すでにどこかに書いた気もするし、書かなかった気もするが、僕は筑波大学(茨城県つくば市)の学生である。この大学は最近話題に事欠かない。なぜなら皇族が一人入学したからである。 端的に書くと、この皇族の入学によって(かどうかは分からない部分もあるが、一部分については疑いようもなく)大学のすがたは大きく変わってしまい、いくら筑波大学がそれまでも学問の自由や大学の自治とはかけ離れた性質をもち、僕を含めた学生の多くがそのことについて諦めていたとしても、僕としては看過できないところまできた。とりあえずメモ程度に、いま筑波大学で起きていることをここに書き留めておきたい。 まず、すでに大勢の筑波大生に悪評高い、皇族が所属する学類(註:筑波大学は学部学科ではなく、学群学類制)の授業が行われる建物の出入り口への警備員の配置である。警備員は従来から筑波大学が契約していた会社の人員ではなく、また新たな警備会社(アル
ニセ基地局とは?最近のニュースを技術的に解説 最近、東京・大阪で「ニセ基地局」が検出され、総務省が調査に乗り出したというニュースが話題になっています。この記事では、ニセ基地局の技術的な仕組みや脅威、対策について解説します。 ニセ基地局の基本概念 ニセ基地局(偽基地局)は、正式にはIMSIキャッチャーまたはセルサイトシミュレーターと呼ばれる装置です。これは、正規の携帯電話基地局を模倣し、近くにあるスマートフォンなどの端末を騙して接続させる仕組みです。 なぜ端末は騙されるのか? スマートフォンは通常、電界強度が最も強い基地局に接続する仕様になっています。ニセ基地局は、本物の基地局とまったく同じ識別子(MCC/MNC+セルID)を使用しながら、わずかに強い電波を発することで、端末を「吸い寄せる」ことができるのです。 最近のニュースの技術的背景 2025年4月に東京・大阪で検知された不審な電波は、
GoogleのAIチャットボット「Gemini」の高度な機能とサイバーセキュリティの知識およびツールを組み合わせた実験的サイバーセキュリティモデル「Sec-Gemini v1」が2025年4月4日に発表されました。GoogleはSec-Gemini v1を研究目的で無料提供することで、サイバーセキュリテコミュニティ全体での強力な連携と防御力の向上を目指しています。 Google Online Security Blog: Google announces Sec-Gemini v1, a new experimental cybersecurity model https://security.googleblog.com/2025/04/google-launches-sec-gemini-v1-new.html Googleはインターネットのセキュリティと安全性に関するセキュリティブロ
サイバー攻撃を未然に防ぐ「能動的サイバー防御」を導入するための法案が衆議院で審議入りしました。石破総理大臣は、政府が通信情報を取得できるのは一定の要件を満たした場合に限られ、国民の行動を把握するために利用されることはないと強調しました。 「能動的サイバー防御」を導入するための法案は、政府が電気や鉄道など重要なインフラの関連事業者と協定を結んだうえで、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにするものです。 重大な被害を防ぐため、警察や自衛隊が新たに設置する独立機関の承認を得た上で攻撃元のサーバーなどにアクセスし、無害化する措置も講じることができるようにします。 法案は18日の衆議院本会議で審議が始まり、趣旨説明に続いて質疑が行われました。 これに対し、石破総理大臣は「ほかの方法では実態把握が著しく困難であるなど、一定の要件を満たした場合に限定して通信情報を取得でき
AWS WAF のBotControlルールにおいて、AIカテゴリに分類されるスパイクアクセスが発生。 動的生成される記事ページへのリクエストが、1時間あたり5万件、ピーク時には1分間に1500件記録されていました。 当サイトで公開中の5万件強の全記事数に匹敵するリクエストが発生した原因の調査と、実施した対策について紹介します CloudWatchメトリクス確認 原因を特定するため、AWS WAFのメトリクスを分析しました bot:category AI の 急増 AIカテゴリのリクエスト数が、1時間あたり5万件まで顕著に増加しました。 他のカテゴリ(search_engine: Google、Bing など、social_media: X、Facebook など)には大きな変動は見られませんでした。 LabelNamespace="awswaf:managed:aws:bot-contr
2/2に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、11時45分ぐらいに最速で全完して1位🎉 第1回以来4年ぶりの優勝だ。昨年大会の第4回ではヒントの閲覧数で優勝を逃してしまって悔しい思いをしたので、雪辱を果たすことができ嬉しい。開始直後からずっと1位を独走できており、450名以上のプレイヤーがいる中で圧勝だったのも嬉しい。 昨年度や一昨年度はバルクが作問を担当していたが、今回はAGESTが担当していた。これまでの問題と比較すると全体的に易化したように思うが、解くにあたって発想の大きな飛躍を必要とするいわゆる「エスパー要素」のある問題はごく一部を除いて存在しておらず*1、よかったと思う。また、昨年度・一昨年度に引き続きwriteupは公開可能というのもよかった。 戦略というほどの戦略は立てていなかったけれども、とりあえずWebを見た後は全カテゴリを上から見て
サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XSS)攻撃について説明する。これは、文字エンコーディングを適切に指定していないウェブコンテンツに対して、文字エンコーディングをISO-2022-JPと誤認させることでバックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃である。本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 はじめに クロスサイト・スクリプティング対策として、記号文字のエスケープ処理に加えて、コンテンツの文字エンコーディングをレスポンスヘッダやmetaタグで明示しましょうと言われてきました(参照)。その背景として、UTF-7という文字エンコーディングを悪用したXSSの存在がありました。この攻撃については以下
Oil tanker Eagle S outside the Porkkalanniemi, Kirkkonummi, on the Gulf of Finland on Dec.. 28. Photographer: STT-Lehtikuva/SIPAPRE フィンランド国家捜査局は29日、エストニアにつながる170キロメートルの海底ケーブルが損傷した問題について、捜査対象となっているタンカー「イーグルS」のいかりが海底ケーブルを引きずった痕跡が見つかったと発表した。 捜査局のサミ・パイラ主任捜査官は声明で、「潜水作業により、海底で引きずられた跡を始まりから終わりまで特定できた」と説明。痕跡は「数十キロの長さ」に及ぶとしているが、船のいかりが鎖から外れた場所は特定できていないという。 イーグルSは28日にキルピラハティ港近くに移動。同タンカーによる器物損壊の可能性を捜査している警察によ
はじめに GovTech東京の林です。この記事はGovTech東京アドベントカレンダー23日目の記事です。 私はDX協働本部区市町村DXグループで、情報システムの標準化・ガバメントクラウド移行支援を中心に都内区市町村のDX推進業務に従事しています。今回は、これまで中核市と東京都にて自治体の情報システムに30年近く携わってきた経験を通じて、行政のネットワーク、なかでも地方自治体のネットワークについて紹介します。 三層に分離されている地方自治体のネットワーク GovTech東京では、エンジニアをはじめ多くの民間経験者が働いていますが、行政のDXに携わるにあたってまずはその特殊なネットワーク構成に皆が驚きます。地方自治体のネットワークは三層に分離されているからです。「いや、ネットワークってOSI参照モデルだと7階層だろ、それともTCP/IP4階層のこと?」、違うんです、地方自治体のネットワークは
金庫に使われるダイヤル錠は「45を右に3回」「次に23を左へ2回」というように、暗証の数字と回転方向を合わせてから、カギを回して開錠します。解錠依頼は、この暗証の数字と回転方向を忘れたという場合が大半。そこで使うのが、電動マッサージ機です。電マの振動で、金庫が開く仕組みを見ていきましょう。 金庫を電動マッサージ機で解錠する 金庫のダイヤル錠には電動マッサージ機で開ける方法は、キーを挿入もしくは、ピッキングしてカンヌキが動く状態にして、ダイヤル錠に電マを当てて振動を伝え続けます。すると、自然とダイヤルが合致していき金庫が開くのです。 金庫のダイヤル錠は、4枚ある円状のプレート「座」の切り欠きが揃っていないと、キーを回して動くカンヌキが入らず施錠の状態となる仕組み。ダイヤル錠の数字と回転方向が合致すると、座の切り欠き部分が揃ってカンヌキが動いて開錠できるわけです。 ダイヤル錠のシャフトに固定さ
この記事は、 NTT Communications Advent Calendar 2024 14日目の記事です。 脆弱性対応の分野で注目度が高まりつつあるSSVCの概要と、その運用方法について紹介します。 脆弱性対応の課題 公開される脆弱性の増加 実際に悪用される脆弱性は一部に過ぎない 脆弱性の悪用までが高速化 CVSSによる脆弱性のトリアージ SSVCとは SSVCを構成する要素 ステークホルダーのロールの特定 決定すべき優先度(Decision)の特定 Decisionが取りうる値(Outcome)の定義 Outcomeの算出に使う入力の決定(Decision Points) Outcomeの算出方法の決定(Policy) 要素のまとめ 既定のDecision Modelの活用 Deployer Decision Model SSVCの活用 組織に合わせたModelの選択 SSVC運
Amazon で「YubiKey」と検索すると、数字の「5」の付いていない安価なシリーズの製品も出てきますが、それらは本記事で紹介する TOTP には対応していないようですので注意です。 (参考) https://www.yubico.com/yubikey/?lang=ja Yubico Authenticator のインストール 公式サイトで Linux 向けのバイナリパッケージが配布されていますので、これをダウンロードして実行するだけで OK。 https://www.yubico.com/products/yubico-authenticator/ 次のように任意の場所で展開してください。 $ tar zvxf yubico-authenticator-7.1.0-linux.tar.gz $ cd yubico-authenticator-7.1.0-linux/ $ ./des
注釈:最新情報は、JVN(JVN#46615026)をご覧ください。 概要 株式会社アイ・オー・データ機器が提供する「UD-LT1」および「UD-LT1/EX」は、ハイブリッド LTE ルーターです。 「UD-LT1」および「UD-LT1/EX」には、不適切なアクセス権限付加(CVE-2024-45841)、OS コマンドインジェクション(CVE-2024-47133)およびドキュメント化されていない機能(CVE-2024-52564)の脆弱性が存在します。 本脆弱性を悪用された場合、認証情報を窃取されたり、任意の OS コマンドを実行されたり、ファイアウォールを無効化され機器の設定を変更されたりする可能性があります。 同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートおよび、ワークアラウンドを実施してください。 本脆弱性の深
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く