Last modified: Mon Mar 30 12:18:31 2015 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 有志連合とロシアの空爆を一緒にしてはいけない理由 イスラム国とシリア情勢、情報の正しい読み解き方(前篇) (JBpress, 12/30)
》 人類滅亡の序曲か?!米国沖でメタンハイドレート融解 (志葉玲 / Yahoo, 12/26)
》 楽天ID乗っ取られて自宅の宅配受け取りまで待ち構えられていた件 (togetter, 12/29)
「安田純平さんは無事」「武装勢力と対話可能」消息筋ー取材中拘束され、シリア各地転々 (志葉玲 / Yahoo, 12/24)
RSF withdraws press release about Jumpei Yasuda (Reporters Without Borders, 12/28)
【緊急翻訳】国境なき記者団 安田純平氏に関する報道発表を撤回(日英併記) (あべこべな世界で逆立ちすると何が見える?)
国境なき記者団「確認不十分」、安田さん拉致声明を撤回 (朝日, 12/29)
深センの土砂崩れ、あの爆発は何だったのか (JBpress, 12/29)。土砂崩れが先か、パイプライン爆発が先か。
深圳の土砂崩れで天然ガス・パイプライン損傷・漏出 引火爆発の兆候なし (新華網, 12/22)
》 「ナッツリターン防止法」韓国で成立 罰金大幅引き上げ (朝日, 12/29)
オーストラリア海軍の次期潜水艦購入交渉、仏DCNS社のバラクーダ型が最有力候補に浮上 (Business Newsline, 10/28)
豪に高性能潜水艦提案=仏防衛大手 (ウォール・ストリート・ジャーナル日本版, 11/18)
日本の潜水艦、豪州へ売り込み最終提案へ-独仏と三つどもえ (ブルームバーグ, 11/19)
豪潜水艦の受注競争:“技術を全て共有してもいい” どうしても受注したい日本の思惑とは (NewSphere, 11/21)
日本による調査捕鯨再開、オーストラリア政府首脳からは批判・潜水艦購入交渉への影響も (Business Newsline, 11/30)
オーストラリアの次期潜水艦購入交渉は当初は、日本が提案するそうりゅう型潜水艦が有利に進んでいたが、日本を推していたトニー・アボット首相が退陣し、マルコム・ターンブル首相が就任すると状況は一転し、現在は、フランスのバラクーダ型が最有力候補となっている。
豪に潜水艦計画提出 日本、独仏と受注競争 (東京, 12/1)
南シナ海 共同防衛想定 防衛省 豪潜水艦計画で示唆 (東京, 12/2)
首相代われば官僚も…豪州で「悲喜こもごも」人事の季節 (朝日, 12/3)
現職の首相内閣府次官は、マイケル・ソーリー氏だ。昨年12月、当時首相だったアボット氏に抜擢(ばってき)された。(中略) ソーリー氏は、現在、日本とドイツ、フランスの間で売り込みを競っている「次世代潜水艦」をめぐり、アボット氏に「ぜひ日本製を」と進言した1人と言われている。(中略)
ところが今年11月24日、ターンブル首相は「ソーリー氏が民間部門へ戻ることを希望し、来年1月に次官を辞めると伝えてきた」と発表。わずか1年余りでの「次官辞任」のニュースで、キャンベラ中に衝撃が走った。
【潜水艦輸出計画】国民の同意は得ていない (高知新聞, 12/7)
潜水艦受注なら豪の技術者育成を 防衛相 (日経, 12/9)。そこから始めなければならない。
「武器輸出反対」でネットワーク 学者らが組織発足 (カナロコ, 12/18)、 オーストラリアに潜水艦を売るな!~とめよう「死の商人国家」への道 (レイバーネット, 12/17)、 オーストラリアに潜水艦を売るな!「武器輸出反対ネットワーク」発足記者会見(動画) (IWJ, 12/17)。
日豪首脳会談 首相、潜水艦の共同開発働き掛け (東京, 12/19)、 豪首相初来日、安倍首相が最新鋭潜水艦トップセールス 仏提案に巻き返し図る (zakzak, 12/18)
日本が今月、二年ぶりに南極海での調査捕鯨を再開したことについてターンブル氏は深い失望と懸念を伝えた。
南氷洋での調査捕鯨は、百害あって一利なし オーストラリアとの同盟強化のほうが重要 (文谷 数重 / 東洋経済, 12/21)
中国との対峙において、オーストラリアとの同盟は欠かせない。中国海軍の外洋進出は続く。それに対峙し、同時に日本海上輸送を保護するためには日本も外洋にでなければならない。将来的にマラッカ海峡の西側、その迂回路となるスンダ、ロンボク、サペ、オンバイ海峡の外側への展開も必要となるだろう。そのためには根拠地の提供が必要となるが、貸してくれそうな国はオーストラリアしかない。
また、経済的利益も捕鯨の比ではない。風向きは悪いものの、オーストラリアは日本の潜水艦を買う可能性がある。その潜水艦計画でも4兆円規模とされている。仮に現地建造となるにせよ設計や専用構造材の販売、建造支援は相当の利益を産む。同時に航海、操舵、火災・浸水対処用の実物大シミュレータも売れる。さらにその後の整備や改装でも日本の造船業にお金が落ちてくる。
日本政府はなぜオーストラリアへの潜水艦売り込みを見限ったのか? 日本の政治過程を支配しているのは「既得権益」 (Business Newsline, 12/23)
オーストラリアへの潜水艦輸出交渉を積極的に進めてきた日本の安倍政権が、正式な応募条件提出を前に、南氷洋での調査捕鯨を再開することで、事実上、潜水艦輸出を見限る選択を行ったことが、オーストラリア政界で様々な憶測を呼んでいる。
潜水艦、日独仏が激しい価格競争 豪の次期選定手続き (東京, 12/26)、 豪潜水艦選定、日独仏が激しい価格競争 日本優位の見方も (産経, 12/26)
無理して取るとひどいことになりそうな気がしてならないんだよなあ。
》 ロシアの北方領土軍事基地、今は大山鳴動して鼠一匹 汚職で建設が進まないが、装備近代化後は日本に大きな影響も (JBpress, 12/17)
というわけで、APSB16-01 - Security updates available for Adobe Flash Player (Adobe, 2015.12.28) が出ています。CVE-2015-8459 CVE-2015-8460 CVE-2015-8634 CVE-2015-8635 CVE-2015-8636 CVE-2015-8638 CVE-2015-8639 CVE-2015-8640 CVE-2015-8641 CVE-2015-8642 CVE-2015-8643 CVE-2015-8644 CVE-2015-8645 CVE-2015-8646 CVE-2015-8647 CVE-2015-8648 CVE-2015-8649 CVE-2015-8650 CVE-2015-8651 を修正。 0-day は CVE-2015-8651。
Flash Player 20.0.0.267 / 18.0.0.324 (Extended Support) / 11.2.202.559 (Linux) 、AIR 20.0.0.233 に更新を。でも Windows Update 経由の IE 版はまだ流れていないような気が。 Windows Update しても更新されない場合は、セキュリティのために、Internet ExplorerでFlash Playerを一時的に無効化する (@IT, 2015.03.16) 等で回避した方がよさげ。
Internet Explorer (IE) / Edge 用の Flash Player 20.0.0.267 / 18.0.0.324 に不具合があったようで、更新版が公開されてます。
| プラットホーム | バージョン |
|---|---|
| Desktop Runtime (Windows) | 20.0.0.270 |
| Extended Support Release (Windows) | 18.0.0.326 |
| Windows 10 の Internet Explorer 11 / Edge | 20.0.0.272 |
Windows 8 / Server 2012 / RT の IE 10、 Windows 8.1 / Server 2012 R2 / RT 8.1 の IE 11 については 20.0.0.267 のままです。不具合事例:
Flash Player 20.0.0.267 - ActiveX Embedding Issue (Adobe Community)
Microsoft Windows(KB3132372)セキュリティ更新プログラムインストール後の不具合 (Microsoft コミュニティ, 2015.12.30〜)
》 リベンジポルノの削除に実績、ヤフーら民間主導の通報窓口、海外サイトにも連絡をとって削除実現 (Internet Watch, 12/28)
》 2015年 セキュリティ記事一覧 (Internet Watch)
》 川口洋のセキュリティ・プライベート・アイズ(57): Web広告からのマルウエア感染「Malvertising」にどう対処すべきか (@IT, 12/21)
》 慰安婦問題めぐり日韓合意「最終的かつ不可逆的な解決」 (朝日, 12/28)、 日韓外相が記者発表した内容 慰安婦問題めぐり合意 (朝日, 12/28)。参院選に向けて、こういうのをぶつけてきましたか。 US からの圧力も両国政府に対してずいぶんあったのだろうけど。
①慰安婦問題は、当時の軍の関与の下に、多数の女性の名誉と尊厳を深く傷つけた問題であり、かかる観点から、日本政府は責任を痛感している。
広義の関与を認めつつ、狭義の関与があるかどうかはあいまいに。
②日本政府は、これまでも本問題に真摯(しんし)に取り組んできたところ、その経験に立って、今般、日本政府の予算により、全ての元慰安婦の方々の心の傷を癒やす措置を講じる。具体的には、韓国政府が、元慰安婦の方々の支援を目的とした財団を設立し、これに日本政府の予算で資金を一括で拠出し、日韓両政府が協力し、全ての元慰安婦の方々の名誉と尊厳の回復、心の傷の癒やしのための事業を行うこととする。
請求権問題を回避しつつ、アジア女性基金の教訓からも学び、うまくまとめた感じ。
③日本政府は上記を表明するとともに、これらの措置を着実に実施するとの前提で、今回の発表により、この問題が最終的かつ不可逆的に解決されることを確認する。
あわせて、日本政府は、韓国政府と共に、今後、国連等国際社会において、本問題について互いに非難・批判することは控える。
「最終的かつ不可逆的に解決」「国連等国際社会において、本問題について互いに非難・批判することは控える」は、大きな成果だよなあ。
②韓国政府は、日本政府が在韓国日本大使館前の少女像に対し、公館の安寧・威厳の維持の観点から懸念していることを認知し、韓国政府としても、可能な対応方向について関連団体と話し合いを行い、適切なかたちで解決するよう努力する。
ぶっちゃけ先送りだが、いきなり排除するのはどう考えても無理だしなあ。
》 福島原発事故 積み上がる除染廃棄物 (毎日, 12/10)。フレコンバッグの山また山。
動画:中国工業団地、土砂崩れ発生の瞬間 (AFPBB, 12/22)
Satellite Images Show Shenzhen Landslide Site over Time (WSJ, 12/22)
中国・深センで土砂崩れ 写真特集 (時事)
中国モデル都市の光と影、土砂崩れで鮮明に (ウォール・ストリート・ジャーナル日本版, 12/28)
4階相当まで赤土 深セン土砂崩れ、人災ふたたび (朝日, 12/22)
土砂崩れ1週間 当局、批判回避に躍起、人災と断定 (毎日, 12/27)
深センの土砂崩れ、残土管理関係者が自殺=現地警察 (ロイター, 12/28)
》 陸自情報漏えい 渡部博幸陸将ら3人を戒告処分 (毎日, 12/22)。 「渡部博幸陸将(57)=陸上幕僚監部付=ら現役の陸上自衛官3人を戒告の懲戒処分」「渡部陸将は同日付で依願退職」。 関連:
陸上自衛隊元幹部、ロシアのスパイ容疑で逮捕秒読みか 警視庁と防衛省の対立が先鋭化 (Business Journal, 6/6)
「防衛省サイドとしては、『手渡した資料は基地の売店で誰でも購入できるもので機密性はない。かつ白昼堂々と手渡しているのだから、スパイではなく単なる社交的な関係』と主張しているようです。一方の警視庁は、『スパイは誰でも入手できる情報を要求し、次第に要求を高めていく。A氏もこのようなかたちで狙われていた』との姿勢を崩していません」
「教範」=「基地の売店で誰でも購入できるもので機密性はない」
陸上自衛隊 教範 (ヤフオク!)。「教範」は、ヤフオクでふつうに買える程度のものです。
陸自元幹部、ロシアへ資料漏洩容疑 書類送検へ (朝日, 11/21)
自衛隊の現役大物幹部、ロシアへの機密情報漏洩に関与疑惑!警視庁が書類送検の動き (Business Journal, 11/30)
結局、新聞各紙が報じた通り、この防衛省と警察庁の利権争いについては、泉元総監と泉氏にテキストを渡した陸自関係者を書類送検するということで警察の勝利で決着がついたかのように見えた。
しかし、警察はいまだ、防衛省への最後の一撃を準備しているという声が聞こえてくる。
「新聞報道では、泉元総監と現場レベルの陸自関係者が書類送検されると書かれていましたが、警視庁は、陸上自衛隊富士学校の学校長という、陸上作戦の要の将官までも書類送検する方針です」(公安担当記者)
(中略)
「泉氏が総監の時に部下として勤務していたのが、現在の富士学校長です。コワレフ武官に手渡したテキストは、実は泉氏が富士学校長に頼んで入手したもの。
渡部博幸 (admiral3166.ddo.jp)、 将人事 (防衛省, 8/4)、 将人事 (防衛省, 12/4)、 将人事 (防衛省, 12/22)
陸自元幹部らを4日に書類送検 ロシアへ資料漏洩の疑い (朝日, 12/4)、 元陸自幹部ら書類送検 ロシア側に情報漏えい容疑 警視庁公安部 (産経, 12/4)
元陸将ら7人を起訴猶予 ロシア武官への情報漏洩事件 (産経, 12/18)。書類送検された 7 人全員が起訴猶予となっている。
》 ツタヤ図書館解約を 海老名市民が地裁に提訴 (カナロコ, 12/25)
》 中国 反テロ法を可決…暗号化キー提供求める (毎日, 12/27)
法律の条文は公開されていないため、現段階では詳細は不明な部分が多い。
しかし、草案は「テロの偽情報や、模倣犯を誘発するようなテロ事件の詳細を報じてはならない」と規定していた。報道されないことで、当局による法執行がさらに不透明になる恐れがある。新疆ウイグル自治区など少数民族地域で起きた事件の報道統制につながる可能性もありそうだ。
さらに中国で営業する会社に対し、中国国内にサーバーを置くことやユーザーに関する情報も中国国内で保存することを規定。やり取りの記録を司法機関に提出し、テロに関するネット上のコンテンツを検閲することも義務付けられていた。
訂正報道に現れるメディアの質 元支局長無罪判決 産経もすべきことがあるのでは (日本報道検証機構, 12/23)。産経のダブルスタンダードを厳しく指摘。
しかし、無罪となった理由は、記事に問題がなかったからではなく、情報通信網法という特別刑法の犯罪の成立要件である「誹謗する目的」を満たさないと判断されたからにすぎない。記事が言及したウワサの内容は「虚偽」と認定され(3月の公判で認定され、加藤元支局長も「異議を唱えない」と表明)、「虚偽かもしれない」という未必の認識があったとも判断された。「誹謗する目的」を要件としない一般刑法の名誉毀損罪であれば危うかった。こうした裁判所の事実認定に対し、産経は紙面で全く異論を述べていなかった。しかし、虚偽のウワサを載せたと認定されたニュースサイトの記事は、1年4ヶ月以上たった今も何ら訂正せず掲載されたままなのである。
読売新聞によると、加藤元支局長は記者会見で記事の問題点を韓国メディア記者に問われ、「ウワサと断って取り上げるのに、ためらう理由はない」と反論したという。そんなジャーナリズムの考え方は聞いたこともない。ウワサと断っても真偽不明のまま流布すれば、それを誤信して広まる例は枚挙にいとまがない。ウワサとわかっても信じてしまう人が少なからず出る、それがウワサの本質である。もちろんウワサを一切取り上げてはならない、ということではない。しかし、とりわけ名誉・信用にかかわる内容のウワサを取り上げる場合、その内容が「虚偽」だと明記したり、信憑性を否定する有力な情報を記さなければ、名誉・信用毀損のおそれが出る。そもそも、故・吉田清治氏の「慰安婦狩り」証言を繰り返し報じた朝日新聞に対し、「真偽不明」にしたまま明確に訂正することなく放置し、国際社会に「慰安婦の強制連行」の誤ったイメージを拡散させてきたと強く批判してきたのは、ほかならぬ産経新聞ではなかったか。
産経前支局長の無罪判決 ソウル中央地裁の判決要旨 (朝日, 12/17)
日韓、無罪の力学 異例の配慮要求も 産経前支局長判決 (朝日, 12/18)
産経前支局長の無罪確定へ ソウル中央地検が控訴断念 (朝日, 12/22)
「異例の要請」判決2日前 産経前支局長裁判で韓国当局 (朝日, 12/27)。判決に影響を与えたくはないが、何もしていないと思われたくもなかったと。
産経前支局長 無罪判決「中傷の目的なし」…ソウル地裁 (毎日, 12/17)
産経前支局長 裁判争点「コラムは事実か」「公益性有無」 (毎日, 12/17)
産経前支局長 無罪判決の要旨 ソウル中央地裁 (毎日, 12/17)
産経前支局長 「無罪は予想できなかった」会見で本音 (毎日, 12/17)
産経前支局長 韓国司法、政治色強く 無罪判決 (毎日, 12/17)
産経前支局長 無罪確定へ 韓国検察が控訴断念 (毎日, 12/22)
産経前支局長 (毎日)
「検察が過剰反応」「バカ起訴」 産経前ソウル支局長の無罪、韓国メディアはどう伝えた? (ハフィントンポスト, 12/17)
》 木語 不思議な香港少女=金子秀敏 (毎日, 12/24)。「ちびまる子ちゃん イタリアから来た少年」がアレだった模様。
外国から来た子のなかに「香港のシンニーちゃん」がいる。予告編のミニ語学講座で、香港語の「ありがとう」は「謝々(シェイシェイ)」だと教える。香港人はがっかり。
香港で日常使われる言語は広東語で、ありがとうは「多謝(トーチェ)」。「謝々」は大陸で使われる標準中国語だ。香港人は疑った。「シンニーはきっと香港から来た子ではない」
オリジナルはもう見れないっぽいけど、ぐぐるとコピーが出てきますね。
「ちびまる子ちゃんを(広東語の)テレビで見て育った香港のファン」の抗議文をネットで見た。「香港人にとって(香港の言語は北京語だという)この動画は我々の文化と母語に対する侮辱」と広東語と日本語で書いてある。
これか: https://zh-hk.facebook.com/poonchoiyingchi/posts/504096926431070
関連: 映画ちびまる子ちゃん、香港のありがとうを「謝謝」と北京語で紹介して香港人を怒らせる (NAVER まとめ, 12/24 更新)。鋭意修正中?
》 MRJ、納入さらに 1 年遅れる予定。 「認識の甘さ」「経験不足」。
MRJの初号機、1年納入延期 18年中頃にANAへ (AviationWire, 12/24)
岸副社長「経験不足」特集・MRJはなぜ納入遅れになるのか (AviationWire, 12/25)
実際に試験を進めていく中で、結果を機体に反映する期間の見通しや試験の進め方に対する認識の甘さが、今回の納入延期につながった。
機体の強度不足の改修は、従来のスケジュールの範囲で進んでおり、納入遅延の要因は強度不足ではなく、冒頭の「50年ぶりの開発」による経験不足によるもの、というのが岸副社長による説明の要旨だった。
MRJ、4度目の延期 商用化へ不安 「2018年」納入は本当に実現するのか (日経ビジネス, 12/25)
MRJが4度目の納入延期、今回の理由は何か 三菱重工業、開発費3000億円の回収に暗雲 (東洋経済, 12/26)
今回の延期でエンブラエル E2 との差がさらになくなり、たいへんまずい状況に。
》 法務省、桜井誠・在特会前会長にヘイトスピーチするなと勧告。 桜井誠氏の名を出しているのは朝日とハフィントンポストのみ?
ヘイトスピーチ、人権侵害と認定 法務省、在特会前会長に勧告 (朝日, 12/23)
「ヘイトスピーチ中止を」法務省が初勧告、在特会前代表の桜井誠氏に (ハフィントンポスト, 12/22)
ヘイトスピーチ 元在特会代表に「脅迫的な言動しないで」 (毎日, 12/23)
》 『安倍政権が犯した7つのミス』 邦訳完全版 (勝見貴弘 / twishort, 2/10)
》 泳ぐ「ダイオウイカ」撮影に成功 富山湾 (NNN, 12/24)
》 「爆買い、ピークは過ぎた」 象印マホービンの市川社長 (朝日, 12/25)。「今秋からは前年割れ」「11月は推計で前年同期の3割減」
》 「社会保険労務士による不適切な情報発信」に関する会長声明 (全国社会保険労務士会連合会, 12/25)。「社会保険労務士に対する国民の皆様からの信用を失墜させるものであり、到底容認できるものではない」。
》 橋下徹に最後まで転がされ、尻尾をふり続けた大阪の新聞とテレビ局…退任会見の醜態をあらためて振り返る! (リテラ, 12/27)
》 「TSUTAYA図書館」が著作権侵害で炎上? 海老名市立図書館のホームページに問題(追記あり) (篠原修司 / Yahoo, 12/27)。透かしの入った画像をわざわざ改竄して盗用するなど。悪質すぎる。
関連: 2015.12/26海老名市立図書館の著作権侵害メモ (togetter, 2015.12.27)
》 アベノミクス史上最低の経済政策確定=日本の1人当たりGDPが過去最低のOECD20位、民主党政権時から2割以上落ち込む(2014年) (editor, 12/26)
》 弊社製品のコードサイニング証明書における対応方針について (トレンドマイクロ, 12/24)
》 dnscat2 0.05: with tunnels! (SkullSecurity, 12/24)
》 Are you looking to setup your own Malware Sandbox? (SANS ISC, 12/5)、 IRMA is an asynchronous and customizable analysis platform for suspicious files! (quarkslab.com)
》 ISP情報を表示して偽のサポート窓口へ誘導する詐欺サイトに関する注意喚起 (IIJ-SECT, 12/25)
》 TOMOYO Linux 1.8.5 / AKARI 1.0.35 が公開されました。 (熊猫さくらのブログ, 12/25)
》 An update on SHA-1 certificates in Chrome (Google, 12/18)
》 HTTPS ページが優先的にインデックスに登録されるようになります (Google, 12/18)
》 ダブル選挙「維新完勝」、大阪はなぜ橋下徹に騙されたのか? あの空気を作り出したものの正体、そして共犯者とは? (リテラ, 11/23)
》 「2015年度情報セキュリティに対する意識調査」報告書について (IPA, 12/24)
》 Using WPScan: Finding WordPress Vulnerabilities (sucuri, 12/23)
》 顧客中心主義へと進化するボットネットを利用した「インサイダー取引」が拡大(パート1) (McAfee Blog, 12/14)、 (パート2) (McAfee Blog, 12/21)
》 さくらインターネットとテックビューロ、ブロックチェーン実験環境を無償提供へ (日経 IT Pro, 12/16)、 さくらインターネットとテックビューロ、ブロックチェーンの実証実験環境「mijinクラウドチェーンβ」を金融機関やITエンジニア向けに無料提供 ~本日より申込受付を開始し、2016年1月から順次提供~ (さくらインターネット, 12/16)
》 運転中止の山手線E235系、1両18トンの重りで停止ソフトを再検証 (日経 IT Pro, 12/24)。明日 12/27 から。
2015年春以降の試運転では、乗車率40%分の水タンクを積んで試運転を行ったが、それより乗車率が高い場合については試運転ではなく、コンピュータ上のシミュレーションのみを実施していた。年末年始の試運転では、乗車率200%に相当する1両当たり約18トン分の重りを積んで、INTEROSの動作を再度検証する。
関連:
Infocon Yellow: Juniper Backdoor (CVE-2015-7755 and CVE-2015-7756) (SANS ISC, 2015.12.21)。ああ、こんなわかりやすい表があったのか。
First Exploit Attempts For Juniper Backdoor Against Honeypot (SANS ISC, 2015.12.22)
サンリオタウンからデータベースが流出? (2015.12.22)
SanrioTownのデータベース露出についてまとめてみた (piyolog, 2015.12.23)
Back to 28: Grub2 Authentication 0-Day (Back to 28, 2015.12.14)。patch あり。
Grub2の認証でバックスペースを28回押すとレスキューコンソールに入れる脆弱性が発見された (本の虫, 2015.12.16)
VMSA-2015-0009 - VMware product updates address a critical deserialization vulnerability (VMware, 2015.12.18)。 vRealize Orchestrator 6.x, vCenter Orchestrator 5.x, vRealize Operations 6.x for Windows, vCenter Operations 5.x for Windows, vCenter Application Discovery Manager (vADM) 7.x に欠陥。 今のところ vRealize Orchestrator 6.x, vCenter Orchestrator 5.x の patch が用意されている。
PMASA-2015-6 - Full path disclosure vulnerability (phpMyAdmin, 2015.12.25)。 phpMyAdmin 4.0.10.12, 4.4.15.2, 4.5.3.1 で修正されている。
JVNVU#98704210 - ISC Kea DHCP サーバにサービス運用妨害 (DoS) の脆弱性 (JVN, 2015.12.24)。攻略パケットによって remote から DoS 攻撃が可能。 Kea 0.9.2-P1, 1.0.0-beta2 で修正されている。 CVE-2015-8373
CVE-2015-7551: Fiddle と DL における tainted 文字列使用時の脆弱性について (Ruby, 2015.12.16)。 Ruby 1.9.[23] と 2.0.0 は DL と Fiddle に、それより後のには Fiddle に欠陥。 CVE-2009-5147 で直した件が、DL を Fiddle と libffi を使って再実装する過程で再発。 CVE-2015-7551
Ruby 2.0.0 patchlevel 648、2.1.8、2.2.4 で修正されている。 Ruby 1.9.[23] はサポート終了しているので直らない。 Fiddler については回避策が記載されている。 また Ruby 2.0.0 系のサポートは 2016.02.24 までなので注意。
JVN#50775659 - CG-WLBARAGM がオープンプロキシとして機能してしまう問題 (JVN, 2015.12.25)。修正ファームはない。コンテンツフィルター機能を無効にすることで回避できる。
JVN#51349622 - CG-WLBARGS における認証不備の脆弱性 (JVN, 2015.12.25)。WAN 側含め、remote から管理画面に無認証で接続できる模様。修正ファームはない。 リモート接続機能を無効にするなどで影響を軽減できる。
JVN#51250073 - CG-WLNCM4G がオープンリゾルバとして機能してしまう問題 (JVN, 2015.12.25)。修正ファームはない。単体での回避・軽減策もない。 コレガの言いぶんはこう:
2) 対策
1. インターネットと対象製品との間にブロードバンドルータを設置し、インターネットから53番ポートへのアクセスを制限する。
2. 問題ないことが確認されている製品に置き換える。
ぶっちゃけ、捨てた方がよい。
JVN#64636058 - WinRAR における実行ファイル読み込みに関する脆弱性 (JVN, 2015.12.17)。WinRAR 5.30 beta 5 で修正されているそうで。 5.30 は正式版が 2015.11.24 に出ている。
》 ドイツ、ネット企業3社とヘイトスピーチ削除に関して合意 (CNET, 12/16)。Facebook、Twitter、Google。 ドイツ国内法に基づいて、というところがポイントらしい。
ヘリ発注訴訟 国、351億円支払い確定 富士重工に 最高裁 (毎日, 12/18)。AH-64D の件。
富士重勝訴でも晴れない防衛調達費の不透明 防衛省の調達システムは問題が多すぎる (清谷 信一 / 東洋経済, 12/20)
富士重、特別利益482億円 16年3月期業績を上方修正 (日経, 12/24)
》 オラクル、古いJavaのユーザーに警告することで合意--FTCとの和解で (CNET, 12/25)
今回の合意に基づき、Oracleは合意から10日以内にTwitterとFacebook上に、「IMPORTANT INFORMATION REGARDING THE SECURITY OF JAVA SE」(JAVA SEのセキュリティに関する重要な情報)というメッセージと、FTCに訴えられた理由を説明する書簡へのリンクを投稿する必要がある。
またOracleのメッセージがユーザーに届かない場合に備えて、FTCは独自のJava警告キャンペーンを実施する。
》 Tor Browser 5.0.6 is released (Tor Project, 12/17)。iida さん情報ありがとうございます。
》 スキーW杯でのドローン落下、「意図的なもの」と判明 (AFPBB, 12/24)。故障を検知したため破壊手順を実施したら、競技者の直近に落ちてしまった模様。
》 Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 (葉っぱ日記, 12/25)
》 朝日新聞平成27年12月24日朝刊の記事について (筑摩書房, 12/24)。 本の値引き、仁義なき攻防 アマゾン「脱再販・直取引を」 書店は締め付け、出版社戸惑い (朝日, 12/24) の件。この記事、筑摩にちゃんと取材せずに書かれた模様。
筑摩書房創業75周年記念企画「読者謝恩価格本セール」(本年12月から2016年3月までの期間限定)の割引販売を当社では春から予定しておりました。(中略) お蔭様で約100書店様からのご参加があり (中略) その中に、アマゾンジャパンも参加した、というのが正確な表現になります。つまり、「参加するのは筑摩書房」と記事にはありますが、そうではなく、当社の読者謝恩価格本セールに「アマゾンジャパンも参加した」というのが、事実です。
amazon の企画に筑摩が参加したのではなく、筑摩の企画に amazon が (amazon も) 参加したと。
この謝恩価格本セールは今回が初めてではなく、過去(2001年、2002年、2011年)にも行なってまいりました。直近の2011年にもアマゾンジャパンには参加していただいておりますし、他の複数の書店様にも同様に参加していただいてまいりました。
昨日今日はじまった話ではないし、amazon だからという話でもないと。
記事全体をざっと読みますと、筑摩書房が率先して「脱再販」に加担しているような文脈として読めてしまいますが、上記「謝恩価格本セール」は、再販売価格維持制度の弾力的運用の一つである「時限再販」の一形態です。(中略) むしろ、再販を護持するための方策の一つであると理解し、小規模ながら率先して実施してまいりました。
方向が全く逆と。
Critical 0-day Remote Command Execution Vulnerability in Joomla (2015.12.15)
Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 (徳丸浩の日記, 2015.12.18)
Firefox 43.0 / ESR 38.5.0 公開 (2015.12.17)
Firefox 43.0.2 が公開されました (リリースノート)。「MFSA 2015-150 - MD5 signatures accepted within TLS 1.2 ServerKeyExchange in server signature」 (リンク先はまだないみたい) が修正されているそうです。 iida さん情報ありがとうございます。
また Firefox 38.5.1 が 2015.12.21 付で (リリースノート)、 38.5.2 が 2015.12.22 付で (リリースノート) 公開されてました。 セキュリティ修正は無いようです。
まとめなおし。
オフィシャル:
市職員による個人情報の流出について(9月13日掲載) (堺市, 2015.09.13)
市職員による個人情報の流出について (堺市, 2015.12.14)
12/14 の報道:
堺市 全有権者68万人分の個人情報流出 (毎日, 2015.12.14)
大阪府堺市、有権者68万人の個人情報が流出、職員がデータを持ち帰りレンタルサーバーにアップロード (Internet Watch, 2015.12.14)
堺市、通報者をほったらかし?
堺市、通報者に3カ月間確認せず 有権者情報流出問題 (朝日, 2015.12.25)
市によると、「不審情報」と題したメールが届いたのは6月24日夜。検索サイトで通報者が指定する文字列で検索すれば「様々なデータが表示される」と指摘し、「実際のデータの場合、適切な対応が必要かと考えます」とあった。
通報者はその4日前に東京のネットセキュリティー対策を手がける団体に同様の通報をしており、サーバー会社を通じて連絡を受けた元職員は、市が検索を試みる前日の23日にサーバーからデータを消去。市は個人情報の流出を確認できず、通報者にも確認や協力を求めなかったという。
ん? 市職員による個人情報の流出について(9月13日掲載) (堺市) では次のようになっているのだが。
調査を行ったところ、本市職員が作成したと思われるメール文書や事務マニュアルなどの情報が、インターネット検索サイトにキャッシュ(※)として残されていることを確認しました。
(中略)
翌6月25日(木曜)以降、市では、インターネット検索サイトへのキャッシュの削除依頼を行うとともに、当該職員が作成したと思われるメール文書を分析した結果、本市職員が自ら開発した選挙システムを他の自治体や民間企業に対して売り込もうとしていた疑いがあることが分かり、当該職員への聴き取り調査を進めてまいりました。
この状況で、通報者に問いあわせなかったと?
当該流出情報に直接アクセスしたのは通報者のみ?
調査結果の報告(12月14日掲載) (堺市) のこの部分:
個人情報を含むことが確認された184ファイルに外部からアクセスがあったのかどうかを確認するため、これら184ファイルと解析したアクセスログを照合した結果、184ファイルに対して延べ55回の外部からのアクセスがあったことを確認しました。これら延べ55回のアクセスログを分析した結果、IPアドレスから検索ロボットによるアクセスが延べ29回、通信事業者(プロバイダー)を介したアクセスが延べ26回であることを確認しました。このうち検索ロボットによるアクセスについては、海外企業の検索ロボットからのアクセスであることを、また、通信事業者(プロバイダー)を介したアクセスについては、モバイル事業者とケーブルテレビ事業者から契約者に割り当てられた2つのIPアドレスからのアクセスであることを確認しました。
このうち、約68万人の有権者データに対してアクセスしたものは1人(1種類のIPアドレス)に限定されており、そのIPアドレスは特定されています。なお、2つのIPアドレスからアクセスされた日時や経路、アクセスされたファイルから、外部からアクセスした者は1人である可能性が高いと考えています。
また、現在のところ、インターネット上への個人情報の流出による2次被害の発生は確認されていません。
堺市情報流出、外部アクセスは通報者?1回のみ (読売, 2015.12.18)
流出の全有権者情報、接続は1人か 堺市、接触図る (朝日, 2015.12.20)
当該流出情報の一部が YouTube にも掲載されていたことが判明。
堺市 情報流出、女性2人情報が「ユーチューブ」にも (毎日, 2015.12.25)
元課長補佐、女性2人の住所など動画投稿サイトに配信 (産経, 2015.12.25)
映像は元課長補佐が24日に削除したが、数十回再生されていた。2人は投稿時、既に死亡しており、市は親族に謝罪する。
堺市個人情報流出事件の対応について、通報者?さんの指摘 (togetter, 2015.12.27)
》 福井大大学院教授を懲戒解雇 パソコン部品の売却金を不正取得 (福井新聞, 10/9)。CPU やグラフィックカードを個別購入した上で転売し、金儲けしていたと。
再発防止策として、取得価格が10万円未満の物品は消耗品扱いとしてきたが、CPUなど換金性の高いものは備品と同様に帳簿管理し、必要に応じて物品調査を行うとした。
「換金性の高いもの」をどのように定義するんでしょうね。 ちなみに龍谷大学では、「消耗品」は 1 万円未満です。
》 グーグル、HTTPSページを優先して登録するよう検索のインデックスシステムを調整 (Internet Watch, 12/21)
》 運転打ち切りの山手線新型電車「E235系」、ソフトのバグで電車が止まる時代に (日経 IT Pro, 12/17)。「IT トレイン」E235 系の解説。
Firefox 43.0 / ESR 38.5.0 公開 (2015.12.17)
Thunderbird 38.5 が公開されました。
リリースノート: 38.5.0。
セキュリティアドバイザリ: 英語版アドバイザリ だと 5 件、 日本語版アドバイザリ だと 6 件の欠陥が修正されている、ことになっている。
ダウンロード: Thunderbird
サンリオタウンからデータベースが流出? (2015.12.22)
データベースが公開状態であったことが確認された模様。 現在は対応されているそうで。
[続報]サンリオの香港出資先、最大330万人の個人情報をネットで公開 (日経 IT Pro, 2015.12.23)
データを格納するサーバーのIPアドレスを知っていれば、誰でも最大330万人分の個人情報をインターネット上で閲覧できた状態だった。
サンリオ「会員情報の流出ない」 可能性指摘後の調査で (朝日, 2015.12.23)
Security Advisory: Corrected a vulnerability involving personal information of SanrioTown.com members (Sanrio Digital, 2015.12.22)
》 2015年はデータセンターにおけるSSD利用の終わりの始まりだった、研究でわかったSSDの抱える問題点とは? (gigazine, 12/21)
》 拉致被害者家族の蓮池透さんが会見【全文1】、 (THE PAGE / BLOGOS, 12/21)、 【全文2】 (THE PAGE / BLOGOS, 12/22)
》 「イソジン」が、カバくんに別れを告げた理由 明治、看板商品を襲うライセンス解消の衝撃 (東洋経済, 12/21)。そういうことだったのか。
トレードマークの「カバくん」は明治だけに残る。そのため、明治は今後カバくんを前面に押し出したプロモーションを行う。
》 Apple、特許使用料としてエリクソンにiPhone、iPad売上の0.5%を支払う (iPhone Mania, 12/21)。すごい額。
》 電球ソケットに取り付けるライブカメラ、最大10台をスマホで管理 (Internet Watch, 12/22)。E26 口金。
》 中国で見つかった最強の抗生物質コリスチンに耐性を持つ細菌がついに他国にも飛び火 (gigazine, 12/22)
》 今回の夫婦同姓合憲判決は保守的に見えて相当ラジカルな意見だよって話 (togetter, 12/18)、 平成26年(オ)第1023号 損害賠償請求事件 平成27年12月16日 大法廷判決 (裁判所)
関連: 夫婦別姓 各国の状況は?
》 特集1 正しく知って! 生活保護 日弁連がパンフレット作成 (民医連, 5/30)、 あなたも使える生活保護 (日弁連)
》 FFRI、標的型攻撃対策ソフト「FFR yarai」の教育機関向け特別ライセンスを提供 (Internet Watch, 12/18)
》 Microsoft, 最新の Windows 10 アップデートで SmartScreen を拡張、ドライブバイダウンロードへの耐性を強化
Evolving Microsoft SmartScreen to protect you from drive-by attacks (Windows Blog, 12/16)
Unlike existing SmartScreen protection from socially engineered attacks, drive-by attacks need to be detected and prevented before any web content is parsed and rendered. To avoid impacting browsing performance, SmartScreen helps protect against drive-by attacks by using a small cache file created by the SmartScreen service. This cache file is periodically updated by your browser to help keep you protected and to ensure that calls to the SmartScreen service are only made if we believe there’s a high probability of malicious content on a page.
SmartScreen サービスが作成する小さなキャッシュファイルを使う。 キャッシュファイルはブラウザが定期的に更新。
MS、ドライブバイダウンロード攻撃への対策をWindows 10のEdgeとIE 11に搭載 (Internet Watch, 12/18)
》 ニューヨーク州のダム管理システムが 2013 年にイランのハッカーにやられていた? WSJ のスクープみたい。
Iranian Hackers Infiltrated New York Dam in 2013 (WSJ, 12/20)
米NY州のダム、ハックされていた イランからの攻撃か (CNN, 12/22)
》 Appleが反対するイギリスの暗号化禁止法案の持つ危険性 (gigazine, 12/22)
》 金融審議会「決済業務等の高度化に関するワーキング・グループ」報告の公表について (金融庁, 12/22)
金融・IT融合に対応したイノベーション
企業の成長を支える決済サービスの高度化
決済インフラ改革(「5つの改革」)
仮想通貨への対応
だそうです。関連:
仮想通貨業者を登録制に 金融庁審議会 (NHK, 12/22)
》 山梨大大学院教授を懲戒処分 (NHK, 12/21)
50代の女性教授 (中略) 大学によりますと (中略) 部下の助教が妊娠中に出血しても学生の指導に当たらせたほか、助教が流産したと報告すると退職を促す内容の発言をした (中略) 感情的な叱責を繰り返し行い、学生の指導を助教に任せ、指導教員としての責任も果たさなかった
ひでえ。
大学では (中略) 「パワーハラスメント」にあたるとして、「減給半日」の懲戒処分
半日! なんじゃそりゃ。 関連:
助教に 女性教授を減給 山梨大 /山梨 (毎日, 12/22)。「大学院総合研究部医学域の50代の女性教授」 「2010年10月ごろから」
助教にパワハラ行為 女性教授を減給処分 (山梨県) (NNN, 12/21)。 「5年前から当時30代の女性の助教に対し」
山梨大学 医学部・ 医学系大学院 (山梨大学)
Microsoft updates Trusted Root Certificate Program to reinforce trust in the Internet (2015.12.18)
当該 Microsoft 記事 が、改訂されたことを示さないまま改訂された。削除対象一覧が削除され、 別ページに移された。 セコムさんの他にも、Certigna、Ceska Posta、LuxTrust が削除されている。 ひどいな……。
Certigna。トップにこの件に関する記載あり。
Ceska Posta。何もない?
LuxTrust Global Root (LuxTrust, 2015.12.18)
あと、サイバートラストさんが解説ページを公開している:
Microsoft 社によるルート証明書の削除に関する発表につきまして (サイバートラスト, 2015.12.22)
本ルート証明書を利用するサービスはすべて提供終了し、不要となりました。そのため、Microsoft 社にて同ルート証明書を削除いたします。
震源地:
Database leak exposes 3.3 million Hello Kitty fans (CSO Online, 2015.12.19)。研究者 Chris Vickery 氏によると、 サンリオタウン sanriotown.com のデータベースが流出しているのを発見したと。
The database houses 3.3 million accounts and has ties to a number of other Hello Kitty portals. (中略) The records exposed include first and last names, birthday (encoded, but easily reversible Vickery said), gender, country of origin, email addresses, unsalted SHA-1 password hashes, password hint questions, their corresponding answers, and other data points that appear to be website related.
流出データベースに 330 万アカウント。 氏名、誕生日、性別、国籍、電子メールアドレス、ソルトなし (!) の SHA-1 ハッシュ化パスワード、パスワードのヒント、対応する回答、関連するデータポイント。
Vickery also noted that accounts registered through the fan portals of the following websites were also impacted by this leak: hellokitty.com; hellokitty.com.sg; hellokitty.com.my; hellokitty.in.th; and mymelody.com.
影響範囲は sanriotown.com にとどまらないと。
Update 2: Earlier this afternoon, Chris Vickery confirmed that the three IP addresses that were disclosing user information have been secured. The issue wasn't a hack, but a misconfigured MongoDB installation.
ハッキングではなく、MongoDB の設定ミスだと?!
関連:
「ハローキティ」ファン330万人分のデータが漏えいか (CNET, 2015.12.22)
サンリオから情報流出か、ハローキティサイトのDB見つかる (ITmedia, 2015.12.22)
サンリオ「個人情報流出」報道にコメント、「香港の出資先・ライセンス供与先と確認中」 (インターネットコム, 2015.12.22)
サンリオ、330万件の情報漏洩との報道に「調査中」と回答 (日経 IT Pro, 2015.12.22)
データベースが公開状態であったことが確認された模様。 現在は対応されているそうで。
[続報]サンリオの香港出資先、最大330万人の個人情報をネットで公開 (日経 IT Pro, 2015.12.23)
データを格納するサーバーのIPアドレスを知っていれば、誰でも最大330万人分の個人情報をインターネット上で閲覧できた状態だった。
サンリオ「会員情報の流出ない」 可能性指摘後の調査で (朝日, 2015.12.23)
Security Advisory: Corrected a vulnerability involving personal information of SanrioTown.com members (Sanrio Digital, 2015.12.22)
SanrioTownのデータベース露出についてまとめてみた (piyolog, 2015.12.23)
》 われわれは「公器としての新聞」の終焉の瞬間を目撃しているのではないか・特権まみれの新聞社が軽減税率適用で失う最後の砦とは (ビデオニュース・ドットコム / BLOGOS, 1219)
》 女子高校生AI「りんな」がTwitterを始める……LINEグループにりんなを召喚する新機能など、日本MSがりんなの秘密を紹介 (Internet Watch, 12/18)
》 陸自、ブッシュマスター装甲車を公開。 オーストラリア製。
Bushmaster (Thales)
THALES BUSHMASTERを防衛省が導入へ (アシナガバチの巣作り日記, 2014.04.21)
自衛隊、邦人輸送の特殊車両を公開 (TBS, 12/17)
自衛隊が邦人輸送訓練 輸送防護車「ブッシュマスター」公開 (産経, 12/17)
》 HTTPステータスコード451(政治的な検閲)が正式に承認される (本の虫, 12/20)
元ネタは、Ray BradburyのFahrenheit 451(華氏451)というタイトルの小説で
おぉぅ……
Juniper ScreenOS に 2 件の重大な欠陥。
無認可の攻撃者が、remote から Juniper 機器に管理者権限でアクセスできる。 ScreenOS 6.3.0r17 〜 6.3.0r20 に影響。 CVE-2015-7755
VPN トラフィックを解読できる。 ScreenOS 6.2.0r15 〜 6.2.0r18 および 6.3.0r12 〜 6.3.0r20 に影響。 CVE-2015-7756
ScreenOS 6.2.0r19, 6.3.0r21 で修正されている。 関連:
Juniper Finds Backdoor that Decrypts VPN Traffic (threat post, 2015.12.17)。またしても NSA の影?
CVE-2015-7755: Juniper ScreenOS Authentication Backdoor (Rapid7, 2015.12.20)。バックドアパスワードが明らかに。
fox-srt/juniper-cve-2015-7755.rules - Snort coverage for Juniper ScreenOS backdoor (GitHub)
関連:
Some Analysis of the Backdoored Backdoor (.:rpw:., 2015.12.21)。VPN 解読の件、PRNG が糞ってことですか。
On the Juniper backdoor (A Few Thoughts on Cryptographic Engineering, 2015.12.22)
Update for Customers (Cisco, 2015.12.21)
Juniperのバックドアにログイン試す動きが急増、Ciscoも調査開始 (ITmedia, 2015.12.24)
関連:
Infocon Yellow: Juniper Backdoor (CVE-2015-7755 and CVE-2015-7756) (SANS ISC, 2015.12.21)。ああ、こんなわかりやすい表があったのか。
First Exploit Attempts For Juniper Backdoor Against Honeypot (SANS ISC, 2015.12.22)
Microsoft updates Trusted Root Certificate Program to reinforce trust in the Internet (2015.12.18)
この件だが、セコムさんについては全くの誤報だった模様:
マイクロソフト社のブログ記事について (セコムトラストシステムズ)
当社は毎年webtrustのガイドラインに従い厳正に審査を受けており、当社のルート認証局がマイクロソフト社が認定するリストから削除対象となることはございません。
当該のブログに記載された内容は、当社の監査報告を担当した監査法人がwebtrustのサイトに公開する際に誤ったリンク先を指定したため発生したものです。
H さん、水野さん、iida さん情報ありがとうございます。 当該部分については打ち消し線を引きました。 当該 Microsoft 記事 はまだ直ってないけど、そのうち直るのでしょう。 memo を読んだ人からセコムさんへの問いあわせが大量に行ったのだそうで。 追記が遅くてすいません _o_
》 焦点:東シナ海で日本版「A2AD]、中国の海洋進出を封じ込め (ロイター, 12/18)
10月末から11月中旬に陸・海・空の統合訓練を行った自衛隊は、本土のミサイルを南西諸島に初めて空輸しようとした。しかし、福岡県の築城基地から沖縄県の那覇基地まで、空自の輸送機が陸自の中距離ミサイルを運ぼうとしたところ問題が発生した。
危険物の輸送方法を定める国連勧告に従い、陸自が空自に事前申請したのは燃料の入っていないミサイルだったが、実際に運ぼうとしていたのは燃料を搭載したミサイルだった。燃料入りのものを運ぶ準備をしていなかったため、カラのまま運ばざるをえなかった。
「自衛隊は各地に部隊がいるが、輸送、ロジスティクス(兵たん)に問題がある」と、安倍内閣で14年9月まで防衛相を務め、自衛隊の統合運用を進めた小野寺五典衆院議員は言う。「陸・海・空、それぞれ整備や給油の仕方が違う。陸だけで使っていれば不便ではなかったことが、共同使うと問題が出てくる」と指摘する。
まだまだこれから。
》 北朝鮮モランボン楽団の中国公演中止、原因は舞台背景のミサイル (AFPBB, 12/18)、 「牡丹峰楽団の北京公演ドタキャン、習主席の出席取りやめが原因」 (朝鮮日報, 12/18)。こういう流れみたい。
リハーサルを確認したら、背景に長距離ミサイル発射シーンが。
↓
中国側が削除を要求。北朝鮮側は拒否。
↓
中国側、習氏の出席を取りやめ。
↓
北朝鮮側、公演を中止。
Trusted Root Certificate Program の要求をより厳しくした結果、いくつかのルート CA が離脱を表明したみたい。2016.01 に Trusted Root CA Store から削除されるのは:
| CA | Root Name | Thumbprint |
|---|---|---|
| |
|
|
| |
|
|
| CyberTrust | Japan Certification Services, Inc. SecureSign RootCA1 | CABB51672400588E6419F1D40878D0403AA20264 |
| Japan Certification Services, Inc. SecureSign RootCA2 | 00EA522C8A9C06AA3ECCE0B4FA6CDC21D92E8099 | |
| Japan Certification Services, Inc. SecureSign RootCA3 | 8EB03FC3CF7BB292866268B751223DB5103405CB | |
| DanID | DanID | 8781C25A96BDC2FB4C65064FF9390B26048A0E01 |
| E-Certchile | E-Certchile Root CA | C18211328A92B3B23809B9B5E2740A07FB12EB5E |
| e-Tugra | EBG Elektronik Sertifika Hizmet Saglayicisi | 8C96BAEBDD2B070748EE303266A0F3986E7CAE58 |
| E-Tugra Certification Authority | 51C6E70849066EF392D45CA00D6DA3628FC35239 | |
| |
|
|
| Nova Ljubljanska | NLB Nova Ljubljanska Banka d.d. Ljubljana | 0456F23D1E9C43AECB0D807F1C0647551A05F456 |
| Post.Trust | Post.Trust Root CA | C4674DDC6CE2967FF9C92E072EF8E8A7FBD6A131 |
| |
|
|
| |
|
|
| |
|
|
| Serasa | Serasa Certificate Authority I | A7F8390BA57705096FD36941D42E7198C6D4D9D5 |
| Serasa Certificate Authority II | 31E2C52CE1089BEFFDDADB26DD7C782EBC4037BD | |
| Serasa Certificate Authority III | 9ED18028FB1E8A9701480A7890A59ACD73DFF871 | |
| Wells Fargo | WellsSecure Public Certificate Authority | E7B4F69D61EC9069DB7E90A7401A3CF47D4FE8EE |
| WellsSecure Public Root Certification Authority 01 G2 | B42C86C957FD39200C45BBE376C08CD0F4D586DB |
CyberTrust のは、日本認証サービス から移管されたものみたい。ルート証明書について (日本認証サービス) に記載されている SecureSign RootCA1 を含む 3 件。 SecureSign RootCA11 については今後も維持されるのかな。
Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs) (Microsoft)。PDF ファイル には、CyberTrust ではなく Japan Certification Services, Inc (JCSI) で記載されている。
JCSI ルート リポジトリ (CyberTrust)
SECOM Trust Systems のは、現状 4 つ登録されているようだけど、その内 3 つをやめるということでいいのかな。
E5DF743CB601C49B9843DCAB8CE86A81109FE48E というのは残るみたい。
消えるのはこの 3 つっぽい:
Security Communication RootCA1
(SSL-Tools)
Security Communication RootCA2
(SSL-Tools)
Security Communication EV RootCA1
(SSL-Tools)
この件だが、セコムさんについては全くの誤報だった模様:
マイクロソフト社のブログ記事について (セコムトラストシステムズ)
当社は毎年webtrustのガイドラインに従い厳正に審査を受けており、当社のルート認証局がマイクロソフト社が認定するリストから削除対象となることはございません。
当該のブログに記載された内容は、当社の監査報告を担当した監査法人がwebtrustのサイトに公開する際に誤ったリンク先を指定したため発生したものです。
H さん、水野さん、iida さん情報ありがとうございます。 当該部分については打ち消し線を引きました。 当該 Microsoft 記事 はまだ直ってないけど、そのうち直るのでしょう。 memo を読んだ人からセコムさんへの問いあわせが大量に行ったのだそうで。 追記が遅くてすいません _o_
当該 Microsoft 記事 が、改訂されたことを示さないまま改訂された。削除対象一覧が削除され、 別ページに移された。 セコムさんの他にも、Certigna、Ceska Posta、LuxTrust が削除されている。 ひどいな……。
Certigna。トップにこの件に関する記載あり。
Ceska Posta。何もない?
LuxTrust Global Root (LuxTrust, 2015.12.18)
あと、サイバートラストさんが解説ページを公開している:
Microsoft 社によるルート証明書の削除に関する発表につきまして (サイバートラスト, 2015.12.22)
本ルート証明書を利用するサービスはすべて提供終了し、不要となりました。そのため、Microsoft 社にて同ルート証明書を削除いたします。
》 「24時間以内にヘイトスピーチを削除」にFacebook・Google・Twitterが合意へ (gigazine, 12/17)
》 Windows Server 2012 / 2012 R2 の WSUS の重要な更新 (KB 3095113) について (Japan WSUS Support Team Blog, 12/16)
》 パリ同時多発テロ1カ月 治安と自由の均衡探るフランス (朝日, 12/15)
》 ISが犯行声明 パリ同時テロはどんなテロだったのか? (黒井文太郎 / THE PAGE, 12/15)
》 VTechの個人情報流出事件で21歳男を逮捕――英捜査当局 (ITmedia, 12/17)
》 やじうまミニレビュー カメラハック/盗撮ウイルス対策用目隠しシール (PC Watch, 12/17)
》 Mac向けソフト「MacKeeper」、顧客情報1300万流出か (ITmedia, 12/16)
》 大阪府堺市、有権者68万人の個人情報が流出、職員がデータを持ち帰りレンタルサーバーにアップロード (Internet Watch, 12/14)、 市職員による個人情報の流出について (堺市, 12/14)
老朽艦いまだ現役、独自開発の行方は 台湾海軍の潜水艦 (AFPBB, 2014.11.09)
台湾が「潜水艦・自主建造」へ・・・1200-3000トン、2016年に着手 (サーチナ / livedoor, 1/4)
潜水艦の開発を決めた台湾・・・大陸の軍拡受け、対抗の一環として (サーチナ / Excite, 9/3)
台湾初の国産潜水艦、造船最大手が建造に自信 「準備はできている」 (フォーカス台湾, 10/22)。言うだけなら簡単です。
軍事研究 2015年11月号。「台湾、潜水艦の自主開発を決定 大陸中国に対抗!しかし技術力も建造能力も格差は大人と小人。高性能な潜水艦を建造できるか」。ショボいものにしかならない、という解説。
日本の潜水艦を切実に求める台湾海軍 潜水艦供与の約束を果たさないアメリカに我慢の限界 (JBpress, 12/17)。ないない。
》 IoT セキュリティを考える〜BB ルータ脆弱性を悪用事例から〜 (Telecom-ISAC JAPAN 西部 喜康 / SecurityDay 2015, 12/16)。 ロジテックや中華プロキシの件など。
》 IoT 機器を狙う telnet アクセスが急増。 telnet やたら増えてるのは、そういう狙いだったのね。
Linux機器を狙ったTCP 23番ポートへのアクセスが急増、機器を乗っ取ってボット化し、DDoS攻撃などの温床にも (Internet Watch, 12/17)
ハニーポットによる IoT 機器の感染状況の観測と IoT マルウェアの解析 (横浜国立大学 吉岡 克成 / SecurityDay 2015, 12/16)
TSUBAMEセンサーを使った海外のインシデント状況について (JPCERT/CC 鹿野 恵祐 / SecurityDay 2015, 12/16)。おまけの件はこれかな:
UDPポートを開放した状態にするNetis製ルータに存在する不具合を確認 (トレンドマイクロ セキュリティ blog, 2014.08.27)
ルータの脆弱性を狙う通信の増加をJPCERT/CCが報告 (トレンドマイクロ セキュリティ blog, 7/29)
》 中国製のホバーボードが世界各地で爆発している…衝撃的な炎上写真いろいろ (らばQ, 12/16)。中国製のパチモンが爆発しまくっている模様。
Firefox 43.0 / ESR 38.5.0 公開。21 件のセキュリティ欠陥が修正されている。
リリースノート: Firefox 43.0、 ESR 38.5.0、 Android 版 Firefox 43.0。 Firefox Releases。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
Thunderbird 38.5 が公開されました。
リリースノート: 38.5.0。
セキュリティアドバイザリ: 英語版アドバイザリ だと 5 件、 日本語版アドバイザリ だと 6 件の欠陥が修正されている、ことになっている。
ダウンロード: Thunderbird
Firefox 43.0.2 が公開されました (リリースノート)。「MFSA 2015-150 - MD5 signatures accepted within TLS 1.2 ServerKeyExchange in server signature」 (リンク先はまだないみたい) が修正されているそうです。 iida さん情報ありがとうございます。
また Firefox 38.5.1 が 2015.12.21 付で (リリースノート)、 38.5.2 が 2015.12.22 付で (リリースノート) 公開されてました。 セキュリティ修正は無いようです。
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2) に関するお詫びとお願い (2012.05.17)
IoT セキュリティを考える〜BB ルータ脆弱性を悪用事例から〜 (Telecom-ISAC JAPAN 西部 喜康 / SecurityDay 2015, 2015.12.16)。 本件や中華プロキシの件など。
JVN#48135658 - 複数のルータ製品におけるクリックジャッキングの脆弱性 (JVN) の最終更新は 2015.11.30。
古河電工が「該当製品あり」で追加。クリックジャッキング対策の不備の脆弱性について (古河電工, 2015.11.27)
プラネックスコミュニケーションズの告知ページ: クリックジャッキングの脆弱性への対応についてのお知らせ (プラネックスコミュニケーションズ, 2015.10.30)
クリックジャッキング対策の不備の脆弱性 (バッファロー) の最終更新は 2015.12.07。未対応の機種がまだ残ってる。
岡山大が「内部告発」教授への「報復」? 「論文不正」指摘後の「停職」「解雇」裁判騒動 (J-CAST / livedoor, 12/10)
岡山大学医学部・薬学部研究不正の懐疑点 (日本の科学と技術)
岡山大学医学部不正調査の問題点 (warblerの日記, 9/1)
今、岡山大学で何が起きているのか? (seesaa wiki)
Chrome 47.0.2526.106 公開。2 件のセキュリティ欠陥を修正。 iida さん情報ありがとうございます。
BIND 9.x に 2 件の欠陥があり、remote から DoS 攻撃を受ける。主にフルリゾルバー (キャッシュ DNS サーバー) が影響を受けるが、権威 DNS サーバーにも限定的に影響。
BIND 9.10.3-P2, 9.9.8-P2 で修正されている。OpenSSL の欠陥 CVE-2015-3193 にも対応、と記載されている。
Release Notes for BIND Version 9.10.3-P2 (ISC, 2015.12.15)
Release Notes for BIND Version 9.9.8-P2 (ISC, 2015.12.15)
関連:
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8000) に関する注意喚起 (JPCERT/CC, 2015.12.16)
》 Windows 10: 向上した Windows Defender 機能でオンラインでの安全性を高めよう (日本のセキュリティチーム, 12/4)
》 【注意喚起】 Internet Explorer のサポートポリシーが変更、バージョンアップが急務に (IPA, 12/15)、Internet Explorer のサポートポリシーが変わります (Microsoft)。あと 1 か月。
》 ランサムウェア TeslaCryapt (別名 vvv ウイルス) 関連つづき
TeslaCrypt(vvvウイルス)についてまとめてみた (piyolog, 12/7)
ランサムウェア CryptoWall への感染を狙った攻撃を11月下旬から連日確認 (IBM, 12/8)
英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散 (トレンドマイクロ セキュリティ blog, 12/9)
英インデペンデント紙のウェブサイトが改ざん被害、読者に「vvvウイルス」など感染の恐れ (Internet Watch, 12/10)
ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析 (トレンドマイクロ セキュリティ blog, 12/11)
TeslaCrypt ランサムウェアの活動が活発化 (シマンテック, 12/14)
メールボットネットの脅威を遮断できる Symantec Email Security.cloud、Web ベースの脅威を遮断する Symantec Web Gateway、Symantec Endpoint Protection などで万全な保護対策を講じれば、以上の攻撃は防ぐことができます。
全部揃えないと防げないのかな。 商売、商売。
》 iOS 9はパスコードのセキュリティを真に改善したか? (エフセキュアブログ, 12/11)
》 CryptoPeak HTTPS patent cases settled out of court (ZDNet, 12/4)
》 Hashcat password cracker goes open source (ZDNet, 12/9)
》 Enforcing USB Storage Policy with PowerShell (SANS ISC, 12/9)
》 PowerShell スクリプト用の新エディタ登場 〜 Visual Studio Code (Technical Evangelist - Junichi Anno's blog, 12/3)
開発者用の Visual Studio にも PowerShell Extention が用意されているのですが、インフラエンジニアが使うには Too Much な感が否めません。そこで、Visual Studio Code です。(中略) VS Code で PowerShell スクリプトを扱うためのセットアップ方法が少々難しいので以下で紹介します。
》 Server Security: OSSEC Updated With GeoIP Support (sucuri, 12/9)
》 日本年金機構、年金情報流出事案を受けた「業務改善計画」を公表 (日経 IT Pro, 12/9)
》 ELF Linuxランサムウェア:復号機能の解析メモ #reversing (0day.jp, 11/17)。 選ばれる品質、PolarSSL。
》 サイバーセキュリティの現在、過去、未来 〜『2015年の10大セキュリティ事件ランキング』と『2016年と今後5年間のサイバー脅威予測』から〜 (マカフィー, 12/9)
》 Apache HTTP Server 2.4.18 Released (apache.org, 12/14)。セキュリティ欠陥の修正はないみたい。
》 Mozilla、iOS向けのコンテンツブロック/追跡保護アプリ「Focus by Firefox」をリリース (OSDN, 12/9)
》 WordPress セキュリティ白書を公開しました。 (Wordpress, 12/1)
》 StartComponentCleanup タスクによる、不要な更新プログラムの削除について (Ask CORE, 12/3)。 Windows 8 / Server 2012 以降の機能。
システムで利用するディスク領域を削減することができる便利な機能ですが、同機能によって過去の適用済み更新プログラムが一覧から削除されるため、更新プログラムを管理頂く上で、以下のようなお問い合わせを頂くことがございます。
・ 突然更新プログラムの一覧から古い更新プログラムがなくなった。
・ 同一構成のサーバーなのに、表示される更新プログラムの一覧に差異がある。
》 Azure RemoteApp のセキュリティについて (Ask CORE, 12/2)
》 日本近海のマイクロプラスチック 世界平均の27倍 (NHK「かぶん」ブログ, 12/8)
》 ロボットが事故 誰が責任? 模擬裁判で考える (NHK「かぶん」ブログ, 12/4)
》 大掃除の季節 清掃代行のトラブルに注意 (NHK「かぶん」ブログ, 12/3)、 破損、色落ち、雑な仕上がり!?-掃除サービスでのトラブルに遭わないために!- (国民生活センター, 12/3)
》 "イスラム教徒への理解を" 映画祭始まる (NHK「かぶん」ブログ, 12/12)。イスラーム映画祭 2015。12/18 まで。
》 ついにドローンのユーザーに登録を義務づける制度が開始へ (gigazine, 12/15)。US FAA の話。「登録は2015年12月21日から開始……多くの個人ドローンオーナーが2016年2月19日までに登録を完了する義務を負う」
iTunes 12.3.2 公開。Windows 版については 12 件のセキュリティ修正を含む。 CVE-2015-7048 CVE-2015-7095 CVE-2015-7096 CVE-2015-7097 CVE-2015-7098 CVE-2015-7099 CVE-2015-7100 CVE-2015-7101 CVE-2015-7102 CVE-2015-7103 CVE-2015-7104 CVE-2015-7050
SYM15-012 - Security Advisories Relating to Symantec Products - Symantec Endpoint Encryption Client Memory Dump Information Disclosure (Symantec, 2015.12.14)。Symantec Endpoint Encryption 11.1.0 で修正されている。
無線 LAN ポータブルルータWL-330NULの脆弱性に対する対策済みファームウェア適用のお願い (ASUS, 2015.12.07)。remote から任意のコードを実行可能など。 ファームウェア 3.0.0.42 で修正されている。
Redmine Security Advisories (Redmine)。Data disclosure in atom feed という欠陥 CVE-2015-8537 が 2.6.9, 3.0.7, 3.1.3 で修正されている。 最新は 3.2。
JVNVU#94912021 - Lenovo Solution Center に権限昇格ほか複数の脆弱性 (JVN, 2015.12.07)
LEN-4326 - Lenovo Solution Center (lenovo)。CVE-2015-8534 CVE-2015-8535 CVE-2015-8536。 Lenovo Solution Center 2.8.006, 3.2.002 で修正されている。
Moodle 2.9.3, 2.8.9 and 2.7.11 are now available (moodle, 2015.11.09)。MSA-15-0037 〜 MSA-15-0046 が修正されている。 最新は Moodle 3.0。
Joomla! 1.5.0 〜 3.4.5 に 0-day 欠陥、remote から任意のコードを実行される。
Joomla! 3.4.6 で修正されている。 Joomla! 3.4.6 では、上記の他にも CRSF 1 件と directory traversal 2 件が修正されている。 また Joomla! 2.6 / 1.5 用の patch も用意されている。適用方法。
Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 (徳丸浩の日記, 2015.12.18)
Joomla! の脆弱性として報告された、リモートから任意のコードを実行可能な脆弱性(CVE-2015-8562)に関する調査レポート (ソフトバンク・テクノロジー, 2015.12.25)
JVNVU#93831077 - Buffalo WZR-600DHP2 に不十分なランダム値を使用している問題 (2015.12.11)
DNS偽装の脆弱性 (Buffalo, 2015.12.11)、12/11 19:30 に改訂されてました。
WXR-2533DHP にも影響あり。ファームウェア Ver.1.10 以降で対応。
WZR-600DHP2 については「2016年1月下旬に対策版ファームウェアを公開予定」
まずはこちらを: 橋の“命綱”が危ない 〜公共工事 はびこる不正〜 (NHK クローズアップ現代, 12/10)。 耐震補強のための部品が手抜きの不良品だった。
溶接が不十分な部品が取り付けられた橋は、全国45の都道府県で550を超え、部品の多くが意図的に製造されていたことが国の調査で分かりました。
この不正に関わった会社は合わせて12社に上っています。
部品ベンダーが会社ぐるみで不正。検査会社の担当者も不正。 元請けには不正を見破る力なし。
補修工事大手のショーボンド建設 (中略) 問題を受けてショーボンドは検査体制を大幅に見直しました。
これまでは部品メーカーが検査会社を選んでいました。
見直した現在は元請け会社自身が決めることで、検査に緊張関係を持たせようとしています。
落橋防止装置における部材の溶接問題について (ショーボンド建設, 12/11)
落橋防止装置等の溶接不良について (国土交通省)
落橋防止装置等の溶接不良について (国土交通省, 8/28)
京都府内の国道24号勧進橋(国土交通省管理)において、耐震補修・補強工事の完了後に落橋防止装置※等の溶接部における不良が確認され、平成27年8月12日に近畿地方整備局京都国道事務所が記者発表を行ったところです。
京都発だったのか。
国道24号勧進橋補修・補強工事における溶接不良の発見について (近畿地方整備局京都国道事務所, 8/12)。 受注業社: ショーボンド建設。
国道24号勧進橋(かんじんばし)補修・補強工事における溶接不良について (近畿地方整備局京都国道事務所, 8/28)。 58/80 部材が溶接不良。
元請会社であるショーボンド建設(株)から近畿地方整備局への報告により、以下の事実を把握しました。
・溶接不良は、落橋防止装置等の部材の製作者である久富産業(株)が、工場内の溶接作業工程の一部を意図的に怠っていたことが原因である可能性が高いこと
・元請会社への納品の際に求めている超音波探傷試験に際し、溶接検査会社である(株)北陸溶接検査事務所の職員が、過去約5年間にわたって不良データの隠蔽を行っていた可能性があること
この時点で、社名が明らかになっていたのですね。
落橋防止装置等の溶接不良について(その2) (国土交通省, 9/11)
落橋防止装置等の溶接不良について(その3) (国土交通省, 10/7)
落橋防止装置等の溶接不良に関する有識者委員会 (国土交通省)。2 回開催されている。配布資料、どちらも 60 ページ以上。
関連報道:
落橋防止装置 12社、400橋で不正 溶接工程一部省略 (毎日, 12/4)
落橋防止装置の溶接不良は556橋に、12社が不正 (日経 BP ケンプラッツ, 12/7)
調査は途中段階のため、溶接不良品がさらに見つかる可能性は高い。特に今回は抜き取り調査なので、非破壊検査を実施したのは486橋のみだ。残り5000橋弱で、溶接に不具合のある装置が見つかる可能性は高い。
検査済は 10% にも満たないと。まだまだ検査途上。
ケンプラッツはコメントが読ませる。 この件、そもそも、複雑な製造工程を必要とするような設計が悪いんじゃないかという指摘が複数。
静的な荷重しか受けない部品に完全とけ込みで、裏ハツリを要求する設計を行った設計者の能力を疑う。(中略) 溶接部の強度確保したければ、板厚増せばいいだけで、完全とけ込みなんて必要ない。
溶接不良は設計不良であると以前投稿したが、さらに明確になった。 (中略) 溶接性・溶接ひずみを無視した設計は設計不良といえる。設計者は混乱を招いた責任を取るべき。税金ではなく。
》 クローズアップ現代 BPO“放送倫理上重大な問題” (NHK, 12/11)
》 特定秘密保護法 「憲法上問題」 検査院が支障指摘 (毎日, 12/8)。毎日新聞の情報公開請求により判明。 安倍内閣は、ほんと、違憲だらけだな。
特定秘密保護法案の閣議決定を控えた2013年9月、法が成立すれば秘密指定書類が会計検査に提出されない恐れがあるとして、会計検査院が「すべてを検査するとしている憲法の規定上、問題」と内閣官房に指摘していたことが分かった。検査院は条文修正を求めたが、受け入れられないまま特定秘密保護法は成立。内閣官房は修正しない代わりに、施行後も従来通り会計検査に応じるよう各省庁に通達すると約束したが、法成立後2年たっても通達を出していない。
》 イスラム国(IS)報道〜実像をどうつかむか (アジアプレス・ネットワーク)
イスラム国(IS)報道〜実像をどうつかむか(1)◆「さらなる攻撃を宣言」は「地方県」発 (アジアプレス・ネットワーク, 11/20)
イスラム国(IS)報道〜実像をどうつかむか(2)◆ISとの「全面戦争」と情報の扱い方 (アジアプレス・ネットワーク, 11/26)
イスラム国(IS)報道〜実像をどうつかむか(3)◆ISの規定する主要な「敵」 (アジアプレス・ネットワーク, 12/6)
》 京大入試、時計の使用禁止 スマートウォッチ販売も影響 (朝日, 12/10)。コラテラルダメージバリバリって感じ。 電脳化された世界では、このへんどうなっているんですかねえ。
1千万円以上かけて試験場の教室に計約200台の電波時計を設置する。
電波が受かりにくい部屋もあるんじゃないか……と思ったのですが、 電波時計用NTPリピータ (日本アンテナ) みたいなものを使えば ok なのかな。
慶応義塾大は今年7月から、総合政策、環境情報の2学部の学部内試験で時計の利用を禁止している。
あら。入試ではないけど、前例があるんだ。
Buffalo の無線 LAN ルーター WZR-600DHP2 に欠陥。DNS クエリのランダム性が足りない (というか、無い) ため、DNS 詐称攻撃を受ける。CVE-2015-8262
修正版ファームウェアはまだ存在しない。関連:
VU#646008 - Buffalo AirStation Extreme N600 Router WZR-600DHP2 uses insufficiently random values for DNS queries (US-CERT, 2015.12.10)。この固定っぷり。
DNS偽装の脆弱性 (Buffalo, 2015.12.11)。US-CERT からは 2015.07.01 に通知されているのに、いまだに調査中なのだそうだ。
WZR-600DHP2 (Buffalo)
同様の欠陥は、他社のルーターにも見つかっている。
VU#167992 - ReadyNet WRT300N-DD Wireless Router contains multiple vulnerabilities (US-CERT, 2015.12.10)
VU#763576 - Amped Wireless R10000 router contains multiple vulnerabilities (US-CERT, 2015.12.10)
VU#403568 - Netgear G54/N150 Wireless Router WNR1000v3 uses insufficiently random values for DNS queries (US-CERT, 2015.12.10)
DNS偽装の脆弱性 (Buffalo, 2015.12.11)、12/11 19:30 に改訂されてました。
WXR-2533DHP にも影響あり。ファームウェア Ver.1.10 以降で対応。
WZR-600DHP2 については「2016年1月下旬に対策版ファームウェアを公開予定」
》 警視庁 ドローン捕獲へ全国初の部隊編成 (NHK, 12/10)。 リアル『スカイキッドブラック魔王』じゃん……。
》 民間からの指摘により、愛知県警北署で盗聴器発見。 プラグ型の電源タップに偽装。「誰が」「いつ」「どうやって」「なぜ」は不明。
名古屋・北署に盗聴器 警官しか入らない部屋 (中日, 12/9)
愛知県警北署、庁舎内に盗聴器 県警が全署調査 (朝日, 12/10)
警察署から盗聴器 経緯を調査 名古屋 (NHK, 12/10)
》 豪警察、Bitcoin考案者と報じられた人物の自宅と事務所を捜索--Reuters報道 (CNET, 12/10)
》 人気連載まとめ読み! @IT eBook(15): 攻撃/防御双方の視点からサイバーセキュリティを“ディープに“解説した人気連載を無償提供 (@IT, 12/10)。セキュリティ・ダークナイト。
》 MS、2016年1月に古いIEのサポートを終了、最新版への移行を呼び掛け (Internet Watch, 12/9)
》 「kagamin2」などの動画配信支援ツールでアニメ作品を無断配信、24歳男性ら送検 (Internet Watch, 12/10)
日本、アサド政権「支援」 シリアの電力整備に25億円、事業計画書がウェブから消える (西日本新聞, 12/8)
事業主体はUNDPだが、日本政府が1825万ドル(約22億5千万円)、国際協力機構(JICA)が約199万ドル(約2億5千万円)を提供し、これが事業の全額であることが明記されていた。
秘密裏の「人道支援」、シリアの電力整備 外務省「事業ない」一転 (西日本新聞経済電子版, 12/8)
》 特別秘書、奥下剛光氏の費用返還請求訴訟の傍聴行ってきました (ぶらり大阪社会論評, 12/9)
それから、マスコミと維新のズブズブも感じました。
記者さんもようけ来てたようですが、裁判後、奥下さん囲んでキャッキャはしゃいでニコニコお友達。
これじゃあ批判的報道姿勢なんかできんよね。
》 知る人ぞ知るセキュリティブログ「piyolog」運営者に迫る! (この人に聞きたい! 辻伸弘のセキュリティサイドライト, 12/10)
》 米財務省、元山口組系・旧後藤組の後藤忠政(後藤忠正、アジャ忠叡)元組長を制裁対象に (クリスチャントゥデイ, 12/10)
》 Year one: progress in the fight against Unwanted Software (Google, 12/9)、 Googleに「ネットの脅威」と定められた悪意あるソフトウェアの群れ「UwS」の対抗策とは? (gigazine, 12/10)
Chrome 47.0.2526.80 登場。Flash Player 20.0.0.228 塔載。7 件のセキュリティ欠陥を修正。
ああ、今日は第 2 火曜日の次の日か。
》 ランサムウェアとマルウェアの間で抗争--シマンテック、2016年を予測 (ZDNet, 12/9)
》 動画:ロシア、潜水艦からのシリア領攻撃を初実施 (AFPBB, 12/9)
》 靖国神社爆発音、韓国人の男を逮捕 建造物侵入の疑い (朝日, 12/9)。関連:
靖国爆発音で不審な韓国人が帰国 韓国との「引き渡し条約」の内容は? (THE PAGE / BLOGOS, 12/7)
靖国爆発音:27歳韓国人男性、爆破容疑を肯定も否定もせず (朝鮮日報, 12/8)
靖国に行ったが事件は分からない〜韓国人男 (NNN, 12/8)
靖国爆発音、韓国人の男を逮捕…羽田から再入国 (読売, 12/9)。当該男性、“自主的に”再入国したようで。
》 ウイルス譲渡 拡散の中高生6人に 札幌の中2追送検 (毎日, 12/9)。 2015年11 月 不正指令電磁的記録保管の容疑で逮捕された少年についてまとめみた (piyolog, 11/4) の件のつづき。拡散先の 6 人の内 4 人を送検、最初の少年は追送検 (不正指令電磁的記録提供容疑、恐喝未遂容疑)。
札幌市の少年の追送検容疑は6〜8月、インターネットバンキングで不正送金を引き起こす「ZeuS(ゼウス)」など3種類のウイルスを5人に売ったり、無償で提供したりしたとしている。「ウイルスを売って金もうけしたかった。150万円くらい稼いだ」と供述しているという。
警視庁によると、少年は、5人のうち1人から「代金」として電子マネー100万円分を受け取ったほか、2人からはウイルスと交換でサイバー攻撃用の不正ソフトを譲り受けていた。譲渡されたウイルスが犯罪に悪用されたケースは確認されていない。
その「電子マネー100万円分」はどこから出てきたのか……。 関連:
中高生がLINEでウイルス売買容疑 5人を書類送検 (朝日, 12/8)。記事によると、判明している拡散先は次の 6 人。
滋賀・中 3
千葉・高 2
静岡・中 3
愛知・中 2 (女子)
愛知・高 2
福島・高 1
ウイルスソフト不正取得疑い (NHK, 12/8)。拡散先の、滋賀の中 3 男子の件。
ウイルス売買 中高生書類送検 (NHK, 12/8)
緊急 8、重要 4。0-day あり (2 件)。(あとで書く予定は未定)
いろいろ出ました (あとで書く予定は未定)
About the security content of iOS 9.2 (Apple, 2015.12.08)
About the security content of tvOS 9.1 (Apple, 2015.12.08)
About the security content of OS X El Capitan 10.11.2 and Security Update 2015-008 (Apple, 2015.12.08)
About the security content of watchOS 2.1 (Apple, 2015.12.08)
About the security content of Safari 9.0.2 (Apple, 2015.12.08)
About the security content of Xcode 7.2 (Apple, 2015.12.08)
「秘密キーが不注意で公開された *.xboxlive.com の SSL/TLS デジタル証明書」(発行者: Microsoft IT SSL SHA2) を無効化。
Flash Player / AIR 更新出ました。77 件 (!!!) のセキュリティ欠陥を修正。 0-day は無いようです。 Flash Player / AIR の最新は 20 系列になりました。 (あとで書く予定は未定)
》 ランサムウェア TeslaCryapt (別名 vvv ウイルス) 関連つづき
話題の“vvvウイルス”、「日本で被害が急増した形跡は見当たらない」とトレンドマイクロ、とにかくパッチ適用など基本的なセキュリティ対策をしっかりと (Internet Watch, 12/7)
「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的 (トレンドマイクロ セキュリティ blog, 12/8)
TeslaCrypt(vvvウイルス)に感染してみました。 ((n), 12/7)
.vvvでお馴染みのランサムウェアの動きを調べてたら無力化できたっぽい (togetter, 12/7)
他にも,[AppData\Roaming\?????-bc.exe]の実行をポリシーで抑止するとか,方法はあると思います
なるほど。 CryptoPrevent (Foolish IT) には一定の効果はありそうだなあ。
FFR yaraiおよびFFRI プロアクティブ セキュリティがランサムウェア「TeslaCrypt(vvvウイルス)」を検知・防御 (FFRI, 12/8)
OpenSSL Security Advisory [3 Dec 2015] (2015.12.04)
Anon DH ServerKeyExchange with 0 p parameter CVE-2015-1794 が抜けていたので追加し、「4 件の」を「5 件の」に修正。iida さん情報ありがとうございます。
》 韓国で覆面デモ (12/5)。 朴大統領が 「覆面デモはできないようにすべきだ。イスラム国もそういったことをしている」と言ったので。
ソウル、仮面の群れ 覆面集会の厳罰化に抗議し大集会 (朝日 / Yahoo, 12/5)
「覆面デモ禁止」に抗議 朴大統領、ISと同一視で (毎日, 12/6)
韓国で覆面の反政府デモ、言論の自由など訴え (ウォール・ストリート・ジャーナル日本版, 12/7)
オフィシャル
第三者委員会報告書について (化血研, 12/2)
弊所製剤の製造にかかる不正行為を受けた役員の処分並びに再発防止策について (化血研, 12/2)
報道
40年以上、不正製造…非承認方法で血液製剤 (毎日, 12/2)。「常軌を逸した隠蔽体質」
薬害エイズ和解時、経営陣に不正報告 96年 (毎日, 12/3)
隠蔽周到…査察逃れあの手この手 改善命令へ (毎日, 12/4)
化血研の不正 腐敗体質にメス入れよ (毎日, 12/4)
組織的問題の本質を的確に指摘した化血研第三者委員会報告書〜残された問題は厚労省との関係〜 (郷原信郎が斬る, 12/7)
そういえばこんなこともあったが関係あるのだろうか。
[過去記事保存版]:接種後死亡事例の多い「化血研」製新型インフルエンザワクチンについて (浅見真規, 2009.12.08)
》 ランサムウェア TeslaCrypt (別名 vvv ウイルス) が流行中?
TeslaCrypt and Alpha Crypt Ransomware Information Guide and FAQ (Bleeping Computer, 5/5)。この記事がいちばんまとまっていると思う。
報道など
「.vvv」ウイルスの被害と対策。強制暗号=ランサムウェアが、サイト表示=広告だけで感染してしまう (三上洋 / Yahoo, 12/6)
ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増!? (黒翼猫のコンピュータ日記 2nd Edition, 12/5)
『vvvウィルス』関連情報まとめ (togetter, 12/7)
vvvウイルス=広告サイト経由でランサムウェア被害が急増中!安全性を高めるにはどうする? (ESET, 12/7)
予防:
Windows Update を実行。「設定の変更」で、 「Windows の更新時に他の Microsoft 製品の更新プログラムを入手する」をチェックしておくこと。
3rd party ソフトウェアのアップデート。 MyJVNバージョンチェッカ for .NET (JVN) などで状況の確認を。
バックアップを取る。バックアップ先はマウントし続けないこと。
Flash などのプラグインが自動起動しないように設定。
Adobe Flash を "クリックして実行" する設定にする (Mozilla)
Chrome でプラグインを追加、削除、管理する (Google)。「プラグイン コンテンツをいつ実行するかを選択する」
Adblock Plus などを使って広告表示を抑止。 関連:
閲覧しただけで感染する不正ネット広告が急増、トレンドマイクロが注意喚起 (日経 IT Pro, 12/3)
広告表示したら感染…ソフト最新化を急げ (読売, 12/4)。 三上洋さん。
複雑なアドネットワークでは不正広告の混入が追えない! 不正広告3700サイトの衝撃!トレンドマイクロが現状を説明 (ascii.jp, 12/4)
CryptoPrevent (Foolish IT)。設置されやすいフォルダにソフトウェア制限ポリシーを設定してくれる模様。
関連: How To Avoid CryptoLocker Ransomware (Krebs on Security, 2013.11.01)
CryptoMonitor (EasySync Solutions)。現在、有料の Pro 版が、新バージョンが登場するまでの間、一時的に無料で使えるようになっている模様。 ダウンロードしたら SEP にひっかかった。
》 TPPと著作権:韓国著作権局インタビュー (山田奨治 BLOG, 12/5)
つぎの点が重要だ。
非親告罪化にともない、著作権侵害を警察が独自に動いて立件した例が、
2013年には約25,000件あったという。
にわかに信じられない衝撃的な数字だったので、何度も確認したのだが、
警察独自の活動による立件だと、担当者はいった。
仮に通報を受けての立件が混じっていたとしても、
日本とくらべて対人口比でみても、ケタ違いに多い。
(中略)
(ここからは、あとで通訳さんに調べてもらったこと)
韓国では著作権者と関係ない法務法人(ローファーム)が、
侵害者をみつけては警察に通報するぞと連絡し、
「合意金」を要求するケースが増えている。
「合意金」の相場は、相手が小学生なら50万ウォン(5万円)、
大人だと100万ウォン(10万円)だそうだ。
いわゆるコピーライト・トロールで、
非親告罪だからできることだ。
(ここまで、あとで通訳さんに調べてもらったこと)
》 ロシア軍がイスラム国空爆にテルミット焼夷弾を使用か (JSF / Yahoo, 12/3)
過去に白リン弾ばかりが有名となってしまい「多数の光」を発する兵器は何でも白リン弾扱いされてしまう事例が増えた結果、強力なテルミット焼夷弾やナパーム弾が問題視されずに使われてもいない白リン弾が騒がれるという、本末転倒な事になってしまっています。
》 添田孝史さん推薦図書【フォード・ピント事件 『技術者による実践的工学倫理第3版』】関連ツイートまとめ (togetter, 12/6)
》 アニメ「ノラガミ」 イスラム教の音を不適切使用し謝罪 (毎日, 12/5)。関連:
「ノラガミARAGOTO」に関するお詫び (「ノラガミARAGOTO」製作委員会, 12/5)
「ノラガミ ARAGOTO」がイスラム教へ不適切な音声使用があったと謝罪 サントラ回収やパッケージ発売延期に (ねとらぼ, 12/5)
アニメ版『ノラガミ』の劇中音楽に「アザーン」が含まれていた事についてのイスラム教徒の反応とアニメ製作元の対応 (togetter, 12/7)
》 Wikipediaを書き換えてセキュリティを突破し舞台裏まで到達した天才が登場 (gigazine, 12/7)。天才は言いすぎだろう。元ねた記事はちゃんと by fooling security guard って言ってるわけで。
Spargo氏はまず、Peking DukのWikipediaページに、自身の名前を「バンドメンバーのReuben Styles氏の異父兄弟」と書き込みました。続いて舞台裏に向かったSpargo氏は、警備員にメンバーの家族であることを伝えると、警備員に「Styles氏の家族である証明を見せろ」と言われたとのこと。そこでSpargo氏はスマートフォンでPeking DukのWikipediaのページを見せて、家族欄に自分の名前が載っていることをアピール。警備員は何の疑いもなくSpargo氏を舞台裏に通したそうです。
警備員にリテラシー教育が必要。
》 2015年12月3日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 12/4)。Safari ねたなど。
CryptoWall 3.0のトラフィック分析 ― ランサムウェアの内部に迫る (Postd, 11/25)
BizCN gate actor sends CryptoWall 4.0 (SANS ISC, 11/24)
Security Alert: Angler Exploit Kit Spreads CryptoWall 4.0 via New Drive-By Campaign (Heimdal Security, 12/2)
New variant of CryptoWall - Is it right to call it 4.0? (SANS ISC, 12/3)
ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 (ITmedia, 12/4)
》 靖国神社爆発事件 (11/23)、不審人物は韓国人? ケーサツリーク情報なので取扱注意なんですけどね。
靖国神社爆発音、不審人物は韓国人の男 当日に帰国 (朝日, 12/4)
靖国神社爆発音:映像の男、韓国へ出国…事件前に入国 (毎日, 12/3)
靖国神社の爆発、不審な男は韓国人か これまでの事件を振り返ると... (ハフィントンポスト, 12/3)
》 How the growing web of conflict in Syria became a global problem (Wasington Post, 11/17)、 【抄訳】米紙WPが特集:「シリアで網目のように拡大する紛争がいかにして地球規模の問題となったか」(2015.11.17) (勝見貴弘 / Evernote)。シリア問題の関係性の変遷をわかりやすく図示。
》 子供の貧困問題:放置すれば経済損失2.9兆円 日本財団 (毎日, 12/3)、 「子どもの貧困」に関する経済的影響を推計 経済的損失約2.9兆円、財政負担約1.1兆円増の可能性も (日本財団, 12/1)
》 保存した1万サイトの可視化 (国立国会図書館インターネット資料収集保存事業, 12/1)。役所の文書量半端ない。
》 セキュリティのアレ(4): 拡張子、表示してますか?――マルウエア対策の「第一歩」を再確認しよう【動画】 (@IT, 12/4)
》 2015年12月の呼びかけ「ウイルス感染を目的としたばらまき型メールに引き続き警戒を」〜新たな攻撃の兆候を察知するための情報提供受付専用メールアドレスを新設〜 (IPA, 12/1)
》 複数のアダルトサイトでマルウェアが広告経由で感染する被害が大規模発生中 (gigazine, 12/4)
》 動的メモリを有効にしている Hyper-V 仮想マシンで WSUS の同期が全く進まない / 完了しない現象 (Japan WSUS Support Team Blog, 12/3)。「稀に発生」。固定メモリにする、最小メモリ値を増やすことで改善するそうで。
》 Important update for WSUS 4.0 (KB 3095113) (WSUS Product Team Blog, 12/4)。Windows 10 1511 feature upgrade の件。 1〜2週間後には WSUS にも流れてくるそうですが、
Administrators of WSUS 3.0 SP2 (including SBS 2011) and unpatched WSUS 4.0 will be able to deploy Windows 10 updates, but not feature upgrades.
Windows 10 1511 feature upgrade を WSUS で流すためには、 WSUS 4.0 + 3095113 patch が必要なようです。
The Windows 10 1511 feature upgrade will be available via WSUS in the next 1-2 weeks (which is when you’ll see the new Upgrades classification), and it will apply to Windows 10 RTM as well as Windows 7 and Windows 8.1 machines. If you are upgrading from Windows 10 RTM, then the process is highly automated: it will skip the application provisioning stage and all setup steps that require user interaction, and will preserve file associations and other settings by default. Upgrading from Windows 7 and Windows 8.1 via WSUS will require some end user interaction because the entire platform is changing, not just a build.
Windows 10 1511 feature upgrade は Windows 7 / 8.1 も対象となるみたい。
》 赤ちゃんを数秒でなだめる魔法、ハミルトン博士が教えてくれたよ(動画) (ハフィントンポスト, 12/3)
ハミルトン博士によると、この方法でうまくいくのは、生後2〜3か月の赤ちゃんだという。これより大きい子だと体重が重すぎて動画にあるような姿勢を安全に保つのが難しくなる。
》 Let's Encrypt Enters Public Beta (EFF, 12/2)
》 人種差別を禁じることができない日本という国 (WEDGE Infinity, 9/8)
Predictable SSH host keys (Raspberry Pi, 2015.11.24)。Raspbian の最初の起動時に SSH ホスト鍵が自動生成されるが、このとき /dev/urandom には十分なエントロピーがないので、予測可能な SSH ホスト鍵が生成されてしまう、という指摘。とりあえずの対応としては、起動後しばらくしてから SSH ホスト鍵をつくりなおせば ok なのでしょう。
この問題って Raspbian に限らないよねーとフォローされている。
This problem is known and the Linux community is trying to solve it already. In Linux kernel (possibly 3.17 but for sure 3.19) there is a new syscall getrandom(2) (see presentation here: https://lwn.net/Articles/606141/). This syscall can be blocking until the system has gathered enough initial entropy, when used on boot this can slightly delay the boot time but provides good random numbers for an SSH host key generation. LibreSSL is using it. OpenSSL is not yet using it, but hopefully one day this will be solved. Note that urandom is not the only randomness input that OpenSSL is using for seeding its own CSPRNG, but it could be the only on the first boot after installation.
Drupal core - Critical - Remote installation PSA-2015-001 (Drupal, 2015.12.02)。ふつうにインストールを完了していれば install.php は消えるのだが、インストールを中断した状態で install.php が残っているとマズイことになると。
Redmine 3.1.2 / 3.0.6 / 2.6.8 リリース (Redmine.jp, 2015.11.15)。Redmine Security Advisories によると、「Data disclosure on the time logging form」という欠陥が修正されている。CVE request - redmine: Issues API may disclose changeset messages that are not visible (oss-sec ML, 2015.12.03)
JVN#55545372 - EC-CUBE 用プラグイン「管理画面表示制御プラグイン」における SQL インジェクションの脆弱性 (JVN, 2015.12.03)。更新版が用意されている。
Status of CVE-2015-8126: libpng buffer overflow in png_set_PLTE (oss-sec ML, 2015.12.03)。CVE-2015-8126 への対応が不完全だったそうで。 Libpng 1.6.20, 1.5.25, 1.4.18, 1.2.55, 1.0.65 で修正されている。
OpenSSL 0.9.8zh, 1.0.0t, 1.0.1q, 1.0.2e 公開。 5 件のセキュリティ欠陥を修正。 OpenSSL 0.9.8zh, 1.0.0t はこれが最終版の予定 (サポートは 2015.12.31 まで)。
| 説明 | CVE | 0.9.8 | 1.0.0 | 1.0.1 | 1.0.2 |
|---|---|---|---|---|---|
| BN_mod_exp may produce incorrect results on x86_64 | CVE-2015-3193 | ✓ | |||
| Certificate verify crash with missing PSS parameter | CVE-2015-3194 | ✓ | ✓ | ||
| X509_ATTRIBUTE memory leak | CVE-2015-3195 | ✓ | ✓ | ✓ | ✓ |
| Race condition handling PSK identify hint | CVE-2015-3196 | ✓ | ✓ | ✓ | |
| Anon DH ServerKeyExchange with 0 p parameter | CVE-2015-1794 | ✓ |
iida さん情報ありがとうございます。
Anon DH ServerKeyExchange with 0 p parameter CVE-2015-1794 が抜けていたので追加し、「4 件の」を「5 件の」に修正。iida さん情報ありがとうございます。
》 もんじゅ方面。ムダ施設なので、とっとと廃炉にすればいいんですけどね。
クローズアップ2015:もんじゅ運営交代勧告へ 文科省、手詰まり感 (毎日, 11/5)
社説:もんじゅで勧告 運営者交代より廃炉だ (毎日, 11/5)
時論公論 「延命は必要か 高速増殖炉もんじゅ」 (NHK 解説委員室, 11/6)。水野倫之 解説委員。
もんじゅ:看板掛け替え限界 不祥事重ね技術劣化 (毎日, 11/11)
もんじゅ関連予算 有識者から問題指摘相次ぐ (NHK「かぶん」ブログ, 11/12)
もんじゅの新たな運営主体特定を 異例の勧告決定 (NHK「かぶん」ブログ, 11/13)
「もんじゅ」運営主体特定を 文科相に勧告 (NHK「かぶん」ブログ, 11/13)
もんじゅの運営見直しを勧告 原子力規制委、馳文科相に (朝日, 11/13)
もんじゅ運営変更を勧告 規制委、廃炉の可能性も (中日, 11/13)
もんじゅ勧告:核燃政策、曲がり角…新組織探し、難航確実 (毎日, 11/13)
もんじゅ運営主体選定に向け検討会議設置へ (NHK「かぶん」ブログ, 11/17)
電事連会長 電力会社のもんじゅ運営難しい (NHK「かぶん」ブログ, 11/20)
「もんじゅ勧告」のすごい内容 原子力機構をコテンパンに。勧告は「答えのない問い」か? (WEB RONZA, 11/24)
「もんじゅ」失格で原子力政策の総崩れが始まった (山田厚史の「世界かわら版」/ ダイヤモンド online, 11/26)
文科相 もんじゅ視察「運営主体を早急に検討」 (NHK「かぶん」ブログ, 12/2)
もんじゅ:動かないのに…関連総費用1兆1703億円 (毎日, 12/3)
》 クローズアップ2015:人民元、主要通貨入り 中国、問われる責任 金融大国の地位狙う (毎日, 12/2)
》 グアンタナモに13年間収容のイエメン人男性、人違いと判明 (AFPBB, 12/3)。拉致国家 USA のショボい実態。
》 Google、「忘れられる権利」対策で累計44万リンクを削除 (日経 IT Pro, 11/26)。「削除依頼は累計34万8085件……対象リンク総数は123万4092……42%にあたる44万1032リンクを欧州の検索結果から削除」。 これ、正当性を示す数字では全くないんだよなあ。
》 Googleが生徒のブラウザ閲覧履歴・検索履歴・YouTube視聴履歴を収集していることを指摘される (gigazine, 12/3)。EFF の指摘の紹介。
Google Deceptively Tracks Students’ Internet Browsing, EFF Says in FTC Complaint (EFF, 12/1)
Spying on Students (EFF)
Chromebooks の Chrome ブラウザで、同期機能がデフォルト有効になっていたそうで。
利用にあたって、Googleは生徒たちの個人情報は広告の最適化のためには利用しないと説明していましたが、他のサービスの改善目的という抜け穴があったとEFFは指摘。学校向けに提供されているChromebookでは同期機能が最初からオンに設定されており、生徒たちのブラウジング履歴・検索履歴・YouTube視聴履歴・保存したパスワードなどをGoogleが知ることができる状態になっていました。
Google の反論: 児童生徒のプライバシーに関しGoogleがEFFに返答: “弊社のツールは法律と弊社の約束に適合している” (techcrunch, 12/3)
VTech プレスリリース
Data Breach on VTech Learning Lodge (VTech, 11/27)
Data Breach on VTech Learning Lodge (update) (VTech, 11/30)
FAQ about Data Breach on VTech Learning Lodge (update) (VTech, 12/2)
ヴイテック。 日本法人のサイトには、この件の情報はないっぽい。
Hacked? Don't Respond Like This (Mark NunnikhovenMark Nunnikhoven / Linkedin, 11/27)。トレンドマイクロ副社長、VTech の対応にお怒りのようで。
玩具メーカーVTechにサイバー攻撃、アカウント情報480万件が漏えいか (CNET, 11/30)
玩具メーカーVTech、チャット履歴や子どもの写真も流出か (CNET, 12/1)
知育玩具のVTech、子どもの顔写真や親子のチャット記録も大量流出か (ITmedia, 12/1)
知育玩具VTech社がハッキング被害:500万件以上のアカウント情報が流出 (Kaspersky, 12/21)
》 会話できるバービー人形「ハローバービー」関連。 無線 LAN と音声認識技術を使って会話できるバービー人形「ハローバービー」、いよいよ発売されたようですが、懸念もされているようで。
Hello Barbie Doll - Blonde Hair (Mattel)。品切れ中。
プライバシー侵害につながるとの懸念。
子どもと会話する「スマート」バービー人形がプライバシーを侵害する可能性 (gigazine, 3/17)
現代のハイテク人形は、君の言葉を忘れない (Wireless Wire, 5/28)
子供が何を話しても録音記録が残って、利用規約の常套句である「当社のサービスの向上」の名の下に利用されることに違和感を覚えた人が大勢いたようだ。
会話するバービー人形にプライバシー侵害リスク?米消費者団体 (AFPBB, 12/1)
Hell No Barbie: 8 reasons to leave Hello Barbie on the shelf (Campaign for a Commercial-Free Childhood)
ハクられて、盗聴器とされる危険性があるとの懸念。
》 「心神」国産初のステルス戦闘機 1月にも初飛行 エンジン改修で当初計画より1年遅れ(画像集) (ハフィントンポスト, 10/16)。ATD-X の件。「エンジンの改良作業を施したため」来年に延期されたそうで。 まあ、こういうことを含めて研究試作なわけで。
》 “すまいのIoT”でLIXILと坂村健教授がタッグ、2017年にコンセプトハウスを建設 (Internet Watch, 12/3)
JVNVU#96100360 - 組込み機器に固有でない X.509 証明書および SSH ホスト鍵を使用している問題 (JVN, 2015.11.26)
VU#566724 - Embedded devices use non-unique X.509 certificates and SSH host keys (US-CERT, 2015.12.01 更新)。 CVE-2015-6358 CVE-2015-7255 CVE-2015-7256 CVE-2015-7276 CVE-2015-8251 CVE-2015-8260
各ベンダーの対応待ち。
CVE-2015-5273 + CVE-2015-5287, abrt local root in Centos/Fedora/RHEL (seclist ML, 2015.12.01)。対象: RHEL / CentOS 7.[01], Fedora 22。PoC あり。
RHSA-2015:2505-1 - Moderate: abrt and libreport security update (Red Hat, 2015.11.23)。 CVE-2015-5273 CVE-2015-5287 CVE-2015-5302
JVNDB-2015-006035 - EMC Isilon OneFS における root 権限を取得される脆弱性 (JVN, 2015.11.30)。OneFS 7.2.1.1 / 7.2.0.3 / 7.1.1.5 で修正されている。 CVE-2015-6848
2015 年 8 月のマイクロソフト セキュリティ情報の概要 (2015.08.19)
MS15-092 関連:
.NET Framework 4.6 が適用されていない環境に MS15-092 のセキュリティ更新プログラムを適用すると発生する問題について (Microsoft KB 3122487)。 「.NET Framework を利用するアプリケーションが正しく動作しないことがあります」。 .NET Framework 4.6 をインストールするか、 MS15-092 セキュリティ更新プログラムをアンインストールする。
》 苫前風力発電:新たな一手、町は切望 送電線容量ぎりぎり (毎日, 11/28)。再生可能エネルギーを阻むもの。
さらに道北地方は、既存の貧弱な送電網がネックになっている。町などによると、苫前町内を走る北電の送電線は、すでに容量ぎりぎりの状態だという。
10月には、ソフトバンク系企業が道北地方で計画していた風力発電新設事業の凍結を検討していることも判明。苫前町企画振興課の高田和彦主幹は「風力発電の計画は山ほどあるが、送電線がなければ何も進まない。国が整備に本腰を入れないとダメだ」と指摘する。
》 朴裕河『帝国の慰安婦』批判 (鄭栄桓 / 日朝国交「正常化」と植民地支配責任)
》 ブラジルで小頭症児急増、蚊がウイルス媒介 対策に苦心 (AFPBB, 12/1)
昨年の小頭症の症例は147件だったが、今年は1248件に急増 (中略) デングウイルスに似たジカウイルスを媒介している蚊によって小頭症が拡大 (中略) ジカウイルスに特効がある治療法は今のところない
》 攻撃者が悪用するWindowsコマンド (JPCERT/CC, 12/2)。管理者がよく使う Windows コマンド、でもあるからなあ……。
》 Yahoo!ニュース 個人「オーサーカンファレンス2015」 ネットの言論空間に“集団分極化”の問題、“炎上”で重要なのは賛否両論になる話題の作り方 (Internet Watch, 12/2)
》 h.root-servers.net(H-Root)のIPアドレス変更に伴う設定変更について (JPRS, 12/2)
》 ClamAV 0.99 has been released! (ClamAV, 12/1)。YARA ルールに対応など。
Chrome 47.0.2526.73 が stable に。41 件のセキュリティ修正を含む。iida さん情報ありがとうございます。
》 三菱東京 UFJ 銀行「残高紹介ダイヤル」不正アクセス事件 (11/30 公表)
会員制サイト等の利用者として入力された電話番号の漏えいについて (三菱東京 UFJ 銀行, 11/30)
第三者が弊行の「残高照会ダイヤル」(※3)に不正アクセスし、振込明細を聴取することによって振込依頼人名として入力された電話番号を入手し、架空請求詐欺に利用した事例があることを、警察からの連絡により認識いたしました。
弊行に存在している「残高照会ダイヤル」のアクセス記録全件(平成 27 年 4 月 28 日〜10 月 28 日分)を調査した結果、下記の情報漏えいが発生した可能性が高いことが判明いたしました。
該当口座数 47 口座 入出金明細に振込依頼人名として記載されている電話番号数 約 1 万 4 千件
6 か月分しかログがありませんでしたと。 件数の実態はもっと遥かに多いかもしれないが、もはや調べられない (ということになっている) 模様。
三菱東京UFJダイレクトの「残高照会・入出金明細照会」 (三菱東京 UFJ 銀行)
三菱東京UFJ 1万4000件の情報流出か (NHK, 11/30)
「銀行から1万4000件の情報流出」を当事者目線で解説したい (はてな匿名ダイアリー, 12/1)。事実だとすれば、たいへん興味深い。
情報源の方は2010年前後に出会い系サイトの運営を実際に行っていました。今回のような被害を2011年に受け、ネット上で「あのサイトは入会金の後払い請求をしてくる」と悪評が一気に広がってしまい、開設から1年半で閉鎖することになりました。
少なくとも 4 年前から漏洩?! 半年で 1 万 4 千件なら、4 年では 11 万 2 千件?
三菱東京UFJ銀行の振込依頼人の電話番号漏えいをまとめてみた (piyolog, 11/30)
壇宿六(闇のキャンディーズ)の素性を最初に晒したのは誰? (longlowの日記, 11/26)
Twitterで「クソ馬鹿ハゲ野郎」 匿名アカウント、実は新潟日報の報道部長だった…… 新潟日報「調査のうえ対処する」 (ねとらぼ, 11/24)
新潟日報、「Twitterで中傷書き込み」の報道部長を25日付けで解任 「一両日中にも社としての対応を決定し、公表する」 (ねとらぼ, 11/26)
新潟日報、元部長の“暴言”は「極めて不適切な行為」と謝罪 元部長は無期限懲戒休職に (ねとらぼ, 11/27)
記者個人の発信のあり方をもう一度考えたい:上越支社報道部長による中傷問題について (一戸信哉「新潟ソーシャル時評」/ 新潟日報, 11/27)
パリ同時多発テロで襲撃されたイーグルス・オブ・デス・メタルがメッセージ 「音楽万歳、自由万歳!」 (ハフィントンポスト, 11/19)
イーグルス・オブ・デス・メタルのドラマー、当日を綴った声明を発表 (NME, 11/25)
パリ同時テロを生き延びたバンドのメンバーが「あの時何があったのか」を語る約30分のインタビュー映像公開 (gigazine, 11/26)。VICE のインタビュー。
》 セキュリティ・キャンプキャラバンin大阪2015のまとめ( #spcamp #seccamp #matcha139 ) (togetter, 11/28)、 セキュリティ・キャンプキャラバンin大阪2015 参加記 (Null Thinking, 11/28)
》 白熱灯に2016年度から省エネトップランナー制度を適用、蛍光灯には言及なし (ITmedia, 11/27)
》 賛否両論、美濃加茂市「のうりん」美少女ポスター。炎上は避けられなかったのか (青柳美帆子 / Excite, 12/1)
なぜ「みのかもまるっとスタンプラリー」第4弾のポスターが、良田胡蝶を単独で使用したものだったのか。それにも理由がある。今回のスタンプラリーは4回目。第1弾ではメインビジュアル、第2弾は中沢農単独、第3弾は木下林檎単独。それなら第4弾は良田胡蝶単独で……となるのは、自然ななりゆきだ。
美濃加茂市は「煽情的な巨乳の女の子」としてではなく、「のうりんのメインキャラクターのひとり良田胡蝶」としてこのポスターを制作している。そのこと自体を批判するのには無理がある。
であれば (だからこそ)、絵の選択は慎重にすべきだろうに……。もったいない。
関連ツイート:
不愉快かぁ。問題にならなかった前3回分を含め「のうりんコラボポスター」を並べてみた。どこが、そして何がボーダーとなるのだろう?
→ 「巨乳」アニメポスター批判相次ぎ撤去 岐阜・美濃加茂
https://t.co/DkG4V9M768 pic.twitter.com/XMG1uXPKgb
— 伊丹和弘@朝日新聞長岡支局 (@itami_k) 2015, 12月 1》 逆転無罪判決!オウム元信者・菊地直子さんの手記を公開します (篠田博之 / Yahoo, 11/29)
今回、改めて菊地直子さんの裁判についての論評を検索してみたら、菊地さんの捜査のひどさをほかならぬ江川紹子さんが指摘していた。オウムをずっと追い続けてきた江川さんが論評するとすごく説得力があるので、興味ある方は下記をご覧いただきたいが、その江川さんの指摘が今回の判決では現実のものになったといえる。
http://blogos.com/article/44492/
》 政府の「学校の先生に保育士になってもらえば良い!」が、絶対にうまくいかない理由 (駒崎弘樹公式サイト, 11/29)
(前略) 加藤大臣は「いや、退職した教師を・・・」と仰います。
はい、与党関係者の皆さんには、1日だけで良いので、保育所で働いてもらえたらと思います。なんなら僕の経営する園で受け入れます。8時間以上、子どもを抱き、一緒に遊び、時に追いかけ回し。子どもが寝ている間も書き物をします。そう、保育士の仕事は、たいへんな重労働です。
》 ブラック企業大賞に「アリさん引越社」副社長が「企業恐喝」とデマ攻撃! 超ブラック企業に丸乗り「SPA!」の責任は (リテラ, 11/30)
ブラック企業大賞2015に、コンビニ最大手のセブンイレブンが選ばれたものの、メディアタブーによって、まったくどこにも報道されない状態が続いている。セブンイレブンに対するメディアの弱腰については別稿でレポートするつもりだが、それとは別に、ブラック企業大賞にノミネートされた“超ブラック企業”を擁護するおかしな報道が登場した。
セブンイレブン受賞の件、報道されてないのか…。
》 ルートサーバのIPアドレス変更 (JPNIC Blog, 10/2)。ヒントファイル、新しくなってました。手元の奴も更新しておかないと。
》 知育玩具のVTech、子どもの顔写真や親子のチャット記録も大量流出か (ITmedia, 12/1)
》 JVN が共通脆弱性評価システム CVSS v3 による脆弱性評価を開始 (JPCERT/CC, 12/1)
2000億円「14年 文科相に報告」 「新国立」工費膨張 担当者証言 (東京, 12/1)
新国立建設費:都4分の1負担、正式合意…395億円程度 (毎日, 12/1)
一方、馳氏は都の負担に法的根拠を与えるため、関連法令を整備する考えを明らかにした。
現状では、法的根拠は無いと。
8月に決まった現行の整備計画では、競技場に帰宅困難者・避難者対策などの防災機能を備えることが盛り込まれ、舛添氏は「都民が自分たちの身を守るのに使うということであれば『我々も一部負担しましょう』ということになり得る可能性はある」と理解を示していた。
しかしそれ、旧競技場でもできただろうしなあ。
》 無人航空機(ドローン・ラジコン機等)の飛行ルール (国土交通省)。手元に
改正航空法において導入される無人航空機の飛行ルールは、
・無人航空機の飛行の許可が必要となる空域
・無人航空機の飛行の方法
の2つに大別され、教育・研究機関の敷地内で無人航空機を飛行させる場合であっても、国土交通大臣の許可等が必要となる場合があります。
という注意喚起が流れて来ていたので。「人口集中地区」に含まれると要許可なようです。しかし肝心の、地図による小地域分析(jSTAT MAP)のアカウントは、さくっと取得できるわけではないようで。……とりあえず申請したところ、数時間で対応されました。
で、「人口集中地図」をチェックしてつらつら眺めてみたのですが、ふつうの住宅地でもアウトな感じですね。龍大だと、瀬田学舎は許可不要ですが、深草学舎・大宮学舎は要許可。まあ、京都のどまんなかだからなあ。
DELL の PC に 2 種類の不審なルート証明書 (2015.11.25)
Windows 側でも対処されることになりました。
マイクロソフト セキュリティ アドバイザリ 3119884 - 不注意で公開されたデジタル証明書により、なりすましが行われる (Microsoft, 2015.12.01)
マイクロソフトは証明書信頼リスト (CTL) を更新し、すべてのサポートされているリリースの Microsoft Windows 向けにこれらの証明書を信頼から除外しました。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)