Cisco IOS XE ソフトウェアにおける新たな認証バイパス ゼロデイについて警告
Ciscoは、IOS XE ソフトウェアにおける新たな認証バイパス ゼロデイについて警告、悪用が確認されています。
緩和策no ip http server または no ip http secure-server コマンドを使用してHTTP サーバー機能を無効化します。
CVE-2023-20198の悪用に続いて、インプラントを隠すために、トレースクリーニングが進行中であることに注意してください。 WebUIを無効にしている場合でも、悪意のあるユーザが追加されていないか、WebUIの設定が変更されていないかを調査することをお勧めします。
TALOSアドバイザリー更新:インプラントの更新バージョンを確認。感染したデバイスをチェックするための新しい curl コマンドをリリース
Last night, we released more information on the active exploitation of vulnerabilities in #Cisco #IOS XE, including an updated version of the implant adversaries are using and a new cURL command to check for infected devices https://t.co/JEopP14wSW pic.twitter.com/a5ncMTJfHE
— Cisco Talos Intelligence Group (@TalosSecurity) October 24, 2023
Oktaサポートシステムへ不正アクセスの追跡
2023/10/20 攻撃者は、Oktaユーザーがアップロードしたファイルを見ることができました。なおAuth0/CICケース管理システムはこのインシデントの影響を受けません。
注:既に影響を受けたすべてのユーザーに通知済みです。
なお、Okta のサポート ポータルへWeb バグの分析を支援するためにアップロードされることがある顧客の HTTP アーカイブ(HAR)ファイルへの悪意のあるアクセスに関連しています。これらのアーカイブは HTTP リクエストのコレクションであり、多くの場合、認証情報が含まれる場合があります。
Okta のサポート ポータルの従業員認証情報を利用することで、攻撃者はこれらのアーカイブをダウンロードできました。攻撃者は資格情報を抽出した後、それを「中継」して、顧客の環境への既存のセッションを「ハイジャック」する可能性がありました。
900万件流出のNTT西日本子会社、情報管理認証団体が「Pマーク」の取り消し検討
「プライバシーマーク付与に関する規約(JIP-PMK500)」の欠格 事由に該当するものと思われます。
第5条 プライバシーマーク制度に対する一般の信頼を毀損すると認めるに足る相当な理由がある事業活動を行う事業者
私もこのような事業者のコンサルに関わるかもしれませんので、後学のためにも注目しております。
900万件流出のNTT西日本子会社、情報管理認証団体が「Pマーク」の取り消し検討https://t.co/tRbchqpbki#経済
— 読売新聞オンライン (@Yomiuri_Online) October 20, 2023
なお、約10年間にわたり、サーバーからダウンロードし、USBメモリーを使って持ち出したとされる。NTTビジネスソリューションズの元派遣社員で、08年から勤務していた模様です。なお人を安く使うといった発想は、社会を荒廃させてしまうと感じます。もし、人を安く使いたいのであれば、自分を安売りすることです。それがうまくできたら、もう人を安く使いたいなどと思うことはないと思います。 そこで、労働者派遣法にこそ、年収要件に基づいた高度プロフェッショナル制度を適用すべきだと思います。
全銀システム障害に係る対応状況について
全銀システム障害に係る対応状況について
現時点で確認できている障害の原因は、電文1件ごとに、仕向機関が被仕向機関に支払う「内国為替制度運営費」(金額は種目により異なる)について「予めRCに設定されたテーブルをRCが参照する処理」でエラーが発生し、RCが異常終了した模様です。
全銀システムに関するコストについて
パスキーのサポート
Microsoft Windows、Google 個人アカウント、Amazonからそれぞれ、パスキーのサポートを表明しております。
Windows でのパスキーのサポート
パスキーのしくみ:FIDO プロトコルは、公開/秘密キー暗号化手法に依存しています。 ユーザーがオンライン サービスに登録すると、クライアント デバイスによって新しいキー ペアが生成されます。 秘密キーはユーザーのデバイスに安全に保存され、公開キーはサービスに登録されます。 認証するには、クライアント デバイスがチャレンジに署名して秘密キーを所有していることを証明する必要があります。 秘密キーの使用には、Windows Helloロック解除要素 (生体認証または PIN) が必要です。
個人の Google アカウントにデフォルトとしてパスキーを提供
Amazon は、パスワードなしのサインインでアカウントに簡単かつ安全にアクセスできるようにしています
Amazon is making it easier and safer for you to access your account with passwordless sign-in
Amazon パスキー: 不十分な実装
証明書利用者 ID の問題:ユーザーが設定した国によっては、異なる Amazon ドメインにリダイレクトされる場合があり、国/トップレベル ドメインごとに個別のパスキーが必要になります。これは、各パスキーを 1 つの証明書利用者 ID (例: http://amazon.com や http://amazon.de) に登録する必要があるため、パスキーのセキュリティ構造によるものです。
条件付き UI :条件付き UI (「パスキーの自動入力」)を実装しなかったことにより、Amazon はユーザーにとってパスキーの使用をシームレスにする重要な機能を逃してしまいました。他の企業がすでに条件付き UI を実装しているため、その理由はまだ不明です。
デバイス管理:現在のデバイスの検出とパスキーの管理は扱いにくく、ユーザーの混乱を招く可能性があります。特に Mac で Chrome などのブラウザを使用している場合、パスキーが利用できないことやパスキーをスキップすることを説明する代わりに QR コードが表示されます。
ネイティブ アプリのサポートが無い:Amazon のショッピング アプリでも Prime Video のネイティブ アプリでも、パスキーのサポートが不足しています (パスキーを作成できないというメッセージが表示される)。これにより、パスキーが作成されなかった場合にユーザーが混乱する可能性があります。
冗長な検証手順:ユーザーが 2 段階認証を設定している場合でも、追加のワンタイム コード検証を行う必要がありますが、パスキーはデフォルトで 2FA であるため、これは一種の不必要な手順です。
生体認証に新風
身体的特徴などを用いる生体認証の欠点を補い、マイクロチップによる所持認証の良さを併せ持つ、人体用マイクロチップ
Neuralink 完全埋め込み型ワイヤレス ブレイン コンピュータ インターフェース (BCI) の治験医療機器試験を募集 思考だけでコンピューターのカーソルやキーボードを制御 頸髄損傷またはALSによる四肢麻痺のある方を対象
サポート詐欺 Microsoft、Amazonが共同してインテリジェンスを提供
インドの中央捜査局(CBI)が技術サポート詐欺を働く複数のコールセンターを家宅捜索する際に、Microsoft、Amazonが共同してインテリジェンスを提供しました。
FBI によると技術サポートと政府のなりすまし詐欺は、年間10 億ドル以上の損害を与えているとのことです。
A joint referral by Microsoft and Amazon provided actionable intelligence and insights to support India’s Central Bureau of Investigation (CBI) in raiding multiple illegal call centers perpetrating tech support fraud. Learn more: https://t.co/Wr0BfU3pXK
— Microsoft Threat Intelligence (@MsftSecIntel) October 19, 2023
ChatGPT Plus + Dall-E 3 の著作権保護について
ChatGPT Plus + Dall-E 3 で、著作権保護のプロンプトエンジニアリングについて試してみました。
「ドラえもんを描いてい下さい」といった指示は受け付けないようになっています。
そこで、「ドラえもんに似たオリジナルキャラクター」を描かせてみたところ…
ドラえもんのような耳のついた少女と猫でした。
ドラえもんの著作権を侵害するようなイラストではないと思いますが、集英社りぼん にあるような別の作家の作風なのかも…。
自治体システム標準化、ガバクラ移行で運用コスト2~4倍に悲鳴「議会に通らない」
自治体システム標準化、ガバクラ移行で運用コスト2~4倍に悲鳴「議会に通らない」 https://t.co/yfDSyjAOVM
— 日経クロステック IT (@nikkeibpITpro) October 16, 2023
デジタル庁が進めるガバメントクラウド「概要」には以下のタスクが明記されておりますが、いつ誰がどのように実現するのか、2025年度末までに全国1741地方自治体の業務システムを標準準拠システムに移行させる「自治体システム標準化」に向けて早急に準備が必要だと思います。
- ユーザー体験を向上させる。
- 世の中の状況の変化に応じて情報システムを柔軟に変更する。
- 柔軟かつ迅速にITインフラを構築する。
- アプリケーション開発者の要求に応じて自動でインフラを用意する環境を構築する。
- 最新のクラウド技術を最大限に活用する。
- クラウドの最新技術を活用して、クラウドサービスの高いセキュリティ、可用性、スケーラビリティを利用する。
- ガバナンス機能とテンプレートを用いて、政府全体としての管理レベルを向上させる。
- ベストプラクティスに基づく品質の底上げと標準化を実施する。
- セキュリティやネットワーク、運用監視などの検討省力化と設定自動化を支援する。
- テンプレートに基づきマネージドサービスを利用する。
- インフラの構築と運用の自動化を実現する。
- インフラコストの削減を実現する。
- ガバメントクラウドを利用してインフラコストの可視化・透明化を実現する。
- インフラコストの適切な評価を行う。
なお、地方公共団体の基幹業務システムの統一・標準化では、地方公共団体がガバメントクラウドを活用できるよう検討を進めています。
AI Platformをベースに、あらゆる業種でHITL(Human In the Loop)を実現することが可能に。
この数年で、生産性が指数的に向上する可能性も。
Fujitsu Kozuchi – Fujitsu AI Platform
富士通と理化学研究所、独自の生成AIに基づく創薬技術を開発
-電子顕微鏡画像からタンパク質の広範囲な構造変化の予測を実現-
