Last modified: Mon Dec 23 00:00:10 2013 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 バイロン原発 (US イリノイ州) 外部電源喪失、緊急停止
Byron Nuclear Generating Station (Wikipedia)。 PWR 1168 MW x 2。
Byron Station Declares Unusual Event (Excelon, 1/30)
Byron Station Unusual Event Update (Excelon, 1/30)
NRC Monitoring an Event at Byron Nuclear Plant (US NRC, 1/30)
Emergency Classification (US NRC)。「4種類」の説明。今回のは Notification of Unusual Event 「異常事象の告知」。
》 やたら高い日本の天然ガス 電力会社が価格交渉する気ないから (NEWS ポストセブン, 1/29)
米国の指標であるニューヨーク・マーカンタイル取引所の天然ガスの先物価格は、100万BTUあたり3.5〜4ドル。欧州の指標でもせいぜい10ドル程度。日本は“世界一高い値段”で天然ガスを買っているのだ。なぜか?
理由は複数あり、日本企業が従来から石油価格とリンクした長期契約を結んできたことなどが挙げられる。
だが、根源的な理由は、「電気料金制度」だと言える。
日本のLNG輸入のメインプレーヤーである電力会社は、燃料費が上がれば、その分だけ「燃料費調整」で値段を上げ、消費者に価格を転嫁できる。それでは、輸出国側と交渉し、何とか調達価格を抑えようという気にならない。業界が競争から保護されていることの弊害が“世界一高価な天然ガス”となって表われているわけだ。大臣が口先だけで「値上げはいかがなものか」と言っても、制度的保護と体質にメスを入れない限り、国民はこの先も「高い電気代」を払わされ続けることになる。
》 「うるう秒」挿入のお知らせ (総務省, 1/31)。7/1 08:59:60 AM が入ります。
》 ハクティヴィズムは世界に新しい秩序をもたらすのか? (WIRED, 1/31)。塚越健司氏へのインタビュー。
》 Windows Phone のセキュリティモデルについて
【WP for IT Pros】Windows Phone のセキュリティモデルについて〜「チャンバー」という考え方(1) (フィールドSEあがりの安納です, 1/25)
【WP for IT Pros】Windows Phone のセキュリティモデルについて〜「チャンバー」という考え方(2)
関連: Windows Phone 7 Internals and Exploitability - ホワイトペーパー (フォティーンフォティ技術研究所)
》 津波警報 区分見直しなど改善策 (NHK, 1/31)。東日本大震災における大失敗への対応、 今日開催された 「津波警報の発表基準等と情報文のあり方に関する検討会」(第3回) で決まったようです。 詳細は、津波警報の発表基準等と情報文のあり方に関する検討会のページ にそのうち載ると思います。
》 IS〈インフィニット・ストラトス〉 7 (MF文庫 J ゆ) [文庫] (amazon)。フニャコフニャ夫先生の大傑作「ライオン仮面」(ドラえもんのアレ)を地で行く作品ですか…。すごいな。
》 「サイバーセキュリティはミサイル防衛より重要」の認識も——世界サイバー防衛報告書 (ITmedia, 1/31)。 関連:
57% Believe a Cyber Arms Race is Currently Taking Place, Reveals McAfee-Sponsored Cyber Defense Report (businesswire.com, 1/30)
Cyber-security: The vexed question of global rules (mcafee.com)。報告全文。
》 アイスマン (近刊検索β)。祥伝社から 2/2 発売予定。 Kingpin -- How One Hacker Took Over the Billion Dollar Cyber Crime Underground の邦訳。
CVE-2012-0207 LinuxカーネルのIGMP処理における脆弱性について (IIJ SECT, 2012.01.31)。CVE-2012-0207 の件、CentOS 5.[5-7], 6.[0-2] での検証結果と回避方法が詳述されている。 CentOS 5.7 / 6.[12] で影響ありだそうで。
マルチキャストの処理に起因する脆弱性ですが、ユニキャストによる攻撃も可能であり、ローカルネットワーク以外からも攻撃が成立します。
》 検察が弁護人の尋問事項を押収 (壇弁護士の事務室, 1/29)。それを許可しちゃう裁判所がなあ……。
イランで数え切れない親切を受けて思う、核兵器を持たずに存在感を示して欲しいということ (gigazine, 1/28)
イスラエルのイラン攻撃(イスラエル紙の分析) (中東の窓, 1/29)
》 Twitterと民主主義とインターネットの自由 (techcrunch, 1/30)
》 東京都の12年度予算原案、防災に重点配分 総額抑制ながらエネルギー対策も強化した内容 (日経 BP, 1/24)
》 新築なのに「防犯貧弱」。劇的改善を狙う ——「いちばん危ない窓」にはシャッターがいいのか? 面格子か? その「結論」 (日経 BP, 1/24)
》 国産スマホ、“最後”の挑戦 (日経 BP, 1/30)。らくらくホンは、実は現場で使いやすいそうなので、らくらくスマホがあれば喜ばれるんじゃないかと。(自衛隊とか、そのあたりどうなんでしょ……)
》 原発事故調査委HP不正書き換えか (NHK, 1/29)。これ: http://icanps.go.jp/の2012年1月29日 04:38に記録された魚拓 (Web 魚拓)
CVE-2012-0814。OpenSSH 5.7 未満の sshd の auth-options.c の auth_parse_options() において、forced command がデバッグメッセージに表示されてしまう。 OpenSSH 5.7 / auth-options.c 1.54 で修正されている。 patch。
Fixed in Apache httpd 2.2.22-dev (apache.org)
moderate: mod_proxy reverse proxy exposure CVE-2011-4317。 patch: Revision 1235443
moderate: error responses can expose cookies CVE-2012-0053。 patch: Revision 1235454
low: mod_log_config crash CVE-2012-0021。 patch: Revision 1227292
low: scoreboard parent DoS CVE-2012-0031。 patch: Revision 1230065
FFmpeg 0.10 "Freedom" released (H Online, 2012.01.27)。セキュリティ修正を含むそうで。
Apache Shiro 1.2.0 enhances its password hashing (H Online, 2012.01.26)。修正ではなく機能拡張。
osCommerce 関連。最新版では修正されている。
JVN#36559450: osCommerce 日本語版におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.01.20)
JVN#64386898: osCommerce におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.01.20)
JVN#38216398: osCommerce におけるディレクトリトラバーサルの脆弱性 (JVN, 2012.01.20)
JVNVU#738961: Oracle Outside In に任意のコードが実行される脆弱性 (JVN, 2012.01.19)。patch なし。
Apache HTTP Server 2.2.22 Released (Apache, 2012.01.31)。正式版出ましたので、みなさん更新しませう。
》 Facebook悪用で年間2,000万ドルを荒稼ぎ? フェイスブックとワシントン州がオンライン広告企業を提訴 クリック回数を増やすためにあれこれ画策? (ComputerWorld.jp, 1/27)
》 シリア赤新月社事務局長が襲撃され死亡 (国連情報誌SUNブログ対応版, 1/27)
》 欧州委がプライバシー保護規制の改正案提出、「忘れられる権利」を盛り込む (日経 IT Pro, 1/26)。これ重要。「若気の至り」で在学中にバカやった学生とかがマジ就職できない時代。
関連: ネット上の個人情報を削除してもらえる「忘れられる権利」 EUで法案化 (ニコニコニュース, 1/28)
》 毎年2月は「情報セキュリティ月間」、政府が普及啓発を強化 (日経 IT Pro, 1/26) だそうです。 1/31 から @cas_nisc も運用開始だそうで。
》 システムエグゼ、SQL Server監査ログ収集に特化した単機能ソフトを出荷 (日経 IT Pro, 1/25)
》 WinnyやShareに“おとりファイル”を放流、著作権侵害を警告 (日経 IT Pro, 1/24)
実施機関は1月23日から1月29日。
明日で終りなのか……。
》 エアーニッポン JA55AN (B737-800) 2010.10.26 航空重大インシデント調査報告書
管制官誤指示、ANK機側は疑問感じるも確認せず (asahi.com, 1/27)。確認は重要なのですよね。
平成22年 7月28日に成田国際空港の東南東で発生したユナイテッド航空株式会社が運航する大型機(ボーイング式777-200型)の重大インシデント (運輸安全委員会, 1/27)。pullup 警報が出るほど接近していたのですね。
3.8 再発防止
(中略)
(2) レーダー誘導はMVA以上の高度で行うことが管制方式基準に規定されているが、本重大インシデントにおいて、管制官はMVAよりも低い高度に降下指示を出し、そのことに気付かずにいたことから、航空機をMVAより低い高度に降下させる管制指示を出したり、航空機がMVAより低い高度に降下した場合には、管制官がそのことに容易に気付くことができるよう、管制官を支援するためのシステムを導入することが必要である。
(中略)
(4) MVAの存在は知られているが、実際の適用方法や具体的な数値については正式には公表されていない。海外の多くの国では既にMVAが公表されており、我が国においても操縦者にMVAへの認識を高めさせるため、その公表を行うことが適当である。なお、MVAデータの具体的な公表方法及び活用方法の検討に当たっては、操縦者側の意見を聞くことが望まれる。
MVA = Minimum Vectoring Altitude; 最低誘導高度。
》 25日のドコモ通信障害、トラフィック想定の見積もり足りず (ケータイ Watch, 1/26)
ほぼ同時刻にJR東日本の首都圏鉄道網に乱れがあり、一時は鉄道の障害がトラフィック増を招いたとの見方もあったが、鉄道のトラブルは首都圏ではそれなりの頻度で発生している。ドコモ側も鉄道トラブルによる通信増はあったものの、2倍、3倍と急増するレベルではなかったとして、通信障害の原因とは見なしておらず、あくまで「ドコモの見積もりの甘さ」が原因と説明した。
ドコモでは、新型パケット交換機の導入にあたり、トラフィックの想定を算出。今回は同時接続数が約71万台、1時間あたりの信号量が1200万と見積もった。実際は、同時接続数こそあっていたものの、1時間あたりの信号量が1650万と、想定よりも450万も多かった。新型パケット交換機の能力を240万も超えてしまい、処理ができなくなった。
想定以上のトラフィックが実際には発生していたことに対応できなかったドコモは「見積もりが甘かった」と不手際を認める。想定トラフィックの算出方法はiモード時代と大きく変化していないとのことで、端末のハードウェアの能力を元に、どの程度の通信を行えるか、そしてどの程度普及するか、といった予測を出し、トラフィックの想定量を算出する。ただ、これまでは台数ベースで考えればよかったが、スマートフォン時代はアプリの追加で、信号量が増えることになり、見積もりの甘さに繋がったという。
新型パケット交換機には、これまではなかった信号量の測定機能を新たに搭載し、2月中旬までに全国約200台のパケット交換機の能力を一斉に点検する。また制御信号が想定よりも多かったことに対応すべく、パケット交換機を2月中旬以降に増設する。さらに、新型パケット交換機1台あたりの能力(リソース)を、同時接続数と1時間あたりの信号処理能力でどうバランスをとるか、8月中旬までに最適化を図る。
「これまではなかった信号量の測定機能を新たに搭載」ということなので、今まで全く測定していなかったということなのですかね……。
》 連動型巨大地震:痕跡発見 紀伊半島沖の南海トラフで (毎日, 1/28)
三菱電機グループのコーポレートステートメント (三菱電機)
三菱電機グループは、先にコーポレートステートメントとして「Changes for the Better」を制定いたしました。この趣旨は、"常により良いものを目指して変革していく"意志を表したものです。この言葉は、私たちグループ社員一人ひとりの心に掲げ、行動を起こすためのものでもあります。 "自分が変わらなければ、行動を起こさなければ、三菱電機グループは変わらない"という強い気持ちを持って取り組み、より良い明日へと前進していく決意です。
三電オフィシャル
防衛省、内閣衛星情報センターおよび宇宙航空研究開発機構に対する費用の過大計上について (三菱電機, 1/27)
防衛省の指名停止に関するお知らせ (三菱電機, 1/27)
内閣衛星情報センターの指名停止に関するお知らせ (三菱電機, 1/27)
宇宙航空研究開発機構の競争参加資格停止に関するお知らせ (三菱電機, 1/27)
三菱電機:防衛省などに費用過大請求 指名停止処分に (毎日, 1/27)
三菱電機過大請求:組織的か 防衛省、30日に特別調査着手 (毎日, 1/28)
三菱電機過大請求:不正入力「社が指示」 従業員が証言 (毎日, 1/28)
三菱電機によると、鎌倉製作所には装備品ごとに設計や製造に関わった人数や時間を集計できるシステムがあり、このデータに基づいて経費を請求している。しかし、ある従業員は防衛省の聞き取り調査に「自分がやった作業内容に関係なく、入力する内容がその日ごとにあらかじめ決められていた」などと話しているという。
酷すぎる三菱電機 巨額の水増し請求 内部告発で判明 軍事・宇宙事業で (ざまあみやがれい!, 1/28)
》 iPhoneアプリの電子書籍はサクラレビューによるステルスマーケティングだらけ (デジタルマガジン, 1/27)、 iPhoneの電子書籍アプリのサクラレビューが削除される (デジタルマガジン, 1/28)
JVN#54779201: Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.01.20)
telnetd 関連:
Cisco IronPort Appliances Telnet Remote Code Execution Vulnerability (Cisco, 2012.01.26)。Cisco IronPort ESA / SMA は FreeBSD ベースなのだそうで。
MITKRB5-SA-2011-008 (MIT, 2011.12.26)。MIT krb5 1.8 未満 / krb5-appl-1.0.3 未満に影響。krb5-appl-1.0.3 で修正されている。
2012-01-10 - telnet vulnerability client and server (Heimdal, 2012.01.10)。 patch は https://github.com/heimdal/heimdal から入手するしかないのかなあ。 https://github.com/heimdal/heimdal/commit/931cb52294961d191971fd25f0411af3c7e56a00
CVE-2012-0003 exploit の件:
不正なMIDI音楽ファイルを読みこまされてウイルス強制感染! (CVE-2012-0003) (無題な濃いログ, 2012.01.26)
Malware Leveraging MIDI Remote Code Execution Vulnerability Found (trendmicro blog, 2012.01.26)
CVE-2012-0003 Exploit ITW (ESET Threat Blog, 2012.01.27)
MIDI exploit in the wild (Symantec, 2012.01.28)
》 FSFがAppleの「iBooks Author」に対し「ユーザーの自由を制限する」と批判 (sourceforge.jp, 1/27)
指摘されているのはiBooks Authorのエンドユーザー向けライセンス条項(EULA)2項目。ここでAppleは「作成した作品を有料で提供する場合は、Appleの販売チャネル経由でしか提供できない」と明記しているという。
うへぇ。
》 汚れた金か?—ニューヨーク・タイムズのApple記事を考える (techcrunch, 1/27)
》 Microsoft's Kelihos botnet suspect used to work for computer security firm (Sophos, 1/24)
》 Googleの新しいユーザー・データ共有計画に米下院議員8人が質問状 プライバシーが損なわれるのではという懸念から (ComputerWorld.jp, 1/27)
》 なぜ家族まで 〜検証・長崎ストーカー殺人〜 (NHK クローズアップ現代, 1/24)
後藤さん:今回は、ストーカー行為がDVの加害者によって行われているという特徴があります。
DVの加害者は、被害者だけではなくて、被害者の家族にも暴力をふるうという可能性というのが指摘されています。 (中略) 今回のストーカー行為というのは、「DVに基づく」を前提としたストーカー行為ですから、DV防止法の基本的な考え方、つまりDV防止法では、被害者と家族の両方を保護しなければ、両方に危険が及ぶという考え方を取っていますから、このような考え方を前提として、対応していく必要があったといえます。
大飯原発の2基 テスト妥当の評価 (NHK「かぶん」ブログ, 1/18)
大飯原発:3、4号機の安全評価「妥当」 保安院が初判断 (毎日, 1/18)
大飯原発:「見切り発車」批判続出…3、4号機安全評価 (毎日, 1/18)
「大飯原発ストレステスト妥当」 推進派だけのイカサマ専門家会議 (田中龍作ジャーナル, 1/18)
傍聴者もいなく、メディアも記者クラブがほとんど、フリーは筆者を含めほんの数えるほどだ。専門家委員の一人で原子炉の設計技師だった後藤政志さんは、一貫して原発再稼働に否定的だ。後藤さんら2人の専門家委員は「会議の透明性が担保されていない」として別室での“秘密会議”をボイコットした。
会議が推進派だけで粛々と進むのは道理だ。後藤さんら慎重派が出席したとしても議事進行を理由に、慎重派の意見はまともに取り上げられない。こうした現実を公にするためにも、後藤さんは「傍聴者を入れるよう」求めて譲らないのである。
ストレステスト会議 枝野経産相「傍聴排除決定」、献金受けた推進派が司会進行はウヤムヤ (田中龍作ジャーナル, 1/20)
田中:三菱重工から多額の献金を受けた人が司会をしている。司会者は議事進行を理由に慎重派の質問をまともに取り上げない。会議そのものがインチキではないか。
枝野:委員の方に対するご意見があると思うが、前回出席いただけなかった委員の方がいるということは、まさに幅広い立場の方に入って頂いたことの証しだと思う。そうした立場の方が、進行その他について意見はあるだろう。
科学的知見から、専門的、技術的に安全でないと考えたならば、まずどういう問題があるのか指摘をしてもらう。議事録を含めて国民の皆さんにすべて公開されるわけだし、私のところに報告も上がってくる。本当に安全でないという危惧の部分については、具体的指摘をしてより幅広くチェックをして頂きたいと思う。
"妥当"評価も原発再開不透明 (NHK「かぶん」ブログ, 1/19)
ここに注目! 「反発強まるストレステスト」 (NHK 解説委員室, 1/20)
ワイロよりハイロを! ストレステスト・経産省前でのひげ抗議 (グリーンピース, 1/18)
「ストレステスト」へのストレスを発散する方法 (グリーンピース, 1/23)
大飯原発:IAEA調査団が視察 ストレステスト評価で (毎日, 1/26)
この国と原発:第4部・抜け出せない構図 政官業学結ぶ原子力マネー(その1) (毎日, 1/22)
原発を持つ主要国のエネルギー研究開発予算を比較すると、日本の突出した「原子力偏重」が鮮明になる。
国際エネルギー機関(IEA、28カ国加盟)の統計によると、日本は10年度、エネルギー研究開発に総額3550億円(10年平均レートで米ドルから円に換算、以下同)を計上した。うち69%にあたる2481億円は原子力関連が占める。大半は文部科学省所管の高速増殖原型炉「もんじゅ」や核燃料サイクル関連に投じられ、残りは経済産業省が新型原子炉開発の補助金などに支出している。
(中略)
日本の原子力研究開発予算の原資のほとんどは、電気料金に上乗せして徴収する電源開発促進税だ。原子力に偏重した予算配分が長年続いてきた原因について、昨年11月に衆院で行われた「国会版事業仕分け」で、参考人の元経産官僚、古賀茂明氏は「原子力を何が何でも造るというのが自民党の政策だった。その政策に公益法人や関連企業、役所と族議員による利権構造がくっつき、一度できると壊せない」と述べている。
この国と原発:第4部・抜け出せない構図 政官業学結ぶ原子力マネー(その2止) (毎日, 1/22)
経営陣は自民へ、労働組合側は民主へ。電力業界は労使双方が2大政党に資金を提供し続けてきた。原発を持つ電力9社やその子会社の経営陣らは09〜10年に、個人献金の形で自民党側へ約8000万円を提供したとみられる。電力各社の労組と労組を母体とする政治団体計21団体が、09〜10年に民主党の総支部や党所属国会議員へ提供した資金も少なくとも6876万円に上る。
原子力発電に関連する事業を実施している国と自治体の外郭団体39団体に対し、年間約3600億円の補助金などが支払われていることが毎日新聞のまとめで分かった。延べ60人の元官僚が団体の役員として天下っており、原子力関係予算の一部が「官」の内部で再配分されている実態が浮かぶ。
大学の原子力関連研究は、国や原子力関連企業から受け取る巨額の研究資金に強く依存している。毎日新聞の集計では、11国立大学の関連研究に対し、06〜10年度の5年間に、少なくとも104億8764万円の資金が提供された。
(中略)
しかし、国や企業から資金を提供してもらえるのは、原発推進の側に身を置いている研究者だけだ。原発批判の論客として知られる京大原子炉実験所の小出裕章、今中哲二の両助教には06〜10年度、「原子力マネー」の提供はゼロ。両氏への唯一の外部資金は今中氏が10年度に広島市から受託した「広島原爆による黒い雨放射能に関する研究」(42万円)だった。
この国と原発:第4部・抜け出せない構図/1(その1) 重鎮学者が会社設立 (毎日, 1/22)
この国と原発:第4部・抜け出せない構図/1(その2止) 資金支出、自ら審査 (毎日, 1/22)
日本保全学会(会長、宮健三・東京大名誉教授)の学会誌「保全学」10年7月号に、「『状態監視技術の高度化』に関する調査検討分科会」の活動報告が掲載されていた。まさに宮氏が挙げた、軸受けの劣化を監視する技術の研究などがテーマの分科会だ。
実は、分科会全体の主査は宮氏本人だった。「技術」と「調査」のワーキンググループ(WG)があり、技術WGの主査は上坂充・東大教授。調査WGの主査は、保全学会副会長で、財団法人発電設備技術検査協会の山口篤憲氏が務めた。同協会の理事には宮氏が名を連ねる。
自分たちで審査し自分たちに支出する「お手盛り」だったのではないか。改めて宮氏に取材すると、「他の参加者にも諮って民主的に決めている」と説明する。上坂氏は東大広報課を通じて「多忙のため取材に応じられない」と回答した。
この分科会には、原子力を巡る「業」と「学」の関係も如実に投影されている。
学会ホームページによると、分科会には大学などの研究者のほか、原子力関連の企業22社、化学プラント事業者など原子力以外の10社が参加。研究者は無料だが、原子力関連事業者は年50万円、それ以外の事業者は年40万円の参加料が必要だ。この分科会だけで電力会社などから年1500万円の研究資金が集まることになる。
電力各社はこれ以外に、年15万円(1口)の法人会員費も払う。複数の社が電気料金への上乗せを認め、最終的に負担するのは国民だ。
》 Windows Phone 7 Internals and Exploitability - ホワイトペーパー (フォティーンフォティ技術研究所)。 川崎さん情報ありがとうございます。
》 工場制御システムがウイルス感染…操業停止も (読売, 1/22)。これかなあ:
ものづくりNEXT↑2011 誌上レビュー 特別企画 トータル危機管理コーナー 講演会 制御システムの安全性確保に向けた情報セキュリティ政策の現状と今後 (日本能率協会, 1/16)
しかしながら、実際に経済産業省調査の中で実施した個別ヒアリングでは、以下のような事例が判明。
(A) ウイルス感染が発覚。設備系・生産系 PC 50 台が感染、レスポンスが低下。原因は端末増設の際にメーカがウイルスを持ち込んだ。
(B) メンテナンス用の PC による感染事例はあった。設備系システムの PC 100 台程度が感染、システムの稼働が止まった。
(C) 半導体製造工場では、ウイルス被害にあった工場が増えている。
(D) ディスクがウイルス感染してシステムが立ち上がらなくなった。
(E) 制御システムにおけるセキュリティ関連のトラブルは生産に影響しなければ無視されて放置される。
このあたりの話に興味のある向きは、2012.02.03 の制御システムセキュリティカンファレンス 2012 (JPCERT/CC) に参加するといいんじゃないかなあ。
》 Windows Phone App Analyser v1.0 released today (Security Ninja, 1/20)
》 金正男はその記事を読んでいた『父・金正日と私 金正男独占告白』 (livedoor ニュース, 1/26)
》 一連のネットワーク障害への対策について (NTT ドコモ, 1/27)。うわ、PDF、何この 1 ページ目の細かい字。「あらかじめ全力で予防線を張らせて頂きます!!!!!!!!!!!!!!!!!!!!!!!!!」って感じ。 これがドコモの「コンプライアンス」なの?!
関連:
ドコモ 役員処分と再発防止策発表 (NHK, 1/27)
相次ぐ通信トラブルは、スマートフォンの急速な普及に対して通信設備の整備が立ち遅れたのが主な原因だった
え!? 1/25 のは現状把握ミス、SP モードのはプロトコル設計ミスなのでは?
》 京都大学シンポジウムシリーズ「大震災後を考える」シリーズXIV 第13回情報学シンポジウム 災害と情報学 (京都大学)。2012.02.17、京都府京都市、無料。
》 オウム真理教・広瀬健一死刑囚の手記、続編を公開 (やや日刊カルト新聞, 1/25)
統一協会教祖考案の高額健康機器を販売の鍼灸院院長が高知大医学部と共同研究 (やや日刊カルト新聞, 1/13)
疑惑の鍼灸院院長は統一協会信者だった! (やや日刊カルト新聞, 1/21)
厚労省未許可のハッピーヘルス販売は違法行為、疑惑の鍼灸院は関係法令に抵触か? (やや日刊カルト新聞, 1/27)
》 統一協会の戦隊ヒーロー“ピースレンジャー”、ネットTVへの出演を狙うも失敗に終わる (やや日刊カルト新聞, 1/5)、 ピースレンジャーと統一協会イベントに参加していた足立区議 (やや日刊カルト新聞, 1/12)
》 【社説】2012年はアセンションの年! 本紙は「2012年に人類は滅亡しません!」と高らかに宣言します! (やや日刊カルト新聞, 1/1)
2012年に人類は滅亡しません! 絶対に滅亡しません!
根拠は? 別にありません。必要など無いと思います。
予言が外れたらどうするのか? 我々は終末論を煽り、信者を集め、それが外れても言い訳を並べたてるカルトの教祖ではありません。
主筆藤倉善郎以下、やや日刊カルト新聞の記者一同は、2012年内に人類が滅亡した場合、自らの死をもって責任を取り、謝罪します!
もちろん、2012年内に人類が滅亡した場合、責任を取るも何も、既に死んでいるわけですね (笑)。
》 世界中のくさくておいしい食べ物の匂いの強烈さを数値で比較した図 (gigazine, 1/26)。関連:
臭さの単位、アラバスター(Au)って何?というのを結構真剣に調べた。 (Fallen Physicist, Rising Engineer, 1/27)。同じことを調べていたら、先人がいた。
美味しい日本酒で究極の激臭肴と戦う! 激臭大戦隊クサレンジャー。 戦士たちの激闘の記録。
FILE172:「寄食屋台」 (NHK 爆問学問)。2/2 放送予定。
》 Is it time to get rid of NetBIOS? (SANS ISC, 1/24)。もう要らんやろ……。
》 情報セキュリティ:安心・安全を考えるシンポジウム 2月2日開催 (毎日, 1/25)、 国民を守る情報セキュリティシンポジウム (NISC)。 2012.02.02、東京都港区、無料。 国民は守る、 非国民はそれなりに?
》 スマホ:消音シャッターで盗撮相次ぎ、問われるモラル (毎日, 1/25)。消音機能に罪はないと思うけど。
》 欧州で豊胸バッグの安全性に疑問符 —英国では手術費用の負担が大問題に (小林恭子の英国メディア・ウオッチ, 1/26)。特定ベンダーの製品が、体内で破裂する可能性があるそうで。
この豊胸材はフランスのポリ・アンプラン・プロテーズ(PIP)社が製造したもの。同社は医療用としては未認可の産業用シリコンを使い、フランス政府は使用禁止措置にした。会社は2010年に倒産している。(中略) フランス政府は「破裂の可能性は5%」とする (中略) フランス政府は予防策として摘出を推奨 (中略) フランスでは、PIP社の豊胸材を使った女性たち約3万人に対し、政府が摘出の手術代を負担すると宣言。
フランスでは対応方針が明確だけど、英国では必ずしもそうではない模様。
》 Java セキュアコーディングセミナーのご案内 (JPCERT/CC, 1/26)。2012.02.15・京都府京都市 / 2012.02.18・神奈川県横浜市。無料
》 ウイルスパターンファイル 8.733.00、8.733.50 における誤警告情報 (トレンドマイクロ, 1/26)。.NET Framework 4.0 のファイルを TSPY_ZBOT.NT と誤検出。 今は修正されている。
》 世界のTMT企業(通信・メディア・テクノロジー)を対象としたグローバルセキュリティ調査結果発表 (トーマツ, 1/24)
》 タブレットPC使用で首痛に注意、「立てて使うべき」と米大研究 (AFPBB, 1/26)
》 Enhancements to /GS in Visual Studio 11 (Microsoft SDL blog, 1/26)。Visual Studio は、新しいバージョンほど、セキュアな製品開発のための機能が追加されています。
》 日本マイクロソフト セキュリティチームFacebook も始めました!! (日本のセキュリティチーム, 1/26)
》 US Police use games consoles in crime investigations (Sophos, 1/26)
Devices like the Xbox, PS3 and iPads are now a key focus area for digital forensics teams seeking evidence. Two investigative practices particularly caught my attention:
》 判っていない (桜井昌司『獄外記』, 1/19)。広島刑務所の件。
管理とは、厳しく受刑者を管理すことだと、一般には思うのだろうが、広島刑務所の受刑者に対する管理は、多分、日本で何本指化に入る厳しさだろう。俺に言わせると、だからこそ、今度脱走騒ぎが生まれたのだと思っている。
(中略)
李国林が逃げおおせたのは、それを「ざまあ見ろ」と、刑務所に反発するような人格無視の管理を日常的に行っているからこその脱走だと、ほとんど語る人がいない。判ってないのだ。かくして、さらに人格や人間的な配慮を無視して懲罰的な管理が広島刑務所では行われるだろう。
》 Twitterが国の状況により、検閲を行う意向を表明 〜検閲で見えないことを明示する方針 (Internet Watch, 1/27)
》 「特効薬はない」標的型攻撃の傾向と対策、トレンドマイクロが解説 (Internet Watch, 1/26)
》 Windows Embedded Standard 7概論(8):WES7 Tips − Windows PEをカスタマイズするには? (@IT, 1/26)
これの件:
Important Information on pcAnywhere (Symantec, 2012.01.24)。 SYM12-002: Security Advisories Relating to Symantec Products - Symantec pcAnywhere Remote Code Execution, Local Access File Tampering の件の他にも欠陥があり、現在修正作業中だそうで。
On Monday, January 23, 2012, Symantec released a patch that eliminates three known vulnerabilities affecting customers using pcAnywhere 12.5 running on Windows. Additional patches are planned for release during the week of January 23 for pcAnywhere 12.0, pcAnywhere 12.1 and pcAnywhere 12.5. Symantec will continue to issue patches as needed until a new version of pcAnywhere that addresses all currently known vulnerabilities is released.
pcAnywhere 12.0 / 12.1 / 12.5 用の新しい patch がもうすぐ出る予定。
Symantec pcAnywhere Security Recommendations (Symantec, 2012.01.23)。patch が揃うまで pcAnywhere を無効化してね。
At this time, Symantec recommends disabling the product until Symantec releases a final set of software updates that resolve currently known vulnerability risks. For customers that require pcAnywhere for business critical purposes, it is recommended that customers understand the current risks, ensure pcAnywhere 12.5 is installed, apply all relevant patches as they are released, and follow the general security best practices discussed herein.
具体的には、リスクの詳細、サービスの停止方法などが記載されている。
pcAnywhere is a product that allows for direct PC to PC communication and this does expose some risk if the compromised code is actually released. As a result Symantec determined that the encoding and encryption elements within pcAnywhere are vulnerable. Therefore it is possible that successful man-in-the-middle attacks may occur depending on the configuration and use of the product. If a man-in-the-middle attack should occur, the malicious user could steal session data or credentials.
There are also secondary risks associated with this situation. If the malicious user obtains the cryptographic key they have the capability to launch unauthorized remote control sessions. This in turn allows them access to systems and sensitive data. If the cryptographic key itself is using Active Directory credentials, it is also possible for them to perpetrate other malicious activities on the network.
In an internal pcAnywhere environment, if a network sniffer was in place on a customer's internal network and the attacker had access to the encryption details, the pcAnywhere traffic could be intercepted and decoded. This implies that a customer either has a malicious insider who planted the network sniffer or has an unknown Botnet operating in their environment. As always, security best practices are encouraged to mitigate this risk.
Since pcAnywhere exchanges user login credentials, the risk exists that a network sniffer or Botnet could intercept this exchange of information but even then it would be a difficult task to actually interpret the data even if the pcAnywhere source code is actually released. For environments with remote users, this credential exchange introduces an additional level of exposure to external attacks.
Claims by Anonymous about Symantec Source Code (Symantec, 2012.01.26 改訂)。 日本語版はまだ古いままなので注意。
バッファロー製SSDの一部で「5000時間使うとクラッシュする」不具合 (slashdot.jp, 2012.01.26)。バッファローからも出ていたのですね。
MS12-004 - 緊急: Windows Media の脆弱性により、リモートでコードが実行される (2636391) の「MIDI のリモートでコードが実行される脆弱性 - CVE-2012-0003」の exploit が出回っているそうです。 CVE-2012-0003 Exploited in the Wild (IBM ISS, 2012.01.26)
Suhosin Extension 0.9.32.1 以前に欠陥。transparent cookie encryption において buffer overflow が発生、特定の規定値ではない不安全な Suhosin 設定を行った場合 remote からの任意のコードの実行を招く。 [Full-disclosure] Advisory 01/2012: Suhosin PHP Extension Transparent Cookie Encryption Stack Buffer Overflow には、特定の規定値ではない不安全な Suhosin 設定として以下が挙げられている。
suhosin.multiheader=On
suhosin.request.disallow_nul=Off
suhosin.get.disallow_nul=Off
suhosin.post.disallow_nul=Off
suhosin.cookie.disallow_nul=Off
上記の設定を行った上で、FORTIFY_SOURCE コンパイルオプションを外して作成された Suhosin Extension でないと攻撃は成功しないという。
Suhosin Extension 0.9.33 で修正されている。CVE-2012-0807
》 アニメサイト管理人がNHKなどでもニュースになる (やらおん!, 1/26)。コンピューターウイルス作成罪を初適用、知人に送りつけた男を大阪府警が逮捕 (Internet Watch, 1/26) の件。
》 下北沖にM9級震源域か=1000年間隔で発生−「切迫度高い」・北大 (時事, 1/26)。ETV 特集「シリーズ 大震災発掘 第2回 巨大津波 新たなる脅威」でやってた件ですね。 関連:
科学(岩波書店)に書いた津波のこと (平川 一臣, 1/26)
》 印刷に関する問題(Acrobat X 10.1.2/Adobe Reader X 10.1.2) (Adobe, 1/24)
》 急増続くトラフィック収容はほぼ限界、ギリギリの戦いが続く ソフトバンクモバイル 取締役専務執行役員 兼 CTO 宮川 潤一氏 (日経 IT Pro, 1/18)
》 スマホ通信急増にKDDI社長「設備増強している」--抜本対策は先送り (CNET, 1/26)、 KDDI:スマホ通信増に田中社長「設備まだ大丈夫」 (毎日, 1/26)
》 東京都一部エリアにてau携帯電話、固定電話、法人系サービスのご利用できない状況について(復旧報:01月26日 07時30分現在) (KDDI, 1/26)。1/25 23:33〜1/26 03:03 AM。
》 OCNの故障について (NTT.com, 1/26)。08:06 AM〜09:30 AM。海外方面につながらなかったようで。Tabata さん情報ありがとうございます。
》 世田谷区施設で使用電力購入の競争入札の実施へ (保坂展人のどこどこ日記, 1/24)
》 面白い恋人事件第1回口頭弁論期日 (壇弁護士の事務室, 1/26)
というわけで、この事件、札幌地裁に管轄があるかはわからない。一般に管轄違いというのは弁護士にとって大恥なことである。これだけ大きな事件で管轄違いというのはあり得ないことなので、何らかの方法で札幌地裁に管轄があるような措置を講じているとは思う。
とすると、吉本側の移送申立は何だったのか?
というわけで、この事件。オープニングから波乱の幕開けのようである。
》 法律事務所・弁護士を名乗る詐欺にご注意ください。 (壇弁護士の事務室, 1/26)。弁護士の実在性を確認しましょう。
日弁連の検索を確認することは、詐欺被害防止のためにもっと広められて良いと思う。
》 レズビアンの権利団体がジェーン・リンチを表彰 (みやきち日記, 1/23)。「Glee」のスー先生役、だそうです。
》 平成23年中の特殊詐欺等の認知・検挙状況〜被害総額は前年と比べ26.7%増〜 (ポリスチャンネル, 1/26)、特殊詐欺の認知・検挙状況等について(平成23年12月) (警察庁, 1/20)。振りこめ詐欺。
》 ソフトウェア等の脆弱性関連情報に関する届出状況 [2011年第4四半期(10月〜12月)] (IPA, 1/26)
3. ソフトウェア製品の脆弱性関連情報に関する届出の傾向
〜スマートフォンに関連する届出が増加傾向〜
(中略)
スマートフォンに関連するソフトウェア製品の開発者には、脆弱性が発見された際の速やかな対応を期待します。
スーパーボウルへの備えはいかがですか? (シマンテック, 1/25)
もうすぐ 2 月 14 日! (シマンテック, 1/25)
》 ポールポジション:アンチACTAハッカーがポーランドを攻撃 (エフセキュアブログ, 1/24)
そして興味深くもあり、衝撃的でもあるのは — ハッカーが「premier.gov.pl」の管理パネルへのパスワードとログインは、「admin」(ログイン)と「admin1」(パスワード)だったと主張したことだ。
関連:
Anonymous calls on Polish hactivists to stop DDoS (H Security, 1/25)
Cracking Polish Passwords (F-Secure blog, 1/25)。何か変なものが貼ってあるぞ……。 日本語版: ポーランドのパスワードをクラッキング (エフセキュアブログ, 1/26)
》 報道発表資料: 【お詫び】2012年1月25日のFOMAの音声・パケット通信サービスがご利用しづらい状況について (NTT ドコモ, 1/26)。1/25 の不具合は、1/25 未明に切りかえた新型パケット交換機の性能が足りなかったため。
1/20、エリア B (新宿区、文京区、江東区、江戸川区、墨田区、葛飾区、港区、千代田区、渋谷区) の無線制御装置 23 台の接続先を、旧型パケット交換機 (4 台) から新型パケット交換機 (3 台) に変更。
1/24 深夜〜1/25 未明、エリア A (目黒区、大田区、品川区、世田谷区、中央区、港区、千代田区、渋谷区) の無線制御装置 37 台の接続先を、旧型パケット交換機 (7 台) から、上記と同じ新型パケット交換機 (3 台) に変更。
1/25 08:26 AM ごろから、トラフィックの上昇に伴い、新型パケット交換機の動作が不安定に
1/25 9 時ごろからトラフィックがさらに上昇、輻輳発生。09:09 AM から利用規制を実施。
1/25 10:56 AM から変更前の状態に戻す作業を実施。 戻した無線制御装置から利用規制を解除。
1/25 13:08、全て戻し終えた。
処理能力とトラフィックはこうだそうで:
| 現行パケット交換機の能力 (11台) | 新型パケット交換機の能力 (3台) | 想定していたトラヒック | 現状のトラヒック (推定) | |
|---|---|---|---|---|
| 同時接続数 | 88万 | 180万 | 71万 | 71万 |
| 1時間当たりの信号量 | 2,750万 | 1,410万 | 1,200万 | 1,650万 |
現状のトラフィックをきちんと把握できていなかった上に、「1時間当たりの信号量」の処理能力が切替によって半減することを気にかける人が誰もいなかった、ということなのかなあ。 それってまずいんじゃないの?
》 神田大介氏(朝日新聞記者)によるファイル交換ソフトにおける情報漏洩記事裏話 (togetter, 1/25)。〈ニュース圏外〉密かに続くネット流出 さらす側の本音 (asahi.com, 1/25) の件。
》 告発受理、そして、新たなる大バトルの続き! (八木啓代のひとりごと, 1/25)、 陸山会事件で「虚偽」捜査報告、告発を検察受理 (読売, 1/24)
市民団体から提出されていた田代検事に対する虚偽有印公文書作成・同行使容疑での告発状を、東京地検刑事部が受理していたことがわかった。(中略) 同地検では通常、告発は特捜部が受理するが、今回は特捜部に関する問題のため、刑事部が受理した。
》 AppleのApp Storeに不正アプリが混入 (ITmedia, 1/24)。App Store も安全ではない。
》 敦賀市長「今後も原子力は必要」 市民団体の質問状に回答 (福井新聞, 1/24)。全ては金のため。
》 「もんじゅ」謎の制御棒関連トラブル また保安院1ヶ月以上隠蔽(報道まとめ) (ざまあみやがれい!, 1/23)。抜こうとしてみたら動かなかったみたい。
》 デジタルネイティブ世代はスマホのガラパゴス機能に興味なし? 近畿大調査 (Internet Watch, 1/24)。不要。
》 This Week in Privacy (IEBlog, 1/24)
》 海洋堂の可動フィギュア「リボルテック仏像」、前評判も価格も高騰中 ほか (Internet Watch, 1/26)。確かにかっこいい。アートとしての仏像を再認識。
》 ソーシャルゲームが抱える潜在リスク 「射幸心」あおる仕組みとは (日経, 1/25)。パチンコですか……。
ユーザーが熱中するガチャの仕組みは、パチンコの確率変動システムにも近づきつつある。「ドラゴンコレクション」(コナミ)では1月にガチャを連続して利用していると、次に登場するレア性の高いモンスターが登場する場合、予告が出るようになった。ユーザーが「予告」を見ると、さらに連続してガチャをやりたいという気持ちになりやすい。
相対的な比較としてパチンコ・パチスロの例を挙げよう。05年に財団法人社会安全研究財団が行った調査では、パチンコ・パチスロの一回の投資額(戻ってくる場合があるため利用額とは言わない)は、1万1500円〜1万3100円で、月来店の頻度は約3回という結果がでている。パチンコ・パチスロのユーザーの月平均利用額の概算は3万4500円〜3万9300円。この金額が社会的に適切かどうかは判断が難しいが、一つの目安にはなると考えられる。
パチンコ・パチスロの業界団体である日本遊技機工業組合は、「風営法に基づいた遊技機の認定及び型式の検定等に関する規則」を意識しながら、内規によって自主規制を定めている。今後、類似するようなルールを、DeNAやグリーといったソーシャルゲーム会社が共同で決める事態が生まれる可能性はある。
Linuxベンダー、ルート攻撃コードの出現を受けてパッチ配布を急ぐ Linuxカーネルの脆弱性で攻撃者にルート・アクセス権を握られるおそれ (ComputerWorld.jp, 2012.01.25)
Apache Struts 2.3.1.2 登場。remote からのコマンドの実行を許す欠陥 S2-009 (Struts 2.0.0 〜 2.3.1.1 に影響、CVE-2011-3923) が修正されている。
pcAnywhere 12.5.x / 12.6.x に 2 つの欠陥。
5631/tcp を介して remote から任意のコードを実行される。CVE-2011-3478
インストール時に、誰でも書き込み可なファイルができてしまっており、local user による改変が可能なため、権限上昇を招く。 CVE-2011-3479
hotfix が用意されているので適用すればよい。
日本語版アドバイザリ: セキュリティ アドバイザリー - Symantec pcAnywhere に、リモートコード実行、ローカルアクセスファイル改ざんの脆弱性 (シマンテック)
関連:
SYM12-002 セキュリティ アドバイザリー - Symantec pcAnywhere に複数のセキュリティ更新プログラム (シマンテック, 2012.02.10 更新)
pcAnywhere TECH180472 ホットフィックス (シマンテック, 2012.02.17 更新)。 pcAnywhere 12.[01] 用 hotfix も用意されてます。
「pcAnywhere」をクラッシュさせるとされるエクスプロイト・コードが公開 (ComputerWorld.jp, 2012.02.23)
[Python] PCAnywhere Nuke (pastebin, 2012.02.16)
Crucial m4 CTxxxM4SSD2 (xxx = 064 / 128 / 256 / 512) および CFD CSSD-S6MxxNM4Q (xx = 64 / 128 / 256 / 512) のファームウェアに欠陥。使用時間が 5,184 時間を越えると SMART カウンターが異常な数値を返すために SSD が認識されなくなりブルーサンダー。再起動すると認識されるが 1 時間すると再びブルーサンダー、以下くりかえし。ただしデータの消失は起こらない。
ファームウェアを 0309 (最新版) にアップデートすることで回避できる。ダウンロード。 ただし「HP社のSASエキスパンダーカード」には対応していないので注意。 対応ファームウェアは現在開発中。
OEM 元である Micron の RealSSD C400 をお使いの場合は、こちらから。
バッファロー製SSDの一部で「5000時間使うとクラッシュする」不具合 (slashdot.jp, 2012.01.26)。バッファローからも出ていたのですね。
》 ドコモで多発する通信障害、スマートフォン急増の落とし穴(1) (東洋経済, 1/25)
調査会社からはつねに高い評価を得ている、ドコモの通信品質。トラブル多発は意外にも思える。だが、システムを構築したNECからは、「やはり」との声が漏れる。
「昨春、すでに想定の数十倍のユーザーを登録していた。設備のキャパシティを超えており、絶対に不具合が起きると思っていた」(spモードの開発に携わった関係者)。
2010年からサービスが開始されたspモードだが、その基盤となるシステムははるか昔、05年に作られたパソコン用のデータシステムだ。当初の想定利用者数はわずか50万人以下。そのシステムに増強に増強を重ね、現在は1200万〜1500万人に対応できるようにしている。
だが、前出のNEC関係者は「場当たり的な対応で、限界がある」と指摘。長年、ドコモでネットワーク基盤の構築に携わった工学院大学の大塚裕幸教授も、「サーバーの構成自体を根本的に見直さなければ、今後の加入者増に耐えられないのでは」と疑問を呈する。
仕様がアレな上に処理能力もアレではどうしようもないか。
》 au向けiPhone 4Sで通信障害、Eメールが利用しにくい状況 (ITmedia, 1/25)。1/24 21:54分〜23:58。
》 【回復】東京都の一部地域においてFOMAの音声・パケット通信サービスがご利用しづらい状況について (第三報 1月25日 14:20更新) (NTT ドコモ, 1/25)。1/25 08:26〜13:08 で FOMA の音声とパケット通信に不具合。機器故障ではなく利用増による輻輳。LTE は問題なし。同時間、他社には不具合なし。
結局、今日のドコモの不具合は、「インフラがショボいのは、ドコモだけ」という理解でいいんだろうか。LTEへの移行ってどのくらい進んでいるんだろう。
……結局機器故障だった模様: ドコモの東京エリア通信障害が復旧、最大約250万人に影響 (日経 IT Pro, 1/25)。マスメディア向けにだけ言っている模様。 公式発表 は 17:55 現在、改訂されてないっぽい。
【お詫び】2012年1月25日のFOMAの音声・パケット通信サービスがご利用しづらい状況について (NTT ドコモ, 1/26) が公開されている。 http://www.nttdocomo.co.jp/info/network/kanto/pages/120125_1_d.html は削除された。リダイレクトくらいすればいいのに。
》 【食品のセシウム新基準】「農家やめるしか...」 一律厳格化に怒り 県、検査態勢を不安視 福島で説明会 (福島民報, 1/24)。新基準に適合できる目処が立たないということ。これこそが現実。
》 【福島の花見山除染】 観光の目玉手つかず 広大、人手が必要 園主の阿部さん「心癒やしてほしいが...」 (福島民報, 1/24)。そこまで手が回らない。
》 【除染技術問題】ガイドライン効果不十分 道路線量下がらず 実証実験の連携に課題 (福島民報, 1/24)
市内で比較的線量が高く毎時1〜2マイクロシーベルト程度が計測されている大波地区の市道では総延長40キロのうち、8.6キロで除染を終えた。ガイドラインに合わせ洗剤を使って高圧洗浄したが効き目がなく、複数の地点で目標とする「毎時1マイクロシーベルト以下」まで線量が下がらなかった。放射性物質がアスファルトの舗装面に、こびりついていることが要因とみられる。「事故後の早い時期なら効果はあったかもしれないが、半年以上過ぎては洗浄だけでは除染は難しい」という。
市は舗装の表面を1ミリ程度削る「ショットブラスト」という手法を用いることで80%近く線量を低減できるとの情報を得て、導入を検討している。ただ、課題は作業経費だ。幅5メートルの道路1キロ当たり約2000万円掛かり、大波地区の道路だけで8億円程度が必要となる。県が示した基準単価の14倍に当たる。
ショットブラストの使用は、ガイドラインに明記されておらず、環境省との個別協議で認定されなければ実施費用は全額、市町村負担となる。
業社から見れば、除染特需か……。作業員の防護も大変だろうけど。
》 〈ニュース圏外〉密かに続くネット流出 さらす側の本音 (asahi.com, 1/25)。Winny 方面。「さらす側」の素顔は……
ネット社や、同様にウィニーのネットワークを解析してきた日本IBMによると、「さらす側」の中心メンバーはわずか2、3人。うち2人が取材に応じた。
一人は、首都圏に住む50代の男性だ。(中略) 興味本位で、06年から収集と公開を続け、今も1日あたり、平日なら5件、週末は10件のペースで流出情報を拾う。(中略)
もう一人は東北地方の60代男性。彼の目的は「カネ」だった。
なお、暴露ウイルスによる情報漏洩は今でも続いているそうで。
ネット社は、企業を対象に暴露ウイルスへの対応を請け負う。流出させてしまった情報に、顧客や取引先の情報が含まれていれば、個別に謝罪を尽くす。ただし、報道発表はしないよう指導する。
同社の杉浦隆幸社長は「顧客や取引先は流出自体で傷ついている。マスコミが報道すれば二重の傷を受けることになる。企業イメージが悪化し、何のメリットもない」と話す。
かくして情報流出は、実態を知られないまま続く。ネット社によると、ウイルスにかかって流出する情報は、いまも月数百件に上るという。
神田大介氏(朝日新聞記者)によるファイル交換ソフトにおける情報漏洩記事裏話 (togetter, 1/25)
》 不正アクセス禁止法改正案、今国会 (第180通常国会) に提出予定。phishing を処罰対象に。
フィッシング:処罰対象を明記 不正アクセス禁止法改正案 (毎日, 1/24)
改正案によると、フィッシングや不正プログラムなどによって他人のID・パスワードを取得することを一律に禁止。フィッシングの典型的な手口である(1)偽サイトをネット上に作成して閲覧可能な状態にする行為(2)偽サイトに誘導するメールを送信する行為——も処罰の対象とした。いずれも「1年以下の懲役または50万円以下の罰金」を科す。
フィッシング:メール400万通 ID不正入手の手口 (毎日, 1/24)
》 スカイツリーから雪塊ポトポト (読売, 1/24)。これはもう、爆撃。
》 出会い系サイト運営業者を訴えてみた(出会い系訴訟の巻): アクアディズ。 出会い系業社を訴えて 100 万円ゲットの記録。 法は武器。
》 3月11日以降の首都圏の地震活動の変化について (東京大学地震研究所, 1/23)。「M7、4年以内に70%」の件。3/11 以降の小規模地震の観測結果に「グーテンベルク・リヒターの法則」を適用すると、M7程度 (M6.7〜7.2) の地震の発生確率は「今後30年間に98%」「4年で70%」となった。
日本であれば,首都圏に限らず,どこであってもM7程度の地震が起きることが考えられます.日本の国土は地震によって作られてきました.日本で暮らす限り,M7程度の地震に備えることは最低条件ですし,逆に,それを繰り返し乗り越えてきたから,今の私たちがあるのです.
首都直下地震のような直下型の地震の場合は,家屋の倒壊や家具の転倒による死者が8割を占めると言われています.実際,阪神・淡路大震災の時はそうでした.逆に言うと,耐震補強をして,家具を留めれば,8割も被害を軽減できるのです.(学校の耐震化は急務です.)
家屋が倒壊しなければ,火災も発生しにくくなります.ブロック塀が倒れなければ,消火活動もスムーズになります.被害はさらに軽減できるでしょう.M7程度の地震から被害を最小限にとどめることは,ひとりひとりの心がけで可能なのです.
今がその時と思って,対策をとってください.
》 RFC6471: Overview of Best Email DNS-Based List (DNSBL) Operational Practices (IETF)
》 JANOG29-パンダシート #janog29 (ヤマハの音とネットワーク製品を語る, 1/23)。 私もてっきり大ハッカーだと思ってました。
》 連邦判事の裁定: 暗号解読のためのパスワードの提供を被告に強制しても違憲ではない (techcrunch, 1/24)
Google、検索対象にGoogle+を含めるサーチ・プラスをローンチ—本格的ソーシャル検索への第一歩 (techcrunch, 1/11)
Googleの言う「あなたの世界」は、Google+だけの世界 (techcrunch, 1/11)
Twitter、Google+とGoogle検索との連携を激しく攻撃 (techcrunch, 1/11)
Google+、実名以外のユーザー名を許容—ただし「すでに広く認められた名前に限る」 (techcrunch, 1/24)
》 Android Marketで許可されなかったアプリ専門のアプリストアができる (techcrunch, 1/21)
》 海外における個人情報流出事件とその対応「無人偵察機を巡るイランの電子戦」(1)GPSは脆弱で操作が簡単 (NetSecurity, 1/24)。関連:
元ねた: Exclusive: Iran hijacked US drone, says Iranian engineer (Video) (Christian Science Monitor, 2011.12.15)
"GPS signals are weak and can be easily outpunched [overridden] by poorly controlled signals from television towers, devices such as laptops and MP3 players, or even mobile satellite services," Andrew Dempster, a professor from the University of New South Wales School of Surveying and Spatial Information Systems, told a March conference on GPS vulnerability in Australia.
"This is not only a significant hazard for military, industrial, and civilian transport and communication systems, but criminals have worked out how they can jam GPS," he says.
Warning on GPS jamming threats (University of New South Wales, 2011.03.11)。関連:
GPS jamming: No jam tomorrow (The Economist, 2011.03.10)
“If you do an internet search on GPS jammers, you get over 300,000 hits, with many of these linking to sites offering them for sale,” says Jim Hammond of the intelligent transport systems working group at Britain’s Association of Chief Police Officers (ACPO). “I’d suggest you don’t get that level of hits for products that nobody buys.” ACPO and Britain’s communications regulator, Ofcom, are urging the government to make it easier to prosecute people who use and sell jammers, and to make their possession a criminal act.
実際に GPS Jammers でぐぐってみよう。$400 くらいですか。
GPS over-reliance driving us toward catastrophe: experts (smh.com.au, 2011.03.11)
On the requirements for successful GPS spoofing attacks: ACM、 System Security Group at ETH Zurich。 CCS2011: 18th ACM Conference on Computer and Communications Security (SIGSAC.org) で発表されました。
》 MegaUpload関連で日本のユーザが逮捕される可能性を考える (GEEK なぺーじ, 1/23)
》 14年連続自殺者3万人についてのライフリンク清水さんのコメント (togetter, 1/10)。 関連: 自殺者急増、上原美優さん「自殺報道」の影響か (ニコニコニュース, 2011.07.04)
》 世田谷区、公共施設の電気を入札で 「脱原発」「脱東電」&節約も (産経 MSN, 1/23)。保坂区長の次の一手。
入札方法は、(1)CO2排出量が低い(2)工場などの廃熱を活用している(3)自然エネルギーへの積極的に取り組んでいる—など区独自の環境負荷低減基準を満たす事業者に入札参加資格を付与。2月下旬、111カ所を2グループに分け、グループごとの入札実施を検討している。契約は4月1日から1年間。
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
[CentOS-announce] CESA-2012:0033 Moderate CentOS 5 php Update (CentOS, 2012.01.18)。CentOS 5 用も出ました。
Linux 2.6.39 以降に欠陥。 /proc/<pid>/mem の処理に欠陥があり、local user による権限上昇を許す。 CVE-2012-0056
git 上では修正されている。関連:
Linux Local Privilege Escalation via SUID /proc/pid/mem Write (Nerdling Sapple, 2012.01.22)
Mempodipper - Linux Local Root for >=2.6.39, 32-bit and 64-bit (exploit-db, 2012.01.23)
[USN-1336-1] Linux kernel vulnerability (Ubuntu, 2012.01.23)。Ubuntu 11.10 用 fix。
Does CVE-2012-0056 affect Red Hat Enterprise Linux and Red Hat Enterprise MRG? (Red Hat, 2012.01.20)。RHEL 6 の kernel 2.6.32-220.el6 以降、Red Hat Enterprise MRG の 2.6.33.9-rt31.75.el6rt 以降が影響を受ける。2.6.39 未満なのだが、この欠陥の影響を受けるそうだ。ただし、↑の exploit は通じない。
SystemTap スクリプトを使った回避方法が記載されている。
RHSA-2012:0052-1 - Important: kernel security and bug fix update (Red Hat, 2012.01.23)。RHEL 6 用 fix。
Linuxベンダー、ルート攻撃コードの出現を受けてパッチ配布を急ぐ Linuxカーネルの脆弱性で攻撃者にルート・アクセス権を握られるおそれ (ComputerWorld.jp, 2012.01.25)
Opera 11.61 出ました。セキュリティ修正 2 件あります。
Manipulation of framed content can allow cross-site scripting (Opera)。Severity: High
Script events can be used to reveal the presence of local files (Opera)。Severity: Low
Google Chrome 16.0.912.77 登場。5 件のセキュリティ欠陥が修正されている。 5 件の内 4 件は AddressSanitizer を使って発見したそうだ。
au スマートフォンにプリインストールされているアプリ「au one market」が、 airpush のような広告をはじめたという話。広告 on だと料金が安くなるとかいったユーザー特典は、なさそう。
次の方法で広告を停止できるそうです。
(1)「トップ」タブを表示させた状態で一番下までスクロール
(2)「広告について」をタップ
(3)「配信停止・再開はこちら」をタップ
(4)ダイアログに表示されたボタンの表示を確認
→「広告表示」の場合は広告が無効状態なのでボタンをタップせずに戻るボタンで戻る(ボタンをタップすると広告が有効になる)
→「広告停止」の場合は広告が有効なのでボタンをタップして無効にする。
関連:
au one Marketが通知領域等に広告を配信しだした件 (togetter, 2012.01.23)
そういえばau one Marketのプッシュ広告配信について、トップページの最上部にお知らせが出るようになりました→ twitpic.com/8atcc2 リンク先はこんな感じ→ twitpic.com/8atcla (@yuhkun 江井 祐司, 2012.01.23)
au one Market 利用規約 (au one)
第8条 その他
(中略)
- 当社は、本サービス、第1項の通知枠(notification枠)、前項のメール等において、当社及び第三者の提供する商品又はサービスに関する広告等の情報を掲載(広告等の情報を表示したページにリンクを貼る行為を含みます)することができるものとします。
- ユーザーは、当社所定の方法で設定を行うことにより第1項の通知枠(notification枠)に広告等の情報を表示させないことができます。また、かかる設定を行った後に、再度当社所定の方法で設定を行うことにより、広告等の情報を表示させることができます。
広告について (au one)
行動ターゲティング広告について (au one)
行動ターゲティング広告は、au oneポータルサイトにおけるお客様の閲覧ページURL情報を、KDDIが収集、蓄積、分析を行いお客様にとってより有益な広告を選び出し、掲載する手法です。
属性ターゲティング広告について (au one)
属性ターゲティング広告は、auお客様属性情報を利用し、お客様にとってより有益な広告手法を選び出し、掲載する手法です。
ターゲティング情報配信の停止について (au one)
KDDIカスタマーサービスセンターにご連絡ください。(中略) ご連絡をいただくことにより、以下のサービスにて、お客様行動履歴、auお客様属性情報を活用した情報の提供が停止致します。
- 行動ターゲティングau oneピクチャー広告
- 属性ターゲティングau oneピクチャー広告
- mediba ad ネットワーク モバイル
- au one 検索の属性情報と連携した天気・占いなどの情報
ステータスバーに広告通知するアプリをチェックできる「AirPush Detector」 (AndroidニュースやアプリのAppLab, 2011.12.05)。AirPush なアプリについては、これを使って発見することで駆逐できるようです。しかし、↓
AirPush Detectorはau one MarketアプリをAirPush入りとは認識しないようですな。 (@typex20 なかのきえた, 2012.01.23)
KDDI putting ads in the notification bar on Android phones (engadget, 2012.01.23)
Of course, the carrier market can't be removed (at least not without a little bit of hackery) which makes this a practically unforgivable offense. Oh, and a quick message to any American carriers considering a similar move: don't even think about it.
ソフトウェア原則 (Google)
》 第7回DBSC早春セミナー 〜 潮目を迎えた、これからの情報セキュリティ対策 〜 (データベース・セキュリティ・コンソーシアム)。 2012.02.17、東京都千代田区、無料。
》 Webフィルタでマルウエアの通信を止める、デジタルアーツがFFRと提携 (日経 IT Pro, 1/23)
》 「Yahoo!ニュース」のコメント機能、投稿主のプロフィールがわかるように (Internet Watch, 1/20)。具体的には「表示名」が追加される。
変更は、過去に投稿したコメントにも適用される。また、投稿主が公開しているYahoo!プロフィールの情報も参照できるようになるため、事前に自分の表示名などを確認しておくようヤフーでは呼び掛けている。
関連: Yahoo!ニュースコメントガイド (Yahoo! JAPAN)
》 首都直下地震:発生確率4年以内に70%…東大地震研試算 (毎日, 1/23)。いよいよ来るか。 東京大学地震研究所 にはまだないみたい。
》 「脱ってみる?」リニューアルお知らせの件。 (マガジン9, 1/18)
》 浜岡原発、3日程度で燃料棒露出 中電が「電源喪失」試算 (中日, 1/20)
試算は昨年10月、静岡県が中電に依頼した。県は今年2月、浜岡原発が地震と津波被害を受けたとの想定で図上訓練を実施する予定で、訓練内容を固めるため、使用済み核燃料プールで冷却水が蒸発し、燃料ペレットを覆う被覆管が溶け出すまでにどれだけかかるかを試算するよう要請。中電が出した結果は、25日程度だった。
中電は参考として、原子炉について、燃料棒の頂点部分が水面と同じ高さになって露出するまでの日数を3日程度と算定した。
》 災害救助ロボ、コンビで原発へ 万一の際は相棒救出 (朝日, 1/20)。Quince 再び。
》 うるう秒、各国の対立解けず 議論12年…存廃先送り (朝日, 1/20)。あらら。
「添付ファイルの開封率は1割」、6万人対象の標的型攻撃訓練 (日経 IT Pro, 1/23)
「標的型不審メール攻撃訓練」結果の中間報告 (NISC, 1/19)。 1回目 10.1%、2回目 3.1%。
》 標的型サイバー攻撃の事例分析と対策レポートを公開〜攻撃の流れを把握し、複数の視点から総合的な対策を〜 (IPA, 1/20)
核物質検査法人:原子力業界から役員 賛助会費も受領 (毎日, 1/18)
核物質検査法人:公正性に疑念 「なれあい体質」脱却を (毎日, 1/18)
》 避難判断にSPEEDI使わず…安全委が改定案 (読売, 1/18)。「原子力安全委員会の作業部会」がどこの部会なのか書いてくれ……。
》 「殺す」「殺せ」に大喝采…米共和党TV討論会 (読売, 1/18)。殺人狂時代。
》 電力需給:政府今夏試算「6%余裕」伏せる (毎日, 1/23)
公表された試算は、東京電力福島第1原発事故を受け、エネルギー戦略を見直している政府のエネルギー・環境会議が昨年7月にまとめた。過去最高の猛暑だった10年夏の需要と全原発停止という想定で、需要ピーク時に9.2%の供給不足になると試算した。
この試算とは別に、菅直人首相(当時)が昨年6月下旬、国家戦略室に置いた総理補佐チームに、電力需給の実態把握を指示。経済産業省に対して、発電所ごとの設備容量・稼働可能性、地域ごとの再生可能エネルギーの稼働状況など、試算の根拠データの提出を求め、再試算させた。
その結果、現在の法律に基づいて電力会社が調達できる再生可能エネルギー容量は759万キロワット(原発約7基分)あったのに、公表された試算は供給ゼロだった。また、一部火力発電所で定期検査による稼働停止時期を猛暑の8月に設定したり、大口契約者への格安電気料金と引き換えに需給逼迫(ひっぱく)時の利用削減を義務づける「需給調整契約」による削減見込みもゼロとしていた。夜間の余剰電力を昼間に利用する「揚水発電」の供給力も低めに設定されていた。
再生可能エネルギーによる電力供給などを盛り込むシナリオで計算し直すと、電力使用制限令を発動しなくても最大6.0%の余裕があった。再試算は昨年8月にまとまり、菅首相に報告されたが、公開されなかった。
電力は、余ってた。
》 福井弁護士のネット著作権ここがポイント TPPで日本の著作権は米国化するのか〜続報:知的財産Q&A編 (Internet Watch, 1/20)
関連:
TPP、著作権問題続報。アメリカから非親告罪化、画像やテキストの全著作物の私的ダウンロードを罰則化の要求出る! (togetter, 1/17)
「表現の自由」と「知的財産権」の衝突 (こくちーず)。2012.02.25、東京都文京区、無料。
イタリア客船会社、意外にも乗客乗員にみっちり避難訓練 (ウォール・ストリート・ジャーナル日本版, 1/17)。だからこそ、乗客の多くが自力で脱出できたのかな。
伊豪華客船船長 座礁1時間後に女性とディナー注文 (スポニチ, 1/22)。この「女性」は↓の人。
伊客船事故、謎のモルドバ女性が船長を擁護 「彼は英雄だ」 (AFPBB, 1/20)
》 消費税増税に関するコメンテーターの発言が「主権在官」を裏付けている! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 1/14)
》 「FileSonic」がMegaupload閉鎖の影響かファイル共有機能を無効に (gigazine, 1/23)
》 スタジオパーク 「あなたも危ない?ネット依存」 (NHK 解説委員室, 1/20)
Q.依存というと、アルコールや薬物など治療が必要なものもあると思いますが、ネット依存もそういうことがあるんですか?
A.単にネットが好きなだけなのか、やめられないほどの状態なのか境界線が曖昧なだけに、一般的な依存症と同じように扱うべきかどうか専門家の間でも議論があります。ただ、国内では、依存症を専門に扱う神奈川県横須賀市の国立病院機構「久里浜アルコール症センター」が、初めてネット依存の治療に専門に取り組む部署を去年開設しました。さきほど紹介したネット依存度テストは、センターがホームページ上で公開しているものです。センターによりますと、このテストで70点以上の人は、すぐに治療の必要があるとしています。私もネットはよく使うほうなんですが、23点で、平均的なネットユーザーという判断でした。
テストはネット依存治療部門 (久里浜アルコール症センター) から。
》 時論公論 「2012年 朝鮮半島は」 (NHK 解説委員室, 1/19)。北の国から 2012。
》 Inside Appleの著者に聞く: Appleの組織がテロリスト集団に似ている理由 (techcrunch, 1/20)
Appleが絶対に奨励しないものは、オープンでフレンドリーな文化である。
うわは。
》 東京のユーシーテクノロジから温度や放射線量を自動測定して無線でTwitterに投稿する「つぶやくセンサー」発売へ (techcrunch, 1/20)。おもしろそうなんだけど、けっこういいお値段だなあ。
》 マスコミを「マスゴミ」と呼ばせないための補訂版が出版されました!〜マスコミはなぜマスゴミ… (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 1/11)。
》 予約開始!「検証福島原発事故・記者会見—東電・政府は何を隠したのか」 (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 2011.12.28)。 出ましたね。手元にも届きました。
》 朝日新聞社のTwitterアカウント一覧。『「プロメテウスの罠」取材班』はないなあ。
》 プロメテウスの罠 防護服の男 「頼む、逃げてくれ」 (朝日新聞 WEB新書)。こういう売り方をしていたのか。
》 Anonymousが米政府などにDDoS攻撃、気付かずに加担するユーザーも (Internet Watch, 1/23)。LOIC ではなく、JavaScript で構築された DoS ツールを Web 上で提供。関連:
Click on an Anonymous link, and you could be DDoS'ing the US government (Sophos, 1/20)
Javascript DDoS Tool Analysis (SANS ISC, 1/22)。
》 Romanian NASA hacker gets suspended three-year sentence (Sophos, 1/20)
》 Alleged Russian cybercriminal extradited to the US (Sophos, 1/19)
》 The Koobface malware gang - exposed! (Sophos, 1/17)
》 民主主義とされる国で世界最悪の日本の選挙制度がさらに改悪されようとしている… (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 1/18)。「衆院比例定数 80 削減」の真実。少数政党を叩きのめして終了。
》 現役東電社員バレた安斉あきら杉並区議、HPとブログ閉鎖 (ざまあみやがれい!, 1/23)
》 「マイナンバー」番号制度システムは3段階で稼働 (日経 IT Pro, 1/16)
》 警戒区域の野生化牛 筋肉被ばく、血液の20〜30倍 (河北新報, 1/15)
その結果、血液から1キロ当たり60ベクレルが検出された牛のモモから1800ベクレルが測定されるなど、骨格筋に20〜30倍の濃度で放射性セシウムが蓄積していることが確認された。舌や肝臓などの臓器は血液濃度の約10倍だった。蓄積が心配されていた甲状腺ではほとんど測定されなかった。
また、ガンマ線を放出する「放射性銀」は肝臓に、化学毒性が強い「放射性テルル」は腎臓に、それぞれたまっていた。牛の胎児の各臓器に蓄積した放射性セシウムの濃度が、親牛より1.3倍ほど高いことも分かった。
》 タミフル、インフルエンザ治療効果に疑問 (読売, 1/18)。コクラン共同計画の調査報告。 Neuraminidase inhibitors for preventing and treating influenza in healthy adults (The Cochrane Library)
》 オリンパスの闇「メインバンク」三井住友と三菱東京UFJがウッドフォード氏を「門前払い」した、「真の理由」 (日経 BP, 1/13)。関連:
オリンパス:上場維持 株主への影響配慮 東証審査基準、あいまいさに批判 (毎日, 1/21)
オリンパス株価が2週間ぶりの上昇率、東証による上場維持を好感 (ブルームバーグ, 1/23)
再送:〔焦点〕オリンパス<7733.T>の上場維持、複数の不確定要因が残り視界不良 (ロイター, 1/23)
ソニーを軸に最終調整! オリンパス業務提携先めぐる交渉で週内にも記者会見 (ダイヤモンド, 1/23)
オリンパス株主が集団提訴へ、計約2億円強の損害賠償請求=関係筋 (ロイター, 1/23)
東証の出来レース (FACTA, 1/23)
理事長の林氏にいたっては、株式会社後の財務省(大蔵省)天下りポスト確保が最大の使命であり、もとから何もしない腰掛けだった。中国株の処分についても、本誌は本人に直に質したことがあるが、「うちがやることには限界があって」と言い逃れに終始していらした。
林さん、胸が痛まないのか。自主規制法人の名がおこがましい。これは歴史に残る「お手盛り」決定であり、本誌は「日本の資本市場を三流にした張本人」としてあなたを断罪する。
》 時論公論 「原発事故調査 今後の焦点」 (NHK 解説委員室, 2011.12.27)。畑村委員会の件。関連:
東電福島原発における事故調査・検証委員会の中間報告に対し、意見を述べよう! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 1/2)。締切は1月末。
事故調査・検証委員会(畑村委員長)の中間報告書の問題点その2 (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 1/4)
》 ゲイ出会い系アプリ「Grindr」がハッキングされ、ユーザ情報流出の危機に (みやきち日記, 1/21)、Love online: 100,000 Grindr users exposed in hack attack (smh.com,au, 1/20)。まっとうな認証機構がなかったということですかね。
SOPA反対運動が議会を揺るがす: 昨日は反対31名, 今日は122名 (techcrunch, 1/20)
SOPA、一旦凍結の見通し(でもまだまだ諦めんよ) (P2Pとかその辺のお話, 1/21)
米国議会、SOPAおよびPIPA法案の裁決を延期 賛否両論の新著作権法に対するネット抗議活動が実り、立法府が裁決を保留——海賊行為撲滅手段の再考へ (ComputerWorld.jp, 1/23)
モジラ、SOPA/PIPAに対する抗議行動への貢献をアピール 「Mozillaユーザーが36万通の電子メールを米国議員に送付」と報告 (ComputerWorld.jp, 1/23)
The Internet at its Best (EFF, 1/18)。#SOPAblackout 参加サイトの紹介。
Oracle Critical Patch Update Advisory - January 2012 (Oracle) の件。MySQL 27 件が目立ってるなあ。Oracle DB の修正は 2 件。
関連: オラクルはDB製品のパッチ提供がなおざり——セキュリティ・ベンダー幹部が批判 オラクルは、「DB製品はすでにほとんどのバグが除去済み」と説明 (ComputerWorld.jp, 2012.01.18)
JVN#54779201: Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.01.20)
》 「半世紀で最大のスパイ事件」カナダ軍将校逮捕 (読売, 1/19)
「Megaupload」閉鎖&FBIが運営者を逮捕、驚愕の運営実態と収益額が判明 (gigazine, 1/20)
・Megauploadの従業員はYouTubeからムービーをコピーしてサイト利用を促進していた、証拠として「YouTubeのムービーをダウンロードし続けるサーバを有効にしておく?キム(Kim Schmitz)はこれが最優先だと言っている」「キムは本当はYouTubeの内容を1対1で(丸ごと)コピーしたい」といったメールが残っている。
・他のメールでは、幹部が特定のDVDや作品をアップロードしたユーザーに対してどう報奨金を与えるか議論していた様子が記録されている。
「違法ファイルがアップ可能な状態にあった」というだけであればYouTubeなども同じように閉鎖になりそうですが、訴状の10ページ目「21」「22」がおそらく核心に迫る部分で、著作権者が削除申請ツールを使って削除したとしても、実際にはアップロードされたファイルには複数のリンク用URLが存在し、実際のサーバ上のファイルが削除されるわけではなく、そのURLのうちの1つが削除されるだけであり、この削除依頼ツールは実質的には機能していなかったようです。
Megaupload が司法省の捜査により閉鎖、報復攻撃が進行中 (engadget, 1/20)
》 シマンテック、2006 年に複数製品のソースコードが流出していた事実を認める
シマンテックのソースコードに関するアノニマスの主張について (シマンテック, 1/17)
シマンテックは、ソースコードの一部が不適切なアクセスを受けたことを確認しました。ソースコードを公開すると言うアノニマスの申し立てを受けて調査した結果、シマンテックでは、2006 年に起きたソースコード盗難の結果に起因するものであると考えます。2006年以来、シマンテックでは、類似した事故の発生を防ぐために、複数のポリシーや手順を策定しています。(中略)
シマンテックの社内調査によると、ソースコードの盗難はNorton Antivirus Corporate Edition、Norton Internet Security、Norton SystemWorks (Norton Utilities および Norton GoBack)、これら 3 製品の 2006 年版、pcAnywhere 12.0、12.1、12.5. に限定されます。 Symantec Endpoint Protection (SEP) 11.0 と Symantec AntiVirus 10.2 は、開示されたソースコードのごく一部しか使用されてなく、開示されたソースコードは古いため、最新のセキュリティ設定であれば初期設定で十分に生じ得る脅威に対抗することができます。
なんだか日本語が若干怪しいが、疑問な点は 英語版も参照。
pcAnywhere を使用している場合、何をすべきでしょうか。
一般的に、リモートコントロール製品をご使用の場合、常に物理的なセキュリティ、エンドポイントのセキュリティ、ネットワーク境界のセキュリティ、安全なリモートアクセスに関する一般的なセキュリティ対策 (ベストプラクティス) に準じていただくことが重要です。たとえば、すべてのコンピュータに常に最新のエンドポイント保護テクノロジをインストールすべきです。企業のファイアウォールは、VPN トンネルを使用しない pcAnywhere の、インバウンド (インターネットから企業内ネットワークへ) のアクセス、およびアウトバウンド (企業内ネットワークからインターネットへ) のアクセスを許可しないように設定してください。
権限のない社員が企業の資産へのアクセスを許可しないように設定してください。また pcAnywhere の設定は、一般的なセキュリティ対策 (ベストプラクティス) に準じた設定にすべきです(パスワードの強度、パスワードの再試行回数、リモート接続にユーザーの承認を必要とするなど)。
Symantec says hackers stole source code in 2006 (Reuters, 1/17)
》 第24回日本リスク研究学会 若手WS 若手による次の時代のリスク評価を考えるワークショップ −ポスト3.11.のリスクガバナンスの失敗学− 資料及び報告 (リスク評価勉強会, 1/4)
・講演スライド
1.科学者の行動の失敗学 保高徹生(産総研) 準備中(ごめんなさい。)
2.リスク評価の失敗学 小野恭子(産総研) PDF (2.4MB)
3.リスク管理の失敗学 永井孝志(農環研) PDF (1.6MB) ※
4.総括スライド 岸本充生(産総研) PDF (0.2MB)
・若手WS開催報告 PDF(0.2MB)
イラン:通貨、闇市場で暴落 米欧の制裁懸念、ドル買いに走る市民 (毎日, 1/18)
米政府、イランに書簡 海峡封鎖は一線越える行為と警告 (CNN, 1/19)
中国、ホルムズ海峡封鎖反対 イラン制裁に加わらぬ姿勢 (asahi.com, 1/19)
イラン:科学者暗殺・施設爆発…強まるモサド関与説 (毎日, 1/19)
親日国・イラン制裁で官民異論百出、日米協議は結論持ち越しへ (ロイター, 1/19)
》 IC乗車券、使用不能に 名古屋駅で入金の195枚 (中日, 1/19)
不具合になったカードは今後も使えないため、
うわ。使用不能になっちゃうんだ……。
》 岐阜・愛知・三重でインフル急増 全国1〜3位独占 (asahi.com, 1/19)、 インフルエンザ流行レベルマップ 2012年 第01週 (1月2日〜1月8日) 2012年1月11日現在 (国立感染症研究所 感染症情報センター)
都道府県別では岐阜県(16.60)、愛知県(16.22)、三重県(15.17)、香川県(9.35)、滋賀県(8.85)、沖縄県(8.40)、宮城県(7.98)、岡山県(7.79)の順となっている。25都府県で前週の定点当たり報告数よりも増加がみられた。
》 偽名保険証で携帯入手=ネット契約、通院も—出頭時、数百点を提出・斎藤容疑者 (ウォール・ストリート・ジャーナル日本版, 1/12)
斎藤容疑者は10日未明に警視庁大崎署に出頭した際、勤務先の整骨院で名乗っていた「吉川祥子」名義の保険証と携帯電話を任意提出した。 (中略) 同容疑者は「保険証は勤務実績を元に入手した」「住民票や戸籍は偽造しておらず、保険証で携帯を契約した」などと話しているという。
》 The Koobface Saga (trendmicro blog, 1/18)
検察側は「捜査段階から隠滅を自白した供述は信用性が高い」などと反論していたようであるから、さぞかし、具体的で詳細な自白調書なのであろう。
しかし、自白調書とは、お巡りさんがパソコンを叩いてつくるものなのである。具体的で詳細等という理由で、安易に自白の信用性を肯定する裁判所もあるが、捜査側は、そのような裁判所の認定方法にあわせて、客観証拠と合致する詳細かつ具体的に作文をすることが常態なのである。
そして、どんな作文も、厳しい取調の結果、署名しさえすれば自白となる。
》 千葉県警、防犯カメラ映像軽視か 15年前の誤認逮捕 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 1/19)
被疑者らが犯人であることに疑問を投げかけている消極証拠に対する検討が不十分なまま、安易に、一部の者の「自白のようなもの」に依存して暴走してしまった、この捜査の問題は、こういった捜査が、いつ、どこでも起き得るもので、誰もが冤罪被害に遭いかねないことを指し示していると思います。
》 中国の犯罪者、「Sykipot」の新種で米国防総省のスマートカード・システムを攻撃 アクティブ・アイデンティティ製のシステムが標的 (ComputerWorld.jp, 1/16)
》 「Appleではすべてが秘密だ」 (techcrunch, 1/19)。Apple 製品は、使うだけにしておくのがいちばん幸せっぽいなあ。
》 時論公論 「イスラム勢力圧勝のエジプト選挙」 (NHK 解説委員室, 1/17)、 ピックアップ@アジア 「イスラム勢力圧勝 エジプト議会選挙」 (NHK 解説委員室, 1/18)。ムスリム同胞団の「自由公正党」が第1党。
1年前、民衆革命の火付け役となった「4月6日運動」のリーダー、 ターレク・フーリーさんに話を聞きました。
【ターレク・フーリーさん】
「革命当初は、ムバラク政権打倒の目標で団結していたが、 政権が倒れると分裂してしまった。
尊敬できる革命のリーダーがいなかったのは失敗だった。 軍の最高評議会が、革命を挫折させようと、われわれの分断を図った。 イスラム勢力もこれに加担した」。
フーリーさんは、 「自分たちが始めた民衆革命が、 軍の最高評議会とムスリム同胞団に乗っ取られてしまった」 と語っています。
》 日本人を狙う、スマートフォンアプリを使ったワンクリック詐欺 (シマンテック, 1/13)
》 ウイルス供用容疑で業者逮捕 京都府警、全国初の適用 (京都新聞, 1/18)、 「4クリック詐欺」サイト運営者5人、ウイルス共用容疑で逮捕〜京都府警 (産経 / Internet Watch, 1/19)、 ウイルス感染させた業者逮捕 アダルト動画サイトのクリックで (47news.jp, 1/18)。 「京都、埼玉、和歌山3府県警」の成果だそうで。
サイト利用者から料金を集める「ワンクリック請求」の実行グループを昨年7月に新設の同容疑で逮捕したのは全国で初めて。
府警は、グループの送信したプログラムはパソコン利用者が消そうとしても消えないなど意図に沿わない動作を指令していることから、ウイルスに当たると判断した。
関連:
Kyoto Prefectural Police Arrest Suspects Related to One-Click Billing Fraud (trendmicro blog, 1/18)。匿名希望さん情報ありがとうございます。
日本語版出てました: 京都府警がワンクリ詐欺犯をウイルス供用の容疑で逮捕 (トレンドマイクロ セキュリティ blog, 1/19)
ウイルス感染させた業者逮捕 アダルト動画サイトのクリックで (壇弁護士の事務室, 1/19)
ZDI-11-345 : TrendMicro Control Manager CmdProcessor.exe AddTask Remote Code Execution Vulnerability
2012.01.16 に出てました: Trend Micro Control Manager 5.5 Critical Patch (ビルド 1613)公開のお知らせ (トレンドマイクロ, 2012.01.16)
OpenSSL Security Advisory [18 Jan 2011] (原文ママ) (OpenSSL.org, 2012.01.18)。 OpenSSL 1.0.0f / 0.9.8s における、 DTLS Plaintext Recovery Attack (CVE-2011-4108) への対応部分に欠陥があり、 DoS 攻撃を受けることが判明。CVE-2012-0050。
OpenSSL 1.0.0g / 0.9.8t で修正されている。iida さん情報ありがとうございます。
イタリア沖の大型客船座礁、船長を拘束 41人不明 (AFPBB, 1/15)
伊大型客船所有会社「船長が判断ミス」、死者5人に (AFPBB, 1/16)
イタリア・クルーズ船座礁、島への「ごあいさつ」が原因か (AFPBB, 1/16)
一部の目撃者は、多くの乗船客が食事を取る中、上甲板を明るく照明された同船は、ジリオ島の住民たちに見守られながら島のごく近くを通過していたと話している。豪華クルーズ船が繰り広げるこの壮大な光景は、地元で「インキーノ(お辞儀)」と呼ばれていたという。
15日のイタリア紙スタンパ(Stampa)は、ジリオ島のセルジオ・オルテッリ(Sergio Ortelli)市長がコスタ・コンコルディア号の船長に、過去に行われていたこのような航行による「素晴らしいスペクタクル」に感謝する2011年8月付けの手紙を掲載した。
イタリアの座礁事故、依然29人不明 沿岸警備隊が伊紙報道を否定 (AFPBB, 1/17)。「沿岸警備隊はこれまでに6人の遺体が見つかったと述べ、7人目の遺体が発見されたという伊紙の報道を否定した」
伊座礁事故船長、「戻れ」の指示聞かず救助義務放棄 死者11人に (AFPBB, 1/18)。「依然として24人前後が行方不明となっている」
島の住民を喜ばせるための「儀式」が裏目に? 島に寄り過ぎ座礁か (産経 MSN, 1/17)
救命ボート、先に乗員 ずさんな避難対応にあきれ (産経 MSN, 1/18)
》 在トルコ米大使館、領事館に対するテロ(革命防衛隊) (中東の窓, 1/18)。イラン革命防衛隊が在トルコ米大使館、領事館に対するテロを計画?! という話。
》 1/17 16:10 ごろ、南いわき開閉所で不具合発生、夜ノ森線1・2号が瞬停
送電トラブルでプール冷却一時停止 福島第1、第2原発 (産経 MSN, 1/17)。あいかわらず夜ノ森線が命なのか。
女川原発でプール冷却停止 温度上昇はなし (産経 MSN, 1/17)。 影響が出たのは女川1号機のみ。
工場生産ストップ、蛍光灯点滅…東電設備トラブルで影響相次ぐ (産経 MSN, 1/17)
福島第一原子力発電所プラント状況等のお知らせ(1月18日 午前10時00分現在) (東電, 1/18)。本件に関する記述あり。
》 SOPAを巡る抗議行動、Googleもリンク掲載で参加へ---米メディアが報道 (日経 IT Pro, 1/18)。Wikipedia の 1/18 抗議にあわせて Google もリンク追加。 O'Reilly も O'Reilly will go dark on January 18 だそうで。
……はじまったようですね。 http://en.wikipedia.org/ 以下がブラックアウトしています。http://ja.wikipedia.org/ などには変化はありません。
関連: 著作権者団体とWeb 2.0的IT企業の対立 なぜWikipediaは停止するのか——SOPA抗議活動をひもとく (@IT, 1/18)
》 彷徨える艦隊 7 戦艦ドレッドノート (ハヤカワオンライン)。第2部開始。1/25 発売ですか。
》 日産自動車、世界初の自己修復型iPhoneケースを発表 (techcrunch, 1/18)。欧州日産によるテスト品。
》 食べログの評価でヤラセの可能性が高いかどうかを判定する「ステログ」 (gigazine, 1/17)
》 Use of Mixed Case DNS Queries (SANS ISC, 1/18)、Increased DNS forgery resistance through 0x20-bit encoding: security via leet queries (ACM)
》 在外公館で何が起きているのか (河野太郎公式ブログ ごまめの歯ぎしり, 1/17)
現在、大使館、広報センター、領事局と三つの建物に分かれている大使館機能を統合するために、新しい大使館が建設されたのだが、建築確認では吹き抜けになっているはずのところに部屋を作ったということが理由で、中国当局から引っ越しに待ったがかかり、引っ越しができないでいる。
そりゃそうだろう。
このため、設計図通りに吹き抜けを復活させるのかと思いきや、日本にある中国の公館に何らかの便宜を図ることとバーターで引っ越しを認めさせるような取り決めが検討されているという噂もある。
なんじゃそりゃあ。
》 Windows サーバー管理者は GUI レスに備えておくべし (slashdot.jp, 1/18)、Windows Server 8: Server Applications and the Minimal Server Interface (Microsoft Server and Cloud Platform Blog, 1/11)
In Windows Server 8, users can transition between Server Core and Server Graphical Shell at any time, with a single command and a single reboot.
Windows Server 8 では、Server Core ←→ GUI はいつでもコマンド一発で切りかえられる。再起動は必要。
In Windows Server 8, the recommended application model is to run on Server Core using PowerShell for local management tasks and then deliver a rich GUI administration tool capable of running remotely on a Windows client.
Windows Server 8 では Server Core を推奨ですか。 Windows もそういう時代なのですね。 コマンドラインシェルも、PowerShell なら十分強力だしなあ。
In addition to Server Core and Server Graphical Shell, we are introducing a new experience in Windows Server 8 called the Minimal Server Interface. The Minimal Server Interface enables most local GUI management tasks without requiring the full GUI Shell or Internet Explorer to be installed. It is an intermediate state that is installed by enabling the Graphical Management Tools and Infrastructure Windows feature and not enabling the Server Graphical Shell feature.
Minimal Server Interface ですか……。見てみないことにはいまいちイメージつかめないなあ。
》 原発:40年廃炉 例外は60年 最長20年延長、政府容認へ (毎日, 1/18)。結局何も変わらない、変えられない民主党。
》 新型インフル対策 法案提出へ (NHK, 1/18)。 新型インフルエンザ及び鳥インフルエンザ等に関する 関係省庁対策会議(第48回) (内閣官房, 1/17) の件。まだ「たたき台」段階。会議時間30分。
Debian 6.0 (squeeze) は linux-2.6 (2.6.32-40) で修正されています。
Contents of /dists/squeeze/linux-2.6/debian/changelog Revision 18535 (anonscm.debian.org)
しかし DSA-2389-1 linux-2.6 -- privilege escalation/denial of service/information leak として 2012.01.15 にリリースされたのは 2.6.32-39 のようで。 これでは直っていない模様。 関連: Debian Package Tracking System - linux-2.6 (debian.org)
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
HashTableのアルゴリズムを突いたDoS攻撃 (水無月ばけらのえび日記, 2012.01.18)
VU#723755: WiFi Protected Setup PIN brute force vulnerability
reaver-wpsでWPAのキーをクラックしてみたよ (bogus press, 2012.01.07)。NEC Aterm WR4100N での WPS クラック事例。
複数ベンダのtelnetdのlibtelnet/encrypt.cにおける任意のコードを実行可能な脆弱性(CVE-2011-4862)に関する検証レポート (NTTデータ先端技術, 2012.01.17)。FreeBSD 8.2 および Debian 6.0.2 で検証。
Windows Packager設定における任意のコードを実行可能な脆弱性(MS12-005)(CVE-2012-0013)に関する検証レポート (NTTデータ先端技術, 2012.01.17)
MS12-007 - 重要: AntiXSS Library の脆弱性により、情報漏えいが起こる (2607664) が改訂されています。アップグレードパッケージが、AntiXSS Library version 4.2 から AntiXSS Library version 4.2.1 に更新されたそうです。
Adobe ReaderおよびAcrobatにおけるU3Dの処理の脆弱性(CVE-2011-2462)に関する検証レポート (NTTデータ先端技術, 2012.01.17)。Windows XP SP3 + Adobe Reader 9.4.6 での検証結果。
》 2011年を振り返る−1)セキュリティ業界、サイバー犯罪撲滅に貢献 (トレンドマイクロ セキュリティ blog, 1/17)
》 NSA releases security-enhanced Android (H Online, 1/16)。SE Android。
》 現地ルポ・振り切れた測定器の針 ジャーナリスト豊田直巳氏 (京都新聞, 2011.03.22)。 福島第一原発 JVJA DAYSJAPAN プレスリリース (森住卓のフォトブログ, 2011.03.13) の件、京都新聞では 3/22 に紙面になっていたのですね。2011.03.13 時点でのふくいち 3km 地点の放射線量。
原発から約3キロの同病院 (小島注: 双葉厚生病院) 前でも測定器の針は100マイクロシーベルトで振り切り、上限に張り付いたまま。そこで1000マイクロシーベルト(1ミリシーベルト)まで測定できるガイガーカウンターを取り出したが、これもガリガリガリと検知音を発し、瞬時に針が振り切れた。「信じられない。怖い」。私は思わず声に出していた。
》 日本語が読めなくても毎日新聞社会部副部長はつとまるらしい件 (八木啓代のひとりごと, 1/17)。毎日新聞社会部、終了。
》 SPEEDI情報 米軍に提供 (NHK, 1/17)。日本政府「米軍様の生命・財産は、国民の生命・財産よりも優先して守らせて頂きます!」
国会の事故調査委員会は、16日、政府の事故調査・検証委員会の畑村委員長や東京電力の事故調査委員会の委員長を務める山崎副社長らを参考人として招致し、公開で初めての本格的な質疑を行いました。この中で、文部科学省科学技術・学術政策局の渡辺次長は、放射性物質の拡散を予測する「SPEEDI」と呼ばれるシステムで、事故の直後に行った予測のデータについて、外務省を通じて直ちにアメリカ軍に提供していたことを明らかにしました。
直ちに!!
SPEEDIのデータは、文部科学省が「実態を正確に反映していない予測データの公表は、無用の混乱を招きかねない」として、一部を除き、事故の発生から2か月近く公表しませんでしたが、アメリカ軍に提供した理由について、渡辺次長は「緊急事態に対応してもらう機関に、情報提供する一環として連絡した」と説明しました。
自国民よりも米軍の方が大切。
》 Oracle、データベースなどの定例アップデートを予告 (ITmedia, 1/17)。明日。
》 NHKスペシャル 知られざる放射能汚染〜海からの緊急報告〜を見て (3.11東日本大震災後の日本, 1/15)
》 A Robocopy command updates DACLs incorrectly in Windows 7 or in Windows Server 2008 R2 (Microsoft KB 2639043)。patch あり。
》 歯科・美容外科の口コミサイトでもステマ 業者特定急ぐ (ITmedia, 1/16)。そりゃまあ、やらせはいろいろあるだろうなあ。
》 ウェブページ改ざんと事業継続 (まるちゃんの情報セキュリティ気まぐれ日記, 1/16)
インターネットで事業の大半を行っている会社のBCP等の検討をしたことがあるのですが、当然に外部や内部からの攻撃によるウェブサイトの閉鎖は事業継続上問題となるので、代替策を考えないといけないのですが、なかなか有効な方法がないのが現状だと思います。
もちろん、攻撃を受けても改ざんされないような予防的な対策が重要なのですが、それでは予防しきれない想定で、改ざんを受けたときにどのように対応するのかが重要となります。
一般的には、原因究明と改善をした後にウェブを再開するというのが重要ですね。。。そのためには、通常時から、予防的対策や発見的対策を適切に行っておく(PDCAをまわす)ことが重要ですね。。。
関連:
同志社大のHPが閉鎖 京都 (産経 MSN, 1/15)
サイバー攻撃で260人情報流出…北九州市立大 (読売, 1/12)
》 オリンパス:歴代監査役5人が84億円の損害 調査報告書 (毎日, 1/17)、第三者委員会など調査委員会報告 (オリンパス)
》 自炊って結構バランスいいかも(少なくとも現時点では) (Geek なぺーじ, 2011.12.27)
》 ストールマンは正しかった話と汎用コンピュータ戦争話の日本語訳 (YAMDAS現更新履歴, 1/16)
》 Yahoo!知恵袋“やらせ投稿”報道は「誤解生じる」、JALUXが事情説明 (Internet Watch, 1/17)。やらせを依頼したのは JALUX ではなくデリコ・インターナショナル。
》 JAXAの「平和目的」削除へ (NHK「かぶん」ブログ, 1/14)。 宇宙開発戦略本部で「報告書」がまとめられたそうなのだが、 宇宙開発戦略本部 (首相官邸) にはないっぽい。
》 ちょっといいセキュリティの資料とツール その 2 - MOICE (標的型攻撃メール対策に効果あり) (日本のセキュリティチーム, 1/15)
》 Joint Strike Fighter Test Report Shows Heightened Problems with F-35B and Risks of Excessive Concurrency (POGO, 1/13)
米海軍F35C艦載機、設計に欠陥 空母に着艦できず (中国網, 1/15)。7インチは18cmくらいですよ中国網さん(7フィートの間違い)。
元ねた / 詳細: Commentary on F-35 Joint Strike Fighter Concurrency Quick Look Review (POGO)、 Leaked Pentagon Report Reveals Slew of Joint Strike Fighter Problems (POGO, 2011.12.15)。着艦試験を 8 回実施して 8 回とも失敗。一度も成功していない! アレスティングフックを再設計して対応しようとしているのだけど、これが失敗すると、機体設計をいじるしかという話になり、とんでもなく手間がかかってしまう。機内弾倉と単発機とアレスティングフックは相性が悪いのだなあ。 まぁ、無理矢理この機体の大きさにしたのがそもそもアレだったのだろうけど。 STOVL までまとめちゃったのがなあ。
米次世代戦闘機F35、試験段階で技術的問題 (AFPBB, 2011.12.17)
》 ハッカー集団Yama Tough、「Norton AntiVirus」のソースコードを公開すると脅迫 (CNET, 1/17)。US 時間 1/17 リリース予定。
》 Amazon傘下のZapposで顧客情報が流出、2400万人に影響か (ITmedia, 1/17)
》 ブラザーの最新刺繍ミシンで「ローラ アシュレイ」! (PC Watch, 1/17)。いまどきのミシンはこんなにすごい。 というか、なぜ PC Watch ……。
》 Wikipedia、海賊行為防止法案に抗議して1月18日のサービスを停止 (techcrunch, 1/17)。SOPA 話。US 時間。
》 ウイルスバスターのアップデート機能が一時的に利用できない問題について (トレンドマイクロ, 1/17)。今朝未明から12:10 ごろまで。Benjamin さん情報ありがとうございます。
An Error in DDNS Processing of DHCPv6 Leases Can Cause a Crash in ISC dhcpd (ISC, 2012.01.12)。DHCPv6 および Dynamic DNS を利用している場合は 4.2.3-P2 に更新を。 CVE-2011-4868
Secunia Advisory SA47410: Apache HTTP Server Scoreboard Invalid Free Security Bypass (Secunia, 2012.01.13)。Apache 2.0.x / 2.2.x 話。SVN 版では修正されている。 詳細: ApacheScoreboardInvalidFreeOnShutdown (halfdog.net, 2012.01.11)。 CVE-2012-0031
CVE-2011-3597。 Perl の Digest モジュールで Digest->new() する場合に、eval() する前の入力の検証が不十分なため、任意の perl コードの挿入が可能。 Digest-1.17 で修正されている。
Linux developers fix a homemade network problem (H Online, 2012.01.16)。Linux 2.6.36 以降に、特定の IGMP パケットで crash する欠陥。Linux 3.0.17 / 3.1.9 / 3.2.1 で修正。 CVE-2012-0207
CVE-2012-0207 LinuxカーネルのIGMP処理における脆弱性について (IIJ SECT, 2012.01.31)。CVE-2012-0207 の件、CentOS 5.[5-7], 6.[0-2] での検証結果と回避方法が詳述されている。 CentOS 5.7 / 6.[12] で影響ありだそうで。
マルチキャストの処理に起因する脆弱性ですが、ユニキャストによる攻撃も可能であり、ローカルネットワーク以外からも攻撃が成立します。
》 NHK 紅白「Born this way」歌詞誤訳事件は意図的なものだった
年間最高視聴率を死守も……。“絶対に見過ごせなかった”紅白歌合戦のツッコミどころ (週刊プレイボーイ, 1/10)
今回の紅白の目玉のひとつとなったのが、紅白史上初のVTR出演を果たしたレディー・ガガだ。大ヒット曲『Born This Way』を熱唱したのだが、歌詞の和訳に関してひと悶着あった。
「もともとの歌詞には『レズビアン』や『バイセクシャル』といった言葉が入っているのですが、紅白でそのまま直訳するのは難しい(苦笑)。だから、ガガ側にも許可を取り、本来の意味を失わない範囲でやんわりとした表現に変更しました」(前出・NHK職員)
本来の意味を失って「政治的に正しくない」訳になってると思いますけど。
NHKの『Born This Way』改悪がイスラム教国の検閲よりひどい件について (みやきち日記, 1/14)
そんなに『レズビアン』や『バイセクシャル』が名前すら放送してはいけない存在だと思い込んでいるのなら、最初からガガ様なんて引っ張ってくるなよ糞が。
確かになあ。
》 「検閲や革新の抑圧につながる法案は支持しない」--オバマ政権がSOPA反対の声に回答 (CNET, 1/16)、米国のオンライン海賊行為防止法案(SOPA)、再考へ (techcrunch, 1/16)
》 ナイジェリア情勢安定化を要請 (国連情報誌SUNブログ対応版, 1/13)
》 南スーダンの衛生状態悪化に懸念 (国連情報誌SUNブログ対応版, 1/14)
》 祝100回: 容量固定VHDで実証実験 (ComputerWorld.jp, 1/16)
VHDTool.exeでVHDを作成する場合、Windowsが必ず行っている、再利用のためのゼロクリアを行わないということです。(中略) 時間節約のためにVHDTool.exeを利用するのは決してお勧めしません(正規の方法でないことも、お勧めしない別の理由ですが)。
》 iPad持ち込んだ防衛省幹部、訓戒処分 職場で使う (asahi.com, 1/12)。それよりも、官給品が使いにくいという事実をなんとかしなさいって。 関連:
Army develops smartphone framework, applications for the front lines (army.mil, 2011.04.18)
The device, known as a Joint Battle Command-Platform, or JBC-P Handheld, is the first developed under an Army effort to devise an Android-based smartphone framework and suite of applications for tactical operations. The government-owned framework, known as Mobile /Handheld Computing Environment, or CE, ensures that regardless of who develops them, applications will be secure and interoperable with existing mission command systems so information flows seamlessly across all echelons of the force.
米陸軍の JBC-P Handheld は Android スマートフォン。
Aircrews use tablets as ‘electronic flight bag’ (airforcetimes.com, 2011.09.25)
Lt. Gen. Darrell Jones, deputy chief of staff for manpower, personnel and services, opted for an Apple iPad, which he uses as an e-reader, said Maj. Joel Harper, an Air Force spokesman. The slim tablet, which weighs less than 2 pounds, saves Jones from carrying around several hard-copy notebooks; it is not connected to an Air Force network, Harper said.
The Air Force, though, isn’t the only service hot on tablets.
Marine pilots are using the iPad to replace flight documents during missions in Afghanistan. The Army is looking at tablets and smartphones to help Army medics treat injured soldiers. The Veterans Affairs Department has connected 1,000 iPads to its network. The Federal Aviation Administration earlier this summer authorized commercial and charter carriers to use a tablet in the cockpit, replacing up to 40 pounds of manuals in the flight bag.
米空軍や海兵隊では電子マニュアルや電子フライトバッグ (EFB) 端末として iPad を運用中。
軍事研究 2012 年 1 月号 『米軍・国防総省の「スマートフォン戦争」』
》 大河ドラマ「平清盛」における「王家」をめぐって (ITmedia, 1/13)
同作品の時代考証にあたった本郷氏との共著もある作家の堀田氏に、「王家」という言葉について寄稿してもらった。
堀田純司氏は「僕とツンデレとハイデガー」の人。
今、一部で話題のNHK大河ドラマ「平清盛」で使われる「王家」という皇室の呼称ですが、まずこれは中世を扱う歴史学ではごく普通に、自明のものとして使われている用語です。この用語が広く用いられるようになったのは歴史学者、黒田俊雄氏の「権門体制論」以降のことでした(歴史評論2011年8月号「王家をめぐる学説史」)。(中略) 黒田氏は天皇家や皇室といった用語が、近代国家権力によって使われた用語であり、それはどうしてもある種の先入観、イデオロギーなど思考上の制約を与えてしまうと指摘。そうした既存のイメージを脱構築するために、中世の当時、実際に頻繁に使用例が見られる「王家」という用語を使うことを提唱したのです(「中世天皇制の基本的性格」,1977)。
本作は明らかにリアリズム重視なのだから、「王家」を使うのは当然だろうなあ。
ひるがえってドラマ「平清盛」ですが、明らかにこの権門体制論の枠組みを意識して描かれていると感じます。劇中、天皇家があくまで王権を掌握し、武家はその犬と呼ばれ、自らの持つ力を自覚していない。この史像をつらぬくと、武家はあくまで諸権門のうちに武力の担当者でしかなく、源平の戦い(学術的には「治承・寿永の乱」と呼ばれる)も、権門体制の枠組みの中で軍事指揮権の長の座をめぐって戦われたコップの中の戦争(でしかない)という見方になります。
もっとも、このドラマでは第1話で、そうした歴史観をこえ、清盛自身が自分が何者であるかを自覚する過程を、武家が自らの持つ力に目覚めていく歴史に重ねる。そして彼を新たなる王権の開拓者として描くというグランドデザインを見る者に感じさせており、これはなかなか骨太な第1話だったと僕などは思います。
ですよねえ。「まず画面が汚い」と言う人は、いったいどこを見ていたのだろう。
》 米長永世棋聖「築いた万里の長城、穴が開いた」 電王戦敗北後の会見 全文 (ニコニコニュース, 1/15)
二本松の新築マンションで高線量 浪江で土台の材料採取 (asahi.com, 1/15)
東日本大震災:福島第1原発事故 二本松の新築マンションから高線量 浪江で保管の石加工 (毎日, 1/16)
経産省によると、昨年5月に業界団体を通して現地の状況を調べたが、「放射線量が高いものは確認されていない。事業者も避難して出荷していない」との回答を受けたため、特段の措置は取っていなかったという。担当の住宅産業窯業建材課は「3〜4月の出荷状況は把握できていなかった。今後、砕石の安全基準について環境省などと検討したい」とした。
高線量建築資材:砕石の出荷先 200社以上か (毎日, 1/16)
原発事故後、汚泥やがれきの再利用については基準が定められたが、コンクリート用の砕石には基準はないままだった。砕石業者を所管する経産省は昨年5月に現地の状況を調べたが、「事業者は避難して出荷していない」との回答を受け、特段の措置は取らなかったという。今回の問題発覚を受け、福島県内の国の相談窓口には、対応の遅れを指摘する電話が次々と入ったという。
専門家からは、原発事故当時に屋外にあった稲わらの流通を食い止められなかった問題との類似性を指摘する声も。
近畿大の山崎秀夫教授(環境解析学)は「構図は全く同じだ。採石場は計画的避難区域にあり、国にとっては想定の範囲内で起こっていること。砕石を含め物流がどう動いているか思いが及ばないのが歯がゆい。気の毒なのは砕石業者で、出荷時点で汚染に気づくことは不可能なため、その責任を問われるのはおかしい。国の対策は全て後手に回っており、現場にしわ寄せがきている」と話した。
現代物理学の根幹である不確定性原理の破れを観測 —ナノの世界の深淵を語る基本原理に穴— (名古屋大学, 1/16)。測定前の状態によっては不確定性原理が破れ、位置と運動量の両方を同時に測定可能とする「小澤の不等式」の成立を、実測にて証明。 名古屋大学・小澤教授とウィーン工科大学・長谷川准教授を中心とする研究グループによる成果。
Experimental demonstration of a universally valid error\u2013disturbance uncertainty relation in spin measurements (nature physics, 1/15)
不確定性原理:量子力学の基本法則に欠陥 名古屋大教授ら実証 教科書の書き換え迫る (毎日, 1/16)
村田次郎・立教大学准教授による tweet
ウィーンの長谷川さんとは気が合って、ウィーンで白ワイン+炭酸水で深酒した事も。プラハやウィーンで何度か楽しく遊びました。ずっと一人で頑張ってました。素晴らしい。"名古屋大とウィーン工科大,不確定性原理を破る実験に成功 nikkei-science.com/?p=16686 " (@jiromurata 村田次郎 / Jiro Murata, 1/16)
主流とは言い難い長谷川さんの挑戦は日本でなかなか認めてもらえず、そんな状況に気炎をあげて意気投合した事も。もう、10年近く前の話。 (@jiromurata 村田次郎 / Jiro Murata, 1/16)
「君の話、全部シュレーディンガー方程式で説明出来る。今更何が面白いの?」なんて日本の先生に言われた事もあると悔しがってました。並々ならぬ苦労だったと思います。 (@jiromurata 村田次郎 / Jiro Murata, 1/16)
》 経産省+総務省が調査=>Google Checkout の個人情報流出 (まるちゃんの情報セキュリティ気まぐれ日記, 1/15)。 最近 Android Market の売上レポートに購入者の個人情報が思いっきり入るようになってしまった件 (むらかみの雑記帳, 1/4) の件。Google は「不具合」の一言で終了のようで。 Google Checkout購入者 ヘルプ: インターネットでの安全のヒント (Google)
Google Checkout マーチャントセンターとその API において不具合が発見されました。これにより、通常、発送を伴う物販において販売者が見られる購入者の電話番号が、デジタル製品を販売している販売者の Checkout マーチャントセンターで一時的に見られるようになっていました。この問題は現在、修正され、API についても数日以内に修正される予定です。本件において影響を受けたの購入者の方にお詫びいたします。
イタリア沖で客船座礁、3人死亡 (AFPBB, 1/14)。海に飛び込んでしまった人がいるみたい。
イタリアで豪華客船「コスタ・コンコルディア」が座礁 (毎日, 1/14)
座礁の豪華客船、横倒しに〜イタリア (産経 MSN, 1/14)
》 独法・原発検査:「丸写し」03年設立以来 (毎日, 1/11)。原子力安全基盤機構。誰でもできる簡単な作業です。 詳細: 検査等業務についての第三者調査委員会 (原子力安全基盤機構)、第三者調査委員会 報告書 (原子力安全基盤機構, 1/12)
》 JAXAのウィルス感染事案をまとめてみた。 (piyolog, 1/13)
》 アップル、取引先を初公表 「秘密主義」転換か? (asahi.com, 1/14)。 これですか: Apple Suppliers 2011 (Apple)
》 記者の目:ウダイ氏の影武者が見たイラク=小倉孝保 (毎日, 1/13)。映画「デビルズ・ダブル」公開記念?
父をも奪われたヤヒヤさんがフセイン政権に憎しみを持つのは理解できる。だから、その政権を倒して「イラク人を解放」し、ウダイ氏を殺害した米国に感謝しているのかと言えば、欧米が思うほどことは単純ではない。「米国はイラク戦争(03〜11年)で多数の市民を殺害し、難民を生み、アブグレイブ刑務所で蛮行(収容者虐待)を行った。その結果、(反米感情からテロが続発するなど)ウダイのような狂気の者を何百人も生んだ」。イラクに残る家族・親族の誰も、現在の生活が以前より幸福だとは実感できないという。
ヤヒヤさんの言葉を通して見えるのは、独裁政権はその国民の手で倒されるべきだ、という考えである。たとえ国民を苦しめる独裁者であっても、外国が武力でそれを排除する場合、そこには外国の思惑が見え隠れし、それがひずみになって国民融和や新政権作りの障害となる。昨年、中東では「アラブの春」と呼ばれる民主化運動が起こり、民衆が独裁政権を倒した。「イラク人がチュニジアやエジプトの民衆よりも、弱くて劣っているとは思わない」。ヤヒヤさんは、イラク人が独裁政権を倒す権利を米国が奪ったと感じている。
》 Can you be forced by law to decrypt your computer? US v. Fricosu court case rages on (Sophos, 1/9)
》 「カード情報を暗号化しなかったのは当社の過ち」——情報流出被害のStratfor (ITmedia, 1/13)、Stratfor back online after Anonymous attack (H Online, 1/12)
》 職安法違反:原発に不正派遣 工藤会系組長の妻らを逮捕 (毎日, 1/13)。原発×暴力団ねた。まさに氷山の一角。
》 EFF Demands Withdrawal of Bogus Time Zone Database Lawsuit (EFF, 1/12)
》 山谷剛史のマンスリー・チャイナネット事件簿 中国で過去最大規模の個人情報漏洩〜トータルで1億超えか ほか2011年12月 (Internet Watch, 1/13)
》 Sex scandal hits Australian military (aljazeera, 1/12)
》 内閣官房 パブコメ 秘密保全に関する法制の整備に係る意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 1/12)
》 HIV:「感染で退職強要された」看護師が2病院提訴 (毎日, 1/13)。いまだにこんな話があるとは。
》 制御システムセキュリティカンファレンス 201 〜 After Stuxnet 〜 (JPCERT/CC)。2012.02.13、東京都港区、無料。
日本郵便「ゆうメール」、商標権侵害でDM配達の使用差止め、東京地裁 (知財情報局, 1/13)
札幌メールサービスは、2004年6月に「ゆうメール」を指定区分35、各戸に対する広告物の配布、広告、市場調査等で商標登録しており(登録番号478163号)、日本郵便による広告物の配達は、商標権侵害にあたるとして、サービスの差止めを求めていた。なお、日本郵便も、2004年11月に「ゆうメール」を商標登録しているが(登録番号4820232号)、指定区分39、車両による輸送、郵便、メッセージ、小荷物の速配、メッセージの配達、物品の配達、新聞の配達などとなっている。
ゆうメール:日本郵便、商標権訴訟で敗訴 東京地裁 (毎日, 1/13)
日本郵便は「広告物に限らず、荷物も配達している」として、メール社が商標権を持つサービスとは内容が異なるので侵害に当たらないと主張。だが判決は、日本郵便が商品カタログやDMなどの広告物配送にゆうメールを利用できると宣伝しているなどとして、「サービスは類似している」と退けた。
そのうえで判決は、旧郵政公社が05年1月、メール社の登録が既にあることを理由に商標登録出願を拒絶され、サービス分野を「鉄道や車両による輸送」などに変えて登録を受けた経緯を検討。「郵政公社から業務を引き継いだ日本郵便があえて『ゆうメール』の商標を使用している」と批判した。
おもいっきりアウトじゃん……。ライセンスしてもらうなり買い取るなりしましょう。 例: Apple、「iOS」とiPhone 4の「FaceTime」の商標問題をクリア (ITmedia, 2010.06.08)
》 「健全な法治国家のために声をあげる市民の会」、東京地検特捜部を最高検に告発
【重大】本日、最高検に告発状を提出いたしました (八木啓代 / BLOGOS, 1/12)
【重要】毎日新聞に重大な誤報が出ました (八木啓代 / BLOGOS, 1/13)
「陸山会事件の強制起訴はデッチあげ」 市民団体が特捜部を刑事告発 (田中龍作ジャーナル, 1/12)
要するに陸山会事件をめぐる検察審査会の強制起訴とは次のようものだったのである——
▲検察にとって目の敵である小沢元民主党代表に有利となるような供述調書は「検察審査会」に送付せず、▲有罪心証を刷り込めるような供述は捏造して「検察審査会」に送付する。▲「検察審査会」の審査員は社会的経験が乏しい若者が選ばれるよう選定ソフトに仕掛けが施されていて、▲素人審査員に助言を与える審査補助員(弁護士)は、強制起訴のあり方に疑問を呈する弁護士を外し、▲小沢氏と敵対関係にある政治家とのつながりを指摘される弁護士をあてる。
関連:
捜査報告書を証拠採用へ=検事が事実でない記載—小沢元代表裁判 (時事, 1/13)
石川知裕衆院議員(38)の取り調べ担当だった田代政弘検事(44)作成の捜査報告書について、指定弁護士側が同意し、証拠採用される見通しとなった。
田代検事は昨年12月の証人尋問で、小沢被告を「起訴相当」とした検察審査会の議決を受けた再聴取での石川議員とのやりとりについて、捜査報告書に事実と異なる記載をしたことを認めた。
》 あの人の事情聴取も視野に!警視庁2ちゃんねる撲滅作戦 (週刊朝日 / Nifty, 1/13)
》 原油:ホルムズ海峡迂回油送管、稼働へ UAE (毎日, 1/13)、日本の原油輸入先、UAEの石油パイプライン6月にも完成か? (BLOGOS, 1/10)。今年の5〜6月から稼働できるそうで。
》 伊方原発きょう全基停止 四国の電力不足せず (高知新聞, 1/13)。♪電力は余ってる〜
四国電力の伊方原発は13日深夜、2号機の定期検査入りで1〜3全基が止まる。しかし「四国の4割を占める」とされる原発の電気が消えてなお、四国は今冬も電力不足にはならない公算だ。電力会社の発電能力はベールに包まれて不明な部分も多いが、四国の場合、「そもそも電力は余っていた」実態がはっきり浮かぶ。
(中略)
問題は全基停止が今夏以降も続いた場合。夏のピーク需要を570万キロワットとして、推測を交え概算しよう。
四国全体の設備容量857万9千キロワット。ここから伊方1〜3号(202万2千キロワット)、休止中の阿南火力1号(12・5万キロワット)、夏に定期検査をする可能性がある坂出火力2号(35万キロワット)を引き、さらに天候に左右される水力発電の減少分を2〜3割とみると、計算が立つのは550万キロワット程度か。数字上、ピーク時に一定の節電をすれば乗り切れる計算になる。
》 ピックアップ@アジア 「パキスタン、高まる2つの危機」 (NHK 解説委員室, 1/11)
》 時論公論 「JR福知山線事故 前社長無罪判決の意味」 (NHK 解説委員室, 1/11)。個人の責任を問うというのがそもそも無理筋なわけで。
こうした点について、法律や鉄道の安全に関する専門家の中に「企業が重大な事故や事件を引き起こしたときに組織を罰する仕組みが十分ではない」と指摘する人が少なくありません。再発を防止するためには組織にどのような問題と責任があるかを明確して、処罰をすることが必要だという考え方です。
日本の刑法は組織の刑事責任を問うことはできず、組織事故でも個人の責任を問うしかありません。しかし今回の裁判のように個人の刑事責任を立証するのは難しいうえ、仮に個人が処罰されたとしても、いわば「トカゲのしっぽ切り」に終わり、組織の責任や構造的な問題は明確にはならず、事故の再発防止につながらないことが多いからです。
欧米では重大な組織事故が起きたとき再発防止のため組織を罰するという流れがあります。イギリスでは死亡事故を起こした企業などの法人に上限のない罰金刑など刑事責任を問う新しい法律ができたほか、フランスの刑法は企業などの解散や業務停止を定めています。ただ刑事責任の追求をやみくもに強めると企業側が事故調査に正直に答えなくなり原因究明を妨げる恐れもあります。このためアメリカでは原則として刑事責任は追及しませんが、民事訴訟で巨額の「懲罰的損害賠償」を課す仕組みがあります。日本でも「組織罰」の考え方を取り入れる時期に来ていると指摘する専門家は少なくありません。
広島刑務所:窃盗団の一員 中国籍の受刑者が脱走 (毎日, 1/11)
広島刑務所脱走:外壁工事の足場使う 警察庁が特別手配 (毎日, 1/12)
広島刑務所によると、高さ約4.5メートルの外壁の上には警報装置があるが、工事中のため作動しない状態だった。内側の仮塀(高さ3〜8メートル)の一部にも警報装置があったが、作動した形跡はなかった。李容疑者が最後に確認された運動場の東にある処遇管理棟(2階建て)の屋上に足跡が残っていた。この屋上を伝えば装置を避けて仮塀を越えられるという。李容疑者はその後、外壁に組んであった足場を上って脱走したとみられる。
広島刑務所脱走:監視カメラに死角 逃走の瞬間映らず (毎日, 1/12)
外壁(高さ約5メートル)の工事に伴い、監視カメラに死角が生まれていたことが、同刑務所への取材で分かった。工事前は敷地の四隅にカメラがあったが、工事の際に北東角のカメラを撤去。残り3カ所のカメラの方向を変えながら監視していたが、李容疑者が外壁を乗り越えた瞬間は映っていなかった。
李容疑者が姿を消した運動場を囲う壁(高さ2・6メートル)は、一角にある倉庫との隙間(すきま)を利用すれば乗り越えられる構造だったことも判明した。壁と倉庫の間は人間が1人入れるくらいの狭さで、倉庫の壁の出っ張りに足をかけるなどして上ることができるという。11日午前10時半ごろの監視カメラの映像は、隙間から頭を出す人物を捉えていた。所内には98台のカメラが設置されているが、担当の職員は1人だけで、脱走後に映像を再確認するまで気づかなかったという。
広島・刑務所脱走 警報の電線避ける…周到に計画か (読売, 1/12)
ほおに傷痕、首筋にほくろ…李容疑者の写真公開 (読売, 1/13)、 李国林受刑者を特別手配、警視庁 オウム事件以来 (産経 MSN, 1/12)
法務省が逃走事件の検証チーム発足 監視態勢の不備を調査 (産経 MSN, 1/13)
民家で空き巣、衣類盗む 中国人受刑者、付近に潜伏の可能性も (産経 MSN, 1/13)
……確保されたそうです。 よかった。
広島刑務所脱走:李受刑者、広島市内で身柄確保し逮捕 (毎日, 1/13)
Trustworthy Computing\u2019s 10 Year Milestone - Reflecting on Humble Beginnings (Microsoft SDL blog, 1/12)
What a Journey It Has Been (Microsoft SDL blog, 1/12)
》 視点・論点 「LADY GAGAの政治学」 (NHK 解説委員室, 1/10)。レディ・ガガで学ぶ、アメリカの政治。
》 「脆弱性対策の標準仕様SCAPの仕組み」セミナー開催のお知らせ 〜セキュリティ検査言語OVALの詳細解説〜 (IPA, 1/12)。2012.01.26、東京都文京区、1,000円。
ノートPCを準備いただくことにより、受講者側では実践に近い形で講習を受講することが可能です。ノートPCはオフライン版MyJVNバージョンチェッカが動作する環境のものをご用意ください。
》 社名などのトップレベルドメインを運用できる“新gTLD”、申請受け付け開始 (Internet Watch, 1/12)
》 ePubフォーマットによる電子書籍のラインナップを開始します (オライリージャパン, 1/12)。Ebook 版のみ発売。
今回のプロジェクトでは、トップスタジオの武藤健志さん達が開発に携わるオープンソースのドキュメント処理ツール「ReVIEW」を採用しており、書籍の執筆/翻訳から出版までを迅速かつ柔軟に進めることを可能にしました。実際の制作については、トップスタジオさんのご協力をいただいております。
へぇ。解像度が高くて軽い reader がほしいなあ。 解像度については、199ドルの安さで買ったKindle Fireと自宅大模様替え計画 (PC Watch, 1/13) も興味深い。ララーシュタイン総統……。
US marines accused of war crimes (Guardian, 1/12)。動画あり。
Karzai leads condemnation over video as US identifies marines (Guardian, 1/12)
US Marines identify 'urination' troops (BBC, 1/12)
米兵がタリバン兵の遺体に放尿か、ネットに動画 (AFPBB, 1/12)
放尿動画、米国防長官が非難 海兵隊は行為者をほぼ特定 (AFPBB, 1/13)
アフガン:遺体に放尿「罪のほんの一例」 タリバン「米対話に影響せず」 (毎日, 1/13)。タリバン、大人の対応。
》 FreeBSD 9.0-RELEASE Announcement (FreeBSD.org, 1/12)
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
RHEL および互換 OS 用修正パッケージ。
RHSA-2012:0019-1 - Moderate: php53 and php security update (Red Hat, 2012.01.11)。RHEL 5 / 6 用。
[CentOS-announce] CESA-2012:0019 Moderate CentOS 6 php Update (CentOS, 2012.01.11)。まだ CentOS 6 用しかないみたい。
Security ERRATA Moderate: php53 and php on SL5.x, SL6.x i386/x86_64 (Scientific Linux, 2012.01.12)
あと、関連記事:
チェックしておきたい脆弱性情報<2012.01.12> (日経 IT Pro, 2012.01.12)
》 2012 年はモバイルマルウェアにとって新たな年となるのか (シマンテック, 1/10)
》 福島事故直後に「最悪シナリオ」 半径170キロ強制移住 (東京新聞, 1/12)
》 私的録画補償金訴訟控訴審判決 (壇弁護士の事務室, 1/11)
さて、最高裁は、どうなるであろうか。
すこし心配な事情がある。
先日、弁護士の大橋正春先生が、最高裁に行かれるとの報道があった。
なんでも、著作権法に明るい先生という報道である。
ところで、最高裁の近時のKY判決No1に、まねきTV事件がある。
そして、その控訴審判決には、
控訴人( 原審原告) 株式会社東京放送
訴訟代理人弁護士岡崎洋,大橋正春,前田俊房,渡邊賢作,新間祐一郎,村尾治亮
げげげ!
ITの世界には、明るいどころか、暗雲たれ込める今日この頃である。
》 トレンドマイクロウイルスバスター2012クラウドのポップアップがフィッシングクサイ件 (まっちゃだいふくの日記, 1/12)。あやしさ爆発。
》 スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も (トレンドマイクロ セキュリティ blog, 1/11)
》 Koobface malware gang - the noose tightens? (Sophos, 1/11)
》 検証ラボ:ウイルスを観察してみる IOS_IKEE.A(アイキー) iPhoneに感染するワーム (日経 IT Pro, 1/12)
》 朝日新聞は小沢氏証言前に、あたかも罪人の如く社説で述べる非常識と悪意 (かっちの言い分, 1/9)
》 東京電力の電源設備(供給力の内訳) (東電)。こんなページができていたのですね。ここまで書いてくれるとわかりやすい。 他の電力各社もおねがいします。
》 本日の融通電力の状況 (東北電力, 1/12)。北電から54万kW、東電から30万kW。苦しい。 関連: 東北電力でんき予報
》 原子力安全委:分科会でヨウ素剤の家庭常備の提言案 (毎日, 1/12)。どこの分科会なのかさっぱりわからない記事。明記してくれないと資料を探せないのでなんとかしてください。関連:
医分第29−2−6号 安定ヨウ素剤の予防的服用に関する提言(案) (原子力安全委員会 原子力施設等防災専門部会 被ばく医療分科会, 1/12)。これ。
原子力安全委員会 原子力施設等防災専門部会 被ばく医療分科会第29回会合 議事次第 (原子力安全委員会, 1/12)。他にも資料いろいろ。
探していて見つけたもの:
原子力施設等防災専門部会防災指針検討ワーキンググループ (原子力安全委員会)。ここかなあ。……違った。orz
原子力施設等防災専門部会防災指針検討ワーキンググループ 2011 年 第10回 速記録 (原子力安全委員会, 2011.12.27)。p.45 から、富岡町の避難とヨウ素剤の服用状況が説明されている。情報が得られない、状況も緊急性もわからない、避難先も自分で決めるしかない。 ヨウ素剤は 3/12 夕方に川内村に避難してから配布・服用したみたい。 しかし、富岡町民の全てが川内村に到達したわけではないみたい (↓の記事参照)。p.52 にも関連記述がある。
福島県三春町「実生プロジェクト」 (とむさとうのコラム集, 2011.11.15)。 3/15 に全町民にヨウ素剤を配布した三春町だが、ヨウ素剤の存在を知ったのは、3/12 に三春町内で富岡町がヨウ素剤を配布したから。
国からは一刻も早く大熊町から脱出するよう避難指示がだされ、大熊町町長以下、役場スタッフ、地元の警察署、消防団総動員でバスで移動することとなった。(中略) 第一陣が三春町の隣町、田村市都路行政区にたどり着き始めたのが8時。
大熊町の隣町、富岡町の避難民も加わり、避難民は直に4〜5千人以上に膨れ上がった。到底、田村市のみでは収容できず、コンボイはさらに西の三春町、郡山市や小野町へと向かった。結果、12日夕方には三春町には数千人が押し寄せ、受け入れ可能な2千人以外は、その夜、西へ向かった。
富岡町民は避難中にバラバラになってしまった模様。しかしそのおかげで、三春町はヨウ素剤の存在を知った。
12日15時36分、1号機が水素爆発を起こす。三春町の現場は混乱していた。三春町の避難所で富岡町が配布していたヨウ素剤をみて三春町職員がそれはどのような薬なのかと問いかけた。
これが 3/15 につながる。
7月に三春町を訪れた時に我々を出迎えてくれたのが、深谷茂副町長だった。3月14日、三春町で何が起きたのか、彼は説明してくれた。
安定ヨウ素剤の話を聞いた鈴木義孝町長と深谷氏は、町議会議長、地元医師や保健師達、関係しうる人を全員集めて協議をした。独断で決められるものではなかった。
はたしてむやみにヨウ素剤を配って飲ませてよいのだろうか?効き目はあるのか?副作用はないのか。どのように配布するのか?どのタイミングで服用してもらうのか。
既に3号機は爆発しており、折しも翌日の天気予報は雨。役場職員は車を北に走らせて、福島県庁からヨウ素安定剤1万5千個入手した。14日の夜、職員達は徹夜で薬の配布準備をし、15日の朝、町内8ヶ所で配布し始める。職員達は、町民一人ひとりにヨウ素剤について丁寧に説明した。
エッセイ「解毒用『安定ヨウ素剤』を飲む決断」 (玄侑宗久, 「文藝春秋」 2011年5月号)
薬 (小島注: ヨウ素剤) の効き目は二十四時間しかないため、最も放射能が高い時に飲まなくては意味がない。町長、副町長、議長はじめ、医師や全ての保健婦も一緒になって相談した。そして三春町は、二十キロ圏外では逸早く十四日に薬を約一万五千粒入手し、役場職員が徹夜で家庭ごとの分配作業を行ない、翌十五日には町内八カ所に取りに来てもらう形で四十歳未満の七千二百四十八人のうち凡そ九五%に手渡された。
その日の朝六時十四分、三つ目の二号機付近でも爆発音が上がった。それ以前、町では東の端に当たる沢石地区に風向きを見るための幟を立てていた。十五日の朝、風は少なくとも三春町には真東から吹いた。しかも福島第一原発から百キロ以上離れた茨城県東海村での観測データでさえ、朝八時には5.8マイクロシーベルト/時という高い値を示していた(ちなみに、原子力災害対策特別措置法に定められたギリギリの安全基準値が5マイクロシーベルト/時)。それらを確認した町当局は、薬の配布時に「すぐに飲んでください」と指示したのである。
十四日、十五日の放射能測定値は、県からは示されなかった。ようやく十六日になって、十五日の分まで示されたわけだが、それは確かに十五日が最も高くはなっていたものの、納得できる数値ではなかった。人々を不安に陥れないように、という配慮がなされたのかもしれないが、たまたま十七日になって、原発から北西三十キロ地点における同日午後二時の観測データが文科省によって示されてしまった。三号機爆発の三日後なのになんと170マイクロシーベルト/時である。
モニタリングポストの示す数字は、たとえば県内で最も高い福島市でも十五日で20マイクロシーベルト/時界隈。二十日すぎには8マイクロシーベルト/時まで下がってきているが、いったい本当はどうだったのだろう。この疑念は、少しデータを調べた人にはおそらく共通するものだろう。
十九日にはWHOの緊急被曝医療協力研究センター長が長崎からお出でになり、「今のレベルならヨウ素剤の投与は不要だ」と言っているが、これも「十四日、十五日の、本当のレベル」次第だろう。
今のところ町に副作用を訴えた人はいない。町首脳部も、「後悔はしていない」と言い切っている。
》 原発作業員、暴力団関与の会社が不正派遣か (読売, 1/12)。ケーサツが、誰でも知っていることをようやく摘発する気になった模様。 今のところ福岡県だけか。
》 SecurityDay 2012。 2012.02.06、東京都千代田区、無料。
緊急時対策支援システム:原発事故監視システム一時停止 メモリー不足が原因 (毎日, 1/12)
緊急時対策支援システム(ERSS)に異常等が発生した場合の対応に関する報告について (原子力安全基盤機構, 1/11)。詳細。 データベースソフトがメモリリークして異常停止。 年 2 回再起動して回避するそうで。
保安院会見(18:00〜)「JNESのERSSに異常等が発生した場合における対応に関する報告について」 (The NEWS, 1/11)。1/11 18:00 からの会見の様子。 DB ソフトは Oracle。別バージョンでも同様にメモリリークするそうで。 アプリをつくったのは伊藤忠テクノソリューションズだが、原因はアプリではなく Oracle 側にあるのだそうで。
緊急時対策支援システム(ERSS)のプラント情報表示システムの停止について(復旧済) (原子力安全基盤機構, 2011.12.31)
》 時代劇危機一髪 〜伝承の技は守れるか〜 (NHK クローズアップ現代, 1/11)
ことし放送が決まっている連続時代劇は、民放では1本だけ。 スタッフを雇用し続けることができず職人技を伝承できなくなると懸念されています。
》 必要なのは医者かアルゴリズムか?—コンピュータ医療の現実的な未来を素描する (techcrunch, 1/11)。ふぅむ。 機械が 総合診療医 ドクターG に追いつくのはいつだろう。
》 エリック・シュミット:Androidで起きているのは差別化。断片化ではない (techcrunch, 1/12)。ということにしたいのですね。
》 本の特盛り——横山哲也の読書のススメ第2回 「インサイドMicrosoft Windows 第4版(上・下)」「…‥絶句(上・下)」 (ComputerWorld.jp, 1/12)。横山さん、そこに着目しますか。 ちなみに、この記事自体においては、記事タイトルでは「…」(3点リーダー)と「‥」(2点リーダー)の組みあわせ、本文では「・・・・・」(中黒5つ) ですね。
「…‥絶句」を読んでしまって以降、主人公がトイレに行くかどうかがとても気になるようになってしまった (笑)。その観点に着目している人には、エリザベス・ムーンの「若き女船長カイの挑戦」シリーズを推奨しておく (が、邦訳が 3 冊目までしか出てないんだよなあ。Vatta's War は計 5 冊あるんですけど)。
》 USA kicks out Venezuelan diplomat over cyber attack plot allegations (Sophos, 1/10)
》 2012年 岐路に立つ世界経済 (NHK クローズアップ現代, 1/10)。この時間にこのテーマで視聴率 9.5% ですか。
》 スタジオパーク 「ソーシャルメディアが変えるロシア」 (NHK 解説委員室, 1/10)
》 時論公論 「薄氷踏む、今年の電力供給態勢」 (NHK 解説委員室, 1/9)
》 時論公論 『復興本番の年のはじめに』 (NHK 解説委員室, 1/4)
Androidパーミッション:アプリのため?広告のため? (エフセキュアブログ, 1/10)
コンピュータ・ウイルスの分析を学ぶ:5年目 (エフセキュアブログ, 1/9)
Android マーケットを悩ませる新たな不正アプリが登場 (シマンテック, 1/9)
》 2ちゃんねるで一揆発生? 反アフィリエイトでニュー速民が大量移住 (Internet Watch, 1/11)
移転後の嫌儲板では、これまでのニュース速報板で非常に多かった地域煽りや政党煽り、国籍煽り、女性叩きなど対立を煽るスレッドや叩きスレッドが、嫌儲板に移転後は激減した。このため、「これまでのニュース速報板では、アフィリエイトブログのネタにするために煽りスレが多数立てられていた」という疑いを持った元ニュース速報板住民が多く、移民を結束させている。
ニュー速民家畜テーマ。
》 北朝鮮のサイバー攻撃機関に?パソコン不正輸出 (読売, 1/11)
》 「アノニマス」と正しさをめぐる争い 塚越健司 (SYNODOS JOURNAL, 1/11)
このように動員手法に長け、また内部でも大義の名の下に合理的かつ民主的な議論がなされるアノニマスは、今後も一定の影響力を持つだろう。しかし、世間からすれば、あくまで彼らは違法行為を働く犯罪集団であり、それは一面では正しい。しかし本稿では最後に、大義の名の下に違法行為を実践するアノニマスにとっての、「正しさ」とは何かについて、「正当性Justness」と「正統性Legitimacy」というふたつの言葉から考察しよう。
》 STRATFOR Hacked Update 9 (cryptome, 1/10 更新)
今月のコメント:2012年1月 (坂東玉三郎)。大絶賛。
追伸
8日から始まりましたNHK大河ドラマ「平清盛」の第1話を観ました。今の時期にこのような時代物を作ることが出来るのだと、我がことのように感激しました。 今までテレビ上で多くの時代物に触れてきましたが、今回の「平清盛」は特別でした。配役、脚本、美術、衣装、鬘等、力の入った素晴らしいものでした。衣装の絹の使い方、衣装の汚し方、鬘の生え際の写し方など、細部に心が行き届いているのもとても嬉しかったのです。時代物が消えていく時期に、このような作品が出来るのだと勇気が出ました。ジョン・ブアマンや、ジャン=ジャック・アノーの時代物作品のようなこだわりも感じました。制作費も時間も掛かっていることが分かりました。これからどうなって行くのか更に期待しています。
大河ドラマ「平清盛」:兵庫県知事が酷評「画面が汚い」 (毎日, 1/10)。酷評。
薄汚れた画面…大河「平清盛」を兵庫知事が批判 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 1/10)
私も、第1回を観ましたが、確かに、映し出される風景や人物が薄汚れてはいたものの、平安時代やそこに生きる武士や庶民というものが、リアルに感じられ、「うちのテレビがおかしくなったのかと思うような画面」といった、わけのわからない印象は受けなかったですね。平安時代の街や武士や庶民が、小奇麗であったら、そのほうがおかしいでしょう。
(中略)
あれを見て、この程度の浅薄な感想しか持てない人物が知事を務める兵庫県の今後が心配です。
「清盛、私は違和感なかった」 神戸市長は理解示す (asahi.com, 1/11)
立場わきまえろ…「平清盛」酷評知事に批判殺到 (読売, 1/11)
》 「共謀罪」を国際公約 政府が5月まで法整備を伝達 法相・民主に慎重論 (産経 MSN, 1/4)。民主党はめちゃくちゃだ。
》 【福島第一原発の現状】 4号機タンクの水位低下 (東京新聞, 1/8)
タンクの水は蒸発で減るが、この時は通常時の約五倍のペースで低下。当初、東京電力は水漏れを疑った。その後の調査で、水漏れはなく、地震の影響により、プールからタンクに流れ込む水が一時的に止まっていただけの可能性が高いと分かった。
》 『自己愛過剰社会』 ジーン・M・トウェンギ/W・キース・キャンベル著 (読売, 1/10)
》 消える?「うるう秒」 自転とのズレ、帳尻合わせ40年 (asahi.com, 1/10)
》 Firefox/Thunderbird 延長サポート版の提供が決定しました (Mozilla Japan ブログ, 1/11)。ESR 版。Firefox / Thunderbird 10 から、 続く 8 回分リリースされる (10.0, 10.0.1, ..., 10.0.8)。その後は 17.0 からはじまる ESR 版に乗りかえる。 以後同様に。
問題は、「その後は 17.0 からはじまる ESR 版に乗りかえる」がスムーズにいくのか? というところかなあ。
》 四国電力、13日にすべての原子力発電所が停止〜伊方発電所2号機が定期検査入り (家電 Watch, 1/10)
》 ファイル共有ソフトCabos、配布中止のお知らせ (P2Pとかその辺のお話@はてな, 1/8)。LimeWire / FrostWire が閉じられたので。
》 Did Symantec source code hack reveal Indian phone surveillance? (H Online, 1/10)。インドの当該組織ではソースを使って何をしていたのか。
》 さくらのクラウドでトラブル発生、一部ユーザーのデータ消失も発生 (slashdot.jp, 1/11)
》 Guantanamo 10th Anniversary Photos (Cryptome, 1/10)。結局今だに存続。
関連: グアンタナモの勾留者ら 同収容所の10周年抗議でハンガーストライキを開始 (デモクラシーナウ, 1/10)
》 時論公論 「食品の放射性物質に新基準 不安は解消できるか」 (NHK 解説委員室, 2011.12.21)。検査体制の拡充と移行処置をどうするかが問題、という指摘。関連:
食品新基準値案を放射線審議会に諮問 厚労省 (産経 / Yahoo, 2011.12.27)
食品中の放射性物質に係る基準値の設定に関する放射線審議会への諮問について (厚生労働省, 2011.12.27)
放射線審議会 (文科省)
Wireshark 1.6.5 / 1.4.11 登場。3 件の欠陥が修正されている。
予定どおり 7 件。
MS12-001 - 重要: Windows カーネルの脆弱性により、セキュリティ機能のバイパスが起こる (2644615)
Windows XP (64bit 版のみ) / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。Ntdll.dll に欠陥があり、Visual C++ .NET 2003 でコンパイルしたアプリケーションから SafeSEH セキュリティ機能を回避できる。 CVE-2012-0001。Exploitability Index: 1
関連: More information on the impact of MS12-001 (Microsoft Security Research & Defense, 2012.01.10)
You can determine if your binary is affected by this issue by using the Microsoft Visual C++ linker command “link.exe /dump /headers binary.dll”. Binaries with a Load Config Directory size of 0x48 are affected as shown below.
MS12-002 - 重要: Windows オブジェクト パッケージャーの脆弱性により、リモートでコードが実行される (2603381)
Windows XP / Server 2003 に欠陥。Windows オブジェクト パッケージャーに欠陥がある。 ファイル共有や WebDAV 共有に
正当なファイル
攻略コードの入った実行可能ファイル
の両方を設置しておく。ここで正当なファイルを開くと、攻略コードが実行される。 CVE-2012-0009。Exploitability Index: 1
MS12-003 - 重要: Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2646524)
Windows XP / Server 2003 / Vista / Server 2008 に欠陥。 クライアント/サーバー ランタイム サブシステム (CSRSS) における UNICODE 文字シーケンスの処理に欠陥があり、local user による権限上昇が可能。 CVE-2012-0005。 Exploitability Index: 1
MS12-004 - 緊急: Windows Media の脆弱性により、リモートでコードが実行される (2636391)
Windows XP / Server 2003 / Vista / Server 2008 の Windows Multimedia Library および DirectShow、 Windows 7 / Server 2008 R2 の DirectShow、 および Windows Media Center TV Pack for Windows Vista の DirectShow に欠陥。
MIDI のリモートでコードが実行される脆弱性 - CVE-2012-0003
Windows Multimedia Library の winmm.dll に欠陥があり、攻略 MIDI ファイルによって任意のコードが実行される。 Exploitability Index: 1
DirectShow のリモートでコードが実行される脆弱性 - CVE-2012-0004
DirectShow の Quartz.dll および Qdvd.dll に欠陥があり、攻略メディアファイルを開くと任意のコードが実行される。Exploitability Index: 1
関連: More information on MS12-004 (Microsoft Security Research & Defense, 2012.01.10)
MS12-005 - 重要: Microsoft Windows の脆弱性により、リモートでコードが実行される (2584146)
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 ClickOnce アプリケーションが Windows Packager の安全でないファイルの種類のリストに含まれていないため、攻略 ClickOnce アプリケーションを埋め込んだ Office ファイルを開くと攻略コードが実行される。CVE-2012-0013。 Exploitability Index: 1
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表への件。Exploitability Index: 3
Microsoft Anti-Cross Site Scripting (AntiXSS) Library V3.x / V4.x に欠陥。 サニタイズが不十分なため、XSS 攻撃を許す可能性がある。 CVE-2012-0007。 Exploitability Index: 3
関連:
2012 年 1 月のセキュリティ情報 (月例) (日本のセキュリティチーム, 2012.01.11)
2012 年 1 月のワンポイント セキュリティ (日本のセキュリティチーム, 2012.01.11)
January 2012 Microsoft Black Tuesday Summary (SANS ISC, 2012.01.10)
Windows Packager設定における任意のコードを実行可能な脆弱性(MS12-005)(CVE-2012-0013)に関する検証レポート (NTTデータ先端技術, 2012.01.17)
MS12-007 - 重要: AntiXSS Library の脆弱性により、情報漏えいが起こる (2607664) が改訂されています。アップグレードパッケージが、AntiXSS Library version 4.2 から AntiXSS Library version 4.2.1 に更新されたそうです。
MS12-004 - 緊急: Windows Media の脆弱性により、リモートでコードが実行される (2636391) の「MIDI のリモートでコードが実行される脆弱性 - CVE-2012-0003」の exploit が出回っているそうです。 CVE-2012-0003 Exploited in the Wild (IBM ISS, 2012.01.26)
CVE-2012-0003 exploit の件:
不正なMIDI音楽ファイルを読みこまされてウイルス強制感染! (CVE-2012-0003) (無題な濃いログ, 2012.01.26)
Malware Leveraging MIDI Remote Code Execution Vulnerability Found (trendmicro blog, 2012.01.26)
CVE-2012-0003 Exploit ITW (ESET Threat Blog, 2012.01.27)
MIDI exploit in the wild (Symantec, 2012.01.28)。 日本語版: MIDI を悪用するマルウェア (シマンテック, 2012.01.29)
Windows Media PlayerのMIDIファイル処理における脆弱性(MS12-004)(CVE-2012-0003)に関する検証レポート (NTTデータ先端技術, 2012.01.30)
InterScan WebManager SCCにおいて、マイクロソフトのセキュリティパッチMS12-006を適用後、HTTPS規制が正しく行われなくなる可能性がある問題について (トレンドマイクロ, 2012.02.06)。 InterScan WebManager SCC3.0.0.3 で対応されているそうです。
MS12-006 SSL/TLS の脆弱性のちょっと詳しい解説 (日本のセキュリティチーム, 2012.01.29)
出ました。Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2] の件 (CVE-2011-4885) と、攻略 Exif ヘッダによって integer overflow する件 (CVE-2011-4566) が修正されている。
libxslt の件 Bug #54446 - Arbitrary file creation via libxslt 'output' extension (PHP.net) (CVE-2012-0057) も PHP 5.3.9 で修正されている。
PHP5.4.8までにhashdos攻撃の危険性? (togetter, 2012.11.23)。mbstring.encoding_translation=On の場合 (デフォルトは "0")、 hashdos 対策コードが効かない状況だった模様です。PHP 5.3.19 / 5.4.9 で対応されています。
mbstring.encoding_translation=On で hashdos の件、PHP 5.4.9 と同時にリリースされた PHP 5.3.19 でも修正されているので、昨日のエントリを修正しました。 榎本さん情報ありがとうございます。
Windows patch 出た。ただし、MS12-006 - 重要: SSL/TLS の脆弱性により、情報漏えいが起こる (2643584) と MS11-099 - 重要: Internet Explorer 用の累積的なセキュリティ更新プログラム (2618444) の両方を適用する必要がある。
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
PHP 5.3.9 Released! (php.net, 2012.01.11)
APSB12-01: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2012.01.10) で Adobe Reader / Acrobat 9.5 / 10.1.2 出ました。修正されてます。
APSB12-01: Prenotification Security Advisory for Adobe Reader and Acrobat
Adobe Reader / Acrobat 9.5 / 10.1.2 出ました。
APSB12-01: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2012.01.10)
APSB12-01: Prenotification Security Advisory for Adobe Reader and Acrobat (Adobe, 2012.01.10)
Adobe Reader and Acrobat X (10.1.2) and 9.5 (Adobe, 2012.01.10)。Mac 版 Safari 5.1 での不具合は今だに直っていないのですね。
Adobe Reader and Acrobat X (10.1.2) and 9.5 Add JavaScript Whitelisting Capability (Adobe, 2012.01.10)
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 (JPCERT/CC, 2012.01.11)
PowerDNS 2.9.22.5 未満 / 3.0.1 未満に欠陥。攻略 DNS 応答によってループに陥り DoS 状態となる。CVE-2012-0206
PowerDNS 2.9.22.5 / 3.0.1 で修正されている。[Pdns-announce] PowerDNS Security Advisory 2012-01: Denial of Service vulnerability in most versions of the PowerDNS Authoritative Server には patch も示されている。また powerdns.conf で cache-ttl=0 を設定することで回避できる。
》 「女性リード型の描写が進むとホモセクシュアル的な傾向が出てきて、心理的にノーマルな性交渉が難しくなる」という偏見に満ちた議事録の存在が明らかに (gigazine, 1/8)。宮崎県青少年健全育成審議会。わけがわからないよ。
》 Winny事件弁護団祝勝会 (壇弁護士の事務室, 1/9)
》 【「食べログ」で順位操作】識者談話 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 1/9)
》 Updated OpenDLP (SANS ISC, 1/7)。DLP = Data Loss Prevention。
》 Snort 2.9.2 now supporting SCADA protocol checks (SANS ISC, 1/8)
》 Android端末を狙う不正プログラム、2012年末までに12万個に!? (トレンドマイクロ セキュリティ blog, 1/6)
》 Internet Explorer 9の自動インストールをブロックする (@IT, 1/6)。もうすこし寝ると、IE9 の無警告インストールがはじまるらしい。
》 新刊『Windows Sysinternals Administrator's Reference』を参照して問題を解決する (Mark's ブログ 日本語版, 1/10)。 元記事は 2011.07.18 に書かれていることに注意。
》 BinDiff 4.0 available today :-) (zynamics.com, 2011.12.05)
》 線量減少が速すぎる (忘却からの帰還, 1/9)。福島市と飯館村長泥の観測点での放射線量が減りすぎているという話。外部への流出が疑われている。
》 How the Great Firewall of China Blocks Tor (threatpost.com, 1/9)。Team Cymru 調べ。
》 街から医者が消える? 東大の研究所が明かす、“医療の不都合な真実” (Business Media 誠, 1/10)
》 時論公論 「連邦崩壊20年・プーチン体制を揺るがす抗議デモの波」 (NHK 解説委員室, 2011.12.14)。石川一洋解説委員。
直接の原因は下院議会選挙での不正投票です。 (中略) 子細に投票結果を見てみますと不自然さは明確です。モスクワと隣り合い、投票傾向もあまり変わらないモスクワ州での統一ロシアの得票率は32%です。モスクワの同じ地区の中で一つの投票所では得票率が30%を切るのに、隣の投票所では80%、90%を超えたような例が多数見られます。
いずれにしても12月10日の大規模デモをきっかけに「プーチンはナショナルリーダーである」というプーチン神話は終わりました。下院議会は国民の目から見れば合法性を失っています。もしもこのままの状況で大統領選挙を行い、プーチン氏が大統領に当選したとしても、国民から見れば合法性を疑われる恐れもあるでしょう。
連邦崩壊20年の時に起きた自由化を求める抗議のうねりが再びロシアをその内側から変えようとしています。
》 取り調べ可視化、検事が中止へ誘導 試行中の仙台地検 (asahi.com, 1/9)
》 災害対策 車載バッテリー活用実験 (NHK, 1/10)。ハイブリッド車とか電気自動車とかのではなく、フツーのガソリン車・ディーゼル車の車載バッテリーの話みたい。主催が「石油元売り各社でつくる石油連盟」ですし。
》 米海兵隊ダーウィン駐留:5年前、豪が提案 同盟象徴の地 (毎日, 1/10)。毎日の「米中覇権の時代」シリーズ第1弾。次は 3 月だそうで。
米国がオーストラリアと合意した米海兵隊のダーウィン駐留は、海洋進出を加速させる中国を封じ込める戦略的意図がある。中国国防省は駐留を「冷戦思考の表れ」(耿雁生報道官)と批判した。中国軍の羅援少将は昨年末、「中国が大国になるには(日本からインドネシアに延びる)第1列島線を突き進まなければならない」と発言した。実際、中国艦船は「第1列島線」を突破する形で沖縄本島と宮古島の間を抜け、西太平洋上で軍事演習を繰り返す。
米軍は北半球のアジア地域に兵力7万人を展開するが、南半球は手薄だ。中国の新型弾道ミサイルが沖縄を射程にとらえる中、「第2列島線」の南端の延長線上にあるダーウィンへの米海兵隊駐留について、外交筋はこう解説する。「太平洋全域を南からにらみ、シーレーン(海上輸送路)防衛に向けた決意を中国に示すのに最も妥当な場所だ」
》 シリーズ原発危機 知られざる放射能汚染(仮) (NHK スペシャル, 1/15 放送予定)
今回、NHKでは、専門家チームとともに初めて、原発から20km圏内の海の本格的な汚染調査を実施。同時に、陸においては、山間部の湖から河川もふくめた広範囲の調査も行った。そこからは、次々と新たな放射能汚染の実態が浮かび上がってきた。予想もしない場所で発見されたホットスポット。山奥の湖で、人知れず進行していたワカサギやイワナなど淡水魚の汚染。いずれも放出された放射性セシウムが、「水」を媒介にして意外な影響をもたらしている現実だ。
[SA47383] FFmpeg Multiple Vulnerabilities (secunia, 2012.01.07)。FFmpeg 0.9.1 で修正されている。
Release Notes - 0.8.7i (cacti.net, 2011.12.01)。SQL インジェクション欠陥と XSS 欠陥が修正されている。 0.8.7h で直った件とは別なのだろう。
[MediaWiki-announce] MediaWiki security release 1.17.1 (wikimedia.org, 2011.11.28)。2 件のセキュリティ欠陥が修正されている。 CVE-2011-4360 CVE-2011-4361
2012.01.10 (US 時間) に Adobe Reader / Acrobat 9.x / 10.x の更新版が公開される予定です。
Adobe Reader / Acrobat 9.5 / 10.1.2 出ました。
APSB12-01: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe, 2012.01.10)。 CVE-2011-4370 CVE-2011-4371 CVE-2011-4372 CVE-2011-4373。 10.x については CVE-2011-2462 CVE-2011-4369 も今回で修正。
APSB12-01: Prenotification Security Advisory for Adobe Reader and Acrobat (Adobe, 2012.01.10)
Adobe Reader and Acrobat X (10.1.2) and 9.5 (Adobe, 2012.01.10)。Mac 版 Safari 5.1 での不具合は今だに直っていないのですね。
Adobe Reader and Acrobat X (10.1.2) and 9.5 Add JavaScript Whitelisting Capability (Adobe, 2012.01.10)
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 (JPCERT/CC, 2012.01.11)
》 首相、中間貯蔵要請 井戸川町長「双葉郡民は国民ですか」 (河北新報, 1/9)
》 今年6月30日(日本時間では7月1日)にうるう秒 (slashdot.jp, 1/7)
》 第2昭南丸に Forest Rescue 所属の3名が乗り込み
反捕鯨支持者が日本の捕鯨監視船に乗り込む 豪州沖 シー・シェパード「拘束」主張、海保は否定 (産経 MSN, 1/8)
妨害活動を陸から支援 「SSと豪団体は一緒の組織」 (産経 MSN, 1/9)
監視船乗船の3人を豪政府へ引き渡しへ 捕鯨継続を優先、立件見送り (産経 MSN, 1/9)
Three Australian Prisoners Now Detained on a Japanese Whaler in Australian Waters (Sea Shepherd, 1/7)
Whale activists boarding the Shonan Maru No.2 (theage.com.au, 1/9)。乗り込み映像。
特別リポート・オリンパスの誤算:損失隠ぺいのツケ、見えない再生への道筋 (ロイター, 2011.12.16)
当社に関する一部報道について (オリンパス, 1/8)。コピー不可ですか。
なお、当社は本年1月7日付で取締役責任調査委員会(委員長:手塚一男弁護士) より調査報告書を受領しており、これを受けて現在、当社の現旧取締役に対する提訴を検討中であります。当該調査報告書の全文、提訴の内容および当該調査報告書を受けての当社としての対応については、本年1月10日に開示する予定です。
東証がオリンパス上場維持で最終調整、「特設注意市場銘柄」に=関係筋 (ロイター, 1/9)
》 原子力安全基準・指針専門部会 安全設計審査指針等検討小委員会 議事次第 (原子力安全委員会)。資料山盛り。
》 すでに40年超える原発は (NHK「かぶん」ブログ, 1/6)
韓国海軍新鋭潜水艦214級3隻に欠陥 (環球閑話時事の徒然 IZA見参, 2011.05.25)。3 隻ともに運航停止していたのですか。
ソン・ウォンイル級潜水艦(KSS-II > 214型) (日本周辺国の軍事兵器)
ソン・ウォンイル級の建造はこれまでチャン・ボゴ級を建造してノウハウを得てきた現代重工が、新たに蔚山に建設した214型専用造船所で行っている(ノックダウン生産)。
チャン・ボゴ級潜水艦(KSS-I > 209型) は『1番艦の「張保皐(チャン・ボゴ)」はHDW社のキール造船所で建造され浮きドックで韓国へ送られたが、2番艦以降は大宇造船海洋の玉浦造船所で建造された』ようなのだけど。
214型潜水艦 (ウィキペディア)
》 太平洋での潜水艦軍備競争:米国の海中での優位に対する中国の挑戦
太平洋での潜水艦軍備競争:米国の海中での優位に対する中国の挑戦(1) (環球閑話時事の徒然 IZA見参, 2010.03.11)
要約
冷戦の終了以来、中国はその海軍、とりわけ潜水艦隊の拡張を図っており、1995年以降、数十隻の攻撃型潜水艦を増勢した。同じ期間に、米国の攻撃型潜水艦隊は、53隻に縮小し、2028年には、41隻に減勢するものと予想されている。
米国の艦隊は、既に、現在行われている作戦の需要で、余裕がなくなってきており、オーストラリア、インド、その他太平洋諸国も、このバランスの移動を認識して、自らの海軍の拡張、特に潜水艦隊の拡張に入っている。米国が艦隊の減勢に終止符を打ち、反転させない限り、米国の太平洋における軍事的優位は、弱まり続け、米国の利益と友好国や同盟国を支援する合衆国海軍のこの地域での作戦実行能力は、非常に制約を受ける事になるだろう。
太平洋での潜水艦軍備競争:米国の海中での優位に対する中国の挑戦(2) (環球閑話時事の徒然 IZA見参, 2010.03.12)
太平洋での潜水艦軍備競争:米国の海中での優位に対する中国の挑戦(3) (環球閑話時事の徒然 IZA見参, 2010.03.15)
Longer deployments due to ‘sub gap’ (navytimes, 2010.01.11)
平成23年度以降に係る防衛計画の大綱 における潜水艦の増強 (16 隻→ 22 隻、4 割近い増加) は、こういう背景があるわけですね。
》 別の地下トンネルで汚染水発見 (NHK「かぶん」ブログ, 1/7)。140 トン。
》 JNES2011シンポジウム −東京電力(株)福島第一原子力発電所事故に係るJNESの専門技術的活動報告− (JNES, 2011.12.22) の プレゼン資料が公開されています。
地震・津波のシミュレーション解析。 各原発に到来した津波の再現など。
安全設計に関する専門技術的な分析。 事故シーケンスの比較、事故解析、放出放射能量評価など。
災害廃棄物等の放射能汚染状況の調査。 車の汚染の話もある。
》 原子力安全庁発足へ 実効性が課題 (NHK「かぶん」ブログ, 1/5)
》 高濃度汚染水の処理水に含まれる、猛毒ヒドラジンがしゃれにならん……。世界各国で使用中止の物質! (ざまあみやがれい!, 1/6)。ふくいちでホウ酸が使われているのは知ってたけど、ヒドラジンなんて使ってたんだ。ロケット燃料だとしか思ってなかったのだけど、防食剤としても使われているのか。
ホウ酸は核燃料が連鎖的に分裂する臨界を防止する働きがあり、年末までに百五トンを投入。ヒドラジンは原子炉などの金属材の腐食を防ぐ役割で、七十三トンを入れた。
ただし、いずれの物質も人体に悪影響がある。ホウ酸はゴキブリの駆除剤にも使われ、人間が吸い込むと、吐き気や下痢などの症状が起きる。ヒドラジンは、皮膚に触れると激しくただれ、体内に取り込むと中枢神経や肝臓、腎臓の機能障害を引き起こすとされる。そのため、水質汚濁防止法などにより規制がかけられている。
関連:
ヒドラジン (ウィキペディア)。H2NNH2。毒物。
国際化学物質安全性カード: ヒドラジン (国立医薬品食品衛生研究所)
ヒドラジン (滋賀県 毒物および劇物の事故時における応急措置に関する基準)
》 世界のセキュリティ人材育成と日本の課題〜CTFが切り札となるか!?〜 (てっじーの丸出し, 1/6)。Network Security Forum 2012 の【A2】特別講演 14:00-15:50〈110分〉の件。
》 Metasploit Updated: Year in Review (Metasploit blog, 1/4)
》 偽の宝くじやギフトでクリスマスを悪用するフィッシング詐欺 (シマンテック, 1/6)
》 NIST Protects BIOS With New Security Guidelines (informationweek, 2011.12.27)
》 電気屋的、写真で見る福島第1原発復旧 (anaroguma.org)。 精力的な更新が続いてます。 たいへん参考になります。
》 原子力安全に関するIAEA閣僚会議に対する日本国政府の報告書
原子力安全に関するIAEA閣僚会議に対する日本国政府の報告書 −東京電力福島原子力発電所の事故について− (首相官邸, 2011.06)
原子力安全に関するIAEA閣僚会議に対する日本国政府の報告書について (経産省, 2011.10.11 更新)
国際原子力機関に対する日本国政府の追加報告書 −東京電力福島原子力発電所の事故について−(第2報) (経産省, 2011.10.07)
》 Facebookを狙うワームの亜種出現、4万5000以上のパスワードが被害に (ITmedia, 1/6)、Worm steals 45,000 Facebook login credentials, infects victims' friends (arstechnica.com, 1/5)
》 Windows 8はPCの「リセット」および「リフレッシュ」機能を搭載 (slashdot.jp, 1/6)。便利そうだな。
》 フロンティアオーズ、5,460Whの大容量蓄電池「ENEBOX」〜最大5,000回繰り返せるディープサイクルバッテリー採用 (家電 Watch, 1/6)
》 ファイルコピーを神聖な行為だとする「コピー教」がスウェーデン公認宗教に (gigazine, 1/5)
》 Paypalが年代物とされるヴァイオリンを粉砕させるお節介 (techcrunch, 1/5)。ひどい話だなあ。
》 Google Chrome プロモーションキャンペーン、Google のリンクポリシーに違反
GoogleはChromeのプロモーションキャンペーンで有料リンクに関する自己ルールに違反か? (techcrunch, 1/3)
Chromeのキャンペーン中にGoogle自身が有料リンクの禁止に違反した疑惑を巡る教訓 (techcrunch, 1/4)
さほど邪悪にあらず:Google、規約違反でChromeのページランクを引下げ (techcrunch, 1/5)
》 日本の防衛省が“ウイルス型”サイバー防衛兵器を実験中か 攻撃源の逆探知や無力化の能力を持つプログラム、法的問題は (ComputerWorld.jp, 1/5)、 Why Japan's search-and-destroy cyber weapon could be a very bad idea (Sophos, 1/3)。 防衛省が対サイバー兵器、攻撃を逆探知し無力化 (読売, 1/1) の件。
》 2010年にドイツで容疑者追跡のために用いられた440,783の「サイレントSMS」 (エフセキュアブログ, 2011.12.30)
では、これは正確には何を意味しているのだろう?
基本的には、さまざまなドイツの法執行機関が携帯電話の「pinging(ネットワーク接続の確認)」を行っているということだ。このようなpingは、コンピュータからのIPネットワークpingと同様、ターゲットとなったリソースがオンラインかそうでないかを返すのみだ。
だが、pingを作成した後、これらの機関は移動体通信事業者にネットワークログを要求していた。このログは、携帯電話自体からの情報は明らかにしないが、pingが通った基地局の位置を突き止めるのに使用することが可能だ。従って、ターゲットとなる携帯電話を追跡するのに用いることができる。
》 あなたはドイツ人のように考えますか? それともポーランド人? (エフセキュアブログ, 1/4)
OpSony再び…? (セキュリティは楽しいかね? Part 2, 1/4)
Anonymous bullies Sony and Nintendo over SOPA support (Sophos, 1/3)
Sony Pictures Hacked By Anonymous, #OpSony (Cyber War News, 1/6)
》 山岡賢次・国家公安委員長、安全保障会議を欠席 (2011.12.19)
山岡氏、「政務」で安保会議欠席 (産経 MSN, 12/19)。「政務案件で東京を離れていた」
金正日死去の波紋/山岡賢次—クビ必至!すっぽかしの「恥ずかしい理由」 (週刊朝日 [2012年1月13日号])。 この記事によると、公務をすっぽかして、TBC学院の「国際テクニカル調理師専門学校宇都宮校」と「国際テクニカル理容美容専門学校」の新校舎完成披露祝賀会に参列していた模様。
山岡氏に予告放送の情報届かず 藤村官房長官「事務方の連絡ミス」 (産経 MSN, 12/20)
「事務秘書官いなかった」と警察庁 山岡氏の安保会議欠席問題 (産経 MSN, 12/22)
警察庁によると、山岡氏が地元の栃木県内を回っていた際に事務秘書官は同行せず、総書記死去を報じる可能性のある特別放送の情報を伝えられなかったという。また「『政務の日程なので、これ以上については答えを控えろ』ということだ」と山岡氏から指示されていることも明かした。
》 海の向こうの“セキュリティ” 第64回:2011年を振り返る〜あの話題の「その後」 (Internet Watch, 1/5)。 公共インフラ狙う「SCADA攻撃」が発生、米自治体の水道設備に障害 (ITmedia, 11/21)、 海の向こうの“セキュリティ” 第63回:韓国、オンラインストレージ事業者を登録制に ほか (Internet Watch, 12/1) のつづき。
この事件は当初、イリノイ州の水道システムを制御しているSCADA(Supervisory Control And Data Acquisition)にロシアを発信源とする攻撃が行われ、最終的にポンプが故障したと報道されました。これが事実ならば米国の水道システムがサイバー攻撃によって実際に被害を受けた最初の事例となることから、米国内では大きく報道され、SCADAへの脅威を広く知らしめることとなりました。ところがその後、詳細な調査を行っていた国土安全保障省とFBIが、ポンプの故障がサイバー攻撃によるものであることを示す証拠は見つからなかったと発表し、サイバー攻撃は「誤報」だったとされたのですが、最初の報道とあまりに違う調査結果にかえって疑惑を生む結果になりました。
このまま事実はうやむやにされてしまうのではとあきらめていたところ、その後、詳細な「事実」が改めて報道されたのです。
それによると、イリノイ州の水道システムのSCADAをセットアップした業者の1つであるNavionics Research社の創設者でオーナーのJim Mimlitz氏が、6月に休暇で家族とロシアを旅行している際に、水道会社からある案件でアドバイスが欲しいとの依頼が携帯電話にあり、仕方なくリモートからSCADAのシステムにログインしたことがあるらしく、これが「ロシアからの攻撃」と誤認されたというのです。
ロシアからもログインできる状態が果たして良いのかという問題はさておき、「正規のログイン」を攻撃と誤認してしまうとは情けないにもほどがあります。実際、ログにはロシアのIPアドレスとともにMimlitz氏のユーザ名も記されており、普通ならまずMimlitz氏にロシアからログインしたことがあるかを確認すべき。ところが、誰もそれをしようとはせず、ただロシアのIPアドレスがあるというだけで「ロシアからの攻撃だ!!」と騒ぎ立ててしまったというわけです。
結果的にはセキュリティインシデントではなかったのですが、これは「悪いインシデント対応」の典型例。極めて初歩的なミスでインシデントであると誤解し、その誤解のままメディアにリークしてしまうなど、インシデントマネジメントが全くできていない証しです。
》 コンピュータウイルス・不正アクセスの届出状況[12月分および2011年年間]について (IPA, 1/6)
》 安価なプロフェッショナルDDoSサービス (エフセキュアブログ, 1/6)
》 狙われ始めたAndroid 第2回:“やられ放題”になるボットの恐ろしさ (Internet Watch, 1/6)。執筆はカスペルスキーの前田さん。
》 Norton アンチウイルスのソースコード漏洩、シマンテックが確認
Symantec Confirms Source Norton AV Code Exposed (infosecisland.com, 1/6)
Yama Tougher SpywarePlus directory from src pack - to prove my Identity. G+ deleted my account right after Tony messaged me to talk in private...
http://depositfiles.com/files/rkqsj2d98
Symantec Confirms Hackers Accessed Source Code of Two Enterprise Security Products (securityweek.com, 1/6)
In this case, Symantec confirmed with SecurityWeek early Friday morning that the products in question are Symantec Endpoint Protection 11.0 and Symantec Antivirus 10.2, so this incident did NOT involve its consumer products which are “Norton” branded.
Symantec Endpoint Protection 11.0 and Symantec Antivirus 10.2.While many would expect the “FUD” factor to kick in, its important to realize a few facts. Symantec updates its products on a “.1 basis”, and its Endpoint Protection product is now at version 12.0 and 12.1. According to a Symantec spokesperson, “SEP 11 was four years ago to be exact.”
In addition, Symantec Antivirus 10.2 has been discontinued, though the company continues to service it.
あれ?! では、↑ にある spwpl/depot/Norton_AntiVirus/Consumer/r12.0.6/src/SpywarePlus/... とかゆーのが含まれたアーカイブは何かなあ。
Update 3: Hackers May Leak Norton Antivirus Source Code (infosecisland.com, 1/5)
Update: File Appears to Contain 2006 Norton AV Source Code (infosecisland.com, 1/5)
Symantec investigates possible leak of Norton AntiVirus source code (infoworld, 1/5)
SYMANTEC SOURCE CODE OWNEED (pastebin / google キャッシュ, 1/4)
Norton AV source code file list (pastebin / google キャッシュ, 1/4)
「Norton AntiVirus」のソースコードが流出? 「The Lords of Dharmaraja」と名乗るハッカー・グループがインドの情報機関から盗んだと表明 (ComputerWorld.jp, 1/6)
》 2011 in Review: Exploits and Vulnerabilities (trendmicro blog, 1/3)。何を数えたらこうなったんだろう。
》 標的型攻撃に利用される、パスワードで保護された悪質な文書ファイル (シマンテック, 1/4)
これまでにも、パスワードで保護されたメール添付ファイルはたびたび出現しましたが、通常はアーカイブファイルでした。添付ファイル自体が検出されるのではなく、アーカイブ内のファイルが、抽出されたときに検出されるのです。ところが今回の攻撃の場合は、添付ファイルそのものが、パスワードで保護された、すなわち暗号化されたファイルです。(中略) パスワードで保護された文書が迷惑メールに添付されている場合は、この新しい手口にご注意ください。
》 オリンパス元社長 委任状争奪断念 (NHK, 1/6)、 オリンパス:委任状争奪、元社長断念 株主の支持得られず (毎日, 1/6)
「国内のオリンパスの大株主が誰も(私たちに)支援の声をあげなかったばかりか、汚染された現経営陣の続投を事実上黙認している」と指摘。企業間の株の持ち合いにも触れ、「なれ合いで適性を欠く経営陣が居座れる環境が醸成されている」と述べ、現経営陣やそれを支援する大株主を強く批判した。
》 比較的安価な放射線測定器の性能—第2弾— (国民生活センター, 2011.12.22)
》 湯たんぽ 電子レンジ加熱に注意 (NHK 生活情報ブログ, 1/6)。関連:
冬の身近な危険について その1 湯たんぽによるやけどにご注意を! (消費者庁, 2011.11.30)
電子レンジや IH ヒーター等で加熱する湯たんぽの安全性 (国民生活センター, 2009.11.04)
》 最近 Android Market の売上レポートに購入者の個人情報が思いっきり入るようになってしまった件 (むらかみの雑記帳, 1/4)
》 シー・シェパードが調査捕鯨船の進路を妨害 映像が公開される (1/5)、 反捕鯨団体シーシェパードによる妨害活動(第1報) (日本鯨類研究所, 1/5)
【「食べログ」で順位操作】「裏技」「確実」と提案 10万円でやらせ月5件 (共同, 1/5)
【「食べログ」で順位操作】識者談話 (共同, 1/5)。落合洋司氏、堀部政男氏の談話。
本日の報道内容に関して (カカクコム, 1/5)
食べローグ (壇弁護士の事務室, 1/6)
自称しがない弁護士の落合先生は、カカクコムに対する業務妨害罪の成立を認めるようである。(中略) 私は、この見解とは違う。(中略) データの信頼性というのは、運営会社の業務それ自体ではなかろう。食べログの運営自体が困難になることに向けられたような場合でなければ業務妨害は成立しないとい考えている。そうでないと、企業が望まない行為は全部犯罪になりかねない。
楽蔵 福岡天神店 (食べログ) (from https://twitter.com/#!/yomoyomo/status/155062458518749184)
わたし以外にも11年11月現在、3つのレビューがありますが、
なぜか、わたし以外のレビューは、3つとも絶賛してあります。
しかも、3人とも、この一軒だけしかレビューしてません。
そして、福岡市の方じゃないみたいです。
なにか、不思議なお店ですね・・・・。
みんな食べログが好きなことはわかった。でもユーザー投稿サイトの投稿のされ方はいろいろだ (techcrunch, 1/6)
食べログ:ランキング操作調査へ 山岡消費者相 (毎日, 1/6)。山岡賢次さんは、食べログよりもマルチ商法をなんとかしてください。
2.0.1 release now available! (pfSense Digest, 2011.12.20)。セキュリティ修正 2 件。 CVE-2011-5047 CVE-2011-4197
MySQL 5.5.8 Remote Denial Of Service (DOS) (exploit-db, 2011.12.28)。 Windows 上の MySQL 5.5.8 において、3306/tcp に攻略パケットを送ると DoS。 CVE-2011-5049
Host storage devices vulnerable with KVM Linux virtualisation (H Online, 2011.12.30)。Linux カーネルに、ゲスト OS からホスト OS のストレージを読み書きできてしまう欠陥。 CVE-2011-4127
CVE-2011-4127 (Red Hat)。 RHEL 4 / 5 / 6、Red Hat Enterprise MRG に影響。 RHEL 6 については patch あり。RHEL 5 と Red Hat Enterprise MRG は patch を予定。RHEL 4 は patch 予定なし。
RHEL 6: RHSA-2011:1849-1。 Red Hat Enterprise Virtualization 3: RHSA-2011:1850-1
Bug 752375 - (CVE-2011-4127) CVE-2011-4127 kernel: possible privilege escalation via SG_IO ioctl (Red Hat)
CVE-2012-0390 。Plaintext-Recovery Attacks Against Datagram TLS (N.J.A. Alfardan and K.G. Paterson) の件、 GnuTLS も影響を受ける。 最新の GnuTLS 3.0.10 でも直っていない模様。
DTLS の件、GnuTLS 3.0.11 で修正されました。
Slow Read DoS 登場。
この攻撃は、Webクライアント(ブラウザ)が、Webサーバからのレスポンスを読み取る時間を引き延ばすことで、サーバの正常な動作を妨害するというものである。すでに発見されている攻撃手法「Slowloris」などをベースに考案された手法であり、攻撃者のクライアントがWebサーバの同時接続プールを使い切ることで、正当なクライアントとの接続を妨害する仕組みはSlowlorisと同様だ。
ただし、クライアント側のHTTPリクエスト動作をスローダウンさせるSlowlorisとは対極的に、Slow Read DoSではサーバのレスポンス動作をスローダウンさせる。
詳細: Are you ready for slow reading? (Qualys Security Labs, 2012.01.05)
関連:
Fun with BSD-derived Telnet Daemons (Metasploit blog, 2011.12.27)
More Fun with BSD-derived Telnet Daemons (Metasploit blog, 2011.12.28)
Metasploit Updated: Telnet Exploits, MSF Lab, and More (Metasploit blog, 2011.12.28)
関連:
Some Facts About Carrier IQ (EFF, 2011.12.13)
Carrier IQ finds bug that has been saving SMS texts (H Online, 2011.12.13)
Sprint、すべての端末 OEM 供給先に対し Carrier IQ の削除を要求 (slashdot.jp, 2011.12.20)
Analyzing Carrier IQ Profiles (EFF, 2011.12.21)
HP patches printer firmware flaw, but leaves customers guessing (Sophos, 2012.01.05)。HP のニュースリリースからはセキュリティ欠陥の詳細情報がわからないよ、こんなの絶対おかしいよ、という話。
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (徳丸浩の日記, 2011.12.30) が改訂され、suhosin パッチを使った回避策が紹介されている。
VU#723755: WiFi Protected Setup PIN brute force vulnerability
JVNVU#723755: Wi-Fi Protected Setup に脆弱性 (JVN, 2012.01.04)。日本の各社の情報がある……かと思いきや、何もない。
Google Chrome 16.0.912.75 登場。3 件のセキュリティ欠陥が修正されている。
もうそんな季節なのか。緊急 x 1、重要 x 6。IE や Office はないみたい。
WordPress 3.3.1 登場。XSS 欠陥が修正されている。 CVE-2012-0287
OpenSSL に 6 つの欠陥。OpenSSL 0.9.8s / 1.0.0f で修正されている。
DTLS Plaintext Recovery Attack (CVE-2011-4108)。 Plaintext-Recovery Attacks Against Datagram TLS (N.J.A. Alfardan and K.G. Paterson) の件。
Double-free in Policy Checks (CVE-2011-4109)。OpenSSL 0.9.8 のみの欠陥。
Uninitialized SSL 3.0 Padding (CVE-2011-4576)
Malformed RFC 3779 Data Can Cause Assertion Failures (CVE-2011-4577)
SGC Restart DoS Attack (CVE-2011-4619)
Invalid GOST parameters DoS Attack (CVE-2012-0027)。OpenSSL 1.0.0 のみの欠陥。
OpenSSL Security Advisory [18 Jan 2011] (原文ママ) (OpenSSL.org, 2012.01.18)。 OpenSSL 1.0.0f / 0.9.8s における、 DTLS Plaintext Recovery Attack (CVE-2011-4108) への対応部分に欠陥があり、 DoS 攻撃を受けることが判明。CVE-2012-0050。
OpenSSL 1.0.0g / 0.9.8t で修正されている。iida さん情報ありがとうございます。
Linux 2.6.28 以降に欠陥。sched_clock() が約 208.5 日で overflow するため、 Linux が再起動する。Linux 2.6.28 以降を使用しているディストリビューション (例: RHEL 6) 全てに影響する。ただし、仮想マシン上で動作させている場合には、この欠陥は影響しない。物理マシン上、かつ Pentium 4 以降の Intel 系 CPU (互換品含む、32 bit / 64bit どちらでも) を使用している場合にのみ影響。 匿名希望さん情報ありがとうございます。
Linux 2.6.32.50 / 3.0.13 / 3.1.5 で修正されている。関連:
Possible system freeze after more than 208 days (Novell)。SuSE 11 SP1 には Program Temporary Fix が用意されており、サポートから入手できるそうです。
[SECURITY] Fedora 16 Update: kernel-3.1.6-1.fc16 (Fedora Project, 2011.12.23)
RHEL: RHEL 5 には影響しないが、RHEL 6 には影響する。 patch はまだみたい。
sched clock overflows in 208 days (i386 and amd64) (ubuntu)。まだ直ってなさげ。
patch がないディストリの場合は、200 日以内に手動で再起動するなどして回避する。
Vine Linux 6 修正出ました。
kernel のバグフィックス (VineLinux, 2012.01.07)
なお、この欠陥は Vine Linux 5 以前には影響しません。
Debian 6.0 (squeeze) は linux-2.6 (2.6.32-40) で修正されています。
Contents of /dists/squeeze/linux-2.6/debian/changelog Revision 18535 (anonscm.debian.org)
しかし DSA-2389-1 linux-2.6 -- privilege escalation/denial of service/information leak として 2012.01.15 にリリースされたのは 2.6.32-39 のようで。 これでは直っていない模様。関連: Debian Package Tracking System - linux-2.6 (debian.org)
208.5 日問題の逆襲 (熊猫さくらのブログ, 2013.12.21)。直り切っていなかった模様です。
Systems with Intel Xeon Processor E5 hung after upgrade of Red Hat Enterprise Linux 6
https://access.redhat.com/site/solutions/433883
手元の VMware Player 上で 4 VCPU を割り当てた CentOS 6 32bit 環境において、 TSC の書き換えにより連続稼働をエミュレートするという方法で再現試験を行った限りでは、この不具合の再現率は100%のように見受けられます。
Apache Struts 2.3.1.1 登場。複数のセキュリティ修正が含まれている。
S2-007: User input is evaluated as an OGNL expression when there's a conversion error (struts.apache.org)。Struts 2.0.0 〜 2.2.3 の欠陥。 型変換エラーが発生する際に OGNL 式が評価されてしまうため、remote からのコマンド実行が可能。
詳細: NCSIRT アドバイザリ: Apache Strutsソフトウェアの脆弱性を利用した攻撃の危険性 (NRI セキュアテクノロジーズ, 2011.12.20)
S2-008: Multiple critical vulnerabilities in Struts2 (struts.apache.org)。Struts 2.1.0 〜 2.3.1 に複数の欠陥。remote からのコマンド実行が可能な欠陥 x 3、任意のファイルを上書きできる欠陥 x 1。
2011.12.29 付で iceiv+putty が 0.62 ベースになってます。
》 NDAA (National Defense Authorization Act; 国防権限法) 米国で成立。日本では海兵隊グアム移転方面の話ばかりが取り上げられていた感がありますが、それだけではなかったようで。
Obama, Accountability and NDAA (Fumi's Travelblog, 1/3)
「NDAA 国防権限法」・・・暴動に備えるアメリカ? (人力でGO, 2011.12.22)
米、国防権限法が成立 原油取引規制でイラン制裁 (asahi.com, 1/2)
》 New Year's Resolution: Full Disk Encryption on Every Computer You Own (EFF, 2011.12.31)。全ディスク暗号化ノススメ。
》 Bootkit Threat Evolution in 2011 (ESET Threat Blog, 1/3)
》 Web Hijacks with AJAX (m86security.com, 1/3)
》 The tale of obfuscated JavaScript continues (SANS ISC, 1/3)
》 Analysis of the Stratfor Password List (SANS ISC, 1/3)。ショボかった模様。
》 nmap 5.61TEST4 released (SANS ISC, 1/3)
》 公認会計士協会 「監査制度充実強化調査会」を設置するようですね (まるちゃんの情報セキュリティ気まぐれ日記, 2011.12.31)
》 忠臣蔵の名場面「山科の別れ」の真相とは… 大石内蔵助の新発見書状で判明 (産経 MSN, 1/3)。新事実が明らかになっても、ドラマとかでは使われないことが多いんだよな。
》 平田容疑者「警察のフリーダイヤルつながらず…」 (TV 朝日, 1/3)。ケーサツのショボい実態が次々と明らかに?
3日、平田容疑者と3時間半にわたって接見した弁護士によりますと、平田容疑者が「出頭前に警察の情報提供を求めるフリーダイヤルに10回ほど電話したが、つながらなかった」と話していることが新たに分かりました。平田容疑者はその後、名前を名乗らずに「平田信の担当はどこか」と110番に電話をかけたところ、「警視庁本部」と言われたため、電車で警視庁に移動したということです。
》 NHK紅白のガガの「翻訳ミス」について (Meine Sache 〜マイネ・ザッヘ〜, 1/3)。紅白×レディ・ガガ「Born this way」歌詞誤訳事件話。
NHKの翻訳は、安いバイトに頼んだりはしません。民放ではそういう場合もありますが、NHKではありえません。NHKの翻訳業務は、番組ごと外部委託する場合と、一部の例外を除き、子会社のNHK情報ネットワーク所属のバイリンガル・センターという部署に独占的に委託されます。BSニュースとかで同時通訳を引き受けている部署です。
だから訳したのはアマチュアではなく、プロのはずです。ただし、彼らの通常の業務はニュース翻訳であり、歌詞や芸術作品の翻訳は不得意です。かつてNBAの黒人選手たちのインタビュー翻訳を頼んだら、普段バリバリにニュース翻訳している人に滅茶苦茶な訳をされた挙げ句、「あのー、実は何言ってるか全然わかんないんです…」と泣きつかれたこともありました。(中略) NHKはへたにお抱えの翻訳事務所を持つばかりに、時々ダメな翻訳をしてしまうのです。カネに余裕がないからではなくて、中途半端に余裕があるがゆえのミスなのです。
しかし、今回の件って「政治的に正しくない」訳なわけで。「BSニュースとか」やってる人がこれ、というのはかなりマズいんじゃ。
》 緊急時対策支援システム(ERSS)のプラント情報表示システムの停止について(復旧済) (原子力安全基盤機構, 2011.12.31)
なお、本件は、原子力施設のトラブルに関係するものではありません。
SPEEDI に関係するものです、とは言わないのね。
》 速報 4号機使用済燃料プールのスキマサージタンク水位が異常低下。地震直後から (ざまあみやがれい!, 1/2)。ヤバいかも。
》 保安院・寺坂信昭が、住民残る飯舘村の毎時136μSvを「特に問題となるような高い線量は観測されておりません」とごまかしていた (ざまあみやがれい!, 1/2)。ポイント 31〜33 はのきなみ高かったですから。
ZABBIX 1.8.10 登場。複数の XSS 欠陥 (CVE-2011-4615 CVE-2011-5027) が修正されている。
Bugzilla 3.4.13 / 3.6.7 / 4.0.3 / 4.2rc1 登場。3 つのセキュリティ欠陥 (XSS、無認証でのアカウント作成、CSRF) が修正されている。
“スマートフォン主流時代”にどう取り組むか——NTTドコモ 辻村副社長に聞く(前編) (ITmedia, 1/1)
—— Appleの姿勢では、ハードウェアレベルのローカライズは難しいでしょうね。
辻村氏 ええ。ですから、まずはマイクロソフトと協議して、ドコモのお客様に満足していただける範囲でカスタマイズができるということであれば、Windows Phoneの導入は進めていきたいと思っています。
いつ出るんだろう。
新たな付加価値と事業創造で「ダムパイプ」にはならない——NTTドコモ 辻村副社長に聞く (後編) (ITmedia, 1/2)。スマホの (≒ Android の) マルウェアについて:
辻村氏 (中略) この取り組みとしましては、ドコモがマルウェアの心配がなく安心して使えるアプリを選別し、そこからお客様にアプリを選んでいただく仕組みを考えています。
au では 2010.09.01 から開始されている au one Market セキュアアプリ検証を、ドコモでもそのうち実施する、ということかしら。
—— セキュリティ以外の課題ですと、最近顕在化してきたものに「Googleアカウントの管理問題」があります。
これまでケータイしか使わず、PCもあまり使っていない人だと、Googleアカウントの利用や管理が大きなハードルになってしまっています。特に問題なのが、お客様がGoogleアカウントを忘れてしまった時です。(中略)
辻村氏 Googleアカウントのサポートに関しても、重要な問題として認識しています。実際、いくつかの対策を考えています。
1つは「Googleアカウントを使わない方式」でAndroidスマートフォンを使っていただくというものです。(中略) 現在、その可能性について検討を進めており、2012年度の前半には実現の可否も含めて判断します。
そして、もう1つの方向性は、“Googleアカウントの取得から管理までをドコモが一括してサポートする”というものです。ドコモが現在取り組んでいるパーソナルクラウドのサービスで、お客様のGoogleアカウント情報などを管理する形でサポートするわけです。むろん、Googleアカウントやパスワード情報が漏洩したら大変なことになりますので、我々がセキュリティを担保できるドコモのクラウドを活用するわけです。
ドコモで Google Apps アカウントを提供すると幸せになれそうな気がするのだけど、そういう方向性はないみたい。「もう1つの」は、ドコモがパスワードマネージャを提供するということなのかなあ。さらにややこしくなりそうな気がするのだけど。
平田容疑者、霞ヶ関駅から出頭か (TBS, 1/2)
オウム真理教の元幹部、平田信容疑者が出頭し逮捕された事件で、平田容疑者が地下鉄を利用し、東京メトロ・霞ヶ関駅から出頭したとみられることが新たに分かりました。当初は警視庁本部に出頭しようとしたものの、警備にあたっていた機動隊員に丸の内署に行くように指示されたということです。
(中略)
平田容疑者は大みそかの午後11時50分ごろ、警視庁丸の内警察署に出頭しましたが、その後の警視庁への取材で平田容疑者が地下鉄を利用し、東京メトロ・霞ヶ関駅から歩いて出頭していたとみられることが新たに分かりました。当初は、霞ヶ関駅に最も近い警視庁本部に出頭しようとしたものの、警備にあたっていた機動隊員に丸の内署に行くよう指示され、歩いて向かったということです。
平田容疑者と接見した滝本太郎弁護士 (中略) によりますと (中略) 関与が取りざたされた長官狙撃事件については、「時効になって間違った逮捕があり得なくなったので早く出てきたかったが、色々なことがあって遅れた」と説明したということです。
平田容疑者、最初は警視庁訪れる 首近くのほくろ決め手に (共同, 1/2)
警視庁が平田容疑者の本人確認をする際、指紋の鑑定結果が出る前に首近くのほくろの位置を決め手として判断していたことも判明した。
あけましておめでとうございます。
》 原子力業界が安全委24人に寄付 計8500万円 (asahi.com, 2011.12.31)
内閣府原子力安全委員会の安全委員と非常勤の審査委員だった89人のうち、班目(まだらめ)春樹委員長を含む3割近くの24人が2010年度までの5年間に、原子力関連の企業・業界団体から計約8500万円の寄付を受けていた。
》 坂の上の雲 > 「坂の上の雲」関連資料 > 中央公論(日本海海戦誌) (春や昔 〜「坂の上の雲」のファンサイト〜)
ちなみに、この記事については木村勲著「日本海海戦とメディア」では「参謀とは秋山のことだが、まだこの時点では東京に戻っていないので、彼から情報を得ていた小笠原が、秋山が講演したということにして発表したのものだ。」などと説明されています。しかし、中央公論入手後にあらためて読み返してみたところ、 (中略) といった点から、”連合艦隊参謀某氏”を真之と断定する根拠も今のところ特に無いものの、小笠原が書いたというよりは真之本人の講話である可能性の方が高いと考えています。
》 資源エネルギー庁、使用済み核燃料「直接処分」コスト試算を隠蔽。毎日は核燃料サイクル方面のスクープが続きますね。
核燃サイクル:直接処分コスト隠蔽 エネ庁課長04年指示 (毎日, 1/1)。ひでぇ。
核燃サイクル:直接処分コスト隠蔽 再処理固執の果てに (毎日, 1/1)
部下に隠蔽を指示した経済産業省資源エネルギー庁の安井正也原子力政策課長(当時)が現在、東京電力福島第1原発事故後の安全確保策作りを進める「原子力安全規制改革担当審議官」という要職を務める点でも問題は深刻だ。安井氏は原子力安全・保安院を経産省から切り離し、4月に原子力安全庁として発足させるための準備にも深く関わっている。データ隠しまで行った原発推進派を、規制というブレーキ役の中心に据えている経産省の姿勢が問われる。
さらにひでぇ。
》 防衛省が対サイバー兵器、攻撃を逆探知し無力化 (読売, 1/1)。攻性防壁かな。
オウム真理教:出頭の平田信容疑者を逮捕 容疑を一部否認 (毎日, 1/1)
逃亡17年、平田容疑者「区切りつけたかった」 (読売, 1/1)
産経号外 (産経 MSN, 1/1)
大崎署へ移送 道路封鎖し集団“護衛”、皇居前は騒然に (産経 MSN, 1/1)
仮谷さんに「申し訳ない」 逃亡の経緯、麻原死刑囚については明言せず (産経 MSN, 1/1)
江川さん“死刑執行遅延が目的か” (NHK, 1/1)
》 原発 全電源喪失に備え代替電源を (NHK「かぶん」ブログ, 2011.12.29)、 基指専第19-1号 安全設計審査指針等検討小委員会における検討状況について (原子力安全基準・指針専門部会 第19回会合, 2011.12.28)
「SBOが発生した際には、原子炉を安全に停止し、停止後の冷却を確保し、かつ、復旧できること。」について
SBO発生時の原子炉等の冷却手段について炉型(BWR、PWR)ごとに検討し、安定した冷却の維持に係る技術的要件を整理した。この結果、指針27.「電源喪失に対する設計上の考慮」について、非常用電源とは独立した代替電源の設置を求め、これにより原子炉停止後の冷却を確保することを指針へ反映することとした。
機能しないAndroid課金型SMSトロイの木馬 (エフセキュアブログ, 2011.12.27)。Trojan:Android/RuFailedSMS.A。
「Trojan:Android/FakeNotify」がアップデート (エフセキュアブログ, 2011.12.28)
新年の願いごと - データ収集付き (エフセキュアブログ, 2011.12.29)。Spyware:Android/AdBoo.A。
Android malware: new traps for users (Kaspersky, 2011.12.29)。 紹介: 偽アンチウイルスソフト詐欺がAndroid向けにシフト、2012年にさらに流行へ (gigazine, 1/2)
》 spモードはなぜIPアドレスに頼らざるを得なかったか (高木浩光@自宅の日記, 12/29)
VU#723755: WiFi Protected Setup PIN brute force vulnerability
攻略プログラム登場。
Could hackers break into your Wi-Fi wireless router? (ESET Threat Blog, 2011.12.30)
reaver-wps。 最新は v1.2。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)