サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告(ランサムウェア攻撃によるシステム障害関連・第 13 報) アスクル株式会社は、2025年10月19日、ランサムウェア攻撃によるデータの暗号化とシステム障害により、大規模なサービス停止と保有情報の流出が確認される事態となり、多くのステークホルダーの皆様に多大なるご心配とご迷惑をおかけしております。 当社は外部専門機関の協力のもと、システム障害範囲の特定とランサムウェア攻撃の影響の詳細調査を進めてまいりました。本日時点までに判明した調査結果等について、以下の通りご報告いたします。 ■代表取締役社長CEO 吉岡晃より 今般のランサムウェア攻撃により、お客様情報に加え一部のお取引先様の情報が外部へ流出しており、多大なご迷惑をおかけしております。また、当社物流システムに障害が発生してサービスが一時的に停止したことにより、お
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)が確認されています。本脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。 なお、「Next.js」など他製品において、同様の影響を受けます。 --- 2025年 12 月 10 日更新 ---本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。 今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。 --- 2025年 12 月 12 日更新 ---
This is open-source software written by hobbyists, maintained by a single volunteer, badly tested, written in a memory-unsafe language and full ofsecurity bugs.It is foolish to use this software to process untrusted data. As such, we treatsecurity issues like any other bug. Eachsecurityreport we receive will be made public immediately and won't be prioritized. これは趣味人たちによって開発され、たった一人のボランティアによっ
はじめに:ブラウザストレージの選択に迷っていませんか? 「ユーザー設定を保存したいけど、localStorageでいいのかな?」 「認証トークンはCookieに入れるべき?それともlocalStorage?」 「大きなデータを保存したいけど、どれが適切?」 ブラウザでデータを保存する方法は複数あり、それぞれに特徴があります。しかし、「結局どれを使えばいいの?」という疑問を持つ方は多いのではないでしょうか。本記事では、単なる機能比較にとどまらず、実際のユースケース別に最適な選択肢を提示します。初心者の方にも分かりやすいように、セキュリティの概念も含めて丁寧に解説していきます。 ブラウザストレージの全体像 まず、主要な4つのストレージ技術を整理しましょう。 それぞれの技術は異なる目的で設計されています。以下の4つの軸で比較すると、特徴が明確になります。 4つの比較軸で理解する 1. データの
まことにもっともな疑問だと思います。公開鍵暗号には、狭義の公開鍵暗号と、広義の公開鍵暗号があります。パスキーで使われているのは、広義の公開鍵暗号です。 狭義・広義だと紛らわしいので、狭義の方をPublic Key Encryption(PKE)、広義の方をPublic KeyCryptography(PKC)と表記する場合があります。光成さんのブログ記事がわかりやすいです。 https://blog.cybozu.io/entry/2021/12/28/080000 あなたの「公開鍵暗号」はPKE? それともPKC? - Cybozu Inside Out | サイボウズエンジニアのブログ初めに サイボウズ・ラボの光成です。 いきなりですがクイズです。次のうち正しい説明はどれでしょう。 SSHやFIDO2などの公開鍵認証はチャレンジを秘密鍵で暗号化し、公開鍵で復号して認証する。 ビットコ
共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにおいても攻撃が可能という詳細記事が配信された。 翌29日に地方紙などに配信された記事では実際に交通系ICカードの残高を変更したスクリーンショットが掲載されるなど、より報道がエスカレートしている。 情報公開のプロセス 今回、FeliCaにかかわる事業者から詳細情報が一切提供されておらず、技術的な解説は発見者の報告を介した当該の報道のみという状況で、危険性や安全性を論じられるほどの確かな情報が存在しない。そのうえで推測を交えて筆者の見解を述べれば、問題が発見されたからといって即座に自身が被害を受けたり、社会インフラが崩壊
2025年8月26日、JavaScriptエコシステムで最も広く使用されているビルドツールの一つであるNxにおいて、複数の悪意のあるバージョンが攻撃者によって公開されてしまったことが話題になった。 socket.devgithub.com 攻撃の概要 簡単に説明すると、 攻撃者が悪意のあるコードを含むNxライブラリを作成 Nx公式のnpmトークンを盗む 攻撃者がNx公式になり代わり、あたかも公式リリースかのように悪意のあるコードを含む最新バージョンを公開 利用者が最新版をダウンロードすることで、悪意のあるコードが実行される という感じだ。攻撃の影響や詳しい流れは本記事の守備範囲外のため、NotebookLMに簡潔にまとめてもらった内容を記載する。 1.GitHub Actionsワークフローの脆弱性悪用 攻撃者は pull_request_target トリガーを持つワークフローのBa
エグゼクティブ サマリー この記事では、ClickFixキャンペーンに備えた脅威ハンティングのヒントと緩和策を共有するものです。また2025年に弊社がこれまでに確認した最も著名なClickFixキャンペーンを紹介します。特徴は以下の通りです。 リモート アクセス型トロイの木馬(RAT)「NetSupport」を配信する攻撃者が、新たなローダーで活動を活発化させている Latrodectusマルウェアを配信する攻撃者が、新たなClickFixキャンペーンで被害者を誘い込んでいる 新しいテクニックで多業種を狙う「Lumma Stealer」キャンペーンが盛況 ClickFixとは脅威アクターがソーシャルエンジニアリングのルアー(誘い文句)として使用する、近年攻撃者間で人気を集めるテクニックです。この手口は、潜在的な標的を騙して悪意のあるコマンドを実行させるもので、一般的なコンピュータの問題に
はじめに Tauri v2 にバージョンが上がり、モバイル (iOS/Android) 対応が正式にサポートされた。 また、プラグインに関して大幅なサポート変更があり、Tauri のコア部分までアクセスできるものを作成できるようになった。 そして、Tauri v1 の学びから、高度なセキュリティサポートが明確になっていき、こうして Tauri v2 のセキュリティサポートは大幅な変更と対応拡張が行われたという経緯がある。 公式ドキュメント まずは公式ドキュメントをぺたり。 これを読み解きつつ、特に注意したり、自分が使うときにどう設定すればいいかを考えながらまとめていく。 トラスト境界 (Trust Boundaries) を意識する トラスト境界 (Trust Boundaries/トラストバウンダリ) は、プログラムデータや実行が「信頼」のレベルを変更する境界、または異なる機能を持つ2つ
Takakurakazuki🦀 @_takakurakazuki 昨晩、ヤバい詐欺に合って絶望したので、皆様が同じ目に合わないようここに記しておきます。おそらく生成AIをテキストやリサーチ、webサイトに駆使したかなり新しいものでしたので、皆さんの参考になればとシェアします。 数週間前「英語圏ファッション系メディアの編集者」を装う人物からメール。デジタルアーティストの特集をしているのでオンラインインタビューをしたい、との内容。 先方のWEBを見る。一応ちゃんと記事も載っている。(が、内容の翻訳を怠った。おそらく生成AIを駆使して作られたフェイクサイト)メールアドレスがgmailなのでアレ?と思ったが、フリーの外部編集者かな?変なドメインではない。 インタビューはzoomのようなビデオツールで行われるが、同時通訳機能がついたvironectという新開発のアプリなので落としておいて欲しいとの
先月私が報じた1億8400万件の認証情報流出を恐ろしいと思った読者は、ぜひ腰を据えて読んでほしい。研究者により、パスワードを含む160億件ものログイン認証情報が確認された。これは史上最大規模のデータ侵害だ。今年初めから続く調査によって、この巨大流出は複数のインフォスティーラー(情報窃取型マルウェア)の仕業だと推定されている。以下に、知っておくべき事実と取るべき対策を示そう。 これはパスワード流出における史上最大級の事件なのか?パスワード侵害は冗談では済まされない。アカウント乗っ取りに直結し、テクノロジー中心の現代で大切にしているほぼすべてのものが危険にさらされるからだ。このため、グーグルは数十億人のユーザーにパスワードをより安全なパスキーへ置き換えるよう促し、FBIはSMS内のリンクをクリックしないよう警告している。盗まれたパスワードがダークウェブで数百万件単位、わずかな金額で売買されてい
※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか?と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「+」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの+ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると
みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。Network Analytics forSecurity (以下、NA4Sec)プロジェクトのメンバーとして活動しています。 この記事ではフィッシング詐欺がどのように行われているのか、フィッシングサイトがどのような仕組みで動作しているのか、注意喚起を兼ねて紹介します。 ぜひ最後まで読んでみてください。 フィッシング詐欺について フィッシング詐欺がどのように行われているのか フィッシングサイトがどのように構築されているのか フィッシングサイトがどのように動作しているのか どんな情報を窃取しているのか 窃取した情報はどこに送られるのか 相手の情報を収集・判別する 窃取したクレジットカード番号が有効であるか確認する フィッシング詐欺に引っかかるとどうなるのか フィッシング詐欺を減らすための取り組み マラソン型
楽天証券のユーザーを狙ったフィッシングメールが話題になっています。楽天証券の公式 X アカウントから注意喚起が行われているほか、NHK ニュースでも報道されました。 【⚠️重要】楽天証券を装う不審な電子メールにご注意ください 【⚠️重要】楽天証券を装う不審な電子メールにご注意ください 直近、楽天証券を装う不審な電子メールを経由した不正取引被害が増加しております。… pic.twitter.com/mg8zvYXgOe—楽天証券 (@RakutenSec) 2025年3月21日楽天証券 偽メールで個人情報抜き取り被害相次ぐ 注意呼びかけ www3.nhk.or.jp この注意喚起を見ると、興味深い点があります。送信元のメールアドレスとして、「自治体名を含む」ドメインが利用されているというのです。実際に、sendonly@shiga.jp というメールアドレスが使われているほか、kagos
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
