![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Jan 19 17:16:51 2022
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 「かえでの種」がモチーフの空飛ぶロボット ひらひら落下し目的地まで飛行 (ITmedia, 1/19)
軍事目的や災害救助活動などの多くの分野では、大量の軽量センサーやペイロードを劣悪な環境下でも目的の場所にできるだけ早く展開することが不可欠だ。これまではドローンやパラシュートなどを活用してきたが、ドローンは高いコストや制御の難しさ、パラシュートはパッケージングが困難と、それぞれ課題が残っている。
これら課題に挑戦するため、かえでの種子の落下をヒントにした新しい落下飛行のロボットを提案する。かえでの種子は、急降下後に減速するまでのスピードが速いことが知られており、研究チームはこの特性が落下制御に有効に働くのではと着目した。
》 「どのビルが危険かわからない」“見過ごされた”耐震化 (NHK, 1/14)
》 太陽光パネル“大廃棄時代”がやってくる (NHK, 1/14)
「10年くらい前のパネルは発電効率が悪いんです。
日本は発電設備を置ける場所が限られているので、発電効率を上げようとすると、新しいパネルに換えたほうがいいということになるんですよね。
今後、パネルの大量の入れ替えがどんどん出てくるのではないでしょうか」
》 「太陽光パネルの火災は水で消せない」は誤り SNSで拡散 (毎日, 1/19)
消防庁は14年3月、「太陽光発電システム火災と消防活動における安全対策」という報告書をまとめている。それによると、消火時の感電防止対策として、高い絶縁性能のある手袋及び靴を着用する▽放水は噴霧注水を用い、棒状注水は極力避ける▽棒状注水を行う場合は太陽光発電システムから少なくとも6メートル以上(可能ならば10メートル以上)の距離をあける――などの注意事項を挙げている。一方で、放水での消火自体を禁止する記載はない。
》 パイロット間で話題沸騰中の神ワザ激揺れ着陸シーン (タワーマン / Yahoo, 2021.11.07)。オォゥ、これはすごい。
》 飛行機と 5G (Cバンド)。 結局、米 AT&T とベライゾンは空港周辺での 5G サービス開始を延期。
Cバンド (ウィキペディア)。6GHz帯 (4〜8GHz)。隣は X バンド (8〜12GHz) と S バンド (2〜4GHz)。
5G電波の脅威!飛行機の機能障害、着陸制限を正式発表 (タワーマン / Yahoo, 2021.12.11)
ボーイングとエアバス、5Gの安全性に懸念 航空機器に悪影響か (BBC, 2021.12.22)
ボーイングとエアバス、米政府に5G拡大の延期要請 (日経, 2021.12.23)
米FAA、5Gゾーン内の飛行を一部認める-サービス開始に先立ち (ブルームバーグ / Yahoo, 1/17)
米航空業界、5Gめぐりバイデン政権に「即時介入」要請 (CNN, 1/18)
【社説】米5G導入めぐる混乱のてん末 自分のミスを押しつける連邦航空局 (Wall Street Journal, 1/19)
JAL、ANA は 777 を欠航に。電波高度計の動作不良懸念?
米国の5Gが機体に影響? ANAが計20便を欠航 (朝日, 1/18)
ANAとJAL、米国5Gサービスの影響により19日以降の米国便が一部欠航へ (ケータイ Watch, 1/18)
ANAやJALなど、米国便の一部欠航 5G電波の影響懸念で (ロイター, 1/19)
米連邦航空局(FAA)は新たな5Gサービスの通信電波が原因で、一部の航空機の電波高度計に支障が出る恐れがあると警告していた。航空各社によると、米ボーイングの777型機などが最も影響を受けやすい。
5G拡大で米国便欠航 ボーイング777、世界的影響 (東京, 1/19)
米国の空港周辺で携帯電話の5G移動通信システムのサービスが始まるのに伴い、米航空機大手ボーイングから777型機の電波高度計に支障が出る恐れがあると通知を受けた。
米航空会社、Cバンド5Gが「壊滅的な混乱」を引き起こす可能性を警告 (techcrunch, 1/19)
AT&T とベライゾン、空港周辺での 5G サービス開始を延期
米当局と通信大手、空港周辺5G基地局稼働延期で合意-空の混乱回避 (ブルーブバーグ / Yahoo, 1/19)
米通信大手2社、一部空港付近で5G開始を延期 航空機への影響懸念 (朝日, 1/19)
米5G新サービス、空港周辺の導入延期 「壊滅的影響」JAL・ANAも欠航 (毎日, 1/19)
日本では?
全日空と日航が5Gで米国路線欠航。日本の5Gは大丈夫? (石川温 / Yahoo, 1/19)
日本もアメリカも3.7GHz帯は同じであり、世界の多くの国で3.7GHz帯が使われています。日本では3.7GHz帯を局所的に飛ばしているの対して、アメリカでは広いエリアをカバーしようと電波の出力を上げているため、飛行機が低い高度を飛ぶと影響を及ぼす可能性が出てきました。
みずほe-ビジネスサイトでログイン障害 (1/11)
みずほ銀行でログインしにくい障害 法人向けネットバンキングで (ITmedia, 1/11)
みずほ銀行 法人向けサイトの不具合解消も原因不明 (TV 朝日, 1/11)
業務改善計画を金融庁に提出 (1/17)
業務改善計画の提出について (みずほ銀行, 1/17)
「企業風土を変革」「安定稼働に必要な人材の配置」 みずほ、業務改善計画を公開 (ITmedia, 1/17)
首脳人事発表 (1/17)
みずほFG 業務改善計画提出 新社長にみずほ銀行の木原常務起用 (NHK, 1/17)
みずほ、またも興銀出身社長 抜本的な変革みえず (SankeiBiz, 1/17)
みずほ木原氏「人の意見聞き、大胆に変える」 記者会見の主なやり取り (日経, 1/17)
みずほ、システム人員2割増強 木原氏「不退転の決意」 (日経, 1/17)
みずほで強まるIBM色、立て直しへ試される 新グループ執行役員・下野氏の手腕 (日経 xTECH, 1/18)
障害相次ぐみずほの会見で透けた“社外取締役の限界” (毎日, 1/19)
関連
「『合コンなのにお金が下ろせない』と女性に胸ぐらをつかまれた行員も」みずほ銀行の現行員、元行員が激白 システム障害を繰り返す行内の実態 (ABEMA TIMES / Yahoo, 1/17)
みずほ銀行 2021年システム障害の教訓 (日経 xTECH, 1/19)
》 Trellix。 McAfee Enterprise + FireEye の新しい社名だそうで。関連:
Revealed: McAfee Enterprise, FireEye merger named Trellix (Gulf Business, 1/19)
STG。 McAfee Enterprise と FireEye を買ったプライベート・エクイティ・ファンド。 RSA も買ってる。
》 「にゃんこ大戦争」ゲームデータ改ざん、「最強にしたかった」 容疑5人書類送検 (京都新聞, 1/19)、 「にゃんこ大戦争」不正データ作成/販売で19名送致 (やじうま Watch, 1/19)
》 個人情報保護委員会が個人情報を漏えい パブリックコメント参加者の氏名や所属先を誤掲載 (ITmedia, 1/18)
》 「Firefox 96.0.1」がリリース ~先日発生したHTTP3接続の不具合に対策 (窓の杜, 1/17)
》 18~100WまでのUSB PD充電器を徹底検証!出力が違うとノートPCの挙動はどう変わる?11機種を総当たりチェック (PC Watch, 1/19)
》 十数年見つからなかった謎の日本人「サトシ」って何者? NHKで特集番組の放送が決定 (やじうま Watch, 1/19)。Bitcoin 開発者サトシ・ナカモトの話ではないので注意。
[gnutls-help] gnutls 3.7.3 (GNU, 2022.01.18)。 gnutls_x509_trust_list_verify_crt2() が thread safe ではなかった件 GNUTLS-SA-2022-01-17 を修正。
iida さん情報ありがとうございます。
》 JPCERT/CCが「侵入型ランサムウェア攻撃を受けたら読むFAQ」公開、相談窓口や初動対応の「3つの方針」など示す (Internet Watch, 1/17)
》 永田町で話題の菅義偉氏の内幕暴露本に見る「政治報道の落とし穴」 (論座, 1/10)。 孤独の宰相 菅義偉とは何者だったのか (文藝春秋) の件。
問題は、オフレコを前提で聞いた話を暴露したり、官房長官の記者会見では質問を控えてその後の単独取材で本音を聞き出したりといった手法の是非である。
》 米空母打撃群と両用即応群が南シナ海での訓練完了 (航空新聞社, 1/18)、 Carl Vinson Carrier Strike Group and Essex Amphibious Ready Group Wrap Up Joint Operations in the South China Sea (US NAVY, 1/16)
2022 年 1 月のセキュリティ更新プログラム (月例) (2022.01.14)
VPN 問題等の修正 patch 出たようです:
Microsoft、KB5010793やKB5010795等を緊急リリース。VPNに繋がらない不具合やWindows Serverの不具合を修正 (ニッチなPCゲーマーの環境構築Z, 2022.01.18)
Microsoft、Windows向けパッチを緊急公開 ~2022年1月パッチに起因する問題を修正 (窓の杜, 2022.01.18)
手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。
大規模サイバー攻撃 (1/14)
ウクライナ 各省庁のウェブサイトがハッキングされ閲覧不能に (NHK, 1/14)
ウクライナ政府に破壊的なサイバー攻撃 Microsoftが報告 (ITmedia, 1/17)
ウクライナへのサイバー攻撃、ロシア関与判明でも驚かず-サリバン氏 (ブルームバーグ, 1/17)。サリバン米大統領補佐官(国家安全保障問題担当)の発言。
偽旗作戦?
偽旗作戦 (ウィキペディア)。柳条湖事件は満州事変の発端。
ロシア、ウクライナ侵攻へ「偽旗作戦」準備 米が主張 (AFP, 1/15)
ロシア、ウクライナ侵攻を正当化する「偽旗作戦」準備か 米諜報 (CNN, 1/15)
》 Apple、オランダで外部課金実装を容認。デートアプリが対象 (PC Watch, 1/17)
》 旧クライアント証明書中間認証局の失効について(2022年1月17日) (UPKI, 1/17)
本件は、2020年10月よりご案内しておりますクライアント証明書(個人認証用とS/MIME用双方を含みます)中間認証局切り替えに関する続報です。
旧クライアント証明書中間認証局の失効予定日が下記の通り定まりましたのでお知らせ申し上げます。
失効予定日:
2022年1月17日(月)
》 神奈川県、津波注意報に関する緊急速報メールを繰り返し誤配信
津波警報出てないのに20回緊急速報メール誤配信…神奈川知事、受験生に影響と謝罪 (読売, 1/16)
神奈川県、1晩で626件もの大量エリアメール 原因はプログラムのミス (ITmedia, 1/17)
神奈川県で「津波」関連の緊急速報メールが多数配信、設定にミス (ケータイ Watch, 1/16)
津波注意報に伴う緊急速報メールの配信について (神奈川県, 1/16)
》 気象庁、海底火山「フンガ・トンガ=フンガ・ハアパイ」噴火による津波の予報に失敗
フンガ・トンガ (ウィキペディア)
トンガで巨大な海底噴火 その瞬間の衛星映像 (BBC / Yahoo, 1/16)
トンガ噴火日本への影響 多少の潮位変化も被害心配ない 気象庁 (NHK, 1/15 19:11)
気象庁によりますと日本時間の15日午後1時10分ごろ、南太平洋のトンガ諸島で大規模な火山噴火が発生しました。
この噴火について気象庁は、日本への津波の影響を調べていましたが、午後7時すぎ「日本では多少の潮位の変化があるかもしれないものの被害の心配はない」と発表しました。
しかし実際には 1m を越える津波が襲来、襲来後にようやく注意報・警報を発令。
【詳報】前例ない大規模噴火の “津波” そのとき気象庁は… (NHK, 1/16)
しかし、その後、事態は一変します。シミュレーションで予想した到達時刻より早く、高い津波が各地で観測されはじめたのです。
小笠原諸島の父島では想定より2時間半余り早い午後7時58分に第一波が到達しました。
一方、気象庁内部ではあるデータに関心が集まっていました。日本で潮位の変化が観測され始めた午後8時ごろ、全国各地で大きな“気圧の変化”が起きていたのです。
さらに、地震による一般的な津波では日本に到達するまでの海外の観測地点で、順番に潮位の変化が観測されるはずですが、その変化はほとんど見られませんでした。
「気圧の変化が起きたということなら噴火の空振(空気の振動)で日本に波が来たということか?」
「前代未聞の事態だ」(気象庁幹部)
令和4 年1 月15 日13 時頃のトンガ諸島付近のフンガ・トンガ‐フンガ・ハアパイ火山の大規模噴火に伴う潮位変化について (気象庁, 1/16〜17)
令和4年1月15日13時頃のトンガ諸島付近のフンガ・トンガ-フンガ・ハアパイ火山の大規模噴火に伴う潮位変化について (気象庁, 1/16)。報道発表資料。
令和4年1月15日13時頃のトンガ諸島付近のフンガ・トンガ-フンガ・ハアパイ火山の大規模噴火に伴う潮位変化について(第2報) (気象庁, 1/16)。報道発表資料。
地震活動等総合監視システム EPOS (気象庁) が当日どのようなオペレーションを実施したのか、詳報がほしいなあ。 3.11 の時は大阪管区気象台がオペレーションを実施していたけど、今回は東京と大阪どっちなんだろう。奇数月だから今回も大阪?
3.11 については、 NHK 「かんさい熱視線」で「検証 津波警報システム」(2011.07.08) というすばらしい検証番組が放送された。あのレベルで検証報道やってほしい。
原因は空震?
火山噴火による空振で津波が発生か 気圧急上昇の観測と良好な対応 (ウェザーニュース, 1/16)
今回の津波には、海中を伝わる通常の津波にはみられない特徴がいくつかありました。
ひとつは到達の早さです。日本へは、通常の津波による到達予想時刻よりも3時間程度早く到達し始めていました。
また、海面の昇降の時間間隔も特徴的でした。通常、遠い外国からやってくる津波は、20分から1時間程度の周期でゆっくりと大きく昇降を繰り返します。今回の津波では数分から10分程度という短い周期で昇降を繰り返していて、遠地津波ではみられない特徴でした。
さらに、通常の津波が日本に向かう途中で通過する、ミクロネシアなどでの津波の観測値がかなり小さかったことも特徴でした。
トンガ大規模噴火 日本の津波注意報はすべて解除 (NHK, 1/16)
海底火山の噴火は続いています。津波再来の可能性もあろうかと。
トンガ沖で再び「大規模噴火」 豪観測機関 (AFP / 時事 / Yahoo, 1/17)
トンガで「再噴火」の情報、気象庁が潮位の変化を注視 (読売, 1/17)
関連:
トンガの首都「月面のよう」 被害の全容わからず 海底火山噴火 (毎日 / Yahoo, 1/16)
「1000年に1度」の大噴火か トンガで通信遮断、被害把握難航 (時事, 1/16)
トンガ、海底火山噴火で通信障害続く 津波被害まだ不明 (ロイター, 1/17)
トンガ大規模噴火、「最大8万人に影響」 NZと豪が被害調査 (BBC, 1/17)
トンガ噴火、NZとオーストラリアが哨戒機を派遣 通信難続く (朝日, 1/17)
SA はこちら。
FreeBSD-SA-22:01.vt - vt console buffer overflow (FreeBSD, 2022.01.11)。FreeBSD 12.2 / 13.0 に影響。12.3 では直っているっぽい。
あと Errata がいくつか。いずれも patch あり。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:01.fsck_ffs (FreeBSD, 2022.01.11)。対象は 13.0 のみ。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:02.xsave (FreeBSD, 2022.01.11)。hw.cpu_stdext_disable=0x1 で無効化することで回避できる。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:03.hyperv (FreeBSD, 2022.01.11)。Windows Server 2022 で特定部分の挙動が変わったため、という話。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:04.pcid (FreeBSD, 2022.01.11)。vm.pmap.pcid_enabled=0 で無効化することで回避できる。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:05.tail (FreeBSD, 2022.01.11)。13.0 の tail -F の挙動の話。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:06.libalias (FreeBSD, 2022.01.11)。12.2 用の patch はない。12.3 に更新して patch する。
ラベルプリンタ「テプラ」にネットワーク関連の脆弱性。パッチを提供中 (PC Watch, 2022.01.14)
Safari の、というより、WebKit の欠陥。
報告された脆弱性は、Safari 15などで使われるWebKitに実装された「IndexedDB」APIが「Same-origin policy」に違反した状態になっているというもの。(中略) 影響を受けるのはmacOSのSafari 15、およびiOS 15/iPadOS 15で動作するすべてのWebブラウザ。前者はSafariのみだが、後者でSafari以外が含まれるのは、iOS/iPadOS上のすべてのWebブラウザにおいてWebKitエンジンを使用するよう、Appleが定めているため。
macOS では非標準の Web ブラウザを使うことで回避できるが、 iOS / ipadOS では回避不能と。
詳細:
Exploiting IndexedDB API information leaks in Safari 15 (Martin Bajanik / FingerprintJS, 2022.01.15)
The leak was reported to the WebKit Bug Tracker on November 28, 2021 as bug 233548.
ClamAV 0.103.5 and 0.104.2 security patch release; 0.102 past EOL (ClamAV, 2022.01.12)。セキュリティ修正を含むそうで。CVE-2022-20698
HomeKit の欠陥 CVE-2022-22588 を修正、だそうで。
関連: Apple、悪意のあるHomeKitデバイスを登録するとiPhoneの動作が不安定になり、デバイスを復元してもiCloud同期で再び問題が発生してしまうゼロデイ脆弱性を修正した「iOS/iPadOS 15.2.1」をリリース。 (AAPL Ch., 2022.01.13)
人生辛すぎる。
》 FirefoxでWebサイトに繋がらない障害。Mozillaが復旧方法を案内 (ニッチなPCゲーマーの環境構築Z, 1/13)。 Firefox を再起動すればよいそうです。
》 自衛隊幹部「性的画像」流出騒動 所属する駐屯地広報は「本人です」 (NEWS ポストセブン, 1/11)。本人認定されましたか。
事実関係は現在調査中ですが、あくまでもA個人所有のパソコンからのものなので、情報漏えい問題にはならないと考えている
倫理的な問題は残ると思うんですけど、そこはスルーなのかな。
「実は、最近買った中古パソコンにこれらの画像が保存されていたというのは、流出元をぼかすために書いたフェイクです。もともとはダークウェブ(ハッカーなどがハッキングして得た情報が出回るアンダーグラウンドなネットワーク)上に流れていた大量のデータの中から、要らないデータとして私たちのところに回り回ってきたものの中にこの画像や日記が入っていた。
それ、もっとヤバいパターンなのでは……。
はい、出てました。
Firefox 96 がリリースされた (mozillaZine, 2022.01.12)
Firefox for Android 96 がリリースされた (mozillaZine, 2022.01.12)
Thunderbird 91.5.0 がリリースされた (mozillaZine, 2022.01.12)
Adobe Acrobat/Reader / Illustrator / Bridge / InCopy / InDesign のセキュリティ更新が公開されたそうで。時間が取れたらちゃんと書きたい。
出ましたが、今回は不具合多めのようで。
Windows 10 / 11 で L2TP/IPsec VPN が死ぬ件:
KB5009543 / KB5009566適用後、VPNに接続できない不具合 [Update 1: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2022.01.14 更新)
New Windows KB5009543, KB5009566 updates break L2TP VPN connections (bleeping computer, 2022.01.12)
Windows 10, version 21H2 - Certain IPSEC connections might fail (Microsoft, 2022.01.13 更新)
After installing KB5009543, IP Security (IPSEC) connections which contain a Vendor ID might fail. VPN connections using Layer 2 Tunneling Protocol (L2TP) or IP security Internet Key Exchange (IPSEC IKE) might also be affected.
Workaround: To mitigate the issue for some VPNs, you can disable Vendor ID within the server-side settings. Note: Not all VPN servers have the option to disable Vendor ID from being used.
Next steps: We are presently investigating and will provide an update in an upcoming release.
Affected platforms:
Client: Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB
Server: Windows Server 2022; Windows Server, version 20H2; Windows Server 2019; Windows Server 2016
Microsoft Azureで稼働するLinux VMは50%を超え、Microsoft自身が業務にLinuxを利用する割合は3分の1を突破した と言っても、その実態はごらんのとおりということですか。
ドメインコントローラーが勝手に再起動したり Hyper-V が機動しなかったり ReFS に接続できなかったりする件:
Windows ServerでブートループやHyper-Vが起動しなくなるなどの不具合。2022年1月のWindowsUpdateが起因 [Update 1: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2022.01.14 更新)
New Windows Server updates cause DC boot loops, break Hyper-V (bleeping computer, 2022.01.12)
で、ええっと何でしたっけ?
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21919 (Windows)、CVE-2022-21874(Windows)、CVE-2022-21839(Windows)、CVE-2022-21836(Windows)、CVE-2021-36976(Librachive)、CVE-2021-22947(Curl) は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、これらの脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。
既知の欠陥だが攻略されたとは確認されていないと。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21907 (HTTP プロトコル スタックのリモートでコードが実行される脆弱性) およびCVE-2022-21849 (Windows IKE Extensionでコードが実行される脆弱性) は、CVSS スコア Base スコアが9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。
IKE Extension がらみは上記含めて 6 件 (CVE-2022-21843, CVE-2022-21883, CVE-2022-21848, CVE-2022-21849, CVE-2022-21889, CVE-2022-21890) あるそうで。 これが上記の VPN 話につながっていると推測されるが詳細不明。
関連:
VERT Threat Alert: January 2022 Patch Tuesday Analysis (tripwire, 2022.01.11)
VPN 問題等の修正 patch 出たようです:
Microsoft、KB5010793やKB5010795等を緊急リリース。VPNに繋がらない不具合やWindows Serverの不具合を修正 (ニッチなPCゲーマーの環境構築Z, 2022.01.18)
Microsoft、Windows向けパッチを緊急公開 ~2022年1月パッチに起因する問題を修正 (窓の杜, 2022.01.18)
手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。
》 Googleのスマートスピーカーがアップデートで使いにくく 特許問題のとばっちりで (ITmedia, 1/10)
(name fixed: 望月さんご指摘ありがとうございます)
》 パナ不正アクセス、被害サーバに採用応募者の個人情報や取引先の情報などを保存していたと判明 (ITmedia, 1/7)
当社ファイルサーバへの不正アクセス発生について (Panasonic, 2021.11.26)
当社ファイルサーバへの不正アクセス発生について(第2報) (Panasonic, 1/7)。「第三者が、当社海外子会社のサーバを経由し、日本のファイルサーバに不正アクセスを行った」
》 BALMUDA Phoneが一時販売停止に 「技適認証について確認すべき項目がある」 (ITmedia, 1/11)
》 みずほ銀行 法人向けネットバンキングに不具合 復旧めど立たず (NHK, 1/11 11:08)、 みずほ銀行 法人向けネットバンキングの不具合 復旧 (NHK, 1/11 12:19)。AM 8 時ごろに不具合発生、AM 11:30 ごろ復旧。
》 高速道路で覆面パトカーに連行されるGoogleストリートビューカーの「自撮り」が話題に (やじうま Watch, 1/11)
》 フリーの解凍・圧縮ソフト「7-Zip」がVHDX形式仮想ディスクファイルの抽出に対応 (窓の杜, 1/6)
Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari) (2021.12.16)
MicrosoftがmacOSの脆弱性「powerdir」を解説 (PC Watch, 2021.01.11)。上記で修正された CVE-2021-30970 の解説。
2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)
2021年12月のWindowsパッチに問題、「Outlook」で最近のメールが検索結果に表示されない Microsoftが一時的な回避策を案内 (窓の杜, 2022.01.11)。
》 逮捕の「ALSOK」元社員 1億円以外にもATMから盗みくり返したか (NHK, 1/7)。Always 現金抜き取り OK。
政府、反基地感情高まり懸念 コロナ感染拡大、米軍震源説強まる (時事, 1/7)
沖縄 山口 広島の「まん延防止」適用決定 9日から今月末まで 沖縄県 新型コロナ 過去最多1400人超 感染確認の見通し (NHK, 1/7)
米軍基地からオミクロン、これが同盟国のすることか (青沼 陽一郎 / JBpress, 1/7)
沖縄 山口 広島の「まん延防止」適用決定 9日から今月末まで (NHK, 1/7)
林外相、在日米軍基地での感染対策強化を改めて要求 日米2プラス2 (朝日, 1/7)
神奈川県知事「第6波始まった」 感染急増、米軍基地では行動制限 (朝日, 1/7)
コロナ拡大の在日米軍 ”ずさん”対策目の当たりにしてきた従業員の訴え (沖縄テレビ / FNN, 1/6)
沖縄、山口、広島に「まん延防止等重点措置」を適用へ 政府方針 (朝日, 1/6)
第6波、「後手」批判恐れた政権 コロナ対応は「世論対策でもある」 (朝日, 1/6)
在日米軍のコロナ、地位協定の「特権」 その仕組み 「納得いかぬ」 (朝日, 1/6)
在日米軍、コロナ感染対策強化 健康保護態勢レベル引き上げ (朝日, 1/6)、 在日米軍が感染防止対策を強化 日本到着時の検査・マスク義務の徹底 (朝日, 1/6)
関連: U.S. Forces Japan Increases to Health Protection Bravo (USFJ, 1/5)
疑われるオミクロン「染み出し」 ずさんな米軍、後手に回った政府 (朝日, 1/5)
青森三沢基地で米海軍56人が新規感染 多くがカウント漏れの不手際 (朝日, 1/5)
山口県で79人の感染確認、62人が岩国市 米軍岩国基地でも47人 (朝日, 1/4)
沖縄の新規感染者130人 米軍関係は計800人超える (朝日, 1/3)
感染増の広島の知事 米軍岩国基地ある岩国市と「関連の感染例多い」 (朝日, 1/3)
玉城知事「オミクロン株は米軍から染みだし」 沖縄での対応巡り非難 (朝日, 1/2)
在日米軍、日本入国後24時間以内も検査 クラスター発生でようやく (朝日, 2021.12.31)
在日米軍、出国時にコロナの検査せず 米側に確認、林外相明らかに (朝日, 2021.12.24)
在日米軍、コロナ検査手抜かり 水際対策「穴」あらわ (時事, 2021.12.24)
沖縄米軍クラスター、水際対策の「穴」露呈 オミクロン株拡大懸念も (朝日, 2021.12.23)
沖縄米軍クラスター207人に拡大 知事「米本国からの異動停止を」 (朝日, 2021.12.21)
》 分身キャラへの中傷、「現実の自分が傷ついた」 Vチューバーが提訴 (朝日, 2021.12.30)、 VTuber同士が訴訟へ「デマ流され、人生壊された」生身の人間が語る苦悩 (弁護士ドットコムニュース / Yahoo, 2021.12.31)
関連: 「Vtuber」に対する名誉毀損は成立するか? 「ネット人格」めぐる論点 (弁護士ドットコムニュース, 1/7)。既存の法解釈の枠組みのままだと、本件提訴は苦しい模様。
――裏を返すと、実世界とのつながりを持っていない「アルファツイッタラー」や「野良VTuber」には、名誉毀損は成立しないのでしょうか?
有名人でなく一般の方の趣味のアカウントなどでも、ハンドルネームを名乗ってオフ会に参加している、顔写真をネットに公開しており現実の知り合いが見れば誰のことかわかる、などの事情を主張して名誉毀損が認められた事例は経験があります。
しかし、そのようなリアルの活動が一切なく、完全に自分一人でかつネット人格とリアル人格を切り離している場合には、現在の裁判所の判断枠組みでは名誉毀損の成立は否定されるでしょう。
新しい法解釈が必要な時代になってきたと思うがなあ。
》 語学力を伸ばすのに重要な「エージェンシーを持つ」とは、どういうことか (トニー・ラズロ / ニューズウィーク日本版, 1/5)。著者は「ダーリンは外国人」のダーリンの方。
エージェンシーを持つとは、つまり「好きなことを好きな方法で」学ぶということ。筆者の経験から言えば、「背後から」指導してくれる教師がいれば、エージェンシーのある状態に近づきやすい。先頭に立って方向を示すのではなく、生徒にできるだけ主体的に教材やテーマを選ばせ、「イエス、アンド」「イエス、バット」と背後から優しく言ってくれるような教師だ。
》 ロシア潜水艦、2020年に北大西洋で英軍艦と衝突=英国防省 (BBC, 1/7)。TV クルーの乗船取材中に発生。当該番組の放映にあわせて公表された模様。
WARSHIP LIFE AT SEA Season 3 Episode 2 (Channel 5)
Travelling off the coast of Scotland, Northumberland receives intelligence about a Russian submarine that’s currently under surveillance.
Tuesday, 11 January, 06:00
British Frigate HMS Northumberland Hit A Russian Submarine With Its Towed Sonar In 2020 (The Drive, 1/6)
HMS Northumberland (F238) (Wikipedia)
》 年末年始恒例、「2022年にサポートが終了する」Microsoft製品――Windows 10は? IEは? (@IT, 2021.12.28)
January 10th 2022 Security Releases (node.js, 2022.01.04)。4 件のセキュリティ欠陥 (medium x 3、low x 1) を修正した Node.js 12.x, 14.x, 16.x, 17.x の更新版のリリースが予告されています。
Django security releases issued: 4.0.1, 3.2.11, and 2.2.26 (Multiple CVEs) (oss-sec ML, 2022.01.04)
オープンソースのパケット取得・解析ツール「Wireshark 3.6.1」 ~6件の脆弱性が修正 (窓の杜, 2022.01.05)
2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)
Windows Server 2012 R2 / 2016 / 2019 / 2022 において、更新プログラム適用後に「画面が黒くなる、ログオンが遅くなる、あるいは全般に処理が遅くなる」状況が発生することがあるそうで。定例外の更新プログラムが公開されています。
Windows Server用KB5010196とKB5010215が緊急リリース。画面が黒くなったり遅くなるなどの不具合を修正 [Update 1: 2022 / 2016用公開] (ニッチなPCゲーマーの環境構築Z, 2022.01.06)。更新プログラムのダウンロードに関して、Chrome 系ブラウザ利用者のための注あり。
Take action: Out-of-band update to address a Windows Server issue (Microsoft, 2022.01.05 更新)。WSUS で配布したい場合は、 手動でインポートする必要があるそうです。
》 関西スーパーが1株1518円で買い取り オーケーなどの保有株 (毎日, 1/6)。戦後処理。 関連:
(株)関西スーパーマーケット (Yahoo! JAPAN ファイナンス)。最高裁で OK が破れて以来、株価は 1050 円程度に下がったまま。
オーケー、関西スーパー争奪戦で“敗北”も関西進出に「勝算あり」の理由 (ダイヤモンド online, 2021.12.28)
とにかくオーケーには安く売る仕掛け、安く売れる仕組みがある。それゆえ、経済観念が進んでいる関西人がオーケーを受け入れない“はずがない”。
すでに成功例はある。それが、関東地盤のスーパー「ロピア」だ。関東から関西へ出ていくこと自体、冒険だが関西進出からわずか1年で、あっという間に7店舗も出店した。
ロピアはオーケーと同じディスカウント型のスーパーマーケット。オーケーと同じく、とにかく安い。
京都ヨドバシの地下がロピアになったので行ってみたけど、安さはそれほど感じなかったなあ。
》 スポティファイ、CEOが軍事企業に投資したことが物議を醸すことに (NME JAPAN, 2021.12.01)。 そんな話があったのか。 投資しただけでなく、取締役に就任と。
》 「海賊版で読みました」無邪気なファン 「ネギま!」赤松健さんの怒りポイント (時事, 1/6)
》 「ジョジョ」に学んだ海賊版との戦い 漫画原作者デビューした弁護士の気概とは (時事, 1/5)。中島博之弁護士インタビュー。
カザフスタン内閣総辞職 ガス高騰に抗議デモ激化、最大都市で衝突も (朝日, 1/5)
産油国カザフスタンで燃料費高騰 抗議活動で200人以上拘束 (NHK, 1/5)
非常事態宣言中のカザフスタン全土で通信遮断、事態沈静化にロシア主導の軍派遣も (gigazine, 1/6)
カザフスタンが非常事態宣言 ロシアなどに部隊派遣要請 (日経, 1/6)
カザフで抗議デモ広がる、鎮静へ旧ソ連諸国が支援部隊派遣へ (ロイター, 1/6)
ロシア主導軍事同盟、カザフに平和維持部隊派遣へ (AFP, 1/6)
コラム:カザフの燃料高騰抗議デモ、欧州諸国にタイムリーな警鐘 (ロイター, 1/6)
一見したところ、今回の抗議デモは奇妙に映る。カザフは2020年の石油生産が日量180万バレル、天然ガス生産が320億立方メートルと、消費量を大幅に上回る国だからだ。ただ、LPGは長年、政府が補助を出して生産コスト以下の価格で売られてきたため、輸出を促す結果となり、国内で供給不足を招いた。従って、価格を引き上げて国内供給を増やそうという政府のアイデアは理屈にかなったものだったが、一部の国民にとってはエネルギー料金が2倍に跳ね上がった。
》 ヤフコメも改竄「ロシアのネット工作」に私の記事も利用されていた (黒井文太郎 / FRIDAY DIGITAL, 1/6)。 ロシア政府系メディア、ヤフコメ改ざん転載か 専門家「工作の一環」 (毎日, 1/1) の関連記事。
》 ネット向け新型暗号、24年実用化 量子計算機の解読防ぐ (日経, 1/5)。 Post-Quantum Cryptography (NIST) の話みたい。 どのあたりが「スクープ」なのかよくわからない上に、 なぜ耐量子暗号という言葉を使わないのかもさっぱりわからないが。
Post-Quantum Cryptography PQC - Round 3 Submissions (NIST)。日経記事で触れられているのは Round 3 Finalists: Public-key Encryption and Key-establishment Algorithms の 4 つ。「NTT、クアルコムなど」が NTRU、 「IBM など」が CRYSTALS-KYBER、「ルーベン・カトリック大」が SABER、 「イリノイ大など」が Classic McEliece のことみたい。
Public-key Encryption and Key-establishment Algorithms の他に Digital Signature Algorithms があって、Finalists は CRYSTALS-DILITHIUM、 FALCON、Rainbow の 3 つ。
暗号技術検討会検討グループ/タスクフォース資料 (CRYPTREC)、 第4回(2020年度第1回) (CRYPTREC, 2021.03.03)、 暗号技術検討会 2020年度 報告書 (CRYPTREC, 2021.03)
量子暗号通信に関する動向 (日本総合研究所 先端技術ラボ, 2021.02.01)。p.23 に「参考」として耐量子暗号について記載されている。
2025年頃~
耐量子暗号への移行
CRYPTRECから移行指針発表(見込み)
鍵長がRSA2048の数十~数百倍になる見込みであり、
ICカードに導入する際、IC容量を拡大する必要あり
Chrome 97.0.4692.71 が stable に。37 件のセキュリティ修正を含む。
あわせて Extended Stable Channel で 96.0.4664.131 が公開 されている。
あけましておめでとうございます。
》 ポーランド・ベラルーシ国境 白銀の森に「凍結」された移民危機 (フォーサイト / Yahoo, 2021.12.27)
》 連載 オシント新時代~荒れる情報の海 (毎日)
中西輝政氏「気持ちいい情報は危うい」 感情の世紀、どう生きる (毎日, 2021.12.29)
情報ドブに…中西輝政氏が指摘するインテリジェンスの「大問題」 (毎日, 2021.12.30)
隠れ株主「中国」を可視化せよ AI駆使し10次取引先までチェック (毎日, 2021.12.31)
ロシア政府系メディア、ヤフコメ改ざん転載か 専門家「工作の一環」 (毎日, 1/1)
グローバル企業の監視諦めるな 林香里・東大大学院教授 (毎日, 1/2)
》 XOSS G/G+に緊急の最新ファームウェア 使用前にすぐアップデートせよとのこと【2022年問題?】 (CBN Blog, 1/2)、 XOSS G/G+ Firmware Update TUTORIAL (Android) (XOSS / YouTube, 2021.12.31)
》 Microsoft Exchange Server、日付チェック問題でメール配信停止(対処中) (ITmedia, 1/2)。Exchange 2016/2019 のマルウェア対策エンジンにおいて、2038 年問題ライクな事態が 2022 年に発生した模様。 Microsoft が対策を公開。ただし、管理者による手動対応が必要。
Email Stuck in Transport Queues (Microsoft, 1/1)。 scan engine reset script を入手して実行するか、あるいは対応手順を手動で実施する。
Microsoft Exchange year 2022 bug in FIP-FS breaks email delivery (bleeping computer, 1/1)
過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)