ニコニコ窓口担当 @nico_nico_talk 【調査中/ニコニコサービス】 現在、ニコニコサービス全体において正常に利用できない場合がある不具合が発生しております。 解消に向けて原因の調査を行っております。 ご利用の皆様にはご不便、ご迷惑をおかけしますが、今しばらくお待ちいただけますようお願い申し上げます。 2024-06-08 04:07:20
ニコニコにDDosして復旧サービスを妨害
ニコニコ窓口担当 @nico_nico_talk 【調査中/ニコニコサービス】 現在、ニコニコサービス全体において正常に利用できない場合がある不具合が発生しております。 解消に向けて原因の調査を行っております。 ご利用の皆様にはご不便、ご迷惑をおかけしますが、今しばらくお待ちいただけますようお願い申し上げます。 2024-06-08 04:07:20
川崎市、個人情報入りUSBメモリ紛失 申請書のコピーをバックアップしていた
神奈川県川崎市は5月27日、個人情報100件以上を含む画像データを収録したUSBメモリ2個を紛失したと発表した。申請書のコピー画像をバックアップする際に利用していたもので、業務への支障はない見込み。USBメモリの扱いを全面的に見直すなどして再発を防ぐ。 紛失したのは、「まちづくり局交通制作室」で管理していたUSBメモリ。市民が提出した「駐車施設附置届出書」などの紙データをスキャンした画像データをHDDに保存するとともに、バックアップのために一時的にUSBメモリにも保管していたという。 保存されていたデータは1660件あったが、同じ人からの申請を除くと664件。全データのうち個人による申請件数は143件(重複を除くと128件)で、氏名、住所、電話番号などが含まれていた。法人によるものは1517件(同536件)で、法人の代表者の氏名などが含まれていた。 このUSBメモリは2024年3月7日に使
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect
DescriptionA command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall. Cloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulne
HOYAシステム障害 眼鏡用レンズの受注発送停止 不正アクセスか | NHK
大手光学ガラスメーカーの「HOYA」は、本社と複数の事業所でシステム障害が発生し、眼鏡用レンズの受注や発送が停止しているということです。会社は、第三者による不正アクセスの可能性が高いとして復旧を急いでいます。 HOYAによりますと先月30日、本社と複数の事業所でシステム障害が起きていることを確認したということです。 この影響で複数の製品の生産や受注のシステムが停止し、眼鏡用レンズの受注や発送も止まっているということです。 HOYAの眼鏡用レンズは国内のシェアがトップで、販売店にも影響が出ています。 このうち、眼鏡販売大手の「ジンズ」では先月31日からオンラインショップを含むすべての店舗で、一部のレンズの取り扱いを一時的に停止しています。 HOYAによりますと、これまでの調査の結果、第三者が会社のサーバーに不正アクセスを行った可能性が高いとみられるということです。 会社はシステムの復旧作業を
xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp
Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ
広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ
鍵生成には暗号論的に安全な乱数を使おう
SSHの鍵生成には暗号論的に安全な疑似乱数を使おうという話。 暗号論的に安全ではない疑似乱数がどれだけ危険かというのを、簡単なCTFを解くことで検証してみました。 背景 SSH公開鍵に自分の好きな文字列を入れる、という記事を読みました。 かっこいいSSH鍵が欲しい 例えばこのSSH公開鍵、末尾に私の名前(akiym)が入っています。 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFC90x6FIu8iKzJzvGOYOn2WIrCPTbUYOE+eGi/akiym そんなかっこいいssh鍵が欲しいと思いませんか? かっこいい!真似してみたい! そこまではいいんですが、問題は実装です。 秘密鍵を生成する際の乱数生成には高速化のために Goのmath/randを使っていますが、乱数が用いられるのは公開しない秘密鍵自体であり、このアルゴリズム自体はLagged Fib
Cloudflareは乱数生成のリスクヘッジとしてオフィスにラバライトや二重振り子を置いている
暗号化において重要になってくるのは「ランダム性の生成」です。Cloudflareでは、基本的にはLinuxで乱数を生成していますが、何か問題があったときのために利用できる乱数生成器として、オフィスに「ラバライト」や「二重振り子」を設置しています。 Cloudflareのオフィスにおけるカオスの活用 https://blog.cloudflare.com/ja-jp/harnessing-office-chaos-ja-jp/ Randomness 101: LavaRand in Production https://blog.cloudflare.com/randomness-101-lavarand-in-production The Hardest Working Office Design In America Encrypts Your Data–With Lava Lamps
NEXCO西日本がUSBメモリ紛失 データは暗号化済……ただしパスワードは本体に貼り付け
西日本高速道路(NEXCO西日本)は3月15日、個人情報191人分を保存していた可能性があるUSBメモリを紛失したと発表した。データは暗号化していたものの、メモリ本体にパスワードを貼り付けていたという。 保存していた可能性のある情報は、191人分の氏名、住所など。いずれも、道路を損傷させた人に復旧費用の負担を求める「原因者負担金」に関する情報という。 紛失は2月13日に判明。社員が気づき、捜索したが見つからなかったという。個人情報保護委員会への報告は3月11日に済ませた。情報を保存していた可能性がある人には個別に連絡するという。 関連記事 元日限定「JR西日本乗り放題きっぷ」発売 新幹線も利用可能 2017年の元日限定で、JR西日本と智頭急行の全線が乗り放題になる「元日・JR西日本乗り放題きっぷ2017」が登場。 USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ
「文̥字̥打̥つ̥と̥車̥輪̥が̥つ̥く̥よ̥う̥に̥な̥っ̥た̥の̥で̥す̥が̥こ̥れ̥は̥な̥に̥な̥の̥か̥誰̥か̥ご̥存̥知̥な̥い̥で̥す̥か̥;;」謎のバグに苦しむVTuberに解決案が寄せられるもお手上げ状態→無事解決へ
甘狼このみ🐺🍫 @AmakamiKonomi な̥ん̥か̥文̥字̥打̥つ̥と̥車̥輪̥が̥つ̥く̥よ̥う̥に̥な̥っ̥た̥の̥で̥す̥が̥こ̥れ̥は̥な̥に̥な̥の̥か̥誰̥か̥ご̥存̥知̥な̥い̥で̥す̥か̥;; お̥仕̥事̥の̥返̥信̥に̥も̥車̥輪̥が̥つ̥い̥て̥恥̥ず̥か̥し̥い̥で̥す̥…̥😭 2024-02-28 11:28:45
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
2024年2月13日開催 第8回EMS勉強会スライド
スキル0から1年間でマルウェア解析を習得した学習方法 - the_art_of_nerdのブログ
みなさん、こんちにはmです。 今回は私が1年の期間でマルウェア解析のスキル0から習得するまでに取り組んだ方法をまとめました。 初めに開始時のスキルや1年間でかけたコスト、スケジュールなどを共有します。 開始時のスキルなど 表層解析、動的解析、静的解析の違いもあまり理解していない プログラミングはPythonを学び始めた程度 低レイヤーの知識なし アセンブリの知識なし Windowsアプリケーション開発の経験なし SOCアナリストとしてブルーチームの知識は多少 脆弱性診断の経験も(深くはないが)多少 エンジニア歴7、8ヶ月目くらい ざっくりですが、このようにマルウェア解析に絡んでくる知識はほぼ0でした。 学習にかけたトータルコスト 書籍:約5万円 オンライン教材:12万円 約17万円近く1年間に使いましたが、お金で直接スキルは買えないので必要経費です。 なお、オンライン教材の12万円について
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
Gartner、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表
ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表しました。 高まるサイバーの脅威、AIやデータ/アナリティクスなどグローバルで進行するデジタル化のトレンドのリスク、関連する法規制の動き、セキュリティのテクノロジや市場の多様化により、セキュリティとプライバシーの領域はますます混沌としたものになってきています。そうした変化への対応のキャッチアップは困難を極めるため、新たなセキュリティの戦略や計画の立案に苦戦する組織が増えています。また立案したとしても、それらが陳腐化するスピードが速まっています。 バイス プレジデント アナリストの礒田 優一は次のように述べています。「昨今、セキュリティの取り組みをステークホルダーに説明する必要性が今まで以上に高まっていますが、戦略不在のままその場しのぎの対
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
Microsoft、「Chromium」に新しいセキュリティ層を追加 ~「Edge 123」で一般展開へ/攻撃を封じ込める「サンドボックス」の穴となっていた「MojoJS」に対策
VTuber事務所へメンバー宛てに届けられたプレゼントの中からGPS発信器が発見されプレゼントの受付を停止に→「個人で活動している人も気を付けないと危ない」
