Last modified: Tue Oct 30 18:16:33 2012 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 やせた女性は美しい? (NHK 生活情報ブログ, 6/28)。ミス・ユニバース地方大会を突破した人の事例紹介。
去年の岸本さんの食事です。ヨーグルトと果物。それに野菜ジュース。健康を気にして野菜はたくさんとっていましたが、全体の量が少なく、タンパク質、鉄分、炭水化物が不足していました。
栄養指導を担当した細川モモさんは、岸本さんの当時の食事について、「非常にカロリーの低い食事を食べていたことが印象的だった。たんぱく質の不足によって筋肉が低下し体形が緩んで崩れてしまうことや、鉄分の不足によって目の下のくまや肌のくすみが進んでしまってグッと老けた印象を与えてしまうところが、問題だと思う」と話しています。
無理なダイエットをすると、老けて見える。なるほど。 半径 500m 内の学生を見ると、納得できる事例が散見される事に気づく。
栄養指導を受けた岸本さん。その後、3食しっかり食べるようになりました。
肉や卵などのタンパク質、それに炭水化物を多くとるようになったほか、サラダには鉄分の多いほうれんそうも使うようになりました。
体重は2キロ近く増えて、以前より疲れにくくなったほか、肌の乾燥も改善し、美しさに対する意識が変わったといいます。
岸本さんは、「寝つきがよくなったし、体のリズムもよくなったと実感した。『やせていることが美しい』とは思わなくなった。健康美であることやメリハリのあるボディが美しさだと思う」と話しています。
うんうん。
アノニマスたんはドジッこ? ハッカーしゅーだんアノニマスたんイラストまとめ (togetter)
Anonymousが日本を標的に攻撃か−セキュリティ対策の再確認を (トレンドマイクロ セキュリティ blog, 6/27)
「アノニマス」サイバー攻撃の背景 (NHK, 6/27)
アノニマスを本格捜査 警視庁、発信元の特定急ぐ (共同 / 東京, 6/28)
アノニマス:違法ダウンロードの刑罰化で日本攻撃 (毎日, 6/29)
日本への攻撃続けるとアノニマス 次は「浄化作戦」 (47news.jp, 6/29)
アノニマスの攻撃、警視庁が捜査を開始 アノニマスはYouTubeで犯行声明。“誤爆”については謝罪も (ComputerWorld.jp, 6/29)
》 シャープ、“業界初”住宅用太陽光発電システム全体を15年間保証 (家電 Watch, 6/27)
【お詫びと訂正】
初出時、まるごと15年保証について「仮に当社がなくなっても保証は継続される」との発言内容を記しておりましたが、メーカーより発言が誤りであったとの連絡が入りました。当該部分について削除させていただきます。
》 Operation High Roller: online banking fraud on a grand scale (H Security, 6/27)
》 Researchers steal keys from RSA tokens - Update (H Security, 6/26)。こんなん出ましたけど。
Update 27-06-12: The SecurID 800 token doesn't simply create one-time passwords like the most widely-used RSA tokens, but also stores certificates and the corresponding keys. An attack could be executed by requesting a copy of the key through the backup API and then re-importing it. The key could be decrypted using a Padding Oracle Attack - which, on average, is successful after less than 10,000 tries - compromising the security of the certificate stored on the token.
つづき: RSA says that its tokens are secure (H Security, 6/27)
》 「請求画面が消えない」Android版のワンクリックウェア摘発 (so-net セキュリティ通信, 6/28)。Android ワンクリック詐欺関連の件。
ワンクリック詐欺は、アダルトサイトなどで画面を数回クリックすると登録完了画面が突然現れ、高額な料金(3万〜10万円)を請求される架空請求のひとつ。今回摘発されたのは、昨年末から「ピクサー」名義で「NEW」や「NEW動画」という名称のサイトを運営していたグループだ。(中略) ピクサー名義で運営されていたサイトは、3月までに全て閉鎖されたようだが、同様のAndroidアプリを仕掛けたワンクリック詐欺サイトはまだ複数残っており、現在も活動を続けている。実例は、19日付のシマンテックのブログで紹介されている。
Android.Oneclickfraud の犯人グループが逮捕されるも、姉妹アプリは今も活動中 (シマンテック, 6/19) の件。
》 Updates: Autoruns v11.32, Process Explorer v15.21, Process Monitor v3.02, PSKill v1.15, RAMMap v1.2 (Sysinternals Site Discussion, 6/28)
》 Antivirus Vendor Market Share Report June 2012 (OPSWAT)。無料モノまで含めたマーケットシェア調査みたい。北米では Microsoft Security Essentials が 21% で 1位だけど全世界では avast! Free が 1位。
》 急増するルートキットZeroAccessの弱点を突く:インテルとの共同開発テクノロジーから生まれた初の製品、McAfee Deep Defenderの最新情報 第3回 (マカフィー, 6/28)。あいかわらず日本での発売は未定みたい。
》 EU裁判所、制裁金に対するマイクロソフトの不服申し立てを棄却 減額されるも、競合他社に相互運用性情報を公開しなかったことによる制裁金は8億6,000万ユーロに (ComputerWorld.jp, 6/28)
》 コカ・コーラ:昼間の電力ゼロの自販機を開発 (毎日, 6/27)。文句は言わせない。
》 SM-3ブロック1B 3度目の迎撃実験は成功 (海国防衛ジャーナル, 6/27)
》 F-35搭載予定のレーダーが弾道ミサイル目標を探知・追跡に成功 (海国防衛ジャーナル, 6/27)。AN/AAQ-37 電子光学分配開口システム、AN/APG-81 アクティブ・フェイズド・アレイ・レーダー。 関連: F-35 Lightning II
》 中国からネットを分断統治の標準化提案? (Geek なぺーじ, 6/27)
》 Massive spike in BGP traffic - Possible BGP poisoning? (SANS ISC, 6/28)
》 1)持続的標的型攻撃の各攻撃ステージを6段階に分類 − 持続的標的型攻撃を知る (トレンドマイクロ セキュリティ blog, 6/28)。 トレンドマイクロは Advanced Persistent Threat を「持続的標的型攻撃」と訳したようで。
》 北海道で最大34・6mの津波も 大震災受け想定見直し (静岡新聞, 6/28)
》 タンカー沈没:空気管から海水流入が原因 運輸安全委報告 (毎日, 6/29)
安全委によると、沈没した船には左右両側にタンク内の空気圧を調整する空気管が計24本設置されていた。管には海水浸入防止装置もあったが整備不良で機能せず、海水が流入して重みで転覆したとみられる。安全委は国交相に再発防止のため、船舶所有者に空気管の整備を指導するよう求めた。
》 【245】速報【大飯原発破砕帯】渡辺教授と国会議員による現地視察 (福島老朽原発を考える会 (フクロウの会), 6/27)
》 電子書籍で組版の何が問題になるのか? シンポジウム「電子書籍の組版を考える」報告(1) (電子書籍の(なかなか)明けない夜明け, 6/29)。あるいは日本語組版入門。
【緊急漫画】もしも、学園都市がファーストサーバを使っていたら。【管理人発狂】 (とある速報, 6/24)
ファーストサーバ事件に巻き込まれて思うこと (sakaikの日々雑感〜(T)編, 6/26)
第三者調査委員会設置に関するお知らせ (ファーストサーバ, 6/28)
まず Stuxnet の話をじっくりするのかと思いきや、それはほんのちょっとで、 いきなり光洋電子工業でびっくり。
ことし1月、このメーカーが突然サイバー攻撃の恐怖にさらされました。
製品開発の総責任者、生田さんは思いもかけないところからそれを知りました。
アメリカでテロ対策を担当する国土安全保障省の警告。
ある企業が光洋電子のインフラ制御システムの弱点を見つけ、それを突く攻撃プログラムを世界に公開するというのです。
弱点はパスワードが解読されやすいプログラムが改ざんされやすいなど、6項目。
しかも攻撃プログラムの公開は僅か3週間余り後とされていました。
これ: ICS-ALERT-12-020-05: Koyo ECOM100 Multiple Vulnerabilities (US-CERT, 2012.01.20)。対象である ECOM100 は、光洋電子工業 総合カタログ2011の 4-67 にある。Ethernet 通信モジュール。
攻撃プログラムを公開しようというのはデジタルボンド社。
なんとアメリカのセキュリティー会社でした。(中略) 10年ほど前から世界中のインフラ制御システムに安全上の問題があると訴えてきました。
ところが、そのことばに耳を傾ける企業はほとんどありませんでした。
そこで今回、攻撃プログラムを公開するという強硬手段に出たのです。
Digital Bond. 今回の公開に際しては、US-CERT とのコーディネーションは全く行っていない模様。
攻撃プログラムの公開を予告された光洋電子工業。
技術本部長の生田さんは急きょ、対策チームを結成。
指摘された弱点の対応を急ぎました。
しかし作業は困難を極めました。
そもそもサイバー攻撃を想定していない設計だったうえ弱点は多岐にわたっていたからです。
光洋電子は、試行錯誤の末、予備のスイッチを使ってインターネットからアクセスできないようにする対策を取りました。
タイムリミット1週間前のことでした。
その後、攻撃プログラムは公開されましたが、現在のところ被害は確認されていません。
関連:
All ECOM100 Revision History (hosteng.com)。31-Jan-2012 付のこの記述:
DIP Switch number 5 can now be used to disable the ability to update the FLASH memory in the ECOM100s. This allows the user to write protect the firmware, the network configuration, the node configuration, the peer-to-peer configuration, and the SMTP (Email) configuration. This feature is enabled through the Advanced Settings page.
Note: If you are currently using DIP #5 to set the module ID to a value greater then 32, AND you want to use this new DIP #5 Lock function, you must first use NetEdit to set the Module ID.
DIP スイッチ #5 を有効にすることでフラッシュメモリへの書き込みを禁止できるようにした。これで設定が保護される。
ICS-ALERT-12-020-05A: Koyo ECOM100 Multiple Vulnerabilities (UPDATE) (US-CERT, 2012.02.14)。Digital Bond によるパスワードブルートフォースツール公開にあわせた改訂。
Koyo / DirectLOGIC ECOM (Digital Bond)
Koyo/Automation Direct Vulnerabilities (Digital Bond, 2012.02.08)
その後さらに、欠陥の詳細が公開されている。
Digital Bond
Koyo Responds (Digital Bond, 2012.04.12)
Koyo/Automation Direct has responded to Basecamp and has made many of the right moves. Yesterday’s ICSA-12-102-02 pretty much says it all: Koyo has disabled the device’s webserver by default, and they’ve added a lockout feature to password guessing. Hosteng.com has the latest versions of firmware available for download, and the changelog for our version (available here, and dated March 26th) indicates that 3 incorrect passcode attempts will result in a five minute lockout.
For all of the full disclosure naysayers, it is notable that vulnerabilities in the Koyo webserver were first disclosed at S4 in 2009 by Digital Bond alum Daniel Peck. Holding a vendor’s feet to the fire certainly seems to have paid off in this case.
2009 年からずっと放置プレイだった、直させるにはこうするしかなかったと。
Koyo DirectLogic 405 H4-ECOM100 Ethernet Module Information Disclosure (Digital Bond)
Koyo DirectLogic 405 H4-ECOM100 Ethernet Module Cross-Site Scripting Vulnerability (Digital Bond)
Koyo DirectLogic 405 H4-ECOM100 Ethernet Module Arbitrary Firmware Upload (Digital Bond)
US-CERT
ICSA-12-102-02: Koyo Ecom Modules Multiple Vulnerabilities (US-CERT, 2012.04.11)
JVN
JVNDB-2012-002073: 複数の光洋電子工業社製品の ECOM Ethernet モジュールにおけるバッファオーバーフローの脆弱性 (JVN, 2012.04.17)。patch が用意されている。 CVE-2012-1805
JVNDB-2012-002074: 複数の光洋電子工業社製品の ECOM Ethernet モジュールにおけるアクセス権を取得される脆弱性 (JVN, 2012.04.17)。patch では、パスワード長は変えられないが、 リスク軽減のためのロックアウト機構が追加された。 CVE-2012-1806
JVNDB-2012-002075: 複数の光洋電子工業社製品の Web サーバにおけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.04.17)。patch が用意されている。 CVE-2012-1807
JVNDB-2012-002076: 複数の光洋電子工業社製品の Web サーバおける不特定の機能を実行される脆弱性 (JVN, 2012.04.17)。 認証機構は今後も用意されないが、 デフォルトでは Web サーバが起動されないように変更された。 (つまり、これまではデフォルト起動だったと……) CVE-2012-1808
JVNDB-2012-002077: 複数の光洋電子工業社製品の Web サーバにおけるサービス運用妨害 (リソース消費) の脆弱性 (JVN, 2012.04.17)。リソース管理機構は今後も用意されないが、 デフォルトでは Web サーバが起動されないように変更された。 CVE-2012-1809
報道:
読売 2012.02.28 朝刊『サイバー攻撃方法公開「制御システムに弱点」 米企業「ショック療法」』。 一部はこのへんで読める: サイバー攻撃方法、米企業により公開される 「危険性伝えるため」 (Stray Soldierのブログ, 2012.02.28)。多分これは Web 版に基づくもの。 本紙はもっと詳細。 以下は本紙からの引用:
光洋によると、攻撃手法を公開された同社製PLCは、年間数千個が日米両国などで販売され、主に自動車、半導体、工作機器の工場の制御系システムに組み込まれている。公開された手法が悪用されると、最悪の場合、外部からの不正操作が可能になるという。
(中略)
光洋では、社内に対策チームを設置。PLCの一部に改良を加えた上、同社の生田公司・技術本部長が急きょ米国に出向き、脆弱性が指摘されたPLCを使っている数千社に文書で事情を説明した。今後、国内の顧客にも伝えるという。
たいへんですね……。2009 年から放置プレイだったわけですが。
攻撃手法をネット上に公開したデジタルボンド社は1998年に設立された制御システム専門のセキュリティー会社。最高経営責任者(CEO)のデール・ピーターソン氏は読売新聞の取材に対し、「制御系のシステムがいかにもろく、容易に攻撃できるか政府や企業に実感してもらいたかった」と狙いを説明した。
ピーターソン氏は、米国家安全保障局で暗号分析官を務めた後、デ社を設立。その後、セキュリティー関係のシンポジウムなどで、制御装置について具体的な脆弱性を指摘していた。だが、ピーターソン氏によれば、ほとんど対応されず、「光洋の脆弱性についても3年前に発見し、以前から指摘してきた」と話す。「『ショック療法』として、あえて公開に踏み切った」と主張している。
英訳版がなぜかフルで読める: U.S. firm posts PLC hacking methods online / Koyo Electronics listed as one of four manufacturers whose systems are susceptible to cyber-attacks (Yomiuri, 2012.02.29)
関連:
6月28日のNHK報道番組“クローズアップ現代”「サイバー攻撃の恐怖 〜狙われる日本のインフラ〜」におけるプログラマブルロジックコントローラ(PLC)の脆弱性への対応について (光洋電子工業, 2012.06.29)
技術研究組合制御システムセキュリティセンターが設立総会 (ARC ジャパン, 2012.04.26)
組織の概要は、本部を東京都江東区青海の産総研臨海副都心センター内に置くとともに、2012年度から2013年度にかけて、サイバーセキュリティテストべッドを宮城県多賀城市のみやぎ復興パーク内に建設し、本部と接続し運用する。現在、テストベッド施設を発注するための設計を進めている。設立時の組合員は、産総研、東芝、日立製作所、三菱重工業、三菱総研、森ビル、アズビル、横河電機の各社。すでに情報処理推進機構と富士電機が加入を予定しているほか、今後、制御システムのユーザ企業も含めた会員勧誘の活動を活発化する。国際的には、産総研と、米国で制御セキュリティの研究拠点となっている米アイダホ国立研究所(Idaho National Laboratory)との間の研究連携も、同技術組合の活動の中に生かされる見通しである。
制御システムセキュリティ検討タスクフォース (経産省)、 中間とりまとめ (経産省, 2012.06.01)
制御システムセキュリティカンファレンス 2012においての講演資料 (JPCERT/CC, 2012.03.01)、 制御システムセキュリティ (JPCERT/CC)
After Stuxnet、PLCの脆弱性の現実--制御システムセキュリティカンファレンス 2012 (Scan NetSecurity, 2012.02.16)
制御システムセキュリティカンファレンス2012に参加して (ODVA, 2012.02.07)
》 オスプレイ:墜落2件、米側の説明内容を公表 防衛省 (毎日, 6/27)
両事故とも、プロペラをヘリモードから固定翼モードに転換する途中に発生しており、オスプレイ特有の事故だったことが判明した。フロリダでは低空飛行中に、モロッコでは追い風を受けた際にそれぞれ墜落したという。
うーむ、「変形中が弱点」。ロボットアニメのノリだ。 まぁ、離着陸時の映像を見ても、けっこう揺れていて、ふつうのヘリよりも安定性は低そうだよなあ。ローター径が短いわ重心線上にローターないわで当然なんだけど。
》 トルコ、シリアへの姿勢を硬化 NATOも非難声明 (CNN, 6/27)、トルコ「国境付近のシリア軍は軍事目標」、NATOも強く非難 (ロイター, 6/27)。RF-4 撃墜事件の件のつづき。うーん……やっぱりトンキン湾事件の線なのか?
それはともかく、撃墜されたのは RF-4 なのか F-4 なのか、はっきりしてほしい。RF-4 と言ってる記事と F-4 と言ってる記事があるのだが、ぜんぜん意味が違う。
》 原発ゼロの会 政策提言骨子 2012年6月27日版 (河野太郎公式ブログ ごまめの歯ぎしり, 6/27)
》 あまりにも異常な日本の論文数のカーブ (ある地方大学元学長のつぼやき, 6/27)
そんなことから、裁量を増やしたたことが論文数の停滞〜減少につながったのではなく、法人化と同時期になされたさまざまな政策、たとえば運営費交付金の削減や、新たな運営業務の負担増、特に附属病院における診療負担増、政策的な格差拡大による2番手3番手大学の(研究者×研究時間)の減少、などが影響したのであろうと考えています。
》 Apple、Mountain Lionに自動更新機能を実装か (ITmedia, 6/27)。Windows のような。
》 写真集: サンフランシスコとニューヨークのGay PrideにFacebook, Google社員らが大挙参加 (techcrunch, 6/26)
》 DNSブロッキングは筋が悪いのか? (Geek なぺーじ, 6/27)。はい。
》 国会の壮絶な茶番の陰で繰り広げられている対決 (極東ブログ, 6/27)
》 東電答弁うそ 猪瀬副知事が抗議 (東京新聞, 6/28)
》 福島第一原子力発電所1号機原子炉建屋トーラス室内調査結果について (東電, 6/27)。10Sv/h……気軽に死ねるレベルだなあ。滞留水は 32〜37℃ですか。原子力温泉だな。
》 福島第一原発4号機 壁に傾き (NHK, 6/26)、 福島第一原子力発電所4号機における耐震安全性評価の経済産業省原子力安全・保安院への報告について (東電, 6/25)
》 冒頭発言−サイバー犯罪に関する条約の受諾について (外務省 外務大臣会見記録, 6/26)
》 北朝鮮「新型弾道ミサイル」の件、ネタ元が自殺?。 車両部分が、中国「湖北三江航天万山特殊車両」が輸出した「WS51200」だという件。 前ねた。
日本のインテリジェンス・コミュニティが異例の成果 (Foresight, 6/14)
外務省職員が自殺か 北朝鮮関連情報めぐり外務省が事情聴取? (産経 MSN, 6/25)、 外務省職員:千葉の民家で自殺か (毎日, 6/25)
捜査関係者によると、中国が新型弾道ミサイルの移動式発射台を北朝鮮に輸出していたとされる問題で、職員が報道機関に情報を漏らしたとの指摘を受けていたという情報があるという。
発射台は、北朝鮮が今年4月に金日成主席生誕100周年を祝う軍事パレードで公開したものとみられる。昨年8月、カンボジア船籍の貨物船で北朝鮮に運ばれた後、同10月に大阪港に入港したこの貨物船を海上保安庁が立ち入り調査した際、輸出記録が発見されたという。
北朝鮮へのミサイル関連物資の輸出は、国連安全保障理事会決議に違反する可能性があるが、この問題は報道されるまで公になっていなかった。中国外務省は「中国は一貫して国連安全保障理事会の関連決議を厳格に履行している」との見解を示している。
外務省員の死亡 (外務省 副大臣会見記録, 6/25)
謎の自殺 外務省職員の名前 外務省HPキャッシュに「河野優」 (ざまあみやがれい!, 6/26)
》 国民注視のなか露呈した野田総理の「記者会見崩壊」 (週刊 上杉隆, 6/28)
もしかして野田首相には内閣総理大臣としての自覚がないのではないか。参院軽視、国会軽視、行政の長としての立場、党代表としての立場、それらを混合させ、いったい自分が何者であるのか把握していないのではないか。
レンタルドレス・ワンピースのお店「ワンピの魔法」復旧までの道のり。
【連絡】サーバー不具合のお知らせ (セーラ社長の花嫁修業マンガブログ, 6/20 19:12)
【連絡】サーバー不具合のお知らせ2 (セーラ社長の花嫁修業マンガブログ, 6/21 09:43)
【連絡】 サーバー不具合のお知らせ3 (セーラ社長の花嫁修業マンガブログ, 6/21 22:53)
6月21日(木)の様子 (セーラ社長の花嫁修業マンガブログ, 6/22 13:43)。手作業で対応。たいへんだ。
【連絡】 現在の状態についての説明 (セーラ社長の花嫁修業マンガブログ, 6/22 13:49)。わかりやすい説明。
【連絡】 ワンピの魔法 データ復旧の見通し (セーラ社長の花嫁修業マンガブログ, 6/22 14:37)
【連絡】 6月23日(土)・24日(日)ご利用のお客様へ (セーラ社長の花嫁修業マンガブログ, 6/22 15:00)
【連絡】 ワンピの魔法データ復旧の見通し2 (セーラ社長の花嫁修業マンガブログ, 6/23 14:38)
納品、ってこういう意味だっけ? (セーラ社長の花嫁修業マンガブログ, 6/24 18:57)。わかりやすい説明。
【連絡】 ワンピの魔法データ復旧の見通し3 (セーラ社長の花嫁修業マンガブログ, 6/26 09:43)
【連絡】 ワンピの魔法データ復旧の見通し4 (セーラ社長の花嫁修業マンガブログ, 6/26 20:49)
だって絆があるからー! (セーラ社長の花嫁修業マンガブログ, 6/26 21:09)
【連絡】 ワンピの魔法 ご予約再開のお知らせ (セーラ社長の花嫁修業マンガブログ, 6/27 11:36)。おめでとうございます。
復旧おつかれさま〜 (セーラ社長の花嫁修業マンガブログ, 6/27 23:10)
ファーストサーバ障害、深刻化する大規模「データ消失」 (日経, 6/26 13:27)
真偽は不明だが「困っていらっしゃるお客様から、20日から25日まで累計200件ほどの問い合わせがあった」(サイボウズ広報)。ファーストサーバは「サイボウズのASPを利用していた149社のほとんどが、恐らくバックアップをとっていないと思われる。実際にどれだけのお客様が自力でデータを復旧できない状況にあるのか、実態は把握できていない」とする。
うひゃあ……。
通常なら、バックアップデータから元のデータを復元することで一両日中にウェブサイトなどは復旧する。バックアップデータは、本番環境とは違うサーバー、あるいは外部記憶装置に定期的にとっておくことが基本だ。ところがファーストサーバでは事情が違った。
ファーストサーバにおけるセキュリティ対策では、3つのHDDに同じファイルをコピーしていた。1つは「本番系」。もう1つは本番系のHDDやシステムに不具合が生じた時、即座に切り替え、正常稼働を続けるための「待機系」。もう1つが、毎朝6時に本番系のデータを丸ごとコピーしておく「バックアップ系」だ。この3つが、すべて同じサーバー内に同居していた。
あろうことか、ファイルを削除してしまう更新プログラムのバグは、本番系、待機系に加え、同じサーバー内にあるバックアップ系のHDDまでをも消去するという代物だった。
ただし、サービスの説明や宣伝に「優良誤認」があった場合はどうなのだろうか。ファーストサーバは取材で、事実と異なる説明があったことを認めた。
ファーストサーバの主力サービスであるビズ2・シリーズのパンフレットに、こうある。(中略)
「さらに人為的なデータ損失があった場合にそなえ、日に1回、外部サーバーにデータを保存していますので、お客様によるデータの誤消去があった場合にも、前日の状態に戻すことが可能です」−−。
今回はファーストサーバによる「人為的な誤消去」。しかし実際は、バックアップは「外部サーバー」ではなく、「同一のサーバー内の別ディスク」にあり、完全なデータ消失に至ってしまった。この点についてファーストサーバの村竹室長は「数年前までは記述の通りだったが、現在は説明の通り異なる。記述ミスで、修正をせずにいた可能性がある」と語った。
約款をよく理解せず、こうしたうたい文句を信じてバックアップをとらなかった顧客がバカを見たのか。それとも優良誤認に該当するのか。議論の余地がありそうだ。
うへぇ……。
3:44:36 Jul 3, 2011 に取得された http://www.fsv.jp/change/pdf/siryo/kyoyu.pdf (archive.org)。「12月21日新登場」「日に1回、外部サーバーにデータを保存しています」
http://www.fsv.jp/change/pdf/siryo/kyoyu.pdf。 「日に1回、別のハードディスクにデータを保存しています」
損害賠償方面
ファーストサーバのデータ消失 (Footprints, 6/24)
ファーストサーバ社事件に思う利用規約と法律のあり方 (企業法務マンサバイバル, 6/25)
「ファーストサーバ」データ消失被害の国内ウェブページ一覧 (ICT Headline, 6/23)。氷山の一角なんだろうけど。
ファーストサーバ社の障害に関して (naoyaのはてなダイアリー, 6/26)。顧客にとっては、クラウドかそうでないかなんてどうでもいい話なんだけど、どう見てもクラウドじゃないよね。
》 コスモ石油千葉製油所からアスファルト流出 (最大 500 kl?)。 報道によって流出量が異なっており、出した本人にもよくわかっていない模様。
海上へのアスファルト漏えいについて (コスモ石油, 6/28)
本日(6月28日)午前7時21分頃、当社千葉製油所のアスファルトタンクより海上へアスファルトの漏洩を発見しました。
現在、オイルフェンスを展張し拡散防止策を講じています。又、監督官庁と連携を取り、漏洩量と原因については調査中です。
周辺の皆様にご心配、ご迷惑をお掛け致しましたことにつきまして、深くお詫び申し上げます。
以上
詳細不明……。
千葉・市原市の製油所タンクから大量のアスファルトが海に流出 (FNN, 6/28)
千葉・市原市にある製油所で28日朝、タンクから大量のアスファルトが海へ流出した。けが人はいないという。
タンクからのアスファルトの流出により、あたりは、一面黒く染まった。
漏れたアスファルトは、広範囲にわたり、海まで流出した。
(中略) 警察などによると、300〜400klのアスファルトが流出した
液状アスファルトが東京湾に流出…千葉の製油所 (読売, 6/28)
液状のアスファルト約400キロ・リットルが東京湾に流出した。
アスファルト大量流出=製油所から海へ−千葉・市原 (時事, 6/28)
消防局によると、タンクの容量は1000キロリットル。流出が止まった段階で半分程度が中に残っており、最大約500キロリットルが流出した可能性があるという
海にアスファルトが流出 精製工場のタンク壊れる (TV朝日, 6/28)
約500キロリットルが流出しました。
製油所でアスファルトが海に流出 千葉 (千葉県) (日テレ, 6/28)
コスモ石油は「約300〜400キロリットル、ドラム缶にして1600〜2200本分のアスファルトが流出したおそれがある」と話しているということで、
コスモ石油 東京湾にアスファルト流出 拡散中 (ざまあみやがれい!, 6/28)
MiracleLinux の件追記。@Romina さん情報ありがとうございます。
》 デスクトップPCよりノートPCの方が壊れにくいことがMicrosoftの100万台調査で明らかに (gigazine, 6/27)
》 高度セキュリティ技術者育成のセキュリティ・キャンプ2012、応募締切迫る(IPA) (Scan NetSecurity, 6/27)
》 Anonymous、日本での違法ダウンロード刑事罰化に対し抗議行動を開始 (slashdot.jp, 6/26)。#opJapan だそうで。ふぅん。
OpJapan Official @op_japan (twitter)
#opjapan (twitter)
#opJapan Expect Us 日本語訳 (prochron, 6/26)
Anonymousが日本政府とレコード協会に“宣戦布告” 違法ダウンロード刑事罰化に抗議 (ITmedia, 6/26)
アノニマス、サイバー攻撃か=最高裁HPなど一時ダウン (時事 / WSJ, 6/27)
Anonymousが日本を標的に攻撃か−セキュリティ対策の再確認を (トレンドマイクロ セキュリティ blog, 6/27)
サイバー攻撃 警戒強化を指示 (NHK, 6/27)
“アノニマス” 著作権団体を攻撃か (NHK, 6/27)
AnonymousがDoSアタックに使ったツールを検証してみる (NetAgent, 6/27)
背景となる状況:
11個の質問を通じて理解する真の姿 いまさら聞けないAnonymous (@IT, 4/16)
ダウンロード刑罰化成立 (壇弁護士の事務室, 6/21)
違法ダウンロード刑事罰化 境界あいまい「摘発より抑止」 (産経 / ITmedia, 6/26)
ダウンロード犯罪化で秩序はどう変わるか (高木浩光@自宅の日記, 6/23)
2011年の世界の音楽産業動向 (longlowの日記, 6/16)
》 “おとりフォーラム”でハッカーを一網打尽 FBIがクレジットカード犯罪摘発 日本などで24人逮捕 (産経 MSN, 6/27)。Operation Card Shop。
日本で逮捕されたハッカーもいるが、日本国籍を持っていたかは不明。
元ねた: Manhattan U.S. Attorney and FBI Assistant Director in Charge Announce 24 Arrests in Eight Countries as Part of International Cyber Crime Takedown (FBI, 6/26)
Lee Jason Juesheng, a/k/a “iAlert,” a/k/a “Jason Kato,” who was arrested in Japan.
Joshua Hicks, a/k/a “OxideDox,” and Lee Jason Jeusheng, a/k/a “iAlert, a/k/a “Jason Kato,” each sold “dumps,” which is a term used by carders to refer to stolen credit card data in a form in which the data is stored on the magnetic strips on the backs of credit cards. (中略) Jeusheng sold 119 credit card dumps in return for three iPad 2s to a carder who was an undercover FBI agent. Jeusheng provided his shipping address in Japan to the undercover agent, which in part led to his identification and arrest.
》 やっかいな放射線と向き合って暮らしていくための基礎知識 (田崎 晴明)。2012.06.18 日以降、「まだ印刷しないほうがいい」は消えているそうです。
》 コールド ブート攻撃やその他の脅威に対し BitLocker で強化する (日本のセキュリティチーム, 6/26)
》 LulzSecの幹部メンバー、サイバー攻撃の実行を認める (ITmedia, 6/26)。「ライアン・クレアリー被告とジェイク・デイビス被告」
》 Yahoo!メールの「文面に応じた広告」は通信の秘密の侵害? (slashdot.jp, 6/26)
》 複数の国内企業で被害−「プリンタウイルス」にご注意 (トレンドマイクロ セキュリティ blog, 6/26)。たぶん関連:
Malware is causing network printers to print random ASCII characters (Symantec, 6/14)
Print Bomb? (Take 2) (SANS ISC, 6/21)
》 State-sponsored cybercrime on "industrial scale" says MI5 chief (Sophos, 6/26)
》 Microsoft、FSFの寄付サイトを「ギャンブルサイト」としてブロック (slashdot.jp, 6/26)。donate.fsf.org。
短縮 URL: http://goo.gl/UxPQt
#うるう秒によって障害起きるシステムとその対応情報 (twitter)
閏秒(うるう秒)とは何か (国立天文台)。いろいろ議論はあるが、まだ続いている。
NTP うるう秒(閏秒) (bsddiary.net)
Linux カーネル: hang る欠陥は 2.6.29 で修正されている。
leap second danger on 30 June 2012, server hangs possible on older kernels (scientificlinuxforum.org, 2012.06.26)
Updating to kernel version kernel-2.6.9-89.EL (RHEL4) or kernel-2.6.18-164.el5 in RHEL5, or any later RHEL kernel is the most reliable method to avoid any impact from this bug. The bug has been patched in these kernel versions.
RHEL の場合は RHSA-2009:1024-1 (RHEL 4) および RHSA-2009:1243-3 (RHEL 5) 以降のカーネルなら ok。RHEL 6 にはこの問題はない。 カーネルを更新できない場合の回避策:
2. Disable NTP clients on the affected system at least a full day ahead of the leap second so that the leap second flag is never inherited. Then, re-enable NTP on those systems after the leap second has occured. It's important to insure that the tzdata package installed on the system has not been updated to include the 2012-06-30 leap second, as the system can inherit the leap second flag from the tzdata file as well, even if NTP is disabled.
平成24年(2012年)7月1日に挿入されるうるう秒について (MiracleLinux, 2012.06.21 更新)
Microsoft 方面: うるう秒に関するサポートについて (Microsoft)。うるう秒はサポートしておりませんっ! (キッパリ)
(2) SQL Server 2000、2005、2008、2008 R2、2012 について
(中略)
なお、datetime などの日付データ型は、2012/7/1 08:59:60 というような、秒の部分が60になる時刻には対応していないため、うるう秒に対応している OS 上で動作するアプリケーションから SQL Server に接続し、日付データ型の列や変数にうるう秒 (秒が"60"となるデータ) を設定しようとするとエラーが発生します。
(3) Exchange Server 2003、2007、2010 について
(中略)
内部動作とは別に、外部からうるう秒を加味した時刻を受け取る可能性がある例として iCalendar 形式の予定がありますが、Exchange Server が iCalendar 形式の予定を受信する際、時刻の表記は RFC5545 に定義されている形式のみをサポートします。うるう秒を考慮した秒の表記は 0 から 60 までがサポートされ、それ以上の秒数が記述されている場合は不正な形式として処理され、正しい iCalendar 形式とは見なされません。
Outlook につきましては、60 秒の場合は 0 とみなしますので、2012/07/01 08:59:60 は、2012/07/01 08:59:00 となり、最大で 1 分のずれが生じる可能性がございます。 メールの受信の順番がずれて見える可能性がございますが、動作に影響はありません。
Benjamin さん情報ありがとうございます。
MySQL: Bug #35396: Abnormal / impossible / large Query_time and Lock_time values in slow query log (MySQL)。負の時間経過が発生した場合に巨大な Query_time が記録される話。 5.0.78 / 5.1.32 / 6.0.10 で修正されている。が 5.1.58 で (?) 再発し 5.1.63 で修正されている。
Appliance / Virtual Appliance 製品のうるう秒への対応について (トレンドマイクロ)。「確認中」が散見されるのがアレだなあ。
McAfee Email and Web Security Appliance 5.5 / 5.6、McAfee Email Gateway Appliance 7.0: うるう秒(Leap Second)調整のメッセージによりシステムが応答しなくなる (マカフィー)。中で動いてる Linux カーネルが未対応、patch 間にあわず。
[暫定対策]
下記手順にて一時的にNTPサーバとの同期を無効にしてください。(うるう秒の調整完了後に設定を戻してください。)
F5 BIG-IP: sol10445: A connection may be removed prematurely from the BIG-IP connection table if the time is set back on the Linux host (F5, 2012.06.12 更新)
F5 Product Development tracked a request for enhancement (RFE) as ID 221972 (formerly CR105632) to allow TMM to track time in a way that prevents this issue from occurring, and it was fixed in BIG-IP versions 10.2.3 and 11.0.0. (中略) Additionally, this issue has been fixed in cumulative hotfix BIGIP-10.1.0-3402.0-HF2, which has been issued for BIG-IP version 10.1.0, Hotfix-BIGIP-10.2.2-911.0-HF1, which has been issued for BIG-IP version 10.2.2.
10.2.3 / 11.0.0 以降は修正済、10.1.0 と 10.2.2 には Hotfix が用意されている。それ以前については、例によって NTP を止めて回避なのかな。
関連: F5 Networks 製品をご使用のお客様へ - F5 社製 BIG-IP うるう秒の影響について (HP, 2012.06.12)。PDF 読めます。Benjamin さん情報ありがとうございます。
暫定回避策
基本的にはうるう秒が発生する2012年7月1日9:00AM (JST)を外部のNTPサーバと同期していない状態で過ごし、その後上記の事象が発生しても問題ない状態でNTPサーバとの同期を再開する、という流れになります。
外部NTPサーバとの同期再開は、うるう秒が発生する7月1日9:00AM (JST)を1024秒(約17分)以上経過してから実施して下さい。
2012年7月1日のうるう秒のAIXおよびHMC,SDMC への影響について(System p-12-009) (IBM, 2012.05.18 更新)
データマーク製品のうるう秒調整に伴う挙動について (白山, 2012.06.25)。Benjamin さん情報ありがとうございます。
今回のうるう秒挿入は日曜日に実施されます。日曜日に実施される場合、2006年以前にリリースされた製品では搭載されているGPSモジュールに不具合があるため、通常とは異なった挙動をします。各製品の挙動について記載しておりますのでご参照ください。
また、この不具合を解消するため、LS-7000/LS7000XT/LS-8200SD/LS-20Kの4機種では、不具合のあるGPSモジュール交換について2005年よりご案内をさせて頂いております。この交換の実施状態については製品に貼られたシールを見ることで確認ができます。 詳細につきましては、下記のURLをご参照ください。
⇒ http://www.hakusan.co.jp/products/keisoku/doc/gps-module.pdf
GPSモジュール不具合に対する製品
−不具合が発生するGPSモジュールを搭載している計測製品
LT8500 、LS-8000SH 、LS-8000WD
−2006年以前にリリースされGPSモジュール交換により不具合を回避できる製品
LS-7000 、LS-7000XT 、LS-8200SD 、LS-20K
LS-8800 時刻校正障害について (白山, 2012.02.17)。既に障害発生中。ファームウェア 2.00 以降で対応。
障害原因
GPSからの配信データに2/9からうるう秒予告情報が入るようになりましたが、この予告情報を正しく処理できないためです。
MiracleLinux の件追記。@Romina さん情報ありがとうございます。
うるう秒まつり、表面的には Java や MySQL で障害が発生したように見えたけど、実は Linux 上のスレッド化されたプロセスで障害が発生していたようで……
「うるう秒」で複数サービスに障害 (ITmedia, 2012.07.02)。これは Java やら MySQL やらと書かれてる記事。
Bug 769972 - Java is choking on leap second. (Mozilla)。とりあえず NTPd 止めて時計を合わせろな指示。
MySQL and the Leap Second, High CPU and the Fix (Mozilla IT, 2012.06.30)
The leap second bug (rc3.org , 2012.07.02)
Leap Second crashes half the internet (Some Bits: Nelson's weblog, 2012.07.01)
The underlying cause is something about how the kernel handled the extra second broke the futex locks used by threaded processes. Here’s a very detailed analysis on the failing code but I’m not sure it’s correct. According to this analysis the bug was introduced in 2008, then fixed in March 2012. But it may be the March fix is part of the problem. Patch here. OTOH most of the systems that failed will be running kernels older than March so the problem must go further back. Time is hard, let’s go shopping.
It’s frustrating that these bugs keep popping up; the theory is not so difficult. The NTP daemon tells the kernel a leap second is coming via adjtime(), the kernel should handle it by slewing or holding the clock, all is well. But it didn’t work in 2012. Didn’t work in 2009 either; a logging bug caused kernels to crash on the leap second. 2005 was better. Google’s solution of giving up on the kernel entirely and having the NTP daemon lie about what time it is seems more clever now.
More falsehoods programmers believe about time; “wisdom of the crowd” edition (Infinite Undo, 2012.06.20)。
日本でも、うるう秒の関連性は不明ながら、 au や mixi や starcat や pixiv で障害が観測されたようで。Benjamin さん情報ありがとうございます。
くらし☆解説 「うるう秒と時をめぐる対立」 (NHK 解説委員室, 2012.06.29)
Chrome 20 (20.0.1132.43) リリース。22 種類のセキュリティ欠陥も修正されている。 内 2 つは Chrome 独自の欠陥ではない。
》 Canadian Pharmacy関連のスパムがまた大量に (cNotes, 6/25)
関連: PharmaLeaks: Rogue Pharmacy Economics 101 (Krebs on Security, 6/22)
》 東芝、業界初の停電時に自立運転するエネファーム (家電 Watch, 6/25)
なお、エネファームが発電していない場合、ガスの供給が停止している場合は、自立機能は作動しない。
ハァ?! 地震のときはたいていガス止まっちゃうんですけど……。
》 商船三井、ソーラーパネルと蓄電池を搭載したハイブリッド自動車船 (家電 Watch, 6/25)。自動車運搬船への適用。コンテナ船ではこうはいかない。
リチウムイオン電池は、一般的な船では海水バラストタンクとして使用する船底部分に搭載しており、固定バラストとすることで載貨台数には影響を与えない設計としているのも特徴だ。
東電・勝俣恒久会長インタビュー詳報(1)原発事故「もう少し防ぎようがあった…」 (SankeiBiz, 6/26)。今になってすらこの程度のことしか言えない者が「会長」であった企業。失敗から学ぶという概念は、ない。
東日本大震災をどうやってIntelは無傷で乗り切ったのか (PC Watch, 6/26)
「日本の地震と津波では、世界経済が大きな影響を受けた。資材の不足などで製造が滞った産業がいくつもあった。例えば、自動車産業は30%も落ち込んだ。
しかし、Intelはその時期に、何も財政上や生産上の不足を被らなかった。我々は、製造材料や機材のうち2/3を日本に依存し、アセンブル材料の半分も日本から得ている。それなのに影響を受けなかったのは、非常によく準備を整えていたからだ」とStum氏は語る。
そして、ここ:
サプライヤーに関しては、日本国内の地理的な集中度も問題だという。下の図の紫はIntelの顧客、緑がサプライヤー、そしてオレンジがサブサプライヤー、そして、赤が福島原発だ。Stum氏によると、サブサプライヤーの多くが福島から200km圏内にあるという。Intelとしては、より地理的に離れたサプライヤを開拓して行く必要があると見ているという。
Intel が問題視するのは原発 200km 圏ですか。
》 東京都、ネット上の不当表示で前年2倍の431事業者を指導 (Internet Watch, 6/26)
》 Amazon.co.jp、「Kindle近日発売」と案内開始 (Internet Watch, 6/26)。黒船いよいよ接岸真近。
猛毒性鳥インフル、空気感染も−オランダ研究者らが動物実験論文 (ウォール・ストリート・ジャーナル日本版, 6/22)。5 つで十分ですよ。
H5N1型鳥インフルエンザで10歳少女が死亡、カンボジア (AFPBB, 5/29)
香港で鳥インフルエンザ (中国特快フォーカス, 6/4)
》 豚インフルによる死者25万人以上か、従来報告の15倍 (AFPBB, 6/26)、 新型インフルエンザの死者数、報告の15倍か−初の推計調査 (ブルームバーグ, 6/26)。新しい推計。それでも季節性インフルエンザ並みでしかないのだが。
》 バグハンター一問一答!ひとはいかにしてバグハンターになるのか? (Enterprisezine, 6/26)
》 こんなときに「東電柏崎原発」再稼働計画かよ (現代ビジネス, 6/25)
》 自らすすんでトゥルーマン・ショーの主人公になってどうする (みやきち日記, 6/23)
》 シェリー・ライトの"Single White Female"レズビアンバージョン (みやきち日記, 6/25)、 シェリー・ライトの"Single White Female"レズビアンバージョン(その2) (みやきち日記, 6/26)
》 Google Maps APIがデベロッパの大量離反に直面して大幅値下げ (techcrunch, 6/23)
》 1日1000万件以上の加筆を全部追跡、Datasiftのツールでウィキペディアのスパムは困難に (techcrunch, 6/25)
》 Facebook、サイト外広告を開始。そこには個人データが使われている (techcrunch, 6/25)
投資家は正直だ。Facebookが収益分配契約によってZynga.comに広告を掲載するというニュースを受け、株価は今日(米国時間6/23)3.8%上がって33.05ドルになった。驚いたことに、マスコミもユーザーも、自分たちのプライベートな個人情報が広告ターゲットに使われることに大騒ぎしていない。
》 武雄市サイト「完全移行」の現状 (水無月ばけらのえび日記, 6/24)
》 Kaspersky applies for anti-false-positive system patent (H Security, 6/22)。特許ですか……。
》 Apple patents clone-making technology to sabotage electronic profiling (Sophos, 6/22)。特許ですか……。
》 SecureAsia@Tokyo 2012が近づいて来ました。 (Security, time after time, 6/21)
》 Ecardgrabber: 非接触型クレジットカードの情報を無線で読み取る Android アプリ (シマンテック, 6/25)。クレジットカード番号、発効日、有効期限、銀行口座番号を取得できるそうで。
このアプリの場合、ユーザーがインストールしたうえに、非接触型クレジットカードをデバイスから 4cm 以内に近づける必要がありますが、NFC という新技術の弱点が明らかになったことは確かです。
》 狙われ始めたAndroid 第4回:ウイルス対策ソフトが悩む“リスクウェア”とは (Internet Watch, 6/25)。その「リスクウェア」にすら分類されないけどヤバいモノがあるわけで……。
微妙できわどいものは、いわゆるターゲティング広告の例でしょう。ターゲティング広告とは、ユーザーの属性やプロファイル、趣味趣向などに合わせた適切な広告のことです。これを配信するためのモジュール、ならびにターゲティング広告を生成するために情報を収集するモジュールを搭載するアプリがあります。特に無償アプリによく見られます。無償アプリは、ユーザーからアプリ使用料を徴収する代わりに、広告収入で収益を得ているものが多いためです。
(中略)
もちろん、正当な理由で情報を収集する事業者やアプリ開発者は、その許諾と目的の説明を、アプリマーケットや自身のサイト、ドキュメントなどで十分に行っています。問題は、それを行わずに公開されているアプリの存在です。ウイルス対策ベンダーの視点では、完全にユーザーを欺き意図しない挙動を行っているとは言い切れないケースがほとんどで、情報収集モジュールを搭載していることだけを理由に、即時マルウェアという扱いを行うわけにもいきません。理由は単純で、誤検知が多発するからです。情報収集に対し十分な説明を行っているアプリと行っていないアプリの間で、情報収集の挙動は技術的には変わらないので、それだけを理由にマルウェア扱いすることが困難なことは明白です。
》 ITセキュリティのアライ出し (47) 今年で7回目の開催になる日本的なCTFを見学してみた (マイナビニュース, 6/25)。白浜『危機管理コンテスト』レポート。
》 黒烏龍茶CM「脂肪にドーン」に待った!消費者庁 誤解与えると指摘 (スポーツ報知, 6/26)
》 【新連載】 「避難途中に大津波」はウソだった? 石巻市教委の矛盾で明らかになる“大川小の真実” (週刊ダイヤモンド, 6/25)
佐藤さんは、こう続ける。
「3月15日の時点で、この男性教諭は“校庭に待機中、津波が来た”と、ほぼ事実を話されていると思います。三角地帯へ避難途中とか、裏山に倒木があったなどと記されていない。だとすれば、先生は、昨年4月9日の説明会で、突然、三角地帯へ避難途中とか裏山に倒木があったなどという話を言わなければいけなかった。どんなつらい思いで、私たちの前に出て話をしてくれたのかなと思っています」
マスメディアも、今日になってようやく深刻さを伝える記事が出てきました。
データ消失:5698件の復旧不可能 ヤフー子会社 (毎日, 6/26 01:52)
データ消失5千超 ヤフー子会社でシステム障害 企業のホームページも (産経MSN, 6/26 10:15)
ヤフー子会社 データ大量消失 (NHK, 6/26 12:30)
企業向けサーバー障害、顧客データ5千件超消失 (読売, 6/26 13:33)
ファーストサーバ障害、深刻化する大規模「データ消失」 (日経, 6/26 13:27)
探してみると 6/22 〜 23 に記事を出しているところも見つかりましたが、このころは扱いが軽いですね。
レンタルサーバー会社でデータ消失 5千社・団体に影響 (朝日, 6/22 22:48)
データ消失:ヤフー子会社のプログラムに欠陥 企業影響 (毎日, 6/23 11:10)
》 熊本情報セキュリティ勉強会 セキュリティさくら #04に参加してきました。 (まっちゃだいふくの日記, 6/23)
感染した端末の見つけ方、マルウエアの抽出の仕方(新井さん)
トレンドマイクロのSICツールを使った、マルウエアのめぼしの付け方と解析の仕方です
めっちゃ便利っぽくって、これいいなぁ・・・って感じですよ!
そんなのあったのか……
System Information Collector ダウンロード (トレンドマイクロ)
Collecting malware samples and logs using the System Information Collector (SIC) (トレンドマイクロ)。 使い方。Home and Home Office / Small and Medium Business / Enterprise、全部ドキュメント違うのね。
Worth Reading: Exploited despite sandbox (H Security, 2012.06.25)。Adobe Reader X の sandbox を突破。
JVNDB-2012-002852: Symantec LiveUpdate Administrator における権限を取得される脆弱性 (JVN, 2012.06.26)、 SYM12-009: Security Advisories Relating to Symantec Products - Symantec LiveUpdate Administrator 2.3 Insecure File Permissions (Symantec, 2012.06.15)。Symantec LiveUpdate Administrator 2.3.1 で修正されている。CVE-2012-0304
Firefox thumbnails could expose private data; fix 'coming soon' (ZDNet Zero Day, 2012.06.25)
Critical vulnerabilities closed by Winamp update (H Security, 2012.06.22)。Winamp 5.63 build 3234 が出ているそうで。 ダウンロードは Winamp 5.63 Released からどうぞ。 オフィシャルダウンロードページ にはなぜか前バージョン (欠陥あり) が置いてある。
JVNDB-2012-003055: Winamp の in_mod プラグインにおけるサービス運用妨害 (ヒープメモリ破損) の脆弱性 (JVN, 2012.07.12)。 CVE-2012-3890
JVNDB-2012-003054: Winamp の in_mod プラグインにおけるサービス運用妨害 (メモリ破損) の脆弱性 (JVN, 2012.07.12)。 CVE-2012-3889
Cisco 方面
Cisco ASA 5500 Series Adaptive Security Appliances and Cisco Catalyst 6500 Series ASA Services Module Denial of Service Vulnerability (Cisco, 2012.06.20)
Multiple Vulnerabilities in Cisco AnyConnect Secure Mobility Client (Cisco, 2012.06.20)
Cisco Application Control Engine Administrator IP Address Overlap Vulnerability (Cisco, 2012.06.20)
Winamp ですが、2012.06.28 付で 5.63 Build 3235 が出ていたそうで。 Winamp 5.63 Build 3234 released と Winamp 5.63, Build 3235 (5.6.3.3235) - 28 June 2012 を見比べると、3235 で増えたのはこの部分:
* Improved: [in_flac] Producer metadata support
* Fixed: Video window reopening after being closed when editing mp4 tags
あと、CVE-2012-4045 というのが出ていて、5.63 Build 3235 で
(1) strf chunk in BI_RGB or (2) UYVY video data in an AVI file, or (3) decompressed TechSmith Screen Capture Codec (TSCC) data in an AVI file
が直ったとされているのだけど、これらは Build 3234 で既に直っているはず。
マイクロソフト セキュリティ アドバイザリ (2719615) XML コア サービスの脆弱性により、リモートでコードが実行される
MS12-025 (KB2656369) が繰り返し検出される事象について (Japan WSUS Support Team Blog, 2012.06.20)
MS12-025 が繰り返し必要と検出される事象は、MS12-025 バージョン 1 の検出ロジックが、MS12-025 バージョン 2 が適用済みであり本来であれば不要であることを正しく判断できず、必要と判断してしまうためです。(中略)
■ 対処方法について
手作業で MS12-025 バージョン 1 を拒否済みに設定してください。
関連:
コモディティ化 vs. 特殊化 (エフセキュアブログ, 2012.06.21)
》 シリア、領空を侵犯したトルコ空軍 RF-4E を無警告で撃墜 (撃墜時は公海上だった?)。 一時的に領空侵犯していたのは間違いないみたい。 偶発なのか、トンキン湾事件流のヤラセなのか。
F-4::トルコ (ウィキペディア)。RF-4E は戦術偵察機です。
トルコ:空軍機がシリア沖で墜落 撃墜の報道も (毎日, 6/23)
トルコ軍機墜落:領空侵犯?で撃墜、シリア軍が声明 (毎日, 6/23)
トルコ戦闘機撃墜:ギュル大統領「看過できず」シリア批判 (毎日, 6/23)
トルコ:撃墜時に公海上を飛行…外相、シリアを強く批判 (毎日, 6/24)、 トルコ「撃墜地点は公海上」 NATO加盟国に協議要請 (朝日, 6/24)
シリアのトルコ軍機撃墜を欧米が非難 NATO会合開催へ (CNN, 6/25)
同外相によれば、レーダーシステムの試験で飛行していた際に短時間、意図せずにシリア領空に入ったものの、
なんじゃそりゃ。言いわけとしては苦しすぎるだろ……。
Turkey calls on NATO over Syria’s downing of ‘unarmed test jet’ (RT, 6/24)
Turkish Press Review (June 25, 2012) (turkishweekly, 6/25)
トルコ戦闘機の撃墜事件 (中東の窓, 6/25)
》 Targeted Malware for Industrial Espionage? (SANS ISC, 6/25)。AutoCAD を狙うマルウェアの件。
》 「さくらのクラウド」のストレージ (Sun ZFS Storage Appliance) 不具合の件
「ストレージの事前検証が十分にできなかった」さくらインターネット田中社長、クラウドのストレージトラブルの原因について (publickey, 6/25)
田中 一週間かけて起きる問題というのもあって、数時間や数日ではなく、数週間といった期間をかけて負荷テストをやっていなかった、というところにも問題がありました。
結論として、やはり機器の性能はカタログ通りではない(だからきちんと検証が必要で)、またパブリッククラウドでは、通常のベンダサポートでは間に合わない。そうしたことが教訓だったと思います。
長期ゴリゴリテスト必要と。
「さくらのクラウド」で続いていたストレージ障害、報告書をさくらインターネットが公開 (publickey, 6/25)
現在は主に性能上の問題への対処のために、ストレージ装置を追加導入して負荷を下げた形での運用を行っているとのこと。詳しくは、「さくらのクラウド・ストレージに関する報告書」をご覧ください。
さくらインターネットではこのストレージのトラブルを踏まえ、現在利用しているストレージに代えて同社が自社開発した新ストレージでのベータテストを、本日6月25日から開始すると、合わせて報告書で明らかにしています。
また、本日19時から開催予定の「さくらの夕べ」で、ユーザーに向けてトラブルと今後について説明するとしています(すでに定員に達しています)。
ブラックボックスでは対応し切れなかったのでホワイトボックス化したと。
》 大阪弁護士会広報室の取り組みと課題 (壇弁護士の事務室, 6/25)。ゼロで済んだだけマシなのかも。
》 第12回北海道情報セキュリティ勉強会。 2012.07.28、北海道札幌市、一般1000円。
》 第20回 まっちゃ445勉強会。 2012.06.30、東京都千代田区、一般1000円。 「実践 Metasploit」の訳者の一人による、Metasploit 講座。
共有サーバーサービスをお使いのお客様へのお願いとご案内 (ファーストサーバ, 6/23 17:10)。残念なお知らせ。
障害発生以来、弊社ならびに外部専門業者を交え、データ復旧を試み続けて参りました。しかしながら、極めて遺憾ではございますが、データ復旧を行うことは不可能と判断いたしました。
誠に心苦しい次第ではございますが、お客様で取得されておられるバックアップデータによる再構築を行っていただきますようお願い申し上げます。
教訓: バックアップは手元に。
ファーストサーバ「もう消えたデータ復旧できねえわ」 (暇人速報, 6/24)
ファーストサーバの広告
「お客様の作業(バックアップ)は不要です」
うわ……。
大規模障害の概要と原因について(中間報告) (ファーストサーバ, 6/25 02:00)
原因1:脆弱性対策のための更新プログラムの不具合
脆弱性対策のためのメンテナンスが必要となる都度、メンテナンスのための更新プログラムを作成しており、今回も更新プログラムを作成しています。
そのプログラムの記述において、ファイル削除コマンドを停止させるための記述漏れと、メンテナンスの対象となるサーバー群を指定するための記述漏れが発生していました。
原因2:メンテナンス時の検証手順
メンテナンスに際しては、検証環境でまず動作確認を行うという手順が定められていましたが、プログラム実行後の動作確認を行う対象は、あくまでも当該メンテナンス対象サーバー群を確認すれば足りるとされていたため、検証環境下で対象サーバー以外に影響が及んだことの確認がないまま、動作確認上は問題なしと判定され本番環境での実施が行われました。
原因3:メンテナンス仕様
システムを含むデータのバックアップは毎朝6時に取得しております。
しかしながら、脆弱性対策のためのメンテナンスはバックアップをしてあるシステムについても実施しておかないと、メンテナンス実施後にハードウェア障害が発生してバックアップに切り替えた途端に脆弱性対策が講じられていないシステムに戻ってしまうことが過去に発生し、脆弱性対策がなされていないシステムが動き続けていたという反省に立ち、脆弱性対策のメンテナンスに関しては対象サーバー群とそのサーバー群のバックアップ領域に対して同時に更新プログラムを適用するという構造に修正して実施しました。
そのため、今回のメンテナンス実施において、対象サーバー群のデータ消失と同時にバックアップ領域のデータも消失したという事象に至っています。
全自動破壊プログラム……まさにバルス状態。おそろしや。 復旧できなかったのは、バックアップも含めて意図的に消してしまったからなのか。 これ、全部一人でできてしまっていたんだろうか。
■ 暫定対策
- サービス再開に必要な場合、および緊急メンテナンスが必要な場合など止むを得ない場合を除き、当面の間はメンテナンス作業を停止いたします。また、止むを得ずメンテナンス作業を行う場合には、ダブルチェックを欠かさず細心の注意を払って作業を実施いたします。
- メンテナンス運用手順を修正し、対象外サーバーの確認作業を追加します。
- 通常のバックアップ以外ではバックアップ領域に修正を加えられないように仕様を修正します。
「ダブルチェックを欠かさず」という文言から想像されるのは、ダブルチェックできていなかったという事態なのだけど。
大規模障害に関するFAQ (ファーストサーバ, 6/25 08:30)
6/20に発生した大規模障害に関するお詫びとお知らせ (ファーストサーバ)
ファーストサーバー障害によるユーザーの声・・・ (togetter)。阿鼻叫喚。 メールやデータの誤配もあったのか。
ファーストサーバ データ消失オフ 「データはどこへ消えた?」 (阿佐ヶ谷ロフトA, 7/14 24:00 開催)。自身も被害者であるロフトが開催。
それにしても。関連会社がマスメディアに広告をたくさん出していると、本当に報道されないんですね。わかりやすすぎます。
》 アプリケーションをつくる英語 (達人出版会)
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2) に関するお詫びとお願い
ロジテック社製ブロードバンドルータの脆弱性に関する注意喚起 (so-net セキュリティ通信, 2012.06.22)。対応、進んでいるのかなあ。
》 決意を持った敵対者と標的型攻撃その 1 〜マイクロソフトセキュリティインテリジェンスレポート第 12 版より〜 (日本のセキュリティチーム, 5/30)、 決意を持った敵対者と標的型攻撃その 2 〜マイクロソフトセキュリティインテリジェンスレポート第 12 版より〜 (日本のセキュリティチーム, 6/19)
》 Amazonクラウド先週のシステム障害、原因は電源トラブル。二重三重の防護策が次々と倒れる (publickey, 6/21)。 そういえば、先日のニフティクラウドの件も電源でしたね。
》 アップルとグーグルの特許訴訟、連邦裁判事が特許制度の問題指摘 (ロイター, 6/21)
同判事は、米国の特許制度は「混乱」していると指摘、販売差し止めを認めればモトローラに「壊滅的な影響」が及ぶとの認識を示した。(中略) 同判事は「特許を持っているからといって、他の人を完全に排除できる道徳上の強い権利があると単純に想定することはできない」との認識を示した。
》 陸山会公判 指定弁護士が控訴趣意書を提出 「虚偽記載への故意」立証焦点 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 6/21)
》 風知草:手紙の波紋=山田孝男 (毎日, 6/18)。週刊文春の「小沢一郎/妻からの離縁状/便箋11枚、全文公開」の件。
それほどの反響があった記事なのに、いつもは食いつきのいいテレビの情報番組がウンともスンとも言わない。
じつは、文春編集部は、発売寸前、東京のほぼすべての民放テレビの取材に応じていた。ところが、オンエアされない。調べてみると、小沢系の国会議員からプレッシャーがかかったらしいことが分かった。「取り上げるなら、もうオタクの番組には出ませんよ」と。
政治家のテレビ出演が日常化した時代、週刊誌のスクープとテレビの取り上げ方、小沢系の思惑が互いに絡み合う消費税政局の一断面である。
》 「北極を保護区に」、壮大なキャンペーンはじまる (グリーンピース, 6/22)。グリーンピース、北極資源獲得戦争に「資源開発をさせない側」として参戦。北極を、南極大陸のように保護しようという構想。
》 著作権法改正、Yahoo!・Tポイント提携に感じた デジタルデータをめぐる重大な社会変革の足音 (週刊ダイヤモンド, 6/21)
》 「尻を数回触った」起訴事実にないぞ…実刑破棄 (読売, 6/22)。大阪地裁トンデモ判決、 高裁で破棄されて地裁に差し戻し。
》 東京電力さん、「福島原子力事故調査報告書」添付資料のあまりにひどいミスを早急に直しませんか? (3.11東日本大震災後の日本, 6/21)。添付資料はまだ読んでなかったんだけど、これはひどい。
》 原子力委:秘密会議の検証なく報告書…核燃サイクル選択肢 (毎日, 6/21)。原子力ムラ各位、秘密会議問題を華麗にスルーした模様。
原発推進側だけを集め「勉強会」と称して23回の秘密会議を重ねていた内閣府原子力委員会が21日、核燃サイクル政策の選択肢を決定したが、果たして国策を決める資格があるだろうか。近藤駿介原子力委員長ら委員5人はいずれも秘密会議に出席し、現在検証チームの調査を受けるなど疑惑の渦中にある。信頼回復抜きの「強行突破」では国民の理解は到底得られまい。
秘密会議について原子力委は「データ整理の作業会合」などと釈明する。ならばなぜ「表」の有識者会議で将来使用する議案を事前に何度も配り事業者から意見を聞いたのか。事業者とどんな会話を交わしたのかも説明は無い。政府の「エネルギー・環境会議」は今回の決定内容を盛り込んだシナリオ(選択肢)を今月末に示し、国民から意見を募るという。しかし、手続きだけを前に進めてみても不信感は残り続ける。
10年12月、原子力政策全般を話し合う「新大綱策定会議」の初会合で近藤委員長は「自由闊達(かったつ)に議論し、国民と共有できる施策の方向性をまとめてほしい」とあいさつしたが、疑惑発覚後メンバーから厳しい追及を受けると会議を閉じた。
さらに最後となった5月29日の策定会議で「エネ環会議に『適切な審議を経た』と説明する責任がある。その手段として検証を進める」と語ったが、検証結果を待たずに決定を出した。言葉に責任を持たず約束をほごにする人物にトップを務める資格はない。
》 ホームルータへの不正な設定変更による偽DNSサーバの参照 (IIJ-SECT, 6/22)。ブラジルの件。
》 セキュリティ各社、Android狙うマルウェアの急増を警告 (so-net セキュリティ通信, 6/21)
》 Wireshark 1.8.0 Released (wireshark.org, 6/21)
Wireshark supports capturing from multiple interfaces at once.
おぉ。
》 東京電力幹部8名 反省の意を込め「天下り」 全リスト (ざまあみやがれい!, 6/22)。反省しない、責任も取らない。
》 原発事故の避難生活でうつ病になり焼身自殺、遺族が東電を提訴 (CNN, 6/21)
》 ACAD/Medre.A - 10000's of AutoCAD files leaked in suspected industrial espionage (ESET Threat Blog, 6/21)、ACAD/Medre.A Technical Analysis (ESET Threat Blog, 6/21)。AutoCAD 狙い。
》 Mac OS X 10.8 Mountain Lionで弊社エンドポイント製品を利用する際の注意事項 (トレンドマイクロ, 6/22)
》 違法音楽ファイルを自動検知 プロバイダーに導入要請 (朝日, 6/21)。Fluzo-S。関連:
「違法音楽配信の根絶に大きな前進」JASRACなどが掲示板向けに新たな対策 (Internet Watch, 6/5)
違法音楽配信に新対策--システムで違法ファイルを特定 (CNET, 6/6)
【重要】インターネットサーバー障害途中経過のお知らせ (ファーストサーバ, 6/20)
障害発生日時
6月20日(水)17:30ごろ
【消失したデータについて】
消失したデータは次のデータとなります。
- サーバー上にアップロードされたデータ(FTP、ファイルマネージャ等)
- コンフィグレータ設定を含むデータ
- メールボックス内のデータ
- 障害発生時に受信していなかったメールは、消失しております。
- 障害発生後のメールについては、受信できておりません。
送信者様側でエラーとなっております。
…… 6/22 16:00 の更新で、消失したデータに「データベース」が追加された模様です。また時系列の対応状況が追加されています。
クライアントからの電話が鳴り止まないwwwwwwファーストサーバの障害に鯖管理者が阿鼻叫喚の嵐 (三郎G, 6/21)
ファーストサーバの検索結果 (twitter)
報道:
レンタルサーバーの「ファーストサーバ」で大規模障害……メールデータなどが消失 (RBB Today, 6/21)
レンタルサーバ事業のファーストサーバ、障害で顧客のデータを消失 (ZDNet, 6/22)
管理プログラムにバグ ファーストサーバで大規模なデータ障害、顧客データが消失 (@IT, 6/22)
賠償
ファーストサーバーがデータ初期化の大惨事!被害者の状況と損害賠償について調べてみた。 (楽しければいいのです。, 6/21)
レンタルサーバデータ消滅事件判決 平成12年(ワ)第18468号、同第18753号 損害賠償請求等事件 (law.co.jp)。類似事例?
各種被害サイト
弊社ブランドサイト及び携帯サイトに関するお知らせ (小林製薬, 6/21)、 ファーストサーバ障害:ユーザーの小林製薬「影響を測る術がない」 (ZDNet, 6/22)
6月20日17時30分頃よりサーバ障害が発生し、
弊社webサイトにアクセスできない状態となっております。
6月20日 17:30頃、当サイトで利用しているレンタルサーバー会社において障害が発生し、全てのデータが初期化されてしまうトラブルが発生いたしました。
最新情報や楽曲データベースなど、データベースを用いたものについても全てのデータが消失し、復旧ができない状態となっております。
サーバー会社においてデータの復旧が可能かどうかは調査中ですが、調査結果が出るまで取り急ぎトップページのみGoogleに保存されていたキャッシュをアップして表示しております。
ご迷惑をお掛けいたしますが、全面復旧まで今しばらくお待ちください。
【WEB】薬事日報ウェブサイト停止に関するお詫びとお知らせ (薬事日報, 6/21)。復旧済。
ファーストサーバで障害発生・・・ユーザーの阿鼻叫喚まとめ (NAVER まとめ)
RIKEN AICS - 理化学研究所。「世界最高水準のスーパーコンピュータ京(けい)のWEBサイト」も Whois, MX 見る限りではファーストサーバみたい。
【IT/災害】ファーストサーバで大規模な障害発生 データ全消去[12/06/22] (2ch.net)。Benjamin さん情報ありがとうございます。
ファーストサーバ Part4 #58〜 (2ch.net)
ファーストサーバ Part5 (2ch.net)
【Yahoo】 ファーストサーバー壊滅 (2ch.net)
さあ、あなたのサイトも今すぐバックアップしましょう!
》 ベトナム海洋法が成立=南シナ海の領有権明記 (時事, 6/21)
中国外務省は海洋法成立直後に「中国の主権を侵害し、違法かつ無効」との抗議声明を発表。
そりゃまあ、そう言うわなあ。
》 ドラマ許諾を撮影直前撤回…NHKが講談社提訴 (読売, 6/22)。「ゼロ、ハチ、ゼロ、ナナ。」
訴状によると、NHKは昨年11月、直木賞候補にもなった「ゼロ、ハチ、ゼロ、ナナ。」のドラマ化の許諾を同社から口頭で受けたが、脚本内容について辻村さんとの調整がつかず、今年2月に許諾を撤回されたとしている。NHK側は「口頭での合意が正式契約であることは、業界での慣習。講談社はドラマ完成のための努力を放棄した」と主張。講談社広報室は「原作改変が著者の意向に反していたため、合意に至らなかった」とコメントした。
通常、何がどこまで許諾されているものだと理解されているのだろう。 判決が出ると広範囲に影響しそうだなあ。
関連: 前代未聞!長澤まさみショック 主演ドラマ、撮影直前白紙に (産経 MSN, 6/22)
脚本は大河ドラマ「風林火山」(07年)でも知られる大森寿美男さん(44)が担当し、キャスティングやテーマ曲の作曲依頼など制作準備を進めた。
脚本は当初、原作と違い、確執のある母と娘を早い段階で実際に会わせるほか、母親が虐待を自覚していた手紙を娘が見つける場面をカット。このため、NHKと講談社の担当者間で修正に向けた話し合いが何度も続けられた。しかし、講談社は今年2月、「辻村氏が脚本に納得していない」として、クランクイン予定の当日にドラマ化許諾の撤回をNHKに伝えたという。
ぶっちゃけ、原作のままだとドラマ的に成立しないと判断した部分を脚本家がばっさり変更したら原作者がキレた、ということかな……。
》 6月21日(木)北九州市民の記者会見内容 (ひなん者お話しの会, 6/21)。北九州市でのがれき処理の件、 「実は北九州市にまわす瓦礫は無い」という驚愕の事態に。
<問題指摘>
1) 事実確認
*北九州市の資料には、広域処理を予定しているがれきは、現在(H24年6月)でも73万トンあり、その内可燃物は、28万トンあるとなっている。しかし宮城県では、石巻ブロックのがれきは、鹿島JVに落札され、しかもがれき処理量が大幅に下方修正されている中では、広域化に回す分は、計算上はない状態になっている。
2) 問題点
その上で、北九州に石巻市からがれきを持ってくるとすれば、次の問題がある。
(1) 鹿島JVに処理依頼する量に穴が空く。
(2) 北九州市に持ってくる分は、税の二重投資になる。
(3) しかも北九州市は、処理費が高くなる。
マジですか?! 誰得。
和歌山市南部 広範囲で浸水 (NHK, 6/22)
和田川では午前2時10分、広見橋観測所で洪水が起きる危険性がある氾濫危険水位に達し、氾濫危険情報が出されました。
氾濫はなかったということですが、川の水位が上がったため、川につながる用水路や水田などから大量の水があふれたとみられています。
周辺で渋滞などの影響広がる (NHK, 6/22)
大雨洪水警報に伴う状況について (和歌山市, 6/22)
大雨・洪水による浸水被害にあわれた方へ (和歌山市)
和田川洪水ハザードマップ (和歌山市)。 これと似たような状況なのだろうか。
JVNDB-2012-002783: libvirt における異なるデバイスを関連づける脆弱性 (JVN, 2012.06.20)。libvirt 0.9.12 で修正されている。 CVE-2012-2693
JVNDB-2012-002786: Asterisk Open Source の chan_skinny.c におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2012.06.21)。Asterisk Open Source 10.x のみの欠陥。10.5.1 で修正されている。 CVE-2012-3553
APT 方面
JVNDB-2012-002787: APT におけるトロイの木馬のパッケージをインストールされる脆弱性 (JVN, 2012.06.21)。 CVE-2012-3587
JVNDB-2012-002804: APT における変更されたパッケージをインストールされる脆弱性 (JVN, 2012.06.21)。CVE-2012-0954
APT 0.7.25 / 0.8.16 で修正されている。
マイクロソフト セキュリティ アドバイザリ (2719615) XML コア サービスの脆弱性により、リモートでコードが実行される
関連:
Microsoft XML Core Services(MSXML)におけるメモリ破壊により、任意のコードが実行される脆弱性(CVE-2012-1889)に関する検証レポート (NTTデータ先端技術, 2012.06.20)
European aeronautical supplier's website infected with "state-sponsored" zero-day exploit (Sophos, 2012.06.20)。ヨーロッパの航空機産業が CVE-2012-1889 exploit を使った "state-sponsored" ゼロデイ攻撃にさらされた。
APSB12-14: Security updates available for Adobe Flash Player
Windows 版のプラグイン方式用 Flash Player、Firefox 上での不具合を修正した 11.3.300.262 が公開されました。
【アップデータ公開】Win版FirefoxとFlash Playerの保護モードとの互換性の問題を解消するアップデータを公開しました。FirefoxでFlash Playerをお使いの方はアップデートしてください。ご迷惑をおかけしました。http://bit.ly/m7tlqK (アドビ サポート担当 @AdobeSupportJ, 2012.06.22)
サービス運用上の問題に起因するドメイン名ハイジャックの危険性について (JPRS, 2012.06.22)
》 「原子力の憲法」こっそり変更 (東京, 6/21)。原子力基本法の「基本方針」がこっそり変更された。
設置法案は、民主党と自民、公明両党の修正協議を経て今月十五日、衆院環境委員長名で提出された。
基本法の変更は、末尾にある付則の一二条に盛り込まれた。原子力の研究や利用を「平和の目的に限り、安全の確保を旨として、民主的な運営の下に」とした基本法二条に一項を追加。原子力利用の「安全確保」は「国民の生命、健康及び財産の保護、環境の保全並びに我が国の安全保障に資することを目的として」行うとした。
追加された「安全保障に資する」の部分は閣議決定された政府の法案にはなかったが、修正協議で自民党が入れるように主張。民主党が受け入れた。各党関係者によると、異論はなかったという。
原子力規制委員会設置法の付則で原子力基本法が変更されたことは、二つの点で大きな問題がある。
一つは手続きの問題だ。平和主義や「公開・民主・自主」の三原則を定めた基本法二条は、原子力開発の指針となる重要な条項だ。もし正面から改めることになれば、二〇〇六年に教育基本法が改定された時のように、国民の間で議論が起きることは間違いない。
ましてや福島原発事故の後である。
ところが、設置法の付則という形で、より上位にある基本法があっさりと変更されてしまった。設置法案の概要や要綱のどこを読んでも、基本法の変更は記されていない。
法案は衆院通過後の今月十八日の時点でも国会のホームページに掲載されなかった。これでは国民はチェックのしようがない。
もう一つの問題は、「安全確保」は「安全保障に資する」ことを目的とするという文言を挿入したことだ。
ここで言う「安全保障」は、定義について明確な説明がなく、核の軍事利用につながる懸念がぬぐえない。
この日は改正宇宙航空研究開発機構法も成立した。「平和目的」に限定された条項が変更され、防衛利用への参加を可能にした。
これでは、どさくさに紛れ、政府が核や宇宙の軍事利用を進めようとしていると疑念を持たれるのも当然だ。
今回のような手法は公正さに欠け、許されるべきではない。政府は付則を早急に撤廃し、手続きをやり直すべきだ。(加古陽治、宮尾幹成)
滅茶苦茶。
》 わずか7分で散会! 改正著作権法案が参院文教科学委員会を通過し本会議へ! (ガジェット通信, 6/21)。関連:
違法ダウンロードの罰則化法案成立 ユーチューブやニコ動は大丈夫なのか (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」 , 6/21)
ぼくらの七日間戦争 (CNET, 6/21)。敗戦の理由。
違法ダウンロード罰則化の波紋 (NHK, 6/21)。全てが終ってから問題点を指摘。 これが NHK スタンダード。
》 陸山会事件、虚偽報告書作成の検事を停職へ (読売, 6/20)。検察は、トカゲのシッポ切りで逃げ切ろうという魂胆か。
関連: 「「私も元検事だが、これは内部の人に向けた文書ではない、と分かる」と小川前法相:江川紹子氏」 (晴耕雨読, 6/20)
》 New Trojan Spread Over Skype as Cat and Mouse Game Between Syrian Activists and Pro-Syrian-Government Hackers Continues (EFF, 6/19)
》 第89回 「いいね!」の思わぬ落とし穴 (篠田佳奈のHow To セキュリティ, 6/19)。 イイネ! イイネ! イイネ! (それは CKB)
》 時論公論 「電力自由化 鍵は新規参入」 (NHK 解説委員室, 6/14)
》 世界のセキュリティ・ラボから: LinkedInのパスワード流出、その重大性は (日経 IT Pro, 6/21)
》 福島の原発維持に年900億円 東電説明に疑問続出 (朝日, 6/19)。ふくいち5、6号機とふくに。再稼働する気マンマン。
》 インターネットバンキング:不正引き出し容疑で5人逮捕 (毎日, 6/21)。トロイを使った攻撃が疑われている模様。逮捕容疑自体は「窃盗」。
》 豪プライバシー委員会のレポートにより、紛失した USB メモリの取り扱いが再び焦点に (Sophos, 6/17)。忘れ物の USB メモリを遺失物オークションにかける前に、その内容を消去すべきか? ニューサウスウェールズ州 Railcorp 社が下した結論は「データを削除して販売するのではなく、破壊せよ」。
》 「宇宙人からの攻撃を想定したマニュアル」を内閣官房と防衛省に開示請求したらこうなった (登 大遊@筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記, 6/20)。『行政文書開示請求手続き』の事例紹介。
》 “Beyond the OS”をめざして〜マカフィーとインテルが初の共同セキュリティソリューションを発表 (クラウド Watch, 6/21)。McAfee Deep Defender、日本でもようやく正式発表されたらしい。しかしあいかわらず価格も発売日も未定。
》 日米韓合同軍事演習開催中 (黄海海上、6/21〜22)。そういう時代になりました。
朝鮮半島沖で初の合同軍事演習 日米韓が21、22日に (産経 MSN, 6/14)
【ワシントン=佐々木類、ソウル=加藤達也】米国防総省は13日、米韓の海軍と日本の海上自衛隊が今月21、22の両日、朝鮮半島周辺海域の公海で合同軍事演習を行うと発表した。
米韓軍事演習をめぐっては2010年7月、海上自衛官がオブザーバーとして米空母ジョージ・ワシントンに乗船、見学したことはあるが、海自の艦船が参加して日米韓3カ国が合同軍事演習を行うのは初めて。韓国海軍と海上自衛隊の相互運用性や情報伝達を向上させ、海難事故対応や海事の安全確保における協力を促進するのが狙いだ。
北朝鮮 合同軍事演習で米非難 (NHK, 6/18)
日米韓の合同軍事訓練始まる (NHK, 6/21)
この軍事訓練は、アメリカと韓国の海軍や海上自衛隊が、災害救助や海上での保安活動の際の連携を強化するために行うもので、21日から2日間の日程で、朝鮮半島の南側の公海上で始まりました。
今回の訓練について、韓国国防省は人道支援活動の強化のため定期的に行っているものだとしていますが、アメリカ軍からは初めて神奈川県の横須賀基地を事実上の母港とする原子力空母「ジョージ・ワシントン」が投入されるほか、海上自衛隊からはイージス艦や護衛艦が参加するなど本格的な軍事演習の性格が強まっています。
日米韓合同演習始まる 朝鮮半島南方沖 原子力空母が初参加 (東京, 6/21)
米韓両軍は二十二日に韓国北部・抱川(ポチョン)で、北朝鮮による非武装地帯(DMZ)での軍事挑発や韓国への侵攻を想定した、最大規模の「統合火力戦闘訓練」を実施。二十三〜二十五日には、米韓両軍による黄海上での訓練も行われる。
日米韓が初の本格軍事訓練 朝鮮半島南、米空母も参加 (岐阜新聞, 6/21)
<日米韓合同軍事訓練>韓国・済州島南方の海域で始まる (毎日 / Yahoo, 6/21)
韓国は今回の訓練について「定期的な訓練」としている。植民地支配など日韓の歴史的経過から懸念を示す世論への配慮とみられる。一方、北朝鮮の朝鮮中央通信は「北侵先制攻撃を狙った火遊び」と非難。中国もけん制する発言をしている。
》 原子力防災—原子力リスクすべてと正しく向き合うために (amazon)。福島第一原発事故を予見していた電力会社技術者 無視され、死蔵された「原子力防災」の知見 (JBpress, 5/31) で紹介されていた、元 ERSS の中の人による書籍、増刷がかかったのか「在庫あり」になってます。
》 「電通と原発報道」を読めーー古舘伊知郎「圧力がかかって番組を切られても本望」の背景が解き明かされている (ざまあみやがれい!, 6/21)。確かに興味深い。発注した。
》 福島原子力事故調査報告書の公表について (東電, 6/20)。 ひたすら言いわけ・言い逃れに終始か……。 東電には「真摯な反省」という概念は存在しないようだ。
関連: 東電社内調査報告書:福島原発事故で官邸の介入批判 (毎日, 6/20)。実際ひどかったようだが、それは、官僚機構がまるで働かなかった結果にすぎないと思うんだよなあ。 東電自身が粛々と事故対応・収束できていれば何の問題もなかったわけだし。 東電本店は、自分達に都合のいいことばかりを言っている感。
》 ミラクルボディー シリーズ第3弾 (NHK)。7/14〜16 放送予定。
》 和服美少女がHDDやSSDの異常を検知するとかわいい声で教えてくれる「CrystalDiskInfo 5 Shizuku Edition」 (gigazine, 6/20)。水晶雫さん。
なお、「※突然しゃべりだすことがあるので職場や公共の場などでのご利用は計画的に!?」と注意書きがあるので、使う場所とタイミングには細心の注意を払いましょう。
そのままではアンチウイルスソフトウェアに検出されてしまうような攻略 PDF ファイルでも、XDP でくるんであげるだけでさくっと通過できちゃう、という話。
》 解読に数十万年かかるとされた暗号、148日で解読される (slashdot.jp, 6/19)。278桁「ペアリング暗号」。
関連: 「次世代暗号の解読で世界記録を達成」を一研究者が解説 (togetter, 6/20)
今回攻撃した「GF(3^n)上のηTペアリングを利用したペアリング暗号」の安全性は「n=97(923ビット)」においては、RSA1024ビットの安全性には届いておらず、RSA1024ビットと同程度の安全性を確保するには「n=193程度(1836ビット程度)」とすることが必要です。
というのが今回の攻撃で分かった事実です。
》 Creating a PCI 11.3 Penetration Testing Report in Metasploit (Rapid7, 6/19)
》 NHKが、火災ホテルを「ラブホテル」と報じない理由 (Biz誠, 5/15)
東日本大震災の発生から1週間後。親しい某ニュース番組のテレビカメラマンから「お蔵入り映像」を見せてもらった。
震災直後、関東某所の避難所に、福島第一原発の作業員が妻と娘をつれて訪れた。彼は協力企業の人間からサーベイメーター(携帯用の放射線測定器)を奪うと、愛娘を調べ始める。すぐに針が振り切れ、ピーピーという大きな音。なだめる協力企業の人間から、「俺は毎日つかってっからわかんだ! やべえだろ、これ!」と怒鳴って取り乱す作業員。震災からまだ1週間ほどだったので、モニターを見て思わず息を呑んだ。
この映像はテレビ局幹部から「あまりにショッキングで、視聴者の恐怖心をいたずらに煽る恐れがある」としてボツになった。「報道の作法」に反するというわけだ。
マスメディアによる情報隠蔽事例ですか。 「震災直後」って、いつなんだろう。
》 海自自殺控訴審:国、「不存在」文書7点の存在認める (毎日, 6/18)。海自による情報隠蔽事例ですか。
》 「入社2年目の若者」が新型水着を開発、どのように? (Biz誠, 6/19)。担当者自身は、真面目に取り組んだだけだなあ。「担当者が既存の考え方に毒されていない」とか「会社が担当者のやりたいようにやらせた」がポイントか。
これまでの水着は、きつく締め付けて、面積を小さくしていかにストリームライン(流線型)をつくるかということがテーマだった。「曲がっている水着」など聞いたことがない。森さんの提案は、社内でも物議を醸し出したが、彼は何度も実験を繰り返して、その結果をもって理解を求めたのである。
こうして誕生した水着が「CFー1」。オリンピック代表にも提供され、選手からも「着心地がいい」と評判だ。
とにかくキツキツだったレーザーレーサーとは大違いなわけですね。 コルセット水泳の時代は終了と。
》 特定のAndroid端末向けアプリが含むLibraryファイル、C&Cサーバに接続 (トレンドマイクロ セキュリティ blog, 6/20)
》 実例で学ぶ脆弱性対策コーディング 第1回 glibライブラリに潜む脆弱性をつぶすパッチ (JPCERT/CC, 6/20)
》 Safe Browsing - Protecting Web Users for 5 Years and Counting (Google, 6/19)
》 情報を自力で防衛! シマンテック、セキュリティ・スペシャリストを育成する「サイバーディフェンスアカデミー」を開校 (ComputerWorld.jp, 6/20)。 有料です。
各コースともに5日間の予定で行われ受講時間は35時間で費用は1人当たり1コース50万円。
》 Data security and digital privacy on the road, what travelers should know (ESET Threat Blog, 6/19)
》 10月1日からDVDリッピング違法化&違法DL刑罰化、著作権法改正案が可決・成立 (Internet Watch, 6/20)。関連:
違法ダウンロード刑罰化への津田大介氏の国会参考人発言を書き起こしました (akiyan.com, 6/20)
違法ダウンロードに刑事罰・著作権法改正で何が変わるか 壇弁護士に聞く (ITmedia, 6/20)
キャッシュの合法性についてのもうひとつの解釈(ニコ動・youtubeアウト) (togetter, 6/20)
日本レコード協会、違法ダウンロード刑罰化成立に「歓迎」コメント (ITmedia, 6/20)
原子力ムラにはまがりなりにも解体圧力がかかっている最中だけど、著作権ムラはますます焼け太り中だなあ。
》 マクドナルドの実物とかけ離れた商品写真の撮影手順を詳細にレポートしたムービー (gigazine, 6/20)。ここまでくると、さすがに嘘なんじゃ。
》 CrowdRE: collaborative reverse engineering (H Security, 6/18)
》 Knight Foundation awards $320,000 to Tor Project (H Security, 6/19)
》 チケット販売システムで最大128万件の顧客情報が流出か - 2011年の不正アクセスで (security-next, 6/15)。Gettii。
》 Cleaning up malware-infected WordPress sites (StopTheHacker.com, 6/19)
》 Googleの不正サイト関連調査、「1日当たり約9500の不正サイトを確認」 (日経 IT Pro, 6/20)
》 「ウォール街離れ」目立つ 米名門大生、就職観に変化 (朝日, 6/20)
》 アサンジ容疑者:エクアドルへ政治亡命申請 (毎日, 6/20)
》 原発再稼働決定に福島から警鐘を鳴らす人々 日本は地雷原の上でカーニバルをしているのか (日経ビジネス, 6/20)
》 Evolved Banking Fraud Malware: Automatic Transfer Systems (trendmicro blog, 6/18)
》 Privacy change: iOS 6 to seek permission before apps can access personal data (ZDNet Zero Day, 6/18)
》 東電契約更新 “値上げ後の新料金が大前提” (田中龍作ジャーナル, 6/19)
》 いや、パスワードをしっかりSaltingしても十分ではない、CUDA Accelerated PBKDF2を使用すべし (エフセキュアブログ, 6/12)
》 ミッコ・ヒッポネンがフォーレンポリシー誌の選んだTwitter要人100人に選出 (エフセキュアブログ, 6/19)
》 マリへ治安部隊投入承認を要請 (国連情報誌SUNブログ対応版, 6/19)
》 OpenFlow ShowCase、Radwareの展示内容 [Interop Tokyo 2012] (Geek なぺーじ, 6/20)
》 Google、政府からの削除要求を報告する”Transparency Report”を公開 (techcrunch, 6/19)
》 Facebookのモバイル広告は有効だった−クリックスルー率13倍、売上11倍、株価も持ち直す (techcrunch, 6/20)
》 米上院議員、GoogleとAppleの「偵察機」が甲羅干し姿を写さないよう要求 (techcrunch, 6/20)
》 Tails 0.12 blends in better in internet cafes (H Security, 6/18)。プライバシーと匿名性の維持を目標にした Linux ディストリ Tails が「Windows 擬態」オプションを搭載。どう見ても Windows XP です。
》 KB2720211 適用後に WSUS サーバーが起動しなくなった (Japan WSUS Support Team Blog, 6/18)。 WSUS のセキュリティ強化に関する修正プログラムについて (Japan WSUS Support Team Blog, 6/12) を適用したら不具合発生の事例。 文書に従って WSUS を再インストールすることで対応可能。
関西電力株式会社大飯発電所第3号機及び第4号機における「特別な監視体制」を整備しました (経産省, 6/16)
大飯発電所3号機、4号機の再稼動にかかる今後の工程について (関電, 6/16)
緊急事態応急対策拠点施設(オフサイトセンター) (原子力安全委員会)
大飯 OFC (福井県大飯原子力防災センター; 海岸から 100m、海抜 2m、フィルタなし、非常用燃料貯蔵 15 時間分) が使えなくなったらどうするのか、という話はどこにもなくてびっくり。追加の非常用燃料を用意するとか、緊急にフィルタを用意するとかいった話もどこにもない。 どんだけ安全神話に頼ってるんだ。
大飯 OFC の代替施設は高浜 OFC (福井県高浜原子力防災センター) なのだけど、 海岸から 500m、海抜 4m、フィルタなし、非常用燃料貯蔵 15 時間分と、大飯 OFC と似たりよったりな状況。ショボすぎる。
で、「特別な監視態勢」の下で、こうなりましたとさ:
大飯原発で警報 公表半日後で謝罪 (NHK, 6/20)
Good luck.
ワシントン・ポストがすっぱ抜いた模様。
「Flameマルウェアも米国とイスラエルが開発」と米紙報道、対イラン攻撃の一環か (ITmedia, 2012.06.20)
U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say (Washington Post, 2012.06.19)
関連:
New Critical Microsoft IE Zero-Day Exploits in Metasploit (Rapid7, 2012.06.18)。CVE-2012-1875 の方。
IEの脆弱性「CVE-2012-1875」を狙う「JS_DLOADER.QOA」を徹底解析−テクニカルレポート (トレンドマイクロ セキュリティ blog, 2012.06.20)
CVE-2012-1875 を悪用する脅威 - パート 1(Trojan.Naid) (シマンテック, 2012.06.18)
CVE-2012-1875 in the Wild (Part 2) - Internet Explorer Gets Stumped (Symantec, 2012.06.19)
マイクロソフト セキュリティ アドバイザリ (2719615) XML コア サービスの脆弱性により、リモートでコードが実行される
関連:
New Critical Microsoft IE Zero-Day Exploits in Metasploit (Rapid7, 2012.06.18)。CVE-2012-1889 の方。
Danger! Unpatched Microsoft security vulnerability being actively exploited (Sophos, 2012.06.19)
Joomla 2.5.5 security updates arrives with added features (H Security, 2012.06.19)
JVNDB-2012-002757: Qt の gui/image/qtiffhandler.cpp 内の TIFF リーダーにおけるバッファオーバーフローの脆弱性 (JVN, 2012.06.19)。patch あり。
JVNDB-2012-002756: Qt および Pango で使用される HarfBuzz モジュールにおけるヒープベースのバッファオーバーフローの脆弱性 (JVN, 2012.06.19)。patch あり。
JVN#51176027: Python SimpleHTTPServer におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.06.19)。IE7 でのみ発現。patch あり。
JVN#58102473: WEB PATIO におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.06.19)、 JVN#33171616: WEB PATIO におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.06.19)。 最新版では修正されている。
新しいアクセス制限モジュール CaitSith (ケット・シー)。
今までのアクセス制限モジュールはプロセスの視点からルールを書くため、特定のプロセスの動作を制限するルールを書くことは簡単でした。しかし、特定の資源へのアクセスを制限するには全てのプロセスの動作を制限しなくてはならないため面倒でした。資源の視点からルールを書くことができれば、そんな必要も無くなります。CaitSith はプロセス視点でも資源視点でもお好きなようにルールを書けるので、「でっかい自分ルール」を実現できます。
さらに、 CaitSith ではホワイトリスト方式だけでなくブラックリスト方式でルールを書くこともできるようになっており、デフォルトでは許可も拒否もしない「あらあらうふふ」状態な動作をします。
額にはんこを押してくれるかも。(事例)
》
不正B−CAS:不正競争防止法違反容疑で逮捕…京都府警
(毎日, 6/19)。BLACK-CAS の件 改造 B-CAS カードの件。
……おっと記事タイトル変わったようで: 不正B−CAS:販売容疑で逮捕…全国初、京都府警 (毎日)。 初物大好き京都府警と、それに媚びるマスメディア。 まぁ、B-CAS カード終了から 1 か月程で対応というのは、警察としては早いのかな。
関連:
「B-CAS」から「BLACKCAS」への書き換えについて初の逮捕者、プログラムを公開したユーザーも立件へ (gigazine, 6/19)
また、時事通信によると「カードを書き換える不正なプログラムをインターネット上などで公開したとして、都内の男ら数人を立件する方針」であり、さらに毎日新聞によると「ネット上で不正な書き換えに関する情報を公開したとして、他に2、3人を同容疑などで捜査しているほか、カード購入者6人についても電磁的記録不正作出・同供用容疑での立件を視野に調べている」とのことです。
B−CAS不正 2人を逮捕 (NHK, 6/19)
【話題】 「平成の龍馬」 京都大職員逮捕・・・不正B-CASカード作成し、自宅のテレビに差し込んだ疑い (2ch.net, 6/19)
B-CASカード改造やそれによる有料放送の視聴は犯罪か? (平成の龍馬(多田光宏)/ アゴラ, 5/25)
上記記事は削除されたようで。判決確定までは推定無罪なんですがねえ。 まだ以下で読めます。Benjamin さん情報ありがとうございます。
B-CASカード改造やそれによる有料放送の視聴は犯罪か? - 多田 光宏 (アゴラ / Yahoo, 5/26)
》 大飯原発:福井県が黒く塗りつぶした放射性物質拡散予測図 (グリーンピース, 6/19)。これが福井県の言う「安全」か。まさにダチョウの「安全」だな。
》 「市場を公正なものに」「CDが売れるようにはならない」──著作権法改正案、参院で参考人質疑 (ITmedia, 6/19)。岸博幸氏は「慶應義塾大学大学院教授」であると同時に「エイベックス・グループ・ホールディングス株式会社顧問」 「エイベックス・マーケティング取締役」なので注意。 2007年から2010年までは「エイベックス・グループ・ホールディングス株式会社取締役コーポレート企画本部担当」でもあった。
》 米の無人機攻撃、世界各国から強い反対意見 (産経 MSN, 6/19)
》 ヤフーとCCCが業務提携--Tポイントに統一、ネット上のIDはYahoo!に (CNET, 6/19)、 リアルとネットを横断した最大の共通ポイントへ Yahoo! JAPANとCCCが戦略的資本・業務提携 (CCC, 6/19)
1.業務提携の内容
(1)「Yahoo!ポイント」を「Tポイント」へ切り替え
Yahoo! JAPANは、「Yahoo!ショッピング」などYahoo! JAPANの対象サービスにおいて付与する「Yahoo!ポイント」を、CCCが提供する「Tポイント」へ切り替えます。
(2)「T-ID」を「Yahoo! JAPAN ID」へ統一
CCCは、インターネット上でTポイントサービスを受けられる共通ログインID「T-ID」を、Yahoo! JAPANが提供する「Yahoo! JAPAN ID」へ統一します。
(3)リアルとインターネットの「Tポイント」提携店舗網および送客の拡大
Yahoo! JAPANとCCCは、Yahoo! JAPANが展開する日本最大級のジオサービス「Yahoo!ロコ」と、CCCが有する地域代理店を相互活用し、「Tポイント」提携店舗網拡大と地域活性化への貢献を図ります。またYahoo! JAPANとCCCは、インターネット上での「Tポイント」提携サービス拡大に向けた営業活動を行い、インターネットを通じたさらなる「Tポイント」流通量拡大を図ります。併せてYahoo! JAPANが有する媒体力を最大活用し、既存の「Tポイント」提携店舗への送客拡大を図ります。
》 原子力基本法の基本方針に「安全保障に資する」と加える改正案の撤回を求める (世界平和アピール七人委員会, 6/19)。国会議員のみなさんは核兵器が大好き、欲しくて欲しくて仕方がない。
》 浜岡原発・廃炉5基で3173億円 (中日, 6/19)。あれ? 原発はコストが安いんじゃなかったの?
関連: 原子力発電のコストは本当に安いのか? (A Successful Failure, 2011.04.30)
》 マカフィーサポート通信 - 2012/06/14 (マカフィー, 6/14)。McAfee Security for Mac 1.1 patch 1 が出たそうで。
- ファイル書き込み時のスキャンパフォーマンスの改善します。
- "FileVault"がインストールされた環境でログオン後に OS が無応答となる問題の修正をします。
Release Notes - McAfee Security for Mac 1.1 Patch 1 。 McAfee Agent 4.6 Patch 1 必須。 Security for Mac 1.1 Patch 1 Known Issues。
》 User Session IDs are not recycled and CSRSS.exe sessions are not closed after Applying Windows Server 2008 R2 Service Pack 1 (McAfee KB 75462)。悪いのは Microsoft。
》 VirusScan Enterprise 8.8 support for Windows 8 Beta (McAfee KB 74593)。VSE 8.8 with Patch 2 pre-release build で暫定対応だそうで。
東海第2原発 村上村長、担当相に廃炉要望 立地や老朽化理由に (茨城新聞, 2011.10.12)。東海村・村上達也村長、細野大臣に廃炉要望書を提出。
要望書ではまた「原子力安全委員会や原子力安全・保安院の信用失墜が著しく、新たな原子力規制体制の確立なしに原発再稼働は受け入れられない」と指摘。原発再稼働受け入れ条件としては福島第1原発事故避難者への十分な対応が不可欠とし、▽国の原発政策の中身、基準を明らかにすべき▽原子力センター構想への速やかな支援-などを求めた。
東海村長「ずさん判断」・・・大飯再稼働決定 (読売, 6/17)
村上村長は、再稼働までに至る政府の対応を「国民には見え見えの茶番劇そのもの」と糾弾。
廃炉署名 17 万人
東海第2原発:再稼働問題 知事「重く受け止める」 廃炉署名の市民団体と初会談、尊重の姿勢示す /茨城 (毎日, 5/18)
署名簿提出の市民グループ、東海第2原発廃炉を知事に直訴 (茨城新聞, 5/18)
会談で、橋本知事は東海第2原発の再稼働について、「定期検査中で、燃料の装填(そうてん)時期も未定。停止中の原発の中でも東海第2原発は再稼働するにしても一番遅くなる。今の段階では廃炉と動くより、周囲の様子を見たい。中立でいたい」と述べた。
これが知事の本音じゃないかなあ。 とりあえず何もしない。
橋本昌知事 定例記者会見 (6/18)
知事定例記者会見における発言要旨 (茨城県, 6/18)、 動画。
「東海第二」再稼働、知事が条件 (朝日, 6/19)
橋本昌知事は18日の定例会見で、県原子力安全対策委員会、東海村、県議会の3者のうち一つでも再稼働に反対すれば再稼働を認めない考えを示した。村上達也村長が東海第二原発の廃炉を求めるなか、3者すべての了承を得るのは現時点では極めて難しい。知事の発言は、再稼働に高いハードルを課したに等しい。
東海第2再稼働で知事、大飯と同じ手順前提 容認には地元の同意 (茨城新聞, 6/19)。東海村が廃炉を要求している限り、「容認するのは難しい」だろう。
東海第二「反対17万人署名重視」 知事、再稼働に慎重な姿勢 (東京, 6/19)
》 震災・原発で科学者の信頼低下 今年版科学技術白書が警鐘 (共同, 6/19)
国民意識調査で、科学者を「信頼できる」が震災前の76〜85%から65%前後に大きく低下したことを紹介。「任せておけないと考える国民が激増しているのと比べ、専門家は信頼低下を深刻に捉えていないようだ」と厳しく指摘した。
原子力ムラだけでなく、あらゆる領域の科学者の信頼性が疑問視されていることに注意しましょう。
》 IPAからAndroidアプリの脆弱性に関するレポート出ました (徳丸浩の日記, 6/19)
IPAの「『Androidアプリの脆弱性』に関するレポート」の方は、24ページという薄さと、基本にフォーカスして説明してあるという点で、全てのAndroidアプリ開発者およびAndroidアプリを発注する立場の方に読んでいただきたい内容です。
スマホを狙った「ワンクリアプリ」を警視庁が摘発 (トレンドマイクロ セキュリティ blog, 6/14)
Android不正アプリついに摘発 (読売, 6/15)
Android.Oneclickfraud Gang Arrested, but Sister Apps Alive and Active (Symantec, 6/19)
So, with the arrest of the gang operating Android.Oneclickfraud I am hopeful that their sister sites will be taken down soon, with more arrests to follow. However, at the time of writing they show no sign of letting up.
似たようなサイトは依然として稼働中と。
日本語版出ました: Android.Oneclickfraud の犯人グループが逮捕されるも、姉妹アプリは今も活動中 (シマンテック, 6/19)
》 おしどりマコ・ケンの「脱ってみる?」第45回 日隅一雄さんへのとりとめのない手紙の件。 (マガジン9, 6/13)、 日隅一雄さんとの約束 (週刊 上杉隆, 6/14)、 バッジとペンを握って死んだ男 (ゆかしメディア, 6/19)。しかし闘いはなおも続く。
》 LinkedIn,eHarmony,Last.fmの漏えい事案をまとめてみた。 (piyolog, 6/9)。すばらしいまとめ。
ちなみにLinkedInやeHarmonyはパスワードの数ヶ月おきの変更を促しています。数ヶ月とは一体いつ変更すればよいのでしょうか?(まさかこの手の漏えいが数ヶ月おきに起こるのでしょうか?:))
起こることを想定すべきなのでしょうね。くわばらくわばら。
》 大阪府の警報・注意報 (Yahoo! JAPAN)。 12:10 現在、全域で大雨・洪水・暴風警報発令中。 気象庁は重すぎて使えない。
滋賀も 12:25 現在、全域で暴風警報発令中になったな。
》 New BIOS rootkit spotted (net-security.org, 6/8)
MS12-037 の「Same ID プロパティのリモートでコードが実行される脆弱性」CVE-2012-1875 の exploit が公開されたそうで。
CVE-2012-1875 links and samples (contagio, 2012.06.15)
Attack code published for 'critical' IE flaw; Patch your browser now (ZDNet Zero Day, 2012.06.18)
IE remote code execution vulnerability being actively exploited in the wild (Sophos, 2012.06.19)
更新プログラムの適用を。
》 ピックアップ@アジア 「アジアの児童労働 実態と撲滅への課題」 (NHK 解説委員室, 6/14)
》 ここに注目! 『災害対策基本法改正と残る課題』 (NHK 解説委員室, 6/14)。成立見通し立たずですか。
》 時論公論 「土砂災害 避難対策は進んだか」 (NHK 解説委員室, 6/13)
》 視点・論点 『テレビでラジオの話をしよう〜ラジオと東日本大震災〜』 (NHK 解説委員室, 6/13)
東日本大震災では、長期停電によりテレビは見られない、携帯電話やパソコンもつながらない期間がありました。被災地のラジオ局では、被災地の人たちの安否情報や、身近な炊き出しや給水場所などの生活情報を必死に伝え続けたのです。災害時にはラジオと、言われてきましたが、今回は、被災した人たちにラジオがありませんでした。津波のせいです。津波で家が流されたり、たくさんの車も流されてしまい、カーラジオを聴くこともできませんでした。そこで、ラジオ局や大手電気メーカーなどが被災地に数万台のラジオを送りました。それでもラジオは足りませんでした。これから来る災害に備え、ぜひ一人一台ずつラジオを持ち歩いてほしいと思います。
》 ピックアップ@アジア 「景気減速_瀬戸際の中国経済」 (NHK 解説委員室, 6/12)
》 イエメン、ソマリアでの対テロ戦争(米国の介入) (中東の窓, 6/17)
》 サヘル地域等における米空中スパイ基地の拡充 (中東の窓, 6/14)
》 データ漏洩の実態〜フォレンジック調査で見た真実[第3回]58%がデフォルトパスワード利用、「対策したはず」は本当ですか (日経 IT Pro, 6/13)
》 Facebook、Google、Twitterなどが悪質広告対策で協力 (日経 IT Pro, 6/15)
》 トレンドマイクロがSSL証明書発行に参入、年間40万円の定額制 (日経 IT Pro, 6/18)
トレンドマイクロの新サービス「Trend Micro SSL」の料金体系は、年間40万円程度の定額制に設定し、期間中は無制限で証明書を使えるようにした。
》 核のごみ 地層処分ムリ 日本学術会議でも解決見えず (東京, 6/18)
関連: 原発廃炉なら4社債務超過 損失計4兆円超 経産省試算 (朝日, 6/18)。ふつうに考えればそうなる。
》 大飯再稼働決定 8市町「事故対応ムリ」 (東京, 6/17)。 自治体の対応能力を越えている。
》 「再稼働ありきの茶番」 脱原発首長ら抗議 (東京, 6/18)
》 音声版を利用してCAPTCHA破り (水無月ばけらのえび日記, 6/16)
》 Catching worms with ghost flash drives (H Security, 6/15)。Ghost USB Honeypot だそうで。
》 エチオピア政府、Skype、Google TalkなどVoIPサービスを全面禁止 (techcrunch, 6/15)
》 米の放射線実測図、政府が放置 原発事故避難に生かさず (朝日, 6/18)。 http://www.slideshare.net/energy/radiation-monitoring-data-from-fukushima-area-march-22-2011 (ENERGY.gov The Situation in Japan , 2011.03.22) の件。
政府の初動対応では、汚染の広がりを予測する緊急時迅速放射能影響予測システム(SPEEDI)の試算結果の公表遅れが問題となった。同システムの予測値と決定的に違うのは、米エネルギー省のデータが放射能の拡散方向を示す実測値だったことだ。
そう言う朝日自身は、この情報を 2011年3月24日夕刊 の 2 面に掲載しているのだが、その記事タイトルは「原発の北西30キロ 高い放射線量 米エネ省推定」。朝日自身、実測値であることをきちんと理解していたとは思えない。
》 ホルムアルデヒド問題、原因はダムからの放流水? (八ツ場ダムをストップさせる埼玉の会, 6/18)
》 AMD、ARMとの提携でx86 APUのセキュリティ機能を強化 ARMのセキュリティ技術「TrustZone」を統合へ (ComputerWorld.jp, 6/14)
》 新潟県沖に大規模油田か、来春にも試掘 (読売, 6/18)
》 ゼロデイ脆弱性の価格表、秘密の攻撃コードはいくらか? (うさぎ文学日記, 6/17)
【PowerShell】ループバック PS セッションとは (フィールドSEあがりの安納です, 6/15)
【PowerShell】リモートコンピューターが再起動するまで待ち合わせるには (フィールドSEあがりの安納です, 6/17)
PowerShell 3.0 では、たった1行で待ち合わせが可能です。
Restart-Computer -ComputerName SERVERNAME -wait
これだけです。
》 亜大、決勝進出!“東浜温存”で選手一丸 (デイリースポーツ, 6/18)、龍谷大、最高タイ4強!椹木監督「大満足」…全日本大学選手権 (読売, 6/18)。龍大、決勝進出ならず。ウゥム残念。
》 Firefox 13.0.1 リリースノート (mozilla.jp, 6/15)。Flash Player に関する、Firefox 側の問題を修正。 Flash Player 自身の問題については何ら解決されないので注意。
Firefox の終了時に Flash Player がクラッシュする場合がある問題を修正しました。動画を再生できない、日本語を入力できない、コンテンツの表示が乱れるなど、Flash Player 11.3 に関するその他の問題については Adobe 社が対応中です。これらの問題は Flash Player 10.3 へダウングレードすることで回避可能です。
Mozilla 的にはダウングレード推奨ということかなあ。まぁそうだろうなあ。
JVNDB-2012-002722: Poul-Henning Kamp md5crypt における平文パスワードを検出される脆弱性 (JVN, 2012.06.15)。Md5crypt Password scrambler is no longer considered safe by author (PHK, 2012.06.07) の件。
JVNDB-2012-002724: 複数の Cisco 製品の SIP の実装におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.06.15)
JVNDB-2012-002725: HP Web Jetadmin におけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.06.15)
VMSA-2012-0011: VMware hosted products and ESXi and ESX patches address security issues (VMware, 2012.06.14)
Ruby on Rails patches more SQL injection holes (H Security, 2012.06.14)。3.2.6 / 3.1.6 / 3.0.14 で直っているそうで。
カスタムVLANサポートを拡大しセキュリティが修正された「PacketFence 3.4」リリース (sourceforge.jp, 2012.06.15)
Announcing the automated updater of untrustworthy certificates and keys
失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨 (日本のセキュリティチーム, 2012.06.18)
New APT Attack Shows Technical Advance in Exploit Development (Kaspersky, 2012.06.15)。CVE-2012-0158 が使われている。
マイクロソフト セキュリティ アドバイザリ (2719615) XML コア サービスの脆弱性により、リモートでコードが実行される
Microsoft XML Core Services MSXML Uninitialized Memory Corruption (exploit-db, 2012.06.16)
「もうかりまっか?」「ウハウハですわ」
Opera 12 正式版登場。Windows / Linux 版は 5 件、Mac 版は 6 件のセキュリティ欠陥が修正されている。Mac 版で増えている 1 件については、まだ詳細が公開されていない。
Opera 12.00 for Windows Changelog (Opera, 2012.06.14)
Opera 12.00 for Mac Changelog (Opera, 2012.06.14)
Opera 12.00 for UNIX Changelog (Opera, 2012.06.14)
》 時代の風:人道外れる死刑制度=元世界銀行副総裁・西水美恵子 (毎日, 6/10)
日本にもさまざまな壁があろう。しかし、我が国には、世界にまれな史実がある。弘仁9(818)年、嵯峨天皇が死刑を廃止し、廃止令は、その後約3世紀半もの間、存続した。このような歴史を誇る国のこと、いつの日か必ず廃止に行き着くと、確信する。
》 指原莉乃のHKT移籍について雑記 (くりごはんが嫌い, 6/16)。ピンチこそチャンスだ。
ある意味で、これからもAKBから目が離せないわけだが、スキャンダルすら、武器にするAKBの強さというのが、モー娘。にはなかったことなのかなとも思った。いや、実際モー娘。関連の方がスキャンダルはヒドかったよ。もう風化されてるかもしれないけど。
》 「マンガは児童ポルノではない」 スウェーデンの最高裁が下した無罪判決のまとめ (togetter, 6/16)
》 特別連載企画『未来は音楽が連れてくる』 (musicman-net)
》 泊発電所における中長期対策等の進捗状況について (北電, 5/16)。非常用発電機はいまだに「仕様、工程等検討中」レベルですか……。ショボい。
》 更なる対策(平成24年度末までに完了予定) (北陸電力)。大容量電源車は今だに手配中ですか……。ショボい。
》 2号機原子炉真上で高放射線量測定 (NHK, 6/15)。 福島第一原子力発電所2号機 原子炉建屋内調査結果 (3階〜5階) (平成24年6月13日実施) (東電, 6/14) の件。
大飯原発直下に活断層の可能性 専門家指摘、関電は否定 (朝日, 6/9)。しかし確認しないまま再稼働。 安全神話があるので大丈夫です!
社説:大飯再稼働会見 「安全神話」への逆戻り (毎日, 6/12)
再稼働判断近づくも防災策手付かず 広域的避難など国の審議停止状態 (福井新聞, 6/14)
原発再稼働 これが法治国家なのか (信濃毎日, 6/15)。痴呆国家ですから!
原発運転再開 安全上の課題は (NHK, 6/16)。記事タイトルは「原発運転再開 しかし課題山積」とでもすべきであろ。結局は国営放送クオリティ。
大飯原発「5層の防護」3層目まで 国際基準 程遠く (東京, 6/16)
五層の防護とは、故障や誤作動を防ぎ、地震や津波などに襲われても炉心溶融のような重大事故にならないよう備えをするのが一〜三層目。事故が起きてしまった場合、いかに事故の被害を最小限に食い止め、住民を被ばくから守るかの備えをするのが四、五層目となる。
大飯原発はどうか。非常用電源の多様化や建屋が浸水しにくいなどの安全向上策はある程度はできたが、それは三層目までのこと。事故が起きた後に重要となる四、五層目の対応は空手形というのが現状だ。
ベント(排気)時に放射性物質の放出を最小限にするフィルターの設置、事故収束に当たる作業員を放射線から守る免震施設の整備などが四層目に当たり、適切に住民を避難させたり、内部被ばくを防ぐヨウ素剤を配ったりするのが五層目。
しかし、四層目が達成されそうなのは三年後で、五層目はいつになるか、めども立っていない。
原発外で対策拠点となるオフサイトセンターは、いまだに見直し作業の最中。モニタリングポストなど広域に放射線量を監視する体制も整っておらず、福井県の避難計画も近隣の他府県との連携を考えない硬直化した内容のままだ。
免震棟、9原発で未整備 安全対策遅れ浮き彫り (中国新聞, 6/13)
このうち関西電力では、福井県内に保有する大飯(おおい町)、美浜(美浜町)、高浜(高浜町)のいずれでも免震棟がない状態が続いている。大飯3、4号機では2016年3月末までに、美浜、高浜は17年3月末までに完成予定で、関電は完成まで「地下にある緊急時対策所で対応する」としている。
九州電力は玄海(佐賀県玄海町)、川内(鹿児島県薩摩川内市)とも整備計画すら具体化していない。今後、着工する北海道電力泊(北海道泊村)、東北電力東通(青森県東通村)、中国電力島根(松江市)の各原発は16年3月末〜17年3月末までの完成を目指す。既に着工している北陸電力志賀(石川県志賀町)は来年3月末までに完成予定だ。
これら未整備は「新潟県中越沖地震 (2007) の教訓をガン無視した結果」。
正式決定前に指示?=大飯再稼働、関電「早合点」−経産省も反省 (時事, 6/16)。シビアアクシデント時もあいかわらずこの調子ですかね。
原発の耐性2次評価、改めて各社に提出指示へ 保安院 (朝日, 3/8)。結局今だにどこからも出てないけど再稼働 ok ok ! 安全神話があるので大丈夫!
「大飯」防災拠点 原発オフサイトセンター 海抜わずか2メートル 津波・放射性物質 大震災の教訓いかさず (しんぶん赤旗, 6/15)。 女川 OFC の二の舞になるだろうけど安全神話があるので気にしない!
》 漫画喫茶の店長 警察にSOS (東スポ, 6/16)
現場となった東京・西蒲田の漫画喫茶の前には、15日午前11時前から報道関係者とやじ馬が大挙して駆けつけたため、収拾がつかない状態となった。ドアは閉じられ、「臨時休業」の紙が貼られた。(中略)
午後には「情報ライブ ミヤネ屋」(日本テレビ系)が、通報した店員の独占インタビューを店内から生放送を始めた。当初は店長が取材を一切断る態度を見せていたため、まさかの事態にドア前で構える50人以上の報道陣は「話が違う」と激怒。一時は「関係ねえ。突入だ!」と憤る他局のスタッフも出るほど過熱した。
午後3時前に店長が外に現れると、報道陣との追いかけっこに。〝逃げる〟間、店長が携帯電話で「囲まれて大変なんですよ」と警察に電話する場面もあった。
まさにマスゴミ。関連: アクシデント連続 オウム高橋逮捕までの舞台裏 (日刊ゲンダイ, 6/16)
「捜査1課によれば、捜査員がマンガ喫茶から出てきた男を捕まえて『高橋容疑者か』と尋ね、認めたので身柄確保した——となっています。しかし、実際は『利用者の履歴を見せてほしい』と店を訪れた捜査員に対し、アルバイト店員が『似ている人が店の奥にいる』と伝えたのがキッカケです。それを聞いた捜査員は高橋の顔を確認しに行ったものの、すぐ戻ってきて『似てないな。違うんじゃないか』『君の勘違いだよ』と帰ろうとした。しかし、店員が『あの人です』と食い下がったため、『じゃあ職質するか』ということになり、店外で高橋に声を掛けたらビンゴだったのです。店員が確認を強く求めていなければ、また逃げられていました」(事情通)
ケーサツは、ショボい上にウソを垂れ流しですか……。
高橋の「身柄確保」を聞き、午前11時ごろから報道陣が殺到した東京・蒲田のマンガ喫茶「コミックガーデン」。「店長が会見に応じる」との情報が駆け巡り、炎天下、店の前には多くの記者やカメラが押し掛けた。
ところが、警察のガサ入れが終わっても、店の入り口は固く閉ざされ、店長は一向に姿を現さない。記者たちの苛立ちが募り始めたころ、突然、現場が騒然となった。
「午後2時過ぎだったでしょうか。携帯電話でテレビを見ていた記者から、一斉に『ミヤネ屋(日テレ系)の中継が入っているぞ』と驚きの声が上がったのです。記者たちは皆、店内の写真を撮りたい、高橋の来店時の様子を詳しく知りたい——とイライラしながら外で待っているのに、『ミヤネ屋』だけが中に入り、店員にインタビューしていた。長時間待たされていた記者はこの中継にブチ切れ。現場は『店長出てこい』『なんでミヤネだけ入れるのか』と怒号が飛び交いました。現場では『ミヤネ屋はいくらカネを払ったんだ』という声も漏れていました」(民放記者)
ショボい。
》 ClamAV 0.97.5 has been released! (ClamAV, 6/15)。セキュリティ修正が含まれているようで。
》 スマホを狙った「ワンクリアプリ」を警視庁が摘発 (トレンドマイクロ セキュリティ blog, 6/14)
》 Facebookに登録した携帯番号を削除するのに、四苦八苦しました。 (また一つ、新しい花の名前を覚えました。~出戻りプログラマの備忘録~, 1/31)
関連: Facebook、セキュリティー惨劇防止のため、全ユーザーに携帯電話番号の確認を依頼 (techcrunch, 6/15)
》 『BugハンターとめんどうくさいWebセキュリティ』−翔泳社が出版記念イベントを開催 (enterprisezine, 6/14)。 Bug ハンター日記出版記念 (twitpic)。 (元ねた)
》 Do Not Track arrives in Opera 12 (H Security, 6/15)
LED照明の基礎知識 (電気設備の知識と技術)
さらば健康被害! LED照明のちらつきを簡単に測る (EDN Japan, 6/1)
LED照明のちらつきの問題 (LEDマニア, 2010.08.27)
まちがえだらけのLED電球選び? (エンジニア徒然草, 2010.02.15)
政府、白熱電球からLED電球への販売切り替えを要請 (slashdot.jp, 6/14)
景品表示法関係公表資料: 一般照明用LEDランプ販売業者12社に対する景品表示法に基づく措置命令について (消費者庁, 6/14)
最近の大手ベンダー製なら大丈夫かな。不安な場合は PSE マーク付き製品を待ってもいいか。
》 DVDリッピング違法化+私的違法ダウンロード刑罰化法案、衆議院で可決 (Internet Watch, 6/15)
》 【拡散希望】#TPP、驚愕のISD条項リーク: ニュージーランド貿易大臣は「こんなオンボロ貿易協定なら署名しない!」と酷評!この重大事日本メディアいまだ報道せず! (廣宮孝信の反「国家破産」論 ブログ, 6/14)
》 Hacking businesses via your iPad can be all fun and games (Sophos, 6/11)。商売、商売。
》 胆管がん発症・死亡 東京と宮城でも 印刷会社 厚労省、全国調査へ (産経 / Yahoo, 6/12)。今日の「かんさい熱視線」でやってたみたい (うぅ、録画し忘れた)。
再録:パスワードは本当にSHA-1+saltで十分だと思いますか? (エフセキュアブログ, 6/7)
まだ問題無くパスワードにデフォルト設定を使っている? やめましょう。 (エフセキュアブログ, 6/12)
No, Heavy Salting of Passwords is Not Enough, Use CUDA Accelerated PBKDF2 (F-Secure blog, 6/12)
How Companies Can Beef Up Password Security (Krebs on Security, 6/11)
Passwords: LinkedIn And Beyond (EFF, 6/11)
Lost+Found: Twitter password cracking and GPL malware (H Security, 6/11)
》 ワイドショーやニュースで報道されないホントの話「仙谷、女性記者に下半身でセクハラ」と事実認定 (みんな楽しくHappyがいい♪, 6/13)。本当に報じられませんね。
》 Phishing and Banking Trojan Cases Affecting Brazil (cert.br)。www.cert.br/docs/palestras/certbr-firstsymposium2012.pdf。 家庭用ルータの欠陥 (管理 Web ページにパスワードが直接書かれており、おまけに WAN 側からアクセスできる!) によってひどいことに。
》 「WSPEEDIすべて公表」覆す新資料 東京新聞第一報も「放出量」を「濃度」と誤記 (マスコミ誤報検証・報道被害救済サイト GoHoo, 6/15)。うぉっ! WSPEEDI による、3/15 の I-131 乳幼児臓器被ばく線量分布予測 ! NHK ETV特集「ネットワークでつくる放射能汚染地図5 埋もれた初期被ばくを追え」 の結果と見比べてみたいなあ。
》 「ウイルス感染しません」——Appleが宣伝文句を撤回? (ITmedia, 6/15)。確かに変わってますね。
ビフォー: Google キャッシュ
It doesn’t get PC viruses.
A Mac isn’t susceptible to the thousands of viruses plaguing Windows-based computers. That’s thanks to built-in defenses in Mac OS X that keep you safe, without any work on your part.
アフター: http://www.apple.com/why-mac/better-os/
It’s built to be safe.
Built-in defenses in OS X keep you safe from unknowingly downloading malicious software on your Mac.
PHP 5.4.4 / 5.3.14 登場。DES の件 (CVE-2012-2143) と SA44335: PHP phar Extension and "crypt()" Input Handling Vulnerabilities (CVE-2012-2386) が修正されている。
インテルCPUで動作する64ビットOSや仮想化環境で、権限昇格の脆弱性が発覚 独自の脆弱性を利用、攻撃者はホストマシンの操作やカーネル権限の取得が可能に (ComputerWorld.jp, 2012.06.15)
関連:
Flame: Replication via Windows Update MITM proxy server (Kaspersky, 2012.06.06)
Flame malware collision attack explained (Microsoft Security Research & Defense, 2012.06.06)
セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化 (日本のセキュリティチーム, 2012.06.10)。読んでおきませう。
Flameは不十分 (エフセキュアブログ, 2012.06.12)
攻撃者がMicrosoft Terminal Serverライセンス証明書を再利用する方法を見つけたため、偽のアップデートはMicrosoftのルートと結びつく証明書で署名されている。これだけではWindowsのより新しいバージョンになりすますことはできないとしても、最先端の暗号の調査が行われ、証明書のスプーフィングを可能にするハッシュ衝突を生み出す、完全に新しい方法が考え出されている。しかし、彼らはさらにスーパーコンピュータを必要とした。
「…」
そして突然、何の前触れもなく、Flameが不十分か否かに関する議論は…消えてしまった。
「Stuxnet」と「Flame」に関係性−−カスペルスキーのセキュリティ研究者らが見つけ出す 初期のStuxnetにFlameのモジュールが使われていたとのこと (ComputerWorld.jp, 2012.06.12)。 Back to Stuxnet: the missing link (Kaspersky, 2012.06.11) の件かな。
Announcing the automated updater of untrustworthy certificates and keys (Windows PKI blog, 2012.06.12)。無効化された証明書の自動更新ツール。
It's Signed, therefore it's Clean, right? (F-Secure blog, 2012.06.14)
世界のセキュリティ・ラボから: 中東で発見された高度なマルウエア「Flame」に大騒ぎ (日経 IT Pro, 2012.06.14)
MySQLのmemcmp関数処理における不備により認証を回避される脆弱性(CVE-2012-2122)に関する検証レポート (NTTデータ先端技術, 2012.06.15)
マイクロソフト セキュリティ アドバイザリ (2719615) XML コア サービスの脆弱性により、リモートでコードが実行される
トレンドマイクロ、IEに存在する更新プログラム未公開の脆弱性に対応 (トレンドマイクロ セキュリティ blog, 2012.06.14)
》 The event log files become corrupted in Windows 7 or in Windows Server 2008 R2 (Microsort KB 2701799)。 hotfix あるそうです。
》 システムの復元ツール Windows RE で、Windows 7 ベースのコンピューターで動作しません。 (Microsort KB 2709289)。以下の状況において、システムの復元ツールが失敗するそうで:
Windows 7 上で復元ポイントを作成する。
2572077 更新プログラム (MS11-078) を適用する。その後さらに、 2446710 更新プログラム (MS11-028) または 2518869 更新プログラム (MS11-044) を適用する。 (本来の順序とは逆順ということか……)
Windows 7 インストールメディア、あるいは Windows 回復環境 (Windows RE) を使って起動する。
作成した復元ポイントを使ってシステムを復元しようとする。
Hotfix があるので、それを適用した Windows RE 環境をつくる必要があるそうで。
》 2012/5 中旬以降シャットダウンに時間がかかる現象について (Japan WSUS Support Team Blog, 6/13)。 自動更新 / Microsoft Update の場合。「WSUS 環境は本現象の影響を受けないため、直接関係しない情報です」。
Windows XP の場合、OS をシャットダウンする操作を実行した後に、実際にシャットダウンされるまで約 5 分ほど画面が止まっているように見えます。
(なお Windows Vista / 7 では、シャットダウン動作上の問題は報告されていませんが、自動更新サービスが動作していない旨のメッセージが表示される事例が報告されています。)
今回の現象は Microsoft Update および自動更新が有効に設定されている場合にのみ、発生します。
%WINDIR%\WindowsUpdate.log をメモ帳などで開き、問題発生時の前後のログとして、下記が出力されていれば合致しています。
DtaStor FATAL: Service 7971F918-A847-4430-9279-4A52D1EFE18D requested, but it is expired
回避方法は「自動更新を止める」「Microsoft Update を実行する」だそうで。
》 カレログ様のものでストーカー行為、不正指令電磁的記録供用罪の適用が現実に (高木浩光@自宅の日記, 6/8)
》 実際に対サイバー攻撃アラートシステム「DAEDALUS」が警告を出す映像 (gigazine, 6/14)。漢字ってやっぱウザいな。
》 中国空母の最新動向:兵装とアレスティング・ワイヤ (海国防衛ジャーナル, 6/14)
》 福島原発:県が内部被ばく検査中止要請…弘前大に昨年4月 (毎日, 6/14)。福島県、被曝調査に圧力。福島県らしいと言えばそれまでだが。事故当時にきちんと測らなかったから、今になってみんな不安になっている。
》 恐竜のように小さな脳を持つ男 関西電力社長・八木誠の口をガムテームで塞ぐ必要がある (ざまあみやがれい!, 6/14)
》 「ユーザーも声あげて」——違法ダウンロード刑事罰化問題、予断許さぬ状況 (ITmedia, 6/14)
》 “新gTLD”に1930件の申請、ICANNが申請文字列・組織の一覧を公開 (Internet Watch, 6/14)。 いい商売ですなーマジで。
関連: トップレベルドメイン大幅増加へ、ICANNが申請リスト公開 (Geek なぺーじ, 6/13)
》 オスプレイ、米で訓練中に墜落 日本配備に影響必至 (朝日, 6/14)。4月につづいてまたですか……。実用化後は安定していると思ってたんだけど。
》 サイバー部隊に100億円 概算要求方針 (産経 MSN, 6/14)。「サイバー空間防衛隊」の件。100人体制予定ですか。
》 スマホ向けウイルス初摘発=勝手にアダルトサイト請求画面に−IT会社役員ら逮捕 (時事, 6/14)。ワンクリック詐欺方面の様子。
警察庁によると、スマホ向けのウイルスの摘発は全国初という。
そんなところで自慢したいですかそうですか……。
》 また京都府警の初物狙いが炸裂。 新法をさっそく有効活用している、とも言えるんだけど。
他人のIDなど公開の16歳逮捕…提供罪初適用 (読売 / Yahoo, 6/13)
5月の法改正で、他人のIDやパスワードを無断で第三者に提供する行為は、どのサイトで利用できるものかを明示しなくても処罰されるようになり、府警によると、適用は今回が全国初という。
Google closes persistent XSS holes in Gmail (H Security, 2012.06.13)
SSH private key gives attackers access to BIG-IP appliances (H Security, 2012.06.13)、 Scanning for Vulnerable F5 BigIPs with Metasploit (Rapid7, 2012.06.11)
Intel CPU 上で動く、複数の 64bit OS および仮想化ソフトウェアに欠陥があり、local での権限上昇や、ゲスト OS からホスト OS へアクセスが可能となる。ここでは Xen、FreeBSD、Windows、RHEL の Advisory が紹介されている。 CVE-2012-0217
[Xen-announce] Xen Security Advisory 7 (CVE-2012-0217) - PV privilege escalation (Xen, 2012.06.12)
FreeBSD-SA-12:04.sysret - Privilege escalation when returning from kernel (FreeBSD, 2012.06.12)
MS12-042 - 重要: Windows カーネルの脆弱性により、特権が昇格される (2711167) (Microsoft, 2012.06.13)。Windows 7 64bit 版 / Server 2008 R2。
RHSA-2012:0720-1 - Important: kernel security and bug fix update (RHEL, 2012.06.12)、 RHSA-2012:0721-1 - Important: kernel security update (RHEL, 2012.06.12)。RHEL 5 に含まれる Xen 実装。
インテルCPUで動作する64ビットOSや仮想化環境で、権限昇格の脆弱性が発覚 独自の脆弱性を利用、攻撃者はホストマシンの操作やカーネル権限の取得が可能に (ComputerWorld.jp, 2012.06.15)
APSB12-14: Security updates available for Adobe Flash Player
Firefox の件、続報:
「Firefox」と「Adobe Flash Player 11.3」の相性問題、Adobeが解決方法を公開 (窓の杜, 2012.06.14)。個人的には、10.2 系列へのダウングレードか、保護モードの無効化が最もてっとり早いように見える。
Flash Player の最新版で発生しているいくつかの問題について (Mozilla Japan ブログ, 2012.06.14) にも情報が追記されている。
マイクロソフト セキュリティ アドバイザリ (2719615) XML コア サービスの脆弱性により、リモートでコードが実行される
MSXML: Fix it before fixing it (Microsoft Security Research & Defense, 2012.06.13)。Fix it が何をやっているかの解説。
In order to assure the safety of our customers during this time, we created a new workaround in the form of a Microsoft “Fix it” package that uses the Windows application compatibility toolkit to make a small change at runtime to either of msxml3.dll, msxml4.dll or msxml6.dll every time Internet Explorer is loaded. This change causes Internet Explorer to initialize the previously uninitialized variable which is at the root of the vulnerability.
あとここ。MSXML5 については、警告が出るようになりますよと。
Note:
You might have noticed that msxml5.dll is not covered by the previous workaround. MSXML5 is not on the pre-approved controls list and should not be used on any web pages. Internet Explorer will pop up the security bar every time a website tries to use it:
あと関連:
Microsoft XML vulnerability under active exploitation (Google, 2012.06.12)
We discovered this vulnerability—which is leveraged via an uninitialized variable—being actively exploited in the wild for targeted attacks, and we reported it to Microsoft on May 30th. Over the past two weeks, Microsoft has been responsive to the issue and has been working with us. These attacks are being distributed both via malicious web pages intended for Internet Explorer users and through Office documents. Users running Windows XP up to and including Windows 7 are known to be vulnerable.
攻略 Web ページと攻略 Office 文書、両方来てますか。
'State-sponsored attackers' using IE zero-day to hijack GMail accounts (ZDNet Zero Day, 2012.06.13)
「1024 bit 以下の」を「1024 bit 未満の」に修正。 @masa141421356 さんご指摘ありがとうございます。
Mac OS X 用 Java 1.6.0_33 も出ました: About the security content of Java for OS X 2012-004 and Java for Mac OS X 10.6 Update 9 (Apple, 2012.06.12)。これには次の機能が含まれるそうで:
Java for OS X 2012-003 and Java for Mac OS X 10.6 Update 8 で Mac OS X 10.7 Lion に実施された、 35 日間使用しなかった場合に Java ブラウザ plugin と Java Web Start が無効化される機能が、 Mac OS X 10.6 にも適用される。
Java が「minimum safe version」に満たない場合、Java ブラウザ plugin と Java Web Start が無効化される。「minimum safe version」が何を意味するかについては、必要に応じて毎日更新される。
おーこわ。現在は修正されているそうで。
関連: 「さくらDNSにサブドメインハイジャックを許す脆弱性」ってのは過少評価 (インターノット崩壊論者の独り言, 2012.06.14)
サービス運用上の問題に起因するドメイン名ハイジャックの危険性について (JPRS, 2012.06.22)
関連:
権威/キャッシュDNSサーバーの兼用によるDNSポイズニングの危険性について (JPRS, 2012.07.04)
「ドメイン名ハイジャック」及び「DNSポイズニング」の危険性に関する一連の注意喚起について+緊急対策のお願い (JPRS, 2012.07.04)
》 まだあったiOS 6の新機能:新プライバシー設定、共有ウィジェット、ストアアプリ改訂など (techcrunch, 6/13)
小川 敏夫 前法相 退任記者会見(抄録) (八木啓代 / BLOGOS, 6/5)
小川前法相の指揮権発言について考える (郷原信郎が斬る, 6/5)
日本語の使い方に騙されてはいけません:検察に指示するのがタブーという勘違い (八木啓代 / BLOGOS, 6/6)
では、なぜ、小川法相は「捜査途上」なのに、そう思ったか。
ここでバラしてしまいましょう。
検察は、5月28日に、小川大臣に報告を上げています。
はい。なんで八木がそれを知っているのかは、情報源秘匿のために言えませんが、確かです。いずれ、明らかになるでしょう。
だから、その報告を見て、トンデモねえと思った小川大臣が、指揮を考えたんじゃないですかね。 朝日は、小川大臣が官邸に行ったのは、5月11日だと退任会見で語ったかのように書いていますが、昨日のエントリで収録したとおり、小川元大臣が言ったのは「5月下旬」。
「指揮権発動について再び首相と会う前日に更迭された」、「小沢裁判の虚偽報告書問題は『検事の勘違い』などではない!!」小川敏夫前法務大臣に真相を聞いた (現代ビジネス, 6/7)
6月12日午後9時から緊急中継決定! 長谷川幸洋、郷原信郎が小川敏夫前法相を直撃! 「なぜ大臣は更迭されたか? 『指揮権発動』のすべてを語る」 (現代ビジネス, 6/11)。昨日やってたのか……。
法務省、聴取の検事に停職案 小川前法相「甘い」と難色 (朝日, 6/13)
》 全交流電源喪失事象検討ワーキンググループ関係資料の公開までの経緯について (原子力安全委員会事務局, 6/12)
》 電源喪失会議資料 電力側、メモ黒塗り要求 (東京, 6/13)。前ねた。
安全委は昨年七月、作業部会に協力者として参加した東電と関電に会議資料を送り、企業の知的財産に当たるなど非開示とすべき情報がないか確認を求めた。
そもそも、確認を求めているのが変なのでは……
》 弁護士・日隅一雄さん死去 (東京, 6/13)。ついにこの日がきてしまいました。合掌。
》 西島・御前崎市議会議長:親族経営の土木会社、原発関連6億円受注 /静岡 (毎日 / Yahoo, 6/5)。ずっぽり。関連:
》 原発検査機関 PC感染新たに14台 (NHK, 6/12)。原子力安全基盤機構 JNES の件。
このため基盤機構は、外部の専門機関と共に、詳しく感染の状況を調べた結果、感染したのは「マルウェア」と呼ばれる新種のウイルスで、去年3月から7月にかけて外部にファイルが流出した可能性が高いということです。
『「マルウェア」と呼ばれる新種のウイルス』って、何言ってるの…… > NHK
オフィシャル: 機構内パーソナルコンピュータのマルウェア(不正プログラム)感染の可能性及び外部サイトとの意図しない通信について(続報) (JNES, 6/11)
》 実用化断念なら費用大幅減=高速増殖炉計画で試算−文科省 (時事, 6/12)。ゴミはとっとと捨てましょう。
》 【寄稿】ギリシャではなくドイツがユーロ離脱を−ジャンケ (ブルームバーグ, 6/12)。ユーロ圏内の経済が弱い国々から見ると、今のユーロは強すぎて、 自国経済をさらに圧迫するということだよなあ。ドイツの得にしかならんと。
》 平成24年度富士総合火力演習のお知らせ (陸自)
》 亀井氏が「六人組」に交付金を献上=月刊誌で明かす (JANJAN blog, 6/12)
》 zinjibaru 等の奪還 (中東の窓, 6/13)。イエメン政府、アルカイダ系に占領されていた地域を奪還したらしい。
》 チュニジアの夜間外出禁止令 (中東の窓, 6/13)
》 Twitterアカウント1万件が流出か!? ハッカー集団ラルズセック・リボーンが「実名もパスワードもサイトに公開しちゃったよ」と犯行声明 (IRORIO, 6/13)、 Thousands of Twitter accounts wide open after TweetGif hack (H Security, 6/12)
》 Do Not Track should not be enabled by default says W3C proposal (H Security, 6/12)
》 橋下バブルの終焉(続編) - 山口 巌 (アゴラ / Yahoo, 6/12)
》 【原発再稼働】 滋賀県知事 「関西電力と国から脅された」 (田中龍作ジャーナル, 6/13)
田中:専門家は夏でも電力は足りる、と見ている。こちらの方が「電力不足」を吹聴する政府のインチキなアナウンスより説得力があるが?
知事:「300万キロワットは圧縮できると飯田(哲也)さんや古賀(茂明)さんと詰めてきたけど、関西電力が個別企業にこうした(知事は圧力をかける手真似をした)。そうしたら個別企業が“税金払わない”“(滋賀県から)出て行く”と言い始めた」。
》 うるう秒に関するサポートについて (Microsoft KB 2722715)。一切サポートしておりません! (キッパリ)
》 レプリカ構成では サーバー クリーンアップ ウィザード にご注意ください (Japan WSUS Support Team Blog, 6/7)
クリーンアップ ウィザードの最初の項目「不要な更新および更新のリビジョン」は、必ず下位側のサーバー (レプリカ サーバー) で先に実行し、上位側 (マスター サーバー) はその後で実行するようお願いします。
この逆順、つまり上位側を先に実行すると、期限切れで不要となった古い更新プログラムの情報が、下位サーバー側に「未承認」の状態で残ってしまう場合があります。下位サーバー側に残ったレコードは、再度クリーンアップを実施しても削除されません。( その時点から 30 日を経過した後でクリーンアップを実行すると、ようやく削除されます )
あー……それ経験があるような……なぜそうなるのか全く理解できずに悩んだような……もーわけわからんそんな大人修正してやるぅと思って構成自体を変更したような……。
》 WSUS のセキュリティ強化に関する修正プログラムについて (Japan WSUS Support Team Blog, 6/12)
》 IPv6アクセスをGoogle Analyticsで計測する (Geek なぺーじ, 6/8)
》 GoogleがAAAA非表示リストを公開 (Geek なぺーじ, 6/7)
》 「違法ダウンロード刑事罰化」に関して (Geek なぺーじ, 6/12)
》 中国空母:艦載機の陸上訓練施設を見てみよう (海国防衛ジャーナル, 6/8)
》 ピックアップ@アジア 「拡大するインド軍」 (NHK 解説委員室, 6/11)
(小堺Q9)
こうしてみてくると、今回の日印の訓練には、重要な意味があったのですね。
A9)
アメリカ抜きでという点がこれまでにないところです。
信頼関係を築く上で2国間というのが重要なポイントです。
》 Warnings, /sdl, and improving uninitialized variable detection (Microsoft SDL blog, 6/6)。Visual Studio 2012 RC の /sdl オプション。
》 ハードディスク価格が2011年タイ洪水以前の水準に戻るのは2014年以降 (gigazine、 6/13)
SeagateとSamsung、Western DigitalとHGSTという2件の大規模合併があって、HDDの2大メーカーは市場シェアを洪水前の62%から85%にまで高めています。この圧倒的なシェアゆえに卸売価格を比較的高値のまま維持することが可能になり、小売価格も簡単には下がらなくなった、というわけです。
関連: 国際ディスクフォーラム2012レポート〜タイ洪水による高値安定を享受するHDD業界 (PC Watch, 6/13)
》 OWASP Japan 2nd Chapter Meeting (エフセキュアブログ, 6/13)。2012.06.27、東京都品川区、無料。 申込。
》 HTTPの新ステータスコード「451 Unavailable for Legal Reasons」を、グーグルのTim Bray氏がIETFに提案 (Pulickey, 6/13)
》 洗濯の絵表示、国際規格に統一へ 見慣れぬ記号も (産経 / Yahoo, 6/13)。2014 年度から ISO 規格への移行を予定。
》 IPA テクニカルウォッチ 『Androidアプリの脆弱性』に関するレポート 〜簡易チェックリストで脆弱(ぜいじゃく)性を作り込みやすいポイントを確認〜 (IPA, 6/13)
Androidアプリにおける「アクセス制限の不備」の脆弱性の原因箇所を分類すると、ファイルアップロードやデータ共有などのAndroidアプリの「機能(コンポーネント)」に対するアクセス制限不備と、Androidアプリが生成する「ファイル」に対するアクセス制限不備の2つに分けられます。どちらもAndroidの仕組みを理解し、適切にアクセス制限の設定をしていれば防ぐことのできる脆弱性ですが、多くの届出があったという事実から、このAndroid特有の設定の内容が開発者に周知できておらず、結果的に、アクセス制限の不備の脆弱性を作り込んでしまっているのではないかとIPAでは推測しました。
というわけで、そのあたりの詳細な解説文書だそうです。
「嵐を呼ぶ主審」主演:カリル・アル・ガムディ (SUPPORTISTA, 6/13)。呼ぶというより、自分でつくる系か。
退場者続出の南アにおけるジャッジ。 岡田ジャパンの意外な弱点がそこに! (NUMBER 南ア・ワールドカップ通信, 2010.06.22)。昨日今日はじまった話ではないと。
21日に行われたグループHのチリ対スイス戦では、9枚のイエローカードが出され、スイスのベーラミが一発レッドで退場となった。10人になったスイスには相手の攻撃をしのぐしか手立てがなくなり、0−1で敗れている。
この試合のホイッスルを吹いたカリル・アルガムディ氏は、フランス対メキシコ戦でも左胸のポケットから黄色いカードを6度取り出した。付け加えれば、3月23日に等々力で行われた川崎F対メルボルンのAFCチャンピオンズリーグで、イエローカード9枚、レッドカード2枚という大荒れのゲームを作り出したのがアルガムディ氏である。
アジアの壁【W杯最終予選:vsオーストラリア】 (生温かい眼, 6/13)
オーストラリアvsニッポン@2014年ワールドカップ アジア最終予選 (CLASSICA - What's New!, 6/13)
Kerberos 5 Release 1.10.2 (MIT)。こんなの出てたのか。
JVNDB-2012-002641: 複数の Sony 製品の Wireless Manager ActiveX コントロールにおけるバッファオーバーフローの脆弱性 (JVN, 2012.06.11)。日本で売られている製品も影響するんですかねえ。 リンクされているのは英語のページだけど。
JVNDB-2012-002622: Dropbear SSH server における任意のコードを実行される脆弱性 (JVN, 2012.06.07)。 Dropbear SSH server 2012.55 で修正されている。
JVNDB-2012-002607: LibTIFF の tiff_getimage.c における整数オーバーフローの脆弱性 (JVN, 2012.06.06)。Bug 2369 - ZDI-CAN-1221 (maptools.org) で修正されている。
JVNDB-2012-002605: Xinetd の builtins.c におけるアクセス制限を回避される脆弱性 (JVN, 2012.06.06)。xinetd 2.3.15 で修正されている。
RPM 4.9.1.3 Release Notes (RPM.org)。CVE-2012-0060, CVE-2012-0061 CVE-2012-0815 が修正されている。
[rt-announce] Security vulnerabilities in RT (bestpractical.com, 2012.05.22)
[rt-announce] RT 4.0.6 Released - Security Release (bestpractical.com, 2012.05.22)
[rt-announce] RT 3.8.12 Released - Security Release (bestpractical.com, 2012.05.22)
JVN#24646833: SEIL シリーズにおけるアクセス制限不備の脆弱性 (JVN, 2012.06.06)。更新ファームあり。
JVN#78305073: @WEBショッピングカートにおけるクロスサイトスクリプティングの脆弱性 (JVN, 2012.06.05)。patch あり。
型変換は怖いなあ。関連:
CVE-2012-2122: A Tragically Comedic Security Flaw in MySQL (Metasploit blog, 2012.06.11)
CVE-2012-2122 checker (pastie.org)
Simple authentication bypass for MySQL root revealed - Update (H Security, 2012.06.11)
MySQLのmemcmp関数処理における不備により認証を回避される脆弱性(CVE-2012-2122)に関する検証レポート (NTTデータ先端技術, 2012.06.15)
XML コア サービス 3.0 / 4.0 / 5.0 / 6.0 に欠陥。攻略 Web ページを閲覧すると任意のコードが実行される。既に悪用されている。patch はまだない。 CVE-2012-1889
回避策として挙げられているのは:
KB 2719615 に示された Fix it を適用する (この Fix it が具体的には何をしているのか、よくわからない)
EMET 3.0 を利用する。 利便性が向上したEMET v3.0 (日経 IT Pro) も参照。
IE でアクティブスクリプトを無効にする
MSXML: Fix it before fixing it (Microsoft Security Research & Defense, 2012.06.13)。Fix it が何をやっているかの解説。
In order to assure the safety of our customers during this time, we created a new workaround in the form of a Microsoft “Fix it” package that uses the Windows application compatibility toolkit to make a small change at runtime to either of msxml3.dll, msxml4.dll or msxml6.dll every time Internet Explorer is loaded. This change causes Internet Explorer to initialize the previously uninitialized variable which is at the root of the vulnerability.
あとここ。MSXML5 については、警告が出るようになりますよと。
Note:
You might have noticed that msxml5.dll is not covered by the previous workaround. MSXML5 is not on the pre-approved controls list and should not be used on any web pages. Internet Explorer will pop up the security bar every time a website tries to use it:
あと関連:
Microsoft XML vulnerability under active exploitation (Google, 2012.06.12)
We discovered this vulnerability—which is leveraged via an uninitialized variable—being actively exploited in the wild for targeted attacks, and we reported it to Microsoft on May 30th. Over the past two weeks, Microsoft has been responsive to the issue and has been working with us. These attacks are being distributed both via malicious web pages intended for Internet Explorer users and through Office documents. Users running Windows XP up to and including Windows 7 are known to be vulnerable.
攻略 Web ページと攻略 Office 文書、両方来てますか。
'State-sponsored attackers' using IE zero-day to hijack GMail accounts (ZDNet Zero Day, 2012.06.13)
トレンドマイクロ、IEに存在する更新プログラム未公開の脆弱性に対応 (トレンドマイクロ セキュリティ blog, 2012.06.14)
Microsoft XML Core Services MSXML Uninitialized Memory Corruption (exploit-db, 2012.06.16)
関連:
New Critical Microsoft IE Zero-Day Exploits in Metasploit (Rapid7, 2012.06.18)。CVE-2012-1889 の方。
Danger! Unpatched Microsoft security vulnerability being actively exploited (Sophos, 2012.06.19)
関連:
Microsoft XML Core Services(MSXML)におけるメモリ破壊により、任意のコードが実行される脆弱性(CVE-2012-1889)に関する検証レポート (NTTデータ先端技術, 2012.06.20)
European aeronautical supplier's website infected with "state-sponsored" zero-day exploit (Sophos, 2012.06.20)。ヨーロッパの航空機産業が CVE-2012-1889 exploit を使った "state-sponsored" ゼロデイ攻撃にさらされた。
関連:
CVE-2012-1875 を悪用する脅威 - パート 1(Trojan.Naid) (シマンテック, 2012.06.19)
CVE-2012-1875 を悪用する脅威 - パート 2(Internet Explorer を狙う手口) (シマンテック, 2012.06.20)
狙われる CVE-2012-1889 (シマンテック, 2012.06.21)
JS_DLOADER.SMGA Exploits CVE-2012-1875 Vulnerability in Internet Explorer (trendmicro blog, 2012.06.22)
CVE2012-1889: MSXML use-after-free vulnerability (ESET Threat Blog, 2012.06.20)
関連:
IEの脆弱性「CVE-2012-1889」を狙う「HTML_EXPLOYT.AE」徹底解析−テクニカルレポート (トレンドマイクロ セキュリティ blog, 2012.06.29)
Zero-day XML Core Services vulnerability included in Blackhole exploit kit (Sophos, 2012.06.29)
Technical Analysis of CVE-2012-1889 Exploit HTML_EXPLOYT.AE Part 1 (trendmicro blog, 2012.07.03)、 Part 2 (trendmicro blog, 2012.07.04)、 Part 3 (trendmicro blog, 2012.07.05)
修正プログラム登場。ただし MSXML 5 についてはまだ未修正、Fix it 50908 の適用が必要。EMET の併用もひきつづき推奨されている。
MS12-043 - 緊急: XML コアサービスの脆弱性により、リモートでコードが実行される (2722479) (Microsoft, 2012.07.11)
MS12-043: Vulnerability in Microsoft XML Core Services could allow remote code execution: July 10, 2012 (MS KB 2722479)。Fix it 50908 はこちらから。
MSXML - 5 steps to stay protected (Microsoft Security Research & Defense, 2012.07.11)。 MS12-043 を読む、MS12-043 patch を適用する、Fix it 50908 を適用する、EMET を併用する、 オンラインでの安全性を向上させるための 6 つのヒント を守る。
Fix it 50897 については、MS12-043 patch 適用後にアンインストール、つまり Fix it 50898 を適用しませう。
If you have previously installed the Microsoft Fix it solution 50897, we recommend uninstalling it only after the update has been applied. To uninstall, please run Microsoft Fix it solution 50898.
MS12-043 XML コアサービスのセキュリティ更新プログラムについて (日本のセキュリティチーム, 2012.07.23)
2012.08 以降、1024 bit 以下の未満の鍵で署名された SSL 証明書だとエラーメッージが表示されるそうで。
「1024 bit 以下の」を「1024 bit 未満の」に修正。 @masa141421356 さんご指摘ありがとうございます。
無効化された証明書の自動更新ツール登場。Windows Vista / Server 2008 / 7 / Server 2008 R2 用。 KB2677070 から入手できる他、Microsoft Update でも配布されている。
失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨 (日本のセキュリティチーム, 2012.06.18)
Symantec Web Gateway の件、CVE-2012-0297 の Exploit とか Metasploit module とか出てるそうで。
http://downloads.securityfocus.com/vulnerabilities/exploits/53444.py (securityfocus)
Symantec Web Gateway 5.0.2.8 ipchange.php Command Injection (packet storm, 2012.06.11)
MS12-020 - 緊急: リモート デスクトップの脆弱性により、リモートでコードが実行される (2671387) 更新プログラムが再リリースされた。
この新たに提供された更新プログラムでは 3 月 14 日当初に提供した更新プログラムにおいて発生する、Windows 7 または Windows Server 2008 R2 に更新プログラムがインストールされると、その後オペレーティング システムが Service Pack 1 に更新されるという問題に対処しました。
MS12-025 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2671605) 更新プログラムが再リリースされた。
2012 年 4 月 11 日に最初に提供された更新プログラムをインストールすると、特定の Windows Forms アプリケーションで印刷できないか、印刷しても指定されたプリンター設定をサポートしなくなる可能性があります。
この問題が修正されているのでしょう。
Java SE 7 Update 5 および 6 Update 33 登場。 14 件の欠陥が修正されている。 CVE-2012-0551 CVE-2012-1711 CVE-2012-1713 CVE-2012-1716 CVE-2012-1717 CVE-2012-1718 CVE-2012-1719 CVE-2012-1720 CVE-2012-1721 CVE-2012-1722 CVE-2012-1723 CVE-2012-1724 CVE-2012-1725 CVE-2012-1726
Mac OS X 用 Java 1.6.0_33 も出ました: About the security content of Java for OS X 2012-004 and Java for Mac OS X 10.6 Update 9 (Apple, 2012.06.12)。これには次の機能が含まれるそうで:
Java for OS X 2012-003 and Java for Mac OS X 10.6 Update 8 で Mac OS X 10.7 Lion に実施された、 35 日間使用しなかった場合に Java ブラウザ plugin と Java Web Start が無効化される機能が、 Mac OS X 10.6 にも適用される。
Java が「minimum safe version」に満たない場合、Java ブラウザ plugin と Java Web Start が無効化される。「minimum safe version」が何を意味するかについては、必要に応じて毎日更新される。
関連:
JPCERT/CC Alert 2012-06-29 2012年6月 Java SE の脆弱性を狙う攻撃に関する注意喚起 (JPCERT/CC, 2012.06.29)
修正されたばかりのJREの脆弱性を狙う攻撃発生〜必ずアップデートを (so-net セキュリティ通信, 2012.06.29)
Java the Hutt meets CVE-2012-1723: the Evil Empire strikes back (ESET Threat Blog, 2012.07.10)
Oracle Java SE JDKおよびJREの脆弱性により、任意のコードが実行される脆弱性(CVE-2012-1723)に関する検証レポート (NTTデータ先端技術, 2012.07.17)
CVE-2012-1723 関連:
Java の脆弱性 CVE-2012-1723 の検証 (シマンテック, 2012.07.30)
The rise of a new Java vulnerability - CVE-2012-1723 (Microsoft Malware Protection Center, 2012.08.01)
ColdFusion 9.0.1 以前に欠陥。 ColdFusion Component Browser に HTTP response splitting 脆弱性。 hotfix が用意されている。CVE-2012-2041。 Priority Rating: 2
セキュリティアップデート:ColdFusion 9.0.1 以前用のホットフィックス公開(日本語抄訳) (Adobe, 2012.06.12)
7 件。
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 RDP プロトコルの処理に欠陥があり、攻略 RDP パケットによって remote から任意のコードを実行できる。 CVE-2012-0173。 Exploitability Index: 1
MS12-037 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2699988)
IE 6 / 7 / 8 / 9 に 13 件の欠陥 (内 1 つは公開されていたもの)。
Center 要素のリモートでコードが実行される脆弱性 - CVE-2012-1523。 IE 6 / 7 / 8。Exploitability Index: 1
HTML のサニタイズの脆弱性 - CVE-2012-1858。XSS。 IE 8 / 9。 Exploitability Index: 3
EUC-JP 文字エンコードの脆弱性 - CVE-2012-1872。 XSS。 Exploitability Index: N/A
Null バイトの情報漏えいの脆弱性 - CVE-2012-1873。 IE 7 / 8 / 9。 Exploitability Index: 3
開発者ツール バーのリモートでコードが実行される脆弱性 - CVE-2012-1874。 IE 8 / 9。 Exploitability Index: 1
Same ID プロパティのリモートでコードが実行される脆弱性 - CVE-2012-1875。 IE 8。攻撃事例を確認済。 Exploitability Index: 1
Sophos によると、 CanSecWest 2012 Pwn2Own で発表された件だそうです。
Col 要素のリモートでコードが実行される脆弱性 - CVE-2012-1876。 Exploitability Index: 1
Title 要素変更のリモートでコードが実行される脆弱性 - CVE-2012-1877。 Exploitability Index: 1
OnBeforeDeactivate イベントのリモートでコードが実行される脆弱性 - CVE-2012-1878。 Exploitability Index: 1
insertAdjacentText のリモートでコードが実行される脆弱性 - CVE-2012-1879。 Exploitability Index: 1
insertRow のリモートでコードが実行される脆弱性 - CVE-2012-1880。 Exploitability Index: 1
OnRowsInserted イベントのリモートでコードが実行される脆弱性 - CVE-2012-1881。 IE 8 / 9 のみ。 Exploitability Index: 1
Scrolling イベントの情報漏えいの脆弱性 - CVE-2012-1882。 Exploitability Index: N/A
MS12-038 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2706726)
.NET Framework 2.0 / 3.5.1 / 4 に欠陥、攻略 Web ページを閲覧すると任意のコードが実行される。CVE-2012-1855。 Exploitability Index: 1
Communicator 2007、Lync 2010 に 4 つの欠陥。
TrueType フォントの解析の脆弱性 - CVE-2011-3402。 公開されていた欠陥。 Exploitability Index: 3
TrueType フォントの解析の脆弱性 - CVE-2012-0159。Exploitability Index: 3
Lync の安全でないライブラリのロードの脆弱性 - CVE-2012-1849。 DLL 読み込みに関する脆弱性 ねた。 Exploitability Index: 1
HTML のサニタイズの脆弱性 - CVE-2012-1858。Exploitability Index: 3
MS12-040 - 重要: Microsoft Dynamics AX エンタープライズ ポータルの脆弱性により、特権が昇格される (2709100)
Dynamics AX 2012 エンタープライズポータルに欠陥。攻略 URL に含まれる JavaScript 要素により権限上昇が可能。IE 8 / 9 の XSS フィルターは有効だが、イントラネットゾーンではデフォルト無効なので注意。 CVE-2012-1857。 Exploitability Index: 1
MS12-041 - 重要: Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2709162)
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 の Windows カーネルモードドライバに 5 つの欠陥、local user による権限上昇が可能。
文字列アトム クラス名の処理の脆弱性 - CVE-2012-1864。 Exploitability Index: 1
文字列アトム クラス名の処理の脆弱性 - CVE-2012-1865。 Exploitability Index: 1
クリップボード形式アトム名の処理の脆弱性 - CVE-2012-1866。 Exploitability Index: 1
フォント リソース参照カウントの整数オーバーフローの脆弱性 - CVE-2012-1867。 Exploitability Index: 1
Win32k.sys 競合状態の脆弱性 - CVE-2012-1868。 32bit 版 Windows XP のみ影響。 Exploitability Index: 1
Windows カーネルに 2 件の欠陥。
ユーザー モード スケジューラーのメモリ破損の脆弱性 - CVE-2012-0217。 Windows 7 / Server 2008 R2 のみ。 Exploitability Index: 1
BIOS ROM 破損の脆弱性 - CVE-2012-1515。 Windows XP / Server 2003 のみ。 公開されていた欠陥。 Exploitability Index: 1
関連:
2012 年 6 月のセキュリティ情報 (月例) - MS12-036 〜 MS12-042 (日本のセキュリティチーム, 2012.06.13)
今月 8 日に公開した事前通知の内容から一部変更がありました。セキュリティ情報 4 としてご案内していた Microsoft Office 2003/2007、および Visual Basic for Applications 用のセキュリティ更新プログラムは、公開作業に関連する問題により 6 月の月例公開を見合わせています。今後適切なタイミングで公開を行う予定です。また、事前通知には含まれていなかった Lync のセキュリティ情報は、事前通知公開日の時点では、公開作業に間に合わない可能性があったために含んでいませんでしたが、その後最終的な確認が取れたため、6 月の月例のセキュリティ情報として公開するに至りました。
Microsoft June 2012 Black Tuesday Update - Overview (SANS ISC, 2012.06.12)。IE の件が PATCH NOW。
Patch Tuesday June 2012 - Critical updates for IE, RDP, .NET, Flash and Java (Sophos, 2012.06.13)
MS12-037 の「Same ID プロパティのリモートでコードが実行される脆弱性」CVE-2012-1875 の exploit が公開されたそうで。
CVE-2012-1875 links and samples (contagio, 2012.06.15)
Attack code published for 'critical' IE flaw; Patch your browser now (ZDNet Zero Day, 2012.06.18)
IE remote code execution vulnerability being actively exploited in the wild (Sophos, 2012.06.19)
関連:
New Critical Microsoft IE Zero-Day Exploits in Metasploit (Rapid7, 2012.06.18)。CVE-2012-1875 の方。
IEの脆弱性「CVE-2012-1875」を狙う「JS_DLOADER.QOA」を徹底解析−テクニカルレポート (トレンドマイクロ セキュリティ blog, 2012.06.20)
CVE-2012-1875 を悪用する脅威 - パート 1(Trojan.Naid) (シマンテック, 2012.06.18)
CVE-2012-1875 in the Wild (Part 2) - Internet Explorer Gets Stumped (Symantec, 2012.06.19)
》 美浜2号10年延長案 保安院が提出へ (東京, 6/6)。40 年越えは廃炉にしてくれ。
電気用品安全法のページ: 電気用品の技術上の基準を定める省令第1項基準 (経産省)。2012.07.01 から、LED 電球は PSE の対象となるそうで。 改正政省令施行に係る説明資料 (経産省, 6/5)。
ノイズが問題になった事例
LED電球で「受信障害」、街路灯交換へ (ログ速, 2010.04.08)
【社会】LED街路灯でテレビに受信障害、総務省認める 宮城 (ログ速, 2010.07.28)。改良型につけ換えたが、やっぱりノイズが出る。
LED電球ノイズ事件の結末 (トンネル設備の備忘録, 2010.08.25)
LED電球からのノイズ (ませ1りすか)。いちばん詳しい感じ。
LED電球のノイズがラジオやテレビに悪影響与えるってホント? (家電 Watch, 2011.06.23)。実際に測ってみた。
》 電源装置の故障でニフティクラウドが一部停止 (japan.internet.com, 6/11)。 「障害が発生したのは6月7日木曜日午前5時59分で、復旧は同日午後7時40分。障害の原因は、データセンターの電源装置故障とのこと」。Benjamin さん情報ありがとうございます。
6/7 ニフティクラウド・ファシリティ障害【復旧:確認手順追記 20:32】 (ニフティクラウド information, 6/7)
ニフティクラウド データセンター電源装置故障に伴う障害について (状況報告) (ニフティクラウド information, 6/11)
UPS 自身がコワれるのって、たまにあるんだよなあ……。
》 複数の銀行で同時間帯に障害が発生、現在は復旧(りそな銀行ほか) (Scan NetSecurity, 6/8)。りそな、ソニー、東京スター。 ニフティクラウドの件と関係しているんだろうなあ。
》 【重要】システム全面ダウンについてのお詫び (ソニー銀行, 6/11)。6/7 に「電源を起因とする事故」により 05:59 AM 〜 13:03 まで停止していたそうで。Benjamin さん情報ありがとうございます。
【重要】ソニーバンク証券との金融商品仲介サービスがご利用できない事象について (ソニー銀行, 6/7)
【重要】サービスサイトへのアクセスならびに提携先ATMの利用ができない事象について (ソニー銀行, 6/7)
【重要】サービスサイトへのアクセスならびに提携先ATMの利用ができない事象について(続報) (ソニー銀行, 6/7)
【重要】提携先ATMでのお取り引き復旧のお知らせ (ソニー銀行, 6/7)
【重要】一部サービスを除くログイン後サービスサイトの復旧について (ソニー銀行, 6/7)
【重要】ログイン後サービスサイトの復旧について (ソニー銀行, 6/7)
【重要】ソニー銀行のサービスがご利用できない事象が発生しましたことについてのお詫び (ソニー銀行, 6/7)。「2012年6月7日(木)午前5:59より午後1:03まで」。
》 文科省のモニタリングカー測定点選定は SPEEDI 情報に基づいていた (が、そのことは公表せず)
これの件: 福島第一原子力発電所の20Km以遠のモニタリング結果[平成23年3月16日(水曜日)1時05分時点](平成24年2月10日測定結果訂正) (文科省)。 モニタリングカーを用いた固定測定点における空間線量率の測定結果 (文科省) からたどれます。
SPEEDIで実測も非公表 (NHK, 6/11)。 3/12 時点で国に SPEEDI 情報公開を求めていたにもかかわらず、初期の報道では一切 SPEEDI に触れなかった NHK が何か言ってますよ。
福島第一原発の事故を受けて、文部科学省は、所管するSPEEDIなどの対応について検証していて、NHKはその報告書の案を入手しました。(中略)
原発から最も多くの放射性物質が放出された去年3月15日の対応について、文部科学省は原発から北西およそ20キロの福島県浪江町に職員を派遣し、午後9時前に最大で1時間当たり330マイクロシーベルトの高い放射線量を測定したとしています。
そのうえで、この調査地点は15日夕方のSPEEDIの予測を基に選んだことを明らかにしています。
測定結果は官邸に報告するとともに報道機関に資料を配付し、インターネットで公開したものの、現地の対策本部には報告せず、自治体にも伝わらなかったとして「関係機関との連携に反省すべき点が見られた」と記しています。
当時オフサイトセンターは撤収して福島県庁に移転していた (3/15 11時ごろ開始、3/15 中に完了。初動時の現地対策本部の活動状況を参照) けど、 福島県にも伝えてなかったのか……。
SPEEDI 住民に公表前、測定活用 浪江の高線量地把握 (東京, 6/12)
》 原子力大綱策定を中断へ (中日, 6/12)
電力業界など原発推進側だけを集めた勉強会で会議資料案を配布した問題などが表面化し原子力委の在り方が問われているほか、政府のエネルギー・環境会議が新たなエネルギー政策を決めるまで大綱の策定を進めるのが難しいことが理由。
》 シリア、全土で事実上の内戦状態に (中日, 6/11)
》 日本を変える“節電革命” (NHK クローズアップ現代, 6/11)。 デマンドレスポンスや、新発想の節電の事例。
デマンドレスポンスは需要が供給を上回りそうになったとき、利用者が自発的に節電に取り組み需要を減らすのが特徴です。
電力会社は、その分、供給を減らすことができるため、設備の一部を動かさずに済みます。
浮いた費用の一部は、節電に協力した企業への報奨金に充てられます。
・日本は省エネで乾いた雑巾を絞ってたと思っていたが
乾いてなかったんでしょうね。
たぶんだから絞り方を変えれば、まだまだたくさん出てくるのではないかっていうことだと思いますね。
》 Androidを狙う「DroidDreamLight」を知る (日経 IT Pro, 6/11)
》 Feds Arrest ‘Kurupt’ Carding Kingpin? (Kerbs on Security, 6/12)
》 やはり公衆自殺機械は必要か (晴工雨独, 2010.12.22)。こういう事件が起こると思い出してしまう。
》 【寄稿】ギリシャではなくドイツがユーロ離脱を−ジャンケ (ブルームバーグ, 6/12)。たいへんなことになっている国から見ると、ユーロの価値は高過ぎるのだろうなあ。
》 中国・武漢市に謎のかすみ、化学コンビナート爆発のうわさ (AFPBB, 6/12)。正直、北京ならふつうなレベルじゃね? と思ったけど、どうなんだろ。 関連:
中国の悲しい流行語「PM2.5」 政府は対策を格上げするも即効なし (日経ビジネス, 3/7)
PM2.5〜北京の大気汚染をめぐるあれこれ (三学経営科学研究所)
中国:北京米大使館の大気汚染評価 「違法だ」と主張 (毎日, 6/5)
SPM,PM2.5,PM10,…,さまざまな粒子状物質 (国立環境研究所)
》 若い人の方が恐ろしく簡単なパスワードを使う傾向がある (gigazine, 6/12)。携帯端末の影響かしらん。
》 Oracle、Javaの定例アップデートを事前予告、米国時間6月12日公開予定 (Internet Watch, 6/11)。明日。
》 2016年までにテラバイトどころかエクサバイト・ゼタバイト級にネット全体の通信量が爆増へ (gigazine, 6/12)。ソースは CISCO。
iTunes 10.6.3 登場。Windows 版 / Mac OS X 版共に、任意のコードの実行を招くセキュリティ欠陥の修正が含まれる。 CVE-2012-0677 CVE-2012-0672
関連:
ツール:DNS Check #DNSChanger (エフセキュアブログ, 2012.06.02)
今一度、DNS Changer マルウエア感染の確認を (JPCERT/CC, 2012.06.12)
DNSチェンジャー感染者用のDNSサーバ運用、あと1カ月に迫る (トレンドマイクロ セキュリティ blog, 2012.06.11)
》 Best Way to Protect Your WordPress Blog from Malware (stopthehacker.com, 6/8)
》 ますます広告偏重になってきたGoogle検索ページを競合サイトNextagが非難 (techcrunch, 6/9)
》 待ちに待った再審開始が決定!! ゴビンダさんは、家族と共に故国へ!! (無実のゴビンダさんを支える会, 6/7)、クローズアップ2012:東電女性殺害、高裁決定 再審、広がる可能性 鑑定力向上、後押し (毎日, 6/8)。おめでとうございます。
次期ウイルスバスターの評価プログラムを開始 Windows 8 リリースプレビュー版に対応する ベータ版とMac用ベータ版を公開 (トレンドマイクロ, 6/8)
「インターネット セキュリティ 2013」ベータ版のテスタを求む (エフセキュアブログ, 6/8)
Rescue CD Betaをリリース (エフセキュアブログ, 6/8)
》 最近のバージョンのFirefoxの自動更新は一度休止する (ftp-adminの憂鬱, 6/10)
中の人のつぶやきによると、最近のバージョンの自動更新は、新しいバージョンがある程度行き渡ったら一度止めて、新しいバージョンから届いたクラッシュレポートを解析するとのことです。
へぇ〜
》 Adobe Reader / Acrobat 9 終了のお知らせ (来年6月)
One Year from Now: Adobe Reader and Acrobat 9 EOL (Adobe, 6/8)
「Adobe Reader」および「Adobe Acrobat」v9系のサポートが約1年後に終了 (窓の杜, 6/11)
むしろ、殿様商売な会社とオサラバした方がいいんだろうなぁ。まぁ、そうもいかないわけだが。
》 「ST作成に関する説明会」 参加者募集について (IPA, 6/6)
》 「CC評価を理解するための開発者向け説明会」 開催のご案内 (IPA, 6/4)
》 ウイルス検出数大幅増、ゲームなりすまし被害、スマホアプリの不安(IPA) (so-net セキュリティ通信, 6/7)
》 「維新の会」浅田均政調会長が「クビになる」と週刊朝日に本音をもらしていた (週刊朝日 / Yahoo, 6/8)
ImageMagick Changelog。6.7.6-4 で CVE-2012-1610 / JVNDB-2012-002629 が修正されている。
Flash Player 11.3.300.257 for Windows / Mac, 11.2.202.236 for Linux, 11.1.115.9 for Android 4.x, 11.1.111.10 for Android 3.x and 2.x, AIR 3.3.0.3610 登場。7 件の欠陥が修正されている。32bit/64bit 版が統合されたそうで。Ilion さん情報ありがとうございます。 CVE-2012-2034 CVE-2012-2035 CVE-2012-2036 CVE-2012-2037 CVE-2012-2038 CVE-2012-2039 CVE-2012-2040。 JVNDB-2012-000046。
……のはいいのだが、Windows Vista / 7 上の Firefox で不具合が発生しているそうで。今回のバージョンから Firefox 上でも保護モードが有効になっているそうなのだが、これが原因らしい。
「Firefox」と「Adobe Flash Player 11.3」の組み合わせに問題、動画が視聴不能に (窓の杜, 2012.06.11)
Flash Player の最新版で発生しているいくつかの問題について (Mozilla Japan ブログ, 2012.06.11)
なお、YouTube では HTML5 動画プレーヤーを有効にする ことで、プラグインを使用しなくても多くの動画を再生できます。
関連:
APSB12-14: Adobe Flash Player に関するセキュリティアップデート公開 (Adobe, 2012.06.08)。日本語抄訳版。
Flash Player 11.3 Release Announcement (Adobe, 2012.06.08)
Adobe Flash Player の脆弱性 (APSB12-14) に関する注意喚起 (JPCERT/CC, 2012.06.11)
アドビ、深刻な脆弱性を修正したFlash Playerの最新版を公開 (JPCERT/CC, 2012.06.11)
グーグル、「Google Chrome 19.0.1084.56」公開 (so-net セキュリティ通信, 2012.06.11)。Flash Player 更新。
Flash Player 11.3 delivers additional security capabilities for Mac and Firefox users (Adobe, 2012.06.07)
Inside Flash Player Protected Mode for Firefox (Adobe, 2012.06.07)
Firefox の件、続報:
「Firefox」と「Adobe Flash Player 11.3」の相性問題、Adobeが解決方法を公開 (窓の杜, 2012.06.14)。個人的には、10.2 系列へのダウングレードか、保護モードの無効化が最もてっとり早いように見える。
Flash Player の最新版で発生しているいくつかの問題について (Mozilla Japan ブログ, 2012.06.14) にも情報が追記されている。
Windows 版のプラグイン方式用 Flash Player、Firefox 上での不具合を修正した 11.3.300.262 が公開されました。
【アップデータ公開】Win版FirefoxとFlash Playerの保護モードとの互換性の問題を解消するアップデータを公開しました。FirefoxでFlash Playerをお使いの方はアップデートしてください。ご迷惑をおかけしました。http://bit.ly/m7tlqK (アドビ サポート担当 @AdobeSupportJ, 2012.06.22)
Firefox 用の Flash Player 保護モードについて (Adobe, 2012.07.03)。Inside Flash Player Protected Mode for Firefox (Adobe, 2012.06.07) の邦訳版。
》 インド海軍と海自が共同訓練、シーレーン防衛で (読売, 6/9)。「神奈川県沖の相模湾で行われた」
個人の職歴漏らした疑い、ハローワーク職員逮捕 (読売, 6/1)
職歴漏えい 1年余で100件以上 横浜の職安職員 (東京, 6/2)
職歴1件3万円で取引か 漏洩依頼容疑の調査会社代表 (朝日, 6/3)。調査依頼と金の流れの図あり。
職歴情報漏えい:調査会社役員「生活費欲しかった」 (毎日, 6/2)。こっちの図の方がわかりやすいか。
職歴漏えい事件 依頼受け、即日回答も (東京, 6/3)
<職歴情報漏えい>1000件超か 数年にわたり、やり取り (毎日 / Yahoo, 6/3)
独立前も職歴入手か 会社代表、ハローワーク職員から (朝日, 6/5)
横浜・職歴情報漏えい:現場で不正把握できず ハローワーク横浜、再発防止策検討へ /神奈川 (毎日, 6/5)
同課の職員は端末に自分のICカードを差し込んでパスワードを入力し、被保険者の氏名や生年月日、性別を打ち込むと職歴を調べることができる。非常勤を含めハローワーク横浜の全職員約270人のうち、アクセス権限を持つのは約50人。
ハローワークは年1回、職員の研修を行って、個人情報の取り扱いなどについて注意していた。ただ、出席義務はなく、西沢容疑者が研修に参加していたかどうか把握していないという。アクセス履歴は厚生労働省の労働市場センターに集約されるが、ハローワーク横浜が独自に不正アクセスを調査する手立てはなかった。
職歴情報売買で逮捕 【ハローワーク横浜】 (企業法務ナビ, 6/4)
》 佐賀の「ツタヤ図書館」論争に Tカード履歴転用に懸念 (朝日, 6/6)
》 電子化 マンガ家VS出版社 「著作隣接権」めぐり火花 (朝日, 6/6)
》 週刊朝日UST劇場 in ロフトプラスワン 原発問題 そうだ、広瀬さんに聞いてみよう! (週刊朝日, 6/7放送)。資料あり。
》 中国ネットメディアと政府、世論工作の実態 秘密会合の議事録が明らかに (日経, 6/7)
》 原発防災:保安院長、改善意見を黙殺…06年 (毎日, 6/6)。広瀬研吉院長 (当時)。
内閣府原子力安全委員会は06年3月、国際基準を国の原子力防災指針に反映させようと検討を開始。しかし、保安院などの反対で、指針の強化は見送られた。
内部文書によると、広瀬氏は同年5月、防災指針見直しを話し合う安全委との会合の直前に、複数の職員から検討内容について説明を受けた。その時、ある幹部が「我が国の原子力防災は国際的に見てもかけ離れており、かなり不備がある」と指摘。防災対策の改善に向け、安全委の議論を進めるべきだと進言した。
しかし、他の職員のほとんどは「国の防災対策は国際的に見ても劣っていない」などと言い、指針の強化に反対。広瀬氏は「(現行法下で)既に訓練を実施しており、少なくとも10年くらいは現行の体制で動かすべきだ。保安院として慎重な姿勢で臨む」と、幹部の指摘を考慮せず意見集約した。この幹部は取材に「持論とは違うが、院長が決めたことなので仕方がないと思った」と話し、改善意見が握りつぶされたことを認めた。
》 東京電力株式会社福島第一原子力発電所事故の技術的知見について (原子力安全・保安院, 3/28)
》 一部の弊社製品において検索が途中で止まってしまう現象について (トレンドマイクロ, 6/7)。現在は修正されている。
》 セキュリティ技術者が解説するサイバー攻撃者の手口 (ITmedia, 6/7)。「Sophosの技術戦略担当ディレクター、ジェームス・ライン氏」による解説。クラウド化された攻撃ツール、USB キーロガー、iPhone/iPad への攻撃、二次元バーコード。
関連:
Obama Order Sped Up Wave of Cyberattacks Against Iran (NYTimes, 2012.06.01)
イラン核施設へのサイバー攻撃は米とイスラエル ウイルス共同開発 (産経 MSN, 2012.06.02)。上記 NYTimes 記事の紹介。 2006 年開発開始、2008 年に初攻撃、2010 年に大規模攻撃実施。
核施設を狙ったサイバー攻撃『Stuxnet』の全貌(WIRED.jp) (日経 IT Pro, 2012.06.06)。 WIRED.jp 本家。 産経でも読める。
開いたことを後悔するであろうパンドラの箱 (エフセキュアブログ, 2012.06.05)
イスラエル サイバー攻撃認める (NHK, 2012.06.07)
相次ぐ機密情報漏洩、強まる米政権批判 FBIも捜査着手 (産経 MSN, 2012.06.08)
米大統領:サイバー攻撃の機密漏えい意図的 批判受け苦境 (毎日, 2012.06.09)
》 McAfee脅威レポート:2012年第1四半期 −2012年1月から3月のセキュリティ脅威の調査結果を報告− (マカフィー, 6/4)。モバイルマルウェアの大幅な増加など。
》 佐賀県武雄市の新図書館構想と地元市民問い掛けの顛末は (脳無しの呟き《土鍋と麦酒と炬燵猫》, 6/8)、 武雄市図書館についての雑惑(とりあえず)。 (Time on cent. / なつきのつぶやき / Google キャッシュ, 6/7)
》 Last.fm Password Security Update (lastfm.jp, 6/7)、 Change your Last.fm password NOW (Sophos, 6/7)。こちらもパスワード漏洩だそうで。
》 核施設を狙ったサイバー攻撃『Stuxnet』の全貌(WIRED.jp) (日経 IT Pro, 6/6)。 WIRED.jp 本家。 産経でも読める。 関連:
開いたことを後悔するであろうパンドラの箱 (エフセキュアブログ, 6/5)
イスラエル サイバー攻撃認める (NHK, 6/7)
》 イスラエルのサイバー戦争対策 (中東の窓, 6/6)
》 オープンソースのWebアクセス解析ツール「Piwik 1.8」登場、新機能はアクセスログ解析機能やDo Not Trackサポートなど (sourceforge.jp, 6/5)
》 総務省 パブコメ 知識情報社会の実現に向けた情報通信政策の在り方<平成23年諮問第17号>報告書(案) (まるちゃんの情報セキュリティ気まぐれ日記, 6/3)
》 AKB48 選抜総選挙を悪用する Android 向けのトロイの木馬 (シマンテック, 6/8)
》 部下の太ももパトカー内で触る、常習セクハラ巡査部長停職 兵庫県警 (産経 MSN, 6/8)。ひどい話だが、
女性巡査が今年2月、署内で「耐えられない」と言って泣き出したことから発覚。県警は当初、強制わいせつ容疑で捜査したが、立証が困難だったことなどから立件は見送った。
ここがいちばんひどい。
男性巡査部長は「触っても何も言わなかったので続けてしまった。部下を傷つけ、深く反省している」と話しているという。
被害者が証言し、容疑者の自供も得られているのに立件しないって、どんだけ身内に甘いんだ。
》 記者の目:内部被ばく量のデータ=斗ケ沢秀俊 (毎日, 6/8)
南相馬市のWBC検査にも協力している早野さんは測定結果について「内部被ばくが検出されるのは昨年3月に吸入した方が大半で、被ばく量は順調に減っている。現在、食事や吸入により内部被ばくしている人は少ない。調査結果を総合すると、チェルノブイリ周辺地域に比べて、内部被ばく量ははるかに少なく、健康リスクは小さい。測定で比較的高かった人の被ばく量を下げる個別対策が今後の課題となる」と指摘する。
》 再稼働反対の署名をしなかった議員一覧 (文殊菩薩(ブログ版), 6/8)。滋賀 1,2,3,4 区全部入り orz。
》 トレンドマイクロ、B-CAS書換えツールをマルウェアとして認定 (slashdot.jp, 6/7)。シリアルナンバー生成ソフトなど、不正アクティベーションソフトもマルウェア認定されることがあるようなので、前例がないわけではなさげ。 例: Hacktool.Keygen.151552 (シマンテック)、 Keygen-Nero.a (マカフィー)。 試しに NullpoActivator の Office2010KMSActivator_Nullpo_v10-WOW64.exe を VirusTotal で検査してみた結果。
》 原子力防災訓練:志賀原発2号機のベント想定 県と氷見・高岡市、あすの詳細発表 /富山 (毎日, 6/8)
しかし、原発事故で放出された放射性物質の拡散を予測する「SPEEDI」は国が規制庁発足までデータを提供しないため、今回の訓練では活用されない。実際の事故ではこのデータを使って、県は放射性物質が拡散しない地域へ県民を避難させる方針。
》 志賀原発北9キロ 富来川南岸 北電が断層調査へ (中日, 5/30)。地震・津波に関する意見聴取会 地震動関係 第4回 (原子力安全・保安院, 5/29) での件。
北電の前川功・土木部部長 (中略) は「追加調査で念のためデータを拡充する」と説明。閉会後の取材に、「従来の見解に誤りがないことを裏付ける。断層から原発周辺にかけて堆積する火山灰を分析し、この地域の地形の形成時期や断層の活動時期をあらためて把握する」と述べた。
(中略)
保安院は同じ会合で、志賀原発周辺の断層連動についても協議。邑知(おうち)潟南縁断層帯と森本・富樫断層帯の連動を否定した北電の主張を退け、「地質構造上、連動の可能性を否定することは困難」と結論付けた。北電は今後、連動を考慮して地震の揺れを評価する。
》 原子力政策 見直し作業一時中断へ (NHK「かぶん」ブログ, 5/29)。原子力政策 新大綱策定会議、中断。
原子力委員会は、有識者会議でことし夏までに行う予定の「原子力政策大綱」の見直し作業を一時中断するとともに、会議の正式なメンバーから電力会社や研究機関などの原子力を推進する関係者を外す方針を決めました。
原子力委員会の近藤駿介委員長は「原発事故を経験したあとの原子力委員会は、どうあるべきなのか。国民の信用を回復できるよう、一から見直したうえで改めて提案したい」と話しました。
近藤委員長って、まだ辞任してないんだ……。
》 オフサイトセンター再検討に批判 (NHK「かぶん」ブログ, 5/30)。 オフサイトセンターの在り方に関する意見聴取会 (原子力安全・保安院) 第 1 回の件。 配布資料、議事要旨。
これまで原発から半径20キロまでとしてきた設置場所を30キロまでに拡大し、5キロ以内には設置しないという案を示しました。また、オフサイトセンターが機能しない事態に備えて、代わりの施設を30キロより外に複数確保しておくことを求めています。
これに対し、専門家からは「設置場所を決める前に、オフサイトセンターにどのような役割を持たせるかを明確に決める必要がある」、「設備を立派にするだけでなく、実際に機能するかどうかを確認することが重要だ」といった批判的な意見が相次ぎました。
こんなことも決まらないまま「再稼働」とか言ってるわけですね……。
》 初動時の現地対策本部の活動状況 (JNES, 6/2)。福島第一原発事故における福島オフサイトセンターの活動状況。 いやもう、いろいろ悲惨。 池田副大臣到着の経緯がひどいなあ。あのクソ忙しい時期にフクイチでそんなことをさせていたのか。原子炉 3 機同時 SBO という状況の意味が全くわかってない。 「オフサイトセンターの救急用資材は期限切れのものが多く、医薬品も無かった」ってあなた……。
課題については、オフサイトセンターの在り方に関する意見聴取会 第 1 回 配布資料 の 資料6-2 災害発生時に福島OFCで実施できなかった事項と導き出された課題等がまとまっている。
》 【解説】福島第一原発 難航する2号機の温度計 (NHK「かぶん」ブログ, 6/4)
》 原発安全指針 電力会社に作文指示 (NHK「かぶん」ブログ, 6/4)。原子力安全委員会、SBO 対策不要の理由を電力屋に丸投げしていたことが判明。
全交流電源喪失事象検討ワーキング・グループ 関連資料 (原子力安全委員会) に掲載されているのが、その「隠されていた」ものみたい。 オモテの資料は、 全交流電源喪失事象検討ワーキング・グループ 会議資料、議事概要等 (原子力安全委員会) の方。
原子力安全委 電源喪失対策 文書「隠す」 (東京, 6/5)。殺意すら覚える状況だな。
作業部会は海外で全電源喪失事故が起きたことを受け、九一年に設置。有識者による専門委員五人のほか、東京電力などの外部協力者も参加して非公開で協議を重ね、九三年に報告をまとめた。文書は作業部会で配布された資料などで、A4判で計約六百ページある。
公開文書によると、東電は報告の骨子案に対し、SBOだけを安全指針に取り込むのは「バランスの取れないもの」と主張。関西電力は「指針への反映は行き過ぎではないか」と難色を示した。
原子力施設事故・故障分析評価検討会 全交流電源喪失事象検討ワーキング・グループ(第5回会合) 関連資料 の、 メモ5−3号 「全交流電源喪失事象報告書骨子(案)」に対するコメント(関西電力) と メモ5−4号 「全交流電源喪失事象報告書骨子(案)」に対するコメント(東京電力) のことみたい。
報告書の原案では、電源喪失対策の現状などの主要部分について電力会社に執筆が割り振られていた。
原子力施設事故・故障分析評価検討会 全交流電源喪失事象検討ワーキング・グループ(第6回会合) 関連資料 の メモ6−2号 全交流電源喪失事象報告書骨子(案) のことみたい。
事務局の「作文」指示に、東電は「日本の原発は設計に余裕があり、十分な安全性が確保される」などと答えた。作業部会は、ほぼ受け入れ、全交流電源喪失が起きても「重大な事態に至る可能性は低い」と記した報告書を作成。安全指針は見直されなかった。
安全委は会議資料を昨年十月までに全部公開したと説明していたが、国会事故調査委員会が五月下旬、非公開の資料があるのではと指摘し提出を要求。公表漏れが分かった。
電力側と一体で報告書をまとめたことに対し、班目委員長は「原案を電力会社に執筆させていたのは明らかに不適切で、大変申し訳ない」と話した。
原子力施設事故・故障分析評価検討会 全交流電源喪失事象検討ワーキング・グループ(第7回会合) 関連資料 以降ですかね。最終的にできたものは、 全交流電源喪失事象検討ワーキング・グループ 会議資料、議事概要等 (原子力安全委員会) の 原子力発電所における全交流電源喪失事象について。
【社説】 「安全」を作文 原発情報を開示せよ (東京, 6/6)
国の安全指針といえば、安全対策の根源であるはずだ。東京電力はそれを厳守する立場である。その東電に、安全委が「作文しろ」と投げるのだから、無責任もはなはだしい。しかも、事実を書けとはいっていない。作文とは「文を作れ」ということだ。安全を軽視するにもほどがある。
SBOは福島第一原発事故の最も重大な原因だ。もし、この時指針に取り入れられて、東電がそれをきちんと守っていれば、このような大惨事には、恐らく至らなかっただろう。福島の住民は怒りを通り越す思いに違いない。
その上、安全委は、関連する全資料を公開したと説明しながら、このようないきさつが書かれた、都合の悪い資料は隠していた。東電の“墨塗り”資料公開以上に悪質だ。原子力ムラの隠蔽体質も、ここに極まった感がある。
》 木語:本国情報機関も激震=金子秀敏 (毎日, 6/7)。李春光・元 1 等書記官の件関連。
いま本省はてんやわんやらしい。香港メディアによると、国安省次官の秘書官から大量の国家機密が米国の中央情報局(CIA)に流れていた。秘書官は香港で米側の色仕掛けにはまり、脅迫と多額の謝礼で協力者になったという。
》 時論公論 「中国共産党 重慶事件の波紋」 (NHK 解説委員室, 6/5)
》 警察庁CSIRT(シーサート)を設置 (ポリスチャンネル, 6/7)
》 Megauploadにアップされたファイルへのアクセスを条件付きで認める方針へ (gigazine, 6/8)
》 対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」が外部展開を開始 (gigazine, 6/6)。ダイダロスといえばアタックですが、 そういえば 「超時空要塞マクロス THE FIRST (4) 」 の表紙は早瀬未沙ですね。
》 Facebook boosts mobile security in wake of LinkedIn breach (ZDNet Zero Day, 6/7)
LinkedInで大規模なパスワード漏洩が発生 同社はおよそ650万件のパスワードを無効化、注意を呼びかけ (ComputerWorld.jp, 6/7)
LinkedInのパスワード650万人分が漏洩のもよう〔アップデート:被害アカウントのパスワードは強制変更へ〕 (techcrunch, 6/7)
LinkedIn、侵入および「一部」ユーザーのパスワード漏洩を認める (techcrunch, 6/7)
An Update on LinkedIn Member Passwords Compromised (linkedin, 6/6)
If You Use LinkedIn, Change Your Password (Krebs on Security, 6/6)
Redux: Are you sure SHA-1+salt is enough for passwords? (F-Secure blog, 6/7)
Passwords and PINs: the worst choices (ESET Threat Blog, 6/7)
LinkedIn Security Breach! (stopthehacker, 6/6)
LinkedIn passwords in circulation - Update (H Security, 6/6)
LinkedIn confirms that user passwords were compromised (H Security, 6/7)
Comment: LinkedIn and its password problems (H Security, 6/7)
LinkedIn confirms hack, over 60% of stolen passwords already cracked (Sophos, 6/6)
》 狙われ続ける「Facebook」ユーザ、パスワード取得目的のハッキングツールを確認 (トレンドマイクロ セキュリティ blog, 6/7)
》 アメブロに不正アクセス容疑、6少年を書類送検 (読売, 6/8)、自分の下半身写るサイトに誘導 アメブロに不正アクセスの19歳少年書類送検 (産経 MSN, 6/8)。アメーバブログに不正侵入。 アメブロと言われると、アサブロと勘違いしてしまいそうだけど、正式な略称なのね。
》 茨城の竜巻「F3」 国内最強クラスに 気象庁が上方修正 (産経 MSN, 6/8)。詳細はこちら: 平成24年5月6日に発生した竜巻について(報告) (気象庁, 6/8)
関連:
国内最大級の竜巻、風速100メートル超か 気象庁検討会で委員指摘 (産経 MSN, 5/31)。田村幸雄委員。
竜巻等突風予測情報改善検討会 (気象庁)。5/31 会議 の資料あり。資料6 田村委員資料 (気象庁, 5/31) の他にも興味深いもの多数。 参考資料4-2 リーフレット「竜巻から身を守る」改定案 (気象庁, 5/31) は基礎知識として読んでおきたい。 資料5 気象庁資料「予測情報の現状と課題」 (気象庁, 5/31) によると、気象庁のレーダーは H24 年度中に全てドップラー化されるそうで。
》 高橋克也容疑者逮捕へ一斉警戒 (NHK, 6/8)
地下鉄サリン事件で特別手配されている高橋克也容疑者の逮捕に向けて、警視庁は、8日、都内の主要な駅などに警察官5000人を動員して一斉警戒を行っています。(中略) 一斉警戒では、警察官5000人を動員し、都内の主要な駅や公園、コンビニエンスストアなど高橋容疑者が立ち寄る可能性のある場所を重点的に警戒しています。
昨日は東京にいたんだけど、やたらオマワリサンがいたのはそういうわけかしら。 でも、あそこって「高橋容疑者が立ち寄る可能性のある場所」かなァ……。
Security Update 2012-06-04 released (PostgreSQL, 2012.06.04)。PostgreSQL 9.1.4 / 9.0.8 / 8.4.12 / 8.3.19 登場。 DES の件 (CVE-2012-2143) に加え、 CVE-2012-2655 が修正されている。
Ruby on Rails
Unsafe Query Generation Risk in Ruby on Rails (CVE-2012-2660) (Ruby on Rails: Security, 2012.06.01)
SQL Injection Vulnerability in Ruby on Rails (CVE-2012-2661) (Ruby on Rails: Security, 2012.06.01)
Ruby on Rails 3.2.4 / 3.1.5 / 3.0.13 で修正されている。
関連:
W32.Flamer: Windows Update を利用する中間者攻撃 (シマンテック, 2012.06.05)
W32.Flamer: 膨大なデータを収集するその能力 (シマンテック, 2012.06.05)
Flamer: SUICIDE に代わる機能 (シマンテック, 2012.06.06)
Microsoft Updateと最悪のシナリオ (エフセキュアブログ, 2012.06.04)
7 件。緊急 × 3、重要 × 4。IE あり、Office あり、.NET Framework あり。
》 メールアカウント不正使用に関する情報提供のお願い (JPCERT/CC, 6/7)
》 HTML5関連技術に関するセキュリティ調査 入札のご案内 (JPCERT/CC, 6/6)
》 失敗から何も学んでいない (朝日, 6/2)、「失敗から学ぶ」原発再稼働 (斉藤弥四郎の晴耕雨読, 6/2)
》 http://www.zone-h.org/mirror/id/17862023 (zone-h, 6/5)。AKB……。おおかわさん情報ありがとうございます。 さすがに 0048 では無かった。
5/28 から AKB ですか……: http://www.zone-h.org/archive/notifier=gilang
》 「studygift」の映画的展開について (世界はあなたのもの。, 6/6)
》 利便性が向上したEMET v3.0 (日経 IT Pro, 6/6)
実はこれまでのEMETには、脆弱性への攻撃を防御した際に、そのことを知らせる機能がなかった。(中略) これに対しv3.0では、EMETによって防御されたことを通知する機能が追加された。(中略) 表示される内容からは、EMETのどの機能によって防御されたのかも分かるようになっている。
これまでのEMETでは、守る対象のアプリケーションを自分で選ばなければならなかった。しかしv3.0からは、3種類のデフォルトポリシーが準備されるようになった。(中略) 以下は、今回準備された3種類のポリシーである。
・Internet Explorer.xml:Internet Explorerのみ保護するポリシー
・Office Software.xml:Microsoft Office、Adobe Reader/Acrobatおよび、Internet Explorerを保護するポリシー
・All.xml:Office Software.xmlの内容に加えて、FireFoxやChromeなどのブラウザーや、JRE(Java Runtime Environment)などを保護するポリシー
(中略) 「All.xml」では、近年悪用されることの多いJREも防御するようになっているため、ドライブ・バイ・ダウンロード攻撃を防御することができる。
》 Exim 4.80 improves security (H Security, 6/1)。TLS 1.1 / 1.2 対応など。
》 Googleはユーザのアカウントが国家からの攻撃を受けていたら警告してくれる (techcrunch, 6/6)、 Security warnings for suspected state-sponsored attacks (Google, 6/5)
》 スーパーで買って水道を使えば「問題なし」 (内部被曝通信, 6/2)。南相馬市での結果。
少なくとも今現在、スーパーで購入し、市の水道を使用している普通のご家庭でセシウム量が増え、値が下がらなくなっているという状況ではありません。
東日本大震災:栗原市、内部被ばく検査 園児ら75人、健康に影響なし /宮城 (毎日, 6/2)。当初の報道。
ひねもす・遮蔽なしのホールボディカウンターの出る幕はもうない (togetter, 6/1〜)。事の顛末。興味深い。
【栗原市のWBC検査 元のデータ】1. 仮に仙台医療センター発表の検出下限を信じたとしても75人中74人からセシウム検出との発表は変.2. 最も数値高い方のスペクトルですら,セシウムのピークは見えない (早野龍五教授 / twitpic, 6/6)
河北新報(2012/6/6)が,栗原市ホールボディーカウンターの顛末を報じてくれた模様.宮城県内の方が送ってくださいました → (早野龍五教授 / twitpic, 6/6)
》 IDA Proが安くなってる風味 (極楽せきゅあ日記, 6/5)。円高なので。 価格表を見てみると、ユーロ建てがいちばん安いっぽい。
重要指名手配 高橋克也 (警視庁)。「老けて、痩せた」という想像図ですかね。
オウム:高橋克也容疑者とみられる男の顔写真公開 警視庁 (毎日, 6/6)。実際は太ってましたと。まあ、「老けて、痩せた」想像図に対するストレートなカウンターだよなあ。
菊地直子容疑者 (太っていた→痩せた) とは逆パターンですかね。
菊地直子容疑者の写真を公開 (NHK, 6/4)。ビフォーアフター。
捜査員の1人も「すれ違いざまに見たら本人とは分からないだろう」と話しているということです。
近所に住む人は「手配写真よりもやせていたが、目の辺りが似ていた」と話す人がいる一方で、「菊地容疑者とは気づかなかった」と話す人もいました。
平田信容疑者のときもそう思ったけど、骨相と目元だなあ。 太っていると骨相はわかりにくいので、結局目元がポイントか。
Firefox 13.0 / 10.0.5 ESR、Android 版 Firefox 10.0.5、Thunderbird 13.0 公開されました。計 14 件のセキュリティ欠陥が修正されています。 Thunderbird 10.0.5 ESR と SeaMonkey 2.10 も間もなく登場と思われます。
Firefox 13.0 リリースノート (mozilla.jp)
Firefox 10.0.5 ESR リリースノート (mozilla.jp)
Android 版 Firefox 10.0.5 リリースノート (mozilla.jp)
SeaMonkey 2.10 Release Notes (seamonkey-project.org)。まだβ3。
Thunderbird 13.0 リリースノート (mozilla.jp)
Thunderbird 10.0.5 ESR リリースノート (mozilla.jp)。実際には、バイナリーはまだダウンロードできないっぽい。
Firefox 3.6.x および Thunderbird 3.1.x のサポートは 2012.04.23 に終了しました。これらについては、最新版 (13.0 または 10.0.5 ESR) に更新してください。
本バージョンから、Windows 2000 と Windows XP SP1 のサポートが打ち切られているそうです。
セキュリティ修正一覧。
| SA 番号 | 重要度 | 概要 | F 13.0 | F 10.0.5 | T 13.0 | T 10.0.5 | S 2.10 | 特記事項 |
|---|---|---|---|---|---|---|---|---|
| MFSA 2012-34 | 最高 | 様々なメモリ安全性の問題 (rv:13.0/ rv:10.0.5) | X | X | X | X | X | CVE-2012-1938 CVE-2012-1939 CVE-2012-1937 CVE-2011-3101 |
| MFSA 2012-35 | 最高 | Windows 版の Mozilla Updater と Mozilla Maintenance Service を通じた特権昇格 | X | X | X | CVE-2012-1942 CVE-2012-1943 | ||
| MFSA 2012-36 | 高 | インラインスクリプトによる Content Security Policy の回避 | X | X | X | X | X | CVE-2012-1944 |
| MFSA 2012-37 | 高 | Windows ファイル共有とショートカットファイルを通じた情報漏えい | X | X | X | X | X | CVE-2012-1945 |
| MFSA 2012-38 | 最高 | ドキュメント内のノード置換・挿入時に生じる解放後使用の問題 | X | X | X | X | X | CVE-2012-1946 |
| MFSA 2012-39 | 中 | NSS のゼロ長アイテムパースエラー | X | X | X | X | X | CVE-2012-0441 |
| MFSA 2012-40 | 最高 | Address Sanitizer を使って発見されたバッファオーバーフローと解放後使用の問題 | X | X | X | X | X | CVE-2012-1940 CVE-2012-1941 CVE-2012-1947 |
検証・女子大生の学費支援サイト、炎上で活動停止の裏 騒動を増幅させた「乖離」とは(ネット事件簿) (日経, 6/5)。これまでに集められた情報をふつうに分析すれば、 僕の見た援助。 -studygift炎上記- (conflict error, 6/1) や studygiftの炎上騒動が長期化したのは、善意と誤解の炎上ループにはまってしまったからではないか (tokuriki.com, 6/1) になるはずだと思うのだが、なぜかそうはならない記事。
http://www.dfnt.net/t/photo/extra_img8/study.txt (僕の見た秩序, 6/4)。 「studygiftについてのご報告をこちらにアップしました」だそうです。
》 5月の国内フィッシング事情:韓国金融機関を装う偽サイトの大量発生が継続 (so-net セキュリティ通信, 6/4)
》 2ちゃんねるがまとめサイト5つに対して名指しで転載禁止を命令 (gigazine, 6/4)、2ちゃんねるがコピペサイトに転載禁止の通達… って、その運営方針、誰が管理してんの? (やまもといちろう Blog, 6/4)
》 激変するスマートフォン時代の顧客情報管理 個人情報取り扱いミスの「罪と罰」−−ミログ社はなぜ解散しなくてはならなかったのか (週刊ダイヤモンド, 5/31) (link fixed: Benjamin さん感謝)
インタビュー掲載中止のお詫びとお断り
6月5日より掲載予定だったミログ・城口CEOのインタビューですが、事情を知るミログ社外の方々との内容の検証を重ねていく中で、どうしても整合のとれない事項が生じました。
もちろん、本件はステイクホルダーが多岐にわたることから、すべての内容についての検証は、事実上不可能です。また、整合が取れないという事実をもって、城口CEOの発言内容やインタビュー全般に疑義が生じたということでもありません。
しかし事実として、単一の事項に対して複数の大きく異なる背景や解釈が存在していること、また当該事項が本件の是非を判断するのに欠かせない核心部分に係るものであることから、その取り扱いは慎重にすべきと考えました。
ショボい……。さんざん煽っておいてこれはない。
》 PowerPointファイルにも危険が潜む、開くだけでウイルス感染の恐れ 悪質なFlashファイルを埋め込み、Flash Playerの脆弱性を悪用 (日経 IT Pro, 6/5)。合わせ技 1 本。
今回確認されたのはPowerPointファイルだが、問題のFlashファイルはWordやExcelの文書ファイルやPDFファイルなどに埋め込むこともできる。
関連: 脆弱性を利用する不正なPowerPointファイル、バックドア型不正プログラムを作成 (トレンドマイクロ セキュリティ blog, 6/5)
》 [論文] Machine Learning that Matters(ICML 2012) 読んだ (糞ネット弁慶, 6/3)
》 Yahoo! JAPANはIPv6にシステム対応済み、ホワイトリスト的に実験提供も (Internet Watch, 6/4)
》 地震や津波の揺れ、80キロ超上空の電離層も揺らす 電子の分布に乱れ NASA分析 (産経 MSN, 5/31)
将来の津波警報システムに応用できるとしている。
関連: 東日本大震災直前に震源上の大気と電離層に異常が ? (slashdot.jp, 2011.05.20)
》 違法ダウンロード刑事罰化に反対する4つの理由、MIAUが声明発表 (Internet Watch, 6/5)
》 調査結果:Facebookのダウンが、主要メディアや販売サイトの低調を招いた (techcrunch, 6/4)。US時間 5/31 に Facebook が落ちた件。
Compuwareのデータを見ると、別の形で各サイトに影響を及ぼしていたことがわかる。これは、多くのメディアや販売サイトがFacebookの「いいね!」などのサービスと密に連携しているためだ。昨日のダウンでは「いいね!」なども影響を受けていた。
》 Apple、iOSセキュリティー・ガイドを公開 (techcrunch, 6/5)、iOS Security (Apple, 2012.05)
》 北朝鮮の偵察総局、ゲームに悪性コード仕込み仁川空港を攻撃 (中央日報, 6/4)
》 イスラエル潜水艦への核兵器搭載 (中東の窓, 6/4)。独シュピーゲル誌のスクープの模様。まぁ、以前から言われていたことですが。
》 トップAndroidデベロッパーはこうしてアプリの品質テストを行っている (techcrunch, 6/4)。50 種類で十分ですよ。
結論:これでもまだ恐れをなすというなら、フィーチャーフォンの時代はもっと悲惨だったことを思い出してほしい(少なくともRoviaのPeter Vesterbackaはそう言っている。彼曰くJ2ME/Brewの時代と比べるとAndroidはむしろ楽だ!彼らは超ヒット作のAngry Birdsを作るまでに50以上のゲームを作らなくてはならなかった)。
》 「最後のセーフティーネット」生活保護が「財テク」に化けている現状は悲しい ——キングコング梶原雄太さんの「錬金術」に舌を巻く (編集者の日々の泡, 6/4)。スゲーな、こんな話だったのか。これが ok だと言うのなら、俺も今すぐマンション買うよ。
》 【群馬】 利根川の取水一時停止 工場からスチレンが流出 (東京, 6/5)。当該工場から群馬県にきちんと通報されているから、この程度で済んでいるのだろうなあ。
県は吸着マットを設置して回収を行っており、「利根川まで流れ出る可能性は少ない」とみている。同浄水場では貯留タンクに余裕があるため送水制限は行わず、家庭の水道の出に影響はなかった。
Adobe Illustrator / Photoshop / Flash Professional / Shockwave Player セキュリティ情報
Illustrator CS5 / CS5.1 と Photoshop CS5 / CS5.1 用の patch 出ました:
APSB12-10: Illustrator に関するセキュリティ情報 (Adobe, 2012.06.04 更新)
APSB12-11: Photoshop に関するセキュリティ情報 (Adobe, 2012.06.04 更新)
Do Not Track - 重要なのはユーザ本人の意思を伝えること (Mozilla Japan ブログ, 2012.06.04)
MS 証明書関連:
W32.Flamer: Microsoft のデジタル証明書の悪用 (シマンテック, 2012.06.04)
ターミナルサービスライセンスサーバーを使用するには、最初に Microsoft に連絡してサーバーのライセンス認証を行う必要があります。Microsoft は、ライセンス認証の一環として、Microsoft がターミナルサービスライセンスサーバーの適切な所有権を個別に識別、検証できる証明書をターミナルサービスライセンスサーバーに発行します。これらの証明書は、Microsoft Enforced Licensing Intermediate PCA 証明機関に連鎖し、さらに Microsoft Root Authority に連鎖します。発行される証明書は限定的に使用されるものですが、これによりコード署名が不適切に許可されます。
Flamer は、このような証明書を使ってコードに署名して、Microsoft がコードを生成したように見せかけています。
ターミナルサービスライセンスサーバー用の証明書が、実はコード署名できてしまうような代物だったと。
Microsoft certification authority signing certificates added to the Untrusted Certificate Store (Microsoft Security Research & Defense blog, 2012.06.03)
When we initially identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft, we immediately began investigating Microsoft’s signing infrastructure to understand how this might be possible. What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure.
それを知ってさえいれば、誰でもできる簡単な仕事だったと……。
承認されていない証明書に関するアドバイザリ 2718704 を公開 (日本のセキュリティチーム, 2012.06.04)
あと、Flame 関連:
Flameに関する質問 (エフセキュアブログ, 2012.05.31)
W32.Flamer: 拡散手法のトリックと悪用 (シマンテック, 2012.06.04)
Flamer: Bluetooth 機能の詳細 (シマンテック, 2012.06.01)
W32.Flamer: Microsoft Windows Update Man-in-the-Middle (Symantec, 2012.06.06)。WPAD を使う。
Flame malware used man-in-the-middle attack against Windows Update (Sophos, 2012.06.04)
W32.Flamer: Enormous Data Collection (Symantec, 2012.06.06)
更新情報:情報収集を目的とする「Flame」について (トレンドマイクロ セキュリティ blog, 2012.06.01)
The Roof Is on Fire: Tackling Flame’s C&C Servers (kaspkersky, 2012.06.04)
Stuxnet、Duqu、Flameについて (エフセキュアブログ, 2012.06.12)。アンチウイルスの限界。必読。
マルウェアに関連するサンプルを、我々のアーカイブで探したところ、2010年、2011年に遡って、すでにFlameのサンプルを保有していたことを発見して驚いた。持っていることに気づいていなかったのだ。これらは自動の報告メカニズムを通じてもたらされたものだが、詳細に検討すべきものとして、システムから警告が出たことは一度も無かった。他のアンチウイルス企業の研究者は、それよりさらに以前に同マルウェアのサンプルを受けとった証拠を発見した。同マルウェアが、2010年以前のものであることを示す証拠だ。
これが意味するのは、我々全員がこのマルウェアを2年かそれ以上、検出できずにいたということだ。これは我々の会社の、そしてアンチウイルス業界全体のミスだ。
このようなことが起きたのは、今回が初めてではない。Stuxnetは、イン・ザ・ワイルドになって1年以上、検出されず、ベラルーシのアンチウイルス企業が問題の起きたイランのマシンをチェックするために呼ばれ、ようやく発見された。研究者がStuxnetに似たものをアーカイブで探し求めたところ、Stuxnetで使用されたゼロデイエクスプロイトが、他のマルウェアと共に、以前使用されていたことを発見したが、当時はそれに気づいていなかった。DuQuという関連するマルウェアも、1年以上、アンチウイルス企業の検出を免れていた。
実際のところ、消費者向けレベルのアンチウイルス製品は、莫大な予算を与えられた、十分な資金力のある国家が作成した標的型マルウェアに対して、十分な保護を与えることはできない。こうした製品は、バンキング型トロイの木馬、キーストロークロガー、電子メールワームなど、普通のマルウェアからユーザを保護するものだからだ。しかし今回の様な標的型攻撃は、故意にアンチウイルス製品を回避するために、どんなことでもする。そしてこれらの攻撃で使用されるゼロデイエクスプロイトは当然、アンチウイルス企業には未知のものだ。我々の知る限りでは、被害者を攻撃するこれらの悪意あるコードをリリースする前に、攻撃者はマルウェアが検出されないことを確実にするべく、市場に流通している関連アンチウイルス製品をすべてのテストを行った。彼らには、攻撃を改良する時間が無制限にあるのだ。攻撃者がこちら側の兵器を入手できる場合、攻撃者と防御者の間の戦いは公平とは言えない。
この話はFlameで終わりではない。我々がまだ検出していない、似たような他の攻撃が、既に進行中である可能性は非常に高い。つまり、このような攻撃は上手くいくのだ。
Flameはアンチウイルス業界にとって失敗だった。我々はほんとうに、もっと上手く対処できるべきだったのだが、そうはできなかった。我々自身のゲームでありながら、上手く守備することができなかったのだ。
BIND 9.x に欠陥。RDATA フィールドの長さが 0 (NULL) であるような DNS リソースレコードの処理に欠陥があり、named が crash したり、named 内部の情報を返したりするなどの異常動作をする。CVE-2012-1667
BIND 9.6-ESV-R7-P1 / 9.7.6-P1 / 9.8.3-P1 / 9.9.1-P1 で修正されている。
関連: ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起 (JPCERT/CC, 2012.06.05)
》 小川前法相:指揮権発動を首相に相談 「虚偽」捜査報告で (毎日, 6/4)。しかし野田佳彦首相は了承せず。本当に駄目だな。
指揮権発動の相談と法相として再任されなかったことの関係については「想像で言うわけにはいかないので分からない」と話した。
》 海の向こうの“セキュリティ” 第69回:マイクロソフトSIR第12版で見る日中韓米セキュリティ比較 ほか (Internet Watch, 6/4)
関連:
マイクロソフト セキュリティ アドバイザリ (2718704) 承認されていないデジタル証明書により、なりすましが行われる (Microsoft, 2012.06.04)。Flame 対応だそうで。
この更新プログラムは、次の中間 CA 証明書を失効させます:
- Microsoft Enforced Licensing Intermediate PCA (証明書 2 つ)
- Microsoft Enforced Licensing Registration Authority CA (SHA1)
なんと、Microsoft 自身が発行した証明書が悪用されたと!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! なんじゃこりゃーーーーー
大飯原発:保安検査、各機器の状態を確認 来月8日まで実施 /福井 (毎日, 5/29)
大飯再稼働:「安全性」地元要望に応え (毎日, 5/30)。「特別監視態勢」……ってこれ、OFC 倒れたら駄目じゃん。 なんじゃこりゃあ。
橋下市長、大飯原発再稼働「事実上の容認」 (読売, 5/31)
クローズアップ2012:福井・大飯原発、再稼働へ 「関西の理解」玉虫色 (毎日, 5/31)
関電株が大幅高、政府が大飯原発再稼働決定へ−東京市場 (ブルームバーグ, 5/31)。うは。
社説:再稼働と原発の安全 「私の責任」という無責任 (毎日, 6/1)
【社説】 「大飯」再稼働へ 地元の苦悩を思いやれ (東京, 6/1)
福井・大飯原発:再稼働問題 境港市長「電力不足が理由」不安 /鳥取 (毎日, 6/1)
同市は、定期検査で運転停止中の中国電力島根原発1、2号機(松江市鹿島町)から直近で17キロの位置にある。国が策定を進める半径30キロ圏の緊急防護措置区域(UPZ)にすっぽり入り、いずれ原発再稼働問題への判断を迫られる。
福井・大飯原発:再稼働問題 県政モニター、8割が「慎重」 /滋賀 (毎日, 6/1)
大飯原発:再稼働問題 動き加速 「安全対策」注文、批判も /福井 (毎日, 6/1)
飯田哲也氏 【橋下市長の「事実上の容認」の背景と真相】 (togetter, 6/1)
原発相の福井派遣を延期 再稼働時期は不透明に (東京, 6/1)、大飯原発:週明けにも細野担当相を福井県に派遣 (毎日, 6/1)
大飯原発再稼働バトル「負けた」 橋下市長 (朝日, 6/1)、 橋下市長:大飯再稼働容認で“敗北宣言” (毎日, 6/1)
大飯原発再稼働の容認、京都知事は「夏限定」と (読売, 6/1)
大飯原発特別監視、京都府・滋賀県が参加求める (読売, 6/1)
福井・大飯原発:再稼働方針 知事改めて批判 /新潟 (毎日, 6/1)
》 私たちの野村證券はいったいどうなってしまうの? (やまもといちろう Blog, 5/30)
中国書記官、日本国内でスパイ活動か 身分隠し口座開設 警視庁の出頭要請拒否し帰国 (産経 MSN, 5/29)
再び出頭拒否なら書類送検へ 登録証不正の疑い 警視庁 (産経 MSN, 5/30)
中国書記官、農水副大臣室に出入り、対中ビジネス、政官界に働きかけ? (産経 MSN, 5/30)
農水省、調査チーム立ち上げへ 筒井副大臣「漏洩ない」 (産経 MSN, 5/30)
中国、「李春光」1等書記官の諜報活動を否定 (読売, 5/30)
中国書記官を書類送検 公正証書原本不実記載などの疑い (産経 MSN, 5/31)
2000万円使途不明 農業特区うたい資金集め (産経 MSN, 6/1)
農水省の機密筒抜け…コメ価格予測などの文書 (読売, 6/1)
問題の機密文書は、事業の運営主体「農林水産物等中国輸出促進協議会」の代表が入手していた。代表は衆院議員の元公設秘書で、就任までの一時期、同省顧問にも就いていた。読売新聞が確認した文書は顧問辞任以降のもので、3段階で最も機密性が高いことを示す「機密性3」の文書5件や「機密性2」5件など。
関連:
スパイっていうのは、情報を取るために物腰が柔らかいわけで(追記あり) (やまもといちろう Blog, 5/31)
秘密保全法への布石+予算確保の手段としか思えない「中国大使館1等書記官スパイ疑惑」 (情報流通促進計画by日隅一雄(ヤメ蚊), 5/31)
》 陰膳方式による放射性物質測定 (コープふくしま, 5/7 更新)。多くの事例では検出限界 (1bq/kg) 未満、 検出された場合でも最大 6.7bq/kg だったそうで。
参考: 大気圏内核実験時代の様子: セシウム 137、 ストロンチウム 90、 セシウム 137 (ホールボディーカウンター)、 セシウム 137 (尿)
》 DMMからロリ関係の規制メール(児童ポルノ扱い)。情報流すなのオマケつき (togetter, 6/1)。これはひどい……。
》 「情報セキュリティ白書2012」を発行 〜狙われる機密情報:求められる情報共有体制の整備〜 (IPA, 6/1)。毎年、どうにも♪ハ、ハ、白書〜ン大魔王〜 という BGM が脳内に鳴り響いてしまう。
》 Apple's Crystal Prison and the Future of Open Platforms (EFF, 5/29)
》 イージスBMD(SM-3・SM-2)の迎撃試験の成績 (海国防衛ジャーナル, 6/1)
》 スパム避けに使われるGoogleの「reCAPTCHA」を自動的に99%以上突破するスクリプトが登場 (gigazine, 6/1)。矛と盾の戦いはつづく。
》 グローバルIPトラフィック、2016年に1ゼッタバイトを突破 (ComputerWorld.jp, 5/31)。BGM: 「Z・刻を越えて」。まだまだ増えるよ。
》 いじくるつくーるがウイルスバスターによりダウンロードブロックされる件 (inasoft, 5/31)。特定ベンダーのメジャーなセキュリティ製品によって危険なサイト扱いされる被害が発生しているそうで。
》 個人情報を盗み出す占いアプリが Google Play にも出現 (シマンテック, 6/1)。「即エロ完全サポートマニュアル」「スピリチュアル診断オーラの湖」の件。個人情報取られます。
僕の見た援助。 -studygift炎上記- (conflict error, 6/1)
当たり前だが「学費・学生を支援する」というサービスなら対象は学生でなくてはいけない。これはもう揺るがしようがない根本的な話だろう。ところがその時点から間違っていたわけで、これはもう説明が云々とかいうレベルの話ではない。(中略) 「学生を助けたい!」→「学生じゃないじゃん」というのはもうコントのレベルだろう。
ふつうなら「お話になりませんな、bye」で終了する話なんだよね……。
studygiftの炎上騒動が長期化したのは、善意と誤解の炎上ループにはまってしまったからではないか (tokuriki.com, 6/1)。企業の広報担当者向け解説かなあ。
》 個人ユーザーのセキュリティ対策、日本は24カ国中下から4位 (日経 IT Pro, 5/31)。元ねたは 「マカフィー、個人ユーザーのPC セキュリティ状況グローバル調査結果を発表 83%の個人ユーザーが基本的なセキュリティ対策を施している一方、17%が未対策最も守られている国はフィンランド、最下位はシンガポール、日本は下から4 位」 (マカフィー, 5/30) なのだけど、どうやって調査したかというと、
今回の調査では、マカフィーの無料PC セキュリティ診断ツールである「マカフィー セキュリティ スキャン プラス」の個人ユーザーから任意で提供されたセキュリティスキャン結果を分析しています。
つまりこれは、「マカフィー セキュリティ スキャン プラス」を使用したユーザーの特徴なわけで。あと数値なのだけど、
| 順位 | 国名 | 割合 [%] |
|---|---|---|
| 1 | フィンランド | 90.30 |
| 19 | 日本 | 80.65 |
| 22 | シンガポール | 78.25 |
ぶっちゃけ、この順位って意味あるのか? 誤差の範囲じゃないの?
》 ネックレス、ピアス…金属アレルギーの原因、厚労省調査 (朝日, 5/30)。これですかね: 全国調査における金属アレルギーの現状報告 (東北大学, 5/25)。「依然としてニッケル、クロム、コバルトは金属アレルギーの3大原因金属」ですか。
この成果は厚生労働科学研究費補助金、免疫アレルギー疾患等予防・治療研究事業、「金属アレルギーの革新的診断・予防・治療法の開発研究 平成23年度総括研究報告書」にて、小笠原康悦教授の総括のもと厚生労働省に報告される。
》 「APIは著作権保護の対象ではない」 Android−Java訴訟で判事が裁定 (ロイター / ITmedia, 6/1)
》 オンラインゲーム海賊版、模倣サーバーで横行 (読売, 6/1)。「ラグナロクオンライン」の海賊版を提供しているサーバーがあるそうで。
運営会社の「ガンホー・オンライン・エンターテイメント」(東京都)は著作権法違反容疑で模倣ゲームサーバー管理者の1人を警視庁に告訴した。
》 Windows 8 Release PreviewのIE10はFlash統合、Do Not Trackデフォルトオン (Internet Watch, 6/1)。
特にIE10には、Adobe Flash Playerが統合されたことが注目される。同プレーヤーはタッチ操作に対応しているだけでなく、消費電力削減のために最適化されているという。このほか、IE10はタッチ操作が容易にできるインターフェイスを新たに備えた上に、「Do Not Track機能をデフォルトでオンにしている最初のブラウザーである」とMicrosoftは説明している。
おぉ。そんな IE10 の CM は、ぜひ西村雅彦氏にお願いしたい。理由。
》 読売が不毛な「出版妨害訴訟」 巨象のような大新聞がアリのごとき出版社の言論・表現の自由を踏みにじるとは− (FACTA, 2012.06)。読売、自殺したいのか?
ところが、小畠氏ら硬骨の4人組の存在を世に知らしめた読売社会部のその本が今、当の読売新聞社によって封殺されようとしている。
》 敦賀原発近く、巨大断層とみなして再計算へ (読売, 6/1)、浦底断層「100キロ連動考慮を」 敦賀原発で保安院 (産経 MSN, 5/29)。浦底断層の件、ようやくここまで来ましたか。
経済産業省原子力安全・保安院は29日、日本原子力発電敦賀原発(福井県敦賀市)の敷地内を通る活断層「浦底断層」について、連動を考慮すべき活断層の全長を従来の約35キロから約100キロへと延ばす必要があるとの見解をまとめた。(中略) 保安院の専門家会議で、同原発の北にある「和布−干飯崎沖断層」や、南東にある「鍛冶屋断層」の地質構造が浦底断層と似ており、連動する可能性があると専門家が指摘。保安院は29日の会議で、全長約100キロに及ぶ一連の断層の連動を考慮する必要があるとし、原電に揺れの大きさを評価するよう指示した。
地震・津波に関する意見聴取会 地震動関係 第4回 (平成24年5月29日) (原子力安全・保安院) の、 地震・津波(地震動)4−2 活断層の連動を考慮した地震動評価に係るコメントと保安院の見解(案) ですね。
原子力安全委員会 耐震安全性評価特別委員会 第2回 地質・地盤に関する安全審査の手引き検討委員会 (原子力安全委員会, 2008.02.01) の 変動地形学的調査とリニアメント調査 日本原子力発電敦賀発電所直近の浦底断層を例に は、4 年前の資料。
関連: 特集ワイド:活断層って何? 地層ズレ、大地変形…「M8級」の恐れも (毎日, 5/23)
》 カエルの公式 第3回 フランスの原発にパラグライダーで侵入? こんなことしていいの?(後半) (マガジン9, 5/30)
日本では、このようなことが起きた時、目的や背景に注目するよりも、そのやり方に注目してしまう傾向があります。
しかし、訴えたい事柄が「公益(みんなが知っていた方が良いこと)」につながる場合には、市民の直接的な行動が正当化される場合があるという考え方がヨーロッパを中心にして根付いています。
ようするに、社会が「原発上空を平和的にパラグライダーで飛行すること」の良し悪しを単独で決めるのではなく、「原発上空を平和的にパラグライダーで飛行すること」と「安全性の不備を市民に知らせないこと」を天秤にかけて判断しているのです。
東京都内でみつかった24万Bq/kgの「黒い粉」の正体 (SKY NOTE, 5/16)
その正体は、「藍藻」というものらしい、藍藻は、名前から言って藻の一種だと思ったら、調べてみると細菌類に属するという、よく金魚などを買うときに水質が悪いと水槽のガラスにへばりつくコケ、でも、種類としては細菌の一種、光合成をするタイプで非常に生命力が強いという。(中略) なみにこの24万Bq/kgの数値は、花粉と大体、同じです。
花粉の場合、1日に吸い込む量が極めて少ないとのことから、それほど、注意は必要ないとのことですが、この黒い粉の場合、肉眼で目視できるレベルの量がありますので、注意が必要です。これが服などに付着し、洗わないでいたりすると、高線量の被曝をすることになります。
そうまかえる新聞 第2号 (そうまかえる新聞, 2012.05)。「道路溝や吹きだまりなどに注意して下さい」。
》 福島第一原発事故を予見していた電力会社技術者 無視され、死蔵された「原子力防災」の知見 (JBpress, 5/31)。菅原さん情報ありがとうございます。書籍「原子力防災−原子力リスクすべてと正しく向き合うために」の著者、元 ERSS の中の人へのインタビュー。
−−当初は福島第一原発から放出された放射性物質の量がよく分からなかったのではないのですか。それではどれくらい遠くまで逃げてよいのか分からないのではないのでしょうか。
「そんなことはありません。総量など、正確に分からなくても、大体でいいんです」
そう言って、松野さんは自著のページを繰った。そして「スリーマイル島事故」と「チェルノブイリ事故」で放出された希ガスの総量についての記述を探し出した。
「スリーマイル島事故では、5かける10の16乗ベクレルのオーダーでした。チェルノブイリ事故では5かける10の18乗のオーダーです。ということは、福島第一原発事故ではとりあえず10の17乗ベクレルの規模を想定すればいい」
「スリーマイル島事故では避難は10キロの範囲内でした。チェルノブイリでは30キロだった。ということは、福島第一原発事故ではその中間、22キロとか25キロ程度でしょう。とにかく逃がせばいいのです。私なら5秒で考えます。全交流電源を喪失したのですから、格納容器が壊れることを考えて、25時間以内に30キロの範囲の住人を逃がす」
明確だ。こういう人が首相の助言者の中にいてくれていれば……。 (本来は、それこそが官僚の仕事なのですが)
−−すべてが後手に回っているように思えます。なぜでしょう。
「何とか廃炉を避けたいと思ったのでしょう。原子炉を助けようとして、住民のことを忘れていた。太平洋戦争末期に軍部が『戦果を挙げてから降伏しよう』とずるずる戦争を長引かせて国民を犠牲にしたのと似ています」
ジョン・キム先生(金正勲)が派手に経歴詐称をやらかした件で (やまもといちろう Blog, 5/29)
アドバイザリーボードのメンバー辞任に関するお知らせ (GREE, 5/30)。5/30 付で辞任。
日本人とセキュリティ・リテラシー 〜キム特任准教授の分析(前編) (日立ソリューションズ 情報セキュリティブログ, 1/10)
セミナーレポート:第55回「新たなるセキュリティへの脅威」 (日立ソリューションズ)
ジョン・キムのハーバード講議 ウィキリークスからフェイスブック革命まで 逆パノプティコン社会の到来 (amazon)。「ハーバード大学客員教授」ではなかったとなると、「ハーバード講議」というのは一体?
》 【完結編】佐々木俊尚と本田雅一。それぞれのトラブル対応 (togetter, 2/24)。こんなことがあったのか。本田氏の大人の対応が光る。こうありたい。
Twitter アカウント情報を平文で log に書いちゃう欠陥。他のアプリに log を読まれるとアカウント情報が漏洩する。こんなの絶対おかしいよ。
最新版では修正されてるそうです。
関連:
コンピューターウイルス:イランとイスラエル、関係悪化 (毎日, 2012.06.01)
Flamer: A Recipe for Bluetoothache (Symantec, 2012.06.01)
Update on FLAME (trendmicro blog, 2012.05.31)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)