![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Sep 18 13:05:57 2020
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される (スラド, 9/17)
》 レジ袋有料化後、スーパーのカゴを盗む客が約6倍に急増 (スラド, 9/18)
「ユニクロアプリ」Android版に複数の脆弱性、フィッシングサイトなどへ誘導される恐れ (Internet Watch, 2020.09.17)。7.3.4 で修正。
macOS の更新はないのかな。
About the security content of iOS 14.0 and iPadOS 14.0 (Apple, 2020.09.16)
About the security content of watchOS 7.0 (Apple, 2020.09.16)
About the security content of tvOS 14.0 (Apple, 2020.09.16)
About the security content of Safari 14.0 (Apple, 2020.09.16)。Available for: macOS Catalina and macOS Mojave となっている。
About the security content of Xcode 12.0 (Apple, 2020.09.16)。Available for: macOS Mojave 10.15.4 and later となっている。
2020.09.16 付で iTunes for Windows 12.10.9 が公開されているが、「詳細は後日追記予定」となっている。
》 Google Meetに49人タイル表示と背景ぼかし機能 (PC Watch, 9/17)。 「現時点ではWindowsおよびMac向けのChromeブラウザでのみ有効」。
》 「紙」に印刷すると間違いに気付く理由とは? リコーによる解説がためになると評判 (やじうまWatch, 9/17)
》 #出版物の総額表示に反対します。実行されると、多くの書籍が廃刊されることになると予想される。 前例あり。
出版物の総額表示 スリップは「引き続き有効」 財務省主税局が説明 (文化通信社, 9/14)
9月11日、日本書籍出版協会と日本雑誌協会が共催した出版社向けの「インボイス等勉強会」で、財務省主税局税制二課の小田真史課長補佐は「基本的に(特例は延長せずに)終わるとの前提で進めてほしい」と説明した。
出版物の総額表示義務と紙媒体の消滅で引き起こされること (角田奈穂子 / note, 9/16)
どうする書籍の総額表示 来年度から義務化、作家ら波紋 (朝日, 9/16)
「#出版物の総額表示義務化に反対します」作家・編集者から危惧相次ぐ理由 (J-CAST / Yahoo, 9/16)
#出版物の総額表示に反対します のツイッターハッシュタグについて。(2020年9月16日現在トレンド1位) (Yahoo! 知恵袋, 9/16)
書籍が総額表示にできない3つの理由 (版元ドットコム, 2004.04.28)
No.121 なぜ書籍の値段表記は税込でない? (雑学サイト『That's 学(まなぶ)』)
消費税総額表示について(情報共有) (日本書籍出版協会, 9/16)
ツイート
これ、うちの10年ほど前の本。消費税が5%の時代。
— 吟鳥子@8巻12/16発売「きみを死なせないための… (@gintoriko) September 16, 2020
「本体+税」の表示だから、消費税が5%から8%になり10%になっても、在庫があればお店で買っていただくことができる。
でも出版物の総額(税込価格)表示が義務化されたら、このままでは買っていただけなくなる#出版物の総額表示義務化に反対します pic.twitter.com/3hWgEsjNGu
・このURLから
— (吸血鬼すぐ死ぬアニメ化決定!!)盆ノ木至(15巻5/8発売) (@bonnoki) September 16, 2020
・財務省にチェック入れて
・「出版物の総額表示義務化に反対します」って書いて送って
いただけると、秋田と俺の漫画が助かるかもしれない
あの その 何卒ヘルプミーhttps://t.co/yyQmXS5ECj
》 話題沸騰!美机魔机大集合特集の「本の雑誌」2020年10月号の机写真をカラーで大公開! (本の雑誌社 / note, 9/17)。うひー。
テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた (高木浩光@自宅(テレワークを除く)の日記, 9/14)。 これだけの対応ができる 三井住友銀行コールセンター担当者さんは正直すごい。
WEB口座振替とかいう、インターネットバンキングとはまた別の機能について。 (それマグで!, 9/15)
銀行のキャッシュカードを、「多要素認証」のスキームで展開すると、カードを持っている(所有)と暗証番号を知っている(知識)の2要素認証になっています。
キャッシュカードの4桁暗証番号は、銀行ATMではネットワーク経由で暗証番号のチェックをしているとはいえ、WEBのような開かれたネットワークで入力するものではないですよね。そもそもこの設計がおかしいと言えます。
》 ソフトバンクG、Armの全株式を最大4.2兆円でNVIDIAに売却 NVIDIAの株式を取得するも約6.7〜8.1%にとどまる (Car Watch, 9/14)、 NVIDIA CEOが語ったArm買収の背景 - どうなる? 今後の半導体業界 (マイナビニュース, 9/15)
NVIDIAの競合は、実は自動車向け(Qualcomm、Xilinx、etc……)であったり、スマートフォン向け(やはりQualcomm、MediaTek、etc……)、データセンター向け(Intel、AMD、Marvell、Ampere、etc……)、AI(Intel、AMD、Xilinxなどの他、数多のAIスタートアップ、さらにはCEVAなどのIPベンダーなど多数)と多岐に渡っており、そしてそのほとんどのメーカーがArmのIPを使うなりライセンスを受けるなりしている。こうしたメーカーにとって、ArmがNVIDIAに買収されるという事態は(Huang氏が何と言おうとも)Armの中立性を損なう事になり、自社のビジネスに対する重大な侵害と映るだろう。多分さまざまなメーカーが、現在司法省向けの上申書をしたためている最中であろう。
実はRISC-V陣営にとってもこの動きは無視できない。というのはNVIDIAはRISC-V InternationalのStrategic Memberの一員であるからだ。実際同社は2020年9月に行われたRISC-V Global Summitで、RISC-Vを用いたSecure Elementの実装を基調講演で説明している。もし今後NVIDIAがArmを買収し、このIPを自由に利用できるようになった場合、RISC-V陣営はNVIDIAによる汚染(NVIDIAの提供するIPがArmのIPを流用しているとか、NVIDIAの提案の中にArmの特許侵害になりえるものが含まれているとか)に注意しないといけなくなる。普通に考えて、RISC-V陣営からは、NVIDIA本体とArmを分離するような仕組みを設ける事を提案するだろう。
前途多難?
サイバー犯罪対策のシンポ (2015.08.07)
多喜田さんから (情報ありがとうございます)
「京(みやこ)サイバー犯罪対策シンポジウム(企業編)」からの発リンクがサラ金サイトになっています。
日付から追うに最近閉鎖されてしまったのかと思います。リンクのみ削除頂ければと思います。
「京(みやこ)サイバー犯罪対策シンポジウム(企業編)」は http://www.kyoto-conso.jp/project/003754.html にリンクしていたのだけど、 kyoto-conso.jp は「京都産業育成コンソーシアム」だったはずが「お金借りるならどこ?おすすめの借り入れ方法をFPが解説」という、サラ金案内サイトになってしまっていますね。 調べてみると、京都産業育成コンソーシアムは 2018 年に改組されて「京都知恵産業創造の森」になっていました。
「一般社団法人京都知恵産業創造の森」設立の趣意 (京都知恵産業創造の森, 2018.11.27)
これまで、京都府、京都市及び産業界のオール京都体制により「京都産業育成コンソーシアム」を設置し、京都産業を担う中小企業の育成支援に取り組んでまいりましたが、京都経済センターの整備を機に、このコンソーシアムを発展改組し、京都産学公連携機構及び一般社団法人京都産業エコ・エネルギー推進機構と一体的に運営を行う「一般社団法人京都知恵産業創造の森」を設立することといたしました。
で、ドメインが放棄され、別の人に買われてサラ金案内サイトになった、ということかな。
》 【IPAからの注意喚起】新たなランサムウェア攻撃の手法について (FFRI, 8/26)、 【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について (IPA, 8/20)
》 Local Administrator Password Solution (LAPS) 導入ガイド (日本語版) (Microsoft Security Response Center, 8/26)
》 Adobe Flash 年末で EoS な件と、Windows Server 2019 と Adobe Flash (山市良のえぬなんとかわーるど, 9/14)
》 ベイルート爆発事故から1か月 (国連情報誌SUNブログ対応版, 9/14)
》 コンゴ民主共和国で再びエボラ拡大の懸念 (国連情報誌SUNブログ対応版, 9/12)
》 複数のマイクロソフト社製品のサポート終了について (JPCERT/CC, 9/11)。Office 2010、Exchange 2010 が 2020.10.13 で終了。
》 ClamAV 0.103.0 released (ClamAV blog, 9/14)
clamd can now reload the signature database without blocking scanning. This multi-threaded database reload improvement was made possible thanks to a community effort.
TLS 1.2 以前かつ Diffie-Hellman 鍵交換を使用する場合に、特定の条件において中間者が暗号化を解除しセンシティブ情報を取得できる。TLS 1.3 にはこの欠陥はない。 Raccoon Attack に記載されている条件:
The attack generally targets the Diffie-Hellman key exchange in TLS 1.2 and below. There are two prerequisites for the attack:
- The server reuses public DH keys in the TLS handshake. This is the case if the server is configured to use static TLS-DH cipher suites, or if the server uses ephemeral cipher suites (TLS-DHE) and reuses ephemeral keys for multiple connections. Luckily, this was already considered bad practice before the attack, as it does not provide forward secrecy.
- The attacker can execute precise timing measurements, which allow him/her to find out whether the first byte of the DH shared secret starts with zero or not.
Raccoon Attack の発表者は、攻撃はとても困難であるとしている。
The vulnerability is really hard to exploit and relies on very precise timing measurements and on a specific server configuration to be exploitable.
関連:
OpenSSL Security Advisory [09 September 2020] Raccoon Attack (CVE-2020-1968) (OpenSSL, 2020.09.09)。 OpenSSL 1.0.2 系列は 1.0.2w (有償サポートのみ) で対応されている。
Since the vulnerability lies in the TLS specification, fixing the affected ciphersuites is not viable. For this reason 1.0.2w moves the affected ciphersuites into the "weak-ssl-ciphers" list.
OpenSSL 1.1.1 系列には影響しない。 OpenSSL 1.1.0 系列については一切評価されていない。
iida さん情報ありがとうございます。
K91158923: BIG-IP SSL/TLS ADH/DHE vulnerability CVE-2020-5929 (F5, 2020.09.09)
Mozilla: Firefox 78 で DHE 暗号スイート対応が廃止されました。
CVE-2020-1596 | TLS の情報漏えいの脆弱性 (Microsoft)。2020.09 patch で対応。
TLS-DH(E)に関する攻撃手法(Raccoon Attack : CVE-2020-5929 (F5), CVE-2020-1968 (OpenSSL), CVE-2020-12413 (Mozilla), CVE-2020-1596 (Microsoft) ) (SIOS, 2020.09.10)
2020 年 8 月のセキュリティ更新プログラム (月例) (2020.08.20)
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 (Microsoft Security Response Center, 2020.09.14)
対象 ( リリース ノート 2020 年 9 月のセキュリティ更新プログラム からコピペ):
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- Microsoft ChakraCore
- Internet Explorer
- SQL Server
- Microsoft Jet データベース エンジン
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Dynamics
- Visual Studio
- Microsoft Exchange Server
- SQL Server
- ASP.NET
- Microsoft OneDrive
- Azure DevOps
なぜ SQL Server を 2 度言うのだろう。 Japan Security Team はもちろん、 窓の杜 までもが SQL Server を 2 度言っている。何これ。
次の CVE には、追加情報が記載された FAQ があります。また、更新プログラムのインストール後に実行する * 追加の手順も記載されている場合があります。この一覧は今回のリリースが対応している CVE をすべて掲載しているわけではないことにご注意ください。
- CVE-2020-0664
- CVE-2020-0856
- CVE-2020-0875
- CVE-2020-0914
- CVE-2020-0921
- CVE-2020-0928
- CVE-2020-0941
- CVE-2020-0989
- CVE-2020-1031
- CVE-2020-1033
- CVE-2020-1083
- CVE-2020-1091
- CVE-2020-1097
- CVE-2020-1119
- CVE-2020-1193
- CVE-2020-1210
- CVE-2020-1218
- CVE-2020-1224
- CVE-2020-1250
- CVE-2020-1256
- CVE-2020-1332
- CVE-2020-1335
- CVE-2020-1338
- CVE-2020-1589
- CVE-2020-1592
- CVE-2020-1594
- CVE-2020-1596 *
- CVE-2020-16851 *
- CVE-2020-16852 *
- CVE-2020-16853 *
- CVE-2020-16854
- CVE-2020-16855
- CVE-2020-16879
- CVE-2020-16884 *
こんな一覧あったんか……。
関連:
BitdefenderがKB4574727をトロイの木馬と誤検出してインストールできない不具合 (ニッチな PC ゲーマーの環境構築 Z, 2020.09.09)。現在は修正されている。
KB4571756を適用するとWSL 2が正常に動作しなくなる不具合 (ニッチな PC ゲーマーの環境構築 Z, 2020.09.10)。必ず起こるというわけではないようです。
KB4571756適用後、特定の環境でエクスプローラーに不具合 (ニッチな PC ゲーマーの環境構築 Z, 2020.09.12)
この現象が発生する原因は、Corel社より2000年発売の『Paint Shop Pro 7』。このアプリケーションをインストールしている環境でのみ、エクスプローラーに問題が発生します。
今日(9/9 JST)の Windows Update(2020-09 B) (山市良のえぬなんとかわーるど, 2020.09.09)
2020-09 B の CU 以降、WSUS インフラストラクチャに影響する変更あり(既定でセキュアに)。プロキシが絡んでると影響するっぽい(WSUS による更新が失敗するようになる)。詳しくは↓。まだちゃんと読んでいないけど 8530 が使えなくなるわけではない(→)。
Changes to improve security for Windows devices scanning WSUS
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/changes-to-improve-security-for-windows-devices-scanning-wsus/ba-p/1645547
WindowsUpdate.admx/.adml も置き換えられ、「イントラネットの Microsoft 更新サービスの場所を指定する」に新しいオプション(セキュアじゃなくなるけど変更の影響を緩和するポリシー)が追加されてる。
Changes to improve security for Windows devices scanning WSUS (Aria Carley / Microsoft, 2020.09.08) は、 プロキシ経由でないと WSUS に到達できない場合の話、という理解でいいのかな。
Options to ensure that devices in your environment can continue to successfully scan for updates:
- Secure your WSUS environment with TLS/SSL protocol (configure servers with HTTPS).
- Set up system-based proxy for detecting updates if needed.
- Enable the “Allow user proxy to be used as a fallback if detection using system proxy fails” policy.
https で接続できるようにする、システムベースの proxy を設定する、 「Allow user proxy to be used as a fallback if detection using system proxy fails」ポリシーを有効にする、のいずれかを実施。 システムベースの proxy というのは、netsh winhttp set proxy で設定する奴のことでいいんですかね。
》 DDoS攻撃を示唆し仮想通貨を要求する「DDoS脅迫」、JPCERT/CCが注意喚起 (Internet Watch, 9/11)
》 Micorosft、Flashの終了に向けた今後の予定を発表 (ニッチな PC ゲーマーの環境構築 Z, 9/7)
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分) (ドコモ口座, 9/9)。イオン銀行、 池田泉州銀行、 大分銀行、 紀陽銀行、 滋賀銀行、 仙台銀行、 第三銀行、 但馬銀行、 鳥取銀行、 北洋銀行、 みちのく銀行、 伊予銀行、 東邦銀行、 琉球銀行。
一部銀行の銀行口座登録および銀行口座変更の申込受付停止について(2020年9月9日追加分②) (ドコモ口座, 9/9)。ゆうちょ銀行。
「ドコモ口座」、17行で不正利用 預金引き出し被害相次ぐ (時事, 9/9)。むしろ、どこが残ってるんだ? 対応金融機関と登録手順 (ドコモ口座)
ドコモ口座、17行と連携中断 被害さらに広がるおそれ (朝日, 9/9)
今回の不正では、地銀の顧客の氏名、口座番号、暗証番号、生年月日などが何らかの方法で盗まれたとみられ、ドコモ口座と銀行口座の連携までできてしまった。そのため、地銀の顧客名義のドコモ口座が作られ、銀行口座からお金が不正に引き出された可能性が高い。
ゆうちょ銀もドコモ口座の登録停止 連携銀の過半停止に (朝日, 9/9)
ドコモ口座と口座連携している銀行はメガバンク2行を含めて35行。ゆうちょ銀を含めると、連携中断は過半の18行となった。
狙われた地銀の預金 「ドコモ口座」相次ぐ不正流出 (日経, 9/9)
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は (井上輝一 / ITmedia, 9/9)
ドコモは「他人になりすましてドコモ口座を開設することが可能な状況だった」として、ドコモ口座にも不備があったことを認めた。
ドコモ口座の開設にはドコモの「dアカウント」が必要となるが、dアカウントはドコモの携帯電話などの契約は関係なく、任意のメールアドレスさえあれば作成できる。ドコモ口座の開設はこのdアカウントでログインした上で利用規約に同意すれば完了してしまう。
名前や生年月日などを入力する欄もあるが、運転免許証など本人確認書類による確認ステップがないため、でたらめな情報や他人の情報でも登録できてしまう。
ユーザーのドコモ口座から他のドコモ口座に送金したり、銀行口座に出金したりするには本人確認が必要としているが、本人確認の方法は「銀行口座の登録」であるため、今回のように第三者が銀行口座を登録できてしまった場合の防壁としては機能しない。また、本人確認をしなくてもドコモのモバイル決済サービス「d払い」でネットや街の店舗での支払いに利用できる。
》 アストラゼネカ、全世界でコロナワクチン治験中断 安全性に懸念 (ロイター, 9/9)。オックスフォードと共同開発中のもの。
米紙ニューヨーク・タイムズ(NYT)が事情に詳しい関係筋の情報として伝えたところによると、英国の治験で脊髄に炎症が起きる横断性脊髄炎が被験者1人に確認された。横断性脊髄炎はウイルス感染によって引き起こされる場合が多い。この疾患がアストラゼネカのワクチン候補と直接関係があるかどうかは不明という。
世の中厳しい。関連:
アストラゼネカ 新型コロナのワクチン 臨床試験 一時的に中断 (NHK, 9/9)
英アストラゼネカ、コロナワクチン試験中断-原因不明の疾患 (ブルームバーグ, 9/9)。「アストラゼネカの発表資料」はマスメディアにしか配られてないのかな。
英オックスフォード大、ワクチン治験を中断 参加者に副作用 (BBC, 9/9)
出ました。
Security Update Available for Adobe InDesign | APSB20-52 (Adobe, 2020.09.08)。Priority: 3
macOS 版 InDesign 15.1.1 以前に、任意のコードの実行を招く 5 件のセキュリティ欠陥。 InDesign 15.1.2 で修正されている。
Security Updates Available for Adobe Framemaker | APSB20-54 (Adobe, 2020.09.08)。Priority: 3
Windows 版 Framemaker 2019.0.6 以前に、任意のコードの実行を招く 2 件のセキュリティ欠陥。 Framemaker 2019.0.7 で修正されている。
Security updates available for Adobe Experience Manager | APSB20-56 (Adobe, 2020.09.08)。Priority: 2
Adobe Experience Manager (AEM) 6.5.5.0 以前 / 6.4.8.1 以前 / 6.3.3.8 以前 / 6.2 SP1-CFP20 以前、 および AEM Forms add-on の AEM Forms Service Pack 5 以前に、任意の JavaScript がブラウザ内で実行されるなど 11 件のセキュリティ欠陥。 AEM 6.5.6.0 / 6.4.8.2 および、AEM Forms add-on の AEM Forms Service Pack 6 で修正されている。
》 ドコモ口座を悪用した不正送金についてまとめてみた (piyolog, 9/8)、 一部銀行の銀行口座登録および銀行口座変更の申込受付停止について (ドコモ口座)
■対象金融機関
・七十七銀行
・中国銀行
・大垣共立銀行
関連:
<重要>「ドコモ口座」を利用した当行口座の不正利用の発生 (七十七銀行, 9/8 更新)
【更新】「ドコモ口座」を利用した当行口座の不正利用の発生について (中国銀行, 9/8)
「d払いアプリ」/「ドコモ口座」 新規口座登録・即時チャージ対応の一時停止のお知らせ (大垣共立銀行, 9/8)。 あまのみしおさん情報ありがとうございます。
さらに:
「ドコモ口座」を利用した当行口座の不正利用の発生について (東邦銀行, 9/8)
「ドコモ口座」を利用した当行口座の不正利用の発生について (鳥取銀行, 9/8)
「ドコモ口座」を利用した当行口座の不正利用の発生について (滋賀銀行, 9/8)
「ドコモ口座」(d払い)への当行口座の新規登録の一時停止について (大分銀行, 9/8)
「d 払い」への当行口座の新規登録の一時停止について (仙台銀行, 9/8)
ウォレットサービス「d払い」/「ドコモ口座」新規口座登録の一時停止のお知らせ (但馬銀行, 9/8)
「ドコモ口座」に対する新規口座登録を一時停止します (北洋銀行, 9/8)
「ドコモ口座」への口座登録の一時停止について (池田泉州銀行, 9/8)
》 Adobe Flash Player 32.0.0.433公開 (ニッチな PC ゲーマーの環境構築 Z, 9/8)
》 防災に、アウトドアに、光を味方に。NITECORE FSP100 折りたたみソーラーパネル (目指せ!ライトマニア HATTAのLEDライトレビュー, 9/8)
少し前まであった携帯性を重視したウェアブルタイプのソーラーパネルとは比較にならないほど充電性能に優れたモデルであり、近年、充電池やチャージャーに力を入れる同社の本気度が伝わる商品です。
》 コインハイブ事件高裁判決@判例時報 (壇弁護士の事務室, 8/26)
》 インターネット・リサーチ・エージェンシー / ピース・データ方面
フェイスブック、ロシア発の選挙工作を阻止 FBIの情報受け (CNN, 9/2)
ロシア、独立メディア装い米英で選挙工作か FBがアカウント停止 (ロイター / 朝日, 9/2)
アングル:西側メディア装うロシアの情宣戦略、旧ソ連の手口復活 (ロイター / 朝日, 9/8)
ピース・データの「スタッフ」は通常、ウォルターズさんなどの記者に、ツイッターのダイレクトメッセージかビジネス特化型ソーシャルネットワークのリンクトインを通じて接触する。報酬は記事1本当たり100ドルから250ドルで、インターネット送金で即座に振り込まれる。
ロイターが取材した記者は全員、ピース・データの背後にロシアがいることを1日時点まで知らなかったと答えた。
ソーシャルメディアの極論や過激ツイートに気をつけろ 左派を標的にするロシアのトロール部隊 (木村正人 / Yahoo, 9/2)
偽装メディアの「編集長」はAIが合成、ダマされたのはユーザーだけではなかった (新聞紙学的, 9/3)
》 『WOMBSクレイドル』連載開始のお知らせ (弓工房blog, 8/18)。うぉぅ、こんなの始まってたのか。
この物語は、サウラやアルメア達が研究所を脱出し、 ハスト軍の正規軍として「転送隊」を結成するまでの間のうち 最も緊迫感ある短い一時期を 回想を交えつつ描くものになります。
WOMBS はぜひとも実写化してほしいマンガの 1 つなんだよなあ。アニメだとどうしても画面が綺麗になってしまうので、実写でお願いしたい。 「マッドマックス 怒りのデス・ロード」を観たときは「おぉ、これができるなら WOMBS も実写化できるな!」と思ったものなのですが。 Netflix さんどうですか。
》 Surface Hub 2 で Windows 10 Pro または Enterprise と指紋リーダーを利用可能に (Windows Blogs, 9/2)
》 ベラルーシの野党指導者が行方不明に 覆面の男らが拘束か (BBC, 9/8)
コレスニコワ氏は、反政権派の先鋒として、先月の大統領選で現職のアレクサンドル・ルカシェンコ大統領(66)の再選に反対した3人の女性のうちの1人。主要対立候補だったスヴェトラーナ・チハノフスカヤ氏(37)の選挙事務所のメンバーだった。
》 ロシア反体制活動家アレクセイ・ナワリヌイ氏毒殺未遂事件方面。ただでさえぶ厚いおそロシア伝説にまた 1 ページ。
ロシア反体制指導者に神経剤「ノビチョク」使用 独政府が発表 (BBC, 9/3)
情報BOX:ナワリヌイ氏毒殺未遂に使用か、ノビチョクの正体 (ロイター / ニューズウィーク日本版, 9/3)
ロシア野党指導者こん睡、トランプ氏はロシアを非難せず 毒物の証拠ないと (BBC, 9/6)
ナワリヌイ氏毒殺未遂、仏独外相が共同声明発表 (在日フランス大使館, 9/7)
第1段階では、この新たな国際法違反が発生したロシアが、同国により開発された薬剤系統に属する軍用神経剤を使った、ロシアの政治的反対派メンバー暗殺未遂の背後にある事実経過と責任を解明することが極めて重要かつ喫緊の課題です。
重体のロシア反政権活動家、意識戻る 毒殺未遂で昏睡 (朝日, 9/8)。「ただ、中毒による長期的な影響を見極めるのは時期尚早だとしている」
独、パイプライン事業への影響示唆 ナワリヌイ氏めぐる対ロ制裁 (AFPBB, 9/8)
》 新型コロナって、インフルエンザよりも危険なんですか・・・? (高山義浩 / Yahoo, 9/8)
新型コロナに罹患したときの個人に及ぼす影響については、すでに明らかになっています。多くの若者にとってはインフルエンザと同等(あるいは、それ以下)であっても、高齢者や基礎疾患を有する者にとっては死に至ることも想定される重大な感染症です。これほど容易に肺炎を引き起こし、呼吸状態を悪化させ、次々に気管挿管へと陥れることは、インフルエンザでは経験しえないことです。
》 受診控えで急増「コロナ虫歯」 処置遅れて重症化も (東京, 9/8)。明らかな症状がある時は、行きましょう。
[gnutls-help] gnutls 3.6.15 (gnutls-help ML, 2020.09.04)。GNUTLS-SA-2020-09-04 を修正。iida さん情報ありがとうございます。
【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて(2020年9月3日) (トレンドマイクロ, 9/3)
弊社のサポートセンターからお客様へお送りするメールには、いかなるファイルも添付することはございません。
マルウェア Emotet の感染拡大および新たな攻撃手法について (JPCERT/CC, 9/4)
》 Google Chrome 88でFTPが完全廃止 (PC Watch, 9/4)。「断末魔です!」「いよいよ最後!」
》 海の向こうの“セキュリティ” 「OpenSSL」の脆弱性、その存在すら気付かれないまま放置されている可能性も? (Internet Watch, 9/3)。ICS 方面。
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて (IPA, 9/2 更新)
※「相談急増/パスワード付きZIPファイルを使った攻撃の例」を追記しました。(2020年9月2日)
Emotet感染時の対応 (bomb_log, 1/27)
ツイート
新しいトレンド系
— bom (@bomccss) September 3, 2020
■件名(2種)
トレンドマイクロ・サポートセンター満足度アンケート調査 ご協力のお願い
トレンドマイクロ・カスタマー満足度アンケート調査 ご協力のお願い
■添付ファイル名
トレンドマイクロ・カスタマー満足度アンケート調査ご協力のお願い.doc
等https://t.co/e60rlveuF7 pic.twitter.com/Uxc9RIF5Ea
https://www.virustotal.com/gui/file/bb026c17802c4a8a667b0552c9666d92f06bb8476be17a277bf2e83dae6ce41b/detection (VirusTotal.com)。手元に届いた、↑のトレンドマイクロ偽装な奴。
》 iOS 13.7 公開、COVID-19 接触通知機能を塔載 (ただし日本では利用できず)。yamk さん情報ありがとうございます。
iPhoneのOSアップデート13.7で新型コロナ接触通知システム標準搭載 ただし日本ではCOCOAインストール必須 (ITmedia, 9/2)。 MACお宝鑑定団の記事ですね。 現在は註釈が入ってますが、「9月3日午後時35分追記」だそうなので、 少なくとも午前中までは註釈なしだった模様。 註釈が入る前の記事
Apple、「iOS 13.7」「iPadOS 13.7」を公開 ~iPhoneはアプリなしでCOVID-19の接触通知が可能に (窓の杜, 9/2)。こちらは今だに註釈なし。
「iOS 13.7」が登場、専用アプリのインストールなしで新型コロナウイルス接触追跡システムが利用可能に (gigazine, 9/2)。ひきつづき COCOA のインストールが必要、とは読めない記事。
アップルが新型コロナ接触追跡の新ツールをiOS 13.7でリリース (techcrunch, 9/3)。末尾に註釈あり。
iOS 13.7提供開始、新型コロナ通知標準搭載も日本ではCOCOAが必須 (日経 xTECH, 9/2)。題名ですっきりわかる。
iOS 13.7配信 接触通知システムのOSでの提供を開始も、日本では引き続き専用アプリを用いる (mobile ASCII, 9/2)。題名ですっきりわかる。
iPhone 最新OS コロナ接触機能追加 日本では利用できず (NHK, 9/2)。題名ですっきりわかる。
》 備忘録:ADFS と WAP と TLS (山市良のえぬなんとかわーるど, 8/24)。「ADFS-WAP 間の通信の既定は TLS 1.0 だそうで」。へぇ。
》 アップルが悪名高いMac用マルウェアを誤って承認してしまう (techcrunch, 9/1)
》 SpaceX、半世紀ぶりとなるフロリダからの極軌道打ち上げに成功 (スラド, 9/1)。SAOCOM 1B ミッション。
》 note、Internet Archiveで保存できなくなる、古いドメインはブロック (スラド, 9/2)
》 Alert (AA20-245A) Technical Approaches to Uncovering and Remediating Malicious Activity (US-CERT, 9/1)
》 北朝鮮がユーチューブで暗号放送 工作員への指令か (聯合ニュース, 8/30)。便利なインフラ。
》 大学生がGPT-3で偽記事を作ってニュースサイトで1位になった方法 (MIT technology review, 9/2)。世の中どんどん進むなあ。
》 「日本語分かっていただけましたか」茂木外務大臣の振る舞いをどう見るか (望月優大 / Yahoo, 9/1)。安倍内閣はこんなんばっか。 関連:
ツイート
よくある外国人の経験です。私も日本で日本語で質問しても相手が英語で答えたり、何か聞き取れない場合「すみません、もう一度いってください」など言えば相手が私が分からないと思って英語で言ったりすることが多い。実はこれで時々イライラします。でもオフィシャルな会議でこれは絶対ダメでしょう。 https://t.co/jcK70Yxycd
— Wiktor /Gaukievich/ Marczyk (@WiktorMarczyk) August 31, 2020
いや、まじこれ差別以外の理由がありえない。例えば、私(日本国籍)と妻(イギリス国籍)が一緒にイギリスに行ってて、全く同じ環境で過ごして帰ってきたときに、妻だけ入国できないとか、まじそこに科学的根拠も「国ごとの適切な水際対策」もクソもない。日本国が差別を適切と言っているようなもの。 https://t.co/OLwrA6Pc8J
— sebeckawamura (@sebeckawamura) September 1, 2020
》 Facebookとグーグル、香港への海底ケーブル敷設を断念 (CNET, 9/2)
》 マイナポイント、クレカ会社が不参加表明 背景に政府との溝 (産経 / ITmedia, 9/2)
経産省によると、20年3月末時点でクレジットカードを発行する事業者は250社を超えるが、マイナポイント事業に参加したのは23社のみ。JCBや三菱UFJニコス、クレディセゾンなど大手も相次いで参加を見送った。
へぇ。
》 iPhoneのOSアップデート13.7で新型コロナ接触通知システム標準搭載 COCOAアプリのダウンロードなしで (ITmedia, 9/2)
》 Amazon・Microsoft・PSNなどを巻き込む大規模なネットワーク障害が発生、原因はBGPの設定ミスか (gigazine, 8/31)
》 Windows10 v2004に無意味に何度もデフラグされる不具合。対処方法あり (ニッチな PC ゲーマーの環境構築 Z, 2020.08.30)
》 ビジネスメール詐欺の分析と帰属 (マクニカ, 8/7)
》 North Korean Malicious Cyber Activity: FASTCash (US-CERT, 8/26)
》 DNSルートサーバへのアクセスのうち、45.80%はChromiumの検索仕様による無駄な通信だった (スラド, 8/26)、 Chromium’s impact on root DNS traffic (APNIC, 8/21)
》 PowerShellの悪用と「ファイルレス活動」を見つけるためにできること (トレンドマイクロ セキュリティ blog, 8/11)
PowerShellのログ記録の機能を有効化することで、フォレンジック調査やマルウェア解析に活用できる重要なアクティビティを可視化することができます。これらの機能は、PowerShellの悪用を検出および防御し、さらには攻撃被害を軽減させるためにも利用できます。
》 ネット接続製品の安全な選定・利用ガイド -詳細版- (IPA, 8/27)
》 一般消費者に脆弱性対処の内容をどう開示する? IPAが開発者向けガイドを公開 (@IT, 8/28)、 脆弱性対処に向けた製品開発者向けガイド (IPA, 8/27)
》 トレンドマイクロ、セキュリティインシデント対策訓練用ボードゲームの「医療版」「大学版」を無償提供 (クラウド Watch, 8/27)
》 PINコードを用いたビジター共有が“G Suite”で一般提供 ~社外ユーザーとの協業に最適 (窓の杜, 9/1)
》 植物に学ぶ生存戦略 話す人・山田孝之 (NHK)。第4弾、NHK+ で見れます。めちゃおもしろい。
》 性同一性障害の運転手への乗務禁止 「化粧理由は不当」 大阪地裁が異例の決定 (毎日, 8/30)。いまだに「性同一性障害」と報じられるんだなあ。 性別違和・性別不合になるのはいつなのだろう。
20年2月、複数の上司から「身だしなみで化粧はないやん。男性やねんから」「だいぶ濃いわ」と注意された。さらに、「治らんでしょ、病気やねんから。うちでは乗せられへん」と言われ、乗務を禁止された。
あいかわらず「性同一性障害」とか言ってるから、こういう誤解が生じるんだよなあ。とっとと国際標準に則るべき。
関連:
【業界初!】LGBT当事者が「入りづらい」と感じるハードルをクリアした共済「パートナー共済 ~わたしの愛をカタチに~」の加入募集を開始 (ダイバースパートナーズ / PR TIMES, 7/7)
診断分類である『精神障害の診断と統計マニュアル』(DSM)の2013年の第5版(DSM-5)は、「性同一性障害」ではなく「性別違和」という新しい診断名を用いており、「性同一性障害」は差別に該当する用語として廃止する動きを見せています。
しかしながら、既存の保険・共済は、日本精神神経学会の診断名が「性同一性障害」を使用していることから、精神疾患や障がい・ホルモン薬剤処方の告知で契約が困難な場合が多くあります。
日本精神神経学会ですか。 GID 学会 もあいかわらずの名称だしなあ。
性同一性障害に関する診断と治療のガイドライン (日本精神神経学会)
厚労省「性同一性障害」ページに「病気」「女性・男性なのに」 ネット問題視で改修へ (J-CAST, 7/9)。2012 年から放置でしたと。 しかし、学会も↑のていたらくなのでねえ。
[性同一性障害から性別不合へ](上)男か女かの「性別二元論」では語れない人たち 「ノンバイナリー」とは何か?…松永千秋・GID学会理事に聞く (読売, 2019.05.31)
[性同一性障害から性別不合へ](下)私は男でも女でもなかった…50代母が探し当てた「本当の自分」 (読売, 2019.06.01)
》 東京パラの開催、感染ゼロの保証が条件 IPC会長 (AFPBB, 8/24)
パラリンピック選手の中にはウイルスに特に弱い選手がいることから、現在のような感染リスクがある状態では開催は難しいという考えを示した。
》 中国、技術輸出の規制強化 TikTok売却交渉に影響も (日経, 8/30)
中国の商務省と科学技術省が28日夜に発表した「中国輸出禁止・輸出制限技術リスト」の改訂では、輸出制限の対象に人工知能(AI)や個人向けのデータ解析などを加えた。(中略) 新華社は29日、リスト改訂に関して、技術貿易を専門とする中国対外経済貿易大学の崔凡教授のコメントとして「バイトダンスはAIなどの技術を使っており、改訂後のリストに含まれる可能性がある」と報じた。
》 マイナポイントきょう開始 手間…事前申し込み1割未満 (朝日, 9/1)。2020.09.01〜2021.03.31。
マイナポイントとは? (総務省)
マイナンバーカードを使って予約・申込を行い、 選んだキャッシュレス決済サービス(※)でチャージやお買い物をすると、 そのサービスで、ご利用金額の25%分のポイントがもらえるのが 「マイナポイント」のしくみです。(お一人あたり5,000円分が上限です)
5,000 円のために手間をかける価値があるのかどうか。 既にマイナンバーカードを持ってます勢にはそれほど手間ではない? (マイナンバーカード普及促進事業なのだが……)
》 攻撃グループLazarusがネットワーク侵入後に使用するマルウェア (JPCERT/CC, 8/31)
JPRSサーバー証明書発行サービスをご利用中のみなさまへ - 中間CA証明書の切り替えに伴う、サーバー証明書の再発行・入れ替えのお願い - (2020.08.20)
UPKI の新しいコード署名証明書も、再発行で対応となったようです。 (連絡が来た)
2020 年 8 月のセキュリティ更新プログラム (月例) (2020.08.20)
関連:
KB4566782適用後、Lenovo PCでBSoDの不具合。対処方法あり (ニッチな PC ゲーマーの環境構築 Z, 2020.08.31)。Windows 10 バージョン 2004 用の、2020年8月の累積的な更新プログラム。
Lenovoによると、これらのエラーはBIOSの設定で『Enhanced Windows Biometric Security』が有効になっている場合に発生するとのこと。
出ました。Thunderbird も出てます。
Firefox 80 がリリースされた (mozillaZine, 2020.08.26)
Thunderbird 78.2.0 がリリースされた (mozillaZine, 2020.08.26)、 Thunderbird 78.2.1 がリリースされた (mozillaZine, 2020.08.31)
Thunderbird 78.2.0 は、thunderbird.net からの直接ダウンロードによってのみ提供され、Thunderbird 68 およびそれ以前のバージョンからの自動アップグレードは行われない。今後リリースされるバージョンにおいて、自動アップグレードが行われる予定である。
Thunderbird 78.0 より、アドオンのサポートについて大きな変更が行われている。(中略)
Enigmail を利用中のユーザーは、現時点では Thunderbird 78.2 へ更新するべきではない。
Thunderbird 68.12 がリリースされた (mozillaZine, 2020.08.27)
Wireshark 3.2.6 Release Notes (Wireshark, 2020.08.12)
JVNVU#90813748 - Trend Micro Deep Security および Virtual Patch for Endpoint に複数の脆弱性 (JVN, 2020.08.31)。patch あり。
JVN#29903998 - 複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性 (JVN, 2020.08.28)
GS716Tv2 および GS724Tv3 のサポートは既に終了しています。製品の使用を停止し、代替製品への乗り換え等を検討してください。
開発者によると、 GS716Tv2 および GS724Tv3 の後継機として GS716Tv3 (GS716T-300AJS) および GS724Tv4 (GS724T-400AJS) を提供しているとのことです。
Chrome 85.0.4183.83 が stable になってたんですね。20 件のセキュリティ修正を含む。
過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)