Last modified: Tue Mar 29 18:14:07 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 ロシアがグーグルとメタに制裁、コンテンツ削除怠り巨額の罰金 (ロイター, 12/25)。「今回は、ロシアでの年間売上高の一定割合に応じて制裁額を決めた初のケースとなり、高額なものとなった」。
》 「千島・日本海溝 巨大地震~想定被害を小さくするために」(時論公論) (NHK 解説委員室, 12/23)
被害を小さくするためのもうひとつのポイントが寒さ対策です。被害想定では冬に発生した場合、▼日本海溝の地震で4万2000人、▼千島海溝の地震では2万2000人が低体温症で命の危険にさらされる恐れがあるとしています。
南海トラフ巨大地震地域でも今日のように寒冷であれば十分に脅威だが、 千島・日本海溝巨大地震地域の寒冷ぶりは比較にならないからなあ。
》 スマホ覗き見の反復で迷惑防止条例違反の犯罪に?改正ストーカー規制法の位置情報規定に不具合か (高木浩光@自宅の日記, 12/26)
》 内閣官房 NISC 意見募集 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策 (まるちゃんの情報セキュリティ気まぐれ日記, 12/25)
》 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置 (まるちゃんの情報セキュリティ気まぐれ日記, 12/25)
》 個人情報保護委員会 意見募集 各分野別個人情報保護ガイドラインの改正案 (まるちゃんの情報セキュリティ気まぐれ日記, 12/25)
》 モバイル端末を狙うマルウェアへの対応FAQ (JPCERT/CC, 12/23)
》 テスラが走行中は車載ゲーム機能を無効化へ、米当局の調査受けアップデート配信開始 (techcrunch, 12/25)
》 中国国内からグローバル版Steamストアへのアクセスが不能に、政府の意図的なブロックか (techcrunch, 12/27)
》 ブラウザのプライバシー機能を逆手にとってユーザーを追跡する「プールパーティー攻撃」とは? (gigazine, 12/16)
》 Wikipediaの「中国人編集者一斉BAN」の裏には何があったのか? (gigazine, 12/20)
》 27年にわたる巨大シロアリコロニー駆除の戦いでついに人類が初勝利、イギリス全土でのシロアリ大繁殖を阻止することに成功 (gigazine, 12/22)
》 「ウイグル人強制労働」に反対したことについてIntelが中国に謝罪 (gigazine, 12/24)
コニカミノルタの複数の複合機・プリンターに計 5 件のセキュリティ欠陥。
特定の条件下において、remote から認証情報を窃取可能 CVE-2021-20868 CVE-2021-20869 CVE-2021-20871
特定の条件下において、 物理アクセス可能な攻撃者が HDD を抜き去ることでスキャン画像データを窃取可能 CVE-2021-20870
悪意のあるファームウェアをインストール可能 CVE-2021-20872
HDD 抜き去りの件は「ストレージ(HDD)ロックパスワード設定」で回避できる。 その他については修正版ファームウェアで対応。
オミクロン株 東京で4人感染確認 “1人は市中感染”小池知事 (NHK, 12/24)
小池都知事定例記者会見(令和3年12月24日) (YouTube)
》 医療従事者が3回目接種にモデルナ 交互接種の不安解消狙う (朝日, 12/24)
》 5-11歳も新型コロナワクチンを接種へ 「有効性、安全性を確認」 (朝日, 12/23)
厚生労働省の専門家による分科会は23日、来年3月にも始める厚労省の方針を了承した。
分科会名を明記しろ。こちらです: 第28回厚生科学審議会予防接種・ワクチン分科会 資料 (厚生労働省, 12/23) の資料3。5〜11歳についてはファイザー一択。
あとこれ: 来年の新型コロナウイルスワクチンの追加購入に係る武田薬品工業株式会社及びモデルナ社との合意について (厚生労働省, 12/24)。前倒し対応用を確保、ということかな。
》 無料検査事業の実施について (大阪府)、 無料検査 実施事業者 公表一覧 (大阪府)。 多くの会場では「PCR 検査」と「抗原定性検査 (簡易キット)」のどちらかを選択することになるみたい。Setolabo衛生検査所だけ 「PCR 検査」と「抗原定性検査」の選択。
オミクロン株 京都府で確認 「市中感染」か 女性1人 経路不明 (NHK, 12/23)。来てますね。
令和3年12月23日臨時知事記者会見 新型コロナウイルス感染症(変異株)患者の発生について (京都府, 12/23)
大阪の続報は? …… 昨日の「2人」のうち 1人 (小学生) がオミクロン判明。 もう1人はまだ解析中だそうで。
オミクロン株 大阪府で確認 「市中感染」か 3人とは接点なし (NHK, 12/23)。発症は 12/17。
大阪府で小学生男児がオミクロン株「市中感染」…学校は休校に (読売, 12/23)
濃厚接触者は親族5人。児童が通っている小学校は休校し、児童、教職員全員を対象に検査を実施。このうち3人のコロナ感染が判明しているという。
2021年12月23日(木) 吉村洋文大阪府知事 囲み会見 (大阪維新の会 / YouTube, 12/23)。 オミクロン疑い (デルタ陰性の新型コロナ患者) がさらに12人いるそうで。
林外務大臣臨時会見記録(令和3年12月22日(水曜日)18時47分 於:省内中央玄関ホール) (外務省, 12/22)
まず今回の感染者が発生した部隊に対して、アメリカ側は入国後5日目にPCR検査を実施する一方、ワクチン接種完了済みであることを前提に米国からの出国時及び日本への到着直後ともに検査を実施していないということが判明をいたしました。こうした運用は、日本側措置と整合的とは言えないことから、今後は、全ての日米地位協定対象者の我が国への入国に際しまして、出国前及び入国時の検査の実施を徹底するように求めたところでございます。また、米側は、行動制限期間中に施設・区域内では全ての施設にアクセス可能としていたことも判明したところでございます。この点については、既に米側は一部行動制限を強化しているところでございますが、より一層の制限強化、そしてその制限の徹底、これを求めたところでございます。
さらに、オミクロン株の検査については、日米間の協力により、米側による変異型PCR検査実施に向けて動き出しておりまして、米本国におけるゲノム検査も実施することになった、これは評価しながら、今後のコロナ対策においては、オミクロン株の感染力の強さを念頭に置いて対応していく、ということを確認をいたしました。
米軍、本国からの出国時に検査せず オミクロン株陽性、シュワブ従業員も (琉球新報, 12/23)
【速報】沖縄でオミクロン株陽性4人、感染計10人に 米軍ハンセン従業員ら (琉球新報, 12/23)
【独自】在日米軍 多数の部隊で米国出国時に検査確認せず (TBS, 12/23)
オミクロン株感染の入院リスク、デルタ株を下回る-3つの調査 (ブルームバーグ, 12/22)。英スコットランド、英イングランド、南アフリカ共和国の 3 つ。
暫定的ではあるが、オミクロン株の重症化リスクは、少なくとも既に免疫を有する人が多い地域ではデルタ株よりもかなり小さい可能性を示唆している。
ただ、オミクロン株の感染力の強さは、世界各地で感染を急増させており、医療現場を圧迫し得ると研究者らは指摘する。英国では22日、1日当たりの新規感染者が10万人を超え、過去最多となった。
オミクロン型で重症化「7~8割低く」 南アフリカ研究所 (日経, 12/23)
オミクロン株「過度の楽観視は危険」ワクチン追加接種は…英国名門大の石原純講師が解説 (東京, 12/23)
》 ファイザーの新型コロナ経口薬「パクスロビド」、EU と US が緊急使用を承認
EMA issues advice on use of Paxlovid (PF-07321332 and ritonavir) for the treatment of COVID-19: rolling review starts in parallel (EU EMA, 12/16)
Coronavirus (COVID-19) Update: FDA Authorizes First Oral Antiviral for Treatment of COVID-19 (US FDA, 12/22)
ファイザーのコロナ飲み薬、EUが緊急使用承認 (AFP, 12/17)
EMAは服用方法について、感染が判明してからできるだけ早く、症状が出てから5日以内に飲み始め、5日間服用を続けるよう勧告。主な副作用は味覚障害、下痢、嘔吐(おうと)で、妊娠中や授乳中は服用すべきでないとしている。
米当局、ファイザーコロナ経口薬の緊急使用を承認 自宅服用可能に (ロイター, 12/23)
ホワイトハウスのコロナ対策調整官を務めるジェフ・ザイエンツ氏は、米政府は1月までに治療26万5000回分を調達する予定で、その後数カ月にわたり供給が増える見通しだと述べた。米政府は、発注済みの1000万回分を6カ月以内に確保すると見込んでいる。
(中略)
ファーザーはこれまで、年内に治療18万回分を出荷する用意があるとしている。米政府の治療1000万回分の供給契約では治療当たり価格は530ドル。
薬の解説
新型コロナの重症化を89%防いだ ファイザーの新型コロナ飲み薬 パクスロビドはどんな薬? (忽那賢志 / Yahoo, 11/6)
残念ながら抗インフルエンザ薬のタミフルのように「新型コロナと診断されたら誰も彼もすぐに処方してもらえる」ということにはすぐにはなりません。
しかし、パクスロビドはワクチン接種者を含む重症化リスクのない新型コロナ患者を対象とした臨床研究も行われており、薬価の問題はありますが持病のない若い方でも良好な成績が得られれば今後対象が広がる可能性はあります。
ゲームチェンジャーになるか:COVID-19経口薬パクスロビドが入院・死亡を89%減少 (日経メディカル, 11/8)
新型コロナワクチン最新論文Update「ファイザー飲み薬パクスロビドへの期待」 (m3.com, 12/3)
日本では、 メルクのモルヌピラビルの話が先行しているようで。 パクスロビドの方が高性能っぽいんですけどね。
オミクロン株の市中感染が大阪府で確認されたことについての会見 (首相官邸, 12/22)
飲める治療薬については、オミクロン株にも極めて効果が高いと言われていますメルク社のモルヌピラビルについて、明後日の専門家会合で審議いただき、可とされたならば、直ちに承認した上で、週末より全国に20万回分の配送を開始し、来週から使えるようにいたします。
薬食審・第二部会 新型コロナの経口薬モルヌピラビルを審議 12月24日に (ミクス online, 12/17)。 明日です。
再送-フランスがメルクのコロナ飲み薬発注取り消し、期待外れの試験効果で (ロイター, 12/23)。こんな話になるほど性能が低いと。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)
Java 6 用に Log4j 2.3.1 が、また CVE-2021-45105 対応として Log4j 2.12.3 がリリースされています。iida さん情報ありがとうございます。
Apache Log4j 2 (apache.org)
Mitigation
Upgrade to Log4j 2.3.1 (for Java 6), 2.12.3 (for Java 7), or 2.17.0 (for Java 8 and later).
太平洋を航行 中国空母で戦闘機が発着 防衛省が警戒監視続ける (NHK, 12/21)
中国空母「遼寧」など6隻、艦載機発着 北大東島周辺などの公海航行 (毎日, 12/21)
太平洋に展開する中国・空母「遼寧」からJ-15戦闘機・ヘリが発着艦 (FlyTeam, 12/21)
統合幕僚監部
》 内容さらに充実、IPv6の解説書「プロフェッショナルIPv6 第2版」、BOOTH上で無料配布中 (やじうま Watch, 12/22)
》 Googleからは逃れられない? 米空軍のステルス爆撃機B-2、Google マップで激写される (やじうま Watch, 12/22)。いまさら B-2 をどうこう言いますかね。 Google マップが撮影しているわけではないのだし。 B-21 ならともかく、もうすぐ廃棄する機体なので。
》 公安調査庁 内外情勢の回顧と展望(令和4年版) (まるちゃんの情報セキュリティ気まぐれ日記, 12/20)
》 フレッツ光回線でscpが遅かった話 (qiita, 12/4)。こんな話があるのですね。
ネットで調べてみると、フレッツ光回線でscpができないという話がヒットします。
曰く、sshはデフォルトでIPヘッダにQoSのためのビットを設定するが、この設定をされたパケットはフレッツ網の制約によりドロップされるため通信不能になるとのことです。
ssh_config(5)manを確認すると、QoS設定を行うための設定項目 IPQoS について、以下のように説明されていました。
上記を読んで「フレッツ scp IPQoS」でぐぐってみたら、いろいろ出てくるなあ。 well known な話だったのか。関連:
フレッツ光回線でscpが遅かった話 - Qiita (はてなブックマーク)
IPv6でscpできない (teratail, 2018.01.19)
フレッツV6オプションいわゆる構内網折り返し通信ってやつでscpが通らない問題 (qiita, 2019.07.25)。IPQoS を設定する方法、DSCP 値を強制的に書き換える方法が示されているが、「それでもうまくいかない回線があった」そうで。
フレッツ光回線でscpが遅くなかった話 (piu lentoの日々 (piu lento days), 12/8)
Firefox 95.0 / ESR 91.4.0、Thunderbird 91.4.0 公開 (2021.12.08)
Thunderbird 91.4.1 が公開されました。セキュリティ修正を含みます。
Thunderbird 91.4.1 がリリースされた (mozillaZine, 2021.12.21)
「Thunderbird 91.4.1」が公開 ~2件の脆弱性に対処 (窓の杜, 2021.12.21)
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)
Log4j 2.17.0 が登場。
CVE-2021-45105: Apache Log4j2 does not always protect from infinite recursion in lookup evaluation (oss-sec ML, 2021.12.18)
「Apache Log4j」に3つ目の脆弱性 ~修正版のv2.17.0が公開 (窓の杜, 2021.12.20)。 CVE-2021-45105
Apache Log4j 2 Important: Security Vulnerabilities CVE-2021-45105, CVE-2021-45046 and CVE-2021-44228 (apache.org)
スキャナなど:
https://github.com/dtact/divd-2021-00038--log4j-scanner (GitHub)。go で書かれたスキャナ。
Log4j rce scanner in Kali linux [How to scan vulnerability / Automated] (YouTube, 2021.12.14)
Improving OSS-Fuzz and Jazzer to catch Log4Shell (Google, 2021.12.16)
あとこちら:
Log4jの脆弱性に関する情報をネット上などでやり取りすることはウイルス作成罪に該当するのか考えた (なか2656のblog, 2021.12.16)
》 外国籍住民 参加認める住民投票条例案 否決 東京 武蔵野市議会 (NHK, 12/21)。総務委員会は通ったものの、本会議で否決ですか。
外国人も住民投票条例案、最後は委員長が 武蔵野市議会の白熱議論 (朝日, 12/14)
外国籍にも投票資格の条例案を否決 武蔵野市長「結果重く受け止め」 (朝日, 12/21)。「反対14票、賛成11票」。
「日本は閉鎖的という印象を与える恐れ」 外国籍の住民投票案否決 (朝日, 12/21)。「外国人参政権について研究してきた近藤敦・名城大教授(憲法学)に話を聞いた」。
武蔵野市は今後、「在留期間3年以上」といったふうに資格の範囲を絞るなど、条例案を修正して、再提出したらどうか。
》 在沖縄・米海兵隊基地キャンプ・ハンセンで大規模クラスター発生方面
米軍100人規模感染、部隊の入れ替えと連動 12月初旬に米本国から (琉球新報, 12/18)
【深掘り】米軍が「抜け穴」オミクロン株 経路解明にも及び腰 (琉球新報, 12/18)
それでもマスクなし「禁止されてない」…クラスター発表の夜、街を歩く米兵たち 沖縄・金武町 (琉球新報, 12/18)
オミクロン株「基地内で市中感染的な可能性」 沖縄県、集団感染との関連調査 (琉球新報, 12/18)。「米軍は県側のゲノム解析の要請には応じておらず、オミクロン株への感染かどうかは把握できていない」
キャンプハンセン内の基地従業員を対象とした集中検査の実施について (沖縄県, 12/18)
沖縄の大規模クラスター158人に 米軍関係で最大 オミクロン新たに2人、軍属と日本人夫 (沖縄タイムス, 12/19)
新たに基地従業員1人がオミクロン株に感染 沖縄で4人目 米軍クラスターは186人に【動画あり】 (沖縄タイムス, 12/20)
金武町長、キャンプ・ハンセン外出禁止求める 米軍のコロナ集団感染 松野官房長官に (琉球新報, 12/20)
「絶対に看過できない」と玉城デニー知事 沖縄の米軍トップに米兵の外出禁止を要請へ 基地内クラスター186人 (沖縄タイムス, 12/21)
オミクロン株感染者の遺伝子に違い 感染ルート異なる可能性も (NHK, 12/21)
県保健医療部の糸数公医療技監は「同じ職場にいる2人だが、感染源が違う可能性がある。すでに基地内での感染がかなり広がっていることは否定できない」と述べました。
沖縄キャンプ・ハンセンの集団感染200人に ゲノム検査を要請 (毎日, 12/21)
米側に「オミクロン株」ゲノム解析要請 沖縄基地内感染で木原副長官 (朝日, 12/21)
関連
米軍キャンプハンセンの兵士 酒気帯び運転容疑で逮捕 (NHK, 12/21)。この状況で……。
米兵逮捕 現場近くの住民反応 兵士の行動に疑問の声 (NHK, 12/21)
米国のオミクロン株73%に急増、初の死者も NYは4日連続最多 (朝日, 12/21)
NHLシーズン中断へ 新型コロナ感染拡大で (朝日, 12/21)
WHO事務局長 オミクロン株「ワクチン接種者にも広がっている」 (NHK, 12/21)
Apache 2.4.52 公開。2 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
Apache 2.4.51 以前に欠陥。 mod_lua における multipart の処理に欠陥があり、buffer overflow が発生。今のところ exploit は確認されていない。 CVE-2021-44790
深刻度: high
Apache 2.4.7〜2.4.51 に欠陥。 forward (standard) proxy を有効 (ProxyRequests on) にした場合に NULL pointer dereference が発生して crash したり、 forward および reverse proxy 設定を混在させた場合に Unix ドメインソケットへのリクエストが許可されて Server Side Request Forgery が可能となったりする。 CVE-2021-44224
深刻度: moderate
関連:
》 無償ウイルス対策ソフト「Bitdefender Antivirus Free Edition」の配布が終了 既存ユーザーの利用も2022年6月30日まで (窓の杜, 12/20)
》 日本政府公式の「新型コロナワクチン接種証明書アプリ」が配信開始 (PC Watch, 12/20)。「マイナンバーカード」と「マイナンバーカードが読み取れる(NFC Type B対応)端末」が必要。海外用にはこれに加えて「パスポート」も必要。
Q3-6 マイナンバーカードに旧姓併記がある場合、アプリで接種証明書は発行できますか。 (デジタル庁)。こちらは「近日中に対応予定」。
Q3-9 パスポートに旧姓・別姓・別名併記がある場合、アプリで接種証明書は発行できますか。 (デジタル庁)。こちらは「できません」。
》 コンピュータサイエンス誌「bit」、1969年の創刊号から全386巻が電子復刻版としてAmazon Kindleで販売開始。1冊わずか198円 (publickey, 12/7)。こんなの出てたんですね。 当時の広告もそのまま載ってます。
とりあえず bit 1989年12月号 (morris ワーム特集) を購入。
つづいて、 Reflections on Trusting Trust の訳が載っている bit 1984年12月号 を購入。
関連: 自作Cコンパイラで Ken Thompson のログインハックを再現してみた (0x19f (Shinya Kato) の日報, 2018.08.20)
Sun-2 の広告が載ってる。「UNIX 4.2bsd ベースのグラフィックス・ワークステーション」。 「プロセッサ: MC68010、10MHz」 「主メモリ: 1〜4MByte パリティ付」。いやはや。
》 メルカリ&メルペイでアカウント乗っ取りの不正利用が急増? 運営「被害分は全額補償」 (篠原修司 / Yahoo, 12/19)、 【重要】メルカリ・メルペイを装った不審なメールと、そのお問い合わせ・今後のご案内について(12/17アップデート) (メルカリ, 12/17)
Firefox 95.0 / ESR 91.4.0、Thunderbird 91.4.0 公開 (2021.12.08)
Firefox 95.0.1、Firefox ESR 95.0.1、Firefox for Android 95.2.0 が公開されています。 SHA-2 を用いた OCSP ステープリングを行なっているサイト (例: microsoft.com) に接続できない欠陥などが修正されています。
MicrosoftのWebサイトを「Firefox」で開けない現象が発生中 (窓の杜, 2021.12.15)
MicrosoftのWebサイトを開けない不具合を修正した「Firefox 95.0.1」が公開 8年間放置していた問題が引き金に (窓の杜, 2021.12.17)
Firefox 95.0.1、Firefox for Android 95.2.0 がリリースされた (mozillaZine, 2021.12.17)
さらに Firefox 95.0.2 が公開されています。AMD“Bobcat”CPU + Windows 7 / 8 で頻繁にクラッシュする欠陥が修正されています。
Firefox 95.0.2 がリリースされた (mozillaZine, 2021.12.20)
》 米ノババックスのコロナワクチン、武田が国内承認申請 (日経, 12/16)
武田は海外で承認された医薬品について海外のデータを基に審査を簡略化する「特例承認」の仕組みは使わず、通常の承認手続きで申請した。審査には数カ月程度かかるとの見方が多い。
》 極地での38℃の記録を認定 (国連情報誌SUNブログ対応版, 12/15)
》 Car break-ins on the rise across the Bay Area; how some are 'risking it all' to avoid it (ABC7 NEWS, 12/15)。サンフランシスコ。車上荒らし「対策」としてドアを開け放つ事例。 窓を割られるよりマシなのだそうだ。
関連:
海外安全対策情報(令和3年1月~6月) (在サンフランシスコ日本国総領事館, 7/30)
サンフランシスコを含むベイエリアでは、年間を通して「車上狙い」が多発しています。6月にはカリフォルニア州の経済活動が全面再開となりましたが、サンフランシスコ市内の5月における車上狙いの件数は昨年5月と比較して約7倍も増加したと報道されています。市内の観光ポイントには、「PREVENT A THEFT」、「REMOVE VALUABLES LOCK YOUR CAR」等の標識が設置され、警察当局が警戒を強化していますが、短時間(1分未満)の駐車であっても十分に注意する必要があります。
万引き多発、店舗閉鎖続出で岐路に立つ「バイデンの人権擁護政策」 (安田 佐和子 / 現代ビジネス, 6/29)
カリフォルニア州では2014年11月に実施された住民投票「修正案47(Proposition 47、Prop-47)」の可決により、被害額が950ドル以下の場合は、軽罪に分類されるようになった。
同法が施行された効果はすぐに現れ、2016年のロサンゼルス市警での万引き報告件数は前年比で25%も増加。その後も増加の一途をたどったが、万引きが軽罪として扱われるようになってから、警察や小売業者が万引きを取り締まらなくなったことが一因とされる。最近では、サンフランシスコにあるウォルグリーンで、警備員の目の前で万引きする男性の姿を捉えた動画がCNNなどでも報じられ、話題となったものだ。
記事にも埋め込まれている当該動画: https://twitter.com/LyanneMelendez/status/1404574079156318210
小売業者が取り締まりの網を弛めた理由は、もう1つある。店内で、万引きの疑いのある人物の特定、聴取などの行為が人種差別につながるとして、訴訟リスクをはらむようになったためだ。
万引き多発の代償は、旗艦店の閉鎖だ。
薬局チェーン大手ウォルグリーンは、カリフォルニア州のサンフランシスコで少なくとも過去5年間で17店舗の閉鎖を余儀なくされた。
【サンフランシスコ】、万引き天国で大手チェーンも時短へ!4割の市民は脱出を計画中? (後藤文俊 / BLOGOS, 7/5)
Crime rate in San Francisco, California (CA): murders, rapes, robberies, assaults, burglaries, thefts, auto thefts, arson, law enforcement employees, police officers, crime map (city-data.com)。全米平均が減少傾向なのに SF は高止まりしている。
Crime rate in Oakland, California (CA): murders, rapes, robberies, assaults, burglaries, thefts, auto thefts, arson, law enforcement employees, police officers, crime map (city-data.com)。輪をかけてひどい。
》 トルネードで倒壊したAmazon倉庫の従業員はシェルターではなく「トイレ」に避難させられていた (gigazine, 12/17)
また、Amazon倉庫の耐久性にも問題があった可能性が指摘されています。海外メディアのArs Technicaによると、エドワーズビルのAmazon倉庫は現場で鉄筋コンクリートの板を寝かせた状態で作成してから、垂直に起こして壁にする「ティルトアップ工法」で建設されていたとのこと。この工法は建設費が安い一方で、屋根で壁を支える構造上、屋根が失われると重い壁が不安定になり危険だとされています。実際、12月10日にエドワーズビルのAmazon倉庫が竜巻に見舞われた際には、時速150マイル(時速約240km)の強風により建物の屋根が引き裂かれ、110万平方フィート(約10ヘクタール)の建物の南半分が倒壊しました。前述の女性らが避難した女子トイレも、施設の南にあったと報じられています。
》 iPhoneの緊急通報できない問題、iOS 15.2で解消 携帯4社が発表 (ITmedia, 12/17)
》 米コーネル大、4日間で学生ら986人感染 「大部分がオミクロン」 (朝日, 12/16)。コーネル大学は ワクチン接種率 97% (cornell.edu) なのですが、それでもこの状況ですか。
関連:
オミクロン株で米企業のビジネスプラン混乱、オフィス復帰延期相次ぐ (ブルームバーグ, 12/17)
東京都の 20 代女性 + 濃厚接触者の 20 代男性の件
検疫所職員がオミクロン株陽性 療養施設勤務、入国者以外で初 (時事, 12/16)
<新型コロナ>オミクロン株水際対策の限界を露呈 1日2~8人、陽性者の3分の1は検疫すり抜け (東京, 12/16)。感度の低い抗原定量検査なんか使っているからこうなる。 最初から PCR (RT-qPCR) にしろよ。
英研究、オミクロンは「風邪の症状」 全体の感染最多に (日経, 12/17)
オミクロン株 「実効再生産数」デルタ株の約4倍 (TV 朝日, 12/17)
はい、出てます。
0-day 修正はこちら:
CVE-2021-43890 Windows AppX Installer なりすましの脆弱性は、既に、Emotet, Trickbot, Bazaloader などのマルウェアによって脆弱性の悪用が行われていることを確認しています。また、脆弱性の詳細が一般に公開されています。
ms-appinstaller: スキームの件だそうです。無効化されました。
Installing Windows 10 apps from a web page (Microsoft, 2021.12.16 更新)
The ms-appinstaller scheme(protocol) has been disabled.
New Scheme from Microsoft: ms-appinstaller (revenera, 2021.06.02)
BazarLoader ‘call me back’ attack abuses Windows 10 Apps mechanism (Sophos, 2021.11.11)
Emotet、偽のAdobe Windows App Installerパッケージによって感染拡大中 (ソフトアンテナ, 2021.12.02)
関連:
2021 年 12 月のセキュリティ更新プログラム (MSRC)
今年最後のMicrosoftセキュリティ更新、ゼロデイ1件を含む67件の脆弱性に対処【14:00追記】 (窓の杜, 2021.12.15)
Microsoft Patch Tuesday, December 2021 Edition (Krebs on Security, 2021.12.14)
【Windows11】 WindowsUpdate 2021年12月 不具合情報 - セキュリティ更新プログラム KB5008215 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2021.12.15)
【Windows10】 WindowsUpdate 2021年12月 不具合情報 - セキュリティ更新プログラム KB5008212 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2021.12.15)
【Windows8.1】 WindowsUpdate 2021年12月 注意事項と各KBメモと直リンク KB5008263 / KB5008285等 (ニッチなPCゲーマーの環境構築Z, 2021.12.15)
Windows Server 2012 R2 / 2016 / 2019 / 2022 において、更新プログラム適用後に「画面が黒くなる、ログオンが遅くなる、あるいは全般に処理が遅くなる」状況が発生することがあるそうで。定例外の更新プログラムが公開されています。
Windows Server用KB5010196とKB5010215が緊急リリース。画面が黒くなったり遅くなるなどの不具合を修正 [Update 1: 2022 / 2016用公開] (ニッチなPCゲーマーの環境構築Z, 2022.01.06)。更新プログラムのダウンロードに関して、Chrome 系ブラウザ利用者のための注あり。
Take action: Out-of-band update to address a Windows Server issue (Microsoft, 2022.01.05 更新)。WSUS で配布したい場合は、 手動でインポートする必要があるそうです。
2021年12月のWindowsパッチに問題、「Outlook」で最近のメールが検索結果に表示されない Microsoftが一時的な回避策を案内 (窓の杜, 2022.01.11)。
》 Apple’s Android App to Scan for AirTags is a Necessary Step Forward, But More Anti-Stalking Mitigations Are Needed (EFF, 12/15)
》 Appleがリモートワーク解除を無期限延期か (gigazine, 12/16)
》 アップル、プライバシー保護の懸念を受けて児童性的虐待コンテンツへの言及をひっそり取り止め (techcrunch, 12/16)
》 YouTube、2021年上半期だけで著作権侵害申し立ては7億件以上。透明性レポート公開 (PC Watch, 12/7)
関連: YouTube’s New Copyright Transparency Report Leaves a Lot Out (EFF, 12/15)
》 [更新][障害情報]Trend Micro Cloud One - File Storage Security にてスキャンが正常に実行できない障害について (トレンドマイクロ, 12/16)。障害継続中の模様。
》 ドローンメーカー「DJI」などがアメリカ財務省の「中国軍産複合体企業」ブラックリスト入り (gigazine, 12/16)。「中国の少数民族・ウイグル族の監視・拘束に関与した疑いによるものです」
》 米FTCが大手テックのアルゴリズムによる差別と商業的監視に対する規則を検討中 (techcrunch, 12/16)
》 さらに6人の女性がテスラを職場のセクハラで訴える (techcrunch, 12/15)
》 武田、ノババックス製ワクチンの製造販売承認を申請 (TV 朝日, 12/16)。やっと来た! 「承認された後、来年初頭の供給開始を目指します」。
》 Huaweiが中国政府の監視システムに関与していたことを示す文書が報じられる (gigazine, 12/15)
》 Google’s Manifest V3 Still Hurts Privacy, Security, and Innovation (EFF, 12/14)
》 年末年始における情報セキュリティに関する注意喚起 (IPA, 12/16)
》 Googleが「ワクチン未接種ならば解雇する」と従業員に通達中 (gigazine, 12/16)
》 ジョン・F・ケネディ暗殺文書の未公開分がついにネットで公開され誰でもダウンロード可能に (gigazine, 12/16)
ただし、ケネディ大統領暗殺事件について研究を進める学者などからは「今回公開された文書から学ぶことはほとんどない」という意見も出ています。CNNによると今回公開された文書のほとんどはこれまで公開されてきたものの複製や編集されたものであり、「何も変更されていないデータすらある」そうです。実際、今回公開された文書について、国家安全保障局は公開差し止めを求めていませんでした。
(中略)
アメリカ国立公文書館によると、今回公開された分を合わせるとケネディ元大統領の暗殺に関する公開済みの機密文書は1万7834件で全体の90%以上に相当し、残る「編集された文書」「完全に公開が停止された文書」は520件だとのことです。
》 量子コンピューターに「宇宙線」が重大なエラーを引き起こすとの研究結果 (gigazine, 12/16)
》 AWSアカウントがハッキングされて1日で500万円の請求が来た話 (gigazine, 12/16)。500万請求されるような行為をできちゃうという問題。
AWSにはセキュリティ設定に「コスト異常検知」という項目があるとのことで、プラット氏は「AWSでホスティングを行っている人は、ぜひコスト異常検知を設定してください」と語っています。
》 「Microsoft Teams」通話のエンドツーエンド暗号化(E2EE)が一般提供開始 (窓の杜, 12/15)
》 OpenSSL version 1.1.1m published (OpenSSL, 12/14)。iida さん情報ありがとうございます。 OpenSSL 1.1.1 Series Release Notes (OpenSSL)
Major changes between OpenSSL 1.1.1l and OpenSSL 1.1.1m [14 Dec 2021]
- None
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)
Log4j 2.15.0 での修正は不十分だったのだそうで。 ひきつづき残っていた欠陥が CVE-2021-45046 として分類された。Log4j 2.16.0 で修正。
CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack (oss-sec ML, 2021.12.14)
Re: CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack (oss-sec ML, 2021.12.15)
また、Java 7 利用者のため Log4j 2.12.2 がリリースされた。
Apache Log4j 2.12.2 (apache.org)
Log4j 2.12.2 is now available for production. Log4j 2.12.2 is the latest release of Log4j and contains changes addressing only CVE-2021-44228 and CVE-2021-45046 for users still using Java 7:
- Removed Message Lookups in PatternLayout. %m{lookup}, %m{nolookup}, and variants will still be accepted as conversion patterns, but have no effect.
- Disabled JNDI by default and only allowing java protocol when enabled.
- Made JNDI Lookup inoperable and removed the message Lookup capability.
あと、Log2j 1.2 の件:
CVE-2021-4104: Deserialization of untrusted data in JMSAppender in Apache Log4j 1.2 (oss-sec ML, 2021.12.13)
あとこれ:
オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に (やじうまの杜, 2021.12.16)
Log4j overview related software (NCSC-NL / GitHub)。マジすげえ。
NSO Group 方面 (2021.11.11)
Google Project Zero による技術解説:
A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution (Project Zero, 2021.12.15)
要人監視などに用いられたスパイウェア・Pegasusで利用されたiPhone向けのゼロクリックエクスプロイトは「技術的に最も洗練されたエクスプロイト」とGoogleのProject Zeroが指摘 (gigazine, 2021.12.16)
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート) (six apart, 2021.12.16)。2021.10.20 の修正は不十分だったそうで。
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起 (JPCERT/CC, 2021.12.16 更新)
SAP Security Patch Day - December 2021 (SAP, 2021.12.15)
OpenSSL version 3.0.1 published (OpenSSL, 2021.12.14)。iida さん情報ありがとうございます。
Changelog: OpenSSL 3.0 (OpenSSL)
Changes between 3.0.0 and 3.0.1 [14 dec 2021]
- Fixed invalid handling of X509_verify_cert() internal errors in libssl Internally libssl in OpenSSL calls X509_verify_cert() on the client side to verify a certificate supplied by a server. That function may return a negative return value to indicate an internal error (for example out of memory). Such a negative return value is mishandled by OpenSSL and will cause an IO function (such as SSL_connect() or SSL_do_handshake()) to not indicate success and a subsequent call to SSL_get_error() to return the value SSL_ERROR_WANT_RETRY_VERIFY. This return value is only supposed to be returned by OpenSSL if the application has previously called SSL_CTX_set_cert_verify_callback(). Since most applications do not do this the SSL_ERROR_WANT_RETRY_VERIFY return value from SSL_get_error() will be totally unexpected and applications may not behave correctly as a result. The exact behaviour will depend on the application but it could result in crashes, infinite loops or other similar incorrect responses.
This issue is made more serious in combination with a separate bug in OpenSSL 3.0 that will cause X509_verify_cert() to indicate an internal error when processing a certificate chain. This will occur where a certificate does not include the Subject Alternative Name extension but where a Certificate Authority has enforced name constraints. This issue can occur even with valid chains. ([CVE-2021-4044])
いろいろ出ました。
Security Updates Available for Adobe After Effects | APSB21-115 (Adobe, 2021.12.14)
Windows / macOS 版 After Effects 22.0 以前 / 18.4.2 以前に 10 件のセキュリティ欠陥、任意のコードの実行を招くなど。 After Effects 22.1.1 / 18.4.3 で修正。
Priority: 3
Security Updates Available for Adobe Audition | APSB21-121 (Adobe, 2021.12.14)
Windows / macOS 版 Audition 22.0 以前 / 14.4 以前に 3 件のセキュリティ欠陥、権限上昇を招く。 Audition 22.1.1 / 14.4.3 で修正。
Priority: 3
Security update available for Adobe Connect | APSB21-112 (Adobe, 2021.12.14)
Connect 11.3 以前に Cross-Site Request Forgery (CSRF) を招くセキュリティ欠陥が存在、 任意のファイルシステムに書き込める。Connect 11.4 で修正。
Priority: 3
Security updates available for Dimension | APSB21-116 (Adobe, 2021.12.14)
Windows / macOS 版 Dimension 3.4.3 以前に 6 件のセキュリティ欠陥、任意のコードの実行を招くなど。 Dimension 3.4.4 で修正。
Priority: 3
Security updates available for Adobe Experience Manager | APSB21-103 (Adobe, 2021.12.14)
Adobe Experience Manager (AEM) 6.5.10.0 以前、および AEM Cloud Service に 8 件のセキュリティ欠陥、任意のコードの実行を招くなど。 AEM 6.5.11.0 および AEM Cloud Service 2021.11.0 (2021.12.16 リリース) で修正。
Priority: 2
Security Updates Available for Adobe Lightroom | APSB21-119 (Adobe, 2021.12.14)
Windows 版 Lightroom 4.4 以前に権限上昇を招く欠陥。 Lightroom 5.1 で修正。
Priority: 3
Security Updates Available for Adobe Media Encoder | APSB21-118 (Adobe, 2021.12.14)
Windows / macOS 版 Media Encoder 22.0 以前 / 15.4.2 以前に 5 件のセキュリティ欠陥、任意のコードの実行を招くなど。 Media Encoder 22.1.1 / 15.4.3 で修正。
Priority: 3
Security update available for Adobe Photoshop | APSB21-113 (Adobe, 2021.12.14)
Windows / macOS 版 Photoshop 2021 22.5.3 / 2022 23.0.2 以前に 3 件のセキュリティ欠陥、任意のコードの実行を招くなど。 Photoshop 2021 22.5.4 / 2022 23.1 で修正。
Priority: 3
Security Updates Available for Adobe Prelude | APSB21-114 (Adobe, 2021.12.14)
Prelude 22.0 以前に 2 件のセキュリティ欠陥、任意のコードの実行を招くなど。 Prelude 22.1.1 で修正。
Priority: 3
Security Updates Available for Adobe Premiere Pro | APSB21-117 (Adobe, 2021.12.14)
Windows / macOS 版 Premiere Pro 22.0 以前 / 15.4.2 以前に 5 件のセキュリティ欠陥、任意のコードの実行を招くなど。 Premiere Pro 22.1.1 / 15.4.3 で修正。
Priority: 3
Security Updates Available for Adobe Premiere Rush | APSB21-101 (Adobe, 2021.12.14)
Windows 版 Premiere Rush 1.5.16 以前に 16 件の欠陥、任意のコードの実行を招くなど。 Premiere Rush 2.0 で修正。
Priority: 3
Chrome 96.0.4664.110 公開。5 件のセキュリティ修正を含む。内 1 件 CVE-2021-4102 は 0-day。
関連: 「Microsoft Edge」も「V8」エンジンのゼロデイ脆弱性に対処 ~「Chrome」から1日遅れ 修正版のv96.0.1054.57が公開 (窓の杜, 2021.12.15)
出ました。
iOS 15.2 および iPadOS 15.2 のセキュリティコンテンツについて (Apple, 2021.12.13)
tvOS 15.2 のセキュリティコンテンツについて (Apple, 2021.12.13)
watchOS 8.3 のセキュリティコンテンツについて (Apple, 2021.12.13)
macOS
macOS Monterey 12.1 のセキュリティコンテンツについて (Apple, 2021.12.13)
macOS Big Sur 11.6.2 のセキュリティコンテンツについて (Apple, 2021.12.13)
セキュリティアップデート 2021-008 Catalina のセキュリティコンテンツについて (Apple, 2021.12.13)
About the security content of Safari 15.2 (Apple, 2021.12.14)
MicrosoftがmacOSの脆弱性「powerdir」を解説 (PC Watch, 2021.01.11)。上記で修正された CVE-2021-30970 の解説。
》 Windows 11の「あなたはそこに~ %です」という奇妙な翻訳、とうとう修正される (窓の杜, 12/14)。「OS・アプリに変な翻訳を見つけたら「フィードバック Hub」アプリで報告してみよう 」
関連: フィードバック Hub (Microsoft)
》 アップル、正体不明のAirTagを発見するAndroidアプリ「Tracker Detect」をリリース (techcrunch, 12/15)。AirTag という重大脅威に対する Android ユーザーのための武器。 どっちも Apple がやってるわけで、死の商人的ではある。
AirTagに対する懸念はあるものの、Appleがトラッカーのスキャンをサポートしたことで、まだストーカー対策機能を提供していない競合他社をリードすることになった。この発表を受けて、競合するTileは、誰でもTileアプリを使っていつでも手動スキャンを行えるようにすると述べた。この機能は2022年初めに提供される予定だ。
》 三菱重工、南フランスで建造中のトカマク型核融合実験炉ITERで利用されるダイバータ向け外側垂直ターゲット6基を受注 (techcrunch, 12/13)
》 米国がウィキリークス創設者アサンジ氏の身柄引き渡しを求める訴えで勝訴 (techcrunch, 12/11)。「引き渡しを許可するかどうか、最終決定は英国の国務長官が行う」。
》 活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴 (techcrunch, 12/11)
》 竜巻直撃のアマゾン倉庫、「命より生産性優先」と遺族が批判 (BBC, 12/14)
》 オミクロン株、77カ国で確認 ほとんどの国に存在か=WHO (BBC, 12/15)
》 Firefox不具合MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING (これが知りたかった!, 12/15)。Firefox から microsoft.com に接続できない件、 Firefox の OCSP 実装が SHA-2 に対応していないためではないかという話。
関連: MicrosoftのWebサイトを「Firefox」で開けない現象が発生中 (窓の杜, 12/15)
》 Reminder: ClamAV 0.102, 0.101 End of Life is Jan 3, 2022 (ClamAV, 12/14)
電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに (2019.01.31)
活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴 (techcrunch, 2021.12.11)
訴状で名指しされている、ExpressVPNのCIOであるDaniel Gerike(ダニエル・ジェライク)氏、Marc Baier(マーク・ベイヤー)氏、Ryan Adams(ライアン・アダムズ)氏の3人の米国家安全保障局(NSA)元工作員は、アラブの春の抗議活動の際に、政府に反対する人権活動家、政治家、ジャーナリスト、反体制派をスパイするためにUAEが展開したハッキングプログラム「Project Raven」に参加していた。元スパイの3人は9月に米司法省との不起訴合意に基づき、コンピュータ不正使用防止法(CFAA)と機密軍事技術の販売禁止の違反を認め、計170万ドル(約1億9000万円)を支払うことに合意した。また、コンピュータネットワークの不正利用に関わる仕事、UAEの特定の組織での仕事、防衛関連製品の輸出、防衛関連サービスの提供を永久に禁止されている。
訴訟では、ジェライク氏、ベイヤー氏、およびアダムズ氏の3人が、米企業から悪意あるコードを購入し、そのコードを米国内のApple(アップル)のサーバーに意図的に誘導して、CFAAに違反してアル・ハズルール氏のiPhoneに悪意あるソフトウェアを仕込んだと主張している。また、アル・ハズルール氏の携帯電話のハッキングが、UAEによる人権擁護者や活動家に対する広範かつ組織的な攻撃の一環であったことから、人道に対する罪をほう助したとも主張している。
》 Windows 11でSSDが遅くなる不具合。ランダムライトが半分以下の場合も (PC Watch, 12/13)。 Windows 11 の性能劣化話、なかなか終わらないなあ。
》 「macOS Monterey 12.1」配信。充電されない不具合の修正や、SharePlayへの対応など (PC Watch, 12/14)
》 Twitterで「値がセットされていません」とツイートするユーザーが急増、その理由は? (やじうま Watch, 12/13)
》 東電のハードディスクから掘り起こされた重要メール (Level 7 News, 12/9)。「2008年から2011年にかけて、東電内部で津波のリスクについてどのように認識していたか、そして外部の専門家に根回ししたり、他の電力会社に圧力をかけたりして、津波対策の遅れが露見しないよう工作していた状況がわかる」。
開示された文書は、「捜査報告書(メールデータの抽出印字について)」2017年4月21日付、A4全153ページ(写真1)。指定弁護士の指示で、東京地方検察庁の検察事務官が、東電のHD(1テラバイト)3台から、フォレンジックソフト「Nuix」を用いて、メールデータを抽出し、印字したことがわかる。
これらのメールは、なぜ削除されていたんでしょうね。
》 中華ログペリアンテナを120%活かした社内EMC試験の方法 – アンテナファクタ付で販売も (cerevo, 12/10)。興味深い。
》 [FT]「武器調達をドイツが阻止」 ウクライナ国防相発言 (FT / 日経, 12/13)
ウクライナの (中略) レズニコフ国防相は、ウクライナが先月NATO支援調達庁を通じてドローン迎撃用ライフルや対狙撃兵システムを購入しようとした際、ドイツが拒否権を発動したとフィナンシャル・タイムズ(FT)に明かした。だがドイツはその後、ライフルについては非致死性の装備だとして態度を軟化させた。
》 「戦争」「ウンコ」「害虫駆除」…1日の投稿110件、中国“ツイ廃”総領事を40日追跡して見えたもの (安田 峰俊 / 文春オンライン, 12/14)
さて、ここまで日本初の中国戦狼外交官のツイッター活動の背景と運用実態について詳しく考察してきた。だが、読者各位にはもっと大きな疑問を覚えている人もいるのではないか。
──なぜ、こんな内容の記事が成立しているのかだ。
結論から書けば、中国駐大阪総領事館は、これまで中国関連の記事を多数(それどころか総領事館に直接言及した記事も)書いている私の身元調査も、日本の最大手月刊誌『文藝春秋』の過去半年間の中国関連記事の確認も、ほぼおこなっていなかった可能性が非常に高い。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)
Log4j 2.16.0 がリリースされた。Message Lookup 機能が完全に削除され、JNDI もデフォルト無効化された。
[ANNOUNCE] Apache Log4j 2.16.0 Released (apache.org, 2021.12.13)
* Removed Message Lookups. This is a hardening related to changes made to prevent CVE-2021-44228. While this change is recommended, it is NOT required to fix CVE-2021-44228.
* While release 2.15.0 removed the ability to resolve Lookups and log messages and addressed issues with how JNDI is accessed, the Log4j team feels that having JNDI enabled by default introduces an undue risk for our users. Starting in version 2.16.0, JNDI functionality is disabled by default and can be re-enabled via the log4j2.enableJndi system property. Use of JNDI in an unprotected context is a large security risk and should be treated as such in both this library and all other Java libraries using JNDI.
* Prior to version 2.15.0, Log4j would automatically resolve Lookups contained in the message or its parameters in the Pattern Layout. This behavior is no longer the default and must be enabled by specifying %msg{lookup}.
あと Log4j 1.x について、Red Hat から:
CVE-2021-4104 (Red Hat, 2021.12.10)
A flaw was found in the Java logging library Apache Log4j in version 1.x. JMSAppender in Log4j 1.x is vulnerable to deserialization of untrusted data. This allows a remote attacker to execute code on the server if the deployed application is configured to use JMSAppender and to the attacker's JMS Broker.
Java 環境で広く利用されている log 出力ライブラリ、Apache Log4j 2.0〜2.14.1 に極めて危険な機能が存在。
Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み実行し、結果として任意のコードが実行される可能性があります。
この機能がデフォルト有効であったため大問題に。CVE-2021-44228
Log4j 2.17.1 (Java 8 以降用) / 2.12.4 (Java 7 用) / 2.3.2 (Java 6 用) で対応されている。
2.15.0 の対応は不十分であることが判明 CVE-2021-45046、Log4j 2.16.0 で追加対応された。
2.16.0 の対応も不十分であることが判明 CVE-2021-45105、Log4j 2.17.0 で追加対応された。
2.12.2 の対応は不十分であることが判明 CVE-2021-45105、Log4j 2.12.3 で追加対応された。
新たな欠陥 CVE-2021-44832 が発見された。攻撃者が設定をいじれる場合、JDBC Appender を介して RCE 発生。 Log4j 2.17.1 / 2.12.4 / 2.3.2 で対応された。
また以下の方法でも対応できる:
JndiLookup クラスを classpath から削除することで対応できる。例: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Log4j 2.10 以降であれば、環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS を true に設定するか、 あるいは Java VM を -Dlog4j2.formatMsgNoLookups=true オプション付きで起動することで限定的に対応できる。ただし CVE-2021-45046 CVE-2021-45105 を防げない。
apache.org:
[ANNOUNCEMENT] Apache Log4j 2.15.0 Released (apache.org, 2021.12.10)
[ANNOUNCE] Apache Log4j 2.16.0 Released (apache.org, 2021.12.13)。Message Lookup 機能を完全に削除、 JNDI もデフォルト無効。
[ANNOUNCE] Apache Log4j 2.12.2 released (apache.org, 2021.12.15)。Java 7 用。Message Lookup 機能を完全に削除、 JNDI もデフォルト無効。
LOG4J2-3198 - Message lookups should be disabled by default (apache.org)
Apache Log4j Security Vulnerabilities (apache.org)
[ANNOUNCE] Apache Log4j 2.17.1 released (apache.org, 2021.12.29)
[ANNOUNCE] Apache Log4j 2.12.4 released (apache.org, 2021.12.30)
Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package (LunaSec, 2021.12.09)
脅威に関する情報: Apache Log4jに新たな脆弱性(CVE-2021-44228) 実際の悪用も確認 (Paloalto networks, 2021.12.10)
Inside the Log4j2 vulnerability (CVE-2021-44228) (Cloudflare, 2021.12.11)
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた (piyolog, 2021.12.13)
Log4Shell Hell: anatomy of an exploit outbreak (Sophos, 2021.12.12)
Apache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228, CVE-2021-4104 ) (SIOS, 2021.12.12)
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について (@police, 2021.12.14)。記載されている観測結果は 1 時間おきに更新されている。
Understanding the Impact of Apache Log4j Vulnerability (Google Security Blog, 2021.12.17)
Log4j overview related software (NCSC-NL / GitHub) にすごい一覧があります。
Amazon AWS
Apache Log4j2 Issue (CVE-2021-44228) (AWS, 2021.12.10)
Hotpatch for Apache Log4j (AWS, 2021.12.12)、 Apache Log4j のためのホットパッチ (AWS, 2021.12.13)
Apache Druid
druid-0.22.1 (Github, 2021.12.11)
Apache Flink
Advise on Apache Log4j Zero Day (CVE-2021-44228) (Apache, 2021.12.10)
Apache Flume
(?)
Apache Kafka
(?)
Apache Solr
Apache Solr affected by Apache Log4J CVE-2021-44228 (Apache, 2021.12.10)
Apache Struts
Security Advice on Log4j 2.15.0 (Apache Struts, 2021.12.12)
Apple iCloud
Apple、iCloudの「Apache Log4j」ゼロデイ脆弱性を修正 (ITmedia, 2021.12.17)
Arduino IDE
Cisco
シスコ製品に影響を与えるApache Log4jライブラリの脆弱性:2021年12月 (Cisco, 2021.12.12)
Snort rule update for Dec. 14, 2021 — Microsoft Patch Tuesday (snort.org, 2021.12.14)
Docker Desktop
ElasticSearch, Logstash
Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31 (Elastic, 2021.12.11)
F-Secure
F5
K19026212: Apache Log4j2 Remote Code Execution vulnerability CVE-2021-44228 (F5, 2021.12.13 更新)
Apache Log4j Vulnerability (Google Security Blog, 2021.12.17)。 Android, Chrome browser, Chrome OS, Google Marketing Platform, YouTube は影響なし。
Apache Log4j 2 Vulnerability (Google Cloud)
graylog
Graylog Update for Log4j (graylog, 2021.12.10)
GroupSession
Apache Log4j の脆弱性について(2021-12) (GroupSession, 2021.12.14)。v5.1.3 以降にアップデートするか、 ライブラリファイルの手動置きかえで対応できる。
IBM SPSS
Apache Log4j CVE-2021-44228 vulnerability in IBM SPSS Statistics (IBM, 2021.12.20)
McAfee
McAfee Enterprise coverage for Apache Log4j CVE-2021-44228 Remote Code Execution (McAfee, 2021.12.13 更新)
Endpoint Security (ENS), VirusScan Enterprise (VSE), McAfee Web Gateway (MWG):
On December 12, 2021, McAfee Enterprise released V3 AMCore content 4648 (ENS) and V2 DAT 10196 (VSE). Generic detections are provided under the title Exploit-CVE-2021-44228.C. These detections identify the use of potentially malicious jndi:ldaps, jndi:ldap, jndi:rmi, and jndi:dns strings. Detections are represented as a "Potentially Unwanted Program", and it's recommended that you review policies to make sure that scanners honor Unwanted Program detections.
PUP として検出するので、PUP を検出するように設定してね。
Microsoft (Asure、Microsoft Defender、……)
Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 (MSRC, 2021.12.11)
Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation (MSRC, 2021.12.11)
Minecraft
Important Message: Security vulnerability in Java Edition (Minecraft, 2021.12.10)
Movable Type
[注意喚起] Apache Log4j の脆弱性(CVE-2021-44228)による Movable Type Premium をお使いのお客様への影響について (six apart, 2021.12.13)
Movable Type では Java を使用していないため、本脆弱性についての影響は受けませんが、Movable Type Premium において、全文検索プラグイン「PremiumSearch」をお使いの場合、利用されている Elasticsearch で Log4j を利用しており、脆弱性の影響を受ける可能性があります。
PostgreSQL JDBC
PostgreSQL JDBC and the log4j CVE (PostgreSQL, 2021.12.13)。影響なし。
QNAP
Vulnerability in Apache Log4j Library (QNAP, 2021.12.14)。QNAP 製アプリには影響ないが、 3rd party ソフトウェアについては調査中。
Red Hat
RHSB-2021-009 Log4Shell - Remote Code Execution - log4j (Red Hat, 2021.12.10)
Siemens
SSA-661247: Apache Log4j Vulnerabilities (Log4Shell, CVE-2021-44228, CVE-2021-45046) - Impact to Siemens Products (Siemens, 2021.12.17 更新)。こんなにあるとは……。
Spring Boot
Log4J2 Vulnerability and Spring Boot (Spring, 2021.12.10)
Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 (DevelopersIO, 2021.12.11)
Symantec
Threat Alert: Apache Log4j RCE (CVE-2021-44228) aka Log4Shell (Broadcom, 2021.12.11)
Symantec Security Advisory for Log4j Vulnerability (Broadcom, 2021.12.22 更新)
Log4j2 vulnerability (CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105) information and mitigation steps for on-premises manager and LiveUpdate Administrator (Broadcom, 2021.12.21 更新)
Log4j2 の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) に対する管理サーバーと LiveUpdate Administrator の緩和策について (Broadcom, 2021.12.21 更新)
Synology
Synology-SA-21:30 Log4Shell (Synology, 2021.12.13)。影響なし。
Trendmicro トレンドマイクロ
アラート/アドバイサリ:Apache Log4j の脆弱性(CVE-2021-44228)について (トレンドマイクロ, 2021.12.14 更新)
VMware
VMSA-2021-0028.1 - VMware Response to Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228) (VMware, 2021.12.11)
VMSA-2021-0028 & Log4j: What You Need to Know (VMware, 2021.12.11)
関連報道: (随時更新)
世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた (gigazine, 2021.12.14)
Log4jのゼロデイ脆弱性「Log4Shell」を悪用する攻撃が急増中、中国政府の関与も疑われる (gigazine, 2021.12.15)
中国・イラン・北朝鮮・トルコの支援を受けたハッキンググループがLog4jのゼロデイ脆弱性「Log4Shell」を悪用しているとMicrosoftが発表 (gigazine, 2021.12.16)
「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認 (ITmedia, 2021.12.16)
Log4j 1.x でも影響する場合があるという議論: https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (JPCERT/CC, 2021.12.13 更新) にも Log4j 1.x の件が追記されています。
Apache Log4j 1系のバージョンについては、第三者が本脆弱性を悪用するためにLog4jの設定ファイルを変更することができれば影響を受けるとの情報が公開されていますが、攻撃を行うためには何らかの方法で事前にシステムに不正にアクセスする必要があり、遠隔からの脆弱性を悪用した攻撃の影響は受けません。
Restrict LDAP access via JNDI #608 Comment
https://github.com/apache/logging-log4j2/pull/608#issuecomment-991730650
Log4j 2.16.0 がリリースされた。Message Lookup 機能が完全に削除され、JNDI もデフォルト無効化された。
[ANNOUNCE] Apache Log4j 2.16.0 Released (apache.org, 2021.12.13)
* Removed Message Lookups. This is a hardening related to changes made to prevent CVE-2021-44228. While this change is recommended, it is NOT required to fix CVE-2021-44228.
* While release 2.15.0 removed the ability to resolve Lookups and log messages and addressed issues with how JNDI is accessed, the Log4j team feels that having JNDI enabled by default introduces an undue risk for our users. Starting in version 2.16.0, JNDI functionality is disabled by default and can be re-enabled via the log4j2.enableJndi system property. Use of JNDI in an unprotected context is a large security risk and should be treated as such in both this library and all other Java libraries using JNDI.
* Prior to version 2.15.0, Log4j would automatically resolve Lookups contained in the message or its parameters in the Pattern Layout. This behavior is no longer the default and must be enabled by specifying %msg{lookup}.
あと Log4j 1.x について、Red Hat から:
CVE-2021-4104 (Red Hat, 2021.12.10)
A flaw was found in the Java logging library Apache Log4j in version 1.x. JMSAppender in Log4j 1.x is vulnerable to deserialization of untrusted data. This allows a remote attacker to execute code on the server if the deployed application is configured to use JMSAppender and to the attacker's JMS Broker.
Log4j 2.15.0 での修正は不十分だったのだそうで。 ひきつづき残っていた欠陥が CVE-2021-45046 として分類された。Log4j 2.16.0 で修正。
CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack (oss-sec ML, 2021.12.14)
Re: CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack (oss-sec ML, 2021.12.15)
また、Java 7 利用者のため Log4j 2.12.2 がリリースされた。
Apache Log4j 2.12.2 (apache.org)
Log4j 2.12.2 is now available for production. Log4j 2.12.2 is the latest release of Log4j and contains changes addressing only CVE-2021-44228 and CVE-2021-45046 for users still using Java 7:
- Removed Message Lookups in PatternLayout. %m{lookup}, %m{nolookup}, and variants will still be accepted as conversion patterns, but have no effect.
- Disabled JNDI by default and only allowing java protocol when enabled.
- Made JNDI Lookup inoperable and removed the message Lookup capability.
あと、Log2j 1.2 の件:
CVE-2021-4104: Deserialization of untrusted data in JMSAppender in Apache Log4j 1.2 (oss-sec ML, 2021.12.13)
あとこれ:
オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に (やじうまの杜, 2021.12.16)
Log4j overview related software (NCSC-NL / GitHub)。マジすげえ。
Log4j 2.17.0 が登場。
CVE-2021-45105: Apache Log4j2 does not always protect from infinite recursion in lookup evaluation (oss-sec ML, 2021.12.18)
「Apache Log4j」に3つ目の脆弱性 ~修正版のv2.17.0が公開 (窓の杜, 2021.12.20)。 CVE-2021-45105
Apache Log4j 2 Important: Security Vulnerabilities CVE-2021-45105, CVE-2021-45046 and CVE-2021-44228 (apache.org)
スキャナなど:
https://github.com/dtact/divd-2021-00038--log4j-scanner (GitHub)。go で書かれたスキャナ。
Log4j rce scanner in Kali linux [How to scan vulnerability / Automated] (YouTube, 2021.12.14)
Improving OSS-Fuzz and Jazzer to catch Log4Shell (Google, 2021.12.16)
あとこちら:
Log4jの脆弱性に関する情報をネット上などでやり取りすることはウイルス作成罪に該当するのか考えた (なか2656のblog, 2021.12.16)
Java 6 用に Log4j 2.3.1 が、また CVE-2021-45105 対応として Log4j 2.12.3 がリリースされています。iida さん情報ありがとうございます。
Apache Log4j 2 (apache.org)
Mitigation
Upgrade to Log4j 2.3.1 (for Java 6), 2.12.3 (for Java 7), or 2.17.0 (for Java 8 and later).
2021 年末に新たな欠陥 CVE-2021-44832 が発見されてました。攻撃者が設定をいじれる場合、JDBC Appender を介して RCE 発生。 Log4j 2.17.1 / 2.12.4 / 2.3.2 で対応された。 これにあわせて本文も修正。
また Log4j 1.x については、現在 6 件の CVE が未修正として記載されている。内 3 件 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307 は 2022.01.18 に追加された模様。 iida さん情報ありがとうございます。
あとこんなの:
「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中 (gigazine, 2022.01.26)
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る (publickey, 2022.01.26)
》 柏崎刈羽原子力発電所6号機大物搬入建屋の杭、中越沖地震 (2007) で損傷か。未点検の杭は 1800 本にのぼるという。
柏崎刈羽原子力発電所6号機大物搬入建屋の杭の損傷 (原子力規制庁, 11/10) (2021.11.10 第44回原子力規制委員会 の資料1)
令和3年7月9日、柏崎刈羽原子力発電所6号機大物搬入建屋の耐震強化工事において、同建屋下の掘削作業を行っていたところ、同建屋の既存鉄筋コンクリート杭で損傷を確認した。
原子力規制庁は、11月2日に東京電力と面談して報告を受けた。
この工事ですかね: 柏崎刈羽原子力発電所6,7号機屋外設備の 液状化対策を含む耐震強化工事について (東電, 2018.04.12) (柏崎刈羽原子力発電所 > 公表資料・データ > 公表資料 > 2018年度(平成30年度)に掲載されている)
原子力規制庁への報告に 4 か月かかっているなあ。
柏崎刈羽原発6号機 施設の「くい」が損傷 中越沖地震の影響か (NHK, 11/10)
くい損傷 中越沖地震が原因か 柏崎刈羽原発6号機建屋 (新潟日報, 11/11)。↓の田村教授は「県技術委員会委員の田村良一新潟工科大教授(耐震工学)」。
規制委は今後、損傷の原因や別の施設への影響の有無を東電に確認するとともに、年明けをめどに現地調査に入る。(中略) 規制委の更田豊志委員長は10日の会見で、耐震重要度の低い施設のくいが健全かどうかについてまで点検対象を拡大することに否定的な考えを示した。ただ、田村教授は「7号機の関連施設でも地下で同じようなことが起きていないか、もう一度チェックしてもらう必要がある」とし、県技術委で議論が必要とした。
6号機くい損傷「確認 時間要した」 柏崎刈羽原発所長 公表遅れで釈明 (新潟日報, 11/26)
柏崎刈羽原発のくい約1800本 直接点検できず 東京電力 (NHK, 12/9)
柏崎刈羽原発 未点検くい1800本超 重要施設に影響の恐れも (新潟日報, 12/9)
東電は11月、柏崎刈羽原発6号機の原子炉建屋に直結している「大物搬入建屋」のくいで鉄筋の破断などが見つかったと公表。これを受けた新潟日報社の取材に、東電が回答した。
今回、未点検のくいがあることが分かったのは、主排気筒や焼却炉建屋など、建物下にくいを打ち込んで支える構造物。損傷の見つかった6号機大物搬入建屋のくいも、今年7月に被災状況の確認とは別の目的で調査するまで、点検は行われていなかった。
災害から学ばず 東電体質なお 柏崎刈羽原発くい問題 点検せず廃棄例も (新潟日報, 12/9)
くいの被災状況の点検を軽視するかのような東電の姿勢は、建屋建て替えの際の対応に現れている。
6号機でくいの損傷が見つかった大物搬入建屋は、4、7号機にもある。
特に、東電が再稼働を目指す7号機の同建屋は耐震クラスの引き上げに伴い、昨年12月までに建て替えられ、くいは新しく打ち直された。しかし東電によると、建て替え前のくいは損傷の有無などを調べないまま破壊し、廃棄したという。
県技術委委員の豊島剛志新潟大教授=構造地質学=は「くいには、科学的に貴重な情報や痕跡が残っていたはず。場合によっては、地震に耐えられるという証拠にもなったかもしれないが、東電は(廃棄で)それをみすみす手放したことになる」と驚く。「その辺りの対応が企業体質というか、災害の経験に学ぶ姿勢が甘いように思う」と語った。
東電、未点検くいの調査予定なし 柏崎刈羽原発 「設備は健全」強調 (新潟日報, 12/10)
》 ウイルスバスター ビジネスセキュリティサーバの Windows 11 / Windows 10 November 2021 Update / Windows Server 2022 への対応について (トレンドマイクロ, 12/8)。対応版が用意された模様。
》 2021年第3四半期におけるランサムウェアの脅威動向を分析 (トレンドマイクロ セキュリティ blog, 12/8)
》 テスラ車で「運転中にゲームで遊べる機能」が発見されて非難殺到 (gigazine, 12/9)
》 iPhoneで「アプリの追跡」を拒否してもFacebookやSnapchatはユーザー追跡が可能 (gigazine, 12/9)
》 iOS 15でのアプリ権限の設定 (Kaspersky, 12/8)
》 「Android 12」のプライヴァシー対策は、どうすべき? 確認すべき4つの設定 (WIRED, 12/9)
》 Androidで緊急通報ができなかったのはMicrosoft Teamsのせい (gigazine, 12/9)
「Microsoft Teamsがインストールされている端末で、Microsoftアカウントにログインしていない状態」のときだけ問題が発生 (中略) 原因はMicrosoft TeamsとAndroid OS バージョン10以上の意図しない相互作用によるもの (中略) Microsoft Teamsのアップデートはまもなく提供される予定で、Android OSのアップデートは2022年1月4日に配信予定
》 Twitterが特定のユーザーを優先的に保護するプログラム「プロジェクト・ガーディアン」を運用していたと判明 (gigazine, 12/9)
》 Chrome拡張機能の新仕様「Manifest V3」は非常に有害だと電子フロンティア財団が非難 (gigazine, 12/10)。「詐欺的で脅迫的」
》 ビットコインのハッシュレートが中国の規制前と同レベルにまで回復 (gigazine, 12/10)
》 JR東日本が完全自動運転への取り組み発表、まずは無線式列車制御システムATACS導入し自動列車運転装置ATOを高度化 (techcrunch, 12/9)
》 アップルは控訴審の判決が出るまでApp Storeのポリシー変更の必要なし (techcrunch, 12/9)
》 使用済みリチウムイオン電池から99.99%の超高純度でリチウムを回収する装置を量子科学技術研究開発機構が開発 (techcrunch, 12/9)、 使用済電池から低コストで超高純度リチウム回収 -レアメタル資源循環を拓く- (量子科学技術研究開発機構, 12/7)。「プラント設計検討用Li回収装置」により商業化の可能性を実証。
》 イタリア競争当局がアマゾンに約1450億円の罰金、市場での地位乱用を指摘 (techcrunch, 12/9)。「サードパーティの販売者に同社の物流サービス「フルフィルメント・バイ・アマゾン(FBA)」の利用を押し付けた」。
》 防災用の安心ライト!手動発電で堅牢ボディが特徴の大作商事ナイトスターJP登場! (目指せ!ライトマニア AKARICENTER 懐中電灯レビュー, 12/8)。「非常用」と書かれた金庫を開けると計算尺が入っていた系の奴かな。
》 オーストラリアのクイーンズランド州営電力会社 CS Energy、ランサムウェア攻撃を受ける (11/27)
CS ENERGY RESPONDS TO CYBER SECURITY INCIDENT (CS Energy, 11/30)。攻撃を受けたのは企業ネットワークで、各発電所の電力生成系には影響ない。各発電所は問題なく稼働している。
AN UPDATE FOR OUR RETAIL CUSTOMERS (CS Energy, 11/30)
RESPONSE TO LATEST MEDIA REPORTS ABOUT 27 NOVEMBER CYBER SECURITY INCIDENT (CS Energy, 12/8)
Queensland government energy generator hit by ransomware (ZDNet, 11/30)
Queensland government energy generator says ransomware attack not state-based (ZDNet, 12/9)
》 Canada Charges Its “Most Prolific Cybercriminal” (Krebs on Security, 12/8)
》 JPCERT/CC ベストレポーター賞 2021 (JPCERT/CC, 11/25)
》 制御システムセキュリティカンファレンス 2022 (JPCERT/CC, 12/6)
》 学歴フィルター? 「大東亜以下」マイナビのメールが物議 運営元は「事実関係を確認中」 (ITmedia, 12/6)、 マイナビ学歴フィルター騒動、➈の意味を説明…「大東亜以下」カテゴリ撤廃を表明 (Business Journal, 12/8)
》 存在しないスイス人科学者、中国がねつ造か 偽アカウント600件...武漢説めぐり (ニューズウィーク日本版, 12/9)
》 立憲小西・杉尾議員 vs Dappi 名誉毀損訴訟 第1回口頭弁論 (12/10)
「Dappi」投稿めぐる名誉毀損訴訟、コンサル会社側が棄却求める (朝日, 12/10)
「Dappi」裁判はじまる、発信元の企業は争う姿勢。立憲議員、産経新聞と作家も提訴 (BuzzFeed, 12/10)
ツイッターの右派アカウント「Dappi」の名誉毀損訴訟、発信元企業は争う構え (弁護士ドットコム, 12/10)
関連
Dappi発信元の社長は“友人” 山本元農水相のサイト関与「ポケットマネーで謝礼」専門家「規正法違反では」 (BuzzFeed, 12/2)
Dappiのツイート、誰が投稿? 平日に作業集中、頻出単語は… (朝日, 12/3)
Dappi投稿拡散のアカウントに複数の特徴 鳥海不二夫教授が分析 (朝日, 12/9)
》 【Raspberry Pi】モッサリの原因は電圧かも!? 電源を極めろ! (たのじぃの書き捨てノート, 6/6)。公式電源は 5.1V なのですね。知らんかった。
NSO Group 方面 (2021.11.11)
米政府関係者に使われた強力なスパイウェア、その侵害の現実的な脅威 (WIRED, 2021.12.06)
[Security advisory for CVE-2021-44526 and CVE-2021-44515] Authentication bypass vulnerabilities in ServiceDesk Plus and Desktop Central (ZOHO, 2021.12.04)。 CVE-2021-44526 は ServiceDesk Plus 全エディションのオンプレミス版 バージョン 12002 以前の欠陥。 CVE-2021-44515 は Desktop Central agent の欠陥だが、ServiceDesk Plus の Professional / Enterprise エディションには Desktop Central agent が含まれているのだそうで。
修正されたバージョンは 12003 / 11311 / 11212 / 11149 だそうで。
CVE-2021-44515: Security Advisory (ZOHO, 2021.12.03)。ManageEngine Desktop Central 向け。
CVE-2021-44515: Security Advisory (ZOHO, 2021.12.03)。ManageEngine Desktop Central MSP 向け。
CVE-2021-44515: ZoHo Patches ManageEngine Zero-Day Exploited in the Wild (tenable, 2021.12.06)
Alert (AA21-336A) APT Actors Exploiting CVE-2021-44077 in Zoho ManageEngine ServiceDesk Plus (CISA, 2021.12.02)。これは CVE-2021-44526 / CVE-2021-44515 とは違う話、でいいのかな。
USB Over Ethernet | Multiple Vulnerabilities in AWS and Other Major Cloud Services (SentinelLABS, 2021.12.07)
AWSや主要クラウドサービスで利用されるSDKに27件の脆弱性が発見される (gigazine, 2021.12.09)
Download (Redmine)。4.2.3 / 4.1.5 (2021.10.09) で修正。
アラート/アドバイザリ:ウイルスバスター クラウド の脆弱性について(CVE-2021-43772) (トレンドマイクロ, 2021.12.01)。 ウイルスバスター クラウド 17.0 に欠陥。 フォルダシールド機能によって守られているはずのファイルを、検知されることなく改ざんできる。CVE-2021-43772
本記事では、最新のパターンファイルにより対応、となっている。
最新のウイルスパターンファイルにて、本脆弱性を利用したファイル変更が行われた場合に検知・変更をブロックを行えるように 修正を行っております。
最新のパターンファイルを適用いただくことにより、本脆弱性を利用しての攻撃を防ぐことが可能です。 パターンファイルは、自動配信されています。
SECURITY BULLETIN: Folder Shield protected folder bypass (Trendmicro, 2021.11.29)。CVE-2021-43772。 上記とは、書かれ方が異なる。 こちらでは Premium Security / Maximum Security / Internet Security / Antivirus+ Security の 2021 (v17) 以前に欠陥があり、 2022 (v17.7) で修正された、とされている。 なぜ記載内容が異なるのか、よくわからない。
v17.7 は日本でも既に公開されている: ウイルスバスター クラウド最新バージョン(Ver 17.7) 公開のお知らせ (トレンドマイクロ, 2021.10.14)。
JVN#19482703 - 株式会社NTTドコモ製 Wi-Fi STATION SH-52A におけるクロスサイトスクリプティングの脆弱性 (JVN, 2021.11.30)。ファームウェアバージョン 38JP_2_03C 以前に欠陥があり、 38JP_2_03F で修正された模様。
Wi-Fi STATION SH-52Aのソフトウェアアップデート情報 (NTT ドコモ)。38JP_2_03F は 2021.09.29 提供。修正内容は「より快適にご利用いただけるよう品質を改善いたします」としか書かれていない。
》 Improve kernel security with the new Microsoft Vulnerable and Malicious Driver Reporting Center (Microsoft, 12/8)
》 当社シンガポール現地法人における IT システムへの不正アクセスによる 情報流出の可能性ついて (日本通運, 12/9)
》 FreeBSD 12.3-RELEASE Announcement (FreeBSD, 12/7)
》 サウジ、迎撃ミサイル不足か 米に緊急供給を要請―報道 (時事, 12/8)。フーシ派による弾道ミサイルおよびドローンによる攻撃が続いているため。
サウジ政府は米国に迎撃ミサイル数百発を売却するよう要請。カタールなど湾岸諸国や欧州諸国にも備蓄の一部を譲渡するよう求めているという。
数百。そんな、ポンポンつくれるミサイルでしたっけ。
詳報: サウジが迎撃ミサイル枯渇の危機、米に供給要請 (Wall Street Journal, 12/8)
あるサウジ政府関係者によると、同国への攻撃はここにきて頻度を増している。サウジが受けたドローン攻撃の数は11月が29回、10月25回、弾道ミサイルによる攻撃は11月が11回、10月が10回だった。これに対し、2020年2月は弾道ミサイルによる攻撃が5回、ドローンが1回にとどまっていた。
ただ、迎撃ミサイルをさらに確保すれば、長期的な予算の問題は未解決のままとなる。迎撃ミサイルは1発およそ100万ドル(約1億1400万円)。これに対し、ドローンは小型かつ単純な設計で比較的安価と指摘されており、内情に詳しい関係筋は「1万ドルの空飛ぶ芝刈り機」だと表現している。
弾道ミサイルはともかく、ドローン迎撃にパトリオット使うのは、コスト面からはなかなかねえ。
》 韓国海軍の軽空母 来年基本設計着手へ=国防予算3.4%増 (聯合ニュース / Yahoo, 12/3)
〈詳報〉馬毛島基地計画 防衛省、滑走路整備へ関連工事発注 「アセス手続き中」と地元反発でも強行 (南日本新聞, 11/12)
鹿児島県と西之表市が環境影響評価(アセス)手続きの途中段階での入札に反発する中、当初の方針通り踏み切った。
県は同日、防衛省に「公告前にアセス結果など住民の判断材料が示されるべきだ。了承しかねる」と再度伝えた。西之表市は取材に「承服できない。防衛省への抗議を含め、今後の対応を検討している」とした。
馬毛島基地計画 防衛省の入札公告に抗議 市民団体「地元に強い不信感」 (南日本新聞, 11/16)、 馬毛島基地計画 入札公告取り下げ 首相と防衛相に要望 反対派団体「工事開始そのもの」 (南日本新聞, 11/17)
馬毛島基地計画 工事入札公告は「地元軽視」 西之表市長、防衛省訪れ抗議 (南日本新聞, 11/17)
馬毛島基地計画 推進派、防衛省の工事入札公告「理解できる」 九州防衛局へ整備推進要望 (南日本新聞, 11/18)。理解しちゃうんだ。そういうところがなあ。
馬毛島基地計画 「地元と信頼築けてない」「アセスの形骸化」 専門家、防衛省の工事入札公告を批判 (南日本新聞, 11/21)
馬毛島基地計画 塩田知事「住民の判断材料まだ不十分」「県の考え 県民の安心安全の観点で」 鹿児島県が地元で対話 (南日本新聞, 11/22)
馬毛島基地計画 隊員宿舎整備や地元企業の受注機会の確保など9項目要望 賛成派の西之表市議団 (南日本新聞, 11/23)
馬毛島基地計画 防衛省の入札公告取り消し訴え反対派が集会 「地元の声無視、強行許せない」 (南日本新聞, 11/28)
「国は住民を置き去りに」 馬毛島基地計画 西之表市長が防衛省の対応批判 (南日本新聞, 12/1)
馬毛島基地計画 鹿児島県・塩田知事、国と議論の場「検討したい」 入札公告「了承しかねる」 (南日本新聞, 12/3)
馬毛島基地計画 防衛省、生コン施設の入札申請締め切る 費用総額170億円、1月17日開札 (南日本新聞, 12/8)
》 数十億円規模の暗号資産を盗難、SIMハイジャック事件に関与した米国ハッカーが投獄される (techcrunch, 12/6)。Garrett Endicott 被告。
》 新型コロナ「ワクチン接種証明書アプリ」は12月20日提供開始、申請にはマイナンバーカード必須 (techcrunch, 12/8)。NFC Type B 対応スマホ + マイナンバーカード。
》 グーグルが100万台のWindowsマシンに感染したロシアのボットネットを破壊 (techcrunch, 12/8)、 Googleが100万台のデバイスを束ねたボットネット「Glupteba」の運営者とされる2人のロシア人を訴える (gigazine, 12/8)
》 アメリカ宇宙軍将軍が「ロシアと中国がアメリカの人工衛星を毎日攻撃している」と証言 (gigazine, 12/3)
》 Googleにスマホ修理を依頼したら勝手に全裸画像をSNS投稿されたという報告 (gigazine, 12/6)
1カ月ほど前に投稿者の妻のPixelが壊れ、初期化も不可能だったためそのままGoogleに修理に出したところ、妻のソーシャルメディアアカウントから投稿者と妻の全裸画像が投稿された
》 「暗号化の権利」「匿名の権利」などプライバシー強化をドイツ新政権が公約 (gigazine, 12/6)
》 ロヒンギャ難民が約17兆円の損害賠償を求めてFacebook運営元「Meta」を提訴へ (gigazine, 12/7)
》 Microsoftが中国政府の関与が疑われるハッカーグループが用いていたドメインの押収に成功 (gigazine, 12/7)。Nickel。
》 日本の金融庁が日本円と連動するステーブルコインの発行と仲介を規制へ (gigazine, 12/7)
》 アメリカ軍大将が「ランサムウェア犯罪組織に攻撃的な措置を講じた」と初めて発言 (gigazine, 12/7)
》 AWSで大規模障害が派生しAmazonの荷物配達にも影響 (gigazine, 12/8)
》 【LINE Pay】一部ユーザーのキャンペーン参加に関わる情報が閲覧できる状態になっていた件のお知らせとお詫び (LINE, 12/6)
当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロードしてしまい、それが閲覧できる状態になっていました。
関連: LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた (なか2656のblog, 12/7)
》 筑波大学 61歳教授逮捕 大学構内で女子学生に強制わいせつ疑い (NHK, 12/7)
警察などによりますと、大澤教授はことし4月から9月にかけて、大学の構内で複数回にわたってこの大学に通う20代の女子学生の胸を触るなど、わいせつな行為をしたとして、強制わいせつの疑いが持たれています。
11月、警察署を訪れた女性からの相談を受けて捜査を進めた結果、7日逮捕しました。
調べに対し、「強制的にわいせつな行為をした認識はない」と容疑を否認しているということです。
行為は否定していないと。合意の上だったという主張か? 関連:
筑波大教授、強制わいせつ容疑で逮捕 (NEWS つくば, 12/7)
同大によると、被害学生本人から9月28日、同大のハラスメント相談センターに「先生の研究室でセクハラ行為を受けた」などの相談があった。
10月11日、加藤和彦副学長に報告があり、加藤副学長は同日、被害学生の話を聞いた上で、大澤教授に対し、被害学生とは接触せず電子メールなども送らないよう申し渡した。
その後11月2日から同大懲戒審査委員会が、双方から聞き取り調査などをしていたという。同大は、大澤教授がわいせつ行為を認めたかどうかについては調査中だとしている。
一方、その後も大澤教授は、他の学生に対し教育・研究の指導業務を行っていた。
相談により行為は止まったが、 その後の対応がアテにならなかったから警察に行ったということか?
本学教員の逮捕について (筑波大学, 12/7)。 大学としては逮捕されるまで何も知りませんでしたと読めてしまうのだが。 マスメディアには経緯を喋るが、自らは公開しないということなのか?
》 Drupal 8 is now end-of-life - PSA-2021-11-30 (Drupal, 11/30)
》 New Payment Data Stealing Malware Hides in Nginx Process on Linux Servers (The Hacker News, 12/3)
Androidに致命的な脆弱性 ~Google、12月のセキュリティ情報を発表 (窓の杜, 2021.12.07)
広告ブロック拡張機能「uBlock Origin」にユーザーのパスワードが盗まれるCSSインジェクション脆弱性が存在 (gigazine, 2021.12.07)
2021年8月25日、テイヴィス・オーマンデイ氏が広告ブロック拡張機能「uBlock Origin」にCSSインジェクションの脆弱性があることを報告しました。(中略) オーマンデイ氏が指摘したその日にuBlock Originはパッチを配布し、一度は問題が解決されましたが、11月3日、パッチをバイパスできる方法が明らかになりました。(中略) ヘイス氏の報告を受けてuBlock Originはすぐにパッチを配布し、11月22日には安定版をリリースするとともにFirefox版を更新、12月3日にはChrome版を更新しています。
Chrome 96.0.4664.93 公開。22 件のセキュリティ修正を含む。
出ています。セキュリティ修正を含みます。
Firefox 95 がリリースされた (mozillaZine, 2021.12.08)
Firefox for Android 95 がリリースされた (mozillaZine, 2021.12.08)
Thunderbird 91.4.0 がリリースされた (mozillaZine, 2021.12.08)
関連:
サプライチェーン攻撃への対策強化&Microsoft Storeに登場などのアップデートが盛り込まれた「Firefox 95」正式版リリース (gigazine, 2021.12.08)
新しいセキュリティ技術「RLBox」で武装した「Firefox 95」が正式リリース サイト分離もすべてのユーザーに対して有効化 (窓の杜, 2021.12.08)
Firefox 95.0.1、Firefox ESR 95.0.1、Firefox for Android 95.2.0 が公開されています。 SHA-2 を用いた OCSP ステープリングを行なっているサイト (例: microsoft.com) に接続できない欠陥などが修正されています。
MicrosoftのWebサイトを「Firefox」で開けない現象が発生中 (窓の杜, 2021.12.15)
MicrosoftのWebサイトを開けない不具合を修正した「Firefox 95.0.1」が公開 8年間放置していた問題が引き金に (窓の杜, 2021.12.17)
Firefox 95.0.1、Firefox for Android 95.2.0 がリリースされた (mozillaZine, 2021.12.17)
さらに Firefox 95.0.2 が公開されています。AMD“Bobcat”CPU + Windows 7 / 8 で頻繁にクラッシュする欠陥が修正されています。
Firefox 95.0.2 がリリースされた (mozillaZine, 2021.12.20)
Thunderbird 91.4.1 が公開されました。セキュリティ修正を含みます。
Thunderbird 91.4.1 がリリースされた (mozillaZine, 2021.12.21)
「Thunderbird 91.4.1」が公開 ~2件の脆弱性に対処 (窓の杜, 2021.12.21)
》 真珠湾攻撃で開戦、は誤った認識 忘れられた1時間5分前の陸軍上陸 (朝日, 12/7)
「日本では真珠湾攻撃でアジア太平洋戦争が始まったという認識が一般的ですが、それは違います。海軍の真珠湾攻撃よりも1時間5分早く、陸軍がマレー半島の英領コタバルに上陸し、英軍と戦っています」
(中略)
「もうひとつ、コタバルへの上陸について日本は英国に宣戦布告をしていません。真珠湾攻撃で事前通告がなかったのは日本大使館の不手際で遅れたからだとする説がありますが、では、なぜ英国には事前通告を準備しなかったのか。大使館の不手際という言い訳が通用しなくなるという面もあります」
》 アメリカ、北京五輪を外交ボイコット 政府代表団は送らず (BBC, 12/7)
》 マンダムが制汗スプレー108万本回収 卵アレルギーの子に健康被害 (朝日, 12/7)、 商品の自主回収に関するお詫びとお知らせ (マンダム, 12/7)。 「マンダム モワトレ 薬用デオドラントショット」3種と「ルシード 薬用 頭皮とカラダのデオドラントジェットスプレー」2種。
2019年2月から株式会社マンダム(以下、弊社)より発売しております「マンダム モワトレ 薬用デオドラントショット」を使用された際に、卵アレルギーを持つお子様がエアゾール商品特有の噴霧により中味成分(成分表記名:リゾチーム塩酸塩(卵白由来))を吸入し、アナフィラキシー症状1件を含む卵アレルギーによる健康被害が3件報告されました。(中略) 同成分配合のエアゾール計5商品(下記ご参照)を自主回収させていただきます。 (中略) なお、今後、同成分配合のエアゾール商品の代替品を発売する予定はございません。
朝日記事にはより詳しい経緯が。
マンダムは当初、卵白由来の成分であることのみを表記して販売していた。2件目の健康被害を確認後の20年7月以降はホームページで、21年2月以降は商品ラベルでも、卵アレルギーの人は使用を控えるよう注意喚起して販売を継続。だが被害が続いたことから、「安全を第一に考えて回収することにした」という。同成分を含むスプレータイプ以外の商品の販売は続けるとしている。
その書き方だと、当該表記に気づいても、使用者本人が卵アレルギーでなければ使っちゃうのでは。
》 関西スーパーの保全抗告認める H2Oとの統合可能に 大阪高裁決定 (毎日, 12/7)、 関西スーパー統合、高裁認める 地裁決定を覆す (日経, 12/7)。あらら。
高裁の決定に不服がある場合、オーケー側は最高裁の最終判断を仰ぐ「特別抗告」などを5日以内に申し立てることができる。こうした手続きは憲法違反や判例違反がある場合などに限られている。
関連:
ツイート
おいおいw
— 世界四季報 (@4ki4) December 7, 2021
関西スーパー統合、高裁認める 地裁決定を覆す: 日本経済新聞 https://t.co/qnEB6k2Jrp pic.twitter.com/yoe5ylSs7s
関西スーパー
— てんてん (@tenten_kabuusa) December 7, 2021
今日ほど日経の速報がありがたいと思ったことはない(2枚だけど) pic.twitter.com/RNs2mUSdpC
いろいろ (2021.12.03) NSS (Network Security Services)
「LibreOffice」が緊急アップデート ~「NSS」ライブラリの致命的な脆弱性にすばやく対処 (窓の杜, 2021.12.07)。 LibreOffice 7.2.4 Community / 7.1.8 Community で対応。
》 領収書の電子保存、義務化2年猶予 経理デジタル化遅れ (日経, 12/6)、 電子帳簿保存法、電子保存に2年の猶予 施行1カ月前の省令改正 (ITmedia, 12/6)。このスケジュールでの対応は無理、なことを政府がようやく認めた模様。 関連:
電子帳簿保存法の義務化2年猶予、現場からは「紙より面倒で本末転倒」の声 (西谷 格 / SAKISIRU, 12/6)
電子帳簿保存法、5割以上が「知らない」 ペーパーレス化が進まない理由は? (ITmedia, 12/6)
》 Windows 11のセキュリティ機能は性能を下げるのか?仮想化ベースのVBSを検証 (PC Watch, 12/3)。仮想化ベースのセキュリティ(Virtualization Based Security) だそうで。
クルマ産業
10月の自動車生産24%減 国内大手8社、半導体不足など響く (朝日, 11/29)、 日本車4社、米販売23%減 半導体不足で供給制約 (共同 / 東京, 12/2)
部品供給 半導体不足... トヨタ国内生産50%減に (FNN, 11/30)
韓国完成車5社の11月販売 半導体不足で11.4%減少 (聯合ニュース / Yahoo, 12/1)
マツダ、タイとメキシコの工場を一時停止 半導体不足で (日経, 12/1)
「半導体不足」は本当か? クルマ大減産の怪 (湯之上隆 / EETimes, 11/26)
給湯器。我が家でも最近 crash して、てんやわんやだった。
あなたの至福のひとときに暗雲が…この冬、給湯器がピンチ!! (NHK, 12/3)。製造地のロックダウンや寒波に半導体不足が追い打ち。
冬なのに…お湯沸かせないですか ため息の給湯器不足、部品供給遅れ (朝日, 12/3)
iPhone組み立て最大手Foxconn、半導体不足は2022年後半まで続くと予測 (engadget, 11/15)、 アップル、iPhone13減産へ 半導体不足深刻化 中国の電力不足長期化で影響波及か (小久保重信 / Yahoo, 11/13)
「α7 II」「α6400」など受注停止 ソニー「半導体不足で部品調達に遅れ」 (ITmedia, 11/26)、 ソニー「ZV-E10」も受注停止 売れ筋ミラーレスに半導体不足が直撃 (ITmedia, 12/3)
止まらない半導体不足の悪循環は、こうして起きている (WIRED, 11/23)
半導体不足、2022年クリスマスも「完全には解決しない」Arm CEO (EETimes, 11/25)
半導体不足でスマホ販売減、アップルは2位復帰 ガートナー調査 (日経 xTECH, 11/29)
【月間総括】ゲーム機に襲い掛かる半導体不足の荒波 (gamesindustry.biz, 12/1)
クアルコムが語る「半導体不足」その背景と影響 (ケータイ Watch, 12/3)
親方日の丸調達の時代か 医療機器にみる半導体不足の苦悩 (日経 xTECH, 12/3)
部品高騰によりゲーミングノートPCが値上げ。半導体不足の影響は2022年も続く見込み (ニッチなPCゲーマーの環境構築Z, 12/6)
》 ニコスのETCカード、ETCゲートが開かない問題発生 11月25日~12月1日発送分 (ITmedia, 12/3)
》 「d払い」で障害、通知の誤配信でアクセス集中【復旧済み】 (ITmedia, 12/3)
》 Twitterの画像投稿新ポリシーを極右が悪用、「複数のアカウントを誤って停止した」 (ITmedia, 12/6)
》 「PHP 7.3」のサポートが終了 (窓の杜, 12/6)
》 中国、マイニング目的の電力使用に追加課金 (やじうま Watch, 12/6)。中国・海南省。
無線LANルーターのセキュリティ向上のための ファームウェアアップデートのお願い (ELECOM, 2021.11.30)。 WRH-733GBK と WRH-733GWH は手動でのファームウェア更新が必要だが、他は自動で更新される模様。
無線LANルーターのセキュリティ向上のための ファームウェアアップデートのお願い (ELECOM, 2022.03.29 更新)。対象機種が増えた。
追加製品:WMC-DLGST2-W、WMC-M1267GST2-W、WMC-2HC-W、WMC-C2533GST-W、WRC-1900GST2、WRC-1900GST2SP、WRC-1750GST2
》 国交省発の新規予約停止、官邸は寝耳に水 政権スタイルが裏目に? (朝日, 12/2)。プチ鹿島さん、新聞読みくらべをしているからこそのコメント。さすがです。 関連:
国交省、独断で予約停止要請 「スピード重視」も即撤回の背景は (毎日, 12/2)
》 IEEE 802.11ahがWi-Fi CERTIFIEDに、「Wi-Fi HaLow」として本格始動 (MONOist, 12/3)。関連:
802.11ah(Wi-Fi HaLow)の 実力・ユースケースの紹介と プライベートワイヤレスへの活用 (802.11ah推進協議会 北條博史 / テレコムサービス協会, 5/24)。 「距離の飛ぶWiFi」「動画が送れるIoT」 ですか。WiFiと既存 LPWA の中間を狙った規格のようです。
》 ロシア、ゲイ映画を「ポルノ」に分類する法案審議へ (石壁に百合の花咲く, 11/28)。関連:
同性愛者には「うそか死しかない」 チェチェン逃れた男性ら語る (AFP, 2017.04.22)
LGBTQへの迫害を告発するドキュメンタリー「チェチェンへようこそ」公開 (映画ナタリー, 10/20)。2022.02.26 公開。
プーチンの権力を強化…「チェチェン紛争」が現代ロシアに与えた「決定的な影響」 (真野 森作 / 現代ビジネス, 11/17)、 「若者のプーチン離れ」のなかで、ロシアは「チェチェン」とどう向き合うか? (真野 森作 / 現代ビジネス, 11/17)
》 NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ (まるちゃんの情報セキュリティ気まぐれ日記, 11/30)
》 内閣官房 クラウドを利用したシステム運用に関するガイダンス (まるちゃんの情報セキュリティ気まぐれ日記, 12/2)
》 総務省 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」及び意見募集の結果の公表 (まるちゃんの情報セキュリティ気まぐれ日記, 11/26)
》 NPO デジタルフォレンジック研究会 「医療機関向けランサムウェア対応検討ガイダンス」の公開 (まるちゃんの情報セキュリティ気まぐれ日記, 11/27)
CVE-2021-43527: Heap overflow in NSS when verifying DSA/RSA-PSS DER-encoded signatures (oss-sec ML, 2021.12.01)。NSS 3.73 および NSS ESR 3.68.1 で修正。 Firefox、Tor Browser、Chromium には影響しない。
Mozilla Foundation Security Advisory 2021-51: Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures (Mozilla) では NSS を用いた署名検証を行う電子メールソフトや PDF ビューアに影響があるとして、 Thunderbird、LibreOffice、Evolution、Evince を挙げている。
「LibreOffice」が緊急アップデート ~「NSS」ライブラリの致命的な脆弱性にすばやく対処 (窓の杜, 2021.12.07)。 LibreOffice 7.2.4 Community / 7.1.8 Community で対応。
みずほ銀行及びみずほフィナンシャルグループに対する 行政処分について (金融庁, 11/26)
このような原因の背景には、当行及び当社の執行部門が、IT現場の実態を十分に把握・理解しないまま、MINORIが安定稼働していると誤認し、障害発生時も影響範囲が局所的になりやすいというMINORIの特性を過信したことから、システムの安定稼働に必要な事項(有事を想定した被害の極小化に必要な取組みを含む。)を十分に洗い出さずに、MINORIを開発フェーズから保守・運用フェーズへ態勢を移行させた上、MINORIの保守・運用に必要な人員の配置転換や維持メンテナンス経費の削減等の構造改革を推進したことが認められる。
また、当行の執行責任者は、MINORIは安定稼働していると誤認して、システムリスク管理態勢の実態を把握しないまま、人員の再配置、ベンダーからの業務の引継ぎを行ったことが認められる。
これらの結果、MINORI等の運営態勢を弱体化させているものと認められる。
金融庁および財務省による行政処分について (みずほフィナンシャルグループ, 11/26)
しがらみなきトップの孤立 みずほ、改革に功罪 みずほ問題の教訓㊤ (日経, 11/29)
みずほ、攻めのDXで守り軽視 システム人材6割削減 みずほ問題の教訓㊥ (日経, 11/30)
「MINORI(みのり)自体は悪くないと思うが運用がね。なぜあんなに人を減らしたのか」。大手ITベンダーの幹部は首をかしげる。みずほは2019年に完成した新システムみのりが安定稼働しているとして、システムにかかわる体制を大幅に縮小した。
みのりに携わっていた人材はこの3年間で6割削減し、実際、起きていた障害の予兆を見逃していた。
「金融育成庁」への脱皮遠く 重ねた処分、再発防げず みずほ問題の教訓㊦ (日経, 12/1)
金融庁と財務省がみずほ銀行に行政処分、MINORIはどうなる? (日経 xTECH, 11/29)
「言われたことしかしない銀行」みずほの“忖度なきトップ人事”を考えてみた (ダイヤモンド online, 12/1)
》 「この時間だけデータ使い放題」が可能に、110円から ソフトバンクのデータ専用3GBプランで (ITmedia, 12/2)。これは興味深い。
料金は1時間が110円(税込、以下同)、3時間が220円、6時間が330円、12時間が440円、24時間が550円。Web会議や外出中など一時的に大容量のデータ通信をする必要がある場面を想定している。
》 How the U.S. Hid an Airstrike That Killed Dozens of Civilians in Syria (NYTimes, 11/13)、 Pentagon Chief Orders New Inquiry Into U.S. Airstrike That Killed Dozens in Syria (NYTimes, 11/29)。NYTimes の調査報道で誤爆が明らかとなった事例。
》 玉川徹氏が厚労省のワクチン3回目〝原則8か月後〟を批判「また足を引っ張っている」 (東スポ / Yahoo, 11/24)。8 か月の件、このあたりでしょうか:
第24回厚生科学審議会予防接種・ワクチン分科会 資料 (厚生労働省, 9/17)、 議事録 (厚生労働省, 9/17)。「8か月」はここで決まっているのだけど、根拠は、 海外諸国が 8 か月でやってるから + 準備期間が 2〜3 か月必要、ということで。
○脇田分科会長 ありがとうございます。
大体意見よろしいですか。
そうしましたら、大体結論としては、皆さんの御意見を伺って、この追加接種、ブースターに関しての必要性は認めたいということだと思います。
ただし、追加接種を行う場合の接種間隔、これも我々ワクチンをやっている者は、3回接種でB肝もA肝も大体半年ぐらいを3回目を空けるということだろうし、中野先生がおっしゃったとおり、僕も6か月以上でいいのではないかなというふうには思っていたところですけれども、準備期間とかいろいろ考えるとこういった考え方もあるかなと。それから、8か月で外国で行っているところもあると。
ただし、ここも含めて接種間隔、対象者、使用ワクチンに関しては、さらに検討をするというような、8か月ということを書いてもよろしいと思うのですけれども、さらに、必要に応じて再検討するということも入れて、この事務局案をこの分科会として認めるという結論ではどうかと、私、会長としてはそのように思いますが、いかがでしょうか。
(首肯する委員あり)
○脇田分科会長 よろしいですか。
一応8か月以上後とすると書いてありますけれども、ここも一応再検討の余地は残すという形にしていただきたいなと思います。
○合田委員 検討はどこで最終的にするのですか。
○脇田分科会長 もちろん分科会に上げていただくと。
○合田委員 ここで上げていただくということですか。
○脇田分科会長 はい、ここにですね。
ということで、事務局いかがでしょうか。それでよろしいですか。
○鶴田予防接種室長 事務局です。
今回、事務局案ということで提示させていただいておりますので、今、御指摘いただいた2番目のところに、「おおむね8か月以上後とする」のその後に、文言は、また、分科会長と御相談させていただければと思いますが、科学的知見をさらに収集して、その期間も幅を持ったほうがいいのだろうとも思いますので、そういったことも含めて、この分科会でさらに御議論していただけるように、また、文言については、分科会長に御相談させていただければと思っております。
以上です。
後でまた変えられるかのような文言を突っこんでいるけれど、 8 か月と決めたら、そこから逆算してロジスティックを組むので、 後で変えるのは無理なんだよね。
河野内閣府特命担当大臣記者会見要旨 令和3年9月21日 (内閣府, 9/21)
第25回厚生科学審議会予防接種・ワクチン分科会 資料 (厚生労働省, 10/28)。議事録はまだ公開されてないみたい。
第26回厚生科学審議会予防接種・ワクチン分科会 資料 (厚生労働省, 11/15)。8 か月に決まったし 8 か月で準備しちゃってますし、 でも PMDA が 6 か月と言っちゃったのでー、みたいな流れに見える。
【特例承認に係る報告書 】(令和3年 11 月 10 日)独立行政法人医薬品医療機器総合機構
PMDA の判断(抜粋)
- 機構は、以下のように考える。
- 現時点で、本剤初回免疫後の有効性の持続期間について明確な結論は得られておらず、また、 追加接種の時期について、他の期間を検討してデータは得られていないが、臨床試験での検討結果に加え、米国及び欧州で「本剤2回目接種から少なくとも6ヶ月後」に追加免疫が可能とされていること等を踏まえると、 本邦でも「本剤2回目接種から少なくとも6ヶ月後」と設定することは可能と考える。
こちら:
特例承認に係る報告書(2021年11月11日) (医薬品医療機器総合機構 PMDA, 11/10)
で、これを受けての事務局案がこちら:
- 追加接種の接種間隔に関しては 、海外の状況や自治体の準備期間も考慮して、2回目接種完了から概ね8か月以上後のままとしてはどうか。ただし、地域の感染状況等を踏まえて自治体の判断により、8か月より前に追加接種を実施する場合においては、薬事承認の内容を踏まえ、6か月以上の間隔をあけることとしてはどうか。
- 追加接種については、2回目接種完了からの接種間隔を概ね8か月以上後とすること、初回接種と異なり1回の接種で完了することを踏まえ、新型コロナウイルス感染症に係る臨時の予防接種の実施期間を、まずは令和4年9月 30 日まで延長することとしてはどうか 。
ワクチン3回目接種 間隔8→6カ月 戸惑う自治体担当者「なぜ今ごろ言い出すのか」 (神戸新聞, 11/16)。「なぜ今頃?」への答えは、PMDA が 11/10 に 6 か月と言ったから。
3回目接種は原則8か月以上 岸田首相”自治体に丁寧に説明を” (NHK, 11/16)
3回目接種、6カ月への短縮は病院クラスターなどに限定 厚労省通知 (朝日, 11/26)。作業体制が 8 か月で組んであるので、今から 6 か月に全面変更するのはぶっちゃけ無理と。突発事象だけにしてよと。
》 三沢基地所属 F-16、増槽を国道に投下し青森空港に緊急着陸 (11/30) の件つづき
米軍機燃料タンク投棄 防衛省、大きさや重さなど「確認中」 (毎日, 12/1)。落下現場の上空写真が掲載されている。 これを見ると、「国道」というよりは「市街地」という表現の方が適切だな。 死者が出なかったのはただの偶然であろ。
米側にF16飛行停止要求へ タンク投下受け防衛省 (時事, 12/1)。右から左に流される奴ですかね。
米軍機がタンク投棄 住宅街から数十メートル 青森・深浦 (河北新報 / Yahoo, 12/2)
「我々は人でないのか」憤る住民 深浦・米軍F16タンク投棄 (東奥日報 / Yahoo, 12/2)
》 不正アクセスで資格試験の問題入手 消防士に停職3か月の処分 (NHK, 11/30)
》 まじか...!瞬間接着剤で指と指がくっついた時の正しい剥がし方が大反響! (BuzzFeed, 10/14)。ぬるま湯でモミモミ、だそうです。
》 FBIの「LINEから入手可能な個人情報リスト」がリークされる、一体どんな情報にアクセス可能なのか? (gigazine, 12/2)
》 フィギュアGPファイナル中止へ オミクロン株拡大、入国停止が影響 (朝日, 12/2)。岸田政権の鎖国政策によりGPファイナルを開催できなくなった、ということですね。国から補償金とか出るのかなあ。
》 ソニー生命社員逮捕 子会社口座から約170億円不正送金し詐取か (NHK, 12/1)、 不正送金で170億円詐取容疑 ソニー生命の社員逮捕―警視庁 (時事, 12/1)、 170億円詐取か ソニー生命社員の男逮捕 (日テレ / Yahoo, 12/1)
この子会社はすでに解散が決まり、石井容疑者は日本国内で清算手続きを担当していて、コロナ禍のテレワーク中に自宅から犯行に及んだとみられています。
送金の翌日にソニー生命側が資金の流出に気付き、刑事告訴していました。
》 音響機器メーカーのズームが米Zoomを提訴。「極めて酷似した」ロゴをめぐり (PC Watch, 12/1)
》 Microsoft Defender 誤検出の件 (12/1)
Officeを起動するとEmotetに感染と誤検知。Microsoft Defenderの不具合。現在は解消済み (ニッチなPCゲーマーの環境構築Z, 12/1)
12月1日PM12:30時点でWindowsUpdateを実行すると、本不具合を修正した『Microsoft Defender Antivirus のセキュリティ インテリジェンス更新プログラム - KB2267602 (バージョン 1.353.1888.0)』が降ってきて、この定義ファイル(およびこれ以降のバージョン)をインストールすると誤検知が発生しなくなります。
Microsoft Officeがマルウェア「Emotet」に感染? Microsoft Defenderに誤検知か【14:45追記】 最新の定義ファイル「1.353.1874.0」で発生 (窓の杜, 12/1)
[2021年12月1日14:45編集部追記] 編集部にて本件に対する声明の有無を日本マイクロソフト社に問い合わせたところ、『現在本件に関して公開予定の情報は特にございません。』とのこと。
Microsoft 広報の対応がヒドい。
日本政府による当社が製造するNovavax社の新型コロナウイルス感染症ワクチン候補1億5,000万回接種分の購入について (武田, 9/7)。契約済。
米ノババックス、EUに申請 新型コロナワクチンの承認 (東京, 11/18)、 欧当局、米ノババックスのコロナワクチン「数週間内」に承認も (ロイター, 11/18)、 Novavax Confirms European Medicines Agency Review of COVID-19 Vaccine Filing for Conditional Marketing Authorization (Novavax, 11/17)
今のところ、使用許可が出ているのはインドネシア、フィリピンの 2 国なのかな。
後発組の米ノババックス製コロナワクチンに期待が集まる理由 (Forbes, 11/3)
ノババックス、日本でもワクチン承認申請の可能性=韓国報道 (WoW! Korea / Yahoo, 11/1)。日本ではまだ申請されていない模様。
日本のワクチン産業復興への道、KMバイオと武田薬品に聞く [特集]壊れない医療への道(5) (日経ビジネス, 12/1)。ノババックスとの提携の件も。
[Mailman-Users] Re: Mailman 2.1.38 security release (mailman-users ML, 2021.11.30)。CVE-2021-44227 を修正。FUTATSUKI さん情報ありがとうございます。
》 Microsoft Officeがマルウェア「Emotet」に感染? Microsoft Defenderに誤検知か 最新の定義ファイル「1.353.1874.0」で発生 (窓の杜, 12/1)、 Microsoft Defenderが誤検知、Microsoft OfficeがマルウェアEmotetに感染した通知が出まくり「社内中のパソコンがEmotet検出してあらゆる業務ができず大騒ぎ」12月1日 (まとめぶ, 12/1)、 Microsoft Defender scares admins with Emotet false positives (BleepingComputer, 11/30)
Microsoft has told BleepingComputer that they have fixed the issue for cloud-connected users and working on a fix for everyone else.
》 「エヴァ」公式ECでクレカ情報流出か セキュリティコード含む1万7828件 (ITmedia, 12/1)
》 三沢基地所属 F-16、増槽を国道に投下し青森空港に緊急着陸 (11/30)
米軍F16が青森空港に緊急着陸 燃料タンクを投棄、役場近くに落下 (朝日, 12/1)
役場勤務中「ドーン」、近くには民家も 米軍F16の燃料タンク投棄 (朝日, 12/1)
米軍機が燃料タンク投棄 青森、住宅近くに金属製物体 (日経, 11/30)。写真は共同提供のもの。
金属製物体、民家20mで発見 青森県知事、米軍に厳重抗議へ (共同, 12/1)。この写真は、上記日経記事では奥に写っているもののクローズアップか?
米軍機、燃料タンク投棄 響く衝撃音、住民恐怖 (産経, 12/1)。当該機および除去作業の写真あり。本当に住宅地である。
F-16 Aircraft Database - Airframe Details for F-16 #91-0382 (F-16.net)
》 CNNの看板キャスター停職 兄の前NY州知事のセクハラ問題で助言 (朝日, 12/1)
》 国産ワクチンめざすは「4回目」 製薬会社、課題は被験者の確保 (朝日, 11/30)。3回目には間にあいませんでしたと。
》 ワクチン3回目接種始まる 医療従事者が対象、当面はファイザー製 (朝日, 12/1)
》 米 FDA 諮問委員会、メルクの新型コロナ飲み薬「モルヌピラビル」緊急使用許可を 13 対 10 の僅差で勧告。 Molnupiravir (MK-4482/EIDD-2081)。
Merck’s Covid Treatment Pill Wins Blessing of F.D.A. Panel (NYTimes, 11/30)
メルクのコロナ飲み薬、近く正式許可へ 臨床試験で入院死亡リスク減 (朝日, 12/1)
米メルク、コロナ飲み薬の効果を下方修正 臨床試験解析 (毎日, 11/27)。「重症化や死亡を約50%抑える」→「重症化や死亡を約30%抑える」。
こちらの件: Merck & Co., Inc., Kenilworth, N.J., U.S.A.とRidgeback Biotherapeutics、リスクの高い軽症から中等症の 新型コロナウイルス感染症の成人患者に対する経口抗ウイルス薬として開発中の モルヌピラビルのMOVe-OUT試験の追加解析結果を公表 (MSD 製薬, 11/30)
Merck & Co., Inc., Kenilworth, N.J., U.S.A.とRidgebackが開発する新型コロナウイルス感染症の経口抗ウイルス薬、モルヌピラビルが世界初の承認を取得 (MSD 製薬, 11/8)。UK では承認済。
日本政府の対応
Merck & Co., Inc., Kenilworth, N.J., U.S.A.とRidgeback、新型コロナウイルス感染症の経口抗ウイルス薬として開発中のモルヌピラビルについて、日本政府が同剤の薬事承認後に160万治療コース分を購入することを発表 (MSD 製薬, 11/11)
医薬品医療機器総合機構による使用許可または承認が取得できた場合、この契約においてMerck & Co., Inc., Kenilworth, N.J., U.S.A.は約160万治療コース分のモルヌピラビルを日本政府に供給し、これに対し約12億ドル(税込み)が支払われます。
できたてホヤホヤだし、安くはない。
軽症から中等症の新型コロナウイルス感染症治療の経口抗ウイルス薬として開発中のモルヌピラビルの供給に関して日本政府と合意 (MSD 製薬, 11/11)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)