Hatena::ブログ(Diary)

まっちゃだいふくの日記★とれんどふりーく★ このページをアンテナに追加 RSSフィード Twitter

カレンダー
<< 2018/01 >>
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

このBlogは個人的に収集しているセキュリティ情報や製品情報について書いています。
各ウイルスバスターの不具合やBlogでの反応:クラウド(2015)クラウド(2014)クラウド(2013)201220112011続き201020092008
情報なし:20162017
日本の情報セキュリティ勉強会ポータルサイト

2018年01月12日(金曜日)

ripjyr2018-01-12

[][]「HAKUHO」ピンチ 月面探査レース延期を要求(テレビ朝日系(ANN)) - Yahoo!ニュース

情報元のブックマーク

延期をお願いか・・・・頑張って欲しい。

 チームHAKUTO・袴田武史代表:「グーグル・ルナ・エックスプライズの期限までに、我々のミッションを実現するのが難しいという状況であるということを確認しております。エックスプライズの延期というところも交渉していきたいというふうに思っております」

 グーグルがスポンサーの月面探査レースは、民間による宇宙開発を進める目的で行われ、日本もベンチャー企業や東北大学などによる合同チームが参加する予定です。日本チームは、探査ロボットインドチームの打ち上げロケットに相乗りさせる計画でしたが、レース期限の3月末までにロケット打ち上げのめどが立たず、レースへの参加が困難になっていることを明らかにしました。このため、HAKUTOは、レース期限の延長を求めて主催者側と協議を行うとしています。3月末までに延長が決まらなければ、レースへの参加は断念することになりますが、HAKUTOは、レースに参加できなくても民間による月面探査の実現を目指すとしています。

no title

screenshot

[][]SEが知っておくべきサーバーレス - 有料動画配信システムをサーバーレス化、毎日放送がITコストを9割削減:ITpro

情報元のブックマーク

フロントサーバーレスで構築。すごいな。裏で管理側が見るのをKintoneにしてるところも面白い。

毎日放送(MBS)はAmazon Web ServicesAWS)を使い、定額制の有料動画配信サービス「MBS動画イズム444」のシステム基盤を構築した。コスト削減などを目的に、イベント駆動型コード実行サービスAWS Lambda」を使ったサーバーレス構成を採用している。

 MBSの試算では、オンプレミス(自社所有)環境に構築した場合に対するコスト削減効果(構築費用を除いたランニングコスト、4年間)は、Amazon EC2(Elastic Compute Cloud、仮想マシンサービス)を多用した構成にすると75%削減だが、今回採用したサーバーレス構成だと92%削減になるという。

no title

screenshot

[][]Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明 - ITmedia エンタープライズ

情報元のブックマーク

AMDマシンで不具合が出得るらしい

IntelAMDなどの主要プロセッサに「Meltdown」「Spectre」と呼ばれる脆弱性が発覚した問題で、MicrosoftWindows向け更新プログラムインストールしたAMDプロセッサ搭載マシンの一部が起動できなくなるなどの不具合が報告されている。米Microsoftは1月10日、サポート情報を公開して対応を説明した。

 Microsoftはこの問題が発覚した1月3日から9日にかけ、緩和策などを盛り込んだ更新プログラムWindowsやInternet Explorer(IE)などのブラウザ向けに公開して、脆弱性に対処している。

Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明 - ITmedia エンタープライズ

screenshot

[][]Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正 - ITmedia エンタープライズ

情報元のブックマーク

今月のMSパッチが出てますね。56件の脆弱性に対応とのこと

 米Microsoftは1月9日(日本時間10日)、月例セキュリティ更新プログラムを公開し、WindowsOfficeに存在する深刻な脆弱性に対処した。

 Microsoftによると、更新プログラムの対象となるのはInternet Explorer(IE)、Edge、WindowsOfficeOffice Services/Web Apps、SQL Server、ChakraCore、NET Framework.NET CoreASP.NET CoreAdobe Flashの各製品。

 セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)によれば、今回の更新プログラムでは計56件の脆弱性が修正された。このうち16件が最大の深刻度である「緊急」、38件が「重要」に指定されている。

 Office脆弱性のうち1件(CVE-2018-0802)については攻撃の発生が報告されている。また、Office 2016 for Mac脆弱性(CVE-2018-0819)は事前に情報が公開されていたが、攻撃の発生は確認されていないという。

Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正 - ITmedia エンタープライズ

screenshot

[][]Adobe、Flash Playerの脆弱性に対処 悪用されれば情報流出の恐れ - ITmedia エンタープライズ

情報元のブックマーク

Flash脆弱性対応。

Adobe Systemsは1月9日、Flash Playerのセキュリティアップデートを公開し、1件の脆弱性を修正した。

 Adobeセキュリティ情報によると、今回のアップデートでは境界外読み取りに関する脆弱性に対処した。悪用されれば情報流出の恐れがあるとされ、緊急度は同社の3段階評価で中間の「重要」、優先度は「2」と位置付けている。

 脆弱性Flash Playerの28.0.0.126までのバージョンに存在していて、WindowsMacLinuxChrome OSの各プラットフォームが影響を受ける。Adobeアップデート版のバージョン28.0.0.137で、この問題を解決したとしている。

Adobe、Flash Playerの脆弱性に対処 悪用されれば情報流出の恐れ - ITmedia エンタープライズ

screenshot

[][]東京都グッジョブ!2017年末に商工会議所から届いたサイバーセキュリティの「冊子」に感動した話 | WEBマスターの手帳

情報元のブックマーク

良さそう。

東京都では、平成28年4月に設立した「東京中小企業サイバーセキュリティ支援ネットワーク(Tcyss)」の協力の下、中小企業がサイバー攻撃について必ず行うべき対策や、事故が発生した場合の初期対応などをなるべく分かりやすく伝えるガイドブックを20万部作成し、都内中小企業の皆様へ無償で提供いたします。ぜひご活用ください。

出典元:「中小企業向けサイバーセキュリティ対策の極意」を発行|東京都

東京都グッジョブ!2017年末に商工会議所から届いたサイバーセキュリティの「冊子」に感動した話 | WEBマスターの手帳

関連URL

screenshot

[][]KDL流「セキュア鏡開き」をしました| KDL BLOG

情報元のブックマーク

セキュア鏡開き!!!wwww

どれだけセキュリティに配慮して作成されたシステムであっても、日々新たな攻撃手法が生まれる現代は、世界中のシステムがまるで銃撃戦の中を歩いているような状態だそうです。ですので、「弾に当たらないこと」よりも「セキュリティ対策を行うことで当たりにくいシステムにすること」と「当たったときにすぐ検知、すぐ対応」が必要なのだそうです。(KDLセキュリティソリューション事業部長 三木より)

ということは、鏡餅に潜む脆弱性を攻撃すれば内部からシステムを破壊し、鏡開きできるのではないか・・・。

また、KDLは2017年に10月に「セキュア開発」を専門に行う部門を立ち上げました。 今後は従来までのセキュリティ診断に加え、要件定義〜設計フェーズ、実装フェーズにおいて効果的なセキュリティ対策を進めることで「シフトレフト」を実践し、無駄のないセキュア開発を行っていく所存でございます。

ということで、私たちセキュリティソリューション事業部のホワイトハッカーに協力を依頼し、鏡餅に攻撃を仕掛けてもらいました。

no title

screenshot

[][]SELinuxをRedmine 3.4 + Passenger + CentOS 7の環境で有効にする | Redmine.JP Blog

情報元のブックマーク

石川さんごめんなさいじゃなくて、すごい!!!

SELinuxが有効な状態の手順を掲載してほしい」との要望はこれまで何度も寄せられていました。ただ、Redmine.JP Blogに掲載してたくさんの方にご覧いただくのであれば、「とりあえず動く」手順ではなく、SELinuxの専門家の方にも納得いただけるものでなければならないと考えていました。

そこで、セキュアOSコミュニティなどでご活躍でSELinuxに造詣が深い石川さん(@ishikawa84g)に相談したところ、記事の執筆を快く引き受けていただきました。石川さんありがとうございました。

現時点ではいくつか未確認の内容が残っていますが、今後解決を進めていきます。SELinuxの活用やRedmineサーバ構築の参考にしていただけると幸いです。

SELinuxをRedmine 3.4 + Passenger + CentOS 7の環境で有効にする | Redmine.JP Blog

screenshot

[][]大雪で立ち往生したJR。なぜ乗客を降ろすことができなかったのか? (BuzzFeed Japan) - Yahoo!ニュース

情報元のブックマーク

あの場所で放り出す方がよっぽどリスク

「安全のことを第一に考えました。車両は、駅と駅の間の線路に留まっています。周りは田園地帯であり、側溝などもあって、通常の状態でも線路の上を歩くのは危険な場所となっています」

「この日は、さらに降雪があり、足元がどのような状況になっているかわからない。400人以上の人を誘導する方が危険だという判断をしました」

そもそも電車から降りること自体が危険だ、との判断が真っ先にされたという。

危険な道を数百メートル誘導したとしても、その先にある最寄りの東光寺駅無人駅。一方で、車内は暖房も効いており、トイレも付いていた。

no title

screenshot

[][]セキュリティ界隈、誰をフォローしたら良いの?二番煎じで考えてみた。 by @ymzkei5

情報元のブックマーク

!!!seccon/seccamp/Hardeningで絞って再計算したら、、、、3位に!!なった!!!

でも、まてよ、#ssmjp は、セキュリティの勉強会ではないのでは?と思った。 セキュリティのものに絞ったら、もっと私のランキングが上がる、もとい、有益なデータが取れるかも!と思った。 試してみた。

セキュリティ界隈、誰をフォローしたら良いの?二番煎じで考えてみた。 by @ymzkei5

screenshot

[][]ASCII.jp:「30分後に消して」で音楽が止まる Googleアシスタントの新機能たち

情報元のブックマーク

GoogleアシスタントNature Remoが追加らしい!!!これでGoogleHomeで赤外線リモコンをいじれる!Bicカメラで1.3万円だったぞ

エントリーでは最近追加された機能として、スリープタイマーを紹介。「30分後に消して」と言うだけで自動的にストリーミング音楽の再生がストップするという。そのほか「山手線動いてる?」と聞くだけで、運行状況を調べられるようなサービスや、エアコンやテレビを声だけで操作できるようにするサードパーディー製品「Nature Remo」などを取り上げている。

ASCII.jp:「30分後に消して」で音楽が止まる Googleアシスタントの新機能たち

関連URL

Google Japan Blog: Google アシスタントでできること。

screenshot

[][]投機的実行の脆弱性によるパフォーマンスへの影響: CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 に対するセキュリティーパッチによるパフォーマンスへの影響 - Red Hat Customer Portal

情報元のブックマーク

memo

先日公開された投機的実行に関する CVE は、様々なアーキテクチャーおよびハードウェアプラットフォームに影響を与える、潜在的な 3 つの攻撃に対応しています (フィックスは環境によって多少異なります)。このフィックスを適用するには、多くの場合、ハードウェアベンダーから提供されるマイクロコードのアップデートが必要になります。Red Hat では、アップデートした Red Hat Enterprise Linux カーネルを提供していますが、このカーネルでは、デプロイメントのセキュリティーを保護することに重点を置いています。このような脆弱性とそのフィックスの性質上、パッチを当てたシステムでパフォーマンスが低下する可能性があります。パフォーマンスへの影響は、ハードウェアアプリケーションによって異なります。

この攻撃は、一般的に使用される、パフォーマンス向上を目的とした最適化を標的としています。その結果、セキュリティ脆弱性を修正すると、そのワークロードにより、パフォーマンスが大きく低下します。ここでは、Red Hat パフォーマンスエンジニアリングチームが、マイクロコードとカーネルパッチの組み合わせを変えて調査したパフォーマンス問題の内容を説明します。最適化に関するパフォーマンスの特性と開発は、今後のカーネル機能の強化と、レポートの改訂につながる可能性を秘めた継続的努力となります。また、パフォーマンスに与えるこのような影響をできるだけ早く取り除くために、Red Hat はテクノロジーパートナーと積極的に連携しています。

no title

screenshot

[][]ケーブルの養生方法 | PA情報局

情報元のブックマーク

養生方法

PAにおいての養生、例えばケーブルの養生という点で見てみると、2つの目的があります。1つ目は「ケーブルの保護」です。お客様などにケーブルを踏まれないよう(踏まれても大丈夫なように)するために養生テープ等を使って保護するようにします。 もう1つは、「お客様の保護」です。ケーブルにお客様がつまずいて転んでケガをしてしまったら大変です。そのようなことにならないようにケーブルを処理するのです。

ケーブルの養生方法 | PA情報局

screenshot

[][]セキュリティを生業とする私が、働き方改革したくて不退転職した話 - Security along DesigN

情報元のブックマーク

メモ

セキュリティのお仕事が子供たちの憧れの職業となり、より多くの人に認められ、日本を守り、海外へも影響を与え、世界平和に少しでも貢献できることを願ってやまないし、私もそういう仕事がしたい。先人たちが積み上げ、現役世代が推し進め、新しい世代がさらに発展させるであろう技術や仕組みで、ノーベル平和賞を目指すくらいの心意気で。(おおげさ 笑)

セキュリティを生業とする私が、働き方改革したくて不退転職した話 - Security along DesigN

screenshot

[][]三菱UFJニコス トラブルで57万件の入金に影響 | NHKニュース

情報元のブックマーク

トラブル中らしい

大手カード会社「三菱UFJニコス」は、システム関連の機器の故障でコンビニエンスストアでの公共料金などの収納代行サービスで最大で57万件に上る入金データの通知の遅れなどトラブルが発生していることを明らかにしました。

「三菱UFJニコス」によりますと、先月26日にシステム関連機器が故障し、決済業務などにトラブルが生じているということです。

具体的には、コンビニエンスストアで三菱UFJニコスの収納代行サービスを利用した際に、税金や公共料金、商品の購入代金などを支払ったにもかかわらず、自治体や商品を販売した会社への入金データの通知などが遅れるケースが最大で57万件に上るとしています。このため入金が確認できないとして支払いを督促されるトラブルも起きているということです。

エラー|NHK NEWS WEB

screenshot

[][]またも、macOSにどんなパスワードでも通るバグ発見 | TechCrunch Japan

情報元のブックマーク

設定変更できるのがAppStoreの設定だけなので、影響は少ないかもしれないが・・・ひどいな・・・

MacRumorsがmacOS High Sierraの現行バージョンに関するバグレポートを発見した。システム環境設定のApp Store設定画面で、〈どんな〉パスワードをタイプしてもロック解除できてしまう。Appleは次期macOS High Sierraアップデートのベータ版でこのバグをすでに修正していることが報告されている。

このバグは、悪名高きあのrootログインバグと比べてはるかに深刻ではないが、John Gruberが書いているように、これはかなり恥ずかしい。パスワードプロンプトとmacOSにいったい何が起きているのか?

自分で試してみたい人のために言うと、私はごく簡単に再現できた。システム環境設定を開き、App Store設定へ行き、南京錠アイコンを見る。ロックがはずれていたら、まずロックしてからやってみるとどんなパスワードでもロック解除できる。

またも、macOSにどんなパスワードでも通るバグ発見 | TechCrunch Japan

関連URL

「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」 - CNET Japan

screenshot

[][]セキュリティ界隈の方々って誰をフォローしてるの? - nanka iroiro

情報元のブックマーク

面白い試み、ssmjpの参加Twitterアカウントから誰をフォローしているかランキング。そして11位!!!意味がわからん・・・

やったこと

twitterをはじめてみたはいいものの誰をフォローしてよいか分からなかったので,セキュリティ界隈の方々のフォロー一覧を取得して集計することにより,フォローする方を決めてみました.

対象ユーザ

今回は#ssmjpのメンバーから以下の条件に当てはまる322名の方々を対象としました.

  1. ssmjpに2回以上参加している
  2. 最終参加日が2015年1月1日以降
  3. twitterと連携している
  4. twitterが鍵垢ではない
セキュリティ界隈の方々って誰をフォローしてるの? - nanka iroiro

screenshot

[][]2017年に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ

情報元のブックマーク

参考になる!

2017年に公開されたセキュリティ関連文書まとめ

ルールは以下。

  • 公共性の高いものを載せています
  • WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません
2017年に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ

screenshot

[][]子どものiPhone、親が遠隔管理 KDDI (朝日新聞デジタル) - Yahoo!ニュース

情報元のブックマーク

どういう技術でやるのかなぁ・・・・

KDDI(au)は9日、子どもが使うiPhoneを保護者が自分のスマートフォンパソコンから管理できるサービスを25日に始めると発表した。「LINE」やゲームなどのアプリを使えなくしたり、前日の利用状況を確認したりでき、子どもが制限を破ろうとすると保護者に通知される仕組みだ。

 iPhoneには、端末に直接パスワードを入力してアプリの使用を制限する機能があり、新サービスはこの機能をネット経由で遠隔操作する仕組み。同様のサービスは、アンドロイド端末では各社が提供しているが、iPhoneでも初めて実現するという。

no title

screenshot

[][]Wifi-Alliance®がWPA3を発表。2018年後半に詳細公開予定。 - 忙しい人のためのサイバーセキュリティニュース

情報元のブックマーク

WPA3がリリース予定とのこと

WPA3の詳細に時期は未定だが、2018年後半に詳細が公開されるようだ。

そのため、この記事では現段階で明らかになっている事のみ紹介する。

Wifi-Alliance®が公表しているWPA3に関する機能については、以下の4つが明らかになっているようだ。

  1. 総当たり攻撃に対するプロテクション
  2. 任意の端末で別端末のNW参加する際の認証を可能に
  3. 端末⇔ルータ間の通信を暗号化
  4. 鍵長を192bitへ
  5. 各項目に関して簡単に見ていこう。
Wifi-Alliance®がWPA3を発表。2018年後半に詳細公開予定。 - 忙しい人のためのサイバーセキュリティニュース

関連URL

screenshot

当ページでは、掲載内容による不具合、問題に関する責任もちません、内容が正確である保障もできません。m(__)m
各自の自己責任で、情報の確認をお願いします

毎日のトップに掲載されている今日の記念日は、MIEさんのページから頂いております。ありがとうございます。