Hatena::ブログ(Diary)

まっちゃだいふくの日記★とれんどふりーく★ このページをアンテナに追加 RSSフィード Twitter

カレンダー
<< 2018/05 >>
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

このBlogは個人的に収集しているセキュリティ情報や製品情報について書いています。
各ウイルスバスターの不具合やBlogでの反応:クラウド(2015)クラウド(2014)クラウド(2013)201220112011続き201020092008
情報なし:20162017
日本の情報セキュリティ勉強会ポータルサイト

2018年05月09日(水曜日) アイスクリームの日

ripjyr2018-05-09

[][]内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得 - ITmedia NEWS

情報元のブックマーク

ドメインの供養料ってTwitterで書かれてた。

内閣府のWebサイトから、「恋人作るより風俗嬢」というWebサイトリンクが張られている――5月9日、こんな情報ネットを駆け巡った。

 内閣府がかつて運営していたWebサイトドメインが失効した後、第三者がそのドメインを再取得し、新たにサイトを設置したことが原因。外部から指摘を受けた内閣府は9日昼、問題のリンクがあったページを削除した。「対応が後手に回り、申し訳ない」と担当者は話している。

内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得 - ITmedia NEWS

関連URL

screenshot

[][]iOS 11のiPhoneで特定のUnicodeをメッセージアプリで処理するとシステムがフリーズする「Black Dot」バグが発見される。 | AAPL Ch.

情報元のブックマーク

メモ

iPhoneメッセージアプリAndroidのWatsAppで特定のUnicode処理するとシステムがフリーズする「Black Dot」バグが発見されたそうです。詳細は以下から。

 9to5MacやEverythingAppleProのFilipさんによると、特定のUnicodeの組み合わせをiPhoneメッセージアプリAndroidのWatsAppで処理すると、システムをフリーズまたはクラッシュさせることが出来る通称「Black Dot」というバグが発見されたそうです。

no title

screenshot

[][]Apple、macOS 10.13.4 HSのセキュリティアップデート 2018-001で悪意のあるアプリがカーネル権限を取得できる脆弱性「CVE-2018-8897」を修正したと発表。 | AAPL Ch.

情報元のブックマーク

5月8日に4月にセキュリティアップデートの詳細を公開。

Appleは現地時間2018年05月08日、04月24日にリリースしたmacOS 10.13.4 High Sierra向けの「セキュリティアップデート 2018-001」の詳細をアップデートし、同アップデートで悪意のあるアプリカーネル権限を取得し、任意のコードを実行できる脆弱性「CVE-2018-8897」を修正したと発表しています。

no title

screenshot

[][]Microsoftの月例更新プログラム公開、既に悪用の脆弱性も - ITmedia NEWS

情報元のブックマーク

MSパッチ出ました。

Microsoftは5月8日(日本時間9日)、5月の月例セキュリティ更新プログラムを公開し、WindowsやInternet ExplorerIE)などの脆弱性に対処した。一部の脆弱性は既に悪用が確認されていることから、対応を急ぐ必要がある。

 Microsoftセキュリティ情報によると、更新プログラムの対象となるのは、Internet ExplorerIE)、Edge、WindowsOfficeOffice Services/Web Apps、ChakraCore、.NET FrameworkExchange ServerWindows Host Compute Service Shim、及びAdobe Flash Playerの各製品。

 このうちWindowsWindows Server、IE、Edge、.NET Framework、ChakraCoreなどに、深刻度がMicrosoftの4段階評価で最も高い「緊急」の脆弱性が存在する。一方、Officeなどの脆弱性の深刻度は、上から2番目に高い「重要」に分類されている。

Microsoftの月例更新プログラム公開、既に悪用の脆弱性も - ITmedia NEWS

2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響 | Ask CORE

まっちゃだいふくさんのツイート: "2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響 | Ask CORE https://t.co/XQJcNoTKeu フローにすると、こんな感じかな。2018年05月09日 AM02:00のリリースのパッチでトラブル前に対応と確認を!…

f:id:ripjyr:20180503083202j:image

不具合じゃなくって仕様だから!

CredSSP の脆弱性情報 CVE-2018-0886 対策のためリリースされた更新プログラムの不具合によってリモートデスクトップ接続できなくなる事象が発生しているようです。

no title

関連URL


screenshot

[][]「NIST SP 800-171」で米国政府並みの厳しいセキュリティ基準を満たせる、RSAが解説 | IT Leaders

情報元のブックマーク

72時間以内に報告義務

NIST SP 800-171への対応は、レジリエンス(攻撃を受けても回復してビジネスを継続する力)のために有効だという。レジリエンスは重要な指針であり、日本を含む諸外国が国家レベルで取り組んでいる。日本セキュリティの基本政策を2015年に打ち出し、13分野を重要インフラとして定めている。

no title

会見では、要求事項のうちインシデント対応について詳しく説明した。インシデント対応の準備に関しては、大きく4つの要求がある。(1)ポリシーを整備する(無いなら作る、あるなら見直す)、(2)人材を雇ったり育成したりする、(3)組織を整備する、(4)ツールや技術を用意する、―である。

 インシデント対応の準備においては、大前提としてインシデントの状況を可視化できていることが重要になる。NIST SP 800-171では、重要なインシデントについては、72時間以内に報告する義務を課している。多くの情報を72時間以内に取得して整理してレポート化するためには、ツールや技術が重要になるという。

no title

screenshot

[][][速報]ChromebookがLinuxの実行を正式サポート。Android Studioも実行可能に。Google I/O 2018 − Publickey

情報元のブックマーク

ChromebookでのLinuxの実行をサポート

Googleは、サンフランシスコで開催中のイベント「Google I/O 2018」で、開発者向けにChromebookでのLinuxの実行をサポートすると発表しました。

ChromebookLinuxをサポートするとの発表と同時に会場から歓声があがった Chromebook上でのLinuxは、Chromebook専用に開発された仮想マシン内でセキュアに実行されます。

Linuxの実行環境はChromebookと統合されており、アイコンクリックすると瞬時に起動。ウィンドウはデスクトップ上を自由に移動可能で、Linuxアプリケーションからファイルを直接開くことも可能。

no title

screenshot

[][]斬新でおもしろい!佐波川で泳ぐ『水中鯉のぼり』がキレイだと話題に | FUNDO

情報元のブックマーク

すごい!

今回ご紹介する鯉のぼりは、なんと水中に泳いでいるのです!

その水中鯉のぼりが見られたのは山口県防府市にある佐波川(さばがわ)。毎年ゴールデンウィーク期間中限定で行われるそうです。

斬新でおもしろい!佐波川で泳ぐ『水中鯉のぼり』がキレイだと話題に | FUNDO

screenshot

[][]【更新終了】「Google I/O 2018」リアルタイム更新:Google アシスタントが良アップデート。便利なAIがもっと身近に #io18 | ギズモード・ジャパン

情報元のブックマーク

メモ

今回はAIを活用した発表内容がとても多かった印象です。たとえば、Google アシスタントがお店にアポの電話をしてくれるデモなんて「近未来SFかよ!」ってな衝撃を受けました…。他にもGoogle Lensでカメラをテキストやモノにかざせばリアルタイムで検索してくれたり、ディスプレイつきGoogle Homeが7月に発売されたりと、AIを身近に感じさせてくれるものばかりでした。

no title

screenshot

[][]イギリスの警察が導入した顔認証システムが2300人を犯罪者と誤認 - Engadget 日本版

情報元のブックマーク

メモ

警察の顔認証について、なぜそれほど懐疑的で、信頼性の低さに一因があるとの批判が多いのを評論家に聞いてみましょう。もし、この技術が無実の人を選んでしまったらどうするのでしょうか。残念なことに、そうした危険性は前からある程度警告されていました。 イギリスの南ウエールズ警察は、2017年、サッカー・チャンピオンズリーグ決勝戦の際に行った顔認証の実証試験の結果、数千人の人を犯罪者の可能性があると間違って特定してしまったという報告に、批判が集まっています。最初に人相が一致した2470人のうち、2297人が誤って確定されていました。その割合は約92パーセントです。

イギリスの警察が導入した顔認証システムが2300人を犯罪者と誤認 - Engadget 日本版

screenshot

[][]日本初 運賃無料“タクシー”運行へ 「15歳起業」の若手実業家が新会社(1/2ページ) - 産経ニュース

情報元のブックマーク

無料の配車・運行サービス

日本で初めての無料の配車・運行サービスを始めることが分かった。利用者は専用のアプリを使って配車を受け、車内のディスプレーに店や商品などの情報が流される。走る広告塔として、運賃に当たる運行コストは広告のスポンサーが負担する仕組み。8日に正式に発表する。(大塚昌吾)

 新会社は「nommoc(ノモック、福岡市)」で、社長は15歳で大型イベントの映像演出などを手がけるセブンセンスを設立した吉田拓巳氏。

日本初 運賃無料“タクシー”運行へ 「15歳起業」の若手実業家が新会社(1/2ページ) - 産経ニュース

screenshot

[][]sakura.ioのオプション品「IchigoSoda」販売開始のお知らせ | さくらインターネット

情報元のブックマーク

IchigoJam互換のIchigoSodaを販売とのこと。

本日2018年5月7日より、IoTプラットフォームサービスsakura.io」の新オプション 品として、「IchigoSoda」を販売いたします。

 「sakura.io」は、モノとネットワークでデータを送受信するための「sakura.ioモ ジュール」、通信環境、データの保存や連携処理に必要なシステムを一体で提供するIoT のプラットフォームサービスです。

 「IchigoSoda」は、sakura.ioモジュール接続可能なコネクタを具備した、シング ルボードコンピューターIchigoJam」の互換機です。より簡単にsakura.ioモジュー ルとIchigoJamを組み合わせ、プログラミング言語BASICを用いたIoTデバイスの検証、開 発ができるようになります。

 本製品はsakura.ioモジュールとセットでご利用いただくもので、1台の「IchigoSoda」 に対してさくらの通信モジュールが1台必要となります。

no title

screenshot

[][]情報漏えいニュース : 大阪府立高校、個人情報含む書類を誤廃棄

情報元のブックマーク

誤廃棄

大阪府立牧方なぎさ高等学校にて個人情報を含む書類を誤廃棄により紛失。同校にて前身である府立牧方西高等学校の卒業生に関する個人情報が記載されていた保存年限が残っている指導要録を誤廃棄により紛失した。

廃棄作業中に、当該文書が20年であることに気づき誤廃棄が発覚。確認したところ既に782件を廃棄していることが発覚した。当該文書は規則により20年保存を定められていたが、保存満了年月の確認を怠ったこと、指導要録の廃棄簿にある文書のうち廃棄対象のみに廃棄を示す印を押すべきところ、確認せずに当該文書にも押印をしたこと等が原因である。同校は、対象の卒業生にお詫びを行った。

情報漏えいニュース : 大阪府立高校、個人情報含む書類を誤廃棄

screenshot

[][]ブロックチェーンセキュリティ最前線:金融ITフォーカス | 野村総合研究所(NRI)

情報元のブックマーク

ブロックチェーンの勉強になる。

セキュリティ

ブロックチェーンセキュリティ最前線

PDFを別ウィンドウで開きます(729KB)

田篭 照博

仮想通貨取引所に代表されるブロックチェーン関連ビジネスが盛り上がりを見せている一方で、セキュリティに問題があり、被害を受けるケースも増えている。ブロックチェーンを活用したシステムを開発する場合は、攻撃者視点にたち、多層防御を取り入れた上での、アーキテクチャ運用設計のリスクベースによる評価が必要である。

金融ITフォーカス | 野村総合研究所(NRI)

screenshot

[][]Google、5月のAndroidセキュリティ情報を公開 NVIDIAコンポーネントの脆弱性などを修正 - ITmedia エンタープライズ

情報元のブックマーク

5月のAndroidセキュリティパッチが出てます。

Googleは5月7日、Androidの月例セキュリティ情報を公開した。端末メーカーなどのパートナーには、少なくとも1カ月前に通知済み。パートナー各社からユーザーの端末向けにパッチが配信される。

 Android脆弱性に対処するセキュリティパッチは、今月も「2018-05-01」「2018-05-05」の2本が公開された。「2018-05-05」以降のパッチで全ての問題が修正される。

Google、5月のAndroidセキュリティ情報を公開 NVIDIAコンポーネントの脆弱性などを修正 - ITmedia エンタープライズ

screenshot

[][]報道された監視カメラの不正アクセス問題について|PLANEX

情報元のブックマーク

PLANEXの監視カメラの件

2018年5月7日、自治体が設置した監視カメラの不正アクセス問題が報道されました。 弊社のネットワークカメラに関しても、不正アクセスの可能性に関するお問い合わせを頂いておりますので、下記の通り、ご説明させて頂きます。

弊社ネットワークカメラはセキュリティーを最重視し、外部からの不正アクセスを防ぐとともに、日本国内に自社サーバーを構築して運用しております。

また、パスワードサーバー側に保持せず、お客様がお持ちのネットワークカメラ側に保存して認証される仕組みになっております。 従って、ネットワークカメラのアクセスコード(UID)とパスワードをご存知の方以外の視聴は完全にブロックされます。

報道された監視カメラの不正アクセス問題について|PLANEX

screenshot

[][]Google Developers Japan: ウェブ上の安全なアプリのホーム、.app のご紹介

情報元のブックマーク

.appドメインGoogleアプリむけにHTTPS前提のTLDらしい

本日(*原文公開当時)は、Google Registry の最新トップレベル

ドメインTLD)、.app についてお知らせします。

TLD とは、ドメイン名の最後の部分のことで、たとえば「www.google.com」の .com や、「blog.google」の .google を指します。.app は、アプリアプリのデベロッパーのための特別な TLD として作成されました。アプリ世界に向けて公開する際に役立つよう、セキュリティを強化しています。

モバイルアプリ世界で働いてきた方にも、ウェブ上にホームがあれば何かと役に立つはずです。覚えやすい .app ドメイン名を使えば、皆さんのアプリは見つけやすくなり、より詳しく知ってもらえるようになります。この新しいドメインランディング ページとして使い、信頼できるダウンロード リンクを共有したり、ユーザーに最新情報を提供したり、アプリ内コンテンツへのディープリンクを設定することもできます。

.app ドメインの主なメリットの 1 つに、皆さんとユーザー、両方のためのセキュリティが組み込まれている点が挙げられます。他のドメインと大きく異なるのは、.app ウェブサイトへの接続には HTTPS が必須になる点です。これは、不正な広告ソフトウェアISP によるトラッキングからの保護に役立つだけでなく、オープン Wi-Fi ネットワークを使った盗聴からも保護することができます。.app は、セキュリティを強制する初めての一般登録可能な

TLD であり、ウェブすべてが HTTPS という未来に向けた大きな一歩となります。

Google Developers Japan: ウェブ上の安全なアプリのホーム、.app のご紹介

screenshot

[][]春・夏の「モネの池」(岐阜県関市)へマイカーで行く人は必見!これは都会では味わえないですね。 : 私のなんでも日記

情報元のブックマーク

すごい!!!岐阜すごい!!!

モネの絵画「睡蓮」を想起させる観光スポットとして、一昨年の秋から人気急上昇中の「モネの池」(岐阜県関市板取)。この春・夏に、関市のモネの池に行かれる方は必見。後半には、モネの池にいるハート模様の鯉❤️そしてV字模様の鯉も登場しますよそのほか、モネの池周辺の観光スポット飲食店情報、新名物「日本アイス情報も載せてみましたよ関東中部関西方面からの観光ツアーもドンドン増えていますよ。

春・夏の「モネの池」(岐阜県関市)へマイカーで行く人は必見!これは都会では味わえないですね。 : 私のなんでも日記

screenshot

[][]東京地下鉄立体路線図をARでつくってみた|川島優志|note

情報元のブックマーク

AR東京地下鉄の路線図!!!すごい!

そうか、置く場所がない。じゃあ、どうしたらいいだろう。 その時ひらめきました。そうだ、ARで作れば、部屋に置いても物理的場所はまったくとらないじゃないか!

さっそく作ることにしました。調べてみると、東京地下鉄路線の駅の標高を調べて3D表現したデータを作った方がいました。

note ご指定のページが見つかりません

screenshot

[][]技術書典4で販売された「DNSをはじめよう」をフォローする感じの記事にしたい - Qiita

情報元のブックマーク

メモ

技術書典4にて「DNSをはじめよう」が販売され、400部あったはずの紙の本の在庫がなくなり、その後まもなくしてダウンロード用のカードも溶けるようになくなるという現象が発生しました。 自分も午後に会場入りして買いに行ったら「ダウンロード版も売り切れた」と言われショックを受けるものの、ダウンロード版については追加生産をしているとの事なので、ほどなくして再度ブースを伺ったら無事に買う事ができました。 尚、今現在もBOOTHにてPDF版が販売されています。

内容については「さぁDNS!」…の前にドメイン名の取得から丁寧に書いており、ドメイン名の取得からDNS設定の流れを体感するにはちょうどいい本ではないかなと。 なお、ドメインを利用する為にはレジストラやどこかのリセラー経由で登録料を払いドメイン名を登録してもらう必要があり登録手順も様々であるなか、お名前.comからの取得を例にして説明しています。DNSAWSのRoute53を例に説明。お名前.comとRoute53はたぶん日本ではメジャーな組み合わせじゃないかなと思う。

no title

screenshot

[][]Twitterが全利用者にパスワード変更を呼び掛け。バグで平文保存が発覚 - Engadget 日本版

情報元のブックマーク

Twitterバグログパスワードがでちゃう問題があったそうで、パスワード変更を呼びかけています

Twitterが、バグでユーザーのログインパスワードを平文(一方向暗号化なし)のまま保存していたことを明らかにしました。

バグはすでに修正しており、現時点で社外への流出や悪用は確認できないものの、念のためTwitterパスワードと、他サービスでも使いまわしていた場合はそちらもあわせて変更を検討するよう求めています。

Twitterはあくまで「ご検討ください」としか言っていませんが、何をどう検討すればいいのか分からないけれど不安という場合、

Twitterパスワードを長く推測されにくいものに変更 ・同じパスワードを使いまわしていた場合、そもそも危険なので別のものに変更

Twitterが全利用者にパスワード変更を呼び掛け。バグで平文保存が発覚 - Engadget 日本版

screenshot

[][]2018-03-30 技術導入とその運用設計を考える 〜 過去と未来と — OpsLab

情報元のブックマーク

羽多野さんの資料。後で読む

2018年3月30日開催の持続可能なモノづくり・人づくり支援協会 (ESD21) 特別フォーラム「持続可能な技術を考える」における発表資料です。

イベントページ: https://www.esd21.jp/news/2018/03/sit-forum.html

no title

screenshot

[][]サイバーセキュリティクラウド cloudpackを提供するアイレットと販売代理店契約を締結 〜2018年5月8日(火)より「 WafCharm 」販売開始〜:時事ドットコム

情報元のブックマーク

アイレットが攻撃遮断くんを提供しているサイバーセキュリティクラウドと協業らしい

Webセキュリティサービス「攻撃遮断くん」を提供する株式会社サイバーセキュリティクラウド(本社:東京都渋谷区、代表取締役:大野 暉、以下「サイバーセキュリティクラウド」)は、アマゾン ウェブ サービスAWS)を基盤とした24時間365日のフルマネージドサービスを提供するcloudpack(クラウドパック)をはじめ、システムやアプリケーションの開発などを手掛けるアイレット株式会社(本社:東京都港区、代表取締役社長:齋藤 将平、以下「アイレット」)と代理店契約を締結いたしました。

アイレットはサイバーセキュリティクラウドとの代理店契約により、Webセキュリティサービス「攻撃遮断くん」で蓄積した数千億件のビックデータの活用により、Webサイトごとに最適なシグネチャを提供可能とする技術※1とサポート力を合わせた「WafCharm 」販売を開始いたします。

https://www.jiji.com/jc/article?k=000000081.000009107&g=prt:title

screenshot

[][]Win10の4月末更新でChromeがフリーズする不具合、5月8日の更新で対応。MSは一時対処法も紹介 - Engadget 日本版

情報元のブックマーク

メモ

マイクロソフトが4月末にリリースした、Windows 10の大型アップデートWindows 10 April 2018 Update』。今回同社が、アップデート後にGoogle Chromeや音声アシスタントCortanaなど、特定のアプリケーションを使用している際に、一部の端末がフリーズないしハングアップする問題を認識していると明らかにしました。

この問題の対応は、5月8日(米国時間)に予定している次期アップデートで解消すべく、取り組んでいるとのこと。また、現時点で端末がフリーズした場合に、再起動することなくWindowsを復旧する手順を公開。『Win+Ctrl+Shift+B』という、興味深いショートカットキーに関しても触れられています。

Win10の4月末更新でChromeがフリーズする不具合、5月8日の更新で対応。MSは一時対処法も紹介 - Engadget 日本版

screenshot

[][]生徒の個人情報約350人分紛失|NHK 東海のニュース

情報元のブックマーク

紛失。

愛知県豊田市の県立高校が、生徒の名前や家族の連絡先などが記載された約350人分の書類を紛失していたことがわかり、学校は、7日、生徒らに謝罪しました。 書類を紛失したのは豊田市にある県立豊田南高校です。 愛知県教育委員会によりますと、高校では、ことし2月、生徒らの進級に向けて、書類を整理していたところ、いまの3年生全員にあたる348人分の緊急連絡先カードが無くなっているのがわかりました。 緊急連絡先カードは災害が起きた際、学校が生徒の保護者と連絡を取るためのもので、生徒と家族の名前や住所、それに電話番号などの個人情報が記載されているということです。

エラー|NHKオンライン

screenshot

[][]ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelgänging」を利用したマルウェアの存在が確認される - GIGAZINE

情報元のブックマーク

メモ

セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelgänging(プロセス ドッペルギャンギング)」が、2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgängingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelgänging」を利用したマルウェアの存在が確認される - GIGAZINE

(PDFファイル)Process Doppelgängingは「Process Hollowing(プロセス ハロウィング)」に類似したコードインジェクションツールで、悪意あるコードがプロセスを強制的に停止させ、代替コードを注入するハッキング技術です。Process HollowingではWindowsの「explorer.exe」などの正当かつごく一般的なプロセスを悪意のあるコードの隠れみのにしますが、実行ファイルの命令はメモリに直接書き込まれるため、セキュリティ対策ソフトによる検出が可能です。これに対して、Process Doppelgängingではメモリに書き込むことはせずストレージ上でNTFSトランザクション始動してマルウェアなどに命令を出します。その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelgänging」を利用したマルウェアの存在が確認される - GIGAZINE

screenshot

当ページでは、掲載内容による不具合、問題に関する責任もちません、内容が正確である保障もできません。m(__)m
各自の自己責任で、情報の確認をお願いします

毎日のトップに掲載されている今日の記念日は、MIEさんのページから頂いております。ありがとうございます。