最近、 Googleは Chromeとその収益源であるYouTubeから広告ブロッカーや同様の拡張機能を削除するよう懸命に取り組んでいる。 たとえば、Chrome での今後の Manifest V3 への切り替えを考えてみましょう。これが展開されると、広告ブロッカーに大きな影響を与えることになります。 、移行は現在 軌道に戻っています。 当然のことながら、この動きは多くの開発者からの多くの批判につながりましたが、コミュニティからのフィードバックを取り入れた後 しかし、彼らはそこで止まるつもりはなく、さらに一歩進んで、非常に邪悪なことをテストしようとしています。 も グルー これには驚くだろう。 彼らが今何をしているのか見てみましょう。 Google、再び攻勢に出る によって発見されました 元々はSponsorBlock 。これは、YouTube 動画内の卑劣なスポンサー セグメントをスキップするのに役立つ人気のオープンソース ブラウザ拡張機能です。 を発見しました 彼らは、 YouTube がサーバー側の広告インジェクションを実験していること 。これは、広告がビデオ ストリームに直接挿入されることを意味し、広告ブロッカーを使用してそのような広告をブロックするのが非常に困難になることを意味します。 SponsorBlock の場合、これは、動画のタイムスタンプが広告時間によってオフセットされるため、拡張機能の機能が正確ではなくなることも意味します。

スキップ不可の YouTube 広告: SponsorBlock などのオープンソースのブラウザ拡張機能を廃止する Google の新計画

このケーブルは、ターゲットがキーボードで入力する情報を密かに記録するためのキーロギング機能や、接続された端末にマルウエアを注入するためのキーストローク・インジェクション機能を備えている。さらに、今回のEliteシリーズでは、端末内部のデータを外部に流出させるためのデータ・エクスフィルトレーション機能が追加された。

「世界で最も危険なUSBケーブル」最新版が登場　誰でも入手可能に | Forbes JAPAN 公式サイト（フォーブス ジャパン）

よんてんごP @yontengoP 別会社の人「4.5Pくんさ、今度弊社で新たなwebサービス出すんだけど、リリースしたらtwitterで宣伝してよ！ね！良いだろ？」 ﾜｲ「別にいいですがウチのフォロワーは基本 ・webフォームあればSQLインジェクション試しますし ・ログインがあれば admin って入れるタイプの 奴らばかりですよ」 他にお前らがしそうなこと何かあるかな (´・ω・`)

よんてんごPさんはTwitterを使っています

　キャブレターの時代は、アクセル開度少なめでゆっくり走っていると、燃焼室にカーボンなどの堆積が起こりやすかったため、「エンジンを切る前に回転を上げてやることで少しでもその堆積物を排出させて、次の始動時の着火をしやすい状態にしておく」という狙いがあったのですが、インジェクションになり低回転の燃調が適切になったので、空吹かしの必要はほぼなくなりました。

意味もわからずやってる人いない？　じつはいまのクルマじゃ無意味な昔の走り屋がやってた「謎儀式」５つ - ライブドアニュース

大規模言語モデルの悪用は極めて簡単で、例えば、間接プロンプト・インジェクションと呼ばれる攻撃方法では、Webサイトや電子メールの本文を巧妙にそれらしく作り、その中に人間の目では見分けられない白色の文字（背景が白色の場合）を隠しておくだけでいい。一度仕込んでしまえば、AIモデルに対して思うままに命令ができる。

MIT Tech Review: 詐欺とスパムが横行する、生成AI時代のインターネット

キカイダー

時代なんだね

バイク動画をあれこれ見ていたら、どうやら日本の有名な方のチャンネルだった。その中で、一昔前のバイク(と言っても十分新しかったけど)のエンジンの始動性の説明でえらく視聴者に気を遣われて話をされていた。(若い世代へ)

そのバイクはキャブレター仕様のエンジンで、「エンジンが冷えてる時は、セル1発でエンジンがかからない事もあるけど、これ普通ですから・・」と、現代はバイクもインジェクション仕様が主流なんだと私も気がつかされたのでした。(そ〜か〜・・って)

そして他にもとても気を遣って説明されていたのでしたが、そんな時代なんだな(特に日本)と、改めて再確認。

浦島太郎オヤジ

アップデート情報

🌟 新機能

コミュニティガイドラインが一部変更されました！詳しくはスタッフ投稿をご覧ください。

モバイルアプリと新しいWebエディターから作成されたリンク投稿のブログテーマ上での見え方が改良されました。

Web版でのTwitchの埋め込み機能がアップデートされ、Twitchのチャットを含められるようになりました。

Web版の新しい投稿エディターで、複数のブロックを選択できるようになりました。ただし、複数のブロックを選択してテキストの種類（標準から箇条書きなど）を変更することはまだできないなど、いくつかのバグがあることを認識しています。現在、これらの問題の解決に取り組んでいます！

Tumblrマートに新しいアイテムが加わりました：ハロウィンテーマのカニと、「馬の友達（Horse Friend）」というゲームです。

Web版のフィードで、オススメ投稿の上部にその理由が表示されるようになりました。

Web版でブログを表示する際、「フォロー中」タブの閲覧時にレイアウトのオプションが表示されるようになりました。

モバイルWebユーザーに向けて、「アプリで開く」リンクが改善されました。アプリをダウンロードするか、アプリを開くかを選択できるようになりました。

🛠️ バグ修正

iOS版アプリの最新バージョンで、アプリを開くたびにダッシュボードが更新される問題が修正されました。

モバイルアプリとWeb版の新しいエディターから投稿されたフォトセットで、ブログテーマの縦間隔がより一定になるようになりました。

Web版で、リブログボタンをクリックするとダッシュボードがバックグラウンドで再読み込みされてしまう視覚的な不具合が修正されました。

モバイルアプリとWeb版の新しいエディターから投稿されたフォトセットが、古いデスクトップテーマでの枠組みからはみ出さないようになりました(以前は、公式テーマ用に調整された数値であるにもかかわらず、すべてのテーマにマイナス20ピクセルの左右マージンが適用されていました。もしあなたがテーマ開発者で、そのCSSインジェクションに依存していたら、あなたのテーマのスタイルシートにそれらのルールを適用させましょう！)。

新規投稿バナーから投稿をブーストすると、読み込めないページに導かれる問題が修正されました。

Web版の新規投稿フォームで、レイアウトや位置がずれる問題が修正されました。

「質問」でリモートイメージを追加できない問題が修正されました。

Web版で、投稿フォーム内にあるタグエディターの候補のドロップダウンが、その外側をクリックすると閉じるようになりました。

Web版の投稿フォームで、画像を挿入した場合に「元に戻す」が効かなくなる問題が修正されました。

リブログトレール内のブログ名が正しくリンクされていなかった問題が修正されました。

長い動画を含む自動保存された下書きが、しばらくの間、投稿できなかった問題が修正されました。

🚧 現在対応中

Android版アプリのオープンベータ版に深刻な問題とクラッシュがあることを既知しており、現在修正に取り組んでいます。

🌱今後の予定

今回、お知らせはありません。

問題が発生していませんか？そんな時は、サポートリクエスト（英語でのみ対応）を送ってください。できるだけ迅速に対応させていただきます。

共有したいフィードバックがありますか？「Work in Progress」ブログ（英語のみ）をチェックして、コミュニティで議論を始めましょう。

Takane, Ichihara, Chiba / Oct. 2022

慌しくもあり、秋も深まり迫りくる冬の気配も感じつつ。

近場の足としてボロボロのカブを格安で買った。カブは以前にも乗っていたことがあるからメンテがしやすいので好都合。今回買ったカブは豊富なラインナップ中でも不人気なC100CMs（HA06）。80~90年代タイカブ人気からの日本向け改良され逆輸入されてきたホンダ名義タイカブだね。スクーターのようなカウル周りがチープで古き好きが感じられないトコがお気に入り。私からすればいかにも90年代デザインという印象だがどうだろうか。カブは手軽にイジれるからパーツも豊富であらゆるカスタム情報が満載だが、タイカブは異種故に情報は少ない。ただカスタムする気はなく、なるべく純正でコンディションを整えたいのでタイからパーツを個人輸入し始めた。国内での調達ルートはオークションなどに限定されほぼ皆無なのだが、タイやベトナムではまだまだストックや現行パーツが流通しているのでこつこつ集めて交換していきたい。造りもシンプルだし、エンジンやクラッチは今のトコ元気なのでひとまずは目に付く外装関係と消耗パーツのシールやホース類交換かな。今時のインジェクションはよく知らんけど、キャブは慣れてるから素人なりにOHしてセッティングもまぁボチボチ。不動の古いバイクのレストアとかそこまでやるほどの気力体力はないからちょうどいい。

BLUNDSTONE(ブランドストーン)

MEN’S WOMEN'S ブーツ

Style: #585 CLASSIC COMFORT

Color: Rustic Brown

XRDインソール搭載のクラシックコンフォートタイプです。少しムラのある色味が特徴のオイルレザーを使用。アウトソールだけでなく、インソールにも独自開発したクッション材、XRD® を採用。衝撃を効果的に吸収するうえ、耐久性にすぐれるので、長い時間着用していても足に疲れを感じさせにくい。また、ライニングにレザーを採用する事により、堅牢性が増すとともに、滑らかな肌触りも実現している。

BLUNDSTONE(ブランドストーン)

オーストラリアのタスマニア島に本拠を置く工場で、その歴史は19世紀にさかのぼります。イギリスで靴づくりを学んだジョン・ブランドストーンがオーストラリアに渡り、1880年代に始めた小さな工場を嚆矢とする。その特徴はインジェクション・モールディングとよばれる製法にあり、底材にポリウレタンを使用し、金型の中で発砲させながら底を形成し、同時にアッパーと底を接着する製法です。これにより、接着性がよく耐久性と耐水性に優れた靴ができあがりました。またブランドストーンのパテントであるSPS(ショック・プロテクション・システム)は、ソールのデザインのみで歩行時にかかる衝撃を33%も軽減させ、快適な歩きを約束する。現在ブランドストーンは、その機能性と軽さ、そしてデザイン・バランスの良さによって、豪州のみならず全世界にファンに愛用されている。

ーーーーーーーーーー

PULP WAGON

北海道釧路市錦町5ー1 幅口ビル 1F

WEBアプリ脆弱性がランサムウェアの侵入経路となる可能性 - SQLインジェクションやクロスサイトスクリプティング(XSS)が起点となるリスクについて解説

WEBアプリ脆弱性とランサムウェアの関係性 WEBアプリケーションの脆弱性は、サイバー攻撃者にとって魅力的な侵入経路となります。 特に、SQLインジェクションやクロスサイトスクリプティング（XSS）などの脆弱性は、ランサムウェア攻撃の起点として悪用される可能性が高いです。 攻撃者はこれらの脆弱性を利用して、システムに不正アクセスし、内部ネットワークへの侵入を図ります。 SQLインジェクションによるランサムウェア侵入のリスク SQLインジェクションは、データベースに対する不正な操作を可能にする脆弱性です。 攻撃者はこの脆弱性を悪用して、データベース内の機密情報を窃取したり、システム管理者の権限を奪取したりする可能性があります。 管理者権限を手に入れた攻撃者は、ランサムウェアをシステム全体に展開し、大規模な被害をもたらす可能性があります。 SQLインジェクション攻撃の具体例 攻撃者は、ログイ…

積水ハウスは2024年5月24日、サイバー攻撃により顧客情報などが漏洩したと発表した。同社の住宅オーナー向けの会員制サイト「積水ハウスNetオーナーズクラブ」において、過去に使用していたページのセキュリティー設定に不備があり、同サイトのデータベースからパスワードなどが漏洩した。攻撃手法は、データベースに命令文（SQL文）を送りつけて情報を不正に入手する「SQLインジェクション」だった。 　漏洩したのは顧客情報と従業員などの情報だ。顧客情報は、積水ハウスNetオーナーズクラブ会員として積水ハウスが取得した顧客のメールアドレスとログインID、パスワード10万8331人分が漏洩した。これに加えて漏洩の可能性がある人数は46万4053人に上る。 　従業員に関しては、現在・過去に在籍していた積水ハウスグループの従業員と協力会社スタッフのメールアドレスと積水ハウスのシステムへのログイン時に使用するパスワード18万3590人分が漏洩。これに加えて漏洩の可能性がある人数は7万2194人だという。積水ハウス広報によれば、2024年5月27日時点で、漏洩した情報が悪用されるなどの報告はないという。 　情報漏洩が発覚した経緯は次の通り。2024年5月21日、同社がサーバー業務を委託している事業者から積水ハウスNetオーナーズクラブのアクセス数が急激に増加し、高負荷の状況が続いている旨の連絡を受けた。その後調査を行い、2008年～2011年にフォトギャラリーとして使用し、現在は運用していないページのセキュリティー設定に不備があり、サイバー攻撃を受け情報漏洩したことが発覚。5月23日午前中に同サイトの運用を停止した。同サイトの復旧のめどは立っていない。 　同社広報は当該ページについて「現在は使用しておらずサイト内に動線はなく、検索エンジンでも引っかからない。URLを直接入力しないとたどり着けない状態だった。アクセスできることは認識していたものの、使用していないのでメンテナンスをしていなかった。その辺りの認識が不十分��った」と説明した。パスワードが平文で登録されていたか否かについては「回答を差し控える」とした。 　同社は不正ログインを防止するため、他社Webサイトなどで積水ハウスNetオーナーズクラブと同じパスワードを使用している顧客に対し、パスワードの変更を呼びかけている。

積水ハウスが29万人超の個人情報漏洩、過去のページでセキュリティー設定に不備 | 日経クロステック（xTECH）

【モトブログ#193】インジェクションのハーレーで三拍子は作れるのか

再生医療クリニックのエクソソーム治療を4ヶ月してみた結果は？

新しくサロンに導入したエクソソーム美容クリニック。 詳しくはこちらに書いているのですが 基本サロンで導入する物はちゃんと僕が自分で体験した物を入れてます。 これは自分で体験して良かったと思った物しか提供できないという気持ちからなので基本サロンにある商品なども全て試してます。 そこで今回のエクソソームも自分で試しているのですが、複数回することでどうなるかを自分の顔で見ています。 まずはこちら 2月に初めて体験した時の結果です。 この時は顔に打つメソガン。そして身体に打つインジェクションをしています。 そしてそこから1ヶ月後の3月 インジェクションのみを体験。 この時は顔には打っていませんが次の日に顔が少しシャープになっているのと肌の質感の良さを感じてます。 そして4月もインジェクションのみ。 写真撮り忘れましたが体調も良く疲れにくさを感じながら顔も2月よりシャープです…

View On WordPress

OWAによると、Metaが提供しているFacebook、Instagram、Messengerなどの人気アプリはすべて、アプリ内ブラウザを経由したJavaScriptインジェクションでユーザーのプライバシーを侵害していることが発覚しているとのこと。 TikTokのアプリ内ブラウザに至っては、ユーザーの入力や操作をすべて監視していたことから、OWAは「TikTokは事実上のキーロガーを実行しています」と非難しました。

(via 「TikTokは事実上のキーロガー」と専門家、知らないうちにユーザーを侵害する「アプリ内ブラウザ」の脅威とは？ - GIGAZINE 2024-04-01)

ウェブサイトの検索キーワード内にSQL（Structured Query Language、コンピューター言語の一種）コマンドを含め送り付けるなどして、接続するデータベースの情報を不正に引き出す 「SQLインジェクション」

生成AIが引き起こす「新たなデータ漏えい」　「プロンプト・インジェクション」に備えよ（サンデー毎日×週刊エコノミストOnline） - Yahoo!ニュース

2024年03月04日 11時39分 ChatGPTやGeminiといったチャットAIのセキュリティ機能を破壊するマルウェア「Morris II」が登場 OpenAIのChatGPTや、GoogleのGeminiのようなチャットAIを操作できるワーム「Morris II」を作成し、ユーザーの個人情報を盗み出すことに研究者が成功しました。 ComPromptMized https://sites.google.com/view/compromptmized New Malware Worm Can Poison ChatGPT, Gemini-Powered Assistants | PCMag https://www.pcmag.com/news/malware-worm-poison-chatgpt-gemini-powered-assistants 「Morris II」は、生成AIを活用するアプリケーションをターゲットとしたゼロクリックワームで、イスラエル工科大学やコーネル工科大学、ソフトウェア開発企業のIntuitなどの研究者たちにより開発されました。なお、「Morris II」の名前の由来は初期のインターネットで拡散されたワームの「Morris」に由来しています。 Morris IIはユーザーが何の操作をしなくても攻撃対象となる端末に感染させることが可能で、感染端末から別の端末に拡散しながら、端末からデータを盗み出したり、端末にマルウェアを感染させたりすることができます。研究チームはMorris IIを使用して、ChatGPTやGemini、オープンソースのAIモデルであるLLaVAなどに対して攻撃を仕掛けることに成功したと発表しました。 研究チームはMorris IIの開発経緯を、「過去1年間で、生成AI機能をアプリに組み込んだ、半自律型あるいは完全自律型のエージェントで構成される相互接続された生成AIエコシステムが多数登場するようになりました。既存の研究ではエージェントの生成AI層に関するリスク(ダイアログポイズニング、プライバシーの漏えい、ジェイルブレイクなど)が強調されていますが、攻撃者はエージェントの生成AIコンポーネントを悪用し、生成AI全体に対してサイバー攻撃を仕掛けるようなマルウェアを開発することはできるのだろうかという疑問が浮かび上がってきました」と説明しています。 生成AIシステムのほとんどがプロンプトを入力することで動作しますが、このプロンプトに施されているルール(有害なコンテンツの生成をブロックするなど)をMorris IIで破壊することが可能になるというわけです。 研究チームは「攻撃者がプロンプトを入力に挿入し、生成AIモデルによって処理される際に、モデルに入力を出力として複製(レプリケーション)し、悪意のある活動(ペイロード)を実行するようモデルに促す可能性があることを示しています」と言及。Morris IIのようなAIワームは記事作成時点では発見されていませんが、複数の研究者が「スタートアップや開発者、テクノロジー企業が懸念すべきセキュリティリスクである」と指摘しています。 研究チームはMorris IIで「敵対的自己複製プロンプト」を採用していると説明しており、これは「生成AIモデルが応答として別のプロンプトを出力するようトリガーするプロンプト」だそうです。つまり、AIシステムは応答の中で一連のさらなる命令を生成するように指示されることとなる模様。そのため、研究チームは「敵対的自己複製プロンプト」について、「従来のSQLインジェクション攻撃やバッファオーバーフロー攻撃とほぼ同様」と説明しています。 なお、Morris II概念実証用のコードがGitHubで公開されています。 GitHub - StavC/ComPromptMized: ComPromptMized: Unleashing Zero-click Worms that Target GenAI-Powered Applications https://github.com/StavC/ComPromptMized

ChatGPTやGeminiといったチャットAIのセキュリティ機能を破壊するマルウェア「Morris II」が登場 - GIGAZINE