を得るために問題を外部に送信した
先月の生産指示システムの不具合について | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト
先月末の生産指示システム不具合により国内工場の稼働が停止し、お客様および仕入先、関係先の方々にご迷惑をお掛けしましたことを、お詫び申し上げます。 今回のシステム不具合は、部品の発注処理を行う複数のサーバーの一部が利用できなくなったことで発生しました。経緯としては、不具合発生の前日8月27日に定期の保守作業を実施しました。この保守作業では、データベースに溜まったデータの削除と整理を行っておりましたが、作業用のディスク容量が不足していたためエラーが発生し、それによってシステムが停止いたしました。これらのサーバーは、同一のシステムで作動していたため、バックアップ機でも同様の障害が発生し切り替えができず、工場の稼動停止に至りました。その後、8月29日に容量の大きいサーバーにデータを移管したことで、システムが復旧し、工場稼働を再開いたしました。この度、再現検証によって、上記が真因・その対策となること
Development Division/Platform Team/Sys-Infra Unitの伊豆です。Sys-Infra Unitはインフラエンジニア・SRE 的な役割を担っています。 今回は、ある日突然SSHログインが遅くなったときに調査した内容を共有します。 SSHログインに数分かかる ある日、AWS EC2上で動いている開発環境のSSHゲートウェイにSSHログインすると30秒以上かかると報告がありました。-vvvオプションを指定してSSHログインしてみるとpledge: filesystemというログが出力された後、数十秒から数分程度かかってSSHログインが成功する状況でした。 pledge: filesystemやssh slowなどで検索してみると、主に以下のような対処法が挙げられていましたがどれを試しても状況は改善されませんでした。 systemd-logindを再起動
2001年にリリースされたWindows XPは、2014年4月に延長サポートが打ち切られてから記事作成時点で10年が経過していますが、要求スペックの低さや安定性などから根強く支持されており、2022年に公開されたレポートではWindows 11に匹敵するシェア率だったと報告されています。そんなWindows XPをファイアウォールを切った状態でインターネットに接続した動画をYouTuberのエリック・パーカー氏が公開したところ、投稿から約10日で45万回も再生されました。 What happens if you connect Windows XP to the Internet in 2024? - YouTube Idle Windows XP and 2000 machines get infected with viruses within minutes of being ex
maro(元:ズル賢い母ちゃん) @mama_work_hard 中高生の保護者さんへ。 LINEの管理、マジで気を付けて。 何なら一度ちゃんと見てみた方が良い。 娘、知らん男と連絡を取っていた。 しかも、他の同級生も何人か知らん異性と連絡を取っている事が発覚。 今、心臓がバクバクしている。 何でこんな事に。 追って進捗を報告する……かもしれない。 2023-10-05 19:33:40 maro(元:ズル賢い母ちゃん) @mama_work_hard 中2♀&小5♂を相手に、日々誤魔化しながら母ちゃんやってます。夫のご家族と同居もしている。仕事もしている。地域貢献にも励んでいる。いや、違う。頼まれると断れないだけ。母ちゃんになる前は仕事大好き人間。心理学を少々学んでいた。人が好き。とても好き。とにかく好き。大好き。 note.com/maro_029 maro(元:ズル賢い母ちゃん) @
鈴木うどんみ @_udonchan_ 弊社の標的型メールの訓練、「京急が運賃改定したから出張旅費入れ直せ」って社内システムのフォーマットできて、しかもリンクがhtmlメールでURL偽装されており、当然引っかかった人が続出したんだが、いくらなんでも本気出し過ぎだと思う。あれはずるいわ。 2023-12-16 17:31:22
よろづのかるみ @calmicco 今「月50万円稼げるぜ」と勧誘されて海外へ出稼ぎに行こうと思ってる人は、たぶんブローカーのカモになるだけなので気をつけた方がよきだと思う。「まずはご自身の身元保証金で200万円準備してください」「渡航手続きおよびなんとか代行でプラス100万円」「大丈夫ですあちらで稼いだらスグ返せますから 2024-03-19 08:48:21 ツイ鳥「ジョージ=コクム」(森に入ったのですが怪物もおらず、ツイ鳥だけがいました。赤字貿易経営者! @_596_ ツイ鳥は丸く青く、羽のない巨大な鳥の姿をした鳥です。ツイ鳥は多くの目でずっと遠くまで見渡すことができ、侵入者を捜して森を守っていました。ある日、誰かが尋ねました。『もし夜に怪物が来たらどうしよう?』ツイ鳥「ジョージ=コクム」巷では「毒の鳥」と言われている方いましたがきっと別の鳥です。輸出入業経営者の貿易業者兼ライター。
海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。 そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。 調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。 なお、今回解説されている内容は正規の「jQuery」へ今回のトロイの木馬が紛れ込んでいるのではなく、 悪意のあるユーザ
渋谷100台プロジェクト | IDEA(イデア)
プロジェクトの背景 Intelligence Design 株式会社では、これまで渋谷のセンター街、宮下パークなどに、商業施設や交通管理会社と連携し、AIカメラを設置してきました。(センター街の映像はこちら) 今回、人流データを複合的に可視化、分析することにより、 マーケティングや防犯における新たな視座の獲得や、データ利用価値を模索するべく、渋谷駅周辺の広域に100台のAIカメラを設置します。
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口【2023編集部セレクション】 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
メールが送られたのは8月30日午後2時ごろ。本文の出だしは「お客さまの口座の入出金を規制させていただきましたので、お知らせします。本人確認後、制限を解除することができます」(原文ママ)とした上で、このような文面で偽のログイン画面へ誘導するメールが急増していると説明。これらのリンクには絶対アクセスしないように訴えている。 メール本文下部には「詐欺被害防止を目的として、詐欺メールの実態をより一層ご理解いただくために、実際の詐欺メール同様の文言を一部に記載しております」(原文ママ)の記載も見られる。 このメールはX(元Twitter)上でも話題に。受け取ったユーザーからは「肝が冷えたので、ちゃんと注意しようと思った」「メールが秀逸すぎる」などの肯定的な声や、「紛らわしい」「このメールを考えた人は2時間正座してほしい」などの否定的な意見も上がった。これを受け、午後4時20分ごろには「三井住友銀行」
開かれたインターネットを目指すソフトウェアエンジニアらによって組織された非営利団体・Open Web Advocacy(OWA)が、ユーザーの目が届かない場所でセキュリティやプライバシーを大きなリスクにさらすアプリ内ブラウザについて提言しました。 In-App Browsers: The worst erosion of user choice you haven't heard of - Open Web Advocacy https://open-web-advocacy.org/blog/in-app-browsers-the-worst-erosion-of-user-choice-you-havent-heard-of/ 以下のムービーでは、OWAが危惧しているアプリ内ブラウザの問題点がアニメーションでわかりやすく解説されています。 Open Web Advocacy - In-
ラブグラフ 開発インターンの arawi です。 今日は僕の大好きな GitHub CLI から認証の話をしていきます。 GitHub CLI は超便利です!今すぐ入れよう! TL;DR gh auth login で GitHub CLI を認証できる その過程で SSH key が必要なら GitHub CLI が作ってアップロードしてくれる GitHub CLI とは GitHub CLI は GitHub 謹製のコマンドラインツールです。 CLI 上で Repository, Issue, Pull Request への操作など、様々なことを行なうことができます。 超便利なので今すぐ入れるべきです。HomeBrew なら以下のコマンドで入ります。 詳しくはこちら:https://docs.github.com/ja/github-cli/github-cli/about-githu
社内で検知された悪性通信を調査したらドメインパーキングだった話 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
米Googleは10月3日(現地時間)、Gmailユーザーをスパムから守る対策の一環として、メールの一括送信者に対する新たな要件を設けると発表した。 一括送信者とは、アカウントに1日当たり5000件以上のメールを送信するユーザーを指す。 まず、メール内に1クリックで購読解除できるボタンを設置することを義務付ける。送信者は、解除ボタンがクリックされてから2日以内に対応することが求められる。この要件はオープンスタンダードに基づいて構築されており、Gmail以外のメール受信者も恩恵を受けられるとしている。 また、GoogleはGmailヘルプの一括送信者向けのページ「一括送信ガイドライン」を更新し、メールの認証要件についての説明を追加した。メールが迷惑メールに分類されないように、ドメインに対して認証を設定する必要があるというものだ。 一括送信者は、2024年2月までにこれらの要件を満たすことが義
PHPの脆弱性(CVE-2024-4577)を狙う攻撃について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。 そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
カオナビ子会社で、3月に約15万人分のユーザー情報漏えいを発表したワークスタイルテック(東京都港区)は5月31日、漏えいした情報の中にクレジットカードやデビットカードの情報が含まれることを発表した。調査の結果詳細が分かったとして、当初発表した漏えい件数も変更した。 ワークスタイルテックは当初、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像など16万2830人分の情報が2020年1月5日から24年3月22日にかけて外部から一時閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたと発表していたが、これを修正。 正しくは、顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDF
ファイアウオールの開発者として著名なNir Zuk(二ア・ズーク)氏は、今は攻撃者の侵入を前提としたセキュリティー対策の強化に注力しているという。こうした変化の背景、現在のSOC(セキュリティー・オペレーション・センター)の課題、AI(人工知能)を活用した今後のセキュリティー対策などについて同氏に聞いた。 ズーク氏は1990年代にセッション情報を管理するステートフルインスペクション方式のファイアウオールを発案したことで知られる。同氏はその後、次世代ファイアウオール(NGFW)を標榜するセキュリティー・ベンダー、米Palo Alto Networks(パロアルトネットワークス)を創業して長年CTO(最高技術責任者)を務めてきた。つまり企業ネットワークの境界において、サイバー攻撃を水際で防ぐ製品についてはプロ中のプロなのだが、近年は既に攻撃者が社内に侵入していることを前提とした防御策を重視して
JSON Canvas
An open file format for infinite canvas data. Infinite canvas tools are a way to view and organize information spatially, like a digital whiteboard. Infinite canvases encourage freedom and exploration, and have become a popular interface pattern across many apps. The JSON Canvas format was created to provide longevity, readability, interoperability, and extensibility to data created with infinite
概要 本稿は、クラウド内の仮想マシン (VM) サービスに対する潜在的な攻撃ベクトルを特定・緩和するための戦略について解説します。組織はこの情報を使って、VM サービスに関連する潜在的リスクを理解し、防御メカニズムを強化できます。この調査では、Amazon Web Services (AWS)、Azure、Google Cloud Platform (GCP) という 3 つの主要クラウド サービス プロバイダー (CSP) が提供する VM サービスを中心に取り上げます。 VM はあらゆるクラウド環境で最も利用数の多いリソースの 1 つで、その多さがゆえに、攻撃者らの主要な標的にされています。私たちの研究からは、インターネットに公開されているクラウドホストの 11% には、深刻度が「緊急 (Critical)」または「重要 (High)」と評価される脆弱性があることがわかっています。 V
「NTTを騙った特殊詐欺電話がかかってきたが、なかなか巧妙なシナリオだったのでレポートを書いてみました」→自分はここで気付いた、という報告が次々上がる
リンク www.ntt-finance.co.jp NTTファイナンスを装った特殊詐欺にご注意ください! | NTTファイナンス株式会社 「NTTファイナンス」を名乗り、電話(自動音声)やショートメッセージ(SMS)で未納料金が請求されるなどの詐欺が急増しています。決して応じず、最寄りの警察署、国民生活センターへご相談ください。詐欺の手口などをご紹介します。 1 user 648
LINEヤフー、総務省も呆れ果てた「変わらぬ体質」
「行政指導でここまで踏み込んだ文書は、あまり見たことがない。次こそは許しませんよ、というメッセージだろう」 総務省は3月5日、SNS「LINE」や検索サービス「Yahoo! JAPAN」などを運営するLINEヤフーに行政指導を行った。その指導内容を記した文書を見た通信業界関係者は、驚きの声を上げた。 LINEヤフーは2023年9~10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩させていた。総務省はこのうち2万件以上が電気通信事業法上の「通信の秘密」の漏洩に当たると判断した。 具体的な指導項目として、LINEヤフーの親会社に50%出資する韓国のIT大手、NAVERとのシステムの切り離しや、グループ全体のセキュリティガバナンス体制の強化などを要請。その取り組み方針などを4月1日までにとりまとめたうえで、今後少なくとも1年間は、四半期ごとに総務省に対応状況を報告することを
富士通Japanは4月16日、住民票のコンビニ交付システムで証明書が誤交付されたと発表した。香川県高松市で申請者とは異なる住民の住民票が発行されたという。同社のコンビニ交付システムでは、2023年にも複数回の誤交付が発生していた。 高松市では1月4日から、富士通Japanのコンビニ交付システム「Fujitsu MICJET コンビニ交付」を導入していた。しかし、コンビニ交付サービスの項目でシステムの設定ミスがあり、4月4日に別人の住民票が誤交付される事象が発生した。 富士通Japanは誤交付の原因について「複数サーバでシステムを構成している高松市向けに、本来はその構成に応じたプログラムを適用すべきところを、誤って単一サーバ構成向けのプログラムを適用していたことによるもの」と説明。16日時点では既に正しいプログラムを適用し、正常に動作することを確認したという。また、同システムを利用する全ての
国連スタッフ、奇襲関与か 米、資金拠出一時停止 | 共同通信
イスラエル軍戦車の攻撃で破壊されたUNRWAの建物=26日、パレスチナ自治区ガザ南部ハンユニス(ゲッティ=共同) 【エルサレム、ワシントン共同】国連パレスチナ難民救済事業機関(UNRWA)は26日、複数のスタッフが昨年10月7日のイスラム組織ハマスによるイスラエル奇襲に関与した疑いがあるとして、契約を打ち切り、調査を開始したと発表した。UNRWAはパレスチナ自治区ガザで人道支援に携わる。米国務省は疑惑を受け、UNRWAへの資金拠出を一時的に停止した。 国務省によると、スタッフ12人が関与を疑われている。UNRWAはイスラエル当局から情報提供を受けて調査を決定。ラザリニ事務局長は「テロ行為に関与したスタッフは、刑事訴追を含め責任を問われる」と強調した。 イスラエルのガラント国防相は「人道支援を装ったテロは国連の恥だ」と非難した。国連はガザでの「過剰な攻撃」を批判し、イスラエルとの対立が深まっ
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告 2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。 Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
「すれ違ってびっくりしたけどこれか!」となった人もいる模様。怪奇現象か?と漏らす人と事故に遭う人を減らすためにまとめています。
大田区は4月17日、2023年10月に発生したシステム障害の検証結果を公開し、システムの運用・保守を担っていたNECに対し損害賠償金486万8437円を請求すると発表した。障害の原因はNECによる情報共有の不足と結論付けている。同社も結果や損害賠償に同意しているという。 障害が発生したのは、23年10月9日から10日未明にかけて。システムを構成していたSSD3台がほぼ同時に故障し、データが全損して使用できない状態になった。これにより、大田区の住民記録システムや国保年金システム、税務システムなどが影響を受け、18日の完全復旧まで、区の業務に支障をきたした。 大田区は障害の原因について、SSD3台の同時故障を想定していないシステム構成にあったと説明。「システム基盤は19年に構築し、構築当時からSSDの故障について2本までは耐えうる構成をとっていたが、今回はその想定を大幅に上回る障害が発生したた
この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。 とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。 パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。 先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。 パスキーは2要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため
【読売新聞】 マイナンバーカードの偽造が相次いで発覚している。不正対策による「信用」で本人確認時のチェックが甘くなり、悪用につながっているとみられ、SNSでは1万~2万円で流通しているという。中国籍の被告が取材に応じ、偽造の実態を証
中国で買ったAndroidスマホ、個人情報がダダ漏れだった…2024.05.12 16:35228,946 Lucas Ropek - Gizmodo US [原文] ( 禿頭帽子屋/Word Connection JAPAN ) 2023年3月3日の記事を編集して再掲載しています。 中国の国内で販売されているハイエンドのAndroidデバイスを使っていると、至るところで個人情報を抜き取られてしまう――そんな新しい研究結果が発表されました。 通知も同意もないままデータが収集され、ユーザーは常時トラッキングされたり、身元がたやすく明かされたりする恐れがあるとのこと。個人情報保護の点ではまるで悪夢のようだ、と指摘されています。 中国の人気メーカーが対象複数の大学のコンピューター科学者が発表した研究によると、この問題が明らかになったのは、XiaomiやOnePlus、Oppo Realmeなど中
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。 オンラインストレージサービス「Dropbox」を利用したビジネスメール詐欺(BEC)が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年9月の最初の2週間だけで、このような攻撃が5440件も発生した。Dropboxをどのように悪用しているのだろうか、どうやって防げばよいのだろうか。 そもそもDropboxが悪いのだろうか 攻撃の手口は3段階に分かれる。まず攻撃者が無料のDropboxアカウントを作成する。 次に危険性のない文書を作成して、関係者のふりをして攻撃対象(ユーザー)と共有する。最後に狙われたユーザーにDropboxから「共有したコンテンツを誰かがクリック
【バックエンド】駆け出しエンジニアが目指すジュニアレベルのエンジニアとは【2024年版】 - Qiita
はじめに こんにちは。 普段はフロントエンドの開発をメインでやっておりますmamiと申します。 最近バックエンドの方の勉強や、少しずつですがDB設計やAPI作成などの業務もやらせてもらえるようになったので、自分のエンジニアとしてのレベル感や、この先目指すべき道筋を明確にしたいな〜という思いでこの記事を書いております。 これは自分のための記事であると同時に、同じように駆け出し中のエンジニアさんや、ミドル層を目指す手前のエンジニアさんにも刺さる内容になっているかと思います。 今、自分がどのようにキャリアアップしていくべきなのか、どのような道筋でスキルを磨いていけばいいのか。そんなふうに悩んでいる方は是非読んでみてください。 ※内容はバックエンドエンジニアが対象になりますが、フロントエンドの方もなにか通じるものがある…かもしれません。 ちなみにですがフロントエンドの方の記事は下記で執筆しています
日本一のつまようじ生産量を誇る大阪・河内長野市で、数少ない純国産つまようじを製造・販売する菊水産業さん 菊水産業株式会社【公式】(国産つまようじ屋) @kikusui_sangyo 大阪府河内長野市の地場産業【つまようじ】の会社🤭一般的な形の国産つまようじ製造(全国で残り2社)地元では最後の一社。国産黒文字楊枝(手作業製作)も…中の人→四代目跡継ぎ。職人でもあり多数TV出演あり、つま子の保護者⚠2021/10/9火災被害で会社全焼再建頑張ってます。 lit.link/kikusuisangyo リンク 菊水産業株式会社 菊水産業株式会社 代表取締役就任の約1か月後の2021/10/09に、会社がもらい火による火災に合いました。事務所、作業場、倉庫が全焼し商品も在庫も燃えました。 地場産業を守るため再起のスタートとしてクラウドファンディングを行いました。沢山のご支援本当にあり
米UIUC(イリノイ大学アーバナ・シャンペーン校)に所属する研究者らが発表した論文「LLM Agents can Autonomously Hack Websites」は、大規模言語モデル(LLM)を用いたAIエージェントに、自律的にWebサイトをハッキングさせる攻撃手法を提案した研究報告である。LLMエージェントがWebサイトに存在する脆弱性を事前に知らなくても、自動検知してのハッキングが可能となる。 ▲自律型LLMエージェントを使ったWebサイトのハッキングの模式図 keyboard_arrow_down 研究内容 keyboard_arrow_down 研究結果 Webサイトを自律的にハッキングするようLLMエージェントを活用するには、エージェントのセットアップと、目標に向けてのプロンプトによる指示という2つのステップが必要である。エージェントによるハッキングでは、関数呼び出し、文書
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
数字300桁を適当に言う→数列から96%以上で誰が言ったか特定 数列には個人の「クセ」が現れる
早稲田大の入試中に問題がSNSで流出…「スマートグラス」で撮影、受験生を容疑で書類送検へ
SSHログインの失敗が大量に記録されているとSSHログインが極端に遅くなる - Repro Tech Blog
20年前のOS「Windows XP」を丸腰でインターネットに放り込むとこうなる
中学生の娘がLINEで知らない男と連絡をとっていたので、LINEの管理はマジで気をつけた方がいい
攻撃メールの訓練を会社でやったが、いくらなんでも本気出しすぎで引っかかる人が続出「ハンター試験?」
「月50万円稼げる」と勧誘されて海外に行こうとしてる人、取り返しのつかない恐ろしい被害が横行してるから気をつけて
米国防総省が “日本の隠蔽” にキレた! 防衛省から盗まれた「台湾有事迎撃計画」犯人は人民解放軍32069部隊(SmartFLASH) - Yahoo!ニュース
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
【重要・緊急】入出金を規制しました──“詐欺っぽい”三井住友銀行のメールが話題 一体なぜ? 経緯を聞いた
「TikTokは事実上のキーロガー」と専門家、知らないうちにユーザーを侵害する「アプリ内ブラウザ」の脅威とは?
俺たちはもう GitHub のために ssh-keygen しなくていい
Google、Gmailスパム対策で一括送信者に購読解除ボタン設置を義務付けへ
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
マイナンバー画像など15万人分漏えいの労務クラウド、クレカ情報も流出していた
もう外部侵入を防ぐのは無理、著名ファイアウオール開発者がSOC自動化を進める理由
GCP、AWS、Azure 別に見るクラウド VM への攻撃経路まとめ
富士通Japan、“コンビニ交付”でまたまた誤交付 同社は謝罪 「全力を挙げて再発防止」
【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)
夜道でのヒヤリハット『そこに人いたのか!』→ワークマンの"究極"を手に入れて、歩く天才になろう!「変身の光かよ!」
大田区、NECに賠償金480万円を請求 10月のシステム障害巡り SSD3台の同時故障想定できず
パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
マイナカード偽造「1枚5分、技術や準備は不要」中国籍の女証言…本人確認に目視のみ多く悪用拡大
中国で買ったAndroidスマホ、個人情報がダダ漏れだった…
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
「Dropbox詐欺」が始まった どうやって防げばよいのか
転売ヤーの「無在庫転売」「相乗り出品」に遭った国産つまようじメーカーの菊水産業さん。四代目社長による3日間の転売対策の記録
「会社にAmazon Echoを持って行ったら、Wake on LANのハードルが一気に下がった!」――急遽テレワークを導入した中小企業の顛末記(165)【急遽テレワーク導入!の顛末記】
GPT-4にWebサイトを“自律的に”ハッキングさせる方法 AI自身が脆弱性を検出、成功率70%以上【研究紹介】