OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da

小泉龍司法相は16日の記者会見で、10月1日から株式会社の登記の際に代表者が希望すれば自宅住所を非公開にできると発表した。「自宅がオープンになってしまうということに対する抵抗感、個人情報保護の観点からの問題提起があった。新たな起業の促進につながることを期待をしたい」と述べた。会社法は代表者の氏名、住所などを登記事項としている。公正で円滑な商取引が目的だが、経団連などが「プライバシー保護」を理由

メールを送る際、「送信元」欄にはどんな内容でも記入することが可能なため、簡単に他人になりすますことができます。誰かが自分の所有しているドメインになりすましてメールを送った時、受信者にそのメールが「なりすましメール」であることを伝えるためのDNS設定についてエンジニアのヴィヴェク・ガイト氏が解説しています。 DNS settings to avoid email spoofing and phishing for unused domain - nixCraft https://www.cyberciti.biz/security/dns-settings-to-avoid-email-spoofing-and-phishing-for-unused-domain/ ガイト氏の解説は「メールを使用していないドメイン」を対象に、「そのドメインがメールを送信しないこと」および「もしそのドメインか

情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は4月5日、NECプラットフォームズ（東京都千代田区）のWi-Fiルーター「Aterm」シリーズの59製品で脆弱（ぜいじゃく）性が判明したと公表した。対象となる製品を使用している場合、設定の変更や買い替えなどの必要があるとしている。 NECは、悪意のある第三者によって任意のコマンド実行や装置名などの装置情報が読み取られるなど、ユーザーの意図しない現象を引き起こす可能性があるとしている。 同社は対象製品として、WG1800HP4、WG1200HS3、WG1900HP2などを挙げており、記載のない機種については問題はないという。これらのモデルを使用している場合、Atermサポートデスクサイトに掲載の情報を参考に、管理者パスワードや暗号化キーの変更、設定の変更などの対処をする必要がある。

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らが発表した論文「Unfiltered: Measuring Cloud-based Email Filtering Bypasses」は、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告である。 多くの組織がクラウドベースのメールフィルタリングサービスを導入し、高度化するメールの脅威から身を守っている。これらのサービスは、企業のメールサーバとインターネットの間に位置し、受信メールをフィルタリングして、スパムやマルウェアなどの脅威を取り除く役割を果たす。 しかし、この

3月12日火曜日に始まったPublickeyへのDDoS攻撃に対して、これまでサーバの強化、Cloudflareの導入とDDoS対策のための設定を行ってきました。 その結果、3月24日日曜日の夜に始まり3月27日水曜日の朝まで3日間連続で続いたDDoS攻撃のあいだもWebサイトの閲覧と記事更新などを問題なく行える状態となり、DDoS攻撃がWebサイトの運営の大きな障害ではなくなりました。 ちなみにそれ以後DDoS攻撃は止んでいますが、今後はいつDDoS攻撃を受けてもWebサイトの運営に支障がでることはなくなったと考えられます。この記事では結局どのような対策を行ったのか、実際に効果を発揮したDDoS対策を紹介していきます。 これまでの経緯は下記の記事をご参照ください。 Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ 続、Publickeyが受けたDoS攻撃、これまでの経緯と

老舗味噌メーカーのマルカワみそは2024年4月2日、自社が運営する「マルカワみそ公式サイト」に第三者の不正アクセスがあり、顧客のクレジットカード情報5447件分、個人情報8万9673人分が漏洩した可能性があると発表した。原因は第三者からの不正アクセスによるペイメントアプリケーションの改ざんだったという。 クレジットカード情報が漏洩した可能性があるのは、2023年3月11日～11月13日の間、公式サイトでクレジットカード決済した顧客およびサイトのマイページでクレジットカード情報を登録・変更した顧客4851人（5447件）。カード名義人名やクレジットカード番号、有効期限、セキュリティーコードの情報が漏洩した可能性があるという。また個人情報が漏洩した可能性があるのは、公式サイトの立ち上げから2023年11月13日までの間、同サイトで購入した顧客またはサイトのマイページに登録した顧客8万9673人

Bleeping Computerは3月28日(米国時間)、「Decade-old Linux ‘wall’ bug helps make fake SUDO prompts, steal passwords」において、Linuxの「wall」コマンドから脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用することで、複数のユーザーが端末に接続する環境において、偽の「sudo」コマンドのプロンプトを表示して管理者パスワードを窃取できるリスクがある。 Decade-old Linux ‘wall’ bug helps make fake SUDO prompts, steal passwords 脆弱性「CVE-2024-28085」の概要 wallコマンドはLinuxにログインしているすべてのユーザーにメッセージを送信するコマンド。システムを再起動する際などに残り時間や警告を通知する

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 （SBOMの話、VEXの話はこちら）。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話

社内でRailsコードのレビューをしていて、 Dockerfile に環境変数で SECRET_KEY_BASE="dummy" のようにベタ書きしているのを見つけました。これはまずいよね、多分任意のセッション改ざんによるなりすましなどがし放題になりそうだよね、と思ったものの、これまで雰囲気で使っていて確かなことが言えなかったので、良い機会ということで少し調べてみることにしました。 🔗 secret_key_baseについて 🔗 secrets と credentials, RAILS_MASTER_KEY ってなんだっけ 🔗 secrets Rails 4.1で secrets.yml が登場して、environmentごとの認証情報を平文で保存していました。その後Rails 5.2で secrets.yml.enc が登場して、 RAILS_MASTER_KEY または secr

ソーシャルネットワーキングサービスのX(旧Twitter)を所有するイーロン・マスク氏が「名前にTrustを冠する組織は信頼に値しない」との意見を表明し、直後に自社のTrust＆Safety部門を「Safety部門」に改名しました。 Exactly. Any organization that puts “Trust” in their name cannot trusted, as that is obviously a euphemism for censorship. We are changing the name of our Trust & Safety group, to simply @Safety. Trust is something that must be earned. The goal of our Safety team is simply to… https

登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配：ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構（IPA）サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。

米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ 米ホワイトハウスの国家サイバー局長室（The White House Office of the National Cyber Director：ONCD）は、サイバー空間における攻撃対象領域を積極的に削減する目的で、テクノロジーコミュニティやソフトウェアコミュニティに対してメモリ安全（Memory Safe）なソフトウェアの実現を積極的に呼びかけるプレスリリース「Future Software Should Be Memory Safe」（将来のソフトウェアはメモリ安全になるべき）を発表しました。 プレスリリースの中で、国家サイバー局長Harry Coker氏は「私たちは国家として、サイバースペースにおける攻撃対象領域を減らし、あらゆる種類のセキュリティバグがデジタルエコシステムに

無料のセキュリティソフト「Avast Antivirus」で知られるAvastが、ユーザーのウェブサイト閲覧データを販売したとして、アメリカの連邦取引委員会(FTC)から1650万ドル(約25億円)の支払いを命じられました。 FTC Order Will Ban Avast from Selling Browsing Data for Advertising Purposes, Require It to Pay $16.5 Million Over Charges the Firm Sold Browsing Data After Claiming Its Products Would Block Online Tracking | Federal Trade Commission https://www.ftc.gov/news-events/news/press-releases/2

リンク www.ntt-finance.co.jp ＮＴＴファイナンスを装った特殊詐欺にご注意ください！ | ＮＴＴファイナンス株式会社 「ＮＴＴファイナンス」を名乗り、電話（自動音声）やショートメッセージ（SMS）で未納料金が請求されるなどの詐欺が急増しています。決して応じず、最寄りの警察署、国民生活センターへご相談ください。詐欺の手口などをご紹介します。 1 user 648

こんにちは。SWATチームの今谷と、LY会員サービス統括本部の木所です。 LINEとヤフーの会社合併に伴って、LINEヤフー株式会社が提供するサービスを利用するユーザーに「新プライバシーポリシーへの同意」をいただくためのモジュールを開発しました。本記事では、ヤフーのユーザー5,400万人から”同意”を得るための工夫について、実装上の不具合も交えてご紹介します。 なお、ご紹介する内容は、UIT × Bonfire Front-end Meetup #1 での発表が起点となっています。詳細についてより深く知りたい方は、発表資料 や Podcast をあわせてご参照ください。 会社合併と、新プライバシーポリシーのご案内 LINEとヤフー、それぞれで同意モジュールがあります。Web向けのほか、iOS・Androidアプリ向けにも提供しました。 Webの同意モジュールでは「Modal版」と「Ful

「DNSに対する最悪の攻撃」　迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての