![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed May 22 18:17:36 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 OSSライセンスMeetup Vol.3 「知財部門から見たOSSライセンス」 (connpass)。2019.06.11、東京都港区、無料。 面さん情報ありがとうございます。
》 WordPress 5.2.1 メンテナンスリリース (WordPress, 5/22)。セキュリティ修正は含まれないようです。
》 Forthcoming OpenSSL Releases (OpenSSL, 5/21)。日本時間だと 5/29 なのかな。 iida さん情報ありがとうございます。
》 Chrome Stable Channel Update for Desktop (Google, 5/21)。セキュリティ修正は含まれないようです。 iida さん情報ありがとうございます。
》 「Windows 10 May 2019 Update」が一般提供--機能アップデートの制御などを強化 (CNET, 5/22)
》 Kali Linux 2019.2 Release (Kali Linux, 5/21)
》 かわいいアライグマの、ちょっと怖い話をしよう (安田 浩一 / 現代ビジネス, 5/22)
愛知県豊田市の郊外にある「山里カフェMui(ムイ)」。古民家を改造したジビエ料理店だ。店主の清水潤子さん (中略) が「もっともおいしい」とすすめるのが、アライグマである。
私が注文したのはアライグマのトマトソース煮込み。いやいや、これがうまいのなんのって。正直、牛肉だと思ったくらいにクセが少ない。ほどほどの脂身が口の中でとろける。
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
ファーウェイ関連:
米国がファーウェイに対する禁制を一時的に緩和か (techcrunch, 2019.05.21)
Federal Register誌のまだ草稿段階の記事によると、商務省とその下の産業安全局が、ファーウェイに「90日間の一時的全面的許可を」を与え、すでにライセンスのある米国の技術の使用を続行できるようにすると発表した。ただし、新たにライセンスを要する新しい技術や新型のスマートフォンは、それらを申請しなければならない。そしてロイターによれば、その申請は認可されないだろう。
ファーウェイがAndroid提供中止にコメントするも今後の見通しは依然不明 (techcrunch, 2019.05.21)
ファーウェイ排除で米国は貿易戦争には勝ったがネットワーク戦争に負ける (techcrunch, 2019.05.21)
追い詰められるファーウェイ Googleの対中措置から見える背景 (山田敏弘 / ITmedia, 2019.05.21)
この動きを見ていて思い出すのが、中国通信機器大手である中興通訊(ZTE)に起きたケースだ。米政府は18年、ZTEを米国内で活動禁止にしてから、禁止解除の条件としてかなりの妥協を引き出した経緯がある。
現在のファーウェイ問題の顛末(てんまつ)がどうなるのかを予測する際には、このケースがヒントとなりそうだ。
17年、米政府はZTEが対イラン・北朝鮮制裁に違反して米国製品を輸出し、米政府に対しても虚偽説明をしたとして米国市場から7年間締め出す制裁措置を発表した。
これにより、スマホを製造する際の半導体といった基幹部品などを米企業に依存していたZTEは、事実上ビジネスを続けられなくなった。だが、当時話を聞いた米政府関係者はこう語っていた。「結局、ZTEは習近平国家主席に泣きつき、その後、習近平はトランプ大統領にこの措置を緩めるようお願いをした。そこでトランプは、非常に厳しい条件を提示して、制裁を解除したのです。まさにトランプによる『ディール』ですね。これはトランプの手腕としてもっと評価されてもいい」
米政府は習国家主席の要請に応じ、ZTEへの制裁措置を10年間先延ばしにすることにした。その条件として、ZTEは10億ドルの罰金を支払い、エスクロー口座(第三者預託口座)に4億ドルを預託、さらには、米商務省が指名した監視チームを10年にわたって受け入れることにも合意させられている。
今回のファーウェイへの強硬措置もこの流れがある。
つまり、ファーウェイはこれと同レベルまたはそれ以上の妥協をしない限り、今後米企業とビジネスを続けることはできなくなるのではないだろうか。
コラム:ファーウェイ制裁発動、米中摩擦は未知の領域へ (ロイター, 2019.05.22)
トランプ大統領のファーウェイ攻撃、単なるお粗末な計算ミス-社説 (ブルームバーグ, 2019.05.22)
[FT]ファーウェイ、グーグルの取引停止で窮地に (日経, 2019.05.21)
ファーウェイのドル建て債急落 市場、金融規制を警戒 (日経, 2019.05.21)
ファーウェイ制裁、米ハイテクを直撃 (日経, 2019.05.21)、 通信部品の米クォルボも下方修正、ファーウェイ禁輸で (日経, 2019.05.22)
【音声配信】「トランプ政権の措置を受け、グーグルがファーウェイへのソフト提供を停止へ。その影響とは」西田宗千佳×楠正憲×塚越健司▼2019年5月21日(火)放送分(TBSラジオ「荻上チキ・Session-22」22時~) (TBS ラジオ, 2019.05.22)。うまく聞けない場合は、radiko タイムフリーやラジオクラウドでどうぞ。
MicrosoftがHuawei製品を「なかったこと」に、公式発表は一切なし (gigazine, 2019.05.22)。Microsoft、オンラインストアから Huawei MateBook X Pro を削除。
オープンソース Android ベースの独自 OS をつくるにせよ、 問題は、Google Mobile Services (GMS) が使えるかどうか。
ファーウェイ、19年秋にも自前OSか (日経, 2019.05.22)
米グーグル×ファーウェイ問題:グーグルは「既存端末にはストアを提供」する方針 (Business Insider, 2019.05.20)
問題は、アプリストアのGoogle Play、GmailやYouTubeといった「グーグル系サービス」のモバイルアプリが利用できなくなる可能性があるという点だ。これらのサービスはオープンソースのAndroidとは別に、Google Mobile Services(GMS)という形でグーグルと契約する必要があるからだ。
既存ファーウェイ端末はGoogle Playストアを継続利用可能とグーグルが声明 (techcrunch, 2019.05.21)
報道では、将来のファーウェイのデバイスではGoogle Play Storeやメールクライアント「Gmail」など、多くのGoogle Mobile Servicesが利用できなくなるとしている。ファーウェイのスポークスパーソンは現在状況を調査中としており、それ以上の声明を出していない。
ファーウェイ、新製品 P30 / P30 lite を発表するも、ソフトバンクと KDDI は発売延期。ドコモも追随か。
lite系もトリプルカメラに。HUAWEI P30 lite日本版は3万2880円 (engadget, 2019.05.21)
Y!mobileやau、ファーウェイ「HUAWEI P30 lite」の発売を延期 (ascii.jp, 2019.05.22)
どうなるファーウェイ、キャリアは発売延期の動き(石野純也) (engadget, 2019.05.22)
加えて強調しておきたいのは、やはりユーザーの選択肢が減ってしまうこと。特にP30やP30 Proは、そのカメラ機能が高く評価されており、カメラ画質の評価機関であるDxOMarkでは、P30 Proがサムスンの「Galaxy S10 5G」と並んでトップスコアを記録しているほか、ベスト5の中の3台がファーウェイ製端末で占められているほど。将来、これを超える端末が出せなくなるとすれば、率直に言ってユーザーにとっての損失にほかなりません。
中国、レアアース禁輸で対抗か?
米が制裁を外したレアアースとは 「産業のビタミン」 (朝日, 2019.05.14)
米、対中関税対象からレアアース再び除外 資源依存浮き彫りに (ロイター, 2019.05.15)
中国の習主席、レアアース関連施設を視察-対米交渉に利用との観測 (ブルームバーグ, 2019.05.21)。「習主席が江西省にある江西金力永磁科技を訪問」。
「米帝打倒」 強硬に転じた習氏の新たな政治運動 (日経, 2019.05.22)
》 WikiLeaksの取り調べに協力を拒否したチェルシー・マニングがまた拘置所へ (techcrunch, 5/18)。一旦釈放されたのだけど、逆戻り。
》 中国がついに全言語のWikipediaへのアクセスを遮断へ (gigazine, 5/16)
》 Instagramのインフルエンサー数百万人分の連絡先情報が流出 (gigazine, 5/21)。「ムンバイに拠点を置くソーシャルメディアマーケティング企業のChtrbox」経由で流出か。
》 大量の誤った違反報告を受けたYouTuberが「YouTubeの著作権プログラムは壊れている」と訴える (gigazine, 5/20)
》 「CRYPTRECシンポジウム2019」開催のお知らせ (IPA, 5/21)
》 リモート開発のための拡張をプレビュー導入した「Visual Studio Code 1.34」が公開 (OSDN, 5/20)。「遠隔からSSH経由で作業ができる拡張などをVisual Studio Code Insiders向けにプレビュー導入」
》 Introducing the first Microsoft Edge preview builds for macOS (Microsoft Edge Blog, 5/20)
》 「氏名の英語表記は名字を先に」オリンピックを前に政府が国内外に配慮を要請 (Buzzap!, 5/21)、ローマ字でも姓→名で 文化庁、20年ぶり呼びかけへ (朝日, 5/21)。ようやくというか、あらためてというか。
》 科学の未来のために、論文を「購読料の壁」から救い出せ:伊藤穰一 (WIRED, 3/31)
》 東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた (piyolog, 5/21)
》 Daniel Hale arrested for being the source of The Drone Papers (Electrospaces.net, 5/17)
》 MI5's UAV Buster: Anti-drones technology test facility (secret-bases.co.uk)
》 Gmailで受信したショッピング履歴のデータ、リスト化されていたことが判明し騒動に (やじうま Watch, 5/20)。便利といえば便利、怖いといえば怖い。
》 Fxmsp がトレンドマイクロ、シマンテック、マカフィーをハクった件つづき。 前ねた。
トレンドマイクロ、テストラボの不正アクセスに関する声明を発表 (窓の杜, 5/20)
トレンドマイクロにサイバー攻撃 ロシア系ハッカーか (朝日, 5/20)
トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定 (ITmedia, 5/20)
》 Stack Overflowがセキュリティ侵害を公表 (ZDNet, 5/20)
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
ファーウェイ方面に激震。いよいよ来ました。
GoogleがHuaweiのAndroidサポートを停止、今後のHuaweiスマホはGoogle PlayなどのGoogleサービスが一切利用できなくなる模様 (gigazine, 2019.05.20)
ファーウェイのスマホで「Android」のサポート停止か--「Gmail」「Google Play」も対象に (CNET, 2019.05.20)
Google、Huawei端末へのサービス提供を一部停止 既存端末には影響なし (ITmedia, 2019.05.20)
IntelやBroadcomもHuaweiとの取引停止か──Bloomberg報道 (ITmedia, 2019.05.20)
》 「これを見て震えている人がいる」 だから私は声上げた (朝日, 5/16)。若一光司氏。「迷ってナンボ!」人権無視放送の件。
》 仮想通貨の無断マイニングを行うマルウェアが、セキュリティ脅威リスト上位を独占 (COINTELEGRAPH, 5/17)、 April 2019’s Most Wanted Malware: Cyber Criminals Up to Old ‘Trickbots’ Again (Check Point, 5/14)
While April’s three most common malware variants were cryptominers, the remaining seven of the top ten were multi-purpose trojans. This highlights the shift in tactics used by criminals to maximise their financial returns from campaigns, following the closure of several popular cryptomining services and the decline in cryptocurrency values over the past year.
TOP 10 の上位 3 つは暗号通貨採掘型だったけど、残り 7 つは多目的なトロイの木馬だったそうで。今後も、暗号通貨の儲かり具合で変動するんだろうなあ。
百田尚樹さんの「日本国紀」批判で出版中止 作家が幻冬舎を批判 (大村健一/統合デジタル取材センター / 毎日, 5/16)
幻冬舎が「出版、諦めざるを得ない」 津原さん反論、経緯明かす (大村健一/統合デジタル取材センター / 毎日, 5/17)
幻冬舎「一方的に中止した事実はない」津原泰水氏「なんでそんなうそを」→津原氏連ツイ&メール公開 (NAVER まとめ, 5/17)
幻冬舎社長の見城徹が、日本国紀のパクリを批判した作者の実売部数を公表し作家などから顰蹙を買う (togetter, 5/17)
幻冬舎による実売部数暴露に高橋源一郎氏、平野啓一郎氏らが猛反発 (東スポ, 5/17)
【追記】幻冬舎・見城社長「実売数晒し」で謝罪 作家ら一斉反発→「本来書くべきことではなかったと反省」 (J-CAST, 5/17)
関連ツイート:
今話題の幻冬舎の社長、火浦功のエッセイに出てくる頭のおかしい編集者のモデルと知ってから、例の事件の関係者が全員ゆうきまさみの絵柄で再現されるようになってしまった(笑)
— アオイ模型:神戸かわさき 福田川15 (@aoi_mokei) May 17, 2019
幻冬舎社長、見城徹による安倍総理に対するすさまじい幇間芸。こんな人がテレビ朝日の番組審議会の委員長で、報道の不偏不党は保たれるんでしょうか?
— 町山智浩 (@TomoMachi) May 16, 2019
元のビデオ https://t.co/zxmzU8JYco pic.twitter.com/LzkBCdQ2jC
》 米軍、公道で銃携行させる 日本人警備員に 地位協定違反 (東京, 5/16)。基地外。どう見ても銃刀法違反なのだから、とっとと現行犯で逮捕すればいいんだよ。
ベネズエラ、「クーデター」不発で難民急増 国境ルポ ブラジル移住希望者殺到、密輸も (日経, 5/14)
なぜベネズエラの決起は失敗に終わったのか? (風樹茂 / WEDGE Infinity, 5/15)
南米の武器庫ベネズエラ、かなり危険につき...... (ニューズウィーク日本版, 5/15)
もしベネズエラで政権が崩壊したら、同国の武器をカネに変える動きを止めることはほぼ不可能であり、その結末は近隣諸国にとって悲惨なものになる。
特に懸念されるのは、携帯式防空ミサイルシステムが拡散して、民間航空の安全が脅かされることだ。同ミサイルシステムの中でもベネズエラが保有する lgla-S MANPADS は、ビルの屋上からでも上空2万フィート(約6キロ)以下を飛ぶ民間機を4マイル(約6.4キロ)先まで撃墜することができる。コロンビアやメキシコのゲリラ組織はこのミサイルシステムに強い関心を示しており、既に入手したとの情報もある。
ベネズエラ政権と反政権派、交渉へ調整 ノルウェー仲介 (朝日, 5/17)
特別リポート:飢えと腐敗、ベネズエラ中国事業の「負の遺産」 (ロイター, 5/14)
》 台湾、同性婚認める法案を可決 アジア初 (AFPBB, 5/17)。おめでとうございます。
》 米司法省とユーロポール、「GozNym」のネットワークを解体 (CNET, 5/17)、 GOZNYM MALWARE: CYBERCRIMINAL NETWORK DISMANTLED IN INTERNATIONAL OPERATION (Europol, 5/16)、 100億円以上を盗み出した国際サイバー犯罪組織が米独など六カ国の協力で解体へ (gigazine, 5/17)
》 炭は自然に返りません…砂浜BBQで放置、埋めないで! 兵庫・西宮市が呼び掛け (神戸新聞 / Yahoo, 5/16)
》 カリフォルニア州アラメダ郡高等裁判所の陪審団、ラウンドアップ (グリホサート) の発がん性を認める (5/13)
モンサント除草剤でがんに、加州陪審が2200億円の補償命じる (ロイター, 5/14)
除草剤でがんに メーカーに2200億円の賠償命令 米 (NHK, 5/14)
モンサントに約2200億円の賠償命令、除草剤の発がん性めぐり3度目の敗訴 米加州 (AFP 時事, 5/15)
》 北朝鮮、“北朝鮮版イスカンデル” を発射 (5/4, 5/9)。 国連安保理決議違反です。
北朝鮮:短距離弾道ミサイル「イスカンデル」を発射 (nonreal / BLOGOS, 5/9)、 再び発射された北朝鮮版「イスカンデル」とは (nonreal / BLOGOS, 5/12)
北朝鮮の新型戦術誘導兵器「イスカンデル」はミサイルか (ハンギョレ, 5/6)、 北朝鮮が亀城で発射したのも“イスカンデル”と推定 (ハンギョレ, 5/10)、 国防白書「北朝鮮版イスカンデル」短距離弾道ミサイルに分類 (ハンギョレ, 5/13)
北朝鮮がイスカンデル短距離弾道ミサイルを発射 (JSF / Yahoo, 5/5)、 北朝鮮が再びイスカンデル短距離弾道ミサイルを発射 (JSF / Yahoo, 5/10)
関連:
安倍首相、弾道ミサイル発射でも不変=前提条件なしで日朝首脳会談模索 (時事, 5/16)
》 ハチミツ「偽物」見破ります 京産大、方法を開発 (朝日, 5/16)
本物のハチミツには、ミツバチのDNAが含まれている。その量はごくわずかで検出は難しかったが、DNAを増やす手法を応用し、分析に成功した。
》 経産省製造産業局自動車課 課長補佐 (28) 麻薬特例法違反容疑で逮捕 (4/27) 覚せい剤取締法違反容疑で再逮捕 (5/15)
経産省キャリア、郵便で覚醒剤受け取った疑い 容疑否認 (朝日, 4/28)
経産省キャリア、省内で覚醒剤使用か 注射器を押収 (朝日, 5/9)
「ストレスで覚醒剤を」逮捕のキャリア、仮想通貨で決済 (朝日, 5/9)
経産省職員「職場トイレや会議室で覚醒剤」机から注射器 (朝日, 5/15)。 「職場の机から見つかった注射器は6本だった」
関連:
外務省職員を懲戒免職 覚醒剤所持したとして逮捕、起訴 (朝日, 2/22)
》 東京五輪、建設現場は「危険な状況」労組国際組織が指摘 (朝日, 5/16)
国際建設林業労働組合連盟(BWI、本部・ジュネーブ)(中略) は16年から東京大会の労働環境について調査。今年2月には、新国立競技場や選手村の建設現場で働く労働者ら約40人から聞き取りをした。報告書では、月に26日や28日働いている例がある▽つり上げた資材の下で作業をしている▽通報窓口が機能していない▽外国人技能実習生もいるにもかかわらず一部は通報受付が日本語のみ、など問題点を指摘。「頭上をコンクリートがプラプラしている状態で怖い」といった現場の声にも触れ、「労働者が極めて危機な状況に置かれている」などとして組織委や都、JSCに対し、建設現場の共同査察を提案した。
元ねたはこれみたい: BWI Report demands active trade union role in Tokyo 2020 Olympics (BWI, 5/15)、 The Dark Side of the Tokyo 2020 Summer Olympics (BWI)。シュゴー、パー。
》 サンフランシスコ市、顔認証技術の使用を禁止へ (BBC, 5/15)。「公共機関による顔認証技術の使用を禁止する条例案を可決」
》 金正恩「いずれ安倍首相と会う」発言が実現しそうにないこれだけの理由。トランプ大統領は何もしてくれない (黒井 文太郎 / Business Insider Japan, 5/16)
》 Windows 10 バージョン1903が一般向けに間もなくリリース、SAC-T廃止後の企業内展開への影響は? (山市良 / @IT, 5/16)
「Windows Server Update Services(WSUS)」を導入して、Windows 10クライアントの更新を管理している場合、SAC-Tが廃止になったからといって何一つ影響はありません。(中略) SAC-Tの廃止が影響するのは、「Windows Update for Business(WUfB)」を使用して機能更新プログラムの受信を延期していた場合に限られます。
》 情報セキュリティ安心相談窓口 Twitter運用方針 (IPA)。 「※2019年5月15日13:25 メンテナンスのため、現在サービスを一時停止しています」。なんじゃそりゃ。 結局 @IPA_anshin はどうなるのだろう。
Advisory: Security Issue with Bluetooth Low Energy (BLE) Titan Security Keys (Google, 2019.05.15)
グーグルの「Titan」セキュリティキーに脆弱性、無償交換へ--Bluetooth版で (CNET, 2019.05.16)
チャットアプリWhatsAppに電話一本でスマホを乗っ取れる脆弱性が発見される、スパイウェアがインストールされた実例も (gigazine, 2019.05.16)
WhatsAppの脆弱性CVE-2019-3568についてまとめてみた (piyolog, 2019.05.15)
Multiple Vulnerabilities in the WordPress Ultimate Member Plugin (sucuri, 2019.05.13)
無料の定番CADソフト「Jw_cad」がアップデート ~新元号“令和”や“Surface Dial”に対応 脆弱性の修正も行われているので注意 (窓の杜, 2019.05.08)
バージョン情報 (Welcome to Jww Home Page, 2019.05.06 更新)
Version 8.10 での変更点は以下のとおりです。(2019/05/06)
・インストーラーが、意図しない DLL や EXE を読み込んでしまう脆弱性に対する対策を行った。
・SXF共通ライブラリをVer.3.30にアップデートし、Ver.3.21以前のバッファ オーバーフローの脆弱性に対する対策を行った。
SXF 共通ライブラリ 3.30 の修正についてはこちら: バッファオーバーフローの脆弱性対応について (オープン CAD フォーマット評議会, 2015.05.20)
サーバーとWindowsインストーラーのセキュリティ問題を修正した「PostgreSQL 11.3」が公開 (OSDN, 2019.05.16)
PostgreSQL 11.3, 10.8, 9.6.13, 9.5.17, and 9.4.22 Released! (PostgreSQL, 2019.05.09)。4 件のセキュリティ修正。
Intel CPU に新たなサイドチャネル攻撃手法 MDS が発見されたそうで。
CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)
CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)
CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)
CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)
このうち CVE-2018-12130 は ZombieLoad として他社から発表されたものと同じだそうです。
インテルCPUに重大バグZombieLoad発見、各社がパッチを相次いでリリース (techcrunch, 2019.05.15)
脅威を完全に防止するためには、CPU のマイクロコード更新、OS の更新に加えて Hyper-Threading を無効にする必要があるそうで。
対応状況:
Side Channel Vulnerability Microarchitectural Data Sampling (Intel)
ADV190013 | マイクロアーキテクチャ データ サンプリングの脆弱性を軽減するためのマイクロソフト ガイダンス (Microsoft, 2019.05.14)。「Intel: [Intel の URL をここに挿入]」は直してほしいなあ。
Additional mitigations for speculative execution vulnerabilities in Intel CPUs (Apple)。 基本的には About the security content of macOS Mojave 10.14.5, Security Update 2019-003 High Sierra, Security Update 2019-003 Sierra (Apple, 2019.05.13)
VMSA-2019-0008 (VMware, 2019.05.14)
Intelの新たなサイドチャネル攻撃「Microarchitectural Data Sampling (MDS)」 (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091) (SIOS, 2019.05.15)。Linux 方面まとめ。
FreeBSD-SA-19:07.mds - Microarchitectural Data Sampling (MDS) (FreeBSD, 2019.05.14)
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
関連:
英国はなぜ米国の警告を無視してファーウェイの5G機器を受け入れるのか (CNET, 2019.04.27)
トランプ大統領、安全保障上の脅威と位置付ける企業の通信機器を US 企業が使用することを禁止する大統領令に署名 (2019.05.15)
Executive Order on Securing the Information and Communications Technology and Services Supply Chain (Whitehouse, 2019.05.15)
トランプ氏が大統領令に署名、安保リスクある通信機器の使用禁止 (CNN, 2019.05.16)
米大統領 リスク企業排除へ大統領令署名 ファーウェイ念頭か (NHK, 2019.05.16)
米商務省、ファーウェイを米国の輸出管理規則に基づく「エンティティーリスト」に加えると発表 (2019.05.15)
米、ファーウェイへの部品輸出規制発表 米中対立激化も (朝日, 2019.05.16)
米商務省 ファーウェイ部品販売禁止 中国へ圧力強める (NHK, 2019.05.16)
「ファーウェイの5G」という踏み絵 (アシシュ・クマール・セン / ニューズウィーク日本版, 2019.05.14)
ファーウェイ会長 「スパイ行為しない合意交わす用意ある」 警戒する英政府などに (BBC, 2019.05.15)、 ファーウェイ、各国とスパイ防止協定結ぶ用意=会長 (ロイター, 2019.05.15)
トランプ政権が対中追加関税を決めた真の理由 中国の「合意破り」にアメリカが激怒した (湯浅 卓 / 東洋経済, 2019.05.16)
ヒッキーヒッキーシェイク (ハヤカワオンライン)。6/6 発売予定。
津原泰水氏の幻冬舎から出版予定の文庫が百田尚樹氏『日本国紀』(幻冬舎)批判のせいでナシになった模様 (NAVER まとめ)。そしてハヤカワから出ることになりましたと。
》 スター級人材ばかりの組織が内輪モメで崩壊後、再「集合」できたワケ (朽木誠一郎 / withnews, 5/15)。アベンジャーズ話。 「ある意味で、スター級人材でチームを組むときの失敗から成功までを描いた教科書でもある同シリーズ」。確かになあ。
》 盲導犬普及支援オリジナルポスター 2019年【春】新作完成! (ナノ國)。『春の屋は、盲導犬とご一緒にお泊まりいただけます!』。
関連: ホテル・旅館などの宿泊施設のスタッフの皆さまへ (盲導犬ハンドブック)
》 NITECORE MT21C マルチファンクションライトを使って見た (目指せ!ライトマニア HATTAのLEDライトレビュー, 5/13)
》 医療機関におけるWindows 7から10への移行をテーマに無料セミナー、5月23日に名古屋で開催 (Internet Watch, 5/13)
》 【電子版】シンガポール、偽ニュース防止法が成立 グーグルは決定に警告 (日刊工業新聞, 5/11)
》 JALチェックイン障害の真相、端末制御システムの過負荷が引き金に (日経 xTECH, 5/9)
》 「冤罪File」2019年夏号 5/29発売です! (「冤罪File」編集局公式ブログ, 5/14)
》 Fxmsp の件、3社はトレンドマイクロ、シマンテック、マカフィーと判明
Fxmsp の件: ウイルス対策企業が3社まとめてハッキングされ30TBのデータが流出、ハッカーは30万ドルで買い手を募集中 (gigazine, 5/10)
Fxmsp Chat Logs Reveal the Hacked Antivirus Vendors, AVs Respond (bleeping computer, 5/13)
大手ウイルス対策ベンダ3社への不正アクセスについてまとめてみた (piyolog, 5/14)
出ました。Flash Player, IE / Edge, Windows, Office, Team Foundation Server, Visual Studio, Azure DevOps Server, SQL Server, .NET Framework, .NET Core, ASP.NET Core, ChakraCore, Online Services, Azure, NuGet, Skype for Android 。
修正された中で、CVE-2019-0708 というのが超ヤバいのだそうで。
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708) (MSRC Team, 2019.05.14)
CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability (Microsoft, 2019.05.14)。Windows 7 / Server 2008 / Server 2008 R2 が通常の更新プログラムの提供対象。
CVE-2019-0708 のお客様にガイダンス |リモート デスクトップ サービス リモート コード実行の脆弱性: 2019 5 月 14日 (Microsoft)。サポートが終了した Windows XP / Server 2003 用の修正プログラムが特別に公開されている。
これらの更新プログラムは、Microsoft Update カタログのみを使用できます。これらのオペレーティング システムのいずれかの操作を実行しているお客様をダウンロードして更新プログラムをできるだけ早くインストールすることをお勧めします。
Windows Update では提供されないようなので注意。 上記リンクからダウンロードして適用されたい。
Windows Vista にも影響するはずだが、Vista 用の更新プログラムは提供されないようだ。
Windows XPにも異例のパッチ提供 ~リモートデスクトップサービスにコード実行の脆弱性 「WannaCry」再来の悪夢を防止するためにも速やかな対策を (窓の杜, 2019.05.15)
Windows リモートデスクトップサービスの脆弱性 CVE-2019-0708についてまとめてみた (piyolog, 2019.05.15)
関連:
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2019 年 5 月 (シマンテック, 2019.05.16)
About the security content of iOS 12.3 (Apple, 2019.05.13)
About the security content of tvOS 12.3 (Apple, 2019.05.13)
About the security content of Apple TV Software 7.3 (Apple, 2019.05.13)
About the security content of watchOS 5.2.1 (Apple, 2019.05.13)
About the security content of macOS Mojave 10.14.5, Security Update 2019-003 High Sierra, Security Update 2019-003 Sierra (Apple, 2019.05.13)
About the security content of Safari 12.1.1 (Apple, 2019.05.13)
Security bulletin for Adobe Acrobat and Reader | APSB19-18 (Adobe, 2019.05.14)。84 件のセキュリティ欠陥を修正。Priority Rating: 2
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.012.20034 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30142 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30497 |
Security Bulletin for Adobe Flash Player | APSB19-26 (Adobe, 2019.05.14)。Flash Player 32.0.0.192 公開。1 件のセキュリティ欠陥を修正。Priority Rating: 2 (Linux 版のみ 3)
Security Updates Available for Adobe Media Encoder | APSB19-29 (Adobe, 2019.05.14)。Windows / macOS 版 Adobe Media Encoder 13.0.2 に 2 件のセキュリティ欠陥。13.1 で修正。Priority Rating: 3
APSB19-27, -28 はまだ公開されていない模様。
Chrome 74.0.3729.157 公開。1 件のセキュリティ修正を含む。
》 ZOZO、アルバイト大量採用へ 時給は最大1300円に引き上げ (ITmedia, 5/13)
関連:
ツイート:
全国の経営者のみなさ〜ん!人手不足解消の特効薬が発明されて、なんと一日で2000人以上の応募があったそうですよ!
— AEQUITAS /エキタス (@aequitas1500) May 14, 2019
その特効薬とは、ずばり「給料をあげる」こと💊
これでみなさんの悩みも即解決です。よかったですね!#金を払え #ZOZOTOWN https://t.co/2DPZkfmZqo
》 炎上した『ビッグコミック』の佐藤浩市『空母いぶき』インタビュー原文を読んだら、完全に原文と文脈を違えて引用した産経記者のやらかしであった (CDBのまんがdeシネマ日記, 5/14)
リテラの記事によれば、発端は産経新聞・阿比留瑠比記者のフェイスブック投稿が発端とのことである。
ただしソースは阿比留瑠比、の時点でマユツバ案件じゃん……。
》 レオパレス施工不良、見えぬ収束 深山社長辞任、後任に宮尾氏 財務悪化に懸念 (日経, 5/11)。「3月末時点で調査が済んだ約2万棟のうち7割超の物件で不備が見つかった。調査は全物件の半数ほどしか済んでおらず、不備のある物件がさらに拡大する可能性がある」。すさまじい。
》 #この髪どうしてダメですか? 地毛の黒染め指導はやめてください (Change.org)。賛同した。まだこんなことやってるんですね。
》 北方領土「戦争しないと…」維新・丸山議員 国後元島民へ発言 (毎日, 5/13)、維新・丸山氏、国後島で「戦争しないと」 その後に撤回 (朝日, 5/14)。丸山穂高議員 (大阪19区)、よっぱらった挙句に戦争を仕向ける。 朝日記事に音声データあり。
つづき:
維新・丸山議員が離党届 「一線越えた」松井氏辞職促す (朝日, 5/14)。議員辞職はまだ。
【速報】「戦争しないと北方領土取り戻せない」発言の丸山穂高議員、維新の会を除名されるも議員続投を明言 (Buzzap!, 5/14)
》 自民党サイバーセキュリティ対策本部、ポリスウェア導入などを提言へ
自民、サイバー捜査の強化提言へ (共同 / ロイター, 5/13)
【余計なもの】スマホやパソコンにウイルスを仕込む捜査方法を自民党が政府に提言へ (Buzzap!, 5/14)
サイバー対策へ新庁を 自民提言、25年創設めざす (日経, 5/14)
関連:
ポリスウェア:善か悪か (エフセキュアブログ, 2014.01.22)
ポリスウェアにはどのように対応すべきだろうか?この種のマルウェアは検知すべきか否か?エフセキュアの立場は明確だ。イエス。当社はどんな種類のマルウェアでも検知する。そしてノー。当局のポリスウェアのためにホワイトリストを持つことはしない。ポリスウェアをホワイトリストに登録する要求を受け取ったことはないし、もし要求されても拒否する。
Policy on detecting spying programs developed by various governments (F-Secure)
》 ユニクロ・GU公式サイトで不正ログイン、身体サイズや氏名・住所など含む46万件の個人情報が閲覧された可能性 (Internet Watch, 5/14)、 「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて (ファーストリテイリング, 5/13)。461,091件って、全体の何%なんだろう。
個人情報が閲覧された可能性のある461,091件のユーザIDについては、同年5月13日にパスワードを無効化し、パスワードの再設定のお願いをメールで個別にご連絡しております。
メールが来てない、ふつうにログインできる場合はヤラれていないと考えてよさそうだ。
》 OSSセキュリティ技術の会 第五回勉強会 KeycloakとWebAuthnのツインシュートの巻 (connpass)。2019.06.07、東京都中央区、無料。面さん情報ありがとうございます。
》 WordPress 5.2 “ジャコ” (WordPress, 5/8)。PHP 5.6.20 以降が必要。
》 賛否両論のDNSフィルタリングは是か非か? - 「IIJmio meeting #23」が開催 (マイナビニュース, 5/10)。関連:
「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第一次とりまとめ」及び意見募集の結果の公表 (総務省, 2014.04.04)
「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」及び意見募集の結果の公表 (総務省, 2015.09.09)。 「第1節 C&C サーバ等との通信の遮断における有効な同意について」
電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について (日本インターネットプロバイダー協会, 2015.11.30)。第4版。
5. C&C サーバ等との通信の遮断における有効な同意として、個別の同意を取得していない場合であっても、契約約款等に基づく事前の包括同意として、マルウェア感染端末とC&Cサーバ等との通信をレピュテーションDBに基づいて遮断することについて追加しました。(同 (2) レピュテーションDBの活用 (フ))
国内ISPとして初めて、 マルウェアによる情報漏洩から利用者を守る 「マルウェア不正通信ブロックサービス」の無料提供を開始 ~お客さまによるお申し込みも設定も不要、不正通信を判別して自動ブロック~ (NTT Communications, 2016.02.01)
マルウェアに対する被害未然防止の実施 (総務省, 2016.02.26)、 マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰 (Internet Watch, 2016.02.26)
本取組は、同推進会議から国内のインターネット・サービス・プロバイダ(ISP)事業者へ「ACTIVE」において得られたC&Cサーバに関する情報提供を行い、各ISP事業者において、当該情報に基づき、マルウェアとC&Cサーバ間の通信を抑止するとともに、マルウェアに感染した端末の利用者への注意喚起を行うことで被害を軽減するものです。
2017 年から実施した会社が多いのかな
マルウェアブロッキング (ソフトバンク)。「2017年1月16日より」
標的型攻撃を検知・遮断する「マルウェアブロッキング 」の無料提供を開始 (ドリームニュース / OSDN, 2017.02.27)。アルテリア・ネットワークス。
「マルウェアブロッキング」の自動適用開始について (楽天コミュニケーションズ, 2017.09.14)
マルウェア不正通信ブロックサービス自動適用開始について (松本インターネットサービス, 2017.09.26)
「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次とりまとめ」及び意見募集結果の公表 (総務省, 2018.09.26)。 「第4節 有効な同意に基づく通信遮断を目的とする、C&Cサーバである可能性が高い機器の検知について」
電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について (日本インターネットプロバイダー協会, 2018.11.30)。第5版。
追加された項目
(中略)
3. 有効な同意に基づく通信遮断を目的とする、C&C サーバである可能性が高い機器の検知(同(3)(ミ))
IIJのセキュリティに関する取り組み DNSフィルタリングによるマルウェア対策について (IIJ, 4/5)
》 当社番組についてのおわび (讀賣テレビ, 5/13) (魚拓)。「迷ってナンボ!」人権無視放送の件。
人権に関して強く意識すべき放送局である当社がこのような事態を招いたことについて、当社としては、重く受け止めています。当該放送に至った経緯を詳細かつ徹底的に検証するとともに、今後はこのようなことが無いように再発防止に向けた具体的な対策に早急に取り組み、視聴者の皆様からの信頼回復に向けて努めてまいります。
なぜこんな企画が通ってしまったのか。検証結果を公開してほしいなあ。
関連:
かんさい情報ネットten. 藤崎マーケット性別調査ロケがひどすぎて若一光司さん激怒 #ten (NAVER まとめ, 5/11)
ニュース番組で「性別突き止める」企画 批判殺到、コメンテーターも激怒 (毎日, 5/12)
出演者が苦言「よう平気で放送できるね」 TV企画物議 (朝日, 5/12)、 性別確認の番組に疑問の声 「不愉快」「なぜ許された」 (朝日, 5/13)
読売テレビ「迷ってナンボ!」休止「不適切な取材」 (日刊スポーツ, 5/13)
》 [書評]噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか? (徳丸浩の日記, 5/7)。 KADOKAWA の書籍説明からは想像がつかないが、サイバーでセキュリティなラノベである模様。
この本、何と略すのが正しいのだろう。
》 ボルトが足りない 建設遅れ続発、五輪需要が影 (日経, 5/12)。高力ボルトの件。
昨年に日本政府の認定を受けた韓国製ボルトで、不足を補う動きが一部で出ている。ただ輸入品になじみがない建設会社も多く「想定より広がっていない」(商社)。
あらあら。
》 ウイルス対策企業が3社まとめてハッキングされ30TBのデータが流出、ハッカーは30万ドルで買い手を募集中 (gigazine, 5/10)。ロシアのハッカー集団 Fxmsp だそうです。
関連: ロシアハッカーグループ Fxmspが 情報を盗み出した、セキュリティソフト企業がほぼ確定? (黒翼猫のコンピュータ日記 2nd Edition, 4/22)。内 1 社はトレンドマイクロだという分析。
》 海の向こうの“セキュリティ” リモートワークのセキュリティ改善に向けた3つのステップとは? (Internet Watch, 5/9)
Androidの2019年5月パッチが公開 ~最高深刻度は“Critical” (窓の杜, 2019.05.09)
「LibreOffice」に1件の脆弱性 ~v6.1.6/v6.2.3ですでに修正済み (窓の杜, 2019.05.09)
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007 (Drupal, 2019.05.08)。Drupal 8.7.1 / 8.6.16 / 7.67 で修正。
》 オンラインなのに……東京五輪チケット抽選“長蛇の列”、「73万人待ち」「1時間以上待ち」 (ITmedia, 5/9)。なんじゃそりゃ……。
》 横断歩道部分から突っ込み被害拡大か 大津園児死傷 (毎日, 5/9)
縁石のない横断歩道部分から突っ込んだために被害が拡大した可能性がある。
一般的な車止め (ポラード) って、今回のような事例が発生したときに、実際に車を止められるものなのだろうか。止められるのなら、一定の幅以上の横断歩道の出入口には設置してほしいのだけど。
関連:
道路用ボラード(杭)の種類と車両激突対応型ボラードの性能評価 (安藤和彦 / 土木技術資料 58-4(2016), 2016.04)
ASTM F2656 / F2656M - 18a: Standard Test Method for Crash Testing of Vehicle Security Barriers (ASTM)
》 #保育士さんありがとう 大津の事故を受け、ネットで励ましの声 「本当に慰められる思い」と保育現場の声 (ハフポスト, 5/9)
》 ランサムウェア「RobbinHood」により市役所のサーバーの大部分がダウン (gigazine, 5/9)。ボルチモア。
》 災害時のフェイクニュースで無期懲役も 台湾で法律改正案可決 (NHK, 5/8)
》 広告掲載基準「広告の有用性について」判断基準変更のお知らせ (Yahoo! JAPAN プロモーション広告, 5/8)。アフィリエイトサイトさようなら、だそうです。以下「広告掲載基準 判断基準変更解説資料」p.4 より引用:
| No | 質問 | 回答 |
|---|---|---|
| 1 | 今後アフィリエイトサイトは掲載できなくなるのですか? | はい、掲載できなくなります。 |
| 2 | コンテンツを修正するなど、広告を掲載する方法はありますか? | ありません。 成果報酬型サイト(アフィリエイトサイトを含む)およびそれと同等と判断したサイトについては、サイトの内容に関係なく掲載できません。 |
| 3 | 掲載可能な一部サイトとはどのようなサイトですか? | 弊社が適切であると判断したサイトです。 |
| 4 | これまで掲載されていたサイトは、6月3日に掲載が停止されますか? | 6月3日より順次掲載を停止してまいります。 |
》 「女が完全にとち狂って本能に支配され切って完全にクルクルパーにならないと子供産もうなんて思わない」維新の長谷川豊参院選候補の発言が話題に (Buzzap!, 5/8)
》 女性だとAEDが使われない? 救命処置の男女差 (NHK, 5/8)
「服をすべて脱がす必要はないんです。AEDは電源を入れて2枚のパッドを素肌に貼りますが下着をずらして、貼ることで対応できます。またパッドを貼った後、その上から服などをかけて肌を隠すようにしてもAEDの機能に影響はないんです」
貼る部分が素肌なら ok、ブラを取る必要なし。
Firefox 66.0 / ESR 60.6.0 公開 (2019.03.20)
Firefox 66.0.5、Android 版 Firefox 66.0.5、Firefox ESR 60.6.3 が公開されました。拡張機能の不具合の件が修正されています。 あまのみしおさん情報ありがとうございます。
Firefox ESR 60.6.3 がリリースされた (mozillaZine, 2019.05.09)
Firefox 66.0.5、Firefox for Android 66.0.5 がリリースされた (mozillaZine, 2019.05.08)
Firefox 66.0.4、Firefox for Android 66.0.4 がリリースされた (mozillaZine, 2019.05.06)
Firefox 66.0.4 リリース、拡張機能全滅問題を修正 (スラド, 2019.05.06)
MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生 (スラド, 2019.05.04)
》 杉並区議・佐々木千夏氏と日本平和神軍の関係、電話取材音声を公開 (やや日刊カルト新聞, 5/8)、 佐々木千夏・杉並区議が「日本平和神軍」って本当? 電話で直接尋ねたら…… (ハーバー・ビジネス・オンライン, 5/8)。 佐々木千夏区議 = 日本平和神軍 野中広子中佐と判明。グロービート・ジャパン、 らあめん花月、日本平和神軍。
》 「2019年はPC用HDDの販売数が半減する」とHDD部品で世界シェア1位の日本電産が予測 (gigazine, 5/8)
》 諜報機関のハッキングツールが敵のハッカーに分析され「再利用」されていたと判明 (gigazine, 5/7)、Buckeye: Shadow Brokers による漏えいより以前から Equation グループのツールを使っていたサイバースパイ集団 (シマンテック, 5/8)。中国のハッカー組織 Buckeye、Shadow Brokers によるリークよりも前に NSA ツールを利用。
》 若いネットユーザーは中年より「フィッシング詐欺に弱い」ことが判明、パスワードの管理もお粗末 (gigazine, 5/8)
》 ひそかに行われた「IE6暗殺計画」が成功したわけを当時の開発者が語る (gigazine, 5/8)
》 「EternalBlue」を含む複数の手法で拡散する仮想通貨発掘マルウェアを日本でも確認 (トレンドマイクロ セキュリティ blog, 5/7)
》 Vulnerable Apache Jenkins exploited in the wild (SANS ISC, 5/7)。 Jenkins Security Advisory 2018-12-05 で修正された欠陥 CVE-2018-1000861 を狙う攻撃が行なわれているそうです。
》 Carbanakのソースコードが流出:次に来るものは (Kaspersky, 5/8)
CARBANAK Week Part One: A Rare Occurrence (FireEye, 4/22)
CARBANAK Week Part Two: Continuing the CARBANAK Source Code Analysis (FireEye, 4/23)
Source Code for Carbanak Backdoor Shared with Larger Infosec Community (bleeping computer, 4/23)
》 Drupal 7 and 8 release on May 8th, 2019 - PSA-2019-05-07 (Drupal, 5/7)。critical なセキュリティ修正を含む更新が明日出るそうです。
》 IIJ、「DNS over TLS」、「DNS over HTTPS」を利用したDNSの試験サービス「IIJ Public DNSサービス(ベータ版)」を提供開始 (IIJ, 5/8)
関連:
DNS over TLS/HTTPSについて考える (IIJ Engineers Blog, 5/8)
Tutorial to setup your own DNS-over-HTTPS (DoH) server (Antoine Aflalo, 2018.10.02)
》 フランケンシュタインの誘惑E+ #6「地獄の炎 ナパーム」 (NHK, 5/9 放送予定)。「朝のナパームの匂いは格別だ」の、あのナパームです。
》 不正指令電磁的記録罪の傾向と対策 (日本ハッカー協会 4/26)
コインハイブ事件、無罪判決に残された課題 「不正指令の基準を明確にして」専門家の声 (弁護士ドットコム, 5/6)
日本ハッカー協会セミナー「不正指令電磁的記録罪の傾向と対策」 (日本ハッカー協会 / YouTube, 5/4)
》 映画『主戦場』は日本の「慰安婦タブー」に新しい風穴を開けるかもしれない (篠田博之 / Yahoo, 5/4)
》 地震・台風・火事… 楽しく防災知識学べる施設10選 (日経, 5/5)
》 737MAX型機のシステム欠陥、2017年に判明 経営陣に伝わらず (AFPBB, 5/6)。Boeing が声明を発表。
ボーイングによると、737MAX型機には翼と対向する空気の流れの角度「迎角(AOA)」を検出するセンサー2つの情報が一致しなかった場合、操縦士にAOAの不一致を知らせる警告装置が標準搭載されているはずだった。しかし、この装置はオプションの計器を追加購入しないと作動しない仕組みになっていたという。
ライオン航空とエチオピア航空はいずれも計器の追加購入をしておらず、安全装置が機能しない状態だった。
欠陥のあるAOAセンサーから送られた情報によって失速防止システム「MCAS」が不必要に作動したため、操縦士が高度を保とうとしても機首が下がり続け、墜落事故を引き起こした可能性がある。
オリジナル: Boeing Statement on AOA Disagree Alert (Boeing, 5/5)
》 今朝7時台のNHKニュースおはよう日本、AEDの使用を高校生女子に対して周囲がためらって使われにくい旨の調査データを報じつつ、「服を全部脱がさなくてもよい」「パッドは服やブラジャーを避けて貼れば問題ない」「貼ったあとは服をかぶせてよい」と具体的な配慮ポイント上げていて参考になったメモ。 (ついっぷる, 5/6)
》 池袋暴走「息子は安倍首相の秘書」は誤情報 国会議員もブログを拡散、謝罪 (BuzzFeed, 5/3)。池袋プリウス暴走事故の件。
》 戦後70年以上PTSDで入院してきた日本兵たちを知っていますか 彼らが見た悲惨な戦場 (BuzzFeed, 2016.12.08)
》 「天皇陛下に「お疲れ様」を使って炎上した山田優」に対して杉村喜光さんや飯間浩明さんが「誤用ではない」と解説 (togetter, 5/6)。日本語のプロが、山田優さんは間違ってないと太鼓判。
》 海賊版サイト対策 法整備なぜ紛糾?(識者に聞く) (日経, 5/5)。なぜ紛糾したのか理解していない方がいらっしゃる。
》 New Release: Tor Browser 8.0.9 (Tor Blog, 5/6)。iida さん情報ありがとうございます。
》 プライバシーは市民的自由であり、公民権でもある (P2P とかその辺のお話 R, 4/26)
》 米国、スペシャル301条レポートの『海賊版ウォッチリスト』に36ヵ国を掲載 (P2P とかその辺のお話 R, 4/30)、 米政府、「悪名高き市場」リストで海賊版/ストリームリップ/チートサイト、防弾ホストに圧力 (P2P とかその辺のお話 R, 4/27)
》 悠仁さま中学校侵入 防犯カメラのリレー捜査で容疑者浮上 映像解析の専門チームが活躍 (毎日, 4/30)。捜査支援分析センター (SSBC)。
今日の「伊集院光とらじおと」のリスナー投稿で紹介されてたけど、ケーサツが一般住宅に監視カメラの設置を要請することもあるようですね。そりゃそうか。
》 中国のとあるスマートシティ監視システムのデータが公開状態になっていた (techcrunch, 5/6)
》 アップルはプライバシーを重視しているが、iPhoneはそうでもない事実 (techcrunch, 5/3)
》 ユーロポール、ダークウェブ Wall Street Market と Silkkitie (別名 Valhalla Marketplace) をテイクダウン (5/3)
Double blow to dark web marketplaces (Europol, 5/3)
麻薬や流出データを売る世界最大級“闇サイト”摘発 ダークウェブ上の利用者は115万人超 (ねとらぼ, 5/4)
ドイツ警察とユーロポール、ダークウェブから”6桁”の仮想通貨を押収 (CoinTelegraph, 5/4)
》 グアム移転24年10月開始か 在沖縄米海兵隊、1年半で (共同 / Yahoo, 5/3)。 辺野古新基地とは無関係に移転開始の模様。
》 Facebookが新たに極右人物の利用を禁止 (techcrunch, 5/3)
》 AIの先祖である「書類選考用アルゴリズム」もまた人種・女性差別的だったという事実 (gigazine, 5/3)。セントジョージ医科大学 (UK)。
アルゴリズムによる書類選考が実施されてから数年後、何人かの職人が「合格者の人種が偏っている」ことを発見します。報告を受けた英国人種平等委員会(CRE)がアルゴリズムのプログラムを見直した結果、「氏名や出生地によって『白人』か『非白人』によって分類され、非白人は減点される」ということが判明しました。白人以外の氏名を持った受験者はそれだけで自動的に15点減点され、同様に女性の受験者も3点減点されていたようです。このような「バイアス」の結果、1年間あたり60人が書類選考に合格できなかった可能性があるとのこと。
》 英裁判所がウィキリークス創設者に50週の禁固刑 (techcrunch, 5/2)。ジュリアン・アサンジ氏。
》 テスラ死亡事故の原因はオートパイロットとする訴訟を起こされる (techcrunch, 5/3)。「訴訟名はSz Hua Huang et al v. Tesla Inc., The State of California、訴訟番号 19CV346663」
》 OceanLotusが使う検出回避テクニック (マクニカネットワークス セキュリティ研究センターブログ, 4/16)
》 Linux上で動作するAntiVirusに関して(II) : 日経Linux掲載記事のデータの補足 (SIOS, 5/4)
》 The Best Password Managers for 2019 (PC Magazine, 5/1)。Editors' Choice は Keeper Password Manager & Digital Vault ($25.49) と Dashlane ($59.99)。 フリーな製品についてはこちら: The Best Free Password Managers for 2019 (PC Magazine, 2/15)
》 アエロフロート・ロシア航空 SU1492 便炎上事故 (5/5)
アエロフロート機、モスクワの空港で炎上 41人死亡、スーパージェット100 (AviationWire, 5/6)
事故機はスホーイ・スーパージェット100-95B(SSJ100、登録記号RA-89098)で、乗客73人と乗員5人の計78人が乗っていた。
Playback of flight SU1492 / AFL1492 (flightradar24.com)
アエロフロートのSSJ-100、ハードランディングで炎上 死者も発生 (FlyTeam, 5/6)
CNNでは、着陸時にハードランディングとなり、主脚が滑走路に着地後の時点では出火しておらず、浮き上がって接地後の2度目の地上への着地時に出火した角度の映像を紹介しています。これにより、搭乗者の41名が死亡、37人は生存が確認されています。
この映像かな: Forty-one people killed in Russian passenger plane fire (CNN, 5/5)。すごくバウンドしてる。 「緊急着陸に失敗、炎上」と言った方がいい事案なのかも。
ロシアの旅客機炎上、41人死亡 緊急着陸直後 (BBC, 5/6)
新元号「令和」への対応まとめ (2019.04.01)
10 連休最終日? 龍大は今日も授業実施日です。
改元関連の不具合やシステム障害についてまとめてみた (piyolog, 2019.05.05)
あと、Windows 方面で画面が崩れるという話があるようです。 MS UI Gothic、MS Pゴシックで問題が起こるようです。
KB4496878適用後、Excelシートのレイアウトが崩れる (マイクロソフト コミュニティ, 2019.05.02)
【警鐘】[改元][Windows][.NET] 「令和」対応パッチで画面が横に伸びる、文字が見切れる ― Windows Update 手動更新はちょっと待った方がいい (quiita, 2019.05.06)
AutoScaleMode が Font の場合、開発デザイン時のフォントサイズ(AutoScaleDimensions)と実行時のフォントサイズ(CurrentAutoScaleDimensions)の差異(AutoScaleFactor)を吸収すべく 自動スケーリング されますが、このフォントサイズの測定結果が今回のパッチ適用前後で変わってしまったようです。
令和対応のWindows Updateは適用しないでください (KancolleSniffer / OSDN, 2019.05.04)
MS UI Gothicに㍻と同様な令和の合字を入れるときにミスがあったらしく、横幅が以前より広くなっています。
KancolleSnifferはMS UI Gothicを使っていて、フォントに合わせてレイアウトが変わるため横幅が広くなってしまいます。
BGM: 「愛をとりもどせ!!」
CVE-2019-11683: "GRO packet of death" issue in the Linux kernel (oss-sec ML, 2019.05.02)
udp_gro_receive_segment in net/ipv4/udp_offload.c in the Linux kernel 5.x before 5.0.13 allows remote attackers to cause a denial of service (slab-out-of-bounds memory corruption) or possibly have unspecified other impact via UDP packets with a 0 payload, because of mishandling of padded packets, aka the "GRO packet of death" issue.
Linux 5.0.13 ChangeLog (kernel.org)
phpBB 3.2.6 Release - Please Update (phpBB, 2019.04.29)
Previous versions of phpBB allowed users to run searches that might result in long execution times and load on larger boards when using the fulltext native search engine. To combat this, we have now introduced further restrictions on search queries. We’d like to thank Snover for his report and responsible disclosure. The issue has been assigned CVE-2019-9826.
Firefox 66.0.4 公開。「Firefox」でインストール済みアドオンが利用不能になる問題が発生中 (窓の杜, 2019.05.04) を修正。
》 改元特番でNHKだけが伝えた”不都合な真実” (水島宏明 / Yahoo, 5/1)。象徴天皇制は、このままでは自然消滅する可能性が高いと。
関連:
天皇陛下に「親しみ」82% 女性継承賛成79%、共同通信 (共同 / Yahoo, 5/2)
ツイート:
職場のヨーロッパ人に「日本のエンペラーが200年ぶりに退位するんだって?教皇みたいだなハハハ」と巧いこと言われたあと、「で、王位継承者がいなくなったら日本も共和制に移行すんの?」と真顔で聞かれて感心した。日本人からは出てきにくい発想だ。「欧州にもたくさん前例あるし」。確かになあ。
— 瀬川深 Segawa Shin (@segawashin) May 2, 2019
(天声人語)ぼくの好きな先生 (朝日, 5/2)
当時、東京都立日野高校で清志郎さんの担任だったのは、美術教師の小林晴雄さん。「何年か好きなことをやらせてみましょう」。息子の将来を案じる母をそう説得した。清志郎さんの代表曲の一つ「ぼくの好きな先生」のモデルになった人だ
忌野清志郎が高校生の頃、大学進学はせずギターのプロになると言い出した事に困惑した母親が新聞に悩み相談を投稿していた (togetter, 2018.02.26)。当該記事あり。
》 「スリランカ 大規模テロの背景と課題」(時論公論) (NHK 解説委員室, 4/24)
》 規則(EU) 2018/1241による改正後のEuropol規則(EU) 2016/7940の参考訳をWeb公開 (サイバー法ブログ, 4/29)
》 EUの巨大バイオメトリクスデータベース構築法案が議会を通過 (ZDNet, 4/24)
》 正規ソフト「AutoHotkey」を悪用した攻撃を確認 (トレンドマイクロ セキュリティ blog, 4/4)
》 暗号化型ランサムウェア「LockerGoga」について解説 (トレンドマイクロ セキュリティ blog, 4/8)。Norsk Hydro の件。
》 TVerの改ざんについてまとめてみた (piyolog, 4/30)
》 「ac.jp」ドメインの審査不備問題についてまとめてみた (piyolog, 5/1)。yamanashi-med.ac.jp の件。
》 APT:Gaza CybergangとSneakyPastes作戦 (Kaspersky, 4/23)
》 Facebookのプライバシー問題、カナダが提訴、アイルランドとニューヨークが調査開始 (ITmedia, 4/27)。それぞれ個別の件。
》 NHKスペシャル「平成史(8)情報革命」への反応(Winnyパート) (togetter, 4/29)、 NHKスペシャル 平成史スクープドキュメント第8回「情報革命 ふたりの軌跡~インターネットは何を変えたか~」 (壇弁護士の事務室, 4/24)
》 Googleの親会社Alphabet、EU制裁金で29%減益 広告売り上げは鈍化 (ITmedia, 4/30)
》 日本ハッカー協会セミナー「不正指令電磁的記録罪の傾向と対策」 (togetter, 4/30)
》 Mozillaが「インターネットの健全性」を評価した年次報告書を公開 (OSDN, 4/26)、 The Internet Health Report 2019 (Mozilla)
》 インドネシア訪問記 ~Everybody Can Hack & Id-SIRTII/CC~ (JPCERT/CC, 4/17)
》 兵器化されたUSBデバイスによる攻撃 (Kaspersky, 5/1)
USB侵入ツールは、第3世代でまったく新しいレベルに突入しました。その1つ「WHID Injector」は、簡単に言うとWi-Fiに接続できるRubber Duckyです。Wi-Fi機能を持っていますから、すべきことを最初に全部プログラミングする必要はありません。また、遠隔操作できるので、より柔軟性があるだけでなく、別のOSでも動作します。このほか、Raspberry Piをベースにした「P4wnP1」は、Bash Bunnyに似ていますが、無線接続などの追加機能を持っています。
WHID InjectorもBash Bunnyも、キーボードやマウスに仕込めるほど小型です。
関連:
新元号「令和」への対応まとめ (2019.04.01)
令和 2 日目。龍大は昨日も今日も授業実施日です。
Microsoft、新元号“令和”対応パッチを「Windows 10 バージョン 1809」にも提供 (窓の杜, 2019.05.02)。 お急ぎでない方は、5 月の月例アップデート (2019.05.15) まで待った方がよさげ。
いろいろ (2019.03.26) ASUS Live Update Utility
関連:
ShadowHammer:新たな情報 (Kaspersky, 2019.04.25)
この件を調査していく中で、当社のエキスパートは、同様のアルゴリズムを使用する別の検体を発見しました。ASUSの事例と同様、これら検体はデジタル署名された以下アジア企業のバイナリを使用していました。
- Electronics Extreme – ゾンビサバイバルゲーム『Infestation: Survivor Stories』の制作会社
- Innovative Extremist – WebおよびITインフラサービスのプロバイダー。同社のサービスはゲーム開発にも使用されている
- Zepetto – ビデオゲーム『Point Blank』の開発元企業
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Default SSH Key Vulnerability (Cisco, 2019.05.01)
A vulnerability in the SSH key management for the Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode Switch Software could allow an unauthenticated, remote attacker to connect to the affected system with the privileges of the root user. (中略) This vulnerability is only exploitable over IPv6; IPv4 is not vulnerable.
Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software VPN SAML Authentication Bypass Vulnerability (Cisco, 2019.05.01)。unauthenticated, remote attacker が VPN セッションを張れちゃう。
Cisco Security Advisories and Alerts (Cisco)。他にもいろいろ出てる。
Multiple vulnerabilities in Dovecot 2.3 (oss-sec ML, 2019.04.30)。patch が添付されている。
Chrome 74.0.3729.131 公開。2 件のセキュリティ欠陥を修正。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)