セキュリティ

• 11/19-20「セキュリティ」で「生産性」は上がる。｜MOTEX DAYS.2020
• ゼロトラストの実現とSASE（Secure Access Service Edge）について: NECセキュリティブログ | NEC
• Evilginx2によるPayPayのSMS認証強化策の回避 - Akaki I/O
• 【セキュリティ ニュース】「Western Digital My Cloud」に深刻な脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】メッセンジャーアプリ「WhatsApp」にRCE脆弱性 - iOS版に影響（1ページ目 / 全1ページ）：Security NEXT
• Broadcom社がSymantecエンタープライズ製品販売の制度・価格変更を通知。大幅な値上げへ | スラド セキュリティ
• 「全世界に存在する3分の1のAndroidデバイスで一部ウェブサイトが閲覧できなくなる」とLet’s Encryptが警告 - GIGAZINE
• ［緊急報告］Windows 10 バージョン1903以降へのアップグレードで突如判明した「証明書消失問題」とは：山市良のうぃんどうず日記（193） - ＠IT
• IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF）を策定しました （METI/経済産業省）
• ASCII.jp：Windows 10で秋の大型アップデートが始まったのに、春のアップデートも落ちてこないマシンがあるのはなぜ？ (1/2)
  • 機種によって配布が遅れている原因は「Safeguard Holds」と呼ばれる措置が原因だ。これは機能アップデートを実行した結果、障害が発生することをMicrosoft側で検出した場合に、同じ条件を持つマシンへの配布を止めるための機能だ。
  • Microsoftによれば、Windows Updateにおいて、障害が起こったマシンの「診断データ」をもとに「Safeguard Holds」を作成する。同じ条件を持つPCは、このSafeguard Holdsにより、機能アップデートが延期された状態になる。
  • Safeguard Holdsは、Windows Update経由のアップデートだけしか阻止することができない。ユーザーはMedia Creation Toolを使って強制的にアップデートすることもできるが、このときにはSafeguard Holdsが効かない。つまり、アップデートにともなう障害が発生するかどうかは運次第。
  • 「Windows 10 バージョン 2004/20H2」に新たな問題、セーフガードホールドが適用中 - 窓の杜
• Apple、GoogleのProject Zeroにより実際に利用が報告された脆弱性を修正した「macOS Catalina 10.15.7追加アップデート」をリリース。iOS 14.2やwatchOS 7.1でも同様。 | AAPL Ch.
• Apple、古いデバイス向けに複数のゼロデイ脆弱性を修正した「iOS 12.4.9」および「watchOS 6.2.9/5.3.9」をリリース。 | AAPL Ch.
  • Google Project ZeroチームのBen HawkesさんとShane Huntleyさんによると、この脆弱性は最近実際に利用されたゼロデイ脆弱性となっているそうなので、現在もiOS 14/watchOS 7へアップデートできない古いiPhoneやApple Watchを利用されている方は、時間を見つけてアップデートすることをお勧めします。
• 要注意!!ZoomやSkype通話でパスワードが盗まれる危険性 - iPhone Mania
• Apple Releases Security Updates for Multiple Products | CISA
• Apple、macOS Catalina 10.15.7の追加アップデートを公開 - iPhone Mania
• iOS 14、watchOS 7で導入されたWi-FiごとにランダムなMACアドレスを割り当てる「プライベート Wi-Fiアドレス」とエンタープライズ・ネットワーク接続手順を公開。 | AAPL Ch.
• iPhoneのカレンダーから「セキュリティ警告」？　身に覚えのないイベントが勝手に追加されていた【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch
• VirusTotalがトレンドマイクロの「telfhash」をサポート | トレンドマイクロ セキュリティブログ
• 正規VPNインストーラにバックドアをバンドルし拡散する攻撃手口について解説 | トレンドマイクロ セキュリティブログ
• スペイン・ポルトガル語圏を狙うバンキングトロジャン「MISPADU」の攻撃手口を解説 | トレンドマイクロ セキュリティブログ
• アメリカの郵便って結構届きますよ。僕の少ないアメリカ生活で届かなくて紛失したのは『小切手』と『運転免許』と『医師免許』ぐらいです - Togetter
• Google Chromeを今すぐアップデートしよう！ ゼロデイ攻撃対策として | ライフハッカー［日本版］
• JavaでのZIP暗号化の考察 | アプリ開発ときどきアウトドア
• サーバレスの次は「ストレージレス」の実現へ。NetAppがストレージレスを実現する新サービス「Spot Storage」を発表 － Publickey
• 脆弱性探しはハッカーが頼り　バグ報奨金制度、新型コロナ対応が普及後押し (1/2) - ITmedia NEWS
• 日本ハッカー協会会員向けに EC-Council 講座を特別料金で、価格は会員のみに開示 | ScanNetSecurity
• 経産省が「 IoTセキュリティ・セーフティ・フレームワーク」策定、フィジカル空間 サイバー空間のつながり整理 | ScanNetSecurity
• Google『reCAPTCHA』を突破！『2Captcha』でブラウザ操作の完全自動化に挑む - Qiita
  • 2Captchaというサービスでは，難関のキャプチャ機能を圧倒的な人海戦術で突破します。
• ［緊急報告］Windows 10 バージョン1903以降へのアップグレードで突如判明した「証明書消失問題」とは：山市良のうぃんどうず日記（193） - ＠IT
  • この問題は、2020年9月の品質更新プログラムがインストールされた以下のバージョンを、2020年10月以前に入手したインストールメディア（ISOイメージ）でアップグレードした場合に、コンピュータおよびユーザーの証明書が失われる可能性があるというものです。

Fukui Navi

• サーバ管理会社が契約更新ミス　「ふくいナビ」全データがクラウドから消失、復旧不能に - ITmedia NEWS
• 「ふくいナビ」がデータ消失　業者が契約更新手続き怠る：中日新聞Web
• サーバ管理会社が契約更新ミス　「ふくいナビ」全データがクラウドから消失、復旧不能に - ITmedia NEWS

宇宙

鉄

IT

• おめでとうございます。ニコンのWEBカメラソフト、正式リリースです | ギズモード・ジャパン

その他

• 中国 動物用ワクチン工場から菌流出 住民ら6000人以上感染発覚 | NHKニュース

中小企業のIT担当者必携 本気のセキュリティ対策ガイド

• 作者:佐々木 伸彦
• 発売日: 2020/01/23
• メディア: 単行本（ソフトカバー）

セキュリティ

• ESETやIntego、Trend Microなどが各社のセキュリティアプリのmacOS 11 Big Sur対応状況を公開。 | AAPL Ch.
• ASCII.jp：FBI、サイバー犯罪者による大規模なDDoS攻撃の可能性に警鐘
• 安全を保つためのgRPC実装の注意点を解説 | トレンドマイクロ セキュリティブログ
• 「お金を無限に増やせるバグ」を銀行に報告したホワイトハッカーが自身の受けた仕打ちについて解説 - GIGAZINE
• Windows版「ESET」製品に最新版、在宅勤務時のセキュリティ対策向けに機能を強化 - INTERNET Watch
• NEC、サイバー犯罪捜査演習を支援--50カ国の担当官や専門家が対象 - ZDNet Japan
• 2020年10月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃん☆たくのひとりごと
• Attacks exploiting Netlogon vulnerability (CVE-2020-1472) – Microsoft Security Response Center
• 脆弱性「SMBGhost」の危険にさらされているWindowsマシンが、いまだ10万台以上 | マイナビニュース
• 【米大統領選】「デマ情報の洪水」で選挙事務所がパンク寸前
• 私が政府CIO補佐官になった理由｜Hal Seki｜note
• 反社チェック追加機能、30年分の新聞雑誌記事検索し負の情報検出 | ScanNetSecurity
• ログ分析支援ツール「LogonTracer」最新版、リアルタイムログ分析を可能に | ScanNetSecurity
  • JPCERT／CCがイベントログ分析支援ツール「LogonTracer v1.5.0」を公開：イベントログのリアルタイム分析が可能に - ＠IT
  • 最新版では、同ツールのリリース直後から寄せられていたリアルタイムログ分析を可能にする機能を追加、Elasticsearchと連携することでリアルタイムログ分析が可能となる。
• クラウド利用企業向け安全チェックリスト「クラウドのセキュリティで知っておくべきリスクと対策について」 | ScanNetSecurity
• カプコンに不正アクセス、社内システムに障害発生もゲームプレイに影響は無し | ScanNetSecurity
  • 不正アクセスによるシステム障害発生に関するお知らせ | 株式会社カプコン
  • 現時点では顧客情報等の漏洩は確認されておりません。
  • なお、本障害は当社ゲームをプレイするためのインターネット接続や、当社ホームページ等へのアクセスに悪影響をおよぼすものではございません。
• 富士通研究所、AIをだますサイバー攻撃の耐性強化技術開発 | ScanNetSecurity
• サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）設立、11月19日設立総会開催 | ScanNetSecurity
• 近畿地方のセキュリティコミュニティ活動促進、会場・機材・茶菓代金支援 但しアルコール除く | ScanNetSecurity
• イエラエセキュリティ CSIRT支援室 第2回「Mac端末のフォレンジックについて：保全」 | ScanNetSecurity
• コロナ禍による潜在的課題の顕在化は、新しいセキュリティ組織を作る機会になり得る ～ ISOG-J 武井滋紀氏 | ScanNetSecurity
• 2021年にLet’s Encryptのルート証明書が変更！影響や備えておくべきこととは？ | さくらのSSL
• 何度も短縮し過ぎ？！SSL証明書の有効期間がどんどん短くなる理由とは？ | さくらのSSL
• 【CODEBLUE2020】虚偽情報は真実よりも魅力的か？：ソーシャルメディアにおける虚偽情報の拡散を低減する レポート - SSTエンジニアブログ
• Oracle Releases Out-of-Band Security Alert | CISA
• 見え隠れする「Microsoft Defenderオフライン」の影、 Windows Serverでは使えずWindows 8.1には存在しない：その知識、ホントに正しい？ Windowsにまつわる都市伝説（172） - ＠IT
• Cisco discloses AnyConnect VPN zero-day, exploit code available
• ｢Zoomであんたの裸動画撮った｣詐欺が横行中 | ギズモード・ジャパン
• Oracle WebLogic Server の脆弱性対策について（CVE-2020-14750）：IPA 独立行政法人 情報処理推進機構
• Oracle WebLogicの脆弱性を狙った攻撃を観測　ラックが注意喚起 - ITmedia エンタープライズ
• Androidの11月月例セキュリティ更新は危険度最高5件含む33件、Pixelでは多数のバグ修正も - ITmedia Mobile
• 富士通、AIをあざむく「偽装攻撃」の検知技術を開発　21年度の実用化目指す - ITmedia NEWS
• IIJ、スタンドアロン方式の5G対応eSIMを開発　ローカル5G構築で有利 - ITmedia NEWS
• 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
• メインフレームのセキュリティ～必要性と対策のアプローチを再考する～ | セキュリティ対策のラック
• ラック、内閣サイバーセキュリティセンターとサイバーセキュリティ分野の連携・協力を延長 | セキュリティ対策のラック
• 携帯番号「量産」で錬金術　認証サービスの前提崩す　　:日本経済新聞
• 【セキュリティ ニュース】次世代セキュリティ製品の検知回避を狙う「Emotet」（1ページ目 / 全2ページ）：Security NEXT
• 【セキュリティ ニュース】「WebLogic Server」に定例外アップデート - 悪用発生脆弱性と関連、早急に対応を（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】「Mozilla VPN」に脆弱性 - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT
• iPhone画面がアイコンで埋め尽くされる、実は危ない「構成プロファイル」 | 日経クロステック（xTECH）
• iOS14アップデート後、メール送信不可となる事象に関して | NTTドコモ
  • 👹秋田の猫🐱 on Twitter: "昔からRFC違反だとずっと言われてたキャリアメアドが動かなくなるよと連絡来てた。 https://t.co/hzq7L6ZSi5" / Twitter

Edge

• 「Microsoft Edge 86」でも「V8」のゼロデイ脆弱性が修正 ～v86.0.622.63への更新を - 窓の杜

ESXi

• VMware ESXi 7.0 Update 1a Release Notes
• VMware ESXi 6.7, Patch Release ESXi670-202011001
• VMware ESXi 6.5, Patch Release ESXi650-202011001
• OpenSLPの脆弱性対応
• VMSA-2020-0023.1

Adobe

• Flashに依存するUI・機能は削除 ～「Adobe Acrobat/Reader」の定例アップデート - 窓の杜
• Google、Androidの2020年11月セキュリティ情報を発表 - 窓の杜
• Security Updates Available for Adobe Acrobat and Reader | APSB20-67:Adobe Security Bulletin
• Adobe Releases Security Updates for Acrobat and Reader | CISA
• Adobe Acrobat および Reader の脆弱性対策について(APSB20-67)(CVE-2020-24435等)：IPA 独立行政法人 情報処理推進機構
• Adobe Acrobat および Reader の脆弱性 (APSB20-67) に関する注意喚起
• 【セキュリティ ニュース】「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートで修正（1ページ目 / 全1ページ）：Security NEXT

Chrome

• Chrome Releases: Stable Channel Update for Desktop
• 悪用の報告もあり ～デスクトップ向け「Google Chrome 86」に深刻な脆弱性、修正版が公開 - 窓の杜
• Google Chromeに10件の脆弱性修正 - PC Watch
• 【セキュリティ ニュース】Google、「Chrome 86.0.4240.183」を公開 - 10件のセキュリティ修正（1ページ目 / 全1ページ）：Security NEXT
• Google Releases Security Updates for Chrome, CVE-2020-16009 | CISA
  • バージョン: 86.0.4240.111（Official Build） （x86_64）
  • バージョン: 86.0.4240.183（Official Build） （x86_64）

This update includes 10 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.

• [$15000][1138911] High CVE-2020-16004: Use after free in user interface. Reported by Leecraso and Guang Gong of 360 Alpha Lab working with 360 BugCloud on 2020-10-15
• [$15000][1139398] High CVE-2020-16005: Insufficient policy enforcement in ANGLE. Reported by Jaehun Jeong(@n3sk) of Theori on 2020-10-16
• [$5000][1133527] High CVE-2020-16006: Inappropriate implementation in V8. Reported by Bill Parks on 2020-09-29
• [$1000][1125018] High CVE-2020-16007: Insufficient data validation in installer. Reported by Abdelhamid Naceri (halov) on 2020-09-04
• [$TBD][1134107] High CVE-2020-16008: Stack buffer overflow in WebRTC. Reported by Tolya Korniltsev on 2020-10-01
• [$NA][1143772] High CVE-2020-16009: Inappropriate implementation in V8. Reported by Clement Lecigne of Google's Threat Analysis Group and Samuel Groß of Google Project Zero on 2020-10-29
• [$NA][1144489] High CVE-2020-16011: Heap buffer overflow in UI on Windows. Reported by Sergei Glazunov of Google Project Zero on 2020-11-01

セミナー等

• ITmedia Security Week 2020冬　ゼロトラストは切り札か？「新常態」で求められる新たなセキュリティ対策とは - ITmedia エンタープライズ

宇宙

• 2068年4月、小惑星アポフィスが地球に衝突するかもしれない。 | ギズモード・ジャパン

鉄

IT

• シャープ、NEC子会社買収を完了　社名は「シャープNECディスプレイソリューションズ」に - ITmedia NEWS
• 警視庁初の“Twitterの中の人”が退職→起業　「ファンが増え、炎上しない」企業アカウント運営請負 - ITmedia NEWS
• セコい値下げで喜んでいる場合ではない、NTTのドコモ完全子会社化ウラ事情 (1/4) - ITmedia ビジネスオンライン
• 「中国人のAさんがお茶を淹れると会社のネットが繋がらなくなる」そんな訳ないと思いながら調べたら…まさかの日常ミステリー - Togetter
• ExcelでVBAを使わないでドラクエ3を再現する | パパセンセイ365
• 2020/11/03 IPA のけしからん技術が再び壁を乗り越え、セキュアな LGWAN 地方自治体テレワークを迅速に実現
• 貧弱なインターネット回線をたくさん束ねて強くできる「OpenMPTCProuter」レビュー - GIGAZINE
• 完全栄養マクドナルド食の線型計画による実装～もしマクドナルドだけで生活すると栄養バランスはどうなるのか？～ - Qiita
• わて「なにっ！？韻を踏むだけで保守性があがるやと！？」 - Qiita
• Camera Raw 13.0.2 Update Available | Adobe Photoshop Family
  • Slider scrubbing not working correctly for left-handed configurations
  • Crashes or gives error when reset to default in Camera Raw Filter
• クローズアップ：デジタル庁、権限焦点　縦割り打破に反発必至 - 毎日新聞

その他

• 総務省｜テレビアニメ「炎炎ノ消防隊 弐ノ章」とタイアップした消防団員募集ポスターの配布
  • 本日より、別添のポスター約5万枚を全国の都道府県・市町村等に配布し、掲出します。これにより、地域防災力の中核として地域の安心・安全を守る消防団に、一人でも多くの方が加入されることを期待しています。
• ベータ版でも100万円ごえ。テスラの｢フル自動運転｣オプションがまた値上げ | ギズモード・ジャパン
• 兵庫県警が県ゆかりの著名人による地域安全運動の動画公開 | 日刊警察

実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術

• 作者:Paul Troncone,Carl Albing
• 発売日: 2020/04/21
• メディア: 単行本（ソフトカバー）