「修理する権利」を認める法案がアメリカ・オレゴン州で可決、サードパーティー部品の利用を認める広範な内容でAppleなどのメーカー側は「セキュリティ上のリスクを伴う」と危惧

2024/03/16 12 users 可決 危惧 法案 Apple アメリカ・オレゴン州

アメリカのオレゴン州で、「修理する権利」を認める法案が同州の下院で可決されました。これにより、ニューヨーク州・カリフォルニア州・マサチューセッツ州・コロラド州・メイン州・ミネソタ州に次いで「修理する権利に関する法案」が可決された7つ目の州となります。 Oregon passes expansive right-to-repair law, de... 続きを読む

AWSユーザーが“やりがち”なセキュリティ上のミスとは？　同社のCISOが語る

2023/09/22 17 users CISO ワークロード AWS ディレクター アプリケーション

クラウドの設定においてミスや誤りを犯すのは簡単だ。Amazon Web Services（AWS）のCISO（最高情報セキュリティ責任者）室でディレクターを務めるマーク・ライランド氏に聞けば、それがよく分かるだろう。 ライランド氏は「Black Hat USA 2023」のインタビューで「AWSの顧客がアプリケーションやワークロードのための原... 続きを読む

国がスマホの「サイドローディング」を義務化したい理由　内閣府の担当者に直接聞いてみた

2023/08/22 132 users サイドローディング iPhone標準 一連 内閣府 懸念

日本政府が米アップルに対して義務化の方針を打ち出した「サイドローディング」。これが実現すれば、iPhone標準のアプリストア「App Store」以外からアプリを入手できるようになる一方、セキュリティ上の懸念が一気に高まるため義務化に反発する声は少なくない。サイドローディングに関する一連の疑問を関係者に直接ぶつ... 続きを読む

Terraformが考える、インフラセキュリティを強化する6つのポイント

2023/08/02 12 users hashicorp Terraform 移行 手法 課題

HashiCorpが、「Terraformによるインフラストラクチャのセキュリティ強化に関する6つの手法」というブログ記事を公開しました。この記事では、クラウド環境への移行に伴うセキュリティ上の課題に対処する方法が具体的に述べられています。 HashiCorpが、Terraformによるインフラストラクチャのセキュリティ強化に関する6... 続きを読む

APIはインターネットトラフィックの83%を占める ー APIのセキュリティリスクについての試算が公開

2023/07/31 18 users インターネットトラフィック セキュリティリスク 試算 標的

7月28日、APIインフラストラクチャは使命上重要であることを強調する発表を行いました。 APIはあらゆる産業を革新し、デジタルトランスフォーメーションを推進し、グローバルなインターネットトラフィックの83％以上を占めています。 しかし、APIはセキュリティ上の課題を抱えており、サイバー攻撃の標的になっています... 続きを読む

中国、Micron製品にセキュリティ上の懸念で主要インフラの採用を禁止

2023/05/22 12 users 懸念 主要インフラ 中国 採用

続きを読む

プロンプトインジェクション対策｜ChatGPT APIのLINEボットを一ヶ月運用して戦った記録 - Qiita

2023/04/14 143 users Qiita chatgpt プロンプト 悪意 チャットボット

ChatGPTのチャットボットを安全に運用する方法 プロンプトインジェクションは、不適切な文字列や悪意のあるコードを含むプロンプトがChatGPTに送信されることで発生するセキュリティ上の懸念です。 2023/04/11現在、LINEボットとして公開されている多くのサービスでプロンプトインジェクション対策がなされていないよう... 続きを読む

「企業の機密データをChatGPTに勝手に入力したことがある」という社会人が大量発生しておりセキュリティ上の懸念が高まっているとサイバーセキュリティ企業が指摘

2023/03/29 28 users chatgpt LLM 懸念 サイバーセキュリティ企業 指摘

企業が保有する機密性の高いビジネスデータやプライバシー保護されているはずの情報を、従業員が勝手にChatGPTなどの大規模言語モデル(LLM)に入力しているケースが多数検出されていると、データセキュリティサービスのCyberhavenが指摘しています。 3.1% of workers have pasted confidential company data into ChatGPT... 続きを読む

Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増

2023/02/06 13 users マルバタイジング Obs 脅威 マルウェア ウェブサイト

通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれます。スパム活動やセキュリティ上の脅威を追跡する企業・Spamhaus Technologyのセキュリティ研究者が2023年2月3日のブログで、過去数日間にわたりGoogle広告全体でマルバタイジングが急増... 続きを読む

Intel製CPUのマイクロコードを抽出できるソフトウェアが公開される

2022/07/20 17 users マイクロコード AMD Intel CPU 欠陥

近年流通しているCPUの多くはマイクロプログラム方式と呼ばれる実装方式を採用しており、セキュリティ上の欠陥が見つかった際などにマイクロコードを書き換えることでアップデートを適用できます。IntelやAMDなどのCPUメーカーは基本的にマイクロコードの内容を公開していないのですが、一部のIntel製CPUのマイクロコー... 続きを読む

善意のハッキングを行うセキュリティ研究では訴えられない新方針を司法省が発表

2022/05/20 14 users 善意 ハッキング 司法省 ホワイトハット サイバーセキュリティ

他者のコンピューターに侵入するハッカーの中には、攻撃を目的とした悪意あるハッカーだけではなく、セキュリティ上の欠陥や脆弱(ぜいじゃく)性を特定するための調査を行う「ホワイトハット」ハッカーもいます。司法省が、こうした活動を助け、サイバーセキュリティを促進するため、善意のセキュリティ研究者を起訴しな... 続きを読む

GitHub の OAuth 実装の仕様違反とセキュリティ上の考慮事項 - Qiita

2022/04/19 11 users GitHub OAuth Qiita 実装 考慮事項

本稿は GitHub Docs の "Authorizing OAuth Apps" ページに書かれている情報に基づいています。英語版はこちら → "Spec Violations in GitHub OAuth Implementation and Security Considerations" 仕様違反箇所 認可リクエストの response_type リクエストパラメーターがない。当パラメーターは必須である。RFC 6749 (Th... 続きを読む

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は？

2022/04/14 13 users Git 脆弱性 ソースコード Windowsユーザー ユーザー

プログラムのソースコードなどの変更履歴を記録・追跡するための分散型バージョン管理システムの「Git」に、セキュリティ上の脆弱性があると指摘されています。すでにこの脆弱性に対応した最新バージョンとなる「Git 2.35.2」が公開されており、Git for Windowsユーザーやマルチユーザー環境でGitを使用しているユーザー... 続きを読む

数百のホテルで提供されるゲスト用Wi-Fiシステムにセキュリティ上の欠陥発見 | TechCrunch Japan

2021/12/19 15 users TechCrunch JAPAN 欠陥発見 ホテル 数百

あるセキュリティ研究者によると、世界の何百ものホテルがゲストにWi-Fiネットワークを提供し、管理するために利用しているインターネットゲートウェイには脆弱性があり、ゲストの個人情報を危険にさらしている。 Etizaz Mohsin（エティザズ・モーシン）氏が語ったところによると、Airangel製のHSMX Gatewayにはプレーン... 続きを読む

スマホの37％に使われているチップに「盗聴に利用され得る脆弱性」が存在することが判明

2021/11/26 12 users 盗聴 チップ 判明 CPR 脆弱性

スマートフォンの37％に搭載されているチップに存在するセキュリティ上の脆弱性(ぜいじゃくせい)を、サイバーセキュリティ企業・Check Point Software Technologiesの脅威インテリジェンス調査部門であるCheck Point Research(CPR)が発見しました。この脆弱性は、悪意のあるハッカーによるユーザーの盗聴につながり得る... 続きを読む

Bluetooth機器の40%で居所特定のリスクありとの研究結果。デバイス製造時の問題から - Engadget 日本版

2021/11/08 40 users Bluetooth機器 リスク iPhone 研究結果 問題

スマートフォンなどモバイルデバイスの位置情報追跡機能はとても便利で、例えばアップルのiPhoneが備えている「探す」アプリ、新型コロナ感染追跡アプリなどで活用されています。ところが、カリフォルニア大学サンディエゴ校のグループによる研究では、こうしたBluetoothハードウェアの40%にセキュリティ上の欠陥になり... 続きを読む

SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp

2021/09/08 264 users localStorage phpcon 徳丸 SPA トークン

シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む

【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥 (2/3) 〈dot.〉｜AERA dot. (アエラドット)

2021/05/17 13 users 生年月日 エラー 市区町村コード 接種券番号 dot.

念のため、もう一度、予約をしてみた。市区町村コードは「555555」、接種券番号は「4444444444」、生年月日は「1954年1月1日」にした。こちらも5月30日16時30分からの枠を予約できた。6桁、10桁未満だとエラーが出たが、それを満たせば予約が取れるというセキュリティ上の“欠陥”があるのだ。（編集部で取った予約は現時... 続きを読む

15億台超のiPhoneやMacに電話番号やメールアドレスが流出する脆弱性があるとセキュリティ研究者が指摘 - GIGAZINE

2021/04/24 20 users GIGAZINE iPhone AirDrop Mac 指摘

Apple端末間で手軽に写真や動画ファイルを共有できる「AirDrop」には、セキュリティ上の脆弱性が存在しており、電話番号やメールアドレスが見知らぬ人にするとダルムシュタット工科大学の研究チームが報告しています。 Apple AirDrop shares more than files – Computer Science – Technical University of Darmstadt ht... 続きを読む

「最悪」と酷評されるGoogleの新システム「FLoC」をWordPressが「自動的に無効化する」と発表 - GIGAZINE

2021/04/19 14 users GIGAZINE FLoC Proposal 酷評 発表

オープンソースのブログソフトウェアであるWordPressが、「最悪」などと酷評を受けているGoogleの新広告API「FLoC」をセキュリティ上の懸念事項として扱い、「自動的に無効化する」という措置を講じると発表しました。 Proposal: Treat FLoC as a security concern – Make WordPress Core https://make.wordpress.org/co... 続きを読む

マイクロソフト、Linux用マルウェア対策ツールの強化版「Microsoft Defender for Linux EDR」正式版リリース。Linuxサーバ上の怪しい動作などを検出可能に － Publickey

2021/01/13 19 users Publickey EDR Linuxサーバ マイクロソフト

マイクロソフト、Linux用マルウェア対策ツールの強化版「Microsoft Defender for Linux EDR」正式版リリース。Linuxサーバ上の怪しい動作などを検出可能に マイクロソフトは、Linuxサーバに対するセキュリティ上の脅威を検出と対応を行うためのツール「Microsoft Defender for Linux EDR」正式版のリリースを発表しまし... 続きを読む

ドコモとソフトバンクはいまだ「スマホ向けeSIM」に消極的　KDDIは一歩前進 (1/2) - ITmedia Mobile

2020/12/11 14 users KDDI ドコモ ソフトバンク eSIM 一歩前進

総務省が12月8日、第2回の「スイッチング円滑化タスクフォース」を開催した。第2回では、eSIMの促進について、NTTドコモ、KDDI、ソフトバンク、楽天モバイルに対してヒアリングを行った。eSIMを提供する上での課題として「セキュリティ上の懸念」「ユーザーの利便性を損なう恐れ」が挙がっている。 総務省が12月8日、第2... 続きを読む

脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる：「CodeQL」エンジンがベース - ＠IT

2020/10/13 17 users GitHub CodeQL 一環 開発ワークフロー エンジン

「CodeQL」エンジンがベース：脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる GitHubはコードの脆弱性を簡単に発見できるコードスキャン機能の一般提供を開始した。GitHubの機能に溶け込んでいるため、開発ワークフローの一環としてセキュリティ上の課題を解決しやすい。 GitHub... 続きを読む

男性向けのスマート貞操帯 リモートから完全ロックされる脆弱性 - ライブドアニュース

2020/10/07 21 users スマート貞操帯 脆弱性 ライブドアニュース 男性向け 欠陥

Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestp... 続きを読む

男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明 - GIGAZINE

2020/10/07 432 users cock-up GIGAZINE www.pentestp

Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestp... 続きを読む