セキュリティ

• IIJ、セキュリティ専門家の育成プログラム「IIJセキュリティ教習所」を開設、教育コースを販売 | IT Leaders
  • 現場で必要となる知識を「基礎」、「応用」、「高度」に分類し、必要なレベルに応じた知識とスキルを得られるようにした。また、机上の座学講習だけでなく、現実のインシデント事案をベースに、実践を想定して演習する形にした。ログの解析やインシデントの特定、対処といった事案への対応だけでなく、組織内での影響度の想定、報告方法など、セキュリティ部門としての初動対応に必要な知識と技術を習得する内容とした。
• 【セキュリティ ニュース】VMwareのエンドポイント管理製品に深刻な脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT
  • 同製品は、組織内におけるデバイスやデバイスにインストールされたアプリケーション、業務データへのアクセスなどを一元管理できるソリューション。
  • 同製品のコンソールにおける「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2021-22054」が非公開で報告があり、明らかとなったもの。同製品のネットワークへアクセスできる場合、脆弱性を悪用することでリクエストの送信により認証なしに機密情報を窃取することが可能だという。
  • VMware Releases Security Advisory | CISA
  • VMSA-2021-0029
  • 【セキュリティ ニュース】VMwareのエンドポイント管理製品に深刻な脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】Zoom、ミーティングクライアントなどの脆弱性を修正（1ページ目 / 全1ページ）：Security NEXT
• サイバー政策動向を知ろう Watch! Cyber World vol.1 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
  • 持永 大さんだ！
• 業務スーパーの神戸物産に不正アクセス、個人情報が一部流出の可能性 | ScanNetSecurity
• KOBE　BUSSAN　CO
• Active Directoryのセキュリティ強化、有効化を推奨 | ScanNetSecurity
  • マイクロソフトでは今後、すべてのActive Directory環境が確実に保護されるように、リリース予定の更新プログラムでは強制的に有効化する予定。
    4件のセキュリティ強化内容は下記の通り。
    • Active Directory セキュリティアカウントマネージャーの変更の強化（CVE-2021-42278 / KB5008102）
    • ユーザー プリンシパル名、サービス プリンシパル名、サービス プリンシパル名のエイリアスの一意性の検証（CVE-2021-42287 / KB5008382）
    • 認証の更新プログラム（CVE-2021-42287 / KB5008380）
    • Active Directory のアクセス許可の更新プログラム（CVE-2021-42291 / KB5008383）
• Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性 | ScanNetSecurity
• CrowdStrike Blog：Falcon HorizonでAmazon EC2のセキュリティを確保する方法 | ScanNetSecurity
• 年末年始における情報セキュリティに関する注意喚起：IPA 独立行政法人 情報処理推進機構
• JPRS、ドメイン管理関連 2021年 5大事件公表 | ScanNetSecurity
• 重要インフラ、サイバー防衛義務付け: 日本経済新聞
• 重要インフラ、企業にサイバー防衛義務付け　22年度から: 日本経済新聞
• マイクロソフトが12月のセキュリティ情報公開、Emotetで悪用される脆弱性含む | ScanNetSecurity
  • 2021 年 12 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center
• 見た目はクレカ、中身は精密機械。「紛失防止」機能内蔵のIoTクレジットカード「三井住友カード Tile」爆誕 – すまほん!!
• iPhoneの緊急通報できない問題、iOS 15.2で解消　携帯4社が発表 - ITmedia NEWS
  • ほっと一息。iPhoneの緊急通話問題が解決されていました | ギズモード・ジャパン
  • iPhoneの緊急通報できない問題、iOS 15.2で解消　携帯4社が発表 - ITmedia NEWS
• Slackで障害、接続と読み込みに不具合　どちらも復旧済み - ITmedia NEWS
• 2021年に日本で横行したのは「テクニカルサポート詐欺」、フィッシング詐欺の脅威は昨年より増加 - INTERNET Watch
• デスクトップ・モバイル版「Photoshop」や「Premiere Pro」などに致命的な脆弱性 - 窓の杜
  • 【セキュリティ ニュース】Adobe、11製品に定例パッチ - 深刻な脆弱性を解消するも緊急性高い脆弱性は含まず（1ページ目 / 全1ページ）：Security NEXT
• WEB特集 “14歳”になって見えたこと… SNS性犯罪 驚がくの実態 | NHKニュース
• 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Blog
• フィッシングサイトの7割、Microsoft関連のページを偽装--Adobe Document Cloudは26％ - CNET Japan
• 自宅警備員ごっこで見つけるハッカーの痕跡 - Fox on Security
• Windowsユーザーは注意　セキュリティソフトウェアの検出を回避する新種のマルウェアが見つかる - ITmedia エンタープライズ
• 数百のホテルで提供されるゲスト用Wi-Fiシステムにセキュリティ上の欠陥発見 | TechCrunch Japan
• セキュリティの立ち上げで何をやる？
• 無償ウイルス対策ソフト「Bitdefender Antivirus Free Edition」の配布が終了 - 窓の杜
• 迷惑メールの歩き方 | IIJ Engineers Blog
• さくらのクラウドやSlackが“政府認定クラウドサービス”に登録　各省庁の調達対象に - ITmedia NEWS
  • クラウド基盤はさくらのクラウドに加え、インターネットイニシアティブの「IIJ GIO インフラストラクチャーP2」、富士通クラウドテクノロジーズの「ニフクラ/FJcloud-V」なども追加。SaaSでは、カオナビの人材管理システム「カオナビ」、弁護士ドットコムの電子サインサービス「クラウドサイン」を新たに登録した。
  • さくらインターネットのIaaS型クラウドサービス「さくらのクラウド」が 「政府情報システムのためのセキュリティ評価制度」（ISMAP）に登録 | さくらインターネット
• OpenSSLのlibsslにX509_verify_cert()内部エラーの不正な処理 | ScanNetSecurity
• 無料で設置できるグループウェア「GroupSession」に複数の脆弱性 ～JVNが注意喚起 - 窓の杜
• 2021年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10 | ScanNetSecurity
• TwoFive Blog 第2回「今こそレガシーを見直す時、電子メールのマルウェア対策」 | ScanNetSecurity
• 「超すごいIPv6本」電子版を無償配布　JPRSやNTTコムなども協賛 - ITmedia NEWS
  • 超凄いIPv6解説書(488ページ)を無料配布します！:Geekなぺーじ
  • 「プロフェッショナルIPv6」IPv6の解説書 - 窓の杜
  • 【セキュリティ ニュース】「Apache HTTP Server」に2件の脆弱性 - 修正版「同2.4.52」が公開（1ページ目 / 全1ページ）：Security NEXT
  • 内容さらに充実、IPv6の解説書「プロフェッショナルIPv6 第2版」、BOOTH上で無料配布中【やじうまWatch】 - INTERNET Watch
• macOSの暗号化zipの話の続き - NFLabs. エンジニアブログ
• 「Apache HTTP Server」に2件の脆弱性 ～v2.4.52へのアップデートを - 窓の杜
  • https://dlcdn.apache.org//httpd/CHANGES_2.4.52
• リモートワークのセキュリティ対策、本当にあなたは関係ないですか？誰もが身近にセキュリティの“いま”を感じられるYouTubeチャンネル「GO NEXT」 | TECH+
• 工場SOC とビルSOC ～ 現状と課題 | ScanNetSecurity
• 脅威モデリングのアプローチ方法 | Amazon Web Services ブログ
• 金融機関向け「Google Cloud」対応セキュリティ リファレンスの公開 | Google Cloud Blog
• くろつき@本アカ無事取り戻せました on Twitter: "【※注意喚起】 今回の一連の経緯を、改めて時系列にまとめました。 【※拡散希望】 https://t.co/y9ckZ0oKAa" / Twitter
  • Cheena on Twitter: "少し状況が分かったけど、まず言われているようにWinRARの脆弱性を利用したとかは全く関係なくて、アップデートしていたら防げた話ではないです。典型的な偽装アイコンのスクリーンセーバー(.scr)だけど、検出回避目的に解凍前後でサイズ増大(8MB→318MB)して、デジタル署名までしっかりついている https://t.co/nbmKSXNqiR" / Twitter

Firefox

• MicrosoftのWebサイトを開けない不具合を修正した「Firefox 95.0.1」が公開 - 窓の杜
  • MicrosoftのWebサイトを開けない不具合が修正されたメンテナンスアップデートとなっている。
• 95.0 (64 ビット)
• 95.0.1 (64 ビット)
• Firefox 95.0.1, See All New Features, Updates and Fixes
• MicrosoftのWebサイトを開けない不具合を修正した「Firefox 95.0.1」が公開 - 窓の杜
• 95.0.2 (64 ビット)
• Firefox 95.0.2, See All New Features, Updates and Fixes
  • Addresses frequent crashes experienced by users with C/E/Z-Series "Bobcat" CPUs running on Windows 7, 8, and 8.1.

Thunderbird

• Thunderbird — Release Notes (91.4.1) — Thunderbird
• Security Vulnerabilities fixed in Thunderbird 91.4.1 — Mozilla
• 「Thunderbird 91.4.1」が公開 ～2件の脆弱性に対処 - 窓の杜

Zoom 5.9.0

• Release notes for macOS – Zoom Support
• Release notes for Windows – Zoom Support
• Zoom、会議のスケジュール設定時にフォーカスモードを選択可能に - ITmedia PC USER
• 【セキュリティ ニュース】Zoom、ミーティングクライアントなどの脆弱性を修正（1ページ目 / 全1ページ）：Security NEXT

Release notes of 5.9.0 (3377)

General features

• Observe privacy settings of calendar events
• Improved and expanded emoji support

Meeting/webinar features

• Save custom gallery view order

Meeting features

• Schedule meetings with Focus mode
• Disable Broadcast Message from host to breakout rooms

Webinar features

• Enhanced panelist authentication option

Chat features

• Preview public channels
• Enhanced search when tagging a channel
• Enhancements to group chats
• GIF send enhancement
• Recent search history
• Missed meeting call button

Phone features

• Transfer calls in Desktop Power User experience (Power Pack)

Resolved Issues

• Resolved an issue for a subset of users regarding video quality being limited when a Teams room joins a Zoom meeting via guest join
• Resolved an issue regarding short-form YouTube links not providing a link preview in Zoom chat
• Resolved an issue regarding meeting titles with Japanese characters are erased
• Resolved an issue regarding the inability to make certain international calls to numbers located in Uruguay
• Resolved an issue regarding 8:9 aspect ratio videos playing incorrectly in a meeting
• Resolved an issue regarding 1080p video in Gallery view
• Resolved an issue regarding not being able to join different meetings simultaneously on desktop when enabled
• Resolved an issue regarding Jabra headsets’ mute/unmute not syncing with Zoom
• Resolved an issue regarding Remote Support not being available to participants
• Resolve an issue regarding color discrepancies when using a U-Tap SDI to USB capture device
• Resolved an issue regarding the wrong view being visible when sharing your desktop and the view is minimized

Security enhancements

• Minor bug fixes

Log4j

• 「Apache Log4j」に3つ目の脆弱性 ～修正版のv2.17.0が公開 - 窓の杜
• Google Online Security Blog: Understanding the Impact of Apache Log4j Vulnerability
• 世界中を揺るがしたJavaライブラリの脆弱性・Log4Shellのネタ画像をまとめた「log4j memes」 - GIGAZINE
• Apache Log4j RCE 脆弱性、NTTデータ先端技術が検証報告 | ScanNetSecurity
• Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説 | トレンドマイクロ セキュリティブログ
• Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙う攻撃観測 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
• Apple、iCloudの「Apache Log4j」ゼロデイ脆弱性を修正 - ITmedia NEWS
• Log4j脆弱性を突く攻撃が高度化　WAF回避、認証情報の窃取など　JPCERTが確認 - ITmedia NEWS
• 【セキュリティ ニュース】「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ（1ページ目 / 全2ページ）：Security NEXT
• CISA Issues ED 22-02 Directing Federal Agencies to Mitigate Apache Log4j Vulnerabilities | CISA
• 【セキュリティ ニュース】「Log4Shell」の悪用、国内でも多数検知 - 国内で被害も（1ページ目 / 全2ページ）：Security NEXT
• 【セキュリティ ニュース】国内WAFベンダー「Log4Shell」に対応 - 約500サイトで攻撃を検知（1ページ目 / 全1ページ）：Security NEXT
  • セキュアスカイ・テクノロジーとビットフォレストでは、WAF製品「Scutum」において12月10日に基本的対策を実装。翌11日には難読化を想定した追加対策を行った。12月12日時点で、483サイトにおいて探索行為も含めて2553件以上の通信を検知、遮断したという。
• 【セキュリティ ニュース】脆弱性検証ツール「OWASP ZAP」がアップデート - 「Log4Shell」の影響で（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】「Log4Shell」の当初緩和策を否定 - 最新版への更新を（1ページ目 / 全2ページ）：Security NEXT
• 【セキュリティ ニュース】「Log4Shell」攻撃、対象ポートが拡大中 - 警察庁観測（1ページ目 / 全1ページ）：Security NEXT
• GitHub - CERTCC/CVE-2021-44228_scanner: Scanners for Jar files that may be vulnerable to CVE-2021-44228
• 「Apache Log4j」の脆弱性が話題だけど、そもそもApacheとかJavaの語源って知ってる？：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ） - ITmedia NEWS
• 「Apache Log4j」の脆弱性、日本への悪用攻撃が増加傾向に - ZDNet Japan
• Log4Shell Update: Severity Upgraded 3.7 -> 9.0 for Second log4j Vulnerability (CVE-2021-45046) | LunaSec
• Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙う攻撃観測 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
• AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました | DevelopersIO
• Log4j Zero-Day Vulnerability Response
• 【セキュリティ ニュース】「Apache Log4j 2.17.0」が公開 - サービス拒否の脆弱性を修正（1ページ目 / 全1ページ）：Security NEXT
• 「Apache Log4j」に3つ目の脆弱性 ～修正版のv2.17.0が公開 - 窓の杜
• 【セキュリティ ニュース】Google、一部クラウドサービスで「Log4Shell」の対応必要（1ページ目 / 全2ページ）：Security NEXT
• 【セキュリティ ニュース】MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート（1ページ目 / 全1ページ）：Security NEXT
• SELinux/iptablesとApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228) - security.sios.com
• 【セキュリティ ニュース】ウェブアプリに対する「Apache Log4j」の無償診断を期間限定提供 - ラック（1ページ目 / 全1ページ）：Security NEXT
• 「Log4j」に新たな脆弱性、深刻度は「High」　バージョン2.17.0へのアップデートを呼び掛け - ITmedia NEWS
• 2021年12月のセキュリティアップデート解説：「Log4Shell」など156件
• Inside the code: How the Log4Shell exploit works – Sophos News
• 【セキュリティ ニュース】Ciscoが「Log4Shell」の調査を終了、65製品に影響 - 大半が年内にリリース予定（1ページ目 / 全2ページ）：Security NEXT
• 「Apache Log4j」の脆弱性、ワーム化の懸念など--セキュリティ専門家はどう考える？ - ZDNet Japan
• MIT Tech Review: Log4J問題で明るみになった「ボランティア頼み」の危うさ
• コンテナのLog4Shell脆弱性検出にAmazon Inspector/ECR拡張イメージスキャンを使う | DevelopersIO
• ラック、「Apache Log4j」問題の脆弱性無料診断サービスを提供　12月24日18時まで申し込み可能 - クラウド Watch
• Apache Log4j2のRCE脆弱性を狙う攻撃を観測 | ScanNetSecurity
• SHIFT SECURITY、Log4jの脆弱性と攻撃被害発生の有無を無償調査 | ScanNetSecurity
• ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃 - ZDNet Japan
• 【セキュリティ ニュース】Ciscoが「Log4Shell」の調査を終了、65製品に影響 - 大半が年内にリリース予定（1ページ目 / 全2ページ）：Security NEXT
• 【セキュリティ ニュース】脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由（1ページ目 / 全3ページ）：Security NEXT

宇宙

• アポロ飛行士たちの死因から明らかになった「宇宙の健康問題」 | WIRED.jp
• 木星の質量の10倍以上！ かつてない大きさの太陽系外惑星を発見か | ギズモード・ジャパン
• ジェイムズ・ウェッブ宇宙望遠鏡、推進剤の充填作業を終える | ギズモード・ジャパン
• 総務省｜宇宙天気予報の高度化の在り方に関する検討会｜宇宙天気予報の高度化の在り方に関する検討会（第1回）
• 地中レーダーで古代ローマの町の姿が丸ごと明らかに | ギズモード・ジャパン

鉄

IT

• itFun.jp: PuTTYを「プッティ」と読む日本の皆様へ
  • なにはともあれ間違っている用語を今後も使うのはあれなので、これからは「パティ」と可能な限り読んできたいと思っている所存です。
• アポロ飛行士たちの死因から明らかになった「宇宙の健康問題」 | WIRED.jp
• なぜエンジニアが作る画面はダサいのか…?「理由」と「対策」を徹底解説【エンジニア向け画面デザイン講座】 - Qiita
• 実現可能性の高い、未来の科学技術10選 | ギズモード・ジャパン
• Macのストレージを圧迫し続ける1個の巨大ファイルに立ち退いてもらった：CloseBox（1/2 ページ） - ITmedia NEWS
• Googleからは逃れられない？ 米空軍のステルス爆撃機B-2、Google マップで激写される【やじうまWatch】 - INTERNET Watch

その他

• 断続的に聞こえる小さい音の原因を探っていたらリビングで恐ろしい物を発見「アウトなやつやん」 - Togetter
• 冷蔵庫のアラームがなり続けていて故障かと思い説明書を確認したら、意外な内容が書かれていて結果的に命拾いした「家電のアラームのおかげで助かってる…」 - Togetter
• 刃物男を警察官が一撃で対応する映像を見て、『現代の達人なのでは？』と思った話。｢実践的な小手｣｢そもそも熊本県警は剣道がくそ強い｣ - Togetter
• テスラのオートパイロットは、オートパイロットなしよりも3倍以上、全自動車平均よりも9倍近く安全みたい | ギズモード・ジャパン
• 壁ペイントで在宅勤務のテンションが上がった話, Hiroki Hada
• コロナ禍で「報・連・相がしづらくなった」が6割超え、セキュリティミスの発生にも影響か――クオリティア調べ - ITmedia エンタープライズ

JavaScript 第7版

• 作者:David Flanagan
• オライリージャパン

Amazon