一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は9日、PDF閲覧ソフトウェアAdobe Readerおよび、PDF作成・変換ソフトウェアAdobe Acrobatに存在する脆弱性に注意を喚起した。対象プラットフォームはWindowsとMac。脆弱性を悪用したコンテンツをユーザーが開いた場合、遠隔攻撃によりAdobe ReaderやAcrobatが不正終了したり、任意のコードが実行されたりする恐れがある。Adobe Systemsは、メモリ破損につながる3件の脆弱性を修正した最新版を現地時間8日リリースしており、JPCERT/CCは早急な適用を呼びかけている。影響を受けるバージョンは、下記の通り。Acrobat DC Continuous 15.010.20059およびこれ以前Acrobat Reader DC Continuous 15.010.20059およびこれ以前Acrobat DC Classic 15.006.30119およびこれ以前Acrobat Reader DC Classic 15.006.30119およびこれ以前Acrobat XI Desktop 11.0.14およびこれ以前Reader XI Desktop 11.0.14およびこれ以前
2016年03月09日JPCERT コーディネーションセンター(JPCERT/CC)は3月2日、OpenSSL Projectが提供するOpenSSLに複数の脆弱性があるとして、脆弱性を修正したバージョンを適用するよう呼びかけた。影響を受ける脆弱性(CVE-2016-0800) について、該当するバージョンの OpenSSLを用いて、SSLv2を利用可能としている場合、遠隔の第三者によって、秘密鍵などの重要な情報を取得されるおそれがある。OpenSSL Projectが3月1日、OpenSSL Security Advisory [1st March 2016]において、脆弱性の詳細について説明している。脆弱性の影響を受けるバージョンは以下のとおり。OpenSSL 1.0.1r およびそれ以前の 1.0.1 系列OpenSSL 1.0.2f およびそれ以前の 1.0.2 系列OpenSSL Project から、以下の脆弱性を修正したバージョンのOpenSSL が公開されているので、十分なテストを実施の上、修正済みのバージョンを適用することが推奨される。OpenSSL 1.0.1sOpenSSL 1.0.2gOpenSSL Projectでは、OpenSSL 0.9.8 系列と1.0.0 系列は2015年12月31日でサポートが終了しており、今後修正済みのバージョンは提供しないとしている。
2016年03月02日1本で7役のCCジェルファンデーション株式会社ウテナは「コガオウウォータリーフィットCCジェル」を2016年3月1日より販売開始する。この新商品はCCジェルファンデーション。3D復元型ゼリーを配合しており、肌をキュキュッと引き締めて小顔を演出する。また、ぷるぷるとしたジェル状クリームに仕上がっているため、するりと軽いつけ心地とカバー力を両立。しかも、なんとこれ1本で7役をこなす。美容液、乳液、クリーム、UVカット効果、化粧下地、コンシーラー、ファンデーションの7役を担うため、忙しい女性にはもってこいだ。BBクリームとCCクリームの違いところで、BBクリームとCCクリームの違いはご存知だろうか。実はこの2つは似ているようで異なるクリームなのである。BBクリームは「Blemish Balmクリーム」の略であり、直訳すると「気になる部分を守るクリーム」という意味になる。日焼け止め、化粧下地、ファンデーションの効果をあわせ持ち、カバー力は高いがテクスチャーが重いところが難点。CCクリームは「COLOR CONTROL」や「COMPLETE CORRECTION」の略である場合が多く、スキンケア効果や肌色補正効果に優れている。化粧下地とコントロールカラー効果をあわせ持ち、軽めのテクスチャーが人気だが、カバー力が低いのが難点。肌の悩みをBBクリームは塗ってカバーし、CCクリームは補正してぼかすと考えるとわかりやすい。今回発売の新商品は両方のクリームのいいとこ取りをしているため、試してみる価値ありだ。(画像はプレスリリースより)【参考】・株式会社ウテナプレスリリース(@Press)
2016年02月29日キーサイト・テクノロジー(キーサイト)は2月29日、RFシミュレーション/シンセシス(回路生成)ソフトウェア「Genesys 2015」最新版を発表した。参考価格(税抜き)は56万円~。「Genesys 2015」では、市販部品のデータシートを用いたRFシステムシミュレーションを可能にするSys-Parameterモデルを搭載。Sys-Parameterモデルは、周波数、温度、バイアスに対する増幅器のP1dB、IP3、利得、雑音指数など、RF用部品のパラメータをスプレッドシート形式で定義しており、設計者はそれらの値をRFシステムのシミュレーションで直接使用することができる。これにより、部品モデルを自作し、その挙動をシミュレータ上で試験・検証する必要がなくなり、データシートの仕様をシミュレーションで利用することが可能となった。また、RF回路の自動シンセシス機能の新しいチュートリアルビデオも含まれており、フィルター、整合回路、発振器、ミキサー、カップラー、伝送ラインなどの回路をすばやく実現する方法について説明を確認することができる。さらに、新しいMatlabスクリプトデバッガー、多次元補間器、対話型3次元グラフも装備し、測定データとシミュレーションデータをユーザーが完全に制御できるようになるとしている。
2016年02月29日女性をテーマにした調査分析やトレンド発信などをおこなう「womedia Labo*(ウーメディア ラボ)」では、ユニリーバ・ジャパン株式会社と共同で20~30代の働く女性500名を対象に「ヘアスタイリング」に関する意識・実態調査を実施しました。ヘアスタイリングが苦手な女性が84%!ニュアンスヘアやゆるふわスタイルなど、最近は「スタイリング」がカギとなるスタイルがトレンドになっています。しかしながら、肝心のヘアスタイリングの腕前には自信がない女性が多いのも事実。今回の調査でも、「ヘアスタイリングに苦手意識がある」という女性は84%にのぼりました。また、「サロン帰りのヘアスタイリングの仕上がりを100点とした場合、普段自分でおこなうヘアスタイリングの仕上がりは何点?」という質問に対しては、平均回答が「54点」という残念な結果に。多くの女性たちがセルフスタイリングの完成度に悩みを持っていることがわかります。スタイリングのカギを握るのは前日のヘアケアこうした中、ヘアスタイルをキメやすくするシャンプーやトリートメントが登場して注目を集めています。前日のシャンプーやトリートメントが翌日のスタイリングの下準備になるアイテムであることから、女性誌などでは「CCクリーム」をもじって「CCシャンプー」と呼ばれているようです。思い通りのスタイリングを完成するには、前日夜のヘアケアが大切。朝起きたときに髪がまとまっていると、ヘアスタイルを思い通りに作ることができて、完成度アップするのです。ビューティートレンドに詳しい美容家・岡本静香さんは、「CCシャンプーにおけるCCとは、Care & Control。髪をケアする機能のほか、髪の状態をコントロールしてスタイリングをしやすくするという機能を持つアイテムを指します。セルフスタイリングが苦手な女性たちにとって、ケアの時間からスタイリングの準備ができる注目のアイテムとなりそうです」とコメント。新発想のヘアアイテム「スタイルシリーズ ラックス ルミニーク」今シーズン注目のCCシャンプーは、ユニリーバ・ジャパンから2月8日(月)に発売開始となった「スタイルシリーズ ラックス ルミニーク」。シャンプーとトリートメントをセットで使うことでスタイルの完成度を高める新発想のヘアアイテムです。するんとまとまる輝くストレートスタイルへ導く「ストレートスタイル」と、毛先まで柔らかいゆるふわスタイルへ導く「エアリースタイル」の2ラインで展開。「ストレートスタイル」にはボタニカル・コラーゲン(保護・保湿成分)、「エアリースタイル」にはボタニカルザクロエキス(保湿成分)等を配合したこだわりの処方となっています。ワックスやジェルとも、コテやヘアアイロンとも異なる、新しいヘアスタイリング手段として今後注目を集めていきそうです。【参考】スタイルシリーズ ラックス ルミニーク
2016年02月23日一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は10日、Adobe Flash Playerの脆弱性に注意喚起した。細工されたコンテンツを開いた場合、遠隔攻撃により、Flash Playerが不正終了したり、任意のコードが実行したりする恐れがある。米Adobe Systemsは現地時間9日、22件の脆弱性に対処したAdobe Flash Player最新版を公開済み。JPCERT/CCは速やかなアップデートを呼びかけている。影響を受けるFlash Playerは下記のバージョン。Adobe Flash Player Desktop Runtime 20.0.0.286およびこれ以前(Windows、Mac、Chrome)Adobe Flash Player Extended Support Release 18.0.0.326およびこれ以前(Windows、Mac)Adobe Flash Player 20.0.0.272およびこれ以前(Microsoft Edge、IE 11)Adobe Flash Player for Linux 11.2.202.55およびこれ以前(Linux)Google ChromeやMicrosoft Edge、Windows 8/8.1/10環境のInternet Explorer(IE)にインストールされているFlash Playerも影響を受けるが、各ブラウザを最新版にアップデートした場合、自動的に最新版のFlash Playerが適用される。バージョンの確認は「Adobe Flash Player:Version Information」から行える。
2016年02月10日キーサイト・テクノロジー(キーサイト)は2月5日、14スロットAXIeメインフレームをベースとした、マルチレーンテスト用のBERTソリューション「M8030AマルチチャネルBERT」を発表した。M8030Aは「J-BERT M8020A」をリアルマルチチャネルBERTに拡張したもので、最大10チャネルのパターンジェネレーターおよびエラーディテクターをサポート。これにより、ASICテストの際、メインフレームで最大8個のPCIeチャネルに同時に対応できる。そのほか、複数の光ネットワークユニット(ONU)が含まれる、マルチチャネルパッシブ光ネットワーク(PON)システムのテストにも使用することができる。同ソリューションには、AXIeコントローラ付きの「M8030A-BU1」、PCI Expressを経由し外付けPCからリモート制御する「M8030A-BU2」の2つのオプションがある。
2016年02月05日JPCERTコーディネーションセンター(JPCERT/CC)は2月4日、インターネット定点観測レポートの2015年10月~12月版を公開した。同レポートは不特定多数に向けて発信されるパケットを収集して、宛先ポート番号や送信元地域ごとに分類。脆弱性情報やマルウェア、攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉を行っている。今月の宛先ポート番号トップ5は以下の通り。「53413/UDP」が前四半期のトップ10圏外から3位まで順位を上げている。トップ5の宛先ポート番号ごとのパケット観測数の推移では、53413/UDPが乱高下を見せており、1位の23/TCP (telnet)は平均して観測されていることがわかる。送信元は中国と米国がワンツーで、前四半期と同じだ。JPCERT/CCの分析では、53413/UDPが探索されている理由は、同ポートを標準ポートとして使用するNetis/Netcore製のルータ製品を探索する目的の可能性が高いという。送信元は中国が多いものの、日本において同ポートを使用する製品はあまりない。Netis/Netcore製ルータには脆弱性が発見されており、この脆弱性を突くために探索している可能性があるようだ。探索パケットの中には、マルウェアに感染したWebカメラやセットトップボックス(STB)など、PCではない機器から送信された事例があり、一部は国内に存在するIoT端末のIPアドレスもあったという。PCではない組込み機器がマルウェアに感染してボット化している事例として、注意が必要と思われる。また、11月中旬以降に、「9600/TCP」宛のパケット数の一時的な増加が数回発生している。同ポート番号は、一般的に使用されるソフトウェアのサービスで使用されるポート番号ではないためJPCERT/CCが調査したところ、国内制御機器ベンダーのマニュアルに同ポートの記載があったことを確認した。この例で問題となるのは、海外のセキュリティ研究団体が、制御システムのセキュリティ問題に関する記述と、実証目的のコンセプトコードをWebサイトに公開しており、その公開時期が"パケット数が増加した時期"と重なるというものだ。12月20日頃からは、パケット数だけでなく、送信元IPアドレス数も増加しており、公開されたWebサイトの閲覧者からの探索も含まれていると推察されるという。研究目的でのセキュリティ情報の公開は、慎重さが求められる。トレンドマイクロが先日発表した「教育目的でランサムウェアのソースを一般公開も、攻撃者が即悪用する惨事に」では、Github上でランサムウェアのソースコードを公開したところ、見事に悪用されてしまった。同社は「サイバー犯罪者に利用される恐れのある情報を公開する際は十分に注意する必要がある」と結論付けており、セキュリティにかかわる事業者には慎重な対応を求めたいところだ。
2016年02月04日キーサイト・テクノロジー(キーサイト)は1月28日、近日リリース予定のAdvanced Design System(ADS) 2016でADSチャネルシミュレータ用の4値パルス振幅変調 (PAM-4)機能に対応すると発表した。同機能を使用することで、ADSチャネルシミュレータでPAM-4 IBIS-AMIモデルを使用できるようになり、システム設計者がNRZ(non-return-to-zero)とPAM-4テクノロジー間のデザインの各種トレードオフを簡単に検討することができるようになる。PAM-4は、バックプレーンのような高速SerDesリンクに用いられ、1レーン当たり56Gbpsのデータレートを実現するための有力な技術とされている。従来のEDAソフトウェアシミュレーションでは、2レベルシグナリングのみ扱われていたが、PAM-4では、信号に与える各種信号劣化(ジッタ、ノイズ、チャネル損失、符号間干渉)の影響は、従来のものとは異なっており、アイパターン評価する場合でも、シンボルエラーレートを最小化するために導入された新しいレシーバ動作(3つのスライサーしきい値、個々のスライサーのタイミングスキュー、イコライゼーション、クロック/データリカバリー)によってさらに複雑化する。これらがPAM-4リンクのデザイントレードオフにどのような影響を与えるかを正確に把握するには、SerDesベンダーからのPAM-4 IBIS-AMIモデルを扱う機能を備えたチャネルシミュレータが必要となる。これに対し、PAM-4機能を備えたADS チャネルシミュレータには、多くの新しい測定機能が内蔵されており、スライサーしきい値レベルとその経時変化、各スライサーのタイミングスキュー、マルチタップ・デシジョン・フィードバック・イコライゼーションなどの影響を評価することが可能となる。また、各PAM-4アイ等高線を得ることも可能だ。キーサイトは「SerDesリーディングベンダーおよびIBIS オープンフォーラムと連携して、PAM-4に対する当社のチャネルシミュレーション方法を定義/検証し、PAM-4用の高精度なソリューションを開発できました。当社のPAM-4 IBIS-AMIソフトウェアソリューションは、測定の専門知識とリーダーシップの賜物です。 キーサイトにはこうした測定の専門知識が蓄積されているため、シミュレーションから実ハードウェアの測定・評価まで、あらゆる工程で設計者をサポートすることができます。」とコメントしている。
2016年01月29日キーサイト・テクノロジー(キーサイト)は1月28日、シグナルインテグリティ(SI)およびパワーインテグリティ(PI)に取り組むエンジニアに向けた電磁界(EM)解析ソフトウェアソリューション「SIPro」と「PIPro」の販売を2月より開始すると発表した。両ソリューションは同社のEEsof EDAのAdvanced Design System(ADS)で使用することが可能となる。「SIPro」には新しいコンポジットEMテクノロジーが使用されており、高密度化されたPCBデザインに必要な解析速度と解析規模に対応するだけでなく、高い周波帯域まで精度の良い解析が可能。また、20GHzを超える周波帯域まで有限要素法(FEM)シミュレーションと同等の結果を、短時間かつ少ないメモリで解析することができるとしている。一方の「PIPro」には、DC IRドロップ、電源供給ネットワーク(PDN)のインピーダンス、および電源プレーン共振の3つのPI専用シミュレーションエンジンが含まれている。また、DC IRドロップ解析により、PDN内の各ビア、ピン、シンク、電圧レギュレーターモジュールのDC電圧/電流テーブルが得られるため、SI/PIエンジニアは、電流をシンクするICのピンにおけるDC電圧を予測できるようになるほか、電源/グランドプレーンの電圧、電流密度、消費電力を表示することで、デザインの問題点を簡単に特定することも可能となっている。「SIPro」と「PIPro」の解析環境には3次元ビューワーが装備されており、設計者は、電磁界解析前に解析対象のネットの確認が、解析後にはフィールドデータを3次元で表示することができる。解析設定は、ネット・ドリブンで実施でき、設計者が解析したいネットを選択するだけで済むため、シミュレーション前にレイアウトを手動で編集したり、操作する作業は不要となる。同社は「『SIPro』および『PIPro』を利用した新しい設計フローでは、プリント基板の電磁界解析データをADSのチャネル、DDRバス、トランジェント・シミュレーションで簡単に利用できる様に、回路図が自動的に生成されます。設計者は、これらのシミュレーションエンジンを使用してSI解析(BER等高線測定など)を実行し、規格に準拠したコンプライアンス・テスト・ベンチを使ってデザインを検証できます。」とコメントしている。
2016年01月29日オウルテックは27日、Kailh社製のメカニカルキースイッチ「青軸」を採用したキーボード2モデルを発表した。発売は2月上旬。Kailh社製の青軸キースイッチは、カチッというクリック音と、軽い押し下げ圧のキータッチが特徴で、今回発売する製品は、109キーモデルと、92キーモデルの2モデルを揃える。Nキーロールオーバーに対応し、109キーモデルではPS/2接続時に、92キーモデルでは設定切替時に全キーの同時押しが可能。また、鉄板を筐体内部に設置し、5,000万回の打鍵回数に耐えうるという。109キーモデル「OWL-KB109BLJP-BK」の主な仕様は、キー配列が日本語JIS、インタフェースがUSBとPS/2、キーピッチが19mm、キーストロークが4mmなど。付属品は、パームレスト×1、PS/2変換コネクタ×1、ゲーム用予備キー×4、キー引抜工具×1、取扱説明書など。本体サイズはW448×D149×H35mm、重量は約1.16kg。92キーモデル「OWL-KB92BLJP-BK」では、109キーモデルの仕様からインタフェースがUSBのみに変更される。付属品は、USBケーブル、ゲーム用予備キー×4、キー引抜工具×1、取扱説明書など。本体サイズはW370×D140×H29mm、重量は約1kg。
2016年01月27日ロックバンド「RADWIMPS」のドキュメンタリー映画『RADWIMPSのHESONOO Documentary Film』が3月の公開に先駆け、キーアートが解禁された。野田洋次郎、桑原彰、武田祐介、山口智史の4人からなるロックバンド「RADWIMPS」。ボーカルの野田さんの創り出す独特の歌詞と音楽性で多くのファンを魅了し続け、昨年10周年を迎えた。本作は、昨年10月から行われたフランスや台湾など5か国6公演のアジア・ヨーロッパツアーと、「ゲスの極み乙女。」「いきものがかり」「Mr.Children」など彼らがリスペクトする豪華アーティストを招いて行われた国内の胎盤(対バン)ツアー、そして10周年の集大成とも言える幕張メッセでのワンマンライブを追ったドキュメンタリー作品。ツアー直前にメンバーの一人山口さんが突然の活動休止を発表し、サポートドラマーらを迎え、果敢にライブに挑んでいく舞台裏の姿などが、インタビューを交えながら綴られている。監督は、今年公開予定の『ドクムシ』なども手がける今最も注目を集める新進気鋭の女性監督・朝倉加葉子が務めている。今回解禁されたキーアートは、新体制で挑んだライブの1シーンが描かれた一枚。「つながりを断ち切って、人は生まれてくるんだよ。」というキャッチコピーが、映画タイトルの「HESONOO」と連動し、10周年を迎え次の10年へ向けて“新たに生まれ変わろうとするRADWIMPS”を表現したキーアートとなっている。『RADWIMPSのHESONOO Documentary Film』は3月11日(金)~24日(木)全国にて公開。(cinemacafe.net)
2016年01月22日シチズン時計は18日、光発電のエコ・ドライブムーブメントを搭載したアンティークデザインのレディスウオッチ「Kii:」(キー)を発表した。長角ケースの3モデルを用意し、2月中旬から発売する。税別価格は3モデルとも25,000円。ラインナップは、ケースとバンドのカラーがシルバーの「EG2040-55A」、イエローゴールドの「EG2042-50A」、ローズゴールドの「EG2043-57A」だ。ベージュカラーの文字板は3モデル共通で、すっきりしたインデックスを配置することで、時刻の読みやすさに配慮した。同じく共通仕様として、ケースとバンドの素材がステンレススチール、風防がクリスタルガラス、ケースサイズが縦22.8×横13.7×厚さ5.2mm(設計値)、防水性能が5気圧。
2016年01月19日JPCERTコーディネーションセンター(JPCERT/CC)は1月14日、2015年度第3四半期(10月~12月)のインシデント報告の統計・事例をまとめた「インシデント報告対応レポート」を公開した。これによると、前四半期と比較して報告件数は17%減少し、調整件数も0.3%減少した。前年同期比でも、総報告数が45%減少、調整件数は12%減少となっている。この四半期に発生したインシデントの種別では、スキャン(システムの弱点探索)が48.2%を占め、Webサイト改ざんが26.1%、フィッシングサイトのインシデントが15.0%だった。それぞれのインシデントの具体的な傾向を見ていこう。○スキャンは減少スキャンの件数は1526件で、前四半期の1985件から23%減少。スキャン対象となったポートで、特に頻繁にスキャンされたものは、HTTP(80/TCP)とSMTP(25/TCP)、SSH(22/TCP)だった。○Webサイト改ざんが増加、CMSが狙われる続くWebサイト改ざんは、報告件数が826件で、前四半期の592件から40%増加だった。この四半期は、「改ざんサイトへアクセスした際に、セキュリティ製品がランサムウェアのダウンロードを検知した」という報告が複数寄せられたという。改ざんの具体的な手法としては、bodyタグの直後やページの最上部に、難読化されたコードが埋め込まれるケースが多かったようだ。CMSを活用しているWebサイトの改ざんが特に多く見られており、「WordPress」「Joomla」「Drupal」などのCMSを活用しているサイト運営者は注意が必要となる。実際にJPCERT/CCが、改ざんされたWebサイトの管理者からサイトコンテンツをもらい受けて調査したところ、CMSのデフォルトのファイルに「//istart」「//iend」などの文字列を含む不正なコードが埋め込まれていた。このことから、CMS本体やテーマ、プラグインの脆弱性を悪用する攻撃や管理者のパスワードを盗みとって攻撃者が改ざんした可能性を指摘している。改ざんされたサイトでは、不正なコードによって攻撃サイトへ誘導し、Adobe Flash PlayerやInternet Explorerなどの脆弱性を悪用した攻撃によってマルウェアのダウンロード・実行が行われている。サイト運営者だけでなく、サイト訪問者にも広範囲に影響が及ぶため、注意が必要だ。○フィッシングサイトは前期比で減少も、前年同期比では増加フィッシングサイトの報告数は474件で、前四半期の522件から9%減だった。また、前年同期は406件だったため、17%の増加となっている。この四半期は国内のブランドを装ったフィッシングサイトが124件で、前四半期比10%の増加、国外ブランドは250件で7%の減少だった。また、偽装された業界では、金融機関のWebサイトが49.1%、Eコマースサイトが16.4%となっている。○マルウェアサイトは大幅減なお、この四半期で報告されたマルウェアサイトは84件で、前四半期の119件から29%減少となっている。
2016年01月15日キーサイト・テクノロジー(キーサイト)は12月24日、92GSa/s、32GHz帯域幅を実現するモジュール型任意波形発生器「M8196A 任意波形発生器」を発表した。すでに販売開始となっている。同製品では、AXIeモジュール1スロットで、92GSa/sの最大サンプリングレート、32GHzのアナログ帯域幅、同期のとれた4チャネルの信号を発生可能。また、最大2Vppの差動出力電圧で、-1~2.5Vの出力範囲でDCオフセットの設定が可能となっている。同社は同製品について「優れた速度、帯域幅、チャネル密度を有しているため、同期のとれた偏波多重I/Q信号の生成が可能です。通信テストエンジニアにとって、100Gb/sと400Gb/sのイーサネットやコヒーレントアプリケーションでの課題を解決する新しいツールとなります」とコメントしている。
2015年12月24日ファミリーマートは12月15日、「プレミアム Wクリームエクレア」(税別172円)を全国の「ファミリーマート」店舗で発売する。同商品は、チルドスイーツ「Wクリームエクレア」のエクレアの生地、生地をコーティングするチョコレート、ホイップクリーム、カスタードクリームなどすべてを見直し、おいしさを追求したプレミアムスイーツ。生地にはフランス産の小麦粉を使用し、チョコレートコーティングには同商品のためのオリジナル配合チョコレートを取り入れている。カスタードクリームには「ナポレオンブランデー」を加え、卵の味わいがより楽しめるように卵黄比率を高めたとのこと。
2015年12月14日JPCERTコーディネーションセンター(JPCERT/CC)はこのほど、情報処理推進機構(IPA) と共同で運営する脆弱性対策情報ポータルサイト「Japan Vulnerability Notes(JVN)」において共通脆弱性評価システム「CVSS v3」による脆弱性評価を開始したと発表した。CVSSは、脆弱性の影響と深刻度を表現する標準化された方式として、The Forum of Incident Response and Security Teams(FIRST)において策定され、多くの脆弱性アドバイザリに記載されている。今年6月に新しいバージョンとなるCVSS v3規格が発行された。脆弱性の評価は、「基本評価基準(Base Metrics)」「現状評価基準(Temporal Metrics)」「環境評価基準(Environmental Metrics)」の基準で行われている。v3では、攻撃の難易度を評価する項目(攻撃元区分、攻撃条件の複雑さ、必要な特権レベル、ユーザー関与レベル)と、攻撃による影響を評価する項目(機密性への影響、完全性への影響、可用性への影響)を分けて評価する手法を採用した。攻撃の難易度を評価する項目は、攻撃者がソフトウェアの脆弱性を悪用して攻撃できる対象(コンポーネント)を範囲としている。また、基本評価基準において脆弱性の影響範囲拡大を加味するため、スコープという評価項目を導入した。「スコープ変更なし」は、脆弱性の影響がコンポーネントにとどまる場合(脆弱想定範囲=影響想定範囲)であり、「スコープ変更あり」は、脆弱性の影響がコンポーネント以外にも広がる場合となる。また、攻撃による影響を評価する項目は、直接的な影響に主眼をおいて評価する仕様に変更された。さらに環境評価基準は、攻撃の難易度を評価する項目、攻撃による影響を評価する項目を実状に合わせて再評価するという評価手法を採用。例えば、Webサーバのプログラムに「攻撃元区分=ネットワーク」となる脆弱性が存在した場合、実システムにおいて、サブネットワーク単位のファイアウォールによってWebサーバへのアクセスが制限されていると「攻撃元区分=隣接」と再評価することになる。今後JVNは、従来の評価基準であるCVSS v2とCVSS v3の両方を使い、2つの基準による脆弱性の評価を行っていくとしている。
2015年12月08日JPCERT/CCは12月2日、分析センターだより「攻撃者が悪用するWindowsコマンド(2015-12-02)」を公開した。発表では、攻撃者が侵入したWindows上で使用するコマンドを明らかにするとともに、攻撃による影響を低減する方法を示している。JPCERT/CCによると、攻撃者が感染端末の情報収集によく使用するコマンドのうち、最も多かったのは「tasklist」だったという。攻撃者は、tasklistやver、ipconfig、systeminfoなどのコマンドにより、ネットワーク情報やプロセス情報、OS情報などを収集して、どのような端末に感染したのかを調査している。また、機密情報の探索やネットワーク内のリモート端末の探索においては、dirが最もよく使用されていることがわかった。攻撃者は、ファイルを探索するためにdirおよびtypeを使い、ネットワークの探索にはnetコマンドが使っている。ネットワーク内のリモート端末への侵入・感染を拡大するフェーズでは、atが最もよく使われている。atやwmicは、リモート端末上でマルウエアを実行するために利用され、wmicコマンドで引数を指定することにより、リモート端末上のコマンドを実行することができる。こうしたWindowsのコマンドの中には、ユーザーが使用しないコマンドが含まれている。そうしたコマンドをAppLockerやソフトウェア制限ポリシーを用いて実行を制限することで、攻撃者の活動を抑えることができるという。AppLockerを有効にすると、設定で指定されたWindowsコマンドが実行された、または実行しようとして拒否された事象がイベントログに記録されるようになり、マルウェアに感染した後に攻撃者が実行したWindowsコマンドを調査することにも活用できる。
2015年12月03日一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。○探索活動(上位10コマンド)
2015年12月02日ドスパラとデジカは20日、PCゲームのダウンロード販売とSteamキーの販売を行なうサイト「Gameliner」を開始した。「Gameliner」は、日本ユーザー向けに最適化されたPCゲーム販売サイト。タイトル購入はゲームデータのダウンロードもしくはSteamキーの形で配布され、支払いはクレジットカード、コンビニ支払い、銀行振込が選択できる。なお、Steamキーを利用するゲームをプレイするには、PCゲームのダウンロード販売プラットフォーム「Steam」から、Steamクライアントのインストールが必要となる。オープン時のラインナップは、シューティングゲーム「虫姫さま」や、RPG「Skyborn」、FPS「BioShock」など、国内外の約50タイトルを用意。今後ラインナップを増やしていくほか、ジャンル別の特設ページ、ドスパラ製ゲーミングPCごとのおすすめタイトルなど、国内PCゲームユーザーが使いやすい販売サイトを目指すとしている。
2015年11月20日キーサイト・テクノロジーは11月19日、同社のオーディオアナライザ「U8903B」の機能を拡張し、新たにBluetooth機器のオーディオ試験に対するオプションの提供を開始したと発表した。これによりU8903Bは、Bluetoothバージョン4.0に対応し、AGHSP/HSP 1.2、AGHFP/HFP 1.6、A2DP、AVRCPプロファイルをサポート。5dBmの最大出力パワーを備えているため、ヘッドセット、スマートデバイス、車載用ヘッドユニットなど、さまざまなBluetooth機器に接続して、正確なテストを実行することができるようになる。また、Bluetoothリンクの品質を簡単にモニターし、接続時のトラブルシューティングを行うために、受信パワーインジケータとビット・エラー・レート測定が内蔵されており、被試験デバイス(DUT)のパワーの強さを視覚的に表示できるほか、接続におけるビット・エラー・レート値の変化をモニターすることで、リンクの品質低下の原因を判断することができる。さらにローカルループバック機能があるため、Bluetoothチップセット、モジュール、デバイスの高速かつ正確なループバックテストも実行可能。これを用いることで、Bluetoothトランシーバをシミュレートし、DUTからBluetoothオーディオ信号を受信して、同じ信号をDUTにループバックすることができるようになる。なお、U8903BにはこのBluetooth機器のオーディオ測定オプションのほかに、音声品質測定(POLQA/PESQ測定ソフトウェアオプション)や周波数帯域幅の拡張(1.5MHz広帯域オプション)、デジタル・オーディオ・インタフェース(AES3/SPDIF/DSIデジタルオーディオオプション)なども用意されており、これらを組み合わせて活用することで、無線通信、コンポーネント、集積回路オーディオアプリケーションの正確なテストを行うことが可能になるという。
2015年11月20日キーサイト・テクノロジーは11月11日、エレクトロニクスおよび産業用テスト部門向けハンドヘルドデジタルマルチメータ(DMM)の新しいシリーズとなる「U1280」シリーズと「U1240C」シリーズをリリースしたと発表した。U1280シリーズは、60,000カウントの表示と0.025%の確度を備えており、同社のハンドヘルドDMMで最高性能を誇るという。同シリーズの4.5桁ハンドヘルドDMMでは、電子機器の製造、設置、メンテナンスなどの厳しい要件にも対応できる精度、確度、再現性が得られる。U1240Cシリーズは10,000カウントの表示と0.09%の確度を持ち、設置とメンテナンス業務に必要なさまざまな測定機能を提供する。また、低入力インピーダンス測定、ハーモニックレシオなどの独自の機能もある。同2シリーズは、フィールドでの操作に適したもので、IP 67に準拠。水深1メートルまでの浸水および最大3メートルからの落下にも耐えることができる。また、CAT IV 600 VとCAT III 1000 Vに準拠している。U1280シリーズでは800時間、U1240Cシリーズでは400時間継続して測定ができる。
2015年11月11日ティファニー(TIFFANY & CO.)が11月14日、クリスマスシーズンに向けた日本限定ジュエリーとして、「ティファニー ノット キー」(9万2,000円)を数量限定で発売する。同ジュエリーは、“鍵”をモチーフにしたブランドを代表するコレクション「ティファニー キー」より、“ノット(結び目)”にインスピレーションを受けてデザインされたもの。センターには、可憐な輝きを放つピンクサファイヤがあしらわれた。取り扱いは全国のティファニー ブティック、及び公式ウェブサイトとなっている。
2015年11月10日JPCERT/CCは10月19日、米Adobe Systemsから Adobe Flash Playerに関する複数の脆弱性の情報(APSB15-27)が公開され、これらを修正したバージョンに更新するよう呼びかけた。今回、修正された脆弱性は「CVE-2015-7645」「CVE-2015-7647」「CVE-2015-7648」の3つで、Adobeが定めている脆弱性の深刻度のうち最も高い「Critical」とされていた。対象となる製品とバージョンは以下のとおり。Adobe Flash Player 19.0.0.207 およびそれ以前のバージョン(Windows/Mac)Adobe Flash Player Extended Support Release 18.0.0.252 およびそれ以前のバージョン(Windows/Mac)Adobe Flash Player 11.2.202.535およびそれ以前のバージョン(Linux)対策として、最新のバージョンに更新する必要がある。Adobe Flash Player for Windows and Macintoshの最新版は19.0.0.226となっている。Google Chromeは、Google Chromeのアップデート時に、Adobe Flash Playerが更新される。
2015年10月19日JPCERT/CCが運営するフィッシング対策協議会は10月16日、金融庁をかたるフィッシング詐欺サイトが稼働しているとして、注意喚起を行った。同日11時30分時点でフィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼しているという。類似のフィッシングサイトが公開される可能性があるため、引き続き注意を呼びかけている。確認されているフィッシングサイトのURLは「●●●●.com」で、同協議会はこうしたサイトで、アカウント情報や個人情報 (秘密の合言葉、ログインID、ログインパスワード、メールアドレス、メールパスワード、第2暗証番号など) を絶対に入力しないようにとしている。
2015年10月16日JPCERTコーディネーションセンター(JPCERT/CC)は10月8日、2015年度第2四半期2015年7月1日~9月30日]に受け付けたインシデント報告の統計および事例をまとめた「[インシデント報告対応レポート」を公開した。この四半期に寄せられたインシデント報告対応レポートの報告件数は4128件。このうち、JPCERT/CCが国内外の関連するサイトとの調整を行った件数は2058件だった。前四半期と比較して、総報告件数は20%減少し、調整件数は21%減少。また、前年同期と比較すると、総報告数で11%減少し、調整件数は3%減少している。四半期に発生したインシデントにおける各カテゴリの割合では、スキャンに分類される、システムの弱点を探索するインシデントは53.0%、Webサイト改ざんに分類されるインシデントは15.8%を占めている。また、フィッシングサイトに分類されるインシデントは13.9%だった。JPCERT/CCが報告を受領したフィッシングサイト全体では、金融機関のサイトを装ったものが53.8%、Eコマースサイトを装ったものが8.7%で、装われたブランドは、国内、海外ブランドともに金融機関が最も多数を占めた。ほかに、Webサイト改ざんの件数は592件だった。7月にAdobe Flash Playerの脆弱性が複数公開され、それから間もなく、国内Webサイトが改ざんされ、それらの脆弱性を悪用した攻撃サイトに誘導していた事例をJPCERT/CCでも確認。その後も、同じ攻撃目的で改ざんされた国内Webサイトの報告を多数受領し、複数の改ざんパターンがあることを特定している。9月上旬ごろから、Webサイトに埋め込まれた広告によってマルウエア配布サイトに誘導されたと推測されるインシデントの報告も受領。報告をもとにWebサイト上の広告を定期的に取得して観測したところ、広告に埋め込まれるjsファイルが、不定期に不正なコードが混ざったものになっているが確認されている。
2015年10月12日アドビ システムズは6日、モリサワとそのグループ会社のタイプバンクの日本語フォント計20書体を、Adobe Creative Cloud(以下、CC)ユーザーが利用できるフォントライブラリサービス「Adobe Typekit」に追加することを発表した。CCのユーザーであれば、追加料金なしで利用できる。発表と同日、日本時間の10月6日から提供が開始される。今回提供が開始されるのは、人気の高いフォント「リュウミン」を含む20書体。モリサワが提供するモリサワ書体と、グループ会社のタイプバンクが提供するタイプバンク書体よりそれぞれラインナップされている。Creative Cloud のサブスクリプションプランのユーザーは、追加費用なしで使用できる。この発表は、10月5日から米国・ロサンゼルスで開幕したアドビ主催のクリエイティブ カンファレンス「Adobe MAX」の席上で行われた。また、Adobe Typekitは、Creative Cloudのサブスクリプションユーザーに提供されているフォントライブラリ。ユーザーは同ライブラリに含まれるフォントをWebフォントやデスクトップフォントとして自由に使用可能だ。Adobe Typekitでは現在1,000種類近いフォントが提供されているものの大半は欧文フォントで、日本語フォントはアドビが独自開発した「小塚ファミリー」、「りょうゴシック」など計14書体だった。モリサワの代表取締役社長、森澤彰彦氏は、この取り組みに対して、「アドビとは、日本語DTPの創生期より、よきパートナーとして共に歩んできました。ここ数年でクリエイティブ制作環境はPCだけでなくタブレットなどへと多様化し、アプリケーションのクラウド化に伴い、フォントを使用する環境も大きく変化しています。今回、世界で最も信頼されているデザインプラットフォームであるCreative Cloud を通じて、モリサワグループ書体を提供できることは、より効率的なフォント使用環境を提供していくという当社の戦略の一環をなすものであり、細分化され多様化したメディアに対応していくための第一歩だと考えています。また、紙メディアだけでなく、ビデオやWeb などさまざまなメディア制作に携わる方にモリサワグループ書体を認知していただく非常によい機会だと考えています」と語っている。一方、アドビの社長兼CEOシャンタヌ ナラヤン(Shantanu Narayen)氏は、「アドビとモリサワは1987年から日本語の書体が持つ繊細さと美しさをデジタル時代にもたらすために協業してきました。今回、Creative Cloudが提供するサービスの一つであるTypekitの提供においてもパートナーシップを拡大することで、全世界の数百万のクリエイターに、モリサワが提供する業界標準の日本語フォントの提供を実現しました。」と述べている。○今回追加されるフォント(★印はタイプバンクの書体)・リュウミン L-KL・太ミンA101・見出しミンMA31・中ゴシックBBB・太ゴB101・見出しゴMB31・じゅん101・TB シネマ丸ゴシック ★・ちび丸ゴシックPlusK R ★・篠 -M ★・日活正楷書体 ★・ぶらっしゅ ★・サン -M ★・TBカリグラゴシック E ★・漢字タイポス415 R ★・UD 新ゴ L・UD 黎ミン L・UD 新丸ゴ L・TB 新聞明朝 L ★・TB 新聞ゴシック M ★なお、Typekitに追加されたモリサワのフォントの利用価格についての比較レポートを掲載しているので、こちらも参考にしてみてほしい。
2015年10月06日JPCERT/CCは9月24日、Adobe Flash Playerに複数の脆弱性があるとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔の第三者により、Adobe Flash Playerを不正終了されたり、任意のコードを実行されたりするおそれがあるという。一方、Adobe Systemsは9月21日(現地時間)、CVE番号ベースで23件の脆弱性(CVE-2015-5567, CVE-2015-5568, CVE-2015-5570, CVE-2015-5571, CVE-2015-5572, CVE-2015-5573, CVE-2015-5574, CVE-2015-5575, CVE-2015-5576, CVE-2015-5577, CVE-2015-5578, CVE-2015-5579, CVE-2015-5580, CVE-2015-5581, CVE-2015-5582, CVE-2015-5584, CVE-2015-5587, CVE-2015-5588, CVE-2015-6676, CVE-2015-6677, CVE-2015-6678, CVE-2015-6679, CVE-2015-6682)を修正する「Adobe Flash Player」のセキュリティアップデートを公開した。対象となる製品とバージョンは以下のとおり。Adobe Flash Player 18.0.0.232 およびそれ以前のバージョン(Windows/Mac)Adobe Flash Player Extended Support Release 18.0.0.232 およびそれ以前のバージョン(Windows/Mac)Adobe Flash Player for Google Chrome 18.0.0.233およびそれ以前のバージョン(Windows, Macintosh, Linux and ChromeOS)Adobe Flash Player 11.2.202.508およびそれ以前のバージョン(Linux)AIR Desktop Runtime 18.0.0.199 およびそれ以前のバージョンAIR SDK and SDK & Compiler 18.0.0.199 およびそれ以前のバージョン対策として、最新のバージョンに更新する必要がある。Adobe Flash Player for Windows and Macintoshの最新版は19.0.0.185となっている。Adobe Flash Playerが標準で同梱されているWindows 8用Internet Explorer 10、Windows 8.1/10用Internet Explorer 11、Microsoft Edgeは、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。同様に、Flash Playerが標準で同梱されているGoogle Chromeでは、Google Chromeのアップデート時にAdobe Flash Playerが更新される。
2015年09月24日JPCERTコーディネーションセンター(JPCERT/CC)は9月15日、「Apache Cordova」を使ったハイブリッドアプリケーションの脆弱性に関する調査報告書をGitHubにて公開したことを発表した。Apache Cordovaは、Android/iOSの両環境で動作するハイブリッドアプリケーションを開発するためのフレームワークとして、アプリケーション開発者に利用されている。同報告書は、Apache Cordovaを使用してアプリケーションを開発した場合に、どのような脆弱性が作り込まれうるかをアプリケーションの構成要素ごとに調査・検討した結果をまとめたもの。JPCERT/CCは同報告書について、Apache Cordovaをすでに利用してアプリケーションを開発している、あるいは今後の利用を検討している開発者が、アプリケーション開発における脆弱性対策のポイントを把握する一助としてほしいとしている。
2015年09月15日薬用美白クリームとベースメーキャップの新製品を発売資生堂は、グローバルブランド「SHISEIDO」の「バイタルパーフェクション」ラインより薬用美白クリーム、化粧下地、ファンデーションを、10月1日から順次発売する。新発売となるのは、薬用美白クリーム「S リフト クリーム」(1種)と、化粧下地「メーキャップ プライマー」(ライト/モイストの2種)、ファンデーション「リキッドファンデーション」(全6色)、「パウダーファンデーション」(全6色)の5品目。年齢を重ねるごとにゆるみがちな肌を引き締めてシャープな印象へ「S リフト クリーム」は、気になるシミ・ソバカスを防ぎながら、年齢を重ねるごとにゆるみがちな肌を引き締めてシャープな印象へと導く高機能エイジングケアクリーム。整肌保湿成分V-フォーカス コンプレック配合で、乾燥や紫外線によるダメージが蓄積し、エイジングサインが現われがちな肌のコンディションを整え、美白有効成分4MSKが、肌の奥メラニン生成を効果的に抑制する。「リキッドファンデーション」は、肌の内面まで明るく照らすメーキャップパウダー配合で、透明感のある肌を演出するファンデーション。肌荒れを防ぐスキンケアパウダーを配合。水のように軽い感触でみずみずしく肌広がり、使用後はさらりとしてなめらか仕上がりを実現する。(画像はプレスリリースより)【参考】・資生堂プレスリリース
2015年09月09日