![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri May 25 19:03:15 2018
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 多くの国民が無関心だった? 1964年のオリンピックはこんなにもダメだった (辻田真佐憲 / ジセダイ総研, 2016.07.21)
》 省庁データ、近く西暦で統一…来春は間に合わず (読売, 5/20)。ようやくその方向に舵を向けましたか。
》 MRJの主力を三菱重工が「70席モデル」に決めた理由 (ダイヤモンド online, 5/24)。スコープクローズ緩和の件、結局全く進展していない模様。
緩和交渉はさっぱり進まず、「ゼロから交渉するより、スコープクローズに触れないMRJ70で勝負した方が話が早い」(三菱重工幹部)と、現実路線に切り替えたのだという。(中略) エンブラエルがMRJと違うのは、同社には70席クラスの最新機の開発予定がないことだ。つまり、スコープクローズが緩和されなければ、エンブラエルには最新機の“持ち駒”がなくなる。
ピンチこそチャンスだ?!
一方、MRJがつらいのは、エンブラエルが航空機メーカー界の巨人、米ボーイングと手を携えようとしていることだ。昨年12月に両社が提携交渉中であることが明らかになっている。
これが来ちゃうと本当にヤバいデス。
》 ウーバー自動運転車事故、制御下で緊急ブレーキが無効=運輸安全委 (ロイター, 5/25)。 3月に発生した死亡事故の件。
中間報告によると、ウーバーが使用した2017年型ボルボXC90の改修されたレーダーシステムは、事故の5秒前に歩行者を観察したが、「自動運転システムのソフトウエアは歩行者を当初、不明の物体と分類し、その後に自動車、それから自転車として分類した。その過程で、その後の交通経路の予想が定まっていなかった」という。
その実態は「自転車を押している歩行者」なのだが、そういう分類は Uber 自動運転には存在しないのかな。
事故の1.3秒前には自動運転システムが緊急ブレーキの作動が必要と判断した。ところがNSTBによると、ウーバーの説明では、ボルボXC90は「自動車が誤った動作を起こす可能性を低減する」ためコンピューターの制御下にあった一方、緊急ブレーキシステムは無効にされていた。
うへえ。糞すぎる。関連:
自動運転車の安全確保には、自動車業界100年の知恵を注いで欲しい (日経 xTECH, 5/24)
ウーバーの事故が日本で起きたらその責任は? (日経 xTECH, 5/25)
》 2018年3月以降の月例更新プログラムの適用後、Windows 7 の 32 ビット (x86) 端末で再起動を繰り返す場合の対応 (Ask CORE, 5/24)。3rd party モジュールとカチあっている事例。
弊社の調査では、以下の 2 つのドライバーが事象発生に関連することを確認しています。
– Haspnt.sys (HASP Kernel Device Driver)
– hardlock.sys (Hard Lock Key Drivers)
ユーザー報告では、これらのドライバーは、以下のプログラムに含まれるとの情報があります。
– Sentinel System Driver Installer
– Sentinel Runtime
– Sentinel HASP License Manager
》 リムパック 米、演習に中国招待せず 南シナ海進出を非難 (毎日, 5/24)、 米、中国を合同演習から排除 南シナ海の軍事拠点化批判 (朝日, 5/24)
元ねた: New VPNFilter malware targets at least 500K networking devices worldwide (Cisco Talos, 2018.05.23)
Linksys, MikroTik, NETGEAR, TP-Link のルーターの他、QNAP の NAS 全般が影響を受ける。
マルウェアは 3 段式。1 段目については crontab に登録されるため、再起動しても消えない。2, 3 段目は再起動すると消えるが、1 段目が消えないので順に再生される。
New VPNFilter malware targets at least 500K networking devices worldwide には、1 段目・2 段目のアクセス先や既知のマルウェアのハッシュ値なども掲載されている。
あとこれ:
Finally, on May 8, we observed a sharp spike in VPNFilter infection activity. Almost all of the newly acquired victims were located in Ukraine. Also of note, a majority of Ukrainian infections shared a separate stage 2 C2 infrastructure from the rest of the world, on IP 46.151.209[.]33. By this point, we were aware of the code overlap between BlackEnergy and VPNFilter and that the timing of previous attacks in Ukraine suggested that an attack could be imminent. Given each of these factors, and in consultation with our partners, we immediately began the process to go public before completing our research.
またしてもウクライナ、またしても BlackEnergy ですか……。
》 Windows 10 April 2018 Update (バージョン 1803) のよくある質問 (Microsoft コミュニティ)。Outlook での不具合など、増えている項目があります。
》 Microsoft、「April 2018 Update」のSSD問題を修正する更新プログラムをリリース (窓の杜, 5/24)。Intel / 東芝 SSD の件、修正出ました。
》 「患者が人質」病院が身代金ウイルスに感染したとき (松原実穂子 / 毎日, 5/17)。最初の「米ロサンゼルスの病院」の話は Hollywood Presbyterian Medical Center の件かな?
ランサムウェアで病院システムがダウン、患者受け入れや検査に支障 (ITmedia, 2016.02.18)
ランサムウェアに感染した病院、身代金要求に応じる (ITmedia, 2016.02.19)
ランサムウェア前線(1)北米で医療機関への攻撃が急増 病院のシステムを人質に「身代金」要求 (江添 佳代子 / THE ZERO/ONE, 2016.04.11)
その次の「米国ワシントンとメリーランド州に10の病院を抱えている病院グループ」は MedStar Health Inc. のことかな?
病院でランサムウェア感染被害が横行、診療にも支障 (ITmedia, 2016.04.01)
ランサムウェア前線(3)陥落した米大手医療機関「MedStar」を巡る美談と醜聞 (江添 佳代子 / THE ZERO/ONE, 2016.04.15)
とりあえず、関連情報を調べやすい書き方をしてほしいのだけど。
》 神経剤から回復のユリアさん 「助かったのはとても幸運」 (BBC, 5/24)。とりあえずよかった。
関連: 神経剤襲撃のスクリパリ元大佐が退院 捜査進展につながる可能性も (産経, 5/18)。セルゲイ・スクリパリ氏も退院できるところまで回復したようで。 よかった。
》 Debian 8,6月17日でセキュリティアップデートを終了へ (Linux Daily Topics, 5/22)
》 Windows Server 2016 の 5/17 累積更新で 0x800705b4 エラー (山市良のえぬなんとかわーるど, 5/23)
》 Windows 10 ver 1803 と RAMMap v1.5 は NG、更新版を待て (山市良のえぬなんとかわーるど, 5/22)
》 中国:中距離弾道ミサイル「DF-26(東風26)」を実戦配備開始 (海国防衛ジャーナル, 4/27)
》 「在留カード渡さないと帰さない」 日本eスポーツ史上に残る“最悪”の汚点、「League of Legends」国内リーグで何が起こったか (ねとらぼ, 5/21)。優れた選手を引退に追い込んだ事件の詳細。
》 専門家と市民による豊洲会議 第一弾 汚染物質封じ込めで地質汚染は大丈夫か!? @kimchan0213 さん @ingigo33 さん @nakazawa_mama2 さん @mori_arch_econo さん @mizunoyak さん関連ツイートまとめ(2018.5.22作成) (togetter, 5/22)
》 拡散される「森友問題スクープ記者を“左遷” NHK「官邸忖度人事」の衝撃」は本当か? (立岩陽一郎 / Yahoo, 5/22)。「記事の中にはNHK内部で衝撃が走っているという具体的な事実の記述がない」
》 「森友・加計問題、悪質タックルと似てる」自民・村上氏 (朝日, 5/22)
日大・内田正人監督、辞意を表明 (5/19)。 しかし記者会見は開かず、詳細も明らかにせず。
アメフット 日大・内田監督辞意 一問一答 (毎日, 5/19)。記者会見ではなく、「東京・羽田空港での主な一問一答」。
日大 内田監督「すべて私の責任 監督を辞任する」 (NHK, 5/19)。「19日午後3時半すぎから大阪空港で取材に応じ」
日大 アメフト 内田監督の辞任届を受理 (NHK, 5/21)
被害学生の父・奥野康俊氏、大阪府警池田署に傷害容疑で被害届を提出 (5/21)
アメフット 日大の悪質タックル 警視庁が捜査へ (毎日, 5/21)。「試合は東京都調布市で行われたため、今後、警視庁調布署が捜査する見通し」
アメフト反則行為 関西学院大学の負傷選手 警察に被害届 (NHK, 5/21)
アメフト問題 被害選手の父親が会見 (NHK, 5/21)
関東大学アメリカンフットボール1部リーグ監督会、「関東学生アメリカンフットボール共同宣言2018」を発表 (5/21)。ただし日大は含まれず。
関東学生アメリカンフットボール共同宣言2018 (駒澤大学アメリカンフットボール部 公式ホームページ, 5/21)
アメフット 日大以外の関東15大学が共同宣言 (毎日, 5/21)
加害学生が記者会見 (5/22)
会見詳報: 産経 [1] [2] [3] [4] [5] [6] [7] [8] 、 毎日 (一部有料) [1] [2] [3] [4]
動画: 朝日、 毎日 / YouTube
アメフット 「前監督、コーチが反則指示」日大選手が謝罪 (毎日, 5/22)
アメフット 再三圧迫、追い込まれ 日大選手が実名で証言 (毎日, 5/22)
アメフト 日大選手「監督やコーチから指示」明言 (NHK, 5/22)
日大選手に監督「やらなきゃ意味ないよ」 会見で陳述書 (朝日, 5/22)
「アラインどこでもいい」アメフトじゃない 東大コーチ (朝日, 5/23)。東大・森清之ヘッドコーチ。
ただ、各選手に明確な役割が与えられ、1プレーずつ作戦を練るこの競技において、日大選手がコーチから言われた「アライン(守備位置)はどこでもいい」という言葉は、「そんな指示はあり得ない。事実だとすれば、それはもうアメフトではない」と指摘する。
さらに、選手が会見で明らかにした、「相手のQBがけがをして秋の試合に出られなかったらこっちの得だろう」というコーチの発言についても、「考えられない」と言う。
日大選手の記者会見は「特例」 普段は認めぬ弁護士同席 (朝日, 5/22)
「審判の笛は聞こえていたか」 日大選手会見、元関学QB有馬隼人の「重い質問」 (J-CAST, 5/22)。
町山智浩 日大アメフト部危険タックル問題 選手記者会見を語る (miyearnZZ Labo, 5/22)。たまむすび書き起こし。
宇多丸 日大アメフト部危険タックル問題 選手記者会見と『Cobra Kai』を語る (miyearnZZ Labo, 5/22)。アフター 6 ジャンクション書き起こし。
日大アメフト反則問題、選手会見で要望された「顔アップ」に配慮したメディアはどこか (藤代裕之 / Yahoo, 5/23)
川淵氏「危険」「ゾッとする」日大監督ら指導者批判 (日刊スポーツ, 5/23)。川淵三郎。
日大は若者をさらしものに…加害選手は誠実に対応 (日刊スポーツ, 5/23)
関西学院大アメリカンフットボール部・鳥内秀晃監督、 被害選手の父・奥野康俊氏のコメント
アメフット 関学監督、日大選手に敬意「真実語った」 (毎日, 5/22)
アメフト 被害選手の父「激しい憤り 刑事告訴も検討」 (NHK, 5/22)
日本大学広報部、「アメリカンフットボール部・宮川選手の会見について」と題した FAX をマスメディア各社に送付 (5/22)
「QBをつぶせ」は「思い切って当たれ。試合前によく使う言葉」日大広報部がコメント (スポニチ / Yahoo, 5/22)。加害学生会見で示された内容の、ほんの一部にしか触れてない。駄目すぎる。
言葉足らず…日大広報部は監督ら反則プレー指示否定 (日刊スポーツ, 5/22)。当該 FAX 写真つき。
今回の行為に対する各社の表記について。 memo では「危険タックル」と書いているが、 「殺人タックル」と呼んでもおかしくない行為である。
朝日: 日大アメフト部違反行為。 あれを「違反」と呼ぶのは、重大さと乖離がある。
毎日: アメフット悪質タックル問題。 これも、重大さと乖離がある。
読売: 特集ページはないようだが、 危険タックル と表記しているようだ。
産経: 日大アメフット部の悪質反則。 「悪質反則」では、何が起きたのかよくわからない。
NHK: アメフト危険行為
刑事責任
アメフト「監督は共犯や教唆にあたる可能性」弁護士 (NHK, 5/22)。西脇威夫弁護士。
日大・井上コーチの共謀共同正犯は明白 若狭弁護士 (日刊スポーツ, 5/23)。若狭勝弁護士。
井上コーチの「相手のQBがケガをして秋の試合に出られなかったらこっちの得だろう」との発言に、若狭氏は「明確に『ケガ』を示しており、刑事責任は免れないだろう。共謀共同正犯なのは明白」と断じた。
一方、内田正人前監督(62)については「弁解されると刑事責任には問われない可能性もある」と分析。
体質について
日大関係者「内田前監督は人事担当常務理事 職員は意見言えず」 (NHK, 5/21)
20歳を追い込んだ指導者たち 日大アメフト部の特殊性 (朝日, 5/22)
「絶対服従の日本的在り方が原点に」スポーツ倫理専門家 (NHK, 5/22)。早稲田大学・友添秀則教授。
日大アメフト問題・内田氏についに「常務理事解任要求」が出された (田中 圭太郎 / 現代ビジネス, 5/22)。危険タックルではなく、 日大の人事の件で。
近年、大学改革の名のもとに首を切られる職員・講師が増加していることが社会問題となっているが、日本大学でも今年3月末、非常勤講師の「雇い止め」が実施され、少なくとも6つの学部で数十人に及ぶ講師が職を失った。 (中略) この雇い止め問題の日大側の責任者が、人事担当の常務理事である内田氏なのだ。
プチ鹿島 日大アメフト部危険タックル問題 新聞読み比べ (miyearnZZ Labo, 5/22)。キックス書き起こし。
悪質タックル問題で失墜した「日本大学」というブランドに復活の可能性はあるのか (本間充 / Yahoo, 5/22)
日大アメフト部は存続危機、連盟が今月中に最終処分 (日刊スポーツ, 5/23)
》 陸自、次期戦闘ヘリはどうなる? 更新が急がれる理由と予想される導入機種 (竹内 修 / 乗りものニュース, 5/23)。とにかく数を揃えないとどうしようもないわけで。
》 Evolving Chrome's security indicators (Google, 5/17)。http / https の表示の件。
》 IoTデバイスの脆弱性を突くマルウェア「Wicked」、Miraiの新手の亜種 (ITmedia, 5/22)
MFSA 2018-13 - Security vulnerabilities fixed in Thunderbird 52.8 (Mozilla, 2018.05.18)。 メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起 (2018.05.15) の件の修正も含まれるようです。
メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起 (2018.05.15)
MFSA 2018-13 - Security vulnerabilities fixed in Thunderbird 52.8 (Mozilla, 2018.05.18)。 Reporter に挙げられている名前を見る限りでは、 CVE-2018-5184: Full plaintext recovery in S/MIME via chosen-ciphertext attack は本件の修正であるようだ。
》 漫画村との取引否定していた広告代理店、一転して「深く反省」 関係者は「海賊版と手を切れば仕事ない」と証言 (ねとらぼ, 5/22)
》 オスプレイ墜落 ”気流乱れ”が原因 米軍 調査報告書 (NHK, 5/22)
報告書は、原因について、オスプレイから発生した強い吹き降ろしの風が揚陸艦の右側の側面にぶつかったことで、想定外に気流が乱れて片方のプロペラに流れ込み、揚力を失ったことが原因だと結論づけています。
また、オスプレイは、着艦の際、揚力不足に陥りやすいとも指摘しており、アメリカ軍はすでに、運用マニュアルの一部を見直し、エンジンの出力をこれまでより上げた状態で降下するよう指示していることもわかりました。
米軍でさえ、機体特性をまだまだ把握しきれていない感じだなあ。 ただでさえ操作が難しい機体だろうに。 関連:
》 Microsoftが検索エンジン「Bing」で仮想通貨広告を禁止に (仮想通貨 Watch, 5/22)
仮想通貨関連の広告は、1月にFacebook、3月にGoogleとTwitterが相次いで禁止もしくは厳しいルールの設定を発表しており、今回のMicrosoftの発表はそれに追随するかたちだ。
》 ソフォス 実際の詐欺を再現するフィッシング対策訓練ツール「Sophos Phish Threat」 (techtarget, 5/21)、 Sophos Phish Threat (Sophos)
医療大麻の新時代到来か 「大麻先進国」カナダ企業が薬品開発を加速 (ニューズウィーク日本版, 3/1)
今夏マリファナ合法化から考えるカナダの狙いとマリファナの可能性 (トロントカナダの生活情報サイト TORJA, 5/5)
大麻合法化、米各州でさらに加速の見通し (Forbes, 5/13)
関連: てんかん治療にマリファナ由来の新薬が承認へ──立役者となった16歳少年の「長く困難な道のり」 (WIRED, 5/19)
》 仮想通貨 Watch 創刊の挨拶 (竹元 かつみ / 仮想通貨 Watch, 5/22)。もはや「暗号通貨 Watch」 にはできないわけですね……。
Spectre / Meltdown の新たな変種 Variants 3a と Variants 4 が確認されたそうです。
Corresponding CVEs for Side-Channel Variants 1, 2, 3, 3a, and 4 are found below:
- Variant 1: Bounds Check Bypass – CVE-2017-5753
- Variant 2: Branch Target Injection – CVE-2017-5715
- Variant 3: Rogue Data Cache Load – CVE-2017-5754
- Variant 3a: Rogue System Register Read – CVE-2018-3640
- Variant 4: Speculative Store Bypass – CVE-2018-3639
Variant 1, 2 が Spectre、Variant 3 が Meltdown と呼ばれていたもの。
Intel: Q2 2018 Speculative Execution Side Channel Update、 Addressing New Research for Side-Channel Analysis: Details and Mitigation Information for Variant 4
ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
Variant 3a は Cortex-A15, Cortex-A57, Cortex-A72 に影響。 Variant 4 は Cortex-A57, Cortex-A72, Cortex-A73, Cortex-A75 に影響。
Microsoft: ADV180012 / CVE-2018-3639、 ADV180013 / CVE-2018-3640
Red Hat: CVE-2018-3639、 CVE-2018-3640
》 IPv6本 脱稿しました (Geek なぺーじ, 5/10)
》 Black Hat USA 2018 でのトレーニング提供 (IIJ-SECT, 5/16)
》 PoSマルウェア「TreasureHunter」のソースコードがオンラインに流出 (THE ZERO/ONE, 5/18)
》 クレイジーフットボール (壇弁護士の事務室, 5/13)。「というわけで、フェアプレイは精神だけではなく、法律上の義務なのである」。
》 Sysmon v7.03 (Sysinternals Site Discussion, 5/14)
》 国内組織のキャンペーンやアンケートに偽装したなりすましメールについてまとめてみた (piyolog, 5/14)
野村不動産の過労死認定、特別指導報告前に方針 厚労省 (朝日, 5/8)
過労死4年前、野村不動産を調査 労基署、違法見抜けず (朝日, 5/17)
裁量労働制は適用できる業務が法律で決まっているが、対象者の実際の働き方を詳しく見ないと適切な適用かどうか判断できず、取り締まりが難しいとされる。主要野党は「いったん導入されると乱用が見抜けない」と指摘。政府が働き方改革関連法案で導入を目指す、高収入の一部専門職を労働時間規制から完全に外す「高度プロフェッショナル制度」にも同じ懸念があるとして反対している。
この懸念が実際に発生して死者が出たのが本件だ、と。
野村不動産 過労自殺 「特別指導」まで労災認定延期 「通常2週間」が3カ月も (しんぶん赤旗, 5/10)
話題の「Coinhive」とは? 仮想通貨の新たな可能性か、迷惑なマルウェアか (ITmedia, 2017.10.11)
緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない (高木浩光@自宅の日記, 5/19)
JavaScriptを使った仮想通貨マイニングの感染拡大 (FortiNet, 2/7)。攻略したサイトに仕掛ける話。
『ブラウザを終了してもマイニングし続けるマルウェア』 (CoinDatabase.net, 2017.12.02)
》 ルータの設定を変更する攻撃、iOSやPCも標的に--言語も27種類に拡大 (ZDNet, 5/21)
》 左右や後方も一度に撮影、全方位ドライブレコーダーがすごい (マイナビニュース, 5/20)
》 2億件以上の日本人個人情報、中国の闇サイトで販売 ファイア・アイが調査 (Internet Watch, 5/18)
》 モナコインのブロックチェーン、攻撃受け「巻き戻し」 国内取引所も警戒 (ITmedia, 5/18)、モナコインへの攻撃について(Block withholding attack) (ビットコイン研究所ブログ, 5/18)。理論的に予想されていた攻撃「Block Withholding Attack」が実際に行われた事例。
この攻撃への対策ですが、Powである以上あまり対策がありません。一定の人が多くのハッシュパワーを持ってしまった場合、このような事態が起こりえます。
モナコインの開発者のワタナベ氏も、「PoWコインである以上は避けられない問題」であるとして、承認数を上げる以外に有効な手段はないとしています。
》 Facebook日本語版誕生から10年――個人データ不正利用事件を受けてフェイスブックジャパンはどう向き合うのか (Internet Watch, 5/21)
》 Yahoo! JAPAN、パスワードでログインできなくなる新機能を提供開始、“リスト型”不正アクセスを防止 (Internet Watch, 5/18)
Windows, Mac, Linux などの OS の開発者が AMD, Intel のデバッグ文書の解釈をことごとく誤り、結果として local user による権限上昇が可能な欠陥が発生した模様。 Tabata さん情報ありがとうございます。 CVE-2018-8897
詳細については、VU#631579 - Hardware debug exception documentation may result in unexpected behavior (US-CERT) を参照。VU#631579 だと Windows はまだ直ってないことになってるけど、 CVE-2018-8897 | Windows Kernel Elevation of Privilege Vulnerability によると 2018.05 patch で直っているようで。Mac, Linux, FreeBSD も修正が出ている。
PoC: Arbitrary code execution with kernel privileges using CVE-2018-8897 (GitHub)
一部無線LAN製品におけるDnsmasqの脆弱性 (Buffalo, 2018.05.16)。ファームウェアを更新してください。
ASUS製Wi-Fiルーター「RT-AC1200HP」など3製品に脆弱性、最新ファームウェアの適用を (Internet Watch, 2018.05.15)
WordPress 4.9.6 プライバシー・メンテナンスリリース (WordPress, 2018.05.19)。GDPR 対応。
PostgreSQL 10.4, 9.6.9, 9.5.13, 9.4.18, and 9.3.23 released! (PostgreSQL, 2018.05.10)。CVE-2018-1115 を修正。
JVN#96954395 - Nessus におけるクロスサイトスクリプティングの脆弱性 (JVN, 2018.05.21)。Nessus 7.1.0 で修正。
RTSP bad headers buffer over-read (cURL, 2018.05.16)。cURL 7.60.0 で修正。
FTP shutdown response buffer overflow (cURL, 2018.05.16)。cURL 7.60.0 で修正。
BIND 9.12.xの脆弱性(サービス性能の劣化及びDNSサービスの停止) について(CVE-2018-5737) - バージョンアップを強く推奨 - (JPRS, 2018.05.21)。BIND 9.12.1-P2 で修正。
BIND 9.12.xの脆弱性(DNSサービスの停止)について(CVE-2018-5736) - バージョンアップを強く推奨 - (JPRS, 2018.05.21)。BIND 9.12.1-P2 で修正。
PowerDNS Authoritative Serverの脆弱性情報が公開されました(CVE-2018-1046) (JPRS, 2018.05.11)。 PowerDNS Authoritative 4.1.2 で修正。
》 無線LANの5.2GHz帯(W52)、屋外利用を可能に、電波法施行規則を改正へ (Internet Watch, 5/17)
今回の改正により、W52もW56同様に、アクセスポイント側の最大e.i.r.pを1Wに引き上げ、屋外での利用を可能とすることを目指す。なお、子機側の出力は200mWのままとなるが、利用にあたって免許や登録は不要。一方、アクセスポイント(基地局)、陸上移動中継局(中継器)の設置には、免許と登録の手続きが必要となる見込み。また、W53に関しては、引き続き屋内のみの利用となる。
関連: 電波法施行規則の一部を改正する省令案等に関する意見募集の結果 及び電波監理審議会からの答申 (総務省, 5/9)
》 「Google Chrome 69」からはHTTPSが“当たり前”に 〜“保護された通信”ラベルを除去 (窓の杜, 5/18)
》 Yahoo! JAPAN、パスワードでログインできなくなる新機能を提供開始、“リスト型”不正アクセスを防止 (Internet Watch, 5/18)
》 国会図書館のデジタルコレクション約34万点がIIIFに対応、他機関のデジタル画像との比較も容易に (Internet Watch, 5/18)
》 今年10周年を迎えるAndroidが「フラグメンテーション(断片化)」の撲滅に追い打ちをかける(石川温) (石川温, 5/10)
これまで、キャリアは自分たちの仕様やサービスのアプリをメーカーに押しつけてきた。メーカーはBSPの完成を待ったあとは、キャリアのサービスに新しいOSのバージョンが対応できるかに、労力とコスト、時間をかけてきた。(中略) 我々、日本のユーザーにとって「最近のAndroidをいち早く使えるかどうか」は結局、キャリア次第ということになりそうだ。
関連: 国内Android関連開発市場が周回遅れになっている件 (山本一郎 / Yahoo, 5/12)
》 ヘイトが集まる内閣府サイトの実態、元「国政モニター」が証言 (BuzzFeed, 5/7)
日銀 物価2%達成時期を削除 超低金利は維持 決定会合 (毎日, 4/27)
日銀 物価2%目標「期限でなく見通し」達成困難と認める (毎日, 4/27)
日銀:物価2%達成時期削除、期限でなく見通し-金融政策は維持 (ブルームバーグ, 4/27)
漂流する日銀物価目標、誰も「もう十分」と言えない事情 (ダイヤモンド ONLINE, 4/28)
黒田・日銀総裁 金融緩和修正を示唆 物価目標達成前に (毎日, 5/16)
日銀が物価目標達成時期を「削除」したのは説明責任の放棄だ (高橋洋一 / ダイヤモンド ONLINE, 5/17)
日銀が決断、インフレ目標達成時期予想の削除を評価すべき理由 (加藤 出 / ダイヤモンド ONLINE, 5/17)
》 RFC 3484 の呪い (JULYの日記, 2014.04.27)
「漫画村」に対して、講談社はなにをしてきたのか? 同社広報室室長が取材に答えた。 (BuzzFeed, 5/17)
漫画村等に実施されたブロッキングの“脆弱性”にプログラマー小飼弾氏が解説「まともなサイトもブロックの対象に」 (ニコニコニュース, 5/16)
海賊版ブロッキング問題、NTTグループに訴訟含みの申し入れを行ったのはカドカワ川上量生さんで確定 (山本一郎 / Yahoo, 5/16)
海賊版サイト 「漫画村」捜査に着手 著作権侵害容疑 福岡県警など (毎日, 5/14)。今からかい!
カドカワ川上量生社長が語る、サイトブロッキングの必要性 (浅川 直輝 / 日経 xTECH, 5/16) (魚拓)
漫画家・赤松健さんに聞いた、「海賊版サイトをつぶす唯一の方法」 (ITmedia, 5/11)
サイトブロッキングも広告収入を断つ方法も、回避策があるのであまり意味がない。海賊版サイトをつぶす唯一の方法は、出版社横断の公式で便利な漫画プラットフォームを提供すること。
「NTTを訴えていいかと相談あった」、NTT鵜浦社長が語るブロッキング決断の理由 (浅川 直輝 / 日経 xTECH, 5/11)。相談したのはカドカワ川上量生氏ということが後に判明。
》 映画『ウィンストン・チャーチル/ヒトラーから世界を救った男』は10億人の人の歴史を踏みにじる (Bedatri Datta Choudhury / BuzzFeed, 5/12)。「英国に植民地として支配された歴史を持つインドから見れば、チャーチルは何百万人ものインド人を餓死させた人種差別主義者とうつるのだ」。ベンガル飢饉の件。
関連:
チャーチルのインド人嫌悪、歴史的飢饉の原因に 印新刊が告発 (AFPBB, 2010.09.11)
こうして1943年、「人為的」に起きたベンガル飢饉では300万人が餓死し、英植民地インドにおける暗黒の歴史となっている。インド人作家マドゥシュリー・ムカージー(Madhusree Mukerjee)氏(49)は最新刊『Churchill's Secret War』(チャーチルの秘密の戦争)で、この大飢饉の直接的な責任はチャーチルにあることを示す新たな証拠を暴いたと語る。
》 核兵器の維持訴え、口つぐむ日本政府 オバマ政権時、09年の米議会諮問委 (朝日, 5/14)
》 公文書クライシス 防衛省ファイル名 「上の指示」で抽象化 ずさん管理の温床、職員嘆き (毎日, 5/13)。「情報公開に後ろ向きな省内の空気が背景にある」
》 ついに行われた米国サイバー軍の昇格 自衛隊はついていけるのか (ニューズウィーク日本版, 5/10)
》 自衛隊の危機 01 ―なぜ、ネトウヨの浸透を許しているのか- (Project Army / VICE, 4/15)、 自衛隊の危機 02 ―彼らは〈戦争〉を始めようとしているのか?― (Project Army / VICE, 4/21)、 自衛隊の危機03 ―憲法9条2項とアメリカ合衆国― (Project Army / VICE, 5/2)
》 夏がくる!「車内放置の子供救う」ため窓ガラスを割ります マルハン張り紙が話題 法的問題は... (J-CAST, 5/11)
》 人気Twitterアカウント「アボガド6」さん、「まる」さんがアカウント凍結 DMCAの悪用による虚偽申請が原因か (ねとらぼ, 5/12)
》 「セクハラ罪という罪はない」の答弁書、政府が閣議決定 (朝日, 5/18)。馬鹿なの?
「セクハラ罪ない」発言は不適切 野田総務相が批判 (朝日, 5/11) だったのにねえ。
西暦にしようよ。。。 (togetter, 5/13)。ほんとそれ。
改元後も「平成」利用へ 納税や年金システム、混乱回避 (朝日, 5/13)。ハァ?
新元号公表は改元1カ月前 政府、システム移行で想定 (東京, 5/18)。ハァ??? もっと早く公表しなさいよ。
新元号公表、改元1カ月前に システム改修対応促す (日経, 5/17)。促したいなら、もっと早く公表しなさいってば。 馬鹿なの?
》 標準規格なき超音波通信、その危険な“無法地帯”の潜在力 (WIRED, 5/7)
》 日本の刑務所が抱える「受刑者引きこもり」という深刻な問題 「松山刑務所逃走事件」から見えたこと (原田 隆之 / 現代ビジネス, 5/12)
》 機械学習によって暗い場所で撮影された真っ暗な写真を超鮮明に修正可能な技術が開発される (gigazine, 5/11)
》 ゲーム機に貼られている「剥がすと保証は無効」シールについて任天堂やソニーが保証を見直し (gigazine, 5/14)
》 「こんな戦争はもうたくさん」シリア・東グータ 市民記者の訴え (玉本英子 / Yahoo, 5/13)
》 格安SIMユーザーの苦悩 通信速度より優先すべきは「通信の秘密」 (宮田健 / ITmedia, 5/15)。「通信の最適化」の件。
関連: mineoの「通信の最適化」は何が問題なのか? (田中聡 / ITmedia, 5/15)
》 性的少数者 LGBT取材「知識不足」 課題を指摘 (毎日, 5/15)。性的指向 (LGB) と性自認 (T) の区別がついていないなど。
》 安倍首相の「5年半分の映画動静」を新聞読み比べ芸人が深読みする (プチ鹿島 / 現代ビジネス, 5/15)
》 働き方改革「時間でなく成果」はやはり虚偽だった (渡辺輝人 / Yahoo, 5/16)
》 Turkish Twitter users targeted with mobile FinFisher spyware (Virus Bulletin, 5/15)
》 特別リポート:加熱式たばこiQOSに喫煙データ収集機能 (ロイター, 5/16)
》 半数が「10回以上セクハラを経験」 調査が示したメディア業界の実態 (BuzzFeed, 5/17)
調査が示したのは、セクハラの加害者は社会的地位が高い場合が多く、その立場を利用した「パワハラ」の要素もあることだ。
》 森友問題スクープ記者を“左遷” NHK「官邸忖度人事」の衝撃 (日刊ゲンダイ, 5/17)
》 日本人は「人口減少」の深刻さをわかってない 経済だけでなく社会全体の士気も弱っていく (岩崎 博充 / 東洋経済, 5/9)
日大から関学大への回答全文 アメフト違反行為問題 (朝日, 5/17)
アメリカンフットボール 悪質タックル 「日大とは信頼崩壊」 関学大「疑念解消できず」 (毎日, 5/18)
アメリカンフットボール 悪質タックル回答 日大、監督指示を否定 乱暴行為教えていない/指導の真意伝わらず (毎日, 5/18)
アメフット 悪質タックル、文科相「看過できず、危険」 (毎日, 5/18)
社説 アメフットの悪質タックル 日大監督はなぜ説明せぬ (毎日, 5/18)
》 グーグル、「Android」端末メーカーに定期セキュリティパッチの提供を義務づけへ (CNET, 5/14)。Google I/O で発表。具体的にいつからなのかは不明。
》 Windows 10 April 2018 Update (バージョン 1803) のよくある質問 (Microsoft コミュニティ)、 Intel SSD 600p シリーズ、または Intel SSD Pro 6000p を搭載したデバイスで Windows 10 April 2018 Update にアップデートすると UEFI 画面で再起動やクラッシュが繰り返されることがあります (Microsoft コミュニティ)
日本大学の選手による試合中の重大な反則行為について (関東学生アメリカンフットボール連盟, 5/10)
弊連盟では、5月9日に開いた理事会で本件について協議し、以下の通り決定しました。
①当該選手の1回目の行為は、その後の検証の結果、試合中に審判クルーが下した「アンネセサリーラフネス(不必要な乱暴行為)」を超えるものである。公式規則第9篇第6章の「ひどいパーソナルファウル」に記載されている、競技団体による追加的な制裁が必要と判断し、競技団体である弊連盟として、追加的な処分の内容が確定するまでは、当該選手の対外試合の出場を禁止する。
②日本大学の指導者は、スポーツマンシップに則り、公式規則を遵守し、重要な規律をプレーヤーに継続して教えねばならないとして、厳重注意とする。
③一連の反則行為につき、調査・報告を行う為に規律委員会を理事会内に設置する。
今後は上記③の通り、速やかに規律委員会を設置し、詳細な調査を行った上で最終的な対応を決定する運びです。
現在の状況につきまして (関東学生アメリカンフットボール連盟, 5/16)。 「規律委員会の調査が終了し、それを受けて理事会が処分の最終決定をするまで、もう少し時間を要します」
タックル実行選手は内田正人監督から指示があったと証言。 内田正人監督はこれを否定。
クローズアップ2018 日大アメフット悪質タックル 名門「闘志」履き違え SNS通じ批判噴出 (毎日, 5/16)
複数の関係者は、このプレーが日大の内田正人監督の「指示だった」と証言する。守備選手は昨年の甲子園ボウルに出場した有望株だったが、今春は調子を落として、出場機会に恵まれていなかった。内田監督は定位置を確保するためには「最初のプレーでQBを壊せ」とあおったという。試合後、内田監督は「これが僕のやり方。うちは力がないから必死だ」などと強調したが、守備選手は後悔の念からか、涙を流した。
アメフット:日大・悪質タックル「監督の指示」(提供) (毎日, 5/15)。当該タックルの動画。
悪質タックルの日大選手、反則は監督指示「『やるなら出してやる』と言われた」/アメフット (スポニチ, 5/16)
日大アメフト監督、「(反則)やるなら出してやる」 (日刊スポーツ, 5/17)
日大、悪質反則証言に“食い違い” 選手「監督指示」も広報は全否定 (デイリースポーツ / Yahoo, 5/17)
日大主将ら監督の指示否定 「やるなら出してやると言われた」告白と裏腹 (スポーツ報知 / Yahoo, 5/17)
指示がなかったとすると、 なぜ 1 回目のラフプレー直後に退場させなかったのか、 2 回目のラフプレー後もなお続けさせたのは何故なのか、 の説明がつかないんだよな。
その一方、内田正人監督は記者会見も開かず雲隠れ。 内田正人監督は日本大学の常務理事でもある。
悪質タックル問題の日大監督は“雲隠れ” 12日関大戦に姿現さず (デイリースポーツ, 5/12)
日大タックル問題、常務理事・内田監督雲隠れに「大学の意思と思われる」深澤氏指摘 (デイリースポーツ, 5/16)
堀尾正明、日大回答は常務理事・内田監督のプレッシャーも想像「早急に会見すべき」 (デイリースポーツ / Yahoo, 5/17)
常務理事の紹介 (日本大学)。「内田 正人(人事〈含む男女共同参画〉担当)」。 うわ、人事かよ。 まさにモリ・カケと相似じゃないか。
日本大学回答書 (5/15) を受け、関西学院大学記者会見 (5/17)
日大アメフット部 解体危機、悪質タックル問題 監督続投なら選手ボイコットも (スポニチ / Yahoo, 5/17)
独占入手!タックル謝罪文 日大・内田監督、自身の指示には触れず「選手が違反行為」 (スポーツ報知 / Yahoo, 5/17)
関学大・鳥内監督 直接謝罪ない内田監督に怒り「同じ指導者として受け入れられない」 (スポニチ / Yahoo, 5/17)
なぜ突然、悪質な行為に及んだのか/関学大見解 (日刊スポーツ, 5/17)
アメフット 日大回答は「疑念を解消できず」 関学大会見 (毎日, 5/17)、 アメフット 関学大「日大との信頼関係は完全に崩壊」断言 (毎日, 5/17)
アメフット 「非常に悪質だ」関学大の記者会見・一問一答 (毎日, 5/17)
名門校、悪質タックルなぜ 日大選手の目線は何を追っていたのか アメフト (朝日 / 榊原一生, 5/17)。日大側の動きが不自然、という指摘。
関学大が提供したものとは別に、観客席側から撮影された映像がユーチューブにある。パスを投げた後、多くの人は普通は球の行方を目で追うが、日大ベンチの一部の選手、コーチは球ではなく、守備選手の動きを注視しているように見えた。日大の学内調査で監督、守備選手ともに指示は否定しているが、不自然に感じる。
悪質タックル問題「傷害罪にあたる可能性が高い」【弁護士の見解】 (デイリースポーツ / Yahoo, 5/17)。徳原聖雨弁護士の見解 (5/16)。
川淵氏、悪質タックルに嘆き「なんと愚かな日大アメラグ選手の行為か」 (デイリースポーツ / Yahoo, 5/17)
過去にNFLでも。日大アメフット悪質タックル問題への処分はどうすべきか? (TNE PAGE / Yahoo, 5/15)
》 行政の単純業務、自動代行ソフトで8割減 茨城・つくば (朝日, 5/13)。「RPA (Robotic Process Automation) を活用した定型的で膨大な業務プロセスの自動化」。
開始時の記事
つくば市がNTTデータ、クニエ、JIPとRPA活用による自治体の業務プロセス自動化研究を開始 (Enterprise Zine, 1/11)。「つくば市とNTTデータ、クニエ、日本電子計算株式会社(JIP)」
つくば市 AIロボがデータ移行作業 3社と実証研究へ (毎日, 1/12)
自治体の RPA 活用推進に向けた共同研究を開始 (つくば市, 1/11)。公募した結果、NTT データグループが選定されたそうで。WinActor/WinDirector を導入して実現。
結果
【つくば市】自治体で全国初:RPAで働き方改革。対象業務で約8割の時間削減 (NTTデータ / PR TIMES, 5/11)
自治体で全国初:RPAで働き方改革。対象業務で約8割の時間削減 (つくば市, 5/10)
RPAを活用した定型的で膨大な業務プロセスの自動化 共同研究実績報告書 (つくば市, 5/10)
》 今さら聞けない大阪都構想。効果なし、しかし費用はかかる。
》 【翻訳】「シリコンバレーから生まれた最高の文書」と絶賛されたNetflixのカルチャーガイド全文 (BppLOG, 5/16)
》 グーグル社員、抗議の一斉辞職「ドローン軍事利用」に反発 (Forbes, 5/15)
》 次期Windows 10ではアンチウイルスソフトは保護されたプロセスでの実行が必須に (PC Watch, 5/17)、 Announcing Windows 10 Insider Preview Build 17672 (Windows Blog, 5/16)
》 EU 一般データ保護規則、まもなく施行。 EU-GDPR (General Data Protection Regulation)。5/25 から。
EU General Data Protection Regulation (EU-GDPR) Table of contents (EU)
EU 一般データ保護規則(GDPR)について (JETRO)
GDPRとは? Web担当者やWebアナリストはどう対処すればいい? (Web 担当者 Forum, 5/17)
EU一般データ保護規則(GDPR)の概要(前編) (NTT DATA, 2017.10.25)、 EU一般データ保護規則(GDPR)の概要(後編) (NTT DATA, 2017.11.24)、 EU一般データ保護規則(GDPR)の適用範囲について (NTT DATA, 5/14)、
知らないとマズい - 最大約 26 億円の制裁金や個人情報利用停止措置を伴う「GDPR」施行まであと一週間 (トレンドマイクロ セキュリティ blog, 5/17)
Google、GDPR施行に向けた新プライバシーポリシーを公開 (ITmedia, 5/14)、 Google プライバシーポリシー (Google)
GDPR 施行間近、パートナーに遵守を求めるマーケター (DIGIDAY, 5/15)
GoogleのGDPR向けアップデート、戦々恐々のメディア業界:「どこも安泰ではない」 (DIGIDAY, 5/17)
一般データ保護規則 (GDPR) センター (AWS)
GDPRへのコンプライアンスについてのSlackの計画 (slack)
》 訃報: 西城秀樹さん (63)。 脳梗塞から 2 度帰還した男、急性心不全で逝く。早すぎるよなあ。 合掌。 ありがとうヒデキ。
歌手・西城秀樹さん死去 63歳 (スポニチアネックス / NTTドコモ, 5/17)
西城秀樹さん死去 63歳 最期まで「生涯歌手」 (日刊スポーツ / 朝日, 5/17)
西城秀樹さん死去、63歳…「ヤングマン」 (読売, 5/17)
西城秀樹オフィシャルサイト にも情報出ました。あぁヒデキ……。
》 On Premise MacOS Installer: Folder Insecurity Warning (Sophos, 5/8)
》 RFC 8145 Root Trust Anchor Reports (ICANN)
Research by Wes Hardaker at ISI has recently shown that a large portion of the addresses appearing in the RFC 8145 telemetry data as only having KSK-2010 as a trust anchor correspond to resolvers embedded in VPN software running on smartphones and personal desktop systems. Details of this research is expected to be published in the near future. In the meantime, the developer of the identified software has been alerted to the problem and is extremely likely to update their software to include KSK-2017 soon; it is also expected that their users are likely to update their software before 11 October 2018.
具体的には、どのようなソフトなのだろう。
詳細については https://efail.de/ を参照。CVE-2017-17688 CVE-2017-17689
VU#122919 - OpenPGP and S/MIME mail client vulnerabilities (US-CERT, 2018.05.14) を見ると、影響ありがずらっと並んでいる。 Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0) (efail.de) の p.11 にアプリリストあり。
発見者からは、この問題への影響を軽減するための対策・回避策として、使用しているメールクライアントで次のような対応を実施することが挙げられています。
(1) メッセージの復号をメールクライアント以外の環境で行う
(2) HTML レンダリングを無効にする
(3) メッセージに含まれるネットワークのリソース (アクティブコンテンツや、リモートコンテンツなどと呼ばれることがあります) を自動で読み込まないよう設定する
(4) パッチ、アップデートを適用する
(4) は、 https://efail.de/ では「medium term mitigation」と分類されているし、 VU#122919 - OpenPGP and S/MIME mail client vulnerabilities には載ってないんですよね。 現時点では存在しないのでは。
しかしこれ、根本的な対応 (= 規格改訂 + 実装) には時間がかかりそうだ。
MFSA 2018-13 - Security vulnerabilities fixed in Thunderbird 52.8 (Mozilla, 2018.05.18)。 Reporter に挙げられている名前を見る限りでは、 CVE-2018-5184: Full plaintext recovery in S/MIME via chosen-ciphertext attack は本件の修正であるようだ。
47 件のセキュリティ欠陥を修正。 Priority Rating が 1 になっています。
| 種別 | 更新版 |
|---|---|
| Acrobat / Acrobat Reader DC (Continuous Track) | 2018.011.20040 |
| Acrobat / Acrobat Reader 2017 (Classic 2017) | 2017.011.30080 |
| Acrobat / Acrobat Reader DC (Classic 2015) | 2015.006.30418 |
APSB18-09 には Consumer という名前の Track があるのですが、 これまで Continuous と言われていたものとしか思えないし、 About 画面にもひきつづき Continuous という文字があるので、 上記では Continuous Track としています。
》 Windows 10 April 2018 Update 方面
2018 年 5 月 9 日 — KB4103721 (OS ビルド 17134.48) 適用対象: Windows 10 version 1803 (Microsoft)
「Windows 10」春のアップデート後のChrome不具合対応「KB4103721」に不具合か (ITmedia, 5/11)、 Windows 10“April Update 2018”の修正パッチで起動不能問題発生か (PC Watch, 5/11)
Windows 10 April Update 2018適用後、Intel製SSDシステムがクラッシュする問題が発生中 (PC Watch, 5/13)
》 「Google Duplex」の衝撃 機械と分からない話し方のAI (岡田陽子 / クラウド Watch, 5/14)。Do you read me, HAL?
関連: Google、AIによる予約電話代行への批判に「AIだと名乗らせる」と説明 (ITmedia, 5/11)
》 それってネット詐欺ですよ! システムが壊れているのでソフトをインストールするようにと表示された! (DLIS・柳谷 智宣 / Internet Watch, 5/11)
》 海の向こうの“セキュリティ” 2017年のサイバー攻撃に悪用された脆弱性トップ10/中CNNVDが脆弱性情報の公開日を改ざん? (山賀 正人 / Internet Watch, 5/11)
青森県六戸町が撤退し、利用自治体ゼロに
青森・六戸町が電子投票休止 コストが壁、普及せず (日経, 5/14)
「投票用紙方式のほうが圧倒的に安い」(六戸町)というコストの問題に加えて、03年に岐阜県可児市で実施した電子投票による市議選で機器のトラブルが起こり、裁判の結果、選挙が無効になったことなどが原因とされる。
まずはコストを下げられないと、普及しないでしょう。 お金は大切です。
電子投票 消える 最後の青森・六戸町が休止へ 割高レンタル費が普及の壁に (毎日, 4/4)
投票機の更新時期を迎えたが、電子投票普及協業組合は「採算が合わない」として更新を断念。昨年末、六戸町に「今後の供給は難しい」と連絡した。現在、電子投票ができる条例を制定しているのは六戸町など6市町村あるが、投票機をレンタルしているのは同組合だけのため電子投票は事実上、不可能となる。
コスト以前に、そもそも機器が提供されない事態に。 悲惨ですね。
岐阜県可児市の不具合の件。「MO」とか、時代を感じさせる文言が登場します。機器の冷却って大切ですね。
電子投票トラブルで選挙無効が確定 (ITmedia, 2005.07.08)
海老名市、京都市が撤退したときの話。 やはりコストが大きな要因のようです。
海老名市が電子投票“完全撤退”、県内初の導入も…新規参入なくコスト増/神奈川 (カナロコ, 2010.11.14)
今回の“完全撤退”の決め手になった要因の一つが電子投票実施した際の経費。
同市選管は「03年の選挙では、新規参入企業が利益を度外視した部分もあり、関連経費は約1100万円で済んだ。参入企業が増えなかったため、競争原理が働かず、現在は4千万円近くに膨らんでいる」という。これまで参入企業は最高4社あったが、現在は電子投票普及協業組合1社のみ。
消えてしまうかも…広がらない端末利用の電子投票 「コストかかりすぎ」廃止の京都市 (産経, 2015.09.06)
理由は2つある。まずは、コスト面だ。投票機のリース代などに約3600万円かかる一方、投票用紙や開票作業の節約効果は約100万円止まり。
もうひとつは、国政選挙への導入を目指す法案が平成20年に廃案になったことと。担当者は「京都市が単独でやっていても将来につながらない。最も手間のかかる国政選挙で導入されないと意味がない」と話す。
》 Prenotification security advisory for Adobe Acrobat and Reader | APSB18-09 (Adobe, 5/11)。5/14 (US 時間) に出る予定だそうです。 って明日じゃん。
出ました。ESR 52 系列をご利用の方は ESR 60 系列に移行してください。
リリースノート: Firefox 60.0、 ESR 60.0、 ESR 52.8.0、 Android 版 Firefox 60.0。
関連:
Firefox 60リリース。大量のパスワードを暗記不要にするWeb Authentication APIに対応 (engadget, 2018.05.10)
「Firefox 52 ESR」から激変! 新しい延長サポートリリース「Firefox 60」との違いをまとめました パフォーマンス向上、UI刷新。Windows XP/Vista対応の廃止、レガシーアドオンの廃止には注意 (窓の杜, 2018.05.11)
なお、一般向けの「Firefox 60」と法人向けの「Firefox 60 ESR」はほぼ同じものですが、いくつかの違いがあるります。“Firefox サイト互換性情報”によると、“Service Worker API”と“Push API”はコンテンツプロセスのマルチプロセス化に対応するために設計変更が続いていることから、無効化されているのだそうです。
Firefox 60 and Firefox 60 ESR Differences (ghacks.net, 2018.05.08)
セキュリティアドバイザリ: Firefox、 Firefox ESR。
MFSA 2018-11 - Security vulnerabilities fixed in Firefox 60 (Mozilla)。26 件。
MFSA 2018-12 - Security vulnerabilities fixed in Firefox ESR 52.8 (Mozilla)。10 件。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
Chrome 66.0.3359.170 公開。4 件のセキュリティ欠陥を修正。
Priority はいずれも 2 (Linux 用 Flash Player を除く)。
Security updates available for Flash Player | APSB18-16 (Adobe, 2018.05.08)。Flash Player 29.0.0.171 公開。 任意のコードの実行を招く欠陥 1 件 CVE-2018-4944 を修正。
Security updates available for Creative Cloud Desktop Application | APSB18-12 (Adobe, 2018.05.08)。Creative Cloud デスクトップアプリ 4.5.0.331 公開。 Creative Cloud デスクトップアプリの欠陥 2 件 (証明書の検証が不十分 CVE-2018-4991、権限上昇を招く CVE-2018-4992) を修正。 また 4.3.0.256 において検索パスがクォートされていない欠陥 CVE-2018-4873 が修正されていたそうで。
Security updates available for Adobe Connect | APSB18-18 (Adobe, 2018.05.08)。Connect 9.7.5 登場。 認証を回避してセンシティブ情報を取得できる欠陥 CVE-2018-4994 を修正。
》 EFF、ソーシャルメディアのコンテンツ削除、アカウント凍結に透明性、説明責任、異議申立プロセスを求めるガイドライン「サンタクララ原則」を公表 (P2Pとかその辺のお話R, 5/8)
kawango2525さん、「通信の最適化/通信の秘密」について高木浩光さんにケンカを売りいろいろ言われる (togetter, 5/10)
「海賊版という認識なかった」 Anitubeに毎月広告費1300万円を支払っていた代理店が取材に応じた (ねとらぼ, 5/9)
》 幻の科学技術立国 第1部 「改革」の果てに/6 トップダウンの大型研究 「生産性革命」の名の下に (毎日, 5/10)。「公募の裏で候補者選定」
第2期SIPの18年度分として325億円が盛り込まれた17年度補正予算は2月に成立。早期執行を目指す内閣府は3月、わずか2週間の募集期間で12課題のPDを公募した。毎日新聞は、公募の裏側で内閣府がひそかにPD候補者を決め、候補者だけに詳細な資料を提供していたことを示す内部資料を入手した。
》 東電旧経営陣強制起訴 第11回公判で島崎邦彦氏が「長期評価に基づく対策が取られていれば、原発事故は起きなかった」と証言 (5/9)
東電強制起訴公判 「対策取れば防げた」地震専門家が証言 (毎日, 5/9)
東日本大震災 福島第1原発事故 強制起訴公判 「対策取れば防げた」地震専門家が証言 (毎日, 5/10)
元規制委員 内閣府から修正「圧力」 原発事故公判 津波地震 長期評価巡り (東京, 5/10)
「対策とれば事故起きず」地震学者が証言 東電公判 (日経, 5/9)
詳報 東電 刑事裁判「原発事故の真相は」 (NHK)
》 また「ない」→「あった」 南スーダンPKO動画を開示 (朝日, 5/10)、 防衛省 陸自の南スーダン動画開示「探索不十分だった」 (毎日, 5/11)
》 防衛省 暴言の統幕3等空佐を訓戒処分 懲戒処分は見送る (毎日, 5/8)。政治的行為であったと認めず。軽い、実に軽い。
過去の処分事案も参考に訓戒を適用し、今月中旬に3佐を航空自衛隊西部航空方面隊司令部に異動させる。
人事発令 にはまだなさげ。 関連:
中間調査結果 (4/24) (web には掲載されてないみたい?)
防衛省、暴言問題で異例の対応 処分前に調査の一部公表 (朝日, 4/24)
3等空佐暴言 議事堂前、小西議員との経緯再現 (毎日, 4/24)
自衛隊3佐 暴言 「国民の敵だ」発言否定 防衛省が供述公表 (毎日, 4/25)
(社説)自衛官の暴言 訓戒処分では軽すぎる (朝日, 5/11)
首をかしげるのは、処分の理由が自衛隊法58条の「品位を保つ義務」違反とされ、61条に定めた「政治的行為の制限」違反を認めなかったことだ。
防衛省の聴取に、3佐は「国民の敵」とは言っていないと主張したが、「あなたがやっていることは日本の国益を損なう」「馬鹿」「気持ち悪い」などの発言は認めた。安全保障関連法に強く反対した小西氏について「政府・自衛隊とは違う方向での対応が多い」と認識していたという。これが「政治的行為」でないというのは、ふつうの感覚では理解に苦しむ。
防衛省の3等空佐が (吉田賢治 / 西日本新聞, 5/11)
》 タテカンだめなら「寝看板」 京大らしい?攻防続く (朝日, 5/9)
》 (けいざい+ WORLD)トルコ原発、三菱重憂うつ 無理な電力料金、採算合わず (朝日, 5/10)
当時、原発1基の建設費は5千億円と見込まれたが、東京電力福島第一原発事故後、各国で強化された安全規制によって、いま建設費は1基1兆円強に増加。シノップ原発は4基建設する計画なので、2兆円の建設費が4兆円強に跳ね上がった。
三菱重工が事業性を調査したところ、想定した電力料金を大幅に引き上げたうえで、トルコ政府が原発に資金支援しなければ採算が取れないことがわかった。
ただでさえ明日のない原発ですが、東電のおかげで致命的な製品に。
パートナーの伊藤忠は4月、撤退を決めた。経産省高官は「嫌ならやめればいい」と三菱重工を突き放す。宮永俊一社長の決断が迫られている。
MHI って、ほんと、そこらじゅうで失敗してるな……。
》 ニベア万能説。「ワックス代わり」「シール剥がし」「革靴の手入れ」・・・ (TBS ラジオ ジェーン・スー 生活は踊る, 5/9)。ダクトテープ的なアレだろうか。
》 まとめサイト「やらおん!」「オレ的ゲーム速報」をTogetterが名指し批判 無断転載で問われるまとめサイトの責任とは (ねとらぼ, 5/8)
》 クレジットカードのセキュリティコードも流出の可能性、森永乳業の情報漏洩 (日経 xTECH, 5/9)、 健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ (森永乳業, 5/9)
2018年4月24日、カード会社からカード情報が不正に使用されるという被害が生じている、との報告を受け、同日に当該サイトにおけるクレジットカード決済を停止しました。また、速やかに第三者調査機関「Payment Card Forensics 株式会社」(以下、PCF社)へ調査を依頼し、4月25日より調査を開始いたしました。調査結果につきましては5月末日までにPCF社より最終調査報告書を受領する予定です。
実害発生済ですか。
》 昨年度から回数倍増 「Jアラート訓練」いつまでやるのか? (日刊ゲンダイ, 5/11)。「開始は16日午前11時から」。とろくさ。
》 「存在しない事実で懲戒請求された」神原弁護士が請求者を提訴 (弁護士ドットコム, 5/9)。関連:
【5分でおさらい】ネトウヨの皆さんが弁護士に集団で懲戒請求中の件 (NAVER まとめ, 5/1)
弁護士 大量「懲戒請求」返り討ち 賠償請求や刑事告訴も (毎日, 5/10)
なぜ法律デマは出回るのか 約13万件、弁護士への組織的な「懲戒請求」を考える (深澤 諭史 / 弁護士ドットコム, 5/10)
》 niconicoにアカウントハッキング被害 運営が使い回しパスワードの変更検討を呼びかけ (ねとらぼ, 5/10)
》 「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで (ぼちぼち日記, 5/9)、 SSL/TLS暗号設定ガイドライン〜安全なウェブサイトのために(暗号設定対策編)〜 (IPA, 5/8 更新)
》 【結果】「改ざん」交ぜ書きが4割 ルビ付きと均衡 (毎日ことば, 5/11)
IE / Edge, Windows, Office, ChakraCore, Flash Player, Exchange, Windows Host Compute Service Shim。関連:
2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響 (Ask CORE, 2018.05.02)
ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス (Microsoft, 2018.05.09 更新)
2018 年 5 月 9 日更新:
Windows 10 バージョン 1607 および Windows Server 2016 を実行している場合は、CVE 2017-5715 (ブランチ ターゲット インジェクション) に対応する AMD プロセッサ用の追加のリスク軽減策として、セキュリティ更新プログラム 4103723 をインストールする必要があります。
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2018 年 5 月 (シマンテック, 2018.05.10)
(書きかけ)
》 Windowsでおなじみのテキストエディタ「メモ帳」が進化、何が変わるのか? (gigazine, 5/9)。Windows 10 の notepad.exe が CR+LF だけでなく CR (Mac 系) や LF (UNIX 系) のテキストに対応するのだそうで。 Insider Preview Build 17661 には実装済だそうで。
》 Blocking FTP subresource loads within non-FTP documents in Firefox 61 (Mozilla Security Blog, 5/7)
》 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を (高木浩光@自宅の日記, 5/4)。mineo の件。
》 小学2年生が学校で習ったLGBTQの表がTwitterで話題に (石壁に百合の花咲く, 5/5)
》 さりげなくゲイな算数の問題に称賛の声 (石壁に百合の花咲く, 5/5)
》 実践 CSIRTプレイブック ――セキュリティ監視とインシデント対応の基本計画 (O'Reilly)。5/19 発売予定。
》 東京大学中央食堂の絵画廃棄処分についてのお詫び (東京大学生協, 5/8)。宇佐美圭司氏の絵画「きずな」が廃棄されていた件。
同作品の廃棄処分は2017年9月14日に行われました。
廃棄されたのは今年ではなく昨年だったのですね。twitter で騒がれはじめた時には完全に遅かったと。
当該ページには 9 つの要因が記載されているのですが、筆頭はこれ:
1)中央食堂の改修工事を監修していただいた先生の「作品を残す方向で検討し、意匠上・機能上も問題のない新たな設置場所を確認した」というご意向が、検討の過程で情報として共有されなかったこと
うわ……。保存の方向でちゃんと考えられていたのに、無視したのですね。
報道:
東大生協、画家の大作を廃棄「重大さに思い至らず反省」 (朝日, 5/8)
東大生協 絵画処分で謝罪 食堂の改修工事で (毎日, 5/8)
》 Twitterに暗号化DM機能が隠されていた (techcrunch, 5/8)。Android 版に、だそうで。
》 Chapter 2: PuTTY を使うには :: 2.1.3 高DPIディスプレイの対応 (Ranvis)
Windows 10 Creators Update (winver.exeでのバージョン1703)以降では、次の設定を行うと通常の文字表示に関しては改善できる場合があります。 putty.exeファイルを右クリックし、「プロパティ」→「互換性」タブ→「設定」グループから、「高いDPIスケールの動作を上書きします。拡大縮小の実行元:」チェックボックスをチェックし、ポップアップメニューから「システム(拡張)」を選択します。
手元に高解像度の機械がやってきたので、これで逃れた。
〈月のはじめに考える-Editor's Note〉 出版業界はブロッキング問題で岐路に立っている (仲俣暁生 / マガジン航, 5/1)。興味深い。
電子マンガの流通に関わる大手事業者メディアドゥホールディングスは、4月13日に「インターネット上のマンガ等に関する海賊版サイトの影響と思われるマンガ出版事業、電子書籍流通事業に関する被害状況」をとりまとめて発表した。
このグラフからは2017年後半以後、電子マンガの売上に大きな変化が起きていることがたしかに見て取れる。ただし、このグラフは「伸び率」を示したものであり、電子マンガの売上が海賊版によって「減少」した事実はない。伸び率が150%から110%まで鈍化したことを、刑法37条のいう「緊急避難」の要件としうるかどうかは、判断が分かれて当然だろう。すくなくとも政府が「緊急避難」の理由として挙げた「電子コミック市場の売り上げが激減」という文言は誤りである。
大手出版社がここ数年、積極的に取り組んできた電子マンガ事業は、紙の雑誌やコミックスを前提としてきた従来の出版流通システムを、インターネット上に付け替えようとする一大プロジェクトだったといえる。東日本大震災後に行われた「コンテンツ緊急電子化事業」で電子化されたコンテンツの多くがマンガだったことも、こうした「付け替え」への意欲を強く感じさせるものだった(そしてここでも「緊急」という言葉が恣意的に使われた)。
(中略)
それほどまでに急いでデジタルシフトを進めている矢先に、降ってわいたように起きた「漫画村」をはじめとする海賊サイトの台頭は、大手出版社の立場からすれば、もっとも望ましくないものだった。売上減ではなく「伸び率の鈍化」であっても、彼らにとっては生死を分けるほどの出来事だったのだ。
海賊版サイトの「収入源根絶」、広告規制が対策の切り札 (若江雅子 / 読売, 5/7)
漫画村は日本だけの問題ではない、世界を覆うブロッキングとデータ保護主義 (寺田 眞治 / 日経 xTECH, 5/7)
最後に一つだけ指摘したい。2018年4月18日、ジュネーブにおいてWTOの電子商取引に関する第2回有志国会合が開催され、その場で日本の代表は「特定のウェブサイトやインターネットサービスに対する政府の一方的かつ恣意的な干渉は、当該国の消費者とサービス提供者の両方に重大な損失と負担を課すこととなる」として政府の干渉の排除を提案している。データの自由な流通を世界に対して表明した以上、自国内においても整合性の取れた施策を行うことが責任ある政府として期待される。
集英社は「海賊版サイト」に対してなにをしてきたのか? (播磨谷拓巳 / BuzzFeed, 5/8)
海賊版ブロッキング問題 憲法の観点から問題点を整理する (THE PAGE / BLOGOS, 5/5)。「京都大学大学院の曽我部真裕教授に、憲法の観点からブロッキング問題について寄稿してもらいました」。
関連?
AT&T、モデムのファームウェアアップデートでCloudflareのDNSをブロック (スラド, 5/7)。事故?
》 Windows 10 機能更新適用時に初期化される設定について (Ask CORE, 5/2)
ARJ形式書庫ファイルの圧縮・解凍DLL「UNARJ32.DLL」がv2.00に 〜脆弱性を修正 (窓の杜, 2018.05.07)
IntelのCPUに新たな8つの脆弱性が発見される、内4つは「高い危険性」との評価 (gigazine, 2018.05.07)。Spectre / Meltdown みたいな奴がまた見つかった模様。 そのうち続報が来るでしょう。
JVNVU#92147586 - 統合型 GPU に対する WebGL を利用したサイドチャネル攻撃 および Rowhammer 攻撃 (JVN, 2018.05.07)。Web ブラウザでの PoC では WebGL の高精度タイマーを利用するそうで。 CVE-2018-10229
Google Chrome および Mozilla Firefox はブラウザでの高精度タイマーを無効化したアップデートをリリースしています。
Chrome, Firefox の最新版では対応されている模様。
VU#283803 - Integrated GPUs may allow side-channel and rowhammer attacks using WebGL ("Glitch") (US-CERT, 2018.05.03)。Google, Mozilla に通知されたのは 2018.03.16 になっている。Microsoft (IE / Edge) は Not Affected になっている。
Android端末に「Rowhammer攻撃」、ChromeやFirefoxに脆弱性 (ITmedia, 2018.05.07)
GLitch (VUSec)
GNU Wget 1.19.5 released (GNU, 2018.05.06)
GNU Wget Cookie Injection [CVE-2018-0494] (oss-sec ML, 2018.05.06)
》 群馬県警の警部補を指名手配 店の現金奪った強盗の疑い (朝日, 5/5)。「県警は警部補の氏名などを明らかにしていない」。えぇっ?!
》 警官にうそ発見器、手がかりなし…署内現金盗難 (読売 / Yahoo, 5/6)。広島県警広島中央署、証拠品の現金 8500 万円盗難事件。 裏金金庫に入ってるんじゃないの?
》 「誰でもサイバーテロ」時代の半導体信頼性技術 〜「電子機器・集積回路の信頼性に関する国際シンポジウム」から (福田昭 / PC Watch, 5/7)
》 年金機構、データ入力を別の中国系企業に委託 「時間ない」入札せず (産経 / Yahoo, 5/6)。わけがわからないよ。
》 サイトブロッキング関連情報(β) (http451.net)。これはすごい……。
》 行政文書か「個人のメモ」か 政府内のメールどう残す (朝日, 5/5)。関連:
奥山俊宏さんのツイート:
(1)私用メールを公務に使ったときはそれの公用メールへの転送を義務づけ、(2)その公用メールをすべて7年間保存し、(3)このうち幹部職員のメールは公文書館に移管して永久保存する、のが米政府のおおかたの運用。→行政文書か「個人のメモ」か政府内のメールどう残すhttps://t.co/UOYrHC9yPy
— 奥山俊宏 (@okuyamatoshi) 2018年5月5日
》 山口達也さん「契約解除」 ジャニーズ事務所がFAXで発表(全文) (ハフポスト, 5/6)
》 ハニーポットは見た。パスワードに非 ASCII 文字だと!? (www.morihi-soc.net, 5/1)
》 ひとつの本屋で起きたこと。 (本屋でんすけ にゃわら版, 5/3)
mineoが「通信の最適化」・帯域制御を実施していることが発覚ー通信の秘密 (なか2656のblog, 5/5)
通信の最適化に関する事前の情報公開未実施のお詫びについて (マイネ王, 5/7)
通信の最適化の実施内容について (マイネ王, 5/7)
F@L さんのツイート (ここからはじまる一連のツイートをご参照ください):
mineoの透過HTTPプロキシの件、80/tcpだけじゃなく8080/tcpも対象みたい。10080/tcpは対象外か。透過プロキシなので、tcptracerouteの結果が狂う。本当は80も8080も開いてない宛先です。 pic.twitter.com/rag4tDDX7L
— F@L (@falms) 2018年5月5日
》 【大川小津波訴訟】 石巻市上告へ 学校側の事前防災の過失認定に不服 (産経, 5/7)。ひどい。
》 浜崎あゆみさん、東京レインボープライドで熱唱「マイノリティのひとりとして歩みたい」 (笹川かおり / ハフポスト, 5/6)
》 今まで異性が好きだったのに、初めて同性に恋をして思ったこと (BuzzFeed, 5/7)
》 妊娠退学を勧める教師は晴れて「法令関係なく勝手にやっている」ことになりました (駒崎弘樹 / BLOGOS, 5/4)
もし皆さんの周りで、妊娠した女子生徒に退学を遠回しにでも勧めるような教師がいたら、彼/彼女に伝えてあげてください。
「あなたのやっていることは、法的に全く根拠を欠いています。ということは、あなたが勝手に判断して行動していることなので、あなたに法的な責任が生じます。責任取れるんですね?」と。
》 Windows 10 RS4のSSHを理解する【原理編】 (塩田紳二 / ascii.jp, 5/6)
》 「朝ごはんは食べたか」→「ご飯は食べてません(パンは食べたけど)」のような、加藤厚労大臣のかわし方 (上西充子 / Yahoo, 5/7)。とにかくひどい。誠実さのかけらもない。
》 裁量労働制のねつ造された比較データ、バレないための隠蔽プロセスを検証(第1回)(全5回) (上西充子 / Yahoo, 5/4)、 (第2回)(全6回予定) (上西充子 / Yahoo, 5/5)、 (第3回)(全6回予定) (上西充子 / Yahoo, 5/5)、 (第4回)(全7回予定) (上西充子 / Yahoo, 5/7)。
》 2000人以上のサッカーファンが監視カメラを使った顔認識システムによって犯罪の容疑者と誤判定されていたことが判明 (gigazine, 5/7)。2017.06 のイベント。
UCL決勝戦当日、AFRによって犯罪の容疑者と判定された人物は全部で2470人にのぼりましたが、そのうち2297人が誤認だとわかりました。(中略) 南ウェールズ警察は、顔認識技術が一般の人を犯罪者と誤認してしまうのはUEFAやインターポールなどから提供された容疑者リストの画質が悪いためだと分析していて、顔認識技術のアルゴリズムはアップデートでより正確になったとしています。
元データがあいまいなのが原因だと。
》 最も「安全」なメッセンジャーアプリ「Signal」がGoogleに続いてAmazonからもBANされ一部の国で利用不可能な状態になる (gigazine, 5/7)
》 後悔しないSSL化!証明書の選択基準と安全なサイト構築ための導入手順 (マカフィー, 5/5)
2018年3月時点で世界のインターネット上の通信のうちSSL 通信は60%を超えています。
リンク先である HTTPS Requests (Report: State of the Web) は「The percent of all requests in the crawl whose URLs are prefixed with https.」なので、「世界のインターネット上の通信のうち SSL」なものではなく、リクエスト URL のうち https: ではじまるものの割合。Desktop: 62.9%、 Mobile: 63.9%。この 1 年間で 20 ポイントほど増えているのですね。
》 安倍首相、「日米電話首脳『会談』」の捏造&水増しをトランプ大統領に大曝露されてしまう (Buzzap!, 4/30)
》 【世界的に蚊帳の外】スエーデン、ポーランド、ドイツなど欧州各国が、朝鮮半島の緊張緩和のため水面下で動いていたことが判明!EU外交筋「最も影響力がないのが日本」(日経新聞) (健康になるためのブログ, 4/29)
》 第512号コラム「公文書の改ざん事案から経営層が学ぶべきこと〜公益通報者保護の必要性」 (佐藤 慶浩 / デジタル・フォレンジック研究会, 4/30)
仕組みを検討するとき、公益通報保護は、命令順守義務に対する免責と言える。情報セキュリティ対策においては、免責制度を併用することが有用であることについて、第323号コラム「情報セキュリティ対策の見直し:システム管理者の不正行為に対処せよ」で紹介したことがある。免責あるいは免罪という概念は、日本人にとって感情的に馴染みにくいものかもしれない。しかし、不正を未然に防ぐために、免責は劇薬と言えるものだが不可欠なものである。
》 17万人の現役自衛隊員が所属する「隊友会」が日本会議と連携し、改憲署名運動を推進していたことが判明 (Buzzap!, 5/7)
お分かりでしょうか?17万人という現員の3/4に当たる現役自衛隊員を賛助会員として抱える公益社団法人が、自衛隊の施設で堂々と改憲署名運動の推進という「政治的行為」を行っていたということなのです。
関連: 元自衛隊員らが憲法改正運動、公益社団法人・隊友会が自衛隊の施設利用!賛助会員には現役隊員も! (情報速報ドットコム, 5/7)
》 監視カメラに不正アクセス キヤノン製、60台以上被害 (共同, 5/7)。 監視カメラへの不正アクセスについて調べてみた (piyolog, 4/28) の件。
水位監視カメラに"不正アクセス" (チバテレ, 4/25)、八千代市の水位監視カメラに"不正アクセス" (チバテレ / LINE NEWS, 4/26)
ネットワークカメラの不正アクセス防止対策について (キヤノン, 4/26)
》 政府広報室、国民の意見としてヘイトコメントを大々的に掲載
差別デマを拡散する内閣府のプロパガンダ装置 (ロジ・レポート, 4/30)
内閣府のサイトにあふれるヘイトや誹謗中傷 担当者は「びっくりしている」 (BuzzFeed, 5/1)
》 【エルサレム発】安倍首相、F35戦闘機の三菱重工引き連れイスラエル訪問 パレスチナの神経逆なで (田中龍作ジャーナル, 5/2)
》 「刑務官からいじめ、あと半年はつらい」 逃走の受刑者 (朝日, 5/2)。「他の受刑者から嫌がらせを受けていた」「刑務官からいじめられていた」「あと半年で(刑務所を)出られるとわかっていたが、それでもつらいので逃げた」
》 終わらない師弟関係で「アカハラ」が深刻化…賠償命令出た「関西大訴訟」から考察 (弁護士ドットコム, 5/2)、 アカハラ訴訟 関大に賠償命令 (毎日, 4/26)。「」
》 変わりゆく脅威の状況について考える: 2018 年版 ISTR (シマンテック, 4/16)。 「クリプトジャッキングが爆発的に増加」 「1 つの感染手法に頼り続ける傾向」 「マルウェアを仕込んでソフトウェアのサプライチェーンを狙う」 「ランサムウェアがビジネスとして定着」 「増加の一途をたどるモバイルマルウェア」
》 子供の性被害対策 (警察庁)。「平成29年におけるSNS等に起因する被害児童の現状と対策について」が 4/26 付で公開されたみたい。
》 インターネット定点観測レポート(2018年 1〜3月) (JPCERT/CC, 4/26)
》 WordPress の GDPR コンプライアンスツール (WordPress, 4/24)
》 インチキ情報商材に注意、「YouTube動画のコピペで月収50万円」はウソ (so-net セキュリティ通信, 5/1)
》 Windows Commands Reference - An InfoSec Must Have (SANS ISC, 5/2)、 Windows Commands Reference (Microsoft)
》 東京第12回速報 金学順さん自身がはっきり「強制的に連行」と語っていた! 記者会見映像と韓国紙記者の重要証言で明らかに 東京訴訟 植村、西岡両氏の本人尋問は9月5日に決定 (植村裁判を支える市民の会, 4/26)
》 キリスト教の「アーメン」を方言の細かなニュアンスに意訳すると最も適した言葉が判明しました (togetter, 4/30)。「それな、そだねー、ほんまそれ」。
》 F-16低空飛行映像は誰に見せるものなのか (能勢伸之 / FNN, 5/1)、 F-16 Fighter Jet Low-Flying Over Japanese Mountains: Cockpit View (USA Military Channel / YouTube, 4/2)。
4月2日、青森県・三沢基地第35戦闘航空団所属のF-16戦闘機が低空飛行する様子がコックピット内の固定カメラから撮影された映像がYouTubeに投稿された。
HUD の隣にカメラを設置して撮影しているみたい。 Ace Combat の渓谷攻めみたいな映像なのだが、 一般施設の上やら隣やらを超低空で飛んでたりする。ぶっちゃけ危険。
》 Windows 10 April 2018 Update 関連
オペレーティングシステムを Windows 10 RS4 へアップグレードした後に実行される カスペルスキー インターネット セキュリティ 2018 の適合処理について (Kaspersky, 5/1)。再起動→適合処理実施、までは制限ありということかな。
Firefox 59.0.3 リリースノート (Mozilla, 4/30)
》 Sysmon v7.02 (Sysinternals Site Discussion, 4/30)。メモリリークする不具合を修正。
》 監視カメラへの不正アクセスについて調べてみた (piyolog, 4/28)、 ネットワークカメラの不正アクセス防止対策について (キヤノン, 4/26)
》 2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響 (Ask CORE, 5/2)。 CredSSP の件 の詳細解説。 「5 月の更新プログラム適用済クライアント」から「3 月の更新プログラム未適用サーバー」への接続が、デフォルトではできない。
》 その男、水谷洋一 (西宮冷蔵社長、雪印食品牛肉偽装事件を内部告発)
かんさい熱視線「“正義”と家族〜内部告発から16年〜」 (NHK, 4/20)。見逃した orz
内部告発後の壮絶人生…それでも負けへんで西宮冷蔵 (日刊スポーツ, 2017.08.13)
内部告発者の「誇り」と「悔い」 「事件後」の日々を追って (本間誠也 / Yahoo!ニュース, 2017.06.14)
「食品偽装に負けへんで」牛肉偽装告発から15年「西宮冷蔵」契約解除のどん底から再起期す (産経, 2017.04.28)
》 山市良のうぃんどうず日記(125):ITプロ(非開発者)向けWindowsカーネルデバッグ事始め (@IT, 4/27)
》 北欧5か国「同性婚OK」「同性カップルも養子OK」…進むLGBTの法整備、教育も重視 (弁護士ドットコム, 4/28)。 北欧5か国(アイスランド・スウェーデン・デンマーク・ノルウェー・フィンランド)では
「同性愛を疾病リストから削除」「性的指向による差別(同性愛者への差別)の禁止」は1990年代までに実現
「同性愛行為の合法化」「同居する同性カップルの法的保護」「同性カップルがいずれの子でもない者を共同で養子とすることができる」「性自認による差別(トランスジェンダーへの差別)の禁止」も法整備済
だそうです。
》 ブロックチェーンは「妖精の粉」ではない--暗号の権威が注ぐ厳しい視線 (ZDNet, 5/2)
忘れてた。
About the security content of iOS 11.3.1 (Apple, 2018.04.24)
About the security content of Security Update 2018-001 (Apple, 2018.04.24)。macOS High Sierra 10.13.4 用。
About the security content of Safari 11.1 (Apple, 2018.04.24)。 OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4 用。
SYM18-002 - Security Advisories Relating to Symantec Products - Norton Core Command Injection (Symantec, 2018.04.30)。v237 で対応。自動更新されているはず。
》 エルトゥールル号の犠牲者追悼 トルコ訪問中の自民・二階幹事長 (沖縄タイムス, 4/30)
》 《検証報告》冤罪疑義残る和歌山カレー事件とフジテレビの虚偽報道〈前編〉 (片岡健 / デジタル鹿砦社通信, 4/18)、 《検証報告》冤罪疑義残る和歌山カレー事件とフジテレビの虚偽報道〈後編〉 (片岡健 / デジタル鹿砦社通信, 4/25)
》 日報記述「法的な戦闘行為でない」 答弁書を閣議決定 (朝日, 4/28)、 日報の「戦闘」、法的な「戦闘行為」でない 政府答弁書 (朝日, 4/28)。あいかわらずのごまかし。ほんと糞。
》 懲役13年の性犯罪者が体験を語った刑務所の治療プログラム (篠田博之 / Yahoo, 4/28)
》 20年たっても心の傷が癒えていない性犯罪被害者がつづった闘病日記 (篠田博之 / Yahoo, 5/1)
「仕事に響く」相談できず 「セクハラ」県内でも 「人権問題」認識持って (佐賀新聞, 4/30)
85年、私はアナウンサーになった。 セクハラ発言「乗り越えてきた」世代が感じる責任 (長野智子 / ハフポスト, 4/21)
「夜に異性と1対1で…マスコミに規範あっても」 経団連会長、セクハラ問題で指摘 (SankeiBiz / Yahoo, 4/24)。経団連 for 20th Century.
電通、就活生に「セクハラ面接」 事実認め株主に謝罪 (金曜日 / Yahoo, 4/26)
報道各社の社員セクハラ被害、対応に温度差。緊急アンケート全容公開 (滝川 麻衣子、木許はるみ、竹下 郁子 / Business Insider, 4/27)
松尾貴史のちょっと違和感 繰り返される暴言、詭弁 理解に苦しむ悪目立ち (毎日, 4/29)。ほんとそれ。
社説 セクハラと日本社会 これが21世紀の先進国か (毎日, 4/30)。政権挙げて明治にワープしようとしているからなあ。
【抄訳】女性支援を前面に打ち出し絶賛されたカナダ・トルドー首相の世界経済フォーラムでの基調講演 #MeToo #TimesUp #WeToo (T. Katsumi / logl, 4/25)
》 情報セキュリティハンドブック (AppStore)
》 NAVERまとめ、無断転載34万件削除 新聞社など報道7社と合意 (ねとらぼ, 4/26)
》 事実なら辞任必至 小池知事は“やらせ質問”に関与したのか (日刊ゲンダイ, 4/29)
》 小池知事最側近が「絶対にできない」と断言!豊洲地下水管理のまやかし (ダイヤモンド ONLINE / Yahoo, 4/27)
》 世界最大のDDoS攻撃請負サイト「webstresser.org」が閉鎖される (gigazine, 4/27)
資料、提言
著作権侵害サイトのブロッキング要請に関する緊急提言シンポジウム (壇弁護士の事務室, 4/24)、 当日資料。
ブロッキングの技術的課題(公開版) (上原哲太郎 / SlideShare)
「インターネット上の海賊版サイトに対するブロッキングの実施について」に対する意見の発表 (情報法制研究所, 4/27)
「負ける理屈はない」NTTの海賊版サイトブロッキングで初の訴訟 (西山 里緒、川村力 / Business Insider, 4/26)
海賊版サイトブロッキングに関する質問趣意書に「内容のない回答」をする日本政府 (P2Pとかその辺のお話R, 4/26)
少なくとも政府回答から読み取れるのは、政府は「おきもち」を表明したに過ぎず、それに「忖度」してブロッキングを実施したISPが違法性を問われたところで、それはISPの自己責任であり、政府が検閲を要請したなどということにはならない、という理屈なのだろう。
NTT ドコモ、2018 年度決算説明会
「ベーシックパック」「ZTE問題」「ブロッキング」――ドコモ18年度決算説明会一問一答 (ITmedia, 4/28)
ただ、我々も「dアニメストア」を始めとするインターネットのコンテンツビジネスに取り組んでいるが、その発展を海賊版サイトが阻害しているという事実は誰もが認めている。それを見過ごすわけには行かないというのが、我々を含むNTTグループの考え方だ。
ドコモ・アニメストアはNTTドコモ60%, KADOKAWA40%の出資により,アニメコンテンツ配信事業を行う会社として2012年5月に設立ですか。 すべては銭のため、憲法くそくらえ。
海賊版サイトブロッキングの背景に一歩踏み込んだ、ドコモ会見 (ascii.jp, 4/28)
ブロッキング、サイト閉鎖でも実施 ドコモ社長 (日経, 4/27)
ドコモ吉澤社長、「海賊版サイトはビジネスの発展を阻害する」 (ケータイ Watch, 4/27)
【直撃】漫画村問題、キーマン官僚が全疑問に答える「緊急対策からNTTサイトブロッキングまで」 (川村力・西山里緒 / Business Insider, 4/27)。 「知財本部で、省庁間の調整役を担ってきた住田孝之・知的財産戦略推進事務局長に、事実関係を聞いた」
》 宇佐美圭司壁画処分問題 (togetter, 4/26)。東大生協、貴重な絵画を廃棄処分。
報道: 東大、絵の価値知らず? 食堂飾った著名画家の大作廃棄 (朝日, 4/27)
》 公文書クライシス 政務三役、公務にLINEや私用メール (毎日, 5/1)
》 Slackでシステム障害か アクセスできないとの情報相次ぐ (newsdigest.jp, 5/1)。手元では問題なさげだけど……。
》 『午後ティー女子』のイラストが炎上。キリンに対して「顧客を悪く描いて何が楽しいのか」の声 (ハフポスト, 5/1)。これほんと、意図がわからないんだよなあ。
キリン株式会社コーポレートコミュニケーション部の担当者によれば、当該のツイートは「午後の紅茶に親しみを感じていただくためにイラストレーションを活用した」企画であった。
これで親しみは感じないだろうふつう、と思うのだが、当該ツイートにある紹介文は本気でそう思っているようなんだよなあ。
企画段階から「しかるべき社内手続き」をしていたが、こうした炎上は予期できていなかったという。
社内手続きの見直しが急務だなあ。
謝罪会見 (4/26)
山口達也「アルコール依存症とは思っていない」 (朝日, 4/26)
TOKIO・山口達也が謝罪会見 (The PAGE, 4/26)。会見全文 (一部有料)。
医師の意見
山口達也メンバーの謝罪会見を精神科医に解説してもらった (尾藤 克之 / アゴラ, 4/27)。樺沢紫苑氏 (精神科医)。 「事実を総合して考えると、本人は否定しているものの、『アルコール依存症』が強く疑われる状態です。あるいは、その一歩手前の『アルコール乱用』です。」
山口達也アルコール依存症の深刻度 専門家が会見分析「否認」こそ典型的な症状 (東スポ, 4/28)。山下悠毅氏 (依存症専門医)。 「彼は中等度以上のアルコール依存症です。今後、再飲酒をした際には、同様の行動を取ってしまうリスクが高いため、生涯の断酒が欠かせません」
TOKIO山口達也 アルコール性関連障害の疑い…飲酒による人間関係的トラブル (デイリースポーツ / livedoor, 4/30)。おおたわ史絵氏 (総合内科専門医)。
アルコール依存症経験者の意見
アルコール依存症から見た山口達也くんの状況 (BLOGOS, 4/29)
依存症体験者からTOKIO山口さんへ (なかのかおり / Yahoo, 5/1)。経験者でもある精神保健福祉士・三宅隆之氏にインタビュー。
「ギャンブル依存症問題を考える会」代表、田中紀子氏
山口達也さんは依存症の診断と治療を受けて欲しい (田中紀子 / アゴラ, 4/27)
山口達也さんは日本のエミネムを目指して欲しい (田中紀子 / アゴラ, 4/29)
エミネムさんがすごいと思うのは、自分が依存症者だと認め公言し、そして回復を続けている自分の姿をメッセージにして、「リラプス」(再発)や「リカバリー」(回復)といった、数々の名曲を作り大ヒットを生み出していることです。
山口氏の前にはすごいチャンスが広がっている、と見ることもできるわけか。
山口さんのこれからに必要なことは、おそらく彼は依存症と思われるので、まずその自分の病気を認め、病気の中にいた時に起こした、様々な狂気の出来事を正直に告白すること、そして、それらの誤った行動に対し、可能な限り埋め合わせをすること、といった自助グループで行われている、回復プログラムそのものだと思います。
》 ファイル サーバー リソース マネージャー(FSRM)のファイルスクリーン機能について (Ask CORE, 4/27)
》 既定の受信の規則 “mDNS (UDP 受信)” が機能しない問題 (Ask the Network & AD Support Team, 4/28)。Windows 10 version 1607 以降 / Server 2016 (ビルド 14393) 以降話。
該当の規則は、同OSバージョンからサポートされるようになった mDNS (マルチキャストDNS) の通信を許可するための規則となりますが、現在の Windows 10 ならびに Windows Server 2016 の OS バージョンでは、製品の不具合により通信が許可されません。
回避方法が記載されている。
過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)