しゅーとです。 新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。 このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問題はIPAを通して開発者に報告し、報告から2年の年月を経て影響する全ホテルへの改修が完了し、公表されました。 本記事ではキオスクアプリ開発者がよりセキュアなシステムを構成できるように、発見した脆弱性の原因と対策を解説します。 客室に設置されていた脆弱性を有するタブレット ※今回は稼働中システムに対する調査という背景を鑑み、他者の情報・資産を侵害しないよう細心の注意をもって調査しており、他者の情報が関連するセンシティブな問題についてはアクセスなどの実際の検証を行わず、複数の間接的な証跡をもって報告し
go.jpのサブドメインを含む名前の一部が不正利用可能だったことが話題です。 「"DNS浸透いうな"の先生」として一部界隈で有名な中京大学の鈴木教授によって発見され、関係省庁に報告されたうえで問題への対処が行われました。 本記事執筆時点において発見・報告が行われたと公表されているのは、総務省、厚生労働省、経済産業省、近畿経済産業局、経済産業省、中国経済産業局、関東経済産業局、文部科学省、国土交通省(2件)、国立教育政策研究所、東京都(tokyo.lg.jp)のサブドメインです。 今回、鈴木教授によって発見&報告されるまで、第三者によってgo.jpを含む名前空間が不正利用可能な状態で放置されていたようです。 総務省の Dangling (宙ぶらりんな) CNAME を保護した話 (続) 総務省の Dangling (宙ぶらりんな) CNAME を保護した話 “中央省庁の一部サイト 不正利用の
自動車のソフトウェア化と自動運転技術の発展 現在、自動運転車両や電気自動車の普及、それらに伴う新たなサービスの展開などにより自動車のモビリティサービスの充実が進んでいます。それに伴って注目されている技術がSDV(Software-Defined Vehicle)です。 SDVは従来のハードウェアをベースとした車両開発から、ソフトウェアを中心とした車両開発へとシフトすることで、車の機能や性能を容易に追加・アップデート可能にする開発コンセプトです。SDVの実現により、スマートフォンアプリのように自由にサービス・機能を追加およびアップデートできるようになり、機能開発のためのプラットフォームが公開されることで、サードパーティ企業が車両開発に容易に参画できるようになると予想されます。 2024年2月には、Tesla社が「スマートサモン」と呼ばれる、呼び出したユーザーのもとへ自動で走行する機能をソフト
株式会社アイ・オー・データ機器が提供するルーターUD-LT2には、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2025-20617 ドキュメント化されていない機能(CWE-1242) CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値 7.5 CVE-2025-22450 OSコマンドインジェクション(CWE-78) CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.6 CVE-2025-23237 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該機器に管理者アカウントでログイン可能な第三者によって、任意の
日頃より弊社商品のご愛用を賜り、誠にありがとうございます。 弊社ハイブリットルーターの「UD-LT2」において、複数の脆弱性が確認されました。 対象商品をご利用のお客様におかれましては、最新のファームウェアへ更新をお願いいたします。 想定される影響 当該機器に管理者アカウントでログイン可能な第三者によって、任意のOSコマンドを実行される(CVE-2025-20617) 遠隔の第三者によって当該機器のLAN側ファイアウォールを無効化され、特定のポートが開放される(CVE-2025-22450) 当該製品のCLIにログインしたユーザによって、任意のOSコマンドを実行される(CVE-2025-23237)
終わったWebサイトのDNS設定、 そのままになっていませんか? Copyright © 2025 株式会社日本レジストリサービス ▼DNS設定が残っていると… ▼使われる手法 • サービスの提供開始時における利用者のドメイン名の管理権限の確認、サービスの提供終了時における利用者の DNS設定の削除・変更の確認を実施することで、トラブル発生のリスクを低減できます。 ▼ホスティング等のサービスを提供する事業者のみなさまへ ▼終わったWebサイトのDNS設定は必ず削除・変更を! サブドメインテイクオーバー NSテイクオーバー • サービス開始時に設定したDNS設定は、サービス終了時に削除・変更が必要です。 • ツールなどを活用し、自身のドメイン名の削除・変更漏れを検知・修正することも、有効な対策となります。 • 残っているDNS設定を第三者に利用され、ドメイン名を勝手に使われることがあります。
--------------------------------------------------------------------- ■サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて 株式会社日本レジストリサービス(JPRS) 初版作成 2025/01/21(Tue) --------------------------------------------------------------------- ▼概要 レンタルサーバーやCDN(Content Delivery Network)など、事業者のサー ビスを利用して自身のドメイン名のサブドメイン(例:sub.example.co.jp) でWebサイトを公開する場合、事業者のサーバーを参照するDNS設定を自身の ドメイン名の権威DNSサーバーに追加することで、Webサイトを提供できる状 態になりま
Summary ¶Secure Erase に対応したデバイスでは Secure Erase を利用するべきです。 Secure Erase で消去するべきな理由は、最近の SSD は NAND の耐久性を向上させるため特定のアドレスへの過度な書き込みをしないように、ウェアレベリングが取り入れられている。この機能は NAND の書き込みアドレスを均等にすることで書き込み寿命を向上させる仕組みです。そのためディスク全体に書き込み処理をしても実際の書き込みアドレスは隠蔽されているため正しく消去されない。 そのため、 Secure Erase 機能を利用するとウェアレベリング機能をオフにし、書き込み処理ができることと大幅に消去完了までの時間が短縮される。 消去方法 ¶消去対象の SSD が Secure Erase に対応しているか確認する > lsblk -o NAME,HCTL,MODEL,
Note that there aren’t any tools for exploiting this bug that are widely available yet. While this post describes everything you need to know, we are not publishing a ready-made tool. Motivation¶ I’ve always wondered how folks gain access to encrypted devices without knowing the password. Sure, they likely have some bugs, but what kinds of bugs? Do they need government backdoors or 0-days? My assu
HomeCyber Security NewsResearchers Accessed Windows BitLocker Encrypted Files Disassembling the Laptop Cybersecurity researchers have uncovered a major flaw in the Windows BitLocker encryption system, allowing attackers to access encrypted data without requiring physical disassembly of the target laptop. The exploit, named “bitpixie”, demonstrates how attackers can extract the disk encryption key,
はじめに 「Lazarus」[1]は一つの攻撃グループを指す名称ではなく、実際には多数のサブグループの集合を指しています。もともとは一つのグループ、あるいは(今から見れば)ごく限られた規模の集団による活動を示すものだったところ、その後、活動体の規模が拡大し、複数のユニットに規模が拡大/枝分かれしたのではないかと筆者は推測していますが、この規模拡大に対して、旧来の「Lazarus」という呼称が当てはまらなくなってきたと考えるのが現実的です。 「この攻撃は〇〇(※Lazarusのサブグループ名)ではなくて、××のものだ」といった、Lazarusのサブグループレベルの粒度での特定/アトリビューションの話題を出すと、多くの方が怪訝な顔になるか無表情になりますが、後述のとおり、一見個人の“こだわり”、ややもすると“趣味”に見える考察が国全体の攻撃対処に極めて重要である点を解説したいと思います。 La
法人番号2000012020001 〒100-8926 東京都千代田区霞が関2-1-2 中央合同庁舎第2号館 電話03-5253-5111(代表)【所在地図】
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
