米UIUC(イリノイ大学アーバナ・シャンペーン校)に所属する研究者らが発表した論文「LLM Agents can Autonomously Hack Websites」は、大規模言語モデル(LLM)を用いたAIエージェントに、自律的にWebサイトをハッキングさせる攻撃手法を提案した研究報告である。LLMエージェントがWebサイトに存在する脆弱性を事前に知らなくても、自動検知してのハッキングが可能となる。 ▲自律型LLMエージェントを使ったWebサイトのハッキングの模式図 keyboard_arrow_down 研究内容 keyboard_arrow_down 研究結果 Webサイトを自律的にハッキングするようLLMエージェントを活用するには、エージェントのセットアップと、目標に向けてのプロンプトによる指示という2つのステップが必要である。エージェントによるハッキングでは、関数呼び出し、文書
kaoruww @kaoruww サイゼリヤの新オーダーシステムの話|井登友一 note.com/corobutika/n/n… 画面遷移の様子。自分は卓上の説明をほぼ読まずに入力したが迷うポイントはなかった。最後まで読まなかったから、会計時にテーブルの紙の伝票をそのままレジに持っていき支払ったので会計ボタン押さなかったな。問題なかった。 2023-11-23 12:18:20 リンク note(ノート) [UX小話]サイゼリヤの新オーダーシステムの話|井登友一(YuichiInobori) あたしは自他ともに認めるサイゼリヤエンスージアストなんですが、昨夕、出先でWiFiが使いたくなって近くにあったサイゼリヤに立ち寄った際、なんとオーダーシステムが顧客自身のスマホを使ったセルフオーダーシステムに変わっていました。 (店員さんにお聞きしたところ、現時点では全国で数店舗だけの試験導入段階との
NTT西日本のグループ企業、「NTTビジネスソリューションズ」の元派遣社員が、コールセンターシステム業務で得た顧客情報を不正に持ち出し、第三者に流出させていたことがわかりました。「NTTビジネスソリューションズ」などは17日午後に会見を開き謝罪しました。 元派遣社員は、コールセンターシステムの運用保守業務に従事していて、十数年にわたり、約900万件の顧客情報を流出させていたということです。 「NTTビジネスソリューションズ」などによりますと、元派遣社員はシステム管理者アカウントを悪用したうえ、顧客データが保管されているサーバーへアクセスし、不正に持ち出したということです。 不正に持ち出された顧客情報は、59のクライアントに上り、情報には顧客の氏名、住所、電話番号等が含まれているということです。 「NTTビジネスソリューションズ」などは、「クライアント様並びにクライアントのお客様へ多大なご迷
ESETは11月22日(現地時間)、「Your voice is my password – the risks of AI-driven voice cloning」において、生成AIにより合成した音声を悪用したソーシャルエンジニアリング攻撃の実験に成功したと伝えた。この実験では、従業員が自社の最高経営責任者(CEO: Chief Executive Officer)になりすまして、財務責任者から自分宛てに送金させることに成功しており、生成AIの危険性について注意喚起している。 Your voice is my password – the risks of AI-driven voice cloning これは事前にCEOの許可を得て行っ実験であり、ここで解説する手法をまねることは犯罪となる可能性があることに注意。この実験と同様の攻撃が今後増加する可能性があると懸念されており、企業や組
小林 優多郎 [Tech Insider 編集チーフ] and 伊藤 有/Tamotsu Ito [編集部] Jul. 01, 2024, 08:10 PM 深掘り 144,863 KADOKAWAおよびそのグループ傘下の企業のサービスでは、ランサムウェアなどによりシステム障害が発生し、業務に大きな支障が出ている。また、個人情報の漏洩も一部で確認された。 撮影:小林優多郎 ランサムウェア攻撃による大規模障害が続いているKADOKAWAグループにとって、7月1日は「Xデー」だ。 ランサムウェアは、身代金要求型ウイルスとも呼ばれ、侵入したシステムのプログラムを暗号化するなどして、所有者に解除と引き換えに金銭を要求する。この身代金の支払い期日が、6月30日までだったからだ。 6月8日未明のシステム障害発生以来、22日間が経過するなかで、Killmilkと名乗る犯人グループと見られる人物(以下、便
doda、個人ユーザー約10万人の情報が元勤務先から丸見えだった可能性 ブロック機能が「全角半角・大文字小文字が完全一致」でないと動かず 転職サイト「doda」に不具合があり、個人ユーザー9万6338人の個人情報などが、本来権限がないはずの法人ユーザーでも確認可能になっていた可能性があると、パーソルキャリアが発表した。過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったという。 パーソルキャリアは11月7日、転職サイト「doda」に不具合があり、個人ユーザー9万6338人の個人情報などが、本来権限がないはずの法人ユーザーでも確認可能になっていた可能性があると発表した。過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったという。 不具合があったのは法人向けサービス「doda Request」の機能。2018年8月7日から23年10月31日にかけて、
Chromeのクッキー廃止へ。ブラウザをチェックしてみよう2024.01.13 21:00166,062 Thomas Germain - Gizmodo US [原文] ( 岩田リョウコ ) グッバイ、クッキー! Googleが長年にわたって進めてきたクッキーの廃止計画が1月4日、実行に移されました。Chromeウェブブラウザを利用しているユーザーのうち1%、約3000万人に対してクッキーを無効化。そして今年の年末までに、すべてのChromeユーザーのクッキーがなくなるとのことです。すべてのクッキーではなく、廃止されるのは追跡をするサードパーティークッキーです。 クッキーの役目って?プライバシーを守りたい人たちにとって、インターネットの元凶とみなされているクッキー。ほとんどのウェブでクッキーは、テック企業がオンライン上での私たちの行動を追跡する方法となっていました。ターゲット広告や他の多
ソーシャルネットワークのX(旧ツイッター)は、プライバシーポリシーを改定し、新たに生体情報なども収集する方針を示した。 同社は新たなポリシーで、「ユーザーの同意に基づき、当社は安全およびセキュリティーの確保や、身元確認を目的にユーザーの生体情報の収集や使用を行う」ことがあると説明。Xは何を生体情報と見なすかは定義していないが、他社は人の顔や目、指紋から得られるデータを指す言葉として使用している。 Xの担当者は新たなポリシー改定を確認したが、それ以上の説明は行わなかった。 ソーシャルメディア各社は以前から、個人の関心や検索履歴に合わせた広告の販売など、収集する情報やそのデータの使用方法を巡り、世界中のユーザーや規制当局から批判を受けてきた。Xがどのように生体情報を収集し、それをどう使用する可能性があるかは不明だ。 Xはユーザーの職歴や学歴に関する情報も収集する方針を示している。改定版プライバ
7月の初旬、朝8時。 25トンのコンテナを積んだトレーラーが、いつものように搬入先の名古屋港を訪れた。 しかし、港の入り口のゲートは閉じたまま。 8時間待ったが、この日、開くことはなかった。 運転手の男性がこの仕事に就いてから7年、全く初めてのことだった。 別の輸送会社は、30年近く前の阪神・淡路大震災以来の「決断」を迫られた。 コンテナの搬入先を別の港へと切り替えるため50社の取引先に頭を下げ、手続きに忙殺された。 貿易総額は年間およそ21兆円。 取り扱い貨物量で日本一の名古屋港。 海の物流の大動脈を混乱に陥れたサイバー攻撃、その深層に迫る。 7月4日。 名古屋市のトレーラー運転手、安井隆師さんは、新人とコンテナの搬入のため、名古屋港に向かっていた。 受付開始前の午前8時ごろに到着。 ゲートには、すでに多くのトレーラーが列をなしていた。 この仕事について7年の安井さんにとって、見慣れた風
元記事 元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。 本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。 結論 正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。 これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。 まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。 災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛
はじめに とあるセキュリティインシデントにおいて、サーバを電源ケーブルごと引き抜いたという対応が行われ、X(Twitter)ではこの対応について賛否両論が見られました。このうち電源を入れたままにすべきという人の意見には、「マルウェアの中にはシャットダウンすることで自分自身を削除し、感染痕跡を削除するものがある」「メモリを調査すべきなのでシャットダウンすべきではない」のような意見が見られました。 本記事では実際にメモリからどのような情報がわかるか、そしてメモリダンプを解析することの有用性と課題について記載します。 メモリフォレンジック セキュリティインシデントにおいてはフォレンジック調査が行われる場合があります。フォレンジック調査には、HDDやSSDのようなストレージを調査対象とするディスクフォレンジック、パケットキャプチャやNetFlow、ProxyやFWのログのような通信を対象とするネッ
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ノースイースタン大学などに所属する研究者らが発表した論文「Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings」は、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告である。攻撃者は、ユーザーのスマートフォンに複数のテキストメッセージを送信する。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できる。 攻撃は、SMSの送信者がネットワークを介し
2023年10月10日午前8時30分ごろに発生した「全国銀行データ通信システム(全銀システム)」の障害。全国銀行資金決済ネットワーク(全銀ネット)は復旧に向けた対応を実施しているが、11日午前11時時点で解消のめどは立っていない。 全銀システムは東京と大阪の2カ所のセンターで並行運転し、システムを構成する各種装置や通信回線などをすべて二重化してある。顧客に影響が出るシステム障害が発生するのは1973年の稼働以降、50年間で初めてとなる。 今回、不具合が生じたと考えられるのは、金融機関が全銀システムに接続する際に使う中継コンピューター(RC)のプログラムだ。送金元の金融機関から送金先の金融機関に対して支払う「内国為替制度運営費(旧銀行間手数料)」の設定などをチェックする機能に不具合が生じたと見られる。 きっかけは保守期限到来に伴い、10月7~9日の3連休中に14の金融機関で実施したRCの更改
こんにちは。アドカレ12/24の記事を簡単にではありますが書かせていただきました。(25日のポストで遅刻ですが) Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2023 - Qiita はじめに 本日のテーマ:思わず天を仰いでしまうID関連システムトラブル 本日のテーマは、みんな大好き「トラブル」の話です。CIAM(Consumer Identity and Access Management)領域のさまざまなシステムにさまざまな立場で関わり、さまざまなトラブルに遭遇してきた経験を踏まえて、クリスマスの合間の気楽な読み物として記載しましたので、一息ついていただければ幸いです。 今回はトラブルの中でも思わず「天を仰いでしまう」激ヤバトラブルにフォーカスして、私的ランキング形式でお届けしたいと思います。 天を仰ぐトラブルとは? 私
[注意喚起]ブラウザ互換ライブラリ「Polyfill.io」がドメイン名ごと中国企業に売却、CloudflareとFastlyが代替となる配信を開始 開発者がブラウザの互換性を気にすることなくWebアプリケーションを開発するためのJavaScriptライブラリ「Polyfill.io」が、ドメイン名ごと中国企業に売却されたことを受けて、CloudflareとFastlyが急きょライブラリをフォークし、安全が確認されているコードの配信を開始しました(Cloudflareの発表、Fastlyの発表)。 Polyfill.ioをドメインごと中国企業に売却 Polyfill.ioはAndrew Betts氏が開発したオープンソースのJavaScriptライブラリです。Polyfill.ioを組み込むことで、ブラウザのバージョンを気にすることなくWebアプリケーションの開発を行うことができる便利なラ
1979年生まれ。京都大学経済学部卒業。国会議員秘書を経てプレジデント社へ入社、プレジデント編集部配属。経済誌としては当時最年少でプレジデント編集長就任(2020年1月)。2021年7月に独立。現在に至る。 Twitter → https://twitter.com/ogurapunk CONTACT → https://k-ogura.jp/contact/ DOL特別レポート 内外の政治や経済、産業、社会問題に及ぶ幅広いテーマを斬新な視点で分析する、取材レポートおよび識者・専門家による特別寄稿。 バックナンバー一覧 国や地方自治体などの公的機関が、その行政業務を行うために必要なコンピューターシステムを共有するための仕組みである「政府(ガバメント)クラウド」。昨年11月、その提供事業者に初めて国内企業が選ばれたが、デジタル庁関係者は「日本企業の参入を妨害する」障壁があるという。(イトモス
警察庁は30日、小型の「ウエアラブルカメラ」を地域警察官らが装着するモデル事業を2024年度に実施すると発表した。職務質問の対応が適切だったかを事後的に確認できるようにすることなどが狙い。比較的規模の大きな都道府県警で先行実施し、効果を検証した上で本格導入を検討する。24年度予算の概算要求に関連経費約1500万円を盛り込んだ。 警察庁によると、ウエアラブルカメラは計102式を購入予定で、内訳は地域65式▽雑踏警備など19式▽交通18式。雑踏警備では、多くの人が行き来する状況を撮影して別の場所でリアルタイムに監視する。交通では、撮影した違反の状況を運転者に示すことなどを想定。交通違反の取り締まりは警察官の現認が原則だが、それを補完する役割が期待される。
GitHubでは削除されていたりプライベートに設定されていたりするフォークやリポジトリに誰でもアクセスでき、さらにその動作が欠陥ではなく仕様通りであるとオープンソースセキュリティ企業のTruffle Securityがブログに投稿しました。 Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co. https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github GitHubでの一般的なワークフローとして、「新しいフォークを作成する」「コミットする」「フォークを削除する」というものを考えてみます。 この時、削除したはずのフォークの中身を誰でも確認できてしまうとのこと。
NTTドコモが2021年にサービスを終了したウォレットサービス「ドコモ口座」のドメイン「docomokouza.jp」が、GMOインターネットのドメイン登録サービス「お名前ドットコム」にて出品されていた件について、オークションが9月25日午後7時15分に終了した。132件の入札があり、最終的に402万円で落札された。 ドコモ口座は2020年9月に不正送金問題が発覚し、一部機能を「d払い」に移したあと21年8月にサービス終了を発表した。しかし、今も金融機関などにリンク先が残されていることが多く、金融サービスのドメインが第三者の手に渡ってしまうことで、本物と同じドメインを持つ、ドコモ口座を装ったフィッシングサイトが出てくる可能性があることから、X(Twitter)などを中心にそのリスクを危惧する声が相次いでいた。 落札者などの詳細は不明。現在ITmedia NEWS編集部では、NTTドコモにド
昨年夏、2018年に沖縄近海の光ファイバー海底ケーブルから中国製の盗聴装置が発見されていたことが在沖縄米軍向け英字誌の指摘で明らかにされ、防衛・通信関係者に衝撃を与えた。だがこのときクローズアップされた海底ケーブルの脆弱性について、その後の日本の対策は十分とは言えない状況が続いている。もし「台湾有事」となれば、海底ケーブルの“脆さ”は日米台、ひいては背後に北朝鮮を抱える韓国などにも致命傷となりかねない。日本の大手民間電気通信事業者OBもこう警鐘を鳴らす。「民間任せではもう限界。重要インフラとして国を挙げて防護、管理を進め、近隣国・地域とも協力する必要がある」――。 “むき出し”の超重要インフラ 「米軍基地の電話線ルートなども含め全容を把握している」 那覇市内で筆者のインタビューに応じた大手民間電気通信事業者OBはこう切り出した。 彼が一例として挙げたのが沖縄本島勝連半島先端に位置する海上自
「届いた郵便物は自分宛てなのに受け取ることができなかった」。こうした相談が総務省に寄せられ、総務省中部管区行政評価局が14日、日本郵便東海支社に改善に向けた要請を行いました。 去年9月、愛知県常滑市の男性の元に郵便物が届きました。宛名の氏名は確かに自分のものでしたが「本人確認が取れない」として受け取ることができませんでした。 いったい、どうしてでしょうか? まず、この郵便物が「特定事項伝達型の本人限定受取郵便」であったことです。 「特定事項伝達型の本人限定受取郵便」とは、金融機関やクレジットカード会社がキャッシュカードやクレジットカードを送付する際に、差出人に代わって日本郵便が本人確認をして手渡すもので、犯罪防止のため厳格な本人確認が義務付けられています。 そして今回、男性が郵便物を受け取れなかった最大の要因は、この郵便物の宛名が「カタカナ」表記だったことです。 郵便局の職員は本人確認のた
ritou です。 みんなが待っていたデジタル認証アプリの情報が公開されました。 開発者向けのガイドライン、APIリファレンスなどのドキュメントも公開されています。 今回は開発者視点でどんな作りになっていて、利用するために理解が必要となる標準化仕様はどのあたりなのかを取り上げます。ちょっとOIDCのRPやOAuthのClient実装経験のある開発者向け、ぐらいの内容です。 概要 公開された情報からすると デジタル認証アプリサービス(アプリ+バックエンド)はマイナンバーカードを用いた当人認証を実施 現在は都度マイナンバーカードを利用する必要がありますが、いずれはスマホに保存されたカード情報を使ってもっと楽になりそう ID連携のIdentityプロバイダとして認証イベント情報、基本4情報といった属性情報を民間/行政サービスに提供 民間/行政サービスは認証イベント情報に含まれるユーザー識別子を利
KADOKAWAは6月28日、8日に受けたサイバー攻撃を巡り、情報の漏えいを確認したと発表した。 楽曲収益化サービスを利用している一部クリエイターの個人情報、一部の元従業員が運営する会社の情報、取引先との契約書・見積書、契約社員や派遣社員、アルバイト、一部の退職者を含むドワンゴ全従業員の個人情報、ドワンゴ関係会社に勤める一部従業員の個人情報、社内向け文書が漏えいしたという。なお、クレジットカード情報については、KADOKAWAやドワンゴで保有していないため漏えいしていないとしている。 情報が漏えいしたクリエイターや関係者には個別に通知する。同社は漏えいした個人情報を悪用したフィッシングメールなどが送信される可能性もあるとして、注意を呼び掛けている。 KADOKAWAは漏えいを確認した経路について「サイバー攻撃を行ったとする組織が、当社グループが保有する情報を流出させたと主張している。当社グ
「完璧に失敗」マイナ保険証、国家公務員の利用率4.36%にあふれる憤慨…河野大臣“過去の発言”への批判も再燃 社会・政治 投稿日:2024.02.05 17:25FLASH編集部 「マイナ保険証」の国家公務員の利用率は4.36%。 2月4日、朝日新聞が報じた数字に波紋が広がっている。 マイナ保険証の全体の利用率は2023年4月の6.3%をピークに12月は4.29%と8カ月連続で減少。11月の利用率は4.34%だった。 朝日新聞は国家公務員とその家族が加入する国家公務員共済組合のマイナ保険証の利用率が記載された厚労省の文書を入手。そこに記された2023年11月の利用率は、以下のとおりだったという。 【関連記事:「もう滅茶苦茶」岸田首相、マイナカードの取得義務化「現段階では難しい」発言で強まる「マイナ保険証」への疑問】 ・総務省 6.26% ・内閣府や農林水産省など4省庁 5%台 ・厚労省 4
インターネットには自由にアクセスできるコンテンツやサービスがたくさんあります。 これらの多くは広告で収益を得ているので、広告収益が得られなくなければ当然にぼくらが自由にアクセスできる情報は減っていくことになります。 そういった自由にアクセスできる情報がたくさんあるインターネットを維持するためには広告というのはとても意義深くて、重要な役割があると思うのです。 僕個人としてはアドブロック(広告が消えるやつ)はできるだけ使わないようにしていますが、 とはいえ、アドブロックを使っている人に「使いたくもなるでしょうね」と言うくらいには現状は酷いとも思っている。 コンテンツ・サービス提供してくれる事業者が継続的な運営ができる広告収益を得られる健全な状態をつくるために、広告プラットフォームや広告掲載メディア(媒体)が、掲載内容・表示方法ともに閲覧者のためになる状態を目指して責任もって頑張るべき。 閲覧者
nori @00oichan お気軽にフォローいただけると嬉しいです。 神奈川県在住/運用設計が得意/外資系企業のSaaSエンジニアです。 好き: servicenow,生成AI,UiPath,Power Automate Desktop,PowerBI … Amazon.co.jp アソシエイトを利用中です nori @00oichan Androidのペアレント設定(ファミリーリンク)をしている親御さん、子どもに天気予報などの生活アプリくらい無制限で使わせてやろうなんて思わないことです youtubeやLINEだけ時間制御すればいいってのは甘い 子どもは広告やアプリからの簡易ブラウザ経由でどこへでもアクセスします pic.twitter.com/pfTSIHEvwB 2024-03-28 08:12:04
災害デマに等しい記事 ・やはり物理的な障害を無視した大量投入論者。 ・自衛隊の資料によると当初2日間は地上からのアクセスができなかった。 ・奥能登へ通行可能なのは片側1車線の国道249だけ。 ・後述の記事にも登場するが「ボランティア信仰」といっていい過大評価。 ・とにかく初動からボランティアを入れろと言っているが、アクセスが寸断されている。 ・水、食糧は政府自治体が民間企業と協定を結んで提供される。今回は輸送自体に問題。 https://news.yahoo.co.jp/articles/ff51e75923f9aab6c16824a56139b92c54eead33 ・5日に知事が渋滞の影響で物資が届かないと呼びかけ https://www.hokkoku.co.jp/articles/-/1281950 ・ボランティアが入らなかったために水食糧が手に入らなかったというのは誤り。 朝日新
NATO=北大西洋条約機構は、今月、アメリカで行われた首脳会議で発表した首脳宣言で、ロシアがヨーロッパなどで「ハイブリッド攻撃」を激化させ加盟国の脅威になっていると指摘し、各国が連携して対抗することを確認したと明らかにしました。 NATOによりますと、「ハイブリッド攻撃」は破壊工作、暴力行為、不自然な移民や難民の増加、サイバー攻撃など、軍事力ではない手段で相手国に混乱などを引き起こそうとするもので、これまでもロシアによる「ハイブリッド攻撃」を警戒してきました。 3年前には、ロシアの同盟国ベラルーシのポーランド国境付近に突如、大勢の中東やアフリカの移民らが集まり、ポーランド側へ越境しようとして混乱に陥り「移民の武器化」とも伝えられました。 ヨーロッパ諸国では、この数か月、商業施設や公共施設などで不審な火災が相次いでいて、各国はロシアがウクライナを支援する国々に対し新たに「ハイブリッド攻撃」を
FBIがみんなに広告ブロッカーを使って欲しい理由2023.11.15 16:3598,228 Thomas Germain - Gizmodo US [原文] ( Kenji P. Miyajima ) 2022年12月26日の記事を編集して再掲載しています。 みなさんは広告ブロッカー、使ってますか? 凶悪犯罪の捜査で忙しいはずの米連邦捜査局(FBI)が、公式サイトで広告ブロッカーを使用するように呼びかけました。 広告ブロッカーはネット詐欺防止に効果的GoogleやBingなどの検索結果にブランドや企業の広告が表示されるじゃないですか。インターネット犯罪苦情センターによると、広告のブランドになりすました犯罪者が何の疑いも持たないユーザーを本物そっくりの偽サイトに誘導して、ランサムウエアやフィッシング攻撃の餌食にするそうです。FBIは、対応策として広告ブロッカーが効果的としています。 FBI
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く