bash 4.3.24, 4.2.47, 4.1.11, 4.0.38, 3.2.51, 3.1.17, 3.0.16 以前に欠陥。環境変数の処理に欠陥があり、特殊な環境変数を設定することにより任意のシェルコマンドを実行できる。 CVE-2014-6271
Bash specially-crafted environment variables code injection attack (Red Hat, 2014.09.24)。Red Hat / CentOS のように /bin/sh が bash であるような OS では、影響範囲が多岐に渡る。 CGI でのサブシェル起動や DHCP クライアントでのシェルスクリプト実行、 各種サーバーでのシェルスクリプト実行など。
Debian Almquist shell (ウィキペディア)。いまどきの Debian, Ubuntu の /bin/sh は bash ではなく dash (NetBSD ash の子孫) なので、Red Hat / CentOS のような広汎な影響は生じない。
'Shell Shock' Bash bug blows open Linux, OS X systems to hackers (The Register, 2014.09.24)。OS X も影響を受ける。bash でしたねそういえば。
BASHの脆弱性でCGIスクリプトにアレさせてみました (ワルブリックス株式会社, 2014.09.25)
bashの脆弱性がヤバすぎる件 (x86-64.jp, 2014.09.25)
GNU bash Environment Variable Command Injection (exploit-db.com, 2014.09.25)
Bash Environment Variables Code Injection Exploit (exploit-db.com, 2014.09.25)
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた (piyolog, 2014.09.25)
JPCERT/CC Alert 2014-09-25: GNU bash の脆弱性に関する注意喚起 (JPCERT/CC, 2014.09.25)
Norman Wilson @oclsc さんのツイート:
CVE-2014-6271 looks like a variant of a problem we fixed ~30 years ago in Research UNIX sh(1). There are no new bugs in the universe.
— Norman Wilson (@oclsc) 2014, 9月 24歴史は繰り返す……。まぁそもそも GNU 自体が、あえて車輪を再発明するプロジェクトだからなあ。
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6721) (もろず blog, 2014.09.27)
CVE-2014-6721 修正 (不十分につき注意)
Bash: Bash-4.3 Official Patch 25、 Bash-4.2 Official Patch 48、 Bash-4.1 Official Patch 12、 Bash-4.0 Official Patch 39、 Bash-3.2 Official Patch 52、 Bash-3.1 Official Patch 18、 Bash-3.0 Official Patch 17、 Bash-2.05b Official Patch 8
Red Hat: RHSA-2014:1293-1。
解説: Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)Ubuntu: USN-2362-1: Bash vulnerability。
解説: What is the CVE-2014-6271 bash vulnerability, and how do I fix it?Mac OS X: not yet
VMware: not yet。 関連: VMware investigating bash command injection vulnerability aka Shell Shock (CVE-2014-6271, CVE-2014-7169) (VMware, 2014.09.24)
bashに存在する「Shellshock」脆弱性(CVE-2014-6271)に対する弊社製品での対応に関して (トレンドマイクロ, 2014.09.26)。IDS / IDP 用ルールを提供。
CVE-2014-6271 だけじゃなかった: CVE-2014-7169
CVE-2014-6271 の修正では足りない模様。新たに CVE-2014-7169 が割り振られたそうで。
Re: CVE-2014-6271: remote code execution through bash (oss-sec ML, 2014.09.25)
Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271) (Red Hat)
I heard that the patch for CVE-2014-6271 is incomplete. How can I mitigate this issue?
bash_ld_preload を使った追加の回避策が示されている。ただし極めて限定的なテストしかされていないそうだ。
上原 哲太郎 @tetsutalow さんのツイート:
bashの件、本質は変数値で関数定義する機能のせい。x='() {…'なら変数内容を関数xの定義と見なすのだが、variable.cの中で何も考えずにparse_and_execute()に突っ込んだので関数定義以降に;挟んでやれば任意のコードが挿入可能。
— 上原 哲太郎 (@tetsutalow) 2014, 9月 25詳しく見たい人はvariable.cを"() {"で検索して前後を読むといいです。パッチはparse_and_execute()に、関数定義のみ&マルチステートメント禁止で解釈するという機能を加えようとしたようだけど、場当たり的にやると穴が残りそう…というかもう穴が指摘されてる。
— 上原 哲太郎 (@tetsutalow) 2014, 9月 25
CVE-2014-6271 + CVE-2014-7169 修正
Bash: Bash-4.3 Official Patch 26、 [UPDATE] Bash-4.2 Official Patch 49、 Bash-4.1 Official Patch 13、 Bash-4.0 Official Patch 40、 Bash-3.2 Official Patch 53、 Bash-3.1 Official Patch 19、 Bash-3.0 Official Patch 18、 Bash-2.05b Official Patch 9。 CVE-2014-7169 の分。
Red Hat: RHSA-2014:1306-1。
解説: Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271, CVE-2014-7169)Ubuntu: USN-2363-1、 USN-2363-2。
解説: 2014年9月26日号 14.10の開発・“shellshock”とその対応・UWN#384 (Ubuntu Weekly Topics, 2014.09.26)この問題への対応において,追加の脆弱性(メモリ破壊バグ)をRed Hatが発見しており,CVE-2014-7186とCVE-2014-7187としてハンドリングされています。この2つの問題についてはUbuntuはまだ未対応
基本的にUbuntuや現在のDebianであれば,/bin/shはdash(注3)のsymlinkであり,bashが直接呼び出されていなければこの問題の影響を受けません。ただし,「/bin/shがdashのsymlinkである」は不変の設定ではなく,「sudo dpkg-reconfigure dash」を実行することで変更できます。
Vine Linux: bash にセキュリティホール
Mac OS X: OS X bash Update 1.0 - OS X Mavericks、 OS X Mountain Lion、 OS X Lion
ソースを使ってコンパイルする方法: Bash remote vulnerability (AlBlue’s Blog, 2014.09.25)
各種 NAS
-
関連: bash脆弱性(shellshock) でQNAPのNASと向き合ったひと幕のお話 (デジモノに埋もれる日々, 2014.09.30)
Synology: Synology 製品セキュリティ勧告
Buffalo: not yet
IO DATA: not yet
-
関連その 1
MacやUNIX系OSをご利用の方はパッチを当ててください – bashの重要な脆弱性 (ペンタラボ, 2014.09.25)
bash の脆弱性に対する攻撃(“ShellShock“攻撃)を確認 (IBM Tokyo SOC Report, 2014.09.27)
CVE-2014-6271 で fix されていない CVE-2014-7169 の脆弱性って何か確認してみました (CLARA ONLINE TECHBLOG, 2014.09.26)
bashにおける脆弱性「Shellshock」について (ネットエージェント, 2014.09.26)
攻撃事例
anonymous / gist:929d622f3b36b00c0be1 (github gist, 2014.09.26)
Linux ELF bash 0day: The fun has only just begun... (Malware Must Die, 2014.09.26)
First wave attack on Linux/Apache2 (bash-bug ML, 2014.09.26)
CVE-2014-6271 と CVE-2014-7169 だけじゃなかった (やめてくれ……): CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278
対応状況は Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ にまとめることにしたのでそちらを参照。
hannob/bashcheck (github)
demonstration of CVE-2014-7186 ShellShock vulnerability (bash-bug ML, 2014.09.26)
Fwd: Non-upstream patches for bash (oss-sec ML, 2014.09.25)。CVE-2014-7186、CVE-2014-7187。patch あり。
Bash bug: apply Florian's patch now (CVE-2014-6277 and CVE-2014-6278) (lcamtuf's blog, 2014.09.27)、Florian's patch
関連その 2
マカフィーセキュリティ情報 – Bash Shellshock Code Injection Exploit Updates (マカフィー, 2014.09.28)
脆弱性の影響を受けている未対応製品
- Boot Attestation Service (BAS) / Open Virtual Appliance (OVA)
- Email and Web Security (EWS) / IronMail
- Management for Optimized Virtual Environments (MOVE) AntiVirus (AV) Security Virtual Appliance (SVA) (MOVE AV SVA)
- Management for Optimized Virtual Environments AntiVirus Security Virtual Appliance Manager (MOVE AV SVA Manager)
- McAfee Email Gateway (MEG)*
- McAfee Firewall Enterprise Control Center (MFE CC)*
- McAfee SSL VPN (VPN)
- McAfee Web Gateway (MWG)*
- Next-Generation Firewall (NGFW) / Stonesoft*
- Security Virtual Appliance (SVA)
ファイアウォール内のサーバに対するShellshockを利用した攻撃 (葉っぱ日記, 2014.09.26)。イントラサイトが ShellShock 攻撃を受ける条件を満たし、かつ、攻撃者がイントラサイトの URL を知っているだけで、イントラサイトを攻撃できてしまうという指摘。
Shellshockの影響が及ぶケースをまとめてみた (piyolog, 2014.09.28)。CVE-2014-6271、CVE-2014-7169。
Why We Have Moved to InfoCon:Yellow (SANS ISC, 2014.09.26)。今も依然として黄色です。
2014.10.02 追記: 今は緑に戻ってます。
Advisory (ICSA-14-269-01) Bash Command Injection Vulnerability (ICS-CERT, 2014.09.26)
bashに存在する脆弱性「Shellshock」を利用した攻撃を確認、不正プログラム「BASHLITE」へ誘導 (トレンドマイクロ セキュリティ blog, 2014.09.26)、bashに存在する「Shellshock」脆弱性についての注意喚起 (トレンドマイクロ)
bashに存在する脆弱性「Shellshock」を利用したボットネットによる攻撃を確認 (トレンドマイクロ セキュリティ blog, 2014.09.29)
Shellshock: Bash Bug 脆弱性について知っておくべきこと (シマンテック, 2014.09.29)
GNU bash の脆弱性 〜 shellshock 問題〜 について (日本シーサート協議会, 2014.09.27)
bash 0dayマルウェア感染の「real time」リバースエンジニアリング (0day.jp, 2014.09.27)
2014.10.02 追加:
緊急コラム: bash 脆弱性( CVE-2014-6271 )の影響範囲の調査方法について (NTT データ先端技術)、緊急コラム「 bash 脆弱性( CVE-2014-6271 )の影響範囲の調査方法について」が掲載されました。 (熊猫さくらのブログ, 2014.09.30)。auditd、TaskTracker、AKARI、SystemTap。
FreeBSD で bash shellshock を監視するには (Hiroki Sato, 2014.10.01)。FreeBSD で auditd を使う方法。
shellshockはPerl/CGIでsystem()にダメージありや無しや (ろば電子が詰まっている, 2014.10.01)
OpenVPN Servers Vulnerable to Shellshock (Softpedia, 2014.09.30)
JVNVU#97219505: GNU Bash に OS コマンドインジェクションの脆弱性 (JVN, 2014.10.02 更新)。日本のベンダ情報がまとまっていて有用。
2014.12.09 追加:
Bashの脆弱性を標的としたアクセスの観測について(第3報) (@police, 2014.12.09)。8080/tcp は QNAP の NAS で使われてます。
ChangeLog2014.09.27 - 「CVE-2014-6271 + CVE-2014-7169 修正」「関連」を追加。
2014.09.29 - 「CVE-2014-6271 と CVE-2014-7169 だけじゃなかった (やめてくれ……)」「関連その 2」を追加。 その他追加:
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6721) (もろず blog, 2014.09.27)
Vine Linux: bash にセキュリティホール。 CVE-2014-6271 + CVE-2014-7169 対応。
2014.10.02
「CVE-2014-6271 + CVE-2014-7169 修正」に OS X bash Update 1.0 と NAS 関係を追加。
「CVE-2014-6271 と CVE-2014-7169 だけじゃなかった (やめてくれ……): CVE-2014-7186、CVE-2014-7187、CVE-2014-6277、CVE-2014-6278」 に Bash-4.3 Official Patch 28 等を追加。
「関連その 2」に 5 件追加。
2014.10.03
2014.12.09
Bashの脆弱性を標的としたアクセスの観測について(第3報) (@police, 2014.12.09)。8080/tcp は QNAP の NAS で使われてます。
■ 2014.09.24
》 Windows Server 2003 サポート終了対策 (知北直宏 / slideshare, 9/20)
》 これは日本の話です (NHK クローズアップ現代, 9/24)。『9/25のクローズアップ現代は、「おなかいっぱい食べたい 〜調査報告・子どもの貧困〜」です』。 これが「日本を取り戻す」という言葉の意味ですかね。
》 「女性が普通に働ける社会を」 マタハラ問題でシンポ (東京, 9/24)
》 子供が学ぶべきはプログラミングよりもデジタルリテラシーだ (readwrite.jp, 9/24)。その前に教員が学ばないと駄目なんだよなあと思ったら、
Lead The Wayプロジェクトでは、サイエンス、テクノロジー、エンジニアリング、数学のコースを、カリキュラムの開発及び教師のトレーニングを通して国中の学校に提供している。これにはコンピュータ・サイエンスの教育のための訓練や、様々な背景を持った生徒達に授業に興味をもってもらう方法も含まれている。
この団体は昨年、プログラムの試験運用を行い、今年から全国の学校で稼働させる。
「最初の年で、2週間の集中トレーニングコースを受けた教師の80%が、学校に戻って生徒にこのコースを教えることに自信が持てた、といっている」とベネットは言う。教員支援もちゃんと入ってる。すばらしい。
関連:
ITリテラシーの大切さを改めて考えるのに相応しい良記事をご紹介 (山本 一郎 / Yahoo, 9/24)
コンテンツにお金を払うということ (エフセキュアブログ, 9/18)
》 「STOP!! パスワード使い回し!!」について考えました。 ((n), 9/24)
今回の「STOP!! パスワード使い回し!!」を継続しつつ。今後は「STOP!! 弱いパスワード!!」キャンペーンといったサービス提供側とそのユーザが一丸となって不正ログインに立ち向かうようなキャンペーンが実施されればいいな。と思いました。
度々、穴となる「秘密の質問」もSTOPしてくれると嬉しいですね。》 jQuery site popped to serve malware slop - Visited September 18? Time to REFORMAT. (The Register, 9/24)
》 子どもの声は騒音か、それとも希望の響きか (保坂展人 / 朝日, 9/22)。人それぞれ、だからなあ。
》 Microsoftの「Office 365」を学生と教師は無料で利用可能に (gigazine, 9/24)
》 「iPhone 6 Plus」に脆弱性 50口径ライフルで撃たれるとやっぱり壊れる (ねとらぼ, 9/24)。うーん、それ、 STANAG 4569 レベル 4 が必要なんじゃないのか。強化して iPhone だけ守っても仕方ないので、 装甲車に入れておいてください。
》 脆弱性を識別するCVE番号の新体系による採番のお知らせ (JPCERT/CC, 9/24)。どのように変わったのかは一切説明していないという……。 New CVE-ID Syntax (CVE) を見てね。
》 差別を知り、コスモポリタンになること――陣野俊史『サッカーと人種差別』 (Book News, 9/24)
》 HDD約3万5000台を運用した実績からSeagate製品の圧倒的壊れっぷりが明らかに (gigazine, 9/24)。明らかに違うなあ。
-
メディア向け試乗会開催
リニア:あっさり「500キロ」突破、揺れは…「地上最高速」体験 (毎日, 9/22)
リニア、あっさり時速500キロ 乗り心地を記者が体感 (朝日, 9/22)
リニア内の磁界、その強さは? 客室や通路を記者が測定 (朝日, 9/23)
時速500キロ!リニア「本物」に乗ってきました メディア限定、山梨実験線試乗レポ(動画あり) (東洋経済, 9/23)。この「金属探知機」は営業時にも実施するんですかねえ。 ただでさえ、乗換に時間がかかると言われてるのに……。
まとめると、こうか:
座席の幅が狭い (特急並み)。
車窓は真っ暗。圧迫感あり。
割と揺れる。 乗り心地は 300 系よりは良いが、N700 系には劣る。
浮上走行から車輪走行への移行時に、飛行機の着陸時のような接地ショックあり。
耳がツンとなる人も。高低差 400m を高速通過したため?
500km/h 走行時は飛行機並みにウルサイ。
閉所恐怖症気味の私には無理な気がしてきた。
地下1400メートルにトンネル リニア、技術未確立のまま着工へ (カナロコ, 9/6)
「メリットはスピードぐらい。エネルギー効率は東海道新幹線と比べ3分の1から4分の1だ」。そう指摘するのは独立行政法人・産業技術総合研究所(茨城県つくば市)で、エネルギー消費やリニア技術などを専門に研究している阿部修治首席評価役(60)。
試算によると、乗客1人当たりに使用するエネルギーは東海道新幹線の4〜5倍。消費電力で比べても時速300キロで走行した場合で新幹線の2倍になるという。
乗客定員が1編成千人と少ないのとエネルギー効率の悪さが理由で、阿部さんは「東海道新幹線に磨きをかけた方がよほど効率的」と指摘する。減速しなければならないカーブを極力直線化し、老朽化した橋梁を架け替え地震に強い構造にする。そうした再整備で総コストは圧倒的に安く済むという。まもなく着工…リニア建設で川が消滅!? (TV 東京, 9/22)。環境破壊も懸念されてます。
》 デング熱方面 (前ねた: 8/28、9/1、9/2、9/4、9/5、9/6、9/15、9/19)
感染拡大のデング熱! 蚊の生態からわかることとは 嘉糠洋陸×森澤雄司×荻上チキ (SYNODOS, 9/24)。TBS ラジオ文字起こし。
嘉糠 一人の患者さんがいた時に、何人に拡がるのか考えることは重要です。たとえば、インフルエンザの患者さんがいた時に、何人に拡がるとおもいますか。
荻上 うーん、わかりません。電車の中でくしゃみをしたりすると、無限にうつせそうな気はしますけど。
嘉糠 実は、1.5人から3.5人なのです。
荻上 あれ、意外と少ないんですね。
嘉糠 これが、はしかだと9人から17人です。一方で、マラリアのような蚊によって媒介される感染症は200を超えます。
たとえば、インフルエンザだと唾液で飛沫感染します。これは、確率論で言うと少ない部分があります。しかし、蚊は人を狙って刺してきます。病原体を充填した注射器が空を飛んで正確に狙いにいくと思っていただければと思います。非常に効率がいいのです。
都市部にこれだけ蚊がいて、一人のデング熱患者がいた時に、どれくらい拡がるのか。代々木公園の方が一人の感染源だとしたら、今は80人出ていますよね。2次感染が間にあったらもっと広がっていると思いますが、1人から80人というのはそんなにおかしな数ではありません。元の感染者一人でそうなっちゃうものなんだ……。ふぅん。
荻上 そもそも、薬物を撒くことの効果はどのようなものなのでしょうか。
嘉糠 あまり効果がないと思います。蚊に刺されたことの無い日本人はいないわけですよね。それを、一回も刺されないように行政に頼むのは難しいと思います。
スリランカでも蚊を全滅させようと国を挙げたプロジェクトに取り組みましたが、大失敗に終わっています。どんな種類でも生き物を完全になくすのはなかなか難しいと言えます。なるほど。
》 Visual Studioを使ったネットワークカーネルデバッグの方法 (Japan WDK Support Blog, 9/9)
》 Microsoft Research Silicon Valley 最後の日を見て ((iwi)の日記, 9/22)。研究者天国 Microsoft Research Silicon Valley、閉鎖されたんですね。MS も、そういう余裕のない会社になってしまったと。
■ 追記
2014 年 9 月のマイクロソフト セキュリティ情報の概要 (2014.09.19)
MS14-055 の 2982385 更新プログラム、再公開されました。
■ 2014.09.23
》 原子力機構の施設に部外者が迷い込む (NHK「かぶん」ブログ, 9/12)。原子力科学研究所。これ自体は悪意のない事例だったが、……。
》 【ヤバすぎ】アプリ誤操作で銀行口座のログイン情報や個人情報が大量にさらされている件 (I believe in technology, 9/23)。pastie。
原因は、iPhoneの脱獄アプリ「action menu」にあると見られています。「action menu」はテキスト選択メニューの機能を拡張してくれるのですが、その中に「Send to Pastie(Pastieに送る)」という機能があり、テキストを「pastie」にワンボタンで送ることができます。
》 PHP 5.5系と5.4系の最新版登場 (マイナビニュース, 9/23)。PHP 5.5.17、5.4.33。
》 遠隔操作で接続業者変更 トラブルが急増 (NHK「かぶん」ブログ, 9/20)、 相談激増!遠隔操作によるプロバイダ変更勧誘トラブルにご注意 (国民生活センター, 9/18)
》 アップルの透明性レポートから消えた2行の意味 (gizmode, 9/20)。「アップルは米愛国者法第215条に基づく(政府からのユーザ情報提示)命令を一度も受けていない。かかる命令が下れば、当社は断固戦う」 という文言が消滅したそうで。
》 サイバー犯罪、2014年8月の主要な刑事訴追 (Kaspersky, 9/22)
》 2014年9月に法務省で発生した不正アクセスをまとめてみた (piyolog, 9/22)
》 2014年3月にゲームオンのオンラインゲームへ行われたDDoS攻撃をまとめてみた (piyolog, 9/20)
■ D-Bus 1.8.8、1.6.24 公開
(dbus ML, 2014.09.16)D-Bus 1.8.8、1.6.24 公開。5 件のセキュリティ欠陥が修正されてます。
CVE-2014-3635 to 3639: security issues in D-Bus < 1.8.8 (dbus ML, 2014.09.16)。任意のコードの実行 CVE-2014-3635 と DoS CVE-2014-3636 CVE-2014-3637 CVE-2014-3638 CVE-2014-3639。いずれも local から。
Announcing D-Bus 1.8.8 (security fix release) (dbus ML, 2014.09.16)
Announcing dbus 1.6.24 (security fix release) (dbus ML, 2014.09.16)
■ 2014.09.22
》 中国・訪日ブームの陰で気づいた 対日認識の根本的な欠陥 「知日」不足に悩む中国(前篇) (Wedge, 9/18)、 講談社『中国の歴史』が中国で大ヒット 日中のソフトパワーに圧倒的な差 「知日」不足に悩む中国(後篇) (Wedge, 9/19)
》 NATO:ウクライナ加盟は「空約束」、前事務総長明かす (毎日, 9/21)。ジャイアン US のゴリ押しで皆が困惑迷惑ですか。
NATO首脳会議は08年4月、ルーマニアの首都ブカレストで開かれた。前事務総長によると、ウクライナとグルジアの加盟を強く推すブッシュ米大統領(当時)と、ロシアへの刺激を避けたいサルコジ仏大統領(同)、メルケル独首相らが対立した。協議は行き詰まり、随行の官僚や家族を退席させ、首脳だけでひざ詰めの話し合いを続けたという。しかし結局、合意できず、加盟目標の期日を特定しない「将来、加盟させる」との「ブカレスト宣言」を採択した。
前事務総長はこの宣言がNATOの基本方針であることは現在も変わりないとしながらも、「悲しい結論」で「妥協」だったと述べた。US には「キューバ危機の教訓」という概念はないのか……。
》 “DNS悪用の攻撃”を防げ、インフォブロックスが対策紹介 (ascii.jp, 9/22)。「Infoblox DNS Protectionソリューション」。
》 Googleの広告サーバ「DoubleClick」がマルウェアを配信していた (gigazine, 9/22)
》 池上彰が朝日叩きに走る新聞、週刊誌を批判! 他紙での掲載拒否も告白! (リテラ, 9/21)、 朝日謝罪会見でハシャぐ読売、産経の“トンデモ誤報”集 (リテラ, 9/12)、 朝日だけでなく読売も文春も!マスゴミの“自社批判”掲載拒否の歴史 (リテラ, 9/6)
》 朝日「誤報」で日本が「誤解」されたという誤解 (ニューズウィーク日本版, 9/18)
》 韓国社会で黙殺される米軍慰安婦 性搾取大国韓国の不都合なる真実 (ZAKZAK, 8/6)。これはこれで大いに問題。
》 「女の耐久度」チェックも! 産経新聞の総帥が語っていた軍の慰安所作り (リテラ, 9/7)
》 iPhone 6「なんで売ってくれないの!」中国人ら一斉抗議 アップルストアに警官駆けつけ きっかけは店員の「在庫なくなった。帰って」 (ITmedia, 9/22)。アップルの高飛車な対応もひどいなあ。 まあ、いつものアップルなのだが。
》 iPhone 6を購入するために大勢の中国人がニューヨークのApple Store前に集結、やりたい放題の末に最後はiPhoneを闇市に流した模様 (gigazine, 9/22)。こちらも日本と同様ですか。
》 くだらない悲劇 空母「グローリアス」の沈没 前篇 (那珂川の背後に国土なし!, 9/19)
「そもそもなぜ「グローリアス」は船団に同行せず、貧弱な護衛のもとに単独で先行することになったのか?それは誰の決断であったのか?」
》 進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応 (Internet Watch, 9/19)。 中国の異なる複数のサイバー攻撃グループが連携し、 日本、台湾などアジアを標的にサイバー攻撃活動を展開 (FireEye, 9/19) に関する記者向け説明会があったのかな。
》 MITB、MITMと不正送金ー@HiromitsuTakagi 氏のツイートを軸として (togetter, 9/21)、 インターネットバンキング不正送金被害の根本的対策と監督当局の関わり方 (高木浩光, 9/19)。まずは高木先生の資料を一読しておくとわかりやすいです。
》 【重要】不正ログイン(乗っ取り)の被害拡大を防ぐため、PINコードの設定を必須にします (LINE, 9/19)。必須になりました。4 桁限定なのは変化なし。
》 女優やスポーツ選手のヌード写真が再び大量流出 (gigazine, 9/22)
■ 追記
About the security content of iOS 8 (2014.09.18)
関連:
Dropboxが自動アップロード機能を一時停止、iOS 8互換トラブルで(追記:対応しました) (gizmode, 2014.09.18)
iOS 8でファイルをアップロードすると破損するバグが見つかる (gigazine, 2014.09.19)
【Seesaaブログ】現在確認されているiOS8での現象について (Seesaa, 2014.09.18)
動作の確認ができましたので、Google Chromeブラウザでは上記ファイルアップロードボタンの機能を再開いたしました。
アップロードの不具合、 Chrome for iPhone/iPad では発生しないようです。
知っておきたいiOS 8の新しい位置情報制限機能 (readwrite.jp, 2014.09.19)
■ 2014.09.19
》 ソニー、眼鏡型デバイス「SmartEyeglass」公開 年度内には開発者向けに発売 (ITmedia, 9/19)
》 Amazon.co.jp、PC/Macで電子書籍を読める「Kindle Cloud Reader」提供開始 (Internet Watch, 9/19)
》 ファイル合計サイズとディスクのプロパティの使用領域との差異は何故おきるのか? (Ask CORE, 9/19)
》 iOS 8でファイルをアップロードすると破損するバグが見つかる (gigazine, 9/19)
》 アップルのセキュリティ質問がいまだに最悪なのはなぜ? (エフセキュアブログ, 9/16)
》 くらし☆解説 「どう防ぐ ネットバンキング被害」 (NHK 解説委員室, 9/16)。NHK が MyJVN バージョンチェッカを説明している。
》 Googleが有料アプリ開発者に対し所在地の開示を義務づけ、9月30日から (gigazine, 9/19)
この通知は、アプリ開発者が登録する「Google Playデベロッパーコンソール」でのメッセージとして公表されたもの。各人に届くメールではなく、コンソール上で発表するだけという公表の方法に戸惑いや異議を唱える人も出ています。
いきなり感半端ないなあ。
このポリシー変更に対し、「プライバシーの侵害だ」「企業での開発ならまだしも、個人開発者の場合は自宅の住所をさらすことになるので反対」といった声が寄せられています。
そりゃそうだよなあ。元記事によると私書箱でも OK みたい。
関連: Googleが課金アプリに対して製作者の住所を公開することを発表 (楽しくないブログ, 9/19)。顧客から見れば、こういう反応になるわなあ。 悪の限りを尽くされたのでこういう対応になっているのだろうしなあ。
》 「iOS 8」を運んだAppleの独自CDN (Geek なぺーじ, 9/18)。独自だったのですか……。
現時点ではApple独自CDNだけで同社コンテンツを全て配信しているわけではなく、アカマイなどの商用CDNも併用しているようですが、今後は徐々にApple独自CDNのみへとシフトしていくのかも知れません。
》 新種マルウェアを発見。名づけて「Linux/GoARM.Bot」にしました。 (0day.jp, 9/17)
》 標的型攻撃で利用される64ビット版「MIRAS」を確認 (トレンドマイクロ セキュリティ blog, 9/17)
》 多様化するランサムウェア、その手口を解説 (トレンドマイクロ セキュリティ blog, 9/18)
》 オンラインバンキングを狙うトロイの木馬 Snifula が日本製セキュリティ製品に対抗 (シマンテック, 9/18)。Web ページ上の PhishWall バナーの表示を妨害。
-
9.18のサイバー攻撃に関して(追記) (エフセキュアブログ, 9/16)
9.18で改ざんされたWebサイトをMaltegoで見てみた (マクニカネットワークス セキュリティ研究センターブログ, 9/19)
被害を受けたWebサイトの管理者の方々で、Dreamweaverを使っている方は、管理用端末にウイルスが潜んでいる可能性を疑ってみて下さい。
柳条湖事件が起こった9月18日前後の攻撃動向について (IBM Tokyo SOC Report, 9/19)
》 クラウド環境における脅威 – パート 2: 分散サービス拒否攻撃 (日本のセキュリティチーム, 9/18)
》 クラウド環境における脅威 – パート 1: DNS 攻撃 (日本のセキュリティチーム, 9/18)
》 Listening:<記者の目>「昭和天皇実録」公開=栗原俊雄(東京学芸部) (毎日, 9/18)
天皇がしばしば作戦指導を試みたことは、実録が多々利用する「昭和天皇独白録」などに記されている。いったん戦争になったら勝利のために手を尽くすのは、国家元首として自然だ。しかし実録は、それを記すのに及び腰だ。
敗戦間際の45年8月。「独白録」には、昭和天皇が一度ポツダム宣言受諾を決断した後も、戦争終結より国体護持を優先しようとしたくだりがある(12日)。実録はそのことに一言も触れていない。》 川口洋のセキュリティ・プライベート・アイズ(51):アップデート機能を悪用した攻撃に対抗セヨ! (@IT, 9/12)
》 2014年9月18日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 9/19)。「パスワードは8桁よりも7桁の方が安全」の真意は、「安易な8ケタパスワードは、ランダムな7桁パスワードよりも脆弱」ということだそうで。
》 NVIDIA、GTX 980でNASAの陰謀論解明に挑む 〜人類は本当に月に行ったのか? (PC Watch, 9/19)
》 Fortune誌が「フォーチュン5・世界で最も稼ぐ反社会勢力ランキング」を発表 (gigazine, 9/18)。山口組が他を圧倒。
》 徴兵を巡るワイロ蔓延に中国軍当局が緊急通達 賄賂率が9割という所も 地方軍幹部の徴兵ビジネス (Wedge, 9/18)
》 オバマケアサイトはセキュリティおよびプライバシーが脆弱、米当局が報告 (日経 IT Pro, 9/17)。HealthCare.gov の件、米政府監査院 (GAO) から厳しい指摘。
》 Chrome Stable Channel Update (Google, 9/18)。Mac 版のみ。OS X v10.9.5 対応。
-
原発電力は風力より高い、米試算 太陽光発電と同レベル (東京, 9/17)、 ブルームバーグ・ニュー・エナジー・ファイナンス
原発コストは火力より割高に 専門家が試算、発表へ (朝日, 6/27)
社説:原発の支援強化 脱依存政策に逆行する (毎日, 9/18)
》 【実録】死闘74分! 今度こそマジのマジで念願だった「LINE乗っ取り」と戦えた!! ジラしにジラして寝技に持ち込み相手はブチギレ爆発TKO (ロケットニュース 24、9/18)
》 デング熱方面 (前ねた: 8/28、9/1、9/2、9/4、9/5、9/6、9/15)
デング熱、「刺客」の蚊放ち撲滅へ―世界的な実験に着手 (ウォール・ストリート・ジャーナル日本版, 9/16)
「ボルバキア」というバクテリアを保持するよう特別に育てられた蚊の群れを放つ。ボルバキアにデング熱を事実上撲滅する力があると考えられるためだ。(中略) ボルバキアを保持する蚊(主にネッタイシマカ)が野生の蚊と交配すると、ボルバキアがその子孫に受け継がれ、子孫はデングウイルスから免疫を持つようになる。そして、時間の経過とともにデングウイルスを運ぶ能力のある蚊が減っていく、とチームは期待している。
デング熱診療ガイドライン(第1版)について (厚生労働省, 9/16)
デング熱の解熱剤使用に注意を (NHK, 9/16)。アセトアミノフェンを使うこと。
サリチル酸系の一種であるエテンザミドが混ざっているノーシンは不可。
デング熱の国内感染症例について(第十五報) (厚生労働省, 9/18)。133 人。 今日さらに増えて 141 人になった模様: デング熱感染確認 141人に (NHK, 9/19)
上野公園でもデング熱感染疑い (NHK, 9/19)
3週連続で蚊から検出 133人に (産経, 9/18)
》 GoogleやDropbox、使いやすいセキュリティツールを開発へ (ITmedia, 9/19)、 米GoogleとDropboxら、オープンソースのセキュリティコミュニティを支援する新組織Simply Secureを立ち上げ (sourceforge.jp, 9/19)、 Security for the people (Google, 9/18)
-
スコットランド独立否決、英国に残留 (CNN, 9/19)
スコットランド独立が僅差で実現せず、非常に失望=民族党幹部 (ロイター, 9/19)
しかし既に、スコットランドに対して権限委譲が拡大されることが決定されている。
世紀の住民投票から一夜明けた英国は・・・ 優れたアマチュアリズムは連合の基盤になり得ない (Financial Times / JBpress, 9/19)
ここで言いたいことは、スコットランドへの権限移譲の拡大が悪い考えだということではない。権限移譲は正しいし、避けられない。要点は、スコットランドへの分権は、18日に何とか勝敗ラインを越えようと必死になっている政治家が熟考してこなかった、英国の残りの地域の統治に関するほぼ回答不能な大問題を生み出す、ということだ。
UK の他の地域に重大な影響が生じると。
》 ITジャーナリスト三上洋(@mikamiyoh)が見たAppleStore銀座の夜 (togetter, 9/19)。iPhone 6 と転売屋。割り込みはイカン。
》 民放5局、ネットで「見逃し視聴」無料実施へ (産経 / ITmedia, 9/19)
》 平成26年上半期の出会い系サイト及びコミュニティサイトに起因する事犯の現状と対策について (警察庁, 9/18)。関連報道:
ID交換掲示板の性犯罪が急増 (NHK, 9/18)
被害者が使っていたアプリでは、最も多かった「LINE」が全体の48%にあたる120人、「カカオトーク」が47%にあたる117人でした。
警察庁によりますと「LINE」は、去年は被害者の73%が利用していましたが、子どもがIDだけでは別の利用者と連絡できないように制限をかけたところ被害が減り、一方で「カカオトーク」は被害者の占める割合が去年より2倍に増えたということです。この情報は、警察庁発表資料にはない。
》 世界標準のExcel表 プロはこう作る プロフェッショナルが教える「実戦用」Excel資料作成術(上) (日経パソコン / 日経, 9/18)
》 山谷剛史のマンスリー・チャイナネット事件簿: Apple、中国ユーザーの一部データを中国本土のサーバーへ〜2014年8月 (Internet Watch, 9/18)
》 武雄市の始めたECモールの売上げデータが凄い (熊商会の倉庫兼社長室より, 9/18)。悪い意味で。
》 NHK経営委員が在特会元幹部の設立団体顧問だったことが判明 (NAVER まとめ, 9/19)。いつもの長谷川三千子氏。
》 山谷国家公安委員長 同じ在特会元幹部を議員会館に招いて写真撮影していた しかも逮捕直後 (NAVER まとめ, 9/19)。山谷えり子氏が在特会幹部と写真 5年前、関係者がHP公開 の件とは別件。
》 Googleの検索結果に表示される犯罪歴の削除を求める請求が地方裁判所に棄却される (楽しくないブログ, 9/17)
検索結果を表示させることが名誉毀損に当たらない、という判決が出たわけでは無い。あくまで「Google日本法人は検索結果の監督義務はない。訴えるなら米国法人」という判決が出ただけである。
■ Android に標準搭載されたブラウザの脆弱性について
(Sophos, 2014.09.18)「使わない」のがいちばんてっとり早いようで。Chrome や Firefox など他のブラウザを使いましょう。
■ 追記
2014 年 7 月のマイクロソフト セキュリティ情報の概要 (2014.07.10)
Windows 7・Server 2012・8.1・Server 2012 R2・RT 8.1 + 2973201 更新プログラム + Bentley MicroStation の環境で、不具合が発生していた模様。
You cannot dock MicroStation toolbars after you install update 2973201 in Windows (Microsoft KB 2998984)
上記 URL から hotfix を入手できる。
■ 2014 年 9 月のマイクロソフト セキュリティ情報の概要
(Microsoft, 2014.09.10)old news ですが……
MS14-052 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2977629)
IE 6〜11 に 37 件の欠陥。
リソース情報漏えいの脆弱性 - CVE-2013-7331。これは 0-day だった。 Exploitability Index: 0
メモリ破損の脆弱性 - CVE-2014-2799 CVE-2014-4059 CVE-2014-4065 CVE-2014-4079 CVE-2014-4080 CVE-2014-4081 CVE-2014-4082 CVE-2014-4083 CVE-2014-4084 CVE-2014-4085 CVE-2014-4086 CVE-2014-4087 CVE-2014-4088 CVE-2014-4089 CVE-2014-4090 CVE-2014-4091 CVE-2014-4092 CVE-2014-4093 CVE-2014-4094 CVE-2014-4095 CVE-2014-4096 CVE-2014-4097 CVE-2014-4098 CVE-2014-4099 CVE-2014-4100 CVE-2014-4101 CVE-2014-4102 CVE-2014-4103 CVE-2014-4104 CVE-2014-4105 CVE-2014-4106 CVE-2014-4107 CVE-2014-4108 CVE-2014-4109 CVE-2014-4110 CVE-2014-4111。 Exploitability Index: CVE-2014-4098 だけ 3、残りは 1
MS14-053 - 重要: .NET Framework の脆弱性により、サービス拒否が起こる (2990931)
.NET Framework 1.1 SP1、2.0 SP2、3.0 SP2、3.5、3.5.1、4、4.5/4.5.1/4.5.2 に欠陥。 攻略リクエストによってハッシュ衝突が発生、.NET サーバーが DoS 状態に陥る。 .NET Framework 3.5 SP1 にはこの欠陥はない。 また、影響を受けるのは Windows Communication Foundation (WCF) を使用している場合のみ。 CVE-2014-4072。 Exploitability Index: 3
MS14-054 - 重要: Windows タスク スケジューラの脆弱性により、特権が昇格される (2988948)
Windows 8・8.1、Server 2012・Server 2012 R2、RT・RT 8.1 に欠陥。 Windows タスク スケジューラに欠陥があり、タスクの整合性チェックを不適切に実行してしまう。これを利用すると、local user による権限上昇が可能となる。 CVE-2014-4074。 Exploitability Index: 1
MS14-055 - 重要: Microsoft Lync Server の脆弱性により、サービス拒否が起こる (2990928)
Lync Server 2010・2013 に 3 件の欠陥。
Lync のサービス拒否の脆弱性 - CVE-2014-4068。 Exploitability Index: 3
Lync XSS の情報漏えいの脆弱性 - CVE-2014-4070。 Exploitability Index: 3
Lync のサービス拒否の脆弱性 - CVE-2014-4071。 Exploitability Index: 3
コンポーネント毎に更新プログラムが用意されているのだが、そのうち Lync Server 2010 用の更新プログラムの 1 つ、2982385 で不具合が発生しており、現在ダウンロードできなくなっている。
2014.09.24 追記:2982385 更新プログラム、再公開されました。
関連:
2014 年 9 月のセキュリティ情報 (月例) - MS14-052 〜 MS14-055 (日本のセキュリティチーム, 2014.09.10)
2014 年 9 月のマイクロソフト ワンポイント セキュリティ 〜ビデオで簡単に解説 〜 (日本のセキュリティチーム, 2014.09.10)
2014 年 9 月のセキュリティ更新プログラムのリスク評価 (日本のセキュリティチーム, 2014.09.10)
■ About the security content of Apple TV 7
(Apple, 2014.09.18)Apple TV 7 公開。37 件のセキュリティ欠陥を修正CVE-2011-2391 CVE-2013-6663 CVE-2014-1384 CVE-2014-1385 CVE-2014-1387 CVE-2014-1388 CVE-2014-1389 CVE-2014-4357 CVE-2014-4364 CVE-2014-4369 CVE-2014-4371 CVE-2014-4372 CVE-2014-4373 CVE-2014-4375 CVE-2014-4377 CVE-2014-4378 CVE-2014-4379 CVE-2014-4380 CVE-2014-4381 CVE-2014-4383 CVE-2014-4388 CVE-2014-4389 CVE-2014-4404 CVE-2014-4405 CVE-2014-4407 CVE-2014-4408 CVE-2014-4410 CVE-2014-4411 CVE-2014-4412 CVE-2014-4413 CVE-2014-4414 CVE-2014-4415 CVE-2014-4418 CVE-2014-4419 CVE-2014-4420 CVE-2014-4421 CVE-2014-4422。
■ About the security content of Xcode 6.0.1
(Apple, 2014.09.18)Subversion の欠陥 CVE-2014-0032 を、Subversion 1.7.17 に更新することで修正。
■ OS X Server v2.2.3、v3.2.1 公開
(Apple, 2014.09.18)OS X Server v2.2.3、v3.2.1 公開。9 件のセキュリティ欠陥を修正。 CVE-2014-0060 CVE-2014-0061 CVE-2014-0062 CVE-2014-0063 CVE-2014-0064 CVE-2014-0065 CVE-2014-0066 CVE-2014-4406 CVE-2014-4424
■ About the security content of OS X Mavericks v10.9.5 and Security Update 2014-004
(Apple, 2014.09.18)OS X Mavericks v10.9.5、および Lion v10.7.5・Mountain Lion v10.8.5 用の Security Update 2014-004 を公開。 mod_php, Bluetooth, CoreGraphics, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, OpenSSL, QT Media Foundation, ruby に関する 44 件のセキュリティ欠陥を修正。 CVE-2013-7345 CVE-2014-0076 CVE-2014-0185 CVE-2014-0195 CVE-2014-0207 CVE-2014-0221 CVE-2014-0224 CVE-2014-0237 CVE-2014-0238 CVE-2014-1391 CVE-2014-1943 CVE-2014-2270 CVE-2014-2525 CVE-2014-3470 CVE-2014-3478 CVE-2014-3479 CVE-2014-3480 CVE-2014-3487 CVE-2014-3515 CVE-2014-3981 CVE-2014-4049 CVE-2014-4350 CVE-2014-4374 CVE-2014-4376 CVE-2014-4377 CVE-2014-4378 CVE-2014-4379 CVE-2014-4381 CVE-2014-4388 CVE-2014-4389 CVE-2014-4390 CVE-2014-4393 CVE-2014-4394 CVE-2014-4395 CVE-2014-4396 CVE-2014-4397 CVE-2014-4398 CVE-2014-4399 CVE-2014-4400 CVE-2014-4401 CVE-2014-4402 CVE-2014-4403 CVE-2014-4416 CVE-2014-4979
■ About the security content of Safari 6.2 and Safari 7.1
(Apple, 2014.09.18)OS X v10.8.5 用の Safari 6.2、OS X v10.9.5 用の Safari 7.1 公開。9 件のセキュリティ欠陥を修正。CVE-2014-4363 CVE-2013-6663 CVE-2014-4410 CVE-2014-4411 CVE-2014-4412 CVE-2014-4413 CVE-2014-4414 CVE-2014-4415 CVE-2014-4409
OS X v10.7 用の Safari のメンテナンスは終了したということですかね。OS X Yosemite が 10 月 21 日に発表されるらしいし。
■ 2014.09.18
》 あまり意味の無いウナギの池入れ上限 (勝川俊雄公式サイト, 9/18)
池入れ上限を設けるのは良いことなのですが、合意した水準には問題があります。当初は「過去4年の平均から3割削減(13.6㌧)」という話だったのですが、合意した数値は「直近の数量から20%削減(21.6㌧)」と大幅に増えていました。(中略) 21.6㌧というのは「達成できたらラッキー」というような水準です。数量規制を導入したとしても、当たり年である2014年以外はほとんど削減効果が無いことがわかります。
13.6t なら意味があったが 21.6t ではほとんど無意味と。
》 情報デモクラシー2014:私の記録は誰のもの? 履歴で「あなた用」広告 関西弁に切り替え配信 (毎日, 9/16)
》 2014年9月にポンパレモールへ行われた不正ログインとじゃらんnetへ行われた第三者による会員登録行為についてまとめてみた (piyolog, 9/17)
》 野々村元県議、カラ出張認める (ロイター, 9/18)。「出張はほとんど行っていない」
》 MasterCard、「Apple Pay」のバックエンドで利用される技術を説明 (Internet Watch, 9/18)
MasterCardマーケット・デベロップメント上席副社長の広瀬薫氏は、Apple Payで利用される「MasterCard Digital Enablement Service(MDES)」について説明。MDESは、決済カード番号をスマートデバイスで利用する別のカード番号に置き換える「トークン化」と、トークン化されたカード情報をスマートデバイスやサーバー上に送信する「デジタル化」を提供するもので、Apple Payでの支払いはMDESと統合されているという。
カード番号の「トークン化」は、MasterCard、Visa、American Expressが提案した業界標準に基づいて、実際のカード番号を支払い用の別の番号に置き換える。端末に保存されるカード情報や、店舗から送信されるカード情報はトークン化された情報で、MasterCardがカード発行会社との間で実カード番号との変換を行う。トークン化されたカード情報はモバイル端末ごとに異なるため他の端末では利用できず、さらにApple Payでの実装のように生体認証を組み合わせることで、安全性を高めているとした。関連:
MasterCard、Appleと協働し、Apple Payに対応 - カード会員に、より簡単、安全でプライベートなモバイル決済を提供 - (MasterCard, 9/10)
MasterCard Digital Enablement Service (MDES): Making Digital Payments Happen (MasterCard, 9/10)
Apple Payによる決済の安全性を高めるMasterCardの「MDES」とは? カード番号をトークン化し、別のカード番号に置き換えて利用可能 (payment navi, 9/17)
》 キングジム、名刺スキャナー製品に実在の名刺情報を保存したまま出荷 (Internet Watch, 9/18)。30 名分のリアルデータ。
関連: デジタル名刺ボックス「ビズレージ」による名刺情報流出についてのお詫びとお知らせ (キングジム, 9/16)。Benjamin さん情報ありがとうございます。
》 ゲームオン「Alliance of Valiant Arms」に DDoS した (電子計算機損壊等業務妨害) 容疑で高 1 男子を書類送検。 3/19〜20、DDoS 代行業社 ($8/月) を利用して NTPamp 攻撃を実施した模様。 誰でも $8 で DDoS できる時代になりました。
ゲーム会社にサイバー攻撃容疑 高1男子生徒を書類送検 (朝日, 9/18)
男子生徒は、サイバー攻撃を月額8米ドル(約850円)で請け負う海外サイトを使い、ゲームオン社への攻撃を指示。同社のサーバーから発信されたと装った問い合わせ情報を、時刻情報を調整する別会社のコンピューターのサーバーに大量に送信し、問い合わせに対する応答をゲームオン社のサーバー側に大量に送らせることで、サービスを不能にすることを狙ったとみられる。
男子生徒は調べに対し「面白くなって、他のゲーム会社2社にも攻撃した」と供述しているという。「他のゲーム会社2社」の詳細は不明。
オンラインゲームにDDos攻撃 「面白いので何度もやった」 熊本の高1男子を書類送検 (産経, 9/18)
送検容疑は3月19日〜20日、ゲーム会社「ゲームオン」(東京都渋谷区)が運営するオンライン戦争ゲーム「アライアンス・オブ・ヴァリアント・アームズ」のサーバーに、33回にわたり、国内外のサーバー延べ1161台から大量のデータを送りつけて通常の最大22倍の負荷をかけてサーバーに障害を発生させ、業務を妨害したとしている。
「DDoS攻撃」で初摘発 少年書類送検 (NHK, 9/18)
警視庁によりますと、少年はサイバー攻撃への耐久力を調べるインターネット上のサービスを悪用してDDoS攻撃を行い、ゲームオンのサーバーに通常時の10倍から22倍の負荷をかけ、ゲームが9時間余りにわたって配信できない状態にしたということで、会社側には1億7000万円の損害があったとみられるということです。
海外サイトに頼み「DDoS攻撃」…熊本の高1 (読売, 9/18)
海外サイトは表向き、「サーバーが攻撃に耐えられるか調査する」などとうたっていた。少年はサイトに会員登録し、利用料を支払って攻撃させていた。
当時の状況
Pmang公式サイトが表示されない件につきまして (Pmang, 3/19)
重要[対処完了]3/19(木)から発生している接続障害の進捗に関するご案内 (Pmang, 3/19)
重要[復旧]一部のお客様で正常にPmangへアクセスできない状況につきまして (Pmang, 3/25)
》 2014年上半期、インターネットバンキングにログインするとウイルスが不正な振り込みを行うMITB攻撃が国内で初めて確認される (slashdot.jp, 9/12)。 平成26年上半期のサイバー空間をめぐる脅威の情勢について (警察庁, 9/11) の件。
現状日本は、ゆうちょ銀行のトークン [japanpost.jp] も 三井住友銀行のワンタイムパスワード [smbc.co.jp] も、トランザクション署名対応のVASCO(バスコ)のDIGIPASSトークン [vasco.co.jp]なのに、インターネットバンキングのシステム(Webサイト)がそれに対応していない為、使えないという大変残念な状態です。
あとは、Webサイト側がトランザクション署名に対応させれば、MITB(Man In The Browser) は完全に防ぐことが可能です。
日本国内で MITB 攻撃が発生した今、ネットバンキングのシステムをトランザクション署名に対応させるべきです。
関連: 産総研高木氏の提案、試作機によるデモも:本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を (@IT, 4/10)
■ 追記
ベネッセから顧客情報 760 万世帯分が流出、名簿屋から情報を購入したジャストシステムがダイレクトメールを送付して発覚 (2014.07.10)
ベネッセ情報漏洩『お詫び通知が』届き『どういうつもり?』と炎上中 (grape, 2014.09.17)。おわび金券とベネッセこども基金とは別個の存在なのだが、なぜわざわざこの場で混ぜるのか。「不要です」という選択肢を用意しておき、その場合はこども基金に回せばいいだけではないか。
■ About the security content of iOS 8
(Apple, 2014.09.17)iOS 8 出ました。56 件のセキュリティ修正が含まれてます。
CVE-2011-2391 がリストされてるなあ。iOS 7 で修正されたはずなのに。
iOS 8 適用時の注意点:
iCloud Drive を使うよう設定すると、iOS 7 や Mac との同期ができなくなります。【重要】iOS8にアップデートするときのiCloud同期に関する注意点 (reliphone_, 2014.09.17)
iCloud Driveで同期可能なのはiOS8とOS X Yosemiteだけ! (中略) iCloud Driveへの移行は後でも出来ますから、iOS8アップデート時に移行するかという選択肢が出たら「今はしない」を選ぶべきです。
関連: 「iOS 8」公開、新機能「iCloud Drive」に注意するよう開発者らが呼び掛け (Internet Watch, 2014.09.18)
iOS 8 に対応できていないものがあります。例:
mineo。Benjamin さん情報ありがとうございます。
【重要】 iOS 8での利用不可のお知らせ (mineo, 2014.09.18)
iOS8でmineo!検証結果!(GM版にて) (Appllets!, 2014.09.18)
LINE
【iOS 8】LINEに不具合が発生。LINEが絶対に必要な人はアップデートに気をつけよう!【追記あり】 (AppBank, 2014.09.18)
【iOS 8】LINEがiOS 8に対応しました! App Storeを開いてアップデートしよう。 (AppBank, 2014.09.18)
iTunes 11.4にアップデートした際に「機能拡張AppleUSBEthernetHost.kextが使用できません」というエラーが出てUSBテザリングが使えなくなった時の対処法。 (Apple ちゃんねる, 2014.09.17)
「iOS8」iPhone・iPad人柱報告まとめました —LINE・Twitter・MVNOテザリング・電話帳・UI・不具合・違いなど (ATPRG, 2014.09.18)
よい知らせ:
Our commitment to customer privacy doesn’t stop because of a government information request. (Apple)
On devices running iOS 8, your personal data such as photos, messages (including attachments), email, contacts, call history, iTunes content, notes, and reminders is placed under the protection of your passcode. Unlike our competitors, Apple cannot bypass your passcode and therefore cannot access this data. So it's not technically feasible for us to respond to government warrants for the extraction of this data from devices in their possession running iOS 8.
iOS 8 (Apple)
Touch IDはあなたの指紋をパスコードとして使い、あなたのデバイスが勝手に使われることを防ぎます。パスコードを使うと、Eメール、カレンダーのイベント、連絡先、リマインダー、メモ、メッセージ、他社製アプリケーションが自動的に暗号化され、保護されます。
iOS 8.0とIIJmio iPhone・iPad全機種動作確認 (IIJ, 2014.09.18)
iOS 8にアップデートしたiPhone 5s/5cではテザリングが利用できます (中略) iPhone 5においても、iOS 8でLTEでの通信ができることを確認しました
2014.09.22 追記:
関連:
Dropboxが自動アップロード機能を一時停止、iOS 8互換トラブルで(追記:対応しました) (gizmode, 2014.09.18)
iOS 8でファイルをアップロードすると破損するバグが見つかる (gigazine, 2014.09.19)
【Seesaaブログ】現在確認されているiOS8での現象について (Seesaa, 2014.09.18)
動作の確認ができましたので、Google Chromeブラウザでは上記ファイルアップロードボタンの機能を再開いたしました。
アップロードの不具合、 Chrome for iPhone/iPad では発生しないようです。
知っておきたいiOS 8の新しい位置情報制限機能 (readwrite.jp, 2014.09.19)
2014.09.25 追記:
「iOS 8.0.1」アップデート撤回、修正予定だった不具合とは アップル (ウォール・ストリート・ジャーナル日本版, 2014.09.25)。不具合発生のため配布中止になってますが、
アップルが発表していたiOS 8.0.1での前バージョンからの修正点は以下の通り。
- 健康管理アプリ「ヘルスキット」のバグをアップストアで配信できるようバグを修正
- ユーザーがパスコードを入力すると他社製キーボードの選択が解除される問題の修正
- 一部のアプリからフォトライブラリーの写真にアクセスできない問題の修正
- 「iPhone(アイフォーン) 6」と「iPhone 6 Plus(プラス)」の「Reachability(片手操作モード)」機能の信頼性向上
- ショート・メッセージング・サービス(SMS)やマルチメディア・メッセージング
- サービス(MMS)受信時にモバイルデータ通信が予期せず使用される問題の修正
- アプリ内課金でのファミリー共有機能の「購入の承認を求める」設定に対するサポートの向上
- 着信音をデータ保存サービス「iCloud(アイクラウド)」から復元できない問題の修正
- 「Safari(サファリ)」ブラウザーから写真や動画をアップロードできないバグの修正
アップロードの件は 8.0.1 で修正されてるんですね。
■ 2014.09.17
》 山谷えり子氏が在特会幹部と写真 5年前、関係者がHP公開 (共同, 9/17)。この件ですかね:
統一教会山谷えり子センセーと似非右翼暴力団朝鮮学校襲撃犯の蜜月写真 (richardkoshimizu's blog, 2010.08.15)
統一教会・山谷えり子・在特会関係者が続々逮捕 2 (2ch.net, 2011.03.22)
http://mid.parfe.jp/gyouji/H21/2-21-hirosima-matue/top.htm、 Google キャッシュ。 Google キャッシュの方には当該画像がありますね。
》 【JKビジネス横行】表看板は「お散歩」「占い」 裏には性産業、背景に虐待や貧困 (共同, 9/16)
》 STOP!! パスワード使い回し!! パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ (JPCERT/CC, 9/17)。紙のメモ、電子ファイル(パスワード付き)、パスワード管理ツールを例示。
関連:
「STOP!パスワード使い回し!」キャンペーンにご賛同頂ける企業の募集 (JPCERT/CC, 9/17)
Hiromitsu Takagi @HiromitsuTakagi さんのツイート:
おいおい、いつからパスワードを使い回さないのが利用者の責任になったんだ? 利用者にはパスワードを使い回す自由があると昔から言っているだろうが。 http://t.co/SFYUUf0ENR 「利用者はパスワードを使い回さず、適切に管理する責任があります。」
— Hiromitsu Takagi (@HiromitsuTakagi) 2014, 9月 17
》 その男、野島善司 (65) (自民党、北多摩第4選出。東京都議会「男女共同参画社会推進議員連盟」会長)
都議会:やじ問題で超党派議連再開 会長発言に疑問も (毎日, 9/16)
会長に就任した自民党の野島善司議員(65)は総会後、記者団からやじ問題への対応を問われ「それぞれが議員としての矜持(きょうじ)と自律性を持ってやっていく話だと思う」と述べたうえで「女性に対して、今回で言えば『結婚したらどうだ』という話でしょ。僕だって言いますよ、平場では」と発言。「平場」の意味については「まったくのプライベートなということ」と説明した。
何が問題とされているのか、全く理解してないねこの人。 本当に駄目だ。
不適切やじ「公の場での発言が問題」 (NHK, 9/16)
都議会:自民の野島議員が謝罪 「結婚したらどうだ」発言 (毎日, 9/17)
「結婚したら?」発言の都議が謝罪 男女共同参画議連会長「不適切だった」 (産経, 9/17)
なぜこんな人が会長なの?
》 FBIがニュースサーバを支配して裏から操作していたことが内部告発される (gigazine, 9/16)、 Giganews Is an FBI operation (Cryptome, 9/15)。いまどき Usenet ですってよ奥様!
-
6号国道規制解除 帰還困難区域 全線通行可能に (福島民報, 9/15)
環境省は4月から8月にかけて沿線を除染した。同省によると、今回規制が解除される14キロ区間の除染後の平均線量は毎時3・8マイクロシーベルト。最大値は大熊町の福島第一原発付近の毎時17・3マイクロシーベルト。県道小野・富岡線は平均毎時2・3マイクロシーベルト。
福島の国道6号線 全線で通行可能に (NHK, 9/15)
帰還困難区域内の区間ではオートバイや自転車、それに歩行者の通行は認められず、車を途中で停車して外に出ることはできません。 (中略) 通行が可能となった区間を含む南北42.5キロの避難指示区域内を、時速40キロで1回、車で通過した場合、車内の被ばく線量は1.2マイクロシーベルトとなっています。
福島県を通る国道6号線全線開通 高放射線量や防犯など課題も (FNN / Yahoo, 9/16)。「福島第1原発からおよそ2kmと、最も近づいた場所では、手元の線量計で、7マイクロシーベルト(μSv)を超えていた」。車内で。 多分 /h なんだろう。
イチエフ爆発で通れんかった国道6号線開通 大丈夫かいな? (いまにしのりゆき 商売繁盛でささもって来い!, 9/18)
》 第4回「 udplogger ノススメ」 (NTT データ先端技術)、 第4回「 udplogger ノススメ」が掲載されました。 (熊猫さくらのブログ, 9/16)
》 原発安全対策、バスケ妨害 唐津市の島民困惑 (佐賀新聞, 9/15)。セキュリティを向上させた結果、本来の目的を果たせなくなった事例。明らかにおかしいのだが、
設計段階で、体育館に「出っ張り」ができることに対し、学校や島民が見直しを求めた。しかし市側は「国が認めるのは鉄筋コンクリートの構造物だけ。学校しか工事ができる場所がなかった」と理解を求めた。
離島の放射線防護工事は、通常の原子力安全対策ではなく、国の緊急経済対策で進められ、1施設当たりの事業費は2億円。既存施設の放射線防護工事は前例がないにもかかわらず、国はガイドラインなどを示すことなく、市に事業を委託した。あいかわらずの現地・現物無視か。ひでえなあ。
ほんろうされる小さな島の住民たち。馬渡島の男性は「学校施設は島民にとっても大切な交流の場。ほかにやり方はなかったのか。再稼働の条件整備のために、国が急いでいるとしか思えない」と憤る。
腐ってる。
》 ノード再起動後に、クラスター サービスが、エラー 6609 [無効なログ ブロックが見つかりました。] で起動しない (Ask CORE, 9/16)。アンチウイルスの除外設定、重要。
■ いろいろ (2014.09.17)
(various)Wireshark
Wireshark 1.12.1 and 1.10.10 Released (Wireshark, 2014.09.16)。複数のセキュリティ修正を含む。
FreeBSD
FreeBSD-SA-14:19.tcp - Denial of Service in TCP packet processing (FreeBSD, 2014.09.16)。FreeBSD の TCP 実装に欠陥。既に存在するコネクションに SYN フラグつきのセグメントが到達したときに、当該セグメントのシーケンス番号が予期された範囲に納まっているかどうかのチェックをすることなく、コネクションを破壊してしまう。CVE-2004-0230
FreeBSD 8.4, 9.[123], 10.0 用の patch が用意されている。
Juniper
2014-07 Security Bulletin: Junos: Denial of Service in TCP packet processing (CVE-2004-0230) (Juniper, 2014.07.09)。↑の FreeBSD の話の元ねたらしい。
php365.com
JVN#36205251: 365 Links シリーズにおけるクロスサイトスクリプティングの脆弱性 (JVN, 2014.09.17)、 365 Linksなど当サイトのPHPスクリプトをお使いの方へ (php365.com, 2014.09.08)。修正版が公開されている。 CVE-2014-5317
横河電機
JVNVU#95634161: CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性 (JVN, 2014.09.17)、YSAR-14-0003: CENTUM とExaopc に任意のファイル読み書きの脆弱性 (横河電機, 2014.09.17)。9/末から順次、修正版が提供される予定。
2014.12.05 追記:Advisory (ICSA-14-260-01A) Yokogawa CENTUM and Exaopc Vulnerability (Update A) (ICS-CERT, 2014.12.02)
Yokogawa has provided patch software for the vulnerable latest revision of Exaopc and all the CENTUM systems. Please contact Yokogawa technical support and services for the details on installation and patch availability questions.
patch が用意されているので適用しましょう。
Embarcadero
JVNVU#97910946: Embarcadero Delphi と C++Builder の VCL にバッファオーバーフローの脆弱性 (JVN, 2014.09.12)。対応方法が示されている。
■ APSB14-20: Security Updates available for Adobe Reader and Acrobat
(Adobe, 2014.09.16)不具合発生によりリリースが遅れていた Adobe Reader / Acrobat のセキュリティ更新、出ました。8 件のセキュリティ欠陥が修正されています。 CVE-2014-0560 CVE-2014-0561 CVE-2014-0562 CVE-2014-0563 CVE-2014-0565 CVE-2014-0566 CVE-2014-0567 CVE-2014-0568
Adobe Reader / Acrobat 11.0.09、10.1.12 で修正されている。 今回は Mac 版も更新されてます。
■ 2014.09.16
》 キヤノンのプリンターをハックしてディスプレイ部分にゲームを表示させることに成功 (gigazine, 9/16)
》 時論公論 「吉田元所長証言公開 事故対応の教訓に」 (NHK 解説委員室, 9/12)。 ちょっと待って、今みずのんがいいこと言ってる。
原発事故は1基だけでも大変、福島第一原発では3基同時にメルトダウン、さらに4号機も使用済み燃料が危機的状況に。5、6号機も冷温停止に手間取った。
吉田元所長はこれら6基すべてに責任を負い、判断を迫られた。
しかしそれぞれ作られた年代やメーカーが違ったり、炉の構造も異なる。特に問題になった非常用冷却装置ICは1号機だけ、ほかの号機の冷却装置と構造が違い、元所長も十分な知識を持っていなかった。
また原子炉の状況だけでなく、官邸からは原発に関する基本的な質問も来たと、吉田元所長は証言。対応能力の限界を超えていたのは明らかで、危機管理態勢ができていなかった。
(中略)
こうした混乱はほかの原発でも起こりうる問題。
1か所に集中的に立地しているのはなにも福島第一だけでなく、ほかの16の原子力発電所のうち、14か所が複数基立地。これは反対運動の高まりから、新しい場所に立地することが困難になり、すでにある場所に増設が繰り返されてきたため。最も多い新潟県にある柏崎刈羽原発は7基と世界最大の規模。
(中略)
今回の現場での混乱ぶりを踏まえれば、各電力会社は緊急時には炉の構造を知り尽くした責任者を各号機ごとに置き、技術的なことはその責任者が指揮命令して対応する態勢が必要。
また本店も複数基同時に事故があった場合に現場をどのように支援していくべきか検討し、再稼働の前に訓練を行うなどしてその実効性を確かめておかなければ。
そして規制委員会も、設備面の審査だけでなく、今後は各電力会社の緊急時の態勢が複数基同時の事故の場合も機能するのかどうかも重点的に見ていくのと同時に、1か所に集中立地していることの是非についても検討しておく必要。複数号機同時過酷事故への対応を前提とした体制が必要だ、という話。もちろん現状は、そんな体制にはなっていないのでしょう。
》 オスカー・ピストリウス(Oscar Pistorius)判決について (Nothing Ventured, Nothing Gained., 9/16)
》 ssコマンドはバグと地雷の塊なのでnetstatの代わりにならない (ろば電子が詰まっている, 9/15)。RHEL 7 / CentOS 7 の ss コマンド。
結論から先に言うと、CentOS 7/ RHEL 7のssコマンドには「UDPの開放ポートがTCPと報告される」というひどいバグがあり、使うべきではありません。
ポルナレフ AA 事案のように見える。そんな状態でリリースするかふつう。
》 金融機関を狙うサイバー攻撃 「エメンタル作戦」の脅威 (トレンドマイクロ セキュリティ blog, 9/11)
この攻撃の裏にいるサイバー犯罪者は、スイス、オーストリア、スウェーデンのインターネットユーザを標的にしています。2014年5月には、日本のインターネットユーザが、標的となり得るユーザとして追加されました。
》 急増するPOSシステムへの攻撃とPOSマルウェアファミリ (トレンドマイクロ セキュリティ blog, 9/12)
》 フィッシングサイト構築キットの設置者例 (エフセキュアブログ, 9/11)
》 2014年上半期脅威レポート (エフセキュアブログ, 9/8)、 新しいエフセキュアの脅威レポート:Androidでも増加するランサムウェア (エフセキュアブログ, 9/9)
2014.10.07 追記:日本語版が出た: エフセキュア、「2014年上半期脅威レポート」日本語版を公開 (エフセキュアブログ, 9/29)
》 ネット上の中傷やヘイトスピーチにどう対処すべきか-アンケート調査 (エフセキュアブログ, 9/11)
》 Apple Watchが恐らくマルウェアに感染しない理由 (エフセキュアブログ, 9/16)
》 Apple Pay:iPhoneからの決済は安全か? (Kaspersky, 9/16)。Touch ID の抜け道と、カード情報の保存方法に懸念があるとの指摘。
》 ショートカット悪用の標的型攻撃が急増、Androidスマホも狙われる (日経 IT Pro, 9/12)
》 Apple、ユーザーの音楽テイストを尊重。U2アルバム削除ツールを提供 (techcrunch, 9/16)。対応したのはよいことだが、そもそもそういう反応を全く予想していなかったというのは……。
》 「DPC_WATCHDOG_VIOLATION (133)「大量のデータが送信されると、Stop エラー (Microsoft KB 2995730)。Server 2012 R2 + 「大量の TCP 接続を通じてデータを送信」で crash。「TCP スタック内の符号付き整数のオーバーフロー エラーのため」。修正プログラムあり。
》 ブラウザ内で安全に文字列からDOMを組み立てるためのRickDOMというライブラリを書いた (葉っぱ日記, 9/12)
》 パロアルトネットワークスのWebサイト改ざんについてまとめてみた (piyolog, 9/16)
》 2014年9月にMy JR-EASTへ行われた不正ログインについてまとめてみた (piyolog, 9/12)
》 三菱東京 UFJ 銀行の流れるトップページ。うーむ。健全ロボ ダイミダラーを追いかけているとしか思えないんだが……(それはさすがに言いすぎ)。
しかし、ここまでしてもなお、トップページは http なんですね。もう https オンリーにしちゃえばいいのに。
■ いろいろ (2014.09.16)
(various)phpMyAdmin
PMASA-2014-10: XSRF/CSRF due to DOM based XSS in the micro history feature (phpMyAdmin, 2014.09.13)。phpMyAdmin 4.0.10.3, 4.1.14.4, 4.2.8.1 で修正されている。CVE-2014-6300
moodle
MSA-14-0033: URL parameter injection in CAS authentication (moodle, 2014.09.15)。 moodle が利用している phpCAS の欠陥。phpCAS 1.3.3、 moodle 2.7.2, 2.6.5 で修正されている。 moodle 2.5.x 以前への修正はなされない。moodle 2.6 以降へのアップグレードが必要。 CVE-2014-4172
MSA-14-0034: Identity information revealed early in Q&A forum (moodle, 2014.09.15)。moodle 2.7.2, 2.6.5, 2.5.8 で修正されている。 CVE-2014-3617
■ 追記
Firefox 32.0 / ESR 24.8.0 / ESR 31.1.0、Thunderbird 31.1.0 公開
Firefox 32.0.1、Thunderbird 31.1.1 が公開されました。 セキュリティ欠陥の修正ではありません。
リリースノート: Firefox 32.0.1、 Android 版 Firefox 32.0.1。 Thunderbird 31.1.1。
Firefox sneaks out an "inbetweener" update, with security improvements rather than fixes (Sophos, 2014.09.14)
■ 2014.09.15
》 自衛隊の「AAV-7」大量調達は世紀の無駄遣いだ (JBpress, 9/11)。いまさら AAV-7 というのは確かにアレなのだけど、
国民の血税を40両以上のAAV-7を調達(アメリカからの輸入)するために“ドブに捨ててしまう”のではなく、EFVに迫る新型水陸両用強襲車の開発に投入すべきである。
0 から新規開発? 何年かかるのやら。まあ、適切なものが無いのなら自力でつくるしかないわけですが。
新しいから古いからというよりは、日本の島嶼防衛でちゃんと使えるかどうか確認したの? という方がよっぽど問題なわけで: 尖閣有事に水陸両用車「AAV7」は役に立たない 防衛省概算要求に隠された大問題<前編> (東洋経済, 9/3)
これでは、まともな評価試験を行ったとは思えない。通常の装甲車でも外国ではトライアルには最低でも1年かける。まして水陸両用車は陸自がかつて運用したことのない種類の装甲車だ。海自の輸送艦なども使って、南西諸島で繰り返し使用してみる必要があるはずだ。
筆者は陸幕長に4年かかる評価作業がなぜわずか8カ月に短縮されたのか、安全保障上の環境の変化によってプロセスを縮めたのか、と陸幕長に質問した。後日陸幕からの返答は「安全保障環境の急激な変化はない(これは小野寺大臣も同様に認めた)、米国側との調整の結果だ」と回答があった。しかし概算要求は事実上、購入を前提としており、そうなると評価期間はわずか4カ月である。更に半分に短縮されていることになる。
米国側との調整、つまり米国から注文があれば、本来必要とされる評価作業を大きく端折る、ということなのである。つまり、評価作業はアリバイ工作程度に行っているに過ぎない、ということだ。これではまるで植民地軍ある。とても独立国家の「軍隊」の「参謀本部」の見解とは思えない。これが日本の自衛隊の兵器調達の現実であることを納税者はもっと直視するべきである。問題はこれですよねえ。役に立つかどうか、ちゃんと確認したとは思えないという。
》 任天堂と読者の皆様におわびします 朝日新聞社 (朝日, 9/14)。2012 年の記事「ソーシャル時代、どう対応?/ゲーム大手4社に聞く」のはずが、実は 3 社にしか聞いていなかったと。
いい機会なので、朝日は徹底的に修正しまくってほしい。のだが、先日の「150キロもトイレなし… 東九州道、PAの完成遅れ」もアレな記事だったようで。Laut さん、河合さん情報ありがとうございます。
弥生PA完成21年度 5年延期、ニーズ見極め (大分合同新聞, 9/10)
佐伯市は蒲江ICそばのグラウンドにトイレや売店などを備えた休憩施設「インターパーク」を設ける方針で、佐伯堅田IC近辺にも防災・避難広場などを整備する。両ICは弥生PA予定地から十数分以内の位置にあり、西日本高速道路九州支社は「市の事業の様子を見るために(計画を)延期した」としている。
謝罪記事を公開した同日に (slashdot.jp, 9/12)
》 公開された「吉田調書」には何が書いてあったのか? (3.11東日本大震災後の日本, 9/15)
ですから、7/29と8/9のヒアリング記録を素直に読めば、故吉田所長の指示は2Fに行け、ということであったのだと読み取れるはずです。また、朝日の記事の一番のよりどころであるヒアリング記録でも、当初の意志としては1F近辺のどこかに、と思ったけれども、2Fに行ったという事を聞いて、よく考えたらそちらの方が全面マスクを外せるのでそれは正しい選択であったと述べています。決して故吉田所長は命令違反であるというようにとらえてはいません。
にもかかわらず、朝日は恣意的に読んだということだよなあ。
》 朝日謝罪会見でハシャぐ読売、産経の“トンデモ誤報”集 (リテラ, 9/12)
》 【岩上安身のニュースのトリセツ】集団的自衛権という「暴挙」と危険な子宮頸がんワクチンの接種継続という「異常」とに共通する「米国からの圧力」 (IWJ)。 「ジャパンハンドラーの巣窟」、 戦略国際問題研究所(CSIS; Center for Strategic and International Studies)と子宮頸がんワクチンの関係。
前編 (IWJ)
中編~現実化するジャパンハンドラーの「指示」 (IWJ)
このCSISが、今回は、「世界一」にランクされた得意の防衛・安全保障分野ではなく、思いがけない分野について口を出してきた。
子宮頸がんワクチンの積極的勧奨(日本政府が積極的に接種を国民に勧めること)の再開をせよ、というレポートを、2014年5月に発表したのである。
※参照:CSIS(PDF)「日本におけるHPVワクチン接種状況 ~問題と選択肢」CSIS が、わざわざ日本語の文書を用意しているという事実にびっくり。
後編~ワクチン推進のためには「メデイア監視」が必要? (IWJ)
原発、TPP、集団的自衛権と、忠実過ぎるほど忠実にまるまるこうした「指示」に従ってきた安倍政権のこれまでの姿勢をふり返ると、今回の子宮頸がんワクチンのレポートの「指令」についても、一字一句遂行しようとする可能性が高い、と言わざるをえない。
》 子宮頸がんワクチン 副作用で脳の炎症も (東京, 9/14)。「日本線維筋痛症(せんいきんつうしょう)学会 (中略) は、一連の症状をワクチンが引き起こす「子宮頸がんワクチン関連神経免疫異常症候群」(HANS)ととらえるよう提唱」。
》 FileHippo安全から注意サイトへ ダウンロードマネージャーでアドウェア盛り盛りぃ (無題な濃いログ, 9/13)
》 Meet the shadowy tech brokers that deliver your data to the NSA (ZDNet, 9/5)
By implementing these government data requests with precision and accuracy, trusted third-parties — like Neustar, Subsentio, and Yaana — can turn reasonable profits for their services.
》 【緊急レポ】まさかの断水北海道【江別市民大パニック】 (エキレビ!, 9/12)。9/13 に追記されてた。
被災対策としてミネラルウォーターを買い置きしている家庭は多いと思う。
水洗トイレ対策は、どうすればいいのかの知識を持っていたほうがいい。これが最大の悩みになるはずだ。
普段からお風呂の水を捨てないでおくのが、一番の手だとネットの声で知る。やっぱりそうですか。
》 ベネチア映画祭を震撼、塚本晋也監督の戦争映画『野火』 (AFPBB, 9/3)
塚本監督自らが演じている主人公の田村一等兵は、結核を患ったために部隊から放逐されジャングルをさまよう。そこには腐敗する無数の遺体が散乱し、生き残った戦友たちは「食糧」となる。
》 焦点:米国がシリア反体制派へ軍事支援強化、「時すでに遅し」か (ロイター, 9/11)
-
イスラム国:国家的統治 フセイン政権残党が組織 (毎日, 9/15)。実際に国家のように運営されているそうで。
クローズアップ2014:イスラム国、欧米から戦闘員 洗練された広報戦略 (毎日, 9/15)
イスラム国が異教徒の少女を性奴隷に 毎日のように「暴力や性的虐待」 (ハフィントンポスト, 9/14)
「イスラム国」イギリス人を殺害か ネット上で新たな映像公開 (ハフィントンポスト, 9/14)
攻撃拡大?
イスラム国との戦い、アラブ諸国は米に懐疑的 「連合」参加に気乗りせず (ウォール・ストリート・ジャーナル日本版, 9/8)
トルコ、米の基地使用要請を拒否 イスラム国対応に慎重 (朝日, 9/13)
米国の対「イスラム国」作戦でシリアはどうなる?―5つの論点 (AFPBB, 9/13)
イスラム国空爆、抑止効果上げている=米当局者 (ウォール・ストリート・ジャーナル日本版, 9/15)
イスラム国殺害:英、空爆論拡大も 首相が犯行を強く非難 (毎日, 9/14)、 英首相 「イスラム過激派組織 壊滅を」 (NHK, 9/15)。デーヴィッド・キャメロン首相。
対イスラム国 「複数の国が空爆の用意」 (NHK, 9/15)
仏軍、イラクで偵察飛行開始 米によるイスラム国空爆を支援 (AFPBB, 9/15)
「イスラム国の脅威取り除く必要」 共同声明発表 (NHK, 9/15)
》 モンサントのビジネスモデルが崩壊中 (印鑰 智哉 / Facebook, 9/12)。自然は甘くない。
》 それでも慰安婦問題を解決しなければいけない理由 (ハフィントンポスト, 9/9)
1965年に作られたある韓国映画(鄭昌和<チョン・チャンファ>監督『哈爾浜江の夕焼け』)(中略) には慰安婦が登場しますが、朝鮮人将校は、彼女たちは自発的に来たのだと思っています。これは認識の真偽とは別に、慰安婦をめぐる1960年代の韓国の記憶が、1990年代の記憶とは異なることを示す場面です。しかし、ここで慰安婦の女性は「看護婦になると思って来た」と言います。だました主体はおおむね日本軍よりも業者でしたが、女性はその部分を具体的には話さず、「日本軍が強制するわけがない」と言う「親日派」学徒兵将校に向かって言います。「日本帝国主義にだまされたことがないんですね」
この場面は朝鮮人慰安婦問題の本質を明確に示しています。つまり、まず日本軍が直接、強制連行や人身売買を指示したことはないという事実、にもかかわらず、彼女をそこに連れてきた主体は他ならぬ「日本帝国主義」だったという事実です。さらに重要なことは、韓国が固執する「強制連行された少女」の認識は、「売春」に対する差別意識を作るもので、日本の否定派が主張する「自発的売春婦」観を実は支えているということです。つまり、慰安婦問題を論じるにあたって、物理的な強制連行なのか、純真無垢な少女なのか、売春婦なのかの議論はこれ以上重要ではありません。実際に元慰安婦の経験をみると、その経験の残酷さは、そうした「原点」とは何の関係もないと明らかになっているからです。先の映画に登場する、いわゆる「売春婦」のように見える慰安婦にも「地獄」は存在したということも、それを物語っています。
》 デング熱方面 (前ねた: 8/28、9/1、9/2、9/4、9/5、9/6)
特集ワイド:正しく恐れるデング熱 毎日新聞元特派員も重症体験「背中が紫色に…」 尿減少など悪化の兆しに注意 (毎日, 9/8)。デング出血熱体験記も。
普通のデング熱で軽症なら、感染拡大を防ぐために蚊を室内に入れず、水分補給に注意して安静にしていれば十分だ。熱が高くつらければ市販の解熱剤を使ってもいいが、「その場合は注意すべき点がある」と久住さん。「アスピリンを含む薬は絶対にダメ。血小板の働きを抑える作用があり、出血傾向のある患者の症状を悪化させます。そうした副作用のないアセトアミノフェンを使った薬にすべきです」と警告するのだ。成分は薬の箱やラベルに示されているが、薬局の薬剤師に選んでもらえばより安心だ。
もっとも、素人には自分が重症か軽症か、受診すべきか否かの判断は難しい。久住さんは「軽症なら受診の必要はないが(1)解熱後にだるさが悪化する(2)体のむくみや尿の減少(3)鼻、肛門などからの出血や、女性ならば生理の出血がいつもより多い−−は重症化の兆しで、すぐに受診すべきです」。(2)は、血管からの血漿漏出が疑われるからだ。デング熱 感染拡大を防げ (NHK クローズアップ現代, 9/10)。最初の確認感染者や NHK 職員感染者、蚊の駆除に力を入れている自治体 (西宮市) や自治会 (横浜市泉区緑園) を取材。
デング熱、温暖化で世界的に感染拡大の恐れ ウイルス運ぶ蚊の生息域が日本列島を北上 (ハフィントンポスト, 9/11)
デング熱の国内感染症例について(第十二報) (厚生労働省, 9/12)。確認感染者は 113 人に。
デング熱国内感染事例発生時の対応・対策の手引きについて (厚生労働省, 9/12)
デング熱国内感染事例発生時の対応・対策の手引き 地方公共団体向け(第1版) (厚生労働省, 9/12)
デング熱10分で判定 千葉市のベンチャー、検査キット開発 (千葉日報, 9/14)。3 年前の記事『「デング熱」ウイルス、10分で判別 医療系ベンチャーが開発』 (日経, 2011.08.02) と比べると、検出精度が「PCRの8割程度」から「およそ90%」 に向上したのかしら。
■ 2014.09.12
》 Significant security challenge for new vehicle communication standard (Symantec, 9/8)。関連:
米国運輸省が車車間通信の導入に本腰、搭載義務化も想定 (@IT, 2/5)
未来の車、互いの「会話」で事故を防止 (ComputerWorld / 日経 IT Pro, 8/20)
【ITS世界会議14】キャデラック CTS、車車間通信システム搭載へ…2017年モデル (レスポンス, 9/10)。3 年後の世界。
コネクテッドカー、普及には時間 (ウォール・ストリート・ジャーナル日本版, 9/11)
》 「Apple Pay」「おサイフケータイ」、何が違う? アップルが今回、あえて捨てたものとは (東洋経済, 9/11)
さらにもう一つ重要な点がある。今回、この決済によって発生する取引情報、個人情報を、アップルも小売店も、一切記録しないことを宣言した。
決済ビジネスの旨味は、決済量の増加に伴って増える決済手数料と、決済記録の分析に伴うマーケティング価値にある、と言われることが多い。後者は、流行り言葉でいえばビッグデータの一種だ。双方での利益を狙う「ビジネスモデル」こそが、決済ビジネスに多くの企業を引きつける理由である。
(中略) アップルは巷間言われている、巨大なビジネスチャンスを捨て去る選択をした。このことがアップルの将来にどのような影響を与えるかは現時点ではわからない。もはやAppleは「Think Different」な会社ではなくなっている という話もありますが、まだまだそうではないようです。 本当に記録していないのか、については監視する必要が生じるでしょうが。
関連: 新しい iPhone が決済システムのセキュリティを変革する可能性 (シマンテック, 9/12)
Apple 社によると、実際のクレジットカード番号やデビットカード番号は、決済処理には使われません。代わりに、ユーザーが Apple Pay にカードを追加すると、固有の「デバイスアカウント番号」が iPhone に追加され、専用のチップで安全に保管されます。この番号が Apple 社のサーバーに送信されることはなく、支払い時には、デバイスアカウント番号と決済処理に固有のワンタイムの「動的なセキュリティコード」によって決済処理が行われます。(中略) Apple Pay を使えば、消費者は決済カードデータをスマートフォンに保存する必要はありません。代わりに、商品を購入して支払いを行う際に、カードの発行元からワンタイムトークンがスマートフォンに提供され、決済処理が開始されます。
Apple Pay のようなシステムが、POS システムを狙った最近の攻撃を誘発した、いくつかの弱点に対処できるのは間違いありませんが、攻撃者は、ある攻撃手法が使えなくなると常に他の弱点を探し出すので安心はできません。Apple Pay が決済方法として使われ始めたら、攻撃者は NFC 決済回りのセキュリティを徹底的にテストすることでしょう。
確かに。とはいえ、次のステージに上がることはできるかも。
》 赤いハッカーの正体 唯一の「反政府グループ」に神経を尖らせる中国共産党(前) (サイバー・インシデント・レポート, 9/10)、(後) (サイバー・インシデント・レポート, 9/11)。Vladimir さん。
関連: 知られざる中国ハッカーの「素顔」 『チャイナ・ハッカーズ』 (サイバー・インシデント・レポート, 7/28)
》 150キロもトイレなし… 東九州道、PAの完成遅れ (朝日, 9/12)。すさまじいな……。携帯トイレ必須か。
2014.09.15 追記:朝日クオリティだった模様。Laut さん、河合さん情報ありがとうございます。
弥生PA完成21年度 5年延期、ニーズ見極め (大分合同新聞, 9/10)
佐伯市は蒲江ICそばのグラウンドにトイレや売店などを備えた休憩施設「インターパーク」を設ける方針で、佐伯堅田IC近辺にも防災・避難広場などを整備する。両ICは弥生PA予定地から十数分以内の位置にあり、西日本高速道路九州支社は「市の事業の様子を見るために(計画を)延期した」としている。
謝罪記事を公開した同日に (slashdot.jp, 9/12)
》 【緊急レポ】まさかの断水北海道【江別市民大パニック】 (エキレビ!, 9/12)。 「やっぱり問題はトイレなのだ」。事象継続中の模様。
断水・給水制限・停電時のトイレ使用について (TOTO)
地震・停電・断水時における取り扱いに関するご注意(トイレ) (Panasonic)
【停電/給水制限/断水時対応】タンクレストイレ「サティス・レジオ・センサー大便器」の停電/断水時の便器洗浄方法は? (INAX)
》 Updates: Handle v4.0. Procdump v7.01, Procexp v16.04, Regjump v1.02, Autoruns v12.03 (Sysinternals, 9/11)。Handle v4.0 は標準ユーザーでも動くようになった (これまでは管理者権限必須)。
》 古典的名画に描かれた女性をスリムにしてみた(比較画像) (ハフィントンポスト, 9/10)
》 ビットコイン考案者の正体明らかに?ナカモト氏のメールにハッカー侵入 (ウォール・ストリート・ジャーナル日本版, 9/11)
》 【ノーボーダー編集部】 企業内部留保 過去最大313兆円 (NO BORDER, 9/5)。こんな状況で景気がよくなるわけがない。
》 AmazonやYouTubeに相次ぐ不正な広告、マルウェア感染の恐れ (ITmedia, 9/11)
》 算数習得するのに最適な言語は何語か (ウォール・ストリート・ジャーナル日本版, 9/12)
問題は「11(イレブン)」から始まる。英語にはこの数字に固有の名称があるが、中国語(日本語、韓国語などでも)ではその数字を「10-1」と訳せる言葉で表現し、口に出すときは「10」が先にくる。これにより桁の値を理解するのがより簡単になり、記数法が10という単位に基づいているというこがより明確になる。
英語の11以上の数字の名称では桁の値がはっきりと示されない。たとえば17という数字では10の位を表す「ティーン」が1の位の7とで順序が逆になっている。子供たちはそのせいで17と71で混乱しやすくなるということが研究でわかった。なるほど、確かになあ。
》 コンビニ店長土下座事件。 さんざん恐喝した挙句に自爆か。
恐喝容疑:コンビニ店長土下座の男2人逮捕 ネットに動画 (毎日, 9/10)。「ネットで騒ぎになり怖くなって出頭した」
男2人を逮捕!「コンビニ土下座」恐怖の一部始終 (東スポ, 9/11)
恐喝容疑:コンビニ店長土下座で新たに母娘逮捕 (毎日, 9/11)。『娘は「自分がスマートフォンで撮影し、ネットに投稿した」と話しているという』。娘が撮影していたのはみんなわかっていたはずなのに、誰も「流すなよ! ネットには絶対流すなよ!」と言わなかったのだろうか。 (いや、言ったからこうなったのか?)
4人目逮捕…ファミマ店員に「土下座強要」●●●・●●●●容疑者【茨木】 (NAVER まとめ, 9/11)
類似事例としては、しまむら店員土下座事件というのが昨年発生していたそうで。こちらについては、そもそも事件性あるのか? という意見もあり、結果的には名誉毀損で略式起訴・罰金 30 万円となっていたようで。
「しまむら」店員に土下座させ写真をネットに 強要の疑いで女逮捕 (ITmedia, 2013.10.07)
『しまむら』店員を土下座させて逮捕 クレーマー主婦をブタ箱に入れた「強要罪」はこんなに怖い (現代ビジネス, 2013.10.23)
「強要罪とは、暴行や脅迫によって『義務のないことを行わせる』、または『権利の行使を妨害する』こと。よくあるのは、暴力団関係者が相手を脅してカネを巻き上げようとするケースなどです。
しかし今回のように、客が店員を土下座させ、強要罪に問われたというケースは聞いたことがありません」土下座命じた女に罰金30万円=名誉毀損、強要は不起訴―札幌 (時事 / Yahoo, 2013.10.25)
》 日本政府は現在の音楽シーンをどう分析しているのか? 〜政府機関の報告書を読んでみた〜 (cinra.net, 9/10)。 我が国の音楽産業の国際展開に向けて (知的財産戦略本部 検証・評価・企画委員会(第7回) 議事次第)
この資料にある「アジア諸国の音楽市場の動向」(インドネシア、ベトナム、タイ、マレーシア、シンガポール、インド)が抜群に面白い。音楽に携わる人は目を通してみることをおすすめする。例えばタイの音楽シーンではCDの販売が激減しており、2006年の792万枚が2010年には20万枚と、なんとたったの5年でわずか3%にまで縮小してしまった。早期からネット配信に力を入れていたこと、違法コピー対策が行き届いていないことが原因とはいえ、すさまじい速度で減っている。ここに、かつての日本のやり方をスライドさせて乗り込んでも「面」になるはずがない。
》 霧の向こうに見えるクラウドの姿 (Kaspersky, 9/11)
》 平成26年上半期の暴力団情勢 (警察庁, 9/11)
》 平成26年上半期のサイバー空間をめぐる脅威の情勢について (警察庁, 9/11)
■ いろいろ (2014.09.12)
(various)Squid
Squid Proxy Cache Security Update Advisory SQUID-2014:2 (squid, 2014.08.28)。Squid 3.x 用 patch あり。Squid 3.3.13, 3.4.7 で修正。 CVE-2014-3609
VMware NSX、vCNS
Cisco Unified Computing System E-Series Blade Servers Cisco Integrated Management Controller
JVNDB-2014-004131: Cisco Unified Computing System E シリーズブレードサーバの Integrated Management Controller の SSH モジュールにおけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.09.11)。Cisco Integrated Management Controller 2.3.1 で修正されている。 CVE-2014-3348
■ 追記
いろいろ (2014.09.10) : PowerDNS Recursor
PowerDNS Recursorの脆弱性(DNSサービスの停止)について(2014年9月11日公開) - バージョンアップを強く推奨 - (JPRS, 2014.09.11)
■ 2014.09.11
》 新しいエメット(EMET)さんにご用心! (@IT, 9/11)。EMET 5.0 の件。
また、これは筆者の環境に依存することかもしれませんが、Windows 7環境ではInternet Explorerの動作が遅くなったり、開始時にクラッシュしたり、証明書信頼の機能が期待通りに動作しなかったりしました。
Internet Explorerのパフォーマンス問題やクラッシュ問題は、筆者の環境ではEAF+とASRを無効化することで改善しました。》 福島原発事故:吉田調書、HPで公開 菅氏ら調書も…政府 (毎日, 9/11)。毎日の web ページから PDF ファイルをダウンロードできる。
関連:
あの「吉田調書」がついにダウンロード可能に、政府公式サイトはアクセス殺到で撃沈 (gigazine, 9/11)
朝日新聞 「吉田調書」記事取り消し (NHK「かぶん」ブログ, 9/11)
政府 吉田元所長らの証言記録を公開 (NHK「かぶん」ブログ, 9/11)
朝日新聞社「『吉田調書』入手」の記事について(全文) (ハフィントンポスト, 9/11)
》 LINE乗っ取り犯が本音をポロリ?分け前に不満あり (irorio.jp, 9/11)。「とくダネ!」が LINE 乗っ取り犯との接触に成功、やりとりを本日放送していたそうで。
》 「Gmail アカウント 500 万件が流出?」の件。 結論としては、Gmail からではなかった模様。
Cleaning up after password dumps (Google, 9/10)。当該「漏洩データ」のうち、実際に有効なものは 2% 未満だったそうで。該当アカウントについてはリセット処置がなされたそうです。Gmail 利用者は、この件についてはあわてる必要はありません。
5 Million Online Passwords Leaked, Check Yours Now [Updated] (lifehacker, 9/10)。Update 3 まであるのでよく見てね。 既に Gmail 側で対応されているので、 「チェックサイト」についても、わざわざアクセスする必要はないでしょう。
約500万件のGmailアカウントとするリストが公開、Googleはシステム侵害を否定 (Internet Watch, 9/11)
吉岡さん情報ありがとうございます。
》 台湾Microsoftの萌えキャラ・藍澤光が「Azure girl」に (ねとらぼ, 9/9)
》 IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える (slashdot.jp, 9/10)
》 iceiv+putty が更新されてます。r10214 追従、ECDSA 鍵認証に対応など。舘山さん情報ありがとうございます。
■ 追記
ベネッセから顧客情報 760 万世帯分が流出、名簿屋から情報を購入したジャストシステムがダイレクトメールを送付して発覚 (2014.07.10)
関連:
お客様情報の漏えいに関するご報告と対応について (ベネッセ, 2014.09.10)
漏洩件数は 2,895 万件と推定。重複分を含め、3,504 万件を名簿業社 3 社に販売。
原因:
メディアへのデータ書き出し制御機能が、 一部のスマホに対応していなかった。
大容量データ扱い時のアラート機能があったが、当該データベースについては無効になっていた。
アクセスログは取得していたが、定期チェックは行っていなかった。
恒久的対応:
データベースの管理、保守・運用、利用をそれぞれ別の会社が行うようにする。
管理 (監督、監視、監査): ベネッセホールディングス
保守・運用: 新会社 (ベネッセホールディングスとラックの合弁。基本合意締結済)。グループ外への業務委託は行わない。
利用: 事業会社
外部監視機関を新設し、定期監査。
おわびとして 500 円の金券を送付。
「ベネッセこども基金」を設立。
[続報]ベネッセの再発防止策は正攻法か、奇策か (日経 IT Pro, 2014.09.10)
■ APSB14-21 - Security updates available for Adobe Flash Player
(Adobe, 2014.09.09)Flash Player / AIR 更新。12 件のセキュリティ欠陥が修正されている。 CVE-2014-0547 CVE-2014-0548 CVE-2014-0549 CVE-2014-0550 CVE-2014-0551 CVE-2014-0552 CVE-2014-0553 CVE-2014-0554 CVE-2014-0555 CVE-2014-0556 CVE-2014-0557 CVE-2014-0559
プラットホーム バージョン Windows (ActiveX) 15.0.0.152 Windows (NPAPI プラグイン) 15.0.0.152 Mac 15.0.0.152 Linux 11.2.202.406 Google Chrome 15.0.0.152 Windows 8 / Server 2012 / RT の Internet Explorer 10 15.0.0.152 Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 15.0.0.152 AIR 15.0.0.249 (Windows, Mac) 15.0.0.252 (Android) AIR SDK & Compiler 15.0.0.249 (Windows, Mac, Android, iOS) AIR SDK 15.0.0.249 (Windows, Mac, Android, iOS) Windows / Mac 用には拡張サポート版 13.0.0.244 も用意されている。
2014.12.15 追記:
Flashのlocal-with-filesystem Sandboxのバイパス (Masato Kinugawa Security Blog, 2014.12.10)。 CVE-2014-0554 の解説。
■ 2014.09.10
》 錦織選手決勝戦のパブリックビューイングにWOWOWの許可は必要か? (栗原潔のIT弁理士日記, 9/8)
》 ベネッセ情報漏えいは2895万件、お詫びは500円 (ascii.jp, 9/10)
》 20140909_第3回プライバシーフリーク・カフェ #PFC3 (togetter, 9/10)
》 風俗行政研究会 報告書 「ダンスをさせる営業の規制の在り方等に関する報告書」 (警察庁, 9/10)
》 「保護する責任」の緊急性高まる (国連情報誌SUNブログ対応版, 9/9)
「保護する責任」とは、ある国で国民が深刻な人権状況に置かれているにも関わらず、その国に国民を保護する能力や意思がない場合に国際社会が保護すべきであるという概念です。
(中略)
昨今のわが国での集団的安全保障の議論では、どうも、海外での紛争に日本が巻き込まれる危険性ばかりが対象になっているような風潮を感じますが、このような人道的な行為のためにどうしても軍事力が必要な場合にはどうなのか、といった議論も必要なのではと個人的には思います。日本国憲法は「平和を愛する諸国民の公正と信義に信頼」するのが前提なので、そういうのは想定外ですよね……。
》 NTTドコモ、法人向け管理情報が流出 - 1社33名分の個人情報 (マイナビニュース, 9/9)、 NTTドコモで発生した法人ユーザーの情報流出についてまとめてみた (piyolog, 9/9)。
2013年10、11月に、法人顧客1社の社員の自宅に、ほかの社員情報が記載された郵便物が届いたことから発覚。(中略) その後、新たな郵便物がしばらく確認されなかったことなどから、社内調査を継続し、該当法人との相談の上で公表は行なわなかった。
隠蔽か……。
関連: 2014年9月9日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 9/10)。三上洋さんのドコモ記者会見 tweet など。
》 2014年9月8日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 9/9)。OWASP Night など。
》 米大手ホームセンター「Home Depot」のPOSシステムへの不正侵入、「BlackPOS」が関与か (トレンドマイクロ セキュリティ blog, 9/10)
》 国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析 (トレンドマイクロ セキュリティ blog, 9/10)。「VAWTRAK」。
》 Apple ID詐取を目的とした「フィッシングサイト構築キット」を確認 (トレンドマイクロ セキュリティ blog, 9/9)
関連: Apple IDs targeted by Kelihos botnet phishing campaign (Symantec, 9/5)
》 Phasing out Certificates with 1024-bit RSA Keys (Mozilla Security Blog, 9/8)
》 京都大:第三者委で調査へ 武田薬品の降圧剤問題 (毎日, 9/10)、 武田薬品が異なる内容の宣伝 京大が調査へ (NHK, 9/10)。 プロプレスの件。 「医学研究利益相反マネジメント委員会」だそうで。
》 ソース : NTFS、ID: 55 のイベント (Ask CORE, 9/9)。「ディスク上のファイル システム構造が壊れていて使えません。chkdsk ユーティリティをボリューム "Drive_letter" で実行してください」への対応方法。
》 古いバージョンの Java ActiveX コントロールのブロックを開始しました (日本のセキュリティチーム, 9/10)。
》 Guided Walkthrough for troubleshooting problems that relate to WSUS agents that are not reporting to a WSUS server (Microsoft KB 2993943)
》 WSUS 自動承認規則が反映されない事象について (Japan WSUS Support Team Blog, 9/9)
自動承認規則にて作成された規則が反映されない更新プログラムは、End User License Agreement (EULA) が付与された更新プログラムであることが主な理由です。
》 「トム・オブ・フィンランド」切手発売開始 同国郵便史上最高の売上に (石壁に百合の花咲く, 9/10)。作者の Touko Laaksonen 氏は故人なのですね。
Tom of Finland to appear on stamps in September (posti.fi, 4/13)
Sales of Tom of Finland stamps begins today (posti.fi, 9/8)。予約数の多かった順では、フィンランド、スウェーデン、英国、合州国、フランスだそうで。
Tom of Finland stamps - We deliver product in September! (posti.fi)。オンラインショップ。 いや、私は買わないけど。
》 通販の未払い、年200億円? 支払う気のない人々 (朝日, 9/10) (誤記修正: Laut さん感謝)
-
高市早苗氏や稲田朋美氏、ネオナチ団体代表とのツーショット写真で波紋 (ハフィントンポスト, 9/9)
安倍政権閣僚らの「ネオナチツーショット問題」を海外主要メディアが一斉報道 (NAVER まとめ, 9/9)
内閣改造で起用の2議員、ネオナチ団体との関係を否定 (AFP, 9/10)
極右代表と撮影:高市氏と稲田氏ら、欧州メディアが (毎日, 9/10)
関連:
松島みどり法務大臣が暴言連発「イラン人受刑者の宗教上の豚肉なしは逆差別」など (NAVER まとめ, 9/5)
母乳強制、DV擁護、中絶禁止…安倍内閣・女性閣僚の「反女性」発言集 (Business Journal, 9/8)
自民党本部 「写真騒動」のネオナチ代表出版社の本を選挙のために大量に活用していた模様 (NAVER まとめ, 9/10)。「誰も知らない日本共産党のホンネ」ですか。 雷韻出版の書籍は、河上イチローの「サイバースペースからの挑戦状」「サイバースペースからの攻撃」しか持ってないなあ。
かつて「HITLER(ヒトラー)選挙戦略」という書籍があったのだそうで:
HITLER(ヒトラー)選挙戦略 (amazon)、 HITLER選挙戦略 現代選挙必勝のバイブル (復刊ドットコム)。著者は「自民党東京都支部連合会の広報部長」ですか。
昔からナチシンパだった!?高市早苗総務大臣が自民党広報部長の「ヒトラー賛美本」推薦文を書いていた (NAVER まとめ, 9/10)
小粥義雄『ヒトラー選挙戦略』(1994) を読む (丸山秀一 / 仮説ネット, 2005.08.27)
■ いろいろ (2014.09.10)
(various)PowerDNS Recursor
13. PowerDNS Security Advisory 2014-01: PowerDNS Recursor 3.6.1 can be crashed remotely (PowerDNS, 2014.09.10)。PowerDNS Recursor 3.6.0 に remote から crash させられる欠陥。3.6.1 で修正。
2014.09.12 追記:PowerDNS Recursorの脆弱性(DNSサービスの停止)について(2014年9月11日公開) - バージョンアップを強く推奨 - (JPRS, 2014.09.11)
VMware vSphere
VMSA-2014-0008: VMware vSphere product updates to third party libraries (VMware, 2014.09.09)。Struts、tc-server、glibc、JRE の更新。
Enigmail
CVE-2014-5369。Enigmail 1.7.x に、特定の状況において平文のままメールを送信してしまう欠陥。 Enigmail 1.7.2 で修正されている。
Procmail
CVE-2014-3618。Procmail 3.22 (最新) に heap-based buffer overflow する欠陥。Debian では DSA-3019-1 で修正されている。
Android アプリ
JVNVU#90369988: 複数の Android アプリに SSL 証明書を適切に検証しない脆弱性 (JVN, 2014.09.04)。 CERT Tapioca という MITM proxy ツールを使って発見したそうで。 脆弱アプリ一覧はこちら: Android apps that fail to validate SSL : Android App SSL Failures。随時追加中みたい。
Exim
[exim-announce] Exim 4.83 Released (Exim, 2014.07.22)。2 件の欠陥 CVE-2014-2972 CVE-2014-2957 が修正されている。
最新は Exim 4.84。セキュリティ修正はないみたい。
■ Chrome Stable Channel Update
(Google, 2014.09.09)Chrome 37.0.2062.120 公開。4 件のセキュリティ欠陥を修正。
■ 追記
次週更新予告いろいろ (2014.09.05)
Adobe Reader / Acrobat の更新は 2014.09.15 の週に延期になりました: APSB14-20: Prenotification Security Advisory for Adobe Reader and Acrobat (Adobe, 2014.09.08 更新)
September 8, 2014: Updated the expected release date from September 9, 2014 to the week of September 15, 2014. The release was delayed to address issues identified during regression testing.
■ 2014.09.09
》 The Chinese Underground In 2013 (trendmicro blog, 9/3)
》 Apple IDが乗っ取られた! ハッキング発覚から取り戻すまでの実録 (ascii.jp, 9/7)
》 “パスワード管理と認証に関する調査”について (togetter, 9/8)。パスワード管理ツールが標準装備されれば、次のステージに上がれるのかなあ。
》 GDP:4〜6月は年率7.1%減 速報値から下方修正 (毎日, 9/8)。厳しい。
》 なぜアベノミクスによって輸出が増えないのか 中国に競り負ける日本 (JBpress, 9/8)。もう日本じゃ作ってないという企業も多いだろうしなあ。
》 「Operation Huyao」:1つのサイトで多数の店舗になりすまし可能なフィッシングサイト (トレンドマイクロ セキュリティ blog, 9/5)。 「日本国内のオンラインショッピングモールに出店している店舗になりすます」フーヤオ作戦だそうです。
》 Chrome拡張機能のセキュリティを回避するマルウェア登場 (gigazine, 9/8)
》 CDはいつまで保つのか? (gigazine, 9/7)。手元にも、聞けなくなってる奴あるんだよなあ。
■ 2014.09.08
》 電力各社、40 年越え老朽原発を廃炉にする模様。 ようやくそういう方向に進もうとしているようで。
老朽原発の円滑な廃炉促す政府方針、小渕経産相が示唆 (ロイター, 9/5)
焦点:古い原発の廃炉本格化へ、活断層・地元同意も電力会社に逆風 (ロイター, 9/5)
関西電力:美浜2基の廃炉検討 政府、各社に計画提出要請 (毎日, 9/5)
クローズアップ2014:美浜2基、廃炉検討 原発延命、採算合わず (毎日, 9/6)
だからといって廃炉を選んでも、電力会社は重い負担を背負う。本来、原発は廃炉が決まった時点で資産価値がゼロになるため、電力会社はその分を損失として計上する必要がある。16年7月に40年超となる原発は美浜原発1、2号機▽関電高浜1、2号機(福井県)▽中国電力島根1号機(島根県)▽九州電力玄海1号機(佐賀県)▽日本原子力発電敦賀1号機(福井県)の7基あり、仮にすべて廃炉にすると、全部で2000億円規模の損失が一度に発生する可能性があった。
財務が悪化した電力会社が、廃炉にしたくてもできない事態すら想定されるため、政府は昨年、廃炉にかかる損失の一部を電気料金に転嫁させる制度変更などに踏み切り、電力会社の負担を半分以下に減らす措置を取った。それでも赤字が常態化している電力会社は一層の軽減を要望。政府は、料金への上乗せを拡大することを検討している。なんじゃそりゃ……。 原発は安い = 負担を後年度に先送りしてるのでそう見えるだけ。
老朽原発、廃炉の動きが本格化 仕組みの整備が課題 (朝日, 9/6)
》 「異性愛者が言うことを、レズビアンが言ったらどうなるか」(動画) (石壁に百合の花咲く, 9/8)
》 マルチナ・ナブラチロワ、全米オープン会場で公開プロポーズ (石壁に百合の花咲く, 9/8)
》 新ニュースサイト「産経ニュース」スタート、10月1日から オピニオンサイト「iRONNA」も (産経ニュースβ版, 9/8)。iRONNNA よりも uRONNNA(右論な)の方が似合ってるんじゃ。msn 産経は終了だそうです。既存の記事 URL は全滅ですかねえ。
》 迷惑メール 是正命令違反容疑で摘発 (NHK, 9/5)、2年半に迷惑メール約20億通…サイト運営会社 (読売 / Yahoo, 9/5)
容疑者は、出会い系サイトを宣伝する迷惑メールを不特定多数の人のパソコンや携帯電話に勝手に送りつけ、ことし2月に総務省から止めるよう是正命令を受けたにもかかわらず送り続けたとして、特定電子メール法違反の疑いが持たれています。
関連: 「株式会社SANS」に対する特定電子メール法違反に係る措置命令の実施 (消費者庁, 2/12)
■ 2014.09.06
-
コンゴでエボラ出血熱 西アフリカとは別か (NHK, 9/3)
エボラ、死者2000人超す 1カ月足らずで倍増 (東京, 9/6)
コラム:エボラ新薬の現状と「今すべきこと」 (ロイター, 9/3)。よくまとまった記事だと思う。
エボラ熱治療へ回復患者の血清活用 WHO、専門家と合意 (日経, 9/6)。血清治療を優先課題に、「有望な」ワクチン 2 種類の安全性を確認し早ければ11月に、未承認薬も動物実験で効果を確認したものは利用。 ファビピラビルは今のところ対エボラの動物実験データがないので「消極的」だそうで。
》 デング熱方面 (前ねた: 8/28、9/1、9/2、9/4、9/5)
新宿中央公園でも患者確認 国内感染72人に (産経, 9/5)
デング熱 東京都内の公園などで蚊の調査 (NHK, 9/6)、 デング熱:調査7区に拡大、公園の蚊採取…厚労省・東京都 (毎日, 9/6)
厚労省 デング熱で緊急対策会議 (NHK, 9/6)、 厚労省、関係自治体らと緊急対策会議 渋谷隣接7区の公園で蚊対策へ (産経, 9/6)
都内の60代男性が新たに感染 感染場所不明 (産経, 9/6)、 感染、外濠公園か神宮外苑の可能性 発症場所不明の男性 (産経, 9/6)
デング熱拡大予防 「新宿御苑」閉鎖へ (NHK, 9/6)。うーん。先手を打ったつもりなのか、それともパニックか。
冬待つしか…封じ込めは困難 蚊の駆除など対策に限界 (産経, 9/6)
》 時論公論 「もたつく 消費の回復」 (NHK 解説委員室, 9/5)。アベノリスク。
このように、家計の二極化を示すデータからは、大企業が多い都市部や株価上昇の恩恵を受けやすい富裕層と比べて、小さい企業が多い地方部や非正規社員など所得の低い世帯には、景気回復の恩恵が行きわたらず、そのため、増税の影響をより大きく受けている姿が浮かび上がってきます。デパートで高級腕時計の売れ行きが回復している一方、客足が減っている。地方の売れ行きが悪い。消費の現場でのちぐはぐな動き、そして、全体的に消費の回復が遅れている背景には、こうした収入の二極化という、アベノミクスの構造的な問題があるように思えてなりません。これを放置したままでは、消費全体の底上げ、そして、本格的な景気回復にはなかなかつながらないのではないでしょうか。
金持ちだけ優遇、だからなあ。一億総中流は今いずこ。
》 視点・論点 「立ち上がらない雑草魂」 (NHK 解説委員室, 9/3)
雑草にとって大切なことは、立ち上がることでも、強い植物に立ち向かうことでもありません。大切なことは「種を残すこと」です。雑草は、ただこの目的に対して最大限で合理的な努力をしています。大切なことを見失わない生き方。これこそが本当の「雑草魂」なのです。
-
視点・論点 「"イスラム国"の脅威」 (NHK 解説委員室, 9/2)。イスラム国にも広報誌あるんですね。 Dabiq ですか。これも、ぐぐればすぐ出てきますね。安全かどうか知らんけど。
イスラム国は、こうした宣伝文書やビデオのなかでしばしばサイクス・ピコ協定を破壊することを強調しています。
サイクス・ピコ協定とはイギリス・フランス・ロシアのあいだでオスマン帝国領の分割を定めた秘密協定で、現代の中東の国境線の多くが、この協定と何らかのかたちで結びついており、その中心がまさにイラク・シリア国境だったわけです。(中略) ヨーロッパ人が勝手に引いた国境線を破壊し、新たな国境線を自分たちの手で引いていく、さらにカリフに支配されたイスラム共同体を拡大し、かつての栄光を取り戻す。こうした理想が、現実社会のなかで不満をかこつイスラム教徒の若者たちの心をとらえた可能性も否定できないでしょう。NATO首脳会議始まる「イスラム国」対応協議へ (NHK, 9/4)
“米国人10人ほど イスラム国戦闘員か” (NHK, 9/5)
米など10か国 対イスラム国連合結成へ (NHK, 9/4)
「イスラム国」が使ってるあの黒い旗の意味、知ってました? (NAVER まとめ, 9/6)。特別なことが書かれているわけではない、という解説。
■ 2014.09.05
-
池上彰氏コラム掲載拒否 30人超の朝日記者がツイッターで異議 (楊井 人文 / Yahoo, 9/5)
》 アダルトサイトで現金詐取の疑い (NHK, 9/5)。ワンクリック詐欺の話みたい。
》 人権ウォッチ:香港で危機の種をまく中国 (ヒューマン・ライツ・ウォッチ, 9/2)
》 設計図は雲の上 高知の九龍城「沢田マンション」 (上)花咲き乱れる脱法建築 (ハフィントンポスト, 5/29)、 設計図は雲の上 高知の九龍城「沢田マンション」 (下)高齢者の終の棲家に (ハフィントンポスト, 5/29)。凄いなこれ……。
》 「米国の上着」と「中国の下着」をまとう韓国人 法治より徳治――読者と考える (日経ビジネス, 9/4)
鈴置:儒教に詳しい京都府立大学の岡本隆司准教授は「儒教国家では法治よりも徳治が重視される」と説明しています。中国なら皇帝、韓国なら王の徳ある判断による政治が、法による統治よりも正しいのです。
(中略)
韓国は米欧風の民主主義の制度を導入しました。しかしそれは背広やズボンなど洋風の上着を着ているにすぎません。依然として韓国人の下着は、徳治主義など儒教をベースにした発想で編まれているのです。》 定期的なパスワード変更は有効な施策なのか? (togetter, 9/5)
北河拓士 KITAGAWA,Takuji @kitagawa_takuji さんのツイート:
パスワードの定期変更が、利用者側の対策として有効な場合もあるが、対策の優先順位が問題。まずやることは、1.推測され難い複雑な 2.サイト毎に異なる パスワードを設定することであり、1、2が出来て初めて定期変更を考えれば良い。
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) 2014, 9月 5》 デング熱方面 (前ねた: 8/28、9/1、9/2、9/4)
デング熱 明治神宮で調査 (NHK, 9/5)
デング熱の感染確認 66人に (NHK, 9/5)
そして新宿中央公園でも?
代々木公園以外でデング熱に感染 (NHK, 9/5)
新宿中央公園でデング熱感染か (NHK, 9/5)
男性は東京の新宿中央公園で感染した可能性があるということで (中略) 新宿区は新宿中央公園の一部について立ち入りを制限し、蚊の駆除を行うことにしています。
新宿中央公園。「園内の蚊の駆除作業を、9月5日17時から行います」
さらに横浜市金沢区にも飛び火
デング熱について (横浜市)
デング熱国内感染例の発生に伴うモニタリング調査の実施について (横浜市)
平成26年8月に、都立代々木公園でデング熱に感染したと思われる南区在住の方が、発症3日後に金沢区内の海の公園内「犬の遊び場」で蚊に刺されていたことがわかりました。この方を刺した蚊が、デング熱を感染させる力を保有するかが不明なため、本日から海の公園の蚊のモニタリング調査を実施します。この調査に伴って、海の公園の一部を閉鎖します。なお、横浜市が今年度に実施した、蚊のモニタリング調査では、約2700個体の雌のヒトスジシマカ(ヤブ蚊)を検査しましたが、デングウイルスは検出されておりません。
代々木公園で感染後に、海の公園でも蚊に刺されたため、海の公園内にデング熱ウイルスを保有する蚊が存在する可能性がある、と。
》 9月1日からの飛行機内電子機器利用について運用と対策のまとめ 〜ノートPCは離着陸時に収納が必要なことも (PC Watch, 9/5)
》 ALS以外の難病のことも時々でいいから思い出してあげてください (ただのにっき, 8/25)
》 コラム:アルカイダ広報誌の「意外」な中身 (ロイター, 9/5)。Inspire。ぐぐればすぐ出てきますね。
「インスパイア」を読んだり所有したりすることは英国とオーストラリアでは違法となりかねず、また、米国では同誌を閲覧することで監視対象とされる可能性もあるので、筆者が代わりにその内容の一部を伝えよう。
ふぅん……。
-
イラク動乱、武装過激派が蜂起した理由 “イラン抜き”の中東情勢は変わるか (日経ビジネス, 6/19)
イスラーム国(IS)は、ウエストファリア体制(主権国家の共存)を破壊するか? (togetter, 8/25)
「イスラム国」勢力拡大の背景 (NHK, 9/1)
アングル:シリアで拘束の日本人男性、変転した人生の再出発 (ロイター, 9/3)
イラク:ティクリートで「イスラム国」が大量処刑 (ヒューマン・ライツ・ウォッチ, 9/3)
アルカイダがインドで新部隊結成、「イスラム国」をけん制 (ロイター, 9/4)
焦点:次世代見据えるイスラム国、シリア北東部で「国家モデル」構築 (ロイター, 9/5)
エジプト:「イスラム国」使わないで…宗教イメージ損なう (毎日, 9/4)。「アルカイダ分離主義者 (QS)」を提案。
》 くらし☆解説 「狙われる家電・インフラ設備」 (NHK 解説委員室, 8/28)
》 ペットから人へマダニのウイルス (NHK, 9/5)
》 着る布団&エアーマット (キングジム)。9/26 発売予定。
》 国連が法規制を求める「ヘイトスピーチ」は、もはや「ネットの娯楽」では済まされない! (現代ビジネス, 8/26)
》 平成26年上半期における主な生活経済事犯の検挙状況等について (警察庁, 9/5)
》 第4回風俗行政研究会 (警察庁, 9/3)
》 特殊詐欺に関する情報提供のお願い 振り込め詐欺被害者が現金等を送付した住所の公表について (警察庁, 9/1)。『「レターパック、宅配便で現金送れ」は、全て詐欺』『「ロト6の当選番号教えます」は、全て詐欺』
平成26年7月の特殊詐欺認知・検挙状況等について (警察庁, 9/1)
》 平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について (警察庁, 9/4)。上半期だけで昨年全体を越えている。 攻撃対象が地方銀行や信金・信組、法人口座へ拡大。不正送金先の 7 割は中国。
》 「食べログ」の情報削除認めず=飲食店側請求棄却—札幌地裁 (ウォール・ストリート・ジャーナル日本版, 9/4)。「営業権の侵害には当たらない」。というか、名誉毀損とかじゃなくて、営業権で争ってたんですかこれ。
関連: 落合弁護士のコメント。
》 ネット不正送金被害は半年で18.5億円に、法人被害が急増 (ITmedia, 9/4)
》 Listening:<論点>学校給食に牛乳は必要か (毎日, 9/5)。不要です。関連:
学校給食に牛乳は必要か (回答:文部科学省) (平成16年4月) (内閣府 国政モニター お答えします 1 教育・スポーツ)。牛乳は強制じゃない、ことになっている。
平成26年度学校給食用牛乳等供給推進事業の公募について (農林水産省)
我が国酪農の健全な発達を図るとともに、児童及び生徒の体位・体力の向上に資するため、酪農及び肉用牛生産の振興に関する法律(昭和29年法律第182号)に基づいて定める学校給食供給目標及び学校給食計画数量に即して、国内産牛乳を学校給食用に年間継続して計画的かつ効率的に供給することを引き続き推進する必要があります。
「児童及び生徒の体位・体力の向上に」は、オマケ。
》 ウガンダの次はロシアだ! ロシア最高峰にレインボーフラッグ設置 反同性愛法に抗議 (石壁に百合の花咲く, 9/5)
》 防衛省、平成27年度概算要求でP-1は20機を一括調達 F-35Aは6機 (FlyTeam, 8/29)
我が国の防衛と予算-平成27年度概算要求の概要- (防衛省, 8/29)
【資料】総合取得改革に係る諸施策について(平成27年度概算要求) (防衛省 総合取得改革推進プロジェクトチーム, 8/29)、議事要旨 (防衛省, 8/29)
》 【独占インタビュー】TABI LABOの目指すメディアとしての未来 ー 文化を生み出し、人をMOVEする (ゴリミー, 8/8) (文字化け fixed: Benjamin さん感謝)
2014年2月22日にリリースされたTABI LABOだが、まだ半年も経っていないのにも関わらず影響力のあるメディアとして成長した。
ただ、TABI LABOはこれからが勝負。「これからもっと面白い発表をしていきますから!」と笑顔で3人は語る。文化を生み出し、人をMOVEする最先端メディアの旅はまだ始まったばかりだ。上記の記事から 1 か月もたたずに、こう→なりました: TABI_LABOは逸材だったのかもしれない:炎上して経営メンバーリスト「だけ」削除 (やまもといちろう Blog, 8/30)。この記事の直後くらいに TABI LABO アンバサダーのページからもメンバーが消えました。
■ 追記
いろいろ (2014.08.29) Android 版アプリ Kindle
Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908 (徳丸浩の日記, 2014.09.02)
■ iPhoneを使って他人のATMやクレジットカードの暗証番号を簡単に盗む方法
(gigazine, 2014.09.01)手法自体は 2011 年 8 月に公開されている (参照: サーモグラフィーで暗証番号を盗む手法に関する一考察) のですが、安価で携帯も容易な赤外線サーモグラフィ機器 FLIR ONE の発売によって、一気に現実化した模様。 gizmode には 「iPhoneが赤外線カメラになるFLIR ONE、使い道16選」という記事がありますが、17 番目はこれなんですかね。
対抗策は以下だそうです:
赤外線サーモグラフィを使った暗証番号盗難から身を守る方法は非常に簡単で、暗証番号入力時は他のキーに指を置いておくだけでOK。そうすれば、他のキーの温度も上がるのでどのキーをどの順番で押したのかが分からなくなるというわけです。
■ 次週更新予告いろいろ
(various, 2014.09.05)Microsoft
2014 年 9 月 10 日のセキュリティ リリース予定 (月例) (日本のセキュリティチーム, 2014.09.05)。緊急 x 1、重要 x 3。IE、.NET Framework, Windows 8 / Server 2012 / RT 以降, Lync。要再起動。
Adobe
Prenotification: Upcoming Security Updates for Adobe Reader and Acrobat (APSB14-20) (Adobe, 2014.09.04)。Adobe Reader / Acrobat 10.x、11.x。今回は Mac 版も更新されます。
2014.09.10 追記:
Adobe Reader / Acrobat の更新は 2014.09.15 の週に延期になりました: APSB14-20: Prenotification Security Advisory for Adobe Reader and Acrobat (Adobe, 2014.09.08 更新)
September 8, 2014: Updated the expected release date from September 9, 2014 to the week of September 15, 2014. The release was delayed to address issues identified during regression testing.
■ 2014.09.04
》 「Google自動運転車」に多数の欠点 鈍感センサー、地図頼り……雨雪の日は走れず (ITmedia, 9/4)。リアルワールドは厳しい。まだまだやるべきことは多い模様。
》 iCloud から有名人プライベート画像流出の件つづき (前ねた: 9/1、9/2、9/3)
有名人のヌード写真流出事件に関連する詐欺にご注意 (シマンテック, 9/4)。便乗商法さっそく来てます。
iCloud で 2 段階認証が効かない件
iCloud推奨の2段階認証は呆れるぐらい簡単にスルーできる (gizmodo, 9/4)
もっと範囲を広げればiCloudアカウント侵入予防の有効な対策になるのに、なんでそれをやらないのか? 不思議。大企業でそれやってないのはアップルだけなので余計に問題です。例えばDropboxやOneDriveはPCにインストールすると、認証コード入力しない限りアカウントには入れません。そっちが当たり前なんですって。
Appleの2要素認証は、iCloudバックアップとフォトストスリームを保護していない (techcrunch, 9/3)
Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある (techcrunch, 9/4)
Appleがセキュリティー・コミュニティーからの警告の声に耳を傾けていたら防げたはずの事件は数多い。 Appleのように優れたプロダクトを次々に生み出してきた会社で、どうしてこうしたことが続くのだろう? SSLのgo to failバグが発覚したときから私はこの問題について考えてきた。
その答えは(あくまで私の個人的な見解だが)、Appleはセキュリティーに関するコミュニケーションをプロダクトに関するコミュニケーションと同様に考えているのではないか、というものだ―つまり外部には最小の情報しか発表しないという方針だ。消費者向けプロダクトのマーケティングに当たってはAppleの情報統制はこれまで大きな成果を上げてきた。情報が少なければ好奇心が増し、注目が高まる。
しかしセキュリティーの分野ではこのような要塞に立てこもった態度は間違いだ。
》 「中国人民抗日戦争および世界反ファシズム戦争勝利 69 周年」
木語:中露の歴史同盟=金子秀敏 (毎日, 9/4)。 中途半端なスタートは来年 (70 周年) の準備だとする説。
45年に日本が降伏した時、中国は国民党政権の中華民国だった。抗日戦争に勝利したのは、中華民国である。その4年後、共産党が武力で国民党政権を倒し、中華人民共和国を建国した。共産党は国共内戦の勝者であって、抗日戦争の勝者ではない。
(中略)
習主席は国民党の再評価をしなかった。だから黙って抗日記念碑の前で頭を下げた。国民党の頭上にある勝利の桂冠(けいかん)を、共産党の頭上に、理屈抜きで移す儀式だ。歴史の塗り替えではないだろうか。
勝者の桂冠がなくては、来年の70年記念をプーチン・ロシア大統領と祝うときにかっこうが悪い。だから今年、無理に桂冠を手に入れたのだ。習近平の対日批判重要講話――抗日戦争勝利69周年記念日で (遠藤誉 / Yahoo, 9/4)。何も言わなかったのは演出上の都合で、別の場所で言ってるよとする説。
9月3日、北京の「抗日戦争記念館」前で行われた式典は10分間ほどの短いもので、たしかに習近平は一言も発してない。ここで講演をしないのは声が拡散するからで、午後には人民大会堂で「中国人民抗日戦争と世界反ファシスト戦争勝利69周年座談会」が盛大に開催された。そこで習近平は非常に長い重要講話を行い、日本への激しい非難をしている。
》 「改革」か、それとも「保守」か 第2次安倍改造内閣をめぐる5つの数字 (ハフィントンポスト, 9/3)。
フィナンシャル・タイムズ紙は今回の内閣改造について、今回発表された閣僚のほとんどが夫婦別性反対や、男系天皇の正当性を主張する保守系団体「日本会議」のメンバーだと指摘。なかでも目立つのは、靖国神社を参拝するグループで、せっかく女性5人を登用しても、伝統主義的・国粋主義的理念を推進すると批判した。
ウォール・ストリート・ジャーナルも、閣僚19人中15人(78.9%)が、日本会議に所属しているとツイートしている。関連: 「安倍路線」さらに加速 第2次改造内閣発足 (東京, 9/4)
》 子宮頸がんワクチン、副作用患者は脳障害か 原因は不明 (朝日, 9/4)
(小島注: 障害が発生している) 32人の髄液と、接種をしていない10〜40代女性の髄液を比較。32人からは、炎症などを起こす様々な免疫活性物質や、白血球からつくられる複数の抗体が、高い数値で検出されたという。
高橋医師は「炎症を起こす物質が異常に多いと痛みに過敏になるという海外の論文が複数ある。接種後の痛みと関係があるかもしれない」と指摘する。
また、接種をした患者の髄液から検出されたのと同じ種類の抗体を、健康なマウス5匹の脳に投与したところ、量を増やすほど、尾を上げる不安・恐怖の行動が強まった。高橋医師は「接種者に広くみられる不安や恐怖の症状は免疫異常が背景にある可能性もある」と推測する。-
デング熱の感染者増え55人に (NHK, 9/4)。なおも増加中。危険地域表記が「代々木公園」から「代々木公園やその周辺」に変化している。
採取した蚊からデング熱ウイルスを検出
複数の蚊からデング熱ウイルス検出 (NHK, 9/4)
専門家「ウイルス蚊相当いる」 (NHK, 9/4)
国立感染症研究所昆虫医科学部の沢辺京子部長は「東南アジアなどのデング熱の流行地でも、ウイルスを持つ蚊は1000匹捕まえて数匹いるかどうかで、見つけるのがかなり難しい。それが今回のような捕獲方法で見つかったということは、ウイルスを持つ蚊がいまも公園内に相当数いるとみるべきだ」(中略)「ウイルスを持つ蚊が卵を産み、次の世代にウイルスが引き継がれることは通常ほとんどないが、ウイルスをもつ蚊が多くなればその危険性も高まる。公園内のどの場所に蚊や幼虫が多いのかきちんと調べた上で、殺虫剤を効果的に散布して駆除を行う必要がある」
これまで考えられていたよりも事態は深刻な模様。 洋画なら気化爆弾によるウイルス一掃を進言する場面 (嘘) (#洋画が与える悪影響 の悪影響)
蚊の病原体保有調査の結果について (東京都, 9/4)、別紙。番号 1, 2, 5, 10 地点で採取した蚊からデングウイルスを確認。
代々木公園を封鎖=デング熱、蚊からウイルスで―東京都 (時事 / Yahoo, 9/4)、 代々木公園A地区閉鎖のお知らせ (東京都公園協会, 9/4)。深刻さの反映。閉鎖区域の図あり。「野外ステージがあるB地区(NHK放送センター側)は閉鎖しません」
NHK、職員ら2人がデング熱に感染したと発表 (FNN, 9/4)。B 地区のとなりですし。
デング熱に伴う国立代々木競技場の対応について (国立代々木競技場, 9/4)。フットサルコートは営業中止。「原宿駅よりご来場される際は、代々木公園に隣接する歩道のご利用は避けていただくよう」
デング熱ウイルス検出で都が蚊の生息調査 (NHK, 9/4)
明治神宮 (代々木公園 A 地区に隣接) は閉鎖されてません:
明治神宮でもデング熱感染か (NHK, 9/3)
デング熱感染拡大 札幌女性「明治神宮で蚊に…」 (TV 朝日, 9/3)
一方マレーシアでは: マレーシアでデング熱感染が急増、死者は前年の4倍に―新型ウイルスが一因 (ウォール・ストリート・ジャーナル日本版, 9/4)
デングウイルスにはDEN-1、DEN-2、DEN-3、DEN-4の4タイプがある。マレーシア保健省の病原媒介生物による疾患部門のロゼ・ナニ・ムディン氏は、2013年3月からDEN-3とDEN-4からDEN-2とDEN-1へのシフトが始まったと述べた。とりわけDEN-2は危険だという。
(中略)
仏医薬品会社サノフィパスツールは現在、ワクチンを開発中だ。アジアでの研究結果によると、同ワクチンのデング熱に対する予防効果は56.6%。DEN-1、DEN-2、DEN-3、DEN-4に対する効果はそれぞれ50%、35%、78%、75%。ワクチンは早ければ2015年に東南アジアで使用可能になる可能性がある。
ロゼ氏は「DEN-2に対する予防効果35%は十分ではない」とし、「4タイプ全てに対する効果を85%にすることが目標だ」と述べた。 》 海の向こうの“セキュリティ”第96回 「Black Hat 2014」参加の「自称ハッカー」に対する意識調査 ほか (Internet Watch, 9/4)
》 メーラーからGmailへの接続時に認証(パスワード)のエラーが生じる場合の対処方法 (@IT, 9/3)
●原因その1――「安全性の低いアプリのアクセス」が無効になっている
●原因その2――2段階認証が有効になっているふむん……
実際、同社は2014年7月より、OAuth 2.0に対応していないメーラーからのアクセスを「安全性の低いアプリのアクセス」と見なすようにGoogleのサーバーの設定を変更した。だが、執筆時点でOAuth 2.0対応のメーラーは決して多くない(Google提供のサービス/アプリはいずれも対応しているが)。つまり大半のメーラーからのアクセスが「安全性の低いアプリのアクセス」と判定される、と考えた方がよい。
なるほど。
》 「内部に攻撃者がいる前提で対策を」、トーマツが提言 (日経 IT Pro, 9/3)
》 ニセの携帯電話基地局がスマホの通信を盗聴している可能性 (gigazine, 9/4)
》 朝日また大誤報?:職務発明規定改正案 (栗原潔のIT弁理士日記, 9/4)
》 「一切の複製を禁じます」という著作権契約は有効か?:「電子商取引及び情報財取引等に関する準則」について (栗原潔のIT弁理士日記, 9/2)
》 【基本】出願しようと思っていた商標が先に出願されていた場合の対応方法 (栗原潔のIT弁理士日記, 9/1)
》 燃料電池車の普及後押し 水素ステーション建設が本格化 (朝日, 9/3)。燃料電池車、インフラが整ってくれないと買いたくても買えないわけですが、
産業ガス大手の岩谷産業 (中略) が都心につくるステーションでは、1時間に6台の補給しか出来ないという。(中略) いまの装置では、自動車燃料用に水素を加工するのに時間がかかるためだ。
水素ステーション (JX 日鉱日石エネルギー) によると、「工場で製造した水素をステーションに輸送する方式(オフサイト型)と、水素ステーション内で原料(灯油、LPG、天然ガスなど)を改質して水素を製造する方式(オンサイト型)があります」ということなので、岩谷産業はオンサイト型ということなのかな。JX 日鉱日石エネルギーの運用する水素ステーション事例 もオフサイト型とオンサイト型の両方がある。
》 広がる少女売春 〜“JKビジネス”の闇〜 (NHK クローズアップ現代, 9/3)
-
ニュースアプリ「Gunosy」が一般記事に偽装して広告を並べる「ネイティブ広告」を開始すると発表 (楽しくないブログ, 9/3)
グノシー木村氏が代表退任、真相は「任期満了」ではなくグリーとの訴訟リスク回避か (techcrunch, 9/4)
》 はてなブックマークで検閲が行われ、金井亮太に関する記事が閲覧できないようになっています (悪徳商法?マニアックス ココログ支店, 9/3)
》 【良い子は閲覧注意】ロシアで謎の集団が男性をボコる凶悪事件発生 / その光景がヤバすぎてたった一日で再生回数140万回突破 (ロケットニュース 24, 9/3)。これ、狙って撮ってるよなあ。 ヤラセかとも思ったが、ボコられた側のリアクションがマジっぽいんだよなあ。
》 【要注意!】訪問販売業者の玄関に付けるマーキング記号一覧 (NAVER, 2012.04.24)
》 夏コミ、インテ大阪で前代未聞の大騒動を巻き起こした種村有菜先生のまとめ (togetter, 9/3)。いやはや。
》 アオサ:博多湾の厄介者、肥料にしたら…ミツバチ増えた (毎日, 8/23)。「ホンダワラなど海岸に打ち上がった海藻を畑の上にそのまま乗せるだけ」で「ユズは実の大きさや皮の厚さが従来の2倍近くになっただけでなく、えぐみがなく高品質」、「害虫にも強くなり、以前、殺虫剤として使っていたネオニコチノイド系農薬を使わずに済むようになった」。いいことづくし。
思い出した記事: 琵琶湖の「厄介者」が養鶏のエサに 外来魚、高い栄養価 (朝日, 2009.01.29)。琵琶湖の迷惑魚、ブラックバスやブルーギルを魚粉にした事例。
-
【池上彰さんコラム掲載拒否】朝日新聞記者アカウントのツイートまとめ (togetter, 9/3)
(池上彰の新聞ななめ読み)慰安婦報道検証 (朝日, 9/4)。紆余曲折の末に掲載。至極まっとうな疑問を提起しているだけである。朝日はこれらの疑問に真摯に答えるべきであるし、どのような経緯で一旦掲載拒否の判断を下したのかも公開すべきであろ。
■ Apache HTTP Server 2.2.29 Released
(Apache, 2014.09.03)Apache 2.2.29 公開。4 件のセキュリティ欠陥を修正。iida さん、谷口さん情報ありがとうございます。Apache 2.2.28 は公開されませんでした。
- CVE-2014-0118 mod_deflate: The DEFLATE input filter (inflates request bodies) now limits the length and compression ratio of inflated request bodies to avoid denial of sevice via highly compressed bodies. See directives DeflateInflateLimitRequestBody, DeflateInflateRatioLimit, and DeflateInflateRatioBurst.
- CVE-2014-0231 mod_cgid: Fix a denial of service against CGI scripts that do not consume stdin that could lead to lingering HTTPD child processes filling up the scoreboard and eventually hanging the server. By default, the client I/O timeout (Timeout directive) now applies to communication with scripts. The CGIDScriptTimeout directive can be used to set a different timeout for communication with scripts.
- CVE-2014-0226 Fix a race condition in scoreboard handling, which could lead to a heap buffer overflow.
- CVE-2013-5704 HTTP trailers could be used to replace HTTP headers late during request processing, potentially undoing or otherwise confusing modules that examined or modified request headers earlier. Adds "MergeTrailers" directive to restore this legacy behavior.
日本語情報: Apache HTTP Server 2.2.29 がリリースされました (apache.jp, 2014.09.04)
■ エムソフト製FTP/SFTPクライアント「EmFTP」に脆弱性、修正版の提供予定なし
(窓の杜, 2014.09.04)「運用による回避を」なんて言わずに、とっとと捨てましょう。
■ Firefox 32.0 / ESR 24.8.0 / ESR 31.1.0、Thunderbird 31.1.0 公開
(Mozilla, 2014.9.03)出ました。Firefox ESR 24 系列は今回で終了です。Firefox ESR 利用者は ESR 31 系列に移行してください。
リリースノート: Firefox 32.0、 ESR 31.1.0、 ESR 24.8.0。 Android 版 Firefox 32.0。 Thunderbird 31.1.0。
Firefox 32.0 から Public Key Pinning の実装がはじまりました。 HTTP Public Key Pinning にはまだ対応してません。
SecurityEngineering/Public Key Pinning (Mozilla)。Firefox 33、34 と対象サイトが増えていきます。
不正なSSL証明書を見破るPublic Key Pinningを試す (ぼちぼち日記, 2004.09.02)
セキュリティアドバイザリ: Firefox、 Firefox ESR。 Thunderbird。
MFSA 2014-67〜72 の 6 件。MFSA 2014-55 はあいかわらず抜けている。
ダウンロード:Firefox、 Android 版 Firefox。 Thunderbird、 Firefox / Thunderbird ESR。
2014.09.16 追記:
Firefox 32.0.1、Thunderbird 31.1.1 が公開されました。 セキュリティ欠陥の修正ではありません。
リリースノート: Firefox 32.0.1、 Android 版 Firefox 32.0.1。 Thunderbird 31.1.1。
Firefox sneaks out an "inbetweener" update, with security improvements rather than fixes (Sophos, 2014.09.14)
■ 2014.09.03
-
NATO:衛星写真を公開 露軍1000人がウクライナに (毎日, 8/29)
ウクライナにロシア軍侵入、プーチン大統領の思惑 「ますます予測不可能」と専門家 (ウォール・ストリート・ジャーナル日本版, 8/29)
NATO:特殊部隊編成へ 露の新戦術に対抗 (毎日, 8/31)
来月4日から2日間の日程で開催予定の首脳会議では、ロシアの「ハイブリッド攻撃」に対し、NATO側の準備が整っていないことを確認。各国の警察、治安・情報機関のほか、国際機関といかに協力して対抗するか基本手順を決めることで合意する。NATOの「即応部隊」内に新たに創設予定の「速攻部隊」(仮称)とは別に、特殊部隊を設立し、「ハイブリッド攻撃」に対抗する案が有力だ。具体策は今後、国防相会議などで詰める。
また、別のNATO外交筋はロシアがウクライナに対しサイバー攻撃を加えたことも重視。NATOが各国のサイバー防衛を支えることも対抗策の一部になるとの見方を示した。ウクライナ3者協議に親ロ派参加、提案文書交換 (TBS, 9/2)
ドネツク人民共和国副首相、「2つの前提」を挙げる (TBS, 9/3)
ウクライナ東部で戦闘続く、空港をロシア軍が攻撃か (CNN, 9/2)。ルガンスク空港。
軍が空港撤退、親露派が巻き返し (産経, 9/3)
「露軍の侵攻強める」 親露派盛り返し、露は軍事ドクトリン改定へ (産経, 9/3)
ウクライナの避難民 100万人超に (NHK, 9/3)
ロシアの領土略奪への対応で割れるNATO加盟国 (Financial Times / JBpress, 9/2)
西側から力を奪う分裂と危機 安全保障を米国に過度に依存する同盟国こそが最大の問題だ (Financial Times / JBpress, 9/3)
NATO 対ロ体制強化 あすから首脳会議 東欧防衛焦点 (東京, 9/3)
》 焦点:「次の火種」はバルト3国、ウクライナ危機で募る警戒 (ロイター, 9/1)、オバマ米大統領がエストニア訪問、ロシアを牽制 (CNN, 9/3)
》 「流出データ消去できる」と振り込め詐欺 男ら10人を逮捕 (FNN, 9/3)
》 危険ドラッグ:35サイトで削除、閉鎖措置 厚労省要請で (毎日, 9/3)
》 [IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (日本のセキュリティチーム, 9/1)。次回の Windows Update の日 (9/10) からブロック開始。
9 月 10 日 (日本時間) にブロックが開始されるのは、以下のバージョンの Java ActiveX コントロールです。
・J 2 SE 1.4 update 43 未満
・J 2 SE 5.0 update 71 未満
・Java SE 6 update 81 未満
・Java SE 7 update 65 未満
・Java SE 8 update 11 未満》 羊毛、死がい毛、化学薬品…「カシミヤ偽装大国=中国」歯止めかからぬ不当表示 (産経, 8/2)。中国産はニセ、エセだらけですか。
》 米倉斉加年さんとモランボンの「ジャン」 (読む・考える・書く, 8/30)。「ジャン」CM の裏にそんな苦労があったとは……。↓の「私」は辛淑玉氏。
当時を振り返って、「あのとき、このコマーシャルはただ焼肉のタレの宣伝ではない、社会意識への挑戦であり、文化を伝える作業だと認識していたのは、全さんと私と、あなた(私のこと)だけだったかもしれませんね。わっはっは」と愉快そうに語ってくれた。
朝鮮人と共に生きるということは、日本人の側にも相当の覚悟が必要なのだ。それは今でも変わらない。ジャン愛用させて頂いてます。合掌。(ジャンでぐぐると、いまどきのトップは進撃の巨人なのね……)
-
池上彰氏が原稿掲載拒否で朝日新聞の連載中止を申し入れ (週刊文春 / Yahoo, 9/2)、 池上彰さん:朝日新聞連載コラム中止を申し入れ (毎日, 9/2)
池上さんによると、8月29日掲載予定の原稿で、朝日新聞が慰安婦報道を検証した特集(8月5、6両日掲載)について「朝日は謝罪すべきだ」との趣旨のことを書いていた。同月28日に朝日新聞から「今回は掲載できない」という連絡があったため、池上さんがその場で中止を申し入れたという。朝日からは「考えさせてください」と言われたという。
誤報であったと判明したにもかかわらず謝罪なし、という異例の事態なのである (参照: 「誤報の危機管理」に失敗した朝日新聞 挽回へのビジョンを示せるか)。「朝日は謝罪すべき」はごく当然の意見。にもかかわらず、朝日は「掲載できない」のだという。
読売新聞のお役に立てなかった私の論文 (永井和の日記, 9/1)。「日本軍の慰安所政策について」。
この説明から、読売の記者は朝日新聞の慰安婦問題特集を批判する材料として、私の論文に注目し、取材を申し込んできたことがわかった。さらに、この記者が「強制連行の有無」にしか関心を寄せていないこと、つまり「慰安婦問題とは強制連行の有無の問題にすぎない」という枠組みでしか、この問題をみようとしない人物であり、かつてこのブログで「慰安所・慰安婦関係の公文書の解釈と評価を、ただそれが「強制連行・強制徴集を示す証拠であるのか、ないのか」といった単一の判断基準のみでおこなおうとする傾向を、典型的なかたちで示している」と批判したサンケイ新聞の古森義久記者と同じ思考をする人物であることが了解されたのであった。
http://ianhu.g.hatena.ne.jp/nagaikazu/20070726
》 稲田大臣ら与党国会議員がネオナチ団体代表と議員会館で会談・記念撮影 (NAVER まとめ, 9/3)
-
ウィキペディア警察不祥事情報を削除しまくり: 【悲報】Wikipediaに載っていた警視庁の不祥事が何者かによって消されまくっている!履歴機能でIPアドレスを辿ると何と犯人は… (netgeek, 8/31)
入社 25 年目、「報道ステーション」ディレクター岩路真樹氏が自殺: 訃報 報道ステーション 岩路真樹記者 ホンマ、悲しいです 追記あり (いまにしのりゆき 商売繁盛でささもって来い!, 9/2)
》 新選組駐屯、迷惑でした 西本願寺の文書見つかる (朝日, 9/3)。そりゃそうだよなあ。
》 iCloud から有名人プライベート画像流出の件つづき (前ねた: 9/1、9/2)
有名ハリウッド女優や歌手などのヌード画像が大量流出した経緯とは? (gigazine, 9/2)
ジェニファー・ローレンスのヌード写真はなぜ流出したのか―ハッカーから身を守るには? (techcrunch, 9/2)。2 段階認証については別項↓を参照。
米芸能人のヌード写真流出にIT業界震撼、高まるクラウドへの懸念 (AFPBB, 9/2)
Apple が見解を公開。各アカウントはありがちな方法で個別にハクられたと。iCloud などの Apple のシステムそのものがハクられたわけではないと。
Apple Media Advisory: Update to Celebrity Photo Investigation (Apple, 9/2)
After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple's systems including iCloudor Find my iPhone.
Apple、セレブのヌード写真流出に関してiCloudへの不正アクセスを認める―システムのハッキングは否定 (techcrunch, 9/3)
Apple Says ICloud Not Breached for Hacked Actors' Photos (bloomberg, 9/3)
Apple ID の 2 段階認証について (設定しても iCloud には効かない)
Apple's Two Factor Authentication Doesn't Protect iCloud Backups Or Photo Streams (techcrunch, 9/2)
Apple IDにおける 2段階認証の問題点 (セキュリティは楽しいかね? Part 2, 2013.06.03)。現在も状況に変化なしだそうです。
結論を先に書くと、Apple IDの 2段階認証で保護されるのは My Apple IDへのログイン、iTunes Storeでの購入など一部に限られ、iCloud上に保存されたデータの保護には役に立たない、というものです (Appleの FAQにもちゃんと書いてはあるのですが)。実際、iCloud.comへのログインでは 2段階認証は使われておらず、Apple IDの 2段階認証を有効にした状態でも、Apple IDとパスワードのみでログインできてしまいます。iCloud上にバックアップしてある iPhoneや iPadなどのバックアップデータを全く新しい別の機器にリストアすることも可能です。
》 Dodging Browser Zero Days - Changing your Org's Default Browser Centrally (SANS ISC, 9/1)。デフォルトブラウザ切替用の .reg ファイル。
》 1400人の英少女が性的標的、パキスタン系が白人狙い売買 報告がイスラム社会に衝撃 (産経, 8/31)
》 エロ動画が標的? 中国発「進化形パンダウイルス」が日本のパソコンを襲う! (夕刊アメーバニュース, 9/3)。帰ってきたパンダウイルス。
》 Tests compare Mac OS X anti-malware products (ZDNet, 9/2)。AV-TEST.orgの Mac OS X での結果なのですが、複数の良く知られた会社の製品で成績が悪かったそうで:
Several products, all with well-known brands, had disappointing results. Trend Micro (33.3%), Webroot (22.6%) and McAfee(21.4%) all stand out in a bad way.
》 Google accelerates end of SHA-1 support; certificate authorities nervous (ZDNet, 9/2)
》 「BIFROSE」を標的型攻撃で確認、Torを利用し検出がさらに困難に (トレンドマイクロ セキュリティ blog, 9/2)
》 Mobile Pwn2Own Tokyo 2014 (HP Security Research Blog, 9/2)
》 Chrome Stable Channel Update (Google, 9/2)。非セキュリティな更新。Windows 版のみ。
》 OSSコラム 安らかな夜を迎えるために 第3回「 netconsole ノススメ」 (NTT データ先端技術)、第3回「 netconsole ノススメ」が掲載されました。 (熊猫さくらのブログ, 9/2)
》 97,000 Bugzilla email addresses and passwords exposed in another Mozilla leak (Sophos, 8/29)、 Landfill.bugzilla.org Disclosure (The Bugzilla Update, 8/27)
》 Maltegoによる偵察から見えるリスク 〜VPN装置からの侵入に注意せよ〜 (マクニカネットワークス セキュリティ研究センターブログ, 9/2)
■ 追記
USB周辺機器が“悪者”に、BlackHatで実証ツール公開予定 (2014.08.01)
USB firmware: An upcoming threat for home and enterprise users (Microsoft Malware Protection Center, 2014.09.02)
■ 2014.09.02
》 Enhanced Mitigation Experience Toolkit (EMET) 基本解説 〜 第 1 回 EMET とは (日本のセキュリティチーム, 9/1)
》 「ブラック」「黒」のついたネガティブな言葉は人種差別か? (秋元@サイボウズラボ・プログラマー・ブログ, 9/1)
》 女性セレブの個人写真が流出、iCloudに不正アクセスか (CNN, 9/2) (前ねた: 9/1)
女優のメアリー・E・ウィンステッドさんも写真が盗まれたことを認め、ツイッターで「写真は何年も前に夫と自宅で撮ったプライベートなもの」「ずっと前に削除したはずなのに、不気味な意図があるとしか思えない」とコメントした。
消したはずなのに消えていない恐怖。関連:
》 Backoff 方面 (前ねた: 8/22、8/28)
New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts (trendmicro blog, 8/29)
日本語版出た: 小売業の情報を狙う「BlackPOS」の新種を確認 (トレンドマイクロ セキュリティ blog, 9/2)
Sinkholing the Backoff POS Trojan - Victim data paints sorry picture of PoS security (Kaspersky, 8/29)
》 デング熱感染者、まだまだ増えてます (前ねた: 8/28、9/1)
愛媛の10代男性もデング熱に感染 (NHK, 9/2)
デング熱 新たに12人の感染確認 (NHK, 9/2)
デング熱 「全国拡大は想定しづらい」 (NHK, 9/1)。今のところはまだ、ということだろうなあ。 しかし地球温暖化は着々と進行中なわけで。
デング熱 代々木公園の監視強化 (NHK, 9/2)
デング熱 蚊は公園内の数か所に生息か (NHK, 9/2)
蚊の採集装置を代々木公園内に設置 (NHK, 9/2)、代々木公園、捕獲大作戦 ドライアイスや光で誘い35匹、ウイルス保有せず (産経, 9/2)
》 LINEって、今は韓国で作っているんですかね。 (村上福之の誠にデジタルな話, 9/2)
》 【ここで間違う】第17回 「水揚げに湧く漁港」 (毎日, 9/1)。日本語って難しい。
》 ITプロ必携の超便利システム管理ツール集(6):新しい仲間「Sysmon」はトラブルシューティングの必携ツールになりそうな予感 (@IT, 9/1)
》 スク・エニ「ハイスコアガール」、セガへの許諾申請は無断使用後 ゲーム会社で扱いに差 (ITmedia, 9/2)
》 佐賀 陸自最大の航空基地に 空港にオスプレイなど70機 県議会説明会 武藤県議に防衛省認める (しんぶん赤旗, 9/2)。確かに、民間が主ではありえない規模。
》 Firefox 32、「Public Key Pinning」を導入へ (マイナビニュース, 9/2)、 Public key pinning released in Firefox (Mozilla Security Blog, 9/2)
■ 追記
-
CVE-2014-5119 glibc __gconv_translit_find() exploit (2014.09.01)
-
CentOS と ubuntu の情報を追記。
-
LibreOffice も上記欠陥を修正したバージョンが公開されている: 任意のコマンドを実行できてしまう脆弱性などを修正した「LibreOffice」v4.3.1/4.2.6 (窓の杜, 2014.08.29)
Microsoft、IE 8のサポートを2016年1月12日に終了へ (2014.08.08)
関連:
Internet Explorerに関しての重要なサポートポリシーの変更 (Windowsインフラ管理者への道, 2014.09.01)
Internet Explorer 11 向けエンタープライズ モードを利用して常に最新の環境を確保 (IEBlog 日本語, 2014.04.17)
■ 2014.09.01
》 「職業:バグハンター」にオレはなる? DEF CON 22レポート (@IT, 8/29)
》 セクストーション:デリケートな情報で恐喝する犯罪行為 (Kaspersky, 9/1)
-
古河電池と凸版印刷、世界初、紙製容器でできた非常用マグネシウム空気電池を開発 (古河電池, 8/29)、 世界初、紙製容器でできた非常用マグネシウム空気電池の発売について (古河電池, 8/29)
災害時には水を入れるだけで最大5日間発電 古河電池、世界初の紙容器製非常用マグネシウム電池を開発 (ascii.jp, 8/29)
古河電池株が連日のストップ高 「水を注いで使う電池」が大反響 (産経, 9/1)
古河電池(株) (Yahoo ファイナンス)。すごいな。
未使用時の保存可能期間がよくわからない。
》 米Yahoo!、JavaScriptライブラリ「YUI」の開発を打ち切りへ (sourceforge.jp, 9/1)
》 あなたのスマホが危ない! 不正アプリ最新事情 (読売, 8/8)
》 「はやぶさ」のデータ 処理に誤り 論文撤回 (NHK「かぶん」ブログ, 8/29)
JAXAによりますと、「はやぶさ」と同じタイプの観測機器に不具合が見つかったことをきっかけに当時のデータ処理の方法を見直したところ、ことし7月、誤りがあったことが分かったということです。
この件: はやぶさXRSに係る論文撤回の申し入れについて (ISAS, 8/29)
当機構 宇宙科学研究所に所属する研究者が主著者となって投稿し、平成18年6月2日のサイエンス誌に掲載された論文「X-ray Fluorescence Spectrometry of Asteroid Itokawa by Hayabusa」について、本日、主著者らがサイエンス誌編集部に論文の撤回を申し入れましたのでお知らせいたします。なお、当該論文は、「はやぶさ」に関連して発表された査読付き論文129件(うちサイエンス誌には14件掲載)の内の1件です。
人類の英知はまた 1 歩前進した。
》 非営利・無料・無報酬のCD鑑賞会にはJASRACの許可はいりません (栗原潔のIT弁理士日記, 8/29)
》 明らかになりつつあるリーガルマルウェアの実態 (エフセキュアブログ, 8/31)
》 模倣サイト注意喚起に踊った輩は何が迂闊だったか (togetter, 8/31)
》 「たかの友梨」ビューティクリニックの事例に学ぶこと - 尾藤 克之 (アゴラ / BLOGOS, 8/30)、 「たかの友梨」ビューティクリニックの事例に学ぶこと(補足) - 尾藤 克之 (アゴラ / BLOGOS, 8/31)
-
セネガルで初のエボラ感染者、西アフリカで5カ国目 (ロイター, 9/1)
ギニアで衝突、55人負傷 「エボラ熱拡散」と暴動 (産経, 8/31)
感染疑いで2邦人隔離 モルドバ、イスタンブール経由 (産経, 8/29)、 隔離の2邦人は「感染なし」 モルドバ (産経, 8/29)
エボラウイルスに急速な遺伝子変化、シエラレオネの研究が指摘 (ロイター, 8/29)
エボラワクチン、初の臨床試験開始 米国立衛生研究所 (CNN, 8/29)。「グラクソ・スミスクラインと米国立アレルギー感染研究所(NIAID)が開発したワクチン」「週明けから」
エボラ未承認薬「ZMapp」、サルで治療効果を確認 (ロイター, 9/1)。ZMapp って、サルでのテストすらできていなかったのね。
猛威! エボラウイルスの謎 感染ルートや生態は未解明 (産経, 9/1)
感染症の脅威、同時多発 エボラ・MERS…上陸対策も (朝日, 9/1)
-
デング熱 神奈川県内の男女2人も感染 (カナロコ, 9/1)
デング熱 新たに19人の感染確認 (NHK, 9/1)。「東京や神奈川など6つの都県の合わせて19人がデング熱に感染」
「ブランチ」青木英李と紗綾がデング熱に感染 TBS報道 (スポニチ, 9/1)、デング熱感染の青木英李と紗綾 代々木公園ロケ 素手で虫捕り (スポニチ, 9/1)
》 産経新聞が在特会協力行事に後援 関連団体告知集会に論説委員も (NAVER まとめ, 8/31)
》 iCloud から女優らのプライベート画像が漏洩? 一部にコラもあるようですが。
iCloudがハッキング被害? 米女優ヌード写真拡散 (朝日, 9/1)
Jennifer Lawrence, Ariana Grande, Kate Upton, More Celebs Have Nude Photos Leak In Massive Hack (Buzzfeed, 9/1)
Jennifer Lawrence NUDE photos leaked: Star calls intrusion a 'flagrant violation of privacy' (Mirror, 9/1)
ヌード自撮りとかやっちゃうものなんですね……。
》 電子機器使用緩和:航空機内でデジカメなど常時使用可能に (毎日, 9/1)、 機内の電子機器 使用制限の緩和始まる (NHK, 9/1)。 機内での電子機器使用、9月からこう変わる (Aviation Wire, 8/9) の件。
-
千葉ットマンが話題、正体も明らかに!道路交通法の問題はないの? (NAVER まとめ, 8/28)
https://www.facebook.com/takuya.matumoto.391/posts/328186947355732。千葉ットマン、警察へ。若干問題があったが対応可能なようで。よかった。
千葉ットマン、海外メディアでも続々取り上げられていたんですね。
Japan's caped crusader 'Chibatman' spotted on motorway (The Telegraph, 8/29)
'Chibatman' sends smiles, not fear, rippling through Japan (Straits Times, 8/31)。シンガポールの新聞。ロイターによれば、というのは、 千葉で笑顔届ける「チバットマン」、コスチュームは本物そっくり (ロイター, 9/1) のことかしら。
Meet Chibatman - bringing smiles to the streets of Chiba (BBC, 9/1)
■ CVE-2014-5119 glibc __gconv_translit_find() exploit
(Full Disclosure, 2014.08.25)glibc の gconv_trans.c にある __gconv_translit_find() に off-by-one エラーがあり、local user による権限上昇 (root) が可能。Fedora 20 32bit 用 PoC あり。 CVE-2014-5119。 関連:
glibc locale issues (openwall, 2014.07.14)
Security Headsup: RHEL glibc based privilege escalation (CVE-2014-5119, important) (Red Hat, 2014.08.29)。 RHSA-2014:1110-1 で対応。
CVE-2014-5119 (Debian)。DSA-3012-1 eglibc -- security update で対応。
ubuntu - please fix CVE-2014-5119 (launchpad)、CVE-2014-5119 (canonical)。
2014.09.02 追記:
CentOS と ubuntu の情報を追記。
■ 2014年9月の呼びかけ「非公認のスマートフォンアプリに不用意にアカウント情報を登録していませんか?」
(IPA, 2014.09.01)2014年8月、App Store上でゲームアプリを公開していた作者が、その所有権を、不正に奪われてしまうという事件が発生しました。この事件は非公認アプリを使用していたため、IDとパスワード情報を悪意ある第三者に窃取されたことが原因と言われています。
この件:
「App Storeのアプリが盗まれた」 ゲーム「プロエリウム」作者が悲鳴 不正ログインで別人から配信される事態に (ITmedia, 2014.08.05)
nagaokaさんのツイートによると、不正ログインを受けたのは、Lee Elmanのアカウントから配信されている「Sales And Trends Apps」という開発者用アプリを利用したことが原因の可能性があるという。
注意喚起:アプリ乗っ取り犯の手口判明。ITCアカウントの入力を求めるアプリには注意! (Ninebonz - その和尚IT系, 2014.08.05)
このアプリはgithubで公開されている「AppSales-Mobile」と同じ物のように見受けられます。 (中略) 「AppSales-Mobile」自体は昔から開発者の間では使われているアプリで(私も使っています)安全な物です。 使用する場合はgithubからプロジェクトを持ってきて安全確認後、自分でビルドして使用しましょう。
防止策についても言及されている。
それは一にも二にもITCのアカウント情報を漏らさない様にすることです。
(中略)
特に最後の「権限を絞ったアカウントを用意する」と言うのは大切です。
このアカウントを用意して外部サービスに登録するのはこのアカウントの情報としておけば情報が漏れたとしてもアプリの譲渡などの操作は行えませんし、アカウント自体を無効にし、作り直せば安全は取り戻せます。佐野正弘が読み解く スマホアプリマーケット傾向と対策 - 第102回 App Storeでアプリが丸ごと盗まれる被害が発生、何が原因なのか (日経 IT Pro, 2014.08.26)。その後の状況についても書かれている。
さらに8月9日に確認したところ、アプリを削除したようで、現在はApp Storeからアプリをダウンロードできなくなっている。この間、作者はApp Storeや犯人側に異議を申し立てるなど何らかの交渉をしたようだが、結局アプリを取り戻すことはできず、苦労して開発したアプリがマーケットから消滅してしまったのである。
その一方で、確認した限りアプリを盗んだとされる犯人のアカウントは削除されておらず、アカウント盗難に用いたと見られるツールアプリは現在も継続して公開されているようだ。App Store側から何らかのペナルティーを受けたり、アカウント削除がなされたりしているわけではないようで、今後も同様の被害が発生する可能性がある。
こうした点から、App Storeはアプリ開発者間のトラブルに踏み込んで対応しているとは言い難い状況が見えてくる。判断が難しい部分もあるのだが、トラブルに関するサポート体制にも改善が求められるところだ。
■ 追記
Androidの脆弱性「Fake ID」の危険性:正規アプリインストール後の改ざんが可能に (トレンドマイクロ セキュリティ blog, 2014.08.18)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
[私について]