皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Microsoft（マイクロソフト）は2019年7月29日（米国現地時間）、全ての『コードサンプル』が閲覧できるポータルサイトの解説を発表しました。

今日はそれについてお伝えします。

Microsoftの全コードサンプルが閲覧可

今回、Microsoft（マイクロソフト）は開発者向けに『サンプルコード』のポータルサイトを公開しています。

これは、Microsoft製品やサービスを使用するか否かにかかわらず、開発者に役立つ『コードサンプル』が簡単に見つけられるというものです。

現状、『Browse code samples』というタイトルがつけられており、

『Browse code samples / https://docs.microsoft.com/ja-jp/samples/browse/』

ここにアクセスすれば閲覧できます。

言語的には、ASP.NET (C#)、Azure CLI、Azure PowerShell、C、C++、C++/WinRT、C#、F#、Go、HTML、Java、JavaScript、JSON、Node.js、Objective-C、PHP、PowerShell、Python、HTTP、Ruby、Scala、Solidity、SQL、Swift、TypeScript、U-SQL、VB、XAML、XML、YAMLからフィルタリングでき、

製品的には、.NET、Azure、Office、Powerプラットfホーム、Skype、Visual Studio、Windowsからフィルタリングできるようになっています。

もちろん検索ボックスもあります。

また、この『コードサンプル』は全て『GitHub』でホストされているということで、『コードサンプル』にバグが見つかった場合は『GitHub』のイシューに投稿すれば管理チームが目を通すようになっているとのことです。

ご参考までに。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2019年7月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Internet Explorer

・Microsoft Edge

・Microsoft Office、Microsoft Office Services および Web Apps

・Azure DevOps

・オープン ソース ソフトウェア

・.NET Framework

・Azure

・SQL Server

・ASP.NET

・Visual Studio

・Microsoft Exchange Server

また、深刻度が『緊急』のものには以下のものがあります。

・Windows DHCP Server のリモートでコードが実行される脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Internet Explorer のメモリ破損の脆弱性

・Azure DevOps Server と Team Foundation Server のリモートでコードが実行される脆弱性

・GDI+ のリモート コードが実行される脆弱性

・Microsoft ブラウザーのメモリ破損の脆弱性

・.NET Framework のリモート コードが実行される脆弱性

以上となります。

最後に、深刻度が『重要』のものにおいて脆弱性の悪用が確認されているものもありますので、早い段階にてセキュリティ更新プログラムの適用を行うことが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた通り、今日は多くの脆弱性情報をまとめてお伝えします。

PHPやWindows等における脆弱性情報

1月17日、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

１．複数のMicrosoft製品に脆弱性

複数のMicrosoft製品に脆弱性があり、遠隔の第三者が任意のコードを実行するなどの可能性がある。

対象は、Internet Explorer / Microsoft Edge / Microsoft Windows / Microsoft Office、Microsoft Office ServicesおよびWeb Apps / ChakraCore / .NET Framework / ASP.NET / Microsoft Exchange Serve / Microsoft Visual Studio / Skype for Business / Team Foundation Server。

Microsoft Updateなどにて更新プログラムを適用することで解決。

当プログ掲載：『2019年1月のセキュリティ更新』

２．複数のAdobe製品に脆弱性

Adobe ConnectおよびAdobe Digital Editionsに脆弱性があり、第三者が機微な情報を取得する可能性がある。

対象は、Adobe Connect 9.8.1およびそれ以前 / Adobe Digital Editions 4.5.9およびそれ以前（Windows版、macOS版、iOS版およびAndroid版）。

Adobe提供の修正済みバージョンへの更新で解決。

３．複数のJuniper製品に脆弱性

複数のJuniper製品に脆弱性があり、遠隔の第三者が任意のコードを実行したりサービス運用妨害（DoS）攻撃を行ったりするなどの可能性がある。

対象は、Junos OS / Junos Space / Juniper ATP。

Juniper提供の修正済みのバージョンへの更新で解決。

４．Cisco Email Security Appliance（ESA）に複数の脆弱性

Cisco Email Security Appliance（ESA）向けCisco AsyncOSに複数の脆弱性があり、遠隔の第三者が細工した電子メールを送信することでサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

※　S/MIME復号化および検証、またはS/MIME公開キーの収集が設定されている場合、もしくはグローバル設定としてのURLフィルタリング機能が有効でURLホワイトリストが使用されている場合にのみ影響を受ける。

対象は、Cisco Email Security Appliance（ESA）向けCisco AsyncOS 9.0系より前のバージョン / 9.0系のバージョン / 10.0 系のバージョン / 11.0 系のバージョン / 11.1 系のバージョン。

Cisco提供の修正済みバージョンへの更新で解決。

５．PHPに複数の脆弱性

PHPに複数の脆弱性があり、第三者が任意のコードを実行するなどの可能性がある。

対象は、PHP 7.3.1より前のバージョン / PHP 7.2.14より前のバージョン / PHP 7.1.26より前のバージョン / PHP 5.6.40より前のバージョン。

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

６．Intel製品に複数の脆弱性

Intel製品に複数の脆弱性があり、第三者が権限を昇格するなどの可能性がある。

対象は、Intel NUC / Intel Optane SSD DC P4800X / Intel PROSet/Wireless WiFi Software / Intel SGX SDK and Intel SGX Platform Software / Intel SSD Data Center Tool for Windows / Intel System Support Utility for Windows。

Intel提供の修正済みバージョンへの更新で解決。

７．オムロン製CX-Oneに任意のコード実行が可能な脆弱性

オムロンが提供するCX-Oneに脆弱性があり、第三者が細工したプロジェクトファイルを処理させることでアプリケーションの権限で任意のコードを実行する可能性がある。

対象は、CX-Protocol Version 2.0およびそれ以前を含むCX-One Version 4.50およびそれ以前。

オムロン提供の修正済みバージョンへの更新で解決。

８．Wiresharkに複数の脆弱性

Wiresharkに複数の脆弱性があ、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、Wireshark 2.6.6より前のバージョン / Wireshark 2.4.12より前のバージョン。

Wireshark Foundation提供の修正済みバージョンへの更新で解決。

９．WordPress用プラグインspam-byebyeにクロスサイトスクリプティングの脆弱性

WordPress用プラグインspam-byebyeにクロスサイトスクリプティングの脆弱性があり、遠隔の第三者が当該プラグインのセットアップページにアクセスできるユーザのウェブブラウザ上で任意のスクリプトを実行する可能性がある。

対象は、spam-byebye 2.2.1およびそれ以前。

spam-byebye開発者提供の修正済みバージョンへの更新で解決。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

このセキュリティ更新プログラムには、深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の8月15日、Microsoft（マイクロソフト）から2018年8月のセキュリティ更新プログラムがリリースされました。

今回も緊急度の高い脆弱性修正が含まれていますので、今日はそれをお伝えします。

2018年8月のセキュリティ更新プログラム

今回も、Windowsをはじめとする多くのアプリケーションに対するセキュリティ修正などが行われています。

また、リモートからの攻撃によって任意のコードが実行されるなどの脆弱性が修正されていますので、早めにMicrosoft Update、もしくはWindows Updateなどにてセキュリティ更新プログラムを適用することが望まれます。

8月のセキュリティ更新には以下のソフトウェアのセキュリティ更新となっています。

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・ChakraCore

・Adobe Flash Player

・.NET Framework

・Microsoft Exchange Server

・Microsoft SQL Server

・Visual Studio

また、Microsoftによると、一部の脆弱性の悪用を確認しているとのことで、脆弱性を悪用した実証コードも確認しており、任意のコードが実行可能であることを確認しているとのことです。

ご参考までに。

既に一部の脆弱性の悪用が確認されていることもあり、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、Microsoft（マイクロソフト）が公開した2018年5月のセキュリティ更新プログラムがリリースされましたが、緊急度の高い脆弱性の修正が含まれていますので、今日はその情報です。

2018年5月のマイクロソフトセキュリティ更新

2018年5月のセキュリティ更新プログラムの中には、深刻度が『緊急』、『重要』のセキュリティ更新プログラムが含まれており、既に悪用が確認されているところもあるため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

本日公開されたセキュリティ更新プログラムは以下の通りです。

・Adobe Flashのセキュリティ更新プログラム

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Servers および Web Apps

・ChakraCore

・Adobe Flash Player

・.NET Framework

・Microsoft Exchange Server

・Windows Host Compute Service Shim

また、新たに確認された脆弱性の最大深刻度と影響は以下の通りです。

・Windows 10 および Windows Server 2016 (Microsoft Edge を含む)：緊急／リモートコードが実行される

・Windows 8.1 および Windows Server 2012 R2：緊急／リモートコードが実行される

・Windows Server 2012：緊急／リモートコードが実行される

・Windows RT 8.1：緊急／リモートコードが実行される

・Windows 7 および Windows Server 2008 R2：緊急／リモートコードが実行される

・Windows Server 2008：緊急／リモートコードが実行される

・Internet Explorer：緊急／リモートコードが実行される

・Microsoft Office 関連のソフトウェア：重要／リモートコードが実行される

・Microsoft SharePoint 関連のソフトウェア：重要／リモートコードが実行される

・Microsoft Exchange Server：重要／リモートコードが実行される

・Microsoft .NET ソフトウェア：重要／セキュリティ機能のバイパス

・SDK for Azure IoT：重要／情報漏えい

・ChakraCore：重要／リモートコードが実行される

・Adobe Flash Player：重要／リモートコードが実行される

・Windows Host Compute Service Shim：重要／リモートコードが実行される

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日はセキュリティ更新に関する注意喚起が出ていますので、その情報をお届けします。

2018年3月のマイクロソフトセキュリティ更新

冒頭で書いたセキュリティ更新プログラムの中には、脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあるものへの対応も含まれているため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

今回のセキュリティ更新プログラムの中で、深刻度『緊急』となっているものは以下の通りです。

・Adobe Flash のセキュリティ更新プログラム

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・Microsoft ブラウザーの情報漏えいの脆弱性

・スクリプト エンジンの情報漏えいの脆弱性

など

また、全体的な3月のセキュリティリリースには、以下のソフトウェアに対するセキュリティ更新プログラムが含まれています。

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・Microsoft Exchange Server

・ASP.NET Core

・.NET Core

・PowerShell Core

・ChakraCore

・Adobe Flash

ここ1日・2日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

その内容は、ドメインの期限更新を装ったフィッシング詐欺と思われるものでした。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、私自身が3連休の最終日に遭遇した事例に関してお伝えします。

このような事例です。

ドメインの期限更新を装ったフィッシングメール

振替休日だった2月12日、スマートフォンでメールのチェックをすると、ウェブサイトのお問い合わせフォームから怪しいお問い合わせが届いていました。

内容を確認すると、以下のようなことが書かれていました。

１．ドメインの有効期限切れによるさまざまな損害について責任を負わない。

２．ドメインを更新するための最終通知である。

３．リンクへアクセスさせるURLの記載（フィッシング部分）

４．ドメインの有効期限が切れた場合、いくつかの権利を留保する。

５．オンライン決済へのリンクURLの記載（フィッシング部分）

日本語で要約して書きましたが、このような内容の文章が英語で書かれていました。

ここで注意したいのは、『あれ？そんなことは無いはずなのに。。。』と思いながらも念のためリンクをクリックしてしまわないようにすることです。

相手はそれが狙いですので、クリックしてしまえば被害に遭う可能性が高くなります。

どうしても心配な場合、そのドメインの有効期限をレジストラの管理画面やwhois検索などにて確認すればわかります。

.comや.netなどのドメインであれば、whois情報に書かれている『Expiration Date』が有効期限のことです。

また、そもそも有効期限が迫っているお知らせの通知などはレジストラからメールが届くことが大半ですので、意味不明なところから期限更新を警告するアナウンスは届くはずがありませんし、ましてやお問い合わせフォームから投稿してくるということはあり得ません。

このようなことで被害に遭わないよう、参考のためにホッとな事例をご紹介しましたが、これは社内全体で情報を共有しておかないと被害に遭う可能性があります。

慌てず、冷静に対処すれば問題は起きませんので、しっかりと情報を共有しておいてください。