アマゾン、「Alexa」に3つの生成型AIスキルを搭載
ラスベガスで開催中の「CES 2024」では人工知能(AI)が主役となっており、AmazonもAIを大々的に活用した新たなスキルを3つ「Alexa」に搭載したと発表した。これらのスキルは現在、米国向けの「Alexa Skills」ウェブサイトなどから無料で利用できる。 1つ目のスキルは「Character.AI」と呼ばれるものだ。Character.AIウェブサイトの開発者らが作成したこのスキルを使うことで、ユーザーはさまざまなチャットボットとチャットできるようになる。ソクラテスやアルバート・アインシュタインといった歴史上の人物と対話し、哲学や物理学についての会話を交わすことができる。 またCharacter.AIを用いることで、トリッププランナーや、デートに関する相談相手、フィットネスコーチなどとチャットして支援や助言を受けられるようになる。また娯楽目的で、「もしも✕✕だったら?」という
多要素認証を回避する4つの手法--サイバーアークが解説
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます CyberArk Softwareは、サイバー攻撃に関するメディア向けの説明会を開催し、同社のレッドチームが対処した実際の攻撃を基に分析した多要素認証を回避する4つの手法を解説した。 同社のレッドチームは、サイバー攻撃で実際に使われる手法を参考に、顧客企業のシステムに擬似的な攻撃を実施して、システムのセキュリティ上の問題や不備などを検証するサービスを担当しているという。解説を行ったRed Team Services バイスプレジデントのShay Nahari氏は、多要素認証がユーザーの認証情報を保護する上で優れた方法だとしつつ、攻撃者が認証情報を窃取すべく多要素認証を回避する方法を編み出していると述べた。 攻撃者は、多要素認証を回避する
サイバーセキュリティはコストか、投資か?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。 「サイバーセキュリティはコストではなく投資」と言われるようになった。デジタル化するビジネスにおいて、サイバーセキュリティは「企業の信頼構築」「ビジネスメリット」につながるとうたわれている。今回は、セキュリティ対策やインシデント発生時の金銭的・数字的な投資や負担、損失の観点で、企業はサイバーセキュリティにどのように向き合うことができるのかを考えたい。 営業やマーケティングのような利益を生み出すプロフィットセンターと異なり、セキュリティやITの部門はコストセンターと位置付けられ、一般的には「利益を生み出さないサイバー
「Windows Server」の脆弱性「Zerologon」--その深刻性が明らかに
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは8月の月例パッチで、今までに同社に報告されたもののなかで最も深刻度の高い部類に入る脆弱性に対処した。この脆弱性が悪用された場合、企業ネットワーク上でドメインコントローラーとして機能している「Windows Server」を簡単に乗っ取られてしまう可能性がある。 共通脆弱性識別子「CVE-2020-1472」が割り当てられたこの脆弱性は、8月の月例セキュリティパッチで対処された。同脆弱性は、ドメインコントローラーに対するユーザー認証プロトコル「Netlogon」に存在している、権限昇格を引き起こす脆弱性と説明されている。 この脆弱性は10段階の深刻度スコアで10と評価されているものの、詳細は公開されていなかったため、ユ
セキュリティ教育機関で2.8万件のデータ侵害、フィッシングが原因に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ教育機関のSANS Instituteは、職員が受信したフィッシングメールを通じて一部に個人を特定可能な情報を含む約2万8000件のデータが侵害されたことを明らかにした。 SANSによると、データ侵害は8月6日に発覚した。電子メールの設定やルールの監査を行ったところ不審なメール転送が分かり、513通のメールが不審な外部のメールアドレスに送られていた。このメールには、氏名や企業名、肩書き、職場の電話番号、業種、住所、居住地域名などの情報を含むファイルが添付されていたという。この中にパスワードや金銭に関する情報は含まれていないとしている。 調査からデータ侵害は、1人の職員が受信したフィッシングメールが原因と判明した。攻撃者は外部
「ブラックハット」も差別連想?--用語変更についてセキュリティコミュニティで議論に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報セキュリティコミュニティは、「ブラックハット」「ホワイトハット」という用語を放棄するよう求める声に、これらの用語は人種に対する偏見とは無関係だとして強く反発した。 この議論は、米国時間7月3日の夜に、Googleのエンジニアリング担当バイスプレジデントであり、AndroidやGoogle Playストアのセキュリティ責任者を務めるDavid Kleidermacher氏が、8月に予定されているセキュリティカンファレンス「Black Hat USA 2020」で行うはずだった講演を取りやめるとしたことをきっかけに始まった。 Kleidermacher氏は講演を取りやめると発表したツイートの中で、情報セキュリティ業界に対し、「ブラックハ
"Linuxの生みの親"トーバルズ氏:「私はもうプログラマーではない」
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2019-11-01 07:30 Linuxの生みの親であるLinus Torvalds氏は、もう講演はしていない。フランスのリヨンで開催された「Open Source Summit Europe」で同氏が行ったのは、友人であるVMwareの最高オープンソース責任者Dirk Hohndel氏との対話であり、同氏は以前もこの形式で登壇している。Torvalds氏はこの基調ディスカッションで、自分はもはやプログラマーではないと考えていることを明らかにした。 では、誰もが「プログラマーの中のプログラマー」だと考えている同氏は今、何をやっているのだろうか。Torvalds氏は次のように説明した。 もうコーディングは全然やっていない。私がコードを書くのは、ほとんどがメールの中だ。
ヴイエムウェアのGPLv2違反をめぐる訴訟、Linux開発者が継続を断念
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2019-04-03 13:07 著名なLinux開発者Christopher Hellwig氏は2006年8月、VMwareのベアメタル仮想マシン(VM)ハイパーバイザ「VMware ESX」で、Linuxのソースコードが不正に使用されていることに気づいた。Hellwig氏はSoftware Freedom Conservancyの支援を受けてVMwareを提訴したが、ドイツのハンブルグ高等地方裁判所が本件の上訴を退けたのを受けて、同氏はさらなる上訴には意味がないとして裁判の継続を断念した。 この訴訟で争われたのは、「vSphere VMware ESXi 5.5.0」がLinuxの著作権を侵害したかどうかだった。この問題は、VMwareがLinuxから派生した二次的著作
新たなブラウザ攻撃手法が見つかる--ユーザーがウェブページを離れた後も有効
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ユーザーが感染したウェブページを閉じたり、そこから離れたりした後でも、ユーザーのブラウザ内で悪意あるコードを実行できる新しいブラウザベースの攻撃がギリシャの学者らによって考え出された。 「MarioNet」と呼ばれるこの新しい攻撃は、ユーザーのブラウザから巨大なボットネットを構築するための扉を開く。研究者によると、これらのボットネットは、ブラウザ内での不正な仮想通貨マイニング(クリプトジャッキング)、DDoS攻撃、悪意あるファイルのホスティング/共有、分散型のパスワードクラッキング、プロキシネットワークでの不正リレー、クリック詐欺の宣伝、トラフィック統計のかさ増しに使用できる。 MarioNet攻撃は、ブラウザベースのボットネットを作成
「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan
Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部 2018-10-18 10:36 Secure Shell(SSH)の認証プロトコルをサポートする、知名度の高いライブラリ「libssh」に脆弱性が存在していることが明らかになり、米国時間10月16日にパッチがリリースされた。この脆弱性は、何千台という規模の企業サーバを危険にさらすものだ。 攻撃者はこの脆弱性を悪用することで、認証手順を迂回(うかい)し、パスワードを入力せずとも、SSH接続が有効化されているサーバにアクセスできるようになる。 具体的な攻撃手順は、libsshの認証手順を開始させるために通常用いられる「SSH2_MSG_USERAUTH_REQUEST」というメッセージの代わりに、「SSH2_MSG_USERAUTH_SUCCESS」というメッセージをSSHサーバに対して送信する
Wi-Fiパスワードを破る新たな攻撃手法が見つかる--「WPA」「WPA2」を無効に
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2018-08-09 11:44 セキュリティプロトコルの「WPA」および「WPA2」を無効にする新たな手法が、新しい「WPA3」規格を調査中の研究者によって偶然発見された。 この攻撃手法を利用すれば、WPA/WPA2で守られたルータに侵入し、「Pairwise Master Key Identifier (PMKID)」機能を有効にしているWi-Fiパスワードを破ることができる。 セキュリティ研究者で、パスワードクラッキングツール「Hashcat」の開発者でもあるJens「Atom」Steube氏がこの手法を発見し、8月にHashcatフォーラムで公表した。 Steube氏はその時、新セキュリティ規格であるWPA3を攻撃する方法を調べていた。業界団体のWi-Fi Allianceが1月に発表
Wi-Fiセキュリティの最前線--「WPA3」や公共ネットワーク向けの施策など
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Wi-Fiセキュリティの新規格となる「WPA3(Wi-Fi Protected Access 3)」が米国時間6月25日、正式発表された。機器メーカーなど約800社が参加する認可団体Wi-Fi Allianceのマーケティング担当バイスプレジデント、Kevin Robinson氏が28日、都内でWPA3を含むWi-Fiセキュリティの最新動向を説明した。 WPA3は、現在では標準的に利用される「WPA2」の後継となるWi-Fi Allianceの新たな認証プログラム。今後はWPA3に対応する無線LANルータやアクセスポイント、クライアントデバイスなどの製品が各メーカーから順次提供される見込みで、Robinson氏は、2019年後半のクリス
IPA、主要なサーバ向けOSSの“更新まとめ”を開設
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は6月27日、主要なサーバ向けオープンソースソフトウェア(OSS)の更新やセキュリティに関する情報を集約して配信するウェブページを開設した。ウェブサイトの運営者や構築者(SIerなど)、組織内のシステム管理者向けに情報提供する。 提供対象のOSSは、Apache HTTP Server、Apache Struts、Apache Tomcat、ISC Bind、Joomla!、OpenSSL、WordPress。開発者やダウンロードページ、脆弱性などのセキュリティ関連、最新バージョンの情報と注意喚起などの参考情報を一覧で表示し、詳細情報を掲載しているコミュニティーページなどへのリンクも提供する。 これらのOSSは
CPUの脆弱性、Linux関係者らの見方や対応
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2018-01-05 14:57 Linuxは、プロセッサの脆弱性「Meltdown」「Spectre」の影響を緩和することはできるものの、Linux開発者たちがこの一件について不満を抱いていないわけではないだろう。Linuxカーネルの生みの親であるLinus Torvalds氏もLinuxカーネルのメーリングリスト(LKML)で以下のように述べている。 私は、Intel社内の人物が時間をかけて、自社CPUを厳しい目で精査する必要があると考えている。そして、すべてが設計通りに動作しているといった広報用の文章を作文するのではなく、問題があるという事実を実際に認める必要があるとも考えている。..またこのことは、問題を軽減するためのこれらパッチが「すべてのCPUがガラクタというわ
新米CSIRTへの至言:前編--ブームに踊らない「賢さ」をどう身に付ける?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日頃からセキュリティ関連情報を収集し、インシデントの防止に向けて準備を整え、いざ発生した際には対処にあたる「Computer Security Incident Response Team」(CSIRT)の構築に取り組む企業が増えている。CSIRT同士が協調し、情報やノウハウを共有し、共通の課題を解決することを目的に設立された日本シーサート協議会(NCA)の加盟チーム数も右肩上がりに増加し、今や243チームが加盟するに至った。 NCA発足10周年を記念して行われたカンファレンス「NCA 10th Anniversary Conference」では、そんなCSIRTの抱える課題と、これからに向けた提言が紹介された。 「CSIRT」をセール
セールスフォース「レッドチーム」メンバーを解雇--DEF CON講演が原因?
Zack Whittaker (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2017-08-10 12:14 クラウドプロバイダ大手のSalesforceは、オフェンシブセキュリティ担当ディレクターと上級職員1人を、7月にラスベガスで開催されたセキュリティカンファレンス「DEF CON」の講演直後に解雇した。 サンフランシスコを拠点とするオフェンシブセキュリティ担当ディレクターのJosh Schwartz氏と、オーストラリアのシドニーで働くシニアオフェンシブセキュリティエンジニアのJohn Cramb氏は、Salesforceのセキュリティで「レッドチーム」のメンバーだった。レッドチームというのは、サイバー攻撃に対する態勢と防御をテストするため、企業に対して社内から攻撃を仕掛けるチームのことだ。 解雇の現場を目撃したという数人のうちの1人によると、2人は「ステージ
Windows上のアンチウイルスソフトをマルウェアに変えるゼロデイ脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Windows」に標準搭載されている実行時検証ツールを悪用し、ウイルス対策ソフトウェアをマルウェアに変える新たな攻撃手法「DoubleAgent」がセキュリティ研究者らによって発見された。 イスラエルに拠点を置くセキュリティ企業Cybellumは現地時間3月22日、同社ウェブサイト上でDoubleAgentについての詳細を明らかにした。Cybellumによると、DoubleAgentはAvast SoftwareとAVG Technologies、Avira、Bitdefender、Trend Micro、Comodo、ESET、F-Secure、Kaspersky Lab、Malwarebytes、McAfee、Panda Secu
NISTが警告、SMSでの二段階認証が危険な理由
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所(NIST)が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」(デジタル認証ガイドライン)の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」(帯域外検証者)に
新たなコードインジェクション手法が発見される--Windowsの全バージョンに影響
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティ企業enSiloの研究チームは米国時間10月27日、「AtomBombing」という名称のコードインジェクション手法を明らかにした。この手法は、「Windows」の全バージョンに対して適用可能であり、マルウェアの感染を防ぐために現在利用されているセキュリティソリューションでは防ぐことができないという。 この手法は、Windowsが内部で使用しているアトムテーブルと呼ばれる領域を悪用する。 enSiloの研究チームによると、アトムテーブルに悪意のあるコードを書き込み、(マルウェアに感染していない)正当なプログラムに対してそのコードを読み込むよう強制することができるという。そして、こうした手法を用いた場合、セキュリティソ
ジョンソン・エンド・ジョンソン子会社のインスリンポンプに脆弱性--攻撃者によるリモート投与が可能になるおそれ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Johnson & Johnsonの子会社であるAnimasのインスリンポンプシステム「OneTouch Ping」にセキュリティ脆弱性があることが分かった。悪用すると、攻撃者が遠隔地から不正にインスリンを投与することが可能だという。 Rapid7の研究チームが米国時間10月4日、OneTouch Pingの3件の脆弱性を明かした。 Animasが製造するOneTouch Pingは、メーターを通して利用者の血糖値を測定する。その後、ポンプが900MHz帯での「無線通信」によってその測定値を確認し、インスリンを投与する。 研究チームによると、OneTouch Pingの重大なセキュリティ脆弱性の1つは、通信が暗号化されていないことに起因
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
