Last modified: Thu Jun 9 11:52:51 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 ニフティの個人向け事業、ノジマに譲渡 富士通が正式発表 (ITmedia, 1/31)
》 Amazon.co.jpをかたるフィッシングメール、認証情報のリセットを促す (Internet Watch, 1/31)、 再び出回る「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」、Microsoftをかたるフィッシングメール (Internet Watch, 1/30)。いろいろありますね。
「病欠で代わりを探せなかったペナルティ」 セブン-イレブンで女子高生バイトに不当な減給、Twitterで発覚 (ねとらぼ, 1/31)
セブン-イレブン バイト病欠で「罰金」 女子高生から9350円 東京の加盟店 (毎日, 1/31)
店側は「休む代わりに働く人を探さなかったペナルティー」として、休んだ10時間分の9350円を差し引いたと保護者に説明したという。 (中略)
広報センターの担当者は毎日新聞の取材に「加盟店の法令に対する認識不足で申し訳ない」と話した。「労働者に対して減給の制裁を定める場合、減給は1回の額が平均賃金の1日分の半額を超え、総額が賃金総額の10分の1を超えてはならない」と定めた労基法91条(制裁規定の制限)に違反すると判断したという。
お前は何を言ってるんだ案件。
セブンイレブン、バイト病欠の女子高生に「罰金」で謝罪 (朝日 / ハフィントンポスト, 1/31)
労働問題を手がける棗一郎弁護士は「労働契約は自らの労務を提供することで、他の人を配置するのは使用者の義務。病気で働けない代わりに他のアルバイトを見つけなければ罰金を科すことは賠償予定の禁止を定めた労働基準法16条に違反する」としている。
罰金を科すこと自体が労働基準法 16 条違反という指摘。金額の問題ではないと。
ささきりょう弁護士のツイート:
「そもそもアルバイトが休む際に代わりの者を探す義務は労働者にはない。したがって、制裁ができない。なのに制裁して減給した。これは違法な減給。なので未払いは24条の全額払い原則違反。24条違反は犯罪。だから返金させる。」と説明すべきなのに、なぜ火に油を注ぐのか。なぞだ。
— ささきりょう (@ssk_ryo) 2017年1月31日
こちらは労働基準法 24 条違反という指摘。
セブン広報のクソさを報じているのは朝日だけ?
》 「NAVERまとめ」と著作権 LINEに法的責任を問えるか? 弁護士が考察する (ITmedia, 1/31)
》 2号機 原子炉格納容器内部調査におけるペデスタル内の事前調査の実施結果について (東電, 1/30)。溶融燃料っぽい奴。
》 2016年は「日本におけるサイバー脅迫元年」、日本へのランサムウェア攻撃、本格化するのはこれから (Internet Watch, 1/30)
》 iPhoneを使う女性は注意、「電車で見ず知らずの女性の名前を知る方法」に注目集まる (Internet Watch, 1/30)、 iPhoneのせいで、他人に本名がバレる!?AirDropの設定を変更しよう (iPhone Mania, 2016.02.19)。AirDropの公開範囲を設定する(不要ならオフにする)、名前を変更する。
》 CTCSP、震度7クラスの地震を想定したサーバーラック用免震装置「OCTO-BASE」を取り扱い開始 (クラウド Watch, 1/30)。「価格は60万円」
》 あらゆるモノがIoT化するために、通信機能よりも重要なもの (Internet Watch, 1/31)。電源の話。
ASP.NET Core MVC 1.0.x にはこの欠陥はないそうで。 ASP.NET Core MVC 1.1.1 で修正済。1.1.1 以降を使うように設定した上でアプリを再作成する。
》 再チェック! ファイル共有プロトコル「SMB」のためのセキュリティ対策 (@IT, 1/30)。
》 那覇空港で滑走路閉鎖 空自F15が脱輪 (沖縄タイムス, 1/30)、滑走路閉鎖の那覇空港、運航再開 到着便複数が目的地変更 (沖縄タイムス, 1/30)、那覇空港・滑走路閉鎖 JAL機が嘉手納基地に着陸 (沖縄タイムス, 1/30)。滑走路が 1 本しかないのでねえ。現在、第 2 滑走路を建設中。
》 Facebookのアカウント認証、USB物理鍵が利用可能に (ITmedia, 1/27)、 Security Key for safer logins with a touch (Facebook, 1/26)
Security keys can be purchased through companies like Yubico, and the keys support the open Universal 2nd Factor (U2F) standard hosted by the FIDO Alliance.
関連:
2 段階認証プロセスにセキュリティ キーを使用する (Google)
2 段階認証を有効にする (Dropbox)
》 2017年1月にJC3が注意喚起したウイルス付メール(URSNIF)についてまとめてみた (piyolog, 1/26)
関連: Gmail、JavaScriptファイルの添付を禁止へ(2月13日から) (ITmedia, 1/26)
》 Google、自社向けのルート認証局「Google Trust Services」を開設 (Internet Watch, 1/27)、 The foundation of a more secure web (Google Security Blog, 1/26)
》 Microsoft サポート情報採取ツール (MSDT) の実行を行う際に 0x800B010A が発生する場合の対処方法について (Ask CORE, 1/27)。Microsoft Certificate Authority 2011 証明書 が必要。通常は Windows Update などを通じてインストール済の模様。
》 ハイスペックで、礼儀正しい若者がデマサイトを作る 就活の失敗からそれは始まった (BuzzFeed, 1/30)
学習能力の高さ、目的に向かって最短距離で手段を考えられる要領の良さ。そして、自分のやっていることのリスクを理解する冷静さ。言葉遣いの丁寧さ。男性はいろんな能力に恵まれていた。
だが、そこに倫理はなかった。なぜ、こんなに有能なのに。
関連: 韓国デマサイト「大韓民国民間報道」が閉鎖に 管理人による書籍もAmazon.co.jpから消滅 (ねとらぼ, 1/27)
OpenSSL 1.1.0d / 1.0.2k 公開。3 件のセキュリティ欠陥を修正。 iida さん情報ありがとうございます。
》 安倍・トランプ会談は統一教会の手配だった!新潮45が伝える (やや日刊カルト新聞, 1/18)
》 SQLインジェクションの脆弱性がある日本のサイト400件の情報が中国サイトに投稿されていたことが判明、IPAが注意喚起 (Internet Watch, 1/26)
》 「対策は不十分」、EUの新個人情報保護法でIIJが警鐘 (日経 IT Pro, 1/25)
》 欧州で進む車載ソフトの標準化 対応遅れる日本市場に差す光明 (日経 IT Pro, 1/25)
》 Apple、将来版iPhoneに向け、光学式指紋認証や顔認証の技術を開発か (日経 IT Pro, 1/24)
》 割賦販売法改正でカード決済のIC対応が必須に、1年半後に期限迫るも大手に遅れ (日経 IT Pro, 1/18)
》 アマゾン「アレクサ」、似た名前の人に悲喜劇 (ウォール・ストリート・ジャーナル日本版, 1/27)
アマゾンが選んだ「アレクサ」という名前は、2006年の米国の人気名前ランキングで女子の39位だった。
そんなにポピュラーな名前なのか……。
ユーザーはこの起動の言葉を「エコー」や「アマゾン」に設定変更することも可能で、今週からは「コンピューター」にも変えられるようになった。
選択肢が高々 4 つしかないのか……。
》 トランプ米政権vs米国立公園 ツイッターで抵抗 (BBC, 1/26)
》 「日本のマスコミが捏造報道」が捏造 トランプ大統領の就任式でデマ (BuzzFeed, 1/24)
》 韓国デマサイトは広告収入が目的 運営者が語った手法「ヘイト記事は拡散する」 (BuzzFeed, 1/27)
「収益は5千円くらいですね。はてなブログに支払ったのが1万4千円ですから、赤字ですよ」
》 IT大手がしのぎを削る音声アシスタント、なぜAlexaが評価されているのか? (マイナビニュース, 1/23)
ユーザーのリクエストに関して不確かなことがあれば、Alexaは質問してくる。すごく賢いわけではないが、対話が続き、結果的に音声だけでちゃんと操作できる。確実であり、逆にしつこく聞き返されて煩わしい思いをすることもない。
ちゃんと動くものがちゃんと評価されているという、ごくあたりまえの状況の模様。
「恵方巻」の販売ノルマ アルバイトがネット上で悲鳴 (NHK, 1/26)。NHK は店名公表しなさいよ。
「恵方巻き」ノルマめぐり、「ブラックバイト」の相談増加 (FNN, 1/27)
恵方巻のノルマに挑むアルバイトの声(コンビニ別) (NAVER まとめ, 1/27)
去年の記事:
【ブラックバイト】今年もノルマで恵方巻を買わされた事例が多発したようです。 (佐々木亮, 2016.02.04)
「恵方巻き」が問題だらけでヤバすぎる 今年も「大量廃棄」と「自爆営業」が相次ぐ (BLOGOS, 2016.02.05)
》 トンボに「ランドセル」を背負わせて自由に操縦する研究が進行中 (gigazine, 1/27)
韓国体育会、アパホテルに本撤去要求 大会組織委に書簡 (朝日, 1/25)
アパホテルに書籍撤去直接求めず アジア大会組織委 (ニッカンスポーツ, 1/26)
重ねて配慮求める=アパホテル問題で-アジア大会組織委 (時事, 1/26)
アパホテルの書籍撤去 冬季アジア大会組織委、中韓に伝える (北海道新聞, 1/27)
関連:
アパホテルに、南京大虐殺否定本の「間違った内容」を問い合わせたら回答拒否された (Business Journal, 1/27)
》 〈時代の正体〉沖縄ヘイトの「ニュース女子」に批判 東京MXテレビ前で抗議集会 (カナロコ, 1/25)
》 「国立大は文科省の植民地」 83校に241人出向 (東京, 1/27)
》 オスプレイ事故 沖縄防衛局の一報は「墜落」 翌日「不時着水」に (毎日, 1/27)
》 「本当に腹が立った」まとめサイトを“劇薬”をもって制す、『アサヒカメラ』編集長の怒りと悲しみ (BuzzFeed, 1/26)。アサヒカメラ 2016.02「写真を無断使用する“泥棒”を追い込むための損害賠償&削除要請マニュアル」の話。
》 米国の民主主義指数、「完全」から「欠陥ある」に格下げ EIU (AFPBB, 1/26)
Apache 2.2.32 公開。 CVE-2016-8743 と CVE-2016-5387 (httpoxy) が修正されている。 iida さん情報ありがとうございます。
WordPress 4.7.2 公開。3 件のセキュリティ修正を含む。 日本語版 4.7.2 はまだ公開されてないみたい。
日本語版 4.7.2 公開されてます。
詳細解説: WordPress 4.7.1 の権限昇格脆弱性について検証した (徳丸浩の日記, 2017.02.06)。
認証不要で、攻撃に特別な情報も必要とせず、極めて容易にコンテンツが改ざんできるため、深刻な脆弱性であることがわかります。
関連:
2月初めの複数の国内サイトの改ざんについてまとめてみた (piyolog, 2017.02.05)
WordPress の脆弱性に関する注意喚起 (JPCERT/CC, 2017.02.06)
WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害 (ITmedia, 2017.02.09)
Chrome 56.0.2924.76 が stable に。51 件のセキュリティ修正を含む。
》 水俣病の原因「メチル水銀中毒」のメカニズム解明 新潟大 (ITmedia, 1/25)、 メチル水銀が血管内皮増殖因子の発現亢進により血液脳関門の障害を来すことを明らかにしました (新潟大学, 1/25)。「高橋哲哉助教及び下畑享良准教授ら」による成果。
》 第2回サイバーセキュリティセミナー 身近な脅威「内部不正」。 2017.02.06、大阪府大阪市、無料 (交流会は 1000円)。
「許されない 天下りあっせん」(時論公論) (NHK 解説委員室, 1/19)
文科省はOB使い組織的に天下りあっせん 監視委 (NHK, 1/20)
文科省天下り OBが仲介役で人事課と情報やり取りか (NHK, 1/21)
天下りあっせん 文科省が隠蔽工作 口裏合わせ文書入手 (NHK, 1/23)。この NHK 報道を受けてか、その後、民進党文科部門会議で開示された模様。
天下り、口裏合わせの想定問答判明 「早大用」など3種 (朝日, 1/24)
文科省、天下りで虚偽の想定問答 OB仲介装い隠蔽 (東京, 1/25)
【天下り問題】事務次官のクビを一瞬で飛ばした安倍官邸「真の狙い」 (現代ビジネス, 1/23)
天下りあっせん問題 今後調査本格化 対象範囲が広く課題も (NHK, 1/25)
》 米海軍水上戦力は「シー・コントロール」へ回帰? (海国防衛ジャーナル, 1/11)
》 怪しいメールはPDF化して読む、標的型攻撃メールの対策ラズパイ端末 (日経 IT Pro, 1/25)
》 なぜマイナポータルはJava必須なのか、開発者側の理屈でユーザー体験がおざなりに (日経 IT Pro, 1/25)
》 中小企業の情報セキュリティ推進シンポジウム2017 (IPA, 1/23)。2017.02.07、東京都中央区、無料。
》 総関西サイバーセキュリティLT大会(第1回)。 2017.02.08、大阪府大阪市、無料。
》 セキュリティ・ミニキャンプ in 近畿 2017 (京都 ) 一般講座。 2017.02.25、京都府京都市、無料。
》 中国で自由なネットを可能にしていたVPNを当局が「違法」扱いに方針を転換、現地の日本人にも衝撃 (gigazine, 1/24)
IPAテクニカルウォッチ「ランサムウェアの脅威と対策」 (IPA, 1/23)
ロサンゼルスの単科大学がランサムウェアの身代金300万円を支払う (ZERO/ONE, 1/25)
【特集】予測的中、2016年は「ランサムウェアの1年」だった (マカフィー公式ブログ, 1/10)
》 ケース・スタディ ネット権利侵害対応の実務 -発信者情報開示請求と削除請求- (壇弁護士の事務室, 1/23)
》 Windows 10 v1607 media now available (Windows for IT Pros, 1/19)
With the availability of Windows 10, version 1607 to the VLSC on January 26th, the 60-day grace period for Windows 10, version 1507 will begin. That means, after March 26th, 2017, Windows 10, version 1507 will no longer be serviced as only the two most Current Branch for Business (CBB) versions are actively serviced.
Windows 10 CBB version 1507 (RTM) は 2017.03.26 でサービス終了だそうです。 version 1511、version 1607 はひきつづき維持されます。 また Windows 10 LTSB の version 1507 はひきつづき維持されます。 という理解でいいのかな。
日本語版あった: Windows 10 バージョン 1607 メディアが入手可能に (Japan WSUS Support Team Blog, 1/24)
関連:
シンプル化された Windows 7 および Windows 8.1 のサービス モデル: 最新の改善点について (日本のセキュリティチーム, 1/17)
Windows 10 のリリース情報 (Microsoft)
Part 3. WaaS の正しい理解 (とあるコンサルタントのつぶやき, 2016.08.18)
変わるWindows、変わる情シス: 第12回 Windows 10のサポート期間が変更、一体なぜ? (ITmedia, 2016.09.26)
更新プログラムおよびアップグレードに関する Windows 10 のサービス オプション (Microsoft)
》 スノーデン氏騒動で閉鎖の暗号化メール「Lavabit」、米大統領の交代に合わせ復活宣言 (Internet Watch, 1/25)
出ました。
リリースノート: Firefox 51.0、 ESR 45.7.0、 Android 版 Firefox 51.0。
ESR 45 系列は次回の 45.8 で終了……となっているけど、ESR 45 系列の採番が 1 つずれているので、45.8 じゃなくて 45.9 で終了になるのかな。 ESR 52 は (もちろん) まだ出ていませんし。
セキュリティアドバイザリ: Firefox、 Firefox ESR。 計 24 件の欠陥を修正。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
関連:
Firefox の各機能サポート終了予定(2017年)について (Mozilla Japan ブログ, 2016.01.23)。NPAPI、Windows XP/Vista サポート、レガシーアドオン。
Android 版 Firefox のみ 51.0.3 が公開されました。 キャッシュディレクトリに誰でも書き込めちゃう状態になっていたようで。
「Firefox 51」Android版、キャッシュの書き込み権限における脆弱性を修正 (Internet Watch, 2017.02.13)
Security vulnerabilities fixed in Firefox 51.0.3 (Mozilla, 2017.02.09)。「CVE-2017-5397: Firefox for Android cache directory is world writable」
》 顔検出を妨害するPOLYSICS的?なアイウェア「PrivacyVisor」 (Internet Watch, 1/19)
》 東京五輪選手村、国産食品ダメ? 国際基準対応へ協議会 (朝日, 1/21)。日本の食材は国際基準に全く達していないと。
協議会によると、厳しい基準が課せられるようになったのは、12年のロンドン五輪から。「GAP」と呼ばれる安全認証で、農薬や肥料の使用履歴や、家畜にどのようなエサを与えたかなど細かい記録を残すことが必要とされる。
前回大会から既にそうなっていたのに、何ら対応されていないと?
トランプ政権、ホワイトハウス公式サイトから気候変動対策を削除 (MIT Technology Review, 1/21)
Trump White House Takes Down Native Americans Web Page from Website (Native News Online, 1/20)
町山智浩 トランプ政権の閣僚の顔ぶれと選考基準を語る (miyearnZZ Labo, 1/17)。2017年1月17日(火)「たまむすび」アメリカ流れ者書きおこし。
トランプ「3G」政権陣容固まる 家族も、異例の顔ぶれ (朝日, 1/21)
新政権の閣僚の特徴について「3G」という言葉が使われる。大富豪(Gazillionaire)、ゴールドマン・サックス(Goldman Sachs)、将軍(General)というキーワードの頭文字から名付けられた。
Golden shower も入れたら 4G ですか。(それは人じゃない)
「トランプ大統領の就任をめぐる混乱と演説の注目ポイント」町山智浩×神保哲生×前嶋和弘▼1月23日(月)放送分(TBSラジオ「荻上チキ・Session-22」) (TBS ラジオ, 1/24)
トランプ氏、就任式の人数めぐり報道を「嘘」と攻撃 比較写真を否定 (BBC, 1/22)
路上販売の赤いトランプ帽は外国製、就任式参加者に衝撃広がる (ロイター, 1/23)。「トランプ陣営の公式サイトで販売されているものは米国製」だが、路上販売のものはそうじゃなかったと。
イスラエル首相の訪米招請 トランプ氏が電話会談 (東京, 1/23)
》 英政府が核ミサイル試験失敗を隠ぺいか、計画更新の採決直前 (AFPBB, 1/23)
サンデー・タイムズが英海軍高官の話として伝えたところによると、昨年6月に米フロリダ(Florida)州沖で英潜水艦から「トライデントII D5」を発射する試験を行ったが、失敗したという。
》 「アパホテル客室を点検」 書籍問題でアジア大会組織委 (朝日, 1/20)
》 アパホテルが「「南京大虐殺」が「虚構である」証拠の数々」と称して公表している内容について反論しておく (誰かの妄想・はてな版, 1/20)
》 アパホテルの利用中止要求 中国政府、国内旅行業者に (朝日, 1/24)。国家旅遊局が認めたと。
》 徳島県警 スマホ写真、被害者の瞳に容疑者の顔 解析成功 (毎日, 1/24)。こういうことがリアルにできる時代になったと。ブレードランナーに追いついた? (あれは立体写真みたいだけど)
》 セキュリティ機能を集中管理する「Windows Defender Security Center」、「Windows 10 Creators Update」に搭載 (Internet Watch, 1/24)。 以前から予告されていた Windows Security Center の正式名称が Windows Defender Security Center になったようで。画面イメージも紹介されてます。
》 「マイニンテンドーストア」にアクセス集中 エラー画面に「かわいい」「ゴジラに襲われたなら仕方ない」の声も (ITmedia, 1/23)
》 ロンブー田村亮の「ジャニーズ、バーニングタブー」ツイート騒動に凍りつくマスコミ、同じ問題を提起した松本人志も… (リテラ, 1/23)。ショボい。
》 「ハニーポット観察記録」書籍化のお知らせ (www.morihi-soc.net, 1/23)
》 サムスン、Galaxy Note7 の欠陥についてバッテリーが原因と発表 (1/23)。Note7 のバッテリーは 2 種類存在するのだが、それぞれに個別の原因があったとされているそうで。
Samsung Electronics Announces Cause of Galaxy Note7 Incidents in Press Conference (Samsung, 1/23)
[Infographic] Galaxy Note7: What We Discovered (Samsung, 1/23)
Samsung Announces New and Enhanced Quality Assurance Measures to Improve Product Safety (Samsung, 1/23)
発火問題の「Galaxy Note7」、原因はバッテリーの欠陥 (ケータイ Watch, 1/23)
数カ月に渡る調査において、バッテリーに対してCTスキャンをしたところ、バッテリーに異常があることがわかった。Galaxy Note7のバッテリーに採用された2社のバッテリーのうち、A社のバッテリーでは、意図しない損傷によりバッテリーセルの負極周辺で電池内のセパレーター(絶縁シート)が変形し、発熱・発火に繋がった。一方、B社のバッテリーでは、正極周辺の溶接の不具合で、結果的にセパレーターなどを突き破る事象が起きていた。
サムスン電子「ノート7発火はバッテリー欠陥の問題」 (聯合ニュース, 1/23)
同機種には韓国のサムスンSDIと中国のATLのバッテリーが搭載されていたが、会見では社名に言及しなかった。
業界の一部では、本体の構造設計上の問題やソフトウエアのエラーが発火事故を招いたという観測もあったが、サムスン電子の発表はこれと相反する内容となった。
速報:Galaxy Note 7爆発の原因は「バッテリー」、サムスンが公式発表 (engadget, 1/23)
》 米海兵隊 AH-1Z、沖縄県うるま市伊計島に不時着 (1/20 19:30)
不時着は普天間の攻撃ヘリ 沖縄・伊計島、ホテルから600メートル (琉球新報, 1/21)
住民「無法地帯だ」 沖縄・伊計島の米軍ヘリ不時着 相次ぐ事故に怒り (琉球新報, 1/21)
米軍が機体整備始める 伊計島の不時着ヘリ (琉球新報, 1/21)
不時着ヘリが離陸 10分後に普天間飛行場に着陸 (琉球新報, 1/21)
石川潤一さんのツイート:
不時着の米軍ヘリ 普天間基地に戻る 沖縄では不安の声 | NHKニュース https://t.co/2AImz6nDOg
— 石川潤一 JunichiIshikawa (@oldconnie) 2017年1月21日
サイドワインダー用のLAU-7/Aランチャー搭載してる。第三世代FLIRとトップアウル ヘルメット搭載ディスプレイにより、夜間でも安全な着陸ができた模様。
》 標的型攻撃対策ソフト「FFRI yarai」、ランサムウェア対策を強化した新バージョン (クラウド Watch, 1/19)
》 「アサヒカメラ2月号」で緊急企画「写真を無断使用する“泥棒”を追い込むための損害賠償&削除要請マニュアル」 (ネタとぴ, 1/20)
》 NISC、今年度は桐ヶ谷和人氏をサイバーセキュリティ調査官に任命 (Internet Watch, 1/20)。ビーターの能力が必要、ということなんでしょうか。
》 OSSセキュリティナイター vol.4【緊急開催 2/8】迫る!Red Hat Enterprise Linux 5 通常サポート終了 (connpass)。2017.02.08、東京都港区、無料。 面さん情報ありがとうございます。
》 Googleがページを覆い尽くすポップアップ広告などにペナルティ付与を開始 (gigazine, 1/20)
》 キヤノン ITS の件に関連して、匿名希望さんから (情報ありがとうございます)
在宅勤務者のカメラ監視が書かれていましたが、某上場企業ではオフィス電話のスピーカーフォン機能(ハンズフリーとも言う)を使って支店の会話を聞いている時があります。
スピーカーフォンのステータスランプが点いていたら聞かれていると思ったほうが良い。会議室にある内線電話も実は聞き放題の設定になっている可能性があるので設定を確かめたほうが良いです。
キヤノン ITS の件はこちら: キヤノンITS、在宅勤務者をカメラで監視 (日経, 1/17)
》 山市良のうぃんどうず日記(82):Windows 10のWindows Updateサービスを停止しようと考えている方へ (@IT, 1/19)
》 総務省、「IoTサイバーセキュリティアクションプログラム2017」を公表 (Internet Watch, 1/18)
》 匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなった その6) (高木浩光@自宅の日記, 1/8)
》 Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に (スラド, 1/19)
》 「最もよく使われているパスワード」、2016年調査でもトップは「123456」 (スラド, 1/19)
》 1.6万台ものPCに感染したスパイウェアを作成・販売した大学生が逮捕される。懲役10年の可能性も (スラド, 1/18)
MXテレビに「沖縄ヘイト」批判 米軍への抗議活動巡り (朝日, 1/18)
津田大介さんがテレビ番組出演を辞退 「ニュース女子」報道を疑問視 (ハフィントンポスト, 1/18)
「沖縄ヘイト」と批判集まる番組「ニュース女子」 制作のDHC側に見解を聞いた (BuzzFeed, 1/18)
森のくまさん (嘉門達夫オフィシャルブログ, 1/18)。「手順にミスがあったかなー」
「森のくまさん」問題、嘉門達夫が引っ張りだこ (日刊スポーツ, 1/19)
嘉門は同日放送の日本テレビ系「スッキリ!!」に電話出演。自身が替え歌を発売する際には「楽曲の権利を管理している出版社に『この楽曲のこの部分をこういうふうに変えていいですか』というのを明確に送りまして、OKが返ってきたものに限ってCD化している」とし、さらに元の楽曲の権利者や歌詞に出てくる人物にも許可を取っているとした。
童謡「森のくまさん」替え歌CD、訳詞者が販売中止要請…法的にどう考えればいい? (弁護士ドットコム, 1/18)
実際裁判になった場合、裁判所が「森のくまさんパーマ大佐バージョン」を、「同一性保持権の侵害」と認定するかは、実際の訴訟進行との関係でどちらとも考えられるところでしょう。
関連:
「森のくまさん」の作詞者とされる馬場祥弘にまつわる疑惑 (togetter, 1/18)
》 キリン「氷結」のWebアニメCM公開中止で議論を呼ぶ 理由は「アニメだから」? (ねとらぼ, 1/18)
また、具体的にCMのどの部分を問題と認識し、公開を中止にしたのか質問したところ、「(未成年に訴求力がある)アニメだから」公開中止にしたとの説明がありました。
》 キヤノンITS、在宅勤務者をカメラで監視 (日経, 1/17)
》 警視庁警備部が災害時に役立つ「水漬けパスタ」紹介し話題に (おたくま経済新聞, 1/18)
味付けはナポリタンやこってり系のソースの場合が向いていると思われます。若干粉っぽさが残る場合があるからです。(中略) 火はあるけど水が少量しかないという場合 (中略) は、過去記事で紹介した「焼きパスタ」の方法がオススメです。
関連: ソースによく絡む調理法?ためしてガッテン紹介の『焼きパスタ』に挑戦 (おたくま経済新聞, 2016.02.25)
生活保護「なめんな」「私たちは正義」 小田原市の担当職員ら、ジャンパーにプリント (ハフィントンポスト, 1/18)
小田原市職員の上着に「不正受給はクズ」 生活保護担当が市民訪問に着用も (東京, 1/18)
ジャンパーに生活保護「なめんな」、市職員訪問 (読売, 1/17)
「なめんな」ジャンパー、切りつけ事件きっかけ (読売, 1/18)
関連:
【改善させました!】「保護なめんなジャンパー」の小田原市ホームページは制度を利用させない「仕掛け」が満載だった。 (稲葉剛公式サイト, 1/18)
のすけさんのツイート:
保護なめんなのニュース見てびっくりしてんけどそのロゴリバプールのパクりやんけ
— のすけ (@lvp_1079) 2017年1月17日
アンタらが消したYOU'LL NEVER WALK ALONEが、2つの炎がどんだけ大事な意味かわかってんのかぼけ。このエンブレムはただのロゴじゃないねん。お前らがなめんな。これはほんまに腹立つ pic.twitter.com/WUBskheXNL
関連。
『君は独りぼっちじゃない』 (八千代ゴールデンサッカークラブ)。You'll Never Walk Alone の詳細解説。
ヘイゼルの悲劇 (ウィキペディア)、 ヒルズボロの悲劇 (ウィキペディア)。「2つの炎」は、両悲劇への追悼の意を表しているのだそうです。
第三者委員会調査報告書、概要版を公開 (1/16)。しかも、概要版 URL からドラフト版の存在が発覚。
第三者調査委員会からの結果報告書の開示 (日本将棋連盟, 1/16)、 第三者委員会調査報告書 概要版 (日本将棋連盟)
将棋棋士のスマホ不正疑惑、第三者委報告書のドラフト版が存在 (ねとらぼ, 1/18)
谷川会長、辞任を発表。
会長の辞任に関するお知らせ (日本将棋連盟, 1/18)
日本将棋連盟の谷川会長辞任へ ソフト不正疑惑で引責か (朝日, 1/18)。「島朗(あきら)常務理事(53)も辞任する意向を固めたことがわかった」
》 ピースサインの写真から「指紋盗難」の恐怖 (ロイター / 東洋経済, 1/17)、 越前 功 / ECHIZEN Isao (国立情報学研究所)
》 オバマ大統領がチェルシー・マニング元上等兵に恩赦 イラク空爆などで内部告発 (ハフィントンポスト, 1/18)。おぉ。すばらしい。
Oracle 四半期更新来ました。
[Support] January 2017 Critical Patch Update Released (Oracle Blogs 日本語のまとめ, 2017.01.18)
Java は 8u121 が公開されています。
[Java] Java SE 8 Update 121 and More (Oracle Blogs 日本語のまとめ, 2017.01.18)
2017年 1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2017.01.18)
Java SE Downloads (Oracle)、 全オペレーティング・システム用のJavaのダウンロード (Java.com)
で、8u122 は出ないようです。
[8u communication] Changes to JDK 8u122 plans (jdk8u-dev ML, 2016.12.13)
》 「アパホテル」中国のSNSで“炎上” 「南京大虐殺を否定するCEOの著書が客室に」 告発動画「微博」で6800万再生 (ITmedia, 1/17)、アパホテルホームページは、現在サーバ停止のため復旧作業を行っております。 (アパグループ, 1/17)。元からそういうホテルだからなあ。
PowerDNS Recursor 4.0.4 / 3.7.4、PowerDNS Authoritative Server 4.0.2 / 3.4.11 公開。複数のセキュリティ欠陥を修正。
PowerDNS Recursor 4.0.4 released! (PowerDNS Blog, 2017.01.13)
PowerDNS Authoritative Server 4.0.2 released! (PowerDNS Blog, 2017.01.13)
PowerDNS Authoritative Server 3.4.11 and Recursor 3.7.4 released! (PowerDNS Blog, 2017.01.13)
》 制御システムセキュリティカンファレンス 2017 (JPCERT/CC, 1/11)。 うわ、もう締め切られている。
》 「ハードウェアセキュリティの最新技術動向に関するセミナー」開催のご案内 (IPA, 1/13)。2017.01.19、東京都文京区、1000円。
》 Poison Ivyのコードを取り込んだマルウエアPlugX (JPCERT/CC, 1/12)
》 「マイナポータル」にマイナンバーカードでログイン可能に、ただしJava実行環境が必要 (日経 IT Pro, 1/16)。Windows + IE と Mac + Safari に対応だそうで。
》 FBIのWebサイトがハッキングされ漏洩データがPastebinに公開される (ZERO/ONE, 1/16)
》 Content Security Policy Level 2 サポートの概要 (Microsoft Edge Japan, 1/11)
》 Troubleshooting Microsoft WSUS software update synchronization issues (SUS Blog, 1/9)、 Troubleshooting ConfigMgr 2012 software update synchronization issues (Microsoft)
》 Windows 10 Anniversary Update (1607) へアップグレード後、.NET Framework 3.5を利用するアプリケーションが利用出来ない。 (Ask CORE, 1/10)。1511 では使えてたのに、という話。 「.NET Framework 3.5 の再有効化」で対応できるそうだ。
》 「STOP. THINK. CONNECT.」日本版サイト、第三者からの不正アクセスで改ざん (Internet Watch, 1/16)
》 Windows Vistaはあと3カ月、2017年にサポートが終了する/したMicrosoft製品まとめ (Internet Watch, 1/16)。Office 2007 も今年ですか。
》 大手メディアか書かない、CES2017の実態(出展者目線) (キャズムを超えろ!, 1/16)。Alexa、既に業界標準みたいになっちゃってるのか。
ぶっちゃけ、あのレベルで生音声を集められてしまうと、もう戦えるプレイヤーはGoogleぐらいしか残っていない。(中略) 少なくとも本年のCESを見る限りではAlexaが圧勝したことに異を唱える人はいないはずだ。
そんなにですか。いやだなあ。あとここなんだけど、
と、まぁとりとめもない内容となったが、最後に言いたいことは『なんでこんな世界盛り上がっとんのに日本人誰もやってへんの?』ということ。びっくりするぐらい世界はIoTに向いていて、ハードウェアスタートアップ、あるいは数年前スタートアップだった中堅企業がすごい勢いで攻めているというのに、ここ2年で日本のハードウェアスタートアップは20%ぐらいしか増えていない・・・・・という何となくの体感値。
日本という国がいかに老化しているかの証明だと思うんだよなあ。
》 大学入試センター試験で 12 件の不正を確認、スマホ利用は 1 人。 というわけで、スマホを無闇に強調するのはよくないんじゃないのかという気が。
センター試験終了、雪で繰り下げ31会場 スマホなど不正12人 (日経, 1/16)。こう書かれてしまうとスマホ利用が多数なのかと思ってしまう。ところが中身を読むと『「電卓使用」が6人 (中略) 「スマホ使用」は1人』。
スマホで教科書、電卓…センター試験不正12件 (読売, 1/16)。これもスマホ利用が最多なのかと誤解する。
センター試験12人不正 全科目無効 道内6人電卓使用 (北海道新聞, 1/16)。
大学入試センターによると、道内で電卓を使ったのは2日目の数学の「簿記・会計」で同じ教室で受験した6人。試験中に電卓を使っていたのを試験監督が見つけ、退出させた。
同センターは「簿記の検定試験と違い、センター試験は電卓を認めていない。今後不正行為が起きないよう周知徹底を図る」としている。
誤解した可能性はあるものの、 センター試験の事前説明は、くどいほど徹底しているはずなのだが……。 というか、試験開始前に机上にあったら試験監督が事前に発見・除去できているはずだよなあ。
センター試験の不正、計12件 数学2で6人が電卓使用 (朝日, 1/15)。電卓とスマホの他は、以下だそうで。
このほかはいずれも15日の「数学①」の試験中で、定規の使用、試験終了後のマークシート修正が各2件、受験票を机の上に置くよう求めた試験監督の指示に従わなかったケースが1件あった。
うわ。もったいない……。「定規の使用」は、試験監督が事前に除去できたはずなんじゃないのか。試験監督はちゃんと確認したのか?
》 Galaxy Note7 発火事故、調査結果を 1/23 に発表か。 現時点での報道では「バッテリー主因説」と「複合原因説」があるようで。
サムスン電子、ノート7発火問題は電池が主因と判明=関係筋 (ロイター, 1/16)。ただしソースは「1人の関係者の話」。
サムスン電子 「ノート7」発火原因を23日ごろ発表 (聯合ニュース, 1/16)。ソース不明。
ギャラクシーノート7発火、設計とソフトに原因 (朝鮮日報, 1/16)。ソースは「サムスンに近い業界関係者」。
》 Windows 10 のプライバシーに関するマイクロソフトの継続的な取り組みについて (Windows ブログ, 1/12)
》 カスペルスキー曰く、デススター崩壊の原因はサイバーセキュリティ対策の不備 (スラド, 1/12)、 スター・ウォーズ:帝国のサイバーセキュリティ問題 (Kaspersky, 1/10)
》 GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された (徳丸浩の日記, 1/12)
バグの本質的な原因は、HTTPレスポンスのステータスをチェックしていなかったことにありますが、ファイル名とファイルの中身の両方に同一の認証コードを含めるという設計は、上記のように潜在的な問題を抱えていると考えます。
》 1月2日放送TOKYO-MXTV「ニュース女子」による「のりこえねっと」および共同代表・辛淑玉を誹謗中傷する虚偽報道に対する抗議声明 (のりこえねっと, 1/5)
》 EMET 5.52 update is now available (Microsot Security Research & Defense, 1/12)
》 あの『日本会議の研究』が出版差し止めに! 過去の判例無視、「表現の自由」を侵す裁判所の不当決定の裏に何が? (リテラ, 1/10)。扶桑社は対応措置として、問題ありとされた 36 文字を黒塗りした「修正版」の販売を決定。電子版は対応済み。
『日本会議の研究』(菅野完著)の修正版販売について (扶桑社, 1/11)
菅野完さんのツイート:
【謹告】拙著『日本会議の研究』、この度、平成29年1月6日付東京地裁の仮処分決定により削除を命じられた三十数文字を墨塗りしたバージョン、出来決定!!!墨塗りのkindle版も好評発売中!ぜひご注文ください!!!
— 菅野完 (@noiehoie) 2017年1月11日
関連:
(社説)出版差し止め 表現の自由の理解欠く (朝日, 1/12)
》 カジノ利権を警察が狙う、天下り先激減で (窪田順生 / ダイヤモンド online, 1/12)。パチンコ利権に代わるモノを探しているらしい。
若者のクルマ離れが叫ばれているが、離れっぷりで言えばパチンコの方が深刻で、20代の新客は激減している。最盛期の1995年に全国に1万8200店舗あった店舗が、この20年で45%まで減少した。(中略) パチンコ店舗が減少していることで、警察OBたちの雇用が「危機」に瀕しているのだ。
》 熟練システム管理者もお手上げ?――Windows 10後のWindows Updateがカオスな件 (山市良 / @IT, 1/11)
》 グーグル、クラウドで暗号化キーを管理できる「Google Cloud Key Management Service」発表 (ZDNet, 1/12)
》 トランプ氏とロシアめぐる疑惑文書 BuzzFeedによる全文公開とその反応 (BuzzFeed, 1/12)。トランプ×ロシア密結合疑惑の件、まずはこの記事を読みましょう。関連:
ロシアがトランプ氏の問題情報を握っている? 今の事態にどう至ったのか (ポール・ウッド / BBC, 1/12)。BBC ポール・ウッド記者による検証報道。BBC も以前から当該文書を入手していた模様。一読を推奨。
異様な状況だ。トランプ氏が宣誓就任する10日前にして。しかし選挙戦の最中から予兆はあったのだ。
最後の大統領候補討論会で、ヒラリー・クリントン氏はトランプ氏を、プーチン大統領の「操り人形」と呼んだ。(中略) CIAのマイケル・モレル元長官は昨年8月にニューヨーク・タイムズへの寄稿で、「プーチン氏はトランプ氏を気づかないうちにロシア連邦のエージェントとして採用したんだと、われわれ情報業界関係者なら言うだろう」と書いた。(中略) CIAとNSAの両方のトップだったマイケル・ヘイデン氏はただ一言、トランプ氏を「ポレズニ・ドゥラク」と呼んだ。ソ連時代からのスパイ用語で、「便利な馬鹿者」のことだ。
各氏の一連の発言の背景には、米政府の情報諸機関が当時、公表せずに抑えていた情報があったのだ。
それを今や、アメリカ人全員が耳にした。就任まで1週間余りの時点で。次期大統領が本当に、ロシア政府に恐喝されていたのか、国民は判断しなくてはならない。
とんでもない状況。
トランプ氏側近と露の共謀、米情報当局が調査 (ウォール・ストリート・ジャーナル日本版, 1/11)
ロシア、トランプ氏の不名誉な情報入手か セックス動画も存在? (AFPBB, 1/11)
ロシア、トランプ氏の個人情報も収集か 米高官らが本人に報告 CNN EXCLUSIVE (CNN, 1/11)
ベッドに放尿強要?トランプ氏奇行か FBI精査中 (日刊スポーツ, 1/12)
トランプ次期大統領、記者会見でCNNを虚偽ニュース呼ばわり (ITmedia, 1/12)
トランプ米次期大統領がメディアに敵意むき出しで会見。そのワケは… (TBS ラジオ, 1/12)。北丸雄二さんによる、この件の解説。
[FT]トランプ氏のロシア疑惑を知る5つのポイント (FT / 日経, 1/12)
政治アナリストらは何カ月も前から、なぜトランプ氏がこれほどの親ロシア派なのか、頭を悩ませてきた。
この疑問におもいっきり適合する答えなんだよなあ。
この件を受けて、大統領選後初の記者会見は……
トランプ氏会見、CNNにも矛先 意に沿わぬ報道切り捨てか (CNN, 1/12)
トランプ次期大統領初の記者会見で何を語った?ロシアのサイバー攻撃を認める (ハフィントンポスト, 1/12)
トランプ会見は期待外れ--期待が失望に変わるリスクも (ZDNet, 1/12)
違いを超えて報道の自由を守る〜トランプ氏に非難されたCNNをFOXが擁護 (江川紹子 / Yahoo, 1/12)
》 FBIが修理会社に報酬、児童ポルノ捜査に協力させていた--米報道 (CNET, 1/12)。Washington Post が報道。
》 爆発する「Galaxy Note7」、96%を回収済みとSamsungが発表 (ITmedia, 1/12)
》 AIやIoTなどの進展でセキュリティ脅威増大も--世界経済フォーラム (CNET, 1/12)
》 天皇譲位、新元号は“平成31年”元日から 皇室会議を経て閣議決定へ (産経 / ITmedia, 1/11)
》 10〜12月のインシデント報告、ポートスキャンが倍増、標的型攻撃は1.5倍に~JPCERT/CC (Internet Watch, 1/11)
》 ChromeやSafariの自動入力でクレジットカードなどの個人情報が盗まれる危険性 (Internet Watch, 1/11)
》 「Officeのプロダクトキーが不正コピーされている」というフィッシングメールが出回り中 (Internet Watch, 1/12)
》 新国家資格「情報処理安全確保支援士」の受験受け付け開始 (Internet Watch, 1/12)
文科省のケース
文科省 人事案を全職員に誤送信 (NHK, 1/10)。オープン人事、はじまる。
「今後、機密情報は紙で」文科省のメール誤送信対策に驚きの声、話を聞いてみた (ハフィントンポスト, 1/10)
電子政府の推進 (文科省)。ただし、機密情報は紙で。
新泉©EO @araizumiC さんのツイート:
文科省の機密情報の取り扱い方を聴いて
— 新泉©EO (@araizumiC) 2017年1月10日
やはり朱儁将軍が激昂します
文科省の「人事異動案」 全職員に誤送信 #日テレNEWS24 #日テレ #ntv https://t.co/S4HwzU1KmQ pic.twitter.com/mpDM95oXjf
警視庁のケース
警視庁 被害少女の実名、誤送信 防犯メール6545件 (毎日, 1/12)
現場を管轄する警察署には当時メール作成の担当者がいたが、宿直責任者だった男性警部が事件を扱った男性巡査にメール作成を依頼。巡査は警部のチェックを受けないままメールを配信したという。
担当者でも責任者でもないのに配信できちゃうシステムなのですね。
メールけいしちょう (警視庁)。「安全・安心」のかけ橋、メールけいしちょうが被害者の氏名をばら撒きます。
WordPress 4.7.1 公開、複数のセキュリティ修正を含む。PHPMailer の件についても、影響は受けないが、対応されている。 日本語版はまだみたい。
WordPress 4.7.1 日本語版出ました。
WordPress 4.7.1 セキュリティ・メンテナンスリリース (WordPress, 2017.01.12)
Edge、Office 2016 / SharePoint Enterprise Server 2016、Flash Player、Windows Vista / Server 2008 / 7 / Server 2008 R2。 IE の修正はない。 0-day もない模様。
MS17-001 - 重要: Microsoft Edge 用のセキュリティ更新プログラム (3214288)。 Exploitability Index: 1
MS17-002 - 重要: Microsoft Office 用のセキュリティ更新プログラム (3214291)。 Exploitability Index: 1
MS17-003 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3214628)。 Exploitability Index: N/A (APSB17-02 を参照)
MS17-004 - 重要: ローカル セキュリティ機関サブシステム サービス用のセキュリティ更新プログラム (3216771)。 Exploitability Index: 3
BIND 9.x に 4 種類のセキュリティ欠陥、remote から named を停止できる。
| 欠陥 | 対象 | 深刻度 | リスク | その他 |
|---|---|---|---|---|
| CVE-2016-9444 |
9.11.0〜9.11.0-P1 9.10.0〜9.10.4-P4 9.9.3〜9.9.9-P4 9.8.5〜9.8.8 9.6-ESV-R9〜9.6-ESV-R11-W1 |
高 | フルリゾルバー: 高 権威 DNS サーバー: 限定的 |
|
| CVE-2016-9147 | 9.11.0-P1 9.10.4-P4 9.9.9-P4 |
高 | フルリゾルバー: 高 権威 DNS サーバー: 限定的 |
DNSSEC 検証関連処理の欠陥だが、DNSSEC 検証を使用していない場合も影響を受ける。 |
| CVE-2016-9131 |
9.11.0〜9.11.0-P1 9.10.0〜9.10.4-P4 9.9.3〜9.9.9-P4 9.8.5〜9.8.8 9.4.0〜9.6-ESV-R11-W1 |
高 | フルリゾルバー: 高 権威 DNS サーバー: 限定的 |
RTYPE=ANY のクエリをフィルタすることで回避できる。 |
| CVE-2016-9778 | 9.11.0〜9.11.0-P1 | 高 | nxdomain-redirect オプション有効、かつ、nxdomain-redirect オプションに自身が権威を持つゾーンを指定していた場合にのみ、本欠陥の影響を受ける | nxdomain-redirect オプションを無効にする、あるいは、redirect namespace 機能 ではなく redirect zone 機能を使うことで回避できる。 |
BIND 9.11.0-P2 / 9.10.4-P5 / 9.9.9-P5 で修正されている。
》 ラック、JSOCが検知した攻撃の実態レポート「JSOC INSIGHT vol.14」を公開 〜IoT機器の乗っ取りを試みる攻撃の増加やCisco社製品のコード実行の脆弱性などについての解説を公開〜 (LAC, 1/10)
》 将棋界が直面する未曾有の危機とは何か? 将棋ソフトに右往左往、三浦九段は完全シロ (東洋経済, 1/4)
三浦九段の「不正はしていない」という言葉を信じず、久保九段の「30分離席」という曖昧な記憶を信じたのはなぜだったのだろうか。どんな棋士も平等に信用する信念が連盟幹部に徹底していれば、今回のような冤罪まがいの騒動は起きなかったはずである。
ほんとこれ。
関連: 将棋連盟がスマホ不正疑惑で指した“悪手”を検証する (ダイヤモンド ONLINE, 1/11)
》 踏み間違い対策にも 自動ブレーキ最前線 (NHK, 1/5)
通常、自動ブレーキを搭載したい場合は車の組み立て段階から専用の部品を取り付けないといけないため、新車を購入する必要があります。しかし、オートバックスなどが開発した装置は、国内メーカーの乗用車であれば1日程度の作業で“後付け”することができるのが特徴で(一部の車は除く)、価格も4万円程度と比較的割安に抑えられています。
「ペダルの見張り番」(オートバックスセブン) のことみたい。 これは自動ブレーキを実現する製品ではないので注意。
》 飲酒後にラーメン食べたくなる理由判明 英でマウス実験 (朝日, 1/11)。「アルコールが食欲にかかわる脳の神経細胞を活性化させるためらしい」。
》 虫歯治療が大きく変わる可能性あり、アルツハイマー治療薬を使って歯を再生させることに成功 (gigazine, 1/11)。まだマウス段階です。
》 中国 空母「遼寧」艦隊が台湾海峡通過 (毎日, 1/11)。こういうことができるようになりました。
GnuTLS 3.3.26 / 3.5.8 公開。 OSS-Fuzz によって発見された 2 件のセキュリティ欠陥を修正。 iida さん情報ありがとうございます。
Acrobat / Acrobat Reader DC Continuous 15.023.20053 / Classic 15.006.30279、Acrobat / Adobe Reader XI 11.0.19 公開。29 件のセキュリティ欠陥 CVE-2017-2939 CVE-2017-2940 CVE-2017-2941 CVE-2017-2942 CVE-2017-2943 CVE-2017-2944 CVE-2017-2945 CVE-2017-2946 CVE-2017-2947 CVE-2017-2948 CVE-2017-2949 CVE-2017-2950 CVE-2017-2951 CVE-2017-2952 CVE-2017-2953 CVE-2017-2954 CVE-2017-2955 CVE-2017-2956 CVE-2017-2957 CVE-2017-2958 CVE-2017-2959 CVE-2017-2960 CVE-2017-2961 CVE-2017-2962 CVE-2017-2963 CVE-2017-2964 CVE-2017-2965 CVE-2017-2966 CVE-2017-2967 を修正。 0-day はないみたい。CVE-2017-2947 (セキュリティ機能の回避) を除いた他は、任意のコードの実行を許す欠陥。Priority rating は 2。
Flash Player 24.0.0.194 公開。13 件のセキュリティ欠陥 CVE-2017-2925 CVE-2017-2926 CVE-2017-2927 CVE-2017-2928 CVE-2017-2930 CVE-2017-2931 CVE-2017-2932 CVE-2017-2933 CVE-2017-2934 CVE-2017-2935 CVE-2017-2936 CVE-2017-2937 CVE-2017-2938 を修正。 0-day はないみたい。 CVE-2017-2938 (情報漏洩) を除いた他は、任意のコードの実行を許す欠陥。Priority rating は Linux 版が 3、他は 1。
》 ソフト体験版 試用期間を不正に延長 千葉の私立大42人 (毎日, 1/10)、 学生によるソフトウェアの不正なインストールについて (東京情報大学, 1/10)。タレコミで発覚だそうです。
学生らが2015年春以降、学園祭のポスターなどを制作する際、米アドビシステムズ社の画像編集ソフト「イラストレーター」の無料体験版を私有のパソコンにインストール。不正プログラムを使って設定されている試用期間を延長
こういうの、いまだにあるんだなあ。
》 聖地巡礼で住宅街や私有地には踏み込まないで!現地の方に迷惑がかかるため「この世界の片隅に」監督からのお願い (togetter, 1/10)
私どもの手で「この世界の片隅に」のロケ地マップを作りましたが、辰川バス停から先、北條家があると想定されるエリアについては、あえて地図には載せていません (中略) 旧上長ノ木・畝原・惣付のあたりはいわゆる「聖地巡礼」の目的地とされませんようお願いいたします。
関連: 映画「この世界の片隅に」 広島と呉、ロケ地へ足を 案内所で絵地図 /広島 (毎日, 1/6)
Quick Homepage Maker (QHM) 5.x 以前、および HAIK 6.0.x、7.0.0.Beta.x に欠陥。 同梱されている SWFUpload (QHM 5.x 以前では Pro 版にのみ同梱?) に欠陥があり、無認証で任意のファイルをアップロードし実行できてしまう。結果として、たとえば PHP シェルをアップロードされてサイトを乗っ取られるといった事態が発生し得る。
haik6/7サイト改竄の脆弱性 #38 (GitHub, 2016.12.22)
HAIK 6.0.8、7.0.0.Beta.2 で修正されている。ただし、HAIK 6.0.8 / 7.0.0.Beta.2 には別の欠陥が残存しているので注意。
脆弱性を修正 #40 (GitHub, 2016.12.22)
[WIP] v7.0.0リリース(PHP7対応) #7 (GitHub)
dlexec.phpの脆弱性 #27 (GitHub, 2016.12.07)
dllink.inc.phpの脆弱性 #28 (GitHub, 2016.12.07)
関連:
電通大の改ざんに利用されたかもしれないQHM (HAIK)の脆弱性について (はてな匿名ダイアリー / Google キャッシュ, 2016.12.23)
2017年1月6日のtwitterセキュリティクラスタ (NAVER まとめ, 2017.01.07)
JPドメイン Web改竄速報 (izumino.jp)
HAIKの最新バージョンは、現在 Ver6.0.8 です。 (藤心QHMクラブのブログ, 2016.12.24)
【緊急】サイト改ざんの点検をしてください(6.0.8アップデート関連) (haikforum.qhmtips.com, 2016.12.27)
バージョンアップ方法 (一歩先を行くhaikユーザのためのTips)
》 ついに判明!?国際勝共連合大学生遊説隊UNITE(ユナイト)のホントの正体 (やや日刊カルト新聞, 2016.12.26)
つまり、外に向けては「国際勝共連合大学生遊説隊ユナイト」と「国際勝共連合」という二つの看板を背負っているが、実態は一つということだ。
》 Upcoming Security Updates for Adobe Acrobat and Reader (APSB17-01) (Adobe, 1/5)。1/10 (US 時間) に公開予定。
Apache Tomcat 8.5.9、9.0.0.M15 公開 (2016.12.13)
Apache Tomcat 6.x, 7.x, 8.0.x にも欠陥があることが明らかとなりました。
JVNVU#97321122 - Apache Tomcat に情報漏えいの脆弱性 (JVN, 2017.01.06 追記)。
Apache Tomcat 6.0.49 / 7.0.74 / 8.0.40 で修正される予定だそうです (未リリース)。
SKYSEA Client View の脆弱性 (CVE-2016-7836) に関する注意喚起 (JPCERT/CC, 2016.12.22)。Ver.11.300.08h で対応。
【重要】グローバルIPアドレス環境で運用されている場合の注意喚起(CVE-2016-7836) (Sky, 2016.12.27 更新)。保守対象外ユーザーにも配布。
脆弱性(CVE-2016-7836)問題のご連絡 SKYSEA Client View アップデートのお願いと最新版リリースのご案内 (Sky, 2017.03.08)
本脆弱性を使用した攻撃活動が、引き続き観測されております。
「攻撃活動が、引き続き観測」って……。 元の文書 では「組織外のサーバーから不正なパケットを受信する事例が確認」という、 あいまいな表現でしたよね。 JPCERT/CC の注意喚起 では「本脆弱性を悪用した攻撃活動が観測」と明記してあったわけですが。
あけましておめでとうございます。
》 Linux 4.9 が封印解除されたけれども・・・ (熊猫さくらのブログ, 2016.12.31)
ストールしている間は10秒毎に警告を出力するという楽観的な修正には、全員が同じ考えで動いた場合には機能しないという致命的な欠陥があり、問題が発生しているかもしれないことを知らせるという watchdog としての役割を果たせません。
「理汝駆素(りなくす)は陽拳ゆえ」…… (「新世紀覇王獲素伝説 美獲素手の拳」より)。
》 「共謀罪」法案リストに 通常国会で提出検討 (弁護士 落合洋司 (東京弁護士会) の 日々是好日, 1/5)。 何度叩いてもゾンビのように復活する共謀罪。
600以上の罪が対象となるとされていますが、その多くはテロとは無縁の犯罪であって、むしろ、そうした広範囲な犯罪が対象とされることで、市民生活の自由が脅かされる、そこを真剣に考えておく必要があります。
テロ対策という「美名」の背後に巧みに隠された、市民生活の自由に対する脅威、危険性を強く認識、理解しておく必要があると思います。
息の根を止めるには、おおもとを選挙で head shot するしかないんだよなあ。
》 次号発売のお知らせ (冤罪事件専門誌「冤罪File」編集局公式ブログ, 2016.12.22)。 「No27 2017年1月27日(金) 発売予定」 だそうです。予約した。
》 大陽日酸への不正アクセスについてまとめてみた (piyolog, 1/1)
》 三重銀行「讀賣新聞より当行と第三銀行との経営統合に係る報道がされましたが、これは当行として発表したものではございません」(リークプレス 週明け報道) (市況かぶ全力2階建, 1/5)。 適時開示情報閲覧サービス については、「2017/01/05 13:24 削除」の上で差し替え版が公開されています。
》 宇賀克也「個人情報保護法の逐条解説」第5版を読む・前編(保護法改正はどうなった その5) (高木浩光@自宅の日記, 2016.12.30)
》 速報 対象を個人データに限る案は初期段階で存在していた(パーソナルデータ温故知新 その5) (高木浩光@自宅の日記, 1/4)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)