misc.log

日常茶飯事とお仕事と

社内向けセキュリティ関連情報共有メモ

2020/9/24に掲示したものの転記です。

多分もう個別に通知行っているとおもいますが、基本情報技術者試験受けようとしている方は今後の日程等に注意してくださいね。

IPA/ 今秋の基本情報技術者試験(FE)は延期&CBTで

今年の10月実施の試験2つ(情報セキュリティマネジメント/基本情報)は延期され、3月までにPCで受験するCBT形式に切り替えるそうです。
https://www.ipa.go.jp/about/press/20200918.html

Microsoft 9月のセキュリティ更新プログラム

対象製品が皆さんの管理運用されているシステムに入っている場合、パッチ適用で影響がないかなど確認された方がよいかもしれません(設定が変わったり機能が増減したりすることがあるので)。
https://msrc-blog.microsoft.com/2020/09/08/202009-security-updates/

Microsoft Office 2010のサポートが10月13日に終了します

もう無いと思いますが……古いローカルシステムなどが客先などで密かに稼働している場合、セキュリティパッチなどが配布されなくなるので要注意ですね。
https://www.microsoft.com/ja-jp/biz/eos

OfficeとVBAを用いたミニシステムは手軽さと製造コストの低さで魅力ではありますが、システムの寿命がOfficeの寿命とともに尽きるという点が、要件定義や設計段階で見落とされがちなんですよね。あくまで広義の「使い捨て」なんだということを理解してもらうか、「セキュリティパッチ出ませんよ」というリスク要素を受容してもらうか(この場合はきちんと議事を記録して言質を取る必要あり)。そこの説明をきっちり説得力をもって行えるかどうかが、最終的に我々自身を守ることにもなります。

もしどうしても、という場合は、ネットワーク遮断した仮想PCを使えば、Office2010どころかWindows 2000でOffice 97を動かす、なんてことも出来なくはありません。しかし、オンラインでの
ライセンス認証が通らないなどこれも安定稼働させられるかどうかは微妙なので、あくまで最後の手段という感じです。

ウイルスバスタークラウド版のアップデート機能に脆弱性(9/23)

DNSの偽装やなりすましで偽アップデートサーバーに誘導されたり、無線LANの設定が甘いと通信の間に割り込まれて不正アップデートプログラムを送り込まれる可能性が。流石に速攻で対応されているので、ウイルバスターなどの大手製品でもこまめな更新必須ですね。
https://jvn.jp/jp/JVN60093979/

Androidユニクロアプリに偽サイトへ誘導されてしまう脆弱性(9/17)

既に更新版が公開されていますので、利用されている方は自動レジでバーコードを読ませる前に更新を。
https://jvndb.jvn.jp/jvndb/JVNDB-2020-000065

Androidヨドバシカメラアプリに偽サイトへ誘導されてしまう脆弱性(9/7)

ユニクロ同様ですね。Androidがもつintentという機能でURLを開くよう指定された際に、アプリがそのサイトを無条件に開いてしまうような「緩い処理」になっていることが原因のようです。更新版出てますのでヨドバシ行く前にどうぞ。
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000062.html