Views: 0
月曜日、AppleはiPhone、iPad、Mac、Apple TV、そしてVision Pro向けの新しいソフトウェアアップデートをリリースしました(watchOSのアップデートは1日遅れて公開されました)。
これらのアップデートの主な焦点は、優先通知や新しい絵文字といった楽しい新機能ですが、最も重要な変更点は、Appleが各アップデートにひそかに組み込んだセキュリティパッチかもしれません。
Appleは今週、実に多くのアップデートをリリースしました。
新しいiPhoneやiPadをお持ちの場合、18.4では60件ものセキュリティ脆弱性が修正されています。
これには、悪意のある攻撃者が機密情報にアクセスしたり、Safariのプライベートブラウジングデータを閲覧したり、ローカルネットワークに静かにアクセスしたり、あるいは警告なしに画面録画を開始したりすることを可能にする欠陥が含まれます。
パッチの数が多いように思えるかもしれませんが、macOS Sequoia 15.4ではその数が倍以上に増え、最新アップデートで120件以上のパッチが提供されています。
幸いなことに、最新バージョンのiOS、iPadOS、macOSに含まれるパッチには、既知の悪用事例(exploit)はありません。
つまり、Appleが公表している限りでは、これらの欠陥を発見し、標的に対して悪用する方法を見つけ出した悪意のある攻撃者はいないということです。
それでも、対象となるすべてのデバイスをできるだけ早くアップデートすることが重要です。
繰り返しになりますが、これらのセキュリティパッチは実際には単なるソフトウェアアップデートです。
そのため、他のAppleのアップデートと同じようにインストールできます。
ほとんどのAppleデバイスでは、「設定」(macOSの場合は「システム設定」)>「一般」>「ソフトウェア・アップデート」に進み、画面の指示に従って最新のアップデートをダウンロードし、インストールしてください。
Source: Apple
Views: 0
フォールアウト4 私のお気に入りのゲームの1つであり、リリースからほぼ10年後に私を驚かせる方法を見つけ続けています。素晴らしいクエスト、仲間、発見する場所がいくつかありますが、常に改善の余地があります。の多くのように フォールアウト ファンダム、私は自分のゲームを改造していますが、プレイスルーに応じて回転している人もいますが、私の負荷順序に永続的な場所がある人もいます。Views: 0
今月はブログの帰郷のように感じます。今回は3つの新しいゲームを紹介していますが、それらはすべて本当に素晴らしいシリーズのものです。これらの推奨事項を包括的なシリーズの推奨事項と見なす場合は、3つの代わりに12の素晴らしいゲームを取得しています。
それが価値です。
私たちのお気に入りの両生類の物語は、ついにその結論に達しました。私たちはブログで何年もカエル探偵のかわいい態度の賞賛を歌ってきましたが、今ではカエル探偵フランチャイズを最初から最後まで演奏することができます。 この物語のミステリーゲームは、カウボーイの陰謀に巻き込まれたヒーローと一緒に、以前のゲームの幽霊や魔法使いの狩りからアンティを上げます。幸いなことに、彼らを助けようとする新しいフレンドリーなグーバーがたくさんあります。スクーターもあります! 誇張はありません:カエル探偵3は、私がゲームで見た中で最も偉大な冗談を言っているかもしれません。あなたが午後に乗り越えることができる間抜けで居心地の良いシリーズに興味があるなら、カエル探偵の三部作ほど良いことはありません。
オリジナルのバタフライスープは、私が今まで演奏した中で最高で最も快適なビジュアルノベルの1つです。このゲイの野球の子供たちの物語は、魅力的なキャラクターとユニークな芸術を通じて100%のカルトを獲得しました。最後に、私たちは物語を続けることができます。しゃれを許すなら、この続編は左フィールドから出てきましたが、どういうわけかオリジナルの魅力を保ちます。 バタフライスープ1を演奏している場合は、これをつかむだけです。そうでない場合は、それもプレイしてください。どちらも、1ヶ月後に行われ、多くのストーリーラインを続けている2つと、2つのストーリーを続けています。キャラクターは楽しいままですが、これは独占的にふわふわしたゲームではないことを心に留めておく価値があります。ここでは深刻なトピックがブローチされていますが、恵みがあり、ゲームをゆっくりと講義にせずに動かし続けます。
バタフライスープを試してみるもう1つの理由が必要ですか?どちらのゲームもあなたが望むものを支払うので、スイングをするリスクはありません!
わかりました、これは少し余分なものを必要とします:友達。壮大なラスティレイクシリーズの背後にある魔法使いは、友情の次元に拡大する協同組合のみのパズルを落としました。
両方のプレイヤーは、異なるが関連するパズルを解決するために協力しています。 Portal 2の協同組合をプレイしている場合、セットアップに精通していますが、これが以前に見たかもしれないものとは異なる場所は、1人のプレイヤーが将来的であり、1人は過去にいるということです。これは、これが3Dに進んだ最初のさびた湖であることを知っているときにのみ荒くなる興味深いセットアップです。私は当然知っている?これはあまり聞こえませんが、長年のファンにとってこれは大きなものです。
当然のことながら、これはすべて、Rusty Lakeのエスケープルームポイントアンドクリックの習得によって補完されます。パズルはスマートに設計されており、アートは不気味で興味深いものであり、いつものように、雰囲気は申し分のないものです。 あなたが彼らのクラフトのトップにあるポイントアンドクリックの開発者を見たいなら、これがそれを行う方法です。
Views: 0
AzureでDNSSECサポートがGAされたので、DNSSECの仕組みを理解しながら試してみました!
DNSサーバーへの問い合わせ結果をデジタル署名を使って検証する技術で、真正性(正規のDNSサーバーが応答した値であること、値が改竄されていないこと)を確保することができます。
DNSキャッシュポイズニングなどの攻撃に対する対策となりうるものですが、サーバーとクライアントの両方がDNSSECに対応している必要があります。
Azure DNS Public Zoneでcontoso.comゾーンを作成します。
まずはDNSSECは設定せず、Aレコードだけ登録しておきます。
 |
|---|
なお、ドメインはAWSのRoute53で購入しており、ネームサーバーとしてAzure DNSを使っています。
AzureでもApp Service Domainを使うとドメインの購入ができるのですが、DNSSECの設定で必須となるレジストラを通した上位ゾーン(例えば.com)へのDSレコード登録に対応していません。
AWSのRoute53は上位ゾーンへのDSレコード登録に対応しているので、ドメインだけ購入してAzure DNSのPublic ZoneでDNSレコードをホストするという形をとっています。
digコマンドでAレコードの問い合わせを行うと、Azure DNSに設定している値(10.0.0.1)が取得されます。
ゴディバ ジャパンは「メガパフェ チョコレート」(790円)を4月4日より全国のソフトクリーム取扱店にて期間限定で販売する。$ dig contoso.com. @8.8.8.8
; > DiG 9.16.50 > contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADERまだDNSSECの設定は行なっていないので、digコマンドにDNSSECデータを要求する+dnssecオプションをつけても、取得される内容に変化はありません。
$ dig +dnssec contoso.com. @8.8.8.8
; > DiG 9.16.50 > +dnssec contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADERAzure PortalでDNSゾーンを開き、DNSSEC を有効にするをオンにします。Azure DNSの設定としてはこれだけでOKです。
 |
|---|
有効化すると、署名の発行と検証に使用するキーペア(秘密鍵と公開鍵)が2組(ZSKとKSK)作成されます。(ZSKとKSKについては後で解説します)
親ゾーン(.com)にDSレコードとしてKSK公開鍵のハッシュを登録するまでは、状態表示が署名済みですが委任されていませんとなります。(DSレコードについても最後に解説します)
 |
|---|
親ゾーンのDSレコード登録に使用するKSK公開鍵も表示されているので、控えておきます。(Azure PortalのPublic key欄)
 |
|---|
親ゾーン(.com)にDSレコードとしてKSK公開鍵のハッシュを登録します。
今回はDSレコードの登録に対応しているレジストラのAmazon Route 53でドメインを購入しているので、AWS Management ConsoleでDSレコードの登録を行います。
ドメインはAWSのRoute53で購入しているので、AWSマネジメントコンソールのRoute53で取得したドメインを開き、DNSSECキーの追加を押下します。
 |
|---|
Azure DNSでDNSSECを有効化した際に表示されていたKSK公開鍵の値をコピペして追加すると、そのハッシュ値が生成されDSレコードとして親ゾーン(.com)に登録されます。
 |
|---|
digコマンドで親ゾーン(.com)のDSレコードを参照すると、KSK公開鍵のハッシュ値が登録されたことが確認できます。
$ dig @"$(dig +short com. NS | head -n 1)" +noall +answer +norecurse +nosplit contoso.com. DS
contoso.com. 86400 IN DS 55790 13 2 ED4E3A5BB244F5807CA5D2149EB69B29C3F71C386395C342E4461F483A1DD69B
Route53でDSレコード登録後にAzure DNSのDNSSECパネルを開くと、状態が署名済みで、委任が確立されましたに変わったことが確認できます。
 |
|---|
digコマンドにDNSSECデータを要求する+dnssecオプションをつけて実行してみると、flagsがflags: qr rd ra;からflags: qr rd ra ad;に変わっており、adが出力されるようになりました。
また、ANSWER SECTIONでRRSIGレコードも取得されています。
flagsのadはAuthentic Dataの略で署名の検証に成功したことを示します。
RRSIGレコードはリソースレコード(Aレコード)に対する署名で、これを用いて問い合わせ結果の真正性を検証しています。
$ dig +dnssec contoso.com. @8.8.8.8
; > DiG 9.16.50 > +dnssec contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER権威DNSサーバーの応答がなりすまされている状態を再現するため、親ゾーン(.com)のDSレコードに不適切なハッシュを登録してみます。
その状態でdigコマンドを実行すると署名の検証に失敗するので、flagsにadが出力されず、statusもSERVFAILとなります。
$ dig +dnssec contoso.com. @8.8.8.8
; > DiG 9.16.50 > +dnssec contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADERどのような仕組みで、署名の発行と検証が行われたのかを解説します。
まず、DNSSECでは通常のリソースレコード以外に、RRSIGレコードとDNSKEYレコードが使用されます。
ややこしいのですが、DNSSECでは2種類(ZSK、KSK)のキーペアが使用されます。
署名対象のレコードによって、使用するキーペアが異なります。
 |
|---|
digコマンドでDNSKEYレコードの問い合わせを行うと、ZSKとKSKの公開鍵を確認することができます。
RRSIGレコードはDNSKEYレコードセットの署名です。KSKのDNSKEYレコードと、RRSIGレコードのkey id 55790が一致しており、KSKで署名されていることが分かります。
$ dig +dnssec +multi contoso.com. dnskey @8.8.8.8
; > DiG 9.16.50 > +dnssec +multi contoso.com. dnskey @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADERcontoso.comゾーン)上に2種類(ZSK、KSK)のキーペア(秘密鍵と公開鍵)が作成されます。contoso.comゾーン)にリソースレコード(Aレコードなど)の問い合わせを行います。contoso.comゾーン)にDNSKEYレコードの問い合わせを行い、DNSSECのZSK公開鍵を取得します。このような流れで、RRSIGレコードとDNSKEYレコードを組み合わせて、正規のDNSサーバーが応答した値であること、値が改竄されていないことを検証しています。
 |
|---|
DNSKEYレコードで署名の検証に使用する公開鍵を受け取るのですが、RRSIGレコードもDNSKEYレコードもどちらも同じDNSサーバーから取得しています。
もし、偽装されたDNS応答であったとしても、DNSKEYレコードを用いたRRSIGレコードの検証は成功してしまうことになります。
そのため、公開鍵そのものも正規のものであるかを検証する必要があります。
ZSK公開鍵を含むDNSKEYレコードセットは、KSK秘密鍵で署名され、KSK公開鍵で検証されます。
KSK公開鍵の検証には、上位ゾーン(例えば.com)に登録しておいたDSレコードを使用します。
KSK公開鍵のハッシュを上位ゾーンにDSレコードとして登録しておき、DNSKEYレコードのKSK公開鍵がDSレコードのハッシュと一致していることを検証することによって、公開鍵の真正性を担保します。
 |
|---|
親ゾーンのDSレコードもRRSIGレコードでまた検証して…と、これをルートゾーンまで遡って検証していく仕組みになっています。これを信頼の連鎖と言うそうです。
https://dnsviz.net を使うと、対象ドメインからルートゾーンまでのDNSSEC信頼チェーンが正しく構成できているかをテストすることができます。
 |
|---|
DNSSECの仕組みを理解しながら、Azure DNSで実際に試してみました!
Azure PortalでDNSSECの有効化は簡単に行えますが、キーペアのロールオーバー、特にKSKを置き換える場合は親ゾーンのDSレコードの更新など、実際の運用で使うのは結構大変そうな印象を受けました。
Azure DNSにはまだ他にもいろいろな機能があるので、今後も試しながら更に理解を深めていきたいと思います!
Views: 0
inmobilexion(インモビ)は、動画・ニュース・サイト紹介を中心に、信頼性の高い情報をわかりやすくお届けする情報プラットフォームです。 「in-mobile」×造語の"〜xion"から生まれたインモビは、厳選・接続・導線など多様な意味を内包しながら、次世代の情報体験を提案します。
Contact us: info@inmobilexion.com
© インモビ by inmobilexion.com