![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Sat Mar 6 17:42:02 2021
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 変異株、「散発」から「増加」へ 20都府県に広がる (朝日, 3/6)
》 6回接種の特殊注射器で脚光 きっかけは25年前の依頼 (朝日, 3/6)。韓国「新亜洋行」。関連:
ローデッド注射器 low dead space syringe (ナレッジキャピタル, 2/18)
K注射器、1人分多く接種できるが…ワクチン契約書の不都合な真実=韓国 (中央日報, 3/1)。LDS 注射器 + 熟練操作員なら、6人分ではなく7人分取れる模様。しかし、
FDAが25日に改定した指針を見ると、ファイザーワクチンはLDS注射器を使用する場合、1瓶あたり6回分と明示されている。7回分を取ることが可能であるにもかかわらず6回分と規定したのは、人や状況によって7回分を確保できない可能性があるからだ。ベルギーのブリュッセルタイムズは先月15日、「ファイザーワクチン1瓶あたり7回分を抽出して5000人余りに接種したが、もうこのような接種はできなくなった」と伝えた。その理由として「7回抽出分を接種した人たちが2回目の接種ができるという保証はない。2回目の接種で1本からまた追加容量を確保できるかどうか確実でないからだ」と説明した。
韓国防疫当局も標準接種法を7回に変更する可能性について「それはできない」と明らかにした。
「2回接種」が壁となっている模様。
みずほ、甘い想定重ね被害拡大 ATM障害、顧客目線の業務体制課題 (時事, 3/3)
容量オーバーで、一部ATMなどで定期預金の取引ができなくなる不具合が起きたが、この後も「甘い想定」が重なった。取引不能件数は当初463件で、「現行の(人員)体制で処理できると考えていた」(藤原頭取)と言う。
しかし、不具合がシステム全体に影響するのを防ぐため、基幹システムがATMとの連携を一部遮断。2019年に導入した新システムの「自衛機能」が働いた格好だが、この結果、ATMの処理速度が低下。取引の異常を検知したATMが「預金者の被害を食い止めるため」(同行関係者)に、カードや通帳を次々と飲み込む事態にまで想定が及ばなかったと言える。
甘い想定とまずい事後対応 金融庁がみずほ銀行を調査へ (朝日, 3/3)
みずほATM障害、危うい月末処理 必然の「パンク」 (日経, 3/4)
「わざわざ月末に臨時のデータ処理をぶつけるなんて考えられない」。ほかの大手行の幹部は、1年以上にわたって通帳への記帳がない定期預金のデータを更新するタイミングが適切だったのかどうか首をかしげる。(中略) ほかの大手行は不測の事態を避けようと月末の作業を避けるほか、特に日数が少ない2月にぶつけないのが通例だという。
ほんとこれ。
定期預金のシステム障害が、ATMやインターネットバンキングの不具合につながった点にも疑問が残る。1日の記者会見で藤原弘治頭取は基幹システムとATMをつなぐ3本のチャネルが2本閉まったためと説明した。片側3車線の高速道路を1車線に突如減らし、大渋滞が起きたのと似た現象といえる。
定期預金の取引で検知した異常がシステム全体に悪影響をおよぼさないよう、自衛機能が働いた結果だが、大手行の専門家は「なぜ秩序だてて段階的に制御できなかったのか」と疑問を投げかける。1日の会見ではこの点についても明確な説明はなかった。
今回の件、思った以上に深刻なのか?
みずほ銀行 システム障害原因究明へ デジタル通帳移行作業中断 (NHK, 3/5)
みずほ、3月中のデジタル口座移行を断念へ ATM障害 (朝日, 3/5)
「初歩的ミスで顧客の不信」 みずほ、ATM障害の痛恨 (朝日, 3/5)
Released: March 2021 Exchange Server Security Updates (2021.03.03)
関連:
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities (Volexity, 2021.03.02)
Threat Assessment: Active Exploitation of Four Zero-Day Vulnerabilities in Microsoft Exchange Server (paloalto networks, 2021.03.03)
At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software (Krebs on Security, 2021.03.05)。過去形か。
FileZen V4.2.7 以前、および V5.0.0〜5.0.2 に欠陥。OS コマンドインジェクション可能な欠陥があり、「システム管理者画面にログオンした状態から、FileZenを不正に操作することが可能」。
新たに確認した脆弱性は、システム管理者としてログオンしているセッション内に限り発現するものです。しかしながら、V4.2.2までの脆弱性を利用しFileZenに侵入された場合、パスワードを窃取する手法があることも確認しています。
どうやら、昨年の「ファイル・データ転送アプライアンス FileZen に関する注意喚起」 で修正されたのは、remote から FileZen に侵入できるような欠陥だった模様。
FileZen V4.2.8 / V5.0.3 で修正されている。 また、ファームウェアの更新如何にかかわらず、「対策手順」に記載された以下の内容の実施が要請されている。
・新たなシステム管理者の作成と「admin」無効化 (5-1)
・「admin」以外の既存システム管理者アカウントの降格または削除 (5-2)
・システム管理者のアクセス制御に関する設定 (5-3)
》 コロナワクチンの影で… (NHK, 3/3)。日本脳炎ワクチンが不足している件。
国内で供給される日本脳炎のワクチンは2つの団体がすべて製造しています。
このうちの1つ、大阪府にある「阪大微生物病研究会」で、一時、ワクチンの製造が停止したことが不足の原因です。
関連:
乾燥細胞培養日本脳炎ワクチン「ジェービック V」の供給についてのお詫び (阪大微生物病研究会, 1/15)。「出荷再開は 12 月の予定です」
厚労省 日本脳炎ワクチンの定期接種「1期の2回接種優先を」 阪大微研の出荷調整で (ミクス online, 1/18)
乾燥細胞培養日本脳炎ワクチンの定期の予防接種に係る対応について (厚生労働省健康局健康課長, 1/15)
2021年度は、80万本程度供給量が減少する見込みです。 一方、2022年度は、2社ともに増産を行い、2020年度と比較して、160万本程度供給量が増加する見込みです。
供給が安定するまでの間、4回接種のうち、1期の2回接種(1回目及び2回目)の接種を優先すること。
(ただし、定期接種として接種が受けられる年齢の上限※が近づいている場合には、定期接種で受けられる年齢を過ぎないように、2021年度内に接種を行うこと)。
大規模障害 (2/28)
みずほ銀行ATM障害で通帳と現金25万が吸われたまま仕事も飛んだ話 (まるやあかね / note, 3/2)。現場レポート。
みずほ銀行のシステム障害、ほぼ復旧 定期預金のデータ更新作業が原因 1日午後にも説明へ (ITmedia, 3/1)
システム過負荷でなぜATMにトラブルが? みずほ銀システム障害、運用面の課題あらわに (ITmedia, 3/2)
みずほ銀は27日、1年以上動いていない定期預金口座のステータスを「不稼働」に変更するデータ更新作業を行っていた。処理したデータは45万件。この作業を行うにはシステムに十分なデータの空き容量が必要だという。(中略) この日は、毎月行っている定期預金の月末処理も15万件同時に処理していたが、問題は起こらなかった。
障害が起きた28日も、みずほ銀行は約45万件のデータ更新作業を行っていた。しかしこの日は、27日を10万件上回る25万件の月末処理が重なった。システム上の空き容量が不足した結果、インターネットバンキングやATMで定期預金の取引ができなくなる障害が発生したとしている。
みずほ銀行 システム障害 初動対応のまずさが被害拡大招く (NHK, 3/2)
28日の午前9時50分ごろに最初のエラーが発生したということですが、担当者は事態の深刻さをすぐには把握できなかったということです。
また、28日午前11時ごろに、ATMやインターネットバンキングで一部の取り引きができないという連絡が、顧客から相次いで寄せられた際も銀行側は、通常の業務態勢で対応できると判断したということです。
経営陣らが大規模なシステム障害が起きていると認識したのは当日の正午以降で、各店舗からの電話を受けるコールセンターの担当者を増やしたのは午後2時ごろ、すべての支店長らに出勤を指示したのは午後2時半になってからでした。
吸い込まれたカード、2割返却できず みずほATM障害 (日経, 3/3)
甘い想定とまずい事後対応 金融庁がみずほ銀行を調査へ (朝日, 3/3)
みずほ銀行システム障害 みずほ以外のATM手数料 全額返金に (NHK, 3/3)
原因はデジタル通帳移行 みずほ銀のATM障害 (産経, 3/4) 「今年1月に導入した「デジタル通帳」へのデータ移行作業が原因だった」
みずほ銀行で「3度目」のシステム障害、新頭取を待つ笑顔なき船出 (ダイヤモンド online, 3/4)
別の障害 (3/3)
みずほのATMでまた障害 3日夜、29台が一時停止 先日の障害とは「別の要因」 (岡田有花 / ITmedia, 3/4)
》 【参院・広島再選挙】郷原弁護士「カネをもらった側の刑事処分なくして選挙はありえない」 (田中龍作ジャーナル, 3/2)、 案里氏「当選無効」に伴う参議院広島再選挙、被買収者の選挙関与で「公正な選挙」と言えるか (郷原信郎 / Yahoo, 3/2)
》 OpenSSH 8.5 Release Notes (OpenSSH, 3/3)。iida さん情報ありがとうございます。
ssh(1), sshd(8): this release changes the first-preference signature algorithm from ECDSA to ED25519.
ssh(1): this release enables UpdateHostkeys by default subject to some conservative preconditions:We expect some of these conditions will be modified or relaxed in future.
- The key was matched in the UserKnownHostsFile (and not in the GlobalKnownHostsFile).
- The same key does not exist under another name.
- A certificate host key is not in use.
- known_hosts contains no matching wildcard hostname pattern.
- VerifyHostKeyDNS is not enabled.
- The default UserKnownHostsFile is in use.
ssh(1), sshd(8): add a new LogVerbose configuration directive for that allows forcing maximum debug logging by file/function/line pattern-lists.
》 SpaceX、Starship SN10試験打上げで着陸に成功!しかし数分後に爆発 (engadget, 3/4)。失敗を重ねながら、着実に前進している。すばらしいなあ。
SpaceXのJohn Insprucker氏はライブ中継で「3度目の正直で軟着陸に成功しました」と述べ、「テキサスのチームはさらにいくつかの弾道飛行用の機体を組み立て中で、次のSN11はすぐにも発射台に乗る準備ができています」と述べていました。
SpaceX は、開発速度もすごいんだよなあ。
》 パインでトゲトゲしく 中国 「害虫発見」で輸入停止/台湾 「農家守る」販路拡大へ (毎日, 3/3)
》 福島第一原発事故方面。 10 年ということで、いろいろ本が出ているんですね。
福島第一原発事故の「真実」 (NHK メルトダウン取材班 / 講談社)。NHK スペシャルまとめ本かな。
東電原発事故 10年で明らかになったこと (添田孝史 / 平凡社)。 これを読めば、1F 事故がいかに人災であったかがよくわかるはず。 「はじめに」から:
2002年に国が津波計算を要請していたのに、東電は嘘の理由を挙げて40分も抵抗し拒否した。2007年、福島第一は国内で最も津波に余裕のない脆弱な原発とわかっていた。2008年に東電の技術者は津波対策が必要という見解で一致していたのに、経営者が先送りを決めた。東電が着手しなかった津波への対策を、日本原子力発電(東海第二原発)の経営者はすぐに始めた。同じ年、東北電力がまとめた女川原発の最新津波想定を、東電は自社に都合が悪いからと圧力をかけて書き換えさせた。
それらのことが法廷で明らかになったのは2018年以降だった。(中略) 裁判で続々と新しい事実がわかり、その解像度はぐんと上がっている。ただし断片的な報道が多かった。本書の目的は事故から10年の時点で明らかになった全体像を示すことだ。
福島原発事故10年検証委員会 民間事故調最終報告書 (アジア・パシフィック・イニシアティブ / ディスカバー 21)。 福島原発事故独立検証委員会 調査・検証報告書の追補になっているみたい。 序章から:
今回のプロジェクトは民間事故調の後継である第二次民間事故調として、その精神と問題意識を受け継ぎつつ、この 10 年で民間事故調が提起した問題について、日本の政府が、東京電力が、そして社会がどのように変化し、どのようにこれらの教訓や提言を受け入れてきたのかを検討する。
フクシマ戦記 10年後の「カウントダウン・メルトダウン」 (船橋洋一 / 講談社)。こちらは「カウントダウン・メルトダウン」の全面改訂版の模様。
関連:
ツイート
事故の後始末費用は、政府見積もりで11兆円(2013年)→21.5兆円(2016年)と東京五輪式で増え続けています。日本経済研究センターの試算では35兆円から80兆円https://t.co/3tVc96XSZn
— 添田孝史 (@sayawudon) March 2, 2021
とても控えめに21.5兆円としても科研費の約100年分。事故が無かったらノーベル賞100個ぐらい取れたのでは?
》 30FFM 1番艦「もがみ」進水。おめでとうございます。 30FFM は 2 番艦「くまの」が進水済。
海自の最新鋭護衛艦「もがみ」進水 新たな多用途護衛艦のネームシップ (乗りものニュース, 3/3)
海上自衛隊の新型3900トン型護衛艦(FFM)1番艦「もがみ」が進水――艦名は最上川に由来 (高橋浩祐 / Yahoo, 3/3)
Exchange 2013 / 2016 / 2019 に複数の 0-day 欠陥 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 。中国政府系の攻撃者 Hafnium に悪用されている。
New nation-state cyberattacks (Tom Burt / Microsoft, 2021.03.02)。Hafnium について。
HAFNIUM targeting Exchange Servers with 0-day exploits (Microsoft, 2021.03.02)。技術詳細記事。 攻撃手法、攻撃ツール、log での確認方法など。
Exchange 2010 を含め、定例外 patch にて対応。
- CVE-2021-26412 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-27078 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-26854 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-26855 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-27065 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-26857 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-26858 Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-26857 Microsoft Exchange Server Remote Code Execution Vulnerability
関連
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起 (JPCERT/CC, 2021.03.03)
関連:
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities (Volexity, 2021.03.02)
Threat Assessment: Active Exploitation of Four Zero-Day Vulnerabilities in Microsoft Exchange Server (paloalto networks, 2021.03.03)
At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software (Krebs on Security, 2021.03.05)。過去形か。
Tomcat 10.0.2 / 9.0.43 / 8.5.63 / 7.0.108 (2021.02.02 リリース) のセキュリティ修正情報が 2021.03.01 付で公開された。 2 件の欠陥が修正されている。
Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起 (2020.05.21)
JPCERT/CC 注意喚起が改訂された。
Apache Software Foundationは、2021年3月1日(米国時間)に、Apache Tomcatの脆弱性(CVE-2021-25329)に関する情報を公開しました。一般的に利用されないまれな構成において、CVE-2020-9484の修正が不十分であったため、CVE-2021-25329として新規採番し、修正が行われました。
CVE-2021-25329。 Tomcat 10.0.2 / 9.0.43 / 8.5.63 / 7.0.108 で修正されている。
》 Windows 10 長期サービス チャネル (LTSC) 次期リリースについて (Microsoft, 2/25)
クライアント用 Windows 10 Enterprise LTSC のサポート ライフサイクルを、永続版ライセンスの次期バージョンの Office に合わせて 5 年間に変更します (中略) Windows 10 IoT Enterprise LTSC のサポート ライフサイクルは 10 年間のまま
》 宮下紘先生より「プライバシーという権利」を献本いただきました (IT Research Art, 2/24)
》 Mitigating Memory Safety Issues in Open Source Software (Google, 2/17)
》 Google、Androidアプリでもパスワードの漏洩チェックを利用可能に (窓の杜, 2/24)、 New Password Checkup Feature Coming to Android (Google, 2/23)
》 A Look at iMessage in iOS 14 (Google Project Zero, 1/28)
》 Déjà vu-lnerability - A Year in Review of 0-days Exploited In-The-Wild in 2020 (Google Project Zero, 2/3)
》 Japan Security Analyst Conference 2021 開催レポート ~1ST TRACK~ (JPCERT/CC, 2/25)
》 UA328 便エンジン損傷方面 (2/21)。 PW4000 シリーズのうち PW4000-112 シリーズの PW4077 を使用。
PW4000-112 ENGINE (Raytheon Technologies Pratt & Whitney Division)
United UA328 suffers engine failure departing Denver (flightradar24.com, 2/21)
ユナイテッド航空の777,デンバー離陸後にエンジントラブル 部品落下も (AviationWire, 2/21)
国交省、ANA/JALに777運航停止指示 ユナイテッド機事故でPWエンジン機 (AviationWire, 2/22)
FAA、777に緊急耐空性改善命令 ユナイテッド機不具合でPWエンジン機 (AviationWire, 2/22)
P&W社製のエンジンを装備したボーイング777型機の運航停止について (JAL, 2/22)
JAL・ANA PW4000エンジン搭載777型機まとめ (FlyTeam, 2/22)
ユナイテッドの777、ファンブレード2枚破断も機体損傷は軽微 NTSB調査 (AviationWire, 2/23)
類似事故: JL904 便エンジン損傷 (2020.12.04)。PW4000-112 シリーズの PW4074 を使用。
JAL機、左エンジン損傷 離陸20分後に衝撃音 那覇に戻り緊急着陸 (沖縄タイムス, 2020.12.04)
JALの777、那覇空港へ緊急着陸 左エンジン不具合で (AviationWire / Yahoo, 2020.12.04)
【お詫び】12月4日JL904便の欠航について (JAL / Facebook, 2020.12.04)
JAL機エンジントラブル、調査状況明らかに 同型エンジン装備機で緊急検査 (Traicy, 2020.12.07)
令和2年12月4日に那覇空港の北約100キロメートル、高度約5,000メートルで発生した日本航空株式会社所属ボーイング式777-200型の航空重大インシデント[発動機の破損(破片が当該発動機のケースを貫通した場合に限る。)に準ずる事態] (運輸安全委員会, 2020.12.08)
令和2年12月4日発生のボーイング式777-200型機の重大インシデント[発動機の破損(破片が当該発動機のケースを貫通した場合に限る。)に準ずる事態]調査に関する情報提供 (運輸安全委員会, 2020.12.28)
航空局、経年エンジンの検査前倒し指示 777緊急着陸事案の関連で (FlyTeam, 1/30)
エンジン不具合のJAL 777、那覇で修理終え羽田帰還 2カ月半ぶり (AviationWire / Yahoo, 2/16)
Thunderbird 78.8.0 も出ています。
Firefox 86 がリリースされた (MozillaZine, 2021.02.24)
Firefox for Android 86 がリリースされた (MozillaZine, 2021.02.24)
Thunderbird 78.8.0 がリリースされた (MozillaZine, 2021.02.24)
iida さん情報ありがとうございます。
vCenter Server / ESXi 6.5 / 6.7 / 7.0 に 3 件のセキュリティ欠陥
CVE-2021-21972: Critical
vCenter Server plugin に含まれる vSphere Client (HTML5) に欠陥があり、port 443 にアクセス可能な攻撃者が無認証でコマンドを実行できる。
CVE-2021-21974: Important
ESXi で利用している OpenSLP に heap overflow する欠陥があり、 同一のネットワークセグメントに存在し、かつ port 427 にアクセス可能な攻撃者がコードを実行できる。
CVE-2021-21973: Moderate
vCenter Server plugin に含まれる vSphere Client (HTML5) に SSRF (Server Side Request Forgery) 欠陥があり、port 443 にアクセス可能な攻撃者が POST リクエストを送ることで情報漏洩を招く。
vCenter Server 6.5 U3n / 6.7 U3l / 7.0 U1c、vCloud Foundation 4.2 / 3.10.1.2 で修正されている。ESXi 6.5 / 6.7 / 7.0 には patch が提供されている。
JPCERT/CC から CVE-2021-21972 についての注意喚起が出ている。
VMware vCenter Serverの脆弱性(CVE-2021-21972)に関する注意喚起 (JPCERT/CC, 2021.02.25)
VMware から CVE-2021-21972 と CVE-2021-21973 の回避策が示されている。
SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)
関連:
Microsoft Internal Solorigate Investigation - Final Update (MSRC Blog, 2021.02.18)、 MicrosoftがSolarWinds事件の内部調査報告、身をもって「ゼロトラスト重要」を示す (ITmedia, 2021.02.22)
SolarWinds製品を悪用した攻撃、テクノロジー企業など民間100社近くが被害に (ZDNet, 2021.02.22)
NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道 (techcrunch, 2021.02.24)
NASAとFAAは、サイバー攻撃を受けたことが確認された9つの政府機関のうち、名前が明かされていなかった残る2つの機関であると考えられている。他の7つの機関は、米商務省、米エネルギー省、米国土安全保障省、米司法省、米国務省、米財務省、米国立衛生研究所だが、攻撃者がこれらの機密ネットワークに侵入したとは考えられていない。
》 仮面ライダー俳優の呆れたBLACK商法…造形作家が絶縁告白 (女性自身, 2/24)。仮面ライダー BLACK / BLACK RX の倉田てつを氏の件。
》 Microsoft、Flash削除パッチKB4577586を配信 (ニッチなPCゲーマーの環境構築Z, 2/24)
全ての環境に配信されるわけではなく、段階的なロールアウトとなっているようで、WindowsUpdateを実行しても降ってくる場合と降ってこない場合があります。
》 DigiCert ルート認証局下のサイバートラスト中間認証局の終了に関するご案内 (サイバートラスト, 2/2)
閉局により、2019 年 9 月 29 日以前に発行された SureServer シリーズまたは SureMail を現在もご利用中のお客様におかれましては、2021 年 4 月 30 日までに新しい証明書に差替えていただく必要がございます。DigiCert ルート下の中間認証局は、2021 年 5 月に失効される予定です。
》 【重要】Sectigo発行の一部証明書が失効します (ssl-store.jp, 2/19)。Sectigo は、昔 Comodo と言ってた奴のこと。
》 マルウェアEmotetのテイクダウンと感染端末に対する通知 (JPCERT/CC, 2/22)
テイクダウンが実施された1/27時点で約900のIPアドレスからの通信を確認しています。2/5以降は感染端末のコンピューター名もあわせて提供されるようになりました。(中略) 感染端末のコンピューター名の数から考えると2月以降も約500台の感染端末が日本国内に存在していると考えられます。
関連:
マルウェアに感染している機器の利用者に対する注意喚起の実施 (ICT-ISAC, 2/19)
マルウェアに感染している機器の利用者に対する 注意喚起の実施について (警察庁, 2/19)
事務局幹部が広告関連会社幹部に依頼?
広告会社側「代筆者集め受注」 リコール団体幹部依頼か―愛知不正署名 (時事, 2/18)
関係者によると、署名を集めていた昨年10月ごろ、広告関連会社幹部は「代筆のための人を集めてほしい」と事務局幹部から依頼され、数百万円で業務を受注した。同社側は事務局幹部から発注書も受け取ったとし、県警に経緯を説明したという。
<愛知県知事リコール問題>署名偽造、数百万で受注か 事務局が「バイト集めて」 (共同 / 佐賀新聞, 2/18)
愛知リコール署名「代筆の人集めを受注」 広告会社幹部 (朝日, 2/18)
名古屋市の広告関連会社幹部が、リコール運動事務局の幹部から「名簿を代筆するための人を集めてほしい」という趣旨の依頼を受けたと話していることが、関係者への取材でわかった。受注額は数百万円とみられ、昨年10月に100人近いアルバイトが約10日かけ、愛知県内の有権者らの名簿を署名簿に書き写したという。
知事リコール署名偽造で任意聴取 愛知県警、広告会社社長を (東京, 2/19)
関与否定の活動団体事務局 リコール運動中から混乱 (中日, 2/18)
スキマバイトアプリ「タイミー」
愛知県知事リコールへ向けた署名の偽造において弊社サービスが利用された可能性があることに関して(ご報告) (タイミー / PR TIMES, 2/17)
大村知事リコール運動の署名偽造はアプリで求人か (日刊スポーツ, 2/17)
愛知県知事リコール偽造署名に悪用された企業「大変遺憾であり申し訳ない」 (東スポ / Yahoo, 2/17)
知事リコールの署名偽造、バイト募集アプリに「名簿書き換え」の求人情報 (読売, 2/18)
<愛知県知事リコール運動>署名偽造 「口外しない」と誓約書 佐賀市 「名簿書き写し」50~60人 (佐賀新聞, 2/17)
愛知県知事リコール不正署名問題はどこまで罪に問われるのか アルバイトも処罰?〈dot.〉 (AERA dot. / Yahoo, 2/18)
リコール不正 到底納得できぬ説明だ (中日社説, 2/19)
》 造船業、幻と消えた5千億円 沈むか復権かの瀬戸際に (朝日, 2020.12.14)。日本の造船、崖っぷち。
》 立体駐車場の事故多発で国交省に意見書 消費者事故調 (毎日, 2/19)、 機械式立体駐車場(二段・多段方式、エレベーター方式)で発生した事故 (消費者庁, 2/18)
バイデン政権のジーナ・ライモンド商務長官にはファーウェイをエンティティリストから外す理由がない (techcrunch, 2/5)
ファーウェイが米商務省による「安全保障上の脅威」指定をめぐり提訴 (techcrunch, 2/11)
米、ファーウェイ排除へ2000億円肩代わり 機器撤去費など (日経, 2/17)、 米、ファーウェイ排除へ新規則 機器撤去の補助拡大 (日経, 2/18)
ファーウェイ、スマホ販売台数が急減 米制裁で打撃 (AFPBB, 1/31)、 ファーウェイ、21年スマホ生産半分以下に 米制裁で (日経, 2/18)
ファーウェイ、主力スマホ事業売却を検討か--「上海政府系ファンドと交渉」の報道 (CNET, 1/26)、 ファーウェイ、主力スマホ事業の売却を否定 反撃も見据え (36Kr Japan / Yahoo, 1/28)
ファーウェイから独立の「栄耀」初の新製品発表 (財新 Biz&Tech / 東洋経済, 2/4)。Honor。
<東証>ソニーが続落 ファーウェイのスマホ減産報道影響 (日経, 2/19)
》 日本の危機、自衛隊はそこにいる 震災対応した元幕僚長 (朝日, 2/19)。折木良一・元統幕長。たいへん興味深い。
》 NY在住の大江千里、ワクチン接種後に副反応? 体調が急変し失神した (ニューズウィーク日本版, 2/18)。モデルナのワクチン、2回目。
ショットを打ったのが午前11時35分ごろ。この症状が始まったのが午後6時ごろ。きつくなったのが午後8時ごろ。そしてベッドで9時半ごろ、急激に調子が悪化。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2020-8625) - GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 - (2021.02.18)
BIND 9.6.12 / 9.6.12-S1 / 9.17.10 の serve-stale 機能に追加された stale-answer-client-timeout 機能に不具合があり、 予期せずサーバーが落ちることがある模様。
[oss-security] BIND Operational Notification: Enabling the new BIND option "stale-answer-client-timeout" can result in unexpected server termination (oss-sec ML, 2021.02.19)
回避するには、stale-answer-enable を no にするか、 stale-answer-client-timeout を 0 にするか、 stale-answer-client-timeout を off にする。
》 柏崎刈羽原発、規制委員長「検査次第で使用停止も」 (日経, 2/17)。ID カード不正使用問題。
関連:
新潟・柏崎刈羽、再稼働に暗雲 失態続々、容認派も不信感 (毎日, 2/17)
不正入室問題では規制当局の不手際も発覚し、地元の不信に拍車をかけている。原子力規制委員会は問題が起きたわずか3日後の20年9月23日、柏崎刈羽原発の保安規定を了承した。保安規定では、福島原発事故を起こした東電に原発を運転する「適格性」があるかどうかが最大の焦点だった。だが、規制委の事務局である規制庁は不正入室問題を把握しながら、この時点で規制委の更田(ふけた)豊志委員長らに知らせていなかったのだ。
ぶっちゃけ、隠蔽。
この問題は2月8日に明らかになり、桜井・柏崎市長は翌9日、「適格性を疑わざるを得ない事実が出てきたので、もう一回評価すべきだ」と述べ、規制委に再判断を要求した。再稼働容認派の首長が、再稼働に向けた審査のやり直しを求めるのは異例だ。
柏崎刈羽原発 不正入室、東電13人処分 7号機、新たな未完了工事 /新潟 (毎日, 2/16)。「新たに7号機の安全対策工事で通路の火災感知器の設置工事も未完了だったことが判明」。うひ〜。
》 ガソリン携行缶 中身漏れるおそれの製品見つかる 注意呼びかけ (NHK, 2/18)。関連:
ガソリンが漏えいする危険性があるガソリン携行缶-当該品をお持ちの方は販売元にお問い合わせください- (国民生活センター, 2/1)。ニューレイトンの「エマーソン ガソリン携行缶R(アール)」。対策品に交換してくれる。
ガソリン携行缶の取り扱いに注意-取り扱いを誤るとガソリンの漏えいや噴出の原因に- (国民生活センター, 2/18)
米国務長官、中国はウイグル族を「集団虐殺」と非難 (BBC, 1/20)
ウイグルで急増する不妊手術 米「ジェノサイド」と非難 (朝日, 2/5)
ウイグル女性、収容所での組織的レイプをBBCに証言 米英は中国を非難 (BBC, 2/5)、 米英が断固たる行動約束、ウイグル人女性拷問の調査報道受け (AFPBB, 2/5)
ウイグル弾圧の影がちらつく中国の「ワクチン外交」 (ニューズウィーク日本版, 2/6)
トルコの野党・共和人民党(CHP)は、中国がワクチン出荷を遅らせたのは両国間の容疑者身柄引き渡し協定批准の圧力をかけるためではないかと批判した。同協定は2017年に両国首脳によって署名され、中国側は昨年末にこれを全国人民代表大会で批准した。一方トルコ議会はまだだ。
CHPが問題にしているのは、トルコ国内に数万人いるとされる亡命ウイグル人だ。
(中略)
トルコ当局はワクチン到着の遅延と身柄引き渡し協定の因果関係を否定している。しかしコロナ禍がトルコの主要産業の1つである観光業を破壊した現在、中国はエルドアン政権の唯一の命綱と言っても過言ではない。トルコ議会は2月にも同協定を批准する可能性があると伝えられている。
ウイグル問題めぐり超党派議連が発足、政府に対応訴え (BBC, 2/10)
中国、BBCワールドニュースの国内放送を禁止 ウイグル報道など受け (BBC, 2/12)
中国のBBC放送禁止は、ウイグル報道が原因か、英政府への報復措置か (ニューズウィーク日本版, 2/15)
内部文書で次々判明…国際社会が注視する「ウイグル弾圧手法」 〜軍事ジャーナリスト黒井文太郎レポート (FRIDAY, 2/17)
ウイグル人弾圧「親が収容施設に」 在日留学生、仕送り途絶え困窮 (共同, 2/17)
》 パリ 17 区で日本人が塩酸をかけられる事件発生 (2/10)
17区 (パリ) (ウィキペディア)
強酸性の液体を用いた傷害事件の発生(注意喚起) (外務省, 2/13)
パリ17区で起こった日本人への塩酸襲撃事件で考えさせられること (RIKAママ / WorldVoice, 2/18)
フィガロ紙が少しでも記事にしてくれたために、パリ17区の市長は、ツイッター上で、この事件に対するコメントを発表しています。ところが、コメントを発表したものの、その内容は、「この事件は、特別にアジア人を攻撃したものではない。被害者本人が軽傷であるため、警察に訴えることを望んでいない。事件については捜査する」というものでした。 (中略) さらに衝撃的なのは、その後、17区の市長は再びコメントを発表。「事件現場の事件が起こった時刻の監視カメラを確認したところ、そのような事実は確認されなかった」と17区の市長は再びコメントを発表。これでは、こんな事件はなかったと言っているようなもの、被害者自身が嘘をついていたこととされてしまいかねない状態です。
》 谷口恭の「梅田のGPがどうしても伝えたいこと」 その痛み、オピオイドは本当に必要か? (日経メディカル, 2/17)。日本でこんな扱いがされているとは。
米国と同じことが日本でも起こるとは思っていないが、それでもトラマドールもオピオイドであること、依存性があり添付文書にもそれが記載されていること、耐性が生じ服用量が増えていく可能性があること、現時点では疼痛コントロールに不可欠だったとしても中長期的には漸減・中止を検討すべきことなどは処方前に患者に説明しておくべきではないだろうか。
Android版接触確認アプリの障害について (2021.02.05)
関連:
COCOA重大バグ放置 厚労省のずさんなテスト実態 (日経, 2021.02.17)。「日経クロステック2021年2月9日付の記事を再構成」
1.2.2 出ました。今回の件は修正されたようです。
接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました (厚生労働省, 2021.02.18)
Android端末で本アプリをご利用の場合に、陽性者との接触について通知を受けることができなかった問題について解消を図りました。
※Android端末で本アプリをご利用の場合に、1メートル以内15分以上の条件に該当する陽性者との接触があった場合、本来通知すべきより も多い接触件数が表示される可能性がありましたがこの問題もあわせて解消しました。
……「図りました」? 本当に修正されたの?
以下は別件:
Android端末で本アプリに陽性となった旨の登録を行った場合、iOS13.5を搭載した端末では、陽性者との接触があっても通知を受け取ることができない事例が見つかりました。 (中略) iOS14シリーズでは通知を受け取ることができることが確認できていますのでOSを最新版にアップデートした上で本アプリをご利用いただくようお願いします。
COCOA修正版配布 厚労相「iPhoneも不具合」 (朝日, 2021.02.18) は上記の別件の話の模様。
あと、iPhone 版 COCOA において特定条件で初期化されてしまう件は未修正の模様。
また、この度、Android端末において陽性者との接触を通知することができない不具合の解消を図りましたが、これとは異なる原因によりiOS端末で接触を通知できないケースがあるのではないか、との指摘がGitHub(※)においてなされています。順次、調査を行い、不具合の解消に努めてまいります。
こちら?: 接触チェックに漏れが発生する可能性について #17 (GitHub)
Chrome 88.0.4324.182 公開。10 件のセキュリティ修正を含む。
OpenSSL 1.1.1 / 1.0.2 に 3 件のセキュリティ欠陥 (Moderate x 1、Low x 2)。 iida さん情報ありがとうございます。
| セキュリティ欠陥 | Severity | OpenSSL | |
|---|---|---|---|
| 1.1.1x | 1.0.2x | ||
| Null pointer deref in X509_issuer_and_serial_hash() (CVE-2021-23841) | Moderate | 1.1.1i 以前 | 1.0.2x 以前 |
| Incorrect SSLv2 rollback protection (CVE-2021-23839) | Low | SSLv2 はサポートしない | 1.0.2s 〜 1.0.2x |
| Integer overflow in CipherUpdate (CVE-2021-23840) | Low | 1.1.1i 以前 | 1.0.2x 以前 |
OpenSSL 1.1.1j で修正されている。またプレミアサポート加入者は OpenSSL 1.0.2y で修正されている。
BIND 9.5.0 以降の BIND 9.x に欠陥。GSS-TSIG 実装に欠陥があり、 remote から任意のコードを実行できる。 BIND 9.16.12 / 9.11.28 で修正されている。
欠陥が発現するのは、tkey-gssapi-keytab または tkey-gssapi-credential オプションを有効にしている場合のみ。たとえば AD / Samba 連携をしている場合は有効になっているはず。
関連:
ISC's Software Support Policy and Version Numbering (ISC, 2021.01.07 更新) BIND 9.11 系のサポートは 2021.12 まで。今 9.11 系の人は、そろそろ 9.16 系への移行を考えた方がよさそう。
BIND 9.6.12 / 9.6.12-S1 / 9.17.10 の serve-stale 機能に追加された stale-answer-client-timeout 機能に不具合があり、 予期せずサーバーが落ちることがある模様。
[oss-security] BIND Operational Notification: Enabling the new BIND option "stale-answer-client-timeout" can result in unexpected server termination (oss-sec ML, 2021.02.19)
回避するには、stale-answer-enable を no にするか、 stale-answer-client-timeout を 0 にするか、 stale-answer-client-timeout を off にする。
》 特急ひたち22号、仙台から臨時運行 気遣いに感謝の声 (朝日, 2/16)、 【無事到着】東北新幹線の代替で特急「ひたち」が臨時で延長運転→大雨と強風で夜行列車と化したひたち22号に乗車した人たち (togetter, 2/15)。これはいい話。
》 優先接種の対象外、でも訪問介護続けて 国の通知に憤り (朝日, 2/16)。 そりゃあ怒るわな。 どうせ全員打つことになるんだから、リスク高い人には融通効かせなよ。
》 【独自】署名偽造、バイト動員か 愛知県知事リコール、広告下請け会社が求人 (中日, 2/16)。中日新聞の大スクープ。端緒は西日本新聞。
名簿の束「書き写して」、会議室に数十人 リコール署名偽造、バイト男性証言 (中日, 2/16)
署名偽造バイト「夢にも」 高須氏関与否定、名古屋市長も「動機ない」 (中日, 2/16)。動機はあるだろう。
署名偽造、佐賀で大量動員 愛知知事リコール問題 (西日本新聞, 2/16)
西日本新聞「あなたの特命取材班」に寄せられた情報を基に中日新聞が取材したところ、多数のアルバイトが愛知県民らの名前や住所が書かれた名簿を、リコール活動団体の署名簿に書き写していた。名古屋市の広告関連会社の下請け会社が、大手人材紹介会社を通じてアルバイトを募集。佐賀市内の貸会議室で書き写させていた。
大村知事「目を疑う、組織的な不正」 リコール署名疑惑 (朝日, 2/16)
愛知県知事リコールでバイトにやらせた偽造署名、広告下請け会社が出してた求人がコレ! (togetter, 2/16)
ツイート:
「5000万円近く集まった」とされるクラウドファンディングで集めた資金はこの時給950円で募集されたアルバイトにつぎ込まれたと見るのが自然で寄付した人も「こんな不正な目的で使われるのなら返金してほしい」と思うんじゃないですかね。集めたお金をどのように使ったのかその説明責任も問われます。 https://t.co/pcpRrZyqZC
— 津田大介 (@tsuda) February 16, 2021
まさにこれが犯行動機なんだよね。
— Simon_Sin (@Simon_Sin) February 2, 2021
「リコール成立数に達してなければ精査されないはず」「ならば数万しか集まらなかった署名を四十万に水増しして政治的アピールに使おう」
で、精査されないはずの署名が内部告発をきっかけにバレるという大失敗 https://t.co/86GlCqaX9m
高須トランプ説w
— TrinityNYC (@TrinityNYC) February 16, 2021
行動様式そっくり。煽るだけ煽って、それがリアルな問題に発展したら、自分はそんなことしろと言ってない、自分には関係ない、やつらが勝手にやったこと、あんなやつら知らない、自分こそ被害者、とほっかむりwwwww https://t.co/420mXMAhT3
河村たかしのこの時のやつが本当に意味深発言になってきてる pic.twitter.com/iQCeavqm4d
— ロリンザーユーザー (@lorinser_user) January 31, 2021
関連: 愛知県リコール署名の事実と推理ー偽物作戦の動機 (伊藤幸男 / Facebook, 2/9) (魚拓)。
》 Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告 (gizmodo, 2/16)。「エンド・トゥ・エンド暗号化もない平文でAgora社に送られている」。
そんなわけで、Clubhouseが開発したのはUI的な部分であって、Clubhouseの音声プラットフォームを動かしているのは上海Agora社なんです。音声データのホスティングをしているのもAgora、インターネット配信をやっているのもAgora。
》 静寂の街 消えた“耳印” (NHK, 2/12)。こんな影響があるんだなあ。
》 日販との協業拡大と大手取引先書店の帳合変更 楽天ブックスネットワーク・川村興市社長に聞く (文化通信, 2/16)。
関連: 丸善ジュンク堂書店、楽天ブックスネットワークからメイン取引変更へ (文化通信, 2/15)。トーハンと日販へ。
》 令和3年2月13日23時08分頃の福島県沖の地震について -「平成23年(2011年)東北地方太平洋沖地震」について(第89報)- (気象庁, 2/14)。M7.3。関連:
令和 3年 2月13日23時18分 気象庁発表 (気象庁, 2/13)。速報時は M7.1 だった。
週刊地震情報 2021.2.14 13日(土)夜に福島県沖でM7.3 最大震度6強を観測 (ウェザーニュース, 2/14)
JR 東日本方面
2021年2月13日福島県沖地震における被災状況 (JR 東日本, 2/14)
運行情報 (JR 東日本)。「東北新幹線の全線運転再開までには概ね10日前後、要する見込みです」
東北新幹線で電柱20本が損傷、JR東「短周期で高架橋が共振した可能性あり」 (日経 xTECH, 2/16)
東北新幹線、復旧に10日 補強対象外の電柱損傷 (朝日, 2/16)
JR東は、東北新幹線の区間で数百本の電柱が損傷した東日本大震災を教訓に、東北、上越の各新幹線で電柱の耐震補強を進めてきた。古い時期に造られた区間のコンクリートの電柱約2万本のうち、大地震のリスクが高い地域などにある5千本を抽出。今年度末までに2200本、2028年度までに5千本の耐震補強が完了する計画だ。
だが、損傷した20本は対象の5千本に入っておらず、補強の時期は未定だった。今回の地震で、補強済みの電柱には被害は出ていない。JR東の広報担当者は「設備の数も多く、新型コロナウイルスの影響で経営環境が厳しいこともあって予算にも限りがある中、優先順位を付けて対策を進めるしかない」と話す。
「補強対象外 = 安全」ではなく「補強対象外 = 非優先」でしかないと。
東日本大震災以降進めている耐震補強対策の進捗と更なる取組みについて (JR 東日本, 2017.04.04)
地震対策の取組み状況について (JR 東日本, 2019.06.04)
新幹線用コンクリート製電柱の地震被害とその対策 (コンクリート工学 Vol.53, No.7, 2015.07)
常磐自動車道
福島県沖地震の影響で常磐道 相馬IC~新地ICでのり面大規模崩落 (トラベル Watch, 2/14)
E6 常磐自動車道(相馬IC~新地IC)における切土のり面崩落について(2月16日(火)11時00分発表) (NEXCO 東日本, 2/16)。「2月17日(水)中に通行止めを解除する予定です」
東京電力方面
地震発生後の福島第一原子力発電所の状況について (東電, 2/15)。小さい不具合はいろいろ出ているみたい。
2021年2月13日発生の地震に係る福島第一・福島第二原子力発電所の状況(2月14日 午後2時時点) (東電, 2/14)
福島第一原子力発電所の状況について(日報) (東電, 2/15)
東電管内の停電、一時86万軒 朝までに解消 (日経, 2/13)
その他、電力方面
地震 火力発電所 11基が停止【14日午後4時】 (NHK, 2/14)
地震影響 火力発電所10基が運転停止(15日午後5時) (NHK, 2/15)。広野火力発電所 5,6 号機、 福島天然ガスLNG 発電所 1,2 号機、 新地火力発電所 1,2 号機、 原町火力発電所 1,2 号機。 広野火力 5 号機は 2/15 中、6 号機は 2/16 に復旧予定みたい。
ルネサス
「福島県沖地震」による当社事業活動への影響について(第2報) (ルネサス, 2/15)。ウェハ出荷再開済、半導体前工程生産 2/16 から再開予定。 「地震発生前の那珂工場の生産能力(生産着工ベース)には被災後1週間を目途に復帰する見込み」。
いろいろ
【詳報】7県で102人けが 各地で建物被害、断水も (朝日, 2/14)
損保に地震被害連絡1千件 現地調査でなく書面でもOK (朝日, 2/15)
「10年前はまだ希望が…」コロナに地震、肩落とす福島 (朝日, 2/16)
地震が起きたのは、コロナ禍による県独自の観光支援策の再開や、飲食店への時短要請が解除される直前だった。旅館や飲食店は出ばなをくじかれ、先が見通せない不安にさいなまれる。
10年たっても余震? 首都圏でなぜ停電? 福島県沖地震で浮かんだ疑問 (東京, 2/16)
何年も無害だったバーコードスキャナアプリ、一夜でマルウェアへ豹変 (マイナビニュース, 2021.02.10)
【続報】一晩でマルウェアに豹変したバーコードアプリ、攻撃の手口が明らかに (マイナビニュース, 2021.02.15)
楽天とPayPayがつまずいたセールスフォース製品の「設定不備」、被害は氷山の一角か (2021.01.22)
関連:
NISC、Salesforce の件について注意喚起
Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について (NISC, 2021.01.29)
「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け (ITmedia, 2021.02.02)
freee
各地の自治体
9つの自治体で不正アクセスの可能性が明らかに、セールスフォース「設定不備」問題 (日経 xTECH, 2021.02.12)
米IT企業のサービス利用 自治体システムで不正アクセス相次ぐ (NHK, 2021.02.13)
市民の皆さまへメッセージ(令和3年2月10日) (奈良県香芝市, 2021.02.10)
情報共有アプリ「KOBEぽすと」システムへの第三者によるアクセスについて (神戸市, 2021.02.09)
その他
13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表 (日経 xTECH, 2021.02.13)
》 北方領土返還拒否をプーチン大統領が明言「憲法に違反する行為は一切しない」 (Buzzap!, 2/15)。26 回もプーチンと会談した「外交の安倍」が残した結果がこれ。
陰謀論 溶けゆくファクト (朝日, 1/30〜2/6)
侮れないQアノンとオウム真理教の不気味な類似性 (アレックス・シルバーマン / ニューズウィーク日本版, 2/5)
Qアノンは数百万人のユーザーによる「代替現実ゲーム」だった (武邑光裕 / ニューズウィーク日本版, 2/9)
Qアノンの次の予言「3月4日にトランプは正統な大統領になる」を信じて待つ信者たち (イワン・パーマー / ニューズウィーク日本版, 2/10)
》 愛知県リコール署名の事実と推理ー偽物作戦の動機 (伊藤幸男 / Facebook, 2/9) (魚拓)。重大証言。
皆さん、こういうてんやわんやの仕分け作業を想像してみてほしい。
そうすれば、偽物は11月4日の朝、KKRホテルの仕分け作業の現場で、仕分け作業に先だって既に紛れ込まされていたということが容易に推定できるだろう。それ以外にはあり得ないことだ。
そして、こういうことが出来るのは事務局スタッフの監視(識別)圏内でしかありえない。
これが事実、実態、実情を踏まえた論理的帰結である。
私は、段ボール箱で約50箱の署名用紙が8月25日から11月4日の朝までの期間、どこで保管され、どうやって11月4日の朝にKKRホテルに運び込まれたかは、具体的には知らない。運び込んだ者の名前も知らない。しかし、その者たちは全てを知っているはずだ。それは誰なのだ?私はその連中の名前を知りたい。
だから本当に真相を探求したいと願う人はそれを事務局の者たちに訊いてほしい。
マスコミ関係者はこういう質問を全くしない。
一番大事な質問をしない。
だから、事務局関係者たちは空とぼけたことをべらべらしゃべってけむに巻くことが出来る。
関連:
愛知県知事リコール署名簿に無断で名前 市議5人が検察に告訴 (NHK, 2/3)
「民主主義への冒涜」 知事リコール署名めぐり声明 党愛知県委 (赤旗, 2/4)
(社説)リコール署名 無軌道の責任明らかに (朝日, 2/6)
知事リコールで刑事告発を要請 愛労連など選管に /愛知 (毎日, 2/6)
[社説]許されぬリコール署名の不正 (日経, 2/8)
不正署名「真相究明を」 総務相、愛知リコールで (共同 / 日経, 2/12)
高須院長、名古屋地検へ告発状郵送 リコール署名不正「何者かの運動妨害」 (スポニチ, 2/13)
愛知知事リコール不正署名で告発 (共同, 2/15)
》 Signalが検閲国でもサービスを利用可能にする「プロキシ構築方法」を公開 (gigazine, 2/7)
》 ファイザーワクチン「5回」問題はなぜ起きたのか。特殊な注射器なら6回分、米欧では1カ月前に表面化していた (今井佐緒里 / ニューズウィーク日本版, 2/12)
このような経緯のために、今までは6回目がとれると「ボーナス」とみなされていたのだが、今は変化した。ファイザー社は、小瓶には6回分入っていると考えるようになった。
(中略)
ただ、問題がある。
フランスを始め複数の国の契約は、小瓶単位ではなくて、用量(回数)である。1瓶が5回分ではなくて6回分となったことで、ファイザー社は、同じ価格で20%分、小瓶の数を少なく提供することになるのだ。 (中略) 実際、ファイザー社は、1月18日の週にフランスへのワクチン納入について、「当初の納入スケジュール」で予定していた小瓶を、52万本から38万5000本に削減してしまった。
なるほど……。これはまた、なかなかに生々しい話だなあ。
》 LibreSSL 3.2.4 Release Notes (OpenBSD, 2/7)。iida さん情報ありがとうございます。セキュリティ修正はありません。
Switch back to certificate verification code from LibreSSL 3.1.x. The new verifier is not bug compatible with the old verifier causing issues with applications expecting behavior of the old verifier.
これは何だろう。 LibreSSL 3.2.2 Release Notes にある
New X509 certificate chain validator that correctly handles multiple paths through intermediate certificates. Loosely based on Go's X509 validator.
のことかなあ。
》 サイバーセキュリティ月間 | 『ラブライブ!サンシャイン!!』とのタイアップについて (NISC)。 9 人だから 9 個の標語なのかな。
》 ある裁判所資料によれば、Twitterはアクセスログを2か月しか保存していない (スラド, 2/3)、 令和2年(ワ)第1995号発信者情報開示請求事件 (裁判所, 1/14)
原告は,ツイッターの運営会社であるツイッターインターナショナルカンパニー(以下「ツイッター社」という。)を債務者として,本件アカウントにログインした者の,ログインした際のIPアドレス並びに当該IPアドレスを割り当てられた電気通信設備から同社の用いる特定電気通信設備に当該ログイン情報が送信された年月日及び時刻(以下「タイムスタンプ」ともいう。)のうち,仮処分決定が同社に送達された日から遡って6か月以内の同社が保有するもの全てについて,仮の開示を求める仮処分命令を東京地方裁判所に申し立てたところ(東京地方裁判所令和元年(ヨ)第22089号仮処分命令申立事件),同裁判所は,令和元年10月1日,その旨の仮処分決定をした。当該仮処分決定は,遅くとも同月4日までに, ツイッター社に送達された。
ツイッター社は,上記仮処分決定に基づき,原告に対し,同年8月4日~同年10月1日の間に本件アカウントにログインした者のIPアドレス及びタイムスタンプ(協定世界時のもの。以下同じ。)を開示した。なお,ツイッター社は,個々の投稿に係るIPアドレス等のログを保存しておらず,また,ログインに係る情報についても,直近2か月分程度のログしか保存していないことがうかがわれる。
6か月分出せと言ったところ 2か月分しか出てこなかったので、「直近2か月分程度のログしか保存していないことがうかがわれる」ということみたい。
》 「マイナビ転職」への不正ログイン発生に関するお詫びとお願い (マイナビ, 2/12)
1月17日~2月9日の期間において、外部で不正に取得されたと思われるパスワードを使ったなりすましによる不正アクセスが発生し、一部ユーザー様のWeb履歴書への不正ログインが判明 (中略) 212,816名分
》 IPv4アドレスが枯渇して10年経った (Geek なぺーじ, 2/3)
職場や学校などの組織が運営しているネットワークでIPv6が使われず、家庭内の方がIPv6が使われる割合が多いというのが最近の傾向ですが、10年前に、このような状況を想像できていた人がどれぐらいいたでしょうか?
ですよねえ、本当に……。
》 『冤罪File』2021年冬号 1/29(金)本日発売です! (「冤罪File」編集部公式ブログ, 1/29)。忘れてた。発注。
》 Japan Security Analyst Conference 2021開催レポート~3RD TRACK~ (JPCERT/CC, 2/12)
》 マルウェアLODEINFOのさらなる進化 (JPCERT/CC, 2/9)
》 コロナ接触アプリはなぜ各国で行き詰まっているのか (新聞紙学的, 2/8)
義務化せず、プライバシー配慮の「分散型」を取っている各国を見ると、やはりおおむね2~3割程度の普及率でとどまっている。
伸び悩みは COCOA だけじゃないと。 普及率の高いカタールやシンガポールは義務化されているそうで。
関連: [FT]英の接触確認アプリ 60万人の感染を防止と推計 (FT / 日経, 2/12)。イギリスの普及率は全体としては 3 割ほどのようだが、 一定の成果は得られていると。
利用者はアプリのダウンロード時に、居住地の郵便番号の前半部分を入力する必要がある。アラン・チューリング研究所とオックスフォード大はまず、この限定的な位置情報を基に、地区ごとのアプリ普及率を算出した。
それを各地区の新型コロナ感染者数と比べてみた結果、地区ごとに15~45%にばらついたアプリ普及率と、感染者数に強い相関性が認められたという。
詳細: Demonstrating the impact of the NHS COVID-19 app (Alan Turing Institute)
》 Googleがオープンソースのセキュリティ問題に対し、「知る、予防する、修正する」アプローチを提案 (OSDN, 2/5)
》 米国で発生した浄水システムの不正操作についてまとめてみた (piyolog, 2/10)
Remote unauthenticated denial-of-service in Subversion mod_authz_svn (Apache Subversion, 2021.02.11)。Subversion 1.14.1 / 1.10.7 で対応。 FUTATSUKI さん情報ありがとうございます。
(0Day) Squid Cache WCCP Protocol Use-After-Free Remote Code Execution Vulnerability (ZDI, 2021.02.09)。まだ直ってないみたい。
(0Day) Squid Cache WCCP Protocol Out-Of-Bounds Read Information Disclosure Vulnerability (ZDI, 2021.02.09)。まだ直ってないみたい。
Intel製品に関する複数の脆弱性について (JPCERT/CC, 2021.02.10)。 Ethernet I210 Controller、RealSense DCM、Collaboration Suite for WebRTC、 Server Boards / Server Systems / Compute Modules、 Optane DC Persistent Memory、Graphics Drivers、 Server Board Onboard Video Driver、SGX Platform、SGX Platform Software、 EPID SDK、PROSet/Wireless WiFi and Killer Driver、XTU、 Quartus Prime、XMM 7360 Cell Modem、Ethernet Controllers、 SSD Toolbox、Ethernet E810 Adapter Driver、 SOC Driver Package、Trace Analyzer and Collector、 Security Center。今月は大量ですね。
JVNVU#90767599 - 複数のTCP/IPスタック製品における初期シーケンス番号の脆弱性 (JVN, 2021.02.12)
影響を受けるシステム
- Nut/Net Version 5.1 およびそれ以前
- CycloneTCP Version 1.9.6 およびそれ以前
- NDKTCPIP Version 2.25 およびそれ以前
- FNET Version 4.6.3
- uIP-Contiki-OS Version 3.0 およびそれ以前
- uC/TCP-IP Version 3.6.0 およびそれ以前
- uIP-Contiki-NG Version 4.5 およびそれ以前
- uIP Version 1.0 およびそれ以前
- picoTCP-NG Version 1.7.0 およびそれ以前
- picoTCP Version 1.7.0 およびそれ以前
- MPLAB Net Version 3.6.1 およびそれ以前
- Nucleus NET Version 5.2 より前のすべてのバージョン
- Nucleus ReadyStart for ARM、MIPS、PPC Version 2012.12 より前のすべてのバージョン
「Python」にバッファオーバーフローの脆弱性 ~サポート終了の「Python 2」にも影響 (窓の杜, 2021.02.08)。Python 2 はもちろん、Python 3 も未修正。
出てます。
Security Updates Available for Magento | APSB21-08 (Adobe, 2021.02.09)。 Magento Commerce / Open Source 2.3.x / 2.4.x に 18 件のセキュリティ欠陥、任意のコードの実行などが可能。 Magento Commerce / Open Source 2.3.6-p1 / 2.4.1-p1 / 2.4.2 で対応。 Priority Rating: 2
Security update available for Adobe Acrobat and Reader | APSB21-09 (Adobe, 2021.02.09)。 Adobe Acrobat / Reader に 23 件のセキュリティ欠陥、 任意のコードの実行などが可能。 Priority Rating: 1
Adobe has received a report that CVE-2021-21017 has been exploited in the wild in limited attacks targeting Adobe Reader users on Windows.
CVE-2021-21017 は 0-day だそうで。
対応版は以下のとおり。
| 種別 | 対応版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2021.001.20135 |
| Acrobat 2020 / Acrobat Reader 2020 (Classic 2020) | 2020.001.30020 |
| Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) | 2017.011.30190 |
Security updates available for Adobe Photoshop | APSB21-10 (Adobe, 2021.02.09)。 Photoshop 2020 / 2021 に 5 件のセキュリティ欠陥、 任意のコードの実行などが可能。 Photoshop 2020 21.2.5、Photoshop 2021 22.2 で対応。 Priority Rating: 3
Security updates available for Adobe Animate | APSB21-11 (Adobe, 2021.02.09)。 Animate 21.0.2 以前の Windows 版に 1 件のセキュリティ欠陥、 任意のコードの実行を招く。Animate 21.0.3 で対応。 Priority Rating: 3
Security Updates Available for Adobe Illustrator | APSB21-12 (Adobe, 2021.02.09)。 Illustrator 2021 25.1 以前の Windows 版に 2 件のセキュリティ欠陥、 任意のコードの実行を招く。Illustrator 2021 25.2 で対応。 Priority Rating: 3
Security update available for Adobe Dreamweaver | APSB21-13 (Adobe, 2021.02.09)。 Dreamweaver 20.2 / 21.0 に 1 件のセキュリティ欠陥、 検索パスが制御されていない。Dreamweaver 20.2.1 / 21.1 で対応。 Priority Rating: 3
Intel Graphics Driver の件 2 件 CVE-2021-1805 CVE-2021-1806 と sudo の件 CVE-2021-3156 が修正されています。
2021 年 2 月のセキュリティ更新プログラム (月例) (2021.02.10)
Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086 (MSRC Blog, 2021.02.09) の日本語版出ました:
TCP/IP に影響を与える脆弱性情報に関する注意喚起 (MSRC Blog, 2021.02.11)
あと、0-day 方面いろいろ。ゆりか先生のツイートから:
, CVE-2021-26701 .NET Core and Visual Studio, CVE-2021-1721 NET Core and Visual Studio DoS, CVE-2021-1733 Sysinternals PsExec
— Yurika (@EurekaBerry) February 10, 2021
sudoの脆弱性(CVE-2021-3156)に関する注意喚起 (2021.01.27)
macOS Big Sur 11.2.1、macOS Catalina 10.15.7 追加アップデート、macOS Mojave 10.14.6 セキュリティアップデート 2021-002 のセキュリティコンテンツについて (Apple, 2021.02.09)。sudo の修正、入ってます。
Firefox 85.0 / ESR 78.7.0 公開 (2021.01.27)
Firefox 85.0.2 が公開されました。 セキュリティ修正はありません。
Firefox 85.0.2 がリリースされた (MozillaZine, 2021.02.10)。「起動時にデッドロックする問題を修正 (bug 1679933)」。
Firefox ESR 78.7.1 もこの問題の影響を受けるが、次のマイナーアップデートでの修正となる見込みである。Firefox for Android 85 はこの問題の影響を受けない。
Bug 1679933 - Firefox freeze on the startup (Mozilla) では、この問題は新規プロファイル時にのみ発生、とされている。
抜け毛、息切れ、味覚異常…無症状の若者を襲う「コロナ後遺症」の4つの病態 (プレジデント, 2/9)
ヒラハタクリニック・平畑光一院長に聞く
コロナ後遺症 治療の現場から (公明党, 2/1)。「血液検査をすると亜鉛不足の患者が多い」
コロナ後遺症の味覚・嗅覚障害 ほとんどの患者が「亜鉛不足」 (NEWS ポストセブン, 2/9)
関連:
新型コロナ後遺症と倦怠感 (ヒラハタクリニック)。必須アミノ酸 BCAA、漢方、亜鉛サプリ、体を温める、など。
亜鉛の働きと1日の摂取量 (健康長寿ネット)
国際感染症センター長・大曲貴夫氏に聞く
新型コロナ感染症、患者76%に後遺症、NCGMが疫学調査 (化学工業日報, 2/10)
このほど開いた東京都新型コロナウイルス感染症モニタリング会議で、NCGMの大曲貴夫国際感染症センター長が資料を提出、報告した。昨年2~6月にNCGMから退院した患者78人に聞き取り調査を実施。63人から回答を得た。
これのことみたい: 新型コロナウイルス感染症 レジストリを活用した研究、後遺症に関する疫学調査 ((第31回)東京都新型コロナウイルス感染症モニタリング会議資料, 2/4)
後遺症の恐怖―コロナのその後について、大曲先生にお聞きしました。 (東京iCDC / note, 2/9)。↑のわかりやすい解説。
COVID-19と診断されていない患者にも出る後遺症 “隠れ後遺症患者”をどう救う? (日経メディカル, 2/10)
「一度COVID-19と診断されていれば、後遺症としてある程度の治療は受けられるが、そうでない人は、治療の面でも精神的な面でもより困難な状況に追いやられていると言える。『おそらくCOVID-19でした。でもPCR検査は受けられませんでした。今、倦怠感があって会社を辞めました』という人は救われない」と篠原氏。特に現在、呼吸器内科医や耳鼻咽喉科医を中心に後遺症に関する調査が行われているため、「倦怠感などME/CFS様の症状はきちんと拾われないのではないかと危惧している」と篠原氏は懸念する。
PCR 検査が適時に実施されてこなかったため、 こういった状況が実際に発生していると。
》 ClamAV EOL versions prior to 0.100 (ClamAV, 2/3)。0.99.x 以前が EOL に。
》 ClamAV 0.103.1 patch release (ClamAV, 2/3)
》 サイバーパンク2077の開発会社がサイバー攻撃被害。犯人はウィッチャー3のソースコード奪取も示唆 (PC Watch, 2/10)。踏んだり蹴ったりだな……。
Microsoft 2021.02 patch 公開。 セキュリティ更新プログラム ガイド > リリース ノート > 2021 Feb より:
今回のリリースは、次の製品、機能、およびロールのセキュリティ更新プログラムで構成されています。
- .NET Core
- .NET Framework
- Azure IoT
- デベロッパーツール
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows Codecs Library
- ロール: DNS サーバー
- ロール: Hyper-V
- ロール: Windows Fax サービス
- Skype for Business
- SysInternals
- System Center
- Visual Studio
- Windows アドレス帳
- Windows バックアップ エンジン
- Windows コンソール ドライバー
- Windows Defender
- Windows DirectX
- Windows イベント トレーシング
- Windows インストーラー
- Windows カーネル
- Windows モバイル デバイス管理
- Windows ネットワーク ファイル システム
- Windows PFX 暗号化
- Windows PKU2U
- Windows PowerShell
- Windows 印刷スプーラー コンポーネント
- Windows リモート プロシージャ コール
- Windows TCP/IP
- Windows Trust Verification API
SysInternals は PsExec だそうで: Sysinternals PsExec の特権の昇格の脆弱性 - CVE-2021-1733 (MSRC)。最新版は PsExec 2.32 のようなのだけれど、 2.32 でも直り切っていないとの指摘あり。
Local Privilege Escalation 0day in PsExec Gets a Micropatch (0patch blog, 2021.01.07)。2021.01.28 更新。
https://github.com/tenable/poc/blob/master/Microsoft/Sysinternals/PsExecEscalate.cpp (GitHub)
TCP/IP スタックの欠陥修正が 3 件。
Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086 (MSRC Blog, 2021.02.09)。 CVE-2021-24074 と CVE-2021-24094 は RCE、 CVE-2021-24086 は DoS。
The two RCE vulnerabilities are complex which make it difficult to create functional exploits, so they are not likely in the short term. We believe attackers will be able to create DoS exploits much more quickly and expect all three issues might be exploited with a DoS attack shortly after release. Thus, we recommend customers move quickly to apply Windows security updates this month.
RCE な 2 件を RCE として実装するのは困難だが、DoS として実装するのは難しくない模様。あわせて 3 件の DoS 攻撃が近々に行われる可能性があり、今月中の早急な patch 適用が望ましい、とされている。
The DoS exploits for these CVEs would allow a remote attacker to cause a stop error. Customers might receive a blue screen on any Windows system that is directly exposed to the internet with minimal network traffic.
ブルー画面が発生するような DoS 攻撃となるそうです。
The IPv4 workaround simply requires further hardening against the use of Source Routing, which is disallowed in Windows default state. This workaround is documented in CVE-2021-24074 and can be applied through Group Policy or by running a NETSH command that does not require a reboot. The IPv6 workarounds are documented in CVE-2021-24094 and CVE-2021-24086, and require blocking IPv6 fragments, which may negatively impact services with dependencies on IPv6.
こちら:
CVE-2021-24074 にはこうあります:
1.sourceroutingbehavior を "drop" に設定します
次のコマンドを使用します。
netsh int ipv4 set global sourceroutingbehavior=drop
CVE-2021-24094 にはこうあります:
1.グローバルの reassemblylimit を 0 に設定します
次のコマンドでパケットの再構築が無効になります。順序がバラバラのパケットがある場合は破棄されます。有効なシナリオでは、順序がバラバラのフラグメントは 50 個以下であることが必要です。運用システムを更新する前に、テストすることをお勧めします。
Netsh int ipv6 set global reassemblylimit=0
Threat Brief: Windows IPv4 and IPv6 Stack Vulnerabilities (CVE-2021-24074, CVE-2021-24086 and CVE-2021-24094) (paloalto networks unit42, 2021.02.09)。 Palo Alto Networks Next-Generation Firewall での止め方など。
Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086 (MSRC Blog, 2021.02.09) の日本語版出ました:
TCP/IP に影響を与える脆弱性情報に関する注意喚起 (MSRC Blog, 2021.02.11)
あと、0-day 方面いろいろ。ゆりか先生のツイートから:
, CVE-2021-26701 .NET Core and Visual Studio, CVE-2021-1721 NET Core and Visual Studio DoS, CVE-2021-1733 Sysinternals PsExec
— Yurika (@EurekaBerry) February 10, 2021
》 ベイルート爆発は「過去最大級」…宇宙空間まで振動達する (読売, 2/9)、 レバノン・ベイルート爆発の規模は歴史上最大級~2020年8月に発生した爆発の爆風は高度300kmの宇宙にも到達~(理学研究院 教授 日置幸介) (北大, 2/4)
》 サイバー犯罪の根本解決:EUROPOLによるEMOTETテイクダウン (トレンドマイクロ セキュリティ blog, 2/1)
今回のテイクダウンでは既に拡散、感染しているEMOTET自体を無害化し根絶する取り組みも行われています。これはボットネットの仕組みを逆に利用して、感染環境のEMOTETを無害化した検体にアップデートさせるというものです。無害化検体は、
といった活動を持ちます。つまり、現在世界に拡散しているEMOTET本体は、自身を無害化検体にアップデートした上で消滅することになります。
- 接続するC&Cサーバを当局が用意したサーバ(シンクホールサーバ)に変更
- 2021年4月25日に自身をアンインストール
Chrome 88.0.4324.150 公開。V8 で heap overflow が発生する 0-day 欠陥 1 件 CVE-2021-21148 (severity: High) を修正。
macOS Big Sur 11.2、セキュリティアップデート 2021-001 Catalina、セキュリティアップデート 2021-001 Mojave のセキュリティコンテンツについて (2021.02.01)
Safari 14.0.3 (Apple, 2021.02.01)。macOS Big Sur 11.2 の修正項目に入っている 3 件 (WebKit x 2、WebRTC x 1) が対応された、Catalina / Mojave 用 Safari 出てました。 iida さん情報ありがとうございます。
Firefox 85.0 / ESR 78.7.0 公開 (2021.01.27)
Firefox 85.0.1 / ESR 78.7.1、Thunderbird 78.7.1 が公開されました。 Firefox はセキュリティ修正を含みます。
Firefox 85.0.1、Firefox for Android 85.1.2 がリリースされた (MozillaZine, 2021.02.06)。 セキュリティ修正は Mozilla Foundation Security Advisory 2021-06 - Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1 (Mozilla, 2021.02.05) ですが、 この他に、Firefox 85.0.1 では NTFS $i30 の件 にも対応したそうです。
関連: Mozilla issues important patch to stop Firefox triggering Windows 10's drive corruption flaw (betanews, 2021.02.07)
Thunderbird 78.7.1 がリリースされた (MozillaZine, 2021.02.06)
SonicWall SMA 100 シリーズ (物理アプライアンス SMA 200 / 210 / 400 / 410 および仮想アプライアンス SMA 500v) に欠陥。ファームウェア 10.x に 0-day 欠陥があり、詳細は不明だが、remote から 無認証で侵入可能な模様。
ファームウェア 10.2.0.5-d-29sv で修正されている。 Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST] (SonicWall) に記載されている推奨手順は以下のとおり:
ファームウェアを 10.2.0.5-d-29sv にアップデート
Web インターフェイス経由で機器にログインしたユーザーのパスワードをリセット
多要素認証 (MFA) を有効に
ただし、SMA 500v の更新イメージファイルはまだ用意されていない模様。
直ちに更新できない場合、内蔵 WAF 機能を有効にすることで欠陥を回避できる。WAF 機能は有償だが、60 日間有効なライセンスが無償提供されている。 ただしこれは、ファームウェア更新を代替するものではないとされている。
SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起 (JPCERT/CC, 2021.02.08 更新) には、log からの状況確認方法が追記されている。
1. 管理用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避され管理用インターフェースへアクセスが行われた可能性があります。
2. ユーザー用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエストを検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェースへアクセスが行われた可能性があります。
ESP32-WROOM-32E では、ESP32-WROOM-32D / ESP32-WROOM-32 に存在したハードウェア上のセキュリティ欠陥が修正されているそうで。
Security Advisory concerning fault injection and eFuse protections (CVE-2019-17391) (espressif.com, 2019.11.01)
At time of writing, currently available ESP32 chips (ESP32-D0WD, ESP32-D2WD, ESP32-S0WD, ESP32-PICO-D4, and related modules) are vulnerable to this attack. The ESP32-D0WD-V3 chip has checks in ROM which prevent this attack. This chip and related modules will be available in Q4 2019. More information about ESP32-D0WD-V3 will be released soon.
ESP32-WROOM-32E には、 この ESP32-D0WD-V3 が塔載されている。
kmitsu76 氏による本文書で、CVE-2019-17391 について解説されている。 末尾にあるまとめがこちら:
つまり、ということになり、ESP32を使用するユーザーでフラッシュ内容を秘匿する必要がある場合はESP32-D0WD-V3チップを搭載するデバイス、つまりESP32-WROOM-32Eを使う必要があるということになる。
- ESP32を使用するユーザーはESP32-D0WD-V3チップを搭載するデバイスの使用を推奨する
- ESP32-D0WD-V3チップを搭載するデバイスにはより強化されたSecure Boot V2が使用できる。
- V3でないチップはこの脆弱性に対して対策がない
秋月の表記:
ESP32-DevKitC ESP-WROOM-32開発ボード [ESP32-DevKitC] (秋月電子通商)
※メーカーよりNot recommend for new design (NRND、新規設計非推奨)との連絡を頂きました。後継品としてM-15673を推奨されまたのでご検討ください。2020.12.25
ESP32-DevKitC-32E ESP32-WROOM-32E開発ボード 4MB [ESP32-DevKitC-32E(4MB)] (秋月電子通商)。M-15673 はこれ。
あと、 Security Advisory concerning fault injection and eFuse protections (CVE-2019-17391) (espressif.com, 2019.11.01) にはこんな表記があるのだが、
The forthcoming ESP32-S2 SoC has additional hardware and ROM code provisions to protect against fault injection, including against this attack. ESP32-S2 also uses the Secure Boot V2 scheme.
ESP32-S2 はシングルコアだったり BLE がなかったりするので、 ふつうの ESP32 と簡単に置きかえられるようなものではない。 デュアルコア、BLE あり、AI 対応の ESP32-S3 というのが最近発表された模様。
》 Microsoft、「Windows 10 May 2020 Update」の配信対象を拡大 (窓の杜, 2/4)
》 New Release: Tor Browser 10.0.10 (Tor Project, 2/3)。iida さん情報ありがとうございます。
》 Tomcat 10.0.2 Released (Apache Tomcat, 2/2)。Tomcat 10 系列、ようやく stable 版がリリースされました。 iida さん情報ありがとうございます。
Android 版 COCOA、2020.09.28 の更新以降、陽性登録者と「1m以内・15分以上」接触しても通知しない欠陥が発生。iPhone 版にはこの欠陥はない。
本障害は、昨年9月28日のバージョンアップに伴って生じたものです。その後、本アプリ改修時には、テスト環境を用いて必要なテストを実施してきましたが、その際のテスト内容は、本アプリの基盤となっている接触通知APIから出力される接触リスクに関する値を前提とした模擬的な検証を行うものでした。
しかしながら、陽性者と接触しているはずであるが本アプリで通知がこなかった旨の報道を受け、従来の模擬的な検証に加えて実機を用いた動作検証を行ったところ、接触リスクに関する値がAndroid端末については想定と異なる形で接触通知APIから出力され、その結果、接触が正しく通知されないこととなっていることが判明したものです。
実機テストしてませんでしたと。 加えて、2020.11.25 に不具合報告されたにもかかわらず放置されていたことが判明している。
transmission_risk_levelの値について #14 (GitHub, 2020.11.25)
現在修正作業中。2021年2月中旬のリリースを予定。
関連:
接触確認アプリ「COCOA」の修正版(Android版「1.1.4」)の配布を開始しました (厚生労働省 / gov-base.info, 2020.09.28)
今回の修正版(1.1.4)による修正は、9月24日に配布を開始したiOS版の修正版(1.1.4)による修正内容と同じです。
関連: 接触確認アプリ「COCOA」の修正版(iOS版「1.1.4」)の配布を開始しました (厚生労働省 / gov-base.info, 2020.09.24)
関連報道
発見遅れたCOCOA不具合、厚労省「実機テストせず」 (朝日, 2021.02.03)
ツイート
COCOAの裏側で動いているEN(Exposure Notifications) APIに関して言うと、GoogleとAppleの間で実装に差異があるのはもちろん、仕様についてもかなり食い違う点があるということは、昨年10月の時点で気が付きました。 https://t.co/ZGwX0AOFsh
— Yoshiyuki Nakamura (@nakayoshix) February 5, 2021
各社社説
(社説)機能する接触確認アプリに (日経, 2021.02.05)
接触確認アプリ 政府は不具合放置を猛省せよ (読売, 2021.02.07)
(社説)COCOA 協力裏切る不具合放置 (朝日, 2021.02.08)
社説:コロナアプリ障害 失墜した信頼、回復急げ (秋田魁, 2021.02.09)
COCOA不具合 早急に再発防止の体制を (熊本日日, 2021.02.09)
関連
「COCOA」だけじゃない。厚労省コロナ対策関連システムの惨状 (ハーバー・ビジネス・オンライン, 2021.02.06)
事実、検査機関等の現場における「HER-SYS」の利用は進んでいない。保健所など行政機関の検査現場では、いまだにファックスと電話による報告でオペレーションが回っているケースが大半だ。民間の先進的な医療施設では、検査結果の集約や患者との連絡に独自のシステムを利用しているケースもあり、そもそも「HER-SYS」の出る幕がないという施設も存在する。
「HER-SYS」の利用が進まないのは、現場だけではない。厚労省本省すら、「HER-SYS」を利用している節がないのだ。
「HER-SYS」が検査の現場でも厚労省本省における最終的な集計作業でも利用されていないのだとすれば、「HER-SYS」に集約された情報を基に、感染者との濃厚接触を感知する仕組みの「COCOA」の不具合は、「アップデート作業で発生したアンドロイド版にだけ発生する不具合」などというレベル止まらない可能性がある。参照する情報がサーバーに集約されていない以上、アンドロイド版のみならずiPhone版についても、「そもそも全く使い物になっていない」という可能性が濃厚だ。だとすると、厚労省の一連のシステム開発に関する目算は、根底から崩壊していると言わざるを得ない。
新型コロナ接触確認アプリ「COCOA」陽性者登録進まず…わずか2%程度 (FNN, 2021.01.15)
ここ最近で1日に6千人以上、トータルでは31万人もの陽性者が国内で確認されているにも関わらず、アプリでの陽性者の登録が累計でおよそ8千件、全体の2%程度 (中略) 政府関係者は「保健所が一杯一杯でアプリの業務に手が回らない」と指摘している。
関連:
COCOA重大バグ放置 厚労省のずさんなテスト実態 (日経, 2021.02.17)。「日経クロステック2021年2月9日付の記事を再構成」
1.2.2 出ました。今回の件は修正されたようです。
接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました (厚生労働省, 2021.02.18)
Android端末で本アプリをご利用の場合に、陽性者との接触について通知を受けることができなかった問題について解消を図りました。
※Android端末で本アプリをご利用の場合に、1メートル以内15分以上の条件に該当する陽性者との接触があった場合、本来通知すべきより も多い接触件数が表示される可能性がありましたがこの問題もあわせて解消しました。
……「図りました」? 本当に修正されたの?
以下は別件:
Android端末で本アプリに陽性となった旨の登録を行った場合、iOS13.5を搭載した端末では、陽性者との接触があっても通知を受け取ることができない事例が見つかりました。 (中略) iOS14シリーズでは通知を受け取ることができることが確認できていますのでOSを最新版にアップデートした上で本アプリをご利用いただくようお願いします。
COCOA修正版配布 厚労相「iPhoneも不具合」 (朝日, 2021.02.18) は上記の別件の話の模様。
あと、iPhone 版 COCOA において特定条件で初期化されてしまう件は未修正の模様。
また、この度、Android端末において陽性者との接触を通知することができない不具合の解消を図りましたが、これとは異なる原因によりiOS端末で接触を通知できないケースがあるのではないか、との指摘がGitHub(※)においてなされています。順次、調査を行い、不具合の解消に努めてまいります。
こちら?: 接触チェックに漏れが発生する可能性について #17 (GitHub)
》 NZXT製Mini-ITXケース「H1」の発火問題で公式が謝罪。直販から削除 (PC Watch, 2/3)
》 iCloudで「機能停止」 一時「Apple Music」なども【復旧済み】 (ITmedia, 2/4)
》 iPhone/iPadに保存したパスワードをWindowsの「Google Chrome」と同期してみた (やじうまの杜, 2/4)
sudoの脆弱性(CVE-2021-3156)に関する注意喚起 (2021.01.27)
sudoコマンドの脆弱性、「macOS」にも影響 (ZDNet, 2021.02.04)。macOS 上ではまだ直ってない模様。
「Wireshark」v3.4.3が公開 ~USB HIDで発見された2件の脆弱性を修正 (窓の杜, 2021.02.01)
JVNVU#99814910 - トレンドマイクロ株式会社製ウイルスバスター クラウドのインストーラにおける複数の脆弱性 (JVN, 2021.02.01)。version 17 で直っているそうで。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
んん? 元ねたを読んでみると、
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2020-27695,CVE-2020-27696,CVE-2020-27697) (トレンドマイクロ, 2021.01.26)。 「公開日: 1月 26, 2021」となっているのだが、
タイムライン
2020年11月18日 (水) : 本脆弱性の製品Q&Aを公開しました。
2020年12月16日 (水) : CVSS 3.0 スコアを変更しました。
2020年12月28日 (月) : CVE-2020-27696 の CVSS 3.0 スコアを変更しました。
2021年 1月26日 (火) : CVE-2020-27696 の CVSS 3.0 スコアを変更しました。
1/26 は最終更新日? JPCERT/CC に連絡が来たのはいつなのか?
Security Bulletin: Trend Micro Security 2020 (Consumer) Local Privilege Escalation Vulnerabilities (Trendmicro, 2020.11.17)。 「CVSSv3 Scores: 2.7」。上記日本語アドバイザリとは全然違う値。
アラート/アドバイザリ:ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について(2021年1月) (トレンドマイクロ, 2021.01.28)。対応版が用意されている。
アラート/アドバイザリ:スマートホームスキャナー(Windows版)の脆弱性について (CVE-2021-25247) (トレンドマイクロ, 2021.01.26)。最新版で対応されている。
macOS 10.14.6 / 10.15.7 / 11.0.1 の、計 66 件のセキュリティ欠陥を修正。 36 件は任意のコードの実行を招くもの。0-day の修正が 3 件 (権限上昇 x 1、任意のコードの実行を招く x 2)。
Safari 14.0.3 (Apple, 2021.02.01)。macOS Big Sur 11.2 の修正項目に入っている 3 件 (WebKit x 2、WebRTC x 1) が対応された、Catalina / Mojave 用 Safari 出てました。 iida さん情報ありがとうございます。
Chrome 88.0.4324.146 公開。6 件のセキュリティ修正を含む。
》 緊急事態宣言、大半の宣言地域で 1 か月延長 (〜3/7)。栃木県のみ 2/7 で解除。
新型コロナウイルス感染症緊急事態宣言 (内閣官房)
緊急事態宣言、10都府県で1か月延長…解除水準「東京で1日500人下回れば」 (読売, 2/2)。何言ってるんだ。 その前に、積極的疫学調査縮小の解除が必要であろ。
県内全保健所において「積極的疫学調査」の対象を絞ります (神奈川県, 1/8)
「積極的疫学調査」を縮小 高齢者らの対応優先―東京都 (時事, 1/22)
縮小の疫学調査、「ステージ3」で従来通りに 県が検討 (カナロコ, 1/30)
東京のコロナ感染者は本当に減ったのか 接触者追跡縮小し検査件数も2割以上削減! 和歌山県知事は「崩壊招く」と警告 (リテラ, 1/29)
》 新型コロナワクチン接種、日本はG7で唯一開始できず――OECD37カ国でも日本など5カ国のみが未接種 (高橋浩祐 / Yahoo, 1/28)。この状況でオリンピックやろうとしてるんだぜ。 まぬけすぎる。
大会組織委員会の武藤敏郎事務総長によると、「バッハ会長としては、ワクチン接種が大いに進んで、日本でできるだけ大勢の人が早く接種できるようなことを期待したい」と述べたという。
はたして日本はそのバッハ会長の期待通りに、東京五輪開幕前までに大勢の人々にワクチン接種を実施できるのだろうか。
無理でしょ。
関連:
コロナワクチン普及に不透明感 日本、出足の遅れ響く (日経, 1/23)
日本は初動で遅れて時間を空費し、契約でも後手に回った。コロナ禍という未曽有の事態を前にしても危機感を高められなかったツケがいま出ている。早急に体制を立て直せなければ感染収束や景気浮上への道筋は描けない。
新型コロナ ワクチン接種「医師確保」ゼロ 11都府県33自治体、準備遅れ (毎日, 1/31)。そりゃあ、いつ・どれだけ入手できるのか、さっぱりわからないんじゃあねえ。
菅義偉首相、ワクチン接種が海外より「遅れているのは事実」と認める。その理由とは?(新型コロナ) (ハフポスト, 2/2)。高橋浩祐記者、首相会見で本件について質問。
冷蔵庫、アレルギー、バリアフリー… ワクチン接種の準備に追われる自治体 静岡 (毎日, 2/3)
自治体レベルで解決できない問題も山積みだ。ファイザー製ワクチンはマイナス70度以下での輸送・保管が必須だが、保管用のディープフリーザー(超低温冷蔵庫)は世界的に需給が逼迫(ひっぱく)する。 (中略) 厚労省は6月末までに1万個のディープフリーザーを全国の自治体に配備すべく調整を進めている。
逆に言うと、6月末まではワクチン接種は本格化しないということかな。 オリンピック、いつからだっけ?
》 「選挙は不正!」と主張し続ける熱烈なトランプ支持者を、保守系ニュース司会者が置き去りにして退席 (ハフポスト, 2/3)。保守系でもこの状況。
》 黒田征太郎さん壁画解体 「かけら」配布へ 人権博物館 (朝日, 1/31)。文化破壊者、日本維新の会。
同館は大阪市長だった橋下徹氏が展示内容を問題視したことを端緒に、無償提供されていた市有地からの立ち退きを求められ、昨年6月に休館した。建物の取り壊しは、大阪地裁で成立した和解に沿うもので、市が賃料相当の約1億9千万円を免除する代わりに、すべて解体して更地にし返還する。
日米政府、クーデターと認定
ミャンマー軍のクーデター、米が認定 ヤンゴンで大規模抗議デモ (ロイター, 2/2)
米国務省 ミャンマーへの経済援助見直し クーデターと認定 (NHK, 2/3)
ミャンマー「クーデターに該当」 官房長官 (日経, 2/3)
国連安全保障理事会緊急会合
ミャンマー 国連安保理緊急会合 多くの国から懸念の声 (NHK, 2/3)
ミャンマー クーデター対応 国連安保理 声明で各国の調整続く (NHK, 2/3)
スー・チー氏解放求める声明見送り ミャンマー情勢で国連安保理緊急会合 (東京, 2/3)
抗議の声
ミャンマーのクーデターに非難相次ぐ、国民はネットに怒りの声 (ロイター, 2/2)
ミャンマーのクーデター、市民ら鍋をたたいて抗議 医師はストライキへ (BBC, 2/3)
エアロビ踊る背後でクーデター ミャンマーの動画が世界で拡散 (BBC, 2/3)、 Clase de aerobic mientras se comete Golpe de Estado en Myanmar - Telefe Rosario (YouTube, 2/1)
ミャンマーのクーデター 憲法巡るスーチー氏と軍の確執 元ヤンゴン支局長の解説 (毎日, 2/2)。春日孝之氏。
ミャンマー軍に接近か クーデター静観する中国の狙いは (朝日, 2/3)
》 ソースコード流出事件、原因はモラルの欠如 GitHubをもっと使え (高須 正和 / 日経ビジネス, 2/2)
》 マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に (やじうま Watch, 2/2)。VirusTotal の件。全然「まさか」ではないし、 昨日今日はじまった話でもない。
外部サイトへの本学構成員に関する個人情報の流出について (北陸先端科学技術大学院大学, 1/29)
令和2年11月20日、本学職員が業務として、ダウンロードしたファイルを外部のウィルスチェックサービスサイト(以下、「外部サイト」という。)に自動アップロードし、安全確認を行う機能が導入された端末を誤って使用し、構成員の個人情報1,725件を含む資料ファイルをダウンロードしました。
そのため、ダウンロードしたファイルが自動的に外部サイトにアップロードされることとなり、当該外部サイトにアップロードされたファイルにおいては、外部サイト運用者のみならず、外部サイトと契約を締結している第三者(主にセキュリティベンダ)から閲覧・ダウンロードが可能となりました。
VirusTotalへアップロードされる機微情報 (マクニカネットワークス, 2016.03.09)。5年前の記事。
[怪談]VirusTotal沼のお話(対策含) (__aloha__ / note, 1/19)。こういう系の話。
当該事象で使われていたのは VT4Browsers のようで。
「VT4Browsers」を使ってブラウザで怪しいファイルやURLをスキャンする方法 (机上の自論, 1/12)
“VirusTotal”でダウンロードファイルの安全性を自動でチェックしてくれる拡張機能 (窓の杜, 2016.12.06)。これは類似品 Download Virus Checker の紹介。
注意喚起
VirusTotalやVT4Browsersの適切な利用について(意図せぬ情報漏洩を防ぐために) (慶應義塾 ITC, 1/21)
Google Chrome/Microsoft Edge/Firefoxの「VT4Browsersプラグイン」における注意喚起 (関西学院大学, 1/25)
【注意喚起】VirusTotal へのアップロードによる情報漏洩について (名古屋大学, 1/27)
》 ミャンマーでクーデター発生 (2/1)。はい、またもやです。
ミャンマー国軍、権力掌握を宣言 アウンサンスーチー氏らを拘束 (BBC, 2/1)
【解説】 ミャンマー国軍のクーデター、なぜ今? これからどうなる? (BBC, 2/2)
ミャンマーの軍クーデター、その日市民らは 「一夜で世界が転覆」 (BBC, 2/2)
ミャンマー軍が国家権限掌握、事実上のクーデター 米は措置を警告 (CNN, 2/1)
スー・チー拘束でも国際社会がミャンマー政変を「クーデター」と認めたくない理由 (ニューズウィーク日本版, 2/1)
1988年の場合と比べて、今回アメリカなどがミャンマーのクーデターを「クーデター」と認定するハードルは高い。そこには中国の存在があるからだ。
「これでは元に戻ってしまう」 日本国内のミャンマー人ら、軍事クーデターに心配の声 (毎日, 2/1)
なぜ軍事クーデターは繰り返されるのか 背景にある「摩擦」と「大義名分」 (毎日, 2/2)
》 地方自治法施行規則の改正と電子署名の規制緩和 (クラウドサイン, 2/2)。「「電子署名法第2条第1項に定める電子署名」を用いれば、地方自治体との契約を電子化可能 となりました」。
》 南アフリカの国税庁が「Adobe Flashを再有効化するため」だけに独自のブラウザをリリース (gigazine, 2/2)
「オンライン上で税金に関する手続きができない」という状況を打破するため、SARSはFlashのサポートを再度有効化にした上でSARSのサイトのみにアクセスできるようにしたChromiumブラウザ「SARS Browser」をリリースしました。
関連: Flash終了の影響で中国の鉄道が運行停止、どのようにして復旧したのか? (gigazine, 1/25)
大連駅の技術部門が導き出した問題の解決法は、古いバージョンのFlash Playerをインストールすることでした。実際に、大連駅のマシンに2018年に公開されたAdobe Flash Player 29をインストールしたところ、配車システムは問題なく動作し、鉄道の運行が再開されました。
》 Internet Week 2020プレゼンテーション資料 (JPNIC)
過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)