セキュリティ

• 児童全員同じパスワードで配布されたタブレットで起きた問題についてまとめてみた - piyolog
• Thunderbird — Release Notes (91.1.1) — Thunderbird
• 【セキュリティ ニュース】CMSの「Drupal」に5件の脆弱性 - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT
  • 同システムのコア部分に含まれるモジュールに「クロスサイトリクエストフォージェリ（CSRF）」の脆弱性「CVE-2020-13673」「CVE-2020-13674」やアクセス制御がバイパスされる脆弱性「CVE-2020-13675」「CVE-2020-13676」「CVE-2020-13677」が判明し、対処したもの。
  • Drupal Releases Multiple Security Updates | CISA
• Microsoft Releases Security Update for Azure Linux Open Management Infrastructure | CISA
  • restrict external access to Linux systems that expose OMI ports (TCP 5985, 5986, and 1270)
• APT Actors Exploiting Newly Identified Vulnerability in ManageEngine ADSelfService Plus | CISA
• 【セキュリティ ニュース】「Apache Tomcat」にDoS攻撃受けるおそれ - 3月の更新で修正済み（1ページ目 / 全1ページ）：Security NEXT
  • TLSパケットの処理に不備があり、細工したパケットを受信した際に無限ループが生じてサービス拒否が生じるおそれがある脆弱性「CVE-2021-41079」を過去のリリースで対処していたことを明らかにしたもの。
  • Apache Tomcatにサービス運用妨害（DoS）の脆弱性 | ScanNetSecurity
• 件名「新冠ワクチン接種のお知らせ」のメール、厚生労働省をかたるフィッシングに注意 - INTERNET Watch
• Developer-First Security という考え方 / Introduction to Developer-First Security - Speaker Deck
• ランサムウェア被害防止対策　：警察庁 | サイバー犯罪対策
• 主に東南アジアを狙う攻撃者「Earth Baku」、使用する攻撃ツールおよび「APT41」との関連を解説 | トレンドマイクロ セキュリティブログ
• 「サプライチェーン」の侵害が顕在化：国内における標的型攻撃を分析 | トレンドマイクロ セキュリティブログ
• 非クラウドの「Office 2021」、「Windows 11」と同じ10月5日発売 - ITmedia NEWS
• Adobe AcrobatとReaderに複数の脆弱性　直ちにアップデートを - ITmedia エンタープライズ
  • Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性 | ScanNetSecurity
• 大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得 | ScanNetSecurity
• JNSA 資料公開～「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向 | ScanNetSecurity
• マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件 | ScanNetSecurity
• LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い | ScanNetSecurity
• 「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案 | ScanNetSecurity
• 国産Linux「MIRACLE LINUX 8.4」が10月4日に無償提供。終了したCentOSの後継に最適 - PC Watch
  • サイバートラストはCentOSを利用中の企業ユーザーに向け、システムの運用継続を支援する方針のもと、従来有償で提供していたMIRACLE LINUXを8.4からライセンスフリーとして公開することを決めたとしている。
  • MIRACLE LINUX 8.4ではCentOS 8からの移行ツールがあり、OSのインストールのし直しや最新版へのアップデートを行なうことなくMIRACLE LINUXに移行可能。RHEL 8.4のクローンであるため、CentOS 8ソフトウェアの構成を含めて同等の運用を継続できるとしている。
• 【セキュリティ ニュース】「Apache Tomcat」にDoS攻撃受けるおそれ - 3月の更新で修正済み（1ページ目 / 全1ページ）：Security NEXT
• Oracle、「Oracle JDK」を再び無料提供へ　本番環境でも利用可 - ITmedia NEWS
  • Publickey on Twitter: "オラクル、Oracle JDKを再び無料提供へ、本番環境でも利用可。昨日リリースのJava 17から https://t.co/GmflSGgIAT" / Twitter
• サイバー犯罪者による、あからさまな「日本狙い」　経営者・管理者に求められる、犯罪プロ集団への対応策 - ログミーBiz
• これで画面共有も安心、Windows 365 Cloud PCとAzure Virtual Desktopで「画面キャプチャ保護」機能が利用可能に：Microsoft Azure最新機能フォローアップ（157） - ＠IT
• 『デューン』の世界に見る情報セキュリティ | カスペルスキー公式ブログ
• 【セキュリティ ニュース】Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加（1ページ目 / 全3ページ）：Security NEXT
• Analyzing attacks that exploit the CVE-2021-40444 MSHTML vulnerability | Microsoft Security Blog
• 「MS Silverlight」のサポート終了が迫る中、オープン実装「OpenSilver」がベータに | OSDN Magazine
• Windows 10に新たな印刷問題 ～2021年8月のセキュリティパッチ以降で - 窓の杜
• 標的型攻撃に利用された脆弱性と攻撃者グループの関係性 | セキュリティ対策のラック
• 音楽機器のズーム社、商標権侵害でWeb会議「Zoom」提供のNEC子会社を提訴　「和解金での解決を排除」 - ITmedia NEWS
  • 米Zoom Video Communications（ZVC）のWeb会議システム「Zoom」が同社の登録商標を侵害しているとして、日本でZoomを提供しているNEC子会社のNECネッツエスアイに対して侵害行為の差し止めを求める訴訟を、東京地方裁判所に提起したと発表した。
• GMO Developer Day 2021 - DevSecOps 推進の取り組みの紹介.pdf - Speaker Deck
• “世界最速”のペアリング暗号化技術をどう実現するか？　ペアリングを使うのに固定多倍長演算が必要な理由 - ログミーTech
• ランサムウェア攻撃の検出数、2020年から半減――それでも全く楽観できない理由　Trend Micro調査 - ITmedia エンタープライズ
• CVE-2021-40444の個人的調査メモ - sec-chick Blog
• サイバーレジリエンスとはなにか（パート2：他分野やリスクとの関係）: NECセキュリティブログ | NEC
• CI に Trivy を組み込んで脆弱性スキャンを行った結果を Slack に通知する - 継続は力なり
• VMware Releases Security Updates | CISA
  • VMSA-2021-0020
• 12億円以上を稼いだサイバー犯罪組織を警察が解体して106人を一斉逮捕、イタリアマフィアとのつながりも - GIGAZINE
• NETGEAR Releases Security Updates for RCE Vulnerability | CISA
  • Security Advisory for Remote Code Execution on Some Routers, PSV-2021-0204 | Answer | NETGEAR Support
• GoogleがAndroidの「パーミッション自動リセット機能」の適用拡大を発表、数十億の端末が対象に - ITmedia エンタープライズ
  • Android 6からAndroid 10までのデバイスに同年12月から「パーミッション自動リセット機能」を順次適用すると発表
  • This feature will automatically be enabled on devices with Google Play services that are running Android 6.0 (API level 23) or higher.
• グローバルで進む、個人情報保護法の厳格化　企業が行うべき3つの施策：DX時代のプライバシー（1/3 ページ） - ITmedia ビジネスオンライン
• 国内で確認の標的型攻撃者グループ、2020年は活動再開含む7つ ～ トレンドマイクロ報告 | ScanNetSecurity
• Google Chrome の V8 エンジンにおいて Array.concat でのコールバック関数の制御不備により遠隔からの任意のコード実行が可能となる脆弱性（Scan Tech Report） | ScanNetSecurity
• Windows 11にアップグレードできるか診断　Microsoftが「PC正常性チェック」の一般公開を再開 - ITmedia PC USER
• MS、悪意ある「Office」ドキュメント用いたマルウェア攻撃の現状を解説 - ZDNet Japan
• How to attack cloud infrastructure via a malicious pull request | Teleport
• 【悲報】Microsoft、Windows 11の仮想マシンでもTPM 2.0を要求 - ソフトアンテナブログ
  • TPM 2.0をサポートしていない仮想マシンをアップグレードしようとすると、「This PC doesn't currently meet Windows 11 system reqirements(このPCは現在、Windows 11のシステム要件を満たしていません)」「The PC must support TPM 2.0(PCはTPM 2.0をサポートしている必要があります」というメッセージが表示され、アップデートがブロックされる模様です。
• iOS14.8のバッテリー持続時間は？歴代iOSと比較した動画 - iPhone Mania
• 2021年上半期のぜい弱性件数、グーグルがワースト1、マイクロソフトがワースト2 - CNET Japan
  • 2021年上半期のぜい弱性件数をベンダー別でみると、もっとも多いワースト1はGoogleの547件。ワースト2はMicrosoftの432件だった。
• 急増するサイバー犯罪「偽サイトを見破ることは不可能！？」最新の手口を広島県警のプロが徹底解説 | 広島ニュースTSS | TSSテレビ新広島
  • Ｑ見た目は本物そっくりだが、本物と偽物を見分けるポイントはあるのか。
    【広島県警サイバー犯罪対策課・伊藤直也 課長補佐】
    見た目だけで見分けるのはほとんど不可能だと思ってもらっていい。フィッシングサイトは本物のサイトをコピーして作られるものなので、見た目はまったく同じ。
• ハッカーたちは連休がお好き？ ランサムウェア攻撃のタイミングに「祝日」が多い理由 | WIRED.jp
  • 攻撃者にとって、長い休みは実に魅力的だ。じっくり時間をかけてネットワーク全体にランサムウェアを増殖させることができる。その間にハッカーたちは次々とアクセス権を獲得し、システムの大部分を最大限にコントロールしようとする。誰かが侵入に気づくまでの時間が長いほど、大きなダメージを与えられるのだ。
• サイバー身代金、支払い5割　金額急増し攻撃に拍車: 日本経済新聞
• Shipping to Elasticsearch Microsoft DNS Logs:InfoSec Handlers Diary Blog
• ChromeでMicrosoft UpdateカタログからファイルをDLできなくなる。対処方法あり | ニッチなPCゲーマーの環境構築Z
• 静岡大学のクラウドサーバに不正アクセス、約53,000通の迷惑メール送信の踏み台に | ScanNetSecurity
• 「.xyz」ドメインを使うのはやめた方がいいとベンチャーのCEOが語る理由とは？ - GIGAZINE
• freeeがお試し発注から年間契約締結へ。技術力重視でホワイトボックス診断を実施 | Flatt Security
• フランスが猛反発 アメリカ・オーストラリアとの間に何が？ | 米 バイデン大統領 | NHKニュース
• eKYCは当人認証ではなく身元確認 渋谷区の電子申請で乱用 他へ拡大のおそれ - Togetter
• M1チップの脆弱性M1raclesを読み解く / About the vulnerability on M1 chip called M1racles - Speaker Deck
• 【セキュリティ ニュース】ADパスワード管理ツールの脆弱性、APT攻撃で悪用 - 米当局が注意喚起（1ページ目 / 全2ページ）：Security NEXT
  • Zoho製ソフトウェア「ManageEngine ADSelfService Plus」に深刻な脆弱性が見つかった問題で、APT攻撃に悪用されていることがわかった。ドメインコントローラーを侵害され、組織に多大な影響を及ぼすおそれがあり、米当局が注意を呼びかけている。
• 【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた！ ニセ通販サイト詐欺の一部始終と防止策 | ロケットニュース24
• みんなのセキュリティコラム（Grafsec・SPREAD共同コラム）2021年9月22日配信 - Grafsec

Password less

• ついに｢パスワードレス｣の世界がきた。｢Microsoftアカウント｣パスワードが削除可能に | ギズモード・ジャパン
  • マイクロソフトは、今年初めからパスワードレスの認証システムへの移行を進めていて、法人ユーザーはすでにパスワードレスでアカウントにサインイン可能になっていましたが、今回から全てのユーザーが利用可能になりました。
  • ログインするにはMicrosoft Authenticatorアプリ、またはWindows Helloの指紋や顔が必要です。
• マイクロソフトが実現した「パスワード不要のログイン」の意味 | WIRED.jp
• ついに｢パスワードレス｣の世界がきた。｢Microsoftアカウント｣パスワードが削除可能に | ギズモード・ジャパン

Microsoft Chromium Edge Security Updates 93.0.961.52がリリースされました。

• もう1件のゼロデイ脆弱性に対処した「Microsoft Edge」v93.0.961.52が公開 - 窓の杜
• Release notes for Microsoft Edge Security Updates | Microsoft Docs
• CVE-2021-30632 - セキュリティ更新プログラム ガイド - Microsoft - Chromium: CVE-2021-30632 Out of bounds write in V8
• もう1件のゼロデイ脆弱性に対処した「Microsoft Edge」v93.0.961.52が公開 - 窓の杜

Apple

• About the security content of iTunes 12.12 for Windows - Apple サポート (日本)
• About the security content of Safari 15 - Apple サポート (日本)
• About the security content of Xcode 13 - Apple サポート (日本)
• About the security content of tvOS 15 - Apple サポート (日本)
• About the security content of watchOS 8 - Apple サポート (日本)
• About the security content of iOS 15 and iPadOS 15 - Apple サポート (日本)
• Apple、iOS 14.8/iPadOS 14.8のセキュリティコンテンツをアップデート。iOS 15/iPadOS 15と同じ脆弱性を複数修正。
• iOS 15で『dアカウントメニューが正しく表示されない』とドコモが注意喚起　プライベートリレー機能ONで - Engadget 日本版
• 【セキュリティ ニュース】Apple、「iOS 15」「iPadOS 15」をリリース - 脆弱性22件を修正（1ページ目 / 全1ページ）：Security NEXT
• まず試したいiPadOS 15の新機能19 | ギズモード・ジャパン
• iOS 15ではApple IDのログインパスワードを忘れた際に、信頼できる家族や友達にパスワードのリセットと復旧を手伝ってもらえる「アカウント復旧用の連絡先」を設定可能。
• Apple Releases Security Updates for Multiple Products | CISA
• iOS15でFace IDのセキュリティ向上　3D複製技術による突破を防止 - iPhone Mania
• iOS 15では「iOS 15にアップデートしない」という選択肢も可能になる？ [iPhone駆け込み寺] - ケータイ Watch
• 更新は見合わせて ～Windows版「iTunes」にセキュリティアップデートが配信されるも起動不能に - 窓の杜
• 【iOS15】ついにiPhoneにアプリ間ドラッグ＆ドロップが来たぞー！ やり方はこれを見て！ | ギズモード・ジャパン
• 「iOS 15」「iPadOS 15」では脆弱性の修正も ～CVE番号ベースで22件 - 窓の杜
• 更新は見合わせて ～Windows版「iTunes」にセキュリティアップデートが配信されるも起動不能に - 窓の杜
• iOS 15で新たに足切りされるiPhoneはないが……　新機能に対応するiPhoneモデルまとめ - ITmedia NEWS
• ドコモやソフトバンクなどiOS15の「iCloudプライベートリレー」で影響あるサービスと回避方法を案内【更新】 - こぼねみ
• ドコモとソフトバンク、iOS 15の「プライベートリレー」で注意呼びかけ - ケータイ Watch
• 迫るiOS 15リリースでマーケティング担当者が失うデータ、計画すべきDIYメトリクス戦略 | TechCrunch Japan
• iPadの画面分割が「…」メニューで使いやすく　Apple、「iPadOS 15」を配布開始（1/2 ページ） - ITmedia NEWS
• Google、「iOS 15」「iPadOS 15」へのアプリ対応をアピール - ITmedia NEWS
• Apple Watchが自転車ワークアウトの自動検出、電動アシスト対応　Apple、「watchOS 8」を配布開始（1/2 ページ） - ITmedia NEWS
• iPhone 13／13 Proのカメラは何が変わった？　「ハード」と「ソフト」の進化まとめ（1/3 ページ） - ITmedia Mobile
• iOS 15リリース後もmacOSと同じく、セキュリティアップデートを受けながら旧iOS 14を使い続けることが可能に。
• iOS 15のAirPods Pro／Maxを｢探す｣機能が使えるのはもう少し先 | ギズモード・ジャパン
• 【iOS 15】Safariのタブが下に来て、めちゃんこ便利なんですけどー！ | ギズモード・ジャパン
• 本日公開のiOS 15、「写真」アプリでExifを見られるように - デジカメ Watch

Chrome

• Https-Onlyモードが利用できる「Google Chrome 94」が正式公開 ～4週間のリリースサイクルも始動 - 窓の杜
• Google Chromeを今すぐ更新したほうがいい | ライフハッカー［日本版］
• Chrome Releases: Stable Channel Update for Desktop
• バージョン: 93.0.4577.82（Official Build） （arm64）
• バージョン: 94.0.4606.54（Official Build） （arm64）

宇宙

• 史上初、民間人だけで宇宙へ。SpaceXのInspiration4ミッション | ギズモード・ジャパン

鉄

• 「駅で出所者を顔認識」とりやめ　JR東「社会的合意まだ得られず」：朝日新聞デジタル
• Hiromitsu Takagi on Twitter: "この解説記事、解説だと思って読むと、サラッととんでもない新事実が書かれてる。1面スクープ並みの新事案発生じゃないの？ https://t.co/TsLmEkT6LN" / Twitter

IT

• 「Microsoft Edge」の開発者ツールはパーソナライズも充実 ～日本語化、テーマ、ツールレイアウト - 窓の杜
• LINEが勤務地をほぼ全国に拡大、部署ごとに勤務ルールを作る新制度に　交通費は月10万円まで - ITmedia NEWS
• Alphabetの無線レーザー光通信「Taara」、コンゴ川横断の700TBデータ送信に成功 - ITmedia NEWS
• M1 MacでのWindows 11はサポート対象外との表明、Parallelsの対応は - Computerworldニュース：Computerworld
  • ARM版Windows 11については、「Surface Pro X」などのARMチップ搭載機がサポート対象となっているが、今回の情報からすると、同じくARMベースのM1 Macは対象外のようだ。
• 連休特価で1TB SSDが9000円切り！：古田雄介の週末アキバ速報（1/2 ページ） - ITmedia PC USER
• Google Cloudに勘定系システム--みんなの銀行が利用状況など公開 - ZDNet Japan
• 大分県姫島村にて防災・減災の実証実験に関するセンサー設置完了～フィジビリティスタディの折り返しを迎えて想うこと～｜ラック新規事業開発｜note
• 高専が目指すソーシャルドクター　副業で最前線の実務家を公募 | 2021年10月号 | 先端教育オンライン
• 「読みやすさが一目瞭然」Windowsに元から入ってる『UDデジタル教科書体』は障害があっても無くてもオススメしたいフォント - Togetter
• 【iOS15】【iPadOS 15】の｢メッセージ｣アプリ、複数枚の写真は｢コレクション｣でまとまって届くよ | ギズモード・ジャパン
• 【今なら20%ポイント】USB-CハブとSSDが合体して最強に見える。Ankerの｢これ1つで全部任せろUSBハブ｣デビュー！ | ギズモード・ジャパン
• 永続ライセンス版「Microsoft Office 2021」が登場　米国では10月5日に発売：Windows 11と同時リリース - ITmedia PC USER
  • インストール自体は、サブスクリプション版と同じ「Click-to-Run」で行われる。そのため、インストールを行う際はインターネットへの接続が必要となる。アプリで利用できる機能は、リリース時点におけるサブスクリプション版と同様だ。ただし、Microsoft 365のサービスに依存する機能は利用できないか、利用できても機能が大幅に制限される。
  • また、永続ライセンス版では更新プログラムによる機能アップデート（新機能の追加）は行われない。ただし、セキュリティ問題や不具合を解消するための更新プログラムは利用できる。
• Slackの通知音をどう表記するか問題に公式回答：明日から使えるITトリビア - ITmedia NEWS

その他

• 途上国で調査をしてる方が語る「自動車の燃料の不足と、ヒャッハー系山岳少数民族による略奪と転売」の話が変わらず壮絶 - Togetter
• 100円を人質に取ることでショッピングカートが所定位置に戻る仕組みを考えた人は天才なのでは - Togetter
• 【独自】一般道の自動運転、スバルが実用化へ…歩行者・信号をＡＩが識別 : 経済 : ニュース : 読売新聞オンライン
• レジ袋有料化で万引深刻　旭のスーパー「被害数倍に」　マイバッグ使い大胆手口　　【ちば特　千葉日報特報部】 | 千葉日報オンライン
• 「中国版リーマン・ショック」発生か…！中国最大の不動産会社「恒大集団」破綻秒読みの深層（近藤 大介） | 現代ビジネス | 講談社（1/7）
• 死んだペットが10万ドルでよみがえる（文字どおり）　クローン犬誕生の現場に立ち会った【動画あり】：朝日新聞GLOBE＋
• 冗談半分で買った絵本を息子さんがえらく気に入ってしまい何百回も読まされて苦痛なお母さん…その絵本に注目が集まる「冗談のような表紙」 - Togetter

セキュリティエンジニアのための機械学習 ―AI技術によるサイバーセキュリティ対策入門

• 作者:Chiheb Chebbi
• オライリージャパン

Amazon