はてなブックマーク

Taking down Next.js servers for 0.0001 cents a pop👤 Alex Browne    🗓️ 26 Nov 2025    ⏳5 min read TL;DRWe discovered an unauthenticated DoS vulnerability that crashes a self-hosted Next.js server with a single HTTP request and negligible resources. The attack can be prevented by a reverse proxy that limits request size; rate-limiting alone is not sufficient protection. The vulnerability was initi

2025 年 11 月 27 日開催 Japan Microsoft Endpoint Configuration Manager UG の Active Directory 勉強会 第 6 回目 「Active Directory セキュリティについて学ぶ回」 の講演資料です。

カミナシの認証認可ユニットでソフトウェアエンジニアをやっているトモ=ロウです。 先日、過去に弊社で行った共通ID基盤構築プロジェクトに関するブログ記事を公開したのですが、お読みいただけたでしょうか？まだ読んでいない方は是非ご一読ください！ スタートアップがゼロから作る共通ID基盤：立ち上げ〜ID統合まで道のり（前編） - カミナシ エンジニアブログ スタートアップがゼロから作る共通ID基盤：ID統合のその先へ（後編） - カミナシ エンジニアブログ さて、今回は前半に「認証認可完全初心者だった自分が如何にしてID基盤構築プロジェクト完遂に貢献するに至ったか」という視点で僕がどのように認証認可の学習をしてきたかについてお話しします。そして後半は「今から学習し直すならどうするか」というテーマで現時点で僕の考える最速の「知の高速道路」を紹介してみようと思います。 前回の記事が少し硬めの感じになっ

JR東日本は11月27日、問い合わせ窓口「JR 東日本お問い合わせセンター」のオペレーターがネット上で不適切な投稿を行っていたと発表した。該当のオペレーターは、電話番号検索サイトにアクセスし、問い合わせをした顧客に関する不適切な投稿をしていた。同社は「このような行為は顧客の信頼を著しく損なうもの」とし、謝罪している。 該当のオペレーターは、JR東日本の業務委託先であるNEC関係会社の従業員。このオペレーターは2024年3月～25年8月の間、受電業務用端末から電話番号検索サイトにアクセスし、245件の電話番号の口コミ欄に、合計290件の不適切な投稿を書き込んでいた。 JR東日本は、これらの投稿は全て削除済みで、他の電話窓口での同様の事象は確認されていないと説明。再発防止策として、オペレーターへの教育や全従業員対象のコンプライアンス研修でこの事象に関する再教育をする他、受電業務用端末から電話番

システム障害が発生したのは、9月29日の7時ごろだった。ただ、確認できる範囲では、その約10日前から、不穏な動きが見られていた。具体的な日時は特定できていないが、外国の攻撃者が、アサヒグループ内の拠点にあるネットワーク機器を経由して侵入していたのだ。 その後、攻撃者は同社の主要データセンターに入り込み、「パスワードの脆弱性」を突いて管理者権限を奪取。奪取したアカウントを使いネットワーク内を探索し、主に業務時間外の誰も気づかないであろう深夜や早朝に、幾度となく複数のサーバーへの侵入と偵察を繰り返していたことが確認されている。 そして9月29日7時頃、攻撃者は一部のデータを暗号化することで、システム障害を引き起こした。 同日11時頃、アサヒグループは被害を最小限に留めるためにネットワークを遮断し、データセンターの隔離措置を講じている。ただ、その時にはすでに、認証サーバーからランサムウェアが一斉

先日久々にセキュリティーキー「Yubikey（ユビキー）」の話を聞いた。米国とスウェーデンに本社を置くYubico（ユビコ）が珍しく発表会を開催したためだ。内容はサブスクリプション型でYubikeyを提供する「Yubikey as a Service」を日本でも本格展開し、より小規模の事業者向けに200ユーザーからでも利用できるようにするというものだった。

盲点（1）VPN経由の侵入を示唆、脆弱性突かれ被害後に廃止 3つの盲点の1つ目は、侵入経路としてVPN（Virtual Private Network）装置の脆弱性を突かれたとみられることだ。攻撃者は同社が出荷管理システムなどのサーバーを設置したデータセンターに不正アクセスし、複数の業務サーバーや全37台の端末のデータを暗号化したり窃取したりした。同社は「グループ内の拠点にあるネットワーク機器を経由し、データセンターのネットワークに侵入された」としているが、具体的にどういったネットワーク機器から侵入されたのかは明言していない。 ただ勝木社長は今回の被害を受け「VPN接続は廃止した」と明言した。ネットワーク機器とはVPN装置だったのか、報道陣からの質問に対して「重要なリスクにつながる情報であるため明かせない」と回答を濁したが、「（報道陣の）想像とそれほど違わないものと思う」とも語り、VPN装

アサヒグループホールディングス（HD）は11月27日、10月に発表したランサムウェア被害を巡り、攻撃の経路などを発表した。グループ内の拠点にあるネットワーク機器を経由してデータセンターのネットワークに侵入され、ランサムウェアを実行されたという。 攻撃があったのは9月29日午前7時ごろ。同社システムに障害が発生し、調査を進める中で暗号化されたファイルを確認した。午前11時ごろ、被害を抑えるためにデータセンターの隔離措置を実施した。 その後の調査により、攻撃経路がネットワーク機器であることを突き止めた。ランサムウェアはネットワークに接続していたサーバやPCのデータを暗号化しており、それぞれの情報が漏えいした可能性もあった。このうちPCに保存していたデータの一部が流出したことも確認した。 漏えいした可能性がある情報は、アサヒビール、アサヒ飲料、アサヒグループのお客様相談室に問い合わせた人の氏名、

こんにちは、NTTドコモグループの現場受け入れ型インターンシップに「D2：攻撃者視点に立ち攻撃技術を研究開発するセキュリティエンジニア」ポストで参加させていただきました、島田です。 本記事では、本インターンシップでの取り組みについて紹介いたします。 NTTドコモグループのセキュリティ業務、特にOffensive Securityプロジェクト（以下、PJ）に興味のある方、インターンシップの参加を検討している方などへの参考になれば幸いです。 Offensive Security PJとは 参加経緯 インターンシップ概要 LLM応用によるRed Teamオペレーション高度化検証 Juicy 情報とは LLMによるRed Teamオペレーション高度化の目的 被攻撃環境の内容 Victim1 から Victim2 Victim2 の privilege escalation Victim2 から V

こんにちは、NTTドコモグループの現場受け入れ型インターンシップに「D2：攻撃者視点に立ち攻撃技術を研究開発するセキュリティエンジニア」ポストで参加させていただきました、太田です。 本記事では、本インターンシップでの取り組みについて紹介いたします。 NTTドコモグループのセキュリティ業務、特にOffensive Securityプロジェクト（以下、PJ）に興味のある方、インターンシップの参加を検討している方などへの参考になれば幸いです。 OffensiveSecurityPJとは 参加経緯 インターンシップ概要 Microsoft 365 Copilotの悪用 Microsoft 365 Copilot とは 目標 検証1: Black Hat USA 2024での手法を再現 検証2: ユーザーに向けた案内 + Markdown 検証3: Excelファイルを利用したペイロードの秘匿 まと

Microsoftが先ごろ、米国サンフランシスコで開催した「Ignite」カンファレンスでは、AI関連の発表があまりにも多く、その中で注目度の低い重要な発表を見逃してしまうほどだった。 その中に埋もれていたのが「Entra Agent ID」という新機能である。これは、「Microsoft Entra」を用いてAIエージェントを人間のユーザーと同様に管理するという発想に基づいている。つまり、各エージェントに固有の管理されたIDを付与し、条件付きアクセス、IDガバナンス、ID保護といったEntraの既存の制御を適用するというものだ。EntraはMicrosoftのクラウドベースのIDアクセス管理（IAM）ソリューションである。 この「AIエージェントに人間と同等の『人格』を与える」という考え方は、Microsoftの競合であるOktaやOpenID Foundationでも注目されている。従

「情報〇取」をどう読みますか？サイバーセキュリティ現場で起きている「誤読の連鎖」について書きました。 本当の問題は、誰もが沈黙していることかも この文章は仮説です。皆さんはどう思いますか？ はじめに サイバーセキュリティの会議やプレゼンで、「じょうほうさくしゅ」という言葉を耳にしたことはないだろうか？ 私は何度か聞いたことがある。そのたびに、 あれ？ と　心が　ざわざわ　する。 これ、「情報窃取（せっしゅ）」じゃないの？それとも「情報搾取（さくしゅ）」？　文書で「情報搾取」を見かけることもある。 なぜ2つの発音・表記が混在しているんだろう？そして、なぜ誰も指摘しないんだろう？ 調べてみたら、面白い仮説が浮かび上がってきた。そして、それは単なる誤読の問題以上の、もっと深い課題を示唆しているように思えた。 まず事実確認：公式文書ではどう書かれている？ 調査の第一歩として、公式機関の文書をチェッ

学校・園向けのネット写真販売サービス「スナップスナップ」などを運営するフォトクリエイトは11月14日、同社サーバが不正アクセスを受け、ユーザーの氏名や住所、パスワードなどの個人情報が漏えいした可能性があると発表した。 漏えい規模は非公表だが、スナップスナップは2024年時点で会員500万人を突破しており、SNSでは「子どもの学校が使っているサービスから個人情報が流出して不安」「迷惑メールが増えた気がする」といった声が出ている。 ITmedia NEWSの取材に対して同社は「取材対応より利用者対応を優先している」ため、公表済みの内容以上はコメントできないとした。

こんにちは、クラウド事業本部 コンサルティング部の荒平(@eiraces)です。 様々な理由から、作業端末の ~/.aws/credentialにアクセスキーを保存している人もいるのではないでしょうか。 私も自身の検証環境などは少し雑な扱いになってしまっており、腰が重いタイプでした。 （注：お客さま環境のアクセスキーはそもそも発行しない方法を選択したり、慎重に扱っています。） この度、認証情報を丸ごと1Password CLIに移行してみた ので、後の方が続けるように記しておきます。半ば社内ドキュメントです。 同様の記事は数本、既に出ておりますのでそちらも御覧ください。インストールなど手順が重複している部分があります。このエントリでは、作業にフォーカスしてお届けします。 やりたいこと 目的はローカルに平文で保存されている ~/.aws/credential の抹消です。 前提 本エントリの

いずれも従業員に貸与しているPC内部のデータもしくは同社データセンターのサーバで保存していた情報という。このうちPC内部のデータは流出を確認した。 個人情報保護委員会には報告済み。アサヒグループHDは今後、対象者に順次連絡を進める。さらに通信経路やネットワーク制御、事業継続計画を再設計する他、攻撃検知の精度向上や社員教育・外部監査の定期的な実施により、再発防止策を目指す。 関連記事 「Zoff」運営会社に不正アクセス　顧客情報約9万7000件が流出、従業員や取引先企業の情報も インターメスティックが、社内サーバが不正アクセスを受け、メガネ店チェーン「Zoff」の顧客情報など9万6911件が流出したと発表。マルウェアによる攻撃を受けたとして、侵入経路などを調査中という。 大分「トキハ」、44万件超の個人情報漏えいか　12万件のクレカ情報も　ランサムウェア攻撃で 大分県で百貨店やスーパーマーケ