セキュリティ

• 長野日報社のランサムウエア感染についてまとめてみた - piyolog
• 2024年に流行るサイバー攻撃は？　注目はやはりAI　それ以上に押さえておくべき基本とは：この頃、セキュリティ界隈で（1/2 ページ） - ITmedia NEWS
• 【セキュリティ ニュース】「Barracuda ESG」に再びゼロデイ脆弱性 - 外部ライブラリに起因、利用者は注意を（1ページ目 / 全2ページ）：Security NEXT
  • Barracudaによると、すでに「CVE-2023-7102」を標的とする攻撃が展開されており、Mandiantと連携して調査を行ったところ、中国とつながりがある攻撃グループ「UNC4841」の活動と見られるという。同グループは「CVE-2023-2868」に対する攻撃にも関与している。
• 【セキュリティ ニュース】米CISA、「MS 365」のセキュリティ最低構成と評価ツールを公開（1ページ目 / 全1ページ）：Security NEXT
  • CISA Releases Microsoft 365 Secure Configuration Baselines and SCuBAGear Tool | CISA
• 【セキュリティ ニュース】「VioStor NVR」の脆弱性に注意 - 「Mirai」亜種の拡大に悪用（1ページ目 / 全1ページ）：Security NEXT
• フィッシングによる不正送金被害が過去最多　金融庁と警察庁が注意喚起 - ITmedia NEWS
• 【解説】ネット犯罪から身を守る プロのセキュリティーツール | NHK | サイバー攻撃
• 【セキュリティ ニュース】「Zabbix」のエージェントにコードインジェクションの脆弱性（1ページ目 / 全1ページ）：Security NEXT
• サポート詐欺を“疑似体験”してみよう　IPAが作ったWebサイトの再現度が高すぎる：半径300メートルのIT - ITmedia エンタープライズ
• DMARCの対応って進んでますか？ - エムスリーテックブログ
• 北朝鮮はサイバー攻撃による仮想通貨強盗によって兵器開発計画の資金を確保しているという恐るべき実態 - GIGAZINE
• 私のこと、勝手に診断しないでください：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（43） - ＠IT
• 「SBOM」は2024年のサイバーセキュリティキーワードになるか - ZDNET Japan
• 【セキュリティ ニュース】バッファロー製法人向けルータ「VR-S1000」に複数の脆弱性（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】「Apache Dubbo」に複数の脆弱性 - 最新版へ更新を（1ページ目 / 全1ページ）：Security NEXT
• 「PCが危険な状態です」などのウソで詐欺に誘導する偽セキュリティ警告画面の閉じ方を学べるサイトが公開されたので使ってみた - GIGAZINE
• 思わず天を仰いでしまうID関連システムトラブル - =kthrtty/(+blog)
• 情シス359人に聞く業務課題、2位は「人材が足りない」　1位は　IIJ調査 - ITmedia NEWS
• 総務省、非常勤のサイバーセキュリティ人材募集中。時給7500円 | スラド セキュリティ
  • 時給7,500円 ～ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務 | ScanNetSecurity
• 福井県警がサイバー犯罪等対処技能競技会　捜査技能に直結する実戦的な内容 | 日刊警察
• 内部不正対策はサイバー攻撃対策より難しい、基本の「5カ条」を徹底する | 日経クロステック（xTECH）
• グループメールの設定ミスによるAWSアカウントの乗っ取りと対策 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ
• 経団連「サイバーセキュリティ強化 WG」報告 | ScanNetSecurity
• SaaS管理が情シスに“刺さる”背景　freeeが買収した「Bundle」の戦い方は：SaaS for SaaSの世界（1/3 ページ） - ITmedia NEWS
• ランサムウエアでの業務停止に現行BCPで対応可能？　120組織がサイバー演習に挑む | 日経クロステック（xTECH）
• 被害の9割が「Appleギフトカード」　電子マネーだまし取る特殊詐欺が過去最多　 - ITmedia NEWS
• Zoomが「政府認定クラウドサービス」に - ITmedia NEWS
• Android版Chromeを装ってPINコードやパスワードを盗み出すマルウェア「Chameleon」が発見される - GIGAZINE
• 中小企業向け「サイバーインシデント演習 in 横須賀」レポート公開、川口洋氏 講演 | ScanNetSecurity
• 【セキュリティ ニュース】「Firefox 121」をリリース - 脆弱性18件を解消（1ページ目 / 全1ページ）：Security NEXT
• 「Google Chrome」への攻撃を確認、ゼロデイ脆弱性を修正した最新版が公開 - 窓の杜
• Confluence の脆弱性 CVE-2023-22518を悪用するランサムウェア「Cerber」の攻撃手法を解説｜トレンドマイクロ
• 2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く（前編）】 - #FlattSecurityMagazine

3-5年で買い替えが基本だよな

• 【エレコム編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「セキュリティ情報を積極的に公開することで『知らずに使う』リスクを減らす」 - INTERNET Watch
• 【NECプラットフォームズ編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「使命は高いレベルでの信頼性を提供すること。買い替えは3～5年を目安に」 - INTERNET Watch
• 【アイ・オー・データ機器編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「目安は5年。よりいいモデルへ『機種変』感覚で買い替えを」 - INTERNET Watch
• 【TP-Link編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「自社生産だからこそ言える長期利用という自信」 - INTERNET Watch
• 【ASUS編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「目指すのは初心者でも扱える高機能とセキュリティ対策」 - INTERNET Watch
• 【ネットギア編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「脆弱性を見つけたら報奨金！ 世界中の情報で安全性をキープ」 - INTERNET Watch
• 【バッファロー編】中の人に聞いてみた「Wi-Fiルーターの買い換え時とセキュリティ対策」　「ユーザーが困る状況を想定して全方向からサポート」 - INTERNET Watch

• 専門学校生向けセキュリティ競技会 MBSD Cybersecurity Challenges 2023、プレゼンの最中に起こった「事故」とは | ScanNetSecurity
• 匿名ＯＫ・ＲＯＭ上等・押売無し ～ ＤＸ時代が生んだ不思議なセキュリティ情報共有コミュニテイ「Cyber-sec+」 | ScanNetSecurity
• Mirai 亜種 InfectedSlurs の活動状況 – IIJ Security Diary
• さようならWindows Mixed Reality──Microsoftが廃止を発表 - ITmedia NEWS
• 【セキュリティ ニュース】情報コンセント型ルータやビデオ監視システムの脆弱性が標的に - 米当局が注意喚起（1ページ目 / 全1ページ）：Security NEXT
• 「Chromium」のWebRTCゼロデイ脆弱性、「Microsoft Edge」も1日遅れで対処 - 窓の杜
• 企業のサイバー担当者が「仕事を辞めたい」と思う理由の第1位は？私たち一般社員がサイバー攻撃に対して貢献できることは？専門家からの納得の答え | 進化する組織 | ダイヤモンド・オンライン
• ユーザーを驚かす「偽セキュリティ警告画面」、閉じ方体験サイトをIPAが公開〜サポート詐欺の相談増加を受け - INTERNET Watch
• FBIがハッカー集団「BlackCat」のサイトを押収し復号キーを配布、BlackCatは効いていないと主張するも致命傷の可能性 - GIGAZINE
• え？　PHPファイルを登録できるのはまずいでしょ……　Webアプリの「アップロード機能」に潜む“あるある”ワナ：“典型的やられサイト”で学ぶセキュリティのワナ（1/3 ページ） - ITmedia NEWS
• 【セキュリティ ニュース】「Chrome」や「MS Edge」にゼロデイ脆弱性 - アップデートを（1ページ目 / 全1ページ）：Security NEXT
• サイバー犯罪の餌食｢家庭用ルーター｣も危ない ランサムウェア被害｢テレワーク経路｣が8割 | 東洋経済Tech×サイバーセキュリティ | 東洋経済オンライン
• ウィンドウズ１０サポート終了でパソコン2.4億台廃棄も＝調査 | ロイター
  • [２１日　ロイター] - 米マイクロソフト(MSFT.O)の基本ソフト（ＯＳ）「ウィンドウズ１０」のサポート終了に伴って約２億４０００万台のパソコンが廃棄され、埋め立てごみが増加する見通しであることが、調査会社カナリス・リサーチのリポートで明らかになった。
• Cloudflare Pagesにおける権限昇格と任意ページの改竄 - RyotaK's Blog
• 生成AIでセキュリティの課題をどこまで改善できるか考える | CyberAgent Developers Blog
• 新人研修でHardening! 2023 - freee Developers Hub
• セキュリティソフト「ESET」のSSL/TLSプロトコルのスキャン機能に脆弱性 - 窓の杜
• FBIがハッカー集団「BlackCat」のサイトを押収し復号キーを配布、BlackCatは効いていないと主張するも致命傷の可能性 - GIGAZINE
• SSH接続への中間者攻撃を可能にするエクスプロイト「Terrapin Attack」が発見される - GIGAZINE
  • シーケンス番号操作によるSSH通信の完全性への攻撃
• サイバー保険が厳格化　Tenableが2024年のサイバーセキュリティ展望を予測：セキュリティニュースアラート - ITmedia エンタープライズ
• 【セキュリティ ニュース】Adobe製フォーム作成ツール「AEM Forms」に緊急パッチ - 早急に更新を（1ページ目 / 全1ページ）：Security NEXT
  • Adobe Security Bulletin
• 【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応予定に関するお知らせ（2023年12月20日 9:15更新） | さくらインターネット
• 「Microsoft Defender Application Guard for Edge」も非推奨に、「Office」に続き - 窓の杜
• S/MIME電子署名ファイルが添付されたフィッシング、件名「＜重要＞【三井住友銀行】パスワードの変更が完了しました」などの不審なメールに注意 - INTERNET Watch
• 「smime.p7s」添付したフィッシングメール確認、S/MIME署名に見せかける | ScanNetSecurity
• 技術を愛するリーダー率いるふたつのセキュリティ企業が提携 ～ パロンゴ 近藤学、TwoFive 末政延浩に聞く | ScanNetSecurity
• 「Tera Term 5.1」が公開 ～SSHプロトコルで発見された脆弱性「Terrapin Attack」に対処 - 窓の杜
• 【セキュリティ ニュース】「Apache Struts」の脆弱性、一部Cisco製品にも影響（1ページ目 / 全1ページ）：Security NEXT
  • Apache StrutsにCVSS 9.8の脆弱性　PoC公開後にサイバー攻撃への悪用が始まる：セキュリティニュースアラート - ITmedia エンタープライズ
• 【セキュリティ ニュース】「WordPress」向けバックアッププラグインに深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT
• パスキーは本当に２要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。｜kkoiwai
• 攻撃メールの訓練を会社でやったが、いくらなんでも本気出しすぎで引っかかる人が続出「ハンター試験？」 - Togetter
• ねえ、SHEINで購入してから、カード不正利用されてもわかるようにしておいたんだけど、まじでクレジットカードの海外使用来たんだが！？⇒「額は様子見てるのか４００円とかなんだけど、これどうすればいいの！？」 - Togetter
• 【セキュリティ ニュース】「PAN-OS」の脆弱性7件を修正 - Palo Alto Networks（1ページ目 / 全2ページ）：Security NEXT
• サポート詐欺とネット広告 100以上のGoogleの詐欺広告、その実例を集めました - web > SEO
• 【セキュリティ ニュース】「生成AI」の出力コードに過信は禁物 - 安全性の確認を（1ページ目 / 全2ページ）：Security NEXT
• パスキーの基本とそれにまつわる誤解を解きほぐす
• Googleフォームを悪用した新しいフィッシング攻撃を確認 | TECH+（テックプラス）
• 「不正アクセスによる顧客情報漏えい」の公表・報道があった認証取得組織への対応について
• ほんとうにあった開発生産性が爆下がりする話 #ポエム - Qiita
• 日本シーサート協議会 Annnual Conference2023 に現地参加しました - ファーエンドテクノロジー株式会社
• Docker が俺の Postgres を勝手に全世界に公開しやがって色々怒られた話 #Docker - Qiita
• 500万円のAWSサービスを申し込んでしまった話 #AWS - Qiita
• 令和６年度政府予算案における : 内閣サイバーセキュリティセンター関係予算の概要

Zoom 5.17.1

• Release notes for Windows - Zoom Support

December 27*, 2023 version 5.17.1 (28914)

Note: This release was originally scheduled for release on December 25, but was delayed two days.

Download type: Manual
Download here: Download Center

New and enhanced features

• General features
  • Update to OpenSSL 3.1.4
    • Due to the recently disclosed vulnerabilities with lower versions of OpenSSL, the Zoom client is updated to use OpenSSL 3.1.4. Depending on your network security configuration, you may also need to update your network infrastructure devices’ firmware.
• Meeting/webinar features
  • Simplified consent notifications
    • Notifications for meeting recordings, live streams, saveable captions, and AI Companion features are simplified and condensed down into one smaller, less obtrusive notification displayed at the top of the meeting window. If there are multiple notices, they will be combined together. Participants can hover their cursor over or tap for more information about what data of theirs is being shared and with whom. Participants retain the ability to consent to remain in the meeting/webinar, or leave the meeting. If a custom notification has been created by the account admin, condensed banners will not be shown.

Resolved Issues

• Minor bug fixes
  • Resolved an issue regarding a disconnection error with Exchange 2016

• Release notes for macOS - Zoom Support

December 27*, 2023 version 5.17.1 (27701)

Note: This release was originally scheduled for release on December 25, but was delayed two days.

Download type: Manual
Download here: Download Center

New and enhanced features

• General features
  • Update to OpenSSL 3.1.4
    • Due to the recently disclosed vulnerabilities with lower versions of OpenSSL, the Zoom client is updated to use OpenSSL 3.1.4. Depending on your network security configuration, you may also need to update your network infrastructure devices’ firmware.

Meeting/webinar features

• Simplified consent notifications
  • Notifications for meeting recordings, live streams, saveable captions, and AI Companion features are simplified and condensed down into one smaller, less obtrusive notification displayed at the top of the meeting window. If there are multiple notices, they will be combined together. Participants can hover their cursor over or tap for more information about what data of theirs is being shared and with whom. Participants retain the ability to consent to remain in the meeting/webinar, or leave the meeting. If a custom notification has been created by the account admin, condensed banners will not be shown.

Resolved Issues

• Minor bug fixes

Zoom 5.17.0

• December 19*, 2023 version 5.17.0 (27246)
• Release notes for macOS - Zoom Support
• Release notes for Windows - Zoom Support

イベント等

• 重要インフラサイバーセキュリティコンファレンス 問われるサイバーレジリエンス ［2024年2月14日(水)・15日(木)］ | インプレス
• シンポジウム「裁判ＩＴ化時代のデジタル証拠」（2024年3月13日）の御案内 | 公益財団法人 日弁連法務研究財団
• M365セキュリティ&ゼロトラスト勉強会 #9 - connpass
• せきゅぽろ SNR vol.3 no.1 - connpass
• 2024年！セキュリティにAiはあるのかい？ / WASNight 2024 Kick-Off = OWASP x Hardening Night - オワスプジャパン | Doorkeeper

Sansan

• ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習（1/6 ページ） - ITmedia NEWS
• とある会社が行なったセキュリティ演習、マジで『なんでもアリ』すぎてもはやスパイ映画「ここまでやるんか」 - Togetter
• ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習（1/6 ページ） - ITmedia NEWS

Apple

• iOS 17.2.1緊急リリース。なぜか日米でリリースノートが違う | ギズモード・ジャパン
• iPhoneのバッテリーの減りが速いって？ それ、アップデートで直るかも | ギズモード・ジャパン
• Apple、「iOS 17.2.1」などを公開 ～特定の条件下でバッテリーが速く消耗する問題に対処 - 窓の杜
• 【セキュリティ ニュース】Apple、「macOS Sonoma 14.2.1」をリリース - 脆弱性1件を解消（1ページ目 / 全1ページ）：Security NEXT
• Apple、「iOS 17.2.1」のリリースを準備 - こぼねみ
• Apple、「iOS 17.2.1」などを公開 ～特定の条件下でバッテリーが速く消耗する問題に対処 - 窓の杜
• macOS 14.2 SonomaにはFaceTimeやZoomなどで画面共有を行うとランダムなスペースが他のユーザーに表示され、個人情報の漏洩につながる可能性のあるバグがあるので注意を。
• Appleが「市販の無線デバイスでiPhoneにBluetooth接続を要求しまくってクラッシュさせる攻撃」への対策をiOS 17.2で実施 - GIGAZINE

宇宙

• NASA、遠い星から猫動画を配信する | ギズモード・ジャパン
• 中国の宇宙飛行機が謎の物体を放出。しかも6つも!? その正体は… | ギズモード・ジャパン
  • 2020年9月と2022年8月のミッションでも、神龍は今回同様、未知の物体を軌道上に放出しました。SpaceNewsは、それらの正体はサービスモジュール、宇宙船を追跡するための検査衛星、または軌道配置のためのテストアイテムである可能性を挙げています。
    昨年11月にも、中国の宇宙飛行機が何らかの謎物体を放出していますが、これは宇宙船の地球帰還を支援するサービスモジュールの可能性が高いようです。
• 宇宙で行方不明だったトマトが見つかる。でも… | ギズモード・ジャパン
  • ISS内で行方不明になっていたミニトマト、ようやく見つかる | ギズモード・ジャパン
• ロケットの打ち上げで増えた｢人工オーロラ｣が天文観察に影響 | ギズモード・ジャパン
• 宇宙の神秘とロマンがここに…2023年に撮影された美しい天体画像 | ギズモード・ジャパン
• 大阪・関西万博に「月の石」　再展示構想が浮上　日米政府関係者 | 毎日新聞

鉄

• 報道発表資料：北陸新幹線（金沢・敦賀間）開業に伴う特別急行料金の上限設定認可について - 国土交通省

IT

• IIJ新卒エンジニアたちの“おうち紹介記事”がIIJすぎる　ネットワーク図は当たり前　自宅サーバルームも - ITmedia NEWS
• プライバシーポリシーを全部読むとこんなに時間が！ でも日本はまだマシという調査結果【やじうまWatch】 - INTERNET Watch
• 自治体が「ガバメントクラウドに大困惑」の根因、あまりに異なる当初の理想と現実 ｜ビジネス+IT
• 私の削減率は93％です──「AWSコスト削減 天下一武道会」開催 - ITmedia NEWS
• Wi-Fiの次世代規格｢Wi-Fi 7｣がついにキタ。ゲーム、無線でできるかも？ | ギズモード・ジャパン
• 国産量子コンピュータ3号機稼働　部品は「できるだけ国産」　クラウドサービスも始動 - ITmedia NEWS
• #無情シスオブザイヤー2023｢今年イチやばかった事件｣大発表！涙なしには語れない情シス座談会 | ギズモード・ジャパン
• Windowsの印刷システムに過去20年で最大の技術革新、セキュリティが大きく向上 - 窓の杜
• 「Adobe Illustrator」に起動しない問題が発生中か - 窓の杜
  • アドビのWindows版「Illustrator」で起動しないトラブルの報告が相次ぐ（解決策あり）　macOS版「Lightroom Classic」ではSonomaで一部機能が利用できない問題も - ITmedia PC USER
• ｢サーバーってかわいいんですよ。｣本当に好きな人が語るインテルCPU｢Xeon｣のメリット | ギズモード・ジャパン

その他

• ［pixiv］ お知らせ - 特定の国・地域における、一部作品の表示制限について
• マキタ互換バッテリーで、ヤフオクが注意喚起　違法の疑い強い非純正品が「中国から大量出荷された」 - ITmedia NEWS
• 報道発表資料：ダイハツ工業（株）の型式指定申請における不正行為の報告について - 国土交通省
• 向平琴未さん──人と繋がって成長していく - Findy Engineer Lab - ファインディエンジニアラボ
• 公務員の友達、あらゆる語尾に『等』をつけて保険かける癖が染み付いてる…この前ラーメン屋で『味噌ラーメン等ください』って頼んでた - Togetter
• スターバックス「ほっと」一息にぴったりな「抹茶クリームドーナツ」「米粉の抹茶ロールケーキ」など発売 - グルメ Watch