Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正 - ITmedia エンタープライズ
Androidの月例セキュリティ情報が公開。26件か。
米Googleは2月5日、Androidの月例セキュリティ情報を公開した。「2018-02-01」「2018-02-05」の2種類のパッチを通じてAndroidの脆弱性に対応しており、2018-02-05以降のパッチレベルで全ての問題が修正される。
Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正 - ITmedia エンタープライズ
今回公表された脆弱性に関する情報は、少なくとも1カ月前に、端末メーカーなどのパートナーに通知済み。パートナー各社から各端末向けのパッチが配信される。
今回のパッチでは計26件の脆弱性が修正された。中でもMediaフレームワークの脆弱性のうち2件は、危険度の最も高い「重大」(Critical)に指定され、悪用されれば攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。
アイ・オーのWi-Fiルーター「WN-AX2033GR」がIPv6(IPoE)に対応 - INTERNET Watch
IPoE対応らしい
アイ・オー・データ株式会社は、IEEE 802.11ac/n/a/g/b対応の無線LANルーター「WN-AX2033GR」について、「IPv6(IPoE)」に対応する最新版ファームウェア「Ver.2.00」を公開した。
アイ・オーのWi-Fiルーター「WN-AX2033GR」がIPv6(IPoE)に対応 - INTERNET Watch
IPv6(IPoE)は、IPv6回線網内で従来のIPv4による通信が可能となる「IPv4 over IPv6」技術。最新ファームウェアでは、「v6プラス(MAP-E)」、「transix(DS-Lite)」の各IPv6サービスに対応している。
これにより、インターネット接続時の認証機能であるPPPoEを利用せずに済むため、回線の混雑などによる速度低下を避けることができる。
iOSのコアとなるソースコードの一部「iBoot」がネットに流出、「史上最大のリーク」との指摘も - GIGAZINE
iOS9の軌道領域iBootのソースが流出とのこと
iPhoneやiPadなどのApple製端末を動かすiOSの中でも最も重要なソースコードが、正体不明の匿名の人物によってGithubで公開されていたことが明らかになりました。
iOSのコアとなるソースコードの一部「iBoot」がネットに流出、「史上最大のリーク」との指摘も - GIGAZINE
Key iPhone Source Code Gets Posted Online in 'Biggest Leak in History' - Motherboard https://motherboard.vice.com/en_us/article/a34g9j/iphone-source-code-iboot-ios-leak
Github上で「iBoot」と呼ばれているこのソースコードは、iOSを構成する数あるソースコードのうち、端末起動時に最初に立ちあがって認証を行う機能を担っているもの。いわば、Windows PCにおける「BIOS」に相当する部分であり、自社製品の要となるソースコードに対するガードが堅いといわれるAppleからiOSの根幹となるデータが流出したこの一件は、関係者の間では驚きをもって受け止められています。
Flash Playerの臨時アップデート公開、未解決だった脆弱性に対処 - ITmedia エンタープライズ
もうFlashは・・・いらないだろ・・・・
Adobe Flash Playerの未解決の脆弱性を突く攻撃が伝えられた問題で、米Adobe Systemsは2月6日、臨時セキュリティアップデートを公開してこの脆弱性に対処した。
Flash Playerの臨時アップデート公開、未解決だった脆弱性に対処 - ITmedia エンタープライズ
Adobeのセキュリティ情報によると、最新版となる「Flash Player 28.0.0.161」では、2件の重大な脆弱性を修正した。いずれも悪用されれば、リモートで攻撃コードを実行され、システムを制御される恐れがある。
“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT (1/4) - ITmedia エンタープライズ
ジャパンネット銀行のCSIRTとSOCの話。
2017年11月に行われた「ITmedia エンタープライズ ソリューションセミナー」では、同社のIT統括部サイバーセキュリティ対策室長を務める岩本俊二氏が、JNB-CSIRTの活動を通じて得られた成果や知見を紹介した。
“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT (1/4) - ITmedia エンタープライズ
JNB-CSIRTは、ジャパンネット銀行が2012年から検討を開始し、2013年に立ち上げた組織で、2017年11月の時点で、11人のメンバーが所属している。岩本氏によれば、JNB-CSIRTは一部SOC(Security Operation Center)の機能も兼ねた形で活動しており、そこが特徴だという。
「セキュリティ業界では『CSIRTとSOCは兼ねない方が良い』との意見もあるが、当行の規模では、それが難しいと判断した。現在では、SOCを一部兼ねたCSIRTを『ベストエフォート』で運営している」(岩本氏)
パスワードマネージャー Android/iOS 最新版公開のお知らせ:サポート情報 : トレンドマイクロ
パスワードマネージャー Android/iOS の真版がリリース、累積的修正とのこと
パスワードマネージャー Android/iOS 最新版の公開を、以下の日程にて実施いたしました。
■ 公開予定日
Android版:2/7(水)
iOS版:2/7(水)
※モバイル環境の最新版はGoogle Playストア、App Storeよりダウンロードすることが可能です。■ 配信予定日
Android版:2/22(木)
※パスワードマネージャーがインストールされている環境に順次配信されます。■ 最新バージョン情報
Android版:3.86.1011
iOS版:3.86.1321■ 主な更新内容
サポート情報 : トレンドマイクロ
・累積の修正
ニュース解説 - 攻撃を再現して驚いた! Skypeなど多数のアプリにあまりに致命的な脆弱性:ITpro
Electoronの脆弱性に足を引っ張られて、色々なアプリに脆弱性が存在とのこと。
アプリが共通して「Electron」というフレームワークを利用していたためだ。Electronに脆弱性があり、Electronを利用している複数のアプリにも脆弱性が発生した。
攻撃を再現して驚いた! Skypeなど多数のアプリにあまりに致命的な脆弱性 | 日経 xTECH(クロステック)
Electronは、米ギットハブが開発したオープンソースのアプリ開発用フレームワーク。同社がテキストエディタ「Atom」を開発する過程で生まれたものだ。Electronを利用すると、HTMLやCSS、JavaScriptといったWeb技術を使ってマルチプラットフォームのデスクトップアプリを簡単に開発できる。
iOS 11.3では緊急通報時に位置情報を自動送信へ | ギズモード・ジャパン
良い。
バッテリーまわりの細やかな機能や新Animojiなど、さまざまな変更がくわわる予定の「iOS 11.3」。現在プレビュー版がテストされているこの新バージョンに、緊急通報をすると位置情報を自動送信する機能が実装されていることが判明しました。
iOS 11.3では緊急通報時に位置情報を自動送信へ | ギズモード・ジャパン
この新機能は「Advanced Mobile Location(AML)」という技術を利用しています。ユーザーが緊急番号に発信すると、位置情報がGPSやWi-Fiネットワークから自動的に取得され、通話の裏でその情報をテキストで送信してくれるのです。これなら、救急機関はすぐにどの地点へと向かえばいいのかが把握できることでしょう。
iOSやmacOSのアップデート公開、「Meltdown」の脆弱性などに対処 - ITmedia エンタープライズ
メモ
米Appleは1月23日、iOSやmacOS、Safariなどを対象とするセキュリティアップデートを公開した。不正なリンクを受信するとiPhoneがクラッシュすると伝えられた問題や、「Meltdown」と呼ばれるCPU関連の脆弱性に対処している。
iOSやmacOSのアップデート公開、「Meltdown」の脆弱性などに対処 - ITmedia エンタープライズ
メッセージアプリを使って悪質なリンクを送り付けるだけでiPhoneやiPadをクラッシュをさせることができてしまうという脆弱性は、ソフトウェア開発者のエイブラハム・マスリ氏が17日のTwitterへの投稿で報告していた。
Appleは23日に公開した「iOS 11.2.5」と、「macOS High Sierra 10.13.3」などMac向けのアップデート、およびApple Watch向けの「watchOS 4.2.2」で、マスリ氏に指摘された脆弱性を修正した。悪用された場合、悪質な細工を施したテキストメッセージを処理することで、アプリケーションがサービス妨害(DoS)状態に陥る可能性があると解説している。
「Firefox Quantum」(バージョン58)公開 さらに高速化、多数の脆弱性修正 - ITmedia NEWS
メモ
米Mozilla Foundationは1月23日(現地時間)、Webブラウザ安定版のアップデートとなる「Firefox 58」をデスクトップ(Windows、Mac、Linux)およびAndroid向けに公開した。「Firefox Quantum」と称するようになってからの初アップデートだ。
「Firefox Quantum」(バージョン58)公開 さらに高速化、多数の脆弱性修正 - ITmedia NEWS
「Google Chrome 64」が安定版に サイトごとの音声ミュート機能や53件の脆弱性修正 - ITmedia NEWS
Chrome64の安定板を公開
米Googleは1月24日(現地時間)、デスクトップ向けWebブラウザ「Chrome 64」の安定版を公開した。Windows、Mac、Linux向けに、数日から数週間かけて配信される。なお、Android版は23日からローリングアウト中だ。
「Google Chrome 64」が安定版に サイトごとの音声ミュート機能や53件の脆弱性修正 - ITmedia NEWS
Webサイトごとの音声ミュート機能
最新バージョンとなる「Chrome 64.0.3282.119」では、バージョン63で見送られたWebサイトごとの音声のミュート機能や、予告されていたリダイレクト広告ブロック機能が追加された。
Windows向けiTunesとiCloudの更新版公開、深刻な脆弱性に対処 - ITmedia エンタープライズ
メモ
米Appleは1月23日、Windows向けの「iTunes 12.7.3 for Windows」と「iCloud for Windows 7.3」を公開し、複数の深刻な脆弱性を修正した。
Windows向けiTunesとiCloudの更新版公開、深刻な脆弱性に対処 - ITmedia エンタープライズ
このアップデートはWindows 7以降が対象となる。Appleのセキュリティ情報によると、今回のアップデートでは、Windows向けのiTunesとiCloudに存在していた2件の脆弱性にそれぞれ対処した。
いずれもWebKitのメモリ破損問題に起因する脆弱性で、悪質な細工を施したWebコンテンツを処理させることによって、任意のコードを実行される恐れがある。
第3回 SaaS型ERPの導入でIT部門の役割はどう変わるのか (1/3) - ITmedia エンタープライズ
マルチテナント なSaaS型ERPの話。
マルチテナント方式と呼ばれるSaaS型ERPの導入では、設計の自由度に制約があるため、ユーザー部門による業務をシステムに合わせるための検討が中心となります。
第3回 SaaS型ERPの導入でIT部門の役割はどう変わるのか (1/3) - ITmedia エンタープライズ
手戻りのリスクを回避するには、導入を開始する前に業務改革の実現可能性を詳細に評価し、導入時に業務部門の改革を断行する必要があり、従来にも増してユーザー部門の主体的な関与が求められます。
一方で、SaaS型ERPのシステム環境は全てサービスプロバイダーから提供されるため、従来はIT部門が担当していたサーバの調達やハードウェア、ソフトウェアの保守などに関する作業が不要になります。代わりに、自社にとって最適なサービスや技術をユーザーが選定できるよう支援することや、マイクロサービス、レガシーシステムなどのさまざまな技術やサービスをシームレスに連携させて効果を引き出すことが求められるようになることから、IT部門の役割は大きく変わってきます。
先ほど紹介した「オーケストレーション機能の強化」や「バイモーダルITの運営体制の整備」というSaaS型ERPの導入でIT部門に求められる新しい役割に注力することは、「安定的かつ一貫性のあるITの提供」という経営陣の期待に応えるためにも有益です。
まとめると、SaaS型ERPの導入を成功させるためには、サービスプロバイダーやユーザー部門に任せきりにするのではなく、IT部門が導入をリードすることが不可欠です。具体的には、
IT部門が、さまざまな技術・サービスを組み合わせて、自社にとって最適なシステム構成を実現するためのオーケストレーション機能を担うこと
第3回 SaaS型ERPの導入でIT部門の役割はどう変わるのか (3/3) - ITmedia エンタープライズ
既存のレガシーシステムの維持、マイグレーションを担う人材を確保しつつ、SaaS型ERPをはじめとした最新の技術・サービスに対応できる人材を計画的に採用、育成し、バイモーダルITの運営体制を整備すること
アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題 (1/4) - ITmedia エンタープライズ
アクサ生命のCSIRT事例
アクサ生命では、CSIRTをインド、シンガポール、日本の3拠点を結ぶ体制で運営している。シンガポールにデータセンターがあり、インドのSOC(Security Operation Center)がデータセンターの運用監視を行い、問題があれば日本へ連絡するという仕組みだ。川添氏は「CSIRTの運用と関連プロセスを危機管理・事業継続のフレームワークにひもつけたことが成功のポイント」と話す。
アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題 (1/4) - ITmedia エンタープライズ
川添氏によれば、日本は地震や津波などの大型災害が多いことから、既に危機管理や事業継続のフレームワークが確立されているという。その基本方針や規定の下に、危機管理マニュアルや防災マニュアル、プロセス管理、ITのDR(ディザスタリカバリー)などがある。この危機管理マニュアルに情報セキュリティインシデントに関するインシデント管理をひもづけ、危機管理や事業継続に統合される形にしているのだ。このメリットを川添氏は3つ挙げる。
防災訓練と同じ目線で全社展開することが可能になり、エンドユーザーの参加意識向上が見込まれる ビジネスへのインパクトが、事業継続の問題としてトップマネジメントに確実に伝わる。そのため、社長や役員もサイバー演習に参加している 連絡体制が一本化できるため、地震や津波などの災害とサイバーインシデントが同じ体制で対応できる
Flash Playerに未解決の脆弱性、Windows狙う攻撃に利用 - ITmedia エンタープライズ
実際に攻撃が出ているらしい
米セキュリティ機関のSANS Internet Storm Centerは2月1日、韓国CERTからの情報として、Adobe Flash Playerの未解決の脆弱性を突く標的型攻撃が発生していると伝えた。
Flash Playerに未解決の脆弱性、Windows狙う攻撃に利用 - ITmedia エンタープライズ
Adobe Systemsも同日公開したセキュリティ情報で、未解決の脆弱性が「限定的な標的型攻撃」に利用されているという情報を確認。修正のためのアップデートを2月5日の週にリリースすると予告した。