Last modified: Mon Aug 8 18:57:05 2022
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![]() |
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 「安倍さん今度は北口に」急いで下見 銃撃前夜、県警ドタバタの背景 (朝日, 7/28)。安倍氏が来たのは佐藤啓氏の応援演説のため。
佐藤氏は8日午前、住宅地に囲まれた近鉄学園前駅かいわいを選挙カーで回る予定だった。安倍氏が来てもそこでやりたいと考えていたが、奈良市の多くと隣接の生駒市をエリアとする奈良1区の小林茂樹衆院議員の事務所と話し合い、大和西大寺駅前に落ち着いた。
小林茂樹氏は壷の人のようで:
令和二年8月9日小林しげき日誌【ピースロード2020 in NARA】 (小林しげき [自民党] オフィシャルサイト, 2020.08.09)
「私は韓国の合同結婚式に招待された」と地方議員 旧統一教会と自治体、議員の知られざる関係 (AERA dot., 8/3)
橿原市は、ピースロードに亀田忠彦市長自身が参加していた。亀田市長を直撃すると、
「日韓親善、世界平和の団体だと表敬訪問に来られました。その時、日程があったので一緒に走りました。当日は、自民党衆院奈良1区の小林茂樹先生がオープニングでスピーチされており、ごあいさつした記憶があります。まさか旧統一教会とは思いませんでした。今後、気を付けます」
演説する場所を大和西大寺駅前にした理由として挙げられているのは、
小林氏の事務所がすぐ近くにあり、使いやすい場所だった。駅の南口はやったばかりだからという理由で、近鉄百貨店もある北口に決まった。
小林事務所は確かにすぐ近くなのだけど、統一教会もすぐ近くにあるんだよね。
小林しげき後援会事務所 (お出かけタウン情報)。奈良県奈良市西大寺東町2丁目1-63 (Google)
世界基督教統一神霊協会奈良教会 (Mapion)。奈良県奈良市西大寺本町3-23 (Google)
》 副業収入が300万円以下は事業所得でなく雑所得? 所得税にまつわる改正案が波紋呼ぶ (やじうまWatch, 8/4)
》 DuckDuckGoのブラウザがついにMicrosoftのトラッカーをブロック (gigazine, 8/8)
》 3200以上のアプリでTwitterのAPIキーが流出していることが判明、アカウント乗っ取りも可能 (gigazine, 8/3)
》 sihost.exeのCPU使用率が高いまま下がらない不具合。Windows11で発生 (ニッチなPCゲーマーの環境構築Z, 8/8)。 Windows 11 Insider Preview Build 22621.450 and 22622.450 (Microsoft, 8/2) で修正されている。
アマゾン、「ルンバ」のアイロボット買収。2285億円 (Impress Watch, 8/5)
アマゾンのアイロボット買収は「必然」だった (西田 宗千佳 / Impress Watch, 8/8)
アマゾンは「ルンバ」のアイロボットの買収で、世界中の家庭の“地図”を手に入れる (WIRED, 8/7)
「アマゾンはネット販売の企業と思われがちですが、実際のところは“監視企業”です。監視こそアマゾンのビジネスモデルの核であり、それにより市場を強力に独占し、圧倒的な利益を得ています」と、デジタル権の擁護団体「Fight for the Future」のディレクターのエヴァン・グリアーは言う。「アマゾンは、あらゆるところに触手を伸ばしています。人々の自宅の間取りを把握することで根本的に成り立っている企業を買収するということは、すでに広範な監視をしているアマゾンがさらに監視範囲を広げるにあたって自然な流れのように思われます」
Amazonによるルンバ開発元の買収は「最も危険で脅迫的な買収になる可能性がある」と有識者が警告 (gigazine, 8/8)。Institute for Local Self-Reliance (ILSR) 上級研究者、ロン・ノックス氏。
「これはつまり、アメリカの消費者に関するすべてを知りたいと考えているAmazonが、ユーザーがどこに住んで、どのような買い物をして、何を食べているのかに関する、おそらく最も多くのデータを持っている企業を買収するということを意味します」
「プライバシーの観点からすると、これは悪夢そのものです。独占禁止法の観点からすると、地球上で最も強力なデータ収集企業のひとつであるAmazonが、別の膨大で侵略的なデータセットを取得するということになります」
「このようにプライバシーに関する懸念と独占禁止法違反に関する懸念は密接に関係しています。スピーカー・ドアベル・セキュリティカメラにカメラとマイクを搭載している企業(Amazon)が、家の形と内容を把握している企業(iRobot)を買収しようとするのはあらゆる面で悪いことです」
Amazonがルンバ買収で手に入れるご家庭の情報は大丈夫? FTCとの戦いが始まるか (ITmedia, 8/7)
》 ウイルスバスター ビジネスセキュリティ 10.0 Service Pack 1 用 Patch (ビルド 2419) 適用後に発生する可能性のある事象について (トレンドマイクロ, 8/8)。さまざまな不具合が発生する可能性があると。「本事象が確認されたため、「修正プログラムの自動適用機能」での Patch 2419 の配信を停止しております」。手動での適用は可能。
Biz サーバ端末において Windows Update やルート証明書更新プログラムを無効にしている、またはルート証明書更新に必要な Microsoft のサーバにアクセスできないように設定している場合は、Patch 2419 適用前に、ルート証明書「Microsoft Identity Verification Root Certificate Authority 2020」がインポートされているかご確認いただき、インポートされていない場合には、下記の手順でインポートしてください。
》 Zoom、ライブ文字起こしが日本語やウクライナ語で順次利用できるように (PC Watch, 8/5)。「9月以降に順次利用できるようになる」予定。
Unboundの脆弱性情報が公開されました(CVE-2022-30698、CVE-2022-30699) (JPRS, 2022.08.08)。Unbound 1.16.1 以前に、 削除されたはずのドメイン名が見え続けてしまう欠陥 (新種の「幽霊ドメイン名」脆弱性)。 1.16.2 で修正されている。
https://github.com/ivd38/exim_overflow。 Exim 4.95 で修正。 CVE-2022-37452
https://github.com/ivd38/exim_invalid_free。 Exim 4.96 で修正。 CVE-2022-37451
rsyncの脆弱性(Important: CVE-2022-29154) (SIOS, 2022.08.03)
CVE-2022-37434。 zlib 1.2.12 以前に欠陥。inflate.c の inflate() に欠陥があり、 長大な gzip header extra field の処理において heap-based buffer over-read または buffer overflow が発生。inflateGetHeader() を読み出すアプリケーションにのみ影響。
twitter に、アカウント情報が流出してしまう欠陥が存在。 2021 年 6 月から 2022 年 1 月まで。
電子メールアドレスまたは電話番号をTwitterのシステムに送信すると、Twitterのシステムは、送信された電子メールアドレスまたは電話番号がどのTwitterアカウントに関連付けられているかを送信者に通知してしまう
当該の欠陥を使われると、電子メールアドレスや電話番号から非公開アカウントがバレる、といった事態が考えられると。実際、そういうデータが既に収集され販売されている模様。
Twitterは、影響を受けた可能性のあるすべてのアカウントを確認することはできず、国家やその他の関係者の標的になる可能性のある仮名アカウントを持つ人々に特に注意を払っているため、この更新を公開していると伝えています。
関連:
An incident impacting some accounts and private information on Twitter (Twitter, 2022.08.05)。本件公式。
If you operate a pseudonymous Twitter account, we understand the risks an incident like this can introduce and deeply regret that this happened. To keep your identity as veiled as possible, we recommend not adding a publicly known phone number or email address to your Twitter account.
仮名で運用しているアカウントに、リアルに結びつくような情報 (電話番号、電子メールアドレス) を加えるのはやめましょうと。 そりゃそうなのだろうが、そういうデータの入力を促しているのもまた twitter であろ。
Hacker selling Twitter account data of 5.4 million users for $30k (Bleeping Computer, 2022.07.22)
Twitter confirms zero-day used to expose data of 5.4 million accounts (Bleeping Computer, 2022.08.05)
Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売 (gigazine, 2022.08.08)
Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)
手元の Thunderbird 91.11.0 は 91.12.0 に更新されました。 一方、Thunderbird 102 系列は 102.1.1 が出たそうです。
Thunderbird 102.1.1 がリリースされた (mozillaZine, 2022.08.08)
》 大雨で孤立の馳浩・石川知事「改めておわび」 県庁に登庁 (朝日, 8/5)。なんじゃこりゃ。
馳知事は3日、県の企画で日本三霊山の「白山」に登山。記録的な降雨のあった4日昼までに下山したが、一本道の県道が通行止めとなり、登山口そばの旅館に宿泊していた。
対策本部会議後、報道陣の取材に応じた馳知事は、今回の登山について、「問題なしとはしない。どこかで中止にすればよかったかなという思いもある。検証したい」と述べた。
》 記録的大雨 山形 新潟 北陸で 【被害・影響まとめ】 (NHK, 8/5)。関連:
大雨で北陸線の敦賀駅~武生駅間は運転再開の見込み立たず 8月5日JR西日本、越美北線は終日取りやめ (福井新聞, 8/5)。「近江塩津駅(滋賀県長浜市)~金沢駅(石川県金沢市)」が通じず。
国道8号、大雨で寸断
国道8号 (ウィキペディア)
関西と北陸の「大動脈」が寸断、物流に影響 福井で土砂崩れ相次ぐ (朝日, 8/5)
福井の国道、大雨で大渋滞 ごった返すコンビニ「引き返すかな」 (朝日, 8/5)
福井県で主要道路の通行止め相次ぎ嶺北と嶺南が分断状態 8月5日午前、北陸道や国道8号 (福井新聞, 8/5)
大雨の福井県内、国道8号の状況 各区間の通行にかかる時間 8月5日17時現在 (福井新聞, 8/5)
》 ある隊長の告白「私は徹底抗戦の指令を破った」 キーウ、激戦の証言 (朝日, 8/3)。現場指揮官 (上級中尉) の証言。 第72機械化旅団 360 人のうち、生還できたのはたった 20 人だと。 しかもそれは、命令を無視してなされたものだと。
》 "プーチンの戦争" ドンバスの悲劇 (石川 一洋 / NHK 解説委員室, 8/3)
》 バラバラになったウクライナ軍第36旅団、マリウポリの戦いの真実 (航空万能論 GF, 8/5)
》 「#もうNHKに金払いたくない」SNSで拡散中! 旧統一教会問題に及び腰、臨時国会中継なぜしない (日刊ゲンダイ, 8/4)。ほんとそれ。自民党の広報番組と化している NW9 とか、吐き気しかしない。 メインキャスターが壷関係の報ステと、どちらがより下かを争っている感。
関連:
NHKはなぜ旧統一教会を実名報道に切り替えなかったのか? 経緯を知る局員は悔しそうに明かした (立岩陽一郎 / 日刊ゲンダイ, 8/3)
私のNHKでの経験を踏まえると (中略) そのポジションにいる人間が、これを出すと自分の出世に響くと感じたというような極めて低レベルな話だったのではないか? 私はそう思っている
哀しき兵士 (大越健介の報ステ後記, 2021.11.29)
笹川氏について少々説明したい。父の故・笹川良一氏は「右翼の大物」とも称された人物であり、戦後、船舶振興会の活動を通じて奉仕活動にも尽力した。僕たちの年齢の人なら、「戸締り用心 火の用心」と曜日ごとに変わるCMソングがテレビで流れていたことを覚えている人は多いだろう。その時、印半纏を着て画面に大写しになって「一日一善!」と呼びかけていた人こそ笹川良一氏であり、その社会貢献事業を継承・発展させた「日本財団」の会長が笹川陽平氏である。
国際勝共連合にも統一教会にも一切触れない説明。
「我々は世界を支配できると思った」米・統一教会の元幹部が語った"選挙協力"と"高額報酬"の実態【報道特集】 (TBS / Yahoo, 7/30)
1970年に日本武道館でおこなわれた統一教会と関連する政治団体「国際勝共連合」のイベント。ここでウッド氏は司会を務めた。日本からは右翼の大物・笹川良一氏も出席。ウッド氏は笹川氏の発言が忘れられないと話す。
アメリカ統一教会の元幹部アレン・ウッド氏
「彼(笹川)は胸をたたきながら『私は文(鮮明)氏の犬だ』と言いました。驚くべき発言でした。日本で最強の人物が自分を文氏の下に位置づけたのです。あの時、『我々は世界を支配できる』と思いました」
》 『週刊ポスト』との応酬で露呈したように見える吉川赳議員「反論」の落とし穴 (篠田博之 / Yahoo, 8/5)
《4万円のお小遣いをいただいて、バーに行くだけだからって……。バーだったはずがホテルの部屋で飲むと言われて》
典型的な騙しじゃん。アウト。
関連: 吉川氏辞職勧告案、採決されず 自民難色で審議未了―国会 (時事, 8/5)。自民党はほんとクソ。
》 改訂新版 統一教会とは何か (大月書店)。有田芳生 著。9/21 発売予定。
》 北朝鮮のハッカーがGmailの中身を盗み見る巧妙な手口とは? (gigazine, 8/5)。ハッキンググループ SharpTongue、ブラウザー拡張 SHARPEXT を使用。
SHARPEXTはユーザー名やパスワードを盗もうとするのではなく、被害者がGmailやAOLメールのアカウントをブラウザで開いた際、メールおよび添付ファイルを盗み取るという点が特徴だとされています。
》 対中国戦略を刷新、オーストラリアが過去最大規模となる国防戦略の見直し (航空万能論 GF, 8/3)
》 台湾が12機導入したP-3C、整備問題で3年後に1機しか飛べなくなる (航空万能論 GF, 8/2)。「米国が台湾に対する技術移転を拒否し続けているため」「整備が必要なものを米国に送る必要があり」、結果として運用が困難だと。
サイバー攻撃
ペロシ米下院議長訪台で総統府や国防部のネットがDDoS攻撃でダウン 乗っ取られたコンビニのサイネージには「戦争屋、台湾から出て行け」 (ITmedia, 8/5)
ペロシ下院議長の台湾訪問で台湾政府やセブン-イレブンがハッキングされ「帰れ!」と一斉表示、アノニマスから中国への反撃も (gigazine, 8/5)
中国、台湾封鎖演習を実施 (指定領域の一部に日本の EEZ を含む)
中国軍が演習を開始、台湾国防部は事実上の海上・航空封鎖だと非難 (航空万能論 GF, 8/4)
中国の台湾を取り囲む演習は武力統一のリハーサル、期間延長の可能性も (航空万能論 GF, 8/4)
中国ペロシ米下院議長の訪台後に軍事演習開始 (ブルームバーグ / 東洋経済, 8/4)
中国弾道ミサイル発射について (防衛省, 8/4)。もうちょっとマシな図をつけられないのか。 ショボすぎる。
“中国が弾道ミサイル9発発射 うち5発は日本のEEZ内に”防衛省 (NHK, 8/4)
中国軍事演習/中国ミサイルが台湾上空通過 国防部「大気圏外を飛行」 警報発令せず (フォーカス台湾, 8/5)
ミサイル発射の映像、中国SNSでも拡散 福建省?目撃者も驚きの声 (朝日, 8/5)。DF-15?
中国人民解放軍、台湾上空を通過するコースで弾道ミサイルを発射 (航空万能論 GF, 8/5)
中国の弾道ミサイル発射、航空各社は迂回対応 遅延は限定的 (AviationWire / Yahoo, 8/5)
ツイート。EEZ の解説。
#Japan's media reported that 5 #Chinese missiles have landed in Japan’s EEZ zone, which is very close to #Taiwan
— Indo-Pacific News - Watching the CCP-China Threat (@IndoPac_Info) August 4, 2022
Map via @detresfa_ shows the danger zone overlapping with the EEZ of Japan. Via @CovertShores pic.twitter.com/tUXptvKOyR
もしも台湾侵攻が実施されたら……
TSMC会長が中国の台湾侵攻に言及「誰もTSMCを武力で支配できない」 (データセンターカフェ, 8/5)。「TSMCの工場は操業不能になる」。 サプライチェーンの崩壊を意味するので。
「TSMCは、世界とリアルタイムでつながっています。欧州、日本、米国とつながっているのです。材料から化学物質、スペアパーツ、エンジニアリングソフトの診断まで、この工場を稼働させるためには、みんなの力が必要なんです。だから、もし武力で占領したら、全体のオペレーションが不可能になります。」
》 パナのエアコンに不具合 「AI快適」冷房中に運転停止 ソフト更新で解消 (ITmedia, 8/5)。「2021年10月から販売している「LXシリーズ」「XSシリーズ」「Xシリーズ」「DVEシリーズ」」。エオリアアプリを使って更新できるそうで。
》 お部屋の虫キラーワンプッシュ 160畳分 (フマキラー)
Q. 使うときに気を付けないといけないことはありますか?
A. 以下のものにかからないようにご注意ください。
① シミの原因となるので、下記のものに直接かからないよう、それらのものが近くにある状態での噴射は避けて、霧がかからない方向に噴射してください。
(電気製品、ニス等の塗装面、ワックス加工面、プラスチック、白木、桐の家具、仏壇、カーテン、精密機器、自動車、ふすま、障子、畳等)
※貴重品や高価なもの等は事前に片づけてください。
② 口に入る恐れがあるもの(飲食物、食器、おもちゃ、飼料等)は事前に片づけてください。
③ 観賞魚および水棲生物等の水槽や昆虫の飼育カゴがある部屋ではご使用にならないでください。
制限が多すぎる……。関連:
ツイート
【#お知らせ】
— フマキラー【公式】 (@fumakilla_jp) July 29, 2022
この度、弊社ワンプッシュ式殺虫剤「お部屋の虫キラー」におきまして、ご使用者様の身の回り品の表面に影響を及ぼす事象がございました。
先方様にご説明し円満に解決となりましたが、皆様にもご安心してお使い頂けますよう、弊社HPにて #注意喚起 を追加して参ります。
》 中国ロケット長征5号Bの残骸、フィリピン当局が回収 両国の火種になる可能性も (ニューズウィーク日本版, 8/4)
》 Googleロンドンデータセンターの熱波による障害は、複数の冗長冷却システムの同時故障が原因だった (データセンターカフェ, 8/3)、 Multiple Cloud products experiencing elevated error rates, latencies or service unavailability in europe-west2 (Google, 7/29 更新)
Google engineers were alerted to an issue affecting two cooling systems in one of the data centers that hosts europe-west2-a on Tuesday, 19 July 2022 at 06:33 US/Pacific and began an investigation.
europe-west2-a をホストしている複数のデータセンターのうちの 1 つにおいて、2 つの冷却システムで不具合が発生したとの警報を受けたのが 2022.07.19 06:33 と。
》 ポータブルアプリに対応した「Windows Package Manager(winget) 1.3」が公開 (窓の杜, 8/4)
》 ローカルアカウントのOSセットアップも簡単 ~インストールメディア作成ツール「Rufus」v3.20 (窓の杜, 8/4)。痒いところに手が届くツールになっているみたい。
今回のアップデートでは、「Windows User Experience」オプションがWindows 10で利用できるようになった。これはブータブルメディアを作成する際にOSのセットアップ方法をいくつかカスタマイズする機能。以下のような設定項目が用意されている。
- Windows 11のシステム要件チェック(Secure Boot、TPM 2.0など)をバイパスする(Windows 11のみ)
- データ収集を無効化して、プライバシー関連の質問をスキップする
- ローカルアカウントを現在のユーザーと同じ名前でセットアップする
- 地域の設定を現在のユーザーと同じ設定にする
》 海の向こうの“セキュリティ” 脆弱性対応を「攻撃可能性」の観点で優先順位付けした場合はどうなる? (Internet Watch, 8/4)
》 安倍晋三元首相の暗殺に使われた「パイプ銃」を再現してしまったYouTuberが登場 (gigazine, 8/4)
Herrera氏が実際に点火してみたところ、発射どころか銃が大爆発を起こしてしまいました。
「ご家庭ではこんなことをするなと言ったのを覚えてますか?これが理由です」とHerrera氏。
》 船が水面を“飛ぶ”ように滑空! スウェーデン発の斬新なフェリー「Candela P-12」は、いったいどんな構造なのか?(写真ギャラリー) (WIRED, 8/4)。電気推進式の水中翼船だそうです。
》 「GitHubで大規模なマルウェア攻撃が広まっている」──海外エンジニアのツイートが話題 すでに対応中か (ITmedia, 8/3)、 GitHub blighted by “researcher” who created thousands of malicious projects (Sophos, 8/4)
》 センチュリー、2.5/3.5インチやM.2ストレージを計19台収納できる防水防塵ケース (PC Watch, 8/2)。これも裸族シリーズなのか……。
GnuTLS patches memory mismanagement bug – update now! (Sophos, 2022.08.01)
GNUTLS-SA-2022-07-07 (GnuTLS)。GnuTLS 3.6.0〜3.7.6 に影響。
CVE-2022-2509 (Mitre)。Date Record Created: 20220722
[gnutls-help] gnutls 3.7.7 (gnutls-help ML, 2022.07.28)
GnuTLSの脆弱性情報(Moderate: CVE-2022-2509) (SIOS, 2022.08.02)
Django security releases issued: 4.0.7 and 3.2.15 (Django, 2022.08.03)。CVE-2022-36359: Potential reflected file download vulnerability in FileResponse (high severity) を修正。
Security Bulletin: NVIDIA GPU Display Driver - August 2022 (NVIDIA, 2022.08.02)。多くがダウンロード可能だが、一部は来週提供予定。
》 Uber Eatsのメールなどを表示するとOutlookが停止する不具合。Wordにも影響 (ニッチなPCゲーマーの環境構築Z, 8/2)。8/10 に修正予定だそうで。
》 ビットコイン発明者サトシ・ナカモトの正体とされる人物が名誉毀損訴訟で勝訴し約160円の賠償金を得る (gigazine, 8/3)
ペロシ米下院議長が訪台すれば中国軍が示威行動も=米政府 (BBC, 8/2)
ペロシ米下院議長が台湾を訪問、議会で演説 中国は「極めて危険」と非難 (BBC, 8/3)
ペロシ米下院議長が台湾到着 現職では25年ぶり訪問 (毎日, 8/2)
ペロシ氏訪台、中国が猛反発「主権と領土保全を侵害」…海域での実弾訓練を通告 (読売, 8/3)、 台湾沖に中国駆逐艦・空母出港の情報も…ペロシ氏に「メンツ」潰された習氏、強硬姿勢 (読売, 8/3)。
「海域での実弾訓練」って何だ。 これか: 中国軍、4日から実弾訓練 台湾囲む海と空で ペロシ氏訪問対抗 (毎日, 8/3)
中国がペロシ米下院議長の台湾訪問に激怒する理由 (野嶋剛 / Yahoo, 8/3)
制裁方面
中国、台湾産かんきつ類や魚類の輸入停止 (AFP, 8/3)
中国、台湾への天然砂輸出停止-かんきつや魚類輸入も中断 (ブルームバーグ, 8/3)
》 DMMの「Mastercard取引停止」で考える“カード決済の裏” クレカの扱いがなくなる複数の理由 (ITmedia 8/3)
》 猛暑で原子炉を冷やせない! 地球温暖化の影響が原発の稼働にも及び始めた (WIRED, 7/31)
》 新しい脆弱性がCVEで開示されると攻撃準備として15分以内にスキャンされ数時間以内に実際の悪用が試みられる (gigazine, 7/28)。
こちらの件: 攻撃者は注目のゼロデイをすばやく利用: 2022 Unit 42 インシデント対応レポートからの知見 (paloalto networks, 7/26)。 ProxyShell はこちら: Microsoft Exchange Server の脆弱性「ProxyShell」とは [CVE-2021-34473, CVE-2021-34523, CVE-2021-31207] (SIDfm ブログ, 2021.12.02 更新)
》 中国の「制御不能ロケット」がフィリピン近海に落下し火の玉の映像が多数ネット上に投稿される、「中国は無責任」とNASA (gigazine, 8/1)。長征 5B の件。
》 ハッカー集団「アノニマス」がロシアから「分析に数年かかるレベルの膨大なデータ」を盗み出している (gigazine, 8/1)
》 22万台のHDDとSSDを監視するBackBlazeの「メーカー・モデル別統計データ2022年Q2版」が公開 (gigazine, 8/3)
》 ロサンゼルス・レイカーズのオーナーのTwitterアカウントがハッキングされ「PS5配布キャンペーン」を実施 (gigazine, 8/3)
》 Wireshark 3.6.7 Release Notes (Wireshark, 7/27)
》 夏休みにおける情報セキュリティに関する注意喚起 (IPA, 8/3)。季節ねた。
》 Malicious IIS extensions quietly open persistent backdoors into servers (Microsoft, 7/26)。IIS 機能拡張を使ったバックドアの事例紹介。
》 Googleは令状なしで監視カメラ映像を警察に提供する用意がある (gigazine, 7/28)。 Google Nest の件。 Amazon Ring は実績ありだそうで。
関連: Amazonの監視カメラRing、令状なし・所有者に無断で警察に映像を提供していたことが発覚 (P2Ptk.org, 7/19)
このプロセスの「緊急」的特例は、警察がAmazonに直接に、しかも令状なしで映像の提出を要求できるものとなっている。だが、このプロセスには市民の自由を保護するための十分なセーフガードが設けられていない。たとえば、実際に緊急事態であったかを裁判官やRing所有者が判断するプロセスは存在せず、警察による乱用を招くおそれがある。警察は次第に緊急性の低い事案であっても、Amazonに要請する誘惑に駆られるようになるだろう。
同様の問題が Google Nest にも存在するのでしょう。
VMware Workspace ONE Access、Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation に計 9 件のセキュリティ欠陥。
- 3a. Authentication Bypass Vulnerability (CVE-2022-31656)
- 3b. JDBC Injection Remote Code Execution Vulnerability (CVE-2022-31658)
- 3c. SQL injection Remote Code Execution Vulnerability (CVE-2022-31659)
- 3d. Local Privilege Escalation Vulnerability (CVE-2022-31660, CVE-2022-31661)
- 3e. Local Privilege Escalation Vulnerability (CVE-2022-31664)
- 3f. JDBC Injection Remote Code Execution Vulnerability (CVE-2022-31665)
- 3g. URL Injection Vulnerability (CVE-2022-31657)
- 3h. Path traversal vulnerability (CVE-2022-31662)
- 3i. Cross-site scripting (XSS) vulnerability (CVE-2022-31663)
多くの製品で CVE-2022-31656 が critical、3b〜3f が important と判定されている。 patch が用意されているので適用すればよい。
関連:
VMSA-2022-0021: What You Need to Know (VMware, 2022.08.02)
VMSA-2022-0021: Questions & Answers (VMware, 2022.08.02)
Chrome 104.0.5112.79 (Mac 版、Linux 版) および 104.0.5112.79/80/81 (Windows 版) が stable に。 27 件のセキュリティ修正を含む。
手元の Windows では 104.0.5112.81 しか見かけないのだが、79/80 はどういうプラットホームに対応しているんだろう。
2022 年 7 月のセキュリティ更新プログラム (月例) (2022.07.14)
Microsoft、Windows CSRSS の特権の昇格 CVE-2022-22047 0-day について、オーストリアの民間企業 DSIRF からの攻撃だったと発表:
Untangling KNOTWEED: European private-sector offensive actor using 0-day exploits (Microsoft, 2022.07.27)
WindowsとAdobe Readerのゼロデイ脆弱性を利用した攻撃をオーストリアの民間企業が仕掛けていたと判明 (gigazine, 2022.07.28)
DSIRFは2016年6月にオーストリアで設立された企業で、表向きは貿易業を営んでいるように装っていましたが、実際は選挙への介入や不正なハッキング操作、外国での情報戦術などを事業として行っていたとのこと。また、DSIRFは機密データの自動流出や脅威の特定や追跡などを行うトロイの木馬「Subzero」を使い、テロや犯罪、金融詐欺に応用できることをうたっていたそうです。オーストリアのメディアであるNetzpolitik.orgによれば、DSIRFはロシアとの取引も過去にあり、2016年のアメリカ大統領選挙でも活躍したと参考資料に記していたそうです。
WebKitGTK and WPE WebKit Security Advisory WSA-2022-0007 (oss-sec ML, 2022.07.28)。 CVE-2022-32792 CVE-2022-32816 CVE-2022-2294 の 3 件。
HotFix for Security Advisory Impacting NetBackup OpsCenter (Veritas, 2022.07.13)。無認証でのアカウント作成・変更、リモートからのコマンド実行など 8 件のセキュリティ欠陥を修正。 8.3.0.2 / 9.0.0.1 / 9.1.0.1 / 10.0 にアップデートした上で hotfix を適用する。
》 中央大学、Zホールディングス、DNPら6機関がサイバーセキュリティ人材育成に向けた産学官連携を発表 (Internet Watch, 8/1)
》 Googleの位置情報が「中絶」犯罪化の監視ツールになるわけとは? (新聞紙学的, 7/25)
高まる懸念を受け、グーグルは7月1日の公式ブログで、中絶クリニックなどへの訪問を示す位置情報をシステムが検知した場合、直ちにそのデータを削除する、と発表した。
(中略)
だが、巨大IT企業の監視NPO「テック・トランスペアレンシー・プロジェクト(TTP)」が7月21日に公表した調査結果によると、この削除システムは十分に機能していない、 という。
》 Facebookがついにニュースを見限った、その3つの理由とは? (新聞紙学的, 8/1)
》 Intel、第10世代以前のCPU内蔵GPUをレガシー扱いに。致命的なバグ/脆弱性修正のみ提供へ (PC Watch, 7/29)
》 「漫画村」元運営に19億円の賠償請求 KADOKAWA、集英社、小学館が訴訟提起 (ITmedia, 7/28)
》 アルカイダのザワヒリ容疑者を空爆で殺害 バイデン氏「正義は実現」 (朝日, 8/2)。CIA の対テロ作戦。ドローンからの空爆 (ヘルファイア x 2)。関連:
Ayman al-Zawahiri: Al-Qaeda leader killed in US drone strike (BBC, 8/2)
U.S. kills al Qaeda leader Ayman al-Zawahri in drone strike (politico, 8/1)
The strike, carried out by a CIA-operated Air Force drone, occurred at 6:18 a.m. Sunday local time in Kabul as the al Qaeda leader stood on the balcony of his house, the official said. A person familiar with the operation separately said it took “a few days” to confirm the killing because the U.S. doesn’t “have many assets on the ground.”
“The strike was ultimately carried out at 9:48 p.m. Eastern on July 30 by an unmanned aerial vehicle. Two hellfire missiles were fired at Zawahri.… Only Zawahri was killed in the strike,” the official said, saying there’s no evidence of any other loss of life.
Killed at 71, Ayman al-Zawahri Led a Life of Secrecy and Violence (NYTimes, 8/1)
》 マーベル映画に変調 「スーパーヒーロー疲れ」も (Wall Street Journal, 8/1)
直近のマーベル作品では、21年の「エターナルズ」(興行収入4億0230万ドル)、「シャン・チー/テン・リングスの伝説」(同4億2070万ドル)、「ブラック・ウィドウ」(同3億7320万ドル)はいずれも、少なくとも過去のマーベル作品の興行成績からみれば「大コケ」に終わった。
この 3 作については、新型コロナの影響もあるから、一概に言われてもねえ。
関連: マーベル・シネマティック・ユニバース全27作品 興行収入ランキング (Business Insider, 2/5)
》 CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー個人情報保護法 (なか2656のblog, 7/29)。また CCC ですか。なか2656さん情報ありがとうございます。
》 堺市営原山公園プールのウォータースライダーで連日負傷事故、運行を中止
ウォータースライダーで6針縫うけが スリル体感があだに 利用中止 (朝日, 8/1)
原山公園プールでの負傷者発生に伴うスライダーの一部運行中止について (堺市, 8/1)。4 件、いずれも左眉付近。
白色スライダーの後半落差部付近でバランスを崩し、頭部側面をスライダー内壁面で打ったことが原因と考えられます
朝日報道と堺市発表を合わせると、こんな感じ:
7/3(日) | 40歳代男性 | 左眉付近の打撲 |
7/9(土) | 10 歳代男児 | 左眉付近の裂傷 (すり傷) |
40 歳代男性 | 左眉付近の裂傷 (5針) | |
7/10(日) | 40 歳代男性 | 左眉付近の裂傷 (6針) |
AndroidのBluetoothにリモートコード実行の問題 ~2022年8月のセキュリティ更新が公表 (窓の杜, 2022.08.02)。セキュリティレベル 2022-08-01 / 2022-08-05。
Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)
結局 Thunderbird 91.12.0 リリースされたそうで。 でも手元の Thunderbird 91.11.0 は「最新バージョンです」と主張するんですよね。
Thunderbird 91.12.0 がリリースされた (mozillaZine, 2022.07.29)
「Thunderbird 91.12.0」が公開 ~「Thunderbird 91」系でも「Google トーク」対応を終了 (窓の杜, 2022.08.02)
Thunderbird 102 系列は 102.1.0 が出ています。
Thunderbird 102.1.0 がリリースされた (mozillaZine, 2022.07.29)
テスト目的での利用ではないユーザーは、現時点では Thunderbird 102.1.0 へ更新するべきではない。
とは言うものの、 https://www.thunderbird.net/ja/ でダウンロードされるのは 102.1.0 なのである。 アップグレード時に難があるかもしれない、という見解なのだろうか。
KDDI髙橋社長が「au通信障害」謝罪、現時点で判明している経緯とは (2022.07.04)
KDDI、社長会見 (2022.07.29) にて返金内容を発表。 3,589万人 (KDDI) + 66万人 (沖縄セルラー) にお詫び返金 200 円、 271万人 (KDDI) + 7万人 (沖縄セルラー) に約款返金として契約料金プランの2日分を返金。 povo2.0 はデータトッピング (1GB/3日間) を進呈。
7月2日に発生した通信障害について (KDDI)。会見動画もこちらから。
KDDI通信障害、「約款返金271万人」と「おわび返金200円」の根拠は? (ITmedia, 2022.07.29)
KDDIの契約約款では、音声通話やデータ通信を24時間以上利用できない状態が続いた場合、その期間の料金を返金するよう規定されている。今回の通信障害では、24時間以上利用できない状態となったのは音声通話のみで、データ通信に関しては、流量制限をかけていたものの、24時間以上利用できない状態にはなっていなかった。
従って、271万という数字は音声契約「のみ」を契約しているユーザーで、音声+データ通信を契約しているユーザーは含まれない。データ通信は24時間の中で少なからず使えていたので、音声が24時間使えなかったとしても、通信手段を確保できていたという考えだ。
MVNO 各社も返金を発表。
IIJ、7月上旬のau回線通信障害で200円返金 (ケータイ Watch, 2022.07.30)
mineoとJ:COM MOBILE、KDDIの大規模通信障害に伴い返金対応 (ITmedia, 2022.08.01)
本当の原因。
KDDI通信障害は“作業マニュアルの取り違え”から ヒューマンエラーで補償額73億円 (ITmedia, 2022.07.29)
ルーターのメンテナンスに当たっていたオペレーターはマニュアルに沿って作業していた。作業難易度も高くはなかった。それでも設定にミスが発生したのは、参照するマニュアルが古いバージョンだったからだ。
KDDIではネットワークルーティングのポリシー変更に伴ってマニュアルの内容も更新していた。メンテナンス作業をする際には、使用するマニュアルの確認も兼ねた承認手続きもあり、バージョンの確認もしたが、内容が最新ではなかったという。
「バージョンの確認もした」にもかかわらず「内容が最新ではなかった」。
これはつまり、マニュアルのバージョンコントロールに失敗した、ということ?
7月2日に発生した通信障害について
(KDDI) には、再発防止策として「メンテナンス作業
(1)
作業手順書管理ルール・作業承認手法の見直し 2022年7月14日実施済
」
とあるのだが、具体的にはどのように見直したのだろう。
KDDI「通信障害に関する説明会」詳報、1時間半の説明会で何が語られたのか (ケータイ Watch, 2022.07.30)
――手順書のミスについてもう少し詳しく教えてほしい。
吉村氏
少し専門的な言い方になりますが、ネットワークのルーティングのポリシーに変更があり、手順書の変更が発生していました。
したがって、新しい手順書を使う必要がありましたが、古い手順書も選べるような状態になってしまっており、それを受注してしまいました。これは私たちの管理にも問題があるということで、再発防止に努めたいと思います。
作業者は手順書に沿って作業をきちんとやっていましたので、作業者に対しても悪いことをしてしまったと感じています。
関連
KDDI大規模障害からなにを学ぶべきか (西田 宗千佳 / Impress Watch, 2022.08.01)
今回の障害の本質から得られる教訓はなにか?
筆者は2つあると思っている。
1つ目は「緊急通報ができない期間が生まれることのリスクが認識されたこと」だ。
(中略)
2つめの課題は「産業利用への影響」だ。
KDDI通信障害で進むか、10年塩漬け緊急時の事業者間ローミング (堀越 功 / 日経 xTECH, 2022.08.01)
緊急時の事業者間ローミングは、東日本大震災が起きた2011年も総務省で議論された。当時は主に3つの課題が表面化し、実現には至らず継続検討になった。
まずは(1)各社で採用する携帯電話の方式が異なった点だ。2011年当時はまだ3G全盛時代であり、NTTドコモとソフトバンクモバイル(当時、現ソフトバンク)がW-CDMA方式、KDDIがCDMA2000方式を採用していた。例えばCDMA2000方式の端末を持つ利用者は、W-CDMA方式のネットワークにローミングできない。事業者間ローミングの有効性に乏しかった。
さらに(2)容量面の課題もあった。災害時に応急復旧したネットワークは処理できる通信量も限られている。事業者間ローミングによって他社の利用者を受け入れると負荷が高まり、自社の利用者もつながりにくくなる恐れがある。
そして日本では法令で、(3)緊急通報が途切れた場合も、発信者に呼び返し(コールバック)できる機能が求められている点もネックになった。
(1)、(2) は現在ではクリアできそうだが (3) はなお困難だそうで。
ただ現時点では、完璧な実装を求めるあまり、KDDIのように大規模通信障害が発生した際に、緊急通報をまったく利用できなくなるという事態に陥っている。呼び返し機能がなくても、緊急通報だけでも事業者間ローミングで実現すれば、救えるケースがあるかもしれない。「0」か「1」ではなく、できることから進めるアプローチも有効ではないか。
KDDIの大規模通信障害で示された大きな課題「ユーザーの周知」はどうあるべきか (石川 温 / ケータイ Watch, 2022.08.02)
KDDI障害、クロステック緊急座談会
(前編) 大規模障害を起こしたKDDIとみずほ銀行、運用体制の弱さに共通点 (日経 xTECH, 2022.07.27)
(後編) みずほ銀行の教訓に学ぶ、KDDI障害再発防止策の焦点は「レジリエンス」 (日経 xTECH, 2022.07.28)
なお今回のKDDI通信障害では、「DBが輻輳」という表現が普通に使われている点に、違和感があります。情報システムの場合、「トランザクションがどれくらい失敗したのか」「レスポンスタイムがどれくらい遅くなったのか」「同時接続数をどれくらい減らしたのか」といった言葉で説明します。「DBが輻輳」では、何も語っていないのと同じです。
過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998