セキュリティ

• 今度は「ownCloud」で発生　ファイル転送サービスを狙うサイバー攻撃が相次ぐ：Cybersecurity Dive - ITmedia エンタープライズ
• ZSB-24001：Zoom Desktop Client for Windows - Improper Access Control | Zoom
  • CVSS Score: 8.8
• 【セキュリティ ニュース】脆弱性6件に対する攻撃に注意を喚起 - 米当局（1ページ目 / 全2ページ）：Security NEXT
• 今年最初のAndroid月例セキュリティ更新、ローカル特権昇格の問題などが修正 - 窓の杜
  • Android Security Bulletin—January 2024  |  Android Open Source Project
• Amazon S3のシナリオ別(5選)バケットポリシーを考えてみた - NRIネットコムBlog
• 米HPE、ジュニパーネットワークス買収で合意間近＝関係筋 - WSJ
  • 米ＨＰ、ジュニパー・ネットワークス買収で協議＝ＷＳＪ | ロイター
  • Hewlett Packard Enterprise nears $13 billion deal to buy Juniper Networks - source | Reuters
• 「未来の“当たり前”を作る」セキュリティ・SREのスペシャリスト星北斗が今、LayerXを選ぶ理由｜LayerX
• 統合DFIR（デジタルフォレンジック及びインシデント対応）ツールによるサイバーフォレンジックの効果｜トレンドマイクロ
  • また、世界規模に展開している企業や組織をサポートする場合、グローバルに展開しているトレンドマイクロでも、インシデント対応時に世界中の他のIRチームとの連携がボトルネックとなる場合もありました。各地域のIRチームは、証拠収集のために顧客の現地に出向くことが必要なケースもあり、こうした状況は、インシデント発生時の対応時間遅延を招く事態にもつながっていました。
• 筆者が気になる2024年のセキュリティトピック　AIやランサムウェアは今後どうなる？：半径300メートルのIT - ITmedia エンタープライズ
• CVSSに代わる脆弱性の評価手法「SSVC」とは｜迅速な脆弱性対応を目指して｜ブログ｜NRIセキュア
• ひと目で分かるWindows 10／11 サポート期限一覧【2024年版】：Tech TIPS - ＠IT
• セキュリティ製品サービスの成長率「SBOM/脆弱性管理サービス」と「SWG」がトップに | ScanNetSecurity
• 「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ
• 2023年度 JNSA表彰のご報告：NPO日本ネットワークセキュリティ協会
• Juniper Networks Releases Security Bulletin for Junos OS and Junos OS Evolved | CISA
  • 【セキュリティ ニュース】「Junos OS」にメモリリークの脆弱性 - 再起動するおそれ（1ページ目 / 全1ページ）：Security NEXT
• 2024年のセキュリティ、日本企業に向けた10の論点 - ZDNET Japan
• 複数のTP-Link製品にOSコマンドインジェクションの脆弱性 | ScanNetSecurity
  • TP-LinkのWi-Fiルーターやメッシュシステム5製品に複数の脆弱性、最新ファームウェアへのアップデートを - INTERNET Watch
• 「Microsoft Edge」で5件の脆弱性を修正、「Chromium」や「Acrobat」の問題を解決 - 窓の杜
• 【セキュリティ ニュース】Zohoのパスワードリセット製品に脆弱性 - アップデートで修正（1ページ目 / 全1ページ）：Security NEXT
• 不正アクセスで個人情報150万件入手容疑 「恒心教」名乗る男再逮捕 - 産経ニュース
• ASUS ルータの認証情報漏えい、対策を NICTER Blog が解説 | ScanNetSecurity
• X、米SECのアカウント侵害はSIMスワップによるものと説明 - ITmedia NEWS
• 今年最初のAndroid月例セキュリティ更新、ローカル特権昇格の問題などが修正 - 窓の杜
• オープンソースのオフィス統合環境「Apache OpenOffice 4.1.15」が公開 - 窓の杜
• ParaSiteSnatcher：ブラジルを標的とする不正なChrome拡張機能｜トレンドマイクロ
• 話題の「EPSS」は「CVSS」と何が違うのか？　使い分けるべきケースを紹介：セキュリティニュースアラート - ITmedia エンタープライズ
• 【セキュリティ ニュース】「OpenSSL」に脆弱性、PowerPC環境下で影響 - 今後の更新で修正（1ページ目 / 全1ページ）：Security NEXT
• 【セキュリティ ニュース】ゼロデイ攻撃を受けたExcel解析ライブラリにアップデート（1ページ目 / 全1ページ）：Security NEXT
• Fortinet Releases Security Updates for FortiOS and FortiProxy | CISA
  • 【セキュリティ ニュース】「FortiOS」など複数製品の脆弱性を修正 - Fortinet（1ページ目 / 全2ページ）：Security NEXT
• 経産省「サイバー攻撃等国際連携対応調整事業」に係る入札可能性調査を実施 | ScanNetSecurity
• 今日もどこかで情報漏えい 第20回「2023年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」 | ScanNetSecurity
• Azure検証利用における基本的なセキュリティ対策 #Azure - Qiita
• 【セキュリティ ニュース】ビデオ会議「Zoom」のWindows向けクライアントなどに脆弱性（1ページ目 / 全1ページ）：Security NEXT
  • 「Zoom」に深刻度「High」の脆弱性 ～最新版で修正済み - 窓の杜
• HPE、ジュニパーネットワークスを買収　約2兆円で - ITmedia NEWS
• 中国当局がAirDropの暗号化を突破して通信者の特定に成功したと発表＆解析ツールのスクリーンショットも公開 - GIGAZINE
• Microsoft、Webからのアプリ直接インストール機能を無効化。悪用されているため。『アプリ インストーラー』のバージョン確認を | ニッチなPCゲーマーの環境構築Z
• セキュリティエンジニアとして勉強しておいてよかったこと - トリコロールな猫/セキュリティ
• インテルの「Intel NUC」製品に脆弱性 ～2024年1月のセキュリティアドバイザリが公開 - 窓の杜
• SSHプロトコルを標的にした「Terrapin攻撃」　インターネットのSSHサーバの半数以上が脆弱だと判明：セキュリティニュースアラート - ITmedia エンタープライズ

KB5034441

• KB5034441が0x80070643エラーで失敗するとの不具合報告が多数。Windows10にて | ニッチなPCゲーマーの環境構築Z

しかし、この更新プログラムをインストール・適用するためには回復パーティションにある程度の空き容量が必要とされており、空き容量が足りない場合には、以下のいずれかのエラーメッセージが表示されます。
Windows Recovery Environment servicing failed.
(CBS_E_INSUFFICIENT_DISK_SPACE)
(日本語訳: Windows回復環境のサービシングに失敗しました)
0x80070643 - ERROR_INSTALL_FAILURE
X (旧Twitter)やRedditなど、ネット上では0x80070643エラーで失敗すると多数報告されています。

• KB5034441の騒動に便乗したフィッシング詐欺が発生。@bahiamailのポストにご注意。決してURLを開かないで | ニッチなPCゲーマーの環境構築Z
• Windows Update で KB5034441 がエラーになってしまうのを今すぐ何とかしたい方向けの手順 #Windows10 - Qiita

Ivanti

• Ivanti Connect Secure（旧Pulse Connect Secure）および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
• Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起
• VPNソリューション「Ivanti Connect Secure」などにゼロデイ脆弱性 ～緩和策の実施を - 窓の杜
• CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
• 【セキュリティ ニュース】IvantiのVPN製品にゼロデイ脆弱性 - パッチ準備中、緩和策の実施を（1ページ目 / 全2ページ）：Security NEXT
• 【セキュリティ ニュース】「Ivanti Connect Secure」のゼロデイ脆弱性、侵害状況の確認を（1ページ目 / 全3ページ）：Security NEXT
• 【セキュリティ ニュース】Ivanti製品のゼロデイ脆弱性、JPCERT/CCが注意喚起（1ページ目 / 全1ページ）：Security NEXT

Cisco

• Cisco Releases Security Advisory for Cisco Unity Connection | CISA
• 【セキュリティ ニュース】「Cisco Unity Connection」に深刻な脆弱性 - アップデートを提供（1ページ目 / 全1ページ）：Security NEXT
• [Medium]Cisco TelePresence Management Suite Cross-Site Scripting Vulnerabilities : Cisco Security Advisory
• [Medium]Cisco ThousandEyes Enterprise Agent Virtual Appliance Privilege Escalation Vulnerability : Cisco Security Advisory
• [Medium]Cisco WAP371 Wireless Access Point Command Injection Vulnerability : Cisco Security Advisory
• [Medium]Cisco Evolved Programmable Network Manager and Cisco Prime Infrastructure Vulnerabilities : Cisco Security Advisory
• [Critical]Cisco Unity Connection Unauthenticated Arbitrary File Upload Vulnerability : Cisco Security Advisory
• [Medium]Cisco BroadWorks Application Delivery Platform and Xtended Services Platform Stored Cross-Site Scripting Vulnerability : Cisco Security Advisory
• [Medium]Cisco Identity Services Engine Stored Cross-Site Scripting Vulnerability : Cisco Security Advisory

Adobe

• 【セキュリティ ニュース】Adobe、「Adobe Substance 3D Stager」のセキュリティアップデートを公開（1ページ目 / 全1ページ）：Security NEXT
• Security updates available for Substance 3D Stager | APSB24-06：Adobe Security Bulletin
• Adobe、今年初めての月例セキュリティ更新を発表 - 窓の杜

Microsoft

• Microsoft January 2024 Patch Tuesday - SANS Internet Storm Center

Microsoft today surprised with a light patch Tuesday. We only received 48 patches for Microsoft products and four for Chromium, affecting Microsoft Edge. Only two of the 48 patches are rated critical; none had been disclosed or exploited before today. The update also includes an SQLite patch affecting Microsoft products. This issue fixed the "Stranger Strings" vulnerability, patched in 2022 in the open-source version of SQLite.
The critical Kerberos vulnerability is interesting and should be patched quickly. It may allow an attacker with a MitM position to impersonate a Kerberos server and bypass authentication. Kerberos weaknesses have been abused in these scenarios in the past, and obtaining a MitM position is typically not that difficult after the perimeter of a network has been breached.

• Microsoft Releases Security Updates for Multiple Products | CISA
• 今年最初の「Windows Update」が実施、CVE番号ベースで49件の脆弱性へ新たに対処 - 窓の杜
• 2024年1月 セキュリティアップデート解説：Microsoft社は53件、Adobe社は6件の脆弱性に対応｜トレンドマイクロ
• 【セキュリティ ニュース】「SharePoint Server」狙う脆弱性攻撃が発生中 - 米当局が注意喚起（1ページ目 / 全2ページ）：Security NEXT
• 2024 年 1 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
• 2024年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
• 【セキュリティ ニュース】MS、2024年最初の月例セキュリティパッチを公開（1ページ目 / 全2ページ）：Security NEXT

Apple

• About the security content of Magic Keyboard Firmware Update 2.0.6 - Apple Support：About the security content of Magic Keyboard Firmware Update 2.0.6 - Apple Support

Firefox/Thunderbird

• Firefox 121.0.1, See All New Features, Updates and Fixes
• Thunderbird — Release Notes (115.6.1) — Thunderbird

Chrome/Edge

• 今年初めての「Google Chrome」セキュリティアップデート、6件の脆弱性を修正 - 窓の杜
• 「Microsoft Edge」に今年最初のセキュリティアップデート、4件の脆弱性を修正 - 窓の杜
• 【セキュリティ ニュース】「MS Edge」にセキュリティアップデート - 脆弱性4件を修正（1ページ目 / 全1ページ）：Security NEXT
• 「Google Chrome」拡張機能に脆弱性、修正版が公開 ～拡張安定版にもアップデート - 窓の杜
• 【セキュリティ ニュース】Google、「Chrome」のアップデートを公開 - 脆弱性を修正（1ページ目 / 全1ページ）：Security NEXT

イベント等

• M365セキュリティ&ゼロトラスト勉強会 #10 - connpass
• 459 Cybersecurity Meetup in KAGAWA - connpass
• 第8回EMS勉強会 - connpass
• プログラム｜Network Security Forum 2024 （NSF2024）／NPO日本ネットワークセキュリティ協会
  • Network Security Forum 2024（NSF2024）
• 第147回オープンソースサロン - connpass
• ssmonline #38 - connpass
• meetup app osaka@8 - connpass

宇宙

• ジェイムズ・ウェッブ宇宙望遠鏡が捉えた、古代宇宙に光り輝く超新星 | ギズモード・ジャパン
• 初心者でも天体観測が楽しめる｢スマート望遠鏡｣。最新モデルはここがすごい #CES2024 | ギズモード・ジャパン
• NASA 宇宙サイバーセキュリティガイド／ウクライナ 対露サイバー攻撃実施発表 ほか ［Scan PREMIUM Monthly Executive Summary 2023年12月度］ | ScanNetSecurity
• 宇宙船から月面まで人を運ぶエレベーター、NASAでテスト中 | ギズモード・ジャパン
• 探査機キュリオシティは何を見てる？ 火星での1日をタイムプラスで | ギズモード・ジャパン

鉄

IT

• 「もしも」の時のために iPhoneの「故人アカウント管理連絡先」設定のススメ | おたくま経済新聞
• SFAが「レポートツール」になり下がる　使いこなせない営業組織が持っていない視点（1/3 ページ） - ITmedia ビジネスオンライン
• Starlink(スターリンク) 対応ルータをSEIL/x86 Ayameで自作する | IIJ Engineers Blog
• 祖母が就寝するとDBインサートができなくなる #RaspberryPi - Qiita
• 【日本人エンジニア必携】英語命名規則の決定版 #Python - Qiita
• CDN業者にやられた話 #CDN - Qiita

その他

• 大阪・関西万博 会場内への食品の持ち込み 原則禁止で最終調整 | NHK | 大阪・関西万博
• NPO団体のおばさんに「貴方が本当にパソコン使えるかどうか試します」って言われて素直な感想述べたら落とされた話 - Togetter
• ネトフリ配信中の『ポケモンコンシェルジュ』が癒しでしかない | ギズモード・ジャパン