Hatena::ブログ(Diary)

まっちゃだいふくの日記★とれんどふりーく★ このページをアンテナに追加 RSSフィード Twitter

カレンダー
<< 2018/10 >>
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

このBlogは個人的に収集しているセキュリティ情報や製品情報について書いています。
各ウイルスバスターの不具合やBlogでの反応:クラウド(2015)クラウド(2014)クラウド(2013)201220112011続き201020092008
情報なし:20162017
日本の情報セキュリティ勉強会ポータルサイト

2018年10月02日(火曜日) 豆腐の日

[][]【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT

(情報元のブックマーク

Coldfusion脆弱性を狙う攻撃が出てるらしい

ColdFusion」に複数の深刻な脆弱性が明らかとなり、Adobe Systemsでは9月にアップデートを公開したが、一部脆弱性が早くも悪用されていることがわかった。同社は適用優先度を急遽引き上げ、利用者へ適用を呼びかけている。

無制限でファイルアップロードが可能となり、コードを実行されるおそれがある「CVE-2018-15961」に関して、悪用されたとの報告を同社では認知しているという。

同社は同脆弱性に対し、各社が定例のセキュリティアップデートを公開する米時間第2火曜日、いわゆる「パッチチューズデー」にあたる9月11日アップデートリリース

【セキュリティ ニュース】「ColdFusion」狙う攻撃が発生、早急に更新を - 適用優先度を急遽最高値に引き上げ(1ページ目 / 全1ページ):Security NEXT

screenshot

[][]Adobe Acrobat/Readerに脆弱性、Adobeがセキュリティアップデート公開を予告 - ITmedia エンタープライズ

(情報元のブックマーク

メモ

Adobe Systemsは、WindowsmacOS向けに、Adobe Acrobat(以下、Acrobat)とAdobe Acrobat Reader(以下、Reader)のセキュリティアップデートを米国時間の2018年10月2日に公開すると予告した。

 Adobe Systemsセキュリティ情報によると、10月2日アップデートでは、複数の脆弱(ぜいじゃく)性の修正を予定している。脆弱性が存在するのは、Acrobat DC/Reader DCの連続トラックの2018.011.20063までのバージョンと、Acrobat 2017/Reader DC 2017のクラシック2017トラックの2017.011.30102までのバージョン、およびAcrobat DC/Reader DCのクラシック2015トラックの2015.006.30452までのバージョン。優先度は「2」に分類されている。

no title

screenshot

[][]macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘 - ITmedia エンタープライズ

(情報元のブックマーク

Mojaveに脆弱性

Apple9月24日に公開したmacOSの新バージョン「Mojave」(10.14)について、ユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、著名セキュリティ研究者のパトリック・ウォードル氏がデモ映像を公開した。

 Appleは同日公開したセキュリティ情報で、Mojaveでは8件の脆弱性を修正したことを明らかにしているが、この中にウォードル氏の指摘する脆弱性は含まれていない。

 ウォードル氏がVimeoに掲載したデモ映像では、脆弱性を突いてユーザーアドレス帳の場所を突き止め、プライバシーアクセス制限をかわして、アドレス帳の全内容をデスクトップコピーすることに成功したと報告。Appleに連絡しようとしたが、macOS脆弱性情報提供を募るバウンティプログラムが見つからなかったとしている。

no title

関連URL

screenshot

[][]「Chrome 69」からGoogleサービス利用でChromeへのログインが必須に - ITmedia NEWS

(情報元のブックマーク

Chrome69からゲストモードダメになるのか

Google9月4日(現地時間)にアップデートしたWebブラウザChrome 69」から、新機能としての告知なしに変更されたある機能が、一部のユーザー問題視したことで明らかになった。

 Chromeブラウザで「Gmail」や「Google Keep」などのGoogleサービスログインすると、自動的Chromeにもログインするようになったのだ。

 従来は、Chromeへのログインとその他のGoogleサービスログインは独立していたが、Chrome 69からは同時にログインすることしかできず、Chromeでログアウトすると、Gmailなどからもログアウトする。

no title

screenshot

[][]「ONE PIECE」をPerfectDarkにアップロードし、逮捕(ACCS) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

(情報元のブックマーク

岐阜県警

社団法人コンピュータソフトウェア著作権協会(ACCS)は9月25日、岐阜県警生活環境課サイバー犯罪対策室と揖斐署が9月19日ファイル共有ソフト「PerfectDark」を通じて、漫画作品を権利者に無断でアップロードし送信できる状態にしていた、京都府の無職男性(54歳)を著作権法違反(出版権侵害)の疑いで岐阜地検大垣支部に送致したことを、著作権侵害事件として発表した。

「ONE PIECE」をPerfectDarkにアップロードし、逮捕(ACCS) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

screenshot

[][][セキュリティ基本対策 5 か条] 第 3 条 アカウントやパスワードを管理する – 日本のセキュリティチーム

(情報元のブックマーク

第3弾!

今日はセキュリティ基本対策 5 か条の第 3 条「アカウントパスワードを管理する」についてご紹介します。

第 1 条 最新の状態で利用する

第 2 条 アクションセンターで PC のセキュリティメンテナンス状況に問題がないかを確認する

第 3 条 アカウントパスワードを管理する

第 4 条 暗号化を行う [Coming soon]

第 5 条 バックアップの取得を設定する [Coming soon]

[セキュリティ基本対策 5 か条] 第 3 条 アカウントやパスワードを管理する – 日本のセキュリティチーム

screenshot

[][]Mozilla、情報漏洩の被害に遭ってないかをチェックする“Firefox Monitor”をリリース - 窓の杜

(情報元のブックマーク

FirefoxMonitor面白そう。

Mozilla9月25日(米国時間)、個人情報の侵害を警告するWebサービスFirefox Monitor(monitor.firefox.com)”をリリースした。メールアドレスを入力するだけで、パスワードをはじめとする機密情報の漏洩がないかどうかをチェックすることが可能。メールアドレスを登録しておけば、情報漏洩の被害にあった場合に警告を受け取ることもできる。

Mozilla、情報漏洩の被害に遭ってないかをチェックする“Firefox Monitor”をリリース - 窓の杜

関連URL

screenshot

[][]自動車サイバーセキュリティ事業の合弁会社を設立(デンソー、NRIセキュア) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

(情報元のブックマーク

デンソーとNRIセキュアテクノロジーズが車セキュリティの合弁会社を!

株式会社デンソーとNRIセキュアテクノロジーズ株式会社(NRIセキュア)は9月27日、車載電子製品のセキュリティ診断を中心としたサイバーセキュリティ事業を行う合弁会社「株式会社NDIAS」(エヌディアス)を設立することに合意したと発表した。新会社の資本金は1億円で、デンソーとNRIセキュアがそれぞれ50%出資し、2018年12月に設立する予定。

自動車サイバーセキュリティ事業の合弁会社を設立(デンソー、NRIセキュア) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

screenshot

[][]Western Digitalのパーソナルクラウドにパスワード回避の欠陥 | TechCrunch Japan

(情報元のブックマーク

メモ

人気のクラウドストレージドライブ脆弱性が見つかったことをセキュリティ研究者が公表した。メーカーは一年以上セキュリティパッチを発行していない。

Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカードライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。

この欠陥は、ドライブウェブベースダッシュボードユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスアタッカーに与えるために発生する。

バグは「容易に」利用できる、とVermerlenはメールでTechCrunchに語った。My Cloudデバイスインターネット経由のリモートアクセスを許可していれば、遠隔地からも侵入可能になる——数万台のデバイスが許可している。彼はこの脆弱性利用の概念実証ビデオTwitterで公開した。

Western Digitalのパーソナルクラウドにパスワード回避の欠陥 | TechCrunch Japan

screenshot

[][]データセンターと通信への影響、北海道地震で生かされた経験 | 日経 xTECH(クロステック)

(情報元のブックマーク

メモ

札幌市内やその近郊には複数のデータセンター事業者が拠点を構えている。2018年9月6日に発生した北海道胆振東部地震による道内全域の停電でこれらのデータセンターも外部からの電力供給が断たれたが、大半はUPS(無停電電源装置)や自家発電機への切り替えに成功。大きなトラブルはなかった。

 自家発電機の稼働に必要な燃料について、NECや富士通は72時間分、日本ユニシスも「非公表だが当面の稼働に十分な量」(広報)をセンター内に備蓄していたという。この結果、地震当日の9月6日から翌7日にかけて北海道電力が送電を再開するまで、サーバーの稼働を継続できた。

no title

screenshot

[][]Windowsの「WaitList.dat」がメールの情報など保存?--専門家がリスク想定も - ZDNet Japan

(情報元のブックマーク

メモ

このファイルは「WaitList.dat」という名称で、デジタルフォレンジックおよびインシデントレスポンス(DFIR)の専門家であるBarnaby Skeggs氏によると、スタイラスやタッチスクリーンを使って書き込んだ文字をフォーマット済みのテキストに自動で変換する手書き認識機能を有効にしたタッチスクリーン対応のWindows PCでのみ見つかっているという。

 手書き入力をフォーマット済みテキストに変換する機能は「Windows 8」から加わっているため、WaitList.datファイルは何年も前から存在していることになる。

Windowsの「WaitList.dat」がメールの情報など保存?--専門家がリスク想定も - ZDNet Japan

screenshot

[][]「Adobe Reader」「Acrobat」に「攻撃リスクの高い」脆弱性(JPCERT/CC、IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

(情報元のブックマーク

メモ

一般社団法人 JPCERT コーディネーションセンターJPCERT/CC)は9月20日、「Adobe Reader および Acrobat脆弱性(APSB18-34)に関する注意喚起」を発表した。独立行政法人 情報処理推進機構(IPA)も、「Adobe Acrobat および Reader脆弱性対策について(APSB18-34)(CVE-2018-12848等)」を発表している。これはアドビ社の発表を受けたもの。

対象となるのは、Windows版およびMacintosh版の「Acrobat Reader DC Continuous(2018.011.20058)およびそれ以前」「Acrobat Reader 2017 Classic 2017(2017.011.30099)およびそれ以前」「Acrobat Reader DC Classic 2015(2015.006.30448)およびそれ以前」「Acrobat DC Continuous(2018.011.20058)およびそれ以前」「Acrobat 2017 Classic 2017(2017.011.30099)およびそれ以前」「Acrobat DC Classic 2015(2015.006.30448)およびそれ以前」。

「Adobe Reader」「Acrobat」に「攻撃リスクの高い」脆弱性(JPCERT/CC、IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

screenshot

[][]サイバーインテリジェンス、サービスの実力と利用料金 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

(情報元のブックマーク

メモ

Google などで検索できる一般のウェブサイトだけでなく、ID とパスワードが求められるディープウェブや Tor を用いてアクセスするダークウェブまで、広くネット上の情報を収集・分析・評価し、自組織のセキュリティ対策や経営判断の材料となる知見を提供するサービスを「脅威インテリジェンス」「サイバーインテリジェンス」または単に「インテリジェンス」などと呼ぶ。本稿は、いくつかのインテリジェンスサービスの取材をもとに、提供される情報の内容や活用方法、提供価格についてレポートする。

サイバーインテリジェンス、サービスの実力と利用料金 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

screenshot

[][]JR西日本、京都駅構内でWi-Fiパケットセンサー流動調査 | 鉄道ニュース | 鉄道チャンネル

(情報元のブックマーク

スマホNシステム見たい

JR西日本は、Wi-Fiパケットセンサーによる利用者数や滞留時間などの観測調査を実施する。

調査期間は9月28日から12月下旬ごろまで。

おもな調査目的は、京都駅構内のユーザー利用状況の把握。安全性、快適性の向上など。

調査は、京都駅構内に約30機の観測機を設置。観測機の設置箇所周辺には、ステッカー(例:下の画像)を貼って利用者に知らせる。

観測方法は、利用者が持つスマートフォンゲーム機パソコンなどが発するWi-Fi信号(パケット)を受信。

信号に含まれる端末識別情報MACアドレス)には匿名化・暗号化処理を行い、個人が特定できない情報に変換して計測・収集する。

この識別情報を含む信号には、通信内容や名前、電話番号メールアドレスなどの個人情報は一切含まれない。

記録されたデータから個人が特定されることはない。また通信内容を傍受するものではない。

JR西日本、京都駅構内でWi-Fiパケットセンサー流動調査 | 鉄道ニュース | 鉄道チャンネル

screenshot

[][]いないなら育ててみよう、セキュリティ人材 シスコの「学生向け人材育成プログラム」の中身 (1/2) - ITmedia エンタープライズ

(情報元のブックマーク

Ciscoの学生向け人材育成プログラム

2017年4月から、サイバーセキュリティ人材育成を目指した「サイバーセキュリティ スカラシップ プログラム」を実施しているシスコシステムズが、プログラムの模様を報道陣向けに公開した。

 シスコシステムズでは製品、テクノロジー面でのセキュリティ強化に加え、情報通信研究機構(NICT)やJPCERTコーディネーションセンターJPCERT/CC)といったさまざまな組織との連携や技術標準化など、さまざまな側面からサイバーセキュリティの強化に取り組んできた。その柱の1つがセキュリティ人材の育成だ。

 サイバーセキュリティ スカラシップ プログラムでは、体系的な学習プログラムを通じて将来の情報セキュリティ人材を育成することを目的に、オンライン学習やハンズオン形式の研修を実施。大学生専門学校生、高専生を対象に無償でプログラムを提供し、優秀な成績を収めた学生にはインターンシップの機会を提供するほか、広くIT業界で活躍してもらうためのキャリアサポートも実施する。

no title

screenshot

[][]Cloudflare、海賊版サイト運営者の情報開示を命じられる – P2Pとかその辺のお話R

(情報元のブックマーク

(セキュリティホール memo経由)

メモ

先日発行されたDMCA召喚状は、Cloudflareに複数の人気海賊版サイトツールに関連した人々に関する情報開示を命じている。密かに提出されていたこの要請は、サイト運営者に海賊版損害賠償を求める映画スタジオグループが提出したものだった。

人気のCDN、DDoS保護サービスCloudflareは、世界中の数百万のウェブサイトに利用されている。そのなかには、世界有数の海賊版サイトも含まれている。

Cloudflareはこの数年、海賊版プラットフォームの運営者の情報を引き出そうとする著作権者からの強い圧力にさらされてきた。

no title

screenshot

[][]Google Chrome 69ではCookieを「すべて削除」してもGoogleのCookieが残ってしまうことが判明 - GIGAZINE

(情報元のブックマーク

(セキュリティホール memo経由)

メモ

Google2018年9月4日アップデートしたウェブブラウザGoogle Chrome 69」から、Cookieサイトデータの削除を行っても、GoogleYouTubeCookieが残ってしまい、Cookieの完全な削除ができないことがわかりました。

Chrome 69 will keep Google Cookies when you tell it to delete all cookies | Hacker News https://news.ycombinator.com/item?id=18064537

Chrome 69では、ログイン機能の挙動が変更されていて、GmailGoogleドキュメントなどのGoogleサービスを利用するためにログインすると自動でChromeにもログインする仕様となっています。しかし、この自動ログイン機能はプライバシー上問題があると指摘されています。

Google Chrome 69ではCookieを「すべて削除」してもGoogleのCookieが残ってしまうことが判明 - GIGAZINE

screenshot

[][]“農家向けIoT”の意外な活用先? ある郵便局が始めたユニークな熱中症対策とは - ITmedia エンタープライズ

(情報元のブックマーク

メモ

日本全国が猛暑に見舞われた2018年8月、屋外イベントで作業するスタッフ熱中症対策に、神奈川県横浜市郵便局が、ある意外なIoTソリューション試験導入した。それは、農用機器や農業向けクラウドサービス「アグリネット」を手掛けるネポンが開発中の農業支援アプリ「安心営農/安心ワーク」だ。一見“畑違い”な組み合わせの実証実験は、一体なぜ実現したのか?

 2018年8月31日、記者は横浜の大さん橋で開かれていたイベント「やさいマルシェ」を訪れた。数メートル歩くだけで全身に汗がにじみ、強い日差しでまともに目も開けていられないような熱気だ。着いたのは、記念切手などを販売する郵便局ブース。作業するスタッフたちは、首からペンダント型のセンサーを下げている。現場を取り仕切る職員がブースの裏でタブレットを立ち上げると、一人一人の勤務時間と休憩時間、給水タイミングをリアルタイムで記録した表が現れた。

no title

screenshot

[][]技術評論社、「ハードウェアハッカー〜新しいモノをつくる破壊と創造の冒険」発刊へ | fabcross

(情報元のブックマーク

(セキュリティホール memo経由)

面白そう

技術評論社は「ハードウェアハッカー〜新しいモノをつくる破壊と創造の冒険」を2018年10月19日に発刊する予定だ。

本書はこれまでの常識を破壊し、自らの手で新しいものを生み出していくための考え方や仕組みを、世界的なハードウェアハッキング第一人者であるアンドリュー“バニー”フアン氏が実体験とともに解説する。

全4部11章構成。深センにおけるビジネスの仕組みや工場への発注方法、知財の考え方、ニセモノ製品の舞台裏、さらにはChumbyやNovena、Chibitronicsなどのハードウェアや、SDカードマイコンなどのハッキングについても取り上げる。

技術評論社、「ハードウェアハッカー?新しいモノをつくる破壊と創造の冒険」発刊へ | fabcross

screenshot

[][]夢は Black Hat USA で講演 〜 キヤノンITS マルウェアラボ潜入記、設立目的と体制 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

(情報元のブックマーク

メモ

キヤノングループのシステムインテグレーション機能を担うキヤノンITソリューションズ株式会社は 3 年前、SI 事業者としては珍しい、サイバーセキュリティに関する R&D を担うマルウェアラボを設立した。

 当初は独自のマルウェアレポートを定期的に発表するなどの情報発信を行いながら、現在ではマルウェアとそれにひもづくキャンペーンやアクターの分析を行うまで力をつけつつあり、その成果の一部は 10 月に大阪と東京で行われるセキュリティカンファレンスで発表される。

 講演に登壇する若干 27 歳のラボの創立メンバー、同社 マルウェアアナリスト 池上 雅人 氏に話を聞いた。

夢は Black Hat USA で講演 ? キヤノンITS マルウェアラボ潜入記、設立目的と体制 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

screenshot

当ページでは、掲載内容による不具合、問題に関する責任もちません、内容が正確である保障もできません。m(__)m
各自の自己責任で、情報の確認をお願いします

毎日のトップに掲載されている今日の記念日は、MIEさんのページから頂いております。ありがとうございます。