セキュリティ

• 【セキュリティ ニュース】「PHP」にセキュリティリリース - 脆弱性を解消（1ページ目 / 全1ページ）：Security NEXT
• マルウェア化した「The Great Suspender」がChromeウェブストアから消滅、拡張機能削除時に巻き添えで消えたタブを復旧させる方法はコレ - GIGAZINE
  • Google、マルウェア化したChrome拡張機能をリモートから無効化 | スラド セキュリティ
  • Google、ユーザーが導入済みのChrome拡張機能を「マルウェア化容疑」で強制的に無効化【やじうまWatch】 - INTERNET Watch
• ゲームのポケモン能力、不正に書き換えた疑い　男を逮捕：朝日新聞デジタル
• Prenotification Security Advisory for Adobe Acrobat and Reader | APSB21-09:Adobe Security Bulletin
  • 【セキュリティ ニュース】「Adobe Acrobat/Reader」のアップデート、2月9日に公開予定（1ページ目 / 全1ページ）：Security NEXT
• ALSOK、解錠に指紋認証が必要なICカード。貸し借り不可 - Impress Watch
  • DNP、指紋リーダー搭載FeliCaカードを開発 - Engadget 日本版
• NCIJTF Releases Ransomware Factsheet | CISA
• Googleが提案するオープンソースプロジェクトのセキュリティを高めるための「Know, Prevent, Fix」とは？ - GIGAZINE
• 「iOS 14.4」「iPadOS 14.4」では、カーネルとWebkitのゼロデイ脆弱性にも対応済み - ケータイ Watch
• 買い替え回数減らせるかも！ Apple、Lightningケーブルの根元が破れにくくなる特許を出していた | ギズモード・ジャパン
• 幅広い層に支持されるTwitter　企業公式アカウントでの情報戦略が鍵（1/2 ページ） - ITmedia ビジネスオンライン
• Githubが危険ではなくセキュリティ設計が大事--業界団体が声明 - ZDNet Japan
• Microsoft、iOS/Mac/Windows/Android対応のパスワードマネージャー「Microsoft オートフィル」をリリース - こぼねみ
  • Microsoft、パスワードマネージャー「オートフィル」を公開 - iPhone Mania
  • Simplify and secure your life with Microsoft’s autofill solution for passwords | Windows Experience Blog
  • PC・スマホ・タブレットのパスワードの同期・自動入力とオートフィル機能に対応した「Microsoft Authenticator」 - 窓の杜
• Realtek Wi-Fiモジュールにパス不要で乗っ取り可能な脆弱性、影響広大か | TECH+
• APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか：API実装の落とし穴に要注意 - ＠IT
• シスコ製品に依然として脆弱性続く、チェックと対応を | TECH+
  • Cisco Releases Security Updates | CISA
  • 【セキュリティ ニュース】小規模向けCisco製VPNルータに深刻なRCE脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT
• Windows 10、4月のアップデートで旧Edgeを削除、Chromiumベースに完全移行 | マイナビニュース
  • Microsoft、Windows 10の「Edge Legacy」は4月13日に自動消滅 - ITmedia NEWS
• Masanori Kusunoki / 楠 正憲 on Twitter: "COCOAは途中まで私たち補佐官も入っていたので、決して運用保守を軽視したつもりはなかったのですが、EN API自体のプライバシー哲学に沿おうとすると既存のデバッグ用ツールがほぼ使えなくなってしまったのと、EN APIの更新がスマホOSの更に何倍も頻繁かつトリッキーだったのは、正直誤算でしたね" / Twitter
• Windows 10の「Windows Update」が動かない場合の“奥の手”とは？：「動かないWindows Update」の対処法【後編】 - TechTargetジャパン システム運用管理
• 「SASE」（サッシー）の効果はテレワークのトラフィック改善だけではない――DX実践にも欠かせない：特集：クラウドを用いて「SASE」で統合　セキュリティとネットワーク（1） - ＠IT
• COCOAの件を機に「メンテナンスされないソフトウェアは全てゴミになる。」という考えが、一般常識になって欲しいよねという話 - Togetter
• コロナ禍で増加する不正ログイン　2021年に狙われる業界は？：「見えないWeb攻撃」──情報漏えい対策の盲点（1/2 ページ） - ITmedia NEWS
• sudoコマンドの脆弱性、「macOS」にも影響 - ZDNet Japan
• Microsoft、リモートワーク時代の新イントラネット「Viva」発表 - ITmedia NEWS
• APJCの10社に4社がセキュリティの課題を“うまく乗り切った”と回答――シスコ調査 - ITmedia エンタープライズ
• VMware ESXi 7.0 Update 1d Release Notes
• Microsoft、「Windows 10 May 2020 Update」の配信対象を拡大 - 窓の杜
• サイバー救急センターレポート 第10号 ～急増したマルウェア関連のインシデント傾向と対策～ | セキュリティ対策のラック
• GitHub Actionsを使ったDDoSに巻き込まれた - 私が歌川です
• 【セキュリティ ニュース】パナ製映像セキュシステムの管理ソフトにRCE脆弱性（1ページ目 / 全1ページ）：Security NEXT
• 活動範囲を拡大するランサムウェア「RansomExx」を事例で解説
• 近畿 中国 四国地方のサイバーセキュリティ教育で協業、CYBERGYM大阪 3月開設 | ScanNetSecurity
  • サイバージムジャパン社はイスラエルのCyberGym Control Ltd.と提携し、サイバーセキュリティ専用トレーニング施設を運営・供給
  • 大阪府大阪市淀川区西中島にサイバーコマンド株式会社を設立、資本金、出資比率及び役員構成は現時点で未定だが、シティコンピュータ社の子会社となる予定と言う。
• 「GeForce Experience」にDoSの脆弱性、v3.21へのアップデートを - 窓の杜
• 総務省｜無線LANのセキュリティ対策に係るオンライン講座の開講
• 【セキュリティ ニュース】glibcのJISコード処理に脆弱性 - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT
• 「Python」にバッファオーバーフローの脆弱性 ～サポート終了の「Python 2」にも影響 - 窓の杜

Edge

• Release notes for Microsoft Edge Security Updates | Microsoft Docs
• CVE-2021-21148 - セキュリティ更新プログラム ガイド - Microsoft - Chromium CVE-2021-21148: Heap buffer overflow in V8
• 「Chrome」で発見でされたゼロデイ脆弱性、「Microsoft Edge 88」でも対処 - 窓の杜

Chrome

• Google fixes Chrome zero-day actively exploited in the wild
• Google Releases Security Updates for Chrome | CISA
• Chromeブラウザは今すぐアップデートすべき〜北朝鮮ハッカーが脆弱性突いていた - iPhone Mania
• Chrome Releases: Stable Channel Update for Desktop
• 「Google Chrome 88」にゼロデイ脆弱性 ～すぐにアップデートを - 窓の杜
• Google fixes Chrome zero-day actively exploited in the wild
• 作業の手を止めてすぐにアプデを！ Chromeにゼロデイ脆弱性発見 | ギズモード・ジャパン
• 【セキュリティ ニュース】「Chrome 88.0.4324.150」が緊急リリース - ゼロデイ脆弱性に対処（1ページ目 / 全1ページ）：Security NEXT
• バージョン: 88.0.4324.146（Official Build） （x86_64）
• バージョン: 88.0.4324.150（Official Build） （x86_64）

This update includes 1 security fix. Please see the Chrome Security Page for more information.
[$TBD][1170176] High CVE-2021-21148: Heap buffer overflow in V8. Reported by Mattias Buelens on 2021-01-24
Google is aware of reports that an exploit for CVE-2021-21148 exists in the wild.
We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.

Firefox

• Firefox 85.0.1, See All New Features, Updates and Fixes
• Firefox ESR 78.7.1, See All New Features, Updates and Fixes
• Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1 — Mozilla
• 「Firefox」に致命的な脆弱性 ～修正版の「Firefox 85.0.1」がリリース - 窓の杜
• 【セキュリティ ニュース】「Firefox」にセキュリティアップデート - Windows版の脆弱性に対応（1ページ目 / 全1ページ）：Security NEXT
• 85.0 (64 ビット)
• 85.0.1 (64 ビット)

宇宙

鉄

• 終電後に走る謎の電車の正体は？ - YouTube
• ＜新横浜駅発着＞掛川・浜松・米原への「新幹線回数券」を3月末で廃止 | 新横浜新聞（しんよこ新聞）
• 駅にオフィスが生えてる！ STATION WORKがけっこう便利でした | ギズモード・ジャパン

IT

• Fitbitを買ったら｢Fitbit Premium｣に加入すべき理由 | ギズモード・ジャパン
• どんどん増えちゃうタブをすっきりまとめられる！ ｢Vivaldi｣のタブスタッキング機能が進化 | ギズモード・ジャパン
• 17年前のiPodを改造してSpotifyを流せるようにした人 | ギズモード・ジャパン
• コクヨのIoT文具「しゅくだいやる気ペン」、1万台以上売れた秘密：あの会社のこの商品（1/4 ページ） - ITmedia ビジネスオンライン

その他

• 信号機を5万円で落札　「おじいちゃんの家に隠したい」（朝日新聞デジタル） - Yahoo!ニュース
• 子どもの頃『社会科見学なんて大人は面倒に思ってるだろうな』→見学される立場になってめちゃくちゃ張り切ってるとわかった - Togetter
• 18歳のポメラニアンが安全に移動できるフープを3Dプリントで作ったよ | ギズモード・ジャパン
• 望遠レンズの圧縮効果と広角レンズの遠近感、伝えたいことが伝わる使い方：荻窪圭のデジカメレビュープラス（1/3 ページ） - ITmedia NEWS
• ｢使える｣以上のノイキャンが1万円で手に入っちゃう。Anker初のノイキャン搭載イヤホン2機種を使ってみました | ギズモード・ジャパン
• 極彩色に妖しく光る！ RAZERのThunderbolt 4を4ポート搭載したドッキングステーション | ギズモード・ジャパン
• たまごの賞味期限は2か月？ 正しい保管方法を日本養鶏協会に聞いた | 日刊SPA!

サイバーセキュリティ法務

• 作者:塩崎 彰久,仁平 隆文,高橋 大祐,工藤 靖,古川 直裕,サイバーセキュリティ法務研究会
• 発売日: 2021/02/03
• メディア: 単行本

セキュリティ

• GitHubに関する対応とお願い | CSAJ 一般社団法人コンピュータソフトウェア協会
  • クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものであります。
  • いつの時代も道具は使い方次第で、便利にもなれば、悪用されることもある。
• 採用担当はGitHubを通じて何を見るか｜楠 正憲（Japan Digital Design CTO）
• Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」～ユービーセキュア 観堂社長と GSX 青柳社長の狙い | ScanNetSecurity
• 巧妙化するサイバー攻撃に立ち向かう。最前線で得た知見を生かした実践的な訓練を｜ソフトバンクのセキュリティエキスパート vol.2 - ITをもっと身近に。ソフトバンクニュース
  • サイバー攻撃を100％防ぐことは難しいのが現実です。それでも発生する確率を少しでも下げ、被害を最小化することが重要だと考えています。この仕事はどうしても、何か事故が発生したら対応する、というように後手に回りがちなのですが、できる限り事前にリスクを予測し、予防策を打つようにしていきたいです。
• 話題の音声SNS「Club house」、匿名でSNSを利用している場合は登録に注意 | スラド IT
• 中国で盗聴器の仕込まれたモバイルバッテリーが騒動に - ZDNet Japan
  • 筆者が発見した基盤の1つである「ZX620」は、SIMカードとSDカードのスロット付きで22mm×13mmとすごくコンパクトなサイズだ。パッケージ付きのものでも49mm×13mm×28mm程度に収まり、キーホルダーとして売る店もある。値段は200～300元（3200～4800円）程度だ。
• 標的型攻撃グループCryptoMimicの攻撃手法の変化について, Hiroki Hada
• ｢iCloud Passwords｣を使えばWindows版Chromeでもパスワードが共有できます | ギズモード・ジャパン
• NECとシスコ、アラクサラが協業　「日本の主要インフラ」に提供したいネットワークセキュリティの中身は：NISTの行動計画を意識 - ITmedia エンタープライズ
• 静岡県警が「鬼滅の刃」を活用した交通事故防止対策を実施 | 日刊警察

• Apple Releases Security Updates | CISA
• Apple、macOS 10.14 MojaveとmacOS 10.15 Catalina向けに「セキュリティアップデート2021-001」を公開。
• 【セキュリティ ニュース】Apple、macOS向けにアップデート - ゼロデイ脆弱性3件に対処（1ページ目 / 全1ページ）：Security NEXT
• 複数のApple製品のアップデートについて

• Apple、macOS 11.2 Big Surまでに利用しているオープンソースコードを公開。
• 総務省｜サイバーセキュリティタスクフォース｜サイバーセキュリティタスクフォース（第28回）開催案内
• GitHubは悪者か？　SMBCのソースコード流出から学ぶ、情報漏えいのリスク：半径300メートルのIT - ITmedia エンタープライズ
• 日本の多くの自治体が採用する「インターネット分離」「Web分離」とは――課題や新たな方式、VDIとの違い：テレワーク時代のWeb分離入門（2） - ＠IT
• 【注意喚起】Perlのニュースサイト perl dot com のドメインが何者かによって不正に取得されました - JPA 運営ブログ
• Zero-Day Vulnerability in SonicWall SMA 100 Series Version 10.x Products | CISA
• 【セキュリティ ニュース】ロジテックの複数製品に脆弱性 - EOLのため利用中止を（1ページ目 / 全1ページ）：Security NEXT
• Sudo Heap-Based Buffer Overflow Vulnerability — CVE-2021-3156 | CISA
• 「Wireshark」v3.4.3が公開 ～USB HIDで発見された2件の脆弱性を修正 - 窓の杜
• ASKA氏とのDM全文公開｜りゅーか｜note
• ウイルスバスター クラウドのインストーラに複数の権限昇格の脆弱性 | ScanNetSecurity
• 猛烈怪しい。正体不明の第三者に売却された Chrome 拡張機能（ユーザー数 200 万人） | ScanNetSecurity
• 次期iOSアプデでは、お金の機能が強化されそうです | ギズモード・ジャパン
• Amazon.com、巣ごもり需要による大幅増収増益で過去最高に - ITmedia NEWS
• 未経験から始まったプログラミング〜できたよ！「anyrun_to_misp」 | セキュリティ対策のラック
• フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/01 フィッシング報告状況

Chrome

• 「Google Chrome 88」に6件のセキュリティ修正 ～時刻が正しく表示されない問題にも対処 - 窓の杜
  • 米Googleは2月2日（現地時間）、デスクトップ向け「Google Chrome」の最新安定版v88.0.4324.146を公開した。6件の脆弱性を修正したセキュリティアップデートとなっている。
  • 深刻度の内訳は、同社基準で4段階中最高の“Critical”が1件、上から2番目の“High”が4件、3番目の“Medium”が1件。“Critical”の脆弱性（CVE-2021-21142）は、支払い機能におけるメモリ解放後利用（use- after- free）の問題であるという。そのほかにも内部監査やファジングによって発見された問題も修正されているとのこと。
• バージョン: 88.0.4324.96（Official Build） （x86_64）
• バージョン: 88.0.4324.146（Official Build） （x86_64）

セミナー等

• ＜データベース・セキュリティ・コンソーシアム主催＞DBSC早春セミナー～ 企業を狙う身代金ウイルス（ランサムウエア） ～:DataBase Security Consortium Top

宇宙

鉄

• エクスプレス予約新サービス開始｜エクスプレス予約 新幹線の会員制ネット予約
  • 2021年3月6日（土）以降、お連れのお客様がお持ちの「交通系ICカード」を利用して、チケットレスでご乗車いただけるようになります。

IT

• これは朗報！ iOS 14.5でPS5とXBOX S/Xのコントローラーが使えますぜ | ギズモード・ジャパン
• 容積わずか0.8L！　Ryzen 5 4500U搭載の超小型デスクトップPC「mouse CT6」を試す（1/3 ページ） - ITmedia PC USER
• 「鉄道サイバーセキュリティ市場調査レポート」公表、2019年の市場規模は約28億米ドルに | ScanNetSecurity
• ジェフ・ベゾスがAmazonのCEO退任を発表。でもやることたくさんあるみたい | ギズモード・ジャパン

その他

• 似合うコスメ探せる「ZOZOCOSME」3月オープン　肌の色を「ZOZOGLASS」で自動計測 - ITmedia NEWS
• バッテリー発火の延焼を防ぐ「消火フィルム」　凸版印刷が開発　リチウムイオン電池や配電盤に - ITmedia NEWS

中小企業のIT担当者必携 本気のセキュリティ対策ガイド

• 作者:佐々木 伸彦
• 発売日: 2020/01/23
• メディア: 単行本（ソフトカバー）

セキュリティ

• 究極は映画『マトリックス』の世界観を身に付けること。サイバー攻撃に臨機応変に対処できるホワイトハッカー育成を｜ソフトバンクのセキュリティエキスパートvol.1 - ITをもっと身近に。ソフトバンクニュース
  • 技術管理本部 ISC統括部 担当部長
    日名子 聡志（ひなご・さとし）
• 経済産業省 奥家氏が語る 「Society5.0」時代のセキュリティリスクと対策の今【前編】 | PwC Japanグループ
• なちゅ。 on Twitter: "club houseは人柱的に登録してみたんだけど、連絡帳の利用の仕方がこんな感じだった。 招待のために自分のアドレス帳を連携すると、『連絡帳に載ってるアドレス全部がclubhouseに登録済みかどうか』だけでなく『未登録の友人Aを連絡帳に登録してる人でclubhouseやってる人は○人だよ』的表示が出る。 https://t.co/0bHKeKr9CO" / Twitter
• Internet Week 2020プレゼンテーション - JPNIC
• メルカリ、権利者向けに偽造品の通報サイトを開設　メールのみ受付から改善 - ITmedia NEWS
• 【セキュリティ ニュース】SonicWallのリモートアクセス製品にゼロデイ脆弱性 - 高度な攻撃も（1ページ目 / 全1ページ）：Security NEXT
  • VPN製品に見つかった脆弱性の恐怖再び、パッチ未提供の中で回避策はあるか | 日経クロステック（xTECH）
• 超朗報。マスクでもiPhone＆Apple Watchでロック解除がもうすぐできるよ！ | ギズモード・ジャパン
  • iPhoneがマスクしたままFace IDロック解除に対応、ただしApple Watch必須 (設定方法) - Engadget 日本版
  • ロック解除状態のApple Watch を身に着けている必要があるという条件から、iPhoneとWatchが近くにあることを認識して、「すでに本人認証したウォッチが至近距離にある、すなわち本人である可能性が高い」として、鼻と口を覆うマスクで制限される Face ID のセキュリティを補う要素にするようです。
  • 有効にした場合どの程度Face IDの精度が落ちるのか、誰でも解除できるようになるのかは分かりませんが、もし仮に別人がこっそり本人の近くで気づかれないようiPhoneのロック解除に成功した場合でも、本人は手首の振動と通知で知ることができ、遠隔ロックもできることが保険となっています。
• Androidのシステムコンポーネントに任意コード実行の脆弱性 ～2021年2月セキュリティ更新 - 窓の杜
• セキュリティーとDXは表裏一体 | Mamoru Biz ブログ
• 福岡県折尾署で小学生対象の情報モラル標語コンクール | 日刊警察
  • 標語は、同課と通信業者が昨年9月に開催した情報モラル教室を受講した5・6年生の児童から募集。約180作品の応募があり、署員と署少年補導員が「のせないで 個人情報 身の危険」「SNS きけんを感じて SOS」など6作品を優秀作品として選出した。
• 「sudo」コマンドに特権昇格の脆弱性、各ディストリビューションの対応一覧 - GIGAZINE
• Apple、WindowsユーザーのためのChrome拡張機能「iCloudパスワード」公開 - ITmedia NEWS
• GitHubでのソースコード流出を検知するサービス - PC Watch
• ランサムウェア「RYUK」被害事例と対処の課題を解説
• サイバー犯罪の根本解決：EUROPOLによるEMOTETテイクダウン
• Google Project ZeroがAppleのiMessageのリファクタリング成果を認める - ITmedia エンタープライズ
  • Google Project Zeroの研究者が、新しく導入されたセキュリティ機能を分析し、「下位互換性の必要性を考えると、おそらく可能な限り最高なものに極めて近い」という称賛に近い評価を与えている。
• プログラミング言語Perlの老舗情報サイトがドメインをランサムウェア配布サイトに乗っ取られる - GIGAZINE
• New and Improved Report Abuse Portal and API! – Microsoft Security Response Center
• 約半数の企業がテレワーク中の委託先「対応力」に不安――IPAセキュリティ実態調査 - ITmedia エンタープライズ
• MSセキュリティ関連事業収益好調、前年比40％増100億ドル突破 | ScanNetSecurity
• マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に【やじうまWatch】 - INTERNET Watch
  • ブラウザ拡張機能を使うとネットからダウンロードしたファイルを自動的にVirusTotalに送信する設定も可能とのことで、先月末に北陸先端科学技術大学院大学で発生した個人情報の流出は、同サイトまたはそれに類する検査サイトがきっかけだったと見られている。無料で使える検査サイトとして広く知られるVirusTotalだが、こうした機能があることは知っておいたほうがよさそうだ。
• 令和２年12月期観測資料 | 警察庁 @police

SalesForce

• NISC、重要インフラ事業者等に向けSalesforce 製品の設定不備に注意喚起 | ScanNetSecurity
• 「設定を見直して」　NISC、Salesforce製品に注意喚起　楽天やPayPayの情報流出を受け - ITmedia NEWS
  • NISCの担当者は「明らかになっているのは氷山の一角。楽天やPayPay社だけの問題なら注意喚起は出さないが、国民の個人情報がさらされる懸念があるのは見過ごせないため、今回発表した」と説明した。
• クラウドサービス 設定不備で情報漏れのおそれ 注意を | IT・ネット | NHKニュース
  • サイバーセキュリティーに詳しい立命館大学の上原哲太郎教授は「クラウドのサービスは、まずは利用者側が最低限の知識や技術を身につけたうえで使う必要があることを心に留めておいてほしい」としたうえで、サービスを利用している複数の企業で同様の設定不備が起きていることについて「システムがあまりに複雑な仕組みになっているために、利用者が正しく設定して使うのが難しくなっている側面もある。大きなクラウド事業者はいまや社会のインフラになっており、利用者がきちんとキャッチアップできるように、情報提供など、責任ある対応が求められている」として、より丁寧な説明が必要だと指摘しています。
• 「設定を見直して」　NISC、Salesforce製品に注意喚起　楽天やPayPayの情報流出を受け（ITmedia NEWS） - Yahoo!ニュース
• セールスフォース・ドットコムからのお知らせ | セールスフォース・ドットコム

macOS Update

• Apple、「macOS Big Sur 11.2」を公開 ～悪用が確認されている3件の脆弱性に対処 - 窓の杜
• Apple fixes Bluetooth problems in new macOS Big Sur update
• Apple、Apple製アプリがサードパーティ製ファイヤーウォールアプリをバイパスしていた問題をmacOS 11.2 Big Surで修正。
• About the security content of macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave - Apple サポート
• M1 Mac miniのディスプレイ不具合、Big Surアップデートで修正　Bluetooth不具合も - ITmedia NEWS
• macOS Big Sur 11.2配信開始、M1版Mac miniでの外部ディスプレイ問題の修正など - 週刊アスキー
• About the security content of Safari 14.0.3 - Apple サポート

Github

• ソースコード流出事件、原因はモラルの欠如　GitHubをもっと使え：日経ビジネス電子版
• 埼玉県庁のソースコードも流出　三井住友銀、NTTデータ、NECらに続き - ITmedia NEWS
• NECもソースコード流出を確認、GitHubで　三井住友銀、NTTデータに続き - ITmedia NEWS
• GitHubへのソースコード流出問題、防ぎようはあるのか　専門家に聞く - ITmedia NEWS
• GitHubは悪者か？　SMBCのソースコード流出から学ぶ、情報漏えいのリスク：半径300メートルのIT - ITmedia エンタープライズ
• ネットフリックスのような「ルールのない企業」は、どうやって社員の愚行を防いでいるのか。 | Books&Apps
  • だから「やらかす人」に合わせてルールや仕組みが作られていく。
    「システム化」だとか。
    「報告の徹底」だとか。
    「ダブルチェック」だとか。
    「反面調査」
    「承認プロセス」だとか。
    こうして、「ルール」や「制約」は増殖していく。
    ごくごくわずかな「やらかす人」に合わせてルールや仕組みができていくのだから、当然だ。

• New updates for Windows – Zoom Help Center
• New updates for macOS – Zoom Help Center

Release notes of 5.5.0 (12467.0131)

Changes to existing features

• Relocated and enhanced attendee view controls for webinars
• Persistent non-verbal feedback
• Enhancement to alternative host feature

General features

• Block or allow only participants from specific countries/regions
• View synced contacts in sub-folders
• Rotate camera
• Additional MSI/GPO options

Meeting/webinar features

• Share and play video files directly into meeting
• Blurred background
• Share mono or stereo sound

Meeting features

• Meeting reactions for End-to-End Encrypted meetings
• 1:1 private chat for End-to-End Encrypted meetings

Phone features

• SMS for international phone numbers
• Support for SMS and MMS messages in a single message bubble
• Add contacts without specifying an email address
• Additional ringtone
• Voicemail notifications
• Group call pickup

Chat features

• Back to previous chat
• Request contact connections directly from chat channel

Resolved Issues

• Security enhancements
• Minor bug fixes

宇宙

• SpaceX、初の民間人の宇宙旅行を実施へ　2人の乗組員公募 - ITmedia NEWS
  • Inspiration4の4人の乗組員は、SpaceX主導の宇宙飛行士の訓練を受ける。Crew DragonはNASAのケネディ宇宙センターの39A発射台からFalcon 9で打ち上げられ、90分で地球を1周する軌道を数日間周回し、フロリダの海上に帰還する計画。

鉄

IT

• Apple Carの製造を担当すると噂のヒュンダイ、不安らしい | ギズモード・ジャパン

その他

• 僕と長女が過ごした10年 - Togetter
• 「PUI PUI モルカー」、Amazon Prime Videoなどで全話配信 - ITmedia NEWS

稼げるプレゼン

• 作者:越川慎司
• 発売日: 2020/05/15
• メディア: 単行本

セキュリティ

• 古めのエレコムのルーターの一部に脆弱性。主な対処は｢製品の使用中止｣ | ギズモード・ジャパン

• 「Thunderbird 78.7.0」が公開 ～6件の脆弱性に対処 - 窓の杜
• 「Firefox 85」が公開 ～“Supercookie”による追跡からユーザーを保護 - 窓の杜
  • 【セキュリティ ニュース】「Firefox 85」がリリース - 脆弱性13件に対応（1ページ目 / 全1ページ）：Security NEXT
• Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird | CISA

• • Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird | CISA
• サイバー犯罪集団「OceanLotus」に繋がるMacOS向けのバックドア型マルウェアを確認
• Apple IDの2ファクタ認証をCI環境で突破する - 24/7 twenty-four seven
• ヤマハが中小企業向けにUTMアプライアンス発売、Check Point と協業 | ScanNetSecurity
• Teams や Slack へ個社別にカスタマイズした脆弱性情報を配信、月額 10 万円から | ScanNetSecurity
  • 同社が提供する脆弱性情報収集支援サービスでは、顧客が利用するOSやソフトウェアに関する脆弱性情報をメールやMicrosoft Teams、Slackなどで配信、脆弱性情報の収集にかかる手間を省き、必要な情報のみを取得することで、余分な工数をかけず脆弱性対策が可能となる。
    サービス費用は月額100,000円からの提供となる。
• Google、ゼロトラストセキュリティ「BeyondCorp Enterprise」一般提供 | マイナビニュース
• エレコムのルーターなどで脆弱性。サポート終了のため使用中止を勧告 - PC Watch
• yamory を使って脆弱性管理をしてみよう！ -導入編- | yamory Blog
• 元ゲーム開発にいた人間が、「チート、リーク、解析」この３つが何故異常に嫌われてるか解説しますね。 - Togetter
• お知らせ 【続報②】FamiPay一時利用停止及び「FamiPay払いで半額戻ってくる」キャンペーン中止について | FamiPay | 株式会社ファミマデジタルワン
• iPhone/iPadなどで保存したパスワードがWindows 10の「Google Chrome」で利用可能に - 窓の杜
• iOS 14にサンドボックス型セキュリティシステム「BlastDoor」が搭載されているとGoogle研究者が発見 - GIGAZINE
  • グロシュ氏によれば、BlastDoorはメッセージ内の信頼できないデータを解析する役割があるとのこと。iOS 14以前はバイナリデータの解凍やバイナリシリアライズ形式からのplistのデコード、フィールド抽出などはすべてimagentと呼ばれるプロセスで行われていました。しかし、iOS 14からはすべてBlastDoorに転送されるとのこと。
• ゼロトラストセキュリティを最短1カ月で構築　SBテクノロジーがサービス提供 - ITmedia エンタープライズ
  • ゼロトラストセキュリティ スターターパックは、ゼロトラスト環境に必要な「通信の監視」「端末の管理」「本人確認／認証」を実現する「Microsoft 365 E5」や「Azure Active Directory（Azure AD）」といった複数製品の導入をパッケージ化したサービス。
• Microsoft、Intel CPUの脆弱性を修正するWindows 10用マイクロコードを公開 - PC Watch
• IPA、情報セキュリティ10大脅威 2021」公開 - テレワークの脅威初登場 | マイナビニュース
• Apple、WindowsでiCloudキーチェーンを利用可能にするChrome拡張機能を追加 - こぼねみ
• インフォサイエンス製の複数のログ管理ツールに OS コマンドインジェクションの脆弱性 | ScanNetSecurity
• 2021年1月中旬からEmotet活動再開、マクニカネットワークス報告 | ScanNetSecurity
• ペネトレーションツールの紹介　～ProxyChains～: NECセキュリティブログ | NEC
• トレンドマイクロの法人向けセキュリティ製品に複数の脆弱性 - 窓の杜
• マイクロソフトのサポートを装った詐欺にご注意ください - News Center Japan
• sudoの脆弱性（CVE-2021-3156）に関する注意喚起
• 【セキュリティ ニュース】「sudo」に脆弱性「Baron Samedit」が判明 - root権限奪われるおそれ（1ページ目 / 全1ページ）：Security NEXT
• イオンでも不正アクセス、セールスフォース製品の設定不備で | 日経クロステック（xTECH）
• オープンソースソフトウェアを悪用した標的型攻撃事例について解説
• Webカメラやマイクへのアクセス日時が記録されるレジストリ - setodaNote
• Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について(PDF)

• Software ISAC が選んだ開発者が注目すべき 2020 年 10 大ニュース | ScanNetSecurity

1. 改正民法に対応した「情報システム・モデル取引・契約書」
2. 出荷判定チェックリストを公開
3. ISMAPの登録申請が開始されました
4. 多数の不正アクセス・情報漏えい事故
5. ランサムウェア / ランサムDDoS攻撃
6. IPA「脆弱性対処に向けた製品開発者向けガイド」が公開されました
7. Flash サポート終了など、その他 OSS などのセキュリティアップデートに注意
8. OWASP ASVS 日本語版公開
9. TLS暗号設定ガイドライン
10. ドメインレジストラサービスを狙った攻撃

• IPA「情報セキュリティ10大脅威 2021」発表、企業カテゴリ 1 位 ランサムウェア | ScanNetSecurity
• プレス発表　「情報セキュリティ10大脅威 2021」を決定：IPA 独立行政法人 情報処理推進機構

・組織
1位：ランサムウェアによる被害
2位：標的型攻撃による機密情報の窃取
3位：テレワーク等のニューノーマルな働き方を狙った攻撃
4位：サプライチェーンの弱点を悪用した攻撃
5位：ビジネスメール詐欺による金銭被害
6位：内部不正による情報漏えい
7位：予期せぬIT基盤の障害に伴う業務停止
8位：インターネット上のサービスへの不正ログイン
9位：不注意による情報漏えい等の被害
10位：脆弱性対策情報の公開に伴う悪用増加
・個人
1位：スマホ決済の不正利用
2位：フィッシングによる個人情報等の詐取
3位：ネット上の誹謗・中傷・デマ
4位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求
5位：クレジットカード情報の不正利用
6位：インターネットバンキングの不正利用
7位：インターネット上のサービスからの個人情報の窃取
8位：偽警告によるインターネット詐欺
9位：不正アプリによるスマートフォン利用者への被害
10位：インターネット上のサービスへの不正ログイン

SMBC/NPA

• 三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か - ITmedia NEWS
  • 三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か - ITmedia NEWS
  • 三井住友銀行などのソースコードが流出　“年収診断”したさにGitHubに公開か（ITmedia NEWS） - Yahoo!ニュース
  • SMBC三井住友銀行が流出認める：艦これ発端で起きたGitHub経由のコード流出(三上洋) - 個人 - Yahoo!ニュース
  • ソースコード流出 各社が対応 - Yahoo!ニュース
  • GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 | 日経クロステック（xTECH）
  • 45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまう - Togetter
  • 三井住友フィナンシャルグループ、艦これに関する他愛も無い言い争いからソースコード流出が発覚か : 市況かぶ全力２階建
  • 【悲報】20年勤務で年収300万の艦これユーザ、SMBC(三井住友銀行)のソースコードをGithubに公開 → 年収低すぎるのが悪いという意見も：キニ速
  • 【悲報】艦これユーザ、SMBC(三井住友銀行)のソースコードをGithubに公開 : ガハろぐNewsヽ(･ω･)/ｽﾞｺｰ
• SMBCのソースコード流出で話題騒然、3分でまるわかり「GitHub」 | 日経クロステック（xTECH）
• 大手銀などのプログラム、ネット投稿　外注先の関係者か：朝日新聞デジタル
• TokusiN on Twitter: "本人はSMBCとの間に何の契約も結んでいない。所属していた会社は倒産している。SMBCが訴えられるのは、直接取り引きをしていた企業ということになるのだが、既に存在しない以上訴えることが出来ない。この構図によって契約上の問題は発生していない。" / Twitter
• SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題 | 日経クロステック（xTECH）

Emotet

• 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた - piyolog
• マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信 - ZDNet Japan
  • オランダの警察当局がマルウェアの「Emotet」を削除するアップデートの配信計画を進めていることを、米ZDNetが現地時間1月27日に確認した。このアップデートは、Emotetに感染しているすべてのコンピューターからこのマルウェアを削除する動作を、3月25日に開始するという。
    このアップデートの配信が可能になった背景には、8カ国の警察がこのほど一斉摘発を実施し、現時点で最大のマルウェアボットネットと考えられているEmotetを拡散したサーバーの押収やこのボットネットに関与した人物の逮捕を進めたという事情がある。
• 「エモテット」ネットワークを制圧 国際的合同捜査で | IT・ネット | NHKニュース

iOS

• 悪用の報告も ～3件のゼロデイ脆弱性に対処した「iOS 14.4」「iPadOS 14.4」が正式公開 - 窓の杜
• CNN.co.jp : アップルのｉＰｈｏｎｅ、今すぐＯＳ更新を　セキュリティー問題の悪用発覚
• 【セキュリティ ニュース】「iOS 14.4」がリリース、悪用報告あるゼロデイ脆弱性に対処（1ページ目 / 全1ページ）：Security NEXT
• iOS/iPadOS14.4がリリース - iPhone Mania
• AppleがiOS 14.4を公開、ハッカーが悪用した3カ所の脆弱性を修正 | TechCrunch Japan
• Apple Releases Security Updates | CISA
• How to use HTTPS for local development
• iOS/iPadOS14.4では深刻な脆弱性が修正 - iPhone Mania
• About the security content of Xcode 12.4 - Apple Support

宇宙

鉄

IT

• YOASOBI誕生の舞台裏、仕掛け人はソニー同期コンビ　　:日本経済新聞
• ｢チタン製MacBook｣とか超かっこよさそうだけど高そう | ギズモード・ジャパン
• デスクトップで複数のミーティングに同時に参加 – Zoom ヘルプセンター
• 日本で流行りはじめた音声SNS｢Clubhouse（クラブハウス）｣ってなんだろう | ギズモード・ジャパン

その他

• キヤノンがまたクラファンスタート！今度は｢自動追尾するAIカメラ PowerShot PICK｣、またすぐなくなりそう | ギズモード・ジャパン
• キュートに追いかけてくる撮影者いらずなキヤノンのカメラ。｢PowerShot PICK｣ハンズオン | ギズモード・ジャパン

CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド

• 作者:高橋 正和,荒木 粧子,池上 美千代,岡田 良太郎,唐沢 勇輔,北澤 麻理子,武田 一城,橘 喜胤,田中 朗,西尾 秀一,深谷 貴宣,JNSA CISO支援ワーキンググループ
• 発売日: 2021/01/20
• メディア: 単行本（ソフトカバー）