Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア⁠⁠、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている（The upstream xz repository and the xz tarballs have been backdoored）⁠”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

社会制度のバグ？　本人確認の穴を突いたマイナンバー過信の新手口とは：小寺信良のIT大作戦（1/3 ページ） いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。読売新聞オンラインが報じたところによると、女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。 これだけでは何がどうなっているのかわかりにくいが、これはマイナンバーを使った本人確認の穴を突いた犯行と見ていいだろう。今後の課題も含め、この事件から読み取れる情報を整理してみたい。 口座とは無関係なアクション 2024年1月、70歳代の女性宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話があったという。 警察はまあわかるが、総合

例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか？ ed25519のSSH公開鍵の構造 SSH鍵の形式にはRSAやDSA、ed25519などがありますが、最近のssh-keygenではデフォルトでed25519の鍵を生成するということもあり、ed25519を利用していることを前提として進めます。なにより、RSAの公開鍵に比べると短いので末尾部分が目立つはずです。 そもそも、ed25519のSSH公開鍵のフォーマットはどのようなものになっているか確認してみます。まずはssh-keygenコマンドで秘密鍵と公開鍵を生成します。 % ssh-keygen -t ed25

徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューションズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • 現在 – – – – EGセキュアソリューションズ株式会社取締役CTO https://www.eg-secure.co.jp/

国立科学博物館にひっそり収蔵されていた「ヤマイヌの一種」の剥製が、実はニホンオオカミだった！とオオカミ大好き中学生が驚きの発見。日本や海外にある貴重なニホンオオカミの剥製についても紹介します。 Twitter↓ 国立科学博物館にひっそり収蔵されていた「ヤマイヌの一種」の剥製が、実はニホンオオカミだった！とオオカミ大好き中学生が驚きの発見。日本や海外にある貴重なニホンオオカミの剥製についても紹介します。#いきものニュース図解 pic.twitter.com/Y6F8GIVF6b — ぬまがさワタリ (@numagasa) 2024年3月10日 縦読み形式「いきものニューストゥーン」版↓ https://read.amazon.co.jp/manga/B0CXHLRHH1?ref_=dbs_wcm_wrnw_wr_rfb_2 ＜参考記事など＞ NHKのニュースリンク。 www3.nhk.or.

初めまして。都内でソフトウェアエンジニアをやってご飯を食べているWintuというものです。今回は私が開発してるライブ配信プラットフォーム「CASPUR」にPasskeyを導入した話をしていけたらと思っております。 今回はPasskeyのある程度の仕組みを理解して、実際に実装したいと思ってるエンジニアさんに少しでも参考になればと思い書いてます。なのでPasskeyなどの基礎知識とかの解説は省かせてもらいます 完成した認証フロー なるべくPasskeyを登録して欲しかったので、登録導線に組み込んで後のログインを楽にするよう設計しました。いろいろデザインが投げやりなところは個人開発なので許してください...😛 CASPURの現状 CASPURでは認証周りにFirebase Authenticationを利用し、バックエンドはMySQL + Express.js。フロントエンドにはVue.jsを

谷村新司さんがTBSラジオ『たまむすび』に出演。最盛期には5千冊もあったビニ本のコレクションの収集方法と、処分した際のエピソードを話していました。 （玉袋筋太郎）それでちょっとまた気になるのがあるんですけど。いいですか？これ、行っちゃって。 （谷村新司）どの筋ですか？ （玉袋筋太郎）7の筋なんですけど。ピーク時、5千冊。脅威のコレクター・・・ （小林悠）ビニ本コレクターでいらっしゃると。 （谷村新司）これ、あの説明しなくちゃいけないんですけどね。単にコレクターということに一般ではなっているんですけど。僕はあの、買い手側じゃなくて、ショップ側にいたんですよ。 （玉袋筋太郎）売り手側にいたっていう。それ、すごいですね。 （谷村新司）立場的に。 （玉袋筋太郎）立場的に。 （小林悠）それは好きすぎて集まっちゃって売ったとかじゃなくてですか？ （谷村新司）じゃなくてですね。あの、東京に出てきた時に、

【１】 某ＭＬで話題沸騰（かどうかは知らないが少なくとも関心を集めた）の、名古屋地判２０２２年１０月５日である。国賠事案ではあるものの、要するに一方当事者がパトカーであるという単なる交通事故事案であった。 判タ２０２３年７月号（通巻１５０８号）掲載。 【２】 さて件名であるが、この事案では、本訴被告である愛知県側のパトカーが赤信号進入にあたり、サイレンを鳴らしていたかが争点の一つであった。サイレンを鳴らしていなければ緊急自動車扱いされないからである。 被疑者でもあった運転手警察官は、事故翌日の実況見分でサイレンを鳴らしていたと主張した。また、パトカーのドラレコには音声ファイルが無かったが、愛知県側は、監察官室配属の警察官にして被告側指定代理人でもあった人物名義の報告書で、「録音機能は使用していなかったので最初から音声ファイルは無い」と主張した。 ところが、裁判所がバイナリデータを確認してデ

DeArrow is an open source browser extension for crowdsourcing better titles and thumbnails on YouTube. The goal is to make titles accurate and reduce sensationalism. No more arrows, ridiculous faces, and no more clickbait. "Clickbait" isn't the exception anymore, it's becoming the norm. Many have even started going through their entire backlog, changing old titles and thumbnails to be more attenti

こんにちは。モロと申します。 実は数年前警察のお世話になり、数年裁判等をやって、昨年晴れて無罪放免となったのですが、そういえばその後どこにも情報をまとめていなかったことに気が付きました。 正直にいうとまったく気の進まない作業ですし、数年間これにかかりきりだったこともあり「わざわざまとめなくても誰でも知ってることでは……？」みたいな気持ちもあります。 とはいえ冷静に考えると大抵の人は一生関わり合いになることのない知識で、お世話になった界隈に対して何も残さないのも不義理という感じがしたため遅ればせながら筆を執らせていただきます。 はじめに 当記事は、実際に警察のお世話になり、数年間弁護士の方にご指導いただきはしたものの、あくまで法律の専門家でも何でもない一エンジニア（というか多少エンジニアリングをかじったデザイナー）によるもので、第三者による監修等もなされていません。 実体験に基づいて少しでも

「全く身に覚えのない家宅捜索に入られた」ここ数年、そんな話をよく聞くようになりました。その多くがサイバー犯罪で疑われるケースです。 ネットで世界中が繋がった結果、遠く離れた赤の他人と、何らかの情報が紐付くことが起こり得るようになりました。 その中には当然犯罪者も含まれており、運悪く紐付いたために警察に疑われてしまう人がいるようです。 ネットの普及により、一般市民がとばっちりで警察に目を付けられるリスクは以前にも増して高まっています。 なぜ家宅捜索に入られたのかサイバー警察に誤って家宅捜索された人たちの記事をいくつかご紹介します。 在宅エンジニアが疑われた フリーランスのエンジニアが仕事で不正サイトを調査したところ、アクセス履歴から犯人と間違われた事件です。 真犯人がVPNで身元を隠していたためか、生IPでアクセスした彼が警察に疑われてしまったようです。おそらく警察は、真犯人がヘマして生IP