HomeNewsSecurityUndocumented commands found in Bluetooth chip used by a billion devices Update 3/9/25: After receiving concerns about the use of the term 'backdoor' to refer to these undocumented commands, we have updated our title and story. Our original story can be found here. The ubiquitous ESP32 microchip made by Chinese manufacturer Espressif and used by over 1 billion units as of 2023 conta
2025年2月26日、Microsoftは「Material Theme – Free」および「Material Theme Icons – Free」というVisual Studio Code(VSCode)の人気拡張機能をマーケットプレイスから削除しました。両拡張機能は合計約900万回ダウンロードされており、開発者向けに広く使用されていましたが、悪意のあるコードを含んでいる可能性が指摘されました。 削除された拡張機能について 「Material Theme – Free」と「Material Theme Icons – Free」はVSCodeのカラースキーマやファイルアイコンを変更する拡張機能です。 Material Theme – Freeはダークモードやライトモードなどの複数のカラーテーマを提供していました。 Material Theme Icons – Freeは、Google
Zapier says someone broke into its code repositories and may have accessed customer data Zapier says someone broke into its code repositories and may have accessed customer dataThe security incident impacted some customer information that had been ‘inadvertently copied’ to its repositories. The security incident impacted some customer information that had been ‘inadvertently copied’ to its reposit
はじめに 本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。 ハッカーとのやりとりの流れ ハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくる Githubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに
(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full").Release -ge 393295 True が出力される場合は .NET Framework 4.6 がインストールされていますので、以下のレジストリ設定を追加します。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319] “SchUseStrongCrypto”=dword:00000001 64 bit OS の場合は以下のレジストリも必要となります。 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319] “SchUseStrongCrypto”=dword:
長年にわたり、ペンテストやRed Teamの案件において、Active Directory環境でよく見られる脆弱性とその対策をまとめた資料です。
スマホがクルマのスマートキーに、25年にBluetoothの準備が整う v6.0でチャネルサウンディング測距が規格化 スマートフォンをポケットに入れてクルマに近づけばドアの鍵が開く─。一部の車種にのみ搭載されていたこうした機能が2025年以降に一般化しそうだ。きっかけは、Bluetooth SIGが新たに規格化した「チャネルサウンディング(Channel Sounding:CS)」という技術がスマホやクルマに組み込まれることである。 CSは、Bluetooth SIGが2024年8⽉に発行した「Bluetooth v6.0」で新たに追加された測距技術である。Bluetoothの送信機間をセンチメートル程度の誤差で計測できる。そのため、ユーザーがクルマの周囲にいるときにのみ、鍵を開けるといったことが可能になるわけだ。 実はこれまでにも、UWB(Ultra Wide Band、超広帯域)によっ
Malwarebytesは2月7日(米国時間)、「20 Million OpenAI accounts offered for sale|Malwarebytes」において、2,000万件のOpenAIアカウントが売りに出されたと報じた。 20 Million OpenAI accounts offered for sale|Malwarebytes OpenAIが侵害された可能性 OpenAIアカウントの販売は、ダークWebの情報流出フォーラムへの投稿で明らかになった。Malwarebytesによると、「emirking」と名乗る脅威アクターはロシア語で次のように述べ、希望者に連絡するよう求めたという。
米メタ・プラットフォームズ傘下のメッセージアプリ「ワッツアップ」の関係者は31日、メディア関係者などの利用者がイスラエルのスパイウエア企業パラゴン・ソリューションズによるハッキングの対象となったと明らかにした。写真は1月18日撮影(2025年 ロイター/Yves Herman) [ワシントン 31日 ロイター] - 米メタ・プラットフォームズ傘下のメッセージアプリ「ワッツアップ」の関係者は31日、メディア関係者などの利用者がイスラエルのスパイウエア企業パラゴン・ソリューションズによるハッキングの対象となったと明らかにした。関係者は、検知した対象は約90人だとロイターに語った。
Wizは「組織は増加するスタートアップやプロバイダーのAIツールやサービスの導入を急いでいるが、同時にこれらの企業に機密データを託していることを忘れてはならない」と指摘している。 DeepSeekは21日、米OpenAIのハイエンドモデル「o1」と同レベルの性能をうたう大規模言語モデル(LLM)「DeepSeek-R1」を公開。高性能ながら開発コストが極めて低いとの情報が広がり、注目を浴びている。 【訂正:2025年1月30日午後3時】当初、見出しで「情報漏えいか」としていましたが、Wizのレポートには実際に漏えいした可能性には言及していなかったため、記事タイトルを変更しました。 関連記事 DeepSeekが集める個人情報は「中華人民共和国にある安全なサーバに保存」 中国DeepSeekのサービスが急激に注目を集めている。同社のプライバシーポリシーには、収集した個人情報は中国のサーバーに保
2月3日、台湾当局は安全保障上の懸念があるとして政府機関による中国新興企業ディープシークの人工知能(AI)サービスの利用を禁止した。利用すべきでないとした先週の文言を厳格化した形。写真はディープシークのロゴ。1月撮影(2025年 ロイター/Dado Ruvic) [ワシントン 29日 ロイター] - 米サイバーセキュリティ新興企業Wiz(ウィズ)は29日のブログへの投稿で、中国の人工知能(AI)新興企業ディープシークが機密データをインターネットに流出させているのを発見したと明らかにした。 ウィズによると、ディープシークのインフラを解析したところ、同社が誤って100万件以上のデータを保護せずに利用可能な状態にしていたことが判明した。これらのデータにはデジタルソフトウエアのキーのほか、ユーザーから同社の無料AIアシスタントに送信されたプロンプトを含むと思われるチャット履歴が含まれていた。 ニュ
Intro 震災の直後、復興のさなかに水害が起こり、再び全てが流される。能登の人々にとっては大変な 2024 年だったと思う。首都直下型や南海トラフはいつ起こってもおかしくないと言われ、戦火すら他人事ではなくなっている。 家に災害用の備蓄を用意するのと同様、定期的に「アカウント防災訓練」を個人的に実施するようになって数年経つ。 観点は「今、持っているものを全て失っても、リカバリできるだろうか?」だ。 現代のアカウントの管理は、"Password Less" を目指す過渡期で、中途半端に複雑だ。Password は無くなっているというより、集約された "Less Password" 状態であり、残る「最後の Password」を起点にどう全体を復元するかが、災害時リカバリの課題となる。これに失敗して全てが詰むと、仮に無事避難できたとしても、相当な喪失を味わうだろう。 現状の選択肢と設計方針を
Since its inception, Let’s Encrypt has been sending expiration notification emails to subscribers that have provided an email address to us. We will be ending this service on June 4, 2025. The decision to end this service is the result of the following factors: Over the past 10 years more and more of our subscribers have been able to put reliable automation into place for certificate renewal. Prov
しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し
だが、何度試しても失敗。どうやら、2段階認証に成功しても、2段階認証の端末同士が近くにないとログインが許可されないらしい。セキュリティが強化されているな ※2段階認証の端末同士→今回の場合は、僕の手元にあるrealme GT7 Pro と出品者が今使っているスマホ 同じ場所でやらなければならない 裏技もある YouTubeやネットでスマホの名前+FRPで検索すると、そのスマホの脆弱性やバグを利用してGoogleアカウント情報を抹消する方法が紹介されている。 しかし、いずれもかなり複雑で素人が試すにはハードルが高い。また、時間をかけても成功する保証はない。 パソコンのソフトもある 調べてみると、解除専用のパソコンソフトがあることがわかった。一つ試してみたが、結果的にはうまくいかなかった。 どうやら、Android 15がよりセキュリティが強化されていることが原因のようだ。 返品が早くて確実
「TP-Link」は米国企業で、「TP-LINK」は中国企業――米TP-Linkが一部報道に対する声明を発表 安全保障の観点から、米国政府が「TP-Link Systems(TP-Link)」のネットワーク機器の利用を禁止することを検討している――米国の「The Wall Street Journal」が12月18日(米国東部時間)、このように報じた。 →U.S. Weighs Ban on Chinese-Made Router in Millions of American Homes(The Wall Street Journal) 本件を受けてTP-Linkは12月20日(米国太平洋時間)に公式声明を発表した。TP-Linkは米国企業であり、中国法人である「TP-LINK Technologies(TP-LINK)」とは提携関係になく、中国政府はルーターなどのネットワーク機器の設計
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く