皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は業務の都合で少しだけ。

Appleから、iOSやmacOSに関する脆弱性対応のアップデートがリリースされています。

Apple製品の脆弱性対応アップデート

今回発表されているのは、以下のものに対する影響になります。

・Safari 11.1及びそれ以前のバージョン

・macOS hight Sierra 10.13.4（Security Update 2018-001 未適用）

・iOS 11.3.1より前のバージョン

想定されている影響は以下の可能性があるとされています。

・任意のコード実行

・権限昇格

・ユーザーインターフェースの偽装

対策方法は、ソフトウェアを最新のものにアップデートすることになります。

また、OS XやmacOS向けのSafari（11.1）の対策済みバージョンは以下の通りです。

・OS X El Capitan 10.11.6 向けの Safari: 11.1 (11605.1.33.1.4)

・macOS Sierra 10.12.6 向けの Safari: 11.1 (12605.1.33.1.4)

・macOS High Sierra 10.13.4 向けの Safari: 11.1 (13605.1.33.1.4)

早めのアップデートがお勧めです。

ご参考まで。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日は多くの脆弱性情報をお伝えします。

PHPやその他における脆弱性情報

4月4日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

1.複数のCisco製品に脆弱性

複数のCisco製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、Cisco IOS ソフトウェア / Cisco IOS XE ソフトウェア / Cisco IOS XR ソフトウェア。

Cisco提供の修正済みバージョンへの更新で解決。

2.複数のApple製品に脆弱性

複数のApple製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、iCloud for Windows 7.4 より前 / Safari 11.1 より前 / macOS High Sierra 10.13.4 より前 / macOS Sierra（Security Update 2018-002 未適用） / OS X El Capitan（Security Update 2018-002 未適用） / iTunes 12.7.4 for Windows より前 / Xcode 9.3 より前 / tvOS 11.3 より前 / watchOS 4.3 より前 / iOS 11.3 より前のバージョン。

Apple提供の修正済みバージョンへの更新で解決。

3.Drupalに任意のコードが実行可能な脆弱性

Drupalに任意のコードが実行可能な脆弱性があり、遠隔の第三者が、細工したリクエストを送信することで任意のコードを実行する可能性がある。

対象は、Drupal 8.5.1 より前 / Drupal 7.58 より前のバージョン（サポートが終了しているDrupal 6系やDrupal 8.4系以前についても影響を受ける）。

Drupal提供の修正済みバージョンへの更新で解決。

4.OpenSSLに複数の脆弱性

OpenSSLに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、OpenSSL 1.1.0h より前の 1.1.0 系列 / OpenSSL 1.0.2o より前の 1.0.2 系列のバージョン。

OpenSSL Project提供の修正済みバージョンへの更新で解決。

5.Mozilla Firefox に解放済みメモリ使用の脆弱性

Mozilla Firefoxに解放済みメモリ使用の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Mozilla Firefox 59.0.2 より前 / Mozilla Firefox ESR 52.7.3 より前のバージョン。

Mozilla提供の修正済みバージョンへの更新で解決。

6.Windows 7 x64 / Windows Server 2008 R2 x64 に脆弱性

2018年1月にMicrosoftがリリースしたパッチをインストールしたWindows 7 x64 / Windows Server 2008 R2 x64に脆弱性があり、ログイン可能なユーザがシステムメモリ上の全てのコンテンツを読み出したり、書き込んだりする可能性がある。

対象は、Windows 7 x64 / Windows Server 2008 R2 x64。

Microsoft提供の更新プログラムの適用で解決。

7.Apache Struts 2 にサービス運用妨害（DoS）の脆弱性

Struts REST Pluginが使うXStreamライブラリの処理に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Apache Struts 2.1.1 から 2.5.14.1。

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

8.Ruby に複数の脆弱性

Rubyに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、Ruby 2.2.10 より前の 2.2 系 / Ruby 2.3.7 より前の 2.3 系 / Ruby 2.4.4 より前の 2.4 系 / Ruby 2.5.1 より前の 2.5 系のバージョン。

Ruby提供の修正済みバージョンへの更新で解決。

9.PHP に複数の脆弱性

PHPに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、PHP 7.2.4 より前 / PHP 7.1.16 より前 / PHP 7.0.29 より前 / PHP 5.6.35 より前のバージョン。

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

10.バッファロー WZR-1750DHP2 に複数の脆弱性

バッファロー製 WZR-1750DHP2に複数の脆弱性があり、当該製品が接続しているネットワークにアクセス可能な第三者が、当該製品上で任意のコマンドを実行するなどの可能性がある。

対象は、WZR-1750DHP2 ファームウエア Ver.2.30 およびそれ以前。

バッファロー提供の修正済みバージョンへの更新で解決。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

ということは、httpsではない通常のhttpサイトであった場合には暗号化されない状態でブラウジングを行うことになります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先日の記事『Yahoo!JAPANも常時SSL化へ』にも書かせていただいた通り着実に常時SSL化は進んではいるのですが、まだまだ多くのウェブサイトが暗号化されていないhttpのままです。

その場合、安全なブラウジングを行う方法は他にはないのでしょうか？

VPNを活用する

方法の1つとして、VPN（Virtual Private Network/仮想プライベートネットワーク）というものを使ってウェブにアクセスする方法があります。

これは、簡単に言えば公衆回線を経由して構築された仮想的な組織内ネットワークで、そこでの通信は全て暗号化された状態でやりとりされるものです。

昔からよくあるケースとして、企業が拠点間の接続を行うことに使われたりしていました。

しかし、昨今モバイル端末の普及やWi-Fiスポットの無料接続サービスなどのインフラ整備も整い、街中で簡単にWi-Fi接続が可能な時代になった反面、何のセキュリティもかかっていないWi-Fiスポットにアクセスすることで通信を傍受されたりするケースが増加しています。

そのため、自衛手段としてVPNアクセスを使い、それによる保護機能によって安全にアクセスすることなどにも使われています。

VPNの使い方

例えば、パソコンやスマートフォンにて簡単にVPNでのブラウジングを行う場合、Google Chrome ブラウザの拡張アプリや、スマートフォンのアプリケーションストアなどからVPNアプリを端末に追加します。

それらの多くは、メールアドレスとパスワードをエントリーするだけで使えるようになります。

ただし、アジア系のアプリケーションも出回ったりしていますので、選択する際は注意が必要です。

参考までに、現在私が試しているのはOperaソフトウェアがリリースしている『SurfEasy VPN』というもので、Windows・Mac OS X・iPhone・Androidと、大半のものにサービスを提供しています。

無料で使いたい場合は容量に制限があり、制限なく使いたい場合は5デバイスで年間6,000円、モバイル向け1デバイスは年間3,600円で使えます（月払いは若干割高になります。）。

外出先でのモバイル通信は注意が必要ですから、一度無料の範囲内で試して検討されるのも良いかと思います。

現象があります。

実際に私もお客様のMacにて遭遇してしまいました。

これはいったい何が原因なのでしょうか？

皆さん、こんにちは。

業務コンサルタントの高橋です。

正月明け早々、レアな現象に遭遇してしまいました。

Windows PCでは何も問題なくメールの送受信はでき、iPhone・iPadのiOSでも問題

は起きない。

唯一、Mac OSだけがメールの送信だけができないのです。

受信には何の問題もありません。

さて、これはいったい何が原因なのか？

設定上は何も問題はなく、ホスティング会社の指定しているものにて設定されている。

セキュリティを外しても変化なし。

ホスティング会社に問い合わせるが、まともな回答を得られず。

Apple社へも問い合わせるが、こちらも解決には至らず。

結果として初日はホスティング会社とApple社が宿題として預り案件となった。

しかし、これではお客様の業務が滞ってしまうため独自に調査をしたところ、

どうやらキーチェーンがうまく反映していない可能性があり、

キーチェーンを編集した上で再テストしたところ送信が可能になった。

ただし、これで完全に解決したわけではなく、未だ不安定な状態です。

送信できたりできなかったりする状態にあり、原因の特定には至っていません。

原因を推察するに、ホスティング会社のサーバー側に問題があるわけではなく、

Macの一部のバージョン以降にて起きる可能性のある問題と推察します。

しかしながら、他のMacにて行うと同一バージョンであっても再現しないケースもあり、

必ず起きる現象ではありません。

同じ問題にぶつかってしまった方、一度キーチェーンの編集を試してみる価値はある

とは思いますが、それでも直らない可能性もあります。

また、これらの編集などは自己責任において行ってください。

最後に、キーチェーン以外、.plistの内容が更新されていないことで送信できない

ケースも存在するようですが、Apple社はこの.plistの編集などは認めていないことから、

タイムマシーンにてバックアップを取られている方でないとお勧めできません。

ご参考までに。

2016/01/07 15:03
追記：何度かテストを繰り返していますが、結果的にキーチェーンの編集（書き直し）

　　　にて送信できない現象は回避できているようです。

　　　また、アカウントの新規登録では問題がなく、アカウントのpopやsmtp情報を

　　　変更した際に起きやすい現象に思えます。