[B! security] t-satのブックマーク

海自トップが引責辞任へ　特定秘密、無資格隊員ら10年近く違法運用：朝日新聞デジタル

","naka5":"","naka6":"","naka6Sp":"","adcreative72":"\n\n\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

t-sat 2024/07/06

理屈的には指示した上官は資格のない者に機密を継続的に漏洩していたわけで、それが多数いたとなると適性評価で測った適性とは何かという話になってくるな。

リンク

短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog

2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。短縮URLサービス中の広告表示を起因とした事案かいなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中

t-sat 2023/11/12

昔の記事を読み返してる時に、短縮URLが期限切れで何を指してるか分からないとかアレな広告に直通とかよくある。/リファラー隠しのために使ってる元サイトがろくでもないんだけどさ。

リンク

Opinion: Russia Getting Beaten by Hackers

t-sat 2023/05/05

オフラインと同じく「俺らは攻めるが、奴らは攻めてこない」という前提でやってんのかな。

リンク

【特集】不要になったHDDを手放す場合の処理方法まとめ。譲渡に際してのデータ完全消去から物理的な破壊まで

t-sat 2023/04/19

エロ動画の詰め合わせにしておけばいいのでは?

リンク

AI対応「新Bing」が素直すぎて秘密情報バラしまくり | AppBank

マイクロソフトは2月8日、「ChatGPT」に似たチャットAIを搭載した「新しいBing」を発表しました。しかしその翌日に、このチャットAIに隠された情報を、スタンフォード大学の学生ケビン・リュー氏がAIとの対話によって解き明かしています。 *Category:テクノロジー Techno logy *Source：Ars technica ,@kliu128 BingのチャットAIが「秘密の設定」を漏らしてしまう一般的な大規模言語モデル(GPT-3や ChatGPTなど)は、学習中に「学習」した大量のテキスト素材から、一連の単語の次に来るものを予測することで動作するものです。開発者は、チャットAIの初期条件を設定するために、ユーザーからの入力を受けたときの動作を指示する初期プロンプト、つまりはキャラ設定のようなものを決めています。今回リュー氏が仕掛けたのは「プロンプト・インジェクション」

t-sat 2023/02/14

ちょっと前に「彼には人格がある」とgoogle従業員に言わしめた「彼」にも、こういう攻撃が効くんだろうか? 効いたとして、クビになった従業員の確信は覆るんだろうか?

AI
security

リンク

Go Secure Coding Practice の日本語翻訳を公開します - Techtouch Developers Blog

はじめに GoSecure Coding Practice とはコンテンツ一覧良かったところ注意すべきところ最後にはじめにこんにちは。SRE の izzii です。テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい

t-sat 2022/11/04

リンク

パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか？

パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか？ LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。 Passwordless is possible. Introducing Passwordless login by LastPass. The first password manager committed to a FIDO-supported #Passwordless future. Learn more: https://t.co/8UKhZPrkcZ pic.twitter.com/Nzk3F7payK — LastPass (@LastPass) June 6, 2022 We’ve joined

t-sat 2022/06/13

リンク

攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog

こんにちは。マネーフォワードの新卒Rails エンジニア、きなこと申します。マネーフォワードXという組織で、日々プロダクトの開発に勤しんでおります😊 突然ですが皆さんは JWT という技術をご存知でしょうか？私は趣味でCTFというセキュリティコンテストに出場するのですが、最近ホットだと感じるのがJWTに関連する攻撃です。今年の1月に初めてJWTを題材にした問題に遭遇し、その後JWTの出題頻度が強まっていると感じ、社内に向けてJWTにまつわる攻撃を通して学ぶための記事を書いたところ、たくさんの反応をいただきました。今回の記事はその内容を社外向けにアレンジし、ハンズオンを通して実際にJWTを改竄し、受け取るAPIを攻撃することでJWT自体を学べるようにしたものです。本記事はJWTに興味があるWeb開発者を想定していますが、そうでない方も楽しんでいただけるようにハンズオンを用意し

t-sat 2022/04/18

リンク

失敗事例 > JCOウラン加工工場での臨界事故

1999年9月30日茨城県の原子力施設が集中する地域で、高濃度ウラン燃料の加工をしていた工場で臨界事故が発生した。作業員3名が重度の被曝をし、内2名が死亡した。周辺住民なども多数被曝した。事故発生原因は国に提出し認められたマニュアルを勝手に改ざんしたマニュアルを、さらに発災前日に変えた。そのため臨界状態を発生させやすい形状と構造の容器に、大量のウラン235が入り、小型原子炉が臨時に設置されたと同じ状態になり、中性子線の大量放出となった。臨界状態は政府現地対策本部の判断で、発災社JCOから決死隊を募り、ジャケットの水切りを行って、発災から20時間後にようやく終息した。 1999年9月に茨城県の原子力関連設備が集まった地域にあるウラン燃料加工工場で、臨界事故が起こった。事故はJCO東海工場で、同工場では通常ウラン235濃度3～5％の低濃縮ウラン燃料を製造しているが、年に何回か高速増殖実験炉﹁常

t-sat 2022/04/12

こわヨ/「現場主義」の暗黒面。

リンク

HDDを完全消去して安全にパソコンを廃棄する方法

パソコンを廃棄するとき、よく注意点として挙げられるのが「HDDの内容は完全消去する」というものです。HDDのなかには、さまざまな個人情報が詰まっているための注意ですが、単にフォーマットをしただけではHDDの完全消去は不十分。復元ソフトを使うことで情報を盗み出すことも可能なため、月の方法でHDDは完全に内容を消去する必要があるのです。 HDD完全消去はフォーマットでは不可能 HDDを完全消去するといえば、まず再フォーマットを行うという方法を思い浮かべる人が多いでしょう。ところが、この方法で消去されるHDDの情報は、ディレクトリと呼ばれるファイルが格納されている場所を保管した部分のみで、肝心のファイル内の情報はそのまま残ってしまうのです。再フォーマットを行ったHDDは、通常の方法でパソコンに接続しても空のHDDとして認識されます。しかし、ファイル復元ソフトを活用することにより、高い確率でデー

t-sat 2021/11/22

エロ動画の詰め合わせを作った後にフォーマットすればいいのでは?

PC
security

リンク

徳丸浩 on Twitter: "これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw"

これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw

t-sat 2021/09/10

リンク

日本の製粉大手に「前例ない」大規模攻撃　大量データ暗号化　起動不能、バックアップもダメで「復旧困難」

﹁システムの起動そのものが不可能で、データ復旧の手段はない﹂――製粉大手のニップン︵東証一部上場︶は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に﹁前例のない規模﹂と報告を受けたという。財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4～6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ

t-sat 2021/08/17

身代金要求すらできない状態にするって失敗? どっかの顧客へのデモンストレーション?

security

リンク

混沌を極めるWindowsのssh-agent事情 - Qiita

どうしてこうなった。何の話？ WindowsでのSSH-AGENTとSSHの話です。この記事での用語: SSHとssh, SSH-AGENTとssh-agent この記事では、SSH-AGENTと書いたときにはカテゴリとしてのSSHエージェントを意味します。 ssh-agentと書いたときには、実行プログラムとしてのssh-agentコマンドを意味します。同様に、SSHと書いたときにはカテゴリとしてのSSHクライアントを意味します。 sshと書いたときには、実行プログラムとしてのsshコマンドを意味します。 SSH-AGENTって？ SSH-AGENTは、秘密鍵での署名を代行1してくれるツールです。 SSH-AGENT に秘密鍵をロードしてしまえば、あとはパスワード(パスフレーズ)入力なしでSSH認証できる agent forward機能を使うことで、SSHした先でさらにSSHすると

t-sat 2021/05/06

リンク

Public Suffix List の用途と今起こっている問題について | blog.jxck.io

Intro Public Suffix List (PSL) は、現在の Web プラットフォームの一端を支えている非常に重要な要素だ。実はこれが、少数のボランティアにより GitHub でメンテナンスされた、単なるテキストリストであることは、あまり知られていないかもしれない。最近、このリストへの追加リクエストがあとを絶たず、問題になっている。そもそも PSL とは何であり、今どのような問題が起こっているのかについて解説する。Public Suffix List とは何か PSL を解説するには、まず関連する用語について整理する。 Top Level Domain (TLD) 例えば、このブログのドメインは blog.jxck.io であり、これは筆者が取得したドメイン jxck.io のサブドメインだ。 jxck.io は、 .io という TLD のサブドメインを販売しているレ

t-sat 2021/04/21

リンク

続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

この記事は過去2回にわたる検証記事の続きとなります。国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容︵この内容は記事の最後にテキスト情報としても掲載しておきます︶ URL情報に関連するもので﹃c、t、d﹄と呼ばれそうなものは何か。・cのデータ量は飛び抜けて多い・cとdは一致が見られることがある・一部が一致しながらもcのほうが長かったりもする

t-sat 2020/12/21

開発者や役員の人らは、このソフトを使ってるんだろうか?/Yes, Noどちらでも信用できないという点では変わらないけど…。

リンク

国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

調べた事実を列挙してみる。・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている・プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている・https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている様々な設定を調べたが、どのようにしても外部への閲覧情報送信を止めることはできなかった。あなたが何を調べ、何を買おうとしているのか、何で遊び、どこへ行こうとしているのか。それらはあなたの知ら

t-sat 2020/12/17

ここまでやってどれくらい儲かるのだろうか。

リンク

さまざまなサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング | yamory Blog

HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。

t-sat 2020/12/05

リンク

クローズド NW だから塩漬け Flash で vSphere Web Client を使おうと思ったらそうはいかない - vHoge

時が流れるのは早く、既に 2020 年も10月半ば。あと2ヶ月で 2020 年も終わり、来てしまうのです… そう、Flash の EOL が。普通にネット見る分にはさすがに Flash コンテンツを見ることはほぼ無くなり大した影響はなさそうですが、VMware 界隈だと vSphere Web Client (Flash版)がメインの GUI である vSphere 6.0 が一応 EOL 前ということで、お世話になる人はまだいそう。気になる文言 Adobe のページより www.adobe.com 4.2020年末を過ぎても、アドビから旧バージョンのAdobe Flash Playerをダウンロードできますか？いいえ。アドビは自社サイトからFlash Playerのダウンロードページを削除します。また、Flashベースのコンテンツは、サポート終了日以降、Adobe Fla

t-sat 2020/10/19

リンク

「ドコモ口座」去年5月にも同様の不正引き出し | IT・ネット | NHKニュース

電子決済サービスの﹁ドコモ口座﹂を通じて、各地の銀行で預金が不正に引き出された問題で、去年の5月にも同じような不正引き出しが起きていたことがわかりました。この問題で、去年5月にも大手銀行のりそな銀行の口座からドコモ口座を通じて預金が不正に引き出されていたことがわかりました。当時、ＮＴＴドコモは銀行口座からドコモ口座に送金できる金額をひと月に１００万円から30万円に引き下げ、ドコモ口座と連携しているほかの銀行に対してセキュリティーの強化を呼びかけました。この当時はドコモ口座を開設できるのがドコモの携帯電話の利用者に限られ、携帯電話番号で十分な本人確認を行っているとして、それ以上の対策はとらなかったということです。しかし、その後、ドコモの携帯電話利用者以外にもドコモ口座を使えるようにした際に、携帯電話番号を入力しなくても済むようにしたということです。この結果、本人確認が不十分になった