Last modified: Tue Apr 26 12:48:13 2016 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 国営造船会社は「カヌー造りも疑問」、豪国防相失言に非難 (AFPBB, 11/26)、 ジョンストン国防相に首相が助け船 (日豪プレス, 11/28)
11月25日、デビッド・ジョンストン国防相は、連邦議会上院予算委員会で、「アデレードのASCにはカヌー一つ造ることができるとは思わない。まして次世代潜水艦隊などは論外」と発言し、労働党だけでなく、保守連合議員、ASC、SA州経済界など各方面から「ASCを侮辱した」として一斉攻撃を受け、議会では大臣罷免を要求する声も挙がっている。
ジョンストン大臣は、先の「カヌー発言」を、「大げさに言いすぎた」と謝罪するはめになったが、
確かにおおげさではあるのだが、ホバート級イージス駆逐艦をまともにつくれないことは実証済みなわけで:
Hobart-class destroyer (Wikipedia)
Navy warships project heading for cost blowout (news.com.au, 3/6)。不良中華パイプを撤去……。
Defence’s Air Warfare Destroyer delayed project $500M over budget (news.com.au, 8/15)
Air Warfare Destroyer Program (Australian National Audit Office, 3/6)。320 ページの詳細文書。
The Air Warfare Destroyer program (Parliament of Australia, 11/10)
関連:
2014年のオーストラリアの情勢に関する資料 (日本安全保障戦略研究センター)
》 個人情報には見向きもしない、ロシア発のサイバースパイ活動「APT28」 (@IT, 11/25)、APT28 - A Window Into Russia's Cyber Espionage Operations? (FireEye)。もういくつ寝ると APT48。
》 OSSコラム 安らかな夜を迎えるために > 第9回「アップデートノススメ」 (NTT データ先端技術)、 第9回「アップデートノススメ」が掲載されました。 (熊猫さくらのブログ, 11/25)
》 LINE乗っ取り騒動は“終息”したが──狙われるアカウント、ユーザーができる対策は? (ITmedia, 11/28)
》 「忘れられる権利」判決後における最新の動向の紹介 (情報綜合通信研究所, 11/12)
》 Hands on with Caine Linux: Pentesting and UEFI compatible (ZDNet, 11/21)
》 ユーロ偽札:イタリアの犯罪組織を摘発 9割を製造 (毎日, 11/27)。「ナポリ・グループ」。
》 POS malware: Potent threat remains for retailers (Symantec, 11/20)
》 DroidJack RAT: A tale of how budding entrepreneurism can turn to cybercrime (Symantec, 11/25)。Android 用の RAT (遠隔管理ツール)。
》 選挙での「白票」を「社会を変える力がある」とミスリードする謎の集団「日本未来ネットワーク」のサイトが突如出現 (Buzzap, 11/27)
しかも非常に興味深いのが、以下のように「SNSで特定の商品などを紹介したユーザーがお小遣いをもらえるサービスを用いて、同サイトの宣伝・拡散が行われている」という点。つまり日本未来ネットワークには、そのようなサービスを運営する業者と交渉し、広告を出稿するだけの組織力と資金があるわけです。
うわー……。宗教系か?
》 エボラ出血熱:空自に防護服輸送命令 来月、西アフリカへ (毎日, 11/28)。KC-767 で。
OPEC 総会、減産合意できず
OPEC 原油生産量目標据え置きで合意 (NHK, 11/28)
OPEC:「据え置き」に加盟国の思惑と財政力の格差 (毎日, 11/28)
原油先物市場:NY 下落、一時67ドル台 OPEC減産見送り影響 (毎日, 11/28)
OPECが原油価格をコントロールする時代は終わった (小菅努 / Yahoo, 11/28)。「OPECではなく価格が需給をコントロールする時代」
コラム:OPECの静観が示す「新石油秩序」 (ロイター, 11/28)
再び原油価格変動の時代へ ―― 原油価格の低下は何を意味するのか (フォーリン・アフェアーズ)
》 対艦ミサイルに関する読売の誤報 (日本報道検証機構, 11/28)。対艦ミサイルの目的を考えれば「そんなわけないだろ!」と調べ直すはずなのだが……。
》 ALSOK、“ネット炎上”監視サービス開始 「ネット上の火災報知器」 (ITmedia, 11/27)
》 ベネッセのプライバシーマーク取り消し 顧客情報流出受け (ITmedia, 11/26)。ザルで有名な P マークですら取消!
》 外食産業を喰い尽くす、3Dプリンタの破壊力 突然やってくるビジネスモデルの激変 (東洋経済, 11/28)
》 その女、小渕優子 (衆議院議員候補 (自民党公認、群馬5区))
小渕優子氏「逃げる選択肢はなかった」 自民公認を求める (ハフィントンポスト, 11/22)
上州変動:2014衆院選 小渕氏、説明なき出馬表明 自民「政治とカネ」重く /群馬 (毎日, 11/22)
小渕氏団体:13年分も収支合わず…観劇会で780万円 (毎日, 11/26)
トヨタ、円安でも輸出減 アベノミクス誤算 (中日, 11/28)。誤算というか、現実がわかってない。
『NEWS23』の安倍逆ギレが原因? 自民党がテレビ局に批判封じ込めの通達 (リテラ, 11/27)。11/20 にテレビ各局に。そんなことをされたのにそれを報じないテレビ各局、という現実。おまけに、言うことを聞いているらしい:
荻上チキ「明日の"朝まで生テレビ"は私も当初出演予定だったがなくなった。当初は質問する文化人がいて、各党の代表が答えるスタンスだった。それだと"公平性を担保できない場合がある"という事で、番組側と局との間で方針が違ったとの事で政治家のみの出演になったと連絡を受けた」 #ss954
— 山本剛志(らをた)ラーマガやってます (@rawota) 2014, 11月 27この件の第 1 報は NOBORDER であった:
【衝撃スクープ】安倍政権が在京キー局に報道圧力 メディアは一切報じず (DAILY NOBORDER / Yahoo, 11/26)
新聞各紙も、今日になって報じているようで:
選挙報道「公正に」 自民、テレビ各社に要望文書 (朝日, 11/28)
〈田島泰彦・上智大教授(メディア法)の話〉今回の文書は中身に問題がある。一般的に公平な報道をお願いするものではない。出演者の発言回数やテーマについて特定の意見が集中しないように求めるなど、かなり具体的に介入した文書であり、報道が萎縮するような圧力になっている。
逆に言うと、そんな文書を出さなきゃいけないほど焦っているということなんだろうけど。
自民、文書で「公正に」 TV各局に解散前日要求 (東京, 11/28)
自民党によるテレビ局への報道圧力、メディア各社が後追い報道 (NOBORDER, 11/28)
「ソウルに劣化ウラン弾おとせ」安倍首相のFacebookは保守速報よりヒドい (リテラ, 11/27)
しかし、かえすがえすも驚かされるのは、一国の首相がこんなヘイトサイトをシェアしていたという事実だ。ツイッターなどには、「やったのはスタッフでしょうけど」「書いたのはたぶん秘書」という意見が散見されるが、取材してみるとどうもそうではないらしい。官邸担当記者がこう語る。
「Facebookは安倍首相以外に、秘書と専門スタッフが書き込めるようにしているらしいですが、秘書の場合は『秘書です』と書くことが多い。それ以外は本人が書いているか、指示をして書かせているケースがほとんどです。今回もアップされたのは安倍首相が私邸に戻った夜ですし、本人が秘書の初村竜一郎の投稿を見つけてシェアした可能性が高い。それでスタッフに拡散を指示したんでしょう」
マジか……。
もはや首相自体が「ネトウヨ」である──安倍“ヘイト”政権が誕生した日 (リテラ, 11/26)
「解散批判」学生にマジ切れ 深刻さ増す安倍首相の精神状態 (日刊ゲンダイ, 11/27)
安倍首相側近らが続々と統一教会詣での“怪” (週刊朝日, 11/27)
「100万人以上の雇用増」の中身 (Think outside the box, 11/20)
わかる人には 8 月中にはわかっていた。
アベノミクス・V字回復の瓦解 (経済を良くするって、どうすれば, 8/31)
やっぱり、アベノミクスは蜃気楼? 小泉進次郎政務官と会ってきました (東洋経済, 8/1)。「増税は、東日本大震災以上の影響があった」
高度なマルウェア「Regin」利用したEUのネットワーク攻撃、米英政府機関が関与か (2014.11.25)
関連:
Regin: 人目に付かずに監視活動が可能な最悪のスパイツール (シマンテック, 2014.11.27)
欧州の電気通信企業への標的型攻撃で使用された不正プログラム「Regin」、その手法を解説 (トレンドマイクロ セキュリティ blog, 2014.11.26)
震源地
Regarding Today’s Service Attack (gigya.com, 2014.11.28)。11/27 20:45 (JST) に不具合を検知、 21:40 (JST) にドメイン登録情報を修正。
@Official_SEA16。シリア電子軍 Twitter
Gigya って何?
GIGYA:エンドユーザーとの関係強化のためのトータルソリューション・プラットフォーム (トーチライト)。SNS 連携ツールなのかな。
Facebook、twitter、Google+等の自身のよく利用するソーシャルアカウントを利用して新規会員登録やログインを実行できるオプションを提供 (中略) ソーシャルログイン実行時には、エンドユーザーのパーミッション(認可)を得ることで、これらの鮮度の高いリッチなソーシャルデータを取得することが可能
加えて分析・活用手法も提供だそうです。セキュリティは、
GIGYAのプラットフォームはISO27001(ISMSの国際規格)に準拠し、PCI-SSC(カードブランド5社が定めたセキュリティの世界基準)による定期審査も常にクリアしております。SAS70(米国公認会計士協会の内部統制の評価基準)に認定された非常に高いセキュリティーと安全性が保たれたデータセンターで独自にインフラ環境を構築・運営しております。
しかし結果はこのとおり。それだけでは足りないのがインターネット。
Gigya の顧客に広く影響した模様。
国内大手サイトでハッキング?報告相次ぐ 「シリア電子軍」か 世界的に影響 (ITmedia, 2014.11.28)。「毎日新聞やSo-net、ロジクールなど」の記述。
株式会社トーチライト、毎日新聞社のウェブサイト「毎日jp」にソーシャル化プラットフォーム「gigya」を提供 (トーチライト, 2012.03.22)
【お知らせ】表示障害への対応方法について(2014/11/28) (毎日, 2014.11.28)。「引き続き不審な表示が表示される場合は、お手数ですがブラウザーのキャッシュを削除してください」
【お詫び】警告表示および別のサイトへ誘導される障害について (so-net, 2014.11.28)
「スカパー!」でも状況が発生したとの情報を得ているのですが (戸井さん情報ありがとうございます。頂いた画像: [1]、[2]、[3])、確かに Gigya 導入されてるようですね: 【オウンドメディアソーシャル化 GIGYA導入事例1】スカパーJSAT株式会社さま (MEMBERS, 2014.02.10)
Customer List (Gigya)。そうそうたる名前が並んでいる。
まとめ:
「シリア電子軍(シリアのエレクトロニック・アーミー)」の行動が、日本語圏のサイトにも影響した。 (NAVER まとめ, 2014.11.28)
複数のWebサイトでSyrian Electronic Armyの画像が表示された件をまとめてみた (piyolog, 2014.11.27)
シリア電子軍が世界的規模のハッキングを敢行、日本の大手サイトも被害を受ける (gigazine, 2014.11.28)
ドメインハイジャックで不正なJavaScript配信、内外の大手サイトに影響 (so-net セキュリティ通信, 2014.11.28)
GIGYAサービス DNSへのハッキング被害に伴う障害について (トーチライト, 2014.12.02)
》 Google Glassが失敗したのはデザインのせいなのか? (栗原潔のIT弁理士日記, 11/27)
Google Glassが失敗したのはディスプレイ技術の問題とそれに伴うデザイン上の問題が主な理由なのでしょうか?それよりも重要なのはキラー・アプリケーション(従来はやりたくてもできなかったことを可能にしてくれる、あるいは、従来のソリューションより圧倒的にうまく問題を解決してくれるアプリケーション)の欠如だと思います。
確かに……。山のような倫理問題を発生させた上に、アクションカメラとしては高価すぎるからなあ。 リコー WG-M1 なんて 3 万円でおつりが来るし。
》 Securing KeePass with a Second Factor (kahu security, 11/26)。KeePass + YubiKey の方法。
yubico のページにもいろいろ事例ありますね: Password Managers supporting YubiKey login (yubico)
》 連続毒殺事件 筧千佐子容疑者 伝家の宝刀! 遺言公正証書独占入手 (いまにしのりゆき 商売繁盛でささもって来い!, 11/26)。後妻業の人の件。 関連:
“読みものキング”の直木賞受賞第一作は「後妻業」 (読売, 10/16)
老人を狙う「新たな」犯罪 その悪質かつ巧妙な手口と、悪人たちの生々しさ (本の話 Web, 10/9)
京都連続不審死事件と酷似!話題の小説『後妻業』はなぜ事件を予見できたか (ネタりか, 11/22)
ようするに、この小説は予言でも、スクープでもなく、似たような事件がさまざまな場所で起きているということではないのか。
直木賞作家・黒川博行氏「高齢社会の悪『後妻業』増える」 (週刊朝日, 11/27)
くわばらくわばら……。
》 【小島慶子さん寄稿】女子アナ内定取り消し裁判に「そろそろ本当のことを言おうよ」 (日経ウーマン, 11/26)
》 AS番号申請のマルチホーム要件撤廃案 (Geek なぺーじ, 11/26)
》 悩み抱え?大阪府警公安2課巡査部長が拳銃自殺か 警察本部のトイレで (産経, 11/27)。眞相はやはりパワハラという話が……。
》 ソニーモバイルのXperia Z3用公式アプリがハッカー集団に乗っ取られたことが判明 (gigazine, 11/27)
》 【イラスト書評】『しんがり 山一證券 最後の12人』清武英利 (ひと目でわかる話題本, 11/27)
》 Twitter、モバイル端末にインストールされているアプリの追跡を開始 (techcrunch, 11/27)、 Twitterがスマホにインストールされたアプリ一覧の取得を開始予定、設定解除も可能 (gigazine, 11/27)
関連: Twitterのアプリリストとは (Twitter)
》 EU、米国版Google検索にも「忘れられる権利」の適用を迫る指針策定 (日経 IT Pro, 11/27)、 欧州当局、グーグルに「忘れられる権利」の適用拡大を要求--「Google.com」にも (CNET, 11/27)
》 中国製の電子タバコにマルウェアが仕組まれていた可能性 (gigazine, 11/26)。「電子タバコの多くはUSBケーブルでPCや充電器に接続して給電を行います」
》 さらに新しいエメット(EMET)さんにもご用心! (@IT, 11/25)
そこで筆者がお勧めしたいのは、EMETを最小設定で導入する方法です。(中略) これでは、未知の攻撃に対してEMETは何もしてくれません。ですが、そもそもEMETは脆弱性を悪用するあらゆる攻撃を阻止するものではなく、“阻止できるかもしれない”というものです。“かもしれない”ことに期待するよりも、ゼロデイ攻撃が確認された時点で適切に対応するのです。この使い方であれば、EMETの互換性問題や不具合に振り回されることはないでしょう。
》 AVTOKYO2014リポート:知ってましたか? セキュリティ業界が歴史に学べること (@IT, 11/26)
》 Listening:<記者の目>核ごみ処分場建設急ぐ安倍政権=吉富裕倫(編集編成局) (毎日, 11/27)
NUMOなどが用意した資料では、操業中の想定事故例にWIPPのような廃棄物トラブルは含まれていない。事業者側に聞くと、「操業の要件を議論する場ではない。規制基準は将来、候補地選びが具体的に進む段階で決めていけば良い。もっとずっと先の話だ」という。
地層処分に批判的な専門家は、WIPP事故は日本でも起こりうると指摘している。事故を想定した上で、有望地の選定に無関係かどうか話し合えば良いではないか。
3.11 後にもかかわらず、このていたらく。すさまじい。
》 スマート拳銃から警察犬用ウエアラブル装置まで、IoTが警察を変える(前) (ComputerWorld, 11/25)、 (ComputerWorld, 11/27)
》 GSK/NIH のエボラワクチン cAd3-EBO、phase 1 で良好な結果が出た模様
エボラ出血熱:ワクチンに効果か 米で臨床試験 (毎日, 11/27)
GSK statement on first phase 1 trial results of a candidate Ebola vaccine (GSK, 11/26)
Safety, Tolerability, and Immunogenicity of the Ebola Chimpanzee Adenovirus Vector Vaccine (cAd3-EBO), VRC-EBOADC069-00-VP, in Healthy Adults (ClinicalTrials.gov)。cAd3-EBO の他に、よりザイール型にチューンした cAd3-EBOZ というのがあるみたい。
》 “Windows Update”の更新履歴を一覧表示・エクスポートできる「WULF2」 (窓の杜, 7/18)
》 KB3000850、特定のソフトとの間で不具合発生。 Benjamin さん情報ありがとうございます。
Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 用の更新プログラムのロールアップ 2014年 11 月 (Microsoft KB3000850)。公開が中止されたりはしていない。
そもそもインストールできない:
マイクロソフト社より提供される11月度のWindows Updateが失敗する事象について (マカフィー)
本事象はマカフィーから提供しているウイルス定義ファイル/エンジンバージョンが2013.0より前のバージョン(2012.0以前)でご利用されている場合、2014年11月にマイクロソフト社から提供されるWindows Updateが正しくインストールできない事象が発生します。 (中略) マカフィー社では2014年9月15日に互換性上の問題に対する修正をリリース致しました。
Avast で不具合:
Avast 2015のKB3000850エラー Windows 8.1 編 (What I Know 〜ワッタイナ, 11/21)
Lastest Windows Update Problems (Read 27826 times) (Avast Forum, 11/18〜)
You stupid BRICK! PCs running Avast AV can't handle Windows fixes (The Register, 11/24)
[転載禁止] Microsoft Update失敗したらageるスレ 37_©2ch.net 267-269 (2ch.net)
タルタロス:リバース で不具合:
【重要】特定OSにおいてゲームが起動しない問題について (タルタロス:リバース, 11/26)
TERA で不具合:
windows update後TERAが起動しません (TERA, 11/21)
注意報!WIN8,1 テラ起動不可能回避 (不定期更新、テラブログ, 11/21)
Honorbuddy で不具合:
HB crashes to desktop after install of Windows Update KB3000850 on Windows 8.1 pc (The Buddy Forum, 11/21)
学生アルバイト全国調査結果 (ブラック企業対策プロジェクト)
「ブラックバイト」調査――4人に1人が「会社の都合で勝手にシフトを変えられる」 (弁護士ドットコム, 11/25)
ブラックバイト:アンケで判明 学生7割「不当扱い経験」 (毎日, 11/25)
「バイトで不当な扱い経験」学生の67% シフトなどで (朝日, 11/26)
》 時論公論 「宇宙開発はどこへ向かう?」 (NHK 解説委員室, 11/25)。宇宙基本計画。
こうして見ますと、まず安全保障、次に産業に役立つことが宇宙開発の目的であり、すぐに経済的利益につながらない基礎科学などは二の次であるようにも読めますが、それでいいのでしょうか?
》 マルウェアの次の狙いはパスワードマネージャー、IBMの考える解決策とは (gigazine, 11/26)
》 Craigslist back up and running after DNS hijack (Sophos, 11/25)、 Craigslist DNS hijacked, redirected at infamous “prank” site for hours [Updated] (ars technica, 11/24)
》 ソニー・ピクチャーズがハッキングを受けて全システムがダウン、さらに脅迫も (gigazine, 11/26)
》 “未熟なDNS”をDDoSで拷問、「DNS水責め攻撃」が原因らしき実害が日本でも (Internet Watch, 11/25)
》 安倍首相が「保守速報」の記事をシェア 批判を受け削除 (ねとらぼ, 11/25)
》 Internet Week 2014パネルで話しそびれたネタ: 統計情報でみるSSL/TLS (自堕落な技術者の日記, 11/22)
Self-Protection for Antivirus Software (av-test.org, 2014.11.25) の紹介記事。コンシューマ / エンタープライズ向けアンチウイルス製品における ASLR、DEP への対応状況を調査。トレンドマイクロ製品の対応率の低さは気になる (エンタープライズ向けは特に)。
Flash Player 更新。任意のコードの実行を招くセキュリティ欠陥 CVE-2014-8439 へのさらなる対応。実は APSB14-22 で既に緩和処理がされていたそうで。 今回、AIR は更新されていない。
Priority rating は Linux 版が 3、他は 2。Priority rating が 1 となるような部分は APSB14-22 で既に直っていたということか?
| プラットホーム | バージョン |
|---|---|
| Windows (ActiveX) | 15.0.0.239 |
| Windows (NPAPI プラグイン) | 15.0.0.239 |
| Mac | 15.0.0.239 |
| Linux | 11.2.202.424 |
| Google Chrome | 15.0.0.239 (Windows)、15.0.0.242 (Mac) |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 15.0.0.239 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 15.0.0.239 |
Windows / Mac 用には継続サポート版 13.0.0.258 も用意されている。
APSB14-24: Security updates available for Adobe Flash Player (2014.11.12)
CVE-2014-8440 を狙う exploit が登場しているそうです。
CVE-2014-8440 (Flash up to 15.0.0.189) and Exploit Kits (Malware don't need Coffee, 2014.11.24)
修正されたばかりの脆弱性狙う攻撃、パッチ未適用の方は今すぐ適用を (so-net セキュリティ通信, 2014.11.26)
高度なマルウェア「Regin」利用したEUのネットワーク攻撃、米英政府機関が関与か (2014.11.25)
関連:
諜報ツールキットRegin (エフセキュアブログ, 2014.11.24)
Regin: Sophisticated Malware, But Not Without Precedent (trendmicro blog, 2014.11.25)
Regin: Nation-state ownage of GSM networks (Kaspersky, 2014.11.24)
APSB14-22: Security updates available for Adobe Flash Player (2014.10.15)
APSB14-22 が 2014.11.25 付で改訂された。任意のコードの実行を招く欠陥 CVE-2014-8439 への緩和処置がされていたことが明らかにされた。 CVE-2014-8439 に対しては、APSB14-26 でさらなる対応が行われた。
関連: Out-of-Band Flash Player Update for CVE-2014-8439 (F-Secure blog, 2014.11.25)。この欠陥を Adobe に通報したのは ESET、F-Secure、kafeine 氏なのだが、 kafeine 氏は Angler exploit kit の調査をしているときに発見したのだそうで。
Kafeine reported Angler exploiting this vulnerability already in October 21st 2014, soon followed by Astrum and Nuclear exploit kits. Considering the exploit kit authors reverse engineered October’s Flash update in two days, installing the update immediately is paramount, whether you do it manually or automatically.
Angler exploit kit の作者は、Flash Player 新版が出てからたった 2 日でリバースエンジニアリングして、未公開の脆弱性に対する exploit をつくってしまったと。
》 Google、ChromeでのNPAPIサポート完全打ち切りまでの日程公表 来年1月には全プラグインをブロックへ (ITmedia, 11/25)。
》 監視カメラの傍受・中継サイトに注意、初期設定パスワードは必ず変更を (ITmedia, 11/25)
》 日本で開発した「エボラ特効薬」にパクリ疑惑 中国で同成分の薬を製造とWHOが指摘 (J-CAST / Yahoo, 11/21)。富山化学工業の抗ウイルス薬 T-705 (ファビピラビル、商品名アビガン)、さっそく中国にパクられた模様。元ねたは FACTA のようで。
》 美濃加茂市長事件、「検察の迷走」を象徴する実質審理の幕切れ (郷原信郎が斬る, 11/25)。そりゃあ笑うわなあ。
関連:
美濃加茂市長事件 「議会で設備設置提案」 実際は特定せず質問 (日本報道検証機構, 11/25)
美濃加茂市長事件 同席者「見ても聞いてもいない」 報道を否定 (日本報道検証機構, 11/24)
美濃加茂市長事件 「賄賂と同額の口座記録が決め手」は誤報 (日本報道検証機構, 11/23)
》 GenelifeとMYCODEの遺伝子検査結果を比較してわかったこと (遺伝子と三角, 8/31)。格安検査、こんなに違う結果になる (ことがある) んですね。
》 『殉愛』訴訟で「委員会」が特集中止!大阪のテレビ局関係者に責任波及 (リテラ, 11/24)
だが、この問題では、百田センセイ以上に動揺している人たちがいる。それは、たかじん利権に群がってきた関西のテレビ局関係者だ。 (中略) 実は、テレビ局員や制作会社幹部たちはさくら夫人や百田に利用された被害者ではなく、彼らこそが一連の騒動の首謀者だという見方がある。
これに対し、数々のスクープをものにしている西岡研介氏が「ええ線いってる……」と指摘。 続報が待たれる。
》 Internet Week 2014パネルで話しそびれたネタ2: イントラ内でSSLサーバー設定を確認するツールsslaudit (自堕落な技術者の日記, 11/23)
米国防長官が辞任、安全保障政策めぐる対立が背景との見方 (ロイター, 11/25)
ヘーゲル米国防長官が辞任、戦略めぐり政権幹部とあつれき (ブルームバーグ, 11/25)
ヘーゲル更迭でシリア政策の今後は? (ワールド&インテリジェンス, 11/25)。「どうなるかはまだわかりません」
Asterisk 1.8.28-cert3, 1.8.32.1, 11.6-cert8, 11.14.1, 12.7.1, 13.0.1 Now Available (Security Release) (Asterisk, 2014.11.21)。AST-2014-012 〜 AST-2014-018 を修正。
Docker 1.3.2 - Security Advisory [24 Nov 2014] (bugtraq, 2014.11.24)。Docker 1.3.2 で 2 つのセキュリティ欠陥を修正。 CVE-2014-6407 CVE-2014-6408
Wireshark 1.12.2 Release Notes (Wireshark, 2014.11.12)、Wireshark 1.10.11 Release Notes (Wireshark, 2014.11.12)。4 つのセキュリティ欠陥を修正。
米英はやりたい放題なのか。
Regin: Top-tier espionage tool enables stealthy surveillance (Symantec, 2014.11.23)。少なくとも 2008 年から活動。 発見された国はロシア 28% サウジアラビア 24% で、 この 2 国で半数越え。
The Regin Espionage Toolkit (F-Secure blog, 2014.11.23)
Secret Malware in European Union Attack Linked to U.S. and British Intelligence (The Intercept, 2014.11.24)
関連:
諜報ツールキットRegin (エフセキュアブログ, 2014.11.24)
Regin: Sophisticated Malware, But Not Without Precedent (trendmicro blog, 2014.11.25)
Regin: Nation-state ownage of GSM networks (Kaspersky, 2014.11.24)
関連:
Regin: 人目に付かずに監視活動が可能な最悪のスパイツール (シマンテック, 2014.11.27)
欧州の電気通信企業への標的型攻撃で使用された不正プログラム「Regin」、その手法を解説 (トレンドマイクロ セキュリティ blog, 2014.11.26)
関連:
過去最大級に高度なAPT攻撃、Regin (Kaspersky, 2014.12.12)
Kaspersky Labによれば、攻撃者は大手通信事業者のGSM基地局制御装置から証明書を盗み出し、そのネットワーク内のGSM携帯電話にアクセスする能力を持っていました。(中略) 「つまり、攻撃者が特定の携帯電話が処理する通話の情報にアクセスし、その通話を他の携帯電話に転送し、近くにある携帯電話を起動し、別の攻撃的活動を起こせたであろう、ということなのです。現時点では、このような活動が可能であったとされている攻撃者は、Reginの背後にいる人々以外にいません」。
対象国の通信インフラを手中にできる能力ですか……。
ホワイトペーパー:W32/ReginおよびW64/Reginのステージ1 (エフセキュアブログ, 2014.12.12)
関連:
Antivirus Companies Should Be More Open About Their Government Malware Discoveries (Bruce Schneier / MIT Technology Review, 2014.12.05)。Regin について、ずいぶん前から検知されていたのに情報がなかなか開示されなかった件。政府グレードのマルウェアについては、不完全な情報であっても開示してほしいと。
Right now, antivirus companies are probably sitting on incomplete stories about a dozen more varieties of government-grade malware. But they shouldn’t. We want, and need, our antivirus companies to tell us everything they can about these threats as soon as they know them, and not wait until the release of a political story makes it impossible for them to remain silent.
》 くらし☆解説 「無国籍者をゼロに」 (NHK 解説委員室, 11/19)
》 ここ数日 2003/XP で Microsoft Update が 0x80248015 な問題 (山市良のえぬなんとかわーるど, 11/21)。 Windows Server 2003 環境において、Microsoft Update 実行時に 0x80248015 エラーが発生する (Japan WSUS Support Team Blog, 11/20) の件。
【2014.12.08 追記】 11/27 付で「修正完了」になってます。
》 不正なコードを隠ぺいする「POWELIKS」、新しい自動起動の手法を追加 (トレンドマイクロ セキュリティ blog, 11/19)、 Poweliks – Command Line Confusion (This is Security, 8/20)。Rundll32.exe を経由して JavaScript を起動する。
》 フィッシング急増の背景、ネットバンク新攻撃手法を分析(トレンドマイクロ) (so-net セキュリティ通信, 11/21)、 2014年第3四半期 日本と海外における脅威動向 (トレンドマイクロ セキュリティ blog, 11/20)
》 アカウントの乗っ取りからFacebookの「タグ付」機能を悪用する不正広告手口が再燃 (トレンドマイクロ セキュリティ blog, 11/20)
》 企業人が見た「2014年10大セキュリティ事件」(マカフィー) (so-net セキュリティ通信, 11/20)
》 MyJVN 脆弱性対策情報フィルタリング収集ツール (略称:mjcheck3) (JVN, 11/20)。Adobe AIR って……。
》 【研究情報】 ELFマルウェアの研究について (0day.jp, 11/19)
》 「私たち、無料です」――肖像権フリーの“フリー素材アイドル”誕生 写真や動画1000点以上 (ITmedia, 11/21)。MIKA☆RIKA。 本公開は 12/25 だそうで。
》 遠隔操作ウイルス事件、片山被告に懲役10年求刑 「まれに見る卑劣で悪質かつ重大な犯罪」 (ITmedia, 11/21)、 2014年11月21日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 11/22)
そして、この問題は日本の中でどのように感じられているのか、多くの人々は何を感じているのか知りたくなりました。
そこでウェブサイトを作り、僕が小学4年生を自演することで面白いと皆さんに受け止められ、より多くの方を巻き込んだ形で、今回の選挙の意義を語り合うことができるのではないかと考えました。
「面白い」……。 もしかして、バーチャルネットアイドル ちゆ12歳みたいなノリを狙っていたんだろうか。そうだとしたら、ちゃんと「バーチャル小学4年生」であることを明記しなくちゃ駄目でしょうに……。 (ちゆ12歳さんは13年目だったのか……)
小学4年生「どうして解散するんですか?」騒動の簡単な流れ (はてな匿名ダイアリー, 11/22)
【速報】自称小学4年生が作った安倍政権批判サイトはTehuとNPO法人「僕らの一歩が日本を変える」が仕掛けたステマだった (netgeek, 11/22)
どうして解散するんですか? をガチの小4が書くとこうなる (高圧洗浄機で北へ進め, 11/22)。漢字のはなし。
「どうして解散するんですか?」を小学校4年生っぽく書く (斗比主閲子の姑日記, 11/23)
関連:
政治に超熱心な意識高い慶大生に会ってきた 【第1回】若者×政治に希望はあるか? (常見 陽平 / 東洋経済, 11/12)
》 50人対象に規模縮小、大阪駅ビル「顔画像追跡」実験の誤算 (日経 IT Pro, 11/21)
この提言の中で、「撮影を回避する手段を設ける」のは、駅ビルのような公共空間での実験を前提とすれば相当にハードルが高いと思われる。(中略) NICTは2014年11月からの実証実験では、関係者以外は入れないエリアに限定して実施することにした。
児童ポルノをリツイートした疑いで書類送検 全国初 (朝日, 11/21)
児童ポルノのリツイート摘発の件をまとめてみた (piyolog, 11/22)
児童ポルノ画像「リツイート」で書類送検 「なぜアウトなのか?」弁護士が解説 (弁護士ドットコム, 11/23)。奥村徹弁護士。
また、来年7月15日以降は、児童ポルノ画像を所持しているだけでも犯罪になりますので、くれぐれも気をつけて下さい
》 秋葉原事件・加藤智大被告、12月18日最高裁「弁論」の意味するものは (篠田博之 / Yahoo, 11/22)
この弁論が行われると、判決が近い、ということなのだ。早ければ年明け1月にも判決が出るかも知れない。しかも判決内容は死刑以外ありえないから、そう遠くない時期に加藤被告の死刑判決が確定するということだ。
》 授業中の「三流大学」発言等で解雇された大学教授の判決 (ム4ネタ, 11/22)。いやはや、すさまじいなあ。こういう人っているんだなあ。
》 【沖縄県知事選挙後】沖縄ルポ⑨止まらない埋め立て 辺野古・那覇空港の第二滑走路・泡瀬干潟 (8bit news, 11/24)
》 組織の外部担当者を狙う「やりとり型」攻撃、国内で再び発生、IPAが注意喚起 (Internet Watch, 11/21)、 攻撃よりも「信用」を優先、国内企業を狙う「やり取り型」が新たに5件 (日経 IT Pro, 11/21)
》 タカタとホンダのリコール問題について考える (Embedded Software Manufactory, 11/23)。 特別リポート:タカタ欠陥エアバッグ、尾を引く「メキシコの誤算」 (ロイター, 11/21) ですか。すさまじいなあ……
ようするに、プロセスアプローチで品質を担保しようとして、同時にコストダウンを断行するともともと品質を心配する意識が低い地域ではルールや責任による品質確保が崩壊するのではないかという仮説だ。(中略) ガチガチのプロセスアプローチを取らなくても、みんなが品質を心配する意識を持っている組織(工場)で、品質を心配する意識に働きかけながらもの作りをすれば、トータルコストは安くなるのではないだろうか。
HP の MADE IN TOKYO みたいな話かなあ。
WordPress 4.0.1 Security Release (2014.11.21)
WordPress 4.0.1 セキュリティリリース (WordPress, 2014.11.21)。日本語版 4.0.1 出ました。
phpMyAdmin 4.0.10.6, 4.1.14.7 and 4.2.12 are released (phpMyAdmin, 2014.11.20)。4 件のセキュリティ修正あり。
PMASA-2014-13 - Multiple XSS vulnerabilities. (phpMyAdmin, 2014.11.20)
PMASA-2014-14 - Local file inclusion vulnerability. (phpMyAdmin, 2014.11.20)
PMASA-2014-15 - XSS vulnerability in error reporting functionality. (phpMyAdmin, 2014.11.20)
PMASA-2014-16 - Leakage of line count of an arbitrary file. (phpMyAdmin, 2014.11.20)
JVNDB-2014-005550: Xen の arch/x86/x86_emulate/x86_emulate.c における権限を取得される脆弱性 (JVN, 2014.11.20)、XSA-110
JVNDB-2014-005549: Xen におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.11.20)、XSA-109
CVE-2014-8767 tcpdump denial of service in verbose mode using malformed OLSR payload (Full Disclosure ML, 2014.11.18)
CVE-2014-8768 tcpdump denial of service in verbose mode using malformed Geonet payload (Full Disclosure ML, 2014.11.18)
CVE-2014-8769 tcpdump unreliable output using malformed AOVD payload (Full Disclosure ML, 2014.11.18)
》 「記者のプライベート暴露できる」 配車のウーバー幹部 (朝日, 11/22)
》 経団連会員企業で起きた過労死・過労自死事件 (NPO法人POSSE(ポッセ) member's blog, 11/14)
》 Windows Server 2003 環境において、Microsoft Update 実行時に 0x80248015 エラーが発生する (Japan WSUS Support Team Blog, 11/20)。「現在恒久対策の確認を弊社にて行わせて頂いておりますが、ご案内までにしばらくお時間を要する見込み」ですか……。直る頃には Server2003 サポート終了、なんてことにもなりかねないなあ。
》 百田尚樹氏、たぶん作家生命終了(筆跡鑑定追加) (togetter, 11/19)。コピペ小説の次は捏造「ノンフィクション」ですか……。 朝日と同じじゃん。 関連:
百田尚樹氏に“売名作詞家”呼ばわり 及川眠子氏が本音語った (日刊ゲンダイ, 11/21)
【新情報追加!】「殉愛」やしきたかじんメモの筆跡が違う!!さくらの字と特徴が一致?疑惑を徹底検証! (NAVER まとめ, 11/20)
百田尚樹さん「売名行為する作詞家というのも実に厄介や」 エヴァ作詞家を批判し波紋が広がる (ねとらぼ, 11/19)
たかじんさん『殉愛』美談に疑問続出 遺言映像、直筆メモ、妻さくらさん結婚歴発覚… (Business Journal, 11/19)
そして法廷で結着をつけることに。
やしきたかじんさんの長女、出版差し止め求め提訴 晩年を百田尚樹氏が描いた「殉愛」 (産経 / Yahoo, 11/21)
パワハラ教授を懲戒解雇するのに 3 年かかりました (その間、うつ病 3 人、退職 2 人)
処分まで3年近く 群大でパワハラ 懲戒解雇 (東京, 11/21)
教授は二〇一二年一月に着任。その直後から一三年八月までの間、助教や講師ら男女の研究者五人に、退職や休日出勤の強要、適正な範囲を超えた叱責(しっせき)、暴言や侮辱をしたとされる。(中略) 五人のうち複数の研究者がうつ状態になって休暇を取り、二人は退職して別の研究機関へ移った。
群馬大、パワハラで教授を懲戒解雇 退職や休日出勤強要 (朝日, 11/20)。 「3人が精神的な病気で休み、2人が退職」
群馬大:パワハラで40代教授を解雇 (毎日, 11/20)
医学部付属病院第二外科、腹腔鏡手術で患者 8 人死亡 (2010〜2014、100 日死亡率 8/92 = 8.7%)
腹腔鏡手術後8人死亡…群大病院、同じ医師執刀 (読売, 11/14)
8人を執刀したのはいずれも同じ医師。同病院ではこれらの手術は事前に院内の倫理審査を受ける必要があるとしているが、担当の外科は申請していなかった。
まっくろか……。
群馬大病院 手術後急速に容体悪化 (読売, 11/15)
群馬大病院、手術成績「おおむね良好」…7人死亡後に学会発表 (読売, 11/17)
[社説]腹腔鏡手術死 群馬大病院は真相究明を急げ (読売, 11/20)
腹腔鏡 死亡数調査へ…肝胆膵外科学会 (読売, 11/21)
医学部付属病院第一外科
群大病院、十二指腸手術後に患者死亡…第一外科 (読売, 11/19)
》 ヤマハの「WLX302」でトラブルを解決、無線LANの見える化が生んだ効果 (WLX302で無線LANのトラブルを解決した事例) (クラウド Watch, 11/21)
》 無料でPC内を監視しているスパイウェアを誰でもすぐ簡単に発見できる「DETEKT」 (gigazine, 11/21)
》 映画「インターステラー」に出てくる数式は理論物理学者キップ・ソーンが監修 (gigazine, 11/21)
》 「ハイスコアガール」問題におけるスク・エニの“罪”――日本のマンガカルチャーにダメージを与えかねない (ハーバー・ビジネス・オンライン, 11/20)
16名というのは多い印象ですし、作家本人が含まれているのには私個人としては驚きました。念のため、公益社団法人日本漫画家協会に確認を取ってみましたが、過去に著作権法違反でマンガ家本人を含んだ形で刑事裁判に至った例は報告されていない、ということでした
作家を巻き込んではいけません。そういうことにならないようにするのが編集の仕事 (の 1 つ) のはずなのに。
》 OCNメールアドレス(OCN ID)のパスワード変更のお願いについて (OCN, 11/11)
パスワードを一定期間変更されていないお客さまにつきましては、セキュリティ向上のため一時的にOCN ID対応サービスへのログインを制限させていただく場合がございますので、定期的なパスワードの変更をお願いいたします。
》 「OS X Yosemite 10.10.1」、Wi-Fi接続の不具合解消されずか (ZDNet, 11/20)
》 音沙汰がなくなった「Google Glass」--不安視されるグーグル製ウェアラブルの未来 (ZDNet, 11/21)。新たな情報はない。
》 APPLE-SA-2014-11-20-1 OS X: Flash Player plug-in blocked (Apple, 11/20)。Flash Player 15.0.0.223 / 13.0.0.252 (最新版) より前についてはブロックするようになった。
》 主要メーカー6社のサイクロン式掃除機をガチ比較 前編 〜吸引力ダントツだったのはやっぱりあのメーカーだった (家電 Watch, 11/21)。これが一目瞭然という奴か。
Drupal 6.x, 7.x に 2 つの欠陥。セッションハイジャックが可能 (6.x, 7.x 両方)、DoS 攻撃が可能 (こちらは Drupal 7.x のみ)
Drupal core 6.34、Drupal core 7.34 で修正されている。
XOOPS 2.5.7 Final には Blind SQL Injection する欠陥 (CVE-2014-8999) の修正が入っていたのだそうで。XOOPS 2.5.6 以前の方は 2.5.7 Final にアップデートしませう。
WordPress 4.0.1 英語版公開。 投稿者 (contributor) や作成者 (author) がサイトを改変できる XSS 欠陥、 ユーザを騙してパスワードを変更させることが可能な CSRF 欠陥など 8 件のセキュリティ欠陥を修正。 日本語版はまだ出てないみたい。
あわせて WordPress 3.9.3, 3.8.5, 3.7.5 も公開されている模様。 WordPress 3.9.2 以前には匿名ユーザーがサイトを改変できる XSS 欠陥があり、これを修正したそうです。 (平山さんご指摘ありがとうございます)
WordPress 4.0.1 セキュリティリリース (WordPress, 2014.11.21)。日本語版 4.0.1 出ました。
》 ロシアで目撃された謎の怪光 その正体に迫る(が迫れなかった件) (小泉 悠 / Yahoo, 11/21)
》 Tカードが個人情報を提供する企業を通知してくれる「Tカード個人情報提供先新着bot」 (gigazine, 11/20)
》 中国政府がiOSをハック―Appleは外部のセキュリティー専門家と協力すべきだ (techcrunch, 11/20)
》 Malware’s new target: your password manager’s password (ars technica, 11/19)。まぁそうなりますよね……。
》 プロキシサーバー業社一斉摘発の件つづき (前ねた: 11/19)
サイバー犯罪温床「中華プロキシ」一掃へ、当局本腰 課題も山積 (ITmedia, 11/20)
警察当局は、今回の一斉摘発でサイバー犯罪の低減を見込むが、「効果は一時的」との見方が大勢だ。サーバー事業はコンピューターとネット回線さえあれば可能で、「法整備などの対策を取らなければ、復活するのは必至」(捜査関係者)だからだ。
うーん……。「法整備」すればなくなるようなものなのか?
警視庁 (SUN テクノ、大光)
中継サーバー業者、一斉摘発=中国向け、違法送金で悪用か—20都道府県警 (ウォール・ストリート・ジャーナル日本版, 11/19)
逮捕容疑は5〜8月、不正入手した大手プロバイダーの他人名義のIDやパスワードをプロキシサーバーに保管。これらのIDなどを使って日本のインターネットに接続、不正アクセスした疑い。
摘発業者に1500人分他人ID 不正アクセスに悪用か (京都新聞, 11/20)。「少なくとも1500人分の他人名義のIDやパスワードが見つかっていた」
IDなど1500人分取得、摘発のサーバー2社 中国人に売る (日経, 11/20)
計約1500人分のIDやパスワードを不正に取得し、中国人の顧客に売っていたことが19日、同庁の調べで分かった (中略) 1件あたり1700~5千円程度で販売 (中略) 顧客は両社のプロキシサーバーを通じ、不正取得したIDやパスワードで日本の接続業者にアクセス
無線ルーターからID流出…中国向けサーバー (読売, 11/20)
警視庁幹部によると、2社は大手プロバイダー(ネット接続業者)のサーバーに接続するため、約1500人分の他人名義のIDやパスワードを保有。同庁がIDなどの名義人に照会したところ、その大半がパソコン周辺機器メーカー大手「ロジテック」(東京)製の無線ルーターの利用者だったことがわかったという。
うわーロジテックねたかー
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2) に関するお詫びとお願い (ロジテック, 2012.05.16)
【重要】ロジテック製ルータの一部機種におけるセキュリティ不具合に関するお知らせ (OCN, 2012.05.16)
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関するお詫びとお願い (ロジテック, 2013.08.20)
OCN認証ID・パスワードの不正利用防止に向けた セキュリティ上の脆弱性があるブロードバンドルータの 利用調査および対策の実施について (NTT.com, 2013.08.20)
日経 IT Pro の記事にロジテックのコメントが: 不正プロキシ事件、ロジテック製品ユーザーのアカウントが悪用される (日経 IT Pro, 11/20)
ロジテックの親会社であるエレコムの広報担当者は、「警視庁からユーザーのアカウントが悪用されたと指摘を受け、捜査協力を行っている。アカウント情報が流出した原因は、恐らく無線LANルーターの脆弱性と思われる」
代理サーバー:アメーバに不正侵入か 摘発会社中継で (毎日, 11/20)
京都府警
他人IDを5億件保管 不正アクセス容疑で会社役員逮捕・京都 (京都新聞, 11/19)。「逮捕容疑は、昨年4月~今年6月、日本人3人分のIDやパスワードを中国国内の人物から取得した疑い」
プロキシ業者が一斉捜索を受けた件をまとめてみた (piyolog, 11/19)
》 政府情報機関の監視に対抗 アムネスティがソフト開発 (共同, 11/20)、Detekt: New tool against government surveillance – Questions and Answers (Amnesty, 11/20)。Detekt。
》 中国:香港の抗議支持で国家転覆容疑に (アムネスティ, 11/20)。王黙氏。
》 安倍首相生出演!NEWS23への反響 (togetter, 11/19)。マジギレか。
》 行政機関法にはグレーゾーンがないですって?(パーソナルデータ保護法制の行方 その11) (高木浩光@自宅の日記, 11/12)
》 Tカード個人情報提供先新着botを作りました (くりにっき, 11/19)
》 楽天市場、銀行決済の振込先を「楽天銀行」に一本化 「日本の商習慣ではありえない」と撤退表明の店舗も (ITmedia, 11/19)、サウンドハウス楽天支店中止のお知らせ (サウンドハウス, 11/19)。楽天の覇道につきあう必要はない。
》 小渕氏政治資金疑惑:週刊誌の特報を明記した新聞、しなかった新聞 (楊井 人文 / Yahoo, 10/23)。しなかったのは、読売。
》 日中首脳会談「12年12月以来3年ぶり」は誤り (日本報道検証機構, 11/16)
》 くらし☆解説 「いま知っておきたい スギ花粉症対策」 (NHK 解説委員室, 11/18)。舌下免疫療法の件など。
産科医療 9県で厳しい態勢続く見込み (NHK「かぶん」ブログ, 10/19)。「6つの項目すべてで全国平均を下回ったのは、福島県、千葉県、岐阜県、和歌山県、広島県、山口県、香川県、熊本県、大分県の9つ」
"ハイリスク出産" 医師の負担に地域差 (NHK「かぶん」ブログ, 11/12)。 周産期母子医療センターでの実績。医師が足りてない。
地方の産科医 10年後に大幅減 (NHK「かぶん」ブログ, 11/13)。全体では増えるのに、地方での減少が深刻な模様。
高浜原発 1, 2 号機 (40 年越え)
高浜原発1・2号機 特別点検を検討 (NHK「かぶん」ブログ, 11/13)。やめてくれ……
福島第 1 原発
福島第1原発:2号機建屋と海側トレンチの止水に失敗 (毎日, 11/17)、 トレンチの汚染水 依然流入続くか (NHK, 11/17)
福島原発4号機 使用済み燃料取り出し終了 (NHK「かぶん」ブログ, 11/5)
建屋カバー取り外し 放射線量など変化なし (NHK「かぶん」ブログ, 11/10)
川内原発 1, 2 号機
川内原発再稼働 鹿児島県知事が同意 (NHK「かぶん」ブログ, 11/7)
川内原発再稼働 どこまで同意が必要か (NHK「かぶん」ブログ, 11/7)。『「川内原発から30キロ圏内に入るすべての自治体」と答えた人が38%と最も多く』。そりゃそうだろう。
川内原発再稼働 世論調査の賛否は (NHK「かぶん」ブログ, 11/7)、 原発の再稼働 若い世代に賛成多い傾向 (NHK「かぶん」ブログ, 11/8)
川内原発再稼働同意で避難計画充実の支援要望 (NHK「かぶん」ブログ, 11/8)。ロクにできてなくても再稼働 GO GO ですか。
再稼働許可 1400人取り消し求め申し立て (NHK「かぶん」ブログ, 11/12)
川内原発再稼働で“ドミノ倒し”は起こるのか 九州電力に求められる「脱・お墨付き文化」 (ダイヤモンド・オンライン, 11/13)
特集・川内原発再稼働に鹿児島県が同意 (NHK「かぶん」ブログ, 11/16)
川内原発再稼働について (内田樹の研究室, 11/15)
》 シリア反政府軍兵士のトルコでの訓練 (中東の窓, 11/16)。ただしクルド人の民主統一党 (PYD) は別途イラクで米軍が訓練だそうで。
》 フェリス女学院大で公開シンポジウム=日本社会心理学会と日本脱カルト協会が共催、テーマは“カルト問題とマインドコントロール論再考” (やや日刊カルト新聞, 11/18)。2014.11.22、神奈川県横浜市、無料。
「今日の世界が直面する脅威は西側が自ら作り出した」 ウクライナ危機後のプーチン演説 プーチン大統領が描く21世紀の世界(前篇) (Wedge, 11/10)
「ウクライナは最後ではない」 プーチン演説に透けるロシアの危機感 プーチン大統領が描く21世紀の世界(後篇) (Wedge, 11/12)
》 やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ (techcrunch, 11/19)、 Let's Encrypt: Delivering SSL/TLS Everywhere (Let's Encrypt, 11/18)、 Let's Encrypt: TLS による暗号化をどこでも無料かつ容易に使えるようにするために (Mozilla Japan ブログ, 11/19)
》 Twitterの過去から現在までに投稿された全ての公開ツイートが検索可能に (gigazine, 11/19)
》 「Darkhotel」マルウェア vs. FFR yarai (FFRI, 11/19)
》 Monthly Research 「OS X のマルウェアとセキュリティ」 (FFRI, 11/12)
》 コミュニティサイトに起因する犯罪被害の調査結果を公表(警察庁) (so-net セキュリティ通信, 11/18)
》 2014年Q3のデータ漏えい件数は1億8300万件、日本セーフネット (日経 IT Pro, 11/19)
》 「パスポート顔写真の加工は誤認招く」、出国・帰国審査“顔パス”実験で (日経 IT Pro, 11/18)
ただし、パスポート作成時の顔写真でメガネのフレームに目が重なっていたり、見栄えを良くするために加工したりしている写真を使っていると、誤拒否率が高まる傾向も明らかになった。こうした写真は、国際的な規約で「パスポート用写真としては不適切」とされているが、パスポート発行の現場で徹底されておらず、誤拒否の原因となった。
「パスポート発行の現場で徹底されておらず」ですか。うーむ。
》 実名の活動は低質を隠す (楽しくないブログ, 11/18)。はあちゅう氏の件。
》 大阪地検:冤罪で受刑者を釈放…被害者証言翻す (毎日, 11/19)。また大阪か。2 人で強姦・強制わいせつ事件をでっち上げて当該男性をハメた、ってことだよなあ。
捜査段階から一貫して否認していたが、11年に懲役12年の実刑判決が確定し、服役した。今年9月、大阪地裁に再審請求した。
有罪の決め手となったのは、被害を訴えて告訴した女性、事件を目撃したとする人物の供述とされる。しかし、再審請求後に地検が女性ら2人に事情を聴いたところ、捜査・公判段階の供述を翻し、実際は被害を受けておらず、目撃もしていないと説明したという。この新供述を裏付ける客観的な証拠も地検は確認したとしている。
ケーサツ、ケンサツ、サイバンカンいずれも無能でした、と。これがリアルですから。
》 死にゆくウェブ、犯人はアプリ-便利さの裏で消える開放性 (ウォール・ストリート・ジャーナル日本版, 11/18)
》 Linuxマルウェアという「死角」をなくせ--グーグル傘下VirusTotalの取り組み (ZDNet, 11/19)
》 [jp] 在来線普通車両電源コンセント(JR東日本広報ご担当者からの回答)! (Petite Adventure Films Blog, 11/19)。「お客さまが使用することは想定していません」
プロキシサーバー悪用容疑で一斉捜索へ 犯罪インフラ壊滅狙い、警視庁など17都府県警 (産経 / ITmedia, 11/19)
捜査関係者によると、強制捜査の対象となるのは、日本国内で中国人の業者などが運営するサーバー。
中継サーバー業者を捜索 警視庁など、不正アクセスの疑いで (日経, 11/19)
プロキシサーバーを巡っては、警視庁などが2〜4月、管理業者「中都商事」(東京・豊島)社長の中国籍の男らを不正アクセス禁止法違反や著作権法違反の疑いで逮捕。
この件:
中国籍の男2人を不正アクセス容疑で逮捕 警視庁と埼玉県警 (産経, 2/13)
違法コピーの基本ソフト使う 中継サーバー業者再逮捕 (産経, 4/23)
同課によると、●容疑者は「今は沈黙します」と供述。過去に複数の名義の真正パスポートで日本に入国しており、同課は実名が確認できないとしている。
プロキシサーバー管理業者を一斉摘発 (NHK, 11/19)
関連: 不正アクセス:兄弟不起訴処分 容疑不十分 /埼玉 (毎日, 1/7)
Chrome 39 が stable に。42 件のセキュリティ欠陥を修正。
2014 年 10 月のマイクロソフト セキュリティ情報の概要 (2014.10.15)
MS14-063: 徹底解析「CVE-2014-4115」:不正なUSBドライブが感染経路か。PC全体が制御される恐れ (トレンドマイクロ セキュリティ blog, 2014.11.04)
[JS14003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (2014.11.13)
関連:
ゼロデイ攻撃に利用された一太郎の脆弱性とシェルコードの詳細分析 (トレンドマイクロ セキュリティ blog, 2014.11.17)
一太郎のゼロデイ脆弱性(CVE-2014-7247) vs. FFR yarai (FFIR, 2014.11.18)
2014 年 11 月のマイクロソフト セキュリティ情報の概要 (2014.11.12)
MS14-064: 徹底検証:深刻な脆弱性「CVE-2014-6332」、簡単に利用される恐れ (トレンドマイクロ セキュリティ blog, 2014.11.19)
MS14-068: MS14-068 が公開されたので追記。
MS14-066: MS14-066 が改訂された。Windows 2008 R2、Server 2012 用の更新プログラムが改訂されている。
V2.0 (2014/11/18): このセキュリティ情報を更新し、Windows 2008 R2 および Windows Server 2012 を実行するシステムに、更新プログラム 2992611 を再提供したことをお知らせしました。この再提供は、少数のお客様に発生していた最初にリリースに含まれていた新しい TLS 暗号スイートの既知の問題を解決します。 11 月 19 日よりも前に更新プログラム 2992611 をインストールした Windows 2008 R2 および Windows Server 2012 を実行しているお客様は、再提供された更新プログラムを再度適用する必要があります。
あと関連: Triggering MS14-066 (Security in Context: The BeyondTrust Blog, 2014.11.17)
ClamAV 0.98.5 公開。セキュリティ修正を含むそうで:
- Security fix for ClamAV crash when using 'clamscan -a'. This issue was identified by Kurt Siefried of Red Hat.
- Security fix for ClamAV crash when scanning maliciously crafted yoda's crypter files. This issue, as well as several other bugs fixed in this release, were identified by Damien Millescamp of Oppida.
》 ネットでヘイトスピーチを垂れ流し続ける 中年ネトウヨ「ヨーゲン」(57歳)の哀しすぎる正体【後編】 (現代ビジネス, 11/18)。そして、「懲役2年執行猶予4年、罰金100万円」の判決後もこのとおり: 私ヨーゲンを書いた有名ジャーナリスト安田浩一の私怨による中傷記事について [在日朝鮮人問題] (シャーンティー 幽玄佐東のブログ, 11/17)
》 OnionDuke:Torネットワーク経由のAPT攻撃 (エフセキュアブログ, 11/14)。実際にあるんですね、「悪意のあるTorの出口ノード」。
》 エフセキュア、国家による大量監視に関するレポート日本語版を公開 (エフセキュアブログ, 11/13)
》 アップルやグーグルなど、NSA監視活動を抑制する法案可決を要求--米上院に呼びかけ (CNET, 11/18)、 Apple, Google, Facebook press Senate to pass Freedom Act, curbing NSA surveillance (ZDNet, 11/17)
》 中国当局、「iOS」端末を狙うマルウェア「WireLurker」配布の容疑者を逮捕 (CNET, 11/18)、 Wirelurker site in China taken down, suspects arrested (ZDNet, 11/17)
》 「ハイスコアガール」問題、スク・エニは「引用」と主張 交渉態度が悪質? 大阪府警は「無断使用」と判断 (産経 / ITmedia, 11/18)
》 Mageshima Homepage(馬毛島情報サイト)。そういえば馬毛島ってどうなったんだっけ? と思ってぐぐってみたら、こんなサイトがみつかった。
沖縄県知事選、那覇市長選、県議補選、那覇市議補選開票結果 (琉球新報)。10 万票差で圧勝。
沖縄知事選、翁長雄志氏が当選 辺野古埋め立てに反対【UPDATE】 (ハフィントンポスト, 11/16)
翁長氏「外部専門委を検討」 辺野古承認検証へ (琉球新報, 11/18)
辺野古不承認に権限行使 翁長氏明言 (沖縄タイムス, 11/18)
辺野古につくるのって、結局、利権バリバリだからなあ。沖縄につくるにしても、小川和久氏の「ハンセン陸上案」の方がずっとましなわけで。
普天間基地「腹案だった? 幻の移設案」とは (ハフィントンポスト, 1/27)
普天間漂流――軍事的リアリティを踏まえた効果的な交渉の不在 (ハフィントンポスト, 2/2)
》 盲導犬オスカー刺傷事件に衝撃の事実 本当は刺されていなかった? (現代ビジネス / livedoor, 11/18)。よくある皮膚病にすぎなかった模様。
「フォークのようなもので強く刺された」という獣医師の診断を受け、飼い主は警察に被害届を提出した。
(中略)
皮膚病はラブラドール・レトリバーがもっともかかりやすい病気の一つである。ニキビのような小さな腫瘍が毛の下にできて、やがて弾けて出血する。その傷跡は穴が空いたようになり、まるで鋭利な刃物で刺されたようにも見える。
本誌は最初に「フォークで刺された」と診断した、なぎの木どうぶつ病院の内田正紀院長の元を訪れた。すると内田獣医師から、思わぬ答えが返ってきた。
「最初から私は『フォークで刺された』と断定はしていませんよ。皮膚病の可能性も十分あると思っていました。ただオスカーをうちに連れてきた飼い主の友人の話によると、飼い主は『オスカーが耳を掻くのも分かる』と言うほど、行動を把握しているという。そして、その飼い主が『出血の数日前に皮膚に異常はなかった』と言っていると聞いたので、刺された可能性も否定できないと答えたんです。
私の診断が発端で、これほどの騒ぎになってしまい、戸惑っているのも事実です」
なんじゃそりゃ……。
Google Glass future clouded as some early believers lose faith (Reuters, 11/14)
グーグルグラスにアプリ開発者そっぽ、消費者受け悪く「ニッチ」 (ウォール・ストリート・ジャーナル日本版, 11/17)
米グーグルのネット接続可能なメガネ型端末「グーグルグラス」が一部アプリ開発者の支持を失いつつある。物議を醸しているグラスよりも社会的に受け入れられやすいとの見方から、腕時計型端末のスマートウオッチなどに力を入れる開発者が増えている。 (中略) 開発者は当初、スマートフォンに匹敵する可能性を秘めた新たなテクノロジー基盤としてグラスに強い関心を示していた。しかし、消費者に受けいれられていないと分かると開発から手を引き始めたという。
デベロッパーが離れ、Google Glassは第2のセグウェイになりつつある (techcrunch, 11/17)
私の予言は、Glassがこの時代のSegwayになることだった。大変革をもたらすと喧伝されながら、倉庫で働く人とショッピングモールを巡回する警察官しか使わかった乗り物だ。(中略)
工業アプリケーション ― 建築、製造、セキュリティー、教育 ― はGlassの将来になり得る。事実Taco BellとKFCは、従業員教育の一手段としてGlassの利用を考えている。そして、このプログラムに参加したデベロッパー5社は、いずれもエンタープライズ分野にいる。
米空軍、グーグルグラスの戦場使用を検討 (ウォール・ストリート・ジャーナル日本版, 5/15)
スマートウオッチがグーグル・グラスの見通しに影 (ウォール・ストリート・ジャーナル日本版, 7/10)
「Google Glass」向け開発者の意欲しぼむ、アプリ開発の中止が続々 (日経 IT Pro, 11/17)
Google Glass、ニッチツールで終るのか?
Changelog (github)。 Docker 1.3.1 で CVE-2014-5277 を修正。
JVNDB-2014-005464: libcurl の curl_easy_duphandle 関数における重要なメモリ情報を読まれる脆弱性 (JVN, 2014.11.18)。libcurl 7.39.0 で修正されている。CVE-2014-3707
libcurl duphandle read out of bounds (cURL, 2014.11.05)
CVE-2014-8090: REXML における XML 展開に伴う新たなサービス不能攻撃について (Ruby, 2014.11.13)。Ruby 2.1.5、2.0.0 patchlevel 598、1.9.3 patchlevel 551 で修正されている。CVE-2014-8090
JVNDB-2014-005465: Ruby の pack.c のエンコード関数におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.11.18)。Ruby 2.1.3 で修正されている。CVE-2014-4975。
Bug #10019: segmentation fault/buffer overrun in pack.c (encodes) (Ruby)。 Ruby 2.0 / 1.9 系にも同様の欠陥があるそうだが、まだ直ってないみたい。
Bug 1118158 - (CVE-2014-4975) CVE-2014-4975 ruby: off-by-one stack-based buffer overflow in the encodes() function (Red Hat)。RHEL 5/6 同梱の Ruby 1.8 系にはこの欠陥はないそうで。
JVNDB-2014-005479: ldns の ldns-keygen ツールにおけるプライベートキーを取得される脆弱性 (JVN, 2014.11.18)。素直に fopen() しちゃってるので。 CVE-2014-3209
GIT 上では修正されている: bugfix#573 ldns-keygen write private mode 0600。 今月中か来月初頭に新版が出るそうなので、そこでは直っているはず。
Apple TV 7.0.2 公開。4 件のセキュリティ欠陥を修正。CVE-2014-4452 CVE-2014-4462 CVE-2014-4455 CVE-2014-4461
iOS 8.1.1 公開。9 件のセキュリティ欠陥を修正。CVE-2014-4460 CVE-2014-4455 CVE-2014-4461 CVE-2014-4451 CVE-2014-4463 CVE-2014-4457 CVE-2014-4453 CVE-2014-4452 CVE-2014-4462
OS X Yosemite 10.10.1 公開。4 件のセキュリティ欠陥を修正。
プライベートブラウジングを終了するときに、キャッシュデータが完全に消されない CVE-2014-4460
Spotlight Suggestions サーバーと Spotlight / Safari との間の通信に不要な情報が含まれる CVE-2014-4453。これは、OS X YosemiteのSpotlightがAppleやMicrosoftにデータを送信しているのがよく分かる動画と、それを止めるシステム環境設定とSafariの設定。 (Apple ちゃんねる, 2014.10.23) の件なんじゃないかな。
システムのモデルを特定するために About This Mac が Apple に対して行う通信に、不要な情報が含まれる CVE-2014-4458
WebKit に use after free する欠陥があり、攻略 Web サイトを閲覧すると任意のコードが実行される CVE-2014-4459
》 スクエニ社員と漫画作者ら16人書類送検 他社のゲームキャラ無断使用で (産経, 11/17)。ハイスコアガールの件。作者まで……。
》 BackblazeがHDD故障の予測に使う5つのSMART情報 (slashdot.jp, 11/16)
》 2014年11月15〜16日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 11/17)。AVTokyo など。出版屋の「復活するかも」くらいアテにならないものはないであろ。
》 AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた (葉っぱ日記, 11/17)
》 セキュリティフライデー、Windowsネット可視化ツール新版「VISUACT3」を発表 (日経 IT Pro, 11/17)
》 ネットでヘイトスピーチを垂れ流し続ける 中年ネトウヨ「ヨーゲン」(57歳)の哀しすぎる正体【前編】 (現代ビジネス, 11/17)。関連: 人気ネット右翼が詐欺容疑で逮捕 (NAVER まとめ, 7/5)
》 「日本におけるインターネット資源管理の歴史〜ドメイン名とIPアドレスを中心とした日本のインターネットの歩み〜」公開のお知らせ (JPRS, 11/17)
》 攻撃検知でITインフラを自動制御、トレンドマイクロがSDN連携技術を発表 (日経 IT Pro, 11/13)、標的型攻撃を検知してSDNで自動制御、NECが来春販売 (日経 IT Pro, 11/18)。こういう機構を逆手に取った攻撃も発生するのだろうなあ。
》 OSSコラム 安らかな夜を迎えるために > 第8回「カーネルパラメーターチューニングノススメ」 (NTT データ先端技術)、 第8回「カーネルパラメーターチューニングノススメ」が掲載されました。 (熊猫さくらのブログ, 11/11)
》 UOS14.11 x86版継続についての議論・将来のFlashサポート・UWN#341 (Ubuntu Weekly Topics, 11/14)。Linux 版 Flash Player の話など。
つまり,Linux版FirefoxにおけるFlashは,「パッケージ管理上問題ない形でインストールするには曲芸が必要で」「しかし最新のFlashコンテンツには対応しておらず」「しかも2017年までしか使えない」という状態にあります。なんらかの方法で代替方法を見つけなくてはいけません。
今使えるのは PPAPI 版 11.2 系だけなので、こうなる↑。
「AdobeがNPAPI版・PPAPI版ともにFlashの再配布を認めてくれたので,Canonicalのpartnerリポジトリから提供できるようになった」「PPAPI版をFirefoxで使えるように頑張っていくのが現状ではよさそう」(中略) AdobeとCanonicalの間で合意を結んで,パッケージング的な問題を解決するという大技が繰り出されています。 (中略) 「PPAPI版がFlashで利用できる」という状態になれば,「必要に応じてPPAPI版Flashをpartnerリポジトリからダウンロードする」というモデルに収束する
ふぅん……。
》 米司法省、航空機を使用した一般市民を対象に携帯電話の通信を傍受する情報収集活動 (business newsline, 11/15)、 空飛ぶ「ニセの携帯基地局」、 米連邦保安局が容疑者捜しに利用(WSJ報道) (Wireless Wire, 11/14)、 Americans’ Cellphones Targeted in Secret U.S. Spy Program (Wall Street Journal, 11/13)、 WSJ: A Secret U.S. Spy Program Is Using Planes to Target Cell Phones (gizmode, 11/14)
》 「忘れられる権利」日本でも (NHK, 11/12)、 グーグルリンク削除仮処分:神田知宏弁護士に聞く「裁判所の誤解が解けた」 (毎日, 11/9)
》 ジャーナリスト常岡氏「イスラム国」関連で逮捕される?集会で「捜査の不当性」訴える (弁護士ドットコム, 11/14)。特定秘密保護法反対集会にて。
》 スウェーデン、外国潜水艦の領海侵犯を確認 (CNN, 11/15)。「潜水艦の国籍までは特定できなかった」
》 「オタク」だから罪を犯すのか?3Dプリンター銃事件を見つめ直した (産経 / Yahoo, 11/16)
》 ダナ・ボイド『つながりっぱなしの日常を生きる: ソーシャルメディアが若者にもたらしたもの』(草思社) (yomoyomoの読書記録, 11/16)
本書は帯にもあるように「デジタルネイティブは幻想だ」と断じている。その意味については本書を読んでいただくとして、この言葉を広めた John Palfrey と Urs Gasser の『Born Digital』は、デジタルネイティブという概念を再生させ、もっと正確なものにすべきと論じた本なのに、メディア(日本では NHK も含まれますね)は今のすべての子供たちがデジタルネイティブである「証拠」として彼らの仕事を引用し続けたという話は、ワタシを含めちゃんと『Born Digital』が読まれてなかったからで、いささか申し訳ない気持ちになった。
Born Digital 読んでないのですが、そうだったのですか……。やっぱりちゃんと読んでおかないと駄目だなあ。
》 NBASE-T Technology (nbaset.org)。Cat 5e / Cat 6 で 2.5G / 5G (100m) 出せる規格をつくるそうで。Ethernet Alliance Technology Exploration Forum 2014 Session 1: Data Center Speeds: Ethernet Alliance Roadmap Intro (ethernetalliance.org) によると、2018 年ごろ予定ということになるのかなあ。
2014 年 11 月のマイクロソフト セキュリティ情報の概要 (2014.11.12)
遅ればせながら詳細を記載。
JVNDB-2014-005441: Libvirt の virDomainGetXMLDesc API における VNC のパスワードを取得される脆弱性 (JVN, 2014.11.14)。read-only ユーザとの組みあわせでマズいことに。CVE-2014-7823
Libvirt Security Notice: LSN-2014-0007 virDomainGetXMLDesc leaks VNC passwords (Libvirt, 2014.11.06) に patch が掲載されている。
JVNDB-2014-005451: GnuTLS の gnutls_ecc.c 内の _gnutls_ecc_ansi_x963_expor 関数におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.11.17)、 GNUTLS-SA-2014-5、CVE-2014-8564。GnuTLS 3.3.10, 3.2.20, 3.1.28 で修正されている。
JVN#89852154: iLogScanner におけるクロスサイトスクリプティングの脆弱性 (JVN, 2014.11.14)。修正済み版が公開されている。
JVN#52422792: Direct Web Remoting (DWR) におけるクロスサイトスクリプティングの脆弱性 (JVN, 2014.11.14)
JVN#91502163: Direct Web Remoting (DWR) における XML 外部実体参照 (XXE) に関する脆弱性 (JVN, 2014.11.14)
DWR 2.0.11、3.0 RC3 で修正されている。
MSA-14-0035: Headers not added to some AJAX scripts (moodle, 2014.11.17) から MSA-14-0049: Possible to print arbitrary message to user by modifying URL (moodle, 2014.11.17) まで。
moodle 2.8, 2.7.3, 2.6.6, 2.5.9 で修正されている。
》 WindowsでJRE(Java SE)をインストール/更新する場合は旧版や64bit版に注意 (@IT, 11/12)
》 米機関で続く深刻なサイバー攻撃、衛星データ受信に障害発生 (ITmedia, 11/14)。米海洋大気局 (National Oceanic and Atmospheric Administratio; NOAA)。
Chinese hack U.S. weather systems, satellite network (Washington Post, 11/12)
Weather satellite data hack and outage: Why this matters for forecasting (Washington Post, 11/12)
Rep. Wolf charges cover up in NOAA hack – Surveillance reform moves forward – ICYMI: McCain considers cyber panel (Politico, 11/13)
》 STAP論文不正の舞台再編…小保方氏所属せず (読売, 11/14)、 多細胞システム形成研究センターの発足について (理研, 11/14)
》 株式会社ベネッセコーポレーションに対する訴訟のお知らせ・情報提供 (まんさくブログ, 11/10)
》 大学は学生を監視してもOK? (ニューズウィーク日本版, 11/13)
学生証が非接触型ICカードになっていれば、学生がいつ、どこの施設を利用したかが記録される。現にマサチューセッツ大学ダートマス校は、ボストンマラソン爆弾テロ事件の犯人の1人が事件後に学内のジムを利用していた事実を学生証の記録から突き止めた。
》 「楽天ID」9000万人分に紐づくビッグデータを活用--楽天マーケティングジャパン事業 (CNET, 11/14)。うわー……
「楽天IDを活用すると、自分たちの商品を買ってくれているお客さんが普段はどこでどんなことをしているのかがわかってくる。たとえば、広告主を保有する顧客のメールアドレスを楽天IDのデータベースと突き合わせると、楽天には9000万のIDがあるので、8割から9割はメールアドレスの保有者が特定できてしまう。すると、広告主の顧客が楽天でどのようなものを購入しているのかというデータを活用でき、それによって顧客のインサイトを理解してどのように顧客を獲得して育てれば良いのかということがわかってくるのではないか」(濱野氏)。
つまり、異なるメールアドレスを使うのが重要ってことですか?
》 アフィブログ「キスログ」「あにこ便」「VIPワイドガイド」「なんじぇいスタジアム」がハッキングされページが改竄される (楽しくないブログ, 11/14)
さらに、上記の流れから結果的に「2ch.sc」に対して被リンクが爆発的に増えたことで、Googleを始めとした各検索サイトが「2ch.sc」の検索結果順位を大幅に引き上げたのである。一方で「2ch.net」はまとめブログが集団で「2ch.sc」を持ち上げ始めたことで被リンクが減少することとなった。今現在においても「2ch.net」のアクセス数は「2ch.sc」を凌駕しているにも関わらず、「2ch.net」と「2ch.sc」が検索結果に混在する理由はこれである。
ぐぐると、なにげに 2ch.sc の方が上位に出る今日このごろなんですよねえ。
》 パフォーマンス モニターの時刻表示ずれについて (Ask CORE, 11/13)。「Windows Server 2008 / Vista 以降」において、パフォーマンス モニターを長時間使うと時刻がズレてくるそうで。
[回避策]
定期的にパフォーマンスモニターを終了/起動していただくようお願いいたします。
》 iPhone 6のNANDフラッシュはMLCかTLCか (PC Watch, 11/13)
任意に選んだ3台のiPhone 6 64GBモデルのサンプルを取ったところ、うち2台はMLCで、1台がTLCであった (中略) MLCのものは東芝製またはHynix製が採用されており、バッファは前者が256MB、後者が512MB。一方TLCのものはSanDisk製で、バッファは存在しなかった
うわー、どれになるかはバクチなのか……。
》 日本版NCFTA、産官学共同の「日本サイバー犯罪対策センター(JC3)」業務開始 (Internet Watch, 11/14)。戦う女子中学生、ではありません。
ラック、日本を守るための産学官協力体制「日本サイバー犯罪対策センター(JC3)」に参画 (LAC, 11/13)
NEC、「日本サイバー犯罪対策センター(JC3)」に参画 (NEC, 11/13)
「日本サイバー犯罪対策センター(JC3)」に参画 (NRIセキュアテクノロジーズ, 11/13)
セコムがサイバー犯罪対策新組織 「日本サイバー犯罪対策センター(JC3)」に参画 (セコム, 11/13)
「日本サイバー犯罪対策センター(JC3)」への参画のお知らせ (デロイト トーマツ リスクサービス, 11/13)
》 マカフィーサポート通信 - 2014/11/13 (マカフィー, 11/13)。McAfee DAT Reputation を今すぐ使いたい場合は、 CommonUpdater3 (http、 ftp) を使うように設定すればよいそうです。 また、CommonUpdater では 2015 1Q 以降に、CommonUpdater2 では 2015 2Q 以降にサポートされる予定だそうです。
》 また1つウソが現実に……? au未来研究所が次世代炊飯器「INFOJAR」開発へ → 虚構新聞社主「あああああああああああああ!」 (ねとらぼ, 11/13)。シャア「若者をいじめないで頂きたい」
》 特徴抽出勉強会 (ATND)。2014.11.24、静岡県静岡市、無料。「機械学習やディープ・ラーニングなどで注目されている特徴抽出について研究・学習する勉強会です」
》 福島原発事故:福島県外進学者に賠償返還、強硬的に求めず エネルギー庁が東電側と確認 (毎日, 11/11)。返還請求を止めたわけではないので注意。
東京電力が、福島第1原発事故の前に福島県外の大学への進学が決まっていた女性(21)に対し「転居で避難は終わった」として「過払い」分の精神的賠償の返還を求めている問題で、経済産業省資源エネルギー庁は「被災地を混乱させる」として、強硬的な手段で返還を求めないことなどを東電側と確認。東電は女性らに通知した。ただし、避難終了の具体的な基準は公表しないとの姿勢は変えず、問題の根本的な解決には程遠い。
》 インターネットサービスプロバイダはメールの暗号化を勝手に解除していることが判明 (gigazine, 11/14)。ISP が STARTTLS を無効化する事例が US とタイで確認されたそうで。
US の事例: Revealed: ISPs Already Violating Net Neutrality To Block Encryption And Make Everyone Less Safe Online (techdirt.com, 10/13)
タイの事例: Google, Yahoo SMTP email severs hit in Thailand (telecomasia.net, 9/12)
》 韓国のユーザを狙ったAndroid端末向け不正アプリを追跡 (トレンドマイクロ セキュリティ blog, 11/14)。海賊版アプリ。
iOS に欠陥。この欠陥を利用すると、App Store など本来の場所からインストールしたアプリと同じ bundle identifier を持つニセアプリを、本来とは異なる場所からインストールさせて置き換えることが可能。 JVN には「影響を受けるシステム: Apple iOS 7.1.1、7.1.2、8.0、8.1、8.1.1 beta」と書かれているが、これは欠陥発見者の FireEye が確認したバージョンに過ぎない。それ以前のものにも存在した可能性がある。
Masque Attack: All Your iOS Apps Belong to Us (FireEye, 2014.11.10)。デモビデオが掲載されている。 FireEye は 2014.07.26 に Apple に通知済だというが、3 か月以上経過してもまだ直ってない。
Alert (TA14-317A) Apple iOS "Masque Attack" Technique (US-CERT, 2014.11.13)
正規のiOSアプリをマルウエアに変える攻撃手口「Masque Attack」 (日経 IT Pro, 2014.11.14)
この攻撃は Mobile Safari など iOS 標準のプリインストールアプリには効かないそうだ。
対抗手段:
3rd パーティーサイトからアプリをインストールしない。 アプリは Apple 公式の App Store や自組織のサイトといった、本来の場所からのみインストールする。
3rd パーティーの web サイトで「インストールしますか?」というダイアログが出てもインストールしない。
アプリ起動時に「信頼できない開発者 (Untrusted App Developer)」という警告画面が表示された場合には、「信頼しない (Don't Trust)」を選択し、アンインストールする。
[JS14003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (2014.11.13)
一太郎の脆弱性 CVE-2014-7247の関連情報をまとめてみた。 (piyolog, 2014.11.13)
》 ネット通信を匿名化する「Tor」とFirefoxの開発元「Mozilla」が提携 (gigazine, 11/13)
》 SecurityDay2014開催のご案内 (JPCERT/CC)。 2014.12.17、東京都千代田区、無料。
》 フィッシング対策セミナー 2014 開催のご案内 (フィッシング対策協議会, 11/6)。2014.12.16、東京都港区、無料。
》 コミュニティサイトに起因する児童被害の事犯に係る調査結果について(平成26年上半期) (警察庁, 11/13)
》 三省堂国語辞典が性愛関係の説明見直し 不必要な「男女」の語を外す (石壁に百合の花咲く, 11/13)。おぉ。他の辞典も追随してください。
》 特集ワイド:バターがない! 五つの理由 (毎日, 11/13)。今年の 5 月くらいから不足している模様。
「問題の根は深い。北海道では毎年200戸の酪農家が消えている。しかも若い人、経営力のある人からやめていく」と指摘するのは、北海道新得町で乳牛600頭を飼育する有限会社「友夢(ゆうむ)牧場」社長、湯浅佳春さんだ。このままでは離農は止まらず、生乳生産量は減少し続ける恐れがあるという。
離農の原因は高齢化や後継者不足などさまざま。しかし「最大の原因は経営が大変だから。円安で餌が昨年、今年と1割ずつ値上がりしている。ところが乳価(生乳販売価格)はほとんど上がらない。せめて乳価をもっと上げてくれないと、酪農家は頑張る意味を見いだせなくなっている」。
(中略)
内外の酪農政策に詳しい鈴木宣弘・東大教授は「日本は生産者団体に比べ、買い手側の交渉力が強く、乳価がなかなか上がらない。最近は大手スーパーや量販店が価格決定の主導権を握り、牛乳を安売りの目玉商品とするため、値崩れしやすいことが背景にある」と指摘する。
ただでさえひどいのに、これに加えて TPP が来ますよ、と。
》 『鈴木書店の成長と衰退』を読んで取次のことを考える (空想書店 書肆紅屋)
『鈴木書店の成長と衰退』を読んで取次のことを考える(上) (空想書店 書肆紅屋, 10/20)
『鈴木書店の成長と衰退』を読んで取次のことを考える(中) (空想書店 書肆紅屋, 10/30)
『鈴木書店の成長と衰退』を読んで取次のことを考える(下の1) (空想書店 書肆紅屋, 11/2)
『鈴木書店の成長と衰退』を読んで取次のことを考える(下の2) (空想書店 書肆紅屋, 11/12)
関連:
出版取次3位・大阪屋の経営再建問題 (田部康喜 公式サイト, 2013.08.16)
“1強”アマゾン対楽天、競争激化で再編機運高まる出版業界〜苦境の出版社・書店の思惑 (Business Journal, 2013.08.17)
アマゾンに負けないための楽天の戦略 日本の出版流通の特性から見えるもの (朝日, 6/23)
出版業界ニュースフラッシュ 2014年10月第2週 (ITmedia, 10/14)。「大阪屋、6社による出資額は総額37億円に」
楽天、大阪屋の筆頭株主に ネットと書店を連動 (日経, 10/16)
楽天が出版取次「大阪屋」に出資する事情 "打倒アマゾン"でしたたかに築く包囲網 (東洋経済オンライン, 11/9)
これまで「2011年4月から同年10月の間に製造したノートパソコンのバッテリーパックの一部」をリコールしていたのだが、
この度、リコール対象範囲外のバッテリーパックにおいても、同様の事故に至る可能性のあることが判明いたしました。
そのため、対象範囲を2011年4月から2013年11月の間に製造したノートパソコンの一部機種およびオプションのバッテリーパックに拡大いたします。
CF-S10、N10、SX1、SX2、SX3、NX1、NX2、NX3、H2 シリーズの一部。確認ページは現在メンテナンス中になっている。
一太郎 2008 〜 2014、ガバメント 2008〜2010、Governmen 6・7、Pro、Pro 2 に 0-day 欠陥。攻略ファイルを開くと任意のコードが実行される。 CVE-2014-7247
更新モジュールが公開されているので適用すればよい。また体験版一太郎については、一旦アンインストールし、最新の体験版をダウンロード・インストールする。
関連:
日本語ワープロソフト 「一太郎」に対するゼロデイ攻撃を確認 (トレンドマイクロ セキュリティ blog, 2014.11.13)
トレンドマイクロでは今回の脆弱性を利用する攻撃ファイルを 11月6日以降 5種類以上確認しています。これらの攻撃ファイルに対するトレンドマイクロの解析によれば、すべてのケースで遠隔操作ツール(Remote Access Tool, RAT)である「EMDIVI」や「PLUGX」の亜種が PC内に侵入することがわかっています。
CloudyOmega 攻撃: 一太郎のゼロデイ脆弱性を悪用して日本を継続的に狙うサイバースパイ攻撃 (シマンテック, 2014.11.13)。トレンドマイクロよりも詳細な解説。 「今回の攻撃は、LadyBoyle の実行グループや HiddenLynx など、他の悪名高い攻撃グループと密接なつながりのある攻撃グループによって実行されています」
2014年11月一太郎シリーズの脆弱性に関する注意喚起 (JPCERT/CC, 2014.11.13)
JVNDB-2014-000131: 一太郎シリーズにおいて任意のコードが実行される脆弱性 (JVN, 2014.11.13)
一太郎の脆弱性 CVE-2014-7247の関連情報をまとめてみた。 (piyolog, 2014.11.13)
関連:
ゼロデイ攻撃に利用された一太郎の脆弱性とシェルコードの詳細分析 (トレンドマイクロ セキュリティ blog, 2014.11.17)
一太郎のゼロデイ脆弱性(CVE-2014-7247) vs. FFR yarai (FFIR, 2014.11.18)
》 吉田調書報道「公正で正確な姿勢欠けた」 報道と人権委 (朝日, 11/12)。第三者機関「報道と人権委員会」の見解まとめ (PDF)。
》 『週刊ダイヤモンド』特別レポート 僕らはなぜ、イスラムの戦地を目指すのか? ──テロリストとは違った過激派の表情 【「宗教」を学ぶ:座談会拡大版 (1)】 (週刊ダイヤモンド, 11/12)
》 シリア、イラク避難民の悲劇 (中東の窓, 11/12)。国連「難民高等弁務官事務所は11日、シリア及びイラクの避難民の数(難民及び国内避難民)の数が1360万人に達したと発表」。増加が止まらない。
》 「イスラム国」問題続くも、殺人規模はアサド軍が桁違い (ワールド&インテリジェンス, 11/7)
時事通信の電子情報誌『e-World』 (中略) 今月号はイスラム国特集で、他にも保坂修司・日本エネルギー経済研究所中東研究センター副センター長インタビュー、池滝和秀・時事通信外信部記者の論考「空爆も友軍不在で戦闘長期化へ-ジハーディストが跋扈するシリアの相関図」、福田毅・国立国会図書館調査員の論考「渋々空爆を決断したオバマ大統領-イラク、シリアのイスラム国掃討を検証する」など、非常に示唆に富んだ記事がいくつもあります。
チュニジア:イスラム国に戦闘員供給 民主化優等生の闇 (毎日, 11/11)。独裁政権が倒れたらサラフィスト(サラフィー主義者)が戻ってきてイスラム国リクルーターとなっている模様。
「わが子が、イスラム国を自称する組織に入ってしまった」…フランスからの報告 (NAVER まとめ, 11/12)
くらし☆解説 「若者がなぜ"イスラム国"へ?」 (NHK 解説委員室, 10/29)
》 キノコの菌根ネットワークに「サイバー犯罪」や「アンチウイルスソフト」が存在 (gigazine, 11/12)
》 八田真行×塚越健司「日本にウィキリークスが必要な理由」(仮) (peatix.com)。2014.12.26、東京都品川区、2600円。
》 「そうりゅう型」潜水艦を日本から輸入する構想 オーストラリアで反発強まる (ハフィントンポスト, 11/11)。工場労働者・経営者や選挙区に工場がある政治家にとっては、そりゃあそうだろう。
》 ロシアで米CNN中止へ 深まる対立象徴 外国メディア規制強化 (東京, 11/12)
ロシアではマスメディアへの外国資本の出資を大幅に制限する改正メディア法が十月に発効。同法では外国テレビ局はロシアの企業と合弁企業を設立したうえで出資比率も大幅に制限される。
》 グルーポンとGNOMEの間に製品名を巡るバトルが勃発 (gigazine, 11/12)
》 MacからiPhone/iPadをも狙う「Wirelurker」、その危険性と行うべき対策は? (トレンドマイクロ セキュリティ blog, 11/10)
》 未来のルンバは人命救助をするかもしれない (栗原潔のIT弁理士日記, 11/11)
》 「もうグ〜レイトじゃない」? ケロッグ虎キャラのLGBT広告にヘイト団体激怒 (石壁に百合の花咲く, 11/12)
保守派のヘイトグループの皆さまはこうしたCMが出るたびボイコットを呼びかけていますが、それが功を奏したという話はひとつも聞いたことがありません。今回もたぶん、無駄に終わるんじゃないかな。
》 第10回IPA「ひろげよう情報モラル・セキュリティコンクール」2014の入選候補作品決定とご意見募集 (IPA, 11/7)
》 「ウイルスがお出迎え」、ホテル宿泊者を狙う「Darkhotel」に気を付けろ (日経 IT Pro, 11/11)、 スパイ活動「Darkhotel」:アジアの高級ホテルを舞台に (Kaspersky, 11/11)
JVNDB-2014-000130: 複数のサイボウズ製品におけるバッファオーバーフローの脆弱性 (JVN, 2014.11.11)
JVNDB-2014-005307: LibreOffice の Impress Remote のソケットマネージャにおけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.11.11)。LibreOffice 4.3.3 / 4.2.7 (2014.10.30) にはセキュリティ修正が含まれていたようで。
Flash Player / AIR 更新。18 件のセキュリティ欠陥 (任意のコードの実行 x 15、セッショントークン漏洩 x 1、権限上昇 x 2) を修正。 CVE-2014-0573 CVE-2014-0574 CVE-2014-0576 CVE-2014-0577 CVE-2014-0581 CVE-2014-0582 CVE-2014-0583 CVE-2014-0584 CVE-2014-0585 CVE-2014-0586 CVE-2014-0588 CVE-2014-0589 CVE-2014-0590 CVE-2014-8437 CVE-2014-8438 CVE-2014-8440 CVE-2014-8441 CVE-2014-8442
Priority rating は、AIR と Linux 版 Flash Player が 3、他は 1。
| プラットホーム | バージョン |
|---|---|
| Windows (ActiveX) | 15.0.0.223 |
| Windows (NPAPI プラグイン) | 15.0.0.223 |
| Mac | 15.0.0.223 |
| Linux | 11.2.202.418 |
| Google Chrome | 15.0.0.223 |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 15.0.0.223 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 15.0.0.223 |
| AIR Desktop Runtime (Windows, Mac) | 15.0.0.356 |
| AIR SDK (Windows, Mac, Android, iOS) | 15.0.0.356 |
| AIR SDK & Compiler (Windows, Mac, Android, iOS) | 15.0.0.356 |
| AIR for Android | 15.0.0.356 |
Windows / Mac 用には継続サポート版 13.0.0.252 も用意されている。
日本語訳: APSB14-24: Adobe Flash Player用のセキュリティアップデート公開 (Adobe, 2014.11.11)
CVE-2014-8440 を狙う exploit が登場しているそうです。
CVE-2014-8440 (Flash up to 15.0.0.189) and Exploit Kits (Malware don't need Coffee, 2014.11.24)
修正されたばかりの脆弱性狙う攻撃、パッチ未適用の方は今すぐ適用を (so-net セキュリティ通信, 2014.11.26)
USB周辺機器が“悪者”に、BlackHatで実証ツール公開予定 (2014.08.01)
関連:
ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」 (日経 IT Pro, 2014.11.10)
記者は「BadUSB」を試してみた、そして凍りついた (日経 IT Pro, 2014.11.12)。公開された情報を使っての再現実験を詳細解説。 すばらしい。
BadUSB Exposure。情報まとめページ。問題デバイスいっぱい。これだけ、というわけでもないのだろうしなあ。
セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開 (2014.10.22)
MS14-064 - 緊急: Windows OLE の脆弱性により、リモートでコードが実行される (3011443) で修正されました。Fix it で回避策を適用していた場合の指針は明記されていないのですが、更新プログラム適用後に回避策を削除しておけばいいのではと思います。
予定どおり……とは行かず、セキュリティ情報 5 (MS14-068) とセキュリティ情報 12 (MS14-075) が「リリース日未定」になってます。(あとで書く) (2014.11.17: 詳細を記載) (2014.11.19: MS14-068 が公開されたので追記)
Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 における OLE オブジェクトの処理に 2 つの欠陥。
Windows OLE オートメーション配列リモート コード実行の脆弱性 CVE-2014-6332 (3006226)。 Exploitability Index: 1
Windows OLE リモート コード実行の脆弱性 CVE-2014-6352 (3010788)。 セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開 の件。Exploitability Index: 0
関連:
Windows OLEの脆弱性によりリモートより任意のコードが実行される脆弱性(MS14-064)(CVE-2014-6332, CVE-2014-6352 )に関する調査レポート ((n), 2014.11.17)
[日本語: Japanese] MS14-064 CVE-2014-6352 Windows OLE Code Execution (bypassing UAC) Metasploit Demo (YouTube, 2014.11.14)
Windows「緊急」の脆弱性、Windows 95から19年間存在していた (ITmedia, 2014.11.13)。CVE-2014-6332 の件。つまり、Windows XP にももちろんあります。
A Killer Combo: Critical Vulnerability and ‘Godmode’ Exploitation on CVE-2014-6332 (trendmicro blog, 2014.11.13)
徹底検証:深刻な脆弱性「CVE-2014-6332」、簡単に利用される恐れ (トレンドマイクロ セキュリティ blog, 2014.11.19)
IE 6〜11 に 17 件の欠陥。
Internet Explorer のメモリ破損の脆弱性 - CVE-2014-4143 CVE-2014-6337 CVE-2014-6341 CVE-2014-6342 CVE-2014-6343 CVE-2014-6344 CVE-2014-6347 CVE-2014-6348 CVE-2014-6351 CVE-2014-6353。 Exploitability Index: 1
Internet Explorer 特権の昇格の脆弱性 - CVE-2014-6349 CVE-2014-6350。 Exploitability Index: 1
関連: Internet Explorer EPM Sandbox Escape CVE-2014-6350 (Project Zero, 2014.12.01)
Internet Explorer クロス ドメインの情報漏えいの脆弱性 - CVE-2014-6340 CVE-2014-6345 CVE-2014-6346。 Exploitability Index: 2
Internet Explorer クリップボードの情報漏えいの脆弱性 - CVE-2014-6323。 Exploitability Index: 1
Internet Explorer ASLR のバイパスの脆弱性 - CVE-2014-6339。 Exploitability Index: 1
関連:
Some HTTPS websites cannot be displayed in Internet Explorer 9 or Internet Explorer 10 (Microsoft KB 3012774)。TLS 1.2 から TLS 1.0 にフォールバックするのに時間がかかる話。IE 修正版 (MS14-065 更新プログラム) で直ってるそうで。
非セキュリティな修正は他にもある。詳細は KB 3003057 を参照。
MS14-065 更新プログラム 3003057 が改訂された。
V2.0 (2014/12/10):マイクロソフトは、セキュリティ更新プログラム 3003057 の問題を解決するために、CVE-2014-6353 に包括的に対処する MS14-065 を再リリースしました。Windows 7 または Windows Server 2008 R2 上で Internet Explorer 8 を実行しているか、Internet Explorer 10 を実行しているお客様は、新しく提供された更新プログラムをインストールするか、12 月の Internet Explorer の累積的な更新プログラム (3008923) をインストールする必要があります。詳細については、サポート技術情報 3003057 を参照してください。
と言われて KB 3003057 を見ても、詳細がさっぱりわからないのだが……。
(link fixed: エクセリアさん感謝)
Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 の Schannel 実装に欠陥。 CVE-2014-6321。 Exploitability Index: 1
更新プログラムには機能追加が含まれる。
この更新プログラムには、このセキュリティ情報の「脆弱性の情報」セクションに記載されている変更の他に、利用可能な TLS 暗号スイートに関する変更が含まれます。この更新プログラムは、顧客情報を保護するためより強力な暗号化を提供する新しいTLS 暗号スイートを含みます。これらの新しい暗号スイートはすべて Galois/カウンター モード (GCM) で動作し、このうち 2 つは、RSA 認証と DHE 鍵交換を使用することで perfect forward secrecy (PFS) を提供します。
(中略)
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
しかし、これが原因で不具合が発生する場合がある模様。その場合は、上記についてのレジストリエントリを削除することで回避できる。詳細は KB 2992611 参照。
関連:
Windows XP/2003にも影響のあるSchannel脆弱性に要注意 (トレンドマイクロ セキュリティ blog, 2014.11.14)
MSの月例パッチ「MS14-066」の適用急いで! 米国機関が強く勧告 (ITmedia, 2014.11.13)。攻撃しやすいみたい。
SChannel Update and Experimental Vulnerability Scanner (MS14-066) (SANS ISC, 2014.11.14)
MS14-066 が改訂された。Windows 2008 R2、Server 2012 用の更新プログラムが改訂されている。
V2.0 (2014/11/18): このセキュリティ情報を更新し、Windows 2008 R2 および Windows Server 2012 を実行するシステムに、更新プログラム 2992611 を再提供したことをお知らせしました。この再提供は、少数のお客様に発生していた最初にリリースに含まれていた新しい TLS 暗号スイートの既知の問題を解決します。 11 月 19 日よりも前に更新プログラム 2992611 をインストールした Windows 2008 R2 および Windows Server 2012 を実行しているお客様は、再提供された更新プログラムを再度適用する必要があります。
あと関連: Triggering MS14-066 (Security in Context: The BeyondTrust Blog, 2014.11.17)
Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。MSXML コアサービス 3.0 に欠陥があり、攻略 Web サイトにアクセスすると任意のコードが実行される。 CVE-2014-4118。 Exploitability Index: 2
Windows Server 2003、Server 2008、Server 2008 R2、Server 2012・Server 2012 R2 に欠陥。Kerberos KDC の実装に欠陥があり、一般のドメインアカウントからドメイン管理者アカウントに昇格できてしまう。CVE-2014-6324。Exploitability Index: 0 (0-day)
マイクロソフトは協調的な脆弱性の公開により、この脆弱性に関する情報を受けました。セキュリティ情報の公開時点で、マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。
最近このパターン多いなあ。修正作業が間にあわずに 0-day を招いてしまう。
Windows クライアント OS にはこの欠陥はないが、多層防御強化の観点から更新プログラムが提供される。
Additional information about CVE-2014-6324 (Microsoft Security Research & Defense Blog, 2014.11.18)
WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する検証レポート ((n), 2014.12.10)
Word 2007 SP3、Word Viewer、Office 互換機能パック SP3 に 3 件の欠陥。
Microsoft Office の二重削除リモート コード実行の脆弱性 - CVE-2014-6333。 Exploitability Index: 2
Microsoft Office の不正なインデックス リモート コード実行の脆弱性 - CVE-2014-6334。 Exploitability Index: 2
Microsoft Office の無効なポインター リモート コード実行の脆弱性 - CVE-2014-6335。 Exploitability Index: 1
Windows Server 2003 の TCP/IP スタックに欠陥。local user による権限上昇が可能。 CVE-2014-4076。 Exploitability Index: 2
Windows Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。Windows オーディオ サービスに権限上昇を許す欠陥があり、他の欠陥と組みあわせることで任意のコードを実行できる。 CVE-2014-6322。 Exploitability Index: 2
.NET Framework 1.1 SP1、2.0 SP2、3.5、3.5.1、4、4.5、4.5.1、4.5.2 に欠陥。 .NET Remoting を動かしている Windows 機に攻略データを送ると、権限上昇が可能。 CVE-2014-4149。 Exploitability Index: 2
SharePoint Foundation 2010 SP2 に欠陥があり、local user による権限上昇が可能。 CVE-2014-4116。 Exploitability Index: 2
Windows Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。RDP 実装に欠陥があり、監査ログオン セキュリティ機能をバイパスできる。CVE-2014-6318。 Exploitability Index: 3
未リリース。
2012.12.10 に出たよ: MS14-075 - 重要: Microsoft Exchange Server の脆弱性により、特権が昇格される (3009712) (Microsoft, 2014.12.10)。
IIS 8.0、8.5 (Windows 8・8.1、Server 2012・Server 2012 R2) に欠陥。
「IP およびドメイン制限」フィルタリング リスト (中略) IIS 管理者がワイルドカード ドメイン制限のルールを作成した場合、拒否されたドメインからの攻撃者が、IIS 管理者が制限されていたと思われる Web サイトにアクセスする可能性があります。
CVE-2014-4078。 Exploitability Index: 3
Active Directory フェデレーション サービス 2.0、2.1 に欠陥。ログオフ処理に欠陥があり、「攻撃者がユーザーがログオフしたアプリケーションを再度開くことでユーザーの情報へアクセスする可能性があ」る。CVE-2014-6331。 Exploitability Index: 3
Windows Server 2003、Vista、Server 2008、7、Server 2008 R2 に欠陥。 日本語 IME に欠陥があり、認証済みユーザーによる権限上昇が可能。 CVE-2014-4077。 Exploitability Index: 0 (0-day!!!!)
Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。カーネル モード ドライバーにおける TrueType フォントの処理に欠陥があり、ネットワーク共有に攻略 TrueType フォントを設置し、Windows エクスプ ローラーで閲覧すると DoS 状態となる。 CVE-2014-6317。 Exploitability Index: 3
関連:
2014 年 11 月のセキュリティ情報 (月例) - MS14-064 〜 MS14-079 (日本のセキュリティチーム, 2014.11.12)
2014 年 11 月のセキュリティ更新プログラムのリスク評価 (日本のセキュリティチーム, 2014.11.12)
今月のマイクロソフト ワンポイント セキュリティ情報 (Microsoft)
》 Firefox の 10 周年を祝って (Mozilla Japan ブログ, 11/11)。Firefox 33.1 リリース。「忘れる」機能、検索エンジン DuckDuckGo に標準対応。
》 ロシアで女性同士が法律婚。保守派、大激怒 (石壁に百合の花咲く, 11/11)
正式な法律婚。片方が女性の自認を持つトランスセクシュアルで、書類の上では男性であるため可能だったのだそうですが、保守派議員は大激怒しています。
保守派のみなさんはスルー力を鍛えましょう。
》 医療費通知の偽装メールについてまとめてみた (piyolog, 11/7)
》 OpenPGP標準のオープンソース実装「GnuPG 2.1」が最新開発版としてリリース (sourceforge.jp, 11/8)
》 脆弱性緩和ツール EMET 5.1 リリースしました (日本のセキュリティチーム, 11/11)
Internet Explorer, Adobe Reader, Adobe Flash そして、Mozilla Firefox に EMET の緩和策を適用時に発生していた互換性の問題の修正
(中略)
特に、Windows 7, Windows 8.1 のInternet Explorer 11 にて EMET 5.0 を利用している場合は、EAF+ の緩和策との互換性の問題が報告されていました。この問題は EMET 5.1 で修正されています
EMET 5、これでようやく安定しますかね?
》 ウクライナ:東部停戦崩壊の危機 親露派、戦車など進攻か (毎日, 11/10)。3.0 はじまった?
》 パスワードを自分の目標にしたら人生が変わった話 (CuRAZY, 11/10)。「パスワードの定期更新」をポジティブに利用する例。
》 横田めぐみさん 1994 年 4 月 10 日死亡説 (東亜日報 11/7)
横田めぐみさん「劇物・薬物の過剰投与で死亡」 韓国紙が報告書入手と報道【北朝鮮・拉致問題】 (ハフィントンポスト, 11/7)
全容入手「横田めぐみさん他殺報告書」の驚くべき内容 (日刊ゲンダイ, 11/11)
横田めぐみさんの過剰投薬死、調査内容を拉致担当相に報告 (東亜日報, 11/11)
》 「プリント配布の手間なし」はUSO (mobakiのblog, 11/2)、 佐賀県の教材ダウンロード障害にみる、教育ICT3つの課題 (日経 IT Pro, 7/15)
》 小・中学生の自殺、原因の1位は「学業不振」 (日経 DUAL, 11/6)
》 日中対話の再開、喜ばないのは中国軍だけ (ウォール・ストリート・ジャーナル日本版, 11/8)。利権の固まりだからなあ。 関連:
日中合意、南シナ海の領有権争い解決策のひな型になるか (ウォール・ストリート・ジャーナル日本版, 11/10)
日中、どちらが譲歩したのか-日中の英語翻訳に微妙な違い (ウォール・ストリート・ジャーナル日本版, 11/10)
》 城繁幸さんの「伝統の終身雇用」話について (山本 一郎 / Yahoo, 11/9)
》 ヤフー、遺伝子情報を広告に利用 慎重な運用求める声も (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」 , 11/7)、 ヤフー、遺伝子情報を広告に利用も 慎重な運用求める声 (朝日, 11/7)
》 トンチンカン答弁連発…塩崎厚労相は派遣法改悪に関心なし (日刊ゲンダイ, 11/5)、 厚労省、派遣法巡る大臣答弁を「訂正」 野党は抗議 (朝日, 11/6)
国会 労働者派遣法巡り与野党攻防続く (NHK, 11/10)
》 派遣法改正は危険 ドイツは「上限撤廃」でワープアが倍増した (日刊ゲンダイ, 11/6)
》 塩谷町「指定廃棄物 福島県内で処理すべき」は正論だ (本間 龍のブログ, 11/7)
想像通り、大熊町の自治会長が反対を表明している。しかし、そこには残念ながらごまかしがある。なぜなら大熊町こそ、原発の恩恵を最大限に受けた町だったからだ。事故が起きるまで、同町は福島県で一番所得水準が高い地域だった。また、様々なインフラが格安で使用できた。上下水道もただ同然の料金だった。その全てが原発による恩恵であり、町民は40年以上、それを享受していたのである。
私は、拙著「原発広告と地方紙」を書くために、1960年代後半の原発立地決定当初からの福島民報、福島民友の記事をかなり読んだ。そこには、過疎に悩む相双地区が発展することへの期待や、段々と豊かになっていく生活を喜ぶ記事が溢れていて、迷惑施設云々という発言はほとんど出てこない。むしろ、もっともっと豊かになるために、さらに原発を誘致しようという声に溢れていた。その証拠になるような当時の記事をいくつか掲載しよう。
》 田中俊一・規制委委員長の仰天発言「火山学会に今更言われても困る」「核燃料は3か月前から少しずつ運び出せばよい」…記者会見議事録より (原子力規制を監視する市民の会, 11/5)
》 20カ国超の犯罪捜査に使われている、進化した顔認証技術(動画あり) (WIRED, 7/23)。NEC NeoFace。
》 六法全書手にフリーズ 事務方も参る上川法相のド素人答弁 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/8)
》 国産ステルス機開発 火を噴く「日米確執」 次期支援戦闘機「FS-X」の恨みを晴らす企てに、米国が猛反発。4兆円の軍需利権に虎視眈々 (FACTA, 2014.11)
とはいえ、ATD-X計画でも「要所」に来ると、日米確執が露わになった。05年、TRDIが製作したATD-X模型機(実物大)によるステルス性能試験の実施に当たり、米国が日本からの試験施設利用要請を拒否したのだ。(中略) 結局、ATD-X模型機のステルス性能試験は、フランス国防省整備局の特殊電波試験施設を借りて行われることになった。
自前の電波暗室持ってないのがそもそもおかしいんですけどね。
1980年代のFS-X国産化が頓挫する原因となったエンジン供給問題は、ATD-Xではどうなっているのか。ここに来て米国は再び「日本への(戦闘機用)大出力エンジンの供給はしない」と表明している。(中略) TRDIは「推力10トン以上のエンジンを開発できるメドは立っている」と言う。しかし、戦闘機用大出力エンジンの国産開発には1兆円を超えるカネがかかる。長期プロジェクトとはいえ、先行きは不透明だ(15年度概算要求で400億円が計上され、IHIが試作着手の見込み)。
自前で同等のモノをつくれるようになってはじめて、「売らせてください安くします」と言ってくるんです。実際に量産するしないはともかく、技術力の蓄積は必要。
》 中山ノブヒロの憂鬱!? 中山信弘『著作権法(第2版)』161頁 (アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常, 11/7)
》 ルーブル、最安値を更新 ウクライナ危機で下落続く (朝日, 11/7)
》 リスクに晒される年金 その5 (細野豪志 / BLOGOS, 11/7)
重要なのは、政府の姿勢である。国民年金・厚生年金は株式比率を高めてリスクに晒しておきながら、足元の国家公務員共済は安全資産で投資を行うという、このような自己矛盾した姿勢が、国民の理解を得られるとは到底思えない。
》 習主席の随行団が象牙を大量密輸か 環境団体 (CNN, 11/7)
》 深刻な中国の水不足問題 (Wedge, 11/6)
》 「衆議院解散?」の報にあわてふためく永田町 (いまにしのりゆき 商売繁盛でささもって来い!, 11/7)
川内原発 3 1, 2 号機
"新しい規制基準適合"川内原発の住民説明会 (NHK「かぶん」ブログ, 10/10)
薩摩川内市が川内原発の再稼働に同意 (NHK「かぶん」ブログ, 10/28)
時論公論 「原発再稼働 地元同意はどうあるべきか」 (NHK 解説委員室, 10/29)
川内原発に地元同意 スピード再稼働に安倍官邸「困惑」のワケ (日刊ゲンダイ, 10/31)
川内原発を「かわうち」と間違え…宮沢経産相の無知・無責任 (日刊ゲンダイ, 11/7)
迫る川内原発再稼働 九電が開催した“NG連発視察会”の意図 (日刊ゲンダイ, 11/7)
川内原発再稼働 鹿児島県知事が同意 (NHK, 11/7)
高浜原発 3, 4 号機 (10/31 に原子炉設置変更許可の補正申請書を提出)
高浜原発 安全対策資料を来週にも提出へ (NHK「かぶん」ブログ, 10/21)
規制委 高浜原発審査書案作成へ (NHK「かぶん」ブログ, 10/31)
審査合格近い高浜原発、再稼働いつ 来春以降か、統一地方選影響も (福井新聞, 11/1)
大飯原発 3, 4 号機
大飯原発の地震想定 おおむね了承 (NHK「かぶん」ブログ, 10/29)。856 ガル。
もんじゅ (監視カメラ 1/3 故障を放置)
もんじゅ 監視カメラ故障を放置 (NHK「かぶん」ブログ, 10/12)
"不備続けば永遠に再稼働できないことも" (NHK「かぶん」ブログ, 10/17)。とっとと廃棄しなさい。
"カメラ故障を事実上放置 保安規定違反" (NHK「かぶん」ブログ, 10/29)
大間原発
建設中の青森・大間原発 安全審査申請へ (NHK「かぶん」ブログ, 11/6)
青森県大間町で建設中の大間原発は、使用済み核燃料から取り出したプルトニウムを混ぜた燃料を原子炉のすべてに使う、世界で初めての商業用原発です。
頭がおかしい。
使用済み核燃料再処理工場 完成は再来年3月に (NHK「かぶん」ブログ, 10/30)。また^21 延期。
志賀原発で地震想定 国の総合防災訓練 (NHK「かぶん」ブログ, 11/2)、 原子力総合防災訓練 課題浮き彫りに (NHK「かぶん」ブログ, 11/2)
5キロ圏内にある石川県志賀町の福浦地区の住民は、道路が寸断された想定で漁船や遊覧船で避難しようと港に集まりました。
しかし波が高くて船が出せず、2日は道路が午後5時に復旧するという想定に急きょ変更し、集まった住民たちはバスで避難しました。
あり得ない想定。
石川県は陸路の移動が困難になる場合に備えて、漁協や旅客船を運航する業界団体と協定を結び、船で住民を避難させる計画ですが、天候の悪化などで船が出せない場合に避難の手段をどう確保するか課題が浮き彫りとなりました。
何この「今になって気づいた」ような書き方……。 3 秒考えればわかるだろうに。
さらに2日の訓練では、回線で結ばれたテレビ会議の音声が複数の機関で途切れるなどのトラブルがありました。
一部の地域が30キロ圏に含まれる富山県の県庁では、安倍総理大臣の原子力緊急事態宣言の音声が一部、届かなかったということです。
これはむしろリアルであろ。代替手段は用意されてないの?
》 マルウェア捕獲後、フリーズドライに?「Black Hat Europe 2014」に参加してきた (@IT, 11/6)
》 Hack Your ATM with Friend's Raspberry.Py (BlackHat Eudope 2014)、 Different type of SCADA... (SCADA Strangelove, 10/29)
》 気球で災害時のLTE復旧を迅速に--ソフトバンクが南三陸で実証実験 (CNET, 11/7)
》 サイバーセキュリティ基本法が成立 (ITmedia, 11/6)
》 確率の高いだましの手口、「マニュアル・ハイジャッキング」の実態とは? (ITmedia, 11/7)
》 ヤフー 個人情報削除を巡って新基準検討へ (NHK, 11/7)、 Yahoo!が検索結果の個人情報削除について独自の基準を作成することを表明 (楽しくないブログ, 11/7)。「忘れられる権利」関連。
》 “寿命”近づくペット型ロボットは今 (NHK, 11/6)
福岡県の交流会に参加した人に聞いてみると、「本当に家族の一員で、いやしてくれる」とか「(ロボットは)マイナスのことは言わない、プラスのことだけを言ってくれるのがいい」と話すなど、皆、かわいがっています。
》 想像力のない超人たちが「繊細な弱者」をへし折ること (L.star / BLOGOS, 4/7)
日本でこの「ストレスをかけ過ぎると壊れる」というのが認識されないのは簡単で、日本の成功者の殆どが「過度のストレスを耐え切った」選別された人たちだからです。でも当人は選別されたと気づいていません。
》 ベネッセ事件と米データブローカーに学ぶ名簿業者規制 (日経 IT Pro, 11/5)
》 池内恵×常岡浩介「イスラーム国とはなにか?――カリフ制再興運動、イスラーム法、そしてアサド政権19万人の虐殺」 @shamilsh (peatix.com)。2014.12.03、東京都西五反田、前売2600円(1ドリンク付き)。
》 低い断熱性なぜ放置、世界に遅れる「窓」後進国ニッポン (日経, 11/7)
窓の重要性について啓蒙活動を続ける松尾設計室の松尾和也代表は、「『窓』先進国の欧州に比べればもちろん、日本と気候が近い中国や韓国にも劣っている」と話す。
とはいえ、2014年に入ってから日本の窓メーカーに、この状況を改善していこうという気運が生じています。現在は各社がU値1W/m2・K前後と世界レベルのサッシを発表しています。北海道や東北、日本海側の地域ではこのレベルが必須といえます。東京や大阪の近辺でも、U値1.5W/m2・K程度の窓が、健康で快適でありながらトータルコストを安く抑えるのに必須のアイテムです。
2014年は、こういった窓が普及し始める「窓改革元年」です。メーカー側がこうした窓を発売したからには、次は設計者や工務店が使う番です。
》 「アイマス」や実録ライブ映像を360度体験できるソニーの「ヘッドマウントディスプレイ」で異次元に行ってきた (gigazine, 11/7)。あと 10 年もしたら、世の中どうなってるんだろう。
》 産官学でサイバー攻撃対処 新組織JC3 (中日, 11/6)。今回の教訓: 名前の候補を考えたら、何はともあれぐぐってみよう。(いや、わかった上でこの名前にしたのかも…)
》 柳美里さん不払いに関する篠田博之さん『創』周辺が面白くて (山本 一郎 / Yahoo, 11/3)。とはいえ、他では読めない記事もある貴重な雑誌なんだよなあ。続けるのなら、創は、とりあえず、100 円くらい値上げすべきなんじゃ。
関連: ネットのデマって、スゴいね。 (柳美里の今日のできごと, 11/6)
》 「ステーキのくいしんぼ」店長自殺事件、東京地裁が上司のパワハラを認定
パワハラ自殺:元ステーキ店長側訴え認め会社側に賠償命令 東京地裁、過失減額を認めず5800万円 (毎日, 11/4)。当然の判決。
部下への暴力は「何十回」「愛があればいい」 ステーキのくいしんぼパワハラ上司が証言、店長の過労死裁判で (MyNewsJapan, 10/2)。めちゃくちゃ。
》 新聞記者 会食で民主党はケチで割り勘だが自民は個室で無料 (NEWSポストセブン / Excite, 11/4)
》 Macを犯し、そのMacがiOSを犯す、新種のマルウェアが中国で蔓延…Appleはすでに対策済み (techcrunch, 11/6)、 OSX.Wirelurker: 海賊版の Mac OS X アプリケーションや信頼できない Apple 社製コンピュータにご注意 WireLurker は、侵入先の iOS デバイスから情報を盗み出す可能性があります。 (シマンテック, 11/7)、 マルウェア「WireLurker」がMac OS XとiOSを狙う (Kaspersky, 11/7)
》 動画配信サイトに紛れ込みOS Xを狙うアドウェア (Kaspersky, 11/6)
》 くらし☆解説 「リニア中央新幹線建設と環境問題」 (NHK「かぶん」ブログ, 11/5)。トンネル残土、水資源への影響。
》 中小出版 アマゾンへ出荷停止延長 (NHK「かぶん」ブログ, 11/6)
》 これはゲームではない。人間の尊厳の侵害だ (エフセキュアブログ, 11/7)。ケーサツの人々。
》 内部告発して生き残る方法 (エフセキュアブログ, 11/6)
注意することが多くて大変です。しかも、通話時にプライバシーを守るということだけで、これだけのことが必要です。しかし、あなたが巨大権力に狙われても、自由な市民としての生活を続けたいなら、こうした注意を払う必要があるというのが現実です。あなたがそのような状況に陥らないことを望みますが、必要となった場合には適切に行動できようにしてください。
》 いつのまに上陸!?日本市場にもリーガルマルウェア企業 (エフセキュアブログ, 11/7)
とある日本国内のセキュリティイベントへ参加していた際に、見覚えのあるロゴが視界に入りました。
なんと、堂々と日本の関連機関へセールスに来ているではないですか!
》 Dropboxの使用中止を勧めるスノーデン氏の忠告に、あなたはどう対応する? (エフセキュアブログ, 11/7)、 スノーデン氏の告発後に広がる米国のインターネットサービスに対する懸念 (エフセキュアブログ, 11/5)
関連: DropboxのCEO Drew HoustonがSnowdenの批判に反論 (techcrunch, 11/5)
16 件 (緊急 5、重要 9、警告 2)。 IE、Office (Word 2007)、.NET Framework、SharePoint Server、Exchange Server、ADFS。
PMASA-2014-12: XSS vulnerabilities in SQL debug output and server monitor page. (phpMyAdmin, 2014.10.21)。phpMyAdmin 4.0.10.5, 4.1.14.6, 4.2.10.1 で修正されている。 CVE-2014-8326
SYM14-015: Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Multiple Issues (Symantec, 2014.11.05)。 Symantec Endpoint Protection Manager 12.1 RU5 で修正されている。 CVE-2014-3437 CVE-2014-3438 CVE-2014-3439
FreeBSD-SA-14:24.sshd - Denial of service attack against sshd(8) (FreeBSD, 2014.11.04)。FreeBSD 9.[12]、10.0 のみ。 CVE-2014-8475
FreeBSD-SA-14:25.setlogin - Kernel stack disclosure in setlogin(2) / getlogin(2) (FreeBSD, 2014.11.04)。 CVE-2014-8476
FreeBSD-SA-14:26.ftp - Remote command execution in ftp(1) (FreeBSD, 2014.11.04)。 CVE-2014-8517
JVNDB-2014-005197: rsyslog および sysklogd におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.11.05)。 rsyslog 7.6.6、 rsyslog 8.4.1 で修正されている。 CVE-2014-3634。
remote syslog PRI vulnerability – CVE: CVE-2014-3634 (rsyslog, 2014.09.30)
JVNDB-2014-005198: rsyslog および sysklogd における整数オーバーフローの脆弱性 (JVN, 2014.11.05)。 rsyslog 7.6.7、 rsyslog 8.4.2 で修正されている。 CVE-2014-3683
remote syslog PRI vulnerability – CVE: CVE-2014-3683 (rsyslog, 2014.10.02)
CVE-2014-8080: Denial of Service XML Expansion (Ruby, 2014.10.27)。 Ruby 1.9.3-p550、 Ruby 2.0.0-p594、 Ruby 2.1.4 で修正されている。 CVE-2014-8080
あわせて、ext/openssl のデフォルト設定の変更がされている。
FFmpeg Security。 2.4.2 の段階で CVE-2014-8541〜CVE-2014-8549 が修正されている。 最新は FFmpeg 2.4.3 (2014.11.02)
》 マルウエア疑いのファイルを調査報告するサービス、IIJが開始 (日経 IT Pro, 10/31)。「IIJマルウェア解析ソリューション」
》 Microsoft releases free Antimalware for Azure (ZDNet, 11/5)
》 「大阪府警のスパイ」衝撃の手記 刑事の目の前で拳銃6丁を売買 (週刊朝日, 11/4)
》 ダストモニタ警報発生しても、ろ紙のダストを調べず機器異常と判断 (おしどりポータルサイト, 11/6)。証拠隠滅。
》 遂に「原発事故安心プロパガンダ」の本命が始動? (本間 龍のブログ, 11/6)。「福島復興推進企業連絡協議会(仮称)」。
》 WSI DAILY 2014/11/6 ロシアの戦略核演習と新超大型輸送機計画 (World Security Intelligence, 11/6)
》 ドラクエ10大型アップデートで「ズワイガニの足の向きを変更しました」カニクラスタ「うおおおおおお!」 (ねとらぼ, 11/5)
》 時論公論 「映像自動解析時代のプライバシー」 (NHK 解説委員室, 11/5)
》 時論公論 「どうする?情報セキュリティ技術者不足」 (NHK 解説委員室, 11/4)
こちらは日本とアメリカのIT関連の賃金の比較です。これはセキュリティ技術者の賃金を表したものですが、アメリカはおよそ日本の2倍の賃金であることが解ります。日本では情報セキュリティ技術者はオペレーター職種と待遇はあまりかわりません。これでは本来企業の命の一つ顧客の個人情報などを守り、事業の存続にも関わる仕事をする優秀な情報セキュリティ技術者がこの部門に行きたいとは思わないでしょうし、従事する技術者のモチベーションも上がりません。能力不足の技術者が16万人と膨大な理由もここにあると思われます。
要するにこれは、企業の経営者が情報セキュリティを経営に関わる重要な問題と考えていないことが解ります。
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 (2014.11.05)
先日のはてなの件、これだった。
はてなブックマークボタンが改ざんされマルウェア感染を媒介していた可能性について (情報科学屋さんを目指す人のメモ, 2014.10.17)。この時点では改ざんが疑われていた。
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関して (はてなブックマーク開発ブログ, 2014.10.18)。改ざんを否定。
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関する調査の経過を報告します (はてなブックマーク開発ブログ, 2014.11.06)。ドメイン名ハイジャックだった。
関連:
インターネットの根幹の仕組みに攻撃、本社も対象に (日経, 2014.11.05)
閲覧すると別ページに誘導 日経新聞も被害 (NHK, 2014.11.06)
複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた (piyolog, 2014.11.05)
Operation Poisoned Handover: Unveiling Ties Between APT Activity in Hong Kong’s Pro-Democracy Movement (FireEye, 2014.11.03)
》 田中委員長から見た日本火山学会提言 (togetter, 11/5)
》 なんJ民が自動2chまとめの機能を悪用し殺害予告を次々と行う (楽しくないブログ, 11/5)
》 ノーベル賞受賞者の中村修二教授と日亜化学工業との公開仲直りが面白い (斗比主閲子の姑日記, 11/5)
》 ドメイン名政策委員会 報告書(案)に対する意見の募集 (総務省, 10/7)。11/6 (明日) まで。関連:
ドメイン名の運営、国が規制・監督を検討中? (slashdot.jp, 10/31)
ドメイン名政策委員会 (総務省)
》 事件を起こしそうな人物・組織をSNSの投稿・言動・日時・場所などのビッグデータから予測可能なソフトウェアを警察がテスト中 (gigazine, 10/31)。UK で。
》 保守速報の名誉毀損民事裁判関連スレが1万円近く2chに課金したユーザによりスレストされる (楽しくないブログ, 10/31)
朝日新聞元記者を来年度雇用しない意向 北星学園大学長 (朝日, 11/1)
北星学園大学長「学生安全確保、悩んだ」 (朝日, 11/4)
北星学園大学は脅迫に屈することを選ぶ模様 (町村泰貴 / BLOGOS, 11/5)
》 日中首脳会談――今はそれどころではない習近平 (遠藤誉 / Yahoo, 11/4)
赤珊瑚密漁、日本は取締り強化を!――海上保安庁の位置づけと予算 (遠藤誉 / Yahoo, 10/29)
中国赤珊瑚密漁船名から何が見えるか? (遠藤誉 / Yahoo, 11/2)
赤珊瑚密漁船増殖の背後に密売組織――携帯で映像を送って海上で価格交渉 (遠藤誉 / Yahoo, 11/4)
そこでこのたびの赤珊瑚密漁船急増に関して福建省と浙江省にいる信頼できる知人を通し、背後で何が動いているのかを独自に取材した。
その結果分かったのは、密漁船の背後には一定程度まとまった「偽装船製造」をそそのかすマフィアがあり、さらに日本の領海で密漁した赤珊瑚を「海上で!」密売する密売組織ができ上がりつつあるということである。
(中略)
密漁船のさらなる激増は、10月15日に福岡地裁が密漁者に対して言い渡した無罪判決が大きな原因の一つになっている。中国の犯罪行為をなかなか報道しない中国メディアだが、この「無罪放免」に関しては中国のネットは炎上した。この事実を知らない者はいないくらいに「密漁しても日本では無罪放免になる」ことを知っている。そのためリピーターが増え、新たに偽装船に資金を投入しなくて済むので、少ない元手で大きな利益を生むことができるようになったのである。
これか: さんご 中国人船長に無罪判決 (NHK / Web 魚拓, 10/15)。うへえ。「福岡地方裁判所の丸田顕裁判官」。
》 【PC遠隔操作事件】弁護団は「鑑定人と十分なコミュニケーションがとれていない」!? (江川 紹子 / Yahoo, 11/4)
》 「ウクライナ危機3.0」の可能性を考える (小泉 悠 / Yahoo, 11/4)
医療費通知を装うウイルスメールがバラ撒かれてるらしい (無題な濃いログ, 11/4)
医療費通知を装った不審なメールにご注意下さい。 (荒川区, 10/3)
医療費通知を装ったウィルスメールにご注意ください (HOYA 健康保険組合, 10/29)。「報告がシステム運営会社から」 「Web健康情報ポータルの医療費通知のお知らせでは、メールにファイルが添付されることはありません」
当社を騙る電子メールにご注意ください 「インフォコム(株)の名称を不正に使用した医療費通知に関する注意喚起」 (インフォコム, 10/30)。「複数の企業宛へ送付されたとの報告が(中略) JPCERTコーディネーションセンターから」「当社の医療費通知機能ではメールにファイルが添付されることはありません」
「医療費のお知らせ」を装ったウイルスメールにご注意ください! (住商連合健康保険組合, 10/31)。「ハガキにて通知しており、メールによるご案内は一切行っておりません」
医療費通知に偽装した不審メールが法人利用者に遠隔操作ツールを拡散 (トレンドマイクロ セキュリティ blog, 11/7)
》 衝撃のデタラメぶり 大阪府警、スパイ運用で大失敗 拳銃3丁が行方不明 (いまにしのりゆき 商売繁盛でささもって来い!, 11/4)
↓もそうだけど、警察って LINE 大好きなんですかね。
mipoko:NoNukes&NoFur (@mipoko611) さんのツイート:
![[1]](/~kjm/security/memo/2014/1127/20141127_2150.png){kind=link}
![[2]](/~kjm/security/memo/2014/1127/20141127_2146.png){kind=link}
![[3]](/~kjm/security/memo/2014/1127/20141127_2145.png){kind=link}
京大公安事件は、講義室ではなく校舎の中に立ち入ったところを学生が確保して、大学が用意した会議室で質問をしたらしい。副学長は大勢で囲むと監禁になると数人で質問するなどの配慮を見せた上で、大学側の自治を侵してると告げてる。冷静で原則的。 pic.twitter.com/mcwQboUu6i
— mipoko:NoNukes&NoFur (@mipoko611) 2014, 11月 5京都大学全学自治会同学会。上記ビラは (まだ?) 掲載されてないみたい。
……出てました: 11月5日に撒いたビラ②(公安摘発問題についての声明) (京都大学全学自治会同学会, 11/5)
【京大ポポロ事件】京大生、公安警察取り押さえ事件 一連のTLまとめ (togetter, 11/4)
【京大ポポロ事件】京都大学 公安警察を監禁事件まとめ 11/4 (NAVER まとめ, 11/4)
京都大学への警察侵入で話題になった「東大ポポロ事件」とは (Credo, 11/5)
JVNVU#96488651: Linksys SMART WiFi 対応ファームウェアに複数の脆弱性 (JVN, 2014.11.04)。.htpassword ファイルを閲覧できるなど。 多くの機種には修正ファームが用意されているが、 EA2700 と EA3500 はまだ。
(CVE-2014-2718) ASUS wireless router updates vulnerable to a Man in the Middle attack (David Longenecker, 2014.10.28)。ファームウェアバージョン 3.0.0.4.376.x で修正されているが、ドキュメントには記載されていない。 例: RT-AC68U。CVE-2014-2718
Advisory 01/2014: Drupal - pre Auth SQL Injection Vulnerability (2014.10.16)
関連:
Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003 (Drupal, 2014.10.29)
Drupal 7.32 で修正された脆弱性に関する注意喚起 (Drupal.jp, 2014.11.04)。上記 PSA-2014-003 の日本語版あり。
協定世界時での 10 月 15 日午後 11時 (日本時間 10 月 16 日午前 8 時) 以前に更新または修正パッチを適用していないすべての Drupal 7 ウェブサイトは、すでにセキュリティ侵害が行われたという想定のもとで対応するべきです。
単に Drupal 7.32 に更新しただけではバックドアは除去されません。
前述の期間内に更新またはパッチを適用していない場合は、この発表を読み進めてください。
7.32 への更新またはパッチを適用することによって脆弱性は修正されますが、すでにセキュリティ侵害されたウェブサイトは修正されません。パッチを適用した覚えがないにも関わらず、すでにパッチが適用されていた場合には、すでにセキュリティ侵害が行われた可能性があります (いくつかの攻撃では、サイトを支配できる唯一の攻撃者であることを担保する手段として、パッチを適用するものがありました)。
Drupal セキュリティチームは、ユーザー自身がホスティングプロバイダに相談することをお勧めします。前述の期間内にプロバイダによる対応 (ユーザー個別のパッチ適用またはそれ以外の方法での SQL インジェクション攻撃の阻止) がなかった場合は、2014 年 10 月 15 日以前のバックアップから復元します。
出ました、“バックアップから戻せ”。
Drupal の脆弱性に関する注意喚起 (JPCERT/CC, 2014.11.04 更新)
Drupal 7 SQL Injection Info (Kahu security, 2014.11.02)
こんな文書が出るほど事象が発生している、ということかしら。
JPRS からも出てました: (緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策 について(2014年11月5日公開) (JPRS)
JPRSでは2014年9月から10月にかけ、国内の組織が運用する複数の.comサイトが、ドメイン名の登録情報の不正書き換えによるドメイン名ハイジャックの被害を受けたという情報を入手しました。
先日のはてなの件、これだった。
はてなブックマークボタンが改ざんされマルウェア感染を媒介していた可能性について (情報科学屋さんを目指す人のメモ, 2014.10.17)。この時点では改ざんが疑われていた。
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関して (はてなブックマーク開発ブログ, 2014.10.18)。改ざんを否定。
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関する調査の経過を報告します (はてなブックマーク開発ブログ, 2014.11.06)。ドメイン名ハイジャックだった。
関連:
インターネットの根幹の仕組みに攻撃、本社も対象に (日経, 2014.11.05)
閲覧すると別ページに誘導 日経新聞も被害 (NHK, 2014.11.06)
複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた (piyolog, 2014.11.05)
Operation Poisoned Handover: Unveiling Ties Between APT Activity in Hong Kong’s Pro-Democracy Movement (FireEye, 2014.11.03)
(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について (JPRS) が 2015.05.26 付で更新された。
(*2)JPドメイン名では2015年1月19日より、レジストリロックサービスの
提供を開始しました。本サービスの提供方法及び提供範囲は、指定事
業者によって異なります。詳細はドメイン名の管理指定事業者にお問
い合わせください。
レジストリロックサービス
<http://jprs.jp/about/dom-rule/registry-lock/>
詳細不明ですが、「Rootpipeは管理者からスーパーユーザーへと権限を昇格する攻撃」 だそうで。patch はまだない。
関連: OS X Yosemiteにパスワード無しで管理者のユーザー権限をroot化できる深刻な脆弱性 通称「rootpipe」が発見される。 (Apple ちゃんねる, 2014.11.04)。OS X 10.8.5 Mountain Lion にもこの欠陥があるそうで。
OS X 10.10.3 で修正された……はずだったが、10.10.3 でも類似の攻撃が成功してしまうそうで。
Macの管理者ユーザー権限をパスワード無しでroot化できる脆弱性「rootpipe」はOS X 10.10.3アップデートでも完全には修正されていないもよう。 (Apple ちゃんねる, 2015.04.21)
》 OpenBSD 5.6 (OpenBSD.org, 11/1)。いろいろと機能が削除されたりしてる。 LibreSSL に移行、 OpenSMTPD がデフォルト MTA に。
》 JAL、会員情報漏えいで中間報告、9745人分の情報が実際に流出 (Internet Watch, 10/31)
》 尊厳死予告の29歳女性が死亡 最期のメッセージは「さようなら、世界のみなさん」 (ハフィントンポスト, 11/3)、 尊厳死と安楽死、日本は区別 「アメリカのケースは自殺幇助」と専門家 (ハフィントンポスト, 11/4)。ブリタニー・メイナードさんの件。
》 原発の巨大噴火対応見直しを提言 (NHK, 11/3)
原発の火山対策などを議論している日本火山学会の原子力問題対応委員会は、福岡市で開かれている大会で、巨大噴火について、「噴火予測の限界やあいまいさの理解が不可欠で、その特性が十分に考慮されるべきだ」として、審査基準の見直しを求める内容の提言をまとめ、3日に開かれる日本火山学会の臨時総会に報告することになりました。
》 宮沢洋一経産大臣が川内原発視察、「カワウチ原発」と言い間違えも訓示 20141103 - YouTube (ceron.jp, 11/4)。よくある間違いではあるのだが、省内で議論したことがないということなのか、誰にも指摘してもらえなかったということなのか。
》 もはや密漁じゃない?中国船のサンゴ密漁が堂々としすぎていた… (NAVER まとめ, 11/1)、 サンゴ密漁:価格高騰 罰金払ってまた…中国船歯止めなし (毎日, 11/1)
東京・小笠原などでの中国漁船によるサンゴ密漁問題で、過去に別の海域で逮捕された中国人船長が小笠原近海で再び逮捕されていたことが31日、関係者への取材で分かった。船長は罰金を払いながら密漁を繰り返していた。サンゴが中国で億単位で取引されるのに対し、日本での密漁の罰金は最大1000万円。罰金が軽すぎて法で歯止めがかからない実態が浮かんだ。
「儲かりまっか?」「ウハウハですわ!」の世界か。
太田昭宏国土交通相は31日、「違法操業には厳正に対処する。(中国側には)外交ルートできちんと抗議している」と述べた。だが、小笠原近海で今年、船長が逮捕された中国漁船は6隻、拿捕(だほ)は1隻にすぎず、残りは法令に基づき洋上で釈放しているのが現実だ。
こういう事態は想定されてない、ということなのかなあ。 昨年はどうだったんだろう。
一方中国政府は: 中国「サンゴ密漁の取締り強める」 (NHK, 11/3)
中国外務省の華春瑩報道官は3日の記者会見で、「中国は一貫して海洋生物の保護を重視し、漁業者に対しても法に従って操業するよう求め、アカサンゴの密漁を禁じている」としたうえで、「中国の関係当局が引き続き違法行為の取締りを強めていく」と述べ、
引き続き何もしない、と。
》 「中国船さんご密猟」!? NHKが中国にへりくだりすぎと話題に (NAVER まとめ, 10/26)。中国船さん、ご密猟〜 (声: 桂文枝)……ではなかった。
今では NHK もカタカナ表記しているようで。例: 中国「サンゴ密漁の取締り強める」 (NHK, 11/3)
》 柳美里さんとの騒動を煽る捏造記事について (篠田博之 / Yahoo, 11/1)。「メディアクリティーク」。
柳美里氏のブログはこちら: 篠田さんは、嘘つきです。 (柳美里の今日のできごと, 10/31)
》 西川農水相 市長選で農水予算と引き替えに票を出すよう要求 (NEWS ポストセブン, 11/2)。愛媛県松山市。
市長選は再選を目指す現職市長と、地元選出の塩崎氏が擁立した元経産官僚の事実上の一騎打ち。塩崎系新人候補の応援演説で西川農水相は、4000人の聴衆を前にこう言い放った。
「必ず当選させて下さいますように。これがなかったら農林水産業の予算つきにくいからね。(予算を)減らすとはいわない。つきにくい。そういうことでございまして、皆さんにお願いをしてご挨拶にさせていただきます」
農水大臣が農水予算と引き替えに票を出すように露骨に要求したのである。望月氏や小渕氏のように“現物”をバラ撒くのではなく、こちらは利権=予算で票を買おうという自民党得意の手法である。が、こんなに下品にわかりやすくいう間抜けな大臣は珍しい。
これはまた、すさまじい。 安倍内閣、大臣の器ではない者が多すぎるだろ。
》 ETV特集 除染のゆくえ 畑村洋太郎と飯舘村の人々 (togetter, 11/2)。除染のゆくえ 〜畑村洋太郎と飯舘村の人々〜 (NHK)、11/7 24:00 から再放送あります。
陛下、晩餐会で「親善に心尽くす」 オランダ国王は大戦被害に言及 (産経, 10/29)
続けて、国王は大戦中に日本軍がオランダ植民地のインドネシアに侵攻し、自国の兵士らが抑留された過去に言及。「わが国の民間人や兵士が体験したことを忘れることはできません。戦争の傷跡はいまなお多くの人々の人生に影を落とし、犠牲者の悲しみは今も続いています」と訴えた。
オランダ国王、天皇主催の宮中晩餐会で「歴史」に言及 (朝鮮日報, 10/31)
しかし、日本が自国に与えた侵略の歴史については全く譲らなかった。アレクサンダー国王は「先祖が残した誇らしい歴史もつらい歴史も全て継承すべきだ。第2次世界大戦当時、オランダの民間人と兵士が体験したことを忘れずにいる。忘れることもできない」と述べた。第2次大戦当時、日本軍はオランダの植民地だったインドネシア(当時は東インド)を占領し、オランダの兵士と民間人約10万人を収容所に監禁し、民間女性を慰安婦として強制動員したことを指摘したものだ。
アレクサンダー国王は「戦争の傷跡は今も多くの人々の人生に影を落としており、犠牲者の悲しみは今も続いている。捕虜として労働を強制され、プライドを傷つけられた記憶が多くの人の生活に傷として残っている」と続けた。両国の友好の根幹が過去の歴史を認めることだという点を強調した。「和解の土台になるのは、互いに経験した苦痛を認識することだ」との言葉だ。晩餐会では安倍晋三首相ら両国の関係者163人が国王の発言を聴いた。
》 「個人情報」についてのお詫び (秋田大学, 10/31)
この度、本学医学部保健学科の教員が、本学学生等の個人情報が含まれているネットワーク接続型ハードディスクのセキュリティ設定ミスから、当該ハードディスク内のファイルが外部から閲覧可能な状態となっていたという事案が発生いたしました。当該機器に本来設定すべきパスワードが設けられていなかったものです。
関連:
秋田大、延べ数十人分の個人情報閲覧可能に (産経, 10/11)
9日早朝、この教員に、情報が見られる状態だと指摘するメールが届き、発覚した。
学生の個人情報5千件超、ネットで閲覧可能状態だった 秋田大 (産経, 10/31)。「延べ数十人分」どころではなかった。
一部の情報だけにパスワードを設定していたため (中略) 10月9日に問題を指摘するメールが教員に届き、数十人分とみて調べたところ、閲覧可能な件数が膨らんだ。
》 Xperiaのスパイウェア疑惑について、ソニーが回答。中国に通信する理由を説明 (すまほん!!, 11/1)
日本では、国際版のXperiaを利用しているか、My Xperiaのapkをインストールしている場合に、同様の事象が確認される可能性がありますが、日本のキャリア版モデルにはMy Xperiaはデフォルトではインストールされていません。国内版のXperiaにもBaiduフォルダが生成されている現象は弊サイトの公式Twitterアカウントにも多数寄せられていますが、上記の通りesファイルエクスプローラーなど、Baiduのフレームワークを利用したアプリケーションをインストールしている可能性が高いのではと思います。
》 RFC7384: Security Requirements of Time Protocols in Packet Switched Networks (IETF)
》 【注意喚起】MacのLaunchpadのアプリ削除機能に超弩級のバグが見つかる (ソフトアンテナブログ, 11/1)
》 Status of rbl.orbitrbl.com: DEAD (Al Iverson's DNSBL Resource, 10/24)
日本データテクノロジーからハードディスクが戻ってきたので、状態を確認して他の会社に問い合わせてみた (さむらいコピーライティング道, 2013.07.23)
日本データテクノロジーがアーム故障と診断したSeagate ST31000333ASは単なるファームウェア不具合によるロックのみでした。 (ミリオンウェーブズ)
OGID株(日本データテクノロジー) 民事再生法申請 (2ch.net, 7/4)。6/30 付で民事再生法申請の模様。
【INO】?本データテクノロジーについて 8TB【OGID】 (2ch.net)
》 【翻訳】優れたエンジニアを採用できないワケ (POSTD, 10/15)
》 「木村伊量社長が握り潰した」朝日新聞 幻の『吉田調書』検証記事を公開する すでに記事は完成し、掲載寸前だった (現代ビジネス, 10/23)
》 サムスン電子の工場で白血病はなぜ多発したのか 【前編】 (現代ビジネス, 10/21)、 【後編】 (現代ビジネス, 10/22)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)