興味を持った記事(2021年01月05日) - まっちゃだいふくの日記

セキュリティ

2020年12月に起こったセキュリティニュースのアレコレをまとめてみた。 - にゃん☆たくのひとりごと
「Node.js」の2021年1月セキュリティ更新～CVE番号ベースで3件の脆弱性に対処 - 窓の杜
- CVE-2020-8265（深刻度：High）：「TLSWrap」のメモリ解放後利用（use-after-free）。メモリ破損からサービス拒否などが引き起こされる恐れ
- CVE-2020-8287（深刻度：Low）：HTTPリクエストスマグリング
- CVE-2020-1971（深刻度：High）：「OpenSSL」におけるEDIPARTYNAME NULLポインタデリファレンス
【セキュリティニュース】NECプラットフォームズ製のIP-PBXサーバに深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT
- 脆弱性について：UNIVERGE SV9500/SV8500シリーズ : キーテレフォン／IP-PBX : 製品 | NECプラットフォームズ
- JVN#38784555: UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性
- 具体的には、細工したURLを送信することで任意のコマンドを実行されるおそれがある「OSコマンドインジェクション」の脆弱性「CVE-2020-5685」や、認証アルゴリズムの実装に問題がある脆弱性「CVE-2020-5686」が含まれる。
【セキュリティニュース】NEC製サーバの監視インタフェースに脆弱性 - 「IPMI over LAN」の利用停止を（1ページ目 / 全1ページ）：Security NEXT
- JVN#38752718: IPMI over LAN による RMCP 接続を行う日本電気製の複数製品に認証不備の脆弱性
- 脆弱性を悪用することで不正にセッションが確立されるおそれがあり、リモートよりログインされて情報を窃取されたり、機器を不正に操作されるおそれがある。共通脆弱性評価システム「CVSSv3」のベーススコアは「5.3」と評価されている。
NEC、サイバー攻撃対策を学べるオンライン講座を開始 - ITmedia NEWS
- 講座の名称は「実践！サイバーセキュリティ演習-インシデントレスポンス編-」。サイバー攻撃の発見から対処方法の他、再発防止策などを盛り込んだ報告書の作成まで一連の流れをWeb会議ツール「Zoom」で学べる。受講の専用ソフトウェアは不要。
2020年の振り返りと2021年 - 水深1024m
2020年末で正式にサポート終了した「Adobe Flash」についてAdobeは「今すぐにFlashを削除することを強く推奨します」とユーザーに通知 - GIGAZINE
- なお、MacからFlash Playerを完全にアンインストールする場合、まず初めに「システム環境設定」→「Flash Player」に移動し、画面右上にある「詳細設定」タブをクリックして「認証を解除」を選択する必要があります。その後、Finderを開いて「アプリケーション」→「ユーティリティ」を開き、Adobe Flash Playerインストールマネージャーを開いて「アンインストール」を選択することで、完全に削除することが可能です。
Zoom (ZM) Explores Email, Messaging, Calendar Services
Facebookの「パスワードのリセット機能」を利用して見覚えがない電話番号の持ち主を特定する方法 - GIGAZINE
ホワイトハッカーを220人養成　五輪組織委、開会式など攻撃想定｜共同通信
- 組織委のホワイトハッカーは、NTTなど民間企業からの出向者が中心だ。国立研究開発法人の情報通信研究機構が養成した。
- NEC、サイバー攻撃対策を学べるオンライン講座を開始 - ITmedia NEWS
クラウド、職場、セキュリティ--激動経て、2021年に注目したいテクノロジー動向 - ZDNet Japan
忙しい人のためのサイバーインテリジェンス(旧情報収集) - 2020/12/28 - Secure旅団情報収集（公開用）
macOS Big Sur 11.1でシステム環境設定のロックが解除できなくなる不具合は、Touch IDやiCloudにも影響し正しいパスワードを受け付けなくなるので注意を。
- Appleが日本時間2020年12月14日にリリースした「macOS 11.1 Big Sur Build 20C69」では、Apple T2チップを搭載したMacでシステム環境設定の各設定を変更する際に鍵アイコン(🔒)のロックを解除できない不具合が確認され、
アドビ、Flash Playerのアンインストールを強く推奨。ジョブズの「iPhoneにFlash拒否」は正しかった？ - Engadget 日本版
- まだの人はいますぐに。サポート終了したFlashの削除方法 - PC Watch
令和２年11 月期観測資料 | 警察庁 @police
Oracle WebLogic Server の脆弱性（CVE-2020-14882）を標的としたアクセスの観測等について | 警察庁 @police
2021年にもう一度“トラスト”を考え直す　「無条件に信頼しない」3つのポイント - ITmedia エンタープライズ
Salesforce上の組織の一部情報が第三者から閲覧可能に、ユーザーに設定確認を呼びかけ | ScanNetSecurity
Slack、仕事始めの日に数時間ダウン（ほぼ復旧済み） - ITmedia NEWS
5割がテレワーク時のセキュリティ対策に不安、IPA調査 | ScanNetSecurity
Veritas, Acronis ほか複数のバックアップソフトウェアに脆弱性、修正バージョン適用を呼びかけ | ScanNetSecurity
FBI、ハッカー御用達のVPNサービスを制圧 | ギズモード・ジャパン
愛媛大に不正ログイン　迷惑メール3万5000件送信 - ITmedia NEWS
- Microsoft365(メール)利用方法 - 総合情報メディアセンター
  - Microsoft365
『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』 – 技術書出版と販売のラムダノート
システムコンポーネントにCriticalな脆弱性～Androidの2021年1月セキュリティ更新 - 窓の杜
- 米Googleは1月4日（現地時間）、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。
Googleの最新「reCAPTCHA v3」も突破する方法が発見される - ITmedia エンタープライズ
あ～パスワード管理めんどくさい！だったらカードで管理してみない？ | ＆GP
macOS 11.1 Big Surには修正されていないローカル権限昇格の脆弱性が存在するもよう。
- Appleが日本時間2020年12月14日にリリースした「macOS 11.1 Big Sur Build 20C69」では、CVEベースで19件の脆弱性が修正され、中には悪意のあるアプリケーションにより権限を取得され任意のコードが実行されてしまう可能性のあるローカル権限昇格（LPE : Local Privilege Escalation)も含まれていますが、
奈良県警で「ONE　PIECE」の防犯LINEスタンプを制作 | 日刊警察
- 生活安全企画課犯罪抑止対策室がイラストの制作を担当。特殊詐欺や子供の犯罪被害等に注意を呼び掛ける内容を、同作品のキャラクターの特徴やセリフを踏まえてコミカルに表現している
- ONE PIECEの防犯スタンプ - LINE スタンプ | LINE STORE
MagSafe対応モバイルバッテリーが便利そう | ギズモード・ジャパン
- AliExpress（アリエクスプレス）に掲載された｢MagSafe Power Bank｣は、iPhone 12の背面にピタリとくっつくモバイルバッテリー。そしてくっつけた状態で15Wのワイヤレス充電にてiPhoneの充電ができます。
ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 - GIGAZINE
警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない｜ビジネス+IT
「管理者権限でログインできるバックドアアカウント」が10万台以上のZyxel製ネットワーク機器で見つかる - GIGAZINE
- 2020年12月23日にオランダのセキュリティ会社であるEyeControlが、「第三者がZyxel製のネットワーク機器に管理者権限でログイン可能なバックドアアカウントのIDとパスワードを発見した」と報告しました。EyeControlのセキュリティ研究者であるNiels Teusink氏によると、問題のバックドアアカウントのユーザー名は「zyfwp」だとのこと。Teusink氏は、悪用があまりにも簡単なことからパスワードを非公開としましたが、IT系ニュースサイトのZDNetやHackRead は「パスワードは『PrOw!aN_fXp』」と報じています。
100億円の広告費をドブに捨てたという真実を知ったUberの話 - GIGAZINE
- 「一体1500万ドルがどこに消えたのだ」とFrisch氏が監査を行ったところ、ログからユーザーが広告をクリックして2秒後にはUberへのログインを行うといった不審な動きが観測されました。人間のユーザーであればこのような動きを行わないことから、ベンダーがボットを使って広告クリックを行い、広告費を消費していたことが疑われました。真実を確かめるべくFrisch氏が広告費の3分の2を停止するという実験を行ったところ、なんとパフォーマンスは変わらず。1億ドル以上の広告費がボットによって無駄に消費されていたことが判明したのです。
Microsoft、「SolarWinds悪用攻撃者にソースコードを見られた」 - ITmedia NEWS
「urlscan.io 超入門」を公開しました - 午前７時のしなもんぶろぐ
- 「「https://t.co/sMBxmCA5pW 超入門」を公開しました」 https://t.co/bo7it4IlGe" / Twitter
事例に学ぶサイバーセキュリティ-多様化する脅威への対策と法務対応 | 増島雅和, 蔦大輔 |本 | 通販 | Amazon

JNSA 2020 セキュリティ十大ニュース発表「テレワーク」「デジタル庁」「東証障害」「Emotetやランサムの進化」大変革時代の幕開け | ScanNetSecurity

NPO日本ネットワークセキュリティ協会

JNSAが選定したセキュリティ十大ニュースはは以下の通り。

第1位：4月7日　新型コロナウイルス感染症　七都府県に緊急事態宣言
～問われるテレワークのセキュリティと働き方～
第2位：9月8日　ドコモ口座サービスで不正利用発覚
～信頼されてきた銀行でも甘かった認証、ドコモ利用者以外にも不安を引き起こす。～
第3位：9月18日　「デジタル庁」21年に設置へ
～デジタル庁　みんなの期待　ショウキアリ？～
第4位：10月1日　東証システム障害で終日売買停止
～危機対応の評価分かれる、IT装置産業のレジリエンスに問題提起～
第5位：9月4日　進化を続けるマルウェア「Emotet」の感染急増
～EmotetはEメールコミュニケーションを死にいたらしめるか？～
第6位：2月12日　防衛関連企業、不正アクセス事案の調査結果を公開
～周到に計画された「国家が支援するサイバー攻撃」の衝撃～
第7位：10月29日　GoTo利用し無断キャンセル千葉のホテル、被害63万円分
～急ごしらえでも不正はフセイでいこう！～
第8位：6月12日　期待のISMAP運用開始
～クラウドサービス選定に新たなスタンダード～
第9位：11月16日　カプコン、標的型ランサムウェアで最大35万人の個人情報流出か
～サイバー攻撃対策も新型コロナ対策も、的確な判断のための計画づくりが重要～
第10位：11月5日　経産省、IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF）を策定
～フィジカルとサイバーをつなぐIoTのセキュリティ対策が動きだす～