![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Aug 23 19:20:52 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 知らぬ間にネット履歴分析、着々 リクナビ問題の本質 (朝日, 8/21)
リクナビでの閲覧履歴の分析のように、ネット上の閲覧や検索、購買などの履歴や位置情報、性別、年齢などの様々なデータを集めてコンピューターが分析し、特定個人の好みや能力、行動などを予測することをプロファイリングと呼ぶ。
プロファイリングについて、法的にはどう規定されているのか。日本では個人情報保護法に明確な規定がなく、企業は個人情報を使ってプロファイリングしているかどうかを明示する必要がないのが現状だ。慶応大の山本龍彦教授(憲法)は「対応が遅れている」という。
一方、欧米ではプロファイリングを法的に規律する動きが進む。欧州連合(EU)の個人情報保護を定めた「一般データ保護規則(GDPR)」では、プロファイリングされることに異議を唱える権利や、自動処理のみによって重要な決定を下されない権利が明記されている。来年施行される米カリフォルニア州の「消費者プライバシー法」では、消費者に関する「推論」が個人情報に含まれている。
》 AWS東京リージョンで障害、EC2やRDSに影響 (CNET, 8/23)、 AWSの東京リージョンに障害発生 ゲームからWebサービスまで大きな影響 (ascii.jp, 8/23)。13 時ごろからだそうです。継続中。
関連:
AWS 東京リージョンで発生した大規模障害についてまとめてみた (piyolog, 8/23)
ツイート:
レンタルサイクルでラーメンを食べに行ったらAWSがダウンしたせいで電子鍵が開かなくなり、ラーメン屋から出られないバグが発生しました。 pic.twitter.com/PQ4mVbDg31
— ③⑧③⑤ (@daiki3835) August 23, 2019
》 グーグル、アップル、モジラがカザフスタン政府発行の証明書ブロック--市民のネット利用監視か (ZDNet, 8/22)、 Protecting Chrome users in Kazakhstan (Google, 8/21)
》 ジュネーブ諸条約70周年記念シンポジウム:「人道への挑戦」~自律型兵器の発展と人間による制御 (赤十字国際委員会 ICRC, 8/13)。2019.09.07、東京都目黒区、たぶん無料。
》 タッチ操作は使いにくかった? 米海軍が駆逐艦の操作を“アナログ”に戻す決断の教訓 (WIRED, 8/21)。ジョン・S・マケインの件。
NTSB Accident Report on Fatal 2017 USS John McCain Collision off Singapore (USNI, 8/6)。事故調査報告書が公開されています。
米海軍が駆逐艦からタッチパネルを撤廃、旧来のスロットル操縦に戻す (engadget, 8/12)
》 町山智浩 Netflix『ブラジル-消えゆく民主主義-』を語る (miyearnZZ Labo, 7/16)
》 独自の画像処理解析でリアルタイムに危険な状況を示す監視システムを開発 第1弾として、森ビル株式会社が推進する施設の機械式立体駐車場に導入予定 (大日本印刷, 8/20)。事故防止が主眼みたい。
》 Twitter・Facebookに続いてYouTube上でも「香港デモの情報操作」を検出したとGoogleが公表 (gigazine, 8/23)
》 LinkedIn、2019年上半期に2160万件の偽アカウントを停止 (ZDNet, 8/22)
》 Microsoft、Linux Foundation、Alibabaなどがクラウドセキュリティ業界団体設立 (ITmedia, 8/22)。Confidential Computing Consortium (CCC)。 メンバーは「Alibaba、Arm、Baidu、Google Cloud、IBM、Intel、Microsoft、Red Hat、Swisscom、Tencent」。Amazon がいない。
》 ローソン、「深夜に店員ゼロ」を実験へ QRコードで入店、セルフレジで決済 遠隔監視で万引き防止 (ITmedia, 8/22)。「ローソン氷取沢町店」(横浜市)で、8/23 から。
rest-client をはじめとする 11 の Ruby ライブラリが改ざんされ、バックドアを仕掛けられていたのだそうで。
この攻撃を実行した人物は、1カ月以上前から活動していたが、その活動は発見されずにいた。
しかし、このハッカーがあるrest-clientの開発者のRubyGemsアカウントへのアクセスを獲得し、このアカウントを使用して悪質なバージョンのrest-clientをRubyGemsにプッシュすると、状況は変わった。
これまで1億1300万回もダウンロードされている有名なプロジェクトをターゲットにしたことで、このハッカーの活動は明るみになり、問題のライブラリは、rest-clientのライブラリに悪質なコードが発見されてから数時間以内に削除された。
“多くの目”はひきつづき有効ということかな。
関連: 週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか (TechRacho, 2019.08.21)
Webmin 1.882〜1.921 に、無認証で remote から任意のコードを実行できる欠陥。 特に Webmin 1.890 においては、デフォルト設定で欠陥が有効。 その他においては、user password change オプションを有効にした場合に欠陥が発現。 CVE-2019-15231
Webmin 1.930 で修正されている。また Webmin 1.900〜1.920 の場合は、 /etc/webmin/miniserv.conf から passwd_mode= 行を削除した後に /etc/webmin/restart することで回避できる。
Webmin 1.930 and Usermin 1.780 released (virtualmin.com, 2019.08.17)
Security Alerts (Webmin)
Webmin <= 1.920 - Unauthenticated RCE (Pentest Blog, 2019.08.10)
Hackers Planted Backdoor in Webmin, Popular Utility for Linux/Unix Servers (Hacker News, 2019.08.20)
The year-long rash of supply chain attacks against open source is getting worse (ars technica, 2019.08.21)
Webmin 0day remote code execution (firo solutions blog, 2019.08.17)
初報は FLIDAY?
東北道 佐野SAの運営会社が倒産危機で棚が空っぽの異常事態 (FLIDAY, 8/11)
日刊スポーツがいちばんきちんと報じている感じ。
営業停止の佐野SA泥沼背景「来るべくしてきた」 (日刊スポーツ, 8/14 20:04)
佐野SAでストライキ突入、売店など一斉にストップ (日刊スポーツ, 8/14 20:10)
営業停止の佐野SA、交渉ないまま社長会見に不信感 (日刊スポーツ, 8/16 00:41)
佐野SA再開めど立たず 職員がカレーなど販売も… (日刊スポーツ, 8/16 22:11)
名物ラーメン再開も従業員無念「違う味」佐野SA (日刊スポーツ, 8/16 22:11)
スト発生から2日後の16日、営業を一部再開し、名物「佐野ラーメン」の提供が始まった。(中略) ただ、店頭に立ったのは運営会社「ケイセイ・フーズ」のストライキを起こした従業員たちではなかった。関係者によると、お盆休み中の同社社員や付き合いのある関係者で、佐野ラーメンを提供したのも別業者だという。 (中略) ストを起こした従業員たちも同日、取材に応じ「今、提供されている佐野ラーメンは、私たちのものとは違う味になっている」と反発した。
材料も調理人も別ものですか。名ばかり佐野ラーメン。
佐野ラーメン復活も労使の溝深くスト問題長期化必至 (日刊スポーツ, 8/17 08:05)
佐野SAスト社員が公開質問状「融資凍結で経営危機」 (日刊スポーツ, 8/18 14:17)。根本原因の詳細が明らかに。
今回、質問状を公開したのは、スト前日の13日午後、岸社長に経営危機について追及、糾弾し解雇された、総務部長の加藤正樹氏。
まとめ
【佐野SA上り】佐野サービスエリア ケイセイ・フーズ社長の経営方針に反発の従業員がストライキで廃墟化 (NAVER まとめ, 8/14)
ストを起こした従業員に代わり臨時店員で営業再開した佐野SAの現状からわかる事『代わりはいくらでも居ない、という事を管理職は知るべき』 (togetter, 8/20)
ストライキそのものについて
正しいストライキのやり方について (鳥塚亮 / Yahoo / Google キャッシュ, 8/18)。 間違い多数の模様。 オリジナルは削除されている。
一方、こちらのものは、同様の内容ながらまだ削除されていないみたい: 正しいストライキのやり方 (いすみ鉄道前社長 鳥塚亮の地域を元気にするブログ, 8/18)
「正しいストライキのやり方について」の誤りについて (togetter, 8/19)
佐野SAストライキは「手続き違反」なのか? (今野晴貴 / Yahoo, 8/21)
報道について
佐野SA休止と再開の報道 何故かストライキであることを伝えないNHKとテレ朝 (togetter, 8/18)
東北道上り線佐野SA「スト」を報じるメディアに抱いた違和感 (ハーバー・ビジネス・オンライン, 8/22)
》 制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ (IPA, 8/2 更新)
》 唐澤貴洋弁護士の「あなたの名誉を守り隊」は、消費者を惑わす不誠実な広告サイト (悪徳商法?マニアックス ココログ支店, 8/19)
ICS Advisory (ICSA-19-227-02) Fuji Electric Alpha5 Smart Loader (ICS-CERT, 2019.08.15)。Loader software 4.2 で対応。
サーボシステム ALPHA5 資料ダウンロード (富士電機)
ICS Alert (ICS-ALERT-19-225-01) Mitsubishi Electric smartRTU and INEA ME-RTU (ICS-CERT, 2019.08.13)
JVNVU#97511331 - キヤノン製デジタルカメラにおける複数の脆弱性 (JVN, 2019.08.07)。多くは PTP コマンドに関するもの。
キヤノン製デジタルカメラにおけるPTP(画像転送プロトコル)通信機能およびファームウエアアップデート機能の脆弱性について (キヤノン, 2019.08.06)
ClamAV 0.101.4 security patch release has been published (ClamAV, 2019.08.21)。セキュリティ修正が含まれます。
VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion (2019.08.20)
About the security content of SwiftNIO HTTP/2 1.5.0 (Apple, 2019.08.13) と iida さんへの謝辞を追加。
2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)
SEP 14.2 RU1 MP1 (14.2.4814.1101) が MySymantec で公開されました。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック, 2019.08.22 更新)
- SEP 14.2 RU1 MP1(14.2.4814.1101)は MySymantec からダウンロードできます。
- SEP 14.2 MP1(14.2.1057.0103)英語版は、シマンテック社のテクニカルサポートにリクエストすることで入手できます。
- 14.2 MP1 の各国語版は 2019 年 8 月 22 日 (アメリカ時間) にシマンテックテクニカルサポートから入手可能になる予定です。
シマンテックソフトウェアの最新バージョンのダウンロード (シマンテック, 2019.08.09)。更新されてない。 client-only patch はビルド 4811 のまま。
Windows 7 で SEP 14.2 RU1 MP1 (14.2.4814.1101) にアップデートしたところ、こんな感じで更新プログラムが現れることを確認しました。
》 のんさんに何が起きているのか エージェントが語る圧力 (朝日, 8/20)
――福田さんの会社は、のんさんの個人事務所とエージェント契約を結んでいます。なぜ自社の所属タレントにしないのですか?
「ハリウッド型の、透明な契約にするためです。仕事ごとの契約金額自体や配分もタレントがわかるようになるし、僕のエージェントとしての働きが悪かったら、のんが僕をクビにすることもできる。一部の古い芸能事務所とタレントの間には、長年『雇っているから、言うことを聞かないとクビにするぞ』という一方的な力関係があった。タレント自身が、仕事の契約金額もわからない、上下関係があり、もの申せない……。『奴隷契約』です。僕はインドやアフリカの児童労働くらいひどいと思っています」
》 時代の風 「嫌韓」とは何なのか 国益なきストレス解消=藻谷浩介・日本総合研究所主席研究員 (毎日, 8/18)。本当になあ。
》 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月) (ScanNetSecurity, 7/23)、 通販サービス「ECオーダー」、システム障害で長期メンテナンス 個人情報流出の可能性も指摘 (ねとらぼ, 7/26)。匿名希望さん情報ありがとうございます (おもいっきり見逃していて、メールを整理していたら気がついた。すいません)。
メンテナンスのお知らせ (EC オーダー)。「再開は、8月中旬頃を予定」となってますが、まだ復旧していないようです。
#ecオーダー個人情報流出疑惑の件 (twitter)。ひきつづき被害が発生しているようです。
ゲーム通販サイト「CLUB HOBi」に不正アクセス、個人情報漏えいの可能性(ホビボックス) (ScanNetSecurity, 2011.10.18)。過去事例。
》 米政府、台湾に F-16 Block 70/72 (F-16V) 66 機を売却決定
F-16 (Lockeed Martin)。F-16 Block 70/72 は、F-35 を売れない国向けの最新鋭機って感じ。
台湾へF16売却、米議会に通知…超党派が支持 (読売, 8/21)
米 台湾へ新型F16戦闘機売却を正式決定 中国強く反発か (NHK, 8/21)。「売却を行うには議会の承認が必要です」
米中対立、台湾で先鋭化=新型F16売却「一線越える」 (時事, 8/18)。「空軍は旧型F16戦闘機144機についても順次、新型に改修する計画だ」。F-16A/B を F-16V 相当に改修する。
》 Twitter社の「ルール違反の判断」についての問題提起 (片瀬久美子, 8/8)。裁判所で中傷と認められるツイートを、twitter 社は中傷と認めない。
》 「北朝鮮による瀬取り」監視の実際のところ カナダ軍に聞く監視活動の流れ、その全貌 (稲葉 義泰 / 乗りものニュース, 8/19)
》 自律型致死兵器システム(LAWS)規制方面。 特定通常兵器使用禁止制限条約(CCW)の枠組みに基く。 2019 年 第 2 会期の政府専門家会合(GGE)を 8/20〜21 に開催。
特定通常兵器使用禁止制限条約 (外務省)
自律型致死兵器システム(LAWS)に関する政府専門家会合に対する日本政府の作業文書の提出 (外務省, 3/22)
論点 AI兵器の国際規制 (毎日, 8/16)
安全保障へ日本も備えを 佐藤丙午・拓殖大海外事情研究所副所長
早急に禁止条約作れ 土井香苗 国際NGOヒューマン・ライツ・ウォッチ日本代表
「自律型致死兵器」は問題 スチュワート・ラッセル 米カリフォルニア大バークリー校人類共存型人工知能センター所長
AI兵器が攻撃判断、禁止 国際ルール採択へ、法的拘束力は無し (朝日, 8/19)。草案に基づく記事。
「キラーロボット」:ロシアと米国が条約交渉に反対 武力行使における有意義な人間による制御を要件とする新法が必要 (ヒューマン・ライツ・ウォッチ, 8/19)
国連、殺人ロボ巡り報告書提出へ (西日本新聞 / 共同, 8/20)
中南米諸国などが法的拘束力のある条約などでの規制を求めているが、兵器開発を進める米国やロシア、イスラエルなどは反対の立場。
AI兵器規制の指針案採択へ=人間の関与明記 (時事 / 乗りものニュース, 8/21)
》 【コラム】「東京湾うんこまみれ問題」はどれだけ根深く深刻なのか、13年前から指摘も【東京オリンピック】 (Buzzap!, 8/20)。仕様だそうです。競技をやっちゃ駄目な場所、ということだよなあ。
関連:
五輪競技の海 水質向上作戦 お台場で「水中スクリーン」 都、検証重ね本番へ (日経, 7/30)。この記事の画像の「ごみなど」を「大便など」に変更した画像が twitter で出回っている。
会場となる水域周辺で五輪とパラリンピックの期間と重なる2018年の7月下旬~9月上旬に東京都などが調査を実施。何も対策を講じてない場合、調査できた27日間のうち15日間で大腸菌の数値が競技基準以下だったが、12日間は基準を超えた。場所や時間帯によって数値は異なるが、最大で基準の142倍になった。
そもそもそういう場所ですよ、と。うひぃ。
「うんこミュージアムTOKYO」が東京・お台場に爆誕!最先端ウンスタジェニックを体験してきました! (NaviTime, 8/16)。うそのような本当の話。
見直し必至、1年前の状況で散々な五輪会場。 (togetter, 8/17)。ここに示されているトライアスロンコース案、めちゃおもしろそうなので実現してほしい。 選手のみなさんも、これなら納得してくださると思う。
》 ラオガンマ製造工場が爆発炎上、12日後にも倉庫火災=全国的人気商品、日本にもファン―貴州省 (レコードチャイナ / livedoor, 8/19)。↓は 8/18 の火災の件。
中国メディアの澎湃などによると、高温のため倉庫屋根に使っていた可燃性の素材が自然発火したと見られているという。
8/6 にも火災が発生していたが、原因は異なる。
中国メディアの捜狐によると、同社は6日午前10時ごろにも、一部製品を製造する工場作業場で火災を発生させていた。トウガラシの廃棄物が燃え出し、引火した加熱装置が連続爆発したという。
》 常磐道あおり殴打事件でデマ拡散 「同乗の女」として無関係な女性を名指し (ITmedia, 8/19)
中国政府は香港デモについてSNS上で情報操作しているとTwitterやFacebookが公表 (gigazine, 8/20)
Twitter、香港デモ関連で中国政府が情報操作に使った疑いのある不正アカウントとツイートを開示 (ITmedia, 8/20)
Twitter、国営メディアの広告掲載を全面禁止 香港デモ問題で (ITmedia, 8/20)
これは、ソーシャルブックマークのPinboardが17日、Twitterに中国国営メディア新華社通信による香港デモに関する偏重した広告を掲載していると指摘したことを受けたものとみられる。
新華社、香港デモを非難するツイッター広告を出稿していた (MIT Technology Review, 8/20)
「香港を救うため国会に陳情してください」日経新聞に意見広告。現地の市民団体が日本にメッセージ (ハフポスト, 8/20)
》 米商務省、Huaweiへの輸出禁止猶予期間を90日間延長 関連企業46社をエンティティリストに追加 (ITmedia, 8/20)
》 ドコモもHuawei製スマホを発売 「安心して利用できると判断した」 米国の輸出禁止猶予期間延長で (ITmedia, 8/20)。Huawei P30 Pro。
結局これは何だったのか: NTT社長「同業者としておかしな取り組み」ファーウェイ製新型スマホ発売を批判 (サンスポ, 8/6)。澤田純社長。
ドコモ、ファーウェイ製スマホの予約再開 (日経, 8/20)。「ドコモは「NTTとは情報を共有し、当社で再開を判断した」としている」
》 無料の定番FTPクライアント「FFFTP」がv4.0へメジャーバージョンアップ (窓の杜, 8/20)
エフセキュア、F5 BIG-IPの重大な脆弱性について警告 (F-Secure, 2019.08.09)。iRule の書き方を間違えると、攻撃者は remote から悪の限りを尽くせるという話。
COMMAND INJECTION IN IRULES LOADBALANCER SCRIPTS (F-Secure, 2019.08.08)
SECURITY WHITEPAPER - iRule injection (F-Secure, 2019.08.13 公開)
FAQ (F-Secure, 2019.08.15)
VideoLAN、「VLC media player」v3.0.8をリリース ~脆弱性を修正 (窓の杜, 2019.08.20)
Apache HTTP Server 2.4.41 Released (apache.org, 2019.08.14)。iida さん情報ありがとうございます。
Changes with Apache 2.4.41 (apache.org, 2019.08.14)。 VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion の修正が含まれている。
「Apache HTTP Web Server 2.4」に複数の脆弱性、最新版へのアップデートを (窓の杜, 2019.08.19)
複数の HTTP/2 実装に DoS 攻撃を受ける複数の欠陥。iida さん情報ありがとうございます。 Affected として記載されているのは以下:
About the security content of SwiftNIO HTTP/2 1.5.0 (Apple, 2019.08.13) と iida さんへの謝辞を追加。
いろいろ (2019.08.09) Cylance PROTECT
Cylanceの検出を回避する手口が判明 「AIセキュリティ」は本当に安全か (Michael Heller / TechTarget, 2019.08.20)
「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)
「Firefox」v68.0.2が公開 ~5件の不具合と1件の脆弱性が修正 (窓の杜, 2019.08.19)、 Firefox 68.0.2、Firefox for Android 68.0.2 がリリースされた (MozillaZine, 2019.08.16)。リリースは 2019.08.14 付。
Firefox ESR 60.8.0 はこの問題の影響を受けない
VB の件、Windows 10 バージョン 1803 用の patch が出たそうです。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 4: v1803が修正。残すところv1903のみ] (ニッチなPCゲーマーの環境構築, 2019.08.20)
たくさん出ました。
Security Updates Available for Adobe After Effects | APSB19-31 (Adobe, 2019.08.13)
After Effects CC 2019 for Windows バージョン 16 以前の欠陥、16.1.2 で修正。Priority Rating: 3
Security Updates Available for Adobe Character Animator | APSB19-32 (Adobe, 2019.08.13)
Character Animator CC 2019 for Windows バージョン 2.1 以前の欠陥、2.1.1 で修正。Priority Rating: 3
Security Updates Available for Adobe Premiere Pro CC | APSB19-33 (Adobe, 2019.08.13)
Premiere Pro CC 2019 for Windows バージョン 13.1.2 以前の欠陥、 13.1.3 で修正。Priority Rating: 3
Security Updates Available for Adobe Prelude CC | APSB19-35 (Adobe, 2019.08.13)
Prelude CC 2019 fow Windows バージョン 8.1 以前の欠陥、 8.1.1 で修正。Priority Rating: 3
Security updates available for Creative Cloud Desktop Application | APSB19-39 (Adobe, 2019.08.13)
Creative Cloud Desktop Application for Windows/macOS バージョン 4.6.1 以前に 4 件の欠陥、 4.9 で修正。Priority Rating: 2
Security bulletin for Adobe Acrobat and Reader | APSB19-41 (Adobe, 2019.08.13)
Acrobat / Reader for Windows/macOS に 76 件の欠陥、以下のバージョンで修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.012.20036 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30144 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30499 |
Priority Rating: 2
Security updates available for Adobe Experience Manager | APSB19-42 (Adobe, 2019.08.13)
Experience Manager 6.4, 6.5 にリモートからのコードの実行を許す欠陥。 HotFix が提供されている。 Priority Rating: 1
Security updates available for Adobe Photoshop CC | APSB19-44 (Adobe, 2019.08.13)
Photoshop CC for Windows/macOS 19.1.8 以前 / 20.0.5 以前に 34 件の欠陥、 19.1.9 / 20.0.6 で修正。 Priority Rating: 3
出ました。 IE / Edge, Windows, Office, ChakraCore, Visual Studio, Online Services, Active Directory, Microsoft Dynamics
リモートデスクトップ方面のヤバい欠陥の修正が含まれるのだそうで:
Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182) (MSRC, 2019.08.13)
Microsoft's August 2019 Patch Tuesday Fixes 95 Vulnerabilities (BleepingComputer, 2019.08.13)
Microsoftが8月の月例パッチ公開、危険度の高いリモートデスクトップの脆弱性などを修正 (クラウド Watch, 2019.08.14)
ただし、セキュリティ更新を適用すると VisualBasic 方面でマクロやアプリが動作しなくなる不具合が発生。Windows 7 / 8.1、Windows 10 バージョン 1507 / 1607 / 1703 / 1709 / 1809、Windows Server 2008 R2 / 2012 / 2012 R2 / 2019 には patch が用意されている。 Windows 10 バージョン 1803 / 1903 用 patch はまだ出ていない。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 3: v1903 / v1803以外修正] (ニッチなPCゲーマーの環境構築, 2019.08.18)
Microsoft、8月のWindowsパッチが原因でVB6/VBA/VBScriptが動作不能になる問題を修正 「Windows 10 バージョン 1803」と「Windows 10 バージョン 1903」を除く (窓の杜, 2019.08.19)
上記 patch は、手動での個別ダウンロード・適用が必要みたい。
また、今回から Windows 7 / Server 2008 R2 用 patch の署名が SHA-2 のみになったが、Symantec Endpoint Protection においてこれに伴う不具合が発生している模様。 patch はまだ出ていない。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック)
2019 年 8 月 14 日 — KB4512486 (セキュリティのみの更新プログラム) (Microsoft)
マイクロソフトと Symantec は、デバイスで Symantec または Norton のウイルス対策プログラムを実行中であり、SHA-2 証明書のみで署名された Windows 用の更新プログラムをインストールしているときに発生する問題を特定しました。 Windows の更新プログラムが、インストール時にウイルス対策プログラムによってブロックまたは削除され、それによって Windows が動作しなくなることや起動に失敗することがあります。
この書かれ方だと、Norton シリーズでも不具合が発生している模様。
マイクロソフトは、影響を受けるバージョンの Symantec Antivirus または Norton Antivirus がインストールされているデバイスに一時的にセーフガードを設定し、解決策を利用できるようになるまでこの種類の Windows 更新プログラムを受け取らないようにしました。 解決策を利用できるようになるまでは、影響を受ける更新プログラムを手動でインストールしないことをお勧めします。
待つしかなさそうです。
Does Windows Update SHA2 problem affect SEP 12.1.x? (Symantec Connect)
Symantec cannot handle SHA-2 and breaks Windows 7 and Server 2008 R2 (ZDNet, 2019.08.14)
その他、不具合まとめ:
【アプデ/7/8.1】 WindowsUpdate 2019年8月度 注意事項と各KBメモと直リンク [Update 7: その他の留意事項] (ニッチなPCゲーマーの環境構築, 2019.08.19)
VB の件、Windows 10 バージョン 1803 用の patch が出たそうです。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 4: v1803が修正。残すところv1903のみ] (ニッチなPCゲーマーの環境構築, 2019.08.20)
SEP 14.2 RU1 MP1 (14.2.4814.1101) が MySymantec で公開されました。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック, 2019.08.22 更新)
- SEP 14.2 RU1 MP1(14.2.4814.1101)は MySymantec からダウンロードできます。
- SEP 14.2 MP1(14.2.1057.0103)英語版は、シマンテック社のテクニカルサポートにリクエストすることで入手できます。
- 14.2 MP1 の各国語版は 2019 年 8 月 22 日 (アメリカ時間) にシマンテックテクニカルサポートから入手可能になる予定です。
シマンテックソフトウェアの最新バージョンのダウンロード (シマンテック, 2019.08.09)。更新されてない。 client-only patch はビルド 4811 のまま。
Windows 7 で SEP 14.2 RU1 MP1 (14.2.4814.1101) にアップデートしたところ、こんな感じで更新プログラムが現れることを確認しました。
すいません、法定点検に伴う停電により 09 時くらいから 17 時くらいまで止まってました。
》 あのSuica事案が国立大入試問題になっていた (高木浩光@自宅の日記, 8/3)
》 脆弱性に対するヤフーの取り組みについて (Yahoo! JAPAN デベロッパーネットワーク, 8/7)
》 ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた (piyolog, 8/1)
》 平塚市元職員による個人情報持ち出しと選挙活動への利用疑惑についてまとめてみた (piyolog, 8/9)、平塚市議が個人情報持ち出し 選挙利用か (中日, 8/8)。渡部亮市議(40)。
》 SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた (piyolog, 8/6)
》 露ハッカー集団がプリンターなどから企業に侵入--マイクロソフトが警告 (CNET, 8/7)。こういうの、あいかわらずあるんですね。 そりゃああるよなあ。
》 IPA「情報セキュリティ白書2019」PDF版の無料公開開始! AIやIoTなどをテーマに解説 (Internet Watch, 8/8)
》 ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル (ブルームバーグ, 8/9)。107億ドル、現金で、だそうで。うひー。
7 月の頭に話題になったあと、
シマンテック、Broadcomが買収を検討中との報道--5月にはCEO辞任など (ZDNet, 7/4)
ブロードコムによるシマンテック買収交渉が進んでいるとの報道 (Publickey, 7/5)
打ち切り説も出ていたようですが、
シマンテック株急落、ブロードコムとの合併協議打ち切りと関係者 (ブルームバーグ, 7/15)
結局、現金 107 億ドルで合意ですか。
Broadcom、Symantecの法人向けセキュリティビジネスを107億ドルで買収 (クラウド Watch, 8/9)
取引の完了後、BroadcomはSymantecのブランド名を引き継ぎ、これらのセキュリティソリューションを自社のポートフォリオに組み込む予定だ。Nortonなどをはじめとするコンシューマ向けブランドは、引き続きSymantec社が展開すると見られている。
うわ、ややこしや。
Karma でも大活躍したという iMessage についての記述量が圧倒的に多いのが興味深い。
Chrome 76.0.3809.100 公開。4 件のセキュリティ修正を含む。
Multiple vulnerabilities in Jenkins plugins (oss-sec ML, 2019.08.07)
Security issues in various deepin D-Bus services and tools (oss-sec ML, 2019.08.05)
[CVE-2018-11782, CVE-2019-0203] Apache Subversion svnserve vulnerabilities (Apache, 2019.07.31)。Subversion 1.12.2, 1.10.6, 1.9.12 で修正。
Django security releases issued: 2.2.4, 2.1.11 and 1.11.23 (Django, 2019.08.01)
「PostgreSQL 11.5」リリース、4件のセキュリティ問題を修正 (OSDN, 2019.08.09)
ClamAV 0.101.3 security patch release and 0.102.0-beta have been published (ClamAV, 2019.08.05)
ClamAV 0.101.3 is a patch release to address a vulnerability to non-recursive zip bombs.
「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ (gigazine, 2019.07.05) の件の修正かな。
あと、同梱されている libmspack が 0.10alpha となり、0.9.1alpha 未満に存在した buffer overflow する欠陥が修正されているそうです。
サイランス製品にマルウェア検知回避の問題、アルゴリズム改良で対処 (ZDNet, 2019.08.05)
Cylance, I Kill You! (Skylight Cyber, 2019.07.18)
Resolution for BlackBerry Cylance Bypass (Cylance, 2019.07.21)
VU#489481 - Cylance Antivirus Products Susceptible to Concatenation Bypass (US-CERT, 2019.08.01)
JVNVU#98738756 - Cylance のアンチウイルス製品にマルウエア検知を回避される問題 (JVN, 2019.08.02)
ワークアラウンド(セキュリティ製品開発者向け)
セキュリティ製品開発においても、多層防御の考え方が重要です。機械学習によるマルウエア検知機能は基本的にファイルの改変にたいして脆弱であると考えられます。機械学習機能に加え、シグネチャベースやルールベースなど既存の手法も組み合わせてください。また、機械学習機能を実装したツールに対しては、CleverHans, Foolbox, Adversarial Robustness Toolbox など広く知られているツールを使って生成したデータ("adversarial example")を使ったテストを行ってください。
Cylanceの検出を回避する手口が判明 「AIセキュリティ」は本当に安全か (Michael Heller / TechTarget, 2019.08.20)
VMSA-2019-0012 - VMware ESXi, Workstation and Fusion contain out-of-bounds read/write vulnerabilities in the pixel shader functionality (VMware, 2019.08.02)。ESXi 6.0 は影響を受けない。
Symantec Endpoint Protection 14.x のすべてのバージョンの新機能 (Symantec, 8/6 更新)
Endpoint Protection 14.2 RU1 MP1 で修正された問題とコンポーネントのバージョン (Symantec, 8/6 更新)
リリース済みの Symantec Endpoint Protection のバージョン情報 (Symantec, 7/6 更新)。まだ更新されてないっぽい。
macOS 10.14.5 以降については、 14.2 RU1 (リフレッシュ) 以降でないと対応していないそうで。 ややこしや。
Endpoint Protection クライアントと Mac との互換性 (Symantec, 8/5 更新)
》 LibreSSL 3.0.0 が 8/5 付で出ています。development release です。stable release の最新は 2.9.2 です。
》 京アニ放火、30秒後には危機的状況に 京大防災研が煙の流動シミュレーション (ITmedia, 8/6)
第1スタジオは建築基準法に基づき、らせん階段に防煙垂れ壁を設置するなど法令を順守した建物だったが、西野准教授は「法律にのっとった建築物でも、さまざまな火災の可能性を考慮し、自主的に火災安全性を高める工夫が必要だ」と指摘。その上で「吹き抜け空間を作る場合は、避難用の屋外階段や全周バルコニーを設置するなど、火災発生から早期に外に退避できるような設計が重要になる」と述べた。
オリジナルはこちら: 2019年7⽉18⽇に京都アニメーション第1スタジオで発⽣した放⽕⽕災の分析 (京都大学防災研究所, 8/2)
》 “Twitter”の「TLS 1.2」移行で「Tween」が接続不能に ~修正版のv1.7.4.0が公開(8月5日追記) (窓の杜, 7/30)
》 Amazon「Alexa」、従業員による音声データ解析を停止するオプション (Internet Watch, 8/6)
会話データの収集を停止するオプション自体は以前から存在しており、日本語版にも同様のオプションが設けられているが、今回その説明書きに、音声録音の一部が手動で解析される場合があるという文言が追加された
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
HongMeng(鴻蒙) OS、いよいよ登場?
Huawei、8月9日に「HongMeng OS」発表か 中国官営メディアが報道 (ITmedia, 2019.08.06)。 8/9 に Huawei Developer Conference 2019 が開催されるのですね。14:30 (GMT+8) からライブ中継だそうで。
ファーウェイ独自OS「HongMeng」搭載スマホ、今年後半に発売のうわさ (engadget, 2019.08.05)
その他
ファーウェイ、米研究開発スタッフを大量レイオフ。事実上の制裁措置で本社との連絡も困難に(WSJ報道) (engadget, 2019.07.16)
人員削減の報道から見えるファーウェイの苦境…独自のスマホOSも本音は間に合わない? (gizmodo, 2019.07.17)
いくらファーウェイを叩いても、中国は2040年「世界一の大国」になる (野口 悠紀雄 / 現代ビジネス, 2019.07.17)
ファーウェイ、イタリアに3年で3300億円投資へ (AFPBB, 2019.07.16)
ファーウェイがロシアで5G通信網開発へ (AFPBB, 2019.06.06)
ファーウェイのアフリカ進撃、米包囲網の脱出口となるか? (AFPBB, 2019.06.10)
スマートフォンの近未来巨大市場はアフリカと中東、そしてほぼ中国の独壇場 (techcrunch, 2019.07.31)
ファーウェイ、北朝鮮の3G網構築支援か。2016年には盗聴機能も (engadget, 2019.07.24)
Kubernetes v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249 (oss-sec ML, 2019.08.06)
セキュリティ修正を含みます。
PHP 7.3.8 ChangeLog (PHP, 2019.08.01)
PHP 7.2.21 ChangeLog (PHP, 2019.08.01)
PHP 7.1.31 ChangeLog (PHP, 2019.08.01)
NVIDIA製GPUのディスプレイドライバーに5件の脆弱性 ~修正版へのアップデートを (窓の杜, 2019.08.05)
security patch level 2019-08-01 および 2019-08-05。
》 Microsoft、「May 2019 Update」でディスプレイの輝度調整が反応しない問題を解決 累積的更新プログラム「KB4505903」で (窓の杜, 8/5)
この累積的更新プログラムでは、RASMANサービスがエラー“0xc0000005”で動作を停止する問題や、EIZOが指摘していたディスプレイの表示不具合なども解決されている。
》 大量のbotが作った「架空の交通渋滞」 イスラエルで起きたハッキングと人間の「反脆弱性」 (ITmedia, 8/5)
》 「小説ドラクエV」作者・久美沙織さん、映画ドラクエ製作委員会を提訴 「主人公の名前『リュカ』を無断で使用された」とクレジット求める (ITmedia, 8/5)。ひどいことするなあ。 別ものだと言いたいなら、ぜんぜん別の名前にすればいいだけなのに。 酷評されているオチの話も、根本は同じだと思う。 原作・派生作へのリスペクトが足りなさすぎ。
関連:
【悲報】映画ドラクエ、史上屈指の酷評「実写デビルマンとドラクエ映画、どっちか見るならデビルマン選ぶ」 (まとめまとめ, 8/3)。デビルマン越え……。
映画「ドラゴンクエスト ユア・ストーリー」、 山崎貴が人の心を折りにくると評判に (市況かぶ全力2階建)
映画『ドラゴンクエスト ユアストーリー』感想。というか罵倒。大人の作家的虚栄心のために子供の観客を踏みつけちゃダメ。 (CDBのまんがdeシネマ日記, 8/4)
あぁ、総監督・脚本: 山崎貴なのね。なるほどね。
あらためてしみじみ思う、MCU の偉大さ。
》 20人死亡のエルパソ乱射事件、「8chan」がまた犯行予告に利用された (ITmedia, 8/5)、 Cloudflare、8chanのサポートを停止 エルパソ乱射事件を受けて (ITmedia, 8/5)
》 1億人超の個人情報流出、容疑者はAmazon元従業員 クラウドセキュリティに不安の声も (ITmedia, 8/5)。Capital One の件。
》 対韓輸出規制「劇薬」のはずが文大統領への助け舟に (毎日 / Yahoo, 8/4)。本当になあ。
IMF(国際通貨基金)危機直後の金大中(キム・デジュン)政権で、日韓外交に関与した韓国外務省高官は (中略) 「韓国が守勢に立たされていた徴用工問題が変質した」とみる。今までは韓国最高裁判決は「国際法違反」と日本からの批判攻勢にさらされていたのに、輸出規制後は「日本こそ国際法違反」と国際社会に向けて反論できるカードを得たからだ。経済的には打撃だが、国際政治的には文大統領への「助け舟」になったというのだ。
》 円急騰、一時105円台 政府・日銀が緊急会合へ (日経, 8/5)。円安終了ですかね。
Symantec Endpoint Protection (SEP) および Symantec Endpoint Protection Small Business Edition (SEP SBE) に欠陥。権限上昇を招く欠陥がある。 「アプリケーションとデバイス制御」コンポーネントを削除することで回避できる。
SEP 14.2 RU1 および SEP SBE 12.1 RU6 MP10c (12.1.7491.7002) で修正されている。 SEP 12 系列にもこの欠陥があるが、SEP 12 系列の更新はリリースされないっぽい。
そういえば Chrome 76.0.3809.87 が出ていたのでした。43 件のセキュリティ修正を含みます。
》 あいちトリエンナーレに「安倍首相と菅官房長官の口をヒールで踏む作品」は誤り (BuzzFeed, 8/2)
就活生の「辞退予測」情報、説明なく提供 リクナビ 【イブニングスクープ】 (伴正春 / 日経, 8/1 18:00)
就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が、就活学生の「内定辞退率」を本人の十分な同意なしに予測し、38社に有償で提供していたことがわかった。個人情報保護法は、個人情報の外部提供に本人の同意取得を義務付けており、違反の恐れもある。個人情報保護委員会が事実関係の確認を始め、リクナビは7月末でデータ販売を休止した。
当社サービスに関する、一部の報道につきまして (リクルートキャリア, 8/1)
学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています。
つまり、合否の判定に活用できてしまうようなデータであると。
なお、本サービスは、2018年3月のサービス開始以降、38社に対して、試験的な運用を積み重ねてきました。
このように書かれると無償のテスト運用だったのかなと思ってしまうのだが、 上記日経記事には「38社に有償で提供」という記述がある。
リクナビ、就活生の内定辞退予測を販売 説明足りぬまま (朝日, 8/1 23:44)
リクナビが就活生の「辞退予測」情報を提供――選考の「辞退可能性」も5段階で判定していた (ITmedia, 8/1)
例えばA社に対しては、「現在A社を受けている学生」がどれだけA社の選考・内定を辞退しそうか、5段階で判定した結果を提供。判定にあたっては、「前年度にA社の選考・内定を辞退した学生」がリクナビ上でどんな行動を取っていたか――といったデータを、個人が特定されない形で活用・分析し、アルゴリズムを作成。現在A社を受けている学生の行動と照合していたという。
就活、問われるデータ管理 「辞退予測」に学生困惑 (日経, 8/2)
リクナビは約80万人の学生が登録する業界大手。学生がいつ、どの企業の情報をどれくらい見たかといった閲覧履歴から、企業ごとの「内定辞退率」を5段階で算定。学生の氏名を特定した状態で、データを定期的に利用企業に提供していた。利用料金は他の支援サービスと合わせて年400万~500万円程度だった。
リクナビ「内定辞退率」提供、人事は「のどから手が出るほどほしい」 (小原 擁 / 日経ビジネス, 8/2)
「期間を区切り、よーいドンで採用活動が始まると、採用日程もかぶるので、人材の取り合いになる。そんな中、50%の確率で内定辞退する人と、5%の確率で辞退する人が採用プロセスの段階で分かれば役に立つ。採用企業側としては、そのデータはのどから手が出るほどの価値があるし、データに基づいた採用戦略も立てられる。同じ評価の学生なら、(辞退する確率が)5%の学生の採用に注力するのが効率的だ」。人事業務の経験がある大手企業の社員はこう打ち明ける。
リクルート内定辞退予測データ販売事件で問われるHRTechの合法性 (cloudsign.jp, 8/2)
柴山昌彦文部科学大臣記者会見録(令和元年8月2日) (文科省, 8/2)
リクナビDMPフォローの一時休止についてまとめてみた (piyolog, 8/2)
》 京アニ放火犠牲者、警察が氏名公表 遺族了承後の10人 (朝日, 8/2)
犠牲者の公表に2週間余りかかった理由について、府警の西山亮二・捜査1課長は「実名公表に関し、個々の被害者のご遺族と、実名公表に反対している会社側の意向を丁寧に聞きながら、広報方法とタイミングについて慎重に検討を進めた結果」と説明した。
》 山市良のうぃんどうず日記(158): Windows 10トラブル“未”解決事例──スタートメニューに現れた「謎のショートカット」は見ないこと、見えないことに (@IT, 7/31)
「ms-resource:……」の謎ショートカットは、いつか解消されることを期待して、放置して無視すること――。壊れてもすぐに戻せる仮想マシン環境でいろいろ試してみた筆者の結論です。
》 Tech TIPS: 【Windows 10】不具合が発生した特定の更新プログラムだけを将来も非適用扱いにする (@IT, 8/1)
Microsoftが無償で提供しているトラブルシューティングツール「Show or hide updates」を使った特定の更新プログラムのブロック方法を紹介しよう。
》 Google、認証端末「Titanセキュリティーキー」を日本でも発売 6000円 (ITmedia, 8/1)。「Googleストアで販売されているのは、PCのUSBポートにさして使うものと、Bluetoothで接続して使うのものの2つがバンドルされている」
》 母親の旧姓、安易に他人に教えてない? 個人情報を教えてしまうハードルはどれぐらい? (山賀 正人 / Internet Watch, 8/1)
1 Million+ ProFTPD Servers Vulnerable To Remote Code Execution Attacks (fossbytes.com, 2019.07.25)
100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を (マイナビニュース, 2019.07.31)。Git リポジトリ上では既に修正されている。 リリース版はまだ。
EPEL など、mod_copy が含まれていない ProFTPd パッケージでは問題がない。 mod_copy が含まれているパッケージを使用している場合は、mod_copy を削除することで回避できる。
proftpd/contrib/mod_copy.c (GitHub)。2019.07.18 付で修正されている。
ProFTPd CVE-2015-3306 mod_copy脆弱性のメモ (watarin's memo, 2015.05.22)。mod_copy の昔の欠陥の解説だが、回避方法や検証方法などは参考になる。
PowerDNS Security Advisory 2019-06: Denial of service via crafted zone records (PowerDNS, 2019.07.30)。 CVE-2019-10203。 「Affects: PowerDNS Authoritative 4.0.0 and up, when using the gpgsql (PostgreSQL) backend」。4.2.0, 4.1.11, 4.0.9 では修正されているそうです。 ただし影響を受けるバージョンを利用している場合は、ソフトウェアの更新ではなく、 PostgreSQL スキーマの手動変更が必要だそうで:
Upgrading is not enough - you need to manually apply the schema change:
ALTER TABLE domains ALTER notified_serial TYPE bigint USING CASE WHEN notified_serial >= 0 THEN notified_serial::bigint END;
OpenSSL Security Advisory [30 July 2019] (OpenSSL, 2019.07.30)。Windows builds with insecure path defaults (CVE-2019-1552) (Severity: Low) だそうで。OpenSSL 1.1.1, 1.1.0, 1.0.2 に影響。 Low なので、次のリリース時に修正される。開発コードは既に修正されている。
iida さん情報ありがとうございます。
Security restrictions bypass in OpenSSL for Windows (cybersecurity-help.cz, 2019.07.30)。External links に git.openssl.org へのリンクがあります。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)
オムニ7アプリのソースが GitHub で公開されていた模様 (Business Insider が 7/24 付で報道)。
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか (Business Insider, 2019.07.24)
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。
以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。
「オムニ7」アプリのソースコードが流出、7payに続き新たな問題発覚 (日経 xTECH, 2019.07.24)
7iD、全ユーザーのパスワードをリセット (7/30)。
「7pay(セブンペイ)」に対する不正アクセスの件(第 5 報) 「7iD パスワード」の一斉リセットについて (セブン&アイ・ホールディングス, 2019.07.30)
【7pay への不正アクセスによる現時点での被害者数・金額】※株式会社セブン・ペイ認定
807 人/38,605,335 円
※2019 年 7 月 29 日(月)17:00 現在
※7 月中旬以降、新たな被害は確認できておりません。
7Pay 謎の全利用者パスワードリセットを実施 (楠 正憲 / comemo, 2019.07.31)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。(中略)
一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。(中略) 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定できない場合や、全利用者のパスワードハッシュが漏洩してしまって被害者を特定できない場合など、リスト型攻撃よりも深刻なバグまたは不正アクセスの被害が生じた場合に限られる。
ですよねえ……。
7payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7payの残高が消えたとの報告が相次ぐ (togetter, 2019.07.31)。ひどい。
7pay、9/30 でサービス終了を発表 (8/1)。
オフィシャル
7pay(セブンペイ)」サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について (セブン&アイ・ホールディングス, 2019.08.01)
2)直近の被害状況について
808 人 / 38,615,473 円(7 月 31 日 17:00 現在)
※なお、7 月中旬以降、新たな被害は確認されておりません。
7pay サービスは、9/30(月)をもちまして、すべてのサービスを終了させて頂きます (7pay, 2019.08.01)
「7pay」9月30日にサービス廃止、サービス継続は困難と判断 (Internet Watch, 2019.08.01)
7pay終了へ 記者会見の一問一答まとめ (ITmedia, 2019.08.01)
――2要素認証などの検討が十分じゃなかったのは、利便性を優先したためか
奥田:われわれとしては、利用状況をモニタリングする体制をしっかりできていれば大丈夫という判断だった。
事前に導入を検討したが不要と判断した、ということか?
――GitHubにソースコードが流出していたという報道もあるが
田口:ソースコードは15年秋のもの。ログイン形式などは直接書いていない。今のようなサービスは想定していなかったので、仮にそのままアプリケーションを再構築しても影響はない。管理不行き届きについてはおわびしたい。
なんだか軽いなあ。
わずか1カ月で終了決まった7pay 2段階認証にしなかった理由は? 緊急会見で語られたこと (ねとらぼ, 2019.08.01)
「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問 (井上翔 / ITmedia, 2019.08.01)
ただ、今回の説明には疑問も残る。1つは、「リスト型攻撃」では説明しづらい不正利用報告がある点だ。(中略) もう1つの疑問点が、7pay“以外”のサービスのセキュリティについての説明が不十分なことだ。
7pay廃止決定、セブン&アイを待つデジタル戦略の前途多難 (津久井 悠太 / 日経ビジネス, 2019.08.02)
「数千万回の攻撃受けた」セブンペイ終了会見が判然としない理由 (伊藤 有 / Business Insider Japan, 2019.08.02)
「7iDは十分なセキュリティ」、7payの二段階認証導入も「モニタリングで守れる」と判断し見送り――セブン&アイHDの開発体制 (磯谷 智仁 / Internet Watch, 2019.08.02)
悲惨の極みですが、コンビニ 24 時間営業問題における 7-11 経営陣の時代錯誤感と通ずるものを感じるんだよなあ。
あと、以下の件は、7pay 自身が終了しちゃうので、結果としてどうでもよくなっちゃいそう:
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点 (ITmedia, 2019.07.13)
》 クロネコメンバーズの二段階認証、実は無意味な飾りだった (togetter, 7/28)、クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 (ねとらぼ, 7/29)。スマホ用サイトでは二段階認証を設定しても効かないという、とんでもないオチ。
》 三菱航空機の命運握る次世代機の開発始まる、「新技術を投入」 (日経 xTECH, 8/1)。SpaceJet M100。
ここで重要となるのが、これまでの開発で得た資産をどこまで生かし、M100としてどの部分を新規開発するかの見極めだ。資産としてはM90だけでなく、旧MRJ70も含まれる。例えば、現時点では中断しているものの、MRJ70として2機(8号機と9号機)が組み立て作業に入っていた。しかし、MRJ70は全長が33.4mだったがM100は34.5mとサイズが異なるため、M100としての試験に活用できるかは未定だ。
SpaceJet M100 は MRJ70 とは異なる機体なのか。知らんかった。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
