Last modified: Mon Mar 30 12:18:31 2017 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 強制わいせつ罪成立に性的意図「不要」 最高裁が初判断 (朝日, 11/29)、 強制わいせつ「性的意図」不要 最高裁 47年ぶり判例変更 (東京, 11/29)。ようやく。
》 男35歳 “精子”の分かれ道 (NHK, 11/28)。不妊の原因は女性側ばかりではない、ということは知っていたのですが。
精索静脈瘤などの検査や治療は男性不妊の専門医がいる医療機関で調べることができます。
ところが男性不妊の専門医(泌尿器科)が少ないのです。
全国でまだ51人、それも偏りがあり北海道は1人。九州、四国は0。
婦人科系の不妊治療施設が全国におよそ600あるのと大きな差です。
うわあ、マジか。検査自体が困難とは。
》 北朝鮮、新型 ICBM「火星 15」を発射。射程 13,000km を実現?
北朝鮮ミサイル、最高高度4500キロ ロフテッドか (朝日, 11/29)
北朝鮮、挑発度合いを抑制?米の先制攻撃、極度に警戒か (朝日, 11/29)
日米韓は27日から北朝鮮内で弾道ミサイル発射の際に観測されるテレメトリー信号の発信を確認していたが、ミサイル本体の確認は遅れていた。日米韓の間では、北朝鮮が米軍による先制攻撃を警戒しているのではないかとの声が出ていた。
北朝鮮、新型ICBM「火星15」発射成功と発表 (朝日, 11/29)
日本列島手前に落下と判断、Jアラートの鳴動なし (朝日, 11/29)
北朝鮮、米本土全域「攻撃可能」 正恩氏「歴史的大業」 (朝日, 11/29)
北朝鮮が弾道ミサイル1発発射 高度約4500キロまで上昇 韓国軍 (NHK, 11/29 06:10)
北朝鮮 重大報道で「『火星15型』の発射実験に成功」 (NHK, 11/29 15:21)
火星 14 を改良した 3 段型? 明日になれば打ち上げ時の映像とか出てくるかな。 投射能力は確実に向上しているようだけど、再突入体の能力がどうなっているかはいまだ不明。
macOS 10.13 High Sierra において、管理者パスワードを求められる場面で 「ユーザー名: root」「パスワード: なし」を使うと、なぜか通ってしまうという話。 root ユーザーの有効・無効とは関係なく効いてしまう模様。 macOS 10.12 Sierra にはこの欠陥はない。
とりあえず回避するには、root ユーザーにパスワードを設定する。2 とおりのやりかた:
ルートユーザーを有効にし、その後パスワードを設定する。 Mac でルートユーザを有効にする方法やルートパスワードを変更する方法 (Apple) や Macでrootユーザを有効にし、macOS 10.13 High Sierraでパスワード無しにrootアカウントでログインできる不具合を修正する方法。 (AAPL Ch., 2017.11.29) を参照。
ターミナルで sudo passwd root を実行
関連:
macOS High Sierra の設定に関する注意喚起 (JPCERT/CC, 2017.11.29)
なお、パスワードを設定後、「ルートユーザを無効にする」に再設定すると、 当該問題を再度悪用される可能性があるため、注意が必要です。
Apple、macOS 10.13 High Sierraでパスワード無しにrootアカウントに昇格出来てしまう脆弱性をソフトウェア・アップデートで修正すると発表。 (AAPL Ch., 2017.11.29)
patch 出ました: About the security content of Security Update 2017-001 (Apple, 2017.11.29)。CVE-2017-13872
》 キャッシュレス社会成熟化の過程と今後の展開 北欧デンマークの事例から (富士通総研, 8/30)
現金が手元にないことが日常化しつつあるデンマークでは、子供がどのように金銭感覚を身に着けていけばよいのかという点も関心事のひとつである。キャッシュレスで手軽に支払いができる反面、きちんとした金銭感覚が身に着いていない若者が増えているという社会問題が顕在化している。
そんな副作用があるのか……。
》 クラックマニュアル販売時の商標法違反、有罪が確定 (Security NEXT, 11/27)。この件:
東京高裁、クラックプログラム使用情報を販売した男性に対して控訴審で商標法違反による有罪の実刑判決 (BSA, 11/22)。高裁と最高裁でも負けたので実刑確定、という記事。
宇都宮地方裁判所、クラックプログラム使用情報を販売した長野県内の男性を商標法違反で有罪の実刑判決 (BSA, 2016.07.12)。地裁判決時の記事。
BSA加盟企業の権利侵害で、宇都宮地裁栃木支部が2事件で初の有罪判決 ~ プロダクトキーとクラックツール販売サイトでの商標権侵害と、「TechNet」での私電磁的記録不正作出・同供用罪 ~ (BSA, 2014.10.16)。別件の Microsoft 製品商標権侵害の件。
》 3Dプリンター製マスクでiPhone Xの顔認証「Face ID」を突破するムービーが公開中 (gigazine, 11/28)、 Bkav’s new mask beats Face ID in "twin way": Severity level raised, do not use Face ID in business transactions (Bkav, 11/27)。
新モデルは3Dプリンターで出力するものなので、多くの時間を要さず、コストは200ドル(約2万2000円)ほど。部屋の複数箇所に監視カメラを仕掛けていれば3Dデータを取ることができるので、アルゴリズムを用いれば簡単にマスクを作成可能であり、Bkavは「iPhone Xは仕事の取引のときに使えるだけの安全性はない」と結論づけています。
》 大阪市とサンフランシスコ市の姉妹都市提携解消騒動(産経新聞界隈の「歴史戦」の戦果について) (雑記(主に政治や時事について), 11/26)
》 倉重篤郎のサンデー時評 「権力私物化」のカラクリ! 前川喜平・前文科次官 加計学園問題を洗いざらい激白 (毎日, 11/21)。「180分独占インタビュー」。
》 『暴政――20世紀の歴史に学ぶ20のレッスン』 (慶應義塾大学出版会)。「1.忖度による服従はするな」
》 9.11で崩壊のWTC、開発業者に航空会社が和解金支払いで合意 (AFPBB, 11/22)。「両航空会社が9510万ドル(約106億5000万円)を支払って和解」
》 アカハラで大学と元教授に130万円の賠償命令 神戸地裁 (NHK, 11/27)。兵庫教育大学。
》 IoT機器を狙うウイルス感染 100倍に急増 先月から (NHK, 11/26)、 マルウェア「Mirai」の新型亜種が急増--日本でも感染被害か (ZDNet, 11/27)。 セキュリティ動向2017 (IIJ Technical WEEK 2017, 11/8) の件。
関連:
「IoTクライシス」が忍び寄る(前編) (NHK, 11/22)
「IoTクライシス」が忍び寄る(後編) (NHK, 11/24)
サイエンス ZERO (NHK)。12/3 は「家電が狙われる!?新たなサイバー犯罪の脅威」
IntelのAtom C2000シリーズを採用するサーバーが突然死する危険性、Intelは対応中も詳細は公表せず (gigazine, 2/8)、 Atom C2000 の不具合が解消へ、Atom C2000シリーズにC0ステッピングが追加される (syobon, 4/27)
IIJ Technical WEEK 2017 街中のクルマ数万台がボットに感染、IoTボット「Mirai」が走りながらサイバー攻撃! 仮想通貨取引所へのDDoSは利ざや稼ぎが目的か? (Internet Watch, 11/28)
》 アマゾン、競合するLINEの「AIスピーカー」販売禁止…独占禁止法違反なのか? (弁護士ドットコム, 11/23)
》 「Android」端末、位置情報サービスOFF時も基地局情報を追跡--修正へ (CNET, 11/22)
》 フジテレビ 番組中止に 20歳女性が21歳未満禁止のパラオで飲酒 (NHK, 11/26)、 テラハっぽい番組「恋神アプリ」が法令違反のため放送&配信中止に (togetter, 11/25)
》 5ちゃんねる、まとめルール変更で「アフィブログ死亡」の声も…従わないとダメ? (弁護士ドットコム, 11/26)
》 「ネット中立性」が米国で廃止へ 日本のサービスにも影響はある? (ITmedia, 11/26)
》 フィンテック スマホ決済、現金消えた スウェーデン、パンも献金も (毎日, 11/27)、 スウェーデンが進めるキャシュレス社会、「現金お断り」のお店も (Digital Innovation Lab, 2016.12.28)
Swishなどのモバイル決済を支えているのが、「Bank ID」と呼ぶ電子IDカードです。スウェーデンでは出生時に個人識別番号が付与されます。日本でも利用が始まった「社会保障・税番号制度(マイナンバー)」が、これに相当します。この個人識別番号に氏名と電子証明書を統合したのがBank IDです。個人が本人であることはBank IDによって保証され、法的な拘束力もあります。
(中略)
Bank IDという決済のためのプラットフォームが存在することに加え、スウェーデンはEU圏にありながら、ユーロ通貨ではなく、独自の通貨制度を維持しています。このことも電子決済を推進しやすい理由の1つなのでしょう。
》 廃炉カメラ、200時間稼働 浜松ホトニクス、高い放射線に耐性 (日経, 11/27)。要素技術の開発が地味に続いているようで。
》 わずか60秒で自動車のセキュリティを「ハック」して車を盗む手口、誰もが遭遇し得る盗難への対処法とは (gigazine, 11/27)
泥棒の片方が何やら器具を家の壁に近づけました。これは「リレーボックス」と呼ばれる特殊な機器で、特定の電波を中継する役目を果たします。
キーレスエントリーシステムの欠陥を突く攻撃。電波を中継・増幅するだけで、ハイこのとおり。
》 ケンタやデニーズも「全席禁煙」 分煙はバイト採れず (日経, 11/2)。もはや労働者に受け入れられない時代か。
》 航空管制の無線障害 原因は電力供給装置の故障 きょうも一部欠航 (NHK, 11/25)、 札幌航空交通管制部における対空通信施設の障害について (国土交通省, 11/25)。札幌 ACC、11/24 19:47-21:20 の不具合の件。
対空通信施設に電源を供給する、バックアップ機能を有する電源供給装置に不具合が発生し、当該通信施設に電源が供給されなくなった
札幌航空交通管制部対空通信施設の障害概要 (国土交通省) を見る限りでは、 「電源供給装置」そのものが多重化されていたわけではなかったということかなあ。
》 Google検索はもう信頼できない? デマやまとめサイトとの向き合い方 (ITmedia, 11/24)。昔からそうだと思うのだが。
》 Uber、2016年の5,700万件個人情報流出を1年にわたり隠蔽 (PC Watch, 11/22)
》 あなたの家電が狙われている~インターネットの新たな脅威~ (NHK スペシャル, 11/26 放送予定)
関連: スマートホームが隣人に操作される可能性も、市販IoT機器にセキュリティ問題 (Internet Watch, 11/24)
》 南スーダンPKO 昨年7月 陸自宿営地に弾頭落下 首都ジュバ 戦闘そのものだった 近傍に戦車、頭上飛ぶ砲弾 資料に明記、防衛省認める (しんぶん赤旗, 11/24)
》 アルゼンチン潜水艦、異音は爆発 海軍が認める (AFPBB, 11/24)。「爆発があったのは、15日の通信が途絶えた直後」。サンフアンの件、絶望的か。
》 社会 点字ブロック、黄色がいい (毎日, 11/21)
眼鏡などでは調節できないほど視力が弱い弱視の人は (中略) 約24万人います。弱視の人は、点字ブロックの凹凸だけを頼りにしているわけではなく、目で追いながら歩くことが多いので、より目立って見やすい黄色の方が良いそうです。
》 半島有事で邦人退避計画初策定へ (ロイター, 11/24)。検討は昨日今日はじまったわけではないようですが。
在韓邦人保護、備え急ぐ 政府、退避所を確保 (日経, 9/5)
日本政府関係者によると、これまでの韓国政府との調整で韓国国内に設けた退避所を邦人が使用することの了解を得た。退避所は地下鉄駅や教会、商業施設が指定されている。日本政府は既に900カ所以上の施設を在韓邦人に情報提供している。
自衛隊が韓国国内で活動するには韓国政府の同意が必要だが、歴史的な背景から韓国世論の反発も予想され了承をとりつけられていない。釜山からは自衛隊の船舶も含めた手段で日本に送る。
ドンパチ時は、待避所 → 釜山へ陸上移動 → 船舶で日本へ。 文字にすると 20 文字以下だが、実態は地獄のデスロードであろ。
在韓邦人退避、計画作りに壁 朝鮮半島の有事想定 (朝日, 11/9)
最大の課題は、韓国が自衛隊を受け入れることに強い抵抗感を示していることだ。ある政府関係者は「韓国は歴史的経緯もあり、自衛隊が入ってくるのを拒む」と語る。小野寺氏も韓国との協議について「日本人をどう退避させるかという具体的なところはまだできていない」と認めた。
友好関係を築けていないと、こういうことになるわけです。
朝鮮半島有事でも、日本人5万人が退避できない「痛い理由」 (Forbes JAPAN / livedoor, 11/19)
ちなみに、邦人救出で頼みの綱の米軍はあてにできない。ソウルには米国の永住権(グリーンカード)保持者を入れると、米大使館の保護対象者は10万人以上になり、邦人は後回しにならざるを得ないからだ。
【河野太郎外相インタビュー】 在韓邦人退避、自衛隊への韓国世論が障害 (産経, 11/24)
国外の邦人輸送で指揮を執った経験がある元航空支援集団司令官の永岩俊道氏は「自衛隊の輸送能力には限界がある。必要な数の100分の1も運べない」と述べ、民間航空会社などの協力が必要だと指摘する。
これは、飛行機が飛べる程度の状況の場合ですね。
自衛隊関係者は韓国でのNEOについて「日本単独では無理だ。多国籍軍や国連軍の枠組みでやるしかない」と語る。(中略) 防衛省関係者は「韓国の反日世論を考えれば地上部隊の投入は難しい」と語る。
》 トランプ訪日でGPSが狂った!? まさかの理由で自動運転の問題点が浮き彫りに (オートックワン / Yahoo, 11/20)。みちびきにはまだ対応できていないのかな。試験サービスははじまっているのだけれど。
》 ポルノではない「普通のセックス」をノルウェー国営放送局が放送 (鐙麻樹 / Yahoo, 11/22)
現代の若者はインターネットと育ち、SNSでの人間関係、ネットからの溢れる情報に囲まれ、今の大人たちが体験しなかった種類のストレスにさらされているとされる。ノルウェー国営放送局は、このようなネット時代に生きる若者をターゲットに、以前からあえて議論を醸す番組を提供する傾向がある。
》 Windows10でファイルコピー後のCtrl+zは危険! 完全にファイルが消えるぞ (ガジェット通信, 11/21)。えっと思って試してみたら、確かにそうなる。じゃあ CTRL-Y (redo) で復活するかというと、そうでもないというのがなあ。
Intel Management Engine 11.0.0〜11.7.0、 Intel Trusted Execution Engine 3.0、 Intel Server Platform Services 4.0 に複数の欠陥。 local user による権限上昇や、無認証プロセスによる特権情報の取得、remote Admin アクセス可能な攻撃者による AMT 権限での任意のコードの実行などが可能。 対象 CPU:
- 6th, 7th, and 8th generation Intel Core Processor Family:
- Intel Xeon Processor E3-1200 v5 and v6 Product Family
- Intel Xeon Processor Scalable Family
- Intel Xeon Processor W Family
- Intel Atom C3000 Processor Family
- Apollo Lake Intel Atom Processor E3900 series
- Apollo Lake Intel Pentium Processors
- Intel Celeron N and J series Processors
まず検出ツール (Windows 版、Linux 版) を試し、対象であれば修正版ファームウェアで更新する……のだが、ファームはまだリリースされていない場合が多いのかな。
Dell クライアント: Intel ME/TXE アドバイザリ (INTEL-SA-00086) に関するデルクライアントのステートメント
Dell サーバー: Intel ME/TXE アドバイザリ(INTEL-SA-00086) に関するDell サーバの ステートメント
HP Enterprise: HPE Servers - Some Systems Using Certain Intel Processors Are Vulnerable to Local Denial of Service and Execution of Arbitrary Code
Intel: SA-00086 for Intel NUC, Intel Compute Stick and Intel Compute Card
lenovo: Intel ME 11.x、SPS 4.0、TXE 3.0 ファームウェアの累積的セキュリティアップデート
Panasonic: Security information about Intel Management Engine (ME) firmware
関連:
詳細: Intel Q3'17 ME 11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update (Intel, 2017.11.22 更新)。Intel Manageability Engine Firmware 8.x/9.x/10.x にも欠陥があることになっているのだが、修正版があるのは 11.x 以降のみということなんだろうか。
Acer, Dell, Fujitsu, HP, Lenovo, Panasonic Impacted by Intel ME Security Bugs (bleepingcomputer, 2017.11.23)
一部コンピュータベンダーがインテルの「Management Engine」を無効化 (CNET, 2017.12.05)。System76、Purism、Dell。
OS停止時でも攻撃可能?Intel マネジメント・エンジンの脆弱性への対策 (トレンドマイクロ セキュリティ blog, 2017.12.05)
あと、 インテルマネジメント・エンジンの重要なファームウェアアップデート (インテル sa-00086) は 2017.12.05 付で改訂されてます。
》 トレンドブログ 座間事件「フェイク」証言 批判相次ぐ (毎日, 11/20)。管理人を取材。
》 ビルへ侵入するサイバー攻撃対策を検討--竹中工務店らが実証へ (ZDNet, 11/17)
》 性交を認めながら「レイプでなかった」とする根拠に乏しいジャーナリスト・山口敬之と擁護派の主張 (武田砂鉄 / WEZZY, 11/15)
》 平成29年度新規事業 「中小企業向けサイバーセキュリティ対策の極意」を発行 (東京都, 11/9)、 サイバー攻撃 都が冊子発行 イラスト多用「極意」まとめ (毎日, 11/22)。 PDF 版は無償公開されてます。
》 下村元文科相党支部 政治資金で自著購入 1900冊分 (毎日, 11/21)。こんなのばっかだな。
》 「飯塚事件」の再審を求めて東京で集会、学者らが報告――死刑執行後に数々の疑念が浮上 (金曜日 / Yahoo, 11/20)。これは冤罪であろ。
》 米軍輸送機が沖ノ鳥島沖で墜落、3人不明 空母から発艦 (朝日, 11/22)。ロナルド・レーガンから発艦した C-2 が墜落。
》 原電の廃炉費、大幅不足 原発建設に流用、全基停止後も (朝日, 11/17)。積み立てた廃炉費用 1800 億円、「大半を流用してしまった」。 めちゃくちゃ。
緊急時にすぐに使える手元の現預金は3月末時点で187億円しかない。
》 2018年4月から「個人視聴率+タイムシフト視聴率」がスポットCMの取引指標に (日経デジタルマーケティング, 11/17)。ようやく。
》 ツイッタージャパン・笹本社長「ヘイトが社会の側面としてあることを認識して」発言に失望の声 (togetter, 11/21)。当事者意識がなさすぎるんだよなあ。 関連:
ツイッターCEOが語る “つぶやき”の光と影 (クローズアップ現代+, 11/21)
ツイッターCEO 何を語った?全文掲載 (NHK, 11/21)。クロ現+ では使われなかった部分を含む全文、ということかな。インタビュー日時は不明。
アカウント凍結「日本でもミスがあった」 TwitterのドーシーCEO、「改善に注力」 (ITmedia / ニコニコニュース, 11/20)。インタビュー日時は不明。
ツイッター CEO「よりオープン化 悪用を防ぐ」 (毎日, 11/14)。11/14 にインタービューを実施。
ツイッターCEO一問一答詳報 (上)インタレスト・ネットワーク 関心事で人々をつなぐ (毎日, 11/14)
ツイッターCEO一問一答詳報 (下)「驚くべき国」日本 緊密に日本法人と連携 (毎日, 11/14)
》 プチ鹿島 日馬富士暴行問題 新聞各紙読み比べ (miyearnZZ Labo, 11/21)。YBS「キックス!」11/21 書きおこし。
(プチ鹿島)「じゃあ貴乃花さん。貴ノ岩、記者会見とかやったらどう? 相撲協会の事情聴取にも応えつつ、情報を全部オープンにしたら?」っていうのは、世間を相手にした以上、クリアな情報っていうのが求められる。だからある意味、貴乃花さんが小池百合子の二の舞になるかどうか。小池さんもね、最初自民党をブラックボックスだって言って、「正しい!」って喝采を浴びた。だけど自分が権力を握ったら、築地市場の豊洲移転。「あれ、誰が決めたの?」「私が決めました」「えっ、その文書は?」「ありません。あれはAIが決めました」とか。途端に「怪しい……」ってなったでしょう。「小池さんも怪しいじゃん!」ってなったでしょう。だからいま、同じところに貴乃花親方がいるわけですよ。
》 米大統領の「違法」な核攻撃命令は拒否する=米戦略軍司令官 (BBC, 11/20)。USSTRATCOM ジョン・E・ハイテン司令官、 ハリファックス国際安全保障フォーラムにて。
米軍の武力紛争法規は、核兵器による威圧もしくは使用は国際法で禁止されていないが、核兵器の使用は「武力紛争に適用される関連法の要件にかなうものとはとても思えない」という国際司法裁判所の判例を引用している。
司令官はさらに、「違法な命令を実行すれば、刑務所に行くかもしれない。一生、刑務所に行く可能性もある」と指摘した。
》 山口放送「奥底の悲しみ」の演出とクレジット非表示問題 (山本めゆ, 11/7)。こういうの、TV ドキュメンタリーの世界ではままあるようなのだけど、BPO 案件だよなあ。
女性の研究を利用し批判を向けられると口を封じようとする。佐々木氏は「奥底」で描いた性暴力や二次加害を自ら反復するという逆説に陥っているのではないでしょうか。
》 コンビニATMの「消滅」がほぼ確実と言われる理由 (ダイヤモンド online, 11/15)
》 日本横断後、空自と訓練 今年8月 核搭載可能な米爆撃機B52 (朝日, 11/19)。B-1B のエスコート訓練は公表されているのに、B-52 のは非公表。隠す必要ないと思うけど、核任務の有無に敏感なんですかねえ。 B-52 だからと言って常に核を塔載するわけじゃないだろうに。
というか、公表できないのならやるなよ。
》 アルゼンチン潜水艦の捜索続く、海は大荒れ 救難信号受信の情報 (AFPBB, 11/19)、 ARA San Juan (Wikipedia)。艦歳 30 年以上ですか。
サンフアンの件つづき:
アルゼンチン海軍の潜水艦が消息絶つ 天候不順で捜索難航 (BBC, 11/20)
消息不明の潜水艦が「故障の報告」=アルゼンチン海軍 (BBC, 11/21)
》 セキュリティ会社の社員逮捕、ウイルス拡散が疑われるも残る疑問 (日経 IT Pro, 11/20)。Share で DIT 社員逮捕の件。
》 2020年、ついにIntelのx86でDOSが動作しなくなる (PC Watch, 11/17)。UEFI の話。
そこでIntelは、2020年までに、クライアントPCおよびデータセンタープラットフォームのUEFIからCSMを完全に削除した「UEFI Class 3」を導入する意向だ。プラットフォームは厳密なUEFI Class 3準拠となり、16bitのOpROM(ビデオカード、ネットワーク、ストレージ)も完全に削除される。
これにより、OSのインストールやリカバリといったすべての環境が、UEFIによるセキュアブートの環境下で行なわれ、ユーザー体験が向上。さまざまな製造用/メンテナンス用のツールも、DOSやBIOSに依存しなくなる。ネットワークブートも、UEFI下のPXEとHTTPSで行なわれるようになる。
》 26,000 blockchain projects launched in 2016, 92 percent are now dead (The Next Web, 11/9)。死屍累々。
》 大学受験が「聖戦」?戦時下の受験生はこんな問題を解いていた (辻田 真佐憲 / 現代ビジネス, 11/17)
》 「研究室の母」が雇い止めに…? 「大混乱」と現場反発 (朝日, 11/17)。東北大学。
》 シカ思いの踏切、近鉄導入 悲しむ親ジカ見て…社員発想 (朝日, 11/17)
野生のシカとの接触事故に頭を抱えていた近畿日本鉄道が、運行時間外にあえて線路を渡れるようにする「シカ踏切」を導入した。侵入しないように排除するのではなく、共存を目指したところ、事故は激減し、対策に光明が差してきた。
》 第二次世界大戦後すぐの復興中の日本を撮影したカラー写真が国立国会図書館デジタルコレクションにて公開中 (gigazine, 11/17)、 モージャー氏撮影写真資料 (国立国会図書館デジタルコレクション)
》 バク宙可能な人型ロボット「Atlas」をボストン・ダイナミクスが開発中、驚異的な運動能力を身につけていることが判明 (gigazine, 11/17)
》 サイバーセキュリティ経営ガイドラインを改訂しました (経産省, 11/16)
出ました。
リリースノート: Firefox 57.0、 ESR 52.5.0、 Android 版 Firefox 57.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
関連:
「Firefox Quantum」登場--高速化するも多数のアドオンが使えず (CNET, 2017.11.15)
セキュリティ修正を含む Firefox 57.0.1 が 2017.11.29 付で出てました。 リリースノート、MFSA 2017-27: Security vulnerabilities fixed in Firefox 57.0.1。
2017.12.07 付で Firefox 57.0.2 / ESR 52.5.2 公開。セキュリティ修正を含みます。iida さん情報ありがとうございます。
出ました。Windows, IE / Edge, Office, ASP.NET Core / .NET Core, Chakra Core。 IE / Edge に 0-day あり。
いろいろ出ました。0-day は無い模様。
なし
APSB17-33 - Security updates available for Flash Player (Adobe, 2017.11.14)。Flash Player 27.0.0.187 公開。5 件のセキュリティ欠陥を修正。
APSB17-36 - Security Updates Available for Adobe Acrobat and Reader (Adobe, 2017.11.14)。62 件のセキュリティ欠陥を修正。
| 種別 | 更新版 |
|---|---|
| Acrobat / Acrobat Reader DC (Continuous Track) | 2018.009.20044 |
| Acrobat / Acrobat Reader 2017 | 2017.011.30068 |
| Acrobat / Acrobat Reader DC (Classic Track) | 2015.006.30392 |
| Acrobat / Reader XI | 11.0.23 |
Acrobat / Reader XI のサポートは 2017.10.15 で終了。 11.0.23 が最終版となる。Adobe は DC への移行を推奨。
APSB17-40 - Security update available for Shockwave Player (Adobe, 2017.11.14)。Adobe Shockwave Player 12.3.1.201 公開。1 件のセキュリティ欠陥を修正。
APSB17-34 - Security updates available for Adobe Photoshop CC (Adobe, 2017.11.14)。2 件のセキュリティ欠陥を修正。
APSB17-35 - Security updates available for Adobe Connect (Adobe, 2017.11.14)。5 件のセキュリティ欠陥を修正。
APSB17-37 - Security update available for the Adobe DNG Converter (Adobe, 2017.11.14)。1 件のセキュリティ欠陥を修正。
APSB17-38 - Security updates available for InDesign (Adobe, 2017.11.14)。1 件のセキュリティ欠陥を修正。
APSB17-39 - Security updates available for Adobe Digital Editions (Adobe, 2017.11.14)。6 件のセキュリティ欠陥を修正。
APSB17-41 - Security updates available for Adobe Experience Manager (Adobe, 2017.11.14)。3 件のセキュリティ欠陥を修正。
》 スパコン省エネ、世界1−3位が日本勢 ベンチャー躍進 (朝日, 11/14)、 スーパーコンピュータシステム「Gyoukou(暁光)」が スパコンランキングTOP500で国内1位(世界4位)・Green500で世界5位を 同時に獲得 (PEZY Computing, 11/14)
GREEN500 List for November 2017 (TOP500)
》 リニューアルした日経電子版が高速すぎてヤバイ件 (こんぴゅ / note, 11/13)。速いは正義ですか。
Symantec Endpoint Protection 12.1.6 MP9 / 14.0.1 の Windows 版には計 3 件のセキュリティ欠陥の修正が含まれているそうで。
権限上昇を招く欠陥 CVE-2017-13681。Severity: High (CVSSv3: 8.8)。12.1.6 MP9 で修正。
任意のファイルを認証なしで削除できる欠陥 CVE-2017-13680。Severity: Medium (CVSSv3: 6.5)。12.1.6 MP9 / 14.0.1 で修正。
SEP の Tamper-Protection 機能を回避できる欠陥 CVE-2017-6331。Severity: Low (CVSSv3: 2.8)。12.1.6 MP9 / 14.0.1 で修正。
関連: Symantec Endpoint Protection 12.1 - Tamper-Protection Bypass (exploit-db.com, 2017.11.10)
》 Upcoming Security Updates for Adobe Reader and Acrobat (APSB17-36) (Adobe, 11/9)
》 パナソニック、京都の学生向けアパートに宅配ボックスを設置する実証実験 (家電 Watch, 11/9)。パナ、京都市、京産大。
》 少女が13歳から8年間、架空の妻子持ちMLBライターになりすましていたことが発覚 (ベースボールチャンネル, 11/12)。SF におけるジェイムズ・ティプトリー・Jr. 級なのだろうか。
How my baseball-writing catfish ruse decayed into harassment (Jaclyn Hendricks / New York Post, 11/10)
Baseball blogger fired amid allegations of harassment, catfishing (Alex Putterman / Awful Announcing, 11/8)
Author: Ryan Schultz (baseballprospectus.com)
The Angels’ other star player (rschultzy20 / beyondtheboxscore.com, 8/17)
》 「鎌倉」でなく「北条時代」が区切り 時代区分に新提案 (朝日, 11/9)。保立道久氏による提案。個人的には、すごくわかりやすい。
――室町時代ではいけないのですか。
「室町は足利義満の室町御所から採ったのですが、幕府があった場所は室町だけではありません。昭和の初めまでは足利時代という用語が普通でした。皇国史観の中で足利氏が『逆賊』として嫌がられて室町時代の使用が増え、それが続いているだけです」
マジか……。歴史を歪める皇国史観。
――提案は受け入れられるでしょうか。
「現状では孤立した意見だろうと思います。学界の賛同を得るには、この時代区分で日本の通史を書いてみる必要があるでしょうね」
わくわく。
》 iPhone Xは過去最高に壊れやすいとの評価 (スラド, 11/10)。「過去最高に壊れやすく、最高の価格が付けられた、修理費用も最高のiPhone」。すごい評価だ。
》 監視カメラが今熱い! 個人・SOHO向け低価格監視カメラ選び方ガイド (Internet Watch, 11/10)
》 Bitcoinのハードフォーク「Segwit2x」が延期に--十分な合意得られず (CNET, 11/10)
》 Twitterが白人至上主義者に認証バッジ、反発を受けプロセスを一時停止 (CNET, 11/10)
》 IETFトピックス2016-17 IoTのさらなる実現に向けたプロトコル/セキュリティ (Internet Watch, 11/10)
》 次期Windows 10に女子高生AI「りんな」がIMEとして実装 (PC Watch, 11/9)。本当の「AI変換」ですか。漏洩注意。
》 海の向こうの“セキュリティ” パスワード管理に対するIT部門と従業員のギャップ/セキュリティチームに求められる非技術的スキル (Internet Watch, 11/9)
》 マルウェア防御率と誤検知数の2トップはTrend MicroとSymantecのセキュリティ製品 〜AV-Comparativesの評価レポートより (窓の杜, 11/9)。誤検出 22 個の F-Secure 以降が many FPs と分類されているが、トレンドマイクロ (80個) は very many FPs、シマンテック (274 個) は remarkably many FPs と分類されている。
》 Cylance、AIを活用したエンドポイント脅威防御製品「CylancePROTECT」にEDR機能を統合 (クラウド Watch, 11/7)
Android 2017.11 セキュリティ修正。patchlevel は 2017-11-01、2017-11-05、2017-11-06 の 3 つ。 WPA2 の欠陥“KRACK”が修正されているのは patchlevel 2017-11-06 。
関連:
Pixel / Nexus Security Bulletin—November 2017 (Android, 2017.11.08 改訂)
AndroidでもWPA2/WPA脆弱性を修正、11月の月例パッチで (Internet Watch, 2017.11.07)
【記事追記 11月8日 11:57】
KDDI(au)によれば、11月7日に公開されたSamsung「Galaxy S8+ SCV35」「Galaxy S8 SCV36」向けのソフトウェアアップデートにおいて、WPA2/WPAの脆弱性に対応したという。各アップデート情報のウェブページによればセキュリティパッチレベルが2017年10月のものになるとされているが、同社広報によれば、11月7日にGoogleが情報を公開した「2017-11-06」の内容も含まれるとのこと。
》 教科書の文章、理解できる? 中高生の読解力がピンチ (朝日, 11/7)。この程度は、ちゃんと理解できてほしいのだがなあ。
》 NEC、「ウォークスルー顔認証」を製品化 (ZDNet, 11/2)
》 マイクロソフト、「高度に安全」なWindows 10デバイスの基準示す (CNET, 11/8)
》 Windows DefenderのFresh Start機能を使ってWindows 10をリフレッシュする (@IT, 11/7)
》 Windows Defender Exploit Guard: 攻撃表面を縮小して次世代型マルウェアに対抗する (日本のセキュリティチーム, 11/1)
》 新幹線に無料の無線LAN JR東・西が導入 (ITmedia, 11/8)。「2018年夏ごろから」
》 AmazonからLINEのスマートスピーカー消える Echo発売でライバル追い出し? (ITmedia, 11/8)。あいかわらずのクソっぷり。
》 「自宅前のゴミ荒らし」もカメラ設置で正体確認! 普通の家でも便利な「玄関先劇場」をあなたの手に (Internet Watch, 11/7)
2017/18シーズン インフルエンザワクチン株 (国立感染症研究所)
今年度の製造量は 2,528 万本。これは、昨年度の使用量 2,642 万本よりも少ない数字。
インフルワクチン、過去5年で最少に 厚労省「1回接種」推奨 (日経, 10/6)。2回接種はやめてくれ、と。
第12回厚生科学審議会予防接種・ワクチン分科会 資料 (厚生労働省, 10/6)、 参考資料4 季節性インフルエンザワクチンの供給について (厚生労働省, 10/6)
インフルエンザワクチン、医師6割「不足」 供給遅れる (朝日, 11/7)
効果が薄い?
不足だけでないインフルエンザワクチンへの懸念 (三和 護 / 日経メディカル, 10/16)
第16回厚生科学審議会予防接種・ワクチン分科会研究開発及び生産・流通部会 (厚生労働省, 8/25)、 資料3 インフルエンザワクチンの有効性と免疫原性 -ヒト・データの意義- (厚生労働省, 8/25)
インフル予防接種の効果、昨シーズンは20% 今年も同程度に (AFPBB, 11/7)
インフルエンザワクチンは効果がない? (朝日, 2016.10.17)。一般論。
任意のワクチンなので、13歳以上でも2回受けても構いません。私のような患者さんと接するハイリスクの医療関係者や、どうしてもインフルエンザになりたくない受験生などは以前から2回受けています。
ワクチンが足りないのでこれをやるな、というのが今年。 ただでさえ効かないかもしれないのに。
JVNVU#93593263 - IEEE P1735 に脆弱性 (JVN, 2017.11.06)
IEEEの電子設計暗号規格に脆弱性、半導体大手の製品に影響の恐れ (ITmedia, 2017.11.07)
無料のオフィスソフト「LibreOffice」の安定版v5.3.7が公開、脆弱性を解消 (窓の杜, 2017.11.07)。「ライブラリ「libwpd」が更新され、ヒープオーバーフローの脆弱性が解消された」。 セキュリティ勧告 (LibreOffice) には記載がない。
米セキュリティ企業、ブラザー製プリンタの脆弱性情報を公開 (ITmedia, 2017.11.08)
Trustwave SpiderLabs Security Advisory TWSL2017-017: Remote Unauthenticated DoS in Debut embedded httpd server used by Brother printers (Trustwave, 2017.11.02)。PoC つき。
Chrome 62.0.3202.89 公開。2 件のセキュリティ欠陥を修正。
》 Androidの「パターンロック」認証は、のぞき見で簡単に破られることが判明:米研究結果 (WIRED, 11/5)
》 さっそくiPhone Xの顔認証機能「Face ID」を本人以外が突破してしまう (gigazine, 11/5)
》 サイボウズ バグハンター合宿に行ってきた (葉っぱ日記, 11/6)
》 Mirror Sync Outage for ClamAV AV updates (ClamAV, 11/1)。続報がないところを見ると、継続中なのかな。
》 山市良のうぃんどうず日記(110): 重箱の隅をつつくようですが、“重要なこと”なので言わせてもらいます――Windows 10の更新オプション名称変更について (@IT, 11/6)。こういう変更ってほんと困るんですよねえ。
》 Twitterサポート担当者が最終出社日にトランプ大統領のアカウントを停止。公式が謝罪 (PC Watch, 11/6)。誤操作とかではなく、特定ユーザーに対する破壊行為だったのか。
》 Twitterルールが更新、“写実的な暴力描写”“成年向けコンテンツ”の定義が明確に (窓の杜, 11/6)、Twitterルール (Twitter)
前のバージョンが読みたいのだが、archive.is には 英語版しかないっぽい。
》 Windows 10とOffice、セキュリティ機能を提供する月額2000円台のSMB向け「Microsoft 365 Business」 (クラウド Watch, 11/2)
》 自民党の大学無償化が頓挫、NHKは「後払いのツケ制度」を「在学中は授業料無償化」とフェイクニュース拡散 (Buzzap!, 11/3)、 学費“無償化詐欺”の本末転倒/政界地獄耳 (日刊スポーツ, 11/6)。ただのツケ払い、後払いです。
関連ツイート:
「在学中は無償」という新しい自民党コンセプトができましたね! 後払いのものは、とりあえず全部「無償」。
— KAMEI Nobutaka (@jinrui_nikki) 2017年11月3日
レストラン「食事中は無償」
タクシー「乗車中は無償」
病院「診察中は無償」
ホテル「宿泊中は無償」
…
無償天国ばんざい!https://t.co/DXsjBQ4n51
》 配達遅延でご迷惑をお掛けしており、現在の状況についてお知らせいたします (ヨドバシカメラ, 11/6 改訂)
今回の遅れは、新物流センターへの移転に伴う作業で発生したもので、下記期間のご注文の一部について出荷されていない状況が確認出来ています。(中略)
・2017年10月31日(火)午前8時以前のご注文
現在不具合への対応を進めておりますが、復旧作業のため一時出荷を停止させていただいております。 配達が遅れ、誠に申し訳ございません。 復旧の予定につきましては、見込みが立ち次第改めてお知らせいたします。
システム不具合なのかな。深刻そうですね……。
》 iOS 11.1にアップデートしたiPhoneで、アルファベットの「i」を入力すると「A」が表示される問題が発生しAppleが対応中。 (AAPL Ch., 11/5)。なんじゃそりゃー。
》 ルートゾーンKSKロールオーバーに関する現在の状況について (JPNIC, 11/2)
疑惑の島「パラダイス文書」 (朝日)。朝日の特集ページ。
米閣僚、ロシア企業から利益 「パラダイス文書」を入手 (朝日, 11/6)
(パラダイス文書)ロシアと米閣僚、親密さ露呈 ロス氏、長官就任後も取引 (朝日, 11/6)
パラダイス文書「U2」ボノ氏の名も 1340万件入手 (朝日, 11/6)
英女王・マドンナ・中東の王妃… 「税の楽園」集う大物 (朝日, 11/6)
最大流出元「ハッキング受けた」 パラダイス文書 (朝日, 11/6)
パラダイス文書の内訳は、①大手法律事務所アップルビーの内部文書683万件②シンガポールの法人設立サービス会社「アジアシティ」の内部文書56万6千件③バハマ、マルタなど19の国・地域の登記文書604万件だ。
情報源は内部告発者? 文書を入手した独紙記者に聞く (朝日, 11/6)
スクープ解禁3週間前の悲劇 マルタで女性記者殺害 (朝日, 11/6)、記者爆殺、揺れるマルタ 「パナマ文書」報道、疑惑追及 (朝日, 11/6)。ダフネ・カルアナガリチア氏殺害の件。
商社・損保・海運…日本企業も「パラダイス文書」に続々 (朝日, 11/6)
漫画家の鳥山明氏ら、不動産事業に出資 パラダイス文書 (朝日, 11/6)
鳩山元首相、石油・ガス会社から顧問料 パラダイス文書 (朝日, 11/6)
(パラダイス文書)隠れたマネー、見えた足跡 (朝日, 11/6)
パラダイス文書に関するトピックス (朝日)
米商務長官に新たな「ロシア疑惑」 国際調査報道 (NHK, 11/6)
Stuxnet-style code signing is more widespread than anyone thought (arstechnica, 2017.11.03)。既知のウイルスに電子署名をすると、検出しなくなる話。
macOSとLinux向けの「Tor Browser」に脆弱性、IPアドレス流出の恐れ (ITmedia, 2017.11.06)
Tor Browser 7.0.9 is released (Tor Project, 2017.11.03)。CVE-2017-16541 を修正。
SSD Advisory – Webmin Multiple Vulnerabilities (securiteam, 2017.10.15)。Webmin 1.850 に 3 件のセキュリティ欠陥 CVE-2017-15644 CVE-2017-15645 CVE-2017-15646 。 Webmin 1.860 で修正されているようです。
Webmin 1.860 released (virtualmin.com, 2017.10.19)
OpenSSL 1.1.0g / 1.0.2m 公開。2 件のセキュリティ欠陥を修正。
bn_sqrx8x_internal carry bug on x86_64 (CVE-2017-3736) (Moderate)
This only affects processors that support the BMI1, BMI2 and ADX extensions like Intel Broadwell (5th generation) and later or AMD Ryzen.
Malformed X.509 IPAddressFamily could cause OOB read (CVE-2017-3735) (Low)、 JVNDB-2017-007691 - OpenSSL における証明書のテキストが不正に表示される脆弱性 (JVN)
iida さん情報ありがとうございます。
》 ニューラルネットワークを用いた画像認識は簡単にだますことができることを示すムービー (gigazine, 11/2)
》 「Yahoo!ツールバー」がサービス終了 ~Webブラウザー向けツールバーの時代に幕が下りる 同社はアンインストールを推奨 (窓の杜, 10/31)
》 トルコのアムネスティ幹部など人権活動家たち逮捕 公判開始へ (BBC, 10/25)
》 著作権保護期間など議論 TPP首席交渉官会合 (朝日, 11/1)。著作権保護期間の他、「医薬品のデータ保護期間や特許期間の延長制度などについても凍結する方向で一致した」。
》 9人遺体事件 「自殺」書き込み対策 続く模索 (NHK, 11/2)
Twitter社の日本法人によりますと、利用規約の中で、自殺をする仲間を募ったり自殺の手段を紹介するなどの書き込みを原則禁止しています。 ただ自殺を考えている人の兆候に周囲の人が気がついて手を差し伸べる可能性を残す必要性があるとして、ツイートの削除を求めたりアカウントを凍結したりすることはせず、ツイートを見た人の報告を受けて専門の相談機関を案内しているということです。
Twitter社の日本法人はNHKの取材に対して「今回のことを踏まえできるだけよい方法を社内外で相談し続けたい」としています。
関連:
妹捜す兄、ツイッターに届いたメッセージ 座間9人遺体 (朝日, 11/1)。容疑者にたどり着くまでの状況。 この方の動きがなければ、被害者がさらに増えていた可能性。
》 米イージス艦の衝突事故、「回避可能」だった 報告書を公表 (AFPBB, 11/2)、 米イージス艦事故「回避可能だった」 調査報告書を公表 (朝日, 11/2)。基本的な技量が不足している現実。
ネタもと: Navy Releases Collision Report for USS Fitzgerald and USS John S McCain Collisions (US NAVY, 11/1)、 報告書。 乗員による当時の状況のスケッチも掲載されている。
》 What’s new in SSHGuard 2.1 (Ctrl Blog, 10/31)
New feature: Block attacker's subnet
New service: Remote SSHGuard
New service: Cockpit administration dashboard
New service: HTTP server probing
New service: WordPress
New firewall backend: nftable
Changed: Simultaneously read logs from files and a logreader
》 CIAがウサマ・ビン・ラーディンに関する資料47万件・321GBの公開を発表、サイトは一時的に公開停止 (gigazine, 11/2)
》 特別リポート:米国「死体市場」の闇、貧困層狙う悪徳ブローカー (ロイター, 11/1)。body brokers。貧困ビジネスの一形態か。
通常、ブローカーは1体当たり約3000─5000ドル(約34万─57万円)で売るが、時には価格が1万ドルを超えることもある。通常は、顧客のニーズに合うよう死体を6つに切断する。7つのブローカーの内部文書によると、部位の価格はさまざまで、脚付きの胴体は3575ドル、頭部は500ドル、足は350ドル、脊椎は300ドルだった。
昨年12月、アリゾナ州のブローカーに提供された20体以上の遺体が、ドナーや最近親者の同意なく米軍の爆破実験に使われていたことをロイターは報じた。一部のドナーや遺族は軍の実験に使われることに対し、同意書で明確に反対していた。遺族が2012年と13年の実験で使用されたことを知ったのは、軍からではなく、記録を入手したロイターの記者からだった。
Body Brokers: Inside America's Underground Trade in Human Remains という本が出たのは 2006 年だそうなので、昨日今日はじまった話では全くない模様。関連: Annie Cheney talked about her book Body Brokers (C-SPAN, 2006.03.21)
》 ソフトバンクに思わぬビットコイン「埋蔵金」 買収で合意したフォートレスが持つビットコイン資産は1億4200万ドル (ウォール・ストリート・ジャーナル日本版, 11/2)
OS の更新:
About the security content of iOS 11.1 (Apple, 2017.10.31)
About the security content of macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan (Apple, 2017.10.31)
About the security content of watchOS 4.1 (Apple, 2017.10.31)
About the security content of tvOS 11.1 (Apple, 2017.10.31)
その他:
About the security content of Safari 11.1 (Apple, 2017.10.31)。OS X El Capitan 10.11.6, macOS Sierra 10.12.6, and macOS High Sierra 10.13。
About the security content of iTunes 12.7.1 for Windows (Apple, 2017.10.31)。Windows 7 以降。
About the security content of iCloud for Windows 7.1 (Apple, 2017.10.31)。Windows 7 以降。
週刊文春「韓国軍に慰安婦」記事は山口敬之の捏造か【検証1】 (デイリー新潮, 10/31)
山口敬之の「韓国軍に慰安婦」捏造疑惑 根拠となった米公文書を“意図的に読み換え”?【検証2】 (デイリー新潮, 10/31)
「韓国軍に慰安婦」記事、証言者は山口敬之に憤り 「言っていないことを私の発言に…」【検証3】 (デイリー新潮, 10/31)
安倍総理を援護したくて虚報発信! 「韓国軍に慰安婦」記事 山口敬之と公使のメール公開【検証4】 (デイリー新潮, 10/31)
山口敬之の“韓国軍に慰安婦”捏造疑惑 米公文書を全文公開 (デイリー新潮, 10/31)
》 リーチサイト「はるか夢の址」の運営者ら9名逮捕、ファイルのアップロードについて著作権法違反の疑い (Internet Watch, 10/31)、 日本最大級の出版海賊サイト「はるか夢の址」を通じたアップロード、9名逮捕 (ACCS, 10/31)
》 サイトM&Aの情報漏えいについてまとめてみた (piyolog, 10/31)
関連ツイート:
サイトM &Aから突然、14612件の情報漏洩をしたという手紙が届いた。
— マーライオン (@merlionsplash) 2017年10月30日
サイト上には何も告知されてない。
GMOさんって上場企業だよね...https://t.co/SKOL0OanfI pic.twitter.com/2juTgqxUIz
》 「空き容量ゼロ」東北電力の送電線、京大が分析すると… (朝日, 10/10)。関連:
送電線に「空容量」は本当にないのか? (京都大学大学院経済学研究科, 10/2)
週刊東洋経済 2017年9月30日号 (東洋経済)。「集中連載 電力の大問題 第2回 送電線の謎」。 週刊東洋経済 2017年9月30日号 (Google ブックス) で当該記事の一部を読めるようだ。
》 『ユニクロ潜入一年』横田増生インタビュー 離婚で姓を変えバイトに潜入…ユニクロと闘うジャーナリストが語った巨大企業のブラック体質と柳井社長の洗脳 (リテラ, 10/29)
》 ディアイティ社員、ウイルス保管容疑で逮捕。 share の話。
ウイルス保管容疑 情報セキュリティー社員逮捕 京都府警 (毎日, 10/31)。また京都府警か。
京都府警サイバー犯罪対策課 (中略) によると (中略) 容疑者は「写真集」「殺人」などのキーワードで検索できるウイルス感染済みの約1800の共有ファイルをシェア内に保存。利用者がこれにアクセスした場合、パソコンが感染し、シェアで公開していない個人情報や企業の顧客情報、業務メールなどが流出し、シェアで見られる仕組みになっていた。
ウイルス保管容疑でセキュリティ企業ディアイティの社員逮捕、同社は反論 (日経 IT Pro, 11/1)
京都府警によれば、東京都江東区の同社において容疑者は2017年10月10日ごろ、解析用途に使う専用PCにウイルスに感染したファイルを保管し、Share利用者がダウンロードできる状態にしたという。利用者が当該ファイルにアクセスするとPCがウイルスに感染し、PC内部の文書ファイルなどがShareに流出するようになっていた。
同社は電話取材に応じ、「Shareでファイルを送信可能な状態だったものの、ファイルは分割された状態で保管していた。分割ファイル単体ではウイルスとして動作しない状態になっている。従って、『人の電子計算機における実行の用に供する目的で』というウイルス保管罪の要件は満たしていないと考えている」と話した。
DIT。「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について」(11/1) にて、社長名で「不正指令電磁的記録(ウイルス)保管では無いと考えておりますが、警察と協力して事実関係を明らかにしてまいります」と記載。
lumin さんのツイート:
shareでファイルをダウンロードする場合はコマンドラインでダウンロードのみのアプリを開発して使っていた。アップ状態にあると被害が広がるので、被害を拡大させるためにやっていたといわれても仕方ない。素人調査だったとは。https://t.co/Ik5pFY4Kxd
— lumin (@lumin) 2017年11月1日
情報漏洩対策をしていて、情報漏洩の拡大に加担って。漏洩情報の拡散ノードはマークされているから逮捕されてよかった。
— lumin (@lumin) 2017年11月1日
10年近くShareをアップロードできる状態で運用していたら被害は大きい。多くの漏洩情報をアップロード状態にしていた人は、片手で数えるほどだったから、被害拡大に加担した割合はかなり大きいといえる。
— lumin (@lumin) 2017年11月1日
取得・保管はいいとして、
— lumin (@lumin) 2017年11月1日
ウイルス付きの漏洩ファイルを公衆送信可能にし頒布していたことに関して問いただす必要がある。
WordPress 4.8.3 公開。$wpdb->prepare() における潜在的な SQL インジェクション脆弱性を修正。今すぐ影響があるものではないが、プラグインやテーマを通じて顕在化する可能性はあるため、事前の対応を実施。
Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)
Apple 方面、対応版出ました:
About the security content of iOS 11.1 (Apple, 2017.10.31)
About the security content of macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan (Apple, 2017.10.31)
About the security content of watchOS 4.1 (Apple, 2017.10.31)
About the security content of tvOS 11.1 (Apple, 2017.10.31)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)