Last modified: Thu Jun 9 11:54:30 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Virgin America says a hacker broke into its network, forced staff to change passwords (ZDNet, 7/27)
》 Announcing the Windows Bounty Program (MSRC, 7/26)
》 Windows 10のバーション「1511」へのサポートが10月10日に終了 (Internet Watch, 7/28)
Microsoftでは、これまでCB(Current Branch)とCBB(Current Branch for Business)と呼んでいたビジネスユーザー向けサポートライフサイクルのコンセプトを変更。新たに「Semi-Annual Channel」として、年2回リリースされるWindows 10とOffice 365 ProPlusの各バージョンに対するセキュリティ更新プログラムを、リリース後18カ月間提供する。
なお、Microsoftは4月に、今後はWindows 10のメジャーアップデートを3月と9月の年2回実施すると発表している。
バージョン1511のサポート終了は、上記のサポートポリシー変更と、これまで段階的に提供を拡大していた「Windows 10 Creators Update」が、27日より全ユーザーで利用可能になったことを受けてのもの。
関連: Windows 10 デバイスを最新の状態に維持することがかつてないほど重要に (Japan Windows Blog, 7/24)
》 DNSホスティングサービスの利用におけるネームサーバーホスト名の設定について (JPRS, 7/27)
》 写真に潜むサイバー脅威:ステガノグラフィーを悪用したマルウェアの正体 (マカフィー, 7/18)
》 FFRI yaraiがファイルレスマルウェアを検知 (FFRI Blog, 7/25)。Cylance だと通用しないタイプかな。
》 CIAがMac・Linux用バックドア・ルートキットを設置する3つのハッキングツール開発が暴露されて発覚 (gigazine, 7/28)。Vault 7 ねた。
》 ビットコインを利用して4400億円以上をマネーロンダリングした疑いでロシア人の男を逮捕、大手取引所「BTC-e」のダウンとも関連か (gigazine, 7/27)
》 数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」 (gigazine, 7/25)
》 スウェーデン政府が間違ってほぼ全国民分の個人情報&軍の機密情報を流出させる (gigazine, 7/25)
》 もしAWSがなかったら、Amazonは大赤字 (techcrunch, 7/28)。
》 トヨタ、電気自動車に大きな進化をもたらす「全固体電池」を開発! (techcrunch / autoblog, 7/26)、 次世代電池を牽引する、全固体電池開発 (ネイチャー・ジャパン / ハフィントンポスト, 7/22)
》 Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利 (techcrunch, 7/21)
》 Sysinternals サイト新装開店と、Sysinternals Suite for Nano と Nano Server vNext (山市良のえぬなんとかわーるど, 7/27)
》 プレゼン資料公開:Windows Server 2016 と Sysinternals の関係 (山市良のえぬなんとかわーるど, 7/14)
》 Windows Server 2012 / 2012 R2 の WSUS へロールアップ を適用するとクライアントからの接続が失敗する事象について (Japan WSUS Support Team Blog, 7/24)
WSUS で使用するポートを既定のポート 8530 / 8531 番から 80 番に変更している環境において、2017 年 7 月以降にリリースされたマンスリー品質ロールアップ (KB4025331 / KB4025336 以降) を適用した場合に (中略) クライアントからの更新プログラムの検出処理でエラー 0x8024401f / 0x80244008 が発生します。
対処方法
更新プログラムを適用した状態で、WSUS サーバーに付属する wsusutil コマンドを実行し、いったん既定のポート (8530 / 8531) に戻したうえで、改めて 80 /443 番ポートに変更します。
》 ペプシコーラなど340万本を自主回収へ 一部にプラスチック片 (NHK, 7/28)、 商品の自主回収に関するお詫びとお知らせ (サントリー食品インターナショナル, 7/28)
キャップ下部に記載されている賞味期限が『2017.09.27』~『2018.01.22』のもので末尾の製造所固有記号が『/AF』と記載されているもののうち、以下の商品となります。
「ペプシストロング5.0GV」 490ml
「ペプシストロング5.0GV」 420ml
「ペプシストロング5.0GV<ゼロ>」 490ml
「ペプシスペシャル」 490ml
「ペプシスペシャル」 490mlペット 5+1パック
「ペプシコーラ」500ml
「POPメロンソーダ」 430ml
中国政府、通信事業者にVPNの利用禁止を要求 (techcrunch, 7/11)
VPN規制で中国から頭脳流出の恐れ、ロシアもVPN禁止へ (gigazine, 7/25)
ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択 (ZERO/ONE, 7/26)
焦点:中国当局がネット閲覧強化、VPN遮断で「抜け穴」封じ (ロイター, 7/26)
中国当局、VPN取り締まり強化 ネットで「活路を断ち切られた」 (大紀元, 7/27)
》 中国北京市に大量の偽携帯基地局が存在する理由 (ZERO/ONE, 7/25)
》 電子タバコを利用したハッキング手法が公開される (ZERO/ONE, 7/21)
改造された電子タバコやペン型のタバコは、標的のコンピューターを感染させるための有効なハッキングツールになり得る。
》 闇ウェブ AlphaBay、Hansa Market 閉鎖 (7/20)
Suspected AlphaBay founder dies in Bangkok jail after shutdown of online black market (Washington Post, 7/18)、 最大のダークウェブ闇市場「Alphabay」運営者がタイで逮捕され自殺 (ZERO/ONE, 7/19)
AlphaBay, the Largest Online 'Dark Market,' Shut Down (US Department of Justice, 7/20)、ダークウェブ最大の闇市場2件が閉鎖--米司法省が捜査内容を公表 (CNET, 7/21)
Massive blow to criminal Dark Web activities after globally coordinated operation (Europol, 7/20)
AlphaBay・Hansa大手闇市場が閉鎖 (1) AlphaBay消滅後のダークマーケットはどうなる? (ZERO/ONE, 7/21)
AlphaBay・Hansa大手闇市場が閉鎖 (2) 閉鎖の効果を拡大した「国際的な捜査戦略」 (ZERO/ONE, 7/24)
Exclusive: Dutch Cops on AlphaBay ‘Refugees’ (Krebs on Security, 7/20)
世界最大の闇サイトAlphaBayとHansaが摘発されても、闇市場は存続する (マカフィー, 7/21)
ダークウェブで英国の政治家のログイン情報が販売 (ZERO/ONE, 7/27)
》 北朝鮮によるサイバー攻撃、近年の狙いは外貨調達=韓国調査 (ロイター, 7/28)。「韓国の金融保安院(FSI)」の調査。
North Korean hacking said to be more focused on making money than on espionage: South Korean report (Reuters / Japan Times, 7/28)。ロイター英文記事全文みたい。
North Korea Hacking Increasingly Focused on Making Money More Than Espionage: South Korea Study (NYTimes, 7/28)
世界の銀行を狙うサイバー攻撃、北朝鮮が関与か (ITmedia, 4/5)、 Lazarus Under The Hood (securelist.com, 4/3)。 ロイター記事で言及されている、カスペルスキーが発表した内容。
関連:
米政府が警告する北朝鮮の「HIDDEN COBRA」とは?(前編) (ZERO/ONE, 7/4)
北朝鮮のハッカーグループといえば「Lazarus Group(ラザログループ/ラザルスグループ)」が有名なのでは? と思われた方がいるかもしれない。混乱を避けるため最初に記しておこう。「HIDDEN COBRA」とは、要するにLazarus Groupのことだ。
米政府が警告する北朝鮮の「HIDDEN COBRA」とは?(後編) (ZERO/ONE, 7/5)
「Hidden Cobra」の指標を見直す (Arbor Networks, 6/18)
》 自宅の映像をクラウドサーバーへ保存できる防犯カメラ「QBiC CLOUD CC-2」 (家電 Watch, 7/28)。暗視も ok。
》 近畿財務局と森友学園 売却価格めぐる協議内容判明 (NHK, 7/26)
財務局は学園側にいくらまでなら支払えるのか尋ね、学園側は上限としておよそ1億6000万円という金額を提示していました。実際の売却価格は学園側の提示を下回る金額に設定されていて、大阪地検特捜部は詳しい経緯を調べています。
関連: 財務局が事前に値引き。森友学園をめぐるNHKのスクープが意味する問題の本質とは (籏智 広太 / BuzzFeed, 7/27)
》 加計学園問題に関する単純な疑問「日本では獣医師が不足しているのか?」 (六辻彰二 / BLOGOS, 7/26)。不足しているのではなく、偏在している。
繰り返しになりますが、日本の獣医師の数は、各国と比較しても十分といえるものです。そのなかで、あたかも「規制改革」そのものを目的化するように獣医師学部の新設にこだわるより、給与・待遇などの改善を含め、「地方の公務員獣医師」というポストに人材をリードしたり、民間の獣医師に公的業務に協力してもらったりするためのインセンティブを考える方が、はるかに効率的・効果的ではないでしょうか。
》 「こんなに捨てています・・」コンビニオーナーたちの苦悩 (井出留美 / Yahoo, 7/25)
》 カスペルスキー、無償アンチウイルスソフトを全世界リリース (窓の杜, 7/26)、 Kaspersky、無料ウイルス対策ソフトの提供開始 日本では10月から (ITmedia, 7/28)
》 シマンテック、新・東京セキュリティオペレーションセンターの内部を披露 (Internet Watch, 7/27)
》 Googleプロンプトによる2段階認証を求めるメッセージを表示へ、2段階認証にSMSを用いている企業ユーザー向け (Internet Watch, 7/27)。「Googleからのメッセージ」への移行を推奨。
関連: Google、2段階認証オプションに「Googleからのメッセージ」を追加、認証済みスマートフォンでアカウント認証 (Internet Watch, 2016.06.21)
》 セキュリティ対策が十分でないIoT機器への攻撃が大幅に増加、NRIセキュアの企業セキュリティ動向分析 (クラウド Watch, 7/27)、 サイバーセキュリティ:傾向分析レポート2017 (NRI セキュア, 7/26)
》 金なし場所なしホテルなし…東京五輪の影響で高校総体が史上初の中止危機 (サンスポ, 7/24)。ほんと、オリンピックなんてやめちゃえばいいのに。
》 琵琶湖線(東海道線)瀬田~石山駅間で発生した架線切断事象について (JR 西日本, 7/27)
YasunoMarlion さんのツイート:
瀬田駅花火 pic.twitter.com/M0pZ1DjV9c
— YasunoMarlion (@YasunoMarlion) 2017年7月26日
【瀬田駅花火大会】琵琶湖線 瀬田駅付近の架線トラブルで帰宅難民が溢れて地獄絵図 (Cocochan / NAVER まとめ, 7/27)
【瀬田駅花火大会】琵琶湖線 瀬田駅付近の架線トラブルで立命館大学のテストの遅延連絡が遅すぎて炎上 (Cocochan / NAVER まとめ, 7/27)
》 Java SE Development Kit 8, Update 144 (JDK 8u144) Release Notes (Oracle, 7/26)、ダウンロード。8u141 でエンバグした件の修正。iida さん情報ありがとうございます。
Joomla! 3.7.4 Release (Joomla!, 2017.07.25)
JVNDB-2017-005407 - Webmin におけるクロスサイトスクリプティングの脆弱性 (JVN, 2017.07.27)。 Webmin 1.850 で修正。
CVE-2017-11671: GCC generates incorrect code for RDRAND/RDSEED intrinsics (oss-sec ML, 2017.07.27)
Issues found via fuzzing by Guido Vranken (FreeRADIUS)。多くの欠陥が発見され、FreeRADIUS 3.0.15 / 2.2.10 (2017.07.17 公開) で修正されている。
チェルノブイリ原発も 欧州・米国で大規模サイバー攻撃 (2017.06.28)
関連:
もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (1) 再び世界を襲ったNSAのエクスプロイト (ZERO/ONE, 2017.07.06)
もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (2) 身代金を「本気で要求していない」身代金ウイルス (ZERO/ONE, 2017.07.07)。今回のは、これまで知られていた Petya とはかなり異なるという話。
またNotPetyaは、「最初から身代金の振り込みには期待していないランサムウェア」だと考えられている。それは一般的なランサムウェアと同様に、感染先のPCのデータを暗号化し、「元に戻したければ300ドル分のビットコインを支払え」と身代金を要求するのだが、このとき連絡先として記載されているメールアドレスは利用されていない。したがって犠牲者が支払いに応じてキーを入手しようとしても、犯人とは連絡がつかない。さらに言えば、NotPetyaによる暗号化は最初から(マルウェアの作者にも)復号ができない方法で行なわれているため、暗号化されたデータを取り戻す方法はないと考えられている。
もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (3) 3000万円で復号キー売ります (ZERO/ONE, 2017.07.10)
もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (4) その後のNotPetyaとウクライナ (ZERO/ONE, 2017.07.14)
もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (5) それは「ウクライナを標的としたロシア発の攻撃」なのか? (ZERO/ONE, 2017.07.18)
Outlook 2007 / 2010 / 2013 / 2016 用の、定例外更新公開。 CVE-2017-8571 CVE-2017-8572 CVE-2017-8663 を修正。 深刻度はいずれも「重要」、悪用可能性指標はいずれも 2。 0-day ではないみたい。
この内容でどうして定例外? と思ったが、主眼はセキュリティ修正ではなく不具合修正にあるのか?
Outlook known issues in the June 2017 security updates (Office.com, 2017.07.27 更新)
8 件の不具合のうち 6 件は対応済。残りの 2 件、 Issue #6: iCloud fails to load properly in Outlook は iCloud のアンインストール→再インストールで対応可、 Issue #8: Some Web-based Outlook add-ins don't work when using on premise Microsoft Exchange 2013 については調査中。
》 英国のエリザベス女王は第二次大戦中、自動車整備兵として活躍~当時の写真いろいろ (togetter, 7/27)。うわあ、カッコいいなあ。王女殿下、素敵です。
》 山谷剛史のマンスリー・チャイナネット事件簿: 中国で新手のシェアビジネス「シェア傘」、一方で「シェアサイクル」は淘汰も進む ほか~2017年6月 (Internet Watch, 7/24)
》 店内に置くだけポンの「Safie」たまご型監視カメラ、100台プレゼント、Wi-Fiでクラウドに録画&モバイルバッテリーでも稼働 (Internet Watch, 7/24)
》 医療機関の機器10万件以上がネットに露出中、そのうち1.83%が日本 (Internet Watch, 7/26)、 医療業界における脅威動向やリスク状況を分析したレポートを公開 (トレンドマイクロ, 7/26)
》 早稲田大学で起こった「非常勤講師雇い止め紛争」その内幕 (田中 圭太郎 / 現代ビジネス, 7/26)
》 OWASP Nagoya Local Chapter Meeting 1st (connpass)。2017.09.02、愛知県名古屋市、1000円。谷口さん情報ありがとうございます。
Chrome 60.0.3112.78 が stable に。40 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
こんばんわみなさん、松平です。「その時歴史が動いた」。 今日のその時は、2020年12月31日です。この日、インターネットで一時代を築いたアプリケーション、 Flash Player の更新と配布が完全に終了します。
Specifically, we will stop updating and distributing the Flash Player at the end of 2020 and encourage content creators to migrate any existing Flash content to these new open formats.
……えーと、end of 2020 だから 2020.12.31 終了ということでいいんですよね?
》 セキュリティが強化された Windows ファイアウォールで、Quick Mode の整合性アルゴリズムに SHA-256 を選択できない (Ask the Network & AD Support Team, 7/24)
》 Active DirectoryとLinuxの認証を統合しよう【2017年版】第3回 pam_krb5による認証連携[1] (髙橋基信 / 技評, 7/25)
》 ルンバのiRobotはGoogle・Apple・Amazonに家庭内の地図データを売ろうとしている (gigazine, 7/25)。ロイター報道。うひー。
「iRobotから家庭内地図データの購入を検討しているのか?」というロイターの問い合わせに対して、Amazonは回答を拒否しAppleとGoogleは返答しなかったそうです。
》 OpenBSD,KARLセキュリティ機能を開発 (BSD界隈四方山話, 7/21)。OpenBSD 6.2 に塔載か。
Kernel Address Randomized Link (中略) カーネルバイナリの構造がシステムが再起動されるごとに異なっていますので,なんらかのセキュリティ脆弱性を利用しようとしてもなかなかうまくいかない (中略) 新しいカーネルはシステムが起動してから作成される
》 ルートゾーンKSKロールオーバーによる影響とその確認方法について (JPRS, 7/25 改訂)。「PDF資料の更新を反映」
》 猫舌に最適! スマートタンブラー「Ember」ならカップラーメンも作れる! (カデーニャ, 7/25)。こんなのあるんだ。へえ。
》 東京五輪 選手村の交流施設を作る木材 全国から無償で募集 (NHK, 7/25)。タダボランティアの次はタダ木材かよ。 東京オリンピック、ふざけすぎだろ。
オリンピックのここがダメ!
— 建築エコノミスト森山 (@mori_arch_econo) 2017年7月25日
・通訳がボランティア前提
・IT技術者がボランティア前提
・木材も無償提供前提
・メダル素材も無償提供前提
・新国立競技場がグダグダ
・挙句建築現場の監督が過労死
・ビッグサイトが使えなくて中小企業が死滅
・築地市場が駐車場になって日本の食文化崩壊 https://t.co/20kF9NvR6b
そのうち、「五輪のためにご家庭のいらない金属をご提供ください」とかいい出すんじゃねぇか・・・
— SOW@新刊9月発売に延期! (@sow_LIBRA11) 2017年7月25日
東京五輪 選手村の交流施設を作る木材 全国から無償で募集 | NHKニュース https://t.co/gNHCgyOgOR pic.twitter.com/tcEQEHIqfe
》 「UPQ Phone A01X」付属バッテリーの交換手続き開始 (ITmedia, 7/24)
》 Microsoft、一部Atomに対するWindowsの大型アップデート提供を打ち切り (PC Watch, 7/20)。 Clover Trail = Z2760 (2012 Q3) がサポートされなくなる模様。 Clover Trail+ のサポートはまだ続くと理解していいのだろうか。
》 マイナンバーの行く手に見えてきた厄介な課題 (日経 IT Pro, 7/24)、 戸籍制度に関する研究会 (法務省)
》 [PR] セキュリティ人材育成の現在地―どのような人材が、どれくらい必要なのか (EnterpriseZine, 7/24)
“水素社会”は本当にやってくるのか? (NHK, 7/19)。インフラをつくりなおすのは大変。
44万の雇用があるのにフランスはガソリン車「禁止」へ舵を切った!|EVへの展望を各国メディアはこう報じている (クーリエ・ジャポン, 7/17)
電気自動車の開発を進めるポルシェ、ディーゼル・エンジンからの撤退を検討中 (AUTOBLOG, 7/21)
電池寿命に不安。電気自動車の中古価格が暴落中! (国沢光宏 / Yahoo, 7/7)
》 日航123便墜落の新事実 目撃証言から真相に迫る (河出書房新社)。まだこういう本が出るのか。
「AppleとGoogleはそれぞれ、7月に公開したセキュリティアップデートでこの脆弱性に対処した」。 CVE-2017-9417
Android のセキュリティに関する公開情報 - 2017 年 7 月 (Android, 2017.07.05)。セキュリティ パッチレベル 2017-07-05 で対応。
Broadcom コンポーネントに重大な脆弱性があるため、近くにいる攻撃者によってカーネル内で任意のコードが実行されるおそれがあります。
About the security content of iOS 10.3.3 (Apple, 2017.07.19)
Available for: iPhone 5 and later, iPad 4th generation and later, and iPod touch 6th generation
Impact: An attacker within range may be able to execute arbitrary code on the Wi-Fi chip
Description: A memory corruption issue was addressed with improved memory handling.
CVE-2017-9417: Nitay Artenstein of Exodus Intelligence
Wi-Fi Update for Boot Camp 6.1 (Apple, 2017.07.19)
Available for the following machines while running Boot Camp: MacBook Air (Late 2010 and later), MacBook Pro (Late 2010 and later), Mac mini (Mid 2010 and later), iMac (Mid 2010 and later), MacBook (Mid 2010 and later)
Impact: An attacker within range may be able to execute arbitrary code on the Wi-Fi chip
Description: A memory corruption issue was addressed with improved memory handling.
CVE-2017-9417: Nitay Artenstein of Exodus Intelligence
そういえば出てましたね。
About the security content of macOS Sierra 10.12.6, Security Update 2017-003 El Capitan, and Security Update 2017-003 Yosemite (Apple, 2017.07.19)
About the security content of Safari 10.1.2 (Apple, 2017.07.19)
About the security content of Wi-Fi Update for Boot Camp 6.1 (Apple, 2017.07.19)
About the security content of iOS 10.3.3 (Apple, 2017.07.19)
About the security content of watchOS 3.2.3 (Apple, 2017.07.19)
About the security content of tvOS 10.2.2 (Apple, 2017.07.19)
About the security content of iTunes 12.6.2 for Windows (Apple, 2017.07.19)
About the security content of iCloud for Windows 6.2.2 (Apple, 2017.07.19)
》 Adobeは星5つ、Amazonは? IT企業のプライバシー保護への取り組みを評価したレポート (Internet Watch, 7/20)、 Who Has Your Back? Government Data Requests 2017 (EFF)
》 一生つきまとう悪夢 酸で顔や体を狙う”アシッド攻撃”がイギリスで激増 (木村正人 / BLOGOS, 7/20)
》 【特集】東芝解体 マル秘資料が語る本当の「理由」 (共同, 7/18)
それは東芝従業員の「監視マニュアル」「思想チェック報告」だった。マル秘、取扱注意と記された数百ページに及ぶ資料。東芝の労使問題を裏側で担う「扇会」という団体が一部の管理職向けに作成したものだ。(中略) 「ものが言えない東芝。上層部に自由に意見が言えないような体質ができてしまった」。東芝差別事件の弁護団長だった岩村智文弁護士(川崎合同法律事務所)は扇会の活動などが極めて風通しの悪い東芝の社風をつくってきたと見る。
》 ロシア依存から脱却せよ! - 米国の新型ロケットエンジン開発競争 (鳥嶋真也 / マイナビニュース, 7/21)
》 ヒアリで年間 100 人死亡するわけではないが、絶対死なないわけでもない
「ヒアリに刺されて年間100人死亡説」を検証する (クマムシ博士のむしブロ, 7/10)。書籍『ヒアリの生物学』に記載されている、 アメリカでは1年間で1400万人ほどがヒアリに刺され、そのうち100人ほどが死亡しているという話は、裏付けがなさそうだという解説。
「ヒアリ死亡例は確認されなかった」という一部報道を検証する (クマムシ博士のむしブロ, 7/19)。 死亡事例がないわけではない、という解説。「1998年までに累計で少なくとも44例のヒアリによる死亡ケースが確認されている。そして、これはだいぶ少なく見積もった数だ」
「ヒアリでの死亡例はない」は誤報!100人とはいかないまでも44人の死亡が確認 (堀川大樹 / ハーバー・ビジネス・オンライン, 7/21)。
3 号機 PCV 内部調査進捗 ~19 日調査速報~ (東電, 7/19)。写真、動画。
福島第一原発3号機 原子炉真下の足場なくなる (NHK, 7/19)
福島第一原発3号機 格納容器の内部大きく損傷 (NHK, 7/20)
関連:
福島第一3号機 核燃料が原子炉の底突き破る 宇宙線調査 (NHK, 7/20)。ミューオンによる調査結果。 「3号機では、原子炉の中に核燃料はほとんど残っておらず、大部分が底を突き破って格納容器にまで達している可能性が高い」。 これをロボット調査で確認できるか。
》 中国が「くまのプーさん」を検閲で禁じたもう1つの理由 (ニューズウィーク日本版, 7/19)。劉暁波氏がらみとの見方。
7月19日朝の時点で、中国当局の「プーさん」検閲は解除されている。「あまりにばかげている」という全世界からの批判を受けての措置、と考えられている。習近平の意向をおもんばかったかと思えば、世界の批判に配慮......「忖度」に悩まされるのは中国の当局者も同じなようだ。
》 北方領土交渉の「新アプローチ」は幻に (ジェームズ・ブラウン / ニューズウィーク日本版, 7/21)。 予想どおりの展開なわけですが。
ロシアの意図は明瞭だ――日本は余計な条件を付けずに島の開発に着手しろ。嫌なら日本抜きで進めるまでのことだ。
》 オーウェン・ジョーンズ『チャヴ 弱者を敵視する社会』 (THE BRADY BLOG, 7/18)。一部の書店で先行販売 して いる よう だが、一般発売はいつになるんだろう。 海と月社 にはまだ情報が無いようだし。
》 リニア新幹線工事で早くも住民被害 「不誠実で無知なJR東海」 (週刊金曜日 / Yahoo, 7/21)。これもアベトモ事例だからなあ。
釜沢地区と村中心部を結ぶ狭く曲がりくねった県道では、すでにトラブルが起こっている。県道の拡幅工事が済むまで工事車両を通さないでほしいという住民の要望が聞き入れられないまま非常口工事が始まってしまい、大型車両が小一時間、立ち往生したことも。
》 43000円の検定料で「理解者」になれると触れ込む「LGBT検定」が当然ながら炎上 (BUZZAP!, 7/20)
》 「スマート水槽」がハッカーの侵入口に、北米のカジノで被害 (WSJ, 7/20)
》 南スーダン PKO 日報隠蔽問題 主導したのは黒江哲郎事務次官?
PKO日報問題 疑惑ぬぐえず 稲田氏、経緯説明なく (毎日, 7/19)
PKO日報問題 非公表、防衛省事務次官の意向 (毎日, 7/20)
防衛次官の意向で日報隠蔽か 稲田氏報告、2日前にも (中日, 7/20)
調査命じた稲田氏、一転疑惑の人に 自身は監察の対象外 (朝日, 7/20)
稲田氏、再び渦中に PKO日報、非公表の了承は否定 (日経, 7/20)
記録文書「隠す」「捨てる」「ない」 政権は非開示押し通す (東京, 7/20)
稲田防衛相の「隠ぺい疑惑」はなぜ暴露された?情けなさすぎる真相 〜「極秘会議」の中身が漏れるなんて (現代ビジネス, 7/20)
》 中国製軍用ドローン、米同盟国が買う事情 米輸出規制のため安価な中国製品が中東・アフリカに流入 (WSJ, 7/20)
一方、中国はすでに次の目標に照準を合わせている。それは中東でドローンを現地生産することだ。中国とサウジの当局者は3月、サウジで「彩虹」を最大100機、共同生産することで合意した。関係者によると、彩虹5号(CH-5)と呼ばれるより大型で航続距離の長いドローンも含まれるという。
》 フィンランド、「地下迷宮」で露の脅威に対抗 (WSJ, 7/20)
》 FBIが「つながる玩具」に注意喚起、子供が危険にさらされる恐れも (ITmedia, 7/18)。FBI がそういうことを警告する時代になったと。
》 潰れる会社に必ずいる「静かな殺し屋」の正体 (中村 陽子, 7/16)。衰退の法則の宣伝。
まずはどんな人が偉くなっているか。忖度するのが上手、派閥・学閥・保守本流に属してる、気が利くだけ、なんてヤツばかり偉くなってる会社はヤバイでしょうね。いい会社で偉くなっている人は、能力と人格、やっぱり衆目一致する人物ですよ。
それと雑談のテーマ。昼飯や夜の飲み会、たばこルームで、ダメな会社はほとんど人事の話をしてますね。社内の人間関係とか。いい会社は顧客や競合、市場、製品の話などをしています。
》 【森友問題】土地払い下げ根拠のごみ、存在しないこと示す証拠公開…財務省の背任が決定的 (Business Journal, 7/12)。ごみが2万トンあったはずが、実際には 194.2 トンしかなかったことが判明。
》 「パズドラ」ガチャで誤認表示 消費者庁、ガンホーに措置命令 (ITmedia, 7/19)、 措置命令に関するお知らせ (ガンホー, 7/19)
》 「当選本数100本」と告知、実際は5本 グリーに措置命令 (ITmedia, 7/19)、 当社GREE Platform上の表示に関する消費者庁からの措置命令について (GREE, 7/19)。「フィーチャーフォンにおいて、各景品について100名と誤って表示」「マートフォンおよびPCにおいては正しく表示されていました」。 なぜそうなったのかについては何も書かれていない。
》 「Yahoo!ツールバー」終了 15年の歴史に幕 (ITmedia, 7/20)。というか、まだあったのか。
バッファロー無線 LAN アクセスポイント WAPM-1166D、WAPM-APG600H に欠陥。 無認証で telnet 接続でき、設定機能にアクセスできる。 CVE-2017-2126。
最新のファームウェアで対応しているので更新すればよい。
》 取手市の女子中学生自殺、文科省が市教委判断の「ちゃぶ台返し」をした理由(1) (弁護士ドットコム, 6/19)、 文科省「教育現場は生徒の苦痛を軽く考えている」いじめ自殺、どう防ぐか(2) (弁護士ドットコム, 6/19)
》 特集ワイド 続報真相 東南アジア的「縁故主義」と日本 忍び寄る「独裁」の影 (毎日, 6/30)。マルコス、スハルト、安倍晋三。
関連: 身内かばい合い・外には恫喝的…安倍政権「マフィア化」 (朝日, 6/19)。「対談 長谷部恭男・早稲田大教授×杉田敦・法政大教授」。
「ラジオ部門<ギャラクシー賞入賞作品を聴いて、制作者と語り合う会Vol.23>」。2017.07.23、東京都港区、一般 1,500円・学生 1000円。
「ギャラクシー賞報道活動部門受賞作を見る会&第21回みんなでテレビを見る会 合同企画「ローカルメディアによる調査報道~チューリップテレビ/富山市議会政務活動費不正追及~」」。2017.07.22、東京都文京区、無料 (先着 100 名)。
Bloomberg の報道。7/11 の奴の前にもいくつか出ていたようで。
The Company Securing Your Internet Has Close Ties to Russian Spies (Bloomberg, 3/19)
Russia Threatens Retaliation If Pentagon Bans Kaspersky Software (Bloomberg, 6/30)
Kaspersky Lab Has Been Working With Russian Intelligence (Bloomberg, 7/11)
US 政府、調達リストからカスペを外す (7/12)。
米政府機関 ロシアのカスペルスキー製品の調達停止 (NHK, 7/13)
米政府、カスペルスキー製品の調達禁止 ロシア当局との関係懸念 (AFPBB, 7/13)
FBIが露カスペルスキーを捜査 米上院は軍のソフト使用禁止提案 (ロイター / ニューズウィーク日本版, 6/29)
米政権、露カスペルスキーのソフト調達停止 サイバー攻撃を懸念 (ロイター / ニューズウィーク日本版, 7/12)
関連:
Kaspersky under scrutiny after Bloomberg story claims close links to FSB (ars technica, 7/12)
》 LINE 捜査への履歴提供 「通信の秘密」と犯罪捜査のはざま (毎日, 7/13)、 中山執行役員との一問一答 (毎日, 7/13)
》 ビットコイン取引、一時停止へ 「分裂危機」に備え 日本の取引所で (ITmedia, 7/19)
》 オスプレイ 佐賀の配備に遅れ 19年度運用困難 (毎日, 7/19)
》 南スーダン PKO 日報隠蔽問題 稲田朋美防衛相は事前了承していた?。 朝日は独自内容で、毎日と東京は共同通信電を 1 面で報道。
稲田防衛相 PKO日報隠蔽了承 国会で虚偽説明 (共同 / 毎日, 7/19)
複数の関係者によると、緊急会議は2月15日、防衛省で開かれた。稲田氏や事務方トップの黒江哲郎事務次官、豊田硬官房長、岡部俊哉陸上幕僚長、湯浅悟郎陸幕副長らが出席。情報公開請求に「廃棄済み」とした日報が陸自に電子データで残されていたことについて、事実関係を公表するか対応を協議した。(中略) 「事実を公表する必要はない」との方針を決定。稲田氏は異議を唱えず、了承したという。
3月に入り、報道によって陸自に日報が保管されていた事実が明るみに出た。稲田氏は同月16日の衆院安全保障委員会で、民進党議員から一連の隠蔽行為の報告を受けていないのか問われ「報告はされなかったということだ」と否定した。
稲田防衛相、組織的隠蔽を容認 陸自にPKO日報、国会で虚偽答弁 (東京, 7/19)
稲田氏出席の会議で協議 日報、陸自に存在「非公表」 (朝日, 7/19)
稲田防衛相が虚偽答弁?黒塗り日報、自衛隊と防衛省の組織的隠蔽に「お墨付き」か (BuzzFeed, 7/19)
関連:
PKO日報問題 稲田氏に報告、2日前にも…緊急会議控え (共同 / 毎日, 7/19)
複数の関係者によると、2月13日の報告は15日の会議の「事前説明」という位置付けで、陸上幕僚監部の高級幹部が行った。昨年12月26日に統合幕僚監部で電子データが見つかったのとは別に、陸自でもデータが保管されていたことを報告した。
稲田防衛相 日報 隠蔽を了承した事実ないと否定 (NHK, 7/19)
》 メガネ型コンピュータ (Google) Glass復活。プリズム大型化や駆動時間延長、業務用として販売 (engadget, 7/19)
Glass エンタープライズ エディションは、前述の Augmedix を始め各業種向けに10数社のソリューション・パートナーを通じて販売します。ソフトウェアやサービス込みのソリューションとして販売することから、新型 Glass の単体販売はなく、価格も非公開です。
》 国産初、超音速の空対艦ミサイルを来年度導入へ (読売, 7/17)。XASM-3 の件。って、ASM-1/2 でも「海面近くを低空飛行」はできると思いますけど? 飛行モードによるでしょうが。 関連:
XASM-3 (ウィキペディア)
軍事研究 2015年7月号。 文谷数重氏の XASM-3 批判記事「重量面で不利/破壊力の不足/汎用性に劣る 超音速対艦ミサイルのデメリット 過剰性能と隠れた高コスト負担を内包。高性能を追及した一方で、重量の割に破壊力は大きくない!」。興味深い。
AGM-158C LRASM (Wikipedia)。離島防衛を考えると、自衛隊に必要なのは、こういう長射程の対艦ミサイルだと思うんだけどなあ。
Oracle 四半期 patch 公開。Java SE は 8u141 になりました。ダウンロード。
関連:
Java SE 8u141、CVE番号ベースで28件の脆弱性を修正 (Internet Watch, 2017.07.18)
2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2017.07.18)
》 〈時代の正体〉川崎でヘイトデモ実行 県警、抗議の市民排除 (カナロコ, 7/17)、 【音声配信】「ヘイトスピーチ解消法施行から1年。川崎で行われたデモについて」明戸隆浩×荻上チキ(TBSラジオ「Session-22」) (TBS ラジオ, 7/18)
》 政府の側は内部告発者への違法な攻撃をやめるべき 公益通報者保護法制から見た文科省現旧職員の行動の意義と適法性 (WEBRONZA, 7/12)
》 劉暁波氏の海葬について (黒色中国BLOG, 7/15)
ただ、逆に中国共産党の立場から、先に述べた海葬の前例を考えると、劉暁波氏の「影響力」を、国家指導者であった劉少奇、周恩来、鄧小平にも並ぶものとして認めているともとれる。中国で他に、政治指導者以外の私人が、公的に海葬される事例を私は知らない。
そこから考えると、「聖地」を作らせまいとする意図ではあったが、結果的に中国共産党は劉暁波氏の政治的地位を、国家指導者並に高めてしまったのではないか…とも思えるのである。
》 核兵器禁止条約-批判に答える (川崎哲のブログ, 7/12)。関連:
クローズアップ2017 核兵器禁止条約成立へ 実効性確保が課題 保有国参加させる措置必要 (毎日, 6/14)。結局、保有国は参加せず。
社説 核兵器禁止条約採択へ 理想に向かう新たな道だ (毎日, 7/7)
核兵器禁止条約 採択 国連、使用や開発「違法」 日本・保有国不参加 (毎日, 7/8)
核兵器禁止条約 条約の全文 (毎日, 7/8)
論点 核兵器禁止条約制定 (毎日, 7/12)
》 経産省が“非公表”指示 再処理工場の建設費増額分 (ANN / Yahoo, 7/18)。経産省ってほんと糞。
》 もんじゅ 廃炉、課題山積 どうする液体ナトリウム /福井 (毎日, 7/1)
》 Nicolas Hulot, France’s environment minister, announced on Monday that France could close “up to 17 nuclear reactors” by 2025. (France24, 7/10)。フランスは原子力発電比率(発電量ベース)を2025年までに50%へ削減することを決定しているが (現在は 75%)、これを実現するために、最大 17 基の原発を廃止すると。
》 【日本オセロ連盟】「生年月日がパスワード!」ガバガバセキュリティが話題にwww (SairiMedia, 7/14)。堂々と書いてしまってました系。
関連: 入会方法 (日本オセロ連盟)。「※ 生年月日は会員登録に必要な情報となりますので必ずお書きください」。同様の運用が続いているのでしょうか?
》 2017年九州北部豪雨災害にみる「#救助」ツィートの現状と問題 -発災後のツィートデータの内容分析から- (佐藤翔輔 / 災害科学国際研究所, 7/18)。「Twitterは「One to Mass」であり、今回の問題には不向き」
2017年7月九州北部豪雨 (災害科学国際研究所) も参照。
東京大学の電力使用状況 (東京大学)
ツイート事例:
駒場Iキャンパス全体の電力使用が契約上限に迫る日が続いているため、駒場図書館では、やむを得ず12:00-16:00の間、断続的に冷房の運転を止めることがあります。冷房停止時には、特に3、4階で気温が上昇しますので、なるべく下層階をご利用いただき、水分補給を心がけてください。 pic.twitter.com/9sAfHSY7Cz
— 東京大学駒場図書館 (@UTokyoKomabaLib) 2017年7月13日
なぜ東大は30%の節電に成功したのか? (経営者新書) 幻冬舎 https://t.co/9NUaxKW35w @amazonJPさんから
— ちゃんじー (@11293838) 2017年7月13日
図書館の冷房ケチるカス大学だから
東大図書館、電力の問題で大学当局が冷房を止めるというどこの北朝鮮の地方教育機関かよという状態なのですが、公式アカウントが「用意した水がすべてなくなりました」と通知しているのを抜き出すと戦時中っぽくて日本の衰退感がある
— 初音ミクさんの色 (@kentz1) 2017年7月14日
日本一の大学とされている東京大学の図書館の冷房が付けられない時点で中国に勝つとか負けるとかそういうレベルじゃないんですよ
— 初音ミクさんの色 (@kentz1) 2017年7月14日
空調をめぐる東大当局と学生の仁義なき戦い pic.twitter.com/GKVYkEWlSm
— E-01 (@E2333001) 2017年7月16日
東大駒場図書館のエアコンが切られて学生と職員のバトル勃発 (togetter, 7/17)
東大に原発を!
》 富士ゼロ会計不祥事、HDの責任追及「不十分」 (日経, 7/17)
》 「IoT」狙うサイバー攻撃の実態把握へ研究開始 (NHK, 7/18)
横浜国立大学の吉岡克成准教授らの研究グループでは、家庭のリビングを再現した特殊な実験室を設けて実態を調べる研究を始めました。この施設には、テレビやロボット掃除機など20種類のIoT家電が置かれ、通信の状況をすべて記録できるようになっています。
》 韓国の来年の最低賃金7530ウォンで確定、今年より16.4%上昇 (中央日報, 7/16)。すばらしい。
》 夕張市破綻から10年「衝撃のその後」若者は去り、税金は上がり続け… (NHKスペシャル取材班 / 現代ビジネス, 7/17)。すさまじい状況。関連:
【銚子発・アベ友疑獄】 加計学園のスキーム教えます 元財政当局者「第2の夕張にしてはならない」 (田中龍作ジャーナル, 3/11)
首相“お友達大学”で補助金トラブル、千葉・銚子市長選で「水産・獣医学部」新設話も (今西憲之 / 週刊朝日, 3/28)
千葉県銚子市、加計学園のために払った補助金のせいで「第2の夕張」級の借金地獄に (BUZZAP!, 6/16)
》 中国 消されたプーさん…習主席と体形対比のSNS投稿で (毎日, 7/18)。コラテラル・ダメージ。
》 大谷昭宏氏「バカが権力を握っている」と報ずるべきだ (日刊ゲンダイ, 7/10)
》 安倍政権 『永続敗戦論』の白井聡が退陣勧告「安倍首相よ、即刻辞任しなさい」 国民は政権への隷属を拒否しよう (毎日, 7/12)
関連: 松本人志が「安倍政権擁護のイメージをつけられてるけど」と言い訳! ならこれを読め、ワイドナの露骨すぎる安倍擁護発言集 (リテラ, 7/17)
アマゾン超えた?上海に登場した無人コンビニ (日経ビジネス, 6/29)。Bingo Box。
中国住みさんのツイート:
「上海の無人コンビニが営業停止
— 中国住み (@livein_china) 2017年7月10日
客の悪質マナー原因ではなく(全面ガラス店舗に直射日光+ハイテク機器の廃熱で
)店内が暑すぎて入れないため」
超ハイテクコンビニの落とし穴 pic.twitter.com/3J7rcBdPGz
改善の余地はあるようで。
中国に無人コンビニ「Moby Store」現る…SFの世界を最初に体現するのは「コンビニ」かもしれない…。 (roover, 6/28)。Bingo Box とは別のもの。スウェーデン「Wheelys」が中国でテスト運用。
露店に拡大、無人コンビニも 中国で急伸、スマホ決済 (NIKKEI STYLE, 7/9)。無人コンビニを支えるインフラ。
また、セキュリティーという点では、銀行口座と携帯電話番号のひも付けが密であることが安心感につながっている。決済額がどんなに少額であっても、送金、受け取り共に口座での資金移動があると、銀行の標準サービスとして、ほぼリアルタイムにSMS(ショートメッセージサービス)で携帯に通知され、口座からいくら引き落とされた(もしくは入金された)のかが把握できるのだ。
中国では、本人確認業務がサービス利用時に必ず行われる銀行口座と携帯番号を個人認証のマスターデータとし、それを補完するネット上の決済システムをテンセントとアリババというメガIT企業2社が寡占的に提供することで、モバイルネットワークを生かした経済活動をリアルの世界に大きく展開させることに成功した。「認証」と「決済」というネットでの経済活動の2大課題をクリアしたことで、今後も中国のスマホ決済はさらなる進化を遂げていくだろう。
一方、日本は:
日本の現金依存、世界一=「たんす預金」が後押し (時事, 3/4)
世界で進むキャッシュレス化、遅れる日本 所有カード枚数は多いが使用せず (NewSphere / livedoor, 5/10)
》 全記録 インパール作戦 (仮) (NHK スペシャル, 8/15放送予定)。まぬけ軍隊大日本の中でも群を抜くまぬけさのアレ。
これまでインドとミャンマーの国境地帯は戦後長く未踏の地だったが、今回、両政府との長年の交渉の末に現地取材が可能となった。さらに、新たに見つかった一次資料や作戦を指揮した将官の肉声テープなどから「陸軍史上最悪」とされる作戦の全貌が浮かび上がってきた。
》 新連載・「ITしぐさ」にツッコミ隊:「人がパスワード入力中に視線をそらす」は当たり前のITマナー? (ITmedia, 7/17)
》 Tesla車の事故は「自動運転機能のせいではない」 運転者が当初説明を撤回 (AP / ITmedia, 7/18)。「ミネソタ州ホーイックで15日夜に起きた衝突事故」。
》 トランプ政権、サイバー軍を陸海空軍と同等の組織に再編へ (AP / ITmedia, 7/18)。「この再編計画で米サイバー軍は、諜報活動が中心だったNSA(国家安全保障局)から最終的に分離されることになる」
》 「もう限界」パナ幹部が“脱大阪”宣言 戸惑う関西企業 (産経 / ITmedia, 7/18)。ようやくですか。
》 業務妨害疑い 男女3人書類送検 西田敏行さん中傷記事 (毎日, 7/6)。「中部地方に住む40代の自営業の女」「北陸地方の40代の男」「関東地方の60代の男」を送検 (7/5)。 関連:
「西田敏行さん 違法薬物使用」の中傷、ネットで拡散 容疑の男女3人を書類送検 (産経, 7/6)
西田敏行さんを中傷して、まとめサイト管理人が書類送検された事件で他の悪質まとめサイト管理人はだんまりを決め込むようです。 (togetter, 7/7)
男女3人が書類送検も……俳優・西田敏行の「シャブ疑惑」を流した“真犯人”とは? (サイゾー / @nifty, 7/12)。「実は西田さんの疑惑をリークしたのは、業界関係者のXなんです」
【衝撃事件の核心】 稼げれば何でもありなのか? 西田敏行さん、スマイリーキクチさん…有名人を襲う事実無根のネット中傷 (産経, 7/15)
》 韓国取引所にサイバー攻撃 急騰する仮想通貨取引に狙い (クラウド Watch, 7/10)。韓国最大の仮想通貨取引所 Bithumb。
この攻撃の入り口になったのはBithumbのサーバーではなく、Bithumbスタッフの自宅のコンピューターと伝えられている。攻撃が行われたのは今年2月だったが、Bithumbがインターネット規制機関である韓国情報保護振興院への届けたのは6月30日で、確認まで4カ月もの時間を要したことになる。
関連:
빗썸 직원 PC 해킹…회원 3만명 개인정보 유출 피해 (ハンギョレ, 7/3) (Google 翻訳)
続出する「金目当てのハッキング」にもセキュリティ基準強化を躊躇う韓国政府 (ハンギョレ, 7/5)
ビットコイン取引所「ピッソム」、顧客情報3万人流出 (MK NEWS, 7/5)
South Korean Cryptocurrency Exchange Bithumb Hacked (Trendmicro, 7/5)
》 Sophos Anti-Virus for Linux/UNIX: 対応プラットフォームに関する変更 (Sophos, 7/3)。HP-UX サポート終了、(RHEL 6 を除いて) 32bit Linux サポート終了、古い kernel への Talpa バイナリパックの提供削減、Sophos Enterprise Console の SAV for UNIX 対応終了。
Cisco WebEx browser extension on Google Chrome 1.0.12 未満、on Mozilla Firefox 1.0.12 未満に「Critical」な欠陥。当該ソフトをインストールしたブラウザで攻略 Web ページを閲覧すると、当該 Windows PC 上で任意のコードが実行される。CVE-2017-6753。 Cisco WebEx on Microsoft Edge or Internet Explorer、 Cisco WebEx browser extensions for Mac or Linux、 Cisco WebEx Productivity Tools にはこの欠陥はない。
Cisco WebEx browser extension on Google Chrome 1.0.12、on Mozilla Firefox 1.0.12 で修正されている。
》 松尾貴史と鴻上尚史が「芸能人と政治的発言」について意見…鴻上はバラエティー番組で政治ネタを放送すると「この国は楽になる」と指摘 (リテラ, 7/16)
》 「ネットワークビギナーのための情報セキュリティハンドブック」電子書籍の無料配信を開始 (NISC, 7/13)。各種電子書籍サイトから電子書籍版を無料ダウンロードできる他、 PDF 版をこちらからダウンロードできる。
第2章の冒頭からパスワードの話を詳述。p.44 には「パスワードの定期変更は必要なし。流出時は速やかに変更する」として一節。これでパスワード定期変更教がどの程度後退するか?
Apache httpd 2.4.27、セキュリティ修正が 2 件ありました。iida さん情報ありがとうございます。
important: Read after free in mod_http2 CVE-2017-9789。 Apache 2.4.26 の欠陥。
important: Uninitialized memory reflection in mod_auth_digest CVE-2017-9788。 Apache 2.4.1〜2.4.26 の欠陥。
LibreSSL 2.5.5 Release Notes (OpenBSD.org, 7/12)
LibreSSL 2.6.0 Release Notes (OpenBSD.org, 7/12)。こちらは開発版です。
》 中国軍部隊、初の海外基地へ出発 アフリカ・ジブチへ (BBC, 7/12)。中国軍もジブチに基地を設置したのですね。 自衛隊は 2009 年から。
関連: 防衛省、ジブチの自衛隊拠点を来年度拡張 基地建設の中国に対抗 (ニューズウィーク日本版, 2016.10.13)。
拡張後は自衛隊の輸送機を駐機させることを想定している。避難する日本人の警護にあたる陸上自衛隊の部隊や輸送防護車を駐留させることも検討している。既存拠点の隣接地の借地料は年間1億円程度と見積もっているが、現時点ではジブチ側の要求と開きがあるという。
》 ヒアリに関するFAQ (国際社会性昆虫学会日本地区会(JIUSSI))
セアカゴケグモよりも遥かに大きな脅威
やはり「殺人グモ」と称され一時大騒ぎになった特定外来種セアカゴケグモは、日本に定着してしまいました。でもそれ以降は時々ニュースになる程度で、刺症被害もほとんど耳にしません。「もしヒアリが定着してもこれと同じようになるのでは」と感じている向きもあるかもしれません。でもその楽観はおそらく大間違いです。なぜならヒアリはセアカゴケグモより桁違いに個体密度が高くなる可能性が高く、結果ヒトと遭遇する可能性もそのぶん桁違いに高いと想像されるからです。実際、ヒアリが定着した米国南部の州では、道路脇の草地、庭、公園の敷地のなどにヒアリが溢れています。これらヒアリ分布域の州では、住民の少なくとも3割が年に1度はヒアリに刺されているという統計もあります(文献5,8)。
日本のアリを駆除してしまうと逆効果
実はヒアリの侵略から私たちを守ってくれる「仲間」がいます。それは日本のアリやクモなどの他の捕食者たちです。ヒアリの働きアリは小さい割には屈強ですが、逆に翅アリ(新女王)は大きい割に虚弱です - これは他のほぼ全てアリ種でいえます。一般に、結婚飛行を終えたアリの新女王は、地面に降り立つとすぐ巣作りを始めますが、十中八九失敗します。なぜなら他の生物に邪魔されるからです。最大の邪魔者はアリ自身です。翅アリが降り立った地面が、もし他種のたとえば日本在来のアリの「領土」だったら、たちまち地主の働きアリに見つかって殺されてしまいます。実際、このシナリオがヒアリにおいてもあてはまることがフロリダで行われた最近の野外研究で明らかになりました(文献16)。地元在住のさまざまなアリたちの存在はヒアリの防御壁になりますが、殺虫剤や耕耘機であらかじめ在住アリを除去しておくと、ヒアリの新女王による新巣定着率が格段に上がったのです。(中略) いま住んでいるアリたちを闇雲に駆除すると、飛来したヒアリの新女王の巣づくりに絶好な『アリなし空間』を作ってしまいます。アリ駆除はヒアリの蔓延を助けてしまう懸念があるのです。
アリを過度に怖がる必要はありません。在来のアリはヒアリと戦う友です。在来のアリを活かして、ヒアリの新女王の定着を妨げましょう。
》 Google、新しいバックアップ・同期ツール「Backup and Sync」を無償公開 (窓の杜, 7/13)
》 サイバーセキュリティ戦略本部 第14回会合(平成29年7月13日) (NISC, 7/13)。関連:
ネット通じ水門の管理など行う自治体のシステムに深刻な不備 (NHK, 7/13)。 サイバーセキュリティ政策に係る年次報告(2016年度)(案) の「別添 4-9 補完調査」の「事例 2」(p.208)でいいのかな。
2017 年 7 月のセキュリティ更新プログラム (月例) (2017.07.12)
Windows 7 x64 (IE11) 用 KB4025252 更新プログラム、改訂されたようですね。WSUS の同期レポートで「改訂された更新プログラム」に出てました。 手元の Windows 7 x64 (2台) でのインストール要求繰り返し現象が消えていることを確認しました。
Knot DNS および BIND の TSIG 認証実装に欠陥、TSIG 認証を回避できる (2017.06.30)
BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について (CVE-2017-3142) - バージョンアップを強く推奨 - (JPRS) が 7/13 付で更新された。
(2017年7月13日追加)なお、namedの設定ファイル(named.conf)において "update-policy local;"オプションを使用している場合、既知の名前(local-ddns)とデフォルトのアルゴリズムを用いたTSIG鍵が暗黙の設定として定義され、かつ、IPアドレスベースのアクセス制限が設定されていない状態となります。そのため、潜在的に非常に危険な設定となることに注意が必要です。
(2017年7月13日更新)なお、設定ファイル(named.conf)において "update-policy local;"オプションを使用している場合、できるだけ速やかにバージョンアップを行う必要があります。それが不可能な場合以下の例のように、設定ファイルのupdate-policyステートメントをTSIG鍵を要求する allow-updateステートメントに切り替えた上で、IPアドレスベースのACLを追加する必要があります。
allow-update { !{ !localhost; }; key local-ddns; };
》 電通の略式起訴は「不相当」 東京簡裁、正式裁判を決定 (朝日, 7/12)。つづきは法廷で。
》 山口組が「共謀罪を考える」文書 「暴力団目線」で解説 (朝日, 7/12)
》 予約無断キャンセル者の電話番号を集める「予約キャンセルデータベース」が登場 (スラド, 7/11)
》 Cylance、Google子会社の無料ウイルス対策サービスに自社エンジンを対応 (日経 IT Pro, 7/11)。「Google子会社の無料ウイルス対策サービス」 = VirusTotal.com。これはおもしろい。
》 高専機構の設定ミスが発覚し、全国の高専生のOffice365が5日間ほど利用停止の見通し→拡散した学生が悪いという流れになってるっぽい (togetter, 7/12)
》 タイトルにPR入れる入れない問題とか色々 (ヨッピーのブログ, 7/12)
》 SNSアカウントでログインできます…のアプリには要注意! (gizmodo, 7/6)
Google Playストアに並ぶ何千ものアプリが、プライベートな情報にアクセスする許可を求め、その後、ユーザーが許可していないほかのアプリで個人情報を使いまわしていることが明らかになった。
このほどHT Mediaは、米バージニア工科大学(Virginia Polytechnic Institute)が今年4月に発表した調査レポートを引用し、このような衝撃的な結果を伝えています。
元記事は Avoid signing into new apps using your social media accounts (livemint.com, 7/3) のようなのだが、これを読んでも「A recent study by Virginia Polytechnic Institute, published in April」としか書かれておらず、どんな内容なのかよくわからない。
》
Apache HTTP Server 2.4.27 Released
(Apache.org, 7/11)。不具合修正のみ、セキュリティ修正はありません。
iida さん情報ありがとうございます。
Microsoft 2017.07 patch 出ました。IE / Edge, Windows, Office, .NET Framework, Flash Player, Exchange。
Windows 7 x64 で KB4025252 (IE 11) のインストール要求が繰り返される事象が発生しているようです。ツイッター上で複数の事例報告を確認できます。手元でも確認できました。こんな感じ:
セキュリティのみの品質更新プログラム (KB4025337) だけをインストールした時点では KB4025252 はインストール候補に現れない
セキュリティマンスリー品質ロールアップ (KB4025341) をインストールすると、KB4025252 がインストール候補に現れる
以後、何度インストールしても KB4025252 がインストール候補に現れ続ける
関連:
2017年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2017.07.12)
7 月の Internet Explorer / Microsoft Edge の累積的なセキュリティ更新プログラムを公開しました (Japan IE Support Team Blog , 2017.07.12)
セキュリティ更新プログラムの展開に関する情報: 2017 年 7 月 11日 (Microsoft, 2017.07.12)
Windows 7 x64 (IE11) 用 KB4025252 更新プログラム、改訂されたようですね。WSUS の同期レポートで「改訂された更新プログラム」に出てました。 手元の Windows 7 x64 (2台) でのインストール要求繰り返し現象が消えていることを確認しました。
nginx 0.5.6 〜 1.13.2 に欠陥。range filter に欠陥があり、攻略リクエストによってセンシティブ情報が漏洩する。CVE-2017-7529
nginx 1.13.3 / 1.12.1 で修正されている他、 patch も公開されている。 また max_ranges 1; と設定することで回避できる。
iida さん情報ありがとうございます。
Adobe Connect 9.6.1 以前に 3 件のセキュリティ欠陥 CVE-2017-3101 CVE-2017-3102 CVE-2017-3103。 Adobe Connect 9.6.2 で修正。Priority rating: 3
Flash Player 26.0.0.137 公開。3 件のセキュリティ欠陥を修正 CVE-2017-3080 CVE-2017-3099 CVE-2017-3100。 情報漏洩を招く欠陥 CVE-2017-3080 については 2017.07.03 に情報が開示されていたそうで。
関連: Adobe Flash Player の脆弱性 (APSB17-21) に関する注意喚起 (JPCERT/CC, 2017.07.12)
Apache HTTP Server 2.4.26 Released (2017.06.21)
Apache 2.2.34 が公開されました (2.2.33 は結局非公開)。CVE-2017-7679 CVE-2017-7668 CVE-2017-3169 CVE-2017-3167 が修正されています。
Apache HTTP Server 2.2.34 Released (apache.org, 2017.07.11)
Apache 2.2 系列は 2.2.34 で終了だそうです。 2017.12 まではセキュリティ patch を提供、 その場合は http://www.apache.org/dist/httpd/patches/apply_to_2.2.34/ で公開だそうで (今は空です)。iida さん情報ありがとうございます。
》 ドイツ「ヘイトスピーチを24時間以内に削除しないSNSには最大60億円の罰金」法案可決 (佐藤仁 / Yahoo, 7/8)
》 顔認証で入国 羽田空港に専用ゲート 10月から (ITmedia, 7/6)、 出入国管理及び難民認定法施行規則の一部を改正する省令案について(意見募集) (法務省 / e-gov, 7/5)
》 サイバーセキュリティ対策が進んでいる国はどこ?--国連機関が格付け (CNET, 7/7)、 Global Cybersecurity Index (GCI) 2017 (ITU)
》 ルートゾーンKSKロールオーバーによる影響とその確認方法について (JPRS, 7/10)
》 SELinuxの現状とLinuxセキュリティ (connpass)。2017.07.26、東京都港区、無料。面さん情報ありがとうございます。
》 Twitterのアイコン、丸から四角に戻る? 一部ユーザーが報告、その真相は…… (ITmedia, 7/10)。バグでした。
》 デリバリープロパイダの中の者だが人手不足で配送の現場はもうヤバイ (はてな匿名ダイアリー, 7/9)。 昔、ヨドバシで最短日時配送 (これがデフォルトだったので) を指定してしまったときにそういう業社に当たってしまったようで、その対応にびっくりしたことがある。 びっくり対応に 2 回遭遇して懲りたので、最短日時配送は以後使ってない。
》 日本労働弁護団の働き方改革についてのリーフレット (徳田隆裕 / 労働者の権利ブログ, 7/9)、 ”働き方改革”解説リーフレットを作りました (日本労働弁護団, 6/30)
》 「+675」で始まる着信に注意 通話料高額のおそれ (NHK, 7/4)、 南の国から謎の着信 その正体は? (NHK, 7/4)。なつかしい香りがする事案が起きていたのか。 関連:
》 【閉会中審査速報中】前川氏「国民が知るべきと発言」 (朝日, 7/10)
》 公文書、1年未満で廃棄次々 森友記録も有事対応立案も (朝日, 7/10)。公文書を廃棄しまくって証拠を隠滅するのが安倍政権の言う「美しい国」の実態か。
Apache Struts 2.3.x に欠陥。Struts 1 Plugin を使用して Struts 1 Action を実行する場合に欠陥があり、remote から任意のコードを実行できる。Struts 2.5.x にはこの欠陥はない。 CVE-2017-9791
回避策としては、「Always use resource keys instead of passing a raw message to the ActionMessage as shown below, never pass a raw value directly」だそうで。 良いコード例と悪いコード例が advisory に記載されている。関連:
S2-048(CVE-2017-9791)を検証してみる (uranariだよ, 2017.07.08)
Apache Struts2 Showcase Remote Code Execution! (S2-048) (PenTestIT, 2017.07.08)
From the above information we know that the vulnerability exists in the Apache Struts 2.3.x Showcase application, which is accessible at /struts2-showcase/.
Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起 (JPCERT/CC, 2017.07.10)
》 米海軍駆逐艦 Fitzgerald × コンテナ船 ACX Crystal 衝突事故 (6/17) 関連。 前ねた。
Report: ACX Crystal was Likely On Autopilot (Maritime Executive, 6/23)
ACX Crystal's Captain Alleges No Response from Fitzgerald (Maritime Executive, 6/26)
USS Fitzgerald: US warship stayed on deadly collision course despite warnings, cargo ship's captain says (ABC, 6/26)
USS Fitzgerald to return to U.S. for extensive repairs (Kyodo / Japan Times, 6/30)
USS Fitzgerald Will Return to U.S. for Repairs (Maritime Executive, 6/30)
》 ぴあも「電話番号認証」必須に 不正転売対策で (ITmedia, 7/7)
》 Windows 10次期大型アップデートで「SMBv1」無効化へ、セキュリティ強化 (techtarget, 7/6)。Fall Creators Update で。
》 「西田敏行さん 違法薬物使用」の中傷ブログで拡散 男女3人書類送検 「広告収入増やしたかった」 (ITmedia, 7/7)
》 Let's Encrypt、ワイルドカード証明書を2018年1月から発行 (ITmedia, 7/7)。きましたね。
》 宅配ボックスで遊んでいて閉じこめられる事故に注意~国民生活センター (家電 Watch, 7/6)
》 赤外線カメラで暗闇も見えるHMD、ドローン専業のスカイロボットが開発 (日経 IT Pro, 7/5)。「Boson/スカイスカウターIR」「価格は39万5000円(税別)」。
》 海の向こうの“セキュリティ” 企業の“Flash離れ”の一方で、古いバージョンのままのデバイスが半数超! ほか (Internet Watch, 7/5)
Joomla! 3.7.3 Release (Joomla!, 2017.07.04)。セキュリティ修正 3 件を含む。
DLL ねた。Lhaz 2.5.0 / Lhaz+ 3.5.0 へ更新を。
老舗の圧縮・解凍ソフト「Lhaz」「Lhaz+」に脆弱性、修正版が公開 (窓の杜, 2017.07.03)
JVN#21369452 - Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性 (JVN, 2017.07.07)
Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性 (ちとらsoft, 2017.07.01)
JVN#65411235 - アイ・オー・データ製の複数のネットワークカメラ製品におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2017.06.20)。 TS-WPTCAM、 TS-WPTCAM2、 TS-PTCAM、 TS-PTCAM/POE、 TS-WLCE、 TS-WLC2、 TS-WRLC に欠陥。修正版ファームウェアが用意されている。 TS-WPTCAM2 は Ver.1.02 で、その他は Ver.1.20 で対応。
弊社ネットワークカメラにおけるセキュリティの脆弱性について (IO DATA, 2017.06.20)
JVN#95996423 - MFC-J960DWN におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2017.07.04)。修正版ファームウェアはまだない。回避ツールが用意されているが、ブラザーのコールセンターにメールしないと入手できない。
JVN#95996423脆弱性問題について (ブラザー)。入力フォームへのリンクあり。
JVN#85901441 - 東芝ライテック製ホームゲートウェイにおける複数の脆弱性 (JVN, 2017.06.27)。ファームウェア 1.2.0 以前に欠陥。 LAN 側から、管理者パスワードを変更できる、任意のコマンドを実行できるなどの欠陥。修正版ファームウェア (1.2.1) が用意されている。
東芝ホームゲートウェイの脆弱性について (東芝ライテック, 2017.06.26)
【東芝HEMS対応商品】ホームゲートウェイ(HEM-GW16A) (東芝ライテック)
Androidの脆弱性139件修正、7月の月例セキュリティ情報公開 (Internet Watch, 2017.07.06)
》 Controversial pesticides can decimate honey bees, large study finds (Science, 6/29)。ネオニコチノイド系農薬に関する研究成果が 2 件発表されたそうで。
Country-specific effects of neonicotinoid pesticides on honey bees and wild bees (Science, 6/30)。ハンガリー、ドイツ、UK で 2 年に渡る大規模な調査を実施。
Chronic exposure to neonicotinoids reduces honey bee health near corn crops (Science, 6/30)。
ミツバチがネオニコチノイド系殺虫剤に慢性的に曝された影響で減少することを現地調査で確認 (gigazine, 7/3)
ミツバチ ネオニコチノイド系農薬で寿命縮まる 研究発表 (共同 / 毎日, 6/30)
関連:
除草剤、オタマジャクシの捕食者に有害か 研究 (AFPBB, 7/5)。ラウンドアップに含まれるグリホサートの件。
サイエンスが勝つか、政治力に屈するか? グリホサート、ネオニコチノイド、新育種技術をめぐるヨーロッパの攻防 (foocom.net, 5/25)
【音声配信】特集「バニラ・エアの車椅子対応から考えるバリアフリーのあり方」今回の当事者・木島英登さん×石川准さん×荻上チキ 6月29日(木)放送分(TBSラジオ「荻上チキ・Session-22」) (TBS ラジオ, 6/30)。 TBS ラジオ CLOUD に登録すれば、今からでも聞けます。
バニラ・エア車いす利用者搭乗拒否に対するDPI日本会議声明 (特定非営利活動法人DPI(障害者インターナショナル)日本会議, 6/29)
バニラエア車椅子拒否事件はバリアフリー施策強化の銅鑼を鳴らす (崎山伸夫 / medium.com, 6/29)
》 孤立集落を救うため。全国に1台しかない「レッドサラマンダー」九州豪雨で初出動 (BuzzFeed, 7/6)
これまで災害で使われたことはなかったため、今回が初めての出動だ。
あれ? こちらの記事では「6月21日に初めて出動」だそうですが? ついに初出動「レッドサラマンダー」 消防庁の切り札、その驚異の性能とは? (乗りものニュース / livedoor, 6/29)
岡崎市内に大雨・洪水警報が発令されたため、12時50分に本部を出動し、管轄区域に山間部を多く抱える東消防署額田出張所へ向かい、待機していました。結果的に想定していた土砂災害は発生せず、16時45分に任務を解除しました。
待機で終ったからなのか、本来任務での出動ではなかったからなのか?
》 ランサムウェア対策が「Windows 10 Fall Creators Update」に追加! さっそくトライ (やじうまの杜, 7/5)
》 共謀罪 安倍政権が急いだ深層 「戦時体制」への恐るべき野望=斎藤貴男 (毎日, 6/28)
まとめると、大日本帝国モドキの創生、米国への積極的な隷従と自衛隊の傭兵(ようへい)化、ビジネスの用心棒としての軍事力強化。それらゆえの戦時体制であり、反戦機運を抑え込む監視社会、言論統制なのである。
》 impfuzzy for Neo4jを利用したマルウエア分析 (JPCERT/CC, 7/3)
》 Dropboxよりも安全なストレージを求めて (Kaspersky, 7/4)
》 「BlackTech」によるサイバー諜報活動の足跡を追う (トレンドマイクロ セキュリティ blog, 7/4)
》 アングル:廃墟と化した比マラウィ、武装勢力との戦闘最前線 (ロイター, 7/5)
》 ニューラルネットワークの内部動作を理解するための完全自動化システムをMITの研究所が開発 (techcrunch, 7/1)
》 Facebook、「Wi-Fiを検索」機能を全世界で提供開始 (techcrunch, 7/1)
》 Amazon Alexaのスキルが15000を突破、わずか半年で倍増、競合製品を圧倒 (techcrunch, 7/4)
》 たった15分で顔検知アプリが作れる――映像解析システム開発基盤「SCORER」が2.1億円調達 (techcrunch, 7/4)
》 2000年もの耐久性を誇るローマ時代のコンクリートは海水の腐食によって強度を上げていた (gigazine, 7/5)
》 日経BP社 2誌休刊、2誌刊行ペース変更 (fx-it.com, 7/5)。 「日経コミュニケーション」「日経情報ストラテジー」が休刊、 「日経ソフトウエア」「日経Linux」が隔月刊に。
》 北朝鮮、7月4日に「ICBM」火星14を発射、成功。 アラスカまで到達可能?
North Korea tests first ICBM (ロイター, 7/4)
アングル:北朝鮮の「ミサイル技術」、金正恩政権で急速に進化 (ロイター, 7/5)。もともと火星14打ち上げ前に書かれた記事なので、 火星14についての記載はほとんどない。
米政府、北朝鮮のICBM発射実験を確認 (BBC, 7/5)
北朝鮮はICBMと主張するが…米本土攻撃まではまだ距離感 (ハンギョレ, 7/5)
[ニュース分析]文大統領、北に圧迫強めるものの…「ベルリン宣言」に対話を含めるか (ハンギョレ, 7/5)
中ロ首脳「THAAD韓国配備に反対」を再確認 (ハンギョレ, 7/5)
<北朝鮮ICBM>次は搭載する小型化核弾頭の公開か (中央日報, 7/5)
<北朝鮮ICBM>「発射成功」 米国に心理的な宣戦布告 (中央日報, 7/5)
韓米軍、東海置沖で弾道ミサイル射撃訓練実施…北に警告メッセージ (中央日報, 7/5)
関連:
[ニュース分析]韓米首脳会談で第一ハードル乗り越えた戦時作戦統制の移管 (ハンギョレ, 7/3)。文在寅 - トランプ会談。
SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE Software (Cisco, 2017.06.29)。2017.07.03 更新。SNMP 実装に複数の欠陥、remote から任意のコードを実行できる。
To exploit these vulnerabilities via SNMP Version 2c or earlier, the attacker must know the SNMP read-only community string for the affected system.
容易に想像可能な read-only community string があったりするとまずそう。
administrators can mitigate these vulnerabilities by disabling the following MIBs on a device:
- ADSL-LINE-MIB
- ALPS-MIB
- CISCO-ADSL-DMT-LINE-MIB
- CISCO-BSTUN-MIB
- CISCO-MAC-AUTH-BYPASS-MIB
- CISCO-SLB-EXT-MIB
- CISCO-VOICE-DNIS-MIB
- CISCO-VOICE-NUMBER-EXPANSION-MIB
- TN3270E-RT-MIB
snmp-server view グローバル設定コマンドで無効化できるそうで。詳細は Security Advisory を参照。
VLC Windows 2.2.7 Crash due to Out-of-Bound Heap Memory Write (VideoLAN, 2017.06.30)、 CVE-2017-10699。現在配布されているのは 2.2.6 なので、まだ直ってないということなのかな?
Security vulnerabilities in RT (BestPractical.com, 2017.06.15)。RT 4.0.25 / 4.2.14 / 4.4.2 で修正されている。
世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.15)
関連:
日立「WannaCry」感染源は電子顕微鏡操作装置の可能性 (日経 IT Pro, 2017.07.03)。「感染源が、ドイツのグループ会社の事業所にある電子顕微鏡の操作装置だった可能性」
HIRT-PUB17008:ランサムウェアWannaCryに関する注意喚起 (日立, 2017.05.15〜)
》 カード詐欺被害者が有罪に 不正譲渡認定、専門家も疑問 (京都新聞 / Yahoo, 7/4)。被害者を加害者に。ケーサツの点数稼ぎとしか思えない。
》 「EMET」がWindows 10 Fall Creators Updateで復活する - 阿久津良和のWindows Weekly Report (マイナビニュース, 7/3)。de:code 2017。
EMETと同等の機能がWindows 10に復活した。厳密には2017年9月リリース予定のWindows 10 Fall Creators Updateで利用可能になる
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)