YAPC::Hakodate 2024での発表内容です。 https://yapcjapan.org/2024hakodate/

人気料理YouTuber・リュウジ氏監修の食品を販売するサイトが不正アクセスにより改ざんされ、ウイルスを含むサイトにリダイレクトされていた問題をめぐり、WordPressのセキュリティが議論になっている。 リュウジ氏は「ランディングページのWordPressがハックされたので、よりセキュリティが高いBASEに移行した」と告知したのだが、「WordPressも適切に運用すればセキュリティは高い」などの反論が、ITに詳しい一部のフォロワーから届いていた。 リュウジ氏はTwitterで253万フォロワー、YouTubeで390万フォロワーをかかえる人気の料理研究家。冷凍のカレーソースやパスタソースのWeb販売も人気を集めている。 6月1日、カレーソースの販売ページが、ウイルスを含むサイトにリダイレクトされていた。ページ構築に使っていたWordPressが攻撃されたことが原因という。 リュウジ氏は

米Microsoftは3月24日（現地時間）、スクリーンショットツール「Windows Snipping Tool」（日本では「切り取り領域とスケッチ」）の脆弱性を修正するパッチをMicrosoft Storeで公開した。 この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。例えば、銀行取引明細書のスクリーンショットを撮ってデスクトップに保存し、同じ場所に保存する前に口座番号の部分を切り抜いた場合、切り抜いた画像にはまだ口座番号が非表示の形式で含まれている可能性があり、復元できてしまうという。 ツールからコピーした画像や、保存する前に編集した場合は影響を受けない。トリミングしたり塗りつぶしたりした部分を復元するには幾つかの要件を満たす必要があるため、脆弱性の深刻度は「低」。 影響を受けるアプリは、「切り取り領域とスケッチ」のWindows 10版の

CDNプロバイダーの米Cloudflareは9月29日、CAPTCHAに代わる新たな認証API「Turnstile」を発表した。人間が操作していることを示すシグナルを確認・認証する手法で、ユーザーからは見えず、特別な操作も不要。約1秒で認証完了できるとしている。 同社は「ゆがんだ文字や画像の組み合わせを解く認証テストに人類が毎日浪費している500年分の時間を節約する」と述べている Turnstileの認証テストはその時々で入れ替わり、難易度も細かく調整できるという。人間らしくない行動をする訪問者には、より難しい認証テストを課すことも可能。認証精度はCAPTCHAと同程度を実現したとしている。 macOS／iOS最新版を利用しているユーザーのプライベートアクセストークンを認識し、デバイス認証もできる。その際、ユーザーのデバイスデータが収集・操作・保存されることはないという。 CAPTCHAは

開発・運用の現場から、IIJのエンジニアが技術的な情報や取り組みについて執筆する公式ブログを運営しています。 こんにちは。IIJ Engineers Blog編集部です。 IIJの社内掲示板では、エンジニアのちょっとした技術ネタが好評となって多くのコメントが付いたり、お役立ち情報が掲載されています。 今回は、すでにお気づきの方もいるかもしれませんが、いつの間にか HTTPS 証明書の Common Name の検証が禁止 になっていた件について紹介します。 HTTPS 証明書の検証手続きは、RFC2818 で「Subject Alternative Name があればそれで、なければ Common Name を見よ」となっていました。 If a subjectAltName extension of type dNSName is present, that MUST be used as

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 英Imperial College London（ICL）とUniversity of Oxford、スイスのUniversita della Svizzera italiana、Twitter UK、イタリアのUniversity of Naples Federico IIによる研究チームが発表した「Interaction data are identifiable even across long periods of time」は、スマートフォンなどから匿名で収集する個人間の交流データなどから50％以上の確率で個人を特定できることを実証し、匿名化の欠陥を指摘した論文だ。 現在、多数の

マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘：“PPAP”廃止の余波か（1/2 ページ） セキュリティソフトなどを開発するデジタルアーツ（東京都千代田区）は1月17日、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法（いわゆるPPAP）の代替手段として利用が進むファイル共有サービスが、マルウェアの感染経路になっているとするレポートを発表した。特にゲームプレイヤー向けのチャットサービス「Discord」と、米マイクロソフトのクラウドサービス「OneDrive」を使った手法が突出しているとして、警鐘を鳴らしている。 レポートによると、マルウェアを仕込んだファイルを2サービス上にアップロード。生成されたURLからファイルをユーザーにダウンロードさせ、感染させる手法だという。セキュリティ関係者による悪性URL共有プロジェクト「URLhau

コンテンツデリバリーネットワーク（CDN）サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載：迷惑bot事件簿 歯止めの利かない情報漏えい 12月22日までに日本で公表された、ECサイトにおける21年のクレジットカード情報流出の被害件数は、手元の集計では71件だった。これは前年比で約1.7倍の数値だ。しかも被害の多くで、クレジットカードのセキュリティコードまでもが盗み取られている。 本連載で過去に説明した通り、こういったWebスキミング被害の多くで、Webサイトにアクセスしたブラウザ内で動作する悪性のJavaScriptによって情報が読み取られている。不正なスクリプトをブラウザに挿入する手口と対策上の課題について

簡単な方法で任意のプログラムを実行できてしまうとして12月10日ごろからIT系企業で騒動になっている、Apacheソフトウェア財団のJava向けログ出力ライブラリ「Apache Log4j」（Log4j）の脆弱性。そんな中、“ワクチン”のようにこの脆弱性を修正するプログラムを、米情報セキュリティ企業Cybereasonが12月11日（日本時間）にGitHubで公開した。 Log4jには「JNDI Lookup」という機能があり、これを悪用すると外部のサーバに置いた任意のプログラムを標的に読み込ませ、実行させられる。対策としては、JNDI Lookup機能を停止する必要がある。Cybereasonが公開した修正プログラム「Logout4Shell」は、この脆弱性を使って「JNDI Lookup機能を停止させた状態でLog4jを再構築するプログラム」を実行させることで問題を修正するというもの。

2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン（以降はLog4j2と記載）で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 １．何が起きたの？ Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性（CVE-2021-44228）を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software

10月5日（日本時間）に配信が始まったWindows 11。システム要件にはセキュリティ機能「TPM 2.0」への対応が必要とされているが、これに対応しないPCにもWindows 11をインストールするための手順を、米Microsoftが自ら公開した。ただし、TPM 1.2以上が求められる他、リスクがあることからシステム要件を満たさないPCへのインストールは引き続き推奨していない。 Windows 11はIntelでは第8世代Coreプロセッサ以降、AMDでは「Zen 2」以降のプロセッサと比較的新しいモデルのみをサポートしており、それより古いCPUを積むPCではインストールできない仕様となっている。ただし、同社が公開した方法を使うことで、承認済みリストに含まれているCPUかのチェックを回避。Windows 11がインストール可能となる。 回避方法は、レジストリエディタで「HKEY_LOC

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のトピックを紹介する。VPN製品の脆弱性と、イオンの問い合わせフォームに対する不正アクセス、京都大学で個人情報を閲覧可能にしていた事故である。 ソニックウォール製品に脆弱性、攻撃も確認（1月23日） セキュリティー製品ベンダーの米SonicWall（ソニックウォール）は同社のVPN製品に脆弱性が存在する可能性があると発表した。脆弱性を悪用したとみられるサイバー攻撃が観測されたという。

情報科学若手の会とは、情報科学に携わる学生、若手研究者、エンジニアのディスカッションと交流の会です。NTT東日本特殊局員の登氏が政府に配布停止要請されたVPNソフトの話など、シン・テレワークシステムの開発のもととなった数々の経験を開発秘話として講演しました。今回は登氏がNTT東日本に呼ばれるまでの経緯について。前回の記事はこちら。 村井研を真似た部屋を大学内に作る 登大遊氏（以下、登）：しばらくして、どうも他にすごい大学があるという噂が回ってきました。「SFCの村井先生の研究室はすごいらしい」と。みんな知らなかったんのですが、ちょっと筑波大の学生が夜中に見学しに行ったら、あそこはすごいと。「村井研はすごい」と。 こういうものを作りたくて、我々も真似しようとヤフーオークションや大学廃棄で大量機材を持ってきました。あとは、先ほどの国のお話とかでの収益と、SoftEtherも売れていたので収益が

2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。 １．何が起きたの？ FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。 SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組

あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。（さもなければchromeがユーザーに不吉な警告を発することになる） 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書（ブランド）がいいの？」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも