セキュリティホール memo - 2011.09

Last modified: Wed Jan 11 19:07:25 2012 +0900 (JST)

　このページの情報を利用される前に、注意書きをお読みください。

■ 2011.09.30

》プライバシ保護団体がFacebook新機能に異議、FTCへ調査要請 (日経 IT Pro, 9/30)。EPIC の要請。
》 Operation Shady RATの全貌 (マカフィー)
》国内の戦闘機生産が55年ぶりに途絶　航空機産業界が見守るＦＸ（次期主力戦闘機）の行方 (週刊ダイヤモンド, 9/30)

　青木氏によれば、「Ｆ-15後継機を選ぶ段階でも、日本が調達可能な戦闘機の顔ぶれは現在と変わっておらず、今回と同じ3機種が候補に挙がる可能性が高い」。約200機が配備されているＦ-15の後継機となるとビジネスチャンスも大きく、仮にそこまでを睨んでロッキード・マーチンがＩＰで日本企業に有利な提案をしているようなら、Ｆ-35のチャンスが広がってくる。

　正直、現時点でそれはないと思うけどなあ。
》 TOMOYO Linux 1.8.3 / AKARI 1.0.20 が公開されました。 (熊猫さくらのブログ, 9/29)
》「欠陥ドメイン名」が世界的に増えそうな件について (Geek なぺーじ, 9/29)

2008年時点でPublic Suffix List作成の協力依頼がIETFのDNSOPメーリングリストに投稿されましたが、反対意見が多く出されるとともに4日間ぐらいこの話題でメールが続いていました。

　相談する相手を間違えただけなのでは。 DNS 技術屋さんに聞いても相手にされないのはあたりまえ。相談すべきはドメイン屋さんとか政治屋さんのような。

　現実問題、とりあえずは cookie がうまく動くようになんとかするしかないわけですが、それを DNS 技術屋さんにどうこう言っても無駄でしょう。実際、関係ないし。Web ブラウザ屋さんががんばるしかない。
》カレログから学ぶ我が社のスマホセキュリティ (LAC, 9/28)。西本逸郎さん。
》これじゃ東電にメスを入れられるわけがない！経産省のエースが仕切る「経営･財務調査委員会」の不透明 (現代ビジネス, 9/30)

　ばりばりの経産官僚である西山が事務局に陣取っていて、東電の経営･財務調査が経産省に不利な形で進むはずがない。それどころか政府から中立的な第三者委員会という装いを凝らしていても、実質的には経産省の監督下にあるとみて間違いないだろう。
　むしろ、西山のようなやり手官僚をわざわざ虎の子の産業革新機構から外して東電タスクフォースに転戦させた人事が、経産省がいかに東電問題を重視しているかを物語っている、と言える。
》特集・原発事故でヨウソ剤はなぜ生かされなかったのか（田中陽子記者） (NHK「かぶん」ブログ, 9/27)。指示しなければならない立場の役人は放置プレイ、ほとんどの自治体は指示待ちのままスルー。
》「リッピングソフトやマジコンの排除徹底を」……コンテンツ権利者6団体が、出版・流通団体に要請 (RBBToday, 9/28)
》名物ぼたん鍋　セシウム禍　野生イノシシなど汚染 (東京新聞, 9/30)

　福島、二本松両市でイノシシの汚染が確認された福島県は、狩猟解禁までにキジ、ヤマドリなどに検査対象を広げる。同県担当者は「野生動物がすむ森林の除染は難しい。汚染はいつまで続くのか」と話した。

　100 年単位でしょう……。そういう半減期です。
》ついに「世界金融危機」の狼煙は上がった (日経 BP, 9/28)
》東京電力福島原子力発電所事故調査委員会法案　第三条 (関組長の東京・永田町ロビー活動日記【ブログ版】, 9/29)

この記事 (小島注: 「国会内に原発事故調設置へ　証人喚問を実施　責任追及も」) に書かれているような「原子力や放射線分野の学識経験者を除いた有識者を」と定める条文は法案には無い。

東京電力福島原子力発電所事故調査委員会法案　第三条
（委員長及び委員の任命）
委員長及び委員は、委員会の職務の遂行に関し公正な判断をすることができ、広い経験と知識を有する者のうちから、東京電力福島原子力発電所事故に係る両議院の議院運営委員会の合同協議会の推薦に基づき、両議院の議長が、両議院の承認を得て、これを任命する。

のである。原子力や放射線分野の学識経験者を排除する条文は、この法案のどこにも無い。
》愛知県と中電、浜岡原発覚書を締結　立地県以外で初 (中日, 9/30)。愛知県と中部電力。

　覚書では通報対象として、基準値を超える放射性物質の漏えいや原子炉の緊急停止、火災、放射性物質の紛失などを想定。発生した場合、浜岡原発からファクスで県へ一報を送った後、中電本店の原子力担当者と県防災局職員が対応を協議する。
　さらに、実務担当者間による常設の連絡会議も設ける。中電は県に、原発の安全確保策の計画、実施状況や施設の新増設の内容などを報告する。中電の広報担当者は「覚書に基づき、愛知県との情報交換を確実に行いたい」と話している。
》 RS ウイルス
- ＲＳウイルス感染拡大　乳幼児　重い肺炎の原因 (東京新聞, 9/21)
- 乳児は重症化の心配　ほぼ１００％が経験　ＲＳウイルス感染症 (西日本新聞, 2008.03.16)
  
  　「今のところ、ＲＳウイルスの特効薬はなく、合併症のメカニズムも解明されていない」と、青木医師は語る。
  　医療機関は対症療法を施しており、軽症であれば睡眠や栄養、水分をとり、安静にして経過をみる。もちろん、重症の場合は、専門医による治療が必要だ。
  　一方、予防薬としてモノクローナル抗体製剤「パリビズマブ」があるが、パリビズマブは体重三キロの乳児に対する投与１回分の販売価格が約８万円と高額。患者側の負担は、福岡市など自治体によって無料のところもあるが、適用範囲は早産児や慢性肺疾患児、先天性心疾患児など、ＲＳウイルス感染が致命的となる「ハイリスク児」に限られ、対象外の子どもには使えない。
　基本動作「手洗い励行」の徹底を。
》【コラム・ネタ・お知らせ】僕とツンデレとハイデガー発売記念！堀田純司先生インタビュー (アキバ Blog, 9/15)

―――「ハイデガーが現代に必要」とは、どういう意味でしょうか？

堀田：今、不安の時代でみんな悩んでますよね。悩んでる人といえば、哲学という悩んでいる専門家の人達がいますよと提示したかったんです。「昔の人も俺たちと同じように悩んでいて、こんな風に答えを出してくれている」っていうのをハードルのない形で出したくて、美少女に語ってもらいました。ぶっちゃけ、変な髭の生えたオッサンに語られてもあまり勉強したくならないですよね（笑）

　納得。
》祭り活気・暴力団排除…露天商締め出し、一筋縄で行かず　東京都も排除条例１０月１日に施行 (産経 MSN, 9/29)。たとえばフーテンの寅さんもテキ屋さんなんですけどねえ。
》ジュニパーがモバイル脅威に関するリポートの日本語版を配布開始 (日経 IT Pro, 9/29)。モバイル脅威に関するレポート2010/2011 年度版 (ジュニパー)

最大の脅威は、「現時点では端末の遺失/盗難だ」（同社）という。
》韓国空軍が空中給油機導入、２０１３年から (聯合ニュース, 9/30)

　報告書によると、空軍は主力戦闘機ＫＦ１６の燃料タンクが小さく、作戦時間が限られており、これを打開するため空中給油機を導入する。独島、済州島の南方上空などで行われている作戦訓練の時間は３０分程度に限定されているという。
》日本の大地震をお祝います（原文ママ）
- 「日本の大地震をお祝い（し）ます」？　サッカー場の横断幕に韓国ネットも騒然 (ニコニコニュース, 9/28)
- 韓国テレビ局が写真をわい曲報道した疑い、「大地震をお祝い」横断幕問題 (韓フルタイム / livedoor, 9/29)。なぜわざわざ改ざんする……
- 韓国テレビ局が写真をわい曲報道した疑い、「大地震をお祝い」横断幕問題 (弁護士落合洋司　（東京弁護士会）　の「日々是好日」, 9/30)
- 【コラム】大地震をお祝い？　全北の恥ずかしい応援 (中央日報, 9/30)
- 日本震災やゆ問題　横断幕制作したサポーターが謝罪 (聯合ニュース, 9/30)
》 Windows 8 にはアンチウイルスが付属するらしい
- Windows 8 to have built-in anti-virus - there's good and bad news (Sophos, 9/14)。企業向けに特化している会社ならではの率直な意見。まぁ、企業ユーザーもホームユーザーと同様に苦労しているわけだが。
- Windows 8 anti-virus has a long way to go (Sophos, 9/30)。Windows 8 Developer Preview を動かしてみましたが……。
- Will Windows 8 Destroy the Consumer Antivirus Market? (PC Magazine, 9/16)
》新刊『グアム戦跡完全ガイド―観光案内にない戦争の傷跡』の発行 (ブログ・三酔人経綸問答, 7/2)

こういう現実の中から、この本では僕は、とくに重点的に取り上げようとしたのは、グアムの南部に残されている「先住民虐殺のメモリアル」や「戦時下での収容所跡」である。ぜひ、現地を訪れる日本人たちが、これらのメモリアルや収容所跡を訪ねてほしいという想いからだ。

また、この本で取り上げたのは、戦跡だけではない。グアムの米軍基地の最新状況も取り上げた。沖縄・普天間基地のグアム移転を巡って、グアム島では島全体が揺れているのだ。そして、移転を巡っては、すでにグアムの基地拡張工事が急ピッチで進展している。この「軍事要塞の島・グアムの今」についても、アンダーセン空軍基地・アプラ海軍基地を中心に、最新状況を報告した。
》フクシマ・ゴーストタウン
- フクシマ・ゴーストタウン全町・全村避難で誰もいなくなった放射能汚染地帯 (版元ドットコム)
- フクシマ「死の街」発言の是非―『フクシマ・ゴーストタウン―全町・全村避難で誰もいなくなった放射能汚染地帯』の取材・編集にあたって (ブログ・三酔人経綸問答, 9/18)
- 【拡散希望】(1)小社発行の『フクシマ・ゴーストタウン』本日から書店発売。しかし某最大手の書籍取次だけはかつてない最少部数の委託配本。版元ドットコムの新刊・全点アクセス第１位にも係わらず。これは「死の町」問題への自主規制、事実上の検閲だ　 hanmoto.com/bd/isbn978-4-9… (@shakai_konishi 小西誠, 9/28)
- 【拡散希望】(2)書店・読者のみなさんへ『フクシマ・ゴーストタウン』の書店発売について―最大手某書籍取次の事実上の検閲のため、大手書店にも配本が少ないと思われます。このため書店からの注文か、ネットからの注文で購読お願いします。在庫は充分ありますhanmoto.com/bd/isbn978-4-9… (@shakai_konishi 小西誠, 9/28)。 amazon には在庫あるようです。
》フランス発、航空戦記バンド・デシネの初邦訳「ル・グラン・デューク」発売中！ (ユーロマンガ, 9/4)。うぉっ、こんなマンガがあったのか。
》すごい現場: インド人エンジニアが繰り広げた驚きのバグ対応 (日経 IT Pro, 9/27)。2 年前の記事なんだなあ。

■ 追記

通信を保護する「SSL／TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ

　いろいろ出てきてます。

TLS 暗号化通信に対する攻撃の Firefox への影響 (Mozilla Japan ブログ, 2011.09.28)
The "BEAST" SSL/TLS issue (Opera, 2011.09.28)
The Beauty and the BEAST (m86security, 2011.09.28)
Cryptology ePrint Archive: Report 2006/136: A Challenging but Feasible Blockwise-Adaptive Chosen-Plaintext Attack on SSL (iacr.org, 2006.04.17)。今回の欠陥はこれみたい。

The attack in this paper is an application of the blockwise-adaptive chosen-plaintext attack paradigm, and is the only feasible attack to use this paradigm with a reasonable probability of success. The attack will work for all versions of SSL, and TLS version 1.0. This vulnerability and others are closed in TLS 1.1 (which is still in draft status) and OpenSSL after 0.9.6d. It is hoped this paper will encourage the deprecation of SSL and speed the adoption of OpenSSL or TLS 1.1/1.2 when they are finially released.

OpenSSL Changelog

Changes between 0.9.6c and 0.9.6d  [9 May 2002]
(中略)      
  *) Implement a countermeasure against a vulnerability recently found
     in CBC ciphersuites in SSL 3.0/TLS 1.0: Send an empty fragment
     before application data chunks to avoid the use of known IVs
     with data potentially chosen by the attacker.
     [Bodo Moeller]

OpenSSL は 0.9.6d で修正されている。OpenSSL を使用する製品はこれに準ずる。

Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures (Bodo Moeller, 2004.05.20 更新)
OpenVPNの"BEAST" exploitについての見解 (yamata::memo, 2011.09.23)。 OpenVPN は OpenSSL を使っているので安全。
Tor and the BEAST SSL attack (TorProject, 2011.09.23)。Tor も OpenSSL を使っている。
Network Security Services (NSS) (mozilla.org)。これが欠陥ありのまま放置されていたので Firefox や Chrome が影響を受けることに。
JVNVU#864643: SSL と TLS の CBC モードに選択平文攻撃の脆弱性 (JVN, 2011.09.28)
Beat the BEAST with TLS 1.1/1.2 and More (Cisco, 2011.09.26)
BEAST (Thai, 2011.09.25)。デモ画面。
BEAST and TLS/SSL Security: What It Means For Users and Web Admins (trendmicro blog, 2011.09.29)

Firefox 7.0 / 3.6.23、Thunderbird 7.0 / 3.1.15、SeaMonkey 2.4 登場

　Firefox 7.0.1 出ました。Thunderbird 7.0.1 も今日深夜には公開される見込みだそうです。iida さん情報ありがとうございます。

　MFSA 2011-38 は、 Firefox 7.0 / SeaMonkey 2.4 ではなく Firefox 6.0 / SeaMonkey 2.3 で修正されているとされています。Firefox 3.6 系列では 3.6.23 で修正なので、それまで非公開だったようです。すずきさん情報ありがとうございます。

■ 2011.09.29

》チュートリアル福田、自転車による交通違反を謝罪「私の認識不足」 (オリコン, 9/29)

　福田さんは前輪のみでもブレーキが付いていれば問題ないと勘違いしていたといい、「私の認識不足でさまざまな方にご迷惑をおかけすることになり、大変申し訳ありません。今後、自転車はきちんと整備し、二度と違反のないようにいたします」と陳謝。
》 Names and addresses of 25,000 police officers published by Anonymous cell (Sophos, 9/28)。オーストリアの件。
》 Microsoft's botnet shutdown won't stop Mac malware (Sophos, 9/28)
》 Botnet Shutdown Success Story: How Kaspersky Lab Disabled the Hlux/Kelihos Botnet (Kaspersky, 9/28)。わ、私達だってがんばったんだからねっ!
》日本の最新セキュリティ脅威の傾向と感染率が低いワケ (日本のセキュリティチーム, 9/28)
》 Taking a Look at Both Sides of Bitcoin (McAfee Labs Blog, 9/28)。nai.com ってまだ使われてるんだ……。

　Bitcoin 関連;: TDL4 Worm Component Employs Bitcoin Mining (trendmicro blog, 9/27)
》 Embedded Devices Are Being Hacked (and Now that I’ve Got Your Attention…) (McAfee Labs Blog, 9/22)
》二本松のお米
- 「二本松産米、出荷しないで」　市にメール相次ぐ (福島民友, 9/29)。二本松全体がひどい状態では全くないのですけどねえ。
- 米の予備調査の結果について (二本松市, 9/26)。旧小浜町だけ、極端に高い数字が出ているのがわかる。福島の定量下限値は 5～10Bq/Kg (Cs-134 と Cs-137 とで異なる) なので、栃木の ND と福島の ND は意味が異なる。
  
  二本松市では、9/30 から放射能測定除染課が設置されるそうで。
- 弊社の原料米について～二本松産米に放射性セシウム検出の報道を受けて～ (大七酒造, 9/26)。せっかくなので、お酒を発注してみた。
》東日本大震災：足利の玄米、セシウム検出されず　出荷・販売へ　／栃木 (毎日, 9/29)。栃木の定量下限値は 20Bq/Kg なので、Cs-134 + Cs-137 が 40 Bq/Kg 未満のお米です。Cs が含まれないことが保障されたわけではありません。

　詳細: 平成23年度産県産米の放射性物質モニタリング検査の結果 (栃木県)
》事故等調査の進捗状況一覧 (運輸安全委員会)。エアーニッポンB737-700型機　重大インシデント、調査進捗状況と飛行状況再現動画ファイル (例の背面飛行の奴) 公開されてます。浜松の E-767 ですらやらないような姿勢ですね。 B-707 のバレルロールを連想した。
》インシデント対応状況 (JPCERT/CC)
》動画共有サイトにおけるアニメをアップロードする際の「慣習・しきたり」にワロタｗｗｗｗｗｗ (ニュー速VIPブログ, 9/28)。何この村社会……。
》セプキャンキャラバン in 福岡(非公式) (セキュ鉄)。2011.10.15、福岡県博多市、一般500円・学生無料。花田さん情報ありがとうございます。興味深い内容だなあ。

■ Firefox 7.0 / 3.6.23、Thunderbird 7.0 / 3.1.15、SeaMonkey 2.4 登場
(various, 2011.09.27)

　Firefox 7.0 / 3.6.23、Thunderbird 7.0 / 3.1.15、SeaMonkey 2.4 登場です。修正項目は以下のとおり。

SA 番号	重要度	概要	F 7.0	F 3.6.23	T 7.0	T 3.1.15	S 2.4
MFSA 2011-36	最高	様々なメモリ安全性の問題 (rv:7.0 / rv:1.9.2.23)	X	X	X	?	X
MFSA 2011-37	最高	JavaScript RegExp 使用時の整数オーバーフロー		X
MFSA 2011-38	高	プラグインと隠ぺいされた window.location オブジェクトを通じた XSS	X	X	X	?	X
MFSA 2011-39	中	CRLF インジェクションによる複数 Location ヘッダへの対策	X	X	X	?	X
MFSA 2011-40	最高	Enter キーの押下継続によるコードのインストール	X	X	X	?	X
MFSA 2011-41	最高	潜在的に悪用可能な WebGL のクラッシュ	X				X
MFSA 2011-42	最高	YARR 正規表現ライブラリにおける潜在的に悪用可能なクラッシュ	X		X		X
MFSA 2011-43	最高	loadSubScript によって XPCNativeWrapper のスコープ引数が公開される問題	X				X
MFSA 2011-44	最高	OGG ヘッダの読み込みにおける解放後使用の問題	X		X		X
MFSA 2011-45	中	動作データに基づくキー操作の推測	X				X

　Thunderbird 3.1.15 の修正項目はまだ公開されていないので、上記では、多分ここだろうと思ったところに ? をつけてます。

　関連:

Firefox 最新版公開 - デスクトップ版はメモリ使用量を削減、Android 版はコピー＆ペーストやアプリの終了が可能に (Mozilla Japan ブログ, 2011.09.28)
ユーザインタフェースや添付ファイルの処理などを改善した Thunderbird の最新版を公開しました (Mozilla Japan ブログ, 2011.09.28)
Firefox/Thunderbird の更新後に一部アドオンが消えてしまう問題 (Mozilla Japan ブログ, 2011.09.28)。この問題を受けて、自動更新は停止しているそうです。個別配布は続いています。
もしインストールされているアドオンがアドオンマネージャから消えてしまったことに気付いた場合は、以下の簡単な方法で元に戻すことができます。
1. addons.mozilla.org にある Add-on Recovery Tool のページを開きます。
2. 緑色の「Add to Firefox」ボタンをクリックします。
3. 確認ダイアログが表示されたら「今すぐインストール」ボタンをクリックします。
4. このツールがインストールされると「Restart Firefox」という確認ダイアログが表示されます。「Restart」ボタンをクリックすると Firefox が再起動し、すべてのアドオンが元に戻ります。
Firefox 7.0 リリースノート
Firefox 3.6.23 リリースノート
Thunderbird 7.0 リリースノート
Thunderbird 3.1.15 リリースノート
SeaMonkey
Firefox 7 security fixes, http vs https and data collection (Sophos, 2011.09.28)。Firefox 7 のクラッシュレポート送信機能やアドレスバーの URL の見え方の件など。

2011.09.30 追記:

　Firefox 7.0.1 出ました。Thunderbird 7.0.1 も今日深夜には公開される見込みだそうです。iida さん情報ありがとうございます。

　MFSA 2011-38 は、 Firefox 7.0 / SeaMonkey 2.4 ではなく Firefox 6.0 / SeaMonkey 2.3 で修正されているとされています。Firefox 3.6 系列では 3.6.23 で修正なので、それまで非公開だったようです。すずきさん情報ありがとうございます。

■ 2011.09.28

》ロシア高官、「Stuxnet攻撃の黒幕は米国とイスラエル」と非難　「サイバー戦争で唯一証明されている事項」と主張 (ComputerWorld.jp, 9/28)
》陸山会事件判決
- 石川議員らに有罪＝「裏献金」受領を認定―元秘書３人の共謀成立・陸山会事件判決 (弁護士落合洋司（東京弁護士会）の「日々是好日」, 9/26)
- 【陸山会事件】検察リーク「裁判所が不採用にした調書の内容まで報道された」 (田中龍作ジャーナル, 9/26)
- 昨日の判決を是とするメディアは、検察はなぜ西松事件で石川、池田両氏を起訴しなかったのか、なぜ水谷裏金事件を立件しなかったのかと、厳しく批判をすべきでしょう。裁判所があそこまで断言するようなものを、なぜ放置したのか、と。 (@amneris84 Shoko Egawa, 9/27)
- 9.26陸山会事件の判決を聞いて (江川紹子ジャーナル, 9/28)
》 F-Secure ShareSafe Beta For Facebook (エフセキュアブログ, 9/27)。Facebook アプリだそうです。
》防衛産業企業を狙った標的型攻撃が発覚、「多層防御」を考察する　完全な防御は困難、機密ファイルを奪取されても情報が漏洩しない工夫が重要 (日経 IT Pro, 9/28)。山下眞一郎さん、今は「富士通クラウドCERT室シニアマネージャー」なのですね。
》 FFR yarai vs 国内防衛産業企業に対する標的型攻撃 (フォティーンフォティ技術研究所, 9/27)。ガチンコ対決。
》 New feature in JUNOS to drop or ignore path attributes. (SANS ISC, 9/27)
》会計検査院調査：東大の無駄「１５０億円」 (毎日, 9/28)。土地ですか……。
》犯人隠避事件の公判傍聴＠大阪地裁 (弁護士落合洋司　（東京弁護士会）　の「日々是好日」, 9/27)。前田元検事の件。
》 Towering Qbot Certificates (ESET Threat Blog, 9/27)。コード署名されたマルウェア。
》マイクロソフト、Kelihos ボットネットを無力化
- Microsoft Neutralizes Kelihos Botnet, Names Defendant in Case (Microsoft blog, 9/27)
- Operation b79 (Kelihos) and Additional MSRT September Release (Microsoft Malware Protection Center, 9/26)
》「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」 (葉っぱ日記, 9/28)

あ、これだけ書いておく。
DOM based XSSといっても新しい点はそんなになく、原則としては「HTMLを生成する時点でエスケープ」なので、JavaScript内でHTML(DOM)を生成する時点で意図しないDOM構造にならないようきちんとエスケープする(あるいはcreateTextNodeのような方法を使う)といった点に気をつけるのと、<a href> や location への代入で javascript: スキームや data: スキームが入らないようにするといった、通常サーバサイドで行っているXSS対策と変わらないことをJavaScript上でやるだけです。
》 IEEE 1394 アイソクロナスストリーミングデバイスでは、windows 7 または Windows 2008 R2 上のデータにアクセスしようとすると応答が低下したり、コンピューターを停止します。 (Microsoft KB 2589986)。Hotfix 出てます。IEEE 1394 isochronous streaming device な方はどうぞ。
》「都道府県型JPドメイン」
- JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定 (JPRS, 9/26)
- JPRSに対する都道府県型JPドメイン名新設に係る公開質問 (高木浩光＠自宅の日記, 9/27)
- 都道府県型JPドメインがCookieに及ぼす影響の調査 (徳丸浩の日記, 9/27)
  
  都道府県型JPドメインの運用が始まった後のIEの対応はわかりませんが、長年地域型ドメインのCookie Monster Bugを放置しているという実績から考えると、都道府県型JPドメインにすぐさま対応するは思えません。
- 私はいかにしてOperaブラウザのCookie Monster Bugを確認したか (ockeghem(徳丸浩)の日記, 9/28)
　準備に 1 年かけるようなので、その間に主要ブラウザへの対応をお願いする、のかなあ。しかし、ずいぶん前から存在する地域型ドメインへの対応すらおざなりのまま放置ざれているのですね。Opera はともかく IE が対応していないという現状で、JPRS に何かを期待できるのでしょうか。
》 InterScan WebManager関連製品のデータベースにおける、中国関連URLリスト追加のお知らせ (トレンドマイクロ, 9/27)。データベースサイズやメモリ使用量が増えるのでご注意。
》弊社 ERS (Email Reputation Services) の障害についてのご報告 (トレンドマイクロ, 9/28)。ユーザーから見ると、いつもはブロックされるような spam がドカドカッと来たのかな。
》「東電や行政主体が筋」　福島市除染計画に住民注文 (福島民友, 9/28)。福島市「自宅の除染くらい自分でやれ」住民「ムキー」。当然の反応だよなあ。
》九電：佐賀知事の資金管理団体がパーティー券購入を依頼 (毎日, 9/28)

佐賀県の古川康知事の後援会事務所長が、知事の資金管理団体が昨年１０月に東京都内で開いた政治資金パーティー券の購入を九州電力に依頼していたことを毎日新聞の取材に明らかにした。九電も購入の事実を認めた。

　関連: 佐賀知事のパー券購入仲介　昨年１０月に後援会開催　九電 (西日本新聞, 9/28)
》玄海原発説明番組　投稿１１５件集計外し　エネ庁 (西日本新聞, 9/28)
》答えられない (河野太郎公式ブログごまめの歯ぎしり, 9/28)

自民党のエネルギー特命委員会に、政府からエネ庁と国家戦略室が来てプレゼンする。

原子力を自給エネルギーと力説するので、ウランは全量輸入しているだけでなく、現在、国内のウラン濃縮工場も全て止まっているのに、なぜ、原子力を自給エネルギー扱いするのかとたずねると、エネ庁が、ウランはいったん輸入しても三年ぐらいは燃えているので準国産エネルギーとしている、と。

では、輸入して十年は乗れる外国車は準国産車なのか。輸入してから何年も持つ缶詰は、準国産の食糧なのか。石油の備蓄を三年分したら、石油は準国産のエネルギーなのか。

ガソリンがすぐになくなるので、外国車は準国産とはいいにくいなどとぶつぶつコメントしている。

　これはひどい……。資源エネルギー庁ってほんと馬鹿。
》「はじめてのクソゲー」から考えるウイルス作成罪 (QB被害者対策弁護団withアホヲタ元法学部生の日常, 9/22)

「はじめてのクソゲー」は、ウイルス作成罪の曖昧さを浮き彫りにするという意味でも、法律関係者が読むべき作品である。

　そうなのぉ～?!
》＜本紙・山岡の出版のお知らせ＞『福島第一原発潜入記――高濃度汚染現場と作業員の真実』 (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 9/24)。 9/27 発売。

■ 追記

いろいろ (2011.07.25)

　Foxit Reader 5.0.2 の件:

SERT-VDN-1009: Foxit Reader Insecure Library Loading (solutionary.com, 2011.09.06)
CVE-2011-3691

■ 2011.09.27

》『よくわかるPHPの教科書』のSQLインジェクション脆弱性 (ockeghem(徳丸浩)の日記, 9/26)
》「フィッシュ」は「スパム」よりも美味しい (シマンテック, 9/26)
》 DBSC パブコメデータベース暗号化ガイドライン第0.9版 (まるちゃんの情報セキュリティ気まぐれ日記, 9/27)
》アメリカの小学校、驚きのプレゼンテーション指導 (グローバル時代の次世代教育, 9/20)。こういうのは数をこなして慣れるのも重要だから、低年齢のころからやっておくと効果あるだろうなあ。
》福島原発事故の健康・環境に対する影響に関する会議開始 (国連情報誌ＳＵＮブログ対応版, 9/27)
》エジプトでまたガスパイプライン爆発、イスラエル・ヨルダン向け (ロイター, 9/27)
》 Googleとモノポリー劇場 (techcrunch, 9/26)
》工事現場でもイヤホンを着けていても通話可能、KDDIが「新聴覚スマートフォン」開発中 (gigazine, 9/27)。よさげ。
》監禁レストラン。津島市議会に申入れ、津島署前で抗議 (JANJAN blog, 9/26)
》 History of Malware (McAfee / YouTube, 9/22)。関連:
- The History of Malware (McAfee Labs Blog, 9/26)
- Think You’re Protected? Think Again! (McAfee Labs Blog, 9/26)
》情報セキュリティ技術動向調査（2011 年上期） (IPA, 9/27)
》 au、月額 980 円にできる「プラン Z シンプル」発表 (slashdot.jp, 9/27)。au がプランゼット……。
》 MySQL.com がハクられ、マルウェアが植えられるわ root 権限が $3000 で売りに出されるわ
- MySQLのWebサイトがハッキング被害に　 MySQL.comサーバへのルート・アクセス権を販売するハッカーも登場 (ComputerWorld.jp, 9/27)
- mysql.com hacked, infecting visitors with malware (Armorize Malware Blog, 9/26)。映像あり。
- MySQL.com hacked for second time in a year - SQL injection to blame? (Sophos, 9/26)
- MySQL.com Sold for $3k, Serves Malware (Krebs on Security, 9/26)
- Underground Radar: Possible Compromise of MySQL.com and its Subdomains (trendmicro blog, 9/26)
》高速増殖炉は維持します by 文科省
- 高速増殖炉の実用化研究、凍結へ　もんじゅ管理費は維持 (47news.jp, 9/26)
  
  　国の核燃料サイクル政策の中核となる高速増殖炉について、文部科学省が来年度予算の概算要求で、実用化に向けた研究費を本年度当初予算の１００億円から７～８割削減する方針であることが２６日、分かった。一方、原型炉「もんじゅ」（福井県敦賀市）は維持管理費として本年度並みの約２００億円を維持する。
  
  もんじゅこそが無駄施設なのに、来年も200億円注ぎ込むのだそうで。原子力村に敬礼。
- 高速増殖炉研究、１年凍結の意向　文科相 (日経, 9/27)。さ来年は凍結解除の予定、ということか。
》 Internet Week 2011。 2011.11.28～2011.12.02。東京都千代田区、料金は参加プログラムに依存。 11/18 までは事前割引料金。

　今年ももうそんな季節ですか。参加登録アンケート、「Q4.日頃どのようなメディアをご覧になっていますか？（複数選択可）［Webサイト］」に、1 つだけ変な個人ページが混ざっているのが謎。 ScanNetSecurity が入っていないのも謎 (スポンサーなんですよね?)。
》ドイツ：ヒトラーの「わが闘争」再出版　国内で論争に (毎日, 9/27)

「わが闘争」は１９２５年に上巻、２７年に下巻が刊行された。反ユダヤ主義などヒトラーの持論に加え、大衆を扇動するノウハウについても記述されている。

　2巻本だったのか。
》 KDDIとAndroid端末のセキュリティで協業 (トレンドマイクロ, 9/26)。「ウイルスバスターモバイル for au」。
》「フォルモサット・ツー」(FORMOSAT-2)による平成23年(2011年)台風15号豪雨災害の観測結果 (JAXA, 9/26)
》 PostgreSQL 2011-09-26 Cumulative Bug-Fix Release (PostgreSQL, 9/25)
》 [CentOS-announce] CentOS-6.0 Continuous Release i386 and x86_64 (centos.org, 9/26)。CentOS 6.0 にも CR 出ました。利用者は対応を。
》ＮＨＫスペシャルがエミー賞 (NHK, 9/27)。奇跡の生還　スクープ　チリ鉱山事故の真実 (NHK スペシャル, 2010.10.24 放送) がエミー賞を受賞（時事問題部門最優秀作品）。おめでとうございます。

■ 追記

通信を保護する「SSL／TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ

　出たようで:

http://www.insecure.cl/Beast-SSL.rar。なくなってる?
SSL/TLS (part 3) (SANS ISC, 2011.09.25)
Chrome and the BEAST (23 Sep 2011) (ImperialViolet, 2011.09.23)

Thanks to an idea suggested by Xuelei Fan, we have another workaround for the problem which will, hopefully, cause fewer incompatibility problems. This workaround is currently being tested on the Chrome dev and beta channels but we haven't pushed it on the stable channel yet. Since we don't really know if the fix will cause problems it's not something that we want to drop on people without testing. The benefit of a fix to Chrome's TLS stack is also limited as Chrome already uses the newer WebSockets protocol and it doesn't fix problems in plugins.
Secure web browsing cracked by BEAST (Sophos, 2011.09.24)
TLS 1.0に深刻な弱点が見付かる? (yebo blog, 2011.09.20)
マイクロソフトセキュリティアドバイザリ (2588513) SSL/TLS の脆弱性により、情報漏えいが起こる (Microsoft, 2011.09.27)
- SSL/TLS の脆弱性に関するセキュリティアドバイザリ 2588513 を公開 (日本のセキュリティチーム, 2011.09.27)
  この問題の悪用が行われるには、いくつかの条件があります。
  - 標的となるユーザーが HTTPS セッションを使用している必要があります。
  - 攻撃者が HTTPS トラフィックを解読するには、悪意のあるコードをユーザーのブラウザーセッションに挿入し実行する必要があります。かつ、
  - 既存の HTTPS 接続にピギーバック攻撃を仕掛けるには、攻撃者の悪意のあるコードは、HTTPS サーバーと同じ発信元である必要があります。
- Is SSL broken? - More about Security Advisory 2588513 (Microsoft Security Research & Defense, 2011.09.26)
- Prioritizing Schannel Cipher Suites (Microsoft)
- Microsoft Security Advisory: Vulnerability in SSL/TLS could allow information disclosure (Microsoft KB 2588513)
Apache Module mod_ssl。制限したい場合は SSLCipherSuite ディレクティブを設定すればいいのかな。

　まとめると、こうですかね:

複数の条件をクリアできれば、ユーザに気づかれることなく HTTPS トラフィックを解読できる。
SSL 3.0 / TLS 1.0 の欠陥。TLS 1.1 / 1.2 にはこの欠陥はない。しかし TLS 1.1 / 1.2 のサポート状況は極めて悪い。
CBC モードを使用する暗号群 (例: RSA-with-AES-256-CBC-SHA) において発現。ストリーム暗号を使用する場合 (例: RSA-with-RC4-128-SHA) には発現しない。

CPNI-957037: SSH 通信において一部データが漏えいする可能性 (2008.11) の件を思い出し、CTR モードを使えばいいのにと思ったのだけど、SSL / TLS では CTR モードは使えない (標準化されていない) のだそうで: SSL cipher mode (OpenSSL-Dev ML)

　現時点では、RC4-128 で回避するのが現実的かなあ。

■ 2011.09.26

》ボットが仕掛けた韓国へのサイバー攻撃～国内のパソコン関与が判明 (so-net セキュリティ通信, 9/26)
》標的型メール攻撃事案の把握状況について (警察庁, 9/21)。関連: 三菱重工業など防衛関連企業狙うサイバー攻撃～トレンドマイクロが手口分析 (so-net セキュリティ通信, 9/26)
》復旧急ぐkernel.org、新インフラではgitレポジトリへのシェルアクセスが不可能に (sourceforge.jp, 9/26)
》 NYで母親たちが「国連よ、原発推進を止めなさい」 (田中龍作ジャーナル, 9/25)
》経産省前ハンスト完結「原発はおカネが降ってくるけど、町づくりの産業は育たない」 (田中龍作ジャーナル, 9/21)
》イスラエル / パレスチナ方面
- イスラエルで「テント村」運動拡大　住宅価格と家賃の高騰に抗議 (日経ビジネス, 8/31)
- イスラエル：史上最大、４５万人デモ　生活費高騰に抗議 (毎日, 9/5)
- 時論公論「"パレスチナ国家"は誕生するか」 (NHK 解説委員室, 9/22)
- 「ネタニヤフ氏に責任の一端」　クリントン元米大統領、パレスチナ問題で (産経 MSN, 9/23)。「米誌フォーリン・ポリシー（電子版）」。
- 中東和平（クリントン元大統領の発言） (中東の窓, 9/23)
- パレスチナ、国連加盟を申請 (ウォール・ストリート・ジャーナル日本版, 9/24)
- アッバス議長の新たな闘争　盛り上がるパレスチナ自治区ラマラ　川上泰徳 (asahi.com, 9/24)
- 中東和平（ネタニアフの勝利はイスラエルの敗北と言うイスラエル紙論評） (中東の窓, 9/25)
》サウデイ女性の政治参加 (中東の窓, 9/25)
》トルコ・イスラエル関係（新型敵味方識別装置） (中東の窓, 9/13)

記事によるとトルコのF16戦爆機には、初めから米国製の敵・味方識別装置がつけられていたが、この装置はイスラエル機及び艦船は味方と識別するようにセットされていて、その変更はできないシステムであったとのことです（これに対して、イスラエルに供与された敵・味方識別装置は変更可能のシステムで、おまけにトルコへ供与された識別装置に関する情報はイスラエルにも提供されていた由）。

　マジですか……?!

これに関して、トルコが「トルコ軍事電子工業」製の新しい識別装置に切り替えたので、今後は仮に必要が生じればイスラエル機や艦船を敵と識別できるようになるとのことです。言い換えれば、これまではトルコ空軍パイロットは、仮にイスラエル機を攻撃するように命じられても、実際にはそれができなかったということのようです。この新しい敵・味方識別装置は、今後トルコ海軍の艦船にも取り付けられる予定とのことです。
》統一協会“断食デモ隊”動員の信者は各教区持ち回り制と判明、街頭で偽装勧誘も (やや日刊カルト新聞, 9/22)
》統一協会が全国の信者に関連本の図書館リクエストを指示 (やや日刊カルト新聞, 9/21)
》 “ONE KOREA CUP”主催は“統一教財団”と判明 (やや日刊カルト新聞, 9/17)
》富山県警「やや日刊カルト新聞社」アジトを家宅捜索＝著作権法違反容疑 (やや日刊カルト新聞, 9/20)

　今回問題となった記事は「やや日刊カルト新聞」2010年2月4日の＜学生を偽装勧誘する親鸞会の冊子を全公開＞。ここで藤倉容疑者が冊子を全文転載したことについて、冊子の著者が刑事告訴していました。親鸞会の脱会者によると、著者は親鸞会信者とのことです。

　本当に80ページ全文を公開しちゃっているのですね……。
》 FBI、Sony Picturesへの侵入容疑でLulzSecメンバーを逮捕 (Internet Watch, 9/26)。“recursion” の件。
》 ADのドメインコントローラは少なくとも1台は実機で、と言う話。 (ハニーポッターの部屋, 9/26)
》ダンプ解析入門　～電子書籍の副産物?～ (ComputerWorld.jp, 9/25)
》アップルとドロップボックス、EFFのユーザー・プライバシー保護の取り組みに参加 (ComputerWorld.jp, 9/26)
》 Windows 2000、Windows Server 2003、または Windows XP のイメージを使用してセットアップされた Windows 2000 ベース、Windows Server 2003 ベース、または Windows XP ベースのコンピューターが WSUS コンソールに表示されない (Microsoft KB 903262)。レジストリに SusClientId があると駄目。
》世田谷区内27カ所をめぐる車座集会を始めています (保坂展人のどこどこ日記, 9/25)
》 Windowsのシステム管理者にとって必須な15のオープンソースツール (YAMDAS現更新履歴, 9/26)
》浜岡原発：「津波集中」の立地　東大地震研が海底地形分析 (毎日, 9/26)。浜岡は、つくづくマズい場所にある模様。地震も津波も超1級。
》順当に進化したハイパーバイザー「Hyper-V 3.0」～ネットワーク機能などが大幅に強化 (クラウド Watch, 9/26)
》シンポジウム「違法ダウンロード刑事罰化を考える」開催のお知らせ (MiAU, 9/25)。2011.10.01、東京都文京区、たぶん無料。中継あり。
》 Trend Micro Exposes LURID APT (trendmicro blog, 9/22)、LURID: Attribution Isn’t Easy (trendmicro blog, 9/23)。 Advanced Persistent Threat ねた。これが Advanced で Persistent な Threat であることの説明。「新しいタイプの攻撃」と言ってしまうと、Persistent が抜けちゃうんだよなあ。

　関連: 標的型マルウェア攻撃でロシアなどの1,400台以上のコンピュータが感染 (ComputerWorld.jp, 9/26)
》 PDFファイルを装うMacのトロイの木馬 (エフセキュアブログ, 9/23)、Mac OS X Trojan hides behind malicious PDF disguise (Sophos, 9/23)。魚釣島方面だ。
》 Mozilla、Firefoxで5バージョンおきの「延長サポートリリース」を検討 (Internet Watch, 9/26)
》ジャーナリズムの原則 (日本経済評論社)。増刷できたようなので発注した。
》 UQ WiMAX障害、原因は高トラフィック時のバグ　KDDI田中社長が謝罪 (ITmedia, 9/26)
》ネットワークの調査をした結果、ウイルスに感染したものの機密情報を持ち出された形跡がシステム上ないことをもって機密情報が持ち出されていないとほっとしている人は幸せだ（笑） (まるちゃんの情報セキュリティ気まぐれ日記, 9/24)

■ いろいろ (2011.09.26)
(various)

CVE-2011-2766。FCGI (Fast CGI) 0.70～0.73 に欠陥。環境変数の処理に欠陥があり、攻略 HTTP ヘッダによって認証を迂回できる。 FCGI 0.74 で修正されている。
JVNVU#477046: libpng における cHRM チャンクの処理に脆弱性 (JVN, 2011.09.26)。libpng 1.5.4 に DoS 攻撃を受ける欠陥。1.5.5 で修正さている。CVE-2011-3328

■ 2011.09.25

》「ロケハラ」にご注意、位置情報サービスの落とし穴　スマホ普及でプライバシー侵害と背中合わせ (日経, 9/25)

背景にはスマホの普及によって、ソフト会社が「位置情報を得られる提供元が変わった」という事情がある。かつて携帯電話からの位置情報は、ＮＴＴドコモやＫＤＤＩ（ａｕ）といった通信事業者しか把握できず、これら携帯電話会社がサービス会社に情報を渡していた。(中略) この状況を一変させたのが米アップルの「ｉＰｈｏｎｅ（アイフォーン）」や、米グーグルのＯＳ「Ａｎｄｒｏｉｄ（アンドロイド）」を搭載したスマホの台頭だ。(中略) 「厳格」な情報保護のルールを持つ携帯電話事業者を経由しなくても、ＣＰ（小島注: コンテンツプロバイダー）が比較的容易にユーザーの位置情報を得られるようになったわけだ。
》九州電力やらせメール事件 (九州電力第三者委員会 vs 佐賀県)
- 九電やらせ：「佐賀知事発言が発端」第三者委中間報告 (毎日, 9/9)
- 九州電力：原発やらせメール　第三者委報告　知事の責任、再燃必至　佐賀県議会追及も (毎日, 9/9)
- 九電やらせメール：佐賀県幹部が新たな疑惑全面否定 (毎日, 9/12)
- 追及に「真意」で反論　佐賀県議会・やらせメール質疑 (佐賀新聞, 9/13)
- 原発推進意見が「お気に入り」に　佐賀県知事、ツイッター登録 (西日本新聞, 9/14)
- 「佐賀知事側が投稿指示」　九電やらせメールで第三者委会見 (西日本新聞, 9/21)
- 九電やらせ投稿、佐賀県側が要請か…５月説明会 (読売, 9/21)
- やらせメールで九電、第三者委に反論　佐賀知事の指示否定 (日経, 9/21)
- 「５月の説明会は投稿要請ない」　第三者委に九電反論 (佐賀新聞, 9/22)
- 九電が虚偽答弁認め謝罪　佐賀県議会で「指示ない」 (西日本新聞, 9/22)
- やらせ問題九電側と面談「反省」県議会委で知事責任、重ねて否定 (読売, 9/22)
- 九電、県議会での虚偽答弁認め謝罪　再調査で矛盾露呈 (佐賀新聞, 9/23)
- やらせメール、県に独自調査委の設置を要求　社民県連 (佐賀新聞, 9/22)、独自の第三者委　県、設置に消極的 (asahi.com, 9/22)
- 知事要請の真相は？　迷走「やらせメール」問題 (佐賀新聞, 9/25)
》その男、松尾新吾 (九州電力会長)
- 九電会長親族の会社　多額受注　原発関連など５億６千万円 (西日本新聞, 9/23)
- 九電会長口利き再否定　「普通の対応をしただけ」 (西日本新聞, 9/24)
》川内原発見学会　九州経産局が急きょ中止　「推進継続」批判嫌う？ (西日本新聞, 9/25)
》福島第１原発：汚染水３月２６日から流出 (毎日, 9/26)。超高濃度汚染水は 4/1 ではなく 3/26 から流出していた、という解析結果。

　東電による海水の測定データも含めて調べると、汚染水漏れは３月２６日に始まったとみられる。４月６日までの流出量が多く、少なくとも５月末まで漏れ続けたと判断した。 (中略) 解析結果は２６日から福岡県春日市で開かれる日本海洋学会で発表する。
》「道民のご意見を聴く会」(2000年3月、泊村) でのやらせ発覚
- 北海道電力：泊３号機増設でも多数派工作　賛成意見促す (毎日, 9/9)
- 泊原発増設：北電社員「やらせ」関与認める　００年聴く会 (毎日, 9/14)
- 北電総出で“やらせ” ２０００年泊原発３号機道主催の集会一般参加装い「賛成」意見 (しんぶん赤旗, 9/21)。「日本共産党の真下紀子道議と畠山和也道委員会副委員長が２０日、道庁内で記者会見し明らかにしました」
  
  　２０００年３月に泊村、同５月に旭川、札幌、帯広、函館の各市で開かれた「聴く会」すべてに北電社員が参加。真下道議の調査では、少なくとも泊で１人、旭川で１１人、札幌でのべ２９人、帯広で４人、函館でのべ２人の北電関係者の意見陳述・アンケート提出が確認されています。５会場の意見提出件数は２０２。北電関係者による会場での提出件数は４７で、２割を超えます。
  　意見総数では賛否が拮抗（きっこう））しており、一連の「やらせ」がなければ、反対意見が賛成意見を大きく上回っていました。泊原発３号機自身が「つくられた虚偽の世論」による存在で、知事が建設を認めた根拠が崩れたことになります。
  　アンケート記入者には、当時旭川支店長だった松藤哲夫元副社長や、長谷川陽一元常務らの幹部名がずらり。井田邦佳現道電力総連委員長など労働組合幹部の名もありました。
  　松藤元副社長は「原子力発電所の事故が、原爆と同じ被害をもたらすとの意見には驚いた。（中略）反原発論には、新エネルギー、特に風力、太陽エネルギー等に期待する向きが強いが、量的にも、質的にも非現実的である｣と記入しています｡
- 北海道電力：やらせ指示　泊原発増設、関係者４７人「賛成」　５会場の「聴く会」で (毎日, 9/21)。共産党発表の件。
- 北海道電力：やらせ指示　解明へ、道に緊急要望書　後志町村会が提出　／北海道 (毎日, 9/22)
- ニュースプラス：北電「やらせ」問題　住民懐柔にあの手この手　／北海道 (毎日, 9/23)

■ 2011.09.23

》 Homeless hacker arrested by FBI in LulzSec/Anonymous investigation (Sophos, 9/22)
》時論公論　『なぜ収まらないユーロ危機』 (NHK 解説委員室, 9/20)
》ラッバーニー・アフガニスタン元大統領暗殺 (国連情報誌ＳＵＮブログ対応版, 9/21)
》時論公論　「"テロ"と平和構築」 (NHK 解説委員室, 9/16)
》 EU：録音物の権利保護期間延長についてのFAQ（素直にレーベル儲けさせる為ですって言えばいいのに） (P2Pとかその辺のお話, 9/21)
》 YouTube、2Dビデオを3Dに変換、認証済みユーザーの15分制限を撤廃 (techcrunch, 9/22)
》 Google、サイトのモバイル最適化をページ品質の評価対象に (techcrunch, 9/22)
》１号機格納容器、予想超す濃度の水素　爆発の恐れはなし (asahi.com, 9/23)。正確な濃度はまだ不明。

気体中で水素が４％、酸素が５％あると爆発する危険性がある。今回の装置では１％以上の水素は測れなかったため、再調査する。
》「アンカー」青山氏にもサイバー攻撃＆日本の原発テロ対策の現状は？ (ぼやきくっくり, 9/22)。9/21 関西テレビ「スーパーニュースアンカー」青山繁晴の“ニュースDEズバリ”書きおこし。

　週刊朝日での今西さんのレポートでも、原発テロ対策の必要性が訴えられていますね: このままでは原発テロが起きる　週刊朝日でしかわからないフクシマの現実 (週刊朝日, 9/23 号)
》がれき、増殖場に再生　宮古、処理コスト大幅削減 (岩手日報, 9/23)。宮古市田老。
》放射線量低減に向けた取組方針について (岩手県, 9/22)
》 2011年度新聞協会賞 (日本新聞協会)。関連:
- 新聞協会賞と新聞広告賞受賞　震災関連で岩手日報社 (岩手日報, 9/8)。「東日本大震災一連の報道～３１世紀への証言」と「平成三陸大津波　記者の証言」。
  - 平成三陸大津波　記者の証言 (岩手日報)。記事と写真を大きなサイズで見たい場合は、「特別報道写真集　平成の三陸大津波」をどうぞ。
  - 【東日本大震災】岩手県内の避難所にいる方々の名簿（４月４日掲載分まで）　岩手日報 (47news.jp)
  - 岩手日報企画「被災地を歩く」 (岩手日報)。「一連の報道」の 1 つのようです。
- 日本新聞協会賞：大相撲八百長特報、津波写真で本紙受賞 (毎日, 9/8)。この写真、毎日が撮影していたのか。関連:
  - 新聞協会賞ダブル受賞 (まいまい写真部, 9/8)
    
    　本社ヘリから手塚記者が撮影した一連の写真は、共同通信社を通じて内外に配信。国内５０紙、海外でも米ワシントン・ポスト、英タイムズなど約４００紙の１面に掲載され、津波の恐怖を世界に伝えました。
  - 新聞協会賞：毎日新聞社、ニュース部門と写真・映像部門でダブル受賞（その１） (毎日, 9/8)
  - 新聞協会賞：毎日新聞社がダブル受賞　大相撲八百長報道　二宮清純さんの話 (毎日, 9/8)
- 3.11 大震災 (河北新報)
- 座談会「闘う地元紙　東日本大震災から3カ月」 (日本記者クラブ会報 2011.07.10 No.497)。興味深い。
- 新聞研究（月刊） (日本新聞協会)。 6 月号から東日本大震災シリーズが続いているのですね。
》「１００万人避難」即決断　名古屋市「東海豪雨」の教訓　 (産経 MSN, 9/21)

　市によると、避難を呼びかけた約１００万人超のうち、実際に屋外に避難し、市が把握できたのは４５６５人。防災無線や地区の災害対策委員を通じて広報活動を行ったが、周知が徹底しなかった可能性がある。
　また、主な避難場所は市が指定している小中高校の体育館などだったが、仮に勧告を受けた全員が避難した場合、受け入れ場所の確保は難しいという。

　下手に動いて2次災害という可能性もあるから、一概によしあしは言えないんだよなあ。避難してみたらこんな目にあったという話もあるし:
- 「別の避難施設に」　公民館、小学校　満杯に　名古屋市守山区 (産経 MSN, 9/21)
- 台風１５号：備蓄食あるのに配らず、空腹の一夜　名古屋市 (毎日, 9/23)。出ました悪平等、事なかれ主義。
　関連:
- 守山で排水路水門閉め浸水　名古屋市、広報遅れ家財被害 (中日, 9/23)
　ちなみに、私の両親は、避難所ではなく~~未来へ向かって~~市外に脱出した。
》巨大津波　何が生死を分けたのか～住民５６００人　行動追跡調査から～（仮） (NHK スペシャル, 10/2 放送予定)
》東日本大震災 “帰宅困難”　２０００万人の警告（仮） (NHK スペシャル, 10/9 放送予定)。 6 か月後にまたぞろ似たようなことやってるしなあ。しかも今回は、あらかじめ前日から予告されていたのに。
》 Caution: Automobile Vulnerabilities are Closer Than They Appear (McAfee Labs Blog, 9/22)
》 Windows管理者のためのIPv6入門　第1回 IPv6の概要 (@IT, 9/22)
》「SpyEye」開発コード流出、新手サイバー攻撃の恐れも (ITmedia, 9/22)
》 9.11ツインタワー崩壊、原因は溶融アルミニウムの水蒸気爆発？ (AFPBB, 9/22)。新説登場。

　シメンセン氏の試算では、航空機が激突した世界貿易センタービルの北棟と南棟には、それぞれ30トンずつの溶融アルミニウムが流れ込んだとみられる。この分量が水と反応した場合、爆発の威力はビルの大部分を吹き飛ばすのに十分だったと考えられるという。この結果、重量のあるビル上部が下部を押しつぶして、ビル全体が砂上の楼閣のように崩れ落ちたと同氏は論じている。
　このシナリオに沿えば、ビルの崩壊直前になぜ内部で爆発が起きたのかも説明できる。この内部爆発は、「爆弾があらかじめ仕掛けられていた」とする政府陰謀説の源となっている。
》「魔法の数字8.8.8.8」を検証する (Geek なぺーじ, 9/22)。Google Public DNSの件。CDNと相性が悪く、解決のメド立たず。
》 9月25日(日) 「MIAU Presents ネットの羅針盤 - 徹底検証！違法ダウンロード刑事罰化」生放送のお知らせ (MiAU, 9/22)
》 TLS 1.2 - Look before you Leap ! (SANS ISC, 9/22)

So, if you plan to upgrade to 1.2 and force clients to 1.2, your clients better be running Opera and IE9 ONLY.

》 Trend Micro ビジネスセキュリティ 5.0 Patch 4 公開のお知らせ (トレンドマイクロ, 9/22)

2.1 本Patchで修正される既知の問題
(中略)   
1. 挙動監視の無効時に、挙動監視に関連するパターンファイルがくり返しアップ
   デートされる問題
   (中略)   
3. パターンファイルの正常なアップデートが、挙動監視により妨げられる問題
   (中略)   
8. 本Patchでは、しばらく実行した後にマスターサービスがクラッシュする問題
   が解決されます。
   (中略)   
16. ビジネスセキュリティを使用する環境でブルースクリーン (BSoD) が発生する
    問題
    (中略)   
18. 挙動監視ドライバによるSSDT (System Service Descriptor Table) のフック
    処理を攻撃者が回避できる脆弱性がある問題
    (中略)   
20. TMTDIドライバに不具合がある問題
    攻撃者により、カーネルで任意のコードを実行される可能性がありました。

■ 追記

Google の一部サイトに対して発行された不正な SSL 証明書の問題: 　ハッキングされて倒産 (エフセキュアブログ, 2011.09.21)

■ 2011.09.22

》２号機の格納容器、震災直後に穴開いた可能性 (読売, 9/22)。地震で壊れてました話。週刊朝日や G2 での今西さんのレポートでも、地震で壊れてました話が複数出てきてますね。
- 福島第一原発の最高幹部がついに語った【フクシマの真実：前編】 (週刊朝日, 7/22 号)
  
  　私が、こう言うのには理由があります。フクイチが地震と津波、どちらでやられたのかといえば、まず地震で建屋や配管、電気系統など、施設にかなりの被害を受けたのは事実です。地震直後、「配管がだめだ」「落下物がある」などと緊急連絡が殺到しました。制御室からも「配管や電気系統がきかなくなった」などと、すさまじい状況で、多くの作業員が逃げ出した。耐震性に問題があったのは否めません。
- 福島第一原発の最高幹部が語る「フクシマの真実」　後編 (週刊朝日, 7/29 号)
- このままでは原発テロが起きる　週刊朝日でしかわからないフクシマの現実 (週刊朝日, 9/23 号)
- 週刊朝日でしかわからないフクシマの現実　政府・東電よ、まだ大本営発表を続けるのか (週刊朝日, 9/23 号)
》第2号議案　京都府児童ポルノの規制等に関する条例制定の件 (奥村徹弁護士の見解, 9/22)。京都府児童ポルノの規制等に関する条例【議案】.pdf
》中国政府、三菱重工に対するハッキング攻撃への加担を否定　中国人ハッカーが同社を攻撃したとの批判は「事実無根」と一蹴 (ComputerWorld.jp, 9/22)。そりゃそうだろう。
》個別記事アーカイブ Mozilla 法人ユーザワーキンググループの進捗状況 (Mozilla Japan ブログ, 9/22)
》ソーシャル・エンジニアリング攻撃が横行、企業に多大な損害　大企業の30％ではインシデント当たりの平均損害額が10万ドル以上 (ComputerWorld.jp, 9/22)。儲かっちゃうんだなあ。
》 Troj/PHPShll-B: Malware injects itself into WordPress installations (Sophos, 9/19)
》【NewsBrief】ウィキリークス創設者の自伝、本人の承認がないまま英国で出版へ (ウォール・ストリート・ジャーナル日本版, 9/22)

■ 追記

Google の一部サイトに対して発行された不正な SSL 証明書の問題

　DigiNotar 破産。

VASCO Announces Bankruptcy Filing by DigiNotar B.V. (VASCO, 2011.09.20)
SSL証明書不正発行のDigiNotarが破産 (うさぎ文学日記, 2011.09.21)

■ APSB11-26: Security update available for Adobe Flash Player
(Adobe, 2011.09.21)

　Flash Player 10.3.183.10、Flash Player for Android 10.3.186.7 登場。 6 種類の欠陥 CVE-2011-2426 CVE-2011-2427 CVE-2011-2428 CVE-2011-2429 CVE-2011-2430 CVE-2011-2444 が修正されている。CVE-2011-2444 (ユニバーサル XSS 欠陥) については、既に Web サイトや Web メールを通じて悪用される事例が発生している。

　関連:

Google Chrome の対応: Stable Channel Update (Google, 2011.09.20)
JPCERT/CC Alert 2011-09-22: Adobe Flash Player の脆弱性に関する注意喚起 (JPCERT/CC)

■ 2011.09.21

》 9.15 韓国大停電
- 韓国各地で突如停電 (中央日報, 9/15)
- 停電：平穏な午後、暗黒の5時間（上） (中央日報, 9/16)、停電：平穏な午後、暗黒の5時間（下） (中央日報, 9/16)
- 停電：マニュアル無視に予告なし (中央日報, 9/16)
  
  電力取引所の廉明天（ヨム・ミョンチョン）理事長（元知識経済部〈省に相当〉地域特化発電特区企画団長）は計画停電を急きょ指示した。大規模停電を防ぐため、一部地域を対象に、事前に電力供給を強制ストップする措置だ。しかし計画停電は予備電力が100万キロワット未満に低下した場合に下すことになっている。そのため廉理事長の指示はマニュアルを無視したものだ。しかし電力取引所の中には、廉理事長に対し「まだそのような対応をすべき段階ではない」と進言する人間は誰もいなかった。
- 停電：KBSは「テロップ報道」だけ (中央日報, 9/16)
- 停電：マニュアル役立たず、大混乱五つの原因（上） (中央日報, 9/16)、停電：マニュアル役立たず、大混乱五つの原因（下） (中央日報, 9/16)
  
  　電力取引所は、予備電力が瞬間的に148万キロワットまで減少した事態に慌てて、最も深刻な事態に実行する停電に踏み切った。マニュアルでは予備電力が100万キロワット未満となった場合に、停電などの措置を取るよう定めている。しかし、取引所はその規定を守らず、国民を混乱に陥れた。
- 【社説】全国規模の停電、責任の所在を明らかにせよ (中央日報, 9/16)
- 停電：1時間前に予告可能、避けられた混乱 (中央日報, 9/17)
- 停電：節電できない韓国人　停電しても湯水のごとく電気を消費 (中央日報, 9/17)
  
  　ソウル地下鉄2号線・江南駅6番出口付近にある化粧品売り場。15日午後4時ごろに突然停電が発生した際、暗闇の中で一部の客が会計をしないまま商品を持ち出したり、店員が動けないよう押さえ込もうとした客と小競り合いになるなど大騒ぎとなった。そして翌16日午後4時。この店ではエアコンの温度を18度に設定し、入り口のガラス戸を開けっ放しにしたまま営業していた。店員（44）は「昨日は電気が多く使われたために停電になったそうだが、お客さんに店内に入ってもらうにはエアコンの温度を下げ、入り口のドアを開けておかなければ」と話した。
- 停電：守られないマニュアル、繰り返される人災（上） (中央日報, 9/17)、停電：守られないマニュアル、繰り返される人災（下） (中央日報, 9/17)
- 【社説】停電問題、閣僚1人の交代では済まない (中央日報, 9/19)
- 停電：当時の電力予備率0.35%、「ブラックアウト」寸前 (中央日報, 9/19)
  
  　知識経済部（省に相当）の崔重卿（チェ・ジュンギョン）長官は18日、韓国電力取引所から電力供給に関する虚偽の報告があったとして、17日に調査した結果、停電時の予備電力は24万キロワットだったと発表した。
  　電力取引所は15日、予備電力が343万キロワットに低下したと知識経済部に報告した。だが、202万キロワットはすぐには稼働が不可能な発電機の発電量で、117万キロワットは残暑による発電効率の低下で実際には生産されない電力だった。そのため、実際の予備電力は24万キロワットで、電力予備率はわずか0.35%にすぎなかった。ソウル市麻浦区唐人洞にあるソウル火力発電所5号機（25万キロワット）など、さらに1基の火力発電所が整備に入っていれば、ブラックアウトが現実のものとなっていたわけだ。電力は水と違い、供給がマイナスになると同時に電力網が使用できなくなる。
- 【社説】国家危機管理の穴は電力だけの話か (中央日報, 9/20)
- 不足する予備電力、今後5年は大停電リスク（上） (中央日報, 9/20)、不足する予備電力、今後5年は大停電リスク（下） (中央日報, 9/20)
- 停電：揚水発電7機中4機、ピーク時に水量不足で停止 (中央日報, 9/20)
》目の前で次々に参加者が逮捕されていった／私が体験した9.11新宿反原発デモ (Make Your Peace, 9/12)
》保安院、官邸に報告せず…放射性物質の拡散予測 (読売, 9/2)。SPEEDI の件。

　全電源喪失から１号機は１５時間２２分、２、３号機は８時間３５分で炉心溶融すると予測。１号機の結果をもとに、「ＳＰＥＥＤＩ（スピーディ）」で放射性物質の拡散予測も行っていたが、官邸の危機管理センターには、２、３号機のＥＲＳＳの予測を送るだけで、ＳＰＥＥＤＩを含む１号機の予測結果は報告していなかった。
　森山善範・原子力災害対策監は、今回の予測も含めて保安院がＳＰＥＥＤＩで解析した４５件のうち、官邸には２件しか送付していなかったのを認めた上で、「（送付しなかった）理由は分からない。ＳＰＥＥＤＩを使うという思いが至らなかった。問題があった」と述べた。
》東日本全域が放射能汚染されたことが明らかに (原発問題, 9/17)。福島第一原子力発電所事故に伴うCs137の大気降下状況の試算－世界版 SPEEDI(WSPEEDI)を用いたシミュレーション－（茅野政道氏資料） (原子力委員会, 9/6) の件。
》 9・19「さようなら原発」6万人集会＆デモ (山本宗補の雑記帳, 9/21)
》日本の外務省は、日本人の人権をどう思っているんでしょうね (八木啓代のひとりごと, 9/21)。常岡浩介氏パキスタンで拘束の件。なぜか「日本国政府の要請により」なのだという。わけがわからない。
》元作業員が「搾取」指摘　事故後の福島原発で働く (東京新聞, 9/21)

男性は下請け会社の下、４月に４日間、放射性物質で汚染された水をためる施設で働いた。東電からは１日当たり５万円が支払われているはずなのに、下請け会社からは１万８千円しか出ないと告げられたという。男性は「あまりにも上と下と賃金が違う」と語った。

　週刊金曜日 862号 (2011.09.09) でもやってましたね。めちゃくちゃ。
》「安全なWebアプリケーションの作り方」電子書籍版9月28日（水）販売開始します (ockeghem(徳丸浩)の日記, 9/21)

価格については、紙の本より安めの設定となっておりますが、販売記念キャンペーンとして、発売日から20日間1,800円で販売されます。この機会にぜひ電子版の購入を検討ください。
》「ST作成に関する説明会」参加者募集について (IPA, 9/15)。10/17。ST = セキュリティターゲット。
》 China denies hacking high-tech weapon maker (Sophos, 9/20)
》組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起～組織システムのリスク把握と、日頃からのセキュリティチェックと対策の徹底を～ (IPA, 9/20)。防衛産業方面の件を受けてのものと思われ。
》三菱電機やIHI、川崎重工業にもサイバー攻撃～狙われた防衛産業 (Internet Watch, 9/21)
》原発の再稼働を考える――「福島第一の教訓」が盛り込まれていないストレステストではダメだ (日経 BP, 9/20)
》 Password Tracking in Malicious iOS Apps (SANS AppSec blog, 8/23)

The best solution for Client application developers is to follow the recommended flow and use an external browser (in this case, Safari). Although it might diminish the user experience, this approach will allow the user to be assured that the authentication process is outside the context of the application altogether.

From a user's perspective, do not trust native OAuth applications that do not follow the recommended flow and are not capturing your credentials in a trusted and neutral 3rd party application, such as Safari.

And lastly, the protocol needs to mature its support for native mobile applications to implement a stricter client authentication process with consumer credentials, a better browser API support, and also properly notify the OAuth providers upon unauthorized access.
》台風：「伊勢湾台風」級が最悪コースで来襲したら　防災科研が予測 (毎日, 9/13)。この件: 最新のシミュレーションによって東京湾および伊勢湾で起こり得る最大級の高潮・高波を科学的に予測 (防災科学技術研究所, 9/12)
》 Updates: Autoruns v11, Coreinfo v3.01, ProcDump v4.01, Process Explorer v15.05, and Mark at BUILD. (Sysinternals Site Discussion, 9/20)。マルウェア対策には必須の Autoruns や Process Explorer の更新きてます。
》吹田市政の課題。あれこれ・・・ (21世紀型政治家・竹内じんいち“アクションレポート”, 9/18)

（図書館へのサイバー攻撃）
９月１６日から２日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。１秒間に５回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。

　「１秒間に５回」で「アクセス困難」になる吹田市立図書館の Web ページにはこんな記述が:

平成２３年（２０１１年）９月１４日（水）夕方から、蔵書検索・利用者情報の認証画面等におきまして、アクセスに時間がかかる、ログインできない等の不具合が発生しておりました。１６日（金）の深夜から１７日（土）の未明にかけても不安定な状況が続いておりましたが、１７日（土）夕刻時点では、検索・予約などについて支障なくご利用いただける状態まで回復しております。ご迷惑をおかけし、大変申し訳ございませんでした。

　関連:
- 芦屋市CIO補佐として吹田市に電話した(笑)情報政策課長も存じ上げてましたので。ほぼ皆さんのご想像通りの内容のようで、これから議員にも報告されるとのこと。まぁそのうち誤解は解けると思います。伝言ゲームはよくないですね。 #librahack (@tetsutalow 上原　哲太郎, 9/21)。対応おつかれさまです。
》県「仕込み質問」黙認か　プルサーマル討論会 (佐賀新聞, 9/21)
》東京電力の記者会見場は監視カメラだらけ (インシデンツ, 9/21)
》名古屋市災害用臨時公式サイト。多分こっちの方が負荷が少ない。「9月21日午前11時15分、避難勧告等を全て解除しました」だそうです。
》東北地方太平洋沖地震による津波被害を踏まえた津波警報の改善の方向性について（最終とりまとめ） (気象庁, 9/12)
》 R. Stallman氏、AndroidについてGoogleを非難。「Androidはフリーソフトといえるのか？」 (sourceforge.jp, 9/20)。答えは NO (声: 天才博士)。
》 "Don't Ask, Don't Tell" 終了
- "Don't Ask, Don't Tell"、ついに終わる (みやきち日記, 9/20)
- 米海軍士官、"Don't Ask, Don't Tell"撤廃直後に同性パートナーと結婚 (みやきち日記, 9/20)
  
  これらの記事によると、米国軍人の異性の配偶者には大学の授業料、負傷した夫または妻につきそう権利、軍の健康保険制度を利用する権利、住宅手当などが与えられるのに対し、同性の配偶者はそうした恩恵にはあずかれないとのこと。米国の同性婚は、連邦レベルでは認められていないからです。DADT撤廃はまだまだほんの一里塚に過ぎず、次は、オバマ大統領も違憲だと主張しているDefence of Marriage Act（結婚防衛法、結婚とは男女の法的な結びつきであるとする連邦法）がどうなるかに注目ですね。
- 米空軍兵士、父親へのカムアウトをYouTubeで配信 (みやきち日記, 9/21)

■ 通信を保護する「SSL／TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
(ITmedia, 2011.09.21)

　もうすぐ詳細が明らかになるようなので、とりあえず様子見……

2011.09.27 追記:

　出たようで:

http://www.insecure.cl/Beast-SSL.rar。なくなってる?
SSL/TLS (part 3) (SANS ISC, 2011.09.25)
Chrome and the BEAST (23 Sep 2011) (ImperialViolet, 2011.09.23)

Thanks to an idea suggested by Xuelei Fan, we have another workaround for the problem which will, hopefully, cause fewer incompatibility problems. This workaround is currently being tested on the Chrome dev and beta channels but we haven't pushed it on the stable channel yet. Since we don't really know if the fix will cause problems it's not something that we want to drop on people without testing. The benefit of a fix to Chrome's TLS stack is also limited as Chrome already uses the newer WebSockets protocol and it doesn't fix problems in plugins.
Secure web browsing cracked by BEAST (Sophos, 2011.09.24)
TLS 1.0に深刻な弱点が見付かる? (yebo blog, 2011.09.20)
マイクロソフトセキュリティアドバイザリ (2588513) SSL/TLS の脆弱性により、情報漏えいが起こる (Microsoft, 2011.09.27)
- SSL/TLS の脆弱性に関するセキュリティアドバイザリ 2588513 を公開 (日本のセキュリティチーム, 2011.09.27)
  この問題の悪用が行われるには、いくつかの条件があります。
  - 標的となるユーザーが HTTPS セッションを使用している必要があります。
  - 攻撃者が HTTPS トラフィックを解読するには、悪意のあるコードをユーザーのブラウザーセッションに挿入し実行する必要があります。かつ、
  - 既存の HTTPS 接続にピギーバック攻撃を仕掛けるには、攻撃者の悪意のあるコードは、HTTPS サーバーと同じ発信元である必要があります。
- Is SSL broken? - More about Security Advisory 2588513 (Microsoft Security Research & Defense, 2011.09.26)
- Prioritizing Schannel Cipher Suites (Microsoft)
- Microsoft Security Advisory: Vulnerability in SSL/TLS could allow information disclosure (Microsoft KB 2588513)
Apache Module mod_ssl。制限したい場合は SSLCipherSuite ディレクティブを設定すればいいのかな。

　まとめると、こうですかね:

複数の条件をクリアできれば、ユーザに気づかれることなく HTTPS トラフィックを解読できる。
SSL 3.0 / TLS 1.0 の欠陥。TLS 1.1 / 1.2 にはこの欠陥はない。しかし TLS 1.1 / 1.2 のサポート状況は極めて悪い。
CBC モードを使用する暗号群 (例: RSA-with-AES-256-CBC-SHA) において発現。たとえばストリーム暗号を使用する場合 (例: RSA-with-RC4-128-SHA) には発現しない。

CPNI-957037: SSH 通信において一部データが漏えいする可能性 (2008.11) の件を思い出し、CTR モードを使えばいいのにと思ったのだけど、SSL / TLS では CTR モードは使えない (標準化されていない) のだそうで: SSL cipher mode (OpenSSL-Dev ML)

　現時点では、RC4-128 で回避するのが現実的かなあ。

2011.09.30 追記:

　いろいろ出てきてます。

TLS 暗号化通信に対する攻撃の Firefox への影響 (Mozilla Japan ブログ, 2011.09.28)
The "BEAST" SSL/TLS issue (Opera, 2011.09.28)
The Beauty and the BEAST (m86security, 2011.09.28)
Cryptology ePrint Archive: Report 2006/136: A Challenging but Feasible Blockwise-Adaptive Chosen-Plaintext Attack on SSL (iacr.org, 2006.04.17)。今回の欠陥はこれみたい。

The attack in this paper is an application of the blockwise-adaptive chosen-plaintext attack paradigm, and is the only feasible attack to use this paradigm with a reasonable probability of success. The attack will work for all versions of SSL, and TLS version 1.0. This vulnerability and others are closed in TLS 1.1 (which is still in draft status) and OpenSSL after 0.9.6d. It is hoped this paper will encourage the deprecation of SSL and speed the adoption of OpenSSL or TLS 1.1/1.2 when they are finially released.

OpenSSL Changelog

Changes between 0.9.6c and 0.9.6d  [9 May 2002]
(中略)      
  *) Implement a countermeasure against a vulnerability recently found
     in CBC ciphersuites in SSL 3.0/TLS 1.0: Send an empty fragment
     before application data chunks to avoid the use of known IVs
     with data potentially chosen by the attacker.
     [Bodo Moeller]

OpenSSL は 0.9.6d で修正されている。OpenSSL を使用する製品はこれに準ずる。

Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures (Bodo Moeller, 2004.05.20 更新)
OpenVPNの"BEAST" exploitについての見解 (yamata::memo, 2011.09.23)。 OpenVPN は OpenSSL を使っているので安全。
Tor and the BEAST SSL attack (TorProject, 2011.09.23)。Tor も OpenSSL を使っている。
Network Security Services (NSS) (mozilla.org)。これが欠陥ありのまま放置されていたので Firefox や Chrome が影響を受けることに。
JVNVU#864643: SSL と TLS の CBC モードに選択平文攻撃の脆弱性 (JVN, 2011.09.28)
Beat the BEAST with TLS 1.1/1.2 and More (Cisco, 2011.09.26)
BEAST (Thai, 2011.09.25)。デモ画面。
BEAST and TLS/SSL Security: What It Means For Users and Web Admins (trendmicro blog, 2011.09.29)

2012.01.11 追記:

　Windows patch 出た。ただし、MS12-006 - 重要: SSL/TLS の脆弱性により、情報漏えいが起こる (2643584) と MS11-099 - 重要: Internet Explorer 用の累積的なセキュリティ更新プログラム (2618444) の両方を適用する必要がある。

■ Prenotification: Security Update for Flash Player
(Adobe PSIRT blog, 2011.09.20)

　明日 9/21 (US 時間) に公開だそうで。in-the-wild な欠陥の修正も含まれるそうです。

■ いろいろ (2011.09.21)
(various)

Cyrus IMAPd 2.4.11 / 2.3.17 登場。nntpd の、リモートから攻略可能な stack overflow する欠陥 CVE-2011-3208 が修正されている。
- Cyrus 2.4.11 Released (cyrus-announce, 2011.09.08)
- Cyrus 2.3.17 Released (cyrus-announce, 2011.09.08)
Cyrus IMAPd 2.4.11 では、IMAPd + サーバ側 threading 有効 + 攻略 References ヘッダで DoS となる欠陥 CVE-2011-3481 も修正されている。
JVNVU#440219: AmmSoft ScriptFTP にバッファオーバーフローの脆弱性 (JVN, 2011.09.21)。未対応。
JVN#28973089: SemanticScuttle におけるクロスサイトスクリプティングの脆弱性 (JVN, 2011.09.16)。最新版で対応済。
JVNVU#519588: JasperServer にクロスサイトリクエストフォージェリの脆弱性 (JVN, 2011.09.16)。未対応。
JVNVU#122142: Mercator SENTINEL に SQL インジェクションの脆弱性 (JVN, 2011.09.15)。未対応。
Cisco Security Advisory: CiscoWorks LAN Management Solution Remote Code Execution Vulnerabilities (Cisco, 2011.09.19 更新)
Cisco Security Advisory: Cisco Unified Service Monitor and Cisco Unified Operations Manager Remote Code Execution Vulnerabilities (Cisco, 2011.09.14)

■ 2011.09.20

》ドイツ海賊党、ベルリン市議会選で15議席を獲得 (P2Pとかその辺のお話, 9/19)。すげぇ。
》銀行口座を狙うマルウェア
- 半年間で2億円を荒稼ぎ！　銀行口座を狙う「SPYEYE」 (トレンドマイクロセキュリティ blog, 9/16)
- The unstolen Matrix (securelist.com, 9/19)。東京三菱 UFJ。
》東日本大震災：どうなる、食の安全 (毎日)
- 東日本大震災：どうなる、食の安全／上　こだわりの土、汚された (毎日, 9/8)
- 東日本大震災：どうなる、食の安全／中　放射性物質、摂取わずか (毎日, 9/9)
- 東日本大震災：どうなる、食の安全／下　「放射線に効く」本当？ (毎日, 9/13)
》 Bamital を読み解く: 流行するクリック詐欺トロイの木馬 (シマンテック, 9/15)

クリック詐欺の背後には、広告リンクをクリックさせて収益を上げようという動機があり、方法としては自動、手動、または分散型の 3 つがあります。Bamital のクリック詐欺手法は、Xpaj.B で実装されている手口に酷似しています。
》 FTC、児童オンラインプライバシー保護法の改正案を発表 (日経 IT Pro, 9/16)
》パスワードの“複雑さの要件”は、いつから間違えていたのか？ (ComputerWorld.jp, 9/18)
》【Windowsお悩み相談室】第20回 Sysprepで致命的なエラー？ Disk2vhd利用時の注意点 (ComputerWorld.jp, 9/20)
》 McAfee App Alert BETA for Your Android Smartphone or Tablet Available Now (McAfee Labs Blog, 9/19)
》スマートフォンおよびタブレットの企業導入における課題と対策：前編 (McAfee Labs Blog, 9/20)
》ＩＨＩにもサイバー攻撃　日本の防衛・原発産業に狙いか (産経 MSN, 9/20)
》三菱重工で広範囲なウイルス感染発生 (8月に)。前ねた。
- 三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析 (Internet Watch, 9/20)
- Japan, US Defense Industries Among Targeted Entities in Latest Attack (trendmicro blog, 9/19)
  
  Trend Micro has uncovered a campaign of targeted attacks that have successfully compromised defense industry companies in Japan, Israel, India and the USA. We have been able to identify eight victims of this attack and are in the process of notifying them. In total, the attackers compromised 32 computers; however, there were multiple compromises at several locations. This network has been active since July 2011 and is continuing to send out malicious documents in an attempt to compromise additional targets.
- 三菱重工、ウイルス感染を国に報告せず　契約守らず (asahi.com, 9/20)、三菱重サイバー攻撃：メーカー各社に報告徹底要求　防衛省 (毎日, 9/20)
- 三菱重工サイバー攻撃、ウイルスに中国語簡体字 (読売, 9/20)。 Japan, US Defense Industries Among Targeted Entities in Latest Attack (trendmicro blog, 9/19) にある、この画面のことですかね。
》経産省交付金が「やらせ」を誘発？プルサーマル受入県に60億円 (JANJAN blog, 9/19)
》京都で福島除染活動の報告会。避難と除染は相互補完 (JANJAN blog, 9/18)
》放射性物質広葉樹とスギ林で分布に違い (NHK「かぶん」ブログ, 9/14)、時論公論　「森林汚染の実態と除染」 (NHK 解説委員室, 9/14)

調査チームのリーダーの筑波大学の恩田教授は「人里に近い山などは除染を徹底するためには、今のうちに伐採しリター層を取り除くのがもっとも効果的だ。ただその後、保水のためにチップを撒いて、植林する必要はある」と述べています。
》安住るりのコラム◆過激派を捕らえてみれば陽気なフランス人夫婦 (JANJAN blog, 9/14)

「脱原発のデモ隊は犯罪者だ！逮捕しろ！射殺しろ！日本から出て行け！」などと「暴言」を吐きまくっていた集団はどうも警察のお仲間でお咎めなし、女性の腹を蹴ってもお咎めなし。
夫婦で白い防護服でデモに参加して目立ってやろうと思っていただけの、活動家でもなんでもない一般市民が、不当逮捕された（彼らは印刷関係のデザインの自営業で、政治活動などは全くしていないそうだ）。
》ピックアップ＠アジア　「アラブ政変の影響と今後」 (NHK 解説委員室, 9/13)、ここに注目！　「中東政変　次はどこに？」 (NHK 解説委員室, 9/15)
》スタジオパーク　「悪質商法　被害回復に新制度」 (NHK 解説委員室, 9/13)
》ピックアップ＠アジア　「高速鉄道事故　強まる中国の報道規制」 (NHK 解説委員室, 9/14)
》海水注入で冷却喪失の試算 (NHK「かぶん」ブログ, 9/17)

試算では、海水を入れ続けると、水の蒸発に伴って、原子炉に塩がたまり始め、２０日余りたった４月２日未明から３日朝にかけて、原子炉の底から５メートルの高さまで塩がたまって核燃料の冷却ができなくなるおそれがあるとして、それまでに真水による注水に切り替える必要があると指摘しています。関係者によりますと、この試算を受けて東京電力は真水への切り替えを急ぎ、指摘された期限のほぼ１週間前の３月２５日から２６日にかけて、真水の注入にこぎ着けたということで、当時の綱渡りとも言える対応がうかがえます。
》原発賠償相談窓口に苦情殺到 (NHK, 9/17)。さもありなん。
》ひまわりによる除染は見送り (NHK「かぶん」ブログ, 9/18)。効果が低いので。"農地の除染は表土除去が確実" (NHK「かぶん」ブログ, 9/14)。基本は表土除去。

　元ねた: 農地土壌の放射性物質除去技術（除染技術）について (農林水産省, 9/14)
》放射線量長期予測の電子地図 (NHK「かぶん」ブログ, 9/18)。福島土壌調査 (大阪大学核物理研究センター) からどうぞ。
》トランスジェンダー少女の母「娘をあざけるのは子どもではなく大人たち」 (みやきち日記, 9/15)
》「ゲイキャラを異性愛者キャラに変えれば契約する」？：米YA小説界の現状と展望 (みやきち日記, 9/16)
》米Google、アップデート/インストール機能をソフトウェアに実装するためのツール「Omaha」最新版をリリース (sourceforge.jp, 9/16)。Windows 用。
》メディアと政治を考える　自由な言葉あってこそ (東京新聞, 9/20)

　本紙を含めて新聞も「ゴーストタウン」という表現を使ってきた。「死の町」はだめだが「ゴーストタウン」ならいい。そんなしゃくし定規な議論が広がるようになっては、なんとも息苦しい。

　放射能発言も気になる点がある。発言があったのは八日夜だが、同夜も翌朝もメディアは一行も報じていない。ところが、九日の「死の町」発言が明らかになった後の同日夕からテレビ、新聞が大きく報じ始めた。
　そこには「批判スパイラル」とも呼ぶべきメディアの特性がある。いったん批判の標的を見つけると、さらなる批判の材料を追い求め、スパイラル（らせん）状の軌道に乗ったかのように一斉に標的を追い詰めていくのだ。
》 9月18日「大規模日本Webサイト攻撃活動」の成果（Far East Research） (Scan NetSecurity, 9/20)。Vladimir 氏による記事。
》名古屋やべぇ
- 【災害緊急情報】災害対策本部を設置しています (名古屋市, 9/20)。つながりにくくなってきてる。 18 時現在は次のとおり。
  9月20日午後6時00分、下記の学区に発令していた、天白川の増水に伴う避難勧告を解除しました。
  - 瑞穂区：弥富・中根
  - 南区：桜・菊住・春日野・笠寺・星崎・笠東・白水・千鳥・柴田
  - 緑区：鳴海（※）・片平（※）・浦里
  - 天白区：平針北・原（※）・植田南（※）・大坪（※）・八事東（※）・天白（※）・山根（※）・野並（※）
  9月20日午後6時00分、下記の学区に発表していた、扇川の増水に伴う避難準備情報を解除しました。
  - 緑区：鳴海（※）・相原・平子
  ただし、（※）の学区については、土砂災害警戒情報が発表されたことに伴う避難勧告は継続されています。
  
  9月20日午後3時00分、下記の学区に避難指示を発令しました。
  - 北区：味鋺・西味鋺・楠・楠西
  - 守山区：瀬古・二城・鳥羽見・白沢
  9月20日午後2時00分、庄内川全域において越水のおそれがあることから、下記の学区に避難勧告を発令しています。
  - 北区：辻・清水・金城・東志賀・城北・光城・川中・如意
  - 西区：全学区
  - 中村区：全学区
  - 熱田区：千年・船方・野立・大宝
  - 中川区：全学区
  - 港区：全学区
  - 守山区：守山・西城・志段味西・志段味東・吉根
  9月20日午後1時40分、土砂災害警戒情報が発表されたことに伴い、下記の学区に避難勧告を発令しています。
  - 守山区：大森・守山・西城・白沢・小幡北・大森北・鳥羽見・志段味西・本地丘・志段味東・吉根
  - 名東区：西山・名東・猪子石・梅森坂・貴船・極楽・上社・平和が丘
  - 天白区：平針南・平針・原・植田・植田南・大坪・八事東・表山・天白・山根・しまだ・高坂・相生・野並
  9月20日午前11時48分、土砂災害警戒情報が発表されたことに伴い、下記の学区に避難勧告を発令しています。
  - 緑区：鳴海・旭出・片平・緑・鳴海東部・徳重・神の倉・東丘・鳴子・長根台・戸笠・有松・桶狭間・南陵・大高・大高南・大高北・黒石・桃山・熊の前
  9月20日午前11時20分、天白川はん濫警戒情報が発表されたことに伴い、下記の学区に避難勧告を発令しています。
  - 瑞穂区：弥富・中根
  - 南区：桜・菊住・春日野・笠寺・星崎・笠東・白水・千鳥・柴田
  - 緑区：鳴海・片平・浦里
  - 天白区：平針北・原・植田南・大坪・八事東・天白・山根・野並
  9月20日午前11時20分、扇川においてはん濫注意水位を超過したため、下記の学区に避難準備情報を発表しています。
  - 緑区：鳴海・相原・平子
  9月20日午前11時00分、矢田川はん濫注意情報が発表されています。
  なお、9月20日午前9時08分、名古屋市に発表された大雨（浸水害）警報・洪水警報は継続されています。
  一部解除とはいえ、平常時と比べれば水位はまだまだ高いので、ひきつづき警戒が必要かと。
- テレメータ水位　天白川　天白島田(てんぱくしまだ) (名古屋市天白区中砂町) (国土交通省)
- テレメータ水位　天白川　天白川(てんぱくがわ) (名古屋市南区中江) (国土交通省)
- テレメータ雨量　庄内川　名古屋(なごや)観測所 (名古屋市北区福徳町) (国土交通省)
- テレメータ雨量　庄内川　多治見(たじみ)観測所 (岐阜県多治見市) (国土交通省)。うわ、すげぇ降ってる。
- テレメータ水位　庄内川　志段味(しだみ)観測所 (名古屋市守山区大字中志段味) (国土交通省)
- テレメータ水位　庄内川　味鋺(あじま)観測所 (名古屋市守山区川西) (国土交通省)
- テレメータ水位　庄内川　当知(とうち)観測所 (名古屋市港区) (国土交通省)
- 洪水予報・水位周知河川情報発表文 (庄内川河川事務所・名古屋地方気象台共同発表, 9/20)。「庄内川・土岐川・矢田川では　はん濫注意水位に到達　水位はさらに上昇」
  
  土岐川の土岐水位観測所、土岐川の多治見水位観測所、庄内川の志段味水位観測所、矢田川の瀬古水位観測所では、はん濫注意水位（レベル２）に到達しました。水位はさらに上昇する見込みです。今後の洪水予報に注意して下さい。

■ SkypeはiOSアプリのXSS(クロスサイトスクリプティング)脆弱性を認識, “懸命に修復中”
(techcrunch, 2011.09.20)

　Skype for iOS 3.0.1 以前に XSS 欠陥がある模様。Chat Message ウィンドウの処理に欠陥があるそうで。patch はまだない。

2011.10.03 追記:

　Skype 3.5.84 for iOS で修正されたようです: Skype for iOS updates address XSS vulnerability (H Security, 2011.09.28)

■ 追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

　関連:

「Apache」にDoS攻撃を誘発する深刻な脆弱性。早急な対処を (トレンドマイクロセキュリティ blog, 2011.09.09)
Oracle Security Alert for CVE-2011-3192 (Oracle, 2011.09.15)。Oracle 製品に同梱されている Apache の件。

Google の一部サイトに対して発行された不正な SSL 証明書の問題

　関連:

セキュリティアップデート 2011-005 について (Apple, 2011.09.09)。Mac OS X 10.6 / 10.7 用。10.5 は終了っぽい。
Adobe Reader / Acrobat
- APSB11-24: Security updates available for Adobe Reader and Acrobat (Adobe, 2011.09.13)
- Information Regarding Adobe Reader & Acrobat and the Removal of DigiNotar from the Adobe Approved Trust List (Adobe, 2011.09.09)
- Adobe Approved Trust List (AATL) (Adobe)
不正証明書問題続報(1) Mac OS X が対応/Adobe Readerは最新版で対応 (so-net セキュリティ通信, 2011.09.12)
不正証明書問題続報(2) 犯行声明公開、グローバルサインのサイトにも侵入か (so-net セキュリティ通信, 2011.09.12)
グローバルサイン
- Incident Response (GlobalSign, 随時更新)。2011.09.15 付で復旧へ。
  
  September 15 2011, 12pm GMT - We are now bringing customers back online in a controlled way, we appreciate the patience as we work through the account reactivation and order backlog. We apologize, but there will be some delays returning some specific services to normal operation.
- サービスの段階的な再開のお知らせならびにお願い (グローバルサイン, 2011.09.15)。復旧していないサービスもまだまだ多い。
  
  ●再開準備中のサービス※
  MS Authenticode対応コードサイニング証明書
  Object signing対応コードサイニング証明書
  MS Office VBA対応コードサイニング証明書
  Adobe AIR 対応コードサイニング証明書
  PDF文書署名用証明書 for Adobe CDS
  電子署名(S/MIME)用証明書
  マネージドPKI Lite
  パブリックルート署名サービス
  SSLサーバ証明書 for EDI
  クライアント証明書for EDI
  ※再開準備中のサービスについては、再開が決定次第改めて弊社ウェブサイト上でご案内いたします。
マイクロソフト
- マイクロソフトセキュリティアドバイザリ: 不正なデジタル証明書により、なりすましが行われる (Microsoft KB 2616676)。2011.09.14 に 2616676 更新プログラムが公開され、2011.09.20 に再公開された。 Windows XP / Server 2003 向けの更新プログラムに問題があった。再公開版で修正されている。
- マイクロソフトセキュリティアドバイザリ (2607712) 不正なデジタル証明書により、なりすましが行われる (Microsoft)
- 不正なデジタル署名の問題の影響と対策 (日本のセキュリティチーム, 2011.09.20)
DigiNotar looses their accreditation for qualified certificates (SANS ISC, 2011.09.15)

■ Google Chrome Stable Channel Update
(Google Chrome Release blog, 2011.09.16)

　Google Chrome 14 系列が stable に。14.0.835.163。32 件の欠陥が修正されている。

■ Flaw in OS X Lion allows unauthorized password changes
(Sophos, 2011.09.20)

　Mac OS X 10.7 Lion に 2 つの欠陥。

ログイン済の local user がパスワードを変更するときに、現在のパスワードが確認されない。いきなり新しいパスワードを入力できてしまう。
```
testmac:~ TestUser$ dscl localhost -passwd /Search/Users/TestUser
New Password:      
```
local user が、任意の他の local user のパスワードハッシュを取得できてしまう。

　patch はまだない。元ねた: Cracking OS X Lion Passwords (defenceindepth.net, 2011.09.18)

■ 2011.09.19

》米国特許法が改正、「先発明主義」から「先願主義」へ制度変更 (slashdot.jp, 9/19)。おぉ! ついに!! すばらしい!!!
》満州事変８０周年でサイバー攻撃　中国のサイトで呼びかけ　人事院など被害 (産経 MSN, 9/19)
》スクープ！　世界で一番危険な福島第一原発・原子炉建屋をこの目で見た (G2 Vol.8)。今西憲之氏による福島第一原発レポート。週刊朝日版と読みくらべてみるのも一興。
》震災がれき、火災相次ぐ　金属と水反応、熱たまり発火 (asahi.com, 9/17)。自然発火しちゃうのだそうで。

産業技術総合研究所の若倉正英研究顧問によると、微生物の動きが活発になったり、金属と水が反応したりして熱がたまるのが、そもそもの原因という。
》中国版ツイッター：運営会社が規制へ　当局が圧力か (毎日, 9/19)、中国当局のマイクロブログ検閲は実を結ぶのか (AFPBB, 9/19)。新浪微博。
》三菱重工で広範囲なウイルス感染発生 (8月に)
- 三菱重にサイバー攻撃、８０台感染…防衛関連も (読売, 9/19 03:15)。これが第一報だったのかな。
- 三菱重工ウイルス感染で調査 (NHK, 9/19 07:03)
- 本日の一部報道について (MHI, 9/19)。ショボい内容だが、メディア向けにはもうちょっと詳しく説明したようで:
  - 三菱重工：サイバー攻撃受け１１カ所ウイルス感染 (毎日, 9/19)
  - 三菱重工、国内11拠点でウィルス感染の事実を公表、「機密情報流出は確認されず」 (日経 IT Pro, 9/19)
    
    感染を確認したのは本社のほか工場、研究所など国内11拠点にあるサーバー45台と従業員が使用していたパソコン38台。(中略) 社内システムのウィルス感染が判明したのは8月11日。社内調査を経て、27日に情報セキュリティの専門業者による調査に着手した。(中略) 感染を確認した拠点は本社に加え、製造工場などを持つ8事業所と、長崎市、横浜市にある研究所2カ所の合計11拠点。(中略) 感染したウィルスは8種類で、コンピュータのデータや利用者の情報を収集するスパイウエアに分類される「TSPY_DERUSBI.A」など。三菱重工によると、これらのウィルスで社内のネットワーク・アドレスなど社内システムに関する情報が流出した痕跡を確認したという。ただしその他の情報の流出は現時点ではないとしている。
  - 三菱重にサイバー攻撃か　防衛関連施設含む１１カ所 (asahi.com, 9/19)
    
    今回の事態について防衛省は同日、三菱重工から事情聴取を始め、事実関係の調査に乗り出した。
    
    防衛省、聞いてなかったのね……。
》三重県警：トイレの訴え拒み、聴取の女性がパト内で失禁 (毎日, 9/17)。三重県警四日市北署員。ただでさえひどいのに、

失禁後も聴取を続けたといい、女性は謝罪を求めているという。

さらなる仕打ちとは……。
》カダフィ派「まだだ、まだ終わらんよ」
- カダフィ派「戦い終わっていない」　シリアＴＶで声明 (asahi.com, 9/17)
- カダフィ派が大佐出身地シルトで抵抗、激しい戦闘　リビア (CNN, 9/18)
- カダフィ派拠点から部分撤退　リビア、戦略欠如が背景 (共同, 9/19)。バニワリード。
- リビア暫定政権発足が延期、カダフィ派は外国人17人を拘束と発表 (ロイター, 9/19)
》「さようなら原発　５万人集会」
- 集まれ５万人！　９・１９は「さようなら原発集会」へ (sayonara-nukes.org, 9/9)
- 福島第１原発：「さようなら原発集会」大江さんら訴え (毎日, 9/19)。「主催者発表で約６万人が参加」「警視庁によると、集会やパレードには約３万人が参加」だそうだが、上空からの写真を見れば、とにかく大勢の人が集まったことがわかる。
- 脱原発で最大規模集会　東京・明治公園に６万人　大江健三郎さんら訴え (産経 MSN, 9/19)
- 大江健三郎さんら脱原発訴え、都内でデモ (TBS, 9/19)。「２万７０００人の市民が参加しました」としか示さない TBS。
- TVニュースだいたい見ました。普通こういう時、「警察発表○万人、主催者発表○万人」と言うと思いますが、ほぼすべてが警察発表の２万５（７）千人しか言いませんでした。しかも警察発表だとは断らずに (@ikeda_kayoko 池田香代子, 9/19)
- 9・19「さようなら原発」集会・デモ１：大江健三郎さんのスピーチ原稿（一部）。完全手書きの直筆。必見かも。　2011年9月19日　　山本宗補撮影 (twitpic, 9/19)
》損害賠償：不適切見出しで２新聞社に３３０万円支払い命令 (毎日, 9/16)。産経とスポニチ。
》大震災の津波到達時、都の２水門など閉鎖失敗 (読売, 9/17)。東日本大震災における国および東京都管理の水門の話。

現地で手作業で操作する必要がある設備は外部業者に委託しており、震災直後から電話がつながりにくく業者と連絡が取りにくくなり、現場に急行した係員も渋滞で身動きできなくなった。津波第１波は午後４時４０分に到達したが、大田区羽田、南六郷の多摩川沿いの水門２基は第１波到達から最大２５分後に閉鎖。都が管理する江東、港区内の防潮扉４基は都職員が操作を代行、約３０分後に閉鎖した。
》 US、台湾への F-16 C/D 売却見送り。 2006 年から要求されていた話。 F-5 60 機 + ミラージュ 2000-5EI 60 機の更新として F-16 C/D Block 50/52 66 機の導入を計画していた。そのかわりに、導入済の F-16 A/B 145 機を近代化改修するという話になる模様。
- 米政府、台湾に新型Ｆ１６戦闘機は売却しないと決定＝報道 (ロイター, 9/16)
- 台湾への新型Ｆ１６売却断念へ　米政府、初期量産型改良で対応 (産経, 8/6)。既に先月決まっていたみたい。
- U.S. To Deny Taiwan New F-16 Fighters (DefenceNews.com, 8/14)

■ 2011.09.16

》【知識】不検出の意味を考えよう (Children of the Future, 9/3)。定量下限値 20Bq/Kg のとき、「不検出」は何を意味するのか。
》海外視察　どうしても必要なのか (東京新聞, 9/16)。自民党は、あいかわらずこんなことやってるのか。
》たとえ善意の脆弱性の検証であったとしても法は遵守すべきでは (co3k.org, 9/15)。確かになあ。
》 Android 方面
- Android SpyEye Spitmoを発見 (エフセキュアブログ, 9/14)
- Rooting Exploit for Android Works Silently (McAfee, 9/15)
- Spitmo vs Zitmo: Banking Trojans Target Android (McAfee, 9/14)
》 .hlp ファイルを使う標的型攻撃 (シマンテック, 9/14)
》 Will Windows 8's new interface herald full-screen scareware? (Sophos, 9/15)。うーむ。
》 Adobe Reader Xへのゼロデイ攻撃は「ゼロ」、サンドボックスが奏効　米アドビのセキュリティ責任者が解説、Acrobatも「10.1」で実装 (日経 IT Pro, 9/16)
》ニルス・クリスティー教授（オスロ大学）に聞く『人間を大切にする刑事政策を求めて～ノルウェー犯罪学の実験～』 (龍谷大学矯正・保護総合センター)。 2011.10.08、京都府京都市、無料。「事前学習企画」もあるそうで。
》 Mac OS X 10.7 (Lion) support with Security for Mac 1.1 (McAfee, 7/25)。Mac OS X 10.7 Lion に対応しているのは McAfee Security for Mac 1.1 (VirusScan for Mac 9.1) build 1309。日本のダウンロードサイトから入手できるのは build 1303 なので注意。US のダウンロードサイトは build 1309 を配布している。
》日本の著作権はなぜこんなに厳しいのか (人文書院)
》【チカン冤罪】市民運動家はこうして逮捕された～実名報道・後編 (田中龍作ジャーナル, 9/21)

　拘留尋問にあたった山本検事の言葉が、今も矢野さんの頭に残っている。「どうして女性はあなたの手をつかんだと思いますか？最初からあなたを犯人に仕立てあげようとしたのか、（真犯人と）間違ってあなたの手を握った可能性もあります」。
　拙稿の前編でも述べたが、女性が声をあげると数秒もしないうちに男４人と女１人が矢野さんを取り囲んだ。痴漢冤罪に嵌めるのに不可欠な実行グループの連携プレーだ。
　警察に「認めたら帰してやるから」とそそのかされて、認めてしまったらお終いだ。会社員や公務員は表沙汰にしたくない一心で、つい認めてしまう。矢野さんは自営業者だったので、最後まで突っぱねることができた。
　チカン冤罪は、誰もが嵌められかねない。身に覚えがなかったら断固として否認を続けることである。
　嵌められないためにはどうするべきか。先ず、酒を飲んだら電車に乗らないことだ。動きが鈍くなるし警戒感も薄れる。嵌めやすくなるのである。もうひとつ山本検事が励行しているように、車内では必ず両手を上げることだ。

　男性専用車両マジほしい。
》ほむほむの銃器を検討した深い同人誌「HOMURA WEAPONS」 (QB被害者対策弁護団withアホヲタ元法学部生の日常, 9/2)、ほむほむの銃器を解説した同人誌　「HOMURA WEAPONS（ほむらウエポンズ）」 (アキバ Blog, 8/16)。残念ながら品切れのようじゃのう……。
》社会人→純粋未修者にオススメの民法入門書～ゼミナール民法入門 (QB被害者対策弁護団withアホヲタ元法学部生の日常, 9/15)。ゼミナール民法入門〈第４版〉の解説。

　本書の、いい意味でも悪い意味でも特徴的なのは、道垣内先生の「世代」にとってわかりやすい例を使っていることである。おおよそ４０歳プラスマイナス５～１０歳といったところか。
　例えば、抵当権について説明する時に出てくるテレビドラマは「ゆずれない夜」*7であり、「マッハ文朱*8」以来のプロレスブームに鑑み、「ビューティペア」の「かけめぐる青春」で「双務契約」を説明する*9。
　正直なところ、私個人的には「ゆずれない夜」というドラマは知らないし、「かけめぐる青春」も聞いたことがない。むしろ、「双務契約は魔法少女まどか☆マギカで説明する」方がずっととっつきやすい。しかし、これは、「世代」の問題であろう。
　私の１回り上の世代の方で熱くプロレスについて語ってくださった先生も少なくない。そう、道垣内先生の世代の人にとっては、とてもとっつきやすい例が豊富なはずなのである。

　「かけめぐる青春」は知っているのだが、私もまどか☆マギカでお願いしたい。
》アンナ・ポリトコフスカヤ暗殺で新たな逮捕―解決への一歩を踏み出す (アムネスティ・インターナショナル日本, 8/26)
》 Windows 8のブルースクリーン・オブ・デスは顔文字で少しかわいくなった (gigazine, 9/15)。日本語版はぜひ＿|￣|○ か orz でおねがいします。
》 Site Ready WebSockets (IEBlog, 9/15)。Windows 8 の IE10 では WebSocket を使えるようです。
》京都府警でコンピュータウイルス対策の研究会～ウイルスソフト開発事業者招き見識深める～ (ポリスチャンネル, 9/16)。へぇ。

■ 2011.09.15

》暴力団排除条例
- 島田紳助引退　出演番組の対処固まる (読売, 9/15)
  
  　紳助引退の経緯に加え、暴力団への利益供与の禁止などを盛り込んだ都暴力団排除条例が１０月１日に施行されることもあり、放送界からの暴力団排除は急務だ。(中略)
  　ＮＨＫは今年４月、出演契約書に「暴力団、暴力団員・準構成員、暴力団関係企業等、その他これらに準じるものでないことを（出演者側が）保証する」などの事項を明記。これに違反すると「直ちに契約を解除し、損害を賠償させることができる」と記している。
- 「東京都暴力団排除条例」の制定について (警視庁)。東京都は 10/1 から施行。
- 広がる暴力団排除条例　３０道府県で施行 (asahi.com, 4/2)
  
  ▽すでに施行済みの県
  【佐賀、福岡、長崎、鹿児島、愛媛、秋田】
  
  ▽１日施行の道府県
  【北海道、宮城、茨城、栃木、群馬、神奈川、山梨、福井、岐阜、愛知、三重、京都、大阪、兵庫、鳥取、島根、岡山、広島、山口、徳島、香川、高知、熊本、大分】
- 島田紳助は「大阪府暴力団排除条例」では“暴力団関係者”と認定される (週プレNEWS, 9/5)
  
  さらに、条例のこんな部分にも引っかかるという。
  「仲良く一緒に写った写真とメールな。さっき説明した条例の定義を思い出してごらんよ。非構成員でも、暴力団員と密接な関係にある人間は“暴力団関係者”なんだよ。つまり、紳助自身が暴力団関係者であると認定することもできちゃうんだ」（S氏）
- 10月1日施行「東京都暴力団排除条例」で“第2の紳助”が出る可能性 (週プレNEWS, 9/12)
  
  水面下で暴力団との関わりを根絶するよう勧告するよりも、“手っ取り早く世間を騒がす手段”のほうが条例のアピールにもなる。それは島田紳助の例で一目瞭然だ。
- 紳助さん引退：暴力団排除「対策を」…民放連 (毎日, 9/8)。「在京キー局５社に対して条例に沿った対策を取るよう通知した」
- 日本民間放送連盟。上記は記載されていない。
》記者会見「被災地支援・災害対策」そして「再生可能エネルギー推進」へ (保坂展人のどこどこ日記, 9/15)。世田谷区方面。
》 RHEL 5.7リリースから約2ヶ月、RHEL互換Linuxディストリビューション「CentOS 5.7」が登場 (sourceforge.jp, 9/15)
》枝野・新経産相会見　大臣官房に逃げ込んだ暴言記者 (田中龍作ジャーナル, 9/13)。関連: 鉢呂辞任の時の暴言は時事通信の記者田中龍作氏との名詞交換を拒否し逃亡 (日々雑感, 9/13)
》郷原氏が原発を止める？「知事発言が発端」九電第三者委中間報告 (JANJAN blog, 9/11)
》テレビより前にソーシャルメディアが報じていた、九電やらせメール事件 (AdverTimes, 9/12)。この件: あすの玄海原発説明会　九電がグループあげて福岡県から佐賀県民を装って発電再開容認のメールを発信せよと半ば「業務命令」　こんなことは許されないぞ！ (ずるずるべったん、剛毅果断に生きる, 6/25)
》【チカン冤罪】市民運動家はこうして逮捕された～実名報道・前編 (JANJAN blog, 9/15)
》版元ドットコムも参加　出版デジタル機構（仮称）設立準備連絡会設立 (ポット出版, 9/15)
》マカフィー、次世代セキュリティ製品の技術基盤「DeepSAFE」を発表　インテルと共同開発。ハードウェア支援によりOSの外部でセキュリティ保護を提供 (ComputerWorld.jp, 9/14)

DeepSAFEの動作の仕組みはあまり明らかにされていない。DeepSAFEに基づく最初の製品はVMware環境で動作し、Microsoft環境やCitrix環境がサポートされるまでには、少し時間がかかるという。
》美浜原発事故発生時の、滋賀県での放射能拡散予測。屋内退避レベル、琵琶湖の水も汚染される。今回はヨウ素とキセノンだけみたい。
- 福井・美浜原発重大事故なら　琵琶湖汚染の予測　滋賀県 (asahi.com, 9/15)
  
  国の防災指針で、内部被曝線量が「避難指示」の対象となる５００ミリシーベルトを超えるのは、福井県内に限られた。一方、線量が「屋内退避」が必要な１００～５００ミリシーベルトとなる範囲は、２月のケースで滋賀県高島市と長浜市の計約１１７平方キロに及んだ。また、同程度の線量は、原発から約４０キロ離れた琵琶湖の上空まで広がると予想され、近畿１４００万人の水源が汚染される可能性があるという。
- ２月の美浜原発事故想定　県が事例公表 (京都新聞, 9/14)。朝日と同様な内容。
- 福井の原発事故想定　放射性物質　湖北まで (読売, 9//14)
  
  　国の防災指針では、ヨウ素の放出量が内部被曝(ひばく)基準（１００��５００ミリ・シーベルト）に達すると、自宅やコンクリート製建物内への退避指示が発令される。予測データによる該当地域は、風向きが北北西で旧西浅井、マキノ町、琵琶湖北部など約１１７平方キロ・メートル、北西では旧余呉、西浅井町など約３１・５平方キロ・メートルだった。
  　いずれも、２４時間で大気中のヨウ素は拡散。外部被曝ではヨウ素とキセノンの放出量の合計を２４時間で積算しても１ミリ・シーベルト未満で、「退避は必要ない」とされた。県は今後、想定条件を増やし、地表にたまるセシウムやヨウ素の量も調べることにしている。
  
  屋内退避レベルであることについては一切触れず、「避難指示」のレベルでないことだけ報じるとは。
- 第２回滋賀県地域防災計画(原子力災害対策編)の見直しにかかる検討委員会の開催について (滋賀県, 9/13)。9/14 に開催された。資料は後日公開される模様。
》膨らむ焼却灰処理費用、放射性物質に汚染された灰を受け入れ先が拒否/横須賀 (カナロコ, 9/14)
》らじる★らじるを中国から聞いてみる (Aの個人メモ, 9/9)。なるほど。
》児童ポルノ所持に廃棄命令　京都府、条例案提案へ (読売, 9/15)。関連:
- 「京都府児童ポルノの規制に関する条例（仮称）（案）」に対する府民意見募集の結果について (京都府, 9/15)。条例案もここから読めます。
- 児童ポルノ規制条例検討会議 (京都府, 9/15)。この会議を基にして条例案ができました。
》人口７０億人時代の到来 (国連情報誌ＳＵＮブログ対応版, 9/15)
》アフガン諜報戦争 (白水社)

■ 2011.09.14

》警察から東京電力へ３２人が天下り　東電が会見で明かす (THE INCIDENTS, 6/17)
》 openSUSE 12.1 では TOMOYO 2.4 が使えるようになります。 (熊猫さくらのブログ, 9/9)
》モジラ、オンライン広告拒否機能（DNT）の実装ガイドを広告主に提供 (ComputerWorld.jp, 9/9)
》日記のタイトルに<script>alert(document.cookie)</script>が含まれると? (水無月ばけらのえび日記, 9/12)。alert は出ませんでした。前ねた。
》権力 vs. 調査報道 (旬報社, 9/25 発売予定)
》日本のデモに表現の自由はない (no more capitalism, 9/13)
》 PostgreSQL 9.1 の新機能 (postgresql.jp, 4/14)

standard_conforming_strings = on がデフォルトになりました。E'...' 形式でない文字列内の \ は、エスケープとしては扱われなくなります。
》フェイスブック、ドイツの厳格なプライバシー文化に従う姿勢 (ComputerWorld.jp, 9/12)
》石原伸晃氏は「市民に線量を計らせないように」と言ったのか？ (togetter, 9/11)
》「ベント不成功なら致死量の被曝」保安院、震災翌日想定 (asahi.com, 9/13)、地震被害情報（第２５５報）（９月１３日１４時００分現在）及び現地モニタリング情報 (経産省, 9/13)。なぜか「（追加資料・３月１２日原子力安全委員会への送付資料）福島第一原子力発電所第１号機において耐圧ベントができない場合に想定される事象について(PDF形式：53KB)」がこんなところに。
》日本の許容線量設定に異議――国際医師会議が書簡提出 (週刊金曜日 / Yahoo, 9/13)
》被災地に蓄電池産業の萌芽 (日経ビジネス, 9/12)

　この構想の特徴は、陸前高田市、大船渡市、住田町という近隣3市町が連携して新しい街作りを目指しているところ。具体的には、陸前高田市に太陽光発電システムと大規模な定置型蓄電池を設置し、電力を大船渡市や住田町に供給していくという構想だ。
》当事者が初めて語った「放射能失言」の裏側！鉢呂経産大臣は原発村を揺るがす「原発エネルギー政策見直し人事」の発表寸前だった (現代ビジネス　長谷川幸洋「ニュースの深層」, 9/14)

「原発周辺では線量計を持っていた。私は一日で85マイクロシーベルトだった。その数字を記者たちに喋ったのは、はっきり覚えている。朝日の検証記事(13日付け)で『私が線量計をのぞいて数字を読み上げた』というのは間違いだ。線量計はJビレッジ(原発作業員の基地)に返却してきた」

　朝日新聞2011年9月13日朝刊３面メディアタイムズ「鉢呂氏の放射能発言、経緯は」のことですね。

　-脱原発依存やエネルギー政策はどう考えていたのか。

「政府はエネルギー政策を大臣レベルの『エネルギー・環境会議』と経産省の『総合資源エネルギー調査会』の二段構えで検討する段取りになっていた。前者は法律に基づかないが、後者は法律(注・経産省設置法)に基づく会議だ。調査会は今年中に中間報告を出して、来年、正式に報告を出す方針だった」
「このうち総合資源エネルギー調査会は私が着任する前の6月段階で、すでに委員の顔ぶれが内定していた。全部で15人のうち3人が原発反対派で残りの12人が賛成派だ。私は事故を受けて、せめて賛成派と批判派が半数ずつでないと、国民の理解は得られないと思った。それであと9人から10人は反対派を加えて、反対派を合計12、3人にするつもりだった。委員に定数はないので、そうすれば賛成と反対が12人くらいずつで半々になる」

　画期的な内容じゃないか……。

　-もう一度聞くが、それで役所と激論にならなかったのか。官僚は面従腹背が得意だ。

「私は最初から強い意思で臨んでいた。私は報告書の内容が必ずしも一本にならず、賛成と反対の両論が記載されてもいいと思っていた。最終的にはエネルギー・環境会議で決めるのだから、役所の報告が両論併記になってもいいでしょう。私のリストは後任の枝野幸男大臣に引き継いだ。後は枝野大臣がどう選んでくれるかだと思う。」

　SPEEDI を隠し、メルトダウンはないと言った人物が、次に何をするか……。

　関連: 津田大介さん@tsuda鉢呂経産相辞任がテーマのニコ生をtsudaる (togetter, 9/13)
》 EAF出撃す (ITセキュリティのアライ出し, 9/14)
》 uTorrent.com がハクられ、マルウェアを配布
- BitTorrent serves malware directly from website - no need for P2P! (Sophos, 9/14)
- Security Incident (BitTorrent Blog, 9/13)
》「Winnyウイルス」の9割はアイコン偽装、ファイル名の偽装も3割 (日経 IT Pro, 9/14)。HIRT 調べ、Winny と Share。 HIRT-PUB11003：P2Pファイル交換ソフト環境で流通するマルウェア(2011年) (日立, 9/13)
》 Making the JavaScript Blacklist Framework for Reader/Acrobat more Accessible (Adobe, 9/13)

■ 追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

　Advisory の最終版 (UPDATE 3) 出ました: Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL): Range header DoS vulnerability Apache HTTPD prior to 2.2.20 (apache.org, 2011.09.13)

Apache 2.2.21 登場。CVE-2011-3192 の修正の改良、MaxRanges ディレクティブの導入、別の欠陥 CVE-2011-3348 (mod_proxy_ajp + mod_proxy_balancer で DoS) の修正など。「Version 2.2.21 corrects a protocol defect in 2.2.20」だそうなので、2.2.20 の人は速やかに 2.2.21 に移行した方がよさげ。
patch が 3 種類用意された。 Apache 2.0.55～64 用 Apache 2.2.9～14 用、 Apache 2.2.15～19 用。

■ いろいろ (2011.09.14)
(various)

MantisBT 1.2.8 Released (mantisbt.org, 2011.09.06)。3 つの欠陥が修正されている。
Bug 709747 : CVE-2011-1944 libxml, libxml2: Heap-based buffer overflow by adding new namespace node to an existing nodeset or merging nodesets (Red Hat, 2011.06.01)。CVE-2011-1944 。 http://git.gnome.org/browse/libxml2/commit/?id=d7958b21e7f8c447a26bb2436f08402b2c308be4。
Shibboleth Security Advisory [25 July 2011] (shibboleth.internet2.edu, 2011.07.25)。OpenSAML の件。CVE-2011-1411。

■ APSB11-24: Security updates available for Adobe Reader and Acrobat
(Adobe, 2011.09.13)

　Adobe Reader / Acrobat 10.1.1 / 9.4.6 / 8.3.1 登場。 13 種類の欠陥 (ほとんどは任意のコードの実行を招く) が修正されている。CVE-2011-1353 CVE-2011-2431 CVE-2011-2432 CVE-2011-2433 CVE-2011-2434 CVE-2011-2435 CVE-2011-2436 CVE-2011-2437 CVE-2011-2438 CVE-2011-2439 CVE-2011-2440 CVE-2011-2441 CVE-2011-2442。ただし Adobe Reader 9.4.6 for UNIX は 2011.11.07 に登場する予定。欠陥は UNIX 版にもあるので注意。

　関連:

Adobe Reader and Acrobat X (10.1.1), 9.4.6 and 8.3.1 (Adobe, 2011.09.13)
Adobe Reader and Acrobat Version 8 End of Support (Adobe, 2011.09.08)。Adobe Reader / Acrobat 8 は今回で最終と思われ (いちおう 2011.11.03 まではサポートされるのだけれど)。
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 (JPCERT/CC, 2011.09.14)
Information Regarding Adobe Reader & Acrobat and the Removal of DigiNotar from the Adobe Approved Trust List (Adobe, 2011.09.13)。DigiNotar の件。

2011.09.15 追記:

　関連:

APSB11-24: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2011.09.13)

2011.10.27 追記:

　Unix 版は依然として 2011.11.07 に登場する予定となっている。

　2011.10.21 付で、次回の四半期更新の公開日が 2011.12.13 から 2012.01.10 に変更された。

■ Microsoft 2011 年 9 月のセキュリティ情報
(Microsoft, 2011.09.14)

　予定どおり出ました (あとで書く)。日本語版も US と同様に URL 変わりました。

　関連:

More on DigiNotar Certificates, and September Bulletins (MSRC blog, 2011.09.13)。DigiNotar の件、更新プログラム 2607712 を置きかえる、更新プログラム 2616676 が公開されているそうで。
2011 年 9 月のセキュリティ情報 (月例) (日本のセキュリティチーム, 2011.09.14)。 Office ファイル検証機能のアドイン (KB2501584) 適用後、ネットワーク共有上の Excel ファイルを開くのに時間がかかる (日本のセキュリティチーム, 2011.07.01) の修正プログラム、2553065 が公開されている……のですが、KB のリンクからダウンロードしようとしてもできない状態。
2011年9月マイクロソフトワンポイントセキュリティ (日本のセキュリティチーム, 2011.09.14)
Microsoft Patch Tuesday - September 2011 (Symantec, 2011.09.14)。日本語版: マイクロソフト月例パッチ（Microsoft Patch Tuesday）- 2011 年 9 月 (シマンテック, 2011.09.14)

■ 2011.09.13

》 "複雑さの要件を満たす必要がある" を有効にしてもパスワードの長さを 6 文字以上にする必要が無い (Microsoft KB 2617632)

実際には 6 文字以上としなくとも 4 つのカテゴリのうち 3 種類の文字を使用すれば 3 文字であっても有効なパスワードとして設定ができます。

　そうなのぉ～
》法科大学院（ロースクール）抜本的見直しへ、司法試験合格者数や合格率低迷 (gigazine, 9/12)。はふぅ。
》マルチ商法業界からの献金　山岡消費者相「返金する」 (asahi.com, 9/13)

　山岡氏は「（献金は）法律的には問題ない」としながら、「消費者行政を担当する閣僚として誤解を受けないよう返金することにした」と語った。

　関係を絶つわけではない模様。
》シャープ・ピノイユニティ、ジーエルと団交開始。覚書を撤回させた模様 (JANJAN blog, 9/12)
》時論公論　「震災半年～進まない復興計画づくり」 (NHK 解説委員室, 9/9)
》 Linux FoundationのWebサイト、セキュリティ問題のため一時オフラインに (sourceforge.jp, 9/12)

Linux Foundationによると、セキュリティ問題が発覚したのは9月8日のこと。kernel.orgへのハッキングと関係しているようだという。これにより、Linux.comとLinuxFoundation.org、および両ドメインが関連するサブドメインにアカウントを持つユーザーのユーザー名、パスワード、電子メールアドレスなどの情報が漏洩した可能性があると警告している。ほかのサイトで同じパスワードを使う場合は変更するよう助言している。

　関連:
- Linux world in security spinout as Linux Foundation and Kernel.org remain "temporarily unavailable" (Sophos, 9/12)
》やはりガセだった？　「K-POP宣伝の韓国からのアクセスをYouTubeが遮断」の記事 (Internet Watch, 9/13)。関連:
- 韓国 YouTube が動画アップロードとコメント機能を停止 (slashdot.jp, 2009.04.13)

■ 2011.09.12

》監査役に期待されるITガバナンスの実践 (日本監査協会, 8/30)
》情報セキュリティ・シンポジウム開催のご案内 (日本銀行金融研究所)。2011.10.28(金)、東京都中央区、無料。テーマ：「金融分野における情報セキュリティ技術の最新動向と今後の方向性」
》「世界」の宮前さん逮捕記事、「ガーディアン」の福島記事 (小林恭子の英国メディア・ウオッチ, 9/12)。「世界」2011年10月号の「権利章典の崩壊 ──私はなぜ逮捕されたのか── 」。

　「ウィキリークスの時代」(岩波) という本が出ていたのですね。著者は http://www.thenation.com/blogs/greg-mitchell でずっと WikiLeaks を追いかけていた Greg Mitchell 氏。読んでみるか (いつ読むんだよ……)。

　なお、俺的 WikiLeaks 本おすすめは、今のところ「日本人が知らないウィキリークス」。安価で、内容がしっかりしており、カバー範囲も異様に広い。
》 <i>区切りという斬新なデータ形式 (水無月ばけらのえび日記, 9/10)。Google Reader さんで見ると、こんなふうになっちゃうんだけど、XSS脆弱性ありなのかしら。
》２９：菅直人首相の東電訓示全文・３月１５日早朝／東京新聞 (明日うらしま, 9/10)。 3/15 に東電本店に乗り込んだ際の、管直人総理 (当時) の訓示内容に関する東京新聞9/6の記事。こんなこと (死守命令) をわざわざ言わなければならないほど東電本店はチキンだった、ということでもあるのだが。

　関連: 紙面の写真 (twitpic)
》第23回まっちゃ１３９勉強会。あれ、定員越えてるのに登録できちゃったぞ? ま、いいか。
》 Google、Microsoftのクラウドサービスが相次いでダウン (Internet Watch, 9/12)
》山谷剛史のマンスリー・チャイナネット事件簿　北京で公衆無線LANスポットが激減？　公衆無線LAN規制の動きが話題に　ほか～2011年8月 (Internet Watch, 9/12)
》サムスンにドイツでのタブレット販売差し止めを命じる判決、アップルが勝訴　アップルの「iPad 2」に酷似しているとの判決理由。サムスンは不服として控訴へ (ComputerWorld.jp, 9/12)。マジですか……。
》 New Coreinfo（v3）～ご使用上の注意～ (ComputerWorld.jp, 9/12)。Sysinternals の Coreinfo、v3 になって仮想化向け機能が盛りだくさんになったそうで。
》「情報セキュリティ実践トレーニング 2011 Autumn」の受講者を募集中！ (Eiji James Yoshidaの記録, 9/12)。2011.10.17～28、神奈川県横浜市、一般5日間コース189,000円、一般3日間コース168,000円。学生向けの奨学受講者コースあります。
》 Capsicum。前ねた。
- Capsicumを知る - カーネルの再構築と最初のプログラミング (FreeBSD Daily Topics, 9/6)
- Capsicumを知る - ケーパビリティを取得するcap_new(2) (FreeBSD Daily Topics, 9/7)
- Capsicumを知る - ケーパビリティを取得するcap_new(2) その2 (FreeBSD Daily Topics, 9/8)
- Capsicumを知る - ケーパビリティからケーパビリティを作成 (FreeBSD Daily Topics, 9/9)
- Capsicumを知る - ケーパビリティモードはfork()したプロセスにも継承 (FreeBSD Daily Topics, 9/12)
2011.10.04 追記:
- Capsicumを知る - ケーパビリティモードはfork()したプロセスにも継承その2 (FreeBSD Daily Topics, 9/13)
- Capsicumを知る - 積極的なセキュリティ強化 (FreeBSD Daily Topics, 9/14)
》統一協会断食デモ
- “断食デモ” 本紙主筆と統一協会本部職員がカメラで睨めっこ (やや日刊カルト新聞, 9/9)
- 統一教会の断食デモの前でナゾの組織が暴飲暴食デモ (やや日刊カルト新聞, 9/10)
- 速報! 今日はお休み“統一協会断食抗議デモ” (やや日刊カルト新聞, 9/10)
》 Asynchronous Programming in JavaScript with “Promises” (IEBlog, 9/11)。暁美ほむら「約束するわ。絶対にあなたを救ってみせる。何度繰り返すことになっても、必ずあなたを守ってみせる!」

■ 2011.09.11

》福島第一原発に襲来した高さ10メートルの津波写真付き報告書まとめを東電が公開中 (gigazine, 9/9)。いろいろまとまっていて便利ではあるのだが、「ただしソースは東電」なので注意。個人的には、外部電源喪失に関する記述の少なさはすごく疑問。
》 9.11 脱原発デモ
- 新宿アルタ前囲い込み、「9・11脱原発デモ」に備え (田中龍作ジャーナル, 9/10)。日本の首都は、こんなにショボい。
- 【第一報】脱原発デモ　人間の鎖で経産省を包囲 (田中龍作ジャーナル, 9/11)
- 衝撃の逮捕写真！～サウンドデモへ異常な弾圧 (レイバーネット, 9/11)
》 2011/9/10・21：30開始　鉢呂吉雄経済産業大臣辞任記者会見 (togetter, 9/10)。「死の町」という表現は、どう考えてもありのままの事実でしかないのだが。脱新規原発を叫ぶとかように消されるというか、あまりに打たれ弱いというか。関連:
- 鉢呂経産相辞任　記者クラブに言葉狩りされて (田中龍作ジャーナル, 9/11)
  
  　鉢呂氏は「言葉狩り」の犠牲者でもあった。「死の街発言は記者クラブによる言葉狩りではないか？」と筆者は質問した。
  　鉢呂氏は次のように答え無念さをにじませた。「（発言の）前日、地元14の市町村長さんたちと話した・・・（中略）人っ子一人通らない。街並みがあるのに。こんな街は日本にはないという意味が、ああいう言葉（死の街）になった」。鉢呂氏の表情は『俺の真意ではないんだ』と語っていた。
  　20キロ圏内や飯舘村は明らかに「死の街」である。福島に住む多くの人々は疎開したがっているのが現実だ。事態を率直に認めた鉢呂氏は評価されて然るべきではないか。脇が甘かったと言われればそれまでかもしれないが。
  
  あと、品性下劣記者の件。
  
  　大臣を辞任に追い込んだ記者クラブの面々は鼻高々だ。記者会見室には哄笑が響く。得意絶頂のあまりヤクザ言葉で鉢呂氏に答を迫る記者もいた。社名も名乗らずに無礼千万な態度で質問するのである。同業者として恥ずかしい。
  　筆者はその記者をドヤシ付けてやった。後で名刺交換し社名を聞こうと思っていたが、当人は記者会見が終わるとソソクサと記者室に逃げ帰った。大手メディアの記者であることだけは確かなようだ。
- 品性下劣記者に関する、岩上安身氏のツイート:
  - 明日の中継の予定を、これから連投するのだけれど、そこに鉢呂経産相辞任会見から帰ってきた佐々木君から報告。くだんの記者、あまりの言葉遣いの荒っぽさにフリーの田中さんが「そんな質問失礼じゃないか。敬意をもって質問しなさいよ」と注意すると、「うるせえよ」と。 (@iwakamiyasumi 岩上安身, 9/10)
  - 続き。その記者、社名も氏名も名乗らなずに、乱暴な発言を繰り返したばかりか、会見の最中に、首からぶら下げた記者証をYシャツの中に隠したという。自分が誰か、名乗らないだけでなく、身分証すら隠す卑劣。 (@iwakamiyasumi 岩上安身, 9/10)
- 鉢呂吉雄経済産業相は「放射能」について本当は何と言ったのか (愛・蔵太のもう少し調べて書きたい日記, 9/10)。わけがわからないよ。
- 国内原発「将来ゼロに」　鉢呂経産相　中部電の新設否定 (東京新聞, 9/6)
  
  　中部電力は浜岡原発で、廃炉にする１、２号機の替わりに６号機を新設する「リプレース」を計画中。こうした動きには「立地条件は関係ない。新しい原発を造らないと言っているのに、どうやって造るのか」と実現に否定的な見方を示した。
  　さらに「計画段階のものについては、新しく建設することは難しいのではないか」とも指摘。福島第一原発事故を受けて中断している中国電力上関原発の工事再開は困難、との見方を示した。
  
  関連:
  - 経産相「原発はゼロに」　既存立て直しも否定 (産経 MSN, 9/6)
  - 大間原発建設に慎重姿勢　鉢呂経産相県内に驚き、困惑 (読売, 9/6)
    
    　鉢呂経産相の発言は２０３０年までに新増設が予定されている原発１４基の扱いについて言及したもの。全国各地にある計画段階の原発については「新たに建設するのは困難だ」と述べ、着工済みの大間原発と東京電力東通１号機など３基については「（福島第一原発事故の影響で）現実に工事は凍結している。どう考えるかは今後検討する」と別途検討する考えを示した。
    　すでに大間原発の進捗(しんちょく)率は約４割に達しており、将来の稼働を前提に国が実施を決めたストレステスト（耐性検査）の対象にも含まれている。また、今年５月には民主党の岡田幹事長（当時）が建設現場を視察し、「既にできつつあるものは、より安全性を高めながら利用していかなければ、日本の電力はまかなえない」と再開を容認する発言をしていた。
    　それだけに、再開を期待していた関係者の驚きは大きい。事業者である電源開発の関係者も「工事は再開できると思っていた。急にそういうことを言われて、どうしたらいいのか分からない」と困惑顔だ。
- 鉢呂経産相：11日読売社説を見れば狙われていたのがわかる。「鉢呂氏は”原発ゼロ”の見通しを語るだけで、エネルギー安定供給への認識には乏しかった」「ＴＰＰについて”関税ゼロと農業再生の両立は難しい”と後ろ向きの姿勢」。後任がどうなるか。 (@magosaki_ukeru 孫崎　享, 9/11)
》話題の「カレログ」、しかしてその実態は。 (高木浩光＠自宅の日記, 9/10)
》オリンパス敗訴で明らかになった女弁護士のブラック過ぎる手口 (サイゾー, 9/11)

　今回、敗訴となったオリンパス社を弁護した「森・濱田松本法律事務所」（東京都丸の内）は、日本の「四大法律事務所」のひとつと称されるほどの大手である。特に、担当をしたT谷という50代のベテラン女性弁護士は、労働法のエキスパートとしてメディアにも登場した経歴を持つ。ところが、このT谷弁護士がかねてから産業医とグルになり、陰湿な手口で社員を社会的に抹殺してきた疑いがあるという。今回の「オリンパス訴訟」を詳しく知るある人物がその手口を説明する。
「悪質な企業では、会社にとって都合のよくない社員に対して『精神的なケアをする』との名目で、会社お抱えの産業医に診断をさせるんです。この産業医が会社とグルで、その社員を『君は精神分裂症だ』『重度のウツなので治療が必要』などと診断し、精神病院へ措置入院させたり、合法的に解雇してしまい、事実が隠蔽されてしまう。過去にセクハラを訴えた多くのOLなどがこの手口で社会的に抹殺されていますし、今回のHさんもそのひとりの疑いがあります」

　マジですか……?!
》 9.11 から 10 年
- The 9/11 Decade (aljazeera)
- 米同時多発テロ：自民・石原幹事長　講演で「歴史の必然」 (毎日, 9/10)。こんな人物が幹事長とは。自民党は本当に終っている。「倒壊する巨塔」を読んでから出直してほしい。ピュリツァー賞受賞作、『倒壊する巨塔』を読む。 (e-days, 2009.09.18)
- 米同時多発テロ事件から１０年 (NHK, 9/9)
》エジプトでデモ隊がイスラエル大使館に乱入。それだけはやっちゃ駄目なのに。
- 元ねた: イスラエル：エジプト治安要員死亡　エジプト政府、大使召還　イスラエルに抗議 (毎日, 8/21)。この事件への抗議デモだったみたい。
- イスラエル大使館周辺に防御壁＝カイロ (時事 / biglobe, 9/6)。激しさを増す抗議デモに対し、数日前に防護壁を追加したのですが……。
- エジプト：イスラエル大使館にデモ隊が乱入 (毎日, 9/10)。防護壁を破壊した上に、数十人が大使館に乱入。関連:
  - エジプト：デモ隊数十人、イスラエル大使館襲撃　大使ら国外脱出 (毎日, 9/10)
  - デモ隊、イスラエル大使館襲撃＝防護壁破壊、文書まき散らす－エジプト首都 (時事, 9/10)
  - 煙が上がるイスラエル大使館入居ビル (AFP / 時事, 9/10)
  - カイロのイスラエル大使館襲撃　３人死亡１０５０人負傷 (asahi.com, 9/10)
  - Crowds attack Israel embassy in Cairo (aljazeera, 9/10)。防護壁を破壊し大使館ビルに侵入する様子。
  - エジプト政府が警戒態勢を宣言、デモ隊のイスラエル大使館襲撃で (AFPBB, 9/10)
    
    　デモ隊はビルの周囲の防護壁を大型のハンマーで破壊して大使館に侵入し、歓声を上げる群集たちに向けて大量の外交文書を撒き散らすなどしたため、エジプトの特殊部隊が大使館に突入して大使館内に取り残されたイスラエル大使館員ら6人を救出した。
  - イスラエル大使館侵入を非難 (NHK, 9/10)
- 両政府ともに冷静な対応をしている模様。
  - エジプトのイスラエル大使館襲撃、双方が関係悪化回避の姿勢 (ロイター, 9/11)
  - イスラエル自制的対応　大使館襲撃 (東京新聞, 9/11)
    
    　エジプトの代表的な民主化勢力「四月六日運動」の報道担当者は、本紙の取材に「政府のイスラエルへの弱腰姿勢が事件の背景にあったが、大使館の侵入や暴力は反対だ。平和的な革命のイメージをゆがめようとする勢力がある」と指摘した。
    　アハラム戦略研究所（カイロ）のイマド・ガッド研究員は「事件は、暫定政府に圧力をかけたい勢力が、イスラエル大使館を利用した側面が考えられる。エジプトと良好な関係を維持したいイスラエルは、事件はエジプトの内政問題が関わっていると認識し、摩擦のエスカレートは望んでいない」と語った。
  - 駐エジプト大使早急に復帰　イスラエル首相が演説 (産経 MSN, 9/11)

■ 2011.09.10

》南海・東南海地震：「連動型」１３００年前も　産総研調査 (毎日, 9/8)

記録が残る中で最古の南海地震「白鳳地震」（６８４年）が、東南海地震と連動して発生していたことを裏付ける新たな証拠が、産業技術総合研究所の藤野滋弘・元特別研究員（現筑波大助教）らの地層調査で見つかった。(中略) ９日から水戸市で開かれる日本地質学会で発表する。
》コストコの崩落事故「設計と異なる施工」　町田市に説明 (asahi.com, 9/10)。立体駐車場スロープが崩落した「コストコ多摩境店」、設計どおりに作られていなかった模様。3.11 のNHK 総合 (YouTube 経由) に写った崩落現場:
》羽田の管制官　米大統領機や米軍用機の機密情報流す　国交省、調査開始 (産経 MSN, 9/9)。マジですか……。関連:
- 管制官、飛行計画をブログ掲載＝米大統領機の可能性－守秘義務違反か、国交省調査 (時事, 9/9)。「２００１年ごろから」って……。
- 羽田管制官、“極秘情報”米大統領機の飛行計画漏洩　守秘義務違反か　ブログにアップ (産経 MSN, 9/9)
- 軽すぎるモラル　相次ぐ管制官の不祥事　機密情報漏洩問題 (産経 MSN, 9/10)

■ 2011.09.09

》米同時多発テロ事件から１０年 (NHK, 9/9)。これは、昨日のクローズアップ現代だな。
》ここに注目！　『地震の活動期に注意』 (NHK 解説委員室, 9/8)。NHK ですら、日本は地震の活動期に入ったとの認識。
》ここに注目！「あす世界自殺予防デー　対策の強化を」 (NHK 解説委員室, 9/9)
》時論公論震災半年シリーズ
- 時論公論　『最前線の消防団をどう守るのか』 (NHK 解説委員室, 9/6)
  
  どんな対策が必要でしょうか？一つは、水門の閉鎖を安全に行えるようにすることです。多くの消防団が津波警報がでた際に水門を閉鎖する役割を担っていますが、現在、全国の海岸の堤防にある水門６６６８ヵ所のうち、開閉が自動化されているのは、全体の１１％にあたる７４２か所しかありません。津波が襲ってくる中、避難とは逆に海に近づいて水門を閉めるのは危険極まりない仕事です。(中略)
  二つ目は、無線など装備の充実です。市町村の消防本部では、平均的な５人乗りのポンプ車の場合、現場に向かう隊長と消防自動車に残る運転手の二人が消防無線を持つようになっていますが、消防団の装備は自治体によってまちまちです。
- 時論公論　「原発事故　現状把握を急げ」 (NHK 解説委員室, 9/7)。水野倫之解説委員。
  
  エネルギー総合工学研究所の内藤正則さんの研究グループは、シビアアクシデント対策に生かすため自ら10年かけて開発した計算プログラムを使って、まずは1号機で事故がどのように進展したかを計算。(中略)
  燃料は溶け始めから4時間あまりですべて溶け、全体の15％は原子炉内の核燃料を支える板の上にとどまり、残りの85％が格納容器にまで落ちてしまっている可能性のあることがわかった。
  今回の解析は、これまでの解析とくらべると、溶け始めでほぼ1時間早く、原子炉の損傷時間では東電の計算よりも10時間も早く、事故の進展がより早かった可能性のあることも示している。
  が、何といっても溶けた燃料がどこにどれだけあるのか具体的なデータが示されたのは、このシミュレーションが初めて。
- 時論公論　「どう支援？被災地の農漁業」 (NHK 解説委員室, 9/8)
》「学校プール水の除染の手引き」の公表について (日本原子力研究開発機構, 9/7)
》海へ放射能放出総量は１．５京ベクレル　原子力機構試算 (asahi.com, 9/9)、放射性物質、東電推定の３倍も海へ流出か。 (読売, 9/9)。「１９日から北九州市で始まる日本原子力学会で発表する」
》なぜ1Bq/kg以下を宣言できたのか？ #大潟村あきたこまち (tarosite.net, 9/9)。大潟村あきたこまち生産者協会。日頃の鍛練ですか。
》 Online Tracking, Consumer Protection, and Web Standards (IEBlog, 9/8)
》 IE8以降の「F12開発者ツール」を使った DOM Based XSSの検査法について (ntt.com, 9/6)
》 Linuxカーネル開発リポジトリ、kernel.orgのハッキングを受けて一時的にGitHubに移行 (sourceforge.jp, 9/6)
》 Facebookがサードパーティアプリケーションに対し友達を介してユーザの情報を見せないよう変更 (エフセキュアブログ, 8/25)。9/5 に追記されている。

　以下は設定内にある詳細だ：

　「Facebookであなたの情報を見ることができる人は、アプリを利用する際にもその情報にアクセスできます。これにより、インターネットをさらにソーシャルな環境で利用できるようになります。下の設定を使って、アプリやゲーム、外部サイトで友達に公開する情報の種類を選択できます。」

　したがって、あなたの情報を見ることができる誰かのアプリケーションは、あなたの情報を使用することができる。「誰か」のアプリケーションに自分の情報へアクセスされたくないなら―あなたの重要な情報を「すべての人」と共有していないことを確認し、設定で全てのカテゴリからチェックをはずしておくことだ。
》 Java 7 Officially Released (SANS ISC, 9/5)
》 Researchers extend Firesheep to exploit Google Search data leak (Sophos, 9/8)。 Google の Web History 機能が https 化されていないため、

The new variant of Firesheep allows hackers to easily exploit the flaw if they are sharing the same WiFi hotspot as you.
》 PHPのイタい入門書を読んでAjaxのXSSについて検討した (ockeghem(徳丸浩)の日記)
- PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) (ockeghem(徳丸浩)の日記, 9/5)
- PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)～evalインジェクション～ (ockeghem(徳丸浩)の日記, 9/6)
- PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)～JSON等の想定外読み出しによる攻撃～ (ockeghem(徳丸浩)の日記, 9/7)
》第23回まっちゃ１３９勉強会。 2011.10.29、大阪府寝屋川市、500円。スマートフォン方面についてこれだけまとめて聞ける機会はなかなかなさげなのでぜひ参加したいのだが、今年度はどこの土日に空きがあるのかさっぱり予想がつかない。
》シンクライアント化で私物PCの不安を解消 (日経 IT Pro, 9/8)。ライセンス費用がなあ。
》 A Decade in Review: Cybercriminal Motivations behind Malware (Symantec, 9/8)、10 年間をふり返る: マルウェア犯罪の背後にある動機の変遷 (シマンテック, 9/9)
》これが5年間の技術的失敗と成功の歴史、GREEの成功を支えた技術者たちの闘いが今明かされる (gigazine, 9/9)。システム構築・運用な話。興味深い。
》【Windowsお悩み相談室】第19回巨大なVHDをコピーできない！コマンドでPCをスリープさせるには？ (ComputerWorld.jp, 9/6)。RHEL6.1 on Hyper-V でネットワークアダプタが見つからない件、コマンドラインからWindowsをスリープ状態に移行させる方法。Sysinternals の PsShutdown ですか。
》ウイルスバスター2011・2012において「リモートファイルロック」機能の初期化が行えない現象について (トレンドマイクロ, 9/8)。今は直っているそうで。
》口腔内を撮影できるUSBマイクロスコープ「お口の美歯り番」 (slashdot.jp, 9/9)。いろいろ応用が効きそうですね。
》東北3県の情報システムに何が起こっていたか (日経 IT Pro, 9/9)

　岩手県では、県内の出先機関や大学・病院などを結ぶ情報通信基盤である「いわて情報ハイウェイ」が、沿岸地区の津波による浸水や機器流失などにより寸断。岩泉・宮古・釜石・大船渡の合同庁舎のほか、53拠点との通信が途絶した。(中略)
　総務部法務学事課の菅野義克行政情報化推進課長は、「通信回線の2系統化や迂回路は津波で一気に流失し、機器の2重化や冗長構成も停電で機能しなかった。安定した電源や天変地異がないことを暗黙のうちに前提にした冗長構成では限界がある」と省みる。今後の対策としては、通信回線と電源の確保を重点に、パブリッククラウドの利用なども検討する考えである。

　福島ではこんなことも:

　各拠点の復旧に当たっては、予備の機器やケーブルが使えないという困難にも直面した。原子力発電所の事故により、保守委託先の事業者の従業員に待機命令が出て、予備機器などの保管場所にアクセスできなくなってしまったからである。「緊急時に使う機器は確実に自分たちで運べる場所に保管する」という教訓を得た。
》大震災の現場から　Vol.40　医師・看護師の離職が深刻化する福島 (日経 Medical Online, 9/8)。崩壊寸前の模様。
》被ばく事故医療の専門家が埼玉県で反省の集い　足りなかった複合災害への準備 (日経 BP, 9/7)。日経メディカルの人による、第15回放射線事故医療研究会レポート。興味深い。朝日の『原発周辺住民は「ヨウ素剤飲むべきだった」識者が指摘』の件の詳細。ヨウ素剤の件は3ページ目にある。

　福島第一原発事故では、いくつかの課題が浮き彫りになった。
　鈴木氏は、とりわけ大きな問題として「OFC (小島注: オフサイトセンター) が本来の役割を果たせなかった」ことを挙げ、「OFCの現地対策本部で行政や防災関係者、事業者や原子力の専門家が情報を共有し、意志決定し、情報発信するという仕組みが機能しなかったこと」と指摘した。原子力災害対策特別措置法の想定とは異なり、すべての意志決定が政府対策本部に一元化されたことも関係者間での情報共有という面では事態を混迷させる一因となった。
》 “戦犯”3人を憤怒直撃! これで電気料金10%アップなど許せるか　「15m超の津波試算」を闇に葬った東電トップ (現代ビジネス, 9/9)

　東電が、福島第一原発に高さ15m以上の津波が到達する可能性があることを、'08年に試算していたことが判明した。そして、当時、原子力・立地本部副部長だった武藤氏や、原発担当の武黒一郎副社長(当時)らはこの試算を知りながら、何の対策も取らなかったのである。試算結果が原子力安全・保安院に報告されたのは、3年も経った、奇しくも東日本大震災4日前の今年3月7日だった。

　関連:
- 東日本大震災：福島第１原発事故　東電津波試算、０８年に「１０メートル超」想定 (毎日, 8/25)
- 東日本大震災：福島第１原発事故　津波試算で保安院が東電批判「公表すべきだった」 (毎日, 8/26)
- 福島第１原発　津波１６メートル経営陣も把握　東電３年前試算国会では「想定外」 (しんぶん赤旗, 8/26)
- 東電、大震災前に「津波１０メートル以上」試算 (産経 MSN, 8/24)
- 「仮定の計算」と釈明　１０メートル超の津波で東電「対策必要な想定津波ではない」 (産経 MSN, 8/25)
  
  試算では、明治２９（１８９６）年の明治三陸地震が福島県沖で発生したと仮定し、福島第１原発周辺では最大で高さ１０・２メートルの津波が発生、１５・７メートルの高さまで水が押し寄せると算出された。
- 「十分に対応する時間的余裕があった」　東電の津波被害試算で枝野氏 (産経 MSN, 8/25)
- 津波試算問題　東電と保安院、批判の応酬　「対応指導」「受けてない」 (産経 MSN, 8/26)
》福島第１原発：京都大原子炉実験所・小出裕章助教に聞く (毎日, 9/9)
》東電社員殺害：別人の唾液付着か　東京高検ＤＮＡ鑑定へ (弁護士落合洋司　（東京弁護士会）　の「日々是好日」 , 9/5)
》生活保護の危機　～受給者全国一大阪市の苦悩～（仮） (NHK スペシャル, 9/16 放送予定)

全国一受給者が多い大阪市では、市民の18人に１人が生活保護を受け、今年度計上された生活保護費は2916億円、一般会計の17％近くを占めている。危機感を抱く大阪市は「生活保護行政特別調査プロジェクトチーム」を設置、徹底的な不正受給防止にあたると共に、受給者の就労支援に乗り出している。しかし巨額の生活保護マネーに群がる貧困ビジネスは悪質化、肥大化し、摘発は進まない。また、就労意欲の低い受給者に職業訓練や就職活動を促す有効な手立てがない中で、不況下の再就職は困難を極めている。
》首都直下地震：想定外の震源域　房総南東沖にＭ８級痕跡 (毎日, 9/9)。これまで知られていなかった「外房型」が存在する模様。
》グーグル、台風12号により被害を受けた紀伊半島の衛星写真を公開 (Internet Watch, 9/9)
》自炊代行業者への質問状に名を連ねた作家・漫画家122人の「電子書籍化状況」 (Internet Watch, 9/9)
》ピックアップ＠アジア　「尖閣漁船衝突事件から１年／日中国民感情悪化の行方は」 (NHK 解説委員室, 9/8)
》「Windows Home Server 2011」が今日から大幅値下げ！ (ascii.jp, 8/2)。そんなことがあったのか。
》佐賀知事発言メモ「ほぼ正確」　九電やらせメール問題 (asahi.com, 9/8)。第三者委員会中間報告書は九電ホームページから入手できます。
》私も原子力について本当の事を言うぞ (小田嶋隆の「ア・ピース・オブ・警句」, 9/9)

　ごらんの通り、読売新聞社は、『核兵器の材料になり得るプルトニウムの利用が認められている現状』が、『潜在的な核抑止力として機能している』ことを、『事実』として認定している。

　驚嘆すべき主張だ。
　というのも、読売新聞は、原発が核兵器である旨を半ば公認しているわけで、この事実は、何回びっくりしてみせても足りない、驚天動地の新説だからだ。

　関連: 「原発は５０年先に必ず貢献」　経済同友会代表幹事 (産経 MSN, 9/5)。「経済同友会の長谷川閑史代表幹事（武田薬品工業社長）」は原発がだいすき!
》東京電力は、事故原因究明のためにすべての資料を公開すべきだ ― 東京電力が衆院特別委員会に提出した「切り貼り」と「黒塗り」の「事故時運転操作手順書」等について ― (原子力資料情報室, 9/9)
》震災で水没のＦ２戦闘機６機、修理し継続使用 (読売, 9/4)。3コ1ということかなあ。計 1150 億円という価格 (192億/機) は、新規製作よりも手間がかかるということだなあ。
》パキスタン方面
- 自爆テロ２件で約１００人死傷　パキスタン南西部・クエッタ (産経 MSN, 9/7)
- パキスタン航空機2機に爆破予告、1機が緊急着陸 (AFPBB, 9/8)
》支援船急襲：イスラエル軍は「過剰」…国連調査委報告書 (毎日, 9/2)。UN chief receives report of panel of inquiry into Gaza flotilla incident (UN, 9/2) の件。
》パレスチナ国家
- ピックアップ＠アジア　「"パレスチナ国家"は誕生するか」 (NHK 解説委員室, 9/6)
- 米国：パレスチナ国連加盟申請　「拒否権行使」明言 (毎日, 9/9)。いつもの USA。
》 14 時間日本一周
- ロシア軍機：日本周辺を一周　自衛隊機がスクランブル発進 (毎日, 9/9)
- ロシア機の日本海及び太平洋における飛行について (防衛省, 9/8)。ほんとに一周してる……。
》そのメンタリティーがわからん (みやきち日記, 9/9)

今にして思うとあれは、不潔な家に住んで抜本的な対策もせず、「Gを怖がる乙女なワタシ」アピールをして喜ぶ人たちと同じメンタリティーだったんだなと。
》 Java著作権をめぐるオラクルとグーグルの紛争、和解調停へ (ComputerWorld.jp, 9/8)
》ハンガリー国勢調査、赤い下着のトップレス女性が「勧誘」 (ロイター, 9/8)。イロイロたいへんですね。
》家庭用蓄電池（1）2kWhクラスは緊急用として使用 (日経 KEN-Plats, 9/5)

「経験上、一般の家庭で1日当たり6kWh程度の電力を使用する」と、住宅向けの家庭用蓄電池システムを販売する平山建設社長の平山秀樹さんは話す。
　主に売れているタイプは2kWh程度の蓄電池だ。これらは、緊急対策用として考えておくとよい。
》 Power Outage Hits Southern California (WSJ, 9/8)。ていでん! 関連:
- http://www.sdge.com
- 米カリフォルニア州南部で大規模停電、原発が緊急停止 (ロイター, 9/9)
》奥村副大臣、森副大臣、神本政務官、城井政務官合同会見録 (文科省, 9/5)。森ゆうこ氏、「教育、そして文化の部分を担当」だそうで。
》アリバイ屋
- アリバイ屋：うその源泉徴収票を発行　道警、初立件 (毎日, 9/8)
- アリバイ屋：逮捕に同業者は「合法」強調　札幌市、チェック強化へ　／北海道 (毎日, 9/8)
》文部科学省及び山形県による航空機モニタリングの測定結果について（平成23年9月8日） (文科省, 9/8)。山形の空中測定結果出ました。
》第２ドイツテレビ（ＺＤＦ）の放送内容について～取材の実際について～ (がんばります福島県農業！二本松農園ブログ, 9/3)。ドイツZDF-Frontal21 福島原発事故、その後（日本語字幕）の件。

今回の取材を受けたＨ氏に対して、動画の存在をお知らせしたところ、Ｈ氏は「事実と違う」ということで、ＺＤＦに対して次のとおり抗議メールを発しています。

①ユーチューブの配信動画を２度見ました。
②動画中７０００Ｂｑと出てきますが、これは既に出荷停止措置のとられている地域のシイタケのもので、動画の中では、出荷停止措置がとられていることを何もふれていない。
③市民放射能測定所のこれまでの分析で１０００Ｂｑを超えているのは、このシイタケとタケノコだけ。１００を超えているのはブルーベリーなどごく一部。
④ほとんどの野菜は、２０～１００Ｂｑの範囲。検出限界以下（ＮＤ）の２０Ｂｑ以下も少なからずありました。
（なお、取材時に持ち込まれた　ネギとジャガイモの測定結果も、市民放射能測定所
のホームページでちゃんと公表されております。産地「本宮市」がそれです。）
http://www.crms-jpn.com/mrdatafoodloc/pref_7.html
⑤以上のようなことを動画の中では何も言わず、高いものだけを強調している。
⑥自分が映っている時に流れたテロップは自分が話したことではない。
⑦（このように事実と違うのであれば）対応せざるを得ない。
⑧こんなだったら、すべてマスコミは立ち入り禁止！害ばっかり。

　少なくともその部分は偏向報道だったようで……
》セシウム汚染：野生キノコから高濃度を検出　福島・棚倉町 (毎日, 9/3)。棚倉町のチチタケ、28,000Bq/Kg。
》 BWR 原子炉格納容器 Mark-I
- アメリカから見た福島原発事故 (NHK ETV特集)。9/11 22:00 から改訂版を再放送。福島第一は、「だから言っただろう、30年も前に」な状況。
- BWRの原子炉格納容器 (02-03-04-02) (ATOMICA, 2002.03.04)
  
  Ｍａｒｋ－Ｉ型原子炉格納容器（図１参照）は、わが国では、女川１号、福島第一１、２、３、４、５号、浜岡１、２号、島根１号、及び敦賀１号で採用されている。
  
  とりあえず Mark-I は今すぐ全廃してほしいのですが。
- 特集ワイド：なぜここに？　何もたらした？　福島第１原発１号機 (毎日, 9/8)
  
  　工事はＧＥ社主導で進み、１号機は７１年に営業運転を開始したが、当初からトラブルが相次いだ。運転中に核燃料棒が割れたりし、マーク１と呼ばれる格納容器も内部は狭く、保守点検にはしごを使うなど使い勝手が悪かった。点検に時間がかかり、作業員の被ばく量は増えた。東電とメーカーは約１０年がかりで改良を重ねていったが、格納容器を大型化するなどの根本的な対策は福島第２原発以降に持ち越された。
  　「マーク１は『商業用原子炉として十分な域に達している』と言われたが、初期にはトラブルが多く、実際には商業用と呼べるものではなかった」。今、豊田さんは率直にそう話す。
  　そして、今回の津波で故障した非常用のディーゼル発電機が、原子炉建屋ではなく構造的に弱いタービン建屋に置かれていたことを「私も原子炉建屋にあるものと思い込んでいた」と悔やむ。なぜ４０年間も放置されたのか。「東電、安全性を確認する原子力安全・保安院にも事なかれ主義がはびこっていた……」。そう言って表情を曇らせた。
》福島第一原発事故「地震による損壊検証 I」 (ひらがな５文字の「はたともこ」ブログ, 8/3)

東京電力と保安院は、『地震による原子炉系配管破損による冷却材喪失事故の可能性』を絶対に認めようとしない。シミュレーション解析さえ拒否している。もし可能性を認めたら、耐震設計指針全面改訂の結果、全原発を動かせなくなる可能性が非常に高いからだ。東京電力・保安院が一体となって地震による原子炉系配管破損を認めないという姿勢は、再び同じ事故を繰返しかねない究極の犯罪的行為だ。まず、東京電力は『運転マニュアル』を公開すべきだ。特に、ICを11分で止めた「55℃/時以上温度変化させてはならない」というマニュアルは事故シークエンスを解析する上で極めて重要。即刻公開すべきだ。事故原因の正しい究明なくして、今後の原発再稼働など絶対にあり得ない。

■ 追記

Google の一部サイトに対して発行された不正な SSL 証明書の問題

　関連:

Update on DigiNotar and the Adobe Approved Trust List (AATL) (Adobe PSIRT blog, 2011.09.08)。Adobe Reader / Acrobat 9.x / 10.x において、DigiNotar な証明書を手動で削除する方法。来週には Adobe Reader / Acrobat の新版が出るので、そこでは削除済になるかもしれない。
Incident Response (GlobalSign, 2011.09.08 更新)。 US 時間の月曜日には業務を再開するそうです。関連: 証明書発行再開見通しに関するお知らせ (jp.globalsign.com, 2011.09.09)
How StartCom Foiled Comodohacker: 4 Lessons (InformationWeek, 2011.09.08)。4 つの教訓。
1. パートナー企業を評価せよ。Comodo はパートナー企業からヤラれた。
2. 率直であれ。Comodo が商売を続けていられるのは、率直だったからだ。
3. 攻撃者のように考えろ。
4. インフラを近接して監視せよ。
Gmail account security in Iran (Google, 2011.09.08)。イランから Gmail をご利用のみなさまへのアドバイス。

関連: Google tells Iranian users to check if their Gmail accounts have been hacked (Sophos, 2011.09.08)

■ いろいろ (2011.09.09)
(various)

SYM11-011: Symantec Enterprise Vault に Oracle Outside In モジュールの脆弱性 (シマンテック, 2011.09.01)。hotfix があるので適用すればよい。
Wireshark 1.6.2 / 1.4.9 リリース。セキュリティ修正を含んでいる。
- Wireshark 1.6.2 Release Notes (Wireshark, 2011.09.08)。5 件。
- Wireshark 1.4.9 Release Notes (Wireshark, 2011.09.08)。3 件。

■ マイクロソフトセキュリティ情報の事前通知 - 2011 年 9 月
(Microsoft, 2011.09.09)

　5 件。重要 x 5。Office あり (Excel, SharePoint, Groove)

　今回から、US 版は http://technet.microsoft.com/en-us/security/bulletin/ms11-sep という URL に変更されていますが、日本語版はこれまでと同様のようで。

■ APSB11-24: Prenotification Security Advisory for Adobe Reader and Acrobat
(Adobe, 2011.09.08)

　Tuesday, September 13, 2011 (US 時間) に Adobe Reader / Acrobat の更新版が出る予定だそうです。抄訳版: APSB11-24: Adobe Reader および Acrobat に関するセキュリティ情報の事前通知 (Adobe, 2011.09.09)

　関連: Adobe Reader and Acrobat Version 8 End of Support (Adobe, 2011.09.08)。Adobe Reader 8 / Acrobat 8 は 2011.11.03 でサポート終了。

■ 2011.09.08

》 Bitcoin 方面
- Bitcoin - crypto currency of future or heaven for criminals? (SANS ISC, 9/5)
- Bitcoin Mining Botnet Found with DDoS Capabilities (trendmicro blog, 9/4)
- Malicious Links on Twitter Lead to Bitcoin Mining (trendmicro blog, 9/4)
》「偽セキュリティソフト」など不正プログラム蔓延の恐れ、感染対策の実行を (so-net セキュリティ通信, 9/8)
》パキスタンで謎の UAV 墜落 (偽装型 Desert Hawk?)
- Photos: Mystery Drone Crash in Pakistan (updated) (defensetech.org, 8/29)
- Is It A Bird? No, It’s an American UAV (ainonline.com, 9/2)
- Desert Hawk III (Lockheed Martin)
》忘れてもらう権利――議論盛り上がるネット上のプライバシー (日経トレンディネット, 9/7)
》芸人スマイリーキクチ『突然、僕は殺人犯にされた』 (Excite, 4/28)。こんな本出てたのか。
》グーグル、台風12号で被害を受けた紀伊半島の通行実績マップを公開 (Internet Watch, 9/6)。関連:
- 奈良・十津川村３地区に避難指示 (NHK, 9/8)。土砂ダム決壊のおそれがあるため、9/8 16時ごろに避難指示が出たそうで。まだまだ終りが見えない。
- 【緊急Ｎスペのお知らせ】明日19時30分から急遽ＮＨＫスペシャルを放送する事になりました。「緊急報告　記録的豪雨の衝撃」。この度の台風12号の豪雨災害について報告します。被災した方々の取材から明らかになる「想定外」の事態。さらなる被害をどう防ぐのか、考えていきます。 (@nhk_n_sp nhk_special, 9/8)
- 深層崩壊が日本を襲う (NHK スペシャル, 2010.06.27 放送)。このときはまだ「日本でも懸念される」という状況だったが、ついに台風12号によって発生してしまったようで。
- 台風１２号：紀伊土砂崩れ「深層崩壊」の可能性 (毎日, 9/7)
》スマホ用追跡アプリが騒動に　勝手に行動を監視される危険も (弁護士落合洋司　（東京弁護士会）　の「日々是好日」, 9/7)。カレログの件、落合弁護士の見解。

これについて、最近、刑法で新設された、不正電磁的記録供用罪（刑法168条の2第2項）が成立するのではないか、と考えている人もいますが、結論から言いますと、同罪は成立しない可能性が高いでしょう。(中略)
とは言え、産経の記事で私がコメントしているように、同意を十分得ないままこのアプリがインストールされ、知らないうちに追跡、把握されてしまうようなことが起きれば、プライバシー侵害といった民事上の問題は当然生じますし、そういったことが起きてしまうような状態のまま漫然とアプリを販売するようなことは、企業としても行うべきではないでしょう。

　さて、カレログですが、「彼氏追跡アプリ」から「れんあい支援アプリ」に衣替えしてますね。プラチナ会員向けサービスだった通話記録が消えてます。というか、プラチナ会員向けサービス自体が停止しているので、アプリ一覧もなくなっているはずなのですが、なぜかタイトル画像には残ってます。
- 旧 (http://megalodon.jp/2011-0830-1938-04/karelog.jp/ から)
- 新 (http://karelog.jp/ から)
　関連:
- #カレログ、メディアミックス展開を図っていた! しかし、そのムック本の内容は…!? そして、消えた「裏アプリ」とは? 高木浩光が迫る! (togetter, 9/6～)。随時改訂されている。
- McAfee様の弊社「カレログ」アプリの調査結果について (カレログ)。マカフィーの見解が記載されている。現在マルウェア認定されているのは version 1.0.0 だけだそうで。
  
  [バージョン1.1.0に関して]
  弊社の見解として、本アプリに関するセキュリティ上の懸念事項をご報告させて頂きます。
  ・　端末および端末所有者に関する下記3つの情報が本アプリにより
  　　御社サーバーに送信される仕様により、アプリ利用者だけではなく
  　　第三者である御社にも収集される仕様となっております。
  　　・位置情報
  　　・バッテリー情報
  　　・インストールされたアプリ一覧
  　　しかし、御社が上記の処理を行う点について端末所有者の同意を得る
  　　プロセスが存在していないため、御社は端末所有者の同意を得ずに情報を
  　　収集している状態になっております。
  ・　位置情報、バッテリー情報、インストールされたアプリ一覧の情報が
  　　本アプリにより自動的に送信されることについて、端末所有者が
  　　認識、および拒否することが出来ない仕様となっております。
  
  うわ、プラチナ会員向けサービスは停止しているのにアプリ一覧は取得しているのか……。
- 「カレログ」はマルウェア？　カスペルスキー氏に見解聞く (Internet Watch, 9/8)
》スマホを安全に業務利用するためのガイドライン、JSSECがβ版を公開し意見を募集 (日経 IT Pro, 9/7)。http://www.jssec.org/dl/guidelines2011_beta.pdf。
》目指すは「Rakuten CTF」 (エフセキュアブログ, 9/7)
》 Anonymous suspects bailed - banned from using online nicknames and IRC (Sophos, 9/7)
》 Is Your Car At Risk For Getting Hacked? (McAfee Labs Blog, 9/7)。答えはイエス。レポートが公開されたそうで。
》 Morto ワーム関連。前ねた
- マルウェア Morto に見る、強固なパスワードの重要性 (日本のセキュリティチーム, 9/6)
- JPCERT/CC Alert 2011-09-07　 Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起 (JPCERT/CC, 9/7)
》 Adding the Hyper-V role in Windows Server 2008 R2 may cause a Stop 0x5C on reboot if x2APIC is enabled (Microsoft KB 2616137)。Hyper-V をやめるか x2APIC をやめるか、どちらかを選ぶしかないそうです。
》 Event Tracing for Windows (ETW) Simplified (Microsoft KB 2593157)
》スタジオパーク　「本格化する原発事故の損害賠償」 (NHK 解説委員室, 9/7)
》東海? どこの東の海ですか?
- 木語：南は東か、はた西か＝金子秀敏 (毎日, 9/8)。似たような話がいろいろあるんですね。
  
  　「東海」は、韓国だけでなく、ベトナムの南シナ海、中国の東シナ海の名称でもある。韓国が使いたければ、中国とベトナムの了解もいるのではないか。「コリア・シー」にはもっと基本的な問題がある。この英語名を漢字表記では「朝鮮海」とするのか「韓国海」とするのか。とにかく海の改名外交は、混乱のもとだ。
　関連:
- 日本海が国際表記＝「東海」併記退ける－米国務省 (時事, 8/9)
- 米の「日本海」支持に当惑＝与党から反発、外交力に批判も－韓国 (時事, 8/9)
- サントリーが韓国焼酎『鏡月グリーン』ページで東海（日本海）と表記しネット上で物議 (ロケットニュース24, 8/19)
- ソウル・黒田勝弘　韓国内にも「東海」異論 (産経, 9/3)
- １７００年代の仏・英地図、東海を「韓国海」と表記 (東亜日報, 8/16)
- 記者の目：南シナ海領有権問題と日本＝佐藤賢二郎（ジャカルタ支局） (毎日, 9/1)
》インターネットが物理的に壊れる原因いろいろ (Geek なページ, 9/6)
》できる! Google 八分 (Google プレイス編)
- Google プレイス
- 自分の会社のGoogle Placeをモニタしていますか？ (エフセキュアブログ, 9/6)。はじめての方にもできる簡単な作業です。
  
  Googleはより良いツールと予防策（電子メールアラート）を提供することに取り組んでいるようだ。特にブロガーのMike Blumenthalと友人が、8月15日にGoogle本社を閉鎖してからは。
- Crowd-sourcing mischief on Google Maps leads customers astray (Sophos, 9/7)
》いま一番危ない脆弱性は何だ? ～2011年版～ (日経 IT Pro, 9/7)。やっぱり Java。
》三菱東京UFJ銀を装う不審メールに問い合わせ500件、実被害も発生 (日経 IT Pro, 9/6)
》 1パッケージでWin/Mac/Android対応、カスペルスキーがセキュリティソフト新版 (日経 IT Pro, 9/6)
》偽のトラストシールを使った偽の製品販売 (シマンテック, 9/6)
》夕刊フジが東スポ化？実は幸福の科学のふんどし担ぎ (やや日刊カルト新聞, 8/31)

「これ、読者は広告だなんて思わないでしょ。東スポでさえ、内容はインチキだったとしても、ちゃんと自前の宇宙人記事を載せる。宇宙人の記事だと思わせて広告でした、なんてことしないよ。広告記事を通常の記事のような扱いでふんどし（見出し広告のこと）に載せるなんて、夕刊紙の世界でも前代未聞じゃないの？　産経グループは、こういう手法を恥ずかしいと思わないくらいカネに困っているんだろうか。読者を騙してまで幸福の科学からの広告料がほしいのかね」（事情通）
》「A3」方面。講談社ノンフィクション賞、受賞おめでとうございます。
- 講談社ノンフィクション賞・講談社エッセイ賞・講談社科学出版賞 (講談社)
- 森達也氏『A3』の講談社ノンフィクション賞に弁護士らが抗議 (やや日刊カルト新聞, 9/4)。しかし抗議内容がショボい。
  
  　これに対して、森達也氏は本紙の取材に対してこう語ります。
  「僕が『A3』で展開した“弟子の暴走”論は、麻原一審弁護団の主張とは微妙に異なり、麻原と側近たちとの相互作用を前提に置いた暴走論です。無罪だなどと主張するつもりもないし、そもそもそんなことは書いていません。面会した信者たちが『暴走論』に違和感を表明したこともすべて書いています。麻原が水俣病かどうかとか他の指摘も含め、読んでいないのか、あるいは恣意的に誤読しているのかはわからないけれど、このレベルでは反論する気にもなれないです。
  抗議声明を出したと最初に聞いたときは、最も重要な論点である麻原の精神状態についての論議を交わすことができるのでは、と期待したけれど、そんな論点は抗議書のどこにもない。まあでも、こうして少しでも話題になることで『A3』を手に取る人も増えるでしょうし、これを機会に社会全般でオウムや麻原法廷についての議論や考察が始まるならば、僕としては大歓迎です」（森氏）
- 森達也氏「抗議のおかげでAmazonの順位が上がった」 (やや日刊カルト新聞, 9/8)
- 巻頭コラム　No.139 (森達也)
  
  でも抗議声明全文http://sky.ap.teacup.com/takitaro/を読み終えた感想を一言にすれば、やっぱり反論する気が失せた。
  麻原無罪を主張しているとか水俣病説を分析しないまま引用しているとか、これらの指摘に対して言えることは、「批判するのなら、ちゃんと『Ａ３』を読んでください」しかない。
》「神世界」方面
- 神世界詐欺事件・第3回公判、弁護人がぐだぐだ尋問 (やや日刊カルト新聞, 9/2)
- 本紙も脱帽！「神世界新聞」のカオス (やや日刊カルト新聞, 9/3)
  
  布教を決意したら偏差値が上がったのはめでたいことですが、御霊光を受けていたのに偏差値39だったわけですよね……。それでいいんでしょうか。
》「統一協会」方面
- “twitter統一選挙”カルトくんは失格！統一協会「差別用語だから」 (やや日刊カルト新聞, 8/25)
  
  この公募では「カルトくん」がダントツの票数を集めトップを走っていましたが、統一協会は＜「カルト」という言葉は差別用語＞との理由で、選考対象から除外しました。
- 「個人的にやってます！」名古屋で続く統一協会の偽装勧誘 (やや日刊カルト新聞, 8/31)
  
  “意識アンケート”の筈が何故か“GL文化センター”への同行を勧める勧誘員。(中略) 名駅ファーストビル2階が統一協会のビデオセンター“GL文化センター”だ。
- 統一協会が全国の地区長・教区長・教会長に出したサッカー大会“２万人動員”指示文書 (やや日刊カルト新聞, 9/4)
- 文春記事で窮地の統一協会、文藝春秋本社前で連日の抗議デモ (やや日刊カルト新聞, 9/7)
  
  　今月1日発売の週刊文春の記事“統一教会　日本から「4900億円送金リスト」を独占入手”で、数々の内部事情を晒された統一協会（統一教会）。
  
  週刊文春 9月8日号ですね。

■ いろいろ (2011.09.08)
(various)

Potential DoS with malformed TAG (rsyslog, 2011.09.01)。 rsyslog 4.6.8 / 5.8.5 で修正されている。 CVE-2011-3200
Bug 726691 - CVE-2011-2724 samba, cifs-utils: mount.cifs incorrect fix for CVE-2010-0547 (Red Hat, 2011.08.30)。 CVE-2010-0547 の修正ミス。CVE-2011-2724 として新たに修正。RHSA-2011:1220-1 (RHEL5)、RHSA-2011:1221-1 (RHEL6)。
Squid Proxy Cache Security Update Advisory SQUID-2011:3 - Buffer overflow in Gopher reply parser (squid-cache.org, 2011.08.28)。Squid 3.0.STABLE26 / 3.1.15 / 3.2.0.11 で修正されている。CVE-2011-3205
JVN#58019849: GTK+ における DLL 読み込みに関する脆弱性 (JVN, 2011.09.02)。2.21.8 で修正済。 CVE-2010-4831 (あれ、去年だ)

GTK+ DLL 方面には CVE-2010-4833 というのも出てます (これも去年だ)。2.24.0 で修正済。

■ OpenSSL Security Advisory [6 September 2011] Two security flaws have been fixed in OpenSSL 1.0.0e
(OpenSSL, 2011.09.06)

　OpenSSL 1.0.0e 出ました。2 件の欠陥が修正されています。山田さん、iida さん情報ありがとうございます。

特定の状況において、 nextUpdate フィールドが過去のものとなっている CRL を受け入れてしまう。 OpenSSL 1.0.0～1.0.0d の欠陥。 CVE-2011-3207
サーバ用の ephemeral ECDH (鍵対が一時的な楕円曲線 Diffie-Hellman) 暗号群のコードが thread-safe でないため、クライアントが間違った順序でハンドシェイクメッセージを送信すると crash する。 OpenSSL 0.9.8～0.9.8s、1.0.0～1.0.0d の欠陥。ただし 0.9.8 系列では ECCdraft は実験的サポートである。 CVE-2011-3210

　OpenSSL 0.9.8s というのはまだリリースされていないと思うのだが……。 http://www.openssl.org/source/ にもないし。

■ 2011.09.07

》東電の料金、高めに原価設定か　経営・財務調査委が指摘 (asahi.com, 9/6)。ボッタクリ疑惑。なにしろ天下の独占企業、それが可能な料金体系だからなあ。
》ガーディアンとLSEが8月の暴動を徹底解析 (tnfuk, 9/6)
》 TechCrunchでなにが起きているか (辺境社会研究室, 9/7)。ふぅん。
》再会、EMET (ITセキュリティのアライ出し, 9/7)。EMET 2 / 2.1 の解説。
》大阪弁護士会会館にＬＥＤ表示板？・・・目が点！ (弁護士のため息, 9/6)。どう考えても無駄装備なのだが。ゴジラよけのつもりなら、表示内容は「森永ミルクキャラメル」じゃないと駄目だよ!
》講師：津田大介、杉本誠司「ネット社会の新たな展開と法的問題について」生中継 (ニコニコ生放送, 9/8 放送予定)。開演 18:00。関連: 電問研シンポ (壇弁護士の事務室, 9/7)
》財団法人インターネット協会セキュリティ研究部会が、国際レベルのセキュリティ技術者・研究者発掘の為のサポートを開始～「Black Hat」での国際論文発表に向けたアドバイスと国内セミナーの発表機会の提供～ (インターネット協会, 9/1)。以下のサポートを行うそうで。鵜飼さん情報ありがとうございます。
1. 国際セキュリティ会議「Black Hat」への論文応募の際のアドバイス
2. 日本のセミナー「ブラックハットジャパンその後」での発表の機会提供
　これを受けての説明会が 9/12 に開催されるそうです: 国際レベルのセキュリティ技術者・研究者発掘の為のサポートセミナー (インターネット協会)。2011.09.12、東京都港区、無料。

■ 追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

　修正版つづき:

DSA-2298-2 apache2 -- サービス拒否攻撃 (Debian, 2011.09.05)。DSA-2298 が改訂されている。DSA-2298-1 には不具合があった模様。 [SECURITY] [DSA 2298-2] apache2 regression fix (Debian, 2011.09.05) によると:

The apache2 Upgrade from DSA-2298-1 has caused a regression that prevented some video players from seeking in video files served by Apache HTTPD. This update fixes this bug.
Vine Linux: 5.2 用、 6.0 用

Google の一部サイトに対して発行された不正な SSL 証明書の問題

　Windows / Firefox / Thunderbird / Seamonkey / Debian / FreeBSD 修正出てます。

Microsoft Security Advisory (2607712) Fraudulent Digital Certificates Could Allow Spoofing (Microsoft)。2011.09.06 付で更新されてます。日本語版ももうすぐ更新されるでしょう。

関連: アドバイザリ 2607712 更新 - DigiNotar 社のデジタル証明書を削除する更新プログラムを公開 (日本のセキュリティチーム, 2011.09.07)
Microsoft Security Advisory: Fraudulent digital certificates could allow spoofing (Microsoft KB 2607712)。Windows 用修正プログラム。 Windows XP / Server 2003 だけでなく、Vista 以降用もあります。 Microsoft Update / 自動更新で適用できます。 Windows XP / Server 2003 では再起動が必要。
Firefox と Thunderbird のセキュリティアップデートを公開しました (Mozilla Japan ブログ, 2011.09.07)。Firefox 6.0.2 / 3.6.22、 Android 版 Firefox 6.0.2、 Thunderbird 6.0.2 / 3.1.14 出てます。
SeaMonkey 2.3.3 出てます。
DSA-2300-2 nss -- 証明書発行機関からの不正なデジタル証明書 (Debian, 2011.09.05)。DSA-2300 が更新されてます。 DSA-2299 の方は更新されてません: DSA-2299-1 ca-certificates -- 証明書発行機関からの不正なデジタル証明書 (Debian, 2011.08.31)
FreeBSD の ports/security/ca_root_nss は 2011.09.04 付で更新されてます。最新版では ca_root_nss-3.12.11_1 がインストールされます。

　ハクった人が GlobalSign の名前を出したため、対応に追われている模様。

DigiNotar Hacker Comes Out (F-Secure blog, 2011.09.06)。日本語版: DigiNotarハッカーがカムアウト (エフセキュアブログ, 2011.09.06)
ComodoHacker's Pastebin、 Another status update message (pastebin, 2011.09.06)

I still have access to 4 more CAs, I just named one and I re-name it: GlobalSign, StartCom was lucky enough, I already connected to their HSM, got access to their HSM, sent my request, but lucky Eddy (CEO) was sitting behind HSM and was doing manual verification.
GlobalSign は証明書発行業務を一時停止。英語、日本語。g-pick さん情報ありがとうございます。

声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断し、詳細についての調査が終了するまですべての証明書の発行を停止させていただくことにいたしました。

関連記事: GlobalSign stops issuing SSL certificates in response to Iranian hacker (Sophos, 2011.09.07)

　関連:

DigiNotar社のルート証明書（Root CA）について (マカフィー, 2011.09.06)

McAfee Web Gateway ｖ6.x/ｖ7.x（*）は、デフォルトでDigiNotar社のルート証明書はインストールされておりません。
ただし、お客様にてDigiNotar社のルート証明書がインストールされていた場合は、下記手順にて無効化（信頼しない）または削除して頂けます様お願い申し上げます。
Microsoft revokes DigiNotar certificates from Windows, Mac users still vulnerable (Sophos, 2011.09.06)。そう、Apple の動きが皆無なのです。 Mac 利用者は、Firefox を使えばある程度回避できるようです。
イラン人の監視を目的？　オランダSSL認証局「DigiNotar」に不正アクセス (エフセキュアブログ, 2011.09.07)。Diginotar: Iranians - The Real Target (trendmicro blog, 2011.09.05) の邦訳版。

■ 2011.09.06

》リビア軍車両200台超がニジェール入国、大佐も合流か＝関係筋 (ロイター, 9/6)
》北電役員ら知事に２９７万円献金 (asahi.com, 9/6)
》【Global News】中国におけるサイバーセキュリティ：在英中国 Liu Xiaoming 大使インタビュー (LAC, 8/31)
》尖閣漁船衝突：明日１年　「英雄」船長、監視付きかごの鳥 (毎日, 9/6)
》ウイルス検索エンジン VSAPI 9.500 公開のお知らせ (トレンドマイクロ, 9/6)
》第３４回原子力委員会定例会議 (原子力委員会, 9/6)。興味深い。
- 水洗浄による放射性セシウム汚染土壌の除染方法について（石井慶造氏資料） (原子力委員会, 9/6)
- 福島第一原子力発電所事故に伴うCs137の大気降下状況の試算－世界版 SPEEDI(WSPEEDI)を用いたシミュレーション－（茅野政道氏資料） (原子力委員会, 9/6)
》溶けた燃料取り出し工程示す (NHK「かぶん」ブログ, 9/1)。東京電力(株)福島第一原子力発電所における中長期措置検討専門部会（第２回） (原子力委員会, 8/31) の、プール並びに炉心からの燃料取り出し作業のイメージについての件。

》公開された資料で判明　報じられなかったプルトニウム「大量放出」の事実 (現代ビジネス, 9/6)

このリストは福島第一原発事故直後から3号機が爆発した後の3月16日までに、どれだけの放射性物質が大気中に放出されたかの試算を原子力安全・保安院がまとめたものだ。それによると、放出された放射性物質は全部で31種類。そのなかには半減期が「2万4065年」のプルトニウム239や、ストロンチウム90なども含まれている。 (中略)
このリストで、私がより心配になったのは、内部被曝すると骨の中心にまで入り込んでしまうストロンチウムです。これまでいろんな研究者が土壌調査などをした結果を見て、さほどストロンチウムは放出されていないと安心していました。しかし、試算値を見るとまったく安心できない。セシウムに比べてストロンチウムは100分の1程度の量ですが、その危険性はセシウムの300倍と主張する科学者もいます」
(中略)
これほどの情報を隠していたのかと思うかもしれないが、実はこのリスト、保安院が6月6日の会見で記者たちに配布した資料の一部。

　これ: 東京電力株式会社福島第一原子力発電所の事故に係る１号機、２号機及び３号機の炉心の状態に関する評価について (経産省, 6/6)。以下、抜粋:

核種	1,2,3号機合計 [Bq]
Cs-134	1.8 * 10^16
Cs-137	1.5 * 10^16
Sr-89	2.0 * 10^15
Sr-90	1.4 * 10^14
Pu-238	1.9 * 10^10
Pu-239	3.2 * 10^9
Pu-240	3.2 * 10^9
Pu-241	1.2 * 10^12
I-131	1.6 * 10^17
I-132	4.7 * 10^14
I-133	6.8 * 10^14
I-135	6.3 * 10^14

　他にも興味深い記述いろいろ。

リスト自体は保安院のHPを探すと確かに公開されているが、何の情報もなく見つけるのは不可能。

　そう言うなら、URL くらい記載しようよ。

》ウイルスバスターコーポレートエディション 10.5 へのアップグレード時に"Webレピュテーション設定"の設定が引き継がれない現象について (トレンドマイクロ, 9/6)
》国内フィッシング事情(8月) クラックサイト再増加、再設置されるケースも (so-net セキュリティ通信, 9/2)
》ピックアップ＠アジア　「同時多発テロ１０年　変わる米の対テロ戦略」 (NHK 解説委員室, 9/1)
》時論公論　「揺らぐ地震と津波の想定」 (NHK 解説委員室, 9/1)

《最近の災害はすべて想定外だった》
》スタジオパーク　「雑居ビルの防火対策の新展開」 (NHK 解説委員室, 9/5)

《アナ》続いて、今日お伝えするのは、雑居ビルの防火対策です。この９月で、新宿歌舞伎町の雑居ビル火災から１０年になります。東京消防庁では、今年の４月から、悪質な違反をしたビルの名前を公表しているということですが？

《山崎》
　東京消防庁のホームページでビルの名前、住所、それに違反の内容などが公表されています。消防署でも公表されているビルの名前のリストを見ることができますし、協定を結んでいる地区の商店会にも連絡しています。
　（http://www.tfd.metro.tokyo.jp/kk/ihan/index.html）
》 OpenSSH 5.9 (OpenSSH.com, 9/6)。権限分離された子プロセスのサンドボックス化（実験段階）、SHA2 な HMAC への対応など。サンドボックスは、OpenBSD の systrace sandbox、Mac OS X/Darwin の seatbelt sandbox、その他用の rlimit sandbox に対応。Capsicum などへの対応は今後の課題みたい。
》東海テレビ検証番組に見るテレビ業界の体質 (コデラノブログ4, 9/5)。セシウムさん方面。文中、水道に例えて説明する場面があるためか、広告が水道栓になっている (笑)。
》「情報セキュリティ対策を自動化する標準仕様SCAP」セミナー開催のお知らせ～身近で使われているSCAP～ (IPA, 9/5)。2011.09.20、東京都文京区、1000円。
》 Googleへの提言―通称名による透明性と匿名による言論の自由を両立させる方法はある (techcrunch, 9/5)

■ 追記

Google の一部サイトに対して発行された不正な SSL 証明書の問題

　関連:

DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 (Internet Watch, 2011.09.06)。よくまとまっている。
DigiNotar audit - intermediate report available (SANS ISC, 2011.09.06)。http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1/rapport-fox-it-operation-black-tulip-v1-0.pdf
Operation Black Tulip: Fox-IT's report on the DigiNotar breach (Sophos, 2011.09.05)。黒いチューリップ作戦。
Diginotar: Iranians - The Real Target (trendmicro blog, 2011.09.05)

On August 29, 2011, the rogue Google.com SSL certificate issued by Diginotar was discovered. This rogue certificate makes snooping on Gmail traffic possible in man-in-the-middle attacks. Trend Micro has concrete evidence that these man-in-the-middle attacks indeed happened in Iran on a large scale.
グーグルのサーバー証明書が第三者の手に(1)～イランで「中間者攻撃」発生 (so-net セキュリティ通信, 2011.09.01)
グーグルのサーバー証明書が第三者の手に(2)～対応に追われるベンダー (so-net セキュリティ通信, 2011.09.01)
DigiNotar hacker comes out (F-Secure blog, 2011.09.06)
Windows root certificate program members (Microsoft KB 931125)。931125 更新プログラムの新版はまだ出てません。

■ 2011.09.05

》 UPS とか The Register とかの権威 DNS サーバがハクられた模様
- Several Sites Defaced (SANS ISC, 9/4)
- DNS hack hits popular websites: Daily Telegraph, The Register, UPS, etc (Sophos, 9/4)
- Service provider hacked (The Register, 9/5)
- Interviewed: the Turkish hackers whose DNS attack hit the Telegraph (Guardian, 9/5)
》サイバー犯罪撲滅をアピールへ＝中国の元ハッカー2人 (ウォール・ストリート・ジャーナル日本版, 9/5)。はぁ。
》リビア方面
- ロンドンの秘密石油戦争 (中東の窓, 9/2)
- 「新生リビア支援国際会議」(パリ, 9/1)
  - 早くも石油利権めぐる争い＝リビア再建会議 (ウォール・ストリート・ジャーナル日本版, 9/2)
  - パリでリビア支援国会議、国民評議会議長が演説 (CNN, 9/2)
  - リビア資産凍結、１兆円超解除へ　ＮＡＴＯ軍介入継続 (中日, 9/2)
  - リビア情勢 (中東の窓, 9/2)
    
    この点、２日の朝日朝刊によれば、日本は外相も決まっていないこともあり、外務省の中東局長とリビア大使が出席したと報じていましたが、おそらく国際的に最大の敗者は日本でしょう。日本の政治の劣化がここまで、その国際的立場を駄目にするとは嘆かわしいことです。民主党の政治主導などというスローガンの空しさが身に沁みます。
    国際政治もお祭り的なところがあり、何かの節目には然るべき責任者が出て行って、なんとなく景気のいいスピーチをするということも重要なのですが、今の日本にはそんな余裕はないのでしょうね？
- 国民評議会、トリポリでの統治はまだ＝リビア (ウォール・ストリート・ジャーナル日本版, 9/5)
- リビア・カダフィ政権のネット監視活動に外国企業が協力＝ＷＳＪ調査 (ウォール・ストリート・ジャーナル日本版, 8/30)
- 田中龍作ジャーナルのリビア現地レポート
  - 【リビア・ベンガジ発】カダフィに虐殺された親族、友人の遺影を探して (田中龍作ジャーナル, 8/28)
  - 【リビア発】軍事施設にカダフィ栄華のあとを見る (田中龍作ジャーナル, 8/29)
  - 【リビア発】　カダフィ紙幣を手放したいが… (田中龍作ジャーナル, 8/30)
  - 【リビア発】復学する反政府軍兵士「カダフィは教育に否定的だったので自分は先生になる」 (田中龍作ジャーナル, 9/1)
  - 【リビア発】米軍機が離着陸する日は秒読みに入った (田中龍作ジャーナル, 9/2)
  - 【リビア発】政治犯収容所　処刑された6万人のうち遺体発見は1万人 (田中龍作ジャーナル, 9/3)
  - リビア石油施設めぐる攻防は熾烈を極めた―ガス欠に泣く庶民 (田中龍作ジャーナル, 9/5)
》泊原発3号機「営業運転再開」の裏に北海道知事"高橋はるみ"と北電「ズブズブの関係」　北電の現役役員ら10人から献金が! しかも資金管理団体の代表は「前会長」が! (現代ビジネス, 9/2)
》 Morto ワーム関連。前ねた。
- Morto Worm Annoyances Outstrip Functionality (Webroot, 8/31)
- DNS レコードを利用する Morto ワーム (シマンテック, 9/1)
- TCP 3389番ポートへのスキャン通信の増加 (IBM Tokyo SOC Report, 8/31)
- 今そこにある危機、RDPの危機??? (ComputerWorld.jp, 9/5)
  
  ■Microsoft Network Monitor
  ［URL］http://www.microsoft.com/download/en/details.aspx?id=4865
  
  Network Monitorには「Experts」というメニューがあり、既定では何も入っていませんが、以下のWebサイトで公開されている「Network Monitor Experts」を追加インストールすることで、分析機能を拡張できます。「Top Protocols」というExpertsを使用すると、ネットワークトラフィックにおけるトラフィック分布を円グラフや時間軸のグラフで表示することができます。
  
  ■Network Monitor Experts
  ［URL］http://nmexperts.codeplex.com/
- More MORTO Infections Found (trendmicro blog, 9/1)
》ソニー、ACコンセント2個装備のホームエネルギーサーバー～300Whのリチウムイオン電池を内蔵 (家電 Watch, 9/5)。CP-S300E/W。「市場推定価格は15万円」。

内蔵の二次電池は、ソニー製のオリビン型リン酸鉄リチウムイオン電池で、1日1回の充放電で10年以上使用できるとしている。オリビン型リン酸鉄リチウムイオン電池は、内部ショート時の発熱が少ないため安全性が高いことと、結晶構造が壊れにくいため長寿命という特徴がある。容量は300Whで、LEDなどの照明器具で約10時間、40型以下の液晶テレビで約1～2.5時間、スマートフォンで約30回の充電が可能としている。電池の残り容量は、本体にある4つのLEDで表示される。
》 6～7月のネットバンク不正利用事件、トロイの木馬「SpyEye」感染に起因か？ (Internet Watch, 9/5)、コンピュータウイルス・不正アクセスの届出状況[8月分]について (IPA, 9/5)
》マカフィー、カレログをマルウェア (PUP; Probably Unwanted Program) として登録
- Android/Logkare.A (McAfee)
- Android/Logkare.A (マカフィー)
》クラウド時代はDNS Pinningが落とし穴になる (水無月ばけらのえび日記, 8/29)
》海の向こうの“セキュリティ”　第60回：韓国、金融機関のITセキュリティ担当者「5％ルール」　ほか (Internet Watch, 9/5)
》東海テレビ、不適切テロップ問題検証番組 (水無月ばけらのえび日記, 8/30)
》ますます重みを増すクラウド・セキュリティ　企業IT部門の対策が依然重要、ハイブリッド・クラウドの採用という選択も (ComputerWorld.jp, 9/2)
》ひかり電話ルータ（フレッツ光ネクスト用HGW）のIPv6パケットフィルタ 2 (cNotes, 9/3)
》 Oracle Security Forum 2011について　(1) (Security, time after time, 9/5)。2011.09.28、東京都港区、無料。
》レアアース：中国主要産地の３県、生産全面停止へ (毎日, 9/5)。とりあえず年末まで。
》 Google、24時間内の違法コンテンツ削除ツール提供などで著作権保護を強化 (日経 IT Pro, 9/5)
》世界で起こるサイバークライム (エフセキュアブログ, 9/5)。 Fatal System Error の邦訳本「サイバー・クライム」が 10 月に出るそうで。 amazon で予約できるのはいいのだけど、出版社名が記載されていない……。

　とりあえず予約した。そういえば、blog 記事のような画面は、JR の各駅でもよくたまに見かけますね。
》ナンバーワン企業弁護士を激怒させた『東電救済法案』　久保利英明「私はなぜ東電と本気で闘うことを決めたのか」 (現代ビジネス, 8/31)。関連:
- 想定外シナリオと危機管理―東電会見の失敗と教訓 (商事法務)。amazon や楽天では品切れみたいですが、紀伊国屋やジュンク堂にはふつうにありました。
- 想定外シナリオと危機管理－東電会見の失敗と教訓 (ビジネス法務の部屋, 7/11)
  
  本書を最後まで読み、ふと思ったことがございます。これだけ東電および東電の役員批判を痛烈に展開されているにもかかわらず、どうも「東電憎し」という印象が伝わってきません。著者は、これまでの電力会社の果たしてきた役割をご存じであるがゆえに、東電に完全に見切りをつけたわけではなく、むしろ東電の尻を叩いているのではないか？日本を支えてきた数々の経営者を輩出してきた名門企業だからこそ、荒治療を施してでも、名門復活のための体制整備が必要だと考えておられるのではないか、と思われます。

■ 追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

　Advisory の UPDATE 3 のドラフト版というのがあるようで:

http://people.apache.org/~dirkx/CVE-2011-3192.txt。ドラフト文書なので注意。 Apache 1.3 には「欠陥」はないとされている。記載されている Apache 2.2.19 / 2.0.64 への patch はまだ用意されていない。
Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL) (cNotes, 2011.09.03)。ログ取得のくふう。

　各ディストリから修正版が出ているが、CentOS 5.6 / 6.0 がややこしいことになっている (CentOS 5.7 / 6.1 のリリースが遅れているため)。

DSA-2298-1 apache2 -- サービス拒否攻撃 (Debian, 2011.08.29)
RHSA-2011:1245-1 (Red Hat, 2011.08.31)
[USN-1199-1] Apache vulnerability (Ubuntu, 2011.09.01)
[CentOS-announce] CESA-2011:1245 Important CentOS 4 i386 httpd - security update (CentOS, 2011.09.01)、 [CentOS-announce] CESA-2011:1245 Important CentOS 4 x86_64 httpd - security update (CentOS, 2011.09.01)

CentOS 5 用の修正は、 [CentOS-announce] CentOS-5.6 Continuous Release i386 and x86_64 を使って提供されるそうで。同様のしくみが CentOS 6.0 にも近々に用意されるのかな。

Google の一部サイトに対して発行された不正な SSL 証明書の問題

　Thunderbird 3.1.13 は出てます: Thunderbird 6.0.1 and 3.1.13 security updates now available (mozilla.org, 2011.08.31)。Firefox 6.0.1 Android 版はまだみたい。

　おおもとの Diginotar 話はさらに話がヤバくなっているようで。Google どころじゃない。

DigiNotar breach - the story so far (SANS ISC, 2011.09.01～)。あまりにもおかしい、あり得ないものが含まれている。
- *.*.com
- *.*.org
- Comodo Root CA
- CyberTrust Root CA
- DigiCert Root CA
- Equifax Root CA
- GlobalSign Root CA
- Thawte Root CA
- Verisign Root CA
偽SSL証明書問題でMozillaが対応を説明、DigiNotarの証明書は恒久的に削除 (Internet Watch, 2011.09.05)。 DigiNotar Removal Follow Up (Mozilla Security Blog, 2011.09.02) の解説。
SSL certificate debacle includes CIA, MI6, Mossad and Tor (Sophos, 2011.09.05)
Why Diginotar may turn out more important than Stuxnet (securelist.com, 2011.09.05)

This is the list of CA roots that should probably never be trusted again:
DigiNotar Cyber CA
DigiNotar Extended Validation CA
DigiNotar Public CA 2025
DigiNotar Public CA - G2
Koninklijke Notariele Beroepsorganisatie CA
Stichting TTP Infos CA
DigiNotar Damage Disclosure (torproject.org, 2011.09.04)

We're revoking trust for SSL certificates issued by DigiNotar-controlled intermediate CAs used by the Dutch PKIoverheid program.
Microsoft 方面:
- More on Microsoft’s response to the DigiNotar compromise (MSRC blog, 2011.09.04)
- Protecting yourself from attacks that leverage fraudulent DigiNotar digital certificates (Microsoft SRD blog, 2011.09.04)
Linux 方面:
- DSA-2299-1 ca-certificates -- 証明書発行機関からの不正なデジタル証明書 (Debian, 2011.08.31)、 DSA-2300-1 nss -- 証明書発行機関からの不正なデジタル証明書 (Debian, 2011.08.31)
- RHSA-2011:1248-1 (Red Hat, 2011.09.02)

■ 2011.09.04

》 VirusScan Enterprise 8.7i Patch5 適用環境にてブルースクリーンエラー (BSOD) がランダムに発生する (マカフィー VE11083101)。VSE 8.7i patch 5 は現在公開停止中だそうで。

　英語版: Random blue screen error after installing VSE 8.7 Patch 5 (McAfee KB72280)。書かれている内容が若干異なるので、該当者は両方読んでおこう。

Patch 5 introduced a timing issue where a McAfee thread decremented the counter on an object without verifying that it was the owner of that object. This can cause a blue screen error when the actual object owner legitimately releases its reference to the object and encounters an unexpected value. The faulting thread will be referenced in the bugcheck code, but is not actually responsible for the failure.

For customers with Patch 5 already installed

McAfee Engineering is developing a hotfix to resolve the issue. This hotfix will be made available through McAfee Technical Support before the end of Q3, 2011.

This article will be updated as additional release information becomes available.
》 Supported anti-virus, anti-spam, and anti-phishing test strings (McAfee KB57059)。ウイルス、spam、フィッシングのテスト文字列。
》 Mac OS X 10.7 (Lion) support with Security for Mac 1.1 (McAfee KB71832)。McAfee Security for Mac 1.1 build 1309 は Lion に対応。

If you are not using build 1309, McAfee recommends downloading and installing this latest build from the McAfee downloads site.
》 Hurricane Irene hits New York - Sunday 28 August 2011 (Guardian, 8/28)
》海底のヒ素、津波で岸に　東北大、岩手・宮城の３６地点 (asahi.com, 9/3)

　ヒ素の環境基準（水に溶け出すヒ素の量が１リットルあたり０．０１ミリグラム以下）を超えた地点があるのは岩手、宮城の両県。岩手県の大船渡港では基準の５倍超、野田村や宮城県の岩沼市と名取市で約４倍だった。土屋教授は「神経質になる必要はないが、４～５倍の地域では、がれき撤去時に吸い込まないよう、手袋やマスク、手洗いは必須」という。
》「国家指揮最高部を防衛せよ」、F16パイロットが見た米同時多発テロ (AFPBB, 9/3)
》シリア反体制デモ弾圧、1か月で500人近く死亡か拷問の証拠も (AFPBB, 9/1)
》米国で新種の豚インフル、子ども2人が感染＝ＣＤＣ (ロイター, 9/3)、豚由来の新種ウイルス、インフル患者から検出 (読売, 9/3)。人間に感染した豚インフルエンザ (H3N2) を調べたところ、インフルエンザ（H1N1）2009 の遺伝子の一部が含まれており、新種と認められたそうで。

　Swine-Origin Influenza A (H3N2) Virus Infection in Two Children --- Indiana and Pennsylvania, July--August 2011 (CDC, 9/2)

■ 2011.09.02

》ステガノグラフィとは (シマンテック, 9/2)
》ドーピング：伊藤が陽性反応　重量挙げ全日本Ｖ取り消し (毎日, 9/2)

　日本アンチ・ドーピング機構（ＪＡＤＡ）の決定によると、伊藤は競技後の検査で禁止物質の「ベタメタゾン」が検出された。伊藤らから事情を聴いたところ、花粉症の治療のために医師の処方を受けていた経口薬にベタメタゾンが含まれていたという。

　うわ……。
》ブレーキ外し自転車摘発　道交法違反容疑、中署が書類送検へ (中日, 9/2)。いいぞもっとやれ。
》彼氏追跡アプリ『カレログ』の公式サイトに“「カレログ」からのお詫び”が掲載 (ファミ通, 9/2)。しかし「彼氏追跡アプリ」の看板は下さない。
》落とし穴夫婦死亡、１・５ｍ超の穴掘り「違法」 (読売, 8/30)
》リビアの資産持ち出し詐欺はいつまで続くか (シマンテック, 9/1)
》電池
- パナソニック電工、3.2kWhの業務用リチウムイオン蓄電システム～18650バッテリを624本搭載し、500Wの機器を4.5時間駆動 (家電 Watch, 8/31)。UPS のかわりにはならないそうで。50Hz / 60Hz 両用でもないみたい。
- 因幡電機、2時間半で95%の急速充電ができる大容量リチウムイオン蓄電池～容量2.3kWhで、冷蔵庫5時間/ノートパソコン20時間稼働 (家電 Watch, 9/2)
》 NEC、“業界最高クラス”配光角330度の光が広がるE26口金LED電球 (家電 Watch, 9/1)。さらに白熱電球に近づきました。E17 口金なやつもつくってください。
》そこが知りたい家電の新技術　ダイキンのアイディア商品　睡眠をサポートする「ソイネ」と自動で節電する「ミハリモ」ができるまで (家電 Watch, 8/30)
》学生が無断コピー、入試成績表流出　神戸大大学院 (asahi.com, 9/2)。なんだそりゃd……。
》ザ・特集：「菅首相」なぜコケたか　同じ「市民運動出身」辻元衆院議員が語る (毎日, 9/1)
》福島第１原発：３キロ圏内・大熊町住民が初の一時帰宅 (毎日, 9/2)

　「二度と来ないだろうね」と夫妻。正友さんは続けた。「なんで国も県も町も、もっと早く（住めないと）言わねんだ。家が残っているから帰れると思う人が多いけど、こんな放射能じゃ無理だ」 (中略)
　中央体育館に戻った時、記者の線量計は２時間余で８４マイクロシーベルトを浴びたことを示していた
》中国の環境保護団体がまたアップルを批判―今度はサプライヤーの環境汚染問題で (ComputerWorld.jp, 9/1)
》ギニア湾の治安悪化 (国連情報誌ＳＵＮブログ対応版, 8/31)、ギニア湾 (weblio)
》データ集約は手作業でなく情報技術を使おう (Okumura's Blog, 9/2)
》 iPhone対応線量計Scosche RDTX pro ( http://t.co/slPO36h ) のツイートまとめ (togetter, 9/1)
》スマートフォンを安全に利用するために (日本のセキュリティチーム, 9/1)
》マルウエア配信サイトの動向分析、増加するIPクローキング (日経 IT Pro, 9/1)
》 Anonymous/LulzSec 方面
- LulzSec hacking suspect denied access.. to his girlfriend (Sophos, 8/31)
- Suspected hackers arrested over Anonymous/LulzSec internet attacks (Sophos, 9/1)。新たに 20 歳と 24 歳の男性が逮捕された。内 1 人は Kayla という人だそうで。
  
  Kayla, alongside the likes of Sabu, Topiary and Tflow, is considered to be one of the key figures in the LulzSec hacking gang.
  
  However, Kayla - who has claimed involvement in the hack against security firm HBGary - has presented herself online to be a giggly 16-year-old girl. Although Kayla has given interviews to the press in the past, "she" has always declined to use Skype to confirm an adolescent female voice.
  
  Many eyes will no doubt be on Kayla's Twitter account to see if any messages are posted following these most recent arrests.
  
  　Kayla @lolspoon。ちゅるやさんのアイコン……。
》 TCPViewを使い倒せ！～ネットワークポートの使用状況を確認する～ (ComputerWorld.jp, 9/2)
》 TrueCrypt 7.1 登場。Mac OS X 10.7 Lion に対応しています。

■ 2011.09.01

》 BIND 9.7.x/9.8.xのトラストアンカー自動更新機能の実装上のバグについて - バージョンアップを推奨 - (JPRS, 9/1)。~~BIND 9.6 以前は修正されないみたい。~~ そろそろ BIND 9.7 に移行するか。

　BIND 9.6 は対象外だそうです (情報ありがとうございます): セキュリティホールmemo読みました。すばやい掲載いつもありがとうございます。で、BIND 9.6系にはトラストアンカーの自動更新機能がそもそもないので、今回の修正の対象外です。＞ @kjmkjm さん (@OrangeMorishita Yasuhiro Morishita, 9/1)
》「防災の日」に考える　“想定外”と決別する (東京新聞, 9/1)

　大震災の大津波は決して“想定外”ではないが、東京電力福島第一原発の重大事故も同じである。東電は〇八年春、同原発が波高十メートルを超す津波に襲われる可能性があると試算済みなのに、大震災四日前まで経済産業省原子力安全・保安院にすら報告せず、対応策を取らなかった。
　東海地震切迫を唱えた石橋克彦・神戸大名誉教授（地震学）は、〇七年七月の新潟県中越沖地震で東電柏崎刈羽原発が損傷し、「原発震災」が現実に緊急課題になったと強く警告していた。
》今日は防災の日
- 防災の日：浜岡原発、津波想定訓練　都内は大規模交通規制 (毎日, 9/1)
  
  　菅直人首相の要請で原子炉が停止している浜岡原発では、津波で外部電源や非常用電源が喪失した事態に備える防災訓練を実施。東京電力福島第１原発の事故を受け、毎年実施している訓練に初めて全電源喪失への対応を追加した。
  
  冷温停止できずにメルトダウン、という訓練は、していないんだろうなあ。
- 防災の日：原発立地１０道県計画できず　福島事故被害大で (毎日, 9/1)
- 防災の日：列車停止を想定　ＪＲ東が避難誘導訓練 (毎日, 9/1)
  
  東日本大震災で課題となった帰宅困難者のための駅施設開放は盛り込まなかった。
- 防災の日：保安院も独自に　電源喪失を想定 (毎日, 9/1)
- 防災：商戦過熱…関連商品売り上げ、イオンは昨年の８倍 (毎日, 8/30)
》原子力安全・保安院：やらせ要請　東北電でも動員疑い　女川原発説明会で――中間報告 (毎日, 8/31)
》北電「やらせなし」翻す　国主催シンポ (asahi.com, 9/1)。やっぱり、やってました。
》時論公論　「中国空母保有の意味」 (NHK 解説委員室, 8/30)
》旧日本債券信用銀行粉飾決算事件
- 日債銀粉飾決算：旧経営陣３人に逆転無罪　差し戻し控訴審 (毎日, 8/30)
- 日債銀粉飾決算：破綻劇の責任、未解明　旧経営陣に無罪 (毎日, 8/30)
- 日債銀粉飾決算：巨額のツケは国民に　旧経営陣に無罪判決 (毎日, 8/30)
- 旧日債銀・粉飾決算：差し戻し控訴審無罪　金融行政矛盾あらわ (毎日, 8/31)
　警察・検察の経済オンチぶりがまた明らかとなった、ということなのかな。
》日本振興銀行
- 振興銀検証委が報告書＝竹中元金融相らがヒアリングを拒否 (JANJAN blog, 8/26)
- 自見金融相が竹中氏の法的責任に言及 (JANJAN blog, 8/30)
- 自見内閣府特命担当大臣閣議後記者会見の概要 (金融庁, 8/30)。日本振興銀行の件について質問しているのは「フリーランスの高橋」さんだけ。
  
  　竹中（元）大臣について、一つは竹中プラン（金融再生プログラム）に対して、前もそういう質問が出ましたが、実はこれは一切議事録がございませんが、竹中平蔵（元）大臣がある意味で個人的に温めていたプランを、報告書によれば、金融庁長官以下、金融庁職員は直接に参加しないまま、金融再生プログラムが発表と同時に金融庁に示達され、金融庁職員はそれに基づいて金融行政をやるよう命ぜられ、その内容を金融庁職員に説明したのは木村剛氏であったというふうに報告書には指摘をされております。
  　また、報告書によれば、竹中元大臣の金融再生プログラムの実施が至上命令であるかのような雰囲気の中で、銀行免許の迅速化の方針がプレッシャーとなって、免許交付に追い込まれたとの指摘がされております。
  　このような検証結果を踏まえて、竹中元金融担当大臣の責任は極めて重たいというふうに私は考えております。報告書の検証結果に鑑みれば、免許交付の決裁権者は竹中元金融担当大臣でございまして、道義的責任はより明らかになったと（思います）。
》発電所タンクに穴隠蔽、九電が点検データ捏造 (読売, 8/30)、九電の点検データ捏造、拒む業者にうそ強制 (読売, 8/31) 九州電力相浦発電所。
》１０万ベクレル以下の汚染焼却灰、埋め立て可　環境省 (asahi.com, 8/27)
　新指針では、８千ベクレル超～１０万ベクレル以下の焼却灰を埋め立て処分する場合、（１）セメントで固める（２）耐久性のある容器に入れる（３）隔離層を設けて水の浸入を防止（４）施設に屋根を付ける、などの方法で放射性物質の流出を防ぐことを求めた。

　関連:
- 放射性物質：７都県で焼却灰から暫定基準超えセシウム (毎日, 8/27)。暫定基準 = 8000Bq/Kg。
  
  焼却灰のうち、焼却炉内に残った「主灰」からは、福島県内の７施設で放射性セシウムが暫定基準を超えた。フィルターなど集じん設備から回収した「飛灰」からは、岩手２▽福島１６▽茨城１０▽栃木３▽群馬２▽千葉８▽東京１――の各施設で暫定基準を超えた。最も高い数値は、福島市内の焼却場で検出された９万５３００ベクレルだった。
- 福島第１原発：汚染がれき処理で焼却灰をセメント固化 (毎日, 8/31)
- 8,000Bq/kgを超え100,000Bq/kg以下の焼却灰等の処分方法に関する方針について(お知らせ) (環境省, 8/31)
- 時論公論　「汚染がれき・処理の課題」 (NHK 解説委員室, 8/31)
》福島原発：近くの５断層「考慮すべき」と新評価 (毎日, 8/30)。この件: 「平成23年東北地方太平洋沖地震を踏まえた新耐震指針に照らした既設発電用原子炉施設等の耐震安全性の評価結果の報告に係る原子力安全・保安院における検討に際しての意見の追加への対応について（追加指示）」に基づく報告について (東電, 8/30)。長い……。
》【８月３１日版：全国原発の運転状況は】 (NHK「かぶん」ブログ, 9/1)

運転を再開する原発がなければすべての原発が来年春までに止まることになります。
》 NSF 2011 in Kansai (JNSA)。 2011.10.05、大阪府大阪市、無料。
》ウィキリークスの z.gpg ファイルのパスワードが判明。ガーディアンの WikiLeaks 本に書いてあるのと同じだった! 復号・展開すると cables.csv が。中身は匿名化されていない外交公電文書生情報の模様。
- Cryptome
  
  Cryptome has decrypted the "z.gpg" file from the Wikileaks Archive using the passphrase obtained from several sources:
  
  ACollectionOfDiplomaticHistorySince_1966_ToThe_PresentDay#
  
  The decrypted file is "z.7z," 368MB, which unzips to "cables.csv," about 1.7GB in size, dated 4/12/2010.
  
  Download the z.gpg file and decrypt, or the decrypted "z.7z" file will be offered online or mailed on a DVD by request to cryptome[at]earthlink.net with the subject: z7z. For the DVD provide a postal address.
- ウィキリークスのパスワード流出　未編集の公電閲覧可能 (asahi.com, 9/1)
- cables.csv (wikileaks-forum.com)
- WikiLeaks statement: Guardian journalist negligently disclosed Cablegate passwords (wikileaks-forum.com)
- Wikileaks: Guardian journalist negligently published password to unredacted cables (Update: Guardian denies) (boingboing, 8/31)。日本語版である「ウィキリークス　アサンジの戦争」だと p.187 です。
- Unredacted US embassy cables available online after WikiLeaks breach (Guardian, 9/1)
》ウィキリークスが新文書公開、米当局は情報提供者の安全を懸念 (AFPBB, 8/31)。WikiLeaks から公開される外交公電文書は、元文書に記載されている「情報源の氏名」の情報を匿名化した上で公開されるはずなのだけど、最近公開されたものの中にはそれが十分になされていないものが存在する模様。情報源の生命が危くなる恐れがあるわけで。

　関連: ウィキリークスが機密扱いの情報提供者の実名を公表 (CNN, 9/1)。「少なくとも１７０件で」。

ウィキリークスが公開した外交文書の内容を検索するサイトなどで確認したところ、「機密扱い」と指定されていたにもかかわらず実名が公表されてしまった情報提供者は、中国の公害の研究者やシリアの人権活動家、トルコの金融関係者、ネパールのコカ・コーラ社幹部、英国会議員など数十人に上る。

　元記事: Flood of WikiLeaks cables includes identities of dozens of informants (CNN, 8/31)。cablesearch.org ですか。
》アップル、中国の偽造品に苦慮　告発サイトで実態判明 (CNN, 8/30)。WikiLeaks 経由。
》甲府市立甲府病院で子どもが最大 150mSv 以上の過剰医療被曝
- 検査で子ども１５０人が過剰被曝　甲府の病院 (asahi.com, 9/1)
  
  　同病院で１９９９年から今年までにこの検査を受けた１５歳以下の子どもに同医学会や日本放射線技師会など複数の推奨基準を超える量のテクネチウムが投与された。うち４０人が１０倍以上だった。
  　過剰投与された子どもたちの全身の内部被曝線量を算出すると生涯の推計で平均約３０ミリシーベルト。多い子で１５０ミリシーベルト以上だった。
- 子ども１５０人、過剰内部被曝 (asahi.com, 9/1)。こちらの方が詳細みたい。
  
  　過剰投与された子どもたちの全身の内部被曝線量を算出すると生涯の推計で平均約３０ミリシーベルト。多い子で１５０ミリシーベルト以上だった。
  (中略)
  　大半の子が腎臓の働きを調べる検査を受けており、腎臓に特化した影響を示す内部被曝線量の値は平均約３５０ミリシーベルト。約３７００ミリシーベルトに達した子もいた。
  
  実効線量 (全身についての値) で 30～150mSv、等価線量 (個々の臓器についての値) で 350～3700mSv ということかな。
- 過剰被曝「チェック態勢、機能せず」　甲府病院副院長 (asahi.com, 9/1)
- テクネチウム：放射性医薬を過剰投与、子供８４人に　甲府 (毎日, 9/1)
  
  　甲府病院によると、検査は「テクネチウム」などの放射性物質が入った薬剤を静脈注射して、脳や腎臓の働きなどを調べる。９９年から今年までに、１５歳以下の子供１４５人を検査し、うち８４人に対し、基準値を超える量を投与。４１人には１０倍以上を投与していた。
  
  　【ことば】テクネチウム
  　核医学検査を支える放射性同位元素。医療用の「テクネチウム９９ｍ」の半減期は約６時間で、他の同位元素より短い。この間に放出されるガンマ線をカメラ撮影することで、がんの有無や臓器の検査、アルツハイマー病の診断などに利用される。
- 放射性医薬品の過剰投与事故について（日本核医学会声明） (日本核医学会, 9/1)
- 市立甲府病院 (甲府市)
》 kernel.org がハクられた模様
- [kernel.org users] [KORG] Master back-end break-in (pastebin, 8/31)
- Site News: Security breach on kernel.org (kernel.org)
- kernel.orgへのハッキング、17日間rootkitが潜伏? (うさぎ文学日記, 9/1)
》殺人軽トラがとなりに　～　福島県いわき市小名浜の実態 (院長の独り言, 8/30)。十分な除染が行われていない車がそこかしこに存在するようで。 ES-GC01 は 200μSv/h までしか測れないはずなので、「荷台部分直上で 200μSv/h 以上」ということですかね。(ガイガーカウンターはジップロックなどに入れて使いましょう)

　3.11 後の日本では、自衛のためのガイガーカウンターが必須かなあ……。追記されていた記事、川崎港で輸出用中古車から放射線　業者「福島で登録」 (産経 MSN, 7/2) でも

　福島第１原発事故後、貨物を運搬する船会社が、自主的に放射線測定を開始。高い放射線量を検知したのは、南アフリカに向かう船に積み込む予定だった５００台のうちの１台だった。

自衛した結果わかったわけだからなあ。
》カレログなんてメじゃない、写真や音声まで取得する海外製アプリ (やじうま Watch, 9/1)
》次期固定翼哨戒機 P-1
- 次期哨戒機の機体にひび＝今年度の配備見送り－防衛省 (時事, 8/2)
- 機体に複数ひび割れの次期哨戒機、海自厚木基地で飛行試験再開へ/神奈川 (カナロコ, 8/19)
  
  　Ｐ１は、海自が約90機保有している現行のＰ３Ｃ哨戒機の後継機として開発している初の純国産哨戒機。日本周辺海域における他国艦艇の動向監視が任務で、本年度中に４機を導入する予定だった。
  　しかし、地上試験機２機の機体に圧力を加えて強度を調べた際、主翼や胴体に幅10～15センチの亀裂が数カ所見つかり、強度を高める改修が必要な状況が発生。地元自治体は、飛行試験を行う場合の住民不安解消の必要性を指摘していた。

[セキュリティホール memo]

[私について]