依頼主と共に綿密な計画を立て、実施を決定したレッドチームの物理侵入テスト。まさかテスト担当者が現行犯逮捕され、計10万ドル（約1,000万円）もの保釈金を支払うはめになるとは――。 2020年8月5日、6日にオンライン開催されたセキュリティカンファレンス「Black Hat USA 2020」の講演で、昨年9月に発生した“レッドチーム逮捕事件”の経緯と顛末について、当事者であるCoalfire（コールファイア）社のセキュリティ専門家2人が詳細に語った。 この事件は州政府／郡政府の独立性が高い米国固有の事情がからんだレアケースにも見えるが、セキュリティテストにおいて双方の見解や視点、感情の行き違いから大ごとに発展するケースは国や文化を問わないものだ。講演から事件を振り返り、今後同じ状況に陥らないためにも何ができるかを考えたい。 州政府から裁判所への物理侵入テストの依頼を受ける Coalfir

NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外

FIRST（Forum of Incident Response and Security Teams）は、インシデント対応チームによる相互協力を促進するため、インシデント対応の標準化を進めています。その一環として、FIRST加盟組織は特定のテーマについて議論するSIG（Special Interest Groups）を立ち上げ、インシデント対応チーム間の相互協力を促進する基準の開発が奨励されています。このうち、TLP（Traffic Light Protocol）SIGでは、機微な情報の取り扱い基準を示すことで情報の幅広い共有を手助けする、TLPの定義を決定する役割を担っています。TLPとは、情報共有の促進を目的に作られたもので、機密情報を確実に適切な組織または人に共有するために使われる一連の標示です。 「TRAFFIC LIGHT PROTOCOL (TLP) FIRST Standa

魔法少女くにゅくにゅ a.k.a. 椚座 淳介 @kunukunu USB Type-C が急速に普及したのは，あらゆる製品メーカーに「Micro Bなんか二度と使いたくない」という共通の強い想いがあったからじゃないかと思う。Micro Bコネクタは強度も耐久性も微妙で，コネクタ破損がクレームの源泉と化していた。

ぼくは大昔からインターネットを使っている。 だからインターネットで起こったことはたいてい知っている。 これは誇れることではないかもしれないけど、 最近は「インターネット老人会」なんて呼ばれていて、 少し救われた気分になっている。 誰でも同じ境遇の仲間をみつけるとホッとするものだ。 とりわけ僕が知っているのはWebについてだ。 具体的にはBlogとかWeb日記が好きだった。主に技術的な事柄だ。 Webという言葉はとても広い意味なのでふさわしくないかもしれないが、 ぼくはWebという言葉の響きがとても好きなので、使わせてもらう。 ここに書いていることはぼくのとても個人的な文章だから、 何をどう表現しても自由だと思う。 ぼくは2007年4月からTwitterをはじめた。 2007年というとだいぶ昔のことだと世の中の人はいうかもしれない。 でも、ぼくにとって2007年は最近のことな気がする。 だか

昔から「早生まれ（1月〜3月生まれ）」は学校生活で損をするといわれてきた。特に幼少期では生まれた月の違いによる成長差は大きく、学年内で“最年長”の4月生まれの子供は相対的に体格がよく、勉強やスポーツに秀で、リーダー的な存在になりやすい一方で、“最年少”の3月生まれは何事にも遅れがちになるといわれる。 こうした差があるのはせいぜい小学校までの間だけで、年齢を重ねると差はなくなると誰しも考えている。しかし、労働経済学を専門とする東京大学大学院経済学研究科の山口慎太郎教授は、7月11日に公表した論文（Month-of-Birth Effects on Skills and Skill Formation）で、生まれ月による差は想像以上に長く続くとする研究結果を発表した。 「早生まれの不利は、高校入試にもあらわれています。3月生まれと4月生まれで入学した高校の偏差値を比べると4.5も違います。大学

Twitterで一番警戒した方がいい情報、bioがやたら長いとか名前に@が入ってるとかじゃなくて｢2009年からTwitterを利用しています｣でしょ— ジスロマック (@yomooog) 2020年8月17日 Twitterで一番警戒した方がいい情報は｢2009年からTwitterを利用しています｣というものだというツイートが話題になったので2009年にツイッター関連で何があったのか調べてみた。振り返ってみると「ヒウィッヒヒー」に代表される一年で、有名人・芸能人が入ってきたこと、公式アカウントが続々とでき、メディアでも取り上げられるようになり（2010年4月からは「素直になれなくて」が放送）、8月に衆議院議員総選挙があったことから政治家のツイートに注目が集まることが多かった。そんな有名人や政治家、アニメの公式アカウントなどからの情報を得たくて入ってきた人がそれなりに多かった年とも言えなく

世界経済フォーラム第四次産業革命日本センターの藤田卓仙です。 これまでの記事では、日本の「接触確認アプリ」の特徴と「プライバシー保護の仕組み」についてお伝えしました。今回は、「接触確認アプリ」の現状と今後に向けた課題についてお伝えします。 ※　内閣官房の新型コロナウイルス感染症対策テックチームでは、「接触確認アプリに関する有識者検討会合」を5月9日から開いており、私はそのメンバーでもあります。ただし、ここでの説明はあくまで個人の立場からのものであり、公式の見解ではありません。日本型「接触確認アプリ」COCOA（ココア）の導入について6月19日に日本の新型コロナウイルス接触確認アプリCOCOA（COVID-19 Contact Confirming Application）がリリースされました（8月18日現在、アプリは1.1.2というバージョンのものが最新です）。COCOAのダウンロード数は

最近Chrome DevToolsについて調べていて発見した便利機能を紹介します。 誰もが使える最高便利な開発マシンChrome DevToolsを使いこなして開発体験を変えましょう！ 1. $0で選択中のDOM要素の取得 特定の要素に何かしたいという時には、要素のIDやclassを確認してConsoleでdocument.querySelector("#xxx")で取得するというのが一般的だと思います。実はそれはカーソル選択と$0で代替できます。 Classや、IDがついていない特定のDOMを取得したい時とかにも使えるので地味に便利です。 手順 カーソルで取得したい要素を選ぶ Consoleタブで$0を入力 最近知ったChrome DevToolsの便利機能① $0 での選択中のDOM要素取得 Elementsタブで選択状態のDOM要素は、Console上で $0 を入力することで取得で

クラシック音楽などを演奏する際に飛まつが広がる範囲を楽器ごとに実験したところ、最も多く測定されたトランペットでも前方に集中していることなどが明らかになり、調査にあたった団体は、演奏会を従来の形に近づけるための科学的な根拠になるとしています。 この実験は、クラシック音楽の公演に関わるオーケストラや企業などで作る「クラシック音楽公演運営推進協議会」などが、先月、長野県茅野市の研究施設にあるクリーンルームで行いました。 トランペットやバイオリンなど12種類の楽器の演奏者、合わせて36人が、医師などの専門家の監修のもとそれぞれ演奏を行い、前後左右に設置した9台の測定機器で飛まつの量を測定しました。 その結果、飛まつが最も多く測定されたのはトランペットで、音の出る先端では6秒間に最大でおよそ1万2000の粒子が確認されましたが、演奏者の左右や後ろではほとんど確認されず、飛まつは前方に集中していること

なんだかんだ、VTuberのオタクをやって2.5年くらい経ってしまった。そのくらいオタクをやると、否応にも自分なりの知見が蓄積され、見方が固まる。それにさほど価値はない気もしつつ、ただの庶民でも化石になれば史料になるかもしれないと思ったので、軽く書き残しておく。 2020年の業界情勢①にじホロ二巨塔時代 2020年8月現在、VTuberのメインストリームはほぼにじさんじとホロライブの寡占状態にあると言っていい。 【にじさんじ】 いちから株式会社運営。月ノ美兎を筆頭に、総勢100人超のタレントが所属する業界最大手グループ。性格、趣味、性別、年齢、下手すると生物種まで様々なタレントがいるため、誰かしら自分好みの人がいる確率が高く、結果的にファンの総数も多い。【ホロライブ】 カバー株式会社運営。30名強の女性タレントが所属し、ほぼ全員が銀盾ライン（＝チャンネル登録者数10万人）を達成している売れ

米カリフォルニア州で、コロナ対策の外出禁止令に対する抗議集会に参加する陰謀論グループ「Qアノン」の支持者（2020年5月1日撮影、資料写真）。(c)Sandy Huffaker / AFP 【8月17日 AFP】米ジョージア州で11日行われた共和党の下院予備選で、極右グループ「Qアノン（QAnon）」の陰謀論を推奨し、米国で最も抑圧されているのは白人男性だと主張するマージョリー・テイラー・グリーン（Marjorie Taylor Greene）氏が党主流派を破って当選した。ドナルド・トランプ（Donald Trump）大統領は翌日、ツイッター（Twitter）への投稿で「未来の共和党のスター」と称賛した。 米下院予備選が全国的に注目されることはめったにないし、ましてや現職大統領の関心を引くことはほとんどない。だが、トランプ氏は12日、下院入りがほぼ確実となったグリーン氏を「おめでとう」と祝

はじめまして、ふみふみと申します。 今は、Fintech系の会社で情シスのリーダー(5ヶ月目)をしております。 note初投稿ですが、よろしくお願いします。 【追記・修正】 僕の知識不足により正確でない表現をしていました。申し訳ありません。 シンジさん（株式会社クラウドネイティブ：齊藤愼仁さん）よりご指摘を頂いたので一部修正しています。 ・まだ「ゼロトラスト環境」ではない。ゼロトラストを目指している段階 ・パスワードリセットは「ユーザー自身」にさせるべき => ユーザーですらパスワードを知らない・リセットさせないことで、ポリシーで防ぐよりも前段階で何もさせないようにしている（独自の考え） ・BYOD防止は認証認可 / ポリシーで行うべき => 認識はしているが未着手... 自己紹介・略歴現在4社目、31歳♂。高校時代には夏コミで3徹半しました。 =====職歴======= 1社目：Web

note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat