![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Thu Sep 21 16:11:13 2017
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 提言「我が国の原子力発電のあり方について―東京電力福島第一原子力発電所事故から何をくみ取るか」 (日本学術会議, 9/12)
》 報告「子どもの放射線被ばくの影響と今後の課題-現在の科学的知見を福島で生かすために-」 (日本学術会議, 9/1)。関連:
福島の子どもと被ばく「出産に影響はない」"ネットでしか"話題にならない重要報告 (石戸諭 / BuzzFeed, 9/14)
「福島で次世代に放射線被曝の影響は考えられない」ということ――日本学術会議の「合意」を読みとく (服部美咲 / SYNODOS, 9/19)
坂村健の目 被ばく影響、科学界の結論 (毎日, 9/21)
》 福島原発事故、原子炉に届いた冷却水は「ほぼゼロ」だったと判明 (NHKスペシャル『メルトダウン』取材班, 9/20)
「3月23日まで1号機の原子炉に対して冷却に寄与する注水は、ほぼゼロだった」
「1秒あたり、0・07~0・075リットル。ほとんど炉心に入っていないことと同じです」
文字どおりの意味で、小便ひっかける程度でしかなかったということか。 マジか。
》 中央自動車道 (瑞浪市釜戸町) 土砂崩れ (8/18) 方面。 前ねた。
窯業原料「売れなくなり投棄」 中央道土砂崩れ (岐阜新聞, 8/26)
中央道土砂崩れ 投棄40年のツケ 資料無く全量把握難航 (毎日, 8/26)
岐阜県、シリカパウダーの大気測定結果を公開 (9/1)
瑞浪市釜戸町地内で発生した産業廃棄物を含む土砂等流出事案に係る大気中の遊離けい酸(結晶質シリカ)の測定結果について (岐阜県, 9/1)。「すべて不検出」
土砂崩れで流出シリカパウダー 大気中不検出 (岐阜新聞, 9/2)
岐阜県、丸釜釜戸陶料に対して全量撤去命令 (12/23までに)
丸釜釜戸陶料(株)に対する措置命令について (岐阜県, 9/15)
岐阜・瑞浪の土砂崩れ 中央道汚泥、全量撤去命令 県、丸釜釜戸陶料に (毎日, 9/16)
岐阜県、同業他社に対する立入検査結果を発表 (9/15)
シリカパウダーを取扱う窯業原料製造業者等に対する立入検査結果について (岐阜県, 9/15)
19事業所で不備 瑞浪土砂崩れで県が緊急検査 (中日, 9/16)。「今回の調査で、丸釜釜戸陶料のような不法投棄の事例を把握するのは難しいという」
出ました。
About the security content of iOS 11 (Apple, 2017.09.19)。Exchange ActiveSync、iBooks、Mail MessageUI、Messages、MobileBackup、Safari、WebKit (2件)。
About the security content of Safari 11 (Apple, 2017.09.19)。Safari、WebKit (2件)。
tvOS 11 (Apple, 2017.09.19)。詳細は未公開。
About the security content of Xcode 9 (Apple, 2017.09.19)。Git、ld64、subversion。
watchOS 4 (Apple, 2017.09.19)。詳細は未公開。
また iTunes 12.7 が 2017.09.12 に公開されているが、HT201222 によると、これにもセキュリティ修正が含まれているそうだ。詳細は未公開。
iTerm2 に欠陥。Preferences → [Advanced] → [Sematic History] → [Perform DNS lookups to check if URLs are valid?] オプションが yes の場合に (デフォルトで yes の模様)、パスワード等が予期せず DNS サーバーに送られることがある。
最新版 iTerm2 v3.1.1 ではデフォルト no に変更されている。最新版に更新しよう。
》 国産の漆 安い輸入品に押され生産大幅減 文化財修復に遅れも (NHK, 9/19)。突然の選挙に 600 億円かけるよりも、保護育成すべきものをきちんと保護育成しなさいよ。 関連:
下村博文文部科学大臣記者会見録(平成27年2月24日) (文科省)
それから2点目でありますが、文化財建造物修理における国産漆の使用拡大についてであります。
今日、文化庁から、国宝・重要文化財建造物の保存修理における漆の使用方針について、国産漆を原則として使う旨、通知を発出することといたしました。
(中略)
こういうふうに、我が国の文化そのものの象徴でもある資材でありますので、今回、原則国産使用の方針を象徴的に打ち出すことにいたしました。
現在の需給状況に鑑みまして、当面、上塗りと中塗りを国産漆とし、平成30年度をめどに、下地を含めた100パーセント国産化を目指す予定であります。
国産漆と中国産漆 (森林ジャーナリストの「思いつき」ブログ, 2015.09.20)。 増やせ言うのはいいけどそう簡単じゃないという話など。
文化財保存修理用資材の長期需要予測調査の結果について (国宝・重要文化財建造物の保存修理で使用する漆の長期需要予測調査) (文化庁, 4/28)。国宝・重要文化財の保守だけで 2.2トン/年必要だそうで。
浄法寺のうるし (岩手県二戸市)
》 制御不能状態の中国の宇宙ステーション「天宮1号」は2018年1月前後に「地球のどこか」に落ちると予測 (gigazine, 9/19)
》 セブン-イレブンが2万店のPOSレジ刷新、操作性とセキュリティを向上 (日経 IT Pro, 9/15)。……ん? 「セキュリティを向上」というのはどの部分?
関連:
セブン-イレブン、第7次POSレジスターを導入 (セブン-イレブン / 日経, 9/14)。プレスリリース。 セキュリティについては別紙に記載の模様。
セブン‐イレブン新型POSレジスター向けに 「POS接続型マルチ決済端末」を納入 (パナソニック, 9/14)
今回の新型POSレジスターは、国際基準PCI PTS※1のセキュリティ要件SRED※2に対応したパナソニック製のPOS接続型マルチ決済端末を採用いただいたことで、情報漏えいのリスクを極小化し、安全性を高めた点を、大きな特長の1つとされています。
今回の取り組みは、将来PCI P2PE※3認定を見据えたものとなっており、パナソニックとPOS業界最大手の東芝テック株式会社が連携することで実現しました。
※1 PCI SSC(国際カードブランド5社が共同で設立した有限責任会社)が定めるPIN(暗証番号)を入力する装置に関するセキュリティ基準。
※2 カード会員情報を読み取った直後にそのデータを暗号化して安全に転送するなどのセキュリティ要件。
※3 クレジットカード加盟店のカード読取装置で読み取ったカード情報を直ちに暗号化し、送信先の安全な復号環境へ到達するまでカード情報を保護するポイント・ツー・ポイント(二地点間)の暗号化に関するセキュリティ方式
まだ PCI P2PE 認定はされてない、という理解でいいのかな。 まあ、納入前 (10月から順次導入) だしなあ。
P2PEによって新たな局面を迎えるクレジットカード決済 (NRI, 2017.01)
P2PEソリューションによって対面加盟店にもたらされる効果としては、大きく以下の2点が挙げられる。
① 情報漏洩リスクの縮小(セキュリティ面):POSレジ上に、クレジットカード情報を一切残さない。
② 対面加盟店の運用負荷の低減(運用面):端末のセキュリティ管理(暗号鍵管理、脆弱性対応)等は、P2PEソリューションプロバイダーが責任を負う。
》 1年に1度 ラスベガスで開催されるハッカー達のお祭り アジア勢が健闘したDEFCON 25 CTF&PHVレポート (tessy / ZERO/ONE, 9/19)
》 「KSKロールオーバー」で問題を起こしそうな箇所はここだ! 9月19日だけでなく10月11日にも注意 (Internet Watch, 9/15)。何か起こるとすれば 23 時ごろだそうです。
DNSKEYの応答サイズが大きくなるのが9月19日23時ごろ、新しいKSK(KSK-2017)でのDNSKEY署名が始まるのが10月12日1時ごろ(いずれも日本時間)ということである。
関連: ルートゾーンKSKロールオーバーによる影響とその確認方法について (JPRS, 9/15 改訂)
》 EMET II のさらに先へ – Windows Defender Exploit Guard (日本のセキュリティチーム, 9/14)
中国、ビットコインP2Pも禁止へ (ウォール・ストリート・ジャーナル日本版, 9/19)
ビットコインが急反発、先週末安値から20%強上昇-規制巡る懸念後退 (ブルームバーグ, 9/19)
蛇足:
みずほとゆうちょ、国内地銀が手を組んだ新仮想通貨「Jコイン」構想 (財経新聞, 9/19)
》 「フェイクニュース」警告マークは効果がないのか (新聞紙学的, 9/16)
》 ガーディアンの記事から「東京五輪買収疑惑に新たな局面」 (内田樹の研究室, 9/15)、Fresh claims that Rio 2016 and Tokyo 2020 Olympic bid teams bought votes (Guardian, 9/13)。
『ガーディアン』紙は資料を精査して、信用を失墜した前IOC委員ラミーヌ・ディアクの息子パパ・マッサタ・ディアクがリオと東京の招致キャンペーンの前後にフランスの宝石店で高額の買い物をしていた証拠を得た。
ブラジル連邦検察局はフランス検察局の調査結果を踏まえて、支払いが「IOC内部に強い影響力を持つラミーヌ・ディアクの支援と票の買収の意図をもって」2016年リオ、2020年東京の招致成功のためになされたという結論を出した。
関連: 東京五輪招致など不正の可能性=ブラジル検察が結論-英紙報道 (時事, 9/14)
》 東京五輪の馬術、異例の夜開催も (ロイター, 9/16)。もう全競技夜開催でいいんじゃないの? それでも超暑いだろうけど。
》 「東京五輪、ビジョンなし」国際体操連盟会長が痛烈指摘 (朝日, 9/15)
――でも、東京五輪でもスポーツ界の人間は蚊帳の外。自ら発言もしない。
「まさしく。IOC幹部があきれていたのは、組織委の会議には150人もスーツを着た人間が来るけど、誰ひとり五輪のことを分かっていない、しかも、女性が2、3人しかいない、外国人もいないと」
》 突然消えた和久田麻由子アナ ”有事”に軽視される女性キャスター (水島宏明 / Yahoo, 9/15)。北朝鮮からミサイルが発射されると女性キャスターが消される NHK。
》 ニコンのカメラは男性専用? 海外で批判の的に (CNN, 9/15)
》 家裁が「手術なし」でも性別の変更認める…従来の枠組み広げる判断、今後の影響は? (弁護士ドットコム, 9/17)。性分化疾患の方の判例。
今回の審判例では、性染色体や性腺、解剖学的性(内性器および外性器の性別)のいずれもが女性型であるにもかかわらず、本人の性自認や社会的な性を重視して、戸籍の訂正(女性から男性へ)が許可されたのです。
関連: 性分化疾患 手術せず性別変更 「心の性」重視し家裁許可 (毎日, 8/20)
》 CIAの圧力に屈したハーバード大 (島田範正のIT徒然, 9/18)。CIA べったりを選択ですか。ショボい。まあ、その方が儲かるのだろうけどなあ。
》 BIGBLUE (ビックブルー) CF450 単四電池3本使用 LED 水中ライト (目指せ!ライトマニア HATTAのLEDライトレビュー, 9/16)
》 女子の悩みを解決!? トイレの空き状況がわかる「小田急アプリ」を試す (カデーニャ, 9/15)
Piriform のシステムメンテナンスツール CCleaner と CCleaner が改竄され、正規サーバーにて配布された。改竄版には情報漏洩機能がある。ユーザー 227 万人に影響。改竄版には正規の署名がされていた。
改竄されたソフト: CCleaner v5.33.6162 32-bit 版 (2017.08.15 公開)、 CCleaner Cloud v1.07.3191 32-bit 版 (2017.08.24 公開) [1]
漏洩する情報: コンピューター名、IP アドレス、インストール済ソフトウェア一覧 (Windows アップデートを含む)、動作中プロセス一覧、最初の 3 つのネットワークアダプタの MAC アドレス、付随する情報 (プロセスが管理者権限を持つかどうか、64-bit システムかどうか、など) [1][1a]
漏洩先: 216.126.225.148 および/または DGA アルゴリズムに基づくドメイン名 ab8cee60c2d.com (2017.08)、ab1145b758c30.com (2017.09) [3]
安全なソフト: CCleaner v5.34 (2017.09.12 公開)[2]、 CCleaner Cloud 1.07.3214 [1] (2017.09.15 公開?)。
配布元による情報:
[1] Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users (Piriform, 2017.09.18)
[1a] Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users (Piriform Blog, 2017.09.18)
問題発見者による情報:
[2] Morphisec Discovers CCleaner Backdoor Saving Millions of Avast Users (Morphisec, 2017.09.18)。Morphisec の顧客が 2017.08.20, 21 に CCleaner.exe を検出、2017.09.11 に Morphisec とログおよび検体を共有。 直ちに解析を開始し、初期段階で avast に連絡。更新版 CCleaner v5.34 が 2017.09.12 に公開された。
[3] CCleanup: A Vast Number of Machines at Risk (Cisco Talos, 2017.09.18)
関連報道:
アバスト傘下の無料ソフト正規版にマルウェア、200万台に影響 (CNN, 2017.09.19)
上記記述は随時追加・修正。
いつまでも聴講生さんから (情報ありがとうございます)
シマンテックインターネットセキュリティーで、本日19日午後ccleanerがTorojan Sib akdi に感染しているとして突如、検疫されてしまいました。
http://gigazine.net/news/20170919-ccleaner-malware/ で案内がありました。利用者の多い定評のあるフリーソフトで20年来安心して使用していましたので、驚きでした。もっとも、V5.33にしてから、adblockのフィルターが消える等の異状がありましたので(これは関係がないかも知れませんが)なにかおかしいなと思うところがありました。FireFox最新版を使用しています。
関連: Trojan.Sibakdi (Symantec)
米FDA、心臓ペースメーカーのリコール発表 脆弱性を突かれ患者に危害が及ぶ恐れ (2017.08.31)
関連:
46万5000台のペースメーカーに存在した脆弱性(前編)死に直結する医療機器のセキュリティホール (ZERO/ONE, 2017.09.14)
46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか? (ZERO/ONE, 2017.09.15)
》 「拒食症は21世紀の病気」 リプニツカヤ選手が語った引退の真相とは? (ハフポスト, 9/14)
》 北朝鮮ミサイル発射、3700km 飛行 (9/15)。 前回 (8/29)と同様のコース、前回よりも飛距離が長い。 前回の失敗を踏まえ、きちんと修正してきた感じ。
前回 (8/29) 金正恩のモニター画面にあった飛行ルートを今回は実現できた、という感じ。 前回は、ちょっと足りなかった。
J アラートは今回も、結果としては大誤報。 このままだと、今後、狼少年化がさらに進むだろう。
北朝鮮がミサイル発射、北海道上空から太平洋へ Jアラートが発動 (ハフポスト, 9/15)
ミサイルが発射された場合、Jアラートは私たちにどのように届くのだろうか?
●ステップ1
政府が、弾道ミサイルが日本に「飛来する可能性」があると判断した場合に、国民に避難を呼びかけるために送信される。
●ステップ2
その後、弾道ミサイルが日本の領土・領海に「落下する可能性」があると判断された場合には、続報としてただちに避難を呼びかけるメッセージが届く。
●ステップ3
弾道ミサイルが日本の領土・領海に「落下した」と推定された場合と、日本の上空を「通過した」場合と、日本まで飛来せず「領海外の海域に落下した」場合に、その旨が続報として届く。
前回・今回と、 ステップ 1 とステップ 3 が実施されたという理解でいいんですかね。 で、ステップ 1 は、一般向けには本当に必要ですか? むしろ弊害が大きいのでは? というのを考えないと駄目だと思う。 緊急地震速報も、一般向けと高度利用者向けとでは内容が異なるわけで。
北朝鮮のミサイルはすでに私たちの生活に深刻な影響を与えている 学校現場では (BuzzFeed, 9/15)。遅くともステップ3の段階で解除すればいいのでは。
北海道の私立札幌新陽高校は午前7時10分ごろ、全校生徒619人と教職員に自宅待機を指示した。安全の確認が取れたため、午前8時に自宅待機の解除と1時間遅れで開校する内容を通知した。
ステップ 3 (7:07) を過ぎてから自宅待機って……。 何を知らされているのか理解していないのでは。
各種ツイート:
北朝鮮ミサイル落下地点から2000キロ以上離れた、根室花咲港から中継するNHK
— Shoji Kaoru (@Shoji_Kaoru) 2017年9月15日
御丁寧にヘルメットまで着用してのレポートする姿には苦笑するしかない pic.twitter.com/1hlKSHyvtS
また絶妙に太平洋路線に飛行機がいない時間帯を狙ってるな… pic.twitter.com/nkARySa0gR
— (,,゚д゚)ウマー (@pianist_danna) 2017年9月14日
先日と同じコースっぽいし、また例の考察を流しておこう。
— ZF 𐰥 (@ZF_phantom) 2017年9月14日
北朝鮮ミサイルのコースhttps://t.co/mTXJIaLBW1
北朝鮮はミサイルはまた、津軽海峡を抜けて襟裳岬上空を通過、かな。やはり前回の2700kmはトラブルの結果で、今回の3700kmで「グアムまで届くぜ」の示威行動だろう。
— 松浦晋也 (@ShinyaMatsuura) 2017年9月14日
次は同じコースでミッドウェイ北方まで、その次はハワイ北方までと予想しておく。
》 個人情報を不正閲覧=巡査部長を処分-滋賀県警 (時事, 9/14)
巡査部長は6月8日、警察情報管理システムに妻の知人男性が乗っていた車のナンバーを入力し、私的に男性の住所や氏名を閲覧した。外部への情報流出はないという。
男性からの相談で発覚。
》 RBL.JP、運用終了 (スラド, 9/14)。ハートコンピュータさん事業終了に伴い、9 月末で終了。これまでありがとうございました。
》 米国土安全保障省がカスペルスキー製品の排除を通達 (やじうま Watch, 9/14)
》 “大型ベビーカー”は車道に? (NHK, 9/13)。詳細記事なので一読して頂ければよいのですが、
これは特定の製品についての見解で、大型ベビーカー全体に出したものではない (中略) 照会元の企業が指定した「特定の製品」についてのもので、アシスト機能が無い手押しのものなど、大型のベビーカーすべてに適用されるものではない
特定の製品についての問いあわせに答えたら、一般的な話のように報道されてしまったと。
では一般的にはどうなっているかというと、こちら: 電動アシストベビーカーと道路交通法の関係が明確になりました~産業競争力強化法の「グレーゾーン解消制度」の活用~ (経産省, 2015.01.28)
関係省庁が検討を行った結果、照会のあった電動アシストベビーカーについては、等の条件を満たした場合は、「小児用の車」に該当し、これを通行させている者は歩行者とみなされる旨の回答を行いました。
- 車体の長さ120センチメートル、幅70センチメートル、高さ109センチメートルをそれぞれ超えず、かつ、鋭い突出部がない。
- 自走機能を有さず、搭載する電動機が人力補助と速度抑制を行うにとどまり、運転速度を高める機能を有していない。
- 人力補助は時速6キロメートルを超える速度で行われない
120cm × 70cm × 109cm を越えてしまったり、アシストを越える機能があったりする場合は、それは「小児用の車」(乳母車) とは言えんなあ、軽車両ですなあということですね。 今回問いあわせがあったのは、サイズ的に範囲外だったようで。
なお、電動アシスト機能のないものについては、大きさにかかわらず「小児用の車」扱いだそうです。
》 新聞記者→作家になった男が味わったどん底 (東洋経済, 9/14)。「封印作品の謎」シリーズの安藤健二氏。
》 だから猪木はまた北朝鮮へ行く (プチ鹿島のソースは東スポ!, 9/14)
世間にバカにされながらも、それでも夢を訴えていくのはあの「猪木アリ戦」とまったく同じ構図である。(中略) おそらく猪木は「北朝鮮とスポーツ外交」「北朝鮮と平和に」を今も本気で言っている。
Emacs 19.29〜25.2 における、Enriched Text モードの x-display デコード機能に欠陥。この機能を通じて、任意の emacs lisp コードが実行される恐れがある。
Emacs 25.3 では x-display デコード機能が廃止された。Emacs 25.2 以前では、以下を .emacs に追加することで回避できる。
(eval-after-load "enriched"
'(defun enriched-decode-display-prop (start end &optional param)
(list start end)))
関連: [ANNOUNCE] Emacs 25.3 released (GNU, 2017.09.11)
》 世界の雑記帳 サルの自撮り写真の著作権巡る訴訟、収益の一部寄付で和解成立 (毎日, 9/13)
将来この写真から発生する収益の25%を、ナルト含めインドネシアのマカク猿の保護にあたっている慈善団体に寄付することで合意 (中略) ともに訴えを取り下げた
関連: Settlement Reached: ‘Monkey Selfie’ Case Broke New Ground for Animal Rights (PETA, 9/11)
》 ゲーム中に誤って日本語モードになることを防げ、丸洗いもできるゲーミングキーボード (やじうまミニレビュー, 9/12)。バッファロー BSKBUG500BK。
》 Windows 10で発生中の急激なゲーム性能低下問題の解決はFall Creators Updateまで持ち越し (PC Watch, 9/12)
》 国内組織の約4割が個人情報漏えいなどセキュリティの重大被害を経験、年間被害額も過去最高の平均2億3177万円に~トレンドマイクロ調査 (クラウド Watch, 9/13)
》 Sysinternals Update: Sysmon v6.1, Process Monitor v3.4, Autoruns v13.8, AccessChk v6.11 (Sysinternals Site Discussion, 9/12)
各種 OS における Bluetooth 実装に複数の欠陥、remote から情報を取得する、デバイスを操作するなどの攻撃が可能。 The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device (armis)
- Linux kernel RCE vulnerability - CVE-2017-1000251
- Linux Bluetooth stack (BlueZ) information Leak vulnerability - CVE-2017-1000250
- Android information Leak vulnerability - CVE-2017-0785
- Android RCE vulnerability #1 - CVE-2017-0781
- Android RCE vulnerability #2 - CVE-2017-0782
- The Bluetooth Pineapple in Android - Logical Flaw CVE-2017-0783
- The Bluetooth Pineapple in Windows - Logical Flaw CVE-2017-8628
- Apple Low Energy Audio Protocol RCE vulnerability - CVE-2017-14315
以下において修正されている。
Android
Android Security Bulletin—September 2017 (Android, 2017.09.05) の patch level 2017-09-01 で修正されている。
Google Play で確認ツールが公開されている。
Windows
Linux
3.3-rc1 以降の Linux カーネル、全ての BlueZ に欠陥がある。 patch:
各ディストリの状況:
RHEL: Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251 (Red Hat)。修正版 kernel パッケージが用意されている。 また Bluetooth 関連モジュール・関連サービスの無効化設定について記載されている。
Debian:
BlueZ: CVE-2017-1000250。修正パッケージが公開された。
Kernel: CVE-2017-1000251。まだ直ってないみたい。
Ubuntu: Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250, CVE-2017-1000251 aka BlueBorne) (Ubuntu Wiki)
BlueZ: USN-3413-1: BlueZ vulnerability。 修正パッケージが公開された。
kernel: CVE-2017-1000251。まだ直ってないみたい。
関連: Linux Kernelの脆弱性(Blueborne: CVE-2017-1000251) (サイオス OSS)
iOS
iOS 10.x、tvOS 10.x では既に修正されている。 iOS 9.3.5 以前、tvOS 7.2.2 以前は欠陥あり。
この欠陥を回避するには Bluetooth を無効にすればよい。
関連:
新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる (techcrunch, 2017.09.13)
JVNVU#95513538 - 様々な Bluetooth 実装に複数の脆弱性 (JVN, 2017.09.13)
出ました。IE / Edge、Windows、Office / Office Server、Flash Player、Skype / Lync、.NET Framework、Exchange。
APSB17-25 - Security update available for RoboHelp (Adobe, 2017.09.12)。 2 件のセキュリティ欠陥 (0-day ではない) を修正。 CVE-2017-3104 CVE-2017-3105。 RH2017.0.2 / RH12.0.4.460 で修正されている。 Priority は 3。
APSB17-30 - Security updates available for ColdFusion (Adobe, 2017.09.12)。 4 件のセキュリティ欠陥 (0-day ではない) を修正。 CVE-2017-11283 CVE-2017-11284 CVE-2017-11285 CVE-2017-11286 。 ColdFusion (2016 release) Update 5、 ColdFusion 11 Update 13 で修正されている。
Flash Player 27.0.0.130 公開。2 件のセキュリティ欠陥 (0-day ではない) を修正。 CVE-2017-11281 CVE-2017-11282
優先度、Chrome 内蔵版については 2 になっている。前回までは 1 だった。 通常版と IE 11 / Edge 用は 1、Linux 用は 3。
》 iOS 11には捜査機関が頭を悩ませることになる新機能が搭載される (gigazine, 9/12)。いくつかの場面で TouchID を無効化。
》 シマンテックのCA事業売却に伴ってChromeでのシマンテック証明書の無効化スケジュールをGoogleが発表 (gigazine, 9/12)
》 著作権が問われた「サルの自撮り」の法廷闘争がついに完全終結 (gigazine, 9/12)。当事者間で和解。「PETAとスレーター氏は共同声明を発表し、スレーター氏が金銭的な寄付を行うということで最終決着」
》 Windows 10 SからProへの無償アップグレード期限が2018年3月31日まで延長される (gigazine, 9/6)
》 Equifaxの役員、データ漏洩ニュース公開前に株を売却 (techcrunch, 9/8)
》 SpaceX、アメリカのX-37B宇宙往還機の打ち上げに成功――ブースターの回収は16回目 (techcrunch, 9/8)
》 LibreSSL 2.6.1 (LibreSSL, 9/6) が公開されています。まだ開発版です。iida さん情報ありがとうございます。
》 防衛省、沖縄県名護市沖オスプレイ墜落事故 (2016.12.13) 米軍報告書の概要を発表 (9/11)
沖縄県名護市沖におけるMV-22オスプレイの不時着水に関する米軍事故調査報告書について (防衛省, 9/11)
21時18分頃、オスプレイが最後にMC−130のドローグへの接続を試みた際、オスプレイのパイロットは出力を上げ過ぎたことに気付き、直ちに出力を下げたが、MC−130との正常な距離を保つことができなかった。その時、MC−130のドローグが下降し、その後上昇して右方に動き、オスプレイの右のプロペラと接触した。
(中略)
沖縄本島に近付いた際、オスプレイのパイロットは、人や財産の上空を避けるため、海岸沿いを飛行していたが、途中、高度及び速度を維持し、安全な飛行を継続することが困難であると認識し、21時29分頃、着水態勢をとり、制御された緊急着水を行った。
困難な気象と操縦ミスが原因と発表 機体不具合「要因の兆候なし」 名護のオスプレイ墜落事故で防衛省 事故発生前に給油接続複数回失敗、帰還中に発生 (琉球新報, 9/11)
副知事「納得できない」 安部オスプレイ墜落 「原因は機体不具合ではない」との米軍説明に (琉球新報, 9/11)
米軍、300ページ超を非公開 情報開示に消極姿勢 (琉球新報, 9/12)
オスプレイ名護沖墜落、訓練空域外で事故 米報告書 (琉球新報, 9/12)
米軍が当初は「墜落(crash)」と連絡していたことも手書きのメモで判明した。また、事故現場は当初、安部の海岸から約74キロ離れた公海上の訓練空域「ホテル・ホテル」としていたが、訓練区域ではない与論島沖約15キロの海上だったと訂正した。さらに同様事故が2例目だったことも明らかになった。
防衛相「全国で不安の声」 報告書で不安払拭か明言避ける オスプレイ名護墜落 (琉球新報, 9/12)
オスプレイ原因究明、再発防止求める 宜野湾市議会がオスプレイ緊急着陸に抗議決議 (琉球新報, 9/12)
稲嶺名護市長「矛盾点、確認すべき」 安部オスプレイ墜落事故報告書にあらためて不信感 (琉球新報, 9/12)
》 さい帯血 契約切れの2100人分廃棄せず (NHK, 9/12)
全国で5つのバンクが4万3000人分を保管し、このうち2100人分は依頼者との契約が切れたあとも廃棄していなかった
》 EMET は Windows 10 Defender Exploitation Guard へ統合されます (日本のセキュリティチーム, 9/12)
EMET は2017 年秋に公開予定の Windows 10 Fall Creators Update にて Windows Defender Exploitation Guard 機能として完全統合される予定です。現在 EMET をご利用の方は、移行の検討を開始してください。
》 ブロックチェーンとBitcoinにまつわる6つの通説を覆す (Kaspersky, 9/6)
しかし、事態はこれよりも深刻です。というのは、マイニングプールと計算能力の大半が、特定の国に集中しているからです。一国の中に位置していれば、計算能力を掌握してBitcoinを乗っ取ることは格段にやりやすくなります。
中国が 81% だそうで。
》 企業のITセキュリティ:武器として使われるMicrosoftのサービス (Kaspersky, 9/1)、 Infecting the Enterprise: Abusing Office365+Powershell for Covert C2 (Black Hat USA 2017)、プレゼン資料。
》 (PR) 電子書籍版のお知らせ『Windows Sysinternals 徹底解説 改訂新版』 (山市良のえぬなんとかわーるど, 9/8)
》 現職検事の証言で分かった裁判所の不公平 (江川紹子 / Yahoo, 9/12)
》 徹底分析 システムトラブル1098件 (日経 IT Pro, 8/21)。「システムが全面ダウンする割合は再び増加している」「最大の脅威は「サイバー攻撃」」。
》 修学旅行グアム断念 豊府高校、北朝鮮ミサイル問題で (大分合同新聞, 8/24)
行き先を国内に変更し、目的地や日程を練り直している。(中略) 曽根崎校長は「少しでも危険性のある場所はふさわしくないと判断した。
じゃあ、北の ICBM の射程 10,000km 以内にある場所は全部駄目じゃん。なぜ国内なら ok なの? もし何かあったとしても、THAAD 展開済のグアムの方が安全だと思うけどなあ。
関連:
県内4高校グアム・韓国行き中止 北朝鮮情勢受け修学旅行や研修 (山陽新聞, 9/8)
北ミサイル計画 グアム修学旅行中止 柏崎工高、保護者の不安受け (新潟日報, 9/7)
》 THAAD発射台全6基の配備完了 作戦運用へ=韓国 (聯合ニュース, 9/12)
》 超音波を使えば、「音」を発せずに音声認識デバイスを騙すことができる (techcrunch, 9/10)
2012年11月28日発売 のコレガの無線 LAN ルーター CG-WLR300NM ファームウェア Ver. 1.90 以前に 2 つの欠陥。
当該製品にアクセス可能な第三者によって、任意のコマンドを実行される。
当該製品にログインした状態のユーザに細工されたページにアクセスさせることで、サービス運営妨害 (DoS) 状態を引き起こし、任意のコマンドが実行される。
CG-WLR300NM のサポートは終了しており、修正ファームウェアは提供されない。 CG-WLR300NM は廃棄し、他の無線 LAN ルーターを使用すること。
関連: JVN#00719891 - CG-WLR300NM における複数の脆弱性 (JVN, 2017.09.08)。コレガの説明とは若干異なるんだよなあ。
当該製品の管理画面にログイン可能なユーザによって、任意の OS コマンドを実行される - CVE-2017-10813
当該製品の管理画面にログイン可能なユーザによって、任意のコードを実行される - CVE-2017-10814
NTT ドコモの Wi-Fi STATION L-02F (LG Electronics 製、生産終了) にセキュリティ欠陥、remote から任意のコマンドを管理者権限で実行できる。 JPCERT/CC では攻撃を観測済。
JVN#68922465 - Wi-Fi STATION L-02F にバックドアの問題 (JVN, 2017.09.12)
ソフトウェアバージョン L02F-MDM9625-V10h-JUN-23-2017-DCM-JP (最新) で修正されている。Wi-Fi STATION L-02Fの製品アップデート情報 から入手できる。ただし、当該ページにはこんな記述しかない。
改善される事象
まれにデータ通信が正常に行われない場合があります。
なんじゃそりゃ。
この他に、ソフトウェアバージョン L02F-MDM9625-V10b-MAR-06-2014-DCM-JP 以前には、インターネット側から Web インターフェースにアクセスできる欠陥があり、L02F-MDM9625-V10c-MAY-29-2014-DCM-JP 以降で修正されている模様。
JVN#03044183 - Wi-Fi STATION L-02F におけるアクセス制限不備の脆弱性 (JVN, 2017.09.12)
関連: 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い (NTT ドコモ, 2017.07.10)。こんな発表してたのか。「セキュリティ上の脆弱性」があり「意図しないデータ通信が発生する場合があります」とされているが、具体的にどのような内容なのかは不明。
》 他人の落とし物探しも手伝える「クラウドGPS」って本当に使えるの? (カデーニャ, 9/11)。TrackR bravo 使用レポート。
》 コラム:機械学習パラダイス(上野達弘) (早稲田大学知的財産法制研究所[RCLIP], 9/9)
――― 日本は“機械学習パラダイス”なんですよ。機械学習やAI開発をするなら、みなさん日本へ来て下さい。
日本の著作権法で、こんな自慢めいた話ができる規定は滅多にない。
》 なぜ小田急線は火災の前で停止したのか? (BuzzFeed, 9/11)
午後4時09分:火災を認めた警察官が踏切の非常停止ボタンを押す
午後4時11分:列車が自動停止、運転士が踏切の安全確認に向かう
午後4時19分:列車を移動させようとしたが、屋根への類焼を認め、消防の指示でただちに停止
午後4時22分:避難誘導を開始する
午後4時42分:避難が完了する
なるほど。これを回避するのは、簡単ではなさそうだ。
警官が非常停止ボタン、たまたま火災現場脇 小田急延焼 (朝日, 9/11)
警視庁などによると、出火の約5分後に消防から「火災が起きているので、電車を止めてほしい」と要請があり、代々木署員が現場近くの踏切の非常停止ボタンを押した。
当該警察官は消防の指示に従っただけ、と。
小田急沿線火災 緊急停止のいきさつなど当時の対応調査 (NHK, 9/11)
小田急電鉄が当時の状況を調べたところ、火災が発生したとき、運行を指揮する指令所に消防から「沿線で火災が起きた」と連絡がありましたが、指令所から乗務員に指示を出す前に、現場に駆けつけた警察官が近くの踏切に設置された非常停止ボタンを押したため電車に自動ブレーキがかかり、現場のすぐ脇で緊急停止したということです。
改善の余地があるとすれば、消防の対応か?
》 blacklistd(8)を使ってsshd DoS攻撃を防止する方法 pf編 (BSD界隈四方山話, 9/8)
》 米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい (ITmedia, 9/8)
》 マルウェア侵入を前提にした対策を――、PwCがWindows Defender ATPを用いたセキュリティサービスを提供 (Internet Watch, 9/7)
》 スターバックス、公式サイトのHTTPS接続ページで「TLS 1.0/1.1」を無効化、「TLS 1.2」のみの対応へ (Internet Watch, 9/6)
》 泥棒市場と化した「メルカリ」 万引き本800冊出品でも放置 (デイリー新潮, 8/23)、 メルカリ、“盗品防止”の要請を一蹴 1000億円超上場も問われる姿勢 (デイリー新潮, 8/23)
》 Apple Pay悪用、中国人“爆買い”詐欺 留学生「買い子」グループが暗躍 (産経 / ITmedia, 9/8)。関連:
アップルペイで商品詐欺容疑=中国人2人逮捕-大阪府警 (時事, 8/10)
アップルペイ悪用し商品詐取の疑い 大阪府警など中国人留学生ら6人逮捕 (産経, 8/10)
》 「真実を貫いてこそHuaweiは充実する」。Huaweiが内部告発者を昇進 (やじうま Watch, 9/6)
》 海の向こうの“セキュリティ” ランサムウェア最大の脅威は身代金ではない……中小企業の被害調査結果 ほか (Internet Watch, 9/7)
Malwarebytesは中小企業におけるランサムウェアの最大の脅威は、身代金ではなく、事業の停止であるとしています。
》 「ビットコインによる利益は課税対象」で区分は「雑所得」、国税庁が初の見解 (やじうま Watch, 9/7)
》 マンガ“ネタバレサイト”の運営者ら、著作権法違反の疑いで逮捕 (Internet Watch, 9/7)。関連:
発売前の漫画「ネタバレ」サイト、運営者ら5名を逮捕 (ACCS, 9/7)。「主犯の男性は平成29年9月18日付けで起訴されている」は 8月18日の誤記だろう (未来だし)。
ネタバレサイトの運営者らを逮捕 ジャンプ発売前に「ワンピース」掲載の疑い 約3億円の広告収入を得たグループも (ハフポスト, 9/7)
人気漫画 「ワンピース」画像 「ネタバレ」サイトに公開 (毎日, 9/6)。最も目立つところを叩いたようで。
両容疑者のサイトは「2大ネタバレサイト」として知られ、集英社のネットより閲覧数が多かったという。
<ネタバレ>漫画「ワンピース」雑誌発売前に画像公開、秋田の男女逮捕 広告収入3億超か (河北新報, 9/7)
人気漫画、発売前に掲載=「ネタバレサイト」初摘発-熊本県警 (時事, 9/6)
まとめるとこんな感じ。儲かるんですねえ。
「最新ジャンプネタバレ ワンピースネタバレ速報」の運営者 (男性 31) と同居人 (女性 33) を逮捕。「警察によると、ネタバレサイトのアフリエイト広告により、平成26年9月から平成29年7月までの間、少なくとも3億円近くの収益を得ていたとのことである」(accs)。男性は容疑を認めており (毎日・河北)、8/18 に起訴されている (河北)。女性は否認、8/18 に処分保留で釈放 (河北)。
「ワンワンピースまとめ速報」の運営者 (男性 30、女性 23、男性? 26) を逮捕。 「警察によると、平成24年5月から平成29年7月までの間、ネタバレサイトのアフリエイト広告により少なくとも総額7,400万円近くの収益を得ていたとのことである」(accs)。少なくとも男性 30 は容疑を認めているようだ (毎日)。
「警察によると、発売前に漫画雑誌を提供していた店舗についても関係先として捜査を進める予定であるとのこと」(accs)
その後の動き:
ネタバレサイトで初の逮捕&閉鎖続出!管理人にインタビューしてみた。 (数字で見る芸能ニュース情報・考察サイト, 9/7)
Android Security Bulletin—September 2017 (Android, 2017.09.05)
Androidの脆弱性81件修正、7月の月例セキュリティ情報公開 (Internet Watch, 2017.09.07)
BootStomp: On the Security of Bootloaders in Mobile Devices (Usenix, 2017.08.17)
一部Android端末のブートローダーに脆弱性、設計や実装に起因 (ITmedia, 2017.09.08)
この6件のうちの5件についてはメーカー各社も確認したという。threatpostによれば、チップベンダーからは、脆弱性修正のためのパッチが既に配信されているが、Googleの月例セキュリティ更新プログラムに含まれていたかどうかは明らかになっていないという。
Multiple Vulnerabilities Found in NVIDIA, Qualcomm, Huawei Bootloaders (threatpost, 2017.09.06)
》 遺伝の「優性」「劣性」使うのやめます 学会が用語改訂 (朝日, 9/6)。「顕性」「潜性」へ。すばらしい。
》 【声明】武井咲さんの10億円の違約金報道について (日本エンターテイナーライツ協会, 9/7)
基本的には、広告出演契約には、タレントの「イメージ保持義務」が規定されています。しかしながら、そのなかでタレントの結婚や妊娠を制限する条項が明示されていることは多くありません。また、仮にスポンサー側が「イメージ保持義務」違反を主張しても、裁判所が結婚、妊娠を原因として、イメージ保持義務違反を認め、芸能事務所・タレント側に対して、違約金の支払いを認定する可能性は低いといえます。そして、仮に違約金が発生しても、芸能事務所側は代替のタレントを出演させるなどにして、できるだけ損害が生じないように配慮することが通常です。そのため、違約金の金額が10億円ということは到底考えられません。
関連: 結婚&妊娠の武井咲とのCM契約継続、エスエス製薬 (日刊スポーツ, 9/6)
》 特別リポート:スタンガンは本当に安全か、米国で多数の死亡例 (ロイター, 9/6)。gigazine の 電撃ショックで相手を制圧するテーザー銃の致死率は思っていたより高かった (gigazine, 8/28) の元ねたが翻訳されました。
映像もあります: 救急車要請が「暗転」、米警察スタンガン使用の実態(字幕・22日) (ロイター, 9/6)
》 Jアラート どうする情報提供のあり方 (NHK, 9/6)
海上自衛隊の元海将で、弾道ミサイル防衛に詳しい金沢工業大学虎ノ門大学院の伊藤俊幸教授 (中略) 「部品などが数百キロのはるか上空から落下してくるケースが考えられるが、大気圏でほとんどが燃え尽きてしまう。また、日本に落下するおそれがあると判断された場合は、イージス艦やPAC3が迎撃するので、被害を及ぼすものが落下してくることはほとんどないのではないか」
》 2017年度新聞協会賞 (日本新聞協会, 9/6)
編集部門
博多金塊事件と捜査情報漏えいスクープ (西日本新聞社 社会部警察・司法取材班)
関連:
博多金塊 捜査情報漏えいか 愛知県警 複数の警官 逮捕前、容疑者に 福岡県警、通話を傍受 (西日本新聞, 6/2) (魚拓)
金塊強盗に愛知県警が捜査情報漏洩、と福岡県警がバラした (NEWS ポストセブン, 6/12)
「防衛省『日報』保管も公表せず」の特報 (NHK 防衛省「日報」問題取材班)
関連: 新聞協会賞にNHKのスクープ「日報問題」など (NHK, 9/6)
ボルトも驚がく 日本リレー史上初の銀 (毎日新聞 梅村直承記者)
関連: 新聞協会賞 「ボルトも驚がく…」五輪写真で毎日新聞受賞 (毎日, 9/6)
議会の不正追及と改革を訴えるキャンペーン報道「民意と歩む」(北日本新聞社 地方議会取材班)
関連: 「民意と歩む」に新聞協会賞 北日本新聞社 (北日本新聞, 9/6)
技術部門
ローラ再生装置の開発 (朝日新聞東京本社)
》 THAAD発射台4基の配備地搬入が完了 本格運用へ=韓国 (聯合ニュース, 9/7)
Struts 2.5.13 General Availability (2017.09.06)
S2-052 が改訂され、対象範囲が拡大された。2.5 系の他、2.1.2〜2.3.33 にも影響するという。
Struts 2.3.34 が公開された。S2-050、S2-051、S2-052 の他に S2-053 が修正されているという。これも remote から任意のコードを実行できる欠陥。
Struts 2.3.34 General Availability (Struts, 2017.09.07)
Version Notes 2.3.34 (Struts, 2017.09.07)
S2-053 - A possible Remote Code Execution attack when using an unintentional expression in Freemarker tag instead of string literals。Struts 2.3.34 / 2.5.12 で修正されている。 CVE-2017-12611
》 ミュージカル『刀剣乱舞』に関連したツイートにおける調査結果について (ローソンチケット, 9/6)
さらなる調査を進める中で、昨日、ツイートの発信者様とコンタクトがとれ、状況の確認を行ないましたところ、入金はされておらず、従いまして『入金後のキャンセル』及び『当社からのメール配信』という事実は無かったことが確認されました。
全てデマだったと。関連:
》 加計学園 「市の土地譲渡は違法」今治市長を市民が提訴 (毎日, 9/6)。黒川敦彦氏ら。
》 Tor Browser 7.0.5 is released (Tor project, 9/4)。iida さん情報ありがとうございます。
》 中国でモバイル決済が普及した ”本当” の理由 (ONE HUNDREDTH, 8/30)
クレジットカードの世界には、ご存知のようにVISAやMasterCardのような「国際ブランド」、カードを発行する「イシュアー」、 加盟店開拓・管理をおこなう「アクワイアラー」がおり、さらにはCAFISに代表される決済システムを提供する会社などが存在している。プレイヤーが多いということは、当然、各社が収益をあげられるように手数料・利用料金は高くなるということである。日本のモバイル決済は、清算機能をクレジットカードに託さざるを得ないことに限界がある。
一方で中国のモバイル決済の場合は、清算機能を銀聯から奪い取り、支払いと清算を同じ会社で運用する(できた)ことによって、モバイル決済の壁を壊すことができた
結果として手数料・利用料金をほぼ無料にでき、限りなく現金に近い扱いを実現できたと。ところが、これからここに規制が入るらしい:
清算機関「網聯(wǎng lián ワンリエン)」という組織が新たに設立される。網聯は、AlipayやWeChatなどの第三者決済事業者と金融機関の間に入り、それぞれの取引を仲介することを目的にしている (中略) プレイヤーが増えることによるコスト増や独占していたデータの開放が懸念される。
》 【動画】イスラム(IS)掃討作戦~空爆の標的情報伝えるスパイ処刑 (イスラム国(IS)・イラク・シリア・クルド情勢, 8/20)
》 1500~2000人も犠牲になった虐殺事件ですら、歴史に埋もれてしまう (川上泰徳 / ニューズウィーク日本版, 9/6)。タル・ザータルの虐殺 (1976.08.12)。新聞記事データベースは、1976.08 あたりを「レバノン」で検索すればいいみたい。 たとえば朝日新聞 1976年8月13日 夕刊 1 面には「難民キャンプ、血の陥落 レバノン 死者、千四百人も 骨散って犬集まる」という記事が。 当時の記述は「タルザータル」「タールザータル」。
パレスチナ・イスラエル略年表 (palestine-forum.org)
Siege of Tel al-Zaatar (Wikipedia)
レバノン内戦 (ウィキペディア)。背景状況。 1 か月前には、エンテベ空港奇襲作戦が起きてますね。
1982年「サブラ・シャティーラの虐殺」、今も国際社会の無策を問い続ける (川上泰徳 / ニューズウィーク日本版, 2016.09.22)。 「パレスチナ 虐殺」だとこちらの件が有名なのかな。
》 防衛省職員を逮捕 職場PC盗んだ疑い 被害数千万円か (朝日, 9/6)。なぜこんな、すぐバレそうなことを……。 「ノンキャリアの技官」って、そんなに給料低いのか?
》 国交省「バードストライクではない」NY行きJL006便エンジントラブル (Tadayuki YOSHIKAWA / AviationWire, 9/6)。「国交省によると、エンジンを分解した際に鳥の死骸は見つからず、エンジン内後方のタービンブレードに損傷箇所があったという」。重大インシデント扱いにはなってないそうで。
》 米朝関係を煽る大手メディアの国際報道はフェイクニュースを批判できるのか? (立岩陽一郎 / Yahoo, 9/2)
北朝鮮が弾道ミサイルを発射した8月29日当日のテレビ報道も極めてミスリーディングだった。ワシントン発の各社のニュースだ。TBSは、「日米外交筋」、NHKは「アメリカ政府」という主語を使って、米国政府が弾道ミサイルの発射に衝撃を受けているとの内容を報じた。
本当に米国政府は衝撃を受けたのだろうか?私は付き合いの有るワシントン・ポスト紙、公共放送NPRのデスクにメールで問い合わせた。答えはほぼ同じで、米国政府はハリケーン被害への対応に追われており、太平洋に着弾した弾道ミサイルに衝撃を受けるという状況ではないというものだった。
そりゃそうだよなあ。それどころじゃないわけで。
》 総務省、IoT機器の脆弱性を探索、所有者への注意喚起も (Internet Watch, 9/5)
》 「TwitterがNGワードで自動凍結」捨て垢による実験を通じて証明するユーザー相次ぐ (やじうまWatch, 9/6)
Chrome 61.0.3163.79 が stable に。22 件のセキュリティ欠陥の修正を含む。 iida さん情報ありがとうございます。
関連: 「Google Chrome 61」が正式版に ~モジュール機能や“WebUSB”をサポート (窓の杜, 2017.09.06)
また、本バージョンから中国の“WoSign”など、過去に不正を行った認証局から発行された証明書に対する信頼が完全に削除される。
Struts 2.5.13 公開。3 件のセキュリティ欠陥を修正。
S2-050 - A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)。 CVE-2017-9804
S2-051 - A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin。 CVE-2017-9793
S2-052 - Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads。 CVE-2017-9805
No workaround is possible, the best option is to remove the Struts REST plugin when not used or limit it to server normal pages and JSONs only:
<constant name="struts.action.extension" value="xhtml,,json" />
特に S2-052 がヤバい模様。Struts 2.5.x + REST プラグインな環境で、remote から任意のコードを実行できる。PoC も公開されている。
Severe security vulnerability found in Apache Struts using lgtm.com (CVE-2017-9805) (lgtm.com, 2017.09.05)
Using QL to find a remote code execution vulnerability in Apache Struts (CVE-2017-9805) (lgtm.com, 2017.09.05)
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 (JPCERT/CC, 2017.09.06)
S2-052的POC测试(原名:Tomcat部署war) (github)
S2-050、S2-051 は Struts 2.3 系にも影響し、Struts 2.3.34 で修正される (未リリース)。
S2-052 が改訂され、対象範囲が拡大された。2.5 系の他、2.1.2〜2.3.33 にも影響するという。
Struts 2.3.34 が公開された。S2-050、S2-051、S2-052 の他に S2-053 が修正されているという。これも remote から任意のコードを実行できる欠陥。
Struts 2.3.34 General Availability (Struts, 2017.09.07)
Version Notes 2.3.34 (Struts, 2017.09.07)
S2-053 - A possible Remote Code Execution attack when using an unintentional expression in Freemarker tag instead of string literals。Struts 2.3.34 / 2.5.12 で修正されている。 CVE-2017-12611
》 WSUS での Windows 10 管理まとめ (Japan WSUS Support Team Blog, 9/4)
》 Linux 4.13がリリース,SMB 3.0がデフォルトCIFSに (Linux Daily Topics, 9/4)、 Linuxカーネル4.13リリース (OSDN, 9/5)
》 UWF 有効にしてから 6 ヶ月経過すると一部の通知アイコンが表示されない現象について (Ask CORE, 9/5)。UWF と言われても、プロレス団体しか連想できないのだが。
エクスプローラーがアイコンをロードした最終日時と現在の日時を比較し、6 ヶ月以上差異がある場合、通知アイコンを無効なものとみなして表示しないために発生します
仕様ですか。
以下のレジストリを設定することで、既定の 6 ヶ月の閾値を変更することが可能です。
そういう手段しかないのですね。
》 ミャンマー逃れるロヒンギャ難民、さらに急増 (BBC, 9/5)
》
JL6 (JA743J、羽田 → JFK)、離陸中に左エンジン火災、羽田に緊急着陸 (9/5)。バードストライクの模様。
Playback of Japan Airlines flight JL6 / JAL6 (FlightRadar24)
機体記号: JA743J (FlyTeam)。Boeing 777-346/ER。
日航機 エンジンから火、緊急着陸 バードストライクか (毎日, 9/5)
JAL機がエンジントラブル、鳥吸い込み緊急着陸へ (TBS, 9/5)、 JAL機、エンジントラブルで緊急着陸 (TBS, 9/5)
旅客機が離陸の際に使用した羽田空港のC滑走路では、芝生に火が燃え移った可能性もあり、閉鎖されています。
トラブル直後に燃料放出、緊急着陸の日航機 (TBS, 9/5)
な、なんだってーーーーー
原因はバードストライクではないと国交省 (共同, 9/5)
国交省「バードストライクではない」NY行きJL006便エンジントラブル (Tadayuki YOSHIKAWA / AviationWire, 9/6)。「国交省によると、エンジンを分解した際に鳥の死骸は見つからず、エンジン内後方のタービンブレードに損傷箇所があったという」。重大インシデント扱いにはなってないそうで。
》 【音声再配信】「関東大震災で起きた朝鮮人虐殺〜その時、何があったのか?」荻上チキ×加藤直樹×山田昭次▼2014年9月1日放送分(TBSラジオ「荻上チキ・Session-22」) (TBS ラジオ, 9/1)
》 知られざる関東大震災「中国人」虐殺と「戦後日本のヒーロー」加藤直樹 (加藤直樹 / アジアプレス, 7/2)
》 <北朝鮮最新報告>今年も兵士は痩せていた ミサイル発射の一方で栄養失調に苦しむ若い軍人たち(写真4枚) (石丸次郎 / アジアプレス, 8/21)
》 ミサイル警戒時代に知っておきたい、戦前・戦中「防空ソング」の世界 最初一秒 ぬれむしろ かけてかぶせて 砂で消す (辻田 真佐憲 / 文春オンライン, 9/4)
》 韓国 ミサイル弾頭重量制限を撤廃 国防力強化、米と合意 (毎日, 9/5)。来ましたね。
》 北朝鮮は本当に孤立しているのか (白戸圭一 / 朝日新聞GLOBE, 8/31)。北朝鮮を支持する国はけっこうあるという話。
厳重に警備された工場そのものにアクセスできるはずもなかったが、様々な関係者への取材から、北朝鮮がエチオピアに弾薬や砲弾の製造技術を提供する見返りに外貨を獲得している実態が浮かび上がった。
(中略)
アフリカ諸国が制裁状況について報告しないのは、各国政府の行政執行能力の低さに起因する場合もあるが、それだけではない。今世紀に入って北朝鮮の核・ミサイル開発が本格化し、国連安保理が制裁を科すようになる以前から北朝鮮との間で軍事協力関係を結んでいたために、意図的に「制裁破り」しているとみられるケースもある。
》 「米中が組んで北朝鮮を討つ」そんなシナリオさえ現実味を帯びてきた (津上 俊哉 / 現代ビジネス, 9/4)
》 格安スマホと「緊急地震速報」「防災情報」「Jアラート(ミサイル発射情報)」(2017年版) (IIJ てくろぐ, 9/5)
ロシア 千島列島で演習 首脳会談直前「露領」アピールか (毎日, 8/30)
安倍晋三首相は9月6、7両日、極東ウラジオストクで露政府が開く東方経済フォーラムに参加し、プーチン大統領と北方領土での日露共同経済活動などについて協議する。首脳会談直前の軍事演習は、北方領土を「ロシア領」とアピールする狙いがありそうだ。
北方領土含むクリール諸島でロシアが軍事演習を開始 (TBS, 8/30)。TBS はなぜ「北方領土含むクリール諸島」なんて表記を?
ロシア、千島列島で軍事演習=北方領土でも実施か (時事, 8/29)
東部軍管区は今月10日にも、北方領土で1000人規模の軍事演習を実施したと発表している。
この件はこちら:
ロシア、北方領土で軍事演習開始 (日経, 8/11)
ロシア軍が北方領土で軍事演習開始 (産経, 8/11)
》 防衛装備に関連した調査報告書を偽装した攻撃 (マクニカネットワークス セキュリティ研究センターブログ, 8/29)
》 リコール対象かつ異常破裂の危険性が高いタカタ製エアバッグ搭載車は、対策品に交換しないと車検が通らなくなる! 国交省、タカタ製エアバッグのさらなるリコール改修促進策を発表 (MotorFan, 9/4)。この件:
タカタエアバッグの更なるリコール改修促進策について (国土交通省, 8/30)。9/29 までパブコメ受付。 「施行時期は平成30年5月を予定しております」
関連: タカタ製エアバッグに関するお知らせ (国土交通省)
》 VALU騒動は仕込み?「暴露動画」、事務所も了承 VALUは反論 (信原 一貴 / withnews, 9/5)
》 ユピテルのドライブレコーダー DRY-FH200 で複数の発火事故、リコールを実施 (9/4)
ドライブレコーダー「DRY-FH200」回収と製品交換について (ユピテル, 9/4)。DRY-ST1000c に交換。
ドライブレコーダー内蔵の電池から出火か リコール届け出 (NHK, 9/4)
》 小池知事 朝鮮人追悼文見送りで波紋 虐殺犠牲者慰霊 (毎日, 9/1)
》 凍結から復活した亞さめ先生がツイッター凍結解除された。それに大きな影響を与えたと見られる第三者がツイッター創始者に送った文章が話題に (togetter, 8/31)
》 北朝鮮、平壌国際空港から火星-12 を実距離発射、2700km 飛行 (8/29)
北朝鮮:弾道ミサイルを発射し日本上空を通過 (海国防衛ジャーナル, 8/29)
北朝鮮 「火星12型」発射訓練の映像を公開 (NHK, 8/30)
北朝鮮のミサイル、“目標”はあくまで米国 日本上空を通過した軌道から考える (松浦 晋也 / 日経ビジネス, 8/30)
ミサイルは日本領空通過前に、高度100km以上の宇宙空間に出てしまう。今回の場合、襟裳岬上空で最高到達高度550kmになったということだ。もちろん勢いがあるからまっすぐ直下の日本に落ちてくることもない。日本に被害が及ぶとすれば、発射後の早い段階の加速途中でエンジンが停止したり爆発を起こしたりして、本体、あるいは破片が日本に降ってくる場合だけである。
発射は実は失敗?
韓国国家情報院「北、平壌順安空港の滑走路で発射」 (中央日報, 8/30)、 北朝鮮ミサイル 「平壌の順安飛行場から発射」=韓国情報機関 (聯合ニュース, 8/29)。 ずいぶん目立つ場所から発射したのですね。 見てくれと言わんばかりに。
北戦略軍司令官の予告から方向だけ80度ずらし…IRBM初めての実距離発射 (中央日報, 8/30)
グアムの代わりに日本にずらした発射方向=前に金洛兼は「火星-12型ミサイル4発が日本の島根・広島・高知県上空を通過し射程距離3356.7キロメートル、飛行時間1065秒後にグアム周辺30~40キロメートル海上水域に落ちるだろう」と述べた。今回の発射体の射程距離は予告したものに満たないが、液体燃料を使う火星-12型の場合、燃料注入量やエンジン出力を調節する方式で射程距離の調節が可能だ。ただ北朝鮮は発射方向を予告したグアムではなく80度ほど北にずらし北海道東側太平洋に落下させた。
金正恩「グアムけん制前奏曲…太平洋にまた発射する」 (ハンギョレ, 8/31)。モニター画面に注目。想定された飛行距離は 2,700km よりも長いように見える。
平壌国際空港からグアムのアンダーセン空軍基地まで 3,400km くらい。示威行為としては 3,300〜3,400 くらい飛ばさないと意味がないだろう。上記モニター画面はそういう距離に見える。
「 北ミサイル 『火星-12型』、北太平洋の目標海上に落ちなかった」失敗の可能性 (中央日報, 8/31)
北朝鮮の官営メディアがミサイルの飛行結果を明らかにしていない (中略) 朝鮮中央通信が発表した「北海道の渡島半島と襟裳岬の上空を通過した」が全部だ。かつての発射で詳細に説明した大気圏再進入技術に対する説明は見当たらない。
前回はあった詳細発表が、今回は無いと。
北朝鮮メディアの写真には金正恩委員長のそばにあるモニター画面の中に火星-12型の飛行軌跡と速度・高度・加速度などが示された場面が出ている。ところで、飛行軌跡に示された目標地点は韓日米が公開した飛行距離(2700キロメートル)より遠かった。グーグルアースで順安(スナン)空港から目標地点との距離を測ってみたところ、約3300キロメートル程度だった。当初の目標より600キロメートル程度が及ばなかった可能性が提起される。
当初の発言である 3,356km が目標飛距離なのかなあ。
だが、生半可に失敗と言い切ることも難しいという意見もある。韓国国防安保フォーラムのシン・ジョンウ事務局長は「初めての実距離射撃であるため、万一に備えて少ない燃料で発射した可能性がある」と話した。
結局よくわからない。
J アラートについて
北朝鮮のミサイル、“目標”はあくまで米国 日本上空を通過した軌道から考える (松浦 晋也 / 日経ビジネス, 8/30)
安倍晋三内閣総理大臣は29日午前の記者会見で「ミサイル発射直後からミサイルの動きを完全に把握」と述べた。(中略) これは、日本が米国と協力して北朝鮮のミサイル発射を監視する体制を確立していることを意味する。今回、午前6時3分にミサイル発射を知らせるJアラートが出た。発射後5分程度でアラートが出たわけで、情報提供体制がきちんと動作したことは、評価に値する。ただし、もしもノドンが日本を狙ってきた場合には着弾まで数分しかない。その時間で何を行ってどのように被害を軽減するかは、今後の課題ということになる。
J アラートの実践テストとしては一定の評価はできようが、 結果としては大誤報である。改善が必要だろう。
「もしもノドンが日本を狙ってきた場合には着弾まで数分しかない」のでなるべく早く、という意見もあろうが、緊急地震速報のことを思えば「数分もある」のである。 残り時間を削ってでも、より確度の高い体制にしないとまずいと思う。今後も続くであろう対米試射のたびに J アラートで混乱では北の笑いものになるだけだし、 本当にヤバいことになった時には狼少年状態だった、なんてことになるともっとまずい。
IIJmioを含む「格安スマホ」(MVNO)でのJアラート(ミサイル発射情報)の受信について (てくろぐ, 5/11)。受信できない機種があると。 当該機種では「Yahoo!防災速報」の利用を推奨。
安倍首相は事前に知っていた模様
「北ミサイル発射」事前に知っていた韓日、対応は違った…コリアパッシングの懸念強まる (中央日報, 8/30)。
韓国国家情報院は29日、「米国が前日(28日)に北朝鮮が中距離弾道ミサイル(IRBM)を発射しようとする兆候を平安北道東倉里(ピョンアンブクド・トンチャンリ)で事前に確認し、韓国に伝達した」と国会情報委員会に報告した。 (中略) 複数の情報委員は「米国が衛星を通じて北朝鮮東倉里にあるミサイル発射基地で液体燃料を注入する場面や車両移動の様子などを確認して韓国情報当局に伝えてきた」とし「今回、発射体と推定されている『火星12型』の場合、液体燃料の注入に1時間程度かかっていたため事前確認が可能だった」と伝えた。
同じ情報が日本にも届くわけですね。
安倍首相公邸泊、ミサイル把握か=野党が指摘―衆院委 (時事 / Yahoo, 8/30)、 ミサイル発射、首相把握? 前日に公邸宿泊、民進指摘 (朝日, 8/30)。 北からミサイルが来る時だけ公邸に宿泊する男。
金正恩氏「太平洋を目標に頻繁に発射を…米国の出方見て今後行動」 (中央日報, 8/22)
》 Instagramの著名人アカウントがハッキング被害、個人情報が流出 (ITmedia, 9/1)
》 (速報)クロマグロの国際会議が終わりました (勝川俊雄 / Yahoo, 9/1)
今回の大きなポイントは2つあります。
1)初期資源20%の長期回復目標に合意
2)短期回復目標の達成確率が75%を越えたら、漁獲量の増枠
》 OCNはとばっちり、米グーグルによる大規模ネット障害の真相 (日経 IT Pro, 9/1)
》 自動クリックで広告収入を稼ぐAndroid版アドウェア「GhostClicker」を確認 (トレンドマイクロ セキュリティ blog, 8/18)、 Android版クリック詐欺マルウェアがGoogle Playストアに再出現 (マカフィー, 8/28)
》 制御システムへの脅威の進化とその未来を考える(上) (佐々木弘志 / マカフィー, 8/22)
》 BSD界隈四方山話 第113回 blacklistd(8)を使ってsshd DoS攻撃を防止する方法 (技評, 9/1)。FreeBSD 11.1。
》 パスの途中にアクセス許可がないフォルダーが存在すると警告ダイアログが表示される (Ask CORE, 8/31)。Windows 10 / Server 2016 から挙動が変わっているのだが、 仕様ではないそうで。
本事象は、Windows 10、Windows Server 2016 の想定しない動作であり、次期バージョン (Fall Creators Update) で動作を改修する予定です。また現行の製品に関しても、修正を行うよう現在内部にて修正を進めている状況です。
》 FFRI、ファイルレスマルウェア対策を強化したマルウェア自動解析ツール「FFRI yarai analyzer 1.6」 (クラウド Watch, 8/31)
過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
![[平壌国際空港 - えりも岬 - 2700km]](/~kjm/security/memo/2017/0901/gmap-20170901-03.png){kind=link}
![[平壌国際空港 - アンダーセン空軍基地 - 3417km]](/~kjm/security/memo/2017/0901/gmap-20170901-01.png){kind=link}
![[平壌国際空港 - えりも岬 - 3417km]](/~kjm/security/memo/2017/0901/gmap-20170901-02.png){kind=link}