マッコウクジラは「コーダ」と呼ばれる短いクリック音のシステムを用いて仲間内でコミュニケーションをとることが知られている。MITの研究チームは、統計モデルを用いた分析で、コーダによるやり取りが文脈に応じて構造化されていることを明らかにした。 by Rhiannon Williams2024.05.09 293 15 マッコウクジラは魅力的な生き物だ。あらゆる種の中で最大の脳を持ち、その大きさは人間の6倍もある。その大きな脳は、知的で理性的な行動をサポートするために進化したのではないかと科学者たちは考えている。 マッコウクジラは社会性が高く、集団で意思決定をする能力を持ち、複雑な採餌行動をとる。 しかし、マッコウクジラが「コーダ」と呼ばれる短いクリック音のシステムを用いてコミュニケーションをとるとき、お互いに何を伝えようとしているのかなど、マッコウクジラについてはわかっていないことも多い。そん
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
もしそのコンテナターミナルが業務停止に陥るとどうなるか――。そのリスクを如実に示したのが、2023年7月4日に名古屋港コンテナターミナルで発生したランサムウェア感染被害だった。 2024年3月に開催されたセキュリティイベント「Security Days Spring 2024」に、国土交通省で最高情報セキュリティアドバイザーを務める北尾辰也氏が登壇。「名古屋港コンテナターミナルを襲ったサイバー攻撃とその背景」と題し、公表された報告書などを基に攻撃から復旧までのいきさつと、そこから得られた教訓を紹介した。 ITを用いた効率化が進んできたコンテナターミナル コンテナターミナルというと、港に林立する大型クレーン(ガントリークレーン)を思い浮かべる人も多いだろう。名古屋港コンテナターミナルもその一つだ。 同コンテナターミナルは5つのターミナルで構成されている。1日当たり約7500本のコンテナが出入
tl;dr はじめに 2024 年の 4 月 24 日に Node.js 22 がリリースされました。ESM を 条件付きで require する機能や、--run フラグによる npm スクリプトのパフォーマンス改善などが v22 で追加され、2009 年に Ryan Dahl が Node.js をリリースしてから 15 年が経つ今も、Node.js は進化を続けています[1]。 こうして Node.js 自身が強化されていくにつれ、以前はサードパーティーのパッケージを使用して実現することが一般的であった機能が Node.js のみで実現可能となり、当該パッケージが不要となるような場合があります。冒頭に引用した Ben Holmes の動画では、そのように不要となったパッケージとして dotenv node-fetch chalk mocha が挙げられていますが、この記事では「これら
生成AIのビジネスへの利活用の一環として、AIプログラミング補助ツール「GitHub Copilot」の導入に踏み切る企業が増えている。ファッションECサイト「ZOZOTOWN」を運営するZOZOもその一つで、2023年5月に法人向けサービスである「GitHub Copilot Business」を全社導入した。 ZOZOには約500人のエンジニアが所属しており、その全員がGitHub Copilot Businessを利用できるようにした。一方で、AIツールの全社導入に当たっては、セキュリティや費用対効果など、検討すべき点も多い。ZOZOではどのような検討の結果導入に至ったか、同社のテックリードを務める堀江亮介さん(技術本部技術戦略部CTOブロック)が公開している外部向け資料からひもとく。 全社導入を進める際、ZOZOでは「セキュリティ上の懸念」「ライセンス侵害のリスク」「導入による費用
デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー
OpenAIが開発する大規模言語モデル(LLM)の「GPT-4」は、道徳テストで人間の大学生より優れたスコアをたたき出したり、セキュリティ勧告を読むことで実際の脆弱性を悪用できたりと、すでに一部の分野で人間の能力を超えることが示されています。そんなGPT-4が、プロのアナリストに匹敵する精度の財務諸表分析を行えることが実証されました。 Financial Statement Analysis with Large Language Models by Alex Kim, Maximilian Muhn, Valeri V. Nikolaev :: SSRN https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4835311 The future of financial analysis: How GPT-4 is disrupting
この本の概要 本書はCI/CDの設計や運用について,GitHubを使ってハンズオン形式で学ぶ書籍です。GitHub Actionsの基本構文からスタートし,テスト・静的解析・リリース・コンテナデプロイなどを実際に自動化していきます。あわせてDependabot・OpenID Connect・継続的なセキュリティ改善・GitHub Appsのような,実運用に欠かせないプラクティスも多数習得します。 実装しながら設計や運用の考え方を学ぶことで,品質の高いソフトウェアをすばやく届けるスキルが身につきます。GitHubを利用しているなら,ぜひ手元に置いておきたい一冊です。 こんな方におすすめ GitHubは使っているけれど,プルリクエストぐらいしか利用していない CI/CDというキーワードは知っているけれど,自分で設計したことはない GitHub Actionsには触れているけれど,正直雰囲気で運
WSTは3月29日、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザー情報が外部から閲覧可能な状態になっていたと発表。16万2830人分の情報が閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたという。閲覧可能だった情報の中には、氏名や住所などの個人情報に加え、マイナンバーカードや運転免許証などの画像も含まれていた。 関連記事 「カオナビに漏えいの事実なし」 子会社のサービス「WelcomeHR」から個人情報15万人分漏えいでカオナビ社が説明 子会社のワークスタイルテックが手掛ける労務管理クラウド「WelcomeHR」で、ユーザー情報16万人分近くが外部から閲覧可能になっており、うち15万人分近くが実際に第三者にダウンロードされた件を巡り、親会社のカオナビは、自社のタレントマネジメントサービス「カオナビ」には影響がなかった旨を発表
メッセンジャーアプリのSignalは、電子フロンティア財団が定める「最も安全なメッセンジャーリスト」で最高評価を獲得したメッセンジャーアプリで、その安全性からアメリカ上院議員間の連絡ツールとして公式に採用されています。しかし、イーロン・マスク氏らはSignalの安全性について懐疑的な目を向けており、メッセンジャーアプリのTelegramとともに、Signalの安全性を否定するキャンペーンを展開しています。 Telegram has launched a pretty intense campaign to malign Signal as insecure, with assistance from Elon Musk. The goal seems to be to get activists to switch away from encrypted Signal to mostly-
Don Reisinger (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ) 2024-05-08 09:42 セキュリティ研究者が、あらゆる仮想プライベートネットワーク(VPN)を無効にできる手法を明らかにした。しかも、このエクスプロイトは20年ほど前から野放しの状態で、悪意ある攻撃者からすでにその存在を知られている可能性があるという。 Leviathan Security Groupの研究者らは、VPNが使われたトラフィックを可視化する手法を発見した。攻撃者がこの手法を利用すれば、暗号化されていないトラフィックを盗聴し、価値あるデータをそのトラフィックから取り出すことが事実上可能になる。研究者はこのエクスプロイトを「TunnelVision」と名付けた上で、今のところこのトリックに引っかからないVPNは見つかっていないと指摘した。 VPNは、トラ
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 カナダのトロント大学にある研究機関「Citizen Lab」は、中国で広く利用されているキーボードアプリに関する最新の調査報告を公開した。報告書によると、中国の主要なクラウドベースのスマホキーボードアプリに脆弱性が認められたという。この脆弱性が悪用されると、ユーザーが入力した内容(キーストローク)が盗まれる可能性があるとしている。 今回問題になったのは、中国語の入力方式として主流のピンイン(ローマ字入力)に対応したキーボードアプリだ。これらのアプリの多くは、入力した文字列をクラウドサーバに送信し、変換候補を取得する「クラウドベースの予測変換機能」を備え
美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト(WebShell)が設置され、サーバ内を不正操作されたこと。 2020年12月24日~2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連
以下の文章は、コリイ・ドクトロウの「The antitrust case against Apple」という記事を翻訳したものである。 Pluralistic 「Macカルト(Cult of Mac)」の基本的な教義は、時価総額3兆ドル企業から製品を購入すると迫害されたマイノリティの一員になれるということであり、したがってその企業へのあらゆる批判は民族的中傷ということになるらしい。 https://pluralistic.net/2024/01/12/youre-holding-it-wrong/#if-dishwashers-were-iphones これを「Apple例外主義」と呼ぼう。ビッグテック企業の中でAppleだけが善良であり、したがってその行動は善意のレンズを通して解釈されるべきだという考え方である。この美徳の源泉は都合よく曖昧なので、Appleの罪が明らかになったとて、Ma
![メタクソ化するアップル――Macカルトと“アップル例外主義” | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/1104bd774ee83cd14eeb72bb1d28cf0ca3935fc2/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F05%2Fapple-antitrust-doj.jpg)
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還 いわゆる“スキマバイト”募集プラットフォームを手掛けるネクストレベル社(大阪市)は5月24日、不正アクセスにより個人情報など50万件近くが漏えいした可能性があると発表した。なお事態の発覚後、「情報を転得した」と自称する人物から連絡があり、警察官立ち合いの下、情報を含むUSBメモリを受け取ったという。 漏えいした可能性がある情報は、プラットフォームに登録している個人ユーザーのID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴や勤務条件、資格、緊急連絡先、同サービス上に登録されている身分証明書の写真にアクセスするためのURLなど49万6119件。 このうち、身分証明書の写真にアクセスするためのURLは変更済みという。情報の中にマイナンバーは含ま
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米ボイシ州立大学などに所属する研究者らが発表した論文「Exploiting CPU Clock Modulation for Covert Communication Channel」は、インターネット接続を遮断された規制の厳しいPCであっても、CPUの処理速度を意図的に操作することで、一部のアプリケーションでひそかにデータをやりとりできる攻撃を提案した研究報告である。 コンピュータをハッキングから守るためには「エアギャップ」と呼ばれる、ネットから物理的に分離したセキュリティ上の予防措置がある。また全てを遮断するのではなく、コンピュータ自体はインターネ
ペットフード事業を手掛けるバイオフィリア(東京都新宿区)は5月13日、自社のクラウドサーバに不正アクセスを受け、最大で約20万アカウント分の情報が漏えいした可能性があると発表した。 漏えいした可能性があるのは、ペットフード出荷時や、ユーザーによるアカウント情報変更時のログ。2022年1月13日から24年5月3日までに、同社のサイトからペットフード「ココグルメ」「ミャオグルメ」を購入した19万8200アカウントの情報が対象という。このうち16万3474アカウントは氏名、住所、電話番号が、3万4726アカウントは氏名、住所、電話番号、メールアドレス、生年月日、性別、パスワードが漏えいした可能性がある。 19万8200アカウントのうち2万8237アカウントは、18年3月5日から24年5月3日にかけて同社のサービスにアップロードした写真も漏えいした可能性がある。このうち1万8149アカウントは会員
『情報セキュリティの敗北史』を読んだ - chroju.dev
https://www.hakuyo-sha.co.jp/science/security/ 面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。 歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速に
Next.jsでSSRF(=Server Side Request Forgery)の脆弱性が発覚したことが社内で話題になったので、まとめておこうと思います。対象の脆弱性は以下です。 脆弱性の概要 SSRF脆弱性は本来到達できないサーバーに対して、公開されてるサーバーを経由してアクセスすることができてしまう脆弱性です。 今回のNext.jsの脆弱性はhttpヘッダーのHostを書き換えることで、self hostingなNext.jsサーバーから任意のhttpリクエストを送信できてしまうというものです。これは、外部には公開してない内部APIに対するリクエストも可能になるため、SSRF攻撃になりえます。 今回の脆弱性の対象は、以下の条件を満たしている必要があります。 Next.jsをself hostingで運用している Next.jsアプリケーションがServer Actionsを利用して
スマホなどで中国語の入力に使うキーボード・アプリ(IME)のほとんどに入力内容を傍受される脆弱性が存在することが分かった。ファーウェイをのぞくほぼすべての端末にプリインストールされているアプリで見つかったという。 by Zeyi Yang2024.05.11 37 5 世界中の中国語話者が使っているキーボード・アプリ(IME)のほぼすべてに、ユーザーの入力内容を盗み取れるセキュリティの抜け穴が存在することが明らかになった。 この脆弱性は、キーボード・アプリがクラウドに送信するキーストローク・データの傍受ができてしまうというものだ。何年も前から存在し、サイバー犯罪者や国家の監視グループに悪用された可能性があるとトロント大学のテクノロジー・セキュリティ研究機関、シチズン・ラボ(Citizen Lab)の研究チームは指摘している。 漢字入力を楽にできるこうしたアプリは、中国語話者が使用するデバイ
AIは国家間のパワーバランスや軍事をどう変えるのか──『AI覇権 4つの戦場』 - 基本読書
AI覇権 4つの戦場 作者:ポール シャーレ早川書房Amazonこの『AI覇権 4つの戦場』は、無人兵器についてのノンフィクションで本邦でも高く評価された『無人の兵団』著者の最新作で、タイトルの通りAIをめぐる国家間の争い、その行方について主に4つの視点から考察していく一冊になる。 AIの時代にどの国が軍事、経済、政治力で強みを握るかをもっと理解するには、データ、計算、人材、機構という四つの重要な領域をさらに深く掘り下げる必要がある。 著者はもともと米海軍のレインジャー部隊員としてイラクとアフガニスタンに出征。狙撃兵などとして活躍した後、2008〜13年まで米国防総省(ペンタゴン)で自律型兵器に関する法的・倫理的課題と政策を研究していた人物だ。ようは軍事と国防関連の知識が豊富な軍事アナリストで、本書にはその知識や経験が存分に活かされている。 近年生成系AIは飛躍的な進歩を遂げ、GPT-4だ
スポーツ用品店「KISHISPO」などを展開する岸和田スポーツ(大阪府岸和田市)は5月14日、同社が運営する「Kemari87KISHISPO公式通販サイト」が第三者による不正アクセスを受けたと発表した。2021年2月24日から24年1月17日までに、同サイトで商品を購入した顧客のクレジットカード情報1万3879件および、個人情報3万8664件が漏えいした可能性があるという。 漏えいした可能性があるクレジットカード情報は、期間中に同サイトでクレジットカード決済をした顧客のカード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、住所、電話番号など。個人情報は、期間中に同サイトで商品を購入した顧客の氏名、メールアドレス、住所、電話番号などが含まれる。どちらもメールアドレスのパスワードの漏えいはないという。 該当する利用者には5月14日から個別にメールで連絡する。同社
セキュリティにおける倫理って何だ? | ドクセル
長谷川陽介(はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーション に関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2024-05-18 #secmomiji https://utf-8.jp/
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
多くのプログラミング言語の処理系に、攻撃者が任意のコマンドを実行できる深刻な脆弱性が見つかった。JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」で2024年4月15日に公開された。 脆弱性が確認されたのは「PHP」「Rust」「Haskell」の各言語処理系とJavaScript/TypeScriptの処理系「Node.js」、音声や動画をダウンロードできる高機能なコマンド「yt-dlp」である。ただし、この脆弱性の影響を受けるOSはWindowsだけで、LinuxやmacOSなどの他のOSには影響しない。 多くのプログラミング言語は、プログラムの中からOS上でコマンドを実行する機能を持つ。Windowsでは言語処理系が「CreateProces
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
LINEは、LINEアプリにトーク内容や動画などを保存できる「LINE Keep」を8月28日に終了すると発表した。「より良いサービスの提供に注力し、アプリ全体の最適化のため」としている。 LINE Keepは、トーク内容や動画、画像、音声ファイルなどを1GBまで、期間無制限で保存できる機能。2015年8月にスタートした。利用していた人は、サービス終了までに必要なファイルをバックアップするよう呼び掛けている。 関連記事 LINEヤフー、韓国ネイバーとの委託関係を終了へ PayPayとLINEのアカウント連携も延期に LINEヤフーがネイバーへの業務委託を撤廃することを決めた。これは2023年度通期および第4四半期決算会見で明かしたもので、LINEヤフーが進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に、2024年度中としていた計画時
◆深層学習において、過去の学習過程をモデル間で再利用する全く新たな仕組みとして「学習転移」技術を実現しました。 ◆本技術は、深層学習におけるパラメータ空間の高い対称性を活用し、実際に学習することなく低コストな変換により数秒~数分程度で一定の精度を実現できるため、モデルの再学習コストを抜本的に削減できることを示しました。 ◆これにより、NTTが研究開発を進める大規模言語モデル(LLM)「tsuzumi(*1)」をはじめとした多様な基盤モデル(*2)の運用コスト削減・消費電力の削減や、多数のAIで議論することで多様な解の創出をめざしたAIコンステレーション(*3)の構想具現化など、次世代のAI技術開発に貢献します。 日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明、以下「NTT」)は、深層学習において過去の学習過程をモデル間で再利用する全く新たな仕組みとして「学習転移」技術
「モバイルデバイス」と「Wi-Fiのアクセスポイント」をランドマークとして使用し、三角測量でデバイスの位置を特定するというのが「Wi-Fi Positioning Systems」(WPS:Wi-Fi測位システム)です。AppleのWPSが悪用され、世界規模でプライバシーの脅威となる可能性をメリーランド大学のエリック・ライ氏とデイブ・レビン氏が指摘しました。 [2405.14975] Surveilling the Masses with Wi-Fi-Based Positioning Systems https://arxiv.org/abs/2405.14975 Surveilling the Masses with Wi-Fi\replaced-Based Positioning Systems Geolocation Services https://arxiv.org/html/
積水ハウスは5月24日、住宅オーナー向けの会員制サイト「積水ハウス Net オーナーズクラブ」で情報漏えいがあったと発表した。会員・従業員のメールアドレスやパスワードなど30万件近くが漏えいした他、これとは別に50万件超の情報が漏えいした可能性も否定できないという。 漏えいした情報は、サイト会員10万8331人のメールアドレス、ログインID、パスワード。過去に在籍していた人を含む積水ハウスグループの従業員や協力会社スタッフなど18万3590人のメールアドレスと、社内システムにログインする際に使うパスワードも漏えいした。これとは別に、会員46万4053人のメールアドレス、ログインID、パスワードと、従業員や協力会社のスタッフなど7万2194人のメールアドレス、パスワードも、漏えいの可能性が否定できないという。 2008年から11年にかけて運用していたが、現在は使用していないWebページのセキ
グーグルは5月9日(現地時間)、デスクトップ版「Google Chrome」をアップデートした。重大なゼロデイ脆弱性の発見に伴う対処で、Windows、macOS、Linux版が対象となる。 Visualsコンポーネントに起因する脆弱性で、攻撃者は相手のPCからデータを盗んだり、深刻なダメージを与えることができるという。重大度(危険性)のランクは上から2番目の「高」。グーグルでは、すでに本脆弱性の悪用を確認している。 対策済みのバージョンはWindowsおよびmacOS版が「124.0.6367.201/.202」、Linux版が「124.0.6367.201」以降となる。Chromeを起動していれば今後数日から数週間以内にアップデートが自動適用されるが、ブラウザーの設定から「このChromeについて」を選択することで、手動で最新版に更新することも可能だ。
NICTのセキュリティ講習「実践サイバー演習 RPCI」において使用しているDropbox社が運営する電子署名システム「Dropbox Sign」において、ユーザー情報に不正なアクセスを受けていたことが判明しました。 この情報には、「実践サイバー演習 RPCI」の令和3年度から令和5年度の受講者524名のDropbox Sign のユーザー名*、メールアドレスが含まれておりました。 Dropbox社の調査によると、署名を求めるメールを受け取った方のDropbox Sign のユーザー名*とメールアドレスが流出したとのことです。 *受講証明書発行時にDropbox Sign または HelloSign アカウントを作成又は同アカウントでログインされた方が対象(なお、RPCI受講証明書発行に際しアカウント作成は必須ではありませんでした)。 なお、同社にて不正アクセスを把握した時点で、同社がフォ
「YAMLパース占い」in RubyKaigi 2024 で伝えたかったこと - Flatt Security Blog
今年もRubyKaigiに協賛させていただきました! Flatt Security 執行役員CCO / プロフェッショナルサービス事業部長の @toyojuni です。先日沖縄県那覇市で開催されたRubyKaigi 2024の振り返りと皆様への感謝の気持ちを込めて本記事を執筆します。 昨年に引き続いて、Flatt SecurityはRubyKaigiにPlatinum Sponsorとして協賛し、ブースを出展させていただきました。ありがたいことに、3日間でのブース訪問の延べ人数は500人を超え、様々なRubyistの方との接点を持てたと感じています。 そんな今回のブース出展の軸と言える企画が「YAMLパース占い」でした。 Flat Securityは明日から始まる #RubyKaigi 2024に協賛させていただきます!ブースでは新企画「YAMLパース占い」を実施します🔮 与えられたYA
インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によって防御され得るのでしょうか? お手軽に使える AWS WAF のマネージドルールを対象に確かめてみました。 この記事の概要 実験用に固定レスポンスを返すだけの HTTP エンドポイントを作成し、約半年間インターネットからアクセス可能な状態で放置した AWS WAF のマネージドルールをアタッチしており、それぞれのルールに一致したリクエスト数を集計し、ランキング形式にまとめた 一致したリクエスト数が多いマネージドルールそれぞれに対して、どのようなリクエストが多かったのか集計し、ランキング形式にまとめた 実験用システムの構成 基本的なデー
Q by LivesenseをWordPress on EC2からHugo on Cloudflare Pagesに移行しました - LIVESENSE ENGINEER BLOG
はじめに 技術構成(before)と課題 技術構成(after)と選定の理由 改善したこと パフォーマンスの向上 デリバリー速度の向上 セキュリティ面でのリスク低下 大変だったこと 記事のマークダウン変換 段落分けと改行の区別 字下げ 書式の追加 Lintが必要になった 記事ごとのOGP画像周りの実装 URL変更に伴うリダイレクト設定 標準の検索機能がない おわりに はじめに 技術部の @mom0tomo , @etsxxx です。 技術部では、事業部横断的な仕事としてコーポレートサイトの運用も行っています。このたびWordPress on EC2で運用されてきた弊社のWebメディア(Q by Livesense)を、Hugo on Clouflare Pagesに移行しました。 q.livesense.co.jp 弊社のWordPress運用はやや特殊で、エンジニアがサーバーにSSHして
バックエンドエンジニアの松尾です。 2024 年 5 月 11 日に開催された日本最大級の TypeScript をテーマとした技術カンファレンス TSKaigi 2024 に参加しました。 本記事では弊社からの登壇内容やスポンサーブースの様子をお伝えします。 登壇内容まとめ 弊社からは下記の LT で 2 名のエンジニアが登壇しました。 TypeScript で使いやすい OpenAPI の書き方 speakerdeck.com yukimochi さんからは OpenAPI の書き方について紹介しました。 変更に強く、ドメインモデルを正確に表現する書き方にすることで、TypeScript で使いやすいコードを生成できるとのことでした。 筆者は最近 OpenAPI spec を書くことは無いのですが、Union を用いた定義は非常に同意するところであり、今後の開発で活用していきたいと思い
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クジラの言語構造、想像以上に人間の言語に近かった
名古屋港が約3日でランサムウェア被害から復旧できた理由 国土交通省が語る教訓
Node.js の進化に伴い不要となったかもしれないパッケージたち
「GitHub Copilot全社導入」の前にたちはだかった3つの壁 ZOZOはどう乗り越えたか
デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】
GPT-4は財務諸表から将来の収益の伸びを予測する点で人間のアナリストよりも優れていることが研究により明らかに
GitHub CI/CD実践ガイド ――持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用
マイナカード画像など15万人分情報漏えいの労務クラウド、流出発表後に6社がサービス解約 ARRの5%強
メッセンジャーアプリのSignalがTelegramよりも安全であると専門家によって広くみなされている理由とは?
あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か
中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性 攻撃対象は“10億人規模”と試算
クレカ情報1.5万件、平文で流出か 美容室向けECサイト「fofo」に不正アクセス
メタクソ化するアップル――Macカルトと“アップル例外主義” | p2ptk[.]org
職場の「一部ネット接続できない規制PC」から機密データを盗むサイバー攻撃 米研究者らが発表
約20万アカウントの情報漏えいか 平文パスワードも ペットベンチャーに不正アクセス
安全なVPNに繋いだつもりが筒抜け……「TunnelVision」脆弱性をJVNが警告/Windows、macOS、Linux、iOSなどに広く影響
「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ
Next.jsのSSRF脆弱性 CVE-2024-34351
人気の中国語キーボード・アプリ、ほぼすべてに脆弱性が存在
約1.4万人分のクレカ番号・セキュリティコードなど漏えいか 約3.9万人分の個人情報も 大阪のスポーツ用品店
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
PHPやNode.jsなどに任意コマンド実行の脆弱性、原因はWindows仕様の理解不足
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響/「Firefox」内蔵PDFビューワーでも用いられているPDF表示ライブラリ
「LINE Keep」終了へ 自分専用トーク「Keepメモ」は継続
世界初、AIモデルの再学習コストを大幅に削減可能な過去の学習過程を再利用する「学習転移」を実現~NTT版LLM「tsuzumi」など基盤モデルの更新・差し替えを容易に~ | ニュースリリース | NTT
Appleの「探す」で利用されるWi-Fi測位システムを悪用すると簡単に位置情報の追跡が可能になるとの指摘
積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】
グーグル「Chrome」に重大なゼロデイ脆弱性 すぐ更新を
外部利用サービス提供事業者への不正アクセスについて|2024年|NICT-情報通信研究機構
TSKaigi 2024 参加レポート - ドワンゴ教育サービス開発者ブログ