Jul 22, 2024

Security Hole メモのメモ 07/22

Apple PayではEUの罰金回避 欧州でのNFCアクセス開放で (07/12)

https://www.itmedia.co.jp/news/articles/2407/12/news095.html

『欧州委員会は、Appleが欧州圏で「tap and go(日本でのタッチ決済)」で使うNFC技術をサードパーティ開発者に開放し、Face ID認証などのiOS機能へのアクセスを可能にするという「法的拘束力のある」約束をしたと発表した。』

 

ほぼA3サイズの「Starlink Mini」、全米で一般単体発売 月額50ドル - ITmedia NEWS (07/12)

『本体価格は599ドル (中略) Starlink Miniだけを購入することも可能になった。サブスクプランとしては、月額150ドルの「Mobile」か50ドルの単体プラン「Mini Roam」を選択できる (中略) 100W20V/5A)対応のUSB-PD電源から直接電力を供給することもできる。』

 

Jul 20, 2024

IT Outage Due to CrowdStrike のメモ

Widespread IT Outage Due to CrowdStrike Update (07/19)

https://www.cisa.gov/news-events/alerts/2024/07/19/widespread-it-outage-due-crowdstrike-update

以下機械翻訳 ↓

注:CISAは詳細情報が入り次第、本アラートを更新する。


2024年7月20日午前00時30分(JST)現在: 


CISAは、CrowdStrikeの最近のアップデートの問題により、Microsoft Windowsホストに影響を及ぼしている広範な障害を認識しており、CrowdStrike、連邦、州、地方、部族、準州(SLTT)パートナー、重要インフラ、国際的なパートナーと緊密に連携し、影響を評価し、修復作業を支援している。CrowdStrikeが以下の障害を確認:

  • Windows 10以降のシステムに影響。
  • MacおよびLinuxホストには影響なし。
  • CrowdStrike Falconのコンテンツアップデートによるものであり、悪意のあるサイバー活動によるものではないこと。

CrowdStrikeによると、問題は特定され、分離され、修正プログラムが導入されたとのことです。CrowdStrikeの顧客組織は、この問題を解決するためにCrowdStrikeのガイダンス顧客ポータルを参照してください。


なお、CISAは、脅威行為者がこのインシデントを利用してフィッシングやその他の悪意のある活動を行っていることを確認しています。CISAは、組織と個人に対し、警戒を怠らず、合法的な情報源からの指示にのみ従うよう促している。CISAは、フィッシングメールや不審なリンクをクリックしないよう従業員に注意を促すよう組織に推奨している。

本製品は、本通知および本プライバシー・ポリシーに従って提供される。


Statement on Falcon Content Update for Windows Hosts (07/19 6:11pm ET)


以下、機械翻訳抜粋 ↓

詳細

  • 症状には、Falcon センサーに関連するバグチェック\ブルー スクリーン エラーが発生するホストが含まれます。
  • 影響を受けていない Windows ホストでは、問題のあるチャネル ファイルが元に戻されているため、アクションは必要ありません。
  • UTC 0527以降にオンラインになったWindowsホストも影響を受けません。
  • この問題はMacまたはLinuxベースのホストには影響しません
  • タイムスタンプが 0527 UTC 以降のチャネル ファイル「C-00000291*.sys」が、元に戻された (正常な) バージョンです。
  • タイムスタンプが 0409 UTC のチャネル ファイル「C-00000291*.sys」が問題のあるバージョンです。
    • 注: CrowdStrike ディレクトリに複数の "C-00000291*.sys" ファイルが存在するのは正常です。フォルダー内のファイルの 1 つに 0527 UTC 以降のタイムスタンプがあれば、それがアクティブ コンテンツになります。
...

個々のホストに対する回避策の手順:

  • ホストを再起動して、元に戻したチャネル ファイルをダウンロードできるようにします。ホストはイーサネット経由でインターネット接続をかなり速く取得できるため、再起動する前にホストを有線ネットワーク (WiFi ではなく) に接続することを強くお勧めします。
  • ホストが再度クラッシュした場合は、次のようになります。
    • WindowsをセーフモードまたはWindows回復環境で起動します
      • 注: ホストを有線ネットワーク (WiFi ではなく) に接続し、セーフ モードとネットワークを使用すると、修復に役立ちます。
    • %WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動します
      • 注: WinRE/WinPEでは、OSボリュームのWindows\System32\drivers\CrowdStrikeディレクトリに移動します。
    • 「C-00000291*.sys」に一致するファイルを見つけて削除します。
    • ホストを通常どおり起動します。
    • 注意: BitLocker で暗号化されたホストでは回復キーが必要になる場合があります。

パブリック クラウドまたは仮想を含む同様の環境での回避策の手順:

... 以下略 ...


 』

--- 07/22 追記 --->
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった (07/20)
https://softantenna.com/blog/crowdstrike-linux/
『Hacker Newsによると今年の4月、CrowdStrikeのアップデートによって、市民技術ラボのすべてのDebian Linuxサーバーが同時にクラッシュし、起動できなくなる問題が発生していたとのこと。』

『致命的な問題が繰り返し発生していることは、CrowdStrikeのソフトウェア・アップデートとテストの手順について深刻な懸念を引き起こしており、同社の製品に依存している顧客にとっての潜在的なリスクが存在することを浮き彫りにしています。』

では、この先は? ガートナーを問題視する声は無い。
単一の正解が無いことの理解を求めつつ、手探りしていくのだろうなぁ。



CrowdStrikeに先立ってAzure, M365では・・・

Azure の状態の履歴

CrowdStrikeとは別原因。時間帯は一部被って予期せぬ再起動が発生した模様。
以下機械翻訳抜粋 ↓
何が起きたか?
07/19 06:56 JST ~ 同日 21:15 JST、米国中部地域の複数のAzureサービスにおいて、サービス管理業務や接続性、サービスの可用性に関する障害を含む問題が発生した .. 
ストレージインシデントが仮想マシンの可用性に影響を与え、仮想マシンが予期せず再起動した可能性もあります。
影響を受けた仮想マシンやストレージリソースに依存しているサービスにも影響が発生した可能性があります。

これまでに判明していること
私たちは、バックエンドのクラスタ管理ワークフローが、Azure Storageクラスタのサブセットと米国中部地域のコンピュートリソースとの間でバックエンドのアクセスをブロックする原因となる設定変更を導入したことを突き止めました。その結果、影響を受けたストレージリソース上でホストされている仮想ディスクへの接続が失われると、コンピュートリソースが自動的に再起動しました。
.. 』

「OneDrive同期できない」などMicrosoft 365で障害 トラフィック迂回で対処 (07/19)

『.. 「Microsoft 365」で、7月19日朝(日本時間)から障害が発生し、OneDriveのファイルが更新できなかったり、Teamsのステータスが変更できないなどの問題が出た。
..
 Microsoftは午前8時41分に障害を初めて報告。「OneDrive for Business」「Teams」「SharePoint Online」「Intune」「PowerBI」「Fabric」「Defender」「Defender for Endpoint」「Viva Engage」に影響が及んでいるという。

 当面の対応として、トラフィックを迂回して問題を解消しており、午前11時28分時点で、サービスは安定してきているという。根本原因へのアプローチも続けている。

※ 関連記事の類似事例にも興味をひかれる。
その後 ↓ 

「Microsoft 365」でアクセス障害 ~「Teams」「SharePoint」「OneDrive」などに影響【21時40分追記】

[2024年7月19日21時40分] 日本時間19時46分付けで同社のX(旧称Twitter)に投稿された情報によると、根本的な原因は解決されたものの、一部のアプリとサービスに影響が残っているとのこと。同社は追加の緩和策を実施して影響の軽減に努めているとしている。』

で根本原因は何だったのかは書かれていない。
『Azureの設定変更デプロイのブロックによる異常トラヒックがM365にも影響?』と妄想中。

Jul 13, 2024

Google色々:ダークウェブレポート、Gemini、Googleフォーム、Pixel 6

ダークウェブに自分の情報が漏れているか確認するGoogle機能が無料に (07/04)

https://pc.watch.impress.co.jp/docs/news/1605628.html

『ユーザーがプロフィールに登録している名前、住所、電話番号、メールアドレスなどをもとに、ダークウェブ上で一致するものがないかを確認し、見つかった場合はメールや通知で知らせてくれる … Google One向けの特典機能(注、有料)としてではなく、全ユーザー向けに無料で提供されていくことになる。』

←使いやすいし、自動化されているのが何より。

 

GoogleGeminiがリサーチで大活躍! 仕事の「めんどくさい」を任せてラクしよう (05/13)

https://www.lifehacker.jp/article/2405-ai-research-gemini/ 

『この記事では、GoogleGeminiを活用したリサーチや検索において効果的な場面を紹介します。

l  Geminiで出張の行程をざっくり把握したいとき

l  飛行機やホテルの金額まで調べてくれる

l  (例)他の移動手段はありませんか?

l  キーワード検索で行き詰まったときに 』

 

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ (06/27)

https://devblog.lac.co.jp/entry/20240627

どうすればよかったか

 

ほかの人の回答を敢えて見せたい場合を除いて、以下の設定をおこないましょう。

 

1.「結果の概要を表示する」はオフに!

2.共同編集者は「リンクを知っている全員」ではなく「制限付き」に!

 

多人数で共同編集したいときには、面倒ですが、それぞれがGoogleアカウントを取得して、共同編集者にユーザとして追加する方法が良さそうです。(このユーザ追加の際にまったく別人のアカウントを間違えて指定してしまったりすると元の木阿弥なのでご注意を。)』

 

Pixel 6シリーズを工場出荷状態にリセットすると文鎮化する問題、Googleが回避手順を公開 (07/04)

https://internet.watch.impress.co.jp/docs/yajiuma/1605542.html

 

職場の「一部ネット接続できない規制PCから機密データを盗むサイバー攻撃 米研究者らが発表 (05/13)

https://www.itmedia.co.jp/news/articles/2405/13/news052.html

自宅のVMもさらに規制するか。

 

ITmedia記事:1. Apple Pay, 2. Starlink Mini

Apple PayではEUの罰金回避 欧州でのNFCアクセス開放で (07/12)

https://www.itmedia.co.jp/news/articles/2407/12/news095.html

『欧州委員会は、Appleが欧州圏で「tap and go(日本でのタッチ決済)」で使うNFC技術をサードパーティ開発者に開放し、Face ID認証などのiOS機能へのアクセスを可能にするという「法的拘束力のある」約束をしたと発表した。』

 

ほぼA3サイズの「Starlink Mini」、全米で一般単体発売 月額50ドル - ITmedia NEWS (07/12)

『本体価格は599ドル (中略) Starlink Miniだけを購入することも可能になった。サブスクプランとしては、月額150ドルの「Mobile」か50ドルの単体プラン「Mini Roam」を選択できる (中略) 100W20V/5A)対応のUSB-PD電源から直接電力を供給することもできる。』


Jul 11, 2024

メモ 1.ハザードマップ、2.漏洩パスワード100億件

豪雨災害が心配な季節、全国のハザードマップを流域単位で可視化~「YAMAP 流域 (07/10)

https://internet.watch.impress.co.jp/docs/column/chizu3/1606981.html地図

 

漏洩したパスワード100億件近くが公開、漏洩の有無の確認を (7/9)

https://news.mynavi.jp/techplus/article/20240709-2982251/ 


Jul 10, 2024

Security Hole メモのメモとか、07/10

SAPジャパンの偽サイト「sapjp.com」に注意 
過去に保有していたドメインを第三者が取得、なりすまし被害に (07/09)

https://www.itmedia.co.jp/news/articles/2407/09/news103.html

『アクセスすると、「不審なサイトへ誘導される可能性や、

気付かないうちに有害なソフトウェアがダウンロードされ被害が発生する

可能性がある」・・・同社はこうしたサイトについて、

関係各所に削除の申し入れを行っているという。』

Jul 9, 2024

Security Hole メモのメモ 07/09

ダークウェブに自分の情報が漏れているか確認するGoogle機能が無料に (07/04)

https://pc.watch.impress.co.jp/docs/news/1605628.html

『ユーザーがプロフィールに登録している名前、住所、電話番号、メールアドレスなどをもとに、ダークウェブ上で一致するものがないかを確認し、見つかった場合はメールや通知で知らせてくれる … Google One向けの特典機能(注、有料)としてではなく、全ユーザー向けに無料で提供されていくことになる。』

 

GoogleGeminiがリサーチで大活躍! 仕事の「めんどくさい」を任せてラクしよう (05/13)

https://www.lifehacker.jp/article/2405-ai-research-gemini/ 

『この記事では、GoogleGeminiを活用したリサーチや検索において効果的な場面を紹介します。

l  Geminiで出張の行程をざっくり把握したいとき

l  飛行機やホテルの金額まで調べてくれる

l  (例)他の移動手段はありませんか?

l  キーワード検索で行き詰まったときに 』

 

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ (06/27)

https://devblog.lac.co.jp/entry/20240627

どうすればよかったか

 

ほかの人の回答を敢えて見せたい場合を除いて、以下の設定をおこないましょう。

 

1.「結果の概要を表示する」はオフに!

2.共同編集者は「リンクを知っている全員」ではなく「制限付き」に!

 

多人数で共同編集したいときには、面倒ですが、それぞれがGoogleアカウントを取得して、共同編集者にユーザとして追加する方法が良さそうです。(このユーザ追加の際にまったく別人のアカウントを間違えて指定してしまったりすると元の木阿弥なのでご注意を。)』

 

Pixel 6シリーズを工場出荷状態にリセットすると文鎮化する問題、Googleが回避手順を公開 (07/04)

https://internet.watch.impress.co.jp/docs/yajiuma/1605542.html

 

職場の「一部ネット接続できない規制PCから機密データを盗むサイバー攻撃 米研究者らが発表 (05/13)

https://www.itmedia.co.jp/news/articles/2405/13/news052.html

自宅のVMもさらに規制するか。