セキュリティホール memo - 2013.12
Last modified: Sat Aug 9 01:24:25 2014
+0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
このところ NTP リフレクター攻撃が流行っていたのだそうで。
DNSリフレクター攻撃と同様のコトを公開 NTP サーバーで行う話。
How can you protect your servers? The easiest way to update to NTP version 4.2.7, which removes the monlist command entirely. If upgrading is not an option, you can start the NTP daemon with noquery enabled in the NTP conf file. This will disable access to mode 6 and 7 query packetts (which includes monlist).
NTP 4.2.7 は開発版。最新は 4.2.7p407 だそうで。http://www.ntp.org/downloads.html。
FreeBSD ports だと net/ntp-devel。
関連:
NTP reflection attack
(SANS ISC, 2013.12.27)
One way of protecting NTP server from such attack is adding
disable monitor
To /etc/ntp.conf file
/etc/ntp.conf で disable monitor を設定することでも回避できるみたい。
NTP DoS reflection attacks
(LITNET CERT, 2013.11.22)
2014.01.06 追記:
CVE-2013-5211。4.2.7p26 で対応されていたのですか。
2014.01.14 追記:
関連:
2014.01.24 追記:
NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について
(SEIL, 2014.01.24 更新)。対策版ファームウェアが公開された。
2014.02.13 追記:
関連:
2014.02.24 追記:
関連:
RealVNC 5.0.6 における、local user が root 権限で任意のコードを実行できる欠陥 (UNIX/Linux 版、Mac OS X 版) CVE-2013-6886 が修正されている。
この欠陥は RealVNC 5.0.6 にのみ存在。RealVNC の最新は 5.1.0。
》
デビルほむほむ 劇場版法学特別講義〜宇宙人をどう追い出すか〜
(QB被害者対策弁護団 / とらのあな, 12/29)。「2014年01月第1週販売開始予定商品」。
》
Internet connected ICS/SCADA/PLC|30C3 release
(SCADA StrangeLove, 12/28)
》
Hydra vs Siemens S7-300|30C3 release
(SCADA StrangeLove, 12/27)。
THC-Hydra
7.6 公開。
》
焦点:強大化する中国軍、習主席にとって「諸刃の剣」
(ロイター, 12/28)
》
「ZBOT」やその他の情報収集型不正プログラムにも利用されるプログラミング言語「AutoIt」
(トレンドマイクロ セキュリティ blog, 12/27)。
AutoIt
は BASIC ライクなスクリプト言語だそうで。
》
携帯電話の電波を可視化すると世界はこんな風に見える
(gigazine, 12/29)
》
Bitcoin 関連
》
OpenSSL suffers apparent defacement
(SANS ISC, 12/29)。ヤラレた模様。
》
マルハニチロ、子会社「アクリフーズ」群馬工場製造の冷凍食品から殺虫剤「マラチオン」を検出、630万個回収。
「回収金額は約13億円」だそうで。
マルハニチロHD会見「回収金額は13億円」
原因は「不明」
(日経, 12/29)
——製造工程にマラチオンは入らないのか。考えられる混入の原因は。
「虫の駆除に使う物なので、工場の中には一切置いていない。現段階ではまだ、工場なのか農作物などの原材料なのか突き止められていない。人為的な可能性も否定できないため、群馬県警にも相談している」
「群馬工場は今年9月に設備工事を行っており、当初はその関係でペンキなどから異物が混入したのかと調査を進めていた。そのため農薬の混入発覚が遅れたことが最大の反省点だ」
マルハニチロ社長「深くおわび」 原因は「調査中」
(産経, 12/29)
マルハニチロの冷凍食品から農薬 630万袋回収、外部混入の可能性も
(産経, 12/29)
マルハニチロ:冷凍食品から農薬 90品630万袋回収
(毎日, 12/29)
マルハ農薬混入:「異臭」指摘で判明 謝罪し「調査中」
(毎日, 12/29)
農薬はなぜ混入したと考えられるのか。筑波大の内藤裕史・名誉教授(中毒学)は「食品に残ったマラチオンの濃度が非常に高く、誰かが故意に混入させたはずだ。(中国製冷凍)ギョーザ事件をほうふつとさせる」と指摘する。
マルハニチロによると、マラチオンが検出された商品からは、異臭がし、食べた子どもは吐き出したりしている。内藤氏は「残留農薬が原因で異臭がしたり、味が変わることははほとんどない。今回は異常だ」と強調し、「材料に残留していたのではなく、加工や輸送、販売などの過程で、人為的に混入させられた可能性が高い」と語った。
吉田武美昭和大名誉教授(毒物学)も「冷凍食品の原料に使われる加工した農産物にこれほど大量のマラチオンが残留しているとは考えにくい。製造などのどこかの過程で入り込んだ可能性がある」と同様の見方を示す。一方で「マラチオンは毒性が比較的弱い殺虫剤。1万5000ppmなら気分が悪くなって吐き気をもよおしたり、瞳孔が縮まってものが見えにくくなるなどの症状が出てくるかもしれないが、致死量には達しないのではないか」。臭いもきついため、大量に混入している場合は口にすることは考えにくいといい、「仮に食べて気分が悪くなった場合は、解毒剤があるので病院に行って治療を受けてほしい」と呼びかける。
マルハ農薬混入:自主回収する商品一覧
(毎日, 12/29)。プライベートブランド品もあるので注意。
マルハニチロ オフィシャル。
analysis3.tdx.co.jp なんてところに置かれてるなあ。
》
JR北:データ改ざん 社内調査が年越し 再面談の社員も
(毎日, 12/28)
》
NTP DoS reflection attacks
(LITNET CERT, 11/22)。NTP リフレクター攻撃。monlist クエリを使っているそうだ。ntpdc -n -c monlist [server] で見える答えが返るのかな。
Currently the best available solution is to update to NTP 4.2.7 for which the support of 'monlist' query has been removed in favor of new safe 'mrunlist' function which uses a nonce value ensuring that received IP address match the actual requester. After upgrading our NTP servers the attacks stopped. Even though it's a tiny little function of NTP it effectively enabled attacker to exploit our server. Therefore if you happen to manage a public NTP server this update is highly recommended.
mrunlist じゃなくて mrulist かな。
NTP 4.2.7 は開発版。最新は 4.2.7p407 だそうで。http://www.ntp.org/downloads.html。
FreeBSD portsだとnet/ntp-devel。
関連: Secure NTP Template
(Team Cymru)
》
仲井真弘多・沖縄県知事、辺野古沖埋め立てを承認
》
鈴木正朝氏に聞く 個人情報保護法改正の本質
(togetter, 12/28)
》
高木浩光氏に朝日記者が聞く、ネット社会のプライバシーと利便性
(togetter, 12/26)
》
安倍晋三首相靖国参拝関連
》
SQL識別子は結局どうすればよいか
(徳丸浩の日記, 12/27)
》
スノーデンからのクリスマス・メッセージの報道が酷い件
(.Nat Zone, 12/25)。天下の NHK の記事がひどかった模様。
》
親アサド派、シリアの反体制派をターゲットにマルウェア攻撃
(CNET, 12/26)
》
炎上予防に大学がSNSガイドライン、“想像力の欠如”補う具体的すぎる説明文
亜細亜大学と東海大学に聞く
(Internet Watch, 12/27)
》
「ポケモンバンク」配信を一時停止 アクセス殺到による接続障害緩和のため
(ITmedia, 12/27)
》
割られた窓ガラス——AppleやGoogleの通勤バスに抗議デモ “新たな支配層”への不満が顕在化
(ロイター / ITmedia, 12/27)
サンフランシスコでは、若くて所得の高いIT社員の流入が家賃高騰をもたらし、低所得層が立ち退きを迫られるなど、「ジェントリフィケーション」(下層住宅地の高級化)の問題が顕在化しており、IT企業の通勤バスはその最も目立つシンボルとなっている。一部からは、市の政策がIT業界に対して甘すぎるとの批判も挙がっている。
》
米空港で相次ぐ不正侵入、100億円のシステムでも防げず
(CNN, 12/27)。物理侵入の話。
》
米北東部とカナダで大規模停電、寒さに凍えるクリスマスに
(CNN, 12/26)
》
駐車場崩落:構造計算担当の社長を在宅起訴…震災で発生
(毎日, 12/27)。3.11 コストコ多摩境店の件。
当時の画像 (NHK 総合TVより):
》
安倍晋三、国益よりも私益を優先した男
クローズアップ2013:首相靖国参拝 保守層配慮を優先 「経済偏重」不満出始め
(毎日, 12/27)
とりわけ懸念されるのが米国との関係だ。在日米大使館はすぐさま声明で「失望」を表明。2006年の小泉純一郎元首相の参拝時、「国内問題だ」とした抑制的な対応との落差は大きい。政府関係者は「日中、日韓を取り持とうと奔走した米国の顔に泥を塗った」と述べた。岸田文雄外相は26日夕、ケネディ駐日大使に電話で参拝の真意を説明、大使は「本国に伝える」と回答したが、理解を得られるかは不透明だ。
【安倍首相、靖国参拝の裏】保守層の失望に危機感 政権基盤に影響しかねず
(共同, 12/26)
首相、米の意向無視 靖国神社参拝前に自制要請
(共同, 12/27)
社説:安倍首相が靖国参拝 外交孤立招く誤った道
(毎日, 12/27)、安倍首相靖国参拝社説まとめ
(news-pj.net)
安倍首相の靖国参拝に米国が異例の批判
(ウォール・ストリート・ジャーナル日本版, 12/27)
【オピニオン】安倍首相の靖国参拝、朴大統領の正当性を鮮明に
(ウォール・ストリート・ジャーナル日本版, 12/27)
しかし、批判はもうなくなるだろう。安倍首相の靖国神社参拝は、朴大統領を窮地から救い出した。
日本との関係悪化を放置したとして国内からの批判を浴びるどころか、朴大統領のアプローチには今や、予見性の高さが見られる。今後、ほぼ全方面からこの姿勢を貫くことへの支持を得られるだろう。この1週間で、両国の副大臣級会合が開かれ日韓関係を軌道に戻す最初の一歩になるとの、信頼度の高い臆測が広がっていたが、今となってはこの種の会合は不可能だ。
ほんのちょっと前までは、世界の扉 「転換迫られる韓国パク・クネ外交」
(NHK 解説委員室, 12/20) という状況だったのに、一気に塗り変えられました。安倍君のおかげです。
靖国参拝「中国への贈り物」=いら立つオバマ政権—米紙
(時事, 12/27)。ウォール・ストリート・ジャーナル。
安倍首相を入国禁止に=有力な対抗措置を提案—中国紙
(時事, 12/27)。環球時報。
靖国参拝、ロシア・EUも懸念 「関係改善にならない」
(朝日, 12/27)
靖国参拝 事態の改善は難航も
(NHK, 12/27)。「も」じゃねーだろ……。
官房長官「各国に理解得る努力重ねる」
(NHK, 12/27)。日本語訳: 打つ手なし。
安倍首相のクリスマス明け靖国神社参拝は外交上の大失点
(極東ブログ, 12/27)
時論公論 「安倍首相靖国参拝の波紋」
(NHK 解説委員室, 12/27)
安倍首相の靖国参拝、米国は「心から失望」 分析
(AFP=時事 / Yahoo, 12/27)
北京やソウルで警戒強まる
(NHK, 12/27)
まさに「四面楚歌」。自分で墓穴を掘ったのだから当然そうなる。足元の一部からだけ、よくやったとか当然だとかいう声が聞こえてくるらしい。
》
国民生活センター 存続へ
(NHK「かぶん」ブログ, 12/13)、
消費者被害DB 登録時間大幅短縮へ
(NHK「かぶん」ブログ, 12/24)
》
ブラインド事故防止の提言案まとまる
(NHK「かぶん」ブログ, 12/20)、
ブラインド等のひもの安全対策
(東京都商品等安全対策協議会)
》
「トリチウム」処理の判断材料を今年度中に
(NHK「かぶん」ブログ, 12/25)。何これ……。結局タレ流すしかないのに。
》
トルコ原発輸出関連
-
いろいろ (2013.12.25)
-
IMEのオンライン機能利用における注意について
関連:
とか書いているうちに、Baidu からまたプレスリリースが:
一連の報道に対する弊社の見解
(Baidu, 2013.12.27)
このほど、一部のメディアにて、Baiduの日本語入力システムやGoogleおよびMicrosoftが提供する日本語入力システムを使用しないように呼びかけたとの報道がなされました。
そんなこと誰も言ってないと思いますが。広く問題になっているのは
「Baiduの日本語入力システム」だけです。
Baidu の人達だけ、別の次元にでもいるんだろうか。
(誤)入力したパスワードがサーバーに送られる
(報道では、全角数字のパスワードを入力し、あたかもパスワードがクラウドサーバーへ送信されているような実演が報道され、誤解を与えています。)
(正)パスワードやカードなどの信用情報については、クラウド変換利用時も外部へは送信しておりません。
これについては、たとえば川本優さんのツイートを:
しかし、Baidu さんは、UUID とかまで取ってることについては依然としてガン無視ですね……。
2013.12.27 追記 2:
Simejiの「入力内容無断送信」問題はどこまで影響するのか
(Jiagm's BLOG @ Blogger, 2013.12.26)。Simeji の場合、クラウド変換が OFF でも「英語予測変換」が ON だと、クレジットカード番号などがサーバーに送られてしまうというテスト結果。パスワードだけは送られないが、他の文字列はサーバーに送られてしまう。
「英語予測変換」についても OFF にすべきの模様。
》
遠隔操作 「職場で作成した痕跡」も誤報の疑い
(日本報道検証機構, 12/25)
PC遠隔操作事件で、捜査当局がFBIの協力で米国のサーバーに保存されていた遠隔操作ウイルスを解析した結果、●●さんの職場で作成されたことを示す痕跡が残っていたと繰り返し報じられてきたが、そのような事実はないとみられる。
な、なんだってーーーー
》
WordPress 3.8 日本語版リリースのお知らせ
(WordPress.org 日本語, 2013.12.16)。出てたんですね。セキュリティ修正はないみたい。
》
JNSA セキュリティ十大ニュース
(JNSA, 12/25)。Suica の件が 1 位。
【第5位】8月1日 アカウントリスト型ハッキング
(中略)
現在のところは最低限、以下のことを守って パスワード運用を行うのはどうだろうか。
○パスワードは英数記号を混ぜて8文字以上で設定する。
○サービスごとにパスワードは違うものを設定。最低限金銭に係るサービスのパスワードはそれぞれ別のものを設定。
○三ヶ月、あるいは半年程度でパスワードを変更する。
1 番目と 2 番目は大いに推奨だけど、3 番目は意味がない。
(断定することにした)
》
New CryptoLocker Spreads Via Removable Drives
(trendmicro blog, 12/25)。あの手この手できますねえ。
日本語: ランサムウェア「CryptoLocker」の新しい亜種を確認、USBワーム活動による感染拡大を狙う
(トレンドマイクロ セキュリティ blog, 12/26)
》
マカフィーサポート通信 - 2013/12/26
(マカフィー, 12/26)。McAfee Agent 4.8.0 Patch 2 リリースなど。
》
安倍総理、靖国神社に参拝。
年の瀬のこの時期に、中韓に格好の餌を与え、US に不信の種を撒きますか……。
国益に沿うとは全く思えないけど、安倍政権的には、外交は荒れた方が都合がいいんですかね。
安倍首相 靖国神社に参拝
(NHK, 12/26)
靖国参拝 首相が談話発表
(NHK, 12/26)
安倍首相の靖国神社参拝(12月26日)についての声明
(米国大使館 東京・日本, 12/26)
日本は大切な同盟国であり、友好国である。しかしながら、日本の指導者が近隣諸国との緊張を悪化させるような行動を取ったことに、米国政府は失望している。
US の国益には全く反する行為ですからね。
US は、
米国務長官らが千鳥ヶ淵墓苑で献花
(AFPBB, 10/3) なんてことをしてまで、態度を明確にしていたのですが。
靖国参拝「米政府は失望」
(NHK, 12/26)。「アメリカ大使館関係者」の談話。
米政権「失望している」 首相靖国参拝で異例の批判声明
(朝日, 12/26)
米政府はこれまで、小泉首相を含めた日本の首相の靖国神社参拝に公式に反対したことはなく、今回声明を出して批判したのは極めて異例の対応だ。
UPDATE 1-米政府が靖国参拝に失望を表明、安倍首相「誤解を解いていく」
(ロイター, 12/26)
共同通信によると、安倍首相はインターネットの動画番組の中で、米国の誤解を解きたいと発言した。
韓国 靖国参拝を厳しく非難
(NHK, 12/26)
韓国政府の関係者は「日韓両国が互いに努力してきたのが水の泡になる。
韓国政府は「努力」なんてしてないけどな!
内心は「メシウマ状態」と思ってるだろ……。
中国 靖国参拝に「強く抗議」
(NHK, 12/26)、
靖国参拝 中国在留邦人は注意を
(NHK, 12/26)。自国の top が撒いたガソリンに「注意を」って言われてもね……。まあ、そういう輩が top の政党を選挙で選んだからなんですが。
質問なるほドリ:靖国参拝はなぜ外交問題になるの?=回答・吉永康朗
(毎日, 8/16)。
この件についてはいろいろ言いたいことがある人も少なくないと思うけど、
靖国神社は「天皇陛下はA級戦犯の合祀が公になってからは、靖国参拝を控えています」という事実をもっと重く見るべきだと私は思う。
「公にしたアサヒが悪い」というのは話のすりかえ。
安倍首相、「年内見送り」報道翌日に靖国参拝
(日本報道検証機構, 12/26)
》
11月の国内フィッシング事情:「安全確認」メールが標的を拡大
(so-net セキュリティ通信, 12/26)
》
中谷元衆院議員 秘密保護法逐条解説作成を法成立後まで知らず
(秘密保全法に反対する 愛知の会(特定秘密保護法案に反対), 12/22)。寒過ぎる現実。
》
南スーダン方面
》
来月出る本
》
ビットコインを簡単に盗み出すための3つのステップとは?
(gigazine, 12/25)
》
ラップ・ジーニアス、あまりジーニアスじゃないSEOスパム戦術を謝罪
(techcrunch, 12/25)、スパムSEOを働いた人気歌詞注釈サイトのRap GeniusにGoogleが厳しい制裁
(techcrunch, 12/26)、
Googleが重いペナルティを課したブラックな検索エンジン対策とは?
(gigazine, 12/26)
》
大阪高裁でハンナン、浅田被告に一部無罪判決 警察、検察のデタラメ指摘
(いまにしのりゆき 商売繁盛でささもって来い!, 12/26)。
一部無罪!
証拠隠滅にかかわった従業員は、再審で無罪が言い渡された。
浅田被告も、証拠隠滅にかかわる教唆について差し戻され、再度、審理されていた。
(中略)
押収できるのに、せんかった証拠を、隠滅したと逮捕する。
詐欺には、不可欠な金額など、数字を間違える。
今回は、浅田被告という著名人が、大阪では最高の弁護団をつけて
戦ったから、大阪府警、大阪地検のデタラメがわかった。
》
mb_send_mail(),mail()で第5引数を設定する際の注意点
(t_komuraの日記, 12/23)
》
鎌倉市運営の自治体通販サイト事業中止 武雄市から回答得られず 不透明な幕引きへ
(高圧洗浄機で北へ進め, 12/22)
》
Oracle、Java定例アップデートで認証強化へ アプレットなどに影響
(ITmedia, 12/24)。次回アップデート (2014.01.14、Java 7 update 51) にて。
》
NSA 関連
》
第9回セキュリティさくら
熊本情報セキュリティ勉強会
(ATND)。2014.02.08、熊本県熊本市、社会人500円・学生無料。
》
爆発するIPAmj明朝
(Mac OS Xの文字コード問題に関するメモ, 12/24)。
「IPAmj明朝を含むPDFを、iOSのメールアプリやiBooksで表示すると、特定のグリフが爆発する」。
なんか前衛芸術っぽい。
Samsung Galaxy S4 等
WordPress 関係
HP Autonomy Ultraseek
OpenSSL
2014.01.07 追記:
OpenSSL 1.0.1f が公開された。
CVE-2013-6449
が修正されている。
-
拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ
(2013.09.23)
-
IMEのオンライン機能利用における注意について
(2013.12.17)
Baidu IME (PC 用 IME) と Simeji (Android 用 IME) が要注意 IME の模様。初期設定で漏れ漏れ。
Baidu IME はクラウド入力 OFF + ログ情報送信 OFF を設定することで回避できるが、Simeji の場合は設定してもなお送信してしまう。
2013.12.26 追記 2:
Baidu.jp プレスリリース出ました。
素早い対応はすばらしい。関連:
》
2014 年 1 月第 2 週目から順次、Windows 7 向けInternet Explorer 11 の自動アップグレードを開始します
(Internet Explorer ブログ (日本語版), 12/25)
》
特定秘密保護法関連
》
"測定誤差と擾乱に関する不確定性関係"の新たな不等式の検証に成功 -東北大
(マイナビニュース, 12/25)
》
ドスパラの通販サイトに不正アクセス、顧客情報を閲覧された可能性
(Internet Watch, 12/24)、不正アクセスによるお客様情報漏洩の可能性に関するお詫びとご報告 (ドスパラ, 12/21)。事象発見は 11/27。約 1 か月間、告知もせずに、ですか。
11月2日以前の登録情報より、合計2,926件のお客様情報漏洩の可能性があることを確認いたしました。11月3日以降の登録情報については漏洩の可能性はございません。
取られたのは 11/2 ってこと?
本日、当WEBサイトでの情報公開と併せ、漏洩の可能性があるお客様へ、メール、電話、郵便等によるご連絡を開始いたしました。
少なくとも該当者にはもっと早く告知できなかったのかな……。
》
クリスマスの日、ポルノサイトへのアクセスが増える国がある——英紙報道
(ITmedia, 12/24)。日本でした…… orz
》
UNMISS、軍事要員 5500 人増強へ
》
UNMISS および在日本韓国大使館からの要請に基づき、国家安全保障会議 (NSC) および持ち回り閣議において、南スーダンに派遣された自衛隊 PKO 部隊から韓国 PKO 部隊へ 5.56 mm 弾 1 万発の無償提供を決定、実行 (12/23)。
アサルトライフル用の弾ですね。
個人的には問題ない (むしろ、そうあるべき) 判断だと思うけど、これまでの政府答弁とは明らかに矛盾するよなあ。
そもそも政府答弁が変 (というか詭弁) だったわけで、
「例外」で済まさず、政府答弁をきちんと改めるべきであろ。それとも、次に同じような事態が起こったときは「駄目です」と言うつもりなのか?
背景となる状況
南スーダンで国連基地襲撃、PKOインド兵3人死亡
(AFPBB, 12/20)
各国政府、南スーダンからの自国民の避難を加速
(AFPBB, 12/21)
民間人も11人死亡、武装勢力は総勢2000人 南スーダンPKO施設襲撃
(産経, 12/21)
一方、フランスのアロー国連大使によれば、州都ボルにある国連施設周辺にも数千人の武装勢力が集結。施設に保護されている民間人約1万4千人に動揺が広がっているという。
韓国軍がいるのはここ。
南スーダン:避難の市民11人殺害 国連が非難声明 (毎日, 12/21)
南スーダン:反乱軍「北部1州を管理下に」政府軍寝返り?
(毎日, 12/22)
民族紛争飛び火、内戦危機 南スーダン首都衝突1週間 対話メド立たず
(産経, 12/22)、
南スーダン前副大統領「反乱軍は自分の指揮下」 (産経, 12/22)
南スーダンで米軍オスプレイ3機が被弾、4人負傷
(AFPBB, 12/22)、
南スーダン:オバマ大統領警告「長年の支援失う結果招く」 (毎日, 12/22)
南スーダン、反政府勢力が北部油田掌握 政府軍は鎮圧へ
(AFPBB, 12/23)
南スーダン政府、反乱軍掌握の都市奪還作戦へ PKO要員の一部は国外退避
(産経, 12/23)
特定民族の大量殺害やレイプ横行か、戦闘続く南スーダン
(AFPBB, 12/24)
【図解】南スーダンの主要民族
(AFPBB, 12/24)
南スーダンの死者は「数千人」、国連が見解 集団墓地も発見
(AFPBB, 12/25)
南スーダン 死者さらに増加か
(NHK, 12/25)
韓国軍拠点近くに迫撃砲弾 南スーダンPKO、ネパール兵数人が負傷
(産経, 12/25)
政府、初の武器提供 南スーダンPKO 韓国軍に銃弾1万発
(東京, 12/24)
国連は国連施設を警備する韓国軍に銃弾が不足し、提供がなければ韓国軍や避難民の生命に危険が及ぶ可能性が高い事態だと判断。日本時間二十二日午前に、日本政府に提供を要請した。銃弾は「89式五・五六ミリ小銃」と呼ばれる武器用で、在庫があったのは、南スーダンで展開しているPKO部隊の中では、韓国軍のほかは日本の自衛隊だけだった。
UNMISS Facts and Figures (UNMISS) によると US や UK もいるし 5.56 mm 弾使ってる人達は他にもいると思うんだけど、
弾薬ってみんなどのくらい持ってきてるんだろう。
韓国 PKO 部隊と現地武装勢力との武力衝突が発生した、というニュースは聞こえてきていないので、そもそもの要請が、現地情勢の緊迫化に共なう予備弾薬の確保のためだったのだろうと思うなあ。
解釈変更、説明なし 南スーダンPKO銃弾提供
(東京, 12/25)
銃弾の提供は一部の閣僚が外交安保政策を密室で議論する国家安全保障会議(NSC)で即決された。十分な説明のないまま、国民の見えないところで、重要政策が転換される恐れが現実になったといえる。
NSC 設置によるスピード感のある決定はいいんだけど、
はじめてのことなんだし、最初からもっと丁寧に説明すべきだよなあ。
そういうことも情報戦の一部なんだが……。
銃弾供与、日韓で説明食い違い 韓国「不足せず」
(日経, 12/25)
韓国外務省の報道官は記者会見で「国連南スーダン派遣団(UNMISS)に支援を要請し、UNMISSを通じて支援を受けた。それが全てだ」と語り、あくまで国連への要請だったと主張。日本への謝意の表明も避けた。国防省報道官は「予備的に借りたものだ。(銃弾は)不足していない」と述べた。
韓国政府は、例によって詭弁ですか。実際、弾薬が足りてないから支援要請しているんだろうが。
南スーダン派遣のハンビッ部隊、自衛隊から銃弾の提供を受ける
(東亜日報, 12/24)
キム・ミンソク国防部報道官は23日、「ハンビッ部隊が自衛力強化のために韓国軍の火器と互換可能な銃弾を持つ米国と日本に協力を要請した」と明らかにした。これに対して米国はアフリカ司令部配下の部隊から、5.56ミリ小銃弾3400発と7.62ミリ機関銃弾1600発など銃弾5000発を提供した。現地のPKOに参加している日本の陸上自衛隊からも5.56ミリ弾1万発の提供を受ける計画だと、金報道官は伝えた。
自衛隊の 1 万発だけじゃなく、US からも 5000 発もらってたんだ。
韓国隊の弾薬、どんだけ少ないんだ?
韓国軍「1人当たり銃弾15発」と要請、提供後は「日韓の絆の象徴」と謝意
(産経, 12/25)
政府が南スーダンで国連平和維持活動(PKO)に参加する韓国軍に小銃の銃弾1万発を無償で提供したことに関し、韓国が提供を求めた際、現地部隊が装備している銃弾数について「1人当たり15発」と説明していたことが24日、分かった。
たった 15 発/人って……マガジン 1 個分にも足りないだろ……。
韓国隊は約 280 人なので、
280 * 15 = 4200 発しかないってことなのか、それとも「派遣部隊の武装メンバー」に限った話なのか (だとするともっと少ない)。
いずれにせよこれは供与しないとマズい、緊急性ある事態。
しかし、US の分と合わせても 13400 / 280 = 47.8 なので、マガジン 2 個分弱ですか (韓国軍のアサルトライフル K2 のマガジンは 30 発だそうです)。
「数千人の武装勢力が集結」しているという現状からすると、依然厳しいですね。
いや、そもそも韓国軍部隊に小銃が 280 丁あるのかどうか不明なんだけど。
脅威の度合いがよくわからない人は、「ゾンビ数千体が集結」と読みかえてみてね。相手がクスリやってたりすると、ほんとにゾンビ並みみたいらしいし。
……K2 のマガジンが 30 発入りということなので、警備担当がマガジン 4 つ保有しているとすると 35 人ですか。それで数千人に対抗するとすると (おまけに宿営地に保護すべき民間人が 14000 人もいる)、かなりアレなわけで。
「NSCで恐れた事態」 銃弾提供 野党「文民統制形骸化」
(東京, 12/25)。現地自衛隊部隊が勝手にやったわけじゃないので、文民統制はちゃんとできてるんですけどね。野党はもうちょっとまともなことを言いましょう。
国際連合南スーダン共和国ミッションに係る物資協力についての内閣官房長官談話
(首相官邸, 12/23)、
国連南スーダン共和国ミッション(UNMISS)への物資協力について
(防衛省, 12/23)
UNMISSへの5.56mm普通弾1万発の物資協力については、当該物資が韓国隊の隊員及び避難民等の生命・身体の保護のためのみに使用されること及びUNMISSの管理の下、UNMISS以外への移転が厳しく制限されていることを前提に、武器輸出三原則等によらないこととする。
内閣官房長官記者会見
平成25年12月24日(火)午前
(首相官邸, 12/24)。QA の部分はテキストにはなってないみたい。
映像にはあります。10:00 あたりから。
「22 日午前中に国連から正式な要請、午後に韓国から要請」
「在京 (在日本) の韓国大使館を通じて」「国連から謝意」「現地韓国隊隊長から自衛隊隊長に謝意」。
こういうのは、12/23 の官房長官談話の時点で明記すべきだろうに。
韓国の説明に食い違い「銃弾不足なし」
(NHK, 12/24)
韓国では、今回の事態について、軍の見通しの甘さが、韓国で反発の強い安倍政権の安全保障政策を後押しすることになったという批判の声が上がっており、報道官の発言はこうした批判をかわすねらいがあるものとみられます。
派遣隊長 韓国側から謝意伝えられる
(NHK, 12/24)
井川隊長は現地時間の21日夜、韓国隊の部隊長から直接電話があったとしたうえで「『韓国隊の宿営地には1万5000人の避難民がいるが、守るのは韓国隊のみで、周りは敵だらけで、弾薬が不足しているので1万発の小銃弾をぜひ貸してほしい』と差し迫った要請だった」と述べました。
そのうえで、井川隊長は、銃弾が届いたあと、韓国側から「協力に感謝する。銃弾は日本隊と韓国隊の強い絆の象徴だ」と謝意を伝える電話があったことも明らかにしました。
【韓国軍に銃弾提供】
緊迫の南スーダン「緊急・人道性」で迅速対応 原則見直す時期
(産経, 12/24)
関係者によると、韓国側は提供を公表しないように要請してきたというが、官邸主導で提供と官房長官談話による公開を決めた。迅速な対応は、国家安全保障会議(NSC)の存在意義を示す機会にもなった。
PKO:武器提供に敏感な日本、韓国政府の予想上回る
韓国では状況判断の甘さに批判も
(朝鮮日報, 12/25)
国連南スーダン派遣団(UNMISS)に参加している韓国軍が日本の自衛隊から銃弾1万発を借りたことをめぐり、韓国政府は「自衛隊から借りたのではなく国連に要請して支援を受けた」と釈明している。
だが、日本の反応は韓国政府の予想をはるかに上回るものだった。銃弾の提供を決定するため国家安全保障会議(NSC)を2回も開催し、決定後は「緊急の必要性・人道性が極めて高い」とする官房長官談話も発表した。日本のマスコミは、1992年に国連平和維持活動(PKO)を始めて以来21年間貫いてきた「国連事務総長からの要請があっても武器や弾薬などは提供しない」という方針を安倍内閣が変えたと報じている。戦後、日本政府が維持してきた武器輸出を原則禁じる「武器輸出3原則」が事実上崩れ、集団的自衛権と絡み大きな論争が起こった。
このため、日本で「武器輸出」がNSCを開くほどデリケートな問題であることを韓国政府が見過ごしたのでは、との指摘も出ている。韓国政府の関係者は「国防部(省に相当)がほぼ全面的に決定したこと。日本に対する政務感覚のない人ばかりが集まって決定したため、全般的な状況を見極められなかったようだ」と話している。
韓国が要請した実弾1万発、安倍首相の野心の踏み台に?(1)
(中央日報, 12/25)、
韓国が要請した実弾1万発、安倍首相の野心の踏み台に?(2)
(中央日報, 12/25)。
UNMISS:
United Nations Mission in the
Republic of South Sudan
(UN)
》
Windows XPのサポート終了まであと100日あまり、MSが早めの移行を呼び掛け
(クラウド Watch, 12/19)
》
【PC遠隔操作事件】家族との面会禁止の是非を問う
(江川 紹子 / Yahoo, 12/22)
弁護団は接見禁止決定の取り消しを求めたが、東京地裁刑事14部(藤原靖士裁判官)は、「現行法に被告人や弁護人が接見禁止決定の取り消しを請求できる規定がない」として、請求を棄却。これに対し、弁護側は「法律家の悪しき形式論だ」(木谷明弁護士)として、近く異議申し立ての準抗告を行う。最終的には最高裁の判断を求めることが予想され、事件そのものとは別に、被告人の面会の権利を巡る司法判断が注目される。
請求すらできないというのは、法がおかしいであろ……。
》
原発リスク:火山噴火予測困難 起これば「被害甚大」
(毎日, 12/23)。昨日の、
原発リスク:巨大噴火の影響大…泊、川内など 学者が指摘
(毎日, 12/22) のつづき。
しかし、アンケートで原発への火山リスクを指摘した29人全員が、規制委が審査対象とする「最長60年の原発稼働期間中に巨大噴火が発生する可能性」を必ずしも高いと見ているわけではない。「可能性は非常に低い」との指摘も少数あった。
それでも多くの火山学者がリスクを指摘するのは「起きない」と言い切れない点にある。巨大噴火の頻度は非常に低く、実証データや記録がないため発生の可能性を数値的に示すことはできない。日大の高橋正樹教授も「現在の火山学では巨大噴火の前兆現象の識別や直前予測は不可能」と説明する。可能性は低くても、いつ起こるか分からず、万一起きてしまった時の被害の甚大さを考えてリスクの存在が導き出された格好だ。
M9 級海溝地震が「東日本大震災」によってようやく現実に起こることと受け止められたように、巨大噴火も実際に起こってみないとリスクとして認識されないということですかねえ。
規制基準の根底には、東大地震研究所の中田節也教授が基準策定時に「モニタリングで前兆はとらえられる」と説明したことから「予知は可能」との考え方がある。原子力規制庁幹部は「審査に限界はある。だから現在の知見の範囲で判断し、不確実さが残る部分は継続的に監視していくことで補うしかない」と説明する。
だが火山学者へのアンケートでは、50人中25人が「前兆現象はキャッチできる」と答えたが、前兆現象から「巨大噴火の切迫を正しく評価できる」と答えたのは50人中5人のみ。45人が「難しい」「現在の科学では想定不可能」と回答した。
前兆を捉えられたとしても、その前兆から「どのような規模で起このるか」を把握するのは困難な模様。
個人的には、たとえ規模を把握できたとしても、(使用済み) 核燃料を安全な場所に移送するのは困難のように思うのだが……。
》
2ちゃん、匿名の代償 ライバル作家を中傷…身元ばれて信頼失う
(朝日, 12/23)。
2ちゃんねる史上最大規模の個人情報流出事故をまとめてみた。(随時更新)
(NAVER まとめ)、匿名掲示板のはずが……2ちゃんねるの情報流出により暴言発覚 小説家の杉井光さんが謝罪
(ITmedia, 8/27)
の件。
ネット利用、心がけ5カ条
- 情報は漏れると心得よ
第三者の流出事故まで防げない
- 匿名なんて、あり得ない
IPアドレスや履歴……足跡だらけ
- いつか、あなたも狙われる
過去の情報が特定の材料に
- 失敗は闇夜とともに
夜中は気持ちが大きくなる
- 飲んだら書くな 書くなら飲むな
お酒は判断を鈍らせる
(多摩大学・田代光輝客員研究員が監修)
》
カタカナの「ツ」が海外で顔文字になってるの知ってた?
(ねとらぼ, 12/20)。へぇ〜。
》
2ちゃんねらー「女の子のキス顔が撮れるアプリ考えたった」→ヤフーが爆速で実現
(ねとらぼ, 12/20)
》
貧しい家に光を ペットボトルが「電球」に フィリピンで、ブラジルで
(朝日, 12/23)。これいいなあ。
》
米紙Washington Postに不正アクセス、過去3年で3度目
(ITmedia, 12/20)
》
試験会場に「金属探知機」「指紋照合機」……中国のカンニング対策、空港以上に厳しいチェック
(ITmedia, 12/20)。中国四千年の味。
》
漫画「百合男子」で他作品のイラスト無断使用 著作権侵害で謝罪
(ITmedia, 12/20)
》
Google、Android 4.4.2 でプライバシー保護機能 App Ops を削除
》
トルコのスキャンダル
(中東の窓, 12/22)
トルコの賄賂スキャンダルについては先にお伝えしましたが、その時書き忘れたかと思うのは、エルドアン首相が警察の汚職追及キャンペーンはAKP政権を標的にしたものだとして、19日には警察長官が罷免された他、イスタンブール警察署長他18名の警察幹部を罷免したが、更に20日には警察の部長級14名を更迭したとのことです。
更にエルドアン首相は外国大使が、この問題に関係していると非難に、特に米大使が関係していると非難し(米国は勿論否定し、米・トルコ関係を危うくするような言動に不快感を示した由)、このような外交官は追放すると発言したとのことです。
これに対してトルコ経団連は、政府が司法の独立を侵害しないようにとの警告を発した由。
めちゃくちゃだな……。これか:
》
原発リスク:巨大噴火の影響大…泊、川内など 学者が指摘
(毎日, 12/22)。
火山学者 62 人にアンケート、ということでいいのかな。 記事更新されてた。火山学者 134 人にアンケート、50 人が回答。
回答者の内 12 人は無回答、9 人は「巨大噴火が発生し、火砕流の被害を受けるリスク」無しと回答、残り 29 人が何らかのリスクありと回答、ということみたい。
回答した50人のうち、巨大噴火の被害を受けるリスクがある原発として川内(せんだい)(鹿児島県)を挙げた人が29人と最多で、
リスクありと答えた全員が川内を挙げたということか……。
「リスクがある」と答えた人に、それぞれの原発について再稼働の是非を尋ねたところ「再稼働させるべきでない」は川内が19人と最多で、泊15人▽東通11人▽玄海9人▽伊方5人だった。「火砕流が到達した場合は運転員の生存が見込めない」(林信太郎・秋田大教授)などとしている。
しかし、「リスクがある」と答えた人でも、巨大噴火の発生する確率は「非常に低い」との指摘が少数あった。一方、カルデラを形成するような巨大噴火が迫っていることを事前に正しく評価できるとしたのは50人中5人にとどまるなど、現在の科学で巨大噴火がいつ起こるのかを評価するのは難しいといえる。
結局よくわからないと。安全側に倒れるのであれば、そういう土地は避けるのがふつうなわけですが。
》
英米:ユニセフなど慈善団体も盗聴 CIA元職員の資料
(毎日, 12/21)。スノーデン情報。
今回明らかになったのは英政府の通信傍受機関「政府通信本部(GCHQ)」と米国家安全保障局(NSA)が08〜11年に作成していた通信傍受対象リスト。これによると、国連児童基金(ユニセフ、本部・ニューヨーク)や「世界の医療団」(本部・パリ)など国際慈善団体▽ベルリンのドイツ政府庁舎▽オルメルト首相(09年当時)やバラク国防相(同)を含むイスラエル指導者計4人▽国連開発計画や世界保健機関など国際機関▽複数のアフリカ政府指導者▽欧州委員会のアルムニア副委員長(競争政策担当)−−などが対象になっていた
(中略)
英国の法律では、秘密情報機関は「国家安全保障や国防・外交政策、経済面での国益、深刻な犯罪の防止に役立つ活動」に関する場合のみ活動が認められている。チャリティー団体への通信傍受は法的観点からも問題になる可能性がある。
UNICEF を盗聴して何がしたいんだ……?!
》
テレビ朝日記者激怒 福島県警とデタラメ除染取材現場で大バトル
(いまにしのりゆき 商売繁盛でささもって来い!, 12/21)。「除染もデタラメなら、捜査もデタラメ」。
》
子宮頸がんワクチンの副作用
》
製薬会社元社員が所属明記せず論文
(NHK「かぶん」ブログ, 12/12)、
子宮頸がんワクチン、社員が論文=身分伏せ「医療費減」、助成根拠に
(ウォール・ストリート・ジャーナル日本版, 12/12)。これ:
sched_clock() overflow after 208.5 days in Linux Kernel
(2012.01.06)
208.5 日問題の逆襲
(熊猫さくらのブログ, 2013.12.21)。直り切っていなかった模様です。
Systems with Intel Xeon Processor E5 hung after upgrade of Red Hat Enterprise Linux 6
https://access.redhat.com/site/solutions/433883
手元の VMware Player 上で 4 VCPU を割り当てた CentOS 6 32bit 環境において、 TSC の書き換えにより連続稼働をエミュレートするという方法で再現試験を行った限りでは、この不具合の再現率は100%のように見受けられます。
》
福島第一原発5・6号機廃炉に
(NHK「かぶん」ブログ, 12/18)。2015.01.31 付で廃炉。
》
Re: VSE 8.8 Patch 4 - coming soon...
(McAfee Community, 12/16)。VSE 8.8 patch 4 の一般公開は
2014.02.24 を予定しているそうです。
それまで待てない Windows 8.1・Server 2012 R2 利用者には、
VSE 8.8 patch 3 の利用が推奨されてます。ただし完全にテストされたわけじゃないし、patch 4 が出たら patch 4 に移行すべきと。
》
「試験イヤ」 ハーバード大の爆発物騒ぎは学生の仕業
(CNN, 12/18)。米
ハーバード大学で爆発物騒ぎ、期末試験が一部中断
(CNN, 12/17) の件のつづき。
爆破予告メール (中略) 送信には使い捨てのアドレスから匿名メールが送れる「ゲリラメール」というサービスが使われたが、大学側の調べで、●●容疑者が同日早朝、学内ネットワークから同サービスを利用したことが判明したという。
関連:
》
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
(総務省, 12/18) の件。
このようなリスト型攻撃に対しては、関係者が適切な対策を講じ、今後の被害の拡大を防ぐことが重要です。このため、総務省では、「情報セキュリティアドバイザリーボード」(参考1)のワーキンググループ(参考2)での議論を踏まえ、サイト管理者などのインターネットサービス提供事業者が、サービスを運営する際に参考にしていただきたいリスト型攻撃への対策集を作成しました。
とあるのだが、(参考1)
や (参考2)
を読んでも、どのように議論されたのかさっぱりわからない。
そこでぐぐってみると、情報セキュリティ アドバイザリーボード
に「ワーキンググループ
第1回(平成25年9月25日〜9月27日(メール審議形式))」というのがあった。これかと思って配付資料を見ると、
「【資料1-3】リスト型アカウントハッキングによる不正ログインへの対応方策について(案)」だけごっそり抜けている。
ではと思って議事要旨
を見ると、「議論を行った」としか書かれてない。
結局、何がどうなってこの文書ができたのか、さっぱりわからない。
》
標準書に見る「パスワードの定期的変更」の歴史(書きかけ放置)
(nilnil専用チラシの裏, 12/20)。もともと重要機密とか軍事とか前提ではじまっているルールのはずなので、一般大衆前提の現代インターネットとは相容れないと思うんだよなあ。
》
次はトルコか?
(中東の窓, 12/20)。「今度は、トルコの近代史においても最大級の汚職事件の摘発問題です」
》
プーチンとネタニアフ
(中東の窓, 12/20)。ロシアとイスラエル。
》
イエメンの窮状(国連アッピール)
(中東の窓, 12/19)
記事によると1800万人が人道支援を必要としているとのことですが、イエメンの人口は約2500万人と推定されています。
と言うことは(歴史的な飢饉と言う訳でもないのに)何と人口の72%が人道支援を必要としていると言う訳です。
何かの間違いかと思って、記事をもう一度読んでみましたが、その中にこれら1800万のうち、1000万人は極端な食糧不足に苦しんでいるとのことで、矢張り1800万と言う数は間違いではなさそうです。
》
急増するネット通販詐欺被害、警察庁が全国規模でサイトブロックを開始
(so-net セキュリティ通信, 12/20)
》
金融機関を狙うトロイの木馬の 2013 年における概況
(シマンテック, 12/19)
》
ランサムウェアCryptoLocker まとめ
(エフセキュアブログ, 12/21)
》
引き続き Web カメラには警戒を
(シマンテック, 12/19)
》
5 分で修正、ペアレンタルコントロールの設定 (Sophos)
》
Googleが透明性レポートを更新、政府による削除要請が急増
(日経 IT Pro, 12/20)
》
BitTorrentがサーバを使わない匿名チャットの仕組みをブログ記事で明かす
(techcrunch, 12/20)
》
ゆく年くる年
》
Alert: Adobe License Key Email Scam
(Adobe, 12/20)
》
政府、ビッグデータ活用へ法整備決定
(日経, 12/20)。高度情報通信ネットワーク社会推進戦略本部(第63回)議事次第
(IT総合戦略本部, 12/20) の
パーソナルデータの利活用に関する制度見直し方針(案)概要、
パーソナルデータの利活用に関する制度見直し方針(案)。
2015.01 通常国会に法案提出予定。
》
本物のナカモト・サトシは誰か? 一人の研究者が答を見つけたかもしれない
(techcrunch, 12/6)。Bitcoin の発明者 Satoshi Nakamoto 氏の正体をつかんだとする Skye Grey 氏へのインタビュー。
TC:BTCコミュニティーの反応は? 不評な話題のようだが。
SG:まだ好意的に受け入れられておらず、人々は私に「Satoshiをそっとしておけ」と言っている。しかし、世界に大きな影響力を持つようになった人物は、匿名でいる権利を失う。Satoshiは現在約100万BTC、10億ドル相当を所有し、Bitcoin市場を破壊する潜在能力を持っている。われわれは、誰が自分たちを支配する権力を持っているか、その意図は何かを知る必要がある。リーダーを選ぶ際に素性調査が必要なのはこのためだ。同じように、われわれが貨幣交換取引に使い始める前に、Bitcoinシステムの「素性調査」が必要だ。その次は、Satoshiの隠しBTCがどうなるかを知ることだ。
》
今夜つける HTTPレスポンスヘッダー (セキュリティ編)
(うさぎ文学日記, 11/30)。X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Content-Security-Policy, X-Permitted-Cross-Domain-Policies, Strict-Transport-Security, Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers, Access-Control-Max-Age, X-Download-Options, Set-Cookie, Cache-Control, pragma, expires, content-type。
2013/12/01 "Access-Control-Allow-Origin"などCORS関連、"X-Download-Options"を追記しました。その他説明を微修正。コメント頂いた @hasegawayosuke さん、@kinugawamasato さん、@ockeghem さん、@hirayasu さんありがとうございます。
》
オットー・ヴェディゲンと三隻の装甲巡洋艦
(黒井緑 / 白泉社)
-
いろいろ (2013.10.31)
-
拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ
(2013.09.23)
NSAは、セキュリティー会社に金を払って欠陥暗号化アルゴリズムを使わせていた(ロイター)
(techcrunch, 2013.12.21)。NSA は RSA に 1000 万ドル払ってそうさせてたと。
NSAによる暗号回避行動で暗示されて以来RSAは、欠陥アルゴリズムの使用を中止するよう同社顧客に警告してきた。当時Wall Street Journalが報じたように、こうした警告は「製品に不正侵入経路を残しておくことに米国政府が関わっている可能性を、セキュリティー会社が認めた初めての例」だった。
しかし、ReuterがNSAはRSAに1000万ドル払って欠陥アルゴリズムを使わせたと暴露したことによって話は変わってきた。NSAがある種の邪悪な黒幕で、人気のセキュリティー標準を陳腐化しようと必死になっている、と思われていたものが、実は金を使って企業に侵入していたのだから。
しかもわずかな金額で。NSAがセキュリティー会社に金を払って欠陥コードを使わせ、暗号を破りやすくしたのはこの時だけだなどと、誰が考えるだろうか。
》
鎌倉市「通販サイト」開設前に中止
(東京, 12/20)。鎌倉sg の件。終りのはじまり。
契約では、消費税約三十四万円の分配が明確になっておらず、総務委で中沢克之委員長が、武雄市が消費税を受け取らない根拠となる企業連合への出資比率、分配比率についての資料を要求。市は武雄市に照会したが、回答がないまま中止となった。
その程度の事、なぜ回答しないんでしょうね……。関連:
》
社説:女性の地位向上 変化もたらす制度を
(毎日, 12/15)
「世界経済フォーラム」(WEF・本部スイス)が毎年発表している男女平等度評価で、日本の順位がまた下がった。今年は136カ国中、105位。2006年の調査開始以来最低だ。
この分野こそ「異次元で大胆な政策」が求められるのに、安倍政権は民間に努力を求めるばかりである。
政治は何をすべきか。WEFの男女平等度で総合ランキング3位、経済分野では1位のノルウェーを参考に、考えてみたい。
Global Gender Gap Report 2013 はこちらから: Global Gender Gap (World Economic Forum)。
プレスリリース日本語版。
》
猪瀬都知事辞職:徳洲会問題で引責 「疑念払拭できず」
(毎日, 12/19)。本物のニセモノ、退場へ。
》
石原慎太郎、集英社に小説売り込むも拒絶される…徳洲会事件で検察が追及の可能性も
(Bisiness Journal, 12/17)
》
Updates: Coreinfo v3.21, Disk2vhd v2.0, LiveKd v5.31
(Sysinternals Site Discussion, 12/19)。Disk2vhd がメジャーバージョン更新。
》
スパコンシステムへの不正アクセスをまとめてみた。
(piyolog, 12/18)
》
首都直下地震:M7級で死者最大2万3000人
(毎日, 12/19)。近日中に来るのは直下型 Mw 7.3 と想定。
また、前回は対象外だったM8級海溝型地震も検討に加えられ、100年後に発生する可能性が高まっている関東大震災(1923年)型による被害想定も示された。神奈川や千葉の沿岸部では6〜8メートル、所によって最大10メートルの津波到達予想が示され、死者は最大約7万人(うち津波による死者約1万1000人)、経済被害は約160兆円と試算された。
詳細: 防災対策推進検討会議 首都直下地震対策検討ワーキンググループ
(内閣府)。12/19 の最終報告。
想定される状況については、
【別添資料2】 〜施設等の被害の様相〜
がいいかな。
新幹線は 1 週間くらいで回復する想定になっている。
》
JPNIC News & Views vol.1154【臨時号】2013.12.19「第88回IETF報告 [第3弾] セキュリティ関連WG報告 〜RPKIの動向〜」
(JPNIC, 12/19)
》
黒子のバスケ脅迫事件関連。警察タレ流し情報。
》
「2013年度 情報セキュリティに対する意識調査」報告書について
(IPA, 12/19)
》
NSA 関連
》
Googleのロケーション履歴ブラウザーは、あなたの人生を分刻みでプレイバックする
(techcrunch, 12/19)
》
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
(Kazuho's Weblog, 11/21)。権限設定の工夫例。
実は、本稿で取り上げた問題とその解は、Unixにおいてシャドウパスワードが導入された経緯の変奏曲です。
》
Langner's final Stuxnet analysis comes with surprises
(langner.com, 11/20)
》
全てのノートPCを充電できるようACアダプターの規格統一化が進行中
(gigazine, 12/19)
》
米軍巡洋艦に中国揚陸艦が「突撃」、
衝突も辞さない中国海軍の攻撃的方針 (JBpress, 12/19)。USS Cowpens のインシデントの件。中国は、あいかわらず常識が通用しない国だなあ……。
》
自分のMicrosoftアカウントが乗っ取られた形跡を確認する方法と対応策
(gigazine, 12/19)
》
「Yahoo!グループ」終了 「システムの老朽化で継続困難」
(ITmedia, 12/19)。さようなら。
》
FAQ > R2 テクノロジ入門って出ないんですか?
(山市良のえぬなんとかわーるど, 12/9)。2014.01 に出るらしい。
まだ予約できないっぽい。
関連: Windows Server 2012 R2登場
(@IT)
》
Windows Server 2012 R2 > Essentials エクスペリエンスのいいとこあれなとこ
(山市良のえぬなんとかわーるど, 12/5)
Windows Server 2012 R2 Standard および Datacenter では、Windows Server 2012 R2 Essentials の管理機能 (クライアント自動バックアップ、リモートアクセスなどなど) を Windows Server Essentials エクスペリエンス の役割としてサポートするようになりました。(中略) クライアントの自動バックアップはお勧め。勝手にフルバックアップしてくれます。スリープ解除もしてくれます。(中略)
PC が壊れても、新しい PC にバックアップからベアメタル回復できます。PC を起動して、F12 キーを押して PXE ブートすると回復スタートです。それも、回復に使用する Windows 展開サービスのセットアップとかは、上の画面の[クライアント復元サービス]タブで数クリックで自動で準備してくれます。
》
とり・みきの「トリイカ!」 今年のも腑に落ちない感じ
(日経ビジネス, 12/19)
昨年が「金」、今年が「輪」なのだから、既に幾人かの人は予想していると思うが、来年は「際」なのだろう。
》
実録 福島沖・巨大風車プロジェクト 絶体絶命だった台風26号の直撃
荒波をかいくぐり浮かぶ変電所を救った漁船団
(日経ビジネス, 12/10)
》
南スーダンでクーデター、失敗
》
ゆく年くる年
》
HTML5時代の「新しいセキュリティ・エチケット」(2):単純ではない、最新「クロスサイトスクリプティング」事情
(@IT, 12/17)
》
第2回 交通事故抑止に資する取締り・速度規制等の在り方に関する懇談会
(警察庁, 12/16)
》
治安の回顧と展望(平成25年版)
(警察庁, 12/12)
》
第1回「ストーカー行為等の規制等の在り方に関する有識者検討会」
(警察庁, 12/17)。
警察庁がストーカー対策で検討会 遺族も参加し初会合
(共同, 11/1)
の件。
》
Hacked WordPress Site Hosts Thousands of Links to Pharmacy Scams
(infosecurity magazine, 12/11)
》
【速報】LADY GAGA商標登録拒絶にある結構深い問題 (栗原潔のIT弁理士日記, 12/18)
実は本ブログでも昔書いたのですが、この問題の根は、CD(録音又は録画済み記録媒体)を指定商品にして芸名・アーティスト名で商標登録出願すると”商品の質を表すだけの商標”という理由で拒絶されるという特許庁の最近の運用にあります。
(中略)
米国を初めとする諸外国ではアーティスト名でCDを指定商品とした商標登録が可能になっており、国際的に調和が取れていないので日本特許庁の運用を変えて欲しいという要望書(『歌手名・音楽グループ名』よりなる商標を拒絶する運用について)が日本弁理士会商標委員会から出ているのですが、残念ながら採用はされなかったようです。
》
携帯オプション商法と押し付けアプリ問題について (栗原潔のIT弁理士日記, 12/16)
》
ビットコイン価格高騰で、関連不正プログラムやウォレット窃取の被害拡大
(トレンドマイクロ セキュリティ blog, 12/17)。Bitcoin 関連:
その Bitcoin、どうやらバブルが弾けた? クロトワ「短けぇ夢だったなァ……」
》
進化する脅威 ネットワークトラフィック偽装で検出を回避
(トレンドマイクロ セキュリティ blog, 12/12)。
Network Detection Evasion Methods: Blending with Legitimate Traffic (trendmicro)
》
マネーロンダリングを実行するサイバー犯罪者、高額商品を悪用か (トレンドマイクロ セキュリティ blog, 12/16)
》
なぜ Windows XP を使い続けてはいけないのか? 2013年の攻撃事例から考える
(トレンドマイクロ セキュリティ blog, 12/17)。「古いソフトほど攻撃しやすい」上に、セキュリティ更新が終了してしまうので。
》
トレンドマイクロの「Deep Security」が、札幌大学の情報教育用VDI400台のセキュリティ対策に採用
(EnterpriseZine, 12/17)
仮想デスクトップ導入にあたって (中略) 各仮想デスクトップにインストールされた従来型のウイルス対策ソフトが、ログイン後に一斉に起動される際に生じる過負荷の解決が課題になったため、各仮想デスクトップにエージェントをインストールする必要のないエージェントレス型のセキュリティ製品の導入が検討されたという。
》
FireEye、国家レベルのサイバー攻撃における国別、地域別の特徴を解説
〜世界規模のサイバー軍拡競争に関する詳細なレポートを公開〜
(FireEye, 12/16)。
http://www.fireeye.com/jp/ja/resources/pdfs/fireeye-wwc-report.pdf
》
セキュリティ侵害時の解析と対応策を「4時間」で、ファイア・アイが新サービス
(クラウド Watch, 12/18)。FireEye Rapid Response Service。「チケットは販売代理店を通じて販売される予定」
》
PCメモリのライブフォレンジックでマルウェア検出、EMCジャパン
(@IT, 12/17)。PCのメモリをリアルタイムで分析してマルウェアを検出し、標的型攻撃のリスクを低減するRSA ECATを発表
(EMC, 12/17)。
販売価格: 価格は、サーバーライセンス(固定価格)とクライアントライセンス(クライアント数により価格帯が変動)で構成されます。
例) サーバー1台、クライアント100台の場合、3,830,000円
内訳:サーバーライセンス3,000,000円とクライアントライセンス830,000円
(保守、消費税別)
Drupal
Wireshark
HP LaserJet
GNU C Library
だいたい 2008 年までの、iMac G5 を含む初期の Intel ベース iMac, MacBook, MacBook Pro
に付属する iSight カメラに関して、マイクロコントローラを再プログラムすることで、
撮影中のランプを光らすことなく撮影できることを実証。
さらに、この種の攻撃を抑止するための Mac OS X 用カーネル拡張 iSightDefender を開発した上で、セキュアなカメラの設計について考察。
gigazine の記事は Washington Post 記事
を参照して書かれているようだが、Washington Post 記事が参照しているのは、
iSeeYou: Disabling the MacBook Webcam Indicator LED
(jhu.edu)。gigazine 記事はいまいちなので、iSeeYou: Disabling the MacBook Webcam Indicator LED
(jhu.edu) を直接読んだ方がいいかも。
-
JVN#53768697:
Android OS において任意の Java のメソッドが実行される脆弱性
-
通報者による情報:
Androidの脆弱性を見つけちゃった話
(いまさらブログ, 2013.12.18)
Androidの脆弱性(まとめ版)
(いまさらブログ, 2013.12.18)
【原因】
WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。
このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです)
Web アクセスについては、標準ブラウザではなく Google Chrome を使うことで回避できるようです。
あと、Android 4.2 でもユーザー補助機能を有効にすると問題が発生するようです。
マイクロソフト セキュリティ アドバイザリ (2887505)
Internet Explorer の脆弱性により、リモートでコードが実行される
(2013.09.18)
-
》
「JKお散歩」秋葉原の7店がやめる
(NHK, 12/18)
》
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
(総務, 12/18)。あいかわらず有効期限の設定ですか。アカウントを保有しているサイト数が両手の指じゃ足りないのがふつうな時代に皆がそうしたら何が起こるのか、3 秒考えてから書けばいいのに。
》
「大垣さん、自分のしたことを分かっていますか?」
(togetter, 12/17)
》
京大など スパコンのシステムに不正侵入
(NHK, 12/18)。
被害を受けたのは京都大学基礎物理学研究所と筑波大学計算科学研究センターにあるスーパーコンピューターの認証システムで、いずれもことし10月にインターネットから不正侵入されたということです。
(中略)
2つの大学は問題が発覚したあとで被害の調査と安全対策を取り、データが流出するなどした形跡はなかったとしていますが、いずれもシステムで使われていたソフトウエアの欠陥が狙われたということです。
同時期に KEK もやられていた模様。
京都大学基礎物理学研究所
筑波大学計算科学研究センター
KEK
KEKコンピューターシステムに対する不正アクセスについて
(KEK, 11/14)。11/1 に発見、「スーパーコンピューターのサービスを直ちに停止」。
KEKコンピューターシステムに対する不正アクセスについて(続報) (KEK, 12/10)。
12/10 にサービス再開。
システムおよびユーザー領域における改ざん、ならびに個人情報の漏えい等の被害が無いことを確認しました。
そのうえで、再発防止策としてシステムのセキュリティ設定強化とユーザーによる認証情報管理強化等を実施し、本日、スーパーコンピューターのサービスを再開しました。
なお、不正ログインは、何らかの方法で盗まれたログイン認証情報を用いたなりすましによって行われたものとみなされます。
関連:
》
MHI サイバー攻撃 (2010〜2011) 関連。
忘れている人は、三菱重工がサイバー攻撃を受けたらしいので記事をまとめてみた。
(piyolog, 2011.09.19) を読んで思い出してください。
三菱重工サイバー攻撃、時効前に立件断念
(よみうりテレビ, 12/18)
三菱重工サイバー攻撃:容疑者不詳で書類送検 30日時効
(毎日, 12/17)
捜査幹部によると、同社へのサイバー攻撃が始まったのは2010年12月30日。取引先からの「年賀状」を装ったメールが社員のパソコンに届いた。添付ファイルにはウイルスが仕込まれており、社員がファイルを開いたことから、パソコンが海外サーバーへの自動接続を開始。この通信を契機に多数のパソコンやサーバーが社内ネットワークを通じてウイルス感染した可能性が高いという。
捜査を進める過程で、最初に感染したパソコンが自動接続した海外サーバーは攻撃の2カ月前の10年10月にレンタル契約されたことが判明。その際に中国籍の顔写真付きの身分証が提示されていたことも分かった。名義は女性であることも突き止め、公安部はこの女性に関する情報の提供を中国政府に要請したが、これまでに回答はないという。
三菱重工サイバー攻撃、時効へ 接続先は「中国籍女性」
(朝日, 12/17)
「年賀状」ファイルにウイルス=グループメールで情報収集か—三菱重サイバー攻撃
(時事, 12/17)
社員のアドレスが知られた経緯は特定できなかったが、警視庁が三菱重工やその他の企業、官公庁への標的型メールを分析したところ、攻撃元が「入社同期」や「社員寮」に限定したネット掲示板やグループメールにメンバーを装って参加し、標的とする人物のアドレスや担当業務などの情報を得ていた形跡が確認されたという。
PC、強制接続400回…三菱重工サイバー攻撃
(読売, 12/17)
(小島注: 警視庁) 幹部によると、ウイルス感染したのは、対艦ミサイルや原子力発電プラントなどの情報を扱う全国11拠点のパソコンとサーバー計81台。ウイルス付きメールの攻撃などで感染し、大半は中国、インド、米国といった海外十数か国のサーバーやサイトに強制的に接続されていた。強制接続は計約400回に上り、一部から文書ファイルなどの流出が確認されたという。
なお、MHI は防衛・原発の「保護すべき情報」については流出を否定しています。
関連:
》
コンテナ船MOL COMFORT海難事故について(その8)
(MHI, 12/17)。「コンテナ運搬船安全対策検討委員会」から中間報告書が出ました。
「コンテナ運搬船安全対策検討委員会」中間報告書について
(国土交通省, 12/17)
》
現役ミス世界一がストーカー被害訴える 世界大会での王冠引き継ぎも不可能に
(J-CAST, 12/16)、
ミス・インターナショナル2012優勝の吉松育美氏が脅迫被害の実態を告発 大手芸能プロ役員が協賛企業に圧力か
(IWJ, 12/16)
吉松氏は、昨年のミス・インターナショナル世界大会で優勝した後、当時所属していた芸能事務所を辞め、自ら会社を立ち上げて独立した。その際、反社会的勢力とのつながりが取り沙汰されているある芸能事務所に移籍するよう「圧力」があったという。
吉松氏は、「暴力団排除条例もありますので、倫理的にもその圧力を断りました」と、その芸能事務所への移籍を拒否。するとその直後から、大手芸能プロダクション・株式会社ケイ・ダッシュ幹部である谷口元一氏による嫌がらせと脅迫行為が始まったという。吉松氏は、今月11日、谷口氏を威力業務妨害罪で警視庁に刑事告発し、あわせて東京地裁に民事提訴した。
関連: 「これで堂々とやれるかも」立花胡桃を“ゴリ押し”しまくったストーカー報道・谷口元一氏にテレビ界が熱視線
(日刊サイゾー, 12/16)
》
Kali Linux。
「BackTrack Linuxの完全なる後継」だそうです。バイナリーニンジャの新井悠さんがオフィシャル翻訳者になってます。
Android 3.0〜4.1.x に致命的な欠陥。
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
つまりは何でもアリと……。詳細は http://www.wooyun.org/bugs/wooyun-2013-036258
にあるみたい (Google 翻訳)
多くのスマホでは今年の夏ごろまでに対応されているようなのでソフトウェアの更新で対応できるが、
NTT ドコモの場合
には OS のアップグレードが必要となる事例が複数あったり、
KDDI の場合
には未対応の機種が複数あったり。
HTC EVO 3D ISW12HT(対処ソフト提供検討中)
URBANO PROGRESSO(対処ソフト提供検討中)
MOTOROLA RAZR IS12M(対処ソフト提供検討中)
MOTOROLA XOOM TBi11M(対処ソフト提供検討中)
2013.12.19 追記:
通報者による情報:
Androidの脆弱性を見つけちゃった話
(いまさらブログ, 2013.12.18)
Androidの脆弱性(まとめ版)
(いまさらブログ, 2013.12.18)
【原因】
WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。
このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです)
Web アクセスについては、標準ブラウザではなく Google Chrome を使うことで回避できるようです。
あと、Android 4.2 でもユーザー補助機能を有効にすると問題が発生するようです。
2014.01.13 追記:
AndroidのWebViewの脆弱性についての私的なまとめ
(金利0無利息キャッシング — キャッシングできます, 2014.01.10)。mala さんによるまとめ。
ユーザー側で取れる対策について
うわぁ、マジですか……。
Androidのソースコードレベルでは、報告されてから60日以内に修正されているだろうし、その後のAPI設計の変更も適切だろうけれど、この問題はまさにOS側での修正が無理なら無理で、アプリケーション側での迂回や、ユーザー側での回避策(標準ブラウザを使わない、信用出来ないWiFiを使わない、等)が取れる状況であったのに、Googleからは脆弱性情報としては公表されなかった。
公表されることで攻撃される可能性が高まるのか、あるいは、個々のアプリ側の対策やユーザー側の自衛によってリスクが低くなるのか、どのタイミングでの公表が適切だったのか、ハッキリ言って全く分からない。わからないのだけれど、今となっては既に十分すぎるほど「公表されている」状態だと思うので、古いAndroidが市場に残っている以上は、アプリ開発者側での対策やユーザー側での自衛手段を周知していく必要があるんじゃないかと思う。(あるいは古いAndroidはサポート期限切れだから使うなと全力で広報する)
そういう状況である Android が今や王座に座っているからなぁ……。
OSSにおいて、セキュリティアドバイザリやコミットログから攻撃コードを推測しにくいようにするということが、ちょくちょく行われている。
実際にはセキュリティ上の理由での修正なのだけれど、リファクタリングや方針転換のように見せかけて、問題の原因となるファイルを丸ごと削除したり入れ替えたりする。あるいは、セキュリティ修正と機能追加を含む社内ブランチをまとめてマージして、修正箇所を分かりにくくするといったテクニックが使われたりする。
隠すことによるセキュリティの一種のように思えるのだけれど、diffの難読化のようなことが是非はともかく現実に行われている。
そうなんだ……。
》
制御システムセキュリティカンファレンス 2014開催のご案内
(JPCERT/CC, 12/16)。2014.02.05、東京都港区、無料。
》
「女性は金で買うもの」「1万円でどうや」セクハラしたのは…
(産経, 12/17)。桐月一邦・兵庫県議。安倍晋三氏が自信と責任を持って、推薦いたします!と言った人の実態がこれですか。まあ、自民党のブレはこれに始まった話ではないですけど。
政策 (桐月一邦)
3 次世代のあなたへの責任
●家族が、強い絆で結ばれ支え合いながら暮らす仕組みを構築します。
●国際競争に打ち克つ、確かな学力・体力・精神力の向上を推進します。
●日本人として自信と誇りを身に付ける道徳・伝統文化教育を充実します。
しかしてその実態は「女性は金で買うもの」「1万円でどうや」……。
彼的には、これが日本の伝統文化なんですかね。
》
安倍首相が東京五輪支援に感謝 ASEAN首脳と夕食会 AKBも登場
(産経, 12/14)、ASEAN首脳ディナーで「EXILE」と「AKB48」がショーを披露wwwww(画像あり) 2h「完全に喜び組じゃないか…」「安倍ちゃん空気よめてねーなwww」 (テル速, 12/15)。何度見てもわけがわからないよ……。
》
放射性物質を使ってのスパイ暗殺疑惑と事件の背景とは
(gigazine, 12/16)。リトビネンコ事件の件。
》
武雄市長の不起訴不当 佐賀検察審査会
(佐賀新聞, 12/17)。名誉毀損。
》
不正なIISモジュール見つかる、インストールにColdFusionの脆弱性を使用
(ITmedia, 12/17)
》
連邦判事、NSAの電話メタデータ収集は違憲の疑いが強いと裁定
(techcrunch, 12/17)、
喜ぶのは早すぎる:今日のスパイ禁止裁定は、象徴にすぎない (techcrunch, 12/17)
Richard Leon判事は、NSAの電話通話記録(メタデータ)一括収集に対する斬定差止め命令を発行したが、上級裁判所の判定が下るまで決着はつかない。Leonは、上訴審までに「少なくとも6ヵ月」はかかると予想している。
関連:
》
政府はスノーデンが何を持ち出したのか、よくわかっていない
(techcrunch, 12/16)
》
マイナンバーシステム調達が年明けから本格化、新規より大きい改修費用の落札価格は高止まりか
(日経 IT Pro, 12/13)
》
合理的な匿名化措置は可能なのか 「パーソナルデータに関する検討会」で議論されたこと
(日経 IT Pro, 12/17)
》
『買ってはいけない』オンラインショップ 10 の特徴〜非正規のソフトウェアにご注意ください。
(マイクロソフト, 12/17)
》
日本版NSC 初代局長 谷内正太郎の正体ーー日米密約の最重要・未発表資料を引き継ぐ男
(ざまあみやがれい!, 12/17)
》
インターネット詐欺リポート(2013年11月度)〜フィッシング詐欺サイトが多様化、学生や未成年者がターゲットに〜
(BBソフトサービス, 12/10)
》
ネオニコチノイド系 “天敵”の農薬拡大へ ミツバチ 生存危機 欧米 使用禁止の動き 福岡県、散布時期見直し要請
(西日本新聞, 12/4)
国内では、園芸が盛んな地域で対策が進んでいる。長崎県は10年、県養蜂協会やJA全農ながさきなどと「県みつばち連絡協議会」を設置。農薬を一斉散布する時期や場所を県養蜂協会に事前周知するなどの対策を打ち出した。(中略) 福岡県も昨年から、稲の開花時期にネオニコチノイド系の散布を避けるよう農協などに要請している。(中略)
そうした中、農林水産省は、クロチアニジンを使用できる作物の種類を増やす方針を決定。食品の残留基準も緩和する。
脳衰省……
》
OCN IDのサーバーへの不正アクセス事象に対する再発防止に向けた取り組みについて
(OCN, 12/16)
(1)OCN IDへの2段階認証(ワンタイムパスワード)の導入について (2014年1月提供予定)※詳細は別途ご案内致します
》
Windows XPでCPUの使用率が100%になるバグにMicrosoftがパッチ配布予定
(gigazine, 12/17)。
「年明けの2014年1月にパッチを配布する予定」だそうで……。
》
東電 原発事故の検証結果公表
(NHK「かぶん」ブログ, 12/13)。「福島原子力事故における未確認・未解明事項の調査・検討結果〜第1回進捗報告〜」について
(東電, 12/13) の件。概要版 p.7 から引用:
第1回の調査結果のうち、ほぼ検討が完了した10件の中から、事故を理解する上で重要と考える下記の5件について概要を示す。
●「冷やす」機能を失った主な原因は地震ではないのか?
*波高計の記録や、各種計算機に記録されたデータ、津波来襲状況を撮影した連続写真等
から、海水系ポンプや非常用発電機が津波により機能喪失したことを解明
●1号機原子炉建屋での出水は地震を原因とした重要設備からの水漏れではないか?
*図面調査や目撃証言、プラントデータ等から、1号機原子炉建屋4階での出水事象は使用済燃料プールからダクトに入り込んだ水によるものと解明
●消防車からの注水を実施したが、原子炉が十分冷却されなかった理由は?
*配管図面等から、消防車から原子炉への注水が一部他系統に流れ込んでいた可能性を確認、実際の注水量の評価や事故進展への影響は今後検討
●3号機高圧注水系手動停止時刻と原子炉内の各データの整合がとれていないのでは?
*各種データのトレンド確認により、3号機高圧注水系は手動停止した時点より早い段階で十分な注水ができていなかった可能性を確認、炉心損傷の進展状況を今後再評価予定
●3号機で原子炉圧力が急速低下したのは、原子炉等の重要設備に穴があいたせいでは?
*起動条件の確認により、開かなかったと考えられていた複数の逃がし安全弁が自動で開いた可能性を確認。弁の開放により急激に減圧した可能性。
代替注水が想定どおり機能しなかった件は、NHK スペシャル「3.11 あの日から2年
メルトダウン
原子炉"冷却"の死角」でやってましたね。
》
ボトムズ・オデッセイ
(復刊ドットコム)。2014.02 配送予定。実家の倉庫を掘ればオリジナルが出てくるはずなんだけど……。
ガンダム・センチュリーも同じ場所に埋まっているはずなんだが……。
(ガンダムセンチュリー リニューアルバージョンというのが出てたんですね……)
》
猪瀬直樹東京都知事方面
》
クリープウェア: 誰かに見られているかもしれない
(シマンテック, 12/13)。creepware。コーヒーに入れるのは Creap なので注意。
》
PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた
(徳丸浩の日記, 12/13)
》
DDoS攻撃1分で、罰金1830万ドル(約1880万円)
(gizmodo, 12/13)、Man fined $183k after joining Anonymous DDoS of Koch Industries for one minute
(Sophos, 12/11)
ちなみにその攻撃でKoch Industriesが直接こうむった損害は5000ドル(約51万円)以下と推計されています。ただ同社によれば、その後Webサイトのセキュリティ対策のためのコンサルタントを雇うのに18万3000ドルかかったので、その分罰金で払えってことになってるんですね。
》
Hacked Via RDP: Really Dumb Passwords
(Krebs on Security, 12/13)。ヨワヨワアカウントなリモートデスクトップが店屋で売られる時代のようです。
Makhost[dot]net sells access to thousands of hacked RDP installations. Prices range from $3 to $10 based on a variety of qualities, such as the number of CPUs, the operating system version and the PC’s upload and download speeds.
》
汚染水、田畑にぶちまける“手抜き”マニュアル入手
(週刊朝日, 12/11)。福島県田村市のデタラメ除染のつづき。
》
汚染水が引き金を引いた
東京電力“救済劇”の全貌
(週刊ダイヤモンド, 12/16)
》
「バイトテロ、一生許せない」 あのそば店社長からの手紙
バイトの悪ふざけで倒産した多摩市「泰尚」の慟哭
(日経ビジネス, 12/13)
》
Be a real security pro - Keep your private keys private
(Microsoft Malware Protection Center, 12/15)。コード署名用の鍵が盗まれる事例、あいかわらず発生しているようで。
Code-Signing Best Practices
(Microsoft) という文書があるそうで。
》
28 Android security apps tested
(ZDNet, 12/12)。AV-Test.org
が Android 用セキュリティ製品をテスト。結果。あとこれ: Determination of the Performance of Android Anti-Malware Scanners (AV-TEST.org)。
》
Safari on Mac OS exposes web login credentials
(ZDNet, 12/13)。Safari 6.1 で修正されているそうです。
最近の IME に付属する「クラウド変換」機能が引き起す情報漏洩に関する注意喚起。
2013.12.26 追記:
Baidu IME (PC 用 IME) と Simeji (Android 用 IME) が要注意 IME の模様。初期設定で漏れ漏れ。
Baidu IME はクラウド入力 OFF + ログ情報送信 OFF を設定することで回避できるが、Simeji の場合は設定してもなお送信してしまう。
2013.12.26 追記 2:
Baidu.jp プレスリリース出ました。
素早い対応はすばらしい。関連:
2013.12.27 追記:
関連:
とか書いているうちに、Baidu からまたプレスリリースが:
一連の報道に対する弊社の見解
(Baidu, 2013.12.27)
このほど、一部のメディアにて、Baiduの日本語入力システムやGoogleおよびMicrosoftが提供する日本語入力システムを使用しないように呼びかけたとの報道がなされました。
そんなこと誰も言ってないと思いますが。広く問題になっているのは
「Baiduの日本語入力システム」だけです。
Baidu の人達だけ、別の次元にでもいるんだろうか。
(誤)入力したパスワードがサーバーに送られる
(報道では、全角数字のパスワードを入力し、あたかもパスワードがクラウドサーバーへ送信されているような実演が報道され、誤解を与えています。)
(正)パスワードやカードなどの信用情報については、クラウド変換利用時も外部へは送信しておりません。
これについては、たとえば川本優さんのツイートを:
しかし、Baidu さんは、UUID とかまで取ってることについては依然としてガン無視ですね……。
2013.12.27 追記 2:
Simejiの「入力内容無断送信」問題はどこまで影響するのか
(Jiagm's BLOG @ Blogger, 2013.12.26)。Simeji の場合、クラウド変換が OFF でも「英語予測変換」が ON だと、クレジットカード番号などがサーバーに送られてしまうというテスト結果。パスワードだけは送られないが、他の文字列はサーバーに送られてしまう。
「英語予測変換」についても OFF にすべきの模様。
2013.12.30 追記:
関連:
あと、なぜなのかよくわからないけど、
一連の報道に対する弊社の見解
(Baidu, 2013.12.27) が、Baidu.jp プレスリリース一覧のページから消えてますね。プレスリリース自体は消えてないのですが。
2014.01.15 追記:
関連:
CVE-2013-6824
が修正されているそうです。
》
特定秘密保護法関連
》
復活の共謀罪
まぁ、共謀罪、既に特定秘密保護法に入っちゃってるんですけどね。
》
リベンジポルノ関連
》
記者の目:全国学力テスト、学校別結果公表=三木陽介(東京社会部)
(毎日, 12/13)
全員参加での全国学テの実施費は55億円。文科省は「巨費をかけているから説明責任がある」とも強調するが、そもそも、これほどの費用を使って毎年続ける必要があるのか疑問があり、本末転倒と言わざるを得ない。
》
防空識別圏関連
》
On the X-Frame-Options Security Header
(Mozilla Security Blog, 12/12)
》
2014 年度与党税制改正大綱
》
シリア:化学兵器5カ所で使用 国連調査団が最終報告書
(毎日, 12/13)
》
韓国鉄道ストライキ5日目…ソウル地下鉄で事故相次ぐ (中央日報, 12/13)
2014.01.08 追記:
韓国鉄道スト収拾
(産経, 12/30)。12/30 付で終息。
》
F1など5つの国際スポーツ大会開催で1兆ウォン以上の赤字=韓国 (中央日報, 12/13)、
赤字累積の「F1コリア」、開催権料引き下げ要求で来年は開催されず(1) (中央日報, 12/13)。
》
アシアナ航空 214便 (B-777) 着陸失敗事故 (7/6) 関係
》
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開
(IPA, 12/12)。OWASP ZAP(Zed Attack Proxy)、Paros、Ratproxy を評価。
OWASP ZAP が高評価。
》
「Suica履歴販売」は何を誤ったのか
(日経 IT Pro, 12/9〜12/13)
》
北朝鮮・張成沢氏死刑執行
関連:
》
子どもの3人に1人が公式には存在しない:UNICEF報告
(国連情報誌SUNブログ対応版, 12/12)
》
要保護児童対策地域協議会、基礎情報すら満足に把握せず
》
Twitter、ユーザーブロックの仕様を変更 パブリックな相手でも見なくて済むように
(ITmedia, 12/13)
従来は、相手をブロックしてもその相手のアカウントがパブリックなものであればタイムラインにそのアクティビティが表示されてしまったが、今後はブロックした相手がたとえパブリックなアカウントであっても、そのユーザーのすべてのアクティビティ(ツイート、リツイート、返信、@ツイート、アカウントへのお気に入りなど)が表示されなくなる。ただし、検索結果や、あえてブロックしたユーザーのプロフィールページに移動すれば、そのユーザーのツイートが表示される。
一方、これまではブロックされたユーザーは相手をフォローすることやプロフィール画像をプロフィールページに表示できなくなったが、新しいブロックでは相手のアカウントがパブリックなものであれば、フォローを続けることも、リツイートもお気に入りへの追加もできる。
……という話だったのですが、元に戻されちゃったようです:
Reverting the changes to block functionality
(Twitter, 12/13)、
Twitter、ブロックポリシーを変更前の状態に--ユーザーからの批判を受け
(CNET, 12/13)
》
騒音を完全シャットアウト!ダイソンが認めた、窓に取り付けるだけで室内を静寂にするスピーカーSono
(Build Something!, 2013.11)。製品化されているわけではありません。関連: 2013年 ジェームズ ダイソン アワード
(登竜門)。
》
猪瀬直樹東京都知事 (滝汗) 方面
》
Opera、同じハッカーから再び攻撃を受ける
(マイナビニュース, 12/13)。
Breach incident
(Opera Security Blog, 12/11) の件。
》
【悲報】親父がアイマスVISAカードを持って米国へ→偽造カードと間違われてロス市警に逮捕される
(NAVER まとめ, 12/3)。
アイマスVISAカードですか。ふつうに考えれば、偽造するなら一般的なものにするはずだから、当該警官の思考は変なんだけどな。
関連: 在外公館リスト (外務省)。
PHP 5.5.7、5.4.23、5.3.28 公開されました。セキュリティ修正も含まれてます。
関連:
》
ラノベ「All You Need Is Kill」をSF映画化した「Edge of Tomorrow」予告編、出撃と戦死がループしまくりの壮絶な戦闘シーン満載
(gigazine, 12/12)
》
Active! Mailを名乗るフィッシング発生、大学などのアカウント狙いか (ITmedia, 12/12)
》
楽天銀行をかたるフィッシング
(フィッシング対策協議会, 12/12)
》
NASAが開発した二足歩行ロボット「ヴァルキリー」
(やじうま Watch, 12/12)。DARPA Robotics Challenge
用。
》
アイ・オー、ミラーリングに特化したパケットキャプチャ機器「BX-MR1」
(Internet Watch, 12/12)
》
厳しい冬が近づく前に支援強化を:シリア
(国連情報誌SUNブログ対応版, 12/11)
》
How Twitter tracks the websites you visit, and how to stop it
(Sophos, 12/11)。Twitter の [設定]→[セキュリティとプライバシー] の [最近閲覧したウェブサイトを基にカスタマイズする] と [カスタマイズされた広告表示は、広告パートナーからの共有情報が基になっています。] のチェックを外す。
》
Breach incident
(Opera Security Blog, 12/11)。Opera が以前ヤラれたのと同じハッカーにまたヤラれた件。
》
Browser Fingerprinting via SSL Client Hello Messages
(SANS ISC, 12/11)
》
ぜんそく ペット飼う若い患者で悪化傾向
(NHK「かぶん」ブログ, 12/5)。そりゃそうだろう……。
》
国とインフラ事業者がサイバー対策訓練
(NHK「かぶん」ブログ, 12/9)
》
更年期の症状は遺伝子の「けんか」?
(NHK「かぶん」ブログ, 12/10)
》
街中はセキュリティホールだらけ、サイバー攻撃は絶対に無くならない
(日経 IT Pro, 12/12)。Check Point の インバー・ラズ氏。キオスク端末の例など。
》
日本を守る「七人の侍」
(日経 IT Pro, 11/25〜12/5)
》
国民生活センター、子供のオンラインゲームのトラブルが深刻化していることを報告
(ゲーム Watch, 12/12)、
増え続ける子どものオンラインゲームのトラブル—家族でゲームの遊び方を話し合うとともに、クレジットカード管理の徹底を!—
(国民生活センター, 12/12)
》
スマホ購入時のトラブル 全国で相次ぐ
(NHK「かぶん」ブログ, 12/12)。「音楽や動画などのオプションサービスを半ば強制的に契約させられた」。
》
石破茂 (自民党幹事長、鳥取1区) の耐えられない軽さ
関連:
》
Operation Ke3chang: Targeted Attacks Against Ministries of Foreign Affairs
(FireEye, 12/11)。
欧州外相らに中国からハッカー攻撃、9月のG20会議前=調査
(ロイター, 12/10) の件。
》
シャーキング:ハイローラーに照準
(エフセキュアブログ, 12/10)。プロのポーカープレイヤーを狙った攻撃事例。
note PC を盗んでマルウェアを設置。
それで、この話の教訓は何だ?もし大金を動かすために使用するラップトップを持っているなら、よくよく管理すべきだ。離れるときはキーボードをロックする。そばにいないときには金庫に入れ、オフラインのアクセスを避けるためにディスクを暗号化する。そのマシンでネットサーフィンは行うな(それ用の別のラップトップ/デバイスを使用する。そういうマシンは比較的安価だ)。あなたがポーカーゲームのためにラップトップを使っているプロであっても、巨額のファンドに送金するためにコンピュータを使用している大企業のビジネス担当者であっても、このアドバイスが当てはまる。
》
クローズアップ2013:性別変更の「父」認定 血縁より家族重視
(毎日, 12/12)、性別変更嫡出子認定:やっと戸籍上も父に…男性が記者会見 (毎日, 12/12)。画期的判決。おめでとうございます。
》
木語:習風は西風を威圧す=金子秀敏
(毎日, 12/12)。防空識別圏の件。
バイデン氏は12月5日、北京をたつ前に米経済人との会合でこう語った。
−−私は、習主席にわが方の固い立場と期待を直接ぶつけた。(期待は拒否された)
米中の食い違いは多く、安保問題にとどまらなかった。(米メディアへの取材拒否や人権抑圧問題が再燃した)
米中関係は複雑で、「本当の食い違い」がある。といって衝突は不可避ではない。(本当に深刻なのだ)
そもそもアジアの防空識別圏は、半世紀以上も前の朝鮮戦争中、米軍が引いた軍事境界線だ。いま中国がそれを強引に変更したのはなぜか。
アジアのルールを決めるのはアジアの大国である中国であり、米国ではないという新しいルールを米国に突きつけたのだ。これが中国の求める新型大国関係の意味だった。
これをバイデン氏に承認させようという挑戦的外交だ。
》
海自いじめアンケート隠蔽問題
》
猪瀬直樹東京都知事 (滝汗) 方面
》
マンデラ氏追悼式にでたらめ手話通訳、関係者激怒 南ア
(CNN, 12/12)。手話がデタラメだっただけでも十分問題なのだが、
男性の身元や、追悼式で通訳を務めることになった経緯は分かっていない。
ちょっと待て……。それセキュリティ的にとんでもない事態ですぜ。
》
Apple and Google app stores vulnerable to hacking, warns security company
(Guardian, 12/11)。
Arxan の人。
ハクられ改変されたアプリが app store に載っちゃってるよね話など。
》
Bitcoin 関連
》
Googleがあらゆるサービスを支えるデータセンターの様子を公開中
(gigazine, 12/11)。廃棄するために物理破壊された HDD の写真とか。
》
【台湾】日月光の河川汚染、サプライチェーン寸断か
(NNA / Yahoo, 12/12)
日月光は半導体製造の後工程で2割以上の世界シェアを持つ。証券筋は今回の操業停止処分により、IC設計大手の米クアルコムや聯発科技(メディアテック)から、端末メーカーの米アップルや華碩電脳(ASUS)などに至る半導体サプライチェーンが寸断されることを懸念。
》
Appleのポリシー変更で閉鎖したアプリAppidemiaの苦悩
(techcrunch, 12/12)
》
コントロール パネルに表示される Office の更新プログラムのインストール日がすべて最新に更新される現象について
(Microsoft KB 2917023)。仕様です。
予定どおり出ました。
-
MS13-096 - Microsoft Graphics Component の脆弱性により、リモートでコードが実行される (2908005)
-
-
MS13-097 - Internet Explorer 用の累積的なセキュリティ更新プログラム (2898785)
-
-
MS13-098 - Windows の脆弱性により、リモートでコードが実行される (2893294)
-
Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。WinVerifyTrust 機能が PE ファイルの Authenticode 署名を検証する方法に欠陥があり、攻略 PE ファイルを検証すると任意のコードが実行される。
CVE-2013-3900。Exploitability Index: 1
-
MS13-099 - Microsoft Scripting Runtime オブジェクト ライブラリの脆弱性により、リモートでコードが実行される (2909158)
-
Windows Script 5.6、5.7、5.8 に欠陥、攻略 Web サイトを閲覧すると任意のコードが実行される。CVE-2013-5056。Exploitability Index: 1
-
MS13-100 - Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2904244)
-
SharePoint Server 2010、2013、Office Web Apps 2013 に欠陥。
攻略ページ コンテンツを送信すると、W3WP サービス アカウント権限で任意のコードが実行される。
CVE-2013-5059。Exploitability Index: 1
-
MS13-101 - Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2880430)
-
Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に 5 件の欠陥、local user による権限上昇が可能。
-
MS13-102 - LRPC クライアントの脆弱性により、特権が昇格される (2898715)
-
Windows XP、Server 2003 に欠陥。LRPC クライアントにおける LRPC メッセージ処理に欠陥があり、LRPC サーバーを偽装することで local user による権限上昇が可能。
CVE-2013-3878。Exploitability Index: 1
-
MS13-103 - ASP.NET SignalR の脆弱性により、特権が昇格される (2905244)
-
ASP.NET SignalR 1.1.x、2.0.x、Visual Studio Team Foundation Server 2013 に欠陥。攻略 Web ページを閲覧すると任意のコードが実行される。
CVE-2013-5042。Exploitability Index: 1
-
MS13-104 - Microsoft Office の脆弱性により、情報漏えいが起こる (2909976)
-
Office 2013、2013 RT に欠陥。攻略 Web サイト上の Office ファイルを開こうとすると、SharePoint サーバーや他の Office サーバーサイトで現在のユーザーの認証に使用されているアクセストークンが漏洩する。CVE-2013-5054。Exploitability Index: 1
-
MS13-105 - Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2915705)
-
Exchange 2007、2010、2013 に 4 件の欠陥 (内 3 件は 0-day)。
-
MS13-106 - Microsoft Office 共有コンポーネントの脆弱性により、セキュリティ機能のバイパスが起こる (2905238)
-
Office 2007、2010 に欠陥。共有コンポーネントにおける Address Space Layout Randomization (ASLR) 実装に欠陥があり、ASLR をバイパスすることが可能。
CVE-2013-5057。Exploitability Index: N/A
関連:
2013.12.13 追記:
Windows XP、Server 2003 で Windows Update が遅いの件。 内田さん情報ありがとうございます。
出ました。14 件の欠陥が修正されています
(最高 x 5、高 x 3、中 x 3、低 x 3)。ESR 17 系列は終了したようです。
Seamonkey 2.23 はまだβです。
関連:
2013.12.13 追記:
関連:
》
【information】大阪電気通信大学 寝屋川キャンパス/冬休みを前に子供とフィルタリングを考える会
(リビング大阪, 12/9)。2013.12.15、大阪府寝屋川市、無料。
》
1位賞金は180万円、サイボウズの脆弱性コンテストで19件の脆弱性見つかる
(日経 IT Pro, 12/9)
》
エジプトの学生の抗議行動
(中東の窓, 12/11)
》
チュニジア情勢
(中東の窓, 12/9)
チュニジアの場合はクーデターのエジプトとは異なり、まがrなりにも諸種の政治勢力が話し合いを続行している点で、彼らが政治危機から脱出できれば、混迷するアラブ政治の一つの解決策の提示と言う意味にもなろうか(勿論淡い期待的見方の可能性も強いが)と思い、最近の動きをご報告します。
》
楽天ポイントを電子マネーに…中国人が不正接続
(読売, 12/8)、中国で紙おむつ高く売れる…楽天に不正アクセス (読売, 12/9)。
こういう流れみたい。
- 中国人から流出アカウント情報を買う (80 万件 = 6万 5000円)
- この情報を使って不正ログインし、ポイントを盗んで電子マネーに交換
- この電子マネーを使って紙おむつを大量に購入し、中国に輸出
「容疑者のパソコンには同じ手口で、全国約250人の約300万円分のポイントを電子マネーに換えていた記録が残っており、両県警が捜査している」そうで。
》
Cryptolocker に関する Q&A: 今年最大の脅威
(シマンテック, 12/9)
》
世界最大の感染国は日本、Bitcoin発掘不正プログラムの狙いは高性能PC
(techcrunch, 12/10)、
日本でも約3,000台の感染が確認された脅威 「ビットコイン発掘不正プログラム」 とは
(トレンドマイクロ セキュリティ blog, 12/9)。全ては金のため。
》
ゲームがテロリストの訓練やプロパガンダに使われる可能性を諜報機関が懸念
(gigazine, 12/10)。自分達がやっているので。
》
TPPの交渉がいかにうまく進んでいないか分かる秘密資料がWikileaksから公開される
(gigazine, 12/10)
》
英ガーディアン紙が選んだ2013年を代表する人物はエドワード・スノーデン氏に決定
(gigazine, 12/10)。そりゃそうだよなあ。
》
アメリカの政府機関ではいまだにフロッピーディスクが使われている
(gigazine, 12/10)。US GPO (印刷局) だそうで。
》
アルツハイマー病
〜"治療革命"が始まった〜(仮)
(NHK スペシャル, 2014.01.19 放送予定)
》
命を救う "初動戦略"
〜阪神・淡路大震災の教訓はいま〜(仮)
(NHK スペシャル, 2014.01.17 放送予定)
》
PostgreSQL Maintenance Releases: 9.3.2, 9.2.6, 9.1.11, 9.0.15, and 8.4.19
(PostgreSQL, 12/5)
This update fixes three serious data-loss bugs affecting replication and database maintenance.
》
記者の目:「過去最悪」の日韓関係=大貫智子(ソウル支局) それでも「好日派」が増加
(毎日, 12/10)
日本人を主な顧客とするタクシー運転手(54)の言葉も印象的だった。「現在の50代以上は日本が好きか、嫌いかは半々だろう。しかし20代、30代は7対3で日本が好きだというのが実感だ。時代は変わった」
》
ドン・キホーテのWebサイトが改ざん被害 - 訪問者はウイルス感染の恐れ
(マイナビニュース, 12/11)
》
Report: Bot traffic is up to 61.5% of all website traffic
(Incapsula, 12/9)。なるほどなあ。
》
オリンピック関連商標に不使用取消を請求するとどうなるのか
(栗原潔のIT弁理士日記, 12/10)
》
GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に
(slashdot.jp, 12/10)
》
ソフトバンクショップにて、店員が顧客のiPhoneに勝手にアプリをインストールする事案が発生?
(slashdot.jp, 12/10)
MS13-098 更新プログラムにおいて Authenticode 署名の検証方法が変更されたそうで。変更後の方法が有効になるのは 2014 年 6 月 10 日以降。
有効化された場合、Windows Authenticode 署名検証の新しい既定動作では WIN_CERTIFICATE 構造体内の無関係な情報が許可されなくなります。2014 年 6 月 10 日以降、Windows では非準拠のバイナリは未署名と認識されます。
うぉっ、これは影響デカいんでないかい。
マイクロソフトは、2014 年 6 月 10 日までに実行可能ファイルの作成者が、すべての署名済みバイナリで WIN_CERTIFICATE 構造体に無関係な情報が含まれておらず、新しい検証動作に適合していることの確認を推奨します。
新方式をテストしたい場合は、MS13-098 更新プログラムを適用した上で、HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\ConfigEnableCertPaddingCheck = "1" を設定すればよいそうで。
2014.04.15 追記:
Windows Authenticode 署名検証の変更は 6 月に自動更新で有効化
(日本のセキュリティチーム, 2014.04.15)。開始 2 か月前となったので改めて告知。
Authenticode 署名に関する情報は、Public-Key Cryptography Standards (PKCS) #7 の署名データおよび X.509 証明書を使用しており、署名対象のバイナリ (Windows Portable Executable) のデータの一部として保存されています。署名されたバイナリを利用する際は、Windows の WinVerifyTrust 機能を利用し、この保存されているデータを利用して、署名が正しいものであるか検証が行われます。
より厳格な署名の検証においては、この署名データや証明書を格納しておく部分に、無関係なデータが含まれているかをチェックするようになります。もし、無関係なデータが含まれている場合は、署名は非準拠とみなします。(署名がされていないバイナリとして判断します) 非準拠のバイナリを使用している場合は、例えばバイナリがアプリケーションの場合は警告が表示されたり実行不可となる、インストーラーの場合は、インストールが行えないなどが発生する可能性があります。
2014.08.09 追記:
2014.07.30 付で、デフォルト有効化の施策が中止された旨が追記された。
マイクロソフトは 2013 年 12 月 11 日に、より厳格な Authenticode 署名検証動作の基になるコードを展開するためのセキュリティ情報 MS13-098 を公開しました。このアドバイザリでは以前、2014 年 8 月 12 日までにマイクロソフトが MS13-098 で実装される変更を既定の機能として有効にする予定であるとお知らせしました。しかし、マイクロソフトは顧客と共同でこの変更への適合を進めた結果、既存のソフトウェアへの影響が大きいと判断しました。したがってマイクロソフトは、より厳格な検証動作を既定の要件として適用する計画を中止しました。より厳格な検証の基礎的機能は実装されたままであり、お客様の選択に基づいて有効にすることができます。
手動で有効化することはできるが、影響がデカすぎるのでデフォルト動作にはしないと。Takagi さん情報ありがとうございます。
.NET Framework に欠陥 (ただし 3.0 SP2 と 3.5 SP1 は除く)。ビュー ステート MAC (Machine Authentication Code) 検証が無効な場合 (デフォルトでは有効) に欠陥があり、
remote から無認証で攻略 HTTP コンテンツを送信し、ASP.NET サイトのサービス アカウントの権限でコードを実行できる。
更新プログラムはダウンロードセンターから入手できる。これを適用すると、ビュー ステート MAC が強制される。その上で、
Resolving view state message authentication code (MAC) errors
(Microsoft KB 2915218) に従って対応する必要があるみたい。
一般には配布されていない 3rd パーティ製 UEFI モジュール 9 個のデジタル署名を失効させたそうで。次の SHA256 ハッシュを持つものだそうです。
80B4D96931BF0D02FD91A61E19D14F1DA452E66DB2408CA8604D411F92659F0A
F52F83A3FA9CFBD6920F722824DBE4034534D25B8507246B3B957DAC6E1BCE7A
C5D9D8A186E2C82D09AFAA2A6F7F2E73870D3E64F72C4E08EF67796A840F0FBD
363384D14D1F2E0B7815626484C459AD57A318EF4396266048D058C5A19BBF76
1AEC84B84B6C65A51220A9BE7181965230210D62D6D33C48999C6B295A2B0A06
E6CA68E94146629AF03F69C2F86E6BEF62F930B37C6FBCC878B78DF98C0334E5
C3A99A460DA464A057C3586D83CEF5F4AE08B7103979ED8932742DF0ED530C66
58FB941AEF95A25943B3FB5F2510A0DF3FE44C58C95E0AB80487297568AB9771
5391C3A2FB112102A6AA1EDC25AE77E19F5D6F09CD09EEB2509922BFCD5992EA
マイクロソフトは、失効させる度にこんな文書を出すんだろうか……。
Windows および Mac 用の Shockwave Player 12.0.7.148 公開。任意のコードを実効できる欠陥
CVE-2013-5333
CVE-2013-5334
が修正されている。Priority rating: 1。
Flash Player および AIR の更新版登場。任意のコードを実効できる欠陥
CVE-2013-5331
CVE-2013-5332
(CVE-2013-5331 は 0-day) が修正されている。Priority rating: Windows と Mac は 1、他は 3。
Windows / Mac 用には 11.7.700.257 も用意されている。
2014.05.06 追記:
Flash PlayerのType Confusionの脆弱性により、任意のコードが実行される脆弱性(CVE-2013-5331)に関する検証レポート
((n), 2014.05.01)
》
北朝鮮・張成沢氏失脚
【張成沢氏解任】
全職務剥奪する「除去」 北朝鮮、「反党・反革命的行為」と断罪
(産経, 12/9)
【張成沢氏解任】
王朝から「外様」排除 正恩体制へ権力継承仕上げ
(産経, 12/9)
【張成沢氏解任】
背景に妻の「決断」か 「不適切な女性関係」 夫婦仲冷めていた?
(産経, 12/9)
【張成沢氏解任】
北朝鮮で大きく「解任報道」 アナウンサーが10分朗読 連行写真も
(産経, 12/9)
【張成沢氏解任】
張氏は見せしめ?古参幹部“総退場”も 金正恩氏に権力集中へ
(産経, 12/9)
【張成沢氏解任】
金正日総書記死去2年を前に 権力継承を“仕上げ”
(産経, 12/9)
【張成沢氏解任】
「金王朝」番頭役ばっさり、正恩氏、父の命日から2年を前に権力誇示か
(産経, 12/10)
連行写真も公開 北朝鮮・張成沢氏解任
(産経, 12/9)
張成沢氏失脚で「大人の監督」弱まる 元米高官「どこに向かうか分からない」
(産経, 12/10)
北「思想統一を強化」 機関紙が社説「張氏は逆賊」
(産経, 12/10)
北朝鮮・張成沢氏失脚の真相 早稲田大学・重村教授に聞く
(the page, 12/10)
「叔父」切り捨てで個人独裁を強化した金正恩
(ワールド&インテリジェンス, 12/9)
張成沢連行シーン
(ワールド&インテリジェンス, 12/10)
裸の王様=金正恩が今後も進める戦慄の恐怖支配
(ワールド&インテリジェンス, 12/10)
クローズアップ2013:北朝鮮、張成沢氏を除名 正恩氏、権力基盤固めか
(毎日, 12/10)
》
海の向こうの“セキュリティ”
第87回 架空の新人「女性」職員を使った侵入テスト、成功率100% ほか
(Internet Watch, 12/6)
今回のようなケースでは、初めの段階で人事部に確認すれば、すぐに偽者だと分かるにもかかわらず、誰もそれをしなかったという問題点をLakhani氏らは指摘しています。人は基本的に他人を信じて助けてしまう生き物であること、また「彼女」が最初の段階で接触したのは、対象機関の関係者の中でも機密情報を扱うような部署ではなく、その周辺の部署の人々であり、そのような人々が自分が狙われる可能性を全く意識していないことが問題だとしています。
》
欧州外相らに中国からハッカー攻撃、9月のG20会議前=調査
(ロイター, 12/10)。FireEye 情報。
》
なぜ進まない 太陽光発電
(NHK, 12/9)
》
NSAとGCHQ、オンラインゲーム上のユーザー活動を監視か
(CNET, 12/10)。スノーデン情報。ゲームまで監視しますか。
The Guardianが入手した記録によると、この活動によってテロリストによる企てが阻止されることはなかったという。しかし、NSAはユーザープロファイルにアクセスして、Xbox Liveでゲームをする際のバディーリストから生体認証データにいたるまでのあらゆるデータを入手し、ユーザーの声を盗聴することができた。そして諜報員らは、クレジットカードの盗用に使用された疑いのあるサイトを削除するという成果は上げている。
》
<子どもと家族の大国>フランスは今 手当と控除で出生率維持 (毎日, 12/10)
なぜこれほど安心して子育てできるのか。妻マリーさん(55)がパートタイムで働いてきたこともあるが、それ以上に、国の家族政策の恩恵を受けてきたことが大きい。
出産医療費は無料。所得税は子どもの数が増えるほど控除額が増えるため、フォシルさん一家は約15年間も課税額がゼロで済んだ。月額1000ユーロ(約14万1000円)を超える家族手当も支給された。
子どもが公立学校に通えば、学費は大学までほとんどかからない。日本で子ども1人を大学に進学させるまでの教育費は、すべて公立でも約1000万円とされるから、信じがたい措置だ。
18歳未満の子どもが3人以上いる家庭には「大家族カード」が支給される。子どもが3人の家庭の場合、国鉄の運賃は家族全員が3割引き、6人以上なら75%の割引。社会問題・保健省のホームページには、大家族カードで割引になるスーパーマーケット、ホテル、地方紙、遊園地など96社の協賛企業がずらりと名を連ねている。
やりすぎかなあとも感じるが、ここまで大胆にやらないと効果が上がらないのかも。
》
船舶追跡システムに存在する問題を発見
(トレンドマイクロ セキュリティ blog, 12/10)。自動船舶識別装置 AIS。
》
時論公論 「北朝鮮で今、何が起きているのか?」
(NHK 解説委員室, 12/10)
》
GoogleやMicrosoftなど米IT大手、政府による個人情報収集対抗で団結
(ITmedia, 12/10)
》
ダイエット炭酸飲料売り上げが今年急減、人工甘味料の懸念で
(ウォール・ストリート・ジャーナル日本版, 12/9)
最大の障害は炭酸飲料に含まれる人工甘味料をめぐる健康上の懸念だ。主にアスパルテームが懸念されるが、スクラロースやアセルファムカリウムも問題とされる。
関連:
》
傷害容疑:滋賀県警巡査長を書類送検 同僚にたばこの火
(毎日, 12/10)。暴行しても逮捕されない。ケーサツは素敵な職業。
》
猪瀬直樹東京都知事 (滝汗) 方面。
猪瀬さん、根が正直な人なんだろうと本当に思う。
もう全部話した方がいいよ。
》
ウクライナ方面
》
「あれは『ない』書類」 直訴を黙殺、海自のいじめ調査
(朝日, 12/8)
海上自衛隊が「ない」と言い続けた文書の存在を告発した男性が、処分されようとしている。組織のうみを出そうと、警鐘を鳴らし続けた現役の3佐。都合の悪い情報は隠し、告発には罰をもって対処する海自。特定秘密保護法への懸念は、もう現実化していた。
》
時論公論 「特定秘密保護法成立 岐路に立つ安倍政権」
かつて第1次安倍政権は、「戦後レジームからの脱却」という理念を掲げて、憲法改正の手続きを定めた国民投票法や教育基本法の改正を実現しました。しかし、国会運営では、強行採決を繰り返したことで徐々に体力を失い、参議院選挙で大敗しました。これによって作られた衆参ねじれ状態によって、政権運営に行き詰まり、健康状態を悪化させて政権を投げ出さざるを得ませんでした。
当時とは政治状況も違いますし、当面、大きな国政選挙も予定されていません。それでも、もし「経済最優先の道」を外れたと国民から見られると、支持率低下などの思わぬつまずきになりかねないと心配する与党幹部もいます。
関連:
》
福島みずほ議員 秘密保護法逐条解説、H23.11分法令協議入手
(秘密保全法に反対する 愛知の会(特定秘密保護法案に反対), 12/5)
・特別秘密の保護に関する法律案【逐条解説】H24.11.19づけ (全92ページ)
http://xfs.jp/56niM4
・内閣情報調査室が各省庁と協議した法令協議(H23.11分)(全533ページ)
その1 153ページ http://nagoya.ombudsman.jp/himitsu/horeikyogi1.pdf
その2 183ページ http://nagoya.ombudsman.jp/himitsu/horeikyogi2.pdf
その3 94ページ http://nagoya.ombudsman.jp/himitsu/horeikyogi3.pdf
その4 103ページ http://nagoya.ombudsman.jp/himitsu/horeikyogi4.pdf
(中略)
・サーバーメンテナンス業者から過失で漏れたら?
→サーバーメンテナンス業者が懲役と答弁。
サーバーメンテナンス業務については法令協議2の64ページ、
3の16−17ページ
アドミンのみなさん、おめでとうございます。Good luck.
関連:
》
シリア、イエメン、サヘル地域の食糧危機
(中東の窓, 12/6)
国連のFAOは5日の報告書で、シリアとイエメンが国内情勢混乱の影響で深刻な食糧危機に直面しているとして、シリアで600万人、イエメンで450万人が緊急に食糧援助を必要としているとしています。
このうちシリアの食糧危機については度たび報道されてきましたが、イエメンについては散発的に報じられるものの、450万人が深刻な食糧危機に直面しているという報告書は、これまででも最も深刻なものだと思います。
》
TPP 方面
》
「みんなの党」分裂。
亡命みんなの党 (14 人) と、傀儡みんなの党 (通称じみんなの党) (21 人) に分裂、ということかな。
江田憲司氏ら14人離党、みんなの党が分裂 「もはやこの党に将来はない」
(ハフィントンポスト, 12/9)。江田氏冒頭あいさつから:
我々の離党の理由はただ一つ、結党の原点に戻るということであります。(中略) 特定秘密保護法案をめぐって、我が党がぶれ続けたと評されるのも、渡辺代表が安倍首相と主食をともにしながら密室で手を握る。初めに賛成ありきの修正協議を推し進めたからにほかありません。(中略)
これからは我々こそが「新生みんなの党」だという思いで、さらなる改革政党を目指し、もう伸び伸びと前を向いて進もう。今日をスタートに再出発を期して参りたいと思います。
みんなの党を離党した理由
(青柳 陽一郎 / BLOGOS, 12/9)
原点に戻る
(川田龍平 / BLOGOS, 12/10)
結党精神を実現するための「決別」
(林宙紀のブログ, 12/10)
離党するに至った最大の理由は、みんなの党が与党に“本当に”寄り添おう
としていることを確認してしまったからです。
図らずも代表の口からそれを裏付ける言葉が発せられ、直接聞いてしまった
以上、なかったことにするのは不可能でした。
例の“与党入り”ですかね……。関連: 党の前に、国民がある。
(林宙紀のブログ, 11/27)
みんな大量離党 反対求める市民の声、決断促す
(田中龍作 / BLOGOS, 12/9)
離党議員:
衆議院=江田憲司、井坂信彦、井出庸生、林宙紀、青柳陽一郎、
椎名毅、畠中光成、小池政就の8名。
参議院=小野次郎、寺田典城、川田龍平、藤巻幸夫、真山勇一、柴田巧の6名。衆参計14名。
「既得権益を打破する会」設立へ・・・規制改革と地域主権で共生社会を実現する!
(江田憲司, 12/2)
先週金曜日(11/29)、私は、細野前民主党幹事長、松野維新国会議員団幹事長とともに、「規制改革」と「地域主権」を主要テーマに勉強会を立ち上げることを決め、その準備会合を開いた。そこで決まった「趣意書」「呼びかけ人」等々は「参考」のとおりだが、今後、12月10日の設立総会、第一回の勉強会に向けて、広く各党各会派の議員に参加を呼びかけていきたいと思う。
ただ、我々三人がこうした勉強会を立ち上げようとすると、「やれ新党だ!」「野党再編だ!」とメディアが書きたてる。当事者がいくら否定してもそうした見出しが躍る。細野、松野、江田3者とも、テレビカメラの前で「これは新党目的でも再編目的でもない」と断言しているのに、だ。
しかし呼びかけ人の項を見ると、
【民主】細野豪志 松本剛明 笠浩史 階猛(今後増える可能性あり)
【維新】松野頼久 石関貴史 馬場伸幸 小熊慎司 遠藤敬 東国原英夫
【みんな】江田憲司 柴田巧 青柳陽一郎 井坂信彦 井出庸生
小池政就 畠中光成 林宙紀
【無所属】柿沢未途
みんなは全員、今回離党した人達ですからね……。
怒髪天を衝く特定秘密国会運営・・・それにしても渡辺みんな執行部は
(江田憲司, 12/5)
すべての判断ミスは、安倍首相と酒食の場で手を握り、「はじめに賛成ありき」の修正協議を強いてきたツケではないのか。今日のみんな参院総会で異論が噴出したのは、党内議論が十分尽くされてこなかった証左ではないのか。
みんなの党:渡辺氏、影響力低下は必至…野党再編は不透明
(毎日, 12/10)
【速報】みんなの党、江田氏ら14人が離党届を提出!みんなの党の3分の1が離党!江田氏「野党を結集し、自民党を倒さなければ」
(真実を探すブログ, 12/9)
一方、じみんなの党に残った人は:
Further improving digital certificate security
(Google, 2013.12.07)。フランス政府の認証局が Google ドメイン用の中間認証局証明書を発行していた、ことを Google が検出。直ちに Chrome における当該証明書の無効化を実施。
Serious Security: Google finds fake but trusted SSL certificates for its domains, made in France
(Sophos, 2013.12.09)
Google catches French govt spoofing its domain certificates
(ZDNet, 2013.12.09)
Revocation of an IGC/A branch
(ssi.gouv.fr, 2013.12.07)。ヒューマンエラーだと……。
ブラウザ等の対応
Microsoft Security Advisory (2916652)
Improperly Issued Digital Certificates Could Allow Spoofing
(Microsoft, 2013.12.09)
Microsoft is aware of an improperly issued subordinate CA certificate that could be used in attempts to spoof content, perform phishing attacks, or perform man-in-the-middle attacks. The subordinate CA certificate was improperly issued by the Directorate General of the Treasury (DG Tresor), subordinate to the Government of France CA (ANSSI), which is a CA present in the Trusted Root Certification Authorities Store. This issue affects all supported releases of Microsoft Windows. Microsoft is not currently aware of attacks related to this issue.
Revoking Trust in one ANSSI Certificate
(Mozilla, 2013.12.09)
Certificate update
(Opera, 2013.12.09)
Googleドメイン用の不正証明書が発行される、各社が失効措置へ
(ITmedia, 2013.12.10)
2013.12.11 追記:
マイクロソフト セキュリティ アドバイザリ (2916652)
不適切に発行されたデジタル証明書により、なりすましが行われる
(Microsoft, 2013.12.10)
2013.12.13 追記:
マイクロソフト セキュリティ アドバイザリ (2916652)
不適切に発行されたデジタル証明書により、なりすましが行われる
が 2013.12.13 付で改訂された。
Windows XP、Server 2003 用の更新プログラムが公開された。
》
弊社のホームページにContent Security Policy(CSP)を導入しました
(HASHコンサルティング, 12/6)
》
Microsoft、ZeroAccessボットネットの一部閉鎖に成功
(日経 IT Pro, 12/9)
》
「スパム/フィッシングメール対策規格に成果」、Googleが調査結果を発表
(日経 IT Pro, 12/9)
》
Microsoft、政府の盗聴行為への対抗策としてサービス暗号化を強化
(日経 IT Pro, 12/6)、
Protecting customer data from government snooping
(Microsoft, 12/4)
》
1位賞金は180万円、サイボウズの脆弱性コンテストで19件の脆弱性見つかる
(日経 IT Pro, 12/9)
》
2ちゃんで弁護士殺害予告 大分の高校生を書類送検 「恨みないけど注目されて…」
(産経, 12/9)
》
イエメン方面
》
無人機はハッカーの標的になり解析される(技術解説ビデオあり)
(techcrunch, 12/5)
》
Microsoft、新しいBing地図プレビュー版をリリース—美しい3D画像をフィーチャー
(techcrunch, 12/6)
》
Googleマップでナショナルジオグラフィック所蔵の古地図などを見ることが可能に
(gigazine, 12/9)
》
「GALAXY S4」を純正品で充電中に炎上、その後Samsungの対応が問題でさらに違う意味で炎上
(gigazine, 12/9)
》
猪瀬直樹東京都知事方面
石原慎太郎おじいちゃん、今日も余計なことを言う
(やまもといちろう / BLOGOS, 12/4)
猪瀬直樹さん『今回はレームダック』
(やまもといちろう / BLOGOS, 12/7)
猪瀬都知事への徳洲会マネー
5000万円裏金疑惑
「借用証偽造では?」 収賄罪成立も
(しんぶん赤旗, 12/5)
徳洲会
東電病院入札に参加
売却表明翌月 猪瀬知事に5000万円
白石都議が追及
(しんぶん赤旗, 12/7)
猪瀬都知事「大金を目にしてビックリ」、「なぜ貸金庫使った」に珍回答
(スポーツ報知 / livedoor, 12/6)
深まる「贈収賄」疑惑…猪瀬はまるで徳洲会の“パシリ”
(日刊ゲンダイ, 12/7)
猪瀬知事:ツイッター沈黙…「5000万円」発覚以降
(毎日, 12/7)
毒舌・テリー伊藤が猪瀬知事を擁護 理由は“カネ”だった
(日刊ゲンダイ / Yahoo, 12/6)
猪瀬氏の借入金、服務違反に該当 都総務局長が答弁
(朝日, 12/6)
猪瀬都知事の資金問題 集中審議へ
(NHK, 12/9)
》
リニア新幹線 「磁界」の測定公開
(NHK, 12/5)
線路から6メートル離れた場所に専用のセンサーを置いて走行時や停止時の値を調べました。その結果、磁界を示す値は、およそ0.18ミリテスラで、専門家で作る国際的な組織が策定したガイドラインで健康への影響が指摘される値の最大で15%ほどに収まったということです。
関連:
》
mixi、EMAから怒りの脱退
(やまもといちろう / BLOGOS, 12/4)
》
米国の核ミサイルの発射パスワードは「00000000」だった
(slashdot.jp, 12/3)。マジか……。
》
東北地方太平洋沖地震における巨大地震・津波発生メカニズムの解明
(JAMSTEC, 12/6)。得られた知見を、来たるべき地震への対応に生かしてほしい。
今般、得られた地質試料、孔内計測データ、長期孔内温度観測などのデータから、東北地方太平洋沖地震の際に日本海溝軸付近の浅部プレート境界断層が地震性滑りを起こしていたことを科学的に実証し、これまで常識とされてきた「プレート境界断層浅部では地震性滑りは起きない」という考えを根本から問い直す、極めて重要な結果を導きだしました。これにより巨大地震発生時における断層の滑りメカニズムや巨大津波の発生メカニズムの解明に向けて大きく前進しました。
》
Bitcoin の急騰で仮想銀行強盗が増加
(シマンテック, 12/5)
》
ビットコインの通貨価値は1BTC=13万円が妥当とバンクオブアメリカが発表
(gigazine, 12/6)。ひー。みんなで掘るわけだ……。
》
「Windows 8販売は著作権保護に逆効果」と中国高官がXPのサポート継続を要求
(gigazine, 12/5)。おいおい。
》
JPモルガン・チェース銀行がハッキングされ46万5000人分の情報にアクセスされた可能性が判明
(gigazine, 12/6)
》
海賊版DVD販売サイト見ようとしたらPCに注意表示・遮断する取り組みが始まる
(Internet Watch, 12/5)。コンテンツ海外流通促進機構 (CODA) のプレスリリースによると、
今回の取り組みでは、CODAと情報セキュリティ関連企業は、CODAが把握する海外の著作権侵害サイトの情報を共有し、セキュリティソフト・サービスの利用者がこれらの侵害サイトにアクセスしようとした際に、設定によって、侵害サイトへのアクセスをブロックしたり、注意喚起のメッセージを利用者のパソコン画面に表示するなどの方法を実現します。
どのように実装されるのかは各社におまかせなのかな。
現在協力を表明しているのは、アルプス システム インテグレーション、セキュアブレイン、ソースネクスト、トレンドマイクロ、BBソフトサービスの 5 社。
内 3 社はプレスリリースを出している。
》
第9回 IPA 情報セキュリティ標語・ポスター・4コマ漫画コンクール 2013 受賞作品発表
(IPA, 12/5)。4コマ漫画部門なんてあったんだ……。
》
フランスが中央アフリカに本格介入、宗教対立受け安保理が決議
(ロイター, 12/6)
》
特定秘密保護法案 (衆議院を通過、参議院特別委員会を通過)
特定秘密保護法 刑事司法は濫用を抑制する機能を果たせるのか
(郷原信郎が斬る, 12/5)
私も、このような行政への一層の権限集中を招く立法が行われることには反対である。しかし、それは、法案自体に問題があるということではない。むしろ、官僚組織である検察に権限が集中し、しかも、マスコミも、それに対して批判機能を果たせない日本の刑事司法の現状の下では、その法律に基づく権限の濫用を抑制することが困難だという、刑事司法の実情の方に問題がある。
そのような刑事司法に対して、マスコミは、これまで十分に批判的機能を果たしてきたであろうか。過去に、過激派等に対する公安捜査の実情に関する問題を指摘した報道がどれだけあったであろうか。「人質司法」など、刑事司法の問題点について、どれだけ指摘してきたであろうか。直近では、検察の一部が、虚偽の捜査報告書で検察審査会を騙して政治的目的を遂げようとした陸山会事件での「特捜部の暴走」に対して、民主主義を危うくするものとして徹底した批判が行われたであろうか。
検察や警察との「もたれ合い」的な関係によって、刑事司法の歪みを温存してきたという点からは、責任の一端はマスコミにもあるのではなかろうか。そういうマスコミが、「知る権利」「報道の自由」を振りかざして、法案に反対していることに対して、若干の違和感を覚えざるを得ない。
動2013:秘密保護法、きょう成立 首相周辺…維新が賛成しなければ「合意全部ほごと脅せ」
(毎日, 12/6)
国会の内外で高まる特定秘密保護法案への反対論に対する自民党内のいら立ちが5日朝、党本部で開かれた外交・国防合同部会で噴き出した。矛先が向けられたのは「『秘密』の定義が十分明確ではない」と特定秘密保護法案に懸念を表明した国連の人権部門のトップ、ピレイ国連人権高等弁務官。
「なぜこのような事実誤認の発言をしたのか、調べて回答させるべきだ。場合によっては謝罪や罷免(要求)、分担金の凍結ぐらいやってもいい」。安倍晋三首相に近い城内実外交部会長は怒りをぶちまけた。ピレイ氏は2日の記者会見で「表現の自由に対する適切な保護措置を設けず、法整備を急ぐべきではない」とも語っており、議員からは「そもそも内政干渉」「弁務官という立場は失格だ」などと強硬意見が相次いだ。
(中略)
国連総会が指名する弁務官への罷免要求は現実的ではない。発言を理由に分担金をカットするのも先進国の対応としてはありえない。議論は終始、脱線気味だった。
こんなのが「外交・国防合同部会」なんだってさ。
今の自民党はこういう政党なのだということだなあ。
ひどいものだ。
特定秘密保護法案 チェック機能は
(NHK, 12/6)。無意味なほったて小屋 4 つでお茶を濁してみました。
特定秘密「保存期間中に破棄も」 答弁書を閣議決定
(朝日, 12/6)。めちゃくちゃだ。
》
武器輸出三原則終了のお知らせ。
このレベルまでちゃぶ台をひっくり返すとは思っていなかった。
》
「中国、尖閣上空に防空識別圏を設定」関連
大国政治の虚々実々:捨てないで、巻き込まないで、巻き込んで
(海国防衛ジャーナル, 12/4)
木語:じぇじぇじぇ、なぜ今=金子秀敏
(毎日, 12/5)
今年6月、オバマ大統領と習近平国家主席が会談して「新型の大国関係」に合意した。その直後から中国は台湾沖で海軍演習を始めた。「アチソンライン」による中国封じ込めをやめたと解釈した。
さらにバイデン訪中の直前に防空識別圏を設定し米国に受け入れを迫った。日本の防空識別圏は朝鮮戦争中に米軍の設定した空のアチソンラインだ。中国は海空一体で崩すつもりだ。
クローズアップ2013:米副大統領訪中 中国、譲れぬ安保 (毎日, 12/5)
米国防長官:中国防空識別圏「懸念は一方的、突然の実行」 (毎日, 12/5)
中国、防空圏の批判を封殺 「日本の孤立化」狙いか
(産経, 12/5)
米中会談は5時間半、防空圏「認めない」と副大統領、「日中ホットライン確立を」
(産経, 12/5)、
米副大統領「防空圏認めない」も、習主席に撤回は求めず (産経, 12/5)
米上院外交委幹部、中国の防空識別圏設定に懸念の書簡
(ロイター, 12/6)
中国の防空識別圏で懸念強める民間航空会社
(ウォール・ストリート・ジャーナル日本版, 12/6)
台湾軍機、中国防空圏を30回飛行=侵入機に緊急発進の用意
(時事, 12/2)
防空識別圏、中国の狙いは?
(WEB RONZA, 12/5)
米中、防空圏は平行線 バイデン氏と習主席会談
(東京, 12/5)
》
防衛省に「秘」文書流出か アフガン邦人名簿 外務省が作成
(東京, 12/5)
NagiosQL
NagiosQL というのは Nagios 設定用の Web インターフェイスみたい。
VMware ESX 4.x
緊急 x 5、重要 x 6。Office (2003〜2013)、IE、SharePoint、Exchange が含まれる。
セキュリティ アドバイザリ 2896666 は今回修正される予定。
セキュリティ アドバイザリ 2914486 は次回以降。
Chrome 31.0.1650.63 公開。15 件のセキュリティ欠陥が修正されている。
Ruby on Rails
Linux Kernel
Opera
》
アラファト議長は「毒殺されず」、仏調査団が結論
(ロイター, 12/4)
》
イラン大使館爆発事件の裏にサウディ? (中東の窓, 12/4)、
プーチンとサウディ情報部長 (中東の窓, 12/4)
》
中国の対チュニジア軍事援助
(中東の窓, 12/4)。無償軍事援助 800 万ディナール (約 49 億円)。
》
福島「原発作業員」がいなくなる!
建設労働者不足で「入札不調」が続出。1Fに外国人作業員を受け入れる日がやって来る。
(FACTA, 12/4)
》
特定秘密保護法案 (衆議院を通過、参議院で審議中)
落合弁護士による「特定秘密保護法案の刑事手続上の論点」
(江川 紹子 / Yahoo, 12/2)
自分の公安捜査の経験に照らしてみると、捜査権限を発動しやすいという印象を持つ法案だ。そういう印象を持つ法案は、危険性が高いと思わないといけない法案でもある。
水説:「継続」という知恵=倉重篤郎
(毎日, 12/4)。亀井静香議員に聞いてみた。
「公安警察の目標は、秘密情報のエンドユーザー(最終活用者)を捕捉することだが、現行の国家公務員法ですら使いきれていないのが現状。さらに特定秘密を指定してみたところで実効性がない。まずは警察、法務省、防衛省でバラバラの機能を統合して体制を整えることだ」
(中略)
「そもそも後藤田さんならこんな法案を出さないよ。それがバランス感覚というものだ」
社説:秘密保護法案、参院審議を問う 前知事の懸念 危機情報を共有できぬ (毎日, 12/4)
【コラム】私もテロリストと呼ばれるのか—W・ペセック
(ブルームバーグ, 12/2)
日本の報道の自由度ランキングは既に急落している。世界179の国・地域の中で、日本は2013年は前年から31ランク下げて過去最低の53位。南アフリカ共和国やコモロ連合さえ下回っている。順位低下の元凶は福島での放射能リスクに関する報道のぜい弱さだったが、メディアの自己検閲が増せば、状況が悪化するのは目に見えている。
政府内に次官級の監視委設置 秘密保護法案で首相
(日経, 12/4)
安倍晋三首相は4日午前、特定秘密保護法案を審議する参院国家安全保障特別委員会で、行政機関の長による特定秘密の指定の妥当性をチェックする機関として、関係省庁の事務次官級からなる「保全監視委員会」を設置する意向を示した。
独立性皆無……。シャンシャン委員会か。
ここに注目! 「秘密保護と情報公開のバランスは?」
(NHK 解説委員室, 12/4)
》
ファーウェイ、米通信機器市場からの撤退を決定 - 創業者が言明
(Wireless Wire, 12/4)
》
欧州メディア・ウオッチ
(33)独誌支局長に聞くNSA報道の舞台裏
(読売, 12/3)。シュピーゲルのロンドン支局長クリストフ・シュアーマン氏。
—スノーデン氏によるリークをどう評価するか?
二つの点で重要だ。一つは、国民に何が起きているかを知らせたこと。どんな報道機関も自国の諜報活動の詳細な手法をテロリストに提供しようとは思っていない。シュピーゲル、ガーディアン、ニューヨーク・タイムズなどは非常に慎重に報道を行ってきたと思う。
二つ目は監視活動について監督が欠けていたことを指摘したことだ。議員さえも活動を知らなかった。国家の安全保障を維持するため、いかにして、そしてどこまで情報収集を行うべきなのか。この点について、これから議論を開始できる。これが今回の報道で最も重要な点だと思う。
》
欧州メディア・ウオッチ
(30)“スノーデン後”の市民と個人情報
(読売, 11/12)
》
UPDATE 4-北朝鮮、金第1書記の叔父・張成沢氏失脚のもよう 権力基盤固めで解任か
(ロイター, 12/3)、
張成沢失脚情報の衝撃
(ワールド&インテリジェンス, 12/4)
》
史上最大の電波ジャックとして今も語り継がれる「マックス・ヘッドルーム事件」とは?
(gigazine, 12/4)
》
海境・ニッポン:第18回 海自潜水艦
(毎日, 12/3)
》
「平成の龍馬」に有罪判決 不正B-CASカード作成・使用で 京都地裁
(ITmedia, 12/4)
》
米海軍の新型P8A哨戒機が日本に到着、防空圏めぐる緊張の中
(ロイター, 12/3)。P-8A ポセイドン。
関連: アメリカ海軍、P-8AポセイドンIOC獲得 沖縄へ出発
(FlyTeam, 11/30)
》
中国、他国の海洋考古学調査も領有権主張でけん制
(ウォール・ストリート・ジャーナル日本版, 12/3)
》
「中国、尖閣上空に防空識別圏を設定」関連
「特異さ目立つ」中国の防空識別圏
(NHK, 11/30)、
政府 ICAOでの対応検討を提案 (NHK, 11/30)
防空識別圏:米政府方針「民間機は中国に飛行計画提出」
(毎日, 11/30)、
米政府、民間航空に飛行計画提出促す 中国の防空識別圏
(CNN, 11/30)、
米航空局「計画提出指導していない」
(NHK, 11/30)
防空識別圏 米航空会社はフライトプラン提出
(NHK, 12/1)、
中国防空識別圏:米航空3社が飛行計画提出
(毎日, 12/1)。ユナイテッド、アメリカン、デルタ。
フライトプラン提出 対応分かれる
(NHK, 12/1)
中国国防省「日本だけが非常識な対応」
(NHK, 12/3)。ということにしたいのですね。
米国務省 防空識別圏巡る要求撤回求める
(NHK, 12/3)
アメリカ国務省のサキ報道官は、2日の記者会見で、あくまでも民間航空機の乗客の安全のための措置だと説明したうえで、「アメリカ政府が、中国の防空識別圏の設定に伴う要求を受け入れたことを意味するものではない」と強調しました。
そのうえで「防空識別圏の運用に関する中国側の要求は、国際的に受け入れることができる慣習の範囲を超えている」と述べ、中国に対し一連の要求を撤回するよう求めました。
なんだか一貫しないね。
中国「スクランブルしてるし」日米「何も変わってねーじゃん」
「飛行計画の提出不要」方針は変えず 政府
(産経, 12/2)。菅義偉官房長官。
飛行計画「従来通り」提出しないよう要請 太田国交相
(産経, 12/3)。太田昭宏国土交通相。
【寄稿】中国の防空識別圏、習主席はなぜ売り込まないのか
(ウォール・ストリート・ジャーナル日本版, 12/3)
US バイデン副大統領来日
防空識別圏をゴリ押しする、中国のウラ事情
大衆の不満そらし、軍独走、指導部の面子の3点セット
(東洋経済, 12/4)
中国「防空識別圏」 これまでの動きを振り返る
(日経, 12/4)
》
Scada Internet Exposure 2013-11
(Scada Exposure)
》
Next generation Stuxnet worm in the works, says Iran news agency
(ZDNet, 12/3)
》
「詐欺Androidアプリを自動生成できる統合環境が無料入手可能に」、トレンドマイクロ
(日経 IT Pro, 12/3)
》
ウクライナ反政府デモ活発化
(国連情報誌SUNブログ対応版, 12/3)
》
ここに注目! 「緊迫 タイ情勢」
(NHK 解説委員室, 12/3)
》
往年のアニメのOPっぽい雰囲気を再現しまくった「播磨サクラ」がすさまじいクオリティ
(gigazine, 12/3)。マシンロボのリメイク……ではないらしい。
》
『蒼き鋼のアルペジオ』9話感想 イオナ撃沈!?ヒュウガとタカオがカッコ良すぎる!
(ああ言えばForYou, 12/3)。イオナちゃんがたいへんなことになっている今日このごろですが、そんな中、オアフ島沖で伊400がみつかったというニュースが:
》
2012年衆院選落選候補の元公式サイトが順調にSEO業者等のサテライトサイトに化けつつある
(情報の海の漂流者, 12/1)。うはあ。
》
福島県田村市のデタラメ除染
週刊朝日 2013年12月13日号に詳報があるそうで。
VMware Workstation 9.x、Player 5.x、Fusion 5.x、ESXi 5.1・5.0・4.1・4.0、ESX 4.1・4.0 に欠陥。LGTOSYNC.SYS に欠陥があり、
Workstation・Fusion 上で 32bit Windows XP を動かしている場合、または
ESXi・ESX で 32bit 2000 Server・XP・Server 2003 を動かしている場合に、
local user による権限上昇が可能。CVE-2013-3519
VMware Workstation 9.0.3、Player 5.0.3、Fusion 5.0.4 で修正されている。
また ESXi・ESX 用の patch が提供されている。
サイボウズ ガルーン
AMD 16h Models
PHP
》
16歳から24歳の約3人に2人が電子書籍より紙の本を好むことが判明
(gigazine, 12/2)
》
統一教会信者が自動車販売詐欺で2億円持ち逃げ、犯罪収益を献金か?
(やや日刊カルト新聞, 12/2)
》
PacSec 2013 レポート 1日目〜任意のコードをBIOSに
(@IT, 11/29)
》
Wild Wild West - 12/2013
(Kahu Security, 12/1)
》
2013年12月の呼びかけ「 “ただ乗り”を するなさせるな 無線LAN 」
(IPA, 12/2)
》
"スマホに子守させないで"
(NHK「かぶん」ブログ, 12/1)
》
Amazon、無人飛行ドローンによる配達を実験中
(techcrunch, 12/2)。ジョークかと思ったら、マジネタだったのか。
》
Googleグラス着用者お断りのレストランがシアトルに出現
(gigazine, 12/2)
》
再処理工場など新規制基準決定
(NHK「かぶん」ブログ, 11/28)、第33回 原子力規制委員会 (原子力規制委員会, 11/27)。12/18 に新基準施行。
》
電力2社 審査資料すべて提出できず
(NHK「かぶん」ブログ, 11/28)。安全審査のための資料が揃ってない件。
審査は当初「早くて半年程度」とされていましたが、それ以上の時間がかかる見通しです。
》
米FDA 遺伝子検査会社に中止警告
(NHK「かぶん」ブログ, 11/27)、Google出資の遺伝子検査企業23andMeにFDAが販売停止命令 (ITmedia, 11/26)。
》
毎日新聞「愛読者セット」。来ましたね。定期講読者は追加コストなしで PC・スマホ・タブレットで見放題。
》
「孤立する高齢者」 Nスペに強い反響 結婚しないと孤独死する!?
(ITmedia, 12/2)
「3〜4割が独身者になる時代が来るんだろ? そうなったらそういう実態に合わせた仕組みができるに決まってる。例えば1人暮らしが増えたからコンビニの惣菜も充実してきたわけで」
政府・自治体には大して期待できないと思うけど、民間では既にそういうサービスあるよね。地元だと、たとえば
平和堂の
「平和堂ホーム・サポートサービス」とかさ。
現在は、平和堂彦根銀座店、アル・プラザ近江八幡、アル・プラザ長浜、平和堂あどがわ店、フレンドマート石山寺辺店の 5 店でやってるみたい。
》
セキュリティ専門家が語るWindowsに「入れるべきツール」と「消すべきツール」
(@IT, 12/2)。EMET を入れろ、Java を消せ。
しかし、MyJVN バージョンチェッカが Java を必要とするという……。
「Flash SMS」を 30 通程度送るだけで、Nexus 4 や Nexus 5、Galaxy Nexus が再起動やネットワーク不通に襲われるそうな。
3rd party 製の回避アプリ Class0Firewall
が公開されている。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)