カメラと繋がる回路をアンテナに!事実上防御不可能な盗聴技術が見つかる - ナゾロジー
デジタル機器の弱点が突かれました。 米国のミシガン大学(UM)で行われた研究により、スマホのカメラやホームカメラ、車載カメラに至るどんなカメラからでも、リアルタイムな盗撮が可能な技術が発表されました。 新たな盗撮技術は既存の機器では防御不可能であり、カメラの電源をオフにしても、理論的には、完全には防ぐことができません。 研究では実際のカメラが捉えた画像と盗撮された画像の比較が行われており、かなり鮮明な画像として抽出できることが示されています。 新たな技術はいったいどんな方法で、他人のカメラから情報を盗み出しているのでしょうか? 研究内容の詳細は、ネットワークシステムセキュリティに関するシンポジウム『The Network and Distributed System Security Symposium (NDSS) 2024』にて発表されました。
もう外部侵入を防ぐのは無理、著名ファイアウオール開発者がSOC自動化を進める理由
ファイアウオールの開発者として著名なNir Zuk(二ア・ズーク)氏は、今は攻撃者の侵入を前提としたセキュリティー対策の強化に注力しているという。こうした変化の背景、現在のSOC(セキュリティー・オペレーション・センター)の課題、AI(人工知能)を活用した今後のセキュリティー対策などについて同氏に聞いた。 ズーク氏は1990年代にセッション情報を管理するステートフルインスペクション方式のファイアウオールを発案したことで知られる。同氏はその後、次世代ファイアウオール(NGFW)を標榜するセキュリティー・ベンダー、米Palo Alto Networks(パロアルトネットワークス)を創業して長年CTO(最高技術責任者)を務めてきた。つまり企業ネットワークの境界において、サイバー攻撃を水際で防ぐ製品についてはプロ中のプロなのだが、近年は既に攻撃者が社内に侵入していることを前提とした防御策を重視して
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道:時事ドットコム
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道 2023年08月08日07時08分配信 ポッティンジャー前米大統領副補佐官(国家安全保障担当)=2022年7月、ワシントン(EPA時事) 【ワシントン時事】米紙ワシントン・ポスト(電子版)は7日、中国人民解放軍のハッカーが日本の防衛省の最も機密性の高い情報を扱うコンピューターシステムに侵入していたと報じた。2020年秋に米国家安全保障局(NSA)が察知し、日本政府に伝達した。しかし、日本のサイバー対策は依然として十分ではなく、日米間の情報共有の支障となる可能性が残っている。 米大使らのメール流出か 中国発サイバー攻撃で―報道 同紙によると、中国軍によるネットワーク侵入は「日本の近代史上、最も有害なハッキング」となった。元米軍高官は「衝撃的なほどひどかった」と語ったという。 報道では、米政府は20年秋、当時のポッティンジャー大統領副補佐
アマゾンの従業員は「かわいい女の子」だけを覗いていた…米国で大問題になった家庭用監視カメラの恐怖 女性81人のプライベートは丸裸だった
原告である米連邦取引委員会(FTC)が5月末に発表した。米ウォール・ストリート・ジャーナル紙によると、米AmazonがFTCとの和解のために580万ドル(約8億1000万円)を支払うことで合意した。 問題の焦点は、Ring社のプライバシーとセキュリティ慣行だ。FTCが公開した訴状によると、Amazonによる買収前まで、従業員と委託先企業の従業員が利用者の寝室や浴室などの様子を自由に視聴できる状態だった。 従業員の一人は、女性利用者らの数千本の録画映像を閲覧していた。「かわいい女の子」(pretty girls)を狙って覗きが繰り返されていたという。 このカメラは「見守りカメラ」とも呼ばれ、職場や外出先から自宅の様子をライブ映像で確認できる。Ring社のカメラはアメリカで代表的な地位を築いているが、利用者に安全・安心を提供するはずの製品が、セキュリティ上の最大の脅威となっていた実態が浮かぶ。
個人情報漏洩に関するご報告とお詫び | 小学館
このたび、弊社取締役が使用する会社貸与スマートフォンから、同スマートフォンに登録されていた個人情報が漏洩したおそれがあることが判明しました。社内調査のうえ、個人情報が漏洩した可能性がある方々には個別に連絡を差し上げ、お詫びと説明をさせていただいております。 取引先、関係先の皆さまに多大なるご心配をおかけしておりますことを深くお詫び申し上げます。 現時点で判明している事実について、以下の通りご報告いたします。引き続き調査のうえ、新たな事実が判明した場合には、当サイトにてあらためてお知らせいたします。なおこれまでに、個人情報の漏洩による被害発生の報告はございません。 1.経緯 2023年4月4日に弊社取締役が使用する会社貸与スマートフォンに、宅配業者を装ったSMSが届き、それを真正の不在通知と誤認してアカウント、パスワードを入力。その後、スマートフォンに表示された通知によって、第三者による不正
公共の充電ステーション、FBIが「使用避けて」と警告
ニューヨーク(CNN) 米連邦捜査局(FBI)は先週、ショッピングモールや空港にある充電ステーションにはマルウェア(悪意のあるソフトウェア)感染の恐れがあるとして、使用を避けるよう市民に警告した。 コロラド州デンバーのFBI支局がツイッターに投稿した。自分の充電器とUSBコードを持ち歩き、電源を使って充電することを勧めている。 公共の充電ステーションについては、セキュリティーの専門家らが長年、懸念を指摘してきた。2011年には、こうしたトラブルに「ジュースジャッキング」という名前も付けられた。 スマートフォンを充電コーナーにつないだだけで感染し、全てのデータが流出することもあるという。充電ケーブルは、スマートフォンからほかの端末へのデータ転送にも使えるケースが多い。 充電ポートにマルウェアが仕込まれている場合、メールや文字メッセージ、写真、連絡先など、どの情報が盗み取られてもおかしくない。
日本でもSBOM整備は義務化されるのか? OSS管理をめぐる、国際動向と今後の方向性
脆弱性のリスクが高いOSSとは 渡邊歩氏(以下、渡邊):みなさま、ご質問を投稿いただけましたでしょうか。それでは三田さま、もう一度お戻りいただきまして、みなさまからのご質問にお答えいただきたいと思います。 実は非常にたくさんご質問をいただいておりますので、みなさまが本当に興味のある分野ということがわかるかと思います。それでは1つずつ、三田さまにご回答いただきます。 まず1つ目のご質問です。「OSSの中でも脆弱性の対応頻度の高いものは、SBOMでトレースする意義が高いと思うのですが、そのようなOSSごとの更新頻度、脆弱性の対応頻度などの情報はお持ちではありませんか?」。こちらはいかがでしょうか。 三田真史氏(以下、三田):「OSSごとの」というところで、脆弱性頻度が高いものは確かに一部あるかなと思っております。SBOMなどを使って可視化していくことは重要だと思いますが、例えば脆弱性情報が出た
AI対応「新Bing」が素直すぎて秘密情報バラしまくり | AppBank
マイクロソフトは2月8日、「ChatGPT」に似たチャットAIを搭載した「新しいBing」を発表しました。しかしその翌日に、このチャットAIに隠された情報を、スタンフォード大学の学生ケビン・リュー氏がAIとの対話によって解き明かしています。 *Category:テクノロジー Technology *Source:Ars technica ,@kliu128 BingのチャットAIが「秘密の設定」を漏らしてしまう 一般的な大規模言語モデル(GPT-3や ChatGPTなど)は、学習中に「学習」した大量のテキスト素材から、一連の単語の次に来るものを予測することで動作するものです。開発者は、チャットAIの初期条件を設定するために、ユーザーからの入力を受けたときの動作を指示する初期プロンプト、つまりはキャラ設定のようなものを決めています。 今回リュー氏が仕掛けたのは「プロンプト・インジェクション」
アマゾン社員が業務でChatGPTを利用する事案が発生。「機密情報を共有しないように」と顧問弁護士が注意喚起
2022年12月、アマゾン(Amazon)の社内Slackチャンネルには「ChatGPT」に関する社員からの質問であふれていた。ChatGPTとは同年11月下旬のリリース以来テック業界を賑わせているジェネレーティブAIツールだ。 Slackのチャンネルに寄せられた質問は、例えばこんなものだ。アマゾンの社用デバイスでChatGPTを使う際の手引はありますか? そもそも自分たちはChatGPTを仕事で使ってもいいのですか? ChatGPTのようなジェネレーティブAIツールをどこまで使っていいか、AWS(アマゾンのクラウド部門)としての見解を示してほしい、などだ。 これらの質問に対し、Insiderが確認したスクリーンショットではアマゾンの上級顧問弁護士が回答している。 同弁護士は従業員に対し、ChatGPTに「アマゾンの機密情報(自分が作業中のアマゾンコードを含む)」を書き込まないよう注意喚起
Wi-Fi機器の充電を急速に“ゼロ”にするサイバー攻撃 150m離れた場所からスマホや監視カメラを無効に
Wi-Fi機器の充電を急速に“ゼロ”にするサイバー攻撃 150m離れた場所からスマホや監視カメラを無効に:Innovative Tech 米スタンフォード大学、米UCLA、カナダのウォータールー大学に所属する研究者らは、Wi-Fi機器に偽のデータパケットを継続的に送信することで、その機器の充電を急速に低下させる攻撃を提案した研究報告を発表した。 米スタンフォード大学、米UCLA、カナダのウォータールー大学に所属する研究者らが発表した論文「WiFi Physical Layer Stays Awake and Responds When it Should Not」は、Wi-Fi機器に偽のデータパケットを継続的に送信することで、その機器の充電を急速に低下させる攻撃を提案した研究報告である。 Wi-Fiネットワークは、高度な認証と暗号化メカニズム(WPA3など)を使用して、未承認デバイスによる
宇宙研究用の電波望遠鏡「アルマ」にサイバー攻撃 10月から観測不能な状態に
国立天文台は11月22日、電波望遠鏡「アルマ望遠鏡」について、チリにある観測所の計算機システムが10月にサイバー攻撃を受けた影響で、科学観測などが約1カ月停止している状態だと発表した。現地当局が原因などの調査を続けており、年内の観測再開を目指している。 サイバー攻撃を受けたのは10月29日。攻撃の発覚後、アンテナや科学データのアーカイブシステムなどを切り離したが、通信などに使う計算機が影響を受け、全ての観測を停止さぜる得なくなったという。チリにある観測所のWebサイトも影響を受け、停止している。 電子メールの利用は22日までに再開。新しい共同作業用ツールも導入したことから、職員は普段通りの業務を行えているという。観測所の危機管理チームは、欧州南天天文台と国立天文台、米国国立電波天文台のサイバーセキュリティ担当者と協議し、復旧計画を策定している。 アルマ望遠鏡はチリの標高5000mの高地に建
会社が許可していない“シャドーIT” 大企業でも2割が利用
ではなぜシャドーITを利用するのか。理由のトップは「利用することで生産性の向上が見込めるから」(41.7%)だった。2位に「特に問題はないと思った」、3位に「会社で利用しているサービスが非効率だから」と続いた。 具体的にどんなサービスをシャドーITとして利用しているかを尋ねたところ、コミュニケーションツールやクラウドストレージ、翻訳ツールなどが挙がった。 仕事を進める上で重視するのは「生産性」か「安全性」か シャドーITを生産性のために利用するビジネスパーソンがいる一方で、7割以上が「生産性よりも安全性を重視する」としている。その理由は「安全が侵されると、結果的に生産性が落ちるから」「万一のことを考えた場合責任が取れない」といったものだった。 一方で、「安全性よりも生産性を重視する」と答えた3割に理由を聞くと、「安全性を求めすぎると生産性が失われる」「生産性が弊社では評価基準」「生産性を上
カメラに「存在しないもの」を見せるサイバー攻撃 離れた場所から電波を送信 成功率は99%
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 英オックスフォード大学の研究チームが発表した論文「Signal Injection Attacks against CCD Image Sensors」は、電波を使い、画像認識システムをだまして存在しないものを見せる手法を提案した研究報告だ。任意の文字や画像などを離れた場所からカメラシステムに電波を送信することで、例えば真っ黒であるカメラフレームに文字を浮かび上がらせることもできる。 現在は、CMOS(Complementary Metal-Oxide-Semiconductor)とCCD(Charge-Coupled Device)イメージセンサーという2つの主要なイメージセンサー・アー
ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。 不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。 攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。 流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無
ネットに接続していないPCをハッキング 超音波で機密データを盗む攻撃 イスラエルの研究者が発表
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 イスラエルにあるBen-Gurion University of the Negevの研究者が発表した「GAIROSCOPE: Injecting Data from Air-Gapped Computers to Nearby Gyroscopes」は、インターネットに接続されていない「エアギャップ・ネットワーク」内のコンピュータから機密データを盗む攻撃を説明した研究報告だ。 エアギャップされたコンピュータ上で動作するマルウェア(あらかじめマルウェアを仕込んでおく必要がある)が、超音波の周波数を介して数メートル先のスマートフォン(ターゲットのコンピュータを操作する従業員などのスマートフォ
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
個人情報25万件がGoogle検索で丸見え、2年以上そのままに 企業向け研修サービスでトラブル、原因は調査中
個人情報25万件がGoogle検索で丸見え、2年以上そのままに 企業向け研修サービスでトラブル、原因は調査中 クラウドサービスの開発・提供を手掛けるリスクモンスターは7月4日、同社の企業向け研修サービス「サイバックスUniv.」について、サーバに保存していた約25万人分の個人情報が、Googleで検索できる状態になっていたと発表した。すでに設定は変更済みで、問題は修正済み。原因は調査中という。 対象の情報は、サービスに登録していた人の会社名、部署名、氏名。2020年2月16日から22年6月29日まで、Google検索からこれらの情報にアクセスできる状態だったという。 一部の情報は実際に流出したことを確認した。少なくとも直近3カ月間で18件、Google経由でのアクセスがあり、うち1件では5934件の個人情報をダウンロードされていた。ただし、個人情報をダウンロードした人はすでにデータを削除済
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
映画『Winny』公開記念 杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」
世界初、“世紀単位”でのゲノムデータ管理を想定した「個別化ヘルスケアシステム」の実証に成功。東芝ら4者 
富士通系国産クラウドに不正侵入 多層防御も設定ミス - 日本経済新聞
