Last modified: Thu Jun 9 11:58:48 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 統計で見るサイバーセキュリティ群像劇(1): DNSバナーから見るサーバ管理者の生態系 (@IT, 10/28)
》 マンスリーマンション入居者には「受信料の支払い義務なし」 東京地裁がNHKに返還命じる (PC Watch, 10/28)
》 あなたのまわりのIoT機器を利用する場合に注意したいポイント (Internet Watch, 10/28)
》 IoTで虚構ニュースも現実に、「INFOJAR」も展示していたKDDIブース (Internet Watch, 10/28)
》 News Up なぜ進まない 水道管の「鉛管」撤去 (NHK, 10/27)
なぜ、鉛管の撤去が進まないのか。その背景には、鉛管が設置されている場所が大きく関係しています。鉛管が設けられている給水管の部分は、個人の住宅の敷地内がほとんどで、住民の「個人財産」とされているのです。仮に鉛管が使用されていても、自治体は交換を促すことはできても交換費用の全額を負担することはできないのです。
あぁ……。トラブル対応に出張ってみると、当該研究室・実験室内のネットワークケーブルや HUB が悲惨だったりするのと同じかなあ。
JVNVU#95366887 - Apache Tomcat の複数の脆弱性に対するアップデート (JVN, 2016.10.28)。 いずれも Low にランキングされている 5 件の欠陥を Tomcat 6.0.47、7.0.72、8.0.37、8.5.5、9.0.0.M10 で修正。 CVE-2016-6797 CVE-2016-6796 CVE-2016-6794 CVE-2016-5018 CVE-2016-0762
iida さん情報ありがとうございます。
JVN#63012325 - e-Taxソフトのインストーラにおける DLL 読み込みに関する脆弱性 (JVN, 2016.10.27)、 e-Taxソフト等のメンテナンス終了について (国税庁, 2016.10.28)。2016.10.25 にダウンロード再開されたものは大丈夫ということかな。
JVN#76780067 - 7-Zip for Windows のインストーラにおける任意の DLL 読み込みに関する脆弱性 (JVN, 2016.10.26)。7-Zip for Windows 16.03 で対応。
元ねたは SSHowDowN: Exploitation of IoT devices for Launching Mass-Scale Attack Campaigns (Akamai) のようです。
JVNVU#97115817 - NUUO Titan NVR NT-4040 に機器共通の認証情報が設定されている問題 (JVN, 2016.10.21)。「2016年10月21日現在、対策方法は不明です」
JVNVU#91832696 - Intellian Satellite TV および Satellite Communications に機器共通の認証情報が設定されている問題 (JVN, 2016.10.21)。「2016年10月21日現在、対策方法は不明です」
JVNVU#99656851 - Green Packet DX-350 に機器共通の認証情報が設定されている問題 (JVN, 2016.10.21)。「2016年10月21日現在、対策方法は不明です」
JVNVU#93774715 - Synology 製の複数の NAS サーバに機器共通の認証情報が設定されている問題 (JVN, 2016.10.21)。DiskStation DS107、DS116、DS213。 最新のファームウェアに更新した上で guest アカウントを無効に設定する。 ただし DS107 では admin アカウントを無効にできないみたい。
Linux kernel の脆弱性 Dirty COW (CVE-2016-5195) (2016.10.25)
Dirty COW (CVE-2016-5195) のExploit PoCとSELinux (サイオステクノロジー, 2016.10.28) を追加。面さん情報ありがとうございます。
APSB16-36 - Security updates available for Adobe Flash Player (2016.10.27)
MS16-128 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3201860)、 公開されました。Windows 8.1 / RT 8.1 / 10 をご利用の方、Windows Server 2012 / 2012 R2 で「デスクトップ エクスペリエンス」機能をインストールしている方はどうぞ。
出ました。
About the security content of Xcode 8.1 (Apple, 2016.10.27)。Xcode Server の Node.js を 4.5.0 に更新。 CVE-2016-1669 CVE-2016-0705 CVE-2016-0797 CVE-2016-0702 CVE-2016-2086 CVE-2016-2216 CVE-2015-8027 CVE-2015-3193 CVE-2015-3194 CVE-2015-6764
About the security content of iCloud for Windows 6.0.1 (Apple, 2016.10.27)。WebKit の修正 2 件、任意のコードの実行を招くなど。 CVE-2016-4613 CVE-2016-7578
About the security content of iTunes 12.5.2 for Windows (Apple, 2016.10.27)。WebKit の修正 2 件。 iCloud と同様。
》 その女、崔順実 (チェ・スンシル、韓国朴槿恵大統領の親友「陰の実力者」)
韓国の朴槿恵大統領、知人女性に演説文など事前流出 スキャンダルで最大の窮地に (ハフィントンポスト, 10/26)
「韓国のラスプーチン」朴槿恵大統領を陰で操る謎の女性・崔順実氏とは? (ハフィントンポスト, 10/26)
朴大統領が側近女性めぐる疑惑で謝罪 会見では涙も (朝鮮日報, 10/25)、 機密提供:「一定期間助けてもらった」 朴大統領が疑惑を認め謝罪 (朝鮮日報, 10/26)
<朴大統領秘線>崔氏と42年の縁…どういう関係? (中央日報, 10/26)
機密提供:「話し相手」「随行秘書」崔順実氏、朴大統領と40年以上前からのつきあい (朝鮮日報, 10/26)
機密提供:朴大統領と崔順実氏、二人の証言を並べてみると… (朝鮮日報, 10/26)
韓国大統領親友の国政介入疑惑 特別検察制度適用が事実上確定 (朝鮮日報, 10/26)、 <崔氏韓国国政壟断>特別検察官の捜査…与党も全会一致で受け入れる (中央日報, 10/27)
大統領友人が設立主導した財団 検察が家宅捜索=韓国 (聯合ニュース, 10/26)
機密提供:崔順実氏、入試情報や土地開発情報も入手 (朝鮮日報, 10/27)。「崔氏は当時、スポーツの特技で大学進学を目指していた高校3年の娘を持つ親であり、開発によって地価が左右される土地の保有者でもあった」
朴大統領親友「当選初期に資料受け取り」 他の疑惑は否定 (朝鮮日報, 10/27)
【社説】特別検察は崔順実氏をかばう検察首脳部を捜査せよ (朝鮮日報, 10/27)
<朴大統領秘線>ドイツ滞留中の崔順実氏「帰国してすべて明らかにする」 (中央日報, 10/27)
「朴大統領、過去初めて支持率10%台に…弾劾世論も急増 (中央日報, 10/27)
Linux kernel の脆弱性 Dirty COW (CVE-2016-5195) (2016.10.25)
RHEL 6 用のセキュリティ更新パッケージ RHSA-2016:2105-1 が公開されたので、記述を修正した。
CVE-2016-5195 - 脆弱性調査レポート (ソフトバンク・テクノロジー, 2016.10.25) を追加。
Flash Player 23.0.0.185 以前に 0-day 欠陥、Windows 7 / 8.1 / 10 用の exploit が出回っている状況。CVE-2016-7855
Flash Player 23.0.0.205 / 11.2.202.643 で修正されている。 Extended Support Release は終了したのでもう出ません。23.0.0.205 をインストールするか、アンインストールしてください。
| プラットホーム | バージョン | Priority rating |
|---|---|---|
| Desktop Runtime (Windows, Mac) | 23.0.0.205 | 1 |
| Google Chrome 内蔵版 | 23.0.0.205 | 1 |
| Windows Server 2012 の Internet Explorer 10 | 23.0.0.205 | 1 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 23.0.0.205 | 1 |
| Windows 10 の Internet Explorer 11 / Edge | 23.0.0.205 | 1 |
| Linux | 11.2.202.643 | 3 |
MS16-128 はまだないみたい。12:00 現在、WSUS にも流れてきてないっぽい。 とりあえず無効化した方がよさげ。
Windowsスマートチューニング (356) Win 10編: Microsoft EdgeとIE 11でFlash Playerを無効にする (マイナビニュース)
Windows 8.1 / 7のInternet Explorer 11でアドオンを有効/無効に設定する方法 (NEC)
MS16-128 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3201860)、 公開されました。Windows 8.1 / RT 8.1 / 10 をご利用の方、Windows Server 2012 / 2012 R2 で「デスクトップ エクスペリエンス」機能をインストールしている方はどうぞ。
関連:
Adobe Flash Player にゼロデイ脆弱性「CVE-2016-7855」確認、直ちに更新を (トレンドマイクロ セキュリティ blog, 2016.10.27)
Flash のゼロデイ脆弱性、標的型攻撃での悪用を確認 (シマンテック, 2016.10.27)
》 三代目JSB 1億円でレコード大賞買収の「決定的証拠」 (週刊文春 / Yahoo, 10/26)
》 民泊方面。 国家戦略特区での合法民泊の要件を「6泊7日」から「2泊3日」に緩和するそうで。
民泊 大阪で参入と撤退の動き 「緩和」皮算用 (毎日, 10/16)
インターネットの民泊仲介サイトには府内で1万件超の登録があるとされる。ほとんどが無許可で、増加が続く来阪外国人らを当て込んで開業が相次いだが、天王寺区と生野区で3月から無許可で営む男性(36)は「2カ月ほど赤字。撤退するつもりだ」と言う。
部屋を借りて副業として始め、当初は予約で7割近く埋まった。夏前から他の物件より少しでも利便性が悪いと予約が入らなくなった。値下げ競争が激化し、家具や家電などをそろえた初期投資分や毎月の家賃、維持管理費などを差し引くと経営は厳しい。「同業の知り合いに聞いても手元に残るのは数万円ほど。既に飽和状態で、うまみは少ない」と話し、要件緩和が無許可業者の正規参入を促すという見方には懐疑的だ。
そもそもマーケットは既に飽和しているとの声。 まあ、合法民泊を推進したい人達は、非合法民泊については殲滅するのが前提なんだろうけど。
主張「民泊」議論 緩和でなく安全ルール確立を (しんぶん赤旗, 10/17)
大田区 「民泊」認定77室273人分 既存施設考慮、条件緩和には慎重 /東京 (毎日, 10/18)
民泊、最低2泊3日から利用可能に 6泊7日から緩和 (朝日, 10/25)。10/31 から実施。
民泊 京都市長、特区制度活用を否定 「安全と安心重視」 (毎日, 10/26)
》 g.root-servers.net(G-Root)のIPv6アドレス追加に伴う設定変更について (JPRS, 10/26)
いろいろ出ました。
About the security content of iOS 10.1 (Apple, 2016.10.24)
About the security content of macOS Sierra 10.12.1 (Apple, 2016.10.24)。うーん。
AppleGraphicsControl
Available for: OS X Yosemite v10.10.5 and OS X El Capitan v10.11.6
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved lock state checking.
CVE-2016-4662: Apple
これって、OS X Yosemite や OS X El Capitan 用の個別セキュリティ更新はもう出ませんよ、ということなんですかねえ。
……と思いながら手元の OS X El Capitan にアップデートかけてみたら、2016-002 というセキュリティ更新が適用されました。 OS X Yosemite だと 2016-006 というのが適用されるみたい。
わかりづらいので、ちゃんとアナウンスしてほしい。
About the security content of Safari 10.0.1 (Apple, 2016.10.24)
About the security content of tvOS 10.0.1 (Apple, 2016.10.24)
About the security content of watchOS 3.1 (Apple, 2016.10.24)
綻びはじめた「電通タブー」──強制調査でイメージ悪化が止まらない 《本間龍》 (鹿砦社, 10/19)
電通 違法長時間労働で昨年労基署是正勧告 過労自殺問題 (毎日, 10/19)
電通東大卒女性社員自殺 一般家庭出身社員へのしわ寄せ (NEWSポストセブン / livedoor, 10/20)
電通過労死認定から、この国の非常識な「普通」を考える。 (雨宮処凛 / ハフィントンポスト, 10/20)
電通、残業隠しか 過少申告指導、105時間→69.9時間 (産経 / Yahoo, 10/21)
電通 3年前にも30代男性が過労死 長時間労働「労災」 (東京, 10/21)
電通の新入社員自殺で波紋 企業を監督する労基署「人手不足」の現実 (BuzzFeed, 10/21)。全く足りてない模様。
厚生労働省の資料によると、労基署の監督官は2500人程度。管理職などを除くと、現場に立ち入り調査をするのは、実質2000人未満とされる。
厚生労働白書によると、労基署は年間およそ17万の事業所に立ち入り調査をしている。これは400万以上ある全事業所の4%程度だ。このうち約68%の事業所で何らかのルール違反が見つかっている。
このペースのままだと、すべての事業所に立ち入るには、単純計算で25年かかることになる。明石弁護士も「この体制では、十分な検査ができません」と指摘する。
泣き寝入りする「過労死遺族」、周囲からは「何で辞めなかったの」「大金おめでとう」 (弁護士ドットコム, 10/22)
電通過労死問題、書類送検の可能性は? 「重大性」と「悪質性」がポイント (弁護士ドットコム, 10/23)
電通社長が新入社員自殺を謝罪しない訳 《本間龍》 (鹿砦社, 10/24)
「クライアントからの無理難題は断れ!」 元電通コピーライター・前田さん (弁護士ドットコム, 10/25)、 広告業界という無法地帯へ (前田将多 / ハフィントンポスト, 10/25)
「日本は全く変わっていない」遺族側弁護士、厚労省会合で訴える (産経, 10/25)
電通、全館消灯で深夜残業防止 (共同, 10/24)、 電通本社 夜10時に一斉消灯 過労死自殺受け (NHK, 10/24)
「22時消灯」「深夜残業禁止」を決定した電通、朝5時に本社ビルの灯りが点灯 (togetter, 10/25)
電通過労死「労働行政も十分な反省を」川人弁護士、対策の不備指摘…厚労省協議会 (弁護士ドットコム, 10/25)
電通は「ブラック企業」なのか? (今野晴貴 / Yahoo, 10/25)
電通過労自殺「私のことかと」 長時間労働にセクハラ、テレビ局で働く20代女子の証言 (籏智 広太 / BuzzFeed, 10/25)
》 【タッチ】「最初から殺すつもりだった」あだち充の告白に動揺広がる (ハフィントンポスト, 10/24)
》 IPAがセキュリティ新資格の取得方法を発表、維持費は3年で15万円 (日経 IT Pro, 10/24)。情報処理安全確保支援士の件。
1年に1回のオンライン講習(6時間)と、3年に1回の集合講習(6時間)の受講が資格を維持するための義務となる。 (中略) 講習の料金は「2016年11月上旬の公表に向けて最終的な調整中」(高橋氏)。オンライン講習は約2万円、集合講習は8万〜9万円になる予定という。3年間の合計で約15万円が資格維持に必要となる計算だ。
事業者向けの資格、ということかなあ。
》 Pi-Hole: A Black Hole For Internet Advertisements。 対ネット広告用 DNS ブラックホール実装、という理解でいいのだろうか。
》 『シン・ゴジラ』樋口真嗣監督が明かす、ゴジラが迂回ルートを通った理由 (excite, 10/23)。とある建物を避けるためだそうで。 途中で出てくる、ショッカー首領は偉い論がおもしろい。
》 花粉症、スギ花粉成分入りのコメを食べて治す 臨床研究始まる (ハフィントンポスト, 10/24)
》 リポート◎鳥関連過敏性肺炎は全国に6000人いる!? その難治性肺炎、ダウンジャケットが原因かも (日経メディカル, 10/21)
鳥の活動が活発化し、羽毛製品への曝露も増える秋から冬は、鳥関連過敏性肺炎の症状が悪化するケースが多い。「ダウンジャケットから曝露する可能性が高いため、冬場は通勤で満員電車を避けるように指導することもある」と宮崎氏。
》 Apple Pay 遂に上陸、早速モバイル Suica が沈没
Apple Pay、はじまります (CV: 田村ゆかり)
国内対応した「Apple Pay」 早速使ってみた感想と気になる点 (ITmedia, 10/25)
米アップル、日本でApple Payを提供開始 (日経 IT Pro, 10/25)
モバイル Suica 沈没
Apple Payに障害発生中、iPhoneにSuicaを転送できない症状 (engadget, 10/25 09:54)
【Apple Pay】iPhone 7にSuicaを追加できない不具合 (AppBank, 10/25 09:57)
JR東日本 モバイルSuicaのシステムに障害 (NHK, 10/25 10:26)
Linux カーネル 2.6.22 以降に欠陥。Linux カーネルの memory サブシステムにおける Copy On Write (COW) 処理に競合状態が発生する欠陥があり、local user による権限上昇が可能。PoC 公開済。 CVE-2016-5195
Linux カーネル 4.8.3、4.7.9、4.4.26 で修正されている。
Red Hat: CVE-2016-5195
RHEL 5 はまだ修正パッケージなし。 systemtap を使った回避方法あり。 Linux kernel の脆弱性 Dirty COW (CVE-2016-5195) を参照。関連:
RHEL 6, 7 は修正パッケージあり。
RHEL 6: RHSA-2016:2105-1
RHEL 7: RHSA-2016:2098-1。匿名希望さん情報ありがとうございます。
Debian: CVE-2016-5195。修正パッケージあり。 DSA-3696-1、 DLA-670-1。
Ubuntu: CVE-2016-5195。修正パッケージあり。 USN-3106-1 (16.04 LTS)、 USN-3106-2 (14.04 LTS)、 USN-3105-2 (12.04 LTS) など。
SUSE: CVE-2016-5195。修正パッケージあり。
関連:
JVNVU#91983575 - Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性 緊急 (JVN, 2016.10.14)
【重要】Linux系OSにおける脆弱性「Dirty Cow」についての注意喚起 (さくらインターネット, 2016.10.25)
CVE-2016-5195 - 脆弱性調査レポート (ソフトバンク・テクノロジー, 2016.10.25)
Dirty COW (CVE-2016-5195) のExploit PoCとSELinux (サイオステクノロジー, 2016.10.28)。SELinux では防ぎにくいタイプの欠陥だったようで。
RHEL 6 用のセキュリティ更新パッケージ RHSA-2016:2105-1 が公開されたので、記述を修正した。
CVE-2016-5195 - 脆弱性調査レポート (ソフトバンク・テクノロジー, 2016.10.25) を追加。
Dirty COW (CVE-2016-5195) のExploit PoCとSELinux (サイオステクノロジー, 2016.10.28) を追加。面さん情報ありがとうございます。
Android Security Bulletin—November 2016 (Android, 2016.11.07)。2016 年 11 月の Android 定例アップデート情報。 CVE-2016-5195 は部分的セキュリティパッチレベル 2016-11-01 や完全セキュリティパッチレベル 2016-11-05 では対応されておらず、追加セキュリティパッチレベル 2016-11-06 での対応だそうです。
Supported Google devices will receive a single OTA update with the November 05, 2016 security patch level.
Supported Google devices とは Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL だそうです。で、11 月の更新では CVE-2016-5195 には対応されないと。12 月の更新まで待つ必要があるようです。
Android 2016 年 12 月の更新で直りました。
Android Security Bulletin—December 2016 (Android, 2016.12.05)
Androidの最新セキュリティアップデート、Linuxカーネルの脆弱性「Dirty Cow」も修正 (CNET, 2016.12.07)
Android 用マルウェア ZNIU が Dirty COW を利用しているそうです。
ZNIU: First Android Malware to Exploit Dirty COW Vulnerability (trendmicro blog, 2017.09.25)
脆弱性「Dirty COW」を悪用したAndroidマルウェアが日本でも検出 (Internet Watch, 2017.09.28)
》 将棋不正疑惑、動いた竜王 「ソフトとの一致率90%超」 渡辺氏、三浦九段の対局検証 (朝日, 10/21)。そのまま竜王戦に出場させ、挙動の違いを観察した方がよかったんじゃないのか。
》 日本発「CODE BLUE」がスタート - ハッキングコンテストも (Security NEXT, 10/21)
》 大阪府警「土人」発言問題 (10/18)。 そもそも、ふつうの若い人の語彙には存在しない言葉だよなあ。
機動隊員「黙れ、こら、シナ人」 機動隊員「このボケ!土人が!」 (NAVER まとめ)
松井一郎大阪府知事が機動隊員の沖縄での差別を「擁護」して批判殺到 (NAVER まとめ)。火消しすべき局面でわざわざガソリンを注ぐ知事。
沖縄で抗議活動の市民に「土人」と大阪府警の機動隊員 「不適切だった」と府警 (石戸諭 / BuzzFeed, 10/19)
沖縄の機動隊員「土人」発言、菅氏「許すまじきこと」 (朝日, 10/19)
機動隊員「土人」発言 激しい罵倒 その精神構造から見えるものは (琉球新報, 10/19)
「土人」発言 歴史に刻まれる暴言 警察は県民に謝罪を【記者の視点】 (沖縄タイムス, 10/19)
大阪府警、暴言隊員の処分検討 沖縄で「土人」、不適正 (東京, 10/19)、 沖縄で「土人」発言の警官、大阪府警が処分検討 (読売, 10/20)。とりあえず何もしないと。
機動隊員が差別的発言 警察庁長官「絶無を期す」 (NHK, 10/20)
「土人」発言は何が問題なのか 大阪で沖縄女性らが見せ物にされた人類館事件 (沖縄タイムス, 10/20)。1903 年。
維新沖縄県総支部、大阪府・松井知事に抗議文 「このような時にご苦労さまと言うか」 (沖縄タイムス, 10/20)。維新内部から反発。そりゃそうだろう。
警察官が言ったことが問題だ 「土人」と言われた芥川賞作家、その時何を思ったか (沖縄タイムス, 10/21)
<土人発言問題>国会でも質疑、警官の差別を問題視 法務相「大変残念」 (沖縄タイムス, 10/21)
<土人発言問題>「県民の感情逆なで」 翁長知事、県警本部長へ抗議 (沖縄タイムス, 10/21)
「土人」発言、鶴保沖縄相「間違いと言う立場にない」 (朝日, 10/21)。政府はなぜ自ら傷口を広げるのか。
土人発言「侮辱的な意味知らなかった」 機動隊員に戒告 (朝日, 10/21)。ということにしたいのですね。
背景となる状況
今年1月の「火曜行動」のおりに知事の松井一郎さんによる次のような差別発言がありました (藤井 幸之助 / Facebook, 10/20)
関連ツイート:
10月18日、高江N1ゲート前にやってきたヘイト団体「チーム関西」元代表荒巻靖彦氏、並びに「在特会」元京都支部長西村斉氏によるヘイト街宣のまとめです。御覧の通り、ヘイトスピーチで座り込み参加者を挑発し対立を演出、センセーショナルな映像素材を得ることが彼らの目的でした。 #高江 pic.twitter.com/0wKhsEGPNF
— やんばるぐらし (@yanbarugurashi) 2016年10月21日
はからずもヘイト団体のプロモーションビデオから明らかになった、彼らと大阪府警の親密さ。公正中立であるべき警察の誇りはどこへ行った?警察権力とレイシストが一体となって市民をヘイトに晒す、まさに悪夢。 #高江 pic.twitter.com/OnyX15m4rp
— やんばるぐらし (@yanbarugurashi) 2016年10月21日
馴れ合って談笑してる。「土人」発言の警官の笑顔やばい。「どこから来はりました」「大阪」「俺も大阪です」なんて調子でニコニコして相槌うってるよ。反対派の市民への態度と雲泥の差だ。しかもこの右翼は、朝鮮学校前で子どもを脅かしまくって刑務所に入れられた、札付きのレイシストなんだよ。 https://t.co/zf4Pus9kv6
— ¥oka (@y0k4t0p14) 2016年10月21日
》 「琵琶湖の水止めたろか!」を実際にやったらどうなるかシミュレーションしてみた結果 (togetter, 10/18)。 琵琶湖運河 の時代には、むしろこれくらいやった方がいいのかもしれん。
関連: 敦賀湾と琵琶湖つなぐ運河を検討 自民党福井県連が会を設立へ (福井新聞, 9/4)。おいおい。
》 東電施設火災 大規模停電を追う (NHK, 10/20)
》 【更新】「停電時に中国人が火事場泥棒」デマ、投稿者は取材拒否の後に投稿削除 (BuzzFeed, 10/12)。バーバリーデマの件、結局削除して鍵つきになってたんですね。
関連: ヘイトデマを飛ばした人とすぐに事実かどうか確認した記者 (togetter, 10/14)
BIND 9.1.0〜9.8.5rc1、9.9.0〜9.9.3rc1 にセキュリティ欠陥。 攻略クエリにを処理すると named が異常終了する。 CVE-2016-2848。
最新の BIND 9.11.0、9.10.4-P3、9.9.9-P3 にはこの欠陥はない。 CVE-2016-2848 は非セキュリティな問題 fix #3548 として修正済だったが、今回新たに、セキュリティ問題だということが判明し、改めて告知された。 古い BIND に対して独自に patch をあてて運用している Linux ディストリビューションなどで問題となる。
RHSA-2016:2093-1 - Important: bind security update (RHEL, 2016.10.20)
RHSA-2016:2094-1 - Important: bind97 security update (RHEL, 2016.10.20)
》 「Apple純正」としてAmazonで販売されているUSB電源アダプタは9割が偽物 (gigazine, 10/20)。ひどい。まあ、純正が欲しければ、純正であることが保障される店から買え、ということだなあ。
》 iPhone 7の32GBモデルは他のモデルより8倍も書き込み速度が遅いことが判明 (gigazine, 10/20)。128/256 GB モデルに比べて。まあ、容量が大きい方が有利ではあるのだが。
》 Troubleshooting with the Windows Sysinternals Tools, 2nd Edition (Microsoft Press)。Published 10/17/2016 だそうです。
VeraCrypt 1.19 公開。 Open Source Technology Improvement Fund からの出資で行われた、 VeraCrypt 1.18 に対する Quarkslab のセキュリティ監査 (完全版報告書) を受け、 複数のセキュリティ欠陥を修正。VeraCrypt 1.18 で追加された GOST 28147-89 暗号化アルゴリズムは削除、圧縮ライブラリは XUnzip から libzip に移行。
ただし、直ってないところもあるそうで。
Vulnerabilities leading to incompatibility with TrueCrypt, as the ones related to cryptographic mechanisms, have not been fixed. The most notable ones are:
Keyfile mixing is not cryptographically sound: the way the keyfiles are mixed to derive secret data relies on non-cryptographic mechanisms. Several attacks are possible, as shown in a paper by the Ubuntu Privacy Remix team.
Unauthenticated ciphertext in volume headers: the lack of a real MAC on the volume headers makes existential forgeries possible with approximately \(2^{32}\) queries.
Oracle 四半期定例アップデート出ました。Java SE は 8u111 / 8u112 になってます。
》 東京五輪 ボート会場 都、IOCに安い金額を虚偽報告 (毎日, 10/18)。本体工事費 251 億→ 98 億。かわりに周辺整備費を 86 億→ 393 億にしてゴマカシ。
》 将棋 三浦九段がソフト使用疑惑否定 反論文書全文 (毎日, 10/18)
》 Rig Exploit Kit 観測数の拡大に関する注意喚起 (IIJ SECT, 10/17)
》 ニューラル機械翻訳と記号幻想の死 (murawaki の雑記, 10/17)
このあたりの件:
GlobalSign screw-up cancels top websites' HTTPS certificates (The Register, 2016.10.13)
GlobalSign security certificate foul-up knocks out secure websites (ZDNet, 2016.10.14)
How a chunk of the web disappeared this week: GlobalSign's global HTTPS snafu explained (The Register, 2016.10.15)
GMO グローバルサインからインシデントレポート出てます。
GMO GlobalSign Incident Report (GMO GlobalSign, 2016.10.13)
10月13日に発生した障害についての障害報告書 (GMO グローバルサイン, 2016.10.17)
10月13日午後17時、ルート証明書(R2)のレスポンスを行うOCSP(電子証明書の失効問い合わせのためのプロトコル)レスポンダのデータベースが、CRLに含まれていたシリアルナンバーを含んで更新しました。これが、今回お客様に障害が発生した原因です。
英語版だと 08:00 BST (英国夏時間、UTC+1) ですので、 10/13 16:00 ですね。末尾にある「障害の経過」では 16 時になってます。
ルート証明書(R2)によって失効されたクロスルート証明書は、ルート証明書(R1)の証明書と同じ公開鍵、同じサブジェクトネームを持っており、さらに発行日付がより最近のものだったため、OCSPレスポンダが誤ってすべてのルート証明書(R1)の中間CA証明書を「無効」とみなしていました。
英語版には図があるので、そちらも参照するとわかりやすいかと。 英語版だと cross root certificate という言葉は出てこないんですけどね。
関連:
Certificate Revocation Issue (GMO GlobalSign)
OCSP Revocation errors troubleshooting guide (GMO GlobalSign)
PKI基礎講座(5):証明書の有効性 (@IT, 2001.02.23)。OCSPレスポンダの解説。
5.5 メッシュモデル (PKI関連技術に関するコンテンツ / IPA)。 相互認証証明書 (Cross Certificate) の解説。
三田労働基準監督署、労災認定 (9/30 付)
電通の女性新入社員自殺、労災と認定 残業月105時間 (朝日, 10/8)
電通新入社員 「過労自殺」労基署認定…残業月105時間 (毎日, 10/7)
東京労働局と三田労働基準監督署、強制調査 (10/14)
電通に労働局が立ち入り 長時間労働、全社で常態化疑い (朝日, 10/14)
新入社員自殺 電通に強制調査 是正勧告へ 東京労働局 (毎日, 10/14)
その男、長谷川秀夫 (武蔵野大学グローバル学部グローバルビジネス学科教授)
長谷川 秀夫 (武蔵野大学教員情報)
長谷川 秀夫 (NewsPics)
武蔵野大学 長谷川秀夫が電通社員の高橋まつりさん過労死に残業100時間超で自殺は情けないと発言し炎上 (NAVER まとめ, 10/9)
「残業100時間で過労死は情けない」 教授の処分検討 (朝日, 10/11)
過労死めぐる教授の投稿で武蔵野大学が謝罪 (NHK, 10/12)
勘違いな人は他にもいるようで。
残業100時間と自衛隊の「超過」勤務 大学教授らの発想 玉井克哉氏、長谷川秀夫氏 (猪野 亨 / BLOGOS, 10/13)
》 ディープなセキュリティ盛りだくさん〜 Microsoft Tech Summit でお会いしましょう (日本のセキュリティチーム, 10/11)。11/1, 2。
》 各社が注意する子供の「二眼VRデバイス」利用 ひどい場合内斜視にも (おたくま経済新聞, 6/28)
成長過程にある13歳未満の子供がVRを利用すると、目の成長に非常に悪影響があるそうです。これは立体視を使う「二眼VRデバイス」全てに共通すること。(中略) 大阪大学大学院 不二門尚氏の研究によると、特に6歳までは要注意とのこと。
》 「手術直後にわいせつ行為」起訴の外科医の早期保釈求め、東京保険医協会が嘆願書 (弁護士ドットコム, 10/14)。 外科医師が麻酔中の女性患者にわいせつ行為で逮捕→病院側から抗議、逮捕に疑問の声も の件。いまだに人質司法継続中とは。
》 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その1) (@IT, 10/14)
》 「ダム底セシウム」報道に複数の誤り 毎日新聞、3度目の訂正は見送りへ (楊井人文 / Yahoo, 10/13)
もとより、人間は誰でも、誤りを認めるのは消極的になりがちなものである。訂正記事を出すかどうかを担当部署に委ねる慣例自体に限界があるのではないだろうか。たとえば、編集部門から独立性の高いオンブズマン(ニューヨークタイムズのパブリック・エディター)のような常勤職を設け、問題が浮上したら内部調査を行い、訂正の内容についても勧告できる(編集部門が従わない場合は、見解を公表できる)権限を与える、というのはどうか。それくらいの抜本的改革を行わない限り、「訂正は迅速に、分かりやすく」という聞き飽きた号令だけでは、同じことが今後も繰り返されるだろう。
》 大学のサイバー防衛急務〜核融合関連研究に標的型攻撃 (読売, 10/13)
解決策の一つとして期待されるのが、全国の大学や研究機関を結ぶ学術情報ネットワーク(SINET・サイネット※)への監視サービス導入だ。SINETを運用する国立情報学研究所が攻撃を検知すると大学側に伝える。来夏には運用を始める予定だが、対象は国立大などに限定され、私学や公立大などは含まれない。800以上に上るSINET利用機関のごく一部しかカバーできない形だ。プライバシーや研究の自由を重視する考えから、通信監視を受けることにためらいを漏らす大学関係者もいる。
2016年度「SINET・学術情報基盤サービス説明会」 で説明されるのかな。これか?
15:55-16:25 大学間連携に基づく情報セキュリティ体制の基盤構築について
資料はまだないみたい。
Drupal file upload by anonymous or untrusted users into public file systems -- PSA-2016-003 (Drupal, 2016.10.10)。設定不備を突く攻撃が流行っているそうです。
ffmpeg before 3.1.4 [CVE-2016-7562] [CVE-2016-7122] [CVE-2016-7450] [CVE-2016-7502] [CVE-2016-7555] [CVE-2016-7785] [CVE-2016-7905] (oss-sec ML, 2016.10.08)。FFmpeg 3.1.4 は最新版。ダウンロード。
Apache Tomcat packaging on Debian-based distros - Local Root Privilege Escalation (legalhackers.com, 2016.09.30)。CVE-2016-1240 の件。修正版パッケージが公開されている。
Apache Tomcat (packaging on RedHat-based distros) - Root Privilege Escalation (legalhackers.com, 2016.10.10)。 CVE-2016-5425 の件。RHEL 7 系列での話。RHSA-2016:2046-1 で修正されている。
Microsoft 2016.10 定例更新。
MS16-118 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (3192887)
MS16-120 - 緊急: Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3192884)
MS16-122 - 緊急: Microsoft ビデオ コントロール用のセキュリティ更新プログラム (3195360)
MS16-123- 重要: Windows カーネルモード ドライバー用のセキュリティ更新プログラム (3192892)
MS16-126 - 警告: Microsoft Internet Messaging API 用のセキュリティ更新プログラム (3196067)
関連:
IE11 で古いバージョンの Flash ActiveX コントロールのブロックを開始 (日本のセキュリティチーム, 2016.09.22)。Flash Player 21.0.0.198 以前で警告……と言うと、 APSB16-10 (21.0.0.213 / 18.0.0.343) より前ということですかね。
Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報 (日本のセキュリティチーム, 2016.10.11)
.NET Framework 用の月例のロールアップの詳細 (日本のセキュリティチーム, 2016.10.13)
Chrome 54.0.2840.59 が stable に。21 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
Flash Player 23.0.0.185 公開。12 件のセキュリティ欠陥を修正。 0-day は無いようです。CVE-2016-4273 CVE-2016-4286 CVE-2016-6981 CVE-2016-6982 CVE-2016-6983 CVE-2016-6984 CVE-2016-6985 CVE-2016-6986 CVE-2016-6987 CVE-2016-6989 CVE-2016-6990 CVE-2016-6992
| プラットホーム | バージョン | Priority rating |
|---|---|---|
| Desktop Runtime (Windows, Mac) | 23.0.0.185 | 1 |
| Extended Support Release (Windows, Mac) | 18.0.0.382 | 1 |
| Google Chrome | 23.0.0.185 | 1 |
| Windows Server 2012 の Internet Explorer 10 | 23.0.0.185 | 1 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 23.0.0.185 | 1 |
| Windows 10 の Internet Explorer 11 / Edge | 23.0.0.185 | 1 |
| Linux | 11.2.202.637 | 3 |
Flash Player 18 系列の更新は今回で終了です。Flash Player 23 系列に移行するか、アンインストールしてください。
Windows 版の Creative Cloud デスクトップアプリに欠陥。 「This update resolves an unquoted search path vulnerability」 とあるので、予期しない場所にあるアプリが起動されてしまったりするのだろう。 CVE-2016-6935。 Priority rating: 3
Creative Cloud 3.8.0.310 で修正されている。
Adobe Acrobat / Reader に 71 件の欠陥。 0-day は無いようです。CVE-2016-1089 CVE-2016-1091 CVE-2016-6939 CVE-2016-6940 CVE-2016-6941 CVE-2016-6942 CVE-2016-6943 CVE-2016-6944 CVE-2016-6945 CVE-2016-6946 CVE-2016-6947 CVE-2016-6948 CVE-2016-6949 CVE-2016-6950 CVE-2016-6951 CVE-2016-6952 CVE-2016-6953 CVE-2016-6954 CVE-2016-6955 CVE-2016-6956 CVE-2016-6957 CVE-2016-6958 CVE-2016-6959 CVE-2016-6960 CVE-2016-6961 CVE-2016-6962 CVE-2016-6963 CVE-2016-6964 CVE-2016-6965 CVE-2016-6966 CVE-2016-6967 CVE-2016-6968 CVE-2016-6969 CVE-2016-6970 CVE-2016-6971 CVE-2016-6972 CVE-2016-6973 CVE-2016-6974 CVE-2016-6975 CVE-2016-6976 CVE-2016-6977 CVE-2016-6978 CVE-2016-6979 CVE-2016-6988 CVE-2016-6993 CVE-2016-6994 CVE-2016-6995 CVE-2016-6996 CVE-2016-6997 CVE-2016-6998 CVE-2016-6999 CVE-2016-7000 CVE-2016-7001 CVE-2016-7002 CVE-2016-7003 CVE-2016-7004 CVE-2016-7005 CVE-2016-7006 CVE-2016-7007 CVE-2016-7008 CVE-2016-7009 CVE-2016-7010 CVE-2016-7011 CVE-2016-7012 CVE-2016-7013 CVE-2016-7014 CVE-2016-7015 CVE-2016-7016 CVE-2016-7017 CVE-2016-7018 CVE-2016-7019
| 名称 | トラック | バージョン | Priority rating |
|---|---|---|---|
| Acrobat DC / Acrobat Reader DC | Continuous | 15.020.20039 | 2 |
| Classic | 15.006.30243 | 2 | |
| Acrobat XI / Adobe Reader XI | Desktop | 11.0.18 | 2 |
》 次期政府専用機 777-300ER (2019 年度就役予定)
次期政府専用機の777-300ER、初飛行を完了 2度目の飛行も実施へ (FlyTeam, 8/5)
ANA、整備部門に政府専用機導入準備室 組織改編と管理職人事 16年10月1日付 (AviationWire, 9/30)
側面に曲線赤ライン…新政府専用機、初お目見え (読売, 10/13)
》 検定試験のWeb受付における個人情報の漏えいと対応について (龍谷大学, 10/6)。あちゃー理工学部数理情報学科……。
》 送電ケーブル火災による 58 万戸停電の件。 35 年前に敷設した OF ケーブルが、何らかの理由により炎上。
<大規模停電>爆発するか…近所で不安の声も 新座の東電施設火災 (埼玉新聞, 10/12)
東京都内で一時58万戸が停電 施設でのトラブルが原因か (NHK, 10/12)
東京停電 送電網ぜい弱 基幹ケーブル焼け被害拡大 (毎日, 10/13)
電力ケーブルの今昔(2) (日本電気技術者協会)
OFケーブルの絶縁体劣化現象の解明 (住友電工 SEIテクニカルレビュー 2014年7月号 No.185)
従来は、OF ケーブルの劣化はかなり緩やかと考えられてきたが、調査の結果、条件によっては劣化が進行する可能性があることがわかった (中略) X 線調査によるコアずれ診断や部分放電測定などの診断を組合せ、保守管理するとともに、計画的な更新も必要と考えられる
東電
2016年10月12日午後3時30分頃に発生した停電について (東電, 10/12)
10月12日に発生した停電に関する臨時会見 (東電, 10/12)
2016年10月12日午後3時30分頃に発生した停電について(続報) (東電, 10/13)。40 年以上経過したケーブルもざらにあるのですね。 どれくらいで交換するものなんだろう。
事故自体はともかく、約 1 時間でリカバーしているのは立派だと思う。 事象発生が昼間で幸いだった。
》 北京「八一大楼」ビル周辺で退役軍人 1000 人 (?) が抗議デモ (10/11)
中国 国防省前、迷彩服1000人デモ (毎日, 10/12)、北京デモ 軍の一部、示威行動か 党の重要会議前に (毎日, 10/13)
中国の退役軍人、軍中枢を包囲 数百人が抗議活動 (朝日, 10/12)、 退役軍人の抗議収束 背景に軍改革、習政権は対応に苦慮 (朝日, 10/13)
迷彩服デモ千人 元軍人ら待遇に不満 北京の軍機関前で抗議 (大紀元, 10/13)
中国退役軍人が大規模抗議…習政権の権威傷つく (読売, 10/13)
》 日弁連「死刑廃止」宣言採択 (賛成546、反対96、棄権144)
死刑制度の廃止を含む刑罰制度全体の改革を求める宣言 (日弁連, 10/7)
日弁連「死刑廃止宣言案」採択、組織として推進へ…会場では異論も噴出 (弁護士ドットコム, 10/7)
日弁連、「死刑廃止」を宣言 賛成は7割弱、反対意見も (朝日, 10/8)
日弁連 「死刑廃止」宣言案採択 (壇弁護士の事務室, 10/8)
瀬戸内寂聴「殺したがるばか」発言の何が問題なのか?“被害者感情”を錦の御旗にした死刑・厳罰化要求の危うさ (リテラ, 10/10)
マスメディア報道
富山大の研究施設にサイバー攻撃 情報流出か (NHK, 10/10)。「去年11月 (中略) 研究者1人のパソコンがウイルスに感染」「ことし6月、外部機関からの指摘で発覚」
核融合研究成果、サイバー攻撃で情報流出か (読売 / 東洋経済, 10/10)。「昨年11月にウイルス感染し、12月末までに遠隔操作で1000以上の圧縮ファイルが作成された。情報を外部に送信しやすいように攻撃者が作ったとみられ、この頃、大量通信が発生していた。さらに今年3月、再び圧縮ファイルが作成され、外部への通信が発生。6月になって、外部機関から「不審な通信が出ている」と通報があり問題が発覚した」
富山大にサイバー攻撃 放射性物質研究などの情報流出か (朝日, 10/10)。 「感染したパソコンは遠隔操作され、昨年11月〜今年6月に4カ所の外部サーバーと通信していた」
富山大攻撃、私大生装う不自然な日本語メール (読売, 10/11)
「富山大学水素同位体科学研究センター」における標的型サイバー攻撃に関する報道について (富山大学, 10/10)
富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について (富山大学, 10/11)。詳細情報。
富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ ((n)inja csirt, 10/13)
Samsung、発火事故が相次ぐ「Galaxy Note 7」の生産打ち切りを発表 (gizmodo, 10/12)
Galaxy Note 7生産終了までの経緯をまとめ:山根博士の海外スマホよもやま話 (engadget, 10/12)
これが、Galaxy Note 7返却用にSamsungが配布しているスーパー耐火ボックスだ (techcrunch, 10/12)
》 NHK籾井会長再任にNO!の声。次期会長めぐり今何が進行しつつあるのか (篠田博之 / Yahoo, 10/11)
》 Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報 (日本のセキュリティチーム, 10/11)。 セキュリティのみの品質更新プログラム、 セキュリティの月例の品質ロールアップ、 月例の品質ロールアップ プレビューの解説。
ある月のすべての新規のセキュリティ修正プログラムは、セキュリティのみの更新プログラムおよび月例のロールアップの両方に含まれるため、同じ月に両方のパッケージを適用した場合の動作について理解しておくことが重要です。(中略) どのようなことが起こるでしょうか? それはインストールの順番により変わります。
- 月例のロールアップが先にインストールされた場合、セキュリティのみの更新プログラムの全内容が既にインストールされていることになるため、セキュリティのみの更新プログラムはコンピューターには適用されません。
- セキュリティのみの更新プログラムが先にインストールされた場合、コンピューターに必要な追加の修正プログラム (非セキュリティ修正プログラムおよび以前のセキュリティ修正の両方) を含む月例のロールアップは引き続き適用されます。
》 ちょっとコワイ、けど実用性バッチリ。ドローンにワシみたいな手がついた (gizmodo, 9/13)
》 RepoForge (旧RPMForge) 終了のお知らせ (bezeklik / qiita, 9/9)。そうだったのか。
》 CaitSith 0.1.17 / 0.2 が公開されました。 (熊猫さくらのブログ, 10/5)。おつかれさまです。カリ城で言うとこうですか?
「ルパン!これがこの城の秘密か!」
「そうよ。かつて本物以上と讃えられた、Linux の心臓部がここだ」
(中略)
「歴史の裏舞台、ブラックホールの主役、Linux Kernel。 その震源地を覗こうとした者は一人として帰って来なかった」
(中略)
「とっつあん、どうする?見ちまった以上、後戻りは出来ねえぜ」
》 WSUS で選択する Windows 10 の製品分類について (Japan WSUS Support Team Blog, 9/23)
》 WSUS で予期しない更新プログラムを展開してしまったときの対応方法 (Japan WSUS Support Team Blog, 10/7)
》 2016 年 10 月からのロールアップ リリースに伴う WSUS 運用の注意点 (Japan WSUS Support Team Blog, 10/10)。 ロールアップは 2 種類あるそうです。
セキュリティのみの品質更新プログラム
セキュリティ マンスリー品質ロールアップ
後者は非セキュリティな内容を含むものだそうです。で、
ただし、以下のブログ記事で発表いたしましたとおり、上記 2 つのロールアップは、共に「セキュリティ問題の修正プログラム」の分類で配信されます。お客様によっては、累積のためサイズが大きく、非セキュリティの修正が含まれる「セキュリティ マンスリー品質ロールアップ」は配信せずに、「セキュリティのみの品質更新プログラム」だけを配信したいというご要望もあるかと思います。その場合、自動承認規則で「セキュリティ問題の修正プログラム」を特定のグループに承認するように設定していると、意図せず「セキュリティ マンスリー品質ロールアップ」がクライアントに配信されることになります。
More on Windows 7 and Windows 8.1 servicing changes
https://blogs.technet.microsoft.com/windowsitpro/2016/10/07/more-on-windows-7-and-windows-8-1-servicing-changes/
そのため、「セキュリティ マンスリー品質ロールアップ」は配信しない運用とされる場合は、「セキュリティ問題の修正プログラム」を特定のグループに承認するように設定した自動承認規則を無効にして、必要な更新プログラムを手動承認する運用に変更することをご検討ください。
めんどくさ……。
》 あなたのPCにもHelloを!mouse から Windows Hello 対応の生体認証デバイスが遂に発売 (高橋 忍のブログ, 10/9)。指紋認証デバイス、顔認証デバイス。
》 複数の大学で確認されているフィッシングについてまとめてみた (piyolog, 10/8)。(がさごそ……) 手元に来ていたそれっぽいメールはこんな感じ:
東北大学 as103.med.tohoku.ac.jp 経由 (Tue, 27 Sep 2016 03:42:53 +0900 (JST))
Date: Tue, 27 Sep 2016 03:42:34 +0900
From: t-shoki <t-shoki@rad.med.tohoku.ac.jp>
To: undisclosed-recipients:;
Subject: リストア
Message-ID: <711ee6e1001227581772106a52fbff83@mail.med.tohoku.ac.jp>
あなたは、あなたのメールボックスの保存容量の上限に達しています。
あなたの電子メールへのアクセスを復元するには、以下のリンクをご覧ください。
http://www.emailmeform.com/builder/form/7wadzO161uySN
システムヘルプデスク
京都大学 omls-1.kuins.kyoto-u.ac.jp 経由 (Mon, 10 Oct 2016 05:05:30 +0900 (JST))
Date: Sun, 09 Oct 2016 21:05:18 +0100
From: ヘルプデスク <asehara@frontier.kyoto-u.ac.jp>
To: undisclosed-recipients:;
Subject: メールボックスの制限
Message-ID: <838d0d369a04192800e37a9e5f23ea32@frontier.kyoto-u.ac.jp>
あなたは、あなたのメールボックスの保存容量の上限に達しています。
あなたの電子メールへのアクセスを復元するには、以下のリンクをご覧ください。
http://www.emailmeform.com/builder/form/L3b22af6ze62pNwYu8Q
システムヘルプデスク
EmailMeForm は Free HTML Online Form Builder だそうで。
》 Yahoo!の情報漏えいについてまとめてみた (piyolog, 9/24)
》 サムスン Galaxy Note7 方面。 リコール後も不具合止まらず。
サウスウェスト機、Glaxy Note 7の発煙により乗客を退避 (techcrunch, 10/6)。交換後、さらには電源 OFF であるにもかかわらず発煙。
交換後のGalaxy Note 7が機内で燃え緊急避難。2度目のリコールか… (gizmodo, 10/9)
またまたリコール後のGalaxy Note 7が爆発!突然手の中で溶け出す (iPhone Mania, 10/9)
Samsung、Galaxy Note 7交換品の発煙問題について声明を発表 (techcrunch, 10/10)
ギャラクシーノート7リコール、サムスンの処方箋は正しかったか (ハンギョレ, 10/9)
一方、サムスン電子がギャラクシーノート7の異常燃焼原因を正しく究明したのかという指摘もある。二次電池の専門家(次世代電池イノベーションセンター初代センター長)のパク・チョルワン博士は「産業通商資源部傘下の国家技術標準院安全諮問委員会資料によれば、サムスン電子が新しいギャラクシーノート7を発売した9月末にも、異常燃焼の原因がきちんと把握されていない」と主張した。彼は「本来ハードウェアの問題を指摘する前に、最初にするのはファームウェアのアップデートだ。異常燃焼の原因をバッテリーと決め打ちした結果、バッテリー以外のスマートフォン内部の問題をきちんと追求できていない」と指摘した。
遂に生産一時中止か。
サムスン 「ノート7」の生産を一時中断=交換後も発火? (聯合ニュース, 10/10)
サムスン、Galaxy Note 7の生産を一時中断か (iPhone Mania, 10/10)
米AT&TとT-Mobile、Galaxy Note 7の販売や新品との交換を当面停止へ (ガジェット通信, 10/10)
》 【速報】「朝鮮人虐殺」記載へ 横浜市教委の副読本 (カナロコ, 10/7)
》 Internet Week 2016、 そういえば参加登録はじまってますね。
》 東大地震研 原発の地震予測法は「地震規模が過小評価に」 (毎日, 10/5)。纐纈一起・東京大地震研究所教授。
》 国会図書館検索でスマホ現在地漏えいの恐れ (読売, 10/5)。URL に利用者の位置情報が。
》 石原慎太郎の葛藤と、相模原障害者殺傷事件の背景を考える。 (雨宮処凛 / ハフィントンポスト, 9/29)
だからこそ、上野氏は講演で「齢(よわい)を重ねる」とは「弱いを重ねる」ことだと強調しているという。
「超高齢化社会とは、どんな強者も強者のままでは死ねない、弱者になっていく社会であること。すなわち、誰もが身体的・精神的・知的な意味で、中途障害者になる社会だと。
(中略)
いついかなるときに、自分が弱者にならないとも限らない。弱者になれば、他人のお世話を受ける必要も出てくる。そのための介護保険である。それだからこそ弱者にならないように個人的な努力をするより、弱者になっても安心して生きられる社会を、とわたしは訴えてきたのだ」
》 美浜原発事故なら「琵琶湖の魚への影響、長期に」 滋賀県予測 (京都新聞 / Yahoo, 10/5)
》 最高裁判所という「黒い巨塔」〜元エリート裁判官が明かす闇の実態 (瀬木 比呂志 / 現代ビジネス, 9/29)
セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも (ITmedia, 9/26)。Krebs on Security (665Gbps)、 OVH.com (約1Tbps)。Krebs on Security は Akamai を追い出され、 Project Shield (Google) へ。
毎秒1テラビットという史上空前のDDoS攻撃が発生、攻撃元はハッキングされた14万5000台ものウェブカメラ (gigazine, 9/29)
DDoS攻撃出現から20年、いまは「大抵の企業を停止できる」規模 (ITmedia, 9/29)、 Arbor Networks、インターネットサービスプロバイダーを標的にしたDDoS攻撃が始まって20年 (Arbor Networks)
史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用 (ITmedia, 10/4)
Source Code for IoT Botnet ‘Mirai’ Released (Krebs on Security, 10/1)
Who Makes the IoT Things Under Attack? (Krebs on Security, 10/3)
Linuxを狙う脅威の最新動向 (トレンドマイクロ, 9/28)。Mirai だけじゃないです。
関連:
グーグル、「Project Shield」を正式にスタート--DDoS攻撃からニュースサイトなどを保護 (CNET, 2/26)
Dvorakはしもとさんのツイート:
サーバー管理者 vs DDos pic.twitter.com/SQc5mMBWMb
— Dvorakはしもと (@dvorak__) 2016年10月5日
》 長嶋茂雄さんの生家が廃墟化し近隣住民から苦情 テレビなど家電の不法投棄も (NEWS ポストセブン / @nifty, 10/5)。これはひどい。
家屋内には大量のネズミがいるし、水場にボウフラが湧くので夏場は蚊だらけ。あっ、庭の中は気をつけてください! 蛇がうじゃうじゃいますので
》 長谷川豊アナMX「バラいろダンディ」も降板 レギュラー番組なくなる (スポニチアネックス / Yahoo, 10/5)。長谷川豊氏は、かつて 「テレビレギュラー週8本をなめんなよ」 とおっしゃっていらっしゃいましたが、遂にレギュラー週 0 本になってしまいましたとさ。
関連: 長谷川豊の「日本語の持つ力」 (武田砂鉄 / cakes, 10/5)
本日、龍谷大学は「台風第18号の影響により」「2講時以降の授業は全学終日休講」となっております。
》 Windows 10のメジャーアップデート適用後のリセットやクリーンインストールの注意点(かのあゆ) (ウインタブ, 10/5)。バックアップは重要。
》 特別リポート:薬剤耐性菌の「培養皿」と化すインドの湖 (ロイター, 10/5)
》 バキュームカーの臭いが甘い香りに! 驚きの潤滑油、その仕組みは (ITmedia, 9/30)。シキボウの消臭加工技術「デオマジック」、バキュームカーに進出。関連:
きっかけは「探偵!ナイトスクープ」 大阪の会社が汚物臭を芳香に変える繊維を開発 (はてなニュース / livedoor, 2011.08.08)
「うんちの臭いがお花の香りに変わるスプレー」9月14日発売 〜香水の原理を活用〜 「消臭」ではなく、うんちの臭いを取り込んでお花の香りに「変える」 (ベネッセ / PR TIMES, 2012.09.13)、 うんちの臭いを“お花の香り”に変えるスプレーが好発進 (日経トレンディネット, 2012.11.02)
家畜ふん尿、チョコの甘い香りに 大阪の業者が香料開発、白糠でお披露目 (北海道新聞 / 47news.jp, 2015.07.11)、 畜産臭気 いい香りに シキボウと山本香料 共同開発 (全国農業新聞, 2015.11.13)。「1缶16キロ入りで6万5千円程度」。
農業・酪農用デオマジック 1000ml (カインズ)。上記の小サイズ売りか。
衛生車用「デオマジックVC1オイル」発表 (シキボウ, 9/29)、 東邦車輛が、糞便臭を芳香に変えて消臭する新発想の衛生車用潤滑油「デオマジックVC1オイル」を共同開発 (PR TIMES / 毎日, 9/29)
》 米国がついにインターネットの監督権限を手放した (新聞紙学的, 10/2)
》 米ヤフー、全ユーザーの受信メールを監視か--当局の要請で (CNET, 10/5)。全ユーザーの受信メールから特定の文字列を検索するためのツールを 2015 年に開発し、運用している模様。 震源地はこちら: Exclusive: Yahoo secretly scanned customer emails for U.S. intelligence - sources (Reuters, 10/4)。
全ユーザーって何人? と思うのだけど、 米ヤフー、2014年に5億人の情報流出 国家関与のハッカー攻撃か (ロイター, 9/23) なんて話もあったわけで、億単位のアカウント数なのだろう。
》 ヘイトスピーチ裁判、なぜ在特会は負けたのか 「名誉毀損」と「論評」の境目は (渡辺一樹 / BuzzFeed, 10/5)
緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - (2016.09.28)
CVE-2016-2776 の exploit が公開され、広汎な攻撃が行われている模様です。
A tale of a DNS packet (CVE-2016-2776) (infobytesec.com, 2016.10.03)
BINDの脆弱性(CVE-2016-2776)を標的とした無差別な攻撃活動の観測について (警察庁, 2016.10.05)
また BIND 9.11.0 が公開されました。CVE-2016-2776 の修正も含まれています。
BIND 9.11.0 Release Notes (ISC, 2016.10.04)
》 ソフトバンクの「かざして募金」返金無理から一転、全額返金へ (togetter, 10/4)
2016 年 6 月のセキュリティ情報 (月例) – MS16-063, MS16-068 〜 MS16-082 (2016.06.15)
上記で引用した、Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (山市良のえぬなんとかわーるど, 2016.06.17) の内容、2016.06.17 には訂正されていました。山内さん情報頂いていたのに対応できてなくてすいません。 訂正部分含めて引用し直しました。
関連:
「MS16-072: グループ ポリシーのセキュリティ更新プログラム」を適用するとポリシー適用に問題が生じる場合がある (Ask the Network & AD Support Team, 2016.06.17)
山市良のうぃんどうず日記(68): 更新プログラム「KB3159398」の適用で一部のグループポリシーが機能しなくなる問題を回避する方法 (@IT, 2016.06.27)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)