Last modified: Sun Dec 22 01:16:39 2013 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 NotSoSecure CTF参戦記 (LAC, 10/30)。山崎さん情報ありがとうございます。
》 類似度に基づいた評価データの選別によるマルウェア検知精度の向上 (FFRI)。MWS2013 での発表資料。村上さん情報ありがとうございます。 関連:
MWSレポート 1日目 (FFRI Blog, 10/23)
MWSレポート 2日目 MWS Cup のプレゼンと表彰式 (FFRI Blog, 10/24)
MWSレポート 3日目 FFRIも研究発表いたしました (FFRI Blog, 10/25)
》 人民日報(中国)のビルがちんこすぎる (やまもといちろう Blog, 10/31)。ある角度から見るとそう見える、という話みたいです。
Yes, the new People's Daily headquarters does look like a giant penis (shanghaiist.com, 4/30)
人民日報の新本社ビルに冷やかしの声「男性器に似ている」 (産経, 5/10)
The giant penis-shaped People's Daily headquarters is going to be gold (shanghaiist.com, 9/27)
Gold plating on Beijing penis tower almost finished (shanghaiist.com, 10/13)
ふつうに見るとこう:
architects and engineers of southeast asia: people's daily new headquarters (designboom.com, 2012.10.20)
》 加工肉を「ステーキ」と称した奴ら。 そういう嘘はマジ危険なのでやめてください。レベルが低過ぎる……。
阪急阪神第一ホテルグループ加盟ホテルにおけるリリースについて(ご報告) (阪急阪神第一ホテルグループ, 10/29)。ホテルクレメント徳島。
近鉄系ホテルでも食材誤表示 牛脂注入肉や解凍魚 (朝日, 10/31)、近鉄ホテルシステムズ運営ホテルなどにおけるメニューの表示漏れなど (近鉄, 10/31)。ウェスティン都ホテル京都、シェラトン都ホテル大阪、天王寺都ホテル、都ホテル ニューアルカイック、沖縄都ホテル、大阪国際交流センターホテル。
スターゲイトホテル関西エアポート、牛ステーキに牛脂注入肉 (日経, 10/31)
かんぽの宿でも誤表示 牛脂注入肉を「ステーキ」 (スポニチ, 10/31)、 かんぽの宿塩原における「ステーキ定食」の表示について (日本郵政, 10/31)。かんぽの宿塩原。 『他の「かんぽの宿」等において同様の事案がないか至急調査を行う』そうで。
》 Windows XP を 2014 年 4 月のサポート終了後も使い続けることのリスク (日本のセキュリティチーム, 10/31)
》 パーソナルデータ保護の課題と国際情勢 2013 (Gohsuke Takama / slideshare, 10/30)
》 米Cisco、H.264コーデックをオープンソースかつロイヤリティフリーで公開へ (sourceforge.jp, 10/31)
》 メニュー表示 業界の慣習が背景か (NHK「かぶん」ブログ, 10/29)。エビの件。
関連: レストランに表示義務づけなし (NHK「かぶん」ブログ, 10/29)
》 4号機プール核燃料 来月8日にも取り出しへ (NHK「かぶん」ブログ, 10/30)
》 日展 入選者事前割りふりの疑い (NHK「かぶん」ブログ, 10/30)
》 書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク (@IT, 10/29)。実例紹介。
》 Windows 95搭載のスマートフォン・Windows 95 PhoneをNokiaが発表 (gigazine, 10/31)。うは。
》 Amazonでレビューを書いているトップレベルのユーザーはタダでいろいろともらいまくり (gigazine, 10/31)
Amazonは特に他にレビューがない商品をAmazon Vineメンバーに送ります。その商品がどんなものであるかに関わらず、評価の低いレビューであっても、レビューがない商品よりはよく売れるからです。
なるほどなあ。「見向きもされない商品」と認識されるのがいちばんマズいと。
》 Apple、新MacBook Pro(13インチ)のキーボードの問題について説明 (ITmedia, 10/31)
》 シマンテック、個人・企業のパスワード管理に関する意識調査 〜パスワードリスト攻撃の背景にあるパスワードの使い回し (Internet Watch, 10/31)
》 パナソニックプラズマディスプレイ、全社員250人退職へ (ITmedia, 10/31)。プラズマいよいよ終了。「26年3月末で生産を終了する方針」。
》 Android マッドウェアとマルウェアの傾向 (シマンテック, 10/30)
》 Mac OS Xのセキュリティ機能「Gatekeeper」、Mavericksでどう変わったか (トレンドマイクロ セキュリティ blog, 10/31)
Mavericks では、Gatekeeper機能によりブロックされたアプリケーションを実行させることが容易になっています。「環境設定」のパネル「セキュリティとプライバシー」で、「Open Anyway」という新たな選択肢をユーザに提供しています。この「Open Anyway」ボタンによりユーザは、最後にブロックされたアプリケーションを強制的に実行させることができます。これは、拡張属性の削除や新たな評価ポリシーの追加とは異なり、無署名のプログラムの実行を許可するより便利な方法です。
》 中国アンダーグラウンドの好景気な現状について (トレンドマイクロ セキュリティ blog, 10/31)
》 Lightbeam for Firefox: プライバシーに関するユーザの認識を高め、パブリッシャーにオープンデータを提供 (Mozilla Japan ブログ, 10/29)
Lightbeam は Firefox 向けのアドオンで、日々 Web 上でやり取りするさまざまな当事者とサードパーティのつながりを明らかにします。
》 9月の国内フィッシング事情:国内ISPのアクセス回線を使ったフィッシング激増 (so-net セキュリティ通信, 10/30)
》 巨大な3Dプリンタを使い一軒家を20時間で建ててしまう「Contour Crafting」 (gigazine, 10/30)。災害復旧の観点からも興味深いなあ。
NSAはGoogleとYahooのネットワークに侵入していた(ワシントンポスト報道) (techcrunch, 10/31)。スノーデン情報。
GoogleとYahooは共に、世界中の戦略的データセンターを高価な光ファイバーデータ回線で結び、情報の流れを最適化している。この侵入によってNSAは、「メールの送受信者や日時、テキスト、音声、ビデオなどの内容」を知ることが可能になる。
NSAによる自社ネットワークの傍受を知ったGoogleは声明を発表し、「政府のトラフィック監視疑惑は遺感であり、当社はこの行動に関して何も知らない」と語った。
“MUSCULAR” というコードネームで呼ばれるこの監視プロジェクトは、英国諜報機関、GCHQと共同で運用されている。
元ねた: NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say (Washington Post, 10/30)
米NSA、1カ月間で6000万件余りの通話をスペインで傍受=報道 (ロイター, 10/28)。「スペインのムンド紙」。スノーデン情報。
オバマ大統領はNSAによる外国首脳盗聴知らなかった=米高官 (ウォール・ストリート・ジャーナル日本版, 10/28)。ということにしたいのか、本当にそうだったのか。
NSAとCIA、在ベルリン米大使館を拠点に盗聴--Spiegel報道 (CNET, 10/29)
米上院情報特別委員会、NSAの監視活動を徹底検証へ (ロイター, 10/29)
米NSA局長が情報収集の正当性主張、「法の範囲内」 (ロイター, 10/30)、盗聴報道は「まったくの誤り」 米NSA長官が主張 (CNN, 10/30)
NSAとフランス、スペイン情報機関は盗聴で協力=米高官 (ウォール・ストリート・ジャーナル日本版, 10/30)
国連への盗聴「しない」 NSAの疑惑受け、米が約束 (朝日, 10/31)
President Obama orders review of NSA spying (Sophos, 10/30)
》 第3回 パーソナルデータに関する検討会 議事次第 (首相官邸, 10/29)。資料が掲載されている。
関連: Suicaの乗降履歴事例を引き合いに、法制度改正求める声相次ぐ 「パーソナルデータに関する検討会」第3回会合 (日経 IT Pro, 10/29)
》 オープンリゾルバ確認サイト公開のお知らせ (JPCERT/CC, 10/31)。http://www.openresolver.jp/
》 大気汚染で、日本企業に退去命令? 中国が環境で「本気」になる (日経ビジネス, 10/30)
》 日米同盟強化で逆切れした韓国 「だったら、中国と同盟を結ぼう」 (日経ビジネス, 10/24)
Apache / PHP 5.x Remote Code Execution Exploit (exploit-db.com, 2013.10.29)。Apache + PHP な環境の話。
On Debian and Ubuntu the vulnerability is present in the default install of the php5-cgi package.
[SA55427] McAfee Firewall Enterprise Multiple Vulnerabilities (secunia, 2013.10.28)、 Firewall Enterprise 8.3.1P04 Release Bulletin (McAfee KB79597)。 少なくとも CVE-2013-5691 CVE-2013-5710 CVE-2013-3077 CVE-2013-5209 が直っているようです。
WatchGuard - CVE-2013-6021 - Stack Based Buffer Overflow Exploit (Fun Over IP, 2013.10.27)。Watchguard XTM version 11.8 patch で修正されてます。CVE-2013-6021
International Components for Unicode (ICU) 方面
JVN#70739377: 複数製品で使用されている International Components for Unicode (ICU) にサービス運用妨害 (DoS) の脆弱性 (JVN, 2013.10.30)
JVN#85336306: 複数製品で使用されている International Components for Unicode (ICU) に解放済みメモリ使用 (use-after-free) の脆弱性 (JVN, 2013.10.30)
サイボウズで該当製品があるとされている:
ICUの脆弱性【CY13-010-001】(2013/10/29) (サイボウズ, 2013.10.29)
JVNDB-2013-004916: Cyrus SASL におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2013.10.29)。glibc 2.17 以降 + Cyrus SASL 2.1.26 以前の場合。 CVE-2013-4122
Drupal 方面 (contrib)
SA-CONTRIB-2013-083 - Quiz - Access Bypass (Drupal.org, 2013.10.30)
SA-CONTRIB-2013-084 - FileField Sources - Access Bypass (Drupal.org, 2013.10.30)
SA-CONTRIB-2013-085 - Feed Element Mapper - Cross Site Scripting (Drupal.org, 2013.10.30)
SA-CONTRIB-2013-086 - Monster Menus - Access bypass (Drupal.org, 2013.10.30)
Multiple Vulnerabilities in Cisco IOS XE Software for 1000 Series Aggregation Services Routers (Cisco, 2013.10.30)。 CVE-2013-5543 CVE-2013-5545 CVE-2013-5546 CVE-2013-5547
JVNVU#99659350: Joomla! にファイルアップロードに関する脆弱性 (JVN, 2013.10.31)。Joomla! 2.5.14、3.1.5 (2013.08.01 リリース) で修正されている。 CVE-2013-5576
[SA55429] Apache mod_pagespeed Module Cross-Site Scripting Vulnerability (secunia, 2013.10.29)。mod_pagespeed 1.0.22.8、1.2.24.2、1.3.25.5、1.4.26.5、1.5.27.4、1.6.29.7 で修正されている。
[SA55258] poppler "extractPages()" Format String Vulnerability (secunia, 2013.10.30)。poppler 0.24.3 で修正されている。
CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました (徳丸浩の日記, 2013.11.01)。Apache / PHP 5.x Remote Code Execution Exploit (exploit-db.com, 2013.10.29) の件。
Apache Magica で攻撃してくる人たちをティロ・フィナーレしたい (www.morihi-soc.net, 2013.12.20)
》 米国家安全保障局、太平洋をまたぐ光ファイバケーブルの傍受を日本政府に打診するも拒否されていた (slashdot.jp, 10/29)
》 グーグル、洋上データセンターを建設中?--サンフランシスコ湾に謎めいた建造物 (CNET, 10/26)
関連: Googleが建設中の海上巨大建物は「豪華ショールーム」という説が急浮上 (gigazine, 11/2)
》 新セキュリティ インテリジェンス レポート、新データ、新たな視点 (日本のセキュリティチーム, 10/30)
》 Appleより: ‘ごく少数のiPhone 5s’はtechcrunch製造上の欠陥により電池寿命が短い (techcrunch, 10/30)
》 HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書 (JPCERT/CC, 10/30)。「本調査については、作業の一部をネットエージェント株式会社に委託して実施しました」
》 「Androidアプリの96%に脆弱性リスク」、SDNAが調査レポート公開 (日経 IT Pro, 10/30)
》 ボスポラス海峡トンネル開通=「150年来の夢」、欧州・アジア結ぶ—トルコ (時事, 10/30)、 29日、イスタンブールのボスポラス海峡で、水面を照らす花火。 (時事, 10/30)。ボスポラス海峡横断鉄道 (マルマライ線) 開通式の模様。
》 【こっそり混入】特定秘密保護法には共謀罪も扇動罪も入っている (togetter, 10/28)、特定秘密保護法案が国会に上程された (法と常識の狭間で考えよう, 10/27)。てんこもり。
》 Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に (ITmedia, 10/30)、 Adobe Breach Impacted At Least 38 Million Users (Krebs on Security, 10/29)。290 万 → 3800 万、Photoshop のソースも漏洩。
》 ストーカー殺人「負の連鎖」 三鷹の事件に触発され 規制法改正後も大量メール後断たず (ITmedia, 10/30)
》 TBS新番組「マツコの日本ボカシ話」放送1回で休止 手法が「局の内規に抵触するおそれ」 (ITmedia, 10/29)。実際に放送するまで気がつかなかったということか……。
》 子宮頸がんワクチン:重篤な副作用報告143件 (毎日, 10/29)。あいかわらず重篤事例が出続けています。割合が低いとはいえ、ハズレを引いた場合の症状が重過ぎるんですよね。 バクチを打ちたい人は打てばいいと思いますが、個人的にはワクチンよりも定期的な子宮頸がん検診を推奨します。ワクチン打っても全ての発癌性 HPV に効くわけじゃないし既に発癌性 HPV に感染してた場合には効かないし効果持続期間も実は不明なので、結局、検診は必要ですし。関連:
厚生科学審議会 予防接種・ワクチン分科会 副反応検討部会 平成25年度第4回の 資料1。
子宮頸がん予防ワクチン、ヒブワクチン、小児用肺炎球菌ワクチン (厚生労働省)、 リーフレット「子宮頸がん予防ワクチンの接種を受ける皆さまへ(平成25年6月版)」。 毎日記事中の「チラシ」は多分これ。
副作用が疑われる症例報告に関する情報 (医薬品医療機器総合機構)。検索条件に「サーバリックス」とか「ガーダシル」とか入れると、副作用事例が出てきます。にゃーよいさん情報ありがとうございます。
くらし☆解説 「どうなってるの?子宮頸がんワクチン」 (NHK 解説委員室, 10/30)
》 南海トラフ 死者想定13万超 (NHK, 10/30)。 南海トラフ巨大地震災害対策等検討部会 (大阪府) の第4回会議で出た話の模様。 13:20 現在、資料はまだ公開されてない。(11/1 に公開されました)
大阪府の専門家の部会の部会長を務める関西大学の河田惠昭教授は「大阪は、津波が来るまでに時間の余裕があるのでこの時間を有効に使えば限りなく被害を減らせる。大阪府民には、数字に恐れることなく情報と知識を持って生き抜く勇気を持ってほしい。一方で、大阪府の想定では、国の基準で作った想定より犠牲者の数が大幅に増えており、今後、国に対して対策を求めていく必要がある」と話していました。
逆に言うと、国の想定はかなり甘いということか。
》 三菱重工、トルコの原発正式受注 福島事故後初めて (朝日, 10/29)。ハァ……。当該原発の使用済み燃料は日本が引き取るのですが、肝心の六ヶ所村再処理工場は今だに稼働の目処が立ってないんですよね……。
関連: 再処理工場の完成時期「未定」に変更 日本原燃 (河北新報, 10/30)
日本原燃は29日、現行計画で10月としていた使用済み核燃料再処理工場(青森県六ケ所村)の完成時期を正式に延期し「未定」に変更する方針を明らかにした。延期は20回目で、時期を明示しないのは初めて。今週中にも計画の変更を原子力規制委員会に届け出る。
(中略)
原燃は、13年度内の操業開始を想定した再処理施設使用計画(13〜15年度)についても未定に変更し、規制委に届け出る。計画では、再処理量を13年度80トン、14年度320トン、15年度480トンなどと定めていた。
(中略)
再処理工場では、難航した高レベル放射性廃液のガラス固化試験がことし5月に終了した。原燃は「技術的課題は克服した」と説明するが、安全対策の徹底になおハードルが横たわることを意識する必要がある。
(中略)
東京電力と日本原子力発電が出資するリサイクル燃料貯蔵(RFS)は29日、青森県むつ市に建設した使用済み核燃料中間貯蔵施設の操業開始時期について、現行計画の10月から「未定」に変更したと発表した。近く原子力規制委員会に届け出る。
あとこれ。サンオノフレ原発でおなじみの三菱重工です。
三菱重工製の配管欠陥で米サンオノフレ原発が廃炉へ! 問われる「原発輸出」の損害賠償リスク (現代ビジネス, 6/9)。堀潤氏の記事。
米サンオノフレ原発が廃炉を決定—福島の教訓で変わる米原発事情 (ウォール・ストリート・ジャーナル日本版, 6/21)
廃炉の米サンオノフレ原発運営会社、三菱重工に賠償要求 (ロイター, 7/19)
米国で市民が原発を廃炉に追い込んだ理由 当事者が、カリフォルニア州原発をめぐる攻防を証言 (東洋経済, 9/26)
》 「黒子のバスケ」撤去の脅迫 なぜ割れた、書店の対応 (朝日, 10/30)。「レンタル屋に毛が生えたようなもの」と「書店」の差、ということかな。
一方、同様の脅迫状が届いた紀伊国屋書店、三省堂書店など多くの大手書店チェーンは販売を継続する。
「撤去する考えはない」というジュンク堂書店によると、これまでも特定の本について「著者に問題がある」などと撤去を求められたことはあるが、応じていないという。「本は表現作品であり、書店は読者に届けるために預かっている立場。軽々には撤去できない」。出版物は一般の商品とは異なるという認識だ。
やはり脅迫状が来たが撤去はしない宮脇書店は、「表現、言論の自由に関わる問題だ」という。
ジュンク堂いいぞもっとやれ、と思ってジュンク堂のページ を開いたら、MJリバイバル 名著復刻プロジェクト『じょうずなワニのつかまえ方』社≪21世紀版≫(ダイヤグラム・グループ著 主婦の友発行)好評発売中! なんてことをやっていた。「モリサワの最新フォント入りオリジナル編集版で新たに登場」と、単なる復刊ではない模様。
関連:
「黒子のバスケ」脅迫事件がさらに深刻な様相を呈していますが早い解決を望みたいものです (山本 一郎 / Yahoo, 10/30)
「黒子のバスケ」脅迫犯の手紙を公開します。 (篠田博之 / Yahoo, 10/23)
「黒子のバスケ」脅迫事件のその後の経緯 (篠田博之 / Yahoo, 10/24)
「黒子のバスケ」脅迫犯へのメッセージ (篠田博之 / Yahoo, 10/27)
出ました。10 件の欠陥が修正されています。 (最高 x 5、高 x 3、中 x 2)
リリースノート: Firefox 25.0、 ESR 24.1.0、 ESR 17.0.10。 Android 版 Firefox 25.0。 Thunderbird 24.1、 ESR 17.0.10。 SeaMonkey 2.22。
セキュリティアドバイザリ: Firefox、 Firefox ESR。 Thunderbird、 Thunderbird ESR。 SeaMonkey
ダウンロード:Firefox、 Android 版 Firefox、 Thunderbird、 Firefox / Thunderbird ESR、 SeaMonkey
結局、Thunderbird ESR は 17 系列が出続けるのかなあ……と思ったら、 Firefox/Thunderbird 法人向け延長サポート版 (ESR) のダウンロード のページにこんな記述が:
Thunderbird 24 からは通常版と ESR 版が統合されました。通常版でも Firefox ESR 版と同様メジャーアップデートは 1 年に 1 回程度の間隔で行います。通常版をダウンロードしてご利用ください。
リリースポリシーが崩壊したみたい……。
2013.11.15 付で、 MFSA 2013-103: Network Security Services (NSS) の様々な脆弱性 を修正した、Firefox 25.0.1 / ESR 24.1.1 / ESR 17.0.11、SeaMonkey 2.22.1 が公開されました。また 2013.11.19 付で Thunderbird 24.1.1 / ESR 17.0.11 が公開されました。 NSS 3.15.3 に更新されてます (ただし ESR 17 系列だけは NSS 3.14.5 に更新)。
リリースノート: Firefox 25.0.1、 ESR 24.1.1、 ESR 17.0.11。 Android 版 Firefox 25.0.1。 Thunderbird 24.1.1、 ESR 17.0.11。 SeaMonkey 2.22.1。
》 韓国トップたちの怪しい「世界観」 (地政学を英国で学んだ, 10/26)
》 特集ワイド:「内部告発小説」の現役官僚に聞く 「再稼働いいのか」問いたい (毎日, 10/22)。「原発ホワイトアウト」の件。
》 台風被害、国試算を嘉田知事が批判 「支川の逆流を無視」 (京都新聞, 10/22)
嘉田知事は、浸水被害が大きかった下流の石居(いしずえ)橋(大津市)周辺について、「現場は(支川の)古川の逆流で被害が集中した。ダムができても逆流は起こるのに、(試算は)古川の逆流による浸水被害を無視している」と指摘。国が2007年に、大戸川ダムができても大雨で石居橋付近では浸水被害が出ると試算した結果を示し、「国はデータを軽く扱っている」と批判した。
》 渋谷駅・地下迷宮の責任者は誰? 東急電鉄を直撃取材! 変わりゆく“超複雑建築”、渋谷駅サバイバル術(2) (日経ビジネス, 10/23)。地下は東急電鉄が一元管理しているのか。
「ですから、責任の分担という意味では、地下が東急電鉄、あとは地上にあるJR東日本さん、京王電鉄さん、それから東京メトロさんでは銀座線だけが別々にあり、全体で4つのパートに分かれています。そのなかで、地下空間は我々東急電鉄が、一体的に管理しているんです」(高橋助役)
》 世界で広がる「再エネバッシング」の裏側 日本は先行ドイツを見習うべきか (日経ビジネス, 10/22)
》 「阪神」で揺れた建物、「南海」に耐えられるのか (日経 KEN-Plats, 10/22)
今回の実験の背景にある問題意識は、鉄骨造ではこうした接合部破壊が生じたとしても、外見的には問題がないように見えるということだ。(中略) 大地震で被災した鉄骨造でも、外観観察からただちに危険がないと判断され、現在まで継続的に使われている可能性があるということだ。
「au版iPhone」販売店でオプション「加入強制」 KDDIは「指示していない」と否定 (J-CAST, 10/22)
auビデオパスの解約手順が複雑すぎるのは、解約忘れビジネスのためにわざとなのでは?と話題に (NAVER まとめ, 10/24)
「携帯オプション強制加入」疑惑をKDDIら各社に聞く。au店舗対応、限りなく強制に近くてブルー (engadget, 10/25)
KDDI、決算発表で“オプション契約説明”改善を明言 (ITmedia, 10/28)
KDDI田中社長、端末とスマートパスなどの“抱き合わせ”問題を認識 店舗に指導、改善へ (ITmedia, 10/28)。岡田有花記者。
KDDIのオプション強制加入問題 田中社長「条件にするのは許されない」 (J-CAST, 10/29)
》 Backdoor.Ploutus 再び - メキシコ以外にも進出した Ploutus (シマンテック, 10/28)
》 持続的標的型攻撃の手口解明:ARPスプーフィングを利用した情報探索 (トレンドマイクロ セキュリティ blog, 10/29)
》 特別リポート:福島作業員を蝕む「違法雇用と過酷労働」 (ロイター, 10/25)
》 「黒子のバスケ」、TSUTAYAから撤去 脅迫状届く (朝日, 10/29)。CCC、テロに屈する。ショボいなあ。
一方、三省堂書店、ジュンク堂書店、紀伊国屋書店にも脅迫状が届いたが、いずれも撤去はしないとしている。
関連: 創出版さんのツイート:
黒子のバスケ脅迫でTSUTAYAが商品撤去を発表しなが、これ新たに脅迫状が送られたのでなく、15日の脅迫状への対応が決まったもの。
— 創出版 (@tsukuru_shuppan) October 29, 2013
中国:天安門前車両炎上、死者5人に 邦人含む38人負傷 (毎日, 10/28)
天安門車両炎上:テロ?当局厳戒、ネット書き込み次々削除 (毎日, 10/28)
天安門車両突入:共産党統治に不満持つ少数民族か (毎日, 10/29)
微博に投稿されたのは、北京市の治安管理総隊が28日に市内の宿泊施設に出した「違法車両の手掛かり内偵工作の即時展開に関する通知」の画像。そこには「28日にわが市で重大事件が発生した」と記したうえ、容疑者として、新疆ウイグル自治区に戸籍登録するウイグル族とみられる男2人の氏名と個人情報が書かれている。
また、違法容疑車両として、新疆ナンバーの小型四輪駆動車4台のナンバーも掲載されている。そのうえで「10月1日以降の宿泊客や駐車車両を調べ、手掛かりがあれば、直ちに当局に届けてほしい」と捜査への協力を求めている。
天安門車両突入:人権団体、宗教取り締まりが背景との見方 (毎日, 10/29)。中国人権民主化運動情報センターの見解。
》 「シリア電子軍」が今度はオバマ大統領のTwitterのURL短縮アプリをハック—急遽Google2段階認証採用へ (techcrunch, 10/29)、 Syrian Electronic Army Hacks into Obama Campaign Staff Emails (Symantec, 10/29)
オバマ大統領支援キャンペーン組織のスタッフの電子メールを乗っ取ったシリア電子軍 (シマンテック, 10/30)
》 遠隔操作 「携帯から猫写真復元」も誤報 (日本報道検証機構, 10/26)
関連: 【PC遠隔操作】特集ページ (日本報道検証機構)
》 中国から輸入したアイロンに無線LAN経由でスパム攻撃をするチップが発見される (gigazine, 10/29)。こういう時代ですか……。
中国から輸入された電気式アイロンに隠されていたのは小さなチップ。このチップは半径200m以内で暗号キーなしで接続できるWi-Fiを利用しているPCに侵入し、ウイルスをまき散らすように設計されていたとのこと。
似たようなチップが中国製の携帯電話や自動車、カメラからも発見されており、専門家は「電化製品や自動車に隠されていたチップは、会社のネットワークに侵入しスパムメールを送信することに使用されていたものでしょう」と話しています。
》 「土石流というより土砂流」、伊豆大島の土砂災害 (日経 KEN-Plats, 10/29)
》 職場うつ病の原因が過労でなく上司や職場環境であることを示す研究が発表される (gigazine, 10/29)
研究チームを率いたMatias Brodsgaard Grynderup博士は「職場うつ病の患者は、不平等に多くの仕事を与えられていることが職場うつ病の原因であるにも関わらず、仕事量が多いから精神的にしんどいのだと思う傾向があり、また、病気のせいで割り当てられた仕事をこなせなくなってしまっているのに、病気の原因が多すぎる仕事量にあると考えてしまうのです」と述べています。
》 「出口対策」を強化せよ、新型攻撃と戦うユーザーに必要な意識改革 (日経 IT Pro, 10/29)
もう1つの出口対策となるのが、システム管理者の行動監査である。侵入者は侵入後に往々にしてシステム管理者の権限を取得する。システム管理者に成りすまし、重要度が高い区画へと侵入範囲を広げ、高度な情報にアクセスしていくことが確認されている。何年にもわたって内部情報にアクセスされている組織では、ほとんどの場合システム管理者に成りすまされている。
これは、システム管理者や内部のプログラムが使う高度な権限を持つアカウントの行使状況を監視できていない組織が多いという意味である。こうした監視をすることこそが、企業や団体にとって極めて有効な出口対策となる。コンプライアンスの観点から見ても、きわめて有効かつ重要な管理項目でもある。
》 Windows 8.1でHyper-VとVMware Workstationを使えるようにする方法 (Eiji James Yoshidaの記録, 10/28)
Drupal 方面 (2013.10.23)
SA-CONTRIB-2013-081 - Spaces - Access bypass (Drupal.org, 2013.10.23)
SA-CONTRIB-2013-082 - Bean - Cross Site Scripting (XSS) (Drupal.org, 2013.10.23)
Bugzilla 4.4.1, 4.2.7, and 4.0.11 Security Advisory (Bugzilla, 2013.10.16)。CSRF x 2、XSS x 2。 CVE-2013-1733 CVE-2013-1734 CVE-2013-1742 CVE-2013-1743
Puppet Enterprise 3.1.0 (2013.10.15) で修正済
JVNDB-2013-004899: Puppet Enterprise のダッシュボードレポートにおける任意の YAML コードを実行される脆弱性 (JVN, 2013.10.29)。CVE-2013-4957
JVNDB-2013-004900: Puppet Enterprise におけるアクセス制限を回避される脆弱性 (JVN, 2013.10.29)。 CVE-2013-4965
Cisco 方面 (2013.10.23)
Cisco IOS XR Software Route Processor Denial of Service Vulnerability (Cisco, 2013.10.23)。 CVE-2013-5549
Apache Struts 2 Command Execution Vulnerability in Multiple Cisco Products (Cisco, 2013.10.23)。CVE-2013-2251。 S2-016: A vulnerability introduced by manipulating parameters prefixed with "action:"/"redirect:"/"redirectAction:" allows remote command execution の件。
Multiple Vulnerabilities in Cisco Identity Services Engine (Cisco, 2013.10.23)。 CVE-2013-5530 CVE-2013-5531
Juniper 方面 (2013.10.09)
2013-10 Security Bulletin: Junos: Security issue with Proxy ARP enabled on unnumbered interface (CVE-2013-6014) (Juniper, 2013.10.09)。 CVE-2013-6014
2013-10 Security Bulletin: Junos: Commit failure on SRX after upgrade to 12.1X44 or 12.1X45 may allow unauthenticated access (CVE-2013-6012) (Juniper, 2013.10.09)。 CVE-2013-6012
Dropbear SSH 2013.59 (2013.10.04) で修正済。
JVNDB-2013-004904: Dropbear SSH Server における有効なユーザ名を取得される脆弱性 (JVN, 2013.10.29)。 CVE-2013-4434
JVNDB-2013-004903: Dropbear SSH Server の packet.c 内の buf_decompress 関数におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2013.10.29)。 CVE-2013-4421
最新は 2013.60 (2013.10.16)
JVNDB-2013-004902: WellinTech KingView の KChartXY.ocx における任意のファイルを生成される脆弱性 (JVN, 2013.10.29)、JVNDB-2013-004901: WellinTech KingView の SuperGrid.ocx における任意のファイルを生成される脆弱性 (JVN, 2013.10.29)。ICS 方面の製品。 更新版が配布されている。ICSA-13-295-01 参照。 CVE-2013-6128
JVN#74608669: RockDisk におけるクロスサイトスクリプティングの脆弱性 (JVN, 2013.10.29)。ファームウェアバージョン 2.0.5 で修正されている。 ダウンロード。 CVE-2013-4713
[MediaWiki-announce] MediaWiki Security Release: 1.21.2, 1.20.7 and 1.19.8 (wikimedia.org, 2013.09.03)。3 件の欠陥を修正。 CVE-2013-4301 CVE-2013-4302 CVE-2013-4303
》 SUREFIRE 2211 リストライト 入荷 (目指せ!ライトマニア HATTAのLEDライトレビュー, 10/28)
ただのライトではありません!2211はハンドガンとの併用を前提としたタクティカルライトなのです。
(中略)
2211の配光はフラットなワイド光です。SUREFIREのタクティカルライトにありますTIRを使用したスポットな配光とは真逆の仕様です。2211は至近距離での使用、つまり屋内や住宅など閉鎖的な空間においてターゲットの全体像を照らすことを目的としております。また、照射される側からこの配光を見ると照射側は光に包まれ眩しくて直視することができません。180ルーメンといえど5m程度の近距離では非常に有効な配光です。
》 時論公論 「サイバー攻撃の脅威にどう立ち向かうのか」 (NHK 解説委員室, 10/25)
》 世界の扉 「混迷のエジプト ムスリム同胞団 非合法化へ」 (NHK 解説委員室, 10/25)
》 アラブ諸国の武器の蔓延 (中東の窓, 10/26)
》 くらし☆解説 「アジアとヨーロッパをつなぐ海底トンネル」 (NHK 解説委員室, 10/25)。ボスポラス海峡横断鉄道 (マルマライ線) の件。 10/29 に開通式だそうです。関連:
ボスポラス海峡横断鉄道トンネル貫通 (大成建設, 2011.02.28)
》 福島・鮫川の放射性廃棄物焼却炉爆発事故 (発生 8/29)
鮫川村高濃度焼却施設が事故で緊急停止 ——「ベルトコンベアの覆いの破断」との説明。地元住民からは「鉄砲を打ったような衝撃音」の証言 (IWJ, 8/29)
2013/8/30 鮫川村仮設焼却施設 爆発・緊急停止事故 村へ要請書提出&事故現場取材 (畠山理仁さんのツイキャス配信 ) (togetter, 8/30)
福島・鮫川の焼却炉爆発事故—二重のマニュアル違反、警察・消防にも通報せず (関口 威人 / Yahoo, 9/2)
山本太郎議員も注視する鮫川村の爆発事故現場とは (関口 威人 / Yahoo, 10/3)
福島・鮫川村で進むあまりにも強引な焼却炉「再稼働」計画 (関口 威人 / Yahoo, 10/27)
「これは非常にまずい。また事故になりますよ」
こう断言するのは愛知県内の産廃処理業関係者だ。
鮫川村で採用された「傾斜回転床炉」は、愛知県春日井市で2000年ごろに計画が持ち上がった産廃処理施設の焼却炉と同じタイプ。
春日井では汚泥や廃油、廃プラスチックなどを日量43トン、傾斜回転床炉で燃やす計画だった。ほとんど実績のなかった焼却炉を住宅地周辺で運用することに住民が猛反対したのはもちろん、試運転自体もトラブル続き。騒音や排ガスの規制値をクリアできず、2010年に愛知県の設置許可が取り消され、業者は操業断念に追い込まれた。
「何でも燃やせる炉という触れ込みだったが、そんなにうまくいくはずはない。当時から無理のある構造だと分かっていた」とこの関係者は言う。
「それがなぜ今、福島で使われているのか、まったく理解できない」
なんだか根本的に駄目なようで。
本格稼働から1週間余り、「燃え残りの少ない」はずの炉には投入した稲わらや牧草がなかなか燃え切らずに残っていた。この状態を解消するため、運転員は本来なら毎日出し切らなければならない灰を一定量残したまま、翌日に新たな投入物と混焼しながら運転し続けていた。
すると灰があふれ始める。次第に、回転する炉と軸のわずかなすき間から灰がこぼれ落ち、すぐ下のゲートにたまるようになった。マニュアルによれば、ゲートは焼却中に閉めていなければならない。だがそれではゲートにたまった灰が固まり、炉が詰まってしまう。運転員は所長らに報告しないまま、現場の判断でゲートを開け放しにした。
マニュアルに違反しないと実運用できないようなシロモノだった、ということですかね……。根本的な問題を解決しないと駄目なんじゃ。
福島県鮫川村における実証事業 (環境省)
》 ランサムウェアによる損失は? (エフセキュアブログ, 10/23)。儲かるんですねえ。
》 Facebookが残酷動画の掲載方針で右往左往 (小林 恭子 / Yahoo, 10/23)、 サイバースペースでの表現の自由を統制するのは誰? (エフセキュアブログ, 10/24)
》 KINSのソースコード流出にみるサイバー犯罪対策の難しさ (エフセキュアブログ, 10/28)
KINSとは今年7月頃に報告され、次代のZeuSやSpyEyeと呼ばれる不正プログラムの1つです。
秘密保護法「深刻な懸念」 アムネスティが声明 (日経, 10/24)、 日本:特定秘密保護法案、表現の自由の侵害に対する深刻な懸念 (アムネスティ・インターナショナル日本, 10/23)
特定秘密保護法案の全文 (朝日, 10/25)、 落合弁護士のコメント。
クローズアップ2013:秘密保護法案 「定義」、行政裁量で 外部チェックのすべなく (毎日, 9/14)、 落合弁護士のコメント
「秘密」の内容を、厳罰を設けてまで秘密にするものかどうかのチェック機能はない。
米国では大統領が安全保障などに関する機密を指定する。だが、機密の指定と解除、さらに内容をチェックする仕組みが明確になっている。米国立公文書館にある情報保全監察局が適切な機密指定かどうかを見極める責務を負い、局長には機密の解除請求権が与えられている。
これに対して、今回の特定秘密保護法案では、防衛相や外相、警察庁長官らが指定し、解除の必要性も行政機関に委ねられている。外部チェックが想定されていないのだ。
秘密の指定期間は5年が上限だが、再指定の回数の制限はない。何度も指定を続ければ永久に秘密にすることも可能だ。自民党のプロジェクトチーム座長を務める町村信孝元外相も「考えるべき事項だとは思う」と話す。
民主、情報公開法改正案を提出 秘密保護法に対抗 (朝日, 10/25)
安倍政権が今国会での成立を目指す特定秘密保護法案に対抗し、「秘密」の是非を裁判所がチェックできる仕組みを盛り込んだ。
[秘密保護法・沖縄の視点]「防衛秘」施設、実は普通 (沖縄タイムス, 10/28)。防秘の実態。 ショボすぎる事を防秘にしたかったのかもしれんが。
秘密保護法反対50・6% 共同通信世論調査 (沖縄タイムス, 10/27)
時論公論 「NSC設置法案と特定秘密保護法案」 (NHK 解説委員室, 10/23)
》 独房収容は「拷問にも」国連特別報告者が警告 (産経, 10/23)
》 “ガラケー”では限界…サイバー補導でスマホ配備 警視庁 (SankeiBiz, 10/24)。ガラケーだったんだ……。
》 Googleが改良型CAPTCHAを発表、正規ユーザーの識別が容易に (ITmedia, 10/28)
》 東電 除染費負担を全面拒否 「賠償と二重払い」主張 (東京, 10/28)
》 第22回FNSドキュメンタリー大賞ノミネート作品 『1F(イチエフ)作業員〜福島第一原発を追った900日〜』 (制作:フジテレビ) (フジテレビ, 10/24)。「11月6日(水)26時20分〜27時15分」
》 FSF、非フリーのJavaScriptを遮断するブラウザアドオン「LibreJS 5.4」をリリース (sourceforge.jp, 10/26)
この拡張をインストールすると、WebブラウザはプロプライエタリなJavaScriptコードを認識・ブロックするようになる。対応するWebブラウザは「Mozilla Firefox」および「GNU IceCat」向けがある。
》 12歳の少年が政府関連ウェブサイトをハッキングしたことを認める (gigazine, 10/28)、 12-year-old Canadian boy admits to hacking police and government sites for Anonymous (Sophos, 10/26)
》 ネット上に蓄積された消費者データの利用に関してアメリカ連邦取引委員会が新たなルールを構築する模様 (gigazine, 10/27)
》 無人飛行機の兵器利用に透明性を (国連情報誌SUNブログ対応版, 10/28)
関連: パキスタン首相:「無人機攻撃、中止を」米大統領に要請 (毎日, 10/24)
》 ハインツのケチャップ、マクドナルドが仕入れ停止へ (ウォール・ストリート・ジャーナル日本版, 10/28)
ファストフード大手バーガーキング・ワールドワイドのベルナルド・ヒース元最高経営責任者(CEO)がハインツのトップに指名されたことを受け、マクドナルドは先週、ケチャップの仕入れ先を変更する手続きを開始したと確認した。ヒース氏は現在もバーガーキングの取締役会の副会長を務めている。
》 Windows 8.1でシステムイメージを作成する方法 (Eiji James Yoshidaの記録, 10/27)、 Windows 8.1 > 祝、フルバックアップ機能が復活 (山市良のえぬなんとかわーるど, 10/23)
》 ゲームから仕事紹介サイトまで。オンラインで活性化する「マネーロンダリング」(WIRED.jp) (日経 IT Pro, 10/25)。 オンラインゲームの仮想通貨、マイクロペイメントを使った「マイクロロンダリング」、オンライン仕事紹介マーケットプレイス。
》 米の傍受、海底ケーブル通じ NSA、全世界の通信対象 (朝日, 10/28)。朝日、スノーデン情報を独自に追跡取材。
》 NSA によるドイツ・メルケル首相携帯電話盗聴問題。 盗聴されたのは、政府支給の携帯ではなく、党 (キリスト教民主同盟) 支給の携帯か。今回もスノーデン情報が引金。
Embassy Espionage: The NSA's Secret Spy Hub in Berlin (Der Spiegel, 10/27)
米、ドイツ首相の電話を監視か 米は否定 (CNN, 10/24)
独メルケル首相はメール魔—盗聴問題で再び焦点に (ウォール・ストリート・ジャーナル日本版, 10/25)
欧州首脳、「信頼損なう」と対米批判—メルケル氏への電話盗聴で (ウォール・ストリート・ジャーナル日本版, 10/25)
NSA、メルケル首相盗聴に使われたプログラムを停止 (ウォール・ストリート・ジャーナル日本版, 10/28)
【盗聴疑惑】 独首相に党貸与の携帯対象か (産経, 10/26)
米、外国指導者35人盗聴か EU首脳会議で議論 独仏、再発防止 合意目指す (産経, 10/26)
独情報機関トップ、訪米へ 米盗聴疑惑の説明求め (CNN, 10/27)
メルケル氏の盗聴10年以上…首相就任前から標的 揺らぐ米欧同盟 (産経, 10/28)
米大統領 独首相の盗聴3年前から把握か (NHK, 10/28)。これは『ドイツの大衆紙「ビルト」』の報道。
メルケル首相の盗聴、「オバマ大統領に報告」を否定 米NSA (産経, 10/28)
怒りの裏に計算も/メルケル首相、盗聴問題/野放図な情報収集に枠の好機 (共同, 10/27)
米当局は駐独米大使館を拠点にベルリンを盗聴、独誌が報じる (日経 IT Pro, 10/28)
》 韓国 NHKの映像を無断使用 (NHK, 10/27)。韓国政府の広報動画。
この動画は、韓国外務省が竹島の領有権を主張する目的でホームページを通じて公開していたもので、この中で、NHKドラマ「坂の上の雲」の日本海海戦のシーンとみられる映像が20秒近く無断で使用されていました。
韓国外務省は「動画は韓国の民間の制作会社に発注し作成させたもので、問題の映像は制作会社の担当者がインターネットから入手し、NHKの映像とは知らずに使用してしまった。NHKの映像が使用されたと判断せざるをえない」として、27日、この動画を削除したことを明らかにしました。
レベルが低すぎる……。
》 イタリア・シチリア島でエトナ山が噴火 (ウォール・ストリート・ジャーナル日本版, 10/27)、 エトナ山 (ウィキペディア)。最近はよく噴火しているのかな。
MacBook Air フラッシュストレージドライブ交換プログラム (Apple, 2013.10.17)
WordPress 3.7 登場。自動バックグラウンド更新機能が実装された。デフォルトでは「コアのマイナー更新および翻訳ファイルの更新に対してのみ適用」される。 プラグインやテーマ、メジャーリリースについても自動化したい場合は、 設定を変更する。
》 Twitter のダイレクトメッセージの URL 送信制限をすり抜けるスパマー (シマンテック, 10/23)
》 東ヨーロッパのオンライン銀行を狙う一連の攻撃「Apollo」について (トレンドマイクロ セキュリティ blog, 10/25)
Google blacklist blocking php.net (ZDNet, 10/24)
Hackers compromise official PHP website, infect visitors with malware (updated) (ars technica, 10/25)
A further update on php.net (php.net, 10/24)
As part of this, the php.net systems team have audited every server operated by php.net, and have found that two servers were compromised: the server which hosted the www.php.net, static.php.net and git.php.net domains, and was previously suspected based on the JavaScript malware, and the server hosting bugs.php.net. The method by which these servers were compromised is unknown at this time.
関連:
PHP.net potentially compromised and redirecting to an exploit kit (AlienVault Labs Blog, 10/24)
Analysis of the PHP.net Compromise (Stop Malvertising Malware Reports, 10/28)
》 Updates: PsExec v2.0, RAMMap v1.3, Sigcheck v2.0 (Sysinternals Site Discussion, 10/23)。Sigcheck から VirusTotal を呼べるようになったみたいです。
Sigcheck v2.0: This major update to Sigcheck, a command-line file version and digital signature verification utility, adds integration with the VirusTotal antivirus scanner aggregation service. Sigcheck can now check the status of a file against over 40 antivirus engines and launch the associated online VirusTotal report, and even upload files for scanning that have not already been scanned by VirusTotal. This release also reports the machine type of executable images, whether 16-, 32-, or 64-bit.
》 「となりのトトロ」をビデオに録画すると、児童ポルノ所持で処罰される可能性がある (悪徳商法?マニアックス ココログ支店, 10/24)。US 怖い。
》 NSFOCUS Mid-Year DDoS Threat Report 2013 Details DDoS Attack Trends (NSFOCUS, 9/12)
OCN認証ID・パスワードの不正利用防止に向けた セキュリティ上の脆弱性があるブロードバンドルータの利用調査および対策の実施について (2013.08.20)
家庭のネットIDなど悪用被害150件超 (NHK「かぶん」ブログ, 2013.10.25)
SEP 12.1 and Windows 8.1 "Blue" (Symantec, 6/27)。SEP 12.1 RU4 で対応 (未リリース)。
Windows 8.1、Windows Server 2012 R2対応について (トレンドマイクロ)。2013年末〜2014年前半対応予定ですか。
Supported environments for VirusScan Enterprise on Microsoft Windows (McAfee)。VSE 8.8 patch 4 で対応 (未リリース)。 12 月に出る予定のようです。
勧告: Windows 8.1 および Windows Server 2012 R2 - ソフォス製品へのサポート対応 (Sophos, 10/18)
アドビ製品のWindows 8.1 の対応状況について (Adobe, 10/18)。既知の問題はない。
》 アドビ製品のMac OS X Mavericks (10.9) 対応状況について (Adobe, 10/23)
》 Windows 8.1 〜 Windows Update のより柔軟になった再起動オプション (日本のセキュリティチーム, 10/23)
時論公論 「伊豆大島土砂災害 出されなかった避難勧告」 (NHK 解説委員室, 10/22)
大島町では三原山の噴火や津波に対しては詳細な防災計画を立てハザードマップなどを整備しています。しかし土砂災害についてはハザードマップも法律で求められている避難場所の指定も、避難勧告出す具体的な基準もありませんでした。
(中略)
大島町では50年以上大きな土砂災害が起きていなかったうえ、火山対策の一環として砂防施設が整備されていたことで土砂災害には以前から「無警戒」とも言える状態になっていました。初動も著しく遅れ、町長不在のなか避難勧告を出せるような態勢になっていなかったのです。
本当に、ぽっかり穴が空いていたんだなあ。
国は避難勧告を出す目安として「土砂災害警戒情報」を活用するよう求めています。雨量などから危険性が高まったときに気象庁と都道府県が発表します。しかしこの情報は精度が低く、情報が出されて実際に被害を伴う土砂災害が起きたのは3.5パーセントです。100回避難すれば3〜4回は難を逃れることができるというデータでもありますが、空振りが多く市町村からは使いにくいという声があがっています。
この低さは、津波警報・注意報に通じるところがあるなあ。
避難勧告のタイミングや範囲については日頃からの周到な準備が不可欠です。そのために「土砂災害防止法」という法律に基づいて危険区域の指定がここ10年あまり進められてきました。事前に土砂崩壊が起きたときに危険が及ぶ範囲を「警戒区域」に指定します。そして安全な避難場所や避難ルートを決めたり、避難勧告が住民にきちんと伝わるように態勢を整えたりすることが市町村に義務付けられます。
(中略)
しかし今回の伊豆大島の災害現場はこの警戒区域にまだ指定されていませんでした。指定は都道府県が行うことになっていて、全国平均では危険個所の6割で指定が済んでいますが、東京都は4割にとどまっています。指定の障害のひとつに「不動産価値が下がる」という住民の反対があり、都会ほどその傾向が強いと言います。東京都は多摩地区から指定を進めていますが時間がかかっていて、伊豆大島などは先送りされていました。
うーむ。
クローズアップ2013:伊豆大島土石流1週間 台風警戒、低い意識 町、未明まで反応鈍く (毎日, 10/23)
結論は「全員帰宅、午前2時再集合」。総務課長が「私がやります」と現場指揮役に名乗りを上げ、午後4時7分、電話で町長から了承を得た。
(中略)
職員は午後6時半までに順次、役場を離れた。留守番役は置かなかった。「警備員がいるし、異常があれば総務課長と同課防災係長に連絡を取ることになっていた」(町幹部)。
しかし結局、総務課長が出勤するまでの「無人状態」が生まれ、土砂災害警戒情報のファクスも放置された。
しかし、誰かいたとしても、NHK 記事↑のような状況では、違いはなかったのかも。
その頃、川島町長がいたのは、火山活動などの痕跡が残る場所を抱える自治体で構成する「日本ジオパーク隠岐大会」が開かれた島根県隠岐の島町だった。参加を見合わせる選択肢について、大島町同様に台風26号の予想進路上にあった千葉、神奈川、静岡の3県計19のジオパーク関係自治体に尋ねたところ、静岡県伊東市を除く18自治体の首長が不参加だった。「台風の影響が気がかりだった」と話し、代理を出席させた首長もいた。
「10 年に 1 度」の台風が来たら、 ふつうはそうするよなあ。 大島町は、副町長も同時に出張だったからなあ。 しかし、町長・副町長がいたとしても、違いはなかったのかも。
伊豆大島土石流:被害から1週間 「命」のために 生死分けた奇跡 (毎日, 10/23)
》 シリア内戦とトルコ (中東の窓, 10/22)、 シリア情勢(23日) (中東の窓, 10/24)。
》 「原発ゼロ」担う「ご当地電力」の潜在力 (2013年10月15日) (保坂展人のどこどこ日記, 10/23)
》 インターネット定点観測レポート(2013年 7〜9月) (JPCERT/CC, 10/24)
制御システムで使用する102/TCP、502/TCP、20000/TCPのポート宛へのパケットを8月中旬以降観測しています。(制御系システムで使われるポートについては、3.参考文書の(*2)を参照してください)同時期に、SANSが提供しているグラフ (*3)(*4) (*5) でも同様の傾向がみられます。今回観測されたパケットには、(1)検索エンジンSHODAN (*6)の特徴的な探索パケット、(2)それ以外のパケットが含まれていました。
》 福島第一原発作業員 緊急座談会「汚染水処理の現場はヤクザとど素人だけになった」 (現代ビジネス, 10/22)
》 田中規制委員長、非公開で東電社長と面談へ (ロイター, 10/23)
非公開について田中氏は、「相当突っ込んだ話を率直にする必要がある。現場の疲弊など社長は公開の場ではなかなか話しにくい」などと述べた。
とはいうものの、現場の疲弊などを、社長はきちんと認識できているのかどうか……。
》 「Blackhole Exploit Kit」の作成者が逮捕、アンダーグラウンドの反応は? (トレンドマイクロ セキュリティ blog, 10/22)
》 Flash Player Sandbox Now Available for Safari on Mac OS X (Adobe, 10/23)。OS X Mavericks の Safari で Flash Player の sandbox 化を実現。
》 GMOインターネットの「お名前.com」が不正アクセスを受け、攻撃実証コードが公開される (NAVER まとめ, 10/22)。[Full-disclosure] Japan's largest domain name registrar a subsite remote command execution (Full-disclosure ML, 10/13) は本当だった模様。
》 Skypeプロトコルの不正解読に関する訴訟をフランスの大審裁判所が棄却 (gigazine, 10/23)
》 Wikipediaを悩ませる“なりすまし”投稿とその黒幕ステマ会社「Wiki-PR」社とは? (gigazine, 10/23)
》 アイ・オー、Android/PC両対応のUSBメモリ「U3-DBL」シリーズを発売 (Internet Watch, 10/24)
USBホスト機能を備えたAndroid 4.0以降の端末で利用できる。具体的な動作確認機種として、Nexus 7(2012)、Nexus 10などが挙げられている。Nexus 7(2013)では、言語設定を一時的に英語に切り換え、再び日本語に戻すことで、USBメモリを認識する場合があるという。
なんじゃそれ……。
》 「おばちゃん爆発」動画の高校生書類送検 京都府警、「『実験』数十回やった」 (ITmedia, 10/24)
》 Chrome の XP サポート、利便性の背後に潜むリスクについて (Sophos, 10/22)
Chrome の修正プログラムが全面的に提供されることで、利便性以上にリスクが生じます。誤った安心感により、新しいプラットフォームへの切り替えが遅れる可能性があるのです。
修正プログラムの適用は部分的なプロセスであってはなりません。マルウェア対策製品、ブラウザ、オフィススイート、PDF ビューアなど、システム上で実行されるすべてのプログラム、そして何よりもコアオペレーティングシステム自体を、最新の状態に維持していかなければならないのです。
ランサムウェア「CryptoLocker」の仕組み、予防、駆除、および復元について (Sophos, 10/21)
ランサムウェア「CryptoLocker」、オンライン銀行詐欺ツール「ZBOT」を経てコンピュータに侵入 (トレンドマイクロ セキュリティ blog, 10/23)
Ransomcrypt: 勢いづく脅威 (シマンテック, 10/23)
》 インターネット上でのいじめによる自殺、Facebook で自慢した少女の逮捕に発展 (Sophos, 10/21)
》 なりすましによる不正アクセスのお知らせとお詫び (セブンネットショッピング, 10/23)。「最大で150,165件」。
<不正アクセスの発生期間>
2013年4月17日から同年7月26日まで
<対象項目>
・お届け先の氏名、住所、電話番号の情報
・クレジットカード情報((1)カード番号、(2)カード有効期限)
手元にも案内メールが来たので調べてみた。私は Yahoo のアカウントを使ってログインしているのだが、Yahoo のアクセス履歴を見た限りでは、怪しいアクセスはなさそうだった。
セブンネットショッピング特設センターに電話してみたところ、
今回の件はセブンネットショッピング独自のアカウントの場合のみ該当で、Yahoo など外部サイトを使ってログインしている場合は対象外
ではなぜ私に案内メールが来たのかというと、セブンネットショッピングにカード情報が保存されている人に対して、注意喚起の意味で全員に案内を送付している
という情報を頂いた。たいへん丁寧な対応でした、ありがとうございます。
なりすましによる不正アクセスのお知らせとお詫び (セブンネットショッピング, 10/23) に追記されてました。
【2013年10月25日一部加筆】
加えて、弊社でご利用可能な他のサイトID(Yahoo! JAPAN ID、Google ID、NTT ID)やパスワードが流出したという事実も検知されていません。
》 ラジコン愛好家の皆様へ ≪お詫び≫ (R/Cカーのヨコモ / Web 魚拓, 10/23)。フジテレビ「ほこ×たて 2時間スペシャル!スナイパー軍団 VS ラジコン軍団」の実態。 ヤラセ、捏造あたりまえ。協力者に不快な思いをさせてはいかんだろ……。
関連: ほこ×たて「余りに酷い」「全くの作り物」 出演者が怒りの告発、スナイパーVSラジコンで (ねとらぼ, 10/23)
》 仮想スキャンサーバ(仮称)の新バージョン、ベータ・テスト開始 (エフセキュアブログ, 10/22)
》 中国東北部の大気汚染が大深刻—学校や空港、道路が2日連続閉鎖 (ウォール・ストリート・ジャーナル日本版, 10/23)
》 「黒子のバスケ」脅迫犯から私に届いた手紙 (篠田博之 / Yahoo, 10/22)、 「黒子のバスケ」脅迫犯から届いた2通目の手紙 (篠田博之 / Yahoo, 10/23)
前述のように犯人は『創』の篠田編集長へ、という独自のメッセージをも一緒に送ってきたのだが、これがなかなか興味深い。例えば、犯行声明文をぜひ掲載してほしいという掲載依頼の後に続くこんな一文だ。《和歌山カレー事件の冤罪支援とか田代まさし擁護に比べたら風当たりも大したことないやろ》。これは『創』をある程度読み込んでいないと書けない文章だ。
》 Appleイベント速報:OS X Mavericksは無料、即日公開 (techcrunch, 10/23)。関連:
McAfee products supported on Mac OS X 10.9 (Mavericks) (McAfee KB79445)。Endpoint Protection for Mac 2.1、VirusScan for Mac 9.6、Agent for Mac 4.8 Patch 1、ePO 4.6.x 以降。
McAfee Agent 4.6.x fails to start when client operating system is upgraded to Mac OS X 10.9 (Mavericks) (McAfee KB79317)
Mac OS X 10.9 (Mavericks) に対する弊社エンドポイント製品の対応状況について (トレンドマイクロ, 10/22)。うわーコンシューマ向け製品しか対応してない。
avast! Free Antivirus 8.0 Is Ready for OS X Mavericks (softpedia, 10/1)
Sophos さんのツイートによると、 Sophos Anti-Virus for Mac (Home Edition) は現行バージョン 9.0.3 から Mavericks 対応だそうです。
【新潟発】 報道とは裏腹、泉田知事の真意 「再稼働に向けてGOとはとれない」 (田中龍作ジャーナル, 10/16)
メディア懇談会の後、筆者は事務方の説明を受けた。推進派のメディアが再稼働に向けて動き出したかのように報道したことについて、事務方も困惑している様子だった。
事務方は「ベントに条件をつけたことで再稼働に向けてはむしろハードルが高くなった」と話した。
【新潟報告】 泉田知事 「田中委員長、公開質問します」 (田中龍作ジャーナル, 10/18)
泉田知事は設備の安全審査についても疑問を投げかけた—
「世界はメルトダウン事故があると考えて対策を講じているのに、日本はメルトダウン事故が起きないという形でやる。これでは“世界の基準に合わせます”の答えになっていない(田中委員長は“世界一厳しい規制基準”と豪語している)」。
“メルトダウンは起きませんよ”というのは第二の安全神話である、と泉田氏は指摘したうえで、次のように話した—
「メルトダウン事故が起きた時にどう対応するか? ヨーロッパではコアキャッチャー(※)だし、アメリカは(軍の)冷却部隊ということになっている。日本は両方やらないことになっている」。
(中略)
※コアキャッチャー:
原子炉格納容器の底部に設けられる装置。溶融(メルトダウン)したデブリ(堆積物)が冷却設備に導かれる仕組みになっている。
関連:
平成25年10月16日 泉田知事定例記者会見要旨 (新潟県, 10/17)。「メディア懇談会」は、定例記者会見とは別のイベントなのかな。
A 知 事
(中略) いずれにしてもベントしたときに健康に影響を及ぼす被ばくが起こり得る状況です。例えば風が吹いているときと吹いていないときや、雪や雨が降っているときにどのように広がるのかというシミュレーションは可能ですので、まず影響評価ぐらいからスタートする必要があると思っています。(中略) いきなりメカニズムのところに入るわけではありません。ベントした場合に、どのような気象条件のときにどのエリアで最大被ばくが発生し得るのかをまず先にシミュレーションするということでご理解いただくとわかりやすいと思います。
Q
避難計画自体も策定していかなければならないと思いますが、どういう避難計画を作るのかということについても調査チームの中で確認していくということですか。
A 知 事
まずシミュレーションした上で次を考えるのだと思います。例えば2007年に発生した中越沖地震のときには自由に移動できるような状況ではありませんでした。緊急自動車ですら消防署から柏崎のサイトに到着するのに時間がかかりました。端に少し段差があるだけで大渋滞が起きて車が動けなくなり、サイレンを鳴らしても動けないという状況ですから、まず影響がどのように広がるのかを見た上で考えるということです。そもそも避難という方式がよいのかどうかというところもあります。例えばギロチン破断で冷却材が失われれば最短2時間でメルトダウンが起きますので、雪が降っている夜中でも本当に(避難が)可能なのかということを考えていく必要があります。国にも要請していますが、徒歩圏内に核シェルターを設け、そこに1週間から10日間避難できるような体制がないと無理なのではないかという印象論もあります。実際にどのようなことになりそうなのかということで、最悪の状況をシミュレーションするのがまず先だと思っています。
新潟県、柏崎刈羽原発の安全審査申請を条件付きで承認 (FNN, 9/26)。これ↓は誤報。
安全審査を申請するための条件として、新潟県は、県との安全協定に基づく協議後に修正して申請することと、地元の了承が得られないかぎり、フィルター付きベントを使用しないことを申請書に明記するよう求めた。
フィルタベントの使用に関する条件について (新潟県, 9/30)
9月26日付け「柏崎刈羽原子力発電所の規制基準適合審査申請に係る条件付き承認について」について一部報道機関において、誤った解釈による報道がありました。
県と東京電力は、
了解が得られない限りフィルタベント設備の運用開始はできない。実際に事故が発生した際の個別の対応に、県の了解を得るよう求めたものではない。
という認識で一致しています。
(コメント)新潟県知事からの承認の受領について (東電, 9/27)。新潟県がつけた条件については、これ↓がその記述みたい。
なお、重大事故時に粒子状の放射性物質の放出を可能な限り低減させ、発電所敷地外の土壌汚染を大幅に抑制するフィルタベント設備は、避難計画と密接に関連するため、国や関係自治体の皆さまと十分な協議が必要であります。
当社といたしましては、安全協定をしっかりと遵守し、新潟県をはじめとする関係自治体の皆さまと十分協議させていただくとともに、わかりやすい情報発信に一層努めてまいります。
柏崎刈羽 きょう再稼働申請 東電、事故収束できぬまま (東京, 9/27)
泉田知事は承認を文書で東電側に伝えた。条件として安全審査の申請書には、県との協議後に修正申請すること、フィルター付きベント(排気)設備は地元の了解が得られなければ使用できないことを明記するよう求めた。安全協定に基づく事前了解の協議ができないと判断した場合には、申請の承認を無効とする考えも明示した。
知事は承認の理由を「事業者が安全確保のために第三者の目を入れたいという状況を放置するのは、地元にとっても望ましくない」と説明した。ベント設備に関しては「地元の避難計画との整合性を県の技術委員会で検討する必要がある」と指摘した。
柏崎刈羽原子力発電所6,7号機における新規制基準への適合申請について (東電, 9/27)
柏崎刈羽原発、フィルターベント設置工事始まる 東電 (日経, 10/22)
おおいにどもろう:/上 にいがた言友会 吃音も個性の一つ /新潟 (毎日, 10/20)
おおいにどもろう:/中 人生の転機 「話すって楽しいな」 /新潟 (毎日, 10/21)
おおいにどもろう:/下 「生きづらさ」でつながり 吃音で世界が広がった /新潟 (毎日, 10/22)
》 フリー記者を恫喝訴訟・SLAPPから守れ (田中龍作ジャーナル, 10/20)
》 マルチタスクによって生じる精神的・身体的問題がさまざまな研究から判明 (gigazine, 10/22)
》 ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第3四半期(7月〜9月)] (IPA, 10/22)
APPLE-SA-2013-10-22-1 iOS 7.0.3 (Apple, 2013.10.22)。3 件の欠陥 (いずれもロック関連) を修正。 CVE-2013-5144 CVE-2013-5162 CVE-2013-5164
APPLE-SA-2013-10-22-2 Safari 6.1 (Apple, 2013.10.22)。Mac OS X 10.7、10.8 用の Safari 6.1 登場。 任意のコードの実行、情報の漏洩、XSS など 計 21 件の欠陥を修正。CVE-2013-1036 CVE-2013-1037 CVE-2013-1038 CVE-2013-1039 CVE-2013-1040 CVE-2013-1041 CVE-2013-1042 CVE-2013-1043 CVE-2013-1044 CVE-2013-1045 CVE-2013-1046 CVE-2013-1047 CVE-2013-2842 CVE-2013-5125 CVE-2013-5126 CVE-2013-5127 CVE-2013-5128 CVE-2013-2848 CVE-2013-5129 CVE-2013-5130 CVE-2013-5131
なお、OS X Mavericks では、同様の修正が含まれた Safari 7.0 を塔載。
APPLE-SA-2013-10-22-3 OS X Mavericks v10.9 (Apple, 2013.10.22)。うーん……。53 件の欠陥を修正となっているのだが、これは、何に対して修正したというのだろう。 CVE-2011-2391 CVE-2011-3389 CVE-2011-3389 CVE-2011-3389 CVE-2011-3427 CVE-2011-4944 CVE-2011-4944 CVE-2012-0845 CVE-2012-0845 CVE-2012-0876 CVE-2012-0876 CVE-2012-1150 CVE-2012-1150 CVE-2013-0249 CVE-2013-1667 CVE-2013-1944 CVE-2013-3950 CVE-2013-3954 CVE-2013-4073 CVE-2013-5135 CVE-2013-5138 CVE-2013-5139 CVE-2013-5141 CVE-2013-5142 CVE-2013-5145 CVE-2013-5165 CVE-2013-5166 CVE-2013-5167 CVE-2013-5168 CVE-2013-5169 CVE-2013-5170 CVE-2013-5171 CVE-2013-5172 CVE-2013-5173 CVE-2013-5174 CVE-2013-5175 CVE-2013-5176 CVE-2013-5177 CVE-2013-5178 CVE-2013-5179 CVE-2013-5180 CVE-2013-5181 CVE-2013-5182 CVE-2013-5183 CVE-2013-5184 CVE-2013-5185 CVE-2013-5186 CVE-2013-5187 CVE-2013-5188 CVE-2013-5189 CVE-2013-5190 CVE-2013-5191 CVE-2013-5192
APPLE-SA-2013-10-22-4 Keynote 6.0 (Apple, 2013.10.22)。1 件の欠陥を修正。 CVE-2013-5148
APPLE-SA-2013-10-22-5 OS X Server 3.0 (Apple, 2013.10.22)。OS X Server は、 これまでは OS X と OS X Server とで別々の OS として提供されてきたけど、 これからは OS X への追加アプリケーションとして提供されるようで。 7 件の欠陥を修正。 CVE-2012-3547 CVE-2013-0269 CVE-2013-1854 CVE-2013-1855 CVE-2013-1856 CVE-2013-1857 CVE-2013-5143
APPLE-SA-2013-10-22-6 Apple Remote Desktop 3.5.4 (Apple, 2013.10.22)。Apple Remote Desktop 3.x の 1 件の欠陥を修正。 CVE-2013-5135
APPLE-SA-2013-10-22-7 Apple Remote Desktop 3.7 (Apple, 2013.10.22)。Apple Remote Desktop 3.x の 2 件の欠陥を修正。 CVE-2013-5135 CVE-2013-5136
APPLE-SA-2013-10-22-8 iTunes 11.1.2 (Apple, 2013.10.22)。Windows 版のみ、24 件の欠陥を修正。 CVE-2011-3102 CVE-2012-0841 CVE-2012-2807 CVE-2012-2825 CVE-2012-2870 CVE-2012-2871 CVE-2012-5134 CVE-2013-1024 CVE-2013-1037 CVE-2013-1038 CVE-2013-1039 CVE-2013-1040 CVE-2013-1041 CVE-2013-1042 CVE-2013-1043 CVE-2013-1044 CVE-2013-1045 CVE-2013-1046 CVE-2013-1047 CVE-2013-2842 CVE-2013-5125 CVE-2013-5126 CVE-2013-5127 CVE-2013-5128
これってつまり、OS としては、Mac OS X 10.9 しか維持しないつもりなのかなあ……。
OS X Mountain Lion: Still unsupported and vulnerable (ZDNet, 2013.11.22)。やっぱり 10.8.x 以前は終了ってことなんですかねえ。
》 SSLの脆弱性を検証するシステム「XPIA」を開発 RSA公開鍵に関する脆弱性の分布状況を分かり易く表示 (NICT, 10/22)。iida さん情報ありがとうございます。
》 社会人対象「情報漏えい防止技術習得セミナー 〜Windowsセキュリティ編〜」 (情報セキュリティ大学院大学)。「2013年11月11日(月)〜2014年3月17日(月)18:20〜21:30 毎週月曜日(祝日、年末年始を除く) 全15回」、横浜市神奈川区、無料。
》 情報大航海に遡る、プライバシー保護ルール作りの迷走 (日経 IT Pro, 10/21)
》 ポイントサイト「ECナビ」でも不正ログイン発生、2万8452アカウントが対象 (Internet Watch, 10/21)
》 米Google、表現の自由のためのツール3種発表、検閲回避のブラウザー拡張など (Internet Watch, 10/22)
》 【秘密保全法】 野党議員 「行政の権限が突出している」 官僚独裁の足音 (田中龍作ジャーナル, 10/21)
》 マイクロソフト、Surface RTのWindows RT 8.1アップグレード問題に対応中 (techcrunch, 10/22)。発生率は 0.1% 以下だが、Windows RT 8.1 アップデートは現在凍結中だそうで。
》 ここに注目! 「ムスリム同胞団 非合法化へ」 (NHK 解説委員室, 10/21)
》 マラリアのワクチン申請へ 被害の劇的改善に期待 (産経, 10/21)、英GSK、世界初マラリア・ワクチンの承認申請へ (AFPBB, 10/9)。グラクソ・スミスクライン。
仏で1か月7000万件の電話を傍受か (NHK, 10/22)。スノーデン情報に基づくル・モンド報道。
仏、NSAの盗聴問題で米大使に説明要求 (ウォール・ストリート・ジャーナル日本版, 10/22)
NSA、フランス市民に対しても諜報活動を実施か (CNET, 10/22)
独誌「米NSAがメキシコ大統領府のメール傍受」 前大統領、米を非難 (AFPBB, 10/22)。スノーデン情報に基づくシュピーゲル報道。
》 ガス・パイプライン全面稼働=中国ミャンマー間、2500キロ (時事, 10/21)
Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (2013.03.21)
Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (NEC) が 2013.10.22 付で改訂された。
対象となる製品のバージョンに影響のない製品(AtermWR8165N)を追加しました。
対処方法にファームウェアバージョンアップ対象となる製品(AtermWR8700N、AtermWR8170N)を追加しました。
》 福島原発事故 東電テレビ会議49時間の記録 (岩波書店, 9/27)、 福島原発事故 タイムライン2011−2012 (岩波書店, 9/27)。こんな本出てたのか。
》 NSAは、フェリペ・カルデロン前メキシコ大統領のメールを在任中に読んでいた (techcrunch, 10/21)
》 Listening:<コラム・風知草>決める政治。だが何を?=山田孝男 (毎日, 10/21)。核のゴミ、使用済み燃料の最終処分場の件。
小泉の攻勢は臨時国会にも波及した。17日の衆院本会議で、みんなの党の渡辺喜美代表(61)が小泉発言について質問。安倍晋三首相(59)は小泉の名には触れず、こう答えた。
「(核廃棄物)最終処分方法としての地層処分については20年以上の調査研究の結果、我が国においても技術的に実現可能であると評価されています」
「処分制度創設以降、10年以上も処分地選定調査に着手できなかった現状を真摯(しんし)に受け止めなければなりません。国として、処分地選定に向けた取り組みの強化を、責任をもって検討してまいります……」
そこまで言うなら、山口4区につくればいいのに。
関連:
高レベル放射性廃棄物、地層処分は無理 (memo, 2012.09.28)
小泉氏「原発ゼロ」発言批判の社説にミスリードあり (日本報道検証機構, 10/11)
》 殺人ロボット開発に歯止めを (NHK, 10/21)
国際的な人権団体、「ヒューマン・ライツ・ウォッチ」は、21日、こうした自動的に攻撃する兵器の開発に対して声明を発表し、「悪夢のようなSFの世界が現実のものとなる前に、国際社会による早急な行動が必要だ」と歯止めをかけるよう訴えました。
関連:
UN: Hold International Talks on ‘Killer Robots’ (Human Rights Watch, 10/21)
武器:殺人ロボットに反対する新キャンペーン発足 完全自律型兵器の阻止に求められる速やかな行動 (ヒューマン・ライツ・ウォッチ, 4/23)
》 「ももクロぴあ」は「印刷6万部」……実は「10万部」 虚偽報告をぴあが謝罪 (ITmedia, 10/17)、 重要なお知らせ (スターダストプロモーション)
》 Googleが気球を使ってどこでもWi-Fiによるネット接続を可能にする「Loon」の受信アンテナ公開、壮大な計画の一端が明らかに (gigazine, 10/21)
》 ネットワークスペシャリストでまさかのOpenFlow出題 (Geek なぺーじ, 10/21)。ェー
》 「携帯ジャマー」「FMトランスミッター」など総務省が微弱無線局超える無線設備公表 (日経 IT Pro, 10/15)
》 シリア攻撃を“あきらめた”米国と日本 高まる新孤立主義 (日経ビジネス, 10/16)
》 打倒シーメンスへ三菱重工が見せた意地 苦戦の風車で洋上世界2位と合弁 (日経ビジネス, 10/11)
》 つくられた「避難弱者」 高齢者福祉施設の過酷な避難生活から得た教訓 (日経ビジネス, 10/17)
》 Business Journal 記事「警察庁と国交省が激怒!トヨタが首都高で“違法”自動運転を実演」はデマ
当該記事: 警察庁と国交省が激怒!トヨタが首都高で“違法”自動運転を実演 (Business Journal, 10/16)
マガジンXさんのツイート:
ちゃんと車検も通してます1 道路局に続いて自動車局と話した。そもそも自動運転の言葉に誤解があるのではないか。保安基準に適合するのはドライバーが運転する装置がついているから。車検に通っているということは保安基準に適合しているわけで、 pic.twitter.com/JyUdXcoG62
— MagX(マガジンX) (@CyberMagazineX) October 17, 2013
ちゃんと車検も通してます2 すなわち今回のトヨタの自動運転デモは、あくまでも「運転支援」のデモであったという認識だ。自動運転がたとえば「ゆりかもめ」のようなものであるとか、酒酔いでも、本を読んでいても運転できますというようなドライバーが「オーバーライド」できないものとは異なる。
— MagX(マガジンX) (@CyberMagazineX) October 17, 2013
ちゃんと車検も通してます3 したがって、事前にトヨタから「相談も受けていないし、怒ってもいない」(技術政策課)との明解な答えが返ってきた。国交省道路局と自動車局に確認したかぎり、「国交省が怒っている」との一部報道は確認できなかった。 pic.twitter.com/djcPgHntM7
— MagX(マガジンX) (@CyberMagazineX) October 17, 2013
トヨタが先週、首都高速道路で行った「自動運転デモ」の件 「警察庁、国交省が怒っている」を取材検証しているのだが、少なくとも国交省道路局、自動車局は「怒っていない」ことが確認できた。警察庁も「怒っている」とのコメントは得られなかった。また、国交省に事前にトヨタが相談もしていなかった
— MagX(マガジンX) (@CyberMagazineX) October 17, 2013
「手放しの規制はありません」(警察庁) トヨタが先週、首都高速で行った「自動運転」のメディア向けデモ走行を、警察庁は全く問題視していないことが明らかになった。マガジンXの問い合わせに対して文書で回答した。 pic.twitter.com/FPupsebiZ2
— MagX(マガジンX) (@CyberMagazineX) October 18, 2013
》 NTT西日本、フレッツ光の会員サイトに不正ログイン1075件、追加調査で判明 (Internet Watch, 10/18)。 NTT西日本のフレッツ光会員サイト「CLUB NTT-West」にも、不正ログイン131件 (Internet Watch, 10/11) のつづき。CLUB NTT-West は今日も閉鎖中。
》 Fake Chrome, Adobe Flash updates (ZDNet, 10/18)。にせアップデートにご注意。
》 CCRA/ICCC報告会 〜セキュリティ評価基準(CC)活用の改革について〜 開催のご案内 (IPA, 10/18)。2013.11.14、東京都文京区、無料。
》 SEO業者がNAVERまとめを作ってる件について (SEO日記 一喜一憂 (仮題), 10/17)
》 WSJ、LIBOR不正操作の未公開個人名の公表禁止を命じられる (ウォール・ストリート・ジャーナル日本版, 10/18)
》 国民の悪性サイトへのアクセスを防止、11月1日から官民連携でマルウェア対策 (Internet Watch, 10/18)。ACTIVE の件。 マルウェア駆除活動について (ACTIVE) を見る限りでは、ハニーポットを使ってマルウェア検体と感染 PC 情報を取得し、そこからシグネチャの作成や注意喚起メールの送付を実施するようです。
》 iOS/Android/Mac OS版リモートデスクトップはWindows XP以降の上位エディションにアクセス可能 (ITmedia, 10/20)
》 Windowsストアを使ってWindows 8からWindows 8.1へアップデートする (@IT, 10/18)
》 Apple、同社がiMessageを読めるとの調査報告を否定---米メディアの報道 (日経 IT Pro, 10/21)。AppleのiMessageは本当に盗聴不可能? 研究者が検証 (ITmedia, 10/18) を受けての件。
関連: Hackers: Here's how Apple's iMessage surveillance flaw works (video) (ZDNet, 10/18)
関連:
Vulnerability Note VU#248083: D-Link routers authenticate administrative access using specific User-Agent string (US-CERT, 2013.10.17)
Update on Router Security issue (D-Link)。かなりの機種については更新ファームウェアが公開されている。 残りについても 2013.10.31 に用意される予定。
Security Bulletins S2-018: Broken Access Control Vulnerability in Apache Struts2 (apache.org, 2013.10.17)。 Apache Struts 2.x の欠陥。2.3.15.3 で修正された。 CVE-2013-4310
関連: Struts-2.3.15.3リリース (R42, 2013.10.18)
Advisory (ICSA-13-291-01) DNP3 Implementation Vulnerability (ICS-CERT, 2013.10.18)。電力・水道方面でよく使われているという SCADA の通信プロトコル DNP3 の各種実装にさまざまな欠陥があるという話。
Advisory Number Vendor ICSA-13-282-01 Alstom ICSA-13-161-01 IOServer ICSA-13-213-03 IOServer ICSA-13-226-01 Kepware Technologies ICSA-13-213-04A MatrikonOPC ICSA-13-219-01 Schweitzer Engineering Laboratories ICSA-13-234-02 Software Toolbox ICSA-13-252-01 SUBNET Solutions Inc. ICSA-13-240-01 Triangle MicroWorks
関連:
制御システムセキュリティプロトコル (JPCERT/CC)
ソフテックだより 第159号(2012年4月4日発行) 技術レポート 「LinuxOSでのDNP3.0通信開発」 (ソフテック, 2012.04.04)
SA55240: Ruby on Rails Action Mailer Log Subscriber Component Denial of Service Vulnerability (secunia, 2013.10.17)。3.x に DoS 攻撃を受ける欠陥、3.2.15 で修正されている。CVE-2013-4389
SA55238: OpenLDAP slapd RWM Overlay Use-After-Free Denial of Service Vulnerability (secunia, 2013.10.17)。今のところ patch なし。 CVE-2013-4449
SA55273: cPanel CloudFlare Plugin Unspecified Privilege Escalation Vulnerability (secunia, 2013.10.18)。CloudFlare plugin for cPanel 4.2 で修正されている。
SA55311: Bugzilla Multiple Cross-Site Scripting and Request Forgery Vulnerabilities (secunia, 2013.10.18)。4.4.1、4.2.7、4.0.11 で修正されている。 CVE-2013-1733 CVE-2013-1734 CVE-2013-1742 CVE-2013-1743
》 The Navy’s newest warship is powered by Linux (arts technica, 10/18)。ズムウォルト級の件。
》 米国防総省が空自AWACSの近代化改修計画の概要を発表 (アシナガバチの巣作り日記, 10/19)
日本政府は、4式の電子支援対策(ESM)システム、8式のAN/UPX-40次世代敵味方識別装置、8式のAN/APX-119 敵味方識別トランスポンダ、4式のKIV-77暗号化コンピュータを含むE-767早期警戒管制機(AWACS)の検討されているミッション・コンピュータ改修の販売を要請した。設計と道具生産、支援と試験装置、プロビジョニング、スペアと修理部品、要員訓練と訓練装置、出版物と技術文書、米国政府と受注業者による技術的支援、インストールと確認、及びその他の計画支援要素もまた含まれる。予想される金額は9億5000万ドルである。
(中略)
この改修により日本のAWACS編隊は米空軍のものとより同等となり、さらなる相互運用性をもたらすであろう。
》 馬英九訪中の可能性と台湾の国際的地位 (IDE-JETRO, 10/17)
》 論考:革命後チュニジアの政治的不安定 (IDE-JETRO, 10/16)
》 フランスでロマの女学生が学校で拘束され強制送還された事件の意味 (極東ブログ, 10/20)
》 FC2がついに知的財産保護団体から集団訴訟される (楽しくないブログ, 10/13)。「FC2動画アダルト」をアダルトメーカー7社が提訴。
2012年に民事訴訟法改正により日本で支店を持っていなくても日本で事業を展開している場合は訴訟を起こすことが可能となったのである。これによりFC2の脱法行為は不可能になり、実際民事訴訟により情報開示命令が下った判例も出来た。(中略) 前回は中傷に対する提訴なので影響も限定的であったが、今回は権利侵害による提訴ということで、いよいよFC2に対する包囲網が強くなってきたというところだろう。
関連報道:
「米動画サイトが無断公開」7社が提訴 (NHK, 10/20)
FC2動画でまた新たな逮捕者 〜違法アップロードは儲かるのか〜 (雑記N, 10/12)
いつの間にかFC2が権利団体から訴訟されてた件 (雑記N, 10/13)
渦中のFC2がさらに2件の訴訟を受けていたことが判明 (雑記N, 10/15)
2013.10.11 付で MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) が改訂されていた。CVE-2013-3871 は直っていないのだそうだ。 黒翼猫さん情報ありがとうございます。
V1.3 (2013/10/11):このセキュリティ情報ページを更新し、この更新プログラムによって解決される脆弱性から CVE-2013-3871 を削除しました。この CVE を元のセキュリティ情報に入れていたのは、文書作成上の誤りでした。CVE-2013-3871 については、将来公開するセキュリティ更新プログラムで対応する予定です。今回の更新は情報のみの変更です。システムを正常に更新済みのお客様は、措置を講じる必要はありません。
MacBook Air(Mid 2012)の内蔵 64GB/128GB SSD の一部に欠陥、突然 SSD が故障する。Apple は対象 SSD に対して無償交換を開始。 手順:
How to test if your MacBook Air SSD is recalled (ZDNet, 2013.10.18)
If you own a 2012 or 2013 MacBook Air you can see if your SSD is affected by following these steps:
- Launch Mac App Store.
- Click on the Updates tab.
- If you see No Updates Available, you are not affected by the recall.
- If you see MacBook Air Flash Storage Firmware Update 1.1 under Updates, install it, and run it.
- If your SSD is affected you'll be directed to the MacBook Air Flash Storage Drive Replacement Program website, which instructs you to bring it to an Apple Retail Store, Apple Authorized Service Provider, or to contact Apple Technical Support.
- If your SSD isn't affected, the update installs new firmware to resolve the issue.
関連:
「ここ数ヶ月でMacBook Air Mid 2012の東芝製SSDが壊れる不具合が頻発している」というのは本当なのか調べてみた。 (Apple ちゃんねる, 2013.10.08)
「アップデート後のダイアログが出ない?」「SSDの速度が速くなる?」などMacBook Air Mid 2012 Flash Storage Firmware Update 1.1の情報まとめ (Apple ちゃんねる, 2013.10.19)。SSD 無償交換事例もあり。
MacBook Air Mid 2012のSSDの不具合について (Apple サポートコミュニティ, 2013.10.14〜)
MacBook Air フラッシュストレージドライブ交換プログラム (Apple, 2013.10.17)
》 「ポッドキャストを守れ!」〜米EFFが特許無効訴訟を開始 (Internet Watch, 10/18)
》 視点・論点 「中国の海洋進出」 (NHK 解説委員室, 10/10)
こうして見てくると、中国が南シナ海を重視するのも、エネルギー資源や物資輸送を確保するためであると理解できます。しかし、それだけなら、南シナ海全体に主権が及ぶという中国の主張は説明できません。ここには、軍事的な意味があります。核による抑止です。
》 スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い (Geek なぺーじ, 10/18)。Lavabit 閉鎖の件。
この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。
》 朝日・読売がひた隠す記者の乱交パーティー、詐欺、土下座強要、大金恐喝…懲戒解雇事件の全貌 (MyNewsJapan, 10/14)
台風26号で土砂災害が起きた伊豆大島の航空写真をGoogle災害マップが公開 (gigazine, 10/18)
伊豆大島土石流:町、自主避難促さず 警戒情報を放置 (毎日, 10/17)
台風接近時、町長と原田浩副町長は出張中で、本来のルールでは代行すべきナンバー3の石川龍治教育長の指示で、総務課長が実質責任者として災害対応にあたっていた。
うわ、ナンバー3は総務課長に丸投げか……。 駄目だろそれは……。 総務課長はナンバー3じゃなかったのね。
同午後4時7分の1回目の町長との電話では、16日午前2時に町職員を役場に待機させる「非常配備体制」を敷くことを決めたが、警戒情報発表後も総務課長ら幹部は町長に報告せず判断を仰がなかった。
伊豆大島土石流:都の現地本部、無人状態 副知事ら帰京 (毎日, 10/18)。なんじゃそりゃ……。
“記録的豪雨”が島を襲った 〜緊急報告・台風26号〜 (NHK クローズアップ現代, 10/17)
》 古いMac OSを使い続けていませんか? サポート終了の時期をチェック (so-net セキュリティ通信, 10/18)
》 Two girls arrested after one allegedly brags on Facebook about cyber bullying suicide victim (Sophos, 10/17)
》 自己組み立て式ロボットは、反乱トースターの時代の幕開けか (シマンテック, 10/18)
Windows8.1リリース、Windows8ユーザーは無料でダウンロードしてアップグレード可能 (gigazine, 10/17)
Windows 8.1 〜 Windows Update 管理画面の新機能 (日本のセキュリティチーム, 10/18)
》 Windows XP や Windows Server 2003 環境において、Windows Update 実行時に Svchost.exe の CPU 使用率が 100 % となる、時間を大幅に要する (Japan WSUS Support Team Blog, 10/17)。IE 用の更新プログラムがひっかかる模様。
- 暫定対処策 (1)
「Internet Explorer の累積的なセキュリティ更新プログラム」を事前に単独で配信しインストール完了させる。
- 暫定対処策 (2)
承認状態とする「Internet Explorer の累積的なセキュリティ更新プログラム」を 1 点のみとし、その他の「Internet Explorer の累積的なセキュリティ更新プログラム」については、すべて拒否済みに設定して頂く。
この場合、その他の更新プログラムを同時に承認して頂いても問題ありません。
》 「艦これ白書」誤植満載で出撃。 手元にはまだ届いてないので確認できないのだが……。
なぜか空母が戦艦に……「艦これ白書」が色々間違えてると話題に 艦これ運営「申し訳ありません」 (ITmedia, 10/17)。誤植に加えて、裁断がひどいらしい。
艦これ白書ですが、今回入荷の書籍におきまして、印刷所の仕様により裁断の荒いものが目立つ商品がほとんどとなっております。ご予約されている方の分と、店頭にお出しするものは出来るだけ傷が目立たないものを選んでおりますが、ご購入後に交換を希望されても対応できる商品がないような状況です→
— 書泉ブックマート (@SHOSEN_BM_ALL) October 17, 2013
これはひどい。現場に手間をかけさせるなよ……。
『艦これ白書』が電子書籍でも同日配信——アップデートで誤植修正 (ITmedia, 10/18)。角川から物理書籍を買うのは金輪際やめた方がいいのかもしれん。
艦これ白書 (やまざくら, 10/17)。誤植という言葉で済むレベルではない模様。 角川の辞書には、「神は細部に宿る」は載ってないのかな。
艦これ白書 -艦隊これくしょん オフィシャルブック- (amazon)。星1.4。「第四艦隊事件」を引き合いに出す人まで現れる始末。
「艦これ白書 -艦隊これくしょん オフィシャルブック」感想 (ニトロ有線式, 10/17)。貴重な情報も少なくないようです。
今回のオフィシャルブックですが、ご覧の通り担当イラストレーターと声優さんの名前が載ってるのが実に良い。魅力的な絵描く方多いので、もっと前面に名前出しても良いとは思うのですが、ようやく詳細が明らかになったというイラストレーターさんも見られましたね。
紙質が悪いという意見もありました。
艦これ白書、つとに指摘されている問題点を考慮した上でもそれなりに楽しめた。ただ個人的に気になったのは紙質が悪いことかな。フルカラー印刷するならもう少しいい紙を使って欲しかった。でもやっぱり購入してよかった、とは思う。
— 後藤和智@商業新刊発売中&文フリ-オ11 (@kazugoto) October 18, 2013
やっぱり電子版の方が安全安心のようだ。
》 サクラ利用“出会えない”系サイト…1000万円支払った客も 会社社長ら逮捕 (壇弁護士の事務室, 10/17)
》 NEC顔認証技術ビッグデータ分析サービスへの反応 (togetter, 10/17 更新)
》 WHO PM2.5に発がん性 (NHK, 10/17)。というか、これまでは「発癌性あり」とは認定されてなかったんですね。
》 【台風26号】栃木が謎の結界で守られていると話題に【徳川家康】 (NAVER まとめ, 10/16)。伝説ってこうやってつくられるんだろうか。
関連:
JVNVU#98285660: Oracle Outside In にバッファオーバーフローの脆弱性 (JVN, 2013.10.18)
Java 7 Update 45にアップデート後、Web Reporterの管理コンソールにログインできなくなる (マカフィー, 2013.10.18)
VMSA-2013-0012: VMware vSphere updates address multiple vulnerabilities (VMware, 2013.10.17)
[SA55050] Network Security Services (NSS) Uninitialized Memory Read Vulnerability (secunia, 2013.10.12)。NSS 3.15.2 で修正されている。 CVE-2013-1739
NSS 3.15.2 release notes (mozilla.org)
Bug 1012656 - pick up NSS 3.15.2 to fix CVE-2013-1739 (moderate) (Red Hat)
AppleのiMessageは本当に盗聴不可能? 研究者が検証 (ITmedia, 2013.10.18)
「Appleがもしその気になれば、あるいは政府の命令によってそうする必要が生じれば、ユーザーのiMessageを読むことは可能」という結論
JVN#52509236: HDL-A および HDL2-A シリーズにおけるセッション管理に関する脆弱性 (JVN, 2013.10.18)。ファームウェアバージョン 1.08 で修正されている。 サポートライブラリ の 2013年10月03日 のところ。
JVNVU#93045890: HR Systems Strategies の info:HR に認証情報の管理に関する脆弱性 (JVN, 2013.10.16)。patch はまだないみたい。
Drupal contrib
SA-CONTRIB-2013-079 - Context - Mulitple Vulnerabilities (Drupal, 2013.10.16)
SA-CONTRIB-2013-080 - Simplenews - Cross Site Scripting (XSS) (Drupal, 2013.10.16)
[SA55173] Dropbear SSH Server User Enumeration Weakness and Denial of Service Vulnerability (secunia, 2013.10.12)。2013.59 で修正されている。
[SA55293] FFmpeg Multiple Vulnerabilities (secunia, 2013.10.14)。git リポジトリ上では修正されている。
》 VSE 8.8 Patch 4 - coming soon... (McAfee Community, 9/5)。イロイロややこしいようで。
i. Patch 4 will not install on top of the original "release to world" version of VSE 8.8
In other words, if you haven't patched the installation then you won't be able to patch it with Patch 4. Those using the unpatched 8.8 release may have to apply a patch (e.g. Patch 1) and then Patch 4, or, uninstall and reinstall the repost version that includes Patch 4.
うへぇ、扱いがめんどくさそう。
ix. Patch 4 is our officially supported release for Windows 8.1 or Server 2012 R2.
Windows 8.1 へのアップグレードは patch 4 を待つしかないのかしらん。 patch 4 のリリースは 2013 年 11 月の予定みたいですけど。
》 打倒iPad/iPad mini?—17日20時、Windows 8.1が提供開始 (ascii.jp, 10/17)。ふぅん。
タンゴもダメなのか 警察庁「享楽的雰囲気が過度」 (朝日, 10/16)。警察庁の中は昭和どころか明治なんじゃ? どこかにタイムトンネルでもあるのか?
「水着の女子高生と抱き合って踊れる」営業をされる可能性があるので規制します by 警察庁 (カジノ合法化に関する100の質問, 10/17)
風営法、ダンス適用外せぬ理由は 警察庁担当者に聞く (朝日, 10/17)
》 非正規雇用10年まで更新へ (NHK, 10/17)
企業の競争力を強化するためには、雇用分野の規制の緩和を進める必要があるとして、当初の方針を転換して、国家戦略特区ではなく、全国一律に規制緩和を進める方針を確認しました。
ブラック企業特区計画を中止し、全日本ブラック企業化計画を発動。 サブタイトルは「びっくり! 君の就職先もまっ黒け!!」かな。 これが安倍首相の言う「意志の力」なのですかね。
》 大島で報道ヘリがサイレントタイムを邪魔したというの本当か? (togetter, 10/17)
台風26号:土石流9時間前、気象庁が警戒情報 (毎日, 10/17)。 10/15 18:05 に気象庁から土砂災害警戒情報が出ていた。 しかし何もせず。
土砂災害警戒情報は、気象台と都道府県が地域別にまとめた過去の雨量と災害状況のデータを基に気象庁が災害発生時間を予測、その数時間前をめどに発表する。今回は15日午後6時5分に、大島町を対象とする警戒情報を出した。
クローズアップ2013:伊豆大島土石流 2度の「要請」生きず (毎日, 10/17)
気象庁が今回、土砂災害警戒情報を出したのは大島町を含む都内の9区町村。明確な基準がないことで避難勧告が発令されなかった自治体もあるが、都によると、大島町は土砂災害についての勧告の発令基準はあったという。警戒情報対象外だった神津島村は独自の基準に基づき勧告を出し、負傷者はいなかった。
質問なるほドリ:特別警報、なぜ出ない?=回答・飯田和樹 (毎日, 10/17)。特別警報は「都府県程度の広さ」を対象にしているので、伊豆大島は狭すぎた。
Q でも、それじゃあ離島には特別警報は出ないんじゃないの?
A 確かに今の考え方では地理的に離れた島に特別警報が出ることは限りなく少ないと言えそうです。気象庁の担当者も検討の必要性を認めています。初めて特別警報が出た先月の関西の大雨でも滋賀県知事が「市町村単位での発表を」と改善を求めました。そもそも制定のきっかけは2011年の台風12号で避難指示などが徹底されず、紀伊半島の広い地域に大被害が出たことです。被害を食い止めるため、活用法や改善点を考えていくべきですね。
台風26号:不在だった大島町長 会見で「甘かった」 (毎日, 10/6)
町長と副町長はいずれも被災時、会議出席など公務で町外にいた。両者が不在の場合、防災上の責任者は総務課長だという。
時系列で見る 後手に回った町の対応 (NHK, 10/17)。 総務課長は、防災責任者としての自覚がなかったんじゃないのか。
伊豆大島土石流:町、自主避難促さず 警戒情報を放置 (毎日, 10/17) によると、 総務課長は防災責任者ではなかった。 防災責任者は石川龍治教育長。
前線の停滞と地質で伊豆大島に被害集中、行政の対応遅れで拡大 (産経, 10/17)
》 「医者は食事中なので呼べない」東京入管の被収容者が死亡 (仮放免者の会(PRAJ), 10/16)。ひでぇ……。滅茶苦茶だ。
また、Aさんを病院に搬送するまでの対応については、収容場で入国警備官が医療的な判断をしているということの問題についても指摘しました。「癲癇(てんかん)だろう。大丈夫」というような判断は、医療従事者ではない入国警備官がおこなってよい範囲を大きくこえています。「癲癇」うんぬんの職員の発言をぬきにしても、容態の異常がみられたら即座に医師の判断をあおぐこと、医師の不在等の事情でそれができない場合はただちに救急車を呼ぶことは、被収容者の身柄を拘束している入管の当然の責任です。入国警備官が被収容者の病状を過少に評価して医療的な処置が遅れるようなことは、あってはなりません。
》 Putting the Fax Straight: Rapid7.com and Metasploit.com Website Defacement (Rapid7, 10/15)。にせ FAX ではなく、別のソーシャルエンジニアリング手法が使われたそうです。
》 Infostealer.Nemim: 拡散力の強い Infostealer の進化の経緯 (シマンテック, 10/17)
Nemim の標的は主に日本と米国に集中しており、インドと英国がそれに次いでいます。
》 Backdoor.Egobot: 標的型攻撃を効果的に実行する手順 (シマンテック, 10/17)
Egobot は、韓国企業の経営幹部を標的にしているほか、韓国と取引のある企業の経営幹部も狙われています。(中略) 韓国、オーストラリア、ロシア、ブラジル、米国と世界各国の組織が狙われています。
》 5 tips for hiring security-savvy IT professionals (Sophos, 10/16)。Sophos のやりかた。他の会社は、どうやっているんですかねえ。
》 6原発 審査終了時期は不透明 (NHK「かぶん」ブログ, 10/16)。そもそも 2/3 もの資料が提出されてないそうで。
》 少年からのシグナル(平成25年) (警察庁, 10/16)
核協議 イラン提案を評価する共同声明 (NHK, 10/17)
イラン核協議が終了 「実質的で前向き」と一定の評価 (CNN, 10/17)
イランとの核協議、米国務省「満足している」 (産経, 10/17)
イラン核 来月7、8日再協議 抜き打ち査察容認も (産経, 10/17)
》 製薬会社が次々に神経科学研究施設を閉鎖、精神薬産業が直面する危機 (gigazine, 10/17)
》 黒子のバスケ方面。コンビニ各社に脅迫状、メディア各社に犯行声明。
「黒子のバスケ」脅迫で犯行声明文 毒入り示唆、コンビニが菓子撤去 (ITmedia, 10/16)
「黒子のバスケ」菓子撤去=コンビニ大手に脅迫文 一連事件と関連か・警視庁 (時事, 10/15)
腐女子用語に精通し、ある程度年齢がいった人物? 黒子のバスケ脅迫犯「怪人801面相」とは何者 (J-CAST, 10/16)
創出版 @tsukuru_shuppan さんのツイート:
今日からマスコミが一斉に報道始めた黒子のバスケ脅迫犯を名乗る人物の犯行声明だが、創にも手紙が届いており、マスコミが報じないなら創ですっぱ抜いてほしいという趣旨。感心したのは、噂の真相や創をきちんと知っている人物であるらしいことだ。篠
— 創出版 (@tsukuru_shuppan) October 16, 2013
》 18歳がフィッシング用サイト…開設で初の逮捕 (読売, 10/16)
静岡県警は16日、沖縄県宜野湾市の店員少年(18)を不正アクセス禁止法違反(識別符号の不正要求)と商標法違反(侵害とみなす行為)の疑いで逮捕した。
関連: 商標法 第九章 罰則 (e-gov)。「第七十八条の二」でいいのかな。
第七十八条の二 第三十七条又は第六十七条の規定により商標権又は専用使用権を侵害する行為とみなされる行為を行つた者は、五年以下の懲役若しくは五百万円以下の罰金に処し、又はこれを併科する。
これ、不正アクセス禁止法よりもキツいんじゃね?
》 オスプレイ、重低音いつまで 配備から1年 (沖縄タイムス, 10/1)
だが、基地と住宅地が隣り合わせの沖縄では合意違反の目撃情報が相次いだ。県は市町村からの情報と合わせ、配備された10月から11月までの期間で318件の違反を確認し、防衛省に調査を要求した。
しかし、半年以上たって示されたのは「違反があると確認することはできなかった」との回答。写真や航跡データとの照合や、沖縄防衛局職員による目視でチェックしたとするが、日常的な違反は一般の県民も目にしている。
》 滋賀県高島市・饗庭野演習場でオスプレイを使った日米共同訓練を実施 (10/16)。陸自と米海兵隊 (普天間から岩国経由で飛来)。 まあ、普天間の CH-46 は全機退役したのでオスプレイ使うしかないわけですが。
オスプレイ 国内での共同訓練に初参加 (NHK, 10/16)
オスプレイ訓練、見上げる住民 高島 (中日, 10/17)
滋賀1区選出の大岡敏孝衆院議員は本紙の取材に「強風や大雨でも安全に飛行できることを証明できた。今後の訓練で使用される可能性も高いので、地域の方への説明責任を果たしたい」と話した。
各社の報道ヘリもばんばん飛んでましたので、飛んだことを自慢するような天候では全くなかったと思いますけどねえ……。むしろ、オスプレイどんだけ信用されてないんだということだよなあ。
映像 (空撮あり)
滋賀でオスプレイ参加の日米共同訓練 (TBS / YouTube, 10/16)
オスプレイ、滋賀で訓練 国内初の日米共同実施 (共同 / YouTube, 10/16)
オスプレイが日米共同訓練に初参加 滋賀 (ANN / YouTube, 10/16)
「オスプレイ」を使った国内初の日米共同訓練 滋賀・高島市 (FNN / YouTube, 10/16)
オスプレイ訓練 賛否渦巻く中で終了 滋賀県 (読売, 10/17)
高島・饗庭野演習場で国内初のオスプレイ訓練 滋賀 (産経, 10/17)
しかし、「オスプレイの安全性を理解してもらういい実績になった」と満足感を示す武田良太・防衛副大臣に対し、嘉田知事は「沖縄の人たちが本当に望む負担軽減を考えなければ」と疑問を投げかけ、福井市長は「最後まで飛行ルートが示されなかったことは残念。今後はすみやかな情報提供を望む」と苦言を呈した。
オスプレイ訓練 ルート公開求める声 (読売, 10/16)
今回、オスプレイの詳細な飛行ルートは地元自治体に通知されなかった。滋賀県の嘉田由紀子知事は、沖縄県の基地負担を軽減するため、滋賀県での訓練に一定の理解を示してきたが、訓練視察後の16日の記者会見では、「今回は(情報提供が)後手に回り、地元での説明の時間も短かった」と不満をのぞかせた。
オスプレイ:県内首長ら「本土分散考える契機」 (沖縄タイムス, 10/17)
オスプレイ、市街地を飛行 知事らの要請反し (京都新聞, 10/17)
県外移転訓練 撤去こそ真の負担軽減だ (琉球新報, 10/17)
自衛隊がオスプレイ導入したら、こういう騒ぎも少しは納まるのか、それとも拡大するのか……。 オスプレイの圧倒的な性能は魅力なわけですが。
》 平成25年度上半期の緊急発進実施状況について (統合幕僚監部, 10/9)。例年、下半期の方が多いわけですが、どうなることやら。 特に、南西航空混成団方面。
VLC media player 2.0.9 で修正されているそうです。http://www.videolan.org/developers/vlc-branch/NEWS:
Changes between 2.0.8 and 2.0.9: -------------------------------- Demux: * Improve handling of corrupt ASF files * Fix buffer overflow in the mp4a packetizer Contribs: * Fix modplug security issues
最新は VLC media player 2.1.1 です。
Secunia vs VLC - Whose vulnerability is it anyway? (H Security, 2013.07.10)
VLC media player は既に 2.1.1 が公開されているので、この欠陥は修正済ということになるんですかねえ。http://secunia.com/advisories/51464/ はあいかわらず Unpatched になっているのですが、last update は 2013.07.09 だし。
Breach at PR Newswire Tied to Adobe Hack (Krebs on Security, 2013.10.16)。Adobe のソースが置かれたのと同じサーバに、PR Newswire から盗まれたデータもあったそうで。
関連:
Oracle VM VirtualBox 4.3 Now Available (Oracle, 2013.10.15)
》 最高に終わっているBlackhole (エフセキュアブログ, 10/12)
得られる限り劇的なグラフだ。Paunchの発案物Blackholeは、エクスプロイトキットのグラフで支配的だったところから、主人の逮捕と共に徐々にシェアを失っている。
》 社説:資料流出時効へ 再び信頼を失った警察 (毎日, 10/16)。警視庁公安部から 100 点以上のテロ関連資料流出の件。 経路は Winny だけじゃないんですが……。
》 記者の目:エスカレーター「片側空け」=太田圭介 (毎日, 10/10)。「異論もあるが、やめよう」。 (記者名追記: Shibuya さん感謝)
》 写真で見るNECの新「LaVie Z」、世界最軽量795gを実現 (日経 IT Pro, 10/16)
前モデルで少なからずみられた液晶パネルが割れるというトラブルに対して、新LaVie Zは耐久性を強化。面耐圧を150kgfとし、スクエア構造により全体的に強度を増している。ディスプレイをひねる試験も実施しているという。
》 同意した覚えありますか?「ドコモ地図ナビ」による行動履歴の第三者提供 (NAVERまとめ, 10/16)
》 Twitter利用者に警告、視聴した動画が全てバレる「Plays」が大流行中 (ガジェット速報, 10/15)
- タイムラインのツイートを見る。
- フォローしている人を見る、新しくフォローする。
- プロフィールを変更する。
- ツイートする。
という動作の許可を求める「連携アプリ」Plays Now を許可すると、
YouTubeなどの著名な動画配信サイトはもちろんのこと、18歳未満に有害な動画サイトをはじめとして多数の動画配信サイトにおける視聴履歴が勝手にツイートされてしまいます。
という結果を招いたという話。 関連:
Twitter連携アプリ「Plays Now」に注意〜認証すると見た動画を暴露 (so-net セキュリティ通信, 10/16)
Plays Nowが広がり始めたのは14日夜で、放送事故、喧嘩、着替え、女子高生、衝撃映像など刺激的な言葉につられて、動画を見ようとクリックしてしまう人が多い。
マギ公式アカウントがフォロアー6万人に不適切な動画のアドレスをツイート!「Plays」の被害を受け炎上 (秒刊サンデー, 10/16)
》 BSE由来疾患、英で3万人が感染の疑い 献血で拡散の恐れも (CNN, 10/16)、 Prevalent abnormal prion protein in human appendixes after bovine spongiform encephalopathy epizootic: large scale survey (BMJ, 10/15)。UK における未発症感染者の割合:
従来は「英で1万5000人が感染の疑い」だったわけですね……。 あと、従来研究では「潜伏期間は8年」だったのが
vCJDの原因となるプリオン蛋白は少なくとも3種類ある (中略) さらに長い潜伏期間を経て発症する可能性
とか、
vCJDは血液検査では検出できないことから、感染者が献血などを通じて知らないうちに他人を感染させてしまう恐れ
とか、やっかいな話が明らかになったようで。
》 SMB2/3サポートを強化した「Samba 4.1」リリース (sourceforge.jp, 10/15)
SMB3を利用する場合、これまでSambaサーバーのUNIX拡張によってサポートされていたクライアント—サーバー間の暗号化通信がWindowsサーバーでも利用できるようになった。SMB2の「FSCTL_SRV_COPYCHUNK」リクエストを利用したサーバーサイドでのコピー操作もサポートされている。Windows Server 2012などサーバーサイドコピーを利用するクライアントは、ファイルコピーで大幅な性能改善を見込めるという。
》 ソーシャルゲーム代に困り「職質」で女性ゆすった警察官 「神撃のバハムート」に50万円費やす (ITmedia, 10/15)
》 小学生にも普及するLINE “賛否“はもはや無意味 現状に追いつけていない「大人たち」 (ITmedia, 10/15)
大阪府高石市の私立中高の教諭は、生徒のスマホにはほとんどフィルタリングは入っていないことや、入学前からLINEを使って生徒同士がすでに知り合いになっていることが多いという現状を報告。その上で、「何度も生徒同士で使い方のルールを話し合うことが重要」と指摘した。学校側がガイドラインなどを押しつけるのではなく、写真や発言を投稿する前に、生徒自身に影響や投稿者としての責任を考えさせるべき—との立場だ。
》 警察庁と国交省が激怒!トヨタが首都高で“違法”自動運転を実演 (Business Journal, 10/16)
トヨタは10月7日から3日間、次世代技術をメディアに公開。その際にトヨタのドライバーがハンドルから手を放し、さらにアクセルやブレーキのペダルからも足を離して自動運転する様子がテレビで全国に放映された。トヨタは首都高速での実演許可を国土交通省や警察庁から得ていたが、その許可はあくまで人間が運転する際の補助機能として認められた「自動運転」であって、同省や同庁は、現行法に鑑みて公道上で運転者がハンドルから手を完全に放す行為を認めていなかったからだ。
関連:
【ITS世界会議13】乗った!トヨタの自動運転技術による首都高デモ走行 (レスポンス, 10/11)
筆者は9日にこの技術を搭載した車両に首都高で体験試乗した。システムの作動中、ドライバーはハンドルおよびアクセル、ブレーキ操作から解放されているのに、車間距離の維持や自動操舵などスムーズな追随走行が演じられた。
ITS世界会議東京2013:トヨタの自動運転はプラチナバンドの車車間通信を活用、2010年代半ばに商品化 (@IT, 10/11)
トヨタの”自動運転車”に乗ってみた (東洋経済, 10/16)
マガジンXさんのツイート:
トヨタが先週、首都高速道路で行った「自動運転デモ」の件 「警察庁、国交省が怒っている」を取材検証しているのだが、少なくとも国交省道路局、自動車局は「怒っていない」ことが確認できた。警察庁も「怒っている」とのコメントは得られなかった。また、国交省に事前にトヨタが相談もしていなかった
— MagX(マガジンX) (@CyberMagazineX) October 17, 2013
「手放しの規制はありません」(警察庁) トヨタが先週、首都高速で行った「自動運転」のメディア向けデモ走行を、警察庁は全く問題視していないことが明らかになった。マガジンXの問い合わせに対して文書で回答した。 pic.twitter.com/FPupsebiZ2
— MagX(マガジンX) (@CyberMagazineX) October 18, 2013
Business Journal の記事はデマだった。
》 大迷宮となる新・渋谷で災害が起きたらどうなる? 【緊急報告】変わりゆく“超複雑空間”、巨大になる渋谷駅サバイバル術(1) (日経ビジネス, 10/9)。渋谷迷宮オデッセイ。
》 ATM から大金を盗み出す犯罪者 (シマンテック, 10/15)
》 Thousands of Sites Hacked Via vBulletin Hole (Krebs on Security, 10/14)
》 改良され続ける脅威:ランサムウェア「Crypto Locker」およびバックドア型不正プログラム「SHOTODOR」を確認 (トレンドマイクロ セキュリティ blog, 10/15)
》 マイクロソフトのアンチGmailキャンペーン「Scroogled」の行き着く先とは? (gigazine, 10/16)。アンチ NSA キャンペーンの方がうれしいのだが……。
》 スマホの加速度センサーで個人の端末を特定して追跡できることが判明、広告に悪用される危険性も (gigazine, 10/15)
加速度センサーは今やスマホの標準機能として装備されていますが、そのセンサーの精度には端末ごとにわずかな狂い(誤差)があり、この誤差は各端末ごとに特有の値であるため、あたかも個々の端末の"指紋"のような役割を果たします。つまり加速度センサーの指紋を調べることで個々の端末を区別することが可能というわけです。
マジか……。
》 iPhone 5sのアプリクラッシュ率はiPhone 5cの倍以上であることが判明 (gigazine, 10/16)。売れている間に直れば、まだいいのですが……。
》 防犯キャンパスネットワーク大阪を構築 〜大学が自主防犯対策進めて性犯罪被害を防止〜 (ポリスチャンネル, 10/16)。これ:
防犯キャンパスネットワーク大阪 (大阪府警)
ネットワークに参加する各大学が、各種防犯対策を推進するとともに、府警本部で講習を受けた女性担当者による「女性被害相談窓口」を設置し、府警と連携して性犯罪被害の防止に取り組んでいきます。
設立趣旨 (大阪府警)
大阪府内においては、女性に対する性犯罪が多発しており、特に強制わいせつの認知件数は、平成22年から3年連続して全国最多であるばかりか、本年に入ってからも前年を上回り、しかも被害者の大半は10から20歳代の若い女性であるという極めて厳しい情勢となっています。
そんな状況なのか……。
》 Twitterが仕様変更、フォローしていない相手からのDM受信設定を追加 (engadget, 10/16)
Twitter がダイレクトメッセージ(DM)まわりの仕様をいつのまにか変更しました。従来は「フォロワーにのみ送信できる」「自分がフォローしている相手からのみ受信できる」仕様でしたが、今後は「自分がフォローしていない相手からのDMを受信する」オプションが加わります。(中略) 企業アカウントなどには便利そうな変更です。
Oracle 2013.10 patch 出ました。計 127 件の欠陥を修正。 Oracle Database Server x 2、 Oracle Fusion Middleware x 17、 Oracle Enterprise Manager Grid Control x 4、 Oracle E-Business Suite x 1、 Oracle Supply Chain Products Suite x 2、 Oracle PeopleSoft Products x 8、 Oracle Siebel CRM x 9、 Oracle iLearning x 2、 Oracle Industry Applications x 6、 Oracle Financial Services Software x 1、 Oracle Primavera Products Suite x 2、 Oracle Java SE x 51、 Oracle and Sun Systems Products Suite x 12、 Oracle Virtualization x 2、 Oracle MySQL x 8。関連:
Java SE Downloads (Oracle)。Java SE 7u45 が公開されている。
About the security content of Java for OS X 2013-005 and Mac OS X v10.6 Update 17 (Apple)。Mac OS X 10.6、10.7 用の Java SE 6 Update 65。
オラクル、深刻な脆弱性を多数修正した「JRE 7 Update 45」を公開 (so-net セキュリティ通信, 2013.10.16)
Java SE 7 Update 45 Released (Oracle, 2013.10.15)
関連:
Oracle VM VirtualBox 4.3 Now Available (Oracle, 2013.10.15)
関連:
JVNVU#98285660: Oracle Outside In にバッファオーバーフローの脆弱性 (JVN, 2013.10.18)
Java 7 Update 45にアップデート後、Web Reporterの管理コンソールにログインできなくなる (マカフィー, 2013.10.18)
Aterm製品におけるクロスサイトリクエストフォージェリの脆弱性 (NEC, 2013.03.19)
AtermWR8700N と AtermWR8170N の更新ファームウェアが 2013.10.09 付で公開されていた。ダウンロード。やまぴ〜さん情報ありがとうございます。
Chrome 30.0.1599.101 公開。5 件のセキュリティ欠陥が修正されている。
》 台風26号は雨台風で風台風 類似台風での被害は? (yahoo, 10/15)
「知る権利」文言入れず 秘密保護法案 自民幹部が明言 (東京, 10/14)
自民党幹部は (中略) 「国家には『知らせない義務』もある」と説明した。
知る権利に一定の制限必要 自民・石破幹事長が見解 (朝日, 10/13)
石破氏は健全な民主主義のために「知る権利」は必要との考えを示したうえで、「知らしめたことで、国家の存立、国民の生命、財産、公の秩序が揺らいでしまうものに対しては、国家は国民に対して秘密は守る義務を負っている」と述べた。
そういうものでも「30 年後には公開」とかしてくれないと、主権者たる国民が検証できないでしょ……。秘密と公開と、ちゃんとセットにしてくれないと。
》 セキュリティ会社サイトが乗っ取り被害、Faxでドメイン登録業者だます? (ITmedia, 10/14)。Rapid7 がヤラレた件。 Register.com がショボかった。
》 ウィキペディア英語版にステマ記事を投稿し、儲けていた会社が。ウィキペディア側が注意呼びかけ (悪徳商法?マニアックス ココログ支店, 10/14)
》 Googleが自分の名前と写真を広告に流用する新機能の詳細と拒否する手順 (gigazine, 10/15)
》 【訃報】アンパンマンの作者である漫画家やなせたかしさんが逝去 (gigazine, 10/15)。合掌。
NSAは国内法を迂回するために外国からメールのアドレス帳やチャットの友達リストを取得している (techcrunch, 10/15)
NSAは「数億件の連絡先を収集している」(ワシントンポスト報道) (techcrunch, 10/15)
NSA collects millions of e-mail address books globally (Washington Post, 10/14)
元ねたは Old D-Link routers with coded backdoor (SANS ISC, 2013.10.15) で、「古い」D-Link ルータにバックドアがあったという話。 user agent が特定の値だと、認証すっとばしてデバイス設定を閲覧・変更できるみたい。 うーん。
関連:
Vulnerability Note VU#248083: D-Link routers authenticate administrative access using specific User-Agent string (US-CERT, 2013.10.17)
Update on Router Security issue (D-Link)。かなりの機種については更新ファームウェアが公開されている。 残りについても 2013.10.31 に用意される予定。
関連:
Important Security Update for D-Link Routers (Krebs on Security, 2013.12.02)
Update on Router Security issue (D-Link)。2013.11.28 付で更新されている。
Reverse Engineering a D-Link Backdoor (devttys0.com, 2013.10.12)
VU#248083: D-Link routers authenticate administrative access using specific User-Agent string (US-CERT, 2013.10.18 更新)
SM-3ブロック1B 初の斉射による迎撃実験成功(5回の実験で4回迎撃成功) (海国防衛ジャーナル, 9/19)。US の人はほんとニンジャ好きだよなあ。
SM-3ブロック1Bによる準中距離弾道ミサイル迎撃実験成功(これで5回連続) (海国防衛ジャーナル, 10/4)
》 Nordstrom Finds Cash Register Skimmers (Krebs on Security, 10/10)。ハードウェアキーロガー。
》 「JR東海」が「第二の東電」になる日 (JANJAN blog, 10/6)、 リニア新幹線と原発は無関係 (JANJAN blog, 10/11)
》 もう誰も関心を示さなくなったシリア (ワールド&インテリジェンス, 10/9)
》 防衛省平成26年度予算概算要求を読んで (アシナガバチの巣作り日記, 10/7)
》 機動戦闘車(試作車)が公開される (アシナガバチの巣作り日記, 10/14)
》 NTT西日本のフレッツ光会員サイト「CLUB NTT-West」にも、不正ログイン131件 (Internet Watch, 10/11)
サイト再開は、不正ログインされた可能性のあるアカウントのログインロックなどの各種対応が完了した後になる見込み。
さっき見たら、まだ再開してなかった。
》 韓国 サムスンに「悲観論」 収益源の高額スマホ不振 (東京, 10/13)
》 原発機器輸出:10年間で4割が「安全確認」手続きなし (毎日, 10/14)
》 Twitter、いまだ不審なハッカーに利用される (トレンドマイクロ セキュリティ blog, 10/11)
》 大阪地検・証拠改ざん事件、大坪弘道・佐賀元明両被告、最高裁への上告を断念
元特捜部長ら、上告断念 大阪地検・証拠改ざん事件終結 (朝日 / Yahoo, 10/8)
上告断念の元特捜部長、大坪氏 検察の起訴は自由自在 (いまにしのりゆき 商売繁盛でささもって来い!, 10/8)
検察の在り方について聞かれると
立て板に水のごとく話し出した。そこで、興味深い「実情」を
語った。
「検察は、自由裁量、フリーハンド。起訴、不起訴、
検察のさじ加減、右になり左になることを許された」
「告訴告発、外から来ますよね。今まで適当な理由において不起訴にしていた」
検察がほぼ独占する公訴権が、さじ加減でどうにでもなっていたというのだ。
大坪元特捜部長逮捕・起訴は、検察組織の重大な不祥事・歴史上の汚点 (郷原信郎が斬る, 7/18)
法律上、証拠上の問題点を無視し、本来刑事事件として立件すべきではない検察の内部的な問題を、無理やり犯人隠避事件に仕立て上げ被告人大坪らを逮捕して組織防衛を図った行為は、「公益の代表者」として公正に権限を行使すべき検察組織にとってその責務を自ら破棄した重大な不祥事であり、まさに、検察史上にも重大な汚点を残すものとの非難を免れない。
スケープゴートですか……。
大坪・佐賀断罪のために「検察の正義」を丸裸にした控訴審判決 (郷原信郎が斬る, 10/1)
》 「県民健康管理調査の闇」ダイジェスト (とある原発の溶融貫通, 10/9)。 福島原発事故 県民健康管理調査の闇 (岩波新書) の紹介。
》 消費税の闇をわかりやすく! 斎藤貴男が暴く動画 (ざまあみやがれい!, 9/27)
》 「大丸松坂屋が消費税8%化を踏まえて人員削減。消費税増税がリストラを加速する仕組みの解説。:てんたま氏」 (晴耕雨読, 10/12)。リストラというか、非正規雇用を加速してしまうわけですね。
SYM13-012: Symantec Management Platform エージェントにおける静的サービスキーの問題 (シマンテック, 2013.10.08)。Symantec Management Platform 7.0、7.1 の欠陥。 local user なら誰でもサービスキーをレジストリから読み出せてしい、ソフトウェアパッケージを復号できてしまう。 Symantec Management Platform 7.1 SP2 MP1.1 v7 ロールアップで修正されている。また Symantec Management Platform 7.5 にはこの欠陥はない。 CVE-2013-5008
BSRT-2013-011 Vulnerability in BlackBerry Universal Device Service wrapper impacts BlackBerry Enterprise Service 10 (BlackBerry, 2013.10.08)。Java 7 update 17 以前が入っている環境で問題となるそうで。 Java 7 update 18 以降にアップグレードすれば ok 。 CVE-2013-3693
[SA55122] FFmpeg Multiple Vulnerabilities (secunia, 2013.10.01)。FFmpeg 2.x に複数の欠陥。 git リポジトリ上では修正されているそうだ。
[SA55197] Apache mod_fcgid "fcgid_header_bucket_read()" Buffer Overflow Vulnerability (secunia, 2013.10.11)。remote からの DoS 攻撃、あるいはシステムの改変が可能。mod_fcgid 2.3.9 で修正されている。
Xen 方面 (http://xenbits.xen.org/xsa/)
[SA54838] Xen HVM Guest Hypervisor Stack Data Disclosure Weakness (secunia, 2013.10.01)。XSA-63。 Xen 4.2.x、4.3.x の欠陥。 ゲスト OS 上のローカルユーザがセンシティブ情報を取得できる。 patch があるので適用すればよい。 CVE-2013-4355
[SA54962] Xen 64-bit PV Guest Live Migration Hypervisor Memory Access Weakness (secunia, 2013.10.01)。XSA-64。 Xen 4.3.x、かつ RAM が 5TB 以上ある場合の欠陥。 ゲスト OS 上のローカルユーザがセンシティブ情報を取得、あるいは改変できる。 patch があるので適用すればよい。 CVE-2013-4356
XSA-65: qemu SCSI REPORT LUNS buffer overflow (Xen, 2013.10.02)。Qemu の欠陥。 CVE-2013-4344
XSA-66: Information leak through fbld instruction emulation (Xen, 2013.09.30)。Xen 3.3.x 以降の欠陥。 patch があるので適用すればよい (ただし Xen 4.2.x、4.3.x 用)。 CVE-2013-4361
XSA-67: Information leak through outs instruction emulation (Xen, 2013.10.10)。Xen 3.1.x 以降の欠陥。 patch があるので適用すればよい (ただし Xen 4.2.x、4.3.x 用)。 CVE-2013-4368
XSA-68: possible null dereference when parsing vif ratelimiting info (Xen, 2013.10.10)。Xen 4.2.x 以降の欠陥。 patch があるので適用すればよい (ただし Xen 4.2.x、4.3.x 用)。 CVE-2013-4369
XSA-69: misplaced free in ocaml xc_vcpu_getaffinity stub (Xen, 2013.10.10)。Xen 4.2.x 以降の欠陥。 patch があるので適用すればよい (Xen 4.2.x、4.3.x 用)。 CVE-2013-4370
XSA-70: (Xen, 2013.10.10)。Xen 4.2.x 以降の欠陥。 patch があるので適用すればよい (Xen 4.2.x、4.3.x 用)。 CVE-2013-4371
XSA-71: qemu disk backend (qdisk) resource leak (Xen, 2013.10.10)。HVM ゲスト用の qemu-xen qdisk バックエンドを使用している場合の欠陥。 patch があるので適用すればよい (Xen 4.2.x、4.3.x 用)。 CVE-2013-4375
Cisco 方面
Multiple Vulnerabilities in Cisco ASA Software (Cisco, 2013.10.10 更新)
Multiple Vulnerabilities in Cisco Firewall Services Module Software (Cisco, 2013.10.09)
》 時論公論 「JR北海道 "安全"を取り戻せるか」 (NHK 解説委員室, 10/5)
》 時論公論 「"水俣条約"今後の課題は?」 (NHK 解説委員室, 10/11)
》 魔性の楽器 〜ストラディヴァリウスの謎に挑む〜(仮) (NHK スペシャル, 11/3 放送予定)
》 病の起源 第3集 うつ病 〜防衛本能がもたらす宿命〜 (NHK スペシャル, 10/20 放送予定)
》 期限切れまで半年 WinXP (NHK, 10/10)
》 コインP 料金トラブルに注意 (NHK「かぶん」ブログ, 10/4)、 「一日最大○○円」…、確認せずに利用すると高額料金になることも!—コインパーキングの「表示」に関するトラブルが増えている— (国民生活センター, 10/3)
》 オープンソースの運用管理ツール「Hinemos」でリソースを監視する (sourceforge.jp, 10/11)
》 米Facebook、SSDをキャッシュとして利用するための技術「FlashCache 3.0」を公開 (sourceforge.jp, 10/11)
》 「炎上とプライバシー」問題に一石? SNSの記事を削除する「消しゴムボタン」法 (弁護士ドットコム / BLOGOS, 10/11)
》 Googleが新しい広告でユーザの顔と名前を勝手に使うのを, やめさせる方法 (techcrunch, 10/12)、 Googleアカウントは残しつつ、Google+プロフィールを削除するには (海外速報部ログ, 10/12)
》 GIGAZINE特別講演のプレゼン資料の一部を公開、当日はこんな感じでした (gigazine, 10/12)。興味深い内容。
結論:
脱・広告モデルはその名の通り
「広告を消す」のが正解
↓
つまり、お金を払うと広告が消える、
これだけでOK、実にシンプル
そうなるんだ……。
関連: Adblock Plusのホワイトリスト入りしているのは申込企業の9.5%にすぎないと公式発表 (gigazine, 10/8)
》 おかしなところで因果は巡る, iOS 7にWindowsのブルースクリーンの亡霊が (techcrunch, 10/12)
》 「JUSTインターネットセキュリティ」サービス終了のお知らせ (just-security.com, 10/8)。2013.12.24 で終了だそうです。 NOVさん情報ありがとうございます。関連:
ジャストシステム、無償で統合型の「JUSTインターネットセキュリティ」を公開 (窓の杜, 2012.02.15)
ジャストシステム、無償の「JUSTインターネットセキュリティ for スポーツ報知」 (窓の杜, 4/23)、 JUSTインターネットセキュリティ for スポーツ報知 (just-security.com)
ジャストシステム、“goo”と連携した「JUSTインターネットセキュリティ for goo」 (窓の杜, 5/29)、 JUSTインターネットセキュリティ for goo (goo)
》 教育再生実行会議の委員になった「佐々木喜一(成基コミュニティグループ代表)」は、学位商法大学から名誉博士号を買っていた? (悪徳商法?マニアックス ココログ支店, 10/11)。おいおいイオンド大学ってマジかよ……と思って日本ライフキャリア協会 理事佐々木喜一プロフィール (zcounseling.org) を見てみると、本当に
2003年教育分野に於ける業績により米国イオンド大学より名誉博士号を授与される
と書かれていてびっくり。現在は 404 になるようですが。
……というか、zcounseling.org 全体がアレになっているようで。
関連:
【イオンド大学】 (togetter, 10/11)。この件についてのつぶやきまとめ。
教育再生実行会議 (首相官邸)
大学入試改革:新共通テスト創設 段階別「点数グループ」 (毎日, 10/2)
大学入試:国公立大、2次の学力試験廃止 人物重視、面接や論文に−−教育再生会議検討 (毎日, 10/11)
》 RFC7034: HTTP Header Field X-Frame-Options (IETF)。Informational です。Standards Track ではありません。
》 Facebookが「名前で検索されない」 オプションを廃止—プライバシー・コントロールの問題点を露呈 (techcrunch, 10/11)
「私の名前が検索できる人」の設定が廃止された後、ユーザーができることはプロフィール中の個々の要素を手動で非表示にすることだ。これは相当に面倒な作業だ。基本データのページを開いて、多数の要素についてそれぞれ友達、知り合い以外の友達、自分のみなどのオプションを選択しなければならない。
プライバシーを気にするユーザーに念のためことわっておくが、現在アクティブになっているプロフィール画像とカバー画像は常に公開されている。つまり名前以外の情報を一切公開したくないのであれば要素の公開範囲を制限すると同時にプロフィール画像、カバー画像も空白にしておくべきだ。
腐った実装だなあ……。
》 「村上春樹氏 ノーベル賞」 産経が号外誤配信 (日本報道検証機構, 10/10)。ショボい。
CVE-2013-3897 関連:
Another Day, SpiderLabs Discovers Another IE Zero-Day (Trustwave SpiderLabs, 2013.10.08)
The Technical Aspects of Exploiting IE Zero-Day CVE-2013-3897 (Trustwave SpiderLabs, 2013.10.10)
》 Going beyond vulnerability rewards (Google, 10/9)。 Vulnerability Reward Program の対象をオープンソース製品にも広げる件。まずは以下を、だそうです:
- Core infrastructure network services: OpenSSH, BIND, ISC DHCP
- Core infrastructure image parsers: libjpeg, libjpeg-turbo, libpng, giflib
- Open-source foundations of Google Chrome: Chromium, Blink
- Other high-impact libraries: OpenSSL, zlib
- Security-critical, commonly used components of the Linux kernel (including KVM)
》 イオン 記事に反論し週刊文春を撤去 (NHK, 10/10)。週刊文春 2013年10月17日号の『「中国猛毒米」偽装 イオンの大罪を暴く』の件。 つまり焚書ですか……。 イオンユーザーとしては、詳細な情報提供をこそ期待したいのだが、 今のところこれだけ↓。
三瀧商事の偽装米混入に関するお客さまへのお詫びとお知らせ (イオン, 10/4)
「週刊文春」(10月17日号)の掲載記事に対する当社の見解と対応について (イオン, 10/9)。偽装を全く見抜けなかったのは確かなわけで……。
関連:
株式会社日本デリカフレッシュ・株式会社日本フーズデリカからのお詫び (フジパン, 9/25)
株式会社日本デリカフレッシュ・株式会社日本フーズデリカからのお詫び(第2報) (フジパン, 10/4)
なお、農林水産省が三瀧商事株式会社より流通した米穀は安全性に問題はないとしています。
フジパン自身では全く判断できません、という意味なんだろうか。
》 国家公安委員会・警察庁新型インフルエンザ等対策行動計画 (警察庁, 10/10)。 概要、本文。
》 未成年者の売春などの書き込みに「サイバー補導」、先行実施で89人を補導 (Internet Watch, 10/10)。10/21 から本格始動。
今年4月から警視庁や大阪府警、神奈川県警、兵庫県警など大都市を抱える10都道府県警察で試験的に実施したところ9月末までに未成年者97人を補導した。
》 誤認逮捕、処分せず…大阪府警「対象でない」 (読売, 10/10)
原因は、署員は経験の浅さ、監督する責任がある指揮官は能力不足などで、処分対象ではない
無能は処分対象でないという話。
ただし、府警は事態を重視し、関係した署員に口頭で指導を行うとともに、指揮官の警部には捜査部門から外す措置をとったという。
》 士の商売 (壇弁護士の事務室, 10/10)。「全国弁護士協同組合連合会」の「保釈保証書発行事業」が使いものにならない件。
》 秘密保護法案 自民「知る権利」盛らず 修正案 (東京, 10/10)。自民党案には「国民の知る権利」はない。
一方公明党は九日開いた法案検討チームの会合で「知る権利」に加え「取材の自由」も明記するよう政府に求める方針を決めた。政府が認めれば法案了承の党内手続きを進める。
はてさて、どうなりますやら。
》 「Deep Web(ディープWeb)」におけるサイバー犯罪の実態 (トレンドマイクロ セキュリティ blog, 10/7)。ホワイトペーパー。
「ディープWeb」とは、一般にサーチエンジンの巡回プログラムなどで自動的な情報収集が行えない Webサイトを指す用語です。ディープWebは、大抵の場合匿名通信システム「The Onion Router(TOR)」と一意的に関連付けられてきましたが、本ペーパでは、「TOR」や「Invisible Internet Project (I2P)」、「Freenet」のようなもっとも名の知れた「darknet(ダークネット)」や代替として用いられるトップレベルドメイン(TLD)、また「不正TLD」と呼ばれるものなど、匿名かつ追跡不可能なアクセスを保証するいくつかの他ネットワークを紹介しています。そして、サイバー犯罪者たちが商品取引するためにどのようにこれらのネットワークを利用するのかを分析し、販売されている商品と併せてこのディープWeb で開かれている闇市場を調査しました。
高2、県警HPに化学テロ予告…匿名化ソフトで (読売, 10/8)
発表によると、男子生徒は4月、自宅のパソコンを使って両府県警や県庁、県内にある中学校などのHPに、大阪市内の駅での化学テロや県警本部長らの殺害予告を、6回にわたって書き込み、学校や警察の業務を妨害した疑い。
男子生徒は、海外の複数のサーバーを経由して通信経路を分かりにくくする匿名化ソフト「Tor(トーア)」を使っていたが、県警は通信履歴(ログ)などを調べて、割り出した。
ホームページに爆破や殺人予告をした少年 書類送検 (和歌山放送, 10/7)
警察が情報の発信源をつきとめ、4月下旬、少年の自宅を家宅捜索、少年のパソコンなどを押収してアクセス記録などから裏付けを進めました。
4 月中には容疑者を割り出して PC を押収できているんですね。
》 James Forshaw 氏、Microsoft から賞金 10 万ドルを授与される
Congratulations to James Forshaw Recipient of Our First $100,000 Bounty for New Mitigation Bypass Techniques! (Microsoft BlueHat Blog, 10/8)
Microsoft pays out its first $100,000 bug bounty (Sophos, 10/9)
Microsoft awards $100,000 to researcher for attack technique (ZDNet, 10/8)
》 Webサイト向けのスパム対策フレームワーク「Sketchy」、独SoundCloudが公開 (sourceforge.jp, 10/8)
》 PHPerはSpikaのどこを見たのか? (レガシーズ 公式ブログ, 10/8)
》 活動報告 「レガシーコード in WordPress」 #phpcon2013 #wctokyo (レガシーズ 公式ブログ, 9/26)
マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される
LAC から情報が公開された。
日本の省庁などへ“水飲み場型攻撃”、IEのゼロデイを突き、8月に起きていた (Internet Watch, 2013.10.10)。 SA 2887505 が公開されたのは 9/18 だが、0-day 攻撃は「8月上旬」に起きていたのですか (発見は「8月下旬」だそうで)。
今回の事例は、攻撃対象となった標的側の組織の調査だけでなく、改ざんされた側の調査もラックが担当することができた珍しいケースだったという。その結果、両側の調査・情報から、IEのゼロデイ脆弱性を悪用し、特定の組織を標的とした水飲み場型攻撃だったことが判明したためだ。
日本における水飲み場型攻撃に関する注意喚起 (LAC, 2013.10.09)
水飲み場型攻撃に関する対策について (LAC, 2013.10.09)
2.2.4 Proxyの認証機能を有効にする
コンピュータがウイルスなどに感染し、そのウイルスが社外のネットワークに接続する事例が多く見られます。Proxyの認証機能を有効にしている場合、ウイルスが社外の攻撃者のサーバに接続するときに認証ができないことによる接続エラーが発生します。これにより情報漏えいや遠隔操作被害を抑制することができ、また、ウイルス感染の事実も確認ができます。
なるほど……。
MS13-080 にはこのような謝辞がある。
この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。
(中略)
Internet Explorer のメモリ破損の脆弱性 (CVE-2013-3893) について、マイクロソフトに協力してくださった LAC Co. の Yoshihiro Ishikawa 氏
抄訳版: APSB13-24: RoboHelp に関するセキュリティアップデート公開 (Adobe)
関連:
2013 年 10 月のセキュリティ情報 (月例) - MS13-080 〜 MS13-087 (日本のセキュリティチーム, 2013.10.09)
2013 年 10 月のマイクロソフト ワンポイント セキュリティ 〜ビデオで簡単に解説 〜 (日本のセキュリティチーム, 2013.10.09)
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2013 年 10 月 (シマンテック, 2013.10.09)
2013 年 10 月のセキュリティ更新プログラムに関してリスクを評価する (日本のセキュリティチーム, 2013.10.10)
防衛省、機動戦闘車の試作車両公開=最高時速100キロ、105ミリ砲備えた8輪車 (時事, 10/9)。動画あり。4 人乗りだなあ。タイヤはミシュランかぁ。
機動戦闘車の試作車両 写真特集 (時事, 10/9)。写真多数。
対中離島防衛になう「機動戦闘車」を公開 時速百キロ、空輸も可能 (産経, 10/9)
空輸は C-2 を使うそうで。
》 第3回 安全保障と防衛力に関する懇談会 開催 (10/9)
安全保障と防衛力に関する懇談会 開催状況 (首相官邸)
武器輸出三原則 見直しの意見相次ぐ (NHK, 10/9)
武器三原則見直しを=国家戦略で政府有識者会議 (時事, 10/9)
安保戦略、10年めどに大幅改定 包括指針策定で有識者懇 (産経, 10/9)
》 大量発生中!墜ちたベテラン弁護士 弁護士の懲戒処分件数、過去最高更新へ (東洋経済, 10/9)
》 ロシアでは、オリンピックに監視される (techcrunch, 10/7)
》 サイバー攻撃ツール「Blackhole」の作者、欧州当局が逮捕か (ITmedia, 10/9)、Blackhole malware toolkit creator 'Paunch' suspect arrested (ZDNet, 10/9)。ロシアで?!
》 JALのA350発注、サプライヤーもボーイング依存から転換なるか (Aviation Wire, 10/8)。当然そういう話になるよなあ。
一方で、導入が決まったA350は、エンジンを含めた日本の製造分担比率は12%となるものの、機体に限ると1桁台にとどまる。これはエアバス側がサプライヤーである日本企業の参入を阻んでいるのではなく、サプライヤー側が生産能力に限界があるため、ボーイング1社に絞ってきた経緯がある。
(中略)
経済産業省も、ボーイング1社に依存する体制はリスク回避を考えれば好ましくないとしている。JALのA350発注は、サプライヤーがよりリスクを抑えられる体制を構築できるかという点でも転機となる。
関連: アングル:米ボーイング、ANAからの受注合戦で背水の陣 (ロイター, 10/9)。しかし ANA も 787 で痛い目にあっているからなあ。
》 警視庁「機動サイバー班」が発足 (日テレ, 10/1)。警察庁ではありません。
26人のチーム (中略) サイバー犯罪に対する警視庁の捜査員全体の捜査力の向上と、初動捜査の強化を目的に設置
》 高速道路、下り右カーブ、追い越し車線停車の最悪状況 桜塚やっくん、どうすれば事故回避できたのか (J-CAST ニュース, 10/7)。今回、車内に残った人は全員存命なわけで。とりあえず、安易に社外に出るのはとても危険なようだなあ。
》 今東光が語る最澄の体罰への考え〜「弟子を叩くな、後輩を殴るな」〜 (とらっしゅのーと, 9/15)
週刊朝日編集長を懲戒解雇 (朝日, 10/8)。ハシシタ事件を受けて就任した編集長、“セクハラ常習”のため 10/8 付で懲戒解雇。なんじゃそりゃ……。
みのもんたさん次男:日テレ解雇「就業規則違反」 (毎日, 10/9)。10/8 付で諭旨解雇。
MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017)
IE 6〜11 に 10 9 件の欠陥。いずれもメモリ破壊が発生し、攻略 Web サイトを閲覧すると任意のコードが実行される。CVE-2013-3871
CVE-2013-3872
CVE-2013-3873
CVE-2013-3874
CVE-2013-3875
CVE-2013-3882
CVE-2013-3885
CVE-2013-3886
CVE-2013-3893
CVE-2013-3897。
Exploitability Index はいずれも 1。
CVE-2013-3893 と CVE-2013-3897 は 0-day。
セキュリティ アドバイザリ 2887505 (CVE-2013-3893) の Fix it については:
マイクロソフト セキュリティ アドバイザリ 2887505 で以前説明されていた Internet Explorer 用の自動 Microsoft Fix it ソリューションを適用した場合、 この更新プログラムの適用前または適用後に、 この回避策を解除する必要がありますか?
いいえ。マイクロソフト セキュリティ アドバイザリ 2887505 で以前説明されていた Microsoft Fix it ソリューション「CVE-2013-3893 MSHTML Shim の回避策」を実装したお客様は、この更新プログラムの適用前または適用後に Microsoft Fix it ソリューションを解除する必要は特にありません。
2013.10.11 付の MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) の改訂にあわせて CVE-2013-3871 を削除した。
MS13-081 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2870008)
Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT の Windows カーネルモードドライバに 7 件の欠陥。 ただし Windows 8.1、Server 2012 R2、Windows RT 8.1 にはこれらの欠陥はない。
OpenType フォントの解析の脆弱性 - CVE-2013-3128
Exploitability Index: 1
Windows USB 記述子の脆弱性 - CVE-2013-3200
Exploitability Index: 1
Win32k の解放後使用の脆弱性 - CVE-2013-3879
Exploitability Index: 2
アプリ コンテナーの特権の昇格の脆弱性 - CVE-2013-3880
Exploitability Index: 1
Win32k NULL ページの脆弱性 - CVE-2013-3881
Exploitability Index: 1
DirectX グラフィック カーネル サブシステムのダブル フェッチの脆弱性 - CVE-2013-3888
Exploitability Index: 2
TrueType フォントの CMAP テーブルの脆弱性 - CVE-2013-3894
Exploitability Index: 2
MS13-082 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2878890)
.NET Framework 2.0、3.0、3.5、3.5.1、4、4.5 に 3 件の欠陥。
OpenType フォントの解析の脆弱性 - CVE-2013-3128
Exploitability Index: 2
エンティティ拡張の脆弱性 - CVE-2013-3860
Exploitability Index: 3。DoS。
JSON 解析の脆弱性 - CVE-2013-3861
Exploitability Index: 3。DoS。
CVE-2013-3128 は MS13-081 と MS13-028 両方に関係している。
MS13-083 - 緊急: Windows コモン コントロール ライブラリの脆弱性により、リモートでコードが実行される (2864058)
Windows XP 64bit 版、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。 コモン コントロール ライブラリ (Comctl32.dll) の DSA_InsertItem 関数に整数オーバーフローする欠陥があり、 攻略 Web アプリケーションによって任意のコードが実行される。 ただし Windows XP 32bit 版、8.1、Server 2012 R2、Windows RT 8.1 にはこれらの欠陥はない。 CVE-2013-3195
Exploitability Index: 1
MS13-084 - 重要: Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2885089)
SharePoint Server 2007、2010、2013 および Office Web Apps 2010 に 2 件の欠陥。
Microsoft Excel のメモリ破損の脆弱性 - CVE-2013-3889
Exploitability Index: 1
パラメーター インジェクションの脆弱性 - CVE-2013-3895
Exploitability Index: 3
MS13-085 - 重要: Microsoft Excel の脆弱性により、リモートでコードが実行される (2885080)
Excel 2007、2010、2013、Office for Mac 2011、Excel Viewer、Office 互換機能パックに 2 件の欠陥。
Microsoft Excel のメモリ破損の脆弱性 - CVE-2013-3889
Exploitability Index: 1
Microsoft Excel のメモリ破損の脆弱性 - CVE-2013-3890
Exploitability Index: 3
MS13-086 - 重要: Microsoft Word の脆弱性により、リモートでコードが実行される (2885084)
Word 2003、2007 に 2 件の欠陥。
メモリ破損の脆弱性 - CVE-2013-3891
Exploitability Index: 1
メモリ破損の脆弱性 - CVE-2013-3892
Exploitability Index: 3
Silverlight 5 に欠陥。メモリの特定オブジェクトを適切に処理しないため、情報漏洩が発生。 CVE-2013-3896
Exploitability Index: 3
関連:
2013 年 10 月のセキュリティ情報 (月例) - MS13-080 〜 MS13-087 (日本のセキュリティチーム, 2013.10.09)
2013 年 10 月のマイクロソフト ワンポイント セキュリティ 〜ビデオで簡単に解説 〜 (日本のセキュリティチーム, 2013.10.09)
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2013 年 10 月 (シマンテック, 2013.10.09)
2013 年 10 月のセキュリティ更新プログラムに関してリスクを評価する (日本のセキュリティチーム, 2013.10.10)
CVE-2013-3897 関連:
Another Day, SpiderLabs Discovers Another IE Zero-Day (Trustwave SpiderLabs, 2013.10.08)
The Technical Aspects of Exploiting IE Zero-Day CVE-2013-3897 (Trustwave SpiderLabs, 2013.10.10)
2013.10.11 付で MS13-080 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2879017) が改訂されていた。CVE-2013-3871 は直っていないのだそうだ。 黒翼猫さん情報ありがとうございます。
V1.3 (2013/10/11):このセキュリティ情報ページを更新し、この更新プログラムによって解決される脆弱性から CVE-2013-3871 を削除しました。この CVE を元のセキュリティ情報に入れていたのは、文書作成上の誤りでした。CVE-2013-3871 については、将来公開するセキュリティ更新プログラムで対応する予定です。今回の更新は情報のみの変更です。システムを正常に更新済みのお客様は、措置を講じる必要はありません。
マイクロソフト セキュリティ アドバイザリ (2862973) マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム
マイクロソフト セキュリティ アドバイザリ (2862973) マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム が 2013.10.09 付で更新された。
V1.2 (2013/10/09):この更新プログラムが Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 に適用されないことを明示しました。また、すべての該当オペレーティング システムに関して、管理者およびエンタープライズのインストールの場合は、MD5 ハッシュ付きの証明書が環境に存在するかどうかを評価して、マイクロソフトが 2014 年 2 月に公開する予定である更新プログラムが広く配布される前にこれらの証明書を再発行する必要があることを改めてお知らせしました。
Windows 8.1 には最初から入っているのかな。
RoboHelp 10 に欠陥。メモリ破壊が発生し任意のコードの実行を許す欠陥がある。CVE-2013-5327
更新版の MDBMS.dll ファイルが公開されているので、標準配布版と入れかえればよい。 ダウンロードおよび入れかえ方法は APSB13-24 を参照。優先度は 3。
抄訳版: APSB13-24: RoboHelp に関するセキュリティアップデート公開 (Adobe)
Adobe Reader / Acrobat 11.0.04 の Windows 版にのみ欠陥。JavaScript セキュリティコントロールに欠陥があり、ブラウザ内で PDF を閲覧しているときに、JavaScript スキーム URI の起動が許可されてしまう。 CVE-2013-5325
Adobe Reader / Acrobat 11.0.05 で修正されている。優先度は 2。
抄訳版: APSB13-25: Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe)
》 関西電力2原発の安全審査 長期化か (NHK「かぶん」ブログ, 10/3)
福井県の大飯原発と高浜原発の運転再開を目指す関西電力は、原子力規制委員会の審査会合で周辺の3つの活断層について、「同時に動かない」として耐震性の評価を見直さない方針を示したのに対し、規制委員会は「決定的な証拠はない」として追加調査を求めました。関西電力はこれまでも同じ主張を繰り返していて、大飯原発と高浜原発の審査は長期化する可能性が出てきました。
》 平成25年10月7日京都地方裁判所判決(朝鮮学園vs在特会外)をどう読むか? (弁護士山口貴士大いに語る, 10/8)
やや敷衍して説明すると、無形損害に対する賠償額は、行為の違法性の程度や被害者の深刻さを考慮して、裁判所がその裁量によって定めるべきものであるが、人種差別行為による無形損害が発生した場合、人種差別撤廃条約2条1項及び6条により、加害者に対し支払を命ずる賠償額は、人種差別行為に対する効果的な保護及び救済措置となるような額を定めなければならないと解されるのである。(判決文67頁「6」参照)
》 AKB峯岸みなみ 本誌スクープ記事「ネット流出犯」逮捕! (週刊文春, 10/8)、AKB記事を発売前にネット掲載し逮捕 (ニッカンスポーツ, 10/8)。
容疑者は店頭に並ぶ前の雑誌を梱包(こんぽう)したり、仕分けしたりする作業に従事し、勤務中に投稿していた。
関連: 週刊誌記事 削除直前に拡散か (NHK, 10/8)
容疑者は投稿が発覚するのを恐れて9分後には記事を削除していましたが、削除される直前にこの投稿サイトを閲覧した別の人物が記事をコピーしていたことが分かりました。この人物は、その記事をインターネットの掲示板、2ちゃんねるに掲載しており、その結果、記事が発売前にさらにコピーされ拡散した疑いがあるということです。
その拡散した人は逮捕されないの?
》 Feds Arrest Alleged Top Silk Road Drug Seller (Krebs on Security, 10/7)
》 違法薬物サイト「Silk Road」が仮想通貨「Bitcoin」に与えた影響とは? (gigazine, 10/8)
》 バルサルタン:ノ社最高顧問が退職 疑惑引責は否定 (毎日, 10/2)。三谷宏幸・最高顧問 (9/30 付)。
》 Iranian cyberwar chief shot dead. Revolutionary Guard: Assassination? Don't 'speculate' (The Register, 10/3)
》 German NSA has deal to tap ISPs at major Internet Exchange (ars technica, 10/7)。BND。
NSAは匿名通信システム「Tor」の情報収集も行っていた---英報道 (日経 IT Pro, 10/8)。Snowden / Guardian 情報
元々最悪なNSA監視委員会、政府閉鎖で中断 (techcrunch, 10/7)
NSAスパイ活動を巡る茶番 (techcrunch, 10/8)
外国情報監視法に基づくNSAの監視についての聴聞会 (エフセキュアブログ, 10/4)
How the NSA might use Hotmail, Yahoo or other cookies to identify Tor users (ars technica, 10/7)
DNI Statement: Why the Intelligence Community Seeks to Understand Online Communication Tools & Technologies (U.S. Intelligence Community, 10/4)
》 新しいデータ時代のガバナンスを作ろう OpenID Foundation理事長、崎村夏彦氏 (日経 IT Pro, 10/4)
》 NRIセキュア、実際にパソコンを攻撃して脆弱性を報告するSIサービスを開始 (日経 IT Pro, 10/8)
》 日韓狙ったAPT攻撃「Icefog」に注意--急襲後、痕跡消して数日で立ち去る (ZDNet, 10/4)
》 東日本大震災で発生した津波が巨大化した原因となった場所を特定 (JAMSTEC, 10/8)。海底電位磁力計 (OBEM) による成果。
今回特定された短周期津波の発生地点は、プレートのすべりが大きい震源近傍から北東へ約100km離れた場所です。このことは、通常のプレート間の断層滑りによる表面の隆起だけでは、この津波の発生を説明できないことを意味しています。一方で、今回観測された短周期津波の発生地点は東北地方に大きな津波被害をもたらした明治三陸地震の震源域と同じ地域にあり、何らかの関係がある可能性が考えられます。今後は、このような津波の規模や発生場所及び発生原因をより詳細な掘削調査や詳細な海底調査などにより解明することで、沿岸での津波予測の精度を向上することが可能になると考えられます。
今回津波を検出した磁場データからは、津波の到達時間や高さに加えて、津波の到来方向を知ることもできます。これは従来の津波観測では不可能であった事です。津波の到来方向と到達時間を同時に検出できるということは、たった一点のOBEMのデータから津波の発生源の位置を知ることができることになり、津波の予測精度を大幅に向上させることに繋がります。現在、我々研究チームでは、この成果を踏まえ電磁気学的手法による津波の検出を高精度にするため、機器開発などの研究を進めております。
うぉぅ、OBEM を使うと到来方向までわかるのですね。 これがリアルタイムで得られれば……。
》 【申込受付中】第10回デジタル・フォレンジック・コミュニティ2013 in TOKYO (デジタル・フォレンジック研究会)。2013.12.16〜17、東京都新宿区、IDF会員10,000円・一般15,000円・学生5000円。
》 風呂釜に欠陥 部品の交換呼びかけ (NHK「かぶん」ブログ, 10/8)、 (株)世田谷製作所製「風呂がま(追いだき専用)」の点検・部品交換作業の実施について (東京ガス, 10/7)
》 中国政府、ミニブログ監視に200万人超を雇用---海外メディアが報道 (日経 IT Pro, 10/7)。まさに人海戦術。
》 「餃子の王将」店内で全裸写真撮影の2人逮捕 (ITmedia, 10/8)。餃子の王将で裸撮影の件、「威力業務妨害と公然わいせつの疑いでボーイズバーの経営者と店長を逮捕」。
関連: 「王将」で全裸写真、男性客2人逮捕 公然わいせつ容疑 (朝日, 10/7)
2人は「店の許可を得ていた」と容疑を否認している。 (中略) ●●容疑者は逮捕前の取材に、「ボーイズバーの利用客を喜ばせるつもりだった。『王将』は普段からよく利用していたし、従業員から事前に電話で了解も得ていた」と説明していた。
当該写真を見る限りでは、店側が全く同意していなかったとは思えないんだが……。
株式会社みずほ銀行に対する行政処分について (金融庁, 9/27)
金融庁による行政処分について (みずほ銀行, 9/27)
みずほ銀:揺らぐ信頼 反社会的勢力への甘い対応に業務改善命令 (毎日, 9/28)
みずほ銀:旧3行けん制、責任あいまい 組員に融資で (毎日, 9/28)
みずほは2010年12月に暴力団員などへの融資計230件、総額2億円超を把握していた。ところが「新規の融資を断る」との対応にとどまり、契約解消など根本対策に踏み込まなかった。担当役員は「対応済み」と認識し、経営トップにも報告しなかった。
みずほ銀:元副頭取が組員融資放置…発覚1週間、明かさず (毎日, 10/4)
みずほ銀・組員融資:「元副頭取が実態把握、問題視せず」 (毎日, 10/4)
みずほ銀は2010年12月、暴力団員らへの融資の存在を把握しながら2年以上、契約解消などの抜本的な対策をとらなかった。
みずほは、当時、法令順守を担当し、現在、不動産会社社長の元副頭取ら計5人の役員が問題を放置していたことも明らかにし、岡部副社長は「認識が甘く問題視しなかった。意図的な資金供与や癒着はなかった」と釈明。経営中枢による問題の放置が、厳しく問われることになる。
みずほ銀暴力団融資問題 岡部副頭取会見の主なやりとり (朝日, 10/4)
みずほの反社取引問題対応に非難相次ぐ 財界からも厳しい視線、取引先にも影響か (東洋経済, 10/4)
「みずほ暴力団融資問題」の底知れぬ闇 万全でなかった“反社対策” (日経ビジネス, 10/8)。タイトルとは異なり、一般的に行われている対応の概説。みずほの場合、「既存の対応策をすり抜けられた」ではなく、「対応して上に上げたが放置された」だからなあ。
》 日航、A350で777置き換え 777X採用ならず (Aviation Wire, 10/7)、JAL、エアバス社A350型機の導入を決定 (JAL, 10/7)。JAL の 777 計 46 機を A350 でリプレース。777X は導入されず。 JAL が「民間企業」としての本領をようやく発揮したということなのだろうが、 これ、新政府専用機の選定にもバリバリ影響しちゃうんじゃ……。
関連: UPDATE 1-JAL 、エアバスから初めて機材調達 A350型機31機を2019年から導入 (ロイター, 10/7)
ボーイングは2019年までに777─Xの就航を目指しているが、エアバスのA350型機はすでに試験飛行しており、納期に確実性がある。航空業界のアナリストによると、仮に777─Xを選択した場合、開発の遅れなどによる納入の遅延リスクがあったことも、JALがエアバスに切り替える理由になった。
787 はバリバリ遅れた上にバッテリートラブルでさんざんな目に遭わせてくれたからねぇ……。
[SA55071] GnuPG Compressed Packet Parser Denial of Service Vulnerability (secunia, 2013.10.08)。GnuPG 1.4.15、2.0.22 で修正されている。
SA-CONTRIB-2013-078 - Quick Tabs - Access Bypass (Drupal, 2013.10.02)。修正版が出ている。
JVNVU#96826639: ASUS Wireless-N150 Router RT-N10E に認証回避の脆弱性 (JVN, 2013.10.07)。修正ファームウェア 2.0.0.25 があるそうです。
JVNVU#96078234: iDRAC にクロスサイトスクリプティングの脆弱性 (JVN, 2013.09.24)。iDRAC7 用の修正ファームウェア 1.46.45 は 10/2 付で公開されてます。 iDRAC6 用の修正ファームウェア 1.96 はまだみたい。
JVNVU#99680484: HP System Management Homepage にスタックバッファオーバーフローの脆弱性 (JVN, 2013.09.25)。System Management Homepage v7.2.1 で修正されているそうで。
Cisco IOS XR Software Memory Exhaustion Vulnerability (Cisco, 2013.10.02)
マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される
関連:
いかにWindows XPが攻撃しやすいか (エフセキュアブログ, 2013.10.08)
現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。
攻撃が簡単な理由は、Windows 7ではASLRといってメモリアドレスをランダムに配置する機能が備わっているのに対して、Windows XPではそのような機能が無いため攻撃に利用可能な場所がそこらじゅうにあるからです。
三重県四日市市のIT推進課職員さんはわかりましたか。
Targeted exploit (Kaspersky, 2013.10.03)
》 「Mobage」への不正ログインに関するご報告とパスワード変更のお願い (DeNA, 10/7)。10/3〜6、316 件。 「他社サービスから流出した可能性のあるID/パスワードを利用した不正なアクセスと推測されます」。
》 在特会街宣は人種差別 京都地裁、「ヘイトスピーチ」に賠償命令 (京都新聞, 10/7)。まっとうな判決が出てよかった。関連:
京都地裁:在特会街宣に賠償命令…人種差別と認定 (毎日, 10/7)
解説:ヘイトスピーチ違法性認定…法規制議論に一石 (毎日, 10/7)
日本も加入する人種差別撤廃条約の第1条は、人種や民族に基づく区別や排除などを「人種差別」と定義。第4条では人種差別の根絶や、差別を扇動する宣伝活動などの処罰を加入国に求めている。日本では4条を「留保」し、この条約に基づく国内法は未整備だが、欧州を中心とした多くの国では規制法が整備され、その対象犯罪は「ヘイトクライム」「ヘイトスピーチ」と呼ばれている。
今回の判決は在特会の行為を「ヘイトスピーチ」とは表現しなかったが、「著しく侮辱的、差別的な多数の発言を伴う」として条約が禁止する人種差別と認定。公益目的も否定し違法性が阻却される余地はないと断じた。実質的にヘイトスピーチの違法性を認定したといえ、今後、国内の法規制議論が活発化することが予想される。
逆に言うと、立法府も行政府もどちらも手を抜いているために、ヘイトスピーチが放置されているということだなあ。
在特会・京都朝鮮学校襲撃事件、民事判決概要 (C.R.A.C, 10/7)
今回の民事判決が重要なのは、人種差別撤廃条約を直接の根拠として被告らの不法行為を「人種差別」と認定したことである。つまりこれは、刑事立法なしに、現状でヘイト・スピーチに対して、ヘイト・スピーチとして法的措置をとりうるということを示した画期的な判決だ。
》 吾妻ひでお「失踪日記」から8年、待望の続編「アル中病棟」 (コミックナタリー, 9/22)、 『失踪日記2 アル中病棟』を語る 吾妻ひでお×とり・みき (マトグロッソ)。昨日発売だったそうで。
吾妻 少しでもアル中病棟の面白さが表現できれば、と思って。
(中略)
吾妻 相当自由な、「アル中の合宿所」みたいな所なんですよね。だから普通の病院とはちょっと違う。
(中略)
吾妻 自分で出たいと思ったら出られるんですよ。そこも強調しておきたいところで。
》 国際監視団、シリアの化学兵器廃棄を開始 (ウォール・ストリート・ジャーナル日本版, 10/7)
》 Facebook のグラフ検索、投稿やステータスアップデートも新たな対象に (Sophos, 10/3)
》 なぜ、違法ダウンロードによる逮捕者が出ないのか? (Geek なぺーじ, 10/7)。 違法ダウンロードに対する刑事罰の導入に関する著作権法の視点 (松田政行, 2012.05.08) の紹介など。
関連: 違法ダウンロード罰則化 回復しない音楽売り上げが示すもの (ITmedia, 10/7)。ガラパゴス万歳。
》 IT運用への影響は? 17年ぶりの米政府機関の業務停止 (クラウド Watch, 10/7)。NIST がなあ、CVE 自体は引けるんだけど、リダイレクタが止まっているようで、CVE の中のリンクがたどれないんだよなあ。
》 RAIDサーバーで増加傾向、誤ったリビルドによるデータ消失を防ぐために 日本データテクノロジーに聞く (Internet Watch, 10/7)。RAID はバックアップではないので、バックアップを取りましょう。
》 「iOS 7」、機内モードへのショートカットは不正侵入に有利--研究者が指摘 (CNET, 10/7)
》 XP期限切れ、自治体「攻撃めったにない」 (読売 / Yahoo, 10/6)
三重県四日市市の (中略) 更新の (中略) 導入が始まるのは来年8月から。戸籍や住民票を扱う業務システムがXP専用で、システム交換が終わらないためだ。5か月近く、危険な状態が続くが、IT推進課職員は「サイバー攻撃はめったにあるものじゃないし、別に不安はない」とあっけらかんと話す。
こういう人が「IT推進課」職員なんだ……。実は植木等なんじゃね?
》 インターネットの深層に潜む闇市場:「Silk Road」は氷山の一角 (トレンドマイクロ セキュリティ blog, 10/4)
》 アキバが警官だらけに!! JKリフレ店摘発の余波?ビラまき規制も強化 (日刊サイゾー, 10/7)
ZeroAccess ボットネットの解析 (シマンテック, 10/2)。Bitcoin マイニング時の電力コストと、そこから得られる Bitcoin 額が釣り合わない (電力コストの方が大きい) のだが、「他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります」。
ZeroAccess:もっとも儲けの多いボットネット (エフセキュアブログ, 10/2)
関連: 仮想通貨「Bitcoin」とは一体何か、どういう仕組みかが一発で分かるまとめ (gigazine, 10/7)
》 山形県警がトラック・バス協会とドラレコの協定締結 〜提供画像を事件事故の捜査に活用〜 (ポリスチャンネル, 10/7)
》 トラクターの防盗対策をメーカーに要請 〜愛知・三重県警がクボタに状況を説明〜 (ポリスチャンネル, 10/7)。「トラクターの盗難は両県で多発しており、平成24年から今年8月末までに愛知県では51件(クボタ製トラクターが26件)の被害が、三重県では74件(同58件)の被害が発生」。約半数がクボタ製ですか。
》 【衝撃事実】ドコモユーザーが足をガクガクさせながら目を真っ赤にして涙目 / ドコモの「パケ詰まり」がひどすぎる件 (ロケットニュース 24, 10/5)
》 JPCERT/CC WEEKLY REPORT 2013-10-02 (JPCERT/CC, 10/2)
Microsoft は 9月25日、ネットワーク解析ツール「Microsoft Message Analyzer」の英語版を正式リリースしました。
「Microsoft Message Analyzer」は「Microsoft Network Monitor」の後継となるツールで、Windows 7 以降に対応しています。
》 第五回公開ワークショップ (Trusted Computing Group 日本支部)。2013.10.25、神奈川県横浜市、無料。
》 「日本の体罰に関する著作『体罰の言説』で、私は、何を、なぜ、どのように書いたのか」(アーロン・ミラー/星野恭子・訳) (NO BORDER, 9/16)
》 公安内部資料、ネット流出の立件断念…警視庁 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 10/6)
》 【重要】不正利用発生のご報告とパスワード変更のお願い (イープラス, 10/4)。他社漏洩情報に基づく不正アクセス。件数は非公開みたい。 やまぴ〜さん情報ありがとうございます。
》 多核種除去設備(ALPS)C系の工程異常の警報発生について(続報) (東電, 10/4)、 多核種除去設備C系統ホット試験時の「工程異常」の警報発生について (東電, 10/4)
》 富士重、大躍進の秘密は発想法にあった 「欠点の議論はやめ、強みに集中する」 (日経ビジネス, 10/3)
社内改革の結果、行き着いたビジネスモデルは、大手自動車メーカーとは真逆だ。
トヨタ自動車や日産自動車などは、国内では絶好調の軽自動車を強化し、新興国ではコンパクトカーを中心に市場を開拓している。一方、富士重は軽自動車生産から撤退。コンパクトカーにも手出しをしないと決めた。限られた経営資源は、走行性能や安全性に重きを置いた大きめのクルマに集中投下する。重点市場はあくまで先進国。新興国は富裕層に絞る。
》 <社説>小泉氏のゼロ論 原発問題の核心ついた (毎日, 10/5)
》 DNS amp - source address (cNotes, 10/4)
》 Apple の地図アプリ (Apple Maps) を盲信した運転手、空港滑走路に自家用車を突入させる (Sophos, 9/30)
》 新バックドア型不正プログラム「BLYPT」を確認 Javaを狙うエクスプロイトコードから誘導 (トレンドマイクロ セキュリティ blog, 10/4)
今回の攻撃で利用された脆弱性「CVE-2013-1493」については 3月に Java7 および Java6用の更新プログラムが公開されています。しかし、Java6 に関しては Oracle が既にサポートを終了しているためその後に確認された脆弱性に対してアップデートが提供されておらず、未修正の脆弱性に対する攻撃が継続されている状況です。Java6 を使用しているユーザは非常に危険にさらされていることになりますので、速やかに Java7 へのアップデートを行うことを強く推奨します。
》 Twitterの知られざる実態がIPOに向けネットで公開中、累積赤字400億円以上やユーザー数の推移などの詳細が明らかに (gigazine, 10/4)
》 長江の生態系はすでに崩壊している 上流では三峡ダム3つ分の発電所建設計画が進行中 (日経ビジネス, 9/20)
》 福島第一原発の作業員によるルポマンガ「いちえふ」掲載 (コミックナタリー, 10/3)
》 海の向こうの“セキュリティ”第85回 米英IT担当者の64%が脅威を経営陣に報告しないとの調査結果 ほか (Internet Watch, 10/4)
》 ほとんどのAndroid搭載端末にベンチマークテストの不正操作プログラムが発覚 (gigazine, 10/4)
テストした端末でベンチマーク・ブースターが一度も確認されなかったのはMotorolaの「Moto RAZRi」「Moto X」、GoogleブランドでLG製の「Nexsus 4」Asusの「Nexus 7」、NVIDIAの「NVIDIA Shield」となっていました。
》 ウイルスバスター クラウド プログラムアップデートのお知らせ (トレンドマイクロ, 10/3)。10/9。Windows 8.1、IE 11 対応。
》 北原子炉、再稼働裏付け 米分析サイト 温排水放出を確認 (産経, 10/4)、 More Evidence That North Korea Has Restarted Its 5 MWe Reactor (38 North, 10/2)
》 中国軍が訓練で不正「熟練兵投入、台本まで」と機関紙、異例の報道 (産経, 10/4)
砂漠地帯での戦車部隊による射撃テストが百発百中だった (中略) 戦車を走らせる際に砂が舞って視界を邪魔しないよう、あらかじめ水がまかれていた。また戦術を練る訓練では事前に台本が準備され、兵士はせりふを読み上げているだけだった
》 深刻な中国軍の腐敗 戦闘機や戦車が次々…忽然と消えた非ステルス兵器 (産経, 5/30)。旧式兵器を密売。
》 ニューヨークの子供病院がCTスキャン室を海賊船にした (秋元@サイボウズラボ・プログラマー・ブログ, 9/6)、 New York City Children’s Hospital Gets A Pirate-Themed CAT Scan Machine (BuzzFeed, 8/23)
マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される
関連:
IEの脆弱性についてのアップデート #Japan #Metasploit (エフセキュアブログ, 2013.10.02)
2013 年 10 月 9 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2013.10.04)
来週公開予定のセキュリティ更新プログラムで 2013 年 9 月 18 日 (日本時間) にセキュリティ アドバイザリ 2887505 で説明している Internet Explorer 8 および 9 の脆弱性についても解決する予定です。
ProFTPD 1.3.4d、1.3.5r3 の mod_sftp で整数オーバーフローするため、 remote から DoS 攻撃を受ける。 CVE-2013-4359
ProFTPd mod_sftp/mod_sftp_pam invalid pool allocation during kbdint authentication (kingcopes' blag, 2013.09.11)
bug 3973 - mod_sftp can be forced to allocate too much memory for keyboard-interactive authentication (proftpd.org)。patch が添付されている。
Mac OS X v10.8.5 用の追加のセキュリティ更新が出ている。 local user がディレクトリサービスのレコードをシステム権限で改変できる欠陥 CVE-2013-5163 が修正されている。
McAfee Agent 4.5 Patch 3、4.6 Patch 3 以前に欠陥。McAfee Agent が使用する 8081/tcp に対して攻略リクエストを送ることで DoS 攻撃が可能。 CVE-2013-3627
McAfee Agent のポリシー「ePOサーバーからの接続のみを使用する」を設定することで、影響を軽減できる。また McAfee Agent 4.5 Patch 3、4.6 Patch 3 用の HotFix 910062 で修正されている。 ただしマカフィーとしては McAfee Agent 4.8 系列への移行を推奨している (最新は 4.8 Patch 1)。
関連:
McAfee Security Bulletin - McAfee Managed Agent update fixes the "Denial of Service" vulnerability against the FrameworkService.exe (McAfee SB10055)
CERT/CC Vulnerability Note VU# 613886 (US-CERT)。現時点では存在しない。
McAfee Agent 4.6 Patch 3 HF910062 for Windows Release Notes (McAfee)
McAfee Agent 4.6 version information (McAfee)
Supported environments for Common Management Agent and McAfee Agent 4.x (McAfee)
うへぇ……。
お客様情報セキュリティに関する重要なお知らせ (Adobe)。状況の概要や、パスワードリセット手順、FAQ がある。まずはこれを読むのがよいかと。
Important Customer Security Announcement (Adobe, 2013.10.03)
Our investigation currently indicates that the attackers accessed Adobe customer IDs and encrypted passwords on our systems. We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, expiration dates, and other information relating to customer orders. At this time, we do not believe the attackers removed decrypted credit or debit card numbers from our systems.
290 万人分の顧客情報 (顧客名、暗号化されたクレジットカード / デビットカード番号等) が漏洩した。しかしクレジットカード / デビットカード番号の暗号化は、現時点では解読されてはいないと考えられている。 ただし、その根拠は示されていない。
As a precaution, we are resetting relevant customer passwords to help prevent unauthorized access to Adobe ID accounts. If your user ID and password were involved, you will receive an email notification from us with information on how to change your password. We also recommend that you change your passwords on any website where you may have used the same user ID and password.
漏洩した Adobe ID のパスワードは初期化した。該当者には電子メールで告知。同じ ID・パスワードを使っている web サイトがあれば、当該サイトのパスワードを変更されたい。
Illegal Access to Adobe Source Code (Adobe Secure Software Engineering Team (ASSET) Blog, 2013.10.03)
Adobe is investigating the illegal access of source code for Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products by an unauthorized third party. Based on our findings to date, we are not aware of any specific increased risk to customers as a result of this incident.
Adobe thanks Brian Krebs, of KrebsOnSecurity.com, and Alex Holden, chief information security officer, Hold Security LLC. holdsecurity.com for their help in our response to this incident.
Acrobat、ColdFusion、ColdFusion Builder については明確に漏洩していると。
Adobe To Announce Source Code, Customer Data Breach (Krebs on Security, 2013.10.03)
KrebsOnSecurity first became aware of the source code leak roughly one week ago, when this author — working in conjunction with fellow researcher Alex Holden, CISO of Hold Security LLC — discovered a massive 40 GB source code trove stashed on a server used by the same cyber criminals believed to have hacked into major data aggregators earlier this year, including LexisNexis, Dun & Bradstreet and Kroll. The hacking team’s server contained huge repositories of uncompiled and compiled code that appeared to be source code for ColdFusion and Adobe Acrobat.
Hold Security, LLC discovers hackers stealing source code for Adobe flagship products (Hold Security, 2013.10.03)
Over 40 Gigabytes in encrypted archives have been discovered on a hackers' server that appear to contain source code of such products as Adobe Acrobat Reader, Adobe Acrobat Publisher, and the Adobe ColdFusion line of products
Adobeがハックされる—290万人のユーザー情報とAcrobatのソースコードが漏洩 (techcrunch, 2013.10.04)
Adobeが290万人分のクレジットカード・ID・パスワード・名前を含むユーザー情報に不正アクセスされたことが発覚 (gigazine, 2013.10.04)
Adobe、290万人のユーザー情報と主要製品のソースコードに不正アクセス (日経 IT Pro, 2013.10.04)
Breach at PR Newswire Tied to Adobe Hack (Krebs on Security, 2013.10.16)。Adobe のソースが置かれたのと同じサーバに、PR Newswire から盗まれたデータもあったそうで。
Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に (ITmedia, 2013.10.30)、 Adobe Breach Impacted At Least 38 Million Users (Krebs on Security, 2013.10.29)。290 万 → 3800 万、Photoshop のソースも漏洩。
Adobeから流出したパスワードでのFacebookへの不正アクセスが判明 (gigazine, 2013.11.12)
そんな季節になりました。緊急 x 4、重要 x 4。IE、Office (Mac 版含む)、SharePoint、.NET Framework、Silverlight あり。 マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される も修正される予定。
関連: 2013 年 10 月 9 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2013.10.04)
》 米国務長官らが千鳥ケ淵墓苑で献花 (AFPBB, 10/3)
来日中のジョン・ケリー(John Kerry)国務長官とチャック・ヘーゲル(Chuck Hagel)国防長官は3日、東京千代田区の千鳥ヶ淵戦没者墓苑を訪れ、献花した。安倍晋三(Shinzo Abe)首相が5月に訪米した際、靖国神社を米国のアーリントン国立墓地(Arlington National Cemetery)になぞらえたことに対するけん制とみられる。
同行した米国防総省高官は記者団に対し、千鳥ケ淵戦没者墓苑はアーリントン国立墓地に「最も近い存在」だと説明。ケリー国務長官とヘーゲル国防長官は「日本の防衛相がアーリントン国立墓地で献花するのと同じように」戦没者に哀悼の意を示したと述べた。
》 三瀧商事 (三重県四日市) 中国産米や加工用米を主食用の国産米と偽装
三重の業者、国産米偽装の疑い 674店舗で販売 (中日, 9/30)
加工米転売し「主食米」に、コメロンダリングの実態 (TBS, 10/2)
「国産米使用」と銘打っていた商品に、大量の中国産のコメが混ぜられていたのです。その量は実に1500万食分。(中略) この問題の発覚後、イオンなどには、中国産以外のコメは「主食用の国産米」だったと説明していました。ところが、その説明も一転します。実際には、主食用に使ってはいけない「加工米」も混ぜていたことがJNNの取材でわかったのです。転用した量は、2010年からおよそ1000トン、1800万食分に上る可能性もあるといいます。
加工米を主食用と偽装、発表の「5倍以上」に混入 (TBS, 10/3)
これまで三瀧商事はイオンなどに対し、偽装は、昨年から、825トンおよそ1500万食分に対して行っていたと説明していました。しかし、JNNの取材で、偽装は3年前から始まり、当初の説明の5倍近いおよそ4000トンのコメに偽装したコメを混ぜていたことがわかりました。
FBI、悪名高いオンライン闇市場Silk Roadの所有者を逮捕、サイトを閉鎖—麻薬、殺し屋募集など容疑続々 (techcrunch, 10/3)。Tor でしかアクセスできない「違法物品のAmazon」ですか……。
Bitcoinが15%暴落。FBIによるSilk Road摘発の影響 (techcrunch, 10/3)
FBIがダークネット界の重鎮「Silk Road」の運営者を逮捕、Bitcoinが一時暴落 (マイナビニュース, 10/3)
米で闇サイト運営 巨額利益か (NHK, 10/3)
》 T・クランシー氏死去、代表作「レッド・オクトーバーを追え」 (ロイター, 10/3)。合掌。
》 総務省、国民が悪性サイトにアクセスしようとしたら注意画面を表示 (Internet Watch, 10/2)。ACTIVE の件。
具体的には、マルウェア配布サイトのURLをリスト化。それらのサイトにアクセスしようとしたインターネットユーザーを対象に、「悪性サイトである可能性があります。アクセスしますか?」といったダイアログウィンドウを表示する取り組みを挙げている。マルウェア配布サイトになっているサイトの管理者に対しても、適切な対策を取るよう注意喚起する。
関連: マルウェア対策でついに総務省が動くようです (山本 一郎 / Yahoo, 10/3)
まあ、どこぞのゲームプラットフォーム会社も、取締役が古いOSの旧式Androidをいつまでも使ってて、セキュリティホール開きっ放しで会議書類も契約書案もすべてダダ漏れで半年以上気づかなかったりしますからな。免許制必要でしょう。
JVNVU#94473961: マルチコア CPU の共有 L3 キャッシュに対するサイドチャネル攻撃 (JVN, 2013.10.02)。GnuPG 1.4.14 と Libgcrypt 1.5.3 で修正されている。
Linux KVM, VMware, Xen も影響を受けるとされているが、patch 等はない。 memory page de-duplication を無効にすることで回避できる模様。
libvert Releases (libvirt.org)。2013.10.01 に 1.1.3 が出ている。複数のセキュリティ欠陥が修正されている模様。
10/8 (US 時間) に Adobe Reader / Acrobat のセキュリティ更新出るそうで。
》 東芝、10月1日以降のBS/CS受信でCELL REGZAが映らなくなる不具合 55X1/X2やXE2シリーズなど約1万台が対象 (AV Watch, 10/2)。うわー……。kumoha683 さん情報ありがとうございます。
CELL REGZA「X1、X2、XE2シリーズ」 ご愛用のお客様へのお詫びとお知らせ (東芝, 10/2)
CELL REGZA 55X2 [55インチ] のクチコミ掲示板 (価格.com)
》 あ…ありのまま、昨日起こった事を話すぜ! 「JR 東日本が、Suica データの社外提供に関して、除外要望を受け付けるサイトを公開したのだが、それは社外にあった」。な、何を言っているのかわからねーと思うが (以下略)
Suica (JR 東)。ここから [各種手続き] タブを選択し、画面左側の「各種手続き」ウィンドウから、 Suica に関するデータの社外への提供 を選択すると、 Suicaに関するデータの社外への提供分からの除外のご要望受付フォームはこちら というリンクが現れる。 ところがこのリンクをたどると、jreast.co.jp ドメインでなく、 qooker.jp ドメイン に行ってしまう。
クッカーとは
Webアンケート、問い合わせ、イベントの受付、モニター募集など、アンケートの作り方やアンケートの方法が分からなくても既存のテンプレートで簡単にアンケートフォームが作成できる、パソコン・携帯電話・スマートフォンに標準対応したWebアンケートシステムです。
ちょっと待て……。 社外提供が問題視されているのに、除外要望受付が社外にあるってどういうことなんだ……。わけがわからないよ。
クッカーでJR東日本グループのアンケートとメールマガジンを運用 「気軽に運用できるのがいいですね。」 JR東日本ネットステーション株式会社 インターネットプロデュース部リーダー : 関根綾子様 (qooker.jp)
セキュリティコンサルティング 導入事例: 株式会社JR東日本ネットステーション (京セラコミュニケーションシステム)
》 日本版FTC3条件を提案、匿名化の課題を議論---パーソナルデータに関する検討会 (日経 IT Pro, 10/2)。「パーソナルデータに関する検討会」第2回会合の様子。
安岡上級コンサルタントはプライバシー情報などについて、現在の技術や環境ではマッチングすると再識別化できてしまう可能性が高いと指摘。(中略) 技術検討ワーキンググループ主査の佐藤一郎・国立情報学研究所アーキテクチュア科学研究系教授は、「匿名化すればもう安全と思われがちだが、現実には匿名化されてない属性情報から個人が特定できることが多い」と指摘。
匿名化すれば ok ok なわけでは全くないと。
》 原発テロ 〜世界が直面する 新たなリスク〜(仮) (NHK スペシャル, 10/7 放送予定)
》 違法行為とWhois情報公開代行に関する研究 (Geek なぺーじ, 10/2)
NSAが米国住民の通信データからソーシャルなつながりをグラフ化、米メディアの報道 (日経 IT Pro, 9/30)
こうした分析は以前は外国人に対してのみ実施が可能だったが、米国在住者と外国諜報機関との関係を探るためとして2010年に規制が撤廃され、NSAは対象者が外国人かどうか確認することなく、大量の通信メタデータから広範な分析を行う権限を得た。
米IT企業と擁護団体の連合体、米政府の透明性向上を目指す法案の支持を表明 (日経 IT Pro, 10/1)
米国:NSAによる通信傍受に関する資料の開示を求める訴訟(Jewel v. NSA)で,NSAに対し大量の資料の開示を命ずる判決 (サイバー法ブログ, 9/30)
》 Apple、フィッシング攻撃で利用される対象として急上昇 (トレンドマイクロ セキュリティ blog, 10/2)
》 視点・論点 「クロマグロの危機」 (NHK 解説委員室, 9/24)。政策研究大学院大学客員教授 小松正之氏。
日本のマグロ漁業も世界や新潟県の例に倣い新しい漁業と資源の管理制度を早急に導入し、日本としての責任を果たすべき時が来た。一刻の猶予も許されないのである。
》 くらし☆解説 「フランス発"魔法"のような認知症ケア」 (NHK 解説委員室, 9/19)。ユマニチュード (Humanitude)。
Q4 すごい変化ですね。ユマニチュードが魔法のようなケアといわれるのがよくわかります。具体的に、どんなケアなんですか?
A4 ユマニチュードの基本はこの4つがポイントです。
相手を見つめること。話しかけること、触れること、できるだけ自分でたつよう支援すること。こんな事かと思われるかもしれませんが、病気を治し、安全を最優先に考える病院では、こうしたケアが十分行えていないのが現状です。
Q10 このケアのテクニックは、とてもシンプルでわかりやすいので、家庭で介護する人たちにもできそうですね。
A10 そこがユマニチュードの魅力だと思います。実際、家族がいくら散歩に誘っても応じなかった認知症の高齢者が、ここにあるように、同じ目の高さで、正面から、顔から20センチくらいの距離で、ゆっくり見つめて話しかけると、手をつないで散歩に出かけるということがありました。こうしたテクニックを取り入れれば、一層愛情が伝わって、ケアがしやすくなることもあるのではないでしょうか。日本では、ほんの一部の病院でユマニチュードケアが始まったばかりですが、認知症の人や介護する人たちのためにも、もっと多くの人に知ってもらって広がっていけばと思います。
関連:
くらしの明日:私の社会保障論 「魔法」の高齢者ケア=大熊由紀子 (毎日, 8/28)
ユマニチュード (togetter, 8/25)。研修に参加したという方のツイートまとめ。
「ユマニチュード」イブ・ジネスト先生による講演会を開催しました (桜新町アーバンクリニック ブログ, 8/26)。資料あり。
》 消費者事故調1年 迅速な勧告課題 (NHK「かぶん」ブログ, 9/29)
》 『きんいろモザイク』終了を受け入れられず通販番組を本編として実況する人たちが恐い #kinmosa (NAVER まとめ, 10/1)。現実は厳しい。
》 始まった「攻撃者の組織化」、シンジケートがあなたを狙う (日経 IT Pro, 9/30)
》 刑事罰適用1年 売り上げ回復せず (NHK「かぶん」ブログ, 9/29)、壇弁護士のコメント (壇弁護士の事務室, 10/1)。ダウンロード違法化の件。 そりゃそうだろう。
》 数十の企業の内定者一覧がfacebookでダダ漏れな件 (ぱろすけのメモ帳, 9/30)、 FBで「内定者」公開状態…採用担当が設定ミス (読売, 10/2)
》 「Gmail」を巡る盗聴法違反訴訟、Googleの主張が退けられる (日経 IT Pro, 9/27)
》 英国防省、「数百人のハッカー」を募集(WIRED.jp) (日経 IT Pro, 10/2)
》 Microsoft、2013年上半期の各国当局による情報開示要請は約3万7000件 (日経 IT Pro, 9/30)、 Law Enforcement Requests Report (Microsoft)
》 ソフトバンクが端末分割代金を“未入金”として信用情報機関に誤登録、1.7万ユーザーに影響 (日経 IT Pro, 10/2)。事象が発生したのは 2009.10.08 から。 気づいたのは 2013.03、3月末までに経産省に報告したが、なぜか当該利用者への通知は 8〜9 月。
ユーザーへの通知が発覚から約5カ月も後になった点については、「影響範囲の確認や関係各所との調整のため、一般ユーザーへの公表までに時間がかかった」(同社広報)としている。
》 サイバー補導:警察庁、積極対応指示へ 性犯罪防止 (毎日, 10/2)
警察庁は近く、出会い系サイトやネット掲示板に下着販売や性行為を誘う書き込みなどをした少年少女については補導するよう全国警察に指示する方針を固めた。
》 武雄市に対する住民訴訟を提起しました (武雄市問題, 10/1)
「F&Bホールディングス企業連合を構成するに当たって、また、企業連合が他の自治体と契約を結ぶことによって武雄市が連帯債務を負っていることは法人に対する政府の財政援助の制限に関する法律第3条に抵触している」
関連: 提訴:ネット販売巡り武雄市を 市内の男性 /佐賀 (毎日, 10/2)
》 ピエリ守山を魅力的な商業施設として再生へ——不動産事業社らが出資 (はてなブックマークニュース, 9/26)。明るい廃墟、復活なるか。
》 サムスンがGALAXY Note 3のベンチマーク結果を20%増しにしていたことが発覚 (gigazine, 10/2)
》 子宮頸がんワクチン副作用 神奈川県内でも20人 (産経, 10/1)
》 “SNS世代” 不適切投稿防止へ研修 (NHK, 10/2)
》 「ACTIVE」の実施及び「ACTIVE推進フォーラム」の開催 (総務省, 10/1)
昨今、マルウェアは、ホームページを閲覧するだけで感染するなど、その感染手法が高度化・巧妙化しており、インターネット利用者は、自身で感染を認識し、自律的に対応することが難しくなっています。
このため、総務省は、複数の国内インターネット・サービス・プロバイダ(ISP)事業者やセキュリティベンダー等の事業者と連携して、国内のインターネット利用者を対象に、マルウェア配布サイトへのアクセスを未然に防止する等の実証実験を行う官民連携プロジェクト(ACTIVE:Advanced Cyber Threats response InitiatiVE)に取り組みます。また、この実施体制の強化を図るため、ACTIVE参加事業者による「ACTIVE推進フォーラム」を開催します。
第1回 ACTIVE 推進フォーラムは 2013.10.11 に東京都港区で開催されるそうですが、
○ 議事(予定):1 開会 2 総務大臣挨拶 3 ACTIVE推進フォーラム会長挨拶 4 閉会
挨拶しかないじゃん……。
関連: 総務省、国民が悪性サイトにアクセスしようとしたら注意画面を表示 (Internet Watch, 10/2)
》 モバイル端末を狙う不正アプリ、高リスクアプリの総数が100万に到達 (トレンドマイクロ セキュリティ blog, 10/1)
》 【速報】日本人個人発明家がアップルから3億円ゲット (栗原潔のIT弁理士日記, 9/26)
》 【速報】アップルのLightningコネクタの特許が登録されそうです (栗原潔のIT弁理士日記, 9/23)
》 「自炊代行」裁判の判決文が公開されました (栗原潔のIT弁理士日記, 10/2)
》 FreeBSD 9.2-RELEASE Release Notes (FreeBSD)。出ました。 9.2-RELEASE のサポートタイプは Normal なので、2014.09.30 までです。
》 PHPカンファレンス2013参加レポート (Yahoo! JAPAN Tech Blog, 9/30)
本当に怖いパフォーマンスが悪い実装
(中略)
ちなみに、紹介した内容はいずれもYahoo! JAPAN内での経験に基づいています。実は「これが原因で損失がいくら出ました…」という暴露話も準備していたのですが、ヤバすぎてストップがかかりまして、上記のような内容になったのでした。
マイクロソフト セキュリティ アドバイザリ (2887505) Internet Explorer の脆弱性により、リモートでコードが実行される
関連:
Hand Me Downs: Exploit and Infrastructure Reuse Among APT Campaigns (FireEye, 2013.09.30)
Metasploit Module Released for IE Zero Day (threatpost, 2013.10.01)
Internet Explorerのmshtml.dllに存在する解放済みメモリを使用する脆弱性(CVE-2013-3893)に関する検証レポート (NTTデータ先端技術, 2013.10.02)
Chrome 30.0.1599.66 が stable に。50 件のセキュリティ欠陥の修正を含む。
柏崎刈羽再稼働へ地元との信頼確立を (日経, 9/28)
泉田知事が東電に求めた申請の条件には、疑問が残る点がある。重大事故が起きたとき、放射性物質を外部に放出するフィルター付き排気(ベント)の実施に、県の事前了解が必要としたことだ。
そんな条件はつけていない。
平成25年9月28日付 日本経済新聞2面社説について (新潟県, 9/28)
新潟県が条件とした事項は、了解が得られない限りフィルタベント設備の運用開始ができない、という趣旨であり、実際に事故が発生した際の個別の対応に、県の了解を得るよう求めたものではありませんので、修正していただくよう要請いたしました。
条件付き承認に伴う知事コメント (新潟県, 9/26)
関連: 本間 龍 ryu.homma @desler さんのツイート:
日経は「新聞」を名乗っているが、実は若造でも黒塗りハイヤーに乗った記者連中が大企業社長に会い、おこぼれ記事を載せているだけの「企業広報誌」。本物の記者とはネタを自分で探すが、日経は企業が提供してくれるソースをただ載っけているだけ。今回も露骨に新潟県を攻撃する姿勢は本当に見苦しい。
— 本間 龍 ryu.homma (@desler) September 28, 2013
汚染水タンクずさん作業 ガムテープでふた、隙間充填材流れる 福島第1原発 元作業員が本紙に証言 (しんぶん赤旗, 10/1)。手抜きだらけの現場の実態。そりゃ漏れるわ。
汚染水漏れ タンク底部にボルト緩み (NHK「かぶん」ブログ, 9/21)
福島 汚染水漏れのタンク底に隙間 (NHK「かぶん」ブログ, 9/26)
ALPS 試運転再開、しかしすぐに停止。原因は点検作業用のゴム板の置き忘れ。現場力の低さが半端ない。
http://www9.nhk.or.jp/kabun-blog/200/168513.html (NHK「かぶん」ブログ, 9/27)
汚染水処理設備トラブル 処理を停止 (NHK「かぶん」ブログ, 9/28)
汚染水設備停止 ゴム板が排水口塞いだか (NHK「かぶん」ブログ, 9/29)
汚染水問題 リスクと対策の案が判明 (NHK「かぶん」ブログ, 9/27)
東京電力福島第一原子力発電所の汚染水の問題で、国の有識者会議が策定した汚染水を巡って想定されるリスクと対策の案の内容が明らかになりました。
会議がたくさんあってイミフなので、会議名称を明記してほしいなあ。 汚染水処理対策委員会(第7回) (経産省, 9/27) の、資料1 汚染水問題に係るリスクの洗い出しと対策の検討のことっぽいけど。
関連: 汚染水問題、船頭多くして苦境 (data-max.co.jp, 10/1)
汚染水問題が、事ここに至るまで被害が増大した理由の1つに、組織の縦割り、対策チームがバラバラに立ちあがり、効果的に機能していないという構造上の問題点がある。
汚染水対策に関する組織は、原子力災害対策本部(内閣府・安倍晋三本部長)の直轄である「廃炉・汚染水対策関係閣僚等会議」が汚染水問題に関する対応の方向性を検討。その下に、9月10日に立ち上がった茂木敏充経産相をチーム長とした「廃炉・汚染水対策チーム」があり、さらにその下に、現場部門の廃炉・汚染水対策現地事務所があり、そのなかに「汚染水対策現地調整会議」がある。それとは別に、原子力災害対策本部の下に、「廃炉対策推進会議」があり、そのなかに「汚染水対策委員会」(委員長・大西有三関西大学特任教授)がある。また、それとは別に、山名元京都大学教授を理事長とした国際廃炉研究開発機構のなかに「汚染水関連技術評価チーム(仮称)」があり、汚染水対策に関する組織が乱立している。
この記述には、原子力規制委員会が抜けている感じ。 危うい対策組織乱立 「コントロール」首相約束受け (東京, 9/17) にある図がわかりやすい。
廃炉・汚染水対策関係閣僚等会議 (首相官邸)。今のところ 9/10 の 1 回っきり。
汚染水対策委員会 (経産省)。 東電の、 福島第一原子力発電所1〜4号機の廃炉措置等に向けた中長期ロードマップ (東電) にも資料がある。
「汚染水対策現地調整会議」は、 福島第一原子力発電所1〜4号機の廃炉措置等に向けた中長期ロードマップ (東電) に資料がある。
特定原子力施設監視・評価検討会汚染水対策検討ワーキンググループ (原子力規制委員会)
海洋モニタリングに関する検討会 (原子力規制委員会)
》 LPI-Japan、「Linuxセキュリティ標準教科書」を公開、無償での配布を開始 〜最低限必要となるセキュリティの知識を体系的に学びたい方に最適な教科書〜 (LPI, 10/1)
》 要求高くて対価は低い 佐川がアマゾンとの取引撤退 宅配業界大揺れ (産経, 10/1)
》 日本は世界的なモバイル大国? (Geek なぺーじ, 10/1)
100人あたりのモバイルブロードバンド普及率で100を超えているのはシンガポール、日本、フィンランド、韓国、スウェーデンの5カ国のみです。 そういった国々では、一人で2台以上持っている人が結構多いということですね。
》 2013年10月の呼びかけ 「インターネットサービス利用時の情報公開範囲の設定に注意!」 (IPA, 10/1)
ビッグデータ:活用への模索 商機と情報管理前提に第三者機関 (毎日, 9/30)
社長に「我が社のビッグデータ活用はどうなっている?」と聞かれたら——「プライバシー問題」編 (日経 IT Pro, 9/30)
》 ワーキングプア 7年連続1000万人超 (しんぶん赤旗, 10/1)
》 Webアプリケーション向けのセキュリティスキャナ「skipfish」を使う (sourceforge.jp, 9/27)
》 強制起訴は見直しが必要だ (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 9/30)
》 GNU30周年にあわせ、rmsの伝記『自由としてのフリー(2.0)リチャード・ストールマンと自由ソフトウェア革命』日本語訳が公開 (YAMDAS現更新履歴, 9/29)
》 高速道の跨道橋 600超、老朽化点検せず 検査院、改善要求へ (産経, 10/1)、 高速道路架橋 25%は点検に不備 (NHK, 10/1)。 会計検査院 の調査で判明だそうで。
》 バルサルタン:宣伝は薬事法違反の恐れ 中間報告書 (毎日, 10/1)、 高血圧症治療薬の臨床研究事案に関する検討委員会 (厚生労働省)。第3回 (9/30) に中間報告書(案)。
》 ミクシィが「脆弱性報告制度」開始、報奨金も用意 (@IT, 9/30)、 脆弱性報告制度 (mixi)。 9/30 から開始だそうだけど、プレスリリースが出てるわけではないんですね。
》 時論公論 「JR西3社長に無罪判決 法人罰は必要か」 (NHK 解説委員室, 9/28)
》 激増する野生動物 〜福島の生態系に何が〜 (NHK クローズアップ現代, 7/11)。 大発生したネズミに食い荒らされる自宅、人を恐ず田んぼを掘り返すイノシシ。 人が 2 年半離れただけで、こうなってしまったと。
浪江町・幾世橋地区。
4月から、日中の立ち入りが自由にできるようになった区域です。
(中略)
放射線量が下がってきたため、もう一度ここで暮らしたいと願っていた半谷さん。
大がかりなリフォームが必要なほどのネズミの被害を受ける中、もはや住むことができないと感じています。
(中略)
浪江町の住民が避難生活を送る、二本松市の仮設住宅です。
ここで暮らす137世帯に聞き取り調査をしたところ、浪江町にある自宅がネズミの被害を受けていると答えたのは、111世帯。 80%を超えていました。
》 脳神経の異常な働きで「過食」に (NHK「かぶん」ブログ, 9/29)
》 WSUS 4.0 (Windows Server 2012) アンインストール手順 について (Japan WSUS Support Team Blog, 10/1)
》 アルインコ、「不正アクセスによる顧客情報流出とサイト改ざん」を公表 (hamlife.jp, 9/30)
》 時論公論 「動き出す北極海航路」 (NHK 解説委員室, 9/17)
》 徹底検証:Javaのネイティブレイヤに存在する脆弱性利用、2013年以降増加を確認 (トレンドマイクロ セキュリティ blog, 9/30)、 2013年上半期、Javaエクスプロイトが急増 (エフセキュアブログ, 10/1)
》 商品が届かず連絡もつかない〜怪しいネットショップが大量発生中 (so-net セキュリティ通信, 9/30)
》 小泉元首相がまた安倍批判「汚染水は漏れている!」 (ゲンダイネット / livedoor, 9/28)
》 8月の国内フィッシング事情:過去最高のフィッシングサイト数を記録 (so-net セキュリティ通信, 9/25)
》 Monthly Research 「VirtualBoxを利用した実行時検査の自動化」 (FFRI, 9/24)
》 「自炊代行」は著作権侵害 初の司法判断 東京地裁 (ITmedia, 10/1)、 判決文
》 暴風域のとてつもない大きさが圧巻、NHK風に再現した伊勢湾台風の進路図 (Internet Watch, 9/30)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)