セキュリティホール memo - 2019.12

Last modified: Thu Jun 9 11:51:20 2022 +0900 (JST)

　このページの情報を利用される前に、注意書きをお読みください。

■ 2019.12.27

》 AIが自動生成、大量の「フェイク顔」がトランプ氏を支持するコメントする (新聞紙学的, 12/27)
》中国が「使わない石炭火力発電所」の新設を続けている理由 (WIRED, 12/27)
》 Windows 7 ESU ありとなしをテストするダミー更新プログラム (山市良のえぬなんとかわーるど, 12/20)
》ウィキペディア禁止は違憲とトルコ憲法裁判所が裁定 (techcrunch, 12/27)
》英国のデータ保護監視当局がアドテック業界に「冷静に法を守る」よう要請 (techcrunch, 12/25)
》米海軍でTikTokが使用禁止に、国家安全保障上の懸念から (techcrunch, 12/23)
》「プーチン大統領の美容整形の噂」をSNSに書き込んだテレビ局記者が突如辞職 (gigazine, 12/26)。おそロシア。
》「著名フォトジャーナリストの肩書を濫用した悪質な性暴力」デイズ検証委員会が報告書 (BuzzFeed, 12/27)。広河隆一。
》 ECサイト構築で多く利用されている「EC-CUBE」を用いたウェブサイトでの情報漏えい被害の増加について (IPA, 12/25)
》「過去最悪の水準」　ネットバンク不正送金、急増の理由　破られた“多要素認証の壁” (高橋睦美 / ITmedia, 12/27)
》「さくらのレンタルサーバ」批判記事、Qiitaで公開止められ炎上　さくらは「事実確認中」 (ITmedia, 12/26)

Qiitaの運営チームは一時、この記事を「業務妨害」が理由であると明記して限定公開に設定。現在は理由を「コミュニティガイドライン違反」に変更し、見られない状態にしている。この状況を見たユーザーの間では「さくらインターネットが記事を非公開にするよう要請したのではないか」という臆測が広がった。

2020.01.06 追記:

　つづき: さくらインターネット、「専用サーバ」批判記事について謝罪　合致するケースあったと「真摯に反省」 (ITmedia, 12/28)
》ファーウェイが中国政府から多大な支援を受けて成功したことが報じられる (techcrunch, 12/27)、 Huawei、中国政府から特別な経済的支援を受けているというWSJの記事に反論 (ITmedia, 12/27)
》「楽天が傘下の米電子書籍企業の全株式売却」の報道で、誤った解釈をする人が続出中 (Internet Watch, 12/27)。そういう言い方をしたら、誰だって Kobo のことだと思っちゃうよねえ。実際は:
- OverDrive Holdings, Inc.の全株式譲渡契約締結に関するお知らせ (楽天, 12/25)

■ 2019.12.26

》秋元司衆院議員逮捕に元地検特捜部検事「かなり驚き」事件の争点は「本当に本人が直接受け取ったのか」 (AbemaTIMES, 12/25)。関連:
- 秋元議員逮捕で安倍政権大打撃　深刻な政界汚職拡大 (日刊スポーツ, 12/25)
- 秋元司容疑者が「逮捕直前」に明かした、キーパーソンとの「関係」 (現代ビジネス, 12/26)
- 玉川徹氏、逮捕された秋元司議員の自民党離党届のスピード受理に「本人は否認しているのに…なんだこの早い展開は」 (スポーツ報知, 12/26)
- 「秋元議員カジノ疑獄を仕掛けたのは安倍側近」という仰天情報が流れる理由 (ダイヤモンド online / Yahoo, 12/26)
- 秋元容疑者への賄賂、海外から不正に持ち込みか　贈賄側が認める供述 (毎日, 12/26)
》加計学園問題の首相補佐官が公費で｢不倫出張｣ (文春オンライン / PRESIDENT Online, 12/11)。和泉洋人首相補佐官。関連:
- 和泉補佐官「京都不倫出張」を巡り国会虚偽答弁の疑い (文春オンライン, 12/18)
- 公費で不倫出張の和泉首相補佐官＆“問題”女性官僚、不問に付す安倍首相官邸は問題 (Business Journal, 12/17)
- 不倫報道の安倍首相側近・和泉洋人首相補佐官に便宜供与疑惑！沖縄・高江ヘリパッド強行めぐり見返りに「なんでも協力するから」 (リテラ, 12/25)
- 「文春砲」で渦中の厚労省大坪審議官が「異例のスピード出世」と言われる理由 (ダイヤモンド online, 12/26)
》小泉進次郎環境相　“幽霊会社”に高額発注で政治資金4300万円を支出 (文春オンライン, 12/25)
》萩生田文科相に「少年野球口利き」疑惑　“萩生田球場”と呼ばれる選挙区内の公有地 (デイリー新潮, 12/25)。関連:
》ランサムウェア被害で身代金を支払う組織が増加傾向 (ZDNet, 12/26)

先頃発表された「2019 CrowdStrike Global; Security Attitude Survey」レポートで明らかになった。レポートによると、自らの組織がソフトウェアサプライチェーン攻撃の被害に遭い、何らかの形で身代金を支払ったとする回答者の割合は世界で14％から40％に増加したという。
》ファーウェイへの規制をアメリカが強化か、今度は台湾TSMCのプロセッサがターゲットに (Buzzap!, 12/26)
》ホワイトハットハッカーになろう！第3回 CEH(認定倫理ハッカー)試験とは (マイナビニュース, 12/26)
》「macOS Catalina」で実行する野良アプリにはAppleによる公証が必要に～来年2月から (窓の杜, 12/25)。自由は失われるわけですが。

■ 2019.12.25

》「インフルエンザが例年より早めに拡大」　ヤフーがビッグデータで予測 (ITmedia, 12/25)
》教員用PC貸与が発端となった中学生による校内不正アクセス事案についてまとめてみた (piyolog, 12/21)
》匿名性に特化したDebianベースのOS「Tails 4.1.1」がリリース (Linux Daily Topics, 12/24)
》うつ病治療のため少量のLSDを服用する「マイクロドーズ」の安全性が証明される (gigazine, 12/23)
》安全で廃棄物が少ないとされる次世代原子炉「トリウム溶融塩炉」の現実を専門家が指摘 (gigazine, 12/23)
》死者50人超の電子たばこ関連肺疾患の最新レポートを政府機関が発表、何が原因なのかが指摘される (gigazine, 12/24)
》人気チャットアプリが実は政府の監視ツールだったことが判明、スパイツールとしては「天才的」と専門家 (gigazine, 12/24)。ToTok。これまた UAE ですか。

UAEは長年にわたってAppleのFaceTimeやFacebookのWhatsAppといった通話アプリの利用を禁止してきました。このため、駐在員が母国の家族などに電話をかける際には、無料通話アプリとしてToTokがオススメされてきました。
》「中国の囚人が強制労働を訴えるメッセージ」が子どものクリスマスカードに混入 (gigazine, 12/25)
》人気ゲーム「グランド・セフト・オートV」で香港と中国のゲーマーのオンライン抗争が勃発 (gigazine, 12/25)
》有毒物質に汚染された地域を可視化した地図「Toxmap」を政府が閉鎖させたことが判明 (gigazine, 12/25)
》ロシアが「国内ネットワークをインターネットから切り離すテスト」に成功 (gigazine, 12/25)
》米ボーイング、マレンバーグCEOを解任　墜落事故受け (BBC, 12/24)。年内に復旧できず、ここで解任ですか。

墜落事故の遺族は、マレンバーグ氏の解任は事故から時間がたちすぎていると述べた。また、長年の役員が後任になったことについては、同社に変革の意思があるのか疑わしいとしている。

　確かになあ。関連:
- 米ボーイング次期ＣＥＯ、エンブラエル部門買収巡るＥＵ審査も課題 (ロイター, 12/25)。あら、エンブラエル買収の件、止まっているのですか。
- コラム：ボーイング後任ＣＥＯが直面する財務と信頼の危機 (ロイター, 12/24)
- ボーイング、７３７ＭＡＸの開発巡る従業員間の別のメッセージ提出 (ブルームバーグ, 12/25)
》【メール】 Outlookメールサービスでメールが送信されない不具合 (ニッチなPCゲーマーの環境構築Z, 12/16)

つまるところ、『Re: 【文字】【文字】』の組み合わせが件名に入っているとアウトです。
》【Win10】 Microsoft、Windows10標準メールアプリに広告を入れる (ニッチなPCゲーマーの環境構築Z, 12/15)
》パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される (スラド, 12/24)、第５９５号コラム：「私たちはなぜパスワード付きｚｉｐファイルをメール添付するのか」 (上原哲太郎 / デジタル・フォレンジック研究会, 12/23)。「命名者は（一財）日本情報経済社会推進協会（ＪＩＰＤＥＣ）の大泰司章さんで」

追伸：ＰＰＡＰに加えて、ＰＨＳというのも撲滅したいのですが、それは稿を改めて。
ＰＰＡＰを何とかしたいがＰＨＳも何とかしたい（ＰＤＦ版）
》中国のハッカー集団、2要素認証をかいくぐり政府機関などを攻撃--研究者が発表 (ZDNet, 12/24)、 Operation Wocao Shining a light on one of Hidden Hacking Groups (Fox IT, 12/17)
》 TwitterにアニメーションPNGを投稿できたのは不具合だった～修正され非サポートに (窓の杜, 12/24)
》 Su-57 量産初号機墜落 (12/24)
- ロシア最新戦闘機スホイ５７墜落　極東で試験飛行中 (北海道新聞, 12/25)
- 墜落したSu-57戦闘機は量産初号機　近いうちにロシア国防省に引き渡される計画だった＝消息筋 (スプートニク, 12/24)
》宝運丸方面
- 宝運丸 (日之出海運)
- 油タンカー宝運丸衝突（橋梁）事故(大阪府泉州港内関西国際空港連絡橋、平成30年9月4日発生)) (運輸安全委員会, 4/25)
  
  関連: 非常に強い台風時の走錨による事故防止対策に関する情報提供 (運輸安全委員会, 4/25)
- 【検証】関空連絡橋衝突事故を振り返る～未曽有の衝突事故は防げたのか (長谷川大輔 / データ・マックス, 5/24)
- 関空連絡橋に衝突した「宝運丸」船主、清水満雄氏の弁明は船員から見れば妥当なものだ (ライ麦畑で倒れ伏す　2nd Season, 2018.12.16)
- タンカー船長を書類送検　関空連絡橋事故、対策怠った疑い (産経, 9/27)、関空連絡橋衝突、元船長不起訴に (共同, 12/23)
》日産がユーザーの反発承知でEVの「充電定額制」を突如廃止した理由 (井元康一郎 / ダイヤモンド online, 12/25)

　では、急速充電の料金はどのくらいが適切なのだろうか。まず、今日浸透している30分550円といった水準では、急速充電器は全拠点赤字にならざるを得ない。(中略) 設備投資に見合う利益を上げるためには1台1000円でも採算は厳しいところで、さらに高額の料金を取れるようにならなければ、充電スポットへの投資など進むわけがない。
　現状では1000円、1500円といった充電料金では、顧客にメリットはまったくない。メリットを出すためにはどうすればいいのか。これはもう、できるだけ短い時間でできるだけ多くの充電を可能にするための技術革新を、インフラとクルマの両方で追求していくしかないであろう。
》年末年始のメンテナンスで他行ATMの引き出し不可に、スケジュールと対策を紹介 (engadget, 12/24)

■ いろいろ (2019.12.25)
(various)

　関連:

神奈川県庁の転売HDD、全て回収　富士通リースとブロードリンクに指名停止処分 (日経 IT Pro, 2019.12.24)
（情報システム課からのお知らせ）リース契約満了により返却したハードディスクの盗難について (神奈川県, 2019.12.24)

■ 2019.12.24

》 OYOとヤフー提携解消でチラつく、訴訟抱えたインド本国の経営リスク (Business Insider Japan, 12/19)

　関連: ヤフー、詐欺的事業を行うOYO LIFEの日本法人との合弁を解消し全力逃亡。で、お前の責任は？ (No！SoftBank, 12/20)
》アップル、157ページに及ぶ詳細なセキュリティガイドを公開 (ZDNet, 12/23)
》 Appleが最大約1億6千万円の報奨金　セキュリティ報告プログラム「Apple Security Bounty」を提供開始 (ITmedia, 12/23)
》ラブホ検索サイト「ハッピーホテル」で会員情報漏えい　サービス一時停止 (ITmedia, 12/24)
》 2億6,700万ユーザーの名前と電話番号がFacebookから流出 (PC Watch, 12/21)
》通信障害が発生したら、真っ先に「アルミ製LANケーブル」を疑うべき理由 (高橋健太郎 / 日経 xTECH, 12/24)。関連: アプリケーション・ノート　銅クラッドアルミ（CCA）ケーブル (FLUKE networks, 2013.12.26)

■ 追記

いろいろ (2019.12.12): OpenSSL: 　OpenSSL version 1.0.2u published (OpenSSL, 2019.12.20)。iida さん情報ありがとうございます。

■ いろいろ (2019.12.24)
(various)

Twitter for Android

「Twitter for Android」に脆弱性、アカウントが乗っ取り可能 (PC Watch, 2019.12.21)。最新版では修正済。
Twitterの「セキュリティ上の不具合～」警告とアプリ更新の強制について(Android版Twitter) (情報科学屋さんを目指す人のメモ, 2019.12.21)
ツイート

To provide more detail, this issue was fixed in Twitter for Android version 7.93.4 (released Nov. 4, 2019 for KitKat) as well as version 8.18 (released Oct. 21, 2019 for Lollipop and newer). Twitter for Android is no longer supported on Android OS versions older than KitKat.
— Twitter Support (@TwitterSupport) December 20, 2019

■ 2019.12.23

》「疑わしくないメール」にも疑いの目を　猛威を振るうマルウェア「Emotet」に注意 (高橋睦美 / ITmedia, 12/23)
》休日と勘違い？　“Yahoo!ファイナンス”の株価更新が停止中　トップページには“日本の証券市場はお休みです。 - 天皇誕生日”というメッセージ (やじうまの杜, 12/23)。やっちまった感。
》さよならFTP ～「Google Chrome 80」でFTP接続は非推奨に　「Chrome 82」で機能を完全に削除 (窓の杜, 12/23)。ついにこうなりますか。 Chrome 82 は 2020.04 リリース予定。

■ Endpoint Protection を使用していると Google Chrome バージョン 78.0.x で "このウェブページの表示中に問題が発生しました" エラーが発生する
(シマンテック, 2019.12.17)

　Chrome 78 / 79 + SEP + Windows 10 / Server 2016 / Server 2019 で不具合が起こるそうで。「エラー　このウェブページの表示中に問題が発生しました」ってなっちゃう。以下の画面は Chrome 78 + SEP 14.0 RU1 MP2 (14.0.3929.1200) + Windows 10 バージョン 1803 で採取。

　SEP 14.2 以降 + Windows 10 バージョン 1703 以降 / Server 2019 で対応されている。それ以前の OS (Windows 10 バージョン 1607 / Enterprise 2016 LTSC、Server 2016) については未対応。

　回避方法

Chrome.exe、MSEdge.exe をアプリケーション制御例外に追加する。……ってこれ、SEPM から実行する話だな。
Chrome.exe に --disable-features=RendererCodeIntegrity オプションをつけて起動する。あるいは HKLM\Software\Policies\Google\Chrome の RendererCodeIntegrityEnabled に 0 を設定する。

--disable-features=RendererCodeIntegrity オプションをつけると回避できることは手元でも確認した。

■ 2019.12.20

》マイクロソフト、ランサムウェア対応で「身代金支払いを勧めることは一切ない」 (ZDNet, 12/20)
》 Emotet 関連
- 独都市などで「Emotet」感染との報道、ITネットワークのシャットダウン措置も (ZDNet, 12/20)
- 商習慣を悪用するマルウェア感染メール--年末年始も要注意 (ZDNet, 12/20)
》「すごく丁寧」「好感が持てる」──スマホゲーム「偽りのアリス」の障害、運営元が図解　ネットで話題に (ITmedia, 12/20)
》 AIブームが収束し、怪しいAIベンチャーが消えた年――2019年を“AI本音対談”で振り返る (ITmedia, 12/20)
》税務署でシステムトラブル発生　納税証明書の発行、帳票印刷などに遅れ (ITmedia, 12/20)
》 Wi-Fi ルータを安全に使う上での注意 (JPCERT/CC, 12/18)
》モンゴル & インドネシア訪問記 (土居啓介 / JPCERT/CC Eyes, 12/19)
》欧CERNが進める脱Microsoftプロジェクト「MALT」，代替ソリューションが一部公開 (Linux Daily Topics, 12/19)

■ 追記

2019 年 12 月のセキュリティ更新プログラム (月例) (2019.12.11)

　Microsoft Releases Information on CVE-2019-1491 (US-CERT, 2019.12.18)。SharePoint Server。

神奈川県庁行政文書大量流出事件 (2019.12.06)

　関連:

クラウドにおける安全なデータの廃棄 (Amazon Web Services ブログ, 2019.12.19)

AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。

統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。

■ いろいろ (2019.12.20)
(various)

WordPress

WordPress 5.3.1 セキュリティとメンテナンスのリリース (WordPress, 2019.12.14)。最新は 5.3.2 です。

Intel Rapid Storage Technology

Intel RSTに権限昇格の脆弱性～最新バージョンへの更新を推奨 (窓の杜, 2019.12.19)

VeraCrypt

オープンソースの暗号化ドライブ作成ツール「VeraCrypt」v1.24に脆弱性　 Windows版で権限管理の不備、“Update2”への更新を (窓の杜, 2019.12.20)

Apache Tomcat

JVNVU#98104709 - Apache Tomcat の複数の脆弱性に対するアップデート (JVN, 2019.12.19)。Tomcat 9.0.30 / 8.5.50 / 7.0.99 で対応。

サイボウズ Office

JVN#79854355 - サイボウズ Office における複数の脆弱性 (JVN, 2019.12.17)。修正版あり。

Apple SecureROM

JVNVU#95417700 - 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性 (JVN, 2019.12.20)

プロセッサチップ A5 から A11 を搭載する次の製品

iPhones 4s から iPhone X まで
iPad 第 2 世代から第 7 世代まで
iPad Mini 第 2 世代および第 3 世代
iPad Air および iPad Air 2
iPad Pro 10.5 インチおよび 12.9 インチ第 2 世代
Apple Watch Series 1 から Series 3 まで
Apple TV 第 3 世代および 4k
iPod Touch 第 5 世代から第 7 世代

本脆弱性は読み取り専用の SecureROM に存在するため、ファームウェアアップデートなどによる対策ができません。
脆弱性を含まない製品へ移行してください。

■ CMS「Drupal」に複数の脆弱性 - アップデートが公開
(Security NEXT, 2019.12.20)

　Drupal 8.8.1 / 8.7.11 / 7.69 公開。4 件のセキュリティ欠陥を修正。

Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009 (Drupal, 2019.12.18)
Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-010 (Drupal, 2019.12.18)
Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011 (Drupal, 2019.12.18)
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012 (Drupal, 2019.12.18)

■ 2019.12.19

》「Wireshark 3.2.0」が公開～定番のネットワーク解析ソフトのメジャーバージョンアップ (窓の杜, 12/19)
》 Googleがまた組織化した従業員を解雇　元従業員は同社を提訴 (ITmedia, 12/18)
》 “自動押印ロボ”を見てきた　とてもゆっくりだった（動画あり） (ITmedia, 12/18)
》 Emotet 関連

　やられ公表事例
- 独立行政法人地域医療機能推進機構群馬中央病院におけるウイルス感染と感染に伴う不審メール発生に関するお詫びとお知らせ (地域医療機能推進機構, 12/9) (魚拓)
  
  12月２日、当院の事務処理用パソコン1台が不審メールを受信し、翌3日にマルウエア「Emotet」の感染を確認しました。
- NTT西日本グループ会社社員を装った不審なメール（なりすましメール）に関するお詫びと注意喚起について (NTT 西日本, 12/12)
  
  NTT 西日本グループ会社の社員のパソコンがマルウェア（Emotet）に感染し、NTT 西日本グループ会社の社員を装った第三者からの不審なメールが複数の方へ発信されている事実を確認いたしました。
- 【重要】「Emotet」（エモテット）ウイルスへの感染について (H2, 12/13)
  
  12月6日に弊社宛のメールに添付されていたファイルを開封した際、弊社端末がウイルスに感染致しました。
- ウイルス感染と感染に伴う不審メール発生に関するお詫びとお知らせ (加藤製作所, 12/18)
  
  2019年12月9日、弊社社内のパソコンが、ウイルスに感染していることが判明いたしました。
　その他
- Wordファイルは危ないと心せよ、あの「便利な機能」がEmotetウイルスを呼ぶ (日経 xTECH, 12/11)
- GSX、Emotetに対応した法人向けの訓練メニューをリリース (PR TIMES, 12/12)
- マルウェア「Emotet」に関する注意喚起 (北海道医師会, 12/18)
- 2019/12/9(月) 添付ファイル付不審メール（Emotet -> Trickbot）の調査 (セキュリティに関するbom, 12/18)
- Emotetが2冠――「最も危険なマルウェア2019」を発表、ウェブルート (@IT, 12/19)
- ランサムウェアの被害を拡大させるマルウェアの“運び屋”「Emotet」の脅威　 NTTデータのセキュリティ担当者が解説 (クラウド Watch, 12/19)。新井悠氏。
》年末年始における情報セキュリティに関する注意喚起 (IPA, 12/19)。Emotet について特記されています。
》日本経済「大幅落ち込み」の足音、政府の経済対策では解決できない (野口悠紀雄 / ダイヤモンド online, 12/19)
》フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（全銀協等と連携した注意喚起） (警察庁, 12/19 更新)。2019 年 11 月、件数・被害ともに過去最高を更新。

年・月発生件数被害額その他

2019.10 397 約5億1,900万円

2019.11 573 約7億7,600万円 2012年以降最多

　対策

また、10月24日時点の掲載内容(下記)に注意するほか、インターネットバンキングにログインする際には、金融機関(銀行)の公式アプリ又はブックマークに登録した公式Webサイトからアクセスするようにしてください。

　もう公式アプリ一択でいいと思うのだが、公式アプリが実はアレ、という例もあったりするんだろうか。

　関連: 狙われるネットバンキング預金不正送金被害先月は過去最悪に (NHK, 12/19)
》 Google非対応のHuawei Mate 30 Pro、独自アプリストアの出来は（後） (ComputerWorld, 12/19)

　今のところ、Mate 30 Proのアプリの問題に関しては、最も簡単な対処の手段が思わぬところから得られる。米Amazon.comだ。
　Amazonは、FireタブレットやAndroid端末向けに、独自のアプリストア「Amazonアプリストア」を運営している。このストアには、TwitterやFacebookのほか、「Hearthstone」といった人気ゲームなど、現時点でHuawei AppGalleryには出ていないアプリが数多くある。Amazonアプリストア自体のインストールは、Amazonのこちらのページから、ごく簡単に行える。

年・月	発生件数	被害額	その他
2019.10	397	約5億1,900万円
2019.11	573	約7億7,600万円	2012年以降最多

■ いろいろ (2019.12.19)
(various)

SpamAssassin

Apache SpamAssassin v3.4.3 released with fix for CVE-2018-11805 (oss-sec ML, 2019.12.12)
Apache SpamAssassin v3.4.3 released with fix for CVE-2019-12420 (oss-sec ML, 2019.12.12)

Git

Multiple vulnerabilities fixed in Git (oss-sec ML, 2019.12.13)。2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4, 2.14.6 で修正されているそうで。

Dovecot

CVE-2019-19722: Critical vulnerability in Dovecot (oss-sec ML, 2019.12.13)。2.3.9.1 で修正されているそうで。

Django

Django security releases issued: 3.0.1, 2.2.9, and 1.11.27 (Django Project, 2019.12.18)

■ 2019.12.18

》 Chromium版「Microsoft Edge」は自動更新で配信（ブロック方法あり） (ITmedia, 12/18)
》災害発生時の「現金最強説」は本当か　キャッシュレス決済の現実 (ITmedia, 12/18)
》中国のデジタル人民元は現在内部テスト中 (仮想通貨 Watch, 12/13)
》スウェーデン中銀、2020年に法定デジタル通貨イークローナのテスト開始 (仮想通貨 Watch, 12/16)
》 Internet Week 2019: DoT/DoHでDNSのプライバシーは守られるのか？　ほか～今年の「DNS DAY」の話題から (Internet Watch, 12/18)

■ Chrome Stable Channel Update for Desktop
(Google, 2019.12.17)

　Chrome 79.0.3945.88 公開。1 件のセキュリティ修正を含む。

■ 追記

Chrome Stable Channel Update for Desktop (2019.12.10)

　修正版が出たようです。

WebViewアプリからデータが消える問題を解決～Android向け「Google Chrome 79」が再公開 (窓の杜, 2019.12.18)
Chrome for Android Update (Google, 2019.12.17)。Chrome 79 (79.0.3945.93) for Android 公開。

WebView bug fix: Resolves an issue in WebView where some users’ app data was not visible within those apps. The app data was not lost and will be made visible in apps with this update. See crbug.com/1033655

神奈川県庁行政文書大量流出事件 (2019.12.06)

　関連:

ＨＤＤ転売　関係２社、３カ月間の指名停止　県、更に延長方針　／神奈川 (毎日, 2019.12.14)
ＨＤＤ転売、神奈川県が法的措置検討　富士通リースに (朝日, 2019.12.16)

県が提出を求めていたのは、県庁のサーバーで使われていたＨＤＤ３９６個のうち、ネットオークションで転売されたのが確実な１８個を除く３７８個のデータ消去の報告書。これが提出されていないことから、黒岩知事は「非常に心外。我々は当然のごとく待っていたが、それがない」と会見で怒りをあらわにした。
ＨＤＤ転売　県が再発防止チーム、月内にも発足　情報管理徹底へ　／神奈川 (毎日, 2019.12.17)
ＨＤＤ転売、富士通リース社長が神奈川県知事に謝罪 (朝日, 2019.12.18)、ＨＤ流出、富士通リースが謝罪　社長が神奈川知事と面会 (東京, 2019.12.18)
他の自治体
- 愛知: ブロードリンク社と３年間で７件取引　県が全庁調査「情報流出なし」 (中日, 2019.12.11)
- 長野: ＨＤ流出元企業が県の機器５７台回収 (信濃毎日, 2019.12.14)
- 栃木: 栃木県のデータ消去委託26件　富士通系からブロードリンク (日経, 2019.12.11)
- 千葉: 千葉県廃棄の情報機器　ブロードリンクに9件依頼 (日経, 2019.12.16)
銀行もNHKも…個人情報流出事件ブロードリンクの大取引先 (SmartFLASH, 2019.12.17)

　きわめつきは、榊社長の “公私混同” だった。
「芦屋にある社長の別宅の掃除を、休日に無償でやらされました。社長の私的なお客を迎えるため、白い螺旋階段を何度も拭かされたんです。しかも掃除には、交通費すら支給されませんでした。社長がその調子なら、社員も “公私混同” で、会社のものを勝手に転売しますよね」（A氏）
ブロードリンクの主要取引先企業・団体（ＰＣ・サーバー等、情報機器買取実績の一部） (pc-3r.com) (Google キャッシュ) (魚拓)

防衛省　最高裁判所　官公庁・地方自治体　日本郵政グループ各社　 (株)三菱UFJ銀行　 (株)三井住友銀行　 (株)東京証券取引所　大和証券(株)　岡三証券(株)　みずほ証券(株)　 JR東日本【東日本旅客鉄道(株)】　中国電力(株)　東北電力企業グループ　 (株)セブン＆アイ・ホールディングス　日産自動車グループ各社　三菱重工業グループ各社　 (株)ファーストリテイリング　東京センチュリー(株)　富士通リース(株)　マイクロソフト　日本アイ・ビー・エム(株)　三井住友ファイナンス＆リース(株)　三井住友トラスト・パナソニックファイナンス(株)　オリックス環境(株)　リコーリース(株)　 JA三井リース(株)　芙蓉総合リース(株)　朝日生命保険(相)　三井住友海上火災保険(株)　損害保険ジャパン日本興亜(株)　 SMBCコンシューマファイナンス(株)　 (株)デンソー　朝日生命保険(相)　富士フイルムホールディングス(株)　清水建設(株)　 (株)長谷工コーポレーション　他（順不同、敬称略）
総務省、HDD廃棄時に自治体職員の立ち会い求める　現場は「時間も人手も掛かる」と困惑 (産経 / ITmedia, 2019.12.18)。総務省の通知に対する反応。

■ 2019.12.17

》「Googleマップはもはや教育現場には不向きなプラットフォームになった」と大学教授が非難 (gigazine, 12/16)
》ボーイング、737MAX の生産停止を決定。運行再開の目処がつかないためのようです。
- 737MAX、1月から一時生産停止　400機保管中 (Aviation Wire, 12/17)
- ボーイング社７３７ＭＡＸの生産来月から停止と発表 (NHK, 12/17)
- ボーイング、７３７ＭＡＸ生産停止後も手元資金の減少続く見通し (ニューズウィーク日本版, 12/17)
- 墜落相次いだボーイング737MAX、年内の運航許可降りず。2020年1月より機体生産を一時停止へ (engadget, 12/17)
》「.org」ドメインの売却にICANNが待ったをかける (gigazine, 12/17)。「売却取引を30日間保留」。
》 AppleやFacebookが法執行機関向けバックドアを作らないなら暗号化を法律で規制する――米上院議員 (ITmedia, 12/11)。喉元過ぎるとすぐ出てきますねえ、こういうの。 Persistent Threat だなあ。
》 Apple、「iPhone 11」で設定を無効にしても位置情報を共有しているように見える問題を修正するとコメント (ITmedia, 12/6)

Appleは5日にKrebsOnSecurityに対し、この動作はiPhone 11シリーズに搭載された新しい「Ultra Wideband（UWB）」に関連していると説明し、iOSの将来のバージョンで、システムサービスでUWBのアクティビティを完全に無効にできるオプションを追加するとコメントした。
》 IPv6 Summit in TOKYO 2019: 劣化するIPv4、そこへの投資は意味があるのか――問いかけられる企業戦略 (Internet Watch, 12/17)

■ 追記

Chrome Stable Channel Update for Desktop (2019.12.10)

　Google、不具合発生により Chrome 79 for Android の配信を中止。

Google、Android向け「Google Chrome 79」を展開中止～データ損失につながる不具合 (窓の杜, 2019.12.17)。うわあ。

開発チームによると、「Google Chrome 79」ではコンテキストストレージのルートパスが“Default/（サブディレクトリ）”へ変更された際、一緒にローカルストレージとデータベース（Web SQL）が移行されない不具合がある。これは「Google Chrome」だけでなく“WebView”を利用しているアプリにも関わるため、影響範囲は大きい。

うひい。

もっとも、Android版「Google Chrome 79」はまだリリースされたばかりで、まだ50％のユーザーにしかロールアウトされていないとのこと。

はぁ? 「まだ」ってなんだよ。全ユーザーの 50% だぞ。億単位だろ。
Android版「Chrome 79」の配信が50％で中断　一部アプリへの影響判明で (ITmedia, 2019.12.17)

この問題は、「Twitter Lite」など、アプリ内でWebページを表示する仕組みである「WebView」を利用しているアプリに影響している。
Chrome 79でアプリのデータが消えてしまうバグが発覚 (gigazine, 2019.12.17)
Android版Chrome 79、WebView使用アプリでデータ消失が発生してロールアウトを一時中止 (スラド, 2019.12.17)
「Chrome 79」に不具合、他アプリのデータに影響--配布を一時停止 (ZDNet, 2019.12.17)

同社はこれを受けてAndroid向けのChrome 79の配布を停止し、修正版のテストを先週末に開始した。
　しかし、修正そのものは完璧ではない。Googleは、古いデータへのアクセスを復旧するか、ユーザーが作成したかもしれない新しいデータを維持するかの選択に迫られた。パッチは、古いデータへのアクセスを復旧するもので、一部のユーザーは再度データを失う可能性があることを意味する。

　関連:

【星翼ナビ】一部Android端末において、アプリが正しく動作しない現象について (星と翼のパラドクス, 2019.12.13)
ツイート

【緊急のお知らせ】

別途アプリからお知らせしますが
一部のandroid端末にてchromeブラウザを最新に更新した場合にアプリが正常に動作しなくなる現象を確認しております。

chromeブラウザの更新を行わないようにお願いいたします。
— ポークン＠岡山倉敷お店紹介 (@pokun_stamp) December 13, 2019

2019 年 12 月のセキュリティ更新プログラム (月例) (2019.12.11)

　今回修正された 0-day の件:

KasperskyがWindowsのゼロデイ脆弱性を警告～2019年12月の月例パッチで対策済み (窓の杜, 2019.12.16)

　不具合情報: Windows Server 2012 に適用すると、無限に再起動することがあるそうです。

Windows Server 2012 が更新プログラム適用後に再起動ループして OS が起動できなくなる問題について (Microsoft)

原因:
7 月から 11 月にリリースされたサービススタック更新プログラムのパッケージに問題があり、古いサービススタック更新プログラムの削除処理と更新プログラムの適用処理が競合し、再起動を繰り返す現象が発生します。

今回の更新プログラムではなく、11 月以前の更新プログラムの方に問題があったと。

<対処方法>
他の更新プログラムを適用する前に、12 月のサービススタック更新プログラム (KB4532920) を単体で適用 (再起動含む) ください。

タイトル: Servicing stack update for Windows Server 2012: December 10, 2019
アドレス: https://support.microsoft.com/en-us/help/4532920/servicing-stack-update-for-windows-server-2012

<現象発生時の対処方法>
現象発生時の対処として、以下 2 通りによる復旧の報告を確認しております。

- セーフモードで起動を試行すると、セーフモードの起動に失敗しその後通常起動する。
- セーフモードで起動し、その後再度通常起動する。

■ 2019.12.16

》漫画村方面

　星野容疑者、初公判期日指定 (〜11/18)
- 「漫画村」元運営者、初公判12月16日に (日経, 11/18)
　星野容疑者再逮捕 (組織犯罪処罰法違反（犯罪収益等隠匿）容疑 12/9)
- 漫画村収益５千万円を海外に隠したか　星野容疑者再逮捕 (朝日, 12/9)
- 複数の海外口座に収益隠匿か　漫画村の元運営者 (日経, 12/9)
　星野容疑者初公判 (福岡地裁 12/16)
- 被害3000億円以上　「漫画村」真相明らかになるか　16日初公判 (毎日, 12/14)
- 「漫画村」運営、役割が焦点　一貫して黙秘　首謀者あす初公判 (毎日, 12/15)
- 「知らなかったが責任はある」漫画村首謀者、起訴内容認める　福岡地裁 (毎日, 12/16)
》 Jip-Base 不具合方面つづき
- 13日目に入った50自治体システム障害、日本電子計算が午後3時から記者会見 (日経 xTECH, 12/16)
- 「Jip-Base」の障害における復旧状況のご報告 (日本電子計算, 12/16)
  - 全1318の仮想OSのうち、70％がIaaSサービスとして復旧完了。
  - バックアップデータが特定出来ないものがあり、調査の結果、一部についてはバックアップが取得出来ていなかったことが判明（12月15日）。その状況を踏まえ、現時点バックアップデータの見つからない15％に関し、IaaSサービスとして自社のみでの復旧が不可能と判断
  - 残り15％は、バックアップデータからの復旧待ちおよび確認中
- 33自治体でデータ復旧困難 (共同, 12/16)
- 53自治体でシステム障害、7割復旧も全面復旧の見通し立たず――日本電子計算が謝罪 (Internet Watch, 12/16)

■ 2019.12.12

》 IPv4 アドレスで一攫千金 in アフリカ
- The big South African IP address heist – How millions are made on the “grey” market (MyBroadband, 9/1)
- How Internet resources worth R800 million were stolen and sold on the black market (MyBroadband, 12/4)
- The Great $50M African IP Address Heist (Krebs on Security, 12/11)
》「2020ロシア除外へ　ドーピング問題の核心は」（時論公論） (NHK 解説委員室, 12/10)
》 Windows Sysinternals 更新情報 (2019 年 12 月 12 日) － Sysmon v10.42、Zoomit v4.52、Whois v1.21 (山市良のえぬなんとかわーるど, 12/12)
》【アプデ/10】 Microsoft、2019年12月度のWindowsUpdateでKB4532441を誤配信。Windows10 v1903 / v1909にて (ニッチなPCゲーマーの環境構築Z, 12/12)
》スティングレイでの携帯通信傍受で人権団体ACLUが米当局を提訴 (techcrunch, 12/12)
》 iPhoneの暗号化キーを含むツイートが「著作権法違反」として削除されたことが判明 (gigazine, 12/12)
》落としたスマホが誘拐目的で悪用された事案についてまとめてみた (piyolog, 12/12)
》 Jip-Base 不具合方面つづき
- 自治体専用IaaSサービス「Jip-Base」障害についてのお詫び（2019年12月9日時点） (日本電子計算, 12/9)。これが最新みたい。
  
  ストレージのファームウェア不具合が引き起こしたハードウェアの故障は修復したものの、その後の動作確認において各種データへのアクセス処理が正しく動作しない事象が判明し、現時点でもその解消に至っておりません。そのため、当初計画の大幅な見直しが必要であると判断しています。
  
  事態は深刻だ。
- 復旧中の50自治体システム障害、ストレージメーカーがコメント (日経 xTECH, 12/11)。EMC ジャパン。
- 類例報告過去4件の不具合で発生した自治体専用IaaSのシステム障害についてまとめてみた (piyolog, 12/11)
》「密着に見せかけた告発の回」ガイアの夜明け、大戸屋密着に「完全なるブラック、パワハラ」「久々に恐ろしい番組を見た」の声 (ねとらぼ, 12/11)
》「実行犯」はもう１人いた　死の淵を見たコールガール (朝日, 12/12)。金正男暗殺事件、実行者の 1 人シティ・アイシャ氏の軌跡。どう見ても殺意は全くないよなあ。
》福島第一原発廃棄塔解体方面
- 人力切断までの８日間　福島第一原発　排気筒解体４ブロック目 (東京, 12/11)
- 原発排気筒計画見直しへ (NHK, 12/5)
  
  来年の３月までに、２３のブロックに分けて切り出し元の半分程度の高さにする計画だった排気筒の解体は、トラブルが続き、計画時期まで４か月を切る中、１９ブロックが残っていて、大幅に遅れています。
》大澤昇平特任准教授の差別発言　情報学環が異例の声明 (東大新聞オンライン, 12/3)

【追記】2019年12月10日16時20分　この問題に対し、東大での中国語教育に携わる東京大学教養学部中国語部会が9日に声明を発表しました。声明では、1500人以上の中国語学習者や東大に2500人もの中国人学生、その他の中国人教職員がいることに触れ、本発言がこうした中国人学生や教職員の尊厳をないがしろにしているとして抗議すると同時に、中国語教育を通じて学生の中国の社会や文化、歴史に対する理解を深め、学生が中国人とより良い関係を築けるように取り組んでいくと述べられています。

　こちら: https://twitter.com/lqa_m/status/1204601325066932225
》マイクロソフトと OEM パートナーがファームウェア保護機能を Secured-core PC に組み込む (Japan Windows Blog, 12/9)
》中国が「Huaweiと5G契約しないと貿易協定を締結しない」と外国の首脳を脅迫していたと判明 (gigazine, 12/11)
》中国のデジタル人民元、年内に深センでテスト開始か (仮想通貨 Watch, 12/10)
》史上初のステルス実戦機F-117　レーガン大統領記念館に展示 (おたくま経済新聞, 12/11)
》アナ雪2 ステママンガ方面つづき
- WOMマーケティング協議会、「アナ雪2」などのステマ騒動受け「なんらかの声明を発表するべく検討を開始いたしました」 (ねとらぼ, 12/9)。まだ何も出てない。
- 「『アナと雪の女王２』感想漫画企画」にご参加いただいたクリエイターのみなさま、そしてファンのみなさまへ (ディズニー, 12/11) (太字は小島による)
  
  ディズニーでは、マーケティング活動における社内指針を設けています。本件を含む類似の案件は、当該指針に関する周知および遵守の不徹底が招いた結果であり、ご参加いただいたクリエイターのみなさまに責任はございません。
- ディズニー、「アナ雪2」以外でも“ステマ”あったと認める　「アベンジャーズ」「キャプテン・マーベル」「アラジン」でも類似行為か (ねとらぼ, 12/11)。いつものやりくちだったと。
- 「アナ雪2」ステマ騒動、ディズニー声明後に漫画家らが初めての謝罪　「『PR表記必要ない』との説明受けた」 (ねとらぼ, 12/11)
  
  既報の通り、今回関与していた複数の漫画家がエージェント会社「wwwaap（ワープ）」に所属していたことから、ねとらぼ編集部では同社に対し再三問い合わせを送っていますが、現在まで「担当者不在」の状態が続いており、回答は得られていません。
- アナ雪2ステマに関わったクリエイター「仕事を依頼してきた代理店はPR表記をつけないよう依頼してきました」 (togetter, 12/11)
- 【炎上】wwwaapが炎上アナ雪ステマの件に関して「担当者不在」でダンマリ (まとめダネ!, 12/11)
- ステマ検証アナと雪の女王アベンジャーズエンドゲームキャプテンマーベル(後半メンタンタンドン) (togetter, 12/4〜)
- ツイート
  
  アナ雪ツイート騒動、続報です。複数の電通社員は自社の関与を認めました。参加した漫画家は「PR表記をつけないよう依頼」とステルスだったことを告白。WSJは電通、ディズニージャパン及びディズニー本社に「誰の発案だったのか」問い合わせていますが、一切反応がありません。https://t.co/9pKudvvNfR
  — Takashi Mochizuki (@mochi_wsj) December 12, 2019
》オンラインゲームで長文を数万回投稿した高校生を書類送検　「勝てなかったので、腹いせでやった」 (産経 / ITmedia, 12/12)。「人狼ジャッジメント」。
》 YouTube、ハラスメントに関するポリシーを強化し、個人攻撃すれば有名人でも動画削除の対象に (ITmedia, 12/12)
》最注目のブラウザ「Brave」月間の利用者数が1000万人突破 (仮想通貨 Watch, 12/12)。「特徴的な機能として、広告の除去とEthereum上で発行するBATトークンを用いたリワードプログラムを持つ」。
》削除された「アバスト」のFirefox/Opera拡張機能、運営元はアドオンサイト側のポリシーの更新が原因とコメント (Internet Watch, 12/10)
》 IIJ Technical DAY 2019: 世界100万kmの海底ケーブル、地理と速度と冗長性を考える「その経路、本当に冗長ですか？」 (Internet Watch, 12/10)

ネットワーク上の経路を調査する「traceroute」だけではレイヤー3より下の物理経路がわからない。そのため、tracerouteで「異なる経路」として表示されても、実は同じ海底ケーブルだったりすることがあり、冗長経路のつもりが冗長化されていなかったりする。「たとえばtracerouteの各出力の右に、どの海底ケーブルを使っているかも表示してくれるとうれしい」（Bischof氏）。

■ 追記

神奈川県庁行政文書大量流出事件 (2019.12.06)

　関連:

「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた (piyolog, 2019.12.07)
HDD転売はなぜ起きたか。原因のセキュリティ体制と再発防止策を説明──ブロードリンクが会見 (engadget, 2019.12.09)
ＰＣも同じ業者が処分　県の文書保存ＨＤ転売問題 (東京, 2019.12.10)
防ぎようはあるのか　HDD横領転売事件から見える「サプライチェーン・リスク」 (ITmedia, 2019.12.10)
ＨＤＤ流出、容疑者から購入なら情報を　ブロードリンク (朝日, 2019.12.10)
ＨＤＤ処分、業者任せの現実　自治体苦悩「信じるしか」 (朝日, 2019.12.11)

　総務省は流出が報じられた６日夜、全国の自治体に通知を送り、重要情報が含まれる記憶媒体を処分する際には物理的に壊すか強い磁気をあてて使えなくするよう求めた。
(中略)
　情報セキュリティーの専門家である上原哲太郎・立命館大教授は「安全なデータ消去法は複数ある。それらを採用している自治体を逆に縛る結果になっている」と話す。
　上原教授によると、神奈川県のようにサーバーをリースで借りた場合、ＨＤＤを自治体が壊す契約が通る可能性は低い。小規模な自治体ならデータを消去したほうが効率的な場合もある。「求められるのは実態に合った運用と契約だ。自治体の規模を無視した総務省の通知は無理がある」
富士通リース、ＨＤＤ処理を丸投げ　データ消去確認せず (朝日, 2019.12.11)

問題の発覚後、神奈川県やブロードリンクはトップが記者会見をしたが、富士通リースは詳細な説明をしていない。富士通リースは１１日夕、朝日新聞の取材に文書で回答し、ＨＤＤのデータ消去や廃棄については、売却先のブロードリンクが責任を持って処理することになっているとした。
神奈川県のHDD流出事件はヤフオクとメルカリで容疑者に目星、生々しい経緯が判明 (日経 xTECH, 2019.12.11)

■ Apple 方面 (tvOS, iOS, iPadOS, watchOS, macOS, Safari, iCloud / iTunes for Windows, Xcode)
(Apple, 2019.12.10)

　出てます。

About the security content of tvOS 13.3 (Apple, 2019.12.10)
iOS, iPadOS
- About the security content of iOS 12.4.4 (Apple, 2019.12.10)
- About the security content of iOS 13.3 and iPadOS 13.3 (Apple, 2019.12.10)
watchOS
- About the security content of watchOS 5.3.4 (Apple, 2019.12.10)
- About the security content of watchOS 6.1.1 (Apple, 2019.12.10)
About the security content of macOS Catalina 10.15.2, Security Update 2019-002 Mojave, Security Update 2019-007 High Sierra (Apple, 2019.12.10)
About the security content of Safari 13.0.4 (Apple, 2019.12.10)
About the security content of iCloud for Windows 7.16 (includes AAS 8.2) (Apple, 2019.12.10)
About the security content of iTunes 12.10.3 for Windows (Apple, 2019.12.10)
About the security content of Xcode 11.3 (Apple, 2019.12.10)

■ いろいろ (2019.12.12)
(various)

Intel SGX

供給電圧を変化させてプロセッサを攻撃する新ハッキング手法「プランダーボルト」が発見される (techcrunch, 2019.12.11)
Plundervolt - How a little bit of undervolting can cause a lot of problems (plundervolt.com)

Symantec Messaging Gateway

Symantec Messaging Gateway Multiple Issues (Symantec, 2019.12.05)。10.7.3 で対応。

Symantec Industrial Control System Protection

SYMSA1500 - Symantec ICSP Unauthorized Access (Symantec, 2019.12.04)。こんな製品あるんですね。ICSP 6.1.1.123 で対応。

Windows Hello for Business

ADV190026 | 脆弱な TPM 上で生成され、Windows Hello for Business に使用される孤立キーをクリーンアップするためのマイクロソフトガイダンス (Microsoft, 2019.12.03)

Knot Resolver

Knot Resolverの脆弱性情報が公開されました（CVE-2019-19331） (JPRS, 2019.12.06)。特定の状況で CPU 100% になっちゃう。Knot Resolver 4.3.0 で対応。

Linux Kernel

Linux Kernelの複数の脆弱性情報(CVE-2019-19447, CVE-2019-19448, CVE-2019-19449) (SIOS, 2019.12.10)

FreeRADIUS

FreeRADIUSの脆弱性情報(Moderate: CVE-2019-13456) (SIOS, 2019.12.08)

Samba

Sambaの脆弱性情報(Medium: CVE-2019-14861, CVE-2019-14870)と修正バージョン(4.11.3, 4.10.11, 4.9.17) (SIOS, 2019.12.10)

Intel

Intel 製品に関する複数の脆弱性について (JPCERT/CC, 2019.12.11)
Intel Releases Security Updates (US-CERT, 2019.12.10)

VMware ESXi, Horizon DaaS

VMSA-2019-0022 - VMware ESXi and Horizon DaaS updates address OpenSLP remote code execution vulnerability (CVE-2019-5544) (VMware, 2019.12.05)。patch と workaround あり。
CVE-2019-5544 openslp 1.2.1, 2.0.0 heap overflow vulnerability (oss-sec ML, 2019.12.06)

Git

「Git」に複数の脆弱性、Windowsユーザーはとくに注意　修正版のv2.24.1などへ更新を (窓の杜, 2019.12.11)

KeepKey

仮想通貨ウォレットKeepKeyに欠陥。15分でPINコードが突破され無防備に (仮想通貨 Watch, 2019.12.11)。ハードウェアウォレット KeepKey。修正されていない模様。

OpenSSL

OpenSSL Security Advisory [6 December 2019] rsaz_512_sqr overflow bug on x86_64 (CVE-2019-1551) (OpenSSL, 2019.12.06)。Severity: Low のため、次版公開時にあわせて修正される。Git 上では修正済み (OpenSSL 1.1.1: commit 419102400、 OpenSSL 1.0.2: commit f1c5eea8a)。

iida さん情報ありがとうございます。

2019.12.24 追記:

OpenSSL version 1.0.2u published (OpenSSL, 2019.12.20)。iida さん情報ありがとうございます。

2020.03.18 追記:

OpenSSL version 1.1.1e published (OpenSSL, 2020.03.17)。 CVE-2019-1551 が修正されています。iida さん情報ありがとうございます。

■ 2019.12.11

》 NZホワイト島の2019年12月9日噴火で14人死亡 (togetter, 12/10)

　関連:
- ツイート
  
  火山は危ない。とくに火口縁とその中は危ない。行くのが許されるのは、死んでも仕方がないと覚悟を決めた人だけだ。未成年は、リスクをよく承知した親権者の了解がなければ、行かせてはいけない。この制限は噴火警戒レベルによらない。レベル1火山にもあてはまる。
  — 早川由紀夫 (@HayakawaYukio) December 10, 2019
  
  富士山のような300年も噴火してない火山がまた噴火する前には、なんらかの予兆があってそれをとらえることができるだろうと漠然と期待していたが、昨年1月の本白根山噴火を見て、その期待はかなえられないことを知った。本白根山は4800年の沈黙を破っていきなり噴火した。死者1人。
  — 早川由紀夫 (@HayakawaYukio) December 10, 2019
  
  御嶽山頂に登ったこの小学生たちには、いったいどんなメリットがあったのだろうか。 https://t.co/Xo7WOnIa7v
  — 早川由紀夫 (@HayakawaYukio) December 10, 2019
》インターネットガバナンスフォーラム参加記 (小宮山功一朗 / JPCERT/CC Eyes, 12/10)

2019年現在、ネットは1つとは言えません。国の単位でのインターネットの規制は強化され、多くの国が軍隊にサイバー攻撃の能力を蓄えています。このテーマを掲げた、IGFの主催者ですら、IGFに合わせて、わざわざ"Many Worlds. Many Nets. Many Visions. (多くの世界、多くのネット、多くのビジョン)"という題名のレポートを出し、インターネットの多面性を強調しています。また、すべての参加者に"BUSTED ! The Truth About The 50 Most Common Internet Myths (インターネットにまつわる50の神話の崩壊)"という冊子が配られました。この中では「サイバー空間は現実空間から独立している」「全てのユーザが同じインターネット経験をする」「インターネットは常にマルチステークホルダーによって管理される」など多くの常識は、既に崩壊していると断言しています。

むしろインターネットは分断されていっています。自問すべきは、ネットは1つか否かという問いではなく、我々が標榜する「One World. One Net. One Vision」という考え方が、本当に維持する努力に値するものなのかという点です。IGFの主催者、あるいはこのテーマを選んだ方は、この点について国際的な議論を喚起したかったのではないでしょうか。
》制御システムセキュリティカンファレンス 2020 (JPCERT/CC, 12/10)。2020.02.14、東京都台東区、無料。
》クラウドソリューションプロバイダー経由での Windows 7 ESU の購入 (Japan Windows Blog, 12/6)

現時点で Windows 7 Professional または Windows 7 Enterprise をご利用中の企業のお客様は、その企業規模にかかわらず、2019 年 12 月 2 日 (月) よりクラウドソリューションプロバイダー (CSP) プログラムを通じて Windows 7 の延長セキュリティ更新プログラム (ESU) を購入いただけます。

Windows 7 ESU はデバイス単位で販売され、12 か月単位のみでの購入が可能です。つまり、一部の期間のみ (6 か月間など) で購入することはできません。2020 年 1 月 14 日の Windows 7 のサポート終了後、12 か月単位で 3 回連続して購入することが可能で、価格は 1 年ごとに上昇します。
》 TikTokを解析した結果から「TikTokが複数の法令違反を犯している」と報じられる (gigazine, 12/10)
》 AirDropが周囲のiPhoneをフリーズさせるiOSのバグを発見 (techcrunch, 12/11)

アップルは(中略)「機密情報をリークするなどのセキュリティ上の脆弱性とはいえない」としてCVE（Common Vulnerability and Exposure、脆弱性データベース）への登録はしないというが、iOS 13.3のセキュリティの解説でこのバグが存在したことを認めている。
》 JapanTaxiが忘れ物防止タグ捕捉機能を車載開始、タクシーが動くTileレーダーに (techcrunch, 12/11)
》 Appleの反トラッキング機能が広告の世界を揺さぶっている (gigazine, 12/10)
》 Amazonの監視カメラ付きドアベル「Ring」はどのようにして普及していったのか？ (gigazine, 12/8)、 Amazonの監視カメラ「Ring」はユーザーの意思に関わらずカメラの位置情報を特定できると指摘 (gigazine, 12/10)

Gizmodoが、Neighborsのユーザーによって共有された約500日分のデータである約6万5800ものムービーを収集・分析したところ、Ringの撮影したムービーでは人物の顔が特定できるというだけでなく、ムービーが撮影された場所の正確な緯度および経度まで記録されていることが判明しました。
》 Raspberry Pi 4の「特定の解像度でWi-Fiが不安定になる」問題を実際に検証してみた (gigazine, 12/6)

今回の問題は「Raspberry Pi 4から出力する画面の解像度を2560x1440に設定すると、Raspberry Pi 4から2.4GHz帯に近い電波が出るため、2.4GHz帯のWi-Fiと干渉する」ことが原因とのこと。スペクトラムアナライザーのWi-Spyを使って、実際に電波が出ているのか確かめてみます。
》ゲートウェイ装置でDDoSや標的型攻撃から企業システムを保護――、IIJが新セキュリティサービスを提供 (Internet Watch, 12/11)。「IIJ DDoSプロテクションサービス/エッジ」。
》 IIJ Technical DAY 2019: 「患者のデータが人質に…」病院がランサムウェアに狙われている…「今年のセキュリティ課題」をIIJが総括 (Internet Watch, 12/9)

■ 2019 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.12.11)

　出ました。Windows、IE、 Office、 SQL Server、 Visual Studio、 Skype for Business。

　関連:

【アプデ/7/8.1】 WindowsUpdate 2019年12月度注意事項と各KBメモと直リンク [Update 1] (ニッチなPCゲーマーの環境構築Z, 2019.12.11)
【アプデ/7】 2020年1月15日以降『お使いの Windows 7 PC はサポート対象外になっています』と表示されるようになる (ニッチなPCゲーマーの環境構築Z, 2019.12.11)。今回の更新を適用すると、そうなるのだそうで。回避方法 (レジストリ設定) も紹介されています。

2019.12.17 追記:

　今回修正された 0-day の件:

KasperskyがWindowsのゼロデイ脆弱性を警告～2019年12月の月例パッチで対策済み (窓の杜, 2019.12.16)

　不具合情報: Windows Server 2012 に適用すると、無限に再起動することがあるそうです。

Windows Server 2012 が更新プログラム適用後に再起動ループして OS が起動できなくなる問題について (Microsoft)

原因:
7 月から 11 月にリリースされたサービススタック更新プログラムのパッケージに問題があり、古いサービススタック更新プログラムの削除処理と更新プログラムの適用処理が競合し、再起動を繰り返す現象が発生します。

今回の更新プログラムではなく、11 月以前の更新プログラムの方に問題があったと。

<対処方法>
他の更新プログラムを適用する前に、12 月のサービススタック更新プログラム (KB4532920) を単体で適用 (再起動含む) ください。

タイトル: Servicing stack update for Windows Server 2012: December 10, 2019
アドレス: https://support.microsoft.com/en-us/help/4532920/servicing-stack-update-for-windows-server-2012

<現象発生時の対処方法>
現象発生時の対処として、以下 2 通りによる復旧の報告を確認しております。

- セーフモードで起動を試行すると、セーフモードの起動に失敗しその後通常起動する。
- セーフモードで起動し、その後再度通常起動する。

2019.12.20 追記:

　Microsoft Releases Information on CVE-2019-1491 (US-CERT, 2019.12.18)。SharePoint Server。

■ Adobe 方面 (Acrobat / Reader, Photoshop, Brackets, ColdFusion)
(Adobe, 2019.12.10)

　出ました。

Security update available for Adobe Acrobat and Reader | APSB19-55 (Adobe, 2019.12.10)。 21 件のセキュリティ欠陥を修正。 Priority: 2

種別	更新版
Acrobat DC / Acrobat Reader DC (Continuous Track)	2019.021.20058
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017)	2017.011.30156
Acrobat DC / Acrobat Reader DC (Classic 2015)	2015.006.30508

Security updates available for Adobe Photoshop CC | APSB19-56 (Adobe, 2019.12.10)。 2 件のセキュリティ欠陥を修正。Priority: 3

Photoshop CC 20.0.8 / 21.0.2 で修正されている。
Security Updates Available for Brackets | APSB19-57 (Adobe, 2019.12.10)。 1 件のセキュリティ欠陥を修正。Priority: 3

Brackets 1.14.1 で修正されている。

The 1.14.1 release has a security update to fix remote exploitation by DNS rebinding vulnerability noticed with remote debugging enabled by default on application launch.
Security updates available for ColdFusion | APSB19-58 (Adobe, 2019.12.10)。 1 件のセキュリティ欠陥を修正。Priority: 2

ColdFusion (2018 release) Update 7 で修正されている。

■ Chrome Stable Channel Update for Desktop
(Google, 2019.12.10)

　Chrome 79.0.3945.79 が stable に。51 件のセキュリティ修正を含む。 Chrome for Android 79.0.3945.79 も出てます。

2019.12.17 追記:

　Google、不具合発生により Chrome 79 for Android の配信を中止。

Google、Android向け「Google Chrome 79」を展開中止～データ損失につながる不具合 (窓の杜, 2019.12.17)。うわあ。

開発チームによると、「Google Chrome 79」ではコンテキストストレージのルートパスが“Default/（サブディレクトリ）”へ変更された際、一緒にローカルストレージとデータベース（Web SQL）が移行されない不具合がある。これは「Google Chrome」だけでなく“WebView”を利用しているアプリにも関わるため、影響範囲は大きい。

うひい。

もっとも、Android版「Google Chrome 79」はまだリリースされたばかりで、まだ50％のユーザーにしかロールアウトされていないとのこと。

はぁ? 「まだ」ってなんだよ。全ユーザーの 50% だぞ。億単位だろ。
Android版「Chrome 79」の配信が50％で中断　一部アプリへの影響判明で (ITmedia, 2019.12.17)

この問題は、「Twitter Lite」など、アプリ内でWebページを表示する仕組みである「WebView」を利用しているアプリに影響している。
Chrome 79でアプリのデータが消えてしまうバグが発覚 (gigazine, 2019.12.17)
Android版Chrome 79、WebView使用アプリでデータ消失が発生してロールアウトを一時中止 (スラド, 2019.12.17)
「Chrome 79」に不具合、他アプリのデータに影響--配布を一時停止 (ZDNet, 2019.12.17)

同社はこれを受けてAndroid向けのChrome 79の配布を停止し、修正版のテストを先週末に開始した。
　しかし、修正そのものは完璧ではない。Googleは、古いデータへのアクセスを復旧するか、ユーザーが作成したかもしれない新しいデータを維持するかの選択に迫られた。パッチは、古いデータへのアクセスを復旧するもので、一部のユーザーは再度データを失う可能性があることを意味する。

　関連:

【星翼ナビ】一部Android端末において、アプリが正しく動作しない現象について (星と翼のパラドクス, 2019.12.13)
ツイート

【緊急のお知らせ】

別途アプリからお知らせしますが
一部のandroid端末にてchromeブラウザを最新に更新した場合にアプリが正常に動作しなくなる現象を確認しております。

chromeブラウザの更新を行わないようにお願いいたします。
— ポークン＠岡山倉敷お店紹介 (@pokun_stamp) December 13, 2019

2019.12.18 追記:

　修正版が出たようです。

WebViewアプリからデータが消える問題を解決～Android向け「Google Chrome 79」が再公開 (窓の杜, 2019.12.18)
Chrome for Android Update (Google, 2019.12.17)。Chrome 79 (79.0.3945.93) for Android 公開。

WebView bug fix: Resolves an issue in WebView where some users’ app data was not visible within those apps. The app data was not lost and will be made visible in apps with this update. See crbug.com/1033655

■ 2019.12.10

》 50自治体システム障害続報、不具合は米デルのストレージで発生 (日経 xTECH, 12/10)。Jip-Base の件、Dell EMC Unity 500 だそうで。

日本電子計算によると、このストレージ装置の特定のバージョンのファームウエアを使い、さらに高速に読み書きするための並列処理機能を使う条件がそろったときに不具合が発生したと見ている。不具合を解消するためにストレージメーカーからの修正ファームウエアを適用したが、12月10日午前11時時点で復旧には至っていない。

　地雷を踏んだと。ストレージの不具合は怖いなあ。思い出した件: 「さくらのクラウド」障害多発で無償化、課金できる品質に達していないため (gigazine, 2012.03.22)
》 LINE Payが銀行振込に対応、手数料は1回176円--口座番号知らなくてもOK (CNET, 12/9)
》アマゾンの死角、ついにウォルマートの「逆襲」が始まった…！ (鈴木貴博 / 現代ビジネス, 12/10)

このような動きが進んでいく先にあるのは、巨大なウォルマート経済圏です。顧客の給与がウォルマートの口座に直接振り込まれ（チャージされ）、顧客の購買データが分析され、それをもとに学習したAIが顧客に対してよりよいキャンペーンオファーを提案し、それを受けて顧客の来店頻度や購入額が増加する。

それが進んでいくことで何が起きるのか？

それが逆アマゾンエフェクトです。

■ 2019.12.09

》米下院のウイグル人権法案、中国が香港問題以上に反発する理由 (ニューズウィーク日本版, 12/9)
》中村哲医師、アフガンで銃撃され死亡 (12/4)
- 現地代表中村哲 (ペシャワール会)
- アフガニスタンで銃撃された中村哲医師死亡 (NHK, 12/4)、中村医師死亡ペシャワール会会見詳細 (NHK, 12/4)
- 中村哲医師、アフガニスタンで銃撃され死亡　現地で井戸を建設 (BBC, 12/4)、アフガニスタン支援の中村哲医師、現地で銃撃され死亡 (AFP, 12/4)
- 中村哲さん銃撃　タリバン報道官「関与していない」 (毎日, 12/4)
- 「憲法9条なくては日本でない」　「豊かさの考え変えないと」　中村哲さんの言葉 (毎日, 12/4)
- 「首都カブールの空港」(ってどこ? カーブル国際空港じゃないの?) で追悼式 (12/7)。ガニ大統領らが棺を担ぐ。
  - 中村哲さん帰国の途にカブールの空港を出発 (NHK, 12/7)
  - 中村哲さんの棺、ガニ大統領が自ら担ぐ　遺体が帰国へ (ハフポスト, 12/8)。「中村さんの妻・尚子さん、長女・秋子さんも式典に出席した」。
  - アフガンの空港で中村哲さんの追悼式典、遺体は日本へ (AFP, 12/8)
  - 中村哲さん帰国の途にきょう夕方にも日本に到着へ (NHK, 12/8)。ドバイ経由だそうで。直行便ではなかったのですね。
  - 中村哲さんの追悼式典「日本政府関係者の姿はなかった」は誤り　アフガニスタンの空港で (籏智広太 / BuzzFeed, 12/9)。
    
    担当者によると、式典には鈴鹿光次・駐アフガニスタン特命全権大使ら大使館関係者が参列。
    さらに、遺族支援や遺体の帰国支援のため、日本から遺族に同行していた外務省の「海外緊急展開チーム」（ERT）の1人も、やはり参列していたという。
- 帰国 (成田 12/8)、故郷へ (福岡 19/9)
  - 医師の中村哲さん成田空港に到着出迎えた人たちが黙とう (NHK, 12/8)
  - 医師の中村哲さん福岡空港に到着多くの人が出迎え死を悼む (NHK, 12/9)
- 中村哲医師の肖像画を尾翼に掲げた写真、アフガニスタンの航空会社が投稿。「いつまでも恩義を感じることでしょう」 (安藤健二 / ハフポスト, 12/8)。カーム航空。
- 生存者、モハンマド・ヤシン氏 (後続車を運転) の証言
  - 中村さん事件で生存者　後続車運転の男性「突然の銃声、20秒の犯行」 (毎日, 12/9)。電話取材。
  - 中村哲さん銃撃で生存者事件語る「20～25秒の間に一斉に…」 (NHK, 12/9)。実際に会って取材。
- 皇后さま 56歳に中村哲さんの死去に「とても残念」 (NHK, 12/9)
　追悼出版、追悼放送
- 中村哲さんの著書「アフガニスタンの診療所から」を筑摩書房が追悼復刊 (毎日, 12/6)
- ＥＴＶ特集　追悼　中村哲さん「武器ではなく　命の水を」 (NHK)。12/11 24:00 から再放送。
- 中村哲さんが起こした奇跡ともいえる軌跡とは (PR TIMES, 12/8)。追悼特別番組「ペシャワール会の奇跡　〜中村哲氏を偲んで〜」大阪 ABC ラジオ 12/8 16:30〜17:00。 radiko タイムフリーで聽ける。
　合掌。
》香港で 80 万人抗議デモ (12/8)
- 香港で再び大規模デモ各地でスト呼びかけ (NHK, 12/8)
- 香港、80万人が抗議デモ　区議会選後で最大規模 (ロイター / ニューズウィーク日本版, 12/9)
- 香港で再び大規模デモ、政府に対する圧力持続 (CNN, 12/9)
- ツイート
  
  昨日のデモで驚いたことがあった。
  香港警察が識別番号を胸に付けていた。
  こんなことはこの半年で初めてである。
  催涙弾も撃たれなかった。
  選挙以降、何かが大きく変わり始めている。
  香港市民たちもそれを確認した、８０万人デモの成果は大きい。#HongKongProtest #StandwithHK
  #香港デモ pic.twitter.com/FRzfHuNTvQ
  — 大袈裟太郎 (@oogesatarou) December 8, 2019
》海保、中国製ドローン「排除」へ　情報保全に懸念 (日経, 12/9)

現在、同庁が保有している数十機のドローンは大半が中国製だ。安価で性能も優れているとみて調達してきた。(中略) 日本政府は米政府を意識し、経済安全保障の規制や体制を強化している。ドローンの調達を巡る動きもその一環だ。

　関連:
- 米軍、DJI製のドローンを「禁止」──セキュリティ上の懸念が理由 (WIRED, 2017.08.08)
- 米国土安保省、中国製ドローンによる企業データへのリスクを警告 (ロイター, 5/21)、 DHS warns of 'strong concerns' that Chinese-made drones are stealing data (CNN, 5/20)
- 米下院委、特定国からのドローン購入禁止法案を可決　中国DJIのリスク念頭 (大紀元, 10/29)、 H.R.4753 - Drone Origin Security Enhancement Act (congress.gov)、 Committee on Homeland Security Recommends Passage of Drone Origin Security Act (News and Commentary) (dronelife, 11/25)
- 米内務省、ドローンの利用を停止--中国によるスパイ活動のリスクを懸念 (CNET, 11/1)
》「Google Glass」のExplorerエディション、2020年2月でサポート終了 (ITmedia, 12/9)。「2020年2月25日以降はバックエンドサービスへの接続ができなくなり、MyGlassアプリも使えなくなる」。
》高額転売チケット、5分で発見　RPA活用、富士通と川崎フロンターレが実験 (ITmedia, 12/9)
》 Uber、初の米国での「安全性レポート」公開　過去2年間で464件のレイプ報告 (ITmedia, 12/9)。2日に1件レイプ発生。すごいタクシー会社だな。
》「October 2018 Update」Pro/Homeへの「November 2019 Update」配信が徐々に開始 (窓の杜, 12/9)

■ 追記

神奈川県庁行政文書大量流出事件 (2019.12.06)

　関連:

ＨＤＤ転売のブロードリンク５０代社員、窃盗容疑で逮捕 (朝日, 2019.12.07)。別件逮捕。
「なんだこれは…」と絶句　ＨＤＤ落札男性が見た中身 (朝日, 2019.12.07)。復元ソフトを動かしたら山のように情報が。
情報流出の内容、県から回答なし　「対策取りようない」 (朝日, 2019.12.07)
逮捕直前に「倉庫でぼや」ＨＤＤ取引、突然のキャンセル (朝日, 2019.12.07)
容疑者の出品評価５千件　ＨＤＤ持ち出し「３年前から」 (朝日, 2019.12.07)
容疑者のＨＤＤ出品、入社後急増　落札総額１２００万円 (朝日, 2019.12.07)

１５年までは多くても年１００件ほどだった出品は、１６年に約６５０件と急増。以降は右肩上がりで増え、１９年は今月６日の逮捕までに約２千件。１６年以降の出品数は約４７００件で、落札総額は１２００万円を超えていた。
ブロードリンク、容疑者を懲戒解雇　「管理体制を強化」 (朝日, 2019.12.07)
情報流出に気づいた男性「一個人の犯罪で済ませないで」 (朝日, 2019.12.07)
「データ完全消去は不可能」ＨＤＤ処理のアナログな現実 (朝日, 2019.12.07)。PARADAIS で知られる下垣内さん。

消えたデータをよみがえらせる専門業者「大阪データ復旧」が大阪市にある。代表の下垣内太（しもがいとだい）さんは「ＨＤＤに記録されたデータを、１００％安全に消去するのは不可能だ」と言い切る。(中略) 「確実にデータを消す最も安全な方法は、ＨＤＤを破壊すること」と言う。ディスクに直接傷をつけるか、ケースごとドリルで穴を開ける。
ＨＤＤ、リュックで持ち出す　窃盗容疑で逮捕の元社員 (朝日, 2019.12.08)
ＨＤＤ「簡単で毎日のように盗んだ」容疑者、早朝狙いか (朝日, 2019.12.08)
ブロードリンク社長「心より深くおわび」　辞任の意向も (朝日, 2019.12.09)
ブロードリンク社長が会見　記憶媒体の落札は３９０４個 (朝日, 2019.12.09)
＜当社管理下にあるハードディスク及びデータの外部流出に関するお詫び＞ (ブロードリンク, 2019.12.09)
富士通、渦中の富士通リースは当社でなく東京センチュリーの子会社と冷たく突き放す (市況かぶ全力２階建, 2019.12.09)。とはいえ富士通も 20% 持っているのだそうで。

■ 2019.12.06

》香港デモを標的にした中国からのDDoS攻撃、「Great Cannon」の稼働を確認 (ITmedia, 12/5)

Great Cannonは、中国のネット検閲システム「グレートファイアウォール」の内側にあるWebページに不正なJavaScriptを仕込んでユーザーのインターネット接続を乗っ取り、標的とするWebサイトに大量のリクエストを送り付けてダウンさせる。
》チョープロ　システム障害　ウイルス感染　予約状況見られず (長崎新聞, 12/6)

実在する団体になりすましたメールが社員2人に届き、このうち1人が3日夕、添付ファイルを開封。4日以降、ガスの保安点検や警報器の交換のために出向く予約日などを管理するサブシステムが暗号化され、閲覧できなくなった。

　オフィシャル:
- 社内システムの障害について (チョープロ, 12/4)
- 弊社システム障害発生についてのご報告 (チョープロ, 12/5)
》【重要】個人情報流出についてのお知らせ（象印でショッピング） (象印マホービン, 12/5)

第三者による不正アクセスを受け、当該サイト内でお客様の個人情報（最大280,052件）が流出しました。流出した個人情報は、お客様名、住所、注文内容（商品、金額等）、配送先情報、メールアドレス等で、クレジットカード情報は含まれておりません。
流出したメールアドレスに不審なメールが送信され、メール内に記載の偽装サイトへアクセスされた一部のお客様がクレジットカード情報を入力されたことで、クレジットカード情報が不正に盗取された可能性があることが判明いたしました（以下、「本件」といいます）。
》長期休暇に備えて 2019/12 (JPCERT/CC, 12/5)。そういう季節になりました。
》 JR東日本、新幹線基地約10メートルかさ上げ　浸水対策 (日経, 12/6)

JR東は重要度が高い変電所や通信機器を置いた施設をかさ上げする。(中略) 車両の補修などに使う施設には止水板を取り付ける。

車両を留置している線路は地面に直接線路を敷いており、かさ上げは難しい。災害時は新幹線を駅や他の車両センターに退避させることで、車両への浸水を防ぐ方針だ。
》 Upcoming Security Updates for Adobe Acrobat and Reader (APSB19-55) (Adobe, 12/5)。来週水曜日は Windows Update の日ですが、 Acrobat / Reader も更新出るそうです。
》ファーウェイが同社製品購入の禁止は「違憲」として米通信委を提訴 (techcrunch, 12/6)
》エネルギー産業を標的にした新たなデータ消去マルウェア「ZeroCleare」が発見される (gigazine, 12/5)
》 MacBook Proに突如シャットダウンするバグ、Apple公式の対処方法がコレ (gigazine, 12/5)
》 Mozillaが人気アンチウイルスソフト「Avast！」と「AVG」を削除した理由とは？ (gigazine, 12/5)。両者用の add-on を削除したものの、なんだか中途半端なことになっている模様。
》アナ雪2 ステママンガ方面つづき
- アナ雪2のステマ騒動で考えるべき、ステマ疑惑の大きすぎる代償 (徳力基彦 / Yahoo, 12/5)
- ディズニー、アナ雪2“ステマ疑惑”で謝罪　「感想を自由に表現してもらう企画だった」 (ITmedia, 12/5)
  
  　同社は4日、ITmedia NEWS編集部の取材に対し、謝罪文とほぼ同様の回答を行ったうえで、「ステルスマーケティングではないという認識であり、意図して起きたことでもない」ともコメント。さらに「今回のトラブルについて、公式サイトなどでの発表予定はない」としていたが、対応を一変させた形となった。
  　ネット上では、感想漫画を投稿した漫画家の一部が所属しているマネジメント会社「wwwaap」（東京都渋谷区）の関与を疑う声も上がっている。
》「.org」ドメイン売却問題についてFirefox開発元のMozillaが公開質問状を提出 (gigazine, 12/4)
》 [復旧][障害情報]Trend Micro Deep Security および Trend Micro Deep Security as a Service における特定の侵入防御ルールでの過検知について (トレンドマイクロ, 12/4)。12/5 01:30 AM に対応済。
》楽天が虚偽電話で被害に遭った名刺記載レベルの従業員情報流出についてまとめてみた (piyolog, 12/5)
》 STOP!不正送金被害 (三井住友銀行)
》「旗の絵文字」を巡って衝突する、当事者と政府と企業の思惑 (WIRED, 12/4)

しかし、地域の旗を絵文字として採用するかどうかを判断するための一貫した規定はない。領有権問題に揺れるアフリカ北西部の西サハラは絵文字のキーボード上に存在しているし、法的には現在もフランス領であるインド洋のレユニオン島にも旗の絵文字がある。一方、北アイルランドのシンボルであるアルスター・バナーは絵文字になっていない。独立運動が再燃しているスペイン北部カタルーニャも同様だ。

働きかけていないわけではない。マイヤーズやドマがチベットの旗を絵文字にしたいと奮闘しているように、カタルーニャや北アイルランド、ネイティヴアメリカン、アボリジナル、さらにはトランスジェンダーについても、同様の提案は行われている。ただ、これまでのところ採用には至っていない。
》自治体IaaS「Jip-Base」のシステム障害、12月9日に全面復旧の見込み (ZDNet, 12/6)。復旧の目処が立ったようで。

■ いろいろ (2019.12.06)
(various)

Norton Password Manager

SYMSA1499 - Norton Password Manager Multiple Issues (Symantec, 2019.12.03)。 6.6.2.5 で対応。

Linux Kernel

Linux KernelのUSBデバイスに関する複数の脆弱性情報(CVE-2019-19523, CVE-2019-19524, CVE-2019-19525, CVE-2019-19526, CVE-2019-19527, CVE-2019-19528, CVE-2019-19529, CVE-2019-19530, CVE-2019-19531, CVE-2019-19532, 2019-19533, 2019-19534, 2019-19535, 2019-19536, 2019-19537) (SIOS, 2019.12.06)

OpenBSD

Authentication vulnerabilities in OpenBSD (Qualys / oss-sec ML, 2019.12.04)
OpenBSD Hit with Authentication, LPE Bugs (ThreatPost, 2019.12.05)

■ 神奈川県庁行政文書大量流出事件
(朝日, 2019.12.06)

　HDD のデータ消去・廃棄作業を外部委託したら、消去されないまま外部委託先から持ち出され、市場に出回ってしまった話。

【独自】行政文書が大量流出　納税記録などのＨＤＤ転売 (朝日, 2019.12.06)

転売されたＨＤＤは縦約１５センチ、横約１０センチ、厚さ約２・５センチ。少なくとも９個あり、この中に保存されたデータの容量は２７テラバイトに上る。(中略) ＨＤＤは都内にあるブロードリンクの施設で保管されていたが、データの消去作業の担当者が一部を持ち出し、オークションサイトに出品したという。 (中略) ブロードリンクのウェブサイトには「主要取引先」として、複数のメガバンクや大手電力会社の社名のほか最高裁、防衛省などが挙げられている。
納税記録・職員評定…秘密のはずが　世界最悪級の流出 (朝日, 2019.12.06)

流出が確認されたＨＤＤ９個の総容量は２７テラバイトに上った。各国の要人が次々と辞任に追い込まれるきっかけとなった、タックスヘイブン（租税回避地）の実態を記した機密情報「パナマ文書」の容量が２・６テラバイト。今回の流出はその１０倍規模にあたる。世界的に見ても過去最悪レベルの情報流出と言える。
ＨＤＤ転売者の一問一答　「行政文書とは知らなかった」 (朝日, 2019.12.06)。テキトーに選んでそのまま横流ししただけなのだろう。消去処理を実施した上で横流ししていればこんなバレ方はしなかったわけだが、そんな知識も能力もなかったのかな。
流出ＨＤＤは計１８個に　神奈川県、９個の行方分からず (朝日, 2019.12.06)。うわあ。

神奈川県によると、行方がわかっていない９個は３回にわたって落札され、最大で３人が落札した。だれなのかは現時点でわかっていないという。
ブロードリンク「確実な完全データ消去」　ＨＰで強調 (朝日, 2019.12.06)

「事業内容」として、ＨＤＤの破壊や磁力による内容の消去などを紹介し、データの消去証明書の発行も可能と説明している。さらに「データ消去は有資格者のみ」と記載するなど、厳格な管理もうたっていた。
ブロードリンク、防衛省とも契約　外部流出を調査へ (朝日, 2019.12.06)、データは物理的に破壊　文書流出会社と取引の防衛省 (時事 / Yahoo, 2019.12.06)

防衛省では、HDDを物理的に破壊して業者に引き渡していたことが6日、同省への取材で分かった (中略) HDD部分にドライバーで穴を開けて物理的に壊していたという。　
【会見動画】文書流出、県知事が会見「想定外だった」 (朝日, 2019.12.06)
個人情報が保存された神奈川県庁のHDD計54TB、転売される　処理会社の従業員が横領 (ITmedia, 2019.12.06)

　オフィシャル

業務委託先からのハードディスク（ＨＤＤ）流出について (富士通リース, 2019.12.06)。すぐ消されそう。魚拓。
当社従業員による不正行為について (ブロードリンク, 2019.12.06)

　関連

ディスク修理・廃棄時の機密保護 (深情報セキュリティ美学, 2005.04.21)

保守契約の発注者が、「自社の機密情報」をそのように無責任に管理するのは、その企業の自由だ。

しかし、それと同じポリシーによって、お客様の個人情報など人様から預かっている機密情報を管理するとしたら、大きな間違えだ。 (中略) 個人情報は、企業や組織における機密情報のうち、「預かり機密情報」なのだから。
ブロードリンク　榊彰一社長　中古ＰＣで環境貢献　回収から卸売りまで (毎日, 2019.10.18)。事件前の記事。

2019.12.09 追記:

　関連:

ＨＤＤ転売のブロードリンク５０代社員、窃盗容疑で逮捕 (朝日, 2019.12.07)。別件逮捕。
「なんだこれは…」と絶句　ＨＤＤ落札男性が見た中身 (朝日, 2019.12.07)。復元ソフトを動かしたら山のように情報が。
情報流出の内容、県から回答なし　「対策取りようない」 (朝日, 2019.12.07)
逮捕直前に「倉庫でぼや」ＨＤＤ取引、突然のキャンセル (朝日, 2019.12.07)
容疑者の出品評価５千件　ＨＤＤ持ち出し「３年前から」 (朝日, 2019.12.07)
容疑者のＨＤＤ出品、入社後急増　落札総額１２００万円 (朝日, 2019.12.07)

１５年までは多くても年１００件ほどだった出品は、１６年に約６５０件と急増。以降は右肩上がりで増え、１９年は今月６日の逮捕までに約２千件。１６年以降の出品数は約４７００件で、落札総額は１２００万円を超えていた。
ブロードリンク、容疑者を懲戒解雇　「管理体制を強化」 (朝日, 2019.12.07)
情報流出に気づいた男性「一個人の犯罪で済ませないで」 (朝日, 2019.12.07)
「データ完全消去は不可能」ＨＤＤ処理のアナログな現実 (朝日, 2019.12.07)。PARADAIS で知られる下垣内さん。

消えたデータをよみがえらせる専門業者「大阪データ復旧」が大阪市にある。代表の下垣内太（しもがいとだい）さんは「ＨＤＤに記録されたデータを、１００％安全に消去するのは不可能だ」と言い切る。(中略) 「確実にデータを消す最も安全な方法は、ＨＤＤを破壊すること」と言う。ディスクに直接傷をつけるか、ケースごとドリルで穴を開ける。
ＨＤＤ、リュックで持ち出す　窃盗容疑で逮捕の元社員 (朝日, 2019.12.08)
ＨＤＤ「簡単で毎日のように盗んだ」容疑者、早朝狙いか (朝日, 2019.12.08)
ブロードリンク社長「心より深くおわび」　辞任の意向も (朝日, 2019.12.09)
ブロードリンク社長が会見　記憶媒体の落札は３９０４個 (朝日, 2019.12.09)
＜当社管理下にあるハードディスク及びデータの外部流出に関するお詫び＞ (ブロードリンク, 2019.12.09)
富士通、渦中の富士通リースは当社でなく東京センチュリーの子会社と冷たく突き放す (市況かぶ全力２階建, 2019.12.09)。とはいえ富士通も 20% 持っているのだそうで。

2019.12.12 追記:

　関連:

「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた (piyolog, 2019.12.07)
HDD転売はなぜ起きたか。原因のセキュリティ体制と再発防止策を説明──ブロードリンクが会見 (engadget, 2019.12.09)
ＰＣも同じ業者が処分　県の文書保存ＨＤ転売問題 (東京, 2019.12.10)
防ぎようはあるのか　HDD横領転売事件から見える「サプライチェーン・リスク」 (ITmedia, 2019.12.10)
ＨＤＤ流出、容疑者から購入なら情報を　ブロードリンク (朝日, 2019.12.10)
ＨＤＤ処分、業者任せの現実　自治体苦悩「信じるしか」 (朝日, 2019.12.11)

　総務省は流出が報じられた６日夜、全国の自治体に通知を送り、重要情報が含まれる記憶媒体を処分する際には物理的に壊すか強い磁気をあてて使えなくするよう求めた。
(中略)
　情報セキュリティーの専門家である上原哲太郎・立命館大教授は「安全なデータ消去法は複数ある。それらを採用している自治体を逆に縛る結果になっている」と話す。
　上原教授によると、神奈川県のようにサーバーをリースで借りた場合、ＨＤＤを自治体が壊す契約が通る可能性は低い。小規模な自治体ならデータを消去したほうが効率的な場合もある。「求められるのは実態に合った運用と契約だ。自治体の規模を無視した総務省の通知は無理がある」
富士通リース、ＨＤＤ処理を丸投げ　データ消去確認せず (朝日, 2019.12.11)

問題の発覚後、神奈川県やブロードリンクはトップが記者会見をしたが、富士通リースは詳細な説明をしていない。富士通リースは１１日夕、朝日新聞の取材に文書で回答し、ＨＤＤのデータ消去や廃棄については、売却先のブロードリンクが責任を持って処理することになっているとした。
神奈川県のHDD流出事件はヤフオクとメルカリで容疑者に目星、生々しい経緯が判明 (日経 xTECH, 2019.12.11)

2019.12.18 追記:

　関連:

ＨＤＤ転売　関係２社、３カ月間の指名停止　県、更に延長方針　／神奈川 (毎日, 2019.12.14)
ＨＤＤ転売、神奈川県が法的措置検討　富士通リースに (朝日, 2019.12.16)

県が提出を求めていたのは、県庁のサーバーで使われていたＨＤＤ３９６個のうち、ネットオークションで転売されたのが確実な１８個を除く３７８個のデータ消去の報告書。これが提出されていないことから、黒岩知事は「非常に心外。我々は当然のごとく待っていたが、それがない」と会見で怒りをあらわにした。
ＨＤＤ転売　県が再発防止チーム、月内にも発足　情報管理徹底へ　／神奈川 (毎日, 2019.12.17)
ＨＤＤ転売、富士通リース社長が神奈川県知事に謝罪 (朝日, 2019.12.18)、ＨＤ流出、富士通リースが謝罪　社長が神奈川知事と面会 (東京, 2019.12.18)
他の自治体
- 愛知: ブロードリンク社と３年間で７件取引　県が全庁調査「情報流出なし」 (中日, 2019.12.11)
- 長野: ＨＤ流出元企業が県の機器５７台回収 (信濃毎日, 2019.12.14)
- 栃木: 栃木県のデータ消去委託26件　富士通系からブロードリンク (日経, 2019.12.11)
- 千葉: 千葉県廃棄の情報機器　ブロードリンクに9件依頼 (日経, 2019.12.16)
銀行もNHKも…個人情報流出事件ブロードリンクの大取引先 (SmartFLASH, 2019.12.17)

　きわめつきは、榊社長の “公私混同” だった。
「芦屋にある社長の別宅の掃除を、休日に無償でやらされました。社長の私的なお客を迎えるため、白い螺旋階段を何度も拭かされたんです。しかも掃除には、交通費すら支給されませんでした。社長がその調子なら、社員も “公私混同” で、会社のものを勝手に転売しますよね」（A氏）
ブロードリンクの主要取引先企業・団体（ＰＣ・サーバー等、情報機器買取実績の一部） (pc-3r.com) (Google キャッシュ) (魚拓)

防衛省最高裁判所　官公庁・地方自治体　日本郵政グループ各社　 (株)三菱UFJ銀行　 (株)三井住友銀行　 (株)東京証券取引所　大和証券(株)　岡三証券(株)　みずほ証券(株)　 JR東日本【東日本旅客鉄道(株)】　中国電力(株)　東北電力企業グループ　 (株)セブン＆アイ・ホールディングス　日産自動車グループ各社　三菱重工業グループ各社　 (株)ファーストリテイリング　東京センチュリー(株)　富士通リース(株)　マイクロソフト　日本アイ・ビー・エム(株)　三井住友ファイナンス＆リース(株)　三井住友トラスト・パナソニックファイナンス(株)　オリックス環境(株)　リコーリース(株)　 JA三井リース(株)　芙蓉総合リース(株)　朝日生命保険(相)　三井住友海上火災保険(株)　損害保険ジャパン日本興亜(株)　 SMBCコンシューマファイナンス(株)　 (株)デンソー　朝日生命保険(相)　富士フイルムホールディングス(株)　清水建設(株)　 (株)長谷工コーポレーション　他（順不同、敬称略）
総務省、HDD廃棄時に自治体職員の立ち会い求める　現場は「時間も人手も掛かる」と困惑 (産経 / ITmedia, 2019.12.18)。総務省の通知に対する反応。

2019.12.20 追記:

　関連:

クラウドにおける安全なデータの廃棄 (Amazon Web Services ブログ, 2019.12.19)

AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。

統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。

2019.12.25 追記:

　関連:

神奈川県庁の転売HDD、全て回収　富士通リースとブロードリンクに指名停止処分 (日経 IT Pro, 2019.12.24)
（情報システム課からのお知らせ）リース契約満了により返却したハードディスクの盗難について (神奈川県, 2019.12.24)

■ 2019.12.05

》日本電子計算自治体向け IaaS「Jip-Base」障害方面 (12/4〜)
- Hybrid Cloud ServiceJip-Base (日本電子計算)
- 自治体向けIaaSで障害、中野区・練馬区などに影響　原因はファームウェアの故障 (ITmedia, 12/5)。「ストレージに付随するファームウェアの故障」。
- 全国約50の自治体でシステム障害発生、5日中の復旧は難しい (BCN, 12/5)
》まとめサイトのサーバ管理会社に発信者情報開示を求める判決　京アニ事件でNHKが訴訟　大阪地裁 (産経 / ITmedia, 12/5)
》個人情報保護委、“リクナビの内定辞退率”利用企業に行政指導　トヨタ、京セラなど35社 (ITmedia, 12/4)
》就任したばかりの巻知博ガイナックス社長逮捕。エヴァとはほぼ無関係 (togetter, 12/5)
- ツイート:
  
  それぞれ別の会社です
  
  ①カラー:ガイナックスを離脱した庵野秀明を中心に設立現在のエヴァ制作
  
  ②トリガー:ガイナックスを離脱した大塚雅彦・今石洋之・舛本和也を中心に設立
  
  ③ガイナ:独立した元福島ガイナックス
  “蒼きウル”“トップをねらえ3(仮)”を制作予定
  
  ④ガイナックス:抜け殻
  — ゆらぁど (@yula_ad) December 5, 2019
》馬毛島買収の舞台裏　所有会社の経営難、幾度も迫る米国 (朝日, 12/3)。「買い取る費用は１６０億円から少し上積みとなる方向」。
》町山智浩『パラサイト　半地下の家族』を語る (miyearnZZ Labo, 12/3)

（赤江珠緒）示し合わせたわけでもないのに、世界のあちこちでいろんな監督がこれを取り上げざるをえない題材になっているということですね。

（町山智浩）そういうことなんです。それと、この監督たちはさっき言ったみたいに、ケン・ローチがイギリスの人なんですよ。で、ジョーダン・ピールはアメリカで是枝裕和監督は日本、ポン・ジュノは韓国なんですけども。この4ヶ国に共通することがあるんですよ。それは、貧困率の高さなんですよ。貧困率はアメリカが17.8％、イギリスが11.1％、韓国が17.6％、日本は15.7％なんですよ。これ、先進国ですよ？　だからこの4ヶ国から似たような映画が出てきたんです。

　ケン・ローチ監督『家族を想うとき』、ジョーダン・ピール監督『アス』、是枝裕和監督『万引き家族』、ポン・ジュノ監督『パラサイト　半地下の家族』。

■ いろいろ (2019.12.05)
(various)

HP Enterprise

HPEのサーバー向けSAS SSD、稼働32,768時間超えでデータ喪失。復旧も不可 (PC Watch, 2019.12.03)

【12月5日更新】なお、日本電子計算株式会社が5日に発表した自治体専用IaaSサービス「Jip-Base」の障害について、「ストレージのファームウェアが原因」としているが、同社広報によると本件とは無関係としている。

Android

Google、Androidの2019年12月セキュリティ情報を発表 (2019.12.04)

Wireshark

1件の脆弱性を修正した「Wireshark」v3.0.7/v2.6.13が公開 (窓の杜, 2019.12.05)

■ Firefox 71.0 / ESR 68.3.0、Thunderbird 68.3 公開
(Mozilla, 2019.12.03)

　出ました。

Firefox 71 がリリースされた (MozillaZine, 2019.12.04)
Firefox for Android 68.3 がリリースされた (MozillaZine, 2019.12.04)
Thunderbird 68.3.0 がリリースされた (MozillaZine, 2019.12.04)

■ 2019.12.04

》 ESET、Windowsの“デフォルトの印刷モニター”として登録されるマルウェア「DePriMon」を検出 (窓の杜, 12/3)。攻める側も、いろいろ考えるなあ。
》 IIJ、世界100拠点以上のDNSサーバーを利用できる「IIJ DNSプラットフォームサービス」開始 (Internet Watch, 12/3)
》アナ雪2 ステママンガ方面。ステマする必要が全くない作品なのに、ディズニーはなぜこんなことを。
- ディズニー映画“アナ雪2”にステマ疑惑　「同時刻にレビュー漫画が複数投稿された」指摘が相次ぐ (ITmedia, 12/4)
- 「少しも寒くないどころか焼け野原」アナ雪2のステマ漫画を描いた漫画家の皆さんが炎上 PR漫画と謝罪 (NAVER まとめ, 12/4)
- ツイート
  
  アナ雪PR漫画、PRつけ忘れてましたってみんな書いてるけど、どの漫画も招待されたのではなく個人的に見に行ったって漫画になってるの、忘れたんじゃないよね…ディズニーでもそんなことしなきゃいけないのかぁ…
  — はるみかん🍋 (@harufukurai) December 4, 2019
  
  アナ雪2と漫画家さんの件で軽く燃えてるけど、企業の広告担当者も依頼を受ける漫画家さんも「ステマは景表法違反」って認識をしっかり持とう。
  同じPR漫画でも「PRですよ！」って言ってやったらOKで「(依頼だけど)漫画家さんが好きで描いてるだけって体で出すよ」は景表法違反です。全然違います。
  — ohNussy@個人開発者 (@ohNussy) December 4, 2019
》 EFF Releases Certbot 1.0 to Help More Websites Encrypt Their Traffic (EFF, 12/3)
》マイクロソフトのログインシステムのバグによるアカウント乗っ取りの危機 (techcrunch, 12/3)

CyberArkが、TechCrunchにのみ明かした最新の調査結果によれば、マイクロソフトが開発したいくつかのアプリには、数十もの未登録のサブドメインが接続されていた。そうした純正のアプリは堅く信用されているため、それらの関連付けられたサブドメインを使えば、ユーザーの明示的な同意を得ずに、自動的にアクセストークンを生成できてしまう。

攻撃者がそうしたサブドメインを所有していれば、疑いを持たせずにユーザーをだまし、特製のリンクを電子メールまたはウェブサイトの中に置いてクリックさせ、簡単にトークンを盗むことができる。

■ 2019.12.03

》グーグルのデータ収集めぐりEUがまた調査 (ZDNet, 12/2)
》 iPS細胞ストック事業方面
- 厚労省・医系技官が山中教授を恫喝 (薬経バイオ, 8/29)
- iPS研究予算「いきなりゼロは理不尽」　山中伸弥所長　支援継続を政府に求める (日経, 11/11)
  
  23年度以降の支援のあり方については政府内で議論が続いている。山中氏は「一部の官僚の考え」と断った上で、政府の支援がゼロになる案を耳にしたと指摘。「（政府の専門家会議など）透明性の高い議論での決定なら納得だが、違うところで話が決まってしまうと理由もよくわからない」と不満を述べ、意思決定の過程に透明性を求めた。
- iPS備蓄事業、予算減額案　山中伸弥氏「非常に厳しい」 (日経, 11/17)
- 第1回　「山中伸弥教授を恫喝」 (漂流する日本の医療研究開発, 11/18)
- 第2回　「同伴と異例の抜擢人事」 (漂流する日本の医療研究開発, 11/21)
- 第3回　次期戦略は5プロなのか6プロなのか、いやそもそもそれは政策なのか (漂流する日本の医療研究開発, 11/24)
- 第4回　衆議院科学技術特別委員会、審議の結果は (漂流する日本の医療研究開発, 11/29)
  
  11月27日、衆議院科学技術特別委員会が開催され、山中教授のiPS予算を巡る不透明な動きが審議された。
  
  衆議院TVでその様子をみることができる。
  http://www.shugiintv.go.jp/jp/index.php?ex=VL&media_type=&deli_id=49601&time=5660.7
  （1時間52分27秒あたりから2時間3分50秒まで）
  
  文章としては近日中に掲載することも考えているが、映像がはるかに多くを物語っているので是非ご覧いただきたい。
- ついに始まるか、iPS細胞バッシング (薬経バイオ, 11/30)
》 Hagex 氏刺殺事件方面。前ねた。
- 論告求刑公判 (11/15)。検察側、懲役 20 年を求刑。
  - Ｈａｇｅｘさん刺殺、懲役２０年求刑　福岡地裁で検察側 (朝日, 11/15)
  - 有名ブロガーHagexさん殺害　43歳被告に懲役20年求刑　福岡地裁公判 (毎日, 11/15)
- 判決 (11/20)。懲役 18 年。
  - Hagexさん殺害事件で懲役18年　「ネットで一方的殺意」　福岡地裁判決 (西日本新聞, 11/21)
  - Ｈａｇｅｘさん刺殺、被告に懲役１８年判決　福岡地裁 (朝日, 11/20)
  - 「夫が願った自由なネット世界は…」Hagexさん殺害判決に妻コメント　福岡地裁 (毎日, 11/20)
- ネット発信、「○○に行く」が危険　Ｈａｇｅｘさん事件 (朝日, 11/22)
- ネット上で見守る仕組みを　自己防衛より重要に　Hagexさん事件の教訓 (西日本新聞, 11/21)
- 《有名ブロガーHagex刺殺》ネット没入の無職中年は集団リンチを逆恨みして”ステルステロ”に及んだ (平野太鳳 / 文春オンライン, 12/2)
》香港方面

　11/24 区議会議員選挙、民主派が圧勝 (小選挙区マジック)
- 香港区議選、民主派が議席8割超す圧勝　現地報道 (日経, 11/25)
- 香港区議選民主派が８割超え圧勝香港メディア (NHK, 11/25)
- 香港の行政長官、「広い心で市民の声を聞く」　区議会選での敗北受け (BBC, 11/25)
- 香港で区議選投票実施、過去最高の投票率、民主派が圧勝 (JETRO, 11/27)
- 香港区議選で圧勝の民主派政府への圧力強める (NHK, 11/26)
- 香港区議選：中国共産党は親中派の勝利を確信していた（今はパニック） (ジェームズ・パーマー / ニューズウィーク日本版, 11/26)。興味深い。
  
  この結果に中国の報道機関はパニックに陥った。なんとか中国共産党に有利なように情報操作ができないかと慌てたのだ。香港では民主派の勝利が予想されていたが、中国メディアの編集者たち（と背後の中国政府当局者たち）は、親中派の圧勝を確信していたようだ。自分たちが発信するプロパガンダに操られていたのだ。
  
  まるで大日本帝国のようだ。
- 香港民主派の圧勝を認めない中国の異常と恐怖 (プレジデント, 11/29)
　そして……
- 香港抗議デモ、選挙後初の週末に勢い増す－警察は再び催涙弾発射 (ブルームバーグ, 12/2)
- 「抗議デモ半年　対立激化香港の行方」（時論公論） (加藤青延 / NHK 解説委員室, 12/2)
- 「大規模抗議デモから半年　香港の行方」（視点・論点） (加茂具樹 / NHK 解説委員室, 12/2)
》冤罪File　2019年冬号　本日発売です！ (冤罪File公式ブログ, 11/27)
》「なお残るＩＳの脅威にどう対応するか？」（時論公論） (出川　展恒 / NHK 解説委員室, 11/22)
》「土砂災害　見逃された危険箇所」（時論公論） (松本　浩司 / NHK 解説委員室, 11/29)。「犠牲者の多くが土砂災害の警戒区域以外の場所で被害にあっていた」。
》「あふれた川　140か所堤防決壊」（視点・論点） (安田進 / NHK 解説委員室, 11/25)
》「HUMAN LOST 人間失格」木﨑文智監督＆冲方丁さんインタビュー、太宰治の小説からSFダークヒーローものがどのように生み出されたのか？ (gigazine, 11/29)

SFのギミックというのは、ある個人の問題ではなくて、コミュニティとか人類の問題でなければいけないんです。「個人が失格した」といっても、SFに落とし込んでしまったら「ふーん」で終わってしまう。だから、タイトルの意味をひっくり返すしかない。そこで「人間失格」を「全人類が失格している」と考えました。

　全くの先入観なしで先日観てきたのですが、本当にそういう話でびっくりした。
》ホワイトハウス周辺のビルにはミサイル搭載の防空システムが隠されている (gigazine, 11/29)
》 Trend Micro Cloud App Security 障害のお知らせ (トレンドマイクロ, 12/3)

アクセストークンを使用してExchange Onlineのサービスアカウントを準備されたお客様において、 Exchange Online用のポリシーによる一部メールのリアルタイム検索で遅延が発生しています。
》「Lazarus」との関連が推測されるMacOS向けバックドアを解析 (トレンドマイクロセキュリティ blog, 12/3)
》更新版：Instagramのセキュリティとプライバシーの設定 (Kaspersky, 12/3)
》 PSIRT Services Framework v1.0 日本語版 (JPCERT/CC Eyes, 12/3)
》音楽の海賊行為は劇的に減少している――が、それを認めたがらないレコード業界 (P2P とかその辺のお話 R, 11/8)
》日本の海賊版サイトへのアクセス、「漫画村」閉鎖後に半減 (P2P とかその辺のお話 R, 11/11)
》 DoH / DoT
- Microsoftが「DNS接続の暗号化」に賛同、将来的にWindowsの対応も検討 (gigazine, 11/20)。Windows を DoH 対応に。
- 「DNSの暗号化方式」の覇権を巡る争いとは？ (gigazine, 11/29)。DoH vs DoT。
- DNS-over-HTTP (DoH) (Knot Resolver)
》政府から支援を受けたハッカーグループによる攻撃は日本を含む全世界で3カ月に1万2000件以上発生 (gigazine, 11/28)、グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出 (ZDNet, 12/2)
》 Firefoxにブラウザ上の動作を記録・再生可能な「リプレイ機能」が搭載される予定 (gigazine, 11/29)
》 .org ドメイン方面
- 「.org」ドメインの管理団体が設立からわずか数カ月の投資企業に売却された背景とは？ (gigazine, 11/26)
- 「.org」ドメインを売った中の人が売却した理由を説明 (gigazine, 11/29)
- 「.org」ドメインの売却価格が1200億円超だったと判明、専門家は「売却価格が安すぎる」と指摘 (gigazine, 12/2)
》「ベルリンの壁崩壊から３０年　新たな壁で分断される欧州」（時論公論） (NHK 解説委員室, 11/26)

しかし、こうした数字以上に東の人々の不満や不公平感は強まっているようです。それを端的に示しているのが９月末ドイツ政府が発表した調査結果です。旧東ドイツ地域では自らを「２級市民」だと感じている人が５７％に上りました。東西ドイツの統一が成功したと考える人は３８％にとどまるという衝撃的な内容でした。
》アップルとグーグルの地図がロシアのクリミア併合を反映 (techcrunch, 11/29)
》 Status of megarbl.net: DEAD (blacklist resource, 11/25)
》ルートマネジメント (JPRS, 11/28)
》「投稿は偽物」と断じたシンガポール政府の命令にFacebookが屈する (techcrunch, 12/3)
》 Huaweiスマホのアメリカ製パーツからの脱却が着々と進行中 (gigazine, 12/2)
》「Google検索の独占状態」がいかに危険なのかをプライバシー指向ブラウザCliqz開発チームが主張、検索エンジンの多様性はなぜ必要なのか？ (gigazine, 12/2)

■ 追記

2019 年 11 月のセキュリティ更新プログラム (月例) (2019.11.13): 　【アプデ】 Accessで『クエリは破損しています』エラー。2019年11月13日の更新プログラムが原因 [Update 5: 2010/2013MSIの修正完了] (ニッチなPCゲーマーの環境構築Z, 2019.11.29)

■ いろいろ (2019.12.03)
(various)

Symantec Critical System Protection

SYMSA1498 - Critical System Protection Authentication Bypass (Symantec, 2019.11.26)。maintenance pack 8.0 MP2 を適用すればよい。

Django

Django security releases issued: 2.2.8 and 2.1.15 (Django Project, 2019.12.02)

ansible

ansibleの脆弱性情報(Medium: CVE-2019-10217) (SIOS, 2019.11.26)

phpMyAdmin

phpMyAdmin 4.9.2 (phpMyAdmin, 2019.11.22)。 PMASA-2019-5 が修正されている。

■ 2019.12.02

》 Intel、「Qualcommの不正な競争障壁のせいでモデム事業をAppleに売却して大損」と主張 (ITmedia, 12/2)。実際そうだからなあ。
》政府、SNS各社にフェイクニュース対策を要望　政府の介入は「極めて慎重であるべき」と自制 (ITmedia, 12/2)。隠蔽・廃棄・改ざんの安倍政権に言われてもなあ。
》 RHEL好きの集い Vol 2.1 〜RHEL8のライブカーネルパッチとUBIを深堀り〜 (connpass)。2019.12.23、東京都渋谷区、無料。面さん情報ありがとうございます。掲載が遅くてすいません。
》「Debianセキュリティ勧告」発行までの対応作業の内側 (SIOS, 11/27)
》 [mod_gnutls-devel] Bugfix release: mod_gnutls 0.9.1 (gnupg.org, 11/29)。iida さん情報ありがとうございます。
》 [gnutls-help] gnutls 3.6.11 (gnupg.org, 12/1)。bug fix release。iida さん情報ありがとうございます。
》インターネット安全教室　教材ダウンロード (IPA, 11/28)。「現段階では「試行版」です」。
》福島第一原発方面
- 事故４日後に放棄福島第一原発オフサイトセンター解体始まる (NHK, 11/25)。こういう大失敗遺物も保存してほしいけどなあ。
- 福島第一原発１号機再び全体覆う大型カバーの設置を検討へ (NHK, 11/28)
- 福島第一原発２号機事故調査で見解「ベント失敗か」規制委 (NHK, 11/28)、第8回東京電力福島第一原子力発電所における事故の分析に係る検討会 (原子力規制委員会, 11/28)
- 排気筒切断装置故障、人力作業へ。
  - 福島第一の排気筒切断装置　刃が挟まり作業中断 (東京, 11/28)
  - 福島第1原発の排気筒切断で刃が外れず、手作業へ (毎日, 11/28)
  - ツイート
    
    福島第一原発1、2号機排気筒の解体について、東京電力は明日3日にも、作業員がクレーンで110m上に上がり、人力で切断すると公表。11月30日～12月2日、地上におろした筒本体や模擬の筒を使って、切断手順を確認。クレーンの高さ70ｍの風速計で平均風速６m/s以下、降水量1mm以下で作業を実施予定です。
    — 東京新聞原発取材班 (@kochigen2017) December 2, 2019
  汎用人型作業ロボは、いつになったら実用化されるんですかねえ。
- 燃料デブリ取り出し、2021 年から 2 号機で
  - 福島第一原発溶けた核燃料取り出し再来年からまず２号機で (NHK, 12/2)
  - 福島第一廃炉工程表案　デブリ除去２号機から　明記 (東京, 12/2)
》大澤昇平氏方面つづき
- 学環・学府特任准教授の不適切な書き込みに関する見解 (東京大学大学院情報学環・学際情報学府, 11/24)
- 東大情報学環大澤昇平氏の差別発言について (TAKAHIRO AKEDO / researchmap, 11/24)
  
  したがってむしろここで重要なのは、情報学環長名の文書にもあるように、今回の発言が東京大学憲章（「国籍、信条、性別、障害、門地等の事由による不当な差別と抑圧を排除する」）に照らしてどのように判断されるかでしょう。ある私企業で実際に国籍差別が行われているとすればそれはもちろん問題ですが、そうした国籍差別を肯定するような発言が東大教員の肩書きで拡散されること、これは非常に大きな社会的害悪です。
  
  また東京大学、とりわけ情報学環は留学生を多く受け入れている部局であり、国籍の異なる学生に対する配慮は非常に重要な課題です。そうした中で、今回のような発言を堂々と行うような教員が学内に存在するということは、彼ら／彼女らに大きな不安を呼び起こすものです。こうした点からも「国籍はもとより、あらゆる形態の差別や不寛容を許さず、すべての人に開かれた組織であることを保障」するという今回の情報学環長名の文書の内容は、きわめて切迫した必要性をもつものだと思います。
- 学環・学府特任准教授の不適切な書き込みに関する学生へのメッセージ (東京大学大学院情報学環・学際情報学府, 11/28)
- 学環・学府特任准教授の不適切な書き込み等に関する調査委員会の設置について (東京大学大学院情報学環・学際情報学府, 11/28)
- 学生留学生委員会から情報学環・学際情報学府の学生の皆さんへ (東京大学大学院情報学環・学際情報学府, 11/29)
- 東大特任准教授が「行き過ぎた言動」を謝罪　原因は「AIの過学習によるもの」 (ITmedia, 12/2)、「中国人は採用しません」ツイートの東大・大澤特任准教授がついに謝罪 (弁護士ドットコム, 12/1)
- ツイート
  
  AI専門家の多くが指摘しているのは、AIアルゴリズムは構造的に資本主義下では「ブラックボックス化したデジタル神託」にならざるを得ないということですね。なぜならそのアルゴリズムは企業秘密で守られている為、問題のあるアルゴリズムであっても、その中身を現行法では検証することができないのです https://t.co/pVdXufj3Ez
  — kemofure (@kemohure) December 2, 2019
  
  このテーマについては、謎の円盤 UFO 第 12 話「宇宙人捕虜第二号」が大好き。
》米司法省、イーサリアムの研究員を逮捕　北朝鮮へのブロックチェーン関連情報提供で (ITmedia, 12/1)、 Manhattan U.S. Attorney Announces Arrest Of United States Citizen For Assisting North Korea In Evading Sanctions (Justice.gov, 11/29)
》海自中東派遣、閣議決定へ (TBS, 12/1)。現在、自衛隊は海賊対処のため護衛艦 x 1、P-3C x 2 等をソマリア沖・アデン湾方面に常駐させているわけですが (海賊対処行動に係る内閣総理大臣の承認について)、これに加えてヘリコプター搭載護衛艦 x 1 を「調査・研究」と称して「オマーン湾、アラビア海北部、イエメン沖のバベルマンデブ海峡」に派遣すると。またソマリア沖・アデン湾方面用の P-3C x 1 を「調査・研究」に利用すると。

　ぶっちゃけ、目的不明なんだよなあ。現状の海賊対処ですら艦船のやりくりがたいへんという話を読んだ記憶があるのだが、大丈夫なのか?

■ いろいろ (2019.12.02)
(various)

bash

GNU bashの脆弱性情報(CVE-2019-18276) (SIOS, 2019.11.28)
Bash 5.0 Patch 11 - SUID Priv Drop Exploit (exploit-db.com, 2019.11.29)
Zero-day vulnerability in Bash - Suidbash Google CTF Finals 2019 (pwn) (YouTube, 2019.11.27)

squid

Squidの複数の脆弱性情報(Moderate: CVE-2019-12523, CVE-2019-12526, CVE-2019-18676, CVE-2019-18677, CVE-2019-18678, CVE-2019-18679) (SIOS, 2019.11.27)。squid 4.9 で修正。

ProFTPd

proftpdの複数の脆弱性情報(CVE-2019-19269, CVE-2019-19270, CVE-2019-19271, CVE-2019-19272) (SIOS, 2019.11.27)。ProFTPd 1.3.6b で直っている欠陥 2 件 CVE-2019-19271 CVE-2019-19272 と、 1.3.6b でも直っていない欠陥 2 件 CVE-2019-19269 CVE-2019-19270 。いずれも tls_verify_crl の欠陥、クライアント証明書を使っている場合の話。

カスペルスキーインターネットセキュリティ 2019 / 2020

「カスペルスキー」のウェブ保護機能に重大な脆弱性～修正パッチをリリース (窓の杜, 2019.11.28)
Kaspersky: The art of keeping your keys under the door mat (palant.de, 2019.11.25)

LanScope Cat / An

JVN#49068796 - エムオーテックス株式会社製の複数の製品における権限昇格の脆弱性 (JVN, 2019.12.02)
LanScope Cat/Anにおける権限昇格の脆弱性について（CVE-2019-6026） (MOTEX, 2019.12.02)。修正版あり。

Moodle

Moodle 3.7.3 and other minors have been released (Moodle, 2019.11.11)。 Moodle 3.7.3 / 3.6.7 / 3.5.9 公開。セキュリティ修正を含む。最新版は 3.8。

■ 追記

マルウエア Emotet の感染に関する注意喚起 (2019.11.29)

　関連:

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて (IPA, 2019.12.02)

Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者（攻撃メールの受信者）が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。
マルウエアEmotetへの対応FAQ (JPCERT/CC Eyes, 2019.12.02)

[私について]

セキュリティホール memo - 2019.12

■ いろいろ (2019.12.25) (various)

GeForce Experience

hostapd, Linux

VNC, TigerVNC

■ いろいろ (2019.12.24) (various)

Twitter for Android

■ Endpoint Protection を使用していると Google Chrome バージョン 78.0.x で "このウェブページの表示中に問題が発生しました" エラーが発生する (シマンテック, 2019.12.17)

■ いろいろ (2019.12.20) (various)

WordPress

Intel Rapid Storage Technology

VeraCrypt

Apache Tomcat

サイボウズ Office

Apple SecureROM

■ CMS「Drupal」に複数の脆弱性 - アップデートが公開 (Security NEXT, 2019.12.20)

■ いろいろ (2019.12.19) (various)

SpamAssassin

Git

Dovecot

Django

■ Chrome Stable Channel Update for Desktop (Google, 2019.12.17)

■ Apple 方面 (tvOS, iOS, iPadOS, watchOS, macOS, Safari, iCloud / iTunes for Windows, Xcode) (Apple, 2019.12.10)

■ いろいろ (2019.12.12) (various)

Intel SGX

Symantec Messaging Gateway

Symantec Industrial Control System Protection

Windows Hello for Business

Knot Resolver

Linux Kernel

FreeRADIUS

Samba

Intel

VMware ESXi, Horizon DaaS

Git

KeepKey

OpenSSL

■ 2019 年 12 月のセキュリティ更新プログラム (月例) (Microsoft, 2019.12.11)

2019.12.17 追記:

2019.12.20 追記:

■ Adobe 方面 (Acrobat / Reader, Photoshop, Brackets, ColdFusion) (Adobe, 2019.12.10)

■ Chrome Stable Channel Update for Desktop (Google, 2019.12.10)

2019.12.17 追記:

2019.12.18 追記:

■ いろいろ (2019.12.06) (various)

Norton Password Manager

Linux Kernel

OpenBSD

■ 神奈川県庁行政文書 大量流出事件 (朝日, 2019.12.06)

2019.12.09 追記:

2019.12.12 追記:

2019.12.18 追記:

2019.12.20 追記:

2019.12.25 追記:

■ いろいろ (2019.12.05) (various)

HP Enterprise

Android

Wireshark

■ Firefox 71.0 / ESR 68.3.0、Thunderbird 68.3 公開 (Mozilla, 2019.12.03)

■ いろいろ (2019.12.03) (various)

Symantec Critical System Protection

Django

ansible

phpMyAdmin

■ いろいろ (2019.12.02) (various)

bash

squid

ProFTPd

カスペルスキー インターネット セキュリティ 2019 / 2020

LanScope Cat / An

Moodle

■ いろいろ (2019.12.25)
(various)

■ いろいろ (2019.12.24)
(various)

■ Endpoint Protection を使用していると Google Chrome バージョン 78.0.x で "このウェブページの表示中に問題が発生しました" エラーが発生する
(シマンテック, 2019.12.17)

■ いろいろ (2019.12.20)
(various)

■ CMS「Drupal」に複数の脆弱性 - アップデートが公開
(Security NEXT, 2019.12.20)

■ いろいろ (2019.12.19)
(various)

■ Chrome Stable Channel Update for Desktop
(Google, 2019.12.17)

■ Apple 方面 (tvOS, iOS, iPadOS, watchOS, macOS, Safari, iCloud / iTunes for Windows, Xcode)
(Apple, 2019.12.10)

■ いろいろ (2019.12.12)
(various)

■ 2019 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.12.11)

■ Adobe 方面 (Acrobat / Reader, Photoshop, Brackets, ColdFusion)
(Adobe, 2019.12.10)

■ Chrome Stable Channel Update for Desktop
(Google, 2019.12.10)

■ いろいろ (2019.12.06)
(various)

■ 神奈川県庁行政文書大量流出事件
(朝日, 2019.12.06)

■ いろいろ (2019.12.05)
(various)

■ Firefox 71.0 / ESR 68.3.0、Thunderbird 68.3 公開
(Mozilla, 2019.12.03)

■ いろいろ (2019.12.03)
(various)

■ いろいろ (2019.12.02)
(various)

カスペルスキーインターネットセキュリティ 2019 / 2020