Last modified: Thu Jun 9 11:57:36 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
これは今度記事として出しますが。。。
— 菅野完 (@noiehoie) 2016年6月30日
大方の印象や予想と違い、6月22日以降の安倍首相の発言をまとめると、「選挙の争点は経済ではない」「選挙の争点は憲法改正だ」「当然ながら、自民党改憲草案が、自民党の目指す改憲の内容だ」と、は っ き り と 言 い 切 っ て い ま す
》 「Simeji」は本当にアブないアプリなのか? ホワイトハッカーが厳しくチェックした結果…… (PR/ITmedia, 6/30)。はい、広告です。関連:
プログラム概要 - バイドゥ (BugBounty.jp)。5/30 で終了。
スプラウトとバイドゥ、バグ報奨金プログラムの中間報告を発表 (スプラウト, 5/19)
》 罰金を支払わずに済むようアドバイスする無料ソフトウェア「DoNotPay」が16万件もの駐車違反切符の取り消しに成功 (gigazine, 6/30)
開発者のジョシュア・ブラウダーさんは19歳のスタンフォード大学の学生 (中略) ブラウダーさんは「AIやボットを使えばたくさんのサービスを自動化できるため、僕はこれらの技術を『可能性の金脈』のように感じています。残念に思うのは、ほとんどが花屋とかピザ屋のオーダーを自動化するくらいにしか使われていないことです」と話しています。
》 「お届け予定eメール」を装った不審メールにご注意ください (ヤマト運輸)
不審メールにはZIP形式のファイルが添付されていますが、ヤマト運輸からお送りしているメールには添付ファイルはありません。絶対に添付ファイルを開かず、削除いただきますようお願いいたします。
》 佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた (piyolog, 6/27)。関連:
教育システム管理用ID、生徒が見られる場所に (日経, 6/28)
複数の高校は管理者用IDなどを含むファイルを、システム上の生徒が閲覧できる場所に保管していた。再逮捕された少年は何らかの方法で生徒のIDなどを入手し、生徒になりすましてネットワークに侵入。ファイルから管理者用のIDなどを割り出し、今年1月ごろ、生徒の名前や成績表などを大量に盗んだとみられる。
情報流出の佐賀県教育情報システム 業者選定で不正の疑い (HUNTER, 6/28)
佐賀県ICT教育事業 官業癒着の裏に韓国人元情報企画監 (HUNTER, 6/29)
情報流出 1年超前から 警察指摘後も侵入5回 佐賀不正アクセス 佐賀県教委不備認める (西日本新聞, 6/29)
》 NTT子会社 90社の研究開発などのデータ紛失 (NHK, 6/28)、 お客様情報を含む外付けハードディスクの紛失について (NTTアドバンステクノロジ, 6/28)
》 厚労省 LGBT差別はセクハラ 指針改正し明記 (毎日, 6/27)
》 【参院選】首相ふれぬ改憲……議論リードする「日本会議」、その中枢に迫る (石戸諭 / BuzzFeed, 6/28)
》 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も (ITmedia, 6/29)、 Large CCTV Botnet Leveraged in DDoS Attacks (sucuri, 6/27)
》 Google Chromeのデジタルコンテンツ保護機能に「保護されたコンテンツ」を保存可能な脆弱性 (gigazine, 6/28)
》 Google Chrome経由でFacebookユーザーにマルウェア感染が広がる (gigazine, 6/28)
》 無償SSLサーバー証明書Let's Encryptの普及とHTTP/2および常時SSL化 (OSDN, 6/29)
》 偽りの記憶が「史実」になる恐れ 戦争証言とメディアの責任 (BuzzFeed, 6/19)。間違って覚えていることもあるからなあ。
》 HPCに3年ぶり衝撃、中国産プロセッサ「申威26010」を解剖する (日経 IT Pro, 6/29)
》 子宮頸がんワクチン 信州大、研究内容で調査委設置 (毎日, 6/28)
》 「メルトダウン」公表巡る検証に厳しい指摘 (NHK, 6/28)。関連:
福島第一原子力発電所事故に係る通報・報告に関する第三者検証委員会からの「検証結果報告書」の受領について (東電, 6/16)
東京電力が設置した第三者検証委員会の検証結果についての知事コメント (新潟県, 6/16)
「炉心溶融ということば使うな」 当時の社長が指示 (NHK「かぶん」ブログ, 6/16)
「マムシの善三」、東電「第三者委員会」でも依頼者寄りの“推認” (郷原信郎が斬る, 6/17)
メルトダウン問題 報告書の主な内容 (NHK「かぶん」ブログ, 6/17)
東電調査結果に 菅元首相「指示していない」 (NHK「かぶん」ブログ, 6/17)
東電調査結果に 民進 枝野氏 事実関係を否定 (NHK「かぶん」ブログ, 6/17)
メルトダウン問題 官邸の誰が指示したか 検証の課題に (NHK「かぶん」ブログ, 6/17)
"「炉心溶融使うな」は隠蔽" 東電社長が謝罪 (NHK「かぶん」ブログ, 6/21)
東京電力のメルトダウンの公表等に関する再発防止策及び人事措置についての知事コメント (新潟県, 6/21)
東電は、第三者委『報告書』を破棄せよ (立憲政治の道しるべ(南部義典)/ マガジン9, 6/22)
東日本大震災 福島第1原発事故 東電の検証結果批判 県技術委「調査が不十分」 /新潟 (毎日, 6/29)
菅元首相「東電は官邸に責任転嫁している!」 「炉心溶融」を隠ぺいしたのは誰なのか? (岡田 広行 / 東洋経済, 6/27)
》 森山農水相ら自民党議員がTPP対策の見返りに現金授受! 安倍内閣の悪質賄賂疑惑をテレビはなぜ報道しない (リテラ, 6/28)。本当になあ。
関連:
森山農水相、養鶏関係者から現金 党TPP委員長当時 (朝日, 6/28)
森山農水相、西川元農水相ら自民党3議員 TPP交渉の裏で現金授受 (週刊朝日, 6/28)
日本養鶏協会会長 自民党の国会議員に現ナマ配る カネ返してもあきまへんで (いまにしのりゆき 商売繁盛でささもって来い!, 6/28)
森山氏は今、農林水産大臣やで。
受け取ったんは、1年近くも前や。
これが政治資金なら、その収支報告に書かんとあかん、
領収書出さないとあかん。
個人的なものなら、雑所得で確定申告せんとあかん。
いったい、どうやってたんか?
》 東シナ海で一触即発の危機、ついに中国が軍事行動 中国機のミサイル攻撃を避けようと、自衛隊機が自己防御装置作動 (織田 邦男 / JBpress, 6/28)。このごろ中国軍の海上での行動が目立っていたが、空ではもっとやばい状態だった模様:
これら海上の動きと合わせるように、東シナ海上空では、驚くべきことが起こりつつある。中国空海軍の戦闘機が航空自衛隊のスクランブル機に対し、極めて危険な挑発行動を取るようになったのだ。(中略) 空自スクランブル機に対し攻撃動作を仕かけてきたという。
攻撃動作を仕かけられた空自戦闘機は、いったんは防御機動でこれを回避したが、このままではドッグファイト(格闘戦)に巻き込まれ、不測の状態が生起しかねないと判断し、自己防御装置を使用しながら中国軍機によるミサイル攻撃を回避しつつ戦域から離脱したという。
これら上空での状況は、海上での中国海軍艦艇の動きとは比較にならないくらい大変危険な状況である。政府は深刻に受け止め、政治、外交、軍事を含めあらゆる観点からの中国サイドに行動の自制を求めるべきである。
しかしながら、参議院選挙も影響してか、その動きは極めて鈍い。
関連:
中国機 「空自機に攻撃動作」 元空将、ネットで公表 (毎日, 6/29)
「不正カード使用」だけじゃなかった:
一斉引き出し事件、銀行に承認記録なし 不正アクセスか (朝日, 6/28)
南ア側の調査では、犯行が行われた5月15日午前5〜7時台(日本時間)の3時間弱の間は、同行のシステムが不正アクセスを受けて誤作動を起こしていたといい、引き出しを承認させた後に痕跡を消したか、承認を経ずに引き出すことができたとみられる。
Symantec Endpoint Protection Manager 12.1.x に 12 件の欠陥、12.1.6 MP5 で修正されている。
関連: Symantec Endpoint Protection 12.1.6 MP5 Release Notes (Symantec)
Symantec Endpoint Protection や Norton シリーズをはじめとする、Symantec のさまざまな製品で使われている Symantec Decomposer Engine (圧縮解凍エンジン) にメモリ破壊や buffer overflow、integer overflow といった 7 件の欠陥。攻略ファイルによって任意のコードを実行できる。
|
CVE |
説明 |
|---|---|
|
RAR decompression memory access violation |
|
|
Dec2SS buffer overflow |
|
|
Dec2LHA buffer overflow |
|
|
CAB decompression memory corruption |
|
|
MIME message modification memory corruption |
|
|
TNEF integer overflow |
|
|
ZIP decompression memory access violation |
修正版や hotfix が用意されているので更新・適用すればよい。
SYM16-010、2016.06.29 付で更新されている。
今回の欠陥に対応したウイルス定義ファイルが LiveUpdate で提供されたそうだ。20160628.037 以降に含まれるそうで。EXP.CVE-2016-xxxx という名前になっている。
対応状況の確認方法が追加された。バージョンの確認方法など。
関連:
SYM16-010 - セキュリティアドバイザリー - シマンテックの圧縮解除エンジンの解析に複数の脆弱性 (シマンテック, 2016.06.29 更新)
How to Compromise the Enterprise Endpoint (Google Project Zero, 2016.06.28)。元ねた。
Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)
今ごろになって抜本対応するようです。
ウィンドウズ10 「自動更新」見直し 「しない」選択可 (毎日, 2016.06.29)
Microsoft、Windows 10へのアップグレード通知画面を改善し“お断りボタン”を追加 (ITmedia, 2016.06.29)
なるべきものの大半はWindows 10になっただろうからもういいや、ってことでもあるんですかね。
ICT 女子プロジェクト (テレコムサービス協会 ICTビジネス研究会)。まっしろ。
総務省ICTツイート:
https://twitter.com/MIC_ICT/status/740840402056556544 (twitter, 6/9)
https://twitter.com/MIC_ICT/status/740840528762277888 (twitter, 6/9)
「ICT女子公式応援団」にアップアップガールズ(仮)が就任! (アップアップガールズ(仮)オフィシャルブログ, 6/9)
集え「ICT48」、ICTで活動する女性を募集 (ascii, 6/10)。淡々と紹介している記事。
「ICT女子プロジェクト」が発足 女性の活躍支援かと思ったらまるでアイドルオーディションだったでござる (井指啓吾 / BuzzFeed, 6/10)
【UPDATE】まるでアイドルオーディションな「ICT女子プロジェクト」、サイト自体が消える (井指啓吾 / BuzzFeed, 6/11)
総務省「ICT女子プロジェクト」がひどい件→しれっと少し修正→削除で真っ白 (NAVER まとめ)
おわび
総務省ICTツイートにおける(一社)テレコムサービス協会の 「ICT女子プロジェクト」を紹介するツイートについて (総務省, 6/13)
https://twitter.com/MIC_ICT/status/742337531287457794 (総務省ICTツイート / twitter, 6/13)
高市総務大臣閣議後記者会見の概要 (総務省, 6/14)
「ICT女子プロジェクト」における「ICT48」募集についての不適切な記載に関するお詫び (テレコムサービス協会 ICTビジネス研究会, 6/15)
梯子を外した感。
前史
ICT48誕生ものがたり(沖縄編) (M教授を煽らないでください, 5/5)
ICT48誕生ものがたり(高松編) (M教授を煽らないでください, 5/5)
ICT48誕生ものがたり(未来編) (M教授を煽らないでください, 5/5)
G7でピュアがICT48になった話。〜うどん県でうぇいそいや〜 (Ruuuicoのブログ, 5/1)
批判殺到「ICT女子プロジェクト」サイトが“白紙”状態に 担当者「中止や撤回ではない」 (ITmedia, 6/13)
現在はいったんサイトを休止して、きちんと伝わるように中身を変更している」と説明。企画の中止や撤回などではなく、1週間ほどを目安に再開を目指しているという。
「ICT女子」のための「ICT女子プロジェクト」へ -炎上の原因と目指すべき方向性を考える (WirelessWire News, 6/14)
ICT女子プロジェクト大炎上から分析する経営的問題 (WirelessWire News, 6/19)
はじめの課題は、多様性の不足が引き起こすリスク体質です。(中略) ゲイが意思決定者ならこんな企画は嫌がるでしょうし、外国人、特に訴訟社会から来た人がいたら、これはリスクが高すぎるから辞めるべきだ、というでしょう。
二つ目の課題は、ガバナンスです。(中略) あきらかにジェンダー差別を助長するような企画を通してしまうというのは、承認フローに抜けがある、ということで、担当者の倫理の問題だけではなく、組織のガバナンスの問題でもあり、実は深刻なことです。組織のデザインに瑕疵があるということだからです。
3つめの課題は、「広報」の影響力を甘く見すぎている、という点です。日本の組織は「広報は広告に比べたら適当にやっても平気だ」と考えていることがありますが、むしろ、広報だからこそ、広告よりも難しい、という認識がかけている印象があります。
元総務省所管業界団体の研究会が自前のアイドルグループ結成を画策して炎上 (山本一郎 / Yahoo, 6/21)
》 インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 6/28)、 攻撃者の行動によって残る痕跡を調査 (JPCERT/CC, 6/28)
この報告書は、セキュリティ対策の検討、導入およびインシデントの初期調査を行う担当者にも利用していただけるように、作成しました。専用のフォレンジックソフトウエアや、フォレンジックに関する知識がなくても、イベントログを見たり、レジストリエントリを確認したりする方法が分かれば内容を把握できますので、是非チャレンジしてください。
》 伊藤隼也(医療ジャーナリスト)が自著で「うつ治療」関連のデマを流して騒動に (山本一郎 / Yahoo, 6/25)
Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)
関連:
Microsoft、「Windows 10への意図しない更新で損害」ユーザーに1万ドル支払い (ITmedia / Yahoo, 2016.06.28)
》 英EU離脱 公約「うそ」認める幹部 「投票後悔」の声も (毎日, 6/27)。離脱派、デマを投票終了直後に認める。
》 本職のセキュリティ技術者が旅先のウィーンでATM盗視機を発見 (techcrunch, 6/25)
》 宇宙飛行史上「最悪」の事故の生存者が恐怖の事故状況を赤裸々に語る (gigazine, 6/24)。ミール。
》 病気だけでも心配なのに…医療機器にハッキングの恐れ (Kaspersky, 6/27)
》 IPA、新設される「情報処理安全確保支援士」と現行制度の位置付けを公表 (クラウド Watch, 6/27)
》 ダークウェブの仁義なき戦い (ZERO/ONE, 6/27)
》 2016年6月に複数の組織で確認されたマルウェア感染インシデントについてまとめてみた (piyolog, 6/26)
》 「Xen 4.7」リリース、ライブパッチング技術が導入されたほかセキュリティやライブマイグレーションを強化 (OSDN, 6/24)
phpMyAdmin 4.0.10.16, 4.4.15.7, and 4.6.3 are released (phpMyAdmin, 2016.06.23)。PMASA-2016-17 〜 PMASA-2016-28。
JVN#39594409 - DMM.comラボ製の動画再生用スマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性 (JVN, 2016.06.27)。 DMM.com からの案内 にはセキュリティ修正とは書かれてないんだよなあ。
JVN#42930233 - QNAP QTS におけるクロスサイトスクリプティングの脆弱性 (JVN, 2016.06.27)、 Security vulnerabilities addressed in QTS 4.2.1 Build 20160601 (QNAP, 2016.06.17)
お客様各位 「PR-400MI、RT-400MI、RV-440MI」をご利用のお客さまへ (NTT 東日本, 2016.06.27)
「PR-400MI、RT-400MI、RV-440MI」をご利用のお客様へ (NTT 西日本, 2016.06.27)
JVN#45034304 - 複数のひかり電話ルータおよびひかり電話対応機器におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2016.06.27)
JVN#77403442 - 複数のひかり電話ルータおよびひかり電話対応機器における OS コマンドインジェクションの脆弱性 (JVN, 2016.06.27)
》 「スマホGPS捜査」問題 警察庁、総務省、携帯各社に話を聞いた (ZERO/ONE, 6/24)
》 一般消費者向けIoT製品のセキュリティガイドをJNSAが公表 (日経 IT Pro, 6/24)
》 「企業自ら攻撃に気づいたのは12%だけ」、SecureWorksが標的型攻撃の痕跡を見つけるサービス (日経 IT Pro, 6/21)
》 オープンソースコードのセキュリティチェックと問題修復を開発のワークフローに組み込むSnyk、GitHubとの統合も可能 (techcrunch, 6/24)
》 I/Oのアーカイブについて (I/O編集長好記 2nd season, 6/21)
当然のことながら、ここに上がっているは公式に弊社が上げたものではありません。弊社が許可していないものなので、著作権法違反なのは明らかです。
やっぱそうなんだ。広告が混じっていたしなあ。
ですので、もしアーカイブを読まれた方に、お願いがあります。
ぜひ、本屋で売っている”現在”の「I/O」を手に取ってみてください。 (中略) もし手にとって、その上でつまらなければ、ぜひ雑誌についている読者ハガキ*2で貴重なご意見をください。今後の雑誌作りの参考にさせていただきます。
》 暗号通貨ファンド「The DAO」から数十億円分が流出 (日経 IT Pro, 6/20)。関連:
The DAOに関する間違った報道する方々へのお願い (ブロックチェーン技術ブログ, 6/19)
The DAOに関する報道訂正記事につっ込む笑 (ビットコインを語ろう2.0, 6/19)
The DAO の事件から見るプログラムが読める人の需要 (ひものぶろぐ, 6/22)
実験的な暗号通貨「Ethereum(イーサリアム)」でいかにして約52億円を失ったのか (gigazine, 6/21)
》 インドネシアのジョコ大統領、南シナ海のナトゥナ諸島を訪問
ナトゥナ諸島 (ウィキペディア)
インドネシア大統領が南シナ海の島訪問 中国をけん制か (NHK, 6/23)
軍艦上で閣議 中国をけん制 大統領 ナトゥナ諸島沖を訪問 (じゃかるた新聞, 6/24)
大統領一行は23日午前、東ジャカルタのハリム空港からナトゥナ諸島に向かい、17日に中国漁船を拿捕 した軍艦「KRIイマム・ボンジョル383」に乗船し、約1時間閣議を開いた。
イマム・ボンジョルはインドネシア海軍の対潜コルベット。383 は艦番号。 KRI は Kapal Perang Republik Indonesia の略。USS とか HMS みたいなものか。
List of active Indonesian Navy ships (Wikipedia)
パルヒム型コルベット (ウィキペディア)。インドネシアは旧東ドイツ製パルヒム級コルベットを改修し、カピタン・パチムラ級コルベットとして再就役。
Indonesia launches investigation into Kapitan Pattimura-class corvette accident (Janes, 6/6)。カピタン・パチムラ級の別の船が沈没事故を起こしていたようで。
インドネシア、中国に対抗姿勢強める 「中立」から転換 経済水域保護へ特別班発足 (産経, 6/23)
Indonesia president visits islands on warship, makes point to China (reuters, 6/23)
JTB 標的型攻撃事件まとめ (2016.06.17)
追加:
JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか? (日経 IT Pro, 2016.06.24)
》 OWASPアプリケーションセキュリティ検証標準 (JPCERT/CC, 6/23)。3.0.1 版の邦訳。
》 AV出演強要問題、業界団体IPPAが声明「深く反省」「健全化に向け改善促す」 (弁護士ドットコム, 6/23)
》 貧困報道を「トンデモ解釈」する困った人たち ある階級の人たちは「想像力」が欠如している (東洋経済, 6/22)
》 マイナンバーカードでSSHする (AAA Blog, 6/23)。 公的個人認証を使って公開鍵認証する方法。
》 中国陝西省西安市の発電所爆発によるPC用メモリーへの影響 (Ark Tech and Market News, 6/22)、 サムスン電子西安工場、停発電所トラブルで巨額被害 (朝鮮日報, 6/20)。「数百億ウォンの被害」「今後の状況次第では6月が2016年の最安値だったという結果になる得る可能性も出てきている」
》 ショートカットファイルから感染するマルウエアAsruex (JPCERT/CC, 6/23)
》 「ウイルスが検出されました」と音声で警告、サポートへ電話促す手口に注意(IPA) (so-net セキュリティ通信, 6/23)
》 GMOメイクショップが情報漏洩事故を再調査、2年前の調査を大幅に上回る規模と判明 (日経 IT Pro, 6/21)。「通販サイトの管理者アカウントが最大320件、個人情報を含む通販サイトの注文者情報が最大10万1624件」→「通販サイトの管理者アカウントが最大6116件、注文者情報が最大62万5578件」。
》 PowerShell で公開鍵方式暗号ファイルを交換をする (MURA's HomePage)
》 東電の原発再稼働だけは認めるな! 〜第三者委員会「報告書」を深読みして分かった変わらぬ「無責任体質」 (現代ビジネス, 6/21)
》 Listening <憲法の岐路>本来、権力者を縛るもの 首都大学東京教授・木村草太さん(35) (毎日, 6/23)
》 松山市元職員が約14万人分の保健データ持ち出し、USB書き出し制限かいくぐる (日経 IT Pro, 6/16)。「現時点ではなぜ元職員がデータを持ち出せたのかが判明していない」
「有効性に信頼できる十分なデータが見当たらない」 国立健康・栄養研究所が見解 (産経, 6/20)。この件:
2016年6月新規作成の素材情報データベース (「健康食品」の安全性・有効性情報〔独立行政法人 国立健康・栄養研究所〕, 6/17)
「健康食品」の素材情報データベース: 水素水 (「健康食品」の安全性・有効性情報〔独立行政法人 国立健康・栄養研究所〕)
安全性: ヒトに対する安全性については信頼できる十分なデータが見当たらない。
有効性: ヒトに対する有効性については信頼できる十分なデータが見当たらない。
記者の目 「水素水」論争に向けて=小島正美(生活報道部) (毎日, 6/23)
》 韓国の大学でサイバー戦士養成、北朝鮮の攻撃に対抗 (ロイター / ダイヤモンド ONLINE, 6/23)
》 北朝鮮、ムスダン 2 発を発射、内 1 発は一定の成功か。 だとしても成功率 1/6 なんですけど、今後安定するようなら話が変わるなあ。
「ムスダン」高度1000キロ超=2発撃ち1発目失敗-北朝鮮 (時事, 6/22)
韓国軍は1発目は失敗し、2発目は「約400キロ飛行した」とみて、詳しく分析している。日本の防衛省は2発目について、北東方向に発射され、「1000キロを超えた高度に達し、中距離弾道ミサイルとしての一定の機能が示された」との分析を発表した。
焦点:高度1000キロ超えた北朝鮮ミサイル、「発射成功」の見方強まる (ロイター, 6/22)
防衛省と米軍によると、約400キロを飛んで日本海に落下した。(中略) 自衛隊のレーダーが捉えた情報を防衛省が分析した結果、ミサイルは1000キロを超える高度に達していた。(中略) 防衛省関係者は「あれほど角度をつけずに打ち上げず、普通に発射していれば、われわれが見積もっている距離を飛んだ可能性がある」と話す。
成功した?ムスダンの飛翔をシミュレーションしてみた (数多久遠 / BLOGOS, 6/23)。「1000キロを超える高度」が実際にはどのくらいだったかによって話が変わると。
北朝鮮が「ムスダン」6回目の試射:高度1000kmに達するロフテッド軌道で飛翔 (nonreal / BLOGOS, 6/22)
なお、弾道ミサイルとしてはすでに何度も試射に成功しているノドンが日本にとって一番の脅威です。ノドンが日本攻撃用であり、ムスダンはあくまでもグアム攻撃用であるという位置づけは変わらないと思われます。そしてムスダンが我が国に及ぼす安全保障上の影響は、ロフテッド発射されるかどうかなどよりも、現実にはグアムへ向かって発射された場合に米国から協力の要請を受けて集団的自衛権を行使するかどうかにおいて顕著となります。
異例のムスダン発射情報公開 自信の表れか=北朝鮮 (聯合ニュース, 6/23)
朝鮮中央通信は「弾道ロケットは予定飛行軌道に沿って最大頂点高度1413.6キロまで上昇飛行し、400キロ前方の予定されていた目標水域に正確に着弾した」と報じた。
発射に成功したムスダンの映像分析 (週刊オブイェクト, 6/23)
ムスダンの狙いはグアム 金正恩氏「攻撃能力確保した」 (朝鮮日報, 6/23)
379.27 以上、625.41.2 未満の mDNSResponder に複数の欠陥、remote から任意のコードを実行できる。
Android - Android N で修正される予定。
Apple - Security update for mDNSResponder (Apple, 2016.06.20)
関連:
JVNVU#97008560 - mDNSResponder に複数の脆弱性 (JVN, 2016.06.22)
JVNVU#92564194 - Apple AirPort Base Station にメモリ破損の脆弱性 (JVN, 2016.06.22)
JTB 標的型攻撃事件まとめ (2016.06.17)
追加:
JTBにはがっかりした、社長の謝罪会見で記者が感じた違和感 (日経 IT Pro, 2016.06.23)
複数のセキュリティ修正 + 不具合修正。日本語版も公開されました。
》 Google、2段階認証オプションに「Googleからのメッセージ」を追加、認証済みスマートフォンでアカウント認証 (Internet Watch, 6/21)
》 キングジム、パスワード管理専用機の新モデル (Internet Watch, 6/21)。ミルパスPW20。
》 Active Directoryによるローカル管理者のパスワード管理(1): 「ローカル管理者」のパスワード管理、どうする?――LAPSを使ってみよう! (@IT, 6/22)
》 「しゃぶしゃぶ温野菜」で大学生刺傷事件 なぜブラックバイトは暴力的になるのか (今野晴貴 / Yahoo, 6/22)
暴力、パワーハラスメント、シフトの強要、賃金の未払い、自腹購入など様々な被害が見られるブラックバイトの相談であるが、実はその多くのケースで、被害を与える側の店長の労働環境もまた、過酷であるというケースが多い。 (中略) 正社員の過酷な労務環境は、ブラックバイトの職場に共通している。
では、こうした正社員とアルバイトが大量の業務を分担する構図自体を変えるための方法はあるのか。
その一つの対案は、正社員とアルバイトが共同して労働組合(ユニオン)に加入し、職場の改善を会社に求めるという方法だろう。
今回の事件を問題化したブラックバイトユニオンでは、すでにそのような実践が行われている。昨年団体交渉が行われ、新聞などでも報道された、京都市の先斗町での居酒屋の事例である。
Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)
関連:
半ば強引なWindows 10へのアップグレードをどう見るか 〜大河原氏、笠原氏、山田氏の視点 (PC Watch, 2016.06.16)。大河原克行氏の鋭い視線:
会見の最後には、記者との間に押し問答的なやりとりも行なわれた。ここでは、なんとか謝罪の言葉を引き出したいという記者の意図も感じられはしたが、強い口調での質問に、Windows事業部門の責任者が回答に窮し、広報担当者に発言のフォローを求めるというシーンが見られたことは残念だった。この問題に対して、事業責任者が真っ向から取り組んでいないことを証明することにもなってしまったからだ。
一方、山田祥平氏の上から目線:
きっと今、悲鳴を上げているのは愛用しているWindows 7を、そのハードウェア環境のライフサイクルが終わるまで、静かに使い続けたいと思っている個人のパワーユーザーのうち、失礼ながらあまり向上心を持たない一部の人たちだろう。分かっているパワーユーザーなら、あれだけしつこくアラートが出ればとっくにブロックしているはずだからだ。
<ウィンドウズ10>「読み上げソフト」でトラブル相次ぐ (毎日 / Yahoo, 2016.06.20)。勝手にアップグレードされて困っている視覚障害者が少なくない模様。
消費者庁、Windows 10無償アップグレードに関して注意を呼びかけ (PC Watch, 2016.06.22)、 Windows 10への無償アップグレードに関し、確認・留意が必要な事項について (消費者庁, 2016.06.22)
当記事は削除申請に基づき削除致しました。 (楽しくiPhoneライフ!SBAPP)
百度関連の記事でいわゆる削除依頼が来た (Galaxy Lab, 6/16)
バイドゥ株式会社より削除申立がありました (猫でもわかるセキュリティ, 6/19)
》 安心相談窓口だより - “ウイルスに感染した”という偽警告でサポートに電話するように仕向ける手口に注意 〜最近ではブラウザの操作を妨害する手口も〜 (IPA, 6/21)
》 「CRYPTRECシンポジウム2016」開催のお知らせ (IPA, 6/20)。2016.06.27、東京都港区、無料。
》 Microsoft、C言語に静的/動的チェック機能を加えた「Checked C」を公開 (OSDN, 6/20)
》 愛知ヤクルト「性同一性障害 公表強要」 社員が提訴へ (東京, 6/20)。愛知ヤクルト工場。
》 Exploiting Recursion in the Linux Kernel (Project Zero, 6/20)
》 Apple、OS Xのウィルス定義データベース「XProtect」をv2080へ更新。ゼロデイ脆弱性が確認されたFlash Playerをブロック。 (Apple ちゃんねる, 6/21)
》 宮古島陸自配備、市長が受け入れ表明 現計画は反対 (沖縄タイムス, 6/21)、 宮古島市長、陸自配備「了解する」 水源地近くは反対 (琉球新報, 6/21)。「旧大福牧場」周辺への配備は反対。
》 陸自誤射 「経験不足」実弾気づけず…「発注ミス原因」 (毎日, 6/20)。実弾発射事件の件。大阪版の紙面だとこういうタイトルで、もっとわかりやすいんですけどね。
「誤入力で実弾調達」
「到着時に確認せず」
「参加者が経験不足」
陸自訓練誤射 調査報告
紙面だと、再発防止策についてもこんな記述が:
陸自は、弾の請求手続きや紙箱の色を変更するなどして再発防止に取り組む。
朝日の記事「実弾誤射、陸自が調査結果 「部隊も見分けられず」」 (朝日, 6/20) だとこうなってる:
陸自は再発防止策として、空包を入れた木箱を青く塗ったり、弾薬の管理システムに実弾と空包を確認する画面が出るようにしたりする方針。
うーん。
》 「集団強姦不起訴は不当」 被害女性が検審に申し立て (朝日, 6/20)。大阪府警警察官集団強姦事件の件。犯罪やるならケーサツになろう事例。
》 マイナンバーカードをケースに入れれば重要な情報が隠せる→一番大事なところが丸出しな件 (togetter, 6/20)。QR コードがマイナンバーそのものである件。 関連:
インターネット等にマイナンバーカード裏面のQRコードを掲載することに対する注意喚起 (個人情報保護委員会 マイナンバー(個人番号)ヒヤリハットコーナー, 6/20)
上原 哲太郎さんのツイート:
マイナンバーカードの裏面のQRコードが目隠しケースに入れても丸見えなのは、人々に「あのQRコードには隠す必要のない情報しか入ってない」って誤解を与えた恐れがある。私はこうやってケースの該当部を黒塗りしてます(汚い…) pic.twitter.com/rY5x02eeg9
— 上原 哲太郎 (@tetsutalow) 2016年6月20日
》 北朝鮮がSKと大韓航空の社内ネットワークをハッキング (ハンギョレ, 6/13)。「F15戦闘機整備マニュアルなど4万200件の資料流出」の件。
北朝鮮が2014年7月から今年2月まで韓国の大企業、公共機関、政府部署など160カ所で使用しているPC管理システムをハッキングした (中略) 今回突き破られたPC管理システムは、韓国の企業が開発したもので、これを設置すれば管理者は遠隔で多数のPCを管理し、ソフトウェアのアップデートもできるため大企業や政府部署の多くが使用していたという
これは怖い。以前も、パッチ管理システムがヤラレてマルウェア蔓延 ということがありましたね。
関連: 北朝鮮がサイバーテロ準備 13万台に不正アクセス=韓国警察 (朝鮮日報, 6/13)
》 Security updates for all active release lines, June 2016 (nodejs.org, 6/16)
We now intend to make releases available on or soon after Thursday, the 23rd of June, 2016, UTC.
》 クラウド・OSSセキュリティセミナー (サイオステクノロジー)。2016.07.22、東京都港区、無料。「OpenStack環境自体のセキュリティ管理」など。面さん情報ありがとうございます。
Flash Player 22.0.0.192 等公開。 0-day 欠陥の件を含め、 36 件のセキュリティ欠陥を修正。
| プラットホーム | バージョン | Priority rating |
|---|---|---|
| Desktop Runtime (Windows, Mac) | 22.0.0.192 | 1 |
| Extended Support Release (Windows, Mac) | 18.0.0.360 | 1 |
| Google Chrome | 22.0.0.192 | 1 |
| Windows Server 2012 の Internet Explorer 10 | 22.0.0.192 | 1 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 22.0.0.192 | 1 |
| Windows 10 の Internet Explorer 11 / Edge | 22.0.0.192 | 1 |
| Linux | 11.2.202.626 | 3 |
CVE-2016-3189: bzip2 use-after-free on bzip2recover (oss-sec ML, 2016.06.20)
Bug 1319648 - (CVE-2016-3189) CVE-2016-3189 bzip2: heap use after free in bzip2recover (Red Hat, 2016.03.21)
Red Hat Product Security has rated this issue as having Low security impact.
CVE-2016-5314:libtiff 4.0.6 PixarLogDecode() out-of-bound writes (oss-sec ML, 2016.06.15)
CVE-2016-5315: libtiff 4.0.6 tif_dir.c: setByteArray() Read access violation (oss-sec ML, 2016.06.15)
CVE-2016-5316: libtiff 4.0.6 tif_pixarlog.c: PixarLogCleanup() Segmentation fault (oss-sec ML, 2016.06.15)
CVE-2016-5320: libtiff 4.0.6 rgb2ycbcr: command excution (oss-sec ML, 2016.06.15)
CVE-2016-5321: libtiff 4.0.6 DumpModeDecode(): Ddos (oss-sec ML, 2016.06.15)
CVE-2016-5322:libtiff 4.0.6 extractContigSamplesBytes: out-of-bounds read (oss-sec ML, 2016.06.15)
CVE-2016-5323: libtiff 4.0.6 tiffcrop _TIFFFax3fillruns(): divide by zero (oss-sec ML, 2016.06.15)
Apache Struts 2.3.20 〜 2.3.28.1 に欠陥、REST プラグインを使用している場合に remote から任意のコードを実行できる。CVE-2016-4438
S2-037 (Apache.org)
Apache Struts 2の脆弱性「S2-037」にご注意ください (LAC, 2016.06.20)
JVNDB-2016-000110 - Apache Struts において任意のコードを実行可能な脆弱性 (JVN, 2016.06.20)
Struts2 S2-037(CVE-2016-4438)漏洞分析 (nsfocus, 2016.06.16)
漏洞预警:Struts 2再曝远程代码执行漏洞S2-037 (CVE-2016-4438) (Freebuf, 2016.06.15)
Apache Struts 2.3.29 で修正されている。
》 Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? (山市良のえぬなんとかわーるど, 6/14)。not yet?
「フィッシング対策ガイドライン」改訂版を公開(対策協議会) (so-net セキュリティ通信, 6/10)
5月の国内フィッシング事情:激減した金融機関、ゲームとプロバイダ攻撃は継続 (so-net セキュリティ通信, 6/3)
5月の国内フィッシング事情:カード会社で頻発、通販サイトもターゲットに (so-net セキュリティ通信, 6/3)
》 芸能人の被害から考える不正ログイン対策 (so-net セキュリティ通信)
(1) 誰にも気づかれず継続した「覗き見」 (so-net セキュリティ通信, 5/25)
(2)「iCloud」「Facebook」のセキュリティ機能 (so-net セキュリティ通信, 5/27)
(3) 「Twitter」のセキュリティ機能 (so-net セキュリティ通信, 6/6)
》 社長のメールは真に受けるな! (エフセキュアブログ, 6/20)。ビジネスメール詐欺 (BEC; Business Email Compromise) の解説。
WarBerryPi (GitHub)
Warberry Pi: The stealthy way to slink past business security (ZDNet, 6/17)
》 Microsoft pushes new Windows 10 tool to kill PC bloatware (ZDNet, 6/18)、 Now Available: Start fresh with a clean install of Windows 10! (Microsoft, 5/12)
》 DNS Sinkhole ISO Version 2.0 (SANS ISC, 6/12)
》 iPadを買ったとき、最初にしておくべきこと (Kaspersky, 6/10)
パスワードを設定するには、[Touch ID とパスコード]を開き、[パスコードを変更] – [パスコードオプション]の順に選択して、[カスタムの英数字コード]を選択します。
》 私はいかにして巨大なセキュリティホールを講義中にたまたま見つけたか (POSTD, 6/14)。 Shodan 利用事例。
》 マーク・ザッカーバーグ氏のハッキング被害から得られる教訓 (マカフィー, 6/20) 「複雑なパスワードを使用する」「複数のアカウントに同じパスワードを使用しない」「データ侵害のニュースをチェックする」
》 正義の告発者か買収されたスパイか スノーデンの素顔に迫るドキュメンタリー映画『シチズンフォー スノーデンの暴露』 (ZERO/ONE, 6/13)
》 行政機関法改正の論点 国会会議録から抜粋(パーソナルデータ保護法制の行方 その23) (高木浩光@自宅の日記, 6/12)
》 Safari、Flashをデフォルトで無効化へ (マイナビニュース, 6/16)。Safari 10 で。
》 小さい会社に不審な?メールが着弾した時の対応を考える。 (家庭内インフラ管理者の独り言(はなずきんの日記っぽいの), 6/16)
面倒くさいけど電話しましょう。
署名があれば電話しましょう。
「メールありがとうございます、○○の添付ファイルの件ですが」
たぶん、それだけで防げることって多いと思うんですよね。
これも2要素認証だよね。
》 不正視聴プログラム公開事案についてまとめてみた (piyolog, 6/8)
》 Building a faster and more secure web with TCP Fast Open, TLS False Start, and TLS 1.3 (Windows Blog, 6/15)
JVN#55428526 - Deep Discovery Inspector において任意のコードが実行可能な脆弱性 (JVN, 2016.06.16)。patch があるそうです。
日本では売られたことがない?
JVNVU#94303845 - NETGEAR D6000 および D3600 に複数の脆弱性 (JVN, 2016.06.13)。更新版ファームウェアがあるそうです。
ETX-R (IO DATA)
JVN#96052093 - ETX-R におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2016.06.14)
JVN#61317238 - ETX-R におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2016.06.14)
patch はない。回避方法を実施すること。
有線ルーター「ETX-R」セキュリティの脆弱性について (IO DATA)
Cisco Releases Security Updates (US-CERT, 2016.06.15)
脆弱性を修正できない? 危ない産業制御システム「ESC」 (ZERO/ONE, 2016.06.20)
》 都知事疑惑 「民進党のアドバイザーに郷原氏」は誤報 (楊井人文 / Yahoo, 6/4)。これも産経の記事。
》 【追記あり】産経新聞が新都知事に関する街頭インタビューでのネットデマを裏も取らず記事化→炎上して記事消し逃亡 (buzzap, 6/17)
産経サイト「街の声の女性、ピースボートスタッフに酷似」を削除 女性は熊本で支援活動中 (楊井人文 / Yahoo, 6/17)
「やらせ街頭インタビューはピースボート」に産経が釣られる (togetter, 6/17)
6月16日「産経ニュース」記事に関する産経新聞社からの回答について (ピースボート, 6/17)
》 バイドゥ株式会社のブログ削除申し立てと株式会社はてなの対応 (togetter, 6/16)。なぜ baidu は自分で草叢に火をつけて回るのか。
はてなユーザーがバイドゥ(百度)に焚きつけられたはてな、延焼前にバイドゥが火消しに走って軽いボヤで鎮火 (市況かぶ全力2階建, 6/16)
過去の黒歴史を抹消したい百度(Baidu)が個人ブログ記事の削除を命じたようです (山本一郎 / Yahoo, 6/16)
2016年6月16日のtwitterセキュリティクラスタ (twitterセキュリティねたまとめ, 6/17)
》 青函トンネル「貨物撤退」はなぜ封印されたか 新幹線開業の際、船に切り替える案があった (東洋経済, 6/14)
》 IIJ、Office 365にメールセキュリティ機能を付加した「Office 365 with IIJ」 (クラウド Watch, 6/13)
VMSA-2016-0009 - VMware vCenter Server updates address an important reflective cross-site scripting issue (VMware, 2016.06.14)。vCenter Server 5.[015] に影響。patch あり。
VMSA-2016-0008 - VMware vRealize Log Insight addresses important and moderate security issues. (VMware, 2016.06.09)。vRealize Log Insight 3.3.2 で修正。
VMSA-2016-0007 - VMware NSX and vCNS product updates address a critical information disclosure vulnerability (VMware, 2016.06.09)。NSX Edge 6.1.7 / 6.2.3、vCNS Edge 5.5.4.3 で修正。
APSB16-19 - Security update available for the Adobe DNG Software Development Kit (SDK) (Adobe, 2016.06.14)
APSB16-20 - Security update available for Adobe Brackets (Adobe, 2016.06.14)
APSB16-21 - Security update available for the Creative Cloud Desktop Application (Adobe, 2016.06.14)
APSB16-22 - Security Update: Hotfixes available for ColdFusion (Adobe, 2016.06.14)
Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-002 (Drupal, 2016.06.15)。Drupal core 7.44 / 8.1.3 で修正されている。
Windows 版 AIR 22.0.0.153 公開。 Windows 版 AIR 21.0.0.215 以前には、 インストーラーにおけるディレクトリ検索パスの扱いに欠陥があり、攻撃者にシステムの制御を奪われる可能性があった。 CVE-2016-4126
2016 年 6 月のセキュリティ情報 (月例) – MS16-063, MS16-068 〜 MS16-082 (2016.06.15)
関連:
(緊急)Microsoft Windows DNSの脆弱性(リモートでのコード実行)について (CVE-2016-3227) - 更新プログラムの適用を強く推奨 - (JPRS, 2016.06.17)
Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (山市良のえぬなんとかわーるど, 2016.06.17)
ユーザーの構成のポリシー処理は、これまでログオン ユーザーのセキュリティ コンテキストで行われていましたが、MS16-072 (KB3159398) でコンピューターのセキュリティ コンテキストで行われるように変更されたそうです。 (中略) この仕様変更に対象するには、セキュリティ フィルターを設定している GPO のフィルターに、Domain Computers を追加すること。
あと、定例外で MS16-083 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3167685) が出ました。
APSA16-03 - Security Advisory for Adobe Flash Player (2016.06.15)
Flash Player 更新出ました: APSB16-18 - Security updates available for Adobe Flash Player (Adobe, 2016.06.16)。22 系列になっている。
いちばんよく書けているのはこの記事:
[詳報]JTBを襲った標的型攻撃 (井上英明 / 日経 IT Pro, 2016.06.15)
JTB オフィシャル:
不正アクセスによる個人情報流出の可能性について (JTB, 2016.06.14)。「約793万人分」。
「JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンラインでご予約されたお客様、またはJTBグループ内外のオンライン販売提携先(提携サイト)でJTB商品をご予約されたお客様の情報となります。
本件について、 るるぶトラベル では JTB 文書をリンクする形で案内されているが、 訪日外国人旅行予約サイト JAPANiCAN では何の案内もされていないように見えるのはどういうことなんだろう。 To JAPANiCAN Members>> をたどると情報があるのだが、気がつかないだろこれは。
個人情報流出の可能性があるお客様へのご連絡について (JTB, 2016.06.16)
提携先オフィシャル:
提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (NTT ドコモ, 2016.06.14)
「dトラベル」を使ってオンラインで国内宿、国内ツアー、及び海外ツアーをご予約されたお客様の情報 (中略) 約33万人分
JTBの「個人情報流出の可能性」に関する発表について (Yahoo! トラベル公式ブログ, 2016.06.14)
下記サービスから予約された、一部のお客様の個人情報が不正アクセスの対象となった可能性があります。
------------------------------------------------
◎「Yahoo!トラベル 海外ツアー予約」に掲載されたJTBコースを予約した場合
◎「Yahoo!トラベル 国内ツアー予約」に掲載されたJTBコースを予約した場合
◎「Yahoo!ビジネストラベル 航空券、レンタカー+宿泊予約」を予約した場合
JTBにおける不正アクセスによる個人情報流出について (秋田大学生活協同組合, 2016.06.15)
大学生協でご予約いただいた組合員情報は一切含まれておりません
「JTB不正アクセスによる個人情報流出の可能性について」のご案内 (グリーンネットワーク)
グリーンネットワークにてご予約された組合員の皆様の個人情報は含まれません
株式会社i.JTBへの不正アクセスによる個人情報流出の可能性に関するお知らせ (DeNA トラベル, 2016.06.14)
株式会社i.JTBへの不正アクセスによる個人情報流出の可能性に関するお知らせ (au トラベル, 2016.06.14)
役所:
(株)JTBに対する個人情報保護法に基づく報告の指示について (観光庁, 2016.06.15)
(1) 本件に関する詳細な事実関係
(2) 本件発覚前に講じてきた安全管理措置
(3) 本件発覚以降の対応措置(問題点の整理を含む)
(4) 現在の安全管理の状況
(5) 今後の再発防止策等
について、10日以内の24日(金)までに書面で報告するよう指示しました。
観光関係団体等に対する情報流出防止の徹底の要請について (観光庁, 2016.06.15)
関連報道など:
JTBへの不正アクセスについてまとめてみた (piyolog, 2016.06.14)
JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口 (三上洋 / 読売, 2016.06.15)
JTB 不審な通信確認も直ちに対応せず (NHK, 2016.06.15)
JTB個人情報流出 ウイルス添付のメールは全日空からを装う (NHK, 2016.06.16)
JTB、約793万人分の個人情報流出の可能性がある対象者、内容について発表 提携先のdトラベル、Yahoo!トラベルも対応を案内 (トラベル Watch, 2016.06.15)
ファイア・アイ、JTBを狙った標的型攻撃のマルウェア「PlugX」の緊急説明会を開催 (Internet Watch, 2016.06.17)
JTBにはがっかりした、社長の謝罪会見で記者が感じた違和感 (日経 IT Pro, 2016.06.23)
JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか? (日経 IT Pro, 2016.06.24)
追加:
株式会社i.JTBへの不正アクセスによる個人情報流出の可能性に関するお知らせ (DeNA トラベル, 2016.06.14)
株式会社i.JTBへの不正アクセスによる個人情報流出の可能性に関するお知らせ (au トラベル, 2016.06.14)
追加:
ファイア・アイ、JTBを狙った標的型攻撃のマルウェア「PlugX」の緊急説明会を開催 (Internet Watch, 2016.06.17)
追加:
JTBにはがっかりした、社長の謝罪会見で記者が感じた違和感 (日経 IT Pro, 2016.06.23)
追加:
JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか? (日経 IT Pro, 2016.06.24)
Chrome 51.0.2704.103 公開。3 件のセキュリティ欠陥が修正されている。
》 Windows7からWindows10へアップグレードしたユーザーにありがちな罠 (動画エンコとフリーソフト ぼくんちのTV 別館, 2015.08.16)。 高速スタートアップの罠、NTFS LFS 2.0 の罠。どちらも Windows 8 で発生した話。
》 「固定資産税」払いすぎが全国で続発中〜役所から「高額請求書」が届いたらココを見よ! (現代ビジネス, 6/15)
漏洩容疑者逮捕
パナマ文書問題 スイスの関連会社の技術者逮捕 (NHK, 6/16)
パナマ文書 機密情報漏えいで捜査 事務所技術者を逮捕 (毎日, 6/16)。「モサック・フォンセカのジュネーブ支所のIT技術者」
パナマ文書、法律事務所のIT技術者を拘束=現地紙 (ロイター / 朝日, 6/16)
パナマ文書関連:
記者の目 パナマ文書とジャーナリズム=中西啓介(ベルリン支局) (毎日, 6/14)
「パナマ文書」が暴いた巧妙な税逃れの手口 ある米国人は143億円を国外へ飛ばした (東洋経済, 6/10)
パナマ文書は近代国家への信頼を崩壊させた セドラチェク氏と水野和夫氏、「危機」を語る (東洋経済, 5/27)
「パナマ文書」に載った日本人・企業の"事情" タックスヘイブン活用の意外な本音が明らかに (東洋経済, 5/23)
【ぜんぶ実名】パナマ文書に出てくる「日本の億万長者」大公開! (現代ビジネス, 5/28)
海上自衛隊の神弘行海曹長を逮捕、女子高生に脅迫メール (クリスチャン・トゥデイ, 3/6)。もともとの事件。
自衛隊関連の情報記録のUSBメモリー 自衛官宅で押収 (NHK, 6/14)
関係者によりますと、メモリーには、護衛艦の対潜水艦用のシステムや、海中の障害物などを探知するソナーに関する情報などが含まれている可能性がある
「可能性がある」? まだよくわかってないってこと?
自衛官宅からUSB押収 調査し再発防止策検討へ (NHK, 6/14)
海自情報USB持ち出しか=女子高生脅迫事件の自衛官-防衛省 (時事, 6/14)
》 パズドラのチートツール公開で大学生を逮捕 (著作権法違反容疑)
チートツール ネットに公開、広島の大学生逮捕 (毎日, 6/15)
男子学生は2013年夏ごろ、人気ゲームアプリ「パズル&ドラゴンズ(パズドラ)」用のチートツールをネット上に公開し、不特定多数が使用できるようにした疑いが持たれている。
昨日今日の話じゃないんだ……。
「パズドラ」の不正ツール作った疑い 男子大学生を逮捕 (朝日, 6/15)
》 「Raspberry Pi」製造・販売最大手の英メーカー、スイスの産業部品メーカーが買収へ (WirelessWire News, 6/15)。Newark element14 の親会社 Premier Farnell を Daetwyler Holding AG が買収。
Microsoft 定例出ました (まだ全然読めてない)。 ……って、重要な告知が:
手動でセキュリティ更新プログラムをダウンロードされるお客様向けに、マイクロソフトはこれまで、セキュリティ更新プログラムを、マイクロソフト ダウンロード センター、および Microsoft Update カタログの 2 か所に公開し、セキュリティ情報ではダウンロード センターに公開しているセキュリティ更新プログラム パッケージへのリンクを掲載してきました。今後、セキュリティ更新プログラムはダウンロード センターへの公開を停止し、Microsoft Update カタログのみに継続公開する予定です。
関連:
(緊急)Microsoft Windows DNSの脆弱性(リモートでのコード実行)について (CVE-2016-3227) - 更新プログラムの適用を強く推奨 - (JPRS, 2016.06.17)
Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (山市良のえぬなんとかわーるど, 2016.06.17)
ユーザーの構成のポリシー処理は、これまでログオン ユーザーのセキュリティ コンテキストで行われていましたが、MS16-072 (KB3159398) でコンピューターのセキュリティ コンテキストで行われるように変更されたそうです。 (中略)この仕様変更に対象するには、セキュリティ フィルターを設定している GPO のフィルターに、Domain Computers を追加すること。(←初出で説明したこの方法だと、すべての Domain Computers にもこの GPO のポリシーが適用されちゃうので NG です!不適切でした。お詫びして訂正します)
この仕様変更に対応するには、GPO の[委任]タブで、[Domain Computers:読み取り] のアクセス許可を追加すること。
あと、定例外で MS16-083 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3167685) が出ました。
一覧:
MS16-063 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (3163649)
MS16-069 - 緊急: JScript および VBScript 用の累積的なセキュリティ更新プログラム (3163640)
MS16-071 - 緊急: Microsoft Windows DNS Server のセキュリティ更新プログラム (3164065)
MS16-073 - 重要: Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3164028)
MS16-074 - 重要: Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3164036)
MS16-079 - 重要: Microsoft Exchange Server 用のセキュリティ更新プログラム (3160339)
MS16-080- 重要: Microsoft Windows PDF 用のセキュリティ更新プログラム (3164302)
MS16-082- 重要: Microsoft Windows Search コンポーネント用のセキュリティ更新プログラム (3165270)
MS16-063 + MS16-077 の NetBIOS + WPAD の件の詳細:
あらゆる通信ハイジャックが可能になるNetBIOS脆弱性、Black Hat USA 2016で報告 95から10までの全Windowsに影響、「BadTunnel」脆弱性とは何か (ascii.jp, 2016.08.08)
上記で引用した、Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (山市良のえぬなんとかわーるど, 2016.06.17) の内容、2016.06.17 には訂正されていました。山内さん情報頂いていたのに対応できてなくてすいません。 訂正部分含めて引用し直しました。
関連:
「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある (Ask the Network & AD Support Team, 2016.06.17)
山市良のうぃんどうず日記(68): 更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (@IT, 2016.06.27)
Flash Player 21.0.0.242 (最新) 以前に 0-day 欠陥 CVE-2016-4171 だそうです。 修正版は、早ければ 6/16 (US 時間) にも公開予定だそうです。
関連:
Zero-day used in targeted attacks (Kaspersky, 2016.06.14)
Flashゼロデイ攻撃、APTグループ「ScarCruft」関与か - EMETで回避可能 (Security NEXT, 2016.06.15)
「Adobe Flash Player」に深刻なゼロデイ脆弱性 (CNET, 2016.06.15)
Flash Player 更新出ました: APSB16-18 - Security updates available for Adobe Flash Player (Adobe, 2016.06.16)。22 系列になっている。
Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)
関連:
「Windows 10へのアップグレード阻止がより困難に」との報道にMicrosoftが即反論、日本では国会議員が質問主意書提出へ (gigazine, 2016.06.03)
パソコンの基本ソフトウェアの半強制的アップグレードに関する質問主意書 (参議院 第190回国会(常会))
Windows 10の強制アップグレード問題、国会答弁の内容が公表 (RBBToday, 2016.06.10)
Win10強制アップデート問題…マイクロソフトは「改善予定なし」 (読売, 2016.06.10)
》 WSUS 3.0 SP2 をご利用中のみなさま (Japan WSUS Support Team Blog, 6/10)
》 「佐村河内守の純愛映画として撮っています」森達也が語る『FAKE』 (チェリー, 6/14)
》 アイデンティティー権の件 (壇弁護士の事務室, 6/11)。他人に成り済まされない権利認定 (共同, 6/10) の件。
この記事、限りなく飛ばし記事に近い類のものである。
》 不正アクセスによる個人情報流出の可能性について (JTB, 6/14)。マジか。関連報道:
JTB 個人情報 最大790万人分流出か 不正アクセスで (NHK, 6/14)
AV出演を強要される被害が続出~ 女子大生が続々食い物になっています。安易に勧誘にのらず早めに相談を (伊藤和子 / Yahoo, 2014.08.16)。昨日今日はじまった話ではない。
【報告書】日本:強要されるアダルトビデオ撮影 ポルノ・アダルトビデオ産業が生み出す、 女性・少女に対する人権侵害 調査報告書 (ヒューマンライツ・ナウ, 3/3)
【院内シンポジウム】 5/26(木) AV出演強要被害 の 被害根絶を目指して (ヒューマンライツ・ナウ, 5/17)。紹介記事:
AV強要 「芸能活動、実は…」被害女性が実態語る (毎日, 5/27)
AV出演を強要された女性「息ができなくなるくらい苦しかった」 NPOがシンポ開催 (弁護士ドットコム / Yahoo, 5/27)
AV出演強要、IPPAは「AV業界は重く受け止めるべき」とコメント シンポジウムに松本アナも出席 (小川たまか / Yahoo, 5/27)
【AV出演強要】松本圭世アナ「自殺も考えた」「車の中に案内され…」 (トカナ, 6/13)
【報道各位】タイトル・AV出演強要に関連する刑事事件についての一連の報道について (ヒューマンライツ・ナウ, 6/13)
AV プロダクション社長ら逮捕の件:
大手AVプロダクション元社長ら逮捕 女性「出演強要された」 労働者派遣法違反容疑 (産経, 6/12)、 「サインしたじゃねえか!」 拒否する女性を数時間脅し撮影強行 同様の相談数十件 (産経, 6/13)
AV撮影と知りながら派遣か 元社長ら逮捕 (NHK, 6/13)
過去5年間、警視庁が同様の事案を摘発した例はなく、強制捜査を行うのは異例です。
警視庁によりますと、労働者派遣法では「公衆道徳上有害な業務」に派遣することは処罰の対象になるとされていますが、適用するのは容易ではないということです。女性がアダルトビデオの出演に承諾する契約を交わしていたり「家族や他人に知られたくない」と被害を訴えずに黙っていたりしていて、警察に届け出るケースは少数だからです。
女性をAVに出演させた疑い プロダクション社長逮捕 (朝日, 6/13)
》 名ばかりCSIRTを問題視している理由 (まるちゃんの情報セキュリティ気まぐれ日記, 6/12)
金融庁が業界に推奨したので
主要行等向けの総合的な監督指針 > III 主要行等監督上の評価項目 (金融庁) の「III -3-7-1-2 主な着眼点」の「(5)サイバーセキュリティ管理」に「組織内CSIRT等」という文言があるのですね。 「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」等の一部改正(案)の公表について (金融庁, 2015.02.13) で入ったようです。
》 個人情報保護で同意をとることはそんなに大変なのか? (まるちゃんの情報セキュリティ気まぐれ日記, 6/13)
100%の人から同意をとることは難しいとは思う。しかし、例えば80%から同意がとれた情報の利用価値(-同意を取るコスト)と匿名加工情報の利用価値(-匿名加工処理に係るコスト)を比較したらどうなんだろうか・・・
》 福山雅治邸侵入は氷山の一角 高級マンション「薄給コンシェルジュ」の闇 (弁護士 落合洋司 (東京弁護士会) の 日々是好日, 6/12)。 「高級マンション」のショボい実態。 コンシェルジュの正体が薄給のバイトじゃあねえ。
》 舛添氏疑惑調査、これで「第三者の厳しい目」? 弁護士は小渕優子氏にも「活用」されていた (弁護士 落合洋司 (東京弁護士会) の 日々是好日, 6/6)、 舛添都知事、「第3者」と会見 番組独自に3人の「第3者」が分析 (弁護士 落合洋司 (東京弁護士会) の 日々是好日, 6/7)
》 米民主党、政策綱領策定委員にSOPAを提案したMPAAロビイストを指名 (P2Pとかその辺のお話R, 6/4)
》 スマートメーターの情報を最安ハードウェアで引っこ抜く (Qiita, 6/4)
》 「企業における情報システムのログ管理に関する実態調査」報告書について (IPA, 6/9)
》 マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」 (ITmedia, 6/10)、 Who Needs to Exploit Vulnerabilities When You Have Macros? (CERT/CC blog, 6/8)
》 12年間で銃によって殺されたアメリカ人の数はエイズ・戦争・違法薬物の合計死亡者数よりも多い (gigazine, 6/13)
》 Mozilla、オープンソースのセキュリティ問題に取り組む「Secure Open Source」プログラムを発表 (OSDN, 6/10)
本プログラムでは、Mozillaによる初期投資50万ドルを利用して、広く使われているオープンソースライブラリおよびプログラムの監査を行う。
》 初の日本語版 Azure Active Directory 専門書〜脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説 (Microsoft, 6/8)
》 銀行アプリに250億ドルの穴 ホワイトハッカーが未然に防ぐ (ZERO/ONE, 6/8)
》 Monthly Research 「IoTデバイスのセキュリティの現状」 (FFRI Blog, 6/8)
》 USB経由のスマートフォン充電に潜む危険 (Kaspersky, 6/8)。AT コマンド……
》 電気通信大、不正アクセスで学内PCからフィッシングメール280万通を送信 (Internet Watch, 6/6)。5/3, 4 の話。
》 「企業の戦争責任 三菱マテリアル和解の意義」(時論公論) (NHK 解説委員室, 6/6)
》 アズジェント、ネットワークを迷宮化することにより重要情報の窃取を防ぐ 新しいアプローチのサイバー攻撃対策ソリューション販売開始 (アズジェント, 6/8)。illusive (Illusive Networks)。防壁迷路を製品化、ということかな。 世の中がどんどん攻殻に追いついてくるな。
》 有料放送が無料に 不正プログラム公開疑いで少年逮捕 (NHK, 6/8)。B-CAS ねた。まだやってる人いたのか。
セブン銀行だけじゃなかった:
ATM不正引き出し、首都圏に集中 ファミマでも被害 (朝日, 6/2)
新たに被害が判明したのは、1都5県のファミリーマートなどに設置されたATM。イーネットは約300台で計約4億円、ゆうちょ銀行は約20台で計約2千万円が引き出されたという。
ATM不正引き出し ファミマなどでも4億円以上被害 (TBS, 6/2)、 コンビニATM狙う犯行の一部始終 100人超が全国で一斉に (TBS, 6/2)
海外発行カードのATM引出限度額の変更について (イーネット, 6/3)。20万円/回→4万円/回。
海外発行カードの偽造による不正引出し報道について (ゆうちょ銀行, 6/2)。ゆうちょは限度額引き下げしてないのかな。
先月だけじゃなかった:
ATM不正引き出し 去年末にも1億円被害 (NHK, 6/3)
去年の12月27日、全国7つの都県のコンビニエンスストアなどにある「セブン銀行」のATMで、偽造されたとみられるクレジットカードが一斉に使われ、合わせておよそ1億円が不正に引き出された (中略) 中米のエルサルバドルの金融機関が発行したクレジットカードの情報が悪用されたとみられ
出し子の容疑者 1 名をさらに逮捕:
ATM引き出し 「出し子」の34歳塗装工 警視庁も逮捕 (毎日, 6/6)
偽造カード事件 3分間で7回現金引き出し (NHK, 6/6)
その他
ATM不正引き出し 磁気テープ貼りカード偽造か (NHK, 6/7)、 ATM不正引き出し 「手順書」に4桁の暗証番号か (NHK, 6/7)
多額引き出し ATM不正に手順書…別の詐欺事件で押収 (毎日, 6/7)
新潟県警が別の振り込め詐欺事件の捜査でATMから現金を引き出す方法や手順を記した手書きのメモを押収していた (中略) 偽造カードは南アフリカの銀行が発行したクレジットカードのデータが用いられており、メモには偽造カードが使える店舗として「セブン−イレブン」など大手コンビニチェーンの名前を記載。ATMにカードを挿入した後、言語の選択画面で「日本語」を選択し、「引き出し」「普通口座」と操作する順番が書いてあった。また一連の事件で使用されたものと同じ4桁の暗証番号も記されていたという。
[Wireshark-announce] Wireshark 2.0.4 is now available (Wireshark, 2016.06.07)
[Wireshark-announce] Wireshark 1.12.12 is now available (Wireshark, 2016.06.07)
gnutls 3.4.13 (gnutls-devel ML, 2016.06.06)。GnuTLS 3.4.12 の欠陥 GNUTLS-SA-2016-1 を修正。
もちろん Struts 1 のサポートは終了しているわけですが。
JVN#03188560 - Apache Struts 1 におけるメモリ上にあるコンポーネントを操作可能な脆弱性 (JVN, 2016.06.07)
JVN#65044642 - Apache Struts 1 における入力値検証機能に関する脆弱性 (JVN, 2016.06.07)
Firefox 47.0 / ESR 45.2.0 出ました。ESR 38 系列の更新は終了しています。
リリースノート: Firefox 47.0、 ESR 45.2.0、 Android 版 Firefox 47.0。
Firefox 47 にはこんな新機能が:
Flash がインストールされていない場合、ページに埋め込まれた Youtube の動画再生を HTML5 の video 要素を用いて行うようになりました
手元の Windows から、NPAPI プラグイン版 Flash Player を削除してみた。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
VSE 8.8.x + 64bit 版 Windows 7 / Server 2008 R2 の環境で、VSE Mcshield サービスが突然停止したり、DAT 8184 以降への更新ができない場合がある模様。その場合はこうするとよいそうで:
C:\ProgramData\McAfee\Common Framework\UpdateDir または C:\ProgramData\McAfee\Agent\UpdateDir (McAfee Agent のバージョンおよび更新状況に依存、KB87253 参照) を除外設定に追加。「サブフォルダも除外」もチェックすること。
http://update.nai.com/products/commonupdater/ から DAT 8184 をダウンロードして更新
除外設定を削除
Yoshioka さん情報ありがとうございます。関連:
【TIPS】DAT 8183 問題の解決方法 (マカフィー, 2016.06.07)
》 CODE BLUE 2016。 2016.10.20〜21、東京都新宿区、早期申込 41,040円。
》 AVTOKYO2016。 2016.10.22、東京都渋谷区。
》 Tumblrと(懐かしの)MySpaceから大量のログイン情報が流出 (Kaspersky, 6/6)、 史上最大級6億4200万件ものアカウント情報が流出してダークウェブで販売、サイト側は流出を把握せず (gigazine, 6/2)
》 「三菱アウトランダーPHEV」にスマートフォンアプリとの通信を乗っ取られる危険性 (gigazine, 6/7)。「三菱リモートコンロトール」。
》 「パナマ文書」を調査することで富裕層がいかに資産隠し&身元隠蔽をしていたかという手法が発覚 (gigazine, 6/6)
》 ロシア最大のSNSがハッキングされて1億ものパスワードが暗号化されずに平文で流出 (gigazine, 6/7)
》 音楽の違法コピーによる被害は収益全体の5.2%ーーEU知的財産庁 (P2Pとかその辺のお話R, 6/2)
人工知能研究者の倫理綱領(案) (人工知能学会倫理委員会, 6/6)。 あくまで人工知能研究者の倫理綱領(案)であり、 人工知能自身の倫理綱領(案)ではない。
2016年度人工知能学会全国大会「公開討論:人工知能学会 倫理委員会」(2016/6/6)のご案内 (人工知能学会倫理委員会)
人工知能学会全国大会2016倫理委員会セッション (togetter, 6/7)
マスメディア報道。毎日と朝日は誤解を招くタイトルだよなあ。中身読めばわかるんだけど。
人工知能巡り研究倫理の指針案示される (NHK, 6/6)
人工知能 学会が倫理綱領作成へ たたき台示す (毎日, 6/7)
人工知能、初の倫理綱領 学会素案、悪用防止求める (朝日, 6/6)
国内では5月、内閣府で議論が始まっており
これのことか: 人工知能と人間社会に関する懇談会 (内閣府)。5/30 に第1回が開かれている。 配布資料。
関連:
Googleの人工知能「AlphaGo」を作ったDeepMindがAIの暴走を止める「緊急停止ボタン」の仕組みを開発 (gigazine, 6/6)
地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」 (@IT, 6/3)
電話が鳴る! 上司に報告! まるで実務なセキュリティ競技 (ascii.jp, 6/7)
》 ソフォス、シグネチャーレスの次世代型マルウェア駆除ツール 「Sophos Clean」 を提供開始 (Sophos, 6/1)
「Sophos Clean」は、ソフォスが 2015年 12月に買収したオランダの SurfRight 社の定評あるマルウェア検出・除去テクノロジーを基盤に開発されました。 高度な挙動分析や証拠収集(フォレンジック)機能を駆使し、ゼロデイ攻撃やトロイの木馬型マルウェア、ルートキット、ポリモーフィック型マルウェア、悪質なクッキー、 スパイウェア、アドウェアなどを検出・除去します。
SurfRight は HitmanPro の会社。HitmanPro for Enterprise には Incident License というのもある のだけど、 Sophos Clean にはないのかな。
》 PCをリモート操作するTeamViewerの乗っ取りで被害が続出した件で開発元が声明を発表 (gigazine, 6/6)
》 海外ネットバンキングを狙う「DRIDEX」、証明書ファイルになりすます新手法で拡散 (トレンドマイクロ セキュリティ blog, 6/7)
》 実行中のタスクを検出する新しい手口―Android マルウェアの飽くなき追求 (シマンテック, 6/2)
》 eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す (高木浩光@自宅の日記, 6/3)
》 データを人質にする事件多発、韓国警察がサイバーテロ型犯罪取り締まり強化 (日経 IT Pro, 6/7)
》 #Citizenfour が6月11日から日本で公開 - スノウデンへの密着ドキュメンタリー (エフセキュアブログ, 6/6)。例によって滋賀県では公開されないわけなのだが orz。
(しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)
What's Going on With libtiff? (SANS ISC, 2016.06.05)。直らないねえ、という話。 もはや保守されてない?
Apache Struts2 の脆弱性 (CVE-2016-3087)についてまとめてみた (piyolog, 2016.06.03)。Struts 2.3.20.3, 2.3.24.3 2.3.28.1 で修正されている。また Dynamic Method Invocation (DMI) を無効にすることで回避できる。
[Announce] CVE-2016-4437: Apache Shiro information disclosure vulnerability (oss-sec ML, 2016.06.03)。Apache Shiro 1.2.5 にアップデートした上で、shiro.ini で securityManager.rememberMeManager = null と設定する。
dosfstools 4.0 (github, 2016.05.06)
dosfstools / fsck.vfat: Several invalid memory accesses (The Fuzzing Project, 2016.05.08)
Docker 1.11.2 (2016-05-31) (github)
JVNDB-2016-002986 - Docker で使用される runC の libcontainer/user/user.go における権限を取得される脆弱性 (JVN, 2016.06.06)
》 【緊急アップ】舛添都知事の調査報告書全文を公開します (おときた駿 / BLOGOS, 6/6)
》 燃費計測問題、そもそも惰行法は適切な計測方法なのかという議論
スズキの燃費不正、どこまで「罪」といえるか (東洋経済, 6/2)
そもそも燃費試験(同じ試験で行われる排ガス試験も)は屋内の巨大なローラー上で行われる。この屋内試験に対し、現実と乖離しているという批判もある。その批判にも一理ある。だが、屋内試験を正当化する理由は、条件を可能な限り統一することで“物差し”としての信頼性を担保するためだ。屋内試験の条件設定の値の一つである走行抵抗値は、条件がばらつく屋外の惰行法で取られている。このことに矛盾はないのだろうか。
スズキの修会長が燃費計測不正で全面的に謝罪!しかし猛省すべきは国交省では? (オートックワン, 5/31)
スズキが法令違反を始めたのは2010年だったという。きっかけは欧州の燃費計測方法にある。この時点で欧州の走行抵抗値は、風洞やタイヤの転がり抵抗など別個に計った数値を積み上げることが認められていた。 (中略) 欧州のように新しい基準を取り入れろよ、というのがスズキのホンネだろう。
制度改正まで視野に入れた対応が必要な感じ。
》 企業の公式サイトが、架空の行方不明者捜索で宣伝行為を行う (togetter, 6/1)。インサイド。
焦点:南シナ海で態度を硬化、マレーシアは「親中国」返上か (ロイター / BLOGOS, 6/6)
南シナ海で防空識別圏設定なら「挑発的行為」、米国務長官が警告 (ロイター / BLOGOS, 6/6)
米中戦略・経済対話 「南シナ海」で激しい応酬 (毎日, 6/6)
》 サウジアラビアのセキュリティ求職者を対象にしたAndroidスパイウェア (マカフィー, 6/3)
》 FBIが刺青追跡システムを開発中。プライバシー擁護団体が反発 (techcrunch, 6/6)
》 TLS/SSLのオープンソース実装「LibreSSL 2.4」リリース (OSDN, 6/6)
》 Ubuntu Weekly Topics - DNSレゾルバに関する大きな変更ふたたび・UWN#467 (技評, 6/3)
5月末にresolvedの投入が行われることが宣言されています。
この変更によって,「1)/etc/resolv.confは手で編集してよいファイルに戻り」,「2)DNS応答は基本的にキャッシュされる」という挙動が実現されます。また,変更はDesktop・Touch・Serverのいずれにも適用され,環境による差が無くなります。
》 医療ソフトのハッキングコンテストで80超の脆弱性発見 (日経テクノロジー online, 5/31)。「医療セキュリティハッキングコンテスト 2016」。
本当は怖いAES-GCMの話 (ぼちぼち日記, 2016.05.24)。詳細解説。黒木さん情報ありがとうございます。
Nonce-Disrespecting Adversaries (GitHub)
HTTPSで保護されているはずの通信を傍受できる脆弱性「Forbidden Attack(禁断の攻撃)」はVISA関連サイトなど複数で利用可能 (gigazine, 2016.05.27)
JVNVU#94410990 - NTP.org の ntpd にサービス運用妨害 (DoS) など複数の脆弱性 (JVN, 2016.06.03)。ntp-4.2.8p8, ntp-4.3.93 で修正されている。
Malicious Hardware の時代が到来した模様。チップレベルで malicious。
そもそもは、より小さなトランジスタを使うためにチップ設計のコストが上昇したことで、メーカーがチップ設計を海外・第三者の設計メーカーに発注することが多くなったのが、「悪意あるハードウェア」誕生の1つの原因となっています。発注を受けた設計メーカーでは、問題ない設計ができたかどうか製造前チェックを行いますが、この段階に悪意ある攻撃者が入り込み、ありそうもない順序の攻撃用トリガーを仕掛けると、試験装置ではそれが「悪意あるハードウェアである」と検出することができません。
確か攻殻機動隊 2 に、バックドア入りチップの話が出てきていたような気が……。 ここでも時代が攻殻に追いついたようだ。
》 ウイルス対策ソフトの第三者評価 (エフセキュアブログ, 5/30)
》 IC3のインターネット犯罪レポート (エフセキュアブログ, 5/27)
》 Tor Browser 6.0 is released (Tor Project, 5/30)。iida さん情報ありがとうございます。
》 「生かされなかった教訓〜警察のストーカー対応」(時論公論) (NHK 解説委員室, 5/30)
》 「熊本地震 建物被害からの教訓」(視点・論点) (NHK 解説委員室, 5/26)
一つの方法として、皆様がお持ちの「スマホ」を使って建物の固有周期を調べる方法が使えます。地震のない普段の時に2階の床にスマホを置いて固有周期を調べておきます。大きな地震が起きたら、地震の後にもう一度、固有周期を調べます。筋違が外れたり合板の周りの釘が緩んだりすると、揺れ方がゆっくりになります。このような住宅は弱くなっていることがすぐに分かります。
関連: スマホが地震計に (教授のひとりごと, 5/31)
》 4Kコピープロテクト「回避」機器、ワーナー・ブラザースとの著作権侵害裁判で事実上の勝利 (P2Pとかその辺のお話R, 5/31)
》 「IoT機器のセキュリティ」実現に向けた各社のアプローチとは (高橋睦美 / @IT, 6/1)。Japan IT Week レポート。
消費増税の再延期、アベノミクス失速浮き彫りに (ウォール・ストリート・ジャーナル日本版, 6/2)
世界経済は「リーマン直前」とまったく似ていない (野口悠紀雄 / 週刊ダイヤモンド, 6/2)
検証 首相、増税再延期決定(その2止) 「増税」「解散」熟考半年 首相の判断連動 きしみ見え始めた政権 (毎日, 6/1)
》 Facebook、Twitter、Google、MicrosoftがEUの対ヘイトスピーチ行動規範に署名 (ITmedia, 6/1)、 「24時間以内にヘイトスピーチを削除」がさらに拡大、Facebook・Google・Twitter・Microsoftが合意 (gigazine, 6/1)、 ネット大手各社、欧州でヘイトスピーチ規制に協力へ (CNET, 6/1)
》 Marshmallow の新しい権限モデルにも対抗できるよう進化した Android マルウェア (シマンテック, 5/29)
》 SWIFT を悪用するグループのマルウェア、金融機関を狙う他の攻撃ともつながり (シマンテック, 5/29)、 一連のサイバー銀行強盗、金融メッセージ通信サービス「SWIFT」を狙う攻撃ツールが利用される (トレンドマイクロ, 5/31)。 ベトナムの銀行 Tien Phong Commercial Joint Stock Bank がヤラれた件、 バングラデシュ中央銀行がヤラれた件に関連だそうで。
攻撃者は、SWIFT の詳細やそれが銀行でどのように利用されているかなど銀行業務についても精通していたと推察されます。そう考えられる理由の1つは、このベトナムの銀行への攻撃の際、ソーシャルエンジニアリングの手法として、PDFファイルの閲覧、編集、作成が可能なフリーのPDF閲覧ソフト「Foxit Reader」が悪用された点です。攻撃者は、事前調査を通して銀行業務で Foxit Reader が利用されていることを把握していたのでしょう。
》 雑誌売り上げ 32年ぶりに書籍下回る (NHK「かぶん」ブログ, 6/2)
》 三菱マテリアル、中国人強制連行問題で中国人元労働者と和解
中国人元労働者との和解について (三菱マテリアル, 6/1)
中国側と三菱マテリアルが和解 過去最多の強制連行3千人超 (共同 / 沖縄タイムス, 6/1)
中国人強制連行 和解 三菱マテリアルが謝罪 (毎日, 6/1)
中国人強制連行 北海道訴訟 「和解の流れ広まって」 元弁護団が訴え /北海道 (毎日, 6/1)
中国人強制連行 三菱マテリアル和解 「包括的解決図る」 (毎日, 6/2)
》 福島第一原発1号機 "巨大掃除機"でがれき吸引 (NHK「かぶん」ブログ, 5/31)。以前から使ってるやつですね。
関連: 福島第一原子力発電所1号機原子炉建屋カバー解体 <支障鉄骨撤去(コンクリート片等の小ガレキの吸引作業)の開始> (東電, 2015.11.20)
》 セブン銀行 ATM 不正引き出しの件、出し子の容疑者 2 名を逮捕
ATM不正引き出し、窃盗容疑で2人逮捕 14億円被害 (朝日, 5/31)。いずれも愛知県警。
「暗証番号同じだった」=ATM不正、逮捕の男供述-14億円引き出し・愛知県警 (時事, 6/2)。そのようにつくったカードなのでしょう。
》 新たな図書券「図書カードNEXT」6月より提供開始 (スラド, 6/1)。「なお、このPIN番号はスクラッチ印刷で隠した状態で販売されるとのこと」。
》 ”ランサムウェア被害の病院が、2度も解除キーの身代金を要求され交渉を破棄。”という記事について (北河拓士 / 備忘録, 5/31)
》 [注意喚起] Smart TV Boxで発生しているウィルス感染について (KDDI, 4/4)。ランサムウェアにヤラれる事例が出ているそうで。
関連: Smart TV Box (KDDI)
Smart TV Boxは、KDDIがケーブルテレビ会社向けに開発したAndroid(TM) 4.0 搭載のセットトップボックスです。
Android 4.0……
》 Deep Discovery Email Inspector 2.1 Critical Patch 1279 を適用していない環境で発生するシステム不具合について (トレンドマイクロ, 5/31)。 「DDEI のレポート作成、ファイルエクスポートなど UIの操作時にエラーログが大量に出力されてしまう不具合」で /opt があふれる話が直っている模様。
》 Google アカウント情報に新しい機能を追加しました (Google, 6/2)、 Googleアカウントがアップデート―AndroidだけでなくiOSデバイスも探してロックできる (techcrunch, 6/2)
》 Apple、日本向けCMからレズビアンカップルを削除 (石壁に百合の花咲く, 6/1)。Apple のショボい現実。
日本の他にはトルコ、ドイツ、フランスなどでもこちらのバージョンが放映されたそうです。
》 情報流出の保険証、1.8万人が今も使用 番号変更通知 (朝日, 6/1)。この件: 保保発0531第1号: 被保険者証の記号及び番号を含む個人情報流出事案に係る調査結果の概要及び情報流出対象者への対応等について(依頼) (厚生労働省, 5/31)
》 「マイナンバーを記録したパソコンは修理できない」、PC各社の修理規定が波紋 (日経 IT Pro, 5/31)。 ガイドライン Q&A 事業者編 Q3-14 の件。
》 Reminder: EOL for ClamAV 0.97 is tomorrow! (June 1st) (ClamAV, 5/31)
》 Get Windows 10(GWX)アプリはMicrosoftのアプリガイドラインに違反している? (スラド, 6/1)
phpMyAdmin security notifications and 4.4.15.6 is released (phpMyAdmin, 2016.05.26)。PMASA-2016-14 〜 PMASA-2016-16 を修正。
phpMyAdmin 4.6.2 is released (phpMyAdmin, 2016.05.26)。PMASA-2016-14、PMASA-2016-16 を修正。
Cisco Prime Network Analysis Module Unauthenticated Remote Code Execution Vulnerability (Cisco, 2016.06.01)
Cisco Prime Network Analysis Module Authenticated Remote Code Execution Vulnerability (Cisco, 2016.06.01)
Cisco Prime Network Analysis Module Local Command Injection Vulnerability (Cisco, 2016.06.01)
Cisco Prime Network Analysis Module IPv6 Denial of Service Vulnerability (Cisco, 2016.06.01)
主に US で使われている製品だそうです。
広く普及するエネルギー施設向け監視システムに脆弱性--さらに悪いことにパッチは不可能 (ZDNet, 2016.05.31)。後継製品に買い換えるしかないと。
Advisory (ICSA-16-147-01) Environmental Systems Corporation Data Controllers Vulnerabilities (US-CERT, 2016.05.26)。remote から攻撃可能、詳細情報が公開されている、低スキルでも攻撃可能。
脆弱性を修正できない? 危ない産業制御システム「ESC」 (ZERO/ONE, 2016.06.20)
2015年11月30日 サイボウズ ガルーン 4.2 (サイボウズ)。「2016/5/27 「改修された脆弱性」を公開しました」。
Chrome 51.0.2704.79 公開。15 件のセキュリティ欠陥が修正されている。 iida さん情報ありがとうございます。
》 OSSセキュリティナイター vol.1 急増するランサムウェア その脅威とOSSの対策。 2016.06.15 (水)、東京都港区、無料。 面さん情報ありがとうございます。
》 水素水、「ニセ科学」と切り捨ててはいけないが、エビデンスありとは言い難い (FOOCOM.NET, 6/1)
結局、終わった6つの臨床試験のうち、論文発表され有効なのは2つというのが、判断の目安となります。(中略) もう一つ、残念なことに、人での作用メカニズムについての研究が圧倒的に不足しています。(中略) まだ、エビデンスと明確に言えるようなものはない、と私は判断します。
》 「フリーライター内川たまき氏と連絡可能な方を探しています」善意を悪用した告知で企業の公式サイト炎上 (NAVER まとめ, 6/1)。こんなことをしないと宣伝にならないようなレベルのコンテンツ、という理解でいいのかな。
》 特捜検察にとって”屈辱的敗北”に終わった甘利事件 (郷原信郎が斬る, 6/1)。強きを助け、弱きをくじく。検察の本領発揮か。
今回のような「絵に描いたようなあっせん利得事件」が不起訴で決着すれば、もはや、この法律は、有力な国会議員による悪質な口利きと対価受領の事案に対して全く使えないことになってしまう。要するに、与党議員ならやりたい放題だということだ。 (中略) 大阪地検の証拠改ざん問題や、陸山会事件での虚偽捜査報告書作成事件等で、社会の信頼を失った検察は、今回の不起訴で、微かな「社会の期待」も失った。
》 「ダーリンは70歳・高須帝国の逆襲」、小学館の自主規制により絶版へ
【炎上】高須院長が書籍の書き直しを拒否して絶版・回収騒ぎに。「僕は吐いた唾は飲まない。断固拒否」 (netgeek, 5/31)。 本人の認識や当時の状況をそのまま述べただけのように見えるのだが。 もし何かするとしたら、書き直しではなく註釈の追加であろうに。
ダーリンは70歳・高須帝国の逆襲が表現規制で絶版と聞いて驚き (まなベルサイト:Megabe-0, 5/31)
さて、他社から再販となるのか、自費出版か、それともこれで終了か。 やる気のある出版社なら、既に著者にコンタクトしているはず。
》 TBS「水曜日のダウンタウン」、Twitterユーザー参加企画を中止 「一般の方にご迷惑をおかけした」 (ITmedia, 6/1)
一部のユーザーが憶測で住所を書き込んだり、無関係な住宅に侵入したりと「誤情報により、関係のない一般の方にご迷惑をおかけする事態が発生した」(同番組)
参照: #クロちゃん救出 (twitter)、 #クロちゃん救出 ツイッターだけで誘拐場所を探しだせ!→特定班の活躍で警察沙汰に→企画中止へ (togetter, 5/31)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)