![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Tue Jul 16 19:14:20 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 ドローン戦争(イエメン―サウディ) (中東の窓, 7/16)
hothy軍報道官は15日、同軍がサウディのkhamis mashit にある巨大空軍基地に対して、複数のドローンqasef 2Kによる広範な攻撃を行ったと発表しました。 それによると、ドローンは正確に目標に命中し、大きな火災を引き起こし、軍事品等を爆発させた由
》 世界で活躍する日本人サイバー捜査分析官 最前線で感じる日本の課題 (山田敏弘 / WEDGE Infinity, 7/16)。福森大喜氏。
》 Libraはスイスの規制下に入るとFacebookが米国議会で証言予定 (techcrunch, 7/16)
》 パスワード認証に取って代わる2段階認証とその未来とは? (gigazine, 7/15)
》 セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? (gigazine, 7/16)
》 インターネット定点観測レポート(2019年 4~6月) (JPCERT/CC, 7/16)
》 株式会社エストゥルースが、ニフティに対して発信者情報開示および記事の削除の仮処分申請を行っているようです (悪徳商法?マニアックス ココログ支店, 7/16)
》 英新紙幣にアラン・チューリング 第2次大戦の暗号解読者 (AFPBB, 7/16)
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
トランプ大統領、ファーウェイ禁輸の事実上解除を表明 (2019.06.29)
トランプ大統領 記者会見 (NHK, 2019.06.29)
トランプ大統領は習主席との会談で中国の通信機器大手ファーウェイについても意見を交わしたとしたうで、「驚くかもしれないが、われわれはファーウェイが製品を作るための部品をたくさん売っており、これからもそれを売り続けることを許可することにした」と述べ、アメリカの企業にファーウェイとの取り引きを認める考えを示しました。
そして、トランプ大統領は「アメリカの企業は、安全保障上の問題がないものに関してはファーウェイに部品を売ることができる」と述べました。
そのうえで「非常に複雑な問題だ。中国との間でファーウェイの問題については、最後まで残すことで合意した。これから起こることを見ていく」と述べました。
米トランプ大統領、ファーウェイへの禁輸措置を解除。対中追加関税も見送りへ(WSJ報道) (engadget, 2019.06.29)
米トランプ大統領がファーウェイへの輸出を容認。買えるようになるよね、P30 Pro (gizmodo, 2019.06.29)
ファーウェイが米国サプライヤーから部品を購入できるように (techcrunch, 2019.06.30)
「ファーウェイ容認」、なぜトランプは変節したのか (山田 敏弘 / JBpress, 2019.06.30)
トランプ氏“ファーウェイ発言”の裏にワシントンの暗闘 (細川昌彦 / 日経ビジネス, 2019.06.30)
Huawei制裁緩和にはチップメーカー各社のロビー活動が大きく影響している (gigazine, 2019.07.04)
実際のところ、どうなってるの?
ファーウェイ制裁緩和は「年10億ドルまで」 米高官 (日経, 2019.07.03)。ナバロ米大統領補佐官(通商担当)。
トランプ「規制緩和」発表の影で 米商務省、ファーウェイを輸出禁止対象と通達 (ニューズウィーク日本版, 2019.07.03)
えっ、まだ禁輸措置は継続中? ファーウェイとの自由な取り引きは復活していない模様 (gizmodo, 2019.07.04)
次のXデーは8月半ば? ファーウェイへの禁輸措置解除、あくまでも暫定のよう… (gizmodo, 2019.07.12)
このほど米商務省のWilbur Ross長官は、ワシントンDCにおいて、Huaweiへの対応に関する、正式な最新情報を提供。それによると、Huaweiおよび同社に関連する68の企業団体が、依然として輸出規制リスト(U.S. Entity List)に入っている状態は、変わっていません。しかしながら、米国のセキュリティを脅かさないことが明らかな場合のみ、暫定的に商取引を認めるライセンスを発行する方針だとのことですよ!
米政府、2─4週間以内にファーウェイへの販売許可も=高官 (ロイター, 2019.07.15)
P30 / P30 lite の発売、IIJ が開始するも大手はひきつづき中断中。
IIJ、ファーウェイスマホ販売再開『トランプ氏声明とは無関係』 (engadget, 2019.07.02)
トランプ大統領がファーウェイの制裁措置を緩和――果たして、キャリアはP30シリーズの発売に踏み切るのか (石川温 / ITmedia, 2019.07.12)
あと、ヨーロッパ方面:
ファーウェイ、イタリアに3年で3300億円投資へ (AFPBB, 2019.07.16)
JVN#62618482 - サイボウズ Garoon における複数の脆弱性 (JVN, 2019.07.16)
Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website! (medium.com, 2019.07.08)。震源地。
A Zoom Flaw Gives Hackers Easy Access to Your Webcam (WIRED, 2019.07.09)
Confirmed: Zoom Security Flaw Exposes Webcam Hijack Risk, Change Settings Now (Forbes, 2019.07.09)
リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。 (AAPL Ch., 2019.07.09)
アップル、「Zoom」会議アプリの脆弱性受けアップデート配信--Zoomもパッチ公開 (ZDNet, 2019.07.11)
アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信 (techcrunch, 2019.07.11)
ヴィデオ会議「Zoom」のウェブカメラ利用に脆弱性、その対応を巡る方針転換の理由 (WIRED, 2019.07.11)
Apple quietly removes Zoom’s hidden web server from Macs (Sophos, 2019.07.15)
We’ll summarise the increasingly confusing story since that coverage by noting that the vulnerabilities have now generated three advisories:The first and third issues should be fixed by updating to Zoom client version 4.4.2 on macOS (the software is also re-branded by RingCentral, in which case it’s version 7.0.136380.0312).
- CVE-2019-13449 (the original denial-of service flaw),
- CVE-2019-13450 (webcam takeover, unpatched but mitigated by removing the web server described above), and
- CVE-2019-13567 (a proof-of-concept making possible Remote Code Execution).
Security Advisory for eCh0raix Ransomware (QNAP, 2019.07.11)
Symantec Messaging Gateway Privilege Escalation - SYMSA1486 (Symantec, 2019.07.10)。10.7.1 で修正。
JVNVU#90203478 - Intel 製品に複数の脆弱性 (JVN, 2019.07.10)
INTEL-SA-00267 - Intel SSD DC S4500/S4600 Series Advisory (Intel, 2019.07.09)。ファームウェア SCV10150 で修正。
INTEL-SA-00268 - Intel Processor Diagnostic Tool Advisory (Intel, 2019.07.09)。4.1.2.24 で修正。
JVN#75617741 - Intel Dual Band Wireless-AC 8260 におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2019.07.10)
INTEL-SA-00232 - Intel PROSet/Wireless WiFi Software Advisory (Intel, 2019.06.11)。さまざまな無線 LAN 製品に DoS 攻撃を受ける欠陥、ドライバーバージョン 21.10 で修正。 2019.07.11 付で Chrome OS および Linux 用の修正版ドライバが提供された模様。
AirMac ベースステーション ファームウェア・アップデート 7.8.1 のセキュリティコンテンツについて (Apple, 2019.06.20)
Knot Resolverの脆弱性情報が公開されました (CVE-2019-10190、CVE-2019-10191) (JPRS, 2019.07.12)、 Knot Resolver 4.1.0 released (Knot Resolver, 2019.07.10)
fix CVE-2019-10190: do not pass bogus negative answer to client (!827)
fix CVE-2019-10191: do not cache negative answer with forged QNAME+QTYPE (!839)
From IP ID to Device ID and KASLR Bypass (28th USENIX Security Symposium)
From IP ID to Device ID and KASLR Bypass (Extended Version) (Cornell University, 2019.06.25)
Windows/Linux Kernel/Androidの脆弱性の情報(Medium: CVE-2019-9836, CVE-2019-10638, CVE-2019-10639) (From IP ID to Device ID and KASLR Bypass (Extended Version)) (SIOS, 2019.07.07)
Chrome 75.0.3770.142 公開。2 件のセキュリティ修正を含む。
》 ドローンやAIで鉄道施設を点検--JR九州とA.L.I.が共同開発 (CNET, 7/12)
》 WIPOが海賊版サイトから広告を剥ぎ取るための世界的データベースを構築 (P2P とかその辺のお話 R, 7/11)。WIPO = 世界知的所有権機関。
》 賊版対策は刑事訴追が最も有効、MPAAが議会に訴え (P2P とかその辺のお話 R, 7/7)。MPAA = 全米映画協会。
》 悪質広告掲載サイトの広告を全消去するGoogle Chrome、ターゲットの大半が海賊版サイトとポルノサイト (P2P とかその辺のお話 R, 7/6)
》 DNS・SNIの暗号化が海賊版サイトブロッキングを“ますます”困難にする (P2P とかその辺のお話 R, 7/6)
》 英警察、Kodiの違法ストリーミングアドオン開発者を逮捕 (P2P とかその辺のお話 R, 6/20)、 Kodi海賊版ストリーミングアドオン開発者、次々に開発終了を宣言 (P2P とかその辺のお話 R, 6/20)
》 チェコ海賊党議員、欧州議会の副議長に選出される (P2P とかその辺のお話 R, 7/7)
》 警察大学校附属警察情報通信学校様にて、 警察職員を対象とした研修が行われました。 (FFRI BLOG, 7/11)
》 日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説 (トレンドマイクロ セキュリティ blog, 7/3)、 サイバー犯罪集団「TA505」によるスパムメール送信活動で新しいマルウェア「Gelup」と「FlowerPippi」を確認 (トレンドマイクロ セキュリティ blog, 7/8)
》 ロシア製の地対空ミサイルS400、第1陣がトルコ到着 (AFPBB, 7/13)。はてさて、どうなりますやら。
》 Mozillaは悪名漂うUAEのDarkMatterをHTTPSの証明提供者として否認 (techcrunch, 7/10)
》 Samba Project tells us "What's New" - SMBv1 Disabled by Default (finally) (SANS ISC, 7/10)。Samba 4.11 の話。
BITPointがハッキング被害、35億円相当の仮想通貨が不正流出 (仮想通貨 Watch, 7/12)
BITPointの仮想通貨不正流出に続報。システム提供先の海外交換所でも流出被害発生 (仮想通貨 Watch, 7/15)。「ビットポイントジャパンが30億2千万円相当、海外交換所は2億5千万円相当の被害」
》 FTCの取り締まり強化でデータ倫理は戦略的事業の武器に (techcrunch, 7/15)
》 2500万台のAndroid端末が感染しているマルウェア「Agent Smith」見つかる (gigazine, 7/12)。既知の欠陥を突いている模様。Android の放置っぷりがそもそもの原因と。
》 フォレンジック関係ツールの検証やってみた(少しだけ) (wakatonoの戯れメモ, 2/3)。TSURUGI Linux。
》 Grizzly Browser Fuzzing Framework (Mozilla Security Blog, 7/10)
》 情報流出のコストが約250億円に (Kaspersky, 7/11)。British Airways。
》 亡くなったゲイ少年への暴言で辞職した警官、わずか2か月で復職 米アラバマ州 (石壁に百合の花咲く, 7/14)
グレイヴズ氏は郡保安官事務所による監査を受けることになっていました。
ところがWAFFによると、グレイヴズ氏は監査の最中、自ら辞職したのだそうです。そして、そのわずか2か月後に、同じアラバマ州のオーウェンズ・クロス・ローズ署に警官として再雇用されたとのこと。いやちょっと待て、監査の意味は? 辞職しちゃえばすべてチャラなの?
うへえ。アラバマといえば、5/15 に「全米で最も厳しい中絶禁止法」が成立したところですね。さもありなん、ということなのか。
》 守れサイバーセキュリティ~SOCとは? ヤフーにおけるその役割 (Yahoo Tech Blog, 7/11)
2019 年 7 月のセキュリティ更新プログラム (月例) (2019.07.10)
関連:
Windows DNS Serverの脆弱性情報が公開されました(CVE-2019-0811) (JPRS, 2019.07.12)
Windows DNSキャッシュリゾルバーサービスの脆弱性情報が公開されました (CVE-2019-1090) (JPRS, 2019.07.12)
》 被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編) (高橋睦美 / @IT, 6/13)、 高木浩光氏が危惧する、「不正指令電磁的記録に関する罪」のずれた前提と善なるエンジニアが犯罪者にされかねない未来(Coinhive裁判解説 後編) (高橋睦美 / @IT, 6/14)
》 コインハイブの一斉摘発は、なぜ起きた? 弁護人が無罪判決の影響語る (弁護士ドットコム, 6/20)
》 Twitterのシャドウバン(Shadowban)は3種類!確認・対処方法を解説します (ナギサものおき, 3/2)
》 野田毅議員元秘書が警官引きずり逃走 傷害容疑で指名手配 (日刊ゲンダイ, 7/10)、 熊本の逃走男、藤木寿人の人脈が怪しすぎる!密売歴40年『実録シャブ屋』著者も緊急コメント、”覚せい剤”入手は元議員秘書の看板を…!? (トカナ, 7/11)
》 琵琶湖の”厄介者”が激減!? (海と日本PROJECT in 滋賀県, 7/11)。ブルーギルが減ったのだが、原因がわからないので素直に喜んでいいのかよくわからないという記事。
》 CSBA 【Customer Service by Amazon 】問題について (アマゾン日本のバックオフィス業務に対する不審な動き や アマゾン中国・インドにおける収賄問題) (Amazon セラーフォーラム)
》 爆発したとクレームのついた品物を回収したら未開封。お陰で1週間以上販売停止…… (togetter, 7/9)
》 Appleがビデオ会議ツールの脆弱性をmacOSから削除するアップデートをこっそり実施 (gigazine, 7/11)、 アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信 (techcrunch, 7/11)
》 Bad McAfee Exploit Prevention Update Blocked Windows Logins (bleepingcomputer, 7/10)、 UK POWER NETWORKS systems down (reddit, 7/10)、 Endpoint Security Exploit Prevention content stops functioning after you update to version 9418 if the V3 Virus Definition Update (DAT) version is earlier than 3668 (McAfee BKB91649, 7/9)
Exploit Prevention content version 9418 is signed with a new McAfee certificate and is incompatible with V3 Virus Definition Update (DAT) versions earlier than 3668. (中略) Update the system to V3 Virus Definition Update (DAT) version 3668 or later, before you update to Exploit Prevention content version 9418.
》 JANOG44 ミーティング 開催概要 (JANOG)。2019.07.24〜26、兵庫県神戸市、無料 (懇親会は有料)。 あっ、わりと近所だ。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)
関連:
コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました (経産省, 2019.07.05)
セブンペイのポイント還元参加認めない可能性も 経産省 (朝日, 2019.07.05)
二段階認証は「基本中の基本」 経産相、7payに苦言 (朝日, 2019.07.09)
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か (Business Insider, 2019.07.10)。gdgd。
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する (鈴木淳也 / Impress Watch, 2019.07.10)
ここで重要なのは今回の7payのセキュリティ問題は「2段階認証」や「パスワードリセット」ではなく、「そもそもの原因が現時点で不明な点」にある。
(中略)
現在の最大の問題は、セキュリティに関して総合的に判断して実装を行なう責任者がセブン内部に不在なことだ。Business Insiderの「【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か」でも触れられているが、7payは度重なるスケジュール変更の後にリリースされており、本来リリース前に実施されるべき十分なテストが行なわれていない。
被害男性、セブンのアカウントは「すべて退会」 2時間で17万円不正利用され (毎日, 2019.07.10)
セブンHD、7月12日にも外部IDログインを遮断。残高が一時利用不能に (鈴木淳也 / Business Insider, 2019.07.12)
対象となる外部IDは「7iD」へのログイン時に利用可能な「Facebook」「Twitter」「Google」「Yahoo!」「LINE」の5つの外部IDサービス。
該当するユーザーは7iDそのものが利用できなくなるため、すでに持っているクーポンや7payでチャージ済みの残高が利用できなくなる。
》 漫画村方面、さらに 2 名逮捕 (星野ロミ氏とは別の人)
「漫画村」運営関与か、男女2人を逮捕 出版社「全容が解明されることを期待」 (ねとらぼ, 7/10)
「漫画村」を通じた漫画作品の無断アップロード、2名逮捕 (ACCS, 7/10)
あと、星野ロミ氏方面:
まとめサイト「やらおん!」の運営をしていた過去も…「漫画村」星野ロミ容疑者拘束で、他の管理人が”芋づる式”の展開も? (AbemaTIMES / BLOGOS, 7/10)
ツイート:
やらおん側はサイト運営については否定。一方で、乗っ取り騒動に星野ロミが関与していたことは認めてる(僕の認識でもこちら)。なので、やらおんに関与というより、「やられやく」に関与の方が正確かもhttps://t.co/Y38mwWpiMh
— 池谷勇人@ねとらぼ副編集長 (@tekken8810) July 10, 2019
》 現実の報道現場をリアルに再現 (金井啓子の現代進行形 / 大坂日日新聞, 7/4)。映画「新聞記者」の件。
》 高槻「今村産業」でガス抜き作業中に爆発、4名死傷 (7/6)
大阪・高槻で爆発火災、4人死傷 スプレー缶の作業中か (朝日, 7/7)
高槻爆発火災 半径200m被害 (NHK, 7/8)
高槻の爆発火災・爆発の様子 (産経 / YouTube, 7/9)
当該ガス缶を持ち込んだのはモノタロウか。
モノタロウを家宅捜索 高槻の倉庫火災、業過致死容疑で (日経, 7/9)
火災は高槻市の産業廃棄物運搬会社「今村産業」で6日夜に発生。現場で同社社員の20代の息子とみられる遺体が見つかったほか、モノタロウの社員、山西潤さん(36)とみられる男性が死亡した。山西さんの次男(13)とモノタロウの下請け会社社員の50代男性とみられる2人が意識不明の重体となった。
「モノタロウ」スプレー3000本持ち込みで家宅捜索 高槻爆発火災 (MBS, 7/9)
倉庫火災、取引先を捜索 4人死傷、大阪府警 (中日, 7/9)
「モノタロウ」高槻市ガス爆発に産廃業界の悪しき伝統を思い出す (やまもといちろう / BLOGOS, 7/9)
》 日本で生まれ育っても退去命令 「故郷」に拒まれる外国人の叫び (朝日新聞 GLOBE, 7/9)
》 ロシア・カスペルスキー、自社VPNサービスでサイトブロッキングを開始 (P2P とかその辺のお話 R, 7/3)
》 “DoS攻撃並み”のトラフィックでまひ寸前! 福岡大学NTPサービスの悩み (ITmedia, 7/10)。こういうものこそ SINET で引き取るべきだと思うのだが。
》 英当局、マリオットにGDPR違反の制裁金135億円--顧客情報の流出で (CNET, 7/10)
》 日本セキュリティチーム ブログ移行のお知らせ (Microsoft Security Response Center, 7/8)
》 「チバニアンに条例 そのワケは?」(くらし☆解説) (NHK 解説委員室, 7/3)
》 インターネットにとって最悪の1カ月 (techcrunch, 7/9)
》 ボーイングが737Max墜落事故の遺族らに総額100億円超を支援 (techcrunch, 7/4)
》 Mozillaがセキュリティソフトに起因する「ウェブページに接続できない」問題の対策を発表 (gigazine, 7/3)。Firefox 68 で実装するそうで。
》 Amazonはサードパーティ業者が販売する製品についても法的責任を負う必要があるという判決 (gigazine, 7/4)
》 サイコパスやナルシストほど権力を握りやすいのはなぜなのか?どうすれば「真のリーダー」を生み出せるのかまとめ (gigazine, 7/7)
》 ランサムウェア被害で5400万円の身代金を支払ったアメリカの自治体が市のIT責任者1名を解雇 (gigazine, 7/8)。フロリダ州レイクシティ。
実際の支払いはレイクシティが加盟していた「Florida League of Cities(フロリダ州市町村連盟)」の保険により賄われるため、レイクシティの負担は1万ドル(約108万円)。それでも、およそ3週間にわたり「1950年代のよう」と形容されるほど事務手続きが滞り、市政と市民への被害は甚大なものとなりました。しかも、システムの一部は記事作成現在も完全には復旧していないとのことです。
》 「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ (gigazine, 7/5)
》 YouTubeの「ハッキング講座禁止令」の余波で良質なセキュリティ対策ムービーが軒並み削除されかける事態に (gigazine, 7/4)
》 サイバー攻撃に備えて電力インフラの制御を「手動」に切り替える法案がアメリカで可決される (gigazine, 7/2)
》 情報セキュリティ白書2019 (IPA, 7/10)。8/8 刊行予定。紙版 2000 円 + 税、PDF 版無料を予定。
》 短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃 (JPCERT/CC, 7/4)
》 望まぬ転勤廃止で新卒応募10倍に AIG損保の決断 (NIKKEI STYLE / Yahoo, 7/6)
》 JASRAC、音楽教室に「潜入」2年 主婦を名乗り (朝日, 7/7)。まさにカスラック。そうまでして文化を破壊したいのか。 角をためて牛を殺すの典型じゃないか。
関連: JASRAC、音楽教室に「潜入」2年 主婦を名乗り (弁護士落合洋司(東京弁護士会)の日々是好日, 7/8)
刑事的には、建造物侵入罪が成立していた可能性があるでしょうね。(中略) こうした行為を警察、検察当局が立件する可能性もかなり低そうですが(まず無理でしょう)、理論的に整理すると問題は残る行為であり、潜入中にバレて建造物侵入罪で現行犯逮捕(私人逮捕)される、といったことは起きてもおかしくないでしょう。
出ました。Flash Player, IE / Edge, Windows, Office, Azure DevOps, Open Source Software, .NET Framework, Azure, SQL Server, ASP.NET, Visual Studio, Exchange 。
関連:
Windows DNS Serverの脆弱性情報が公開されました(CVE-2019-0811) (JPRS, 2019.07.12)
Windows DNSキャッシュリゾルバーサービスの脆弱性情報が公開されました (CVE-2019-1090) (JPRS, 2019.07.12)
出てます。ESR は 68 と 60.8.0 になりました。
Firefox 68 がリリースされた (MozillaZine, 2019.07.10)。「Firefox ESR もバージョン 68.0 および 60.8.0 にアップデートされている」
Firefox for Android 68 がリリースされた (MozillaZine, 2019.05.22)
VMSA-2019-0011 - Partial denial of service vulnerability in ESXi hostd process (CVE-2019-5528) (VMware, 2019.07.09)。6.5 用 patch は公開済。6.7 用はまだ。
Linux Kernelの脆弱性情報(Moderate: CVE-2019-13233) (SIOS, 2019.07.09)
1000以上のAndroidアプリが無断であなたの個人情報を盗んでいる、「許可しない」にしていてもダメ (gigazine, 2019.07.09)
研究者は2018年9月時点で脆弱性についてGoogleに報告済みであり、2019年夏にリリース予定の「Android 10 Q」ではこのような手法を使うことが難しくなります。
Security Updates Available for Adobe Bridge CC | APSB19-37 (Adobe, 2019.07.09)。Priority: 3
Adobe Bridge CC 9.02 以前に情報漏洩を許す欠陥 CVE-2019-7963 があり、9.1 で修正。
Security updates available for Adobe Experience Manager | APSB19-38 (Adobe, 2019.07.09)。Priority: 2
Adobe Experience Manager 6.0〜6.4 に情報漏洩を許す 3 件の欠陥 (CSRF と XSS)。6.3.3.5 / 6.4.5.0 / 6.5 で修正されている。
Security update available for Adobe Dreamweaver | APSB19-40 (Adobe, 2019.07.09)。Priority: 3
Windows 版 Dreamweaver の direct download installer に権限上昇を許す欠陥 CVE-2019-7956 がある。 最新のインストーラーでは修正されている。
Windows OpenSSL engine code injection (cURL, 2019.06.24)。7.65.1_2 より前の curl プロジェクト版 Windows 用バイナリーに存在する欠陥。Windows 10 に同梱されている、Microsoft から配布されている curl にはこの欠陥はない。 curl 7.65.1_2 for Windows で修正。
Django security releases issued: 2.2.3, 2.1.10 and 1.11.22 (Django, 2019.07.01)
McAfee Security Bulletin – ePolicy Orchestrator update fixes a TLS issue between ePolicy Orchestrator Agent Handler and SQL Server (CVE-2019-3619) (McAfee, 2019.07.02)。ePO 5.10.0 Update 4 または 5.9.1 + HF1267793 で修正。5.9.0 には patch は用意されないので 5.9.1 + HF1267793 または 5.10.0 Update 4 にアップデートする。
Squidの脆弱性情報(Moderate: CVE-2019-13345) (SIOS, 2019.07.09)
Symantec Endpoint Encryption Privilege Escalation - SYMSA1485 (Symantec, 2019.06.17)。Symantec Endpoint Encryption 11.3.0 で修正。 Symantec Encryption Desktop 用の修正はない。 Symantec Endpoint Encryption への移行が必要。
》 セキスペ試験に効率よく合格するための勉強方法 (技評, 7/5)
》 The NSA's regional Cryptologic Centers (electrospaces.net, 6/29)
》 DNSルートサーバシステムに歴史的な変革:新たなガバナンスモデルの検討始まる (JPNIC BLOG, 5/10)
》 慰安婦合意、本当に「失政」か 支援金求める元慰安婦も (武田肇 / 朝日, 7/7)
突然の解散決定で、受給を希望したうち、元慰安婦2人と遺族13人への支払いが滞っていると知り、5月に当事者を取材した。(中略) 文政権が財団解散を急ぐのは朴槿恵(パククネ)前政権時代の「失政」と日韓合意を位置づけているからだ。韓国メディアの多くも「支援金を受け取るのは道徳的に正しくない」と考え、「未払い問題」に注目することはない。だが、事業の対象になった元慰安婦47人、遺族199人のうち、元慰安婦36人、遺族71人が受給を希望したことからもわかるように、財団の取り組みに賛同する人がいるのも事実だ。
韓国政府のこういうところって、本当に駄目だよなあ。
関連:
各国・地域における償い事業の内容-韓国 (慰安婦問題とアジア女性基金)
韓国「慰安婦涙の“感謝”映像」はなぜ封印されたのか (赤石晋一郎 / NEWSポストセブン / BLOGOS, 2/26)
日韓慰安婦財団が正式解散 韓国、日本の同意なく手続き (武田肇 / 朝日, 7/5)
慰安婦財団解散、政府「認めず」 (鬼原民幸 / 朝日, 7/6)
日本政府は5日、外交ルートで韓国政府に抗議した。拠出金の一部が残っていることなどから、日本側は解散が完了したとは認めず、引き続き合意の実施を求めた。
慰安婦財団解散 「最終的かつ不可逆的な解決」を踏みにじった韓国政府の「不実」 (赤石 晋一郎 / 文春オンライン, 7/8)
》 「漫画村」運営者、フィリピンで拘束される。 星野ロミ氏。
漫画村の元運営者、フィリピンで拘束 著作権法違反容疑 (朝日, 7/9)
フィリピン入管広報官によると、星野容疑者は7日、マニラから香港行きの飛行機に搭乗しようとしていたところを、出発ターミナルの外で拘束された。フィリピンに入国したのは5月で、ここ数年は旅行者として出入国を繰り返していた。容疑者の出自に関係するとみられるイスラエルとドイツの在フィリピン大使館も捜査に協力した。
海賊版サイト「漫画村」元運営者がフィリピンで拘束 現地メディアが伝える (ねとらぼ, 7/9)
「漫画村」元運営者・星野ロミ容疑者がフィリピンで拘束 日本大使館から要請 (BLOGOS, 7/9)
僕は「星野ロミ」じゃない "漫画村の元運営者拘束"で風評被害も (BuzzFeed, 7/9)。「星野ルネ」さんは無関係なので注意。
漫画を違法に無料で読ませる→星野ロミ
— 星野ルネ (@RENEhosino) July 9, 2019
自作の漫画を無料で提供してる→星野ルネ https://t.co/vhBAwHC5Vf
関連:
漫画違法配信サイト「漫画村」の黒幕に迫る (無能ブログ, 2017.08.02)
記事によると、「rootan」というのはかつて星野ロミという人物がアメリカで創業した企業名のようです。記事には彼の顔写真もしっかり掲載されており、彼はかつて2ちゃんねるのまとめブログ「関係ないニュース」や、2ちゃんねるまとめブログのアンテナサイト「楽々アンテナ」「スオミネイト」などのサイトを運営していたりと、アフィリエイト業界では有名な人物のようです。
》 【島根県警】「不正指令電磁的記録に関する罪」 における構成要件に関する開示結果について (IT議論, 7/5)
③サイバーセキュリティレポート(島根県警):平成28年に島根県警で初の「不正指令電磁的記録に関する罪」の検挙が行われたことを背景にして、同罪のポイントについて記述したもの。本資料内の「1 不正指令電磁的記録とは 「人が電子的記録を使用するに際して、その意図に沿うべき動作をさせない」もしくは「その意図に反する動作をさせるべき」不正な電磁的記録を指します。よく「反意図性」という言葉で表現されます。」と記述されており、本罪の構成要件である「不正性」についての言及が行われていない。 続けて、2.の中でも「適用に際してポイントとなるのは、「利用者における反意図性」です。」と記述されている。
》 日本テレビ 『謎とき冒険バラエティー 世界の果てまでイッテQ!』 2つの「祭り企画」に関する意見 (BPO, 7/5)。「程度は重いとは言えないものの放送倫理違反があったと言わざるを得ないと判断」
》 イスラエル軍には自閉症スペクトラム障害者を積極的に集めた特殊部隊がある 「適任適所とは言うけど」「イスラエルすごいな」 (togetter, 6/30)
》 Firefoxで「接続が安全ではありません」と表示されたら… (看板マート公式ブログ, 2/12)
》 「Windows 10 May 2019 Update」適用で階調表現に不具合か EIZOが注意喚起 (ITmedia, 7/1)、 Microsoft Windows 10 May 2019 Update (1903)における表示異常 (EIZO)。せ゛ろ。さん情報ありがとうございます。
2019年5月下旬より一般公開されたMicrosoft社のWindows 10最新バージョン「May 2019 Update (1903)」(以下Windows 10 (1903))において、モニターやグラフィックスボードの機種を問わず、階調が正しく表示されない場合があります。
対象OS: Windows 10 (1903)
対象モニター: 当社製品を含む全てのPCモニター
対象グラフィックスボード: 当社製品を含む全てのグラフィックスボード
(中略)
Windows 10 (1903)のグラフィックス処理が原因と考えられ、モニターの設定では回避できません。
画像診断や映像制作、写真編集など階調の再現性が求められる用途では、当面Windows 10 (1903)をインストールしたPCのご利用を控えていただくことを推奨します。
7pay クラック祭りの原因と思しき内容の解説。パスワードリセットメールを任意のアドレスに送付できるという間抜け仕様な上に、2段階認証もないのだそうで。 びっくり。
関連:
7pay に関する重要なお知らせ (セブン&アイ・ホールディングス, 2019.07.03)
「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について (セブン&アイ・ホールディングス, 2019.07.04)
不正アクセスが疑われる人数・金額(試算)
約900名/約5,500万円 ※2019年7月4日6:00現在
3日でこの数字はすごいね……。
7Pay、新規登録を停止 不正相次ぐ、全被害補償へ (朝日, 2019.07.04)
【注意喚起】「7pay」でさっそくクレカ不正利用か 高額不正利用報告が相次ぐ (togetter, 2019.07.03)
セブンペイ不正利用 専門家「同じID、暗証番号使わず定期的に変更を」 (毎日, 2019.07.03)。うへえ。
キャッシュレス決済に詳しいMMD研究所の福田哲郎研究員は「複数のサービスで同じIDや暗証番号を使わず、さらに定期的に変更して被害を防いでほしい」と話している。
MMD研究所は「日本最大のモバイル専門のマーケティングリサーチ機関」。 毎日新聞は、セキュリティの専門家に話を聞いてください。
7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も (ITmedia, 2019.07.04)
これを受けてセブン・ペイは4日、パスワードの再設定手順を変更。パスワード再設定メールの送付先を指定できるフォームをページから削除し、事前登録したユーザーのメールアドレスに送るように改めた。
しかし、ネット上では「CSSでフォームを非表示にしているだけ」という指摘も出ている。ITmedia NEWS編集部が確認したところ、CSSで送付先を指定するフォームを表示させ、第三者のメールアドレスに送信できることが分かった。
マジか…… orz
「二段階認証をわかってない…?」7pay、サービス一部停止もセキュリティの甘さに不安の声 (BuzzFeed, 2019.07.04)
7pay緊急記者会見担当者、二段階認証を知らない (togetter, 2019.07.04)
結局のところ、欠陥は 7pay 導入前から存在し、7pay 開始によって表面化した、ということなのかな。
7Pay不正利用関連の情報をまとめる (orangeitems’s diary, 2019.07.04)。いろいろまとまってます。
ネットから店舗に人が流れ始めた--セブン&アイに見る新たな売り方 (ZDNet, 2015.12.09)。オムニ7 の話。
セブン&アイは2013年8月30日に業務要件を固めはじめ、2014年7月からシステム開発を始めた。今年10月にプレオープン、11月にomni7はグランドオープンした。omni7のシステム開発にあたり、日本オラクル、NTTデータ、NEC、野村総合研究所(NRI)を中心に複数ベンダーで構成するチーム体制で臨んだ。
7Payの失態で露呈した本当は怖いIDの話 (楠 正憲 / comemo, 2019.07.05)
とはいえ先行する様々な決済アプリと7Payとで、何故これほど大きな差ができてしまったのか。
ひとつは先行するGAFAやFinTechベンチャーが、いずれもエンジニアを自前で雇ってシステムを内製しているのに対して、7Payはベンダー任せになっていたからではないだろうか。
関連: 第359号コラム「情報セキュリティ人材が足りない、は本当か」 (上原 哲太郎, 2015.04.27)
セブンイレブンアプリ乗っ取りにより7payで30万円不正利用された人のツイート (togetter, 2019.07.04)。被害事例。
7payの小林強社長、自身の脆弱性(小林弱)を露呈 (市況かぶ全力2階建, 2019.07.04)
なお、同時期開始のファミペイでは、目立つ不具合は負荷増大くらいみたい。
「ファミペイ」100万ダウンロード達成 ~ポイント、クーポン、バーコード決済「FamiPay」もこれ1つで~ (ファミリーマート, 2019.07.02)
一方、想定以上のアクセスにより、「ファミペイ」が繋がりづらい状態が発生しております。皆さまにご不便をお掛けしておりますこと、深くお詫び申し上げます。正常化に向けて、全力で対応してまいります。
香取慎吾さんの号令でスタート、「ファミペイすげー得チャレンジ」キャンペーン (BCN+R, 2019.07.03)
関連:
コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました (経産省, 2019.07.05)
セブンペイのポイント還元参加認めない可能性も 経産省 (朝日, 2019.07.05)
二段階認証は「基本中の基本」 経産相、7payに苦言 (朝日, 2019.07.09)
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か (Business Insider, 2019.07.10)。gdgd。
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する (鈴木淳也 / Impress Watch, 2019.07.10)
ここで重要なのは今回の7payのセキュリティ問題は「2段階認証」や「パスワードリセット」ではなく、「そもそもの原因が現時点で不明な点」にある。
(中略)
現在の最大の問題は、セキュリティに関して総合的に判断して実装を行なう責任者がセブン内部に不在なことだ。Business Insiderの「【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か」でも触れられているが、7payは度重なるスケジュール変更の後にリリースされており、本来リリース前に実施されるべき十分なテストが行なわれていない。
被害男性、セブンのアカウントは「すべて退会」 2時間で17万円不正利用され (毎日, 2019.07.10)
セブンHD、7月12日にも外部IDログインを遮断。残高が一時利用不能に (鈴木淳也 / Business Insider, 2019.07.12)
対象となる外部IDは「7iD」へのログイン時に利用可能な「Facebook」「Twitter」「Google」「Yahoo!」「LINE」の5つの外部IDサービス。
該当するユーザーは7iDそのものが利用できなくなるため、すでに持っているクーポンや7payでチャージ済みの残高が利用できなくなる。
》 Cloudflare、サービス障害は攻撃ではなくソフトの配備ミスと説明 (ねとらぼ, 7/3)
》 同性愛差別でニベアとの契約打ち切り?──大手広告代理店FCB (ニューズウィーク日本版, 7/2)。ニベア、いまどきこんな対応だとは。
》 ロシア海軍原子力深海潜水艦で火災、14 名死亡 (7/2)
マスメディア報道。
ロシア深海艇が火災 深度の調査中 兵士14人死亡 (朝日, 7/3)。原子力駆動で 14 人以上も乗っているフネを「艇」と呼ぶべきなのかどうか。
Fourteen Russian sailors killed in submarine fire: ministry (reuters, 7/2)
The RBC news outlet said it was a vessel known by the designation AS-12, which is powered by a nuclear reactor and is designed to carry out special operations at depths where regular submarines cannot operate.
ロシア海軍原子力深海潜水艦 AS-12 Losharik 。
UPDATED: 14 Sailors Die on Secretive Russian Nuclear Submarine; Putin Calls Incident ‘Great Loss’ (UNSI News, 7/2)。この記事がいちばんよくまとまっていると思う。
пр.10830 / пр.10831 / пр.210 - LOSHARIK (Military Russia)
Russian submarine Losharik (Wikipedia)
公式HPサーバーダウンに関してのお知らせ (映画「新聞記者」tumblr, 7/2)
本作の公式ホームページが定期的にアクセスしづらい状況になっており、訪問してくださいましたお客様には多大なご迷惑をおかけしております。
現在、特定のIPアドレスから、システムを使用した集中的なアクセスを受けていることから、サーバーが一時的にダウンしてしまうなど不安定な状況になっております。
》 Fedora 31,SSHへのrootパスワードログインをデフォルトで無効に (Linux Daily Topics, 6/24)
》 Google Public DNS over HTTPS (DoH) supports RFC 8484 standard (Google, 6/26)
》 LINEが「信用スコア」を提供開始 三上洋氏「個人情報は実際の運用に入ってから見極め」 (AbemaTIMES / Yahoo, 6/28)
》 コロプラ、850万円の“課金”を取引先に依頼 セールスランキング操作が目的 (ITmedia, 6/21)。関連:
当社従業員による不適切な取引について (コロプラ, 6/21)
セルラン操作目的の不適切取引が発覚したコロプラ、株価が急落 (ねとらぼ, 6/24)
(株)コロプラ【3668】:株式/株価 (Yahoo!ファイナンス)。底は打った感じ?
「億」の課金が動くスマホゲーム市場で... コロプラ「最果てのバベル」不正の背景 (早川清一朗 / J-CAST, 7/2)
1日に数億の単位のお金が動くゲームアプリの世界で、850万という金額で動かせる順位はわずかであまり意味は無い (中略) 問題は「お金で順位を動かすのが当たり前になっているのではないか」という不信感をユーザー側に与えたことにある。
》 東京都の始めた「SMS納税催告」が危ない 識者「やめたほうがいい」断言の理由 (J-CAST, 7/2)
》 IoTセキュリティチェックリスト (JPCERT/CC, 6/27)
》 Windows 10 ver 1903 で更新の延期設定すると、設定項目が消えてしまう件(不具合?仕様?) (山市良のえぬなんとかわーるど, 6/28)。なんぞこれ。
》 ハラスメント全面禁止 初の国際条約を採択 経団連は棄権 (NHK, 6/22)。国際労働機関 ILO が CONVENTION 190 を採択。
採決では、加盟国の政府に2票、労働組合と経営者団体にそれぞれ1票ずつ投票権が割り当てられ、結果、条約は賛成439、反対7、棄権30と、圧倒的多数の支持を得て、採択されました。
このうち日本から参加した政府と連合は支持に回った一方、経団連は棄権しました。
経団連はほんと糞。関連:
ハラスメント 初の禁止 ILO条約採択 実習生なども保護 (東京, 6/22)
ILO 暴力とハラスメント禁止条約 初の国際労働基準を採択 (しんぶん赤旗, 6/22)
ILO総会でハラスメント禁止条約が採択され、初の国際ルールが成立 ただしLGBT保護は盛り込まれず (OUT JAPAN, 6/22)
当初案ではLGBT(性的マイノリティ)も暴力やハラスメントから保護されるべきだとする記述がありました。しかし、米国やアフリカ諸国などの要請が反映され、単に「被害を受けやすい集団を守る対策を取る」という抽象的な言い方に修正されたとのことです(トランプ政権は、LGBTが職場で暴力やハラスメントを受けても仕方ない、守る気がないと宣言したようなものです…残念です)
》 欧米からも注目を集める中国の社会監視システムの実像〜THE NEW CONTEXT CONFERENCE 2019 TOKYO (DG Lab Haus, 6/27)
》 情報流出、ベネッセの賠償責任認める初の判決 東京高裁 (朝日, 6/28)。ただし金額は「1人あたり2千円」。
》 自民党本部が国会議員に配った謎の冊子が波紋。「演説や説明会用に渡された」と議員事務所 (ハフポスト, 6/25)
自民党が「広くネット上で閲覧されている」としていた「terrace PRESS」だが、「SimilarTech Prospecting」を使って月間の訪問者数を調べても、数字が小さすぎるため「NO DATA AVAILABLE」(データはありません)となってしまう。 (中略) 閲覧数が限られている理由は簡単だ。「terrace PRESS」のページソースを確認すると、検索エンジンに引っかからないようになっているからだ。(中略) 検索できず、一部の人しか知らないURLを打ち込まないと閲覧できないサイトをどう知ったのかについては、自民党本部から明確な回答は得られなかった。
うへぇ……
》 年金支給額は増えたのか 三原じゅん子議員の演説をファクトチェック (毎日, 6/29)
「(民主党政権と)全く違います」と三原氏が胸を張った安倍政権はどうか。23万940円の受給額が、現在はいくらに増えたのか?
増えるどころか、何と22万1504円(19年度)にまで引き下げられているのである。マイナス9436円、1年平均で1348円の減額は、民主党政権時の倍である。
》 「闇営業」カラテカ入江氏と安倍総理との「昵懇写真」が話題に!→ネット「ヤクザに縁のある2人」「合成なんじゃないの?」 (ゆるねとにゅーす, 6/11)
どうやらこれは、2012年3月に都内のクラブで行なわれた“Thanks from Japan”というイベントの際に撮影されたものだった可能性が高そうだわ。
2012年3月といえば、自民党が下野していた時期であり、安倍総理が再び自民党の総裁に返り咲くべく、様々な根回しを行なっていた時期に当たるね。
》 このごろの安倍総理が支離滅裂な件。 以前からひどいとはいえ、このごろ特に変なような。 正直、小渕恵三氏を連想してしまうのだが。検査入院した方がいいんじゃないか?
安倍首相 夫婦別姓への見解に批判殺到「もはや支離滅裂」 (女性自身, 7/1)、 安倍首相 夫婦別姓で支離滅裂答弁の陰に9年前のトンデモ文書 (女性自身, 7/2)
大阪城エレベーター発言への批判に「遺憾」 首相が釈明 (朝日, 7/2)。自身の発言に「遺憾」って。二重人格なのだろうか。
「大阪城にエレベーターつけたのはミス」安倍首相のスピーチに「バリアフリーの視点は?」と批判相次ぐ (BuzzFeed, 6/29)
大阪城天守閣が「忠実に復元された」って安倍首相が言ってたけどホント? (ハフポスト, 7/1)
現在の大阪城天守閣は、徳川期の天守台の上に、豊臣期の天守閣をモチーフにして壁の色や屋根のレイアウトを変えるなど独自のアレンジを加えて、鉄筋コンクリートで作られたもの (中略) エレベーターがあることで歴史的な意義が問われることはなさそうだ。
二次創作、ということですかね。
》 【更新】下着ブランド名「Kimono」を変更。批判殺到のキム・カーダシアン氏、SNSで発表 (BuzzFeed, 7/2)
》 有名作家、Amazonに投稿されたネタバレレビューに悲痛な叫び (togetter, 6/24)。ひどいものだなあ。 amazon は、悪質レビュワーを排除する気がないのなら、ユーザーが任意のレビュワーをブロックできる機構を設置すべきだろう。
》 総務次官に鈴木氏 山田氏は女性初の次官級 (日経, 7/2)。「鈴木茂樹総務審議官が昇格」。
関連:
海賊版サイトのブロッキング、総務省が政府決定前に通信3社に実施要請 (日経 xTECH, 5/18)
知的財産戦略本部・犯罪対策閣僚会議が方針を決める前の4月9日の週に鈴木茂樹総務審議官が通信大手3社の経営幹部を訪れ、直々に要請した。総務審議官は事務次官に次ぐポストで、要請のために通信会社に足を運ぶのは異例。サイトブロッキングを実施しても行政指導することはなく、通信の秘密の侵害で訴えられても政府が責任を負う旨を説明し、対応を求めたという。
海賊版サイト遮断は違法か 立法なしの対策、法廷で議論 (朝日, 6/21)
政府は4月13日、漫画村など海賊版3サイトを名指し、プロバイダーによる接続遮断の緊急対策を打ち出した。
1~2日前に総務省の鈴木茂樹総務審議官がNTT(持ち株会社)、KDDI、ソフトバンクの3社を訪れ、各社長に遮断の趣旨を説明したという。鈴木総務審議官は「立法化したうえで遮断するのが望ましいが、著作権侵害の違法行為を見過ごすわけにはいかない、という政府の判断を3社に説明した」と話す。
》 OSSセキュリティ技術の会 Keycloakミニ勉強会 (connpass)。2019.07.19、神奈川県横浜市、たぶん無料。 面さん情報ありがとうございます。
》 2019年6月30日に行われた福岡大学NTPサービス停止実験について (togetter, 7/1)。止めるとトラフィックが激増とな‥‥。
関連: 福岡大学が独自に運用してきた日本初の公開NTPサービスを利用しないように呼びかけ中、将来的な停止で世界規模の影響が出る恐れも (gigazine, 7/2)
》 購入した電子書籍が“消滅”する:マイクロソフトの撤退で、再び「DRM」の問題点が浮き彫りに (WIRED, 7/2)
関連ツイート:
購入した電子書籍が“消滅”する:マイクロソフトの撤退で、再び「DRM」の問題点が浮き彫りに https://t.co/yos6uP3hAY ★解決策はマンガ図書館Zで販売している「電子透かし入りPDF」型で、一度購入したら私的複製もできるし所有感もある。ただし新刊書では(主に出版社の意向から)実現されにくい。
— 赤松健 (@KenAkamatsu) July 2, 2019
VLC 3.0.7 Vetinari (VLC, 2019.06.07)。「1 high security issue, 21 medium and 20 low security issues were fixed」。 最新は VLC 3.0.7.1。
JVN#43172719 - ひかり電話ルータ/ホームゲートウェイにおける複数の脆弱性 (JVN, 2019.06.27)。更新版ファームウェアあり。
PowerDNS Authoritative Serverの脆弱性情報が公開されました (CVE-2019-10162、CVE-2019-10163) (JPRS, 2019.06.24)
Appleが15インチMacBook Proのバッテリーが発火するとしてリコール、リコール対象かチェックする方法まとめ (gigazine, 2019.06.21)。対象は「MacBook Pro(Retina, 15-inch, Mid 2015)」だそうで。
オフィシャル: 15 インチ MacBook Pro バッテリー自主回収プログラム (Apple)
MacBook Airでロジックボードに欠陥が見つかり無償交換が可能に (gigazine, 2019.07.01)。 対象は「2018年モデルの13インチMacBook Air」だそうで。 「Appleは無償交換の対象となるMacBook Airを持つユーザーに対して、メールで案内を送信する予定です」。まだ始まっていないのかな。
Appleの新しい認証機能「Sign In with Appleはユーザーのプライバシーをリスクにさらす」とOpenID財団が懸念を表明 (gigazine, 2019.07.01)
macOSのマルウェア対策機能をバイパスしたゼロデイ攻撃が「テスト中」であることをセキュリティ研究者が報告 (gigazine, 2019.06.26)
交換/リペアエクステンションプログラム (Apple) には以前にもいろいろ出ているので、ご確認を。
総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も (2019.01.26)
関連:
政府のIoT機器侵入調査「NOTICE」をハニーポットで捕捉してみた (じょんからドットネット, 2019.03.13)
脆弱なIoT機器及びマルウェアに感染しているIoT機器の利用者への注意喚起の実施状況 (総務省, 2019.06.28)。大山鳴動して鼠 147 匹。 しかも、147 は機器数ではなく延べ件数。関連報道:
弱いパスワードのIoT機器割り出し「NOTICE」、147件に注意喚起 「現時点で数は少ない」 (ITmedia, 2019.07.01)
これまでに調査した約9000万のIPアドレスのうち、ID・パスワードが入力可能だったのが約3万1000~約4万2000件。容易に推測できるID・パスワードでログインでき、注意喚起の対象になったのが延べ147件だったという。
国内147件のIoT機器が安易なID・パスワード設定でログイン可能な状態に、国によるIoT機器調査「NOTICE」実施状況 (Internet Watch, 2019.07.01)
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)