Last modified: Wed Jan 15 19:44:28 2025
+0900 (JST)
Security Watch さんが店じまいされてしまったので、
個人で追いかけてみるテストです。
備忘録として書いておくつもりなので、
Security Watch さんのような詳細なものではありません。
基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。
また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。
各自で 1 次情報源の内容を確認してください。
このページの内容をくれぐれも鵜飲みにしないように。
間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ]
過去の記事:
2024 |
2023 |
2022 |
2021 |
2020 |
2019 |
2018 |
2017 |
2016 |
2015 |
2014 |
2013 |
2012 |
2011 |
2010 |
2009 |
2008 |
2007 |
2006 |
2005 |
2004 |
2003 |
2002 |
2001 |
2000 |
1999 |
1998
「Scan Security Wire」
主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の
ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》
チェジュ航空2216便着陸失敗事故 (2024.12.29) 方面
》
中国で活動するブラック要員情報を中国に渡した韓国軍務員…無期懲役を求刑
(中央日報, 1/15)。ブラック要員 = スパイの模様。
》
米ファンド フジ・メディアHDに調査要求 中居さんめぐる対応で
(NHK, 1/15)。あたりまえの要求。
原文: Request for the establishment of a third-party committee and the restoration of confidence
(Rising Sun Management, 1/14)
》
【速報中】ユン大統領の拘束令状を執行と発表 合同捜査本部
(NHK, 1/15)。逮捕令状ではなく「拘束令状」。
》
【速報】兵庫県選挙管理委員会が総務省に要望へ 知事選めぐり「当選目的のない立候補」の法整備求める NHK党立花氏が「当選を目的としない」斎藤知事を応援 ポスター掲示板の増設対応も
(読売 / Yahoo, 1/15)。ようやくですか。
》
日本郵便方面
日本郵便、ゆうパック委託業者に「違約金」 誤配・苦情1件数万円も
(朝日, 1/6)。末端いじめ。
とっても JAPAN だね!
ゆうパック配達「罰金なんて時代錯誤」 たばこの苦情で「10万円」
(朝日, 1/6)
日本郵便、違約金の一部を返金 公取委の指導後、「説明不足だった」
(朝日, 1/7)
「一方的だ」ゆうパックの違約金変更、委託業者の怒り 内部から疑問
(朝日, 1/14)
》
米国が示した“中国関連の脅威アクターから守るためのベストプラクティス”とは
(Internet Watch, 1/14)
》
アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……
(ITmedia, 1/8)
「Git for Windows」にセキュリティアップデート ~資格情報の漏洩などにつながる可能性
(窓の杜, 2025.01.15)
FortiOS 7.0.0〜7.0.16 / FortiProxy 7.2.0〜7.2.12 / FortiProxy 7.0.0〜7.0.19
に欠陥。Node.js websocket モジュールに攻略リクエストを送ることで、
認証を回避して super-admin 権限を取得できる。CVE-2024-55591
FortiOS 7.0.17 / FortiProxy 7.2.13 / FortiProxy 7.0.20 で修正されている。
また、HTTP/HTTPS 管理インターフェイスを無効にする、
あるいは local-in ポリシーによる IP アドレスに基づくアクセス制限を設定することで状況を緩和できる。
関連:
Zero-Day Vulnerability Suspected in Attacks on Fortinet Firewalls with Exposed Interfaces
(The Hacker News, 2025.01.14)
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起
(JPCERT/CC, 2025.01.15)
Adobe Photoshop / Substance3D Stager / Illustrator for iPad / Animate / Substance3D Designer のセキュリティ情報公開。いずれも Priority: 3。
いずれも対応版が用意されている。
Chrome 132.0.6834.83 (Linux) および 132.0.6834.83/84 (Windows / Mac)
が stable に。16 件のセキュリティ修正を含む。関連:
Firefox 134.0 / ESR 128.6.0 公開
(2025.01.08)
Thunderbird 128.6.0esr が 2025.01.08 付で出てました。
Thunderbird 128.6.0esr がリリースされた
(mozillaZine, 2025.01.08)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。
セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた
(mozillaZine, 2025.01.15)
出ました。159 Microsoft CVE + 2 non-MS CVE。
CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
0-day が 8 件も。攻略プログラムが確認されているのは Hyper-V の 3 件。
他は情報公開。
Access patch は副作用あり。
この更新プログラムは、この脆弱性をどのような方法で保護しますか?
この更新プログラムにより、潜在的に悪意のある拡張子が電子メールで送信されることはありません。
どの種類の拡張子がブロックされますか?
ブロックされる拡張子は次のとおりです。
accdb
accde
accdw
accdt
accda
accdr
accdu
関連:
》
Facebookに現れた「タモリさん起訴」のフェイクニュース広告を調査―クリック先に待ち受けるものとは?
(おたくま経済新聞, 1/14)
》
「イオンカード」のイオンFS、カード不正利用で“特損28億円”も増収増益
(ITmedia, 1/9)
》
スクエニ、カスハラ対応方針を明示 悪質な場合は「法的措置や刑事手続を含む対処を」
(ITmedia, 1/10)
》
手放したドメインを「パパ活サイト」に転用されたマカフィー、「別の法人により管理されていた」「非常に遺憾」
(ITmedia, 1/10)。blogs.mcafee.jp の件。
関連:
》
JAL、飛行機を“サメ肌”にして空気抵抗軽減 世界で初めて国際線に導入へ 1月中旬から
(ITmedia, 1/20)
》
Sweet QuaDreams or Nightmare before Christmas? Bill Marczak on Dissecting an iOS 0-Day
(CitizenLab, 1/9)
》
MirrorFaceによるサイバー攻撃について(注意喚起)
(警察庁, 1/8)
》
Appleが「Siriのプライバシー保護機能」について解説、可能な限りオフラインで処理しデータ収集は最小限
(gigazine, 1/10)
》
TikTok買収にドジャース元オーナーのフランク・マッコート率いる「Project Liberty」が正式立候補
(gigazine, 1/10)。はてさて。
》
TikTok禁止法の施行を前にTikTokはユーザーに「Lemon8」への脱出を推奨している
(gigazine, 1/9)
》
Instagram・Facebookでは露骨なポルノを含む迷惑詐欺広告が数多く表示されている、一方でMetaはポルノと関係のない投稿まで「ポリシー違反」として削除している
(gigazine, 1/9)
》
「ハトにカメラを仕込んで撮影」など動物を使ったスパイ活動の成功例と失敗例について国際安全保障の専門家が解説
(gigazine, 1/10)
》
GoogleとLinux FoundationがChromiumの開発と維持を支援する基金「Supporters of Chromium-Based Browsers」を設立、MetaやMicrosoftなども参加
(gigazine, 1/10)
》
なぜトランプ次期大統領の関税引き上げ計画を経済学者は懸念しているのか?
(gigazine, 1/10)。第1次トランプ政権の時にも関税引き上げ事例があったのですね。
》
GoogleとMicrosoftがトランプ大統領就任式におよそ1億6000万円ドルを寄付したことが明らかに
(gigazine, 1/10)。うへえ。
》
トランプ氏の仮想通貨政策に暗雲か、アメリカ司法省が過去に押収した1兆円相当のビットコインの売却が認められたことで準備金が不足する可能性
(gigazine, 1/10)
》
仏独、トランプ次期米大統領に警告 グリーンランド支配の発言めぐり
(BBC, 1/9)
》
Drupal 7 End of Life - PSA-2025-01-06
(Drupal, 1/6)。ついに終了。
》
北朝鮮:極超音速滑空ミサイル「火星16B」の発射試験に成功か
(海国防衛ジャーナル, 1/7)
》
大川原化工機代理人「警察犯罪を裁く機会が奪われた」 虚偽の文書作成疑い、警視庁公安部の3人が不起訴に
(東京, 1/8)。冤罪殺人事件なのに主犯はこの扱い。
》
Turkish Navy Unveils MUGEM: A Fully Indigenous Aircraft Carrier
(Naval News, 2024.10.28)。トルコの 6万トン級空母 MUGEM。
いよいよ建造開始だそうで:
トルコ海軍向けの6万トン級空母、国防省が建造作業の開始を発表
(航空万能論 GF, 1/4)
》
Microsoftが「93日を超えてライセンスの付与されていないOneDriveアカウント」へのアクセスを遮断する予定
(gigazine, 1/9)。また祭になるのだろうか。
》
プライバシーを勝手にオークションにかける「リアルタイム入札」について電子フロンティア財団が警鐘を鳴らす
(gigazine, 1/9)
》
弾薬統合の自由、ドイツ軍の選択はGMARSではなくEuroPULS
(航空万能論 GF, 1/8)
ひでえ。昨今のトランプ発言もそうだが、独立国家を馬鹿にしすぎだろ。
》
クルスク方面の戦い、ロシア軍の攻勢でウクライナ軍の左翼が急速に崩壊
(航空万能論 GF, 1/10)、
ロシア軍はウクライナ軍の攻勢を事前に察知、戦力を集中させて逆攻勢
(航空万能論 GF, 1/10)
》
ウクライナ兵1700人脱走か 当局が捜査開始
(TBS, 1/4)。第155機械化旅団 大量脱走事件。
》
J-36はポジショニングと先制攻撃を追求した戦闘機、視界外戦闘に特化
(航空万能論 GF, 2024.12.31)。
AWACS キラーかなあ。
Ivanti Connect Secure / Policy Secure / ZTA Gateways
に 2 件のセキュリティ欠陥、
remote から無認証で RCE
CVE-2025-0282
と local user による権限上昇
CVE-2025-0283。
CVE-2025-0282 は 0-day。
CVE-2025-0282 を突いた侵入の有無は Integrity Checker Tool (ICT)
で確認できるとされている。internal ICT と external ICT があるようなのだが、
external ICT は
対応済みバージョンである
22.7R2.5 以降でのみ利用可能な模様。
影響範囲:
現時点では
Ivanti Connect Secure 用の patch のみが用意されている。
Policy Secure / ZTA Gateways は 2025.01.21 に登場予定。
関連:
daitoshi.mlit.go.jp ドメインがハイジャックされオンラインカジノサイトが設置されていた
(2025.01.09)
kyufukin.soumu.go.jp 等の件:
》
ClamAV 1.4 as Next Long-Term Stable (LTS)
(ClamAV, 1/8)
》
刊行物『中小企業向けサイバーセキュリティ対策の極意』
(東京都産業労働局)。1/8 付で Ver.3.0 が公開されています。
》
「反戦詩」詠んだ与謝野晶子像に突然の撤去要請 裁判応酬の事態に
(朝日, 1/8)。堺市長はもちろん維新。
維新はほんと駄目だな。
大都市交通センサスのドメイン
daitoshi.mlit.go.jp がハイジャックされ、オンラインカジノサイトが設置されていた模様です。現在は修正されているそうです。
lame delegation ダメ、ゼッタイ。
@MLIT_JAPAN 国土交通省はなかったことにするつもりっぽいし、修正済みだから暴露しちゃえということで、先月まで、国交省https://t.co/I64bYAlW8K下のDNSの一部ゾーンが第三者に乗っ取られてました。DNS素人なので間違ってるかもですが、Route53のlame delegationです 使われなくなったゾーンの委任消し忘れですねJPCERT/CC経由で報告し、現在は修正済みですこちらから当時のDNSの様子が見れますhttps://t.co/ixXF9xVgeq Let's Encryptで不正なワイルドカード証明書まで発行されちゃってますこれはhttps://t.co/fptzWm77Vwで確認できます https://t.co/ICKegrNp9aまだキャッシュに残ってました
kyufukin.soumu.go.jp 等の件:
》
ビッグテック企業は“ガザのジェノサイド”にどのように加担しているのか
(p2ptk.org, 2024.10.15)
》
「優しい独裁者」から「権威主義者への迎合」に向かうテック業界
(p2ptk.org, 2024.12.12)
》
「人間がAIを監督する」という幻想
(p2ptk.org, 2024.12.09)
》
Hollywood Miscasts AI As The Terminator
(NOEMA, 2024.10.11)。
以下の引用は DeepL 訳:
》
トランプ次期米大統領、グリーンランドとパナマ運河の支配めぐり脅し強める 「カナダ合併」にも言及
(BBC, 1/8)
》
中国政府は自動車用半導体の自給率を高めたがっている
(gigazine, 1/8)
》
Huaweiはアメリカの厳しい制裁にもかかわらず復活し中国市場でiPhoneを追い上げつつある
(gigazine, 1/7)
関連:
》
Tencentが中国軍との関係が疑われる企業のブラックリストに追加され株価7%超の下落、企業の評判悪化のほか財務省による制裁の圧力にさらされる可能性も
(gigazine, 1/7)
》
サイバートラックがトランプ・ホテル前で爆発した事件の犯人はChatGPTで計画を練っていた
(gigazine, 1/8)
》
「極右の毒が深刻な脅威に」「荒らしに餌を与えるな」マスク氏の介入、英独首相ら欧州指導者が相次ぎ反発
(新聞紙学的, 1/8)。だんだんあからさまになってきた。
関連: 【解説】 なぜマスク氏は各国の政治に介入しようとしているのか
(BBC / Wedge, 1/8)
》
Meta、第三者によるファクトチェック廃止へ 政治コンテンツ制限緩和も
(ITmedia, 1/8)。トランプ効果。
関連:
》
米国 NSA、CISA、FBI他 イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 (2024.12.18)
(まるちゃんの情報セキュリティ気まぐれ日記, 1/3)。
》
Treaties on the exchange and protection of classified information
(electrospaces.net, 2024.12.31)
》
ランサムリークサイト観察記 2024年振り返り
((n)inja csirt, 1/7)
関連:
》
ケニアの村に重さ500kgの落下物、宇宙ゴミか 「家の敷地に落ちたら大惨事に」
(産経 / ITmedia, 1/7)
関連: アストロスケールの商業デブリ除去実証衛星「ADRAS-J」、宇宙空間でデブリから約15mの距離まで接近に成功
(アストロスケール, 2024.12.01)
》
カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で
(ITmedia, 1/7)
出ました。Thunderbird 128.6.0esr はまだです。
Thunderbird 128.6.0esr が 2025.01.08 付で出てました。
Thunderbird 128.6.0esr がリリースされた
(mozillaZine, 2025.01.08)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。
セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた
(mozillaZine, 2025.01.15)
Chrome 131.0.6778.264/.265 (Windows / Mac) および 131.0.6778.264 (Linux) 公開。4 件のセキュリティ修正を含む。また $55000 とか出てるし。
関連:
》
グアムの陸上配備型イージスが弾道ミサイルの迎撃試験に成功
(海国防衛ジャーナル, 2024.12.22)
海自も参加していたのですね。
こういうのの訓練機会はなかなかないからなあ。
》
WordPress 6.7.1、カテゴリが勝手に複数選択される不具合。特定条件下で発生。当サイトも見事に被弾
(ニッチなPCゲーマーの環境構築Z, 1/6)
》
【重要】【リマインド】ActiveUpdateサーバのコードサイニング証明書更新について
(トレンドマイクロ, 1/6)、
ActiveUpdateサーバのコードサイニング証明書更新に伴う影響について
(トレンドマイクロ, 1/6 更新)
》
2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測
(トレンドマイクロ セキュリティ blog, 1/6)
》
日本航空で発生した大量データ送付起因のネットワーク障害についてまとめてみた
(piyolog, 2024.12.30)
》
サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~
(JPCERT/CC, 2024.12.25)
》
制御システムセキュリティカンファレンス2025
(JPCERT/CC, 2024.12.19)。2025.02.05、ハイブリッド (東京都台東区 + オンライン)、無料 (要登録)。
》
しょせん他人事って言っても若いですなぁ。
(壇弁護士の事務室, 2024.12.25)。「しょせん他人事ですから」8巻の宣伝。
》
ISO-2022-JPによるXSSの話
(葉っぱ日記, 1/2)
》
お待たせしました!次号発売決定のお知らせ
(「冤罪File」編集局公式ブログ, 2024.12.11)。「2025年3月1日(土)」。
》
近年の水飲み場攻撃事例 (JPCERT/CC)
》
人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起)
(個人情報保護委員会, 2024.12.17)
》
Apple、「iOS 18.2.1」「iPadOS 18.2.1」をリリース
(窓の杜, 1/7)
》
動く実物大ガンダムの“解体”現場に密着 NHK「解体キングダム」で8日放送
(ITmedia, 1/6)。明日。
》
VHS「2025年問題」思い出消滅の危機 迫る耐用年数、データ変換の依頼殺到
(産経 / ITmedia, 1/7)
》
セキュリティソフト「マカフィー」になにが? 公式ブログが“パパ活”の記事を配信
(やじうま Watch, 1/6)
》
元旦に連続発生した自動車による殺傷事件には身元確認が厳密なはずのカーシェアリングサービス「Turo」の車両が使われていた
(gigazine, 1/6)
》
最大の脅威は「組織化、ビジネス化するランサムウェア攻撃」。JASAが2025年の情報セキュリティ10大トレンド発表
(Internet Watch, 1/7)
》
Bing、Googleとデザイン激似の検索フォームでユーザーを誘い込んでいることが明らかに
(やじうま Watch, 1/7)
今 Edge で確認してみたら、確かに「マイクロソフトによる広告」としてにせ Google が表示されているなあ。Microsoft にとってのセキュリティってどうなってるの?
と思って「Microsoft のプライバシーとセキュリティ ポリシーについて」
(Microsoft)
を見てみると、
そもそも日本語が通じていないようだった。
(英語だと「Microsoft is committed to helping protect your security and privacy while you're using Bing products」)
》
「7つの失敗」で振り返る 2024年のAIシーン
(MIT Technology Review, 1/3)
Deep Security Agent(Windows版)における不適切なパーミッションによるローカル権限昇格の脆弱性(CVE-2024-55955)
(トレンドマイクロ, 2024.12.20)
Trend Micro Apex One および Trend Micro Apex One SaaS で確認された複数の脆弱性について(2024年12月)
(トレンドマイクロ, 2024.12.17)
「libxml2」にXXE脆弱性 - 利用アプリに影響
(security-next, 2024.12.27)。
CVE-2024-40896
CVE-2024-40896 Analysis: libxml2 XXE due to type confusion
(oss-sec ML, 2024.12.25)
iTerm2 < 3.5.11 logs input/ouput to /tmp/framer.txt on remote host
(oss-sec ML, 2025.01.03)。iTerm2 3.5.6〜3.5.10 の欠陥。 3.5.11 で修正。
Androidにリモートコード実行の「Critical」な脆弱性 ~2025年1月セキュリティ更新
(窓の杜, 2025.01.07)
過去の記事:
2025 |
2024 |
2023 |
2022 |
2021 |
2020 |
2019 |
2018 |
2017 |
2016 |
2015 |
2014 |
2013 |
2012 |
2011 |
2010 |
2009 |
2008 |
2007 |
2006 |
2005 |
2004 |
2003 |
2002 |
2001 |
2000 |
1999 |
1998
[私について]