サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
「Chrome」にインストールされたばかりのブラウザー拡張機能は、一見すると無害に見えるかもしれない。しかし、それが巧妙なサイバー犯罪者によって作られたものであれば、AIを悪用して、ユーザーが気づかないうちに個人情報や業務データを盗み出すかもしれない。 ブラウザーセキュリティ企業LayerXが発表した最新レポートによれば、どのような拡張機能であっても、大規模言語モデル(LLM)のプロンプトにアクセスし、そこにデータ窃取のための指示を注入できる可能性があるという。こうした攻撃には特別な権限を必要としないため、企業環境では特に危険性が高く、内部情報や機密情報を収集する能力を持ち得る。 この脆弱(ぜいじゃく)性の背景には、ほとんどの生成AIツールがブラウザー上で動作するという仕組みがある。LLMベースのAIアシスタントを使用する際、プロンプトはウェブページのDOM(Document Object
この資料の趣旨 目的 脅威分析モデルとは?脅威の特定の質問をより適切に定式化できるように、Microsoft は STRIDE モデルを使用しています。このモデルではさまざまな種類の脅威を分類し、セキュリティに関する会話全体を簡単にします。このツールはセキュリティの専門家ではないユーザーを想定して設計され、脅威モデルの作成と分析に関するわかりやすいガイダンスが用意されているため、すべての開発者が簡単に脅威をモデリングできます。中小企業向に簡易な脅威分析が可能になります。 概要 脅威分析モデル(STRIDE)とは、STRIDE はIT のシステムの脅威を洗い出す視点で考案された手法です。STRIDE はマイクロソフトが開発した脅威分析モデルの方法とツールです。 脅威分析モデルを構築し脅威のリスクを調べ、攻撃者の行動思考則りにセキュリティホールを検知するのに使用します。セキュリティ検証を効
パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用するGitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
Intro Nx リポジトリが攻撃を受け、広範囲にわたるインシデントが発生した。 今回の事例は、GitHub Actions を中心に複数のステップが組み合わさった攻撃であり、過去に何度も発生してきた攻撃と本質的には変わらない。 しかし、途中でAI が何度か登場するため「AI が書いたコードをマージしたから」などといった表面的な反応もあるが、実態はそこまで単純な話でもない。 また、「自分のプロジェクトは Nx を使っていないから関係ない」とも言えない攻撃であるため、特にフロントエンドエンジニアは全員注意と確認が必要となる。 この攻撃が何だったのか、そこから学べることは何なのか、解説する。 Nx Incident 今回のインシデントについては、既に公式の Advisory が出ている。ニュース系の記事も多々あるが、一次情報は以下となる。 Malicious versions of Nx a
2025年8月、米国ラスベガスで毎年恒例のセキュリティイベント「DEF CON 33」が開催されました。筆者はラスベガスで開催される夏のハッカーイベントに参加したことはないのですが、毎回この時期にはドキッとするような手法が発表され、サイバー空間の安全性確保のための心構えとなることが多く、本年も注目をしていました。 今回は個人的にも、非常に考えさせられる攻撃手法が公開されました。筆者が推しに推している「パスワード管理ソフト」を標的にした実に理にかなった攻撃への注意喚起も発表されていますので、見ていきましょう。 根本的な対策がない? 古くて新しい攻撃の詳細 筆者が“2025年こそ元年”と言い続けている「パスワード管理ソフト」。メリットはパスワードを自分の代わりに覚えてくれるだけでなく、パスワード文字列の提案や漏えいパスワードのアラートといった機能の他、正しいドメインやフォーム名の組み合わせでし
ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar2022 1日目の記事です。 今日はこの話をします。 SAMLのIdP-initiated フロー/メソッド/SSO とか呼ばれているやつ 仕様だとこの辺りでしょうか? In addition to supporting the new SP-Initiated web SSO use cases, SAML v2 continues to support the IdP-initiated web SSO use cases originally supported by SAML v1. In an IdP-initiated use case, the identity provider is configured with specialized links that
「40秒って短すぎる!まるでタイムアタックだ」「メール届くのが遅くて、待ってる間にタイムアウト…」 【映像】「まるでタイムアタック…」実際の認証画面 今年に入り相次いでいる、証券口座の乗っ取り事件。8月7日の金融庁の発表によると、不正アクセスによる売買総額(1月〜7月)は約6200億円に上っている。証券会社は対応策としてログインや認証を厳しくするなどの対応をしているが、厳しくなりすぎてシステムに入れなくなる人も出ている。SBI証券はセキュリティ強化のため、8月9日からデバイス認証の方法を変更した。新方式では、サイトにログインする際に、認証コードが正規サイト上に表示される。同時に、送られてくるメールに記載されたURLから別ウィンドウで入力画面を開き、サイトに表示されたコードを入力。さらに、メインサイトに戻ってデバイス登録を行うという流れだ。 認証コードの表示時間はわずか“40秒”。40秒経
警察庁は17日、ランサムウエア(身代金要求型ウイルス)集団「Phobos(フォボス)」によるデータ暗号化を解く復号ツールを開発したと発表した。利用すれば身代金を支払わなくてもデータを復元できる。日本警察による開発は2例目で、世界各国に共有される。ランサムウエアへの対抗手段を構築し被害を抑止する。警察庁によると、開発したツールはフォボスに加え、フォボスと同様の暗号化プログラムを使用する別のランサ
コンサルティング部の枡川です。AWSNetworkについて、公開されているIPS/IDSルールを自動で取得してルールグループ化するように設定するハンズオンがあったのでやってみました。 最近AWSマネージドのルールグループも追加されてどんどん使いやすくなっていると思うので是非活用していきたいですね。 ハンズオンについて 今回実施したハンズオンはAWSSecurityBlogで紹介されている2部構成のハンズオンです。 1部では基本的なAWSNetwork Firewallについて学習できます。 2部では、厳格なルール評価順の指定とEmerging threatから自動的に最新のSuricataベースのルールを取得するように設定する方法を学習できます。 2部のハンズオンで使用する公開ルールを自動取得するサーバレスアプリケーションはaws-samplesリポジトリにサンプルとして公開され
日本証券業協会(日証協)と証券大手10社は5月2日、証券口座のインターネット取引で乗っ取り被害が急増している問題を受けて、各社の約款などの定めに関わらず一定の被害補償を行う方針を共同で発表した。具体的な補償の水準については、顧客のIDやパスワードなどの管理状況や、各社の不正アクセス防止のための対策などを勘案した上で個別に決める。日証協の松尾元信専務理事は「約款で払わなくていいものを払うように各社にご決断いただいた。極めて異例の措置だ」と述べた。 方針に合意したのは、SMBC日興証券、SBI証券、大和証券、野村証券、松井証券、マネックス証券、みずほ証券、三菱UFJ eスマート証券、三菱UFJモルガン・スタンレー証券、楽天証券(50音順)の大手10社。7日時点ではみずほ証券以外の9社で被害が確認されている。SBI証券や楽天証券などの取引約款では、顧客自身が入力したか否かに関わらず、IDやパス
はじめに本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。ハッカーとのやりとりの流れハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくるGithubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(ContentSecurity Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が
2024年10月02日 京セラコミュニケーションシステム株式会社は、奈良県の斑鳩町立図書館様からのご依頼で、9月10日より弊社の図書館システム(以降、本システム)の導入作業を行っておりましたが、新規構築したサーバがランサムウェアに感染していることが判明し、2024年10月1日に予定していた図書館利用者様向けのサービス利用開始を延期する事態となりました。現在、原因究明と被害状況の確認、また、本システムの運用再開に向けて取り組んでおります。 斑鳩町立図書館をご利用の皆様には多大なるご迷惑とご心配をおかけすることになりましたことを深くお詫び申し上げます。 被害の全容の把握にはいましばらく時間を要する見込みですが、現時点で判明している内容について、以下の通りご報告いたします。 2024年9月10日 弊社のソフトウェア製品である図書館システムの導入作業開始 2024年9月29日本システムの稼働開始
ChatGPTなどの生成AI(人工知能)には、悪質なプロンプト(命令)には応じない対策(ガードレール)が施されている。これによりサイバー攻撃などに悪用されることを防いでいる。 そこでサイバー犯罪者はガードレールを回避する手口を考え出す。すると生成AIの開発元は、それを防ぐべくガードレールを強化する――。現状、攻撃者と開発元ではこのいたちごっこが繰り返されている。 だがそれも終わりかもしれない。ガードレールがないことを売りにする生成AIが2023年7月中旬以降、相次いで報告されたからだ。サイバー犯罪者御用達といえるこの生成AI。一体、どのような生成AIなのだろうか。 マルウエア関連データでトレーニングセキュリティー企業である米SlashNext(スラッシュネクスト)の研究者は、サイバー犯罪者などが集まるフォーラム(掲示板)において、「WormGPT」と呼ばれる生成AIに関する書き込みを見つ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
