ChatGPTでデータベースに侵入　機密情報を漏えいさせるコードを生成　英国と中国の研究者らが実証

2023/11/05 17 users chatgpt NLP アルゴリズム 実証 侵入

自然言語処理（NLP）アルゴリズムが意図的な攻撃に対して脆弱であることはすでに実証されている。しかし、これらの脆弱性がソフトウェアのセキュリティリスクとしてどのように影響するかについては、十分に調査されていない。 この問題を解決するために、データベースと自然言語インタフェースを結び付けるためのText-to... 続きを読む

「署名をUSBメモリで渡す」の是非　“FAX縛り”の取材に見た、国政DXの遅れ

2023/10/23 35 users 署名 USBメモリ 取材 署名活動 情報漏えい

国や企業などに要望を伝えるための署名活動が変化してきている。最近は、署名データをUSBメモリに格納して渡す例も出てきたが、情報漏えいなどのセキュリティリスクも指摘されている。大量の署名を安全に受け渡すにはどうすればいいのか考える。 国や企業などに要望を伝えるための署名活動が変化してきている。以前は、... 続きを読む

「それは、本当に安全なんですか？」　セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ

2023/10/19 423 users GitHub Copilot PSIRT 全社一斉 ただし氏

「GitHub Copilot 導入時に考えたセキュリティのあれこれ」というタイトルで登壇したのは、freee株式会社のただただし氏。タイミー社主催の「GitHub Copilotで拓く開発生産性」で、「GitHub Copilot 」を全社一斉導入する際に考えるべきセキュリティリスクについて発表しました。 freee株式会社 PSIRT マネージャーのた... 続きを読む

SREを以てセキュリティエンジニアリングを制す / SRE, Security Engineering, and You

2023/10/02 16 users SRE Reliability SRE NEXT 共通項 概念

SRE NEXT 2023 のスポンサーセッション (20min) で使用したスライドです。 --- 概要: システムやソフトウェアの信頼性（Reliability）とセキュリティは多くの共通項を持つ概念です。本セッションでは、信頼性に主な関心を置いた技術体系であるSREを、セキュリティリスクの健全な管理のための技術体系として活用する方法... 続きを読む

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク

2023/08/12 13 users import Python 悪用 解決策 危険性

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク：便利だが攻撃者による悪用の可能性も Pythonのimportステートメントには、開発者や企業が注意する必要があるセキュリティリスクが伴う。これがどのように機能するのか、そしてなぜ簡単な解決策がないのかを解説する... 続きを読む

APIはインターネットトラフィックの83%を占める ー APIのセキュリティリスクについての試算が公開

2023/07/31 18 users インターネットトラフィック 試算 標的 API サイバー攻撃

7月28日、APIインフラストラクチャは使命上重要であることを強調する発表を行いました。 APIはあらゆる産業を革新し、デジタルトランスフォーメーションを推進し、グローバルなインターネットトラフィックの83％以上を占めています。 しかし、APIはセキュリティ上の課題を抱えており、サイバー攻撃の標的になっています... 続きを読む

Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明

2023/04/27 16 users エンドツーエンド 懸念 判明 クラウドバックアップ e2e

ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Go... 続きを読む

FortinetのVPN製品に「バッファオーバーフロー」の脆弱性　どう対処すべきか

2023/01/13 13 users Fortinet バッファオーバーフロー VPN 米国 攻撃

関連キーワード VPN | 脆弱性 | セキュリティリスク セキュリティベンダーFortinetによると、同社のVPN（仮想プライベートネットワーク）製品に存在する深刻な脆弱（ぜいじゃく）性が攻撃に悪用された。脆弱性「CVE-2022-42475」は、米国の共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）の評価では... 続きを読む

セキュリティ事故につながる“クラウドの設定ミス”を自動検知、安全なクラウド運用支える日本発サービス | DIAMOND SIGNAL

2022/08/24 11 users DIAMOND SIGNAL 自動検知 クラウド 設定ミス

INDEX 数百項目のセキュリティリスクを自動で診断、設定ミスを検出 海外では複数のユニコーン、注目市場の「CSPM」 知人のアドバイスをきっかけに業界を徹底研究 AWS（Amazon Web Services）やGCP（Google Cloud Platform）、Microsoft Azureといったパブリッククラウドサービスの普及に伴い、これらにまつわる大規模な... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティエンジニア 森岡 本稿 scgajge12 視点

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

富士通、AIに潜むセキュリティリスクを分析するツールを無償公開　“安全なAI”開発を可能に

2022/06/30 10 users 富士通 情報窃取 人工知能 特性 サイバー攻撃

富士通は、AIに潜むセキュリティリスクを分析する「AIリスク問診ツール」の無償公開を発表した。AIに誤判断させて情報窃取したり、機械を誤動作させたりするAIの特性を悪用したサイバー攻撃を防ぐことができる。 富士通は2022年6月29日、AI（人工知能）に潜むセキュリティリスクを分析する「AIリスク問診ツール」を開発... 続きを読む

AWS Lambdaにおけるセキュリティリスクと対策

2022/05/30 10 users AWS Lambda 対策

Transcript ɹ"84�-BNCEBʹ͓͚Δ� ɹɹɹɹɹɹηΩϡϦςΟϦεΫͱରࡦ גࣜձࣾ'MBUU�4FDVSJUZ� ৿Ԭ�༏ଠ���:VUB�.PSJPLB� !TDHBKHF�� �����������4FDVSJUZ�+"84�����4FTTJPO�� ◦ ࢯ໊� ◦ ৿Ԭ�༏ଠ���:VUB�.PSJPLB� ◦ 4/4� ◦ NPSJPLB��� !TDHBKHF�� �� ◦ ॴଐ� ◦ גࣜձࣾ'MBUU�4FDVSJUZ� ◦ ϓϩϑΣογϣφϧαʔϏεࣄۀ෦� ◦ ৘ใՊֶઐ໳ֶߍ� ◦ ৘ใηΩϡϦςΟֶՊ ࣗݾ঺հ � �TFDKBXT��ɹ"84�-BNCEBʹ͓͚ΔηΩϡ... 続きを読む

サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog

2022/03/16 220 users サーバーレス セキュリティエンジニア 森岡 本稿 脆弱性攻撃

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク ... 続きを読む

リモートワークに伴う「燃え尽き症候群」のセキュリティリスクとは【海外セキュリティ】

2022/01/13 11 users リモートワーク 症候群 海外セキュリティ

続きを読む

プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？

2021/12/30 17 users 無線LANルーター 脆弱性 chip SOHO 小規模オフィス

関連キーワード 脆弱性 | セキュリティ | セキュリティリスク 一般家庭や小規模オフィスを対象にした無線LANルーター9機種に、合計226個の脆弱（ぜいじゃく）性が見つかった。セキュリティ企業IoT InspectorがIT雑誌「CHIP」の編集者とチームを組み、ベンダー8社のSOHO（小規模オフィスとホームオフィス）向け無線LANル... 続きを読む

30分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法（Python編） | Flatt Security

2021/08/02 15 users Flatt Security Python編 セキュリ 方法

SECURE CODING Dojo #230分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法（Python編） イベント概要プロダクトの抱えるセキュリティリスクを最小限にし、安定したプロダクト提供を実現していくためには、一人ひとりの開発者が高いセキュリティ意識を持っていることが重要です。 しかし、そもそもセキュリ... 続きを読む

「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは？ - GIGAZINE

2021/07/24 11 users GIGAZINE 物理セキュリティキー ウェブサービス 近年

PCやスマートフォンからウェブサービスにログインする時に、個人を証明するための方法としてIDとパスワードを入力するのが一般的です。しかし、ただの文字列を入力するだけである従来のパスワード方式は、流出したり総当たり攻撃で解析されたりとセキュリティリスクが高く、近年は生体認証や物理セキュリティキーを使っ... 続きを読む

Googleが提案するオープンソースプロジェクトのセキュリティを高めるための「Know, Prevent, Fix」とは？ - GIGAZINE

2021/02/05 12 users fix GIGAZINE know ゼイ 無償

多くのソフトウェア開発プロジェクトで、ソースコードを商用・非商用を問わず無償での利用・修正・頒布することを認めるオープンソースが採用されていますが、オープンソースのソフトウェアには一定のセキュリティリスクがつきまといます。Googleが公式セキュリティブログで、オープンソースソフトウェアの脆弱(ぜいじゃ... 続きを読む

GitHubは禁止するべき？ ソースコード流出事件から考える情報資産の守り方

2021/01/30 132 users GitHub キーワ Push ソースコード流出事件 守り方

TL;DR GitHubのアクセス自体を禁止してもセキュリティリスクは高いまま 仮にやるならGitHubのPushだけを禁止するようなツールを使わないと意味がない GitHubでコード管理したいならアカウント管理や情報分類などの運用を組み立てよう はじめに 先日、大手銀行などのソースコードがGitHubを経由して漏れる、というキーワ... 続きを読む

「Chromeをアップデートしないで」――Salesforce“異例のお願い”の真相：「混合コンテンツ」による問題の回避策 - TechTargetジャパン セキュリティ

2021/01/17 26 users SalesForce セールスフォースドットコム 真相 問題

関連キーワード Google Chrome | Salesforce.com（セールスフォースドットコム） | セキュリティリスク | Webセキュリティ Salesforce（salesforce.com）は「混合コンテンツ」（mixed content、「混在コンテンツ」とも）の問題に関する情報発信で迷走している。混合コンテンツとは、エンドユーザーとWebサーバ間の通信が... 続きを読む

添付ファイル分離配送機能のセキュリティを強化 パスワード通知メールの別経路での配送を開始パスワード付きZip送付「PPAP」方式のセキュリティリスクを低減 | クラウドメール・法人向け

2021/01/14 10 users PPAP 低減 方式 セキュリティ 所在地

添付ファイル分離配送機能のセキュリティを強化　パスワード通知メールの別経路での配送を開始 パスワード付きZip送付「PPAP」方式のセキュリティリスクを低減 法人向けソフトウェアの開発、販売を行うサイバーソリューションズ株式会社(所在地:東京都港区、代表取締役社長:秋田健太郎、以下当社)は、Microsoft 365・ Go... 続きを読む

Web会議サービスを使用する際のセキュリティ上の注意事項：IPA 独立行政法人 情報処理推進機構

2020/07/15 107 users 独立行政法人 情報処理推進機構 セキュリティ上 注意事項 盗聴

新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大しています。Web会議サービスの活用は大変有益である一方、盗聴、情報漏えい、サイバー攻撃等のセキュリティリスクに十分注意する必要があります。IPAではWeb会議サービスを使用する場合に注意すべきセキュリティ上のポイ... 続きを読む

3Dプリンタで作る“偽の指紋”が認証を突破　指紋認証は本当に安全か：セキュリティ研究機関が実証 - TechTargetジャパン セキュリティ

2020/05/23 10 users 指紋 TechTargetジャパン 指紋認証 実証 突破

関連キーワード Windows 10 | セキュリティリスク | 指紋認証 | 生体認証 指紋認証は重要人物にとって、あるいは重要データを保存したデバイスにとって有効とは言い切れないことが、Cisco Systemsのセキュリティ研究機関Cisco Talosの研究で判明した。これはCisco Talosが2020年4月8日に公開したブログ記事「Fingerprint... 続きを読む

MIT Tech Review: グーグルも警戒する「だますAI」、敵対的機械学習に備えよ

2019/04/04 27 users REVIEW グーグル MIT Tech 機械学習 悪意

機械学習システムの普及によって、「敵対的機械学習」と呼ばれる新たなセキュリティリスクが浮上している。グーグルとの共同研究にも取り組むカリフォルニア大学バークレー校のセキュリティ専門家ドーン・ソング教授は、「だますAI」への対処を訴えている。 by Will Knight2019.04.04 46 22 もし人工知能（AI）が悪意を... 続きを読む

安物のIoT機器は、たとえゴミ箱に叩き込んだあとでも持ち主を裏切り続ける | TechCrunch Japan

2019/02/01 237 users 安物 IoT機器 持ち主 TechCrunch JAPAN

格安のスマート電球やセキュリティカメラを購入したときの最悪のリスクは、セットアップに手間がかかるとか、設定できることが少ないことだと考えるかもしれない。しかし、こうした雑なガジェットがセキュリティリスクであるのは、プラグインされている間だけではない。ゴミ箱の中にあるときさえ、あなたのネットワーク... 続きを読む