![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Thu Aug 10 21:09:26 2017
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 「Conficker」ワームの時代を知らない2代目CSIRT世代へ襷をつなげ、日本シーサート協議会が10周年カンファレンス、8月23~25日に開催 (Internet Watch, 8/10)
》 「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言 (やじうまWatch, 8/10)、 あのパスワード規則、実は失敗作だった (ウォール・ストリート・ジャーナル日本版, 8/10)。 NIST Special Publication 800-63-2 までについてくる Appendix A. の件。
いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。
「いま世界に広まりつつある改定版」は 800-63-3。
》 北朝鮮、火星 12 による「グアム包囲射撃」を検討と表明。4 発を同時発射し、それぞれがグアム周辺 30〜40km に着弾するのだという。
北朝鮮 ミサイル発射計画「日本の上空通過 グアム島周辺海上に」 (NHK, 8/10)
「グアム包囲射撃」「炎と怒り」…米朝“言葉の戦争”最高潮 (ハンギョレ, 8/9)
北朝鮮の司令官、グアムへのミサイル攻撃は「島根、広島、高知を通過する」 (ハフポスト, 8/10)
大統領府「厳しい状況だが、危機説には同意しない」 (ハンギョレ, 8/10)
北朝鮮に挑発中止要求 「あらゆる措置講じる」=韓国NSC (聯合ニュース, 8/10)
出ました。
リリースノート: Firefox 55.0、 ESR 52.3.0、 Android 版 Firefox 55.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
関連:
1,691個のタブを開いたセッションをわずか8秒で復元 ~「Firefox 55」が正式版に (窓の杜, 2017.08.09)
出ました。IE / Edge、Windows、SharePoint Server、SQL Server、Flash Player。
》 「改造版Mirai」を作った男の意外な正体!?(前編) (ZERO/ONE, 8/8)、 (後編) (ZERO/ONE, 8/9)
》 中国の「ステマグループ」を組織した男に懲役5年9ヵ月と罰金1530万円の判決 (ZERO/ONE, 8/7)
》 長期休暇中と休暇明けのセキュリティ対策、ここに注意(IPA) (so-net セキュリティ通信, 8/8)
》 7月の国内フィッシング事情――アップルを装うフィッシングが異常増殖 (so-net セキュリティ通信, 8/7)
》 典型的な「特許ゴロ」とされていた「ポッドキャスト特許」の裁判が終結して特許が認められないことで決着 (gigazine, 8/8)
》 米軍、DJI製のドローンを「禁止」──セキュリティ上の懸念が理由 (WIRED, 8/8)
》 Improving Dual Scan on 1607 (WSUS Product Team Blog, 8/4)
》 Windows 10 LTSB の 更新プログラムを WSUS で同期する際の注意事項について (Japan WSUS Support Team Blog, 8/9)
「Windows 10 LTSB」にチェックを入れた場合、同期の対象は Windows 10 Enterprise LTSB 2015 の更新プログラムのみとなります。従いまして、Windows 10 Enterprise LTSB 2016 以降をご利用の場合は、併せて「Windows 10」にもチェックを入れる必要があるのでご注意ください。
》 ネットワーク機器を一括管理するクラウドサービスのCisco Meraki、オペミスでユーザーデータを削除。現在復旧作業中 (PublicKey, 8/9)
》 ばりかた勉強会開催のお知らせ。 2017.08.26、福岡県福岡市、無料。「入門~応用まで幅広い範囲をカバーするexploitハンズオンを実施します」。花田さん情報ありがとうございます。
いろいろ (2016.09.02): 認証局 WoSign
関連:
グーグル、中国の認証局WoSignの証明書を拒否へ--「Chrome 61」から (CNET, 2017.07.11)
ChromeはすでにWoSignおよびStartComへの信頼を段階的に取り消しつつあり、現在は2016年10月21日以前に発行された証明書のみ信頼している
Microsoft to remove WoSign and StartCom certificates in Windows 10 (Windows Security, 2017.08.08)
Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.
マイクロソフト、不正が指摘されていた中国CAの証明書を無効に (ZDNet, 2017.08.09)
WoSignの証明書をおそらく今後も信頼するであろうウェブブラウザの1つが、Operaだ。Operaブラウザは2016年、Golden Brick Silk Roadを中心とする中国企業のコンソーシアムに買収されている。このコンソーシアムには、北京のモバイルゲームベンダーであるKunlun TechやQihoo 360が名を連ねており、WoSignとStartComはQihoo 360の傘下にある。
Acrobat / Acrobat Reader 更新版出ました。えーと、67 件のセキュリティ欠陥を修正。 Critical: 43、Important: 24。Priority Rating: 2
| 種別 | 更新版 |
|---|---|
| Acrobat / Acrobat Reader DC (Continuous Track) | 2017.012.20093 |
| Acrobat / Acrobat Reader 2017 | 2017.011.30059 |
| Acrobat / Acrobat Reader DC (Classic Track) | 2015.006.30352 |
| Acrobat / Reader XI | 11.0.21 |
Acrobat 2017 という製品が出たのですか……。 Acrobat / Reader XI は 2017.10.15 に EoL となるのでご注意を。
Flash Player 26.0.0.151 公開。2 件のセキュリティ欠陥 CVE-2017-3085 CVE-2017-3106 を修正。
》 とくダネ!がSNSの台風動画「返答なくても使用」、弁護士「違法とまではいえない」 (弁護士ドットコム, 8/8)。著作権法第41条 (著作権情報センター) ですか。
今回、報道番組で動画が使用されています。著作権法41条が『時事の事件の報道のための利用』を認めていますので、今回の動画の利用が、同条によって認められる可能性はあります。
あとこれ:
今回、番組の対応がインターネット上で、批判されているのは、番組スタッフの対応でしょう。お願いする立場の側が、短い期限を一方的に指定して、連絡がなければ使用しますというのは、一般的な常識とは相容れない対応だと言われてもやむを得ないと思います。
今回、このツイートが大きく注目されてしまっているのだけど、 その前に 4 つツイートがあるのですね。「上記」って何だろうと思ったら、1つ前のツイートのことだった。
対応手順や文言の見直しが必要なんだろうなあ。
》 米海兵隊 MV-22 オスプレイ墜落事故 (8/5)。 沖縄でおなじみ 31st MEU 所属の機体がオーストラリアで墜落、海兵隊員 3 名が死亡。
VMM-265 ‘Dragons’ join the 31st MEU (31st MEU, 4/6)。墜落したのは VMM-265 所属の機体。
What do we know about the US Marine Corps Osprey crash? (abc.net.au, 8/5)。Talisman Sabre 演習終了後もひきつづき Shoalwater Bay にいたのですね。
Marines who died in Osprey crash identified (FOX News, 8/7)。「The MV-22 crashed while on final approach to USS Green Bay, a Navy amphibious ship off the east coast of Australia, on Saturday afternoon, local time」。 グリーン・ベイ に着艦しようとしていたときに墜落と。
米軍オスプレイ墜落 3人死亡と発表 「最も重大な事故」 (NHK, 8/8)。class A mishap と認定。
日本政府、オスプレイ飛行自粛を米国に要請。ただし「必要なもの除き」。
小野寺防衛相 オスプレイ事故受け 米軍に飛行自粛要請 (NHK, 8/6)
オスプレイ 自粛要請は条件付き 菅氏「必要なもの除き」 (毎日, 8/8)
米国は無視。
オスプレイ飛行継続、沖縄で猛反発 防衛相の要請無視 (朝日, 8/8)。
「オスプレイは資産だ」 米国防総省、自粛応じない方針 (朝日, 8/8)。米国防総省のデービス報道部長。
沖縄でのオスプレイ飛行 県が米軍トップに抗議 (NHK, 8/8)
オスプレイ飛行を強行 沖縄県、国に飛行中止要求 知事「国民守る気概あるか」 (琉球新報, 8/8)
「役所の答弁書を朗読」の江崎鉄磨 沖縄・北方担当大臣、日米地位協定の見直しに言及。
江崎沖北相「日米地位協定、見直さないと」異例の言及 (朝日, 8/8)
江崎沖縄相、日米地位協定見直しを (ロイター, 8/8)
関連自治体の動き
オスプレイ、北海道が飛行停止を防衛省に要請 日米訓練 (朝日, 8/7)
オスプレイの防災訓練参加を見送り 神奈川 (NHK, 8/8)
米海兵隊、全航空機の飛行停止を検討 オスプレイ墜落受け (AFPBB, 8/8)
豪軍、北東部沖で墜落のオスプレイ発見 (ロイター, 8/8)。発見したのは 7 日。
》 山市良のうぃんどうず日記(102): Windows 10 Fall Creators Updateで増える「設定」は「ms-settings:URI」で狙い撃ち (@IT, 8/8)
Microsoftは2017年4月、Windows UpdateのサービスモデルをOffice 365 ProPlusとそろえ、1年に2回(3月ごろと9月ごろ)、機能更新(新バージョン)をリリースし、サービスモデルの名称をCB/CBBから、Semi-Annual Channel(Pilot)/Semi-Annual Channel(Broad)に変更することを発表しました。そして、Office 365 ProPlusとリリースがそろえられるのは、2017年9月からとされていました。
その後、ユーザーからのフィードバックに基づいて「Semi-Annual Channel(Pilot)」は「Semi-Annual Channel(Targeted)」に、「Semi-Annual Channel(Broad)」は単に「Semi-Annual Channel」(Broadを削除)に変更されました。
Windows 10 のリリース情報 (Microsoft) を見ると、現在は CB/CBB と Semi-Annual Channel が併存する状況なのですね。
関連: Windows as a Service: サービスモデルがわかりやすくシンプルに (Microsoft, 8/4)
》 海の向こうの“セキュリティ” 脆弱なまま運用されている「memcached」、Ciscoが調べてサーバー管理者にメールしてみた ほか (Internet Watch, 8/4)
》 Google、中の人の「女性は生まれつきエンジニアに向かない」文書回覧で社内騒然 (ITmedia, 8/6)。Google ですらこうなのか。
》 五輪で使えない東京ビッグサイト…展示会関係者「死活問題」 どうなるコミケ (スポーツ報知, 8/8)
》 島田裕巳氏が指摘「靖国神社が消える日は遠くない」 (NEWS ポストセブン, 8/5)。宮澤佳廣氏の書籍「靖国神社が消える日」に対する、島田裕巳氏の見解。
この本は宮澤氏が現状を憂いて、何とかうまい形で靖国神社を存続させていく道筋はないかという思いで書いたものだとは思います。しかし逆に戦後70年、靖国神社が本来あるべき形と異なる宗教法人として歩んできて、内部においてさえすごい歪みが出てきており、もう容易にはそれを修正できない状況に陥っているという状況をまざまざと教えてくれる一冊だと、私には感じられました。
》 Windows に関する報奨金プログラムの発表 (日本のセキュリティチーム, 8/7)。「報奨金の支払い額の範囲は、500 米国ドルから 250,000 米国ドルです」
》 中国とインドがかつてない軍事緊張関係に 中国軍による道路建設で一触即発状態、戦争は勃発するか (長尾 賢 / JBpress, 8/7)
》 サイバーセキュリティはAIとAIの戦いへ 「Black Hat」「DEF CON」から (岡田陽子=Infostand / クラウド Watch, 8/7)
》 作動しなかった火災警報器は600件。設置後10年経った住宅用火災警報器の買い替えを推奨 (家電 Watch, 8/4)
》 “インターネットの歴史だった”――、2020年のFlashサポート終了を解説した海外連載が先週の1位 (クラウド Watch, 8/7)
》 QuickChargeがUSB Power Deliveryを包み込む将来 (山田 祥平 / PC Watch, 8/4)。QuickCharge (QC) 4 と USB Power Delivery (PD) の話。
つまりQC 4は、PDのスーパーセットであるというのがQualcommの考え方だ。そして、プラグにType-Cケーブルを使うかぎりはPDを使う。(中略) QCはPDのルールを絶対にはみ出ないとRoach氏は繰り返す。(中略)
すぐに思いつくのは、AppleのiPadやiPhoneだ。とくに現在のiPadは、PDによる急速充電をサポートしている。片側Type-C、片側Lightningという変換ケーブルを使いながらも、5Vを超える電圧を使うというのは、Type-Cのルールから逸脱している。 (中略) QualcommはAppleのようなことは絶対にしない。これは、Type-Cを使うかぎり、Type-Cのルールにしたがうという宣言でもあり、それが難しい場合はType-Cそのものを変えるべく働きかけるということでもある。Qualcommがいかに実直な企業であるかがよくわかる。
Qualcomm の王道を行く感がすばらしい。
》 Symantec、Webサイトセキュリティ事業とPKIソリューションをDigiCertへ売却 (クラウド Watch, 8/3)、 Symantec、SSL証明書事業をDigiCertに9億5000万ドルで売却 (Computerworld, 8/7)
今回の買収で、DigiCertは一気に巨大化する。DigiCertの米国での従業員数は、買収前の段階で約225人だった。Symantecの発表によると、買収後は1000人を超える。
》 簡単ファイル共有サービス“Firefox Send” ~リンクが24時間経過で自動消滅 専用のアドオンを必要とせず、「Firefox」以外のモダンブラウザーからも利用可能 (窓の杜, 8/3)
“GitHub”のプロジェクトページからソースコードを入手して、自分でサーバーを運用することも不可能ではない。
》 「Adobe Acrobat/Reader」、8月8日にセキュリティアップデート公開 Acrobat/Reader XIのサポートは10月15日に終了へ (岩崎 宰守 / Internet Watch, 8/4)。あぁ、今月の「第2火曜日の次の日」は 8/9 なのか。用意しなきゃ。
》 ランサムウェアの暗号化をOSが回避! Windows 10秋の新機能を WannaCryで実際にテストしてみた その名は「コントロールされたフォルダーアクセス」、Fall Creators Updateで一般公開 (清水 理史 / Internet Watch, 8/7)。
この「信頼する」という条件についての詳細ははっきりしないが、基本的にはWindowsストアで配布されている、いわゆる“ストアアプリ”であると考えればいい。
先の窓の杜の記事でも検証しているが、例えばテキストエディターの定番的アプリ「秀丸」には、従来からのデスクトップアプリと、ストアで配布されているアプリの2種類がある。これを利用すると非常に分かりやすいが、デスクトップアプリでは、作成したデータを「ドキュメント」など制御対象のフォルダーに対して保存しようとすると、エラーメッセージが表示されて保存ができない。一方、ストアアプリを利用すると、何の問題もなくデータを保存できる。
》 openSUSE.Asia Summit 2017 Tokyo: Call for proposals is open (openSUSE, 7/7)。締切 8/14 だそうです。面さん情報ありがとうございます。 関連:
openSUSE.Asia Summit 2017 Tokyo を開催します! (Geeko World, 7/2)。2017.10.21〜22、東京都調布市 (電気通信大学)。
openSUSE.Asia Summit 2017 Tokyo: 発表提案の募集を開始します (Geeko World, 7/9)
openSUSE.Asia Summit 2017では、openSUSEに関連する発表を募集します。加えて、openSUSE は様々な FLOSS 製品の集合体であるため、FLOSS セキュリティ、LibreOffice、Linux デスクトップなどのトピックについても募集します。
》 東芝を“原発地獄”に引きずり込んだ首相の右腕官僚 (大西康之 / Business Insider Japan、8/1)。その男、今井尚哉。
》 津波浸水想定 県が初作成 最大クラスの津波なら、海津市は3分の1浸水 木曽三川、遡上は高さ30センチ /岐阜 (毎日, 8/1)、 岐阜県津波浸水想定の設定 (岐阜県)。木曽川ぞい。
》 「有害図書指定」された漫画家・筒井哲也さんが描く「表現規制」のディストピア (弁護士ドットコム, 7/30)
》 灘中に「教科書なぜ採択」盛山衆院議員ら問い合わせ (神戸新聞, 8/4)。
》 終わりの始まり…? 独自言語で話しはじめた人工知能、Facebookが強制終了させる (gizmodo, 8/2)。うぉぅ、リアル「地球爆破作戦 Colossus: The Forbin Project」。
稲田大臣辞任で終わらせてはいけない「日報隠ぺい」本当の問題点 (布施 祐仁 / 現代ビジネス, 8/3)
日報問題、「運命の会議」の謎に迫る 稲田氏・背広組・制服組の暗闘 (藤田 直央 / withnews, 8/2)
PKO日報・特別監察 情報公開の限界、防衛省の隠蔽体質 (毎日, 8/3)
日報問題 10日に閉会中審査 稲田氏出席は折り合わず (NHK, 8/4)
》 NHKの仮想通貨特集が放送後お蔵入り、儲けを自慢してはいけない人が映っていた模様 (市況かぶ全力2階建, 8/2)
》 ClamAV 0.99.3 beta has been released! (ClamAV Blog, 8/3)
世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.15)
WannaCry の kill switch を発見した人、別件で逮捕される:
ランサムウエア拡散阻止の「英雄」、不正送金ウイルス作成で逮捕 (AFPBB, 2017.08.04)
訴状によると、ハッチンス容疑者はもう一人の人物と共に「クロノス(Kronos)」と呼ばれる不正送金ウイルスを作成・拡散させたとされる。
大規模ランサムウェア攻撃防いだ英サイバー専門家、米FBIが逮捕 (BBC, 2017.08.04)
「ワナクライ」阻止のセキュリティー専門家、ハッキング容疑で逮捕 (ロイター, 2017.08.04)
Briton who stopped WannaCry attack arrested over separate malware claims (Guardian, 2017.08.03)
WannaCry hero Marcus Hutchins could face 40 years in US prison (Telegraph, 2017.08.03)
》 海外製デジタルビデオレコーダの脆弱性を標的としたアクセスの観測等について (警察庁, 7/31)
》 警察を偽装したネット詐欺を国内で新たに確認 (トレンドマイクロ セキュリティ blog, 7/31)。そういうことだったのか。
今回の詐欺サイトの非常に巧妙な特徴として、ブラウザの全画面表示の機能を利用し、ブラウザのタグや URL 表示、右上の「閉じる」ボタン、「縮小」ボタン、Windows のタスクバーなどすべてを偽装する点があります。前出の図 1 の表示は実際にはすべてブラウザの全画面表示内の表示です。画面上では実際の警察庁サイトの URL(www.npa.go.jp)がブラウザ上で表示されているように見えるため、利用者は正規サイト上でのメッセージのように誤解する可能性があります。また、ブラウザの「閉じる」ボタンや Windows のスタートボタンをクリックしてもウインドウのクローズやスタートメニューの表示は行われません。そのため、この表示を見た利用者は、使用している PC がロックされ、操作できなくなったものと思い込んでしまう可能性があります。
》 Red Hat,RHEL 7.4リリースで"脱Btrfs"を明らかに (Linux Daily Topics, 8/3)。うわマジか。
Btrfsは,Red Hat Enterprise Linux 6の最初のリリース以来,そのステータスは(RHELにおいて)ずっとテクノロジプレビューでした。Red Hatは今後もBtrfsをフルサポートすることはなく,将来のメジャーバージョンリリース(RHEL 8以降)においては(Btrfsを)削除することになるでしょう
》 Creators Update 直後に Smart Card サービスが起動しない事象 (Ask the Network & AD Support Team, 8/3)
》 校則でポニーテールを禁止する中学校があるってホント? 生徒指導担当「わが校だけではない。おそらく全国的にNG」 (ねとらぼ, 8/2)。なんじゃこりゃ。
》 電池寿命に不安。電気自動車の中古価格が暴落中! (国沢光宏 / Yahoo, 7/7)。EV の現実、ですか。
電気自動車、日産リーフの中古車価格が激しく下落している (中略) 理由は簡単。バッテリーの性能劣化のためである。 (中略) 最大にして唯一の解決策は「安価なバッテリー交換プログラムを作る」ことながら、日産自動車のDNAなのか、ユーザーのフォローをしない。
徹底的なユーザー目線を貫くトヨタと好対照と言って良かろう。ちなみにトヨタはバッテリー寿命に問題を抱えていた初期型のプリウスに対し、バッテリーの生涯補償を打ち出した。生涯補償の対象にならない初期型以外のモデルはクルマの寿命くらい長持ちするようになった上、交換用バッテリー価格を低く抑え、15万円以下で新品に交換できる。
サポートの差が性能の差に直結する EV の世界。
》 欧州発、電気自動車シフト 「脱石油」世界の潮流に (日経, 7/27)
格付け会社フィッチ・レーティングスは欧州の新車販売割合でEVが10年以上5割を保つと、ガソリン需要が4分の1減ると分析する。
逆に電力需要は伸びる。例えば日本では、すべての乗用車がEVに替わると消費電力量は単純計算で1割増えるとの試算もある。EVシフトを進めるには電力の供給量確保がカギになる。
関連: 欧州で逆風? マツダが決算会見で語ったディーゼルエンジンの可能性 (マイナビニュース, 8/2)
》 終わりの始まり…? 独自言語で話しはじめた人工知能、Facebookが強制終了させる (gizmodo, 8/2)
会話をさせていた2つの人工知能ボブとアリスが、独自の言語を生み出し、話し始めたのです。人間には理解しがたい言葉を話す2体のAI。
うぉぅ、リアル「地球爆破作戦 (Colossus: The Forbin Project)」。
》 Amazonが「スマホの個人情報を無断で中国のサーバーに送信している」と報告されたBLUのスマホを撤去 (gigazine, 8/3)
》 新仮想通貨ビットコインキャッシュ、取引は低調な滑り出し (ロイター, 8/2)
いざふたを開けて見ればBCCを支持するマイナーがごく少数しか現れず、最初のBCCが採掘して生み出されるまでに6時間近くを要した。
》 平成29年「情報通信に関する現状報告」(平成29年版情報通信白書)の公表 (総務省, 7/28)。関連:
》 『CHAVS チャヴ 弱者を敵視する社会』がいろいろ凄い!! (雨宮処凛 / ハフポスト, 8/3)
本のタイトルとなっている「チャヴ」とは何か。それは「急激に増加する粗野な下流階層」。「偽物のバーバリーなどを身につけた無職の若者を中心とする下流階級」というのがそのイメージで、多くがスーパーのレジ係やファストフード店員、清掃員として働いているという。
読みながら、「チャヴ」とされた人々に向けられる悪意に苦しくなりつつも、どこか既視感を覚えた。
》 「KSKロールオーバー」で一部DNS応答サイズが増大、4人に1人のインターネット接続に影響? JPNICが確認を呼び掛け (Internet Watch, 8/2)
》 Windows 10のWindows Update、ネットワーク使用状況の報告は“正直” (山市良 / @IT, 7/25)
》 匿名加工情報は何でないか・後編の2(保護法改正はどうなった その8) (高木浩光@自宅の日記, 7/22)
本当に長官の指摘によって当初案はキャンセルされているのか?という疑問はあるだろう。(中略) 4月末に情報公開請求していた文書が開示決定され、今週その写しが到着した。早速、関係するところだけささっと目を通したところ、長官による却下は確実にあったことが確認できたので、取り急ぎ核心部分だけ先に以下に書いておく。
》 ビットコインの分裂迫る、取引所は送金一時停止などで備え (日経 IT Pro, 8/1)。Bitcoin Cash 爆誕。
》 北朝鮮のハッカー集団が、サイバー攻撃を世界中で繰り広げる「合理的な理由」 (WIRED, 8/1)
「金を強奪することを任務の一環としている国家主導のハッカー集団が存在することを理解しなければなりません」と話すのは、カスペルスキーのセキュリティ研究者ファン・アンドレス・ゲレーロ=サーデだ。「困ったことですが、(彼らのそうしたサイバー攻撃は)単発的なものではありません」
》 THAADが準中距離弾道ミサイル(MRBM)迎撃実験に成功 (海国防衛ジャーナル, 7/30)
》 北朝鮮 ICBM 「火星 14」、推定射程は 10,000km
北朝鮮、“火星-14”型ミサイル2次試験発射…「米本土打撃圏」 (ハンギョレ, 7/29)
北朝鮮:2度目の大陸間弾道ミサイル(ICBM)「火星14」発射実験 米本土を射程に収める (海国防衛ジャーナル, 7/29)
対抗処置として、ペンディングとなっていた THAAD 発射機 4 基を追加配備するようで。(現在 2 基を配備済み)
THAAD敷地「一般環境評価」…追加4基は今年配備できない (ハンギョレ, 7/29)。正式手続きだとそうなる、という話みたい。
大統領府関係者「THAAD発射台4基、星州基地に臨時配備…中国に通知」 (ハンギョレ, 7/29)。なので「臨時」配備と。
》 STOP!!パスワード使い回し!!キャンペーン2017 (JPCERT/CC, 8/1)
》 Web サイトへのサイバー攻撃に備えて (JPCERT/CC, 8/1)
》 安心相談窓口だより: 組織における標的型攻撃メール訓練は実施目的を明確に (IPA, 7/31)
》 IoTがもたらすライフスタイルの変化とは (マカフィー, 7/27)。McAfee Secure Home Platform 拡販用?
Appleが明言「掃除機ルンバと違ってHomePodは個人データを共有しない」 (iPhone Mania, 7/28)
iRobot、ルンバの「間取りデータ販売検討」を否定。「報道は誤解。スマートホーム製品との接続にも顧客承認が必要」 (engadget, 7/29)
ルンバは「利用者の間取り図」を売るのか?(前編) (ZERO/ONE, 7/31)
ルンバは「利用者の間取り図」を売るのか?(後編) (ZERO/ONE, 8/1)
ガーディアンは、この点について少々恐ろしいことを指摘した。それは「ルンバ900シリーズの利用規約に同意したユーザーは、すでに『そのようなデータをiRobot社が販売してもよい』と許可しているのではないか」という指摘である。
》 トランプ米大統領がトランスジェンダーの人々の軍入隊禁止を発表。各方面から批判噴出 (石壁に百合の花咲く, 7/30)
》 ホワイトハウス広報部長も更迭=起用から10日、新補佐官就任に合わせ-米 (時事, 8/1)。トランプ政権のドタバタ、終りが見えない。
》 香山リカのココロの万華鏡 容姿の話はマナー違反 /東京 (毎日, 8/1)
診察室でも、新しい企画について会社の男性役員たちの前でプレゼンテーションを行ったら、話が終わった瞬間に「女子大生みたいだね」「モテるでしょ」などと言われてショックだった、と話してくれた女性がいた。「結局、話の内容なんてどうでもいいのかな」と思ったのだそうだ。
うわあ。転職した方がいいレベルのような気が。
》 HBO、サイバー攻撃でコンテンツ流出 (ウォール・ストリート・ジャーナル日本版, 8/1)、 ゲーム・オブ・スローンズ関係もリークか――HBO、サイバー攻撃で重大な被害 (techcrunch, 8/1)
同社は月曜に全社員宛にハッキングを受けたことを通知した。ハッカーはHBOの情報1.5TBを入手したことを認め、今後さらにリークを続けると主張している。
HBO hacked: Upcoming episodes, Game of Thrones data leaked online (Entertainment Weekly, 7/31) に CEO から社員へのメールが掲載されている。
CIA Vault 7 方面 (2017.03.10)
関連:
Brutal Kangaroo (WikiLeaks, 2017.06.22)。closed network に侵入するためのツール。 Stuxnet に類似。
Elsa (WikiLeaks, 2017.06.28)。WiFi を使って、感染した PC の位置を判定・記録する (だけ)。感染およびデータの回収には別のツールを用いる。
OutlawCountry (WikiLeaks, 2017.06.30)。 Linux で動作。 CentOS/RHEL 6.x 用 kernel モジュールによって不可視の netfilter テーブルを構築、標的 PC の外向けトラフィック全てを CIA にリダイレクト。
BothanSpy、Gyrfalcon (WikiLeaks, 2017.07.06)。 BothanSpy は Windows 用の SSH クライアント Xshell を標的とし、 アクティブ SSH セッションの認証情報を取得。 Shellterm 3.x 用の機能拡張。 (Shellterm というのは、別の CIA ツールみたい)
Gyrfalcon は Linux 上の OpenSSH クライアントを標的とし、 アクティブ SSH セッションの認証情報を取得する他に、 OpenSSH セッショントラフィックを収集できる。 CIA 製のルートキット (JQC/KitV) を使ってインストール・設定する。
Highrise (WikiLeaks, 2017.07.13)。 Android 4.0〜4.3 用の SMS アプリ。SMS proxy として動作。
UCL / Raytheon (WikiLeaks, 2017.07.19)。
They mostly contain Proof-of-Concept ideas and assessments for malware attack vectors - partly based on public documents from security researchers and private enterprises in the computer security field.
Imperial (WikiLeaks, 2017.07.27)、 CIAがMac・Linux用バックドア・ルートキットを設置する3つのハッキングツール開発が暴露されて発覚 (gigazine, 2017.07.28)。
過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)