セキュリティホール memo - 2016.06

　このページの情報を利用される前に、注意書きをお読みください。

• 》 本日の注目ツイート

  これは今度記事として出しますが。。。
  大方の印象や予想と違い、6月22日以降の安倍首相の発言をまとめると、「選挙の争点は経済ではない」「選挙の争点は憲法改正だ」「当然ながら、自民党改憲草案が、自民党の目指す改憲の内容だ」と、は　っ　き　り　と　言　い　切　っ　て　い　ま　す

  — 菅野完 (@noiehoie) 2016年6月30日

• 》 「Simeji」は本当にアブないアプリなのか？　ホワイトハッカーが厳しくチェックした結果…… (PR／ITmedia, 6/30)。はい、広告です。関連:

  • プログラム概要 - バイドゥ (BugBounty.jp)。5/30 で終了。

  • スプラウトとバイドゥ、バグ報奨金プログラムの中間報告を発表 (スプラウト, 5/19)

• 》 罰金を支払わずに済むようアドバイスする無料ソフトウェア「DoNotPay」が16万件もの駐車違反切符の取り消しに成功 (gigazine, 6/30)

  開発者のジョシュア・ブラウダーさんは19歳のスタンフォード大学の学生 (中略) ブラウダーさんは「AIやボットを使えばたくさんのサービスを自動化できるため、僕はこれらの技術を『可能性の金脈』のように感じています。残念に思うのは、ほとんどが花屋とかピザ屋のオーダーを自動化するくらいにしか使われていないことです」と話しています。

• 》 「お届け予定eメール」を装った不審メールにご注意ください (ヤマト運輸)

  不審メールにはZIP形式のファイルが添付されていますが、ヤマト運輸からお送りしているメールには添付ファイルはありません。絶対に添付ファイルを開かず、削除いただきますようお願いいたします。

• 》 佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた (piyolog, 6/27)。関連:

  • 教育システム管理用ＩＤ、生徒が見られる場所に (日経, 6/28)

    複数の高校は管理者用ＩＤなどを含むファイルを、システム上の生徒が閲覧できる場所に保管していた。再逮捕された少年は何らかの方法で生徒のＩＤなどを入手し、生徒になりすましてネットワークに侵入。ファイルから管理者用のＩＤなどを割り出し、今年１月ごろ、生徒の名前や成績表などを大量に盗んだとみられる。

  • 情報流出の佐賀県教育情報システム　業者選定で不正の疑い (HUNTER, 6/28)

  • 佐賀県ＩＣＴ教育事業　官業癒着の裏に韓国人元情報企画監 (HUNTER, 6/29)

  • 情報流出　１年超前から　警察指摘後も侵入５回　佐賀不正アクセス　佐賀県教委不備認める (西日本新聞, 6/29)

• 》 ＮＴＴ子会社 ９０社の研究開発などのデータ紛失 (NHK, 6/28)、 お客様情報を含む外付けハードディスクの紛失について (ＮＴＴアドバンステクノロジ, 6/28)

• 》 厚労省　 ＬＧＢＴ差別はセクハラ　指針改正し明記 (毎日, 6/27)

• 》 【参院選】首相ふれぬ改憲……議論リードする「日本会議」、その中枢に迫る (石戸諭 / BuzzFeed, 6/28)

• 》 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も (ITmedia, 6/29)、 Large CCTV Botnet Leveraged in DDoS Attacks (sucuri, 6/27)

• 》 Google Chromeのデジタルコンテンツ保護機能に「保護されたコンテンツ」を保存可能な脆弱性 (gigazine, 6/28)

• 》 Google Chrome経由でFacebookユーザーにマルウェア感染が広がる (gigazine, 6/28)

• 》 無償SSLサーバー証明書Let's Encryptの普及とHTTP/2および常時SSL化 (OSDN, 6/29)

• 》 偽りの記憶が「史実」になる恐れ　戦争証言とメディアの責任 (BuzzFeed, 6/19)。間違って覚えていることもあるからなあ。

• 》 HPCに3年ぶり衝撃、中国産プロセッサ「申威26010」を解剖する (日経 IT Pro, 6/29)

• 》 子宮頸がんワクチン　 信州大、研究内容で調査委設置 (毎日, 6/28)

• 》 「メルトダウン」公表巡る検証に厳しい指摘 (NHK, 6/28)。関連:

  • 福島第一原子力発電所事故に係る通報・報告に関する第三者検証委員会からの「検証結果報告書」の受領について (東電, 6/16)

  • 東京電力が設置した第三者検証委員会の検証結果についての知事コメント (新潟県, 6/16)

  • 「炉心溶融ということば使うな」 当時の社長が指示 (NHK「かぶん」ブログ, 6/16)

  • 「マムシの善三」、東電「第三者委員会」でも依頼者寄りの“推認” (郷原信郎が斬る, 6/17)

  • メルトダウン問題 報告書の主な内容 (NHK「かぶん」ブログ, 6/17)

  • 東電調査結果に 菅元首相「指示していない」 (NHK「かぶん」ブログ, 6/17)

  • 東電調査結果に 民進 枝野氏 事実関係を否定 (NHK「かぶん」ブログ, 6/17)

  • メルトダウン問題 官邸の誰が指示したか 検証の課題に (NHK「かぶん」ブログ, 6/17)

  • "「炉心溶融使うな」は隠蔽" 東電社長が謝罪 (NHK「かぶん」ブログ, 6/21)

  • 東京電力のメルトダウンの公表等に関する再発防止策及び人事措置についての知事コメント (新潟県, 6/21)

  • 東電は、第三者委『報告書』を破棄せよ (立憲政治の道しるべ（南部義典）/ マガジン9, 6/22)

  • 東日本大震災　 福島第１原発事故　東電の検証結果批判　県技術委「調査が不十分」　／新潟 (毎日, 6/29)

  • 菅元首相｢東電は官邸に責任転嫁している！｣ ｢炉心溶融｣を隠ぺいしたのは誰なのか？ (岡田 広行 / 東洋経済, 6/27)

• 》 森山農水相ら自民党議員がTPP対策の見返りに現金授受！ 安倍内閣の悪質賄賂疑惑をテレビはなぜ報道しない (リテラ, 6/28)。本当になあ。

  　関連:

  • 森山農水相、養鶏関係者から現金　党ＴＰＰ委員長当時 (朝日, 6/28)

  • 森山農水相、西川元農水相ら自民党3議員　TPP交渉の裏で現金授受 (週刊朝日, 6/28)

  • 日本養鶏協会会長　自民党の国会議員に現ナマ配る　カネ返してもあきまへんで (いまにしのりゆき 商売繁盛でささもって来い！, 6/28)

    森山氏は今、農林水産大臣やで。
    受け取ったんは、１年近くも前や。
    これが政治資金なら、その収支報告に書かんとあかん、
    領収書出さないとあかん。
    個人的なものなら、雑所得で確定申告せんとあかん。
    いったい、どうやってたんか？

  • 日本養鶏協会

• 》 東シナ海で一触即発の危機、ついに中国が軍事行動　 中国機のミサイル攻撃を避けようと、自衛隊機が自己防御装置作動 (織田 邦男 / JBpress, 6/28)。このごろ中国軍の海上での行動が目立っていたが、空ではもっとやばい状態だった模様:

   これら海上の動きと合わせるように、東シナ海上空では、驚くべきことが起こりつつある。中国空海軍の戦闘機が航空自衛隊のスクランブル機に対し、極めて危険な挑発行動を取るようになったのだ。(中略) 空自スクランブル機に対し攻撃動作を仕かけてきたという。
  　攻撃動作を仕かけられた空自戦闘機は、いったんは防御機動でこれを回避したが、このままではドッグファイト（格闘戦）に巻き込まれ、不測の状態が生起しかねないと判断し、自己防御装置を使用しながら中国軍機によるミサイル攻撃を回避しつつ戦域から離脱したという。

  　これら上空での状況は、海上での中国海軍艦艇の動きとは比較にならないくらい大変危険な状況である。政府は深刻に受け止め、政治、外交、軍事を含めあらゆる観点からの中国サイドに行動の自制を求めるべきである。
  　しかしながら、参議院選挙も影響してか、その動きは極めて鈍い。

  　関連:

  • 中国機　 「空自機に攻撃動作」　元空将、ネットで公表 (毎日, 6/29)

  • 中国軍機、空自機に攻撃動作　「ドッグファイト回避、戦域から離脱」　空自ＯＢがネットニュースで指摘 (産経, 6/29)

• 》 ATM 不正引き出し方面

  　「不正カード使用」だけじゃなかった:

  • 一斉引き出し事件、銀行に承認記録なし　不正アクセスか (朝日, 6/28)

    南ア側の調査では、犯行が行われた５月１５日午前５〜７時台（日本時間）の３時間弱の間は、同行のシステムが不正アクセスを受けて誤作動を起こしていたといい、引き出しを承認させた後に痕跡を消したか、承認を経ずに引き出すことができたとみられる。

• 》 ICT 女子プロジェクト、いまだ再開せず

  • ICT 女子プロジェクト (テレコムサービス協会 ICTビジネス研究会)。まっしろ。

  • 総務省ICTツイート:

    • https://twitter.com/MIC_ICT/status/740840402056556544 (twitter, 6/9)

    • https://twitter.com/MIC_ICT/status/740840528762277888 (twitter, 6/9)

  • 「ＩＣＴ女子公式応援団」にアップアップガールズ（仮）が就任！ (アップアップガールズ（仮）オフィシャルブログ, 6/9)

  • 集え「ICT48」、ICTで活動する女性を募集 (ascii, 6/10)。淡々と紹介している記事。

  • 「ICT女子プロジェクト」が発足　女性の活躍支援かと思ったらまるでアイドルオーディションだったでござる (井指啓吾 / BuzzFeed, 6/10)

  • 【UPDATE】まるでアイドルオーディションな「ICT女子プロジェクト」、サイト自体が消える (井指啓吾 / BuzzFeed, 6/11)

  • 総務省「ICT女子プロジェクト」がひどい件→しれっと少し修正→削除で真っ白 (NAVER まとめ)

  • おわび

    • 総務省ICTツイートにおける（一社）テレコムサービス協会の 「ICT女子プロジェクト」を紹介するツイートについて (総務省, 6/13)

    • https://twitter.com/MIC_ICT/status/742337531287457794 (総務省ICTツイート / twitter, 6/13)

    • 高市総務大臣閣議後記者会見の概要 (総務省, 6/14)

    • 「ICT女子プロジェクト」における「ICT48」募集についての不適切な記載に関するお詫び (テレコムサービス協会 ICTビジネス研究会, 6/15)

    梯子を外した感。

  • 前史

    • ICT48誕生ものがたり（沖縄編） (M教授を煽らないでください, 5/5)

    • ICT48誕生ものがたり（高松編） (M教授を煽らないでください, 5/5)

    • ICT48誕生ものがたり（未来編） (M教授を煽らないでください, 5/5)

    • G7でピュアがICT48になった話。〜うどん県でうぇいそいや〜 (Ruuuicoのブログ, 5/1)

  • 批判殺到「ICT女子プロジェクト」サイトが“白紙”状態に　担当者「中止や撤回ではない」 (ITmedia, 6/13)

    現在はいったんサイトを休止して、きちんと伝わるように中身を変更している」と説明。企画の中止や撤回などではなく、1週間ほどを目安に再開を目指しているという。

  • 「ICT女子」のための「ICT女子プロジェクト」へ　－炎上の原因と目指すべき方向性を考える (WirelessWire News, 6/14)

  • ICT女子プロジェクト大炎上から分析する経営的問題 (WirelessWire News, 6/19)

    はじめの課題は、多様性の不足が引き起こすリスク体質です。(中略) ゲイが意思決定者ならこんな企画は嫌がるでしょうし、外国人、特に訴訟社会から来た人がいたら、これはリスクが高すぎるから辞めるべきだ、というでしょう。

    二つ目の課題は、ガバナンスです。(中略) あきらかにジェンダー差別を助長するような企画を通してしまうというのは、承認フローに抜けがある、ということで、担当者の倫理の問題だけではなく、組織のガバナンスの問題でもあり、実は深刻なことです。組織のデザインに瑕疵があるということだからです。

    ３つめの課題は、「広報」の影響力を甘く見すぎている、という点です。日本の組織は「広報は広告に比べたら適当にやっても平気だ」と考えていることがありますが、むしろ、広報だからこそ、広告よりも難しい、という認識がかけている印象があります。

  • 元総務省所管業界団体の研究会が自前のアイドルグループ結成を画策して炎上 (山本一郎 / Yahoo, 6/21)

• 》 インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 6/28)、 攻撃者の行動によって残る痕跡を調査 (JPCERT/CC, 6/28)

  この報告書は、セキュリティ対策の検討、導入およびインシデントの初期調査を行う担当者にも利用していただけるように、作成しました。専用のフォレンジックソフトウエアや、フォレンジックに関する知識がなくても、イベントログを見たり、レジストリエントリを確認したりする方法が分かれば内容を把握できますので、是非チャレンジしてください。

• 》 伊藤隼也（医療ジャーナリスト）が自著で「うつ治療」関連のデマを流して騒動に (山本一郎 / Yahoo, 6/25)

• 》 英ＥＵ離脱　 公約「うそ」認める幹部　「投票後悔」の声も (毎日, 6/27)。離脱派、デマを投票終了直後に認める。

• 》 本職のセキュリティ技術者が旅先のウィーンでATM盗視機を発見 (techcrunch, 6/25)

• 》 宇宙飛行史上「最悪」の事故の生存者が恐怖の事故状況を赤裸々に語る (gigazine, 6/24)。ミール。

• 》 病気だけでも心配なのに…医療機器にハッキングの恐れ (Kaspersky, 6/27)

• 》 IPA、新設される「情報処理安全確保支援士」と現行制度の位置付けを公表 (クラウド Watch, 6/27)

• 》 ダークウェブの仁義なき戦い (ZERO/ONE, 6/27)

• 》 2016年6月に複数の組織で確認されたマルウェア感染インシデントについてまとめてみた (piyolog, 6/26)

• 》 「Xen 4.7」リリース、ライブパッチング技術が導入されたほかセキュリティやライブマイグレーションを強化 (OSDN, 6/24)

• 》 「スマホGPS捜査」問題　警察庁、総務省、携帯各社に話を聞いた (ZERO/ONE, 6/24)

• 》 一般消費者向けIoT製品のセキュリティガイドをJNSAが公表 (日経 IT Pro, 6/24)

• 》 「企業自ら攻撃に気づいたのは12％だけ」、SecureWorksが標的型攻撃の痕跡を見つけるサービス (日経 IT Pro, 6/21)

• 》 オープンソースコードのセキュリティチェックと問題修復を開発のワークフローに組み込むSnyk、GitHubとの統合も可能 (techcrunch, 6/24)

• 》 I/Oのアーカイブについて (I/O編集長好記 2nd season, 6/21)

  当然のことながら、ここに上がっているは公式に弊社が上げたものではありません。弊社が許可していないものなので、著作権法違反なのは明らかです。

  　やっぱそうなんだ。広告が混じっていたしなあ。

  ですので、もしアーカイブを読まれた方に、お願いがあります。
  
  ぜひ、本屋で売っている”現在”の「I/O」を手に取ってみてください。 (中略) もし手にとって、その上でつまらなければ、ぜひ雑誌についている読者ハガキ*2で貴重なご意見をください。今後の雑誌作りの参考にさせていただきます。

• 》 暗号通貨ファンド「The DAO」から数十億円分が流出 (日経 IT Pro, 6/20)。関連:

  • The DAOに関する間違った報道する方々へのお願い (ブロックチェーン技術ブログ, 6/19)

  • The DAOに関する報道訂正記事につっ込む笑 (ビットコインを語ろう2.0, 6/19)

  • The DAO の事件から見るプログラムが読める人の需要 (ひものぶろぐ, 6/22)

  • 実験的な暗号通貨「Ethereum(イーサリアム)」でいかにして約52億円を失ったのか (gigazine, 6/21)

• 》 インドネシアのジョコ大統領、南シナ海のナトゥナ諸島を訪問

  • ナトゥナ諸島 (ウィキペディア)

  • インドネシア大統領が南シナ海の島訪問 中国をけん制か (NHK, 6/23)

  • 軍艦上で閣議　中国をけん制　大統領　ナトゥナ諸島沖を訪問 (じゃかるた新聞, 6/24)

    大統領一行は２３日午前、東ジャカルタのハリム空港からナトゥナ諸島に向かい、１７日に中国漁船を拿捕　した軍艦「ＫＲＩイマム・ボンジョル３８３」に乗船し、約１時間閣議を開いた。

    イマム・ボンジョルはインドネシア海軍の対潜コルベット。383 は艦番号。 KRI は Kapal Perang Republik Indonesia の略。USS とか HMS みたいなものか。

    • List of active Indonesian Navy ships (Wikipedia)

    • パルヒム型コルベット (ウィキペディア)。インドネシアは旧東ドイツ製パルヒム級コルベットを改修し、カピタン・パチムラ級コルベットとして再就役。

    • Indonesia launches investigation into Kapitan Pattimura-class corvette accident (Janes, 6/6)。カピタン・パチムラ級の別の船が沈没事故を起こしていたようで。

  • インドネシア、中国に対抗姿勢強める　「中立」から転換　経済水域保護へ特別班発足 (産経, 6/23)

  • Indonesia president visits islands on warship, makes point to China (reuters, 6/23)

• 》 OWASPアプリケーションセキュリティ検証標準 (JPCERT/CC, 6/23)。3.0.1 版の邦訳。

• 》 AV出演強要問題、業界団体IPPAが声明「深く反省」「健全化に向け改善促す」 (弁護士ドットコム, 6/23)

• 》 貧困報道を｢トンデモ解釈｣する困った人たち　 ある階級の人たちは｢想像力｣が欠如している (東洋経済, 6/22)

• 》 マイナンバーカードでSSHする (AAA Blog, 6/23)。 公的個人認証を使って公開鍵認証する方法。

• 》 中国陝西省西安市の発電所爆発によるPC用メモリーへの影響 (Ark Tech and Market News, 6/22)、 サムスン電子西安工場、停発電所トラブルで巨額被害 (朝鮮日報, 6/20)。「数百億ウォンの被害」「今後の状況次第では6月が2016年の最安値だったという結果になる得る可能性も出てきている」

• 》 ショートカットファイルから感染するマルウエアAsruex (JPCERT/CC, 6/23)

• 》 「ウイルスが検出されました」と音声で警告、サポートへ電話促す手口に注意（IPA） (so-net セキュリティ通信, 6/23)

• 》 GMOメイクショップが情報漏洩事故を再調査、2年前の調査を大幅に上回る規模と判明 (日経 IT Pro, 6/21)。「通販サイトの管理者アカウントが最大320件、個人情報を含む通販サイトの注文者情報が最大10万1624件」→「通販サイトの管理者アカウントが最大6116件、注文者情報が最大62万5578件」。

• 》 PowerShell で公開鍵方式暗号ファイルを交換をする (MURA's HomePage)

• 》 東電の原発再稼働だけは認めるな！ 〜第三者委員会「報告書」を深読みして分かった変わらぬ「無責任体質」 (現代ビジネス, 6/21)

• 》 Ｌｉｓｔｅｎｉｎｇ ＜憲法の岐路＞本来、権力者を縛るもの　首都大学東京教授・木村草太さん（３５） (毎日, 6/23)

• 》 松山市元職員が約14万人分の保健データ持ち出し、USB書き出し制限かいくぐる (日経 IT Pro, 6/16)。「現時点ではなぜ元職員がデータを持ち出せたのかが判明していない」

• 》 水素水方面

  • 「有効性に信頼できる十分なデータが見当たらない」　国立健康・栄養研究所が見解 (産経, 6/20)。この件:

    • 2016年6月新規作成の素材情報データベース (「健康食品」の安全性・有効性情報〔独立行政法人 国立健康・栄養研究所〕, 6/17)

    • 「健康食品」の素材情報データベース: 水素水 (「健康食品」の安全性・有効性情報〔独立行政法人 国立健康・栄養研究所〕)

      安全性: ヒトに対する安全性については信頼できる十分なデータが見当たらない。
      有効性: ヒトに対する有効性については信頼できる十分なデータが見当たらない。

  • 記者の目　 「水素水」論争に向けて＝小島正美（生活報道部） (毎日, 6/23)

• 》 韓国の大学でサイバー戦士養成、北朝鮮の攻撃に対抗 (ロイター / ダイヤモンド ONLINE, 6/23)

• 》 北朝鮮、ムスダン 2 発を発射、内 1 発は一定の成功か。 だとしても成功率 1/6 なんですけど、今後安定するようなら話が変わるなあ。

  • 「ムスダン」高度１０００キロ超＝２発撃ち１発目失敗－北朝鮮 (時事, 6/22)

    韓国軍は１発目は失敗し、２発目は「約４００キロ飛行した」とみて、詳しく分析している。日本の防衛省は２発目について、北東方向に発射され、「１０００キロを超えた高度に達し、中距離弾道ミサイルとしての一定の機能が示された」との分析を発表した。

  • 焦点：高度1000キロ超えた北朝鮮ミサイル、「発射成功」の見方強まる (ロイター, 6/22)

    防衛省と米軍によると、約４００キロを飛んで日本海に落下した。(中略) 自衛隊のレーダーが捉えた情報を防衛省が分析した結果、ミサイルは１０００キロを超える高度に達していた。(中略) 防衛省関係者は「あれほど角度をつけずに打ち上げず、普通に発射していれば、われわれが見積もっている距離を飛んだ可能性がある」と話す。

  • 成功した？ムスダンの飛翔をシミュレーションしてみた (数多久遠 / BLOGOS, 6/23)。「１０００キロを超える高度」が実際にはどのくらいだったかによって話が変わると。

  • 北朝鮮が「ムスダン」6回目の試射：高度1000kmに達するロフテッド軌道で飛翔 (nonreal / BLOGOS, 6/22)

    なお、弾道ミサイルとしてはすでに何度も試射に成功しているノドンが日本にとって一番の脅威です。ノドンが日本攻撃用であり、ムスダンはあくまでもグアム攻撃用であるという位置づけは変わらないと思われます。そしてムスダンが我が国に及ぼす安全保障上の影響は、ロフテッド発射されるかどうかなどよりも、現実にはグアムへ向かって発射された場合に米国から協力の要請を受けて集団的自衛権を行使するかどうかにおいて顕著となります。

  • 異例のムスダン発射情報公開　自信の表れか＝北朝鮮 (聯合ニュース, 6/23)

    朝鮮中央通信は「弾道ロケットは予定飛行軌道に沿って最大頂点高度１４１３．６キロまで上昇飛行し、４００キロ前方の予定されていた目標水域に正確に着弾した」と報じた。

  • 発射に成功したムスダンの映像分析 (週刊オブイェクト, 6/23)

  • ムスダンの狙いはグアム　金正恩氏「攻撃能力確保した」 (朝鮮日報, 6/23)

• 》 Google、2段階認証オプションに「Googleからのメッセージ」を追加、認証済みスマートフォンでアカウント認証 (Internet Watch, 6/21)

• 》 キングジム、パスワード管理専用機の新モデル (Internet Watch, 6/21)。ミルパスPW20。

• 》 Active Directoryによるローカル管理者のパスワード管理（1）： 「ローカル管理者」のパスワード管理、どうする？――LAPSを使ってみよう！ (@IT, 6/22)

• 》 「しゃぶしゃぶ温野菜」で大学生刺傷事件　なぜブラックバイトは暴力的になるのか (今野晴貴 / Yahoo, 6/22)

  　暴力、パワーハラスメント、シフトの強要、賃金の未払い、自腹購入など様々な被害が見られるブラックバイトの相談であるが、実はその多くのケースで、被害を与える側の店長の労働環境もまた、過酷であるというケースが多い。 (中略) 正社員の過酷な労務環境は、ブラックバイトの職場に共通している。

  　では、こうした正社員とアルバイトが大量の業務を分担する構図自体を変えるための方法はあるのか。
  　その一つの対案は、正社員とアルバイトが共同して労働組合（ユニオン）に加入し、職場の改善を会社に求めるという方法だろう。
  　今回の事件を問題化したブラックバイトユニオンでは、すでにそのような実践が行われている。昨年団体交渉が行われ、新聞などでも報道された、京都市の先斗町での居酒屋の事例である。

• 》 バイドゥ方面

  • 当記事は削除申請に基づき削除致しました。 (楽しくiPhoneライフ！SBAPP)

  • 百度関連の記事でいわゆる削除依頼が来た (Galaxy Lab, 6/16)

  • バイドゥ株式会社より削除申立がありました (猫でもわかるセキュリティ, 6/19)

• 》 安心相談窓口だより - “ウイルスに感染した”という偽警告でサポートに電話するように仕向ける手口に注意 〜最近ではブラウザの操作を妨害する手口も〜 (IPA, 6/21)

• 》 「CRYPTRECシンポジウム2016」開催のお知らせ (IPA, 6/20)。2016.06.27、東京都港区、無料。

• 》 Microsoft、C言語に静的/動的チェック機能を加えた「Checked C」を公開 (OSDN, 6/20)

• 》 愛知ヤクルト「性同一性障害 公表強要」　社員が提訴へ (東京, 6/20)。愛知ヤクルト工場。

• 》 Exploiting Recursion in the Linux Kernel (Project Zero, 6/20)

• 》 Apple、OS Xのウィルス定義データベース「XProtect」をv2080へ更新。ゼロデイ脆弱性が確認されたFlash Playerをブロック。 (Apple ちゃんねる, 6/21)

• 》 宮古島陸自配備、市長が受け入れ表明　現計画は反対 (沖縄タイムス, 6/21)、 宮古島市長、陸自配備「了解する」　水源地近くは反対 (琉球新報, 6/21)。「旧大福牧場」周辺への配備は反対。

• 》 陸自誤射　 「経験不足」実弾気づけず…「発注ミス原因」 (毎日, 6/20)。実弾発射事件の件。大阪版の紙面だとこういうタイトルで、もっとわかりやすいんですけどね。

  「誤入力で実弾調達」
  「到着時に確認せず」
  「参加者が経験不足」
  陸自訓練誤射　調査報告

  　紙面だと、再発防止策についてもこんな記述が:

  陸自は、弾の請求手続きや紙箱の色を変更するなどして再発防止に取り組む。

  　朝日の記事「実弾誤射、陸自が調査結果　「部隊も見分けられず」」 (朝日, 6/20) だとこうなってる:

  陸自は再発防止策として、空包を入れた木箱を青く塗ったり、弾薬の管理システムに実弾と空包を確認する画面が出るようにしたりする方針。

  　うーん。

• 》 「集団強姦不起訴は不当」　被害女性が検審に申し立て (朝日, 6/20)。大阪府警警察官集団強姦事件の件。犯罪やるならケーサツになろう事例。

• 》 マイナンバーカードをケースに入れれば重要な情報が隠せる→一番大事なところが丸出しな件 (togetter, 6/20)。QR コードがマイナンバーそのものである件。 関連:

  • インターネット等にマイナンバーカード裏面のＱＲコードを掲載することに対する注意喚起 (個人情報保護委員会 マイナンバー（個人番号）ヒヤリハットコーナー, 6/20)

  • 上原　哲太郎さんのツイート:

    マイナンバーカードの裏面のQRコードが目隠しケースに入れても丸見えなのは、人々に「あのQRコードには隠す必要のない情報しか入ってない」って誤解を与えた恐れがある。私はこうやってケースの該当部を黒塗りしてます（汚い…） pic.twitter.com/rY5x02eeg9

    — 上原　哲太郎 (@tetsutalow) 2016年6月20日

• 》 北朝鮮がＳＫと大韓航空の社内ネットワークをハッキング (ハンギョレ, 6/13)。「F15戦闘機整備マニュアルなど4万200件の資料流出」の件。

  北朝鮮が2014年7月から今年2月まで韓国の大企業、公共機関、政府部署など160カ所で使用しているPC管理システムをハッキングした (中略) 今回突き破られたPC管理システムは、韓国の企業が開発したもので、これを設置すれば管理者は遠隔で多数のPCを管理し、ソフトウェアのアップデートもできるため大企業や政府部署の多くが使用していたという

  　これは怖い。以前も、パッチ管理システムがヤラレてマルウェア蔓延 ということがありましたね。

  　関連: 北朝鮮がサイバーテロ準備　１３万台に不正アクセス＝韓国警察 (朝鮮日報, 6/13)

• 》 Security updates for all active release lines, June 2016 (nodejs.org, 6/16)

  We now intend to make releases available on or soon after Thursday, the 23rd of June, 2016, UTC.

• 》 クラウド・OSSセキュリティセミナー (サイオステクノロジー)。2016.07.22、東京都港区、無料。「OpenStack環境自体のセキュリティ管理」など。面さん情報ありがとうございます。

• 》 Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの？ (山市良のえぬなんとかわーるど, 6/14)。not yet?

• 》 フィッシング関連 (so-net セキュリティ通信)

  • 「フィッシング対策ガイドライン」改訂版を公開（対策協議会） (so-net セキュリティ通信, 6/10)

  • 5月の国内フィッシング事情：激減した金融機関、ゲームとプロバイダ攻撃は継続 (so-net セキュリティ通信, 6/3)

  • 5月の国内フィッシング事情：カード会社で頻発、通販サイトもターゲットに (so-net セキュリティ通信, 6/3)

• 》 芸能人の被害から考える不正ログイン対策 (so-net セキュリティ通信)

  • (1)　誰にも気づかれず継続した「覗き見」 (so-net セキュリティ通信, 5/25)

  • (2)「iCloud」「Facebook」のセキュリティ機能 (so-net セキュリティ通信, 5/27)

  • (3) 「Twitter」のセキュリティ機能 (so-net セキュリティ通信, 6/6)

• 》 社長のメールは真に受けるな！ (エフセキュアブログ, 6/20)。ビジネスメール詐欺 (BEC; Business Email Compromise) の解説。

• 》 Warberry Pi

  • WarBerryPi (GitHub)

  • Warberry Pi: The stealthy way to slink past business security (ZDNet, 6/17)

• 》 Microsoft pushes new Windows 10 tool to kill PC bloatware (ZDNet, 6/18)、 Now Available: Start fresh with a clean install of Windows 10! (Microsoft, 5/12)

• 》 DNS Sinkhole ISO Version 2.0 (SANS ISC, 6/12)

• 》 iPadを買ったとき、最初にしておくべきこと (Kaspersky, 6/10)

  パスワードを設定するには、［Touch ID とパスコード］を開き、［パスコードを変更］ – ［パスコードオプション］の順に選択して、［カスタムの英数字コード］を選択します。

• 》 私はいかにして巨大なセキュリティホールを講義中にたまたま見つけたか (POSTD, 6/14)。 Shodan 利用事例。

• 》 マーク・ザッカーバーグ氏のハッキング被害から得られる教訓 (マカフィー, 6/20) 「複雑なパスワードを使用する」「複数のアカウントに同じパスワードを使用しない」「データ侵害のニュースをチェックする」

• 》 正義の告発者か買収されたスパイか　スノーデンの素顔に迫るドキュメンタリー映画『シチズンフォー スノーデンの暴露』 (ZERO/ONE, 6/13)

• 》 行政機関法改正の論点 国会会議録から抜粋（パーソナルデータ保護法制の行方 その23） (高木浩光＠自宅の日記, 6/12)

• 》 Safari、Flashをデフォルトで無効化へ (マイナビニュース, 6/16)。Safari 10 で。

• 》 小さい会社に不審な？メールが着弾した時の対応を考える。 (家庭内インフラ管理者の独り言（はなずきんの日記っぽいの）, 6/16)

  面倒くさいけど電話しましょう。
  署名があれば電話しましょう。
  「メールありがとうございます、○○の添付ファイルの件ですが」
  たぶん、それだけで防げることって多いと思うんですよね。

  　これも2要素認証だよね。

• 》 不正視聴プログラム公開事案についてまとめてみた (piyolog, 6/8)

• 》 Building a faster and more secure web with TCP Fast Open, TLS False Start, and TLS 1.3 (Windows Blog, 6/15)

• 》 都知事疑惑 「民進党のアドバイザーに郷原氏」は誤報 (楊井人文 / Yahoo, 6/4)。これも産経の記事。

• 》 【追記あり】産経新聞が新都知事に関する街頭インタビューでのネットデマを裏も取らず記事化→炎上して記事消し逃亡 (buzzap, 6/17)

  • 産経サイト「街の声の女性、ピースボートスタッフに酷似」を削除 女性は熊本で支援活動中 (楊井人文 / Yahoo, 6/17)

  • 「やらせ街頭インタビューはピースボート」に産経が釣られる (togetter, 6/17)

  • 6月16日「産経ニュース」記事に関する産経新聞社からの回答について (ピースボート, 6/17)

• 》 バイドゥ株式会社のブログ削除申し立てと株式会社はてなの対応 (togetter, 6/16)。なぜ baidu は自分で草叢に火をつけて回るのか。

  • はてなユーザーがバイドゥ(百度)に焚きつけられたはてな、延焼前にバイドゥが火消しに走って軽いボヤで鎮火 (市況かぶ全力２階建, 6/16)

  • 過去の黒歴史を抹消したい百度（Baidu）が個人ブログ記事の削除を命じたようです (山本一郎 / Yahoo, 6/16)

  • 2016年6月16日のtwitterセキュリティクラスタ (twitterセキュリティねたまとめ, 6/17)

• 》 青函トンネル｢貨物撤退｣はなぜ封印されたか　 新幹線開業の際､船に切り替える案があった (東洋経済, 6/14)

• 》 IIJ、Office 365にメールセキュリティ機能を付加した「Office 365 with IIJ」 (クラウド Watch, 6/13)

• 》 Windows7からWindows10へアップグレードしたユーザーにありがちな罠 (動画エンコとフリーソフト ぼくんちのTV 別館, 2015.08.16)。 高速スタートアップの罠、NTFS LFS 2.0 の罠。どちらも Windows 8 で発生した話。

• 》 「固定資産税」払いすぎが全国で続発中〜役所から「高額請求書」が届いたらココを見よ！ (現代ビジネス, 6/15)

• 》 パナマ文書方面

  　漏洩容疑者逮捕

  • パナマ文書問題 スイスの関連会社の技術者逮捕 (NHK, 6/16)

  • パナマ文書　 機密情報漏えいで捜査　事務所技術者を逮捕 (毎日, 6/16)。「モサック・フォンセカのジュネーブ支所のＩＴ技術者」

  • パナマ文書、法律事務所のＩＴ技術者を拘束＝現地紙 (ロイター / 朝日, 6/16)

  　パナマ文書関連:

  • 記者の目　 パナマ文書とジャーナリズム＝中西啓介（ベルリン支局） (毎日, 6/14)

  • ｢パナマ文書｣が暴いた巧妙な税逃れの手口　 ある米国人は143億円を国外へ飛ばした (東洋経済, 6/10)

  • パナマ文書は近代国家への信頼を崩壊させた　 セドラチェク氏と水野和夫氏､｢危機｣を語る (東洋経済, 5/27)

  • ｢パナマ文書｣に載った日本人･企業の"事情"　 タックスヘイブン活用の意外な本音が明らかに (東洋経済, 5/23)

  • 【ぜんぶ実名】パナマ文書に出てくる「日本の億万長者」大公開！ (現代ビジネス, 5/28)

• 》 女子高生脅迫事件で逮捕の自衛官、機密情報を持ち出しか

  • 海上自衛隊の神弘行海曹長を逮捕、女子高生に脅迫メール (クリスチャン・トゥデイ, 3/6)。もともとの事件。

  • 自衛隊関連の情報記録のＵＳＢメモリー 自衛官宅で押収 (NHK, 6/14)

    関係者によりますと、メモリーには、護衛艦の対潜水艦用のシステムや、海中の障害物などを探知するソナーに関する情報などが含まれている可能性がある

    「可能性がある」? まだよくわかってないってこと?

  • 自衛官宅からＵＳＢ押収 調査し再発防止策検討へ (NHK, 6/14)

  • 海自情報ＵＳＢ持ち出しか＝女子高生脅迫事件の自衛官－防衛省 (時事, 6/14)

• 》 パズドラのチートツール公開で大学生を逮捕 (著作権法違反容疑)

  • チートツール　 ネットに公開、広島の大学生逮捕 (毎日, 6/15)

    男子学生は２０１３年夏ごろ、人気ゲームアプリ「パズル＆ドラゴンズ（パズドラ）」用のチートツールをネット上に公開し、不特定多数が使用できるようにした疑いが持たれている。

    昨日今日の話じゃないんだ……。

  • 「パズドラ」の不正ツール作った疑い　男子大学生を逮捕 (朝日, 6/15)

• 》 「Raspberry Pi」製造・販売最大手の英メーカー、スイスの産業部品メーカーが買収へ (WirelessWire News, 6/15)。Newark element14 の親会社 Premier Farnell を Daetwyler Holding AG が買収。

• 》 WSUS 3.0 SP2 をご利用中のみなさま (Japan WSUS Support Team Blog, 6/10)

• 》 「佐村河内守の純愛映画として撮っています」森達也が語る『FAKE』 (チェリー, 6/14)

• 》 アイデンティティー権の件 (壇弁護士の事務室, 6/11)。他人に成り済まされない権利認定 (共同, 6/10) の件。

  この記事、限りなく飛ばし記事に近い類のものである。

• 》 不正アクセスによる個人情報流出の可能性について (JTB, 6/14)。マジか。関連報道:

  • ＪＴＢ 個人情報 最大７９０万人分流出か 不正アクセスで (NHK, 6/14)

• 》 AV 出演強要の件

  • AV出演を強要される被害が続出~ 女子大生が続々食い物になっています。安易に勧誘にのらず早めに相談を (伊藤和子 / Yahoo, 2014.08.16)。昨日今日はじまった話ではない。

  • 【報告書】日本:強要されるアダルトビデオ撮影 ポルノ・アダルトビデオ産業が生み出す、 女性・少女に対する人権侵害　調査報告書 (ヒューマンライツ・ナウ, 3/3)

  • 【院内シンポジウム】 5/26(木） AV出演強要被害 の 被害根絶を目指して (ヒューマンライツ・ナウ, 5/17)。紹介記事:

    • ＡＶ強要　 「芸能活動、実は…」被害女性が実態語る (毎日, 5/27)

    • AV出演を強要された女性「息ができなくなるくらい苦しかった」 NPOがシンポ開催 (弁護士ドットコム / Yahoo, 5/27)

    • AV出演強要、IPPAは「AV業界は重く受け止めるべき」とコメント　シンポジウムに松本アナも出席 (小川たまか / Yahoo, 5/27)

    • 【AV出演強要】松本圭世アナ「自殺も考えた」「車の中に案内され…」 (トカナ, 6/13)

  • 【報道各位】タイトル・ＡＶ出演強要に関連する刑事事件についての一連の報道について (ヒューマンライツ・ナウ, 6/13)

  　AV プロダクション社長ら逮捕の件:

  • 大手ＡＶプロダクション元社長ら逮捕　女性「出演強要された」　労働者派遣法違反容疑 (産経, 6/12)、 「サインしたじゃねえか！」　拒否する女性を数時間脅し撮影強行　同様の相談数十件 (産経, 6/13)

  • ＡＶ撮影と知りながら派遣か 元社長ら逮捕 (NHK, 6/13)

    過去５年間、警視庁が同様の事案を摘発した例はなく、強制捜査を行うのは異例です。
    警視庁によりますと、労働者派遣法では「公衆道徳上有害な業務」に派遣することは処罰の対象になるとされていますが、適用するのは容易ではないということです。女性がアダルトビデオの出演に承諾する契約を交わしていたり「家族や他人に知られたくない」と被害を訴えずに黙っていたりしていて、警察に届け出るケースは少数だからです。

  • 女性をＡＶに出演させた疑い　プロダクション社長逮捕 (朝日, 6/13)

• 》 名ばかりCSIRTを問題視している理由 (まるちゃんの情報セキュリティ気まぐれ日記, 6/12)

  金融庁が業界に推奨したので

  　主要行等向けの総合的な監督指針 > III 　主要行等監督上の評価項目 (金融庁) の「III －３－７－１－２　主な着眼点」の「(5)サイバーセキュリティ管理」に「組織内CSIRT等」という文言があるのですね。 「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」等の一部改正（案）の公表について (金融庁, 2015.02.13) で入ったようです。

• 》 個人情報保護で同意をとることはそんなに大変なのか？ (まるちゃんの情報セキュリティ気まぐれ日記, 6/13)

  100%の人から同意をとることは難しいとは思う。しかし、例えば80%から同意がとれた情報の利用価値（－同意を取るコスト）と匿名加工情報の利用価値（－匿名加工処理に係るコスト）を比較したらどうなんだろうか・・・

• 》 福山雅治邸侵入は氷山の一角 高級マンション「薄給コンシェルジュ」の闇 (弁護士 落合洋司　（東京弁護士会）　の 日々是好日, 6/12)。 「高級マンション」のショボい実態。 コンシェルジュの正体が薄給のバイトじゃあねえ。

• 》 舛添氏疑惑調査、これで「第三者の厳しい目」？　弁護士は小渕優子氏にも「活用」されていた (弁護士 落合洋司　（東京弁護士会）　の 日々是好日, 6/6)、 舛添都知事、「第3者」と会見　番組独自に3人の「第3者」が分析 (弁護士 落合洋司　（東京弁護士会）　の 日々是好日, 6/7)

• 》 米民主党、政策綱領策定委員にSOPAを提案したMPAAロビイストを指名 (P2Pとかその辺のお話R, 6/4)

• 》 スマートメーターの情報を最安ハードウェアで引っこ抜く (Qiita, 6/4)

• 》 「企業における情報システムのログ管理に関する実態調査」報告書について (IPA, 6/9)

• 》 マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」 (ITmedia, 6/10)、 Who Needs to Exploit Vulnerabilities When You Have Macros? (CERT/CC blog, 6/8)

• 》 12年間で銃によって殺されたアメリカ人の数はエイズ・戦争・違法薬物の合計死亡者数よりも多い (gigazine, 6/13)

• 》 Mozilla、オープンソースのセキュリティ問題に取り組む「Secure Open Source」プログラムを発表 (OSDN, 6/10)

  本プログラムでは、Mozillaによる初期投資50万ドルを利用して、広く使われているオープンソースライブラリおよびプログラムの監査を行う。

• 》 初の日本語版 Azure Active Directory 専門書〜脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説 (Microsoft, 6/8)

• 》 銀行アプリに250億ドルの穴　ホワイトハッカーが未然に防ぐ (ZERO/ONE, 6/8)

• 》 Monthly Research 「IoTデバイスのセキュリティの現状」 (FFRI Blog, 6/8)

• 》 USB経由のスマートフォン充電に潜む危険 (Kaspersky, 6/8)。AT コマンド……

• 》 電気通信大、不正アクセスで学内PCからフィッシングメール280万通を送信 (Internet Watch, 6/6)。5/3, 4 の話。

• 》 「企業の戦争責任　三菱マテリアル和解の意義」（時論公論） (NHK 解説委員室, 6/6)

• 》 アズジェント、ネットワークを迷宮化することにより重要情報の窃取を防ぐ　 新しいアプローチのサイバー攻撃対策ソリューション販売開始 (アズジェント, 6/8)。illusive (Illusive Networks)。防壁迷路を製品化、ということかな。 世の中がどんどん攻殻に追いついてくるな。

• 》 有料放送が無料に 不正プログラム公開疑いで少年逮捕 (NHK, 6/8)。B-CAS ねた。まだやってる人いたのか。

• 》 ATM 不正引き出し方面

  　セブン銀行だけじゃなかった:

  • ＡＴＭ不正引き出し、首都圏に集中　ファミマでも被害 (朝日, 6/2)

    新たに被害が判明したのは、１都５県のファミリーマートなどに設置されたＡＴＭ。イーネットは約３００台で計約４億円、ゆうちょ銀行は約２０台で計約２千万円が引き出されたという。

  • ＡＴＭ不正引き出し ファミマなどでも４億円以上被害 (TBS, 6/2)、 コンビニＡＴＭ狙う犯行の一部始終 １００人超が全国で一斉に (TBS, 6/2)

  • 海外発行カードのATM引出限度額の変更について (イーネット, 6/3)。20万円/回→4万円/回。

  • 海外発行カードの偽造による不正引出し報道について (ゆうちょ銀行, 6/2)。ゆうちょは限度額引き下げしてないのかな。

  　先月だけじゃなかった:

  • ＡＴＭ不正引き出し 去年末にも１億円被害 (NHK, 6/3)

    去年の１２月２７日、全国７つの都県のコンビニエンスストアなどにある「セブン銀行」のＡＴＭで、偽造されたとみられるクレジットカードが一斉に使われ、合わせておよそ１億円が不正に引き出された (中略) 中米のエルサルバドルの金融機関が発行したクレジットカードの情報が悪用されたとみられ

  　出し子の容疑者 1 名をさらに逮捕:

  • ＡＴＭ引き出し　 「出し子」の３４歳塗装工　警視庁も逮捕 (毎日, 6/6)

  • 偽造カード事件 ３分間で７回現金引き出し (NHK, 6/6)

  　その他

  • ＡＴＭ不正引き出し 磁気テープ貼りカード偽造か (NHK, 6/7)、 ＡＴＭ不正引き出し 「手順書」に４桁の暗証番号か (NHK, 6/7)

  • 多額引き出し　 ＡＴＭ不正に手順書…別の詐欺事件で押収 (毎日, 6/7)

    新潟県警が別の振り込め詐欺事件の捜査でＡＴＭから現金を引き出す方法や手順を記した手書きのメモを押収していた (中略) 偽造カードは南アフリカの銀行が発行したクレジットカードのデータが用いられており、メモには偽造カードが使える店舗として「セブン−イレブン」など大手コンビニチェーンの名前を記載。ＡＴＭにカードを挿入した後、言語の選択画面で「日本語」を選択し、「引き出し」「普通口座」と操作する順番が書いてあった。また一連の事件で使用されたものと同じ４桁の暗証番号も記されていたという。

• 》 CODE BLUE 2016。 2016.10.20〜21、東京都新宿区、早期申込 41,040円。

• 》 AVTOKYO2016。 2016.10.22、東京都渋谷区。

• 》 Tumblrと（懐かしの）MySpaceから大量のログイン情報が流出 (Kaspersky, 6/6)、 史上最大級6億4200万件ものアカウント情報が流出してダークウェブで販売、サイト側は流出を把握せず (gigazine, 6/2)

• 》 「三菱アウトランダーPHEV」にスマートフォンアプリとの通信を乗っ取られる危険性 (gigazine, 6/7)。「三菱リモートコンロトール」。

• 》 「パナマ文書」を調査することで富裕層がいかに資産隠し＆身元隠蔽をしていたかという手法が発覚 (gigazine, 6/6)

• 》 ロシア最大のSNSがハッキングされて1億ものパスワードが暗号化されずに平文で流出 (gigazine, 6/7)

• 》 音楽の違法コピーによる被害は収益全体の5.2％ーーEU知的財産庁 (P2Pとかその辺のお話R, 6/2)

• 》 人工知能学会倫理委員会、倫理綱領案を公開

  • 人工知能研究者の倫理綱領(案) (人工知能学会倫理委員会, 6/6)。 あくまで人工知能研究者の倫理綱領(案)であり、 人工知能自身の倫理綱領(案)ではない。

  • 2016年度人工知能学会全国大会「公開討論：人工知能学会 倫理委員会」（2016/6/6）のご案内 (人工知能学会倫理委員会)

  • 人工知能学会全国大会2016倫理委員会セッション (togetter, 6/7)

  • マスメディア報道。毎日と朝日は誤解を招くタイトルだよなあ。中身読めばわかるんだけど。

    • 人工知能巡り研究倫理の指針案示される (NHK, 6/6)

    • 人工知能　 学会が倫理綱領作成へ　たたき台示す (毎日, 6/7)

    • 人工知能、初の倫理綱領　学会素案、悪用防止求める (朝日, 6/6)

      国内では５月、内閣府で議論が始まっており

      これのことか: 人工知能と人間社会に関する懇談会 (内閣府)。5/30 に第1回が開かれている。 配布資料。

  • 関連:

    • Googleの人工知能「AlphaGo」を作ったDeepMindがAIの暴走を止める「緊急停止ボタン」の仕組みを開発 (gigazine, 6/6)

• 》 「第11回 情報危機管理コンテスト」レポート

  • 地雷を踏み抜き、失敗から学べ！ 運用力を磨く「情報危機管理コンテスト」 (@IT, 6/3)

  • 電話が鳴る！ 上司に報告！ まるで実務なセキュリティ競技 (ascii.jp, 6/7)

• 》 ソフォス、シグネチャーレスの次世代型マルウェア駆除ツール 「Sophos Clean」 を提供開始 (Sophos, 6/1)

  「Sophos Clean」は、ソフォスが 2015年 12月に買収したオランダの SurfRight 社の定評あるマルウェア検出・除去テクノロジーを基盤に開発されました。 高度な挙動分析や証拠収集（フォレンジック）機能を駆使し、ゼロデイ攻撃やトロイの木馬型マルウェア、ルートキット、ポリモーフィック型マルウェア、悪質なクッキー、 スパイウェア、アドウェアなどを検出・除去します。

  　SurfRight は HitmanPro の会社。HitmanPro for Enterprise には Incident License というのもある のだけど、 Sophos Clean にはないのかな。

• 》 PCをリモート操作するTeamViewerの乗っ取りで被害が続出した件で開発元が声明を発表 (gigazine, 6/6)

• 》 海外ネットバンキングを狙う「DRIDEX」、証明書ファイルになりすます新手法で拡散 (トレンドマイクロ セキュリティ blog, 6/7)

• 》 実行中のタスクを検出する新しい手口―Android マルウェアの飽くなき追求 (シマンテック, 6/2)

• 》 eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す (高木浩光＠自宅の日記, 6/3)

• 》 データを人質にする事件多発、韓国警察がサイバーテロ型犯罪取り締まり強化 (日経 IT Pro, 6/7)

• 》 #Citizenfour が6月11日から日本で公開 - スノウデンへの密着ドキュメンタリー (エフセキュアブログ, 6/6)。例によって滋賀県では公開されないわけなのだが orz。

  (しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)

• 》 【緊急アップ】舛添都知事の調査報告書全文を公開します (おときた駿 / BLOGOS, 6/6)

• 》 燃費計測問題、そもそも惰行法は適切な計測方法なのかという議論

  • スズキの燃費不正､どこまで｢罪｣といえるか (東洋経済, 6/2)

    そもそも燃費試験（同じ試験で行われる排ガス試験も）は屋内の巨大なローラー上で行われる。この屋内試験に対し、現実と乖離しているという批判もある。その批判にも一理ある。だが、屋内試験を正当化する理由は、条件を可能な限り統一することで“物差し”としての信頼性を担保するためだ。屋内試験の条件設定の値の一つである走行抵抗値は、条件がばらつく屋外の惰行法で取られている。このことに矛盾はないのだろうか。

  • スズキの修会長が燃費計測不正で全面的に謝罪！しかし猛省すべきは国交省では？ (オートックワン, 5/31)

    スズキが法令違反を始めたのは2010年だったという。きっかけは欧州の燃費計測方法にある。この時点で欧州の走行抵抗値は、風洞やタイヤの転がり抵抗など別個に計った数値を積み上げることが認められていた。 (中略) 欧州のように新しい基準を取り入れろよ、というのがスズキのホンネだろう。

  　制度改正まで視野に入れた対応が必要な感じ。

• 》 企業の公式サイトが、架空の行方不明者捜索で宣伝行為を行う (togetter, 6/1)。インサイド。

• 》 南シナ海方面

  • 焦点：南シナ海で態度を硬化、マレーシアは「親中国」返上か (ロイター / BLOGOS, 6/6)

  • 南シナ海で防空識別圏設定なら「挑発的行為」、米国務長官が警告 (ロイター / BLOGOS, 6/6)

  • 米中戦略・経済対話　 「南シナ海」で激しい応酬 (毎日, 6/6)

• 》 サウジアラビアのセキュリティ求職者を対象にしたAndroidスパイウェア (マカフィー, 6/3)

• 》 FBIが刺青追跡システムを開発中。プライバシー擁護団体が反発 (techcrunch, 6/6)

• 》 TLS/SSLのオープンソース実装「LibreSSL 2.4」リリース (OSDN, 6/6)

• 》 Ubuntu Weekly Topics - DNSレゾルバに関する大きな変更ふたたび・UWN#467 (技評, 6/3)

  5月末にresolvedの投入が行われることが宣言されています。
  
  この変更によって，「1）/etc/resolv.confは手で編集してよいファイルに戻り」，「2）DNS応答は基本的にキャッシュされる」という挙動が実現されます。また，変更はDesktop・Touch・Serverのいずれにも適用され，環境による差が無くなります。

• 》 医療ソフトのハッキングコンテストで80超の脆弱性発見 (日経テクノロジー online, 5/31)。「医療セキュリティハッキングコンテスト 2016」。

• 》 ウイルス対策ソフトの第三者評価 (エフセキュアブログ, 5/30)

• 》 IC3のインターネット犯罪レポート (エフセキュアブログ, 5/27)

• 》 Tor Browser 6.0 is released (Tor Project, 5/30)。iida さん情報ありがとうございます。

• 》 「生かされなかった教訓〜警察のストーカー対応」（時論公論） (NHK 解説委員室, 5/30)

• 》 「熊本地震　建物被害からの教訓」（視点・論点） (NHK 解説委員室, 5/26)

  一つの方法として、皆様がお持ちの「スマホ」を使って建物の固有周期を調べる方法が使えます。地震のない普段の時に２階の床にスマホを置いて固有周期を調べておきます。大きな地震が起きたら、地震の後にもう一度、固有周期を調べます。筋違が外れたり合板の周りの釘が緩んだりすると、揺れ方がゆっくりになります。このような住宅は弱くなっていることがすぐに分かります。

  　関連: スマホが地震計に (教授のひとりごと, 5/31)

• 》 4Kコピープロテクト「回避」機器、ワーナー・ブラザースとの著作権侵害裁判で事実上の勝利 (P2Pとかその辺のお話R, 5/31)

• 》 「IoT機器のセキュリティ」実現に向けた各社のアプローチとは (高橋睦美 / @IT, 6/1)。Japan IT Week レポート。

• 》 アベノミクスの終焉

  • 消費増税の再延期、アベノミクス失速浮き彫りに (ウォール・ストリート・ジャーナル日本版, 6/2)

  • 世界経済は「リーマン直前」とまったく似ていない (野口悠紀雄 / 週刊ダイヤモンド, 6/2)

  • 検証　 首相、増税再延期決定（その１）　「リーマン資料」極秘準備　経産主導、財務・外務反発 (毎日, 6/1)

  • 検証　 首相、増税再延期決定（その２止）　「増税」「解散」熟考半年　首相の判断連動　きしみ見え始めた政権 (毎日, 6/1)

• 》 Facebook、Twitter、Google、MicrosoftがEUの対ヘイトスピーチ行動規範に署名 (ITmedia, 6/1)、 「24時間以内にヘイトスピーチを削除」がさらに拡大、Facebook・Google・Twitter・Microsoftが合意 (gigazine, 6/1)、 ネット大手各社、欧州でヘイトスピーチ規制に協力へ (CNET, 6/1)

• 》 Marshmallow の新しい権限モデルにも対抗できるよう進化した Android マルウェア (シマンテック, 5/29)

• 》 SWIFT を悪用するグループのマルウェア、金融機関を狙う他の攻撃ともつながり (シマンテック, 5/29)、 一連のサイバー銀行強盗、金融メッセージ通信サービス「SWIFT」を狙う攻撃ツールが利用される (トレンドマイクロ, 5/31)。 ベトナムの銀行 Tien Phong Commercial Joint Stock Bank がヤラれた件、 バングラデシュ中央銀行がヤラれた件に関連だそうで。

  攻撃者は、SWIFT の詳細やそれが銀行でどのように利用されているかなど銀行業務についても精通していたと推察されます。そう考えられる理由の1つは、このベトナムの銀行への攻撃の際、ソーシャルエンジニアリングの手法として、PDFファイルの閲覧、編集、作成が可能なフリーのPDF閲覧ソフト「Foxit Reader」が悪用された点です。攻撃者は、事前調査を通して銀行業務で Foxit Reader が利用されていることを把握していたのでしょう。

• 》 雑誌売り上げ ３２年ぶりに書籍下回る (NHK「かぶん」ブログ, 6/2)

• 》 三菱マテリアル、中国人強制連行問題で中国人元労働者と和解

  • 中国人元労働者との和解について (三菱マテリアル, 6/1)

  • 中国側と三菱マテリアルが和解　過去最多の強制連行３千人超 (共同 / 沖縄タイムス, 6/1)

  • 中国人強制連行　和解　三菱マテリアルが謝罪 (毎日, 6/1)

  • 中国人強制連行　 北海道訴訟　「和解の流れ広まって」　元弁護団が訴え　／北海道 (毎日, 6/1)

  • 中国人強制連行　 三菱マテリアル和解　「包括的解決図る」 (毎日, 6/2)

  • 中国人強制連行　 三菱マテリアル和解　「日本の責任追及継続」　中国メディア「補償動かす作用」 (毎日, 6/2)

• 》 福島第一原発１号機 "巨大掃除機"でがれき吸引 (NHK「かぶん」ブログ, 5/31)。以前から使ってるやつですね。

  　関連: 福島第一原子力発電所1号機原子炉建屋カバー解体　＜支障鉄骨撤去（コンクリート片等の小ガレキの吸引作業）の開始＞ (東電, 2015.11.20)

• 》 セブン銀行 ATM 不正引き出しの件、出し子の容疑者 2 名を逮捕

  • ＡＴＭ不正引き出し、窃盗容疑で２人逮捕　１４億円被害 (朝日, 5/31)。いずれも愛知県警。

  • 「暗証番号同じだった」＝ＡＴＭ不正、逮捕の男供述－１４億円引き出し・愛知県警 (時事, 6/2)。そのようにつくったカードなのでしょう。

• 》 ニューヨークだより 2016年5月号 「米国における人工知能の動向」 (IPA)

• 》 新たな図書券「図書カードNEXT」6月より提供開始 (スラド, 6/1)。「なお、このPIN番号はスクラッチ印刷で隠した状態で販売されるとのこと」。

• 》 ”ランサムウェア被害の病院が、2度も解除キーの身代金を要求され交渉を破棄。”という記事について (北河拓士 / 備忘録, 5/31)

• 》 [注意喚起] Smart TV Boxで発生しているウィルス感染について (KDDI, 4/4)。ランサムウェアにヤラれる事例が出ているそうで。

  　関連: Smart TV Box (KDDI)

  Smart TV Boxは、KDDIがケーブルテレビ会社向けに開発したAndroid(TM) 4.0 搭載のセットトップボックスです。

  　Android 4.0……

• 》 Deep Discovery Email Inspector 2.1 Critical Patch 1279 を適用していない環境で発生するシステム不具合について (トレンドマイクロ, 5/31)。 「DDEI のレポート作成、ファイルエクスポートなど UIの操作時にエラーログが大量に出力されてしまう不具合」で /opt があふれる話が直っている模様。

• 》 Google アカウント情報に新しい機能を追加しました (Google, 6/2)、 Googleアカウントがアップデート―AndroidだけでなくiOSデバイスも探してロックできる (techcrunch, 6/2)

• 》 Apple、日本向けCMからレズビアンカップルを削除 (石壁に百合の花咲く, 6/1)。Apple のショボい現実。

  日本の他にはトルコ、ドイツ、フランスなどでもこちらのバージョンが放映されたそうです。

• 》 情報流出の保険証、１．８万人が今も使用　番号変更通知 (朝日, 6/1)。この件: 保保発０５３１第１号: 被保険者証の記号及び番号を含む個人情報流出事案に係る調査結果の概要及び情報流出対象者への対応等について（依頼） (厚生労働省, 5/31)

• 》 「マイナンバーを記録したパソコンは修理できない」、PC各社の修理規定が波紋 (日経 IT Pro, 5/31)。 ガイドライン Q&A 事業者編 Q3-14 の件。

• 》 Reminder: EOL for ClamAV 0.97 is tomorrow! (June 1st) (ClamAV, 5/31)

• 》 Get Windows 10（GWX）アプリはMicrosoftのアプリガイドラインに違反している？ (スラド, 6/1)

• 》 OSSセキュリティナイター vol.1　 急増するランサムウェア その脅威とOSSの対策。 2016.06.15 (水)、東京都港区、無料。 面さん情報ありがとうございます。

• 》 水素水、「ニセ科学」と切り捨ててはいけないが、エビデンスありとは言い難い (FOOCOM.NET, 6/1)

  結局、終わった6つの臨床試験のうち、論文発表され有効なのは2つというのが、判断の目安となります。(中略) もう一つ、残念なことに、人での作用メカニズムについての研究が圧倒的に不足しています。(中略) まだ、エビデンスと明確に言えるようなものはない、と私は判断します。

• 》 「フリーライター内川たまき氏と連絡可能な方を探しています」善意を悪用した告知で企業の公式サイト炎上 (NAVER まとめ, 6/1)。こんなことをしないと宣伝にならないようなレベルのコンテンツ、という理解でいいのかな。

• 》 特捜検察にとって”屈辱的敗北”に終わった甘利事件 (郷原信郎が斬る, 6/1)。強きを助け、弱きをくじく。検察の本領発揮か。

  今回のような「絵に描いたようなあっせん利得事件」が不起訴で決着すれば、もはや、この法律は、有力な国会議員による悪質な口利きと対価受領の事案に対して全く使えないことになってしまう。要するに、与党議員ならやりたい放題だということだ。 (中略) 大阪地検の証拠改ざん問題や、陸山会事件での虚偽捜査報告書作成事件等で、社会の信頼を失った検察は、今回の不起訴で、微かな「社会の期待」も失った。

• 》 「ダーリンは70歳・高須帝国の逆襲」、小学館の自主規制により絶版へ

  • 【炎上】高須院長が書籍の書き直しを拒否して絶版・回収騒ぎに。「僕は吐いた唾は飲まない。断固拒否」 (netgeek, 5/31)。 本人の認識や当時の状況をそのまま述べただけのように見えるのだが。 もし何かするとしたら、書き直しではなく註釈の追加であろうに。

  • ダーリンは70歳・高須帝国の逆襲が表現規制で絶版と聞いて驚き (まなベルサイト：Megabe-0, 5/31)

  　さて、他社から再販となるのか、自費出版か、それともこれで終了か。 やる気のある出版社なら、既に著者にコンタクトしているはず。

• 》 TBS「水曜日のダウンタウン」、Twitterユーザー参加企画を中止　「一般の方にご迷惑をおかけした」 (ITmedia, 6/1)

  一部のユーザーが憶測で住所を書き込んだり、無関係な住宅に侵入したりと「誤情報により、関係のない一般の方にご迷惑をおかけする事態が発生した」（同番組）

  　参照: #クロちゃん救出 (twitter)、 #クロちゃん救出 ツイッターだけで誘拐場所を探しだせ！→特定班の活躍で警察沙汰に→企画中止へ (togetter, 5/31)