adi-goldstein-EUsVwEOsblE-unsplash

なぜ我々はsession.cookieを変更しなければならなかったのか – BASEプロダクトチームブログ

なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ

なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ

はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したい...

はてなブックマーク - なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお...

はてなブックマーク - とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス はてなブックマークに追加

aws_logo_smile_1200x630

[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO

[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO

[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO

[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた GuardDutyがEC2から搾取されたクレデンシャルを別AWSアカウントで利用しても検知してくれるようになりました。実際にインシデントが発生した場合の対...

はてなブックマーク - [アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO はてなブックマークに追加

aws_logo_smile_1200x630

AWS、「Amazon Linux 2022」プレビュー版リリース–「Fedora」ベース

AWS、「Amazon Linux 2022」プレビュー版リリース--「Fedora」ベース

AWS、「Amazon Linux 2022」プレビュー版リリース--「Fedora」ベース

Steven J. Vaughan-Nichols (ZDNet.com) 翻訳校正: 編集部 2021-11-25 11:55 パブリッククラウドのほとんどではLinuxが稼働していると言ってよいだろう。「Microsoft Azure」の顧客も含め、ほとんどのユーザーはクラウドでLinuxを実行している。 Amazon Web Services(AWS)の場合、ユーザーはさまざまなLinuxディス...

はてなブックマーク - AWS、「Amazon Linux 2022」プレビュー版リリース--「Fedora」ベース はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

「ヨドバシは私にとって神」「早い、正確、ムダな梱包なし」ネット通販詐欺の影響でヨドバシカメラに期待が集まっている模様

「ヨドバシは私にとって神」「早い、正確、ムダな梱包なし」ネット通販詐欺の影響でヨドバシカメラに期待が集まっている模様

「ヨドバシは私にとって神」「早い、正確、ムダな梱包なし」ネット通販詐欺の影響でヨドバシカメラに期待が集まっている模様

リンク Yahoo!ニュース 「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿 日本法人は「情報開示しない」(ITmedia NEWS) - Yahoo!ニュース ネット通販サイト「Amazon.co.jp」で商品を買ったユーザーから、「届いた荷物の中身がない」という内容の報告がTwitterで複数上がっている。いずれ...

はてなブックマーク - 「ヨドバシは私にとって神」「早い、正確、ムダな梱包なし」ネット通販詐欺の影響でヨドバシカメラに期待が集まっている模様 はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿【修正あり】

「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿【修正あり】

「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿【修正あり】

ネット通販サイト「Amazon.co.jp」で商品を買ったユーザーから、「届いた荷物の中身がない」という投稿がTwitterで相次いでいる。いずれも、販売元がAmazon.co.jpになっている「Ryzen 5 3600」というCPUを購入したところ、CPU本体が入っていなかったという。 ネット通販サイト「Amazon.co.jp」で商品を買ったユーザーか...

はてなブックマーク - 「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿【修正あり】 はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

開封時の撮影が当たり前になるかも…Amazonで発生している「抜き取り被害」の報告

開封時の撮影が当たり前になるかも…Amazonで発生している「抜き取り被害」の報告

開封時の撮影が当たり前になるかも…Amazonで発生している「抜き取り被害」の報告

kumakuma @kumakumaaaaa__ うまく行かなかった電話で話した事 ・2回ともcpu無しで送られてきた ・担当部署に繋いでください ・返品却下理由はなんですか(教えてくれない 上手く行った電話 ・2回とも開封されてた形跡があった状態で商品が届き証拠の写真もあります ・レビューを見ると最近同様に商品が届いていないケー...

はてなブックマーク - 開封時の撮影が当たり前になるかも…Amazonで発生している「抜き取り被害」の報告 はてなブックマークに追加

aws_logo_smile_1200x630

最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ | DevelopersIO

最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ | DevelopersIO

最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ | DevelopersIO

最小権限のIAM Policyを作成するのって地味に面倒ですよね。以前私は、Route53ホストゾーンにDNSレコード作成するのに必要な最小権限のPolicyを作るため、権限ゼロの状態から始めて、権限不足エラーが出るたびに権限を足していくという力技でPolicyを作ったことがあります。 Route53ホストゾーンにDNSレコードをTerrafor...

はてなブックマーク - 最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ | DevelopersIO はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

突然消えた電子マネー残高 アマゾン・楽天が強硬手段に出る理由は:朝日新聞デジタル

突然消えた電子マネー残高 アマゾン・楽天が強硬手段に出る理由は:朝日新聞デジタル

突然消えた電子マネー残高 アマゾン・楽天が強硬手段に出る理由は:朝日新聞デジタル

持っていた電子マネー(電子ギフト券)の残高が突然「ゼロ」に。記者は一昨年、そんな経験をした。何が起きたのか当時は判然としなかった。だが、警察が最近摘発した事件から、背景にあるとみられる犯罪の手口の一端が見えてきた。 「お客様のギフト券残高を無効にしたことを、お知らせいたします。Amazonギフト券利用規...

はてなブックマーク - 突然消えた電子マネー残高 アマゾン・楽天が強硬手段に出る理由は:朝日新聞デジタル はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

ヨドバシ、ネット販売比率5割に上げ 全国で翌日配送 

ヨドバシ、ネット販売比率5割に上げ 全国で翌日配送 

ヨドバシ、ネット販売比率5割に上げ 全国で翌日配送 

日経の記事利用サービスについて 企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。 詳しくはこちら ヨドバシカメラは家電や雑貨などのネット販売比率を、現在の3割から5年で5割まで引き上げる。物流拠点の整備に600億円を投じて全国で翌日配送ができる体制を整え、ネッ...

はてなブックマーク - ヨドバシ、ネット販売比率5割に上げ 全国で翌日配送  はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

「飾りじゃないのよ歯止めは」トラックを停車したときに歯止めをかけなかったため大惨事一歩手前まで行ったお話

「飾りじゃないのよ歯止めは」トラックを停車したときに歯止めをかけなかったため大惨事一歩手前まで行ったお話

「飾りじゃないのよ歯止めは」トラックを停車したときに歯止めをかけなかったため大惨事一歩手前まで行ったお話

ぞうむしプロ(元トラックドライバー/漫画家) @zoumushi6 『トラックドライバーの怪談』トラック、現場、ホラーの漫画を描きます。短ページの漫画。#企業漫画 お問い合わせは下記リンクcontactよりお願します。↓ご安全に! komachikozou.official.ec/inquiry/komach…

はてなブックマーク - 「飾りじゃないのよ歯止めは」トラックを停車したときに歯止めをかけなかったため大惨事一歩手前まで行ったお話 はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 | ロケットニュース24

【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 | ロケットニュース24

【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 | ロケットニュース24

» 【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 特集 「不覚だ……」 これまで、数々の大手カード会社や民間サービスを騙(かた)るフィッシング詐欺の潜入し、その防止策をお伝えしてきた自称「ネット詐欺撲滅隊長」の私(耕平)だが、この度とうとうヤ...

はてなブックマーク - 【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 | ロケットニュース24 はてなブックマークに追加

aws_logo_smile_1200x630

[アップデート] 全リージョンを一望できる EC2 Global View が登場 | DevelopersIO

[アップデート] 全リージョンを一望できる EC2 Global View が登場 | DevelopersIO

[アップデート] 全リージョンを一望できる EC2 Global View が登場 | DevelopersIO

趣味で AWS ドキュメントを眺めていたところ EC2 Global View という新たな機能が追加されていたのでご紹介します。 EC2 Global View これまで EC2 管理コンソールはリージョン内のインスタンスや VPC、セキュリティグループのみが表示されるため、他のリージョンのリソースを参照するには都度、リージョンを切り替えて...

はてなブックマーク - [アップデート] 全リージョンを一望できる EC2 Global View が登場 | DevelopersIO はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性 – ITmedia NEWS

打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性 - ITmedia NEWS

打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性 - ITmedia NEWS

ECサイト「コマキ楽器WEBサイト」が第三者から不正アクセスを受け、最大1667件のクレジットカード情報が漏えいした可能性。セキュリティコードも流出しており、カードが悪用された可能性もあるという。 打楽器専門店を運営するコマキ楽器(東京都台東区)は8月23日、ECサイト「コマキ楽器WEBサイト」が第三者から不正ア...

はてなブックマーク - 打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性 - ITmedia NEWS はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

安く購入したAmazonギフト券を使ったらアカウントを凍結された→「ギフト券を転売屋から購入しないで」公式からも注意喚起 – Togetter

安く購入したAmazonギフト券を使ったらアカウントを凍結された→「ギフト券を転売屋から購入しないで」公式からも注意喚起 - Togetter

安く購入したAmazonギフト券を使ったらアカウントを凍結された→「ギフト券を転売屋から購入しないで」公式からも注意喚起 - Togetter

きんどう @zoknd 【重要】Amazonギフト券を転売サイトから購入しないでください → amazon.co.jp/b?ie=UTF8&node… 詐欺など不正取得の可能性のあるAmazonギフト券を利用したなどで、Amazonアカウントの停止が話題になっていますね。上記リンク先に名指しで転売サイトが載っているのでご確認ください。 pic.twitter.com/rD...

はてなブックマーク - 安く購入したAmazonギフト券を使ったらアカウントを凍結された→「ギフト券を転売屋から購入しないで」公式からも注意喚起 - Togetter はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

7月6日から“送りつけ商法”すぐ捨ててOKに! 返品を求められたら「返す必要はない」

7月6日から“送りつけ商法”すぐ捨ててOKに! 返品を求められたら「返す必要はない」

7月6日から“送りつけ商法”すぐ捨ててOKに! 返品を求められたら「返す必要はない」

14日間保管のルールから「すぐ処分可能」に変更 「一方的に送り付けられた商品は直ちに処分可能に!!」 6月29日に消費者庁がこんなチラシを公開した。 出典:消費者庁 この記事の画像(3枚) これは特定商取引法の改正で7月6日から、いわゆる「送り付け商法」に対するルールが変わることを周知しているもの。 「送り付...

はてなブックマーク - 7月6日から“送りつけ商法”すぐ捨ててOKに! 返品を求められたら「返す必要はない」 はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

Google、Chrome におけるサードパーティ cookie 廃止を1年先送り

Googleは24日、Chromeにおけるサードパーティ cookie 廃止のタイムラインを含むPrivacy Sandbox構想の進捗状況を公開した(The Keyword の記事Recode の記事The Verge の記事Android Policeの記事)。

Privacy Sandbox は Web ユーザーのプライバシーを強化しつつ、広告による無料コンテンツ提供を守ることを目的として Google が提唱しているオープン標準だ。Privacy Sandbox の一環として、Google はサードパーティ cookie を2年以内に廃止する計画を昨年1月に発表しており、サードパーティ cookie を使用せずに関連性の高い広告を表示する FLoC (Federated Learning of Cohorts)Origin Trial を今年3月から実施している。

しかし、Chrome 以外のメジャーブラウザーは FLoC をサポートしない雰囲気になっており、Privacy Sandbox が競争を阻害する可能性についても厳しい視線が注がれている。英競争・市場庁 (CMA) は1月から調査を開始、3月には米司法省が調査しているとも報じられた。22日には欧州委員会が調査開始を発表した。

サードパーティ cookie 廃止の新しいタイムラインでは、2022年後半にテストが完了して API が Chrome で利用可能になった時点でステージ1に入る。ステージ1はパブリッシャーや広告業界がサードパーティ cookie 廃止に向けた移行を進めるための期間で、9か月間は続く予定だ。移行とフィードバックの様子を見つつ、2023年半ばにはサードパーティ cookie サポートを段階的に廃止するステージ2に移行する。段階的な廃止は3か月かけて行われ、2023年末までに完了する計画とのことだ。

すべて読む | ITセクション | Chrome | セキュリティ | 広告 | Chromium | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Chrome Canary、FLoCをコントロールするオプションを表示可能に 2021年06月02日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
英競争・市場庁、Googleの提唱する「Privacy Sandbox」が競争を阻害しないか調査を開始 2021年01月10日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱 2019年08月28日

adi-goldstein-EUsVwEOsblE-unsplash

Wirecutter厳選! 最高のスマートウォッチ、フィットネストラッカー、ランニングウォッチ【2021最新版】

スマートウォッチはアクティビティの追跡やスマホの通知、アプリへのアクセスなど、さまざまな機能を持った便利アイテム。優秀なスマートウォッチがあれば、わざわざスマホをポケットから取り出す必要はありません。Wirecutter編集部が仕事やエクササイズ中はもちろん、日々のあらゆる場面でさまざまなスマートウォッチやフィットネストラッカーを使ってみてから厳選しました。
museums-victoria-QSBm03YHtrI-unsplash

Western Digital の古い NAS、リモートから攻撃を受けて初期化される

Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008BleepingComputer の記事Ars Technica の記事The Register の記事)。

両製品は2010年~2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。

今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。

すべて読む | ハードウェアセクション | セキュリティ | ネットワーク | バグ | インターネット | ストレージ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
WDの公称「5400rpmクラス」の一部HDDが実際は7200rpmであると指摘される 2020年09月09日
Western Digital、WD Redの記録方式問題を受けて各HDDの記録方式を公開 2020年05月01日
9月に判明した古いiOSデバイスのBoot ROMに存在する脆弱性、CERT/CCが脆弱性情報を公開 2019年12月21日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める 2019年11月22日
古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 2019年09月29日
1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 2019年07月26日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
Western Digital、同社製品で採用するプロセッサをRISC-Vへ移行すると発表 2017年12月06日
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開 2017年06月16日

sora-sagano-WFSap6CIXuw-unsplash

Dell の BIOS に脆弱性、129機種が影響を受ける

Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106Eclypsium のブログ記事Phoronix の記事BetaNews の記事)。

CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。

CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。

BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。

いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。

CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。

Dellのプリインストールソフトウェアファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。

すべて読む | セキュリティセクション | ハードウェア | アップグレード | セキュリティ | ソフトウェア | バグ | インターネット | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
Dell SupportAssistでまた脆弱性が見つかる 2019年06月23日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日
MS、証明書信頼リストを更新してDellのPCにプリインストールされていた危険な証明書を無効化 2015年12月04日

adi-goldstein-EUsVwEOsblE-unsplash

PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる

Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事Ars Technicaの記事)。

暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。

うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。

「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。

PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。

すべて読む | デベロッパーセクション | セキュリティ | Python | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 2019年08月25日
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入 2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 2015年05月30日

adi-goldstein-EUsVwEOsblE-unsplash

ペットカメラの代わりになる防犯カメラおすすめ3選。留守中の犬や猫を見守るのに便利

見守りと録画などの基本的なことができれば良いという人、留守にすることは多いけれど高度な機能が搭載されたペットカメラは高価だからとあきらめていた人には家庭用の防犯カメラがおすすめです。今回は、wirecutterが留守中のペットの様子を見守るのに便利な防犯カメラを厳選した結果を紹介しています。
h-heyerlein-ndja2LJ4IcM-unsplash

原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩

原子力規制委員会は22日、いわゆるPPAP方式を採用したメールシステムに不具合が発生し、地方公共団体ならびに報道機関のメールアドレス計76件が漏洩したと発表した(原子力規制委員会リリースPC WatchSecurity NEXT)。

6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。Security NEXTの記事によると、根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。なおこのシステムでは、添付ファイルを送信すると必ず暗号化されてしまうとのこと。PPAP廃止にはシステムごと入れ替える必要があるらしい。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | idle | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
大量の「商標出願登録」で話題のベストライセンス、今度は「PPAP」を商標出願 2017年01月26日
GPU で ZIP パスワードを高速解析 2011年07月25日

adi-goldstein-EUsVwEOsblE-unsplash

Western DigitalのNAS「My Book Live」で全データが消滅する現象が発生中、「とにかくネット接続をすぐに切って」と公式 – GIGAZINE

Western DigitalのNAS「My Book Live」で全データが消滅する現象が発生中、「とにかくネット接続をすぐに切って」と公式 - GIGAZINE

Western DigitalのNAS「My Book Live」で全データが消滅する現象が発生中、「とにかくネット接続をすぐに切って」と公式 - GIGAZINE

Western Digital(WD)のNAS「My Book Live」で保存しているデータが全消滅する現象が多発しています。WDはこの現象を調査中としており、追って通知を行うまでインターネット接続を停止するように推奨しています。 “I’m totally screwed.” WD My Book Live users wake up to find their data deleted | Ars Technica https...

はてなブックマーク - Western DigitalのNAS「My Book Live」で全データが消滅する現象が発生中、「とにかくネット接続をすぐに切って」と公式 - GIGAZINE はてなブックマークに追加

adi-goldstein-EUsVwEOsblE-unsplash

Windows 11イベントで“新しいMicrosoft Store”も発表 条件によっては開発者収益100%に

Microsoftは「Windows 11」発表イベントで、Windowsのアプリストア「Microsoft Store」も新しくすると発表した。あらゆるアプリ(Win32、.NET、UWP、Xamarin、Electron、React Native、Java、PWA)を受け入れる。独自決済プラットフォームを利用する開発者の収益は100%になる。
h-heyerlein-ndja2LJ4IcM-unsplash

AirPodsケースを首掛けできるネックレス。シャネル感たっぷりのデザイン、約29万円です。

Image:CHANELハイブリッドなハイファッション。セレブリティーがこよなく愛するファッションブランドのCHANEL(シャネル)から、AirPodsケースがマルっと収納できるラグジュアリーなネックレス「AIRPODSCASENECKLACE」が登場しました。そのお値段は、なんと2,675ドル(約29万6,600円)。素材は、金属、レジン、人造真珠、ストラスゴールド、ラムスキン、そしてクリスタル