タグ

shoのブックマーク (12,903)

  • インターンした企業へのDDoS攻撃容疑で摘発された事案についてまとめてみた - piyolog

    2024年11月27日、京都府警は京都市内の企業に対しDDoS攻撃を行った疑いとして会社役員の男とそのを逮捕しました。男は攻撃を行った企業へ過去にインターンを行っており、その後に業務提携を持ち掛けるも実現しなかったと報じられています。ここでは関連する情報をまとめます。 実行者に依頼しDDoS攻撃 DDoS攻撃の被害にあったのは京都市中京区に社をおくスポーツジムの紹介サイトを運営するIT企業。攻撃は2024年8月から9月にかけて合計10回確認されており、同社が京都府警に相談を行っていた。攻撃を受けた8月には広告契約が解約されるなどの影響もあった。 京都府警サイバー捜査課が電子計算機損壊等業務妨害の容疑で逮捕したのは中国籍の会社役員の男とそのの二人。二人は氏名不詳の人物(攻撃の実行者)と共謀し、2024年9月2日9時40分頃から10時10分頃まで当該企業のサーバーに対し大量のデータを送信

    インターンした企業へのDDoS攻撃容疑で摘発された事案についてまとめてみた - piyolog
    sho
    sho 2024/12/03
    DDoS攻撃が安すぎる……
  • 数十億パラメータの巨大AI、“たった1つのパラメータ”を削除するだけで完全崩壊。Appleなどが研究報告(生成AIクローズアップ) | テクノエッジ TechnoEdge

    2014年から先端テクノロジーの研究を論文単位で記事にして紹介しているWebメディアのSeamless(シームレス)を運営し、執筆しています。 1週間の気になる生成AI技術・研究をいくつかピックアップして解説する連載「生成AIウィークリー」から、特に興味深いAI技術や研究にスポットライトを当てる生成AIクローズアップ。 今回は、大規模言語モデル(LLM)の数十億のパラメータの中でたった1つのパラメータを削除するだけで、モデルのテキスト生成能力が完全に崩壊することを発見した論文「The Super Weight in Large Language Models」に注目します。 研究チームは、このパラメータを「スーパーウェイト」と名付けました。70億のパラメータを持つMetaのLlama-7Bモデルでは、このスーパーウェイトをゼロにするだけで、モデルのテキスト生成能力が完全に失われ、ゼロショッ

    数十億パラメータの巨大AI、“たった1つのパラメータ”を削除するだけで完全崩壊。Appleなどが研究報告(生成AIクローズアップ) | テクノエッジ TechnoEdge
    sho
    sho 2024/12/02
    人間の遺伝子にもこういうのありそう。単に死産になって表面化しないだけで
  • 長年の誤ったパスワードポリシーが推奨された原因はあの偉人の論文だった? - YAMDAS現更新履歴

    stuartschechter.org 米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST SP 800-63」が改訂され、「パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けてはならない」というのがようやく周知された。 しかし、「複雑なパスワード」と「定期的なパスワードの変更」が長年推奨されてきたのか。この文章は、その原因を偉大な科学者たちが過ちを犯したことに理由を求めている。 その科学者とはロバート・モリスとケン・トンプソンの二人である。ケン・トンプソンについては説明は不要だろうが Unix の開発者ですね。ロバート・モリスは暗号学者で、Y Combinator の共同創業者であり「モリスワーム」の作者として知られるロバート・タッパン・モリスの父親である。 この二人が1979年に実際のユーザパスワードを調査して発表した Password Security:

    長年の誤ったパスワードポリシーが推奨された原因はあの偉人の論文だった? - YAMDAS現更新履歴
    sho
    sho 2024/12/02
    イチャモンやんけ。パスワードの文字数に制約があった当時は妥当なポリシーだし、hash化は安全にパスワードを保管する妥当な方法だ。責任はむしろ後世の研究者にある
  • 「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び

    「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び(1/4 ページ) 闇バイトや投資詐欺の脅威が頻繁に取り沙汰される昨今。サイバー攻撃や内部不正、不手際によって自社から情報が漏れるのも怖いが、一連の犯罪に悪用される事態はさらに恐ろしい。「弊社をかたる詐欺を確認したのだが、御社から漏れた情報を使っているんじゃないか?」──いま、企業が一番聞きたくない言葉の一つだだろう。 一方で、これに近い事態を想定したセキュリティ訓練を社内で実施し、万一に備える企業もある。クラウド型会計・人事サービスを提供するフリー(freee)だ。過去にも報じてきた通り、freeeでは2018年10月に発生した大規模障害を風化させないため、毎年10月に全社的な障害訓練を実施してきた。 参考記事:「うちの情報、freeeから漏れたんじゃないんですか?」 顧客

    「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び
    sho
    sho 2024/11/27
    無罪です
  • 警視庁がサイバー犯罪捜査担う任期付き「警部」募集へ 待遇は……

    深刻化するサイバー空間の脅威に対処するため、警視庁は11月22日、サイバー犯罪捜査を担う2年間の任期付き職員を募集すると発表した。一定以上の経験や資格が必要で、合格すれば、サイバー犯罪対策課に配属されて警部として捜査に当たる。 対象となるのは、「ITストラテジスト」「システムアーキテクト」など、情報処理の知識や技能に関する国家試験などに合格し、サイバーセキュリティー対策やシステム管理部門で経験を積んだ人。応募には、こうした部門での大卒で10年、高卒で14年以上の職歴が必要となる。 任期は2025年4月から2年間。初任給は大卒で経験10年の場合、約37万4000円という。 警視庁ではこれまで、「特別捜査官」として、税理士やサイバー人材などの採用を行ってきたが、任期付き職員の募集は初めて。担当者は「民間で得た知見を警察の捜査に生かしていただき、警察での経験をまた民間で生かしていただくことができ

    警視庁がサイバー犯罪捜査担う任期付き「警部」募集へ 待遇は……
    sho
    sho 2024/11/22
    経験10年のスペシャリストに出していい給与じゃないだろ……
  • マイクロソフト、「Azure Local」発表。低スペックのサーバもAzureのエッジとして利用可能に

    マイクロソフト、「Azure Local」発表。低スペックのサーバもAzureのエッジとして利用可能に マイクロソフトは米イリノイ州シカゴで開催中のイベント「Microsoft Ignite 2024」で、低スペックなオンプレミスのサーバでもMicrosoft Azureのエッジとして簡単に設定できる新サービス「Azure Local」を発表しました。 Azure Localにより、オンプレミスのサーバでMicrosoft Azureの高度なセキュリティや可用性などを備えつつ、コンピュート、ストレージ、ネットワーキングやアプリケーションサービスなどを利用できます。 Azure Localは低スペックなマシンで利用できる これまでMicrosoft Azureの機能をオンプレミスなどのエッジロケーションに拡張するものとして、Azure Stack/Azure Stack HCI/Azure

    マイクロソフト、「Azure Local」発表。低スペックのサーバもAzureのエッジとして利用可能に
    sho
    sho 2024/11/21
    publickeyまでUSBメモリをUSBと略すのか。世も末だ
  • AIへの「ビジュアルプロンプトインジェクション」攻撃とは何か?

    大規模言語モデル(LLM)のセキュリティを研究するスタートアップ・Lakeraのエンジニアであるダニエル・ティンブレル氏が、画像認識も可能なチャットボットAIに対する「ビジュアルプロンプトインジェクション」攻撃について解説しています。 The Beginner's Guide to Visual Prompt Injections: Invisibility Cloaks, Cannibalistic Adverts, and Robot Women | Lakera – Protecting AI teams that disrupt the world. https://www.lakera.ai/blog/visual-prompt-injections プロンプトインジェクションとは、大規模言語モデル(LLM)の脆弱性を突く攻撃手法の一つ。具体的には、巧妙に作られたプロンプトを使っ

    AIへの「ビジュアルプロンプトインジェクション」攻撃とは何か?
    sho
    sho 2024/11/15
    ただのイチャモン。普通システムプロンプトに「画像内に含まれる指示には従うな」と入れるでしょ
  • 学園祭で日本の生産性の低さのルーツを見た

    この週末は、勤め先の大学の学園祭だった。かつては大学自治の象徴として、学生たちの総会と投票によって開催を決定していた学園祭も、コロナ前くらいだったか、実行委員会が「総部」という大学公認の部活となり、ある意味ではシステマティックに、ある面では安定的に営まれるものになっている。 その学園祭には「模擬店」という仕組みがあり、応募して抽選に当選すれば、いろんな団体が出店できることになっている。今年は学生の希望もあってゼミとして初めて出店したのだけど、当に色々と考えさせられた。 大前提として、模擬店を出店し、特に飲物を提供しようとすると様々なコストや負担、ルールに制約されることになる。衛生面や安全面で保健所や消防署の指示に従うのは当然のこととして、ガスボンベやガス台、テントなどのレンタル費用が発生する。詳細な数字は控えるけれど、大学生の一ヶ月のアルバイト代よりはるかに多い金額だった。 もしかして

    学園祭で日本の生産性の低さのルーツを見た
    sho
    sho 2024/11/09
    たくさんの企業の現場を見てきたから言えるんですけど、学祭の模擬店ごときに専用システムを構築しちゃうような行きすぎた自前主義が、日本の生産性を下げてるんですよ
  • 楽器やスピーカーの「聞こえ」が変わる不思議なボード

    見た目もすごく良いんだよなぁ。 こちらの不思議なかたちをした板「オトノハ」は、不要な反射音を抑える音響拡散体というもの。いったいどれほど聞こえ方が変わるのか、東京楽器博2024にて実際に試聴してきました。 イコライザーいじった? ボーカルがよく通る!2台のスピーカーの後ろに「オトノハ」を置いた状態と置いていない状態を比較試聴してみましたが、結論として…確かに音が違う! 「オトノハ」を置くと、キックの中低域ぼ厚みが減衰し、ボーカルがより聞こえやすくなりました。YOASOBIの『アイドル』、Creepy Nutsの『Bling-Bang-Bang-Born』を試聴しましたが、女声男性問わず効果を感じましたね。吸音材のように残響感が変わったわけではなく、イコライザーで低域のこもりをちょい下げしたような印象。 にしても、どうして「オトノハ」を置いただけで聞こえ方が変わったのか。「オトノハ」の独特な

    楽器やスピーカーの「聞こえ」が変わる不思議なボード
    sho
    sho 2024/11/06
    ブラインドテストもなしに(ry
  • 『freee技術の本』第2弾の詳細を公開します! - freee Developers Hub

    こんにちは、『freee技術』編集長のWaTTsonです。 先日のブログ記事で、技術書典17で『freee技術』の第2弾を出すことを発表しました。 developers.freee.co.jp 前回の記事では概要だけを公開していましたが、書影や目次などの詳細を公開します! 『freee技術 freeeにおけるマルチプロダクト開発 ~モノリシックとマイクロサービスの狭間で~』 目次 第I部 freee のプロダクトアーキテクチャと開発 第1章 成熟したプロダクトの大規模リアーキテクチャ~統合分離への挑戦~ 第2章 インタビュー: 新しい業務システムを作るために必要な思想を巡って 第II部 マルチプロダクトを構成する要素 第3章 アクセス制御基盤 第4章 ワークフロー基盤 第5章 通知基盤 第III部 freee のプロダクト開発を支える基盤チーム 第6章 マイクロサービスにおける

    『freee技術の本』第2弾の詳細を公開します! - freee Developers Hub
    sho
    sho 2024/10/30
  • 強盗団の件、犯罪エアプの人達は平和ボケしすぎ

    https://anond.hatelabo.jp/20241019210503 俺は普通に地元が荒れまくっていて、何人か友達も死んでるし、俺自身も犯罪に巻き込まれたことがある被害者だ。 こういうのを見る度に思うのだけれど、「頭が悪いから犯罪する」だとか、「能力が不足しているから犯罪をする」という思考に流されすぎ。 いいか、今話題の強盗団は「何も悪くないのに強盗になってしまう」ことが一番の問題なんだ。 倫理意識が高かろうが、頭が良かろうが強盗になる。それがこれからの世の中。 お前が言っているのは「詐欺は騙される方が悪い」とかそういうレベルの極論。何も悪くなくても詐欺の被害者にはなる。 普通の人達が社会人をやってる時間を「どうやったら犯罪で一儲けするか」に振っている人間達がいるという思考をしろ。これは単純な労働力投下量の問題であって倫理の問題ではない。 まずこの文章を読んで、お前も、俺も、い

    強盗団の件、犯罪エアプの人達は平和ボケしすぎ
    sho
    sho 2024/10/20
    「犯罪のファンタジー化」は上手い表現だ。サイバーセキュリティ界隈にいてもこの辺はすごく感じる
  • 「目を覚まして……」──ゼルダ姫が優しく起こしてくれる「Alarmo」使ってみた 任天堂の“高級目覚まし時計”の実力は?

    レビューの前に、アラーモの商品概要をおさらいする。アラーモは、複数のゲーム音を収録した目覚まし時計で、最大の特徴は“利用者の動きに反応する”という点だ。「うごきセンサー」を搭載しており、電波を使って利用者の動きを捕捉。これにより、人の動きに合わせてアラーム音を変化させられる他、二度寝防止にも有効という。 なお、定価は1万2980円と一般的な目覚まし時計よりも高価だ。そもそも、目覚まし時計代わりにスマートフォンを利用する人も多い現代(記者も目覚ましにはスマホを使っている)。そんな時代に任天堂が発売した“高級目覚まし時計”、その実力やいかに。 アラーモのチュートリアル アラーム音はなぜか試聴できず 早速アラーモを開封すると、入っていたのは、アラーモ体とUSBケーブル、安全に関するメモ(セーフティガイド)の3点。アラーモの利用には常にコンセントからの給電が必要だが、ACアダプターは付属していな

    「目を覚まして……」──ゼルダ姫が優しく起こしてくれる「Alarmo」使ってみた 任天堂の“高級目覚まし時計”の実力は?
    sho
    sho 2024/10/19
    「記者は詳しくないので名称だけでは分からなかった」レポーターとして不適切すぎる。そういう人は買わないよ
  • タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? | mond

    タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が

    タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? | mond
    sho
    sho 2024/10/07
    半可通たちがXSSとか寝ぼけたこと言ってる中、徳丸さんがこれはサーバー侵害だとバッサリw
  • クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに

    あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は4段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… Niishi Kubo | GitLab,Limeboard @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定されていれば悪意あるドメインに対しての通信

    クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに
  • マネジメントは教養や所作ではなく、"業務"である|長村禎庸@EVeM

    はじめに「マネージャーは尊敬される人柄じゃないと無理ですよね」 「マネージャーは対人感受性がないと」 「そもそも、人として向き不向きがあるよね」 経営者の方と議論していると、マネージャーを誰にしようかと悩む時、あるいは自社のマネージャーについてコメントをする時、こういうご意見はよく伺います。 これらの問いに対して私の答えは「No」です。 マネジメントはフローもやり方もはっきりと言語化できる"業務"であり、そこにはマニュアルが存在します。訓練すれば誰でも一定程度のレベルで実行可能なものだと考えます。 今回は私が代表を務める会社、EVeMが提唱するマネジメント”業務”の実行方法「THE MANAGEMENT PATTERN」と、それを実行可能にする訓練方法について書きたいと思います。 マネジメントは"業務"であるドラッカーの言葉に「仕事を生産的なものにし、人間を活かすことが、マネジメントの役割

    マネジメントは教養や所作ではなく、"業務"である|長村禎庸@EVeM
    sho
    sho 2024/10/05
    そしてLLMで代替できる仕事になる。すばらしい!
  • 画面領域内の画像を正確にテキスト認識する方法 | 栗原潔のIT弁理士日記

    ITコンサルタント/弁理士/翻訳家/金沢工業大学客員教授の栗原潔によるブログです。知的財産権、先進IT、翻訳、企業経営に関する分析情報とちょっとした雑談を書いていく予定です。 リンク、コメント、ピングバックはご自由にどうぞ。不適切と判断されたコメント/ピングバックは予告なく削除することがあります。 お問い合わせは、コンタクトフォームまたはkurikiyo [at] techvisor.jpまで(SPAMと区別しやすいよう件名の先頭にTVJP:と付けていただくようお願いします)。 栗原潔による訳書・著書をご紹介します。 エスケープベロシティ 『キャズム』のジェフリームーア最新作。企業が過去のしがらみという重力圏を離れて新しい未来に進むための戦略を提言します。 戦略的データマネジメント データ品質が低ければ如何に高度な分析テクノロジーを駆使しても意味がある結果を得ることはできません。書は、デ

    画面領域内の画像を正確にテキスト認識する方法 | 栗原潔のIT弁理士日記
    sho
    sho 2024/10/04
    PowerToysのText Extractorはsnipping Toolに置き換わっているのに……
  • 【特集】 USBさっぱり分からんの“戦犯”。「Gen表記」がよく分かる解説

    【特集】 USBさっぱり分からんの“戦犯”。「Gen表記」がよく分かる解説
    sho
    sho 2024/09/30
    USB規格を決めてる連中が正真正銘のアホばかりということしかわからんかった
  • 53歳の父「多様性社会が生きづらい。老害になりたくないので発言権を失った」→様々な反応集まる「自分の考えをアップデートしていくことが大変」

    inune @inunemuri 53歳の父が「多様性社会が生きづらい、自分は人生のほとんどを理不尽・罵声が当然の昭和で過ごしてしまったから、今の時代で許されないことを当の意味で理解できていない だけど老害になりたくないので沈黙を選択していて、結果的に社会での自由な発言権を失っているため生きづらい」と言っていた inune @inunemuri 時代ではなくそもそもの人間性の問題でしょとか、理解してなくても啓発系のちょっと読めば大きい地雷は避けられるでしょとか思ってしまわないでもないけれど、最近の父親はずっと少し怒りっぽくて疲弊していて、誰かや何かに歩み寄る体力がないように見える 吐露してくれるだけまだ良かったなと思う inune @inunemuri 「自分の価値観が社会から大きく外れていて、今更修正不可能」である絶望感を思うと、いたたまれない気持ちになる なんかほんと、もう何年も心

    53歳の父「多様性社会が生きづらい。老害になりたくないので発言権を失った」→様々な反応集まる「自分の考えをアップデートしていくことが大変」
    sho
    sho 2024/09/29
    53歳でこれはかなり嘘松くさい。おれはこの人よりずっと年長だけど、少しずつアップデートするチャンスはいっぱいあったし、してこなかったのなら流石に自業自得としか
  • 「こんなに毛を嫌うのって、世界でも日本だけ」資本主義とルッキズムの街、東京の象徴“美容脱毛サロン”で働く21歳の女性を描いた『ナミビアの砂漠』はどのように生まれたのか | 集英社オンライン | ニュースを本気で噛み砕け

    自分勝手で人を振り回すような主人公を、河合さんで見たかった──底知れないエネルギーに満ちた映画でした。「ナミビアの砂漠」というタイトルは、いつ浮かんだのでしょうか? 山中瑶子(以下同) 河合優実さん演じる主人公のカナは、いつも誰かと一緒にいて相手に依存しているような人です。 脚を書いている途中、「この人は1人でいるときなにしているんだろう」と考えたときに、YouTubeで24時間生配信されているナミビア砂漠のライブ映像を思い出しました。 次第に作品全体のテーマと呼応する要素を持っていることに気づき、タイトルにもなったんです。 ──カナには群れをはぐれた野生動物のような雰囲気があり、タイトルと響きあっていると感じています。今の「いつも誰かと一緒にいる」という話に、いわれてみれば……と驚きました。 1人でいると、余計なことばかり考えてしまって耐えられないのだと思います。 ──作は、河合優実

    「こんなに毛を嫌うのって、世界でも日本だけ」資本主義とルッキズムの街、東京の象徴“美容脱毛サロン”で働く21歳の女性を描いた『ナミビアの砂漠』はどのように生まれたのか | 集英社オンライン | ニュースを本気で噛み砕け
    sho
    sho 2024/09/29
    タイトルがあきらかに嘘だからぜんぜん中身が読まれてないの笑う。おれも読んでない。釣りタイトルの代表的な失敗例として覚えておきたい
  • 「フル出社で年収2000万円」or「フルリモートで年収800万円」──ITエンジニアとして働くならどっち?

    「働くならどっちの条件?」──エンジニア向けの転職サービス「Findy」を運営するファインディ(東京都品川区)は9月8日、そんなテーマの調査結果を発表した。働くならば「フル出社で年収2000万円」か「フルリモートで年収800万円」のどちらがいいか、ITエンジニア向けに投票を募ったところ、小差で「フル出社」派が多数となった。

    「フル出社で年収2000万円」or「フルリモートで年収800万円」──ITエンジニアとして働くならどっち?
    sho
    sho 2024/09/26
    現実の落とし所は裁量権のあるハイブリッド勤務なんだから、このアンケートはただのエンタメだよなぁ