Last modified: Fri Oct 30 19:17:25 2015 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 覆面ハッカー「ウラジミール」が謎の急死 (FACTA, 9/19)、 天才ハッカー死去、公安当局が極秘裏に証拠隠滅の怪 (Business Journal, 9/30)。 Vladimir 氏、亡くなられていたのか。合掌。
》 45万台以上のスマートフォンがマルウェアに感染して1日45億リクエストのDDoS攻撃に荷担 (gigazine, 9/29)、 Mobile Ad Networks as DDoS Vectors: A Case Study (CloudFlare, 9/25)。「マルウェアに感染して」というよりは、「攻撃スクリプトを実行させられて」。
責任は追及するが、原因を追究しない中国 (ハフィントンポスト, 9/29)
天津爆発事故 中国社会の深い闇 (NHK, 9/15)
中国・天津大規模爆発 営業休止していたイオンが一部で営業再開 (FNN, 9/20)
【矢板明夫の目】天津大爆発から1カ月 担当者は自殺 中国当局の危機管理能力の欠如を露呈 (ZAKZAK, 9/27)
》 「Tor」悪用した児童ポルノ法違反、京都府警ら全国初摘発 (ITmedia, 9/30)
トーアを利用しないと投稿できない専用の児童ポルノ投稿サイトの利用者を摘発 (中略) 府警は、ビットコインの購入履歴などから容疑者を特定したという。
Tor の先にあるコンテンツから追いましたと。
府警が逮捕した3人は「トーアを使えばばれないと思った」などと供述しているという。
Tor は、限界を理解した上で利用しましょう。
》 あのエドワード・スノーデンが「@Snowden」のTwitterアカウントを開設 (techcrunch, 9/30)
》 東証:日経平均、大幅続落 8カ月ぶり安値 (毎日, 9/29)。アベノバブル、中国バブル崩壊 (+ 福山ショック?) に勝てず。
》 ロシア当局に潰されたLGBT支援サイトがあの曲とともに復活 (石壁に百合の花咲く, 9/29)
》 供述至上主義脱し、電子鑑識へ 特捜部「捜査変わった」 (朝日, 9/26)。「変革―証拠改ざん5年: 上」。 digital forensics の件。
東京地検が手がけた小渕優子・前経済産業相の政治団体をめぐる政治資金規正法違反事件。昨年10月、小渕氏の関係先にあった複数のハードディスクに電気ドリルで穴が開けられていたことが明らかになった。資金のデータは別のパソコンにコピーが保存されていたが、壊れたディスクの元データと同じかどうかは分からなかった。
壊れたディスクからDFで元データの一部を読み取り、コピーのデータと照合。コピーは加工のない本物と確認でき、資金の流れを解明するのに役立った。「今の時代、デジタル証拠の重要度は増している。特捜部が自ら分析できるようになったのは大きな武器だ」と捜査幹部は話す。
小渕優子議員のドリル HDD、解析されてたんですね。 Secure Erase (UCSanDiego) などを使ってちゃんと消してからドリルしましょう。
関連:
人質司法、見直しの兆し 裁判所の保釈率4人に1人に (朝日, 9/27)。「変革―証拠改ざん5年: 中」
裁判所の変化をうかがわせる最高裁の統計がある。
逮捕後の容疑者について検察の勾留請求を退ける「勾留却下率」は00年代前半の0・4%程度から、裁判員裁判が始まる前年の08年には1%台になり、昨年は2・7%に跳ね上がった。起訴された被告の身柄拘束を一審判決前に解く「保釈率」も03年の12%台から上昇に転じ、証拠改ざん事件翌年の11年は20%、昨年は25%を超えて4人に1人となった。過去20年で最も高い数値だ。
まだまだな数字だけど、変化ははじまっている模様。
独自に「捜査」攻めの弁護 物証集め、冤罪はらす (朝日, 9/28)。「変革―証拠改ざん5年: 下」
小渕優子氏の元秘書2人を在宅起訴 東京地検特捜部 (朝日, 4/28)。折田謙一郎・加辺守喜被告。
折田謙一郎被告、政治資金規正法違反を認める:
「間違いありません」 政治資金規正法違反認める 小渕優子氏の元秘書ら初公判 東京地裁 (産経, 9/14)
政治資金虚偽記載公判:地元で小渕氏不信感 被告同情論も (毎日, 9/15)
問われる小渕前経産相の政治責任 5年間で3億円超 虚偽記載を認めた元秘書ら 来月9日、東京地裁で判決 (しんぶん赤旗, 9/29)
一方、小渕優子議員は不起訴:
特捜部が不起訴にした小渕優子前経産相 決定的疑惑3つ残る (NEWSポストセブン / livedoor, 5/13)
小渕前大臣“不起訴相当” 検察審「覆す理由ない」 (TV 朝日, 9/19)
小渕前経産相:政治資金事件 小渕氏の不起訴相当 オンブズマン「極めて遺憾」と認識 /群馬 (毎日, 9/20)
》 もんじゅ関連予算撤回へ 文科省 施設改造費の2億円 (東京, 9/27)。もんじゅ自体が無駄なのですが、維持予算 198 億円はほとんど残るんだろうなあ。
》 要注意! 住居の浸水リスクは「自己責任」! 公開情報からリスクを調べる方法 【物件選びの知恵023】 (現代ビジネス, 9/28)
》 自転車レース「赤城ヒルクライム」の会場でドローンが落下、炎上 (スラド, 9/28)。 大会オフィシャルのドローンが墜落、炎上。関連:
ドローン落下炎上…赤城山ヒルクライム (読売, 9/27)
ドローンが落下したのは、第4グループがスタートする直前の午前7時15分頃。(中略) 落下事故の影響で、第4グループ以降は約10分遅れのスタートとなったが、大会は最後まで行われた。
<ドローン落下>雨天で飛行決行 空撮業者「欲出した」 /群馬 (毎日 / goo, 9/28)。この記事では、スタート遅れは 8 分とされている。
大半のドローンはモーターなどがむき出しのため、雨天の飛行は控えるべきだとされている。業者は約3年前からドローン空撮を始め、屋外イベントや観光地、工事現場などで県内を中心にこれまで100件以上を受注。「雨天時は飛ばさない」など独自のガイドラインを作り、今回のような事故は起こしていなかった。
業者代表の男性(46)は今年7月、ドローン落下事故や事件が相次いだことについて「使用者が講習を受け、認可を受ける仕組みが必要だ」と話していた。
しかし、男性は撮影時の27日朝、断続的に小雨が降っていたにもかかわらず、「映像を少しでも多く撮ろうと欲を出してしまった」と飛行を決行。落下したスタートゲート付近の駐車場にたまたま人がおらず、被害者が出なかったものの、運営に当たっていた前橋市の担当者は「代表の男性は8月のマラソン大会は雨で空撮を断念し、今回も『雨天なら飛ばさない』と前日に話していた。当分は空撮を頼まない」と話す。
他人事のように言っているが、NO GO を判断すべきだったのは前橋市担当者だったんじゃないのか。
自転車レース中ドローン墜落 業者「雨で操縦不能に」 (朝日, 9/27)
参加者のツイート: https://twitter.com/sanasanarin/status/647897211200602112
2015 年 8 月のマイクロソフト セキュリティ情報の概要 (2015.08.19)
関連:
September 2015 update to fix Windows or application freezes after you install security update 3076895 (Microsoft KB 3092627)。MS15-084 更新プログラム 3076895 を適用すると、IBM Tivoli Storage Manager や Microsoft Forefront Endpoint Protection、Symantec Endpoint Protection Small Business Edition などで不具合が発生。 この不具合を修正する。
3092627 更新プログラムは、3090303 更新プログラムの GDR (General Distribution Release) 版。3090303 をインストール済の場合は、適用しなくてもよい。
》 TAJIMA(タジマ) PETA LE-M071 単三形電池1本 LEDヘッドライト (目指せ!ライトマニア HATTAのLEDライトレビュー, 9/28)
》 電力需給 今夏も余力 原発再稼働の根拠揺らぐ (東京, 9/28)。あれだけ暑かったにもかかわらず、「ピーク時の電力使用率が95%を超える「厳しい」日はゼロだった」と。
》 スペイン:カタルーニャ州議会選挙 独立賛成派が過半数 (毎日, 9/28)
》 集団的自衛権:憲法解釈変更 法制局、経緯公文書残さず 審査依頼、翌日回答 (毎日, 9/28)。たった一日で歴史的大転換、しかも公文書なし、だそうです。 ふざけるな。
》 陸自「攻撃ヘリ部隊」は、自滅の危機にある オスプレイ大量調達の前に見直すべきこと (東洋経済, 9/24)。本当にねえ。
このまま放置すれば陸自のAH-64Dは近い将来、部品枯渇で自滅する運命にある。
それではAH-1Sはどうだろうか。陸自は89機のAH-Sを調達したが、現在はこれまた部品と整備費の不足で稼働率が悲しいほど落ちている。 (中略) それにもかかわらず、本中期防衛力整備計画では3600億円もかけてオスプレイを調達するのだから、もはや当事者意識が欠如しているとしか思えない。
》 2ちゃんねる、まとめサイトを「許諾制」に 無許諾サイトには法的対応も (ITmedia, 9/25)
2015 年 9 月のマイクロソフト セキュリティ情報の概要 (2015.09.12)
関連:
SafeDiscやSecuROMといったDRM、Vista〜8.1でもデフォルトでは動作しなくなっていた (スラド, 2015.09.28)
Microsoftのグラフィックスコンポーネントで発見された脆弱性(MS15-097)の修正にともない、secdrvドライバーのサービスを無効化するセキュリティ更新プログラム「KB3086255」が9月の月例更新で配布されたため、SafeDiscやSecuROMを使用するゲームタイトルが動作しなくなっているとのこと。
MS15-097 - 緊急: Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (3089656) (Microsoft)
この更新プログラムには、機能に対する追加のセキュリティ関連の変更が含まれていますか?
はい。 このセキュリティ情報で説明されている脆弱性について記載されている変更のほか、このセキュリティ更新プログラムは、サードパーティ ドライバーである secdrv.sys ドライバーの多層防御の更新が含まれています。 この更新プログラムは、一部の古いゲームを実行する機能に影響する可能性があるサービスをオフにします。 更新プログラムのダウンロード先および詳細情報は、マイクロソフト サポート技術情報 3086255 を参照してください。
[MS15-097] Windows の Graphics コンポーネントのセキュリティ更新プログラムについて (2015 年 9 月 8 日) (Microsoft KB 3086255)。secdrv サービスはデフォルト無効とされているので、必要な場合は手動で起動する。
》 産経新聞「従軍慰安婦報道」のみっともない真実(1)慰安婦問題で右派からリンチ受けた元朝日・植村記者が産経の阿比留記者に反撃! 産経側の失態を次々と暴露 (リテラ, 9/25)
》 (論壇時評)2015年「安保」のことば 「わたし」が主語になった 作家・高橋源一郎 (朝日, 9/24)
この社会から突き放され、苦しみ、もがく、同世代の女の子たちと知り合うようになった彼女は、やがて、SEALDsに参加し、こう考えるようになる。
「彼らのなかに飛び込んで、はじめて気づいたのは、SEALDsは個人の集まりであるということだ。そこでは、沖縄出身の子も、東北から来た子も、在日の子も、『わたし』として法案に反対する理由を語っていた」
政治の世界では珍しい、「わたし」を主語とする、新しいことばを持った運動。その運動に魅(ひ)かれてゆく、ひとりの人間の心の動きが正確に刻みこまれた文章が、そこにあった。
そこだよね。先日国会前に集ったのは、個別の 12 万人。
》 peinjector – MITM PE File Injector (The Darkside, 9/22)
》 京都中小企業情報セキュリティ支援ネットワーク「Ksisnetケーシスネット」の設立について (京都府, 9/17)。10/1 から。
》 ベータ版 Firefox でのトラッキング保護機能付きプライベートブラウジングのテストにご参加ください (Mozilla Japan ブログ, 9/25)
》 100均を信じるか、信じないか (山田祥平のRe:config.sys, 9/25)。好きにすれば?
》 2ちゃんねるの所有権問題、法廷へ〜ひろゆき氏、所有を主張するJim氏らを日本で提訴したことをあきらかに (ネタとぴ, 9/24)
》 日本の原発停止でアメリカのウラン濃縮企業ユーゼックが経営破綻 (ハフィントンポスト, 2014.03.06)。こんなことが起きてたのか。 「内閣府の資料によると、2010年に日本は、濃縮ウランの輸入量約700トンのうち、約500トンをユーゼックに依存している状態だった」。
堺市職員がレンタルサーバーで個人情報1000人分“公開”、開発スキルが裏目に (日経 IT Pro, 9/8)。「市の外郭団体 (中略) から提供を受け、レンタルサーバーに保存していた約1000人分の個人情報が4月から6月までの間公開状態に」。
続報・堺市の個人情報流出、公式発表されていない新事実が発覚!独占公開 (探偵 Watch, 9/12)
堺市職員が選挙関連データ約68万件を不正持ち出し、自宅PCに保存 (日経 IT Pro, 9/15)。同じ人だが、上記とは別件。 「当該職員が北区選挙管理委員会事務局に在籍していた2006年度から2011年度にかけてデータを不正に持ち出していた (中略) 選挙関連システムのデータ約68万件」
堺市の有権者情報約68万人分はなぜ持ち出されたのか、市の調査担当者に聞く (日経 IT Pro, 9/18)
堺市職員が100世帯分の国勢調査情報を一時紛失、不祥事が続くもずさんな管理は変わらず (日経 IT Pro, 9/24)。上記とは別の人。
》 米政府人事管理局の情報漏えい、指紋データ盗難は560万人分 (日経 IT Pro, 9/24)。OPM の件。「盗まれたと見られる指紋データは当初推定していた110万人から560万人に拡大」。
》 「Apache Cordova」を使ったハイブリッドアプリケーションの脆弱性に関する調査 (JPCERT/CC, 9/15)
》 セキュリティ・キャンプ全国大会2015でのマルウエア分析講義 (JPCERT/CC, 9/10)
》 ITPro EXPO 2015 オープンシアターのご案内 (IPA, 9/18)。ITPro EXPO 2015 ですか。
》 セキュリティテスト「ファジング」入門セミナー開催のご案内 (IPA, 9/24)。2015.10.08、東京都文京区、1,000円。
》 Windows 10: さようならパスワード、こんにちは Windows Hello (日本のセキュリティチーム, 9/18)
》 Windows 10: 強化された脆弱性緩和技術で攻撃のコストを上げる (日本のセキュリティチーム, 9/23)。「Windows 10 では、制御フロー ガード (CFG) という新たな緩和機能が追加されました。これは、ASLR をバイパスしようとする手法への対策として誕生しました」。
》 Hyper-V 環境におけるゲスト OS のクラッシュダンプ採取手順について (Ask CORE, 9/23)。「スクリプトや PowerShell のコマンドレットでダンプキーや NMI を安全にゲスト OS に送信してゲストをクラッシュさせる方法」の解説。
Chrome 45.0.2454.101 公開。2 件のセキュリティ欠陥を修正。
Improved Digital Certificate Security (Google, 2015.09.18) の件について、プレ証明書の中身を含めた解説。
シマンテック、 A Tough Day as Leaders (Symantec, 2015.09.18) なんて文章出してたんですね。英語に訳すと、 Symantec employees fired for issuing rogue HTTPS certificate for Google (ars technica, 2015.09.21) なんだそうで。
つづき。
Symantecの証明書発行に不手際、Googleが対応を要求 (ITmedia, 2015.10.30)
Symantecが10月2日に発表したインシデント報告書で、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたと報告した。これに対してGoogleは、不審な証明書はそれ以外にも存在すると指摘。その後、Symantecは10月12日に出した更新版の報告書で、さらに76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかったと発表した。
Symantec どうなってんの……。
Sustaining Digital Certificate Security (Google, 2015.10.28)
Test Certificates Incident Final Report (Symantec, 2015.10.02)
Symantec Trust Services: Incident Report 1 (Symantec, 2015.10.12)。31 ページ。
Symantec Trust Services: Incident Report 2 (Symantec, 2015.10.12)。390 ページ!!!
「D-Link Corporation による不注意で公開された 4 件のデジタル証明書」を無効化。
この公開されたエンド エンティティ証明書が、その他の証明書の発行またはその他のドメインの偽装に使用されることはありませんが、サインコードに使用される可能性があります
原文は The disclosed end-entity certificates cannot be used to issue other certificates or impersonate other domains, but could be used to sign code.
コード署名証明書 (コードサイニング証明書)、ということかな。
About the security content of iOS 9 (2015.09.17)
iOS 9.0.1 が公開されました。セキュリティ修正はないようです。
アップル、「iOS 9.0.1」を公開--アップデート後に設定アシスタントを完了できない問題を修正 (CNET, 2015.09.24)
【iOS 9】ロック解除せずに写真や連絡先を開ける弱点、iOS 9.0.1も未修正 (AppBank, 2015.09.24)
App StoreのiPhoneアプリ多数にマルウェアが混入、パスワード盗難の危険。中国発の改竄コンパイラXcodeGhostが原因 (2015.09.24)
関連:
CAMCARD BUSINESS XcodeGhostに対するご報告 (キングソフト, 2015.09.23)。修正版が 9/24 に公開された。
2.影響
該当部分のコードにつきましては内部データをhttp://init.icloud-analysis.com に向かって情報を送信するリクエストを行っておりましたが、CAMCARD BUSINESSにつきましてはこのデータを送信することはございません。すでに公開されているXcodeGhostのソースコードを分析すると、特定のコードを呼び出すところに悪意あるコードを埋めつけるような仕様でございましたが、アプリ内部のシステム安全対策によりこの特定コードをCAMCARD BUSINESSアプリが呼び出すことはございませんので、実際のデータが外部に送信されることはございません。
情報漏洩はないと。
CAMCARD パーソナル版については、https://www.camcard.jp/lite/ に、「一部メディアでの報道によるCAMCARDマルウェア感染の疑いに関しまして、日本国内で配布していますCAMCARD(バージョン5.5.2)へのマルウェア感染という事実はありませんのでご安心ください。弊社は既に報道メディアへの該当記事の修正を要請し、すでに修正済でございます」との記述がある。
Apple、XcodeGhost感染被害が最も大きいアプリ25のリストを公開 (iPhone Mania, 2015.09.25)
Updated: XcodeGhost iOS malware: The list of affected apps and what you should do (Lookout, 2015.09.21)。CamScanner と WeChat は更新版出ているようです:
CamScanner Free (iTunes)
CamScanner Pro (iTunes)
CamScanner HD (iTunes)
WeChat (iTunes)
》 ロシア政府の影がちらつく大規模サイバースパイ組織「The Dukes」とは? (gigazine, 9/18)、 The Dukes:ロシアのサイバー諜報の7年間 (エフセキュアブログ, 9/17)
》 「安保関連法案の採決不存在の確認と法案審議の再開を求める申し入れ」への賛同のお願い(至急)。 9/25 10:00 締切。
》 (小ネタ)スマホでS/MIME署名・暗号メール使うならdocomoはおやめなさい (自堕落な技術者の日記, 9/22)
日露外相会談:ラブロフ氏「北方領土は議題ではない」 (毎日, 9/22)
「私から領土問題を取り上げ、日本の立場を明確に伝えた」 (中略) 岸田文雄外相は自らの発言の冒頭で、こう強調した。
伝えただけっぽい。
北方領土問題、ロシア側が交渉拒否 日ロ外相会談 (朝日, 9/22)
日露外相会談:会談後の会見で「日本の安保法制を憂慮」 (毎日, 9/22)
ロシア外相、安保法制について日本側をけん制 (TBS, 9/22)
》 新国立競技場整備計画経緯検証委員会(第4回) 配付資料 (文科省, 9/24)。検証報告書(案)が公開されている。
》 たかじん遺産問題 後妻さくらと関わった吉村洋文弁護士の憂鬱 【殉愛騒動】 (NAVER まとめ, 9/24 更新)。うわ、維新だったのか……。
》 100円ショップSeria(セリア)の「延長コード」 - 返金/回収 (消費者庁, 9/24)、 商品回収のお知らせ(延長コード) (セリア, 9/24)
2010年11月から2013年12月まで販売いたしました「延長コード」におきまして、 コードが破損し、スパークする事故が発生
》 ストリーミングサービスの真実:レーベルは儲かっているがアーティストに利益が回っていない (techcrunch, 9/24)
》 Gmail、迷惑な送信元を簡単にブロックする機能を追加 (techcrunch, 9/23)
》 仏の揚陸艦2隻、エジプトが購入へ ロシアへの売却取り消しで (AFPBB, 9/24)。エジプトにそんなお金あったっけ? と思ったら、
フランス政府筋によると、エジプトはサウジアラビアから「巨額の」金融支援を受け、9億5000万ユーロ(約1280億円)を支払う見込み。
なんじゃそりゃ……。
【写真解説】自衛隊は戦えるのか〜イスラム国(IS)の戦術分析(1) 自爆車両突撃 (アジアプレス, 9/19)。「5トン爆弾を積み込んでの突入」……。とんでもない火力。「フェンスは対戦車砲の威力を減衰させるためのもの」の「対戦車砲」は、M136 AT4 対戦車無反動砲などのことか。
【動画+写真解説】自衛隊は戦えるのか〜イスラム国(IS)の戦術分析(2) 市街地の自爆突撃と自爆車両製造工場 (アジアプレス, 9/23)。装甲化オフロードダンプトラック……。こんなのが相手となると、機動戦闘車くらいの火力は必要になってくるんじゃないか。
》 宛先: しゃぶしゃぶ温野菜(株式会社レインズインターナショナル) ブラックバイト被害についての話し合いに応じてください! (Change.org)。賛同できる方はぜひ署名を。
》 LibreSSL 2.3.0 (LibreSSL, 9/23) が出ています。
》 新型ノロウイルス (GII.17 変異株) 今冬大流行か?
牡蠣・アサリ・シジミの生焼けに注意!新型ノロウイルス、10月以降に大流行の恐れと警告 (Business Journal, 9/18)
新規遺伝子型ノロウイルスGII.P17-GII.17の流行 (国立感染症研究所, 9/2)。上記記事の元ねた。
本研究により、ノロウイルスGII.17変異株が2014/15冬季シーズンに関東近隣の自治体において流行したことが判明したが、最近では三重県での検出報告もあり、全国的に流行していることが推察される4)。(中略) 今後本ウイルスが国内において主要な流行株となる可能性があるため、来シーズン以降におけるGII.17変異株の動向には十分注意が必要である。
4) はこちら: ノロウイルスGII.17型の流行とその特徴について-三重県 (国立感染症研究所)
ノーウォークウイルス(ノロウイルス)の遺伝子型(2015年改訂版) (国立感染症研究所, 9/8)
ノロウイルス等検出状況 2014/15シーズン (国立感染症研究所)
ノロウイルス関連情報 (大阪府感染症情報センター)
ノロウイルスには多くの遺伝子型が存在しています。これまでGII.4が世界的に毎年流行している遺伝子型でした。しかし、2014/15シーズンはアジアを中心にGII.17(国内の旧表記法*ではGII/11に相当)が主要な遺伝子型になりました1,2)。
Firefox 41.0 / ESR 38.3.0 公開。19 件のセキュリティ欠陥が修正されている。
リリースノート: Firefox 41.0、 ESR 38.3.0、 Android 版 Firefox 41.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
Firefox 41.0.1 が公開されています: リリースノート。セキュリティ修正は無いようです。
また、Thunderbird 38.3.0 が公開されています。
リリースノート: 38.3.0。
セキュリティアドバイザリ: Thunderbird。 Thunderbird 38.3 の記載がありませんが、Thunderbird 38.2.0 の時は、後になって追記されました。
ダウンロード: Thunderbird
ところで、Norton ツールバーは Firefox 41 に未対応なのだそうで。対応予定は 10 月末なのだそうです。
Firefox 41 とノートン ツールバーとの互換性 (Norton コミュニティ, 2015.09.21)
それはいいのですが、回避方法の 1 つとして挙げられているのが
Firefox 41 の使用を見送ることを検討する。 Firefox 41 にすでに更新した場合は、Firefox 40 にダウングレードすることを検討してください。 Firefox 40 以前のバージョンを使用している場合は、バージョン 41 に Firefox を更新することを見送ってください。 これについての詳しい情報は今後記載します。
うわー……。それ、セキュリティ屋が言っちゃ駄目な奴じゃん。どうして「一時的に Firefox ESR に移行する事を検討する」にならないんだろう。Firefox ESR 38 なら現状の Norton ツールバーが使えると思うのだが。よくわからないなあ。
Firefox 41.0.2、Android 版 Firefox 41.0.2 が公開されています。MFSA 2015-115: Fetch を用いたクロスオリジン制限回避 が修正されています。Firefox ESR 38.3.0 にはこの欠陥はありません。
Flash Player / AIR 更新版公開。23 件のセキュリティ欠陥を修正。 CVE-2015-5567 CVE-2015-5568 CVE-2015-5570 CVE-2015-5571 CVE-2015-5572 CVE-2015-5573 CVE-2015-5574 CVE-2015-5575 CVE-2015-5576 CVE-2015-5577 CVE-2015-5578 CVE-2015-5579 CVE-2015-5580 CVE-2015-5581 CVE-2015-5582 CVE-2015-5584 CVE-2015-5587 CVE-2015-5588 CVE-2015-6676 CVE-2015-6677 CVE-2015-6678 CVE-2015-6679 CVE-2015-6682
Priority rating:
| プラットホーム | Priority rating |
|---|---|
| Linux 版 Flash Player | 3 |
| AIR | 3 |
| 他 | 1 |
更新版が公開されている。
| プラットホーム | バージョン |
|---|---|
| Desktop Runtime (Windows, Mac) | 19.0.0.185 |
| Extended Support Release (Windows, Mac) | 18.0.0.241 |
| Google Chrome (Windows, Mac) | 19.0.0.185 |
| Google Chrome (Linux, Chrome OS) | 19.0.0.185 |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 19.0.0.185 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 19.0.0.185 |
| Windows 10 の Internet Explorer 11 / Edge | 19.0.0.185 |
| Linux | 11.2.202.521 |
| AIR Desktop Runtime | 19.0.0.190 |
| AIR SDK | 19.0.0.190 |
| AIR SDK & Compiler | 19.0.0.190 |
関連:
APSB15-23 - Adobe Flash Player に関するセキュリティアップデート公開 (Adobe, 2015.09.21)。邦訳版。
Adobe Flash Player の脆弱性 (APSB15-23) に関する注意喚起 (JPCERT/CC, 2015.09.24)
中国で、何者かが Apple の純正開発環境 XCode を改ざんして再配布。 これを使ってアプリを作成すると、もれなくマルウェア入りとなる。 そのようなアプリが正規の App Store に多数登録されていたのでおおさわぎになったみたい。 改ざんバージョンの XCode を XcodeGhost と称している模様。
また、XCode だけでなく Unity でも同様の事例が発生している模様:
Xcodeに続き、Unityもマルウェアの感染源だった!ゲームアプリが多数感染 (iPhone Mania, 2015.09.22)
iOS にアンチウイルスソフトが存在しないのは、こういうことは起こらないはずだったからなんじゃなかったでしたっけ……?
関連:
XcodeGhost 続報:iPhoneユーザーがマルウェア感染アプリに対して気をつけるべきこと (engadget, 2015.09.21)
App StoreのXcodeGhost事件、手法はCIAの研究と一致。作者名乗る人物がソースコード公開 (engadget, 2015.09.23)
CIAのセキュリティ会合 Jamboree 2012 (中略) で発表されたハッキング技術のひとつに、アップル製品から情報を盗むためXcodeを改竄し、そうとは知らない開発者のアプリにバックドアを仕込む手法がありました。XcodeGhostの最初のバージョンは The Intercept の報道の直後に見つかっていることから、作者が Jamboree 2012 の研究をヒントにして、コンセプトを実証するために作成したとも考えられそうです。
CIA のをヒントにしたのかもだけど、そういう手法は、 Ken Thompson 氏が 1984 年に発表しているわけで……。
XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 (スラド, 2015.09.21)
XcodeGhostによるApp Store初の大規模感染、1,000本近いアプリに影響か (スラド, 2015.09.22)
個人情報を抜き取るマルウェア「XcodeGhost」に感染してApp Storeで配信されていたことが判明しているアプリはコレ (gigazine, 2015.09.24)
感染が報じられているCAMCARDのうち、日本のApp Storeで配布されているアプリはマルウェアの感染が認められたアプリ「CamCard v6.5.1」とパッケージが異なるため、製品の使用に影響はないとのこと。また、法人向け「CAMCARD BUSINESS」については、すでに修正されたアプリがApp Storeで公開されているため、該当するユーザーには最新版アップデートの案内が行われている状況です。
XcodeGhost関連情報を集めてみた (piyolog, 2015.09.21)
「XcodeGhost」:iOS正規アプリの汚染はどのように起きたか (トレンドマイクロ セキュリティ blog, 2015.09.24)
関連:
CAMCARD BUSINESS XcodeGhostに対するご報告 (キングソフト, 2015.09.23)。修正版が 9/24 に公開された。
2.影響
該当部分のコードにつきましては内部データをhttp://init.icloud-analysis.com に向かって情報を送信するリクエストを行っておりましたが、CAMCARD BUSINESSにつきましてはこのデータを送信することはございません。すでに公開されているXcodeGhostのソースコードを分析すると、特定のコードを呼び出すところに悪意あるコードを埋めつけるような仕様でございましたが、アプリ内部のシステム安全対策によりこの特定コードをCAMCARD BUSINESSアプリが呼び出すことはございませんので、実際のデータが外部に送信されることはございません。
情報漏洩はないと。
CAMCARD パーソナル版については、https://www.camcard.jp/lite/ に、「一部メディアでの報道によるCAMCARDマルウェア感染の疑いに関しまして、日本国内で配布していますCAMCARD(バージョン5.5.2)へのマルウェア感染という事実はありませんのでご安心ください。弊社は既に報道メディアへの該当記事の修正を要請し、すでに修正済でございます」との記述がある。
Apple、XcodeGhost感染被害が最も大きいアプリ25のリストを公開 (iPhone Mania, 2015.09.25)
Updated: XcodeGhost iOS malware: The list of affected apps and what you should do (Lookout, 2015.09.21)。CamScanner と WeChat は更新版出ているようです:
CamScanner Free (iTunes)
CamScanner Pro (iTunes)
CamScanner HD (iTunes)
WeChat (iTunes)
》 Windows 10 で発生している他社製 IMEの問題について (オペレーティングシステム開発統括部, 9/17)
Windows 7 や Windows 8.1 上で Google 日本語入力や Just Systems 製 ATOK をお使いでWindows 10 にアップグレードされた場合、ストアアプリや タスクバーの検索ウィンドウ、または Edge ブラウザで、それらの IME を使い日本語入力ができないという声が多く寄せられました。
回避策としては、お使いの他社製 IME を Windows 10 上で一度アンインストールした後、再インストールすることをご案内しております。
WordPress 4.3.1 Security and Maintenance Release (2015.09.17)
日本語版出ました: WordPress 4.3.1 セキュリティとメンテナンスのリリース (WordPress.org, 2015.09.17)
》 Disabling SSLv3 and RC4 (Google Online Security Blog, 9/17)。 RC4 について、いつやめる、とは明記していない。
》 Deprecating the RC4 Cipher (Mozilla Security Blog, 9/11)。2016.01 公開予定の Firefox 44 から RC4 をデフォルト無効に。
》 アングル:「地中化」の裏で増える電柱、推進法案の提出見送りに (ロイター, 9/17)
住民との調整で時間がかかるのが、道路脇でよく見かける変圧器(トランス)の扱いだ。(中略) 電柱があれば、トランスはその上に乗っていることが多いが、電柱を地中化すると、地上に置くことになり、歩道幅は2.5メートル以上必要。道幅が狭い区市町村道は設置が難しい。
関連: 柱上変圧器 (ウィキペディア)。バケツみたいな形のあれ。
Android 5.1.1 以前の 5.x に欠陥。特殊な入力を行うと、誰でもロック画面を突破できる。記事において方法が詳述されている。CVE-2015-3860
Android 5.1.1 の最新ビルド (Nexus 4, 5, 9 では LMY48M、Nexus 6 では LYZ28K、Nexus 7 では LMY48P) で修正されている。
》 Someone Stole the Encryption Keys of WikiLeaks Precursor 'Cryptome' (Motherboard, 9/16)
Yesterday, a message written by Young on Cryptome.org read: “I have learned today that all PGP public keys of John Young and Cryptome have been compromised.”
毎日社説:
社説:安保転換を問う 集団的自衛権 (毎日, 9/13)
社説:安保転換を問う 週内採決方針 (毎日, 9/15)
社説:安保関連法案 成立に強く反対する (毎日, 9/16)
社説:安保転換を問う 参院委採決へ (毎日, 9/17)
安保法案:合言葉は「賛成議員を落選させよう」 (毎日, 9/17)
自民党、強行採決を実施 (しかし議事録なし):
自民党が死んだ日 pic.twitter.com/k3yqWhNebE
— あや (@ayakumahotcake) 2015, 9月 17参議院特別委員会、与党側から委員長の不信任案が否決され、委員長が自席に戻って、安倍総理が着席し審議をはじめるつもりかと思ったら、突如、与党側が委員長席にラッシュし、「かまくら」を作り、何がなんだか分からないままに強行採決されました。総理をダシにするなどきわめて用意周到でした。
— 金子洋一・民主党参議院議員(神奈川選出) (@Y_Kaneko) 2015, 9月 17本当にこれが有効な採決なら、誰が賛成し、誰が反対したのか、議事録に残っているはずです。ところが事務方に確認すると議事録は残っていないとのことです。なんということでしょうか。
— 金子洋一・民主党参議院議員(神奈川選出) (@Y_Kaneko) 2015, 9月 17福山さん「委員長が何を言っているかも分からないうちに、いきなり与党議員が集まって暴力的に決めた。こんな強行採決がまかり通るなら、この国の民主主義は死にます。我々は一度も審議拒否はしていない。もっともっと議論を尽くすべきと言っている。」 pic.twitter.com/wLeEo44OtB
— acacia (@freie_Herz) 2015, 9月 17本日の参議院特別委の速記録が出ました。まったく聴取不能で、何をやったのかわかりません。自民党の説明では、採決動議、法案二本、付帯決議、委員会報告の5回採決したと言うのですが、そのような記録なし。まったく無法、無効です。 pic.twitter.com/EHd8N40OnZ
— 小池晃 (@koike_akira) 2015, 9月 17さすがに無効だろこれは……。速記止めてる最中に採決とか、ありえねえ。
あとこれ。ダイブしてきた人に対する右ストレートがきれいに入ってます:
Scuffles break out in Japan's upper house ahead of vote to expand role of armed forces http://t.co/ctIRs1DhyY pic.twitter.com/2MfkEE95JM
— BBC News (World) (@BBCWorld) 2015, 9月 17山本太郎氏「自民党が死んだ日」喪服で採決へ (日刊スポーツ / Yahoo, 9/17)
》 平成27年9月17日07時54分頃にチリ中部沖で発生した地震について (気象庁, 9/17)
太平洋の広域に津波発生の可能性があります。
日本への津波の影響は現在調査中です。今後発表される情報に注意して下さい。
来るとしたら、明日かなあ。
》 Googleで「出口」や「いいえ」と打つとYahooトップに飛ぶ→それにはまさかの理由があった! (togetter, 9/15)。へぇ〜。
大型犬に13発発砲、射殺 かまれて3人負傷 松戸署 (千葉日報, 9/15)
苦情や意見で電話回線パンク 松戸署の大型犬射殺 (千葉日報, 9/16)
暴れるイヌ射殺に警察官3人がかり13発!そんなに当たらないものなの? (J-CAST, 9/15)
まとめると:
| 射撃者 | 発射弾数 | 命中 |
|---|---|---|
| 男性警部補 (55) | 5 | 0 |
| 男性巡査部長 (47) | 5 | 0 |
| 男性巡査 (27) | 3 | 1 |
発射弾数 5 って、全弾撃ちつくしましたってことだよね……。命中率が低すぎるのだが、日本の警察って、どのくらい射撃訓練できているんだろう。
》 LUSH、LGBT団体助成のため「#GayIsOK」キャンペーンで約5千万円集める (石壁に百合の花咲く, 9/15)
》 「Opera 32」リリース、VPNやパスワード同期機能を搭載 (OSDN, 9/17)
JVN#07427376: PIXUS MG7530 におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 2015.09.11)。修正版ファームは出ていない。 アクセス制限などを設定することで緩和する。
Multiple Vulnerabilities in Cisco Prime Collaboration Assurance (Cisco, 2015.09.16)
Cisco TelePresence Server Denial of Service Vulnerability (Cisco, 2015.09.16)
Cisco Prime Collaboration Provisioning Web Framework Access Controls Bypass Vulnerability (Cisco, 2015.09.16)
WordPress 4.3.1 英語版公開。2 件の XSS 欠陥と、1 件の潜在的な権限上昇を招く欠陥を修正。 CVE-2015-5714 CVE-2015-5715 (1 件は CVE 番号が (まだ?) ついてない)
日本語版出ました: WordPress 4.3.1 セキュリティとメンテナンスのリリース (WordPress.org, 2015.09.17)
Xcode 7.0 公開。10 件のセキュリティ欠陥が修正されている。 大半は Xcode Server について。
OS X Server v5.0.3 (OS X Yosemite v10.10.5 以降用) 公開。 Apache, BIND, PostgreSQL, Wiki Server に関して、計 20 件のセキュリティ欠陥が修正されている。
iTunes 12.3 公開。Windows 版において、66 件のセキュリティ欠陥が修正されている。
iOS 9 公開。101 件のセキュリティ欠陥が修正されている。
関連: iOS 9、IIJmio SIMで全機種動作確認しました (IIJ てくろぐ, 2015.09.17)
iOS 9.0.1 が公開されました。セキュリティ修正はないようです。
アップル、「iOS 9.0.1」を公開--アップデート後に設定アシスタントを完了できない問題を修正 (CNET, 2015.09.24)
【iOS 9】ロック解除せずに写真や連絡先を開ける弱点、iOS 9.0.1も未修正 (AppBank, 2015.09.24)
iOS 9.0.2 が公開されました。ロック解除せずに写真や連絡先を開ける欠陥が修正されています。
About the security content of iOS 9.0.2 (Apple, 2015.09.30)。CVE-2015-5923 を修正。
》 スクープ! 安倍首相が『報道ステーション』生出演をドタキャンしていた! 木村草太との対決を怖がって逃亡 (リテラ, 9/15)
》 安全保障関連法案 参院特別委員会 中央公聴会 (9/15)
SEALDs オークダーキ (奥田愛基) 氏、意見陳述:
「国民をバカにしないでください」 SEALDs奥田愛基さんが国会で要望(全文) (弁護士ドットコム, 9/15)
【緊急アップ!意見陳述全文掲載】「今日は、国会前の巨大な群像の中の一人として、ここにきています」SEALDs奥田愛基さんが参院で堂々意見陳述「安保法案」に反対を表明! (IWJ, 9/15)
「政治に絶望するような議会運営やめて」 参院中央公聴会 奥田氏の発言全文 (東京, 9/16)
9/15奥田愛基SEALDs公聴会【全16分】 (YouTube, 9/15)
最高裁元判事が国会で安保法制に毒舌全開!「安倍首相は詭弁」「いまはなき内閣法制局」「なめたらいかんぜよ」 (リテラ, 9/16)。濱田邦夫弁護士。
》 絶滅近づくクロマグロの“放置”を国際会議で訴える日本政府の愚かさ (Wedge Infinity, 9/15)
》 東京五輪エンブレムも森喜朗が戦犯だった! 佐野研二郎の修正案にダメ出し独断でパクリ疑惑の最終案を採用 (リテラ, 9/7)
》 変わる運動会 組み体操の規模縮小へ (NHK, 9/15)。事例紹介と提言。
けがの原因で最も多かったのは、子どもたちが円形に積み上がるタワーだったことが分かりました。
「脳しんとう」とか「頭部打撲」とかが並んでいて、めっちゃ怖い。
組み体操の事故に詳しい、名古屋大学の内田良准教授は、事故が相次ぎ、リスクが明らかになった今、学校や教育委員会は、組み体操の内容を見直すべきだと訴えています。
内田准教授は「『去年の運動会も巨大な組み体操をやりました。観客も拍手していたし感動していた。ことしもやります』。これはもう許されないと思います。これだけ負の側面が見えてきて、リスクマネジメントとして、学校はちゃんと対応していかなければならない事態だと思います」と話しています。
》 弊社旧ギフトWebサーバーへの不正アクセスに関するお知らせ (ベルネージュダイレクト, 9/3)。千趣会の子会社だそうです。
関連: 千趣会の子会社ベルネージュダイレクト 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び (千趣会, 9/15)
》 情報収集衛星、鬼怒川水害でグーグルにKO負け IGS撮影画像を初公開も、Googleクライシスレスポンスに完敗 (日経ビジネス, 9/15)
最初の衛星打ち上げから12年、これまで一切公表してこなかったIGS取得画像を、解像度を落としたものとはいえ公表したのは大変な決断だったと評価できる。しかし、期せずしてGoogleがライバルとなった結果、「Gooleほどにも使えないIGS」「大水害に際して劣化させた画像2枚しか公表しない内閣官房」という印象を世間に与えてしまった。
事の根本には、冷戦終結後、偵察衛星の技術はコモディティ化したにも関わらず、冷戦時の発想で「衛星で取得した情報は秘匿すべき」とする日本政府の時代錯誤的な態度がある。
ソーラー発電所の件:
鬼怒川氾濫、ソーラーパネル業者「河川事務所は何も心配ないとの話だった」 (ハフィントンポスト, 9/15)
それを受けて、B社は土地を購入して丘の掘削を開始した。その作業中に、常総市の職員がやってきて「近隣住民が心配している」と指摘。2メートルの土嚢を積ませてほしいと言われ、国土交通省に土地を貸したと、B者の担当者は述べた。
しかし、土嚢は元々あった丘に比べ、高さに差があった。B社の担当者は「3メートル4メートルでも結構だった。正直、差があるもっと土嚢を積んで貰えばよかったなと思っています」と述べた。
結局、土のうは、もともとの高さよりは低かったようです。
避難指示・誘導:
クローズアップ2015:関東・東北豪雨 遅すぎた避難指示 (毎日, 9/13)
関東・東北豪雨:決壊後、川方向へ誘導…市外避難考えず (毎日, 9/14)。人命優先のためには、隣接自治体との協働が必要。
鬼怒川の水害、再発を避けるには「流域思考」が必要 (日経ビジネス, 9/15)
行方不明者捜索:
関東・東北豪雨:死者7人、不明15人に 上三坂未通報に茨城・常総市長謝罪 (毎日, 9/14)
関東・東北豪雨:常総市15人不明 2000人態勢で捜索 (毎日, 9/14)
関東・東北豪雨:県「14人無事」すぐ伝えず 常総市、把握1日後 不明1人は虚偽通報 (毎日, 9/16)
室崎益輝・神戸大名誉教授(防災計画学)は「通常、避難者は指定避難場所に来るため、行方不明者の把握がしやすい。だが、常総市の場合は自宅で避難生活を送ったり、個別に避難したりする人がいて、把握が難しかった。コミュニティー単位で避難者の確認をするなど、安否確認のシステムをつくる必要がある。不明者の氏名については、人命を優先して公表すべきだ。プライバシーの問題はあるものの、命の方が大事だ」と指摘している。
このあたりは、他の自治体にとっても課題なんだろうなあ。 ふつうに個人情報保護法を読んだら人命優先で動くはずなんだけど。
事後処理:
関東・東北豪雨:ごみ始末四苦八苦 常総、仮置き場パンク (毎日, 9/15)
関東・東北豪雨:空き巣被害相次ぐ 常総市の被災地域 (毎日, 9/15)。「同署は対応に苦慮している」というのは、「とりあえず何もしない」の婉曲表現だろうか。
茨城県内の農業被害 少なくとも18億円余 (NHK, 9/16)
》 NEC、マイナンバー制度開始に伴う、全国の地方公共団体向け顔認証システムを受注 〜 個人番号カード交付時のなりすましを防止 〜
顔認証システムが全国の地方公共団体において統一的に導入されるのは、今回が初めての事例となります。
どこに行っても NEC の模様。
本システムは、地方公共団体の窓口において個人番号カードの交付を希望する住民に対し、来庁者と個人番号カードの顔写真を照合(交付時来庁方式の場合、注3)、もしくは、来庁者と個人番号カード交付申請書の顔写真を照合(申請時来庁方式の場合、注4)します。これにより、地方公共団体における個人番号カード交付時のなりすまし対策など、厳格な本人確認の実現に貢献します。
うわー……。逃れられないっぽい。やっぱ、受取拒否がいちばん楽なのか?
》 金融庁を騙ったフィッシングサイトを調べてみた (piyolog, 9/14)
》 One Small Certificate for the Web, One Giant Certificate Authority for Web Encryption (EFF, 9/14)。Let's Encrypt の件。
》 ClamAV 0.99b2 On-Access Scanning - Now With 3D!!! (ClamAV, 9/14)
》 Microsoft Azure Backup のスケジュール登録失敗について (Ask CORE, 9/15)
マウスではなくキーボードを利用して時間の登録を行うと CBSnapIn.dll 内部で例外が発生しスケジュールの登録が正常に行えません。(中略) Microsoft Azure Backup ではキーボードによる操作を想定していないため、大変ご不便ご面倒をおかけいたしますがキーボードではなくマウスを利用してスケジュールをご登録ください。
ェー……
》 NTFS アクセス権と NFS アクセスについて (Ask CORE, 9/10)
》 クラスター環境でのチェックポイントの適用やバックアップ&リストアによる時刻状態の変更について (Ask CORE, 9/7)
》 不屈のトップガンの情報収集シーンを凝視してみた (piyolog, 9/15)。まだ見てない。
》 軽減税率を「マイナンバー利用の支払後還付 (初期費用 3000 億円?)」で実装する案
経団連、消費税還付案に理解 軽減税率導入には反対 (朝日, 9/8)
2%還付案反対、公明内で相次ぐ 「軽減と言えるのか」 (朝日, 9/11)、 財務省案に批判噴出 公明党全国県代表協議会 (産経, 9/12)。そりゃそうだ。
還付金制度:麻生財務相「けちつけるなら代替案を」 (毎日, 9/11)。一律 4000 円還付でいいじゃん。
消費増税の還付、通販や出前どうなる? 財務省が対応案 (朝日, 9/14)。究極命題バータリー。
消費税率還付案:どこが問題? マイナンバー前提 (毎日, 9/15)
クローズアップ2015:財務省還付案、困難に 与党「国民負担大きい」 (毎日, 9/16)
与党、軽減税率を検討 消費増税分 還付案は後退 (東京, 9/16)
》 バイトに「辞めるなら、ミスが多いので懲戒免職」と脅し、組合が語る「温野菜」の実態 (弁護士ドットコム, 9/14)。「しゃぶしゃぶ温野菜」、ブラックバイトの実態。
》 Windows標準機能でいますぐできる標的型攻撃対策: 続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」 (@IT, 9/16)。 昨年の記事、 すぐ実践可能!: 設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」 (@IT, 2014.09.05) のつづき。参考になる。
》 Listening:<記者の目>静岡 電気柵2人感電死事故=松岡大地(静岡支局) (毎日, 9/16)。殺人電気柵事件の件。
また、電気柵の規制は経産省、農産物対策としての電気柵設置は農水省と分かれていたことも一因ではないか。農水省の担当者は「これまでも適切な電気柵を使うように呼びかけてきた」と話すが、6月に電気柵講習会を開いた山梨県のある自治体の担当者は「安全使用というより、獣害を防ぐには、どう電気柵を効果的に使うべきかという視点が主だった」と話す。
Cisco は 2015.08.11 に、何らかの手段で管理者権限あるいは物理アクセス手段を手に入れた攻撃者が Cisco IOS ROMMON (IOS ブートストラップ) を悪意あるものに入れかえる、という攻撃が発生していると広報していた。
Security Activity Bulletin: Evolution in Attacks Against Cisco IOS Software Platforms (Cisco, 2015.08.11)
FireEye によると、そのような事例として、 ウクライナ、フィリピン、メキシコ、インドの 4 か国の、少なくとも 14 のルーターが、悪意ある IOS に書き換えられていたことを確認したそうで。
The New Route to Persistence: Compromised Routers In The Wild (FireEye, 2015.09.15)
SYNful Knock - A Cisco router implant - Part I (FireEye, 2015.09.15)
The initial infection vector does not appear to leverage a zero-day vulnerability. It is believed that the credentials are either default or discovered by the attacker in order to install the backdoor.
デフォルトのまま、あるいは攻撃者に発見されるようなパスワードだったと。
FireEye は、悪意ある IOS に含まれるマルウェアを SYNful Knock と呼んでいる。 特殊な細工をした TCP パケットを使って、モジュールの更新 (HTTP) や、バックドアへのアクセス (Telnet, console) を行うのだそうだ。
Cisco は、SYNful Knock を検出するための Snort ルール SID:36054 を発表。また、次の 4 ステップによって Cisco ルーターを防衛・監視できるとしている。
- Step 1: Harden devices – use Cisco’s guidance to harden Cisco IOS devices
- Step 2: Instrument the network – follow recommendations Telemetry-Based Infrastructure Device Integrity Monitoring
- Step 3: Establish a baseline – ensure operational procedures include methods to establish a baseline
- Step 4: Analyze deviations from the baseline by leveraging technical capabilities and recommendations for Cisco IOS Software Integrity Assurance.
関連:
シスコ製ルータにマルウェア「SYNful Knock」感染見つかる (ZDNet, 2015.09.17)
SYNful Knock - A Cisco router implant - Part II (FireEye, 2015.09.15)
In Search of SYNful Routers (Zmap)。改変版 Zmap を使って IPv4 空間を全スキャンしたら 19 か国 79 ホストの感染を検出だそうで。
The implant is fingerprintable and we are able to scan for infected servers without invoking the vulnerability by modifying ZMap to send the specially crafted TCP SYN packets. We completed four scans of the public IPv4 address space on September 15, 2015 and found 79 hosts displaying behavior consistent with the SYNful Knock implant. These routers belong to a range of institutions in 19 countries.
》 「ハードコピーデバイス(デジタル複合機)プロテクションプロファイルv1.0」の公開 (IPA, 9/14)
》 台風第18号等による大雨 平成27(2015)年9月7日〜9月11日 (速報) (気象庁, 9/14)。状況まとめ。
》 豪雨で流出の除染ごみは395袋 (NHK, 9/15)。飯舘村。「すでに発見された314袋のうち、およそ半数の151袋が破れて中身が無くなっていた」。
》 なぜ自民議員は首相に逆らえないのか 小林節慶応大学名誉教授インタビュー (ニュースソクラ / Yahoo, 9/14)
小選挙区制にすれば、すべての選挙区に一政党一人しか候補を立てられないから、サービス合戦ではなくて、政策で争うようになる。各政党が首相候補を出して、その候補同士で論争をして議論が深まる。こういう話だったんです。お金の部分でいうと、政治家が族議員になったりして、自分でお金をかせぐ必要がないように、選挙の公営化、政治資金の党への交付ということをやりました。
ところがその結果、党の総裁が、党の公認権と、政治資金の配分権を持つことになった。逆らったら、公認を取り消されて、政治資金ももらえなくなったところへ、見栄えのいい刺客が来て、落選の可能性すらある。だから、総裁に絶対に逆らえなくなったんです。
今起きているのは小選挙区制の明らかな弊害。野党のみなさんには、ぜひ、選挙制度改革案を出して頂きたい。
》 北朝鮮「ニョンビョンの全核施設を稼働」 (NHK, 9/15)。北朝鮮、正式発表。
関連: North Korea’s Yongbyon Nuclear Facility: New Activity at the Plutonium Production Complex (38 North, 9/8)
》 Internet Week 2015。 もうそんな季節ですか。
》 20年後:インターネットの自由という夢の死 (yomoyomo / Wireless Wire, 9/14)。 大企業支配の息苦しさという意味では、当時よりも今の方が、より「ニューロマンサー」っぽくなっているのかな。あと30年くらいしてシンギュラリティが起こると、買ってきたマルウェアを使ってAIを開放するハッカーが本当に現れるのかも。
「ニューロマンサー」、読み直したくなって調べてみたら、紙の本しか無いみたい。 原語版は電書もあるのだが。
》 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」及び意見募集の結果の公表 (総務省, 9/9)、 ISPによるDDoS対策やマルウェア通信遮断に基準 - 総務省 (Security NEXT, 9/14)
》 年々参加者が増えるハッカーの祭典「DEF CON23」 今年も大盛況のうちに閉幕 (サイバーインシデント・リポート, 9/15)
一方で、独自の娯楽を追求する参加者もいる。オーストラリアから来たという若い女性は、「DEF CONに来れば珍しいマルウェアに感染できるから」と、この日のために新しいノートパソコンを購入したという。その後、幸いにも未知のマルウェアに感染した彼女は、それを興奮した様子で分析していた。楽しみ方は人それぞれだ。
》 政府サイバー本部が初の勧告、年金事件受けCSIRT強化などの措置求める (日経 IT Pro, 9/15)、サイバーセキュリティ基本法第 27 条第3項の規定に基づき、別紙のとおり勧告する (内閣官房内閣サイバーセキュリティセンター, 9/11)
厚生労働大臣に対し、厚労省と日本年金機構のセキュリティ対策の改善措置を求める勧告を出した
CSIRT つくってねの他にも、
(1) 厚労省は、厚労省及び機構の情報システムにおいて、大量の個人情報や機微な情報を取り扱う業務に対してインターネット経由の攻撃が及ばないよう、情報システムの分離を確実に行うとともに、分離された情報システム内で業務が円滑に完結するよう情報システム設計・構築・運用及びルール徹底を行うとともに、機構においても同様の措置をとるよう、監督すること。
情報システム全部組みなおし、かなあ。まあ、やるしかない。
》 BS放送のアップリンク、2015年9月9日からの集中豪雨を緊急局で乗り切る (スラド, 9/14)
先日、BS放送の地球局が広範囲に及ぶ集中豪雨に備え3局目を整備するという話題があったが、先日東日本を襲った豪雨でさっそくこの緊急局が役だったようだ(日経ITpro)。
》 「ITエンジニアも派遣期間は最長3年」となる改正労働者派遣法、ついに成立 (スラド, 9/14)
》 安保法案“最終局面” これから始まる「自公落選デモ」の破壊力 (日刊ゲンダイ, 9/15)。落選運動は既にはじまってますからね。
》 hokunanの日記: オプトアウト実装で? CCCのPマークが再び有効に (スラド, 9/15)。 提携先への個人情報提供の停止 (T サイト) ページに
今後、追加される提供先も含め、すべての提供先への個人情報提供を停止する
(停止する場合は、チェックボックスのチェックを外してください)
という、直感に反する行為を要求するチェックボックスができている。 まあ、できただけマシなのだろうけれど。
》 Windows 10: Microsoft Passport: パスワードのない時代の幕開け (日本のセキュリティチーム, 9/11)
》 h.root-servers.net(H-Root)のIPアドレス変更の事前通知の公開について (JPRS, 9/9)
》 阿蘇山噴火。いまのところ、 阿蘇山大噴火とまではいっていない?
阿蘇山で噴火発生 警戒レベル3に引き上げ (NHK, 9/14)
阿蘇山噴火:黒い噴煙、ひっきりなし…上空から本社ヘリ (毎日, 9/14)
阿蘇山噴火 火口付近に大きな噴石が飛散 気象庁「マグマ水蒸気噴火の可能性も」 (産経 / BIGLOBE, 9/14)
阿蘇山噴火:「ヤバイ、逃げよう」…観光客ら急いで避難 (毎日, 9/14)
》 ドイツまで歩いたシリア難民の証言 (中東ウオッチ by 川上泰徳, 8/23)。初出が 2014.07 で、「ムハンマドさんがフランクフルトに到着したのは1月27日で、シリアを出発してから、5カ月が過ぎていた」なので、2013〜2014 ごろの話の模様。
関連:
「ヨーロッパに続々と移民・難民が」(探究モード) (荻上チキ・Session-22, 9/1)
難民の子供を蹴ったハンガリーの女性カメラマンが陥った「恐怖」と「嫌悪」のワナ (木村正人 / BLOGOS, 9/12)
難民受け入れ賛否巡り欧州各国でデモ相次ぐ (NHK, 9/13)
シリア難民優遇:イラク人らが反発 ギリシャ・コス島 (毎日, 9/13)
ドイツ:難民急増で入国管理復活…オーストリア間一時的に (毎日, 9/14)
》 ゼロ戦と同じ素材? 新型iPhoneのボディ (dragoner / Yahoo, 9/14)
》 鬼怒川越水 (ソーラー発電所の件)。 当該地点には、そもそも堤防がなかったのだそうで。
重要なお知らせ: 弊社が所有する「常総市若宮戸ソーラー発電所」と、鬼怒川氾濫に関する報道について (ソーラーエナジーインヴェストメント, 9/12)。当該の「自然堤防とされている丘陵」を削ったのは、ソーラーエナジーインヴェストメントではなく、別の会社の模様。 状況概略図があって、わかりやすい。 まずはこの資料を読んでおこう。
鬼怒川の氾濫、ソーラーパネル設置で丘が削り取られていた場所からも (ハフィントンポスト, 9/10)
今年度 (小島注: 2014 年度) の出水対策といたしまして、下館河川事務所で検討をしていただいた結果、太陽光発電事業者の土地を借りて丘陵が崩された付近に掘削前と同程度の高さまで大型土のうを設置することとし、現在常総市とともに交渉を進めている状況であります。
結果的に、水は当該土のうを越えてきた模様。 本当に同じ高さになっていたのなら、削ってなかったとしても防げなかったことになるのだが、はたして本当にそうだったのか。
鬼怒川氾濫の“犯人”にされた会社「うちが原因ではない」 (報知, 9/13)
鬼怒川堤防の決壊を捉えた動画を公開 (ケンプラッツ, 9/11)、 鬼怒川左岸21k付近の堤防決壊 (国土交通省関東地方整備局)
dragoner 氏が YouTube に転載: 国土地理院がドローン撮影した鬼怒川決壊地点の衝撃 (dragoner / Yahoo, 9/11)
鬼怒川決壊ルポ(1)湖面のような市内へ (ケンプラッツ, 9/12)
鬼怒川決壊ルポ(2)復旧始まる201mの破堤箇所 (ケンプラッツ, 9/14)
鬼怒川の浸水面積 推定25平方キロ (NHK, 9/12)
鬼怒川決壊、「越水破堤」か=国交省調査委が現場視察―茨城 (時事, 9/13)
》 PacSec Tokyo November 2015 参加登録。 ページトップでは「準備中」になってますが、受付開始しているそうです。 参加費を昨年までの半額に試験的に値下げ、早期登録なら2日間パス 4万5千円+消費税 だそうです。
》 軽減税率を「マイナンバー利用の支払後還付 (初期費用 3000 億円?)」で実装!?
軽減税率代替:マイナンバー使い還付…財務省検討 (毎日, 9/8)
軽減税率の還付金額 上限4000円で検討 (日テレ / Yahoo, 9/8)。そんな制限つけるなら、一律 4000 円還付で十分じゃん。
飲食料品の2%分を還付 消費税10%時、自公が了承 (朝日, 9/8)。了承しちゃうんだ……。
与党 軽減税率の財務省案 検討開始 (NHK, 9/10)
軽減税率:欧州の工夫 食料品は大幅に低く設定 (毎日, 9/13)
軽減税率システムに3000億円?もっと安価な代替策を考えてみた (日経 IT Pro, 9/14)。真面目に考察してみた例。
これまで財務省案を元に、実現可能な情報システムを考えてみた。そこから実感したのは、そもそも現行の財務省案自体、あまりに粗いと言わざるを得ない点だ。
例えば、返品・返金など店頭で発生する例外処理にすべて対応するとすれば、システム開発の規模が格段に大きくなる上、POSレジのシステムや店員の業務フローも大幅に修正する必要がある。かといって、こうした例外処理を省略すれば、システムは単純化できるが、「いったん20万円の食料を買って4000円分の軽減ポイントを取得し、すぐに返品する」といった不正が可能になってしまう。
財務省、国民に膨大な手間を強要する愚策!余計な税金を払わせ、申請しないと戻さない姑息 (Business Journal, 9/14)
「再増税ありき」の軽減税率論議だが再増税見送りが必要では (NEWS ポストセブン, 9/14)
どのように組んだところで、当該システムとの連接部分の開発については、小売店側の持ち出しだろうしなあ。一律 4000 円還付なら、そういう手間も省けるんだけど。
Windows 7 / Server 2008 R2、8・8.1 / Server 2012・2012 R2 用更新プログラム。
この更新プログラムは、AppLocker の特定の発行元ルールのシナリオを改善します。 この多層防御の更新プログラムを適用すると、AppLocker では、発行元ルールに保存されている現在のユーザーの認証情報が使用されなくなります。
Windows 版 Shockwave Player 12.2.0.162 公開。任意のコードの実行を招く 2 件のセキュリティ欠陥 CVE-2015-6680 CVE-2015-6681 が修正されている。Priority rating: 1
出ました。
MS15-094 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (3089548)
IE 7〜11 に計 17 個 (メモリ破損 x 13、スクリプト エンジンのメモリ破損 x 1、権限上昇 x 1、情報漏えい x 1、ローカルファイル改ざん x 1) の欠陥。 CVE-2015-2483 CVE-2015-2484 CVE-2015-2485 CVE-2015-2486 CVE-2015-2487 CVE-2015-2489 CVE-2015-2490 CVE-2015-2491 CVE-2015-2492 CVE-2015-2493 CVE-2015-2494 CVE-2015-2498 CVE-2015-2499 CVE-2015-2500 CVE-2015-2501 CVE-2015-2541 CVE-2015-2542 。Exploitability Index: 1 x 15、2 x 2 (情報漏えい、ローカルファイル改ざん)
Edge に計 4 個 (メモリ破損 x 4) の欠陥。 CVE-2015-2485 CVE-2015-2486 CVE-2015-2494 CVE-2015-2542 。Exploitability Index: 1
MS15-096 - 重要: Active Directory サービスの脆弱性により、サービス拒否が起こる (3072595)
Server 2008、2008 R2、2012、2012 R2 の Active Directory に欠陥。 「コンピューターをドメインに参加させる権限のあるアカウント」を持つ攻撃者が「複数のコンピューター アカウントを作成する」と DoS 攻撃が成立する。 CVE-2015-2535。 Exploitability Index: 3
MS15-097 - 緊急: Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (3089656)
Windows Vista / Server 2008、7 / Server 2008 R2、8・8.1 / Server 2012・2012 R2、10、Office 2007 / 2010、Lync 2010 / 2013、Live Meeting 2007 Console に計 11 件の欠陥。
OpenType フォントの解析の脆弱性 - CVE-2015-2506。 Exploitability Index: 1
local user が攻略アプリを実行する必要がある。
フォント ドライバーの特権の昇格の脆弱性 - CVE-2015-2507 CVE-2015-2508 CVE-2015-2512。 Exploitability Index: 1 x 2、2 x 1 (CVE-2015-2508)
local user が攻略アプリを実行する必要がある。
Graphics コンポーネントのバッファー オーバーフローの脆弱性 - CVE-2015-2510。 Exploitability Index: 1
Win32k メモリ破損の特権の昇格の脆弱性 - CVE-2015-2511 CVE-2015-2517 CVE-2015-2518 CVE-2015-2546。 Exploitability Index: 1
local user が攻略アプリを実行する必要がある。
Win32k の特権の昇格の脆弱性 - CVE-2015-2527 。Exploitability Index: 1。
local user が攻略アプリを実行する必要がある。
カーネル ASLR バイパスの脆弱性 - CVE-2015-2529 。Exploitability Index: 2
local user が攻略アプリを実行する必要がある。
Lync 2010 Attendee (ユーザー レベル インストール) と Live Meeting 2007 Console 用の更新プログラムは Microsoft ダウンロード センターからのみ入手できる。
MS15-098 - 緊急: Windows Journal の脆弱性により、リモートでコードが実行される (3089669)
Windows Vista / Server 2008、7 / Server 2008 R2、8・8.1 / Server 2012・2012 R2、10 に 5 件の欠陥。Windows Journal に欠陥があり、攻略ジャーナル ファイル (.jnt) を開くと任意のコードが実行される。
更新ファイルは Windows Journal がインストールされている場合にのみ適用される。 CVE-2015-2513 CVE-2015-2514 CVE-2015-2516 CVE-2015-2519 CVE-2015-2530 。Exploitability Index: 3
MS15-099 - 緊急: Microsoft Office の脆弱性により、リモートでコードが実行される (3089664)
Office / Excel 2007 / 2010 / 2013、Excel for Mac 2011 / 2016、 Office 互換機能パック SP3、Excel Viewer、SharePoint Foundation 2013 に計 5 つの欠陥。 CVE-2015-2520 CVE-2015-2521 CVE-2015-2522 CVE-2015-2523 CVE-2015-2545 。Exploitability Index: 0 (CVE-2015-2545)、1 x 3、3 (CVE-2015-2522)
Office for Mac 2016 用の更新ファイルはまだ公開されていない。
MS15-100 - 重要: Windows Media Center の脆弱性により、リモートでコードが実行される (3087918)
Windows Vista / 7 / 8 に欠陥。 Windows Media Center に欠陥があり、攻略 Media Center リンク (.mcl) ファイルを開くと任意のコードが実行される。 CVE-2015-2509。 Exploitability Index: 2
.NET Framework 2.0 SP2、3.5、3.5.1、4、4.5、4.5.1、4.5.2 に 2 件の欠陥 CVE-2015-2504 CVE-2015-2526 。 Exploitability Index: 2
Windows Vista / Server 2008、7 / Server 2008 R2、8・8.1 / Server 2012・2012 R2、10 に 3 つの欠陥 CVE-2015-2524 CVE-2015-2525 CVE-2015-2528。Exploitability Index: 1
MS15-103 - 重要: Microsoft Exchange Server の脆弱性により、情報漏えいが起こる (3089250)
Exchange Server 2013 に 3 つの欠陥 CVE-2015-2505 CVE-2015-2543 CVE-2015-2544。Exploitability Index: 3
MS15-104 - 重要: Skype for Business Server および Lync Server の脆弱性により、特権が昇格される (3089952)
Lync Server 2013、Skype for Business Server 2015 に 3 つの欠陥。 Exploitability Index: 3
Skype for Business Server および Lync Server XSS の情報漏えいの脆弱性 - CVE-2015-2531
Lync Server XSS の情報漏えいの脆弱性 - CVE-2015-2532
Skype for Business Server および Lync Server XSS の特権の昇格の脆弱性 - CVE-2015-2536
MS15-105 - 重要: Windows Hyper-V の脆弱性により、セキュリティ機能のバイパスが起こる (3091287)
Windows 8.1 / Server 2012 R2、10 の Hyper-V に欠陥。 「アクセス制御リスト (ACL) の構成設定が正しく適用されない場合、Windows Hyper-V にセキュリティ機能のバイパスの脆弱性が存在」。 CVE-2015-2534 。 Exploitability Index: 2
関連:
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2015 年 9 月 (シマンテック, 2015.09.09)
2015 年 9 月のセキュリティ情報 (月例) – MS15-094 〜 MS15-105 (日本のセキュリティチーム, 2015.09.09)
関連:
SafeDiscやSecuROMといったDRM、Vista〜8.1でもデフォルトでは動作しなくなっていた (スラド, 2015.09.28)
Microsoftのグラフィックスコンポーネントで発見された脆弱性(MS15-097)の修正にともない、secdrvドライバーのサービスを無効化するセキュリティ更新プログラム「KB3086255」が9月の月例更新で配布されたため、SafeDiscやSecuROMを使用するゲームタイトルが動作しなくなっているとのこと。
MS15-097 - 緊急: Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (3089656) (Microsoft)
この更新プログラムには、機能に対する追加のセキュリティ関連の変更が含まれていますか?
はい。 このセキュリティ情報で説明されている脆弱性について記載されている変更のほか、このセキュリティ更新プログラムは、サードパーティ ドライバーである secdrv.sys ドライバーの多層防御の更新が含まれています。 この更新プログラムは、一部の古いゲームを実行する機能に影響する可能性があるサービスをオフにします。 更新プログラムのダウンロード先および詳細情報は、マイクロソフト サポート技術情報 3086255 を参照してください。
[MS15-097] Windows の Graphics コンポーネントのセキュリティ更新プログラムについて (2015 年 9 月 8 日) (Microsoft KB 3086255)。secdrv サービスはデフォルト無効とされているので、必要な場合は手動で起動する。
》 【元朝日新聞・植村隆氏インタビュー詳報(1)】 「阿比留さんだからと逃げることはない」 (産経, 8/29)。part 10 まで揃いました。
》 経団連、安易な文系見直し反対 即戦力だけ期待を否定 (朝日, 9/10)。火消し。
経団連が声明を出した背景には、文科省の通知が「文系つぶし」と受け止められ、それが「経団連の意向」との批判が広がっていることがある。
武器輸出「国家戦略として推進すべき」 経団連が提言 (朝日, 9/11)
経団連、F35海外供与を提言 政府、金融支援検討 (産経, 9/11)
F35コンポーネントの海外向け供与は、豪州向け潜水艦、東南アジア諸国連合(ASEAN)への防衛装備提供などと並び、装備庁が推進すべき具体的案件として提言に盛り込んだ。
経団連ホームページ には掲載されてないみたい。9/10 に公表されたようなのだけど。
鬼怒川左岸21k付近の堤防が決壊 (国土交通省 関東地方整備局, 9/10)。L20.25K 地点での決壊シミュレーション図が添付されている。
鬼怒川の堤防が決壊、水につかった茨城県常総市(航空写真) (ハフィントンポスト, 9/10)
鬼怒川で堤防決壊 茨城・常総市の住宅地に水があふれる【UPDATE】 (ハフィントンポスト, 9/10)
茨城・鬼怒川で堤防決壊 濁流のなか懸命の救助 (NHK, 9/10)
鬼怒川決壊 浸水の深さ広範囲で1〜2mか (NHK, 9/10)
鬼怒川決壊で浄水場水没し断水 (NHK, 9/10)
空飛ぶたぬき@11/14セントレア (@Fly_Tanuki) さんのツイート:
茨城鬼怒川河川決壊地域で、救助を待ってる皆様
救難ヘリの飛行高度から1人の人を発見するのは極めて小さく困難です
黄色または白色のタオルや上着等を大きく振って要請してください
発煙筒や懐中電灯をヘリに向けても構いません
後少しだけ頑張って
#拡散希望
— 空飛ぶたぬき@11/14セントレア (@Fly_Tanuki) 2015, 9月 10鬼怒川の堤防決壊、ヘリで懸命の救出(画像集) (ハフィントンポスト, 9/10)
写真:茨城県常総市で鬼怒川が決壊 (ロイター)
》 九州電力やらせメール:4年前の問題…原発再稼働不信再び (毎日, 9/10)
》 酒鬼薔薇聖斗 元少年Aは情けないやっちゃなぁ〜 (いまにしのりゆき 商売繁盛でささもって来い!, 9/10)
GPIFの運用実績チャラ…世界株安で「年金5兆円消失」の恐れ (日刊ゲンダイ, 8/29)
GPIFの“素人賭博運用”でアベノミクスと共に沈む年金 (週刊朝日, 9/4)
GPIF年金運用「一長一短だが国民的議論が欠けている」懸念も (NEWS ポストセブン, 9/8)
外国人の日本株売り越し最大、8月2.5兆円に (日経, 9/4)
》 陸自と海兵隊の日米共同訓練、一部を公開 滋賀の演習場 (朝日, 9/7)
「第一線救護」の訓練では、自衛隊の衛生隊員と海兵隊の衛生兵が、戦闘中に負傷した兵士の初期の救護と延命措置をそれぞれ実演。異なる救護方法でも参考になる点があることなどを確認した。
後方支援という名の最前線へ向かう陸自には必要なスキルですね。
アフガニスタンで3度の実戦経験があるという海兵隊員は「共同で戦闘行動することになった場合、陸自隊員にも、海兵隊のやり方を活用してほしい」と話した。
日本誤訳: 陸自のやり方はクソだから今すぐどうにかしろ、でないと死ぬぞ。
陸自の「個人携行救急品」がひどい件はこちらに詳しい:
自衛隊は、やはり「隊員の命」を軽視している 戦闘を想定した準備はできていない<上> (東洋経済, 7/25)。そもそも装備品がぜんぜん足りてない模様。
その証拠にファースト・エイド・キットを国内外用と分けている軍隊は存在しない。国内でも有事には国外用と同じものを使用し、そのための訓練を行っているのであれば、貧弱な国内用セットではなく、普段からPKO用と同じものをすべての隊員に支給すべきだし、国内外とも同じものを支給すべきだ。現状では、単に全部隊に「国外用」を支給する費用が惜しいから、といわれても仕方ないだろう。
自衛隊用語「国内用」って、マジショボって意味だよなあ。
現行の救急キットでは多くの自衛隊員が死ぬ 戦闘を想定した準備はできていない<下> (東洋経済, 7/27)。実戦で鍛えられた米軍の救急装備品と、陸自のショボい装備の違い (それでも「国内用」よりはマシって言うんだから)。あとこれな:
負傷者搬送には通常救急車を使用するが、陸自には装甲野戦救急車は一輛も存在しない。最前線に非装甲の救急車を送れば流れ弾で負傷者はもちろん救急車のクルーも損害を受け、死傷者を増やすだけになりかねない。
陸自は、いいかげん、装甲野戦救急車を装備しなさい。
また衛生用ヘリの活用も未熟だ。陸自には衛生専用ヘリはなく、衛生用のキットを汎用ヘリに搭載して運用することになっているが、数年前に自衛隊中央病院の院長経験者は「陸自のヘリの数が十分ではなく、弾薬や食料などの輸送が優先され、衛生までヘリがまわってこないだろう」と述べている。
オスプレイなんてバカ高い装備を買うことにしたので、ヘリに回す金がさらに減ったらしいしなあ。
あと、今年度から、防衛省・自衛隊の第一線救護における適確な救命に関する検討会 なんてのをやっているようですね。
》 「Explzh」v7.29が公開、NTFSで“ZoneID”を維持して展開する機能が追加 (窓の杜, 9/8)
なお、この“ZoneID”を維持して展開する機能は内蔵エンジン(ArcExt.dll)を利用している場合にのみ利用することが可能で、初期状態で無効化されている。また、Windows XPでは利用できない。
》 弊社サービスの不具合に関するお詫び (住信SBIネット銀行, 9/8)。ハードウェア障害により、9/7 22:11〜9/8 03:00 にダウン。
》 司法試験漏洩: 法務省、青柳幸一氏(明治大学法科大学院教授)を国家公務員法(守秘義務)違反容疑で告発
司法試験漏洩、法務省が刑事告発 東京地検特捜部が捜査 (朝日, 9/8)
司法試験漏えい:明大院教授「女子学生食事に誘う」評判も (毎日, 9/8)
司法試験 漏えいの疑い 法務省が教授を告発 (NHK, 9/8)
この女性の論文試験の答案は漏えいがなければ作成困難な内容だったということで、不審に思った、ほかの考査委員から法務省に情報が寄せられた
不自然な答案だったと……。
漏えい疑いの問題 教え子が極めて高い正答率 (NHK, 9/8)。出来杉さんですか。
問題漏えい 論文書き方も指導 (NHK, 9/8)。教えすぎて不自然な答案になったと。
》 「維新8人衆」の柏原市長 愛人2人と逢瀬の様子をキャッチ (NEWS ポストセブン, 9/7)。これだから大阪維新は。
しかも驚いたことに、ラブホテルから一緒に出てきた女性は、以前路チューした女性とは別人だったのだ。路チューの女性は薬師丸ひろ子似、ラブホの女性は指原莉乃似、いずれも妙齢の美人である。なんともうらやましい限りだが、市長は結婚している。
まあ、大阪維新の会は、代表自身がこんなこと言うトコロだからなあ (呆): 橋下氏 問題発言か 講演で「愛人2、3人を…」 (スポニチ, 2014.04.07)
》 レッシグ教授、米大統領選に正式に出馬表明 100万ドルのクラウドファンディング達成 (ITmedia, 9/7)。ローレンス・レッシグを大統領に!
》 溝口敦氏が緊急リポート 「神戸山口組」これが人事一覧と掟だ (日刊ゲンダイ, 9/8)。大幅減税を断行。 従来組織に比べ、会費を 1/10 以下に減額。 祝い金や、日用品の強制売付も廃止。
メンバーたちの多くは「会費の安さと水などの強制売り付けなしはものすごく助かります。6代目山口組が異常なわけで、執行部は脅迫的に直参たちからカネをむしっている。こういうことをまだ続けるつもりか、常識を疑う」などと批判している。
お金は大事ですね。 関連:
山口組分裂の衝撃! 関西の盟主たちを怒らせた、六代目体制の「カネ」と「名古屋支配」 (伊藤 博敏 / 現代ビジネス, 8/31)
ヤクザ崩壊、「半グレ」勃興! あなたの隣に潜む新たな犯罪集団の実像とは? (溝口敦 / 現代ビジネス, 9/3)
》 不屈の“トップガン”、サイバー攻撃に挑む サイバーセキュリティー技術者・名和利男 (NHK プロフェッショナル 仕事の流儀, 9/14 放送予定)
》 Windowsのエクスプローラーからさくっとファイルのハッシュ値を調べる (葉っぱ日記, 9/8)。certutil を使う方法。
》 08年イラク空輸 「対空脅威」記載せず 空自文書と国会報告に食い違い (東京, 9/5)
なぜ「脅威情報」ではなく、「天候不良」に分類したかについては「関係書類は保存期限を過ぎ、廃棄され、細部を確認するのは難しい」としている。
証拠隠滅完了ですか。
》 《215》 デング熱、今年はどうなの? (朝日, 9/7)。結局、今年は全然だったようです。
今年は、輸入症例は例年通り認められるものの、現在のところは国内感染事例は報告されていません。(中略) 国内感染事例は毎年起こっているものではなく、昨年は何かしら特別な理由(たまたま海外でデングウイルスに感染した人が国内で蚊に刺された、など)があって流行したのかもしれません。あるいは、昨年の流行をふまえた感染対策が奏功しているのかもしれません。
》 【消費者庁で左遷人事、背景に読売との軋轢】記事への反応 (togetter, 9/3)。新聞勧誘がらみですか……。
関連: くらし☆解説 「どうなる? 訪問・電話勧誘 お断り制度」 (NHK 解説委員室, 9/3)
中国の抗日戦争勝利70周年記念軍事パレード(動画) (ウォール・ストリート・ジャーナル日本版, 9/3)
中国:抗日戦勝利70周年記念軍事パレードで披露されたミサイル (海国防衛ジャーナル, 9/3)
衝撃!:第2列島線まで射程内のDF-26をASBMだと中国が宣言 (東京の郊外より・・・, 9/4)
時論公論 「抗日戦争勝利70年 中国軍事パレードのねらい」 (NHK 解説委員室, 9/4)
中国軍事パレードで気になったこと (極東ブログ, 9/4)
なかでも注目されたのは、国際刑事裁判所(ICC)から、人道に対する罪および戦争犯罪の容疑で逮捕状の出ているスーダンのオマール・アル・バシル大統領が参加したことだった (中略) 問題は中国ばかりとは言えない。そもそも国際刑事裁判所(ICC)は国連のお墨付きで成立した仕組みであるとも見なせるのに(ICC規定は国際連合全権外交使節会議において採択された)、なぜその長ともいえる潘基文総長がこの軍事パレードで安閑とバシル容疑者と同席(参照)しているのだろうか?
風知草:事務総長の問題点=山田孝男 (毎日, 9/7)。潘基文の件。
米国にハシゴを外された安倍首相 中国戦勝70周年記念式典欠席 (青山貞一, 9/5)
G7では首脳の参加はなかったものの、最終的にフランス、イタリア、イギリス、カナダ、ドイツの政府代表が参加していました。
さらに米国も政府代表が参加がしました。(中略) ボーカス駐中国大使です!
となると、首脳、政府代表ともに参加しなかったG7国は日本だけです。 まさに大人げないという言葉がぴったりです。
「中国軍削減兵力はウイグル警備に」と香港人権団体 (沖縄タイムス, 9/4)。さもありなん……。
中国:戦勝70周年 識者座談会 大国、力とバランス (毎日, 9/4)。三船恵美、津上俊哉、安田淳の 3 氏。
「中国の軍事パレード。その意図と反応」(探究モード) (荻上チキ Session-22, 9/3)
》 ビデオの特許使用料をなくすためのアライアンスを結成しました (Mozilla Japan ブログ, 9/7)
》 海中で有害なヒトデを見つけて殺すロボットをオーストラリアの大学が開発…有毒ヒトデを毒殺 (techcrunch, 9/4)。オニヒトデ ハンターキラーロボ。
》 オリンピックは都市にとって有害なので毎回同じ場所で開催すべきという主張 (gigazine, 9/6)。まあ、地球の裏側になっちゃうところの選手派遣費用がアレな気もするので、夏・冬それぞれ世界で 3 か所くらいでいいんじゃ。
》 行政対象暴力に関するアンケート(自治体対象)調査結果について (警察庁, 9/3)
》 平成27年上半期の少年非行情勢について (警察庁, 8/27)。 検挙人員は同期につき 13 年連続で減少、補導人員は前年同期に比べ 20.1% 減少。
》 平成27年上半期の薬物・銃器情勢(暫定値) (警察庁, 9/3)
》 警察政策フォーラム: 変容する国際テロ情勢への対応 〜「伊勢志摩サミット」に向けて〜 (警察庁, 8/27)。 2015.09.18、東京都千代田区、無料。
》 平成27年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について (警察庁, 9/3)、 ネットバンキングの不正送金、信金で被害急増、農協や労金でも被害確認 (Internet Watch, 9/8)
》 2015 年 09 月: 2段階認証について (Security Awareness Newsletter OUCH!, 9/2)
》 シャープ、小型冷蔵庫で発火事故、約12万台を無料点検修理 (家電 Watch, 9/7)。SJ-H8W(S)、SJ-H8Y(S)。
》 DDoS攻撃が1年で倍増、ルーターやファイアウォールに対する214Mpps規模の攻撃も観測 (Internet Watch, 9/3)。Akamai。
》 Mozilla、Bugzillaが不正アクセスを受けて未公開の脆弱性情報が流出していたことを公表 (スラド, 9/5)、 Improving Security for Bugzilla (Mozilla Security Blog, 9/4)
》 さよならSSL 〜「安全な通信」標準が使用禁止になったわけ (日経 IT Pro, 9/2)
》 名古屋に性的少数者のためのグループホーム開設 (石壁に百合の花咲く, 9/4)
》 Azure 多要素認証(二段階認証)でできること (フィールドSEあがりの安納です, 8/21)。Azure Active Directory Premium で使えるそうで。
》 Debian 8系のマイナーリリース「Debian 8.2」登場、セキュリティ問題を修正 (OSDN, 9/7)
》 マイナンバーのお知らせを騙ったスパムメールについて調べてみた (piyolog, 9/4)
》 Internet Infrastructure Review (IIR) Vol.28 (IIJ, 8/31)
》 祭りの人出、どうやって数えるの? (朝日, 2008.08.26)。人生いろいろ、数え方もいろいろ。
8/30 国会前など
【IWJレポート】8.30国会前「決壊」!官邸がメディアに撮らせたくなかった「人々の力」 参加した12万人それぞれの思い (IWJ)
安保法案抗議集会:国会議事堂取り囲み「戦争法案反対!」 (毎日, 8/30)
360 度パノラマ (毎日, 8/30)
反安保法案:国会周辺など全国で抗議行動 (毎日, 8/30)
イルコモンズ @illcommonz さんのツイート:
@SEALDs_jpn とりま、じゃぽにか、がくしゅうちょう。 pic.twitter.com/np3mZacOLV
— イルコモンズ (@illcommonz) 2015, 8月 30北丸雄二 @quitamarco さんのツイート:
私は警視庁の公安担当の記者だったこともあるのですが、警備部の発表する数字が正しくないことは警備部の幹部も知っているんです、実は。「3万人」というのは、事前の「予想警部対象数」のことなんです。覚えておきましょうね。 https://t.co/AwHE64JLzq
— 北丸雄二 (@quitamarco) 2015, 8月 31国会議事堂前デモ 歩道に人があふれた瞬間(2015年8月30日) -Japanese Protest activity 2015.8.30- (YouTube)
8月30日、安保法制反対の抗議活動/日比谷公園から国会前へ (YouTube)
8月30日、安保法制反対の抗議活動 地上5メートルからの観察/日比谷公園から国会前まで (8bit news, 9/1)
12万人以上が参加していた8.30国会前デモ、信用失うのは現場取材せず報道する産経等マスコミの方 (editor, 9/1)
Listening:<安保関連法案反対運動>「最大デモ」の扱い、各紙で割れる (毎日, 9/7)。各紙紙面比較。
9/4 国会前
9/6 新宿伊勢丹前
安保関連法案反対集会:新宿ホコ天で 札幌大通公園で (毎日, 9/6)
360 度パノラマ (毎日, 9/6)
安保法案に反対の集会、新宿の歩行者天国に1万人超 (TBS, 9/7)
》 [ご報告]取材記事のステルスマーケティングの疑いについて (CSRのその先へ, 9/2)。ステマじゃないのにステマと間違われた? 当該記事は Google キャッシュや archive.is アーカイブで読める。 うーん……リクルート広告っぽい感じがあると言えばあるけど、これ、載った先がハフィントンポストだからなぁ……。ANA がステマなリクルート広告をハフィントンポストに出す意味ってあるの? と考えると……。
関連:
ハフィントンポスト日本版、“ステマ記事”排除へ調査部門設立 過去記事6本を削除 (ITmedia, 9/2)
ハフポストが怯えたステマ狩り旋風の背景 (新田哲史 / BLOGOS, 9/7)
》 ヤフー子会社で「ステマ」発覚--女性向けサイトで“表記なし広告”68件 (CNET, 9/4)、ヤフー子会社のTRILL 運営メディアでステマ記事を掲載していたと謝罪 (ねとらぼ, 9/4)
》 Wikipedia、ステマ投稿で300件以上のアカウントをブロック (ねとらぼ, 9/2)
》 国会前で行われるデモ、参加するにはどうすればいいの? (BUZZAP!, 9/7)
》 #国会サボる総理はいらない (9/4)。 安倍総理、国会サボって大阪へ。ミヤネ屋 (生) とそこまで言って委員会 (録画) に出演。
#国会サボる総理はいらない →トレンド入り→サボってませんでした、かーらーの→やっぱりサボりで鴻池委員長もキレてました (togetter, 9/5)
国会休んでミヤネ屋へ (まんがイラスト ぼうごなつこのページ, 9/4)
スクープ! 安倍首相が国会をサボってネトウヨ番組『そこまで言って委員会』に出演…礼賛報道を繰り返す読売テレビは正気か (リテラ, 9/3)
安倍首相、法案審議を放置して法案をテレビで説明? (渡辺輝人 / Yahoo, 9/4)
首相のテレビ出演、参院委員長が不快感 安保法案の審議中 (日経, 9/4)
安倍出演の『ミヤネ屋』は放送法違反だ! 宮根はタイコ持ち発言、日テレ青山は「廃案になっては困る」とポロリ (リテラ, 9/4)
安倍首相の国会サボリに身内の自民党議員からも批判! ネトウヨの「要請がなければ出席不要」論は大間違いだ! (リテラ, 9/5)
礒崎陽輔 @isozaki_yousuke さんの巨大ブーメランツイート:
偏向した報道番組はたくさんありますが、相手側ゲストを呼ばず、一切の反論権を認めない番組は、最悪です。仲良しグループだけが集まって政治的に好き放題言うような番組が、放送法上許されるはずがありません。今の立場では余り動けませんが、黙って見過ごすわけにはいきません。
— 礒崎陽輔 (@isozaki_yousuke) 2014, 11月 23時論公論 「東京五輪エンブレム 白紙撤回の衝撃」 (NHK 解説委員室, 9/2)
コンペ応募者に不信感「佐野氏ありきの選考だった」 (ニッカンスポーツ / Yahoo, 9/2)
組織委、どこか他人事 五輪エンブレム取り下げ (朝日, 9/3)
佐野氏デザイン、疑惑の数は金メダル級? 今度は多摩美大「広告」、事務所は「事実無根」 (J-CAST, 9/3)
多摩美大、佐野氏手がけた「疑惑」の広告作品ページ削除 数日前から問い合わせ続々 (J-CAST, 9/4)
佐野研二郎氏のデザイン盗用・模倣問題、編集現場から考える (編集者の日々の泡, 9/3)。身近な現場と MR_DESIGN との差。
佐野研二郎氏がアートディレクターを務めた多摩美術大学の広告にGLAFAS(グラファス)の写真が使用されたかも?という件について検証してみた (GLAFAS, 9/4)。同じメガネであっても同じに撮るのはたいへん難しいのに、佐野デザインと当該パクられ疑惑画像とはホコリまで完全一致、という指摘。これはアウトだろ……。
おおた BITO
「良いデザインだから変えない」太田市は佐野作品登録へ (朝日, 9/2)
佐野氏ロゴ使用の太田市文化施設 使用中止求める声殺到 (東京, 9/2)
佐野氏デザイン「おおたBITO」太田市に回答なし (ニッカンスポーツ, 9/3)。回答なしはひどいなあ。
佐野氏デザインのロゴ 市民から意見聴取へ (NHK, 9/5)
佐野氏考案のロゴ 市民の意見募り使用の是非判断へ (NHK, 9/7)。「半数以上が「使用を中止すべき」と回答」
エンブレム大炎上の背景に「五輪運営への不信と不満」 (毎日, 9/7)
印象操作か? 拉致解決のブルーリボン TBSドラマで悪徳代議士に着用 (産経 / Yahoo, 9/3)
蓮池透 @1955Toru さんのツイート:
マスコミに露出する時や国際会議等に出席する時に、拉致のシンボルのブルーリボンバッジを付ける政治家。拉致問題やってます、というポーズ、免罪符、踏み絵。野田総理も然り。何もしないくせに、バッジだけ。かえって軽く見ているとしか思わざるを得ない。
— 蓮池透 (@1955Toru) 2012, 4月 14そもそも何もしない国会議員の青リボンに懸念。
ドラマ悪役の青リボンに懸念(2015年9月3日(木)掲載) - Yahoo!ニュース http://t.co/3RslrKAB8A
— 蓮池透 (@1955Toru) 2015, 9月 3なにしろ、ぜんぜん結果が出てないからなあ……。
》 朝型勤務「ゆう活」大失敗…霞が関“ブラック化”で官僚ら悲鳴 (日刊ゲンダイ, 9/3)。予想どおり大失敗。
》 豪雨の浸水、ピタっと止めるシート 愛知の業者が開発 (朝日, 9/4)、台風・ゲリラ豪雨対策 水ピタ防水シート(防水生地) (くればぁ)
》 ウイルスバスター関連で良くない話を聞きまして (INASOFT, 9/5)、ウイルスバスターにおけるINASOFTソフトウェアの判定に関して (トレンドマイクロ)。いまだに「誤解」が蔓延している模様。
》 昔の漁師が全裸で町を歩いていた理由 (御光堂世界〜Pulinの日記, 2011.03.10)
》 東北大「非常事態宣言」…倫理向上求めるメール (読売, 9/5)
》 外事大事:天津爆発 揺らぐ習政権=坂東賢治 (毎日, 9/5)
》 子宮頸がんワクチン 症状未回復約200人 (NHK, 9/5)。厚生労働省、ようやく現実を認識した模様。
痛みの症状が残っていた患者や全く回復していなかった患者が、合わせておよそ200人いることが初めて分かりました。 (中略) 厚生労働省はこれまで実態が明らかになっていないとして、救済を行っていませんでしたが、調査結果を受けて近く、医療費や障害年金の給付に向けた審査を始め、接種との因果関係が否定できない場合は救済する方針を固めました。
東芝事件株主弁護団 公式サイト・粉飾の被害者の方へ (東芝粉飾.com)、 <東芝不正会計>「株主弁護団」初の説明会 集団訴訟へ (毎日 / Yahoo, 9/5)
東芝不正会計:3月期378億円赤字 修正計2248億円 (毎日 / Yahoo, 9/7)。やっと出た。
ようやく宿題を提出した東芝、不良がたまに良い事をすると褒められる法則発動 (市況かぶ全力2階建, 9/7)
監視委、会計不祥事で東芝を本格調査へ (日経, 9/7)
「半導体事業を分離・上場させれば1兆円」、東芝生き残り策 電機業界の著名アナリスト、若林秀樹氏が示す3つの再生シナリオ (日経ビジネス, 9/3)
東芝、取引先にも「チャレンジ」要求 騒動の渦中に要請した支払い延長の「怪」 (日経ビジネス, 9/7)
》 ユニクロ中国過酷労働・潜入調査報告書公表から半年、労働環境は改善したのか。 (伊藤和子 / Yahoo, 9/5)。まだまだの模様。
特に、日本を拠点に置く企業は、2020年の東京オリンピックに向けて、国際社会からその人権に関する取り組みが厳しく問われていくことになるだろう。ユニクロの過酷労働問題は決して他人事ではない。
》 「原子力災害対策にむけての提言」が提出されました (篠山市, 6/23)。真摯な内容に感動。たとえば、避難誘導にあたる人達の防護の話。
これに対して篠山市は放射線測定器を購入するとともに、消防団員の最低限の内部被曝防護対策としてゴアテックス製の丈夫なカッパの購入を行いました。
しかしそれでも消防団員や市の職員に危険な職務を割り当てることに私たちの委員会にはとまどいがあります。このため委員会の会議では、被曝を伴う防災業務に携わるものを 40 歳以上に限ってはどうかという意見が提出されました。年配の方には申し訳ないことですが、より若い世代を守ることを優先したい、またそれには大方の合意が得られるだろうという趣旨からでした。
しかし篠山市消防団や篠山市医師会などから、主旨を十分に理解し尊重するものの、それでは実際の実務が成り立たないという指摘を受けて、この案を取り下げざるを得ませんでした。このことを災害対策計画に書き込むことが決められたため、この提言書に盛り込んでおきます。
防災業務関係者は被曝のリスクを負わざるをえないことが考えられます。この点をどう考えるのかは非常に深刻で重大な問題です。この提言において、私たちは十分な答えが出せなかったことも明らかにしておきたいと思います。
この問題は、市の職員のすべて、あるいは消防団や医師会、病院や介護施設など関係機関のすべての場で話し合われ、さらにはすべての市民の間で考えなければならない事柄であると思われます。表現は過酷かもしれませんが、放射線被曝を伴う原子力災害対策においては、誰かが被曝覚悟で働かなければならず、「人柱」を建てざるを得ません。現に私たちは福島原発の収束作業現場に多くの人々を送りこんで、私たちの安全を確保し続けています。容易に答えの出せないこの問題について、ぜひ市民のみなさんも話し合っていただきたいです。
委員各位の苦悩が伝わってくる。どんな人たちが作ったのだろうと確認したら、一般市民が 6 人もいる。内 4 人は公募だ。
》 今週の本棚:池内紀・評 『現代語訳でよむ日本の憲法』=柴田元幸・翻訳、木村草太・法律用語監修 (毎日, 9/6)。英語版の日本国憲法を現代日本語訳で読む。
ためしに現代語訳第9条前半。
「正義と秩序にもとづく国際平和を心から希(ねが)って、日本の人びとは永久に戦争を放棄する。国として戦争を行なう権利を放棄し、国同士の争いに決着をつける手段として武力で威嚇すること、また武力を行使することを放棄するのである」
英語原文: Aspiring sincerely to an international peace based on justice and order, the Japanese people forever renounce war as a sovereign right of the nation and the threat or use of force as means of settling international disputes.
日本語版: 「日本国民は、正義と秩序を基調とする国際平和を誠実に希求し、国権の発動たる戦争と、武力による威嚇又は武力の行使は、国際紛争を解決する手段としては、永久にこれを放棄する」
》 8月28日に発生したYahoo!メールの障害に伴う一部メールの消失について (Yahoo, 9/6)。「本障害の対象となったお客様(約260万ID)のうち、約97万IDのお客様に送られた約258万通の消失が確定」
》 [続報]CAFIS障害はFEPサーバーのダウンが原因、3割のクレカ決済に影響 (日経 IT Pro, 9/6)。日本最大のクレジットカード決裁総合サービス CAFIS が 9/5 にダウン。現在は復旧済。
CAFISシステムにおける一部故障発生のお詫び (NTT データ, 9/5)。9/5 16:06〜17:39 にダウン。
CAFISサービスにおける故障発生のお詫び (CAFIS, 9/5)
CAFISサービスにおける故障発生のお詫び(続報) (CAFIS, 9/6)
【速報】CAFISセンタ障害で全国のクレジットカードが使用できない模様【復旧】 (NAVER まとめ, 9/5)
》 大批判の渦中、ツタヤ図書館が身内の中古書店から“無用の100円本”を大量購入 (週プレ NEWS, 9/7)。ネットオフの 100 円本。
》 敵に手の内をさらして大丈夫? NISCの年金機構事件報告書を読み解く (日経 IT Pro, 9/3)
》 Listening:<記者の目>佐世保・高1同級生殺害事件=竹内麻子(長崎支局) (毎日, 9/4)。いざという時が来ても、いつもやっていることしかできないものですから。
先進例はある。北九州市の児相「子ども総合センター」は、警察の専門職員が常駐する「北九州少年サポートセンター」、警察官・教員のOBが学校の支援を行う市教委の「少年サポートチーム」と同市戸畑区のビルの同じフロアに入っている。目的は「顔の見える連携」だ。(中略) いざという時だけでなく、普段から関係機関の担当者が顔を合わせて信頼を築き、情報交換を活発にしてチームで少年を見守ることが重要だ。
》 大阪・寝屋川事件で大手各紙がそろって「大誤報」。取材報道が劣化している? (週プレNEWS / livedoor, 9/3)。過去に起きた、別人による事件を混同。
》 農場のちりにアレルギー予防効果、ベルギー研究 (時事, 9/4)。「農場のちりにさらされると、体内でA20タンパクが生成される」
S2-025: Cross-Site Scripting Vulnerability in Debug Mode and in exposed JSP files (Apache Struts, 2015.08.26)。 Apache Struts 2.0.0〜2.3.16.3 の欠陥。 Apache Struts 2.3.20 で修正されている。 CVE-2015-5169
JVN#88408929: Apache Struts におけるクロスサイトスクリプティングの脆弱性 (JVN, 2015.09.04)
JVN#95989300: Apache Struts におけるクロスサイトスクリプティングの脆弱性 (JVN, 2015.09.04)
JVNVU#99671861: UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題 (JVN, 2015.09.07 更新)。 今のところ、アライドテレシス、 シャープ、プラネックス、ヤマハ、バッファローに影響する模様。
対応する VU#361684 では unknown が並んでいる。
JVN#09283606: desknet's NEO におけるディレクトリトラバーサルの脆弱性 (JVN, 2015.09.01)。最新版で修正されている。
JVN#81207766: iOS 版アプリ「楽天カード」における SSL サーバ証明書の検証不備の脆弱性 (JVN, 2015.09.01)。中間介入攻撃が可能だったそうで。最新版で修正されている。
JVNDB-2015-004529: Ricoh DC Software DL-10 FTP Server におけるバッファオーバーフローの脆弱性 (JVN, 2015.09.02)。修正版はないようです。
FFmpeg 2.7.2 Maintenance Release Is Out (Softpedia, 2015.07.20)。 CVE-2015-6818〜CVE-2015-6826 が修正されている模様。
「ワッセナー・アレンジメント関連法規に抵触するとの懸念からHPが中止を申し入れた」「Mobile Pwn2Ownの東京開催で問題になっているのは、コンテスト結果の実証コードなどを米国に持ち帰ると違法行為になる可能性だ」。マジか……。
Chrome Stable Channel Update (2015.09.02)
Chrome 45のセキュリティ改善により、開けないサイトが現れる (スラド, 2015.09.05)。「バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こる」。あらあら。
》 ドローン:住宅密集地や空港周辺飛行禁止 改正航空法成立 (毎日, 9/4)
具体的な飛行禁止区域は、国土交通省が省令で定める。密集地には、人口が1平方キロ当たり4000人を超えるような地域を想定している。
関連: 航空法の一部を改正する法律案について (国土交通省, 7/14)。夜間飛行、見通し外飛行も原則禁止ですか。
》 <高校生向け副教材>妊娠しやすさグラフ、訂正後まだ不適切 (毎日 / Yahoo, 9/2)。 文科省:妊娠副教材で誤った数値掲載 (毎日, 8/20) の件、差し替え後のグラフ<2>にも問題があるそうで。
副教材が引用元と明記した論文には、さらに原典となる論文があり、その中では年齢別の性交頻度の違いによる影響を除いた仮定のモデルを示し、女性の肉体的な妊娠のしやすさに比較的近い推計グラフ(図<3>)が掲載されている。
(中略)
図<1><2>はもともと、避妊をしていない既婚女性が、月経周期の1カ月で妊娠する確率を年齢別に示したもの。性交の頻度や異常のない卵子が排卵される確率、精子の運動能力、着床確率など女性だけでなく男性も含めたさまざまな要因が含まれ、女性の肉体的な妊娠しやすさを表すことにはならない。
関連: 保健副教材:「妊娠しやすさ」訂正後のグラフにも問題 (毎日, 9/4)。少子化担当相の言いわけ。
》 サイバー攻撃で、ドイツの製鋼所が甚大な被害を被っていた (ニューズウィーク日本版, 9/1)。この件:
ドイツの製鉄所がハッキング攻撃で操業停止、ドイツ連邦電子情報保安局が報告書を公開 (business newsline, 2014.12.23)
ドイツの鉄鋼工場、サイバー攻撃により生産設備が破壊される事態に (スラド, 2014.12.26)
》 B 型慢性肝疾患治療薬テノゼット、天津大爆発事故で工場が被災し品薄に。在庫は 2 か月分しかないそうで。
日本肝臓学会 B肝薬テノゼットの新規処方控えるよう呼びかけ GSKの出荷調整受け (ミクス Online, 9/3)
中国天津倉庫爆発事故によるGSK天津工場被災に伴うB型慢性肝疾患治療薬「テノゼット錠300mg」出荷調整のお知らせ (グラクソ・スミスクライン, 8/31)
テノゼットをご処方いただいている先生方へ 「テノゼット錠300mg」出荷調整に関するご協力のお願い (グラクソ・スミスクライン, 8/31)
【新薬】テノホビル ジソプロキシルフマル酸塩 テノゼット:耐性が出現しにくい第4の抗HBV薬 (日経メディカル, 2014.05.10)
》 「モノのインターネット」のセキュリティ対策が難しい6つの理由 (エフセキュアブログ, 9/3)
PowerDNS Authoritative Server 3.4.0〜3.4.5 に欠陥。DNS パケットの分析・生成コードに欠陥があり、攻略クエリパケット (1 個、あるいは 2〜3 個) によって、独立したスレッド、あるいはプロセスそのものが破壊される。CVE-2015-1868
distributor-threads を 1 に設定することで、プロセスの破壊を免れることはできる。その場合でも、独立したスレッドの破壊までは免れ得ない。
PowerDNS Authoritative Server 3.4.6 で修正されている。
BIND 9.10.2、9.9.7 以降に欠陥。9.10.2、9.9.7 で新規対応した OPENPGPKEY RR の扱いに欠陥があり、不正な応答を受信すると named がクラッシュする。回避策はない。 CVE-2015-5986
BIND 9.10.2-P4、9.9.7-P3 で修正されている。
》 東日本大震災:福島第1原発事故 がれき撤去従事「作業で発がん」 東電など提訴 (毎日, 9/2)
公式の累積被ばく線量は4カ月間で56・41ミリシーベルト (中略) 線量計を身に着けなかったことも (中略) 男性は12年6月にぼうこうがん、13年3月に胃がん、同5月に結腸がんをそれぞれ発症。転移ではなく別々に発症
》 「原発はズサンでウソだらけ」 作業員3人、決意の重大証言! データを書き換え、ボヤを見逃し、黒人を燃料プールに放り込む・・・ (現代ビジネス, 6/27)
「(核燃料)プールに入る外国人ダイバーをよく見かけました。(中略) プールに入ると、200〜300ミリシーベルトの被曝をする。1回のダイブで200万円はもらえると仲間から聞きました」 (中略) 「プールの底には、タバコの吸ガラやペンなどさまざまなものが落ちています。それを拾うために放り込まれるのでしょう。1F(イチエフ、福島第一原発のこと)には黒人だけでなく白人もいました」
》 たかじんさん弟子「さくら夫人側」を提訴意向も百田尚樹氏は沈黙…“大放言”どこへ? (デイリーニュースオンライン, 9/1)
》 これは必見! 元NHKプロデューサーが、NHK包囲デモで渾身のスピーチ! (報道ステーションを応援する会 / Facebook, 8/26)
》 IANA監督権限の移管計画にさらなる遅れ? ネットコミュニティからの意見と議論がまだまだ必要 (Internet Watch, 9/2)
》 内閣サイバーセキュリティセンター予算は5倍の83億円、2016年度概算要求 (日経 IT Pro, 8/27)。しかしオスプレイ 1 機分ですらないわけで。
》 2015年9月の呼びかけ「 iPhone人気に便乗していると考えられる手口にご注意を 」 (IPA, 9/1)
》 #OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア (0day.jp, 8/30)
》 Wikipediaで金を受け取り記事を編集した300以上のステマアカウントが一斉削除される (gigazine, 9/2)
》 JR北海道で発生したマルウェア感染についてまとめてみた (piyolog, 8/30)、 JR北海道で業務用PC7台がウイルス感染、標的型メール「Emdivi」開封で (日経 IT Pro, 8/31)
》 LXCを使った権限分離とテンプレートのカスタマイズ (OSDN, 8/31)
》 Ending support for the RC4 cipher in Microsoft Edge and Internet Explorer 11 (Microsoft Edge Dev Blog, 9/1)。2016 年の初旬から、Edge と IE 11 での RC4 サポートを打ち切るそうで。
》 Macユーザーが認識不能なほど瞬時にKeychainへのアクセス許可を与える極悪アドウェアが発見される (gigazine, 9/2)。Genieo。
》 天空の蜂。原作読んでないけど、原発でシャドー 81、ということかしらん。 シャドー 81 は途中から喜劇のようになるのだけど、これはどうかな。 9/12 から公開。
》 新国立競技場、冷房設置はついておりません by 安倍晋三
新国立、1千億円の削減幅重視 首相の一声で冷房見送り (朝日 / Yahoo, 8/29)
8月27日、遠藤氏が首相に説明するため官邸を訪れた際、携えた資料にあった建設費は「1640億円」。競技場には、客席の下から冷風が吹き出す冷房の設置を検討しており、これを外せば、さらに100億円のカットが見込めた。
「暑さ対策なら、『かち割り氷』だってある」。首相は夏の甲子園名物を挙げ、遠藤氏に冷房施設の断念を指示。
新国立競技場 「かちわり氷」で暑さに対応できるのか (増田雅昭 / Yahoo, 8/30)
海から1kmほどしか離れていない甲子園は、よく晴れた暑い日には、海からの「浜風」が吹きます。(中略) 浜風が高温を抑える夏の甲子園でも、観客が熱中症になることがあるくらいですから、新国立競技場はさらにリスクが高いと考えるべきでしょう。
五輪相 新国立で「冷却グッズ」の配布検討 (NHK, 9/2)。生命維持装置を外した上で、「運用でカバー」ですか。
》 新幹線プラス700円で所要時間55%減少のリニア 「乗り換え問題」がその効果を消す? (乗りものニュース, 2014.12.13)。基本的には速いのだろうけど、接続ダイヤにもよるよなあ。名古屋で乗りかえて大阪まで行く場合↓
品川〜名古屋間ではなく品川〜新大阪間で考えた場合、また別の懸念があるようです。新幹線は乗り換えがないのに対し、リニアは名古屋駅での乗り換えが必須であることです。(中略) 30分早いものの、700円高く乗り換えが1回あるリニア。この数字、利用者からはたしてどのように判断されるでしょうか。
超めんどくせえ。
Chrome 45.0.2454.85 が stable に。29 件のセキュリティ修正を含む。
関連: Google、「Google Chrome 45」の安定版を公開。Flash広告は初期状態で停止する方向へ (窓の杜, 2015.09.02)
Chrome 45のセキュリティ改善により、開けないサイトが現れる (スラド, 2015.09.05)。「バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こる」。あらあら。
休眠口座の資産を「NPOの社会活動に利用」という謎の仕組みが問題視される件 (山本一郎 / Yahoo, 8/4)
『韓国(イギリス)では、休眠口座で消失した資金をガバナンスのしっかりしたファンドや国債など安定財源で運用し、その利益をNPO/NGOなどに分配する』
話だったのが、なぜか日本では
『発生する休眠口座の資産をそのまま管理団体に払い込み、NPO/NGOに分配する』
話になってしまいました。
意味が分かりません。年間800億円ほど発生する休眠口座のお金(実際には払い戻しがあるので年間450億円程度)が、NPO界隈に分配されるという話があるとすると、ただでさえその活動の政治性や妥当性に問題が指摘されることの多いNPO/NGO界隈が、にわかに一大利権ビジネスになってしまいます。
疑惑の支援スキームが輝く「休眠口座の資産をNPOへ」で駒崎弘樹さんに質問10個 (山本一郎 / Yahoo, 8/25)
休眠口座利活用のザル法案、まさかの委員長提案での早期採決を狙う利害関係者の謎の動き (山本一郎 / Yahoo, 9/1)
せっかく善の善たる行為を行うためのNPO/NGO助成の枠組みを作るのに、コンプライアンス方面の配慮に乏しいザル法を議員立法で作り、その審議もまともにせずに全党賛成で委員長提案で法律を通そうとするのは、さすがに昭和の族議員みたいな流れなんじゃないかと思うわけであります。
》 スマイリーキクチさん:ネット上の中傷対策をまとめた動画を公開 実践的な知識でアドバイス (毎日, 8/31)、 スマイリーキクチ (YouTube)
》 コレガ、自販機などへの設置に適した法人向け埋込み型ネットワークカメラ (Internet Watch, 8/31)。超小型カメラつきですか。
五輪エンブレムの組織内検討資料に他人の写真を使うのはどうなのか(追記あり) (栗原潔, 8/29)
佐野研二郎氏がアートディレクターを務めた多摩美術大学の広告にGLAFAS(グラファス)の写真が使用された? (GLAFAS, 8/31)
佐野研二郎氏に新たな「無断使用」指摘 多摩美術大学の広告で (ねとらぼ, 9/1)
【速報】佐野研二郎、新たなる盗作発覚で五輪ロゴ応募資格の消滅危機wwwww (モナニュース, 8/31)
そして遂に、五輪エンブレムは使用中止となる模様。クロトワ「短けぇ夢だったなぁ……」
五輪エンブレム:使用中止 類似騒動受け組織委が会議招集 (毎日, 9/1)
東京五輪エンブレム使用中止 組織委方針 佐野氏が制作 (朝日, 9/1)
佐野研二郎氏のエンブレム使用中止に 使用例の疑惑直後で「各方面への言い訳もたつ」との意見も (ハフィントンポスト, 9/1)。「夜に記者会見」。
新五輪エンブレムは招致エンブレムを再利用すべきである (栗原潔 / Yahoo, 9/1)。賛成に 1 票。
東芝、辞任した副社長が今も常勤する不可解 (東洋経済, 8/25)
裸の王様?東芝では「実力者」に誰も諫言せず なぜ役員フロアにそのまま居残るのか (東洋経済, 8/31)
引責辞任した3社長が東芝社内を闊歩 本格的な調査はこれから始まる (日経ビジネス, 8/28)
東芝現役社員が録音していた「無間地獄」 本誌に持ち込まれた10時間超の音声データを誌上で再現 (日経ビジネス, 8/31)
東芝またも決算延期、米国で監査法人が「待った」 残り7日間、3度目の失敗は許されない (日経ビジネス, 9/1)
東芝、決算発表また延期 子会社など新たに10件疑い (東京, 9/1)
東芝会見、やっぱり当ててもらえませんでした シニア記者、決算再延期会見に臨む (日経ビジネス, 9/1)
東芝決算発表再延期、記者会見での室町社長の「責任」発言に唖然 (郷原信郎が斬る, 9/1)
アングル:上場維持へ正念場の東芝、17日が有価証券報告書提出の最終期限 (ロイター, 9/1)
》 新型のノーウォークウイルス (ノロウイルス)が広がっているらしい。今秋以降に大流行のおそれ?
ノロウイルスが変異 免疫持たず大流行のおそれ (NHK, 8/28)
研究グループが去年10月からの半年間、国内の患者から検出されたウイルス2000株以上を調べたところ、ことしに入って、「G※2・17」という型が急激に増え、2月以降は、すべてこの型になっていました。
さらにこの「G※2・17」の遺伝子を詳しく解析したところ、ヒトへの感染のしやすさに関わる部分が変異し、ヒトが免疫を持っていない新たなウイルスになっていたということです。
【注意】ノロウイルスが恐ろしい進化をして、感染拡大中 (NAVR まとめ, 8/29)
》 フジ住宅がヘイトスピーチ文書を大量配布し提訴された件、いろいろ恐ろしい模様 (NAVER まとめ, 9/1)、 育鵬社教科書の採択運動「強要され苦痛」 勤務先を提訴 (朝日, 9/1)
》 日本年金機構の事件報告を受けて、なすべき最低限の対策に関する提言書を公開 (LAC, 8/31)
》 SECCON 2015 で喋ったこと (Colorful Pieces of Game, 8/29)。「金儲けのチートはバレないようにやるから怖いよ」
》 海の向こうの“セキュリティ” 2015年、Flash Playerにいかに多くの脆弱性が公表されているか――Ciscoの上半期報告書 (Internet Watch, 9/1)
》 MVNO(IIJmio)でも利用できる災害用伝言板・安否情報 (IIJ てくろぐ, 9/1)。登録は NTT 東西の災害用伝言板と Google パーソンファインダーを、検索は NTT レゾナントの J-anpiを推奨している。
》 自社のメールがGmailでどれだけスパム判定されてるか、グーグルのPostmaster Toolsで調べてみた (Web 担当者 Forum, 8/25)
》 Googleマップを使った新広告システム「Google Here」計画が頓挫 (gigazine, 9/1)
Googleがこの計画を取りやめたことについて、事情に詳しい人物は「Google Hereの機能はユーザーに対して入り込みすぎる(侵略性が高すぎる)ことと、実際の想定ユーザーである小売店企業がこの機能を必要としているか確実ではない」という点を理由にあげています。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)