Last modified: Thu Jun 9 11:57:06 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 [openssl-announce] Forthcoming OpenSSL releases (openssl-announce ML, 4/28)。5/3 に OpenSSL 1.0.2h, 1.0.1t が出るそうです。「高」レベルのセキュリティ修正が含まれます。
本 の 売れ筋ランキング (amazon)。「日本会議の研究」は 2 位 (20:30)。
つぶやき
著者として誇りに思うのは、「誰よりも早く出した」「日本会議事務総長椛島有三名義で差し止め申し入れ書が届いた」って二点です。今後、「日本会議本」は次々と出るでしょうが、「差し止め申し入れ書が届いてからが本番」という前例を作れて、本当に嬉しいです。と、同時に、椛島有三死ねよと思います
— 菅野完 (@noiehoie) 2016年4月28日
「扶桑社・育鵬社が発行する中学校教科書……など貴社の各種刊行物の普及拡販に協力してきた」って日本会議本人が言っちゃって大丈夫なのかなぁ。育鵬社の教科書を採択した自治体の立場が(笑)。 https://t.co/XwDNARHHFs
— 風間新吾(城南信用金ユーザー) (@kazamazov) 2016年4月28日
俺が一番書いて欲しかった部分が、こんな形で椛島さんが直々に書いてくださるとは、感動してマジで泣きそうです。
— akabishi2 (@akabishi2) 2016年4月28日
菅野さん、椛島さん、ありがとう! https://t.co/rDbnmuHNC6
いや、ホントそこだよな。
— 菅野完 (@noiehoie) 2016年4月28日
どんなけ裏取ろうとしても、「日本会議が教科書の採択も援助してる」って裏を取りきれなかったから書かなかったのに、椛島有三が自分で言っちゃうんだもんなぁ。 https://t.co/yT0FexZICk
というか、この間囁かれ続けてきた「安倍政権になってから、キャスターや記者などに、有形無形の圧力がかかるようになった」ってのは本当だったってことですよ。こうやって、ちゃんと圧力はくるわけです。しかも卑怯にも経営判断を迫る形で。 https://t.co/rxN6WGWt8A
— 菅野完 (@noiehoie) 2016年4月28日
菅野完氏『日本会議の研究』(扶桑社)の発売日に、日本会議が「出版停止を求める申し入れ」を扶桑社に送付 (NAVER まとめ, 4/29)
書籍『日本会議の研究』の出版に対して日本会議が差し止め要求!日本会議事務総長の名義で扶桑社に申し入れ! (真実を探すブログ, 4/28)
日本会議事務総長、壮大に自爆と。
「誰よりも早く出した」……あぁ、青木理さんの本も 6 月に出るのですね。
》 田島美和 (自民党 東京都みらい創生支部長) 氏、高裁で逆転敗訴。暴力団関係者との交際報道の件。
元女優の交際めぐる「週刊文春」記事の名誉毀損訴訟、文藝春秋が逆転勝訴 (弁護士ドットコム / Yahoo, 4/28)。「1審判決を取り消して、田島氏側の請求を棄却」
週刊文春が逆転勝訴=元自民候補への名誉毀損認めず-東京高裁 (時事, 4/28)
高世裁判長は、一審同様に証言の信用性は認めなかったものの、田島氏の取材対応を「立候補者にとって極めて重要な問題にもかかわらず、書面で数行程度回答しただけで、一部は明らかに虚偽だった」と指摘。記者が真実と信じたことには理由があると結論付けた
本日の控訴審判決も、一審判決同様に記事が真実とは認められないと判断して頂き、大変嬉しく思うとともに安堵しております。ただ、私が選挙運動で多忙を極めるなかで、雑誌社からの取材に真摯に対応しなかったことで、雑誌記者が真実と信じたことについては相当の理由があったとの判断を受けました。この点につきましては、公職に就く者は、常に、あらゆる点で国民の皆様に丁寧に説明を行うべきであるとのメッセージと受け止め、今後の政治活動に生かして邁進して参りたいと存じます。
地裁判決時の記事:
暴力団との交際報道で公認取り消し被害の元女優候補 勝訴で参院選再出馬も (東スポ, 2015.05.29)
》 朝日新聞が「押し紙」で公取委から注意! 読売にも疑惑あるのに朝日だけが狙われたのはなぜ? 背後に安倍政権 (リテラ, 4/28)
「押し紙問題は、何も朝日新聞の問題ではなく、読売、毎日、産経、日経など大手紙を中心とした新聞業界全体の“闇”です。しかし今回、官邸サイドからは「朝日はけしからん」とする一方で、しかし読売と産経に関しては「自主的に押し紙を廃止させるべく努力し、この2紙の押し紙問題は解消している」と擁護するかのような情報が流されているのです」
》 独グンドレミンゲン原発、ITシステムがウィルス感染・運転停止して総点検へ (business newsline, 4/27)。「グンドレミンゲン原発のITシステムは、外部のインターネット環境からは隔離されており、今のところ汚染源は、USBドライブか外部から持ち込まれた別のPC経由と見られている」
ケータイキット for Movable Typeの脆弱性について (2016.04.25)
エイベックスもヤラれたようです。
弊社アーティストオフィシャルサイトへの不正アクセスによる個人情報流出の可能性のお詫びとお知らせ (エイベックス・グループ・ホールディングス, 2016.04.28)
エイベックスに不正アクセス 個人情報35万件流出か (NHK, 2016.04.29)
ntp-4.2.8p7 公開。11 件の、重大性が低〜中のセキュリティ欠陥を修正。 報告者欄は Cisco ASIG と Qihoo 360 が目立つ。 CVE-2015-7704 CVE-2015-8138 CVE-2016-1547 CVE-2016-1548 CVE-2016-1549 CVE-2016-1550 CVE-2016-1551 CVE-2016-2516 CVE-2016-2517 CVE-2016-2518 CVE-2016-2519
》 「Windows Update がなかなか終わらないな…」と思ったら (Japan WSUS Support Team Blog, 4/26)
》 What you need to know about KB3148812, Part Two (WSUS Product Team Blog, 4/22)。KB3148812 の件、part 2 が出てたんですね。
まだインストールしていない人は、インストールしない。
インストールしたけど wsusutil postinstall を実行していない人は、 KB3148812 をアンインストールする。
インストールして、手動操作手順も実施してしまった人は、 Steve Henry 氏にメールして直接対応してもらう。
記事が 4/27 付で更新されている。KB3148812 については公開停止になっており、修正版が新しい KB 番号で公開される予定だそうだ。 1〜2 日後に詳しい予定表が公開されるようだ。
》 ドライブバイ攻撃からユーザーを守るべく機能強化された Microsoft SmartScreen (Microsoft Edge Japan, 4/21)
》 社内クラウド環境におけるディスク(HDD)の故障率を確認してみました。 (Yahoo! JAPAN デベロッパーネットワーク, 4/27)
「Usenix FAST 16」というカンファレンスにおいて「Environmental Conditions and Disk Reliability in Free-cooled Datacenters」という論文が発表された (中略) 特筆すべき項目として、気温の高さや気温変化よりも湿度の高さがディスク故障の最も大きな要因であると述べられています。
(中略)
弊社環境においても湿度とディスクの故障率において相関がある可能性を確認できました。
》 <「エグザイル」公演の落雷死亡事故> 会場管理団体が「雷聞こえたら逃げて」の看板設置か 被害者母驚愕、「どこに逃げろというの?」 (アジアプレス・ネットワーク, 4/18)。実現不可能な内容と。
関連: 屋外コンサート落雷死亡事故は防げなかったか? エグザイル公演に出かけた娘落命 母の無念 (iAsia, 3/15)。「判決は5月16日に大阪地裁で」
》 <熊本・大分震災現地ルポ>1 大分湯布院 早すぎた避難情報解除「忘れられた被災地」になってしまわないか(上) (アジアプレス・ネットワーク, 4/26)、 <熊本・大分震災現地ルポ>2 「余震怖くて飛び出るの繰り返しです」 「阿蘇神社倒壊は皆の身代わり」 (アジアプレス・ネットワーク, 4/27)
》 [今月の技術トピック] ママ、Active Directory ってもういらなくなるの? (IT プロフェッショナルのみなさまへ, 4/19)。Windows Server 2016 AD の話。
Windows Server 2016 AD では、進化しつつある Azure AD に追いつくべく大幅な機能強化がなされています。
親子の会話でも出てきた OpenID Connect のサポート、OAuth 2.0 グラントタイプのサポート強化など、クラウドで一般的な認証テクノロジーがこぞってオンプレミス AD にも実装されます。
これは、クラウドとオンプレミスで「アプリケーションの認証設計」と「アクセス コントロールの手法」が統一できるということです。さらには、クラウドで培われたセキュアな認可プロセスをオンプレミスに導入できることも意味しています。
》 なぜ韓国が嫌いなのか、韓国は本当に「反日」なのか。自分の目で確かめるために韓国を自転車で走る異色ルポが (リテラ, 4/27)。「韓国「反日街道」をゆく」。
》 (耕論)アップル対FBI マイケル・ズウェイバックさん、板倉陽一郎さん、高木浩光さん (朝日, 4/20)
実は昨年、日本でも似た事案がありました。捜査機関が、携帯電話のGPSの位置情報を本人に知らせず取得できるように、端末の改修が行われることになったのです。
関連:
携帯GPS情報、通知無しで捜査取得解禁 令状は必要 (朝日, 2015.06.24)
GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ (高木浩光@自宅の日記, 2015.06.14)
》 NHKアカウントのフォローはずし、元「1号さん」の胸の内 「昔の一方通行のテレビになっちゃった」 (withnews / Yahoo, 4/25)
》 全陸地の5m解像度3D地形データ整備完了、「だいち」が残した276万枚の衛星画像もとに「AW3D全世界デジタル3D地図」サービス (Internet Watch, 4/27)
》 フリーランス技術者の労働実態も分かる? IPAが「IT人材白書2016」発行 (Internet Watch, 4/27)
》 毎月10日は“Windows 10の日”に。来たるアップグレード期限に向けて日本マイクロソフトが猛プッシュ (PC Watch, 4/27)
平野氏は現状Windows 7を使っているユーザーはまだまだ多く、こうした活動を通して、ユーザーのアップグレードを進めていくとともに、2016年の年末までにはWindows 10がWindows 7のインストールベースを超えられればとWindows 10にかける思いを述べた。
まだまだ Windows 7 が強いと。関連: Windows 10 のアップグレード促進に向けた施策を開始 (Microsoft, 2016.04.27)
Squid Proxy Cache Security Update Advisory SQUID-2016:6 (squid.org, 2016.04.20)。Squid 3.x / 4.x に 3 つの欠陥、リモートから任意のコードを実行できるなど。 CVE-2016-4052 CVE-2016-4053 CVE-2016-4054
Squid 3.5.17, 4.0.9 で修正されている。
Apache Struts 2.3.28.1, 2.3.24.3, 2.3.20.3 公開。リモートから任意のコードを実行できる欠陥 2 件を修正。
S2-032 - Remote Code Execution can be performed via method: prefix when Dynamic Method Invocation is enabled. (Apache.org)。CVE-2016-3081。こちらの欠陥が重大な模様。
Struts2|血洗 (サイバー中国, 2016.04.27)
Struts2方法调用远程代码执行漏洞(CVE-2016-3081)分析 (wooyun.org, 2016.04.26)。詳細解説。
Struts2 s2-32漏洞在线检测 (websaas.cn)。欠陥チェックサイト。
S2-031 - XSLTResult can be used to parse arbitrary stylesheet (Apache.org)。CVE-2016-3082
Struts 2.3.24.3, 2.3.20.3 では、Struts 2.3.28 で修正されていた欠陥 1 件も修正されている。
S2-029 - Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution. (Apache.org)。CVE-2016-0785、JVNDB-2016-002075
関連:
Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起 (JPCERT/CC, 2016.04.28)
》 文科省「グローバル大」構想に不満続々 「まるで詐欺」 (朝日, 4/27)。補助金がショボい、そもそも名前が残念、計画が盛り盛り。
》 カード管理システムの中継サーバに生じた障害原因の特定と対応について (地方公共団体情報システム機構, 4/27)。ようやく根本対応されたようです。
》 「俵山トンネル崩落」、12km歩いて見た現場 (日経コンストラクション, 4/27)
》 日本、「先頭走者」から転落=政治に翻弄された豪潜水艦選定 (時事, 4/26)
2015年9月の電撃的な首相交代でターンブル氏が新首相に就任 (中略) 実業家出身の経済通で、潜水艦計画でも雇用創出や経済効果に重点 (中略) 結果、現地生産を強く訴えた仏DCNSへの支持が拡大 (中略) 外交専門家らが「日本受注なら日中間の対立に巻き込まれる」と強調したことも逆風を強めた
ま、そういうことで。駆逐艦すらまともにつくれない程に造船技術がめちゃくちゃな国で大型潜水艦をつくろうという話なので、ハズれた方が吉だと正直思う。 政治屋の方はともかく、現場は安堵しているんじゃないのか。 川重の社長さんもこう言ってますぜ。
武器の輸出「考えていなかった」 潜水艦受注逃した社長 (朝日, 4/27)
そんなに潜水艦売りたいんなら、台湾に売ってやれよ。(無茶)
》 ピーター・バラカン「ベビーメタルはまがい物」発言はおかしくない! ベビメタ批判・経歴がタブーの音楽業界 (リテラ, 4/27)。ヘヴィメタなんて、賛否両論あるのがあたりまえだと思うのだが。
BABYMETAL批判ルーツに触れることがタブーになっている背景にはいくつかの理由があるだろう。まず大きいのはBABYMETALが、サザンオールスターズ、福山雅治、Perfumeなどを擁する大手事務所アミューズに所属しているということ。
ショボい。
》 学テ用サイトのID漏えい=北海道の中学、個人情報なし-文科省 (時事, 4/27)、学テのアクセスIDなど漏洩か 北海道の中学校 (日経, 4/27)。全国学力テスト web サイトへのアクセス用アカウントが、クライアント側のマルウェア感染で 1 件漏洩したっぽい。天仙さん情報ありがとうございます。
文科省によると、各学校に送る問題冊子数や連絡先を効率的に把握するため、今年度から民間企業に委託して専用サイトを導入。学校ごとに異なるIDとパスワードを伝え、必要事項を入力するよう求めていた。
》 【スクープ速報!】「想定外の巨大津波」は実は想定の範囲内だった!震災から5年、東電が「巨大津波」を予測できていた「新証拠」を福島原発告訴団・代理人の海渡雄一弁護士が岩上安身のインタビューで証言!「何度も司法記者クラブで話したが、新聞は記事にしなかった」衝撃の事実をIWJで公開!! (IWJ, 3/10)。
2008年の6月、津波対策案がまとまり、土木調査グループが武藤氏にその案を持っていきます。案では、10メートルの地盤の上に10メートルの防潮堤を立てる計画が立てられていました。しかし、武藤氏はその1か月後に、防潮堤建設をやらないと決めました (中略) 刑事法のまともな専門家がいればこんな分かりやすい事件はないと感じるようなものです。10mの土台に10mの防波堤という計画があった事実が、隠されていることが大問題なんですよ
》 熊本地震の長周期地震動は、川内原発の評価基準を超えていた!! (おしどりポータルサイト, 4/18)
》 3つの震災から見る大災害と刑務所 (江川紹子 / Yahoo, 4/20)
》 NHK 籾井会長「原発については公式発表をベースに」。 またこの方ですか。
熊本地震 原発報道「公式発表で」…NHK会長が指示 (毎日, 4/23)
地震後の原発報道「公式発表ベースに」 NHK籾井会長 (朝日, 4/23)
NHK籾井会長が地震報道で「原発は公式発表以外報道するな」と指示! 震度表示地図から川内原発のある鹿児島が… (リテラ, 4/25)
》 FTPクライアント「FileZilla Client 3.17」リリース (OSDN, 4/25)
SFTPではハードウェアアクセラレーションのAESをx86_64で利用できるようになった。従来はAES実装に「PuTTY」のものを利用していたが、本バージョンではNettleのAES実装を利用することで実現している。
》 受けた電波で発電するのでバッテリー不要&ワイヤレスでプログラムの書き換えが可能なコンピューター「WISP」 (gigazine, 4/26)
》 北海道5区の補選に対するとりあえずの評価 (ナベテル業務日誌, 4/25)。やっぱこれが大きいと思う。
野党共闘に対する民進党内や支持組織におけるネガティブな議論の根拠は「共産党と組むと票が逃げる」であった。しかし、今回の選挙で、池田まきさんは、民進党支持層、共産党支持層の票を固めきり、投票に行った無党派層の多数票も得た。このことが、野党共闘内部での不協和音を打ち消すのに与える影響は極めて大きいだろう。
その象徴が民進党の前原誠司と、共産党の穀田恵二が同じ場所で街頭演説に立ったことだと思う。この二人は、ともに京都に基盤を置く政治家であり、前原誠司は数ヶ月前まで共産党を「シロアリ」と呼んでいた、野党共闘消極派の急先鋒である(あった)。京都にいる筆者からすると、この二人は「不倶戴天の敵」であり、同じ場所で同じ候補を推すために街宣をするなど、考えられないことなのである。
そして、この「1+1=2」が成立してしまったことは、永田町にとっては恐怖なのである。なぜなら、この単純な数式が成り立つことを前提に、前回総選挙の結果から次期総選挙の結果を予測すると、自民党が単独過半数を割りかねないからである。
ただ、これだけでは北海道5区みたいに保守が強いところでは勝てないと。
》 捨てられたミドリガメが繁殖 全国で800万匹に (NHK, 4/25)。ミドリガメは 30cm くらいになるので、あらかじめ覚悟して飼わないと駄目なんだよなあ。
》 豪潜水艦の共同開発相手は仏に軍配、日本敗れる (ロイター, 4/26)。仏 DCNS 案 (シュフラン級原潜の動力をディーゼルに変更した案) が勝利。まあ、対中配慮もあったのかもしれませんが。 どこがやるにせよ、うまくつくれるかどうかが問題だよなあ。
関連:
国営造船会社は「カヌー造りも疑問」、豪国防相失言に非難 (AFPBB, 2014.11.26)。これ、本当のことだからなあ。 DCNS はこれからたいへんなんじゃ。
潜水艦12隻…「穏当な」強化 豪の新白書、米中配慮 (朝日, 3/8)
ケータイキット for Movable Typeの脆弱性について (2016.04.25)
関連:
「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 (水無月ばけらのえび日記, 2016.04.26)。欠陥と修正状況の詳細。 4/22 版の緊急パッチでは不十分と。
ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起 (JPCERT/CC, 2016.04.26)
》 設定変更でプライバシーは守れる 「Windows 10」の“気味の悪さ”、ユーザーデータ収集に不安は? (techtarget, 4/22)
》 何が起こった? Googleパブリッククラウドの18分間のダウン (クラウド Watch, 4/25)
》 「Tor」経由のFacebook利用者、月間100万人に (CNET, 4/25)
》 ネットで広まった悪評を隠蔽する7つの手法 (スラド, 4/21)。すさまじいですね。 関連:
ホアヒン全裸事件のDYM社に「訴えるぞ!」と喧嘩を売られた件。(笑) (バンコクでのタイ語留学奮闘記!?頑張れ日本人代表♪, 4/20)
集団全裸のDYM社が記事の削除要請したサイト(都合の悪い)一覧まとめ (バンコクでのタイ語留学奮闘記!?頑張れ日本人代表♪, 4/21)
DYM社の申し立てでFC2の該当記事が強制的に下書き状態。それが何か? (バンコクでのタイ語留学奮闘記!?頑張れ日本人代表♪, 4/22)
Googleが集団全裸のDYM社に正義の鉄槌を下す!DMCA不正使用と認定 (バンコクでのタイ語留学奮闘記!?頑張れ日本人代表♪, 4/23)
DYM社の不祥事に対し大物アフィリエイタ―が拡散協力できない本当の理由 (バンコクでのタイ語留学奮闘記!?頑張れ日本人代表♪, 4/25)
ケータイキット for Movable Type 1.35〜1.641 の画像処理機能に欠陥、攻略リクエストによって OS コマンドインジェクションが可能。J-WAVE がヤラれた件はこの欠陥が原因だと (一時) アナウンスされた (現在、当該記述は削除されている)。 下末さん情報ありがとうございます。
J-WAVE WEBサイトへの不正アクセスによる個人情報流出の可能性に関するお知らせ (J-WAVE, 2016.04.23 12:00 更新)
J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (日経 IT Pro, 2016.04.23)
ケータイキット for Movable Type の脆弱性についてまとめてみた (piyolog, 2016.04.23)
日本テレビがヤラれた件も同様なのかどうかは不明。
ケータイキット for Movable Type 1.65 で修正されている。 適用後、
ケータイキット for Movable Type 1.35 から、1.63 までをお使いの方は、ウェブサイトとブログの全体再構築を実施してください。
また 1.35〜1.641 用の緊急パッチが用意されている。
関連:
[重要] ケータイキット for Movable Type のセキュリティパッチが公開されています (six apart, 2016.04.22)、 [重要] ケータイキット for Movable Type 1.65 の提供が開始されています (six apart, 2016.04.23)。Movable Type クラウド版については six apart で対応済。
【緊急】ケータイキット緊急パッチファイルの提供について (スカイアーク, 2016.04.22)。「MTCMS Standard」「MTCMS Enterprise」「MTCMS Smart」「MTCMSクラウド」にケータイキット for Movable Type が同梱されている。
MTCMSをご利用のお客様におかれましては、MTCMSのリパッケージ版を待たず、パッチの適応を行ってください。
MTCMS クラウドについては、スカイアークにて対応済。
関連:
「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 (水無月ばけらのえび日記, 2016.04.26)。欠陥と修正状況の詳細。 4/22 版の緊急パッチでは不十分と。
ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起 (JPCERT/CC, 2016.04.26)
エイベックスもヤラれたようです。
弊社アーティストオフィシャルサイトへの不正アクセスによる個人情報流出の可能性のお詫びとお知らせ (エイベックス・グループ・ホールディングス, 2016.04.28)
エイベックスに不正アクセス 個人情報35万件流出か (NHK, 2016.04.29)
関連:
【重要】ケータイキット for Movable Typeの脆弱性をチェックする「KeitaiKit セキュリティチェック」プラグインを公開、[購入者向け]ケータイキットの脆弱性対策 特設ページを開設 (アイデアマンズ, 2016.04.25)
【重要】ケータイキット for Movable Typeの脆弱性により設置された不正ファイルを、詳細に発見・検査するツールを提供 (アイデアマンズ, 2016.04.28)
ケータイキット for Movable Type ライセンス登録状況の専用問い合わせ窓口 (アイデアマンズ, 2016.05.02)
ケータイキット for Movable Type の脆弱性 (CVE-2016-1204) に関する注意喚起 (JPCERT/CC, 2016.05.06 更新)
お客様情報の流出に関するお詫びとお知らせ (栄光ゼミナール, 2016.04.29)。「2007 年 5 月 7 日〜2007 年 7 月 16 日に栄光ゼミナールの Web サイトから学校別説明会にお申込みをいただいた方の個人情報」 「生徒様 1340 名分、保護者様 1421 名分」
》 3000人の留学生を抱え、地震にどう対処したか 立命館アジア太平洋大学 今村副学長に聞く (日経ビジネス, 4/20)
やり切れない三菱自動車の燃費偽装 事業構造の抜本的な再構築が不可避 (日経 BP, 4/22)
「走行抵抗」を過小評価 (= 燃費を過大評価、5〜10%)
「走行抵抗」の測定方法が違法。「惰行法」で測定しなければならないところを、「高速惰行法」(US 向け) を採用。
提携先である日産での実測により判明。「参考のため日産が現行車種の燃費を測定したところ、カタログ値との乖離が大きいため、三菱は試験で設定した走行抵抗値について確認を求められたという。これを受け、三菱が社内調査をしたところ、実際よりも燃費に有利な走行抵抗値を使用していた不正が発覚」
三菱自動車不正の温床に国交省のずさん審査、他社に波及も? (ダイヤモンド ONLINE, 4/22)。ザルすぎる。
しかし、この問題は三菱自だけにとどまらない。会見では不正以外にも驚くべきことが明らかになった。
それは、クルマの許認可に関する権限を持つ国土交通省の審査があまりにもずさんだったということだ。前述のように、クルマの走行抵抗は燃費を大きく左右する、極めて重要な要素だ。その数値を国交省は、なんと自ら審査することなく、自動車メーカーからの自己申告に任せていたというのである。
国交相「燃費検査見直しを検討」 三菱自動車不正で (日経, 4/22)
》 更迭人事: 熊本地震 政府現地対策本部長 (松本文明 → 酒井庸行)
2016熊本地震 政府現地本部長交代 暴言続き地元が『NO』、事実上更迭 (西日本経済新聞, 4/21)
関係者によると、松本氏は食事におにぎりが配られたときに「こんな食事じゃ戦はできない」と不満を口にした。避難所への支援物資配布を巡って「物資は十分に持ってきている。被災者に行き届かないのは、あんたらの責任だ。政府に文句は言うな」と、地元の自治体職員に声を荒らげたこともあったという。
県や被災自治体は「松本氏が震災対応の邪魔になっている」と不信感を募らせていた。
本当に、現場の気持ちがわからない人だった模様。
松本文明副大臣が熊本の職員にも自分の食事が足りないと無理難題!「政府に文句言うな」暴言も…安倍“子飼い”議員の典型 (リテラ, 4/21)
現地本部長、テレビ会議で差し入れ要請 おにぎり届く (朝日, 4/21)
差し入れ要請「間違った指示と思ってない」 松本副大臣 (朝日, 4/22)
》 「Opera」開発版、VPN接続サービスを実装 (Internet Watch, 4/22)
》 式辞・告辞集 平成28年度東京大学学部入学式 総長式辞 (東大, 4/12)
皆さんには、これまでの学びのスタイルをより能動的なものに切り替え、「自ら原理に立ち戻って考える力」、「忍耐強く考え続ける力」、「自ら新しい発想を生み出す力」という三つの基礎力を身につけて「知のプロフェッショナル」となることを目指していただきたいのです。(中略) 三つの基礎力をもって人類社会に貢献する行動をおこすためには、さらに、「多様性を活力とする協働」と「自らを相対化できる広い視野」が必要となります。
新聞の件は、「自らを相対化できる広い視野」関連で述べられたようです。
ところで、皆さんは毎日、新聞を読みますか? 新聞よりもインターネットやテレビでニュースに触れることが多いのではないでしょうか。ヘッドラインだけでなく、記事の本文もきちんと読む習慣を身に着けるべきです。東京大学ではオンラインで新聞記事や学術情報を検索し閲覧できるサービスを学生の皆さんに提供しています。ぜひ活用してください。その上で、皆さんにさらにおすすめしたいことがあります。それは、海外メディアの報道にも目を通すことです。日本のメディアの報道との違いに注目してみてください。また、世界の中で日本がどのように見られているかということも意識してみてください。私は総長になって以来、世界の多様な人々と話す機会が増えました。その中で世界のとらえ方や、外から見た日本の姿が、私のそれまでの常識とずいぶん違うと思うことが度々ありました。手近な日本の新聞やテレビによる情報だけでは足りないのです。皆さんには、ぜひ、今からそのような国際的な視野を日常的に持つ習慣を身に着けてほしいのです。
この部分が恣意的に切り取られて、このように報道された、と。
東大生よ、新聞を読もう…入学式で五神学長 (読売, 4/12)
東大入学式 学長「知のプロフェッショナルを目指して」 (毎日, 4/12)
「新聞読みますか」 五神真 東大学長が新入生に問いかけ (産経, 4/12)
ここから見出しをつくるなら、「東大生よ、海外メディアの報道にも関心を」かなあ。関連:
東大学長の「新聞を疑って読め」という入学式メッセージを読売新聞が「新聞を読もう!」に要約してまさしく言葉通りの事態に (netgeek, 4/13)
東大総長「式辞」に新聞が大はしゃぎ? 見出しに「新聞を読もう」は「我田引水」との声が... (J-CAST ニュース, 4/13)
》 【IS機関誌・日本語訳】ベルギー・ブリュッセル攻撃戦についての「巻頭言」全文1(ダービク14号) (イスラム国(IS)・イラク・シリア・クルド情勢, 4/14)、 【IS機関誌・日本語訳】ベルギー・ブリュッセル攻撃戦についての「巻頭言」全文2(ダービク14号) (イスラム国(IS)・イラク・シリア・クルド情勢, 4/14)
》 仏でヘラクレス像の“アソコ”が何度も盗まれ、市が取り外して保管することに (IROIRO, 4/21)。いろいろとひどい。
》 九州新幹線、明日にも博多〜熊本間を再開か。 熊本〜新水俣については未定。
九州新幹線 あすにも博多〜熊本間で運転再開へ (NHK, 4/22)
熊本地震 脱線の九州新幹線、移送を開始 (毎日, 4/22)
九州新幹線、夏前にも“全線復旧へ” JR九州が見通し (産経, 4/22)。少なくとも、あと 2 か月はかかると。
》 訃報: 福岡大学 鶴岡知昭先生。 4/20 に亡くなられたのだそうです (福岡大学に確認しました)。 かつて clock.nc.fukuoka-u.ac.jp にお世話になった方も多かろうと思います。 匿名希望さん情報ありがとうございます。
工学部 電子情報工学科 准教授 鶴岡 知昭 (福岡大学)
研究室一覧 (福岡大学 工学部 電子情報工学科)。鶴岡研の web ページはないみたい。
福岡大のNTPサーバがアクセス集中で悲鳴 (ITmedia, 2005.01.21)
福岡大学NTPサーバの混雑解消にご協力を (~fumi/ChangeLog, 2005.01.21)
楽しかりし年月 (鶴岡 知昭 / 福岡大学総合情報処理センター, 2008.10)
合掌。
》 映画『FAKE』公式サイト。話題の映画、公開が近づいてまいりました。
映画「FAKE」 (Facebook)
映画『FAKE』 (Twitter)
4月19日(火)アメリカ流れ者 (TBS ラジオ たまむすび)。語ってはいけないはずの「ラスト 12 分」について語ってしまう町山さん。
オーソン・ウェルズのフェイク (CinemaScape-映画批評空間-)。町山さんが触れていたのはこれか。
》 X-2 初飛行に成功。おめでとうございます。
国産ステルス実証機 X2が初飛行 無事着陸 (NHK, 4/22)。NHK クオリティの動画来ました。 なぜか F-35 の存在が一切語られないという謎の記事ですが。 X-2 は F-35 の次を開発するための機体だということを、きちんと説明すべきだよなあ。
国産初のステルス実証機「X2」初飛行 岐阜に着陸 (朝日, 4/22)。まだ Flash ですか。
ステルス戦闘機 実証機X2初飛行 小牧基地から岐阜に (毎日, 4/22)。「ステルス機能は調べなかったという」。初飛行でそんなことしませんって。
》 <熊本地震>長引く余震「静岡県も覚悟を」 静大・岩田教授報告 (静岡新聞 / Yahoo, 4/21)
》 新潟中越から熊本へ体験伝達、エコノミー症候群・自宅周辺避難サバイバルを伝える人達 (togetter, 4/20)
》 What you need to know about KB3148812 (WSUS Product Team Blog, 4/22)。 2016.05.01 以降の Windows 10 アップデート (機能アップデート) の同期・配布に必須となる KB3148812 だが、インストール後に手動での追加作業が必要な模様。
》 やっぱり意味が無かったウナギの池入れ規制 (勝川俊雄公式サイト, 4/22)。「規制の効果は皆無」
》 証拠保全ガイドライン第5版 (デジタル・フォレンジック研究会, 4/21)
》 グーグル、アップル、マイクロソフトらが暗号化解除法案に懸念表明 (WirelessWire Nwes, 4/21)
》 【コラム】国難級の災害に接して迅速に激甚災害指定することの意義 #熊本地震 #激甚災害 #被災地支援 (togetter, 4/18)。緊急予算の裏付けができるわけだから、重要じゃないわけがない。
関連:
熊本大地震「激甚災害指定」に消極的な安倍官邸が3年前、山口県の豪雨ではすぐに指定を明言していた! なぜ? (リテラ, 4/20)。自身の選挙区にはこれですか。わかりやすいですね。
被災者支援迅速化へ、23億円投入を閣議決定 (TBS / Yahoo, 4/20)。その程度では、焼け石に水であろ。
こういう時期だけに、他の予算がどうしても比べられてしまいがちですが、
もんじゅ再稼働に432億円 新基準対応で大幅増も、機構試算 (フクナワ, 4/21)。これはとっとと廃棄すべき。もっとも、廃棄するにも多大なカネがかかるのだが。
パナマのモノレールに円借款 20日の首脳会談で合意へ 総事業費約3000億円 (産経, 4/16)。3000*0.8=2400 億円程度を「円借款」= 長期融資で。 こちらはあくまで、戻ってくるはずのお金ではあります。
》 パナマ文書、租税回避21万社公表へ…報道団体 (読売, 4/20)。「5月前半に公表」。衝撃に備えよ。
》 米軍、B52で初のIS爆撃 掃討作戦を強化 (AFPBB, 4/21)、 B-52 Bombers Carry Out First Airstrikes Against ISIS in Iraq (military.com, 4/20)
》 豪潜水艦、日本劣勢の報道 最終結果は来週発表か (東京, 4/21)、Japan’s subs bid is seen as the weakest (The Australian, 4/21)。
The Australian has been told the Japanese bid was considered the weakest and that of the French company, DCNS, the strongest.
DCNS が最有力との見方。
》 TPP 重要5項目「無傷」ゼロ 野党批判「国会決議違反」 (東京, 4/20)。中九州地震の被害が続く中、安倍総理の強い意向で開催された衆議院 TPP 特別委員会で「重要 5 項目」の譲歩の実態が明らかに。
「TPP〝聖域〟のはずの重要5項目、無傷で守れた品目はゼロ」政府が認める (民進党 / BLOGOS, 4/19)、玉木議員のツイート (twitter, 4/19)。ゲンダイっぽい。
【衆院TPP特委】「重要5項目で無傷の品目はゼロ」玉木議員の質問に政府が答弁 (民進党 / BLOGOS, 4/19)
TPP委、質疑中断=大臣答弁が二転三転 (時事, 4/19 11:36)、 重要農産物、すべて譲歩=TPP審議で森山農水相 (時事, 4/19 21:48)
TPP「聖域」崩壊、重要5項目で無傷の品目がゼロであることを農相が明言 (Buzzap!, 4/20)
TPP重要5項目「無傷なし」 交渉の「成果」根拠あやふやに (朝日, 4/20)
関連:
TPP法案、今国会の成立を断念 自民、与野党対立でめど立たず (ハフィントンポスト, 4/20)
甘利明氏 事件「寝耳に水」…直筆手紙で支援者に説明 (毎日, 4/13)、 甘利氏、違法行為否定か 民進議員「手紙」公開 (中日, 4/18)。国会で堂々と説明すべきであろ。
黒塗り部分に9ページ 西川TPP暴露本で分かった交渉の中身 (日刊ゲンダイ, 4/20)
》 国連「表現の自由」特別報告者「懸念は深まった」記者クラブ廃止など提言【発言詳報】 (ハフィントンポスト, 4/20)
日本で報道の自由が危機に瀕している・国連特別報告者が特派員協会で会見 (videonews.com / YouTube, 4/20)
高市早苗総務相、逃亡
高市総務相も逃げた国連「表現の自由」特別報告者の舌峰 (日刊ゲンダイ, 4/20)
「表現の自由」国連報告者、高市総務相との面会かなわず (朝日, 4/20)
国連・表現の自由調査官 「タカイチ大臣に会いたかった」 (田中龍作ジャーナル, 4/19)
》 エリートの資産隠し暴いたパナマ文書 ピケティ氏が警鐘 (朝日, 4/20)
》 三菱自動車が4車種の燃費試験で不正、相川社長謝罪「無念であり、忸怩たる思い」 (弁護士ドットコム, 4/20)、 当社製車両の燃費試験における不正行為について (三菱自動車, 4/20)。違法試験、燃費不正操作。
》 平成28年度新規事業 「中小企業サイバーセキュリティ対策相談窓口」の開設及び 「東京中小企業サイバーセキュリティ支援ネットワーク」の設立について (東京都, 4/20)
》 日本72位に後退=政権配慮で「自主規制」-報道自由度調査 (時事, 4/20)、2016 World Press Freedom Index (rsf.org)。報道の自由度ランキング 2016 発表。
ついに香港よりも下に。アベノ中国化、ますます進行中。
》 「Androidのユーザーを守った」、Googleがセキュリティ状況を報告 (ITmedia, 4/20)、 Android Security 2015 Annual Report (Google, 4/19)
》 ゴールデンウィークにおける情報セキュリティに関する注意喚起 (IPA, 4/20)、 長期休暇に備えて 2016/04 (JPCERT/CC, 4/20)。龍大的には 5/3〜5 だけなので、ぶっちゃけ、あまり関係ないのだけど、メーカー側の人がいなくなったりするからなあ。
注意喚起のトップ項目がランサムウェアとなっている。これが昨今の状況なのですね。
》 Macでも見つかったランサムウェア--事前防御がカギ (ZDNet, 4/20)
》 化血研が地震被害 ワクチンなど全製品製造できず (NHK, 4/20)。人災の次は、天災ですか。
化血研は (中略) 来月6日まで業務停止処分を受けていますが、ほかに代替できるものがない一部のワクチンや血液製剤は製造を続けていました。 (中略) 厚生労働省は「(中略) 医薬品の在庫はおよそ半年間分あるので医療現場への影響はないと考えている」と話しています。
「耐震基準は連続した大地震を想定せず」 専門家 (NHK, 4/19)
耐震建築に詳しい東京工業大学の和田章名誉教授は「現在の建物の耐震基準は、震度6強や7の地震を1回耐えることは想定しているが、今回のように建物が大地震に連続して襲われることは考慮されていない」と述べ、今回の一連の地震は、現在の耐震基準の想定を超える地震だったと指摘しました。
熊本地震の震災関連死11人に 九州新幹線、6日ぶり一部再開 [熊本県] (西日本新聞, 4/20)
熊本地震 気象庁「収まる気配は見えない」 余震681回 (毎日, 4/20)
エコノミークラス症候群搬送増加中
車中泊の28人が肺塞栓症に、うち2人死亡 (日経メディカル, 4/19)
「これは緊急事態だ」と指摘する榛沢氏は、対策として「弾性ストッキングを車中泊全員に配布すべき。国が率先して取り組むべきだ」と話している。
エコノミークラス症候群 女性の搬送目立つ (朝日, 4/20)
日本大学板橋病院の前田英明・血管外科部長は「女性が搬送されるケースが多いのはトイレを我慢しているためだと考えられる」と話す。
女性は「近くにトイレがない」「トイレが混んでいる」といった状況だと水分をとるのを抑えてしまう。国立健康・栄養研究所の宮地元彦健康増進研究部長は「携帯型や簡易型のトイレを被災地に届け、早急に整えることが肝心だ」とトイレの整備の重要性を指摘する。
相次ぐエコノミークラス症候群 震災関連死どう防ぐ (佐賀新聞, 4/19)
エコノミークラス症候群、搬送増える…避難生活長期化 (読売, 4/20)
エコノミー症候群3人重体、熊本 地震による死者、44人に (西日本新聞, 4/18)
熊本地震 車中泊1人死亡 エコノミークラス症候群 23人搬送、複数重体 (毎日, 4/19)
車中泊で危険な血栓 エコノミー症候群で死者 (東京, 4/20)
車降り、顔から倒れた エコノミー症候群で死亡の女性 (朝日, 4/20)
指定のない「事実上の避難所」に2万人超が避難 (NHK, 4/19)
熊本地震の現地対策本部長が交代 酒井・内閣府政務官に (朝日, 4/20)。「熊本地震の現地対策本部長を松本文明・内閣府副大臣から、酒井庸行・内閣府政務官に」。実動 5 日で終了。
河野防災相「激甚災害指定は必要なら動きたい」 (産経, 4/15)。「松本氏をヘッドとする政府調査団が今朝出発し、10時に県庁に入り、現地対策本部を立ち上げる」
九州新幹線 (新水俣から鹿児島中央まで再開)
九州新幹線、一部区間で運行再開 「ありがたみを実感」 (朝日, 4/20)
熊本地震死者新たに11人 九州新幹線、一部再開 [熊本県] (西日本新聞, 4/20)
》 関連会社社員が“関西テレビの給油割り込み”を擁護 同じフジ系列の仙台放送が「事実とは異なる虚偽」として謝罪 (ねとらぼ, 4/19)、 関西テレビの割り込み問題で嘘の火消し情報を流した人物を調べたらカメラマン梨本太一だった。内部者の自作自演に愕然 (netgeek, 4/20)。フジテレビ系列全体の問題となってしまった。
関連: 仙台放送 関連会社社員が虚偽ツイート 関西テレビ問題で (毎日, 4/20)
「東日本大震災のとき、系列局には支援してもらった。こんなことをするはずがないと思い、かばってあげたかった」
フジテレビ系列全体での報道倫理教育の向上が不可避。って、昨日今日はじまった話ではないか。
》 セキュリティエンジニアを将来の夢にしているのですが 現在高2なのですが現在大学選びに悩んでいて、 (Yahoo! JAPAN 知恵袋, 4/17)。徳丸先生、上原先生、砂原先生と、 回答者が豪華すぎるエントリーとなってます。セキュリティに興味のある、進学希望の高校生の方はぜひご一読を。
今のところセキュリティを強く打ち出した学部カリキュラムを持つ大学は関西圏にはないと思います。が、来年度から立命館大学では情報理工学部に「ネットワーク&セキュリティコース」を設ける予定です(まだ広報は始まっていません)。ここには、セキュリティに強い先生が複数所属されます(ネットワークセキュリティの毛利公一先生、暗号の佐竹賢治先生、システムセキュリティとフォレンジックの上原ほか)ので、是非検討して下さい。
うぉぅ。これはよい知らせ。
Oracle 四半期定例セキュリティ更新出ました。Java は 8u91 / 8u92 が出ています。
全オペレーティング・システム用のJavaのダウンロード (java.com)
Java SE Downloads (Oracle)
》 英「エコノミスト」のアベノミクス評は激辛だ (東洋経済オンライン, 4/19)
Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨 (2016.04.15)
Windows 版 QuickTime をアンインストールすると、Adobe 方面で不具合が発生するそうです。
QuickTime Windows版のサポート終了について (Adobe, 2016.04.17)。一部に対応できなくものがあるそうです。
ProRes コーデック
アニメーション圧縮の読み書き
DNxHD/DNxHR の書き出し
平成28年(2016年)熊本地震 クライシスレスポンスサイト (防災科学技術研究所 自然災害情報室)
防災科学技術研究所
平成28年(2016年)熊本地震 (防災科学技術研究所, 4/14)
平成28年(2016年)4月16日熊本県熊本地方の地震 (防災科学技術研究所, 4/17)
「推定建物全壊棟数分布」 (防災科学技術研究所, 4/16)
東日本大震災の3倍、熊本地震の地震動を分析 筑波大・境教授の地震動分析(1) (日経コンストラクション, 4/15)。本震前の状況。
本震は前震の1.6倍の破壊力 筑波大・境教授の地震動分析(2) (日経コンストラクション, 4/17)
水
断水続く熊本 ツイッターでは「湧き水活用を」 (NHK, 4/18)。ブラタモリでもやってましたね。
JR 在来線 (一瞬だけ再開)
JR九州 在来線の熊本と博多間 運転再開へ (NHK, 4/18)。しかし……
JR鹿児島線 いったん運転再開も直後に見合わせ (NHK, 4/18)
JR九州によりますと、その後、熊本駅のホームの柱に亀裂が見つかり、新たに点検が必要になったということです。このため、JR鹿児島線は、運転再開から僅か30分後の午後1時55分に再び運転を見合わせ、熊本と玉名の間で運転を取りやめています。(中略) 改めて運転を再開するめどは立っていないということです。
これは厳しい……。
九州新幹線 (目処立たず)
九州新幹線の生々しい被害 熊本地震でレールや防音壁も損壊(画像集) (ハフィントンポスト, 4/18)
九州新幹線の被害 熊本県内で130か所に (NHK, 4/18)
脱線の九州新幹線 復旧に向けた準備作業始まる (NHK, 4/18)
高速道路 (なおも大規模分断中)
九州道、熊本空港IC近くに被害集中 (日経コンストラクション, 4/15)。本震前の状況。
平成28年(2016年)熊本地震による高速道路の通行止めについて (NEXCO 西日本, 4/18)。
地震による通行止め発生、被害状況(第9報) (NEXCO 西日本, 4/17)
ハイウェイ交通情報: 九州 (ihighway.jp)
九州の高速道路や鉄道 広い範囲で影響続く (NHK, 4/18)
熊本空港 (明日から再開)
熊本空港 あすから運航再開へ (NHK, 4/18)
熊本城
ブラタモリ「#34 熊本城」 (NHK)。放映時には、1 か月後にこんなことになるとは思っていなかった。
熊本城被害の全体像、石垣崩れ重文の長塀も倒壊 (日経コンストラクション, 4/15)。本震前の状況。
熊本城で建造物倒壊が増加、重文の櫓など5棟も (日経コンストラクション, 4/18)。本震後の状況。
建物被害
倒壊寸前の宇土市庁舎、新築検討の最中に被災〈追加情報あり〉 (日経コンストラクション, 4/16)。「4月16日の午後1時少し前」撮影。
ピロティ崩壊マンション、道路沿いの旧耐震ビルに警鐘 (日経コンストラクション, 4/16)。「4月16日の午後3時すぎ」撮影。
遅れてきた本震が、倒壊やひび割れの被害を拡大 (日経コンストラクション, 4/16)
築浅住宅が地震で倒壊、金物不備や増築が要因か (日経コンストラクション, 4/17)
16日未明が“本震”、写真で見る熊本新市街の被害 (日経コンストラクション, 4/16)
益城町の建物62% 倒壊のおそれある「危険」の判定 (NHK, 4/18)。“震度7”益城町の状況。
関連:
応急危険度判定と罹災証明とは? (日経アーキテクチュア, 4/17)
南阿蘇村 (国道57号、国道325号、阿蘇大橋)
国道寸断、落橋 28時間後の「本震」が被害拡大 (日経コンストラクション, 4/16)
阿蘇大橋周辺の地表断層を解析 (日経コンストラクション, 4/18)
国道57号立野地区(南阿蘇村)の応急復旧に向けた作業の着手について (国土交通省 九州地方整備局, 4/18)
流言、デマ
「ライオンが逃げ出した」「川内原発で火事」Twitterでデマ拡散【熊本地震】 (ハフィントンポスト, 4/15)
「井戸に毒」地震後に悪質デマ 「人を陥れるために拡散」 (沖縄タイムス, 4/18)
益城町でデマ流れる 県警が注意呼び掛け (西日本新聞, 4/18)
熊本地震に関する流言のまとめ、簡易版 (荻上式BLOG, 4/18)
熊本城の瓦は落ちるべきなのか、懐古主義的業界的都市伝説 (ネットロアをめぐる冒険, 4/17)
なぜ震災後のデマは繰り返されるのか (TBS ラジオ 荒川強啓 デイ・キャッチ!, 4/15)
IT
震災でITはどれだけ強くなったのか? 熊本からの報告 (ascii.jp, 4/16)
安否の確認にもっとも役に立ったのはLINEグループだ。親しい仲間や、同窓会のメンバーなどはLINEグループで連絡を取り合っているが、1度の送信で多数に安否を知らせることができる。1対1のメールや音声通話よりも使い勝手が良く、相手に無駄な時間を消費させないといったメリットも感じられた。
スマホを持たない場合でも、知人がFacebookやLINEグループを通じて「◯◯くんは無事だったよ」と伝えてくれる。新旧さまざまなコミュニケーションツールが連携し、効率のよい情報伝達が行われていたのだろう。結果として、地震発生からおよそ2時間足らずで、筆者周辺のほとんどの人の安否を把握することができた。
被災地のガソリンスタンドに中継車が割り込み給油… 関西テレビが謝罪「あってはならない行為」 (BIGLOBEニュース編集部, 4/18)。4万リツイート越え。
》 政府機関が配置する「サイバーセキュリティ・情報化審議官」とは何者 (日経 IT Pro, 4/15)
》 端末値引きはどこまでセーフ? 総務省「ガイドライン」の解釈をめぐる混乱の舞台裏 (日経 IT Pro, 4/14)
ただ肝心の「いくらまでの割引がセーフなのか」という基準については、総務省は明示していない。実は明かしたくても明かせない事情がある。端末の実質価格の“下値”を示してしまうと価格統制を招き、官製談合を誘発する恐れがあるからだ。
》 「がんで死ぬ人は、減り続けている」 意外と知らないデータの真実 (市川衛 / Yahoo, 4/13)
》 PDOのサンプルで数値をバインドする際にintにキャストしている理由 (徳丸浩の日記, 4/18)。恐怖! 暗黙の型変換。
intへのキャストは桁あふれの危険性はあるものの、浮動小数点数への暗黙の型変換よりはマシという意味で、一種のバッドノウハウだと思います。
》 ダークウェブとテロリストの関係性 (ZERO/ONE, 4/14)
》 openssl-1.0.2とIntel AVX2 (Yahoo! JAPAN Tech Blog, 4/18)。「結論としては、Intel AVX2とopenssl-1.0.2を組み合わせることでサーバーの性能向上が実現できます」
》 Appleが古いiPhoneをリサイクルして約1トンの「金」をゲットしたことが明らかに (gigazine, 4/18)。都市鉱山。他に「鋼1万2750トン、プラスチック6090トン、ガラス5420トン、アルミニウム2050トン、銅1340トン、コバルト86トン、亜鉛59トン、鉛20トン、ニッケル18トン、銀3トン、スズ2トン」など。
》 IPAにランサムウェア感染の相談急増――ファイル添付メールに注意 (so-net セキュリティ通信, 4/18)
ランサムウェア関連:
ランサムウェア前線(1)北米で医療機関への攻撃が急増 病院のシステムを人質に「身代金」要求 (ZERO/ONE, 4/11)
ランサムウェア前線(2)米FBIが対策に躍起 巧妙な「SamSam」の手口とは (ZERO/ONE, 4/12)
ランサムウェア前線(3)陥落した米大手医療機関「MedStar」を巡る美談と醜聞 (ZERO/ONE, 4/15)
全米の病院が標的に 猛威振るい始めた新種ランサムウェア (クラウド Watch, 4/18)
Badlock Bug (2016.04.13)
関連:
Badlock:横展開への懸念点 (エフセキュアブログ, 2016.04.14)
Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨 (2016.04.15)
QuickTime for Windows の脆弱性に要注意 (トレンドマイクロ セキュリティ blog, 2016.04.18)
》 福島原発事故 「炉心溶融基準知っていた」東電幹部 (毎日, 4/11)。またまたウソつき東電。
これまでの説明:
東日本大震災 福島第1原発事故 炉心溶融判断「3日後にできた」 東電、基準見過ごす 知事「極めて遺憾」 /福島 (毎日, 2/25)
炉心溶融マニュアル なぜ5年後に「発見」? (毎日, 2/29)
これを明らかにしたのは……
「2011年3月にメルトダウンの定義を把握していた」という回答はマコちゃんが引き出しました (おしどりポータルサイト, 4/13)
》 福島事故 地震2時間半後に「炉心、1時間後に露出」 東電、予測を国・県に報告せず (東京, 4/15)
東電が事故当日の午後五時十五分ごろ、「約一時間後に1号機の炉心が露出」と予測していた (中略) 当時の菅直人首相は本紙の取材に「予測結果は首相官邸に伝わっていなかった」と証言 (中略) 政府は同九時二十三分、原発の半径三キロに避難指示を出したが、2号機の水位低下の情報がきっかけだった。1号機予測結果の未報告は、政府が避難指示を出すタイミングに影響した可能性がある。
1F 事故って、老朽原発である 1 号機の対応に大失敗したことが、ずーっと後まで尾を引いていっちゃってるんだよなあ。
》 落ちている USB の約半数がコンピュータに接続されることが明らかに (Sophos, 4/8)
パナマ文書、流出元にメス 地元検察、電子データ押収 (朝日, 4/15)
「パナマ文書」をめぐり、日本の一部の富裕層にも動揺が広がっている。ICIJが公益目的で5月に公表を予定する法人や個人の情報をもとに、日本の国税当局も調査するとみられるからだ。
「私の会社も暴露されないか」「国税が来るのか」。香港が拠点の税務・投資コンサルタントの日本人男性(47)には顧客から問い合わせが殺到している。
パナマ文書の鍵を握る「オフショア企業」とは一体何なのか? (gigazine, 4/8)
古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か (マイナビニュース, 4/8)
「パナマ文書」が白日の下に晒す、スパイとCIAの銃密輸がどのように企業を隠れ蓑にしてきたのかという秘密 (gigazine, 4/11)。便利に利用してましたと。
パナマ文書 仏銀行大手を捜索 脱税などの疑い (毎日, 4/12)。「ソシエテ・ジェネラル」
》 危険なUSB Type-C対応ケーブルへの対策としてソフトウェア側で修正へ (gigazine, 4/13)
》 Victory: California Smartphone Anti-Encryption Bill Dies in Committee (EFF, 4/13)
》 HTTPSの証明書を無料で発行する「Let's Encrypt」、正式版へ移行 (Internet Watch, 4/14)、 無料で証明書を発行してHTTPSの導入をサポートする「Let’s Encrypt」がベータ版から正式版に (gigazine, 4/13)
》 強制捜査で顧客データにアクセスされたことを顧客に通知できない電子通信プライバシー法は憲法違反だとMicrosoftが政府を提訴 (gigazine, 4/15)
》 Amazonでマルウェアが埋め込まれた監視カメラが販売されていた (gigazine, 4/15)
》 AI不信が強まる中、望まれるのは人類−機械のコラボレーション (techcrunch, 4/15)。そういう話なら、「戦闘妖精・雪風」シリーズを読むべきだよ。
戦闘妖精・雪風〈改〉 (早川書房)
グッドラック 戦闘妖精・雪風 (早川書房)
アンブロークンアロー 戦闘妖精・雪風 (早川書房)
電子版だともっと安いです。
》 [更新:事象解消]ウイルスバスター コーポレートエディションでアップデートサーバへの接続に失敗する事象について (トレンドマイクロ, 4/15)。現在は対応済。
》 「15歳女子との交際は犯罪なのか」警察に聞いた45歳男性逮捕、真剣交際でもダメ? (弁護士ドットコム, 4/15)。奥村弁護士。
報道の事例の被疑者は、警察に相談したことをきっかけにして逮捕されたようですが、青少年条例違反や児童ポルノ法違反の逮捕率が高いことを考えれば、まず、弁護士に相談すべきであったと思います。
》 熊本で震度 7 の地震 (平成28年(2016年)熊本地震)
「平成28年(2016年)熊本地震」について(第5報) (気象庁, 4/15)。M6.5、深さ 11km、横ずれ断層型。
熊本県熊本地方を震源とする地震に係る被害状況等について (内閣府 防災情報のページ)
平成28年04月14日21時36分 気象庁発表 (気象庁)。「14日21時26分頃地震がありました」。 この時点では M6.4 と推定されている。
平成28年04月15日00時09分 気象庁発表 (気象庁)。「15日00時03分頃地震がありました」。M6.4 の余震。
熊本震度7 余震100回超 長周期地震動、初の階級4も (毎日, 4/15)
熊本で震度7 今後1週間は激しい揺れ伴う余震のおそれ (NHK, 4/15)
ニュース特設 熊本県で震度7 (NHK)。ライブレポート。
熊本県で最大震度7を観測する地震が発生、津波の心配はなし (gigazine, 4/14)
【熊本】地震で被災した人も被災してない人も読んだ方がいいツイートまとめ #jishin (togetter, 4/14)
災害発生時にネットなどで情報を入手したり安否情報を確認するための方法やリンクまとめ (gigazine, 4/15)
00000JAPAN とは 大規模災害時にWi-Fi無料開放、設定方法は? (ハフィントンポスト, 4/15)
LINE の件
熊本で震度7受けLINE、携帯・固定電話への通話を最大10分間無料化 (追記)輻輳を助長する恐れ (engadget, 4/15)
熊本地震「LINE通話を10分無料」は大問題だ 悪意がないにしても、ひどすぎる (東洋経済オンライン, 4/15)
LINE10分間無料通話、「緊急時のみ」と呼びかけ (朝日, 4/15)
九州新幹線、回送列車が全車両脱線、復旧見通し立たず
九州新幹線 回送列車が脱線 運転再開めど立たず (NHK, 4/15)
九州新幹線、全車両の全48車輪が脱線 全車輪の脱線は新幹線で初 (産経, 4/15)
関連: 以下の構想についてはアテにできないことが証明された件
原発事故時の住民避難「九州新幹線活用を」 薩摩川内市長 (日経, 2014.08.18)
原発避難にJR九州協力、社長「要請あれば」 (読売 / stacknews, 3/8)
公共交通機関
JR九州 列車運行情報 (JR九州)。↓は 13:50 ごろコピペ。
●九州新幹線(上下線)
【運転見合わせ:博多 から 鹿児島中央】
※4月15日(金)は、終日全区間で運転を見合わせます。
●鹿児島本線(上下線)
【運転見合わせ:荒尾 から 八代】
※始発から列車の運転を見合わせ。
※博多から荒尾間は、始発より本数を減らして運転。また、大牟田から荒尾間の徐行運転は、6時35分に解除。
●豊肥本線(上下線)
【運転見合わせ:熊本 から 宮地】
※始発から列車の運転を見合わせ。
【遅延:大分 から 豊後竹田】
※犬飼から竹中間で落石発見による現場確認を行っているましたが、7時31分に点検が終了し運転再開。
●肥薩線(上下線)
【運転見合わせ:八代 から 吉松】
※始発から列車の運転を見合わせ。
●三角線(上下線)
【運転見合わせ:宇土 から 三角】
※始発から列車の運転を見合わせ。(2016/04/15 13:30現在)
参照: 全駅掲載の路線図
熊本空港 午前中の4便が欠航 (NHK, 4/15)。滑走路自体には問題ない模様。
熊本空港。手元からはつながらない。
道路
地震による九州地方の高速道路の通行止めについて (NEXCO 西日本, 4/15)
ハイウェイ交通情報: 九州 (ihighway.jp)
熊本震災エリアの通行可能な道路の参考情報として、 Honda「インターナビ」による道路通行実績情報の一般公開を開始しました (Honda)
トヨタ、熊本地震を受けた地域の「通れた道マップ」を公開 (ascii.jp, 4/15)
熊本県内全 45 市町村に災害救助法を適用
平成28年熊本県熊本地方の地震に係る災害に関して被災中小企業・小規模事業者対策を行います (経産省, 4/15)
熊本県熊本地方を震源とする地震により被害を受けられました個人のお客さまへ (トレンドマイクロ, 4/15)
熊本地震災害緊急支援募金 (Yahoo! JAPAN)
犯罪、ヘイト、デマ
住宅の修理工事等の勧誘を受けたときは工事の内容や契約条件をよく確認しましょう (消費者庁, 2011.03.31)
【差別扇動】地震に乗じて悪質な投稿をする人々 (togetter, 4/14)
ライオン脱走、井戸に毒……。地震関連デマ。「業務妨害罪になりうる」と弁護士 (BuzzFeed, 4/15)
ツイート:
◯◯市の◯◯◯◯という人を探しています、連絡取れません、安否確認してます、拡散して下さい等のツイートは、ストーカーとかDVで接近禁止令出された人とかが、相手を探す為にしている場合もあるって前にTwitterで学んだぞ。安易にRTしないほうがいいぞ。地震にかこつけて増えてそうだぞ。
— 碧夏@子連れヲタ (@Bixia_W) 2016年4月14日
このタイミングだと分かりやすいけど、ヘイトは実は人権の問題ではありません。安全保障の問題です。嘘吐きはドロボウの始まりといいますが、ヘイトは戦争の始まりなのです。
— ☪常岡浩介容疑者☪ (@shamilsh) 2016年4月15日
ペットもいっしょに同行避難
災害時はペットと同行避難すべき 環境省がガイドラインで推奨 (ねとらぼ, 2015.09.11)
熊本大地震21分後にF-2発進 何も見えない戦闘機、災害時になぜ飛ぶ? (乗りものニュース / Yahoo, 4/15)
今回の地震発生は夜間でした。F-2は対艦攻撃など、夜間の低高度飛行が必要な任務に用いる赤外線前方監視装置を搭載可能ですが、5分待機に就く機体には装備されません。よって今回、緊急発進したF-2パイロットは、ほとんど何も見えず帰投したはずです。しかし、例えば「大規模な火災は確認できない」といった「何も見えなかった」という報告そのものが、貴重な情報となりえます。
今年中に自衛隊へ引き渡しが行われる予定のF-35A「ライトニングII」戦闘機は複数の赤外線監視装置を搭載しており、その映像をリアルタイムで地上に送信する能力を持ちます。F-35が5分待機を行えるようになるにはまだ数年を要する見込みですが、実用化後は初動からより詳しい情報を得られるようになるでしょう。
》 家庭向けサーバーOS「Windows Home Server 2011」のサポートが終了 (スラド, 4/14)。 クライアント バックアップ機能が地味に便利だったようです。 お金がある人は Windows Server 2012 R2 Essentials に移行する、 ことになるのかな。
Windows Server Essentials でクライアント コンピューター バックアップを管理する (Microsoft)
Windows Server 2012 Essentialsで作る簡単サーバ構築術 [3] Windows Server 2012 Essentialsでのバックアップ (マイナビニュース, 2013.10.15)
Windows Server 2012 Essentials にクライアントを接続する際に、ドメインに参加させずに接続する方法/ワークグループ運用 (薩摩藩中仙道蕨宿別邸, 2012.09.07)
Windows Server 2012 R2 > Essentials エクスペリエンスのいいとこあれなとこ (山市良のえぬなんとかわーるど, 2013.12.05)。 Essentials じゃない 2012 R2 には「Essentials エクスペリエンス」を入れるとよいようです。
Badlock Bug (2016.04.13)
関連:
脆弱性「Badlock」を検証:Windows と Samba に影響 (トレンドマイクロ セキュリティ blog, 2016.04.14)
Badlock (CVE-2016-2118/CVE-2016-0128)についてまとめてみた (piyolog, 2016.04.12)
Windows / Mac 版 Creative Cloud デスクトップアプリケーション 3.5.1.209 以前に欠陥。 Creative Cloud ライブラリ JavaScript API の同期処理に欠陥があり、remote からデスクトップ上のファイルを読み書きできる。CVE-2016-1034
Creative Cloud 3.6.0.244 で修正されている。
日本語版: APSB16-11 - Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開
RoboHelp Server 9.0.1 における SQL クエリの処理に欠陥があり、情報漏洩を招く。 CVE-2016-1035。 hotfix が公開されている。
Windows 版 QuickTime に 0-day 欠陥、しかしサポートは終了した模様。 今の時代にはもはや不要なアプリなので、アンインストールが吉。
Alert (TA16-105A) Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced (US-CERT, 2016.04.14)
Urgent Call to Action: Uninstall QuickTime for Windows Today (trendmicro blog, 2016.04.14)
疑問の声があるようだが、
ZDI-16-241、 ZDI-16-242 への対応がこうなっていること
03/09/2016 - ZDI joined a call with the vendor:
ZDI was advised that the product would be deprecated on Windows and the vendor would publish removal instructions for users.
ZDI advised the vendor that the cases would be 0-day.
03/24/2016 - ZDI notified the vendor of the intent to 0-day on or after 4/13
04/01/2016 - The vendor acknowledged and provided a link to their removal instructions
そもそも Windows 版 QuickTime は Windows 7 までしか対応していない、未来のない製品であること
を考えれば、これで終了ということでしょう。
QuickTime for Windows の脆弱性に要注意 (トレンドマイクロ セキュリティ blog, 2016.04.18)
Windows 版 QuickTime をアンインストールすると、Adobe 方面で不具合が発生するそうです。
QuickTime Windows版のサポート終了について (Adobe, 2016.04.17)。一部に対応できなくものがあるそうです。
ProRes コーデック
アニメーション圧縮の読み書き
DNxHD/DNxHR の書き出し
Apple、QuickTime for Windowsのサポート終了を正式に告知していたことが判明 (Internet Watch, 2016.04.28)、 QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合 (Apple)
追加情報
Apple では、QuickTime 7 for Windows のサポートを終了いたしました。2009 年以降の新しいバージョンの Windows には、H.264 および AAC など、QuickTime 7 に対応した主要メディアフォーマットのサポートが組み込まれています。現行の Windows Web ブラウザはすべて、ブラウザプラグインがなくてもビデオ再生に対応しています。Windows パソコンで QuickTime 7 が不要になった場合は、こちらの記事の手順にそって、QuickTime 7 for Windows をアンインストールしてください。
》 アマゾンジャパン株式会社へ送った公開質問状&要請書 (影書房, 2015.02.26)
ソープ通いを“蔑視”で否定 長崎幸太郎議員の歪んだ女性観 (日刊ゲンダイ, 4/14)。これがいちばんびっくりした。
〈私は、生来の潔癖な性格から、女性観については、独自かつ高邁なものがあり、書かれているような所(注・ソープランド)に出入りするような性癖はごさいません〉
〈配偶者は、東大卒の才媛であり、その点から、私の潔癖な性格と独自かつ高邁な女性観、を忖度賜れば幸いです〉
〈「誰が来るかもわからない不潔な環境において、どのような素性ともしれない、しかも『高学歴の才媛』という自身の好みとは対極に位置する女性と、進んで同衾したい」ということもなく……〉
上西小百合議員の裏にいた議員・赤枝恒雄氏【進学しても女の子はキャバクラに行く】 (NAVER まとめ, 4/13)。これはひどい。
関連: 「女を進学させてもキャバクラにいく」女性差別発言の自民党議員・赤枝恒雄が上西小百合とショーパブをハシゴ (リテラ, 4/13)
現場音声公開 自民党参院議員を暴行で刑事告訴へ (週刊文春, 4/13)。山田俊男氏の件。
北海道5区補選、自民党・和田義明候補が在特会などヘイト界隈と親しい元自民市議を選対「遊説隊長」に (NAVER まとめ, 4/14)。ヘイトな人と「がっちりスクラム」ですか。
自民党ネット候補崖っぷち バーチャルでリアル?ファイナリスト討論会も盛り上がり欠く (産経, 4/14)
菅官房長官 「鉄壁」一転「民共」批判のスポークスマン? (毎日, 4/13)。もはやそんな攻め口しか残されていない、ということですかね。
よくもまあ、次から次へと出てきますね……
》 【動画】日本マクドナルドがCMから韓国式おじぎ表現「削除を検討」 朝鮮日報が報じる (NAVER まとめ, 4/13)。またネトウヨか。例によってデマ。
》 上司との交渉や職場での会話の録音〜バレたら解雇? (佐々木亮 / Yahoo, 4/14)
結論から言うと、職場におけるトラブルがある場合に録音することは全く問題ありません。
むしろ、私は推奨しています。
》 脳にチップを埋め込んで四肢麻痺の人が腕を動かすことに成功した「神経バイパス」とは? (gigazine, 4/14)
バークハートさんは「感覚のない麻痺した手を動かすのは非常に奇妙な感覚です。手を動かしているとき、手のひらを握っているか、開いているかは、目で見るまでわからないのです」と話しています。
》 ジカウイルスが小頭症に関連と結論=米疾病センター (WEDGE Infinity, 4/14)
》 【参院選】共産党が加わり“カルト野党連合”成立=石川選挙区 (やや日刊カルト新聞, 4/12)。「浄土真宗親鸞会」柴田未来氏の件。
》 【注意喚起】ランサムウェア感染を狙った攻撃に注意 (IPA, 4/13)
》 ワンダーウーマンに女性の恋人が(ついに!)できるらしいよ (石壁に百合の花咲く, 4/14)
》 Office 365 Client Updates via WSUS (WSUS Product Team Blog, 4/13)
The Office 365 Client category now appears in the WSUS Products and Classifications pane:
》 露戦闘機、米駆逐艦に異常接近繰り返す 9mの超低空飛行も (AFPBB, 4/14)、ロシア軍機、米駆逐艦に「攻撃的」異常接近と 10回以上 (BBC / WEDGE Infinity, 4/14)。バルト海で活動中のドナルド・クック。これはマジヤバイ。
飛行機といえば・・・4月11日にバルト海の公海上を航行していた米海軍の駆逐艦ドナルド・クックに、ロシア軍の戦闘機が低空で接近。どれだけ近いかと言うと、こんな写真が撮れるぐらいの近さ。 https://t.co/NwjWgeOjJ2 pic.twitter.com/zNIxnblYPS
— 在日米海軍司令部 (@CNFJ) 2016年4月14日
》 Verison "Data Breach Digest" を発表
Data Breach Digest (Verison)
ベライゾン、サイバー調査の舞台裏を公開した初の「Data Breach Digest」を発表 (PR TIMES, 4/12)
Verizon、実際に起きたデータ漏洩/侵害の典型的・致命的な事例を紹介したレポート (Internet Watch, 4/13)
世界で起きた漏えい事件の「事例集」をベライゾンが公開 (高橋睦美 / @IT, 4/13)
セキュリティー対策 米通信大手ベライゾン 情報の漏えい侵害 典型事例集を公開 (毎日, 4/12)
》 「アルファ碁」を育てた人工学習知能「DQN」の正体 (毎日, 4/14)。汎用学習アルゴリズム DQN = Deep Q-Network。
》 英語教科書エレン先生、二次創作はOK? 協会に問い合わせたら…「余計なことするな」炎上 (withnews / livedoor, 4/14)
G7外相会合 南シナ海、中国けん制 共同文書 (毎日, 4/12)
中国 「強烈な不満」表明 海洋問題、G7の懸念に (毎日, 4/12)
海自艦 ベトナム要衝カムラン湾に 南シナ海、中国けん制 (毎日, 4/12)、 海上自衛隊の護衛艦 ベトナムのカムラン湾に初寄港 (NHK, 4/12)、 海自艦、ベトナム・カムラン湾に寄港 「歴史的な訪問」 (朝日, 4/12)。「ありあけ」「せとぎり」が「練習航海の一環」でカムラン湾に寄港。
大臣会見概要 (防衛省, 4/12)
海自艦に18カ国の士官が乗船、インドネシアからフィリピンへ (ロイター, 4/12)、 西太平洋海軍シンポジウム(WPNS)加盟国士官等に対する次世代士官交流プログラム(WPNS2016シップライダー・プログラム)の開催について (海自, 4/12)。4/13〜26、インドネシア パダン→フィリピン スービック。
決定間近、オーストラリアは日本の潜水艦を選ぶのか 楽勝ムードではなくなってきた「そうりゅう」 (北村 淳 / JBpress, 4/14)。日本は無理して勝たなくてもいいし、 オーストラリアも無理して日本製にする必要はないと思う。 とはいえ、オーストラリア海軍は、ちゃんと動くものがほしいところではあろう。ひどい目にあってきたからね。
DCNSは小型原子力潜水艦建造で培ったポンプジェット推進(ウォータージェット推進)技術を「ショートフィン・バラクーダ」に導入することができる。このため、通常動力潜水艦とはいえ海中でも高速で敵艦を追尾攻撃することが可能である。原子力潜水艦に比べて小型の通常動力潜水艦にポンプジェット推進システムを搭載できる技術力を持っているのはDCNSだけである。
実現できたら、おもしろいね。実現できたらね。
次期潜水艦選定の最終局面に入った現段階で、フランス勢とドイツ勢の巻き返しも功を奏しつつある。とりわけオーストラリア国内から上がっている「果たして中国を敵に回して日本と同盟関係を結ぶことが、本当にオーストラリアの国益に合致するのか?」という声のインパクトは、「そうりゅう」にとっては最強の難敵だ。
実際、合致しないだろうからなあ。
》 笑えぬ4月1日ネタ 三重大助教「再びサイバー被害」 (中日, 4/14)。ジョークだと理解してもらえなかったそうで。
Chrome 50.0.2661.75 公開。20 件のセキュリティ修正を含む。
APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)
関連:
Adobe Flash Player の新しい脆弱性を狙う Magnitude や Nuclear などの悪用ツールキット (シマンテック, 2016.04.12)
Microsoft の複数のワイヤレス マウスに欠陥。 ワイヤレス マウスを使っていると、 USB ワイヤレス ドングルを介してキーボードの HID パケットを挿入される。 入力フィルタを改善し、QWERTY キーパケットを除外することで対応。
注 この更新プログラムは、Windows Server をサポートしていません。また、この更新プログラムは、スタンドアロンのワイヤレス マウス デバイスのみをサポートします。マイクロソフトのデスクトップ製品に属するワイヤレス マウス デバイスはサポートしていません。
緊急 x 6 (IE / Edge、.NET Framework、Office、Skype、Lync、Flash Player、Windows)、 重要 x 7 (.NET Framework、Hyper-V、Windows)。 (追記する予定は未定)
Windows および Samba 3.6.0〜4.4.0 に欠陥。
中間介入 (MITM) 攻撃が可能 (Windows, Samba)
DoS 攻撃が可能 (Samba)
CVE 等:
| CVE | 概要 | 対象ソフト、バージョン | 注記 |
|---|---|---|---|
| CVE-2016-0128 | Windows SAM および LSAD ダウングレードの脆弱性 | Windows Vista / Server 2008 以降 | |
| CVE-2016-2118 (BADLOCK) | SAMR and LSA man in the middle attacks possible | Samba 3.6.0 〜 4.4.0 | |
| CVE-2015-5370 | Multiple errors in DCE-RPC code | Samba 3.6.0 〜 4.4.0 | |
| CVE-2016-2110 | Man in the middle attacks possible with NTLMSSP | Samba 3.0.0 〜 4.4.0 | |
| CVE-2016-2111 | NETLOGON Spoofing Vulnerability | Samba 3.0.0 〜 4.4.0 | Windows の CVE-2015-0005 と同様 |
| CVE-2016-2112 | The LDAP client and server don't enforce integrity protection | Samba 3.0.0 〜 4.4.0 | |
| CVE-2016-2113 | Missing TLS certificate validation allows man in the middle attacks | Samba 4.0.0 〜 4.4.0 | |
| CVE-2016-2114 | "server signing = mandatory" not enforced | Samba 4.0.0 〜 4.4.0 | |
| CVE-2016-2115 | SMB client connections for IPC traffic are not integrity protected | Samba 3.0.0 〜 4.4.0 |
Windows は MS16-047 (3148527) で、 Samba は 4.4.2, 4.3.8, 4.2.11 で修正されている。 Samba 4.4.1, 4.3.7, 4.2.10 は私家版として複数のベンダーに提供されたが、 不具合が含まれており、4.4.2, 4.3.8, 4.2.11 で修正されているそうだ。
また、https://www.samba.org/samba/history/security.html で、Samba 4.4.0, 4.3.6, 4.2.9, 4.0.26, 3.6.25 用の patch が配布されている。 4.0.26 用 patch はファイルサーバーのみの修正で、AD やクライアント部分の修正が含まれていないとされている。3.6.25 用 patch については、関連する CVE についてのみとされている。
関連:
脆弱性「Badlock」を検証:Windows と Samba に影響 (トレンドマイクロ セキュリティ blog, 2016.04.14)
Badlock (CVE-2016-2118/CVE-2016-0128)についてまとめてみた (piyolog, 2016.04.12)
関連:
Badlock:横展開への懸念点 (エフセキュアブログ, 2016.04.14)
》 発行部数を「水増し」してきた朝日新聞、激震! 業界「最大のタブー」についに公取のメスが入った (現代ビジネス, 4/11)。公取は、読売など他社にも突撃してください。
》 車の中で性行為をしている男女をドローンで撮影、売春婦の逮捕に貢献 (gigazine, 4/9)。ドローンによるプライバシー侵害事例にしか見えないのだが。
》 「あなたのクルマも、いますぐハックされるかもしれない」FBIが警告 (WIRED, 4/2)、 車へのハッキング、ドライバーとメーカーへの注意喚起が持つ意味は(前) (ComputerWorld, 4/12)
これは、善意から出された文書だが、消費者にとって得るものはほとんどない。
》 北朝鮮サイバー部隊が脱北予備軍である理由 (高英起 / Yahoo, 4/12)
》 北朝鮮「ICBMエンジン燃焼実験に成功」 (NHK, 4/9)。関連:
北朝鮮の新型ICBM、1〜2年内に試射可能 韓国軍が予想 (東亜日報, 4/11)
North Korea’s Large Rocket Engine Test: A Significant Step Forward for Pyongyang’s ICBM Program (38 NORTH, 4/11)
》 平成27年における不正アクセス行為の発生状況等の公表について (警察庁, 3/24)
》 小型無人機等の飛行禁止区域について (警察庁, 4/11)
》 「自動走行システムに関する公道実証実験のためのガイドライン(案)」に対する意見の募集について (警察庁, 4/8)
》 FFRI、攻撃者の意図を分析し、サイバー攻撃対策のコストを削減するマルウェア自動解析システムを発売 (security insight, 4/11)。FFR yarai analyzer Professional。
》 FBI:iPhoneをアンロックした方法はiPhone 5s以降には使えない (techcrunch, 4/8)。5s および 6 系列には使えない。
iOS 8以降には暗号化機能が追加され、iPhoneの中身へのアクセスがずっと難しくなった。しかし、ファールック容疑者のiPhoneは、iOS 9を塔載したiPhone 5cだった。つまりそのツールは、iOS 9には対応しているが最近のiPhoneではうまくいかないようだ。
iPhone 5cには、指紋センサーやそのためのセキュリティー領域がない。最初に指紋センサーが付いたのはiPhone 5sだ。よって問題は指紋センサーの有無によるのかもしれない。
関連: 米司法省、再びアップルの協力を要求する訴え – 今度は「iPhone 5s」のロック解除で (WirelessWire News, 4/11)
》 #Wassenaar アレンジメントのゆくえ3 -- 今週から始まる予定の「Intrusion Software」の修整再交渉 (エフセキュアブログ, 4/11)。現状では、「オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitは輸出ライセンスを得る必要がある」のだそうで。
》 Windows 10のブルースクリーンにはQRコードが表示されるように (gigazine, 4/12)
》 くらし☆解説 「防げるか? レジからのカード情報の漏えい」 (NHK 解説委員室, 3/30)。IC カード対応の件。
そこで、経済産業省やカード会社、流通業界などが、2月に、レジの安全対策に取り組むことで合意しました。
【どのような対策ですか?】
一言で言うと、「IC化」。カード、そして、レジのIC化です。
関連:
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました〜国際水準のクレジットカード決済環境の整備を進めます〜 (経産省, 2/23)。
カード情報非保持化を推進、保持する場合は PCI DSS 準拠を
2020 年までに IC 対応化 100% を実現
2018 年までに EC 加盟店で「多面的・重層的な不正使用対策」(って何) を導入
業界横断的な「クレジット取引セキュリティ対策協議会」の活動とは? (payment navi, 3/14)
日本のPOS端末には大事なものが欠けている Visaセキュリティ責任者がリスクを警鐘 (東洋経済オンライン, 2015.04.05)
日本のクレジットカード情報が狙われている オリンピックに向けてPOS端末のIC化が急務 (東洋経済オンライン, 2015.05.05)
激震!10月1日から加盟店側に新たな負担 偽造カード対策を怠ると補償責任が発生 (東洋経済オンライン, 2015.09.30)
世界最大のクレジットカード決済ネットワーク会社Visa(ビザ)は10月1日、日本および米国で「CHIPライアビリティシフト」(債務責任の移行)というルールの導入に踏み切る。
これは、ICカード化対応をしていなかった小売店のPOS端末などで偽造カードが使われた場合の被害の補償について、従来、カード発行会社(イシュアー)が負っていた責任を、加盟店側(加盟店または加盟店管理会社(アクワイアラー))に移転させるというものだ。すでにライアビリティシフトは欧州やカナダ、アジア太平洋諸国などで導入されているが、今回、最大市場の米国や日本でもルールを導入する。
「2020 Cashless Japan」に向けた決済サービス概観 (payment navi, 3/10)
不正使用防止の取組み クレジットカードのIC取引を推進しています (日本クレジット協会)
》 国立感染症研究所 「レベル4」施設で5月から実験 (NHK「かぶん」ブログ, 3/31)。BSL4。
》 OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」 (日経 IT Pro, 4/7)
》 ウィザード級ハッカーが「バグハンター」として稼ぎつつGoogleやFacebookの個人情報漏洩を防ぎ続ける実態とは? (gigazine, 4/12)
インドのような成長途上国では、こうした「バグハンター」はいま成長中の職業の1つで、Facebookが2015年に成長途上国から受け取ったバグ報告は13233件、バグハンターの数は5543人でした。中でも報告件数が多いのはインド、エジプト、トリニダード・トバゴだとのこと。
》 新たな情報セキュリティ早期警戒パートナーシップの基本構想などを公開 (IPA, 3/31)
》 「Ipa脆弱性対策コンテンツリファレンス」Pdf版の公開 (IPA, 3/25)
》 IPAテクニカルウォッチ「公衆無線LAN利用に係る脅威と対策」 (IPA, 3/30)
》 第12回Ipa「ひろげよう情報モラル・セキュリティコンクール」2016の作品募集を開始しました (IPA, 4/1)。締切 9/7。
》 やるべきことを締切直前まで先延ばしにしてしまう心理に迫る「Inside the mind of a master procrastinator」 (gigazine, 4/11)。あるあるすぎる。
》 抗菌・殺菌成分が入った「薬用石けん」は益どころか害になるおそれ (gigazine, 4/11)。トリクロサン、トリクロカルバンの件。関連:
トリクロサン、人体には安全だが環境には影響あり(カナダ) (アポネットR研究会・最近の話題, 2012.03.31)
FDA、抗菌石鹸の効果と安全性に警鐘 (ナショナル・ジオグラフィック日本版, 2013.12.18)
殺菌石けんの成分、ミネソタ州で禁止へ。米国で高まるトリクロサンへの疑問の声 (gizmode, 2014.05.22)
Ban antibacterials triclosan and triclocarban, report says - Canadian Environmental Law Association says lakes and rivers are at risk (CBC, 2014.07.10)
トリクロサンによる妊孕性低下 (松林 秀彦 (生殖医療専門医)のブログ, 2015.05.22)
EU To Ban Triclosan, While EPA and FDA Reject Calls for U.S. Ban (Beyond Pesticides, 2015.06.26)
花王ハンドソープ『ビオレU』はEUで使用禁止の殺菌成分「トリクロサン」入り 環境ホルモン作用、皮膚に浸透 (MyNewsJapan, 2015.08.12)
》 思い込みが引き起こす「プラシーボ効果」がいかに強力かよくわかるムービー (gigazine, 4/8)
》 Wi-Fiで正確な位置を特定する技術「Chronos」をMITが開発、パスワード不要なWi-Fi・屋内GPS・自動追従ドローンが誕生する (gigazine, 4/9)
》 数か月間の無人自律航行が可能で潜水艦を探知する対潜無人艦「Sea Hunter」 (gigazine, 4/11)。無人水上艇 (USV) 開発中。
》 完全なプライバシー保護を誇るメッセージングアプリSignalがChromeアプリケーションとしてデスクトップに登場 (techcrunch, 4/8)。スノーデン氏推奨アプリ。
》 アドビシステムズの記者会見で著作権について講演しました (栗原潔のIT弁理士日記, 3/23)。「素材写真利用における著作権法上の留意点」
【注意喚起】ランサムウェア感染を狙った攻撃に注意 (IPA, 4/13)
ランサムウェアに備えるならバックアップしかない (BunBackup, 4/11)
ランサムウェアに備えるためには、単にバックアップするだけでなく、もう一工夫しましょう。
たとえば、バックアップ先はCD-R、DVD-Rなどの光ディスクを兼用する、バックアップ先をポータブルHDDにし、バックアップ後は取り外すなどが有効です。
自宅住所が書かれたメールをクリックするとPC内のデータがロックされ身代金を要求される、という極悪フィッシング詐欺が登場 (gigazine, 4/11)
ランサムウェアにご用心〜狙われた古いFlash Player、メール攻撃も継続中 (so-net セキュリティ通信, 4/11)
Petya
Petyaランサムウェアにバグ:復号ツールが開発される (Kaspersky, 4/13)、 「Petya:ディスク暗号化ランサムウェア」に感染したマシンの復旧 (エフセキュアブログ, 4/13)
ハードディスクを食らうランサムウェアPetya (Kaspersky, 4/12)
Tool Released to Decrypt Petya Ransomware Infected Disks (SANS ISC, 4/11)、 Petya Ransomware's Encryption Defeated and Password Generator Released (bleeping computer, 4/10)
動画:Petyaのデバッグ (エフセキュアブログ, 4/6)
Petya:ディスク暗号化ランサムウェア (エフセキュアブログ, 4/1)
新暗号型ランサムウェア「PETYA」、MBRを上書きしてPCへのアクセス不能に (トレンドマイクロ セキュリティ blog, 3/28)
「あなたは新しい請求書 〜 を持っています」日本語メールでのランサムウェア拡散を確認 (トレンドマイクロ セキュリティ blog, 4/8)
ランサムウェア CRYPTOLDESH に感染してみました。 ((n)inja csirt, 4/6)
緊急注意喚起-国内民間企業でも被害が深刻化するランサムウェアの脅威 (トレンドマイクロ セキュリティ blog, 4/6)、 すぐ役立つ! 法人組織で行うべき「ランサムウェア」対策 (トレンドマイクロ)
標的型ランサムウェアという新しい傾向を示す Samsam (シマンテック, 4/6)、 凶悪化するランサムウェア:遠隔でLAN内拡散、バックアップも破壊する「SAMAS」 (トレンドマイクロ セキュリティ blog, 4/1)
PowerWare
暗号化型ランサムウェア「PowerWare」、米国の確定申告ユーザを狙う (トレンドマイクロ セキュリティ blog, 4/4)
PowerWare or PoshCoder? Comparison and Decryption (AlienVault, 4/4)
Android を狙ってヨーロッパで広く拡散しているランサムウェアが日本に上陸 (シマンテック, 4/4)、 日本語表示に対応したモバイル版ランサムウェアを初確認、既に国内でも被害 (トレンドマイクロ セキュリティ blog, 3/16)、 「ランサムウェア」脅威がモバイルへも拡大中 (トレンドマイクロ セキュリティ blog, 3/18)
Tips for Stopping Ransomware (SANS ISC, 4/1)
%AppData% ディレクトリ中のファイルの実行を抑止する。 ソフトウェア制限ポリシーを使った設定例
パッチを完全に適用する: システム、Java、Shockwave、Flash (その他)
実行可能な添付ファイルのついた電子メールを無効にする
強力なバックアップを維持する
「ワクチン」を利用する。(アンチウイルスソフトのことではない)
Locky
狡猾なランサムウェアLocky、米病院を襲う (Kaspersky, 4/1)
Wordファイルを開くだけでPCが乗っ取られるランサムウェア「Locky」 (ZERO/ONE, 3/18)
CTB-Lockerランサムウェアの新種、70台のWebサーバーに感染 (Kaspersky, 3/29)
暗号化ランサムウェアに関するFBIの回答 (エフセキュアブログ, 3/22)
ランサムウェア「Maktub Locker」のグラフィックデザイン (エフセキュアブログ, 3/21)
Suckfly: コードサイニング証明書の悪用が明らかに (シマンテック, 3/17)
盗まれた 9 つの証明書は、すべて別々の会社のものでしたが、物理的な所在地は韓国ソウル市の中心部に集まっていました。(中略) 証明書が盗まれた正確な状況は不明ですが、社内の証明書を検索して取得するという機能を持ったマルウェアが各企業に侵入した可能性が最も高そうです。
複数のデジタル証明書を使って検出をすり抜けるマルウェアが出現 (シマンテック, 3/25)
マルウェアの作成者は、1 種類ではなく 2 種類のデジタル証明書でマルウェアに署名することのメリットに気付いたことになります。複数のデジタル署名を使う第 1 のメリットは、ファイルの信憑性が高くなるということです。2 番目に、複数のデジタル証明書で署名したファイルは、一方の署名が失効しても、まだ署名が有効な状態が続くというメリットもあります。こちらのほうが意味は大きいかもしれません。
WhatsApp、全てのプラットフォームのエンドツーエンド暗号化を完了 (techcrunch, 4/6)
WordPress.comが傘下のすべてのWebサイトをHTTPSで暗号化へ (techcrunch, 4/9)
新たな脅威レポート (エフセキュアブログ, 4/11)
2016 年 3 月の最新インテリジェンス (シマンテック, 4/10)
McAfee Labs 2015年第4四半期脅威レポート:数値データは何を意味しているのか (マカフィー, 4/12)
》 March 2016 CA Communication (Mozilla Security Blog, 3/29)
》 Torブラウザーの利用者を特定する新手法が発表される (ZERO/ONE, 3/30)
》 HTTPレスポンスのgzip圧縮による日時リーク : Torの秘匿ネットワークの秘匿性を脅かす仕様・実装について (POSTD, 3/16)
HID社「ドアコントローラー」に脆弱性 オフィスビルの鍵を解除される恐れ (ZERO/ONE, 2016.04.08)。「Ricky Lawshae氏が、HIDのドアコントローラー「VertX」および「Edge」の重大な脆弱性を明らかにした」。日本でも販売されているのかな。
JVNDB-2016-001939 - McAfee Email Gateway におけるクロスサイトスクリプティングの脆弱性 (JVN, 2016.04.08)。patch が配布されている。
JVNDB-2016-000048 - EC-CUBE 用プラグイン「ソーシャルボタン設置プラグイン -プレミアム-」におけるクロスサイトスクリプティングの脆弱性 (JVN, 2016.04.08)。バージョン 1.0 に欠陥、バージョン 1.1 で修正。
JVNDB-2016-001940 - ProFTPD の mod_tls モジュールにおける脆弱性 (JVN, 2016.04.08)。ProFTPD 1.3.5b、1.3.6rc2 で修正されている。
Squid Proxy Cache Security Update Advisory SQUID-2016:3 (squid, 2016.04.02)。Squid 4.0.8, 3.5.16 で修正されている。
》 Windows 10: パスワード、スマート カード、そして Windows Hello + Microsoft Passport。それぞれの違いを理解しよう (1) (日本のセキュリティチーム, 3/17)、 (2) (日本のセキュリティチーム, 4/1)、 (3) (日本のセキュリティチーム, 4/11)
》 行政機関法では再識別禁止がないから個人情報に当たるですって?(パーソナルデータ保護法制の行方 その22) (高木浩光@自宅の日記, 4/6)
思えば、これまでに、行政機関パーソナルデータについて、2年弱にわたってウォッチしてきたが、行政管理局の言うことは徹頭徹尾出鱈目だった。なぜ外部の話を聞こうともせず事を進めるのだろうか。日本の法律がこんなにも杜撰な形で作られていくとは、嘆かわしくて涙が出る。
》 グローバルインターネットDNS名前空間における名前空間衝突に関する研究及びリスク緩和のための枠組み 最終報告書(日本語解説) (JPRS, 4/6)
》 WSUS で「削除の承認」を行い、更新プログラムを削除する (Japan WSUS Support Team Blog, 3/29)
WSUS で更新プログラムを管理されている皆さまの中には、「間違った更新プログラムを配信してしまった!削除したい!」という状況になった方もおられるのではないでしょうか。
そのような状況において、WSUS で有効な機能が「削除の承認」です。この機能はあまり知られていませんが、WSUS で配信した更新プログラムをクライアント PC からアンインストールすることができます。
更新プログラムの中には「削除の承認」ができないものもありますが、更新プログラムを削除する方法の 1 つとして有効です。
》 「パナマ文書」解析の技術的側面 (Medium, 4/9)
》 Windows Vista、サポートが終了する2017年4月11日まで、あと1年 (Internet Watch, 4/11)
》 党「TPP交渉過程解明チーム」が与党の委員会運営に抗議する記者会見 (民進党, 4/8)
会見の場で玉木雄一郎議員が「この間、西川委員長の著書であるという前提でゲラを慎重に扱ってきたが、本人が認めない以上、著作権を慎重に扱う必要はなくなった。この『TPPの真実』の原稿については、広くマスコミ・国民の皆さんに公開し、国民の皆さんとともに検証していきたい」と、報道各社にゲラのコピーを配布することにした経緯を説明した。
関連:
やっぱり、TPP暴露本のゲラは西川氏が著作者だと自分から認めるわけにはいかないことを見越した作戦かぁ(選挙影響で自公が販売延期させてたくらいなので認めたら別の意味で野党が勝ち)。野党らしからぬうまい手だけど誰がシナリオ書いたんだろ https://t.co/38xgAq8BnR
— てんたま (@tentama_go) 2016年4月10日
@tentama_go 加えて、この会見の前に、NHKに西川委員長が自ら「本を出さない」と言ってしまっています。そうなると、発売前のものを出したと損害賠償も理屈上はしにくいですよね。https://t.co/YggtNjyUUg
— 三宅雪子(野党共闘!) (@miyake_yukiko35) 2016年4月10日
》 セキュリティ・キャンプ 地方大会 実施状況 (セキュリティ・キャンプ実施協議会)
》 アマゾン「中傷レビュー」投稿者の発信者情報開示を命じる判決、その手法とは? (弁護士ドットコム, 4/11)。アマゾンは接続元IPアドレス情報だけでなくユーザー情報も持っているため、通常は2段階必要な開示手続きが1回で済んだそうで。
APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)
関連:
Flashの緊急パッチ、今すぐ更新を (読売, 2016.04.11)
広く悪用が確認された Flash の新しいゼロデイ脆弱性 (シマンテック, 2016.04.06)
Magnitude EK Spikes with Latest Flash Vulnerability: CVE-2016-1019 (F-Secure, 2016.04.08)、 Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増 (エフセキュアブログ, 2016.04.08)
Flashのゼロデイ脆弱性「CVE-2016-1019」、既にランサムウェア拡散での利用を確認 (トレンドマイクロ セキュリティ blog, 2016.04.08)
A Look Into Adobe Flash Player CVE-2016-1019 Zero-Day Attack (trendmicro blog, 2016.04.08)
》 嵐のチケット、ついに顔認証 1枚数十万円で転売やまず (朝日, 4/7)
》 安倍、菅の高額ガソリン代はなぜ追及されない? 山尾追及の「新潮」は「安倍さん、菅さんは地元を回っている」と露骨擁護 (リテラ, 4/7)
関連: 【墓穴】国会議員のガソリン代疑惑パロディ「総統閣下は『地球13周分のガソリン代』が計上された事にお怒りのようです」(4分) (健康になるためのブログ, 4/5)
》 交渉過程が赤裸々に…西川元農相「TPP暴露本」衝撃の中身 (日刊ゲンダイ, 4/8)
》 FBI、大学襲撃を計画したテロ容疑者のSkypeログとパスワードを要求 (スラド, 4/8)
》 「あなたは新しい請求書 〜 を持っています」日本語メールでのランサムウェア拡散を確認 (トレンドマイクロ セキュリティ blog, 4/8)
》 Linuxのボットネット「BillGates」による攻撃が激化--アカマイが警告 (ZDNet, 4/8)
BillGates Malware used in DDoS Attacks (Akamai, 4/4)
APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)
修正版出ました: APSB16-10 - Security updates available for Adobe Flash Player (Adobe, 2016.04.07)
「パナマ文書」で窮地に追い込まれるのは誰だ アイスランドの首相は早々に辞任 (東洋経済オンライン, 4/7)
パナマ文書はどうやって世に出たのか (小林恭子 / ハフィントンポスト, 4/6)
世紀のリーク「パナマ文書」が暴く権力者の資産運用、そして犯罪 (ニューズウィーク日本版, 4/5)
世界を揺るがしかねない「パナマ文書」の衝撃 各国政府が脱税や租税回避の調査を開始 (東洋経済オンライン, 4/5)
アイスランド首相が辞任、「パナマ文書」の資産隠し疑惑で (ロイター, 4/6)、アイスランド首相、辞任へ パナマ文書の租税回避疑惑 (朝日, 4/6)
パナマ文書「大きな問題」 オバマ大統領、税逃れを批判 (朝日, 4/6)
オバマ米大統領は5日の記者会見で「税逃れは世界的に大きな問題だということを改めて思い起こさせた。多くの取引が合法で、それがまさに問題だ」と述べ、抜け道を防ぐ取り組みが必要との考えを示した。
まったくだ。
「パナマ文書」とは何なのかまとめ、問題の本質や資産隠しの現状、そして各界の反応は (gigazine, 4/6)
【社説】 パナマ文書 税逃れのツケは払えぬ (東京, 4/7)
関連:
日本の大企業・富裕層はタックスヘイブンで世界第2位の巨額な税逃れ、庶民には消費税増税と社会保障削減 (井上 伸 / editor, 2015.09.07)
富裕層・大企業の税逃れの手口=タックスヘイブンで貧困層から富奪い深刻な財政赤字のツケは庶民へ、ドラッグ・人身売買・臓器販売・マネーロンダリングなど犯罪の温床となるタックスヘイブン (井上 伸 / editor, 2015.09.10)
タックスヘイブンでの富裕層・大企業の税逃れ禁止で消費税は廃止できる=ケイマン諸島だけで日本の大企業は60兆9千億円(2013年)とこの12年間で3.2倍増の税逃れ (井上 伸 / editor, 4/7)
タックスヘイブンを使ったのは誰かが検索できる秘密ファイルのデータベース公開、日本の住所も多数あり (gigazine, 2013.06.15)。2013 年の記事。今回の「パナマ文書」の件ではない。
》 <滋賀県議>ちゃんと謝罪しろ…「発言」に抗議400件 (毎日 / Yahoo, 4/6)。吉田清一氏の件。
》 JPRSが名前衝突問題に関するICANNの最終報告書の解説書を公開 (JPRS, 4/7)
ルセフ大統領弾劾手続き続行中
ブラジル下院が大統領弾劾手続き開始、ルラ氏閣僚就任で抗議デモ (ロイター, 3/18)
大統領の弾劾請求審議 下院が特別委員会設置 (サンパウロ新聞, 3/21)
ブラジル最大与党が連立離脱 ルセフ大統領の弾劾手続き加速か (BBC, 3/30)
ルセフ大統領「弾劾されるべき」 ブラジル議会報告書案 (朝日, 4/7)。4/11 に報告書案の採決、早ければ 4/15 に弾劾の採決。
テメル副大統領弾劾手続き開始
ブラジル副大統領にも弾劾手続き開始命令、政治情勢さらに混乱 (ロイター, 4/6)
「副大統領も弾劾を」 ブラジル最高裁が命令 (朝日, 4/7)
ルセフ氏に対するものと同じ内容の弾劾請求がテメル氏についても出されていたのに、下院議長が受理しなかったことを問題視した。
もともとテメル氏にも出ていたのか……。
》 汚染土壌の再生利用は世界に前例の無い一大ナショナル・プロジェクト (おしどりポータルサイト, 4/7)
最終処分量を減らすため、再生利用量を増やす、ということは実質、全国に埋設して最終処分をするということである。
》 緊急注意喚起-国内民間企業でも被害が深刻化するランサムウェアの脅威 (トレンドマイクロ セキュリティ blog, 4/6)、 すぐ役立つ! 法人組織で行うべき「ランサムウェア」対策 (トレンドマイクロ)
》 「Windows 10」、Bashも使えるAnniversary Updateプレビュー(ビルド14316)公開 (ITmedia, 4/7)
》 マイナンバーカードのICチップ不具合が大都市で多発、横浜市はシステム改修へ (日経 IT Pro, 4/6)
住民が来庁しカード交付を受ける際に、自治体職員は統合端末を操作して、カードのICチップを有効化する手続きを行う。この際に、統合端末と住基ネットCS、さらにその先のJ-LISのサーバールーム内にある「カード管理システム」との間で通信を行う。 (中略) 通信が失敗すると、統合端末側で「交付済み」、カード管理システム側で「交付前」状態になり、不一致が生じる。いったん不一致になると、再度通信を試行しても“不正アクセス”とみなされ、カードの有効化が二度とできない。
単なるバグじゃん。テスト不足であろ。 関連:
高市総務大臣閣議後記者会見の概要 (総務省, 4/5)
日曜日だったかと思いますが、「暗証番号登録時にシステム障害が起こると、システム障害を不正アクセスと誤認して、ICチップが自らデータを壊してしまう」という一部報道がございましたが、これは事実誤認でございます。
読売の記事↓の件。
カード交付時に使用不能、相次ぐ…マイナンバー (読売, 4/3)
》 JALシステム障害、前週に追加の排他制御がデッドロックを誘発 (日経 IT Pro, 4/6)。 「開発元から適用されたパッチの中に、キャッシュの排他制御を追加する設計変更があり、もともと実装されていたディスクの排他制御との間でデッドロックが発生」。
JALは障害に備え、テスト環境を兼ねて本番系と同じ構成の待機系も保有している。今回の障害でも発生直後に待機系を稼働させたものの、処理性能はもともと本番系の7〜8割程度しかなかった。正常に重量計算でき離陸できた便もあったものの、トラブルが起きたのは国内線の出発のピークである朝の時間帯。待機系では全便の重量計算を処理しきれず、欠航便が増えていった。
うわー……
7時55分にアプリケーションサーバーと連携サーバーを再起動し、8時50分に連携サーバー内に滞留している乗客・燃料・貨物などのデータを削除したが状況は変わらなかった。9時12分に外部システムとの連動を止め、9時18分に再度アプリケーションサーバーを再起動したところ状況が改善した。
単なる再起動ではうまくいっていなかったのですね。
JALは排他制御の見直し以外に、(1)待機系の処理性能を本番系と同程度まで強化する、(2)LHSとの情報共有を密にする、(3)外部ベンダーのエンジニアの協力を得つつ、パッチ適用前の検証などを強化する――といった対策を進めるとしている。
まあ、そうなりますよね。
APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)
関連:
APSA16-01 が改訂されている。脅威対象が「Windows 7・XP」から「Windows 10 以前」になった。
明日には Flash Player 更新版が公開される予定。
A Root Cause Analysis of the Recent Flash Zero-Day Vulnerability, CVE-2016-1010 (trendmicro blog, 2016.04.06)
》 「真田丸」は四角だった? 幻の出城に地中レーダー探査 (朝日, 4/6)。先日ヒストリアでやってた件かな。
徹底解明!これが“真田丸”だ 〜地中に残された幻の城〜 (NHK, 1/6)
ヒストリア「真田丸」スペシャル、4/14 深夜に再放送されるそうです。 長距離狙撃戦だなんて、まるで現代の戦場だ。
》 海外渡航の「朝鮮」籍者に「誓約書」強要する入管当局――再入国許可の取り消し警告も (韓東賢 / Yahoo, 4/3)。 「朝鮮」籍は北朝鮮国籍を意味しないにもかかわらず、 「「みなし北朝鮮国籍」「みなし敵性国民」として排除か」。
》 [続報]JALシステム障害、サーバー内の「滞留メッセージ」と関係か (日経 IT Pro, 4/1)
この時「サーバーを再起動し、滞留したメッセージを削除したところ、正常に再稼働した」(JAL広報)という。なぜサーバー再起動に加え、「滞留したメッセージ」を削除したかは明らかにしていない。
単に再起動しただけではなかったのですね。
》 衛星「ひとみ」の重大トラブル、いま打つべき手 “官邸の安心”に使う予算はある日本 (日経ビジネス, 4/6)
日本の政治は、政策担当者の単なる安心のために300億円の追加投資を宇宙に投ずることができる。また、日本にはそれだけの財政的余裕もある。今はその意志を、宇宙科学に向けるべきであろう。
まさにトロイの木馬……
問題の記事では、パスワードの強度がどれくらい高いかを調べることができる対話型フォームが用意されていた。このフォームには「娯楽と教育目的のみ使用され、パスワードは保存しない」と記載されている。しかし、実際にはパスワードやトラフィック分析は、Googleドキュメントのスプレッドシートに入力されていたという。またサーバーとの接続は通常のHTTP接続で、データは暗号化されていなかったそうだ。
さらにセキュリティ研究者であるAshkan Soltani氏によれば、CNBCの広告ネットワークや他の関係者に入力されたパスワードが送信されていたという。
Flash Player 21.0.0.197 以前に 0-day 欠陥、remote から任意のコードを実行できる。CVE-2016-1019
Windows 7・XP 向けの、Flash Player 20.0.0.306 以前で有効な攻略プログラムが出回っている。この欠陥に対しては Flash Player 21.0.0.182 で実装された軽減策が有効に機能しており、Flash Player 21.0.0.182 以降の利用者は防御されているそうで。
関連:
APSA16-01 が改訂されている。脅威対象が「Windows 7・XP」から「Windows 10 以前」になった。
明日には Flash Player 更新版が公開される予定。
A Root Cause Analysis of the Recent Flash Zero-Day Vulnerability, CVE-2016-1010 (trendmicro blog, 2016.04.06)
修正版出ました: APSB16-10 - Security updates available for Adobe Flash Player (Adobe, 2016.04.07)
関連:
Flashの緊急パッチ、今すぐ更新を (読売, 2016.04.11)
広く悪用が確認された Flash の新しいゼロデイ脆弱性 (シマンテック, 2016.04.06)
Magnitude EK Spikes with Latest Flash Vulnerability: CVE-2016-1019 (F-Secure, 2016.04.08)、 Flashの最新の脆弱性CVE-2016-1019と共にMagnitude EKが急増 (エフセキュアブログ, 2016.04.08)
Flashのゼロデイ脆弱性「CVE-2016-1019」、既にランサムウェア拡散での利用を確認 (トレンドマイクロ セキュリティ blog, 2016.04.08)
A Look Into Adobe Flash Player CVE-2016-1019 Zero-Day Attack (trendmicro blog, 2016.04.08)
関連:
Adobe Flash Player の新しい脆弱性を狙う Magnitude や Nuclear などの悪用ツールキット (シマンテック, 2016.04.12)
》 佐々木俊尚さんと出版社のトラブル (悪徳商法?マニアックス ココログ支店, 3/17)
》 次号発売のお知らせと雑誌コードについて (冤罪事件専門誌「冤罪File」編集局公式ブログ, 3/29)。 5/27。
》 【出版】 発信者情報開示請求の手引─インターネット上の名誉毀損・誹謗中傷等対策 (壇弁護士の事務室, 4/1)
》 特集ワイド 甘利問題、逃げるが勝ち? 違法性疑念、しっかり説明必要 (毎日, 4/4)
》 【抄訳記録】米クルーグマン教授が2016/3/22の『国際金融経済分析会合』で語ったこと(日英併記完全版) (togetter, 4/3)
》 海の向こうの“セキュリティ” 攻撃側も人材不足/大企業の社員のセキュリティ意識 ほか (Internet Watch, 4/5)
》 電力会社へのサイバー攻撃で大規模停電--インダストリアルIoTの脆弱性 (ZDNet, 4/5)
》 NHKで大暴言、憲法読めない高村副総裁が露呈―自民党改憲草案のデンジャラスさ (志葉玲 / Yahoo, 4/5)
》 「独裁的・密室的な経営体制が最大の問題点」餃子の王将・第三者委報告書のポイント (弁護士ドットコム, 4/5)
》 安倍首相辞任、整いました。安倍首相の痛恨のオウンゴール発言が、自民党議員のブログから発掘 (シャンティ・フーラの時事ブログ, 4/4)。結局、蓮池透さんが正しかった?
》 パナマの法律事務所から 2.6TB もの文書が流出、租税回避地の利用実態が明らかに。 現在もまだ絶賛分析中。なにしろ相手は 2.6TB である。 日本では、朝日と共同が分析チームに参加。
The Panama Papers (ICIJ)。国際調査報道ジャーナリスト連合。
巨大企業・富裕層がいかにタックスヘイブンなどで巨額の金を隠し持っているか暴露する「パナマ文書」が公表される (gigazine, 4/4)
オフショア取引の闇を照らす「パナマ文書」の衝撃―文書2.6テラバイトをドイツ紙が入手 (techcrunch, 4/4)
朝日:
サウジ国王・プーチン氏友人…租税回避地に関係会社 (朝日, 4/4)
租税回避地の秘密ファイル、日本からも400の人・企業 (朝日, 4/4)
タックスヘイブン、「適法」でも厳しい視線 (朝日, 4/4)
タックスヘイブンで巨額取引横行 プーチン氏周辺2200億円 (共同 / 東京, 4/4)
世界のエリート層の資金運用 資料で実態明らかに (BBC, 4/4)
明らかになった「プーチン・サークル」の錬金術 「パナマ文書」で (木村正人 / Yahoo, 4/4)
【タックスヘイブン】「パナマ文書」を中国の検索エンジンで引いてみると… (黒色中国BLOG, 4/5)。さっそく、すがすがしいほどにフィルタされている。
ウクライナ大統領、租税回避疑惑で自身を擁護 (ロイター, 4/5)
「パナマ文書」スキャンダル、世界各国で調査開始 (AFPBB, 4/5)
コラム:「パナマ文書」はどこまで不正浄化できるか (ロイター, 4/5)
関連:
「パナマ文書のようなデータ流出は今後も起きる」--サイバーセキュリティ専門家が警告 (CNET, 4/5)
「パナマ文書」問題、検察が捜査へ 法律事務所はハッキングと主張 (AFPBB, 4/5)
Android 月例セキュリティ修正 2016.04。39 件のセキュリティ欠陥を修正。
関連: Google、Androidの月例セキュリティ情報を公開 深刻な脆弱性が多数存在 (ITmedia, 2016.04.05)
》 Amazon.com、技術仕様を満たさないUSB Type-Cケーブルの販売を禁止 (スラド, 4/2)
》 サーバの電力消費傾向とピークカットの取り組み (Yahoo! JAPAN Tech Blog, 3/31)
一方、上記はプライベートクラウド(OpenStack)環境の電流値グラフです。こちらの環境では、5分おきにスパイクが発生していることがわかります。(中略) これらはcronをトリガに処理を実行する定常的なバッチや、監視プロセスによるものでした。仮想化により集約度があがったことで、潜在的に存在した問題が表面化したわけです。
この問題への対応策の解説。アプリの実行タイミングをずらす、ピークカット UPS の導入。
》 Windows Server 2012 R2 におけるネットワーク障害からの仮想マシンの復旧について (Ask CORE, 3/17)
》 Windows 8.1 の起動時に真っ黒な画面で止まってしまう (Ask CORE, 3/31)。高速スタートアップを無効にすることで回避できる。
なお、この現象については今のところ修正の予定はありません。
また、Windows 10 ではこの現象は発生しないことを確認しています。
》 マイナンバーカード、システム障害を不正アクセスと誤認識してICチップが使えなくなる例が相次ぐ (スラド, 4/4)。ショボすぎる。
[新国立競技場226] 流用問題と海外専門家の反応 (kensyou_jikenboのブログ, 4/4)
新国立競技場、隈案に決定の裏に利権の闇 (週刊ダイヤモンド, 4/4)
報道ステーション (テレビ朝日)。まるで核攻撃を受けたような。
報道ステーション (twitter)。こちらも同様。
嘆きの声:
報道ステーションはサイトを削除してしまったため、今までの10年近くに及ぶ特集や世論調査も全て見れなくなってしまった。これで自民党にとって都合の悪いデータはすべて消えて無くなった。
— 9.19を忘れないbot緊急事態条項阻止 (@remember919) 2016年4月1日
報道の自殺というやつを「報道ステーション」に見ることになるとは。この番組にはアーカイブという良識もないらしい。所詮はバラエティ番組でしたという顛末。古館氏がいくら後任をよろしくと言って去っても局の側で引き継ぐ気がなきゃしょうがない。 https://t.co/eJyfP7ajhb
— kaz hagiwara(萩原 一彦) (@reservologic) 2016年4月1日
》 FBI、全米法執行機関にiPhoneロック解除支援を申し出る書簡を送付 (ITmedia, 4/4)
》 自衛隊、有事の治療拡充を検討 戦傷リスクに現実味 (東京, 4/4)。これについては、いままで何もしてこなかった事の方がおかしいんですけどね。あわせて、救急キットや救急装甲車の問題も取り上げてほしい。
戦傷者は「想定外」という、自衛隊の平和ボケ 「国内では銃創や火傷は負わない」との前提 (東洋経済オンライン, 2014.09.17)
自衛官の「命の値段」は、米軍用犬以下なのか 実戦の備えがないため派兵どころではない (東洋経済オンライン, 2015.03.19)
自衛隊は、やはり「隊員の命」を軽視している 戦闘を想定した準備はできていない<上> (東洋経済オンライン, 2015.07.26)
現行の救急キットでは多くの自衛隊員が死ぬ 戦闘を想定した準備はできていない<下> (東洋経済オンライン, 2015.07.27)
PHP 5.5.34、5.6.20、7.0.5 公開。 Sec Bug に分類されているのは この 5 つ。
Aterm W300P、 W500P WR8165N WF300HP2、 WF800HP、 WF1200HP、 WF1200HP2、 WG1400HP、 WG1800HP2 の更新ファームウェア公開。「2. セキュリティ向上のための対応を行いました」というのは、 クロスサイトリクエストフォージェリ脆弱性への対応の模様。
JVN#07818796: Aterm WF800HP におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2016.03.30)
JVN#82020528 Aterm WG300HP におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2016.03.30)
その他にも、影響を受ける機種がある模様。
Aterm製品におけるセキュリティ向上のための対処方法について (NEC, 2016.03.30)。全機種ではない。
NECのWi-Fiルーター「Ateamシリーズ」全機種に脆弱性、サポート終了の機種を安全に使うには? (iPod LOVE, 2016.04.03)
CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow (2016.02.17)
2016.04.04: 以下を追加。
IO DATA: glibc バッファオーバーフローの脆弱性について。 HDL6-H・ HDL4-HEX・ HDL4-HR・ HDL2-Hシリーズについて、 ファームウェア Ver.2.05(2016.03.14 公開)で修正されている。
トレンドマイクロ: アラート/アドバイザリ : glibcの脆弱性「CVE-2015-7547」に対する弊社製品での対応について 。 Deep Discovery Advisor 2.95 / 3.0 SP1、 Deep Discovery Analyzer 5.5、InterScan Messaging Security Virtual Appliance 9.0、InterScan Web Security Virtual Appliance 5.6 / 6.5 については、修正モジュールが個別に配布されている。
ヤマハ: 「glibc にバッファオーバーフローの脆弱性」について。
ヤマハ 無線LANアクセスポイント WLX302 の
syslog 転送機能、NTPによる時刻同期機能、HTTPリビジョンアップ機能、メール通知機能、ping、arping、traceroute
がこの脆弱性の影響を受け、意図しない再起動が発生する可能性があります。
更新ファームウェアが用意されている。
》 凶悪化するランサムウェア:遠隔でLAN内拡散、バックアップも破壊する「SAMAS」 (トレンドマイクロ セキュリティ blog, 4/1)
ランサムウェアによるデータ暗号化被害を緩和し、早期の復旧を行うためにもデータのバックアップが重要です。バックアップの際には3-2-1ルールをに意識してください。3つ以上のバックアップコピーを、可能なら2つの異なる書式で用意し、そのうちの1つをネットワークから隔離された場所に保管してください。
参照されている、活発化する「Cryptoランサムウェア」 (トレンドマイクロ セキュリティ blog, 2015.06.23) ではこうです:
ファイルを定期的に取ることで重要な情報を保護することができます。バックアップする際、「3-2-1のルール」をぜひ実践してください。自身のファイルのコピーを 3つ取り、それぞれ異なる端末に保存します。次に、それぞれ端末に保存する際、 2つの異なる種類の端末に保存します(例:ハードドライブおよびUSB)。最後に、3つのコピーの内 1つのコピーは他の 2つとは異なる場所に保存します(例:自宅とオフィス)。
元記事である World Backup Day: The 3-2-1 Rule (trendmicro, 2013.04.02) ではこうです:
- At least three copies,
- In two different formats,
- with one of those copies off-site.
》 「@ITセキュリティセミナー(大阪)」レポート2016: インターポールの考える「サイバー犯罪撲滅策」 (@IT, 3/31)
》 『週刊文春』スクープ連発の舞台裏を探る (篠田博之 / Yahoo, 3/31)
》 練馬の書店とコンビニから「週刊文春」が消える怪現象発生中、地元自民党議員の告発記事が影響か (Buzzap!, 4/1)。 “保育園ヤジ議員”菅原一秀議員が国会休んで愛人とハワイ旅行 (週刊文春, 3/30) の件。
》 能町みね子・雨宮まみによる北条かやへの抗議 (togetter, 3/31)
》 [報道ステーション]ワイマール憲法から学ぶ自民党憲法草案緊急事態条項の危うさ (文字起こし)【全編】 (Everyone says I love you !, 3/27)。 関連:
【ナチスの手口】日本人が知らない、ニュルンベルク裁判で明らかにされた旧ドイツ議会国会議事堂ライヒスターク放火事件の真相 (togetter, 3/29)。報ステでは「一説では、ナチの自作自演だという話もありますが」となっているが、自作自演が確定済。
仏大統領、テロ犯から国籍剥奪の改憲を断念 (AFPBB, 3/31)
仏大統領、対テロの憲法改正断念 当局の裁量拡大に懸念 (朝日, 3/31)
》 イエメン停戦合意へ、それでもサウジの明日は暗い 軍事費の拡大に歯止めがかからず財政は火の車 (JBpress, 4/1)。 関連:
仏軍、インド洋で大量の武器押収 イランがイエメンへ輸送か (CNN, 3/31)
イエメン アルカイダ系伸長 連合軍空爆、混乱に乗じ (毎日, 3/27)
》 アルバイトを雇う際、始める前に知っておきたいポイント (厚生労働省)
》 【Podcast】今野晴貴がレクチャー「新年度にご用心!求人詐欺対応マニュアル」3月31日(木)放送分(TBSラジオ「荻上チキ・Session-22」平日22時〜) (TBS ラジオ, 3/31)
》 教員の懲戒処分について (京都精華大学, 3/8)。くずおかひろし氏の件? お詫びの記事の魚拓。
》 新編集講座ウェブ版 (49)輪転機を止めろ フルシチョフ辞任 (毎日, 4/1)
関連: 新編集講座ウェブ版 (42)昔、ソ連という国があった 編集者の苦心 (毎日, 2015.12.11)
重量管理システムの復旧について(10:30時点) (JAL, 4/1)。07:48 不具合発生、09:40 復旧。
JAL システムトラブルは復旧 46便欠航 (NHK, 4/1 10:21)
JALシステム障害、データ滞留が原因か 運航乱れ続く (朝日, 4/1 11:21)
システムがダウンしている間、予備のシステムを稼働させ、各空港で社員が手作業で計算を行ったが、処理が追いつかなかったという。
システムのサーバーにデータが滞留していたことが原因とみられ、再起動したところ復旧した。
「予備のシステム」では「手作業で計算」が必要なのか……。
日航では2014年6月にも、このシステムに不具合がおき、国内線170便以上が欠航した。
これか:
JAL、システム障害復旧も1万4000人影響 6日は通常運航へ (Aviation Wire, 2014.06.05)。 09:15 不具合発生、17 時ごろ復旧。「障害要因になったとみられるデータを削除したところ、システムが復旧した」
JALシステム障害の原因を社長とCIOが説明、「不要データが滞留」 (日経 IT Pro, 2014.06.09)
定例記者会見 (2014年6月9日) (JAL)
JALでもシステム障害、重量管理システムの不具合で遅延・欠航相次ぐ (日経 IT Pro, 4/1)
》 東京ローカルニュース: 警視庁、「サイバーセキュリティ対策本部」を設置。専従 50 人。
警視庁 サイバー犯罪対応強化 対策本部新設、人材育成 /東京 (毎日, 4/1)
「サイバー犯罪捜査の司令塔」 警視庁に新部署発足 (NHK, 4/1)
PostgreSQL 9.5.2, 9.4.7, 9.3.12, 9.2.16, 9.1.21 公開。2 件のセキュリティ欠陥 CVE-2016-2193 CVE-2016-3065 を修正。
This release closes security hole CVE-2016-2193, where a query plan might get reused for more than one ROLE in the same session. This could cause the wrong set of Row Level Security (RLS) policies to be used for the query.
The update also fixes CVE-2016-3065, a server crash bug triggered by using pageinspect with BRIN index pages. Since an attacker might be able to expose a few bytes of server memory, this crash is being treated as a security issue.
あわせて、不具合多発により PostgreSQL 9.5 の abbreviated keys 機能を一部無効化。
In this release, the PostgreSQL Project has been forced to disable 9.5's Abbreviated Keys performance feature for many indexes due to reports of index corruption. This may affect any B-tree indexes on TEXT, VARCHAR, and CHAR columns which are not in "C" locale. Indexes in other locales will lose the performance benefits of the feature, and should be REINDEXed in case of existing index corruption. The feature may be re-enabled in future versions if the project finds a solution for the problem. See the release notes, and the wiki page on this issue for more information.
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)