![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Feb 22 18:05:51 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 議員不祥事「自民は党名抜き、立憲民主なら党名あり」、Yahoo!ニュース見出しの怪 (Buzzap!, 2/21)
Acrobat / Reader またまた更新。1 件のセキュリティ欠陥 (情報漏洩 / Critical) を修正。Priority: 2。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.010.20098 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30127 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30482 |
関連:
Adobe Acrobat および Reader の脆弱性 (APSB19-13) に関する注意喚起 (JPCERT/CC, 2019.02.22)
Drupal に、remote から任意の PHP コードの実行を許す欠陥。 発動条件:
- The site has the Drupal 8 core RESTful Web Services (rest) module enabled and allows PATCH or POST requests, or
- the site has another web services module enabled, like JSON:API in Drupal 8, or Services or RESTful Web Services in Drupal 7.
Drupal 8 については 8.6.10 / 8.5.11 で修正されている。Drupal 7 本体には欠陥はない。 また contributed modules のいくつかに影響を受けるものがあり、それらは個別にアップデートする必要があるみたい。
RESTful Web Services - Critical - Access bypass - SA-CONTRIB-2019-018 (Drupal, 2019.02.20)
JSON:API - Highly critical - Remote code execution - SA-CONTRIB-2019-019 (Drupal, 2019.02.20)
Link - Critical - Remote Code Execution - SA-CONTRIB-2019-020 (Drupal, 2019.02.20)
Metatag - Critical - Remote code execution - SA-CONTRIB-2019-021 (Drupal, 2019.02.20)
Video - Critical - Remote Code Execution - SA-CONTRIB-2019-022 (Drupal, 2019.02.20)
Paragraphs - Critical - Remote Code Execution - SA-CONTRIB-2019-023 (Drupal, 2019.02.20)
Translation Management Tool - Critical - Remote Code Execution - SA-CONTRIB-2019-024 (Drupal, 2019.02.20)
Font Awesome Icons - Critical - Remote Code Execution - SA-CONTRIB-2019-025 (Drupal, 2019.02.20)
》 Windows 10のバージョン1809にSNMPサービスをインストールする方法 (Eiji James Yoshidaの記録, 2/19)
》 写真の無断使用問題:「使ってはいけない」だけでなく「使える」の開拓を (P2P とかその辺のお話 R, 2/13)、 写真家に怒られない「使える写真」の探し方 (P2P とかその辺のお話 R, 2/13)
》 QNAP 社製 NAS に影響を与えるマルウエアに関する情報について (JPCERT/CC, 2/15)、 Security Advisory for Malware on QTS (QNAP, 2/13)
》 内蔵マイクの存在が判明した「Nest Secure」--グーグルは仕様の記載漏れと釈明 (CNET, 2/21)。こういうことがあるので Google は信用できない。
》 「Adobe Acrobat Reader DC」「Adobe Acrobat DC」に脆弱性、修正パッチを明日公開へ 今月2回目のセキュリティアップデート、深刻度は“Critical” (窓の杜, 2/21)。Priority は 2 なので、0-day ではなさそう。
》 【クラウドセキュリティセミナー】導入事例とともに見る必要な3つのポイント。 2019.03.07、東京都港区、無料。 面さん情報ありがとうございます。
19年前から存在か ~圧縮・解凍ソフト「WinRAR」にゼロデイ脆弱性 最新ベータ版では対策済み。正式版のユーザーは注意を (窓の杜, 2019.02.21)。WinRAR に同梱されている 3rd party 製ライブラリ UNACEV2.DLL にディレクトリトラバーサルを許す欠陥があるそうで。
「UNACEV2.DLL」は2005年以降アップデートされておらず、ソースコードも公開されていない。そのため、「WinRAR」の開発元はACEファイルのサポートを断念。今年1月にリリースされた「WinRAR 5.70 Beta 1」で当該ライブラリを「WinRAR」から削除している。
Linux Kernelの脆弱性情報(CVE-2019-8912) (SIOS, 2019.02.19)
Linux Kernelの脆弱性情報(Important: CVE-2019-6974) (SIOS, 2019.02.16)
Linux kernel: three KVM bugs (CVE-2019-6974, CVE-2019-7221, CVE-2019-7222) (oss-sec ML, 2019.02.18)
systemdの脆弱性情報(Important: CVE-2019-6454) (SIOS, 2019.02.19)
CVE-2019-6454: systemd (PID1) crash with specially crafted D-Bus message (oss-sec ML, 2019.02.18)
》 【速報】わいせつ罪に問われた外科医に無罪判決 (江川紹子 / Yahoo, 2/20)。おめでとうございます。
「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (ねとらぼ, 2/16)
仮想通貨マイニングのCoinhive設置巡る刑事裁判が結審、判決は3月27日 (日経 xTECH, 2/18)
コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 (弁護士ドットコム, 2/18)
Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2 (高木浩光@自宅の日記, 2/19)
》 Critical Release - PSA-2019-02-19 (Drupal, 2/19)。2/20 1800〜2200 UTC に情報を開示するそうです。
》 人間には聞き取れない音を聞き取る音声アシスタント (Kaspersky, 2/20)。 人間には認識できないが、機械には認識できてしまう事例。
調査チームのWebサイトでこれらの音を聞いてみてください(英語記事)。最初の例では、「Without the data set the article is useless(データセットがなければこの論説は役に立たない)」というフレーズに、「Okay Google, browse to evil.com.(OK、グーグル。evil.comを開いて)」という、Webサイトを開くためのコマンドが隠されています。2つ目の例では、バッハのチェロ組曲に、「Speech can be embedded in music(音声を音楽に埋め込みできる)」というフレーズが追加されています。
》 JSAC 2019:インシデント追跡に当たる実務者への、知の共有の場として (Kaspersky, 2/18)
》 不適切動画騒動についてまとめてみた (piyolog, 2/14)
》 セブンオーナー「過労死寸前」で時短営業…「契約解除」「1700万支払い」迫られる (弁護士ドットコム, 2/19)。読めば読む程吐き気がしてきた。セブンイレブンには当分行けそうにない。
関連:
北海道コンビニ界の覇者セイコーマートに聞いた 北国を生き抜く秘訣 (ねとらぼ, 2017.02.27)
―― セイコーマートは24時間営業でない店舗が多いのも特徴ですね。この理由と、メリットなどをお伺いしたいです。
セコマ広報 確かに、弊社では24時間営業にこだわっていません。ニーズが少ないのに深夜営業をした場合、お店の採算性が低下し、最悪そのお店が存続できなくなる可能性もあります。弊社ではお店が存続し続けることを重視していますし、そこはお客さまにとっても大切なことだろうと認識しています。
ファミマ「24時間やめた」オーナーに聞く「時短営業にしてどうなった?」 (弁護士ドットコム / Yahoo, 2/20)。人件費 10% 減、食品廃棄減、 補助金減 (10万円/月)。「しかし、補助金を除いた収益はむしろ増えたという」。
WordPress 5.0.1 Security Release (2018.12.17)
WordPress 5.0.0 Remote Code Execution (RIPS Technologies, 2019.02.19)。WordPress 4.9.9 / 5.0.1 で修正された、「投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまう」件について。またこの他に Path Traversal な欠陥が、修正されずに残っているのだという。
This blog post detailed a Remote Code Execution in the WordPress core that was present for over 6 years. It became non-exploitable with a patch for another vulnerability reported by RIPS in versions 5.0.1 and 4.9.9. However, the Path Traversal is still possible and can be exploited if a plugin is installed that still allows overwriting of arbitrary Post Data. Since certain authentication to a target WordPress site is needed for exploitation, we decided to make the vulnerability public after 4 months of initially reporting the vulnerabilities.
顧客情報、令状なく取得 検察、方法記すリスト共有 (2019.01.22)
関連:
CCC、Tカード情報は「令状がある場合のみ提供」 新方針確定まで (ITmedia, 2019.02.06)
「ブルーカード」情報が県警に 令状なしで住所・買い物履歴など (信濃毎日, 2019.02.14)、 ポイントカード 捜査利用は令状なければ (信濃毎日, 2019.02.15)
警察、CCC以外2社に情報要請 裁判所令状なしの提供 (共同 / Yahoo, 2019.02.20)。衆議院予算委員会 2/20、山尾志桜里氏のところ。 「2社とも要請を拒否したと述べた」
》 攻撃グループTickによる日本の組織をターゲットにした攻撃活動 (JPCERT/CC, 2/19)
》 Microsoft Store で見つかったクリプトジャッキングアプリ (シマンテック, 2/17)
》 NHK「最後の良心」に異常事態 「ETV特集」「ハートネットTV」の制作部署が解体の危機 70人超の部員が合同で要望書を提出 (BuzzFeed, 2/15)、 NHK組織大改変で“反権力”職員72名が提出した反論意見書 (NEWS ポストセブン, 2/17)
NHK局内での説明によると、検討されている改革案は、6月以降、制作局に8つある「部」を6つの「ユニット」に改めるというもの。
ほかの7つの部が、合併やユニットへの横すべりで事実上存続するのに対し、文化・福祉番組部だけは2つのユニットに分割・吸収される形となる。
やっぱり単なる破壊じゃん。
》 中国、冷凍ギョーザからアフリカ豚コレラウイルス検出 数十万頭を殺処分 (AFPBB, 2/18)。最終製品になるまで気がつきませんでしたと。
》 「ブドウを電子レンジでチンするとプラズマが発生する」という現象の原因がついに明らかに (gigazine, 2/19)。「ブドウ程度のサイズが電磁波を増幅し極端に集中したホットスポットを作るのに最適」。
》 「日本会議」のチラシを鵜呑みにしていた安倍首相の“改憲理由” (山口一臣 / Yahoo, 2/16)。「自治体の6割以上が協力を拒否している」の元ネタが日本会議だった件。
》 ポイント還元「宣伝」に400億円 広報予算の5倍 (TV 朝日, 2/15)。バカげている。
》 「アルバイトへのボーナス不支給は違法」、大阪医科大が一転敗訴 大阪高裁判決 (毎日 / Yahoo, 2/15)
》 SamsungがBlu-rayプレーヤーの生産を終了し始めていると報じられる (gigazine, 2/18)。円盤の時代はいよいよ終了か。
》 「誰も消防車を呼んでいないのである!」漫画の作者自ら“消防車が来ない話”としてTwitterに公開 「元ネタ初めて見た」 (ねとらぼ, 2/18)。実際、隣の家が家事になったとき、「火事、火事」と叫ぶだけで何もしなかった人を見たことがあるので、通報したかどうか確認し、まだなら通報しましょう。
》 メキシコの麻薬王・エルチャポ裁判傍聴記 (國枝すみれ / 毎日)
(1)拷問部屋、殺しのセレナーデ (毎日, 1/19)
(2)堂々と国境を越えるコカイン (毎日, 2/2)
メキシコに運ばれたコカインはさまざまな手法で米国に持ち込まれた。90~93年には、唐辛子の缶詰にコカインを詰め、大型トラックで国境を越えてロサンゼルスに持ち込んだ。(中略) 00~03年にはコカインを詰めた食物油缶を貨物列車でニューヨークやシカゴに密輸し、3年間で5億~8億ドルの利益を上げた。
エルチャポはトンネルも好んだ。検察は、90年に発見されたメキシコと米西部アリゾナ州をつなぐトンネルの動画を公開した。メキシコ側の入り口はビリヤード台で隠してあった。ボタンを押すと自動的に床が開き、地下に下りる階段が現れる大規模なトンネルで、電気もつく。出口は米国の国境検問所の近くに建てられた倉庫の中。トンネルで運び込まれたコカインはこの倉庫から全米に出荷された。
だから、米大統領、トランプが主張するような国境の壁を建設しても麻薬の流入は止まらないはずだ。(中略) 現在でも国境で押収されるコカインの88%、ヘロインの90%は正規の検問所で発見されている。荷物検査の強化の方が何倍もの効果があるだろう。
(3)私の知人を殺したのはエルチャポの息子だった (毎日, 2/3)
(4)大勝利の米検察 それでも新たな「王」が生まれる (毎日, 2/18)
だが、何か変わるのだろうか。
メキシコ紙レフォルマのダイアナ・バプティスタ記者(29)は首を振る。「確かに正義の鉄ついは下されたが、米国という他人の手によってだ」。カルテルから賄賂を受け取ったと名指しされたメキシコの政治家や軍人に捜査の手が伸びる気配はない。密輸業者たちは伝説的な麻薬王エルチャポの有罪評決にショックを受けるだろうが、だからといって、密輸をやめることはしない。法外な金が稼げるからだ。
関連:
銃を手に、カルテルとの闘いを強いられるメキシコのアボカド農家 (ハーバー・ビジネス・オンライン, 2/18)
共同声明 「ダウンロード違法化の対象範囲の見直し」に関する緊急声明・「ダウンロード違法化の対象範囲」の具体的制度設計のあり方について (明治大学知的財産法政策研究所, 2/19)
〔呼びかけ人〕
高倉成男 明治大学知的財産法政策研究所長 明治大学専門職大学院法務研究科教授
中山信弘 東京大学名誉教授 明治大学研究・知財戦略機構顧問
金子敏哉 明治大学法学部准教授
中山信弘先生が呼びかけ人に!
我々は、 私的使用目的の複製に係る権利制限が、 私的領域における情報収集の自由を確保する機能を有し個人の知的・文化的活動、さらには日本の産業を支える法的基盤となっていることや、なおクリエーターやネットユーザー等からの新たな懸念の声が生じている現状に鑑み、 〔1〕ダウンロード違法化の対象範囲について、立法措置を図るに際しては、さらに慎重な議論を重ねることが必要であると考える。
そして、 海賊版対策の緊急性に鑑み2019年の通常国会における法改正が行われる場合には、 慎重を期する必要性からも、 〔2〕少なくとも、民事的規制及び刑事罰のいずれについても、規制対象を被害実態の明らかになっている海賊版対策に必要な範囲に客観的な要件により限定し、刑事罰についてはその萎縮効果の大きさに鑑みて更なる限定を行うことが不可欠であると考える。
DL違法化、研究者や弁護士ら87人が緊急声明 「国民生活に及ぼす影響、検討が不十分」 (弁護士ドットコム, 2/19)
こんな違法化「誰が頼んだ?」漫画家や専門家ら声上げる (朝日, 2/19)
ダウンロードは違法、紙に印刷はOK どうして? (朝日, 2/19)
DL違法化拡大「文化庁は失格」「ネット告発の活発化で創作・研究が萎縮」、山田奨治教授に聞く (弁護士ドットコム, 2/16)
》 ホンダ、英国スウィンドン工場を 2022 年までに閉鎖か。 来ましたね。もはや英国に価値なし。
ホンダ、英工場を閉鎖か 3500人が失職の見通し=英報道 (BBC, 2/19)
ホンダ、2022年英南部の工場閉鎖へ EU離脱原因か (朝日, 2/19)
「ホンダが英国から撤退」英メディア報道 EU強硬離脱派はこの現実にどう向き合うのか (木村正人 / Yahoo, 2/18)
世界最大級の自由貿易経済圏を形成する日本・EU経済連携協定(EPA)が2月1日に発効。7年かけて自動車分野の関税を撤廃するため、域内関税のない欧州連合(EU)から出ていく英国でわざわざ造らなくても、日本国内で生産して輸出できるようになったという事情があります。
英国にとって自動車は最大の輸出品で、2台に1台は日本の自動車メーカーが生産しています。自動車産業が衰退すれば、仮にどんなに素晴らしい通商協定を結ぶことができたとしも輸出するものがなくなってしまいます。
ホンダ、英国内の工場閉鎖を計画-EU離脱に揺れる業界に新たな打撃 (ブルームバーグ, 2/19)
ホンダは「シビック」を生産するイングランド南西部スウィンドンの工場を閉鎖する計画だと、英スカイニューズが18日に報じた。ノーススウィンドン選出のジャスティン・トムリンソン英下院議員は報道内容を認め、ホンダの決定は世界市場のトレンドに応じたもので英国の欧州連合(EU)離脱とは無関係だとツイートした。
無関係なわけないじゃん……。
ホンダ、英工場閉鎖へ 2022年までに (日経, 2/19)、 ホンダ英工場閉鎖「破壊的な打撃」 英国で動揺広がる (日経, 2/19)
》 日本の中国語表示、中国人観光客は泣くに泣けず笑うに笑えず―中国メディア (レコードチャイナ, 2/19)。ひと昔前に英語表記がアレという話が出回ってずいぶん改善されたと記憶しているが、中国語表記の改善はまだまだこれからなのかな。
》 『自衛隊の特殊部隊』が米アフリカ軍(AFRICOM)の年次特殊部隊演習「Flintlock 2019」にオブザーバー参加 (ミリタリーブログ, 2/19)
》 「馬毛島 米軍機訓練移転問題を考える」(時論公論) (NHK 解説委員室, 2/15)
》 9200万人以上のユーザーアカウント情報が大量データ流出事件の第3弾で予告通り販売開始 (gigazine, 2/19)
》 リコー、バッテリ駆動の機器でも搭載できる超低消費電力/小型の原子時計を開発 ~東工大、産総研との共同研究 (PC Watch, 2/19)。うぉぅ、すげえ。 「2024年を目途に販売開始を目指す」。商用化にはもうしばらくかかるようです。
》 「Windows 10 バージョン 1903」では“Windows Update”のSAC-T/SACの切り替えUIが廃止 紆余曲折を経て“半期チャネル”に統一へ、“半期チャネル(対象指定)”はなくなる (窓の杜, 2/19)。
総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も (2019.01.26)
関連:
IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施 (総務省, 2019.02.01)
電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律の施行に伴う国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集 (総務省, 2018.08.24)
IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) (NICT, 2019.02.13)
○ NOTICEの調査に使用するIPアドレス
・150.249.227.160/28
・153.231.215.8/29
・153.231.216.176/29
・153.231.216.184/29
・153.231.216.216/29
・153.231.226.160/29
・153.231.226.168/29
・153.231.227.192/29
・153.231.227.208/29
・153.231.227.216/29
・153.231.227.224/29
(中略)
なお、総務省が公開している資料「国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」の5ページ目に記載されているIPアドレスは特定アクセス行為に使用する送信元IPアドレスです。
http://www.soumu.go.jp/main_content/000595925.pdf
本お知らせに記載したIPアドレスは、特定アクセス行為に加えて、ポートスキャンに使用する送信元IPアドレスを含んでいるため、上記の総務省資料よりもアドレス数が増加しています。
国のIoT機器調査「NOTICE」が20日から実施、その前にやっておきたい自宅のセキュリティチェック (Internet Watch, 2019.02.18)
情報通信研究機構の合法不正アクセスの事前調査っぽい接続を調べる (記憶は人なり, 2019.01.26)
改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない (高木浩光@自宅の日記, 2019.02.11)
2019 年 2 月のセキュリティ更新プログラム (月例) (2019.02.13)
Windows 10 Version 1809 / Server 2019 用の累積更新プログラム KB4487044 で、元号がらみの不具合発生だそうです。
Microsoft、「KB4487044」適用で元号に不具合 (PC Watch, 2019.02.19)
2019 年 2 月 13 日 — KB4487044 (OS ビルド 17763.316) (Microsoft)。対応方法が記載されている。
》 米会計検査院、ネットプライバシーを強化する法整備を議会に勧告 (CNET, 2/18)。US GAO はさすがだなあ。
》 WSUS の同期先の URL の追加について (Japan WSUS Support Team Blog, 2/14)
[ 追加 URL ]
http://dl.delivery.mp.microsoft.com
https://dl.delivery.mp.microsoft.com
》 TwitterのDMはアカウントを削除してから数年後でもデータが残っており復元可能と判明 (gigazine, 2/18)
》 Amazonは1兆円以上の収益を上げるも納める税金はゼロ (gigazine, 2/18)
》 8文字のWindowsパスワードはわずか2時間半で突破可能と判明 (gigazine, 2/15)。GeForce RTX 2080 Ti + hashcat。
》 顔認識技術が使用禁止に? サンフランシスコでの動きが改めて示す、その潜在的なリスク (WIRED, 2/18)
》 通信傍受法第29条に基づく平成30年における通信傍受に関する国会への報告について (警察庁, 2/15)
》 ClamAV is currently experiencing issues with the safebrowsing CVD (ClamAV, 2/15)。まだ続いているようです。
》 コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 (弁護士ドットコム, 2/18)
》 NEC、カメラから顔や体の一部が見えない人物でも外観画像から高精度に照合する「人物照合技術」を開発 (クラウド Watch, 2/7)
Firefox 65.0 / ESR 60.5.0 公開 (2019.01.30)
Thunderbird 60.5.1 も出ています。
MFSA 2019-06 - Security vulnerabilities fixed in Thunderbird 60.5.1 (Mozilla, 2019.02.14)
韓国でSNIフィールドを使った特定サイトの接続遮断が始まる (2019.02.14)
政府によるインターネットの検閲とSNIについて (catatsuy / medium.com, 2019.02.16)。本件についての包括的な解説。
》 嵐・大野智に学ぶ「自己主張しない」リーダーシップ 活動休止という衝撃の決断を、なぜメンバーや社会は受け入れられたか (JBpress, 2/15)
大野君は、ぐいぐい引っ張る従来型のリーダーではありません。かといって、「名前だけのリーダー」でもありません。そこに秘密があるのです。意識的か無意識的かは分かりませんが、大野君のリーダーシップこそが、これからの時代のリーダー像を示しているのです。
連想したもの:
宇宙兄弟 「完璧なリーダー」は、もういらない。 (amazon)
「完璧なリーダーはもういらない」 新時代の高パフォーマンスチームの作り方 (note.mu)
》 「SMAP解散」連続記録を抜いた! 夕刊フジの「韓国一面祭り」が意味するもの 保守タブロイド紙の「立場」を考える - プチ鹿島 (文春オンライン / BLOGOS, 2/15)。プチ鹿島さんが火曜キックス 2/12 で言っていた記事。
私は昨年末にあるマスコミ人に聞いた言葉を思い出した。「いま、保守派はロシアや中国や北朝鮮は叩けない。北方領土問題や米中経済摩擦や米朝会談で慎重なときだから、気持ちよく叩けるのは韓国しかない」と。
その数日後にレーダー照射問題が起きた。なので興味深くその報道ぶりを追った。その間、首相や外相がロシアに苦戦する北方領土交渉という出来事もあった。
保守派タブロイド紙の立場を考えると、韓国を連日一面に「せざるを得ない」流れだったのかもしれない。
要はスピンなのだよなあ。韓国側の対応が超アレだったのは、スピンしたい側にとっては好都合なのだろうけど、自衛隊の現場としては本当に再発防止したいのだろうから、言わないわけにもいかないし。
》 韓国海軍駆逐艦「広開土大王」 (DDH-971) が海自 P-1 に対して火器管制レーダーを照射した件つづき。 前ねた。
韓国海軍艦艇による火器管制レーダー照射事案 (防衛省)。韓国語版も用意されたのですね。
韓国海軍艦艇による火器管制レーダー照射事案について (防衛省, 1/21)。「最終見解」は、対韓国だけでなく、対内閣・対自民党向けであったようにも思える。
レーダー照射動画を元自衛隊パイロットが解説(1) まず明白な4つの嘘 (ザ・リバティWeb, 2/13)。「元航空自衛隊パイロットの河田成治氏が解説」。
レーダー照射動画を元自衛隊パイロットが検証(2) これのどこが威嚇飛行か! (ザ・リバティWeb, 2/14)
実は、日本が公開した映像から、相手の船との距離をだいたい測ることができるんです。
例えば救難艦であるサンボンギョの長さは145.5メートルです。パイロットから見えている風景から、「相手船が水平線から船体何個分離れているか」を見れば、それがだいたい自分の高さになります。
映像の上記部分を見ると、サンボンギョから水平線は、船体一つ分以上離れています。そのため、少なくともこちらは、高度150メートルどころか、200~300メートルくらいであると概算できます。
さらに、「船体の長さを何個分伸ばすと、自分の真下に来るか」でも、距離が分かります。この場合、どう考えても船体の10倍以上はあるので、2~3キロは距離をとっているのではないでしょうか。
韓国艦レーダー照射事案、電波から何が見える? 現代戦における電波情報の重要性とは (乗りものニュース / Yahoo, 1/22)
韓国なぜ強硬姿勢? 引くに引けないレーダー照射対応 (牧野愛博 / 朝日, 1/23)
日本と韓国は“危機”のエスカレーションを登ったのか? (海国防衛ジャーナル, 1/24)
照射事件で"異常行動"を続ける韓国の事情 (沙鴎一歩 / PRESIDENT Online / BLOGOS, 1/29)
海外メディアは冷ややかな日韓レーダー照射問題 (高橋 浩祐 / WEBRONZA, 2/2)
自衛隊の名、実態と合ってない? 無線では「日本海軍」 (朝日, 2/5)。ジャパン・ネイビーの件。
防衛省は「無線で他国の船舶に連絡する際は相手が理解しやすいよう、以前からジャパンネイビーと自称するよう内規に定めている」と説明する。
海自のパイロットが航空管制官と交信する際のコールサイン(呼び出し符号)にも「ジャパンネイビー(JN)」を使うと国土交通省の航空保安業務処理規程に定めてある。航空評論家の青木謙知氏は「コールサインは所属を識別するための記号に過ぎず、言葉に深い意味はない。雑音交じりで聞き取りにくい無線通信では、簡潔で分かりやすいことが重要」という。
レーダー照射と韓国のファクトチェック (小川 和久 / GoHoo, 2/3)。韓国メディアによるファクトチェックを期待する記事。
関連: レーダー照射:「映像公開した日本側の対応に韓国『深い憂慮と遺憾』」記事への韓国読者コメント (朝鮮日報, 2018.12.29)
「P-3C 威嚇飛行」(1/23) について、 韓国国防省が公表したショボい写真 5 枚の件 (1/24)。
韓国国防省、写真5枚を公開「威嚇飛行」 日本は否定 (朝日, 1/24)
韓国“威嚇画像”新たに公開…防衛省幹部「話にならない」 (FNN, 1/24)
韓国公表のレーダー画面、徹底分析=P3Cデータ確認も・機影写真は証拠ならず-防衛省 (時事, 1/25)
韓国、画像“捏造”の新疑惑…「威嚇飛行」画面データはなんと上海沖!? 元防衛省情報分析官・西村金一氏が解析 (ZAKZAK, 1/29)、 【韓国艦のレーダー照射問題】国防省の上塗り「嘘」“捏造”の新疑惑 (Global News Asia / infoseek, 1/30)。表示されている位置がおかしいとの指摘。
》 Masscan と ZMap によるスキャンの違い (IIJ-SECT, 2/13)
》 羽田増便、米国重視が鮮明 半数が日米路線に (日経, 2/12)
背景にあるとみられるのが、米軍が管制を担う横田空域の存在だ。羽田の新ルートは同空域を一時的に通過する。米側は当初、軍用機の訓練などに支障が出かねないとして通過に難色を示していた。最終的には通過を認めたのは、米国への手厚い配分が交渉材料になった可能性がある。
日本の空なのにね。ほんと糞。
》 川上量生さん、カドカワ代表取締役からヒラ取締役に躍進(追記あり) RT @kawango2525 (川上量生さんとの訴訟を生暖かく見守る会, 2/13)
プチ鹿島 2019年・北方領土の日と北方領土エリカちゃんを語る (miyearnZZ Labo, 2/12)
「北方領土は日本固有の領土か」 政府「答え控える」 答弁書閣議決定 (赤旗, 2/9)
関連:
7.北方領土をめぐるご質問にお答えします。 (内閣府)
我が国固有の領土である北方領土には,現在もロシアが法的根拠なく占拠しています。こうした状況の中で、第三国の民間人が当該地域で経済活動を行うことを含め、北方領土においてあたかもロシア側の「管轄権」に服したかのごとき行為を行うこと、または、ロシア政府にビザを申請するなどあたかも北方領土に対するロシアの「管轄権」を前提としたかのごとき行為を行うことは、北方領土問題に対する我が国の立場と相容れず、容認できません。
首相「森羅万象すべて担当」 でも統計不正報告書は未読 (朝日, 2/6)。読んでない。
桜田五輪相、五輪憲章「読んでない」 目的も答えられず (朝日, 2/13)。読んでない。
麻生氏が新聞批判「読む人の気が知れない」 (時事, 1/14)。いや、これは、読んでないとは言ってないな。
》 SecHack365 次年度説明会。 2019.02.24 福岡県福岡市 / 2019.03.03 大阪府大阪市、無料 (抽選)。
》 電動スクーター「Xiaomi M365」に脆弱性--完全な遠隔制御が可能になるおそれ (CNET, 2/14)、 Don’t Give Me a Brake – Xiaomi Scooter Hack Enables Dangerous Accelerations and Stops for Unsuspecting Riders (Zimperium, 2/12)
》 時代を飾った12のパスワード(前) (CIO Magazine, 2/13)
》 DNS over HTTPSの必要性について (@migimigi_ / qiita, 2/12)
韓国、2019.02.12 から、暗号化されていない SNI フィールドを用いて https の遮断を実施。
韓国、海外違法ウェブサイトのアクセスを全面遮断…傍受・検閲論争に (中央日報, 2019.02.12) (魚拓)
KT (and soon others) can now block HTTPS websites. (reddit, 2019.02.12)
韓国政府、ウェブサイト遮断を実行。艦これが出来なくなる事態も発生。 (togetter, 2019.02.13)
韓国政府が有害サイトへのアクセスを遮断、反対請願も 日本では「明日は我が身」の声 (ねとらぼ, 2019.02.13)
South Korea is Censoring the Internet by Snooping on SNI Traffic (bleepingcomputer, 2019.02.13)
韓国における海賊版サイトの接続遮断措置の概要 (インターネット上の海賊版対策に関する検討会議(第3回)/ 首相官邸, 2018.07.18)
2018.5.2.文化体育観光部プレスリリース
(中略)
←https接続時のサーバ名表示(SNI)の拡張フィールド値を把握する方法を開発するといい、それまでにはDNSブロッキングを利用することも考慮すると一部報じられており、 この構想には、直ちに大統領府の国民請願掲示板で反対署名が始まった。
2019年2月13日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 2019.02.13)
対抗策としては DNS 暗号化 (DNS over TLS/DTLS/HTTPS) + SNI 暗号化 (encrypted SNI) が考えられるが、encrypted SNI は TLS 1.3 拡張へ向けて提案中の段階。
DNS over HTTPSとは (JPNIC)
DNS over HTTPSの必要性について (@migimigi_ / qiita, 2019.02.12)
Google Public DNS、DNS-over-TLSに対応 (マイナビニュース, 2019.01.10)
Encrypt it or lose it: how encrypted SNI works (Cloudflare, 2018.09.24)
Encrypted SNI Comes to Firefox Nightly (Mozilla, 2018.10.18)
Encrypted Server Name Indication for TLS 1.3 draft-ietf-tls-esni-02 (IETF, 2018.10.22)
Encrypted SNI / TLSハンドシェイクの暗号化 (@onokatio / qiita, 2018.11.27)
政府によるインターネットの検閲とSNIについて (catatsuy / medium.com, 2019.02.16)。本件についての包括的な解説。
》 韓国政府、ウェブサイト遮断を実行。艦これが出来なくなる事態も発生。 (togetter, 2/12)。SNI を利用して https を遮断。
》 Encrypted SNI / TLSハンドシェイクの暗号化 (@onokatio / qiita, 2018.11.27)。 「今の所、ESNIはTLS 1.3の拡張提案でしかないため、実際にブラウザで利用することはできません」。
》 世界に広がるロシアのネット世論操作手法。実は東南アジアはそれに先んじていた!? (一田和樹 / ハーバー・ビジネス・オンライン, 2/13)
》 Appleは、どの国の当局にどれだけの情報を開示していたのか――「透明性レポート」を読む (Internet Watch, 2/7)
》 Windows App Runs on Mac, Downloads Info Stealer and Adware (trendmicro blog, 2/11)。mono を使っている事例。
》 NSA Releases Updated Guidance on Side-Channel Vulnerabilities (US-CERT, 2/1)
》 過去全く予想しなかった方向に世界が進んでいることを示す「9つの驚くべきこと」をビル・ゲイツが発表 (gigazine, 2/13)
》 「KORKERDS」をコピーしたLinux向け仮想通貨発掘マルウェアを確認、その他のマルウェアやプロセスを停止しリソースを占有 (トレンドマイクロ セキュリティ blog, 2/12)
》 カメラアプリに偽装した不正アプリをGoogle Playで確認、ポップアップ広告を介してフィッシングサイトやポルノアプリに誘導 (トレンドマイクロ セキュリティ blog, 2/6)
》 Google Playでスパイウェアを確認、偽のログイン画面を利用したフィッシング攻撃も実行 (トレンドマイクロ セキュリティ blog, 2/8)
》 トレンドマイクロ製品を詐称する「偽警告」を確認 (トレンドマイクロ セキュリティ blog, 2/8)
》 潜在的に迷惑なアプリケーションをインストールさせる新手の技術サポート詐欺 (シマンテック, 2/7)。潜在的に迷惑なアプリケーション = PUA。
》 Mcafee Endpoint Security for Linuxインストール時のTips(CentOS 7上でのfileaccess_modモジュールによるKernel Crash等の問題と解決方法) (SIOS, 2/11)
》 Solving the TLS 1.0 problem (Microsoft Secure, 2/11)
「大学が終わっていく」、立て看掲げた東洋大生(前) (データ・マックス, 2/8)
「大学が終わっていく」、立て看掲げた東洋大生(後) (データ・マックス, 2/9)
【東洋大立て看事件】学生が大学に抗議と質問状、「事実関係を残したい」 (データ・マックス, 2/12)
津田大介「情報隠しは逆効果になる時代」 (AERA dot., 2/8)
適正な対応迫られる学生恫喝の東洋大学 (植草一秀の『知られざる真実』, 2/13)
》 [3 – 自動ダウンロードとインストールを通知] を選択していても、機能更新プログラムが自動インストールされてしまう問題 (Japan WSUS Support Team Blog, 2/7)。Windows 10 バージョン1703 以降で発生だそうで。「現時点で根本的な対処方法はありません」。修正プログラム開発中。
》 自衛隊募集、9割が協力 「6割は協力拒否」の自民大会首相発言を修正 (毎日, 2/12)。また嘘でしたか。
》 高力ボルト不足、いよいよ深刻に。 以前から言われていたことですが。
円滑な施工確保へ実効施策/強靱化投資 着実に執行/国交省 (建設通信新聞, 2/12)
ボルト不足が深刻に 建築工事、遅れや計画中止 鋼材の荷動きに影響も (日経, 2/9)
不足が続くなか、韓国製ボルトの供給が増えつつある。昨年に日本政府の認定を受け、毎月500~1000トンの輸入量になるとの見方もある。ただ、ある鋼材商社のボルト担当者は「不足が解消する感触が得られなければ価格もまだ上がる可能性がある」とみる。
ボルト不足で工事期間の長期化!?高力ボルトとは… (invest online, 1/12)
物件の建築・購入を考えていらっしゃる方、もしそれが鉄骨造なら他人事ではありません!
鉄骨造の接合部のほぼすべてには「高力ボルト」が使われているのです。
高力ボルトが足りない!国交省の緊急調査で8割が「工期に影響」 (日経 xTECH, 2018.12.04)
高力ボルト不足が深刻化 納期約6カ月、通常の4倍に (産経, 2018.11.22)
ボルト不足 建設業界懸念 母材品薄、半年で1割高 (日経, 2018.11.09)
ボルトが足りない! 建築工事に思わぬボトルネック (日経, 2018.11.07)。 そもそもの生産力が低下した上に、母材の供給が減ってフル生産できていない?
高力ボルトなど鉄骨向け建築副資材、需要旺盛。一部で納入長期化 (鉄鋼新聞, 2018.09.27)。去年 9 月の記事。
高力ボルトは、母材となる特殊鋼棒線の調達が厳しく、足元で新たに受注する場合の納入までにかかる時間が長期化。サイズや数量によっては一部に現時点で年内や年度内といった回答も見受けられる。
不足影響事例
稲佐山スロープカー工期延長 (NHK, 2/12)
「ボルト不足」整備に遅れ ラグビーW杯、熊本会場のスクリーン (熊本日日新聞, 2/10)。うわ、ラグビーワールドカップは今年ですぜ。
山陽小野田市文化ホール、休館期間を変更へ (宇部日報, 1/15)
全国的な高力ボルト不足のあおりを受け、工事を一時中止します。 (土木のしごと - (有)礒部組現場情報, 2018.12.28)
東京五輪で待機児童問題が深刻化?豊里の水道局跡にできる保育園が来春開園できなくなりました。 (号外NET, 2018.11.07)
》 著作権侵害、スクショもNG 「全面的に違法」方針決定 (朝日, 2/13)
ただ、刑事罰の対象範囲については、著作権分科会の法制・基本問題小委員会で「国民の日常的な私生活上の幅広い行為が対象になる」ため慎重さを求める声が相次ぎ、「被害実態を踏まえた海賊版対策に必要な範囲で、刑事罰による抑止を行う必要性が高い悪質な行為に限定する」こととした。いわゆる「海賊版サイト」からのダウンロード▽原作をそのまま丸ごと複製する場合▽権利者に実害がある場合▽反復継続して繰り返す行為――などを念頭に、今後文化庁が要件を絞り込む。
》 全16サイトから盗まれた6億人分のアカウント情報がダークウェブで販売開始へ (gigazine, 2/13)
Priority は 2 (Flash Player, ColdFusion, Acrobat and Reader) あるいは 3 (Linux 用 Flash Player, Creative Cloud Desktop Application)。
Security updates available for Flash Player | APSB19-06 (Adobe, 2019.02.12)。32.0.0.142 あるいは 32.0.0.144 (IE 11 / Edge)。
Security updates available for ColdFusion | APSB19-10 (Adobe, 2019.02.12)
Security updates available for Adobe Acrobat and Reader | APSB19-07 (Adobe, 2019.02.12)
Security updates available for Creative Cloud Desktop Application | APSB19-11 (Adobe, 2019.02.12)。Windows 用。
CVE-2019-5736: runc container breakout (all versions) (oss-sec ML, 2019.02.12)。patch あり。LXC にも影響。最新の開発版 (runc, LXC) では修正済。
Two more LXC breakouts (both privileged), apparmor issue? (oss-sec ML, 2019.02.12)
runcの脆弱性情報(Important: CVE-2019-5736) (SIOS, 2019.02.11)
runc < 1.0-rc6 (Docker < 18.09.2) - Host Command Execution (exploit-db.com, 2019.02.12)
runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起 (JPCERT/CC, 2019.02.14)
WebKitGTK+ and WPE WebKit Security Advisory WSA-2019-0001 (oss-sec ML, 2019.02.08)
Joomla 3.9.3 Release (Joomla, 2019.02.12)。6 件のセキュリティ修正を含む。
Django security releases issued: 2.1.6, 2.0.11 and 1.11.19 (Django, 2019.02.11)。1件のセキュリティ修正を含む。
Traq 3.7.1 CSRF / XSS / SQL Injection (packet storm, 2018.10.22)。 CVE-2018-20779 CVE-2018-20780
JVNVU#99119322 - Intel 製品に複数の脆弱性 (JVN, 2019.02.13)
Firefox 65.0 / ESR 60.5.0 公開 (2019.01.30)
Firefox 65.0.1 / ESR 60.5.1 が出ました。セキュリティ修正を含みます。
MFSA 2019-04 - Security vulnerabilities fixed in Firefox 65.0.1 (Mozilla, 2019.02.12)
MFSA 2019-05 - Security vulnerabilities fixed in Firefox ESR 60.5.1 (Mozilla, 2019.02.12)
はい月例来ました。IE / Edge, Windows, Office, ChakraCore, .NET Framework, Flash Player, Exchange, Visual Studio, Azure IoT SDK, Microsoft Dynamics, Team Foundation Server, Visual Studio Code 。
0-day があるそうです。
関連:
[3 – 自動ダウンロードとインストールを通知] を選択していても、機能更新プログラムが自動インストールされてしまう問題 (Japan WSUS Support Team Blog, 2019.02.07)。 Windows 10 バージョン 1703 以降で発生だそうで。「現時点で根本的な対処方法はありません」。修正プログラム開発中。
本日の Windows Update - 2019 年 2 月 13 日(B リリース、中継なし) (山市良のえぬなんとかわーるど, 2019.02.13)
・Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2 向けに今月(C または D のときかも)&来月(B)に Windows Update と WSUS で今後 SHA-1 が廃止されることに対応する更新プログラムが含まれる予定 (Windows Update は 2019年 4 月から、WSUS は 7 月から SHA-2 のみで提供、今月または来月の更新してないと、その後の更新に影響するって)。
→ 2019 SHA-2 Code Signing Support requirement for Windows and WSUS
https://support.microsoft.com/en-us/help/4472027/
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2019 年 2 月 (シマンテック, 2019.02.13)
Windows 10 Version 1809 / Server 2019 用の累積更新プログラム KB4487044 で、元号がらみの不具合発生だそうです。
Microsoft、「KB4487044」適用で元号に不具合 (PC Watch, 2019.02.19)
2019 年 2 月 13 日 — KB4487044 (OS ビルド 17763.316) (Microsoft)。対応方法が記載されている。
》 ダウンロード違法化の全著作物拡大に対する懸念表明と提言 (情報法制研究所, 2/8)。関連:
静止画ダウンロード違法化、情報法制研究所が強い懸念「乱暴な立法方針から転換すべき」 (弁護士ドットコム / Yahoo, 2/8)
ダウンロード違法化について、民事・刑事を問わず、「原作のまま」かつ「著作権者の利益が不当に害される場合」に限ることを明記すべきだと提案している。さらに、刑事罰の対象に「反復継続して」などの要件を加えるべきとしている。
情報法制研究所、静止画ダウンロード違法化に懸念を表明 (ねとらぼ, 2/8)
海賊版DLの違法化、漫画家も反対「ちょっと行き過ぎ」 (朝日, 2/10)
》 バカッターの次は「バカスタグラム」? 変わる“バイトテロ”の発火点 (岡田有花 / ITmedia, 2/12)
》 ロボット掃除機がストーブ動かし火災に 東京消防庁「ストーブの電源コード抜いて」 (ITmedia, 2/12)
》 捜査当局にTカード情報提供「約款に明記しても解決しない」 鈴木正朝教授が徹底解説 (弁護士ドットコム, 2/2)
今回問題視されるのは、1件1件の文書中に思想信条を推知させる個人情報、犯罪歴や病歴を推知させる個人情報、憲法及び電気通信事業法上の通信の秘密に係る個人情報などの文字列が記載されているような、いわば散在情報上のプライバシーの権利に係る情報の問題ではありません。
上記の膨大なデータベースを警察に代わって容疑者名その他の情報をキーに検索し、その結果を都度繰り返し提供していたということであれば、コンピュータ処理情報のアクセス権を事実上、警察に開放していたに等しい運用がなされていた可能性を懸念しています」
本来のマイナンバーは合憲的に立法するため、住基ネット訴訟の最高裁判決を横において、番号法大綱といういわば立法の設計図がつくられました。したがって、個人情報保護委員会が独立行政委員会で新設され、利用目的が法定され、直罰規定などで担保されながら、相当使い勝手悪くガチガチに規制されています。こちらは警察が捜査に利用するのもはばかられますが、一方で、『民間マイナンバー』はかくも緩い運用が放置されているともいえます。番号法で懸念された名寄せ機能の濫用が潜脱的に行われていないかという視点で再点検する必要があるでしょう。
》 日本がサイバーセキュリティの安全性ランキングで首位、英比較サイトが算出 (@IT, 2/8)。これ、日本が 1 位になったのは、点数のつけ方のおかげでしょ。
元ねた: Which countries have the worst (and best) cybersecurity? (comparitech, 2/6)
For each criterion, the country was given a point based on where it ranked between the highest-ranking and lowest-ranking countries. Countries with the least cyber-secure scores were given 100 points, while countries with the most cyber-secure scores were allocated zero points. All of the countries in between these two scores received a score on a percentile basis, depending on where they ranked.
あと、iPhone のおかげかな。
Lowest percentage of mobile malware infections – Japan – 1.34% of users
》 The perils of using Internet Explorer as your default browser (Microsoft, 2/6)、 マイクロソフト、企業にInternet Explorerの使用をやめるよう要請。「IEは技術的負債もたらす」 (engadget, 2/8)。かつて我が世の春を謳歌していた IE も、今ではこの扱い。
》 クラッカー集団「APT10」が大企業のネットワークに侵入したことが判明、実行犯は中国の情報機関の手先である可能性 (gigazine, 2/7)
》 Prenotification Security Advisory for Adobe Acrobat and Reader | APSB19-07 (Adobe, 2/7)。2/12 (US 時間) に Windows / Mac 用の更新版を公開予定。Priority: 2。
》 ゲイアプリ「Jack’d(ジャックト)」利用者すべてのアンロック画像流出、アカウント不要で位置情報まで見える事態に (Buzzap!, 2/8)。おそろしや。
FaceTimeのバグであなたのマイクロフォンとカメラを誰でも盗聴盗視可能に (2019.01.29)
iOS 12.1.4、macOS Mojave 10.14.3 Supplemental Update で修正されました。
About the security content of iOS 12.1.4 (Apple, 2019.02.07)
About the security content of macOS Mojave 10.14.3 Supplemental Update (Apple, 2019.02.07)
AppleがGroup FaceTimeの盗聴バグを見つけたティーンエイジャーにごほうび (techcrunch, 2019.02.08)
Chrome 72.0.3626.96 公開。1 件のセキュリティ修正が含まれる。
》 軟弱地盤、最深90メートル 辺野古新基地・大浦湾側 識者「改良工事、例がない」 (琉球新報, 2/7)。辺野古新基地の建設は事実上不可能であろ。
》 サイバーセキュリティシンポジウム in TDU 2019。 2019.03.11、東京都足立区、無料。医療機器の話。
》 一部環境で“Windows Update”に接続できない問題、原因は外部DNSサービスのダウンとデータ破損 (窓の杜, 2/6)、 Windows 10 and Windows Server 2019 update history (Microsoft)
February 4, 2019 9:45 PM PST
“The Windows Update service was impacted by a data corruption issue in an external DNS service provider global outage on January 29, 2019. The issue was resolved on the same day and Windows Update is now operating normally, but a few customers have continued to report issues connecting to the Windows Update service. We expect these issues will go away as downstream DNS servers are updated with the corrected Windows Update DNS entries.”
》 古いAMD製GPUと「October 2018 Update」の問題が解決、アップグレード停止措置は解除 (窓の杜, 2/5)
》 Firefoxも音声付き動画の音声自動再生をブロック バージョン66から (ITmedia, 2/5)。Chrome に続いて Firefox も。
》 GAFAに不満爆発「一方的に有利な契約内容だ」 取引先や個人が改善求める (大柳聡庸 / 産経 / ITmedia, 2/5)
政府は先行する欧州を参考に、プラットフォーマーの規制に乗り出す。昨年12月に規制に向けた基本原則を策定。来夏にも法改正を含めた規制措置をとりまとめ、2020年にも規制の導入を目指す。
》 ジャーナリストの常岡浩介氏に旅券返納命令 本人は拒否 (朝日, 2/4)、 安田純平さんが「猿の惑星」と皮肉交じりのツイート。常岡浩介さんへの出国禁止措置めぐり (安藤健二 / ハフポスト, 2/5)
関連: 河野外務大臣会見記録(平成31年2月5日(火曜日)17時37分 於:本省会見室) (外務省, 2/5)。会話になってない。
》 「UNIXの歴史は異文化交流の歴史」ブロックチェーンエンジニアよ、人とつながるべし UNIXの歴史に学ぶWEB3.0の作り方セミナーをレポート (仮想通貨 Watch, 2/6)
》 山市良のうぃんどうず日記(146): 2019年もWindows Updateとの格闘は続くらしい…… (@IT, 2/5)。トラブルには事欠きませんねえ。
》 CCC、Tカード情報は「令状がある場合のみ提供」 新方針確定まで (ITmedia, 2/6)。ショボい。
》 アカウントの不正利用を早期発見 ~「Microsoft Authenticator」にセキュリティ通知が追加 (窓の杜, 2/6)
》 Protect your accounts from data breaches with Password Checkup (Google, 2/5)、 流出したパスワードの使用に警告、Google Chromeの拡張機能「Password Checkup」 (ITmedia, 2/6)
》 自動運転 修正に規制…搭載プログラム 国が安全確認し許可 (読売, 2/4)。正直、何を言っているのかわからないのですが。 公文書を平気で改竄するような連中のどこに、そんな能力があるというのでしょう。
》 三菱航空機、ボンバルディアに反訴「MRJ開発阻害が目的」 (AviationWire, 1/29)
》 三菱航空機、TC取得に向け飛行試験開始確認書を受領 (FlyTeam, 2018.12.21)、 MRJ、1月下旬からTC飛行試験 エンジンから確認 (AviationWire, 2018.12.21)。はじまったというニュースは出ていないようなので、まだはじまっていないんですかね。
》 OSを"インストール"ではなく"デプロイ"する ―マルチブート環境を簡単に実現するデプロイツール「znx」 (Linux Daily Topics, 2/6)。興味深い。
》 GOMPlayer終了後の不正広告表示について調べてみた (piyolog, 2/4)
》 日大の内田前監督ら書類送付 タックル見ていなかったか (弁護士落合洋司(東京弁護士会)の日々是好日, 2/5)
「LibreOffice」にディレクトリトラバーサルの欠陥 ~v6.1.3/v6.0.7で修正済み (窓の杜, 2019.02.05)
Fixed in 7.64.0 - February 6 2019 (curl, 2019.02.06)。3 件のセキュリティ修正を含む。
2月のAndroid月例セキュリティ情報公開、PNG関連の脆弱性などに対処 (ITmedia, 2019.02.06)。2019-02-01、2019-02-05。
Android Security Bulletin — February 2019 (Android, 2019.02.04)
Pixel Update Bulletin—February 2019 (Android, 2019.02.04)
[Dovecot-news] Release notify (2.2.36.1 and 2.3.4.1) (dovecot, 2019.02.05)
* CVE-2019-3814: If imap/pop3/managesieve/submission client has trusted certificate with missing username field (ssl_cert_username_field), under some configurations Dovecot mistakenly trusts the username provided via authentication instead of failing.
* ssl_cert_username_field setting was ignored with external SMTP AUTH, because none of the MTAs (Postfix, Exim) currently send the cert_username field. This may have allowed users with trusted certificate to specify any username in the authentication. This bug didn't affect Dovecot's Submission service.
CVE-2019-3814: Suitable client certificate can be used to login as other user (oss-sec ML, 2019.02.05)
Vulnerable versions: 1.1.0 - 2.2.36 and 2.3.0 - 2.3.4
欠陥が影響するのは、以下を設定している場合だそうです:
auth_ssl_require_client_cert = yes
auth_ssl_username_from_cert = yes
発見者には $1000 が支払われています。 dovecot (hackerone) を見ると $1000 は High と Medium の間で、 $1000 はこれまでで最高の賞金だったようです。
》 “Windows Update”に接続できない問題が、一部の環境で発生 (窓の杜, 2/5)、 Windows Update が「更新サービスに接続できませんでした。後で自動的に...」と表示され失敗する (Microsoft コミュニティ, 1/30)。「サーバー側で変更を実装しました」? どういうこと?
》 気象庁のスパコン、3時間半にわたって障害 冷却装置の停止が原因 (ITmedia, 2/5)
》 豚コレラ、愛知でも感染の疑い 豊田市の養豚場で5頭 (朝日, 2/5)。うわ……。
第1回愛知県豚コレラ緊急対策会議の開催について (愛知県, 2/5)
世界的人権派ジャーナリストに性暴力疑惑 7人の女性が証言 (文春オンライン, 2018.12.25)
「神様のような広河さんに私は服従した」。フォトジャーナリストからの性的被害、背景に支配関係 (小林明子 / BuzzFeed, 2018.12.26)。1名の方に取材。
「写真が下手だから個人的に教えてあげるよ」
そう言われて、指導の場所として指定されたのは、東京・新宿の京王プラザホテルだった。
地位を利用して呼び出し。こういうのって、本当に状況が同じなんだなあ。
広河隆一氏からのコメント (DAYS JAPAN, 2018.12.26)。「私は、その当時、取材に応じられた方々の気持ちに気がつくことができず、傷つけたという認識に欠けていました」。
みなさまへ (DAYS JAPAN, 2018.12.31)
弊社は (中略) 継続的に広河氏に対して聞き取りを行っており (中略) 記事で取材に応じられた方々以外にも、同種の件があったことを確認いたしました。
弊社としては、広河氏の解任によって今回の件が終結させられるとは考えておりませんし、そうあってはならないと考えています。広河氏に対しては、これまでの広河氏自身の言動によって被害を受けた方々に誠実に対応することを求め続けていきますし、弊社としても、自らのこの間の組織としてのありようについて真摯に検証し、弊社雑誌「DAYS JAPAN」の最終号において、公表する予定です。
広河氏の「性暴力」が10年も放置された理由——セクハラを見えなくする力 (田村栄治 / Business Insider, 1/9)。文春記事執筆者による解説。
広河氏「セクハラ、立場を自覚せず」 写真界の「権力者」暴走の背景は? (毎日, 1/16)。「毎日新聞は被害を受けたとする女性2人に改めて取材し、その内容を広河氏側にぶつけた」。詳報。
DAYS JAPAN最終号、広河氏の性暴力問題検証へ (朝日, 1/18)。2月号での予告を受けての記事。
「傍観者」やめた女性たち 日本に広がる#MeToo (山田道子 / 毎日, 1/28)。言及されているのは、本件に限らない。
広河隆一氏に「2週間毎晩襲われた」新たな女性が性被害を告発 (文春オンライン, 1/30)。前回記事とは異なる女性からの証言。
広河隆一氏のハラスメント、被害女性が実名手記 (宇多川はるか / 毎日, 1/31)。 広河氏「セクハラ、立場を自覚せず」 写真界の「権力者」暴走の背景は? (毎日, 1/16) で被害を証言した女性の 1 人が、今度は実名で詳細な手記を。
》 「大幅に条件を変更」 PayPay「第2弾100億円キャンペーン」、変更点をチェック (ITmedia, 2/4)。今回は、日常シーンで積極的に使ってもらうための施策ですね。
》 岐路に立つオープンソース クラウド時代で変革迫られる (クラウド Watch, 1/28)。SSPL の件。 お金は大事なんだよね。
》 Linux/WSLを正式サポート ~macOS向けパッケージマネージャー「Homebrew 2.0.0」が公開 (窓の杜, 2/4)
》 分かるようで分からないPSEマーク 〜モバイルバッテリー、表示義務化について〜 (Trinity, 2/1)。モバイルバッテリーは丸型 PSE なので、
モバイルバッテリーではPSEを「取得」できない
PSEに適合していることをよくある表現として、「PSEを取得」と書かれることがありますが、自主検査だけの丸型PSEの場合、公的な証明書などが発行されるわけではない為、この表現は正確ではなく「対応した」「適合した」などが正しい表現になります。メーカー側が公的に必要なことは地方経済産業局に、モバイルバッテリーを輸入販売します、という事業者登録を行うだけです。この登録はあくまでその電気用品の取り扱いを行うことを政府に通達するだけで、製品自体の安全検証結果などを申請したりすることが目的ではありません。
》 FileZilla Client 3.40 が 1/25 に出ています。TLS 1.3 対応など。iida さん情報ありがとうございます。
[security] Go 1.11.5 and Go 1.10.8 are released (golang-announce, 2019.01.24)。DoS 攻撃可能な欠陥 CVE-2019-6486 を修正。
Firefox 65.0 / ESR 60.5.0 公開 (2019.01.30)
New Release: Tor Browser 8.0.5 (Tor Project, 2019.01.29)。Firefox ESR 60.5.0 対応など。 iida さん情報ありがとうございます。
》 スマホ確定申告「使えない」の声 途中で「PC行き」宣告され呆然 (税理士ドットコム, 2/1)
まず、「確定申告する年分は平成30年分ですか」と聞かれ、「はい」と答える。次に「給与以外に申告する収入がありますか」の質問。ここで「はい」を選ぶと、「お手数ですがPC版をご利用ください」との表示が出てくる。
これでは使いものにならんわなあ。あり得ん。 よくもまあ、こんなレベルでリリースしたな。
》 第18期文化審議会著作権分科会 法制・基本問題小委員会(第8回)(1/25)
第18期文化審議会著作権分科会 法制・基本問題小委員会(第8回)の開催について (文化庁, 1/18)
著作権分科会 法制・基本問題小委員会 (文化庁)。資料等はまだ公開されていない。
ダウンロード違法化の対象範囲拡大に対する反対声明 (日本マンガ学会, 1/23)。副作用が大きすぎる上に、漫画村みたいなものへの対策には全くならないと。
とくに日本のマンガ文化は、こうした〈生産行為〉を基礎とすることで、世界的な発展を遂げて来た。著作権の保護されるべき最終的な目的が「文化の発展」にある以上、この著作物の受容・消費過程における生産的・発展的側面が失われるようなことがあってはならない。よって、ダウンロード違法化の対象範囲の拡大それ自体に反対する。
「スクショ」違法に? DL違法化の拡大方針まとまらず (朝日, 1/25)。静止画ダウンロード違法化の現行案に対して、適用範囲を狭くする方向で検討される模様。
この日の審議で、前田健・神戸大大学院准教授は「多くの国民から疑問や不安の声が寄せられている」と指摘。国民にとって最も重い制裁手段となる刑事罰の重みをふまえ、刑事罰の対象範囲を絞るべきだと主張する意見書を他の4人の委員と連名で提出した。「インターネットに関わる国民の日常的な私生活上の幅広い行為が刑事罰の対象となる。刑事罰の制定には、特に慎重に慎重を重ねた議論が必要」などとつづり、海賊版サイトの利用とは直接関係ない行為にまで刑事罰が及ばないよう求めている。
5人以外の委員からも賛同の声があがり、海賊版サイトからのダウンロードや、漫画を丸ごと一冊のように「一定のまとまり」で複製する場合や反復継続して行う場合に限定するなど、刑事罰の対象となる行為を絞る方向で検討する。2月には親会議にあたる文化審議会の著作権分科会で方針を報告する日程が決まっているため、改めて小委員会を開く日程的な余裕がないとして、委員との個別のやり取りを通じて検討を続ける。
海賊版DL規制、被害者の漫画家まで批判 拙速な文化庁 (朝日, 1/25)
》 住宅用太陽光発電システムから発生した火災事故等 (消費者庁)。1/28 付で事故等原因調査報告書が公開されました。
関連: 太陽光発電ランキング (太陽光発電総合情報)。「住宅用太陽光発電シェア」の項。
》 英国の「合意なき離脱」濃厚な中、予想される航空会社の混乱。最悪500万人が足止めの可能性も (ハーバー・ビジネス・オンライン, 2/1)
英国航空、ライアン航空、イージージェットなど英国をベースにして欧州連合(EU)域内に飛行して来るフライトが、現在のEUで規定されている内容からだとEU航空区域での飛行ができなくなり飛んで来れなくなる可能性がある (中略) 英国とEUとの間で最終的にどのような形で英国がEUから離脱するのかということが不明であることから事前の情報の提供及び対応が出来ない
》 22億件超の流出アカウント情報、ダークウェブで一括公開 (ZDNet, 2/1)
》 2月1日からPSEマークが必須となるモバイルバッテリー、発火・火災事例などをNITEが発表 (家電 Watch, 1/30)。本日から。
》 Suica解約なぜできぬ JR秋田駅窓口「自費で新潟駅まで行って」 利用者から不満の声 (河北新報 / Yahoo, 2/1)。ショボい。
それにしても、いつになったら Icoca で滋賀←→名古屋を行き来できるようになるんだろう。交通系ICカードの全国相互利用サービス (JR 東海)
異なるエリアをまたがるご乗車にはご利用になれません。
ショボい。
》 新会社「株式会社オプテージ」発足に伴うコーポレートブランドの刷新について (k-opti.com, 1/31)
ロゴの青みをおびたグレーは、提供価値やサービス品質の高さ、信頼感、洗練されたイメージを表し、
はぁ。なんでこんなロービジなの? 軍用機にでもつけるの? と思ったけどなあ。
関連: 関西電力および情報通信グループ会社の組織再編について (k-opti.com, 1/31)。ケイ・オプティコム → オプテージ、 関電システムソリューションズ → 関電システムズだそうです。 ドメイン名も変わるのかなあ。
》 キューバの「謎の音響攻撃」被害でカナダ政府も外交スタッフの人数を半減させると発表 (gigazine, 2/1)
》 「Peing-質問箱-」の登録メールアドレス149万7967件が漏えい (Internet Watch, 1/31)
1/29 の段階では、辞職は否定していたのだが。
立ち退かない建物「燃やしてしまえ」明石市長、職員に暴言 (神戸新聞, 1/29 00:10)
【中継】暴言問題の明石市長が記者会見 (神戸新聞, 1/29 10:29)
明石市長、辞職否定 市長選で「有権者の判断仰ぎたい」 (神戸新聞, 1/29 10:50)
部下に「辞表出しても許さんぞ」「自分の家売れ」 明石市長の暴言詳報 (神戸新聞, 1/29 12:03)
市長「7年間、何しとってん。ふざけんな。何もしてへんやないか7年間。平成22(2010)年から何しとってん7年間。金の提示もせんと。楽な商売じゃお前ら。あほちゃうか」
これ、2011.05.01 からは泉房穂氏が市長だったわけで。 そういうあなたはこの 5 年間何をしていたの、何もしてへんやないか 5 年間、楽な商売じゃお前、あほちゃうか、 となってしまうのだよなあ。
暴言の明石市長「激高して口走ってしまった」「記憶にない」 (神戸新聞, 1/29 12:38)
暴言の泉房穂氏、4月の明石市長選への影響必至 (神戸新聞, 1/29 12:45)
暴言の明石市長 これまでもたびたび“舌禍騒動” (神戸新聞, 1/29 23:42)
東大出身で弁護士だった明石市長「火つけてこい」暴言30分【全文公開】 (AERA dot., 1/30 14:45)
市幹部、土地買収「怠慢ではない」 明石市長暴言 (神戸新聞, 1/30 20:55)
交渉を担当した市幹部は「最後の建物を放置していたのではなく、1カ月に1回以上は地権者と交渉していた。正式書面で金額は示していなかったが、概算額は提示していた。市長が激高した時期は契約前の最終段階だった」と話す。
市長は「7年間何しとってん。楽な商売しやがって」と怒鳴ったが、別の職員は「金額提示をしていないことを、全く着手していないと思い込んだのではないか」と推測した。
明石市長暴言 市に意見、6割が批判的 一部は擁護論 (神戸新聞, 1/31 05:50)。 擁護している人は、2011.05.01 からは泉房穂氏が市長だったという事実を理解していないのでは。
2/1 になって、突然辞意表明。辞職した上で出直し選挙をやれば勝てる、という算段でしょうか。
【経過表】明石市長の暴言問題 (神戸新聞, 2/1 12:12)。「2011.04.24 明石市長選挙で泉房穂が当選、5/1 着任」が抜けている。
明石市長が突然の辞意表明 市役所、市民に衝撃 (神戸新聞, 2/1 12:38)
暴言の兵庫・明石市長が辞表提出 市幹部を叱責「燃やせ」 (神戸新聞, 2/1 13:23)
【生中継】暴言で辞意 明石市長が記者会見 (神戸新聞, 2/1 13:54)
【速報】明石市長会見 市長選への態度明言せず (神戸新聞, 2/1 14:19)
【Q&A】明石市長 会見でのやり取り (神戸新聞, 2/1 14:28)
明石市長 道路拡幅事業の遅れ「市長に責任」 (神戸新聞, 2/1 14:31)
関連:
平成23年度市長選挙結果 (全国市長会)
「アベノミクス賃金増の偽装では」野党批判 首相は反論 (朝日, 1/29)
【アベノミクス偽装】「実質賃金マイナス」 ついに厚労省が認めた (田中龍作ジャーナル, 1/30)
「名目賃金指数」を「消費者物価指数」で割り、100を掛けると「実質賃金指数」が出る。それを前年同月と比べれば『実質賃金の伸び率』となる。2018年は6月を除くと、ほとんどの月がマイナスだ(写真=一覧表参照)。
6 月だけがプラス (0.6)。他は全てマイナスあるいはゼロ。
6月の数字は、自民党総裁選直前の8月、御用マスコミが「実質賃金、21年ぶりの記録的な伸び」と一斉に報じていたものだ。
例: 6月実質賃金、2.8%増=21年半ぶり伸び、賞与増加 (時事, 2018.08.07)。「実質賃金は前年同月比2.8%増で、2カ月連続のプラスだった。好業績を背景に企業が賞与を増やしたためとみられ、日本の金融危機前の1997年1月(6.2%)以来21年5カ月ぶりの高い伸び率を記録した」
実質賃金 大幅マイナス 専門家算出 厚労省認める (東京, 1/31)
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)