3/10日(金)にシリコンバレー銀行(SVB)破綻したことで相場の流れが変わった感じがしますね。
3/22(水)のFOMCまでは、これまでに発表された強い米指標でドル円は上がると思ってましたが、そうはならなさそうです。
3/14(火)にCPIがありますが、CPIが強かったら利上げの影響による更なる銀行破綻懸念でリスクオフのドル円売り。CPIが弱かったら利上げ後退観測でドル円売り。
ということで、今は逆にFOMCまでドル円は売られる流れになるのではないかと思っています。
しかも、来週からブラックアウト期間に入るのでFRB要人発言がなくなり、市場関係者の憶測が流されることになるので、ヘッドラインで上がったり下がったりする判断が難しい相場になりそうです。
シリコンバレー銀行破綻、金融危機以来最大 利上げで脆弱性表面化
関係者によると、FDICはこの週末、シリコンバレー銀行との統合に応じる金融機関を探す予定。保護対象外の預金を守るためにも13日までに経営統合を取りまとめたい考えだが、合意が成立するかは不透明という。
とりあえず合意は成立するだろうという見込みなんでしょうが、合意が成立しなかったら大事件ですね。
世界的に広く普及しているオープンソースのデータベースエンジン「SQLite」にセキュリティ上の脆弱性があることがわかった。
この脆弱性が悪用された場合、被害者のコンピューターで悪意のあるコードの実行が可能になるという。
「SQLite」は膨大な数のアプリに組み込まれているため、この脆弱性はIoTデバイスからデスクトップソフトウェア、ウェブブラウザ、「Android」アプリ、
「iOS」アプリに至るまでの広範なソフトウェアに影響を及ぼすと見られており、
「Google Chrome」「Vivaldi」「Opera」「Brave」などの「Chromium」ベースのブラウザも影響を受けるという。
また、ブラウザ以外では、Google Homeも対象となっていて、この脆弱性を発見したTencent Bladeのチームはセキュリティアドバイザリで、
「この脆弱性でGoogle Homeを悪用することに成功した」と述べている。
この脆弱性の修正は、2018年12月1日に「SQLite 3.26.0」のリリースで公開されているが、「SQLite」を利用してアプリケーションを作成している開発者は早急な対応が必要だろう。
「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響
SQLiteとは
SQLiteとは、ファイルベースで動作するオープンソースのRDBMS(Relational Database Management System)で、MySQLやOracleなどのクラインアント・サーバー型のデータベースと異なり、サーバーでデータベースプロセスを実行してデータベースを管理するのではなく、データベースはファイル単位で管理される。
他のRDBMSと同様にSQLでデータベースを操作することができ、組み込み系のRDBMSでありながらトランザクション処理にも対応しているが、 処理性能ではMySQLには及ばないとされている。
Mac最新OS「macOS High Sierra(マックオーエスハイシエラ)」に、
「root」というアカウント名を入力すれば、パスワードを入力することなくそのまま端末に管理者としてログインして設定の変更ができてしまう
重大なバグ(脆弱性)が発見され騒ぎになっている。
Macを起動してゲストユーザとしてログイン。
次に「システム環境設定」から設定の変更に必要なカギのアイコンをクリックし、ユーザ名とパスワードを要求されたらユーザ名に「root」と入力。
その後、「ロックを解除」ボタンを何度かクリックすることで、本来システム管理者しか解除できないロックが外れ、後はやりたい放題できるという。
最新の『macOS High Sierra』に誰でも管理者ログインできてしまう重大なバグが発覚
バグの対処方法
バグの対処方法として現時点では以下の二つが推奨されている。
- ゲストユーザでのログインを許可しない
- rootアカウントにパスワードを設定する
macOS High Sierra(マックオーエスハイシエラ)
macOS High Sierra(マックオーエスハイシエラ)は、スマートフォン「iPhone」で知られている米アップル社が、Macintosh向けのmacOS Sierraの後継バージョンとして開発したOS(オペレーティングシステム)で、バージョンナンバーは10.13。2017年6月5日に発表された。
先週後半(5月12日)からイギリスを始めとする世界各地で被害が報告されている「ランサムウェア WannaCryptor」の亜種による被害が日本でも続発している。
今回問題となっているランサムウェアは、「WannaCryptor マルウェア」の亜種と見られていて、このランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性がある。メールの添付ファイルの開封やリンクへのアクセスなどで感染させ、脅迫文は日本語を含む多言語に対応している。
IPA(情報処理推進機構)は、
1.不審なメールの添付ファイルの開封やリンクへのアクセスをしない
2.脆弱性の解消 - 修正プログラムの適用
3.ウイルス対策ソフトの定義ファイルを更新する
といった対策を呼びかけている。
世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
Wanna Cryptor マルウェア
Wanna Cryptor マルウェアは、Windows パソコン(PC)のファイルを暗号化し、復元の条件にBitcoinでの支払いを要求するもので、「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」の別称がある。
ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)
ランサムウェア
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいる。
Windowsの「SMBv1」における脆弱性
Microsoft Server Message Block 1.0 (SMBv1) サーバーが特定の要求を処理する方法に、リモートでコードが実行される脆弱性が複数存在し、攻撃者がこれらの脆弱性を悪用した場合、標的のサーバーでコードを実行できる可能性がある。2017年3月15日にマイクロソフトが対応するパッチを公開している。
マイクロソフト セキュリティ情報 MS17-010 - 緊急
Googleが、一年前に開始した
Android脆弱性報奨金プログラム(Android Security Rewards)で82に名に合計550,000ドル以上支払ったことを公表した。
平均金額は、1件あたり2,200ドル、調査員1人あたり6,700ドル。トップ調査員の
@heisecodeには、脆弱性レポート26件に対して75,750ドルを支払い。15名の調査員に10,000ドル以上を支払ったという。
1周年を迎えた Android Security Rewards
Android Security Rewards
ウェブアプリケーション開発者必読の資料です。セキュリティの問題は奥が深い。
「安全なウェブサイトの作り方」改訂第7版の内容
・第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。
・第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関する対策等7つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。
・第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から8種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。
・巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。
ブックマーク先へ 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
オープンソース掲示板ソフト「CommentPP 1.3」をリリースしました。
1.2からの変更内容は不具合、脆弱性の修正とランキング表示の改善です。
1.2以前のバージョンには脆弱性があるので、1.3へのバージョンアップをお願いします。
データベース定義は変更ありません。1.2で使用していたデータをそのまま使用できます。
CommentPP 1.3 のダウンロード
日本語スレッド掲示板 - CommentPP
動作環境及びインストール手順
■動作環境
・PHPのバージョン PHP5.3.3以上
・MySQL MySQL5
・Smarty(テンプレートエンジン)
■インストールの手順
1.Smartyのインストール
CommentPP 1.3ではテンプレートエンジンとしてSmartyを使用しているためサーバーにSmartyをインストールする必要があります。
配布ファイルに含まれているsmartyフォルダをサーバーの非公開フォルダにアップロードします。
また、Smartyの最新のライブラリは http://www.smarty.net/download.php からダウロードすることができます。
最新のライブラリを使用する場合は、書庫ファイルをダウロードしたら解凍し、libsというフォルダがあることを確認し、以下の
ようにCommentPP 1.3のtemplatesフォルダ、templates_cフォルダをコピーします。
smarty/libs
smarty/commentpp/templates
smarty/commentpp/templates_c
2.MySQL(データベースサーバー)の設定
MySQLにユーザー及びデータベースを作成し、CommentPP 1.3で使用するのデータベースへのアクセス権限を設定します。
phpMyAdminなどからcommentpp.sqlを実行し、テーブルの作成と初期データの登録を行います。
3.設定ファイルの変更
・dnconnect.data
ホスト名、MySQLユーザーID、パスワード、データベース名の順番でコンマで区切って指定します。
・config.php
それぞれの設定値の意味は以下の通りです。
SESSION_NAME アプリケーションのセッション名
SMARTY_DIR Smartyライブラリのパス
TEMPLATE_DIR テンプレートファイルのパス
DB_CONNECT DB接続設定ファイルのパス
DEBUG_LOG デバッグログファイルのパス
SPAM_BLACKLIST ブラックリストファイルのパス
SITE_TITLE サイトのタイトル
SITE_DESCRIPTION サイトの記述
SITE_URL サイトのURL
LIST_TITLE コメント一覧のタイトル
RANKING_NUMBER ランキングに表示するスレッド数
ITEM_NUMBER コメント一覧に表示するコメント数
PAGE_NUMBER ページ数表示の指定
ANONYMOUS 匿名の投稿者の表示名
WEBMASTER_EMAIL 管理人のメールアドレス
MEMBERS_ONLY 会員制の指定 0:誰でも閲覧・投稿可能 1:会員制
以下の設定値についてはサーバーや運用サイトの状況に応じて変更する必要があります。
SMARTY_DIR サーバーの設定に応じて変更してください
TEMPLATE_DIR サーバーの設定に応じて変更してください
DB_CONNECT サーバーの設定に応じて変更してください
DEBUG_LOG サーバーの設定に応じて変更してください
SPAM_BLACKLIST サーバーの設定に応じて変更してください
SITE_TITLE 運用するサイトに応じて変更してください
SITE_DESCRIPTION 運用するサイトに応じて変更してください
SITE_URL 運用するサイトに応じて変更してください
WEBMASTER_EMAIL 運用するサイトに応じて変更してください
4.ファイルのアップロード
以下のファイル、フォルダをFTPクライアントを使用してサーバーにアップロードします。
スクリプトファイル(*.php)、スタイルシートファイル(*.css)、jsフォルダは公開フォルダ(public_html、wwwなど)に、
confフォルダはWebからアクセス出来ない非公開フォルダにアップロードしてください。
config.php index.php thread.php user.php sitemap.php util.php access.php tag.php comment.php request.php rss.php
style.css
jsフォルダ
confフォルダ
5..htaccess
「.htaccess」が無い場合は作成してindex.phpが最初に実行されるように以下の1行を追加します。
DirectoryIndex index.php index.html
マイクロソフトは、2014年4月9日(日本時間)をもって、Windows XP、Microsoft Office 2003、Internet Explorer 6 のサポートを終了。これ以降セキュリティ更新が行われないためそのまま利用し続けることは、脆弱性を解決しないままで使用し続けることになり、セキュリティ上、危険な状態にななるとして、最新環境への移行を呼びかけている。
また、利用する際は、最終パッチを含むすべてのセキュリティ更新プログラムを適用し、セキュリティ製品も最新の状態にした上、できるだけインターネットから切断し、なおかつUSBメモリなどの記録媒体によってウイルスをPC内に持ち込まないような、セキュリティリスクを軽減する対策をした上で利用して欲しいとしている。
Windows XP、Office 2003 サポート終了の重要なお知らせ | Microsoft
Windows XPのサポートがついに終了、最新環境への移行を
Windows XP、Office 2003 のサポート終了まで、12 月 30 日であと 100 日を迎えます。早めの移行をオススメします。
Windows XP のサポートは終了しました - Microsoft Windows
Microsoft Windows 8.1
マイクロソフト
amazon.co.jpのカスタマーレビューを見る
powered by amalink
2013年9月30日から2014年3月31日までの期間で実施されている、ミクシィならびにその子会社がリリースしたWebアプリケーションやクライアントアプリケーション、スマホアプリなどの未知の脆弱性を対象にした脆弱性報告制度で、脆弱性の報告者には修正が完了した後、報酬として相当額のギフト券が贈られる。
報酬額は脆弱性が与える影響範囲や成立条件によって異なり、「XSSによって、重要なユーザデータの取得、削除などが可能」な問題」は12万5000円、「SQLインジェクションによって、重要なユーザデータの取得、削除などが可能」な問題は50万円、「リモートから、Webサーバ上で、任意のコードが実行可能」な脆弱性には100万円となっている。
脆弱性報告制度 mixi Developer Center (ミクシィ デベロッパーセンター)
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
ソフトバンククリエイティブ 著者:徳丸 浩
amazon.co.jpのカスタマーレビューを見る
powered by amalink
フジテレビの対決バラエティ番組「ほこたて」で放映された「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」にIT業界関係者らが大きな衝撃を受けている。
番組ではセキュリティーを専門とする会社があっという間にパソコンに侵入され、なんとセキュリティー側は「ファイル名を変更」するという意味不明の方法で勝利したからだ。
実際には、番組が用意したパソコンが脆弱性だらけの古いOSだったにもかかわらず、ハッカー側はパソコンに侵入できなかったためパスワードを番組ディレクターから教えてもらって侵入に成功。
また、セキュリティー側は番組が用意したパソコンが脆弱性だらけの古いOSだったので、パソコンへの侵入は阻止できないと考えて、暗号化ソフトでファイルを暗号化しておいたたため、最終的にハッカー側はハッキングはできなかったのが真相のようだが、放映された内容は番組を盛り上げるためかどうかは不明だが、あたかも簡単にセキュリティーは敗れるかのような、視聴者に誤解を与える内容になっており、実質的にはハッカーが勝ったと考える視聴者も多かったようだ。
【ハッカー VS セキュリティ】わずか30分でセキュリティが破られる → セキュリティ会社「しかし、目的のファイル名を変えておいたのだよ!」 → ハッカー集団、理不尽すぎて降参
ほこたて 「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」防御側の裏話
ハッカーの手口 ソーシャルからサイバー攻撃まで (PHP新書)
PHP研究所 著者:岡嶋 裕史
amazon.co.jpのカスタマーレビューを見る
powered by amalink