Last modified: Thu Mar 21 17:54:44 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 中国政府がチャイナテレコムを通してBGPハイジャックを実行--研究者が指摘 (CNET, 10/29)、 China hijacking internet traffic using BGP, claim researchers (Sophos, 10/30)
》 韓国軍、セウォル号沈没の関係者を盗聴 世論沈静化狙い (朝日, 11/7)。「韓国軍特別捜査団が6日、発表した」
》 NHKスペシャル「アウラ 未知の部族 最後のひとり」 (NHK)。2018.12.16 放送予定。関連:
沢木耕太郎 アマゾン思索紀行 隔絶された人々 イゾラド (NHK, 2003.06.22)
NHKスペシャル 大アマゾン 最後の秘境 第4集「最後のイゾラド 森の果て 未知の人々」 (NHK オンデマンド)。2016.08.07 放送。
国分拓ディレクター・独占インタビュー 文明と接触したことのない原住民「イゾラド」を初めて撮影したNスペがすごいことに! (クーリエ・ジャポン, 2016.08.04)。放送前のインタビュー。
ピエール瀧と赤江珠緒『大アマゾン 最後のイゾラド』を語る (miyearnZZ Labo, 2016.09.01)
今夜は「イゾラド論」。TBSラジオ27時〜「東京ポッド許可局」。 (プチ鹿島, 2016.09.03)
ノモレ (国分拓 / 新潮社)。上記番組に関連する書籍。
『ノモレ』未知の先住民イゾラドとの100年越しの再会 (HONZ, 7/4)
番組では、素っ裸で弓矢を持つイゾラドに村人たちが接触する様子が映し出され、その光景には衝撃を受けた。この時に、チョイ役のような感じで登場していたロメウ。彼こそがイゾラドを理解するための重要なキーパーソンであり、本書の主人公だ。
文明を知らないアマゾンの裸族「イゾラド」が今も探し続けているものとは 角幡唯介が『ノモレ』(国分拓 著)を読む (文春オンライン, 7/30)
ペルー先住民の謎に包まれた姿追う ノンフィクション「ノモレ」 (朝日, 8/18)
『ノモレ』 国分拓著 (森健 / 読売, 8/20)
》 がん治療・美容整形のネット広告、大手事業者がルール厳格化へ 違法のおそれに対応 (BuzzFeed, 11/30)
》 ホームセンター全焼、ボタン電池から出火か (毎日, 11/30)。コーナン千里山田店の火災の件。
28日午前6時半ごろ、1階サービスカウンター近くの棚に置いていたポリ袋から火花が散り、周囲に燃え移る様子が店内の防犯カメラに映っていた。ボタン電池は商品の防犯タグに付いていたもので、店員がタグから外し、むき出しのままポリ袋に入れていたとみられる。
うわあ。絶縁してませんでした系ですか……。
関連: 乾電池・リチウム一次電池 廃棄方法 (電池工業会)
》 有名「npm」パッケージに仮想通貨を盗むコードが混入 ~「Visual Studio Code」拡張機能にも (窓の杜, 11/28)
》 Linux を狙う仮想通貨発掘マルウェアを確認、ルートキットを利用し活動を隠ぺい (トレンドマイクロ セキュリティ blog, 11/27)
》 「電動車いすで飲酒ダメ」警察庁マニュアルに障害者団体が抗議 団体側と警察に見解聞いた (ねとらぼ, 11/28)。法律上、歩行者扱いのはずなのに。
》 今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説 (マカフィー, 11/27)
》 諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について (金融庁, 5/16)
》 関電3原発、火山灰想定を再評価へ 「過小」の可能性 (朝日, 11/21)、 3原発、異例の再評価へ 降灰量の想定見直し 規制委方針 (朝日, 11/22)。美浜、大飯、高浜。
関電は3原発の敷地内での降灰量を厚さ10センチ程度と想定。(中略) ところが、規制委の審査後、大山から190キロ離れた京都市内の地層で、厚さ30センチに達する火山灰層があることが示された。(中略) 再評価について、石原和弘・京都大名誉教授(火山物理学)は「(原発とほぼ等距離の)京都市内で過去に火山灰が30センチ積もったのであれば、最大値を前提に準備するのは妥当だ」と評価する。
注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります (JPNIC, 7/10)
DNS flag day。 チェックもできる。
水道民営化、推進部署に利害関係者? 出向職員巡り議論 (朝日, 11/29)。あかんやつ。
水道などの公共部門で民営化を推進している内閣府民間資金等活用事業推進室で、水道サービス大手仏ヴェオリア社日本法人からの出向職員が勤務していることが29日、わかった。
安倍政権、「水道民営化」強行で国民の命を危険に…海外では料金高騰や水質悪化で死者も (荻原博子 / Business Journal, 11/29)
強行採決濃厚な「水道民営化」法案について改めて考えてみた (ちだい / ハーバービジネスオンライン, 11/26)
水道民営化は世界でトラブル続出、日本は英国の成功例に学べ (福田晃広 / ダイヤモンド online, 10/23)
また、吉村氏は民営化を推進する前にやるべきことがあるという。
「それはずばり水道事業の広域化・統合化です。1400の地方自治体それぞれが水道事業を行うという現状の運営方法は無駄が多い。1都道府県につき1水道事業体にする、その上で資金繰り、人手不足の解消、効率化などを目指しIoT化を推進する。まずはこちらが先決すべき課題でしょう」
日本人は知らない「水道民営化の真実」フランスと英国で起きたこと (橋本 淳司 / 現代ビジネス, 8/31)。欧米はむしろ、再公営化なんだよね。
》 仮想通貨「採掘」に誤算 価格急落で撤退相次ぐ (日経, 11/28)
GMOインターネットは18年7〜9月期のマイニング事業の営業赤字が6億円となり、前四半期から赤字幅が約3億円拡大した。(中略) SBIホールディングスは先行投資負担もありマイニング事業は赤字に陥っているもよう。
<税を追う>歯止めなき防衛費(1)かすむ専守防衛 官邸主導で攻撃兵器選定 (東京, 11/13)
<税を追う>歯止めなき防衛費(2)コストより日米同盟 覆った偵察機導入中止 (東京, 11/14)。グローバルホークの件。
関連:
ついに発注!航空自衛隊用グローバルホークは3機で総額4億9000万ドル (おたくま経済新聞, 11/21)。Block 30(I)。
Government of Japan-RQ-4 Block 30 (I) Global Hawk Remotely Piloted Aircraft (dsca.mil, 2015.11.20)
アメリカ政府、日本へRQ-4グローバルホーク3機の輸出を承認 (FlyTeam, 2015.11.27)
<税を追う>歯止めなき防衛費(3)進む日米一体化 軍事戦略の一翼担う (東京, 11/16)
<税を追う>歯止めなき防衛費(4)レーダー商戦 しのぎ削る米メーカー (東京, 11/17)。イージス・アショアの件など。
「今回のレーダー選定は単にイージス・アショアのレーダーを決めるというだけではない」。そう指摘するのは元米陸軍大佐で、レイセオンに勤めたことがあるスティーブン・タウン氏。次のレーダー商戦は海上自衛隊のイージス艦だ。
<税を追う>歯止めなき防衛費(6)対外有償軍事援助 米優位 もの言えぬ日本 (東京, 11/19)
<税を追う>歯止めなき防衛費(7)国内防衛産業 機関銃価格 米の7倍 (東京, 11/20)
日本の防衛装備品が高額になる大きな要因の一つが「原価計算方式」。装備品は市場価格がないため、メーカー側が材料費や加工費などの原価を積み上げ、そこへ防衛省が一定の利益を上乗せして価格が決まる。(中略) コスト意識が働きにくいだけでなく、原価を水増しして過大請求する事件も後を絶たない。(中略) 防衛産業界から政界への献金も毎年多額に上る。
<税を追う>歯止めなき防衛費(8)中期防兵器リスト 「八掛け」で詰め込む (東京, 11/23)
<税を追う>歯止めなき防衛費(9)米軍再編費、要求ゼロ 膨らむ予算「裏技」駆使 (東京, 11/24)
「今のような政策を続け、中期防で予算を積み増していけば、どこかで財政的にパンクする。専守防衛で許される防衛力とは何か。根源的な議論が必要だ」。軍事ジャーナリストの前田哲男さんは、なし崩しの防衛費増大に危機感を覚える。
<税を追う>歯止めなき防衛費(10)辺野古新基地建設 県民抑え 際限なき予算 (東京, 11/25)
最小限必要なものは揃えるしかないのだけど、 自衛隊って、装備体系がメチャクチャなんだよな……。 関連:
米兵器ローン急増 来年度予算圧迫 防衛省、支払い延期要請 (東京, 11/29)
<税を追う>防衛省、借金増大 国会で検証を (東京, 11/29)
》 いつの間にか「LINE」アプリがインストールされる現象はWindows 10の仕様だった (やじうまの杜, 11/29)。ほんと糞。
フルリゾルバ (DNS キャッシュサーバー) に対する、あまり知られていないが既知の、成功率の高い毒入れ攻撃手法が、DNSSEC 対応実装がふつうな現代においてはむしろ起きやすくなっているという話、でいいのかな。
- RFC 2308 は否定応答の SOA レコードに NS や A が付随することを許している
- 否定応答の SOA レコードに付随する NS や A をキャッシュする実装が存在する
- NSEC/NSEC3 とその署名 (RRSIG) のついた否定応答の応答は大きい
- 第二フラグメントに追い出された NSEC/NSEC3 や RRSIG の一部を NS や A に差し替えることが可能である
フラグメントされた部分を狙うのがポイントのようです。
パケットのフラグメント化を利用した毒入れはKaminsky流の手法よりずっと成功率が大きい。(比較にならない)
— ライト、ついてますか:RIGHT/Complex (@beyondDNS) November 7, 2018
弱いゾーンと弱いリゾルバーを探すだけの仕事😱
結局、フラグメントの発生がそもそもの元凶、ということでいいのかな。 関連:
Spoofing DNS with fragments (PowerDNS, 2018.09.10)
Mitigating DNS fragmentation attack (Let's Encrypt, 2018.10.15)
EDNS Buffer Size Changing to 512 Bytes (Let's Encrypt, 2018.11.20)。512 にしちゃったそうです。
あと、unbound 1.8.2 (現在 RC1) には以下の修正が入っているそうです。 Changelog から:
21 November 2018: Wouter - Scrub NS records from NODATA responses as well. 20 November 2018: Wouter - Scrub NS records from NXDOMAIN responses to stop fragmentation poisoning of the cache.
unbound 1.8.2 リリースされました。 Unbound 1.8.2 released (unbound-users ML, 2018.12.04)
The nameserver records in large returned negative responses are scrubbed out of the packet to avoid fragmentation based DNS cache poisoning, from a report from T.Suzuki.
知らないってのは恐い - DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) (インターノット崩壊論者の独り言, 2019.01.17)。 DNS温泉 番外編(2019年2月) において、解説とデモが行われるそうです。
》 がん治療や美容整形のネット広告に法令違反のおそれ 厚労省見解と乖離する実態 (BuzzFeed, 11/23)
》 VSS Writer が全て消失する事象について (Ask CORE, 11/15)
》 タトゥー裁判控訴審逆転無罪判決 (壇弁護士の事務室, 11/15)。大阪地裁(長瀬敬昭裁判長)判決が駄目すぎ、という話でもある。裁判官もしょせんは役人、駄目なのはごろごろ転がっている。 いいのに当たるかどうかは、ほんと運。
あと、亀石弁護士のひらひらって? と思ってぐぐったら出てきた記事がこちら: 亀石倫子弁護士がスーツも弁護士バッジも身に着けない理由とは (吉川 明子 / ミモレ, 7/13)
》 ITコンサルの永江一石氏がnetgeek相手に被害者の会を結成、集団訴訟を起こすことを発表 (楽しくないブログ, 11/19)
》 「きちんと管理していることで叩かれるなんて…」生理日予測アプリの“中の人”が思うこと (BuzzFeed, 11/22)
》 月1千万PVのまとめサイト「収入は月100万円」 管理者が語る運営手法 (BuzzFeed, 11/22)
》 「ネットに詳しい人」が騙される ある日殺人犯にされた芸人が語るnetgeekとデマ (BuzzFeed, 11/22)。スマイリーキクチ氏。
》 シロアリの巨大アリ塚群、ブラジルで発見 4000年近く前から (CNN, 11/22)。「英国の国土全体と同じ面積に、最大で高さ3メートルにもなる円すい形のアリ塚が2億個ほど連なっている」。スゲエ。
》 “ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声 (NHK, 11/21)。Wizard Bible の件と、標準的なセキュリティ研究倫理基準がないという話。
関連: 研究倫理相談窓口 (コンピュータセキュリティシンポジウム 2018)、 SCIS2018 2018年暗号と情報セキュリティシンポジウム 特別企画セッション (マルウェア対策研究人材育成ワークショップ 2017 (MWS2017))。
》 記者たち 衝撃と畏怖の真実 (映画.com)。 日本では、来年 (2019) 3 月公開だそうで。関連:
寺澤有さんのツイート:
ウソでも戦争をあおるような記事が売れて、事実でも戦争を止めるような記事は売れない。資本主義の世の中なので、ますます前者の記事が増えて、戦争へ突入。戦後、様々なウソがわかり、何のために大勢が命を失ったのかわからない。早い段階で後者の記事を国民が買い支えることが重要かと。 https://t.co/41tYTNd5Ui
— 寺澤有 (@Yu_TERASAWA) November 21, 2018
》 JPAAWG 1st General Meeting / 第18回 迷惑メール対策カンファレンス (11/9)
SESSIONS (JPAAWG 1st General Meeting)。資料がいくつか公開されている。
「注意喚起しても効かない……」、さくらインターネットから利用者への“お願い” (Internet Watch, 11/21)。山下健一氏「どうやって迷惑メールを送り、受け取らせるか ~ クラウドサービスを悪用する方法と対策する方法 ~」の様子。 資料は非公開。
JPAAWG 1st General Meeting / 第18回 迷惑メール対策カンファレンス (togetter, 11/10)
》 焦点:「虎の子」核戦力に依存する北朝鮮、米朝協議は視界不良 (ロイター, 11/15)
》 【フェイクニュースを超えて】 SNSのうわさのせいで焼き殺され、メキシコの小さな町で (BBC, 11/16)。WhatsApp リンチ殺人事件の件、日本語版記事出てました。
》 日産会長カルロス・ゴーン容疑者逮捕 (11/19)。 実際アレなことをやっていたのだろうが、 全体の構図としては反ゴーン派によるクーデターとしか思えない。
朝日、機体記号 N155AN に乗り込む検察をスクープ
羽田に降り立ったゴーン容疑者を… 捜査は一気に動いた (朝日, 11/19)
「なんだこれ」立ち上がる国交省職員 日産社内外に衝撃 (朝日, 11/19)
ゴーン氏らの不正行為、日産は数カ月間にわたり内部調査 (朝日, 11/19)
ゴーン追放はクーデターか…日産内で囁かれる「逮捕の深層」 (井上 久男 / 現代ビジネス, 11/20)
はっきり言おう。これは「日産の社内クーデター」とみるべきではないか。さらに言えば、西川廣人社長兼CEOサイドがゴーン氏を引きずりおろすために、日産が検察当局と手を組んだ可能性もあるのでは、と筆者は見ている。
ゴーン容疑者の捜査で司法取引 特捜部に日産社員協力か (朝日, 11/20)、 日産関係者と司法取引 捜査協力、刑事処分を減免 (日経, 11/20)。「今回の適用は2例目とみられる」
日産・西川廣人社長記者会見 (11/19)
ゴーン頼みだった日産、決別鮮明 側近の社長、突き放す (朝日, 11/21)
法人としての日産も立件へ 長期で巨額の虚偽記載を重視 (朝日, 11/21)
ゴーン氏、約40億円の記載を拒否か 株価連動の報酬分 (朝日, 11/21)
「やばい案件がある」 捜査協力選んだ日産幹部たち (朝日, 11/21)
特捜部の聴取を受けた執行役員らは、ゴーン会長が海外の子会社や孫会社の資金を「私的」に使い、海外各地に高級な「自宅」を購入させたとみられる仕組みなどを説明した。
日産と三菱はゴーン解任へ、一方ルノーは解任見送り
当社代表取締役会長らによる重大な不正行為について (日産, 11/19)
内部調査によって判明した重大な不正行為は、明らかに両名の取締役としての善管注意義務に違反するものでありますので、最高経営責任者において、カルロス・ゴーンの会長及び代表取締役の職を速やかに解くことを取締役会に提案いたします。また、グレッグ・ケリーについても、同様に、代表取締役の職を解くことを提案いたします。
弊社取締役会長の逮捕に関する報道について (三菱自動車, 11/19)
弊社では、弊社取締役会長が逮捕されたことを受けて、容疑の内容がコーポレートガバナンス及びコンプライアンスに関するものであることも踏まえ、カルロス・ゴーンの会長及び代表取締役の職を速やかに解くことを取締役会に提案することと致しました。
ルノー、ゴーン氏解任見送り 日産・三菱と判断分かれる (朝日, 11/21)、 ルノー、ゴーン容疑者解任見送り…仏政府反対か (読売, 11/21)
コラム:ゴーン氏退場、一番の負け組はルノーか (ロイター, 11/20)
FT 「カルロス・ゴーンは逮捕前、日産とルノーの経営統合を計画していた」 (11/21)
Carlos Ghosn was planning Nissan-Renault merger before arrest (FT, 11/21)
「ゴーン氏、日産とルノーの経営統合を計画」 英紙報道 (朝日, 11/21)
関連:
日産・ルノー「経営統合」問題の深過ぎる真相 日産社長は合併報道否定でも体制変更に含み (東洋経済, 5/15)
ゴーン会長逮捕でホンダ販売店が「やったぜ日産」とツイート、謝罪 (BuzzFeed, 11/20)
》 ソフィア・フローシュの11時間近くにおよぶ手術が終了。「麻痺の心配はない」 (auto sport, 11/20)、マカオGPで壮絶クラッシュの17歳、レースへの「カムバック」誓う (AFPBB, 11/21)。F3 マカオ GP でクラッシュしたソフィア・フローシュ選手、手術成功だそうで。とりあえずよかった。
JAL の件
【お詫び】運航乗務員の飲酒による法令違反に関する調査経過と再発防止策について (JAL, 11/16)。概要。
運航乗務員の飲酒による法令違反に関する調査経過と再発防止策について (JAL, 11/16)。詳細。
JAL調査、アルコール基準値超の検出は不正も可能な検査体制 (FlyTeam, 11/16)
JAL、飲酒した副操縦士の逮捕で再発防止策。「顔認証などで検査の厳格化を検討」と赤坂社長 (トラベル Watch, 11/16)
JAL飲酒副操縦士「酒は飲んでいない。マウスウォッシュだ」 国交省に報告書と防止策提出 (AviationWire, 11/16)
JAL副操縦士、飲酒ばれぬよう細工 同僚避けるなど… (毎日, 11/17)
JAL、逮捕の副操縦士がマウスウォッシュ使用 酒臭さ消すためか (AviationWire, 11/19)
第1回航空従事者の飲酒基準に関する検討会の開催について (国土交通省, 11/14)。11/20 に開催。
パイロット飲酒、各国で規定に差 国交省が年内に基準案 (朝日, 11/21)
JALグループ、パイロット飲酒で16件遅延 昨夏の新型検知器導入後 (AviationWire, 11/17)
JALパイロット「飲酒逮捕」問題の根本原因 急成長の裏で、過重労働が空の安全を脅かす (東洋経済, 11/17)
パイロット飲酒問題「厳正な処分行う」菅官房長官 (NHK, 11/19)、 パイロットの飲酒問題「行政処分も検討」 石井国交相 (朝日, 11/20)
Flash Player 31.0.0.153 公開。任意のコードの実行を招く欠陥 CVE-2018-15981 を修正。 この欠陥の詳細情報は既に公開されているそうで。 Priority: 1 (Linux は 3)。
第131回放送倫理検証委員会 議事概要: 日本テレビ『世界の果てまでイッテQ!』について報告書の提出を要請 (BPO, 11/9)
「世界の果てまでイッテ Q!」 「祭り」企画について (日本テレビ, 11/15)。「日本テレビ放送網株式会社」名の文書。
今般報道で取り上げられている「橋祭り」についても、「祭り」という言葉を使わずに、『一本橋を自転車で渡る催しをラオスのビエンチャンで初めて番組がイベントとして開催し、宮川さんに挑戦してもらう企画』と丁寧に説明すべきであったと思います。
「祭り」という言葉を使わずに、という時点で、 コーナー趣旨からおもいっきり外れているのだが。 そういうのを「やらせ」「でっち上げ」と言うんだよ。 それを認識できていないところが致命的。
『イッテQ!』の全祭りを検証、11個が存在を確認できず (NEWS ポストセブン, 11/15)
女性セブンではその存在を確認できなかった祭りが『文春』に報じられたラオスの祭りを含め11あった。 その11の祭り中、7つがタイ近郊での祭りだった。
視聴者を騙した"イッテQ"は続けるべきか 祭り企画は「誤り」ではなく捏造だ (元木 昌彦 / プレジデント, 11/19)。 多方面に渡ってよくまとまっている文書。 一読を推奨。
イッテQ、「祭り」企画めぐり番組冒頭で謝罪。企画を当面休止へ (ハフポスト, 11/19)。11/18 放送のイッテQ に関する記事。
社説
(社説)イッテQ疑惑 放送への信頼傷つけた (朝日, 11/17)
「イッテQ」にやらせ疑惑 うやむやでは済まされぬ (毎日, 11/18)
宮川大輔 イッテQ現場で疑問吐露「これ、祭りちゃうやん!?」 (女性自身, 11/20)。宮川氏自身も疑問に感じていたそうで:
「現地の人たちは基本的にエキストラだったわけですから、異様にテンションが高い。ロケの最中、宮川さんはお祭りの参加者たちを見て『なんでこんなに人多いん?』『テンション高すぎひん?』と、漏らしていたといいます。さらに、現地の人が領収書のような書類にサインする場面を目撃してしまったのだとか。その際も宮川さんはスタッフに『あれなんなん?』と追及したそうです」(番組関係者)
「イッテQ」ヤラセ報道の余波 注目は総合演出“敏腕プロデューサー”の責任問題 (デイリー新潮, 11/20)
》 【プチ鹿島のプチ時評】サイバーテロよりマズい事態 (プチ鹿島 / スポーツ報知, 11/19)。桜田義孝「パソコン使わない」発言は、あらかじめ予想された通りの事象だという話。
》 ことしの風疹患者 2000人超える ワクチン接種を! (NHK, 11/20)
根本厚生労働大臣は閣議のあとの記者会見で、「職場で感染するケースも報告されており、30代から50代の男性の患者が多く、事業者側の協力を得ながら対策を進めることが必要だ。従業員が、抗体検査や予防接種のために医療機関の受診を希望した場合には、事業者側が勤務などに配慮するよう、都道府県の労働局などを通じて協力を求めたい。さらなる対策に向けて、感染状況や抗体検査の実施状況、それにワクチンの需給状況などを踏まえて、速やかに検討していきたい」と述べました。
あいかわらず、国として強力な対策を実施するつもりは全くないようで。
》 風疹 妊婦の4割余りが抗体不十分 千葉県の病院が調査 (NHK, 11/20)。マジか……。
》 ChromeとFirefoxに警告表示、強権発動の深層 (日経 xTECH, 11/20)
》 片山さつき氏に疑惑次々 「公選法に抵触か」と指摘も (朝日, 11/20)
》 世田谷区 企業主導型保育、制度見直し要望 一斉退職受け (毎日, 11/20)
企業主導型保育事業は、内閣府が委託する児童育成協会が助成金支給や審査を担う。自治体は実質的に関与できない仕組みになっており
関連: 世田谷区、安易な規制緩和NO「保育は人生基盤作る時」 (朝日, 11/19)
――2019年秋には、幼児教育・保育の無償化を迎えます。何が予想されますか?
(中略)
無償化の恩恵は高所得者に大きいのには矛盾を感じる。現在でも、保育料は生活保護世帯からはもちろんとらないし、3歳以上なら収入に応じて600円~約4万円まで細かく刻まれている。600円がゼロになるのと、4万円がゼロになるのでは違う。
収入の状況に細かく対応する制度をせっかく作っているのに、それがチャラになる。そうすると、区内の待機児童を解消するためにまだ40園たてる必要があるのに、全体として予算上のしわ寄せが、そこに来るかもしれない。
結局、ここでも金持ち優遇政策なのですね。ほんと糞。
Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)
複数のアプリがようやく復活しました。 Apple 側の要求を呑む形になったようです。
2018.11.17: パスワードマネージャー、 パスワードマネージャー月額版、 ウイルスバスター for Home Network、 フリーWi-Fiプロテクション。 「データ収集に関する情報開示ならびに同意取得プロセスの改善をしました」
2018.11.19: ウイルスバスター モバイル、 ウイルスバスターモバイル月額版、 ウイルスバスターマルチデバイス月額版、 ウイルスバスター マルチデバイス + デジタルライフサポートプレミアム 月額版
こちら:
App Store上の当社アプリに関する重要なお知らせ (トレンドマイクロ, 2018.11.17 更新)
当社アプリがApp Storeから一時公開停止されている件について (トレンドマイクロ, 2018.11.19 更新)
コンテンツシールドの代替機能について (トレンドマイクロ)
VPNの使用に関するApple社のポリシーに準ずる形で、本バージョンアップデートによりコンテンツシールドの機能がご利用いただけなくなりました。これにより、Safari以外の任意のブラウザ上、または、アプリ内ブラウザ上からWebサイトを閲覧する際に、Webサイトのコンテンツのフィルタやアクセス制限を行うことができなくなりました。
トレンドマイクロ、公開が停止されていたiOS製品の一部がApp Storeで公開を再開したと発表。 (AAPL Ch., 2018.11.17)
》 【更新】ネットで拡散したコラ画像「尊いの手話」 耳の聴こえない美大生が「訂正マンガ」を投稿し話題に (BuzzFeed, 11/17)
》 「netgeek」実態を関係者ら証言 誤報、炎上、マスコミ超える拡散力の舞台裏 (BuzzFeed, 11/17)。全ては金のため、ということでしょうか。 さすがはデマサイト。関連:
netgeekの運営実態についてBuzzFeedの記事にお答えします (腹BLACK / netgeek / archive.is, 11/17) (オリジナル)。
荻上チキさんのツイート:
「netgeek」が、BuzzFeedの取材に反応する中で、誤報の場合は謝罪し削除とか書いてるけど、んなことないよ。私の友人がデマを流され、弁護士相談の元、削除依頼を再三要求してもスルー。明確に誤報だと確定しても、黙って削除し、謝罪も返答もなし。この「方針」説明すらフェイクだよ。 pic.twitter.com/CRWtRTWx8z
— 荻上チキ (@torakare) November 17, 2018
「netgeek」相手取り集団訴訟へ 被害者の会結成 (BuzzFeed, 11/19)、 【拡散】netgeekの運営会社情報大公開と、被害者集団訴訟のお知らせ (More Access! More Fun!, 11/19)。いよいよですか。
大内彰訓(腹BLACK)さん運営の「netgeek」集団訴訟へ、被害者の会が結成され会社情報公開も (Buzzap!, 11/19)
》 Windows 10 update history - Applies to: Windows 10, version 1809 (Microsoft)。Windows 10 October Update (バージョン 1809) ですが、いくつかのアプリで互換性問題が発生しているそうです。
Apple iCloud for Windows (version 7.7.0.27)
F5 VPN クライアント
トレンドマイクロ OfficeScan、 Worry-Free Business Security
AMD Radeon HD2000, HD4000 シリーズ GPU ドライバ
また、mapped drive (ネットワークドライブの割り当て) の再接続に失敗するそうで。これについては 11 月中に解決される予定。
トレンドマイクロのは、日本で言うところのウイルスバスター コーポレートエディション、 ウイルスバスター ビジネスセキュリティですよね。 Windows 10 Update 対応予定 (トレンドマイクロ) を見ると、今のところ対応しているのは、ウイルスバスターコーポレートエディション XG SP1 を最新ビルド 5261 にまでアップグレードした場合のみだそうで。 この図を参考にすると、XG (1406) → SP1 (4638) → critical patch (5261) みたい。
関連:
「iCloud for Windows」は「Windows 10 October 2018 Update」と非互換 (窓の杜, 11/19)
速報:Windows 10 ver 1809 にアップグレードする前に既知の問題を確認しよう (山市良のえぬなんとかわーるど, 11/15)
》 ブラックベリー、AI型ウイルス対策ソフトの開発企業サイランスを買収 (日経 xTECH, 11/19)、 BlackBerry to Acquire Cylance and Add Premier AI and Cybersecurity Capabilities (BlackBerry, 11/16)。マジのようで。
》 グーグルがセクハラ問題の対応策、それでも従業員は納得していない (WIRED, 11/19)
》 TumblrのiOSアプリがApp Store上から消える、不適切なコンテンツが原因か (gigazine, 11/19)
》 BTSの誤情報、ニュースアプリも配信 ネットメディアが拡散、対策は? (BuzzFeed, 11/16)。Buzz Plus News。クソメディアは netgeek だけじゃないよ。
》 指紋認証システムは機械学習で生成した「マスター指紋」でも突破可能だと判明 (gigazine, 11/16)
通常、ユーザーが指を毎回同じ方法で正確にセンサーに置くとは限らないため、指紋認証システムは指紋すべてを読み取るのではなく、センサーに置かれた部分の指紋のみを読み取ります。部分的な指紋スキャンは、セキュリティを一部犠牲にしながらも利便性を得ているというわけです。
研究チームは、指紋にあるような特徴を多く含んだ指紋を作れば、違う指と合致する可能性が高くなるのではと考えました。
実際にやってみたら、割とうまくいった模様。
》 「サウジ皇太子が命令」CIA結論 記者殺害で米紙 (朝日, 11/17)。ジャマル・カショギ記者殺害事件。
》 片山大臣の看板、市の許可受けず設置 指摘受け真っ白に (朝日, 11/18)
》 アルゼンチン海軍潜水艦サンフアンの残骸を海底で発見 (11/16)
1年前に消息不明のアルゼンチン軍潜水艦、残骸を発見 (AFPBB, 11/18)
消息絶った潜水艦、約1年たち発見 海底800メートル (朝日, 11/17)
関連:
アルゼンチン潜水艦の捜索続く、海は大荒れ 救難信号受信の情報 (AFPBB, 2017.11.19)
アルゼンチン潜水艦、異音は爆発 海軍が認める (AFPBB, 2017.11.24)
「Facebookの検閲に異議申し立ての機会を」 世界の市民・人権・デジタル権団体がザッカーバーグCEOに要請 (EFF / P2P とかその辺のお話 R, 11/13)
Facebook、ユーザーのいいね!や興味分野情報を取り出されるバグを修正 (techcrunch, 11/14)
ロシア介入、FB社内で16年春に疑惑指摘 NYT報道 (朝日, 11/15)
Facebook、New York Timesによる社内問題暴露記事に逐一反論 (ITmedia, 11/16)
ザッカーバーグCEO、「Android」だけ使うよう経営陣に命令か--クックCEOの批判受け (CNET, 11/15)
Facebook、Messengerに「送信取消」機能を追加。しくみはこうだ (techcrunch, 11/15)
FB偽アカウント21億件削除、拡散悪用の恐れ (読売, 11/16)
Facebook、政府によるユーザーデータ要求命令を公表 (techcrunch, 11/16)
FBは「戦時」、独断色を強めるザッカーバーグ氏 ザッカーバーグ氏の姿勢の変化でサンドバーグ氏との間に緊張感も (Wall Street Journal, 11/19)
釈明に追われたフェイスブック、“不適切”な投稿の制限という大きな賭け (WIRED, 11/19)
》 LINEのスパム/フィッシング対策はどう変化してきた? 「JPAAWG」設立イベントで語った過去6年間のいたちごっこ (Internet Watch, 11/16)
》 「Firefox」デスクトップ版、データ流出したサイトを閲覧時に警告へ (CNET, 11/16)
》 その男、桜田義孝 (衆議院議員: 千葉8区、サイバーセキュリティー担当大臣)
【報ステ】桜田サイバー大臣「PC使ったことない」 (ANN / YouTube, 11/14)
サイバーセキュリティー担当大臣にも関わらず「PCを触らない」「USBが何か知らない」日本の政治家に世界中が騒然 (gigazine, 11/16)
「桜田五輪相はシステムエラー」海外メディアが皮肉次々 (朝日, 11/16)
また仰天答弁…桜田五輪相は地元も見放した“柏の出川哲朗” (日刊ゲンダイ, 11/15)
「PC使ったことない」「USB?何それ美味しいの?」の桜田サイバーセキュリティ戦略本部担当大臣、完全無欠の堅牢性と海外で絶賛 (Buzzap!, 11/16)
しかし桜田氏といえば、やはりこれであろう。
“失言大臣”桜田五輪相を“恐怖新聞”読売が怖がる理由? 「全員野球」は始まったばかりである (プチ鹿島 / 文春オンライン, 11/16)
前日の桜田氏のしどろもどろについては読売は一文字も書いていないのだ。しかし見出しは「野党追及 迫力欠く」。これは「そんな話はいいから早く入管法改正をすすめろよ」という読売の力業であろうか。読売が「いなかったことにする」しか対処法がないほど、桜田しどろもどろパワーは強烈だったことがわかる。
本当に怖いのは、もちろん読売の方なのだが。 大政翼賛がひどい。
Security updates available for Adobe Acrobat and Reader | APSB18-40 (2018.11.14)
これ、 APSB18-09 (2018.05.14) で修正されたはずの CVE-2018-4993 の修正もれなのだそうで。
Adobe Patches Incomplete Fix for NTLM Credential Leaking Bug (CVE-2018-15979) (Satnam Narang / tenable, 2018.11.14)
》 川上量生さんとカドカワ株式会社に、訴訟を提起しました RT @nkawa2525 (やまもといちろうオフィシャルブログ, 11/14)
》 The Motherboard Guide to Not Getting Hacked (Motherboard, 11/13)
》 日本テレビ、イッテQの祭り企画に複数のでっち上げがあったと認める
「イッテQ!」タイ・カリフラワー祭りにもデッチ上げ証言 日テレが謝罪 (文春オンライン, 11/14)
日本テレビに「カリフラワー祭り」の開催経緯などについて尋ねたところ、次のように答えた。
「『カリフラワー祭り』や先にご指摘をいただいた『橋祭り』を含め、『祭り』企画において、番組の意向でコーディネート会社が主催者に提案したり、実質的な主催者となってイベントとして開催したケースがありました。
また番組がコーディネート会社に支払っている撮影経費の中から、開催費用や賞金、参加費、協力費などが支払われていることもありました。コーディネート会社との長年にわたる協力関係に甘え、企画についての確認が不十分なまま放送に至ったことについて、当社に責任があると考えております。『祭り』企画に関しましては、現在、詳細を確認中です。今回のような事態を招きましたことを、お詫び申し上げます」
「橋祭り」「カリフラワー祭り」の他にも不適切事例があった模様。
「ナベツネ盟友のあの人なら…」日テレ「イッテQ」問題で聞こえる「もしも」の声 (水島宏明 / Yahoo, 11/15)
「あの人」は、ナベツネこと渡辺恒雄氏(読売新聞社グループ本社主筆)の東大の学生時代からの盟友であった氏家齊一郎氏だ。(中略) BPOを現在の形にしたのも氏家氏の尽力の賜物と言われている。民放業界で今も残る形で辣腕、剛腕を振るったカリスマ経営者だった。
続報: 日本テレビ大久保好男社長、日本民間放送連盟(民放連)会長会見にてイッテQ問題に言及。
「イッテQ」“やらせ”疑惑報道、社長が謝罪「全て日テレが責任負う」 (MBS, 11/15)
日テレ社長謝罪もイッテQ制作陣にやらせの意識なし (朝日, 11/15)
》 企業担当者向け(初級)サイバーセキュリティ・リレー講座 (関西情報センター)。2018.11.29〜2019.01.28 (計 7 回)、大阪府大阪市、無料。
》 広告なし有料プラン「YouTube Premium/Music Premium」攻略~iPhoneから安く加入する方法も (engadget, 11/14)。Apple 税があらわになった瞬間。
YouTube Premiumのサービスは、同じGoogleアカウントでログインすれば、どのパソコンやスマートフォンでも共通で利用できます。ただし、その月額料金は、iPhone/iPadのApp Storeから加入した場合のみ、割高に設定されています。
App Store経由から加入する場合のみ割高になっているのは、おそらく、Appleへの支払い手数料の分だけ、料金に上乗せされているものと思われます。
Apple 税の回避は、たとえば Chrome で web アクセスすれば ok みたいです。
》 町山智浩 スタン・リーを追悼する (miyearnZZ Labo, 11/13)
》 AWSが独自のOpenJDK「Amazon Corretto」発表。AWS内部で使っていたJavaを外部提供へ。Java 8は2023年まで、Java 11は2024年まで無償でLTSを提供 (publickey, 11/15)。Amazon が生態学的地位を奪いに来たよ。
CorrettoはJavaでLTSが提供される2つのバージョン、Java 8に相当する「Corretto 8」と、Java 11に相当する「Corretto 11」が提供される予定で、Linux、Windows、macOS、Dockerの環境に対応。AWSのクラウドだけでなくオンプレミスでの利用も可能です。 (中略) Correttoは現在プレビュー版で、正式版は2019年4月に提供開始予定。
オリジナル: Introducing Amazon Corretto, a No-Cost Distribution of OpenJDK with Long-Term Support (Amazon, 11/14)
》 YouTubeのウォジスキCEO「EUの新著作権指令13条は非現実的」 (ITmedia, 11/13)
》 EUのデータ保護規則「GDPR」の政治的利用か、当局がジャーナリストに対して情報を要求 (gigazine, 11/13)
》 「ババアはいらねぇ」「死んじまえ」 ディズニーランドの“キャラクター出演者”がパワハラ巡り訴訟 原告が「ゲストの夢最優先してきたが限界」と涙の訴え (ねとらぼ, 11/13)
》 匿名デマサイト netgeek がたて続けに「抗議」している
netgeekについて、ねとらぼがデマを流すことに抗議します (腹BLACK / netgeek / archive.is, 11/13) (オリジナル)
netgeekの運営者情報を暴露しようとするBuzzFeedに抗議します (腹BLACK / netgeek / archive.is, 11/13) (オリジナル)
関連:
古田大輔さんのツイート:
netgeekさんがバズフィードの取材に「運営者情報を暴露しようとするBuzzFeedに抗議」という記事を出したが、取材せずに誤りや権利問題のある記事を配信し、問い合わせには応じない運営方針について、本人に取材しようとしただけです。応じていただけると幸いです。
— 古田大輔 (@masurakusuo) November 13, 2018
》 ドラマ『チェイス』製作会社、著作権侵害を認め謝罪 (北海道新聞, 11/13)。「昨年12月22日に第1章1話がAmazonプライム・ビデオで配信開始」から 1 年近く経過して、ようやくですか。
》 「Windows 10 October 2018 Update」一般提供再開 (ITmedia, 11/14)。 Windows Blog for Japan で Windows 10 October 2018 Update (バージョン 1809) 関連の投稿が連投されたのは、そういうことなのですね。
「Windows Server 2019」の提供も再開 (ZDNet, 11/14)
》 国内のTwitter認証済みアカウントののっとりについてまとめてみた (piyolog, 11/13)
》 PowerShell で全角文字を入力すると表示がおかしくなる問題について (Ask CORE, 11/14)。PSReadline モジュールの不具合。 モジュールのアンインストール (Remove-Module PSReadline) で回避できる。
》 【Windows 10】「勝手にLINEがインストールされていた」の声が増加中 (LINEの仕組み, 11/11)。Windows 10 の仕様らしい。 関連:
Windows 10: How to Turn Off Microsoft Consumer Experiences (Microsoft)
Microsoft removes policies from Windows 10 Pro (ghacks.net, 2016.07.28)
》 川上量生さん(カドカワ代表取締役)から「抗議」という名のラブレターが届く RT @nkawa2525 (やまもといちろうオフィシャルブログ, 11/13)
》 業界騒然! 東海地方限定番組「さよならテレビ」は何がすごいのか? (大島 新 / 文春オンライン, 11/12)
さて、この番組の、いったい何が一部の同業者たちを苛立たせるのだろうか。最大の理由は、土方ディレクターがテレビの世界の一員であるにも関わらず、いまのテレビが持つ問題を、正直すぎるほどに明るみに出した、ということに尽きるだろう。この番組で描かれた現実は、すべてテレビのニュースや情報番組の現場で起きていることで、東海テレビに限ったことではない。だからこそ、仲間であるはずのテレビマンに痛いところをつかれて、感情的な反発が起きるのだと思う。だが、もうすでにテレビというメディアが、世間から魅力的だと思われていないことを自覚することからしか、テレビの再生はないだろう。
》 防衛装備庁、XF9-1の技術は世界レベルと発表 (航空新聞社, 11/14)。あぁ、 防衛装備庁技術シンポジウム2018 やってるんですね。
》 【米軍横田基地】オスプレイ自宅近く空中停止 家揺らし、体にしびれ~住民が告発 (日本共産党東京都委員会, 11/14)。「動画は同基地の近くに住む40代の男性が8~9月にかけて撮影し続けたもの」
》 公開中止映画「MMRワクチン告発」、配給元代表が謝罪 監督・プロデューサーは疑義に回答せず (BuzzFeed, 11/13)
Photoshop CC 19.1.6 for Windows / Mac 以前に情報漏洩を招く欠陥 CVE-2018-15980。 Photoshop CC 19.1.7 および 20.0 で修正。 Priority: 3
Adobe Acrobat / Reader for Windows 更新 (Mac 版は更新なし)。 NTLM hash の漏洩を招く 1 件の欠陥 CVE-2018-15979 を修正。 当該欠陥の PoC が公開されている。 Priority: 1。
| 種別 | 更新版 |
|---|---|
| Acrobat / Acrobat Reader DC (Continuous Track) | 2019.008.20081 |
| Acrobat / Acrobat Reader 2017 (Classic 2017) | 2017.011.30106 |
| Acrobat / Acrobat Reader DC (Classic 2015) | 2015.006.30457 |
これ、 APSB18-09 (2018.05.14) で修正されたはずの CVE-2018-4993 の修正もれなのだそうで。
Adobe Patches Incomplete Fix for NTLM Credential Leaking Bug (CVE-2018-15979) (Satnam Narang / tenable, 2018.11.14)
Flash Player 31.0.0.148 公開。情報漏洩を招く 1 件の欠陥 CVE-2018-15978 を修正。 Priority: 2 (Linux は 3)。
いろいろ (2018.11.09) Samsung, Crucial SSD の暗号化機能
ADV180028 | ソフトウェア暗号化を適用するように BitLocker を構成するためのガイダンス (Microsoft, 2018.11.06)
2018.11 定例出ました。 IE / Edge, Windows, Office, SharePoint, Exchange, ChakraCore, .NET Core, Skype for Business / Lync, Azure App Service on Azure Stack, Team Foundation Server, Microsoft Dynamics 365, PowerShell Core, Microsoft.PowerShell.Archive 1.2.2.0, Flash Player。
関連:
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2018 年 11 月 (シマンテック, 2018.11.15)
ADV180028 | ソフトウェア暗号化を適用するように BitLocker を構成するためのガイダンス (Microsoft, 2018.11.06)。 SamsungやCrucial製SSDの暗号化機能に脆弱性 (PC Watch, 2018.11.07) の件であろう。
ADV990001 | 最新のサービス スタック更新プログラム (Microsoft, 2018.11.13)。ふつうに Windows Update していたら、 こちらも最新になっているはずだけど。
サイドチャネル攻撃方面のアドバイザリーが更新されているそうで:
ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス (Microsoft, 2018.11.13 更新)
The following updates have been made: 1. Added information to FAQ #9 for customers running Windows Server 2019. 2. Updated FAQ #18 to announce that with the Windows security updates released on November 13, 2018, Microsoft is providing the solution for customers with AMD-based devices who experienced high CPU utilization after installing the June or July security updates and updated microcode from AMD. Microsoft recommends that these customers install the November Windows security updates and re-enable the Spectre Variant 2 mitigations if they were previously disabled. This solution is available in the November Windows security updates for: Windows Server 2008, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2. 3. Added FAQ #20 to address the mitigations for ARM CPUs for CVE 2017-5715, Branch Target Injection.
ADV180012 | 投機的ストア バイパスに関するマイクロソフト ガイダンス (Microsoft, 2018.11.13 更新)
マイクロソフトは、投機的ストア バイパス (SSB) (CVE-2018-3639) の脆弱性を解決する Surface Studio 用の更新プログラムのリリースを発表しています。更新プログラムをダウンロードしてインストールするためのリンクについては、「影響を受ける製品」一覧を参照してください。詳細については、マイクロソフト サポート技術情報 4073065 を参照してください。
ADV180013 | 不正システムの登録読み取りに関するマイクロソフト ガイダンス (Microsoft, 2018.11.13 更新)
The following updates have been made to this advisory: 1. Microsoft is announcing the availability of updates for Surface Book that address the Rogue System Registry Read (CVE-2018-3640) vulnerability. See the Affected Products table for links to download and install the updates. See Microsoft Knowledge Base article 4073065 for more information. 2. In the Security Updates table, the Article and Download links have been corrected.
ADV180018 | L1TF バリアントを緩和するためのマイクロソフト ガイダンス (Microsoft, 2018.11.13 更新)
次の更新が行われました。1.追加しました 2.Microsoft Windows Server ユーザーのセクションに、Windows Server 2019 を実行しているユーザー向けの情報を追加しました
日本語になってないじゃん。英語だとこう:
The following updates have been made: 1. Updated the "Microsoft Windows client customers" section to provide clarification about how the protections for CVE-2018-5754 and CVE-2018-3620 are related. Customers that have disabled the protection for CVE-2017-5754 must re-enable it to gain protection for CVE-2018-3620 (See FAQ#2). 2. Updated the "Microsoft Window Server customers" section to include information for customers running Windows Server 2019. Added further clarification to address VBS, Hyper-V, and Hyper-Threading configurations based on the version of Windows Server. 3. In FAQ 3, added Windows 10 Version 1809 to the list of Windows versions in which VBS is supported.
2018年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2018.11.14)
えっと思って ログインできない場合のお手続き (Yahoo! JAPAN) から見ていくと、こんなことが書かれている。
入力・指定されたYahoo! JAPAN IDとTカード番号が、Tポイント利用手続きにおいてお客様が連携させたものと同一のものであることが確認できた場合、本人確認完了として、ログイン方法の再設定を行なえます。
うわあ。事実上、Tカード番号がパスワードと化している。マジか。
》 旧SymantecのSSL/TLS証明書問題、DigiCertが対応ほぼ完了宣言、次はいよいよIoTセキュリティへ前進 (Internet Watch, 11/12)
》 コマンドによるバックアップの過去の世代の削除手順 1/2 (Ask CORE, 10/31)、 2/2 (Ask CORE, 10/31)
》 ディスクのクリーンアップタスク (SilentCleanup) にて環境変数 %TEMP% や %TMP% に設定されているフォルダーが削除されてしまう問題について (Ask CORE, 11/9)。Server 2019。
》 「プラットフォームは果たして何を寡占しているのか? ~握られる5つのリソース~」 (福井健策 / 骨董通り法律事務所, 11/13)
Burned to death because of a rumour on WhatsApp (BBC, 11/12)
(2018.11.20 追記) 日本語記事: 【フェイクニュースを超えて】 SNSのうわさのせいで焼き殺され、メキシコの小さな町で (BBC, 11/16)
(2018.11.20 追記) FacebookとWhatsAppのフェイクニュースを信じた群衆によって無実の2人がリンチのすえ火あぶりに (gigazine, 11/14)。これも BBC 報道ベース。
WhatsApp リンチ殺人というと、インド方面の記事がいくつも出ている。
インドで「WhatsApp」を介して偽情報拡散、リンチ殺人が多発する事態に (CNET, 7/4)。これもネタ元は BBC 記事だなあ。
デマによるリンチ、インドで相次ぐ ワッツアップが対処を約束 (AFPBB, 7/4)
インドでフェイクニュースを原因とした暴力事件が多発。拡散に「WhatsApp」が使われる (engadget, 7/5)
「WhatsApp」のデマが起こしたリンチ殺人 インドの寒村が崩壊へ (BuzzFeed, 10/14)
》 著作権の保護と制限の規定がもうすぐ変わる ~ 保護期間延長、非親告罪化、柔軟な権利制限、教育の情報化対応など、まとめて解説 (Hon.jp News Blog, 11/13)
》 フリーWi-Fi向け新規格「Wi-Fi Certified Enhanced Open」、盗聴の恐れがある通信路で秘密鍵を安全に共有 (Internet Watch, 11/13)
何しろ発表されたばかりの規格であり、しかもアクセスポイントとクライアントの両方がこれに対応して、DHを利用したOWEのプロトコル拡張をサポートしなければならない関係で、どの程度普及するかは、まだ未知数だ。 (中略) Wi-Fi AllianceのProduct FinderでWi-Fi Certified Enhanced Open対応の製品は、この原稿の執筆時点では0。早くても今年末、実際には来年以降にならないと製品が出てこないように思われる。
これって、Passpoint は結局駄目なので新しい仕様をつくったという理解でいいんですかねえ。
》 国内のIPアドレスが対象、TCP 22/23/80番へのポートスキャンをNICTが実施へ、11月1日の改正法令施行を受け (Internet Watch, 11/8)。Shodan みたいなことやるよーという話、でいいのかな。
関連: 新規制定・改正法令・告示 法律 (総務省)。「平成30年5月23日 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)」。
》 CloudflareのDNSサービス1.1.1.1にiOS版とAndroid版のアプリが登場 (lifehacking.jp, 11/12)。速くなるがウリですが、追記されているように、CDN の具合によってはむしろ遅くなることもあり得るので注意。Cloudflare が運営する CDN については、ちゃんとした答えが返ってくるのだろうけれど。
》 不正アクセスでスマホ取得か=窃盗容疑で中国籍4人逮捕-警視庁 (時事, 11/12)。dアカウントの件。関連:
dアカウントで機種変更が簡単に! (NTT ドコモ)
ドコモユーザー注意!不正アクセスでiPhone Xを購入させられる被害続出 (iPhone Mania, 8/12)
ドコモ、dアカウントの不正アクセス対策で2段階認証を呼びかけ (ケータイ Watch, 8/16)
ドコモから『dアカウントのロックに関するお知らせ』というメールが届いた時の対処方法 – ロック解除、パスワード変更、確認する場所など (userdoor, 9/3)
Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)
Trend Micro社製 macOS/iOSアプリがApp Storeから一時公開停止されている件について (トレンドマイクロ, 2018.09.12) で事象の発生を認めてから 2 か月が経過しましたが、解決する目処は全く立っていないように見えます。というか、解決する気あるの?
》 超絶面白いラテンアメリカ映画の件 (八木啓代のひとりごと, 10/29)、 天から落ちてきた男。
》 プチ鹿島 ベトナム向けインスタントラーメン「ハオハオ」逆輸入を語る (miyearnZZ Labo, 10/31)
》 CNN記者“出禁”根拠映像“加工の疑い” (日テレ / Yahoo, 11/9)
》 トルコ大統領、サウジ記者殺害の音声記録を5カ国に提供 (ロイター, 11/12)。来ましたね。「サウジ、米国、ドイツ、フランス、英国」。
グラフと表でわかりやすい!SUBARU(スバル)の業績推移と決算 2018 (決算グラフ, 6/30)。「利益剰余金(内部留保) 1兆2,835億円」
衰えるニッポンの工場 品質不正を招く (日経, 11/11)
「建屋や空調機の老朽化で燃費・排ガス検査の際に湿度の基準を満たせず、検査員がドアに目張りし、電気ポットの蒸気で湿度調整していた」(スバル)
金を使うべきところに使わない馬鹿。
》 海賊版対策としてのブロッキング法制化に反対する理由について (橋本 岳, 11/11)
いきなり結論を言ってしまえば、「これを許すと、政治的な表現に対するブロッキングに容易に発展し得るから」です。
》 「愚将」牟田口廉也中将の遊興逸話の真偽 (dragoner / Yahoo, 11/10)
》 陸から海へにらみ 石垣島など駐屯地新設で注目の「地対艦誘導弾」、どんな装備? (菊池雅之 / Yahoo, 11/10)
Amazon、Appleの正規販売代理店に iPhoneなどを販売開始、日本含む (MACお宝鑑定団 / ITmedia, 11/10)
AmazonがApple未認定の再販業者をマーケットプレイス上から締め出す、業者にとっては「最悪のシナリオ」か (gigazine, 11/12)
日テレ、でっち上げ否定も「反省」 「イッテQ!」巡り (朝日, 11/8)
「イッテQ」疑惑で報告を要請 BPO、日テレに (共同, 11/9)
同業者が驚いた日テレ見解「イッテQ!守ろうとしたか」 (朝日, 11/10)
他の在京民放キー局の幹部は「イッテQの場合、ある程度の脚色は承知した上で楽しんでいる視聴者が多かったはず。今回の疑惑への反感はそれほど大きくないだろう」とみる。ただ、文春の報道後の日テレの対応には驚いたという。(中略)
「現地のコーディネーターのせいにしているように読める。放送責任のあるテレビ局として絶対にやってはいけないことだ。看板番組に傷をつけないために守ろうとしたのだろうか」
イッテQ!「でっち上げ」記事に触れず 報道後の放送で (朝日, 11/11)
Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)
関連:
なぜトレンドマイクロのiOSのあの件は大手メディアが取り上げないのだろうという疑問を見かけて (INASOFT 管理人のひとこと, 2018.11.11)
今回のAppStore削除の件も、問題発生直後に事態の深刻さを認識し、同社ネットワーク上にアップロードされてしまたプライベート的情報を削除したところまでは良かったものの、"あのプライベート的情報収集は必要なことだったんだ" とCEOが開き直るような釈明をしてしまい、"むしろ我々はこの必要なことを遂行するために、Apple社を説得しているんだ" 的な発表をしてしまったせいで、事態の深刻さがさらに増してしまった感があります。
ほんとこれ。修正するには、CEO をすげ替えるしかなくなってしまった。
トレンドマイクロはiOS版「ウイルスバスター」などの詐欺的ビジネスの総括をするべき (山本一郎 / Yahoo, 2018.11.10)
こちら:
タッチの問題に対する iPhone X ディスプレイモジュール交換プログラム (Apple)。全ての iPhone X が対象みたい。
13 インチ MacBook Pro (Touch Bar 非搭載) ソリッドステートドライブ修理プログラム (Apple)。一部の機種のみ。
13 インチ MacBook Pro (Touch Bar 非搭載) に搭載されている一部の 128 GB または 256 GB ソリッドステートドライブ (SSD) に、データの消失やドライブの故障を引き起こす可能性のある不具合があることが判明しました。この問題が確認されているのは、2017 年 6 月から 2018 年 6 月までの間に販売された 13 インチ MacBook Pro に搭載されているドライブです。
2017 年 11 月に購入した MacBook Pro (13-inch, 2017, Two Thunderbolt 3 ports) が手元にあるのだけど、シリアル番号を入力したら対象外だと言われた。「一部の」には含まれなかったみたい。
日テレ「イッテQ!」にラオス「橋祭り」やらせ疑惑 (文春オンライン, 11/7)
「週刊文春」(11月15日号)掲載「世界の果てまでイッテQ!」の記事に関する見解 (日本テレビ, 11/8)
今回の企画は、現地からの提案を受けて成立したもので、番組サイドで企画したり、 セットなどを設置した事実はなく、また、番組から参加者に賞金を渡した事実もございません。
(中略)
一方でこの催しについて、コーディネート会社から、ラオスでは村単位で開催されているという説明はあったものの、今回放送した会場での開催実績を十分に確認しないまま作業を進めてしまいました。結果、この会場で初めての開催であった「橋祭り」を、放送では毎年行われているかのような、誤解を招く表現となりました。この点については、番組として真摯に反省すべき点があったと考えております。
開催実績なしですか。やらせと言われても仕方がない内容だと認めているようなものだなあ。 日テレもだまされた側なのかもしれんが。
「イッテQ!」を巡るデッチ上げ、日テレは否定 ⇒ 文春は反論 (ハフポスト, 11/8)
「イッテQ」疑惑をテレ朝「モーニングショー」が検証したらクロ! (水島宏明 / Yahoo, 11/9)
「モーニングショー」のコメンテーターである玉川徹もスタジオでコメントしていたが、動画でみると、この「橋祭り」のセットにはかなりの金額がかかっていたことはテレビの世界にいる人間ならば容易に想像できる。それを仮に「現地コーディネーター」が用意し、賞金も渡していた、ということになれば、日本テレビの局員であるプロデューサーやチーフ・プロデューサーが関与または承知していた、と見るのがテレビ業界では当然だろう。 「実際にはラオスの伝統行事として存在していなかった橋祭り」というイベントを、テレビ番組のために「準備して」、セットも含めて用意して、ということを現地コーディネーターが認めたとなると、日本テレビが8日に発表した見解は「ごまかし」以外の何物でもない、ということになってしまう。
関与したのか、そうではないのか。 現地コーディネーターに騙されたのか、視聴者を騙したのか。
テレ朝・玉川徹氏「イッテQ」ヤラセ疑惑の会場は“セット”と断定「特別に発注しないと存在しない」 (東スポ, 11/9)
日テレ「イッテQ!」やらせ疑惑 ラオス政府、今後の対応協議 (FNN, 11/9)
イッテQヤラセ疑惑 参加したラオス少年「日本人のイベントと聞いた」 (FNN, 11/9)
日テレvs文春「イッテQ」やらせ疑惑で真っ向対立 (日刊スポーツ, 11/9)
「人を不快にしたくてやってることなんて1ミリもない」 やらせ疑惑の「イッテQ!」、ロッチ中岡が心境明かす (ねとらぼ, 11/9)
》 『瞬簡PDF 変換 10』改訂情報 (アンテナハウス, 11/9)。 Ver.10.0.2。 「トレンドマイクロ社の「ウイルスバスター クラウド」で『瞬簡PDF 変換 10』がランサムウェアと誤認識される現象に対応しました」
》 A New Chapter for OSS-Fuzz (Google, 11/6)
》 「漫画村」裁判の原告が現状を漫画化して公開 拠点とみられる超高層タワーマンション特定方法も語る (ねとらぼ, 11/10)
》 抗菌薬使い過ぎで年70万人が死亡 専門家団体が発足「国民が知る必要」 (BuzzFeed, 11/9)
》 “夜の家庭内別居”防止に役立つ枕の話、パートナーのいびき軽減にも効果があった! (Internet Watch, 11/7)。枕ですか。
》 認証不要でWi-Fi通信の傍受を不可能に、フリーWi-Fi向け新規格「Wi-Fi Certified Enhanced Open」 (Internet Watch, 11/6)
》 「Windows 10 Pro」ライセンス認証に問題 ~日本、韓国、アメリカなど多くの国で確認 (窓の杜, 11/9)。問題が出ているのは Pro 版だけみたい。
》 中国Tencentが全ゲームに1日1時間の制限を導入へ (PC Watch, 11/6)
》 出版社が絵本に「子ども自身が飛びつく絵」を描いたのに「なぜ萌え絵にしたのか」と質問され困惑 (togetter, 11/8)。いまどきの読者に合わせただけなのにね。 なお、元ツイートにはたいへん多くの reply がついており、この togetter にまとめられているのはほんの一部。
》 映画『MMRワクチン告発』公開中止のお知らせ (MMRワクチン告発, 11/7)。真摯な対応。
Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)
Appleに消されたトレンドマイクロ、CEOの言い分 (日経, 2018.11.09)。 「日経 xTECH 2018年11月1日付の記事を再構成」。
「Google+」が終了へ、18年3月に見つかった情報漏洩バグを今まで公表せず (2018.10.09)
グーグルプラスの欠陥問題、米上院議員が公表の遅れを問題視 (ロイター, 2018.10.25)。「エイミー・クロブチャー、キャサリン・コルテス・マスト両上院議員」。Amy Klobuchar と Catherine Cortez Mast。
PowerDNS Recursorの脆弱性情報が公開されました(CVE-2018-10851、 CVE-2018-14626、CVE-2018-14644) (JPRS, 2018.11.08)
PowerDNS Authoritative Serverの脆弱性情報が公開されました (CVE-2018-10851、CVE-2018-14626) (JPRS, 2018.11.08)
JVNVU#98026636 - LogonTracer に複数の脆弱性 (JVN, 2018.11.07)。LogonTracer 1.2.1 で修正。
nginx 1.15.6, 1.14.1 で修正。
[nginx-announce] nginx security advisory (CVE-2018-16843, CVE-2018-16844) (nginx, 2018.11.06)。 HTTP/2 実装 (ngx_http_v2_module) に 2 件の欠陥 (メモリ破壊、CPU 利用率上昇)。iida さん情報ありがとうございます。
[nginx-announce] nginx security advisory (CVE-2018-16845) (nginx, 2018.11.06)。 ngx_http_mp4_module に欠陥。攻略 MP4 ファイルによって worker process で無限ループが発生、メモリが枯渇する。
nginxの脆弱性情報(Medium: CVE-2018-16843, CVE-2018-16844, Important: CVE-2018-16845) (SIOS, 2018.11.08)
SamsungやCrucial製SSDの暗号化機能に脆弱性 (PC Watch, 2018.11.07)
問題のSSDではパスワードと秘密鍵が紐付けられておらず、パスワード変更のコマンドを使ってパスワードを書き換えてしまうことで、データにアクセスが可能となっていたという。
Windows標準の暗号化機能「BitLocker」の場合、ドライブがハードウェア暗号化に対応していると、そちらを優先して利用するよう標準で設定されており、問題のあるハードウェア暗号化が有効化されてしまう。そのため、研究チームではグループポリシー設定から強制的にソフトウェア暗号化を利用するように設定するとともに、再度ドライブを暗号化するよう推奨している。
Radboud University researchers discover security flaws in widely used data storage devices (Radboud University, 2018.11.05)。問題発見者が確認したのは以下の機器:
Crucial (Micron) MX100, MX200 and MX300 internal hard disks;
Samsung T3 and T5 USB external disks;
Samsung 840 EVO and 850 EVO internal hard disks.
ADV180028 | ソフトウェア暗号化を適用するように BitLocker を構成するためのガイダンス (Microsoft, 2018.11.06)
「VirtualBox」にゼロデイ脆弱性 ~ロシアのセキュリティ研究者が“GitHub”で明らかに (窓の杜, 2018.11.08)。VirtualBox 5.2.20 以前に欠陥、特定の条件下でゲスト OS からホスト OS への攻撃が可能、任意のコードを実行できる。
仮想ネットワークアダプターの割り当てが“NAT”で、タイプが“Intel PRO/1000 MT Desktop(82540EM)”にセットされていることだけが条件だ(これは仮想マシンの初期設定でもある)。
Hyper-Threading搭載のIntel CPUに新たな脆弱性 ~“PortSmash”が明らかに (窓の杜, 2018.11.05)
IntelのCPUで新たな脆弱性「Portsmash」が発見される、ハイパースレッディングに関する2つ目の脆弱性 (gigazine, 2018.11.05)
CVE-2018-5407: new side-channel vulnerability on SMT/Hyper-Threading architectures (oss-sec ML, 2018.11.04)。OpenSSL については OpenSSL 1.1.1 / 1.1.0a で修正されているという。
portsmash (GitHub)。PoC。
Cryptology ePrint Archive: Report 2018/1060 - Port Contention for Fun and Profit (iacr.org, 2018.11.01)
Intel CPUの脆弱性( Portsmash : CVE-2018-5407 ) (SIOS, 2018.11.04)
Androidの2018年11月セキュリティ情報が発表 ~任意コードが実行されてしまう脆弱性 (窓の杜, 2018.11.06)
》 ユーザーを騙す広告を掲載するサイトはブロックへ ~「Google Chrome 71」から実施 (窓の杜, 11/6)
》 どこまでもめるブロッキング 海賊版対策の混迷 (NHK, 11/7) (魚拓)。ブロッキングありきでやろうとする輩のせいで混迷しているのだが。
》 東海第二原発 再稼働にはさまざまな課題が (NHK, 11/7)
》 元徴用工の韓国大法院判決に対する弁護士有志声明 (猪野 亨 / BLOGOS, 11/7)、 元徴用工問題 本質は人権侵害 日本の弁護士有志が声明 (赤旗, 11/6)
この問題について、韓国大法院は、元徴用工の慰謝料請求権は日韓請求権協定の対象に含まれていないとして、その権利に関しては、韓国政府の外交保護権も被害者個人の賠償請求権もいずれも消滅していないと判示した。
他方、日本の最高裁判所は、日本と中国との間の賠償関係等について、外交保護権は放棄されたが、被害者個人の賠償請求権については、「請求権を実体的に消滅させることまでを意味するものではなく、当該請求権に基づいて訴求する権能を失わせるにとどまる」と判示している(最高裁判所2007年4月27日判決)。この理は日韓請求権協定の「完全かつ最終的に解決」という文言についてもあてはまるとするのが最高裁判所及び日本政府の解釈である。
この解釈によれば、実体的な個人の賠償請求権は消滅していないのであるから、新日鉄住金が任意かつ自発的に賠償金を支払うことは法的に可能であり、その際に、日韓請求権協定は法的障害にならない。
安倍首相は、個人賠償請求権について日韓請求権協定により「完全かつ最終的に解決した」と述べたが、それが被害者個人の賠償請求権も完全に消滅したという意味であれば、日本の最高裁判所の判決への理解を欠いた説明であり誤っている。他方、日本の最高裁判所が示した内容と同じであるならば、被害者個人の賠償請求権は実体的には消滅しておらず、その扱いは解決されていないのであるから、全ての請求権が消滅したかのように「完全かつ最終的に解決」とのみ説明するのは、ミスリーディング(誤導的)である。
そもそも日本政府は、従来から日韓請求権協定により放棄されたのは外交保護権であり、個人の賠償請求権は消滅していないとの見解を表明しているが、安倍首相の上記答弁は、日本政府自らの見解とも整合するのか疑問であると言わざるを得ない。
》 スペクティ、びわ湖放送でAIアナウンサー「荒木ゆい」をレギュラー起用 〜 地域の安全安心情報番組で (PR Times, 11/6)
》 GAFAに社会共存の風圧 課税や賃上げ、下がる利益率 (日経, 10/13)
》 LINE内ゲーム1カ月停止 Apple審査で問題か (日経, 11/6)
》 東ロボくんの生みの親《新井紀子》教授の間違いが明らかになった日。人間は人工知能に読解力でも負けつつある (togetter, 11/5)。新しい手法 BERT が登場、 読解力テストで人間に勝利する場面が出てきているそうで。
カショギ氏の遺体は「溶かされた」、殺害後に-トルコ大統領顧問 (ブルームバーグ, 11/2)、 カショギ氏遺体、酸で溶かされた可能性捜査 米紙報道 (AFPBB, 11/2)
カショギ氏殺害はサウジ政府の「最高レベル」が命令 トルコ大統領 (AFPBB, 11/3)
カショギ氏は「危険」 サウジ皇太子、米高官に発言か (朝日, 11/2)
ソフトバンク孫社長、カショギ氏殺害を非難 サウジとの事業は継続の意向 (AFPBB, 11/5)
カショギ氏殺害、サウジが「隠蔽」のためトルコに毒物学者ら派遣か (AFPBB, 11/5)、 サウジ、証拠隠滅班派遣か 記者殺害9日後と報道 (日経, 11/5)、 サウジ、工作員が記者殺害の証拠隠滅=トルコ (Wall Street Journal, 11/6)
記者殺害「サウジの捜査協力は満足できず」 トルコ外相 (朝日, 11/6)
カショギ氏の遺族、遺体の返還をサウジに要求 (AFPBB, 11/5)、 「遺体の返還を」、カショギ氏の息子2人が訴え CNN EXCLUSIVE (CNN, 11/5)
大阪府警「死の連行」 パトカーに押し込まれた泥酔男が死亡 (FRIDAY / Yahoo, 10/26)
大阪府警、市民を「首絞め」連行し死亡させる…目撃者への隠ぺい工作&恫喝の音声公開 (粟野仁雄 / Business Journal, 11/5)
》 dragokas/hijackthis (GitHub)。定番ツールとして広く知られた HiJackThis ですが、2012 年にオープンソース化された後、 Polshyn Stanislav 氏による Fork 版が開発されていたのですね。 Windows 10 への対応や、新機能もあるそうで。
全日空: 体調不良となり乗務できず、5便に遅れ (10/25)
全日空系の機長、前夜の飲酒で乗務できず 計5便に遅れ (朝日, 10/31)
全日空 機長飲酒で乗務できず5便遅れ ANAウイングス (毎日, 10/31)
日本航空: 副操縦士がアルコール検査を不正回避? したもののバレて逮捕 (10/28)
【お詫び】運航乗務員の乗務前日の飲酒による法令違反について (JAL, 11/1)
飲酒で拘束されたJAL副操縦士、29日に判決 国交省は基準強化 (AviationWire, 11/2)
JAL副操縦士、飲酒の罪状認める 上限値の10倍のアルコール検出 (ハフポスト, 11/2)
今度はJAL… 止まらぬパイロット飲酒不祥事 ワイン2本、瓶ビール2本、缶ビール2本…社内検査はすり抜け (zakzak, 11/3)
「飲酒が禁じられていたのは出発の12時間前だというが、いくら何でも飲み過ぎだ。仲間内で飲んでいたのなら、誰か『飲み過ぎだ』と止められたはずだ」と指摘するのは航空評論家の秀島一生氏。秀島氏が日本航空国際線チーフパーサーなどとして勤務していた当時は、飲酒が認められている時間内でも、フライトの前日は3、4人でワインボトルを1本飲む程度に控えていたという。
航空乗務員飲酒 基準強化へ 国交省検討会、検査義務化も (毎日, 11/6)
For The Web (World Wide Web Foundation)
バーナーズ・リー氏、ウェブを守る「協定」を提唱--グーグルやFacebookが賛同 (CNET, 11/6)
同氏は政府に対し、全市民が常時ウェブに完全にアクセスできるようするために献身的に取り組み、同時に全市民のプライバシーも尊重するよう求めた。さらに、テクノロジ企業がこれらの権利の保護に向けた役割を果たし、人類の良い面を支援する技術を開発することも求めている。
ウェブは危機に瀕している。我々とともにウェブのために戦おう。 (Tim Berners-Lee / yomoyomo / yamadas.org, 4/20)
Google supporting ‘Contract for the Web’ from Tim Berners-Lee & Web Foundation (Google, 11/5)
BGM: OxT「UNION」(TVアニメ「SSSS.GRIDMAN」OP主題歌) 試聴動画 (PONY CANYON / YouTube, 11/2)。「それじゃとりあえず、同盟を結ぼうか」。
Texas Instruments (TI) の Bluetooth Low Energy (BLE) チップに 2 種類の欠陥。
TI CC2640, CC2650, CC2640R2F, CC1350 に欠陥。任意のコードの実行を招く。 CVE-2018-16986
TI は対策版ファームウェアを用意している。 http://www.tij.co.jp/tool/jp/BLE-STACK にある BLE-STACK V2.2.2 など。
Texas Instruments Bluetooth Low Energy Denial of Service and Remote Code Execution Vulnerability (Cisco, 2018.11.01)。 Cisco 1540, 1800i, 1810, 1815i, 1815m, 1815w, 4800 + ソフトウェア 8.7.102.0 / 8.7.106.0 以降、 および Meraki MR30H, MR33, MR42E, MR53E, MR74 + MR 25.13 より前に欠陥。 ソフトウェア 8.8.100.0 / MR 25.13 以降で対応される模様。
BLE scan mode を無効化する (デフォルト: 無効) ことで回避できるようなのだが、「No workarounds available」と書かれているのがよくわからない。
TI cc2642r, cc2640r2, cc2640, cc2650, cc2540, cc2541 に欠陥。 over-the-air ファームウェアダウンロード (OAD) 機能に欠陥があり、 任意のコードの実行を招く。CVE-2018-7080
TI は対策版ファームウェアを用意している。 http://www.tij.co.jp/tool/jp/BLE-STACK にある BLE-STACK V2.2.2 など。
ARUBA-PSA-2018-006 - Aruba BLE Radio Firmware Vulnerability (Aruba, 2018.10.31)。Aruba AP-3xx, IAP-3xx, AP-203R, AP-203RP + ArubaOS 6.4.4.x / 6.5.3.x / 6.5.4.x / 8.x / 8.3.x に欠陥。ArubaOS 6.4.4.20 / 6.5.3.9 / 6.5.4.9 / 8.2.2.2 / 8.3.0.4 で修正。
BLE radio を無効化することで回避できる。
関連:
BLEEDINGBIT (armis.com)
BLEEDINGBIT: Your APs Belong to Us (BlackHat Europe 2018)。詳細についてはこちらで発表される予定だそうで。
VU#317277 - Texas Instruments Microcontrollers CC2640 and CC2650 are vulnerable to heap overflow (US-CERT, 2018.11.01)
低電力Bluetoothチップの多くに存在するリモートアクセスを可能にする脆弱性「BleedingBit」の存在が明らかに (gigazine, 2018.11.02)
五十嵐さん情報ありがとうございます。
》 イエメン内戦3年超 終結は 米、サウジに空爆停止要求 記者殺害影響か (東京, 11/4)
》 入管収容場、収容所で何が起きているのか!大阪入管閉じ込め事件 (TRY 入管面会報告, 11/4)。これはひどい。
》 送金指示元はフランスとドイツのIPアドレス、“Zaif犯人追跡ハッカソン”が大阪府警に提出 Zaif不正出金事件の犯人追跡につながる証拠、JDDやエルプラスが特定 (ascii.jp, 11/5)、 仮想通貨取引所Zaifから流出した仮想通貨の追跡について (Japan Digital Design, 11/5)。 ハッカソン (9/23, 24) の成果に基づいて 9/24 からデータ収集を実施。 「当該Monacoinが10月20日から移動を開始したことから、該当するトランザクション5件の発信元を推定、当該トランザクション発信元の特徴について、関係当局に情報提供」。
》 弁護士よりもAIの方が秘密契約保持書(NDA)の処理を素早く正確に行える (gigazine, 11/5)
》 深層学習を用いて歌からボーカルや楽器だけを抽出する技術が開発される (gigazine, 11/5)
》 結構バズったので、AIによる自動着色の現状とその使い方についてまとめた~~人工知能技術の衝撃~~ (togetter, 11/2)。style2paints V4。すげえな……。
》 知らぬ間に想像のつかない数字になっている世界各国の人口について (gigazine, 11/3)
》 Windowsイベントログについてのにゃんたくメモ (にゃんたくのひとりごと, 6/22)
》 ドローン自動飛行で鉄塔点検 撮影画像から異常検出、3Dマップも生成 (ITmedia, 11/1)
》 Uber、安全性レポートを公開--自動運転車の公道試験を再開視野に? (CNET, 11/5)
》 Twitter、米国中間選挙の投票妨害狙うアカウント1万件超を削除か (CNET, 11/5)
》 米司法省、中国情報当局者らの訴追を発表 航空機エンジン情報狙ったハッキングの疑い (ITmedia, 11/1)、 Chinese Intelligence Officers and Their Recruited Hackers and Insiders Conspired to Steal Sensitive Commercial Aviation and Technological Data for Years (US Department of Justice, 10/30)
》 ブロッキングに反対するスウェーデンのISP、ブロッキングを要求したElsevierもブロック対象に (スラド, 11/3)。関連:
Sci-Hubがオープンアクセスを後押ししている? (P2P とかその辺のお話 R, 10/31)
エルゼビアと米化学会、ResearchGateに著作権侵害訴訟を起こす (P2P とかその辺のお話 R, 10/30)
CloudFlare、Sci-Hubドメインへのサービス提供を停止 (P2P とかその辺のお話 R, 4/10)
》 常套句でうやむやにする政治を疑え 政権の言葉を考える (朝日, 10/26)。古田徹也氏 (哲学者)。
》 Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認 (トレンドマイクロ セキュリティ blog, 10/25)
》 潮吹きはただの「薄い尿」AV真似て女性器を傷つけるな (田野幸伸, 10/29)
》 「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開 (IPA, 10/26)
》 徹底解説:Android 8.0でのアプリの権限 (Kaspersky, 10/30)
》 SM-3ブロック2Aの4回目の迎撃試験は成功 (海国防衛ジャーナル, 10/27)。よかったね。
》 「海賊版サイト対策『ブロッキング』の是非は」(時論公論) (NHK 解説委員室, 10/31)
》 ブロッキング賛成派が「恨み節」?「検証・評価・企画委員会コンテンツ分野会合(第1回)」を未識魚(中川譲)さんが速報中継 (togetter, 10/31)
》 海賊版漫画、ダウンロード違法に? 静止画も対象に、法改正検討 (朝日, 10/30)。またぞろこういう話が出てきましたか。
》 奨学金、保証人の義務「半額」なのに…説明せず全額請求 (朝日, 11/1)。日本学生支援機構。
機構は奨学金を貸与する際、借りた本人が返せない場合に備え、連帯保証人1人(父か母)と保証人1人(4親等以内の親族)の計2人が返還義務を負う人的保証か、借りた本人が保証機関に一定の保証料を払い、返せない時に一時的に肩代わりしてもらう機関保証を求める。
人的保証の場合、保証人の返還義務は 1/2 なのに、日本学生支援機構は全額返せと要求している模様。
》 iFixit、ヘリウムガスによる「iPhone」“文鎮化”を確認--MRIのヘリウムが影響か? (CNET, 11/2)。仕様みたい。
iPhoneおよびApple Watchのユーザーガイドにもヘリウムガスによる影響は明記されおり、それが確認された形だ。 (中略) この病院の件で興味深い点は、その場所に1台だけあった「iPhone 5」やほかのAndroidスマートフォンに影響がなく、「iPhone 6」以降のモデルが動かなくなったことだ。Apple Watchは、世代を問わずトラブルが発生していた。こうした状況からiFixitは、Appleが少し前から採用している水晶発振器の誤動作によるトラブルでないか、と考えている。
》 大学におけるウェブメールサービスを狙ったフィッシングメールに注意 ~ フィッシングの基本の手口を知って、継続的な対策を ~ (IPA, 10/31)
》 防衛省 「高速滑空弾」26年度装備化へ 離島防衛用 (毎日, 10/15)。射程高々 400km のために極超音速兵器が必要なわけねーだろバカ。global strike weapon を持ちたいって正直に言え。
》 F2後継、日米共同開発へ F22をベースに (毎日, 10/29)。実際、自前だけでやるのは大変だからなあ。
F22の既存機をベースに能力を向上させる改修を提案していたロッキード社が、共同開発に提案を変えたことを受け、防衛省は実現可能性の調査を始めた。同省は対空、対艦、対地の多任務戦闘機として、主に離島防衛などに活用する方針だ。
対艦攻撃任務も行えるようなマルチロール機ですか。F-2 とは違って、自前だけでなく広く海外に売るつもりでつくるのかな。
》 高校の生徒たちから失われつつあるコンピューターのスキルとは? (gigazine, 11/2)
その1つが「ファイル、ディレクトリ(フォルダー)、パス」の概念です。
(中略)
そして、実際に作業を行う上で引っかかってくるのが、「タッチタイピング」ができないという点です。
さもありなん、って感じ。タッチタイプの練習用としては、いまどきの note PC はあまりいいものではないだろうしなあ。
そのため、ウェロンズさんは親御さん向けに、安価なRaspberry Piでもいいので、マウスとキーボードを使う汎用コンピューターを子どもに触らせるようにして欲しいと呼びかけています。
なるほどなあ。
patch あり。squid 4.4 で対応。
SQUID-2018:4 - Cross-Site Scripting issue in TLS error processing. (squid-cache.org, 2018.10.28)
SQUID-2018:5 - Denial of Service issue in SNMP processing. (squid-cache.org, 2018.10.28)
patch あり。curl 7.62.0 で対応。
SASL password overflow via integer overflow (curl, 2018.10.31)
use-after-free in handle close (curl, 2018.10.31)
warning message out-of-buffer read (curl, 2018.10.31)
Severity: low のため、次期版 (OpenSSL 1.1.1a / 1.1.0j / 1.0.2q) で対応。 git リポジトリ上では対応済。 iida さん情報ありがとうございます。
Timing vulnerability in ECDSA signature generation (CVE-2018-0735) (OpenSSL, 2018.10.29)
Timing vulnerability in DSA signature generation (CVE-2018-0734) (OpenSSL, 2018.10.30)
UWPアプリが無許可でユーザーのファイルにアクセス--Windows 10にバグ発覚 (ZDNet, 2018.10.30)。Windows 10 October 2018 Update で対応。
JVNVU#99875465 - Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性 (JVN, 2018.11.01)。1.2.0 〜 1.2.44 に欠陥あり、1.2.46 で対応。
JVNVU#93926212 - Cisco ASA および FTD の SIP インスペクション機能におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2018.11.02)。現時点では、SIP インスペクション機能を無効にするしかないようです。
X.Org security advisory: October 25, 2018 (oss-sec ML, 2018.10.25)。patch。
「計画運休」定着と福知山線脱線事故現場の今 その後のJR西日本は「安全最優先」となったか (松本 創 / 東洋経済, 10/26)
JR西「恐怖の研修」は変わらぬ体質の象徴だ あの「福知山線脱線事故」から何を学んだのか (松本 創 / 東洋経済, 11/1)
JR西日本は本当に安全最優先の企業になったのか──。最初の問いの答えになる言葉を遺族の淺野氏はこう語っている。『軌道』の出版後、JR西の新旧幹部が居並ぶ席でのことだ。
「JRの幹部たちのなかから『わが社の安全はまだ道半ば』と聞こえてくる。何を言っているのかと思う。道半ばなんて、とても到達していない。これまでのやり方ではだめだとようやく気づき、改善へ取り組もうと模索を始めたばかりじゃないですか。現状認識を間違えないでいただきたい」
私もこれに同感である。
殺害されたカショジ記者の婚約者、「これでは死を受け止められない」とBBCに (BBC, 10/30)
カショジ記者は「ただちに絞殺された」=トルコ検察 死亡詳細を初公表 (BBC, 11/1)、 サウジ人記者「絞殺され、遺体切断」 トルコ検察が声明 (朝日, 11/1)
カショギ記者の素顔 穏健な批判生かされず(The Economist) (日経, 10/31)
》 仮想通貨犯罪の裏で暗躍する北朝鮮ハッカー部隊--その深い闇を明かす2つのレポートが公開 (ZDNet, 11/1)
》 クラウドファンディングでつくる映画の祭典 「Winny事件」描く作品がグランプリ (ハフポスト, 2/4)。『CAMPFIRE 映画祭』。こんなのあったのか。
グランプリの企画は、and picturesの協力を得て、短編映画オムニバス「SHORT TRIAL PROJECT」の1作品として映画上映される。
その後どうなったのだろう。
》 ソユーズ事故後初の有人飛行、12月3日に実施へ (AFPBB, 11/1)。「ロケットの1~2段目の切り離しを検知するセンサーが誤作動を起こしたことから、1段目のブースター4基のうちの1基の切り離しが正常に行われず、2段目の燃料タンクに衝突して爆発を引き起こした」
》 英国で医療大麻が合法化 専門医が処方可能に (BBC, 11/1)。「病院勤務の専門医が認めた少数の場合に限られ、一般医師からは処方できない」
》 米陸軍第 38 防空砲兵旅団再編成、司令部は相模総合補給廠に。 司令部だけの部隊なのかな。
The 38th Air Defense Artillery Brigade reactivates (army.mil, 10/31)。37 年ぶりに再編成。
米軍、相模原にミサイル防衛の新司令部 サードも指揮へ (朝日, 10/31)。嘉手納の PAC3、車力と経ケ岬の X バンドレーダーの他、 グアムの THAAD も指揮下に入るみたい。
アジア・太平洋地域米軍 関与強化狙う ミサイル防衛・軍事作戦の拠点化 相模補給廠の新司令部 (赤旗, 10/31)
キャンプ座間で編成式 ミサイル防衛拠点化狙う 相模新司令部 (赤旗, 11/1)
在日米陸軍司令官のヴィエット・ルオン少将は、グアムのTHAAD=サード(終末高高度地域防衛ミサイル)の部隊も「もうすぐ指揮下に入る」と明らかにしました。
》 ロシアと中国のハッキングコミュニティの違い/韓国の住民登録証から指紋の偽造は可能 (Internet Watch, 11/1)
》 青空文庫はどうなる? 「TPP11」12月30日発効で日本の著作権は「死後70年」に変更が確定 (Internet Watch, 11/1)、 TPP法案衆院通過 著作権保護 50→70年に (東京, 11/1)
関連: 赤松健さんに訊く海賊版対策 (山田太郎 / BLOGOS, 7/4)
米国を除くTPP11か国による「TPP11」が、6月29日参議院本会議を通過し成立しました。この中には、著作権の非親告罪についても含まれています。TPP11の著作権の関連法においては、私が議員の時代に強く関与した海賊版のみ非親告罪化ということで、そのまま通っています。海賊版の定義も①対価を得る目的、又は権利者の利益を害する目的、②有償著作物が原作のまま、③有償著作物の提示等で権利者の利益が不当に害される場合、などの限定がついています。
当時、審議官などとも直接交渉をしてきて、二次創作やパロディー、コスプレなどは直接これに当たらないものとするよう画策してきました。つまり、それらは、非親告罪のままということです。これまでの努力が、今回の改正に大きく結果を残せたことは大変安堵しています。しかし、何をもって海賊版かは、最後まであいまいな部分も残ります。そして、二次創作やパロディーが非親告罪といっても、今回の著作権法見直しなどで、権利者の意識が変わってくれば、訴えれば訴訟を起こされることは変わりません。
出てます。
About the security content of iOS 12.1 (Apple, 2018.10.30)
About the security content of tvOS 12.1 (Apple, 2018.10.30)
About the security content of watchOS 5.1 (Apple, 2018.10.30)
About the security content of macOS Mojave 10.14.1, Security Update 2018-001 High Sierra, Security Update 2018-005 Sierra (Apple, 2018.10.30)。サポート対象は Sierra 以降になったみたい。
Mojave にはできないけど Sierra / High Sierra にならできる方はこちらをどうぞ。
macOS Sierra にアップグレードする方法 (Apple)
macOS High Sierra にアップグレードする方法 (Apple)
About the security content of Safari 12.0.1 (Apple, 2018.10.30)
About the security content of iTunes 12.9.1 (Apple, 2018.10.30)
About the security content of iCloud for Windows 7.8 (Apple, 2018.10.30)
しかし watchOS 5.1 は不具合が発生してダウンロード不可となっているみたい。
「watchOS 5.1」アップデート適用後に「Apple Watch」が文鎮化--複数のユーザーが報告 (CNET, 2018.10.31)
Apple Watch向けOSアップデートに不具合、Appleが配信停止 (ITmedia, 2018.11.01)
Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)
関連:
業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ (高木浩光@自宅の日記, 2018.10.31)。ですよねえ。
トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明 (ZDNet, 2018.10.31)
Appleは、10月からApp Storeで提供するアプリでの新しいプライバシーポリシー要件の適用を開発者に求めており、アプリが収集するデータの種類や収集方法、用途の明確化が必要となった。Chen氏の主張は、セキュリティを主目的とするアプリ、あるいはセキュリティ企業がセキュリティに関連して提供するアプリにおいて、Appleの求めるポリシーへの厳格な対応が難しいという課題であり、この点が、同社アプリの提供を再開する上でも懸案事項になっているようだ。
いやいや、ちょっと待って。「Appleの求めるポリシーへの厳格な対応が難しい」なんてことは、他のセキュリティベンダーは言ってないと思うのですが。 なぜトレンドマイクロだけがそういうことを言っているのか、インタビュアーさんは聞きましょうよ。
Chen氏は、Appleの求める要件がこれからのITにおいて必須であることを理解しており、トレンドマイクロとしてもAppleの方針に賛同し、そのプロセスに対応していく考えであると話す。ただ、懸案事項に関する結論はまだ出ておらず、Appleとトレンドマイクロとの間で事態の打開に向けた具体的な協議をこれから本格化させていくという。
顧客利益を考えれば、トレンドマイクロは、 「Appleの求めるポリシーへの厳格な対応」を行ったバージョンを、 まずはとっとと出すべきでしょう。その上で、「懸案事項」に関する協議だのなんだのを行えばよいのです。
『JapanTaxi』アプリ 位置情報データ取り扱いについて (2018.10.30)
関連:
配車アプリ「Japan Taxi」の位置情報、ユーザーの明確な同意なしに広告会社が利用していた (ハフポスト, 2018.10.30)
JapanTaxi、広告目的での位置情報利用を停止 「説明が不十分だった」 (ITmedia, 2018.11.01)
Firefox 63.0 / ESR 60.3.0 公開 (2018.10.25)
関連:
Mozilla、「Firefox」v63.0.1を公開 ~不具合修正が中心のマイナーアップデート (窓の杜, 2018.11.01)
不具合と脆弱性を修正した「Thunderbird」v60.3.0が公開 (窓の杜, 2018.11.01)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)