量産型IGALOG

夜景は良い 神戸港と客船は、とても映えます 撮影記録： igalog.hatenablog.jp/entry/2024/05/… #写真好きと繋がりたい

BlueskyのOFFイベント。スケジュール検討 / ift.tt/tFNG7u6 ift.tt/tFNG7u6 #bookmark

更新適用は早急に / Microsoft Wordの脆弱性 CVE-2026-40361に注意、Outlookでゼロクリック型サイバー攻撃への悪用の恐れ|セキュリティニュースのセキュリティ対策Lab ift.tt/UPi3Awx #bookmark

インシデント後の対応を見られている / 「BeReal禁止」で再発防止になるのか　マネフォの情報流出にも共通する“責任の所在” ift.tt/JPp4IW5 #bookmark

ブクマした 『サブノーティカ2』が発売1時間でプレイヤー数「100万人」突破！Steamで“45万人の同接”も記録など大人気。Steamでは7000件以上のレビューで約89％のプレイヤーから高く評価され「非常に好評」に. ift.tt/foLpmRt

チェックインしてる Nagoya Station (名古屋駅)。近くて遠い ift.tt/6M9NHI5

グッドハートの法則が炸裂している。 ・Amazonの従業員が、社内AIツールを使って不必要なタスクまで自動化するようになっている ・これは上司に対して、自分がAIを頻繁に使用していることをアピールするための行動 ・このAIの利用実績を意図的に稼ぐ行為は、トークンマキシングと呼ばれている ・会社が開発者の八割以上に毎週AIを使用するという目標を掲げたことが、従業員へのプレッシャーとなっている ・また、社内でAIのトークン消費量に関するランキングの集計が開始されたことも拍車をかけている ・会社側はトークンの消費量データを人事評価には使用しないと従業員に説明している ・しかし、多くの従業員は上司がその利用状況データを監視していると考えている arstechnica.com/ai/2026/05/ama…

講演内容に興味あるもの多し / ホーム | HackFes.2026 ift.tt/rDmOXKQ #bookmark

‼️🚨 Microsoft has patched a critical Windows DNS Client remote code execution vulnerability that allows an unauthorized attacker to execute code over a network. All it takes is a malicious DNS response. The vulnerability is tracked as CVE-2026-41096 with a CVSS score of 9.8. It is a heap-based buffer overflow in dnsapi.dll, the Windows component that processes DNS answers on every machine. To trigger it, an attacker needs a position where they can influence DNS responses: a rogue DNS server, a poisoned resolver, a compromised router, hostile WiFi, or a man-in-the-middle placement. That puts ordinary Windows DNS activity in the blast radius. Browsers, VPN clients, enterprise apps, update checks, and background services constantly ask DNS where to connect. The vulnerable processing sits in the Windows DNS Client path, not an edge-facing server product. Microsoft assessed exploitation as "less likely," and Rapid7 lists the issue as not publicly disclosed and not known to be exploited at release. On the contrary, a 9.8 unauthenticated network RCE in DNS client handling is exactly the kind of bug defenders should assume will be reverse-engineered quickly. Defenders should: - Deploy the May 2026 cumulative updates and confirm coverage across endpoints and servers - Restrict DNS traffic to trusted resolvers where possible - Monitor Dnscache and svchost.exe for abnormal child processes or unexpected outbound activity - Treat public WiFi and untrusted resolver paths as higher-risk until patching is complete

文章で書けばすぐ読める情報を、わざわざ動画にして長く伸ばし、それをまたAIが要約して短い文章に戻すとか、人類のやることって謎だなとおもう

メーカーは放置・・・？ / Unitree Go2、BLE経由でroot奪取され中国サーバーに暗号通信と判明 - FabScene（ファブシーン） ift.tt/70bjrkF #bookmark

UniPwn ですね。ロボットやってる海外勢の間では有名な致命的脆弱性で、1年くらい未対応のまま放置されてます。 Unitree のロボットほぼ全般がこの脆弱性あるので、これ使って商売している大手会社が日本には多すぎて、（当事者は当然知ってるはずですが）正直タブーな話題なのかと思ってました

社用PCで突破できるか実験したいなぁ・・・ / BitLockerを5分で解除する「BitUnlocker」公開される。法人PCなどでは対策が必須に ift.tt/NRVJlFz #bookmark

PC紛失ができなくなったわぁ・・・🙄 / BitLockerすり抜ける「YellowKey」脆弱性。発見者曰く「意図的なバックドア」 ift.tt/3AnvT2R #bookmark

前回の投稿が想定外に伸びたので、具体的な作り方を書きます。 Google Workspace Studio × NotebookLMで「社内マニュアルBot」を作る方法。 シンプル運用なら、コード0行・クリックで設定・GoogleChat上で動く。 スレッドで手順を全部公開します。

⚡Hack Fes. 2026 🚀 📢プログラム第一弾 発表! & 🎫チケット販売開始 !! 🌍テーマ「ハッカーとサイバー防衛」 🔥『イラン戦争に学ぶサイバー空間での攻防の現状と今後』 🛰️『宇宙システムの攻防：事例分析とシミュレーションで学ぶ宇宙サイバーセキュリティ』 🤖『AIエクスプロイト時代のサイバー防衛：現役ハッカーが語る、AIによる0-day発見の最前線と防衛側のSurvival of the Fittest』 🔑『量子技術による暗号への脅威と量子耐性をもつ暗号システムの可能性』 ❌『フェイクニュースの拡散現象とその対抗策』 ⚖️『「サイバー防衛」に内在するリスク：模擬検体の作成をめぐる刑事弁護の実例』 📕『徳丸本アップデート2026』 🐛『AI時代のバグハンティング入門 〜AIエージェントと歩むバグハンターへの道〜』 今後もアップデート続々! 乞うご期待!! #hackfes

管理者ユーザー名さえ分かれば、でたらめなパスワードでも管理者として扱われ得るWordPressプラグインの脆弱性が現在進行形で悪用されているとのこと。MainWP連携用の認証経路で、パスワード検証関数がnullを返した場合を「エラーでない＝認証成功」と判定してしまうロジックミスが原因。20万超のサイトで使われるアクセス解析プラグイン「Burst-Statistics」のCVE-2026-8181（CVSS 9.8）で、24時間で5,318件の攻撃が遮断されたと報告されています。 【要点の整理】 ・MainWP連携用の認証経路に管理者ユーザー名と任意の不正なBasic認証パスワードを渡すと攻撃が成立。wp_authenticate_application_password()がnullを返し、nullはWP_Error型でないため認証チェックを素通りする仕組み。nullが返されるのは、Application-Passwords機能が無効な環境などのケース ・認証突破後にwp_set_current_user()が呼ばれ、当該REST APIリクエスト中は管理者として扱われるため、単一リクエストで管理者アカウントの新規作成まで到達可能とされる ・この認証チェックはMainWP連携用に限らずプラグインの全REST-APIリクエストで実行される設計 ・脆弱性はバージョン3.4.0で混入し、Wordfenceの自律型脆弱性研究プラットフォーム「PRISM」が15日後に発見。影響バージョンは3.4.0〜3.4.1.1で、修正版3.4.2がリリース済み 混入から15日後に発見、19日後にパッチが提供されたものの、実環境での悪用は既に進行中とのこと。影響バージョン3.4.0〜3.4.1.1のユーザーには修正版3.4.2以降への速やかな更新が推奨されています。 詳細は以下を参照： securityonline.info/burst-statisti…

ランサムウェア攻撃グループ「The-Gentlemen」の内部データが漏洩。8,200行に及ぶチャットログ、感染システム画像、被害自称、初期侵入経路、使用ツール群が含まれており、BlackBastaやLockBit等に続くランサムウェア攻撃グループの内部漏洩事案に当たります。 【要点の整理】 ・5/4にサイバー犯罪フォーラムBreached上で流出データの販売告知（1万ドル・BTC）が出現。買い手の有無は不明ながら、後日同じ出品者がMediaFireのリンクで同データを無料公開した経緯。 ・漏洩した内部ログ8,200行＋感染システム画像から、OpenConnectでのVPN侵入、C2経由のペイロード配信、EDR無効化ツール、「fake CVE scripts」の話題、技術習得用のYouTube動画などが確認。タイムスタンプはモスクワ勤務時間帯と一致し、現行のBTCウォレットアドレスも含まれる。 ・漏洩メッセージ上では、日本の大手企業や英系大手銀行とNDA関係にある第三者組織への侵害と、当該NDA関連文書を支払不履行時に公開する旨の脅迫なども含まれるが、あくまで攻撃側自身の記述であり当該組織や関係企業側の確認は記事の射程外、との注記。 ・初期侵入の多くはFortinet製エッジネットワーク機器の侵害認証情報から開始しており、感染システムの遠隔管理にはオープンソースの「ZeroPulse」（GitHub公開）を利用。展開前に仮想化基盤・バックアップ・NAS・重要サーバーを念入りに偵察する運用が確認。 ・「The Gentlemen」は2025年中頃にRaaSとして登場、Goベース等のマルウェアでWindows／Linux／NAS／BSD／ESXi向けの「サイレント暗号化」を売り文句に実行役を募集し、2026年4月時点で340件超の被害組織をリークサイトに掲載。 詳細は以下を参照： bankinfosecurity.com/tables-turned-…

ほんとマルチな方だな・・・ / とほほのClaude Code入門 - とほほのWWW入門 ift.tt/qkYxvs2 #bookmark

とほほさんが Claude Code 入門まで書く時代が到来するとは、、 ▼ とほほのClaude Code入門 tohoho-web.com/ai/claude-code…

非常にまずい空気になってきました。 私は「オタク迫害史」の言い出しっぺじゃないんだけど、「なんであの当時あんなひどい目に遭わないといけなかったのか」についてちょっと愚痴を吐きたいくらいだったんよ 別に当時殴られたサッカー部員を呼び出して吊るしあげたいわけじゃないわけ 一種の自虐的な思い出話 そしたら「じゃあどういう状況だったというのか」みたいなことになり、「それじゃ前提をまとめるから宮崎事件のあたりの思い出を教えてよ」みたいなことをつぶやいたら「そんな断片的な情報あるか！全部やれ！」みたいなことになって仕方なく ・戦後のSF研からオタクサークル ・耽美～やおい～BL ・ロリコンブーム（ナボコフ「ロリータ」） までまとめて、「おたく」用語成立についてのところまでやっとたどり着いたんだけど 単に「オタク迫害史」に対するカウンターとしての「オタク加害史」くらいならともかく 「オタクが迫害されたことなど全くなかった」 史観が登場し始めたんですよね。 流石にこれは幾らなんでも前提条件がムチャクチャ過ぎです。 あの宮崎事件直後の気が〇った様なオタクバッシングが全部幻だったとでも言うんでしょうか。 ところが世の中には 「おたくがバッシングされたことなんて、見たことも聞いたことも無い。そんな風潮など存在すら知らない。周囲にも先輩にもそんなことを言っている人など誰一人いない」 という層が少なからず存在するんですな。 まあ、随分前から「家にテレビが無い」なんて人たちもいますし、にわかには信じられませんが全く違うところから複数の証言が挙がっている以上、「そういう人たちもいたのだろう」と認めます。 ただ、こういう方々は往々にして 「おたくが迫害された例もあれば、そうでない例もある。それは個人によってさまざまだ」 と言う風にそれこそ「多様性」を認めてくれればいいんですが、 「この世にオタクバッシングなどというものは過去も現在も全くございませんでした」 と言うまで追及の手を緩めない方々がいらっしゃるんですよ。 そういう方々は「オタク迫害史」なんて言った日には 「自分たちの非を認めず、訳の分からない被害者面をしている」 として更なるバッシングをしてきます。正にこれこそがオタクバッシングじゃないのかと思うんですが、そんな事実なんて全く触れずに生きてくることが出来た方々は突如自分たちが「加害者認定」された不条理に耐えられないのか現在進行形でオタクバッシングを加速させつつあります。 「黙って殴られていろとでも言うのか」と聞き返せば「意味不明のことを言うな！」とブチ切れる有様。 要するに「おたくとしていじめられた」のは「自分に原因があった」のに「犯人」を直接恨むのではなく（恨んでますけどね）「社会」に恨みの矛先を向けるな！という「論理」である模様です。 恐らくこういう方々は、何もなく平凡に暮らしているだけなのに突然理不尽にいじめられたことなどない幸福な人生を送っていらっしゃったのでしょう。 そりゃ我々だって「社会」に恨みを転嫁せざるを得ないほど追い詰められる様なクソみたいな人生を歩みたくはなかったですよ。 とにかく非常にまずい状況です。 「オタク迫害史」には何の裏付けも事実も証拠も無く、ただの印象でありもしないことを言い立てる唾棄すべき集団妄想という流れが作られようとしています。 とりあえず私は現在取り掛かっている原稿をまとめるのみです。