![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Oct 17 18:29:13 2018
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 警視庁「缶詰はコンクリートこすりつければ簡単に開く」 災害時に覚えておきたい知識がまた1つ (ねとらぼ, 10/17)
関連: 緊急時にこれは使える……! 缶詰めをスプーン1本で開ける方法 (ねとらぼ, 2016.11.13)
》 抗インフルエンザ薬ゾフルーザ、迅速に症状緩和 第II相・第III相試験の結果 (日経メディカル, 10/16)。バロキサビル マルボキシル、選択的キャップ依存性エンドヌクレアーゼ阻害薬。
》 国内初のタミフル後発薬投入も「積極的に販売しない」理由とは? 沢井製薬・沢井光郎社長インタビュー (ニュースイッチ, 7/26)。 オセルタミビルカプセル75mg「サワイ」 (医薬品医療機器総合機構) という、タミフルのジェネリック品ができたのですね。
》 厚労省 抗インフルエンザ薬タミフルの10代への投与認める 他の薬剤でも異常行動注意を (ミクス online, 8/22)。タミフルだけ特別アレというエビデンスは得られなかった。結局、抗インフルエンザ薬全般に注意が必要と。タミフルでなければ ok ok ではないと。
薬事・食品衛生審議会 (医薬品等安全対策部会安全対策調査会) (厚生労働省)。平成30年度第1回、平成30年度第4回を参照。
インフルエンザ治療薬、異常行動に十分注意した処方を!タミフルは未成年者に解禁―厚労省 (メディ・ウォッチ, 8/22)
佐古みゆきの「添付文書改訂ウオッチ」 2018年8月3日~8月23日 タミフル10代使用制限解除、抗インフル薬統一 (日経メディカル, 8/29)
Facebook、最大5000万人分のアクセストークン流出。予防措置で9000万人を強制ログアウト (2018.10.01)
An Update on the Security Issue (Facebook, 2018.10.12)。
欠陥が存在したのは 2017.07〜2018.09
攻撃者の活動を 2018.09.14 に検知。2018.09.25 に攻撃であると断定し、欠陥を発見。続く 2 日で欠陥の修正と攻撃の遮断、アクセストークンのリセットを実施。
攻撃者は、あらかじめ支配下に置いた複数のアカウントを元に、その友人、またその友人へと自動化された攻撃を実施してアクセストークンを取得。合計 40 万アカウントに達した。この 40 万アカウントについては、自動攻撃の過程でアカウントの Facebook プロフィールを参照されている。That includes posts on their timelines, their lists of friends, Groups they are members of, and the names of recent Messenger conversations だそうで。
攻撃者は、上記の 40 万アカウントを元に、3000 万アカウントのアクセストークンを取得。 このうち 1500 万については、名前と連絡先詳細 (phone number, email, or both, depending on what people had on their profiles) を取られた。 1400 万については、名前と連絡先詳細に加えてプロフィールの詳細情報も (username, gender, locale/language, relationship status, religion, hometown, self-reported current city, birthdate, device types used to access Facebook, education, work, the last 10 places they checked into or were tagged in, website, people or Pages they follow, and the 15 most recent searches)。 残り 100 万については、他には何も取られてない (アクセストークンだけ)。
Oracle 四半期定例 patch 出ました。Java SE は 8u191/8u192 と 11.0.1 LTS になってます。ダウンロード (Oracle)。Oracle Java SE サポート・ロードマップ (Oracle)
》 「”派遣切り”再びのおそれ」をNHKが報道した背景 (水島宏明 / Yahoo, 10/15)
「派遣切り」の問題に直面しそうな人たちの中には、以下の人たちも大勢含まれているのだ。
テレビ局などで働く契約社員のディレクター、AD、カメラマン、レポーターらだ
NHKに比べても「派遣」のテレビマンが多い民放のニュースではこの問題をほとんど扱っていないのがとても気になってしまう。
》 立ち会った通訳から発覚…警察官2人が取り調べの際ウソの捜査書類作成し書類送検 愛知 (東海テレビ / Yahoo, 10/12)
》 ロシア外務省、日本を過激批判「健忘症に陥る傾向ある」 (朝日, 10/13)。本当なんだから仕方ない。
》 「北方領土周辺でミサイル射撃訓練」 政府がロシア側に抗議 (NHK, 10/15)。支配体制を順調に強化するロシア。
》 朝鮮半島問題、5カ国協議の必要性で一致=ロシア (ロイター, 10/10)。6か国目 (日本) は不要と。デスヨネー
》 Facebook、米中間選挙に向けて虚偽の投稿の取り締まりを強化へ (CNET, 10/16)
》 「Microsoft Edge」と「Internet Explorer 11」でTLS 1.0/1.1がデフォルト無効化へ (窓の杜, 10/16)、 「Google Chrome」「Firefox」「Safari」もTLS 1.0/1.1のサポートを廃止へ (窓の杜, 10/16)
》 ジャマル・カショギ記者、イスタンブールのサウジアラビア総領事館で行方不明に (殺害されたか)
Turks tell U.S. officials they have audio and video recordings that support conclusion Khashoggi was killed (Washington Post, 10/11)。トルコ当局は、カショギ記者殺害を裏付ける音声およびビデオ記録を持っていると、US 政府関係者に告げているという。
行方不明のサウジ記者、「殺害の証拠ある」とトルコ側 (CNN, 10/12)。WP 報道を受けた記事。
録音内容を知っているという当局者の1人は匿名を条件に取材に応じ、「音声は領事館の中で録音されたもので、建物に入ったジャマルに何が起きたかを明らかにしている」と説明。「彼とほかの男たちがアラビア語で話しているのが聞こえる」「彼がどのように尋問され、拷問され、殺害されたかが聞き取れる」と語った。
ソフトバンクの孫正義ファンドでタッグを組むサウジ皇太子が暗殺命令か、実行部隊を捉えた監視カメラのムービーも (gigazine, 10/15)
孫正義ファンドのサウジ皇太子が記者暗殺を命令か。Apple Watchが殺害の一部始終を記録? (gizmodo, 10/15)
米が水面下で手打ち工作か?「墓穴掘った」サウジ皇太子 (佐々木伸 / WEDGE infinity, 10/15)
皇太子はサウジ王国の古い体質の改革者、とのイメージをアピールしてきた。(中略) しかし、カショギ氏の失踪事件が皇太子自らの命令によるものとの見方が強まり、ダーティな裏の顔がクローズアップされるところとなった。
[FT]カショギ氏失踪が示すサウジの抑圧拡大 (FT / 日経, 10/11)
カショギ氏は再び元気な姿を見せるかもしれないし、亡くなっているかもしれない。明確なのは、欧米同盟国から称賛されているサウジの新しい動きが、過剰に宣伝された虚構であることを、カショギ氏の失踪が暴露したことだ。
音声記録は Apple Watch によるもの説
サウジ記者「殺害」、アップルウォッチ関連のうわさはあり得るのか (ローリー・ケスラン=ジョーンズ / BBC, 10/15)。否定的な意見。
失踪サウジ記者のアップルウォッチ暴行録音はWi-Fiルーター+iCloud保存ではないか (三上洋 / Yahoo, 10/15)。Wi-Fi モバイルルーターを介在させれば可能だ、という意見。
ジャマル・カショギ氏の失踪 (在日フランス大使館, 10/15)。10/14 付、ドイツ・フランス・イギリス外務大臣共同声明。「何が起きたのかについて真相を明らかにし、必要があれば、ジャマル・カショギ氏の失踪の責任者を特定し、釈明を求めるため、信頼できる捜査が必要です」
Turkish investigators search Saudi Consulate where journalist was last seen (Washington Post, 10/15)
サウジ政府、記者の死亡認める発表を準備か 「尋問中に誤って」 (CNN, 10/16)、 サウジ不明記者は「尋問中に手違いで死亡」 CNN報道 (朝日, 10/16)。 対象が死ぬような尋問を実施しました、と認めるらしい。
ソフトバンク株が急落、サウジ記者の行方不明問題への懸念増大 (ブルームバーグ, 10/15)
ソフトバンクの孫正義会長兼社長が推進しているビジョン・ファンドはサウジの政府系ファンドから450億ドル(約5兆円)の投資を受けている。同国のムハンマド皇太子は今月上旬のブルームバーグとのインタビューで、孫氏が構想する第2のビジョン・ファンドにも新たに450億ドルを出資する方針を明らかにしており、サウジ頼みのビジョン・ファンドが、今回の問題によってリスクとなることが懸念されている。
コラム:サウジ皇太子、不明記者問題で「失脚」の現実味 (David A. Andelman / ロイター, 10/16)
ムハンマド皇太子は、大勢いる初代国王の孫たちの大半を飛び越えてきた。しかし、ずっと年配者が牛耳ってきた権力の牙城を壊してサウジ王位を継承するという同皇太子の計画にとって、カショギ記者の失踪問題が命取りになるかもしれない。実際、解決策を求めてトルコのエルドアン大統領に電話したのは父親のサルマン国王(82)だった。
ムハンマド皇太子はすでに、自身の目的達成に中心的役割を担うはずだった主な同調者や支持者の一部を失った。23日からリヤドで開催される自慢の経済フォーラム「砂漠のダボス会議」は、自身の改革「ビジョン2030」に乗り出す上で主要な役割を担うはずだった。
しかし、カショギ記者が行方不明になってから数日たっても事件の真相究明に腰の重いサウジに対し、同会議の主要スポンサーや企業経営者からの撤退が相次ぎ、会議自体が宙に浮いている。
関連:
「砂漠のダボス会議」への参加見送り広がる-サウジ記者失踪で (ブルームバーグ, 10/12)
JPモルガンCEOも「砂漠のダボス会議」参加せず、相次ぐ参加取りやめ (ブルームバーグ, 10/15)
ブラックストーンとブラックロックのCEOも不参加へ-関係者 (ブルームバーグ, 10/16)
反政府記者の殺害疑惑を受け、サウジアラビアから距離を取り始める個人と企業が急増している (Business Insider Japan, 10/16)
2度目の殺人 (隔数日刊─Daily Bullshit, 10/16)。 北丸雄二氏。
それにしてもトルコ政府が強気なのが気になります。15日夜にはサウジ当局の許可を受けてトルコの警察が領事館内に入って家宅捜索や鑑識活動まで行いました。エルドアンはこの事件が大きくなる最中の12日に、拘束中だった米国人牧師アンドルー・ブランソン氏を解放してトランプに恩を売りました。彼が所属する福音派はトランプの強大な支持母体なのです。サウジ寄りのアメリカと縒りを戻して経済制裁を解除させたいエルドアンが、サウジに強硬に出て、そしてそれを引っ込めるという策で再びアメリカとサウジに優位に立って交渉する、そんな思惑が透けて見えてきます。
そんな中、米・サウジ・トルコの三国はいま「尋問中に手違いで死亡」という線で落とし所を探っているようです。つまり殺人ではなく過失致死だった、と。国家権力によるれっきとした殺意を、アメリカ大統領までが表立って「事故」だったと捻じ曲げる不正義。国家による殺人を不問に付すというあからさまな闇を、3カ国によるカショギ氏に対する2度目の殺人を、私たちはいま目撃しているのです。
》 「インターネット上の海賊版対策に関する検討会議」第9回会合 (10/15)、中間とりまとめできず。 ブロッキング法制化反対派が中間とりまとめを阻止、と言った方が正しいか。
検証・評価・企画委員会 (首相官邸)。「インターネット上の海賊版対策に関する検討会議」第9回会合の資料はまだ掲載されていない。
両論併記か棚上げか、ブロッキング法制化で3時間半の大激論 (日経 xTECH, 10/15)
森委員は座長案に反対する理由として「どんな形であれ、両論併記の報告書を出せば、法制化を進める道具に使われるため」とした。
検討会議の報告書と解釈できる何らかの文書を公開すれば、事務局が強引に法制化のプロセスを進める可能性があるとし、事務局への不信感をあらわにした。この段階でのパブリックコメント(意見募集)の実施にも反対した。「私は、法制化を止めるために行動している」(森委員)。
クローズアップ2018 海賊版規制で有識者会議 ブロッキング法制化紛糾 報告書断念の可能性 (毎日, 10/16)
政府はブロッキングの法制化を目指し、来年の通常国会で関連法を改正する方針だ。反対派の強硬姿勢の背景には、今回の議論が政府の方針に沿って「結論ありき」で進められているとの疑念がある。もう一人の座長の村井純・慶応大教授は「この会合はブロッキングありきの会議ではない」と何度も繰り返し、中村氏は、報告書で意見集約ができなかったことを表すことで「政治的なメッセージになる」と説得を試みたが、反対派は「信用できない」と最後まで政府への不信感をあらわにした。
「ブロッキング法制化」結論出ず 3時間半の激論、政府検討会は無期限延期に (ITmedia, 10/15)
対立激化の海賊版対策、まとまらず迷走 中間まとめ→× 報告書→× 延長も不透明 (弁護士ドットコム, 10/16)
関連:
「ブロッキング検討を白紙に戻すべき」、対CDN訴訟の成果を受け情報法制研究所が意見書を公開 (日経 xTECH, 10/12)
インターネット上の海賊版対策の進め方に関する意見書の発表 (JILIS, 10/11)
意見書 (ディスカバリー制度を利用した海賊版サイト運営者の特定について) (JILIS, 10/10)
川上量生さんのブロッキング問題の経緯の概略について、分かる人に分かりそうなことだけ書く (やまもといちろう / BLOGOS, 10/10)
海賊版サイト対策のタスクフォース、構成員の弁護士・林いづみ氏は本当に本件の有識者なのか (山本一郎 / Yahoo, 10/15)
本来は、ブロッキングごときで「賛成派」「反対派」に分かれているかのような議論でさえ問題であり、発端となった海賊版サイトさえすでに閉鎖されている状況であるにもかかわらずこの問題が半年以上引っ張られているというのは、さすがに政府・官邸の錯誤であり、委員・構成員の人選も含めていま一度再考するべきなのではないかと思う次第です。
》 US-CERTの「Publicly Available Tools Seen in Cyber Incidents Worldwide」を翻訳してみた!! (セキュリティコンサルタントの日誌から, 10/14)
》 マイクロソフト共同創設者のポール・アレン氏が死去、65歳 (CNET, 10/16)。合掌。「死因は非ホジキンリンパ腫の合併症だという」。
関連:
Bill Gates pays tribute to Microsoft co-founder Paul Allen: ‘Personal computing would not have existed without him’ (GeekWire, 10/15)
マイクロソフト共同創業者 ポール アレン逝去に伴うマイクロソフト CEO サティア ナデラのコメント (Microsoft, 10/16)
悪性リンパ腫 (国立がん研究センター がん情報サービス)
》 Microsoft、OINに参加し、6万件以上の特許をオープンソース化 「Linuxを保護する」 (ITmedia, 10/11)。Open Invention Network。「OINは、2005年にIBM、Novell、Philips Electronics、ソニー、Red Hatの出資により設立された特許管理会社。Linux推進のために、特許を買収してロイヤリティフリーで提供する」。こんな時代が来るとはね。
》 Intel、FIFA 19での描画不具合などを修正した内蔵GPUドライバを公開 (PC Watch, 10/11)
》 「地面師」を逮捕 積水ハウス土地取引で偽文書行使容疑 (朝日, 10/16)、 不審な点あったが…「地面師」、積水ハウスだました手口 (朝日, 10/16)、 地面師グループを8人逮捕、偽文書容疑 さらに4人捜査 (朝日, 10/16)
「新潟県警など全国の多くの警察」がサンディスクの SD WORM (生産停止) から東芝の Write Once に変更したそうで。東芝 Write Once の方が安いらしいのだが、どうやら、SD WORM と Write Once は似て非なるもののようなのだ。
このカードは、東芝メモリ社の「ライトワンスメモリカード」で、同社は改ざん防止機能付きとしている。しかし、業界関係者などによると、カード内の画像をパソコンの加工ソフトを使って編集し、別のライトワンスカードにコピーすることで、書き換えた画像を原本のように装うことができる。デジタルカメラの内蔵メモリーを介しても同様のことができるという。
SD WORM ならできないことが、Write Once ではできてしまう模様。
サンディスク、ライトワンス・100年寿命のSD WORMカードを発売 (engadget, 2008.07.15)
サンディスクの改竄防止メディア「SD WORM」が警察庁に採用 ~100年間の長期データ保存が可能 (デジカメ Watch, 2010.06.24)
SD WORMカードに電源が供給されると、まずリードオンリーの状態で起動する。対応ホスト機器がSD WORM内部のレジスターを読むことで、カメラ側がSD WORMカードを認識する。SD WORMカードだと確認ができるとロックが解除されて書き込みが可能になる仕組みだ。そのため、PCにSD WORMカードを接続するとROMメディアのように認識される。
すべてのSD WORMカードには一意のIDが付与されている。そのため、ホストはタイムスタンプなどによりカードのIDと写真をリンクできる。これにより、オリジナル画像がどのカードに記録されているかを容易に探すことができる。
SD WORMカードは、SDアソシエーションの「ワンタイムプログラムタスクフォース」のスペックに準拠しているという。まだSDアソシエーションとして批准したわけではないとのことだが、サンディスクとしては批准を希望しているとのこと。「SD WORMカードのスタンダードな使い方を構築したいと考えている」(ムーア氏)。
なおSD WORMカードとホスト機器との通信プロトコルはSDアソシエーションが規定しているという。ただムーア氏は、競合メーカーがSD WORM同様のメモリーカードを開発することは、サンディスクが持つ知的所有権からみて難しいのではないかとする。改竄防止と100年保存を実現するキーテクノロジーは、通信プロトコルとは別な場所にあるからだ。ムーア氏は、「SD WORMカードの“ような”製品が他社から出ても、政府機関が採用したいと思うクォリティにはならないのではないか」と自信を見せる。
EOS Kiss X6i EF-S18-135 IS STM レンズキット - 改ざん防止機能付きSDメモリカードを使用している方はいますか (価格.com, 2013.07.18)
WORMは対応機種が限定されていますが、write onceは実際、色んな機種で撮れますよね。
OLYMPUS STYLUS TG-3 Tough - 東芝「Write Onceメモリカード」の使用可否について (価格.com, 2014.10.16)
そこで、東芝Write Onceメモリカードが、一部市販カメラでも使える可能性があるということで、カードを購入してみました。
プライベートで使用している、OLYMPUS XZ-1に挿して撮影してみたところ、メーカー動作確認は取れていないものの、問題無く撮影が出来ました。
東芝 Write Once は、対応機種でなくても使えてしまう程度のものらしい。
サンディスク SD WORM と同等のものとしては PGS WORM CARD があるのだが、東芝 Write Once の方が安いので、下手な仕様で入札すると Write Once が勝ってしまうみたい。
ルーターにサイバー攻撃か ネット接続で不具合相次ぐ (2018.03.29)
Roaming Mantis:iOSでの仮想通貨マイニングと、悪意あるコンテンツ配信システムを介した拡散 (Kaspersky, 2018.10.12)。ひきづつき、変化を続けているようです。
》 ステルス戦闘機 ハリケーン直撃で大量に大破か 米国 (毎日, 10/15)。Tyndall 空軍基地の F-22 22 機に被害?
F-22 Raptors damaged, destroyed by Hurricane Michael (news.com.au, 10/15)
F-22s, QF-16 likely damaged after Tyndall hangars hit by hurricane (AirForce Times, 10/13)
F-22がハリケーンで損傷、55機中33機しか避難せず (中国網 日本語, 10/15)
Tyndall AFB (af.mil)
》 バンクシーによる絵画シュレッダー事件に影響され、値段を上げようと所有する絵画を切り刻む人が出現⁈ (スラド, 10/12)。 バンクシーの件はよく練られた1発ギャグであり、2発目以降に価値はない。
》 暑さ対策のための散水、路面温度は低下するが暑さ指数としては軽微な効果しか見られず (スラド, 10/11)
少なくとも路面温度については散水による効果が確認できる一方、暑さ指数については散水よりも日陰を作ることのほうが効果的だと思われる。
》 米海兵隊、F35の運用再開 飛行停止1日「検査終了」 (沖縄タイムス, 10/14)
》 神戸航空交通管制部: 新システムに不具合多発で旧システムを復帰
10/1 発足
神戸に18年、航空管制施設 西日本低空域を担当 (神戸新聞, 2017.02.08)。 2018 年 10 月から那覇管制エリアを引き継ぎ、 2022 年度から西日本低空域を受け持つ。
神戸管制部を10月1日に新設 那覇は廃止 (産経, 9/15)。那覇航空交通管制部は廃止。
10/1 に不具合が発生して運用開始前に延期
新設の神戸管制トラブル 国交省、旧システムで対応 (徳島新聞, 10/6)
10/9 新システム運用開始
航空路用の新たな管制システムの運用を開始 (国土交通省, 10/10)
これにより、管制支援機能の高度化等が図られ、処理能力が向上し、航空需要の増加に対応することが可能となります。
10/10 またも不具合発生
新管制に不具合 空の便に影響 (NHK, 10/10)
「神戸航空交通管制部」は、那覇にある管制部を廃止して今月1日に新設されましたが、初日にもシステムトラブルが起き神戸での管制業務を開始できず、10日から本格的に運用を始めたばかりでした。
神戸航空交通管制部再びトラブル (NHK, 10/10)
国土交通省によりますと、プログラムを改修した結果、正しく機能するようになったため、10日から本格的に運用を開始しましたが、午後5時23分に再びシステムにトラブルが起きたということです。
運用開始直後、神戸航空交通管制部でトラブル (読売, 10/10)
沖縄発着便に遅れ相次ぐ 神戸の管制部でトラブル (日経, 10/10)
システムトラブル 那覇空港発着便に影響 神戸の管制部で (毎日, 10/10)
管制トラブルで那覇空港の発着便に遅れ (琉球新報, 10/10)
10/15 旧システムに戻す
神戸航空交通管制部における新システムの再確認について (国土交通省, 10/15)。「年内を目途に、神戸航空交通管制部での新システムの運用再開を目指します」
トラブル相次ぐ神戸管制、那覇分室が代行 年内再開目指す (神戸新聞, 10/15)
神戸管制、再編早々のトラブル 那覇を廃止し新設 「予測できなかったのか」 (沖縄タイムス, 10/15)
国土交通省は11日、「サーバー内で予想を超えるデータ蓄積が発生しデータが処理できなくなった」と原因を説明。 (中略) 新設の神戸管制部は1日に発足したが、別のシステム不具合のために運用開始が9日まで延期されていた。
》 攻殻機動隊 Kindle版 (Amazon)。まだ無料だった。剛気としか言いようがない。
》 靖国神社宮司が退任へ 会議で「不穏当」発言 (共同, 10/10)、靖国神社の宮司が退任へ 天皇批判で (ロイター / BBC, 10/12)。「陛下は靖国を潰そうとしてる」靖国神社トップが「皇室批判」 (NEWS ポストセブン, 9/30) の件の小堀邦夫氏 (第十二代靖国神社宮司)、 退任だそうで。
》 細断されたバンクシー作品「売買成立」 (TBS / BIGLOBE, 10/12)
関連: 色々考えさせられるバンクシーの“自爆” (TBS ラジオ, 10/11)。デイ・キャッチ木曜日、山田五郎さん。オークション会社サザビーズは気づいていたんじゃないかと推測。
本日発売、新刊『ITプロフェッショナル向け Windowsトラブル解決コマンド&テクニック集』(PR) (山市良のえぬなんとかわーるど, 10/12)
コンピュータハイジャッキング (オーム社)。酒井 和哉 (著)。10/16 発売。
DNSがよくわかる教科書 (amazon)。株式会社日本レジストリサービス (著)。11/22 発売。
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習 (amazon)。 IPUSIRON (著)。12/7 発売。
》 文科省医学部調査 複数大不正入試か 女子や浪人、不利に (毎日, 10/12)。東京医科大学だけでは済まない模様。
》 米空軍 F-35 全機、燃料管の検査のため飛行を一時停止。 9/28 の墜落事故の調査により、燃料管の不具合の可能性が指摘された模様。
米軍、F35の運用を一時停止 エンジン燃料管を検査へ (朝日, 10/12)。「作業は今後48時間以内に完了するという」
米国防総省:ロッキードF35戦闘機、一時飛行禁止に-墜落事故受け (ブルームバーグ, 10/12)、 Lockheed's Troubled F-35 Grounded by Pentagon After First Crash (Bloomberg, 10/11)
空自のF35、安全性問題なし 防衛相 (日経, 10/12)
Pentagon temporarily grounds new F-35 jets after crash (CNN, 10/11)
9/28 の墜落事故 (F-35B):
F35戦闘機が初の墜落事故 米国内での訓練中 (AFPBB, 9/29)
F-35B jet crashes in South Carolina (CNN, 9/29)
》 WikiLeaksが謎に包まれたAmazonのデータセンターの所在地を暴露、地図も公開 (gigazine, 10/12)。Amazon のデータセンター、というよりは、Amazon の設備が設置されているデータセンター、なのかな。
大阪だと、中央区の四ツ橋にある「EQUINIX OS1」データセンターなどがヒットしました。
関連: エクイニクス、OS1データセンターでAWS Direct Connect開始 (ascii.jp, 2015.08.17)
いろいろ (2018.10.02) Foxit Reader, Foxit PhantomPDF
日本語版も 9.3 になったようです。
フリーのPDFソフト「Foxit Reader 9.3」日本語版が公開 ~アクセシビリティを強化 (窓の杜, 2018.10.12)
》 Mozilla、Symantec発行のTLS証明書無効化を延期 ~「Firefox 64」ベータ版から実施 (窓の杜, 10/11)。Firefox 63 Beta から、だった予定を、 Firefox 64 Beta からに変更。
》 択捉島、進む軍事強化 新空港に戦闘機 (朝日, 10/11)。関連:
急発展、高まる島民の愛国心 ロシア人助手が見た択捉島 (朝日, 10/11)
観光・水・養殖に魅力 択捉島大手社長に聞いた日ロ関係 (朝日, 10/11)
北方領土、急激に軍事化 現れたスホイ35「撮影ダメ」 (朝日, 10/10)
》 ごみ深さ「3.8メートル」ない疑い 値引き根拠揺らぐ 森友国有地 (朝日, 10/11)。「菅野完氏提供」。まだまだ終らない。
》 「農業アイドル」の死、背景にパワハラと遺族が所属事務所を提訴へ (BuzzFeed, 10/11)。関連:
母親が告白 農業アイドルだった大本萌景さん(16)は、なぜ自殺しなければならなかったのか (文春オンライン, 5/19)
“農業アイドル”16歳の自殺で弁護士が考えた「アイドルと契約」 (文春オンライン, 5/30)
アイドルを夢見るたくさんの子供たちとその家族に、悲しく苦しい思いをしてもらいたくない。 (リーガルファンディング)
》 覚醒剤所持の疑い、札幌中央署巡査部長を現行犯逮捕 (北海道新聞, 10/11)。「薬物銃器対策課 巡査部長」がヤク所持で現行犯逮捕。 ミイラとりがミイラに?!
》 軍備のソフトウェア化・ネットワーク化が進む兵器システムにおける脆弱性の調査が始まる (gigazine, 10/10)。by GAO。さすがです。
》 今夜25時に迫ったネット史上初めての「ルートゾーンKSKロールオーバー」、ネット利用者への影響は? (Internet Watch, 10/11)
》 APT28: 軍と政府の組織を狙う新しいスパイ活動 (シマンテック, 10/4)。Fancy Bear。
》 ユーザーデータ消失が報告されていたWindows 10 October 2018 Updateの修正版が登場 (gigazine, 10/11)。「Windows Insiderコミュニティ向けに限定的に公開を再開」
Microsoftによると、データ消失の問題は過去に「Known Folder Redirection(KFR)」というフォルダーのリダイレクト機能を利用したことがあり、かつ、ファイルが「リダイレクト元」「リダイレクト先」の両方に存在する場合に発生したとのこと。
この機能について、ユーザーからリダイレクト先にファイルが移動したあとも、リダイレクト元に余分な空フォルダーが残るというフィードバックがあったため、October 2018 Updateでは重複する空のフォルダーを削除するような動作が加えられました。ところが、これによってリダイレクト元が全消去されるような動作になってしまったとのこと。
ロクにテストしませんでした、としか読めないなあ。
オリジナル: Updated version of Windows 10 October 2018 Update released to Windows Insiders (Microsoft, 10/9)、 Windows Insider Program に参加しているお客様に向けて Windows 10 October 2018 Update の更新版をリリース (Microsoft, 10/10)
》 Windows 10 Version 1709 (RS3) および Version 1803 (RS4) へ機能アップデート後のスタート メニューの表示の問題について (Ask CORE, 10/5)。発生条件はいまだ不明だそうで。 対処方法が記載されている。
》 Windows 10 および Windows Server 2016 にてクリーンアップ コマンド実行時によりエラーメッセージが表示される事象について (Ask CORE, 10/5)。「Error2 が表示される現象」「クリーンアップを実行すると、20 % で完了となる現象」。 どちらも問題ないそうで。ややこしや。
》 性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意 (IPA, 10/10)
はじめてこの相談をうけたのは2018年の3月で、その後相談が再度寄せられたのは7月でした。7月と8月は合わせて30件(*1)と件数が増加し、9月には263件の相談が寄せられました。
日経 xTECH の記事が詳しい。
東証のシステム障害、ある証券会社からの大量電文で機器が停止 (日経 xTECH, 10/9)
状況:
メリルリンチ日本証券が、死活確認のためのシステム電文を「通常の1000倍以上」送信したため、注文受け付け処理における特定 1 系統がダウン。
東証システム障害、メリルリンチの大量電文が原因 (日経, 10/9)
東証の障害、メリルリンチが大量データ誤送信 (読売, 10/10)
しかし注文受け付け処理は 4 系統を持ち、各証券会社等は複数系統に接続している。生きている系統に接続し直せばそれでいいはずだった。
複数の証券会社において、系統の切換処理に失敗した模様。 報道によると、 野村証券、みずほ証券、SMBC 日興証券、三菱 UFJ モルガン・スタンレー証券といった、名立たる会社で不具合が発生したみたい。
東証誤算またシステム障害 電文データ異常な量は想定外 (朝日, 10/9)
東証のシステムを統括する、JPXの横山隆介・最高情報責任者(CIO)は会見で、「証券各社のシステムの設計がどうなっているかまで、確認しきれていなかった」と話し、サーバーの切り替えを依頼しただけでは不十分だったことを反省する。「正常な市場の運営をする責任は我々にある。ただ、市場は参加者の皆さんも含めて運営している仕組み」と言い、今後は証券各社とシステム構築について理解を深めたい考えを示した。
》 いよいよ明日10月11日深夜に実施、「ルートゾーンKSKロールオーバー」は過度に恐れる必要は無い!?(普段からきちんと管理されているネットワークであれば) (Internet Watch, 10/10)
》 カドカワ川上量生氏、クラウドフレア社は法的措置では対応できないという見解を示す (山本一郎 / Yahoo, 10/9)。 しかし今回、それが間違いであることが決定的に示された。
》 海賊版サイト「漫画村」の運営者を特定か 法的措置へ (播磨谷拓巳 / BuzzFeed, 10/10)。 山口貴士弁護士らによる、たった 2 か月での成果。
その主な流れは、以下のとおりだ。この一連の手続きで、クラウドフレア社とPayPal子会社は、サーバー契約者の氏名(ローマ字)や住所、メールアドレス、携帯電話番号、IPアドレス、サーバーレンタル代などの情報を開示した。
- 6月12日、アメリカで民事訴訟を提訴
- 同月15日、裁判所がクラウドフレア社に対し課金関係資料の提出を求める罰則付召喚令状(Subpoena=サピーナ)を送付
- 同月29日、クラウドフレア社から資料が届く。より詳細な情報が必要であればPayPal子会社に召喚令状を送るようにとの記載あり
- 7月10日、PayPal子会社に対し、資料の提出を求める召喚令状を送付
- 同月16日、PayPal子会社からの資料が届く
- 8月28日、民事訴訟を取り下げ(いずれも現地時間)
「米国ではSubpoena(サピーナ)に対して情報を開示することは日常的に行われていることなので抵抗感はありませんし、従わない場合にはペナルティーもあり得るので、実効性が高いことも考慮しました。訴訟提起からクラウドフレアから資料が送られて来るまで、約20日でした」
こんなに簡単にできるのですね。
「一方、日本の裁判所で発信者情報開示請求訴訟を起こした場合、訴訟提起から第1回期日が入るまで半年近い時間がかかってもおかしくありません。同様に、日本の裁判所で発信者情報開示請求の仮処分を起こしたとしても、現行の運用では開示されるのはIPアドレスなどであり、氏名や住所は開示されません」
「それも、クラウドフレアが日本の裁判所の決定に従えば、という前提です。仮にIPが開示されたとして、次はIPを管理しているプロバイダに対し、改めて発信者情報開示請求訴訟を起こして勝訴しなければならず、IPアドレスが開示されてから最終的な発信者の特定まで、半年はかかります」
日本でも Cloudflare に対する記事の削除と発信者情報開示の仮処分命令がちゃんと出るのですから、その他の部分も米国並みにすべき、という議論になるのかな。
関連: 違法サイト「漫画村」の管理人が特定され、刑事告訴の準備が進む (楽しくないブログ, 10/10)
》 海賊版サイトが悪用、CDN大手に記事削除命令 (読売, 10/10)。東京地裁 10/9。Cloudflare に対して「記事の削除と発信者情報開示の仮処分を命じた」。関連:
クラウドフレアに「発信者情報開示」命令、海賊版サイト「ブロッキング」に影響も (弁護士ドットコム, 10/9)
揺らぐ「ブロッキング必須論」…注目の仮処分決定 (若江雅子 / 読売, 10/10)
出版9団体で作る「出版広報センター」によると、出版各社はこれまでクラウドフレアに対して裁判所での手続きは講じてこなかったという。「削除や発信者情報の開示の要請は数え切れないほど行ってきたが、ほとんど応じてもらえなかった」と説明するが、それはあくまで「裁判外」のお願いベースの行動だった。「海外事業者に法的措置をとるとなると、費用が高額になるうえ手間もかかるので現実的ではない」というのが主な理由だ。
しかし実際には……
「削除」の第一人者で、先の意見書に名を連ねた神田知宏弁護士はこう首をひねる。「海外CDN事業者相手の訴訟でも、日本に管轄裁判所が認められる可能性が高いというのは、我々、削除の実務を手がける弁護士にとっては常識。日本で裁判ができるので費用も抑えられ、手続きも簡単だ」。今回、山岡弁護士が担当した事件では、供託の担保金を入れても、費用は30万円強だった。一般的な弁護士費用も20万~50万円とされる。
出版屋は、億円単位の損害が出ているのに、高々 50 万円程度の費用を惜しんでいたわけ? 馬鹿なの?
》 「漫画村」後継サイト「漫画塔」、話題になった直後に閉鎖か 現在はアクセス不能に (ねとらぼ, 10/9)。さっそく閉鎖ですか。
Firefox 62.0 / ESR 60.2.0 公開 (2018.09.06)
2018.10.04 付で Thunderbird 60.2.1 が出ていたんですね。
MFSA 2018-25 - Security vulnerabilities fixed in Thunderbird 60.2.1 (Mozilla, 2018.10.04)
VMSA-2018-0024.1 - VMware Workspace ONE Unified Endpoint Management Console (AirWatch Console) update resolves SAML authentication bypass vulnerability (VMware, 2018.10.04)
VMSA-2018-0025 - VMware ESXi, Workstation, and Fusion workarounds address a denial-of-service vulnerability (VMware, 2018.10.09)。回避方法が記載されている。
ghostscript: bypassing executeonly to escape -dSAFER sandbox (CVE-2018-17961) (oss-sec ML, 2018.10.09)。patch、PoC あり。
JVNVU#99973215 - Intel 製品に複数の脆弱性 (JVN, 2018.10.10)
今回はマイナーなのばっかみたい。
Security Updates Available for Adobe Digital Editions | APSB18-27 (Adobe, 2018.10.09)。Priority: 3
Security updates available for Adobe Experience Manager | APSB18-36 (Adobe, 2018.10.09)。Priority: 2
Security Updates Available for Adobe Framemaker | APSB18-37 (Adobe, 2018.10.09)。Priority: 3
Security Updates Available for Adobe Technical Communications Suite | APSB18-38 (Adobe, 2018.10.09)。Priority: 3
2018.10 定例。IE / Edge, Windows, Office, SharePoint, ChakraCore, .NET Core, SQL Server Management Studio, Exchange。
2018年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2018.10.10)
なお、マイクロソフトによると、CVE-2018-8453 (重要) の脆弱性の悪用を確認しているとのことです。
CVE-2018-8453 | Win32k の特権の昇格の脆弱性 (Microsoft)。local user による権限上昇が可能。
マイクロソフト月例パッチ(Microsoft Patch Tuesday)– 2018 年 10 月 (シマンテック, 2018.10.10)
October Patch Tuesday: Microsoft Repairs JET Database Engine Bug, Win32K EoP Zero-Day (Trendmicro, 2018.10.09)
本日の Windows Update - 2018 年 10 月 10 日(実況終了) (山市良のえぬなんとかわーるど, 2018.10.10)
》 「Androidの安さは個人情報と引き換え」 専門家が警鐘 (MACお宝鑑定団 / ITmedia, 10/6)
》 在日米軍に国内法は適用されない? 外務省が国会で炎上中 (藤田 直央 / OKIRON, 7/5)
「一般国際法上、駐留を認められた外国軍隊には特別の取り決めがない限り接受国の法令は適用されない。日本に駐留する米軍についても同様です」
(中略) だから地位協定の改定は難しく、米軍に国内法の尊重義務をふまえた運用を求めるというのが政府の姿勢。だが国会では最近、「そんな国際法がどこにある」と論争になっている。
そんな国際法はない。それが真実の模様。
》 大停電から見えてきたモノのデータの有用性 (さくらのIoTブログ, 10/4)
》 11条と97条は重複した規定か (kenpokaisei.jimdo.com)。重複ではないし、97条の方が上位規定であると。
》 App Store上の当社アプリに関する進捗状況について (トレンドマイクロ, 10/5)。あいかわらず進展はない。
当社では進展があるものと判断しており、近日中に問題が解決され、アプリを順次公開できるものと考えております。
何を根拠に「当社では進展があるものと判断しており」なのか、全く不明なんだよなあ。「近日」とはいつのことなのかも不明。
》 漫画村復活か?違法海賊版サイト「漫画塔」が公開される (大元隆志 / Yahoo, 10/9)
》 竹書房は「漫画村」に対して、なにをしてきたのか (BuzzFeed, 10/9)
弊社は今期の前半において電子書籍だけでも2割落ちている。それが漫画村消滅以降は回復しました。(中略) 上代ベースで数億円の被害ではないでしょうか。痛いなんてものじゃありません。(中略) 漫画村がもう1年続いていたら、会社は潰れていたかもしれません。
》 海賊版サイトブロッキングについて考えるシンポジウム~ISPは著作権侵害における加害者か?~ (JAPIA)。2018.10.10、京都府京都市、無料。
》 神経剤襲撃 容疑者2人目はロシア軍医 英調査サイト報道 (毎日, 10/9)、 Second Skripal Poisoning Suspect Identified as Dr. Alexander Mishkin (bellingcat.com, 10/8)。 スクリパリ父娘殺人未遂事件 (3/5) の件。
》 制服で外を歩くとセクハラされる……英国女子の3割超 (BBC, 10/8)
》 東証 システム障害 売買一部受け付け停止 (毎日, 10/9)、 株式売買システム(arrowhead)における一部接続障害について (日本取引所グループ, 10/9)
》 セキュリティチップ搭載のMac、部品交換が困難に 〜自己診断プログラムのパスには特殊ソフトが必要 (やじうまPC Watch, 10/5)
》 WPA3は「SAE」採用で鍵の推測が不可能に、KRACKsで悪用の穴ふさぐ、2018年末から登場? (Internet Watch, 10/9)
Google+ アプリが、"public" とされていない Google+ プロファイルの内容を、API 経由で見れてしまっていた模様。当該の欠陥は 2018 年 3 月に発見後すぐに修正されたそうなのだが、今に至るまで公表せず。 初報は WSJ だったのだそうで:
Google Exposed User Data, Feared Repercussions of Disclosing to Public (WSJ, 2018.10.08)。講読者のみ。
RIP Google+. We Hardly Knew Ye. (WSJ, 2018.10.08)。講読者のみ。
Google からの発表はこちら: Project Strobe: Protecting your data, improving our third-party APIs, and sunsetting consumer Google+ (Google, 2018.10.08)。Project Strobe という内部監査を実施したらこんなん出ましたけど、 というノリでいいのか Google 。
日経 xTECH 記事によると、当該の欠陥は 2015 年から存在していたという。 Google からの発表では "We believe it occurred after launch as a result of the API’s interaction with a subsequent Google+ code change" とだけ記述されていて、時期は明示されていない。 ITmedia 記事では「米Wall Street Journalによると、この変更は2015年に行われたという」となっている。
そして、ログが 2 週間分しか保存されていなかったため、実際の漏洩実態は不明なのだという。
グーグルはAPIが悪用されたり、流出した情報が不正に利用されたりした証拠は見つからなかったと述べている。しかし額面通りに受け取るのは難しい。グーグルがAPIの利用ログを2週間分しか保存していなかったからだ。
グーグルは3月に2週間分のログを分析し、最大50万人のGoogle+ユーザーが情報漏洩の影響を被る可能性があり、最大438種類のアプリケーションが問題のあるAPIを利用していたことを突き止めたという。しかしバグは2015年から存在していた。それから2018年3月までにAPIがどのように利用され、何件のデータが流出したかは不明だ。
なんじゃそりゃー?! と思って Google からの発表を読むと、本当にそう書かれている。 うげえ。
We made Google+ with privacy in mind and therefore keep this API’s log data for only two weeks. That means we cannot confirm which users were impacted by this bug. However, we ran a detailed analysis over the two weeks prior to patching the bug, and from that analysis, the Profiles of up to 500,000 Google+ accounts were potentially affected. Our analysis showed that up to 438 applications may have used this API.
Google さんって、他のサービスも 2 週間しか log 取ってないのかしらん。
出ました。
About the security content of iOS 12.0.1 (Apple, 2018.10.08)。 2 件のセキュリティ欠陥を修正。これでしょうか:
Passcode Bypass iOS 12 (1-Call) (videosdebarraquito / YouTube, 2018.09.26)
Passcode Bypass iOS 12 (2-Note) (videosdebarraquito / YouTube, 2018.09.26)
About the security content of iCloud for Windows 7.7 (Apple, 2018.10.08)。20 件のセキュリティ欠陥を修正。
名指しされた企業の反論
Appleに関するBusinessweekの誤った報道について (Apple, 10/4)
Setting the Record Straight on Bloomberg BusinessWeek’s Erroneous Article (AWS Security Blog, 10/4)
Supermicro Refutes Claims in Bloomberg Article (Supermicro, 10/4)
Apple&Amazonサーバーが中国人民解放軍の実働部隊にデータを盗むチップを仕込まれたとBloombergが報道、Apple・Amazonは完全否定 (gigazine, 10/5)
Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る (Zack Whittaker / techcrunch, 10/6)。興味深い考察。
AppleとAmazonが全面否定する中国不正チップ疑惑、米政府が両社を支持 (ITmedia, 10/8)
》 「南京事件はなかった」杉田水脈がマスコミ禁止講演会で本心を語る (FRIDAY / Yahoo, 10/7)。ぜんぜん懲りてない。
》 さよなら築地 豊洲市場は「重大な設計ミスがある」専門家が指摘 (AERA dot., 10/6)
》 東欧の地上イージス(14)周辺国への影響 避けられぬ脅威の応酬【動画】 (秋田魁新報, 10/7)
》 美輪明宏が『祖国と女達 (従軍慰安婦の唄)』を作った理由 (NAVER まとめ, 2013.05.17)
私、長崎で育ちましたが、戦後、長崎に引き揚げて来た従軍慰安婦の人たちとたくさんお友だちになりました。セックスの処理係として、戦場の第一線に女をゾロゾロ連れて歩いたのは日本の軍人だけなんですよ。世界の恥でした。それも、敵が攻めて来たら、銃を渡されて軍人と同じように第一線で戦って……。ところが、そこで「戦死」しても、彼女らの遺骨は野晒(のざら)し、雨晒し、もちろん靖国神社にも祀ってもらえていないし、要するに放ったらかしなんですね。従軍慰安婦もそうでした。「どうして、そういう人たちの歌がないの?」ということで、従軍慰安婦の歌を作ったり、飢えと寒さに死んだ密航者の子供たちの歌を作ったりしました。
》 Windows 10 October Updateにファイル消失問題で提供中断 (PC Watch, 10/7)。うわあ。バックアップの重要性。
「Windows 10 October 2018 Update」の提供を中断--ファイルが消失する問題で (CNET, 10/7)
Windows 10ユーザーのRobert ZikoさんはMicrosoftのサポートフォーラムに「Octoberアップデート(10、バージョン1809)を使ってWindowsをアップデートしたばかりなのだけれど、220Gバイト相当の23年分のファイルがすべて消失してしまった。信じられない」と書き込んでいる。
Microsoft、Windows 10 October 2018 Updateのロールアウトを一時停止 (スラド, 10/6)
【データ消失】Windows10 October 2018 Updateでユーザーのファイルが削除されてしまう不具合 (まとめダネ!, 10/6)
》 バンクシーの絵画、1億5千万円で落札直後、自動的にシュレッダーでバラバラに?! (BuzzFeed, 10/7)、サザビーズで“事件”発生。1.5億円で落札のバンクシー作品、切り刻まれる (美術手帖, 10/7)。このまま飾るべきであろ。
》 怖いほどに美しい 台風24号で無人になった新宿駅の写真「街から人が消えた日」が話題に 撮影裏話を写真家に聞いた (ねとらぼ, 10/5)。すごいな。「28日後...」みたいな風景。
》 ドワンゴのアプリ「カスタムキャスト」の偽物がストアに出現 古い端末だと本物が表示されないことを悪用 (ねとらぼ, 10/7)
》 フジテレビ「タイキョの瞬間」に批判殺到 入管行政の「闇」には触れず (BuzzFeed, 10/7)。「ケーサツ24時」系と同様の、政府プロパガンダたれ流し番組だったようですね。
「新潮45」甘いチェック 休刊に批判や落胆の声 (朝日, 9/26)
新潮45休刊、過激化の果て 部数減「無理重ねた」/編集権の尊重、裏目に (朝日, 9/27)
「新潮45」休刊決定でもモヤモヤ感が残る理由 (仲俣 暁生 / 東洋経済, 9/28)
この二つのケースと比べて、今回の「新潮45」の休刊が異なるのは、まずなにより休刊の原因となった記事がどれであるかが特定されていないことだ。
モーリー・ロバートソン『新潮45』休刊と命の序列思想を語る (miyearnZZ Labo, 9/29)
『新潮45』が生み出された社会。~反戦後民主主義者の主戦場となっている書店の平台 (中沢けい / ハーバー・ビジネス・オンライン, 9/29)
「新潮45」休刊…あるライターがみた「その時までに起こったこと」 知らされたのはあまりに突然で… (伊藤 達也 / 現代ビジネス, 9/30)。寄稿者から見た「新潮45」休刊。
『新潮45』休刊を、小川榮太郎氏と松浦大悟氏はどう受け止めたか。 小川氏「論外だ」と批判 特集企画に寄稿した小川榮太郎氏と松浦大悟氏に話を聞いた。 (AbemaTIMES / ハフポスト, 10/2)
『新潮45』休刊論文 小川榮太郎氏に「ネットワークビジネス」の過去 (週刊文春, 10/3)
新潮社、あの問題を検証するってよ (常見陽平 / BLOGOS, 10/4)
『新潮45』10月号寄稿のLGBT当事者&元参議院議員・松浦大悟インタビュー(上) 「本当に差別を解消したいと思うのであれば議論すべき」 (ガジェット通信, 10/4)、 (下) 「私たちはごまかしの人生から脱却したくてカミングアウトする」 (ガジェット通信, 10/4)
津田大介「休刊で幕引きにはならない『新潮45』問題」 (AERA dot., 10/5)
》 Wi-Fiルータの83%で既知の脆弱性放置、米NPOの実態調査で判明 (ITmedia, 10/3)、 Securing IoT Devices : How Safe Is Your Wi-Fi Router? (ACI)
》 インテルのCPU不足問題、CEOが異例の書簡 背景に予想外のPC市場活況と生産キャパのミスマッチ (稲葉 雅巳 / LIMO, 10/2)
インテルはPC市場の予想外の活況を今回の供給問題の理由に挙げているが、要因はこれだけではなく、いくつかの問題が絡んだ複合的な要因である可能性が高い。1つは製造プロセスのロードマップが崩れたことだ。
こちらは 10nm プロセスの件。
もう1つの要因として考えられているのが、モバイル用ベースバンドプロセッサーの内製化だ。(中略) 9月に発表された「iPhone XS/XS Max」および「iPhone XR」のベースバンドは全量インテル製 (中略) 今回のiPhone新機種にあわせて自社ファブへの生産に切り替えており (中略) CPU製造を圧迫した一因と考えられている。
そうなんだ。へぇ。
関連:
10nmプロセスの遅延でWiskey LakeとCascade Lakeが浮上 インテル CPUロードマップ (ascii.jp, 4/9)
Intelの10nmプロセス生産は2019年へと遅れ (PC Watch, 4/27)
Intelを阻む微細化の壁、10nm量産を再延期 TSMCよりあえて難しいチャレンジ、結論は19年に持ち越し (LIMO, 5/15)
あと1年は10nm製品を投入しないと明言 インテル CPUロードマップ (ascii.jp, 6/25)
Intelのプロセッサ供給不足により世界的にノートPC出荷に影響、2019年後半まで続く見通し (gigazine, 10/2)
》 中国サイバー攻撃を暴く謎の集団、操るのは誰? (Wall Street Journal, 10/3)、 中国サイバー攻撃集団を暴く謎の組織「Intrusion Truth」 (大紀元日本, 10/4)
Intrusion Truth (twitter)
》 「APT38」と命名: 世界の銀行を狙う北朝鮮のハッキング集団、多額の不正送金に関与か 被害額は1億ドル以上 (ITmedia, 10/4)、 APT38: Details on New North Korean Regime-Backed Threat Group (FireEye, 10/3)
》 関空連絡橋のマイカー規制の解除について (警察庁, 10/4)。10/6 から解除。
》 ルートゾーンKSKロールオーバーによる影響とその確認方法について (JPRS, 10/4更新)、 ルートゾーンKSKロールオーバーについてのご質問とその回答 (JPRS, 10/4更新)
》 米司法省、ロシア GRU 情報機関員 7 名を起訴 (10/4)。 OPCW の件の他にも、世界反ドーピング機関や FIFA、ウエスチングハウスへのサイバー攻撃などいろいろ。
U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations (justice.gov, 10/4)
POSTER: GRU HACKING TO UNDERMINE ANTI-DOPING EFFORTS (FBI, 10/4)
米司法省、ロシア諜報局員7人を起訴--反ドーピング機関などにサイバー攻撃 (CNET, 10/5)
米、ロシア情報機関員7人を起訴 サイバー攻撃で (日経, 10/5)
関連:
》 オランダ当局、ロシア GRU による化学兵器禁止機関 (OPCW) へのサイバー攻撃を阻止 (4/13)
OPCW Spokesperson’s Statement on Cyber Security (OPCW, 10/4)
オランダ政府:
Netherlands Defence Intelligence and Security Service disrupts Russian cyber operation targeting OPCW (government.nl, 10/4)
Joint statement by Prime Minister May and Prime Minister Rutte on cyber activities of the Russian military intelligence service, the GRU (government.nl, 10/4)
Russian cyber operation, remarks Minister of Defence, 4 October in The Hague (defensie.nl, 10/4)
GRU close access cyber operation against OPCW (defensie.nl, 10/4)。写真資料はこちら。
BBC
How the Dutch foiled Russian 'cyber-attack' on OPCW (BBC, 10/4)
Russia cyber-plots: US, UK and Netherlands allege hacking (BBC, 10/5)
Transparency - the tool to counter Russia (BBC, 10/4)
Guardian
Visual guide: how Dutch intelligence thwarted a Russian hacking operation (Guardian, 10/4)
Russia accused of cyber-attack on chemical weapons watchdog (Guardian, 10/4)
How Russian spies bungled cyber-attack on weapons watchdog (Guardian, 10/4)
まるでスパイ小説… ロシアOPCWハッキング計画の顛末 (AFPBB, 10/5)
OPCWをサイバー攻撃=ロシアを非難-NATO理事会 (AFPBB, 10/4)
国際機関へのハッキングを阻止 関与のロシア人を国外退去処分 (NHK, 10/5)
》 特集ワイド 安倍首相の「かわいそうだから改憲」 自衛隊明記で解決するのか (毎日, 10/3)
》 アップルとアマゾン、中国製スパイチップがハードウェアに組み込まれていたとの報道を否定 (CNET, 10/5)。ブルームバーグの報道。
The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies (bloomberg, 10/4)
中国、マイクロチップ使ってアマゾンやアップルにハッキング (ブルームバーグ, 10/4)
米国へのサイバー脅威示すとボルトン補佐官-中国チップハッキングで (ブルームバーグ, 10/5)
アップルとアマゾン、中国のハードウェア攻撃報道を否定 (ロイター, 10/5)
》 グーグルの中国向け「検閲対応」検索エンジン、米副大統領が開発中止を求める (CNET, 10/5)。ペンス副大統領。
》 全米の携帯電話に「大統領警報」テスト送信--緊急事態に備え (CNET, 10/5)。 「この警報は、米連邦緊急事態管理庁(FEMA)が使用しているのと同じインフラを通じて発信された」
塩害
台風3日後に電車ストップ、原因は塩害 農作物が変色 (朝日, 10/4)。京成電鉄 京成高砂 ― 八千代台間、10/3 21:42ごろ〜10/4 06時過ぎ。 「東電のまとめでは、電気設備に塩分の付着が確認されたのは静岡、神奈川、東京、千葉、茨城の5都県に及んだ」
京成電鉄が全線ストップ 送電設備から火花、塩害か調査 (朝日, 10/5)。09:32 から全線停止。「最悪の場合、一日中、運転を再開しないことも考えられます」
京成電鉄。 つながらない。
ClamAV 0.100.2 公開。5 件のセキュリティ欠陥を修正。
》 Symantec Endpoint Protection 14.2 MP1 Release Notes (Symantec, 10/2)。macOS 10.14 や Windows 10 Version 1809、Windows Server 2019 には SEP 14.2 MP1 で対応するそうです。
》 Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗 (CNET, 10/4)。DNS over HTTPS。
関連: Running a DNS over HTTPS Client (Cloudflare)
》 mineoの「通信の最適化」、適用するか選べるように (ITmedia, 10/3)
》 海の向こうの“セキュリティ” いわゆる「BEC詐欺」の目的は何? Barracudaによる実態調査 ほか (Internet Watch, 10/3)
Facebook、最大5000万人分のアクセストークン流出。予防措置で9000万人を強制ログアウト (2018.10.01)
関連:
Facebook長谷川氏、約5000万人の情報流出を謝罪--対策状況を説明 (CNET, 2018.10.02)
Facebook、情報流出問題でサードパーティーアプリへのアクセスの形跡なし (CNET, 2018.10.03)
Facebook Login Update (Facebook, 2018.10.02)
Facebookはユーザーの安全を確保できない (techcrunch, 2018.10.03)
》 シャープ、NHKの「ゆるい」つぶやき、岡口裁判官の分限裁判の証拠に…弁護団、最高裁に提出 (弁護士ドットコム, 10/2)
》 他の受験生の願書が「丸見え」 慶應SFCがAO入試トラブル (J-CAST / livedoor, 10/3)、 慶應義塾大学 総合政策学部・環境情報学部アドミッションズ・オフィスによる自由応募入試(AO入試) Webエントリーシステムにおける個人情報等の漏えいについて(お詫び) (慶應義塾大学湘南藤沢キャンパス, 9/19)
》 Trend Micro社製 macOS/iOSアプリがApp Storeから一時公開停止されている件について (トレンドマイクロ)。10 月になりましたが、更新は 9/20 で止まってますね。
停電情報 (中部電力)
<台風24号大規模停電>飛来物や倒木が主原因、広域で同時多発 (静岡新聞, 10/2 08:55)。この間の変化↓だよなあ。
市町村別停電戸数の記録(毎正時断面) 2018年9月30日22時00分 (中部電力)。愛知県: 約57,700戸、 静岡県: 約10,600戸
市町村別停電戸数の記録(毎正時断面) 2018年9月30日23時00分 (中部電力)。愛知県: 約213,200戸、 静岡県: 約135,200戸
市町村別停電戸数の記録(毎正時断面) 2018年10月1日0時00分 (中部電力)。愛知県: 約284,500戸、 静岡県: 約545,700戸
市町村別停電戸数の記録(毎正時断面) 2018年10月1日1時00分 (中部電力)。愛知県: 約285,100戸、 静岡県: 約599,700戸
静岡県内停電なお18万戸 台風24号被害、各地で断水も (静岡新聞, 10/2 15:53)
台風 静岡で停電長引く 水を使えない地区も (朝日, 10/2 20:00)
<台風24号>復旧、困難極める 中電「1分でも早く」 (静岡新聞, 10/3 07:10)
<台風24号>静岡県内停電、4日までに復旧 一部ずれ込みも (静岡新聞, 10/3 12:34)
台風24号 停電、延べ119万戸 平成で最大 中部電 (毎日, 10/3)
》 空港でスマホやPCと共にパスワードまで提出するよう求める法律が新たに施行 (gigazine, 10/3)。ニュージーランド。
》 「Windows 10」October 2018 Updateの提供がスタート、作業は不要で準備完了時に通知アリ (gigazine, 10/3)
》 North Korean Malicious Cyber Activity (US-CERT, 10/2)
》 フィッシング対策セミナー 2018 開催のご案内 (フィッシング対策協議会, 8/2)。2018.11.02、東京都品川区、無料。
》 ページング ファイル サイズの推奨設定とその背景について (Ask CORE, 10/2)
》 スタートアップ時タスクの実行に失敗する問題について (Ask CORE, 9/28)
Firefox 62.0 / ESR 60.2.0 公開 (2018.09.06)
Firefox 62.0.3 / ESR 60.2.2、Android 版 Firefox 62.0.3 公開 (2018.10.02)。セキュリティ修正を含む。
MFSA 2018-24 - Security vulnerabilities fixed in Firefox 62.0.3 and Firefox ESR 60.2.2 (Mozilla, 2018.10.02)
》 ITプロフェッショナルのためのWindowsトラブル解決コマンド&テクニック集 (日経 BP)。10/16 発売予定。 著者によると、 「この書籍は紙のみで販売されます。電子書籍は出ません」だそうです。
》 SIPサーバの探索と考えられるアクセスの増加等について (警察庁, 9/28)
》 マイクロソフトのセキュリティ エクスペリエンスを共有 (Japan Windows Blog, 9/27)
データ損失のほとんどは、パスワードのハッキングによって起こります。もうパスワードとは決別しましょう。Microsoft Authenticator アプリにより、Azure AD に接続された日常的に業務で使用する多数のアプリにおいて、パスワード不要でログインできるようになりました。マイクロソフトはどこよりもパスワードの廃止に力を入れています。
》 「JDK 11」リリース、初となる長期サポート(LTS)版 (OSDN, 9/27)
》 Yahoo!ジオシティーズ サービス終了のお知らせ (Yahoo!ジオシティーズ)。2019.03.31 で基本的には終了。
》 DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ) (総務省, 10/2)。ルートゾーン KSK ロールオーバーの件。
》 IPレピュテーションでウェブアプリへの攻撃は防げるか (Scutum, 10/1)。防げない。
》 福島信金HP改ざん 不正サイト誘導 被害確認されず (福島民報, 10/2)。9/26 午前に確認だそうで。
》 祝RFC!Transport Layer Security (TLS) 1.3 発行の軌跡 ~熟成された4年間の安全性解析~ (lepidum, 10/1)
》 After installing or updating to Endpoint Protection 14.2, Protection Engine 7.5 and later no longer update virus definitions automatically as expected (Symantec, 8/10)。14.2 MP1 で対応ですか。
》 macOS Mojave 10.14 Support? (Symantec, 9/26)。まもなく登場予定? の SEP 14.2 MP1 で対応?
》 関西インターネット老人会 (connpass)。2018.10.14、京都府京都市、一般1000円・学生無料。「1990年前後の話」 が中心のようです。 UNIX 戦争 華やかりし頃ですか。 Morris worm が 1988 年です。
》 沖縄県知事選挙、玉城デニー氏が当選 (9/30)。 おめでとうございます。
沖縄県知事選 (NHK)
「政権に明確なノー」 玉城氏、改めて辺野古認めぬ姿勢 (朝日, 10/1)
データで見る「沖縄の民意」 世論調査と出口調査から分かる7つのこと (米重克洋 / Yahoo, 10/1)
沖縄県知事選 玉城デニー氏が初当選 「菅官房長官と小泉進次郎氏の演説で失敗」(自民党幹部) (今西憲之 / AERA dot., 9/30)
ネット右翼に足を引っ張られた佐喜眞候補【沖縄県知事選挙 現地レポ~敗北の分析】 (古谷経衡 / Yahoo, 10/1)
【沖縄県知事選挙】学会員、実は「4割が玉城に投票」 自公崩壊の序曲 (田中龍作, 10/2)
Jenkins Security Advisory 2018-09-25 (Jenkins, 2018.09.25)
Django security release issued: 2.1.2 (Django, 2018.10.01)
Security updates available in Foxit Reader 9.3 and Foxit PhantomPDF 9.3 (Foxit Software, 2018.09.28)。多数のセキュリティ欠陥を修正。
日本語版も 9.3 になったようです。
フリーのPDFソフト「Foxit Reader 9.3」日本語版が公開 ~アクセシビリティを強化 (窓の杜, 2018.10.12)
Advisory (ICSA-18-270-02) Fuji Electric Alpha5 Smart Loader (ICS-CERT, 2018.09.27)。未修正。
ZDI-18-1087 - (0Day) Fuji Electric Alpha5 Smart Loader A5P File Parsing Buffer Overflow Information Disclosure Vulnerability (ZDI, 2018.09.26)
ZDI-18-1088 - (0Day) Fuji Electric Alpha5 Smart Loader C5V File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability (ZDI, 2018.09.26)
関連: ALPHA5 (富士電機)
Advisory (ICSA-18-270-03) Fuji Electric FRENIC Devices (ICS-CERT, 2018.09.27)。未修正。
ZDI-18-1084 - (0Day) Fuji Electric FrenicLoader FNC File Parsing Stack-based Buffer Overflow Remote Code Execution Vulnerability (ZDI, 2018.09.26)
ZDI-18-1085 - (0Day) Fuji Electric Frenic Loader FNC File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability (ZDI, 2018.09.26)
ZDI-18-1086 - (0Day) Fuji Electric Frenic Loader FNC File Parsing Buffer Overflow Remote Code Execution Vulnerability (ZDI, 2018.09.26)
関連: 低圧インバータ (富士電機)
Adobe Acrobat / Reader for Windows / Mac 更新。86 件のセキュリティ修正。 Priority Rating は 2 なので 0-day ではないっぽいのだが。
前回の更新 Security bulletin for Adobe Acrobat and Reader | APSB18-34 と Bulletin 番号が逆転しているのは何故なのだろう。
》 アベノミクス最重要統計の「賃金伸び率」水増し捏造が「統計委員会」に指摘されてしまう (Buzzap!, 9/30)、 厚労省の賃金統計「急伸」 実態表さずと認める 政府有識者会議 (東京, 9/29)
》 日産・スバル「完成検査不祥事」と「カビ型不正」の“恐ろしさ” (郷原信郎 / Yahoo, 9/30)
》 オウム真理教が信者獲得に成功した「先進的なプロパガンダ」 あまりに多種多様な布教の方法 (辻田 真佐憲 / 現代ビジネス, 7/19)
》 災害対応こそ「防衛」の最優先課題(加藤直樹) (加藤直樹 / アジアプレス, 7/27)
投資用不動産ローン等の問題について (スルガ銀行)
第三者委員会の調査報告書の受領と今後の当社の対応について (スルガ銀行, 9/7)
「オマエの家族皆殺し」スルガ銀、上司による壮絶な恫喝 (朝日, 9/8)
スルガ銀行 会長、社長ら取締役5人辞任 不正融資で引責 (毎日, 9/8)
スルガ銀行 有国社長一問一答「過度なプレッシャー原因」 (毎日, 9/8)
被害弁護団声明(スルガ銀行株式会社第三者委員会調査報告書を受けて) (スルガ銀行・スマートデイズ被害弁護団, 9/7)
スルガ銀行は「不正・不適切融資事例の教科書」~第三者委員会報告より~ (銀行員のための教科書, 9/8)
スルガ銀行の強みは実質的に貸出の「無」審査に支えられていたという事実~第三者委員会報告から~ (銀行員のための教科書, 9/9)
スルガ銀行問題の本質は「見て見ぬふりをする企業風土」か~第三者委員会報告より~ (銀行員のための教科書, 9/9)
スルガ銀行のパワハラ等問題事例はかなりスゴい~第三者委員会報告書より~ (銀行員のための教科書, 9/10)
スルガ銀行不正“ブリンカー社員化”の構図 (郷原信郎 / Yahoo, 9/10)
「取締役等責任調査委員会」及び「監査役責任調査委員会」の設置について (スルガ銀行, 9/14)
スルガ銀行、担当弁護士が次々に辞める理由 被害弁護団との交渉決裂で、株主代表訴訟か (東洋経済, 9/14)
不正まみれのスルガ銀行が抱える2つの難題 悪いことをした者同士で本当に変われるのか (東洋経済, 9/25)
金融庁、不動産向け融資の監視強化 スルガ銀問題を念頭 (朝日, 9/28)
給料地銀トップ!スルガ銀行「結果につなげる経営会議」はここが違う 地銀壊滅時代に5期連続の最高益更新 (現代ビジネス, 2017.09.22)。たった 1 年前の記事。 「同行で社外取締役を務める元マイクロソフト日本法人社長の成毛眞氏が語る」という文字列に戦慄。
》 その男、小堀邦夫 (第十二代靖国神社宮司)。 宮司 = 靖国トップです。
「陛下は靖国を潰そうとしてる」靖国神社トップが「皇室批判」 (NEWS ポストセブン, 9/30)
ツイート:
◆天皇陛下「慰霊の旅」を批判した靖国神社宮司音声データを公開https://t.co/lwRun6Kg3C
— News MagVi (@News_MagVi) 2018年9月30日
雑誌のニュースを動画で!「News MagVi」
リツイート・コメント大歓迎!#靖国神社 #小堀邦夫宮司 #皇室 pic.twitter.com/iopxuZZGcE
関連:
靖国神社・元ナンバー3が告発した「靖国が消える日」の真意 (現代ビジネス, 2017.08.03)
宮司個人の意向で、靖国神社のあり方を変えることが可能である。実際、みたままつりにおける露店の中止は、その具体的な現れであり、『靖国神社が消える日』の著者は、その点を強く危惧している。
台風24号、爪痕あらわ 静岡県内10人重軽傷、停電66万戸 (静岡新聞, 10/1 14:35)、 静岡県で大規模停電続く 43万戸余 完全復旧には数日 (NHK, 10/1 16:31)。うわあ……。
<台風24号>暴風吹き荒れる 静岡県内、倒木や車横転相次ぐ (静岡新聞, 10/1)
ブラックサンダー、台風で生産停止 停電が続く愛知 (朝日, 10/1)
相沢記者が語る「森友事件の本質」と「移籍の思い」 (大坂日日新聞, 9/28)
森友事件で私が特ダネニュースを出した後に報道局幹部が激怒したこと、別の特ダネを出す際に圧力があったことは事実です。「近畿財務局が国有地売却前に森友学園側から、支払える上限額を聞き出し、その金額以下で売った」というニュースを放送しましたが、放送後、私の上司に報道局幹部から、なぜこのニュースを報じたのかという怒りの電話がかかってきました。
「財務省が学園側に対し、実際にごみを大量に撤去したように説明してほしいと口裏合わせを求めていた」というスクープニュースを出すに当たっては、報道局幹部の了解を取り付けるためにハードルの高い取材を求められ、全てをクリアして放送する直前に、情報が野党に漏れているという理由であやうく放送がボツになりかけました。しかも、特ダネなのにニュース7の一番最後の項目という扱いでした。何かに忖度したとしか言いようがありません。
森友問題 公文書改ざん 自殺職員の父が語る遺書の中身 (TV東京 ゆうがたサテライト, 9/25)。TV 東京のスクープ。
森友・改ざん問題は終わってない! 近畿財務局元職員らが実名・顔出しで告発「佐川さん、嘘ついたらあかん」 (リテラ, 9/26)
「財務省なんかやめときゃよかったんや」 自殺職員の父 (朝日, 9/28)。後追いするのもだいじ。
》 デマの温床netgeekに捏造デマと名誉毀損と営業妨害されたので自分なりのやり方で百倍返ししてみるわ。 (More Access! More Fun!, 9/29)。永江一石氏、デマサイト netgeek の運営者情報に対して 20 万円の賞金提供を宣言。
そういえば、↓の件に対して木島氏を当たり屋呼ばわりしていたのも netgeek でしたね。
》 車いすの飛行機搭乗 設備用意を航空会社に来月から義務づけ (NHK, 9/29)。今日から、ということでいいのかな。 バニラ・エアの件 から約 16 か月、ようやくここまで来ました。
》 アップルのシステムをハッキングした少年、保護観察処分に (CNET, 9/28)。オーストラリア。「初めてアクセスに成功した時は16歳」「有罪とはならず、8カ月の保護観察処分」
Facebook の View As(プロフィールのプレビュー)機能に欠陥があり、他人のアクセストークンを取得できてしまった模様。流出した約 5000 万アカウントのアクセストークンをリセット。 さらに、この 5000 万アカウントとは別に、昨年 View As された約 4000 万アカウントについても、予防措置としてアクセストークンをリセット。 これらのユーザーからは、強制ログアウトされたように見える。
関連:
Security Update (Facebook, 2018.09.28)。オフィシャル情報。
Facebookの5,000万人分の情報流出について、いま知っておくべきこと (WIRED, 2018.09.29)
続報:Facebookの情報流出は、外部サイトを巻き込む“大惨事”に発展する (WIRED, 2018.09.29)。Facebook を使って認証しているサイトはたくさんあるからなあ。
盗まれたアクセストークンを、外部サイトがいつまで受け入れるのかは明確になっていない。また、攻撃者がアクセストークンを使って外部サイトにログインすることが、どこまで難しいのかも同様に明らかになっていない。
フェイスブックは同時に、脆弱性の影響を受けたユーザーのアカウントについて、外部サイトへのログインを無効化した。つまり、もしあなたが影響を受けた可能性がある9,000万人に含まれるなら、例えばInstagramからFacebookにも写真を投稿するような機能は、パスワードを変更しないと使えなくなる。
あらゆる外部サーヴィスのアカウントが実際に“攻撃”された事実があるのかについて、フェイスブックはまだ確認できていない。また、どのようなデータをハッカーが持ち逃げした可能性があるのかについても、具体的には明らかになっていない。この脆弱性は2017年7月には存在していたが、攻撃者がどの程度の期間これを利用していたのかについても、フェイスブックは明かさなかった。だが、最大で見積もれば14カ月に達することになる。
関連:
Facebook長谷川氏、約5000万人の情報流出を謝罪--対策状況を説明 (CNET, 2018.10.02)
Facebook、情報流出問題でサードパーティーアプリへのアクセスの形跡なし (CNET, 2018.10.03)
Facebook Login Update (Facebook, 2018.10.02)
Facebookはユーザーの安全を確保できない (techcrunch, 2018.10.03)
An Update on the Security Issue (Facebook, 2018.10.12)。
欠陥が存在したのは 2017.07〜2018.09
攻撃者の活動を 2018.09.14 に検知。2018.09.25 に攻撃であると断定し、欠陥を発見。続く 2 日で欠陥の修正と攻撃の遮断、アクセストークンのリセットを実施。
攻撃者は、あらかじめ支配下に置いた複数のアカウントを元に、その友人、またその友人へと自動化された攻撃を実施してアクセストークンを取得。合計 40 万アカウントに達した。この 40 万アカウントについては、自動攻撃の過程でアカウントの Facebook プロフィールを参照されている。That includes posts on their timelines, their lists of friends, Groups they are members of, and the names of recent Messenger conversations だそうで。
攻撃者は、上記の 40 万アカウントを元に、3000 万アカウントのアクセストークンを取得。 このうち 1500 万については、名前と連絡先詳細 (phone number, email, or both, depending on what people had on their profiles) を取られた。 1400 万については、名前と連絡先詳細に加えてプロフィールの詳細情報も (username, gender, locale/language, relationship status, religion, hometown, self-reported current city, birthdate, device types used to access Facebook, education, work, the last 10 places they checked into or were tagged in, website, people or Pages they follow, and the 15 most recent searches)。 残り 100 万については、他には何も取られてない (アクセストークンだけ)。
過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)