Last modified: Mon Mar 30 12:18:31 2019 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 アマゾンの森林火災は“必然”だった──急速に進む恐るべき「緑の喪失」のメカニズム (WIRED, 8/28)
日韓秘密軍事情報保護協定 (ウィキペディア)。さんざんすったもんだしたものの 2016 年 (朴槿恵政権のとき) にようやく締結できたわけですが、たった 3 年で終了。 すったもんだの頃を思えば、さもありなんという気もします。
日韓秘密軍事情報保護協定の署名 (外務省, 2016.11.23)。締結時の記事。
もし明日、韓国との軍事情報共有協定(GSOMIA)が破棄されたら……どんな問題が起きるのか (黒井 文太郎 / Business Insider, 8/15)。本当に困るのは米国、という話。
いま軍事情報の共有がストップすることで、きわめて不都合な生じる分野もある。それは、米韓および日米の共同作戦だ。
(中略)
共同作戦を行う際、米軍は入手し得た軍事情報を最大限に利用する。いちいち「この情報は日本から得たものだから、日米共同作戦にしか使わない」とか「こちらの情報は韓国から得たものだから、米韓共同作戦にしか使わない」といった区別はおそらくしていない。米軍が独自に得た情報に、日本や韓国から得た情報をすべて加えて作戦を立案する。
ところが、日韓に軍事情報協定がないと、公式にはそれができなくなる。原則的には、ある国から供された情報は漏らしてはならないのが、世界的なルールだからだ(「サード・パーティ・ルール」といい、それがなければ、誰も情報を他国に提供などしなくなるだろう)。
だから、日韓でGSOMIAが結ばれていないと米軍は困る。
韓国、日韓軍事情報協定を破棄 「輸出優遇国」除外受け (朝日, 8/22)
軍事情報協定の破棄、喜ぶのは中ロ朝 日韓は大局的に (朝日, 8/22)
日韓軍事情報協定、破棄の衝撃 米「失望した」、安倍首相「信頼損なう」 日本に午後通告 (朝日, 8/23)。ポンペオ国務長官の発言「機密情報を共有する協定に関して行った韓国の決定に失望している」(8/22)
協定破棄に韓国世論は二分 深入り避けた米の覇権に陰り (朝日, 8/23)
キム・ヒョンジョン青瓦台国家安保室第2次官による談話を全文訳してみた! (韓国情報発信!コリ92, 8/23)
(時時刻刻)日米韓同盟、安保に暗雲 米は2度声明、非難強める 軍事情報協定 (朝日, 8/24)
破棄通告後の間隙突く北朝鮮ミサイル 先に動いた日本 (朝日, 8/24)
「北朝鮮から弾道ミサイルが発射されたものとみられる」
防衛省は24日午前7時10分、こう発表した。韓国軍による発表は、その26分後。7月25日以降、北朝鮮はこれまで6回にわたって発射を繰り返してきたが、いずれも韓国軍が先に発表していた。
米「文在寅政権、GSOMIAうそ」 (朝鮮日報 / Yahoo, 8/24)
米国務省と国防総省は22日(現地時間)、青瓦台の韓日軍事情報包括保護協定(GSOMIA)破棄決定に対して一斉に「文在寅(ムン・ジェイン)政権(Moon administration)に強い懸念と失望を表明する」との見解を明らかにした。米国が公式論評で「ROK(韓国)」と呼ばずに「文在寅政権」と呼ぶのは非常に異例なことだ。
「輸出規制撤回なら再検討」 軍事情報協定巡り韓国首相 (朝日, 8/27)、 経産相、輸出規制の撤回否定 韓国のGSOMIA破棄で (朝日, 8/27)
日韓対立、両国経済ほんろう 日本、韓国を輸出優遇国から除外 訪日客激減、不買運動も懸案 (朝日, 8/28)
韓国政権、大揺れ 文氏側近、娘の不正入学疑惑で捜索 GSOMIA破棄、野党「疑惑隠し」 (朝日, 8/28)
韓国では来年4月に総選挙があり、保守系の政治学者は「文氏に政策提言するのは学生運動出身者のグループで、チョ氏も学生運動出身者だ。GSOMIAは直前まで延長とみられていたこともあり、破棄が疑惑の打ち消しと指摘されても反論しにくい」と語る。
軍事協定破棄「韓国は再考を」 米次官補、文政権を非難 (朝日, 8/29)。シュライバー国防次官補の発言 (8/28)。
協定破棄、「失望」繰り返す米 国防次官補「韓国は再検討を」 (朝日, 8/30)
個人情報の保護に関する法律に基づく行政上の対応について (個人情報保護委員会, 8/26)、 個人情報の保護に関する法律第42条第1項の規定に基づく勧告等について (個人情報保護委員会, 8/26)。勧告と指導。
『リクナビDMPフォロー』に係る当社に対する勧告等について (リクルートキャリア, 8/26)
リクナビ「内定辞退率」データ提供の法的論点まとめと、プロファイリングの法的問題について (STORIA 法律事務所, 8/26)
(令和元年8月29日)「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」に対する意見募集について (公正取引委員会, 8/29)
「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」に対する当委員会の考え方について (個人情報保護委員会, 8/29)
》 仏検察が電通のパートナー企業に焦点、スポーツビジネス汚職捜査 (ロイター, 8/28)
国際スポーツビジネスを巡る汚職疑惑を捜査しているフランス検察当局は、摘発したスポンサー料の横領事件で、日本の大手広告代理店、電通(4324.T)のパートナーであるアスレティックス・マネジメント・アンド・サービシズ(AMS、本社スイス)が横領に利用された取引で「中心的かつ不可欠な役割」を果たしていたと判断、スイス当局にAMS本社の捜索と証拠の押収を要請した。
電通とAMSに資本関係はないが、国際陸連の弁護士リージス・ベルゴンジーが2017年7月にバン・リュインベック判事に提出した書面によると、電通の中村潔執行役員は2016年11月に東京で行われた会議で、両社は「完全に一体化している」と述べた。同じ会議で中村氏は、国際陸連の当時の最高経営責任者(CEO)オリビエ・ガーズ氏に「AMSは電通だ」とも語っている。この書面は、同弁護士が仏当局に提出した資料の一部で、ロイターが閲覧した起訴状の中で言及されている。
》 何百もの歯科医院がランサムウェア被害に--MSPのインフラを悪用 (ZDNet, 8/30)。バックアップサービス DDS Safe。
犯罪グループがソフトウェアプロバイダーに侵入し、その製品を使って顧客のシステムにランサムウェアを仕掛けた (中略) ランサムウェア攻撃にあった情報提供者は米ZDNetに対し、Digital Dental RecordとPerCSoftは身代金の支払いに応じたと述べた
》 マクニカネット、日本固有の攻撃もカバーする独自の脅威インテリジェンスを提供 (ZDNet, 8/29)、 マクニカネットワークス、高度な標的型攻撃の検知に特化した独自の脅威インテリジェンスの提供を開始 (マクニカネットワークス, 8/28)
》 脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在 (ITmedia, 8/30)。「第4回 IoTセキュリティフォーラム」レポート。
》 オーム電機 OHM RAD-H235N / RAD-P090Z 防災用モバイルラジオ (目指せ!ライトマニア HATTAのLEDライトレビュー, 8/29)
》 一部ドコモショップで「解約」だと来店予約できない問題、事実と判明し是正される (やじうま Watch, 8/30)。 「解約」を選ぶと満員表示に、ドコモショップの来店予約制から垣間見えた闇 (Buzzap!, 8/11) の状況が実際に起きていることが確認され、改善された模様。
WebKitGTK and WPE WebKit Security Advisory WSA-2019-0004 (oss-sec ML, 2019.08.28)。WebKitGTK 2.24.4、WPE WebKit 2.24.3 で修正。
CVE-2019-10222: ceph: unauthenticated clients can crash RGW (oss-sec ML, 2019.08.28)
ghostscript: CVE-2019-14811, CVE-2019-14812, CVE-2019-14813 and CVE-2019-14817 (.forceput exposed) (oss-sec ML, 2019.08.28)
Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability (Cisco, 2019.08.28)
Dovecot / Pigeonholeの脆弱性情報(Critical: CVE-2019-11500) (sios, 2019.08.29)
[Dovecot-news] CVE-2019-11500: (Dovecot, 2019.08.28)。Dovecot 2.3.7.2, 2.2.36.4 で修正。
[Dovecot-news] Pigeonhole release v0.5.7.2 (Dovecot, 2019.08.28)
Symantec VIP Cross-site scripting (Symantec, 2019.08.21)。クラウド側で対応済。
Linux Kernelの複数の脆弱性情報(Critical: CVE-2019-15504, CVE-2019-15505) (SIOS, 2019.08.28)
》 Windows Updateが原因でNTT東日本とNTT西日本のOCNで大規模通信障害8/29 (NAVER まとめ, 8/29)。なんじゃそりゃ……。
つづき: 一部サービスにおける通信遅延の発生について(回復済み) (NTT Communications, 8/29 19:00)
》 第105回IETF Meeting(モントリオール)報告 ~DNS関連WG、及び周辺会合における話題~ (JPRS, 8/29)。セキュリティ関連の話題も多数含まれてます。 Avoid IP fragmentation in DNS draft-fujiwara-dnsop-avoid-fragmentation-00 については
WGでは、提案内容をサポートする意見が多く挙がったものの、1220を固定値として指定することに対する反対意見もあり、引き続きメ―リングリスト上で議論されていく予定です。
》 (仮)RHEL8, Red Hat Insights Tech Seminar (connpass)。2019.09.27、東京都渋谷区、無料。面さん情報ありがとうございます。
》 ドコモ、金融機関に「信用スコア」提供 「ケータイ料金支払い履歴」など活用、融資の審査に生かす (ITmedia, 8/29)
》 AWS、複数のアベイラビリティゾーンで稼働していたアプリケーションでも大規模障害の影響があったと説明を修正。東京リージョンの大規模障害で追加報告 (publickey, 8/28)。 東京リージョン (AP-NORTHEAST-1) で発生した Amazon EC2 と Amazon EBS の事象概要 (amazon) が 8/28 付で更新された件の解説。
これまでAWSは、障害が単一のアベイラビリティゾーンに閉じているかぎり、アプリケーションを複数のアベイラビリティゾーンに対応させれば可用性を確保できると説明してきました。
しかし今回、一部とはいえその説明が有効ではない事象が実際に東京リージョンで発生しました。ネット上では「どうすれば今回のような障害に対応できるシステムを設計し得るのか?」について、多くの議論や意見が表明されており、真剣なAWSユーザーであれば誰でも、そのオフィシャルな答えを求めています。
しかし Amazon はその答えを明らかにするつもりはないようで。
AWS では、個別の問題についての詳細な情報を、影響を受けたお客様に直接、共有を行う予定です。
》 武田邦彦氏、『ゴゴスマ』で反韓ヘイト・犯罪教唆発言 (8/27)
武田邦彦氏の「ゴゴスマ」での反韓ヘイト扇動が異常すぎる→翌日もこの件スルーで反韓放送→抗議行動 (NAVER まとめ, 8/27)
韓国人の暴行事件に『ゴゴスマ』で武田邦彦が「日本男子も韓国女性が来たら暴行しなけりゃいかん」とヘイトクライム煽動 (リテラ, 8/28)
ご意見・ご感想 (CBC)
ゴゴスマ〜GOGO!Smile!〜 (TBS)。「平日のゴゴ、全家庭に笑顔をお届けします」。反韓ヘイトにまみれた笑顔ですか……。
ゴゴスマ @cbc_gogo。 最新ツイートが 7/19 って……。
》 PayPay、不正利用時の被害額を「全額補償」 利用規約に明記 (ITmedia, 8/28)。来ましたね。
》 AWS大障害で冗長化の要「ALB」にも問題が起こっていた可能性 (日経 xTECH, 8/28)
障害が起こっていたとみられることが新たに分かったのは、アプリケーションロードバランサーの「ALB」、インメモリーキャッシュの「Amazon ElastiCache」、データウエアハウスの「Amazon Redshift」。このうち、ALBは冗長構成の要となるサービスだ。ALBで実用上問題となるレベルの障害が発生したとみられ、これが原因でアベイラビリティーゾーン(独立性の高いデータセンター群)横断の冗長構成にしていたシステムでも想定通りに動作しなかった可能性がある。
越すに越されぬ大井川
意見交換会 (JR 東海、静岡県環境保全連絡会議専門部会) (8/20, 21)
「湧水全回復、一定期間困難」 意見交換でJR認識、県は反発 (静岡新聞, 8/21)
沢田次長は「(トンネルが)両県(の区間)とつながらない一定期間の工事中は水が戻せなくなる」と指摘。一方で「トンネルがつながれば水は戻せる」とし、全量を戻せないのはあくまで一時的との見解を示した。
難波副知事は両県への水の流出が明らかになったことに「(JRと地元の)深い相互理解は得られない」と懸念を示した。ただ、「JRは(事実を)包み隠さず出してきた」と指摘。意見交換会の内容についても「全体としてはいい議論ができた」と評価した。
リニア意見交換会、課題の多さ浮き彫り JR、9月に回答提出へ (静岡新聞, 8/22)
21日は同会議生物多様性専門部会の委員4人が出席。JRが河川の生態系保全のために整理した食物連鎖図について、板井隆彦部会長(静岡淡水魚研究会長)は連鎖の関係性が表現できていないとし「このような資料をいくら整理しても、正確な生態系の把握はできない」と述べた。
工事の影響を受けると考えられる魚類を工事前に別の場所に移す代償措置の考え方について、生態系に詳しい山田久美子委員(県立看護専門学校非常勤講師)は「魚はある程度移せても底生昆虫は移せないので全滅する」と対策の難しさを指摘した。
リニア工事で大井川流量減少 JR 湧水全量戻せず 静岡県 「認められない」 意見交換会 (しんぶん赤旗, 8/23)
この中でJRの担当者が「一定期間、(湧水)全量を戻せない期間が生じる」と発言。「湧水全量を戻す」ことを前提に対話を進めてきたため、議論を見守っていた難波喬司副知事が「工事中に全量は戻さないと今はっきり宣言された。利水者も黙っておれない。看過できない」と批判する場面がありました。(中略) 難波副知事は交換会後の会見で「大問題。相当深い議論をしないと、とても相互理解は得られない」と話しました。
川勝平太知事、8/23 定例記者会見 「トンネルを掘る側に技術的に解決する責任がある」
リニア工事、湧水全回復は「責任」 JR対策、重ねて求める (静岡新聞, 8/24)
リニア中央新幹線 大井川流量減少 知事「技術的解決」を要望 JRに /静岡 (毎日, 8/24)
中津川の崩落・陥没事故 (4/8)
リニアトンネル工事、地上部で陥没確認 坑内に小崩落も (朝日, 4/9)
6月議会質問(4) リニア中央新幹線の非常口工事における陥没事故を受けた対応について (岐阜県議会議員 中川ゆう子, 7/5)。6月のいつだろう。
4月8日、中津川市山口地内で掘削中の非常口トンネルの地上部が崩落し、地上に直径8メートル、深さ5メートルもの陥没事故が起きました。
4日にトンネル内で崩落が発生し、8日にその真上部分の土砂が崩落したことによるものです。
岐阜県環境影響評価審査会 地盤委員会 (7/5)
岐阜県環境影響評価審査会地盤委員会の開催について (岐阜県, 6/28)、案内本文 (岐阜県, 6/28)
審議の結果は、下記のホームページで後日公表します。
県庁ホームページトップ>くらし・防災・環境>環境>環境保全>環境影響評価の実施状況
http://www.pref.gifu.lg.jp/kurashi/kankyo/kankyo-hozen/c11264/index_15083.html
後日がいつなのかは不明。
リニア中央新幹線 崩落事故再発防止へ 安全対策を説明 JR東海など /岐阜 (毎日, 7/6)。「JR東海などは5日、中津川市で4月に発生した崩落事故の再発防止に向けた安全対策を県環境影響評価審査会に示した」 「県は委員の意見を踏まえ「知事意見書」をJR東海側に提示し、見解を待つ方針」
岐阜県環境影響評価審査会について (岐阜県)、 中央新幹線(東京都・名古屋市間) (岐阜県)
岐阜県環境影響評価審査会 地盤委員会 (8/20)
第2回岐阜県環境影響評価審査会地盤委員会の開催について (岐阜県, 8/8)、 案内本文 (岐阜県, 8/8)
リニア中央新幹線 崩落事故で再発防止策補足説明 JR東海など /岐阜 (毎日, 8/23)。「県は審査会意見を取りまとめ、今秋にも「知事意見書」をJR東海側に提示する」
「崩落事故を考える交流会」(岐阜県民ネット) (「東濃リニア通信」<東濃リニアを考える会>, 8/26)
》 広告ブロッカーは「嫌ならどうする?」の表明である (P2P とかその辺のお話 R, 8/13)
》 海賊版サイト対策「ブロッキングとDL違法化拡大はやめて」 京都弁護士会が意見書 (弁護士ドットコム, 8/21)
》 インターネット・アーカイブがロシアで永久ブロッキングの危機に直面 (P2P とかその辺のお話 R, 8/26)。archive.org の話。
》 Cloudflareによる8chan追放の判断、海賊版サイトに影響は? (P2P とかその辺のお話 R, 8/26)
》 カザフスタンの音楽検索サイト、政府による通信傍受を受けてHTTPSを捨てる (P2P とかその辺のお話 R, 8/24)。 カザフスタン政府の侵入的インターネット監視に立ち上がった主要ブラウザベンダー (P2P とかその辺のお話 R, 8/24) のつづき。
》 Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 (Flatt Security Tech Blog, 8/23)
本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、簡単な紹介と解説をしたいと思います。
》 Improve security and simplify operations with Windows Defender Antivirus + Morphisec (Microsoft, 8/27)
》 Windows 10 の Windows Defender オフラインがちゃんと使える子になった件 ( 山市良のえぬなんとかわーるど, 8/27)
》 GitHub joins WebAuthn club (Sophos, 8/27)
GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた (r-weblife, 8/22)
》 スマートフォン利用者を狙うSMS経由の攻撃が2019年を通じて拡大 (トレンドマイクロ セキュリティ blog, 8/26)
》 Googleはウェブのプライバシーとフィンガープリントの新たな対策を提案 (techcrunch, 8/28)、 闇雲なCookieのブロックはプライバシー保護に逆効果? Googleが“Privacy Sandbox”を提案 (窓の杜, 8/28)
》 セキュリティ・キャンプ2019で使用した、熊猫のテキストを公開しました。 (熊猫さくらのブログ, 8/18)
》 髙橋健一法律事務所のサイトは、日弁連指針に違反する誇大広告の可能性があるため弁護士会に情報提供しました (悪徳商法?マニアックス ココログ支店, 8/22)
》 Impervaの顧客情報流出についてまとめてみた (piyolog, 8/28)、 Cybersecurity Firm Imperva Discloses Breach (Krebs on Security, 8/27)
イスラエルがシリア空爆-イラン革命防衛隊「コッズ部隊」も対象 (ブルームバーグ, 8/25)、 イスラエルがダマスカス空爆 「イランによる攻撃を阻止」と発表 (CNN, 8/25)
イラクのシーア派武器庫、空爆か イスラエル、1981年以来 (東京, 8/25)、 代理戦争? イスラエルのドローン攻撃で1人死亡、イラク民兵組織が非難 (AFPBB, 8/26)
イスラエル無人機侵入か レバノンでヒズボラ施設爆発 (日経, 8/26)
№84 イスラエル:レバノン、シリア、イラクを空爆 (髙岡 豊 / 中東調査会, 8/26)
イスラエル、3カ国で相次ぎ攻撃、イランとの“影の戦争”激化 (佐々木伸 / WEDGE Infinity, 8/27)
》 人類史上初めて宇宙空間で犯罪が行われた可能性、NASAの宇宙飛行士が不正アクセスの疑い (gigazine, 8/26)
》 Netflixの「グレート・ハック」は、日本のソーシャルメディアや、マーケPR関係者に是非見てほしい (徳力基彦 / note, 8/3)。
facebookとケンブリッジアナリティカのスキャンダルを、始まりから最後まで当事者に張り付いてまとめた映像作品です。(中略) このドキュメンタリーでは、彼らのやり方に疑問を抱いて、勇気を持って一石を投じた人物と、それによって目が覚めて重要な内部告発の役割を担う人物の両方にスキャンダルの初期から密着してるのが、本当にすごいです。
》 Windows 7更新プログラムを2020年1月以降に1年間無償提供するプロモーションを実施 「Windows 10 E5」「Microsoft 365 E5」ユーザー向け (Internet Watch, 8/27)。E5 拡販フェア、来ましたね。
》 まもなく訪れる「5G革命」、リスクだらけの知られざる現実 (WIRED, 8/25)
最も注目すべきは国際標準を巡る最近の交渉において、5Gの技術設計にサイバー攻撃を防ぐ手立てを含めるという要件を米国が削除したことだ。「新しいネットワークの標準設計において、サイバーセキュリティを転ばぬ先のつえとして要件に含めるはずだった。歴史上初めてとなったはずのこの取り組みを、トランプ政権下のFCCは撤回してしまった」と、ウィーラーは書いている。
FCCはまた、米国のデジタルネットワークを構築・運営する企業はセキュリティの監視に責任をもつという考え方も却下した。これは予想されていたことかもしれないが、最近にいたってはFCCもサイバーセキュリティを担当領域だとはみなしていない。
5Gを巡っては、高い周波数帯が使われることと大量の無線基地局が密に設置されることが相まって、人体に悪影響があるのではないかという懸念も生じている。
さらに、大量の通信基地局のほかアンテナやセンサーで構築されるシステムは、これまでは考えられなかったレヴェルで個人を監視する世界を築く恐れがある。
》 情報流出の危険性がある「放置アカウント」、いますぐ削除する2つのステップ (WIRED, 8/25)
》 「記録的猛暑~確かになる温暖化の影響」(時論公論) (NHK 解説委員室, 8/20)
》 「計画運休 去年の台風の教訓は生かされたか」(くらし☆解説) (NHK 解説委員室, 8/21)
2018年の台風のとき、あらかじめ計画運休の手順を決めていた会社は、JR西日本以外にはほとんどありませんでした。このときの反省は、多くの鉄道会社が準備不足だったということだと思います。それに対して今回は、鉄道各社が早い段階からそろって対応したのが大きな特徴です。この点が2018年と大きく違う点です。
》 「急増する長期収容 高まる批判にどうこたえるか」(時論公論) (NHK 解説委員室, 8/21)。#FREEUSHIKU の件。
》 Gartner names Microsoft a Leader in 2019 Endpoint Protection Platforms Magic Quadrant (Microsoft, 8/23)。ガートナー、Microsoft Defender Advanced Threat Protection を業界トップのエンドポイント製品と認める。
日本語版: マイクロソフト、2019 年のガートナー マジック クアドラントのエンドポイント保護プラットフォーム部門で「リーダー」の評価を獲得 (Microsoft, 9/2)
》 ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める (gigazine, 8/23)
》 Amazon’s Choiceラベルは「良い商品」についているわけではない (gigazine, 8/19)。うへえ。
CVE-2019-15107: Exploit Modules Available for Remote Code Execution Vulnerability in Webmin (2019.08.23)
関連:
Webminの脆弱性(CVE-2019-15107)を標的としたアクセスの観測について (警察庁, 2019.08.23)
サーバー管理ツール「Webmin」でバックドア混入が発覚 (gigazine, 2019.08.26)
Chrome 76.0.3809.132 公開。3 件のセキュリティ修正を含む。
JVN#71877187 - サイボウズ Garoon における SQL インジェクションの脆弱性 (JVN, 2019.08.26)
「Garoon 4.10 Service Pack 3 パッチプログラム」リリースのお知らせ (2019/8/23) (サイボウズ)
下記にて公開しておりましたパッチプログラムに不備が見つかったため、只今公開を停止しております。
ご迷惑をおかけし、大変申し訳ございません。
Security Bulletin: NVIDIA GPU Display Driver - August 2019 (NVIDIA, 2019.08.14)
wpa_supplicantの脆弱性(Moderate: CVE-2019-13377) (sios, 2019.08.23)
NSDの脆弱性情報が公開されました(CVE-2019-13207) (JPRS, 2019.08.22)。NSD 4.2.2 で修正。
Linux Kernelの脆弱性情報(Important: CVE-2019-9506) (sios, 2019.08.20)
Linux Kernelの複数の脆弱性情報(Moderate: CVE-2019-15211, CVE-2019-15212, CVE-2019-15213, CVE-2019-15214) (sios, 2019.08.21)
Linux kernel: multiple vulnerabilities in the USB subsystem x2 (oss-sec ML, 2019.08.20)
ghostscript CVE-2019-10216: -dSAFER escape via .buildfont1 (oss-sec ML, 2019.08.12)。CVE-2019-10216。開発版では修正されている。
iOS 12.3 等で直したつもりの CVE-2019-8605 が直り切っていなかった、ということでいいのかな。
About the security content of iOS 12.4.1 (Apple, 2019.08.26)
About the security content of tvOS 12.4.1 (Apple, 2019.08.26)
About the security content of macOS Mojave 10.14.6 Supplemental Update (Apple, 2019.08.26)
同時に watchOS 5.3.1 もリリースされており、リリースノートには「重要なセキュリティアップデートが含まれ」ていると報じられていますが、 https://support.apple.com/en-us/HT201222 によると「This update has no published CVE entries」とされています。
関連:
アップルがiPhoneの「脱獄」を可能にするセキュリティー欠陥を再度修正 (techcrunch, 2019.08.27)
@Pwn20wnd。今回の件で謝辞されている方。
《いまだ断行中》「なぜ私は佐野SAストライキを始めたのか」渦中の“解雇部長”が真相を告発 (文春オンライン, 8/24)
《ストライキ続行中の佐野SA》”解雇部長”がベテラン従業員たちの心を掴んだ理由 (文春オンライン, 8/25)
》 三井住友カード「Vpass」アプリに1.6万件の不正ログインか “リスト型攻撃”でログイン試行総数は500万件 (Internet Watch, 8/23)
なお、クレジットカード番号についてはマスキングを行っているため、特定されることはないという。
そのマスキングの実態がアレ、という話が……
ツイート:
三井住友カードはPCIDSS認証取得しているようですし、カード番号のマスク表示要件は少なくともPCI DSS 1.1(2006年9月)以降変わっていない(1.0は手元になかった)のに、どうしてVpassでは13桁もカード番号がマスクされずに表示されているのだろう🤔
— 徳丸 浩 (@ockeghem) August 24, 2019
三井住友のクレジットカード番号が下3桁マスクなのマジで狂ってると思ってたけどまあそうだよね。ちなみにvpassアプリだけでなくWeb明細書でも下3桁マスクで表示されますね。他の領収書には下4桁が表示されるので一瞬で番号がバレます。
— bakedroy (@_bakedroy) August 24, 2019
》 東京リージョン (AP-NORTHEAST-1) で発生した Amazon EC2 と Amazon EBS の事象概要 (amazon)。8/23 の件。不具合が多重に発生していたのだそうで。
今回の事象発生の直前に、データセンター制御システムは、制御ホスト群から制御ホストの 1 つを外す処理を行なっていました。このようなフェイルオーバーの間、新しい制御ホストがデータセンターの最新状況を保持する為に、制御システムは、他の制御システムおよび制御するデータセンター機器 (データセンター全体の冷却装置および温度センサーなど) と情報を交換する必要があります。サードパーティ製の制御システムにおけるロジックのバグにより、この情報交換が制御システムとデータセンターのデバイス間で過度に発生し、最終的には制御システムが応答しなくなりました。AWS のデータセンターは、データセンターの制御システムに障害が発生した場合、制御システムの機能が回復するまで冷却システムが最大冷却モードになるよう設計されています。これはデータセンターのほとんどで正常に機能していましたが、データセンターのごく一部で冷却システムがこの安全な冷却構成に正しく移行できず停止しました。追加の安全策として、AWS のデータセンターオペレータは、データセンター制御システムを迂回し冷却システムを「パージ」モードにすることで故障に際しての熱風を素早く排出する能力を持っています。運用チームは、影響のあるデータセンターのエリアで冷却システムを「パージ」モードにしようとしましたが、これも失敗しました。この時点で、データセンターの影響を受けるエリアの温度が上昇し始め、サーバーの温度が許容限度を超え、サーバーの電源が停止し始めました。データセンター制御システムが利用できなかったため、データセンターオペレータはデータセンターと冷却システムの健全性と状態に対する可視性が最小限に限定されていました。この状況を改善されるためにはオペレータは影響を受けるすべての機器を手動で調査してリセットし、最大冷却モードにする必要がありました。これらの対応時に一部の空調ユニットを制御する PLC も応答しないことが見つかりました。これらの PLC はリセットする必要があり、またこの障害によりデフォルトの冷却モードと「パージ」モードが正常に動作していないことが確認できました。これらのコントローラがリセットされると、影響のあったデータセンターのエリアへ冷却が行われ室温が低下し始めました。
》 カモ井加工紙 MT EX 20mm×10m 定規 マスキングテープ (目指せ!ライトマニア HATTAのLEDライトレビュー, 8/23)
アカリセンター のスタッフが考案したもので賢いなあと思ったのはこちら。スマホの裏に貼って置く方法ですね。特に現場仕事などでちょっとした計測をする機会が多い方なら役に立つ手法です。
》 知らぬ間にネット履歴分析、着々 リクナビ問題の本質 (朝日, 8/21)
リクナビでの閲覧履歴の分析のように、ネット上の閲覧や検索、購買などの履歴や位置情報、性別、年齢などの様々なデータを集めてコンピューターが分析し、特定個人の好みや能力、行動などを予測することをプロファイリングと呼ぶ。
プロファイリングについて、法的にはどう規定されているのか。日本では個人情報保護法に明確な規定がなく、企業は個人情報を使ってプロファイリングしているかどうかを明示する必要がないのが現状だ。慶応大の山本龍彦教授(憲法)は「対応が遅れている」という。
一方、欧米ではプロファイリングを法的に規律する動きが進む。欧州連合(EU)の個人情報保護を定めた「一般データ保護規則(GDPR)」では、プロファイリングされることに異議を唱える権利や、自動処理のみによって重要な決定を下されない権利が明記されている。来年施行される米カリフォルニア州の「消費者プライバシー法」では、消費者に関する「推論」が個人情報に含まれている。
》 AWS東京リージョンで障害、EC2やRDSに影響 (CNET, 8/23)、 AWSの東京リージョンに障害発生 ゲームからWebサービスまで大きな影響 (ascii.jp, 8/23)。13 時ごろからだそうです。継続中。
関連:
AWS 東京リージョンで発生した大規模障害についてまとめてみた (piyolog, 8/23)
ツイート:
レンタルサイクルでラーメンを食べに行ったらAWSがダウンしたせいで電子鍵が開かなくなり、ラーメン屋から出られないバグが発生しました。 pic.twitter.com/PQ4mVbDg31
— ③⑧③⑤ (@daiki3835) August 23, 2019
》 グーグル、アップル、モジラがカザフスタン政府発行の証明書ブロック--市民のネット利用監視か (ZDNet, 8/22)、 Protecting Chrome users in Kazakhstan (Google, 8/21)
》 ジュネーブ諸条約70周年記念シンポジウム:「人道への挑戦」~自律型兵器の発展と人間による制御 (赤十字国際委員会 ICRC, 8/13)。2019.09.07、東京都目黒区、たぶん無料。
》 タッチ操作は使いにくかった? 米海軍が駆逐艦の操作を“アナログ”に戻す決断の教訓 (WIRED, 8/21)。ジョン・S・マケインの件。
NTSB Accident Report on Fatal 2017 USS John McCain Collision off Singapore (USNI, 8/6)。事故調査報告書が公開されています。
米海軍が駆逐艦からタッチパネルを撤廃、旧来のスロットル操縦に戻す (engadget, 8/12)
》 町山智浩 Netflix『ブラジル-消えゆく民主主義-』を語る (miyearnZZ Labo, 7/16)
》 独自の画像処理解析でリアルタイムに危険な状況を示す監視システムを開発 第1弾として、森ビル株式会社が推進する施設の機械式立体駐車場に導入予定 (大日本印刷, 8/20)。事故防止が主眼みたい。
》 Twitter・Facebookに続いてYouTube上でも「香港デモの情報操作」を検出したとGoogleが公表 (gigazine, 8/23)、 Googleが「中国政府は香港へのデマ拡散、不穏化にYouTubeを組織的に利用」と発表 (techcrunch, 8/23)
》 LinkedIn、2019年上半期に2160万件の偽アカウントを停止 (ZDNet, 8/22)
》 Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 (ITmedia, 8/22)。Confidential Computing Consortium (CCC)。 メンバーは「Alibaba、Arm、Baidu、Google Cloud、IBM、Intel、Microsoft、Red Hat、Swisscom、Tencent」。Amazon がいない。
》 ローソン、「深夜に店員ゼロ」を実験へ QRコードで入店、セルフレジで決済 遠隔監視で万引き防止 (ITmedia, 8/22)。「ローソン氷取沢町店」(横浜市)で、8/23 から。
rest-client をはじめとする 11 の Ruby ライブラリが改ざんされ、バックドアを仕掛けられていたのだそうで。
この攻撃を実行した人物は、1カ月以上前から活動していたが、その活動は発見されずにいた。
しかし、このハッカーがあるrest-clientの開発者のRubyGemsアカウントへのアクセスを獲得し、このアカウントを使用して悪質なバージョンのrest-clientをRubyGemsにプッシュすると、状況は変わった。
これまで1億1300万回もダウンロードされている有名なプロジェクトをターゲットにしたことで、このハッカーの活動は明るみになり、問題のライブラリは、rest-clientのライブラリに悪質なコードが発見されてから数時間以内に削除された。
“多くの目”はひきつづき有効ということかな。
関連: 週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか (TechRacho, 2019.08.21)
Webmin 1.882〜1.921 に、無認証で remote から任意のコードを実行できる欠陥。 特に Webmin 1.890 においては、デフォルト設定で欠陥が有効。 その他においては、user password change オプションを有効にした場合に欠陥が発現。 CVE-2019-15231
Webmin 1.930 で修正されている。また Webmin 1.900〜1.920 の場合は、 /etc/webmin/miniserv.conf から passwd_mode= 行を削除した後に /etc/webmin/restart することで回避できる。
Webmin 1.930 and Usermin 1.780 released (virtualmin.com, 2019.08.17)
Security Alerts (Webmin)
Webmin <= 1.920 - Unauthenticated RCE (Pentest Blog, 2019.08.10)
Hackers Planted Backdoor in Webmin, Popular Utility for Linux/Unix Servers (Hacker News, 2019.08.20)
The year-long rash of supply chain attacks against open source is getting worse (ars technica, 2019.08.21)
Webmin 0day remote code execution (firo solutions blog, 2019.08.17)
関連:
Webminの脆弱性(CVE-2019-15107)を標的としたアクセスの観測について (警察庁, 2019.08.23)
サーバー管理ツール「Webmin」でバックドア混入が発覚 (gigazine, 2019.08.26)
初報は FLIDAY?
東北道 佐野SAの運営会社が倒産危機で棚が空っぽの異常事態 (FLIDAY, 8/11)
日刊スポーツがいちばんきちんと報じている感じ。
営業停止の佐野SA泥沼背景「来るべくしてきた」 (日刊スポーツ, 8/14 20:04)
佐野SAでストライキ突入、売店など一斉にストップ (日刊スポーツ, 8/14 20:10)
営業停止の佐野SA、交渉ないまま社長会見に不信感 (日刊スポーツ, 8/16 00:41)
佐野SA再開めど立たず 職員がカレーなど販売も… (日刊スポーツ, 8/16 22:11)
名物ラーメン再開も従業員無念「違う味」佐野SA (日刊スポーツ, 8/16 22:11)
スト発生から2日後の16日、営業を一部再開し、名物「佐野ラーメン」の提供が始まった。(中略) ただ、店頭に立ったのは運営会社「ケイセイ・フーズ」のストライキを起こした従業員たちではなかった。関係者によると、お盆休み中の同社社員や付き合いのある関係者で、佐野ラーメンを提供したのも別業者だという。 (中略) ストを起こした従業員たちも同日、取材に応じ「今、提供されている佐野ラーメンは、私たちのものとは違う味になっている」と反発した。
材料も調理人も別ものですか。名ばかり佐野ラーメン。
佐野ラーメン復活も労使の溝深くスト問題長期化必至 (日刊スポーツ, 8/17 08:05)
佐野SAスト社員が公開質問状「融資凍結で経営危機」 (日刊スポーツ, 8/18 14:17)。根本原因の詳細が明らかに。
今回、質問状を公開したのは、スト前日の13日午後、岸社長に経営危機について追及、糾弾し解雇された、総務部長の加藤正樹氏。
まとめ
【佐野SA上り】佐野サービスエリア ケイセイ・フーズ社長の経営方針に反発の従業員がストライキで廃墟化 (NAVER まとめ, 8/14)
ストを起こした従業員に代わり臨時店員で営業再開した佐野SAの現状からわかる事『代わりはいくらでも居ない、という事を管理職は知るべき』 (togetter, 8/20)
ストライキそのものについて
正しいストライキのやり方について (鳥塚亮 / Yahoo / Google キャッシュ, 8/18)。 間違い多数の模様。 オリジナルは削除されている。
一方、こちらのものは、同様の内容ながらまだ削除されていないみたい: 正しいストライキのやり方 (いすみ鉄道前社長 鳥塚亮の地域を元気にするブログ, 8/18)
「正しいストライキのやり方について」の誤りについて (togetter, 8/19)
佐野SAストライキは「手続き違反」なのか? (今野晴貴 / Yahoo, 8/21)
報道について
佐野SA休止と再開の報道 何故かストライキであることを伝えないNHKとテレ朝 (togetter, 8/18)
東北道上り線佐野SA「スト」を報じるメディアに抱いた違和感 (ハーバー・ビジネス・オンライン, 8/22)
》 制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ (IPA, 8/2 更新)
》 唐澤貴洋弁護士の「あなたの名誉を守り隊」は、消費者を惑わす不誠実な広告サイト (悪徳商法?マニアックス ココログ支店, 8/19)
ICS Advisory (ICSA-19-227-02) Fuji Electric Alpha5 Smart Loader (ICS-CERT, 2019.08.15)。Loader software 4.2 で対応。
サーボシステム ALPHA5 資料ダウンロード (富士電機)
ICS Alert (ICS-ALERT-19-225-01) Mitsubishi Electric smartRTU and INEA ME-RTU (ICS-CERT, 2019.08.13)
JVNVU#97511331 - キヤノン製デジタルカメラにおける複数の脆弱性 (JVN, 2019.08.07)。多くは PTP コマンドに関するもの。
キヤノン製デジタルカメラにおけるPTP(画像転送プロトコル)通信機能およびファームウエアアップデート機能の脆弱性について (キヤノン, 2019.08.06)
ClamAV 0.101.4 security patch release has been published (ClamAV, 2019.08.21)。セキュリティ修正が含まれます。
VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion (2019.08.20)
About the security content of SwiftNIO HTTP/2 1.5.0 (Apple, 2019.08.13) と iida さんへの謝辞を追加。
2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)
SEP 14.2 RU1 MP1 (14.2.4814.1101) が MySymantec で公開されました。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック, 2019.08.22 更新)
- SEP 14.2 RU1 MP1(14.2.4814.1101)は MySymantec からダウンロードできます。
- SEP 14.2 MP1(14.2.1057.0103)英語版は、シマンテック社のテクニカルサポートにリクエストすることで入手できます。
- 14.2 MP1 の各国語版は 2019 年 8 月 22 日 (アメリカ時間) にシマンテックテクニカルサポートから入手可能になる予定です。
シマンテックソフトウェアの最新バージョンのダウンロード (シマンテック, 2019.08.09)。更新されてない。 client-only patch はビルド 4811 のまま。
Windows 7 で SEP 14.2 RU1 MP1 (14.2.4814.1101) にアップデートしたところ、こんな感じで更新プログラムが現れることを確認しました。
》 のんさんに何が起きているのか エージェントが語る圧力 (朝日, 8/20)
――福田さんの会社は、のんさんの個人事務所とエージェント契約を結んでいます。なぜ自社の所属タレントにしないのですか?
「ハリウッド型の、透明な契約にするためです。仕事ごとの契約金額自体や配分もタレントがわかるようになるし、僕のエージェントとしての働きが悪かったら、のんが僕をクビにすることもできる。一部の古い芸能事務所とタレントの間には、長年『雇っているから、言うことを聞かないとクビにするぞ』という一方的な力関係があった。タレント自身が、仕事の契約金額もわからない、上下関係があり、もの申せない……。『奴隷契約』です。僕はインドやアフリカの児童労働くらいひどいと思っています」
》 時代の風 「嫌韓」とは何なのか 国益なきストレス解消=藻谷浩介・日本総合研究所主席研究員 (毎日, 8/18)。本当になあ。
》 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月) (ScanNetSecurity, 7/23)、 通販サービス「ECオーダー」、システム障害で長期メンテナンス 個人情報流出の可能性も指摘 (ねとらぼ, 7/26)。匿名希望さん情報ありがとうございます (おもいっきり見逃していて、メールを整理していたら気がついた。すいません)。
メンテナンスのお知らせ (EC オーダー)。「再開は、8月中旬頃を予定」となってますが、まだ復旧していないようです。
#ecオーダー個人情報流出疑惑の件 (twitter)。ひきつづき被害が発生しているようです。
ゲーム通販サイト「CLUB HOBi」に不正アクセス、個人情報漏えいの可能性(ホビボックス) (ScanNetSecurity, 2011.10.18)。過去事例。
》 米政府、台湾に F-16 Block 70/72 (F-16V) 66 機を売却決定
F-16 (Lockeed Martin)。F-16 Block 70/72 は、F-35 を売れない国向けの最新鋭機って感じ。
台湾へF16売却、米議会に通知…超党派が支持 (読売, 8/21)
米 台湾へ新型F16戦闘機売却を正式決定 中国強く反発か (NHK, 8/21)。「売却を行うには議会の承認が必要です」
米中対立、台湾で先鋭化=新型F16売却「一線越える」 (時事, 8/18)。「空軍は旧型F16戦闘機144機についても順次、新型に改修する計画だ」。F-16A/B を F-16V 相当に改修する。
》 Twitter社の「ルール違反の判断」についての問題提起 (片瀬久美子, 8/8)。裁判所で中傷と認められるツイートを、twitter 社は中傷と認めない。
》 「北朝鮮による瀬取り」監視の実際のところ カナダ軍に聞く監視活動の流れ、その全貌 (稲葉 義泰 / 乗りものニュース, 8/19)
》 自律型致死兵器システム(LAWS)規制方面。 特定通常兵器使用禁止制限条約(CCW)の枠組みに基く。 2019 年 第 2 会期の政府専門家会合(GGE)を 8/20〜21 に開催。
特定通常兵器使用禁止制限条約 (外務省)
自律型致死兵器システム(LAWS)に関する政府専門家会合に対する日本政府の作業文書の提出 (外務省, 3/22)
論点 AI兵器の国際規制 (毎日, 8/16)
安全保障へ日本も備えを 佐藤丙午・拓殖大海外事情研究所副所長
早急に禁止条約作れ 土井香苗 国際NGOヒューマン・ライツ・ウォッチ日本代表
「自律型致死兵器」は問題 スチュワート・ラッセル 米カリフォルニア大バークリー校人類共存型人工知能センター所長
AI兵器が攻撃判断、禁止 国際ルール採択へ、法的拘束力は無し (朝日, 8/19)。草案に基づく記事。
「キラーロボット」:ロシアと米国が条約交渉に反対 武力行使における有意義な人間による制御を要件とする新法が必要 (ヒューマン・ライツ・ウォッチ, 8/19)
国連、殺人ロボ巡り報告書提出へ (西日本新聞 / 共同, 8/20)
中南米諸国などが法的拘束力のある条約などでの規制を求めているが、兵器開発を進める米国やロシア、イスラエルなどは反対の立場。
AI兵器規制の指針案採択へ=人間の関与明記 (時事 / 乗りものニュース, 8/21)
》 【コラム】「東京湾うんこまみれ問題」はどれだけ根深く深刻なのか、13年前から指摘も【東京オリンピック】 (Buzzap!, 8/20)。仕様だそうです。競技をやっちゃ駄目な場所、ということだよなあ。
関連:
五輪競技の海 水質向上作戦 お台場で「水中スクリーン」 都、検証重ね本番へ (日経, 7/30)。この記事の画像の「ごみなど」を「大便など」に変更した画像が twitter で出回っている。
会場となる水域周辺で五輪とパラリンピックの期間と重なる2018年の7月下旬~9月上旬に東京都などが調査を実施。何も対策を講じてない場合、調査できた27日間のうち15日間で大腸菌の数値が競技基準以下だったが、12日間は基準を超えた。場所や時間帯によって数値は異なるが、最大で基準の142倍になった。
そもそもそういう場所ですよ、と。うひぃ。
「うんこミュージアムTOKYO」が東京・お台場に爆誕!最先端ウンスタジェニックを体験してきました! (NaviTime, 8/16)。うそのような本当の話。
見直し必至、1年前の状況で散々な五輪会場。 (togetter, 8/17)。ここに示されているトライアスロンコース案、めちゃおもしろそうなので実現してほしい。 選手のみなさんも、これなら納得してくださると思う。
》 ラオガンマ製造工場が爆発炎上、12日後にも倉庫火災=全国的人気商品、日本にもファン―貴州省 (レコードチャイナ / livedoor, 8/19)。↓は 8/18 の火災の件。
中国メディアの澎湃などによると、高温のため倉庫屋根に使っていた可燃性の素材が自然発火したと見られているという。
8/6 にも火災が発生していたが、原因は異なる。
中国メディアの捜狐によると、同社は6日午前10時ごろにも、一部製品を製造する工場作業場で火災を発生させていた。トウガラシの廃棄物が燃え出し、引火した加熱装置が連続爆発したという。
》 常磐道あおり殴打事件でデマ拡散 「同乗の女」として無関係な女性を名指し (ITmedia, 8/19)
中国政府は香港デモについてSNS上で情報操作しているとTwitterやFacebookが公表 (gigazine, 8/20)
Twitter、香港デモ関連で中国政府が情報操作に使った疑いのある不正アカウントとツイートを開示 (ITmedia, 8/20)
Twitter、国営メディアの広告掲載を全面禁止 香港デモ問題で (ITmedia, 8/20)
これは、ソーシャルブックマークのPinboardが17日、Twitterに中国国営メディア新華社通信による香港デモに関する偏重した広告を掲載していると指摘したことを受けたものとみられる。
新華社、香港デモを非難するツイッター広告を出稿していた (MIT Technology Review, 8/20)
「香港を救うため国会に陳情してください」日経新聞に意見広告。現地の市民団体が日本にメッセージ (ハフポスト, 8/20)
》 米商務省、Huaweiへの輸出禁止猶予期間を90日間延長 関連企業46社をエンティティリストに追加 (ITmedia, 8/20)
》 ドコモもHuawei製スマホを発売 「安心して利用できると判断した」 米国の輸出禁止猶予期間延長で (ITmedia, 8/20)。Huawei P30 Pro。
結局これは何だったのか: NTT社長「同業者としておかしな取り組み」ファーウェイ製新型スマホ発売を批判 (サンスポ, 8/6)。澤田純社長。
ドコモ、ファーウェイ製スマホの予約再開 (日経, 8/20)。「ドコモは「NTTとは情報を共有し、当社で再開を判断した」としている」
》 無料の定番FTPクライアント「FFFTP」がv4.0へメジャーバージョンアップ (窓の杜, 8/20)
エフセキュア、F5 BIG-IPの重大な脆弱性について警告 (F-Secure, 2019.08.09)。iRule の書き方を間違えると、攻撃者は remote から悪の限りを尽くせるという話。
COMMAND INJECTION IN IRULES LOADBALANCER SCRIPTS (F-Secure, 2019.08.08)
SECURITY WHITEPAPER - iRule injection (F-Secure, 2019.08.13 公開)
FAQ (F-Secure, 2019.08.15)
VideoLAN、「VLC media player」v3.0.8をリリース ~脆弱性を修正 (窓の杜, 2019.08.20)
Apache HTTP Server 2.4.41 Released (apache.org, 2019.08.14)。iida さん情報ありがとうございます。
Changes with Apache 2.4.41 (apache.org, 2019.08.14)。 VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion の修正が含まれている。
「Apache HTTP Web Server 2.4」に複数の脆弱性、最新版へのアップデートを (窓の杜, 2019.08.19)
複数の HTTP/2 実装に DoS 攻撃を受ける複数の欠陥。iida さん情報ありがとうございます。 Affected として記載されているのは以下:
About the security content of SwiftNIO HTTP/2 1.5.0 (Apple, 2019.08.13) と iida さんへの謝辞を追加。
いろいろ (2019.08.09) Cylance PROTECT
Cylanceの検出を回避する手口が判明 「AIセキュリティ」は本当に安全か (Michael Heller / TechTarget, 2019.08.20)
「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)
「Firefox」v68.0.2が公開 ~5件の不具合と1件の脆弱性が修正 (窓の杜, 2019.08.19)、 Firefox 68.0.2、Firefox for Android 68.0.2 がリリースされた (MozillaZine, 2019.08.16)。リリースは 2019.08.14 付。
Firefox ESR 60.8.0 はこの問題の影響を受けない
VB の件、Windows 10 バージョン 1803 用の patch が出たそうです。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 4: v1803が修正。残すところv1903のみ] (ニッチなPCゲーマーの環境構築, 2019.08.20)
たくさん出ました。
Security Updates Available for Adobe After Effects | APSB19-31 (Adobe, 2019.08.13)
After Effects CC 2019 for Windows バージョン 16 以前の欠陥、16.1.2 で修正。Priority Rating: 3
Security Updates Available for Adobe Character Animator | APSB19-32 (Adobe, 2019.08.13)
Character Animator CC 2019 for Windows バージョン 2.1 以前の欠陥、2.1.1 で修正。Priority Rating: 3
Security Updates Available for Adobe Premiere Pro CC | APSB19-33 (Adobe, 2019.08.13)
Premiere Pro CC 2019 for Windows バージョン 13.1.2 以前の欠陥、 13.1.3 で修正。Priority Rating: 3
Security Updates Available for Adobe Prelude CC | APSB19-35 (Adobe, 2019.08.13)
Prelude CC 2019 fow Windows バージョン 8.1 以前の欠陥、 8.1.1 で修正。Priority Rating: 3
Security updates available for Creative Cloud Desktop Application | APSB19-39 (Adobe, 2019.08.13)
Creative Cloud Desktop Application for Windows/macOS バージョン 4.6.1 以前に 4 件の欠陥、 4.9 で修正。Priority Rating: 2
Security bulletin for Adobe Acrobat and Reader | APSB19-41 (Adobe, 2019.08.13)
Acrobat / Reader for Windows/macOS に 76 件の欠陥、以下のバージョンで修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.012.20036 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30144 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30499 |
Priority Rating: 2
Security updates available for Adobe Experience Manager | APSB19-42 (Adobe, 2019.08.13)
Experience Manager 6.4, 6.5 にリモートからのコードの実行を許す欠陥。 HotFix が提供されている。 Priority Rating: 1
Security updates available for Adobe Photoshop CC | APSB19-44 (Adobe, 2019.08.13)
Photoshop CC for Windows/macOS 19.1.8 以前 / 20.0.5 以前に 34 件の欠陥、 19.1.9 / 20.0.6 で修正。 Priority Rating: 3
出ました。 IE / Edge, Windows, Office, ChakraCore, Visual Studio, Online Services, Active Directory, Microsoft Dynamics
リモートデスクトップ方面のヤバい欠陥の修正が含まれるのだそうで:
Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182) (MSRC, 2019.08.13)
Microsoft's August 2019 Patch Tuesday Fixes 95 Vulnerabilities (BleepingComputer, 2019.08.13)
Microsoftが8月の月例パッチ公開、危険度の高いリモートデスクトップの脆弱性などを修正 (クラウド Watch, 2019.08.14)
ただし、セキュリティ更新を適用すると VisualBasic 方面でマクロやアプリが動作しなくなる不具合が発生。Windows 7 / 8.1、Windows 10 バージョン 1507 / 1607 / 1703 / 1709 / 1809、Windows Server 2008 R2 / 2012 / 2012 R2 / 2019 には patch が用意されている。 Windows 10 バージョン 1803 / 1903 用 patch はまだ出ていない。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 3: v1903 / v1803以外修正] (ニッチなPCゲーマーの環境構築, 2019.08.18)
Microsoft、8月のWindowsパッチが原因でVB6/VBA/VBScriptが動作不能になる問題を修正 「Windows 10 バージョン 1803」と「Windows 10 バージョン 1903」を除く (窓の杜, 2019.08.19)
上記 patch は、手動での個別ダウンロード・適用が必要みたい。
また、今回から Windows 7 / Server 2008 R2 用 patch の署名が SHA-2 のみになったが、Symantec Endpoint Protection においてこれに伴う不具合が発生している模様。 patch はまだ出ていない。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック)
2019 年 8 月 14 日 — KB4512486 (セキュリティのみの更新プログラム) (Microsoft)
マイクロソフトと Symantec は、デバイスで Symantec または Norton のウイルス対策プログラムを実行中であり、SHA-2 証明書のみで署名された Windows 用の更新プログラムをインストールしているときに発生する問題を特定しました。 Windows の更新プログラムが、インストール時にウイルス対策プログラムによってブロックまたは削除され、それによって Windows が動作しなくなることや起動に失敗することがあります。
この書かれ方だと、Norton シリーズでも不具合が発生している模様。
マイクロソフトは、影響を受けるバージョンの Symantec Antivirus または Norton Antivirus がインストールされているデバイスに一時的にセーフガードを設定し、解決策を利用できるようになるまでこの種類の Windows 更新プログラムを受け取らないようにしました。 解決策を利用できるようになるまでは、影響を受ける更新プログラムを手動でインストールしないことをお勧めします。
待つしかなさそうです。
Does Windows Update SHA2 problem affect SEP 12.1.x? (Symantec Connect)
Symantec cannot handle SHA-2 and breaks Windows 7 and Server 2008 R2 (ZDNet, 2019.08.14)
その他、不具合まとめ:
【アプデ/7/8.1】 WindowsUpdate 2019年8月度 注意事項と各KBメモと直リンク [Update 7: その他の留意事項] (ニッチなPCゲーマーの環境構築, 2019.08.19)
VB の件、Windows 10 バージョン 1803 用の patch が出たそうです。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 4: v1803が修正。残すところv1903のみ] (ニッチなPCゲーマーの環境構築, 2019.08.20)
SEP 14.2 RU1 MP1 (14.2.4814.1101) が MySymantec で公開されました。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック, 2019.08.22 更新)
- SEP 14.2 RU1 MP1(14.2.4814.1101)は MySymantec からダウンロードできます。
- SEP 14.2 MP1(14.2.1057.0103)英語版は、シマンテック社のテクニカルサポートにリクエストすることで入手できます。
- 14.2 MP1 の各国語版は 2019 年 8 月 22 日 (アメリカ時間) にシマンテックテクニカルサポートから入手可能になる予定です。
シマンテックソフトウェアの最新バージョンのダウンロード (シマンテック, 2019.08.09)。更新されてない。 client-only patch はビルド 4811 のまま。
Windows 7 で SEP 14.2 RU1 MP1 (14.2.4814.1101) にアップデートしたところ、こんな感じで更新プログラムが現れることを確認しました。
VB の件、Windows 10 バージョン 1903 用の patch が出たそうです。
VB問題を解決 ~Windows 10 May 2019 Update向けオプションパッチ「KB4512941」が公開 (窓の杜, 2019.09.02)
KB4512941 を適用すると CPU 負荷が高くなり続けるという事例が複数報告されているそうです。また、この現象は BingSearchEnabled を 0 に設定 している場合にのみ発生するそうで、 Windows 10 のデフォルト設定では発生しないそうです。
「Windows 10 1903」で更新プログラム適用後にCPU使用率が急上昇との報告 (CNET, 2019.09.03)
【アプデ/10】 v1903用KB4512941を適用後、CPU使用率が高くなったまま戻らなくなる不具合。対処方法あり (ニッチなPCゲーマーの環境構築, 2019.09.01)
すいません、法定点検に伴う停電により 09 時くらいから 17 時くらいまで止まってました。
》 あのSuica事案が国立大入試問題になっていた (高木浩光@自宅の日記, 8/3)
》 脆弱性に対するヤフーの取り組みについて (Yahoo! JAPAN デベロッパーネットワーク, 8/7)
》 ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた (piyolog, 8/1)
》 平塚市元職員による個人情報持ち出しと選挙活動への利用疑惑についてまとめてみた (piyolog, 8/9)、平塚市議が個人情報持ち出し 選挙利用か (中日, 8/8)。渡部亮市議(40)。
》 SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた (piyolog, 8/6)
》 露ハッカー集団がプリンターなどから企業に侵入--マイクロソフトが警告 (CNET, 8/7)。こういうの、あいかわらずあるんですね。 そりゃああるよなあ。
》 IPA「情報セキュリティ白書2019」PDF版の無料公開開始! AIやIoTなどをテーマに解説 (Internet Watch, 8/8)
》 ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル (ブルームバーグ, 8/9)。107億ドル、現金で、だそうで。うひー。
7 月の頭に話題になったあと、
シマンテック、Broadcomが買収を検討中との報道--5月にはCEO辞任など (ZDNet, 7/4)
ブロードコムによるシマンテック買収交渉が進んでいるとの報道 (Publickey, 7/5)
打ち切り説も出ていたようですが、
シマンテック株急落、ブロードコムとの合併協議打ち切りと関係者 (ブルームバーグ, 7/15)
結局、現金 107 億ドルで合意ですか。
Broadcom、Symantecの法人向けセキュリティビジネスを107億ドルで買収 (クラウド Watch, 8/9)
取引の完了後、BroadcomはSymantecのブランド名を引き継ぎ、これらのセキュリティソリューションを自社のポートフォリオに組み込む予定だ。Nortonなどをはじめとするコンシューマ向けブランドは、引き続きSymantec社が展開すると見られている。
うわ、ややこしや。
Karma でも大活躍したという iMessage についての記述量が圧倒的に多いのが興味深い。
Chrome 76.0.3809.100 公開。4 件のセキュリティ修正を含む。
Multiple vulnerabilities in Jenkins plugins (oss-sec ML, 2019.08.07)
Security issues in various deepin D-Bus services and tools (oss-sec ML, 2019.08.05)
[CVE-2018-11782, CVE-2019-0203] Apache Subversion svnserve vulnerabilities (Apache, 2019.07.31)。Subversion 1.12.2, 1.10.6, 1.9.12 で修正。
Django security releases issued: 2.2.4, 2.1.11 and 1.11.23 (Django, 2019.08.01)
「PostgreSQL 11.5」リリース、4件のセキュリティ問題を修正 (OSDN, 2019.08.09)
PostgreSQL 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24, and 12 Beta 3 Released! (PostgreSQL, 2019.08.08)
ClamAV 0.101.3 security patch release and 0.102.0-beta have been published (ClamAV, 2019.08.05)
ClamAV 0.101.3 is a patch release to address a vulnerability to non-recursive zip bombs.
「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ (gigazine, 2019.07.05) の件の修正かな。
あと、同梱されている libmspack が 0.10alpha となり、0.9.1alpha 未満に存在した buffer overflow する欠陥が修正されているそうです。
サイランス製品にマルウェア検知回避の問題、アルゴリズム改良で対処 (ZDNet, 2019.08.05)
Cylance, I Kill You! (Skylight Cyber, 2019.07.18)
Resolution for BlackBerry Cylance Bypass (Cylance, 2019.07.21)
VU#489481 - Cylance Antivirus Products Susceptible to Concatenation Bypass (US-CERT, 2019.08.01)
JVNVU#98738756 - Cylance のアンチウイルス製品にマルウエア検知を回避される問題 (JVN, 2019.08.02)
ワークアラウンド(セキュリティ製品開発者向け)
セキュリティ製品開発においても、多層防御の考え方が重要です。機械学習によるマルウエア検知機能は基本的にファイルの改変にたいして脆弱であると考えられます。機械学習機能に加え、シグネチャベースやルールベースなど既存の手法も組み合わせてください。また、機械学習機能を実装したツールに対しては、CleverHans, Foolbox, Adversarial Robustness Toolbox など広く知られているツールを使って生成したデータ("adversarial example")を使ったテストを行ってください。
Cylanceの検出を回避する手口が判明 「AIセキュリティ」は本当に安全か (Michael Heller / TechTarget, 2019.08.20)
VMSA-2019-0012 - VMware ESXi, Workstation and Fusion contain out-of-bounds read/write vulnerabilities in the pixel shader functionality (VMware, 2019.08.02)。ESXi 6.0 は影響を受けない。
Symantec Endpoint Protection 14.x のすべてのバージョンの新機能 (Symantec, 8/6 更新)
Endpoint Protection 14.2 RU1 MP1 で修正された問題とコンポーネントのバージョン (Symantec, 8/6 更新)
リリース済みの Symantec Endpoint Protection のバージョン情報 (Symantec, 7/6 更新)。まだ更新されてないっぽい。
macOS 10.14.5 以降については、 14.2 RU1 (リフレッシュ) 以降でないと対応していないそうで。 ややこしや。
Endpoint Protection クライアントと Mac との互換性 (Symantec, 8/5 更新)
》 LibreSSL 3.0.0 が 8/5 付で出ています。development release です。stable release の最新は 2.9.2 です。
》 京アニ放火、30秒後には危機的状況に 京大防災研が煙の流動シミュレーション (ITmedia, 8/6)
第1スタジオは建築基準法に基づき、らせん階段に防煙垂れ壁を設置するなど法令を順守した建物だったが、西野准教授は「法律にのっとった建築物でも、さまざまな火災の可能性を考慮し、自主的に火災安全性を高める工夫が必要だ」と指摘。その上で「吹き抜け空間を作る場合は、避難用の屋外階段や全周バルコニーを設置するなど、火災発生から早期に外に退避できるような設計が重要になる」と述べた。
オリジナルはこちら: 2019年7⽉18⽇に京都アニメーション第1スタジオで発⽣した放⽕⽕災の分析 (京都大学防災研究所, 8/2)
》 “Twitter”の「TLS 1.2」移行で「Tween」が接続不能に ~修正版のv1.7.4.0が公開(8月5日追記) (窓の杜, 7/30)
》 Amazon「Alexa」、従業員による音声データ解析を停止するオプション (Internet Watch, 8/6)
会話データの収集を停止するオプション自体は以前から存在しており、日本語版にも同様のオプションが設けられているが、今回その説明書きに、音声録音の一部が手動で解析される場合があるという文言が追加された
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
HongMeng(鴻蒙) OS、いよいよ登場?
Huawei、8月9日に「HongMeng OS」発表か 中国官営メディアが報道 (ITmedia, 2019.08.06)。 8/9 に Huawei Developer Conference 2019 が開催されるのですね。14:30 (GMT+8) からライブ中継だそうで。
ファーウェイ独自OS「HongMeng」搭載スマホ、今年後半に発売のうわさ (engadget, 2019.08.05)
その他
ファーウェイ、米研究開発スタッフを大量レイオフ。事実上の制裁措置で本社との連絡も困難に(WSJ報道) (engadget, 2019.07.16)
人員削減の報道から見えるファーウェイの苦境…独自のスマホOSも本音は間に合わない? (gizmodo, 2019.07.17)
いくらファーウェイを叩いても、中国は2040年「世界一の大国」になる (野口 悠紀雄 / 現代ビジネス, 2019.07.17)
ファーウェイ、イタリアに3年で3300億円投資へ (AFPBB, 2019.07.16)
ファーウェイがロシアで5G通信網開発へ (AFPBB, 2019.06.06)
ファーウェイのアフリカ進撃、米包囲網の脱出口となるか? (AFPBB, 2019.06.10)
スマートフォンの近未来巨大市場はアフリカと中東、そしてほぼ中国の独壇場 (techcrunch, 2019.07.31)
ファーウェイ、北朝鮮の3G網構築支援か。2016年には盗聴機能も (engadget, 2019.07.24)
Kubernetes v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249 (oss-sec ML, 2019.08.06)
セキュリティ修正を含みます。
PHP 7.3.8 ChangeLog (PHP, 2019.08.01)
PHP 7.2.21 ChangeLog (PHP, 2019.08.01)
PHP 7.1.31 ChangeLog (PHP, 2019.08.01)
NVIDIA製GPUのディスプレイドライバーに5件の脆弱性 ~修正版へのアップデートを (窓の杜, 2019.08.05)
security patch level 2019-08-01 および 2019-08-05。
》 Microsoft、「May 2019 Update」でディスプレイの輝度調整が反応しない問題を解決 累積的更新プログラム「KB4505903」で (窓の杜, 8/5)
この累積的更新プログラムでは、RASMANサービスがエラー“0xc0000005”で動作を停止する問題や、EIZOが指摘していたディスプレイの表示不具合なども解決されている。
》 大量のbotが作った「架空の交通渋滞」 イスラエルで起きたハッキングと人間の「反脆弱性」 (ITmedia, 8/5)
》 「小説ドラクエV」作者・久美沙織さん、映画ドラクエ製作委員会を提訴 「主人公の名前『リュカ』を無断で使用された」とクレジット求める (ITmedia, 8/5)。ひどいことするなあ。 別ものだと言いたいなら、ぜんぜん別の名前にすればいいだけなのに。 酷評されているオチの話も、根本は同じだと思う。 原作・派生作へのリスペクトが足りなさすぎ。
関連:
【悲報】映画ドラクエ、史上屈指の酷評「実写デビルマンとドラクエ映画、どっちか見るならデビルマン選ぶ」 (まとめまとめ, 8/3)。デビルマン越え……。
映画「ドラゴンクエスト ユア・ストーリー」、 山崎貴が人の心を折りにくると評判に (市況かぶ全力2階建)
映画『ドラゴンクエスト ユアストーリー』感想。というか罵倒。大人の作家的虚栄心のために子供の観客を踏みつけちゃダメ。 (CDBのまんがdeシネマ日記, 8/4)
あぁ、総監督・脚本: 山崎貴なのね。なるほどね。
あらためてしみじみ思う、MCU の偉大さ。
》 20人死亡のエルパソ乱射事件、「8chan」がまた犯行予告に利用された (ITmedia, 8/5)、 Cloudflare、8chanのサポートを停止 エルパソ乱射事件を受けて (ITmedia, 8/5)
》 1億人超の個人情報流出、容疑者はAmazon元従業員 クラウドセキュリティに不安の声も (ITmedia, 8/5)。Capital One の件。
》 対韓輸出規制「劇薬」のはずが文大統領への助け舟に (毎日 / Yahoo, 8/4)。本当になあ。
IMF(国際通貨基金)危機直後の金大中(キム・デジュン)政権で、日韓外交に関与した韓国外務省高官は (中略) 「韓国が守勢に立たされていた徴用工問題が変質した」とみる。今までは韓国最高裁判決は「国際法違反」と日本からの批判攻勢にさらされていたのに、輸出規制後は「日本こそ国際法違反」と国際社会に向けて反論できるカードを得たからだ。経済的には打撃だが、国際政治的には文大統領への「助け舟」になったというのだ。
》 円急騰、一時105円台 政府・日銀が緊急会合へ (日経, 8/5)。円安終了ですかね。
Symantec Endpoint Protection (SEP) および Symantec Endpoint Protection Small Business Edition (SEP SBE) に欠陥。権限上昇を招く欠陥がある。 「アプリケーションとデバイス制御」コンポーネントを削除することで回避できる。
SEP 14.2 RU1 および SEP SBE 12.1 RU6 MP10c (12.1.7491.7002) で修正されている。 SEP 12 系列にもこの欠陥があるが、SEP 12 系列の更新はリリースされないっぽい。
そういえば Chrome 76.0.3809.87 が出ていたのでした。43 件のセキュリティ修正を含みます。
》 あいちトリエンナーレに「安倍首相と菅官房長官の口をヒールで踏む作品」は誤り (BuzzFeed, 8/2)
就活生の「辞退予測」情報、説明なく提供 リクナビ 【イブニングスクープ】 (伴正春 / 日経, 8/1 18:00)
就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が、就活学生の「内定辞退率」を本人の十分な同意なしに予測し、38社に有償で提供していたことがわかった。個人情報保護法は、個人情報の外部提供に本人の同意取得を義務付けており、違反の恐れもある。個人情報保護委員会が事実関係の確認を始め、リクナビは7月末でデータ販売を休止した。
当社サービスに関する、一部の報道につきまして (リクルートキャリア, 8/1)
学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています。
つまり、合否の判定に活用できてしまうようなデータであると。
なお、本サービスは、2018年3月のサービス開始以降、38社に対して、試験的な運用を積み重ねてきました。
このように書かれると無償のテスト運用だったのかなと思ってしまうのだが、 上記日経記事には「38社に有償で提供」という記述がある。
リクナビ、就活生の内定辞退予測を販売 説明足りぬまま (朝日, 8/1 23:44)
リクナビが就活生の「辞退予測」情報を提供――選考の「辞退可能性」も5段階で判定していた (ITmedia, 8/1)
例えばA社に対しては、「現在A社を受けている学生」がどれだけA社の選考・内定を辞退しそうか、5段階で判定した結果を提供。判定にあたっては、「前年度にA社の選考・内定を辞退した学生」がリクナビ上でどんな行動を取っていたか――といったデータを、個人が特定されない形で活用・分析し、アルゴリズムを作成。現在A社を受けている学生の行動と照合していたという。
就活、問われるデータ管理 「辞退予測」に学生困惑 (日経, 8/2)
リクナビは約80万人の学生が登録する業界大手。学生がいつ、どの企業の情報をどれくらい見たかといった閲覧履歴から、企業ごとの「内定辞退率」を5段階で算定。学生の氏名を特定した状態で、データを定期的に利用企業に提供していた。利用料金は他の支援サービスと合わせて年400万~500万円程度だった。
リクナビ「内定辞退率」提供、人事は「のどから手が出るほどほしい」 (小原 擁 / 日経ビジネス, 8/2)
「期間を区切り、よーいドンで採用活動が始まると、採用日程もかぶるので、人材の取り合いになる。そんな中、50%の確率で内定辞退する人と、5%の確率で辞退する人が採用プロセスの段階で分かれば役に立つ。採用企業側としては、そのデータはのどから手が出るほどの価値があるし、データに基づいた採用戦略も立てられる。同じ評価の学生なら、(辞退する確率が)5%の学生の採用に注力するのが効率的だ」。人事業務の経験がある大手企業の社員はこう打ち明ける。
リクルート内定辞退予測データ販売事件で問われるHRTechの合法性 (cloudsign.jp, 8/2)
柴山昌彦文部科学大臣記者会見録(令和元年8月2日) (文科省, 8/2)
リクナビDMPフォローの一時休止についてまとめてみた (piyolog, 8/2)
》 京アニ放火犠牲者、警察が氏名公表 遺族了承後の10人 (朝日, 8/2)
犠牲者の公表に2週間余りかかった理由について、府警の西山亮二・捜査1課長は「実名公表に関し、個々の被害者のご遺族と、実名公表に反対している会社側の意向を丁寧に聞きながら、広報方法とタイミングについて慎重に検討を進めた結果」と説明した。
》 山市良のうぃんどうず日記(158): Windows 10トラブル“未”解決事例──スタートメニューに現れた「謎のショートカット」は見ないこと、見えないことに (@IT, 7/31)
「ms-resource:……」の謎ショートカットは、いつか解消されることを期待して、放置して無視すること――。壊れてもすぐに戻せる仮想マシン環境でいろいろ試してみた筆者の結論です。
》 Tech TIPS: 【Windows 10】不具合が発生した特定の更新プログラムだけを将来も非適用扱いにする (@IT, 8/1)
Microsoftが無償で提供しているトラブルシューティングツール「Show or hide updates」を使った特定の更新プログラムのブロック方法を紹介しよう。
》 Google、認証端末「Titanセキュリティーキー」を日本でも発売 6000円 (ITmedia, 8/1)。「Googleストアで販売されているのは、PCのUSBポートにさして使うものと、Bluetoothで接続して使うのものの2つがバンドルされている」
》 母親の旧姓、安易に他人に教えてない? 個人情報を教えてしまうハードルはどれぐらい? (山賀 正人 / Internet Watch, 8/1)
1 Million+ ProFTPD Servers Vulnerable To Remote Code Execution Attacks (fossbytes.com, 2019.07.25)
100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を (マイナビニュース, 2019.07.31)。Git リポジトリ上では既に修正されている。 リリース版はまだ。
EPEL など、mod_copy が含まれていない ProFTPd パッケージでは問題がない。 mod_copy が含まれているパッケージを使用している場合は、mod_copy を削除することで回避できる。
proftpd/contrib/mod_copy.c (GitHub)。2019.07.18 付で修正されている。
ProFTPd CVE-2015-3306 mod_copy脆弱性のメモ (watarin's memo, 2015.05.22)。mod_copy の昔の欠陥の解説だが、回避方法や検証方法などは参考になる。
PowerDNS Security Advisory 2019-06: Denial of service via crafted zone records (PowerDNS, 2019.07.30)。 CVE-2019-10203。 「Affects: PowerDNS Authoritative 4.0.0 and up, when using the gpgsql (PostgreSQL) backend」。4.2.0, 4.1.11, 4.0.9 では修正されているそうです。 ただし影響を受けるバージョンを利用している場合は、ソフトウェアの更新ではなく、 PostgreSQL スキーマの手動変更が必要だそうで:
Upgrading is not enough - you need to manually apply the schema change:
ALTER TABLE domains ALTER notified_serial TYPE bigint USING CASE WHEN notified_serial >= 0 THEN notified_serial::bigint END;
OpenSSL Security Advisory [30 July 2019] (OpenSSL, 2019.07.30)。Windows builds with insecure path defaults (CVE-2019-1552) (Severity: Low) だそうで。OpenSSL 1.1.1, 1.1.0, 1.0.2 に影響。 Low なので、次のリリース時に修正される。開発コードは既に修正されている。
iida さん情報ありがとうございます。
Security restrictions bypass in OpenSSL for Windows (cybersecurity-help.cz, 2019.07.30)。External links に git.openssl.org へのリンクがあります。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)
オムニ7アプリのソースが GitHub で公開されていた模様 (Business Insider が 7/24 付で報道)。
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか (Business Insider, 2019.07.24)
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。
以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。
「オムニ7」アプリのソースコードが流出、7payに続き新たな問題発覚 (日経 xTECH, 2019.07.24)
7iD、全ユーザーのパスワードをリセット (7/30)。
「7pay(セブンペイ)」に対する不正アクセスの件(第 5 報) 「7iD パスワード」の一斉リセットについて (セブン&アイ・ホールディングス, 2019.07.30)
【7pay への不正アクセスによる現時点での被害者数・金額】※株式会社セブン・ペイ認定
807 人/38,605,335 円
※2019 年 7 月 29 日(月)17:00 現在
※7 月中旬以降、新たな被害は確認できておりません。
7Pay 謎の全利用者パスワードリセットを実施 (楠 正憲 / comemo, 2019.07.31)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。(中略)
一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。(中略) 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定できない場合や、全利用者のパスワードハッシュが漏洩してしまって被害者を特定できない場合など、リスト型攻撃よりも深刻なバグまたは不正アクセスの被害が生じた場合に限られる。
ですよねえ……。
7payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7payの残高が消えたとの報告が相次ぐ (togetter, 2019.07.31)。ひどい。
7pay、9/30 でサービス終了を発表 (8/1)。
オフィシャル
7pay(セブンペイ)」サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について (セブン&アイ・ホールディングス, 2019.08.01)
2)直近の被害状況について
808 人 / 38,615,473 円(7 月 31 日 17:00 現在)
※なお、7 月中旬以降、新たな被害は確認されておりません。
7pay サービスは、9/30(月)をもちまして、すべてのサービスを終了させて頂きます (7pay, 2019.08.01)
「7pay」9月30日にサービス廃止、サービス継続は困難と判断 (Internet Watch, 2019.08.01)
7pay終了へ 記者会見の一問一答まとめ (ITmedia, 2019.08.01)
――2要素認証などの検討が十分じゃなかったのは、利便性を優先したためか
奥田:われわれとしては、利用状況をモニタリングする体制をしっかりできていれば大丈夫という判断だった。
事前に導入を検討したが不要と判断した、ということか?
――GitHubにソースコードが流出していたという報道もあるが
田口:ソースコードは15年秋のもの。ログイン形式などは直接書いていない。今のようなサービスは想定していなかったので、仮にそのままアプリケーションを再構築しても影響はない。管理不行き届きについてはおわびしたい。
なんだか軽いなあ。
わずか1カ月で終了決まった7pay 2段階認証にしなかった理由は? 緊急会見で語られたこと (ねとらぼ, 2019.08.01)
「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問 (井上翔 / ITmedia, 2019.08.01)
ただ、今回の説明には疑問も残る。1つは、「リスト型攻撃」では説明しづらい不正利用報告がある点だ。(中略) もう1つの疑問点が、7pay“以外”のサービスのセキュリティについての説明が不十分なことだ。
7pay廃止決定、セブン&アイを待つデジタル戦略の前途多難 (津久井 悠太 / 日経ビジネス, 2019.08.02)
「数千万回の攻撃受けた」セブンペイ終了会見が判然としない理由 (伊藤 有 / Business Insider Japan, 2019.08.02)
「7iDは十分なセキュリティ」、7payの二段階認証導入も「モニタリングで守れる」と判断し見送り――セブン&アイHDの開発体制 (磯谷 智仁 / Internet Watch, 2019.08.02)
悲惨の極みですが、コンビニ 24 時間営業問題における 7-11 経営陣の時代錯誤感と通ずるものを感じるんだよなあ。
あと、以下の件は、7pay 自身が終了しちゃうので、結果としてどうでもよくなっちゃいそう:
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点 (ITmedia, 2019.07.13)
》 クロネコメンバーズの二段階認証、実は無意味な飾りだった (togetter, 7/28)、クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 (ねとらぼ, 7/29)。スマホ用サイトでは二段階認証を設定しても効かないという、とんでもないオチ。
》 三菱航空機の命運握る次世代機の開発始まる、「新技術を投入」 (日経 xTECH, 8/1)。SpaceJet M100。
ここで重要となるのが、これまでの開発で得た資産をどこまで生かし、M100としてどの部分を新規開発するかの見極めだ。資産としてはM90だけでなく、旧MRJ70も含まれる。例えば、現時点では中断しているものの、MRJ70として2機(8号機と9号機)が組み立て作業に入っていた。しかし、MRJ70は全長が33.4mだったがM100は34.5mとサイズが異なるため、M100としての試験に活用できるかは未定だ。
SpaceJet M100 は MRJ70 とは異なる機体なのか。知らんかった。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
