はてなブックマーク

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウェブアプリケーションに作り込まれやすい脆弱性とは何だと思いますか。セキュリティ企業のラックでは、年間1000件を超えるウェブアプリケーション診断（以下、Web診断）を実施しています。ラックが報告した脆弱性を分析してみると、「ウェブアプリケーションに作り込まれやすい脆弱性は何か」の傾向が見えてきました。そんなWeb診断の統計結果と専門家の一意見を前後編に分けて読者の皆さんに共有します。題して、「Web診断サービスで見つけた脆弱性、ちょっと見てみませんか？」。 リスクマネジメントやサイバーセキュリティへの関心がますます強まる昨今、なぜウェブアプリケーションに脆弱性が作り込まれてしまうのか、どのように対策していくべきなのかについて、考えてみ

メモリー関連の不具合を減らすために、「Android」の新しいコードにRustを使用するというGoogleの判断は、成果を挙げているようだ。この数年で、Androidのメモリー安全性関連の脆弱性は半分以下になった。この成果が達成された時期は、GoogleがCやC++からメモリー安全性の高いプログラミング言語であるRustに切り替えた時期と一致する。 Androidに発見されたセキュリティホールの中で、最も件数が多かったカテゴリーがメモリー安全性関連の脆弱性でなかったのは2022年が初めであり、Googleは1年前に、「Android Open Source Project（AOSP）」で新しいコードのデフォルト言語をRustに切り替えている。 GoogleがAndroidに使用しているほかのメモリー安全性を備えた言語には、JavaやJava互換のKotlinがある。AOSPで主流の言語はま

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）と連邦捜査局（FBI）は、2022年に入ってから、あるランサムウェアを使用した攻撃で100以上の組織が被害を受け、被害額が6000万ドル（約82億円）を超えていると警鐘を鳴らした。 今回発表された共同アドバイザリーでは、「Cuba」と名付けられたランサムウェアを使用した攻撃の件数と身代金の要求額が急増していると警告している。 アドバイザリーによれば、Cubaを使用した攻撃の標的になっているのは、重要インフラや金融サービス、医療機関、情報技術、行政サービスなどだ（ランサムウェアの名称は「Cuba」だが、攻撃グループとキューバの国は無関係とみられている）。 FBIは、情報が公開さ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 非営利の人工知能（AI）研究組織OpenAIは米国時間11月30日、対話型言語モデル「ChatGPT」を発表した。2022年初めに学習を終えた「GPT-3.5」シリーズのモデルを改良したもので、フォローアップの質問に答えたり、誤りを認めたり、間違った前提に異議を唱えたり、不適切な要求を拒否したりできるという。 テストのためのプレビュー期間中は、ChatGPTを無料で利用できる。日本語にも対応しており、Twitterでは「有能すぎる」などと話題になっているようだ。 ただし、ChatGPTは現段階では、もっともらしく聞こえるが不正確な回答や意味不明な回答をすることがあるという。また、言葉数が多すぎる一面もあり、OpenAIが訓練した言語モデ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます アドビは11月30日、同社が実施した日本におけるPDFファイルの利用状況や認識に関する実態調査の結果を発表した。これによると、PDFファイルの利用機会が増加している一方、ユーザーにおけるセキュリティ面での認識が不十分だと分かったという。 同調査は2022年10月21～26日、全国のビジネスパーソン600人を対象にインターネットで実施された。回答者は、仕事でデスクワークを主としており、月に1回以上PDFファイルを扱っていると回答した20～59歳で、性別と年代ごとに75人ずつ割り振っているという。 同調査では、コロナ禍前後でのPDFファイルの利用頻度について質問したところ、「以前よりも大幅に増えた」が15.0％、「どちらかというと以前よりも

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 インターネットは、現代社会を構成する重要な基盤となった。このような現状の中に、「インターネット通信をする全てのシステム」があり、さらに限定すると、「人が介するインターネットへの接続」がある。それに対して、「人が介する」の範囲に入らないインターネットの利用もある。つまり、モノによるインターネットの利用を示す「IoT」だ。 前回の記事で、このIoTがIT業界のバズワードとしてもてはやされた当時から相応の年月が経ち、着実に普及が進んでいると述べた。実際にこれまでITとは直接関

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティの世界において、1年は長い時間だ。 確かに、変わらないこともある。ランサムウェアは長年にわたりサイバーセキュリティの重大な問題となっているが、サイバー犯罪者が攻撃を進化させ続けているため、姿を消す兆しは全くない。また、かなりの数の企業ネットワークが今も無防備な状態にある。その原因の多くは、更新プログラムがずっと前から提供されているセキュリティ脆弱性だ。 しかし、ネットワーク内のソフトウェアの脆弱性をすべて把握していると思っていても、新しいセキュリティ脆弱性が常に発見されており、その中には重大な影響を及ぼすものもある。 「Log4j」脆弱性を例に考えてみよう。1年前には全く知られておらず、コード内に潜伏していたが、20

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間11月16日、多要素認証（MFA）に対する攻撃に対抗する複数の緩和策について同社ブログで説明した。ただこれらの緩和策は残念ながら、リモートワーカーにとって面倒なものに感じられるかもしれない。 3年前であれば、MFAを採用する企業はほとんど存在していなかったため、同認証に対する攻撃も珍しかった。このため、Microsoftはこうした攻撃に関する相応の統計情報を持っていなかった。 しかし、パスワードに対する攻撃がより一般的になり、それに伴ってMFAの利用が増加する中、同認証を回避しようとする攻撃者によるトークンの窃盗が増加していると同社は述べている。 この種の攻撃において攻撃者は、既にMFAによる認証を完了したユ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoft傘下のGitHubが発表した「Octoverse 2022」レポートによると、GitHub上のプロジェクトで最もよく用いられているプログラミング言語の上位はJavaScript、Python、Java、TypeScript 、C＃となっているという。 GitHubによる2022年のプログラミング言語ランキングは、前年と比べてほとんど変化がなかった。例外は、2021年に6位だったPHPと7位だった低水準言語のC＋＋の順位が入れ替わったことだ。8～10位はShell、C、Rubyとなっている。 しかし最も成長が著しい言語は、前年から56.1％の成長を見せたHashicorp Configuration Language（H

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米サイバーセキュリティ・インフラセキュリティ庁（CISA）と米連邦捜査局（FBI）は米国時間11月16日、「Apache Log4j」に存在する脆弱性「Log4Shell」に関する共同アドバイザリーを発表した。「VMware Horizon」のサーバーインスタンスにパッチを適用していない組織や、緩和策を講じていない組織は、ネットワークが侵害されていると想定し、それに応じた行動をとるよう注意喚起している。 この警告は、両者が「連邦一般行政部」（FCEB）と言及する組織で、サイバー攻撃が発生したことに起因している。調査から、攻撃者はパッチが適用されていないVMware HorizonのLog4Shellを悪用して、ネットワークに侵入したこと

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftはモバイル向け「Microsoft 365」のリブランディングを進める中、米国時間11月14日、「Android」および「iOS」向け「Office」アプリの「ファイル転送」機能を廃止すると発表した。 この機能は今後、同アプリと連携する「OneDrive」のファイル共有機能に置き換わるという。 Android版およびiOS版のユーザーは2022年12月31日まで、レガシー機能としてファイル転送機能を使い続けることができ、その後はOneDriveアプリの使用のみが可能となる。 Microsoftは発表の中で、「ファイル転送機能を用いて送受信したファイルはOfficeアプリ内に残り続け、今回の変更の影響を受けないので安心し

米国時間11月9日、機械学習のパフォーマンスを計測するベンチマーク「MLPerf」を管理している業界コンソーシアムMLCommonsは、ニューラルネットワークの「トレーニング」に関する最新のベンチマーク結果を発表した。 今回のラウンドでは、NVIDIAに対抗するチップメーカーが大手のIntelだけという異変が起きた。NVIDIAの対抗馬が1社だけというのは、この3年間で初めてのことだ。 前回の6月の発表を含めて、これまでのラウンドには、Intelに加えて、「Tensor Processing Unit（TPU）」チップを持つGoogleや英国のスタートアップであるGraphcoreなど、2社以上の競合他社が参加していた。中国の大手通信機器メーカーである華為技術（ファーウェイ）が参加していたこともある。 6月のラウンドはNVIDIAとGoogleが首位を分け合う結果になったが、今回はすべての

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます この数字は、Microsoftが発表したレポート「Digital Defense Report 2022」で明らかになったものだ。このレポートは、同社の製品やサービスの世界的なエコシステムから収集された、数兆件のアラートやシグナルの分析結果に基づいて作成された。 同社は、サイバー攻撃の頻度は増加傾向にあり、現在もアカウントのパスワードがハッカーの主要な標的になっていると警告している。多くのアカウントはパスワード以外に保護レイヤーを持っておらず、攻撃に対して脆弱な状態にあるという。 Microsoftは、パスワードに対する攻撃はアカウントを奪う主な手段になっており、1秒当たり921件発生していると述べている。パスワードに対する攻撃は、前年

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国家安全保障局（NSA）は米国時間11月10日、ソフトウェアのメモリー安全性強化に向けたガイダンスを公開した。同機関はその中で開発者らに対して、ハッカーらによるリモートコード実行（RCE）をはじめとするさまざまな攻撃からコードを保護するために、C＃やGo、Java、Ruby、Swift、Rustといったメモリー安全性の高い言語に移行するよう推奨している。 これらの言語の中では、Javaが企業向けアプリや「Android」アプリの開発で最も幅広く使用されている一方、Swiftは「iOS」アプリの開発環境に取り込まれている点もあって人気プログラミング言語の上位に入っている。また、RustはシステムプログラミングにおいてCやC＋＋の代替とし

ID管理ベンダーのOktaは11月9日から3日間、米国サンフランシスコで年次カンファレンス「Oktane 22」を開催。現地時間10日の基調講演で共同創業者兼CEO（最高経営責任者）のTodd McKinnon氏が登場し、従業員向けの「Okta Workforce Identity Cloud」と、2021年に買収したAuth0のテクノロジーをベースとする「Okta Customer Identity Cloud」の2つのソリューション体系を発表。今後の方向性を示した。 ID管理はセキュリティ、クラウド、DXを促進 Oktaneは3年ぶり10回目の開催になる。2009年にOktaを共同創業した（当時の社名はSaasure）McKinnon氏は、現地会場に参加した6000人とオンラインの視聴者を前に、10年間の成長を振り返った。 2013年時点の顧客数は500社、従業員数は200人だったのが

英国の数学者であるAlan Turing氏は1950年に、「『機械は考えることができるか』という問いについて考えてみることを提案する」と書いた。同氏の問い掛けは、その後数十年間にわたって、人工知能（AI）研究の議論の枠組みとして機能してきた。 AIについて議論してきた数世代の科学者にとって、AIが「本物の」（あるいは「人間の」）知性を実現できるかどうかという問いは、常に重要な要素だった。 しかし現在のAIは、多くの人にとってその問いが問題ではなくなるという転換点を迎えているかもしれない。 近年になって産業用AIと呼ばれるものが登場したことは、そのような高尚な問題意識の終わりを示している可能性がある。計算機科学者のJohn McCarthy氏が「AI」という用語を生み出してから66年が経ち、現在のAIが持つ機能は、これまでになく高度になっている。その結果、AIの産業化が起こり、議論の焦点が、

最新の取り組みは、ロボットが人間の曖昧な指示を理解して論理的に思考し、確実に反応できるようにする、Googleの「PaLM-SayCan」モデルをベースにしている。OpenAIの「GPT-3」 LLMや、GitHubの「Copilot」のような自動コード補完関連の機能もベースになっている。 「人間から指示が与えられた時に、ロボットが自分でコードを書いて世界とやりとりできたら、どうなるだろう」とGoogleの研究者は述べている。PaLMのような最新世代の言語モデルは、複雑な論理的思考が可能で、膨大なコードによって訓練されてきたという。「自然言語で指示を与えられると、最新の言語モデルは、汎用コードだけでなく、われわれが発見したように、ロボットの動作を制御できるコードの記述も非常に得意だ」 Google Researchは、新たに開発した言語モデルを「Code as Policies」と呼び、自

「Facebook」を運営するMetaは米国時間10月24日、同社が多数抱えている「Android」アプリのコードベースをJavaからKotlinに移行するという、複数年にわたる取り組みについて詳しく説明した。 同社が数千人もの開発者を抱えており、Facebookや「Instagram」「Messenger」のほか、「Portal」デバイスや「Quest」仮想現実（VR）ヘッドセットのアプリを含む数多くの大規模なAndroidアプリを有しているという点で、これは大変な作業だと言える。 MetaのソフトウェアエンジニアであるOmer Strulovich氏は同社ブログに、「Android開発に現在用いているJavaと距離を置き、Kotlinへと移行していくというのは簡単な作業ではない」と記している。 Kotlinへの移行は現在進行中だが、MetaのAndroidアプリのリポジトリーに格納され

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます マルウェア「Emotet」の感染を狙う攻撃が再び増加する恐れがあるとして、情報処理推進機構（IPA）やJPCERT コーディネーションセンター（JPCERT/CC）が11月4日、注意を呼び掛けた。7月中旬以降に目立った攻撃が観測されていなかったところ、11月2日から感染を狙うメールが出回り始めたという。 Emotetの感染を狙う攻撃では、悪質なマクロなどを含むOfficeファイル（あるいはこれらのファイルを内包したZipファイル）を添付、あるいはダウンロードリンクを記載したメールを送りつける手法が知られる。2022年4月には、細工されたLNKファイルもしくはこれを含むパスワード付きZipファイルをメールで送りつける手法も確認された。 I

「Google AI」イベントで「1000 Languages Initiative」について話す‪、Google検索担当VPのZoubin Ghahramani氏 提供：Sabrina Ortiz/ZDNET 同社の「1000 Languages Initiative」は、誰もが情報にアクセスできるように、世界中で最も話されている1000言語に対応したAIモデルを構築するという取り組みだ。 同社のシニアフェローのJeff Dean氏は、「言語は、人々が意思疎通し、まわりの世界を理解するために欠かせないものだ」とし、「しかし、世界中で7000以上の言語が話されているが、現在オンラインで十分に利用可能なのはごくわずかだ」と説明した。 この取り組みは非常に野心的なため、結実するまで長い年月を要するだろう。しかし、同社は既に、実現に向けて歩を進めている。 ブログ記事によると、同社は400以上の言

Jack Wallen （Special to ZDNet.com） 翻訳校正： 編集部 2022-11-04 07:45 「Secure Shell」（SSH）は、リモートの「Linux」マシンにアクセスするためのデファクトスタンダードのプロトコルだ。SSHはずっと前にtelnetに取って代わっており、リモートログイン用の新たなセキュリティ層を追加した。これは、多くの人が強く求めていた機能だった。 ただし、SSHのデフォルト設定は、自らのシステムのセキュリティについて深く懸念しているユーザーにとって、必ずしも最適なものではない。初期状態では、SSHは従来のユーザー名とパスワードによるログインを使用する。これでもtelnetを使用する場合に比べるとはるかに安全だが、インターネット上でパスワードを入力して送信することに変わりはない。 何者かがそのパスワードを傍受した場合、あなたのマシンにアク