はじめに こんばんは、mirukyです。 ある日突然、AWSから $15,000（約200万円）の請求書 が届いたらどうしますか？ 2026年3月、海外でまさにこの事態が発生しました。個人開発者のS3バケットがDDoS攻撃を受け、3日間で160TBのデータ転送が発生。結果として約200万円の請求が来たのです。AWS側に減額を申し出て一部減額は受けたものの、それでも到底払えない金額が残りました。 怖いのは、この事態は誰にでも起こりうるということです。S3バケットをパブリックに公開している、あるいはCloudFrontの背後に適切な保護を設定していない——それだけで、あなたのAWSアカウントも同じリスクを抱えています。 本記事では、AWS公式ドキュメントと料金体系に基づき、S3/CloudFrontのコスト爆発を防ぐための具体的な防止策をコンパクトにまとめます。 目次 なぜS3のデータ転送で2

アジェンダ 1. 自己紹介 2. 背景と課題 3. 複製不可能な鍵運用とは 4. 代表的な方式と選び方 5. 導入デモ手順 6. まとめ 2 / 51 自己紹介 • • • • • • matsuuです ◦ X @matsuu ◦ Bluesky @matsuu.bsky.social ◦ Mastodon @[email protected] ◦ mixi2 @tmatsuu ◦ はてな @tmatsuu 主に技術ネタをはてブ→SNSに共有する驚き屋 好きなTerminal ◦ Ghostty ◦ Windows Terminal ◦ foot Terminalは白地に黒文字派。ThemeはDimidium推し 気になっているCLI/TUIツール ◦ SecretSpec https://secretspec.dev/ ◦ Gonzo https://github.com/control

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

本稿は、お客様から「貴社ドメインからSPF/DKIM認証が失敗しているメールがある」とご連絡をいただき、原因調査を行った際の知見を共有致します。 メールの仕組みって奥が深い。 内村でございます。 （知らないことを知れるのは楽しいですね） お客様がDMARC（Domain-based Message Authentication, Reporting and Conformance）のポリシー強化を進められる中で、弊社ドメインに関連するSPF/DKIM認証失敗の報告を受けました。 結論として、原因は「弊社内でのメール転送」でした。なりすましでもシステムの不具合でもありません。 しかし、この結論に辿り着くまでの調査プロセスと、そこで得た知見は、同じような問い合わせを受けた方のお役に立つかと思い、記事にまとめました。 内容についての諸注意 お客様からのお問い合わせ内容 DMARCとは（おさらい）

みー @JFMgEb8e7s9uwmw ついに来た‼️こちら危険なマロです‼️ 秘密の質問(パスワード忘れた際に答える物)の答えを探る物と言われています。周りの様々な方に届いてるのも何度も目撃しているのでここで実際のマロと共に注意喚起します。 こんだけ大量の質問をしときながら人間らしいコメントなし=怪しい！ 回答しないように‼️ pic.x.com/LbFfa9MY6R 2026-03-20 16:38:50 秘密の質問 秘密の質問（ひみつのしつもん）またはセキュリティ質問（セキュリティしつもん、英語: security question）は、認証者によって用いられる共有秘密鍵の一形式である。 「あなたのペットの名前は？」「あなたの母親の旧姓は？」「初めて見た映画のタイトルは？」などの質問が秘密の質問として挙げられる。銀行（例えばりそな銀行）、通信会社、インターネット事業者（ウェブサイト）

Kasperskyが確認した事例では、改ざんされたlibandroid_runtime.soをZygoteプロセスに読み込ませている。これにより、Zygoteがアプリケーション起動ごとにそのプロセスにマルウェア機能をインジェクションする。 こうなると、起動したアプリは全てマルウェアによってなんだかんだされるのでどうにもならない。削除することもできないし。 そもそも、改ざんされたとみられるAndroidファームウェアのファイルは正規の署名が含まれるものもあるようで、開発者環境が侵害されているのが濃厚。 アップデートサーバから配信されて、ファームウェアアップデートでマルウェアに感染したものもあるようだ。 securelist.com どうにもならん。 ユーザからの奇妙なDNSリクエスト報告 あるユーザがXDAにて、Alldocube製品の通信に変なDNSリクエストが含まれていることを確認した。

TL;DR Cloudflareのアドバンテージは、次の3点です。 無料プランだけでWAF・ボット対策まで揃う、セキュリティの充実度 DNS統合だからこそ、煩雑でリスクの高い設定をワンクリックで実現 AIクローラー対策やページ先読みなど、最新トレンドへの即応 つい3日前にCloudflareへ移転したばかりです。構成はシンプルで、Cloudflareでドメインを取得し、GitHubリポジトリと連携して静的コンテンツをCloudflare Pages[1]へデプロイしています。この構成だけでも思いの外多くの恩恵が得られたので、まとめておきます。 Cloudflareでの設定 Cloudflareのダッシュボードで有効にした機能を、カテゴリごとに紹介します。いずれも無料プランで利用でき、ほとんどがトグルひとつで有効にできるものです。なお、本記事の機能名やβ表記は2026年2月時点のCloudf

「サポートが終了したルーターやVPNは、すべて廃棄してください」 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が、連邦政府の「文民行政機関」に対して、こんな命令を出した。2026年2月5日に同庁がウェブサイトで公表している。この「文民行政機関」という言葉が聞き慣れないため調べると、国防総省やCIA（中央情報局）など軍事や情報に関わる機関を除く言葉のようだ。 書き出しの文言については、だいぶ意訳したのであらためて正確に書く。CISAは政府機関に対して次のように命じている。「指定された期限内に、稼働中のエッジデバイスの資産ライフサイクルの管理を強化し、OEM（メーカー）によるサポートが終了したハードウェアおよびソフトウェアデバイスは全て削除しなければならない」 このエッジデバイスという言葉は、政府機関の内部のネットワークと外部のネットワークの境界で使われる機器やソフトウェアを指

ネットで無料で閲覧できる情報や、無料で利用できるサービスには、大抵広告が付いている。これはビジネスモデルとして仕方がないところではあるが、ニュース記事なのに広告で本文が読めないなど、その在り方には本末転倒感が漂ってきているところである。 ネット広告の問題を挙げればキリがないところではあるが、昨今筆者が注意してサンプルを収集しているのが、UIを偽装するタイプの広告である。こう言われてピンとくる人は少ないと思うので、例を挙げながら解説する。なお広告画面には著作権があるため、純粋に広告に関わる部分、あるいはセキュリティに関わる部分にはモザイク処理を行っている。 まずオーソドックスな例としては、以下のようなものがある。 一見何の変哲もないゲームの広告のように見える。ゲームのプレイ画面がアニメーションで表示され、上部に見える「Skip」もしくは「×」で広告を閉じられるという作りだ。 この「Skip」

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに メールセキュリティの用語って、アルファベットばかりで難しく感じませんか？ 「 SPF 」「 DKIM 」「 DMARC 」...。 どれも重要だと言われますが、具体的に何をしているのかイメージしづらいのが正直なところです。 この記事では、専門用語を極力使わず、 直感的なイラストと例え話 で、これらの仕組みを「世界一わかりやすく」解説します。 1. SPF (Sender Policy Framework) ：「招待客リスト」を持ったドアマン SPF は、メールの 「送信元の住所（IPアドレス）」 をチェックする仕組みです。 例

2要素認証などでよくみる6桁のワンタイムパスワードですが、個人的に何となく気になっていることがありました。 それは 同じ数字が並ぶことが多いな と感じるということです。 この記事では 「同じ数字が並ぶ」という直感が正しいのか？ 何かの目的 (例: 入力を楽にする) があってこうなっているのか？ ワンタイムパスワードの生成アルゴリズム的にこういう偏りが生まれやすくなるのか？ という素朴な疑問を解決すべく調査・検証してみました。 ワンタイムパスワードの仕様 6桁のワンタイムパスワード（以下、OTP）は、実は国際的に標準化された仕様に基づいて生成されています。 RFC 4226 - HOTP: An HMAC-Based One-Time Password Algorithm RFC 6238 - TOTP: Time-Based One-Time Password Algorithm HOTP

Malwarebytesはこのほど、「Your passwords don't need so many fiddly characters, NIST says｜Malwarebytes」において、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)がクレデンシャルサービスプロバイダー(CSP: Credential Service Providers)要件のガイドライン「NIST Special Publication 800-63B」を改定したと伝えた。 同ガイドラインではパスワードの扱いを定めており、重大な変更が行われたという。 Your passwords don't need so many fiddly characters, NIST says｜Malwarebytes 新ガイドラインが定めるパス

はじめに 昔からサービスの運営者を困らせてきたものはいくつかあると思いますが、 特に代表的なのが “自動化による悪用” です。 スクレイピングによる無断データ収集や、予約システムを狙ったボット、さらには不正ログインを試みる自動化ツールなど、その形は時代とともに多様化してきました。 X (旧Twitter) には、今でも詐欺DMを送るボットが多いです。(自分は毎日来ます。) また、大阪万博の予約を勝ち取るために、サーバーに過度の負荷をかける形で自動化が悪用された事例もあります。 そして、最近はAIを利用した巧妙なものも増えています。 この記事を読んで、そのような事態に対処できるように知識が少しでも増えれば良いな、と思っています。 ぜひ少しでも役に立てば、いいね・他SNSへの共有など、よろしくお願いします！！ 実例 2025年現在、大阪万博なる物が開催されており、DX化の一環として予約をウェブ

Windows10のサポートは日本時間で2025年10月15日で終了となります。それよりあとはセキュリティ更新プログラムが配信されなくなります。しかし、延長サポートとなるESU (Extended Security Updates)に登録することで、個人ユーザーは追加で1年間、セキュリティ更新プログラムを受けられます。(つまり、サポート終了日以降も追加で1年間、セキュリティを保てます) 本記事では、個人ユーザーがWindows10のESUに登録する方法(無料および有料)を解説いたします。 備考: 本記事は個人ユーザー向けです。企業・組織向けESUについてはMicrosoftのページ(1 / 2)をご覧ください。個人ユーザー向けESUは最大1年間、企業・組織向けESUは最大3年間利用できます。 ESUの登録手順は以下。 1.) 『設定』 → 『更新とセキュリティ』 → 『Windows Up

トップページ 情報セキュリティ 重要なセキュリティ情報 2025年度 「Active! mail」におけるスタックベースのバッファオーバーフローの脆弱性について（JVN#22348866） 注釈：最新情報は、JVN(JVN#22348866)をご覧ください。 概要 株式会社クオリティアが提供する「Active! mail」は、ウェブメールシステムです。 「Active! mail」には、スタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）が存在します。 本脆弱性を悪用された場合、遠隔の第三者によって細工されたリクエストを送信され、任意のコードを実行されたり、サービス運用妨害（DoS）状態を引き起こされたりする可能性があります。 同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、最新版にアップデートしてください。

はじめに 本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。 ハッカーとのやりとりの流れ ハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくる Githubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに