月別アーカイブ: 2019年8月

他人の充電ケーブルを借りてはいけない理由 | Forbes JAPAN(フォーブス ジャパン)

他人の充電ケーブルを借りてはいけない理由 | Forbes JAPAN(フォーブス ジャパン)

他人の充電ケーブルを借りてはいけない理由 | Forbes JAPAN(フォーブス ジャパン)

スマートフォンやタブレットの電池が切れそうだが、充電ケーブルを家に置いてきてしまった。そこで、空港の出発ロビーにいる他の乗客から、あるいはホテルのフロントから充電ケーブルを借りる──。特に問題がない行為に思えるだろうが、サイバーセキュリティーの専門家によると、今の時代ではそれは大きな間違いだ。 IBM...

はてなブックマーク - 他人の充電ケーブルを借りてはいけない理由 | Forbes JAPAN(フォーブス ジャパン) はてなブックマークに追加

iPhone標的とした「無差別」ハッキング、グーグルが明らかに(AFP=時事) – Yahoo!ニュース

iPhone標的とした「無差別」ハッキング、グーグルが明らかに(AFP=時事) - Yahoo!ニュース

iPhone標的とした「無差別」ハッキング、グーグルが明らかに(AFP=時事) - Yahoo!ニュース

【AFP=時事】米IT大手グーグル(Google)のセキュリティー対策班は29日、米電子機器大手アップル(Apple)のスマートフォン「iPhone(アイフォーン)」を標的にした「無差別」なハッキング活動が、少なくとも2年間行われていたことを明らかにした。ウェブサイトに悪意あるソフトウエアを埋め込むことで、写真や位置情報...

はてなブックマーク - iPhone標的とした「無差別」ハッキング、グーグルが明らかに(AFP=時事) - Yahoo!ニュース はてなブックマークに追加

iPhone標的とした「無差別」ハッキング、グーグルが明らかに 写真1枚 国際ニュース:AFPBB News

iPhone標的とした「無差別」ハッキング、グーグルが明らかに 写真1枚 国際ニュース:AFPBB News

iPhone標的とした「無差別」ハッキング、グーグルが明らかに 写真1枚 国際ニュース:AFPBB News

米カリフォルニア州サンフランシスコで、電子機器大手アップルのロゴの前を歩く記者(2015年9月9日撮影、資料写真)。(c)Josh Edelson / AFP 【8月31日 AFP】米IT大手グーグル(Google)のセキュリティー対策班は29日、米電子機器大手アップル(Apple)のスマートフォン「iPhone(アイフォーン)」を標的にした「無差別...

はてなブックマーク - iPhone標的とした「無差別」ハッキング、グーグルが明らかに 写真1枚 国際ニュース:AFPBB News はてなブックマークに追加

ツイッターCEOのアカウント、ハッカーが乗っ取り (写真=ロイター) :日本経済新聞

ツイッターCEOのアカウント、ハッカーが乗っ取り (写真=ロイター) :日本経済新聞

ツイッターCEOのアカウント、ハッカーが乗っ取り (写真=ロイター) :日本経済新聞

【シリコンバレー=白石武志】米ツイッターは30日、ジャック・ドーシー最高経営責任者(CEO)のアカウントが同日午後に一時的に乗っ取られる被害にあったと明らかにした。ハッカーによって人種差別的な内容が投稿され、約420万人のフォロワーらが閲覧できる状態となっていた。トランプ米大統領らも情報発信に使うSNS(交...

はてなブックマーク - ツイッターCEOのアカウント、ハッカーが乗っ取り (写真=ロイター) :日本経済新聞 はてなブックマークに追加

IPアドレスから地域特定するGeoIP系技術について調べてみた

IPアドレスから地域特定するGeoIP系技術について調べてみた

IPアドレスから地域特定するGeoIP系技術について調べてみた

morimorihogeです。昔は夏ってもっと仕事なくて暇だった気がするんですが、ここ数年徐々に忙しくなっていてまったりできてない はてブでこんな記事が上がっていて、IPアドレスからの地域特定サービスについて具体的にどうなのよ?と思ったので調べてみた結果をまとめてみます。 NURO光最大のデメリットとサポート対応の...

はてなブックマーク - IPアドレスから地域特定するGeoIP系技術について調べてみた はてなブックマークに追加

ツイッター社CEOのアカウントに不正アクセス 差別的投稿も | NHKニュース

ツイッター社CEOのアカウントに不正アクセス 差別的投稿も | NHKニュース

ツイッター社CEOのアカウントに不正アクセス 差別的投稿も | NHKニュース

アメリカのツイッター社は、会社のトップ、ジャック・ドーシーCEOのアカウントが何者かに不正にアクセスされたと発表し、セキュリティー対策が厳しく問われることになりそうです。 ツイッター社は声明を出して、アカウントが不正にアクセスされたことを認め経緯を調査していると発表しました。ドーシーCEOのフォロ...

はてなブックマーク - ツイッター社CEOのアカウントに不正アクセス 差別的投稿も | NHKニュース はてなブックマークに追加

パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準

今や、ほぼ1人1台スマホやパソコンを所有している時代だが、そのパスワードについては、いくら親しい間柄とはいえ、知らされていないことが多い。 家族の誰かが亡くなったとき、その家族のスマホやパソコンを開かなくてはならない事態に陥っても、パスワードという壁に阻まれて、途方に暮れる遺族が増えている。一方で、...

はてなブックマーク - パスワードに阻まれて途方に暮れる遺族の現実 | インターネット | 東洋経済オンライン | 経済ニュースの新基準 はてなブックマークに追加

ツイッターCEOのアカウント乗っ取り 不可解な連続投稿 写真2枚 国際ニュース:AFPBB News

ツイッターCEOのアカウント乗っ取り 不可解な連続投稿 写真2枚 国際ニュース:AFPBB News

ツイッターCEOのアカウント乗っ取り 不可解な連続投稿 写真2枚 国際ニュース:AFPBB News

ツイッターのジャック・ドーシーCEO(2018年11月12日撮影)。(c)Prakash SINGH / AFP 【8月31日 AFP】米ツイッター(Twitter)は30日、同社のジャック・ドーシー(Jack Dorsey)最高経営責任者(CEO)のアカウントが不正アクセスを受けたことを明らかにした。同CEOのアカウントにはこれに先立ち、不可解で侮辱的なメッセ...

はてなブックマーク - ツイッターCEOのアカウント乗っ取り 不可解な連続投稿 写真2枚 国際ニュース:AFPBB News はてなブックマークに追加

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) – IT・システム判例メモ

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ

SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する...

はてなブックマーク - SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ はてなブックマークに追加

これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 – Qiita

これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita

これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita

基礎知識編 CSRF とは何か? CSRF (Cross-Site Request Forgeries) を直訳すると 「サイトを跨ぐ偽造リクエスト送信」 です。 簡単に言うと,罠サイトを踏んだ結果,自分が無関係な別のサイト上で勝手にアクションをさせられる攻撃です。具体的には,ネットサーフィンをしているうちに知らない間に自分のIPアドレスから...

はてなブックマーク - これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita はてなブックマークに追加

Scalable infrastructure for investigations and incident response

Traditional computer forensics and cyber investigations are as relevant in the cloud as they are in on-premise environments, but the methods in which to access and perform such investigations differ. This post will describe some of the challenges of bringing on-premises forensics techniques to the cloud and show one solution to overcome these challenges, using …

Scalable infrastructure for investigations and incident response Read More »

悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明 | TechCrunch Japan

悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明 | TechCrunch Japan

悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明 | TechCrunch Japan

Googleのセキュリティ研究者たちは、ユーザーが訪問すると、これまで公表されていなかったソフトウェアの欠陥を悪用してユーザーのiPhoneをこっそりハックする悪質なウェブサイトを複数見つけた。 GoogleのProject Zeroが米国時間8月29日の午後発表したブログ記事によると、それらのウェブサイトはこれまで何も知らぬ被...

はてなブックマーク - 悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明 | TechCrunch Japan はてなブックマークに追加

NTTドコモのd払い、相次ぐ不正利用を受け利用規約を改定、補償を明記。PayPayも追随

Anonymous Coward曰く、

NTTドコモは8月28日、同社が提供する決済サービス「d払い」などにおける不正利用の被害を補償する制度を導入すると発表した(ドコモからのお知らせNHKニュースケータイWatchマイナビニュース)。

同日、ソフトバンクグループ傘下のPayPayも不正利用による被害を補償する制度の導入を発表した(プレスリリースPDF日本経済新聞朝日新聞ITmedia NEWSケータイWatchマイナビニュース)。

NTTドコモのd払いに関しては、昨今NTTドコモを騙るフィッシングSMSによるアカウント乗っ取り、不正利用被害が多発しており同社による注意喚起や、不正利用被害がAmazon.co.jpによるものに集中していたことからAmazonにおけるd払い設定時の認証方法を変更する対策も取られていた。

8月26日にはNHKニュースもこの問題について詳報しており、コメントで補償制度の導入を準備していると明らかにしていた。

PayPayは自社によるアンケート調査で、スマホ決済サービスを利用しない理由の一つに不正利用に対する不安があり、また不正利用発生時の補償対応へのニーズが高いことがわかったため利用規約の改定を決定したとしている。 メルカリが提供するメルペイも7payの不正利用問題を受け補償制度が存在しないことがTwitterなどで問題視されたが、先行して8月15日に利用規約を改定、補償を明記している。

なお、piyologにてキャッシュレス決済サービスの補償制度の状況がまとめられているが、現在規約で補償制度について言及されているのはPayPayおよびd払い、メルペイ、LINE Pay、J-COin Pay、&Payの6社のみだったという。

すべて読む | セキュリティセクション | セキュリティ | お金 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NTTドコモを騙るフィッシングSMSが多発、d払いの不正利用被害多数も補償制度なく、被害届も出せず 2019年08月01日
7payで不正利用被害報告が相次ぐ 2019年07月04日
PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 2018年12月30日

Google Playでダウンロード1億回を超えるアプリにマルウェアが混入

headless曰く、

Google Playでのダウンロード件数が1億回を超える人気アプリ「CamScanner - Scanner to scan PDF」(CamScanner)の最近のバージョンにマルウェアが混入していたことが発覚した。これを受けて現在アプリの公開は停止されている(Kaspersky公式ブログKaspersky SecurelistAndroid PoliceCamScannerの告知ページ)。

CamScannerはスマートフォンのカメラをドキュメントスキャナーのように利用できるようにするアプリ。Kasperskyによると元々は特に問題のないアプリだったが、最近のバージョンでは広告ライブラリを通じて「ドロッパー」と呼ばれる悪意のある処理をするコードが組み込まれていたという。

Kaspersky製品がTrojan-Dropper.AndroidOS.Necro.nとして検出するこのドロッパーは、アプリが起動するとアプリのリソースに含まれるZIPファイル中のコードを展開・実行し、攻撃者のサーバーから追加のコードをダウンロードして実行する。CamScannerでドロッパーが具体的に何をしていたのかについては書かれていないが、侵襲的な広告を表示したり、有料サブスクリプションを登録して携帯電話のアカウントに課金したりといったことも可能とのこと。

Google Playからは既に削除されているが、8月26日に取得されたアプリページのGoogleキャッシュが残っていることから、最近まで公開されていたらしい。ただし、Android Policeの調査によると、マルウェアが混入していたのは6月17日公開のバージョン5.11.3.20190616から7月25日公開のバージョン5.12.0.20190725までで、削除時点で公開されていたバージョンは安全だったようだ。

CamScannerの告知によれば、Android版のバージョン5.11.7に組み込んだAdHubという広告SDKに広告クリックを発生させる悪意あるモジュールが見つかったそうだ。調査の結果、モジュールがドキュメントのデータを流出させた形跡は見つからなかったという。CamScannerではGoogle Playで認定されないすべての広告SDKを削除したとのことで、現在最新版のAPKをGoogle Play外でダウンロード提供している。また、Google Playでも再公開できると見込んでいるという。

すべて読む | セキュリティセクション | セキュリティ | 携帯電話 | IT | Android | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 2019年06月28日
ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される 2019年05月22日
Google Play プロテクトのマルウェア検出性能は向上していないのか? 2019年04月27日
Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増 2019年02月17日

ローソン元従業員 約4億3000万円を私的使用か | NHKニュース

ローソン元従業員 約4億3000万円を私的使用か | NHKニュース

ローソン元従業員 約4億3000万円を私的使用か | NHKニュース

コンビニ大手のローソンは、IT部門に勤務していた50代の元従業員が取引先への業務委託料を水増しし、9年間にわたっておよそ4億3000万円を私的に使っていたと発表しました。ローソンは、この元従業員を30日付けで懲戒解雇し、元従業員と取引先を刑事告訴する方針です。

はてなブックマーク - ローソン元従業員 約4億3000万円を私的使用か | NHKニュース はてなブックマークに追加

400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生 – GIGAZINE

400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生 - GIGAZINE

400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生 - GIGAZINE

by seventyfourimages アメリカで歯科診療所を標的にしたランサムウェアが猛威をふるっており、確認されているだけでも約400カ所の歯科診療所が治療データを暗号化され、業務に重大な支障をきたしていると報道されています。 Ransomware hits hundreds of dentist offices in the US | ZDNet https://www.zdnet.com/arti...

はてなブックマーク - 400カ所以上の医療機関が一斉にランサムウェア被害に遭う事件が発生 - GIGAZINE はてなブックマークに追加

Project Zero: A very deep dive into iOS Exploit chains found in the wild

Project Zero: A very deep dive into iOS Exploit chains found in the wild

Project Zero: A very deep dive into iOS Exploit chains found in the wild

Project Zero’s mission is to make 0-day hard. We often work with other companies to find and report security vulnerabilities, with the ultimate goal of advocating for structural security improvements in popular systems to help protect people everywhere. Earlier this year Google's Threat Analysis ...

はてなブックマーク - Project Zero: A very deep dive into iOS Exploit chains found in the wild はてなブックマークに追加

米グーグルがHTTPS証明書の有効期間1年短縮を提案、認証局は反論 | 日経 xTECH(クロステック)

米グーグルがHTTPS証明書の有効期間1年短縮を提案、認証局は反論 | 日経 xTECH(クロステック)

米グーグルがHTTPS証明書の有効期間1年短縮を提案、認証局は反論 | 日経 xTECH(クロステック)

米グーグルがHTTPS(TLS)に対応したWebサイトに使われるサーバー証明書の有効期間を現行の最長825日(2年3カ月)から397日(13カ月)に短縮するよう業界ルールの改定を提案し、議論を呼んでいる。早ければ2020年4月以降に更新する証明書から適用を求める内容だ。 HTTPSはユーザーがWebブラウザーでサーバーにアクセスす...

はてなブックマーク - 米グーグルがHTTPS証明書の有効期間1年短縮を提案、認証局は反論 | 日経 xTECH(クロステック) はてなブックマークに追加

何百もの歯科医院がランサムウェア被害に–MSPのインフラを悪用 – ZDNet Japan

何百もの歯科医院がランサムウェア被害に--MSPのインフラを悪用 - ZDNet Japan

何百もの歯科医院がランサムウェア被害に--MSPのインフラを悪用 - ZDNet Japan

この事件はこれまでにもあったように、犯罪グループがソフトウェアプロバイダーに侵入し、その製品を使って顧客のシステムにランサムウェアを仕掛けたものだ。 今回攻撃対象となったソフトウェアプロバイダーは、ウィスコンシン州に拠点を置くDigital Dental RecordとPerCSoftだ。両社が共同開発した「DDS Safe」は、医...

はてなブックマーク - 何百もの歯科医院がランサムウェア被害に--MSPのインフラを悪用 - ZDNet Japan はてなブックマークに追加

ハリケーン撃退法、珍案は核爆弾だけではなかった | ナショナルジオグラフィック日本版サイト

ハリケーン撃退法、珍案は核爆弾だけではなかった | ナショナルジオグラフィック日本版サイト

ハリケーン撃退法、珍案は核爆弾だけではなかった | ナショナルジオグラフィック日本版サイト

2018年9月12日午前、国際宇宙ステーションの外に設置されたカメラが、大西洋上空を進む巨大なハリケーン・フローレンスを撮影した。熱帯低気圧を鎮めるために、科学者たちは過去50年間試行錯誤を繰り返してきた。(PHOTOGRAPH COURTESY NASA) 核爆弾を打ち込んでハリケーンを破壊できないか。60年前に提唱された荒唐無...

はてなブックマーク - ハリケーン撃退法、珍案は核爆弾だけではなかった | ナショナルジオグラフィック日本版サイト はてなブックマークに追加

Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる

Anonymous Coward曰く、

Microsoftが8月20日、多要素認証を使うことでアカウントに対する攻撃の99.9%は防ぐことができる、といった内容のブログを公開した(Microsoft Securityブログ)。

これによると、Microsoftのクラウドサービスに対しては毎日3億件以上の不正なサインインが試みられているという。また、ランサムウェアによる攻撃は一日4000件、マルウェアによる攻撃は1.67億件が発生しているそうだ。こうした攻撃には盗まれたパスワードが使われており、セキュリティ企業などの調査によると、情報漏洩事件のうち81%が盗まれた認証情報によって引き起こされているという。また、複数のサービスで重複したパスワードを使用しているケースも多い。

これを踏まえてMicrosoftは、多要素認証を有効にすることでこうしたパスワードの問題を解決でき、99.9%の攻撃をブロックできるとしている(ZDNetマイナビSlashdot)。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft、Azureユーザー向けのWannaCrypt対策ガイダンスを公開 2017年05月20日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 2018年08月03日
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
GentooのGitHubアカウントに対する不正アクセス、パスワードが推測しやすかったことが原因 2018年07月08日

脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在 – ITmedia NEWS

脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在 - ITmedia NEWS

脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在 - ITmedia NEWS

安易なパスワードが設定されていたり、脆弱性が存在したりする状態のIoT機器を探し出す「偵察行為」が激化。横浜国立大学大学院の吉岡克成准教授によると、世の中には、実態が分からないスキャンシステムも存在するという。 「サイバー攻撃は増えているというけれど、重要なデータを持っているわけでもない、うちみたい...

はてなブックマーク - 脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在 - ITmedia NEWS はてなブックマークに追加

PHP 7.2.22 Released

The PHP development team announces the immediate availability of PHP 7.2.22. This is a security release which also contains several bug fixes.

All PHP 7.2 users are encouraged to upgrade to this version.

For source downloads of PHP 7.2.22 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

Chrome・Firefox・Edgeなどブラウザは初回起動時にどのような通信を行っているのか – GIGAZINE

Chrome・Firefox・Edgeなどブラウザは初回起動時にどのような通信を行っているのか - GIGAZINE

Chrome・Firefox・Edgeなどブラウザは初回起動時にどのような通信を行っているのか - GIGAZINE

by Thomas William Microsoftの元エンジニアであるSampsonさんが、Google ChromeやFirefox、Microsoft Edgeなどのウェブブラウザを初めて起動した際に、ユーザーの見えない場所でどのような通信が行われているのかを調査し自身のTwitter上で詳細なデータを公表しています。 Sampson(@jonathansampson)さん | Twitter htt...

はてなブックマーク - Chrome・Firefox・Edgeなどブラウザは初回起動時にどのような通信を行っているのか - GIGAZINE はてなブックマークに追加

PHP 7.3.9 Release Announcement

The PHP development team announces the immediate availability of PHP 7.3.9. This is a security release which also contains several bug fixes.

All PHP 7.3 users are encouraged to upgrade to this version.

For source downloads of PHP 7.3.9 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

新幹線へ持ち込みの大型荷物 予約制に | NHKニュース

新幹線へ持ち込みの大型荷物 予約制に | NHKニュース

新幹線へ持ち込みの大型荷物 予約制に | NHKニュース

東海道・山陽新幹線と九州新幹線で、乗客が大型のスーツケースなどを車内に持ち込む際は来年5月から事前の予約が必要になります。来年の東京オリンピック・パラリンピックを前に、セキュリティー対策を強化するためです。 JR東海などによりますと、事前の予約が必要になるのは東海道・山陽新幹線と九州新幹線で、荷物...

はてなブックマーク - 新幹線へ持ち込みの大型荷物 予約制に | NHKニュース はてなブックマークに追加

Windows Updateに起因した国内の通信障害についてまとめてみた – piyolog

Windows Updateに起因した国内の通信障害についてまとめてみた - piyolog

Windows Updateに起因した国内の通信障害についてまとめてみた - piyolog

2019年8月29日午前よりWindows Updateに起因する輻輳により国内で通信障害が発生していると通信事業者が発表しています。ここでは関連する情報をまとめます。 通信障害が発生した事業者 Windows Updateに起因して通信障害が発生していると発表している事業者は以下の通り。(piyokango確認) 事業者名(障害報) 影響範...

はてなブックマーク - Windows Updateに起因した国内の通信障害についてまとめてみた - piyolog はてなブックマークに追加

NTTコムの「OCN」が輻輳状態、Windows Updateが原因か | 日経 xTECH(クロステック)

NTTコムの「OCN」が輻輳状態、Windows Updateが原因か | 日経 xTECH(クロステック)

NTTコムの「OCN」が輻輳状態、Windows Updateが原因か | 日経 xTECH(クロステック)

NTTコミュニケーションズは2019年8月29日、インターネット接続サービス「OCN」など一部サービスにおいて通信が混雑する「輻輳(ふくそう)」が発生していると発表した。同日午前8時30分頃から発生し、「なかなかつながらない」「通信速度が遅くてタイムアウトする」といった状態が起こっているという。 同社は輻輳の原因...

はてなブックマーク - NTTコムの「OCN」が輻輳状態、Windows Updateが原因か | 日経 xTECH(クロステック) はてなブックマークに追加

Microsoft、Windows 10 E5などの利用者にWindows 7サポート終了後のセキュリティ更新1年目を無料提供

headless曰く、

MicrosoftがWindows 10 Enterprise E5/Microsoft 365 E5/Microsoft 365 E5 Securityのサブスクライバーを対象に、Windows 7サポート終了後の有料セキュリティアップデートオプション1年目(Windows 7 ESU 2020)を無料で提供するプロモーションを実施している(Windows 7 and Office 2010 End of Support FAQ Final [DOCX][PDF]Computerworld)。

プロモーション期間は2019年6月1日~12月31日で、この間に上述のSKU(EDU E5を除く)の有効なサブスクリプションがあればWindows 7 ESU 2020無料提供の資格が得られる。有資格者は2020年1月14日以降、ボリュームライセンスサービスセンター(VLSC)でWindows 7 ESUのキーが表示されるようになるとのこと。プロモーションを利用した場合、2020年分のESUを購入しなくても2021年~2022年のESUを購入可能だ。なお、ESUを購入した場合の提供期間は1年間に固定されているが、プロモーションによるESU提供はサブスクリプション終了時点で終了となる。

プロモーションは3か月近く前から実施されているが、Windows 7サポート終了の特設ページからリンクしているFAQのPDFはプロモーションに関する記述のない古いバージョンであり、Computerworldが取り上げるまで特に注目されなかったようだ。

すべて読む | セキュリティセクション | セキュリティ | Windows | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Windows 7サポート終了に向けた通知を表示する更新プログラムの提供が始まる 2019年03月27日
Windows 7、サポート終了に向けた通知表示を4月から開始 2019年03月16日
2020年のWindows 7サポート終了、中小企業の45%が認知しておらず 2018年07月06日
Windows 7のサポート終了まで残り半年、相変わらず高いシェアを占める 2019年08月04日
2019年になっても3分の1近くの企業でWindows XPが使われているとの調査結果 2019年08月01日
Windows 7サポート終了に向けた通知を表示する更新プログラムの提供が始まる 2019年03月27日
Windows 7、サポート終了に向けた通知表示を4月から開始 2019年03月16日
2020年のWindows 7サポート終了、中小企業の45%が認知しておらず 2018年07月06日
Windows 7のサポート終了まで残り半年、相変わらず高いシェアを占める 2019年08月04日
2019年になっても3分の1近くの企業でWindows XPが使われているとの調査結果 2019年08月01日

未成年に裸の自撮りを送らせていた小学校教諭、端末が乗っ取られたと主張して警察に相談するもその形跡はなく逮捕される

SNSで知り合った中学1年生女子(12歳)に対し、上半身裸の画像を撮影させて送信させた小学校教諭が児童買春・ポルノ禁止法違反(児童ポルノ製造)の疑いで逮捕された(神奈川新聞NHKしらべえ)。

容疑者は勤務先の校長から出会い系アプリの利用について指摘されたが、端末が乗っ取られたなどと主張し警察に相談したという。しかし警察が端末を調べたところ実際には乗っ取られた形跡はなく、容疑者自身が画像を送信させていたことが分かったため逮捕に至ったようだ。容疑者は容疑を認めている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 教育 | インターネット | SNS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
レベル上げ代行業者、不正アクセスで逮捕。アカウントを乗っ取ってレベル上げ代行の「対戦相手」として利用 2018年11月29日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
児童ポルノサイトを通報しても検挙までの道のりは長い 2018年01月23日
携帯電話内のセクシー画像を検出して保護者に知らせるアプリ 2017年04月28日
レベル上げ代行業者、不正アクセスで逮捕。アカウントを乗っ取ってレベル上げ代行の「対戦相手」として利用 2018年11月29日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
児童ポルノサイトを通報しても検挙までの道のりは長い 2018年01月23日
携帯電話内のセクシー画像を検出して保護者に知らせるアプリ 2017年04月28日

iOS 12.4.1リリース、脱獄を可能にする脆弱性を再修正

headless曰く、

Appleは26日、iOS 12.4.1をリリースした(サポートドキュメントHT210549Pwn20wnd氏のツイートMac RumorsSoftpedia)。

iOS 12.4.1ではiOS 12.3でいったん修正され、iOS 12.4で復活していた脱獄を可能にする脆弱性CVE-2019-8605)が再度修正されている。このほか、同日リリースされたmacOS Mojave 10.14.6 Supplemental UpdateおよびtvOS 12.4.1でもCVE-2019-8605の再修正が行われた。Appleのサポートドキュメントでは元の脆弱性発見者Ned Williamson氏とともに、脱獄ツール開発者のPwn20wnd氏も修正の協力者に挙げている。なお、watchOS 5.3.1も同日リリースされており、重要なセキュリティ更新が行われたと説明されているが、公表されているCVEエントリはないとのこと。

すべて読む | アップルセクション | セキュリティ | スラッシュバック | バグ | アップル | iOS | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS 12.3で修正された脆弱性、iOS 12.4で復活していた 2019年08月24日
Apple、リモート脱獄を可能にする3件のゼロデイ脆弱性をiOS 9.3.5で修正 2016年08月28日
FairPlayの欠陥を利用して非脱獄iOSデバイスにも感染するマルウェア「AceDeceiver」 2016年03月20日

1億DLの人気アプリにマルウェア、Google Playストアから削除。開発元は修正版を配布 – Engadget 日本版

1億DLの人気アプリにマルウェア、Google Playストアから削除。開発元は修正版を配布 - Engadget 日本版

1億DLの人気アプリにマルウェア、Google Playストアから削除。開発元は修正版を配布 - Engadget 日本版

Googleが、人気のOCR機能付きPDF作成アプリ「CamScanner」にマルウェアが見つかったとして、これをGoogle Playストアから削除しました。CamScannerはこれまでに1億回以上もダウンロードされていました。 マルウェアを発見・報告したのはウィルス対策ソフトメーカーとして知られるKaspersky Labs。CamScannerは長らく人気...

はてなブックマーク - 1億DLの人気アプリにマルウェア、Google Playストアから削除。開発元は修正版を配布 - Engadget 日本版 はてなブックマークに追加

AWS障害、複数のアベイラビリティゾーン利用でも影響 AWSが説明を修正 – ITmedia NEWS

AWS障害、複数のアベイラビリティゾーン利用でも影響 AWSが説明を修正 - ITmedia NEWS

AWS障害、複数のアベイラビリティゾーン利用でも影響 AWSが説明を修正 - ITmedia NEWS

この記事は新野淳一氏のブログ「Publickey」に掲載された「AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告」(2019年8月29日掲載)を、ITmediaNEWS編集部で一部編集し、転載したものです。 8月23日午後に発生したAWS...

はてなブックマーク - AWS障害、複数のアベイラビリティゾーン利用でも影響 AWSが説明を修正 - ITmedia NEWS はてなブックマークに追加

人気Androidアプリがアップデートでマルウェア配信開始、削除される – ZDNet Japan

人気Androidアプリがアップデートでマルウェア配信開始、削除される - ZDNet Japan

人気Androidアプリがアップデートでマルウェア配信開始、削除される - ZDNet Japan

Googleは、「CamScanner」という広く普及している「Android」アプリがマルウェアを配信し始めたことを受け、「Google Play」ストアから削除した。同アプリは文書をスキャンしてPDFに変換したりできるもの。 上海に拠点を置くCC Intelligenceが公開している同アプリは、2010年にGoogle Playストアで提供開始されて以来、1...

はてなブックマーク - 人気Androidアプリがアップデートでマルウェア配信開始、削除される - ZDNet Japan はてなブックマークに追加

プログラミング教育本格化直前の夏休み、教員も研修中 – ITmedia NEWS

プログラミング教育本格化直前の夏休み、教員も研修中 - ITmedia NEWS

プログラミング教育本格化直前の夏休み、教員も研修中 - ITmedia NEWS

2020年度の小学校でのプログラミング教育必修化を前に、現場に立つ教員はどのような準備をしているのか。都内の小学校で行われた研修会で当事者に話を聞いた。 2020年度から小学校でプログラミング教育が本格スタートする。必修化前の最後の夏休みを迎えた今、全国の自治体では教員向けの研修会が多く開かれている。外部...

はてなブックマーク - プログラミング教育本格化直前の夏休み、教員も研修中 - ITmedia NEWS はてなブックマークに追加

Windows 10ユーザーは今すぐ8月のセキュリティ更新プログラムを適用しよう | ライフハッカー[日本版]

Windows 10ユーザーは今すぐ8月のセキュリティ更新プログラムを適用しよう | ライフハッカー[日本版]

Windows 10ユーザーは今すぐ8月のセキュリティ更新プログラムを適用しよう | ライフハッカー[日本版]

マイクロソフトは8月13日に、2019年8月のセキュリティ更新プログラムをリリースしました。 対象となるWindows 10ユーザーは、このプログラムがPCにインストールされているかどうかチェックしてみましょう。 おそらくシステム更新を促す通知をすでに受け取っているはずですが、念には念を入れておくのも悪くはないでしょ...

はてなブックマーク - Windows 10ユーザーは今すぐ8月のセキュリティ更新プログラムを適用しよう | ライフハッカー[日本版] はてなブックマークに追加

バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと – エンジニアHub|若手Webエンジニアのキャリアを考える!

バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと - エンジニアHub|若手Webエンジニアのキャリアを考える!

バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと - エンジニアHub|若手Webエンジニアのキャリアを考える!

バグハンティングを犯罪にしないために必ず知っておきたいこと 馬場流バグハント手法「調査」「解析」「実証」。そして「普通はやらない」を無数に試す 防御のために、言語やフレームワークの実装を学ぼう。コード読解から、違和感を見つけ出す方法を実践してみる XSSの現在。技術の進化と並走する攻撃手法の進化 セキュ...

はてなブックマーク - バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと - エンジニアHub|若手Webエンジニアのキャリアを考える! はてなブックマークに追加

HTTPS化示す鍵マーク、もはや信頼の証しではない  :日本経済新聞

HTTPS化示す鍵マーク、もはや信頼の証しではない  :日本経済新聞

HTTPS化示す鍵マーク、もはや信頼の証しではない  :日本経済新聞

個人情報を入力するウェブサイトでは、ウェブブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者も記事に書いてきた。だが、「鍵マークが表示されていれば安全」という、ウェブアクセスを暗号化する「HTTPS」の神話は崩壊した。常識が変わったのだ。 米連邦捜査局...

はてなブックマーク - HTTPS化示す鍵マーク、もはや信頼の証しではない  :日本経済新聞 はてなブックマークに追加

[アップデート] AWS WAF の Rate-based ルールが100リクエストから指定可能になりました | DevelopersIO

[アップデート] AWS WAF の Rate-based ルールが100リクエストから指定可能になりました | DevelopersIO

[アップデート] AWS WAF の Rate-based ルールが100リクエストから指定可能になりました | DevelopersIO

AWS WAF にうれしいアップデートが来ました! これまで Rate-based ルールは5分間で2000リクエストが最小しきい値でしたが、本日のアップデートにより5分間で100リクエストから指定可能になりました! Lower Threshold for AWS WAF Rate-based Rules なにが嬉しいのか 従来は「5分間で2000リクエスト」が下限でしたので...

はてなブックマーク - [アップデート] AWS WAF の Rate-based ルールが100リクエストから指定可能になりました | DevelopersIO はてなブックマークに追加

PayPayが不正利用時の補償制度を導入、被害額を全額補償 – iPhone Mania

PayPayが不正利用時の補償制度を導入、被害額を全額補償 - iPhone Mania

PayPayが不正利用時の補償制度を導入、被害額を全額補償 - iPhone Mania

スマートフォン向け決済サービスのPayPayは8月28日、不正使用の被害にあった場合の補償制度を同日から導入すると発表しました。アカウントやクレジットカード情報が不正利用された場合、全額が補償されます。 「不正利用への不安」を和らげる PayPayは補償制度を導入した理由について、同社のアンケート調査で、スマホ決...

はてなブックマーク - PayPayが不正利用時の補償制度を導入、被害額を全額補償 - iPhone Mania はてなブックマークに追加

AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告 - Publickey

AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告 - Publickey

AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告 - Publickey

AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告 2019年8月23日金曜日の午後に発生したAWS東京リージョンの大規模障害について、AWSは追加の報告を行い、複数のアベイラビリティゾーンで稼働していたアプリケーション...

はてなブックマーク - AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告 - Publickey はてなブックマークに追加

輸出管理とは | 衆議院議員 河野太郎公式サイト

輸出管理とは | 衆議院議員 河野太郎公式サイト

輸出管理とは | 衆議院議員 河野太郎公式サイト

2019.08.28 輸出管理とは この夏、「輸出管理」という言葉がニュースを賑わせました。 輸出管理とはなにか、まずは入門編です。 冷戦時代には、西側諸国は、対共産圏輸出統制委員会(ココム)を設立し、東側諸国に対して厳しい輸出管理を行っていました。 冷戦終了後は、通常兵器が特定の国・地域に過剰に蓄積されること...

はてなブックマーク - 輸出管理とは | 衆議院議員 河野太郎公式サイト はてなブックマークに追加

AWS大障害、冗長構成でも障害あったと公式に認める | 日経 xTECH(クロステック)

AWS大障害、冗長構成でも障害あったと公式に認める | 日経 xTECH(クロステック)

AWS大障害、冗長構成でも障害あったと公式に認める | 日経 xTECH(クロステック)

米アマゾン ウェブ サービス(Amazon Web Services)は2019年8月23日に発生したクラウドサービス「Amazon Web Services(AWS)」東京リージョンの大規模障害に関して同月28日、新しい報告をWebサイトに掲示した。障害が発生したサービスを追加したほか、利用企業が複数のアベイラビリティーゾーン(独立性の高いデータセ...

はてなブックマーク - AWS大障害、冗長構成でも障害あったと公式に認める | 日経 xTECH(クロステック) はてなブックマークに追加

RDoc における jQuery の脆弱性について

RDoc における jQuery の脆弱性について

RDoc における jQuery の脆弱性について

Ruby の標準添付ライブラリである RDoc に含まれる jQuery においてクロスサイトスクリプティング(XSS)の脆弱性が発見されました。 全ての Ruby ユーザーは、この問題が修正された RDoc をバンドルする最新バージョンに更新することが推奨されます。 詳細 以下の脆弱性が報告されています。 CVE-2012-6708 CVE-2015-92...

はてなブックマーク - RDoc における jQuery の脆弱性について はてなブックマークに追加

サイバー演習に金融機関270社が大集結、効果をぐっと高めた「あの時間」 | 日経 xTECH(クロステック)

サイバー演習に金融機関270社が大集結、効果をぐっと高めた「あの時間」 | 日経 xTECH(クロステック)

サイバー演習に金融機関270社が大集結、効果をぐっと高めた「あの時間」 | 日経 xTECH(クロステック)

サイバー攻撃が高度化・巧妙化の一途をたどっている。情報処理推進機構(IPA)がまとめた「情報セキュリティ10大脅威 2019」によれば、10大脅威に「ランクイン」はしていないもののAI(人工知能)を使った新たなサイバー攻撃手法が出現し、防御側の検知を回避する攻撃も出てきたという。 サイバー攻撃を防ぎ切るのは不可...

はてなブックマーク - サイバー演習に金融機関270社が大集結、効果をぐっと高めた「あの時間」 | 日経 xTECH(クロステック) はてなブックマークに追加

フィッシングのリスクはPCの3倍 ニュースに出ない、モバイルセキュリティの怖い話 (1/3) – ITmedia エンタープライズ

フィッシングのリスクはPCの3倍 ニュースに出ない、モバイルセキュリティの怖い話 (1/3) - ITmedia エンタープライズ

フィッシングのリスクはPCの3倍 ニュースに出ない、モバイルセキュリティの怖い話 (1/3) - ITmedia エンタープライズ

スマートフォンはPCよりも安全? (前編):フィッシングのリスクはPCの3倍 ニュースに出ない、モバイルセキュリティの怖い話 (1/3) 「モバイル端末には、PCのようなセキュリティ機能がタダでついている」という認識をしている人はいないだろうか。確かにモバイル端末には、過去にPCが受けてきた攻撃を参考にしたセキュ...

はてなブックマーク - フィッシングのリスクはPCの3倍 ニュースに出ない、モバイルセキュリティの怖い話 (1/3) - ITmedia エンタープライズ はてなブックマークに追加

AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」 (1/3) – ITmedia NEWS

AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」 (1/3) - ITmedia NEWS

AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」 (1/3) - ITmedia NEWS

AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」 (1/3) AWSの障害に、各社はどのように対応したのか。ITmedia NEWS編集部では問題に直面した企業やエンジニアに聞き取り調査を行った。生の声から、実情が見えてきた。 8月23日に起きたクラウドサービス「AW...

はてなブックマーク - AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」 (1/3) - ITmedia NEWS はてなブックマークに追加

Ruby 2.6.4 リリース

Ruby 2.6.4 リリース

Ruby 2.6.4 リリース

Ruby 2.6.4 がリリースされました。 このリリースには添付されている rdoc の以下の脆弱性修正が含まれています。 RDoc における jQuery の脆弱性についてへの対応 その他の変更点の詳細は commit log を参照してください。 ダウンロード https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.4.tar.bz2 SIZE: 14426299 b...

はてなブックマーク - Ruby 2.6.4 リリース はてなブックマークに追加

AWS大障害で冗長化の要「ALB」にも問題が起こっていた可能性 | 日経 xTECH(クロステック)

AWS大障害で冗長化の要「ALB」にも問題が起こっていた可能性 | 日経 xTECH(クロステック)

AWS大障害で冗長化の要「ALB」にも問題が起こっていた可能性 | 日経 xTECH(クロステック)

米アマゾン ウェブ サービス(Amazon Web Services)が2019年8月23日に起こしたクラウドサービス「Amazon Web Services(AWS)」東京リージョンの大規模障害で、AWSのこれまでの報告に含まれていない別のサービスでも障害が起こっていたとみられることが、利用企業やパートナーへの取材で8月28日までに分かった。 障害が...

はてなブックマーク - AWS大障害で冗長化の要「ALB」にも問題が起こっていた可能性 | 日経 xTECH(クロステック) はてなブックマークに追加

RDoc における jQuery の脆弱性について

Ruby の標準添付ライブラリである RDoc に、jQuery に関するクロスサイトスクリプティング(XSS)の脆弱性が発見されました。 全ての ruby ユーザーは、この問題に対するセキュリティフィックスが含まれた RDoc をバンドルするバージョンに更新することが推奨されます。 また、現在、RDoc が生成した HTML ドキュメントを公開している場合は、セキュリティフィックスが含まれた RDoc を使用して HTML ドキュメントを再生成する必要があります。

詳細

以下の脆弱性が報告されています。

この問題の影響を受けるバージョンの Ruby のユーザーは、最新の Ruby に更新するか、下記の回避策を取ってください。

また、現在、RDoc が生成した HTML ドキュメントには、XSS 脆弱性が存在している可能性があります。 そのため、これらの HTML ドキュメントを公開している場合は、その HTML ドキュメント自体を再生する必要があります。

影響を受けるバージョン

  • Ruby 2.3 系列の全てのリリース
  • Ruby 2.4.6 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.5 以前の全ての Ruby 2.5 系列
  • Ruby 2.6.3 以前の全ての Ruby 2.6 系列
  • commit f308ab2131ee675000926540cbb8c13c91dc3be5 より前の開発版

回避策

原則としては、Ruby 自体を最新のリリースに更新してください。それができない場合は、以下のコマンドを実行することにより、RDoc を最新版 (6.1.2 以降) に更新することによって、各脆弱性が修正されます。

gem install rdoc -f

その際に以下のようなメッセージが出るので、 Overwrite the executable? [yN] と出る度に随時 y を入力し Enter で確定することで更新を続行してください。

Updating installed gems
Updating rdoc
Fetching: rdoc-6.1.1.gem (100%)
rdoc's executable "rdoc" conflicts with /home/aycabta/.rbenv/versions/2.5.3/bin/rdoc
Overwrite the executable? [yN]  y
rdoc's executable "ri" conflicts with /home/aycabta/.rbenv/versions/2.5.3/bin/ri
Overwrite the executable? [yN]  y
Successfully installed rdoc-6.1.1
Parsing documentation for rdoc-6.1.1
Installing ri documentation for rdoc-6.1.1
Installing darkfish documentation for rdoc-6.1.1
Done installing documentation for rdoc after 6 seconds
Parsing documentation for rdoc-6.1.1
Done installing documentation for rdoc after 3 seconds
Gems updated: rdoc

開発版については、HEAD に更新してください。

なお、RDoc は静的ドキュメント生成ツールです。 したがって、RDoc 自体を修正しても、既に生成済みの HTML ドキュメントの脆弱性は解消されません。 これらの HTML ドキュメントを公開している場合は、以上いずれかの対策を行った上で、該当の HTML ドキュメントを再生成してください。

クレジット

この脆弱性情報は、Chris Seaton 氏によって報告されました。

更新履歴

  • 2019-08-28 09:00:00 (JST) 初版

Posted by aycabta on 28 Aug 2019

Ruby 2.4.7 リリース

Ruby 2.4.7 がリリースされました。 これは 2.4 系列のセキュリティ修正リリースです。

今回のリリースでは、以下のセキュリティ上の問題に対する対応が含まれています。

Ruby 2.4 系列は、現在、セキュリティメンテナンスフェーズにあります。 このフェーズ中は、重大なセキュリティ上の問題への対応のみが行われます。 現在の予定では、2020 年 3 月末頃を目処に、2.4 系列のセキュリティメンテナンスならびに公式サポートは終了する見込みです。 現在、2.4 系列を利用しているユーザーの皆さんは、なるべく早く、2.6 系列等のより新しいバージョン系列の Ruby への移行を検討されるよう、お勧めします。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.7.tar.bz2

    SIZE:   12826941 bytes
    SHA1:   9eac11cd50a2c11ff310e88087f25a0ceb5d0994
    SHA256: c10d6ba6c890aacdf27b733e96ec3859c3ff33bfebb9b6dc8e96879636be7bf5
    SHA512: 2665bca5f55d4b37f100eec0e2e632d41158139b85fcb8d5806c6dc1699e64194f17b9fe757b5afd6aa2c6e7ccabba8710a9aa8182a2d697add11f2b76cf6958
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.7.tar.gz

    SIZE:   16036496 bytes
    SHA1:   607384450348bd87028cd8d1ebf09f21103d0cd2
    SHA256: cd6efc720ca6a622745e2bac79f45e6cd63ab0f5a53ad7eb881545f58ff38b89
    SHA512: 2fbada1cf92dc3b1cbdaf05186ff2e5d8e0ce4ac9dc736148116e365bec6d557a2115838404c982b527adbb27677340acfbbb7c873004f0cb4be8a07857e6473
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.7.tar.xz

    SIZE:   10118948 bytes
    SHA1:   6ed0e943bfcbf181384b48e7873361f1acaf106d
    SHA256: a249193c7e79b891a4783f951cad8160fa5fe985c385b4628db8e9913bff1f98
    SHA512: df637c5803ddd83f759e9c24b0e7ca1f6cae7c7b353409583d92dbffece0d9d02b48905d6552327a1522a4a37d4e2d22c6c11bd991383835be35e2f31739d649
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.7.zip

    SIZE:   17659539 bytes
    SHA1:   3f991d6b5296e9d0df405033e336bb973d418354
    SHA256: 1016797925e55c78d9c15633da8ddbd19daed2993a99d35377d2a16c3175cfe5
    SHA512: 1bddd5616edb1a671224bc1c22cc3ac6f70e96e41cb2937efb437e8920fe09ce2ef0f29c591499d3682ac547e1d3eb7474f89ff86a3834d25724329e4927ed76
    

リリースコメント

リリースに協力してくれた皆様、また、脆弱性情報を報告してくれた皆様に感謝します。

Posted by usa on 28 Aug 2019

Ruby 2.5.6 リリース

Ruby 2.5.6 がリリースされました。 これは安定版 2.5 系列の TEENY リリースです。

今回のリリースでは、前回リリースから 40 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。 また、以下のセキュリティ上の問題に対する対応が含まれています。

詳しくは、対応する commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.6.tar.bz2

    SIZE:   14073430 bytes
    SHA1:   a1b497237770d2a0d1386408fc264ad16f3efccf
    SHA256: 24fc2a417e71150cd2229ec204afc8f467ebb15a8e295aab5d4bceebfb05e18d
    SHA512: e4511d42d19a7bb39ea79f66bb4eca54b63c2a9d27addc035d6d670c1e59ee48a0c6e9c6bc7d082d1f1114b0668831dce3b7422034517f3c4a06ced0e47a7914
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.6.tar.gz

    SIZE:   17684288 bytes
    SHA1:   d2dd34da5f3b63a0075e50133f60eb35d71b7543
    SHA256: 1d7ed06c673020cd12a737ed686470552e8e99d72b82cd3c26daa3115c36bea7
    SHA512: dc34243129a40b4b16fe171d70bcbdac255819868c608f3ca9f2866124fd6cfde0f3990d5e08a42752427d9066981ca14a634679b9bed5bca9f349a8526d0f35
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.6.tar.xz

    SIZE:   11323612 bytes
    SHA1:   5008b35d386c4b663b7956a0790b6aa7ae5dc9a9
    SHA256: 7601e4b83f4f17bc1affe091502dd465282ffba0761dea57c071ead21b132cee
    SHA512: 4fe5f8bad5d320f8f17b02ce15afee341e7b0074efcfd98d8944e0cb7c448e0660c4553dd5c0328ee3b49fea3247642f85c60bdce431ed57f58b6326dfd48ee1
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.6.zip

    SIZE:   21263348 bytes
    SHA1:   4a3859319dd9f1f4d43e2a2bf874ca8233d39b15
    SHA256: c86b0a9bfe47df5639cf134eabd3ebc2711794226ccb02e22094e46aa3e887f4
    SHA512: 8aa96c4e6692ed8c9f8fe4ceb2a91829bb5fa98ef53a4bc85f3a3d0cd66d60bb80985359bd9f7020de7d1cc39c7223559aa20dfdcc01d890624b71b935c6f8da
    

リリースコメント

リリースに協力してくれた皆様に感謝します。

このリリースを含む Ruby 2.5 系列の保守は、一般財団法人 Ruby アソシエーションの Ruby 安定版保守委託事業に基いています。

Posted by usa on 28 Aug 2019

Ruby 2.6.4 リリース

Ruby 2.6.4 がリリースされました。

このリリースには添付されている rdoc の以下の脆弱性修正が含まれています。

その他の変更点の詳細は commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.4.tar.bz2

    SIZE:   14426299 bytes
    SHA1:   fa1c7b7f91edb92de449cb1ae665901ba51a8b81
    SHA256: fa1ecc67b99fa13201499002669412eae7cfbe2c30c4f1f4526e8491edfc5fa7
    SHA512: a9fa2f51fb5f86cd8dcaa0925fe6f13d4f19f110b5d4c5fd251f199d16aaf920db39ad3bb50460eb94ab8d471ab2ac8bb54daea4a3bb080eaf45250aac3437fe
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.4.tar.gz

    SIZE:   16503137 bytes
    SHA1:   2eaddc428cb5d210cfc256a7e6947196ed24355b
    SHA256: 4fc1d8ba75505b3797020a6ffc85a8bcff6adc4dabae343b6572bf281ee17937
    SHA512: 3dad0d98695e10ece015933e96114ffd9a10d3c59d1ead8a9ab041df113aabee3f4100aa7ffe7ef5c43b62ac3c7506c3f3ceeb8828b2a800b6d0f4119d5bf926
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.4.tar.xz

    SIZE:   11727940 bytes
    SHA1:   6ef7d60b8aaa5efb04de2eb4b682f91bc0ab3910
    SHA256: df593cd4c017de19adf5d0154b8391bb057cef1b72ecdd4a8ee30d3235c65f09
    SHA512: 930a4162fdb008d2446247908c14269fd13db4dc80bd2bb201a65a69c03f5933f97b4c5079ccd2a12db4934ff97b2debaa10a6c6f5c3060e55873f4397747eaa
    
  • https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.4.zip

    SIZE:   19922060 bytes
    SHA1:   3e1d98afc7804a291abe42f0b8e2e98219e41ca3
    SHA256: 8446eaaa633a8d55146df0874154b8eb1e5ea5a000d803503d83fd67d9e9372c
    SHA512: 5696f2921b8488bde42536dd23d933c8a5ab9ce33632760d217d79567324c4a20f8007d4815f33e56c0a764d1ca372b40c41a5937f9938bb1d63ea078d10d657
    

リリースコメント

このリリースにあたり、多くのコミッター、開発者、バグ報告をしてくれたユーザーの皆様に感謝を申し上げます。

Posted by nagachika on 28 Aug 2019

Google Playでのダウンロード数が1億超のスキャナーアプリ「CamScanner」が悪意あるアプリに変貌 | カスペルスキー公式ブログ

Google Playでのダウンロード数が1億超のスキャナーアプリ「CamScanner」が悪意あるアプリに変貌 | カスペルスキー公式ブログ

Google Playでのダウンロード数が1億超のスキャナーアプリ「CamScanner」が悪意あるアプリに変貌 | カスペルスキー公式ブログ

Kasperskyのリサーチャーは先日、「CamScanner」というアプリにマルウェアを発見しました。CamScannerはスマートフォン向けのPDF作成アプリで、OCR機能も備えており、Google Playでのダウンロード数は1億を超えています。 Google Playなど公式のアプリストアは、アプリを安全にダウンロードできる場所であると考えられ...

はてなブックマーク - Google Playでのダウンロード数が1億超のスキャナーアプリ「CamScanner」が悪意あるアプリに変貌 | カスペルスキー公式ブログ はてなブックマークに追加

東証、TDnetでの適時開示文書向けにPDFのプロパティを確認する機能を提供

企業が株主に向けて発表する文書のPDFにプロパティとして余計な情報や不適切な情報が含まれていたという事例は過去度々発生している。そのため東京証券取引所(東証)が適時開示文書PDFのプロパティを登録時に確認できる機能を提供するそうだ。

不適切な情報の例は市況かぶ全力2階建で紹介されているが、開示文書のタイトルとは関係ないタイトルが設定されていたり、タイトルに「リーク」や「提出断念」といった文字が含まれていたり、作成者が別企業名だったり、謎の単語が入っているといったケースがあったという。

すべて読む | セキュリティセクション | ビジネス | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
知らぬ間にファイルに摺り込まれる情報、気にしてますか? 2006年11月14日
財務省が公開した「森友学園」交渉記録文書、黒塗りが簡単に外せる状態だった 2018年05月29日
Wordファイルに隠されていたSCOの計画 2004年03月05日

ビズリーチ、サイバーセキュリティ事業に参入–OSSの脆弱性管理ツールを独自開発 – CNET Japan

ビズリーチ、サイバーセキュリティ事業に参入--OSSの脆弱性管理ツールを独自開発 - CNET Japan

ビズリーチ、サイバーセキュリティ事業に参入--OSSの脆弱性管理ツールを独自開発 - CNET Japan

ビズリーチは8月27日、サイバーセキュリティ事業への参入を発表した。第1弾としてさまざまなオープンソースソフト(OSS)の脆弱性を管理するツール「yamory(ヤモリー)」を自社開発し、提供を開始した。今後は商用ソフトの脆弱性対策へのターゲットの拡大、ツールの海外展開、さらに自社エンジニアによるツールの運用支...

はてなブックマーク - ビズリーチ、サイバーセキュリティ事業に参入--OSSの脆弱性管理ツールを独自開発 - CNET Japan はてなブックマークに追加

中国のサイバー攻撃集団によるものとみられる医療業界を狙った攻撃、2013年より継続中との分析

セキュリティ企業FIREEYEが公開したレポートによると、ヘルスケア業界がサイバー犯罪グループなどのターゲットになっているという。中国のスパイ組織が医療研究者をターゲットにしていることや、ヘルスケア関連のデータベースが2000ドル以下で闇市場で販売されていることなどもレポートでは言及されている(ニューズウィーク日本版)。

レポートでは攻撃によって盗まれたデータやその価値も取り上げられている。こうした流出データはビットコインで売買されているそうだ。また、中国による攻撃は少なくとも2013年より行われており、そこからほぼ毎年のように確認されているという。

すべて読む | セキュリティセクション | セキュリティ | 医療 | インターネット | IT | 中国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国、世界の通信会社10社以上にサイバー攻撃。富士通やNTTデータも被害 2019年06月28日
翻訳の提案機能で歪められたGoogle翻訳 2019年06月19日
米司法省、中国情報機関高官らを起訴。航空機エンジン情報狙ったサイバー攻撃などで 2018年11月06日
米政府、米大統領選を狙ったロシアのサイバー攻撃に対し「ホットライン」で警告していた 2016年12月21日
アメリカ、中国・ロシアのサイバー攻撃に対する制裁実施を検討する 2015年09月05日

私たちの「顔情報」はどう守られている? 生体認証のハナシ (1/5) – ITmedia NEWS

私たちの「顔情報」はどう守られている? 生体認証のハナシ (1/5) - ITmedia NEWS

私たちの「顔情報」はどう守られている? 生体認証のハナシ (1/5) - ITmedia NEWS

今さら聞けない「認証」のハナシ:私たちの「顔情報」はどう守られている? 生体認証のハナシ (1/5) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「生体認証」の顔認証について。 ほとんどの人が日常的に行っている、ログイン(サ...

はてなブックマーク - 私たちの「顔情報」はどう守られている? 生体認証のハナシ (1/5) - ITmedia NEWS はてなブックマークに追加

iPhoneに記録される「行動履歴」を確認・削除する方法。あなたの位置情報はココに保存されている! | iPhone | できるネット

iPhoneに記録される「行動履歴」を確認・削除する方法。あなたの位置情報はココに保存されている! | iPhone | できるネット

iPhoneに記録される「行動履歴」を確認・削除する方法。あなたの位置情報はココに保存されている! | iPhone | できるネット

探し方と消し方を知っておけば安心 iPhoneにはGPS(Global Positioning System)が内蔵されており、端末がある場所の位置情報を取得できる――。今となっては多くの人が知っている常識ですよね。 スマホは肌身離さず持ち歩くものなので、iPhoneの位置情報=自分の位置情報とも言い換えられます。この位置情報が日付・時間...

はてなブックマーク - iPhoneに記録される「行動履歴」を確認・削除する方法。あなたの位置情報はココに保存されている! | iPhone | できるネット はてなブックマークに追加

工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞

工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞

工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞

あらゆるモノがネットにつながる「IoT」の波に国内の工場が乗り遅れている。原因の一つはサポートの切れた「老害パソコン」が数十万台規模で稼働していること。生産設備と密接に絡み、更新すると予期せぬ停止を引き起こすリスクがある。だが放置したままではサイバー攻撃の標的になりかねず、対策が急務だ。 千葉県松戸...

はてなブックマーク - 工場に居座る「老害パソコン」IoT導入を阻む  :日本経済新聞 はてなブックマークに追加

脆弱性対策が大変–ビズリーチがセキュリティサービスを開発した狙い – ZDNet Japan

脆弱性対策が大変--ビズリーチがセキュリティサービスを開発した狙い - ZDNet Japan

脆弱性対策が大変--ビズリーチがセキュリティサービスを開発した狙い - ZDNet Japan

企業の人材採用支援サービスを手掛けるビズリーチは8月27日、オープンソースソフトウェア(OSS)の脆弱性を管理するためのサービス「yamory(ヤモリー)」の提供を開始した。主力事業からは異色に映る新たな取り組みについて、取締役 CPO(最高プロダクト責任者)兼CTO(最高技術責任者)の竹内真氏に話を聞いた。 yamor...

はてなブックマーク - 脆弱性対策が大変--ビズリーチがセキュリティサービスを開発した狙い - ZDNet Japan はてなブックマークに追加

Impervaの顧客情報流出についてまとめてみた – piyolog

Impervaの顧客情報流出についてまとめてみた - piyolog

Impervaの顧客情報流出についてまとめてみた - piyolog

2019年8月27日、米セキュリティ企業Impervaは自社のクラウドWAF製品で情報流出があったと発表しました。ここでは関連する情報をまとめます。 Impvervaの発表 www.imperva.com 発表内容の意訳 一部の顧客の情報流出があった。 影響範囲はIncapsulaと呼称されるクラウドWAF製品に限定される。 2017年9月15日までに発行され...

はてなブックマーク - Impervaの顧客情報流出についてまとめてみた - piyolog はてなブックマークに追加

米ホンダ、頭部をキャッチャーミットのように包んで保護する助手席用エアバッグを開発

headless曰く、

Honda North Americaは23日、頭部をキャッチャーミットのように包んで乗客を保護する新設計の助手席用エアバッグを発表した(ニュースリリースSlashGearの記事動画)。

このエアバッグはHonda R&D Americasのオハイオセンターのエンジニアが中心となり、同社のセーフティーシステムサプライヤーの一つであるAutolivの協力を得て開発されたという。膨張する袋状のコンパートメントのみで構成される従来のエアバッグとは異なり、新設計のエアバッグはコの字型に配置した中央(正面)と側面(左右)計3つのコンパートメントに加え、側面2つのコンパートメントをつなぐ布状の「sail panel」という4つのコンポーネントで構成される。このsail panelがキャッチャーミットのように乗客の頭部を捉えて減速し、左右のコンパートメントで頭部を包み込む。これにより斜め前方からの衝撃を受けた場合に乗客が首を激しくひねったり、頭部が滑ってエアバッグから外れたりすることを避け、負傷の可能性を軽減できるという。ホンダでは新設計のエアバッグを2020年に米国向けの新製品で採用開始する計画とのことだ。

すべて読む | セキュリティセクション | セキュリティ | idle | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Apple、端末の落下時にバンパーを繰り出す特許を出願 2017年04月18日
もし人類が自動車事故のような激しい衝突に耐えられるよう進化したら 2016年07月25日
軽自動車に乗っている高齢ドライバーの事故の致死率は普通車に乗っている高齢ドライバーの1.6倍 2018年02月15日

セキュリティエンジニアの幸せを重視する–リクルートのCSIRT構築 – ZDNet Japan

セキュリティエンジニアの幸せを重視する--リクルートのCSIRT構築 - ZDNet Japan

セキュリティエンジニアの幸せを重視する--リクルートのCSIRT構築 - ZDNet Japan

ガートナー ジャパン主催の「ガートナー セキュリティ&リスク・マネジメントサミット2019」が8月5~7日に開催された。ゲスト基調講演にリクルートテクノロジーズの鴨志田昭輝氏が登壇、「新たな時代に生き残るセキュリティ~リクルートにおける取り組みを振り返って~」と題し、リクルートにおけるCSIRT(インシデント...

はてなブックマーク - セキュリティエンジニアの幸せを重視する--リクルートのCSIRT構築 - ZDNet Japan はてなブックマークに追加

Windows 10 バージョン1903になっても「更新プログラムのチェック」は上級者向けボタンだった:山市良のうぃんどうず日記(160) – @IT

Windows 10 バージョン1903になっても「更新プログラムのチェック」は上級者向けボタンだった:山市良のうぃんどうず日記(160) - @IT

Windows 10 バージョン1903になっても「更新プログラムのチェック」は上級者向けボタンだった:山市良のうぃんどうず日記(160) - @IT

山市良のうぃんどうず日記(160):Windows 10 バージョン1903になっても「更新プログラムのチェック」は上級者向けボタンだった Windows 10 May 2019 Update(バージョン1903)から、オプションの更新プログラムに対して「今すぐダウンロードしてインストールする」オプションが提供されるようになりました。 しかし、....

はてなブックマーク - Windows 10 バージョン1903になっても「更新プログラムのチェック」は上級者向けボタンだった:山市良のうぃんどうず日記(160) - @IT はてなブックマークに追加

【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか (1/2):「今知りたい! システムを守る認証の実態」セミナー – @IT

【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか (1/2):「今知りたい! システムを守る認証の実態」セミナー - @IT

【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか (1/2):「今知りたい! システムを守る認証の実態」セミナー - @IT

2019年7月、NPO日本ネットワークセキュリティ協会(JNSA)は記者に向けたセミナー「今知りたい! システムを守る認証の実態」を開催した。このセミナーは、最近のスマートフォン向け決済サービスの不正利用事件を受け、近年のインターネットサービスにおける認証技術と運用上の実態に関して、より正確な現状を認識する...

はてなブックマーク - 【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか (1/2):「今知りたい! システムを守る認証の実態」セミナー - @IT はてなブックマークに追加