Last modified: Thu Jul 21 18:19:31 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 【緊急署名】#選挙特番は投票日の前に放送を (change.org)。そのとおり、としか言いようがないので賛同した。
》 「Windows Defender」ウイルス対策が原因でIntel CPU環境のパフォーマンスが大幅に低下する問題 対策ツールがリリース (窓の杜, 6/30)。 第 8〜11 世代 Intel CPU + Windows 10/11 において、Windows Defender が CPU をけっこう (6%) 食っているという話。 解決策として、ユーティリティ ThrottleStop のバージョン 9.5 に Windows Defender Boost というオプションを用意したと。
関連: Microsoft DefenderがIntel製CPUのパフォーマンスを低下させていたことが判明 (gigazine, 6/30)
》 元講談社社員「妻殺害」裁判が最高裁で逆転の可能性!最高裁が弁論を開くことを決定! (篠田博之, 6/30)。おぉ。これは吉報。
最高裁が弁論を開くというのは、2審の有罪判決を差し戻すか、または無罪判決を出す可能性が極めて高いということだ。この裁判、どう考えてもおかしいとこれまで何度も書いてきたが、それがひっくり返る可能性が高くなったといえる。
》 「マッカーサーの告白」という偽文書 (MTFのAkemiのblog, 2017.06.08)。『マッカーサーがアメリカへの帰任直後1951年5月3日に、上院軍事外交合同委員会の公聴会で「日本の戦争は自衛戦争だった」と証言した』というデマがあるのだそうで。
》 フリマアプリ「スニーカーダンク」に不正アクセス 最大約275万件の顧客情報が漏えい (ITmedia, 6/15)、不正アクセスによるお客さま情報漏えいに関するお詫びとご報告 (SNKRDUNK, 6/15)。こんなのあったのね。 6/7 にヤラレ、6/15 に情報公開。
3.原因
不正なリクエストに対するDBデータを含めたレスポンス
SQL インジェクションなんですかね?
》 欧州、ロシア産ガスの代替はウクライナから 住民は避難で大量流出、エネルギーの余剰生まれ立場逆転 (Wall Street Journal, 6/27)。 今回の戦争がはじまる直前、テストとして、ウクライナの送電網を旧ソ連系から分離。 戦争がはじまり、分離継続を決定。 さらに、緊急需要への懸念から EU 系に接続。 しかし実際には、国内の電力需要は大幅に減少し、EU に売れるほど余っていると。 すげえ。
ウクレネルゴのクドリツキー氏はウクライナの送電網を欧州のものに完全に同期させ、余剰電力をEUに販売する取り組みを加速した。欧州送電系統運用者ネットワーク(ENTSO-E)は6月7日、ウクライナからの電力輸入を段階的に始めることを承認した。
この規模のインフラ計画には通常数年から10年はかかる。だが、ウクレネルゴとポーランドの国営送電会社、ポーランド・パワーグリッド( Polskie Sieci Elektroenergetyczne )は、数カ月でこれを終えることを目指している。
》 ディスクユニオン、会員の個人情報70万件漏えいを公表 (弁護士ドットコムニュース, 6/29)。ネットではしばらく前から騒ぎになっていた件、 公式発表が出ました。
ヤラレを確認したのは 6/24、23 時にサイトを閉鎖。 しかしユーザーには事態を告知せず。
関連:
ツイート
【お知らせ】
— ディスクユニオン【公式】 (@diskunion_news) June 25, 2022
メンテナンスによるサービス一時停止のお知らせ ~7/4(月)
平素よりディスクユニオンをご愛顧ならびにご利用いただき、誠にありがとうございます。
現在緊急メンテナンスを実施しており、当面7/4(月)までディスクユニオンWEBサイトへの接続・サービスのご利用ができません。
ディスクユニオンの通販サイトを一度でも利用されていて、かつ、他のサイトで当該サイトと同じメールアドレス、パスワードを使用されている方!
— моник (@monique_dat) June 27, 2022
今すぐメールアドレス、パスワードを変更しましょう!
Spotify、Amazon、PayPal、Twitterは特に狙われています!
気をつけて!
ディスクユニオン利用者さん向けへ
— satoshi ojima (@ST_AS_732813_MO) June 28, 2022
70万件超の顧客情報がダークウェブ上に流出している模様 https://t.co/yfG5Mrhomm
ディスクユニオン 漏洩の件、何が一番ヤバいって、70万1000件の顧客情報が、既にダークウェブ、ディープウェブを通り抜けて、登録さえすれば誰でもダウンロードできる状態になってる事
— satoshi ojima (@ST_AS_732813_MO) June 29, 2022
今のところ確認できているのはこの3つだけど恐らく他にもあるだろう pic.twitter.com/oerau1G101
ちょうど今日ウェブセキュリティの講習やっていて、「ウェブサイトでパスワードのハッシュ保存が常識になったのはここ10年ほどのことだし、今もパスワードを平文保存しているサイトは多いと思う」と説明したばかりなので、僕が嘘を言っていない証拠になると思いました https://t.co/VJohxScRd7
— 徳丸 浩 (@ockeghem) June 29, 2022
》 「体育座り」はつらい 体への悪影響の指摘受け見直す学校も (河北新報, 6/28)
体への悪影響として、腰痛を引き起こしていることは、研究で明らかになっている。国際医学技術専門学校(名古屋市)の理学療法士増田一太さん(42)の2014年調査で、主に関西地方の小学5年~高校3年の男女939人の12・7%に腰痛があり、座った時に痛みを訴えるケースが66・4%で、そのうち体育座り時に痛みを感じたのが52・3%だった。
増田さんは「教育の場で話を聞くことより、姿勢を維持することに焦点が置かれ過ぎている」と問題視し、「もぞもぞ動くのは、痛みを回避しようとしているため」と解説する。
》 災害対応訓練がランサムウェア被害にも活きた - 徳島・半田病院に学ぶBCPの重要性[事故対応アワード受賞] (マイナビニュース, 6/29)
》 「ここまで愚かだったとは」──チャールズ皇太子、スーツケース入りの大金授受が発覚 (ニューズウィーク日本版, 6/29)
》 スウェーデンとフィンランド、NATO加盟の見通し トルコが同意 (朝日, 6/29)
会談に同席したストルテンベルグ氏は記者会見で、両国がトルコに科していた武器の輸出制限を解除することで合意したと説明。加えて、トルコが「テロ組織」とみなす「クルディスタン労働者党」(PKK)などについて、両国が支援をやめることなども約束したという。AFP通信によると、トルコ大統領府は覚書について「トルコは望んでいたものを手に入れた」と評価する声明を出した。
PKK/YPG にとっては逆風。
》 REON POCKET 3 (SONY)。話題の製品。
ソニーの着るエアコンはホントに冷たい! 3世代目のレオンポケットを体験 (家電 Watch, 5/12)
首元につけてわずか10秒で体の冷却・温熱ができるウェアラブルサーモデバイス「REON POCKET 3」レビュー (gigazine, 5/15)
ソニーの着るエアコン、ペルチェ素子機器「REON POCKET 3」の冷え具合を試す (日経 xTECH, 6/24)
ソニーの「着るエアコン」“バカ売れ” 猛暑追い風に「想定以上で推移」 (ITmedia, 6/27)
猛暑必携!これが“着るエアコン”、SONY REON POCKET 3 レビュー/ウェアラブルサーモデバイスの実力とは? (makkyon web, 6/29)
》 「テレビ消せばエアコンの1.7倍節電」は誤り。2021年時点ではどちらも「大きさや種類による」 (篠原修司 / Yahoo, 6/28)。 黙殺された野村総研の“TV消せばエアコンの1.7倍節電”報告 (NEWS ポストセブン, 2011.08.10) を現在の視点で更新。「大きさや種類による」のは、ぶっちゃけ昔もそうだろうと思います。
とは言え、この数字を持って「エアコンを消しましょう」と言うわけありません。
節電が呼びかけられているとは言え、熱中症のことを考えればエアコンよりもテレビを消すべきなのは間違いないからです。
TV を消すという選択肢はもっと声高に叫ばれるべきと思います。 いまどきの若い人はもはや TV を持っていないかもだけど。
出てます。
Firefox 102 がリリースされた (mozillaZine, 2022.06.29)
Firefox for Android 102 がリリースされた (mozillaZine, 2022.06.29)
Thunderbird 91.11.0 がリリースされた (mozillaZine, 2022.06.29)
Firefox ESR 102 系列も登場しています。ESR 91 系列は 91.13 で終了となります (Firefox Release Calendar)。
あと、Thunderbird 102.0 も出ています。 インストールするには、直接ダウンロードする必要があります。
新機能盛りだくさんの「Thunderbird 102」が公開 ~「Thunderbird 91」系統も引き続き提供 (窓の杜, 2022.06.29)
》 名古屋大学に不正アクセス 「ブラインドSQLインジェクション」攻撃でメアド2086件漏えいか (ITmedia, 6/28)
》 【注意喚起】実在の教職員の名前を騙ったウイルス(Emotet)付きのメール (慶應義塾 ITC, 6/14)
》 マルウェア感染が原因と思われる本学メールアドレスを悪用したメール送信のお詫びについて (室蘭工業大学, 6/24)
》 Enforcing a secure password for administrators and client users (broadcom)。SEP 14.3 RU5 の SEPM 管理者パスワードの件。デフォルトがいろいろ変わる。
》 【解説】 セヴェロドネツクの陥落、ウクライナ情勢でどんな意味があるのか (BBC, 6/28)
》 ウクライナに「機雷の夏」が到来 泳いでいた男性の体が空中に放り出される (courrier japon, 6/21)
》 親ロシアのサイバーテロ集団「Killnet」がDDoSアタックでリトアニアのネットワークを攻撃 (gigazine, 6/28)
》 M2搭載MacBook ProはM1搭載MacBook ProよりもSSDのデータ転送速度が大幅に低下していることがベンチマークにより明らかに (gigazine, 6/28)。あれまあ。read は 1/2、write は 2/3 ですか。
ただし、SSDのデータ転送速度が遅くなっているのはベースモデルのM2搭載MacBook Pro(256GB・SSD)のみで、M2搭載MacBook Pro(512GB・SSD)のSSDはM1搭載MacBook Proと同等のデータ転送速度となっている模様。MacRumorsは「M2搭載MacBook Pro(512GB・SSD)のデータ転送速度がM1搭載MacBook Proと同等なのは、2枚の256GB・NANDフラッシュストレージチップが搭載されているからである可能性があります」と記しています。
256GB 版は遅い、512GB 版はそうでもないと。
》 サル痘の緊急宣言を見送り (国連情報誌SUNブログ対応版, 6/26)
》 Kasperskyの透明性への取り組み (Kaspersky, 6/24)。トランスペアレンシーセンター 3 個所追加、 チューリッヒ DC 拡大、ISO 27001 再認証、SOC 2監査完了 (2度目) など。
》 Chrome Stable Channel Update for Desktop (Google, 6/27)。セキュリティ更新は無いようです。
》 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会 (まるちゃんの情報セキュリティ気まぐれ日記, 6/24)
》 日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表 (まるちゃんの情報セキュリティ気まぐれ日記, 6/27)
》 JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~ (まるちゃんの情報セキュリティ気まぐれ日記, 6/28)
》 「予測されやすいパスワード」有名サイト75%で許可 米プリンストン大が警鐘 (ITmedia, 6/28)
003型空母の建造状況 (小原凡司 / 笹川平和財団, 2021.11.09)
中国海軍3隻目の空母003型「福建」が進水 (ミリレポ, 6/17)
004 型、005 型と続く? 005 型は原子力推進という噂。
中国4隻目空母、動力は従来型か 香港紙報道 (時事, 6/24)
》 「預金返せ!」中国の銀行で8000億円“引き出せず”…全土でデモ 「主犯格」NY逃亡か (TV 朝日, 6/28)
》 「ATOK for Windows」のアップデートモジュールの提供が再開 ~「ESET」の問題が解決 (窓の杜, 6/28)。ESET 製品と干渉していたそうで。
》 『SASUKE』がオリンピック種目の候補に!トルコで行われる近代五種の大会でテストイベント番組セットの使用が決定! (TBS, 6/27)。「馬術」転じて「障害物レース」の候補に SASUKE が選ばれるという、 まさかの展開。虚構新聞ではなかった。
Uyghur Forced Labor Prevention Act (US CBP)
Uyghur Forced Labor Prevention Act (US DHS)。DHS にこんなページができる案件なのですね。
米ウイグル強制労働防止法に基づく輸入禁止措置が6月21日から有効に、運用実態を注視 (JETRO, 6/21)
CBPが公表した輸入者ガイダンスによると、同局はUFLPAに基づき輸入貨物を検査するが、検査開始後5日以内(土日祝日を除く)に解放されない場合、貨物は差し止め扱いとなる。輸入者は強制労働に依拠していないことを証明する「明白で説得的な証拠」を提出した場合に限り輸入を認められるが、サプライヤーが所在国の法律によって情報を開示できない場合であっても、製品は差し止め対象になるとしている。また、UFLPAにデミニミス規定(注2)は存在せず、新疆ウイグル自治区が関わる原材料や部品がわずかでも含まれていれば、輸入禁止措置の対象となる。
DHSはUFLPA戦略の中で、強制労働に関与する事業者をUFLPA事業体リストに指定し、優先的に法を執行すべき分野として、アパレル製品、綿・綿製品、ポリシリコンを含むシリカ系製品、トマトおよびその派生製品を挙げている。DHSが率いる強制労働執行タスクフォース(FLETF)は、UFLPA事業体リストを少なくとも年に1回更新する予定で、DHSやCBPがUFLPAを今後どのように運用していくのか、注目が集まる。
米ウイグル禁輸法に中国外務省「ウソ根拠の制裁」 (TV 朝日, 6/21)
》 銃規制に逆行する米最高裁「NY州法は違憲」判断の衝撃 (ニューズウィーク日本版, 6/27)。 中絶の件といい、 トランプの置き土産がガンガン作動し始めているな。
》 世界に飛び火 “サイバー市民戦争” パンドラの箱は開かれた (NHK, 6/27)
》 京都新聞HDの違法報酬 同紙記者が元相談役らを刑事告発へ (毎日, 6/28)
違法な報酬を受けたと指摘されたのは、元相談役の白石浩子氏(81)。HDが設けた第三者委は4月、浩子氏が1987年以降、勤務実態がないにもかかわらず、HDや子会社など計6社の相談役として、計16億4700万円の報酬を受けたと認定した。さらに、98年以降は私邸の管理費計2億5900万円も会社側が肩代わりしたとして、会社法違反に当たると指摘していた。
(中略)
HD側は記者会見で、関係者の刑事責任は追及しないと明言。山本忠道社長も、子会社の社長時代に報酬支払いに関与していたが、「(自身の)責任はない」と述べ、現経営陣の責任を認めなかった。
うへえ。 仕方ないので、京都新聞記者有志が京都地検に告発、ということか。 関連:
京都新聞ホールディングス違法報酬問題 第三者委員会の調査報告書(公表版) (京都新聞, 4/22)
揺れる京都新聞 白石家へのそんたくに社内憤り「自浄作用示す」 (毎日, 6/28)
2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)
Edge の IE モードタブ関連の不具合は KIR ロールバックで対応だそうです。
「Microsoft Edge」のIE モードタブが無反応になる問題が発生 ~Windowsパッチに問題 (窓の杜, 2022.06.27)
Microsoft EdgeのIEモードタブが応答しなくなる不具合。KB5014699やKB5014668等で発生 (ニッチなPCゲーマーの環境構築Z, 2022.06.27)
》 ファイザー / モデルナ、オミクロン BA.1 対応ワクチンをテスト中。 ウイルス変異速度がワクチン開発速度を上回っているんだよなあ。
米モデルナ製の新型ワクチン、オミクロン派生型にも効果 (日経, 6/23)
今回の新ワクチンに関する発表によると、「BA.4」と「BA.5」に対するウイルスの働きを抑える中和抗体の量は「BA.1」に使う場合と比べて3分の1と多くはない。しかしオミクロン型に対応していない従来ワクチンに比べると、派生型も含めてより高い予防効果や長い持続性を確認できたという。
これですか: Moderna Announces Bivalent Booster mRNA-1273.214 Demonstrates Potent Neutralizing Antibody Response Against Omicron Subvariants BA.4 And BA.5 (moderna, 6/22)。mRNA-1273.214 というのですね。
米ファイザー改良ワクチン、オミクロン株への免疫反応改善 (ロイター, 6/27)
これですか: Pfizer and BioNTech Announce Omicron-Adapted COVID-19 Vaccine Candidates Demonstrate High Immune Response Against Omicron (Pfizer, 6/25)
BA.1 対応ワクチンをテストしている間に別のが主流になっちゃってると。
新型コロナウイルス感染症の直近の感染状況等(2022年6月23日現在) (国立感染症研究所, 6/24)。現在の主流は BA.2 。
オミクロン新派生型「BA.4」「BA.5」が拡大、米感染者の約20%に (ニューズウィーク日本版, 6/15)。主流は BA.2 だが BA.4 / BA.5 が増えてきている。
》 黙殺された野村総研の“TV消せばエアコンの1.7倍節電”報告 (NEWS ポストセブン, 2011.08.10)
当該報告書はこちら: 震災復興に向けた緊急対策の推進について 第6回提言 家庭における節電対策の推進 (野村総合研究所, 2011.04.15)。p.5 から引用:
| 主な節電対策 | 節電効果 | 前提条件 |
|---|---|---|
| 照明をこまめに消灯する | 162W | 白熱電球3つを消す |
| テレビをこまめに消す | 220W | 液晶テレビを消す |
| 使用していない家電製品のコンセントを抜く | 6W | テレビ・DVDレコーダー・パソコンのコンセントを抜く |
| エアコンの温度設定を上げる | 52W | エアコン2台の温度設定を2℃上げる |
| 使用するエアコンの数を減らす | 130W | エアコン1台を止める |
| 白熱電球を省エネ型照明に交換する | 126W | 白熱電球3つを蛍光灯に交換する |
| 合計 | 696W |
エアコンを止める、よりも TV を消す、の方が有効と。 TV を消してラジオを聽こう。
》 中国政府は膨大な監視データを使って国民がトラブルメーカーになるかを「予測」している (gigazine, 6/27)、 ‘An Invisible Cage’: How China Is Policing the Future (NYTimes, 6/25)
》 DNS Summer Day 2022 (dnsops.jp) 資料公開されてます。
Fixed in 7.84.0 - June 27 2022 (curl)。4 件のセキュリティ修正を含む。
CVE-2022-32205: Set-Cookie denial of service (curl, 2022.06.27)
CVE-2022-32206: HTTP compression denial of service (curl, 2022.06.27)
CVE-2022-32207: Unpreserved file permissions (curl, 2022.06.27)
CVE-2022-32208: FTP-KRB bad message verification (curl, 2022.06.27)
個人情報を含むUSBメモリーの紛失について (2022.06.24)
関連:
飲酒の社員、マンション敷地にUSBメモリー置き忘れか…警察は異例の遺失物捜索 (読売, 2022.06.25)
男性社員からの遺失物届を受け、府警吹田署は24日、約30人を動員し、男性社員とともに捜索。携帯電話の位置情報から大まかな場所を推定し、同日昼頃、居酒屋から約1キロ離れたマンションの敷地内で、バックアップ用も含めUSB2本をかばんとともに発見した。男性社員はマンションに立ち寄った記憶がなかったが、署員が捜索を提案したという。かばんに入れていた財布なども手つかずで、同署は社員が敷地内に入り、置き忘れたとみている。
どうやら「単なる置き忘れ」の可能性が高そうだと。 これは吉報。
あと、さらなるすさまじ項目が追加された模様。
無許可で再委託していた
当該人物は再委託先ではなく、再委託先がさらに再委託した (再々委託) 会社の社員だった
こちら:
住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失について (BIPROGY, 2022.06.24)、 「緩みや慣れがあった」、尼崎市のUSBメモリー紛失でBIPROGY平岡社長が会見 (日経 xTECH, 2022.06.24)。この時点では委託先 (アイフロント) の社員という説明だった。
住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失 に関する報告の修正について (BIPROGY, 2022.06.26)
弊社は「臨時特別給付金対応業務委託」の一部を株式会社アイフロントに再委託しておりましたが、その後の事実確認により、USB メモリを紛失した当該本人は、株式会社アイフロントからの委託先の社員であったことを確認しました。
USB紛失は「協力会社の委託先の社員」 市の委託業者、説明に誤り (朝日, 2022.06.26)
個人情報入りUSB紛失、業者が無断で「再委託」繰り返す…市「報告なく契約違反」 (読売, 2022.06.27)
尼崎USB紛失問題 市に無許可で業務を再委託 なくした社員の所属は別会社 (神戸新聞, 2022.06.27)
尼崎市のUSBメモリー紛失は再々委託先の社員、BIPROGYが説明を訂正 (日経 xTECH, 2022.06.27)
尼崎市役所様のUSB紛失事故について
尼崎市役所様のUSBを紛失したのはアイフロントの社員ではございませんでした。
ですが、弊社委託先の所属社員が起こした紛失事故であるため、
今後、BIPROGY社と共同で調査を実施いたします。
関係者各位には多大なご心配をおかけいたしました。
いやいや、「アイフロントの社員ではございませんでした」という説明もおかしいでしょ。 人事管理どうなってるの。
》 ついにここまで…AirTagを使ってのストーキングが殺人事件へと発展、米国で女性が逮捕 (やじうま Watch, 6/21)
》 コロナ患者情報システム 一時外部ログイン可能 大阪市がID流出 (毎日, 4/28)。さすがは大阪市、桁数どころじゃなかった。
7人から情報公開請求を受けた際、開示資料をマスキングせずに渡していたという。 (中略) 流出したのは、ログイン時に必要なURL▽IDとして使うメールアドレス▽パスワード――の情報。
》 「ウイルスバスター ビジネスセキュリティ」がWindows 7を繰り返し再起動させる不具合 (窓の杜, 6/23)、 [製品情報]ウイルスバスター ビジネスセキュリティならびにウイルスバスター ビジネスセキュリティサービスにおいて Windows 7 で発生していた事象について (トレンドマイクロ, 6/22)
Windows 7 はシステム要件から外れているため、本来サポート対象外となりますが、 事象の影響が大きいためご連絡させていただいております。
あらまあ。 システム要件 (トレンドマイクロ) には確かに Windows 7 も Server 2008 R2 も含まれない。 でも Windows POSReady 7 は含まれているのになあ。
下記の条件をすべて満たす環境で発生します。
・Windows 7 32ビット環境
・挙動監視設定パターンファイルのバージョンが「1.237.00」
32bit 版のみで発生、ですか。
なかなかにすさまじい案件ですね。
受託業社 (BIPROGY) 社員ではなく受託業社の再委託先の社員が、 無許可で持ち出し
移送に専門業社を使用せず
データ移送後、消去せず
作業後、帰社せず居酒屋で飲食 (誘ったのは BIPROGY 社員)
帰宅中に路上で寝てしまい、目が醒めるとかばんごと無くなっていた
記者会見で市職員がパスワードの桁数を暴露
関連:
兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び (BIPROGY, 2022.06.23)
地元新聞
「飲酒後、路上で寝てUSBなくした」尼崎市の個人データ紛失問題、委託業者が会見 (神戸新聞, 2022.06.23 17:24)
個人情報紛失で尼崎市長が謝罪 メモリー持ち出し手続き検証 (神戸新聞, 2022.06.23 18:56)
全尼崎市民46万人の個人情報 委託業者の協力会社社員がUSBに記録し紛失 (神戸新聞, 2022.06.23 22:30)
尼崎のUSB紛失 コンピューター管理の委託先、初歩的ミス重ねる 市長陳謝「甘さあった」 (神戸新聞, 2022.06.24)
全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 (NHK, 2022.06.23)
最有力は「amagasaki2022」?尼崎市の紛失USBのパスワードで大喜利合戦 (女性自身 / goo, 2022.06.24)
社員一人ひとりの“しなやかさ”がつくる「BIPROGYらしさ」 日本ユニシス変革の歩みと持続可能社会の実現に向けたBIPROGYの矜持 (BIPROGY, 2022.04.01)。「しなやかさ」。
尼崎市が全市民46万人分の個人情報の入ったUSBメモリを紛失したことを個人情報保護法制的に考えた(追記あり) (なか2656のblog, 2022.06.23)
全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた (piyolog, 2022.06.24)
当該 USB メモリーを発見。
紛失の尼崎のUSBメモリー発見、かばんと一緒に 46万人分の情報 (朝日, 2022.06.24)
尼崎市によると24日、USBメモリーを入れたまま紛失したかばんとともに見つかったと、BIPROGY(ビプロジー)社から市に連絡があったという。
この書き方だと、USB メモリーとかばんは分離された状態だったということだろうか。
関連:
飲酒の社員、マンション敷地にUSBメモリー置き忘れか…警察は異例の遺失物捜索 (読売, 2022.06.25)
男性社員からの遺失物届を受け、府警吹田署は24日、約30人を動員し、男性社員とともに捜索。携帯電話の位置情報から大まかな場所を推定し、同日昼頃、居酒屋から約1キロ離れたマンションの敷地内で、バックアップ用も含めUSB2本をかばんとともに発見した。男性社員はマンションに立ち寄った記憶がなかったが、署員が捜索を提案したという。かばんに入れていた財布なども手つかずで、同署は社員が敷地内に入り、置き忘れたとみている。
どうやら「単なる置き忘れ」の可能性が高そうだと。 これは吉報。
あと、さらなるすさまじ項目が追加された模様。
無許可で再委託していた
当該人物は再委託先ではなく、再委託先がさらに再委託した (再々委託) 会社の社員だった
こちら:
住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失について (BIPROGY, 2022.06.24)、 「緩みや慣れがあった」、尼崎市のUSBメモリー紛失でBIPROGY平岡社長が会見 (日経 xTECH, 2022.06.24)。この時点では委託先 (アイフロント) の社員という説明だった。
住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失 に関する報告の修正について (BIPROGY, 2022.06.26)
弊社は「臨時特別給付金対応業務委託」の一部を株式会社アイフロントに再委託しておりましたが、その後の事実確認により、USB メモリを紛失した当該本人は、株式会社アイフロントからの委託先の社員であったことを確認しました。
USB紛失は「協力会社の委託先の社員」 市の委託業者、説明に誤り (朝日, 2022.06.26)
個人情報入りUSB紛失、業者が無断で「再委託」繰り返す…市「報告なく契約違反」 (読売, 2022.06.27)
尼崎USB紛失問題 市に無許可で業務を再委託 なくした社員の所属は別会社 (神戸新聞, 2022.06.27)
尼崎市のUSBメモリー紛失は再々委託先の社員、BIPROGYが説明を訂正 (日経 xTECH, 2022.06.27)
尼崎市役所様のUSB紛失事故について
尼崎市役所様のUSBを紛失したのはアイフロントの社員ではございませんでした。
ですが、弊社委託先の所属社員が起こした紛失事故であるため、
今後、BIPROGY社と共同で調査を実施いたします。
関係者各位には多大なご心配をおかけいたしました。
いやいや、「アイフロントの社員ではございませんでした」という説明もおかしいでしょ。 人事管理どうなってるの。
2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)
Wi-Fi ホットスポット機能に不具合が出ていた件は C リリースで対応だそうです。
2022年6月のWindowsセキュリティパッチに問題、Wi-Fiホットスポット機能が利用不能に (窓の杜, 2022.06.17)
Microsoft、2022年6月Cリリースを提供開始 ~Wi-Fiホットスポットの問題は解消 (窓の杜, 2022.06.24)
》 ロシア車、ソ連時代に逆戻り? 新型なのにエアバッグもABSもない (朝日, 6/22)
》 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊 (まるちゃんの情報セキュリティ気まぐれ日記, 6/21)。RSOCKS botnet が機能を停止 (disrupted)。 US、UK、ドイツ、オランダの共同作戦。
関連: 「邪魔をする」を使い分ける ~distract, disrupt, disturb, interfere~ (Global Leaders)
“disrupt” には「何かを妨害して続くべきものを止める」という意味があります。
邪魔が入ることで、行為や行動が中断するという部分に焦点が当たっています。
関連: Meet the Administrators of the RSOCKS Proxy Botnet (Krebs on Security, 6/22)
》 F14の墜落〈イラン) (中東の窓, 6/18)。実際に、まだ F-14 が飛んでいるんですね。
》 バッテリー生産における「知られざる環境負荷」が明らかになってきた (WIRED, 6/20)。従来の推計値よりも大きそうだと。
Minviroの推計では、人造グラファイトの実際の二酸化炭素排出量は、公表されている標準的な推定値の最大10倍、天然のグラファイトでは8倍だった。ドイツの研究グループの研究では、天然グラファイトによる排出量は広く参照されている推定値の4倍という結果である。より正確な推定値を算出するために、どちらの研究チームもさらなる研究とデータの必要性を訴えている。
》 ビル・ゲイツが「NFTは100%大バカ理論に基づいている」と発言 (gigazine, 6/16)
》 Cloudflareが2022年6月21日に発生した大規模ネットワーク障害について説明 (gigazine, 6/22)。BGP 設定をしくったと。
》 Adobe AcrobatがセキュリティソフトによるPDFファイルのチェックを防いでいるとの指摘 (gigazine, 6/22)
》 Wireshark 3.6.6 Release Notes (Wireshark, 6/15)。セキュリティ修正はないみたい。
》 ワンライナーのお手本!? SUSEエンジニアが作成したext4のパフォーマンス改善パッチ (Linux Daily Topics, 6/20)
》 RHEL互換OSのAlmaLinux,ディストリビューション/パッケージのビルドを自動化する「AlmaLinux Build Syatem」を公開 (Linux Daily Topics, 6/22)
》 インターネットスキャンデータから見るウクライナ (JPCERT/CC Eyes, 6/20)
》 ロシア空挺軍司令官解任か ウクライナ作戦失敗で引責―米研究所 (時事, 6/20)。アンドレイ・セルジュコフ司令官(大将)。
》 北方領土でロシア軍の演習相次ぐ 日本への強硬姿勢を示す狙いか (朝日, 6/17)、 第181号(2022年6月20日) 公刊情報と衛星画像で読む「オホーツク海で起きていること」ほか (ユーリィ・イズムィコ / note, 6/20)
》 ウクライナ、対艦ミサイルで攻撃成功 ロシアの黒海制海能力減退 (時事, 6/21)。 ハープーンを使って Project 22870 Vasily Bekh (SB-739) を撃破。
Latest Defence Intelligence update on the situation in Ukraine - 21 June 2022 (UK Ministry of Defence / twitter, 6/21)
Rescue ship Project 22870 (russianships.info)
Rescue Tug Spasatel Vasily Bekh (SB-739) (kchf.ru)
》 徳島県の病院がランサムウェア「Lockbit」被害 電子カルテと院内LANが使用不能に (ITmedia, 6/20)。鳴門山上病院。
》 大規模な太陽フレアで2週間に渡り通信障害、広域停電の可能性も 総務省が“最悪のシナリオ”公開 (ITmedia, 6/21)
》 エンガジェット後継メディア「テクノエッジ」、Ittousai編集長で本日始動 (ITmedia, 6/22)
Endpoint Protection の入手方法について (broadcom, 6/20)
What's new for Symantec Endpoint Protection 14.3 RU5? (broadcom, 6/21)。 日本語版リリースノート はまだ RU5 に追いつけてないみたい。
》 「レイハラ」対策の遅れ、大学で浮き彫り 実態調査で判明 (毎日, 6/21)。どこの実態調査かと思ったら、京都の話だった。 racial harassment、race (人種) に基づくハラスメント。
「京都府・京都市に有効なヘイトスピーチ対策の推進を求める会」(京都市上京区) (中略) は2021年7~8月、京都市内を中心とする府内30大学に調査を依頼。19大学から回答を得て、今春に調査報告書をまとめた(回答率63・3%)。
関連:
》 「コードリールを巻いたまま使うのは危険」 実験でトロトロに溶けた動画が衝撃的で恐ろしい (ねとらぼ, 6/21)
》 高収入バイトの闇 脅され追い詰められた“凶悪犯” (カナロコ, 6/20)。儲け話には気をつけよう。
》 「どっちが上?」切った配管に目印なく 東電ミスで分析に支障 福島第一原発 (東京, 6/21)。切る前にスプレーしとくものなんじゃないの?
》 経営状況「まぢピンチ」 ゆるいテイストでヤバさを伝える京都市交通局のイラスト話題に 狙いを聞いた (ねとらぼ, 6/21)
》 「全てのスマホにUSB Type-Cポートを」EUに続いて米国でも? 議員団体が意見書を提出 (やじうま Watch, 6/22)。マジですか。
PHP 7.4.30、PHP 8.0.20およびPHP 8.1.7が公開 (FAMLog, 2022.06.10)。 CVE-2022-31625 CVE-2022-31626 を修正。
JVNVU#92867820 OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性 (JVN, 2022.06.22)。CVE-2022-2068
OpenSSL Security Advisory [21 June 2022] The c_rehash script allows command injection (CVE-2022-2068) (OpenSSL, 2022.06.21)。 OpenSSL 3.0.4 / 1.1.1p / 1.0.2zf で修正されている。
INTEL-SA-00615 - Inte Processors MMIO Stale Data Advisory (Intel, 2022.06.14)。 CVE-2022-21123 CVE-2022-21125 CVE-2022-21127 CVE-2022-21166
関連:
Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities ADV220002 (Microsoft, 2022.06.14)
INTEL-SA-00645 - IntelProcessors MMIO Undefined Access Advisory (Intel, 2022.06.14)。 CVE-2022-21180
INTEL-SA-00698 - Software Developer Guidance for Power Advisory (Intel, 2022.06.14)。 CVE-2022-24436
AMD-SB-1038 - Frequency Scaling Timing Power Side-Channels (AMD, 2022.06.14)。 CVE-2022-23823
Chrome 103.0.5060.53 が stable に。14 件のセキュリティ修正を含む。
関連:
New in Chrome 103 (Chrome, 2022.06.21)
「Google Chrome 103」安定版リリース、HTTP 103 レスポンスコード対応などウェブ高速化への取り組み (gigazine, 2022.06.22)
》 「Discord」や「pixiv」などにアクセスできない報告相次ぐ Cloudflareで障害発生【復旧済み】 (ITmedia, 6/21)
》 「スマート工場のセキュリティリスク分析調査」調査報告書の公開 (IPA, 6/15)
》 Updated security policy for Drupal core Composer dependencies - PSA-2022-06-20 (Drupal, 6/20)
》 激安ThinkPad騒動、「領収書が届いても注文はキャンセル」とレノボ (ITmedia, 6/20)。受注数が多すぎて、父の日スペシャルにできなかったのかな。
このトラブルは、個人ブログなど、アフィリエイトプログラム参加者向けにレノボが配布したクーポンに起因する。週末限定として配布したクーポンの割引率が76%と大きく、ノートPC「ThinkPad E14 Gen3 AMD」と「ThinkPad E15 Gen3 AMD」の2モデルが、3万円台半ばから購入できることが判明。
》 アフリカで食料危機深刻化 ウクライナ侵攻の「犠牲」に (時事, 6/17)。関連:
ウクライナでの戦争、世界的な食料危機を引き起こす恐れ=国連 (BBC, 5/19)
ウクライナ情勢と世界の食糧危機 黒海の輸送ルートは (NHK 解説委員室, 6/8)
迫り来る“食料危機” 日本や世界の食はどうなる? (NHK, 6/16)
2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)
ARM 版 Windows 10 / 11 で Asure AD や Microsoft 365 にサインインできない件、修正プログラムが公開されました。
Microsoft、ArmデバイスがAADにサインインできない問題を解決するパッチを緊急公開 (窓の杜, 2022.06.21)
》 Web会議での疲労感は“音質の悪さ”が原因。NTTデータ経営研究所とShureが検証 (PC Watch, 6/13)
》 「GIMP」がMicrosoft Storeに登場 ~ストアに蔓延する偽物対策 (窓の杜, 6/20)
》 Microsoft、個人向け「Microsoft Defender」の提供を開始 (窓の杜, 6/17)。Microsoft 365 Personal / Famiry 向け。
2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)
不具合情報:
2022年6月のWindowsセキュリティパッチに問題、Wi-Fiホットスポット機能が利用不能に (窓の杜, 2022.06.17)。Windows 7 / 8.1 / 10 / 11 、Server 2008 R2 / 2012 / 2012 R2 / 2016 / 2019 / 2022 で発生。
AADやMicrosoft 365にサインインできない不具合。KB5014699 / KB5014697が原因 (ニッチなPCゲーマーの環境構築Z, 2022.06.20)。ARM 版 Windows 10 / 11 限定の話。
VPN使用環境でブルースクリーンが発生する不具合。KB5014697に起因 (ニッチなPCゲーマーの環境構築Z, 2022.06.17)。 Windows 11 バージョン 21H2 + OpenVPN 限定の話。
》 Defending against Ransomware: 28 Protection Solutions Put to the Test under Windows 10 (AV-TEST, 3/9)。興味深い。
》 半田病院、有識者会議の調査報告書をつるぎ町議会に提出 (6/7)
電子カルテが古く、ウイルス対策無効に サイバー攻撃受けた半田病院 (朝日, 6/7)。 端末のアンチウイルスは無効化されていた。Windows Update 等も無効化されていたと。
病院関係者によれば、これらは電子カルテシステムの導入時、システムが動作しなくなったり不安定になったりする可能性があるとの理由で無効化されたという。「システムを導入した業者が設定した」と話している。
VPN 装置から侵入された模様。
この装置は、電子カルテシステム販売元のJBCC(東京都)が、遠隔操作でシステムをメンテナンスするための接続口として設置された。徳島市のシステム開発会社スタンシステムが設置を担当したことが取材で判明した。(中略) VPN機器の欠陥について、サイバー攻撃を受ける以前からJBCC側が把握していたという。だが欠陥は修正されず被害が起きた。病院側とJBCC側の責任の所在があいまいで、有識者会議の報告書でもこの点を指摘しているとみられる。
「閉じた」システムを過信 サイバー攻撃の病院、ウイルス対策を停止 (朝日, 6/8)
セキュリティー対策の機能が意図的に止められるような問題は半田病院に限った話ではない。都内の医療システム会社の男性は「病院のネットワークはインターネットと切り離す『閉域網』が前提で、トラブルの元になる自動更新を止めることが多かった」と話す。
ところが病院のネットワークには、VPN装置など外部とつながる機器が増えているという。セキュリティー専門家でデジタル庁の戦略官でもある杉浦隆幸さんは「外部と接点があれば閉域網ではない。誤った認識でそう思い込んでいる医療関係者は多い」という。
つるぎ町の町立病院のサイバー攻撃 有識者会議が報告書 (NHK, 6/7)
ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題 (日経 xTECH, 6/13)
報告書はこちら: 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について (半田病院, 6/16)
Adobe Animate / Bridge / Illustrator / InCopy / InDesign / RoboHelp Server のセキュリティ更新公開。いずれも Priority: 3。
出ました。ms-msdt:/ URL の件 も対応されています。 (後で書……けるといいな)
【Windows11】 WindowsUpdate 2022年6月 不具合情報 - セキュリティ更新プログラム KB5014697 (ニッチなPCゲーマーの環境構築Z, 2022.06.15)
【Windows10】 WindowsUpdate 2022年6月 不具合情報 - セキュリティ更新プログラム KB5014699 (ニッチなPCゲーマーの環境構築Z, 2022.06.15)
【Windows8.1】 WindowsUpdate 2022年6月 注意事項と各KBメモと直リンク KB5014738 / KB5014746等 (ニッチなPCゲーマーの環境構築Z, 2022.06.15)
今日(6/15 JST)は恒例、Windows Update の日 (2022-06 B) (山市良のえぬなんとかわーるど, 2022.06.15)
不具合情報:
AADやMicrosoft 365にサインインできない不具合。KB5014699 / KB5014697が原因 (ニッチなPCゲーマーの環境構築Z, 2022.06.20)。ARM 版 Windows 10 / 11 限定の話。
VPN使用環境でブルースクリーンが発生する不具合。KB5014697に起因 (ニッチなPCゲーマーの環境構築Z, 2022.06.17)。 Windows 11 バージョン 21H2 + OpenVPN 限定の話。
ARM 版 Windows 10 / 11 で Asure AD や Microsoft 365 にサインインできない件、修正プログラムが公開されました。
Microsoft、ArmデバイスがAADにサインインできない問題を解決するパッチを緊急公開 (窓の杜, 2022.06.21)
Wi-Fi ホットスポット機能に不具合が出ていた件は C リリースで対応だそうです。
2022年6月のWindowsセキュリティパッチに問題、Wi-Fiホットスポット機能が利用不能に (窓の杜, 2022.06.17)
Microsoft、2022年6月Cリリースを提供開始 ~Wi-Fiホットスポットの問題は解消 (窓の杜, 2022.06.24)
Edge の IE モードタブ関連の不具合は KIR ロールバックで対応だそうです。
「Microsoft Edge」のIE モードタブが無反応になる問題が発生 ~Windowsパッチに問題 (窓の杜, 2022.06.27)
Microsoft EdgeのIEモードタブが応答しなくなる不具合。KB5014699やKB5014668等で発生 (ニッチなPCゲーマーの環境構築Z, 2022.06.27)
Windows Server の NAT 機能に不具合が発生。C リリースで対応済だそうです。
2022年6月Bパッチで「Windows Server」のNATにトラブル、インターネット接続が不能に (窓の杜, 2022.06.30)。RRAS 有効時に発生。
CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス (2022.06.01)
2022 年 6 月の定例更新プログラムで対応されました。
2022 年 6 月のセキュリティ更新プログラム (月例) (MSRC Blog, 2022.06.15)
》 とうとう「Internet Explorer 11」のサポートが(ほとんど)終了、27年の歴史に幕 (窓の杜, 6/15)
ただし、いまだ組織内部で「IE」を利用するアプリやサービスは少なくないことから、コンポーネントとしての「IE」は存続される。「Edge」の「IE モード」機能を利用することで、レガシーサイトを「IE」コンポーネントで閲覧することも可能。この「IE モード」は少なくとも2029年までサポートされる予定だが、できるだけ早い脱「IE」が望ましいのは言うまでもない。
関連:
Internet Explorer 11 はサポートを終了しました。長年のご愛顧ありがとうございました。 (Windows Blogs, 6/15)
》 IIJ、Active Directoryと連携可能なNGINX向けLDAP認証モジュールを提供 (クラウド Watch, 6/15)
》 Mozilla、アンチトラッキング技術の集大成「包括的 Cookie 保護」をデスクトップ版「Firefox」で全面有効化 (窓の杜, 6/15)
》 ネット中傷対策「侮辱罪」厳罰化が成立 改正刑法 (毎日, 6/13)、 木村花さん母「やっと、という思いが強い」 改正刑法、侮辱罪厳罰化 (毎日, 6/13)
侮辱罪は、公然と人の社会的評価を害した場合に適用され、改正前の法定刑は「拘留(30日未満)または科料(1万円未満)」と刑法で最も軽かった。(中略) 成立した改正法は、侮辱罪の法定刑に「1年以下の懲役もしくは禁錮」と「30万円以下の罰金」を加え、これに伴い公訴時効が1年から3年に延びた。
》 深刻化するスマホの転売問題 「転売ヤー」に隙を与えたのは誰なのか (ITmedia, 6/14)
より問題になっているのは組織的な転売ヤーの存在であろう。日本でスマートフォンを安価に購入できることに目を付け、日本で調達した端末を海外で転売し、内外価格差を利用して利益を得るというビジネスを目的としている。そして利益を最大化するには端末を大量調達する必要があることから、多数の人員を集めてショップに開店前から並ばせ、値引き対象のスマートフォンを早々に買い占めてしまうことで問題を深刻化させている訳だ。
》 GoogleはEUの独占禁止法による売上の最大10%という巨額の罰金を回避すべく「ライバル広告企業がYouTubeに広告を掲載すること」を提案 (gigazine, 6/14)
Googleは「広告主は広告マネージャーを使用してYouTube上に広告を掲載しなければいけない」というルールを課しており、これはライバルとなる広告企業がYouTubeに広告を配信する際の制限になっているとして、ECは独占禁止法違反の疑いで調査を進めています。また、広告主がYouTube広告を購入するにはAlphabetの広告サービスであるディスプレイ&ビデオ 360とGoogle広告を使用しなければいけないというGoogleの課す要件についても、独占禁止法違反の疑いがあるとして調査を進めています。
》 Googleが女性社員の給料を意図的に少なくしていたことを認め、約158億円を支払う和解に合意 (gigazine, 6/14)
》 Microsoftが「Activision Blizzardの労組結成に反対しないこと」に合意、企業が合法的に労組を妨害できるアメリカでは画期的 (gigazine, 6/14)
》 Amazon子会社の暗号化メッセージングアプリ「Wickr」が児童ポルノの温床になっているという指摘 (gigazine, 6/13)
》 Amazonは商品を宣伝してくれるInstagramやTikTokのインフルエンサーを豪華リゾートに招待している (gigazine, 6/13)。わかりやすい。
》 老舗メールクライアント「Thunderbird」のAndroid版が「K-9 Mail」を統合して近日登場 (gigazine, 6/14)。へぇ。
》 悪質な「お試し商法」規制強化 新たな取消権も! (NHK 解説委員室, 6/14)
ネット定期購入:
▼ 「お試し」とか「トライアル」。解約に条件があるのに「いつでも解約できます」といった表示をすることは禁止とし、その上で、
▼ 違反をした事業者は、これまでの行政処分に加え、懲役刑や罰金の対象とすること。
▼ さらに、もうひとつ。ネット通販は、もともと一定の期間、無条件で解約できるクーリング・オフの対象ではありません。クーリング・オフは「突然の勧誘で、消費者が冷静に判断できないまま契約してしまうことがある」訪問販売や電話勧誘などが対象で、ネット通販は、突然の勧誘ではないからです。このため、今回、定期購入について、誤解をさせるような表示で消費者が申し込みをした場合、契約を取り消せる新たな「取消権」が設けられました。
ネット定額サービス:
▼ 自動更新である場合はその旨や、いつから有料サービスに移行するのか。支払う料金はいくらか。解約の方法や条件。こうしたことを、申し込みの最終確認画面に、消費者に誤解を与えない形で表示することを義務付けたほか、
▼ 解約に条件があるのに「いつでも解約できる」と表示することを禁止するなど、 定期購入と同じ規制や罰則が適用されることになりました。
▼ こちらでも、誤解をさせるような表示で消費者が申し込みをした場合、契約を取り消せる「取消権」が設けられました。
》 明日は恒例の Windows Update(サポート上、IE 最後の日、ただし例外あり) (山市良のえぬなんとかわーるど, 6/14)
明日は 6 月 のセキュリティ更新日(Bリリース)。タイミングがあれですけど、明日の B リリースで IE の無効化が行われるわけではないみたい。6月16日(日本時間)に無効化パッチが降ってくるなんてことももちろんない(と思う)。7 月以降の Bリリース(その前月の C リリース)で無効化されるらしいです。
》 物理学の法則を破る「時間結晶」を15分以上も観察し続けることに成功、量子コンピューターの研究にも弾み (gigazine, 6/13)
》 AirTagを悪用したストーキングが殺人事件に発展 (gigazine, 6/13)
》 イーロン・マスクはロシアとウクライナの戦いをどのように変えたのか? (gigazine, 6/13)。starlink の話。
》 中国が発展途上国向けに提案している「IPv6+」について「IPv6とは似て非なるものなので要注意」と専門家が警告 (gigazine, 6/13)。何を足しているんだろう。中国成分だろうか。
》 マッハ3.2で空中分解したSR-71「ブラックバード」パイロットの体験記 (gigazine, 6/11)。 1966.01.25、 SR-71A (61-7952) 空中分解事故。 関連:
61-7952 (Blackbird Online)
》 1日で株価41%急落、米BuzzFeedの盛衰が示すネットメディアの行方とは? (新聞紙学的, 6/13)
》 ランサムウェアによる身代金支払額が100万ドル到達間近 3~4時間に1社が被害の実態とは (@IT, 6/13)
》 4カ月で1万TB超をAWS移行、戦中のウクライナが進めるデータ保全 (ITmedia, 6/13)
AWS社が6月10日に公開したブログによれば、ウクライナではこれまで、政府や一部民間企業のデータは、国内に置いたオンプレミスのサーバに保存するよう法律で定めていた。しかし、ロシアの攻撃が始める1週間ほど前に法律を改正。国家のデータ保全に向け、クラウド移行を可能にしたという。
》 「秀丸メール」v7.12 ~怪しい添付ファイルをサンドボックスで開く安全機能が強化 (窓の杜, 6/10)
》 マルウェア「Emotet」が進化、「Google Chrome」のクレカ情報まで盗むように (窓の杜, 6/13)
》 次世代Web通信プロトコル「HTTP/3」がついに標準化 ~有志による無償解説本が話題に (窓の杜, 6/13)
Apple M1に実装されているセキュリティ機能「ポインタ認証」は完璧ではない。MITが警鐘 (PC Watch, 2022.06.13)。サイドチャネル攻撃が可能、という指摘。
Apple M1チップの修正不可能な脆弱性を突く攻撃「PACMAN」が見つかる (gigazine, 2022.06.12)
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011 (Drupal, 2022.06.10)。Drupal が使用している Guzzle ライブラリーに 2 件のセキュリティ欠陥 CVE-2022-31042 CVE-2022-31043。 いずれも Drupal core 自身には影響しないものの、 3rd party ソフトウェア等への影響が考えられる。
Drupal 9.2.21 / 9.3.16 / 9.4.0-rc2 で修正されている。Drupal 7 には影響しない。
CVE-2022-30780 - Lighttpd - Denial of Service (podalirius.net, 2022.05.16)。 Lighttpd 1.4.59 (2021.02.02) で修正されているそうです。
NEWS (GitHub lighttpd / lighttpd1.4)
Are there any known security vulnerabilities? (RealVNC, 2022.04.06)。 VNC Server 5.1.0〜6.9.0 に local user による権限上昇可能な欠陥があり、 6.9.1 で修正。 CVE-2022-27502
Release Notes (RealVNC)
》 大学入試センター「共通テストでの不正行為防止策」発表 (TBS, 6/10)、大学入学共通テストにおける電子機器類を使用した不正行為の防止策について (大学入試センター)
(2) スマートフォン等の取扱いの見直し
スマートフォンなど電子機器類の取扱いについて、現状では試験当日各受験者の机上に貼付している「受験番号票」※1の記載により受験者に各自で対応させているが、監督者の指示で一斉に机上に出させて、電源を切らせてかばん等にしまわせることとする。
うひー、それ毎回やるってことだよね。 めちゃめんどくさいぞこれ。
》 政治家の原発再稼働論は「たわ言」、規制委介入に警鐘-田中前委員長 (ブルームバーグ, 6/10)
田中氏は7日のインタビューで、テロ対策設備が未完成の原発でも再稼働を可能とするよう自民党の議連や日本維新の会が求めていることについて「たわ言」だと一蹴。政治家が今すべきは原発再稼働の必要性について国民の理解を得るように努めることで、規制委への介入は「大間違い」と述べた。
全くだ。
》 海の向こうの“セキュリティ” MSPを狙うサイバー攻撃の世界的な増加、各国のサイバーセキュリティ当局が提案する推奨事項とは? (Internet Watch, 6/9)
》 YouTuberが4chanでAIを訓練して「ヘイトスピーチマシン」を生み出しネットに放流してしまう、AI研究者は困惑と懸念を表明 (gigazine, 6/10)
》 女川原発2号機、24年2月に再稼働 東北電、初めて具体的な時期示す (河北新報, 3/30)。女川 2 号機再稼働、2022 年どころか 2023 年にも間にあわないのか。
iPhone にも side loading を、という話なのかと思っていたら、それに止まらないのだそうで。
つまり、警告や余分なステップなしに任意のWebサイトからアプリをインストールできるようにしろというのである。エンジニア的発想からすれば、自己責任でセキュリティを解除して独自アプリを入れられたら楽しいと思うかもしれないが、これはそういう話ではない。これは、高齢者等の情報弱者を含めた一般の利用者に対して、公式ストアからの利用と「平等に」野良アプリも利用できるようにしろ、という話になっている。
それもそのはず、これは競争政策の話だからだ。どのストアも一切優遇されることなく任意に選べるべき、ということになるし、狭義のサイドダウンロードも、全く確認なしに即動くようにしろ、ということになる。これはトンデモだ。
うひゃあ。 「デジタル市場競争会議 ワーキンググループ」は、 スマホの世界をパソコンと同じレベルの荒野にしたいらしい。 これは絶対にやっちゃ駄目。
中間報告パブコメの締切 2022年6月10日23時59分。今日じゃん。マジか。
Chrome 102.0.5005.115 公開。7 件のセキュリティ修正を含む。
Firefox 101.0 / ESR 91.10.0、Firefox for Android 101、Thunderbird 91.10.0 公開 (2022.06.02)
Firefox 101.0.1、 Firefox for Android 101.2.0 が公開された。 セキュリティ修正は含まれない。
Firefox 101.0.1、Firefox for Android 101.2.0 がリリースされた (mozillaZine, 2022.06.10)
Vulnerability within the UNISOC baseband opens mobile phones communications to remote hacker attacks (Check Point, 2022.06.02)。CVE-2022-20210
UNISOC製スマートフォンチップに重大な脆弱性、何百万ものAndroidデバイスに影響 (マイナビニュース, 2022.06.03)
Androidセキュリティ速報—2022年6月 (Android, 2022.06.06)。「2022-06-05セキュリティパッチレベル」の「Unisocコンポーネント」の項にあるのが、本件の修正。
》 アメリカの制裁が続くと中国はTSMCを接収せざるを得ないという予測 (gigazine, 6/9) というか脅し。
》 The EU's New Message-Scanning Regulation Must Be Stopped (EFF, 6/8)
》 ドイツ・EUにおけるデータ保存の義務化を阻止せよ (p2ptk.org, 6/4)
》 監視のために「Signal」禁止へと突き進むベルギー政府――欧州の政策転換の前触れか (p2ptk.org, 6/3)
》 ロシアのサイバー攻撃「効果低い」 実際の戦闘と連動できず―欧州の専門家 (AFP / 時事, 6/9)。 「フランス北部リールで8日に開かれたサイバーセキュリティーに関する国際会議」は FIC 2022 のことみたい。関連:
Russia unexpectedly poor at cyberwar - European military heads (AFP / inquirer, 6/9)
》 Endpoint Protection クライアントと MacOS の互換性 (broadcom, 2/3)。「14.3 RU4 Mac クライアントはリリースされません」「次の Mac クライアントのリリースは 14.3 RU5 の予定です」
》 Endpoint Protection 14.3 RU3 for Mac fails to load its system extension (broadcom, 5/18)。「Apple's Certificate Validation servers」との通信が block されているとうまくいかない、のだが、 SEP 14.3 RU2 だとなぜかうまくいくのだそうで。
Symantec continues to investigate; it is as yet unknown why 14.3 RU2 can be installed and upgraded despite the blocked notarization check for a clean installation of RU3.
むしろ、RU2 でうまくいく理由がわからないと。マジか。
》 SEP 14.3 RU4 で ccSvcHst.exe が ucrtbase.dll でクラッシュする (broadcom, 5/31)。直り切ってなかったんかい。SEP 14.3 RU5 で対応予定。
SEP 14.3 RU4 のローカライズされたモジュールに起因する問題が見つかりました。
スキャン実行でCPUを消費し、最終的にプロセスのクラッシュが発生します。
ローカライズ版でのみ発生と。回避策にも「SEP 14.3 RU3の英語版を使用する」が含まれている。 (RU4 の英語版では駄目ということか?)
》 スシローに措置命令 目玉商品で「おとり広告」―消費者庁 (時事, 6/9)
同社はテレビCMやウェブ広告で「冬の味覚!豪華かにづくし」とうたい、2021年11月末から17日間、ズワイガニなどすし4貫を税込み858円で販売すると宣伝。だが、対象店舗の9割強で在庫不足により終日提供できない日が1日以上あったほか、販売初日から提供のない店舗もあった。
》 誤給付4290万円、回収完了 山口県阿武町 (共同, 6/9)。 4630万円誤給付事件、 代行業社 3 社の分が「回収完了」という話。デビッド決裁 3,401,071 円はまだ。
》 高セキュリティメッセージングアプリ「Telegram」がユーザー情報を当局の要請に応じて引き渡していたことが発覚 (gigazine, 6/9)
》 2400万人の個人情報が売買されていたダークウェブの闇市場「SSNDOB」をFBIが閉鎖 (gigazine, 6/8)
》 PostgreSQL 14 out-of-cycle release coming June 16, 2022 (PostgreSQL, 6/9)
》 Linux version of Black Basta ransomware targets VMware ESXi servers (bleeping computer, 6/7)、 Black Basta Ransomware Targets ESXi Servers in Active Campaign (darkreading, 6/9)
JVNVU#95298925 三菱電機製の空調管理システムにおける複数の脆弱性 (JVN, 2022.06.07)
Apache httpd 2.4.54 公開。8 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
》 『トップガン マーヴェリック』が著作権侵害に当たるとして、1983年の雑誌記事の権利者がパラマウントを提訴 (IGN, 6/8)。当該記事は原作ではなく原案。
エンターテインメント分野を専門とする弁護士マーク・リトワクはIndieWireに対して次のように語っている。「問題となっている記事は脚本ではありません。そのためパラマウントとしては、記事はあくまでストーリーのアイデアであり、それ以上のものではないと主張することが可能です。
こちらの記事: TOP GUNS - BY EHUD YONAY (topgunbio.com)。どちらかと言うと、 写真撮影の C.J. HEATLEY 氏にいくばくかのお金をひきつづき支払うべきなのでは? という気になった。
(name 属性 fixed: 望月さん感謝)
》 「トップガン」続編、主人公の背に台湾の旗-ハリウッド作品では異例 (ブルームバーグ, 5/31)
米紙ウォールストリート・ジャーナルの先の報道によれば、中国の大手テクノロジー企業、テンセント・ホールディングス(騰訊)は、米軍を称賛するこの作品への関与が中国政府を怒らせかねないと懸念し、パラマウント・ピクチャーズによる1億7000万ドルの制作プロジェクトから手を引いたという。
こちらの記事: 「トップガン」続編から中国資本撤退、その理由は (Wall Street Journal, 5/30)
2019年、中国テクノロジー大手のテンセント・ホールディングスはこの続編への共同出資契約に署名した。しかし先週末、「トップガン マーヴェリック」は公開された時点で同社の出資はなく、同社への言及もなかった。
事情に詳しい複数の関係者によると、テンセント幹部は米軍を称賛する映画に関わったことで、中国共産党の政策当局者の怒りを買うことになるのではないかとの懸念を深め、続編から手を引いたという。
》 Alert (AA22-158A) People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices (CISA, 6/7)
》 10周年を迎えたGoogleのDMCA透明性レポート (p2ptk.org, 6/8)
》 IBMがロシアの全従業員を解雇すると発表 (gigazine, 6/8)
》 “違法”VPNへのアクセス制限を強化するロシア当局 (p2ptk.org, 6/6)
》 ナイジェリアのBECグループ逮捕でインターポール、ナイジェリアEFCC、トレンドマイクロが連携 (トレンドマイクロ セキュリティ blog, 6/7)
》 復活したEMOTETの脅威動向解説:2022年第1四半期は日本での検出が最多 (トレンドマイクロ セキュリティ blog, 6/7)
》 macOS Venturaは、Macの体験をこれまで以上に向上させる、パワフルな生産性を高めるツールや新しい連係機能を追加 (Apple, 6/6)
メールの送信を予約したり、送信を押した後すぐにメールの送信を取り消すことさえもできます5。
(中略)
5. ユーザーは、送信してから最大10秒以内の送信を取り消せます。
うーん、10 秒……。 (脳内で将棋の秒読みの声が再生された)
》 ウクライナ侵攻「見えない情報戦」でロシアが勝っている? その理由とは (新聞紙学的, 5/23)
特徴的なのは、使われていた言語と地域だ。インドのヒンディー語や英語、スリランカのタミル語、パキスタンのウルドゥー語、シンド語、そしてペルシャ語などを使った南アジアのアカウント、さらに南アフリカなどサハラ以南のアフリカの国々が目立っていたという。
(中略)
これらの分析からうかがえるのは、欧米のメディアなどが把握しづらい、欧米以外の国々への揺さぶりとしての「見えない情報戦」だ。
》 SF作家を指名手配 侵攻批判でロシア (時事, 6/8)。ドミトリー・グルホフスキー氏。
》 欧州、スマホなどが対象の“USB Type-C統一法”を2024年秋施行へ (ITmedia, 6/8)。ほんとにやるんかい。
》 次期大型アップデート「Windows 11 バージョン 22H2」がRelease Preiewに (窓の杜, 6/8)。手元でも 1 台入れてみた。特に問題ないみたい。
[SECURITY PATCH 00/30] Multiple GRUB2 vulnerabilities - 2022/06/07 round (oss-sec ML, 2022.06.07)
いろいろ (2022.06.07) NTFS-3G
UNPAR-2022-0 Multiple Vulnerabilities in ntfs-3g NTFS Mount Tool (oss-sec ML, 2022.06.07)
Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起 (2022.06.06)
関連:
Atlassian Confluence Exploits Seen By Our Honeypots (CVE-2022-26134) (SANS ISC, 2022.06.07)
Atlassianの「Confluence」にリモートコード実行の脆弱性(CVE-2022-26134)が発見される (トレンドマイクロ セキュリティ blog, 2022.06.06)
リモート会議デバイス Meeting Owl Pro および Whiteboard Owl に複数の欠陥。
詳細は Meeting Owl SECURITY DISCLOSURE REPORT (modzero, 2022.06.03) を参照。
CVE-2022-31460 についてはファームウェアバージョン 5.4.1.4 で修正されている。 Meeting Owl Pro Software Release Notes (owllabs.com) を参照。
「Meeting Owl Pro」アップデータリリース情報 (sourcenext.com) によると、日本版の最新ファームウェアは 4.3.0.5 (2022.04.12 リリース) の模様。 Meeting OWL には「大手企業が続々導入」「大反響 国内出荷20,000台突破」としてさまざまな企業のロゴが貼られているが、バックドアあり企業一覧になりかねないのでご注意。
関連:
[EN] hoot hoot pwn (modzero, 2022.05.31)
新疆公安ファイル (毎日, 5/24)。まずはこちらのスペシャルサイトを。よくできてます。 写真、文書多数。生々しい。
特集記事 (毎日)
「逃げる者は射殺」 中国のウイグル族「再教育施設」内部資料が流出 (毎日, 5/24)
「父は共産党員、テロなんて」 収容者の家族訴え (毎日, 5/24)
「無差別」な収容、つかめぬ人心 記者がいま思うこと (毎日, 5/24)
シャワーの下で彼女は泣いた 元収容者の女性の証言 (毎日, 5/24)
中国全土に55の少数民族「公認」 人口の9割は漢族 (毎日, 5/24)
「共産党は大恩人、反動的なら死の道」 激怒した新疆自治区トップ (毎日, 5/24)
趙克志・国務委員兼公安相は自治区を視察した際の18年6月15日の会議で、「(刑務所など)監所の収容者数は大きく超過している」と懸念を示し、習近平総書記(国家主席)が17年に刑務所などについて「(規模拡大)措置を実施するよう」命じたと話していた。
衛星写真から自治区の状況を分析している豪戦略政策研究所は「17年以降に監視の厳しい収容所が多数、新設、増設されている」と分析しており、今回の流出資料を分析したエイドリアン・ゼンツ博士は論文で「現在の『再教育』は代わりに刑務所で行われているとみられる」と指摘する。
新疆の流出文書、体制内に対立や動揺も 識者が指摘 (毎日, 5/24)
ウイグル族取り締まり報道 米国務省、「衝撃受けた」 (毎日, 5/25)
ウイグル族収容資料流出 米欧各国「衝撃」「透明性ある調査を」 (毎日, 5/25)
中国が「ウイグル独立派」とするテロ組織は存在するか 専門家は (毎日, 5/25)。 東トルキスタン・イスラム運動(ETIM)について、 ショーン・ロバーツ准教授 (ジョージ・ワシントン大学) にインタビュー。
◆この組織は1998年に(中国から)アフガニスタンにやって来たウイグル人による小さな集団のことを言います。彼らは自分たちでそう名乗ったことはありません。(中略) ETIMが中国でテロ行為を行う能力を持っていた可能性はほとんどないと思います。
――米国も20年までETIMをテロ組織と認定していました。
◆米国は02年、テロ組織として認定しました。そして、国連でもテロ組織として認識されるよう、中国を手助けしました。イラク侵攻で中国から同意を取り付けるためだったと、当時の米国務省高官が認めています。一方で、中国は米国の認定を機に、(何でもかんでも)テロの脅威だとひとくくりにするための「レッテル」として、いまだにETIMを使っているのです。
新疆訪問の欧州外交官を監視 流出文書で判明 拘束し写真消去も (毎日, 5/25)
新疆公安ファイル報道、中国で放送中断 NHK画面「電波異常」 (毎日, 5/26)
拘束から尋問まで3分44秒、銃持つ警官が監視 厳戒の新疆収容施設 (毎日, 5/27)
新疆の再教育施設、17年前半に建設開始 収容政策本格化と同時期 (毎日, 5/27)
国連人権弁務官、新疆ウイグル訪問終了 米英仏は意義を疑問視 (毎日, 5/28)、 新疆の人権「懸念と疑念を中国に提起」 国連弁務官、訪問終える 。中華メディアツアーだったっぽいですな。
国連弁務官の訪中、人権団体が批判「抑圧を終わらせる圧力はない」 (毎日, 5/29)。ヒューマン・ライツ・ウォッチ。
ウイグル報道をめぐって=山田孝男 (毎日, 5/30)
この問題で中国当局の内部文書が流出したのは7回目。ゼンツはそのうちの5回に関わっており、中国外務省はそのつど「またゼンツのフェイク(虚報)」と突き放している。
だが、フェイクかどうかは調べれば分かる。毎日の取材チームは、資料に名のある被収容者の家族がトルコやオランダにいることを突き止めて取材。写真資料とグーグルアースの衛星画像を照合して収容施設も特定し、流出資料の信ぴょう性を裏付けている。
関連報道
国連人権弁務官、23日訪中 新疆ウイグル自治区へ (時事, 5/21)。今回の報道は、これにあわせて発表したということなんですかね。
中国当局のデータベース流出、拘束されたウイグル人の詳細明らかに (AFP / 時事, 5/23)
新疆の内部資料が大量流出 収容所の「衝撃的」実態浮き彫りに (AFP / 時事, 5/25)
中国のウイグル族収容、警察ファイルが流出 不明家族の写真や警備の状況が明るみに (BBC, 5/25)
ウイグル族収容施設 “内部資料”流出 内容は? 中国は反発 (NHK, 5/26)。NHK は一次資料を読んだ上で報道している。
新疆ウイグル"内部資料” 信ぴょう性は「間違いない」明治大・水谷准教授が分析 (NHK, 5/26)
中国はこれでもフェイクと言い張るのか? 「新疆公安文書」流出の衝撃 (福島 香織 / JBpress, 5/26)
中国に利用された国連高官 ウイグル視察に批判噴出 (時事, 5/31)
「ウイグル族にジェノサイド続けている」 米国務長官が中国を非難 (朝日, 6/3)
世界に「新疆」の人権対応迫る米国-ウイグル強制労働防止法21日施行 (ブルームバーグ, 6/6)
》 ANNOUNCE: Nettle-3.8 (gnu.org, 6/2)。 iida さん情報ありがとうございます。 (link 先など変更)
》 マスク氏、ツイッター買収の撤回を示唆 情報開示に不満 (BBC, 6/7)
》 「Twitterはボットの数を過少申告している」として司法長官が調査に乗り出す (gigazine, 6/7)
》 不発弾処理でJR京都線など運行停止へ 大阪・吹田で7月24日 (朝日, 6/6)。「米国製の1トン爆弾」「撤去作業は7月24日の正午から夕方までを予定」。
「超」空の要塞 B29爆撃機 写真特集 (時事)
機体の手前に並んでいるのは、2000ポンド爆弾と呼ばれたAN-M66通常爆弾で、日本側は「1トン爆弾」と呼んでいた。
大阪城公園内のピース大阪を見てきた (r271-635, 2012.05.26)。 ピースおおさか 大阪国際平和センター。
各務原空襲で使用された爆弾の大きさと総重量 (各務原市)
》 【詳しく】対ロシア最前線 スウェーデン世界遺産の島で何が? (NHK, 6/6)。ゴットランド島。
》 ウクライナ東部戦線方面。一進一退の攻防が続いているようで。
ウクライナ軍“過去24時間で7回敵を撃退” 東部で反転攻勢か (NHK, 6/6)
ウクライナ軍、東部要衝で再び劣勢 ロシア軍が「焦土作戦」 (AFP, 6/7)。「ロシア軍は、撤退時に街を破壊する焦土作戦に出ており」。
ゼレンスキー大統領、激戦の東部2市は「死んだ」 ウクライナ軍が劣勢と説明 (BBC, 6/7)
》 「円安こわい」Macの価格が軒並み値上げ Appleファンに動揺広がる (ITmedia, 6/7)。自民党・公明党支持者のおかげです。
》 報道発表資料に“拾い画”掲載 権利者の許可得ておらず JR東が謝罪 (ITmedia, 6/3)。
こちらの件:
こちらの写真ですが、実は当日小さな雲が出ていたため、ツイート前に一部編集で消しています。そのため、もし社員の方が撮影されたのであれば、色合いや構図、切り位置だけでなく、写真の編集過程まで同様の作業をされたことになるかと思います。また、私はRawデータについても保管しています。 https://t.co/ePvMglAICE
— すたーらいと (@100things_64) June 1, 2022
》 「Alpine Linux 3.16」が公開 (OSDN, 6/7)
sudoがコミュニティリポジトリに移動した。これにより、将来セキュリティアップデートを受けられるのは最新の安定版のみになるという。置き換えとして、doasおよびdoas-sudo-shimの使用を提案している。
ここでも doas 採用ですか。
》 Windows 11で「アプリ復元」機能がテスト中、以前インストールしていたアプリを丸ごと移行できる便利機能 (gigazine, 6/6)。22H2 に入るのか、どうなのか。
》 中国軍戦車の機密情報がゲームのステータスへの不満をきっかけに流出 (gigazine, 6/4)。War Thunder。
》 ランサムウエア被害増加 対策について解説 (三輪誠司 / NHK 解説委員室, 5/31)
》 シチリアの州都パレルモで全システムがオフライン、脅威アクターKillnetによるイタリア攻撃とは別件か (gigazine, 6/7)
》 吹奏楽部の部員が自殺、長時間練習「過労死ライン超え」が背景に? 第三者委員会が明らかにした千葉の強豪校の実態 (共同 / Yahoo, 6/6)。市立柏高校。
その要因として強調したのが、部活の長時間練習だった。 (中略) 結果として平日で約5時間半、休日で約11時間の練習が行われていたと認定。「平日で2時間程度」などとした国の文化部ガイドラインを大きく超過していた。1カ月で計192・5時間となり、生徒が受ける授業時間(平日7時間と仮定)も含めると計346・5時間に。これは、労働者の「過労死ライン」とされる1カ月当たりの総労働時間(240時間)を大幅に上回っていた。
》 塩野義コロナ薬「緊急承認」判断へ 6月中に審議、国産初 (日経, 6/7)。おいおい、期待した効果を確認できていない薬を緊急承認ってどういうことなんだい? Phase 2b で 「統計学的に有意な差は認められなかった(主要評価項目を達成せず)」って 塩野義自身が認めているんだぜ? 国内 Phase 3、グローバル Phase 3 の結果を待つのが筋ってもんだろ。
関連: 新型コロナウイルス感染症治療薬S-217622に関する報道について (塩野義, 4/13)
2022年4月4日に一部通信社から当社に対して、「本治療薬の非臨床試験において、胎児における骨格形態異常が生じていることを他の取材を通じて確認しているため、事実確認と本件に関する見解の提示」の要望を受けました。4月6日に当社より、問い合わせ内容が事実であることに加え、当該非臨床試験の結果を踏まえた臨床における取扱いに対する見解を述べさせて頂きました。
4/6 付の「臨床における取扱いに対する見解」ってどこにあるんだろう。 プレスリリース にはないみたいなんだけど。
》 タクティカル&EDCの最適解?! ELZETTA ALPHA エルゼッタ アルファ A313/A113 (目指せ!ライトマニア AKARICENTER 懐中電灯レビュー, 6/5)
ALPHAの電源はCR123A乾電池×1本。RCR123、または16340と呼ばれるリチウムイオン系の充電池も公式的に使えます。ただし、ELZETTAでは「信頼性の観点から推奨しない」とサイトに明記しています。
弊社のフラッシュライトぶん投げ実験でも、リチウムイオン充電池の破損確率はかなり高い一方、リチウム電池がだめになることは一度もなかったので、その信頼性には大きな差があるのは間違いありません。
物理的な信頼性ですか……。
》 【インクジェットプリンター】プリンターの電源を入れてもすぐに電源が落ちてしまう現象について (CANON, 6/7)。 PIXUS iP110/MG7530/MG7530F、 MAXIFY iB4030/MB2030/MB2330/MB5030/MB5330。 最新のファームウェアで対応された模様だが、ネットに繋がらないようにしてから更新しなければならないため、ちょい面倒。
》 「新車のテスラ・モデル3に亀裂があった」とユーザーが申し立てるもテスラは無料修理や交換を拒否、車検に通らない可能性も (gigazine, 6/6)
OPEN SOURCE NTFS-3G SECURITY ADVISORY NTFS3G-SA-2022-0001 (oss-sec ML, 2022.05.26)。NTFS-3G 2022.5.17 で修正されている。
OPEN SOURCE NTFS-3G SECURITY ADVISORY NTFS3G-SA-2022-0002 (oss-sec ML, 2022.05.26)。NTFS-3G 2022.5.17 で修正されている。
NTFS-3G 2022.5.17 (GitHub, 2022.05.26)
UNPAR-2022-0 Multiple Vulnerabilities in ntfs-3g NTFS Mount Tool (oss-sec ML, 2022.06.07)
CVE-2022-1972: out-of-bound write in Linux netfilter subsystem leads to local privilege escalation (oss-sec ML, 2022.06.02)。 https://github.com/torvalds/linux/commit/f3a2181e16f1dcbf5446ed43f6b5d9f56c459f85 で発生、 https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=fecf31ee395b0295f2d7260aa29946b7605f7c85 で修正されたという。 CVE-2022-1972
CVE-2022-1972 (Debian)。bullseye、bookworm に影響。
Androidにリモートコード実行の脆弱性が複数 ~Googleが2022年6月セキュリティ更新を発表 (窓の杜, 2022.06.07)
CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス (2022.06.01)
関連:
Microsoft サポート診断ツールの脆弱性 (CVE-2022-30190) についてまとめてみた (piyolog, 2022.06.02)
Analysis Of An "ms-msdt" RTF Maldoc (SANS ISC, 2022.06.05)
"ms-msdt" RTF Maldoc Analysis: oledump Plugins (SANS ISC, 2022.06.06)
》 台湾がロシアへの半導体輸出制限を発表、PlayStation 2のCPUより低性能な半導体のみ輸出可能に (gigazine, 6/2)
》 Quick Answers in Incident Response: RECmd.exe (SANS ISC, 6/2)
Within this set of tools lies RECmd.exe, also known as the command-line equivalent to Registry Explorer – Eric Zimmerman's pioneer Windows Registry analysis tool. RECmd.exe allows an incident responder to conduct automated, scripted analysis of a Windows Registry hive and output findings into a CSV formatted file.
関連: EricZimmerman / RECmd (GitHub)
》 無償のVPN機能「Microsoft Edge Secure Network」が発表 (窓の杜, 6/6)
Dominion Voting Systems 社の電子投票システム ImageCast X に複数の欠陥。 local の攻撃者が管理者権限を取得できる等。
2.4 RESEARCHER
J. Alex Halderman, University of Michigan, and Drew Springall, Auburn University, reported these vulnerabilities to CISA.
研究者による検証の結果の模様。
Contact Dominion Voting Systems to determine which software and/or firmware updates need to be applied. Dominion Voting Systems reports to CISA that the above vulnerabilities have been addressed in subsequent software versions.
現時点では修正版はまだないみたい。
Atlassian Confluence Server / Data Center 1.3.0 以降に 0-day 欠陥、remote から無認証で任意のコードを実行される。CVE-2022-26134
次の版で修正されている: 7.4.17 / 7.13.7 / 7.14.3 / 7.15.2 / 7.16.4 / 7.17.4 / 7.18.1。 また 7.0 以降については、 Confluence セキュリティ勧告 - 2022-06-02 (Atlassian) で緩和策が公開されている。
関連:
Confluence セキュリティ勧告 - 2022-06-02 (Atlassian, 2022.06.02)
Active Exploitation of Confluence CVE-2022-26134 (Rapid7, 2022.06.02)
Cloudflare observations of Confluence zero day (CVE-2022-26134) (cloudflare blog, 2022.06.06)
CVE-2022-26134 の検出と緩和: Atlassian Confluence のゼロデイについて (sysdig, 2022.06.03)
関連:
Atlassian Confluence Exploits Seen By Our Honeypots (CVE-2022-26134) (SANS ISC, 2022.06.07)
Atlassianの「Confluence」にリモートコード実行の脆弱性(CVE-2022-26134)が発見される (トレンドマイクロ セキュリティ blog, 2022.06.06)
》 無人航空機登録ポータルサイト (国土交通省)。100g 以上の UAV は登録対象ですか。 スマホよりも重いのは確実に登録対象ですね。 (登録は有料)
機体への登録記号の表示に加え、 リモートID機能の搭載が義務化されます。
》 PFU、Amazonでの「HHKB」購入に注意喚起 代引き詐欺に巻き込まれる可能性 (ITmedia, 6/3)。「正規販売店以外で商品を購入した際に、代引き詐欺に巻き込まれる可能性がある」。 HHKB に限らないわけですが。 amazon は変な「業社」がいっぱいいるからねえ。
》 世界史で「暴君ネロ」と習ったけれど……実は名君だった? 古代の落書きが示す別の顔 (朝日, 2021.09.17)
ネロには、大火のローマを見下ろしながら竪琴を奏でつつ歌を歌っていたなど、皇帝にあるまじき逸話が残る。しかし、その多くは創作の可能性が高いという。出火の際にネロはローマにいなかったにもかかわらず、「火を付けたのはネロ自身」との話も信じられた。
「現代のフェイクニュースと同じです。極めて一方的で、しかも政治的な目的に基づいていた」とオッパー氏はいう。ネロのイメージは、このようなつくり話が積み重なり、事実に取って代わったのだった。
これは、歴史を学ぶ者に多くを考えさせる。ネロ悪人像の端緒をつくったタキトゥスは、世界中の生徒学生がその名を学ぶ歴史家中の歴史家。筆者も高校生時代に世界史の授業で習い、著書「ゲルマニア」を手にしてわかったような気分になったものだ。そのような高名な人物でさえ、歴史をゆがめる作業に、結果的に加担した。物事を客観的に評価し、記述することの難しさを、改めて思う。
》 小松基地所属F-15戦闘機の墜落に係る事故調査結果について (航空幕僚幹部, 6/2)
事故機の前席及び後席操縦者の認識が遅れた主な要因として、次の事項(複合を含む)が挙げられる。
(1)事故当時の気象・天象条件及び離陸直後の姿勢や推力の変更操作等の影響を受け、自らの空間識に関する感覚が実状と異なる、空間識失調の状態にあった可能性が高い。
(2)編隊長機を捕捉するためのレーダー操作等に意識を集中させていたため、回復操作が行われるまでは、事故機の姿勢を認識していなかった可能性がある。
雲中でレーダー操作等に意識を取られて空間識失調してしまった? 雲から出た直後から 8G で回復を試みるも間にあわず。
》 ロードバランサーへの不正アクセスについて (ニフクラ, 5/16)、 ロードバランサー機器に対する不正アクセスにおける新たに認知した事象について (ニフクラ, 5/31)
3. 原因について
本年5月4日に装置メーカーから公表された当該ロードバランサーの脆弱性の悪用、および多層防御の一部設定不備。
5/4 というと、 K55879220: Overview of F5 vulnerabilities (May 2022) (F5, 5/4) なのかな?
》 PS5やXbox Series Xなどの品不足を引き起こす転売屋の間で広まる「AIOボット」とは? (gigazine, 6/1)
》 ロシアで政府機関や国営企業が「VPN」を使いまくっているとの調査結果、民間人から役人まで検閲逃れに必死か (gigazine, 6/3)
》 アメリカサイバー軍がウクライナ支援で「ロシアへの攻撃的なハッキング作戦」を行ったことを司令官が認める (gigazine, 6/3)
》 今日(6/3 JST)の Windows Update (2022-05 C for Windows 10 20H2/21H1/21H2) (山市良のえぬなんとかわーるど, 6/3)。人柱な方はどうぞ。
》 制御システムのセキュリティリスク分析ガイド オンラインセミナー 2022年度(上期)開催 (IPA, 5/30)。2022.09.30 までオンライン開催、無料、要申込。
本セミナーでは、リスク分析の全体像と共に、分析ガイドで紹介している2種類の分析手法(資産ベースのリスク分析、事業被害ベースのリスク分析)の具体的な実施手順を解説します。
昨年度公開していた「入門編(分析ガイド本編)講義動画」、「組織の管理者向け概説動画」に加えて、リスク分析の具体的実施例を解説する「応用編(分析ガイド別冊)講義動画」を追加公開いたします。
》 テクノロジーと生きる 超える肉体の限界 (毎日, 6/2)。武藤将胤氏。 関連:
武藤将胤 NO LIMIT, YOUR LIFE. (Ameblo)。オフィシャルブログ。
ピーター2.0 サイボーグとして生きる (NHK クローズアップ現代+, 2021.11.24)。 ピーター・スコット-モーガン氏についての番組。
》 突然、詐欺犯のぬれ衣…オランダ、AIが標的にした2万6000人 (毎日, 6/1)
オランダでは、彼女と同じように不本意に児童手当の返還が請求されるケースが繰り返されていった。18年ごろからようやく、メディアの調査報道などで税務当局の対応が疑問視され始める。国会の調査委員会は20年12月、税務当局が多くの親に誤って請求をしていたと結論付ける報告書を公表。政府は謝罪し、内閣は総辞職した。政府は被害者に不当に返還を求めた分を返金し、さらに3万ユーロの補償金を支払うことにした。
人の人生を狂わせるほどの過ちがなぜ、これほど広がったのか。
税務当局は児童手当を巡る受給詐欺の対策として、コンピューターを利用して個人データを分析。AIも導入し作業の効率化を図った。そのシステムが、無実の人々に理不尽なレッテルを貼り続けていた。
「詐欺犯」のレッテルを貼られた被害者の多くには、ある共通した特徴があった。それは、移民系住民であることだ。(中略) 全容はいまだ判然としないが、システムを運用した職員らの偏見がデータの入力や分析に反映されたためだと指摘されている。つまり「移民系住民は不正を行う」という差別的な思い込みだ。オランダメディアによると、職員同士のやり取りでは移民系の人々に対する侮蔑的な呼称が使われていたという。
CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス (2022.06.01)
本件で得られた知見と search-ms: URL を組みあわせると、また別の攻撃が可能となるそうで。
New Windows Search zero-day added to Microsoft protocol nightmare (bleepingcomputer, 2022.06.01)
Yet another zero-day (sort of) in Windows “search URL” handling (Sophos, 2022.06.02)
ms-msdt: URL の場合ほどには危険ではないようですが、十分に危険でしょう。 search-ms: URL の機能を必要としない場合は、ms-msdt: の場合と同様に reg export HKEY_CLASSES_ROOT\search-ms バックアップファイル名 でバックアップしてから reg delete HKEY_CLASSES_ROOT\search-ms /f で削除するのが吉。
関連:
ツイート
"The vulnerability"...
— Will Dormann (@wdormann) June 1, 2022
The referenced document merely demonstrates what the ms-msdt: URI handler can do by design.
CVE-2022-30190 leverages two flaws:
1) MS Office launches any URI without interaction.
2) The PCWDiagnostic target allows for PowerShell injection in an argument.
》 NHKが知床観光船事故遺族取材で記者クラブ除名 事態を悪化させた不誠実な対応 (NEWS ポストセブン, 6/2)
》 ウクライナでロシア兵を狙撃する外国人義勇軍に密着 日本からの志願兵は3人 (横田徹 / NEWS ポストセブン, 6/1)。『外国人義勇軍「ジョージア部隊」』従軍記。
》 マルウェア感染が原因と思われる京都大学工学研究科メールアドレスを悪用したメール送信のお詫びについて (京都大学, 6/1)。いつごろの話なのか、送信元はどこなのかなど、さっぱりわからない文書。 手元で検出したメール添付マルウェアではこんなのを観測してますが、このあたりでしょうか。
Received: from qoe.kuee.kyoto-u.ac.jp (qoe.kuee.kyoto-u.ac.jp [133.3.130.176])
by XXXXX.st.ryukoku.ac.jp (Postfix) with ESMTP id 37A268816DD
for <XXXXX@XXX.st.ryukoku.ac.jp>; Thu, 19 May 2022 12:54:20 +0900 (JST)
Received: from [127.0.0.1] (unknown [201.175.96.52])
by qoe.kuee.kyoto-u.ac.jp (Postfix) with ESMTPSA id 5A300644A5F
for <XXXXX@XXX.st.ryukoku.ac.jp>; Thu, 19 May 2022 12:13:29 +0900 (JST)
》 泊原発運転差し止め訴訟、札幌地裁が運転差し止めを命令 (5/31)。 北海道電力がロクな対応をしていないため。
泊原発運転差止認める! (脱原発弁護団全国連絡会, 5/31)
判決の骨子および要旨、 判決本文、 判決別紙 (脱原発弁護団全国連絡会, 5/31)
北海道電力 泊原発の運転認めない判決 廃炉は命じず 札幌地裁 (NHK, 5/31)
31日の判決で、札幌地方裁判所の谷口哲也裁判長は「泊原発では大地震が起きた際に、少なくとも12メートルから13メートル余りの津波が想定される。それなのに北海道電力は防潮堤の地盤の液状化や、沈下が生じる可能性がないことを裏付ける説明をしていない。また今後、建設するとしている新たな防潮堤についても、高さ以外には構造などが決まっていない」と指摘しました。
そのうえで「泊原発には津波防護施設が存在せず、津波に対する安全性の基準を満たしていない」と結論づけて、北海道電力に対し泊原発の1号機から3号機すべてを運転しないよう命じました。
ちゃんと説明しない。 つくると言った防潮堤もつくっていないどころか、どんな防潮堤をつくるつもりなのかもさっぱりわからない。 いつまでやれば北海道電力の説明が終わるのか見通しが立たない。
(社説)北電と泊原発 自ら招いた差し止め (朝日, 6/2)
津波対策をめぐる北電の主張は審理を通じて揺れ動き、信頼性を著しく欠いた。
想定する津波の高さは何度も変わり、再稼働の是非を審査する国の原子力規制委員会から液状化の可能性を指摘されると、「固い地盤の上に新しい堤防を造る」と言い出した。ところが表明から4年経ったいまも、高さ以外に何も決まっていない。
訴訟が提起されたのは東日本大震災のあった2011年だ。北電側の立証がいつ終わるとも見通せぬなか、延々と裁判を続けるわけにはいかないとして、これまでに出された証拠で判決に踏み切った地裁の対応は、妥当と言うべきだろう。
規制委 北海道電力泊原発 “審査中断や申請許可しない判断も” (NHK, 6/1)
そのうえで、およそ9年続いている泊原発の審査について、「のらりくらり右往左往して、原発の安全性などをまじめに立証する姿勢が見られず、あまりに長期間にわたり、停滞するのであれば、審査の中断や不許可もありうる」と述べ、北海道電力の対応次第では、中断や再稼働の申請を許可しない判断もありうるとする考えを示しました。
原子力規制委員会にもケツを叩かれる始末。
上海II 氏のツイート
2) 本件のポイントはそれ以前に弁論を打ち切った理由の方にあります。当該部分を切り貼りしました。読めば分かると思いますが、北海道電力の「主張及び立証が尽くされる時期の見通しが全く立たない」ことで原告の負担が大きくなり過ぎたことです。 pic.twitter.com/7vQAjfsVVw
— 上海II (@shanghai_ii) June 1, 2022
電力が〜電力が〜と叫ぶ人は、北海道電力に「ちゃんと対応しろ」と言うべき。 北海道電力がやるべきことをやらないから動かしちゃ駄目、という、あたりまえの判決だからね。
》 来たるべきUAVの「スウォーム戦」時代に備えよ :その実現に向けたトルコの取り組み (Oryx Blog - ジャパン, 5/27)
》 「PuTTY」が「Microsoft Store」に登場 ~ストアに蔓延する偽物対策か【6月2日追記】 (窓の杜, 5/20)
Chrome Stable Channel Update for Desktop (2022.05.25)
「Microsoft Edge 102」が「Chrome」の一週間遅れで正式版に 深刻度「Critical」の問題を含む24件の脆弱性に対処 (窓の杜, 2022.06.01)。Edge 102.0.1245.30 だそうです。
脆弱性の修正は、CVE番号ベースで24件。「Chrome 102」における変更とほぼ共通(最大深刻度は「Critical」)だが、「Edge」独自の問題として以下の3件が対処されている(括弧内は深刻度の評価)。
- CVE-2022-30128:権限昇格(Moderate)
- CVE-2022-30127:権限昇格(Moderate)
- CVE-2022-26905:なりすまし(Low)
出てます。
Firefox 101 がリリースされた (mozillaZine, 2022.06.01)
Firefox for Android 101 がリリースされた (mozillaZine, 2022.06.01)
Thunderbird 91.10.0 がリリースされた (mozillaZine, 2022.06.01)
Firefox 101.0.1、 Firefox for Android 101.2.0 が公開された。 セキュリティ修正は含まれない。
Firefox 101.0.1、Firefox for Android 101.2.0 がリリースされた (mozillaZine, 2022.06.10)
》 バイデン米政権、ウクライナに高機動ロケットシステム供与へ=米報道 (UKRINFORM, 6/1)。 HIMARS との報道。 ただし MGM-140 ATACMS は供与されない模様。
関連:
President Biden: What America Will and Will Not Do in Ukraine (NYTimes, 5/31)。バイデン大統領による NYTimes への寄稿文。
We do not seek a war between NATO and Russia. As much as I disagree with Mr. Putin, and find his actions an outrage, the United States will not try to bring about his ouster in Moscow. So long as the United States or our allies are not attacked, we will not be directly engaged in this conflict, either by sending American troops to fight in Ukraine or by attacking Russian forces. We are not encouraging or enabling Ukraine to strike beyond its borders. We do not want to prolong the war just to inflict pain on Russia.
We are not encouraging or enabling Ukraine to strike beyond its borders なので ATACMS は駄目よ、と。
米、ウクライナに高機動ロケット砲システム供与へ 射程80キロ (AFPBB, 6/1)
弾薬と発射装置(11)米陸軍の多連装ロケットに見る合理主義 (井上孝司 / マイナビニュース, 4/2)
MLRS/HIMARS多連装ロケット発射機をウクライナに供与する重大な意味と転換点 (JSF / Yahoo, 5/28)
》 ドリンク1本から「配達料無料」 auのサブスクに新たな特典が加わった (山口健太 / Yahoo, 6/1)
6月1日から、menuの配達料が何度でも無料になる特典が加わりました。他社にも類似のキャンペーンはありますが、KDDIは永続的な特典としています。
これまでmenuには300円の基本配達料だけが無料になるサブスクがありましたが、スマパスプレミアムでは基本配達料だけでなく、距離に応じた追加の配達料や1000円未満の少額取扱料なども無料になるとのことです。
令和4肥料年度秋肥(6~10月)の肥料価格について (全農, 5/31)
このような情勢を受け、窒素、りん酸、加里の国際市況は、すべてが史上最高値まで上昇し、今後も高い水準で推移すると見込まれます。また、外国為替相場は、日米の金利差の拡大を受け急激に円安が進行しました。
この結果、令和4肥料年度秋肥(6~10月)価格は、下記のとおり決定しました。
前期比 +25% 〜 +94% と、すさまじい数字が並んでいる。
Windows に標準塔載されている「Microsoft サポート診断ツール」 (Microsoft Support Diagnostic Tool, MSDT) に欠陥。 ms-msdt:/ URL を使って MSDT 経由で任意のコマンドを実行できる。 攻略 Web ページや攻略 Office 文書を読み込ませることで簡便に実行できてしまうため、 たいへん危険。 CVE-2022-30190
ms-msdt:/ URL を解釈できないようにすることで回避できる。 Microsoft が提示している方法は、管理者コマンドプロンプトから:
現在の設定をバックアップ
reg export HKEY_CLASSES_ROOT\ms-msdt ファイル名
設定を削除
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
元に戻したい場合
reg import ファイル名
関連:
msdt (Microsoft)
Follina - MSDT RCE Vulnerability (CVE-2022-30190) (broadcom)。DCS = Data Center Security のことみたい。
RCE a La Follina (CVE-2022-30190) (splunk, 2022.05.31)
CVE-2022-30190: Zero Click Zero Day in Microsoft Support Diagnostic Tool Exploited in the Wild (tenable, 2022.05.31)
CVE-2022-30190 (attackerkb.com)
Rapid Response: Microsoft Office RCE - “Follina” MSDT Attack (John Hammond / huntress.com, 2022.05.30)
matthewB-huntress/suspicious_msdt_execution.yml (GitHub Gist)
“Follina” (CVE-2022-30190): Microsoft Support Diagnostic Tool 0-Day Vulnerability Being Actively Exploited (Kudelski Security Research, 2022.05.31)
Security Researcher Benjamin Delpy (the author of MimiKatz) has also provided an additional potential mitigation which could be deployed via Group Policy Objects (GPO). Organizations may choose to disable scripted diagnostics all together.
Organizations choosing to disable scripted diagnostics all together may edit group policy in the following location (in the Group Policy Editor):
Computer Configuration. -> Administrative Templates -> System -> Troubleshooting and Diagnostics -> Scripted Diagnostics
Administrators should change the value from “Troubleshooting: Allow users to access and run Troubleshooting Wizards” to “disabled”
トラブルシューティング: トラブルシューティング ウィザードにアクセスして実行することをユーザーに許可する (admx.help) を無効に設定、でいいのかな。
本件で得られた知見と search-ms: URL を組みあわせると、また別の攻撃が可能となるそうで。
New Windows Search zero-day added to Microsoft protocol nightmare (bleepingcomputer, 2022.06.01)
Yet another zero-day (sort of) in Windows “search URL” handling (Sophos, 2022.06.02)
ms-msdt: URL の場合ほどには危険ではないようですが、十分に危険でしょう。 search-ms: URL の機能を必要としない場合は、ms-msdt: の場合と同様に reg export HKEY_CLASSES_ROOT\search-ms バックアップファイル名 でバックアップしてから reg delete HKEY_CLASSES_ROOT\search-ms /f で削除するのが吉。
関連:
ツイート
"The vulnerability"...
— Will Dormann (@wdormann) June 1, 2022
The referenced document merely demonstrates what the ms-msdt: URI handler can do by design.
CVE-2022-30190 leverages two flaws:
1) MS Office launches any URI without interaction.
2) The PCWDiagnostic target allows for PowerShell injection in an argument.
関連:
Microsoft サポート診断ツールの脆弱性 (CVE-2022-30190) についてまとめてみた (piyolog, 2022.06.02)
Analysis Of An "ms-msdt" RTF Maldoc (SANS ISC, 2022.06.05)
"ms-msdt" RTF Maldoc Analysis: oledump Plugins (SANS ISC, 2022.06.06)
2022 年 6 月の定例更新プログラムで対応されました。
2022 年 6 月のセキュリティ更新プログラム (月例) (MSRC Blog, 2022.06.15)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)