![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Dec 2 19:02:09 2020
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 アップルの「M1」登場で浮き彫りになるインテルのプロセッサー問題 (CNET, 12/2)
》 ゴールデンボンバー、動画配信で楽曲そのまま流してOK 個人向けのガイドラインを公開 (ITmedia, 12/2)
公開したガイドラインは、ゴールデンボンバーの全楽曲が対象。ただし、権利者が複数にわたる楽曲「タイムマシンが欲しいよ」「僕クエスト」「あの素晴しい朝をもう一度」「ガガガガガガガ」は対象外とした。
》 今年もスタート、「本番環境でやらかした失敗談」を毎日1人ずつさらけ出す人気企画 (やじうま Watch, 12/2)
》 米Salesforce、277億ドルでSlackを買収 (クラウド Watch, 12/2)
》 macOS Big Sur 11 対応アンチウイルス話つづき
Trend Micro Apex One (Mac) Support for MacOS Big Sur (11.0) (Trendmicro)。SaaS 版は対応済、オンプレ版は 12/9 予定。
macOS Big Sur 11.0 への対応について (ESET)。「一部機能のみに対応した以下の macOS Big Sur 11.0 暫定対応プログラムを、2020年11月24日より提供開始しました」「リアルタイムファイルシステム保護機能のみ動作します」。6.10.333.0。
macOS 11 Big Sur (previously known as 10.16) (Sophos, 12/1 更新)。未対応。
Please do not upgrade to macOS 11 (Big Sur) unless you are running a Sophos Endpoint which is designed for it. Sophos Central users can join the Early Access Program to obtain version 10.0.2, which does support Big Sur.
On Premise (SEC): The Preview release steam will have version 9.10.1. This is rolling out from Dec 3-10, 2020. 9.10.1 is a Preview and should be treated like an Early Access. The Recommended version will be 9.10.0, which does not yet support Big Sur.
Symantec Endpoint Protection (SEP) Client Compatibility List for macOS and OSX (Broadcom)。11/5 から更新されてない。 When will the Symantec Endpoint Protection client, which supports macOS11.0 Big Sur, be released? (Broadcom, 10/16) によると SEP 14.3 RU1 で対応予定。 「GA is currently targeted for 12/7」だそうで。 (米国日付です)
Supported platforms for Endpoint Security for Mac (McAfee)。McAfee Endpoint Security for Mac 10.7.5 で対応。 ENSM 10.7.5 は macOS 10.5.6 以降にのみ対応。
》 ESET + Thunderbird 78.5 でメールを取得できない件
Problems with thunderbird and IMAPS (ESET Security Forum, 12/1)
[KB7728] Unable to access or receive emails in Thunderbird with ESET product installed (ESET, 12/1)。Enable SSL/TLS protocol filtering を一旦 disable にして [OK] したあと、再度 enable にすると回復する模様。
》 空自 F-35A は Auto GCAS を塔載済 (2020.05)。 知らんかった。
日本でのF-35A墜落が影響?予定より7年も早く地表衝突回避システム搭載へ (航空万能論, 2019.07.26)。米軍 F-35A に塔載し始めた、という記事。
空自F-35A、自動地面衝突回避システムを搭載 (FlyTeam, 5/25)
防衛大臣記者会見 (防衛省, 5/22)
Q:今週、アメリカでF-35の事故がありましたが、米側とは何かしらの説明は受けてらっしゃるのでしょうか。
A:F-35の着陸時の墜落の事故のことだと思いますが、やり取りをしているところでございます。
Q:関連して、大臣は3月に三沢のF-35を視察されましたが、安全対策についてはどのように考えていらっしゃるでしょうか。
A:どの安全対策ですか。
Q:三沢のF-35です。
A:今のところ何か問題があるとは思っておりません。シミュレーターも使いながら、しっかりと訓練をやってもらいたいと思っております。
Q:関連して、事故防止のオートジーキャス、要するに地上に衝突を回避する装置があるのですけれども、その搭載状況についてはいかがでしょうか。
A:Auto Ground Collision Avoidance Systemのことですかね。この機能については、既に配備しているF-35を含め、自衛隊の機体には配備されていると承知しております。
》 米海軍、火災を起こしたワスプ級強襲揚陸艦をスクラップ処分に (航空万能論, 12/1)。LHD-6 ボノム・リシャール。
》 ロシアが北方領土に防空ミサイル配備か 対艦に続き戦力増強 (産経, 12/1)、 ロシア軍が演習を装い択後島にS-300V4配備、同地域の防空任務を引き継ぐ (航空万能論, 12/2)
イージス・アショア代替策 結局はイージス艦なの? (NHK, 11/4)、 「イージス・アショア」代替策 イージス艦増で検討へ 防衛省 (NHK, 11/26)
陸上イージスの代替策はイージス艦? 議論が先祖返りする不思議 (牧野愛博 / 朝日, 11/11)。船ではだめだからアショア、という話だったんだよね。 もともとは。
SPY-6搭載イージス艦は2000億円なのにSPY-7搭載イージス艦が2400億円するのは何故か? (JSF / Yahoo, 11/25)
代替案中間報告に記載されたイージスアショア導入経費が従来の説明と異なる疑問点 (JSF / Yahoo, 11/26)
巨額コスト、膨張恐れ レーダー試験も高額―陸上イージス代替案・防衛省 (時事, 11/30)。SPY-6 にすればいいのにね。
》 中国軍対艦弾道ミサイル DF-21D / DF-26B、実用段階に到達している模様
軍関係者「航行船舶に命中」=8月発射の中国弾道ミサイル (時事 / 乗りものニュース, 11/14)
対艦弾道ミサイルの脅威、中国軍のDF-21とDF-26が航行中の艦艇に命中 (航空万能論, 11/14)
中国の弾道ミサイルが艦艇に命中するようになった。太平洋での新たな軍拡競争か (スプートニク, 11/30)
「米空母を撃破」中国軍が悲願の能力をついに達成か (北村 淳 / JBpress, 11/26)
【研究ノート】 中国の ASBM の開発動向 ― DF-21D を中心に ― (山下 奈々 / 海幹校戦略研究特別号, 2020.04)
FileZen V4.2.2 以前に欠陥。詳細不明。 V4.2.3 以降で修正されている。 最新は V5.0.0 / V4.2.5。
【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前) (ソリトンシステムズ, 2020.12.02)。「FileZenをV4.2.2以前のバージョンでご使用のお客様は、至急最新バージョン(*2)にアップデートしてください」
今回、保守に加入されていないお客様へもアップデート用ファームウエアのご用意がございますので
シリアル番号をご用意の上、こちらよりお問い合わせ下さい。
(対象モデル:ST82、ST81、DX51)
Firefox 83.0 / ESR 78.5.0 公開 (2020.11.18)
Thunderbird 78.5.0、78.5.1 が出ています。 セキュリティ修正を含みます。
Thunderbird 78.5.0 がリリースされた (Mozilla, 2020.11.19)
Thunderbird 78.5.1 がリリースされた (Mozilla, 2020.12.02)
》 原子力規制委にサイバー攻撃 「機密性2」に不正侵入か 警視庁が捜査 (毎日, 11/27)
》 「昨今まれに見る最悪の意見」──デジタル庁の議論「データ共同利用権」に専門家が異議 “プライバシーフリーク”鈴木教授に論点を聞く (ITmedia, 11/27)
》 ウェブ制作に活かすユニバーサルデザインの視点 (PRESS.mjmj, 2019.12.09)
》 これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題 (楠 正憲 / 日経, 11/28)
》 バイデン氏、足の骨にひび 犬と遊んで足滑らせ (ロイター, 11/30)。ねんざだけでは済まなかった模様。おだいじに。
》 バイデン氏も悩んだ吃音 マンガに描いた嘲笑と涙と希望 (朝日, 11/28)。きつおんガール (合同出版) の件。
複数の SSL VPN 製品の脆弱性に関する注意喚起 (2019.09.02)
警察庁 × CVE-2018-13379。
Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。 (毎日, 2020.11.24)
警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず (毎日, 2020.11.27)
警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か? (大元隆志 / Yahoo, 2020.11.28)
警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた (piyolog, 2020.11.30)
》 WinSCP 5.17.9 が公開されています。Version History。 iida さん情報ありがとうございます。
》 東京地検特捜部の意図は?読売・NHKは情報を掴んでいた? 「桜を見る会」で安倍前総理の秘書ら事情聴取 (弁護士落合洋司(東京弁護士会)の日々是好日, 11/24)
》 Windows Sysinternals 更新情報 (2020 年 11 月 26 日) - Sysmon 12.03, SDelete v2.04, WinObj v2.23, LogonSessions 1.41, Adrestore v1.2 (山市良のえぬなんとかわーるど, 11/26)
》 イージスBMD:SM-3ブロック2Aが初のICBM迎撃実験に成功 (海国防衛ジャーナル, 11/17)
》 総額680億円をFacebookユーザー140万人がゲット、顔認識技術によるプライバシー侵害訴訟で (gigazine, 11/26)
》 2 年目の Windows 7 と Windows Server 2008 の延長セキュリティ更新プログラム (Japan Windows Blog, 11/20)
》 大学爆破予告事件、容疑者逮捕 (11/4)、再逮捕 (11/25)
高知大、高知県立大に爆破予告疑い 奈良の阪大院生を逮捕 (高知新聞, 11/5) (魚拓)。逮捕は 11/4。高知大・高知県立大の件の容疑。
大学爆破予告容疑で阪大院生を再逮捕 「恒心教」名乗り繰り返す? 警視庁 (毎日, 11/25)。長崎大・長崎県立大 (7/31)、島根大・島根県立大 (8/2) の件の容疑で再逮捕 (11/25)。
爆破予告で再逮捕の阪大院生、容疑認める…「匿名化ソフトでばれないと思った」 (読売, 11/25)。Tor は無敵ではありません。
》 日本のコウモリから新型コロナウイルスの近縁種が何年も前に発見されていたことが判明 (gigazine, 11/26)。自然宿主はコウモリか?
》 コロナ禍の暖房 アルコール消毒液に引火のおそれも 事故に注意 (NHK, 11/26)。火気厳禁。
新型コロナ拡大 日本医師会長「全国で医療体制が崩壊の危機」と表明、 GoToで「緩み」 (東京, 11/25)。「2週間前には予想できなかった事態」
医療体制「全国で崩壊の危機」 日本医師会長 (朝日, 11/25)
「新たな対策なければ全国的に感染拡大」、中川日医会長が警鐘 「全国各地で医療提供体制が崩壊の危機に直面」と強い危機感 (m3.com, 11/25)
関連:
現場の医師から一般の方へ あわよくば失礼承知で政治家の方へ (百聞は一見にしかず) (岡 秀昭 / Facebook, 11/26)
今まではコロナですか?という相談はほとんど別の病気、診断であることが多かったのですが、いよいよその相談が、あるいは偶然受診した熱や肺炎の患者さんがコロナであるという状況です。そのくらい流行が広がっています。もう誰でも普通にかかる病気になりました。
そこに他の医療機関で診断された転院入院依頼が今まで以上にあり、今までになく病床が埋まっています。
新型コロナによる医療崩壊で何が起こるのか (忽那賢志 / Yahoo, 11/21)
新型コロナ対策分科会、感染拡大地域からの出発分のGo To トラベル除外検討を提言 (トラベル Watch, 11/26)
政府は、20日の同分科会の提言を受けて、24日から3週間、札幌市と大阪市を目的地とする旅行について、Go To トラベルの割引の対象外とする対策を講じている。しかし、両市からの旅行については割引の対象となったままとなっている。
分科会では、北海道・首都圏・関西圏・中部圏の一部の地域において急激に感染が拡大しているとして、今後の状況に応じて当該地域からの出発分についても割引の一時停止を検討するように提言。あわせてGo To Eat事業の運用見直しやイベントの開催制限の変更なども検討すべきだとしている。
時短要請状況と一致しないのは、おかしいよねえ。
飲食店への営業時間短縮要請など検討 分科会提言受け 政府 (NHK, 11/26)
新型コロナ さらに感染増加すれば「緊急事態宣言が視野に」西村経産相 東京23区はステージ3相当 (東京, 11/26)
》 大阪、東京、名古屋で営業時間短縮要請、札幌は延長。 札幌は 11/7 からの時短要請済だが、期間を延長、地域・施策も拡大・強化。
東京
東京都、12月17日までの営業時間短縮を要請。Eat食事券も販売停止 (Impress Watch, 11/25)。11/28〜12/17、「23区と多摩地域の各市町村の「酒類の提供を行う飲食店とカラオケ店」」。
「営業時間短縮に係る感染拡大防止協力金(11/28~12/17実施分)」について ~新型コロナウイルスに関する東京都からのお知らせ~ (東京都 / PR TIMES, 11/26)。一律 40 万円 / 事業者。
営業時間短縮の要請に伴う補正予算について ~新型コロナウイルスに関する東京都からのお知らせ~ (東京都 / PR TIMES, 11/26)
大阪
大阪市北区・中央区の飲食店に21時まで時短営業要請 27日から15日間 (梅田経済新聞, 11/25)。11/27〜12/11。
大阪 北区中央区で時短要請決定 (NHK, 11/24)
大阪府は24日夕方、新型コロナウイルスの対策本部会議を開き、重症患者を受け入れる病床の使用率について、現在、運用できるのが118床にとどまっていることから、実質的には83.1%に相当し、医療体制がひっ迫していることを明らかにしました。
新型コロナ感染拡大で「重症者用病床」逼迫 大阪の医療関係者から悲鳴 (SankeiBiz, 11/25)
府内の重症病床の確保数は206床とされ、24日の使用率は初めて50%に達した。ただ、206床の中には新型コロナ以外の重篤患者用のものも含まれており、実際に新型コロナ用に運用できる病床は130床で、これに基づく使用率は79・2%に上る。
名古屋
名古屋市繁華街に時短要請へ 3週間程度、愛知県 (日経, 11/26)
札幌
札幌市、27日まですすきの地区で時短営業要請 新型コロナウイルス感染防止 (トライシー, 11/9)。すすきの地区のみ、11/7〜27。
北海道 警戒ステージ「3」に ススキノで営業時間短縮など要請 (NHK, 11/7)
今月27日までを集中的な対策期間として、繁華街、ススキノで、接待を伴う飲食店や、バー、ナイトクラブは営業時間を、カラオケ店や居酒屋、料理店は酒を提供する時間を、それぞれ午後10時までに短縮するよう求めます。
道、札幌の接待店に休業要請へ 集中対策延長方針 (北海道新聞, 11/25)
札幌市内では、全域でキャバレーやホストクラブといった接待を伴う飲食店の休業を要請。バーなど酒類を提供する飲食店の営業時間と、居酒屋やカラオケ店の酒類提供時間を「午後10時まで」としている繁華街ススキノでの要請を、狸小路1~7丁目の商店街に面する北側の店舗まで拡大。時短要請の延長に応じた店舗への支援協力金も追加する見通し。
接待伴う飲食店、札幌市全域で休業要請 北海道方針 (日経, 11/25)
ひずみ広がる「トラベル」 札幌3週間停止 恩恵、感染少ない地域へ 東京継続に「おかしい」 (北海道新聞, 11/26)
》 「インフルワクチンが足りない」コロナ感染拡大の北海道 「在庫これだけ」その理由 (STV / Yahoo, 11/25)
原因はワクチン接種を、希望する人の急増。新型コロナの影響で例年よりおよそ3割も増加したといいます。
(中略)
(南札幌病院 服部直毅理事)「今まで打ったことがないという70代以上の方も結構来られていた。11月中旬までに(ワクチンが)全部なくなるということは今まで考えられなかった」
》 スマホメーカー・ZTEが再び「国家安全保障上の脅威」に指定される (gigazine, 11/25)
HuaweiおよびZTEは不服として決定の見直しを求める申し立てを行っていたのですが、FCCは再びZTEを「国家安全保障上の脅威」と指定すると発表しました。(中略) 今回、FCCが「国家安全保障上の脅威」に指定したのはZTEのみで、Huaweiによる不服申し立てについては12月11日まで判断の期限を延長するとしています。
パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相 (ITmedia, 11/24)。今日から。
“じゃない方”のPPAP 政府が廃止を決めた、メールの「PPAP」って何? 詳しく解説! (岡田有花 / Yahoo, 11/22)
パスワード付きファイルの何が問題なのか、今こそ「PPAP」との決別を (日経 xTECH, 11/24)
》 Dangling DNS Records 方面。 参照先が見つからない DNS レコード。放置するとまずいことになったりすることが。
dangleの意味と使い方 (ネイティブと英語について話したこと)。dangle と hang の違い。
マネージドサービス時代のDNSの運用管理について考える ~ DNSテイクオーバーを題材に ~ ランチのおともにDNS (JPNIC)。そのうち資料が公開されるはず。
公開されました: マネージドサービス時代のDNSの運用管理について考える ~ DNSテイクオーバーを題材に ~ ランチのおともにDNS (JPRS)
Company web names hijacked via outdated cloud DNS records (Sophos, 7/7)
Find out what DNS precautions your hosting provider offers. Azure, for example, allows you to use Azure itself to do your DNS aliasing. These Azure-based aliases (they aren’t regular public CNAME or A records) automatically vanish when you retire an Azure server.
未解決の DNS エントリを防ぎ、サブドメインの乗っ取りを回避する (Microsoft)
Azure DNS のエイリアス レコードでは、DNS レコードと Azure リソースのライフサイクルを結合することで、未解決の参照が防止できるようになります。 たとえば、パブリック IP アドレスまたは Traffic Manager プロファイルをポイントするエイリアス レコードとして修飾されている DNS レコードについて考えます。 これらの基になるリソースを削除すると、DNS エイリアス レコードが空のレコード セットになります。 削除されたリソースは参照されなくなります。 エイリアス レコードを使用して保護できるものには制限があることに注意してください。
元の英文:
Azure DNS's alias records can prevent dangling references by coupling the lifecycle of a DNS record with an Azure resource. For example, consider a DNS record that's qualified as an alias record to point to a public IP address or a Traffic Manager profile. If you delete those underlying resources, the DNS alias record becomes an empty record set. It no longer references the deleted resource. It's important to note that there are limits to what you can protect with alias records.
A List Of Services & How To Claim Subdomain With Dangling DNS Records (kalilinuxtutorials.com, 2019.08.20)
tko-subs (GitHub)
DNSキャッシュポイズニングの新たな手法「SAD DNS」、研究者が発見 (2020.11.18)
SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について (knqyf263's blog, 2020.11.19)
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013 (drupal, 2020.11.25)。 Drupal 9.0.9 / 8.9.10 / 8.8.12 / 7.75 で修正。
Drupal core - Critical - Remote code execution - SA-CORE-2020-012 (drupal, 2020.11.18)。 Drupal 9.0.8 / 8.9.9 / 8.8.11 / 7.74 で修正。
VMSA-2020-0027.1 - VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector address command injection vulnerability (VMware, 2020.11.24)。workaround あり。 patch はまだ。
VMSA-2020-0026.1 - Multiple vulnerabilities in VMware ESXi, Workstation and Fusion (VMware, 2020.11.24)。Use-after-free vulnerability in XHCI USB controller (CVE-2020-4004) と VMX elevation-of-privilege vulnerability (CVE-2020-4005)。 前者は workaround あり。patch あり。
JVNVU#94694991 - トレンドマイクロ株式会社製ウイルスバスター for Mac に複数の脆弱性 (JVN, 2020.11.24)。for Mac 9.0 / 10.0 に欠陥があるが、 修正対象は for Mac 10.0 のみ (10.0.1803 で修正)。 for Mac 9.0 は修正されない。
JVNVU#96249940 - トレンドマイクロ株式会社製ウイルスバスター クラウドにおける任意のファイルが削除可能な脆弱性 (JVN, 2020.11.18)。クラウド 16 に欠陥、16.0.1409 で修正。
Heads up: PAM 1.5.0 has a auth bypass under some conditions (oss-sec ML, 2020.11.24)。 GIT 上では既に修正されており、 PAM 1.5.1 で修正される模様。
》 「GoTo」事業、止め方を決めてなかったことが判明。 危機管理の危の字もない。
「Go Toトラベル運用見直す状況にない」赤羽国交相 (NHK, 11/13)。高々 10 日前にはこんな認識だった。
感染地域へのGoTo停止 政府、「イート」も制限要請 (日経, 11/21)
西村康稔経済財政・再生相は21日の記者会見でトラベル事業の予約停止に関し「観光庁が具体的な制度設計を急いでいる。迅速に結論が出る」との見通しを示した。「キャンセル料で取りやめをちゅうちょしないように制度設計してくれると思う」と指摘した。
蕎麦屋の出前かよ。
“GoTo見直し”は想定外か 徹夜で「制度設計」 (テレ朝 / Yahoo, 11/22)
「まずは知事が判断」 GoTo見直し現場まかせの政府 募る知事の不安と批判 (毎日, 11/22)
キャンセル料問題
大阪で全国最多490人「怖い」ミナミでも不安の声 (日刊スポーツ, 11/22)
「Go To トラベル」を利用して愛知県から友人と訪れた大学生、佐山奈津さん(20)は「直前まで迷ったけど、キャンセル料が高くて。早めにホテルに帰ります」と話した。
3連休のGo Toトラベルでキャンセルが少ない理由は?キャンセル料問題、コロナ禍の旅行スタイル確立も (鳥海高太朗 / Yahoo, 11/23)
全国知事会 (11/23)
ステージ3判断で「GoToトラベル」除外を 知事会提言 (日経, 11/23)
井戸知事東京大阪一時停止すべき (NHK, 11/23)
大阪府の吉村知事 「GoToトラベル、大阪市は除外を」 (日経, 11/23)
大阪府の吉村洋文知事は23日に出演した民放番組で、政府の観光需要喚起策「Go To トラベル」事業について「大阪市内は(適用を)一時停止したい」と述べた。
全国知事会では言わなかったんですかね?
》 コロナでインフル患者激減「同時流行はない」三つの理由 (朝日, 11/23)
》 三菱電機のMicrosoft 365に不正アクセス、取引先情報8635件流出 (日経 xTECH, 11/20)。今回は 365 ですか。
》 不正アクセスによる情報流出について (三菱電機, 11/20)
今回の不正アクセスは、1 月と 2 月に公表した不正アクセス事案の手法とは異なる可能性が高いと考えており、すべての情報を調査するまでにはしばらく時間を要する見込みです。
関連報道:
三菱電機にまたサイバー攻撃、取引先の口座8千超流出 (内藤尚志、須藤龍也 / 朝日, 11/20)
三菱電機に「隠密型」攻撃 再び被害、中国系ハッカーか (須藤龍也 / 朝日, 11/20)
》 AWS サービスのログの可視化やセキュリティ分析を実現する SIEM on Amazon Elasticsearch Service 公開のお知らせ (Amazon, 10/26)、 AWSの各種ログを可視化するOSSのSIEMソリューション「SIEM on Amazon ES」がAWSから公開されたのでCloudTrailログを可視化してみた (臼田佳祐, 10/28)
》 SEP 14.3 RU1 Release (broadcom, 11/17)。SEP 14.3 RU1 リリース予定日は 2020.11.30 だそうです。
》 社会安全フォーラム「犯罪ツール対策の現状と課題について~犯罪に利用される電話への対策を中心に~」の開催について (警察庁)。講演とディスカッションを配信 (2020.11.19〜12.03、2020.12.07〜21)。 無料。申込みが必要 (11/19 締切)。
》 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。 (まるちゃんの情報セキュリティ気まぐれ日記, 11/15)
》 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね (まるちゃんの情報セキュリティ気まぐれ日記, 11/14)
》 Can I run my Adobe apps in macOS Big Sur? (Adobe, 11/18 更新)
》 macOS Big Sur 11 対応アンチウイルス話つづき
Trend Micro Apex One (Mac) Support for MacOS Big Sur (11.0) (Trendmicro)。SaaS 版は対応済、オンプレ版は 11/20 予定 → 11/25 予定 → 12/9 予定に変更されている。 どうなってんの。
[ALERT7666] ESET support of macOS Big Sur (11) (ESET)。6.10 で限定対応。 現時点の日本語版は 6.9 の模様 (6.9 は Big Sur に対応しない)。 macOS Big Sur 11.0 への対応について (ESET) で「一部機能のみ対応した macOS Big Sur 11.0 暫定対応プログラムを「2020年11月下旬」に提供する予定です」とアナウンスされた。
macOS 11 Big Sur (previously known as 10.16) (Sophos, 11/13)。未対応。
The EAP for Sophos Central is targeted for the week of Nov. 23rd, 2020, pending final testing. The EAP will run through our Sophos Community with details to follow.
Symantec Endpoint Protection (SEP) Client Compatibility List for macOS and OSX (Broadcom)。更新されてない。 When will the Symantec Endpoint Protection client, which supports macOS11.0 Big Sur, be released? (Broadcom, 10/16) によると SEP 14.3 RU1 で対応予定。
Supported platforms for Endpoint Security for Mac (McAfee)。McAfee Endpoint Security for Mac 10.7.5 で対応。 ENSM 10.7.5 は macOS 10.5.6 以降にのみ対応。
》 Microsoft、年末は新しいドライバの配信を一時停止 (ニッチなPCゲーマーの環境構築Z, 11/18)。「2020年12月3日以降」停止だそうで。
》 Google、都道府県別コロナ予測「COVID-19感染予測(日本版)」提供開始 (ITmedia, 11/17)
》 霞ヶ関でパスワード付きzipファイルを廃止へ 平井デジタル相 (ITmedia, 11/17)
Firefox 83.0 / ESR 78.5.0 公開されました。Android 版も出ています。
Firefox 83 がリリースされた (Mozilla, 2020.11.17)。21 件のセキュリティ修正を含む。
Firefox for Android 83 がリリースされた (Mozilla, 2020.11.17)
Thunderbird 78.5.0、78.5.1 が出ています。 セキュリティ修正を含みます。
Thunderbird 78.5.0 がリリースされた (Mozilla, 2020.11.19)
Thunderbird 78.5.1 がリリースされた (Mozilla, 2020.12.02)
Cisco Security Manager 4.21 以前に複数の欠陥。PoC 公開済。4.22 で修正。
Cisco Security Manager Static Credential Vulnerability (Cisco, 2020.11.16)。 CVE-2020-27125
Cisco Security Manager Path Traversal Vulnerability (Cisco, 2020.11.16)。 CVE-2020-27130
Cisco Security Manager Java Deserialization Vulnerabilities (Cisco, 2020.11.16)。 CVE-2020-27131
関連:
Cisco Patches Critical Flaw After PoC Exploit Code Release (threatpost, 2020.11.17)
サイドチャネルを使って UDP ポート番号を割り出し、DNS キャッシュ毒入れ攻撃を再び現実のものに。Windows、Mac、Linux、FreeBSD いずれも脆弱。うひー。
SAD DNS (saddns.net)。Side channel AttackeD DNS だそうです。 自分のところはどうなのだろうと思った方は、 「Click to check if your DNS server is affected」というリンクがあるのでご覧あれ。
DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels。 論文、プレゼン資料、ビデオ。
DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels (ACM, 2020.10)。Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security Pages 1337 - 1350。
回避方法:
Destroy the side channelAdd more secrets to DNS messages
- Disable outgoing ICMP
- Randomize ICMP global rate limit (used by Linux)
Reduce the attack window
- DNSSEC
- 0x20 encoding
- DNS cookie
- Reduce the timeout for outstanding queries
Disable outgoing ICMP がいちばんてっとり早いかなあ。 プレゼン資料では Disable ICMP port unreachable と書かれている。
関連記事
SAD DNS — New Flaws Re-Enable DNS Cache Poisoning Attacks (The Hacker News, 2020.11.12)
SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について (knqyf263's blog, 2020.11.19)
不正アクセスによる情報流出に関するお知らせとお詫び (CAPCOM, 11/16)
劇場型犯罪に狙われたカプコン データと金銭の二重脅迫 (須藤龍也 / 朝日, 11/16)
ケーブルを引き抜いて回った カプコン脅迫、未明に何が (須藤龍也 / 朝日, 11/16)
機密が闇サイトに、カプコン被害の衝撃「被害さらに…」 (須藤龍也 / 朝日, 11/17)
立命館大学の上原哲太郎教授は、機密情報を暗号化し、さらに盗んだ情報を暴露する「二重脅迫」に、日本企業が巻き込まれたことに衝撃を受ける。「機密情報を手に入れようとする人が増えれば、被害はさらに拡大する。時間との戦いだが、現状では有効な対策が見当たらない。あまりにも犯罪者に有利な状況だ」
(中略)
上原教授はサイバー犯罪者を摘発できない現状が続けば「社会のモラルが崩壊しかねない」と危機感を訴える。「サイバー犯罪グループは捕まるリスクがほぼなく、一方的にもうけるばかり。こんな現実を見せつけられたら、例えば技術を持っている一方で賃金が低い若者たちが犯罪に走りかねない。カプコンの事件を社会はもっと深刻にとらえるべきだ」
》 人感センサー使い軟禁状態 107日強制労働容疑で逮捕 (朝日, 11/16)
》 新疆ウイグル問題が暗示する民主主義体制の崩壊......自壊する民主主義国家 (ニューズウィーク日本版, 11/13)
新疆ウイグル問題についての報道は前回の香港ほど偏っていないが、それでも国連で多数の国が中国を支持しているという事実はあまり重要視されていない。香港の問題に関して多数が中国を支持していることを指摘した以前の記事にも書いたが、日本にいる我々には世界の多数派が見えにくくなっている懸念がある。
民主主義の衰退を招いているのは、中国を中心とする権威主義の台頭ではない。あくまで結果として、そうなっているだけで、新しい民主主義の姿を提示できないために、自壊していると考えた方が自然だ。
【米大統領選2020】 実は生きていた……「死者が投票した」と言われたが (BBC, 11/16)
ファクトチェック 米大統領選「不正の証拠サーバー押収」は誤り 企業・米陸軍も否定 (毎日, 11/16)
デマツイート事例 (当該映像はトランプ支持集会ではなく 2017 年ウィメンズ・マーチ、アンチ・トランプ色が強かった)
日本では絶対に報道されない、トランプ支持集会の凄まじい規模・熱気😳
— 神戸市会議員 岡田ゆうじ🛡️ (@okada_tarumi) November 15, 2020
100万人近い参加者数だったと推測されていますが、朝日新聞は「1万人」と報道し、「ほとんどの人がマスクを着けていなかった」などとどうでもいいことを、記事見出しに掲げています😔 pic.twitter.com/4xQlEp1SSO
》 New Release: Tor Browser 10.0.4 (Tor Project, 11/10)。iida さん情報ありがとうございます。
》 北朝鮮とロシア、コロナワクチン開発組織などにサイバー攻撃--マイクロソフト報告 (CNET, 11/13)、 Cyberattacks targeting health care must stop (Microsoft, 11/13)
》 クアルコム、ファーウェイへの4Gチップ販売許可を取得か (CNET, 11/16)
》 山谷剛史の「中国ビジネス四方山話」 中国で脆弱さを指摘され見直される顔認証 (ZDNet, 11/16)
》 小学館子会社のネット書店に不正アクセス、1000件超のカード情報流出か (ITmedia, 11/16)。「BOOK SHOP小学館」。
》 カプコンへのサイバー脅迫 記者はちらつく影を追った (朝日, 11/12)
》 SpaceX クルードラゴン CREW-1 ミッション、打ち上げ成功 (11/16)。 おめでとうございます。いつもの Falcon 9 の打ち上げでした。 安定してますね。 ISS 到着は明日 13 時予定だそうです。
NASA、SpaceXの「Crew Dragon」に有人商用宇宙飛行の認可出す (財経新聞, 11/15)
野口さん搭乗の民間宇宙船 燃料注入 打ち上げ前の最終段階に (NHK, 11/16)
野口聡一さん搭乗の米民間宇宙船1号機 打ち上げ成功 (NHK, 11/16)
Crew-1 Mission (SpaceX / YouTube, 11/16)
》 大韓航空、アシアナ航空を買収へ 韓国政府主導で (日経, 11/16)、 韓国最大手の大韓航空 2位のアシアナ航空と統合を決議 (NHK, 11/16)
》 排気ファン搭載で苦しくない「フィリップス ブリーズマスク」 (Impress Watch, 11/13)。N95 相当なのに苦しくない模様。
ファンは日本製で、毎分41Lの空気を下向きに排出する。ファンの風量は3段階に繰り替え可能で、駆動時間は約2~3.5時間。充電方式はマイクロUSBで、充電時間は約3時間。
「価格は10,780円(税込)」。値段はともかくとして、ファンが 3 時間しか持たないのがなあ。
》 Microsoftの元エンジニアがギフトカード悪用で約10億円横領。ビットコインで証拠隠滅も図る (やじうま Watch, 11/13)
被告はMicrosoftのオンラインリテール販売プラットフォームのテストに関わっており、この権限を悪用してデジタルギフトカードを盗んでいた。
》 iPhone 12 miniでロック解除にまつわる不具合が世界的に発生中、原因は現時点で不明 (やじうま Watch, 11/16)。12 mini のみの現象ということかな。
》 macOS Big Sur 11 対応アンチウイルス話つづき
Trend Micro Apex One (Mac) Support for MacOS Big Sur (11.0) (Trendmicro)。SaaS 版は対応済、オンプレ版は 11/20 予定から 11/25 予定に変更されている。
[ALERT7666] ESET support of macOS Big Sur (11) (ESET)。6.10 で限定対応しているが、 日本語版は 6.9 しか出ていないみたい (6.9 は Big Sur に対応しない)。
macOS 11 Big Sur (previously known as 10.16) (Sophos, 11/13)。未対応。
Symantec Endpoint Protection (SEP) Client Compatibility List for macOS and OSX (Broadcom)。更新されてない。 When will the Symantec Endpoint Protection client, which supports macOS11.0 Big Sur, be released? (Broadcom, 10/16) によると SEP 14.3 RU1 で対応予定。
Supported platforms for Endpoint Security for Mac (McAfee, 11/10)。McAfee Endpoint Security for Mac 10.7.5 で対応。 McAfee Endpoint Security 10.7.5 - Threat Prevention Release Notes - macOS (McAfee)
》 大阪守口市の旧庁舎解体でアスベスト見落とし167カ所の衝撃 調査ミスが発覚 (アジアプレス, 11/10)
》 日本でも大量拡散したバイデン氏の「不正」めぐる情報。まとめサイトや、新興宗教系メディアが影響力か (BuzzFeed, 11/13)
》 攻撃グループBlackTechが使用するLinux版マルウェア(ELF_PLEAD) (JPCERT/CC, 11/6)
いろいろ出ました。
macOS
About the security content of macOS Big Sur 11.0.1 (Apple, 2020.11.12)
macOS Catalina 10.15.7 追加アップデート、macOS Catalina 10.15.7 アップデートのセキュリティコンテンツについて (Apple, 2020.11.05)
About the security content of Security Update 2020-006 High Sierra, Security Update 2020-006 Mojave (Apple, 2020.11.12)
Safari
Safari 14.0.1 のセキュリティコンテンツについて (Apple, 2020.11.12)。for Catalina (10.15) / Mojave (10.14)。
iOS
iOS 14.2 および iPadOS 14.2 のセキュリティコンテンツについて (Apple, 2020.11.05)
iOS 12.4.9 のセキュリティコンテンツについて (Apple, 2020.11.05)
WatchOS
watchOS 7.1 のセキュリティコンテンツについて (Apple, 2020.11.05)
watchOS 6.2.9 のセキュリティコンテンツについて (Apple, 2020.11.05)
watchOS 5.3.9 のセキュリティコンテンツについて (Apple, 2020.11.05)
tvOS
tvOS 14.2 のセキュリティコンテンツについて (Apple, 2020.11.05)
Intel、2020年11月のセキュリティアドバイザリを公開 ~サイドチャネル脆弱性“PLATYPUS”にも対処 (窓の杜, 2020.11.11)
Security updates available for Adobe Connect | APSB20-69 (Adobe, 2020.11.10)。Adobe Connect 11.0.5 で対応。Priority: 3
Security update available for Adobe Reader Mobile | APSB20-71 (Adobe, 2020.11.10)。Adobe Reader Mobile 20.9.0 で対応。Priority: 3
Ubuntuに特権ユーザーを誰でも簡単に作成できてしまう脆弱性が見つかる (gigazine, 2020.11.13)。 以下の欠陥の合わせ技で、 local user が root 権限を取得できる。 いずれも Ubuntu 独自拡張部分の欠陥。
USN-4616-1: AccountsService vulnerabilities (Ubuntu, 2020.11.03)。Ubuntu 16.04 / 18.04 / 20.04 / 20.10。
USN-4614-1: GDM vulnerability (Ubuntu, 2020.11.03)。Ubuntu 18.04 / 20.04 / 20.10。
指摘者は Ubuntu 20.04 でテストしている。
How to get root on Ubuntu 20.04 by pretending nobody’s /home (Kevin Backhouse, 2020.11.10)
》 新型コロナウイルス感染者発生について (駒沢大学, 11/11)。サッカー部寮でクラスター発生ですか。 本学もそうですが、 ここに来てあちこちの寮で起きている感じだなあ。
》 「バイデン氏のペンシルベニア州当確取り下げ」は誤り 元NY市長ら拡散後、訂正 (毎日, 11/11)
東京五輪中止は決定的、課題はその「終わらせ方」 (本間 龍 / note, 9/26)
本間龍「東京五輪開催は99%あり得ない。早く中止決断を」 (石川智也 / 論座, 9/27)
愚かな「本土決戦思考」をやめて、直ちに五輪中止を決断せよ (本間 龍 / note, 10/4)
IOCが中止を通知か 東京五輪「断念&2032年再招致」の仰天 (日刊ゲンダイ, 10/23)
IOC〝中止通告〟情報に五輪組織委も内心真っ青 (新田日明 / Wedge, 10/26)
東京2020観戦チケットー大会延期に伴う希望者への払い戻し実施について (tokyo2020.org, 10/30)
バッハ来日 (11/15〜18)
IOCの重鎮が2人も来日 東京五輪「11.18中止表明」に現実味 (日刊ゲンダイ, 11/10)
バッハ会長「菅首相と五輪中止は議論しない」 訪日発表 (朝日, 11/12)
IOCバッハ会長 15日から東京訪問 大会中止は議論せず (NHK, 11/12)
議論しない方がむしろ不自然だと思うけどなあ。
来年のジャンプW杯札幌大会中止 (NHK, 11/12)。2021.01〜02 のスポーツイベントは実施不可能だと。
香港政府、民主派議員4人の資格抹消 中国が権限与える (朝日, 11/11)
さらにほかの民主派議員15人が11日会見し、抗議のため12日に一斉に辞職届を提出すると表明した。15人も辞職すれば立法会はほぼ親中派議員だけとなり、政府の動きをチェックする議会の役割は果たせず、三権分立は大きく後退する。
「一国二制度が完全に消えた」 民主派排除に強硬な一手 (朝日, 11/11)
China Targets Hong Kong’s Lawmakers as It Squelches Dissent (NYTimes, 11/11)
》 FireEye Cyber Summit 2020 (FireEye)。2020.12.08、オンライン、無料。
対象: 企業・組織においてセキュリティのリスクマネジメントプランを策定している方 (学生、個人の方、同業他社の方は、お断りさせていただく場合がございます)
Chrome 86.0.4240.198 公開。2 件の 0-day 欠陥を修正。
Chrome Stable Channel Update for Desktop (2020.11.10)
1147056 は Tianfu Cup 2020 の件?
Stable Channel Update for Desktop (Google, 2020.11.09)。いつのまにか改訂されている。
[$N/A][1146679] High CVE-2020-16016: Inappropriate implementation in base. Reported by Rong Jian and Leecraso of 360 Alpha Lab on 2020-11-07
Google and Mozilla fixed issues exploited at 2020 Tianfu Cup hacking contest (securityaffairs.co, 2020.11.11)
The vulnerability in Chrome exploited by hackers at the 2020 Tianfu Cup, tracked as CVE-2020-16016, is an inappropriate implementation issue that resided in the base component. Google addressed the flaw with the release of Chrome 86.
Edge も CVE-2020-16016 対応版が出たようです。
中国のハッキング大会で「Chrome」を攻略した脆弱性、「Microsoft Edge」でも修正 (窓の杜, 2020.11.12)
》 (発表)新型コロナウイルス感染者の発生状況(第13報) (龍谷大学, 11/11)
このたびPCR検査を受けていた110名全ての検査結果が判明し、新たに学生1名が新型コロナウイルスに感染していることが確認されました。このことにより、本件における新型コロナウイルス感染者数は19名となりました。感染者はいずれも軽症か無症状との報告を受けています。なお、今回の感染者19名からの濃厚接触者はいませんでした。
》 慶応SFC、3万件以上の個人情報流出か 学生の顔写真など被害に 10月発表の不正アクセスで (ITmedia, 11/11)
本学サーバへの不正アクセスによる被害および個人情報漏洩について (慶應義塾大学, 11/10)
SFC-CNSおよびSFC-SFSへの不正アクセスによる個人情報漏洩について(お詫び) (慶應義塾大学 湘南藤沢キャンパス, 11/10)
》 Windows 10 ver 2004 と 20H2 に新たに 2 つのセーフガード ホールド案件(1 つは問題を再現させてみた) (山市良のえぬなんとかわーるど, 11/6)。組み込みアカウント名を変更していると……の件。 (name fixed: 望月さん感謝)
》 お先に Windows 10 の Flash にバイバイしようと思ったけれど...(追記あり) (山市良のえぬなんとかわーるど, 10/28)
》 Adobe Flash Player 32.0.0.453公開 (ニッチなPCゲーマーの環境構築Z, 11/10)
》 ファイザー、新型コロナウイルスワクチンの予防効果90%以上と発表 (11/9)
UPDATE: ALBERT BOURLA DISCUSSES COVID-19 VACCINE EFFICACY RESULTS (Pfizer, 11/9)
ファイザー、開発中のワクチンに「90%超の予防効果」と発表 (CNN, 11/10)
「画期的」ワクチン発表のファイザーが、トランプ資金を受け取らなかった理由 (ニューズウィーク日本版, 11/10)
しかし当該ワクチンは -70℃で保管する必要があるのだそうで。 そんな設備がどこに? まともに運用できるの?
コロナ対策ワクチン輸送、深刻な輸送力不足のおそれ (LogisticsToday, 9/14)、 ワクチン開発に成功したら......それをどう世界に運ぶ? (ニューズウィーク日本版, 11/11)。そもそもの航空輸送力の問題。
ワクチン、作れても輸送が難しいという大問題 マイナス80度の超低温輸送をどう実現する? (NYTimes / 東洋経済, 9/30)
新型コロナ ワクチンの保存や輸送に課題 (NHK, 10/25)
厚生労働省は「ワクチンを必要とされる低温で保管できる設備が、現時点で日本国内に大量にあるとは考えにくい」としたうえで、「どう保管や管理をしていくかは、広く接種を進めていくうえで、検討が必要な課題の1つだ」としています。
何の用意もしていないどころか、考えてすらいない模様。
焦点:ファイザーのコロナワクチン、供給のネックは「超低温保管」 (ロイター, 11/10)
実際に米国で最も権威ある病院の1つであるミネソタ州ロチェスターのメイヨー・クリニックによると、今はこのような設備はないという。
メイヨー・クリニックのワクチン研究者、グレゴリー・ポーランド氏は「このワクチンはセ氏マイナス70-80度で保管しなければならない。米国のみならず西側諸国以外でも物流上の重大な問題だ」と述べた。「メイヨー・クリニックは大病院だが、このような保管設備は備えていない。どの病院もそうだろう」という。
AIMのハンナン氏によると、ファイザーのワクチンを普通の冷蔵庫で保管する場合、1コンテナが975回分なので、そのすべてを5日以内に接種するか、ワクチンの使用期間を延ばすためにドライアイスで保管し、保管庫のふたを開けるのを1日2回にとどめなければならない。
海外製コロナワクチン マイナス70度 超低温管理、至難の業 輸送・保管・集団接種、不安だらけ (毎日, 11/4)
日本医師会の釜萢(かまやち)敏常任理事は「マイナス70度の冷凍保存で解凍後の有効期限が短いことを考えると、集団接種を考えないといけない」と提起している。
ただ、国内では1994年の予防接種法改正以降、医療機関に個人が出向く個別接種が基本とされ、対象者を学校などに集めて行う集団接種を自治体はほぼしていない。予防接種による副反応(副作用)被害が社会問題化したことから、「義務」から個人の「同意」を前提とした制度に転換したためだ。1人ずつ問診し、多くの対象者に間違いなく接種するには一定の経験が必要とされるが、ある市の担当者は「長年やっていないのでノウハウがほぼ残っていない」と不安視する。
コロナワクチン、実用化大詰め 輸送や接種など課題も (日経, 11/10)
》 海自練習艦「かしま」は、なぜ北極海へ向かったのか 30時間の航行、内容は「非公表」 (毎日, 11/11)
》 [緊急報告]Windows 10 バージョン1903以降へのアップグレードで突如判明した「証明書消失問題」とは (@IT, 11/9)
》 来月でサポート終了 ~「May 2019 Update」から「November 2019 Update」への強制更新が開始へ (窓の杜, 11/10)。Windows 10 version 1903 のサポートは 2020.12.08 まで、version 1909 のサポートは 2021.05.11 (Home, Pro 等) または 2022.05.10 (Enterprise 等) まで。
》 サーバ管理会社が契約更新ミス 「ふくいナビ」全データがクラウドから消失、復旧不能に (ITmedia, 11/9)
》 SIOTP協議会、IoT機器をサイバー攻撃から守るための「IoTセキュリティ手引書 Ver1.0」をリリース (クラウド Watch, 11/11)
》 受信メールサーバーのDMARC対応を加速――、TwoFiveが「DMARC/25 Reporter」を無償提供 (クラウド Watch, 11/11)
》 「.aq」ってどこのドメイン? 「ccTLD地球儀」をJPRSが公開、ccTLD一覧ポスターも (Internet Watch, 11/11)
》 ESETやIntego、Trend Microなどが各社のセキュリティアプリのmacOS 11 Big Sur対応状況を公開。 (AAPL Ch., 11/4)。関連:
Trend Micro Apex One (Mac) Support for MacOS Big Sur (11.0) (Trendmicro)。SaaS 版は対応済、オンプレ版は 11/20 対応予定みたい。
[ALERT7666] ESET support of macOS Big Sur (11) (ESET)。とりあえず対応しているバージョンを用意したが、 現時点ではいろいろ機能しないところがある。完全対応は 2021.02 を予定。
macOS 11 Big Sur (formerly known as 10.16) Beta Support (Sophos)
Once macOS 11 (full) has been released and the Sophos Central Endpoint and Central Device Encryption for Mac are updated and released to Central, these products will be supported on macOS 11.
On-premise customers will also get versions that are supported on macOS 11 at the same time.
Big Sur サポート版が OS リリースと同時に提供される?
関連: Endpoint Protection (Sophos Central Admin)
Warning
On macOS 11 Big Sur you must move the the SophosInstall folder to the user's Home folder.
Symantec Endpoint Protection (SEP) Client Compatibility List for macOS and OSX (Broadcom)。不明。
When will the Symantec Endpoint Protection client, which supports macOS11.0 Big Sur, be released? (Broadcom, 10/16) によると SEP 14.3 RU1 で対応予定。 Mac OS Symantec extension warning によると、SEP 14.3 RU1 は 11 月中旬〜下旬リリース予定。
Microsoft 2020.11 patch 公開。対象:
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Internet Explorer
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Edge (Chromium ベース)
- ChakraCore
- Microsoft Exchange Server
- Microsoft Dynamics
- Microsoft Windows Codecs Library
- Azure Sphere
- Windows Defender
- Microsoft Teams
- Azure SDK
- Azure DevOps
- Visual Studio
FAQ:
次の CVE には、追加情報が記載された FAQ があります。また、更新プログラムのインストール後に実行する * 追加の手順も記載されている場合があります。この一覧は今回のリリースが対応している CVE をすべて掲載しているわけではないことにご注意ください。
- CVE-2020-16970*
- CVE-2020-16979
- CVE-2020-16981*
- CVE-2020-16982*
- CVE-2020-16983*
- CVE-2020-16984*
- CVE-2020-16985*
- CVE-2020-16986*
- CVE-2020-16987*
- CVE-2020-16988*
- CVE-2020-16989*
- CVE-2020-16990*
- CVE-2020-16991
- CVE-2020-16992
- CVE-2020-16993
- CVE-2020-16994
- CVE-2020-16997
- CVE-2020-16999
- CVE-2020-17000
- CVE-2020-17004
- CVE-2020-17013
- CVE-2020-17017
- CVE-2020-17019
- CVE-2020-17020
- CVE-2020-17029
- CVE-2020-17030
- CVE-2020-17036
- CVE-2020-17045
- CVE-2020-17049*
- CVE-2020-17056
- CVE-2020-17062
- CVE-2020-17063
- CVE-2020-17064
- CVE-2020-17065
- CVE-2020-17066
- CVE-2020-17067
- CVE-2020-17069
- CVE-2020-17071
- CVE-2020-17078*
- CVE-2020-17079*
- CVE-2020-17081*
- CVE-2020-17082*
- CVE-2020-17086*
- CVE-2020-17101*
- CVE-2020-17102*
- CVE-2020-17105*
- CVE-2020-17106*
- CVE-2020-17107*
- CVE-2020-17108*
- CVE-2020-17109*
- CVE-2020-17110*
- CVE-2020-17113
関連:
今日(11/11 JST)は Windows Update(2020-11 B)の日、ポッキー&プリッツの日、ピーナッツの日、生ハムの日... (山市良のえぬなんとかわーるど, 2020.11.11)
【Windows10】 WindowsUpdate 2020年11月度 不具合情報 - セキュリティ更新プログラム KB4586781 / KB4586786 (ニッチなPCゲーマーの環境構築Z, 2020.11.11)
【Windows8.1】 WindowsUpdate 2020年11月度 注意事項と各KBメモと直リンク KB4586823 / KB4586845等 (ニッチなPCゲーマーの環境構築Z, 2020.11.11)
》 広島県・市発注 学校用 PC 談合疑惑つづき。 匿名希望さん情報ありがとうございます。 前ねた。
広島の学校へPC納入で談合か 公取委がNTT西日本などに立ち入り検査 (ITmedia, 10/15)
学校PC機器談合疑い 広島市発注の57件、12社で9割超す54件落札 20件は1社だけ入札 (中国新聞 / Yahoo, 10/16)
学校PC、談合疑惑の7社が8割受注 広島県発注分 (中国新聞 / Yahoo, 10/17)
県が発注する学校用パソコンの入札に係る報道について (広島県, 10/19)
公正入札調査委員会 (広島県)
学校用PC談合疑惑 広島県が調査委を設置 対応策など検討 (中国新聞, 10/20)。設置は 10/19。
学校PC契約内容確認 談合疑惑、広島県調査委が初会合 (中国新聞, 10/22)。会合は 10/21。
公正入札調査委員会の開催について (広島県, 10/20)。10/21 10:00-11:00。
全入札で誓約書求める、広島県 学校PC談合疑惑を受けて (日経, 10/29)
学校用PC入札、3月に談合情報 広島県教委「関連不明」 (中国新聞 / Yahoo, 11/5)
学校PC談合疑惑 松井市長「調査委は立ち上げず 違反あれば厳正対処」 市民、去年から疑惑を指摘 (中国放送 / Yahoo, 11/6)
去年の段階で、この件で行動を起こしていた広島市の住民グループの1人、小山光昭さんです。
(中略)
小山さんらは、調べた資料を去年9月、公正取引委員会に提出。「内部で共有します」と言って、受け取ってもらったといいます。
広島市にも住民監査請求をして、▽談合の調査をすることや、▽談合があった場合、不当に支出された額を返還することを求めました。
市の監査委員は、「談合があったことを示す具体的な事実がない」として却下しています。
広島市、やる気のなさが半端ない。
》 UNIX系OS向けのテキストベース・メールクライアント「Mutt 2.0」が公開 (OSDN, 11/9)。「xoauth2のサポートが加わった(IMAP、SMTP、POP)」。おぉ。 関連:
OAuth 2.0 Mechanism (Gmail)
[Thunderbird]Gmail OAuth2 認証方法,「認証に失敗しました」の対応 (tksoft.work, 1/30)
Setting Up OAUTH2 Support for Fetchmail and Postfix (Matthew Ogilvie, 11/3)
Rustで実装したPAMモジュールを利用してGoogle OAuth認証でSSHを多要素認証する (ten-snapon.com, 8/11)
》 「電子署名法の数奇な運命」出版されました。 (IT Research Art, 11/9)
法律専門家向けではあります(基本的には、法律論文のお作法に則っています)が、IT関係のアイデンティティまわりの人々、トラストサービス業界の人たちにも講読いただけるといいかと思います。というのは、アイデンティティと利用者の真偽という法効果から考えるITの考え方と主体(作成名義人-エンティティ)から考える法律の考え方のギャップについて、焦点が当たるようにしているつもりです。
》 Danish military intelligence uses XKEYSCORE to tap cables in cooperation with the NSA (electrospaces.net, 10/28)、 「盗聴を許可する密約」がデンマークとアメリカの間で交わされていたことが判明 (gigazine, 11/2)
》 不正アクセスで発生したカプコンの社内システム障害についてまとめてみた (piyolog, 11/10)。ランサムウェア Ragnar Locker を使った攻撃を受け、 1TB を越えるデータを取得された?
関連: 標的型ランサム観察記 2020年10月31日まで版 ((n)inja csirt, 11/4)
》 「Windows 10 バージョン 2004/20H2」に新たな問題、セーフガードホールドが適用中 (窓の杜, 11/9)
ユーザーを一覧表示するダイアログウィンドウを操作すると「LSASS.exe」でエラーが発生し、“1分後にPCが自動的に再起動します”というメッセージが表示されることがあるという。(中略)
この問題は“Administrator”や“Guest”といったローカルの組み込みアカウントの名前を変更して運用しているデバイスにのみ影響する。そのため、一般的なユーザーが遭遇することはあまりないだろう。
こういうことがあるので、rename するのにはためらいがあるんですよねえ。
》 EXCLUSIVE-米FAA、737MAX審査の最終段階 18日に運航停止解除も (ロイター, 11/10)。ようやくですか。
Critical Privilege Escalation Vulnerabilities Affect 100K Sites Using Ultimate Member Plugin (wordfence.com, 2020.11.09)。無認証での権限上昇が可能、などの 3 件のセキュリティ欠陥があり、最新 2.1.12 で修正されたと。
Ultimate Member – User Profile, User Registration, Login & Membership Plugin (WordPress)
Chrome 86.0.4240.193 公開。1 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
[1147056] Various fixes from internal audits, fuzzing and other initiatives
Tianfu Cup 2020 で Chrome も攻略されたそうだが、その修正は含まれていないみたい。
1147056 は Tianfu Cup 2020 の件?
Stable Channel Update for Desktop (Google, 2020.11.09)。いつのまにか改訂されている。
[$N/A][1146679] High CVE-2020-16016: Inappropriate implementation in base. Reported by Rong Jian and Leecraso of 360 Alpha Lab on 2020-11-07
Google and Mozilla fixed issues exploited at 2020 Tianfu Cup hacking contest (securityaffairs.co, 2020.11.11)
The vulnerability in Chrome exploited by hackers at the 2020 Tianfu Cup, tracked as CVE-2020-16016, is an inappropriate implementation issue that resided in the base component. Google addressed the flaw with the release of Chrome 86.
Edge も CVE-2020-16016 対応版が出たようです。
中国のハッキング大会で「Chrome」を攻略した脆弱性、「Microsoft Edge」でも修正 (窓の杜, 2020.11.12)
Firefox 82.0 / ESR 78.4.0 公開 (2020.10.22)
Firefox 82.0.3 / ESR 78.4.1、Thunderbird 78.4.2 が公開されました。 セキュリティ修正を含みます。 iida さん情報ありがとうございます。
》 本学における新型コロナウイルス感染者の発生及び学生の緊急入構禁止措置について (龍谷大学, 11/9)
11月7日(土)、龍谷大学の硬式野球部合宿施設(滋賀県大津市)に居住する学生の新型コロナウイルス感染が確認され、保健所の調査・指導の下、合宿施設に居住する同部員やスタッフを含む合計110名がPCR検査を受けました。11月9日(月)16時現在、18名が新型コロナウイルスに感染していることが判明いたしました。
(中略)
現在PCR検査の結果が全て判明していないことから、学生の安全を最優先し、本学では11月10日(火)から11月15日(日)までの間、全キャンパス構内への学生の立ち入りを原則禁止いたします(対面での授業は休講とし、オンライン授業は通常通り実施します)。安全確認ができ次第、学生の入構禁止措置を解除いたします。
関連:
龍谷大野球部でクラスター、18人感染 全キャンパス学生立ち入り禁止に (京都新聞, 11/9)
新型コロナウイルスに感染した患者の発生について(県内602~ 620例目) (滋賀県, 11/9)
「事前調整働かなかった」から任命拒否 首相答弁に批判 (朝日, 11/5)
日本学術会議法は、学術会議の推薦に基づいて、首相が会員を任命すると規定。会議の独立性を保つため、政府は過去の国会で、首相は推薦された候補を「形式的任命」すると答弁していた。
しかし、安倍政権時代の前回2017年の会員交代をめぐっては、学術会議は官邸側に求められ、選考の最終段階で候補に残る6人を加えた111人の名簿を事前に示していた。
野党側は、こうした事前調整を政治の人事介入とみていた。首相のこの日の発言は、事前調整を学術会議側に求めたことを認めたうえに、事前調整がなければ推薦通りには任命しないという考えを示したものだ。
安倍政権では「事前調整」という形で介入していたが、 今回はそれがなかったので任命拒否という形で介入した、 ということですかね。 いずれにせよ駄目すぎる。
任命拒否、官僚トップと相談 記録文書の存在も発覚 (朝日, 11/6)。11/5 参議院予算委員会についての記事。
学術会議と事前調整「問題ない」 官房長官「意見交換」 (朝日, 11/6)
首相、任命拒否と多様性「直結せず」 先週は「多様性を念頭に判断」 学術会議問題 (東京, 11/5)。うそでした、ということですわなあ。
「独立性を根本から侵害」 人文・社会科学系226学協会が任命求め声明 (毎日, 11/6)、 学術会議任命見送り 人文・社会科学系学会220余が共同声明 (NHK, 11/6)
》 コソボのサチ大統領が辞任 戦争犯罪裁く特別法廷での訴追が確定 (毎日, 11/6)
》 大村知事リコール署名、必要数に届かない見通し 高須克弥氏らの団体 (メ〜テレ, 11/6)
》 米、1日当たりの感染者が過去最多の11万人超 2日連続で10万人超え (毎日, 11/6)
》 米連邦議会選、上院の勝敗は1月まで持ち越しか 下院は民主党維持の見通し (BBC, 11/4)
ただし、上院の形勢は来年1月にも変わる可能性がある。与野党が2議席を争っているジョージア州では、少なくとも1議席について両党の候補が議席獲得に必要な50%の得票を得ていないため決選投票になる。もう1議席についても、決選投票に至る見通しとなっている。
ペンシルベニア: トランプのリードは 20000 票を切る。
Pennsylvania Election Results (NYTimes)。開票 95%。
ジョージア: トランプのリードは 2000 票を切る。
Pennsylvania Election Results (NYTimes)
Thursday updates on presidential race in Georgia (wyff4.com)。 まだ未集計が 2 万票弱残っているみたい。
【LIVE】トランプ氏の勝敗は? 注目のペンシルベニア州、開票大詰め ~アメリカ大統領選2020 開票速報~ (東京)。「トランプ氏がアリゾナで猛追」とあるけど、 アリゾナ はまだ 5 万票くらい差がある。
大統領選、開票なぜ遅い 接戦と郵便投票が生んだ大混乱 (朝日, 11/6)
米国では州ごとに投開票の運用が異なり、集計のスピードに差が出た。原因の一つが、新型コロナウイルスの影響で郵便投票が急増したことだ。フロリダ大のマイケル・マクドナルド教授の集計では、期日前に投票した人は全米で1億人を超え、うち郵便投票は約6500万人に上った。16年の総投票数の約47%にあたり、増加が著しい。
うひゃあ、そんなにか。
「民主党は投票不正をやめろ」と訴えるトランプ大統領支持者らのFacebookグループが削除される (gigazine, 11/6)、 フェイスブック、「民主党の選挙不正」など陰謀論拡散の掲示板を削除 (毎日, 11/6)。"Stop the Steal" を削除。
トランプ氏会見に共和党議員も「落胆」 中継も打ち切り (朝日, 11/6)。終末感が強くなってきた。
MSNBCのブライアン・ウィリアムスは大統領会見が始まって37秒で中継を中断しファクトチェック解説へ。「合衆国大統領の話を遮るだけでなく発言を糺すという異例な立場になりますが・・・」 https://t.co/i4K7XxM0FN
— deepthroat (@gloomynews) November 6, 2020
ファクトチェック 投票日以降のトランプ氏の発言「根拠がない」「大うそ」米ファクトチェック機関が一斉批判 (毎日, 11/5)
ファクトチェック 「大量のトランプ票を埋めた」動画は誤り 実際はサウジの冷凍チキンか (毎日, 11/6)
「落ち着けドナルド」選挙で荒れるトランプ大統領に、環境活動家のグレタさんがが辛辣なお返し (BuzzFeed, 11/6)
ツイート:
現在大注目の米大統領選、ジョージア州の開票ですが(残り1%で逆転の可能性あり)、その中のFulton郡の選挙関連物品の倉庫で働く人たちにクラスターが発生していたとのこと。今のところ23人が陽性(リンク記事)。
— ペン二郎 (@morilyn1123) November 6, 2020
そのような中でも何とか郵便票の開票を終えました。辛い話です。https://t.co/sEd8fwZ2nH https://t.co/1qeUIpT1rc
》 「無人航空機」 その目は何を… (NHK, 10/31)。海保が実証実験しているシーガーディアンの件。
》 立命館大でクラスター 学生約30人飲食し計7人感染、5日滋賀コロナ (京都新聞, 11/5)
立命館大と県によると、10月24日に学生約30人が県内の居酒屋で飲食し、このうち1人の感染が11月3日に判明。濃厚接触した学生を検査した結果、新たに6人が陽性となった。6人は10~20代で、うち2人は県外在住。いずれも軽症か無症状。関係する授業を5日からオンラインに切り替えた。
患者558例目 (滋賀県, 11/3) の「学校関係者(19 名)、その他については調査中」 が 6 名陽性判明ということか? 新型コロナウイルスに感染した患者の発生について(県内564~584例目) (滋賀県, 11/5)
》 United States Seizes 27 Additional Domain Names Used by Iran’s Islamic Revolutionary Guard Corps to Further a Global, Covert Influence Campaign (justice.gov, 11/4)、 米、イランのプロパガンダに利用されたとみられるドメイン名を複数差し押さえ (ZDNet, 11/5)
》 Alert (AA20-304A) Iranian Advanced Persistent Threat Actor Identified Obtaining Voter Registration Data (CISA, 10/30)
》 Alert (AA20-302A) Ransomware Activity Targeting the Healthcare and Public Health Sector (CISA, 10/28)。TrickBot、BazarLoader。
》 国内大手7社による貿易業務のデジタル化、核となるのはブロックチェーン活用 (Internet Watch, 11/4)。
NTTデータの運営するブロックチェーンプラットフォーム「TradeWaltz(トレードワルツ)」へ共同出資する。(中略) 今回の取り組みは、2017年より実証実験という形で進められており、商用化の目処が立ってきたことから共同出資に踏み切ったとしている。
ボーリング調査開始 (10/27)
調布市道路陥没事故、ボーリング調査始まる 原因究明へ (朝日, 10/28)
住宅街の道路陥没事故 地盤のボーリング調査始まる 東京 調布 (NHK, 10/27)
外環道トンネル直上に巨大空洞確認 (11/3)。 ボーリング調査 (11/2) で空洞の可能性を確認、 レーザースキャナ等 (11/3) で空洞を確認。 「幅約4m×長さ約30m、厚さ約3m」。クジラを埋められるだろこれ。
東京外かく環状道路(関越~東名)工事現場付近での地表面陥没について【第6報】 (NEXCO 東日本, 11/4)
第3回 東京外環トンネル施工等検討委員会 有識者委員会を開催しました (NEXCO 東日本, 11/5)、 地表面陥没箇所周辺の地盤調査で確認された地中の空洞について (NEXCO 東日本, 11/5)
道路陥没付近の地下 新たに空洞見つかる 東京 調布の住宅街 (NHK, 11/4)
調布の道路陥没、空洞発見 住民「近づいてきて不気味」 (朝日, 11/5)。陥没地点もトンネルの直上なのですね。
陥没付近地中に空洞 東京・調布 外環道工事現場の直上 (赤旗, 11/5)
調布市陥没事故を受けた、東京外環道緊急申し入れ集会にリニアの住民グループとして参加して (大田区議会議員奈須りえ / BLOGOS, 10/24)
「東京外かく環状道路」陥没事故受け 改めて工事中止求める (NHK, 10/28)
ツイート:
東京・調布市の陥没事故(10月18日)現場付近で新たに4日、地中に長さ30mもの巨大な空洞が見つかりました。赤旗日曜版11月8日号は、陥没直下で外環道トンネル工事のシールドマシンが掘進困難となる重大トラブルを起こし、専門家に相談していた事実をスクープ。施工ミスの疑いを指摘しています。 pic.twitter.com/KNneePw1rj
— しんぶん赤旗日曜版 (@nitiyoutwitt) November 4, 2020
大深度法、改正待ったなしだろ。
》 クローズアップ デジタル庁、権限焦点 縦割り打破に反発必至 (毎日, 10/19)
学校の遠隔授業に対してはさまざまな規制がある。小中学校では、教室と自宅をオンラインでつなぐ授業は原則認められておらず、高校も通信制を除けばサポート役の教員が生徒のそばにいることが条件だ。大学に関しても、卒業に必要な124単位のうち、遠隔授業で取得できるのは60単位までという縛りがある。
しかし、新型コロナウイルスの感染拡大で潮目が変わった。対面授業が難しい状況でも学習権を保障しようと、オンラインによる遠隔授業に取り組む動きが学校の種別を問わず広がった。文科省も「コロナ禍」における特例的な対応として、小中高でのオンライン授業を事実上容認した。大学の単位に関する規制も緩めた。
今回の経験で手応えを得た教育現場からは、「ポストコロナ期」においてもオンライン授業の拡大を認めるよう規制緩和を求める声も上がる。国内の125大学でつくる日本私立大学連盟は7月、「授業のオンライン化の流れは世界レベルで加速していくことが予想される」として、遠隔授業の単位の制限を緩めるよう萩生田文科相に要望した。
また、中央教育審議会の分科会は9月、「コロナ禍」で実施された小中学校や高校のオンライン授業について、さまざまな学習コンテンツで多様な学習ができた▽教師と児童生徒がICT(情報通信技術)でつながることで学習状況の把握が可能になった▽学校間の連携においても活用が進められた――などと評価。将来的に目指すべき教育の姿として、対面指導と遠隔教育の両方を使いこなす「ハイブリッド化」を掲げた。
菅首相が政府全体でデジタル化を進める方針を示したことで、こうした流れは一層強まりそうだ。
これに対して文科省は、大学でのオンライン授業の拡大には議論の余地があるとする一方、小中学校については慎重な立場を崩していない。オンライン授業の解禁が「教員削減論」につながることに対する警戒感もある。
関連:
コロナウイルスの影響に伴うオンライン授業の規制緩和、留学生の出入国等の緩和を要望 (日本私立大学連盟, 7/13)
中央教育審議会初等中等教育分科会(第127回)会議資料 (文科省, 9/28)、 資料2-1 「令和の日本型学校教育」の構築を目指して(中間まとめ(案))【概要】 (文科省, 9/28)
文科相、義務教育オンライン化に慎重 授業日数へのカウント「考えていない」 (毎日, 10/6)
萩生田光一文部科学大臣記者会見録(令和2年10月6日) (文科省, 10/6)
萩生田光一文部科学大臣記者会見録(令和2年10月9日) (文科省, 10/9)
第47回 教育再生実行会議 配布資料 (首相官邸, 8/25)、 主な論点に関する参考資料 (首相官邸, 8/25)
NEXCOは調査指示「鉄筋不足で崩落の恐れ」中央自動車道の手抜き工事を下請け会社が実名告発 (文春オンライン, 10/28)。 告発者は「大きな地震が起きれば、高速道路の上に架かるこの橋が崩落する恐れもあり、一刻の猶予もありません」と証言。
「責任は免れない」中央道NEXCO耐震補強工事、元請け業者が「鉄筋なし」認める (文春オンライン, 11/3)。
告発を受け、発注者の中日本高速道路株式会社(NEXCO中日本)の担当者と、元請けの大島産業の従業員らが立ち会って検査が実施された。電磁波レーダーを用いた詳細な検査の結果、鉄筋が入っていないことがその場で確認された。
11月5日(木)発売の「週刊文春」では、大島産業の庇護者として動いた宮内秀樹農水副大臣と大島CEOの近い関係を示す新証言や、同社が過去に起こした凄絶なパワハラの証拠写真、NEXCO内部で起きている、大島産業を庇う不可解な動きなどを詳報する。
NEXCO 中日本が公式発表、 マスメディアも報道開始。
E20 中央道を跨ぐ橋梁の耐震補強工事における施工不良への対応について (NEXCO 中日本, 11/4)。「鉄筋 8 本(D16-7,090mm)の不足を確認」「ひび割れを 2 箇所確認」。図解入り。
当該工事で施工した他の橋梁についても、同様の疑いがあることから、工事受注者に対して本日、追加調査を指示しました。合わせて、弊社でも調査をおこなう予定です。
中央道またぐ橋に鉄筋不足 大島産業施工、他の橋も疑い (朝日, 11/4)。「工事をやり直すとともに、工事受注者の建設会社・大島産業(福岡県宗像市)に損害賠償請求をする」
中央自動車道またぐ橋 鉄筋の不足明らかに 他の橋も調査へ (NHK, 11/5)
大島産業(福岡県宗像市)
株式会社大島産業グループ (buzip.net)。「代表者名: 大島 康朋」「業種: 陸運(貨物) / 建設・土木 / 設備工事」
大島産業、丸刈りパワハラ賠償確定 会社側の上告退ける (サンスポ, 2019.09.19)
福岡県第4区 (ウィキペディア)。 宗像市、福津市、古賀市、糟屋郡。
まさに「地元のため」ですか……。
本日、菅内閣の一員として、農林水産副大臣を拝命しました。
— 宮内秀樹 (@MiyauchiHideki) September 18, 2020
早速官邸で副大臣会議を行ったあと、農林水産省への初登庁を済ませました。
国民のために働く内閣の一員として、日本のため地元のために全力で働いて参りますので、皆さまどうぞ宜しくお願いします。 pic.twitter.com/nL49NS3S8C
》 中国 海警局に“外国船舶への武器使用”認める法律の草案 (NHK, 11/5)
関連: 尖閣沖 接続水域 中国当局船の航行日数最多に 海保が警備強化 (NHK, 11/2)
》 台湾におけるCOVID-19対応 (錢 瓊毓 / 日本医師会 COVID-19有識者会議, 7/16)。 たいへん興味深い。
》 原子力規制委員会への不正アクセスについてまとめてみた (piyolog, 10/28)
》 LogonTracer v1.5 リリース (JPCERT/CC, 10/30)。「今回のアップデートでは、リアルタイムイベントログ分析を可能にする機能を追加しました」
》 サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3) (IPA, 11/2)
》 タイツの日のラブタイツで炎上して消されたイラスト魚拓まとめ (千里高校報道部, 11/4)。興味深い。
発注主としては「温かい」「柔らかい」「清潔」の3点がポイントなのだから、過度に性的な印象を与えるものはカットするしかない。「せっかくイラストレーターさんががんばって描いてくれたのだから」といって安易にゴーサインを出すのはダメ。ボツにすべき。
ですよねえ……。
14 件のセキュリティ欠陥を修正。 Priority Rating: 2
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2020.013.20064 |
| Acrobat 2020 / Acrobat Reader 2020 (Classic 2020) | 2020.001.30010 |
| Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) | 2017.011.30180 |
》 2021年にLet's Encryptのルート証明書が変更!影響や備えておくべきこととは? (さくらインターネット, 8/7)。こんな話があったのか。知らんかった。
「ISRG Root X1」はAndroid端末において普及率の問題を抱えており、Android 7.1.1以降であれば「ISRG Root X1」を利用できますが、現在でも実に34%のAndroid端末はそれ以前のバージョンであるため利用できません。これらの端末はLet's Encryptを利用しているWebサイトにアクセスできなくなる可能性があります。 (中略) どうしてもAndroid 7.0以前の端末で、これまで通り標準ブラウザでサイト閲覧を可能にしたい場合は、サーバー管理者側がその端末に対応する他のSSL証明書に切り替える必要があります。
関連: Let's Encrypt's New Root and Intermediate Certificates (Let's Encrypt, 9/17)
》 サッカーの試合でボールを追跡するはずのAIカメラ、審判のスキンヘッドを追いかけ生配信 (gizmodo, 11/3)。明らかな調整不足。
この技術は、スコットランドのカレドニアン・スタジアムに設置された「Pixellotカメラ・システム」と呼ばれるもので、人工知能がボールを追跡するようプログラムされ、ここで行われる試合をHD画質で生配信するストリーミング・プラットフォームです。
》 山形大、複数の教授間でパワハラか 不当評価や成果「横どり」 職員組合発表 (毎日, 11/3)
》 菅総理、日本学術会議問題に関する川内議員との議論で重要答弁 (11/2)
日本学術会議問題 川内博史(立憲民主党)VS菅義偉内閣総理大臣 2020年11月2日衆議院予算委員会 文字起こし (上西充子 / note, 11/3)
● 川内博史議員
(笑って)あの、まあ、総理はね、縦割りを打破する、官僚主義を打破するんだと、こうおっしゃっていらっしゃって、叩き上げだとおっしゃる。私もたたき上げですよ。叩き上げ比べをね、してもいいぐらいだと思ってますけども。
あのー、えー、この問題を解決するできるのは総理しかいないので、これね、突っ張っても違法状態が続くだけなんですよ。
なぜなら、なぜなら、総理のところにはね、梶田会長の「6名任命してね」と、「お願いしますよ」という要望書が来ましたよね。これは法的にはたぶん、日本学術会議が6名をもう一回推薦してね、と総理に持ってきてるんですよ、で、総理の手に、その6名の推薦名簿があるんですよ、今。
で、それを推薦しないとですね、その方たちを推薦しないと、210名が会員として揃わないので、総理大臣としての責任を果たしていないって事になるんです。なぜなら、210名の会員を組織させるのは総理大臣の責任だから。最終的に。
だから、この問題を解決できるのは総理しかいないんです。たった1人なんですよ。この国で。みんな、いろんなことを言いますよ。だけども、結局、説明できないのであれば任命するしかないし、私はそう思いますよ。
で、あと、学術会議のことが、「ちょっと、ずっと前から俺は問題に思ってたんだ」と、「改革したいんだ」と、だって改革者だからね、「改革しなきゃいけないんだ」とおっしゃるのであれば、6人を任命した後、正式な会議体を作って、「議論してね」、と。そして会員の推薦のあり方等を含めて、「ちゃんとしてね」と、これまでと同じやり方をやっていくということが、信頼を受ける、「国民に信頼される政治」ではないかというふうに思います。
そうじゃないとですね、総合的俯瞰的にですね、国民の皆さんからですね、菅内閣はわけわからんと思われちゃうんですよ。……ここ、受けませんでしたかね。はい。
あの、いや総理ね、総理が一人なんですよ、これ解決できるのは。このまま学術会議が6名の推薦を「取り下げません」と。「あくまでも任命してください」と言い続けたら、6名がずっと欠員のままですからね。それは政府としてやってはならないことですから。
総理として、「考える」と。「梶田会長を呼んで考える」と。「よく話し合ってみる」と。もう、梶田会長は「6名推薦してね」ときちゃったんですから。来てるんですから、要望書は出てるんですよ。総理のところに。
それは、ちゃんと、「じゃあ話すから」というぐらいはしないとですね、これずーっと続くんです膠着状態が。それは、このコロナ禍でですね、コロナ禍で、他に議論しなければならないこともたーくさんあるんですよ。総理として決断してください。
(拍手)
●金田勝年委員長
内閣総理大臣、菅義偉くん。
●菅義偉首相
あのー。理論的には川内委員が言われる通りだというふうに思います。
で、梶田会長が来られた時に、それは確かに受け取りました。任命の要望書について。
その上で、梶田会長とは、国民から理解をされる会議にしていきたいと。学術会議にしていきたいと。さらに、そのために、何をやるべきかということも、一緒にやっていきたいと。そうしたことについては合意をしまして、いま、井上大臣のところで、梶田会長と会談をして、そうしたことを進めさせていただいているところであります。
その、もう、任命するしないということは、そのままの状況になっています。
で、結果として、理論的には川内委員の言う通りだというふうに私は思ってます。
このツイートからはじまる一連のツイート:
私もなぜ、新聞報道がこのやり取りに注目をしていないのか、疑問に思っている。
— 上西充子 (@mu0283) November 2, 2020
何か掴んでいながらあえて今は報じていないのか。
川内議員が質疑をしているとき、菅官房長官は、うんうんと頷いていた。 https://t.co/imm1o1XWoj
Chrome 86.0.4240.183 公開。10 件のセキュリティ修正を含む。$15000 が 2 件もあるなあ。今回も 0-day の修正が。
[$NA][1143772] High CVE-2020-16009: Inappropriate implementation in V8. Reported by Clement Lecigne of Google's Threat Analysis Group and Samuel Groß of Google Project Zero on 2020-10-29
(中略)
Google is aware of reports that an exploit for CVE-2020-16009 exists in the wild.
Chrome 86.0.4240.111 で修正された 0-day CVE-2020-15999 は、Windows Kernel の 0-day CVE-2020-17087 と組みあわせて、Chrome の sandbox を突破するのに使われていたのだそうで。
CVE-2020-17087 の修正は、今月の Windows Update の日 (11/11) に提供される予定だそうです。
》 (現場へ!)独ソ戦を考える:3 何も知らない、漫画で気づく (朝日, 10/28)。「戦争は女の顔をしていない」の件。
》 王谷晶が語る「今こそ触れたいシスターフッドな作品」の話 (vgplus.blog.jp, 10/27)。 個人的に連想したのは「女刑事キャグニー&レイシー」なんだけど、ぜんぜん最近の作品じゃない。
》 全国で新型コロナ患者が再増加の気配 欧州のような大流行を避けるためには (忽那賢志 / Yahoo, 11/1)。関連:
スペイン、再び非常事態宣言 イタリアも飲食営業制限 (日経, 10/26)。「スペインは非常事態宣言に伴い、国内のほぼすべての地域で原則、午後11時から午前6時までの外出を禁じる」「スペインの憲法で非常事態の期間は当初15日間と定められているが、サンチェス氏は2021年5月まで延長することを議会に提案する意向」「イタリアも同日、26日から規制強化に踏み切ると発表した。飲食店の夜間営業禁止のほか、映画館や劇場、スポーツジムも閉鎖する。規制は11月24日まで」
フランス全土で2度目のロックダウン 経済活動は継続 (BBC, 10/29)。10/30〜12/1。
ジョンソン英首相、イングランドに2度目のロックダウン 感染再拡大で (BBC, 11/1)。11/5〜12/2。
ドイツ、11月2日から1カ月の緊急ロックダウンへ 飲食店閉鎖・旅行自粛も要請 (ロイター / ニューズウィーク日本版, 10/29)。11/2〜12/1?
》 IOCが東京五輪中止を日本側に打診! 大手メディアはなぜ「中止」を伝えない (本間龍, 10/30)。まもなく正式発表、だそうで。まあ、ヨーロッパは第 2 波バリバリだし、日本も第 3 波直前な感じだし。 ふつうに考えて無理だよね。
》 町山智浩『続・ボラット 栄光ナル国家だったカザフスタンのためのアメリカ貢ぎ物計画』を語る (miyearnZZ Labo, 10/27)
》 「限界だった」たった1人の介護の果て なぜ22歳の孫は祖母を手にかけたのか (毎日, 10/28)。悲惨としか言いようがない。関連:
22歳孫の祖母介護殺人「これはあなた自身の問題」 江川紹子さんの読み解き方 (毎日, 10/30)。ほんと、明日は我が身。
22歳孫の祖母介護殺人 「自助に頼る国の悪癖」露呈 就職氷河期経験者が読む (毎日, 10/31)
赤木さんは言った。
「『自立』『助け合い』『支え合い』を、さもいいことのように言うけれど、それらは幻想です。実際には誰かの『負担』で成り立っている。国の本質は公助です。公助のない国は必要がない」
ほんとそれ。
22歳孫の祖母介護殺人 「身内の世話は身内ですべきだ」は無理 憲法学者・南野森さん (毎日, 11/1)。無理。
夢くだいた家族の不条理 21歳、孫娘の孤独な介護殺人 (朝日, 11/1)
「介護離職ゼロ」掲げる菅内閣へ 現場から届いた声 (朝日, 10/11)
SNSと心理戦争① 今さら聞けない“世論操作” (テレビ東京 / YouTube, 10/29)。約 21 分。
SNSと心理戦争② フェイスブックの“闇”とは (テレビ東京 / YouTube, 10/29)。約 25 分。
告発 フェイスブックを揺るがした巨大スキャンダル (ハーパーコリンズ・ジャパン)
》 伊藤詩織さんの「書類送検」は単なる手続き。山口敬之さんの投稿を弁護士が解説 (BuzzFeed, 10/31)
》 「購入済みデジタルコンテンツ、いずれ利用できなくなる可能性」Amazonの主張が波紋 (やじうま Watch, 11/2)、 Amazon曰く、Amazon Prime Videoで「購入」したコンテンツは購入者のものではないと規約に書いてある (スラド, 11/1)
October 2020 patch で修正された CVE-2020-14882 に関連する、 WebLogic Server 10.3.6.0.0 / 12.1.3.0.0 / 12.2.1.3.0 / 12.2.1.4.0 / 14.1.1.0.0 を remote から無認証で攻略できる欠陥 CVE-2020-14750 があるそうで。 既に exploit が公開されているそうです。iida さん情報ありがとうございます。
patch があるようなので適用してください。
過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)