生成AI、ChatGPTを手がけるアメリカの企業オープンAIは、ロシアや中国などを拠点とする5つのグループが自社の生成AIを世論の操作に利用していたと発表しました。日本に関する情報の拡散にも利用されたとされ、アメリカ大統領選挙などを前に生成AIによる世論操作の危険性を示しています。 オープンAIは30日、AIによる世論操作をめぐる最新の傾向についての報告書を発表しました。 それによりますと、ロシアや中国、イラン、それにイスラエルを拠点とする合わせて5つのグループが、秘密裏に自社の生成AIを世論操作に利用していたということです。 生成AIは、SNSのアカウントや投稿する文章の作成、外国語への翻訳などに利用され、投稿の内容は、 ▽ロシアによるウクライナへの軍事侵攻や、 ▽ガザ地区でのイスラエルとイスラム組織ハマスの戦闘のほか、 ▽アメリカの政治情勢など、 多岐にわたっていたとしています。 この
8日未明に出版大手KADOKAWAのグループ会社の複数サーバーがサイバー攻撃を受けた問題は、影響が長期化している。一部サービスはすでに復旧したものの、動画配信サイト「ニコニコ動画」はシステム全体を再構築するための対応を実施。運営会社のドワンゴは「今週中に復旧までの見込みを説明する」としており、サービス再開のめどは立っていない。 ドワンゴによると、現在ニコニコ動画や生放送などの動画配信サービスに加え、ニコニコのアカウントでの外部サービスログインや各種企画のプレゼント発送を停止。16日までに放送を予定していた番組も、中止または延期となっている。 一方で、「自社サーバーにクレジットカード情報を保存していない」としており、カード情報の漏洩は確認されていないという。同社は被害状況の把握のための調査と並行し、サイバー攻撃の影響を受けないシステムの再構築を進めている。 ゲームなどのオンラインショッピング
米国の学校の多くは、生徒のポルノやSNSサイトの閲覧を制限するために、学校内のインターネットアクセスを制限している。 そのため、米国の学生の4人に1人が、VPNアプリを用いてこの制限を回避していると報じられている。しかし、VPNの中でも、10代の若者の間で利用が進む無料のVPNアプリは、位置情報や閲覧履歴などの個人情報を収集し、それを外部のデータブローカーに販売している。 その中には、中国共産党がデータの提出を企業に強制する権限を持つ中国とつながりのある企業が含まれている。また、アプリの中にハッカーがデバイスを乗っ取るためのマルウェアが含まれているケースも存在する。 米司法省は先日、無料のVPNアプリなどを介して、米国内の61万件以上を含む1900万件以上のIPアドレスにマルウェアを送り込み、ボットネットを構築した男らを逮捕した。容疑者らは、これらのIP アドレスを詐欺行為などを行うサイバ
早稲田大学が学生などのIDを管理するシステム上で、利用者の在学生や卒業生などの氏名とメールアドレスおよそ35万件が、互いに閲覧できる状態になっていたことが分かりました。システムの設定の誤りが原因だったということで、大学は設定を変更して閲覧できないようにするとともに、利用者に謝罪しました。 早稲田大学によりますと、2020年4月からことし5月までの4年間にわたり大学が学生や卒業生などのIDを管理するシステム上で、在学生や卒業生、職員など大学関係者の氏名とメールアドレス、およそ35万1000件余りが互いに閲覧できる状態になっていたということです。 閲覧できたのはサービスを利用する大学関係者だけだということで、先月3日に利用者からの指摘を受け、大学が調査したところ、システムの設定が誤っていたことが原因だと分かったということです。 現在は設定を変更して、閲覧できない状態になっているということです。
はじめに 去年、情報処理安全支援士を取得したばかりなのですが、母親がフィッシング詐欺の被害にあってしまいました。(被害額は50万円弱) 本当に情けないです。何が情報処理安全支援士だ、何がセキュリティスペシャリストだ、身近な人も救えないようじゃ資格取った意味ないじゃないかと。 身内が被害に合うというのは予想以上にショックが大きく、母親も身内から何をやってるんだと責められまくって意気消沈しまっております。 警察や弁護士、銀行にも相談しましたが、返金はほぼ絶望的な状況(詳細は後述)です。 やはり情報セキュリティいうのは、自分だけが気を付けておけばいいものではなく、家族や身の回りの人達への啓蒙的な活動も重要だと実感しまして、覚えているうちに記事に纏めようと思い立ちました。 知識があっても引っかかってしまう最新の手口 母親が引っかかったのは、フィッシング詐欺の中でもサポート詐欺というものでした。 h
Orange Tsai tweeted a few hours ago about “One of [his] PHP vulnerabilities, which affects XAMPP by default”, and we were curious to say the least. XAMPP is a very popular way for administrators and developers to rapidly deploy Apache, PHP, and a bunch of other tools, and any bug that could give us RCE in its default installation sounds pretty tantalizing. Fortunately, for defenders, the bug has o
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
米司法省は5月29日(現地時間)、「おそらく世界最大のボットネット」を破壊し、「911 S5」と呼ばれるこのボットネットを運営したとして中国籍のワン・ユンヘ容疑者(35)他2人を逮捕したと発表した。 米連邦捜査局(FBI)のクリストファー・レイ長官は発表文で「FBIは国際的なパートナーと協力し、おそらく世界最大のボットネットである911 S5を解体するための共同連続サイバー作戦を実施した。われわれは管理者を逮捕し、インフラと資産を押収し、共謀者たちに制裁を課した」と語った。 ワン容疑者らは2011年初頭、プロキシバックドアを潜ませた複数のVPNアプリ(MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN、ShineVPNnなど)を配布し、多数のユーザーの端末にマルウェアを仕込んだ。 2014年から数年間で、世界中の何百万台もの一般ユーザーのWindow
「モバイルデバイス」と「Wi-Fiのアクセスポイント」をランドマークとして使用し、三角測量でデバイスの位置を特定するというのが「Wi-Fi Positioning Systems」(WPS:Wi-Fi測位システム)です。AppleのWPSが悪用され、世界規模でプライバシーの脅威となる可能性をメリーランド大学のエリック・ライ氏とデイブ・レビン氏が指摘しました。 [2405.14975] Surveilling the Masses with Wi-Fi-Based Positioning Systems https://arxiv.org/abs/2405.14975 Surveilling the Masses with Wi-Fi\replaced-Based Positioning Systems Geolocation Services https://arxiv.org/html/
A recent post, Why, after 6 years, I’m over GraphQL, made the rounds in the tech circle. The author argues that they would not recommend GraphQL anymore due to concerns like security, performance, and maintainability. In this post, I want to go over some interesting points made, and some points I think don't hold up to scrutiny. Always be Persistin' Ok, first of all, let's start with something may
積水ハウスは5月24日、住宅オーナー向けの会員制サイト「積水ハウス Net オーナーズクラブ」で情報漏えいがあったと発表した。会員・従業員のメールアドレスやパスワードなど30万件近くが漏えいした他、これとは別に50万件超の情報が漏えいした可能性も否定できないという。 漏えいした情報は、サイト会員10万8331人のメールアドレス、ログインID、パスワード。過去に在籍していた人を含む積水ハウスグループの従業員や協力会社スタッフなど18万3590人のメールアドレスと、社内システムにログインする際に使うパスワードも漏えいした。これとは別に、会員46万4053人のメールアドレス、ログインID、パスワードと、従業員や協力会社のスタッフなど7万2194人のメールアドレス、パスワードも、漏えいの可能性が否定できないという。 2008年から11年にかけて運用していたが、現在は使用していないWebページのセキ
損害保険4社は、保険代理店の担当者がやりとりする電子メールで、保険の加入者の契約内容などの個人情報を本来送るべきではない競合他社にも送っていた情報漏えいが確認されたと発表しました。 発表によりますと、東京海上日動火災保険、損害保険ジャパン、三井住友海上火災保険、あいおいニッセイ同和損害保険の4社は、販売を委託する保険代理店の担当者がやりとりする電子メールで、保険の加入者の名前や証券番号、保険料などの個人情報を本来送るべきではない競合他社にも送っていたことを確認したということです。 各社によりますと、保険代理店の担当者の間では、契約の更新手続きなどのためにこうした個人情報を電子メールでやりとりしていますが、宛先のCCに本来送るべきでない競合他社が含まれていたということです。 これまでの調査で情報漏えいを行った疑いがある代理店は、東京海上日動が238、損保ジャパンが268、三井住友海上が151
クレジットカードや銀行のキャッシュカードなどに使われる4桁の暗証番号。4つの数字の組み合わせは全部で1万通り存在しますが、過去に流出した340万件の暗証番号を分析した結果、よく使われるものとそうでないものの傾向が見えてきました。 ↑ひょっとして誕生日? 「人気の高い4桁の暗証番号」TOP101234111100001212777710042000444422226969 もっとも人気だったのは「1234」。驚くことに、分析された暗証番号のうち約11%がこの「1234」だったそうです。2位の「1111」は6%でした。上位の暗証番号を見てみると、同じ番号の繰り返しなど、どれも覚えやすそうなものばかりです。 また、最初の2桁に「19」を使っているものも多く、自分が生まれた年代を使っている可能性が高い模様。さらに、最初の2桁は「12」以下、最後の2桁は「31」以下の数字が使われていることが多いこと
Appleの落とし物トラッカーである「AirTag」が登場して以来、同デバイスを使ったストーカー行為がたびたび報告されています。これを受け、AppleとGoogleが「迷惑位置情報トラッカーの検出」という標準規格を発表しました。これにより、未知のBluetoothデバイスがユーザーを追跡していることが検出された場合、ユーザーに警告することが可能となります。 Apple and Google deliver support for unwanted tracking alerts in iOS and Android - Apple https://www.apple.com/newsroom/2024/05/apple-and-google-deliver-support-for-unwanted-tracking-alerts-in-ios-and-android/ Google Onl
最高裁判所で3日、司法修習中に資金を借りていた弁護士などにメールを送る際、全員のアドレスが見える状態で一斉送信するミスがあり、対象者900人の個人情報が漏えいしたことが分かりました。 最高裁判所によりますと、3日午前、司法修習中に最高裁から資金を借りていた弁護士など900人に対し、職員が2回に分けて事務的なメールを送信しました。 その際、ほかの受信者のアドレスが見えないようにする「BCC」の欄ではなく、全員のアドレスが表示される「宛先」の欄に誤って入力し、900人全員のアドレスやそれにひも付く名前、IDが漏えいしました。 受信者からの指摘で気付いたということで、これまで受信者以外への漏えいは確認されていないということです。 アドレスの入力先について、複数の職員によるチェックはしていなかったということです。 最高裁判所の染谷武宣 経理局長は「関係の皆さまにおわび申し上げます。今後、このような
NICTのセキュリティ講習「実践サイバー演習 RPCI」において使用しているDropbox社が運営する電子署名システム「Dropbox Sign」において、ユーザー情報に不正なアクセスを受けていたことが判明しました。 この情報には、「実践サイバー演習 RPCI」の令和3年度から令和5年度の受講者524名のDropbox Sign のユーザー名*、メールアドレスが含まれておりました。 Dropbox社の調査によると、署名を求めるメールを受け取った方のDropbox Sign のユーザー名*とメールアドレスが流出したとのことです。 *受講証明書発行時にDropbox Sign または HelloSign アカウントを作成又は同アカウントでログインされた方が対象(なお、RPCI受講証明書発行に際しアカウント作成は必須ではありませんでした)。 なお、同社にて不正アクセスを把握した時点で、同社がフォ
「【重要】暗号資産の不正流出発生に関するご報告(第一報)」のお知らせのとおり、2024年5月31日(金)13時26分頃に、当社ウォレットからビットコイン(BTC)の不正流出が判明しております。 第一報のとおり、お客様の預りビットコイン(BTC)全量については、流出相当分のビットコイン(BTC)を、グループ会社からの支援のもと調達し、全量保証いたします。 全量保証に向けた財務基盤確保、ビットコイン(BTC)の調達について、以下のとおりご案内いたします。 ■当社の財務基盤確保の計画について グループ会社からの資金支援につきましては、以下のスケジュールにて実施する予定となりましたのでご報告いたします。 6月3日 借入による資金調達:50億円(実施済み) 6月7日 増資による資金調達:480億円 6月10日 劣後特約付借入による資金調達:20億円 ■ビットコイン(BTC)の調達について 流出相当分
マイクロソフトはWindows 11の新機能「Recall(リコール)」を発表した。この機能はユーザーが過去に見た情報をいつでも遡って見ることができるように、数秒ごとにパソコン画面のスクリーンショットを残し、その後、同社のAIがそれらのスクリーンショット内の情報を処理し、3カ月間検索、アクセスできるようにするというものだ。 プライバシー保護の活動家たちはこの発表に危機感を募らせた。直接的な不安は、マイクロソフトがユーザーの行動にアクセスできることだが、CEOのサティア・ナデラは、データは暗号化されてデバイス内にのみ保存され、外部には一切送信されないことを強調して心配するユーザーたちを安心させている。 しかし、この発言も本機能に対する批判を止めることはなかった。もう1つの大きな懸念は、もしハッカーがパソコンに侵入したら、真っ先にRecallを見に行きユーザーが何をしていたかの正確な履歴を手に
1909年の発売以来、賛成派と反対派による論争が続いている、うま味調味料の「味の素」。いったいなぜ、うま味調味料にネガティブなイメージを持つ人が増えたのだろうか? ここでは、戦後日本の歴史を“味覚の変遷”から読み解いた、澁川祐子氏の著書『味なニッポン戦後史』(集英社インターナショナル)より一部を抜粋して紹介する。(全2回の1回目/2回目に続く) 「中華料理店症候群」の後遺症 引き金になったのは、1968年にイギリスの医学雑誌「The New England Journal of Medicine」に掲載された「チャイニーズ・レストラン・シンドローム(中華料理店症候群)」と題する報告だった。 その内容は、中華料理を食べたあとに頭痛や発汗、しびれなどの症状が多数起きているというものだった。さらにその原因の1つとして、中華料理に多く含まれるグルタミン酸ナトリウムの可能性が示唆されていた。これが話
今年もRubyKaigiに協賛させていただきました! Flatt Security 執行役員CCO / プロフェッショナルサービス事業部長の @toyojuni です。先日沖縄県那覇市で開催されたRubyKaigi 2024の振り返りと皆様への感謝の気持ちを込めて本記事を執筆します。 昨年に引き続いて、Flatt SecurityはRubyKaigiにPlatinum Sponsorとして協賛し、ブースを出展させていただきました。ありがたいことに、3日間でのブース訪問の延べ人数は500人を超え、様々なRubyistの方との接点を持てたと感じています。 そんな今回のブース出展の軸と言える企画が「YAMLパース占い」でした。 Flat Securityは明日から始まる #RubyKaigi 2024に協賛させていただきます!ブースでは新企画「YAMLパース占い」を実施します🔮 与えられたYA
Tenableは2024年6月3日(現地時間)、「Microsoft Azure」(以下、Azure)に深刻な脆弱(ぜいじゃく)性が存在すると伝えた。この脆弱性を悪用することで、信頼できるサービスからのリクエストを偽造し、攻撃者がAzureサービスタグに基づくファイアウォールルールを回避できるとされている。 複数のAzureサービスに見つかった脆弱性 Tenableが警告 Azureサービスタグは、特定のAzureサービスのIP範囲をグループ化することでAzure内のネットワーク分離を簡素化する。ネットワークセキュリティルールを定義して複数のAzureリソースに一貫して適用することが可能とされ、ファイアウォールルールやネットワークセキュリティグループ(NSG)の構成などのアクセス制御を管理するのに便利な機能とされている。 発見された脆弱性は当初、監視ソリューション「Azure Monito
2024年5月に情報通信研究機構(NICT)がバッファロー製の無線ルーターのボット感染を観測したと発表し、注目を集めた。 発表を受けバッファローは対象機種や打つべき対策を公表した。対象機種は全18機種。同社は2024年5月29日以降、それらの機種について「ボット感染に関して完全に対策したものではない」としながらも、既知の脆弱性を解消した新しいファームウエアを順次配信している。 バッファロー製無線ルーターについて、NICTは50台以上のボット感染を確認したとする。ただしNICTの発表以降徐々に感染数を減らしており、事態は収まりつつある。 だが問題なのは、ボットに感染している家庭用無線ルーターはバッファロー製に限らないことだ。バッファロー製以外にどのメーカーの機器がボットに感染しているのか、どう対策すべきかを解説する。 ロジテック製やTP-Link製も感染 NICTの久保正樹サイバーセキュリテ
2024年度から、経済産業省がIoT(インターネット・オブ・シングズ)製品のセキュリティー適合性の評価制度を始める。IoT製品のセキュリティーに関する制度はこれが初めてではない。これまでも技適マークやCC(コモンクライテリア)に基づく認証制度があった。経産省の新施策は、先行する制度から何が変わるのだろうか。 技適マークの歴史は長く、1981年に開始されたものだ。電気通信事業法に基づく「技術基準適合認定」と電波法に基づく「技術基準適合証明」という制度において、両方もしくはどちらかの認証を受けた無線機に表示されている。 2020年4月、総務省が電気通信事業法の端末設備等規則を一部改正した。この改正により、ルーターなどネットワークに直接接続するIoT製品について、アクセス制御機能、初期パスワードの変更機能、ファームウエアの更新機能の実装を原則義務化した。 ヤマハの広瀬良太楽器・音響事業本部基盤技
Ankerのセキュリティカメラは配線不要。だってソーラー充電ですもの!2024.06.04 19:0067,828 小暮ひさのり Ankerが1台でぜんぶ解決してくれました。 モバイルバッテリーやイヤホンでおなじみのAnker。 迷ったらコレ買っておけば間違いないよねー!なテッパンなメーカーですが、ロボット掃除機や掃除機や、セキュリティ系アイテムまで幅広く「生活の悩みを解決しちゃうよ」ガジェットも取り扱っています。 Image: アンカー・ジャパン今回新発売された「Eufy Solar Wall Light Cam S120」もそんな生活寄りのアイテム。センサーライト&セキュリティカメラの2in1防犯ソリューションなのです。まずは価格から。 価格は1万4990円ですが、Amazonでは6月10日(月)23:59までの間21%ポイント還元となっています。この期間にポチれば実質21%OFFって
衣料品や靴などのEC(電子商取引)事業を手掛ける夢展望は2024年6月3日、同社の連結子会社でジュエリー販売を営むトレセンテの公式Webサイトが閲覧できない状態にあると発表した。同社が使うドメイン管理サービスが不正アクセスを受け、公式Webサイトで使うドメイン「trecenti.com」が海外のドメイン管理会社へ移管されたという。 同社によれば、利用していたドメイン管理サービスはGMOインターネットグループが運営する「お名前.com」である。「攻撃者が、ドメイン管理サービスの管理画面にログインするためのIDとパスワードを不正に入手した可能性が高い」(夢展望総務担当)。ドメインは海外の管理会社を転々としており、取り返すのが難しい状況だという。 別のドメイン名を使ったトレセンテのECサイトは被害に遭っていない。公式Webサイトは、新しいドメイン名を取得し復旧させる予定だ。不正アクセスに伴う同社
「+94」から始まる番号から電話が掛かってきたことはありませんか。今、スリランカから発信されたとみられる謎の国際電話が相次いでいます。 ■スリランカから?未明に国際電話 スタッフの携帯電話に掛かってきたスリランカからの着信。身に覚えのない番号です。その電話のおよそ15時間前にも、大阪で…。 大阪在住 30代の人 「夜中2時くらいに電話掛かってきて。寝ている時間帯じゃないですか、迷惑ですよね。全く知人とかがいるわけじゃないので。スリランカに」 着信履歴にスリランカからの発信を示す「+94」の表示が。どちらも不審に思い、電話には出なかったそうです。 ここ数日、SNSではスリランカからの“謎の着信”を報告する声が相次いでいます。 インド洋に浮かぶ小さな島国スリランカ。近年は深刻な経済危機から、デモ隊が大統領の公邸を占拠するなど、混乱が広がっていました。 なぜスリランカから着信が相次いでいるのでし
2024年3月、エムケイシステムが個人情報保護委員会から行政指導を受けた。「社労夢」のランサムウエア被害で個人データが漏洩した恐れがある。なりすましでシステムに侵入を許し、管理者権限を奪われたことが原因だという。一部サービスの再開までに1カ月を要し、社労士に甚大な影響を与えた。エムケイシステムが対策費用をサービス料金に転嫁したことで反発の声も上がる。 「顧客から契約を切られた社会保険労務士(社労士)もいるようだ」――。SRO労働法務コンサルティング代表で特定社労士/行政書士の杉本一裕氏は、このように語る。 2024年3月25日、個人情報保護委員会は社労士向けクラウド業務システム「社労夢(Shalom)」などを運営するエムケイシステムに行政指導した。同社が適切な安全管理措置を講じておらず、ランサムウエア被害を受けて個人データが漏洩した恐れがあるためだ。 影響はそれだけではない。社労士などは、
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く