![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Apr 24 19:25:32 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 DNS Summer Day 2019 (DNSOPS.jp)。2019.06.28、東京都千代田区、無料。
》 政府機関など狙うDNSハイジャック攻撃、シスコが警告 (ZDNet, 4/19)、 DNS Hijacking Abuses Trust In Core Internet Service (Cisco Talos, 4/17)
》 パスポートのセキュリティ (AAA Blog, 4/23)。日本の外務省、公開鍵暗号を全く理解していない模様。
先に説明したICAO(国際民間航空機関)はICAO Public Key Directory(以下ICAO PKD)というLDAPサーバーにCSCA証明書をアップロードすることを推奨しています。2
このICAO PKDにはドイツのマスターリスト(ドイツが信頼するCSCAのリスト)が公開されており、その中に日本のCSCA証明書が含まれていました。 これは信頼モデルとして日本のパスポートでドイツに入国できることを意味します。
私はこのドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出しました。
自国政府が無能なので、ドイツにたよらざるを得なかった事例ですか。
》 センター試験の「後釜」に不安が募りすぎる理由 「新テスト」に記述式を導入する意味は何だ? (おおたとしまさ / 東洋経済, 4/23)。記述式の答案を誰が採点するのか問題。
採点はかねて「専門の業者が行う」ことになっており、今回は通信教育のベネッセが請け負ったが、実際の採点作業をしたのは、約2000人の大学生および大学院生だった。要するに学生アルバイトである。
(中略)
素人に機械的に採点させるのであれば、むしろAI(人工知能)に採点させたほうがいいのではないかという話にもなりかねない。巷では「AIにはできないことができる人間を、これからは育てなければいけない」といわれているにもかかわらず、AIに認められる人間かどうかが大学入試合否の基準となり、そのための授業が高校で行われるようになるのだとすれば、大いなる矛盾である。
》 サイバー攻撃が発見されるまでの時間、日本が12カ国中で最も遅い結果に (Internet Watch, 4/24)、 ソフォスの調査において、多くのサイバー攻撃がサーバーおよびネットワークで検出されている 一方、その侵入時間および侵入個所については不明であることが判明 (Sophos, 4/17)
調査した国別にみると、EDR の導入予定率が少ないという点で日本は際立っています
》 WannaCryを阻止した「英雄」、別のマルウェア関与で罪状を認める (ITmedia, 4/23)。マーカス・ハッチンズ氏、10 件中 2 件の罪状を認める。 関連:
「WannaCry」の拡散を阻止した英国人、FBIがラスベガスで逮捕 (ITmedia, 2017.08.04)
WannaCryの攻撃を阻止した「英雄的ハッカー」の逮捕は、果たして正当だったのか (WIRED, 2017.08.09)
WannaCryを阻止した英雄マーカス・ハッチンズ、法廷で無罪を主張、ツイッターに復帰 (techcrunch, 2017.08.15)
ツイート:
Statement About My Legal Casehttps://t.co/XLp82vedLk
— MalwareTech (@MalwareTechBlog) April 19, 2019
Marcus “MalwareTech” Hutchins Pleads Guilty to Writing, Selling Banking Malware (Krebs on Security, 4/19)
Malware researcher Marcus Hutchins pleads guilty, ending his legal case (techcrunch, 4/19)
》 “Coinhive事件”控訴審の訴訟費用寄付、2日で1000万円超え受付終了 (ITmedia, 4/23)
》 セキュリティクラスタ まとめのまとめ 2019年3月版: 「JavaScript」と「警察」は相性が悪いのか? (@IT, 4/15)
》 コンビニ24時間、見直し拒否で独禁法適用検討 公取委 (朝日, 4/24)
公取委の複数の幹部によると、バイトらの人件費の上昇で店が赤字になる場合などに店主が営業時間の見直しを求め、本部が一方的に拒んだ場合には、独禁法が禁じている「優越的地位の乱用」にあたり得る、との文書をまとめた。 (中略) 本部が店主に対し、人件費を補助したり加盟店料を引き下げたりして24時間営業を続けられる環境を整えた場合は、必ずしも優越的地位の乱用にあたらない、という。
》 「やってはイケナイ」をやってみよう(仮) (connpass)。2019.05.30、東京都新宿区、無料。面さん情報ありがとうございます。
》 北朝鮮の“国家支援型”サイバー攻撃グループ、日本を狙う「APT37」と金融機関を標的にする「APT38」 (Internet Watch, 4/23)、 Mandiant M-Trends 2019 レポート (FireEye)
》 Twitterが5000以上ものボットアカウントを「デマを拡散した」として凍結、謎の「親トランプ」ネットワークの存在が浮き彫りに (gigazine, 4/24)
》 原発、テロ対策遅れ停止命令へ 「川内」20年3月期限 (日経, 4/24)、 第5回原子力規制委員会 (原子力規制委員会, 4/24)。特定重大事故等対処施設、所内常設直流電源設備 (3系統目) の件。
期限に間に合わない原発は「基準不適合」となるが、規制委は24日の定例会合で期限の延長を認めなかった。不適合状態になった原発は原則として運転停止を求める方針を全会一致で決めた。
基準不適合なので駄目、という単純な話。
》 動画アプリ「TikTok」急ブレーキ 米印で問題浮上 (日経, 4/23)
》 「何がセーフか分からない」ウイルス罪で罰金刑を受けた技術者の嘆き (日経 xTECH, 4/24)。Wizard Bible / IPUSIRON 氏の件。
》 英政府による「有害コンテンツ」への規制は、インターネットに多大な影響を及ぼすことになる (WIRED, 4/24)
Norton Security for Windows, SEP for Windows / Mac 等に複数の欠陥があるという話。Norton Security for Windows 22.16.3、SEP 14.2 RU1 等で修正されている。
どうやら SEP 14.2 RU1 が出たっぽい。
System requirements for Endpoint Protection 14.2 RU1 (Symantec, 2019.04.24)
New fixes and component versions in Symantec Endpoint Protection 14.2 RU1 (Symantec, 2019.04.23)
Chrome 74.0.3729.108 が stable に。39 件のセキュリティ修正を含む。
新元号「令和」への対応まとめ (2019.04.01)
来週の水曜日は令和です。
Windowsの令和対応パッチ配信が始まらず、10連休に間に合わない懸念も (日経 xTECH, 2019.04.22 18:16)
日本マイクロソフト (中略) は「現在、米国の技術チームが準備を進めているところで、まだ配信時期は確定していない。22日中の配信開始はない。10連休に入る前の26日までの配信開始を目指している」(広報)
世の中こんなもん。 まあ、1 か月しか猶予を設けなかった馬鹿政府がそもそも悪いのだけど。
世の中には、当該ドメイン名を保有していなくても勝手にゾーンを作成できてしまう共用 DNS 権威サーバーというものが存在する模様。まじか。うひー。
関連:
Windows 8やWindows 10でウェブサイトのライブタイル提供に使われていたサブドメインが放棄された状態に (ZDNet, 2019.04.18)。notifications.buildmypinnedsite.com.
ツイート:
これはmalaのメモ: CNAMEをCDNに向けたままCDN設定を忘れたりCDN解約したりするとsubdomain takeover が起きる、バグハンターが使ってるツールがある https://t.co/Rqzb8STVey #ssmjp
— mala (@bulkneets) April 23, 2019
池袋事故 87歳運転の車は150m暴走 自転車の母娘死亡 (毎日, 4/19)
捜査関係者によると、飯塚さんは2017年の免許更新の際、認知機能検査を受けていた。運転に問題はないと判断されたとみられるが、近所に住む男性は「飯塚さんは最近、右足をひきずりつえをついていた。駐車場への車庫入れに苦労していた」と話した。
その検査も 2 年前だからなあ。最長でも毎年にしないと駄目なのでは。
池袋暴走、ドラレコに音声 87歳男性「あー、どうしたんだろう」同乗の妻の問いに (毎日, 4/19)。亡くなった方が乗っていた自転車の、まっ2つになっている写真。おそろしい。
赤信号を2回無視、ドライブレコーダーが記録 池袋事故 (朝日, 4/20)
交通捜査課によると (中略) 飯塚さんの車のドライブレコーダーには、ガードパイプ手前のカーブから徐々に加速する様子が記録されており、信号無視の様子も映っていた。ガードパイプへの接触からトラックに衝突して止まるまでの約150メートルの間、ブレーキをかけた形跡はなかった。(中略) 飯塚さんは「アクセルが戻らなくなった」と話したが、車内にアクセルペダルの動きを妨げる障害物はなく、停止した際にエアバッグは正常に作動していた。
ブレーキ痕なく、アクセルペダルの障害もなし 池袋事故 (朝日, 4/20)
乗用車 不具合確認されず 87歳・池袋暴走 運転誤った可能性 (東京, 4/20)
池袋暴走 87歳男性、痛めた足で運転か (毎日, 4/22)
捜査関係者によると、飯塚元院長は足の関節を痛め通院していた。また近所の住民によると、1年ほど前から右足を引きずり、つえを突いて歩いていたという。自宅マンションでも車庫入れに戸惑っている様子が目撃されていた。
ケーサツリーク情報なので慎重に取り扱う必要があるものの、 運転者が原因である可能性が高そうだなあ。 自動運転が実用化されればこういう事象は減っていくと思いたいのだが、 まだしばらくかかるかなあ。
余波:
なぜ「プリウス」はボコボコに叩かれるのか 「暴走老人」のアイコンになる日 (ITmedia, 4/23)。 なにしろよく売れている車なので、事故を起こす機会も多いわけですが、 実はシニアを中心に売れているのだそうで。 まあ、若者が喜んで買いそうなクルマではないわなあ。
加齢で認知力や判断力が衰えているにもかかわらず、自信満々で周囲の意見に耳を貸さない。そんな「傲慢な高齢者」がプリウスを操っているのでは、と思わせるような情報もSNS上には溢れている。
それが「#今日のプリウス」だ。
こんなタグあったんだ。さっそく見てみたら、まあ、いろいろ出てますね。
池袋暴走事故、「加害者と現執行役員に縁戚関係等はありません」 クボタが公式声明でデマを否定 (ねとらぼ, 4/23)
【平成の事件】神奈川県警不祥事 警官「シャブ抜き」で事件隠蔽、主犯は県警本部長 (渋谷 文彦 / カナロコ, 4/23)。覚醒剤使用警官隠蔽事件 (1996、発覚したのは 1999)。
【平成の事件】神奈川県警不祥事 「書かない特ダネもある」 幹部の圧力、記者の苦悶 (渋谷 文彦 / カナロコ, 4/21)。証拠ネガフィルム窃盗・脅迫事件 (1998、発覚は 1999)。
相模原南署の不祥事を巡り、記事化できるだけの情報を積み上げながらも悶々(もんもん)とする中、別の県警幹部はささやいた。「報道には、書く特ダネと書かない特ダネがある。将来のことを考え、長い目で見た方がいいのではないか」。編集局の幹部にも県警首脳から電話が入った。「待ってほしい」と。
こういうのが、実際にあるのですね。
神奈川県警の一連の不祥事に関する会長声明 (神奈川県弁護士会, 1999.11.25)
第1節 相次ぐ不祥事案の発生 (平成 12 年 警察白書)
平成の事件 (カナロコ)
》 トランプ政権の 350 隻海軍構想、ぶっちゃけ難しい模様。冷戦時代には 600 隻艦隊構想なんてのもあったわけですが……
トランプ政権の350隻海軍を巡る諸問題 (渡部悦和 / JBpress / 日本戦略研究フォーラム, 2017.03.29)
早くも黄信号がともるトランプ大統領の「大海軍建設構想」 (朝日, 3/21)
予算をつけたとしても、建艦能力も技術者も決定的に足りないので難しい模様。朝日記事には外注という話まで出てくる。 やれる範囲で艦歳延伸もするのだろうけど、それだって予算が必要だからなあ。 逆に言うと、毎年ガンガン増勢できている中国には、それだけの金と建艦能力があるというわけで。
》 「北方領土は日本に帰属」消える 外交青書、対北朝鮮圧力も削除 (共同, 4/23)。北方領土、放棄ですか。こういうことをする輩は保守じゃない。
》 WTO判決「日本産食品は安全」の記載なし 政府と乖離 (朝日, 4/23)
日本の事実上の逆転敗訴だが、菅義偉官房長官は12日の記者会見で「敗訴の指摘は当たらない」と強調した。理由として、上級委が日本産食品の安全性に触れていないため「日本産食品は科学的に安全であり、韓国の安全基準を十分クリアするとの一審の事実認定は維持されている」ことを挙げた。(中略) だが、実際には第一審の報告書には「日本産食品は科学的に安全」との記載はなかった。さらに、第一審は「日本産食品が韓国の安全基準を十分クリアする」と認定していたものの、上級委はこれを取り消していた。 (中略) 福永有夏(ゆか)・早大教授は「そもそも第一審で安全性の認定は行われていない」と話す。(中略) 「韓国の安全基準を十分クリアする」との説明には、川瀬剛志・上智大教授が「明らかに判決の解釈を誤っている」と指摘する。経産省所管の独立行政法人「経済産業研究所」は16日、同研究員でもある川瀬教授がこうした問題点を指摘したリポートを出した。
こちら: 韓国・放射性核種輸入制限事件再訪 -WTO上級委員会報告を受けて- (川瀬 剛志 / 経済産業研究所, 4/17 改訂)。
関連: 日本は科学的立証せず「裏目に出た」 WTO判決の敗因 (朝日, 4/23)。中川淳司、福永有夏の両教授に聞く。
》 「校長に何度も触られた」性暴力の被害を訴えた女子学生が焼き殺される 逮捕された校長が獄中から指示 (ハフポスト, 4/20)、校長からセクハラ受けた女子学生、通報後に火を付けられ死亡 バングラ (AFPBB, 4/19)。バングラデシュ、ヌスラト・ジャハン・ラフィさん殺害事件。
》 1942年に日本兵、豪の看護師21人を銃殺する前に何を 真実追求の動き (BBC, 4/22)。バンカ島虐殺事件、殺害前にレイプされていた。
》 YouTubeのリコメンド枠に反ワクチン動画が上がってしまう理由 (BuzzFeed, 4/20)
》 冤罪File 2019年夏号 発売のお知らせ (冤罪事件専門誌「冤罪File」編集局公式ブログ, 4/15)。予約した。
》 米FireEye、Adobe Flash形式ファイル向けのセキュリティ解析ツール「FLASHMINGO」を公開 (OSDN, 4/17)
》 WordPressプラグインを狙う攻撃が活発化している件をまとめてみた (piyolog, 4/17)
》 中国人の女性が心を痛めた言葉 日本で起きている差別のリアル (BuzzFeed, 4/17)。ひでえ。
》 Facebook、Instagramのパスワード平文保存件数を数万人から数百万人に修正 (ITmedia, 4/19)。ひでえ。
》 対テロ施設、建設間に合わない 原発9基が停止の可能性 (朝日, 4/19)。特定重大事故等対処施設、所内常設直流電源設備 (3系統目)。
九電川内(鹿児島県)や玄海(佐賀県)、関電高浜、大飯、美浜(いずれも福井県)、四電伊方(愛媛県)の6原発12基で建設工事が遅れ、設置期限を1年~2年半ほど超える見通しという。玄海の超過期間は精査中だという。最も早い川内1号機は来年3月に期限を迎える。
関連:
第8回主要原子力施設設置者の原子力部門の責任者との意見交換会 (原子力規制委員会, 4/17)、 資料2 特重施設等の設置に向けた更なる安全向上の取組状況について (原子力規制委員会, 4/17)
特定重大事故等対処施設について (原子力規制委員会, 2015.01.07)
Oracle Critical Patch Update Advisory - April 2019 (2019.04.17)
Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 (京都教育大学)。まとまっていて、わかりやすい文書。
OpenSSH 8.0 出ました。戸井さん情報ありがとうございます。
This release contains mitigation for a weakness in the scp(1) tool and protocol (CVE-2019-6111): when copying files from a remote system to a local directory, scp(1) did not verify that the filenames that the server sent matched those requested by the client. This could allow a hostile server to create or clobber unexpected local files with attacker-controlled content.
This release adds client-side checking that the filenames sent from the server match the command-line request,
The scp protocol is outdated, inflexible and not readily fixed. We recommend the use of more modern protocols like sftp and rsync for file transfer instead.
関連: scp client multiple vulnerabilities (sintonen.fi)
》 英、ネットポルノ閲覧めぐる年齢認証施行へ 世界初 (AFPBB, 4/18)
》 Windows Updateの“更新遅い”問題を改善したい!――Windows Server 2016の場合 (@IT, 4/16)
》 USB端子に挿すだけでPCを破壊する「USB Killer」でPCをぶっ壊しまくった学生が逮捕される (gigazine, 4/18)
》 コインハイブ事件、控訴審の寄付呼びかけ「技術者を萎縮させる」 (弁護士ドットコム, 4/18)、 Coinhive事件裁判費用の寄付のお願い (日本ハッカー協会, 4/18)、 #JHA_Coinhive
》 「利用料に不満」は楽天市場、「返品に不満」はAmazon 公取委のモール出店者調査 (ITmedia, 4/18)、 (平成31年4月17日)デジタル・プラットフォーマーの取引慣行等に関する実態調査について(中間報告) (公正取引委員会, 4/17)
》 Project TajMahal – a sophisticated new APT framework (Kaspersky, 4/10)
邦訳版: TajMahal:新たに発見された高度なAPTフレームワーク (Kaspersky, 4/18)
》 DDoS攻撃が全世界で大幅増加、NETSCOUTが2018年版レポートを公開 (@IT, 4/9)
》 マイクロソフト、警察当局への顔認証技術の販売を拒否 (CNET, 4/18)
》 アマゾンの顔認識技術、政府への販売をめぐり株主投票へ (CNET, 4/16)
》 「.amazon」ドメインを取り戻せ? Amazon.comと南米各国の綱引き、依然継続中 (Internet Watch, 4/17)。「アマゾン川流域にある南米8カ国との綱引きが行われている」
Drupal core - Moderately critical - Multiple Vulnerabilities - SA-CORE-2019-005 (Drupal, 2019.04.17)。Drupal 8.6.15 / 8.5.15 で対応。
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-006 (Drupal, 2019.04.17)。Drupal 8.6.15 / 8.5.15 / 7.66 で対応。
RubyGems 2.7.9とRubyGems 3.0.3が公開 (famlog.jp, 2019.03.05)
RubyGems の複数の脆弱性について (Ruby, 2019.03.05)
Ruby 2.4.6 リリース (Ruby, 2019.04.01)
Broadcom の無線 LAN チップセット用ドライバーに欠陥。 Broadcom 製 wl ドライバー、およびオープンソースで開発された brcmfmac ドライバーにそれぞれ個別のセキュリティ欠陥が複数あり、 remote から DoS 攻撃や任意のコードを実行できる。
wl ドライバー: CVE-2019-9501 CVE-2019-9502
brcmfmac ドライバー: CVE-2019-9503 CVE-2019-9500
詳細: Reverse-engineering Broadcom wireless chipsets (Quarkslab, 2019.04.16)
brcmfmac ドライバーには修正が施された。wl ドライバーにはまだみたい。
》 平成31年度東京大学学部入学式 祝辞 (上野 千鶴子 / 東京大学, 4/12)。 こんな祝辞が聞けるなら、入学式に出るのも悪くないなって素直に思う。 関連:
東大のジェンダー問題で東大生にアンケート 「問題は深刻か」の回答に男女差 (東大新聞オンライン, 2016.08.21)
【東大入学式】上野千鶴子さん祝辞の反応は。東大女子のつらさ思い出し涙したOG (分部麻里、竹下郁子、浜田敬子 / Business Insider, 4/12)
》 「すしざんまい」セクハラやり放題 被害女性が涙の告発 (FRIDAY / Yahoo, 4/17)。セクハラざんまい。
》 記事内のURLの英数表記、ついに全角から半角へ……神戸新聞の取り組みが話題に (やじうまWatch, 4/16)。2019 年になってこれかいって感じなのだが、他社はもっとアレってことだろうからなあ。
》 「Outlook」一部アカウントに不正アクセス、マイクロソフトが公表 (ZDNet, 4/15)、 HotmailやMSNに不正アクセス、ユーザーのメールの内容見られた可能性も (ITmedia, 4/16)。Outlook.com, MSN, Hotmail で発生。1/1 〜 3/28。
》 Internet Week ショーケース in 仙台。 2019.05.30〜31、宮城県仙台市、無料 (懇親会は 5000 円)。
Confluence Server および Confluence Data Center における複数の脆弱性に関する注意喚起 (JPCERT/CC, 2019.04.17)。修正版公開済。また WebDAV plugin と Widget Connector を無効化することで回避できる。
WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 (徳丸浩の日記, 2019.04.17)。7.2.0 以降で修正されている。
複数の問題が組み合わさって攻撃が可能になっていますが、とくに、yp_remote_get_first()関数内で、特定のGETパラメータを指定すると一時的に管理者になる(厳密にはid=1のユーザになる)機能が実装されていることが原因のようです。この機能の意図はよくわかりませんが、表面上は開発者が仕込んだバックドアのように見えます。
「Evernote for Windows」に任意コードの実行につながる可能性のある脆弱性 (窓の杜, 2019.04.16)。6.18 Beta 2 で修正。6.18 正式版はまだリリースされていないそうだ。 https://discussion.evernote.com/forum/539-windows/ を見る限りでは 6.18 Beta 3 が最新?
ってちょっと待って。 Evernote for Windows 6.18 beta 3 (discussion.evernote.com, 2019.04.11) を見ると「New: Security update」 って書いてあるよ?! Beta 3 には別のセキュリティ修正が含まれている?!
Internet Explorerでゼロデイ脆弱性が発見される、PC上のファイルを盗まれる可能性 (gigazine, 2019.04.15)。.MHT ファイルを開くとどかーん。未修正。
「カスペルスキー インターネット セキュリティ 2019」に脆弱性 ~修正版が公開 (窓の杜, 2019.04.12)
Oracle 四半期アップデート来ました。Java や VirtualBox も更新されています。
Oracle、フリーの仮想PCソフト「Oracle VM VirtualBox」v6.0.6/v5.2.28を公開 12件の脆弱性を修正 (窓の杜, 2019.04.17)
racle、「Java SE 12.0.1」「Java SE 8 Update 211」を公開 ~新元号“令和”に対応 5件の脆弱性を修正、いずれもリモートから悪用が可能 (窓の杜, 2019.04.17)
なお、Oracle Java についてはライセンスが変更されたので注意が必要です。
「Oracle Java」のライセンスが変更 ~無償利用は個人での開発・テスト・デモ目的のみに 「Java 8」の無償アップデートは新ライセンス下で少なくとも2020年終わりまで継続 (窓の杜, 2019.04.17)
ひっかかる場合は、Oracle の商用ライセンスを買うか、あるいは OpenJDK に移行することになるのでしょう。
JDKの長期商用サポート(LTS)の提供ベンダー比較(無償利用についても言及あり) (qiita, 2019.04.12 更新)
Oracle JDK 8にあってOpenJDKにない機能 (qiita, 2019.03.17 更新)
リンク:
AdoptOpenJDK (adoptopenjdk.net)
Download Zulu: tested, certified builds of OpenJDK (azul.com)
Amazon Corretto (aws.amazon.com)
Download Red Hat OpenJDK (developers.redhat.com)
OpenJDK (openjdk.java.net)
手元の機械には、とりあえず Zulu を入れてみた (8u212 が公開されていたので)。
Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 (京都教育大学)。まとまっていて、わかりやすい文書。
》 アングル:長引く737MAX運航停止、夏の「稼ぎ時」を直撃 (ロイター, 4/16)
》 「これでいいのか! 2018年著作権法改正」出版にあたり――日本版フェアユース再考のすすめ (城所 岩生 / Internet Watch, 4/12)
》 ノートルダム大聖堂で起きた大規模火災の様子を収めた写真&ムービーまとめ (gigazine, 4/16)
》 米国がテロ組織指定した「世界最凶」国家軍事組織 ISよりも危険な存在、イラン「革命防衛隊」とは(前編) (黒井 文太郎 / JBpress, 4/16)
》 NTT東、「社員の個人PCに検閲ソフトを導入」SNS投稿を「事実と異なる」と否定 (ねとらぼ, 4/16)
関連: http://ntt-workers.net/top/2016/161118/161111_higashi-pc.pdf
米国に巣くう「心の狭い人々」、無党派の学生が語る分断 (金成隆一 / 朝日, 4/16)。興味深い。
》 墜落したF-35戦闘機の捜索にU-2偵察機を投入する異例の対応 (JSF / Yahoo, 4/13)
》 中国は、海底通信ケーブルをスパイしている (okuranagaimo.blogspot.com, 4/15)
》 アフィリエイトサイトやASPが悪いわけじゃない!? 虚偽・ねつ造広告の実態について、日本アフィリエイト協議会の笠井北斗さんに聞いてきた (Web担当者Forum, 4/12)
》 「技適の壁」がついに破れる?「電波法改正案」を国会議員に聞いてみた 、180日の実験が個人でも可能に、最新スマホもARデバイスも11axルーターも! (Internet Watch, 4/15)
》 マンガワンのチート事案についてまとめてみた (piyolog, 4/14)
男性が紹介したのはアプリ内包のXMLファイルの特定値を改変する方法。
特定値はベタ書きで、数字を増やすだけで利用制限時間が引き延ばされた。
やってることがショボすぎる……。
2016年4月24日 男性が改変方法をブログで紹介。
これまたずいぶん前の話なのですね……。
関連:
ツイート:
マンガワンの件。第一報では手法が分からなかったのですが、これ、ローカルのファイルを書き換えただけですよね。どうして、電磁的記録不正作出及び供用なんだろう…
— MAEDA Katsuyuki (@keikuma) April 15, 2019
「マンガワン」チート事件、警察が公開している《被害額》が全く仕様と噛み合ってない件について。
— スイ (@straydrop411) April 15, 2019
7000万円相当の窃盗ってあるけど、これは仮想被害額を書いてるだけで、全く実態と違う。
どう計算しても、数百円~数万円が限界のはず。
大悪人として晒し上げられてて、最低の人権侵害すぎる。
例えば新聞社でよくある「この記事は有料です」みたいなやつで、仮にURLの末尾にread=ngみたいなパラメータがついてて、これをokに変えたら読めました→私電磁的記録不正作出で逮捕みたいな事件がきっとこの先ありそう
— はまちや2 (@Hamachiya2) April 15, 2019
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
関連:
米中5G戦争ファーウェイの逆襲 米政府提訴「成功する可能性ある」 (ジョナサン・ブローダー / ニューズウィーク日本版, 2019.03.19)
5G戦争:ファーウェイ追放で得をするのは誰か? (イライアス・グロル / ニューズウィーク日本版, 2019.03.20)
EUが5Gめぐりセキュリティ強化もファーウェイ排除は見送り (techcrunch, 2019.03.27)
ファーウェイの通信機器を巡る「疑惑」は、実は悪用可能なバグだった? 英政府機関が指摘 (WIRED, 2019.03.30)
ファーウェイ会長が米政府の言い分を負け犬の遠吠えと一蹴 (techcrunch, 2019.03.30)
ファーウェイの2018年決算は純利益1兆円弱、消費者部門の成長で好調 (techcrunch, 2019.03.31)
MITが制裁違反の嫌疑がかかるファーウェイならびにZTEとの協力関係を解消 (techcrunch, 2019.04.05)
5G最強のファーウェイ「韓国に教えたい」 (中央日報, 2019.04.09)
米国がファーウェイを禁止する本当の理由 5Gでの覇権は絶対に阻止したい (プレジデント, 2019.04.10)
ファーウェイ、5G半導体を外販 幹部が意向 (日経, 2019.04.11)
ファーウェイの「中の人」情報窃取疑念への回答 機器経由での盗み出しは技術的に可能なのか (坂口 孝則 / 東洋経済, 2019.04.12)。ソースコードを各国政府に開示している件など。
坂口:念のために確認しますが、イギリス政府に差し出したのは、ファームウェアを含めたすべてですか。それとも、一部は例外ですか。
赤田:イギリスに関わる機器はすべてです。さらに、これも珍しい取り組みではなく、例えばドイツでも韓国でも似たような検証、監督の仕組みがあります。さらにいくつかの国でも、実際にソースコードを全公開して検証しています。
ファーウェイ幹部、製品安全性を強調 排除唱える米政府に反論 (ロイター, 2019.04.12)。「サイバーセキュリティー責任者、ソフィー・バタス氏」
ファーウェイが独自OS開発。Android、iOSの寡占状態に挑む、「それ以外」のスマホ向けOS (ハーバー・ビジネス・オンライン, 2019.04.15)。こういう系は話が出るたびに頓挫しているわけですが、今回はどうでしょう。
[FT]独当局長官、「ファーウェイ排除せず」改めて強調 (日経, 2019.04.15)
ドイツが「5G」でファーウェイ受け入れ、米国の要請を拒絶 (Forbes, 2019.04.15)
ファーウェイ副社長「トランプ大統領のおかげで知名度高まった」。日本での調達、将来は100億ドル (Business Insider Japan, 2019.04.16)。陳黎芳(チェン・リーファン)取締役兼上級副社長。
中国ファーウェイ機器、スパイ活動利用の証拠検出されず=ベルギー当局 (ロイター, 2019.04.16)
オランダ、5Gの安全性検証へ ファーウェイなど念頭 (日経, 2019.04.16)
米、5月国際会議で同盟国にファーウェイ排除を呼び掛けへ (ロイター, 2019.04.16)
中国当局、エリクソンを調査 ファーウェイ排除に対抗か (日経, 2019.04.16)
中国ファーウェイ、5Gに関する40件の商業契約を3月末までに締結 (朝日, 2019.04.16)
ファーウェイ創業者、「アップルに5Gモデム販売を検討」と発言。「ジョブズは超素晴らしい」 (engadget, 2019.04.15)
Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)
Trend Micro、ユーザーのブラウザ履歴を収集していた「Dr. Antivirus」をアップデートし、Mac App Storeでの公開を再開。 (AAPL Ch., 2019.04.16)
2019 年 4 月のセキュリティ更新プログラム (月例) (2019.04.11)
懲戒請求で「余命」読者6人に各33万円の支払い命令 嶋崎弁護士勝訴 (弁護士ドットコム, 4/11)。おめでとうございます。
不当懲戒請求「余命読者」6人に支払い命令、個別の損害認める 弁護士2人が勝訴 (弁護士ドットコム, 4/12)。佐々木亮弁護士と北周士弁護士。 おめでとうございます。
神原弁護士ら、不当懲戒請求者 712人を提訴 (4/11)
懲戒請求された弁護士、712人提訴「悪質な嫌がらせ」 (朝日, 4/11)
懲戒請求の男性、弁護士に謝罪「ただの差別と気づいた」 (朝日, 4/11)。和解した方が、神原弁護士に同席して記者会見。
》 見えてきた中国「監視社会」の実態 (日経, 4/15)
》 「売名行為」批判に異色のアンサー DOMMUNEが「坂上忍縛り」のライブ配信を実施 (BuzzFeed, 4/15)。粋だねえ。
関連:
21:00~23:00 WHO IS MUSIC FOR? MUSIC IS FOR EVERYONE! 3
DOMMUNE Presents アンサープログラム 「DJ Plays “坂上忍" ONLY!!」
(DOMMUNE Program Information 4/15)
明日、電気グルーヴの作品回収などの撤回を求める署名を提出します! (ダースレイダー Official Blog, 4/14)
電気グルーヴCD回収の反対署名、ソニー・ミュージックレーベルズに提出へ (ハフポスト, 4/15)
ピエール瀧逮捕から考える、アーティストの罪とユーザーの権利 (ニコニコ生放送, 4/15 17:00〜)
》 piyokangoの週刊システムトラブル 大学ドメインを使ったアダルトサイトが出現、原因は意外なところに (日経 Tech On, 4/15)。yamanashi-med.ac.jp の件。
JPRSは属性型ドメインの審査について、「最初に申請を受け付けた契約事業者(レジストラ)が審査し、その後、JPRSでも審査することになっている」(広報担当)という。しかし、「JPRSの審査に時間がかかることがあるので、レジストラの審査だけでとりあえず登録を行うことがある。今回はそのケースだった」(同)と説明する。
そもそものワークフローがアレだよなあ。
オリジナルはこちらから: Dragonblood - Analysing WPA3's Dragonfly Handshake (wpa3.mathyvanhoef.com)。 WPA2 へのダウングレード攻撃が可能な上に、サイドチャンネルからパスワード関連情報が漏洩するため、辞書攻撃に類似した攻撃が可能。
Our downgrade attack enables an adversary to force a client to partly execute WPA2's 4-way handshake, which can subsequently be used to perform a traditional brute-force attack against the partial WPA2 handshake. Additionally, we also discovered downgrade attacks against the Dragonfly handshake itself, which can be abuse to force a victim into using a weaker elliptic curve than it would normally use.
Our side-channel attacks target Dragonfly's password encoding method. The cache-based attack exploits Dragonflys's hash-to-curve algorithm, and our timing-based attack exploits the hash-to-group algorithm. The information that is leaked in these attacks can be used to perform a password partitioning attack, which is similar to a dictionary attack. The resulting attacks are efficient and low cost. For example, to brute-force all 8-character lowercase passwords, we require less than 40 handshakes and 125$ worth of Amazon EC2 instances.
世の中きびしい。
2019 年 4 月のセキュリティ更新プログラム (月例) (2019.04.11)
複数の会社のアンチウイルスソフトで不具合が発生するそうで:
April 9, 2019—KB4493472 (Monthly Rollup) Applies to: Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 (Microsoft)。Sophos, Avira, ArcaBit, Avast で不具合発生。
April 9, 2019—KB4493446 (Monthly Rollup) Applies to: Windows 8.1 Windows Server 2012 R2 (Microsoft)。Sophos, Avira, ArcaBit, Avast で不具合発生。
April 9, 2019—KB4493471 (Monthly Rollup) Applies to: Windows Server 2008 Service Pack 2 (Microsoft)。Sophos, Avira で不具合発生。
April 9, 2019—KB4493451 (Monthly Rollup) Applies to: Windows Server 2012 Windows Embedded 8 Standard (Microsoft)。Sophos, Avira で不具合発生。
April 9, 2019—KB4493509 (OS Build 17763.437) Applies to: Windows 10, version 1809 Windows Server 2019, all versions (Microsoft)。ArcaBit で不具合発生。
アンチウイルス各社からの情報:
Sophos Central Endpoint and SEC: Microsoft Windows の 2019年 4月 9日のアップデート後にコンピュータが起動に失敗またはハング状態になる (Sophos, 2019.04.15)
Windows Machines Running Avast for Business, Avast CloudCare, and AVG Business Edition Freezing on Start-up (Avast, 2019.04.12)
Wsparcie techniczne (ArcaBit)
報道:
Windows is Slower After April 2019 Updates According to Users (bleeping computer, 2019.04.12)
Microsoft Confirms Latest Updates Are Freezing Windows -- Here's How To Fix It (Forbes, 2019.04.12)
》 王者セブンに先んじてファミマが「本気の時短実験」に踏み切る理由 (ダイヤモンド online, 4/12)
結果如何では本部の利益減につながりかねない今回の実証実験について、ファミマの澤田貴司社長は、「日商(店舗の1日当たりの売上高)と加盟店の利益への影響を検証し、結果には真摯に向き合って対策をとる」と明言。親会社であるユニー・ファミリーマートHDの髙柳浩二社長は、「結果によっては、フランチャイズ契約の見直しに踏み込むこともないとは言えない」と言及した。
SEJ首脳が記者会見で加盟店の利益への影響について問われ、言葉を濁した姿勢とは対照的だ。
あれっ名前変わったんじゃなかったっけ? と思って 「子会社(株式会社ファミリーマート)の吸収合併(簡易合併・略式合併) 及び商号の変更に関するお知らせ」 (fu-hd.com, 4/10) を読み直したら、9/1 からなのですね。
》 コインチェックをハッキングしたのは本当に北朝鮮なんですか? (無能ブログ, 3/28)
》 19歳の娘に対する父親の性行為はなぜ無罪放免になったのか。判決文から見える刑法・性犯罪規定の問題 (伊藤和子 / Yahoo, 4/11)。 名古屋地裁岡崎支部 (鵜飼祐充裁判長) 3/26 判決の件。 法律を変えないとどうしようもないと。
この女性と父親が韓国や台湾に住んでいたとしても、同じ事実認定のもとで無罪にはならなかったと考えられます。
日本は改めて性暴力に寛大な国、性暴力のうち広範な範囲が犯罪と認められないことが法律で定められている国、として、他国とはかなり異質になりつつあるといえるでしょう。
日本も何も変わっていないわけではなく、2017年に日本では、110年ぶりの刑法・性犯罪規定の改正がありました。
その際にもこの「抗拒不能」という要件は「暴行脅迫」要件とともに問題にされ、『不同意性交はすべて犯罪』にしてほしいとの被害者の切なる意見が届けられました。
しかし、これに先立つ法務省・法制審議会の議論では、この論点は見送りにされました。
積み残した部分の問題点がいよいよ顕在化し、欧米はおろか韓国・台湾とすら差がついてしまっているというのが現実ですか。
関連:
福岡地裁久留米支部 (西崎健児裁判長) 3/12 判決の件 (検察側は控訴済):
記者のこだわり 準強姦無罪判決のなぜ その経緯と理由は? (毎日, 3/25)
「性暴力禁止法をつくろうネットワーク」の周藤由美子さんは、性暴力を裁くのに「故意」があったかどうかを判断材料としていることに疑問を呈す。「『相手が嫌がっていると気づかなかった』『嫌なのに抵抗できる状態になかったとは思わなかった』と加害者側が言ってしまえば罪に問われなくなる可能性がある。性暴力の加害者は自分が犯罪行為を行っていると認識していないことも多い。性暴力加害者の傾向を理解せずに、裁判官が『常識』で判断すると誤った結論に至ってしまう可能性がある」
周藤さんは「性的な行為について相手の同意がなければ性暴力になる可能性があるという認識が日本ではまだまだ共有されていない。同意のない性行為が強姦であるとして処罰されるように刑法を再改正するとともに、『故意』があったかを問うのではなく、きちんと相手の意思を確認しなかった『過失』があるとして罪に問えるよう法律を改正する必要があるのではないか」と訴えている。
相次ぐ性犯罪「無罪」判決に欠けた“被害者の心理” (山田道子 / 毎日, 4/8)
帯広畜産大名誉教授の杉田聡氏はWEBRONZA(3月22日配信)で、地裁久留米支部の無罪判決で「女性が(性交を)許容してい(た)」と認定した裁判官の「経験則」を問題視する。杉田氏編著の「逃げられない性犯罪被害者」(青弓社)によると、経験則とは典型的なものに限ることなく、「我々が社会生活の中で体得する広い意味での経験則ないし一般的なものの見方も(略)含まれる」。だが、実際はジェンダー・バイアスがかかった男性だけの経験。「嫌だったら逃げるはず」という「レイプ神話」のようなもの。そんな経験則から「性暴力被害者が逃げ出さないのは不自然」と認定するのがいかに被害者の実像と異なるかを同著は示す。
性犯罪被害者の心理に関して裁判官の知識は「途上」。小西教授の講演録を読んだのかと言いたくなる。
「準強かん」事件、福岡地裁・無罪判決の非常識 男性社会に流布した女性観の妄信 (杉田聡 / WEBRONZA, 3/22)
性犯罪で無罪判決が続いたのはなぜかーー江川紹子が考える、被害者救済のために本当に必要なこと (江川紹子 / Business Journal, 4/9)
》 Interop Tokyo。2019 は 6/12〜14 だけど、2020 は 4/13〜15 だそうで。この日程は厳しい……。2020 は無理かな。
》 40~57歳男性が「風疹対策クーポン」を使うべき理由 (毎日 医療プレミア, 4/12)。国が重い腰をようやく上げました。
国は「事業を円滑に進めるため」として、1年目の19年度はまず、72年4月2日~79年4月1日生まれ(47~40歳)の男性にクーポンを送ることにした。
ぐはぁ (吐血)。対象外じゃないか。
一方、62年4月2日~72年4月1日生まれ(57~47歳)の男性も、希望すればクーポンは送られる。(中略) 住んでいる市区町村に問い合わせてほしい。
要問いあわせ、と。
関連:
追加的対策の骨子 (厚生労働省)
概要 (厚生労働省)
初年度の実施方法 (厚生労働省)
Q&A(対象者向け) (厚生労働省)
》 「家族と安定がほしい」心を病み、女性研究者は力尽きた (朝日, 4/10)。西村玲氏。極めて優れた研究業績を上げていてもなお、この状況だと。
首都圏大学非常勤講師組合 (中略) の志田昇書記長は、「非常勤講師はかつては研究者の『最底辺』の職だったが、今はそれすら難しい」という。常勤教員でも、募集の多くは任期付き。これでは人生設計が立てられない。「博士課程まで進んでしまうと、破滅の道。せっかく育てた人材が、どんどんドブに捨てられている」
関連: 首都圏大学非常勤講師組合
》 Android用のウイルス対策アプリは、大半が「怪しい」ものだった:調査結果 (WIRED, 4/12)。 Android Test 2019 – 250 Apps (av-comparatives, 3/12) の件。
The following 80 apps detected over 30% of malicious apps, and had zero false alarms:
Google Play から 250 種のアプリをダウンロードして調べたけど、マルウェア検出率 30% 以上かつ誤検出 0 なのは 80 種しかなかったと (マルウェアサンプル数は 2000、正常アプリのサンプル数は 100)。 まあ、ふつうの人は、「Test Results 100%」の一覧の中から選べばいいんじゃないかな。もちろん、それで安心 ok ok ではないのだけど。
》 誰が「維新」を支持したか――大阪・首長ダブル選挙の光景から (松本創 / ハーバー・ビジネス・オンライン, 4/11)
いずれにせよ、維新支持層は「抽象的な『大阪』の利益」を求めているという主張は、大いに頷ける。これは私の印象論に過ぎないが、その背景には、何ごとにおいても東京に対抗し、反発しながらも憧れる大阪の文化的土壌、つまり、根深く強烈な東京コンプレックスがあるのではないか。今回の選挙で、維新は「都構想で東京のような特別区になれば経済成長できる」と言い、自民は「東京の劣化コピーでしかない制度にしても意味がない」と主張した。これは実に重要な論点であり、票の分かれ目になったのではないか。
》 百田尚樹氏『日本国紀』の「朝鮮人虐殺」記述の過ち(加藤直樹) (アジアプレス / Yahoo, 4/10)
》 ものの15分で指紋を複製し、他人のスマホにアクセス ~Galaxy S10指紋認証センサーの脆弱性にユーザーが警鐘 (PC Watch, 4/10)。 3D プリンタ指で突破する話。 これ、Galaxy S10 に限った話なんですかねえ。
》 Windows の月例セキュリティ更新プログラムと品質更新プログラム (Windows Blog for Japan, 4/11)。B リリース = Windows Update の日。
第 3 週と第 4 週に、「C」リリースと「D」リリースと呼ばれるオプションの更新プログラムもリリースしています (中略) この目的は、翌月の「B」リリースに含まれるセキュリティ以外の修正を公開し、テストできるようにすることです
C, D リリースは翌月の B リリースのためのテスト用。
》 原発事故後、先天性心疾患の手術件数14%増 世界的権威が認めた衝撃の事実 日本のメディアが報じない怪 (飯塚真紀子 / Yahoo, 4/9)、 福島原発事故後の複雑心奇形の全国的増加 (名古屋市立大学, 3/14)
解析の結果、乳児(1歳未満児)に対する複雑心奇形の手術件数は、原発事故後におよそ14.2%(95%信頼区間:9.3%-19.4%)の有意な増加が認められ、調査終了時の2014年まで高い水準が維持されていました。一方、1−17歳の患者に対する複雑心奇形の手術件数は、研究期間中においては著しい変化は認められませんでした。複雑心奇形の手術件数は、その発生率そのものとは異なるものの密接に関連しているため、複雑心奇形の発生率の上昇が示唆されました。しかしながら、その正確な原因については今後の研究課題です。
掲載図を見ると、事故前 (2007〜2010) から既に上昇傾向にあるように見えるのだよなあ。今回の調査期間の前後についても、ひきつづき調査してほしい気が。
ラブライブ公式ドメイン乗っ取り事件 (2019.04.08)
「ラブライブ!」乗っ取りを“教訓”に ドメイン名の価値に見合った管理方法 (高橋睦美 / ITmedia, 2019.04.11)
Wireshark 3.0.1 Release Notes (Wireshark, 2019.04.08)。10 件のセキュリティ修正を含む。
Wireshark 2.6.8 Release Notes (Wireshark, 2019.04.08)。6 件のセキュリティ修正を含む。
Symantec Endpoint Encryption Privilege Escalation - SYMSA1478 (Symantec, 2019.03.27)。SEE 11.2.1 MP1 で修正。 CVE-2019-9694
Symantec VIP Enterprise Gateway Cross Site Scripting - SYMSA1477 (Symantec, 2019.03.26)。EG versions 9.8.4 / 9.7.1 用の patch が用意されている。patch と適用方法。
Security update available for Adobe Dreamweaver | APSB19-21 (Adobe, 2019.04.09)。Dreamweaver 19.1 公開。1 件のセキュリティ欠陥を修正。 CVE-2019-7097。 Priority: 3
Security Updates Available for Adobe XD | APSB19-22 (Adobe, 2019.04.09)。Adobe XD for macOS 17.0.12 公開。 2 件のセキュリティ欠陥を修正。 Priority: 3
Security Update Available for InDesign | APSB19-23 (Adobe, 2019.04.09)。 Adobe InDesign 14.0.2 公開。macOS 版でのみ、1 件のセキュリティ欠陥を修正。 Priority: 3
Security updates available for Adobe Experience Manager Forms | APSB19-24 (Adobe, 2019.04.09)。Adobe Experience Manager Forms 6.2〜6.4 に 1 件の欠陥。 patch が用意されている。 Priority: 2
Security Updates Available for Adobe Bridge CC | APSB19-25 (Adobe, 2019.04.09)。Adobe Bridge CC 9.0.3 公開。8 件のセキュリティ欠陥を修正。 Priority: 2
Adobe Shockwave Player for Windows 12.3.5.205 公開。7 件のセキュリティ欠陥を修正。Priority: 2
Shockwave Player for Windows のサポートはこれで終了。
21 件のセキュリティ欠陥を修正。Priority: 2
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.010.20099 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30138 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30493 |
Flash Player 32.0.0.171 公開。2 件のセキュリティ欠陥 CVE-2019-7108 CVE-2019-7096 を修正。Priority: 2 (Linux 版は 3)。
出ました。Flash Player, IE / Edge, Windows, Office, ChakraCore, ASP.NET, Exchange, Team Foundation Server, Azure DevOps Server, Open Enclave SDK, Windows Admin Center 。
複数の会社のアンチウイルスソフトで不具合が発生するそうで:
April 9, 2019—KB4493472 (Monthly Rollup) Applies to: Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 (Microsoft)。Sophos, Avira, ArcaBit, Avast で不具合発生。
April 9, 2019—KB4493446 (Monthly Rollup) Applies to: Windows 8.1 Windows Server 2012 R2 (Microsoft)。Sophos, Avira, ArcaBit, Avast で不具合発生。
April 9, 2019—KB4493471 (Monthly Rollup) Applies to: Windows Server 2008 Service Pack 2 (Microsoft)。Sophos, Avira で不具合発生。
April 9, 2019—KB4493451 (Monthly Rollup) Applies to: Windows Server 2012 Windows Embedded 8 Standard (Microsoft)。Sophos, Avira で不具合発生。
April 9, 2019—KB4493509 (OS Build 17763.437) Applies to: Windows 10, version 1809 Windows Server 2019, all versions (Microsoft)。ArcaBit で不具合発生。
アンチウイルス各社からの情報:
Sophos Central Endpoint and SEC: Microsoft Windows の 2019年 4月 9日のアップデート後にコンピュータが起動に失敗またはハング状態になる (Sophos, 2019.04.15)
Windows Machines Running Avast for Business, Avast CloudCare, and AVG Business Edition Freezing on Start-up (Avast, 2019.04.12)
Wsparcie techniczne (ArcaBit)
報道:
Windows is Slower After April 2019 Updates According to Users (bleeping computer, 2019.04.12)
Microsoft Confirms Latest Updates Are Freezing Windows -- Here's How To Fix It (Forbes, 2019.04.12)
2019年4月パッチを適用したWindows 7/8.1が応答不能に ~一部セキュリティ製品と非互換問題 Sophos、Avira、AVGに影響。Avastでは緊急アップデートが実施される (窓の杜, 2019.04.16)
メンテナンスが終了している WordPress 用プラグイン yuzo-related-post に XSS 欠陥があり、悪用されてハクられる事例が各地で発生している模様。
作者からのおしらせ: Remove this plugin immediately (wordpress.org, 2019.04.10)
Attacks on Closed WordPress Plugins (sucuri, 2019.04.10)
Mailgun hacked part of massive attack on WordPress sites (ZDNet, 2019.04.10)
ツイート:
WordlPressのyuzo-related-postプラグインの脆弱性を悪用されて詐欺サイトに誘導される事例が国内でもチラホラ。
— tike (@tiketiketikeke) April 11, 2019
37.230.116\.105 (AS29182 (ISPsystem, cjsc)) に山ほどぶら下がっている .tk ドメインを経由して詐欺サイトに誘導されるようです。
またプッシュ通知が・・・やれやれ。 pic.twitter.com/XEP8fPwXVh
インストールしている方は、今すぐ削除しましょう。
》 公取委、「楽天トラベル」「Expedia」「Booking.com」に立ち入り 宿泊施設に“最安値”求めた疑い (ITmedia, 4/10)
》 日販とトーハン、協業で合意 危機感あらわ、「出版流通網維持、従来のままでは不可能」 (ITmedia, 4/10)
》 「Firefox」、仮想通貨採掘とフィンガープリンティングのブロック機能を追加へ (CNET, 4/10)
》 「Coinhive」訴訟、横浜地検が控訴 弁護人「何が何でも有罪にしたいのか」 (ITmedia, 4/10)。横浜地検は恥を上塗りしたいらしい。ほんと糞。
関連:
コインハイブで無罪判決、捜査機関に苦言も…法とモラルと業界ルール、丁寧な議論を (AbemaTimes, 3/28)
コインハイブ事件で無罪判決。罪に問われていた男性が胸中をブログで明かす (仮想通貨 Watch, 4/4)
》 「Windows 10」、USBメモリなどの取り外しポリシーの既定が「クイック削除」に (ITmedia, 4/9)。バージョン 1803 までは「高パフォーマンス」、1809 は「クイック削除」がデフォルト。変更の仕方も解説されている。
オフィシャル
三沢基地所属F-35Aのレーダー消失について(第1報) (航空幕僚監部, 4/9)
三沢基地所属F-35Aの墜落について(第2報) (航空幕僚監部, 4/10)
報道
ステルス戦闘機F35A、洋上で消息絶つ 三沢基地所属 (朝日, 4/9)
戦闘機F35Aの尾翼を回収 初めての墜落事故と断定 (朝日, 4/10)
墜落した機体は9日午後7時ごろ、計4機による対戦闘機戦闘訓練のため、同基地を離陸。防衛省によると、男性3佐はF35Aで約60時間、他の戦闘機を含め、約3200時間の飛行経験があるベテランで、この日は4機の編隊長として訓練を統率していた。離陸の約30分後、墜落機から「訓練中止」を告げる通信があり、直後に通信が途絶えた。夜間で距離があり、僚機は墜落機の状態を見てはいないという。
空自機F35A墜落 突発的なトラブル発生か (毎日, 4/10)
操縦していた男性3佐は事故直前、無線で「ノック・イット・オフ(訓練中止)」と伝えていたという。10日朝の時点で3佐が緊急脱出した形跡は見つかっておらず、突発的なトラブルが発生した可能性が高い。(中略) 最後の交信の直後に位置が確認できなくなっており、墜落は異変を確認した直後だった可能性が高い。一緒に訓練していた他の3機は距離が離れており、墜落の瞬間を見ていなかったという。
三沢所属F-35A墜落、パイロットは未だ発見至らず 日本製造初号機 (FlyTeam, 4/10)
空自の不明F35回収に「中ロが関心」=米軍事専門家が懸念-報道 (時事, 4/10)。そりゃそうか。公海上だろうしね。 中国漁船団がウハウハで拾いに来たりして。
三沢にF35飛行隊正式発足=最新鋭E2Dも近く配備-防衛省 (時事, 3/26)。新生 302 飛行隊。2 週間前に発足したばかりだったんだよねえ。
その他
B-52 まで来たらしい
USAF B-52H TASTE02 departed Andersen AFB, Guam to assist in the search for the missing #JASDF F35 near Misawa, Japan. pic.twitter.com/iY7T5YUg4t
— Aircraft Spots (@AircraftSpots) April 9, 2019
》 政府、新しいお札のイメージ公開 新1万円札は渋沢栄一 24年に全面刷新 (ねとらぼ, 4/9)。現時点では違和感ありまくりだが、そのうち慣れるのだろう。
関連:
千円札の肖像が北里柴三郎になるようだが,そうすると,この伝統が途切れるかもしれない。非常に残念である。日本人の99%が知らない千円札の真実。
— 明石順平 (@junpeiakashi) April 9, 2019
『源痔物語(5)~日本政府が50年間出しつづけたメッセージ~』
⇒ https://t.co/JkhqcuWbZA #アメブロ @ameba_officialさんから
》 ある日突然無断で他人の建物をショベルカーで破壊する企業は「反社会的勢力」ではないのか? (gigazine, 4/9)
さらに最後に、株式会社エムズ・ジャパンKさんに「反社会的勢力の排除に関する誓約書」にサインして欲しいと言って渡したところ、
「それは無理、できない」
と言われ、拒絶されました。その場には茨木警察署の警官もいたため、「サインできない」というのがわかった途端にすさまじく険しい顔と目つきに一瞬で変わり、株式会社エムズ・ジャパンKさんをにらみつけていたのが印象的です。
うわ、心証としてはまっくろじゃん……。
Sambaの脆弱性情報(Moderate: CVE-2019-3870, CVE-2019-3880)と修正バージョン(4.10.2, 4.9.6, 4.8.11) (SIOS, 2019.04.08)
CVE-2019-3870 - World writable files in Samba AD DC private/ dir (Samba.org, 2019.04.08)
CVE-2019-3880 - Save registry file outside share as unprivileged user (Samba.org, 2019.04.08)
Apache HTTP Server 2.4.39 Released (apache.org, 2019.04.01)。iida さん情報ありがとうございます。
Changes with Apache 2.4.39 (apache.org, 2019.04.01)。7 6 件のセキュリティ修正。
(誤記修正: iida さん情報ありがとうございます)
[Bug-wget] wget-1.20.3 released [stable] (Bug-wget ML, 2019.04.05)
JVN#25261088 - GNU Wget におけるバッファオーバーフローの脆弱性 (JVN, 2019.04.03)、 CVE-2019-5953
GNUTLS-SA-2019-03-27 (GnuTLS, 2019.03.27)。GnuTLS 3.6.7 以降で修正。
Unpatched Zero-Days in Microsoft Edge and IE Browsers Disclosed Publicly (The Hacker News, 2019.03.30)、 PoC
Microsoft EdgeとInternet Explorerにゼロデイ脆弱性、セッション情報が露出する恐れ (トレンドマイクロ セキュリティ blog, 2019.04.03)。未修正。
》 海の向こうの“セキュリティ” サイバー恐喝攻撃のリスクを下げるためのアドバイスとは (Internet Watch, 4/4)
》 5.4億件超のFacebookユーザー情報が公開状態、誰でもダウンロード可能だったことが発覚 (Internet Watch, 4/4)
》 「羽田国際線増便と横田空域」(キャッチ!ワールドアイ) (NHK 解説委員室, 4/3)
項目立てておいた方がよさそうなので、立てておきます。
アニメ「ラブライブ!」公式サイトが乗っ取られる 運営はむやみなアクセスは控えるよう注意喚起 (ねとらぼ, 2019.04.05 11:05)
「ラブライブ!」公式サイトが乗っ取り、第三者がドメイン名を自らに移転か (日経 xTECH, 2019.04.05)
第三者が公式サイトのドメイン名の管理を自らに移転し、制作したページを表示させているとみられる。公式サイトのURL「lovelive-anime.jp」の所有者を日本レジストリサービス(JPRS)の「WHOIS」で調べると、現在の所有者が「上野かほ」なる人物となっている。異常が発生したサイトには「我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった。元所有者はこれだけであっさりと、ラブライブ!を我々へと移管してしまった」と手口を思わせる内容が書き込まれていた。
ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む? (ITmedia, 2019.04.05 17:39)
もしサンライズがIIJでドメイン名を登録していたとすれば、サンライズが間違えて移管申請を承諾してしまった可能性が高い。ただ、IIJ以外で登録していたとすれば話は別だ。レジストリロックサービスが有効でなく、IIJのようなポリシーがない場合、10日間返事をしなかったためにドメインが移管されてしまうということもあるだろう。
JPRSの規則にある「10日以内」。この数え方をJPRSに確認すると、「営業日計算ではなく暦通りの数え方だ」という。
そうなると注意すべきは、今年のゴールデンウイークの10連休ではないだろうか。レジストラ、リセラーから登録者への確認方法が登録者の会社宛てのメールであれば、企業ポリシーによっては連休中にメールを確認できないことも考えられる。最悪、ゴールデンウイーク中にドメインを何者かに奪われるという事態も発生し得るのではないか。
「ラブライブ!」公式サイト乗っ取り、ドメイン登録名義がサンライズに戻る (ITmedia, 2019.04.05)
ラブライブ!公式サイトの改ざんについてまとめてみた (piyolog, 2019.04.05)。証明書まで取得されているとは。
HTTPサイトのドメインを奪われてHSTSを有効化されたら (@yyu / Qiita, 2019.04.08)
「ラブライブ!」乗っ取りを“教訓”に ドメイン名の価値に見合った管理方法 (高橋睦美 / ITmedia, 2019.04.11)
》 「ラブライブは我々が頂いた!」 人気アニメの公式サイト乗っ取りか 公式「原因究明中」 ドメイン移管された? (ITmedia, 4/5)。ドメイン名管理ねた?
関連:
ラブライブ!公式サイトの改ざんについてまとめてみた (piyolog, 4/5)
汎用JPドメインの移管転入方法について「移転」と「指定事業者変更」の違いを教えてください。 (さくらのサポート情報)。今回の件ではさくらさんは無関係だが、ドキュメントが読みやすかったので。
ここからはじまる一連のツイート:
本日ドメインの管理、移転の件について騒ぎが起こっていますが、ドメインの管理制度について少々…。
— 堂前@IIJ (@IIJ_doumae) April 5, 2019
》 セブン、「24時間営業死守」の本音を見せつけた新社長の就任会見 (ダイヤモンド online, 4/5)
そして極めつけは、新社長である永松氏の発言である。(中略) なんと、現在の時短営業の実験があくまで、その“デメリット”を明確にすることが目的なのだと、新社長自らはっきり語ってしまったのだ。それも、昨今とは雇用環境がまるで異なる30年ほど前の実感に基づいて。
セブンイレブン、トップが昭和にワープした模様。成功体験という呪い。
そもそもSEJの実験について、オーナーの反応は冷ややかだ。ユニオンの執行委員長で、ファミリーマートの現役オーナーである酒井孝典氏は、「今は世論に動かされて、実験を形だけやっているようにしか見えない。ほとぼりが冷めたら『深夜閉店は失敗だった』と言って終わるのではないか」との見方を3月の段階で示していた。そして、実験の最中であるにもかかわらず、新社長が4日の就任会見で予定調和の結論を暴露してしまった。
セブンイレブン、時代遅れ感が半端ないな。
》 Stable Channel Update for Desktop (Google, 4/4)。73.0.3683.103 公開。セキュリティ修正はないようです。
》 「2018年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」報告書について (IPA, 3/28)
》 Web Application Firewall 読本 (IPA, 3/28)
2019年3月28日に、「Web Application Firewall 読本」の補足資料として、「Web Application Firewallの導入に向けた検討項目」を公開しました。 こちらは、WAFの導入を検討されている方、既に導入済みで運用を見直したい方向けに、WAFにはどのような製品・サービス種類が存在し、どのような特徴があり、 運用の際にどのような体制が必要かを解説しております。
》 ゴールデンウィークにおける情報セキュリティに関する注意喚起 (IPA, 4/2)。今年は長いよという人はいるだろうからなあ。 大学は、関係ないところが多いだろうけど。
》 ビジネスチャット「Slack」で障害--メッセージが正常に届かず (CNET, 4/5)。「4月5日の午前10時半ごろから」
》 その男、塚田一郎 (前・国土交通副大臣)。 “安倍・麻生道路”こと 下関北九州道路について「総理とか副総理が言えないので、私が忖度した」と発言。
「安倍・麻生氏忖度し調査」 国交副大臣、発言を撤回 下関北九州道路 [福岡県] (西日本新聞, 4/3)
塚田一郎・国交副大臣の主な発言内容 (西日本新聞, 4/4)
「忖度」麻生派副大臣、かばう首相 選挙控え辞任論も (朝日, 4/4 05:00)
社説 「安倍・麻生道路」に忖度 政権の緩みが止まらない (毎日, 4/4)
塚田氏、忖度発言釈明 「人が大勢、われを忘れた」 首相は罷免否定 [福岡県] (西日本新聞, 4/4 09:56)
【政治考】忖度発言、安倍1強のおごり (西日本新聞, 4/5 06:00)
「忖度」予算に見え隠れ 下関北九州道路 専門家「配分過程の徹底検証を」 (西日本新聞, 4/5 06:00)
「忖度」副大臣に地元批判「答弁聞いても納得いかない」 (朝日, 4/5)
塚田国交副大臣、忖度発言で辞任 野党、任命責任追及 (西日本新聞, 4/5 09:49)。国土交通副大臣を。参議院議員はやめない。
塚田氏は議員辞職を否定 (西日本新聞, 4/5 12:00)
》 イオンの「変心」にメーカー「大慌て」 (日経, 4/5)。イオンの PB 商品 (トップバリュ) にメーカー名が記載されるようになってきた話。
ではなぜ、これまで頑(かたく)なにメーカー名の表示をしてこなかったイオンが表示へと舵(かじ)を切ったのか。それは「食品衛生法」、「JAS法」、「健康増進法」を統合した食品表示法が2020年4月に完全施行されるからだ。この法律により表示の厳格化がされ、「製造所または加工所の所在地および製造者または加工者の氏名または名称」などが求められることになったのだ。
》 GPSの“19.6年問題”、4月7日に「週数ロールオーバー」が発生、古いGPS機器では不具合の可能性も (Internet Watch, 4/5)。
この次にロールオーバーが起こる日時とされているのが、日本時間の4月7日8時59分42秒(協定世界時の4月6日23時59分42秒)である (中略) 切りのいい「0時00分00秒」でないのは、“うるう秒”による協定世界時とのズレが蓄積しているためだ。
》 明らかになる東京“ホームレス”の実態【前編】 東京2020の影で (NHK ハートネット, 4/2)、 【特集】東京“ホームレス” (2)届きにくい支援 (NHK ハートネット, 4/2)
》 Adobe、「Acrobat DC」「Acrobat Reader DC」のセキュリティアップデートを予告 (窓の杜, 4/5)
》 アート界のM字カーブやセクハラ、津田大介が芸術祭監督をやったら見えたこと (Business Insider Japan, 4/2)
》 タレントの竹田恒泰氏「歴史学者は極左集団」「歩いてたら後ろから蹴り入れといていいぐらい」→皇太子さまは歴史学者です (Buzzap!, 4/1)
》 シナイ自衛官派遣 閣議決定 国会承認不要と判断 (東京, 4/3)
エジプト・シナイ半島でイスラエル、エジプト両国軍の停戦監視活動を行う「多国籍軍・監視団(MFO)」に、司令部要員として陸上自衛隊の自衛官二人を派遣する実施計画を閣議決定した。安全保障関連法に基づく新任務で、国連が統括しない平和維持活動「国際連携平和安全活動」を初適用。
》 「STORIA法律事務所」ブログ: 弁護士が解説 “平成30年改正著作権法”がビジネスに与える「衝撃」 (ITmedia, 4/4)
》 日本ハッカー協会セミナー「不正指令電磁的記録罪の傾向と対策」。 2019.04.26、東京都渋谷区、無料。現在「キャンセル待ち95人」になっている。 ……その後定員が増えたが、それでも「キャンセル待ち50人」。
Security Advisory - Two Vulnerabilities in Huawei PCManager Product (Huawei, 2019.01.09)。 CVE-2019-5241 CVE-2019-5242。修正モジュール公開済。
From alert to driver vulnerability: Microsoft Defender ATP investigation unearths privilege escalation flaw (Microsoft Defender Research Team, 2019.03.25)
Huawei PCManager fixed dangerous vulnerabilities (Hacker News, 2019.03.26)
マイクロソフト、ファーウェイ製ノートパソコンにバックドア発見=米メディア (ロイター, 2019.04.03)。これをバックドア発見と言うのなら、Microsoft の月例修正公開についても「バックドア発見」と言うべきだろう。
ってこれ、よく見たら「【ニュース提供・大紀元】」じゃん。うへえ。 マイクロソフト、ファーウェイ製ノートパソコンにバックドア発見=米メディア (大紀元, 4/2)
Androidの2019年4月パッチが公開 ~メディアフレームワークに任意コード実行の脆弱性 (窓の杜, 2019.04.02)
人気ブラウザ「UC Browser」に脆弱性--マルウェア配布に利用されるおそれ (CNET, 2019.03.28)
「令和」考案は中西進氏 古事記・日本書紀含め、3案が国書典拠 (毎日, 4/2)
新元号 紙開けば両端に国書 事務方説明、にじむ「令和」推し (毎日, 4/3)
1日に開かれた有識者による「元号に関する懇談会」、衆参正副議長からの意見聴取、全閣僚会議では、冒頭に6案の説明が事務方から行われた。配布されたA3判の紙には、右から「あいうえお」順で案が並べられ「英弘(えいこう)」「久化(きゅうか)」「広至(こうし)」「万和(ばんな)」「万保(ばんぽう)」「令和」とあった。
右端の「英弘」の出典は古事記、左端の「令和」は万葉集といずれも国書で、どちらから読んでも国書が目につく。中央にも国書を出典の一つとする「広至」があり、半分の出典を国書が占めたのが一目瞭然だった。
安倍首相「令和は国書典拠」自慢の間抜け! 大元は中国古典で作者の張衡は安倍政権そっくりの忖度政治を批判 (リテラ, 4/3)
新元号「令和」について張衡の「帰田賦」の一節が"典拠"とし『やっぱり「安」が入っていた』という主張に対し、張衡の人物像、実績、万葉集への影響などから多角的なツッコミが入れられたもよう (togetter, 4/4)
》 エチオピア航空 ET302 便墜落事故 (ボーイング 737 MAX 8、ET-AVJ) 方面つづき。 前ねた。
認証過程に問題か
ボーイング墜落機認証過程の米捜査、最初の事故後に開始-関係者 (ブルームバーグ, 3/19)
安全性評価、ボーイングに丸投げ? 墜落事故で新疑惑 (朝日, 3/19)
ボーイング事故、航空局と業界なれ合い? 規制骨抜きか (朝日, 3/26)
737MAX、不適格職員が認証か 米上院に内部告発 (朝日, 4/3)
737MAXの問題点、パイロットは墜落事故の数カ月前に当局に指摘していた (Business Insider Japan, 3/14)
4カ月で2件の墜落事故を起こしたボーイング737 MAX 8のシステム操作がパイロットに周知されていなかった可能性 (gigazine, 3/27)
MCASによって飛行機の機首が下がり始めた場合、パイロットは操縦かんにあるスイッチを親指で押して、MCASによるコントロールを一時的に打ち消すことができます。しかし、ライオン・エア610便から回収されたデータを元にシミュレーションを行ったところ、離陸直後にMCASが誤作動して機首が下がって墜落するまでMCASが3回作動し、回復不能なレベルにまで急降下してしまうまでわずか40秒だったことがわかりました。
回収されたデータからは、ライオン・エア610便のパイロットがこのスイッチを24回以上も押していることが判明していて、トリムコントロールによる機首調整を何度も行うための策だったのではないかと推測されています。
MCASを完全に無効にするためには、自動制御用のモーターへの通電を遮断して手動でコンソールのトリムホイールを回して手動制御を再確立する必要があります。(中略) ライオン・エア610便のパイロットはこのMCASを無効化する手段を知らされていなかったのではないかと予想されています。
最後の瞬間までマニュアルを探ったパイロット、だが解決策は見つからなかった ── ライオンエア、ボーイング737MAX墜落事故 (Business Insider Japan, 3/28)
ボーイングが施す737MAXのMCAS改修の主な3つポイントとは? (航空新聞社, 3/29)
ANA、737 MAX発注継続へ 片野坂社長「対策できれば方針変えず」 (AviationWire, 4/1)。ANA 向けの機体ができるころには、当面の問題は修正されているだろうからなあ。
ボーイング737MAX事故、再保険金支払い請求が過去最高に (ロイター, 4/2)
ボーイング、737MAX修正ソフト提出「数週間内」に先送り (ロイター, 4/2)。あらあら。
墜落したライオンエア機のセンサー、事故前に米航空機整備会社が修理 (ブルームバーグ, 4/3)。 XTRA Aerospace。Miramar, Florida。
》 本気で匿名性を保つために留意すべきこと (八田真行 / Yahoo, 3/26)
》 実証実験:インターネットリスク可視化サービス―Mejiro― (JPCERT/CC, 3/18)
》 Google、“G Suite”アカウントの2段階認証をアップデート (窓の杜, 4/1)
》 Microsoft、「Windows 10 October 2018 Update」を“半期チャネル”に移行 (窓の杜, 4/1)
》 QRコード決済の統一規格「JPQR」発表 店側の負担減 (産経 / ITmedia, 4/1)。文化放送? (それは JOQR)
》 「第3世代バタフライキーボードの一部に問題が見られる」--アップルが謝罪 (CNET, 3/28)
》 Running your Own Passive DNS Service (SANS ISC, 3/27)、 PassiveDNS。
》 「Yahoo!ジオシティーズ」終了 「貴重な資料消えた」──ネットから惜しむ声 (ITmedia, 4/1)。さようなら。
》 個人情報に「利用停止権」検討 保護法改正へ (日経, 4/2)
》 AI顔認識、差別を助長?黒人女性ら3割「男性」と誤認 (朝日, 4/3)
アマゾンが提供する顔認識ソフト「レコグニション(Rekognition)」は、白人男性の性別は全く間違えずに見分けた。しかしアフリカ系(黒人)ら肌の色の濃い女性では31%も「男性」と誤認した。ライバルのマイクロソフトの誤認率は1・5%、IBMは17%だった。
》 「女子はスカートしか履いちゃいけない」校則は違憲。学校を訴えた女子生徒が勝訴する (ハフポスト, 4/2)。アメリカ・ノースカロライナ州 3/28。
》 無料のVPNサービス「Warp」、パブリックDNS「1.1.1.1」アプリに追加、Cloudflareが4月中旬より提供 (Internet Watch, 4/2)。OS/2 とは無関係な Warp。
新元号「令和」への対応まとめ (4/1)
関連:
日本マイクロソフト、Windows/Officeは自動更新で「令和」に対応 (PC Watch, 2019.04.02)
アドビ、新元号“令和”の合字を“Adobe Font”へ追加 ~4月中に完了予定 (窓の杜, 2019.04.02)
知ってた? 令和の「令」はそっくりな文字が文字コード上にもう1つ存在する (やじうま Watch, 2019.04.03)。U+4EE4 が本来のもの、U+F9A8 がそっくりさん。
平成最後の年頭にあたりmacOSの改元対応を考える (マイナビニュース, 2019.01.16)
》 新元号は“令和”に決定 (PC Watch, 4/1)、 新元号は「令和(れいわ)」 「大化」から248個目 (毎日, 4/1)、 新元号「令和」=出典は「万葉集」、国書で初-5月1日改元 (時事, 4/1)
新元号は万葉集の梅の花のうた、32首の序文にある、「初春の令月にして、気淑く風和ぎ、梅は鏡前の粉を披き、蘭は珮後の香を薫す」から引用したもの。
安倍政権、「元号は中国の古典から」の伝統を破棄。 こういうことをする人達は、保守ではない。
関連:
「NHK新元号『安』めちゃ推しの怪」は本当か――気になる新元号の「出典」はどうなる? (プチ鹿島 / 文春オンライン, 3/15)
朝日新聞はしれっと書いたが、中国の古典からではなく国書が典拠となれば、元号に「革命」が起きると言える。長く続いた選び方に革命が起きるのだ。そんな劇的なことをしちゃってよいのだろうか。
「令和」はチベット語で”希望”の意味? ダライ・ラマ日本事務所「とても良い言葉」 (BuzzFeed, 4/1)
ツイート
1300年以上の伝統を破壊した元号を作れるなら、明治民法制定以来せいぜい100年そこらの歴史しかない夫婦同姓の強制を廃止し、選択的夫婦別姓を認めても何ら問題ないし、戸籍法だって廃止出来るし、女性天皇でああだこうだ議論する必要もないね。
— 異邦人 (@Beriozka1917) April 1, 2019
新元号は令和。第一印象は響きの冷たさだ。万葉の歌意など関係はない。むしろ古今でも新古今でもなかったことに意味がある。万葉は、先の戦争で、若者たちがもっとも戦場に持って行った歌集。そこに意味がある。命令に従い、国のために和して死んでほしい。日本会議や靖国など喜んでいるだろう。
— 兵頭正俊 (@hyodo_masatoshi) April 1, 2019
安倍首相が記者会見で述べた、新しい元号に込められた「(表向きの)意図」の説明を土台にして反応する言説が多いが、元号法制化が日本会議の前身組織の尽力でなされた事実を含め、安倍首相や日本会議が共有する価値観を踏まえた「(表向きには語られていない密教的)意図」にも目を向けるべきだろう。 pic.twitter.com/fvU2OiiCH6
— 山崎 雅弘 (@mas__yamazaki) April 1, 2019
《とくに注目したのは、安倍晋三首相が談話で、わが国の歴史を1400年と言ったこと。天皇の事績や日本の歴史が実証的に判明しているのはそのころから。神話に基づいた神武天皇からの2600年とは言わなかった。皇国史観を否定した。これは今回の元号選定にあたって大事な要素だと思う。皇国史観を排除》 https://t.co/g0Um2oEQja
— ANTIFA大阪 (@antifa_osk) April 1, 2019
「令和」の句を含む後漢・張衡「帰田の賦」。たとえば『文選詩篇(二)』☞ https://t.co/FSNtO4F72i では、こんな風に訓読されています。
— 岩波文庫編集部 (@iwabun1927) April 1, 2019
「仲春の令(よ)き月、時は和らぎ気は清し」。 pic.twitter.com/gk1v7U0U3p
*「結局万葉集の〝令和〟も中国の古典に依拠していた」
— Hiroshi Matsuura (@HiroshiMatsuur2) April 1, 2019
... 諸橋の大漢和の【令月】には、張衡の歸田賦の「仲春令月、時和氣淸」と典拠がはっきりと示されており、万葉集の題辞が本歌取りであることを示している。 pic.twitter.com/lYIak2pGoO
元号を1度で覚えられたのはいいけど、もう「リョンファ元年」としか読めない…その上、この元号を目にする度、韓国の時代劇に登場するお姫様の姿が頭に浮かぶ…。https://t.co/kpu2qoZ8iT
— 織部佳積🏳️🌈No Nukes&No War (@oribesgarden) April 1, 2019
「令和」とは!
— 梁英聖@『日本型ヘイトスピーチとは何か』(影書房) (@rysyrys) April 1, 2019
朝鮮語でリョンファ령화あるいはヨンファ영화と読みます。
知人の名前でもある。
各地の朝鮮学校で新学期から、同じ名前の学生が友達からさっそくネタにされてからかわれていそう…。
(冗談のレベルでとどめて欲しい) https://t.co/6iFdRxqJiG
令和の典拠は本当に万葉集だけなのか? 中国古典まで遡れる新元号の由来 (togetter, 4/1)。Shibuya さん情報ありがとうございます。
新元号の令和を韓国語読みすると영화ヨンファで映画と同じ発音になる (togetter, 4/1)
「令和」ドメインめぐり争奪戦 販売サイトにアクセス殺到 (ITmedia, 4/1)。どうせなら「.令和」をつくればいいのに。
》 Google、ゲイ矯正アプリをようやく削除 (石壁に百合の花咲く, 3/31)
》 平成30年におけるストーカー事案及び配偶者からの暴力事案等への対応状況について (警察庁, 3/28)
》 森友問題にかかわる一連の申立について、検察審査会で議決が出ました (八木啓代のひとりごと, 3/29)。「大阪検察審査会が、公用文書等毀棄罪に関して、佐川元局長らに対して不起訴不当議決、虚偽有印公文書作成及び行使に対して不起訴相当議決を出しました」。
》 2度目のICBM迎撃実験に成功:米本土ミサイル防衛(GMD)とは (海国防衛ジャーナル, 3/26)
》 マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット (techcrunch, 3/28)、 New steps to protect customers from hacking (Microsoft, 3/27)
》 仕事に集中して最高の生産性を得るには「休憩を取る」ことが必要 (gigazine, 3/31)
》 ある日突然自分の建物を他人がショベルカーで破壊しても「建造物損壊」にはならないのか? (gigazine, 3/29)。まさかの自社実録もの。地上げって今でもあるんですね。
つづき: 続・ある日突然自分の建物を他人がショベルカーで破壊しても「建造物損壊」にはならないのか? (gigazine, 3/31)
こちらが次の準備(YouTubeライブでの監視カメラの実況など)を整える時間を稼ぐため、この記事を読んでいるGIGAZINE読者にお願いがあります。ほんのスキマの時間で良いので、GIGAZINE第一倉庫(大阪市西淀川区大和田4丁目12-10)の前にブラリとやって来て、GIGAZINE第一倉庫が消滅する前に記念撮影をしていってください。最寄り駅は阪神千船駅で、Googleマップによると歩いて6分です。
》 情報システム等の脆弱性情報の取扱いにおける報告書、および法律面の調査報告書改訂版を公開 (IPA, 3/29)
とりあえずつくっておく。
2019 年 5 月の新元号への変更に関する更新 (Microsoft)
ATOK、4月18日より「令和」に対応。日付入力支援なども (PC Watch, 2019.04.01)
Oracle、新元号に対する「Java」言語の対応状況を明らかに プレースホルダーによる対応をすでに実施。4月16日の更新で実際の元号に置き換え (窓の杜, 2019.03.22)
改元にともなう影響と新元号対応について (Miracle Linux / cybertrust, 2019.03.20)
新元号に対応するために ICU を用いて和暦の動作確認をする (qiita, 2018.12.14)
新元号は令和に、システム対応いよいよ大詰め (日経 xTECH, 2019.04.01)
関連:
日本マイクロソフト、Windows/Officeは自動更新で「令和」に対応 (PC Watch, 2019.04.02)
アドビ、新元号“令和”の合字を“Adobe Font”へ追加 ~4月中に完了予定 (窓の杜, 2019.04.02)
知ってた? 令和の「令」はそっくりな文字が文字コード上にもう1つ存在する (やじうま Watch, 2019.04.03)。U+4EE4 が本来のもの、U+F9A8 がそっくりさん。
平成最後の年頭にあたりmacOSの改元対応を考える (マイナビニュース, 2019.01.16)
関連:
ダイナコムウェアが“令和”の合字を金剛黒体でリリース、5月末までに日本語全書体を新元号に対応 (窓の杜, 2019.04.05)
racle、「Java SE 12.0.1」「Java SE 8 Update 211」を公開 ~新元号“令和”に対応 5件の脆弱性を修正、いずれもリモートから悪用が可能 (窓の杜, 2019.04.17)
更新プログラムごとに仕様が変わる? 日本マイクロソフトの元号対応が不評 (やじうま Watch, 2019.04.17)。あらあら。
新元号“令和”をサポートした「Ruby 2.6.3」がリリース (窓の杜, 2019.04.18)
来週の水曜日は令和です。
Windowsの令和対応パッチ配信が始まらず、10連休に間に合わない懸念も (日経 xTECH, 2019.04.22 18:16)
日本マイクロソフト (中略) は「現在、米国の技術チームが準備を進めているところで、まだ配信時期は確定していない。22日中の配信開始はない。10連休に入る前の26日までの配信開始を目指している」(広報)
世の中こんなもん。 まあ、1 か月しか猶予を設けなかった馬鹿政府がそもそも悪いのだけど。
Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, Xcode, iTunes for Windows, iCloud for Windows) (2019.03.25)
About the security content of Security Update 2019-002 High Sierra and Security Update 2019-002 Sierra (Apple, 2019.03.30)。Security Update 2019-002 の新版が出たっぽいです。 うまくアップデートできない事例が多数発生したのかな。 いやいやそれよりも、
These builds restore a number of security fixes that were missing from the previous build.
- The latest build number for macOS version 10.13 High Sierra is 17G6030.
- The latest build number for macOS version 10.12 Sierra is 16G1918.
前の版には修正漏れがあったと!!! うひー。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)