[雑談] いろいろ。

• Apache Log4jにCVSSスコア「10.0」の脆弱性 国内で悪用を試みる通信も確認 - ITmedia エンタープライズ

Apache Log4jにCVSSスコア「10.0」の脆弱性　国内で悪用を試みる通信も確認

Apache Log4jに任意コード実行の脆弱性が明らかになった。利用されているJavaシステムが多いことから影響範囲の広さが懸念されている。現状ではまだ不明点が多いが、すでに脆弱性を狙ったハッキングが確認されており、継続的な情報収集と対応が求められる。

https://www.itmedia.co.jp

• 「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？ 日本ハッカー協会に聞いた - ITmedia NEWS

「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた

ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。

https://www.itmedia.co.jp

• Log4jのゼロデイ脆弱性から学ぶ “ヤバい”ニュースを見落とさない組織になるコツ：半径300メートルのIT - ITmedia エンタープライズ

Log4jのゼロデイ脆弱性から学ぶ　“ヤバい”ニュースを見落とさない組織になるコツ

Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性（CVE-2021-44228）が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。

https://www.itmedia.co.jp

• Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に - ITmedia NEWS

Log4j、バージョン2.16.0が登場　問題の機能を削除やデフォルト無効に

米Apacheソフトウェア財団は、Java向けログ出力ライブラリ「Apache Log4j」のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効化したことと、Massage Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。

https://www.itmedia.co.jp

• Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、暗号資産マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題 - GIGAZINE

Log4jライブラリのゼロデイ脆弱性「Log4Shell」で脆弱なサーバーを標的にした攻撃が続発中、仮想通貨マイナーのインストール・ボットネット拡散・データ盗難などやりたい放題

さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」が2021年12月10日に発覚し、大きな混乱を呼んでいます。Log4jをリリースするApacheは脆弱性を解決したバージョン2.15.0をリリースしていますが、すでにLog4Shellを突いたエクスプロイトが報告されています。

https://gigazine.net

• 世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた - GIGAZINE

世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた

Javaのログ出力ライブラリであるApache Log4jでゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」について、概念実証コードが日本時間の2021年12月10日に公開されました。このLive4Shellを突いてリモートコード実行を可能にするエクスプロイトの確認報告がさまざまなところで挙がっていますが、このLog4Shellエクスプロイトが概念実証コード公開前の12月1日から2日にかけて行われていたことが判明しました。

https://gigazine.net

• “Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行 - ITmedia NEWS

“Log4j用ワクチン”登場　脆弱性を利用して修正プログラムを実行

Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。

https://www.itmedia.co.jp

• 何でもできちゃう脆弱性ならそれでパッチを当てればいいんじゃない？ ～とあるセキュリティ会社が掟破りの「Log4Shell」ワクチンを開発してしまう - やじうまの杜 - 窓の杜

何でもできちゃう脆弱性ならそれでパッチを当てればいいんじゃない？ ～とあるセキュリティ会社が掟破りの「Log4Shell」ワクチンを開発してしまう／【やじうまの杜】

　“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

https://forest.watch.impress.co.jp

• “ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ | IT・ネット | NHKニュース

エラー｜NHK NEWS WEB

https://www3.nhk.or.jp

• Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).

Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).

Summary of CVE-2021-4228 (Log4Shell), trivial RCE in log4j, a common Java logging framework. Includes list of affected platforms.

https://www.techsolvency.com

• 米人事管理大手のKronos、ランサムウェア攻撃でサービス数週間停止に - ITmedia NEWS

米人事管理大手のKronos、ランサムウェア攻撃でサービス数週間停止に

人事管理ソリューション大手のKronosがサイバー攻撃を受け、ほとんどのサービスを停止した。原因はランサムウェアで、「復元には最大数週間かかる可能性がある」としている。手口はまだ不明だ。

https://www.itmedia.co.jp

• ランサムウェア身代金、“どうしても”のときの値切り方 13億円超の要求額を1.7億円に減額させた交渉術：この頃、セキュリティ界隈で - ITmedia NEWS

ランサムウェア身代金、“どうしても”のときの値切り方　13億円超の要求額を1.7億円に減額させた交渉術

データを人質に取って身代金を要求するランサムウェアの被害では、やむを得ず要求に応じる企業も少なくない。その際、交渉次第では犯行グループが身代金の減額に応じることもあるという。

https://www.itmedia.co.jp

• “サーバー設置先の国 公表” SNS事業者に義務づけ 国が対策案 | IT・ネット | NHKニュース

エラー｜NHK NEWS WEB

https://www3.nhk.or.jp

• 他人のAirTagを検知して位置情報追跡を回避できるApple公式アプリ「Tracker Detect」がAndroid向けに登場したので使ってみた - GIGAZINE

他人のAirTagを検知して位置情報追跡を回避できるApple公式アプリ「Tracker Detect」がAndroid向けに登場したので使ってみた

Appleの落とし物トラッカー「AirTag」は、シンプルな操作で手軽に大事な物の位置情報を追跡できるデバイスですが、車泥棒がAirTagの位置情報追跡能力を悪用しているといった実害も報告されています。こうした悪用の防止策としてiOSデバイスには「他人のAirTagを検出して通知する機能」が存在していましたが、新たに、Android向けのAirTag検出アプリ「Tracker Detect」が2021年12月にリリースされたので、実際にインストール手順や使い方を確かめてみました。

https://gigazine.net

• “政府のデジタル化”世界ランキング、日本は何位？ 早稲田大調査 - ITmedia NEWS

“政府のデジタル化”世界ランキング、日本は何位？　早稲田大調査

早稲田大学電子政府・自治体研究所（東京都新宿区）は12月10日、「第16回早稲田大学世界デジタル政府ランキング2021」を発表した。1位はデンマークが獲得。日本は2020年から2つ順位を落として9位にランクインした。

https://www.itmedia.co.jp

• 金融のプロがExcelをeスポーツ化、財務モデリング構築の速さを競う「FMWC」が開催 - GIGAZINE

金融のプロがExcelをeスポーツ化、財務モデリング構築の速さを競う「FMWC」が開催

表計算ソフトのMicrosoft Excelを使い、企業評価やM＆Aといったさまざまなケースを解決する財務モデリングの構築スキルを競う「Financial Modeling World Cup(FMWC：財務モデリング ワールドカップ)」が開催されました。

https://gigazine.net

• そうそう、こういうの待ってた〜！JINSの「顔タイプ判定」が頭よすぎる。似合うメガネが一発でわかります

そうそう、こういうの待ってた〜！JINSの「顔タイプ判定」が頭よすぎる。似合うメガネが一発でわかります

アイウエアブランドのJINS（ジンズ）が展開しているデジタルサービス「JINS BRAIN2（ジンズブレイン2）」がすごい。数秒で顔タイプを判別して自分にマッチするメガネを提案してくれるから、お家でもメガネ選びができちゃいます。

https://www.buzzfeed.com

• Nゲージの模型をラズパイで動かす “らずてつ”その1――鉄道模型とラズパイをつなぐ：名刺サイズの超小型PC「ラズパイ」で遊ぶ（第52回） - ITmedia NEWS

Nゲージの模型をラズパイで動かす　“らずてつ”その1――鉄道模型とラズパイをつなぐ

今回から鉄道模型の運転をラズパイで制御する仕組みに挑戦します。

https://www.itmedia.co.jp

• 体重測定が終わるとコタツの中に戻っていく子猫達。ポカポカのコタツのとりこになった姿に癒される♡ | エウレカ！

体重測定が終わるとコタツの中に戻っていく子猫達。ポカポカのコタツのとりこになった姿に癒される♡

体重測定の日を迎えた子猫達。これまでに何度も体重を量ってきたため、すっかり体重測定にも慣れたようで、スムーズに測定が進んでいきました♪ 出典：猫とネコ そして無事に測定が終わると、部屋の中を少しウロウ

https://eureka.tokyo