「NotebookLM×スマートウォッチ」仕事効率化術。
スマートウォッチとNotebookLMの実践的組み合わせ活用
音声ファイルのサイズや形式が未詳だが、
私の他のツール経験では、優秀過ぎる“まとめ“よりも、
NotebookLMでは『
『ここにたどり着くまでに僕は、AIまわりで試行錯誤してきまし
「NotebookLM」は、Web上のデータやPDFファイル
May 31, 2025
仕事効率化: NotebookLM × スマートウォッチ
「NotebookLM×スマートウォッチ」仕事効率化術。
Frontier AIを使用して発見されたLinuxのゼロデイ脆弱性
Linux Zero-Day Vulnerability Discovered Using Frontier AI (05/30)
CVE-2025-37899 (LinuxカーネルのSMBプロトコルの悪用可能なゼロディ脆
『Linux カーネルでは、次の脆弱性が解決されました。 ksmbd: セッションのログオフでメモリ解放後使用 (Use-After-Free) を修正 sess->user オブジェクトは、現在、別のスレッドで使用することができます。
例:別の接続がセッション設定リクエストを 解放されるセッションにバインドします。その接続のハンドラは、 は、sess->userを使用するsmb2_sess_
『o3により、LLMはコードについて推論する能力が飛躍的に向
May 23, 2025
QRコード詐欺
日本で新手の「QRコード詐欺」が急増中!便利さの裏に潜む罠を
『誰でも無料ツールで簡単にQRコードを作れるため、
国民生活センターには、QRコード詐欺に関する相談が過去に例を
…
商品の購入代金として銀行振込で決済したところ、
最近では、駅や街角のポスターに本物そっくりの偽QRコードが重
特に急増しているのが「返金詐欺」と呼ばれる手口です。
…
私たちが自分の身を守るには、まずQRコードが信頼できる情報源
』
関連
PayPay詐欺 https://akasaka-taro.blogspot.com/2025/06/paypay.html
May 21, 2025
激増するフィッシングに対抗する3つの防御策
https://news.yahoo.co.jp/
『 その1: 金融機関と証券会社だけでも「パスワードを変える」
その2: Webブラウザの機能拡張を見直す
その3: 金融機関は「アプリ」を中心に利用する
Google Chromeに関しては認証情報を含むクッキー情報に、
…
利用者だけの対策では限界がある……
証券会社に対する被害については、
』
クロ現で、原因特定報道 ↓
相次ぐ証券口座乗っ取り 被害者のパソコン解析で分かったこと (05/20)
フィッシングをきっかけとするAiTM(Adversary-in-the-Middle)や、マルウェア "インフォスティーラー"など、エンドユーザ側で起きた侵害に触れている。一方証券会社側の落ち度(例、a.バックアップサイトのバックドア化、b.絵文字の2nd認証が無限チャレンジ可、c.旧バージョンアプリで2FA突破 等)には踏み込んでいない。
その後、「多要素認証」といった技術寄りの言葉が唐突に表れ、『証券会社が今後取り組む』と。個人的には巨大資本に慮っているように感じて、釈然としない。
関連
メモ、証券口座、インフォスティーラー、ブータブルUSBツール (04/14)
https://akasaka-taro.blogspot.com/2025/04/usb.html
証券口座乗っ取り対策 (05/11)
May 17, 2025
お客様を守る。恐喝者に立ち向かう
Marbled Dustは、Output Messengerのゼロデイ情報を地域スパイに活用
Marbled Dust leverages zero-day in Output Messenger for regional espionage | Microsoft Security Blog (05/12)
『
2024 年 4 月以降、Microsoft Threat Intelligence が Marbled Dust として追跡している脅威アクターは、マルチプラットフォーム チャット ソフトウェアであるメッセージング アプリ Output Messenger のゼロデイ脆弱性 (CVE-2025-27920) に対する修正が適用されていないユーザー アカウントを悪用していることが確認されています。
…
以前のキャンペーンでは、Marbled Dustは … 侵害されたDNSレジストリやレジストラへのアクセスを使用して
』
CVE-2025-27920: Directory Traversal Vulnerability (2024/12/25)
『形容
ディレクトリトラバーサルの脆弱性が Output Messenger バージョン V2.0.62 で確認されました。この脆弱性により、リモートの攻撃者は、
攻撃者は、構成ファイル、機密性の高いユーザーデータ、
インパクト
この脆弱性の悪用が成功すると、
- 機密ファイル(設定ファイル、ソースコードなど)への不正アクセ
ス - 機密ファイルが実行される場合のリモート・コード実行の可能性
- 個人情報やシステム構成の公開
』 以上機械翻訳
お客様を守る - 恐喝者に立ち向かう
Protecting Our Customers - Standing Up to Extortionists (05/15)
『TL;dr:サイバー犯罪者は、
…
一連のベスト プラクティスを次に示します。
- 引き出し許可リストをオンにする - 完全に制御でき、シードフレーズが安全で、
あなたに提供されていない、 または誰とも共有されていないウォレットへの送金のみを許可しま す。 - 強力な 2FA を有効にする - ハードウェア キーが最適です。
- 詐欺師に電話を切る —Coinbaseは、パスワードや2FAコードを求めたり、「
安全な」ウォレットに資金を移動したりすることはありません。 - 最初にロックし、後で尋ねる —何か違和感がある場合は、アプリ内でアカウントをロックし、s
ecurity@coinbase.com メールで送信します。 - ソーシャルエンジニアリング詐欺を回避するためのセキュリティの
ヒントをご覧ください。
』以上機械翻訳
NVD - CVE-2025-32756 (05/16)
『A stack-based buffer overflow vulnerability [CWE-121] in Fortinet FortiVoice versions 7.2.0, 7.0.0 through 7.0.6, 6.4.0 through 6.4.10, FortiRecorder versions 7.2.0 through 7.2.3, 7.0.0 through 7.0.5, 6.4.0 through 6.4.5, FortiMail versions 7.6.0 through 7.6.2, 7.4.0 through 7.4.4, 7.2.0 through 7.2.7, 7.0.0 through 7.0.8, FortiNDR versions 7.6.0, 7.4.0 through 7.4.7, 7.2.0 through 7.2.4, 7.0.0 through 7.0.6, FortiCamera versions 2.1.0 through 2.1.3, 2.0 all versions, 1.1 all versions, allows a remote unauthenticated attacker to execute arbitrary code or commands via sending HTTP requests with specially crafted hash cookie.』
NVD - CVE-2025-4664 (05/14-16)
『Insufficient policy enforcement in Loader in Google Chrome prior to 136.0.7103.113 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)』
CVSS 3.x Severity Base Score: 4.3 MEDIUM だがKEV Catalogに載った。
CVE Record: CVE-2025-42999 (05/13)
『SAP NetWeaver Visual Composer Metadata Uploader is vulnerable when a privileged user can upload untrusted or malicious content which, when deserialized, could potentially lead to a compromise of confidentiality, integrity, and availability of the host system.』
Security Advisory Ivanti Endpoint Manager Mobile (EPMM) May 2025 (CVE-2025-4427 and CVE-2025-4428) (05/13-16)
Endpoint Manager Mobile (EPMM) の二つの脆弱性を組み合わせるとリモートコード実
Ivanti Endpoint Manager Mobile(EPMM)の脆弱性(CVE-2025-4427
Expression Payloads Meet Mayhem - Ivanti EPMM Unauth RCE Chain (CVE-2025-4427 and CVE-2025-4428) (05/15)
以上、こちらの記事から取り上げた 今週の気になるセキュリティニュース - Issue #223 - セキュリティは楽しいかね? Part 2 (05/18)
「
『最終取りまとめでは、情報処理安全確保支援士(登録セキスペ)
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive
〜毎日クイズを継続して、あなたもセキュリティの専門家に〜
May 16, 2025
中国の太陽光発電インバータに見られる不正な通信機器
Rogue communication devices found in Chinese solar power inverters (05/14)
『まとめ
l 中国のソーラーインバータに見られる不正な通信機器
l 文書化されていない携帯電話のラジオも中国のバッテリーで発見
l 米国は新興技術で継続的にリスクを評価する
l 「信頼できる機器」をグリッドに統合する米国
』 以上、機械翻訳
『
l 米国の専門家が、
l これらの機器は、通常のファイアウォールを回避し、
l 同様の通信機器は、中国製のバッテリーにも見つかっている。
l このような「隠れた通信経路」は、
l 米国政府は公式にはこの発見を公表していないが、
l 中国政府は「国家安全保障の名の下に中国を中傷している」
l 米国議会では、
l 一部の電力会社は、
l Huaweiなど中国企業は世界のインバーター市場で大きなシェ
l 欧州でも、
l 専門家は、同時に多くの家庭用インバーターが操作されれば、
l 米国エネルギー省は、
l ソフトウェア構成の透明性向上に向けた取り組みも進行中。
l 中国企業は法律上、
l Huaweiは2019年に米国市場から撤退したが、
l 欧州では200GW以上の太陽光発電が中国製インバーターに依存
l これは200基以上の原発に相当する規模で、
l 米中間の技術的・地政学的緊張が、
l リトアニアは2023年11月、
l 同国のエネルギー相は、
l エストニアの情報機関トップは、
l 英国でも中国製再エネ技術の見直しが進行中で、
l 2024年11月、
l この事件は、Sol-Ark社と中国Deye社間の商業的対立に
l エネルギー分野は、
l 家庭用の太陽光や蓄電池は規制対象外になりがちだが、
l NATOは、中国が加盟国の重要インフラ(インバーター含む)
l 同盟国は「戦略的依存」を特定し、
』 以上、AI翻訳&要約
リモートメンテナンスの為に通信機能は必要なのだろうが(触れられていないが)それならそれで仕様書に明記しておけば良いものを・・・。
秘密の通信事案は過去から有って、今回また一つグレーが黒に近づいた。
過去記事
- AndroidスマホにAdupsが開発したトラッキングソフトウェア (2016/11/16)
- 悪意あるハードウェア (2016/06/04)
『原発や軍事用に使われている中国製シリコンチップにサイバー攻撃可能な未知のバックドアが発見される (2012/05/28)
あとこんなのもあったなぁ ↓
中国製の携帯電話に検閲機能、リトアニア政府が不買・処分を勧告 (2021/09/22)
May 15, 2025
記事、「Google Chrome」にゼロデイ脆弱性
「Google Chrome」にゼロデイ脆弱性、
Windows環境にはv136.0.7103.113/.
CVE番号が公開されているのは以下二点。前者は KEV Catalog に掲載された(掲載 05/15、対応期限 06/05)。
l NVD - CVE-2025-4664 『Insufficient policy enforcement in Loader in Google Chrome prior to 136.0.7103.113 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)』
l CVE - CVE-2025-4609 『Incorrect handle provided in unspecified circumstances』との事だが、詳細は未発表。
同記事で引用されているX投稿 ↓
興味深い。
当てずっぽうだが、『同じ実装が何年も前からあって、密かに悪用されていた』ということでは?
May 14, 2025
Amazonに「サクラチェッカー」「Keepa」の拡張機能
そろそろ使ってみるか。
Amazonの商品ページに「サクラチェッカー」「Keepa」
『 「Amazon No Fake」と名付けられたこの拡張機能は、
May 13, 2025
LINEのトークが流出する理由 その原因と対策を考える
https://www.itmedia.co.jp/news/articles/2505/10/news067.html (05/12)
『LINEのセキュリティに関する問題はその後も発生している。
関連過去記事
- メモ、LINEと流出 (2016/07/02)
- memo 日本サイバー防衛&国防白書!:~誰も書かなかったサイバー防衛&国防の身も蓋もない話〜 (2020/1017)
- LINEのアレ (2021/03/31)
- ニュース:1.LINEヤフー、2.ドメイン放棄手続き、3.さくらインターネット (2023/11/29)
- BYODの盲点 (2024/11/20)
May 12, 2025
NotebookLM
NotebookLMで超時短!
基本的な使い方の説明が分かり易い。
NotebookLMで文章をポッドキャスト化する方法|
優れている点として以下を挙げ、具体説明~
『
l 対話形式で内容が理解しやすい
l 記事の要約が適切
l 聞き手に対して問いかけるなど内容を深める効果も
』
今度試してみよう。
noteの下の方にある”おすすめ”記事も興味深い。
May 11, 2025
証券口座乗っ取り対策
0.基本的態度
- 全て疑う。自分の常識も。もちろん家族にも触らせない
- 肩越しに誰かに見られているつもりで。手元を隠す。機微情報を漫然と表示し続けない
- パスワードはユニークに。個々のサイト、用途(ログイン、取引)で使い分け
- ブラウザに覚えさせ過ぎない。手で全桁入力しない。例、パスワード半分はブラウザに、残りは手入力、等。パスワード管理ツールも
- 用途別に専用環境を。例、金銭取扱、メール、SNS、その他ネット散策…それぞれ出来れば専用端末。最低でもブラウザは別々に。仮想化(VMWare, VirtualBox等)も良い
- OS、ソフト、アプリは定期的にアップデートを。休場日にルーチンワーク
- ウイルススキャンも定期的に
- アプリの数だけリスクは増える。飲食店・小売店の値引きアプリ導入もなるべく避ける
- 席を離れる時は最低でも画面ロック(自宅)。できれば電源オフ
- フリーWi-Fi、公共Wi-Fi(含、ホテル)を避ける。またはVPN経由で。複数DNSの結果照合など十分納得できてから。生身で導入・更新はしない
1.SBI証券
1-1. デバイス認証とFIDO認証、共に有効化
スマホを使わなくてもFIDO認証設定すべき
1-2. 電話でスマホアプリへのログインを不可に設定依頼
SBIテクニカルサポート 0570-010-702
※電話のみの裏メニュー(投稿日現在)
※FIDO認証も色々教わった。
1-3. 総合口座へのログイン一時利用停止設定を実施
2.楽天証券
2-1. 二段階認証を設定
2-2. 電話で口座にアカウントロックを設定
(1)準備:口座情報を控えておく
a.部店番号口座番号(参照、ログイン後左肩の表示)
b.ログインID(下4桁)
(2)アカウントロック設定操作
電話(0120-852-638)して、案内の通りに
※積立タイミングで解除必要
出典
下記YouTuberさんの念入りな調査や、フォロワーさんのアイデア追加により、丁寧で実践的な内容(↓)。上記1、2に骨子を引用させてもらいました。
関連
本人確認が甘かった…証券「口座乗っ取り」10社が補償拒否から
『・・・以下の対策はが考えられる。・メールソフトやセキュリティソフトの機能によるフィッシング詐欺 やメール詐欺の対策 ・ログイン情報を入力する画面では、その真偽に注意を払う(フィッシング対策) ・2FAやデバイス認証を有効にして、取引、送金処理は最初のログインだけでできないようにする ・2FAやデバイス認証では、認証アプリやパスキー(FIDO 2)といった方式を利用する・トレーディングツールやサードパーティアプリ、サイトを経由してのログイン設定の見直しまたは解除
』
楽天証券、“絵文字”による「多要素認証」必須化 6月から “裏口”のセキュリティ対策も - ITmedia NEWS (05/07)
ツール・アプリの数だけリスクも増えると思う。だから口座開設~売買の一連の取引を、PC/
「旧バージョンは6月7日以降利用できなくなる」との事。
Subscribe to:
Comments (Atom)