はじめに セキュリティ業界は人が少ないので、どこに行っても名前を聞く人とか、バイナリを見ただけでどこ製のマルウェアかわかる人とか、つよつよ人材が身近にいがちです。そんなトップガンを目指すのも一興ですが、ある程度の期間は、起きている時間全てをセキュリティに捧げる覚悟が必要です。私はそこまでできないので、別の戦略で生き延びています。そんな話です。 セキュリティ以外に得意分野を作ろう 私はもはやセキュリティの技術的な能力は干からびてしまっていますが、文書を作成するのがまあまあうまいです。今の会社はこの一点突破で採用されました。セキュリティを知っている人はたくさんいます。文書を作成するのがうまい人は星の数ほどいます。ではその両方は？おそらくとても少ないです。なぜなら大抵のセキュリティエンジニアは報告書などの文書作成が苦手or嫌いだからです。（そのうちchatGPTに駆逐されそうではありますが） 「

この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023 の4日目です。年末進行、いかがお過ごしでしょうか？みなさま無事に仕事が納まることを願っております… 新人インフラエンジニアが、本番ウェブサーバー60台のホスト名を全部 cat にしてしまった話について、ここに供養させていただきたいと思います 背景 おそらく今から7年くらい前、インフラエンジニアとして転職してきて1年ほどが経ち、本番環境での作業もこなれてきたなというバッチリのタイミングで事を起こしてしまいました。サーバーは CentOS 6 だったと思います。 職場としてはまだまだベンチャー感にあふれ大きな裁量が与えられスピード感のある環境ながら、サービスの登録ユーザー数は1,000万を超え、本番環境の規模としては既になかなかの大きさがあり、ウェブサーバーだけでも60台くらいあったと思います。ひと山につき

*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ

サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して対策に乗り出すようになった。その結果、サイバーセキュリティ人材の需要が大きくなる半面、これに供給が追い付いていないという事態が生まれている。 ISC2の調査によると、日本におけるサイバーセキュリティ人材は48万1000人で2022年比23.8％増となっているが、求められる人材数は59万1000人（2022年比33％増）であり、需要と供給の間にはまだまだギャップがある。 ではこのようにサイバーセキュリティ人材が不足している要因や背景には何があり、企業がサイバーセキュリティ人材を獲得するためにはどうす

こんにちは、@okazu_dm です。 今回は、ChatGPTの画像認識機能1 (通称GPT-4V)の自動巡回との親和性を探る試みの一つとして、CAPTCHAをChatGPTで解くことが可能かどうかを検証しました。その結果について紹介します。 文中のCAPTCHAの定義 この記事ではCAPTCHA「サイトをbotアクセスから守る目的でアクセス元が人間であるかどうかを自動判別する仕組み全般」をCAPTCHAと呼びます。 音声を文字として入力させるものなどもありますが、今回行った検証で対象とするのは画像を識別させるタイプのCAPTCHAです。これの例としては、以下のように難読化された文字を識別して入力させるものが一般的かと思われます。 また、Googleが提供するreCAPTCHAは、現在v3まで出ていますが、v3はユーザインタラクトを必要としないため、この記事中ではv2を使って対応します。r

”フリーランス”って、なんかかっこいい 働き方の多様化が進む昨今、その波は専業主婦の間でも広がりをみせている。これまで扶養控除枠で働くにはパートタイマーが主流であったが、現在はフリーランスを選択する専業主婦が増えているという。 その理由は、自分でスケジュールの管理ができることや、自宅で仕事ができるなど、家族の間で急な頼まれごとをされても臨機応変に対応できることに魅力を感じているということだが、そこには思わぬ落とし穴も待ち受けているようだ。 都内在住のリナさん（仮名、38歳）もコロナ禍のなかで、未経験からフリーライターになった専業主婦のひとりだ。本人はやる気に満ちて活動する一方で、その働き方に周囲が理解してくれないことに悩んでいるという。 「出産直後の大変な時期がひと段落して、ふと、働きたいなぁと思ったんです。でもコロナ禍の時期だったので、自分が働きたいと思える求人があるのか不安でした。そん

2023/06/18 騒動の元凶となったTweetについては本人から掲載許可をいただいております。あくまで本記事の目的は知識・用語の整理および以後の混乱を避けるための一提案であるため、本人への突撃などはご遠慮ください。 2023/05/08 AIをArtifact Intelligenceと誤表記していたので修正 tl;dl 筆者が"OSINT"について言及した結果、炎上にガソリンを撒いてしまった恐れがあるため用語の整理と筆者なりの考えをまとめた OSINTという単語は『インターネットを使ってほにゃほにゃした』という非常に漠然としたコンテキストの元で使用される場面が散見され、聞き手にそのコンテキストが共有されていない場合は解釈に不一致が生じる 少なくとも単発のアクティビティや公開情報からの情報収集という行為においては、OSINTという専門用語を持ち出さずとも適切な日本語を使用したほうが聞き

いろんなプロンプトを試しながら、作曲AIで遊んでみよう！

いかにも海外の煽り記事みたいなタイトルを付けてしまったが、おおむねそういう感じの内容の論文が発表されて、興味深かったので今回はそれについて書いてみたい。 最近、「AGIが人類を滅亡させる！」みたいなAI人類滅亡説がにわかに広がっているらしい。 これの言い出しっぺみたいな人は、ユドコウスキー氏という方らしいが、彼は何十年も前からAI脅威論を言っていたらしい。そういう人もいるとは思うが、最近はそれを真に受けちゃう人が増えてるらしい。ChatGPTの実力に驚いた人が増えたからだろうか。 ホワイトハウスでFox Newsの記者が「AIが人類を滅亡させるってホントですか？」と質問しちゃうというような、パニック映画さながらの出来事まで起きている。これはエイプリルフールではない。 ホワイトハウスでFox Newsの記者が「機械知能研究所の専門家がAI開発を無期限に停止しないと文字通り地球上のすべての人間

次代を担う情報セキュリティ人材を発掘・育成するセキュリティ・キャンプのフォーラムで講演してきたときのネタの部分だけ切り抜いたものになります。 経済産業省、セキュリティの企業、修了生の方々など多くのセキュリティガチ勢にご覧いただきました。 ※ネタの中にプロモーションが〜という件がありますが、自主的に考えたネタであり、プロモーション費をいただいているわけではありません。 セキュリティ芸人ネタ ◆新ネタ 脆弱カフェ：https://youtu.be/91BO5Gh-5RM ◆R-1グランプリ2回戦ネタ：https://youtu.be/RcsPagPIs2w ◆画像認証(reCAPTCHA)：https://youtu.be/8tVIR7mnY-c プログラミルクボーイ ◆「Internet Explorer」：https://youtu.be/H9Fnvt_okn0 ◆「Vim」：htt

国土交通省の河川カメラ、300台以上が不正アクセスを受けた疑いで運用を休止している問題で、複数の専門家はカメラが別のサイバー攻撃の踏み台として悪用された可能性を指摘しています。 これは、国土交通省近畿地方整備局が各地に設置している河川カメラのおよそ260台が外部から不正にアクセスされた疑いがあるもので、中国地方や四国などあわせておよそ70台にも不具合のおそれが見つかり、いずれも運用を休止しています。 ぜい弱性つかれ、機器が乗っ取られた可能性も サイバーセキュリティーの動向に詳しいNTTデータの新井悠さんなど複数の専門家によりますと、今回の河川カメラはインターネットにつながった、いわゆる「IoT機器」とみられ、一定の期間に大量の通信が確認されていることなどから、機器のセキュリティーのぜい弱性をつかれ、ウイルスに感染させられるなど「乗っ取り」の被害にあった可能性があるとしています。 乗っ取られ

この記事はRuby Advent Calendar 2022の第20日の記事です。前日の記事は@ydahさんによる「RuboCopのバージョンを最新に保つ技術」でした。 2022年11月22日に、Ruby cgi gemのHTTPヘッダインジェクション脆弱性CVE-2021-33621が発表がされました。 CVE-2021-33621: HTTP response splitting in CGI RubyのCGIライブラリにHTTPレスポンス分割脆弱性があり、秘密情報が漏洩する - HackerOne CGI::Cookieクラスにおけるセキュリティ上好ましくない仕様および実装 - HackerOne 私はHackerOneを通じてこの脆弱性を報告しました。この記事では、当該脆弱性の概要と発見の経緯などについて報告します。 概要 脆弱性発見の経緯 影響を受けるアプリケーション 影響 対策

こんにちは。 NFTが盗まれる！みたいなやつの対策。 誰も本当の事を教えていないのでわたしが書きます。 いつも通り主観がかなり強いですが、 まじでめっっっちゃ自信がある内容なので 是非読んでってください。 文中のクラック/クラッキングは、俗にいうハッキングの事です。 インターネット老人は悪意のあるハックをクラックと呼びます。 タイトルはわかりやすくするためにハッキングにしたよそれではさっそく ✨１．あきらめろこれはマジで大事なことです。 クソまじめに書いてるので、ブラウザを閉じたくなる気持ちはわかりますが、Uターンせずに絶対読んでください、頼むお願い。 …もしもあなたが仮想通貨(NFT)に触れてまもなく、かつ、インターネット歴も数年とかで、「嘘を嘘と見抜けない」タイプの場合、必ず騙されます。これは100％確定しているといってもいい。 わたしは普段こうした人たちを、リテラシーが低いとか里がど

ジブリ映画のテーマパーク「ジブリパーク」の運営を担当する中日新聞社傘下のジブリパーク社は9月24日、スタッフ募集に応募した1525人の個人情報が流出したと発表した。委託先企業が金銭を要求される事件に発展している。 不正アクセスがあったのは9月22日。ジブリパークがスタッフの派遣を委託しているテツコーポレーションの採用管理システムから応募者の氏名や住所といった個人情報が盗み出され、その後テツコーポレーションに対して金銭を要求してきたという。 テツコーポレーションは警察に報告するとともに被害に遭った応募者に連絡をとり始めた。ジブリパーク社は「今回の事態を重く受け止め、委託先を含めた情報管理の一層の強化を図り、再発防止に努める」としている。 ジブリパークは愛知県が事業主体となり、「愛・地球博記念公園」に建設を勧めているジブリ映画のテーマパーク。企画監修と開発をスタジオジブリ、管理運営を中日新聞社

とりあえず落ち着け。 みなさん、毎日なにかしらのコードを読み、開発する日々を送っていると思います。そんな中で、 糞コードは死ぬべきである！！絶対に直すべき！！ という感情に取りつかれてしまうことがあると思います。自分の技術力に自信のある人ほど、無理やりにでも直そうと試みると思います。それがどんな修羅の道か。そして、糞コード修正がどんな道を歩むのか。この記事では糞コード修正の罠とありがちなストーリーについて書きたいと思います。 ビジネスとしてのプログラムは本質的に糞である 例えば、「携帯電話の利用料金」のプログラムがあります。 「携帯電話　透明性高め料金値下げを」という記事もあるように世の中の携帯電話の料金プランはかなり複雑です。例えば、auだと「auでんき」といった電気料金とパックされた電話料金プランがあります。また、「auスマートバリュー」といったプランもあり、家のインターネット回線をa

ユーザーローカルが、ダミーの氏名・住所などの個人情報を自動生成するWebサービス「個人情報テストデータジェネレーター」の無償提供を始めた。最大1万行を生成し、CSV形式のファイルなどでダウンロードできる。システム開発時の動作テストやセキュリティチェックなどに使えるという。 生成できるのは、氏名や年齢、生年月日、性別、血液型、メールアドレス、電話番号、郵便番号、住所、会社名、クレジットカード番号と期限、マイナンバーの情報。氏名は漢字・平仮名・片仮名・ローマ字などを選択でき、年齢は「20～80歳」など指定した範囲を基に日本の人口比に合わせて出力できる。 データはCSV・TSV形式かExcelファイルでダウンロードできる。生成するデータ数は1件単位で設定できるが、1万行以上はユーザーローカルへの問い合わせが必要だ。 同社はシステム開発時のセキュリティチェックなどに使うダミーデータの作成に手間がか

新型のiPhoneやiPadは、発表前から設計図やプロトタイプなどの機密情報が流出することが多く、Appleは流出を防ぐための専門チームを編成しています。この専門チームが設計図やプロトタイプの流出元に関する情報を、二重スパイから得ていたことが報じられています。 Apple’s Double Agent https://www.vice.com/en/article/3aqyz8/apples-double-agent 9to5Mac Writer Paid Source $500 in Bitcoin for Stolen Apple Data https://www.vice.com/en/article/v7en78/9to5mac-writer-paid-source-dollar500-in-bitcoin-for-stolen-apple-data テクノロジー関連メディアのMo