![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Jan 22 15:32:58 2021
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開) (金床 “Kanatoko” / Scutum 技術者ブログ, 1/21)
今回、この機械学習において、事前に「ウェブの攻撃とはこういうものですよ」という知識をほとんど全くあたえないにも関わらず、異常検知の結果として攻撃を見つけてしまうことを示します。つまりAIはウェブアプリケーションセキュリティの知識なしに攻撃を見つけられるという技術者にとっては背筋が寒くなる事実をお見せします。とはいえ(教師なし学習であることもあり)精度はそれほど高くないので、最終的にあなたは「なるほど、このくらいのレベル感でこんなことができるんだな...」という感覚をつかむことができるでしょう(※3)。
教師なし学習で異常検知を行う場合、おそらく皆さんの予想以上にあっけなく実施することができます。それほど大した準備も予備知識も要らないため、「機械学習は難しそう」と思っている人はその手軽さに驚くのではないでしょうか。ただしその手軽さの反面、やはり性能では教師あり学習にはかなわないところもあります
》 資生堂、TSUBAKIなどの日用品事業を1500億円超で売却へ (ブルームバーグ, 1/22 08:00)、 資生堂「TSUBAKI」など日用品事業売却へ 1000億円超 (日経, 1/22 11:14)
新型コロナウイルス禍で訪日外国人客の需要が蒸発し、資生堂は本業の化粧品事業で苦戦している。20年11月時点では、20年12月期の連結最終損益は300億円の赤字(前の期は735億円の黒字)としていた。(中略) 売却を検討しているパーソナルケア事業は低価格な商品が多く、収益性を圧迫する要因になっている。特にヘアケア事業は新興メーカーの攻勢を受け、シェアを落としている。値引き合戦が激しく利益を出しにくいこともあり、十分な商品開発や広告宣伝などへの投資を資生堂単体で続けるのが難しいと判断した。
TSUBAKI 立ち上げ時は広告宣伝費 50 億円が話題になったものですが、 それも今は昔と。
日本の女性は美しい!TSUBAKI 躍進の秘密 (allabout, 2006.05.20)
商品ブランディングの方法とは? 新旧のスターブランド事例で徹底解説。 (ココカラ, 2018.12.05)
前述した「TSUBAKI」はマス広告を中心に大量投下した物量作戦。
インフルエンサーを特定せずとも、いきなり大多数の大衆(フォロワー層)に大規模な広告宣伝への投資と流通展開を整備することで、認知を獲得するという方法です。
対する「ボタニスト」はそこまでの資金力はありません。
資生堂のように広告宣伝費に巨額を投じたり、販路を持っていたりするわけではないI-neは、インフルエンサーとSNSを賢く使いました。これが大ヒット。
なるほどねえ。それにしても、
でも、資生堂だってこのまま黙っているとは思えません。
この時代に、あのメガ企業はどういう展開をしかけてくるか。
日用品事業売却という戦略的撤退がその答えでしたと。
》 映画「KCIA 南山の部長たち」。明日 1/22 から公開。
KCIA 南山の部長たち (klockworx)
町山智浩『KCIA 南山の部長たち』を語る (miyearnZZ Labo, 1/19)
実録KCIA―「南山と呼ばれた男たち」 (amazon)。原作。ノンフィクション。 韓国では改訂増補版が出ている模様。
なぜ大統領は暗殺されたのか 映画「KCIA 南山の部長たち」原作者が語る (朝日新聞 GLOBE+ / Yahoo, 1/20)
私はノンフィクションを書き、監督は創作物である映画を作った。原作と映画のシンクロ率について問う人もいるが、それは意味のない議論だ。ウ・ミンホ監督は緻密に構成し、うまく撮った。素晴らしい映画だと思う。
》 ピーチ航空機運行妨害事件、威力業務妨害容疑等で大学職員を逮捕つづき
飛行機マスク拒否 大学職員「容疑と事実違う」 捜査車両でも着用しなかった理由 (毎日, 1/19)
マスク着用拒否で逮捕の容疑者は明治学院大「特別ティーチングアシスタント」 ピーチ機内で客室乗務員にけが負わせ運航妨げた疑い (スポーツ報知, 1/19)
マスク拒否、着陸後20分降りず 大学職員の男、新潟空港で (共同, 1/20)
逮捕の男、事件後マスクで外出か 健康理由に機内で着用拒否 (共同, 1/20)
皇居でもマスク拒否、トラブルに ピーチ機運航妨害疑いの男 (秋田魁新報, 1/21)
》 ALPINE LINUX 3.13.0 RELEASED (alpinelinux.org, 1/14)
Berkley DB has been deprecated due to licensing issues. For postfix, this means all tables in /etc/postfix/main.cf must be converted to a different format before upgrading, for example, lmdb.
》 「プペルが本当に面白いなら二次創作が生まれるはずなのに全く見ない。つまり…」に納得の声が集まる「浅い感想しかない」「モルカーは5分でも流行った」 (togetter, 1/20)。確かになあ。
関連: 話題の映画『えんとつ町のプペル』に抱いた「強烈な違和感」 (飯田 一史 / 現代ビジネス, 1/4)
》 60代母が「Qアノン」信奉者になりまして…「陰謀論」を垂れ流される娘の困惑 (弁護士ドットコム, 1/20)
》 日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了 (日経 xTECH, 1/21)。秘文AE Email Gateway は終了ですか。
秘文AE Email Gateway (日立ソリューションズ / archive.is)
社外送信時にメールを自動暗号化
・パスワードZIP、S/MIME、PGPによる暗号化、S/MIMEメールの復号が可能です。
・フィッシングメール対策にメールへのS/MIME署名が可能です。
》 ジョー・バイデン、米国大統領に就任。 懸念された騒乱は発生せず。
マスク義務化・パリ協定… バイデン氏、次々に大統領令 (朝日, 1/21)
Biden's 17 Executive Orders and Other Directives in Detail (NYTimes, 1/20)
台湾代表、米大統領就任式に出席 正式招待は79年断交後初 (AFP, 1/21)
歴史的な5分間のスピーチ全文…アマンダ・ゴーマンは大統領就任式の主役になった (Business Insider, 1/21)
dnsmasq に 7 件のセキュリティ欠陥。 詳細はホワイトペーパー、DNSpooq - Cache Poisoning and RCE in Popular DNS Forwarder dnsmasq (JSOF research labs) を参照。
HAVE_DNSSEC の有効・無効、DNSSEC validation 設定の有効・無効で、 影響の受け方が変わる模様。 以下の表は、ホワイトペーパーの表 1 から。
| 結果として起こること | DNSSEC 無効でコンパイル | DNSSEC 有効でコンパイル | DNSSEC 有効でコンパイルかつ DNSSEC validation 有効に設定 |
|---|---|---|---|
| バッファオーバーフロー | なし | なし | CVE-2020-25681 CVE-2020-25682 CVE-2020-25683 CVE-2020-25687 |
| ブラウザーからのキャッシュ汚染 |
CVE-2020-25684 CVE-2020-25685 |
なし | なし |
| ホストからのキャッシュ汚染 | CVE-2020-25684 CVE-2020-25685 CVE-2020-25686 |
CVE-2020-25686 | CVE-2020-25686 |
指摘された欠陥については dnsmasq 2.83 で修正されている。ただし:
ツイート:
今回の7件以外に、dnsmasqの実装について、以下の指摘がされている。
— Yasuhiro Morishita (@OrangeMorishita) January 20, 2021
・CNAMEに付随するA/AAAAのチェックがされず、無条件に受け入れる。
・CNAMEは10段まで処理され、10個の任意のドメイン名を1応答でキャッシュポイズニング可能。
・キャッシュ済みかどうかに関わらず、新しい応答で上書きされる。
Oracle 四半期定例 patch 出ました。 VirtualBox は 6.1.18、 Java SE は 15.0.2 / 11.0.10 / 8u281 / 7u291 が出た模様。 (typo fixed: ホンマさん感謝)
2021年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2021.01.20)
Oracle、四半期ごとの定例セキュリティアップデート ~「Java SE」の脆弱性は1件 (窓の杜, 2021.01.20)
Oracle、「Java SE」の脆弱性1件を修正 (security-next.com, 2021.01.20)
Liberica 8u282, 11.0.10, and 15.0.2 are here (bell-sw.com, 2021.01.19)。M1 ネイティブ。
TEMPEST のスピーカーフォン版の模様。
実験に使った市販の6社の製品8機種のうち、6社の6機種で確認され、最大25メートル離れた場所で受信出来たということです。
けっこうな割合ですね……。
Chrome 88.0.4324.96 が stable に。36 件のセキュリティ修正を含む。 Flash と ftp:// URL のサポートは廃止されました。
》 Xiaomi、「われわれは“共産主義中国の軍事企業”ではない」と声明 (ITmedia, 1/19)
》 米議会議事堂襲撃者、盗んだペロシ議長のノートPCをロシア対外情報庁に売ろうとしていた──FBI供述書 (ITmedia, 1/19)。まさに売国。
》 テレ東の報道番組、マスク着用をルール化。「緊急事態宣言を受け」決定、ネットで反響広がる (ハフポスト / Yahoo, 1/19)
》 ピーチ航空機運行妨害事件、威力業務妨害容疑等で大学職員を逮捕
マスク拒否し緊急着陸させた大学職員逮捕 威力業務妨害などの疑い 大阪府警 (毎日, 1/19)。「私立大学非常勤職員の男性(34)」
機内マスク拒否運航妨害疑い逮捕 (NHK, 1/19)。「茨城県取手市に住む奥野淳也容疑者(34)」
マスクしないと飛行機は乗れないの? 降ろされた男性、ピーチ機上で経験した一部始終を語る (47news / Yahoo, 2020.09.16)
「マスク拒否」で相次ぐ旅客機での退去命令、乗客側の訴えに道理はあるか (ダイヤモンド online, 2020.09.21)
マスパセ(マスク未着用途中降機乗客) (twitter)
マスク未着用途中降機乗客の記録 (livedoor)
共通テスト:鼻出しマスク失格受験生に追試の場を!(19日編集部追記) --- 奥野 淳也 (アゴラ, 1/18)
ピーチ機内でマスク拒否の男逮捕 傷害や航空法違反など疑い、認否は保留 (AviationWire, 1/20)
》 共通テスト鼻出し受験生 (49)、不退去容疑で逮捕されていた
鼻マスク注意の受験生逮捕 共通テスト、不退去容疑で―警視庁 (時事, 1/19)
共通テストで“鼻マスク” 受験生を不退去の疑いで逮捕 警視庁 (NHK, 1/19)
》 FireEye Webセミナー UNC2452: What We Know So Far 〜現時点で判明していること〜 (FireEye / nex-pro.com)。SolarWinds の件。2021.01.22、オンライン、無料。
》 Amazon Prime解約の手順が分かりにくい! 欧米の消費者団体、Amazonを相次ぎ提訴 (やじうま Watch, 1/18)
5Gスマホ販売増加で自動車産業に思わぬ苦況 車載用MCUが半導体の生産逼迫で供給不足に (屈慧 / 財新 Biz&Tech / 東洋経済, 2020.12.17)
今回の供給不足の根源は、シリコンウエハーの世代に応じた製造設備のキャパシティにある。車載用MCU、ディスプレーパネル駆動用チップ、パワーマネジメント半導体など特定用途に使われる半導体の多くが、1世代前の8インチ(200mm)ウエハー用の製造ラインで生産されているからだ。
8インチ用のラインの新設はもう長い間行われておらず、既存のラインも増産余力がほとんどない。そんななか、消費電力が大きい5Gスマホ向けのパワーマネジメント半導体の注文が急増し、そのほかのチップの生産にしわ寄せが及んでいるのだ。
台湾のある半導体メーカーの責任者によれば、車載用MCUの受注量はもともとスマホ用チップより少ない。メーカーとしては大口顧客向けの生産量確保を優先し、車載用は後回しにせざるをえないという。
「パワーマネジメント半導体だって供給が追いつかない状況だ。生産能力を車載用に回す余裕はとてもない」と、この責任者は肩をすくめた。
5G スマホ用の方が大口なので、そちらが優先されると。 クルマ産業はもはやマイナーな時代なのですね。
自動車やスマホの半導体チップが無い! 中国の経済回復に大きな足かせ (CNS / AFPBB, 1/1)
半導体チップを製造に使うエンドユーザー企業が備蓄を確保していることも、供給不足の一因となっている。集微コンサルティング(Jiwei Consulting)の韓暁敏(Han Xiaomin)社長は「スマートフォン大手ファーウェイ(Huawei)が米国から半導体チップの供給を停止された後、他のスマホメーカーがチップの大量備蓄に走っている」と指摘。「供給不足解消はおそらく2021年末になる」とみている。
コロナ下、半導体奪い合い 液晶パネルは品薄で急騰 トヨタは代替調達検討 ゲーム機生産に懸念も (日経, 2020.12.25)
「21年4月以降の完成車生産が滞る懸念がある」。11月下旬、トヨタ自動車の幹部は危機感をあらわにした。10月に旭化成の子会社の半導体製造工場(宮崎県延岡市)で起きた火災によって半導体調達が困難になったためだ。特にデンソーが主に生産し、トヨタに供給する衝突の回避や被害軽減する安全システム向けの影響が深刻とされる。
関連
旭化成の工場火災、影響拡大 ヤマハは60億円の減収要因 (日経, 2020.11.27)
半導体製造工場の火災事故および製品供給の状況について(ご報告) (旭化成エレクトロニクス, 2020.12.25)
半導体製造工場の火災事故の状況について(続報) (旭化成エレクトロニクス, 1/18)
コロナで需要拡大 世界的な半導体不足で自動車減産の動き相次ぐ (毎日, 1/12)
トヨタやホンダなどにも生産調整の動き広がる-世界的な半導体不足 (ブルームバーグ, 1/12)
車載半導体不足の長期化懸念も、スマホ優先にEV需要増-アナリスト (ブルームバーグ, 1/15)
》 大型旅客機A380、半数の運用を中止 カタール航空 (CNN, 1/17)
》 Virgin ORBIT LauncherOne、LEO に到達。 10 機の CubeSat の軌道投入に成功。
Virgin ORBIT。 LauncherOne を 747 で上空へ運んで空中発射。 LauncherOne は 2 段式。
ヴァージン・オービットが輸送用航空機を利用する打ち上げでオービット(軌道)到達に初成功 (techcrunch, 1/18)
LauncherOne reaches orbit on second attempt with NASA CubeSats (NASA, 1/17)
Space Launch Report: Virgin Orbit LauncherOne Data Sheet (spacelaunchreport.com)
純粋な打ち上げ性能としては Pegasus XL と同様みたいだけど、 LauncherOne の売りはどこになるんだろう。 複数の小型衛星を一度に軌道投入できるところ?
Northrop Grumman Pegasus (WikiPedia)。Pegasus は 3 段 (オプションで 4 段) 式。
Pegasus XL Launch Vehicle (spaceflight101.com)
Space Launch Report: Pegasus Data Sheet (spacelaunchreport.com)
Apache Tomcat 7.0.x / 8.5.x / 9.0.x / 10.0.0-Mx に欠陥。 NTFS ファイルシステムを使用している network location からリソースを提供している場合に、セキュリティ制約を迂回したり、JSP ソースコードを閲覧できたりする。 CVE-2021-24122
Tomcat 7.0.107 / 8.5.60 / 9.0.40 / 10.0.0-M10 で修正されている。
ミッドナイト・ファミリー (MadeGood)
メキシコの闇救急車に3年密着 米国人監督が迫った現場 (朝日, 1/15)。ルーク・ローレンツェン監督インタビュー。
出てましたね、そういえば。
Security updates available for Adobe Photoshop | APSB21-01 (Adobe, 2021.01.12)。 Photoshop 2021 for Windows / Mac 22.x に、任意のコードの実行を招く欠陥。 21.x には影響しない。 Photoshop 2021 22.1.1 で対応。 Priority Rating: 3
Security Updates Available for Adobe Illustrator | APSB21-02 (Adobe, 2021.01.12)。 Illustrator 2020 for Windows 25.0 以前に、任意のコードの実行を招く欠陥。 Illustrator 2020 25.1 で対応。 Priority Rating: 3
Security updates available for Adobe Animate | APSB21-03 (Adobe, 2021.01.12)。 Animate for Windows 21.0 以前に、任意のコードの実行を招く欠陥。 Animate 21.0.2 で対応。 Priority Rating: 3
Security updates available for Adobe Campaign Classic | APSB21-04 (Adobe, 2021.01.12)。 Adobe Campaign Classic for Windows / Linux の 19.1.7 以前 / 19.2.3 以前 / 20.1.3 以前 / 20.2.3 以前 / 20.3.1 以前 / Gold Standard 10 以前に Server-side request forgery (SSRF) 欠陥があり、 センシティブ情報が漏洩する。 19.1.8 / 19.2.4 / 20.1.4 / 20.2.4 / 20.3.2 / Gold Standard 11 で対応。 Priority Rating: 2
Security Update Available for Adobe InCopy | APSB21-05 (Adobe, 2021.01.12)。 InCopy for Windows 15.1.3 以前に、任意のコードの実行を招く欠陥。 InCopy 16.0 で対応。 Priority Rating: 3
Security hotfix available for Adobe Captivate | APSB21-06 (Adobe, 2021.01.12)。 Captivate 2019 for Windows 11.5.1.499 以前に、権限上昇を招く欠陥。 Hotfix が公開されている。 Priority Rating: 3
Security Updates Available for Adobe Bridge | APSB21-07 (Adobe, 2021.01.12)。 Bridge for Windows 11.0 以前に、任意のコードの実行を招く欠陥 2 件。 Bridge 11.0.1 で対応されている。 Priority Rating: 3
NTFS の欠陥、今回は $i30 だそうで。 「データが破壊される」というか、ファイルシステム自体が壊れるみたい。 詳細はこちらを: Windows 10 bug corrupts your hard drive on seeing this file's icon (BleepingComputer, 2021.01.14)。 なかなかに強烈な DoS 攻撃が可能な模様。
関連:
Filesystem Bug Hangs or Crashes Windows 7 and Windows 8.1 (BleepingComputer, 2017.05.26)。こちらは $MFT。
Bugzilla Bug 29079: file:///c|/con/con/con (memo, 2020.02.24)。なつかしい。
》 Using the NIST Database and API to Keep Up with Vulnerabilities and Patches (SANS ISC)
Part 1 of 3 (SANS ISC, 1/7)
Playing with Code (Part 2 of 3) (SANS ISC, 1/8)
Tool Drop: CVEScan (Part 3 of 3) (SANS ISC, 1/11)
》 シンデレラとシグネチャベースの検知 (Kaspersky, 1/6)
》 『ダイ・ハード』:ナカトミ商事のサイバーセキュリティ (Kaspersky, 2020.12.25)。クリスマス記事。
》 ACEBEAM L35 ターボヘッドLEDライト5000ルーメン (目指せ!ライトマニア HATTAのLEDライトレビュー, 2020.12.18)
》 Windows Sysinternals 更新情報 (2021 年 1 月 12・13 日) - Sysmon v13.00/13.01、Procmon v3.61、PsExec v2.30 (山市良のえぬなんとかわーるど, 1/12)
》 Windowsファイアウォールを肥大化させている犯人が再犯か? (山市良のえぬなんとかわーるど, 2020.12.22)。「Hyper-V が有効な Windows 10 バージョン 1809」での話。
》 【覚書】SMB2 での安全でないゲストアクセスの無効化について(SMB2はSMB v2+v3)(追記あり) (山市良のえぬなんとかわーるど, 2020.12.23)
》 知ってると思いますが、今年のカレンダー(印刷物)は要注意、Outlook のカレンダー対応はもうすぐ? (山市良のえぬなんとかわーるど, 1/5)、 「国民の祝日」について (内閣府)
令和3年(2021年)に限り、「海の日」は7月22日に、「スポーツの日」は7月23日に、「山の日」は8月8日(※)になります。
》 KDDIのahamo対抗2480円プラン「povo」のカラクリ (石川温 / Yahoo, 1/13)
povoの最大の特徴は「トッピング」という考え方だ。 (中略) 例えば「1回5分まで国内音声通話かけ放題が欲しい」のであれば、月額500円でトッピングすればいいし、「週末、旅行に行くので、できればデータを使い放題にしたい」というのであれば、200円を支払うと24時間、データ通信が使い放題になるというわけだ。
The report of a Swiss investigation into the case of Crypto AG (electrospaces.net, 2020.12.30)。 スイスの会社 Crypto AG が、米 CIA や独 BND のバックドアが入った暗号システムを販売していた件。関連:
‘The intelligence coup of the century’- For decades, the CIA read the encrypted communications of allies and adversaries. (Washington Post, 2020.02.11)
CIA controlled global encryption company for decades, says report (Guardian, 2020.02.11)
Swiss intelligence benefited from CIA-Crypto spying affair (swissinfo.ch, 2020.11.10)
JVNDB-2020-010286 - Net-SNMP における権限管理に関する脆弱性 (JVN, 2021.01.05)。「Net-SNMP 5.7.3 まで」と書かれているのだが、 make the extend mib read-only by default (GitHub) のタグは v5.9 v5.9.rc2 v5.8.1.rc1。コミットは 24 Jul 2020。 ChangeLog を見ると 5.8.1rc1 から 5.9rc2 に直接移行している (5.8.1 は未リリース) なので、リリース版としては 5.9 で修正、の模様。
Joomla 3.9.24 Release (Joomla, 2021.01.12)。3 件のセキュリティ修正が含まれる。
》 FAAの新しいドローン規則、グーグル兄弟会社Wingが懸念するプライバシー問題 (ZDNet, 1/12)
Wingの広報担当者は、筆者宛ての電子メールでの取材に対して「新規則は、不特定多数の人々が基本的なレベルで消費者のドローン配送の注文を追跡できるようにしてしまう」と述べている。「米国社会は、路上のタクシー移動や配送物がリアルタイムで監視されるようなことは容認しないだろう。空を飛ぶものについても、それを受け入れるべきではない」というのが彼らの主張だ。
》 Flash コンテンツ ブロックのタイマー発動(アンインストールしてない場合) (山市良のえぬなんとかわーるど, 1/12)、 「Adobe Flash Player」によるFlashコンテンツの実行ブロックが開始 (窓の杜, 1/13)
》 元ソフトバンク社員、「5G」情報など不正に持ち出し逮捕--楽天モバイルに転職 (CNET, 1/12)
》 フランス空軍、戦闘爆撃機「Mirage 2000D」“改”を納入。後部コクピットはWindows 7? (やじうま PC Watch, 1/13)。オォゥ。2021 年に Windows 7 ベースのものが新規納入されるのが、実際の世の中なのですね。 これが改修 1 機目で、計 55 機改修するのだそうで。
関連: フランスのミラージュ2000D戦闘機 近代化改修1号機を受領 (おたくま経済新聞, 1/12)
》 「こたつ記事ライター」の生態がいま明らかに!? NHK「ねほりんぱほりん」で今夜放送 (やじうま Watch, 1/13)
セキュリティ問題を修正した「TensorFlow 2.3.2」が公開 (OSDN, 2021.01.13)
Various security fixes in sudo 1.9.5 (CVE-2021-23239, CVE-2021-23240) (oss-sec ML, 2021.01.11)
SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)
関連:
SolarWinds、元CISA長官らのコンサルティング会社と契約--ハッキング事件を受け (ZDNet, 2021.01.12)、 Chris Krebs and Alex Stamos have started a cyber consulting firm (techcrunch, 2021.01.08)
SolarWinds製品のハッキングは2019年9月から--調査で判明 (ZDNet, 2021.01.12)
Kaspersky、SolarWinds製品を悪用した攻撃と「Kazuar」バックドアに関連性を発見 (Kaspersky / PR TIMES, 2021.01.12)
Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)
Thunderbird 78.6.1 が出ています。
Thunderbird 78.6.1 がリリースされた (Mozilla, 2021.01.12)
Microsoft 2021.01 月例更新出ました。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Visual Studio
- SQL Server
- Microsoft Malware Protection Engine
- .NET Core
- .NET Repository
- ASP .NET
- Azure
Microsoft Malware Protection Engine の件は 0-day だそうです: Microsoft Defender のリモートでコードが実行される脆弱性 CVE-2021-1647 (Microsoft)
Kerberos KDC の脆弱性 (CVE-2020-17049) への対応が変化しました。
2020 年 11 月の定例リリースに公開された CVE-2020-17049 は 2020 年 2 月に強制モード フェーズに移行する予定でしたが、2021 年 3 月に第二展開フェーズ、2021 年 5 月に強制モード フェーズに移行する予定に変更となりました。詳しくは、サポート技術情報 4598347 または Japan Security Team Blog をご参照ください。
中間段階である「第二展開フェーズ」が追加され、強制モードまでの期間も延長されています。 Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス (MSRC Blog) もあわせて改訂されていますので、詳細はそちらを。
Internet Explorer および Microsoft Edge での Flash の今後の対応について (Japan Developer Support Internet Team Blog, 2021.01.12 更新)
2021 年 1 月初旬に、Microsoft Edge (EdgeHTML 版) と Internet Explorer で Flash は既定で無効化され、また、2020 年 6 月リリースの KB4561600 より古いバージョンの実行はブロックされます。
今回、これが実施された模様です。
Windows OS のコンポーネントとしての Flash を永久的に削除するための『Update for Removal of Adobe Flash Player』というタイトルの更新プログラムがリリース予定です。この更新を適用したあとは元に戻すことはできません。
Update for Removal of Adobe Flash Player は、今回も WSUS には流れてきていないようです。Microsoft Update カタログからは入手できます。
今日(1/13 JST)の Windows Update(2021-01 B)は今年最初のセキュリティ更新日 (山市良のえぬなんとかわーるど, 2021.01.13)
【Windows10】 WindowsUpdate 2021年1月 不具合情報 - セキュリティ更新プログラム KB4598242 / KB4598229 (ニッチなPCゲーマーの環境構築Z, 2021.01.13)
【Windows8.1】 WindowsUpdate 2021年1月 注意事項と各KBメモと直リンク KB4598285 / KB4598275等 (ニッチなPCゲーマーの環境構築Z, 2021.01.13)
不具合を起こして撤回されていた KB4524244 更新プログラムが KB4535680 として再リリースされた。
Microsoft セキュア ブートのセキュリティ機能のバイパスの脆弱性 CVE-2020-0689 (Microsoft)
Microsoft、セキュア ブートの迂回攻撃を防止するセキュリティパッチを再リリース 昨年2月にトラブルで撤回されたもの (窓の杜, 2021.01.13)
セキュリティ更新 KB4524244(既に提供停止)で PC のリセットが失敗する件、やってみた (山市良のえぬなんとかわーるど, 2020.02.17)
HP の一部デスクトップ / ノート PC では KB4535680 でも不具合が発生する模様。 適用前に BIOS の更新が必要。
KB4535680の適用時にPCがハングアップする不具合 (ニッチなPCゲーマーの環境構築Z, 2021.01.13)
If the latest supported BIOS is not installed on the system, then Windows 2004 installation, Windows 2004 Update, or the KB4524244 or KB4535680 update may be blocked for installation or download.
HP recommends that the latest BIOS is installed before updating or installing Windows 2004 or installing the KB4524244 or KB4535680.
BIOS が更新されていない場合、 Windows 10 バージョン 2004 / KB4524244 / KB4535680 は ブロックされると書かれているのだが、実際にはインストールできちゃって不具合発生、ということだろうか。
ファイザーとBioNTech、日本においてCOVID-19ワクチンの製造販売承認申請を発表 (ファイザー, 2020.12.18)、 ファイザー コロナワクチン 日本で承認申請 早ければ2月に結論 (NHK, 2020.12.18)。承認は、早くても2月中旬になると。
新型コロナワクチン 2月下旬の接種開始準備を指示 厚労省 (NHK, 2020.12.18)
武田「モデルナの新型コロナワクチン 日本承認は5月以降」アストラゼネカは… (ten-navi.com, 1/8)。2月末に間にあうのはファイザーのワクチンだけになりそう。
新型コロナウイルス感染症に係るワクチンの接種について(案) (e-gov パブリックコメント)。締切 1/12。
4 接種の実施体制
(1) 接種の実施体制については、特定接種の枠組みではなく、予防接種法の臨時接種の特例として、住民への接種を優先する考えに立ち、簡素かつ効率的な接種体制を構築する。
(2) 接種は、 国の指示のもと、都道府県の協力により、市町村において実施することとなる。国民への円滑な接種を実施するため、国の主導的役割、広域的視点、住民に身近な視点から、国、都道府県及び市町村の主な役割について概ね以下の分担を前提とし、今後具体的な検討を進め、必要な体制の確保を図る。
実態としては、地方自治体にまる投げなのかな。
新型コロナウイルスワクチンの接種体制確保について 自治体説明会① (厚生労働省, 2020.12.18)
- 厚生労働大臣の指示のもと、都道府県の協力により、市町村において予防接種を実施する。
- 国・都道府県・市町村の役割分担については、主導的役割を果たす国、実施主体としての市町村、広域的な視点で市町村を支援する都道府県といった役割分担を基本として、接種体制・流通体制を速やかに整備する。
新型コロナウイルスワクチンの接種について (姫路市, 1/7)
下記の1(医療従事者等)については2月下旬以降、2(高齢者)については3月中旬以降、3から6(65歳未満の方)については4月以降の接種開始を見込んでいます。
これが現在のスケジュール感なのだろう。
優先順位
- 医療従事者等
- 高齢者
- 基礎疾患を有する者
- 高齢者施設等の従事者
- 60歳から64歳の者
- その他の者
業務委託募集例
新型コロナウイルスワクチン接種体制確保に係る業務委託について(提案募集) (福岡市, 1/8 更新)。1/14 締切。
【公募型指名競争入札】新型コロナワクチン接種体制確保事業個別通知作業委託 (横浜市, 1/5 更新)。入札、昨日じゃん。
東京外かく環状道路 陥没箇所周辺以外の物理探査の実施について (NEXCO東日本, 2020.12.17)
令和2年11月27日に開催された「第4回 東京外環トンネル施工等検討委員会 有識者委員会」において、追加調査することとされた物理探査(微動アレイ探査、表面波探査)のうち世田谷区、狛江市区間について、12月下旬より実施することとしました
調布陥没「トンネル工事が原因」 有識者委が中間報告 NEXCO東日本が補償表明 (東京, 2020.12.18)、 「東京外環トンネル施工等検討委員会 有識者委員会」の開催について(令和2年12月18日) (NEXCO東日本)。
第5回 東京外環トンネル施工等検討委員会 有識者委員会 調査状況(中間報告) (NEXCO東日本, 2020.12.18)。 空洞内の写真あり。 工事前から空洞があった?
第5回 東京外環トンネル施工等検討委員会 有識者委員会 陥没・空洞の要因分析 (NEXCO東日本, 2020.12.18)
大深度法の見直しは必須だなあ。 少なくとも、直上地中における空洞の有無のチェックを必須としなければなるまい。
“陥没”補償など説明も…住民から不満の声 (日テレ, 2020.12.20)
【道路陥没】NEXCO東日本が警察呼んで住民説明会 (田中龍作 / BLOGOS, 2020.12.21)
【道路陥没】「爆音でロックを聞いている感じ」被害の実態明らかに 個別交渉で工事再開目指すNEXCO東日本 (田中龍作 / BLOGOS, 2020.12.28)
東京・調布 外環道工事被害 家屋58軒 騒音・振動102軒 「将来不安」も顕著 住民が調査 (しんぶん赤旗, 2020.12.29)
》 ワクチン後に29人がアナフィラキシー症状 米、530万人に接種 (毎日, 1/7)。
CDCはこのうち昨年12月14~23日にファイザー製を接種しアナフィラキシーを起こした21人の報告書を公表。当時接種した約189万人に占める発生割合は100万人当たり11・1人だった。インフルエンザワクチンの同1・3人と比べると頻度が高いが、CDCは「極めてまれで、接種により新型コロナを予防する利益の方がリスクを上回る」とした。
US では死者数がすごいことになっているからなあ。
関連:
As of December 23, 2020, a reported 1,893,360 first doses of Pfizer-BioNTech COVID-19 vaccine had been administered in the United States, and reports of 4,393 (0.2%) adverse events after receipt of Pfizer BioNTech COVID-19 vaccine had been submitted to the Vaccine Adverse Event Reporting System (VAERS). Among these, 175 case reports were identified for further review as possible cases of severe allergic reaction, including anaphylaxis. Anaphylaxis is a life-threatening allergic reaction that does occur rarely after vaccination, with onset typically within minutes to hours (3). Twenty-one cases were determined to be anaphylaxis (a rate of 11.1 per million doses administered), including 17 in persons with a documented history of allergies or allergic reactions, seven of whom had a history of anaphylaxis. The median interval from vaccine receipt to symptom onset was 13 minutes (range = 2–150 minutes). Among 20 persons with follow-up information available, all had recovered or been discharged home. Of the remaining case reports that were determined not to be anaphylaxis, 86 were judged to be nonanaphylaxis allergic reactions, and 61 were considered nonallergic adverse events. Seven case reports were still under investigation.
COVID-19 Vaccines and Allergic Reactions (CDC, 2020.12.31 更新)
》 15人以上の懇親会と2次会参加、警視庁の署長がコロナ感染 (読売, 1/6)。「尾久署(東京都荒川区)の大野良治署長」。
関連:
人事 警視庁 /東京 (毎日, 1/7)。大野良治氏は 1/8 付で「警務部付」になるみたい。
警視庁尾久署長が感染 (共同 / ロイター, 1/6)。まとまった記事。
》 愛知県知事リコール問題…「8割が不正」の事態に沈黙するお仲間たち【ラサール石井 東憤西笑】 (日刊ゲンダイ / Yahoo, 1/7)
》 隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催 (@IT, 1/7)。2/11 オンライン開催だそうです。
》 攻撃の発見、対処、報告の流れを体験しながら学べる「サイバーセキュリティオンライン講座」をNECが提供開始 (@IT, 1/6)
》 トランプ氏支持者、連邦議会に侵入 銃撃された女性死亡 (朝日, 1/7)。めちゃくちゃだ。 関連:
【米大統領選2020】 連邦議会、トランプ氏支持者たちが侵入 結果認定の審議が一時中断 (BBC, 1/7)。包括的な記事。
バイデン次期米大統領、議事堂占拠は「ほとんど反乱」 (BBC, 1/7)
米産業界、トランプ支持者の議事堂乱入を非難 (日経, 1/7)
グーグル(中略) 傘下の動画共有サイト「ユーチューブ」やフェイスブックはトランプ氏が支持者に「皆さんはスペシャルだ」などと呼びかけた動画を削除した。ツイッターも一部の投稿が規約違反に当たると判断し、閲覧できなくする対応をとった。
TwitterとFacebook、トランプ氏のアカウントを凍結 (日経, 1/7)
米民主議員、トランプ氏弾劾法案を準備 支持者の議会侵入受け (ロイター, 1/7)
米議会乱入、共和党議員からも批判 「トランプ氏が扇動」 (ロイター, 1/7)
トランプ政権閣僚ら、大統領の即時免職を協議 米報道 (AFPBB, 1/7)
ツイート:
Perspective: The Capitol mob images shouldn’t surprise you. Open insurrection was always where we were headed. https://t.co/zgb3uwNcCI
— The Washington Post (@washingtonpost) January 6, 2021
米議会議事堂が襲撃を受けたのは米英戦争中の1814年以来初めて。まさか2021年に南軍旗を持った連中が議事堂に乱入するとは。南北戦争中もこのようなことはなかった。
— tetsuo kotani/小谷哲男 (@tetsuo_kotani) January 6, 2021
Day 1 vs. Day 1,448 pic.twitter.com/OohffkCQrc
— 11th Hour (@11thHour) January 6, 2021
「トランプこそ俺の大統領」と書かれた旗を掲げて連邦議会に侵入したバッファロー男はアリゾナのQアノン、ジェイク・アンジェリ、その隣のヒゲ男はボルチモアのネオナチ、ジェイソン・タンカースリーです。ネオナチが議会を占拠とは合衆国史上最悪の事態です。 pic.twitter.com/i9XQgmMLSx
— 町山智浩 (@TomoMachi) January 6, 2021
いやほんと「トランプおもしれえ」とか「パンケーキおじさんかわいい」みたいなのがどれだけ危険なのか分かっただろう2021年を学びの年に。
— 森泉岳土:『爪のようなもの・最後のフェリー その他の短篇』 (@moriizumii) January 7, 2021
》 「CrystalDiskInfo」の次期バージョン、開発始動。Webhook対応でTeams・Slackとも連携可能に? (窓の杜, 1/7)
「CrystalDiskInfo 9」では全面的な刷新が計画されており、とくに世界中から要望が寄せられているWindowsサービス化とコア機能のDLL分離に取り組むとのこと。また、注目の機能として“Webhook”がサポートされます。 (中略) 「CrystalDiskInfo」が“Webhook”に対応すれば、ディスクドライブの異常を検知した時にSNSやメッセージングアプリに投稿できるようになります。作者・ひよひよ氏の“Twitter”によれば、「Microsoft Teams」や「Slack」との連携が一通り実装中の模様。
》 「FOSS」に貢献している人の多くはセキュリティに関わることに消極的? (Internet Watch, 1/7)。FOSS に限った話ではないだろうと思いますが。
もちろん、セキュリティにも十分に創造性はあるのですが、それはなかなか理解してもらえていないのが現実ですし、例えば、見つかった脆弱性を丁寧に修正する作業を「ワクワクして楽しめる」人はそう多くはいないでしょう。
コード直して ok ok で済めばいいのですが、安定性の確認とか、互換性の維持とか、めんどくさい作業が必要だったりしますからねえ。
》 AppleのM1チップ搭載Macでの確定申告、ICカードリーダライタの対応状況に要注意 (やじうま Watch, 1/7)
[Dovecot-news] Dovecot v2.3.13 released (dovecot, 2021.01.04)
CVE-2020-24386: Specially crafted command can cause IMAP hibernate to allow logged in user to access other people's emails and filesystem information.
Chrome 87.0.4280.141 公開。16 件のセキュリティ修正を含む。 $20000 x 3、$15000 x 2 の内 3 件は 360 Alpha Lab さんですか。
Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)
Firefox 84.0.2 / ESR 78.6.1、Firefox for Android 84.1.3 が出ています。 critical なセキュリティ欠陥 1 件が修正されています。
Firefox 84.0.2、Firefox for Android 84.1.3 がリリースされた (Mozilla, 2021.01.07)
SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)
関連:
Microsoft Internal Solorigate Investigation Update (MSRC Blog, 2020.12.31)、 Solorigate Resource Center - updated December 31st, 2020 (MSRC Blog)
マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡 (CNET, 2021.01.04)
SolarWinds製品のハッキングはどれほど深刻か (CNET, 2021.01.05)
SolarWinds製品のハッキングは「ロシア発の可能性が高い」--FBIやNSAらが声明 (CNET, 2021.01.06)、 Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) (CISA, 2021.01.05)
SolarWinds製品のハッキング、米司法省のメールにも不正アクセス (ZDNet, 2021.01.07)、 Department of Justice Statement on Solarwinds Update (justice.gov, 2021.01.06)
After learning of the malicious activity, the OCIO eliminated the identified method by which the actor was accessing the O365 email environment. At this point, the number of potentially accessed O365 mailboxes appears limited to around 3-percent and we have no indication that any classified systems were impacted.
》 アサンジ被告の米国引き渡し、英裁判所が拒否--自殺を懸念 (CNET, 1/5)
》 英国拠点の「.eu」ドメイン名8万1000件、一時停止--EU離脱の影響で (CNET, 1/6)
》 「リラックマ」の会員制ファンサイトに不正アクセス メールアドレス10万件が漏えいか (ITmedia, 1/6)
》 まだの人はいますぐに。サポート終了したFlashの削除方法 (PC Watch, 1/5)
関連: Adobe Flash Player法人向けサポート終了情報ページ (Adobe)
2021年1月12日以降、アドビはFlash PlayerによるFlashコンテンツの実行をブロックします。これはユーザーのシステムを保護するためです。
》 愛媛大に不正ログイン 迷惑メール3万5000件送信 (ITmedia, 1/5)、 不正アクセスによる迷惑メールの送信について (愛媛大学, 1/4)
本学の学部用メールサービス利用者2名のメールアカウントとパスワードが学外者に不正に利用され
複数名なんだ。
学外のイベント管理サービスに登録していた本学の学部用メールアドレス利用者のメールアカウントとパスワードが、同サービス運営会社が第三者による不正アクセスを受けた際に流出し、窃取されたものと推測されます。
その「イベント管理サービス」というのはどこのサイトなんだろう。 「イベント管理サービス 不正アクセス」でぐぐると出てくる筆頭は Peatix だけど。
イベント管理サービス「Peatix」に不正アクセス。最大677万件の顧客情報流出 (Impress Watch, 2020.11.18)
不正アクセスによるPeatixの情報流出についてまとめてみた (piyolog, 2020.11.20)
Peatix (Firefox Monitor)
弊社が運営する「Peatix( https://peatix.com/)」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について (Peatix, 2020.12.16)。この文書、peatix.com のトップページからどうすればたどりつけるのだろう。
最大677万件の上記お客様情報が不正アクセスにより引き出されていることを確認いたしました。なお、これまでに今回の不正アクセスに起因する具体的な財産的被害等の発生は確認されておりません。
愛媛大事案が Peatix 関連なら、流出情報の悪用が判明したのはこれが初、ということになるのかな?
Peatixの2020年を振り返って (Peatix BLOG, 2020.12.29)
》 リップル社を米証券取引委員会が提訴、「暗号資産の証券性」がブロックチェーンに与える影響とは (Internet Watch, 2020.12.28)
》 テレビ見逃し「TVerで見て」番組が訴え 再生数で出演者に還元 「違法動画、何も良いことない」 (ITmedia, 1/5)。同様に、ラジオの聽き逃しは radiko で。
》 AT&Tのナッシュビル施設爆破犯(63)は5G陰謀論者の可能性 (ITmedia, 2020.12.28)。はあ。
爆発事件の現場は、 AT&T ビル (ナッシュビル) のすぐ近くなのですね。米ナッシュヴィルでキャンピングカー爆発、3人負傷 「意図的行為」と警察 (CNN, 2020.12.26) の写真で確認できます。
システムコンポーネントにCriticalな脆弱性 ~Androidの2021年1月セキュリティ更新 (窓の杜, 2021.01.05)
「Node.js」の2021年1月セキュリティ更新 ~CVE番号ベースで3件の脆弱性に対処 (窓の杜, 2021.01.05)
New security releases now available for 15.x, 14.x, 12.x and 10.x release lines (Node.js, 2021.01.04)
シトリックス製品を悪用したDDoS攻撃を確認--対応パッチは1月に提供予定 (2020.12.28)
Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC (Citrix) が改訂されている。 2021.01.04 付で enhancement build が公開された模様。
Citrix has added a feature enhancement for DTLS which, when enabled, addresses the susceptibility to this attack pattern. The enhancement builds are available on the Citrix downloads page for the following versions:(中略)
- Citrix ADC and Citrix Gateway 13.0-71.44 and later releases
- NetScaler ADC and NetScaler Gateway 12.1-60.19 and later releases
- NetScaler ADC and NetScaler Gateway 11.1-65.16 and later releases
Customers using DTLS are recommended to upgrade to the enhancement build and enable “HelloVerifyRequest” in each DTLS profile by using the following ADC CLI instructions:
DDoS 攻撃への対応としては、
enhancement build に更新した上で HelloVerifyRequest を有効に設定する (推奨) か、
set vpn vserver <vpn_vserver_name> -dtls OFF で DTLS を無効に設定する
となるようです。
過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)