Microsoftは8月31日(米国時間)、「Release v0.73.0 · microsoft/PowerToys · GitHub」において、Microsoft PowerToysの最新版となる「Microsoft PowerToys v0.73.0」を公開した。PowerToysはMicrosoftが開発および提供するオープンソースのユーティリティソフトウェア。Windowsの日常的なタスクを効率化するための機能を実装する取り組みが続けられており、一部の機能はWindowsの正式な機能として取り込まれている。 Release v0.73.0 · microsoft/PowerToys · GitHub Microsoft PowerToys v0.73.0ではバグの修正や細かい機能追加・更新などが行われたほか、新しいユーティリティとして「トリミングとロック」(Crop And L

Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。 PyPI Suspends New Registrations After Malicious Python Script Attack 特定された44の不正なPyPIパッケージは次のとおり。 sys-scikit-learn 17.8.18 sqlalchemy-requests 7.1.1 sqlalc

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けたり、ユーザーがサーバへ送信したアプリケーションのデータを復号されたりする危険性がある。 JVNVU#91213144: OpenSSLに複数の脆弱性 脆弱性の詳細は、OpenSSLプロジェクトによる次のセキュリティアドバイザリにまとめられている。 OpenSSL Security Advisory [7th February 2023] 脆弱性が存在するとされるプロダ

Kaspersky Labは1月19日(米国時間)、「Roaming Mantis implements new DNS changer in its malicious mobile app in 2022｜Securelist」において、Wi-FiルータのDNS設定を不正に書き換えるマルウェアの脅威について伝えた。同社は、ルータに侵入してドメインネームシステム(DNS: Domain Name System)をハイジャックする機能を備えた「Wroba」と呼ばれるDNS Changer型マルウェアに注意するよう呼びかけている。 Roaming Mantis implements new DNS changer in its malicious mobile app in 2022｜Securelist 「Roaming Mantis」(別名「Shaoye」)と呼ばれている脅威アクターによ

Clarotyはこのほど、「{JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF｜Claroty」において、複数のセキュリティベンダーのWebアプリケーションファイアウォール(WAF: Web Application Firewalls)をバイパスするテクニックを発見したと伝えた。SQLインジェクション攻撃を適切に検知するWebアプリケーションファイアウォールを効果的に回避するテクニックが紹介されている。 {JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF｜Claroty WAFは、WebベースのアプリケーションやAPIを悪意のある外部HTTPSトラフィックから保護するために設計されているセキュリティ対策ツール。特にクロスサイトスクリプティングやSQLインジ

GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams｜eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。 GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のイ

近年、世界的に「サプライチェーン攻撃」と呼ばれる攻撃手法による被害が増加している。サプライチェーン攻撃とは、主に製品やサービス提供、あるいは情報連携のネットワークを通じて連鎖的に攻撃範囲を拡げていくタイプのサイバー攻撃を指す用語である。比較的セキュリティ対策が弱いとされる取引先やグループ会社が侵入経路になるケースが多いとされているが、被害が拡大する隠れた要因の一つに、拠点間を結ぶSSL-VPN製品の脆弱性が放置されがちなことも挙げられるとされている。 JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)が7月14日に公開した次のレポートにおいて、サプライチェーン攻撃とSSL-VPN製品の脆弱性の関係について、詳しく解説している。 なぜ、SSL-VPN製品の脆弱性は

人気の高いプログラミング言語であるPythonには、膨大な量のパッケージコレクションが存在している。開発者はこうしたパッケージコレクションを通じて、開発に必要な機能を取得して利用している。パッケージコレクションアップデートも簡単に行え、開発において欠かすことのできない機能となっている。 しかし最近では、この機能がサイバー犯罪者に悪用されるケースが出てきている。パッケージを通じてマルウェアへの感染を促すケースから、情報窃取を行うケースまでさまざまだ。開発者はパッケージコレクションに登録されているパッケージは安全なものと認識しているが、実際にはこのようにリスクの高い「偽のパッケージ」が含まれていることがしばしば指摘されるようになってきている。 SANS Internet Storm Centerが5月24日(米国時間)、「ctx Python Library Updated with "Ext

情報処理推進機構（IPA）は11月16日、これからDX（デジタルトランスフォーメーション）に取り組み始める、あるいは、現在取り組みの途中にある企業の担当者を対象に「DX実践手引書　ITシステム構築編」を公開した。 同書は3章構成であり、DXの実現に向けたITシステムのあるべき姿とその技術要素を紹介して、DX推進担当者が自社のITシステムをどのように変えるべきかを議論する段階を支援するという。 第1章は「DXを実現するための考え方」として、DXの位置づけや目的、その考え方を示す。第2章は「DXを実現するためのITシステムのあるべき姿」として、『社会最適』『データ活用』『スピード・アジリティ』の三つの要素を解説している。また、第3章では「DXに対する具体的な技術的アプローチ」として『データ活用』『マイクロサービス』『現行システムからの段階的移行の方法論』について、その考慮点や事例などを挙げてい

Microsoftは米国時間2021年5月26日、「Windows Package Manager(以下、winget)」のバージョン1.0をリリースしたことを明らかにした。wingetはWindows 10用パッケージ管理システムとして1年前の2020年5月から開発に取り組み、同社の開発者向けカンファレンス「Build 2021」に合わせて、当初の予定どおりバージョン1.0に至っている。GitHubのリリースページから、インストーラー版やサイドローディング版、ソースコードをダウンロードできるが、Microsoft Storeからアプリインストーラーをインストールした方が簡単だ。wingetはWindows 10 バージョン1809以降で利用できる。 日本語環境でも利用可能になったwinget 1.0 公式ブログによれば、バージョン1.0はインストール済みアプリケーションの管理(winge

ユーザーが実践できているかどうかは別として、サイバー攻撃で悪用されにくいパスワードを作成・運用するためのベストプラクティスはいくつもある。そのひとつに「パスワードを定期的に変更する」がある。IT部門が存在する企業では、ユーザーに定期的なパスワードの変更を強要しているケースも少なくない。しかし、このベストプラクティスはしばらくすると候補から外れるかもしれない。 The Hacker Newsは5月10日(米国時間)、「Is it still a good idea to require users to change their passwords?」において、企業はおそらく初めて、パスワードの定期的な変更を要求することがよいアイデアであるかを検討する必要に迫られていると伝えた。なぜなら最近、Microsoftが同社のパスワードに関するベストプラクティスを変更したためだ。同社の最新のパスワー

Canonicalは4月22日(米国時間)、「Ubuntu 21.04 is here｜Ubuntu」において、Ubuntuの最新版となる「Ubuntu 21.04」の公開を伝えた。Ubuntu 21.04は「Get Ubuntu | Download | Ubuntu」からダウンロード可能。Ubuntu 21.04の主な特徴は次のとおり。 Microsoft Active Directoryをネイティブ統合 Waylandグラフィック搭載 Flutterアプリケーション開発SDK搭載 Ubuntu向けに最適化されたMicrosoft SQL Serverの提供 デザインが刷新されたダークテーマ「Yaru」の導入 Ubuntu 21.04 is here｜Ubuntu 今回のバージョンでは、Microsoft Active Directoryとの統合が注目される。今回の統合によってUbun

情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は1月13日、「Microsoft 製品の脆弱性対策について(2021年1月)：IPA 独立行政法人 情報処理推進機構」において、Microsoftから提供された2021年1月の修正プログラムを至急適用するように呼びかけた。修正対象となっている脆弱性「CVE-2021-1647」を悪用した事実が確認されており、今後被害が拡大するおそれがあると指摘している。 Microsoft 製品の脆弱性対策について(2021年1月)：IPA Windows Updateの利用方法ついては次のサイトが紹介されている。 Windows Updateの利用的– Windows 10の利用– Microsoft Security Response Center Windows Update

今回は、Microsoft Teamsから作成するPower Appsアプリを紹介します。2020年11月にマイクロソフトから新しいローコードツールが提供開始となりました。「Microsoft Dataverse for Teams」（以下、Dataverse）と呼ばれるこの新しいプラットフォームでは、Power Appsでのアプリ開発をTeams上から直接行えるようになります。また、クラウド型のデータベースも用意されているので、ユーザーはスピーディーに業務アプリを開発し、組織に展開できるようになります。 以下の画面は、Teamsの「アプリ」から「Power Apps」を検索したところですが、今回のリリースによって同じPower Platform製品であるPower AutomateやPower Virtual Agentsも利用可能となっています。 Power Appsを選択すると左のメ

iPhoneの背面をタップすることでさまざまな処理を実行できる「背面タップ」。障がいを持つ人でもiPhoneを気軽に使えるようにするための「アクセシビリティ」に分類される機能ですが、工夫次第では健常者にとっても必要不可欠になるほどの可能性を秘めています。 背面タップは、2回続けてタップする「ダブルタップ」、3回続けてタップする「トリプルタップ」の2種類があり、それぞれに役割を割り当てられます。割り当てできる機能は、スクリーンショットや音量の上下などシステムで定義されている処理のほか、VoiceOverの呼び出しや画面の読み上げなどのアクセシビリティ機能、画面をスクロールさせる機能(スクロールジェスチャ)、ショートカットの呼び出しの4種類が用意されています。 なかでもユニークなのはショートカットです。さまざまな処理単位(アクション)を組み合わせ、「オートメーション」と呼ばれる一種のプログラム

Microsoftは米国時間2020年10月1日、「Microsoft Edge Tools for VS Code 1.1.0」をVisual Studio Marketplaceで公開した。Visual Studio Codeに同拡張機能をインストールすると、Microsoft Edge Toolアイコンが加わり、Microsoft Edgeで開いたWebページの開発が可能になる。本バージョンではデバッグモードを削除し、「Headless(ヘッドレス)」ブラウザーモードを新たに導入した。 Microsoft Edge Tools for VS Codeを起動した状態 公式ブログによれば、ヘッドレスブラウザーモードは対話可能なWebブラウザーウィンドウを新たに起動せず、Visual Studio Code内にWebブラウザーを内包し、より直感的なWeb開発環境を実現する。また、Webペー

VMwareは8月19日(米国時間)、「Announcing: VMware Fusion 12 and Workstation 16 - VMware Fusion Blog - VMware Blogs」において、向こう1、2カ月の間にリリースが予定されている次期バージョンの「VMware Fusion 12」および「VMware Workstation 16」について、主な新機能および変更点を伝えた。 次期バージョンからはライセンスおよび料金体系が変更となる。よって、該当する製品を利用している場合、今後の料金変更などに注意する必要がある。 Announcing: VMware Fusion 12 and Workstation 16 - VMware Fusion Blog - VMware Blogs 次期バージョンで予定されている主な新機能や変更点は、次のとおり。 macOS B

Microsoftは米国時間2020年6月10日、Excelに新たな関数「STOCKHISTORY」を追加することを公式ブログで明らかにした。文字どおり株価や債券、ファンド、通貨ペアなどの推移をExcelに取り込む関数で、現時点でOffice InsiderのBetaレベルを選択したユーザーの半数で展開している。 上場企業の株価履歴をExcelに取り込める(画像は公式ブログより抜粋) 「STOCKHISTORY(金融商品, 取得する最初の日時, [取得する最後の日時],[日週月単位の間隔],[見出し], [プロパティ]……)」と指定する。Microsoftの株価を取得するのであれば、「=STOCKHISTORY("MSFT", "3/17/1986", TODAY())」と記述すればよい。より詳細な記述はサポートページで確認できる。本機能はユーザーコミュニティの間で強い要望を集めていた。

winget使用サンプル wingetコマンドでVisual Studio Codeをインストールしている- 資料: Microsoft Windowsネイティブなパッケージ管理システムは開発者やアドバンスドユーザーが長らく望んできたもの。LinuxやmacOSにはパッケージ管理システムが存在しており、アプリケーションやツールのインストール・アンインストール・アップデートなどを手軽に実施できる。一方、Windowsにはこうしたシステムが存在しておらず、似たような環境を整備するのに手間がかかっていた。 「winget」はMicrosoft Storeよりも多くのアプリケーションが登録される可能性が高い。さらに、コミュニティや他のベンダーが提供するリポジトリを登録することが可能で、より多くのソフトウェアが手軽に導入できるようになると見られる。Microsoftがサードパーティにパッケージの提供

今回は、テレワークで利用できる簡単な申請書アプリの作り方を紹介します。新型コロナウイルスの感染防止策として、テレワークを始めた方も多いでしょう。ところが、会社では紙ベースの業務が多いために、やむを得ず出社をしている人も少なくないはずです。このような時、申請業務の一部だけでもペーパーレス化できれば助かりますよね。 今回作り方を紹介する申請書アプリは短時間で完成するスマホアプリです。開発者ではない方も簡単にできるので、試してみてください。 (1)登場人物をリストアップする。 今回は「社内物品購入申請書」をアプリにします。サンプルを用意しましたが、実際にお使いの申請書を手元に用意いただくと、よりわかりやすいと思います。最初に申請書に関わる人をリストアップしてみましょう。申請書の内容を確認してみると、登場人物は申請者、課長、部長、社長ということがわかりますよね。 (2)業務の流れを書き出してみる。