Last modified: Fri Oct 27 12:51:39 2023 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 「インターネットの敵」とは誰か? セキュリティ研究者ヒッポネン氏の問いかけ (ascii.jp, 6/28)。新刊の宣伝。
》 3Dプリンターで製造したハンドメイド商品について (メルカリ, 6/23)
3Dプリンターは製造時にできる積層痕で細菌が繁殖する、金属摩耗でノズル片が混入する等のリスクがあります。また、耐熱性が低く、煮沸消毒ができないため、衛生面に問題があります。
例えば3Dプリンターで自作したクッキー型やケーキ型のような食品器具に該当する商品を購入し、実際に購入品を使用して調理した場合、細菌や金属片が食べ物に混入し、経口摂取することで健康被害が発生するおそれがあります。
実際に出品・販売する際は「3Dプリンターで自作したハンドメイドの商品であること」を商品説明に明記し、メルカリを利用する他のお客さまがあらかじめリスクを踏まえて購入の判断ができるように適切な情報提供をしてください。
また、3Dプリンターで自作したものを営利目的で反復継続して出品・販売し取引を行う場合は、許認可や届出が必要となります。
》 AirPodsを乗っ取り、スマホにこっそり音声入力する超音波攻撃 成功率は8割超 米研究者らが開発 (ITmedia, 6/30)
》 炎上加担、実際は40万人に1人 経済学者が誹謗中傷の"リアル"分析 (ITmedia, 6/29)
》 WOWOWで8万人の情報漏えい 10日以上、別ユーザーの視聴履歴・契約内容が丸見えに (ITmedia, 6/30)
》 社労士向けクラウド「社労夢」障害、発生からまもなく1カ月 6月料金請求なしで売上高予想32億円→未定に (ITmedia, 6/30)
》 住民票誤交付再び 富士通Japan、コンビニ交付システムを再停止 総点検したが修正漏れ (ITmedia, 6/30)
》 Googleもカナダのオンラインニュース法可決を受け、サービスからニュースを削除すると警告 (ITmedia, 6/30)
》 Microsoft Defenderの定義ファイルに不具合か。一部環境でCPU使用率が異常に上昇。1.391.2901.0以降で発生 (ニッチなPCゲーマーの環境構築Z, 6/29)。今は直っているのかなあ。
》 財政困窮の日本共産党/しんぶん赤旗「発行の危機」 (FACTA, 6/20)
赤旗は共産党の経営基盤の中核である。一紙で足りる機関紙をめざしテレビ欄や娯楽コーナーを充実させる一方、機関紙拡大を党活動の機軸に据えることで自立した財政を築いた。共産党がソ連、中国共産党と決別して自主独立路線を取り得たのも、赤旗という収益源があったからだ。共産党は赤旗の躍進と共に全国各地に地区委員会を設け、配達網を確立し、その稼ぎを元に200人規模の党本部の中央委員や職員らの給料を賄ってきた。赤旗こそが民主集中制の礎であり、財政基盤なのである。
万一、赤旗が停刊したらどうなるか――。共産党は47都道府県委員会に加え300余りの地区委員会を有している。これに印刷所や流通を担う労働者を加えると3千人以上が雇用されていると推定される。党財政の約8割を赤旗が支え、地区委員会には部数ごとに還元金が支払われ、それが組織運営の根幹になっている。
2023 年 6 月のセキュリティ更新プログラム (月例) (2023.06.14)
複数のセキュリティ製品で不具合が出ていたのだそうで。
特定のセキュリティソフトが原因で「Outlook」などが開けなくなる問題が発生中 2023年6月のセキュリティ更新プログラム以降で (窓の杜, 2023.06.30)。Trellix Endpoint Security 35.31.25 で対応。
Endpoint Security Agent (HX) リリース ノート 35.31.25: 解決済みの問題 (Trellix)
Trellix fixes bug breaking Office apps after June Windows updates (bleeping computer, 2023.06.29)。 Trellix Endpoint Security の他にも、 Malwarebytes、Cisco、WatchGuard のセキュリティ製品で不具合が発生していた模様。
Security Bulletin - Enterprise Security Manager fixes two vulnerabilities (CVE-2023-3313 and CVE-2023-3314) (Trellix, 2023.06.28)
Security Bulletin - Trellix Move 4.10.1 fixes vulnerability CVE-2023-3438 (Trellix, 2023.06.29)
Security Bulletin - Trellix Agent mac-OS 5.7.9 June 7th release fixes two vulnerabilities (CVE-2023-0976, CVE-2023-1388) (Trellix, 2023.06.07)
》 10 Years After Snowden: Some Things Are Better, Some We’re Still Fighting For (EFF, 5/19)。スノーデンファイル暴露から 10 年が経過。 改善は見られるものの、まだ十分ではない。
But it’s not enough—not even close. There’s still much work to be done to rein in our overzealous national security state, break political gridlock, and end the extreme secrecy that insulates some of the government’s most invasive tactics. One of the most important of those is the upcoming fight to end mass surveillance conducted under the auspices of Section 702. EFF will be taking on that fight, and many others. Please join us!
》 突然向けられた行政のカメラ 手袋かぶせた男性に司法が下した判断は (松浦祥子 / 朝日, 6/29)
問題の防犯カメラは、道路を挟んで向かい合った敷地に19年4月に設置された。センター機能の一つだった職業あっせんを担い、大阪府が補助する公益財団法人「西成労働福祉センター」の移転先で、カメラは当初、駐車場が映るように「南向き」になっていた。
しかし、大阪府と大阪労働局がカメラを借用して、共同で管理することになった後の同年5月30日、「東向き」に変わった。
「露骨やな」。稲垣さんは憤った。カメラの先には、稲垣さんらの小屋があり、路上生活者や支援者が出入りしている。
関連:
防犯カメラをふさいだ行為は正当防衛か 認めた高裁が逆転無罪の判決 (松浦祥子 / 朝日, 6/15)
検察側が上告断念 防犯カメラ巡る逆転無罪判決を受け入れ (松浦祥子 / 朝日, 6/29)
》 子の感染症急増、沖縄の小児医療が逼迫 PICU8割は1歳未満 コロナと重複感染も (沖縄タイムス, 6/29)
今月に入り、新型コロナ感染が急拡大する県内。加えて、これまでの感染対策の反動で、子どもの間でRSやヒトメタニューモなどのウイルス感染症が急拡大している。複数のウイルス感染症が同時に大きく流行するという“異例”の事態が、県内の小児医療全体を逼迫させる大きな要因となっている。
さらに、同院では、自身や家族の感染で同院スタッフに欠勤が相次いでいることも大きな打撃になっているという。
関連: 沖縄県のコロナ患者数、1週間に9000人超が感染か 昨年以上の流行規模 医療体制の維持が危機的状況に (琉球新報, 6/29)
》 パスワード管理アプリLastPassで、パスワードにアクセスできない問題が発生 (PC Watch, 6/27)。「今回の多要素認証の再設定については、2022年8月のサイバー攻撃に起因する一連の影響に対し、予防措置として実施」。
》 MicrosoftやGitHubがオープンソースのソフトウェア「GNU Multi-Precision Library」のサーバーにDDoS攻撃を仕掛けていると報告される (gigazine, 6/29)。現在進行形の模様。
》 裁判で提出されたソニーの「黒塗り文書」の処理が甘かったせいで極秘情報がダダ漏れに、「Call of Duty」の収益やAAAタイトルの制作費が判明 (gigazine, 6/29)
》 (Media Times)長年報じず、新聞・テレビに批判 ジャニーズ性加害問題 (朝日, 6/29)。プチ鹿島さんのおかげで「6月30日 11:08まで」無料で読めるそうです。
プチ鹿島さんの以下のコメント、完全に同意。
先述した田玉論説委員も「新聞が扱う題材ではないと頭ごなしに考えてしまった」と書いているし、中村氏も「週刊誌が報道したことを新聞が取り上げるなんて恥ずかしいという意識」を指摘しているし、では今度は新聞社の内部でどういう経緯や判断があったか知りたいのです。
これ、嫌味で言ってるのではなくそういう企画を単純に読みたいのです。なんとか企画として振り返ってくれませんか。
》 想定以上に壊れる教育現場のGIGAスクール端末。修理契約せずに故障機が塩漬けのケースも (PC Watch, 6/28)
》 AIによる生成物は「著作物」にあたるか? 文化庁が「AIと著作権」セミナー映像と資料を公開 (Internet Watch, 6/29)
》 オーストラリアの首相、1日1回スマホの電源を切るよう国民に呼び掛け。その理由とは? (やじうま Watch, 6/29)。スパイウェア対策として。
関連: Pegasus、ChrysaorなどAPT関連のマルウェアからモバイルデバイスを守るために (Kaspersky, 2022.02.22)
高度なスパイウェアからiOSデバイスを守るには
毎日、再起動する:Amnesty InternationalとCitizen Labが行った調査によると、Pegasusの感染チェーンは、持続性のないゼロデイのゼロクリック攻撃に依存していることがしばしばです。このため、再起動を日常的に行えば、デバイスをクリーンな状態に保つことが可能です。デバイスを毎日再起動すれば、攻撃者たちは何度も感染を試みなければなりません。そのため、いずれ攻撃が検知される可能性が高くなりますし、クラッシュが発生するかもしれません。また、攻撃の痕跡がログに残り、密かに進行する感染が検知される可能性もあります。これは単なる理論上の話ではありません。かつて私たちは、ゼロクリックエクスプロイト(おそらくFORCEDENTRY)を通じてモバイルデバイスが標的となった事例を分析したことがあります。そのデバイスの所有者は日常的に再起動を行っており、攻撃を受けた24時間後にもデバイスを再起動させていました。攻撃者たちは複数回にわたりそのデバイスを標的にしましたが、再起動によって何度も撃退された後、最終的には攻撃を断念しました。
》 中国スパイ気球に米国製機器、映像情報など収集=WSJ (ロイター, 6/29)、 中国の偵察用気球、米国製機器を搭載=米当局者 (Wall Street Journal, 6/29)
》 どうなる宗教法人解散請求 旧統一教会は今 鈴木エイトさんに聞く (毎日, 6/29)
》 他人のスマホ使用履歴を監視できるストーカーアプリ「LetMeSpy」がハッキングされ被害者のメッセージ履歴や位置情報が流出&秘密だった開発者の情報も明らかに (gigazine, 6/29)
2023年1月29日時点のアーカイブを確認すると、LetMeSpyは23万6322台のスマートフォンにインストールされ、6351万29件のSMSメッセージ、3971万3227件の通話履歴、4321万8775件の位置情報を収集していることがアピールされています。今回の不正アクセスによって、これらの情報が攻撃者に窃取された可能性があります。
「Dappi」裁判で被告企業の社長が初出廷 「投稿者」の名前開示を拒否 10月に判決へ (東京, 6/26)
被告側は、この従業員を減給10%(3カ月)の懲戒処分にしたとして給与明細を提出したが、名前部分は黒塗りのまま。原告側は「投稿者」が、この社長を含む取締役2人のどちらかであると主張しており、3月に新谷祐子裁判長が「投稿者が取締役かどうかは、投稿が業務として行われたか否かの検討に重要」として黒塗り部分のないものの提出を命じた。しかし被告側は応じていない。 (中略) 双方の尋問終了後、新谷裁判長は「証言を正当な理由なく拒絶すると、反対当事者の主張が真実と認められる」と述べたが、それでも社長は投稿者名の開示を拒否する意向を示した。
Dappiの投稿者は誰? 被告企業の社長が開示拒否「いろいろな嫌がらせが想定されるので」【東京地裁の尋問】 (ハフポスト, 6/26)
「政党から仕事を受注したことがあったか?」という原告側弁護士からの質問に、社長は「自民党東京都連から仕事を受けたことがあります」と明言した。
Dappi巡る名誉毀損訴訟 被告会社が投稿者明かさないまま結審 10月16日判決 (TBS, 6/26)
ツイート
民事訴訟法208条により、Dappi投稿者が取締役2人のいずれかであることは「確定」しちゃってるので、かつ業務でないとすれば、取締役が業務外で投稿したことになる。🙄
— yunishio (@yunishio) June 27, 2023
「Dappi」裁判で被告企業の社長が初出廷 「投稿者」の名前開示を拒否 10月に判決へ:東京新聞 TOKYO Web https://t.co/muI0ZX3J1S
Dappiのワンズクエスト社に金払ってた自民党東京都支部連合会って萩生田光一が代表だったのか😧
— みつを_Mitsuwo🌻 (@ura5ch3wo) June 28, 2023
やっぱり、Dappiの名前が明かせない背景にはこれが関係しているんだろうな。 https://t.co/omF5lLJo6v
NVIDIA製GPUドライバーに3件の脆弱性 ~最新「GeForce」ドライバーへの更新を (窓の杜, 2023.06.27)
NetBSD Security Advisory 2023-001: Multiple buffer overflows in USB drivers (NetBSD, 2023.06.28)
NetBSD Security Advisory 2023-002: Various compatibility syscall memory access issues (NetBSD, 2023.06.28)
NetBSD Security Advisory 2023-003: Structure padding memory disclosures (NetBSD, 2023.06.28)
NetBSD Security Advisory 2023-004: procfs environ exposure (NetBSD, 2023.06.28)
NetBSD Security Advisory 2023-005: su(1) bypass via pam_ksu(8) (NetBSD, 2023.06.28)
On a system not configured to use Kerberos, pam_ksu(8) is supposed to fail harmlessly when it sees that /etc/krb5.conf does not exist.
However, the update to Heimdal 7.1 inadvertently lost a set-user-id context check that pam_ksu(8) relied on to sanitize its context, and so it would consult ~/.krb5/config for Kerberos configuration, whether or not /etc/krb5.conf exists, in spite of being in a dangerous set-user-id context.
This allows the user calling su(1) to completely control pam_ksu's logic, by specifying a default realm, a KDC for the realm, and the location of the keytab that pam_ksu(8) is to consult for a secret key shared with the KDC that it uses to verify the user's tickets. By simply running a KDC, possibly even on the same host on a nonstandard port number, the user calling su(1) can convince pam_ksu(8) to succeed.
/etc/pam.d/su で pam_ksu をコメントアウトすることで回避できる。
NetBSD Security Advisory 2023-006: KDC-spoofing in pam_krb5 (NetBSD, 2023.06.28)
》 『冤罪File』2023年夏号(通巻33号)本日発売! (「冤罪File」編集局公式 Blog, 6/27)
》 280億円以上の資金を調達し2000万人のユーザーを集めたというSNSがユーザーの95%がボットだったことが分かり閉鎖 (gigazine, 6/28)。IRL。実態は詐欺ですか。関連:
ソフトバンクが調達主導の次世代SNS「IRL」、評価額11億ドルに (Forbes, 2021.06.16)。2 年前の記事。
ソフトバンクGも出資。Z世代に人気のアプリ「IRL」はなぜ3年でユニコーン企業に成長できたのか (Business Insider, 2022.04.12)。昨年の記事。
》 軽装甲機動車の後継車輌、今年度中にテスト用のハーケイとイーグルを取得 (航空万能論 GF, 6/28)
三菱重工業はタレス・オーストラリア製のハーケイを、丸紅エアロスペースはGDLS製(旧モワク製)のイーグルを提案していると噂されていたが、防衛省はジェーンズに対し「デモンストレーションを行うため今年度中にハーケイとイーグルを調達する予定で、この結果に基づいて採用車種を選定する」と明かした。
》 沖縄 コロナ感染急拡大 専用病床ほぼ満床 患者受け入れ困難に (NHK, 6/27)
ベラルーシ大統領の仲介でワグナー反乱が収束、プリゴジン氏も兵を引くと発表 (航空万能論 GF, 6/25)
ベラルーシ大統領、プリゴジン氏の到着を発表し亡命を歓迎 ワグネルに基地提供と (BBC, 6/28)
ベラルーシ大統領、数時間かけワグネル創設者を説得 反乱停止へ (ロイター, 6/28)
ロシア「プリゴジンの乱」を時々刻々と報じた中国メディアの元人民解放軍幹部インタビューから分かること (現代ビジネス, 6/27)。↓の紹介 (というかパクリ) 記事。
24日夜になると、『浙江日報』傘下のインターネットメディア『潮新聞』が、元人民解放軍ミサイル部隊の邵永霊(しょう・えいれい)大校(一佐)のインタビューを掲載した。
ワグネル・プリゴジンの乱で急浮上「ロシアの核兵器管理は大丈夫なのか?」 (ニューズウィーク日本版, 6/26)
「プリゴジンの乱」で揺らぎ始めたプーチンの大義 クレムリン内で戦争への積極・消極派の両極化が進む (吉田 成之 / 東洋経済, 6/26)
「ロシアに接近し過ぎていないか」 中国、ワグネル蜂起で不安に=専門家 (ロイター / Yahoo, 6/28)
中ロの蜜月、プリゴジンの乱でリスク露呈 ロシア向け輸出を緊急停止する中国企業も (ロイター / ニューズウィーク日本版, 6/28)
》 冷凍庫から「うっとうしいアラーム音」、清掃員が電源オフ 20年の研究台無しと大学が提訴 米 (CNN, 6/28)。勝手に電源を切っちゃ駄目。
大学側の弁護士は、「清掃会社側に不正行為があったとは思っていない」とした上で、「これは人為ミスの結果だった。だがこの問題の核心は、清掃会社が人員の適切な訓練を怠ったことにある。清掃員は電気系統の問題の是正を試みないよう、訓練しておくべきだった」と話している。
》 ウクライナ・カホフカの貯水池、干上がる ダム爆破後の変化を衛星画像で検証 (BBC, 6/28)
》 「Dappi」裁判で被告企業の社長が初出廷 「投稿者」の名前開示を拒否 10月に判決へ (東京, 6/26)
双方の尋問終了後、新谷裁判長は「証言を正当な理由なく拒絶すると、反対当事者の主張が真実と認められる」と述べたが、それでも社長は投稿者名の開示を拒否する意向を示した。
よほど隠したいようで。
》 サイバー攻撃手法の変化──企業のシステムに侵入できるアクセス権が販売されている (一田和樹 / ニューズウィーク日本版, 6/26)
》 出前館で他人のログイン情報が表示されるバグ キャッシュ削除処理に不備 924万人が対象 (ITmedia, 6/26)
》 ChatGPT生成の“存在しない判例”を使った米弁護士、約72万円の支払いを命じられる (ITmedia, 6/27)。うひゃあ、怖い怖い。
シュワルツ弁護士はChatGPTが誤った回答を生成するとは思っていなかったとしている。
》 1枚のSIMで複数の携帯電話網に接続「マルチプロファイルSIM」 IIJが事業者向けに提供開始 (ITmedia, 6/27)。キタコレ感。
1枚のSIMカードの中に、複数の通信事業者のプロファイルを保持でき、端末から所定のコマンドを実行すると、通信プロファイルを切り替えられる。
》 警察に知らせずAirTagを用いて自力で窃盗犯を追跡した女性、射殺される最悪の結果に (Internet Watch, 6/26)。 法執行機関を適切に利用しましょう。
》 パスワードレス認証「パスキー」対応を強化した「Windows 11」Build 23486がDevチャネルに (窓の杜, 6/23)
本ビルドでは「設定」アプリの[アカウント]セクションに[Passkeys]ページが追加されており、そこでパスキーの一覧や削除が可能。「google.com」や「ebay.com」などの対応サイトであれば、実際に「パスキー」を利用したサインインを体験できる。
》 韓国「旧ホワイト国」復帰決定 輸出管理、全面正常化へ―政府 (時事, 6/27)
》 ディズニーの実写版「リトル・マーメイド」 黒人のアリエルが巻き起こした議論と感動 (朝日, 6/8)、 ディズニーは『リトル・マーメイド』実写版で何を成し遂げたのか。アニメ版との違いから探る (中村香住 / cinra.net, 6/24)
書いてなかった orz。 いずれも RCE。
Kernel: CVE-2023-32434
Apple では、iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性があるという報告を把握しています。
WebKit: CVE-2023-32439
Apple では、この脆弱性が悪用された可能性があるという報告について把握しています。
fix:
iOS 16.5.1 および iPadOS 16.5.1 のセキュリティコンテンツについて (Apple, 2023.06.21)
iOS 15.7.7 および iPadOS 15.7.7 のセキュリティコンテンツについて (Apple, 2023.06.21)
iOS / iPadOS 15.7.7 では CVE-2023-32435 も修正されている。 iOS / iPadOS 16.4, macOS 13.3, Safari 16.4 で修正済な件。
watchOS 9.5.2 のセキュリティコンテンツについて (Apple, 2023.06.21)
watchOS 8.8.1 のセキュリティコンテンツについて (Apple, 2023.06.21)
macOS Ventura 13.4.1 のセキュリティコンテンツについて (Apple, 2023.06.21)
macOS Monterey 12.6.7 のセキュリティコンテンツについて (Apple, 2023.06.21)
macOS Big Sur 11.7.8 のセキュリティコンテンツについて (Apple, 2023.06.21)
Safari 16.5.1 のセキュリティコンテンツについて (Apple, 2023.06.21)
iOS / iPadOS 15.8 が公開された。 CVE-2023-32434 への対応だとされている。 iOS / iPadOS 15.7.7 で対応されたはずなのだが? 何らかの修正漏れがあったのか?
iOS 15.8 and iPadOS 15.8 (Apple, 2023.10.25)
Chrome 114.0.5735.198 (Mac / Linux) および Chrome 114.0.5735.198/199 (Windows) 公開。 4 件のセキュリティ修正を含む。
》 沈黙のIoT: 複数のIoTエクスプロイトを悪用する最新Miraiキャンペーンの解剖 (paloalto networks unit42, 6/23)
》 YouTube、なりすましアカウントやチャンネル対策でポリシー変更 (ITmedia, 6/23)
》 PayPay、他社クレカ締め出し延期 25年1月から 「ユーザーを混乱させ反省」 (ITmedia, 6/23)。2023年度 (今年 8 月) から 2024年度 (2025年1月) に延期。
》 人間の皮膚をなめし革に...ハーバード大学「遺体の部位を密売」事件、購入者が「おぞましい作品」写真を投稿 (ニューズウィーク日本版, 6/16)。うわぁ……。
》 コナミの主張判明、「ウマ娘40億円訴訟」の深刻度 パワプロ関連の「育成システム」で特許侵害か (東洋経済, 6/19)
ダム決壊はロシアの仕業の「可能性大」、国際専門家調査 (CNN, 6/18)
ロシアが爆発物仕掛ける、カホフカダム破壊で証拠発見=NYT (ロイター, 6/18)
こちら: Why the Evidence Suggests Russia Blew Up the Kakhovka Dam (NYTimes, 6/16)
ウクライナのカホウカ・ダム決壊、南部の3州で広範囲の水質汚染発生 (朝日, 6/20)
ウクライナのダム決壊による損害額は1850億円 ウクライナ環境相 (朝日, 6/21)
ダム決壊による死者21人に ウクライナ発表 (CNN, 6/21)
》 インド海軍、空母2隻の統合演習に成功 近年の実績は米海軍のみ (CNN, 6/22)。 India demonstrates naval strength with dual aircraft carrier exercise, a feat China has yet to accomplish (CNN, 6/15) の翻訳っぽいのだけど、にしては文章がいまいち一致しない。
》 社内から「違法」指摘、前社長は聞き入れず 「抱き合わせ融資」事件 (朝日, 6/23)。「リベレステ」の原野商法方面。 第三者調査委員会も立ちあがったようなので、 結果待ち。
》 広域的なドクターヘリの配置・運航 (関西広域連合)。このへんを飛んでいるのは「京滋ドクターヘリ」みたい。 昼間のみなのですね。そりゃそうか。
》 ラオス北西部ボケオ県での求人詐欺に関する注意喚起 (在ラオス日本人大使館, 4/12)
》 スマホなど「修理する権利」米で保護法 NY州で初発効 (日経, 6/23)
法案はニューヨーク州議会の上下院がそれぞれ22年6月に可決し、ホークル州知事が12月に署名した。与党・民主党のほか、野党・共和党も賛成した。中西部ミネソタ州はニューヨークと同様の法律を24年7月に発効させる予定だ。同州の法律には冷蔵庫などの白物家電も含まれ、ニューヨークより対象範囲が広い。西部コロラド州では農業機械の修理をめぐる法律が24年1月に発効を予定する。
》 エネルギー事業者向けクラウドサービスに対するサイバー攻撃についてまとめてみた (piyolog, 6/20)
》 浄土真宗本願寺派で「お家騒動」 聖典の現代版、取り下げ求め混乱も (朝日, 6/22)。「現代版」であるだけなら何ら問題ないんですけど、中身が捻じ曲がっているのでねえ。
さらに本願寺派の最高位の学者「勧学」と、それに次ぐ司教計33人のうち、過半数となる計19人が文章の取り下げを求める「有志の会」に名を連ねた。代表を務める深川宣暢勧学(70)は、5月下旬に京都市内で開いた記者会見で、自分の煩悩と仏のさとりを同一視する部分が特に問題だと指摘した。「人間は死ぬまで煩悩の中にある存在。大きな誤解と混乱を招く」。門主自身と親鸞を教導者として同一視するように読める部分についても疑問を呈し、「混乱を招いている新しい領解文を、総局の責任で早急に取り下げていただきたい」と語気を強めた。
関連:
新しい「領解文」(浄土真宗のみ教え)についての消息 (浄土真宗本願寺派, 1/16)。本当に「私の煩悩と仏のさとりは 本来一つゆえ」 と書いてある。 これは駄目でしょ。
【声明】浄土真宗本願寺派勧学・司教有志の会 (note)。おっしゃるとおり。
》 横浜市 「レシ活」ポイント失効で問い合わせ相次ぐ (テレビ神奈川 / Yahoo, 6/21)
還元されなかったポイント分の事業費は、結果として「レシ活」アプリの運営会社の利益になるということです。
可能な限り還元を阻止した方が儲かるしくみ、ですか。糞すぎる。 こちらのコメントが的を射ているように思います。
kaw******** 7時間前
神奈川ペイと比較すれば分かりやすいんじゃない
神奈川ペイは「●月●日までに使い切って」と最初から告知していたから、失効した人は少ないのでは
それに比べて、レシ活(WED株式会社)は
・告知ほぼ無し
・一方的に有効期限短縮(一年→180日→120日)
・ポイントを交換するたびに振込手数料
振込手数料がかかるから都度交換させるのは躊躇する。そのうち、すっかり忘れてしまう。いつの間にか期限が短縮される。
「ポイント使い忘れを大量発生させて、公金を搾取する巧妙な詐欺」と言われてもしょうがないですね
》 「ユーザーの大半にサービス提供できない」 社労士向けシステムのランサムウェア被害、発生から2週間たつも完全復旧せず (ITmedia, 6/22)
影響を受けているサービスは社労夢に加え、人事労務向けサービス「DirectHR」など9サービス。当初は8サービスと発表していたが、記載漏れがあったとして追加した。
SR-SaaS が記載漏れだったみたい。
エムケイシステムは6月末~7月上旬までの完全復旧を目指し作業中。影響を受けたユーザーへの6月分の請求は停止するという。
》 Internet Week ショーケース in 札幌。 2023.07.20〜21、北海道札幌市、無料。配信あり。
》 埋もれていた「福田村事件」 森達也監督の映画での新たな問いかけ (朝日, 6/20)。関東大震災を契機に発生した虐殺事件の一つ。香川から来た幼児・妊婦を含む行商人達が「朝鮮人」とみなされ虐殺された。
映画「福田村事件」公式サイト。 はい、滋賀での上映はありません。
映画『福田村事件』関東大震災から100年、9月1日公開。 公式ツイッター。
福田村事件 関東大震災・知られざる悲劇 (五月書房新社 / 版元ドットコム)。映画にはフィクション部分があるとのことだが、 こちらはノンフィクション。
「辻野さん、ぜひ調べてください。......地元の人間には書けないから」
その時から、歴史好きの平凡な主婦の挑戦が始まった。
「アンタ、何を言い出すんだ!」と怒鳴られつつ取材と調査を進め、2013年に旧著『福田村事件』を地方出版社から上梓したものの、版元の廃業で本は絶版に。
しかし数年後、ひとりの編集者が「復刊しませんか?」と声をかけてきた。
さらに数年後、とある監督が「映画にしたいのです」と申し入れてきた──。
福田村・田中村事件についてのまとまった唯一の書籍が関東大震災100年の今年2023年、増補改訂版として満を持して刊行!
著者・辻野弥生氏は、映画では「企画協力」の一人としてクレジットされている (「原作」ではない)。
かくも完璧な世界 第4回 ただこの事実を直視しよう (森 達也 / 昭文社 / cokes.jp)。「たぶん78年前のその日も」「昨年「福田村事件を心に刻む会」が設立」という記述があるので、 2001 年に書かれた文章のようだ。 世界はもっと豊かだし、人はもっと優しい (筑摩書房) に収録されているみたい (未確認)。
およそ2ヶ月前、読売新聞千葉県版の小さな囲み記事で事件の概要を知った僕は、幾つか取材を重ねて企画書にまとめ、民放各局のニュース番組の特集企画担当プロデューサーを訪ね歩いた。しかしやはり反応は鈍い。事件そのものについては皆率直にこんなことがあったのかと驚嘆するが、番組として放送するかどうかについては一様に逡巡した。
2001 年からずっと温めてきた (GO させてもらえなかった) 企画だと。
虐殺の加害者たちは皆、普通の村民たちだった。家族を愛し隣近所の付き合いを大事にし時には義憤に燃え時には涙を流す、そんな市井の心優しい人たちが何十人もの集団となって、乳飲み子を抱いて命乞いをする母親を竹やりで息絶えるまで突き、逃げる子供に猟銃の照準を向け、呆然と立ち尽くす若者の脳天に背後から鳶口を突きたてたのだ。78年前、この光景は関東中で繰り広げられ、6000人余りの命が犠牲となったのだ。
救いなどない。学ぶこともない。ただこの事実を直視するだけでいい。小賢しいメッセージなど不要だ。
福田村事件 (香川人権研究所)
福田村事件、初の弔意 野田市長、議会で公式に (千葉日報, 6/21)、 福田村事件で野田市長が悼む 「今後も人権教育を継続」 (朝日, 6/22)。100 年後にようやく。
99年前の悲劇 知られざる福田村事件 差別を乗り越えるには (NHK, 2022.10.19)
》 「聞いてるふり」は通じない? 集中しない生徒をリアルタイムで把握 教員からは期待、「管理強化」に懸念も (共同 / Yahoo, 6/21)
生徒31人の手首には、脈拍を測るリストバンド型の端末が巻かれている。「集中度」をほぼリアルタイムで把握できる日本初のシステムがこの日、初めて本格稼働した。
今回のシステムを提供しているのは元国立健康・栄養研究所協力研究員の高山光尚さんと、ヘルスケアIT企業のバイタルDX(東京)。高山さんに聞いたところ、脈拍に着目するのは、身体の機能を調整する自律神経との関係が深いためだ。
「脈拍はうそをつかない。自分ではコントロールできないから」
久喜市教育委員会の担当者はこのシステムについて、こんな表現をした。「漫画の『ドラゴンボール』に出てくる『スカウター』のよう」。生徒を値踏みする目的で使われる懸念については「分かります」と理解を示しつつ、こう強調した。「あくまでも狙いは授業改善で、どうやって教育の質を高めるか。評価のためではない」
システム開発者の高山さんも、世の中にすんなり受け入れられるとは考えていない。
「1カ月に1回といったところから始めたらいいのでは。あくまでも道具ですから。ものすごく切れる包丁かもしれないけれど」
脳天気にやってみた、感がすごいなあ。
関連: 埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた (なか2656のblog, 6/21)
》 2回目の Google Open Source Peer Bonus を受賞しました。 (熊猫さくらのブログ, 6/15)。おめでとうございます。
様々な発生パターンを見てきたことで、 syzbot が発見した問題事象だけを修正するのではなく、類似事象についても誰かが発見する前に先回りして対処できるようになってきました。 (中略) 熊猫のスキルを表現することができる名称は無いものでしょうかねぇ・・・?
パーティーに先んじて罠を見つけて解除する仕事、というと、RPG なら「シーフ thief」かなあ。
『D&D』のシーフは、肉体的な能力はファイター(戦士)に及ばず、武装も制限される代わりに、ダンジョン内に仕掛けられた罠の発見・解除、隠し扉の発見、鍵開け、聞き耳を立ててモンスターの気配を探る、身を隠して背後から敵を襲うといった数々の特殊能力を持っており、危険なダンジョンには欠かせない存在となっている。戦闘ではあまり役に立たないが、機転を利かせて立ち回ることのできるクラスである。この傾向は、細かい差異は多々あるものの、ほかのさまざまなテーブルトークRPGにおおむね受け継がれている。
Linux Kernel ダンジョンのシーフ、ということかな。
》 産業用制御システム向け侵入検知製品等の導入手引書 (IPA, 6/19)
産業用制御システムのネットワークプロトコルに対応した侵入検知製品を導入する際の導入の進め方や、導入後の留意事項をまとめた手引書の作成を行いました
》 札幌ドーム厳しい船出 コンサート「新モード」応募ゼロ 赤字拡大の恐れ (北海道新聞, 6/20)
「客席を半分にすると、アーティストは『自分たちはドームを埋められないんだ』と気落ちする。だから新モードは勧められない、という話をイベント関係者から聞いた」。ドーム内を暗幕で仕切り、コンサート規模を半分以下にする新モードの現状について、札幌市幹部はこう明かす。
ちょっと待って、それ、企画段階で判明すべき話でしょ。
「Node.js」にセキュリティ更新 ~全10件の脆弱性、最大深刻度は「High」 v16.20.1、v18.16.1、v20.3.1への更新を (窓の杜, 2023.06.21)
Potential Risk of Privilege Escalation in Azure AD Applications (MSRC, 2023.06.20)
Microsoft recommends never using the email claim for authorization purposes. If your application uses the email claim for authorization or primary user identification purposes, it is subject to account and privilege escalation attacks.
Azure AD アプリケーションにおける特権昇格の潜在的なリスクについて (MSRC, 2023.06.21)
「Zoom」に複数の脆弱性 ~誤った領域へのリソースの露出、不正な権限管理など (窓の杜, 2023.06.15)
Security updates available for Adobe Experience Manager | APSB23-31 (Adobe, 2023.06.13)
Security update available for Adobe Commerce | APSB23-35 (Adobe, 2023.06.13)
Security updates available for Adobe Animate | APSB23-36 (Adobe, 2023.06.13)
Security updates available for Substance 3D Designer | APSB23-39 (Adobe, 2023.06.13)
Firefox 114.0.2 出てました。セキュリティ修正はありません。
Firefox 114.0.2 がリリースされた (mozillaZine, 2023.06.21)
》 ジョンソン元英首相は「議会を故意にミスリードしていた」 下院特別委が報告書発表 (BBC, 6/16)、 【解説】 あまりにも容赦ない報告書、ジョンソン元英首相に打撃 (BBC, 6/16)
報告書は19日に下院で審議され、投票が行われる予定。
つづき: 英下院、ジョンソン氏非難の「パーティーゲート」報告書を可決 反対はわずか7票 (BBC, 6/20)。「354対7の圧倒的賛成多数で可決」。
》 「ドルに挑戦」掲げたBRICS銀行の現在 中国主導の開発銀、ウクライナ侵攻などで資金調達困難に (Wall Street Journal, 6/20)
NDBの規則では総裁は各国の輪番制で、次の総裁はロシアが出すことになっていることも問題を複雑にしている。2025年に就任する見通しのロシア出身の新総裁は、NDBのロシアへの融資凍結の巻き戻しに動くとアナリストらは予想している。
》 猟銃発砲立てこもり 朝日新聞の50代カメラマン書類送検へ 避難呼びかける中…容疑者自宅の壁に張り付き10分間ほど敷地に侵入した疑い その前に避難区域内に入り注意も…再び中へ (長野放送 / Yahoo, 6/19)。さすがに駄目だろこれは。
》 三浦瑠麗氏に勝訴した「テレ朝・社員弁護士」が法廷闘争記を出版 「不倫された側が足掻く姿を正直に書きました」 (デイリー新潮, 6/20)。 孤闘 三浦瑠麗裁判1345日 (幻冬舎)
水面下で広がる第9波、3つの特徴 (岩永直子, 6/20)
救急車出動件数が去年上回る過去最多ペース 不要不急の119番通報控えて 東京消防庁 (TBS, 6/19)
ツイート
場末のクリニックでも、パキロビッドを小児でも出す事例が出てきました。つまりはそういうことです。
— 宮原篤 6th「小児科医ママとパパのやさしい予防接種BOOK」 (@atsushimiyahara) June 19, 2023
6/11日時点 #人口10万人あたり1週間の感染者
— Takuro⚓️コロナ情報in神奈川県/横浜市/川崎市/東京都/大阪府/岐阜県/広島県/全国 (@triangle24) June 20, 2023
医療逼迫している沖縄県が圧倒的に多い。検査有料化で過小評価の中で、この数字は厳しい。2番目の奈良県も医師会が「第9波に入った」と危機感示し、3番目の東京都も専門家がマスク着用などに言及しているhttps://t.co/o4n636kiCq https://t.co/CjeiUvO3cr pic.twitter.com/64i7W1Ti0j
⚠️藤沢市、一気に学級閉鎖が⚠️ 多すぎですね、これは‥。「風邪症状」で学級閉鎖‥🤔。感染拡大時にマスク着用を広く呼びかける規定があるので、もうこれは呼びかけるフェーズではhttps://t.co/uvb2j9bspp https://t.co/GGzv7nFlm6 pic.twitter.com/dikIHZWCyh
— Takuro⚓️コロナ情報in神奈川県/横浜市/川崎市/東京都/大阪府/岐阜県/広島県/全国 (@triangle24) June 20, 2023
》 【備忘録】文化庁の著作権セミナー「AIと著作権」について (なか2656のblog, 6/19)
また、生成AIに関する説明を追加した文化庁の「著作権テキスト」(令和5年版)は7月に公開予定とのことでした。
》 chatGPT等の「生成AIサービスの利用に関する注意喚起等について」に関して個人情報保護委員会に質問してみた (なか2656のblog, 6/5)。見逃していた。orz
PPCのご担当者の方が、「当委員会としても生成AIサービスについてはまだよく分かってないことが多い」ので、「個人情報取扱事業者においては個情法第4章の義務全般に違反する生成AIサービスの利用は止めてもらいたい」と繰り返し回答されていることが印象に残りました。
》 メガネスーパー「背信のプロ経営者」 (朝日)。関連:
メガネスーパーを展開するビジョナリーホールディングス 星﨑尚彦社長が辞任 企業価値毀損の疑い (GLAFAS, 3/7)
第三者委員会の調査報告書の受領に関するお知らせ (Visonary Holdings, 5/31)
ビジョナリー(旧メガネスーパー)、プロ経営者の星崎尚彦さんに関する調査報告書が横領の玉手箱 (市況かぶ全力2階建)
責任調査委員会の設置に関するお知らせ (Visonary Holdings, 6/5)
星崎 尚彦(ほしざき・なおひこ) (PRESIDENT Online)。まだ「メガネスーパー代表取締役社長」になっている。
Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor, Suspected Links to China (Mandiant, 2023.06.15)
On May 19, 2023, UNC4841’s actions were first discovered by the Barracuda team and on May 21, 2023, Barracuda began releasing containment and remediation patches with the goal of eradicating UNC4841 from impacted appliances. In response to these efforts, UNC4841 quickly altered their malware and employed additional persistence mechanisms in an attempt to maintain their access.
Between May 22, 2023 and May 24, 2023, UNC4841 countered with high frequency operations targeting a number of victims located in at least 16 different countries. Overall, Mandiant identified that this campaign has impacted organizations across the public and private sectors worldwide, with almost a third being government agencies (see Figure 5).
On June 6, 2023, Barracuda reiterated guidance recommending that all impacted Barracuda customers immediately isolate and replace compromised appliances. In addition, Mandiant recommends further investigation and hunting within impacted networks, as the identified threat actor has demonstrated a commitment to maintaining persistence for continued operations and has shown an ability to move laterally from the ESG appliance.
CVE-2023-2868 is a remote command injection vulnerability present in the Barracuda Email Security Gateway (appliance form factor only) versions 5.1.3.001-9.2.0.006 that exists when screening email attachments.
Barracuda Email Security Gateway Appliance (ESG) Vulnerability (Barracuda, 2023.06.15 更新)
Barracuda Urges Replacing — Not Patching — Its Email Security Gateways (Krebs on Security, 2023.06.08)
https://www.barracuda.co.jp/。 何もなさげ。
2023.08.04 に NISC と気象庁から何か出てるのですが、これが Barracuda ESG Appliance の件だとのもっぱらの噂。
内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について (NISC, 2023.08.04)
NISCが令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性がある
気象庁及び気象研究所のメール関連機器に対する不正通信の発生について (気象庁, 2023.08.04)
令和4年6月上旬から令和5年5月下旬までに気象庁(気象研究所を含む全国の気象官署)にお送りいただいたメールのうち、 一部のデータが外部に流出した可能性があります。
NISCにサイバー攻撃、メールデータ5千人分流出か 気象庁も被害 (朝日, 2023.08.05)
電子メール関連システムからのメールデータ漏えい被害が公表されている件について (JPCERT/CC, 2023.08.07)
NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた (piyolog, 2023.08.07)
Barracuda Email Security Gateway Appliance (ESG) Vulnerability (Barracuda, 2023.07.28 更新)
Email Security Gateway ファームウェア 9.2.0.008 GAリリース (Barracuda, 2023.07.18)
対応したはずの組織で「新たなバックドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永続性を確保しようとする継続的な攻撃活動が確認されている」事例があるそうで。
Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起 (JPCERT/CC, 2023.09.05)
JVNVU#90651905 Apache Struts 2における複数の脆弱性(S2-063、S2-064) (JVN, 2023.06.14)。DoS 攻撃を受ける話。Apache Struts 2.5.31 / 6.1.2.1 で修正されている。
ASUS Releases Patches to Fix Critical Security Bugs Impacting Multiple Router Models (The Hacker News, 2023.06.20)
2023 年 6 月のセキュリティ更新プログラム (月例) (2023.06.14)
今回、Windows Server 2012 / 2012 R2 には Servicing Stack Updates が出ていたのですね。
Latest Servicing Stack Updates ADV990001 (Microsoft, 2023.06.13 更新)。日本語版は更新されてないっぽいので、 英語版を参照しましょう。
》 「ガンダム?」「ATだろ」──全高4.5mの搭乗型ロボ「アーカックス」プロトタイプが完成 夏頃発売 (ITmedia, 6/14)。これ、ガンが付いてないガンヘッドでしょ。
》 Tuesday June 20 2023 Security Releases (node.js, 6/13)。リリース予告。
》 沖縄近海の光ファイバー海底ケーブルに中国製盗聴装置 在沖縄米軍向け情報誌が指摘 (The News Lens, 6/16)。まあ、US もやっていることだからねえ。
沖縄で1955年から発行されている在沖縄米軍を対象とした情報誌「This week on OKINAWA」6月4日号が、日本の一部通信会社関係者の証言をもとに報じた。 (中略) 同誌によると、今回海底ケーブルに中国製盗聴装置が仕掛けられていたことが指摘されたのは「約5年前」とされており、2018年と思われる。
》 遂に EU もファーウェイ / ZTE を 5G から排除決定
欧州委、ファーウェイとZTEを5G調達から排除へ 「リスク高い」 (朝日, 6/16)
EU、ファーウェイとZTEを5Gで排除 加盟国に要請 (日経, 6/17)
中国ファーウェイがEUの判断を「差別的」と抗議、5Gからの排除で (ブルームバーグ, 6/19)
》 授業の出席チェックに「マイナカード」? 国立大学に「利用実績」求め交付金を増減 学生証じゃダメなのか (東京, 6/16)。糞すぎる。
政府は9日、マイナンバーカードの用途拡大を柱とするデジタル施策の「重点計画」を閣議決定した。その中に、政府が国立大に対し、授業の出欠確認などマイナカードの利用実績に応じて、交付金を配分する施策が盛り込まれた。(中略) 「2026年度から、設定された中期目標・中期計画に基づき、マイナカードの活用を含めた業務の実績について評価を開始し、運営費交付金の配分に反映する」
》 PayPal、日本でもパスキー対応へ (ITmedia, 6/15)
ツイート
ジャニー喜多川氏の性加害を取材したBBCドキュメンタリー「J-POPの捕食者 秘められたスキャンダル」が、BBCニュース日本語版YouTubeで配信開始しました。テレビ放送ではカットされた内容(約5分)も含まれています。
— BBCニュース広報局 (@BBCNewsPRJapan) June 17, 2023
大変多くのご要望をいただき、有難うございました。 https://t.co/gk32PJ8th9
検証・ジャニー氏 性加害問題 2度の裁判とメディアの責任【報道特集】 (TBS, 6/17)
亡き北公次の“肉声ビデオ”で語られているジャニー喜多川の生々しい性加害 (日刊ゲンダイ, 6/18)
鍵がかかっているはずのドアから、ジャニー喜多川氏が入ってきた…13歳で性被害「忘れようとした」過去を告白し、乗り越えるまで 「ジャニーズ性加害問題」(1) (共同 / Yahoo, 6/19)
「ジャニーさんが合鍵を?」元Jr.二本樹顕理さんを襲った卑劣な“フェイクニュース” (文春オンライン / Yahoo, 6/19)
》 「スマホのバッテリーを自分で交換可能にする法律」EUが可決、誰でも安価で簡単に新品の電池と入れ替えられるように (Buzzap, 6/19)。関連:
EU: Smartphones Must Have User-Replaceable Batteries by 2027 (PC Magazine, 6/16)
New EU regulation could mean the return of easily replaceable smartphone batteries (Android Police, 6/16)
》 1店舗残して閉店したコンビニオーナーの告白「働く人が本当に集まらない」 (NEWSポストセブン, 5/28)。コンビニも中間搾取業界なのでねえ。
オーナーによれば1990年代中盤から2000年代は「正社員採用並みの厳選ができた」ほど、コンビニで働く若者がたくさんいたと話す。
(中略)
「どれだけのマルチタスクでもこなしてくれる優秀な若者を厳選して、好きにシフトを組んで時給800円とかで雇えた。言い方は申し訳ないが、経営者にとって本当にお得な時代があったように思う」
「つまり『コンビニは社会のインフラ』なんて、そういう彼らがオペレーションしていたからこそ、ということ。その当たり前がいつまでも続くと、『我が企業の力』だと、過信してきたのがコンビニ大手だ。なんのことはない、オーナーを実質的な時給で言ったら300円とか400円とかで使い、アルバイトを低賃金であらゆる仕事を押し付け、使い潰してきた。それで人手不足とか、長年やってきた私だからこそ疑問に思う」
》 Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks (MSRC, 6/16)
関連: Microsoft、6月初旬のOutlookやOneDriveのアクセス障害はDDoS攻撃の影響と認める (ITmedia, 6/19)
レイヤー7の分散型サービス拒否 (DDoS) 攻撃に対するマイクロソフトの対応について (MSRC, 6/16)
》 UAVがもたらす戦場認識力の拡張、ウクライナのオペレーター養成は2万人台に (航空万能論 GF, 6/16)。最前線の UAV オペレーターになるには。
戦場で活動する航空偵察チームは安全な後方でUAVを操縦しているのではなく、狙撃兵にように2人1組で前線に出て1人はUAVを操縦し、もう1人はUAVのカメラ映像と地図を比較して発見した目標の座標を特定、この情報を参謀本部のサーバーに送信しなければならず、UAVオペレーターになるには「無人機を飛ばす技術」の他に「戦場を移動するための戦術」「カモフラージュ技術」「地図や地形に関する情報」「UAVに関する技術的理論」「サプライヤーが課す技術的制限を回避する方法」などを学ぶ必要があるらしい。
》 ウクライナへの間接支援、日本が米国への155mm砲弾供給を検討か (航空万能論 GF, 6/15)
ロイターは15日「ウクライナの反攻作戦を支援するため日本は砲弾の米国供給を協議している。これは弾薬の共有で合意した2016年の協定に基づくもので、日本は155mm砲弾の供給を検討している」と報じており、
》 DNSクエリでTCPを使うことが増えている? 6月23日開催の「DNS Summer Day 2023」で調査報告&考察 (Internet Watch, 6/19)
》 Amazon.co.jp、ロッカーなどの「受取スポット」で荷物を受領すると300円オフになるキャンペーンを実施中 (やじうま Watch, 6/19)。「2000円以上の買い物をした場合が対象」。
》 「Google Domains」がSquarespaceに譲渡、約1000万ドメインが移管に (Internet Watch, 6/16)
》 「OpenSSL 1.1.1」のサポート終了まで3カ月……「OpenSSL 3.0/3.1」への移行を (窓の杜, 6/16)
2023 年 6 月のセキュリティ更新プログラム (月例) (2023.06.14)
CVE-2022-38023 対応 (Netlogon) と CVE-2022-37967 対応 (Kerberos) のフェーズが進んだそうで。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)
2023年6月13日 - 規定での適用
管理者が明示的に互換モード下になるように設定しない限り、 RequireSeal レジストリ サブキーは強制モードに移行されます。 サードパーティを含むすべてのクライアントからの脆弱な接続は、認証が拒否されます。
RequireSeal = 1 を設定していない場合は RequireSeal = 2 (強制モード) として扱われるようになったと。
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 (Microsoft)
2023 年 6 月 13 日以降にリリースされる Windows 更新プログラムでは、次の処理が行われます。
- KrbtgtFullPacSignature サブキーを値 0に設定して、PAC 署名の追加を無効にする機能を削除します。
KrbtgtFullPacSignature の値は
0 - 無効
1 - 新しい署名は追加されますが、検証されません。 (既定の設定)
2 - 監査モード。 新しい署名が追加され、存在する場合は検証されます。 署名が見つからないか無効な場合は、認証が許可され、監査ログが作成されます。
3 - 強制モード。 新しい署名が追加され、存在する場合は検証されます。 署名が見つからないか無効な場合、認証は拒否され、監査ログが作成されます。
の 4 つだったのだけど、0 の機能が無くなると。1 と同じ意味になるのかな?
Learnings from kCTF VRP's 42 Linux kernel exploits submissions (Google, 2023.06.14)
Since its inception, the program has rewarded researchers with a total of 1.8 million USD, and in the past year, there has been a clear trend: 60% of the submissions exploited the io_uring component of the Linux kernel (we paid out around 1 million USD for io_uring alone). Furthermore, io_uring vulnerabilities were used in all the submissions which bypassed our mitigations.
To protect our users, we decided to limit the usage of io_uring in Google products:
- ChromeOS: We disabled io_uring (while we explore new ways to sandbox it).
- Android: Our seccomp-bpf filter ensures that io_uring is unreachable to apps. Future Android releases will use SELinux to limit io_uring access to a select few system processes.
- GKE AutoPilot: We are investigating disabling io_uring by default.
- It is disabled on production Google servers.
Multiple vulnerabilities in Jenkins and Jenkins plugins (oss-sec ML, 2023.06.14)
Fwd: [ANNOUNCE] X.Org Security Advisory: Sub-object overflows in libX11 (oss-sec ML, 2023.06.15)
》 AWS米国リージョンで約4時間の障害 米公共機関やルンバ、マックにも影響か すでに復旧 (ITmedia, 6/14)
出ました。CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET Core CVE-2023-29331
- .NET Framework CVE-2023-29326
- .NET と Visual Studio CVE-2023-24895 CVE-2023-24897 CVE-2023-24936 CVE-2023-32030 CVE-2023-32032 CVE-2023-33126 CVE-2023-33127 CVE-2023-33128 CVE-2023-33135
- ASP .NET CVE-2023-33141
- Azure DevOps CVE-2023-21565 CVE-2023-21569
- Microsoft Dynamics CVE-2023-24896
- Microsoft Edge (Chromium ベース) CVE-2023-29345 CVE-2023-33143 CVE-2023-33145
- Microsoft Exchange Server CVE-2023-28310 CVE-2023-32031
- Microsoft Office CVE-2023-33146 CVE-2023-32029 CVE-2023-33133 CVE-2023-33137
- Microsoft Office OneNote CVE-2023-33140
- Microsoft Office Outlook CVE-2023-33131
- Microsoft Office SharePoint CVE-2023-29357 CVE-2023-33129 CVE-2023-33130 CVE-2023-33132 CVE-2023-33142
- Microsoft Power Apps CVE-2023-32024
- Microsoft Windows Codecs Library CVE-2023-29365 CVE-2023-29370
- Microsoft プリンター ドライバー CVE-2023-32017
- NuGet クライアント CVE-2023-29337
- SQL 用 Microsoft WDAC OLE DB プロバイダー CVE-2023-29372
- SysInternals CVE-2023-29353
- Visual Studio CVE-2023-33139 CVE-2023-33144
- Windows Bus Filter ドライバー CVE-2023-32010
- Windows Cloud Files Mini Filter Driver CVE-2023-29361
- Windows Collaborative Translation Framework CVE-2023-32009
- Windows Container Manager サービス CVE-2023-32012
- Windows CryptoAPI CVE-2023-24937 CVE-2023-24938
- Windows DHCP サーバー CVE-2023-29355
- Windows GDI CVE-2023-29358
- Windows Hello CVE-2023-32018
- Windows Hyper-V CVE-2023-32013
- Windows iSCSI CVE-2023-32011
- Windows NTFS CVE-2023-29346
- Windows ODBC ドライバー CVE-2023-29373
- Windows OLE CVE-2023-29367
- Windows PGM CVE-2023-29363 CVE-2023-32014 CVE-2023-32015
- Windows Resilient File System (ReFS) CVE-2023-32008
- Windows Server Service CVE-2023-32022
- Windows SMB CVE-2023-32021
- Windows TPM デバイス ドライバー CVE-2023-29360
- Windows Win32K CVE-2023-29359 CVE-2023-29371
- Windows インストーラー CVE-2023-32016
- Windows カーネル CVE-2023-32019
- Windows グループ ポリシー CVE-2023-29351
- Windows フィルタリング CVE-2023-29368
- Windows リモート プロシージャ コール ランタイム CVE-2023-29369
- Windows 位置情報サービス CVE-2023-29366
- Windows 認証方法 CVE-2023-29364
- リモート デスクトップ クライアント CVE-2023-29352 CVE-2023-29362
- ロール: DNS サーバー CVE-2023-32020
Windows 10 バージョン 21H2 は、Pro / Home については今回でサポート終了です。 Enterprise / Edutation については 2024 年 6 月までサポートされます。
CVE-2022-38023 対応 (Netlogon) と CVE-2022-37967 対応 (Kerberos) のフェーズが進んだそうで。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)
2023年6月13日 - 規定での適用
管理者が明示的に互換モード下になるように設定しない限り、 RequireSeal レジストリ サブキーは強制モードに移行されます。 サードパーティを含むすべてのクライアントからの脆弱な接続は、認証が拒否されます。
RequireSeal = 1 を設定していない場合は RequireSeal = 2 (強制モード) として扱われるようになったと。
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 (Microsoft)
2023 年 6 月 13 日以降にリリースされる Windows 更新プログラムでは、次の処理が行われます。
- KrbtgtFullPacSignature サブキーを値 0に設定して、PAC 署名の追加を無効にする機能を削除します。
KrbtgtFullPacSignature の値は
0 - 無効
1 - 新しい署名は追加されますが、検証されません。 (既定の設定)
2 - 監査モード。 新しい署名が追加され、存在する場合は検証されます。 署名が見つからないか無効な場合は、認証が許可され、監査ログが作成されます。
3 - 強制モード。 新しい署名が追加され、存在する場合は検証されます。 署名が見つからないか無効な場合、認証は拒否され、監査ログが作成されます。
の 4 つだったのだけど、0 の機能が無くなると。1 と同じ意味になるのかな?
今回、Windows Server 2012 / 2012 R2 には Servicing Stack Updates が出ていたのですね。
Latest Servicing Stack Updates ADV990001 (Microsoft, 2023.06.13 更新)。日本語版は更新されてないっぽいので、 英語版を参照しましょう。
複数のセキュリティ製品で不具合が出ていたのだそうで。
特定のセキュリティソフトが原因で「Outlook」などが開けなくなる問題が発生中 2023年6月のセキュリティ更新プログラム以降で (窓の杜, 2023.06.30)。Trellix Endpoint Security 35.31.25 で対応。
Endpoint Security Agent (HX) リリース ノート 35.31.25: 解決済みの問題 (Trellix)
Trellix fixes bug breaking Office apps after June Windows updates (bleeping computer, 2023.06.29)。 Trellix Endpoint Security の他にも、 Malwarebytes、Cisco、WatchGuard のセキュリティ製品で不具合が発生していた模様。
Chrome 114.0.5735.133 (Mac / Linux) および 114.0.5735.133/134 (Windows) 公開。 5 件のセキュリティ修正を含む。
クレカ情報の自動入力機能の“致命的”脆弱性、「Microsoft Edge」にも修正版 バージョンがv114.0.1823.51になっているか確認を (窓の杜, 2023.06.19)
》 Google、「Chrome for Testing」を発表 ~ブラウザー自動化とテストに特化したバイナリ (窓の杜, 6/13)
》 公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25) (まるちゃんの情報セキュリティ気まぐれ日記, 6/8)
》 Ubuntuにおける2038年問題との戦い・暗号化設定の調整、SmartNICとUbuntu (gihyo.jp, 6/9)
そして「問題が起きる」タイミングは、「2038年になってから」ではなく『システム的に暦を扱っていて、2038年を取り扱うような場合』である。つまり、たとえば2028年に「10年後」を計算させる、あるいは指定するような処理をすると、問題に遭遇することがある。そして2028年まではあと5年しかない。
》 『冤罪File』2023年夏号(通巻33号)ネット書店のご案内 (「冤罪File」編集部公式 Blog, 6/8)
》 End of life announcement and changes to Drupal 7 support - PSA-2023-06-07 (Drupal, 6/7)。2025.01.05 で終了。
》 ハッカー「SPYBOY」が宣伝するセキュリティソフト無効化ツール(Terminator)の挙動と対策を考察 (トレンドマイクロ, 6/7)
》 パンデミックの直前に「武漢ウイルス研究所」で危険なコロナウイルスを変異させる実験が行われていたことが判明 (gigazine, 6/12)。ソースは Sunday Times (Times の日曜版) だそうで。
調査員らはまた、武漢ウイルス研究所のレベル3の実験室でコロナウイルスの機能獲得実験を行っていた研究者3人が、2019年11月中旬にコロナウイルスの症状で倒れたとする通信傍受記録も入手しました。その後、研究者の家族がひとり死亡しています。
ある研究者は、「3人の研究者は石氏の研究室で高度なコロナウイルス研究に取り組んでいたので、倒れた原因となったウイルスはCOVID-19だったと私たちは自信を持って言えます。彼らは30代から40代の、訓練を受けた生物学者です。この年代の研究者がただの感染症で倒れることはほとんどありません」と話しました。
》 3年使ったWestern Digital製HDDに「新品購入を迫る警告」が表示される、新品交換サイクルを早める施策か (gigazine, 6/13)。WD タイマーは 3 年ですか。
》 Windows標準ブラウザのEdge上で表示した画像がMicrosoftに送信されている、無効化方法はコレ (gigazine, 6/13)。 「テストビルドであるEdge Canaryにおいて」なので、stable 版には (まだ) 存在しないようです。
》 Googleの広告テクノロジー事業は独占禁止法違反だとしてビジネスの一部売却をEUの規制当局が命じる可能性 (gigazine, 6/13)
》 「新型CPU」を発表した中国企業が「Intelのラベルを貼り替えただけでは?」という疑惑を完全否定、「コピーではなくコラボ」と発表 (gigazine, 6/12)。Powerstar (暴芯) の件。
「コピー製品では」という疑惑が浮上したため、PowerLeaderおよび販売元のBaodeが6月に「P3-01105はIntelの支援を受けて設計したカスタマイズCPUです」との新たな声明を発表。コピー製品ではなくIntelとのコラボ製品であると疑惑を否定
》 追跡トラッカーを付けてノートPCをリサイクルしたところ正しくリサイクルされず転売されたり盗まれたりしている実態が明らかに (gigazine, 6/2)。Financial Times の調査報道。
FG-IR-23-097: FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication (Fortinet, 2023.06.12)
Analysis of CVE-2023-27997 and Clarifications on Volt Typhoon Campaign Fortinet, 2023.06.12)。Volt Typhoon は先日 Microsoft が発表してた奴ですね: 中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告 (gigazine, 2023.05.25)
MOVEit マネージド・ファイル・トランスファー・ソフトウェア (Progress Software)
MOVEit Transfer Critical Vulnerability (May 2023) (CVE-2023-34362) (Progress Software, 2023.06.12 更新)
MOVEit zero-day exploit used by data breach gangs: The how, the why, and what to do… (Sophos, 2023.06.05)
MOVEit Transfer CVE-2023-34362 Deep Dive and Indicators of Compromise (horizon3.ai, 2023.06.09)
JVNVU#90812349 ケービデバイス製デジタルビデオレコーダにおける複数の脆弱性 (JVN, 2023.06.06)。OS コマンドインジェクション等。 修正ファームウェアが用意されている。
アラート/アドバイザリ:Trend Micro Apex OneおよびTrend Micro Apex One SaaS で確認された複数の脆弱性について(2023年6月) (トレンドマイクロ, 2023.06.13)。patch あり。
》 Android 12 で新しい L2TP/IPsec 接続が作成できない問題について (SoftEther, 2021.11.11)。こんな話があったのか。知らんかった。 SoftEther 的には「OpenVPN 互換サーバー機能」で逃げてくれと。
関連:
Android12でL2TP VPNを作る (taoのブログ, 2022.02.06)
SoftEther で L2TP/IPsec から OpenVPN に切り替えてみた (What I Know ~ワッタイナ, 2021.08.17)
》 どんな物体も“ステルス”加工できる技術 東大などが開発 形状の再帰性反射を最小化 (ITmedia, 6/9)
》 “他人が仕込んだ”隠しカメラをこっそり盗み見るサイバー攻撃 カメラのシリアル番号だけで遠隔操作 (ITmedia, 6/9)
》 「ブラック・ジャック」の新作、今秋公開 GPT-4活用 「ぱいどん」から3年 (ITmedia, 6/12)
》 中国にサムスン半導体工場の「複製」建設画策 元役員ら起訴=韓国 (聯合ニュース, 6/12)
》 軽戦車ではなく火力支援車輌、米陸軍がM10 Bookerを披露 (航空万能論 GF, 6/11)。38t もあるので、軽くはありません。
》 ウクライナに提供したチャレンジャー2やAS-90、交換用砲身がない? (航空万能論 GF, 6/10)
L30A1(55口径120mmライフル砲)やL31(39口径155mm榴弾砲)を製造したノッティンガムの王立兵器工場は2001年に閉鎖済みで、この製造能力はBAEがバロー・イン・ファーネスに設立した工場に引き継がれたものの、これも受注不足の影響で数年前に工場が閉鎖されてしまい、BAEは「もはや我々は砲身の製造設備を持っていない。しかし労働力と知識は保持しており、砲身製造能力を国内で再構築するための検討を行っている」と明かしている。
めちゃくちゃだな……。国有化するとか補助金を出すとかしろよ……。
》 USBメモリ紛失の尼崎市、委託先・BIPROGYに約2900万円の損害賠償請求へ (尼崎, 6/9)
本件事案の発生により、本市において行った様々な対応に係る損害(有形損害)が生じたと認められるため、 当該損害の全額について賠償を請求します。
(中略)
29,501,005 円
【内訳】 ア 市報あまがさき臨時号発行に伴う事務経費 2,641,188 円
イ 尼崎市USBメモリー紛失事案調査委員会に要した経費 24,807,534 円
ウ 本件事案に伴う本市職員の時間外勤務手当 2,052,283 円
》 スシローしょうゆ差しなめた少年側反論 「客減は他店との競合が原因」 6700万円賠償請求訴訟 (ITmedia, 6/12)
第三者によるランサムウェア感染被害への対応状況のお知らせ (エムケイシステム / 日経, 6/9 18:00)
現在影響を受けている製品は下記の通りです。
・社労夢V3.4
・社労夢V5.0
・社労夢Company Edition
・ネットde顧問
・MYNABOX
・MYNABOX CL
・ネットde事務組合
・DirectHR
「復旧めど立たず」 クラウドベンダーがランサムウェア被害に 8サービスがダウン、約4日経過 (ITmedia, 6/9)
給与計算支援「社労夢」に通信障害 エムケイシステムにサイバー攻撃 (朝日, 6/9)
》 TwitterがGoogle Cloudへの支払い拒否との報道 スパム対策に影響の可能性 (ITmedia, 6/12)
Firefox 114.0 / ESR 102.12.0、Thunderbird 102.12.0 公開 (2023.06.08)
Firefox 114.0.1 出てました。セキュリティ修正はありません。
Firefox 114.0.1 がリリースされた (mozillaZine, 2023.06.10)。「起動時にクラッシュする問題を修正」。
JVN#36060509 キングソフト製「WPS Office」における OS コマンドインジェクションの脆弱性 (JVN, 2023.06.12)。サポートが終了しているので WPS Office 2 に移行してください、だそうで。
WPS Officeサポート終了について (キングソフト)
旧製品「WPS Office Professional」サポート終了のお知らせ (キングソフト, 2021.05.24)
当社グループ情報システムに対する外部攻撃について (コクヨ, 6/8)
情報システムに対する外部攻撃について (コクヨマーケティング, 6/8)
当社グループ情報システムに対する外部攻撃について (アクタス, 6/8)
コクヨに身代金要求型サイバー攻撃 社内の会計システムなど (NHK, 6/8)。「社内の会計システムなどが正常に動かなくなりました」
【続報】コクヨにサイバー攻撃 バックアップシステムで業務に支障なし 個人情報流出は現時点で確認されず (ABC / Yahoo, 6/8)。「サイバー攻撃を、会計システムなど複数のシステムで受けた」 「バックアップのシステムで作業するなど業務に支障は出ていない」
》 地震観測網がカホフカ・ダム決壊時に「爆発」を検出 自然崩壊説はなくなったか (黒井文太郎 / Yahoo, 6/9)。ウクライナ南部カホフカ水力発電所のダム決壊の件、 爆破説を裏付けるデータが出てきた模様。
6月7日午後(日本時間・同日深夜)、地震波と核実験の観測網データをまとめているノルウェーの研究機関「NORSAR」が、初めて興味深い情報を出してきました。ダム決壊と同じ時間に、マグネチュード1~2に相当する爆発に特有の集中的なパルスの痕跡をダム付近で検出したというのです。それはつまり「誰かによって人為的に破壊された」ことを示しており、自然崩壊説を退ける初めての情報となります。
》 ウクライナ軍、ザポリージャ州で反攻作戦を開始した模様。 まずはトクマク奪還を目指す?
オレホボ周辺の戦い、ウクライナ軍がレオパルト2を含む装甲車輌を投入 (航空万能論 GF, 6/8)
ウクライナ軍が反攻作戦を開始、ザポリージャ州オレホボの南で交戦中 (航空万能論 GF, 6/8)
米メディア、ウクライナがザポリージャ州で待望の反撃を開始した (航空万能論 GF, 6/9)
Ukrainian military begins counteroffensive to oust Russian occupiers (Washington Post, 6/8)
Ukraine Mounts Multiple Attacks on Russian Occupiers (NYTimes, 6/8)
バフムートでも反撃開始?
ウクライナ軍がバフムートとザポリージャで反撃、要所のベルヒフカに迫る (航空万能論 GF, 6/9)
攻撃軸は 3 つ?
ツイート
ウクライナ軍の大規模な攻撃三軸。
— mssn65 (@jpg2t785) June 8, 2023
バフムト軸
ヴェリカ・ノヴォシルカ軸
トクマク軸 https://t.co/hRsKW24U9u
》 中国、対米スパイ拠点をキューバに設置へ 米軍基地の多い米南東部の通信傍受も可能に (Wall Street Journal, 6/8)
》 トランプ氏が機密文書巡る問題で起訴される-大統領経験者で初めて (ブルームバーグ, 6/9)
Trump indicted in Mar-a-Lago classified documents investigation (Washington Post, 6/8)
Trump Indicted: Trump Is Charged in Classified Documents Inquiry (NYTimes, 6/8)
トランプ氏を起訴、13日出廷へ 機密文書問題で (Wall Street Journal, 6/9)
》 やはり出てきた「5類になったのに」問題 (薬師寺 泰匡 / 日経メディカル, 5/18)
》 痴漢動画を売るサイトの裏を暴く……BBC独自調査 日本と中国で (BBC, 6/8)。国際痴漢動画ビジネス、というものがあるのか。すごい記事。
有料会員は1万人以上で、ほとんどが中国人男性だという。
「大事なのは、本物かどうか。本物じゃないとだめなんです」と、マオミは言った。後に彼は、薬物を使った強姦の動画さえ、サイト上で販売しているのだと私たちに話した。
(中略)
しかし、彼が一切まったく言及しないことが一つあった。動画の中の女性たちのことだ。女性たちはどうでもいい。そういう感じだった。
彼が堂々と性暴力動画を宣伝している「チおじさん」のツイッターアカウントは、まだ生きている。私たちはツイッター社にコメントを求めたが、返ってきたのは「うんちの絵文字」だけだった。ツイッター社は今年3月以来、マスコミからの問い合わせメールには一律、こうして返信しているのだ。
春になって、私たちはたか子さんと再会し、それまでの取材結果について説明した。
たか子さんは愕然(がくぜん)としていた。
「性的に加害してくる人たちにとって、私たち女性っていうのはコンテンツでしかない。物として見ていて。人の心を持ってると思ってない」
ノルド・ストリーム、「50メートルにわたって破壊」 映像公開 (BBC, 2022.10.19)
Nord Stream及びNord Stream 2におけるガス漏洩事故発生とこれまでの経過 (原田 大輔 / JOGMEC 石油・天然ガス資源情報, 2022.11.15)
NYTimes, 爆破は親ウクライナ勢力によるもの (情報源: 複数の匿名の米当局者) と報道 (3/7)
Washington Post, 米 CIA はウクライナ特殊部隊によるノルドストリーム破壊計画を事前に察知していた (情報源: Discord にリークされた情報) と報道 (6/6)
U.S. had intelligence of detailed Ukrainian plan to attack Nord Stream pipeline (Washington Post, 6/6)
米、ウクライナの攻撃計画把握 ノルドストリーム爆発前に=新聞 (ロイター, 6/7)
》 ウクライナ南部カホフカ水力発電所のダム決壊方面。 今のところ、これまでの損傷に起因する自然崩壊説と、爆破説があるみたい。
「ロシアの侵攻による壊滅的な結果だ」国連事務総長 ダム破壊で少なくとも1万6000人が自宅を失われる可能性があると指摘 (TBS, 6/7)。いずれにせよ、ロシアが侵攻してこなければ、こんなことにはならなかったと。
ノーバ・カホフカ水力発電所、損傷した構造体が水圧で決壊した可能性も (航空万能論 GF, 6/7)
Internal Blast Probably Breached Ukraine Dam, Experts Say (Cautiously) (NYTimes, 6/6)
クリミアの命運握るダム決壊 ウクライナ、ロシア双方の戦闘に影響か (毎日, 6/7)
焦点:ダム決壊、ウクライナの反転攻勢に混乱か、長期的環境汚染も (ロイター, 6/7)
【解説】 ウクライナ南部のダム破壊、得するのは誰なのか (BBC, 6/7)
ヘルソンのダム決壊で地雷が下流に、赤十字が警告 (BBC, 6/8)
爆破説が有力になった模様です。
地震観測網がカホフカ・ダム決壊時に「爆発」を検出 自然崩壊説はなくなったか (黒井文太郎 / Yahoo, 6/9)
》 マイナンバーカード 本人ではない口座登録 約13万件 (NHK, 6/7)、 マイナに家族口座 未熟なシステム、周知不足 普及急いだ代償大きく (毎日, 6/7)
》 《潜入撮》中国「秘密警察」日本での非合法活動 (文藝春秋, 6/8)
》 山で遭難、スマホも圏外…でも「わずか20秒で発見」 救助隊員も驚いた、ドローンを駆使する新技術 ソフトバンクが実用化へ (共同, 6/8)
ただドローンが中継できるのはソフトバンクの回線のみ。そこでドローンにはWi―Fiの電波を射出できる機能も搭載した。こうすることで、他社回線のスマホにも対応することが可能だ。
》 米下院軍事委員会、ウクライナ支援を縮小して対中国対策への投資を望む (航空万能論 GF, 6/7)。金の切れ目が戦争の切れ目、になる?
》 韓日国防相が「レーダー照射問題」協議 再発防止で合意 (聯合ニュース, 6/4)
》 海軍戦力の45%を無人戦力に置き換える韓国、武装タイプのXLUUVを披露 (航空万能論 GF, 6/8)
》 These may be the world’s best warships. And they’re not American (CNN, 6/2)。建艦能力も整備能力も足りないので、韓国や日本にやってもらおうそうしよう、という話。
Washington, they say, has something Beijing doesn’t: Allies in South Korea and Japan who are building some of the highest spec – and affordable – naval hardware on the oceans.s.
Buying ships from these countries, or even building US-designed vessels in their shipyards, could be a cost-effective way of closing the gap with China, they say.
(中略)
The problem is, US law currently prevents its Navy from buying foreign-built ships – even from allies – or from building its own ships in foreign countries due to both security concerns and a desire to protect America’s shipbuilding industry.
Schuster, Herzinger and others are among a growing body of experts who say it may be time to rethink that law to give the US an edge in the battle for the seas.
関連:
米戦闘艦、日本の造船所で定期補修 米基地外で初 (日経, 5/24)
基地外の設備で整備した事例は既にある (民間施設で米艦整備、基地外では国内初 米軍「即応支え」 (カナロコ, 2019.04.19)) が、上記は「定期補修」という話。
韓国企業が海軍艦艇向けのMRO事業に本腰、潜在的な顧客に米海軍が浮上 (航空万能論 GF, 6/5)
》 コクヨがランサムウェア被害に 影響範囲は確認中 (ITmedia, 6/8)
》 EU離脱で実現? 英国が2024年に施行する新たな「最低限のセキュリティ基準」 (山賀 正人 / Internet Watch, 6/8)
英国では、インターネットに接続される全ての消費者向け製品を対象とした、新たな最低限のセキュリティ基準が2024年4月29日に施行されることになり、その日に向けたカウントダウンが始まりました。 (中略) 主要なポイントは以下の4点 (中略)
- 消費者が接続可能な製品において、全てに共通したデフォルトパスワードおよび容易に推測可能なデフォルトパスワードを禁止すること。
- 製品がセキュリティ更新を受けられる期間についてメーカーの透明性を高める。これによって標準化されたセキュリティ情報が提供され、消費者の購買意思決定に、より良い情報を提供することになる。
- メーカーは、メーカーのウェブサイトにおいて、製品購入を許可する前に、製品のセキュリティ更新サポート期間について顧客に知らせることが義務付けられる。
- デバイスメーカーは、デバイスに関連する脆弱性の報告を受け付けるための連絡先を公表することが義務付けられる。
日本でもやってください。
》 はしか感染、各地で相次ぐ 専門家「大人でも重い症状」 (日経, 6/6)。関連:
麻疹 発生動向調査 (国立感染症研究所, 6/6 更新)、 速報グラフ 2023年第21週 ('23/05/31現在) (国立感染症研究所)。 今後、コロナ前のレベルまで増えるのかどうか。
はしか(麻疹)で亜急性硬化性全脳炎(SSPE)に 寝たきりになることも (NHK, 5/19)
北海道内で今年初確認「はしか」妊婦の感染で重症化リスクも…対策はワクチン2回接種 コロナ禍明けて拡大の懸念 (TBS, 6/2)
【速報】はしか発生、千葉県内4年ぶり 千葉市の20代男性 感染経路は不明 (千葉日報 / Yahoo, 6/7)
大阪市で2人麻疹感染確認、20年以来 1人は「天王寺ミオ」滞在 (毎日, 6/7)
ツイート
発熱患者「TVでやっててはしかが心配です」
— 医ー者んてん@COVID-19の日々 (@H3fxBmh4nIIxjUA) June 7, 2023
私「まずはコロナの検査しましょう」
秒で陽性
発熱患者「・・・コロナっているんですね」
TVで報道される感染症の影響力よ
一方、報道されなくなった感染症は爆発してても周知されないのだなと思いました
》 米国、ウクライナ向け155mm砲弾製造に必要な火薬を日本から調達か (航空万能論 GF, 6/2)
[security] Go 1.20.5 and Go 1.19.10 are released (Google, 2023.06.07)。3 件 (CVE だと 4 件) のセキュリティ修正を含む。
Androidに致命的な脆弱性、Bluetooth経由でリモートからコードを実行されるおそれ 2023年6月のAndroidセキュリティ更新がリリース (窓の杜, 2023.06.06)。 セキュリティレベル 2023-06-01 および 2023-06-05。
出てました。
Firefox 114 がリリースされた (mozillaZine, 2023.06.07)
Firefox for Android 114 がリリースされた (mozillaZine, 2023.06.07)
Thunderbird 102.12.0 がリリースされた (mozillaZine, 2023.06.08)
Firefox 114.0.1 出てました。セキュリティ修正はありません。
Firefox 114.0.1 がリリースされた (mozillaZine, 2023.06.10)。「起動時にクラッシュする問題を修正」。
Firefox 114.0.2 出てました。セキュリティ修正はありません。
Firefox 114.0.2 がリリースされた (mozillaZine, 2023.06.21)
》 WEBAUTHN FOR SSH: USING PASSKEYS AND SECURE KEYS (Blink Shell)
パスキー関連:
Passkeyとはなにか、組織のIT管理者はどう向き合うか (thdy / Zenn, 2022.12.16)
また、従来のFIDO認証ではクレデンシャルの複製への耐性があったものの、Passkeyにおいては対応するプラットフォームのアカウントが侵害されるとPasskeyも窃取され、信頼できないクレデンシャルを登録される懸念があります。認証保証レベルとしてAAL3[7]を必要としている組織においてはPasskeyでは要件を満たせないといったケースが想定できます。
パスキー(Passkeys)ってなんだろう?(前編) (YubiOn, 2/14)
実は「パスキー」という言葉自体の示す範囲が現時点では複数あってわかりづらいのですが、過去に「WebAuthn」と呼ばれていたものを「パスキー」と呼称するようになった、というのが、広い意味での「パスキー」となります。
パスキー(Passkeys)ってなんだろう?(後編) (YubiOn, 2/15)
弊社も所属しているFIDOアライアンスでは「世界中のパスワードへの過度な依存を減らすことに貢献する」というミッションを掲げていますが、パスワードに代わる強固な認証の仕組みを作っても、その利便性が低いと一般の利用者は導入してくれません。そこで考え出されたのが、「マルチデバイスFIDOクレデンシャル(MDC)」という、秘密鍵をデバイス間で共有する仕組みです。これが、前編から話し続けていた「狭い意味での」パスキーの話となります。
(中略)
このような形にする事で、デバイスの交換や買い替えの際も複雑な手間を掛けずに、新しいデバイスで今までの認証が利用可能になります。現在、MDCについては、主要なOSを提供しているApple、Google、Microsoftが精力的に実装を進めています。一方で、新しい技術であるがゆえに課題も多く見られる点があり、FIDOアライアンスを中心に様々な議論が進められています。
現時点では、「パスキー」という言葉が正確に何を指し示すか、という事は明確にはなっていません。(中略) FIDOアライアンスとしてはパスキー、Passkey、Passkeysといった用語は定義していない、という事になります。(もしも以降の発表などで明確な定義をしている、といった話がありましたらお教えください)
パスキー(Passkeys)を使って実際に2要素認証してみた (YubiOn, 3/28)
「生成系AIの研究をやみくもに停止すべきではない」電子情報通信学会が声明 (PC Watch, 6/7)
日本政府が「ChatGPT」の開発元OpenAIに注意喚起 ~個人情報保護委員会が公表 (窓の杜, 6/6)
集英社、“AIグラビア”の販売終了 「生成AIの課題について検討足りなかった」 Twitterも削除 (ITmedia, 6/7)。あらら。記録用に買っておくべきだったか。 販売を継続できないレベル、というのが生成系 AI の現状、と。
販売終了を決めた経緯について「制作過程で、編集部で生成AIをとりまくさまざまな論点・問題点についての検討が十分ではなく、AI生成物の商品化については、世の中の議論の深まりを見据えつつ、より慎重に考えるべきであったと判断するに至った」と説明している。
》 保険証の廃止 見直しは今からでも遅くない (読売, 6/7)。本当にねえ。
とりわけ深刻なのは、マイナ保険証に関する問題だ。他人の情報がカードにひもづけられていたケースが7300件あった。
行政文書は、あとで修正できるかもしれないが、医療に関する手違いは、国民の健康や生命に重大な影響を及ぼす恐れがある。政府は事態を軽視してはならない。
そもそも政府は昨年6月の段階では、現行の保険証とマイナ保険証の「選択制」を打ち出していた。希望すれば、カードだけで受診を可能にするという構想だ。だが、河野デジタル相が10月、唐突に来年秋の保険証廃止を表明した。
関連:
》 「日本の住所のヤバさ」知れ渡る 正規化・名寄せ問題、Twitterトレンドに (ITmedia, 6/7)。歴史的経緯ってほんと楽しいですよね。 外野から見るだけなら。
とにかく日本の住所のヤバさをもっと知るべきだと思います (note)
日本の住所の正規化に本気で取り組んでみたら大変すぎて鼻血が出た。 (qiita)
》 IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に (Internet Watch, 6/1)
》 Coinhive事件で無罪を勝ち取ったモロさんが振り返る「刑事事件対策まとめ」が話題に (やじうま Watch, 6/6)。こちら: エンジニアのための刑事事件対策まとめ (モロ / qiita, 5/30)
》 “膨大な油”“放置された爆薬” 日本の沈没船が及ぼす環境破壊への懸念 戦後80年…ミクロネシアの現状 (TBS, 6/6)。こういうものも残っているんだなあ。
沈没船からの油の流出の実態調査や回収などのプロジェクトに取り組む日本のNPO「JMAS」。(中略) ミクロネシアが国連で海洋汚染対策を訴えたことを受け、6年前からこの事業をスタートさせました。
(中略)
これまで3万リットルを超える油を回収してきましたが、プロジェクトは今年でいったん終わりになるということで、現在、ミクロネシア環境省などへの技術の継承を進めています。
》 Apple、「iOS 17」を発表 ~正式リリースは今秋、iPhone Xs以降に無償提供 (窓の杜, 6/6)
対応デバイスは「iPhone Xs」以降で、以下の機種は「iOS 16」からアップグレードできなくなるようだ。
iPhone X
iPhone 8
iPhone 8 Plus
》 ソフォスが「ランサムウェアの現状2023年版」発表、攻撃を受けた組織は66%と前年から横ばいに (クラウド Watch, 6/5)
》 ランサムウェア被害の発生について (エーザイ, 6/6)
今回の被害に対応するため、物流に関連するシステムをはじめ国内外の一部の社内システムをサーバーから切り離しています。
Chrome 114.0.5735.106 (Mac / Linux) および 114.0.5735.110 (Windows) 公開。 0-day CVE-2023-3079 を含むセキュリティ欠陥 2 件を修正。
ジャニーズ性加害問題「#児童虐待防止法改正」を求めます! (Change.org)。「署名の発信者: 橋田康、カウアン・オカモト、 二本樹顕理、志賀泰伸」
公明 ジャニーズの性被害問題対策に 連絡会議の立ち上げ要望 (NHK, 6/2)
関連:
NHKはジャニーズと癒着しない、芸能界に忖度しない背景に「NHK内部の溝」 (週刊女性 PRIME / Yahoo, 6/5)
NHKの芸能報道は現時点ではテレビ界で最強に違いない。普段は硬い話ばかりを追い掛け、驚くほど芸能界について知らない記者たちが、しがらみや先入観なく熱のこもった取材をする。それを報道するに当たっても芸能界への遠慮がない。
ただし、どの局にも組織や制度の改革がある。同局の制作と報道の隔絶もいつまで続くか分からない。別枠採用も前田晃伸前会長(78)によって廃止された。
NHKの芸能報道が弱体化しないことを願うばかりだ。
今年の紅白歌合戦 ジャニーズ系は「6組→3組」に? NHK内で強まる「癒着見直そう」の声 (日刊ゲンダイ, 6/4)
ジャニーズ「性加害問題」で番組プロデューサーの苦悩 「今まで考えられなかったことが起きている」 (デイリー新潮 / Yahoo, 6/2)
「どんなタレントだって、ジャニーズのタレントとは仲良くしておきたいと思っていたはず。ですから、嵐をはじめとするジャニーズがMCの人気番組はゲストのブッキングに困ったことがないと番組プロデューサーは口を揃えて言っていました。ところが性加害問題の影響で、他のプロダクションのタレントが出演を見合わせ始めたというのです」
ジャニーズ問題は“蒸発”間近? 櫻井翔はシレッと今年も「THE MUSIC DAY」総合司会担当へ (日刊ゲンダイ / Yahoo, 6/5)
相葉雅紀、平野紫耀が出演してきた「ムヒ」CMキャラが交代 広告業界にちらつく「ジャニーズ離れ」の影 (FLASH / Yahoo, 6/3)
》 「スマホを契約して渡してくれれば高額報酬」はキケン ドコモが“闇バイト”で注意喚起 (ITmedia, 6/5)
》 集英社の“AIグラビア”を全部見て考えた 「AI美女」に足りないものと、人間にはできないこと (岡田有花, 6/5)
》 文化庁の「AIと著作権」の解釈が話題に AIに詳しい弁護士「かなり踏み込んだ内容」 (ITmedia, 6/5)
》 リクルートが「サクラ」行為を認めて謝罪 オンラインセミナーで学生装い、質問投稿 (ITmedia, 6/5)
》 「Twitterの無駄機能を全部殺せるブラウザ拡張」再び話題 「もっと見つける」不評の影響で (ITmedia, 6/5)
5月後半から多くのユーザーに提供され始めたTwitterの新機能「もっと見つける」が不評で、無効化したい声が増えているようだ。
そりゃそうなるよなあ。「もっと見つける」はほんと糞だもん。
》 半導体不足で無記名式Suicaが一時発売中止。PASMOも (PC Watch, 6/2)
》 Raspberry Piの品不足が解消、7月から月産100万台へ。CEOが発言 (PC Watch, 6/5)。 Supply chain update – it’s good news! (Raspberry Pi, 2022.12.12) でも 2023 年後半には回復とされていたが、月産 100 万という具体的な数字が出てきた。
》 漫画リーチサイト「13DL」が閉鎖、CODAが米裁判所に申し立て (Internet Watch, 6/2)
》 マイナンバーカード機能を付けたスマホを手放すときは要注意! デジタル庁に詳しく聞いてきた (Internet Watch, 6/2)
》 スカイマーク「組合軽視」が招いた一触即発の事態 パイロットの争議行為で通常運航にあわや支障 (東洋経済, 6/5)
いろいろ (2023.05.23) KeePass 2.x
マスターパスワードを復元できてしまう脆弱性に対処した「KeePass」v2.54が公開 (窓の杜, 2023.06.05)
元「忍者」志賀泰伸氏の証言
ジャニーズ・デビュー組から初の性被害告白 元「忍者」志賀泰伸氏(54)が「30回から40回くらいは性的虐待があった」 (文春オンライン, 5/24)
「30回から40回くらいは性的虐待があったと思います。そのたびに、ジャニーさんの性癖にまた巻き込まれてるって思い、会うのも嫌だし、話すのも嫌になって、合宿所から足が遠のいていきました」
元ジャニーズ Jr. 橋田康氏、日本外国特派員協会で記者会見 (5/26)
〈会見速報〉ジャニー喜多川氏性加害問題 元ジュニア被害者・橋田康氏(37)が日本外国特派員協会で記者会見「ジャニーズ事務所には被害者たちへの謝罪と対応を求めたい」 (文春オンライン, 5/26)
元Jr.橋田康氏も会見で「口淫され1万円渡され…」と…ジャニーズに迫られる性加害への説明責任 (日刊ゲンダイ, 5/29)
自身の性被害について、加入から1年くらい経った頃、公演先のホテルで「かけていたはずのロックが開き、ジャニーさんが入ってきて、口淫されました。自分の体に何が起こったのかわからず、涙が止まらなくなりました。ジャニーさんから1万円を渡され、『自分の価値は1万円なんだ』と感じました」と詳細を語った。
元ジャニーズ橋田康さん「全く知らなかったということはないと思う」…性加害問題で反論 (読売, 5/26)
元ジャニーズ Jr. 二本樹顕理氏、立憲民主党国体ヒアリングで証言 (5/31)
ジャニーズ性加害「嫌だと断ったらどうなった?」 被害告発の元Jr.が証言した「抵抗した人の話」 (JCAST / Yahoo, 6/1)
「全ての実数までは把握できませんが、少なく見積もっても300名くらい被害者がいてもおかしくないですし、下手したら被害の実態はもっと大きいかもしれません。4桁もありうると思っています」
元ジャニーズJr.二本樹顕理氏がジャニー氏の性加害件数に言及「300名ぐらい。4桁もあり得る」 (東スポ Web, 5/31)
【元ジャニーズ】二本樹顕理のwiki経歴・同期が超豪華!現在のギター教室についても! (RENTPRESS, 5/15)。松本潤、二宮和也、相葉雅紀と同期の方ですか。
元ジャニーズ Jr. 中村一也氏の証言
“タッキー&翼のコンサートの夜、ジャニーさんに襲われた” 元ジュニア・中村一也氏(35)が実名・顔出しで告白 (文春オンライン, 5/31)
「なかなか経験できないことをさせて貰えたという思いもあったので、別にジャニーズに恨みがあるわけではないです。ただカウアン(・オカモト)君の会見を見ていて、黙っていられなかった自分がいるんです。やっぱ周りにも言われるんですよね。『結構いいところまで行ってたのになんでやめたの?』って。でもそのことがあったからだとは言えなかったんです。ただ、これだけ性被害について騒がれている中で、地元の友達にも、辞めた理由はそういうことがあったからだと、ようやくカミングアウトできました」
元ジャニーズ Jr. 平本淳也氏の証言
元Jr.が実名激白!「東山はジャニー氏側近中の側近。性加害を知らないはずがない」 (日刊ゲンダイ, 5/26)
マスゴミのみなさん
ジャニーズのナメきった再発防止策で「逃げ切り」許すテレビ・新聞の重罪 (ダイヤモンド online, 6/1)
テレビ朝日は報道内容をジャニーズ事務所へ漏洩した。~ジャニー喜多川氏の性加害疑惑について~(中嶋よしふみ ウェブメディア編集長) (sharescafe ONLINE / Yahoo, 6/2)
マイナ巡るトラブル、医師から不安と憤り 「現場で頑張れと精神論」 (朝日, 5/31)
トラブル続きのマイナ、国や県から「ご指示」が次々と 自治体は困惑 (朝日, 5/31)
マイナ保険証 加入確認できず全額自己負担 全国で393件 (毎日, 5/31)
「顔認証できない」「窓口が混雑」…マイナ保険証、医師ら53人からトラブル報告 鹿児島県保険医協会がアンケート (南日本新聞, 6/1)、 マイナ保険証 4月の開始以降「トラブルあった」と4割が回答 鹿児島県保険医協会が調査 (MBC 南日本放送, 5/31)
》 戦争犯罪の映像証拠、SNS各社に削除され消滅の恐れ=BBC調査 (BBC, 6/1)
》 英製巡航ミサイル配備のウクライナ空軍部隊、反攻に向け準備着々 (Forbes / Yahoo, 5/30)。SCALP-EG / Storm Shadow の件。
》 ロシアは侵攻後15カ月で少なくとも戦車2001両を失う (Forbes / Yahoo, 6/1)
》 トヨタ、クラウド環境の誤設定がまた発覚 8年以上外部アクセス可能、26万人分の顧客情報漏えいの可能性 (ITmedia, 5/31)
》 ChatGPTで広告会社の組織激変、サイバーでは30人以上いたディレクターがゼロに (日経 xTECH, 5/30)
》 防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について (なか2656のblog, 5/31)
QA7-50は、顔識別機能付きカメラシステムの防犯カメラによるカメラ画像・顔特徴データの共同利用について解説していますが、「組織的な窃盗の防止」などを例に挙げて、「全国的」な共同利用も「利用目的に照らして真に必要」な場合には許容されると記述したことが大きな改正点であろうと思われます。(有識者検討会の会議では、全国レベルでの共同利用を行う場合には「事業者に事前にPPCに相談させるべきである」趣旨の議論も行われていたのですが、報告書の段階ではカットされたようです。)
この点に関してはこのブログでも取り上げてきた通り、個人情報保護法に関する教科書は、共同利用の最大限度・外延は県などの一つの地域や一つの業界と解説するものが一般的であると思われ(宇賀克也『新・個情法の逐条解説』275頁、園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁など)、このQA7-50の改正は大きく踏み込んだものであるといえます。
なお、PPCは今回のQA改正において、誤登録されてしまった本人が読んで分かりやすい開示・利用停止等の請求のやり方をもQAに載せるべきだったのではないでしょうか(例えば、誤登録していると思われる小売店や警備会社のウェブサイトに掲載されているプライバシーポリシーの開示等の請求手続きに従って書面で請求を行う等)。
こちらです: Q7-50 防犯目的のために取得するカメラ画像・顔特徴データ等について、防犯目的の達成に照らして真に必要な範囲内で共同利用をすることは可能ですか。その場合には、どのような点に注意する必要がありますか。 (個人情報保護委員会, 2023.05 更新)
ソウルで誤警報
鳴り響く警報サイレン 避難所開設、ソウルでは誤発信―韓国 (時事, 5/31)
朝方に韓国国民を起こした警戒警報…22分後に「ソウル市誤発令」 (中央日報 / Yahoo, 5/31)
北の衛星発射でソウル市が警報誤発令、内容スカスカで市民混乱…その時日本は (朝鮮日報, 5/31)
日本も他人のこと言えない
ツイート
「地下鉄や地下街に避難してください」と沖縄に存在しない場所への避難呼びかけを繰り返すTVとそれを是認する防衛省、緊急時に何の頼りにもならないことがわかった。 https://t.co/q49SfuJbyh
— TOGO INOMATA (@oogesatarou) May 31, 2023
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)