セキュリティ

• “Googleのアプリプロテクト”でAndroid向けゲームに不具合発生か。国内開発者が死ぬ気で直した謎の不具合 - AUTOMATON
• 誕生日から生成した初期パスワードを悪用した内部不正事案についてまとめてみた - piyolog
  • 誕生日の初期パスワード、「そのまま」悪用　福岡・小竹町職員逮捕 | 毎日新聞
  • 給与や人事のぞき見も?　不正アクセス637回容疑の町職員　福岡・小竹 | 毎日新聞
• KDDIの通話・通信障害メモ - show log @yuyarin
• JPCERT/CC 感謝状 2022
• ハッカー志望の男が起こした大量の虚偽申請による業務妨害事案についてまとめてみた - piyolog
• ダウンロードしたVBAマクロ入りファイル、デフォルト無効化が取り消し。MicrosoftがOfficeの仕様を再度変更 - PC Watch
  • Microsoft rolls back decision to block Office macros by default
• IT関連の採用面接でディープフェイク使用が増加…FBIが警告 | Business Insider Japan
• Content Security Policy のレポートを収集するためにやったこと - Classi開発者ブログ
• 苔生田ノザラシ on Twitter: "ちょうど今日、前職で日本で暮らしている外国人のトラブルを担当していたと言うニューカマーから、海外からの怪しい日本語詐欺メッセージは日本人をターゲットにしたものではなく、同じく日本語が余り得意ではない層に向けた謂わば「同族殺し」なのだ、と教わったのでTLにも共有しておきますね……。" / Twitter
• グーグル、6月のAndroidセキュリティパッチを一部修正 - ケータイ Watch
  • Androidにリモートコード実行の脆弱性 ～2022年7月のセキュリティ更新が公表 - 窓の杜
• ラズパイ使って防犯システム構築してみた | エンジニアの休日
• Cloudflare Workers でも Firebase Authentication を使えるぞ！！
• 5chがスクリプト荒らしと運営の無能によって崩壊しそうでヤバい
• 「Hive」ランサムウェアの亜種が登場--記述言語がGoからRustに - ZDNet Japan
• OpenSSLに複数の脆弱性、アップデートを呼びかけ | ScanNetSecurity
  • 【セキュリティ ニュース】OpenSSLに複数脆弱性 - 対処したアップデートが公開（1ページ目 / 全1ページ）：Security NEXT
  • 「OpenSSL」にリモートコード実行などにつながる脆弱性 ～v3.0.5/1.1.1q」への更新を - 窓の杜
  • OpenSSL Releases Security Update | CISA
• 中小企業向け無償セキュリティプラットフォーム「S4」、Webアプリの再診断結果を確認可能に | ScanNetSecurity
• AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与 － Publickey
• 2022年の改正職業安定法・改正個人情報保護法とネット系人材紹介会社や就活生のSNS「裏アカ」調査会社等について考えるープロファイリング : なか2656のblog
• Cisco Releases Security Updates for Multiple Products | CISA
  • 【セキュリティ ニュース】Cisco製コラボレーションツールに重要度「Critical」の脆弱性（1ページ目 / 全1ページ）：Security NEXT
  • 【セキュリティ ニュース】「Cisco ESA」などに深刻な脆弱性 - 認証バイパスのおそれ（1ページ目 / 全1ページ）：Security NEXT
• 「Microsoft Defender for Individuals」でMicrosoftが狙う市場：Windowsフロントライン（1/2 ページ） - ITmedia PC USER
• 情報処理学会が「サイバー空間を安全にするコンピュータセキュリティ技術」に関する論文を広く募集 | ScanNetSecurity
• iOS16／iPadOS 16／watchOS 9／tvOS 16／macOS 13 Beta3がリリース【ロックダウンモードやクマノミ壁紙など新機能や変更点あり】 - こぼねみ
  • Apple、高度な標的型スパイウェアからユーザー守る「ロックダウンモード」を次期OSに導入 - ITmedia NEWS
  • Apple、国家支援型のスパイウェアなどに対抗するため、一部のユーザーに対しiOS 16やmacOS 13 Venturaでデバイスのセキュリティレベルを強化する「Lockdown Mode」を追加すると発表。
• 上海警察から流出した10億人分の個人情報は1年以上パスワードなしで公開されていたことが判明 - GIGAZINE
  • 中国に住む約10億人のデータ22TBが警察のデータベースから盗まれ2800万円で販売中、中国史上最大のハッキングの可能性 - GIGAZINE
  • 10億人の個人情報が漏えいか--ダークウェブでの販売を確認 - ZDNet Japan
  • 中国人10億人分の情報、警察から入手　ハッカー主張 | ロイター
  • 中国10億人分の個人情報、22TB分が流出か　ハッカーが約2687万円で販売と海外報道 - ITmedia NEWS
• 攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
• “まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃　米Microsoftなどが指摘：Innovative Tech - ITmedia NEWS
  • 今回はこのSSOを逆手に取った攻撃を行う。前提条件として、攻撃者が被害者のメールアドレスを取得していること、狙うサービスがメールアドレスの確認をしないでアカウント作成できることを必要とする。
• 【セキュリティ ニュース】監査ログ分析管理ツール「ADAudit Plus」、深刻な脆弱性の詳細が明らかに（1ページ目 / 全1ページ）：Security NEXT
• 個人情報25万件が“Google検索で丸見え”のリスクモンスター、原因はAWS移行時の設定ミス - ITmedia NEWS
• Microsoft Defender Vulnerability Management add-onを試してみた – CloudNative Inc. BLOGs
• 「Windows LSA」の脆弱性、米CISAが改めてパッチ適用を勧告 - ZDNet Japan
• デジタル庁「DS-221 政府情報システムにおける脆弱性診断導入ガイドライン」にISOG-J協力 | ScanNetSecurity
• 業務中にゼロデイ続々発見するイエラエが「レッドチーム演習」開始 | ScanNetSecurity
• CISO/CSO未設置は24.3％、サプライチェーンへの攻撃は43.3％が経験～トレンドマイクロ調査 | ScanNetSecurity
• Microsoft Windows において DiagnosticProfile COM オブジェクトを悪用して UAC を回避し特権ディレクトリに任意のファイルを作成する手法（Scan Tech Report） | ScanNetSecurity
• New RedAlert Ransomware targets Windows, Linux VMware ESXi servers
• North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector | CISA
• 量子コンピュータの攻撃に備えるための4つの暗号化アルゴリズムをアメリカ国立標準技術研究所が採択 - GIGAZINE
  • NISTはこのうち、「CRYSTALS-KYBER」と「CRYSTALS-Dilithium」を強力なセキュリティと優れたパフォーマンスを理由に「推奨」と位置付け、他の2種とともに約2年かけてポスト量子暗号の一部に組み込んでいくとしています。NISTはセキュリティ専門家に移行の準備を開始することを強く推奨していますが、「規格が確定する前にアルゴリズムが若干変更される可能性があるため、まだシステムに組み込むことはしないでください」と注意しています。
• 「詐欺メールが来たからサーバーを攻撃しといた」禁断の文字列を入力する攻撃が発想の勝利→「これが現代の呪詛返しか…」 - Togetter
• 一般ユーザに払い出すと危険なサブドメインやメールアドレス - ASnoKaze blog
• 【Mac Info】Macにウイルス対策は不要？「これだけはやっておきたい」6つのセキュリティ設定 - PC Watch
• 2021年度「企業・組織におけるテレワークのセキュリティ実態調査」公開、特例や例外が増加 | ScanNetSecurity
• 仕様起因の脆弱性を防ぐ！開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog
• 第174回　MySQLのデータ暗号化いろいろ：MySQL道普請便り｜gihyo.jp … 技術評論社
• Django fixes SQL Injection vulnerability in new releases
• 純粋恐喝時代に突入、暗号化しないランサムウェア | ScanNetSecurity
  • 今でもランサムウェアの運用者とみなされているサイバー犯罪集団が、主たる活動をデータ窃盗と恐喝へとますます転換しつつある。暗号化のステップをいっさい飛ばすということだ。ファイルにスクランブルをかけ、復号キーの代金を要求し、これらのプロセスを円滑に進めるために必要なあらゆる煩瑣な手順を踏まなくても、単にデータを盗み去り、全部の漏えいを取り止めるための料金を要求すれば、同じ効果が得られるためだ。この移行は何か月も続いており、ほぼ不可避の流れになっている。
• マイナンバーカードの中身をOpenSCで覗いてみる - Qiita
• キヤノン製オフィス向けプリンターに脆弱性、対象は多岐に | ScanNetSecurity
• NTTデータ関西がEmotet感染、自治体等向けの電子申請サービス問い合わせメールが流出 | ScanNetSecurity
• PBXやIP電話対応機器が該当、第三者による国際電話の不正利用に注意呼びかけ | ScanNetSecurity
• Excelファイルの保護を解除する「PassFab for Excel Mac」登場 - ITmedia NEWS
• 宮崎県警で宮崎大学生を特定サイバー防犯ボランティアに委嘱 | 日刊警察
• トヨタ・スズキのコネクテッドカーサービス復旧　au通信障害解消に伴い - ITmedia NEWS
• シスコが新しいセキュリティ構想「シスコセキュリティクラウド」発表、さまざまな技術をクラウド上で融合させ進化 - クラウド Watch
• 総務省｜インターネット上の海賊版サイトへのアクセス抑止方策に関する検討会｜インターネット上の海賊版サイトへのアクセス抑止方策に関する検討会（第9回）
• Redis・Docker APIを狙うマルウェアの調査とスキャンの観測 – wizSafe Security Signal -安心・安全への道標- IIJ
• 「WordPressがセキュリティ的に危険」は独占禁止法違反？ - ニュース - Capital P - WordPressメディア
• セキュリティエンジニア向け英語教材、IPAが無償公開　「セキュリティ英単語集」など - ITmedia NEWS
• 侵入者にとってクラウドはメリットだらけ？　上野宣氏が語る「ゼロトラストの狙い方」：ITmedia Security Week 2022夏 - ＠IT
• 楽天銀行にログインできなくなって困っておりチャットサポートをお願いした「（3年前の）Chrome73以外のブラウザには対応してません」という回答が来た - Togetter
• Jenkins discloses dozens of zero-day bugs in multiple plugins
• Microsoft updates Azure AD with support for temporary passcodes
• 第7回 情報セキュリティ事故対応アワード ツイートまとめ - Togetter
• 名古屋大学に不正アクセス　「ブラインドSQLインジェクション」攻撃でメアド2086件漏えいか - ITmedia NEWS
• Microsoft DefenderにPCの性能が低下する不具合。リアルタイム保護に起因。対処方法あり | ニッチなPCゲーマーの環境構築Z
  • 「Windows Defender」ウイルス対策が原因でIntel CPU環境のパフォーマンスが大幅に低下する問題 - 窓の杜
• ディスクユニオン　オンラインショップの個人情報最大70万件が漏えいした可能性があることを報告 - amass
  • もこみ on Twitter: "ディスクユニオン経由でダークウェブに個人情報流出→Spotify不正ログイン→Spotifyアカウント乗っ取り→自動再生を延々と繰り返すだけのアカウントに おそらく自動生成された楽曲を機械が自動再生することによって再生回数を伸ばしてストリーミングによる利益を得るという"ビジネス"がある。" / Twitter
• ASCII.jp：4月からさらに「LNK/TrojanDownloader.Agent」の脅威が増加　「2022年5月 マルウェアレポート 」
• これだけはやってはいけないセキュリティ上の悪い習慣6選 | TECH+
  • パスワードの管理不足：同じパスワードの使い回しやパスワードの共有、付箋紙へのメモなど
  • 複雑なプロセスとポリシー：入社時のチェックリストやプライバシーポリシーなどの文書が下書きのまま忘れられている
  • 時代遅れのソフトウェアと非セキュアなデバイスの使用：リモートワークの増加による非セキュアなWi-Fiや個人端末の使用、ソフトウェアアップデートや定期的なデータバックアップの未実施
  • 内部監査プログラムの欠如：適切なセキュリティポリシーによる継続的なテストと定期的な内部監査が行われてない
  • スタッフの未訓練：スタッフのセキュリティに対する定期的なトレーニングと理解度の欠如
  • 現状に満足する：多くの組織がセキュリティインシデントは実際に起こらないという思い込み
• OSS向け報奨金サービスIssueHunt、新たにバグバウンティ（脆弱性報奨金制度）プラットフォームを公開：CodeZine（コードジン）
• セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由 - ZDNet Japan
• Google、ChromeとAndroidのパスワード管理UIを統一　自動生成ではないパスワード設定が可能に - ITmedia NEWS
• 「Google ドライブ」のクライアントサイド暗号化対応がWindows/Macで開始 - 窓の杜
• Adobe Illustrator に複数の脆弱性 | ScanNetSecurity
• JVNDB-2021-010223 - JVN iPedia - 脆弱性対策情報データベース
• 「東芝グループ サイバーセキュリティ報告書2022」公表、成熟度自己評価も掲載 | ScanNetSecurity
• 特許取得技術「KEEゼロトラスト暗号」法人向け導入キャンペーン | ScanNetSecurity
• 公安調査庁「国際テロリズム要覧2022」、テロ組織の暗号資産活用や重要インフラへのサイバー攻撃 ほか | ScanNetSecurity
• “野良SaaS”放置が招く3つのリスク　危険性はセキュリティ以外にも　専門家に聞く基礎知識（1/3 ページ） - ITmedia NEWS
• また上野宣が社外取締役、GSX選任 | ScanNetSecurity

イベント等

• 防衛省・自衛隊：防衛省サイバーコンテストの開催について
  • 成績優秀者は防衛省サイトに名前掲載、サイバーコンテスト開催 | ScanNetSecurity
• Twitter
• 総関西サイバーセキュリティＬＴ大会（第34回） - connpass
• 中高生対象サイバーセキュリティ競技会「CyberSakura」第2回開催 | ScanNetSecurity

• 「Google Chrome 103」にゼロデイ脆弱性 ～Stable/Extended Stableチャネルで対策版が公開 - 窓の杜
• Chrome Releases: Stable Channel Update for Desktop
• Google patches new Chrome zero-day flaw exploited in attacks
• 「Google Chrome 103」にゼロデイ脆弱性 ～Stable/Extended Stableチャネルで対策版が公開 - 窓の杜
• Google、Windows版Chromeの緊急アップデート（103.0.5060.114）配信 - ITmedia NEWS
• Chrome Releases: Stable Channel Update for Desktop
• Google Releases Security Update for Chrome | CISA
• 【セキュリティ ニュース】「Chrome」に緊急アップデート - ゼロデイ脆弱性を修正（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】Google、「Chrome 103」をリリース - 重要度「クリティカル」の脆弱性に対処（1ページ目 / 全1ページ）：Security NEXT

バージョン: 103.0.5060.53（Official Build） （arm64）
バージョン: 103.0.5060.114（Official Build） （arm64）

• 【セキュリティ ニュース】MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処（1ページ目 / 全1ページ）：Security NEXT
• Release notes for Microsoft Edge Security Updates | Microsoft Docs
• すでに攻撃が確認されているWebRTCの脆弱性、「Microsoft Edge」でも修正 - 窓の杜
• Release notes for Microsoft Edge Security Updates | Microsoft Docs
• 「Microsoft Edge」に特権昇格の脆弱性、サンドボックスが迂回されるおそれ - 窓の杜
• 【セキュリティ ニュース】脆弱性1件を修正した「Microsoft Edge 103.0.1264.44」が公開に（1ページ目 / 全1ページ）：Security NEXT

Firefox/Thunderbird

• Mozilla、「Firefox 102.0.1」を公開 - 窓の杜
• 【セキュリティ ニュース】Mozilla、最新ブラウザ「Firefox 102」をリリース - 脆弱性19件を修正（1ページ目 / 全1ページ）：Security NEXT
• Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird | CISA
• Mozilla、「Firefox 102」をリリース ～「Firefox ESR」もメジャーバージョンアップ - 窓の杜
• 新機能盛りだくさんの「Thunderbird 102」が公開 ～「Thunderbird 91」系統も引き続き提供 - 窓の杜
• Firefox 102リリース　Metaもブロックできるトラッキング防止「厳格」機能追加 - ITmedia NEWS
• 「Thunderbird 102」に初めてのマイナーバージョンアップ、各種アイコンが新しく - 窓の杜

宇宙

• イーロン・マスクのStarlink、車や船など｢移動中｣の乗り物にもWiFi提供へ | ギズモード・ジャパン
• ジェイムズ・ウェッブ宇宙望遠鏡、フルカラー画像の初公開が近づく | ギズモード・ジャパン

鉄

IT

• かゆいところに手が届くWindowsユーティリティツール「PowerToys 0.60」がリリース - ITmedia PC USER
• 「こんな会社は絶対嫌」　火10ドラマの人間関係にITエンジニアが反応　CTOがCEOに恋 - ITmedia NEWS
• 総務省｜報道資料｜「高専ワイヤレスIoTコンテスト2022」の採択結果
• 思いきってWi-Fi 6に乗りかえたら、テレワークやエンタメなどネット生活レベルが上がったよ | ギズモード・ジャパン
• JenkinsがJava 8の対応を終了し、Java 11が必須に。Java 17の対応も開始 － Publickey
• ミクシィ、新卒エンジニア向け研修資料を公開　Unityでのゲーム開発やAI、セキュリティ研修など全12種類 - ITmedia NEWS
• FirefoxでYoutube見続けるとSSDが早死にする問題とその対処法
• スマートニュース、国会議案データベースを無償公開　過去20年分をGitHubで - ITmedia NEWS
• コネクテッドサービスの無料期間を3年から10年に延長、マツダが安心安全機能で：安全システム - MONOist

その他

• CDは年が経つとこんな風に劣化する……保存状態以外にも原因ありそう「永遠を求めたら古代の方法に戻っていくのか」 - Togetter
• 金を経理にパクられて消える会社がまあまああるが、対策は割と簡単なのでは - Togetter
• 【マナーでなく義務!!】救急車に道を譲らないクルマが増えている?? 意外な理由と大きすぎる影響 - 自動車情報誌「ベストカー」
• 温暖化で京都の桜の満開時期が早まっている。このままだと咲かなくなる？ | ギズモード・ジャパン
• 「悪い報告を上にあげると罰せられる組織はダメ」→今回のauの件は深夜2時に社長までエスカレーションされていて素晴らしいという話 - Togetter
• ネット投票、推進してほしい派ではあるけどパワハラ上司の「よしみんな今から携帯出せ」に対する対抗策が浮かばないので難しい→様々な対抗策が集まるも… - Togetter
• 任天堂、月額200円でSwitchの修理保証　Joy-Conやドックも対象　子会社から提供 - ITmedia NEWS

サイバー術 プロに学ぶサイバーセキュリティ

• 作者:Ben McCarty
• マイナビ出版

Amazon