Last modified: Thu Jun 9 11:53:16 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 各県がホームページから地図を大量削除してる。 (HayakawaYukio / togetter, 3/31)
関連:
WEB地図ってどこまで自由に使用できるの? (森林土木memo, 2013.12.15)
国土地理院に問い合わせしてみました (うさぎデザイナーの反省代行まんが, 2015.07.07)。 「地図・空中写真閲覧サービス」 について。国土地理院コンテンツ利用規約も参照。
Webデザインに使える商用可能な地図を配布しているサイトまとめ (NESTonline blog, 2015.03.04)。素材集。
》 辻元清美の“スパイ”とされた作業員が関係を否定し安倍支持者であることを告白! 産経と安倍はデマ拡散の責任を取れ (リテラ, 3/30)
》 【追記あり】中学校の武道に「銃剣道」が追加、ヒゲの隊長こと佐藤正久議員の働きかけも (Buzzap!, 3/31)。 いちばん問題なのはここだろう。存在自体が矛盾している。
なお、剣道では中学生までの「突き」は安全上の理由から「禁じ手」とされています。一方銃剣道は「突き」を基本とした競技となっており、安全性の確保がどのようにして行われるのか、大きな不安が残ります。
関連:
銃剣道が国体毎年実施に昇格、ボクシングが降格 (日刊スポーツ, 3/8)
銃剣道を学習指導要領に (佐藤正久 / BLOGOS, 3/15)
村山嘉昭さんのツイート。なんとマイナーな。
日本銃剣道連盟の会長談「銃剣道を指導できる教諭が全国に二人しかいない」(月刊武道 2016.4) pic.twitter.com/pWNWrjNIK0
— 村山嘉昭 (@_murayama) 2017年3月31日
YUKI Keiichi さんのツイート:
銃剣道よりスポーツチャンバラの方が学校教育には向いてるんじゃないの?
— YUKI Keiichi (@yuki_k1) 2017年3月31日
》 和歌山カレー事件・林眞須美死刑囚の再審請求棄却決定に思うこと (篠田博之 / Yahoo, 3/29)
ただ眞須美さんが犯人であることは疑いないと思っている人に申し上げておきたいのは、当時の検察が示した論拠は今となってはぼろぼろとなっているということだ。いや実は、1審判決で動機がわからないと言明されているのを始め、有罪の根拠は最初から相当脆弱だった。その脆弱さを補って有罪の決め手となったのが、スプリング8という最新鋭の装置による「犯行に使われたヒ素と林家のヒ素が同一だ」とする鑑定だった。これがなければ有罪認定も困難を極めたと思う。
ところがその後の河合教授らの調査によって、その絶対と思われた科学鑑定がゆらいでいる。
》 FSFが今年のFree Software Awardsを発表、内部告発サイトのSecureDropなどが受賞 (OSDN, 3/28)
》 「科学者は軍事研究にどう向き合うか」(時論公論) (水野 倫之 / NHK 解説委員室, 3/27)
》 事実と意見を峻別できずに「ファクトチェック」と称するなかれ (楊井 人文 / GoHoo, 3/27)
》 核実験間近か 北朝鮮の実験場に70〜100人=米シンクタンク (聯合ニュース, 3/30)、 「北、来週初めにも核実験、プルトニウム・ウラン同時使用も」 (中央日報, 3/30)
Heightened Activity at North Korea’s Punggye-ri Nuclear Test Site (38 North, 3/29)
North Korea’s Punggye-ri Nuclear Test Site: New Activity at the North Portal (38 North, 3/28)
Continued Activity at Key Plutonium Production Facilities at North Korea’s Yongbyon Nuclear Complex; Purpose Unclear (38 North, 3/28)
North Korea’s Punggye-ri Nuclear Test Site: Possible Vehicles Located at Tunnel Entrance (38 North, 3/25)
》 米下院が個人情報保護規制の撤廃案を可決 大統領の署名待ちへ (AP / ITmedia, 3/30)。FCC の規制を撤廃。
米下院、インターネットの個人情報保護するプロバイダー規制を撤廃 (BBC, 3/29)
ネットの個人情報保護、米下院の規定撤廃案可決に批判の嵐 (CNN, 3/30)
Repealing Broadband Privacy Rules, Congress Sides with the Cable and Telephone Industry (EFF, 3/28)
上院は可決済み。
ユーザーの同意なくブラウジング履歴などの個人情報をプロバイダが広告主に売れるようになる可能性 (gigazine, 3/24)
米上院、FCCのプライバシー保護規則の破棄を決議 (CNET, 3/24)
》 マイクロソフト報奨金プログラムの拡張 – Windows 用の Office Insider ビルドに関する報奨金プログラム (日本のセキュリティチーム, 3/30)
》 Updates to the Google Safe Browsing’s Site Status Tool (Google, 3/29)
》 Reassuring our users about government-backed attack warnings (Google, 3/24)
》 外出先の WSUS クライアントに Windows 10 の罠あり? (山市良のえぬなんとかわーるど, 3/17)
》 World Backup Day is as good as any to back up your data (Microsoft Malware Protection Center Blog, 3/28)。3/31 は世界バックアップデー、なのだそうだ。
関連: 【iPhoneハッキング対策】ハッカーが「3億件のiCloudアカウントをリセットされたくなければ身代金を払え」とAppleを脅迫!念のために今一度セキュリティ対策を見直しておきましょう! (enjoypclife.net, 3/26)
》 StoneDrill:Shamoonに似た強力なワイパー型マルウェア (Kaspersky, 3/23)
StoneDrillはShamoonとは異なり、標的をサウジアラビアとその周辺国に絞ってはいない。現在のところ、StoneDrillの標的は2つだけ確認されているが、そのうち1つはヨーロッパに拠点を置いている。
》 USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起 (JPCERT/CC, 3/30)。closed ネットワークにある情報を USB メモリーに入れて open ネットワークの PC に刺したら当該 PC がマルウェアに感染していて漏洩した、という事例が確認された模様。さもありなん。
関連: サイバー攻撃による社内情報窃取の手口 (USB 情報窃取) (警察庁, 3/30)。「新たなサイバー攻撃の手口」ではないでしょう。 10 年前ならともかく。
》 PostgreSQLデータベースのセキュリティを考える 〜 重要データを守るために必要なこと〜 (connpass)。2017.04.12、東京都港区、無料。面さん情報ありがとうございます。
》 制御システムセキュリティカンファレンス2017 プレゼン資料 (JPCERT/CC, 3/24)
》 安心相談窓口だより 偽警告で、また新たな手口が出現 〜パソコンが正常に操作できなくなったと錯覚させる多数の狡猾な細工〜 (IPA, 3/29)
》 林真須美死刑囚の再審請求は棄却。地裁の判断をどう考えたらいいのか?【音声配信】3月29日放送分 (TBS ラジオ, 3/30)
》 【森友学園問題】「まったく面識もない」〜辻元清美議員に関する“疑惑”報道で「工作員」とされた作業員が証言【音声配信&書き起こし】TBSラジオ「荻上チキ・Session-22」 (TBS ラジオ, 3/30)。無関係だと。「とくダネ!」「Mr.サンデー」「産経新聞」。駄目すぎる。
関連:
名刺も渡してどこの誰だか分かってるのに 全然関係ない組織や議員と繋がってるに違いないとテレビで流されるって、
— ntsk (@su725) 2017年3月29日
産経とフジの取材を受けるリスクすごいな #ss954
籠池夫人インタビュー モイ!PCからキャス配信中 - https://t.co/cjCA6nZ6i8
— 菅野完 (@noiehoie) 2017年3月29日
@noiehoie デマだったんですか?では数日前これを根拠に国会で野党に反論した安倍さんは永田メールを再現してしまった、ということでしょうか・・・
— 生ハム (@WM_ONMOUSEDOWN) 2017年3月29日
そういうことになります
— 菅野完 (@noiehoie) 2017年3月29日
https://t.co/MaAMx2DC1J
》 「私人」昭恵氏に外交旅券 首相外遊に同行、国の用務で (朝日 / Yahoo, 3/28)。私人のわけないじゃん。
》 「日本会議」系が集会、改憲へ気勢 国会議員ら700人 (朝日, 3/29)。うへえ。
公明党からも斉藤鉄夫幹事長代行が出席。
公明党終了のお知らせ、としか聞こえないのだが。
》 うその資料作成の疑い 熊本県警の警部補を書類送検へ (NHK, 3/29)
警察署で採取した万引き事件などの容疑者の指紋を、現場の鑑識活動で採取したとするうその資料を作っていたことが、去年、明らかになりました (中略) 6年余りの間に偽造されたと見られる資料が、およそ120件見つかったということです。 (中略) 「実績をあげるため、数年前からやっていた」
》 論壇時評 ナチュラルとナショナル 日本主義に傾く危うさ (中島岳志 / 中日, 3/28)
》 Windows 10 Creators Updateは4月11日から配信開始だって! (ウィンタブ, 3/30)
》 青山繁晴「塚本幼稚園がんばってくださいね!」→「つ…かもと幼稚園?僕は森友学園って初めて聞いたよ」 (netgeek, 3/28)。嘘はだめだよなあ。
パン屋「郷土愛不足」で和菓子屋に変更 「道徳」教科書の初検定 (ハフィントンポスト, 3/24)。本当に糞。
道徳でパン屋は和菓子屋に直される劣化した愛国心 (小林よしのり / BLOGOS, 3/27)
「道徳教科書、パン屋を和菓子屋へ」になぜ違和感を覚えるのか (保坂展人 / ハフィントンポスト, 3/29)
正気ですか?「パン屋は愛国心が足りない」という道徳教育の愚 (辻田 真佐憲 / 現代ビジネス, 3/30)
》 動画:世界初 四肢まひ患者、脳に埋めた電極の信号で自ら食事 報告 (AFPBB, 3/29)
とはいえ、テクノロジーには限界があり、コシャバーさんが自分の腕を制御するには腕をずっと見続けていなければならない。目を閉じていても自分の手足の動きや位置が分かる固有受容感覚と呼ばれる感知力が、まひのせいで失われているためだという。
照ノ富士へのヤジ「モンゴル帰れ」を見出しに スポーツ報知に「ヘイトスピーチだ」と批判相次ぐ (ハフィントンポスト, 3/27)
照ノ富士への観客ヤジ「モンゴル帰れ」とスポーツ報知がひどい件→スポ報「おわび」 (NAVER まとめ, 3/29 更新)
照ノ富士への「モンゴル帰れ」に広がる波紋 これは単なるブーイングなのか? (BuzzFeed, 3/30)
VMSA-2017-0006 - VMware ESXi, Workstation and Fusion updates address critical and moderate security issues (VMware, 2017.03.28)。更新あり。ESXi 5.5 には影響しない。
SYM17-003 - Security Advisories Relating to Symantec Products - Symantec Web Gateway Management Console XSS (Symantec, 2017.03.13)。5.2.7 で対応。
PMASA-2017-8 - Bypass $cfg['Servers'][$i]['AllowNoPassword'] (phpMyAdmin, 2017.03.28)。phpMyAdmin 4.0.10.20 / 4.7.0 で修正。
JVNVU#95549222 - NTP.org の ntpd に複数の脆弱性 (JVN, 2017.03.27)。ntp-4.2.8p10 で対応。
CentreCOM AR260S V2 における権限昇格の脆弱性 (アライドテレシス, 2017.03.30)。guest アカウントのデフォルトパスワードが広く知られているので云々。パスワード変えましょう。
DoubleAgent: Taking Full Control Over Your Antivirus (2017.03.22)
関連:
更新:DoubleAgentの詳細について (マカフィー, 2017.03.30 更新)
「DoubleAgent」:Microsoft Application Verifier を悪用。この攻撃によるリスクについて (トレンドマイクロ, 2017.03.29)。文中、「アラート/アドバイザリ: Microsoft Application Verifier を悪用した攻撃(CVE-2017-5565)について」のリンク先が間違ってるみたい。↓を参照。
アラート/アドバイザリ: Microsoft Application Verifier を悪用した攻撃(CVE-2017-5565)について (トレンドマイクロ)
Chrome 57.0.2987.133 公開。5 件のセキュリティ欠陥を修正。
Chrome OS も更新されてます: Stable Channel Updates for Chrome OS (Google, 2017.03.29)
》 [Managed PKI for SSL] Google Chrome57 のバグにより EV SSL 証明書の組織名がグリーン表示されない事象について (シマンテック, 3/28)。ポリシーの記述順序によってグリーン表示されない現象が。
Google Chrome 57 のバグに対処するため、3月24日以降に発行される EV SSL証明書のポリシー記載順序を以下のように変更しました。
ポリシーID#2(2.16.840.1.113733.1.7.23.6) - EV SSL証明書の証明書ポリシー
ポリシーID#1(2.23.140.1.1) - EV SSL証明書を定義
影響を受ける EV SSL証明書をご利用の場合には、対象の EV SSL証明書の再発行を行っていただくことを推奨申し上げます。
iTunes for Windows / Mac 12.6 (2017.03.23)
iTunes for Windows 12.6 については、SQLite / expat のセキュリティ更新の他にも複数のセキュリティ修正が含まれていたことが明らかになりました。
APPLE-SA-2017-03-28-2 Additional information for APPLE-SA-2017-03-22-1 iTunes for Windows 12.6 (Apple, 2017.03.28)
About the security content of iTunes 12.6 for Windows (Apple, 2017.03.28 更新)
About the security content of iOS 10.3 (2017.03.28)
kindle の不具合、アプリ側で対応されたようです。
Amazon、iOSアプリ「Kindle 5.9.1」リリース ― 「iOS 10.3」で小説など一部文字のみの書籍が読めない問題を修正 (Linkman, 2017.03.29)
Firefox 52.0 / ESR 45.8.0、Thunderbird 45.8.0 公開 (2017.03.08)
Firefox 52.0.2 / ESR 52.0.2 出ました。セキュリティ修正は含まないようです。
Firefox 52.0.2 リリースノート (mozilla.jp, 2017.03.28)
》 Windows 7/8.1と最新CPUの組み合わせで更新プログラムが適用不可に、Microsoftがヘルプページで明かす (Internet Watch, 3/21) の件、霧島さんから (情報ありがとうございます)。 (元記事)
最初の「最新CPUで〜」はKabyLAKE(第7世代CPU、core-i 7000番代)とWindows7/8の組み合わせ、「サポート期間を延長〜」はSkylake(第6世代CPU、core-i 6000番代)とWindows7/8の話で別物です
当初「新CPUではWindows10以外をサポート打ち切り、そのために直近で出回り始めているSkylake(第6世代)は2017年でパッチ提供終了、Skylakeの次世代(第7世代)以降は非サポート」という流れだったので、今回話題になっている適用不可は想定通りということです
ちなみにSkylakeは「Windows7/8の延長サポート終了までサポートする」に再変更されています
》 パナソニック、宅配ボックス新製品の発売延期 受注量5倍に「供給追い付かず」 (ITmedia, 3/28)
》 実録! 俺のバックアップ術: バックアップも機器も「複線化」を旨とせよ 〜西田 宗千佳編 (PC Watch, 3/28)
》 マイクロソフト研究所: Windows 10 Creators Updateの企業向け機能 (クラウド Watch, 3/23)
》 Twitterのキーワードミュート機能が効かない? ユーザーを混乱させるその仕様とは (Internet Watch, 3/28)
これの件。シマンテックが少なくとも 127 枚の不正な証明書を発行した、ことについては双方合意できているみたい。
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される (スラド, 2017.03.26)
Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates (Ryan Sleevi / blink-dev, 2017.03.24)
Symantec Backs Its CA (シマンテック, 2017.03.24)。シマンテックの反論。ユーザーに影響のない不正証明書 127 枚は認めるが 3 万枚は否定。どこかの Registration Authority が閉鎖されたようだけど、どこなのだろう。
Symantecが再びGoogleの信頼を失った件についてのメモ (Technically, technophobic., 2017.03.27)。mozilla だったのか。
関連:
A Message To Our CA Customers (Roxane Divol / Symantec, 2017.03.26)
泥沼化する“証明書抗争”の幕引きなるか、シマンテックがグーグルに逆提案 (日経 IT Pro, 2017.04.28)
関連:
Symantec、Webサイトセキュリティ事業とPKIソリューションをDigiCertへ売却 (クラウド Watch, 2017.08.03)
【まとめ】シマンテック系証明書のDigiCertへの移行と、Chrome対応(再発行)について (sLogical, 2017.12.13 更新)。「シマンテック系SSL証明書とは「シマンテック・ジオトラスト・RapidSSL・Thawte」の各SSL証明書となります」
2016年6月1日以前に発行され、2018年4月17日以降も有効なSSL証明書
Chrome 66 のリリース前に再発行(無償)または更新購入で、新仕様のSSL証明書へ置き換える必要があります。
新システム移行(2017年12月1日)前に発行され、2018年10月23日以降も有効なSSL証明書
Chrome 70 のリリース前に再発行(無償)または更新購入で、新仕様のSSL証明書へ置き換える必要があります。
iOS 10.3 出ました。84 件のセキュリティ欠陥が修正されています。
iOS 10.3 にアップデートすると、ファイルシステムが HFS+ から Apple File System に変更されるとされています。予期しない不具合が発生する可能性がありますので、適用前にバックアップを実施してください。
『iOS 10.3』正式公開、アップデート前にバックアップを忘れずに (AppBank, 2017.03.28)
iOS10.3で採用されるApple File System (APFS) とは? (iSchool, 2017.03.26)
AppleがiOS 10.3正式公開、ファイルシステムを切り替え (日経 IT Pro, 2017.03.28)
不具合情報:
【悲報】『Kindle』アプリ愛用者はiOS 10.3のアプデは待った!一部の書籍形式が読み込めない不具合あり (かみあぷ, 2017.03.28)
【iOS10.3】Kindleがエラーや読み込み中のまま本が表示されない不具合 (SBAPP, 2017.03.28)
kindle の不具合、アプリ側で対応されたようです。
Amazon、iOSアプリ「Kindle 5.9.1」リリース ― 「iOS 10.3」で小説など一部文字のみの書籍が読めない問題を修正 (Linkman, 2017.03.29)
》 GitHub Enterprise、SHA-1衝突を実行不能にするパッチを適用へ (Internet Watch, 3/21)
》 Appleが逆転勝利、中国でのiPhone販売禁止命令が取消に (日経 IT Pro, 3/27)
》 LibreSSL 2.5.2 が出ています。
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)
被害事例: JINS
JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害 (日経 IT Pro, 2017.03.24)
当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) (JINS, 2017.03.24)。漏れてから対策済言われても。
住宅金融支援機構の続報:
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて<続報> (住宅金融支援機構, 2017.03.17)
(※)セキュリティコード及びメールアドレスにつきましては、団信クレジット払い専用サイトによりクレジットカード払いの申込みを行ったお客さまに限り流出したおそれがあります。
2017 年 3 月のセキュリティ情報 (月例) – MS17-006 〜 MS17-023 (2017.03.15)
Windows 10 バージョン1607 / Windows Server 2016 用の更新プログラム KB 4013429 に、Microsoft DTV-DVD Decoder ライブラリーを使用するプログラム (例: Windows DVD プレイヤー) が crash する不具合があったそうで。 KB 4015438 で修正されているそうです。
「Windows DVD プレイヤー」がクラッシュする不具合などを修正する更新プログラム「KB4015438」、Windows 10/Windows Server 2016向けに20日より公開 (Internet Watch, 2017.03.21)
Windows 10の累積的アップデートKB4015438でもインストール問題がまたまた発生か? (ソフトアンテナブログ, 2017.03.21)。KB 4015438 でも直ってないという報告もあるようで。
あと、KB 4013073 (3 月の MS17-006 IE 11 累積的セキュリティ更新) を適用すると Dynamics CRM 2011 のフォームがうまく動かないのだそうで。 KB 4016446 で修正されています。
》 「自動車の情報セキュリティへの取組みガイド」第2版を公開 (IPA, 3/23)
》 違法スパイ装置と見なされたIoT人形「ケイラ」とは?(前編) (ZERO/ONE, 2/27)、 中編 (ZERO/ONE, 2/28)、 後編 (ZERO/ONE, 3/1)
トランプ氏の元選対本部長、親ロシア派から75万ドル授受=ウクライナ議員 (BBC, 3/22)。ポール・マナフォート氏。
トランプ氏とロシアが愛を育んだ高層コンド、富裕層マネーの逃避場所 (ブルームバーグ, 3/22)
トランプ陣営とロシアの連携示唆か、FBIが情報保有 (CNN, 3/23)
》 「経済成長は不可欠」という神話が国を滅ぼす チェコの奇才が教える成長より大事なもの (東洋経済, 3/24)。NHK で放映された番組の書籍版のようです。
欲望の資本主義〜ルールが変わる時〜 (NHK)
「欲望の資本主義 2017 ルールが変わる時」 (最終章 未来へ)を見てみた (まるいの日記, 1/9)。第 1 章からの書きおこし。
》 『ガロ』元編集長である山中潤さんの声明が発表されました。 (「ガロ」で有名な「青林堂」のパワハラ不当労働行為事件, 2/17)
》 インターネットバンキングに係るマルウェアに感染した端末の利用者に対する注意喚起の実施 (総務省, 3/23)、 インターネットバンキングに係るマルウェアへの感染者に対する 注意喚起の実施 (ACTIVE, 3/23)
本取組において得られたマルウェア感染端末に関する情報を元に、「ACTIVE」の取組を活用して、一般社団法人ICT-ISACから、国内インターネット・サービス・プロバイダ(ISP)事業者に対して感染端末に関する情報提供を行い、各ISP事業者から感染端末の利用者への注意喚起を実施します。
いろいろ (2017.03.22) Cisco IOS / IOS XE Cluster Management Protocol
これ、Vault 7 ねただったのですね。
CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性 (日経 IT Pro, 2017.03.23)
》 OpenSSH 7.5 が公開されました。iida さん情報ありがとうございます。 予告どおり、ポータブル版から OpenSSL 1.0.1 未満のサポートが削除されました。
DoubleAgent: Taking Full Control Over Your Antivirus (2017.03.22)
トレンドマイクロ:
SECURITY BULLETIN: Trend Micro Products and the DoubleAgent Security Issue [CVE-2017-5565] (Trendmicro, 2017.03.22)
ウイルスバスターの脆弱性について(CVE-2017-5565) (トレンドマイクロ, 2017.03.23)。 ウイルスバスター クラウド バージョン 11 用の修正モジュールが公開されている。
iTunes for Windows / Mac 12.6 出ました。 iTunes で使用している SQLite / expat のセキュリティ更新が含まれます。 SQLite 3.15.2、expat 2.2.0 になりました。
APPLE-SA-2017-03-22-1 iTunes for Windows 12.6 (Apple, 2017.03.22)
APPLE-SA-2017-03-22-2 iTunes for Mac 12.6 (Apple, 2017.03.22)
iTunes for Windows 12.6 については、SQLite / expat のセキュリティ更新の他にも複数のセキュリティ修正が含まれていたことが明らかになりました。
APPLE-SA-2017-03-28-2 Additional information for APPLE-SA-2017-03-22-1 iTunes for Windows 12.6 (Apple, 2017.03.28)
About the security content of iTunes 12.6 for Windows (Apple, 2017.03.28 更新)
》 「企業における営業秘密管理に関する実態調査」報告書について (IPA, 3/17)
》 オープンソースソフトウェア「Bacula」で安心・安全なバックアップシステムを構築しよう 第2回 Baculaでバックアップをしてみよう (技評, 3/21)
》 Red Hat Enterprise Linux 6.9がリリース,6.xとして最後のアップデート (Linux Daily Topics, 3/22)
》 日本、ブラジル鶏肉輸入停止=食肉不正の21施設 (時事, 3/22)、 ブラジルの食肉業者、安全基準で不正 日本は輸入を保留 (朝日, 3/22)。停止じゃなくて保留扱いですか。
オフィシャル:
ブラジル産鶏肉等の扱いについて (在ブラジル日本国大使館, 3/21)。参照先は、 ブラジル産鶏肉等の扱いについて (厚生労働省, 3/21)。対象一覧あり。
関連:
畜産物の需給関係の諸統計データ (農畜産業振興機構)。鶏肉については国産 3: 輸入 1 という感じか。
家きん肉等の輸入を一時停止している国 (動物検疫所)。ブラジルは停止扱いではない。
》 Intel Security SNS の通知:McAfee Agent 4.8 サポート終了のお知らせ (マカフィー, 3/15)。2018.03.31 で終了。あと 1 年ちょっと。
》 (;´゚д)ポカーン 森友学園は【教育勅語】、昨日の防衛大卒業式の安倍首相訓辞は【軍人勅諭】だった。 (togetter, 3/20)
》 台湾総統、潜水艦の自主建造を強調 (ロイター, 3/21)、 台湾 初の潜水艦独自建造目指し設計に着手 (NHK, 3/21)、 台湾、潜水艦の自主建造に着手へ 中国の海軍力に警戒感 (朝日, 3/21)。 誰も売ってくれないから自分でつくるしかないのだが、技術のない者が簡単につくれるようなものではないのだよなあ。韓国ですら苦労していたわけで (今でも?)。
Windows Defender を除く、ほとんど全てのアンチウイルスソフトに欠陥。 コード挿入可能な欠陥が存在し、local user によって完全に制御を奪われる。 つまり、アンチウイルスソフトをウイルス化できる。 詳細: DoubleAgent: Zero-Day Code Injection and Persistence Technique (Cybellum, 2017.03.22)
対抗するには、保護プロセス Protected Processes を使用するようコードを書き直すことが必要だという。これを実装しているのは、現時点では Windows Defender だけの模様。
関連:
Windows 10: 向上した Windows Defender 機能でオンラインでの安全性を高めよう (日本のセキュリティチーム, 2015.12.03)
また、Windows 10 では、マルウェアによる Windows Defender の設定や状態の改ざんが行われにくくなっています。Windows Defender は、保護プロセスと呼ばれるテクノロジにより、システムと分離されているためです。
The Evolution of Protected Processes Part 1: Pass-the-Hash Mitigations in Windows 8.1 (Alex Ionescu’s Blog, 2013.11.22)
The Evolution of Protected Processes Part 2: Exploit/Jailbreak Mitigations, Unkillable Processes and Protected Services (Alex Ionescu’s Blog, 2013.12.10)
Protected Processes Part 3 : Windows PKI Internals (Signing Levels, Scenarios, Root Keys, EKUs & Runtime Signers) (Alex Ionescu’s Blog, 2013.12.28)
トレンドマイクロ:
SECURITY BULLETIN: Trend Micro Products and the DoubleAgent Security Issue [CVE-2017-5565] (Trendmicro, 2017.03.22)
ウイルスバスターの脆弱性について(CVE-2017-5565) (トレンドマイクロ, 2017.03.23)。 ウイルスバスター クラウド バージョン 11 用の修正モジュールが公開されている。
関連:
更新:DoubleAgentの詳細について (マカフィー, 2017.03.30 更新)
「DoubleAgent」:Microsoft Application Verifier を悪用。この攻撃によるリスクについて (トレンドマイクロ, 2017.03.29)。文中、「アラート/アドバイザリ: Microsoft Application Verifier を悪用した攻撃(CVE-2017-5565)について」のリンク先が間違ってるみたい。↓を参照。
アラート/アドバイザリ: Microsoft Application Verifier を悪用した攻撃(CVE-2017-5565)について (トレンドマイクロ)
JVN#93699304 - PhishWall クライアント Internet Explorer版のインストーラにおける任意の DLL 読み込みに関する脆弱性 (JVN, 2017.03.22)。Ver. 3.7.13 以前のインストーラーの欠陥。「最新のインストーラを使用してください」
PhishWallクライアントInternet Explorer版のインストーラにおける任意のDLL読み込みに関する脆弱性 (Eiji James Yoshidaの記録, 2017.03.22)
Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability (Cisco, 2017.03.17)。IOS / IOS XE の Cluster Management Protocol に remote から無認証で任意のコードを実行可能な欠陥。
An attacker could exploit this vulnerability by sending malformed CMP-specific Telnet options while establishing a Telnet session with an affected Cisco device configured to accept Telnet connections. An exploit could allow an attacker to execute arbitrary code and obtain full control of the device or cause a reload of the affected device.
これ、Vault 7 ねただったのですね。
CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性 (日経 IT Pro, 2017.03.23)
Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-001 (Drupal, 2017.03.15)。Drupal 8.2.7 で修正。
》 意外な無罪判決で検察に衝撃 ディオバン事件の経過と今後 (前田恒彦 / Yahoo, 3/21)
今回の判決は、製薬会社に規制の「抜け道」を与えたに等しい。
薬事行政の所管庁である厚労省の告発を端緒としている上、東京地検特捜部が一種の国策捜査として強制捜査や起訴に至った事案であることからすると、検察による控訴が見込まれる。
翻ってみると、問題点の本質である「医療と製薬業界との癒着」にメスを入れられなかった時点で、検察の捜査は失敗だったと言える。
》 Windows 7/8.1と最新CPUの組み合わせで更新プログラムが適用不可に、Microsoftがヘルプページで明かす (Internet Watch, 3/21)。これ自体は、サポートページができたという話みたい。 この状況が実際に起きているのかどうかは不明。 Microsoft、Skylake PCでのWindows 7/8.1サポート期間を1年延長〜緊急セキュリティアップデートはその後も継続提供 (PC Watch, 2016.03.22) を読んだときには、そういう現象は発生しなくなるのだと理解したのだけど、 そうではないということなのかしら。
》 インテル、ついに3D XPointメモリを製品化した「Optane SSD DC P4800X Series」発表。高速ストレージとしてだけでなく、メインメモリの拡張としても利用可能 (Publickey, 3/21)
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)
JakartaStreamMultiPartRequest にも同様の欠陥が発見された S2-046。JakartaStreamMultiPartRequest を利用する回避方法は機能しない。 これについても Struts 2.3.32 / 2.5.10.1 で修正されている。
S2-046 - Possible RCE when performing file upload based on Jakarta Multipart parser (similar to S2-045)。 CVE-2017-5638
Struts2-046: A new vector (alvaro_munoz / hpe.com, 2017.03.20)
S2-046-PoC (GitHub)
また S2-046 では、回避策として Apache Struts 2 Secure Jakarta Multipart parser plugin / Secure Jakarta Stream Multipart parser plugin が紹介されている。
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (JPCERT/CC) も改訂されている。
Firefox 52.0 / ESR 45.8.0、Thunderbird 45.8.0 公開 (2017.03.08)
Firefox 52.0.1 / ESR 52.0.1 出ました。Pwn2Own で公開された欠陥が修正されています。iida さん情報ありがとうございます。
MFSA 2017-08 - createImageBitmap() における整数オーバーフロー (mozilla-japan.org, 2017.03.17)
Firefox 52.0.1 リリースノート (mozilla.jp, 2017.03.17)
Firefox 52.0.1、Firefox for Android 52.0.1 がリリースされた (MozillaZine, 2017.03.20)。「Firefox ESR 45.8.0 はこの問題の影響を受けない」
》 フリン前米大統領補佐官、ロシア企業などから報酬 620万円 (AFPBB, 3/17)
報酬の中には、フリン氏が2015年12月にロシアの国際テレビネットワークRTがモスクワ(Moscow)で開いたパーティーへ出席した報酬3万3000ドル(約370万円)が含まれている。米国政府はRTをロシアの情報機関の一部門とみている。このパーティーでフリン氏はプーチン氏とテーブルを共にしていた。
》 ランサムウェアで支払われた身代金、2016年は10億ドル〜F-Secure調査 (Internet Watch, 3/16)
》 防衛装備庁、将来戦闘機でイギリス国防省と協力の可能性を検討へ (FlyTeam, 3/16)、 将来戦闘機における英国との協力の可能性に係る日英共同スタディに関する取決めの締結について (防衛装備庁, 3/16)。F-3、単独開発は正直難しいからなあ。
》 「生放送中に子供が乱入」動画を見て、母親をベビーシッターと勘違いした私の後悔と考察 (ソラヤ・チェマリー / ハフィントンポスト, 3/17)
私がこの動画の女性はベビーシッターの可能性が高いとコメントした時、それを偏見だとは思っていなかった。それこそが偏見の作用だ。
》 ASUS製マザーボード[CROSSHAIR VI HERO]ユーザー様に重要なお知らせ (テックウィンド, 3/16)
2017年3月16日現在、ASUS ROG CROSSHAIR VI HEROについて、バージョン0702または5704(ベータバージョン)以前のBIOSを使用している一部の環境において、予期せぬBIOSの自動更新または起動しない問題が発生する可能性があることが確認されました。
この問題を回避したBIOS(バージョン0902)が公開されていますので、ROG CROSSHAIR VI HEROをお持ちの方はBIOSの更新をお願いいたします。
》 収監逃れ、疑惑解明遠く 京都府立医大強制捜査1ヵ月 (京都新聞 / Yahoo, 3/14)。都府立医科大学付属病院 暴力団組長虚偽報告書作成事件の件。
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)
被害事例: 沖縄電力 停電情報公開サービス
沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か (日経 IT Pro, 2017.03.16)
当社Webサイトへの不正アクセスによるコンテンツの改ざんおよびお客さまEメールアドレス等の流出の可能性について (沖縄電力, 2017.03.15)
あとこれ:
GMOペイメントゲートウェイ情報流出お詫びページがNOINDEXな件 (怒なしメガネをかけて, 2017.03.16)
》 Windows 10 バージョン 1607 の環境にて BranchCache を利用する際の条件 (Japan WSUS Support Team Blog, 3/15)
なお、WSUS で「高速インストール ファイル」機能を有効にしている場合に上記ポリシーを有効にすると、更新プログラムのダウンロードが 45 % で停止してしまう問題が報告されております。この問題に対処するためには、2017 年 1 月 10 日 にリリースされた KB3213986 以降の更新プログラムを適用する必要がありますので、こちらもあわせて適用してください。
》 法政大学で不正アクセス、学生や職員など4万3103件のアカウント情報が漏洩 (日経 IT Pro, 3/10)
最高裁判例 事件番号 平成28(あ)442 (裁判所)
GPS捜査 裁判所の令状なしは違法…最高裁が初判断 (毎日, 3/15)
令状なしのGPS捜査「違法」 最高裁が初判断 (日経, 3/15)
令状なしのGPS捜査は違法 最高裁が初判断 (NHK, 3/15)
GPS捜査違法 弁護側「満額回答」 最高裁判決高く評価 (毎日, 3/15)
クローズアップ2017 GPS最高裁判決 常時監視に歯止め 令状捜査も認めず (毎日, 3/16)
「令状無しのGPS捜査は違法」 最高裁大法廷判決を法学者はどう見たか 刑事訴訟法の専門家、成城大学・指宿信教授に聞いた。 (BuzzFeed, 3/15)
警察庁 GPS捜査控えるよう通達 (NHK, 3/15)。違法行為ですから。
【最高裁判決】GPS捜査「違法」が突きつけた課題 後始末は? 新ルールは? (BuzzFeed, 3/15)
最高裁が令状なしのGPS捜査を違法と断定 今後の犯罪捜査に与える深刻な影響とは (前田恒彦 / Yahoo, 3/16)
しかも、今回の最高裁判決は、裁判官5人の小法廷ではなく、裁判官15名の大法廷で審理され、かつ、全員一致の結論だったことから、その重みも計り知れない。 (中略) 結局、今の刑事訴訟法の下では、冒頭で挙げた(1)のパターンのように、警察がGPS捜査を行い、そこで得た証拠を裁判で使うようなことは、事実上不可能になった、と言わざるを得ない。
》 オランダ 自由民主党が第1党維持へ 極右は失速 (毎日, 3/16)。オランダ下院選挙。
反イスラムを掲げ、世論調査で一時は首位だった極右・自由党は (中略) 終盤に失速した。現有議席から7議席増の19議席としたものの、2010年の24議席には及ばない見通し。
》 ヤマト運輸を追い詰めているのは「アマゾン」ではなく「横浜」だ (ダイヤモンド・オンライン, 3/16)
今回はうまく地雷を避けたが、この「未払い残業代」問題がまたいつ火を吹くかはわからない状態だ。24日から支払いが始まれば、その額に不満を抱くドライバーたちが「横浜」のように声を上げるかもしれない。真正面から向き合わなくてはいけなくなるのも、時間の問題だ。
》 マンガ「デビルマン」を湯浅政明監督がアニメ化!ラストシーンまで描き切る (ナタリー, 3/16)。Netflix で 2018 年に配信。いよいよ来たなという感じ。
湯浅監督も「漫画史上最高とも言える衝撃的な展開と壮大なラストシーンにたどり着くため、原作のスピリット、エッセンスを『今やるアニメーション』の形に落とし込む作業に日々悪戦苦闘中です。しかし配信という事で制約も少ないので、限界までやりますよ!バイオレンス、エログロなどありますが、最終的に『愛』です」と意気込んだ。
地上波ではできないことが、Netflix ならできますからね。
》 マツダ、先進安全技術「i-ACTIVSENSE」の標準装備化を発表 (マツダ, 3/13)。 対象となるのはデミオ、アクセラ、アテンザ、CX-3、CX-5。 今後、こういう動きが広がっていくのだろう。
》 霧ヶ峰南麓に東京ドーム40個分!メガソーラーが地域社会を破壊する!? (ハーバー・ビジネス・オンライン, 3/8)
》 BBCの取材中に子供が……なぜアジア人女性を乳母だと大勢が思い込んだのか (BBC, 3/13)、 韓国人女性は子守りか。BBC生出演したお父さん、かわいすぎる「珍入者」ビデオが物議 (BuzzFeed, 3/13)、 テレビ出演中に子供たちに乱入された教授、家族と一緒に再びインタビュー (BBC, 3/15)。
ロバート・ケリー准教授は韓国政治の専門家。 Robert Kelly — Asian Security Blog というページもあるのですね。
》 経産省作成のクールジャパン促進パンフ「世界が驚くニッポン!」が電波を発信しすぎて全然クールじゃない (Buzzap!, 3/14)。あまりにひどいので世界が驚く、ということか。
クールジャパン商材・サービスの根幹となる日本の伝統的な価値観をまとめたコンセプトブックを取りまとめました〜世界が驚くニッポン!〜 (経産省, 3/8)
経産省狂うジャパン・文化軽便クラブ増田宗昭の支配ここに極まれり (togetter, 3/13)
》 DeNAの「WELQ」の恐るべき運営実態・記事作成マニュアル・ブラッシュアッププロジェクトなどがわかる300ページ突破のすごい調査報告書がダウンロード可能に (gigazine, 3/13)
》 アスクル倉庫火災 防火シャッターの一部作動せず (NHK, 3/14)
倉庫の2階では、防火シャッターの一部が全く動いていなかったほか、一部はベルトコンベヤーのつなぎ目が障害となって閉まりきっていなかった (中略) 火災が起きると、ベルトコンベヤーのつなぎ目が自動的に折りたたまれて、防火シャッターが床まで降りる仕組みになっていますが、今回の火災では、こうした仕組みが機能していなかったと見られる
》 プロフェッショナルSSL/TLS(紙書籍+電子書籍) (Lambda Note)。Bulletproof SSL and TLS の邦訳。3/31 発行、電子版は 3/15 から発売中。 (記述修正: 鹿野さん、齋藤さん感謝)
》 令状のないGPS捜査「違法」 最高裁が初めての判断 (朝日, 3/15)、 令状なしGPS捜査は違法=新たな立法措置望ましい-最高裁が初判断 (時事, 3/15)
》 Active Directoryに対する攻撃の検知と対策手法のドキュメント、JPCERT/CCが公開 (Internet Watch, 3/14)、 ログを活用したActive Directoryに対する攻撃の検知と対策 (JPCERT/CC, 3/14)
》 公開近づく「iOS10.3」、アップデート前に絶対すべきこと (iPhone Mania, 3/14)。バックアップを取れ、アップデート時間を十分取れ。
iOSを10.3にアップデートすると、内部のファイルフォーマットがHFS+からAPFSへと自動的に書き換えられます。万が一、アップデートを途中で不用意に中断してしまうと、データが失われ、元に戻せない可能性があります。
少なくともまる 1 日くらいは様子を見て、ヒトバシラーのみなさんの報告を待った方がよさげかな。
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)
被害事例: GMOペイメントゲートウェイ
不正アクセスに関するご報告と情報流出のお詫び (GMOペイメントゲートウェイ, 2017.03.10)
都税クレジットカードお支払サイト: クレジットカード番号等 676,290 組
住宅金融支援機構 団信特約料クレジットカード払いサイト: セキュリティコードを含む、クレジットカード番号等 43,540 組
セキュリティ基準「PCI DSS」 認証データは削除しなければならない (日経 IT Pro, 2008.06.24)
3.2.2 非対面取引の確認に使用されるカード・バリデーション・コード(カードの前面もしくは裏面に印刷された3桁または4桁の値)を保存しない。
PCI Security Standards Council には PCI DSS v3.0 の日本語版がある。
セキュリティコンプライアンス > PCIDSS (GMOペイメントゲートウェイ)
当社のサービスは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準PCIDSS Ver3.2 に完全準拠しております。
「PCIDSS Ver3.2 完全準拠」との主張は現実と整合していないことが明らかに。 GMO ペイメントゲートウェイ運営サイトの利用者は注意されたい。
「都税クレジットカードお支払サイト」への不正アクセスに関するお知らせ (東京都主税局, 2017.03.14)
対象者へのご連絡
今後、文書にて個別にご連絡させていただく予定です。
電話連絡は行いませんので、主税局やGMO等をかたる電話があった場合はご注意ください。
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について (住宅金融支援機構, 2017.03.10)。対象者への連絡方法については記載がない。
「再発防止委員会」の設置について (GMOペイメントゲートウェイ, 2017.03.14)。 第三者委員会じゃないんだ……。
「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか (高木浩光@自宅の日記, 2017.03.10)
被害事例: 日本郵便マイページサービス
「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について (日本郵便, 2017.03.14)。国際郵便マイページサービスで作成した送り状 1,104 件、登録電子メールアドレス 29,116 件。
今月はちゃんと出ました。 Exchange Server 2013 / 2016 の修正 (MS17-015) や IIS の修正 (MS17-016)、 ADFS の修正 (MS17-019) も含まれています。 Hyper-V の修正 (MS17-008)、 ゲスト OS からホスト OS を攻撃できる欠陥あるなあ。
Windows 10 バージョン1607 / Windows Server 2016 用の更新プログラム KB 4013429 に、Microsoft DTV-DVD Decoder ライブラリーを使用するプログラム (例: Windows DVD プレイヤー) が crash する不具合があったそうで。 KB 4015438 で修正されているそうです。
「Windows DVD プレイヤー」がクラッシュする不具合などを修正する更新プログラム「KB4015438」、Windows 10/Windows Server 2016向けに20日より公開 (Internet Watch, 2017.03.21)
Windows 10の累積的アップデートKB4015438でもインストール問題がまたまた発生か? (ソフトアンテナブログ, 2017.03.21)。KB 4015438 でも直ってないという報告もあるようで。
あと、KB 4013073 (3 月の MS17-006 IE 11 累積的セキュリティ更新) を適用すると Dynamics CRM 2011 のフォームがうまく動かないのだそうで。 KB 4016446 で修正されています。
関連:
Detecting and mitigating elevation-of-privilege exploit for CVE-2017-0005 (Microsoft Malware Protection Center Blog, 2017.03.27)。 MS17-013 - 緊急: Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (4013075) に含まれる件。
CVE-2017-0022: Microsoft Patches a Vulnerability Exploited by AdGholas and Neutrino (TrendLabs Security Intelligence Blog, 2017.03.24)。 MS17-022 - 重要: Microsoft XML Core Services 用のセキュリティ更新プログラム (4010321) に含まれる件。
Shockwave Player 12.2.8.198 公開。権限上昇を招く 1 件のセキュリティ欠陥 CVE-2017-2983 を修正。
Flash Player 25.0.0.127 公開、Flash Player 24 系列は終了。 7 件のセキュリティ欠陥 CVE-2017-2997 CVE-2017-2998 CVE-2017-2999 CVE-2017-3000 CVE-2017-3001 CVE-2017-3002 CVE-2017-3003 を修正。0-day はないみたい。
関連: Adobe、「Adobe Flash Player 25」を正式公開。7件の脆弱性を修正する月例更新 (窓の杜, 2017.03.15)
》 Googleの新たなreCAPTCHAは文字入力も画像選択も不要な「不可視」仕様 (gigazine, 3/10)
》 増長する「ランサムウェアビジネス」、2016年の脅威動向を分析 (トレンドマイクロ セキュリティ blog, 3/2)
》 「虐待と脳 回復の手だては」(視点・論点) (友田 明美 / NHK 解説委員室, 3/6)
》 「原発事故6年 廃炉を加速させるには」(時論公論) (水野 倫之 / NHK 解説委員室, 3/7)
》 セキュリティテスト「ファジング」入門セミナー開催のご案内 (IPA, 3/6)。2017.03.23、東京都文京区、1000円。
》 impfuzzyとネットワーク分析を用いたマルウエアのクラスタリング 〜impfuzzy for Neo4j〜(2017-03-10) (JPCERT/CC, 3/10)
》 中国の対艦弾道ミサイル(ASBM)の現状 (海国防衛ジャーナル, 3/4)
》 北朝鮮が4発の弾道ミサイルを日本海へ発射 BMDが直面する課題 (海国防衛ジャーナル, 3/6)
》 Windows Update が利用するプロキシ設定について (Japan WSUS Support Team Blog, 3/2)
Windows 10 からは Windows Update の自動更新でも、ユーザーがログオンしていてそのユーザーに紐づいたプロキシ設定がある場合、ユーザーのプロキシ設定を利用するように変更を加えております
》 DTraceの使い方 その10 (BSD界隈四方山話, 3/10)。ssh でキーロガー。
》 Hyper-V ホスト OS からの仮想マシン バックアップ失敗後、失敗の原因を取り除いた場合でもバックアップに再度失敗する (Ask CORE, 2/27)
仮想マシン内部の VSS Writer が原因でホスト OS からのバックアップが失敗した場合は、次回のバックアップの実行前に以下の手順にて手動で vmicvss サービスの再起動を実施ください。
本手順はバックアップの再実行前に仮想マシン内部より実行します。
》 韓国憲法裁 朴大統領の罷免決定=60日以内に大統領選 (聯合ニュース, 3/10)。きましたね。韓国民主主義の勝利。
[韓国大統領罷免]朴槿恵氏 年金など礼遇資格剥奪 (聯合ニュース, 3/10)
朴大統領の罷免決定 裁判官8人全員が賛成=韓国憲法裁 (聯合ニュース, 3/10)
[韓国大統領罷免]危機の連続だった朴槿恵政権 4年12日で幕下ろす (聯合ニュース, 3/10)。「1987年に現在の憲法が定められて以降、5年の任期を満了できずに終えた初の政権」。
Chrome 57.0.2987.98 公開。36 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
SEP 12.1.6 MP7 / SEP 14.0 MP1、セキュリティ更新ありだったのか。
local user による権限上昇 (SEP 12.1.6 MP6 以前のみ) CVE-2016-9093
検疫ログを .csv ファイルとして export したときに、ファイルのメタデータが式として評価される CVE-2016-9094
まとめておいた方がよさそうなので。
震源地:
Vault 7: CIA Hacking Tools Revealed (WikiLeaks)
IT ベンダー等からの情報:
CHIPSEC Support Against Vault 7 Disclosure Scanning (McAfee, 2017.03.08)
WikiLeaks dump shows CIA can use IoT to hack ‘anything, anywhere’ (Sophos, 2017.03.07)
Apple, Google, And The CIA (F-Secure, 2017.03.09)
FAQ Related To CIA WikiLeaks Docs (F-Secure, 2017.03.09)
報道など:
WikiLeaks、CIAの“ハッキングツール”と多数の関連文書を公開 (ITmedia, 2017.03.08)
「自動車をハッキングして暗殺する」「テレビで部屋の会話を録音する」などCIAの極秘諜報作戦の実態を暴露する機密資料「Vault 7」をWikiLeaksが放出 (gigazine, 2017.03.08)
「CIAハッキングの脆弱性のほとんどは対応済み」とGoogleやAppleは公表するものの依然として危険な状態は続いている (gigazine, 2017.03.10)
WikiLeaks Dumps Docs on CIA’s Hacking Tools (Krebs on Security, 2017.03.08)
WikiLeaks: We’ll Work With Software Makers on Zero-Days (Krebs on Security, 2017.03.09)
関連:
暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編) (ZERO/ONE, 2017.04.03)
暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編) (ZERO/ONE, 2017.04.04)
暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編) (ZERO/ONE, 2017.04.05)
関連:
ハッカーグループShadow Brokers、NSAの機密情報を大量に公表 (techcrunch, 2017.04.11)
CVE-2017-3881 Cisco Catalyst RCE Proof-Of-Concept (Artem Kondratenko, 2017.04.10)
関連:
CIAのハッキングツール「Archimedes」についての情報をWikiLeaksが公開 (gigazine, 2017.05.08)
WikiLeaks、Windows 用マルウェア AfterMidnight と Assassin の情報を公開。
AfterMidnight (WikiLeaks, 2017.05.12)
The main controller disguises as a self-persisting Windows Service DLL and provides secure execution of "Gremlins" via a HTTPS based Listening Post (LP) system called "Octopus".
WikiLeaks、Windows 用マルウェア Athena の情報を公開。
Athena (WikiLeaks, 2017.05.19)
WikiLeaks、CIAのマルウェア「Athena」を暴露--Windows標的 (ZDNet, 2017.05.23)
WikiLeaks、Windows 用マルウェア Pandemic の情報を公開。
Pandemic (WikiLeaks, 2017.06.01)
WikiLeaks、CIAのファイルサーバ潜入ツール「Pandemic」に関する文書を公開 (ITmedia, 2017.06.05)
WikiLeaks、WiFi ルーターやアクセスポイントのファームウェアを書き換えて中間介入攻撃を実施する Cherry Blossom の情報を公開。
Cherry Blossom (WikiLeaks, 2017.06.15)
Wi-Fiルーターのファームを書き替えてハッキングツールにするCIAの知られざる手法「Cherry Blossom」がWikileaksの文書から明るみに (gigazine, 2017.06.16)
CIA、Wi-Fiルーターから無断で通信を傍受するツールを開発していた (iphone Mania, 2017.06.16)
関連:
Brutal Kangaroo (WikiLeaks, 2017.06.22)。closed network に侵入するためのツール。 Stuxnet に類似。
Elsa (WikiLeaks, 2017.06.28)。WiFi を使って、感染した PC の位置を判定・記録する (だけ)。感染およびデータの回収には別のツールを用いる。
OutlawCountry (WikiLeaks, 2017.06.30)。 Linux で動作。 CentOS/RHEL 6.x 用 kernel モジュールによって不可視の netfilter テーブルを構築、標的 PC の外向けトラフィック全てを CIA にリダイレクト。
BothanSpy、Gyrfalcon (WikiLeaks, 2017.07.06)。 BothanSpy は Windows 用の SSH クライアント Xshell を標的とし、 アクティブ SSH セッションの認証情報を取得。 Shellterm 3.x 用の機能拡張。 (Shellterm というのは、別の CIA ツールみたい)
Gyrfalcon は Linux 上の OpenSSH クライアントを標的とし、 アクティブ SSH セッションの認証情報を取得する他に、 OpenSSH セッショントラフィックを収集できる。 CIA 製のルートキット (JQC/KitV) を使ってインストール・設定する。
Highrise (WikiLeaks, 2017.07.13)。 Android 4.0〜4.3 用の SMS アプリ。SMS proxy として動作。
UCL / Raytheon (WikiLeaks, 2017.07.19)。
They mostly contain Proof-of-Concept ideas and assessments for malware attack vectors - partly based on public documents from security researchers and private enterprises in the computer security field.
Imperial (WikiLeaks, 2017.07.27)、 CIAがMac・Linux用バックドア・ルートキットを設置する3つのハッキングツール開発が暴露されて発覚 (gigazine, 2017.07.28)。
》 第32回まっちゃ139勉強会。 2017.04.23 (日)、大阪府大阪市、一般 1000 円・学生無料。
》 「長靴業界儲かった」おんぶで被災地視察・務台俊介政務官がふたたび謝罪 (ハフィントンポスト, 3/9)。またですか。
異例 無修正わいせつ動画巡り、AV女優や男優逮捕 (日刊スポーツ, 3/2)。芸能プロダクション「ディクレア」、わいせつ電磁的記録頒布ほう助容疑。
無修正わいせつ動画 サイト制作担当者を逮捕 警視庁 (毎日, 3/9)。カリビアンコムのサイト制作担当者、わいせつ電磁的記録等送信頒布容疑。
》 日本学術会議「安全保障と学術に関する検討委員会」新声明案
安全保障と学術に関する検討委員会 (日本学術会議)
軍事研究禁止を継承 学術会議検討委、新声明案を了承 (朝日, 3/8)
日本学術会議 軍事研究、大学が審査 要求、歯止め狙う 半世紀ぶり声明案 (毎日, 3/8)
「軍事研究はしない」軍学分離堅持4割 95大学調査、方針転換支持ゼロ (東京, 3/5)
Apache Struts 2.3.5〜2.3.31 / 2.5〜2.5.10 に 0-day 欠陥。 標準で multipart/form-data 形式リクエストを処理する Jakarta Multipart parser に欠陥があり、remote から任意のコードを実行できる。 既に各所で攻撃が観測されている。iida さん情報ありがとうございます。
Apache Struts 2.3.32 / 2.5.10.1 で修正されている。 また Jakarta Multipart parser ではないパーサを使用することで回避できる。 選択肢として挙げられているのは:
Struts 2.3.18 以降に標準で付属する JakartaStreamMultiPartRequest。
struts.xml で
<constant name="struts.multipart.parser" value="jakarta-stream" />
と設定することで利用できる。
2017.03.21 追記: JakartaStreamMultiPartRequest にも同様の欠陥が発見された S2-046。この方法は機能しない。 これについても 2.3.32 / 2.5.10.1 で修正されている。
2017.03.21 追記: https://github.com/apache/struts-extras にある Secure Jakarta Multipart parser plugin / Secure Jakarta Stream Multipart parser plugin。
関連:
Struts2の脆弱性 CVE-2017-5638 (S2-045)についてまとめてみた (piyolog, 2017.03.07)
Content-Type: Malicious - New Apache 0-day Under Attack (Cisco's Talos Intelligence Group Blog, 2017.03.08)
被害事例: GMOペイメントゲートウェイ
不正アクセスに関するご報告と情報流出のお詫び (GMOペイメントゲートウェイ, 2017.03.10)
都税クレジットカードお支払サイト: クレジットカード番号等 676,290 組
住宅金融支援機構 団信特約料クレジットカード払いサイト: セキュリティコードを含む、クレジットカード番号等 43,540 組
セキュリティ基準「PCI DSS」 認証データは削除しなければならない (日経 IT Pro, 2008.06.24)
3.2.2 非対面取引の確認に使用されるカード・バリデーション・コード(カードの前面もしくは裏面に印刷された3桁または4桁の値)を保存しない。
PCI Security Standards Council には PCI DSS v3.0 の日本語版がある。
セキュリティコンプライアンス > PCIDSS (GMOペイメントゲートウェイ)
当社のサービスは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準PCIDSS Ver3.2 に完全準拠しております。
「PCIDSS Ver3.2 完全準拠」との主張は現実と整合していないことが明らかに。 GMO ペイメントゲートウェイ運営サイトの利用者は注意されたい。
「都税クレジットカードお支払サイト」への不正アクセスに関するお知らせ (東京都主税局, 2017.03.14)
対象者へのご連絡
今後、文書にて個別にご連絡させていただく予定です。
電話連絡は行いませんので、主税局やGMO等をかたる電話があった場合はご注意ください。
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について (住宅金融支援機構, 2017.03.10)。対象者への連絡方法については記載がない。
「再発防止委員会」の設置について (GMOペイメントゲートウェイ, 2017.03.14)。 第三者委員会じゃないんだ……。
被害事例: 日本郵便マイページサービス
「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について (日本郵便, 2017.03.14)。国際郵便マイページサービスで作成した送り状 1,104 件、登録電子メールアドレス 29,116 件。
被害事例: 沖縄電力 停電情報公開サービス
沖縄電力のStruts2稼動サイトに不正アクセス、約6500件のメールアドレス流出か (日経 IT Pro, 2017.03.16)
当社Webサイトへの不正アクセスによるコンテンツの改ざんおよびお客さまEメールアドレス等の流出の可能性について (沖縄電力, 2017.03.15)
あとこれ:
GMOペイメントゲートウェイ情報流出お詫びページがNOINDEXな件 (怒なしメガネをかけて, 2017.03.16)
JakartaStreamMultiPartRequest にも同様の欠陥が発見された S2-046。JakartaStreamMultiPartRequest を利用する回避方法は機能しない。 これについても Struts 2.3.32 / 2.5.10.1 で修正されている。
S2-046 - Possible RCE when performing file upload based on Jakarta Multipart parser (similar to S2-045)。 CVE-2017-5638
Struts2-046: A new vector (alvaro_munoz / hpe.com, 2017.03.20)
S2-046-PoC (GitHub)
また S2-046 では、回避策として Apache Struts 2 Secure Jakarta Multipart parser plugin / Secure Jakarta Stream Multipart parser plugin が紹介されている。
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (JPCERT/CC) も改訂されている。
被害事例: JINS
JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害 (日経 IT Pro, 2017.03.24)
当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) (JINS, 2017.03.24)。漏れてから対策済言われても。
住宅金融支援機構の続報:
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて<続報> (住宅金融支援機構, 2017.03.17)
(※)セキュリティコード及びメールアドレスにつきましては、団信クレジット払い専用サイトによりクレジットカード払いの申込みを行ったお客さまに限り流出したおそれがあります。
被害事例: 総務省 e-Stat「地図による小地域分析(jSTAT MAP)」
地図による小地域分析(jSTAT MAP) (e-stat.go.jp)。
地図による小地域分析(jSTAT MAP)における不正アクセス (総務省, 2017.04.13)
総務省、Struts2の脆弱性を突かれて2.3万人の個人情報流出か (日経 IT Pro, 2017.04.14)
GMO ペイメントゲートウェイの件。
都税 クレジットカードお支払サイト。 2017.04.24 から再開予定。
「団体信用生命保険特約料クレジットカード支払いサイト」はまだ再開未定。
GMOペイメントゲートウェイ株式会社に対して個人情報保護法に基づく報告を求めました (経産省, 2017.03.24)。締切 2017.04.24 だったが、2017.04.17 に提出したそうです。
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について<続報3> 「現在の対応状況及び不正取得された件数について」 (住宅金融支援機構, 2017.04.19)。件数が確定。
GMO ペイメントゲートウェイ方面。
再発防止委員会の調査報告等に関するお知らせ (GMO ペイメントゲートウェイ, 2017.05.01)
GMO-PGの情報流出、「脆弱性対応やリスク管理に問題あり」と報告書で指摘 (ZDNet, 2017.05.02)
GMO-PGさんに対する不正アクセスの調査報告書を読んで… (wakatonoの戯れメモ, 2017.05.04)
NICT 方面。
Apache Struts2の脆弱性を悪用した不正アクセスについて (NICT, 2017.05.02)
止まらぬStruts2脆弱性被害、情報通信研究機構が378人分の個人情報漏洩の恐れ (日経 IT Pro, 2017.05.09)
GMO ペイメントゲートウェイ方面。
Struts2脆弱性事故のGMO-PGを直撃、事故報告書の疑問に答える (日経 IT Pro, 2017.05.23)
徳丸浩氏が斬る2017情報流出事案 (@IT, 2017.05.30)
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムの不正アクセス及び個人情報流出について<続報4> 「団信特約料クレジットカード払い専用サイトの再開について」 (住宅金融支援機構, 2017.06.05)
被害事例: 国土交通省 土地総合情報システム。
「土地総合情報システム」における不正アクセスおよび情報流出の可能性について (国土交通省, 2017.06.06)
またもStruts2脆弱性被害、国交省で約20万件の情報流出か (日経 IT Pro, 2017.06.06)
サイトを運営する国交省の土地・建設産業局不動産市場整備課によれば、同サイトの運営委託業者に調査を依頼して、同サイトがStruts2を使っていると判明したのは3月上旬。2017年度の予算で脆弱性対策とタブレット対応などの機能追加を図るとし、5月に運営委託会社のグループ会社と契約。システム改修に着手したところ、6月2日に同サイトに悪意のあるプログラムが仕込まれているのが判明。同日午後4時に同サイトを停止した。
Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち (スラド, 2017.06.07)
》 安倍総理のメルマガ訴訟、菅元総理に「完全勝利」?〜荻上チキが判決文を読む【音声配信&判決文の全文をPDF掲載】 (TBS ラジオ 荻上チキ・Session-22, 3/1)。台湾沖航空戦ですか。
》 DNSクエリにPowerShellコマンドを乗せて運ぶ攻撃を確認 (マイナビニュース, 3/7)、 Covert Channels and Poor Decisions: The Tale of DNSMessenger (Cisco's Talos Intelligence Group Blog, 3/2)
》 「Windows 10 Creators Update」リリース迫る--気になる変更点をまとめてチェック (ZDNet, 3/8)。あと 1 か月くらい?
》 その知識、ホントに正しい? Windowsにまつわる都市伝説(78): Adobe Flash Playerの緊急のセキュリティ更新をサーバにインストールできない? (@IT, 3/8)
》 VRを悪用すれば「相手を洗脳できる」「数千人を嘔吐させられる」 「サマーレッスン」開発者がリスク指摘 (ITmedia, 3/6)。VR って本質的にそういう技術だからなあ。
》 再配達削減へ 新型宅配ボックス、パナソニックから (ITmedia, 3/7)
》 HotmailなどMicrosoftアカウントで大規模障害発生(現在は復旧) (ITmedia, 3/7)
》 WikiLeaks、CIAの“ハッキングツール”と多数の関連文書を公開 (ITmedia, 3/8)、 Vault 7: CIA Hacking Tools Revealed (WikiLeaks)
》 海の向こうの“セキュリティ” ソフトウェアの更新は定期的な方が効果的 ほか (Internet Watch, 3/7)
》 ゲーム理論で無線LAN APの電波状況を最適化できるか? アライドテレシスと京都大学が実証実験 (クラウド Watch, 3/4)。アライドテレシスの AWC、製品投入の段階に来たそうで。
》 上海問屋、Windows Hello対応のUSB指紋認証リーダー発売 (Internet Watch, 3/3)。税込 4999円。
Linux カーネル 2.6.31 以降に欠陥。n_hdlc カーネルドライバ drivers/tty/n_hdlc.c (または drivers/char/n_hdlc.c) に欠陥があり、local user による権限上昇が可能。 syzkaller を使った fuzzing によって発見されたそうで。 CVE-2017-2636
Linux カーネルに対しては 2017.02.28 付で修正されたそうで。 各ディストリからも対応パッケージが公開されている。
面さん情報ありがとうございます。
いろいろ (2017.01.07) SKYSEA Client View
脆弱性(CVE-2016-7836)問題のご連絡 SKYSEA Client View アップデートのお願いと最新版リリースのご案内 (Sky, 2017.03.08)
本脆弱性を使用した攻撃活動が、引き続き観測されております。
「攻撃活動が、引き続き観測」って……。 元の文書 では「組織外のサーバーから不正なパケットを受信する事例が確認」という、 あいまいな表現でしたよね。 JPCERT/CC の注意喚起 では「本脆弱性を悪用した攻撃活動が観測」と明記してあったわけですが。
出ました。
リリースノート: Firefox 52.0、 ESR 45.8.0、 Android 版 Firefox 52.0。 Firefox 52 ではこんな内容が:
安全でない HTTP サイトによる「secure」属性付き Cookie の設定を禁止する Strict Secure Cookies 仕様を実装しました。場合によっては、安全でないサイトが同じベースドメインから発行された既存の「secure」な Cookie と同名の Cookie を設定することも禁止されます。
ESR 45 系列は次回の 45.9 で終了。 ESR 52 はまだ公開されていないようだけど、近々に用意されると思う。
Firefox 52 と ESR 52 の違いについては、法人向け: Firefox 延長サポート版のリリース (mozilla-japan, 2017.03.09) を参照。
なお、Windows XP および Windows Vista のサポートは今後 ESR のみとなるため、通常版 Firefoxユーザーは ESR 52 へと移行されます。
また、通常版の Firefox 52 と Firefox 52 ESR との間には以下の違いがあります:
- (中略) ESR では xpinstall.signatures.required 設定を false に変更することで署名の無いアドオンのインストールも可能です
- (中略) Service Worker、プッシュ通知、WebAssembly (中略) ESR 52 では有効化していません
- (中略) ESR では従来通り Flash 以外のプラグインも利用可能です (これは今回のみの経過措置で、来年リリース予定の ESR 59 では動作しなくなる可能性が高いのでご注意ください)
セキュリティアドバイザリ: Firefox、 Firefox ESR。 計 28 件の欠陥を修正。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
あわせて Thunderbird 45.8.0 も公開されました: リリースノート、 ダウンロード
関連: Firefoxは2017年も変則的なリリース間隔を採用 (Mozilla Flux, 2016.09.18)
Firefox 52.0.1 / ESR 52.0.1 出ました。Pwn2Own で公開された欠陥が修正されています。iida さん情報ありがとうございます。
MFSA 2017-08 - createImageBitmap() における整数オーバーフロー (mozilla-japan.org, 2017.03.17)
Firefox 52.0.1 リリースノート (mozilla.jp, 2017.03.17)
Firefox 52.0.1、Firefox for Android 52.0.1 がリリースされた (MozillaZine, 2017.03.20)。「Firefox ESR 45.8.0 はこの問題の影響を受けない」
Firefox 52.0.2 / ESR 52.0.2 出ました。セキュリティ修正は含まないようです。
Firefox 52.0.2 リリースノート (mozilla.jp, 2017.03.28)
》 アンドレイ・ナバショーラフ氏に再審無罪判決、ただしおとり捜査には全く触れられず
おとり捜査で服役、ロシア人男性の再審開始へ 無罪訴え (朝日, 2/21)
ロシア人男性、再審無罪へ 北海道警「おとり捜査」公判 (朝日, 2/23)
ロシア人男性に無罪判決 北海道警「おとり捜査」再審 (朝日, 3/7)
「おとり捜査で有罪に」ロシア人に再審で無罪判決 (NHK, 3/7)
》 スパム業者がバックアップミスでデータベース全公開、13億件以上のメールアドレスを持ち1日に数億件のスパムを送りつけ荒稼ぎする実態が判明 (gigazine, 3/7)
WordPress 4.7.3 公開。6 件のセキュリティ欠陥を修正。
》 ユニクロだけじゃない 潜入記者が見たヤマト運輸物流崩壊 〜Amazonの荷物を運ぶようになってから……〜 - 横田 増生 (文春オンライン / BLOGOS, 3/2)
ヤマトの労働環境が急激に悪化したのは2013年、アマゾンの荷物を運ぶようになってからだ。(中略) 昨年、ヤマトを辞めた2人のベテラン・ドライバーも「アマゾンがなければ、辞めなかっただろう」と口を揃えていた。
》 ユニクロ、企業秘密だった「海外の取引工場」公表…潜入ルポ・横田氏が指摘する課題 (弁護士ドットコム, 3/6)
ユニクロのリスト公表について、横田氏は「世界的に見れば、対応が遅すぎる。公表の流れを受けて、対応を余儀なくされたと見るべきでしょう。一方で日本に限定すれば先駆的。国内だとユニクロ以外は聞いたことがありません」と語る。
うわあ、そんな状況なのか。関連:
ユニクロ潜入が話題 横田増生氏が明かす日本企業の光と影 (日刊ゲンダイ, 1/30)
横田氏、カンボジアのユニクロ下請け工場に潜入 (文春オンライン, 2/1)
ファーストリテイリンググループ サステナビリティポリシーとユニクロ主要取引先工場リストの公開について (ファーストリテイリング, 2/28)
ユニクロ、縫製工場リスト公開 労働環境改善の要望受け (朝日, 3/1)
ヤマハ RTX1210 の一部 (製造番号 S4H071236〜S4H086240、梱包箱に「A4A2」と記載されているもの) において、ファームウエア更新作業を 5 回実施すると、起動しなくなる欠陥。しかしファームウエアそのものの欠陥ではない。
「RTX1210」のフラッシュROM上のファイルエントリー(メモリー上の各ファイルの記録位置情報)記載をしている特定エリアに、不正値が入っていた事が原因で、「RTX1210」のハードウェアおよびファームウェアに問題はありません。
当該不整値を除去するツールが公開されているので、ファームウエア更新作業を行う前に適用すればよい。欠陥が発現している場合は引き取り修理となる。
Summary of the Amazon S3 Service Disruption in the Northern Virginia (US-EAST-1) Region (Amazon)
AWS、S3の大惨事の原因を公開―ヒューマンエラーが発端だった (techcrunch, 3/3)
ジョーのエラーは決定的に重要なサブシステムを停止してしまい、センターのデータ保存能力の大きな部分を失わせた。(中略) システムは再起動を余儀なくされたが、この間S3はリクエストを処理することができなくなった。 (中略) 再起動をかけるとシステムは安全性のチェックとメタデータの整合性の確認を始めた。ところがこれは予想外に時間を必要とした。
インターネットを大混乱に陥れたAmazonのAWSがダウンした理由は「キーの打ち間違い」 (gigazine, 3/3)
AWS S3の長時間サービス停止の原因はエンジニアの入力ミス (ITmedia, 3/3)
》 フィリピンで発見された「グロブスター(海岸に漂着する謎の肉塊)」フサフサの毛の正体は繊維? (togetter, 3/2)。クジラの死体らしい。
「TBS『ビビット』にヤラセを頼まれた」とホームレス男性が証言 (水島宏明 / Yahoo, 2/27)
TBS「ビビット」ホームレス報道で謝罪 不適切な表現や取材方法 (スポニチアネックス / Yahoo, 3/3)
白熱ライブ ビビット (TBS)。日付も責任者名もない謝罪文。いかにも、すぐ消されそうな雰囲気。
》 19歳の高専生がランサムウェア被害PC復元ソフトの開発目指す ラックが支援 (ITmedia, 3/2)
》 MOTEX、ネットセキュリティの原理原則をまとめた「セキュリティ 7つの習慣・20の事例」無償公開、社内・学校の講師用資料も付属 (Internet Watch, 2/27)
》 芸能人が事務所をやめるとき 〜“契約解除”トラブルの背景を追う〜 (NHK クローズアップ現代, 3/1)
》 Twitter、ミュート機能をタイムラインにも拡大、嫌がらせアカウントに対しては自動で機能制限するなど対策を強化 (Internet Watch, 3/2)
》 米ヤフー、不正アクセス被害は3200万件--偽造クッキーでログイン (CNET, 3/2)
》 先駆者に聞く、「バグ報奨金制度」のメリットと課題 (@IT, 3/2)。サイボウズ、LINE、ピクシブ。
AWS S3 US-EAST-1がダウン、アメリカは大混乱―Amazonは原因を突き止めたらしい (techcrunch, 3/1)
AmazonのAWS「S3」に障害が発生してネットは大混乱、復旧されるも影響は残っている模様 (gigazine, 3/1)
AWSのS3(US-EAST-1)がダウンでMediumやImgurなど多数のサービスに影響 (ITmedia, 3/1)
アスクル倉庫火災、ようやく鎮火 発生から12日 (ITmedia, 2/28)、 最新の情報について (アスクル, 3/1)。2/28 17 時に鎮火。
アスクル火災「リフト車輪が空転して煙」 作業員が話す (朝日, 3/2)。これが原因かどうかはまだ不明。
アスクル火災 少ない窓が消火活動の支障に 三芳で実況見分始まる (東京, 3/2)
アスクル火災、2階につながる穴が延焼経路か 地元消防組合が県警などと合同で原因調査 (読売 / 東洋経済, 3/2)
》 次期Windows 10に、ストア以外から入手したアプリを「禁止する」新機能 (PC Watch, 2/28)
ESET の Mac 向けエンドポイント製品に欠陥。
ESET Cyber Security、ESET Cyber Security Pro 6.3.70.1 以前
ESET Endpoint Antivirus for macOS、ESET Endpoint Security for macOS 6.3.85.1 以前
に複数の欠陥があり、攻略 XML ファイルによって root 権限で任意のコードが実行される、などの状況が発生し得る。
ESET Cyber Security、ESET Cyber Security Pro 6.4.128.0 以降
ESET Endpoint Antivirus for macOS、ESET Endpoint Security for macOS 6.4.168.0 以降
で修正されている。
ただし、キヤノン IT ソリューションズからは、このように案内されている。
Mac向けプログラムで報告されている脆弱性への対応状況について (キヤノン IT ソリューションズ, 2017.03.02)
欠陥あり ESET Endpoint 製品はこちら:
ESET Cyber Security、ESET Cyber Security Pro V6.3 以前
ESET Endpoint Security for OS X V6.3 以前、 ESET Endpoint アンチウイルス for OS X V6.3 以前
ESET NOD32アンチウイルス for Mac は非対象。欠陥が修正されたのは:
ESET Cyber Security、ESET Cyber Security Pro: まだ修正作業中
ESET Endpoint Security for OS X、ESET Endpoint アンチウイルス for OS X: V6.4 以降
linux kernelに特権昇格の脆弱性( CVE-2017-6074 ) (2017.02.24)
CVE-2017-6074 - 脆弱性調査レポート (ソフトバンク・テクノロジー, 2017.03.01)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)