United States Computer Emergency Readiness Team (US-CERT)は10月27日(米国時間)、「Adobe Releases Security Update for Shockwave Player|US-CERT」において、Adobe Shockwave Playerに脆弱性が存在することを伝えるとともに、該当するプロダクトを使っている場合は必要に応じてアップデートを適用するように呼びかけた。この脆弱性を突かれると、影響を受けたシステムの制御権が乗っ取られる可能性がある。脆弱性が存在するプロダクトおよびバージョンは次のとおり。Adobe Shockwave Playerバージョン12.2.0.162およびこれよりも前のバージョン(Windows版、Macintosh版)United States Computer Emergency Readiness Teamはユーザや管理者に対して「Adobe Security Bulletin|Security update available for Adobe Shockwave Player|Vulnerability identifier: APSB15-26」の内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。
2015年10月28日NTTコミュニケーションズは、同社が提供するMVNOサービス「OCN モバイル ONE」の音声通話SIMカードをMNPで申し込む際に、端末が使用できなくなる期間を解消するサービス「らくらくナンバーポータビリティ」を29日より提供する。これまで、MNPで「OCN モバイル ONE」の音声通話SIMカードを契約する際、開通作業のため新たなSIMカードがユーザーの手元に届くまで、携帯電話サービスが利用できない期間が存在していた。29日より提供する「らくらくナンバーポータビリティ」では、新たなSIMカードが到着した後に、ユーザーの任意のタイミングで開通作業が行える。NTTコミュニケーションズは、同サービスにより不通期間が解消され、よりスムーズにSIMの移行ができるとしている。また、音声通話対応のSIMカードを契約する際には、本人確認書類の提示が必要なため、ユーザー自身が撮影した本人確認書類の写真をWebサイトにアップロードしなければならなかった。29日申込分からは、SIMカードの配送時、配送員に本人確認書類(運転免許証/パスポート/健康保険証/年金手帳/在留カード/特別永住者証明書のいずれか)を提示すれば、本人確認が完了するサービスも提供される。
2015年10月27日United States Computer Emergency Readiness Team (US-CERT)は10月21日(米国時間)、「Apple Releases Multiple Security Updates」において、Appleのプロダクトに複数のセキュリティ脆弱性が存在することを指摘するとともに、必要に応じてアップデートを適用するように呼びかけた。脆弱性が存在するプロダクトおよびバージョンは次のとおり。OS X Server 5.0.15 for OS X Yosemite v10.10.5OS X Server 5.0.15 for OS X El Capitan v10.11.1またはこれよりも後のバージョンXcode 7.1 for OS X Yosemite v10.10.5またはこれよりも後のバージョンMac EFI Security Update 2015-002 for OS X Mavericks v10.9.5iTunes 12.3.1 for Windows 7およびこれよりも後のバージョンOS X El Capitan 10.11.1Security Update 2015-007 for OS X Mavericks v10.9.5Security Update 2015-007 for OS X Yosemite v10.10.5Security Update 2015-007 for OS X El Capitan v10.11Safari 9.0.1 for OS X Mavericks v10.9.5Safari 9.0.1 for OS X Yosemite v10.10.5Safari 9.0.1 for OS X El Capitan v10.11watchOS 2.0.1 for Apple WatchiOS 9.1 for iPhones 4sおよびこれよりも後のバージョンiOS 9.1 for iPod Touch 5th generationおよびこれよりも後のバージョンiOS 9.1 for iPad 2およびこれよりも後のバージョンこれら脆弱性を悪用されると、遠隔からの攻撃で影響を受けたシステムの制御権を乗っ取られる危険性がある。該当するプロダクトを使用している場合は、迅速にアップデートを適用することが望まれる。
2015年10月23日United States Computer Emergency Readiness Team (US-CERT)は10月13日(米国時間)、「Adobe Releases Security Updates for Reader, Acrobat, and Flash Player|US-CERT」において、Adobe Flash Player、Adobe Reader、Adobe Acrobatに複数の脆弱性があると伝えた。これら脆弱性を悪用されると、影響を受けたシステムの制御権を乗っ取られる危険性がある。報告されているセキュリティアドバイザリは次のとおり。Adobe Security Bulletin|Security Updates Available for Adobe Acrobat and Reader|Vulnerability identifier: APSB15-24Adobe Security Bulletin|Security updates available for Adobe Flash Player|Vulnerability identifier: APSB15-25今回のアップデートでは70近い脆弱性が修正されている。United States Computer Emergency Readiness Teamでは上記セキュリティアドバイザリの内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。
2015年10月15日United States Computer Emergency Readiness Team (US-CERT)は9月15日(米国時間)、「WordPress Releases Security Update」において、WordPressに2つのクロスサイト・スクリプティングの脆弱性が存在すると伝えるとともに、該当するプロダクトを使用している場合はアップグレードを適用するように呼びかけた。脆弱性が存在するプロダクトおよびバージョンは次のとおり。WordPress 4.3.0およびこれよりも前のバージョンこの脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたWebサイトの制御権を乗っ取られる危険性がある。United States Computer Emergency Readiness Teamはユーザや管理者に対して「WordPress 4.3.1 Security and Maintenance Release」の内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。WordPressは世界中で最も広く使われているCMSと推定されている。シェアが高いだけに脆弱性が狙われやすく、WordPress自身も脆弱性が発見されやすいソフトウェアとなっている。WordPressを使用している場合はプロジェクトが発表するセキュリティ情報に注目するとともに、セキュリティ情報が公開された場合は迅速に対応を取ることが望まれる。
2015年09月16日United States Computer Emergency Readiness Team (US-CERT)は9月8日(米国時間)、「Microsoft Releases September 2015 Security Bulletin」において、MicrosoftからWindowsに存在する脆弱性を修正するための12のアップデートが公開されたことを伝えた。脆弱性の1つは攻撃者によって影響を受けたシステムの制御権が乗っ取られるというものであるため、特に注意が必要。修正される脆弱性およびアップデートの内容は次のページで確認できる。Security TechCenter|Microsoft Security Bulletin Summary for September 2015United States Computer Emergency Readiness Teamはユーザや管理者に対して上記ページの内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。アップデートはWindows Updateなどを通じて適用することができる。
2015年09月10日United States Computer Emergency Readiness Team (US-CERT)は9月8日(米国時間)、「Adobe Releases Security Update for Shockwave Player|US-CERT」においてAdobe Shockwave Playerに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。脆弱性が存在するプロダクトおよびバージョンは次のとおり。Adobe Shockwave Player 12.1.9.160およびこれよりも前のバージョンUnited States Computer Emergency Readiness Teamはユーザや管理者に対してAdobe Security Bulletin|Security update available for Adobe Shockwave Player|Vulnerability identifier: APSB15-22」の内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。
2015年09月10日United States Computer Emergency Readiness Team (US-CERT)は8月28日(米国時間)、「Controlling Outbound DNS Access」において、ネットワーク内部からパブリックに公開されているDNSサーバへのトラフィックの増加が観測されたとして注意を呼びかけている。内部ネットワークから直接外部のDNSサーバへアクセスすることはセキュリティ上のリスクにつながるとして、その危険性を説明している。企業内ネットワークなどにおいて、内部に設置された制御下にあるDNSサーバを使うのではなく外部のDNSサーバを直接利用した場合は、企業が想定していないリスクが発生する危険性がある。「Controlling Outbound DNS Access」では、外部のDNSサーバに直接クエリを投げるといったことをネットワークレベルで動作しないようにするなど、DNSクエリに関するセキュリティを強化することを推奨している。外部のDNSサーバを直接使用することはセキュリティに加えて、効率もよくない。企業内ネットワークにセキュリティ・フィルタリングなどの機能を有効にしたDNSサーバを設置すること、外部のDNSサーバを直接利用できないようにすること、企業内のクライアントは基本的に社内のDNSサーバを使って名前解決を実施するように設定すること、などの運用が望まれる。
2015年09月01日United States Computer Emergency Readiness Team (US-CERT)は8月28日(米国時間)、「Adobe Releases Security Update for ColdFusion|US-CERT」において、Adobe SystemsのColdFusionに脆弱性が存在しており、この脆弱性を悪用されると遠隔から機密情報の窃取などが実施される危険性があると伝えた。脆弱性が存在するプロダクトおよびバージョンは次のとおり。ColdFusion 11 Update 5およびこれよりも前のバージョンColdFusion 10 Update 16およびこれよりも前のバージョンまた、Adobe SystemsのUnited States Computer Emergency Readiness Teamはユーザや管理者に対し、「Adobe Security Bulletin|Security Update: Hotfix available for ColdFusion|Vulnerability identifier: APSB15-21」の内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。
2015年08月31日United States Computer Emergency Readiness Team (US-CERT)は8月27日(米国時間)、「Mozilla Releases Security Updates for Firefox」において、FirefoxおよびFirefox ESRのセキュリティ修正版が公開されたことを伝えるとともに、ユーザに対して必要に応じてアップデートを適用するように呼びかけた。提供が開始された修正版のバージョンは次のとおり。Firefox 40.0.3Firefox ESR 38.2.1今回修正対象の脆弱性はクリティカルと位置づけられており、遠隔からの攻撃によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。United States Computer Emergency Readiness Teamではセキュリティアドバイザリ(Firefox 40.0.3、Firefox 38.2.1)をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
2015年08月28日United States Computer Emergency Readiness Team (US-CERT)は8月13日(米国時間)、「Apple Releases Security Updates for OS X Server, iOS, Safari, and Yosemite」において、Appleプロダクト(OS X Server、iOS、Safari、OS X Yosemiteなど)に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、影響を受けたシステムが乗っ取られる危険性がある。Appleから提供されているアップデートは次のとおり。iOS 8.4.1 (iPhone 4sおよびこれ以降のプロダクト)iOS 8.4.1 (第5世代iPod touchおよびこれ以降のプロダクト)iOS 8.4.1 (iPad 2およびこれ以降のプロダクト)OS X Yosemite v10.10.4向けSafari 8.0.8OS X Mavericks v10.9.5向けSafari 7.1.8OS X Mountain Lion v10.8.5向けSafari 6.2.8OS X Yosemite v10.10.5およびこれ以降のプロダクト向けOS X Server v4.1.5OS X Yosemite v10.10.5OS X Mountain Lion v10.8.5向けセキュリティアップデート2015-006OS X Mavericks v10.9.5向けセキュリティアップデート2015-006OS X Yosemite v10.10からv10.10.4向けセキュリティアップデート2015-006United States Computer Emergency Readiness TeamではAppleから提供されているセキュリティアップデートの内容(About the security content of OS X Server v4.1.5、About the security content of iOS 8.4.1、About the security content of Safari 8.0.8, Safari 7.1.8, and Safari 6.2.8、About the security content of OS X Yosemite v10.10.5 and Security Update 2015-006)を確認するとともに、必要に応じてアップデートを適用することを推奨している。
2015年08月17日フローフシは9月1日(予定)、「モテマスカラONEリフトアップ」(税別2,700円)を発売する。発売に先駆けこのほど、期間限定POP UP SHOP「MOTEMASCARA ONE PLAY」を東京都・表参道ヒルズ R-Studioにオープンした。同社は、"美容"をテーマに業界革命を起こすことをテーマとしたプロジェクト「FLOWFUSHI 5」を展開。その第3弾企画としてマスカラを発売する。同商品は、保湿成分のエンドミネラル(ガーネット末)を配合。さらに、目もとの印象をピンと上げる新機能を加え、メイクやまつ毛ケア以外にも使いたくなる商品になっているとのこと。POP UP SHOPでは、同商品を先行発売(売り切れ次第、販売終了)。また、同商品を景品として設置したUFOキャッチャー(1回・税込100円)も用意している。8月9日までの期間限定で、営業時間は11時~20時。
2015年08月06日United States Computer Emergency Readiness Team (US-CERT)は7月31日(現地時間)、「Best Practices to Protect You, Your Network, and Your Information」において、情報漏洩といったサイバー攻撃のリスクを低減させるためのベストプラクティスを公開した。サイバー・セキュリティとはリスク管理のことであり、適切な行動を取ることできわめて効果的な防御が行えると説明している。紹介されているベストプラクティスは次のとおり。2段階認証を実施する。2段階認証を使用することでアクセス権限を持たないものからのアクセスを大幅に防ぐことができる許可されていないアプリケーションのインストールを禁止するといったアプリケーション・ディレクトリ・ホワイト・リスティング機能を有効にして不正なコードが実行されることを防止する特権ユーザに全権限を与えるのではなく、必要な限られた権限のみを付与するようにする信頼関係にあるサードパーティがネットワークを共有している場合、ここがセキュリティのボトルネックになる可能性がある。こうしたネットワークにおいてベストプラクティスが適用され、ちゃんと保護された状態にあるかを確認しておくサイバー攻撃は巧妙さを増しつつあるうえ、長きにわたり修正されないソフトウェアの存在によって、攻撃者が悪用できるリソースがあふれているのが現状だ。セキュリティ対策は一度実施すれば終わりというものではなく、日々継続的に実施する必要がある。情報漏洩が企業活動に致命的な影響を与える今日、セキュリティ対策はビジネスと並んで重要な課題になっている。
2015年08月05日表参道ヒルズ株式会社フローフシは、「モテマスカラ ONE リフトアップ」の世界販売に先駆け、POP UP SHOP「MOTEMASCARA ONE PLAY」を「表参道ヒルズR-Studio」にオープンする。7月31日(金)から8月9日(日)までの期間限定。営業時間は11:00~20:00。「モテマスカラ ONE リフトアップ」は、創立5周年を迎える株式会社フローフシの最高傑作だ。POP UP SHOP「MOTEMASCARA ONE PLAY」POP UP SHOPでは、「~Enjoy Beautiful Inovation~『革新と楽しさ』」がコンセプト。「モテマスカラ ONE リフトアップ」の世界先行販売や、ワンプレイ100円で、「モテマスカラ ONE リフトアップ」の獲得に挑戦できるUFOキャッチャーなどが用意されている。機会限定で「モテマスカラ ONE リフトアップ」を手にとって体験できるチャンスだ。販売数量には限りがあるため、お早めに。モテマスカラ ONE リフトアップ「モテマスカラ ONE リフトアップ」は9月1日(火)発売。5g、2,700円(税抜き)で、カラーはブラック。原料・素材・容器・ブラシなど技術や素材を厳選。大量生産を目的としておらず、一ヶ月の生産量を厳選している。エンドミネラルを300%配合し、これまでのマスカラには無い「目元の印象をピンと上げる」新機能を搭載している。(画像はプレスリリースより)【参考】・世界先行発売!『モテマスカラONE』POP UP SHOP表参道ヒルズR-Studioに期間限定オープン
2015年07月17日United States Computer Emergency Readiness Team (US-CERT)は6月25日(米国時間)、「Cisco Releases Security Updates|US-CERT」において、シスコシステムズの複数のプロダクトに脆弱性が存在することを指摘するとともに、該当するプロダクトを使用している場合はアップデートを適用するよう呼びかけている。脆弱性が存在すると指摘されているプロダクトは次のとおり。Cisco Web Security Virtual Appliance (WSAv)Cisco Email Security Virtual Appliance (ESAv)Cisco Content Security Management Virtual Appliance (SMAv)ソフトウェア版この脆弱性を悪用されると、認証されていないコネクションが特権ユーザの権限で利用できるようになるおそれがあり、最終的に通信内容を傍受される危険性がある。United States Computer Emergency Readiness Teamでは「Cisco Security Advisory|Multiple Default SSH Keys Vulnerabilities in Cisco Virtual WSA, ESA, and SMA|Advisory ID: cisco-sa-20150625-ironport」の内容をチェックするとともに、該当するプロダクトを使用している場合はアップデートを適用することが望ましい。
2015年06月26日United States Computer Emergency Readiness Team (US-CERT)は6月16日(米国時間)、「Adobe Releases Security Updates for Multiple Products|US-CERT」において、Adobe Photoshop Creative CloudおよびBridge CCに複数の脆弱性が存在することを伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権を乗っ取られる危険性があり、注意が必要。各脆弱性の詳細は次のページで説明されている。Adobe Security Bulletin|Security update available for Adobe Photoshop CC|Vulnerability identifier: APSB15-12Adobe Security Bulletin|Security update available for Adobe Bridge CC|Vulnerability identifier: APSB15-13US-CERTはユーザや管理者に対して上記の内容を確認するとともに、該当するプロダクトを使用している場合はアップデートを実施することを呼びかけている。
2015年06月18日US-CERTは5月14日(米国時間)、「Cisco Releases Security Advisories for TelePresence Products」において、CiscoのTelePresenceプロダクトに複数のセキュリティ脆弱性があることを伝えた。この脆弱性を悪用されると、認証をバイパスしてシステムにアクセスして特権権限で任意のコードが実行されたり、DoS攻撃を実施されたりする危険性がある。この脆弱性の影響を受ける製品は次のとおり。Cisco TelePresence MXシリーズCisco TelePresence System EXシリーズCisco TelePresence Integrator CシリーズCisco TelePresence ProfilesシリーズCisco TelePresence Quick SetシリーズCisco TelePresence System TシリーズCisco TelePresence VX Clinical AssistantCisco TelePresence Advanced Media GatewayシリーズCisco TelePresence IP GatewayシリーズCisco TelePresence IP VCRシリーズCisco TelePresence ISDN GatewayCisco TelePresence MCU 4200シリーズCisco TelePresence MCU 4500シリーズCisco TelePresence MCU 5300シリーズCisco TelePresence MCU MSE 8420Cisco TelePresence MCU MSE 8510Cisco TelePresence Serial GatewayシリーズCisco TelePresence Server 7010Cisco TelePresence Server MSE 8710Cisco TelePresence Server on Multiparty Media 310Cisco TelePresence Server on Multiparty Media 320Cisco TelePresence Server on Virtual MachineUS-CERTはユーザや管理者に対して「Cisco Security Advisory| Multiple Vulnerabilities in Cisco TelePresence TC and TE Software|Advisory ID: cisco-sa-20150513-tc」および「Cisco Security Advisory|Command Injection Vulnerability in Multiple Cisco TelePresence Products|Advisory ID: cisco-sa-20150513-tp」において脆弱性の情報を確認するとともに、必要に応じてアップデートを適用することを推奨している。
2015年05月15日US-CERTは5月12日(米国時間)、「Microsoft Releases May 2015 Security Bulletin|US-CERT」において、MicrosoftからWindowsの脆弱性を修正するアップデートの提供が始まったとしして、必要に応じてアップデートを実施するよう注意を喚起した。今回のアップデートでは、13の脆弱性が修正されると説明されている。これら脆弱性を悪用されると特権昇格、DoS攻撃、遠隔からのコードの実行、情報漏洩、セキュリティ機能の回避といった操作を実施される危険性がある。US-CERTではユーザや管理者に向けて「Microsoft Security Bulletin Summary for May 2015」において脆弱性の内容を確認するとともに、必要に応じてアップデートを適用することを推奨している。周知のとおり、Windows XPはすでにこうしたセキュリティアップデートの対象から外れている。依然としてWindows XPを使用している場合はセキュリティサポートが提供されているより新しいオペレーティングシステムへ移行することが望まれる。
2015年05月13日US-CERTは4月23日(米国時間)、「WordPress Releases Security Update|US-CERT」において、WordPress 4.1.1およびこれよりも前のバージョンに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用された場合、遠隔から攻撃者によってサイトに不正侵入される危険性がある。US-CERTでは「WordPress 4.1.2 Security Release」にて脆弱性の内容を確認するとともに、該当する場合は脆弱性が修正されたWordPress 4.1.2へアップグレードすることを推奨している。WordPressは最も広く使われているCMSの1つ。脆弱性を突かれやすいソフトウェアでもあるため、WordPressを使用している場合は迅速にアップデートを適用することが望まれる。またWordPressは、W本体の脆弱性のみならず、後から追加されるプラグインやスキンなどの脆弱性が突かれやすいソフトウェアとしても知られている。したがって、WordPressをアップデートするとともに、使用しているプラグインやスキンなどのセキュリティ情報を調査し、必要があればアップデートを適用することが望まれる。なお、プラグインやスキンはすでに開発が終了し、セキュリティサポートが提供されていないものも少なくない。すでに開発が終了したプラグインやスキンを使用している場合、セキュリティサポートが提供されているほかのプラグインやスキンへ移行することが推奨される。
2015年04月24日US-CERTは4月15日(米国時間)、「Simda Botnet|US-CERT」において、すでに77万台以上のPCが感染しているボットネット「Simda」に関して注意するように呼びかけた。Simdaは2009年から活動が観測されているマルウェアで、セキュリティ脆弱性を突いてWindowsプラットフォームに感染。ユーザの機密情報を入手したり、ほかのマルウェアを感染させて別の攻撃に利用するためのプラットフォームとして機能したりするなど、さまざまな被害をもたらしており、世界中で感染が確認されているボットネットと言われている。US-CERTではSimdaに「感染しない」または「駆逐する」ための手段として、次の方法を推奨している。システムがSimdaに感染しているかどうか、Webサービスなどでチェックするアンチウィルス・ソフトおよびアンチマルウェア・ツールを使用する。こうしたソフトやツールは常に最新のバージョンにアップデートし続ける感染時にパスワードを入手された可能性があるため、パスワードを変更するオペレーティングシステムおよびアプリケーションを常に最新のバージョンへアップデートし続ける先日、Microsoftを含む各種ベンダと各国の当局の協力によって、Simdaボットネットを閉鎖した旨が発表されている。今後、Simdaが拡大する可能性は低いものと見られ、すでに感染しているPCにおけるSimdaの駆逐が進められることが望まれる。
2015年04月16日US-CERTは4月14日(米国時間)、「Microsoft Releases April 2015 Security Bulletin|US-CERT」において、MicrosoftがWindowsの複数のセキュリティ脆弱性を修正するアップデートの提供を開始したことを取り上げ、ユーザや管理者に対して内容を確認したうえで必要に応じてアップデートを実施することを呼びかけている。2015年4月のアップデートでは特権昇格、DoS攻撃、遠隔からのコード実行、機密情報の漏洩、セキュリティ機能回避の脆弱性といった複数の脆弱性が修正されている。Windows Updateなどを通じてアップデートを実施できるため、特別な理由がない限りアップデートを適用することが望まれる。Net Applicationsの報告によれば、2014年3月時点におけるデスクトップ向けオペレーティングシステムのシェアはWindows 7が58.04%でトップ。これに16.94%のWindows XPが続いている。Windows XPはすでにセキュリティパッチの提供が終了しており、脆弱性を抱えたままの状態で1年も使われ続けていることになる。依然としてWindows XPを使用している場合は、セキュリティアップデートの提供されているほかのオペレーティングシステムへ早期に移行することが望まれる。
2015年04月15日アメリカン航空は現地時間の4月8日、アメリカン航空とUSエアウェイズが米国連邦航空局(FAA)から運航の一元化認可を取得したことを発表した。アメリカン航空とUSエアウェイズは2013年12月に合併。USエアウェイズは2014年3月にスターアライアンスを脱退し、アメリカン航空が加盟するワンワールドに加盟している。今回、両社は18カ月以上かけてFAAから単一の許可証の取得した。この決定により、両社それぞれのポリシーと業務手順が一本化され、4月8日から全てのフライト、メンテナンス、および運航管理(ディスパッチ)業務の大半が同一化された。航空管制の連絡には、アメリカン航空とUSエアウェイズの全ての便に対して「American」というコールサインが適用される。両社から持ち寄られた465種類のマニュアルやポリシー、業務手順、およびプログラムのうちどれが新たに統一された航空会社にとってふさわしいかの検証・選択を実施。また、11万人を超える従業員が複数のフェーズにわたる数十万時間相当のトレーニングを完了し、11万5,000ページを超える新たなポリシーと業務手順を発令した。なお、今回の運航の一元化認可による利用者への直接的な影響はなく、今年中に単一の予約システムに移行するまでの間、引き続き両社のホームページやチケットカウンターにてチェックインができる。
2015年04月10日US-CERTは4月9日(米国時間)、「WP Super Cache Cross-Site Scripting (XSS) Vulnerability」において、WordPressのプラグインである「WP Super Cache」の特定のバージョンに永続的に機能するクロスサイトスクリプティングの脆弱性が存在すると伝えた。この脆弱性を悪用されると、影響を受けたシステムの制御権を乗っ取られる危険性がある。この脆弱性が存在するのは「WP Super Cache」のバージョン1.4.4よりも前のバージョン。US-CERTでは、WordPressのユーザーや管理者に対し脆弱性の内容を確認するとともに、脆弱性が存在するバージョンを使っている場合はバージョン1.4.4へアップグレードすることを推奨している。WordPressは世界中で使われているCMSであり、脆弱性を突いた攻撃が実施されやすいソフトウェアとしても知られている。WordPress自体の脆弱性ではなく、WordPressで使われるプラグインやテーマの脆弱性が悪用されることが多い。WordPressを使用している場合は、WordPressのみならず、使用しているプラグインやテーマについてもセキュリティ情報をチェックしておくことが推奨される。
2015年04月10日Firefoxの最新版となるFirefox 37は先日リリースされたばかりだが、米Mozillraはこの最新版に2つの脆弱性が存在することを発表した。US-CERTはこれを受けて4月6日(米国時間)、「Mozilla Releases Security Update for Firefox|US-CERT」において、ユーザや管理者へ向けてセキュリティアドバイザリの内容をチェックするとともに、必要に応じてアップデートを実施するように呼びかけた。発見された脆弱性の1つはSSL証明書の検証をバイパスできてしまうというもの。HTTP/2のレスポンスヘッダにAlt-Svcヘッダが指定されている場合、指定された代替サーバに対する検証処理が実施されず、不正なSSL証明書であっても警告が表示されなくなる危険性があるとされている。この脆弱性を悪用されると、不正なSSL証明書を使って正規のサイトのように見せかけ、中間者攻撃(Man-In-The-Middle Attack)が行われる危険性がある。この脆弱性はFirefox 37.0.1で修正されている。該当するバージョンを使用している場合は迅速に最新版へアップグレードすることが推奨される。
2015年04月08日US-CERTは3月31日(米国時間)、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird」において、Mozilla Foundationからセキュリティ脆弱性を修正した最新の「Firefox」「Firefox ESR」「Thunderbird」が公開されたことを指摘。Firefoxを利用している場合は、セキュリティアドバイザリをチェックするとともに、必要に応じてアップデートを実施することが推奨されている。公開された最新版のバージョンは次のとおり。Firefox 37Firefos ESR 31.6Thunderbird 31.6修正された脆弱性の中には、遠隔からの攻撃によって影響を受けたシステムが乗っ取られる危険性があるものがあり注意が必要。ESRは企業での利用を想定してリリースされた長期サポートバージョン。ローリングリリースとなっている最新版のみならず、ESR版も適切にアップデートを実施していくことが望まれる。
2015年04月01日US-CERTは3月12日(米国時間)、「Adobe Releases Security Updates for Flash Player|US-CERT」において、Adobe Flash Playerに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃を受けてシステムが乗っ取られる危険性がある。この脆弱性が存在するFlash Playerのバージョンは次のとおり。Adobe Flash Player 16.0.0.305およびこれよりも前のバージョンAdobe Flash Player 13.0.0.269およびこれよりも前の13系バージョンAdobe Flash Player 11.2.202.442およびこれよりも前の11系バージョン脆弱性の詳細は「Security updates available for Adobe Flash Player|Adobe Security Bulletin」にまとめられている。US-CERTは脆弱性の内容をチェックするとともに、必要に応じてアップデートを実施することを推奨している。Adobe Flash Playerは脆弱性が発見されることが多く、適切にアップデートを継続することが望まれる。
2015年03月13日3月5日、六本木・CoLoR TOKYO NIGHT CAFEにて、雑誌『GOLD』『LEON』各編集部協力のもと、「The eve of F1 エキサイティングナイト」がおこなわれました。これは現在開催中の「The F1展~華麗なるフォーミュラ・ワンの世界~」のオープニング記念イベントです。ゲストとして、ファッションモデル・タレントの平子理沙さん、モデルの相沢沙世さん、生方ななえさん、パンツェッタ・ジローラモさんが登場しました。イベントは、『GOLD』の内山編集長と『LEON』の前田編集長による乾杯からスタート。F1優勝者が表彰台でおこなうシャンパンファイトに使われるF1公式シャンパン「MUMM」が特別に提供されました。そして、実はデビューがF1リポーターという平子さんとジローラモさん、そして前田編集長が「F1スペシャルトークショー」を繰り広げました。平子さんが91年のブラジルグランプリの思い出について語ると、前田編集長がそれを受けてマニアックな話をするなど、F1への熱い想いを披露。何度も観戦の経験があるジローラモさんも交え、間近に迫った開幕に対する期待感溢れるトークでした。続いておこなわれたのは、女性誌『GOLD』のモデルの相沢さん、生方さんによる、「F1モナコ・グランプリ観戦ファッション」をテーマとした「F1ファッションスペシャルステージ」。内山編集長によるスタイリングで、相沢さんはモナコ・グランプリ観戦スタイルのラグジュアリーな白いワンピース姿で、生方さんはシンガポール・グランプリ観戦スタイルのピンクのギンガムチェックのパンツスタイルで登場しました。世界中でおこなわれるF1グランプリだけに、各国に合ったスタイルで観戦するのも、女性らしいF1の楽しみ方かもしれません。さらに、90年代に一世を風靡したDJ OSSHYによるディスコタイムがスタート。F1が最も盛り上がっていた90年代を彷彿とさせる音楽で、会場全体が盛り上がりました。F1は、今年、新たにHondaがチャレンジすることもあり、ブームの再来が予想されます。「The F1展」に足を運んで、ブームに先駆けてF1についてチェックしておくとよさそうです。「The F1展」は、西武池袋本店、西武渋谷店、そごう横浜店で開催中(会期は3月4日~15日まで※横浜店は9日まで)です。それぞれテーマが異なっており、西武池袋本店では「学ぶ」をテーマに、1964年日本の自動車メーカーとして初めてF1に参戦したHondaの歴史を、写真やレーシングスーツなど貴重なF1アイテムで振り返ります。西武渋谷店は「感じる」がテーマ。F1マシンの軌跡を光で再現し、床と壁を縦横無尽に駆け巡る光のインスタレーション(装置)で、時速300kmでサーキットを疾走するF1マシンのスピードを体感できます。「遊ぶ」をテーマにしたそごう横浜店では、2008年にサーキットで活躍したRA108のコックピットに乗って写真を撮れるイベント(小学生以下限定)のほか、1/32スケールのF1マシンを自らコントローラーを操作してコースを走らせることのでこるスロットカーレースなど、子ども楽しめるコンテンツが多数用意されています。2015年F1グランプリの開幕は、3月13日です。今年はモータースポーツの最高峰であるF1から目が離せなくなりそうです。・Honda 公式サイト
2015年03月06日MVNOサービスOCN モバイル ONEにて行われていた「OCN モバイル ONE音声対応SIMカード追加手数料無料キャンペーン」の終了期間が2ヶ月延長となり、3月31日までとなりました。維持費の安さはもとより、このキャンペーンを使えば初期費用も抑える事ができます。お子様にスマートフォンを持たせることを検討している方、新生活用に追加で番号が欲しいと言う方にピッタリのキャンペーンではないでしょうか。今回は改めてキャンペーンの内容を確認してみたいと思います。○キャンペーンの内容キャンペーンの内容は以下の通りです。ざっくりとまとめると「キャンペーン期間中に」「OCN モバイル ONEユーザーが」「専用のWEB・電話で」「音声対応SIMカードを追加で申し込むと」「手数料3,240円が無料になる」と言うものです。OCN モバイル ONEの音声プランの最低月額料金を考えると「約2ヶ月分が無料」と言う事になりますので、気になっている方はこのキャンペーン期間中に申し込んだ方がいいと思います。○どんな人にオススメ?今回のキャンペーンは必然的にOCN モバイル ONEを2回線以上使う事を想定としたものですので、利用ケースがいくつか想定できます。ケース1:この春お子さんにはじめてスマートフォンを持たせる家庭お父さん・お母さんが既にOCN モバイル ONEユーザーで、お子さんがこの春スマートフォンデビューをするケース。大手携帯会社も学割キャンペーンを開始していますが、月額料金の安さ、最低利用期間が6ヶ月と短い事、そして今回の手数料無料キャンペーンは「デビュー」にはかなり魅力的な条件ではないでしょうか。ケース2:この春社会人デビュー既にOCN モバイル ONEユーザーでこの春に社会人デビュー、仕事用の電話番号を別で持ちたいというケース。仕事とプライベートは分けたいという考えの若い方も多いと思いますが、最初から電話番号を分けて管理することで、なし崩しで休日に仕事の電話がかかってくる事を防げると思います。2台維持しても料金は安いですし、使える通信容量も増えますね。大きく分けるとこの2つじゃないでしょうか。キャンペーンの終了期間まで約1ヶ月半ありますので、家族会議などをして検討する事をオススメします。もちろん、データ用のSIMカードを廃止するという考え方もOK。どのように使うかをしっかりと吟味しましょう。○まとめ今回のキャンペーンで無料になる金額そのものは3,240円ですので、大手携帯会社が行うような「◯◯のお客様は▲万円無料!!」と言うキャンペーンと比較する物足りなさを感じるかもしれません。しかし、もともと無駄を全て削って低下価格を実現しているMVNOがキャンペーンで更に手数料を無料にすると言う事は「ボクサーの減量」に近いストイックさがあります。OCN モバイル ONEをはじめ、他のMVNOサービスのキャンペーンも注目していきたいところです。※文中の金額は全て税込■ 記事提供:SIM通SIMフリー端末、SIMカード比較、格安SIM情報など、あなたのスマホライフに使える、役立つ、得する情報をお届けします! SIMカードをはじめとするお困りごとは「教えて!goo」で解決!
2015年02月27日US-CERTは2月24日(米国時間)、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird」において、Mozilla Foundationから複数のプロダクトの脆弱性を修正するアップデートプログラムが公開されたことを伝えた。ユーザにはセキュリティアドバイザリを確認するとともに必要に応じてアップデートを実施するよう注意喚起している。アップデート版の提供が開始されたプロダクトは次のとおり。Firefox 36Firefox ESR 31.5Thunderbird 31.5これらの脆弱性を悪用されると、リモートから機密情報を盗まれたり、影響を受けたシステムで任意のコードが実行されたりする危険性がある。今回アップデートが提供されたプロダクトには企業で多く利用されているプロダクトも含まれており、迅速なアップデートが推奨される。
2015年02月25日US-CERTは2月24日(米国時間)、「Samba Remote Code Execution Vulnerability」において、Samba 3.5.0からSamba 4.2rc4までのバージョンに脆弱性が存在すると伝えた。この脆弱性を悪用されると、該当するプロダクトが動作しているLinuxやUNIX系のオペレーティングシステムが乗っ取られる危険性がある。US-CERTではLinuxベンダなど、使用しているディストリビューションのベンダが提供するアップデートなどに注意し、提供が開始された場合は迅速にアップデートを実施することを推奨している。すでにDebian、Red Hat、Ubuntuはアップデートの提供を開始しているほか、Sambaプロジェクトからパッチも提供されているため、ビルドすることで対応可能。SambaはWindowsやMac OS X、LinuxやUNIX系オペレーティングシステムが混在する環境でファイルサーバを構築する場合などに採用されることが多いソフトウェアで、幅広いシーンで採用されている。Linuxディストリビューションのみならず組み込み機器などでも利用されることがあり、各ベンダからのアップデートの発表に留意する必要がある。
2015年02月25日