AI・機械学習チーム(以下、AIチーム)では、不定期で有志による開発合宿を行っています。今回は、先日実施したAIチーム夏合宿@越後湯沢の様子をお届けします。 宿の部屋からの景色 この記事は、AI・機械学習チームのブログリレー6日目の記事です。 こんにちは。AIチームの池嶋(@mski_iksm)です。この合宿は、「夏になり暑いので、涼しいところでワーケーションしてみませんか?」という軽い提案から企画されました。 今回は、新潟県湯沢で2泊3日の旅程で行ってまいりました。 場所の選定にあたって、次の条件が考慮されています。 仕事ができる空間(例:会議室)がある リーズナブルな価格 東京からのアクセスが良い 涼しい気候 美味しい食事が楽しめる さまざまな場所が候補に挙がる中で、ふと健康保険組合の保養所の存在に気づきました。エムスリーが加入している関東ITソフトウェア健康保険組合には、直営の保養所
複数のセキュリティ研究者は2024年8月9日(現地時間)、「Windows Server」に影響を与える重大な脆弱(ぜいじゃく)性について概念実証(PoC)を公開した。脆弱性の中には、Windows Server 2000~2025に影響するものも含まれているため注意が必要だ。 Windows Server全版に影響するRCE脆弱性「MadLicense」に要注意 セキュリティ研究者たちによって、Microsoftのリモートデスクトップサービス(RDS)に対する詳細なセキュリティ分析が実施され、56件の脆弱性が発見された。これらの脆弱性の中にはリモートデスクトップライセンスサービス(RDL)における事前認証リモートコード実行(RCE)の脆弱性などが含まれており、そのうちの一つである脆弱性「CVE-2024-38077」(別名「MadLicense」)についてはPoCが公開されている。CVE
Semperisは2024年8月7日(現地時間)、「Microsoft Entra ID」(以下、Entra ID)に重大なセキュリティリスクがあると報告した。特定のMicrosoftアプリケーションにおいて、通常は許可されていない特権アクションを実行できることが明らかにされている。Entra IDのグローバル管理者ロールを含む特権ロールへのユーザーの追加や削除が可能である点が最も懸念されており、特権昇格の危険性があることが指摘されている。 特定のMicrosoftアプリケーションで不適切なアクセス許可が許される この問題は、MicrosoftのOAuth 2.0スコープ(アクセス許可)の不備に起因している。OAuth 2.0はアプリケーションがユーザーの認証情報を直接共有することなく限定的なアクセス権を取得できるようにするための認証プロトコルだが、このプロトコルで一部のMicrosoft
GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog
こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント(1/4 ページ) ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。 個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。 こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SP
スマートフォン向けのセキュリティ製品を提供するiVerifyが、2017年9月以降に出荷されたGoogleのPixelデバイスには、非常に高い確率でリモートコード実行やリモートパッケージインストール機能を含む過剰なシステム権限を持つAndroidパッケージ「Showcase.apk」が含まれていると指摘しています。 iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world 2024年初頭、iVerifyのセキュリティツールであるEDR
いつもニコニコをご利用いただきありがとうございます。 2024年8月5日のニコニコ動画サービス再開後、一部のユーザーの方より「動画の視聴時にエラーが発生し、正常に視聴できない」とのお問い合わせをいただいております。 本インフォでは、該当のエラーが発生する原因と対策についてお知らせいたします。 ■ 発生している問題についてニコニコ動画で動画の視聴を行おうとすると、エラーメッセージが表示され、動画が視聴できない 例:「エラーが発生しました リロードすることで回復する可能性があります」など ■ 原因についてこのエラーは以下の理由から発生する可能性があります 匿名性の高い通信方法を用いて、ニコニコ動画にアクセスしているニコニコ動画では、荒らし行為を防ぐために以下のような匿名性の高いアクセスを制限しています。 一般的な利用では想定されないアクセス元からの通信クライアントの情報を匿名化する技術を用いた
GitHubは、2024年8月14日(米国時間)、セキュリティ機能群である「GitHub Advanced Security(GHAS)」において、コードの脆弱性発見後に修正コードを提案してくれる「Copilot Autofix」機能の一般提供を開始した。同機能は、2023年11月の発表にあわせてプレビューが開始され、2024年3月にパブリックベータに進んでいた。 Copilot Autofixは、CodeQLの機能で発見されたクロスサイトスクリプティング(XSS)やSQLインジェクションなどの潜在的な脆弱性に対して、修正コードを生成して提案してくれる機能だ。開発者は、プルリクエストで提案された修正コードの却下や編集、コミットをすることができ、その提案に関する自然言語での解説や他に必要なアクションなども提示される。 GitHubでは、Copilot Autofixを用いることで、同じ脆弱性
Semperisは2024年7月31日(現地時間)、ランサムウェアの脅威状況の調査結果をまとめた「The 2024 Ransomware Risk Report」を公開した。同レポートは米国や英国、ドイツ、フランスの900社を対象にランサムウェアに関する調査の結果をまとめている。 身代金を支払っても復旧できた企業はわずか3分の1 Semperis調査 Semperisが公開したレポートの主な注目点は以下の通りだ。 調査対象の企業のうち、過去12カ月間に83%がランサムウェア攻撃の標的となり、そのうち74%が複数回攻撃を受けた ランサムウェア攻撃被害に遭った企業の78%が実際に身代金を支払っており、そのうち32%が1年以内に4回以上の身代金を支払っている 身代金を支払った被害者の35%が復号キーを受け取れなかったか、ファイルや資産を復元できなかった 「Active Directory」はほぼ
AeyeScan blog 第8回「IPAに脆弱性を約500件報告した話」 | ScanNetSecurity
これは、2016年にIPAにソフトウェアの脆弱性を約500件報告したときの話です。つい最近IPAにウェブサイトの脆弱性を報告する機会があり、2016年の苦行の日々がフラッシュバックしました。
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 北海道科学大学に所属する研究者らが発表した論文「ChatGPTを用いたマルウェア実装」は、コーディング作業を極力せずに、GPT-4を用いてマルウェアが作れるかを実際に検証した研究報告である。 先行研究では、高度なセキュリティ技術を持つ研究者がChatGPTの脱獄(ジェイルブレーク)を行うことでマルウェアを作成できることを示した。今回は、GPT-4に対して、脱獄を行わずにプロンプトによる指示を出すだけで、セキュリティ技術に熟練していない人でも高度なマルウェアを作成できるかを検証する。 具体的には、以下の4種類のマルウェアをPythonで作成する
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 伊藤忠テクノソリューションズ(CTC)は8月13日、同社の業務委託先が受けたランサムウェア攻撃により、同社取引先および顧客の企業情報や個人情報が漏えいした可能性があると発表した。 CTCによると、同社の一部業務の委託先がランサムウェアによるサイバー攻撃を受け、委託業務で利用しているファイル共有サービスへの不正アクセスが判明した。このサービス上で閲覧や持ち出しの可能性があるファイルに、顧客を含む取引先の企業情報や個人情報が含まれていたという。 CTCは、取引先や関係者に謝罪するとともに、攻撃の影響があったPCのネットワークからの隔離や、不正アクセスがファイル共有サービスへのアクセス制限の実施を行ったと説明。現在は侵入経緯や情報流出の有無を
メッセンジャーアプリ「Signal」へのアクセスをロシアが制限
ロシアの通信行政の監督官庁である連邦通信・情報技術・マスコミ分野監督庁(Roskomnadzor)が、メッセンジャーアプリ「Signal」へのアクセスを制限したことを明らかにしました。理由は「テロと過激派の活動を防ぐための法律の要件を満たしていない」とのことです。 Messenger Signal blocked in Russia for breaching legislation - Roskomnadzor https://interfax.com/newsroom/top-stories/105001/ Russia blocks Signal for 'violating' anti-terrorism laws https://www.bleepingcomputer.com/news/security/russia-blocks-signal-for-violating-an
最近、少し性能の良いPCがほしいと 時々ストアーの検索や、この分野 広告ををめぐることにしています。 、 こう思い始めたのは、今から半年前 MocrosoftWidows10(Win10)が 来年10月でそのセキュリティの提供を 終了すると知ったからです。 Win10から11にアップデートは、 どのPCに出来るわけでなく、Win11では、 セキュリティの強化が高められたために、 その性能処理性能の高い中央演算装置 (CPU)に左右されます。 (※ANDのCPUにもWin11を扱うには 決まりが有ります) インテルのCPUでは、第8世代、i3 以上でなければ、すんなりとWin11 にできない決まりとなっています。 そんなところからストアーの巡回は 中古のPCを得るために 今日も高性能で安価なパソコンを 得るために何気なしに巡回して いました。 *** ある広告をクリックして 項目すべてで!!
企業はAI(人工知能)とどう関わり、そのリスクをどう理解すべきか。スポーツ用品メーカーのシューズ開発担当者の仮想ストーリーから、データの権利の尊重と堅牢(けんろう)性にかかわるリスクについて学ぶ。 本連載は、架空のストーリーを通じて、企業がAI(人工知能)リスクのわなにはまる様子を紹介し、それぞれのケースでリスクを軽減する策を考察する。第3回は業務への利用を許可された生成AIの助けを借りて社内プレゼン資料を作った結果、虎の子の新技術をすべて失った企業のストーリーです。なお、あくまで架空のストーリーであり、登場する企業・団体や人物は実在しません。(編集部) スポーツ用品メーカーで開発担当のマリナ。マリナが手がけて2年前に発売したランニングシューズはユーザーから大好評で会社を代表する売れ筋商品になっています。今はこの商品を改良した新製品のために、フランスにある大学と画期的な新技術を使ったアウト
2024年8月5日週は、三菱電機ホーム機器で個人情報漏えいの可能性や、東急リバブルの個人情報不正持ち出し事件などが報じられた。同週の主要なセキュリティニュースをまとめて紹介する。 大規模情報漏えいに脆弱性報告 セキュリティニュースまとめ読み 2024年8月5日週で特に大きな話題となったのが、気仙沼市立病院の患者情報の漏えい問題だ。サイバー攻撃によるものではなく、物理的な機器の処分が原因だ。一体、何がまずかったのか。以降で、1週間分のニュースをまとめて紹介する。 ●2024年8月5日 KADOKAWAは2024年6月9日に起きたランサムウェア攻撃の結果、25万4241人分の個人情報などが漏えいしたことが分かったと発表した。なお、同社と協力する大手セキュリティ専門企業の調査によれば、ランサムウェア攻撃を招いた原因はフィッシングなどの攻撃により従業員のアカウント情報が窃取され、社内ネットワークに
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2024-08-15 10:04 コンピューター関連の心配なニュースはいつも、ハッカーの祭典とも呼ばれる「DEFCON」から届く。2024年も同じだった。セキュリティ専門企業IOActiveに勤務する2人のセキュリティ研究者、Enrique Nissim氏とKrzysztof Okupski氏は、厄介なAMD製CPUの脆弱性を発見したと発表し、その脆弱性を「Sinkclose」と名付けた。 IOActiveの声明には次のように書かれている。「Sinkcloseは、正しく設定されていないコンピューターでは修正がほぼ不可能だが、大半のシステムは正しく設定されていない。適切に設定されたシステムであっても、Sinkcloseは『ブートキット』と呼ばれるマ
国連サイバー犯罪条約案が総会で採択されたので、それについて書いていきます。能力と時間の問題で、現時点ではあまり詳細には書けませんが(正直なところ追えていませんでした)、今後継続的に見ていきたいと思います。 状況としては、最終段階で自由主義諸国の要求がある程度通ったようであるものの、本当にそれで十分なのかや、国内法整備の過程でなされる提案が国民の自由を不当に制約するものとなっていないかは、慎重に検討する必要があると考えられます。 仮訳 以下は個人的に作成した条約案の仮訳です。 国連サイバー犯罪条約案の仮訳 - Mt.Rainierのブログ 背景 現行のサイバー犯罪条約は、欧州評議会で立案され、2001年にブダペストで署名された(このため、ブダペスト条約と呼ばれることがある)。この立案過程には日本政府もオブザーバーとして参加していた。 日本は1987年に刑法を改正し、電磁的記録不正作出・供用罪
Hackers may have leaked the Social Security Numbers of every American
Several months after a hacking group claimed to be selling nearly 3 billion records stolen from a prominent data broker, much of the information appears to have been leaked on a forum. According to Bleeping Computer, the data dump includes 2.7 billion records of personal info for people in the US, such as names, Social Security Numbers, potential aliases and all physical addresses they are known t
Aqua Securityはこのほど、「Bucket Monopoly: Breaching AWS Accounts Through Shadow Resources」において、Amazon Web Services (AWS)の6つのサービスに影響を及ぼす可能性がある重大な脆弱性について伝えた。この脆弱性が悪用された場合、リモートコード実行(RCE: Remote Code Execution)、ユーザー乗っ取り、機密データの流出、サービス運用妨害(DoS: Denial of Service)など深刻な影響を受ける可能性がある。 Bucket Monopoly: Breaching AWS Accounts Through Shadow Resources 影響を受けるAWSサービス 発見されている脆弱性の影響を受ける可能性があるとされるAWSのサービスは次のとおり。 CloudFo
sponsored 超高リフレッシュレートのゲーミングディスプレーって体感できるの? 500Hzの液晶はどれ?144~500Hzの中からVALORANTのプロに見極めてもらった sponsored MSIがビジネス向けPRO Seriesの4K・IPSモデルを発売 27インチ4Kディスプレー「PRO MP273U」が3万円台、PIP/PBP機能で作業の合間にPS5もプレーできる sponsored JN-MD-IPS13U2KPをレビュー 2160×1350ドットのキックスタンド式13型16:10モバイル液晶が2万円台、もうこれ買いますわ sponsored 2024年4月に新キャンパスへ移転した静岡デザイン専門学校は、最新設備を備えた実習室とMSIのノートPCで学生の実践力を養成 sponsored 部屋が狭い日本家屋仕様になったピラーレスケース、自作初心者にもオススメ! ピラーレスだが
The Hacker Newsはこのほど、「New Linux Kernel Exploit Technique 'SLUBStick' Discovered by Researchers」において、グラーツ工科大学(Graz University of Technology)の研究者たちがLinuxカーネルのメモリ操作を可能にするエクスプロイト(脆弱性を突いて不正な動作を行うプログラム)「SLUBStick」を公開したと報じた。SLUBStickの論文は「(PDF) SLUBStick: Arbitrary Memory Writes through Practical Software Cross-Cache Attacks within the Linux Kernel」から閲覧することができる。 New Linux Kernel Exploit Technique 'SLUBSti
日本プルーフポイントは2024年8月14日、Cloudflareのトンネル機能「TryCloudflare」を悪用した新たなサイバー攻撃キャンペーンが展開されていると報じた。TryCloudflareはアカウントを不要かつ無料で一回限りのトンネルを作成できる機能だ。 Cloudflareトンネルを利用したマルウェア配信キャンペーンに注意 このキャンペーンは主に遠隔操作型トロイの木馬をターゲットに配信するサイバー攻撃で、2024年2月に初めて観測されて以降、2024年5~7月にかけて急増したことが確認された。攻撃は金銭的な動機に基づいており「Xworm」と呼ばれるマルウェアが配信されたことが分かった。 今回のキャンペーンでは、メッセージにインターネットショートカット(.URL)ファイルにリンクするURLや添付ファイルが含まれていた。ファイルを実行するとLNKやVBS、BAT、CMD形式のファ
ロシアの諜報機関である国家安全保証機関が、アメリカやヨーロッパなどに住むユーザーに対して、標的に近い個人になりすますことでフィッシング攻撃を行っていることをトロント大学のセキュリティ研究機関「Citizen Lab」と非営利団体の「Access Now」が明らかにしました。 Rivers of Phish: Sophisticated Phishing Targets Russia’s Perceived Enemies Around the Globe - The Citizen Lab https://citizenlab.ca/2024/08/sophisticated-phishing-targets-russias-perceived-enemies-around-the-globe/ Russia-linked phishing campaigns ensnare civil
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
このたび、素性不明の外部集団(以下、「外部犯罪集団」)から、当社グループに対し、当社ベトナム子会社であるニデックプレシジョン(ベトナム)会社(以下、「NPCV」)のネットワークに不正に侵入し、サーバ内のドキュメントやファイルを窃取したとの通知があり、その後、「身代金」の支払いを求める恐喝がありました(以下、「本インシデント」)。 本インシデントの発生直後より、外部専門家への相談を開始しておりますが、当社において調査しましたところ、今般、外部犯罪集団からサンプルを掲載したとして提示されたウェブサイトに、NPCVが保有する情報が一部掲載されているのを確認いたしました。 現時点では、本インシデントにより漏洩したデータの範囲を明確に特定することは出来ておりませんが、当社としましては、今後も、本インシデントを徹底的に調査し、早期の解明に努めると共に、併行して、再発防止にむけて、あらゆる予防措置を講じ
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
【シリコンバレー=清水孝輔】米国防総省傘下の国防高等研究計画局(DARPA)は11日まで米国で開催したホワイトハッカーの国際大会で、人工知能(AI)製の偽動画を見破る技術を公開した。企業活動や政治の分野で詐欺や偽情報といった悪用が広がるなか、対策する側もAIを駆使して対抗する。11日まで米ラスベガスで4日間開催した世界最大級のホワイトハッカーの国際大会「デフコン」。会場で人だかりができていたの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AI・機械学習チーム夏開発合宿@越後湯沢に行ってきました - エムスリーテックブログ
Windows Serverの複数バージョンに影響を与える脆弱性が見つかる PoC公開済み
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント
「Zoom」に複数の脆弱性、情報漏えい等の恐れ ~早急なアップデートを/最大深刻度は「High」、Windows/macOS/Linux版に影響
世界中の何百万台ものPixelデバイスに影響を与えるAndroidの脆弱性が発見される
動画視聴時のエラーに関するお知らせ【ニコニコ動画】|ニコニコインフォ
脆弱性のあるコードを手作業より3倍速く修復、GitHub「Copilot Autofix」一般提供開始
Security Update Guide - Microsoft Security Response Center
身代金を支払っても復旧できた企業はわずか3分の1 Semperisがランサムウェア調査
学生が生成AIでマルウェアをつくってみた――ほぼコーディングせず脱獄もなし 北海道科学大が検証
CTC、ランサムウェア攻撃による情報漏えいの可能性を発表
「Photoshop」や「Acrobat Reader」など11製品に致命的な脆弱性、アップデートを/Adobeの月例セキュリティ情報
2024年8月の「Windows Update」~致命的・悪用の報告ありも含む90件の脆弱性に対処/できるだけ早い適用を
Win11対応PCを探してたら知らぬ間に不正誘導。 - 宇奈月ブログ
画期的な新技術がAI経由で流出 敏腕開発者のプロンプト入力ミス
気仙沼市立病院の情報漏えい問題、一番の原因は? 【セキュリティニュースまとめ】
AMD製CPUに深刻な脆弱性「Sinkclose」が発見--セキュリティ企業が指摘
国連サイバー犯罪条約案について - Mt.Rainierのブログ
一時漂流のジェット船、故障頻発の理由は「極度の老朽化」が原因? 新造船が難しい根本的な理由
AWSにデータ流出や乗っ取り引き起こす脆弱性、セキュリティベンダーが指摘
Windowsにリモート攻撃受ける緊急の脆弱性 月例パッチで対策を
Linuxカーネルのエクスプロイト発表、研究者らが実用レベルへ引き上げ
Cloudflareのトンネル機能を悪用するマルウェアキャンペーンを確認 2024年5~7月から急増
国民生活センターをかたり「個人情報を削除してあげる」などという電話やハガキに注意!
ロシアのスパイ機関はターゲットがよく知る人物になりすまして攻撃を行っているという指摘
Windows 版 Chrome で Cookie のセキュリティを向上させる
弊社にて発生したセキュリティインシデントについて | ニデックプレシジョン株式会社
Release Release v1.7.4 · axios/axios
偽動画、見破るのもAI 米国防総省がサイバー犯罪対策 - 日本経済新聞