APEX NEWS Vol.64(2022年 秋号)
◆―◇―◆―◇―◆―◇―◆
APEX NEWS
2022年 秋号 Vol.64
◇―◆―◇―◆―◇―◆―◇
平素よりお世話になっております。株式会社エイペクスでございます。
本メールでは、弊社と保守契約を締結して頂いているユーザーの皆様へ、
保守サポートの一環として、パッチ情報を中心とした情報を
配信しております。
※3か月に1度(春号:4月 夏号:7月 秋号:10月 冬号:1月)の定期的な配信を
予定しております。
より一層のサービス向上を目指し、弊社社員一同邁進してまいりますので、
これからもよろしくお願いいたします。
※配信停止をご希望されるお客様は、末尾をご覧下さい。
※本メールは等幅フォントで最適化しております
◆━ 目次 ━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ PICKUP
「画像生成AIの台頭」
○ ITトレンド情報
「Chrome」を標的とするサイバー攻撃が急増–迅速なアップデートが
最良の防御策など
○ 技術情報
1. Microsoft 月例更新セキュリティ情報(2022年7月~9月分)
2.APEXセキュリティ情報
○ お知らせ
お問い合わせ窓口に関するご案内
DM配信スケジュール
ご質問受付について
次号配信予定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆
━━★PICKUP 「画像生成AIの台頭」 ★━━
2022年7月から8月にかけて、画像生成AIとして「DALL-E2」や「Midjourney」、
「Stable Diffusion」が公開されました。
画像生成AIとは、人間が与えた文章に基づいた画像を生成することができるAIサービス
のことであり、先ほど挙げた3つのサービスは3大サービスに数えられています。
「DALL-E2」は研究者や専門家向けに提供が始まったサービスです。
このサービスでは、画像の新規生成だけでなく、既存画像の編集も可能となります。
有名絵画の枠外の描写を生成し、絵画を拡張させることができます。
「Midjourney」はチャットアプリ「Discord」を利用して文章を入力し、
入力された単語情報から画像を生成します。
無料で約25回分、有料プランではより多くの画像生成が可能となります。
また、「Stable Diffusion」はイギリス・ロンドンのStability.Aiが開発し、
ソースコードを公開しているオープンソースの画像生成AIサービスであり、
商用利用に関する制限もないため、誰もがこのサービスを活用することが出来ます。
Stable Diffusionでは、「潜在拡散」と呼ばれるアルゴリズムを実装しており、
「潜在拡散モデル」は、純粋なノイズから少しずつノイズを取り除いていくことで、
「最終的に何らかの画像を得る」仕組みとなっています。
この仕組みにより、高画質化すると画像が破綻するという過去の弱点も克服し、
より高性能な画像生成が可能となっています。
Stable Diffusionで使用した学習用の画像は、関連の非営利団体Common Crawlが
Webスクレイピングにより収集した画像を利用しています。
画像生成AIは、簡単に目的の画像を生成してくれるといった便利な面がある一方、
懸念点も存在します。
AIが生成した画像の権利は誰のものなのか、画像の真贋性の判別はどうするのか
という問題です。
AIが生成した画像の著作権はAIに画像生成させたユーザーのものとなるのか、
また生成する画像が写真などと大差ないほど高画質となれば、AI画像を写真だと偽り、
偽情報の拡散に悪用される恐れがあります。
実際に、画像生成AIが登場する以前、作成された画像を写真だと偽って
嘘の情報が拡散される事件も発生しています。
芸術的な分野にも、AIが本格的に参入することとなりました。
技術の発展により、さらにクリエイティブな作品が作り上げられる可能性もありますので、
今後の展開に注目してみてはいかがでしょうか。
ここまでお読みいただき、ありがとうございました。
<参考URL>
・「画像生成AI」はどんな種類や違いがある?「Midjourney」「DALL・E2」「Stable Diffusion」などを比較
All About
https://allabout.co.jp/gm/gc/493720/
・誰もが知っておくべき画像生成AI「Stable Diffusion」の仕組みと使い方
ITmedia
https://atmarkit.itmedia.co.jp/ait/articles/2209/16/news041.html
・画像生成AI「Midjourney」すごいところ、心配なところ
ascii
https://ascii.jp/elem/000/004/103/4103784/
・「Stable Diffusion」の“破壊力” AI画像生成の隆盛
クラウド Watch
https://cloud.watch.impress.co.jp/docs/column/infostand/1441102.html
━━★IT トレンド情報★━
- 「Chrome」を標的とするサイバー攻撃が急増–迅速なアップデートが最良の防御策
ブラウザーの脆弱性を突くサイバー攻撃が増加しており、「Google Chrome」を狙うハッカーは増えるばかりだ。
WatchGuardのサイバーセキュリティ研究者らの分析によると、2022年第2四半期は、前四半期と比べて、Chromeや「Firefox」「Internet Explorer」(IE)といったブラウザーに対するマルウェア攻撃が全体で23%増加したという。
そうした増加の多くを占めるのは、Chromeに対するサイバー攻撃だ。WatchGuard Threat Labの「Internet Security Report」によれば、Chromeを標的にした攻撃は50%増加している。
https://japan.cnet.com/article/35193906/
※全文を読むには会員登録が必要となります
- 「AWS」「Azure」「GCP」のArmサーバを徹底テスト、その納得の勝者は?
クラウドネイティブなオープンソースAPIゲートウェイ「Apache APISIX」の開発チームは2022年8月12日(米国時間)、ネットワークI/O集約型シナリオにおける
「Amazon Web Services」(AWS)、「Microsoft Azure」(Azure)、「Google Cloud Platform」(GCP)の処理性能の比較結果を発表した。
狙ったのはArmベースサーバの優劣を見極めることであり、APISIXを使って比較テストを実行した。
https://atmarkit.itmedia.co.jp/ait/articles/2209/27/news085.html
※全文を読むには会員登録が必要となります
- Microsoft Exchange Online基本認証の廃止期限迫る、10月1日から
Microsoft Exchange Onlineで基本認証を使っているのであれば、注意が必要だ。Microsoftは2022年10月1日から基本認証のサポートを停止するとアナウンスしており、その期限が迫っている。
まだ基本認証を使っている場合、2022年10月1日以降、そう遠くない時期にサービスが使用できなくなるものとみられる(参考「Basic Authentication Deprecation in Exchange Online – September 2022 Update – Microsoft Tech Community」)。
https://news.livedoor.com/article/detail/22932731/
- 経産省、Google・Meta・ヤフーをデジタル広告における規制対象に指定
経済産業省は10月3日、米Googleと米Meta(旧Facebook)、ヤフー株式会社の3社を、デジタル広告分野における「特定デジタルプラットフォーム提供者」として規制対象の事業者に指定した。
これは、「デジタルプラットフォームの透明性及び公正性の向上に関する法律」(透明化法)により、特に取引の透明性・公正性を高める必要性の高いデジタルプラットフォームを提供する事業者を「特定デジタルプラットフォーム提供者」として指定し、規律の対象とするもの。
https://internet.watch.impress.co.jp/docs/news/1444628.html
━━★マイクロソフト セキュリティ情報★━━
~Microsoft 月例更新セキュリティ情報~(2022年 7月分)
深刻度:緊急「5件」重要「4件」
詳細情報:https://msrc-blog.microsoft.com/2022/07/12/202207-security-updates/
~Microsoft 月例更新セキュリティ情報~(2022年 8月分)
深刻度:緊急「7件」重要「3件」
詳細情報:https://msrc-blog.microsoft.com/2022/08/09/202208-security-updates/
~Microsoft 月例更新セキュリティ情報~(2022年 9月分)
深刻度:緊急「6件」重要「6件」
詳細情報:https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/
━━★APEX セキュリティ情報★━━
■はじめに APEXセキュリティ情報とは
APEXセキュリティ情報は、各セキュリティ情報や製品情報を
弊社が特選し掲載をするものです。
Microsoft社に限らず、重要だと判断した情報は展開しておりますので
ご活用頂ければ幸いでございます。
情報源は、JPCERT/CCを主としております。
JPCERT/CC : https://www.jpcert.or.jp/
- Adobe AcrobatおよびReaderの脆弱性(APSB22-39)に関する注意喚起
(2022/8/10)
- 概要
アドビからPDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェアAdobe Acrobat Readerにおける脆弱性に関する情報(APSB22-39)が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されるなどの可能性があります。脆弱性の詳細については、アドビの情報を確認してください。
アドビ
Security update available for Adobe Acrobat and Reader | APSB22-39
https://helpx.adobe.com/security/products/acrobat/apsb22-39.html
- 対象
対象となる製品とバージョンは次のとおりです。
– Adobe Acrobat DC Continuous(22.001.20169)およびそれ以前(Windows、macOS)
– Adobe Acrobat Reader DC Continuous(22.001.20169)およびそれ以前(Windows、macOS)
– Adobe Acrobat 2020 Classic 2020(20.005.30362)およびそれ以前(Windows、macOS)
– Adobe Acrobat Reader 2020 Classic 2020(20.005.30362)およびそれ以前(Windows、macOS)
– Adobe Acrobat 2017 Classic 2017(17.012.30249)およびそれ以前(Windows、macOS)
– Adobe Acrobat Reader 2017 Classic 2017(17.012.30249)およびそれ以前(Windows、macOS)
- 対策
Adobe AcrobatおよびReaderを次の最新のバージョンに更新してください。
– Adobe Acrobat DC Continuous(22.002.20191)(Windows、macOS)
– Adobe Acrobat Reader DC Continuous(22.002.20191)(Windows、macOS)
– Adobe Acrobat 2020 Classic 2020(20.005.30381)(Windows、macOS)
– Adobe Acrobat Reader 2020 Classic 2020(20.005.30381)(Windows、macOS)
– Adobe Acrobat 2017 Classic 2017(17.012.30262)(Windows、macOS)
– Adobe Acrobat Reader 2017 Classic 2017(17.012.30262)(Windows、macOS)
更新は、Adobe AcrobatおよびReaderの起動後、メニューより “ヘルプ” の次に “アップデートの有無をチェック” をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下のURLから最新のAdobe AcrobatおよびReaderをダウンロードしてください。詳細は、アドビの情報をご確認ください。
アドビ
Adobe Acrobat Reader DC ダウンロード
https://get2.adobe.com/jp/reader/
アドビ
Acrobat 2020 のダウンロード
https://helpx.adobe.com/jp/download-install/kb/acrobat-2020-downloads.html
アドビ
Acrobat 2017 のダウンロード
https://helpx.adobe.com/jp/download-install/kb/acrobat-2017-downloads.html
- 参考情報
アドビ
Latest Product Security Updates
https://helpx.adobe.com/security.html
- 情報源
Adobe AcrobatおよびReaderの脆弱性(APSB22-39)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220020.html
- Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
(2022/8/24)
- 概要
2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIのコマンドインジェクションの脆弱性に関する情報を公開しました。本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
- 対象
本脆弱性の影響を受けるバージョンは次のとおりです。
– Movable Type 7 r.5202およびそれ以前(Movable Type 7系)
– Movable Type Advanced 7 r.5202およびそれ以前(Movable Type Advanced 7系)
– Movable Type 6.8.6およびそれ以前(Movable Type 6系)
– Movable Type Advanced 6.8.6およびそれ以前(Movable Type Advanced 6系)
– Movable Type Premium 1.52およびそれ以前
– Movable Type Premium Advanced 1.52およびそれ以前
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。
- 対策
シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの運用をご検討ください。
– Movable Type 7 r.5301(Movable Type 7)
– Movable Type Advanced 7 r.5301(Movable Type Advanced 7系)
– Movable Type 6.8.7(Movable Type 6系)
– Movable Type Advanced 6.8.7(Movable Type Advanced 6系)
– Movable Type Premium 1.53
– Movable Type Premium Advanced 1.53
詳細は、シックス・アパート株式会社からの更新情報を参照してください。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
- 回避策
シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
– Movable TypeのXMLRPC API機能を無効化する
- 参考情報
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/
- 情報源
Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220022.html
- Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
(2022/9/13)
- 概要
2022年9月13日、トレンドマイクロ株式会社は、Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性(CVE-2022-40139)に関する注意喚起を公開しました。本脆弱性が悪用された場合、当該製品の管理コンソールにログイン可能な遠隔の第三者が、任意のコードを実行する可能性があります。トレンドマイクロ株式会社によると、本脆弱性を悪用した攻撃をすでに確認しているとのことです。
トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553
すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にパッチ適用などの対応を行うことを推奨します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。
- 対象
対象となる製品は次のとおりです。
– Trend Micro Apex One 2019
– Trend Micro Apex One SaaS
- 対策
トレンドマイクロ株式会社から、本脆弱性を修正するパッチが提供されています。対象の製品に対し早期に最新のパッチを適用してください。
– Trend Micro Apex One 2019 Service Pack 1 build 11092
トレンドマイクロ株式会社によると、Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正済みのためユーザーによる作業は不要とのことです。
- 回避策
トレンドマイクロ株式会社から、本脆弱性に対する回避策が提示されています。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。
– 当該製品へのアクセスを、信頼できるネットワークからのみに制限する
- 参考情報
トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)
https://success.trendmicro.com/jp/solution/000291471
Japan Vulnerability Notes JVN#36454862
Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
https://jvn.jp/jp/JVN36454862/
- 情報源
Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220023.html
今回の件につきまして提供いただける情報がございましたら、
JPCERT/CCまでご連絡ください。
━━★お知らせ★━━
~DM配信スケジュール~
3か月に1度(春号:4月 夏号:7月 秋号:10月 冬号:1月)配信予定
~次号配信予定~
2023年1月18日(水)
【編集後記】
10月に入り、2022年も残すところ3ヶ月となりました。
日が暮れると肌寒くなり、徐々に秋が深まりつつありますが
皆様いかがお過ごしでしょうか。
今年は世界情勢が大きく揺れ動く年となり、
不安な出来事も多く感じました。
また、国内においても自然が猛威を振るい、
災害に見舞われる一年となりました。
私も今号よりDMを担当させていただくこととなり、
不安な点も多くありました。
しかしながら、先輩方のお力添えもあり、
なんとか完成することが出来ました。
不安が大きくなるときこそ、
多くの人と力を合わせることによって
困難を乗り越えていければと感じております。
皆様もお体に気を付けて、お過ごしくださいませ。
◆◇————————————-
【文責】 APEX ソリューション推進部
APEX NEWS 編集者 新屋
—————————————◇◆
編集責任者: 新屋 亨真
発行責任者: 堀 智紀