セキュリティ

• 東京海上日動の代理店システムの参照設定不備についてまとめてみた - piyolog
• ベンダが提供していない決済モジュールの不具合による情報漏洩事故　東京地判令2.10.13（平28ワ10775） - IT・システム判例メモ
• Microsoft、AI採用のサイバーセキュリティの取り組み「Secure Future Initiative」立ち上げ - ITmedia NEWS
• “意外と”低いクラウドサービス事業者のセキュリティガバナンス　情報漏えい対策の実態が明らかに - ITmedia エンタープライズ
• iPhone全モデルと2020年以降のMacからパスワード等を盗み出す方法が発見される | スラド アップル
• 生成AIが抱えるリスクと対策 - Speaker Deck
• Microsoft、AI採用のサイバーセキュリティの取り組み「Secure Future Initiative」立ち上げ - ITmedia NEWS
• Cisco Releases Security Advisories for Multiple Products | CISA
• Python製Webフレームワークの脆弱性を報告したはずが、Pythonの脆弱性を見つけていた話 - ラック・セキュリティごった煮ブログ
• 東京証券取引所グロース市場への上場承認に関するお知らせ｜Ｓ＆Ｊ株式会社のプレスリリース
• 報道番組を装った総理大臣の偽動画拡散についてまとめてみた - piyolog
• WordPress 6.4.1 Maintenance Release – WordPress News
• 関連サイトのURLや利用CMS、大企業の3分の1が未把握 | ScanNetSecurity
• EC-CUBE 3系および 4系に任意のコードを実行される脆弱性 | ScanNetSecurity
  • 株式会社イーシーキューブが提供する EC-CUBE 3系および 4系には、同製品がテンプレートエンジンとして使用している Twig の設定不備に起因した任意コード実行可能な脆弱性が存在し、当該製品の管理者権限を持つユーザによって、当該製品が動作するサーバー上で任意のコードを実行される可能性がある。
  • JVN#29195731: EC-CUBE 3系および 4系において任意のコードを実行される脆弱性
  • この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

報告者: 株式会社エヌ・エフ・ラボラトリーズ 三浦 剛 氏

• • 【セキュリティ ニュース】「EC-CUBE」に任意のコードを実行される脆弱性 - 危険度「低」（1ページ目 / 全1ページ）：Security NEXT
• AWS x セキュリティに入門するならまずこの一冊 /「AWS ではじめるクラウドセキュリティ」を読んだ - kakakakakku blog
• 警視庁に、家庭用ルーター不正利用の現状を聞く〜「“攻撃元”の家庭へ捜査員が話を聞きに行った事例も」　 - INTERNET Watch
  • 家のWi-Fiルーター、何年も“置きっぱなし”にしていませんか？　年に一度は「見直し」を　 - INTERNET Watch
• 今どきのフィッシングは「レベルが違う」　私たちが引っ掛からないためにできること：金融ISAC座談会（1/2 ページ） - ITmedia エンタープライズ
• 【セキュリティ ニュース】「Chrome」に脆弱性、アップデートがリリース - 「MS Edge」も準備中（1ページ目 / 全1ページ）：Security NEXT
  • 「Microsoft Edge」も「Chrome」に2日遅れで脆弱性を解決、2件の独自問題も修正 - 窓の杜
  • 「Google Chrome」にセキュリティ更新、WebAudioにおけるUAF脆弱性を修正 - 窓の杜
• 「CVSS 4.0」が正式発表 ～共通脆弱性評価システムの最新バージョン - 窓の杜
• サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される？ CISAとNSAが公開したアドバイザリをチェック【海の向こうの“セキュリティ”】 - INTERNET Watch
• Drupal 9 is end of life - PSA-2023-11-01 | Drupal.org
• IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31): まるちゃんの情報セキュリティ気まぐれ日記
  • IPA「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」公開 | ScanNetSecurity
• Oktaで昨年に続く2度目の不正アクセス、セキュリティ体制の不備に顧客らが厳しい目 | WIRED.jp
• 「未納料金やウイルス除去費用支払いの人向け」コンビニのPOSAカード売り場にあった詐欺被害を防ぐアイデアが頭よくて優しい - Togetter
• 非公開の予定が見えちゃってるね！　Webアプリの「認可制御」に潜む“あるある”ワナ：“典型的やられサイト”で学ぶセキュリティのワナ（1/3 ページ） - ITmedia NEWS
• サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される？ CISAとNSAが公開したアドバイザリをチェック【海の向こうの“セキュリティ”】 - INTERNET Watch
• 【セキュリティ ニュース】「OpenSSL」にサービス拒否の脆弱性 - 重要度は「低」（1ページ目 / 全1ページ）：Security NEXT
  • OpenSSL Security Advisory [6th November 2023] : Excessive time spent in DH check / generation with large Q parameter value (CVE-2023-5678)
• NTT西子会社によるドコモの情報流出は約6.9万件、被害者にははがきで案内 - ケータイ Watch
• 利用されない指定席券売機　やっぱり「駅の窓口廃止」は間違っている：杉山淳一の「週刊鉄道経済」（1/6 ページ） - ITmedia ビジネスオンライン
• ベンダーニュートラル視点 ～ バグバウンティの IssueHunt、脆弱性スキャナ無料相談会 | ScanNetSecurity
• RFC 9116「security.txt」の紹介（2022年8月）の続報 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
• Googleが12月に数百万件のGoogleアカウントを削除する可能性、アカウントを削除されないようにするには？ - GIGAZINE
• 置き換えるだけでもセキュリティ対策として効果あり！ 5～10年ぶりにWi-Fiルーターを買い替える人のための購入ガイド　 - INTERNET Watch
• GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表 - ITmedia NEWS
• Splunkの“中の人”が語る、Cisco製品とのシナジーと買収の意義 - ITmedia エンタープライズ
• Next.js SDK Security Advisory - CVE-2023-46729 | Product Blog • Sentry
• Microsoft Authenticator　新機能で多要素認証疲労攻撃に対処：セキュリティニュースアラート - ITmedia エンタープライズ
• JPCERT/CC、2023年7月上旬に確認したドメインハイジャック事例解説 | ScanNetSecurity
• iOS版 TVer アプリに不具合、ユーザーの意思に反しデータを外部提供 | ScanNetSecurity
• 【セキュリティ ニュース】「Apache ActiveMQ」の脆弱性が標的に - ランサム攻撃にも悪用か（1ページ目 / 全1ページ）：Security NEXT
• 【速報】「Windows 11 2023 Update」（バージョン 23H2）の一般提供が開始 - 窓の杜
• LibreSSL 3.8.2
• 【セキュリティ ニュース】Ciscoセキュリティ管理製品に脆弱性 - 管理下FTDに影響（1ページ目 / 全1ページ）：Security NEXT
• DiscordがCDN経由でマルウェアが配布されるのを減らすため「24時間でリンク切れ」になる仕様に変更へ - GIGAZINE
• 全銀ネット障害、NTTデータ製ソフトが不具合の原因 - 日本経済新聞
• 「PyCon APAC 2023」の NOC コンテンツにプライバシー配慮に欠けた内容、会場 WiFi 利用者に謝罪 | ScanNetSecurity
• 「Android 14」のリリース後初となる月例セキュリティアップデートが公表 - 窓の杜
• 茨城県警とIPAが県民のサイバーセキュリティ向上を目指し連携・協力協定結ぶ | 日刊警察
• 【セキュリティ ニュース】QNAP製NASに複数の脆弱性 - 「クリティカル」など4件を修正（1ページ目 / 全1ページ）：Security NEXT
• 日本のサイバー攻撃被害額は平均1.25億円、ランサムウェアでは1.77億円に - ZDNET Japan
• 近代的なサイバー犯罪グループの組織構造を解明する｜トレンドマイクロ
• 詐欺師をワナにはめて「無限コールセンター地獄」や「正解のない画像クイズ地獄」に突き落とすアンチ詐欺システム - GIGAZINE
• 「CVSS 4.0」が正式発表 ～共通脆弱性評価システムの最新バージョン - 窓の杜
  • 【要点抽出】CVSS v4.0 - 2LoD.sec
• セキュリティ人材需要の高まりと、育成と採用の難しさ｜久松剛／IT百物語の蒐集家
• CISA Releases Guidance for Addressing Citrix NetScaler ADC and Gateway Vulnerability CVE-2023-4966, Citrix Bleed | CISA
• WordPress 6.4 “Shirley” – WordPress News
• 課題に合わせたセキュリティ支援「GMOサイバーセキュリティfor医療」 | ScanNetSecurity
• サポート詐欺の電話番号「010」で始まる国際電話番号利用手口も | ScanNetSecurity
• NFT詐欺に遭わないための学習コンテンツと検定、合格証も変化 ～ DeNA 提供 | ScanNetSecurity
• Intelli-CSIRT による「サイバー攻撃被害に係る情報の共有・公表ガイダンス」解説 | ScanNetSecurity
• サイバーインテリジェンスに関する４大誤解と CISO が理解しておくべきポイント | ScanNetSecurity
• Google Play、「独自のセキュリティ審査」バッジを導入 | スラド セキュリティ
• 【セキュリティ ニュース】リバースエンジニアリングツール「Radare2」に複数の脆弱性（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】キャッシュプロキシサーバ「Squid」に複数の深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT
• 「nanaco」コールセンターで顧客の電子マネー残高を詐取、NTTネクシア元社員 - ITmedia NEWS
• USBメモリーは原則禁止→全面禁止に　NTT西子会社の情報漏えいで、NTT島田社長が表明 - ITmedia NEWS
• TBS「サンデーモーニング」がAI画像巡り誤報　生成AI製“偽画像”を紹介→実は約10年前から存在 - ITmedia NEWS
• ラック、ITで日本を守る職業を紹介する『サイバーセキュリティ仕事ファイル』の合本版を公開（2023年11月 6日）| 株式会社ラック
• 【セキュリティ ニュース】「e-Taxソフト」に脆弱性 - 最新版へ更新を（1ページ目 / 全1ページ）：Security NEXT
• 証拠隠滅の疑いの宮崎県警が言ってる「改ざんできないSDカード」って何！？→本当にあるけど、本当に改ざんできないかと言われると…な代物説 - Togetter
• Auth0にPassKeyが搭載されたぞ！！！
• 【雑記】セキュリティガイドライン類 約300時間 読み漁ってみた - 2LoD.sec
• 生成ＡＩで岸田首相の偽動画、ＳＮＳで拡散…ロゴを悪用された日テレ「到底許すことはできない」 : 読売新聞
• 「Twitter代替SNS『Whispy』は害悪集団が始めたサービスですよ。」→開発者による解説までのまとめ - Togetter
• テスラのリコール、ここ1年頻発しているのでまとめてみました | ギズモード・ジャパン
• 短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
• アラート/アドバイザリ：Trend Micro Apex OneおよびTrend Micro Apex One SaaS で確認された複数の脆弱性について（2023年11月）: Q&A | Trend Micro Business Support
• ［レポート］国際パネルディスカッション「能動的サイバー防御の包括的研究」 – CODE BLUE 2023 #codeblue_jp | DevelopersIO

QR

• 「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害 - ITmedia NEWS
• 短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog

Apple

• Apple、「iOS 17.1.1」などを公開 ～iPhone 15のApple Pay/NFCバグに対処 - 窓の杜
• iPhoneとApple Watch向けに重要なバグ修正のためのアップデート配信開始 | ギズモード・ジャパン
• Apple、「iOS 17.1.1」などを公開 ～iPhone 15のApple Pay/NFCバグに対処 - 窓の杜
• Apple security releases - Apple Support

イベント等

• Home - CIO Japan Summit 2023, marcus evans Summits
• セミナー一覧 | 一般財団法人日本サイバーセキュリティ人材キャリア支援協会（JTAG）
• GMOサイバーセキュリティカンファレンス IERAE DAYS 2023（IERAEDAYS）
• OWASP Saitama MTG #17 Skytalks/懇親会 - connpass
• Hardening 2023 Generatives ふりかえり会 - connpass
• CYDEF 2023 - サイバーディフェンスイノベーション機構
• 「第20回デジタル・フォレンジック・コミュニティ2023 in TOKYO」を開催｜PressWalker
• 「カウンターランサムウェア・イニシアティブ会合」への参加
• 「自動車安全運転シンポジウム2023」開催のお知らせ｜警察庁Webサイト

宇宙

• フリーの画像編集ソフト「GIMP 2.10.36」、Adobe製品との互換性向上、脆弱性の修正も - 窓の杜
• 弾道飛行で微重力研究所を作る！ NASAとVirginの共同最先端ラボ | ギズモード・ジャパン
• ハッブル宇宙望遠鏡が捉えたユニコーン色の惑星。この正体は…？ | ギズモード・ジャパン
• もし、国際宇宙ステーションが超低空飛行だったら… | ギズモード・ジャパン

鉄

IT

• パレスチナ・イスラエル戦争におけるAI生成画像によるデマ - 電脳塵芥
• Google Chrome新機能でタブのメモリ消費量が簡単にわかるように | ギズモード・ジャパン
• 地下の通信用光ファイバーで道路の振動を計測、除雪判断をDX化　NTTなど実証 - ITmedia NEWS
• フリーの画像編集ソフト「GIMP 2.10.36」、Adobe製品との互換性向上、脆弱性の修正も - 窓の杜
• 自治体システム標準化の費用はどこが持つのか？　河野大臣「国が全額持つ」→「総務大臣が責任持つ」 - ITmedia NEWS
• ガンダムメタバース、3Dデータの漏えいを確認　「クライアントファイル内のデータが外部から解析」 - ITmedia NEWS
• 爆速だけど目新しさはなし。新MacBook Proは買う価値あるか？ | ギズモード・ジャパン

その他

• 大阪万博の建設費増額、政府受け入れ　当初から8割超増 - 日本経済新聞
• JALとヤマトのクロネコ貨物機、成田到着　A321P2Fをスプリング運航、長距離トラック補完
• うますぎる一生売っててくれ！復活してくれて嬉しい！おいちい～！究極の絶品スイーツ！11/7日降臨！【セブン】│BABYDOT（ベイビードット）
• 今週新発売のあんこまとめ！『国産小麦 北海道産黒豆の蒸しぱん』、『お抹茶大福』など♪ - グノシー
• ユニ・チャームが見つけた「フリーアドレス最適解」　部署ごとシャッフルでどんな効果が？：ハイブリッドワークの挑戦と舞台裏（1/3 ページ） - ITmedia ビジネスオンライン
• 水道メータの盗難について | 東京都水道局
• 「ゼルダの伝説」実写映画化、任天堂が発表 - ITmedia NEWS
• 「セーフルーム」備えた住宅 相次ぐ強盗事件受け 販売へ | NHK | 神奈川県