Nov 29, 2016

読み物、いろいろ

・セキュリティ担当者は「従業員の生産性」を最優先せよ (11/28)

 当社がITインフラ基盤のセキュリティ対策に割り当てている担当者は5人。
 ...
 Bugcrowdのような代行事業者を活用することで、担当者は本来の仕事に専念できるようになった。
 

海外旅行では要注意! 日本ではOKでも海外ではNGなマナー違反12 (11/28)

『子どもの頭を触ってはいけない』は、良く注意した方が良いようですね。
『地下鉄は撮影禁止』な割に、ググれば沢山見つかる。
『公式文書は青いペンで』、なるほど。



インシデント、佐賀、防衛省、Yahoo!

1万人超の個人情報漏洩から得た教訓、佐賀県教委が不正アクセス対策を公表 (11/28)

推測されにくいパスワードを設定するといったパスワードポリシーの強制と、
ポリシーを守らせるユーザー教育
...
休日や夜間に不正アクセスが行われる可能性を考慮し、それらの時間帯は運用を停止
...
学習用と校務用のサーバー ... 両サーバーをファイアウオールで論理的に分離し、アクセスできないようにした

 関連: 
  佐賀県の教育情報システムと校内LANへの不正アクセス (07/02)
  http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112400712/     11/30 訂正

・防衛省にサイバー攻撃、陸自の情報流出か 共同通信が報道 (11/28)

陸自の内部情報が流出した可能性が高い
...
防衛大などのPCが不正アクセスを受け、これ踏み台に ...
インターネットに接続する「オープン系」と、外部と接続しない「クローズ系」に分かれているが、個々のPCは両方のシステムに接続でき、両系は完全には切り離されていない ...

サイバー攻撃で陸自の内部情報が流出か、防衛省は全面否定 (11/28)


Yahoo!の情報流出事件、国家関与のサイバー攻撃説に疑問の声 (09/30)

事件について、セキュリティ企業の米InfoArmor928日、盗まれた情報の内容や事件に関与した集団などについて分析した結果を明らかにした ... 
この情報を入手して高く売ろうとした人物が、センセーショナルに宣伝する目的で実態をゆがめて伝えたとInfoArmorは推定 ...
最近の報道や公開された情報の多くに重大な誤りがあったことがはっきりした」

 関連:
  米Yahoo! 個人情報流出 (09/27)


EUデータ保護規則

EUデータ保護規則、なぜ日本企業が対応を迫られるのか (11/28)

20185月までに個人データ保護の専門機関である「欧州データプロテクションボード」(EDPB)を開設して、法令の解釈を示してくる ... ウォッチしていなければ ... 

EUデータ保護規則」の衝撃 (2016/02/22)

 『日本企業が巨額罰金を科される日、
  「十分性認定」のない日本企業、
  欧米セーフハーバー合意の舞台裏』

--> 12/03 追記
 ←煽り気味のタイトル。日本の意識向上を、とのライターの焦燥感も垣間見える。
  次の記事は納得感。サイボウズ 青野さんも登場。

EUデータ保護規則の壁、なぜ国産クラウドが欧州に進出できないのか (11/30)

『データの閲覧もデータ移転に当たる』

米国も十分性認定を受けていない点では日本と同じだが、「セーフハーバー合意」「プライバシーシールド」といった枠組みを通じ、EUに米国へのデータ移転を認めさせた。

日本がEUから十分性認定を得ていないことが、日本のIT業界全体にとって大きな不利

『データ保護は人権問題だ』というEUの理念を、日本企業は理解できていない


Nov 24, 2016

事例、グローバル対応ITインフラの作り方

・参天製薬が語るグローバル対応ITインフラの作り方 (2015.04.22)


今日ググって見つけた英英辞典オンライン版

今日ググって見つけた英英辞典オンライン版が中々良い

Discrepancy:

1.     a difference between conflicting facts or claims or opinions
             a growing divergence of opinion
2.     an event that departs from expectation

Discipline:

Verb:
1.     punish in order to gain control or enforce obedience
                The teacher disciplined the pupils rather frequently
2.     develop (children's) behavior by instruction and practice
             especially to teach self-control
                Parents must discipline their children
                Is this dog trained?
Noun:
1.     training to improve strength or self-control
2.     the act of punishing
                the offenders deserved the harsh discipline they received
3.     the trait of being well behaved
                he insisted on discipline among the troops


Disciplinary
Delivery slip, Dictate, clerical, quarantine
Reoccurrence, recurrence
Obsolete assets, disposition
SKU: Stock-Keeping Unit 
Reconcile, reconciliation

Nov 22, 2016

宮城・福島の津波警報でデマ 東日本大震災の写真使い

・宮城・福島の津波警報でデマ 東日本大震災の写真使い「津波やべええええええ」

SNSで目にした情報が正しいか ...
信頼できる情報源(行政、公共機関、報道機関など)に基づいたものか ...
Twitterであれば、情報を発信したアカウントが、普段どのような投稿をしているか ...
根拠のない情報は鵜呑みにせず、拡散しないことが大切だ。

・津波のとき、車避難はダメなのか? 東日本大震災の教訓から学ぶ現実的な対策


「問題解決の鍵は、車避難の抑制ではなく、渋滞が起きても避難できるよう、地域のリスクを減らすことにある」

「津波が迫る中で渋滞に直面すると、運転手は車で逃げるべきか、車を捨てて高台に上るべきか判断がつかない。後続車両に迷惑を掛けることへの気兼ねもある。ちゅうちょなく車を乗り捨てられる路側帯やモータープールを設け、津波避難場所までの誘導サインを掲げることが大事だ」

Vulnerability Summary for the Week of November 14, 2016 の抜粋

High Vulnerabilities

Primary
Vendor -- Product
Description
Published
CVSS Score
Source & Patch Info
dotcms -- dotcms
SQL injection vulnerability in the categoriesServlet servlet in dotCMS before 3.3.1 allows remote not authenticated attackers to execute arbitrary SQL commands via the sort parameter.
2016-11-14
emc -- avamar_data_store
EMC Avamar Data Store (ADS) and Avamar Virtual Edition (AVE) versions 7.3 and older contain a vulnerability that may expose the Avamar servers to potentially be compromised by malicious users.
2016-11-15
exponentcms -- exponent_cms
In /framework/modules/notfound/controllers/notfoundController.php of Exponent CMS 2.4.0 patch1, untrusted input is passed into getSearchResults. The method getSearchResults is defined in the search model with the parameter '$term' used directly in SQL. Impact is a SQL injection.

Exponent CMS is an Open Source Content Management System, based on PHP, MySQL and the Exponent Framework. Dynamic CMS Content Management Solution with Enterprise Level Content Management Features.
2016-11-15
  :




linux -- linux_kernel
The __ext4_journal_stop function in fs/ext4/ext4_jbd2.c in the Linux kernel before 4.3.3 allows local users to gain privileges or cause a denial of service (use-after-free) by leveraging improper access to a certain error field.
2016-11-16
  :   同様案件、多数




objective_development -- little_snitch
Little Snitch version 3.0 through 3.6.1 suffer from a buffer overflow vulnerability that could be locally exploited which could lead to an escalation of privileges (EoP) and unauthorised ring0 access to the operating system. The buffer overflow is related to insufficient checking of parameters to the "OSMalloc" and "copyin" kernel API calls.
2016-11-15
samsung -- samsung_mobile
Integer overflow in SystemUI in KK(4.4) and L(5.0/5.1) on Samsung Note devices allows attackers to cause a denial of service (UI restart) via vectors involving APIs and an activity that computes an out-of-bounds array index, aka SVE-2016-6906.
2016-11-11

Nov 21, 2016

OCNモバイルONE音声対応SIM

・トップ > ASUS ZenFone Go (ZB551KL)(全5色)  + OCNモバイルONE音声対応SIMセット 【送料無料】

 OCNから勧誘電話があった。
 URLの下の方にはSIMカードのみの案内もある

 6カ月以内に解約したら、違約金8,000

 同電話番号(別キャリアから)で移行するには
  ①今のキャリアに申し込んで MNP予約番号を貰い、
  ②OCN窓口に、MNP予約番号を添えて申し込み

OCN総合窓口 0120-506-506  (10:00-19:00、平日・休日)
 「音声SIMも」

キャンペーン
 850円/5分の通話料金が、10分無料、2017/01/31
  以降は、元に戻る(850円/5分 無料)

関連

 NTTコムストア [個人向け] > サービス一覧 > OCN モバイル ONE > OCN モバイル ONE 音声対応SIM 


 - その他

・知っておきたい!スマートフォン管理の最新トレンド (11.18)


--> 2017/04/12 追記

・「050 plus」の電話番号を新端末に引き継ぐ (2013/08/01)

 050plusで「パスワードがロックされています」エラーが出た場合の対処 (2013/03/23)

消火ガス噴射音でHDDに障害、データセンターの「騒音リスク」

・消火ガス噴射音でHDDに障害、データセンターの「騒音リスク」明らかに (11/21)

ホワイトノイズ雑音では100デシベルから転送速度の低下が観測され始め、110140デシベルでは大半のHDDは転送速度が低下、あるいはゼロになった。一部のHDDでは、音を停止させた後も転送速度は回復せず、使用不能になった。騒音レベルが大きいほど障害の発生率は高くなったほか、何故かSCSI規格品よりもSATA規格対応品の方が故障率が高い、
1HDDの格納ラックなどの防音や防振化対策(吸音材、防振材の採用など)、
2)消火剤放射開始前のHDD保護措置(HDD停止、磁気ヘッド退避など)、
3HDDの耐音性向上やデータ保護対策(データバックアップなど)、
4)ガス放射音の抑制。

Nov 16, 2016

Google、紙焼き写真をスマホで取り込める「フォトスキャン」アプリをiOS/Android向けに公開

Google、紙焼き写真をスマホで取り込める「フォトスキャン」アプリをiOSAndroid向けに公開 (11/16)


 これは便利そう

AndroidスマホにAdupsが開発したトラッキングソフトウェア

Android搭載スマホがユーザーデータを密かに中国へ送信していることが発覚 (11/16)

「アメリカの電子機器メーカーの中では少なくともBLU Products製スマートフォンにAdupsが開発したトラッキングソフトウェアがインストール」

Security Concern

BLU Products has identified and has quickly removed a recent security issue ...
...
Affected Models
    R1 HD
    Energy X Plus 2
    Studio Touch
    Advance 4.0 L2
    Neo XL
    Energy Diamond

確認手順が「How to verify if your device is being affected.」の先に示されているので、心当たりの方はご参考に

中国メーカー製のファームウェアに個人情報を無断で外部サーバに送信するスパイウェアが発見される (11/16)

「今回の報告は、米 BLU が提供している R1 HD ... 
ユーザーの電話番号や端末のユニーク ID、通話履歴、SMS 本文、アドレス帳、IMSIMEI などの情報をユーザーに許可を得ることなく外部サーバに送信」

Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信 (11/16)

BLU Products製のスマートフォン「BLU R1 HD ...
ADUPSのファームウェアはこのほかにもHuaweiZTEといったメーカーが採用し、出荷数は7億台に上ると試算しており、潜在的に問題は存在する
. . .
別のADUPSの顧客からの要求で、誤って実装してしまったという。
ADUPSBLU向け製品をアップデートし、すぐにこれらの機能を削除。
これらの製品ではKryptowireのテストをクリアしているほか、GoogleBLU両方の承認を得ているという。

Nov 15, 2016

細工された PDF による情報詐取

JVNTA#94087669
 細工された PDF による情報詐取について (11/14)

影響を受けるシステム
サーバユーザによる PDF のアップロードを許可する。アップロードされた PDF を同一オリジンに格納する。
クライアント: Adobe PDF Plugin を有効にした IE11 もしくは Firefox
...
ユーザ側の対策
ウェブブラウザ (IE11FireFox)  Adobe PDF プラグインを無効にする

サーバ側の対策
PDF コンテンツを別のサンドボックス・ドメイン上に格納する

Acrobat ヘルプ /
 PDF をブラウザーで表示 | Acrobat DCAcrobat Reader DC

Microsoft Edge: AcrobatReader プラグインは、Edge では機能しません
 ...
 Google Chrome: Chrome  Acrobat は互換性がなくなりました。」

11/07週のCVE


High Vulnerabilities

Primary
Vendor -- Product
Description
Published
CVSS Score
Source & Patch Info
adobe -- flash_player
Adobe Flash Player versions 23.0.0.205 and earlier, 11.2.202.643 and earlier have an exploitable use-after-free vulnerability. Successful exploitation could lead to arbitrary code execution.
2016-11-08
  その他 多数




microsoft -- windows_10
The Common Log File System (CLFS) driver in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, and 1607, and Windows Server 2016 allows local users to gain privileges via a crafted application, aka "Windows Common Log File System Driver Elevation of Privilege Vulnerability," a different vulnerability than CVE-2016-3332, CVE-2016-3333, CVE-2016-3334, CVE-2016-3335, CVE-2016-3338, CVE-2016-3340, CVE-2016-3342, CVE-2016-3343, and CVE-2016-7184.

リンク先MSサイトによると、、、
Mitigating Factors
Microsoft has not identified any mitigating factors for these vulnerabilities.

Workarounds
The Microsoft has not identified any workarounds for this vulnerability.

Security Update Deployment
For Security Update Deployment information see the Microsoft Knowledge Base article referenced here in the Executive Summary.

Revisions
    V1.0 (November 8, 2016): Bulletin published.
とあるが、表の右の「置き換えられる更新プログラム」が記載されていれば、パッチ適用すれば良い、ということか
2016-11-10
 その他 多数




microsoft -- edge
Microsoft Internet Explorer 9 through 11 and Microsoft Edge allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Microsoft Browser Memory Corruption Vulnerability," a different vulnerability than CVE-2016-7198.

リンク先MSサイトによると、、、
Mitigating Factors
Microsoft has not identified any mitigating factors for this vulnerability.

Workarounds
Microsoft has not identified any workarounds for this vulnerability.

Revisions
    V1.0 (November 8, 2016) Bulletin published.
とあるが、表の右の「置き換えられる更新プログラム」が記載されていれば、パッチ適用すれば良い、ということか
2016-11-10
 その他 多数




microsoft -- excel
Microsoft Excel 2007 SP3, Excel 2010 SP2, Excel 2013 SP1, Excel 2013 RT SP1, Excel 2016, Excel for Mac 2011, Excel 2016 for Mac, and Office Compatibility Pack SP3 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Microsoft Office Memory Corruption Vulnerability."

リンク先MSサイトによると、、、
Mitigating Factors
Microsoft has not identified any mitigating factors for this vulnerability.

Workarounds
Microsoft has not identified any workarounds for this vulnerability.

Revisions
    V1.0 (November 8, 2016) Bulletin published.
とあるが、表の右の「置き換えられる更新プログラム」が記載されていれば、パッチ適用すれば良い、ということか

この更新プログラムが無い(MSが放置している)のは MS Office 2016 32/64 bit。脆弱性は「リモートでコードが実行される」
2016-11-10
 その他 多数




nvidia -- geforce_experience
For the NVIDIA Quadro, NVS, and GeForce products, GFE GameStream and NVTray Plugin unquoted service path vulnerabilities are examples of the unquoted service path vulnerability in Windows. A successful exploit of a vulnerable service installation can enable malicious code to execute on the system at the system/user privilege level. The CVE-2016-3161 ID is for the GameStream unquoted service path.
2016-11-08
 その他 多数




Medium Vulnerabilities

Primary
Vendor -- Product
Description
Published
CVSS Score
Source & Patch Info
citrix -- receiver_desktop
Incorrect access control mechanisms in Citrix Receiver Desktop Lock 4.5 allow an attacker to bypass the authentication requirement by leveraging physical access to a VDI for temporary disconnection of a LAN cable.
2016-11-07
 




nvidia -- geforce_experience
For the NVIDIA Quadro, NVS, and GeForce products, the NVIDIA NVStreamKMS.sys service component is improperly validating user-supplied data through its API entry points causing an elevation of privilege.
2016-11-08
 : その他、多数