![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Feb 8 10:55:57 2023
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 「Microsoft Teams 無料版 (クラシック)」廃止、ユーザーデータは有料版に移行しない場合は全消去 (gigazine, 2/8)
》 「Microsoft Teams」でミーティングに参加できない障害 ~アジア太平洋リージョンで (窓の杜, 2/8)。関連:
Microsoft Teams (DownDetector)。減少傾向にはあるのかな。
》 豪企業、ローエンドの小型UAVを約10ドルで無力化することに成功 (航空万能論 GF, 2/5)。 Counter Uncrewed Aerial Systems Sandbox 2022 (canada.ca) に関する記事。 5 つのシナリオで競う、 対(小型)ドローン競技会。
豪Electro Optic Systems Australiaがコンテンストに持ち込んだカウンタードローン技術はM240機関銃を搭載した「R400S RWS」で、同社は「静止・移動中に300m~800mの距離で商用ドローンや高価なドローンを破壊することに成功した。ローエンドに脅威を倒すのに特殊な武器や弾薬を必要としないのが我々の技術の強みで、ローエンドの量的脅威を安価な迎撃手段(1回の迎撃コストが5ドル~10ドル)で中和することができる」と述べているのが興味深い。
Defense Systems (eosdsusa.com)。 R400S は EOS の RWS シリーズの 1 つ。 汎用 RWS でドローンに対抗できますよ、という売り込みなのかな。
F-22 Safely Shoots Down Chinese Spy Balloon Off South Carolina Coast (defense.gov, 2/4)
An F-22 Raptor fighter from the 1st Fighter Wing at Langley Air Force Base, Virginia, fired one AIM-9X Sidewinder missile at the balloon.
The balloon fell approximately six miles off the coast in about 47 feet of water. No one was hurt.
AIM-9X で追えるくらいの熱が出ていた、ということなんだろうか。
F-22 Shoots Down Chinese Spy Balloon Off Carolinas With Missile (Updated) (The War Zone, 2/5)。映像を見る限りでは、本体部分は壊れずに落ちているっぽい。
中国の「スパイ気球」の狙いと、浮き彫りになった“弱点” (WIRED, 2/5)
中国偵察気球を撃墜、米軍は残骸を回収し分析へ…中国側反発「民間のもので過度な対応」 (読売, 2/5)。民間用であるなら、当該機器の運用組織から声明なりが出ていそうなものなのだが。
中国気球、軍の戦略支援部隊が関与か…「内モンゴルの基地から打ち上げ」情報も (読売, 2/5)
撃墜で一気に緊迫、「気象研究用が誤って米国に進入」のわけがない中国気球 (JBpress, 2/5)
気球撃墜、米側「装置精査できて貴重」 中国は報復措置の可能性示唆 (朝日, 2/5)
気球撃墜 中国外務省の次官 北京の米大使館に厳正な申し入れ (NHK, 2/6)
焦点:中国、気球撃墜でも「冷静」対応か 米との関係改善重視 (ロイター, 2/6)
2020 年 6 月の仙台上空「白い未確認物体」もコレと同類か。
宮城で目撃された謎の白い物体と酷似 米上空飛行の中国・偵察気球 (河北新報, 2/3)
アメリカで目撃“謎の気球”宮城の「飛行物体」も中国からの可能性「政府は真相を解明してほしい」 (TBC 東北放送, 2/3)
》 「医療機関におけるサイバーセキュリティ対策セミナー」を開催します (厚生労働省, 2/1)。「参加対象: 医療情報システムベンダーのご担当者、医療機関で従事されている方 等」となっている。「等」が入っているので、関心のある人なら ok なのか? 申込窓口は医療機関向けセキュリティ教育支援ポータルサイトにあるので気が引けるのだけど。
【講演2】
「(仮題)大阪急性期・総合医療センターのインシデントについて」
一般社団法人ソフトウェア協会 理事/Software ISAC共同代表
萩原 健太 氏
※質疑応答あり
これ興味あるなあ。
》 経産省らがクレジットカード会社にフィッシング対策の強化を要請、DMARCの導入など (Internet Watch, 2/3)
》 仏Nexterが自走砲の生産量を3倍に引き上げ、年間72輌のCaesarを供給 (航空万能論 GF, 2/5)。3 倍でも 72輌/年 (6輌/月) でしかないのですね。
これは積み上がったバックオーダーを処理するという側面もあるが「ウクライナへの追加供給を可能にする生産能力を確保した」という意味合いが強く、この生産レートが維持されればウクライナは1年で何十輌ものCaesarを入手できるようになるだろう。
》 ノルウェー首相、レオパルト2A7を選択したのは安全保障環境の変化が決め手 (航空万能論 GF, 2/4)
ストーレ首相はレオパルト2A7を選択した理由について「品質や能力だけでドイツ製戦車を選択したのではなく、今後欧州で重要な役割を果たすであろう同盟国ドイツと協力し、北欧の隣国であるオランダやポーランドと同じタイプの戦車を手に入れるという安全保障政策面での意味合いも含まれている」と説明。
》 トルコがアルタイに韓国製変速機を採用、韓国製パワーパックで生産開始 (航空万能論 GF, 2/4)
》 ドイツがレオパルト1のウクライナ輸出を許可、但し改修に時間がかかる見込み (航空万能論 GF, 2/3)
この計画についてSpiegel誌は「レオパルト1が使用する105mm砲弾の供給に問題があり、レオパルト1のオーバーホールにも時間がかかるので納品は来年までかかるかもしれない」と指摘、実際ドイツはレオパルト1を運用中のブラジルに105mm砲弾を譲って欲しいと持ちかけたが拒否されており、まだまだレオパルト1のウクライナ提供には解決しなければならない問題が残っている格好だ。
ゲパルトに続いて、弾がない問題ここでも。
》 Twitter、APIを有料化へ 無料提供は9日で終了 「詳細は来週発表する」 (ITmedia, 2/2)。関連:
Togetterは「API有料化後も可能な限り対応予定」 twilogも「可能な限り存続したい」 (ITmedia, 2/3)
pixiv、Twitter連携機能は「可能な限り継続」 API有料化後も (ITmedia, 2/3)
マスクCEO、Twitterの無料API終了は「悪質なbotの排除」と説明 有料APIは月100ドル程度に (ITmedia, 2/3)
フォロワー数318万人の“地震速報”bot「今後の運用は難しい」 Twitter API有料化の余波大きく (ITmedia, 2/3)
TwitterのマスクCEO、「優良botには書き込み専用APIを無料提供」とツイート (ITmedia, 2/6)
》 Twitter、今度は「凍結祭り」で氷河期突入? VTuberや絵師などが対象に 原因は依然不明 (ITmedia, 2/3)
● au/Softbank dual SIM
ソフトバンクとKDDI、通信障害・災害時の備えとして 他社網を利用可能な通信サービスを提供 ~デュアルSIMでソフトバンクまたはauの予備回線を利用可能に~ (ソフトバンク, 2/2)
auとソフトバンクのデュアルSIMは「月数百円程度」を想定、eSIMにも対応 (ITmedia, 2/2)
MVNOとの連携については「今のところ、話をしていない」(高橋氏)としている。
● povo2.0
「Microsoft Edge」に脆弱性 ~「Chromium」由来ではなく「Edge」固有の問題 (窓の杜, 2023.02.06)。109.0.1518.78 で修正されている。
VMSA-2023-0003 - VMware Workstation update addresses an arbitrary file deletion vulnerability (CVE-2023-20854) (VMware, 2023.02.02)。 VMware Workstation 17.x Windows 版に欠陥。 Host PC 上の local user が任意のファイルを削除できる。 17.0.1 で修正。
》 自動DDoS Mitigationサービス 申請受付開始について (SINET, 1/31)
本サービス申請前に、加入機関が SINET に接続され、IPv4/IPv6 Dualサービス(インターネット接続サービス)の利用を開始している必要があります。
》 米国が長距離攻撃兵器を含むウクライナ支援パッケージを準備中、GLSDB提供か (航空万能論 GF, 2/1)。射程 300km は駄目だけど、射程 150km は ok らしい。
》 ベルギー企業の倉庫に眠るレオパルト1やSK-105、適正な価格で売却したい (航空万能論 GF, 2/1)。あるところにはあるんですね。 ただし、レオパルト1 は大規模な再整備が必要な状態みたい。
》 米メディア、K2がレオパルト2を駆逐して欧州市場を席巻するかもしれない (航空万能論 GF, 2/2)。Foreign Policy 誌。Korea as No.1 が真実味を持って語られはじめた模様。 K9 も売れてるしねえ。
》 ロシア軍が2月24日に大規模攻撃を計画か、ウクライナ国防相が警告 (BBC, 2/2)
The First Battle of the Next War: Wargaming a Chinese Invasion of Taiwan (CSIS, 1/9)
CSIS「中国は台湾制圧失敗」 独自机上演習、日米に損失 (日経, 1/12)
CSISは台湾防衛をめぐり「オーストラリアや韓国などの同盟国も何らかの役割を果たすかもしれないが要は日本だ」と指摘。「日本の米軍基地を使えなければ米国の戦闘機などは効果的に戦闘に参加できない」と警鐘を鳴らし、日本と外交・防衛協力を深めるべきだと提言した。
台湾防衛の代償──米死傷者1万人、中国1.5万人、日本も多大な犠牲 CSISが24通りのウォーゲームの結果を発表 (ニューズウィーク日本版, 1/12)
多大な犠牲は避けられないにせよ、米軍主導の防衛軍が侵攻軍を撃退するには4つの条件が不可欠だと、著者らは述べている。台湾が抗戦すること。アメリカが即座に、かつ直接的な介入に踏み切ること。米軍が日本の基地から作戦を展開できること。そして、中国の水陸両用作戦を妨げるために、米軍に対艦ミサイルの備蓄が十分にあること。
台湾有事で日米が中国に打ち勝つ「4条件」とは何か 敵基地攻撃能力など日本の安保3文書改定に符号 (岡田 充 / 東洋経済, 1/18)
さらに「1カ月」の戦闘後も終結せず、「数カ月ないし数年間継続するかもしれない」と長期化を予測している。報告タイトルが「次の大戦の最初の戦い」としたのも、それを物語る。結局、世界第1位から3位までの経済大国が総力戦を展開する「台湾有事」には、勝者も敗者もない悲惨な結末が待ち構え、「間尺に合わない」選択であることをわれわれに教えている。
「世界第1位から3位までの経済大国が総力戦を展開する」。 平たく言うと、第3次世界大戦ですね。 こんな儲からないことはやっちゃ駄目なのですが、 やっちゃ駄目なことがわからない人が指導者になっちゃったりすると、 やっちゃ駄目なことを始めちゃったりするんだよね。
CSISによる台湾有事ウォーゲーム (1) (海国防衛ジャーナル, 1/22)、 CSISによる台湾有事ウォーゲーム (2) (海国防衛ジャーナル, 1/22)
台湾有事シミュレーションの衝撃、日米中すべてがこうむる莫大な損失 (藤谷 昌敏 / JBpress, 1/27)
関連:
【解説】 米海兵隊、中国の脅威に対応し変容 戦車放棄の計画に反対の声も (BBC, 2/2)。 自衛隊が旧来の海兵隊的な部隊 (水陸機動団) をようやく整えたかと思ったら、 US は海兵隊の大幅変更を指向したんだよね。
ランド研究所が沖縄配備を主張していたXQ-58、米空軍が打ち上げシーンを公開 (航空万能論 GF, 2/1)
滑走路に依存しない無人機とは米空軍研究所のLCAAT (低コスト航空用航空機技術) 計画に基づきクラトス社が開発したXQ-58のことで、XQ-58は小型ロケットモーターによる打ち上げとパラシュートによる機体回収にも対応しており、ランド研究所は「F-22やF-35と比べるとXQ-58のステルス性や多用途性は限定的だが、1個飛行隊分のF-35を調達するコストでXQ-58を300機以上も調達できるため、LCAATのような滑走路に依存しない航空機群は量的戦術を駆使することで敵の防御力を圧倒し、他のスタンドオフ兵器や有人戦闘機による攻撃をサポートすることができる」と訴えている。
hi-low mix の low の部分が UAV になっていくのかなあ。
》 艦載型PAC-3の初展示 (海国防衛ジャーナル, 1/27)。SNA 2023 で展示。 Mk 41 VLS で使えるそうで。
》 Discord起動時にNVIDIA製GPUの性能が低下する問題発生、対策方法はコレ (gigazine, 2/2)
》 ロシアの検索エンジンYandexが「ハゲ」と検索してもプーチン大統領の写真が出ないように検索結果をいじっていたことが判明 (gigazine, 2/1)
》 Wikipediaが「罰当たりなコンテンツ」を削除しなかったとしたパキスタン政府がアクセス制限を実施 (gigazine, 2/2)。具体的にどのコンテンツなのかは不明。
》 AMDはCPUとGPUの価格をつり上げるために供給を制限しているとリサ・スーCEOが明かす (gigazine, 2/2)
》 「代替SNS」がロシアフェイク拡散の標的に、その狙いとは? (新聞紙学的, 1/16)
》 “盗撮のカリスマ”グループの卑劣すぎる組織的犯行「知人女性をクスリで心神喪失状態にし“眠り姫”動画を撮影した」《県庁職員、公安調査員…逮捕者13人の衝撃》 (文春オンライン, 2/1)。関連:
公安調査庁調査第二部・主任調査官、●●●●容疑者(31)
【露天風呂盗撮グループ】逮捕の公安調査庁31歳男 仲間が捕まってもポーカーフェイス「職場では平然」庁舎にガサ入れも (NEWS ポストセブン, 1/24)
鹿児島県大隅地域振興局建設部 (当時)、●●●●容疑者 (40) (当時)
兵庫の露天風呂で盗撮の疑い 鹿児島県職員ら3人逮捕 (宮崎日日新聞, 2021.12.03)
望遠レンズで100メートル先の露天風呂を盗撮 鹿児島県職員ら3容疑者逮捕 迷彩服着て森に潜む (南日本新聞, 2021.12.04)
静岡県警によると、32歳の男が10月、静岡県藤枝市内の駐車場で職務質問を受けた際、車内から見つかったのこぎりについて「盗撮に邪魔な木を切るため」と話したことで容疑が浮上した。
「盗撮のカリスマ」率いる「愛好家」集団、逮捕のきっかけは「小さな違和感」 (読売, 2022.07.20)
事件が表面化したのは、静岡県警自動車警ら隊所属の地村美貴警部補(46)ら3隊員がパトロール中に感じた小さな違和感がきっかけだった。一連の事件では6人が逮捕され、捜査は今も続いている。
記事当時は逮捕者 6 人だったのですね (現在 13 人)。
組織的に露天風呂の女性を盗撮、元鹿児島県職員に有罪判決…裁判官「卑劣な行為」 (読売, 2022.06.17)
三重県に住む40代の国家公務員の男 (被害者保護のため、実名発表はされていない) (5人目)
組織的盗撮マニアグループか 露天風呂の女性盗撮した容疑で国家公務員の男を逮捕…100メートル離れ望遠レンズ付きビデオカメラで狙ったか 静岡県警 (静岡朝日テレビ, 2022.02.09)
露天風呂狙う 盗撮疑いで国家公務員逮捕 藤枝署 (静岡新聞, 2022.02.10)
露天風呂で盗撮 国家公務員を起訴 静岡地検 (静岡新聞, 2022.03.02)
地検は、児童ポルノ事件の被害者特定の恐れを考慮し、被告を匿名発表した。
露天風呂での組織的盗撮事件 (ウィキペディア)
》 通信事業者の組織体制を外部監査、障害対策で総務省案 (日経, 2/1)
》 日本を含む東アジアを狙った「Earth Yako」による標的型攻撃キャンペーンの詳解 (トレンドマイクロ セキュリティ blog, 1/27)
》 HDDが正規品かどうかをXbox 360が判断する方法と回避する方法 (gigazine, 1/25)
》 重要なお知らせ:2023年2月以降に公開されるトレンドマイクロのサーバおよびエンドポイント製品、および関連モジュールに関する Windows の最小バージョン要件について (トレンドマイクロ, 1/30)
トレンドマイクロでは、Microsoft 社からの要請に基づき、2023年2月中旬より、Azure Code Signing (ACS) を使用して各製品モジュールの署名を行います。そのため、下記に記載のある製品をご利用のお客様は、ご利用の Windows のバージョンに応じて、下記の Microsoft Windows セキュリティパッチを適用いただく必要があります。
これらのセキュリティパッチのほとんどは 2021年9月または10月に最初に導入され、その後 Microsoft の毎月の累積更新プログラムに含まれております。
そのため、Microsoft セキュリティパッチを最新の状態にしているお客様は、すでに該当のパッチを適用済みの場合があります。
関連: KB5022661 - Azure Code Signing プログラムの Windows サポート (Microsoft)
》 サムスン製高速SSD「990 PRO」の寿命が短期間で46%縮む事態が発生 (gigazine, 1/27)
》 新型コロナの後遺症「ロングCOVID」が失業者の増加をもたらしていると研究で判明 (gigazine, 1/27)
》 J・K・ローリングが「黙れトランス排除フェミニスト」と銃を向けるアニメキャラの画像をツイートして炎上、「トランス排除との非難は反女性参政権と同等」と示唆 (gigazine, 1/31)。あいかわらずですね。
ロシアのGoogleこと「Yandex」の40GB超のGitリポジトリが漏えい (gigazine, 1/26)
Yandexの40GB超えの内部情報流出は「従業員が流出させた」という公式コメント、流出ファイル一覧もアリ (gigazine, 1/27)
ロシア最大の検索エンジン「Yandex」のソースコード流出で検索ランキングの決定要因が明らかに (gigazine, 1/31)
MicrosoftがHaloの開発元で大規模な人員削減&組織改革を実施 (gigazine, 2/1)
PayPalが全従業員の7%に相当する約2000人を人員整理 (gigazine, 2/1)
》 23万台超のHDD運用実績からぶっ壊れやすいモデルを統計的にまとめたBackblazeの「メーカー・モデル別統計データ2022年版」が公開 (gigazine, 2/1)
》 スシロー“食器ペロペロ“問題、当事者と保護者が謝罪も「厳正に対処」へ 法的措置を継続 (ITmedia, 2/1)
Firefox 109.0 / ESR 102.7.0、Firefox for Android 109 公開 (2023.01.18)
Thunderbird 102.7.1 出ました。自動更新されます。 セキュリティ修正を含みます。
Thunderbird 102.7.1 がリリースされた (mozillaZine.jp, 2023.02.01)
Firefox 109.0.1 も出ています。セキュリティ修正はありません。
Firefox 109.0.1 がリリースされた (mozillaZine.jp, 2023.02.01)
「GeForce Experience」に3件の脆弱性 ~コード実行やデータ改竄のおそれ (窓の杜, 2023.01.31)。GeForce Experience 3.27 で修正。
QSA-23-01 - Vulnerability in QTS and QuTS hero (QNAP, 2023.01.30)。remote から攻撃コードを挿入できる欠陥。 QTS 5.0.1.2234 build 20221201、 QuTS hero h5.0.1.2248 build 20221215 で修正。
Action needed for GitHub Desktop and Atom users (github.blog, 2023.01.30)。 GitHub Desktop および Atom の計画・開発に利用されていたリポジトリへの不正アクセスを検知。 調査の結果、コード署名証明書が盗まれていることを発見。
証明書を無効化する影響で、macOS 版 GitHub Desktop 3.1.[012] および 3.0.[2-8] は 2023.02.02 に動作しなくなる。 最新版へのアップグレードが必要となる。 この問題は Windows 版 GitHub Desktop には無い。
Atom についても、最終版とされた 1.63.[01] が 2023.02.02 に動作しなくなる。 こちらはもはやメンテナンスされていないため、 1.60.0 へのダウングレードが必要。
VMSA-2023-0001.1 - VMware vRealize Log Insight latest updates address multiple security vulnerabilities (CVE-2022-31706, CVE-2022-31704, CVE-2022-31710, CVE-2022-31711) (VMware, 2023.01.24)。無認証で RCE 可能などの欠陥 4 件。
Workaround Instructions For VMSA-2023-0001 (90635) (VMware, 2023.01.30 更新)。スクリプトが用意されている。
VMware vRealize Log Insight VMSA-2023-0001 IOCs (HORIZON3.ai, 2023.01.27)
VMware vRealize Log Insight VMSA-2023-0001 Technical Deep Dive (HORIZON3.ai, 2023.01.31)。詳細情報。
「スシロー」のAndroidアプリに脆弱性、ログからIDとパスワードを盗まれるおそれ (窓の杜, 2023.01.31)。最新版に更新を。
遠隔からCPUを数秒で破壊するサイバー攻撃 マザーボードのリモート管理機能をハック、過度の電気を注入 (ITmedia, 2023.01.27)。BMC の欠陥を利用して PC を攻略しハードウェアを破壊。
今回は、サーバで広く使用されているSupermicro X11SSLマザーボードを事例として、BMCのリモートで使用可能なソフトウェアの弱点を利用してPMBusにアクセスし、メインCPUに対してハードウェアベースの注入攻撃を試みる。
結果は、ファームウェアに独自のコードを書き込んで改造することで、BMCを制御し、マザーボード上のCPUに電力を供給する部分にコマンドを送信することができたという。実験においても、チップの最大制限値である1.52ボルトを大幅に超える電圧を送ることで、数秒のうちにチップを破壊することに成功した。
PMFault: Faulting and Bricking Server CPUs through Management Interfaces: Or: A Modern Example of Halt and Catch Fire (University of Birmingham, 2023.01.14)。当該論文。
過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)