Last modified: Wed Dec 15 12:36:33 2021 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 情報セキュリティ10大脅威 2019 (IPA, 1/30)
》 中小企業の情報セキュリティ対策ガイドライン改訂版(案) (IPA, 1/29)
》 今国会で”LGBT関連法案”の議論は進むのか?与野党議員に聞く両者の“溝“ (弁護士落合洋司(東京弁護士会)の日々是好日, 1/30)
》 博多タクシー暴走事故 運転手に禁錮7年求刑 (毎日, 1/31)。 2016.12.03 に発生したタクシー暴走事故の件。検察側はブレーキ踏み間違い事故であり禁錮7年、 弁護側は機器不具合による事故であり無罪、を主張。 私には典型的なブレーキ踏み間違い事故のように見えるのだが。
検察側は (中略) 「ブレーキを踏んだが利かなかった」との松岡被告の主張を「責任逃れの虚偽弁解」と批判した。
いやいや。運転手のその思い込みこそが事故原因なのですから、虚偽呼ばわりしても無意味でしょう。 本当にそう思い込んでいるからこそ事故が起こるんですよ。
関連:
博多タクシー暴走 直前、アクセル踏む…記録装置を解析 (毎日, 2016.12.22)。事故車 (プリウス) のイベント・データ・レコーダー解析結果についての、ケーサツ発情報。
EDRはエアバッグが作動する事故が起きた際、直前約5秒間のアクセルとブレーキの操作状況や車速、エンジンの回転数などを記録する装置。飛行機のフライトレコーダーに当たり、事故原因の分析に利用されている。
福岡・タクシー暴走1年 車止め設置広がる 各施設独自で (毎日, 2017.12.03)
博多・タクシー暴走 3人死亡、原因解明を 10日初公判 (毎日, 2018.05.08)。「タクシーが突っ込んだ待合スペースの前には事故後、突入防止の壁(中央)が設けられた」(写真あり)。
福岡タクシー暴走 無罪主張「踏み間違えてない」 初公判 (毎日, 2018.05.10)
元ねた:
The Karma Hack: UAE used cyber super-weapon to spy on iPhones of foes (Joel Schectman & Christopher Bing / Reuters, 2019.01.30)
The cyber tool allowed the small Gulf country to monitor hundreds of targets beginning in 2016 (中略) In 2016 and 2017, Karma was used to obtain photos, emails, text messages and location information from targets’ iPhones. (中略) The former operatives said that by the end of 2017, security updates to Apple Inc’s iPhone software had made Karma far less effective.
2016〜2017 の間は、大いに威力を発揮したようです。 2017 が終わるまでには、というと、iOS 11 でしょうか? 知らんけど。
iOS 11.2.1 のセキュリティコンテンツについて (Apple, 2017.12.13)
Three former operatives said they understood Karma to rely, at least in part, on a flaw in Apple’s messaging system, iMessage. They said the flaw allowed for the implantation of malware on the phone through iMessage, even if the phone’s owner didn’t use the iMessage program, enabling the hackers to establish a connection with the device.
To initiate the compromise, Karma needed only to send the target a text message — the hack then required no action on the part of the recipient. The operatives could not determine how the vulnerability worked.
テキストメッセージ 1 発でハクれたと。マジですか。
Project Raven: Inside the UAE’s secret hacking team of American mercenaries (Joel Schectman & Christopher Bing / Reuters, 2019.01.30)。 元 NSA を雇ってハッキング、なんてこと、本当にあるんですね。
An NSA spokesman declined to comment on Raven. An Apple spokeswoman declined to comment. A spokeswoman for UAE’s Ministry of Foreign Affairs declined to comment. The UAE’s Embassy in Washington and a spokesman for its National Media Council did not respond to requests for comment.
ノーコメントですか。そりゃそうか。
In 2013, her world changed. While stationed at NSA Hawaii, Stroud says, she made the fateful recommendation to bring a Dell technician already working in the building onto her team. That contractor was Edward Snowden.
(中略)
In the wake of the scandal, Marc Baier, a former colleague at NSA Hawaii, offered her the chance to work for a contractor in Abu Dhabi called CyberPoint. In May 2014, Stroud jumped at the opportunity and left Booz Allen.
おぉぅ。スノーデン氏がやらかしたおかげで、Stroud 氏は UAE へ行くことになったのですか。
Former Raven operatives believed they were on the right side of the law because, they said, supervisors told them the mission was blessed by the U.S. government.
Although the NSA wasn’t involved in day-to-day operations, the agency approved of and was regularly briefed on Raven’s activities, they said Baier told them.
後ろに大ボスがいたわけですか。
Reuters reveals UAE’s secret mercenary hacking team (Reuters, 2019.01.30)
iOS 11 について追記。
「スノーデン」を生んだ「NSA女性ハッカー」の「暴露」 フォーサイト-新潮社ニュースマガジン (山田 敏弘 / 時事, 2019.02.27)
iPhoneの驚異的なハッキングツール「Karma」をUAEと共に開発した元NSA職員3名が計1億8000万円超の罰金支払いへ (gigazine, 2021.09.15)
活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴 (techcrunch, 2021.12.11)
訴状で名指しされている、ExpressVPNのCIOであるDaniel Gerike(ダニエル・ジェライク)氏、Marc Baier(マーク・ベイヤー)氏、Ryan Adams(ライアン・アダムズ)氏の3人の米国家安全保障局(NSA)元工作員は、アラブの春の抗議活動の際に、政府に反対する人権活動家、政治家、ジャーナリスト、反体制派をスパイするためにUAEが展開したハッキングプログラム「Project Raven」に参加していた。元スパイの3人は9月に米司法省との不起訴合意に基づき、コンピュータ不正使用防止法(CFAA)と機密軍事技術の販売禁止の違反を認め、計170万ドル(約1億9000万円)を支払うことに合意した。また、コンピュータネットワークの不正利用に関わる仕事、UAEの特定の組織での仕事、防衛関連製品の輸出、防衛関連サービスの提供を永久に禁止されている。
訴訟では、ジェライク氏、ベイヤー氏、およびアダムズ氏の3人が、米企業から悪意あるコードを購入し、そのコードを米国内のApple(アップル)のサーバーに意図的に誘導して、CFAAに違反してアル・ハズルール氏のiPhoneに悪意あるソフトウェアを仕込んだと主張している。また、アル・ハズルール氏の携帯電話のハッキングが、UAEによる人権擁護者や活動家に対する広範かつ組織的な攻撃の一環であったことから、人道に対する罪をほう助したとも主張している。
Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)
Medical Advisory (ICSMA-19-029-01) Stryker Medical Beds (2019.01.29)。医療用ベッドを追記。 最近は、こういうものも無線 LAN でつながっているのですね。
》 グーグルマップ悪用「振り込め詐欺」、アジアで被害増 (日経, 1/29)。vishing = voice phishing。「EMCジャパンによると、グーグルマップを悪用するリバースビッシングは主にインドで横行しており、最近になってアジア太平洋地域に広がっている」。
》 茨城県がパートナーシップ制度導入を検討 LGBTなど対象 都道府県初 (毎日, 1/30)。「4月の実施を目指し」。すばらしい。
》 豚コレラ1600頭処分へ 岐阜で7例目感染確認 (朝日, 1/29)。なかなか終息しないなあ。関連:
出荷先でも殺処分に 各務原、豚コレラ感染の疑いで (中日, 1/30)、 豚コレラの養豚場から出荷の豚、ウイルス陽性確認 岐阜 (朝日, 1/30)
県内における豚コレラ発生にかかる対応経過について (岐阜県)
豚コレラについて (農林水産省)。「人に感染することはありません」「豚コレラウイルスにより起こる豚、いのししの熱性伝染病で、強い伝染力と高い致死率が特徴」
豚コレラ対策15億円 県予算案に計上 (岐阜新聞, 1/26)
》 Bringing Internet Explorer 11 to Windows Server 2012 and Windows Embedded 8 Standard (Microsoft, 1/28)。IE 11 が提供されていなかった Server 2012 と Embedded 8 Standard にも、IE 11 が提供されるようになるそうです。 「later this year」だそうなので、もうすこしかかるようです。
出ました。
リリースノート: Firefox 65.0、 ESR 60.5.0、 Android 版 Firefox 65.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
「Firefox 65」が正式公開 ~トラッキング保護を改善、WebP/AV1をサポート (Firefox, 2019.01.30)
Thunderbird 60.5.0 も出たそうです。
リリースノート (Mozilla)
「Thunderbird」v60.5.0が正式公開 ~WeTransfer/Dropboxで巨大ファイルを添付可能に (窓の杜, 2019.01.30)
New Release: Tor Browser 8.0.5 (Tor Project, 2019.01.29)。Firefox ESR 60.5.0 対応など。 iida さん情報ありがとうございます。
Firefox 65.0.1 / ESR 60.5.1 が出ました。セキュリティ修正を含みます。
MFSA 2019-04 - Security vulnerabilities fixed in Firefox 65.0.1 (Mozilla, 2019.02.12)
MFSA 2019-05 - Security vulnerabilities fixed in Firefox ESR 60.5.1 (Mozilla, 2019.02.12)
Thunderbird 60.5.1 も出ています。
MFSA 2019-06 - Security vulnerabilities fixed in Thunderbird 60.5.1 (Mozilla, 2019.02.14)
Chrome 72.0.3626.81 が stable に。58 件のセキュリティ修正が含まれる。
関連: 「Google Chrome 72」が正式公開 ~「TLS 1.0」「TLS 1.1」は非推奨に (窓の杜, 2019.01.30)
Exchange 2013, 2016, 2019 に欠陥。Exchange Web Services API の PushSubscriptionRequest を使って Exchange を任意の Web サーバーに接続する場合に欠陥があり、 NTLM 中継攻撃が可能となる。
詳細はこちら:
Abusing Exchange: One API call away from Domain Admin (Dirk-jan Mollema, 2019.01.21)
PrivExchange (GitHub)。PoC コード。
修正版はまだない。回避策は Mitigations の項に複数述べられている。
》 お勧めドキュメント『Windows Server 2019 評価ガイド 第 1 版(2019/01/18)』 (山市良のえぬなんとかわーるど, 1/29)
》 誤解だらけの「二重国籍」問題──外国人労働者受入れ拡大で国籍法を見直すべき (週プレNEWS, 2018.12.13)
そもそも二重国籍に罰則はなく、例えば大坂選手のように未成年のうちに二重国籍となった場合、つまり出生など自分の意思に基づかない要因で二重国籍になった場合は、22歳になった後も二重国籍が事実上、容認されています。 (中略) 「日本国籍の選択宣言」 (中略) によって外国の国籍が自動的になくなるわけではないのです。日本国籍を選択したとしても、もう一方の国籍を抹消するには、その国、つまりは外国の法律に従って手続きを進める必要があります。 (中略) 外国籍を喪失していない場合は、「外国籍の離脱の努力」(国籍法16条1項)をしなければいけませんが、「努力」と書かれているように、履行義務はありません。 (中略) 例えばブラジルは、一度ブラジル国籍を取得した人がブラジル国籍を離脱することを認めていません。 (中略) 現実的にそれが不可能なケースもあるということです。
大坂なおみ選手のCMを「ホワイトウォッシング」と海外メディアが一斉に報道 (BuzzFeed, 1/24)
大坂なおみ選手をアニメで「白人化」と非難され、日清食品が謝罪 (BBC, 1/24)
大坂なおみ選手「私の肌は明らかに褐色」、「次は私に相談して」 物議のアニメに反応 (BBC, 1/25)
大坂なおみが日清ホワイトウォッシュ問題を「気にしてない」「なぜ騒ぐ?」は誤報道!別の質問への回答を歪曲・誤訳 (リテラ, 1/26)
大坂なおみ選手の発言を誤訳 日清CM「なぜ騒いでいるかわからない」と配信した朝日新聞やYahoo!が訂正 (ハフポスト, 1/29)
関連:
日本のメディアは報道していないが、豪テニスで優勝の大坂なおみは「自分の心はお父さんの故郷のハイチで、日本は経済支援のため」と割り切っている。今回もハイチを訪問・滞在して豪テニスに行ったのに、日本メディアは誰もハイチの事を聞かなかったと不満
— Masa Okumura (@mokumura) January 28, 2019
英語のツイートでもうかがえる。 pic.twitter.com/urTJbOOxid
》 「AIが世界の不平等を悪化させる可能性」と世界経済フォーラムが警鐘 (techcrunch, 1/24)
》 翻訳デバイス「ポケトークW」、国内利用不可の周波数帯を使用 (ケータイ Watch, 1/25)
ポケトークを巡っては、過去に初代モデルでも技術適合認定の表示に不備があったとして修正対応を行っており、その際には新モデルとなるポケトークWでは同認定を取得していおり、同様の問題は発生しないとしていた。
しかし再発、と……。
》 (緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について (JPRS, 1/28)
JPRSでは現時点において、日本国内で同様の攻撃事例の増加を観測しておりません。
関連: Why CISA issued our first Emergency Directive (CISA blog, 1/24)
In this case — as revealed by FireEye researchers a little over a week ago, with related reporting by Cisco Talos in late 2018 – malicious actors obtained access to accounts that controlled DNS records and made them resolve to their own infrastructure before relaying it to the real address.
Cisco Talos のは DNSpionage Campaign Targets Middle East (Cisco, 2018.11.27)。これは「中東で」という話だった。 FireEye の Global DNS Hijacking Campaign: DNS Record Manipulation at Scale (FireEye, 1/9) だとこれが 「中東、北アフリカ、ヨーロッパ、北アメリカ」 に広がっているのですよね。
あと、JPCERT/CC は本件について注意喚起を出したりはしていないようです。 参照: 注意喚起 2019 (JPCERT/CC)
》 “フェイク”はカネになる その実態を追跡した (NHK, 1/22)、 新聞社のニュースサイト (NHK, 1/25 改訂)
》 合意なしブレグジットで「スーパーから食品が消える」 英小売業界が警告 (BBC, 1/29)。「メイ首相が示した代替案は29日に採決される予定だが、これが否決され、対策が決まらないまま3月29日の離脱日を迎えると合意なしブレグジットとなる」
》 『A3』無料公開にあたって (森達也 / note, 1/23)
》 明石市長、職員に「火つけてこい」 立ち退き交渉進まず (朝日, 1/29)
朝日新聞は関係者から、約1分半にわたる録音データを入手。それによると、泉氏とみられる男性が「あほちゃうかほんまに」「立ち退きさせてこいお前らで」「もう行ってこい、燃やしてこい、今から建物」「損害賠償、個人で負え」などと発言していた。
泉氏は取材に、自身の発言だと認めたうえで、「工事の遅れに激高してしまった。パワハラなので、本当に申し訳ない」と語った。
パワハラどころじゃない。犯罪の教唆じゃん。
修正作業中だそうです。
つづき: AppleはFaceTimeの盗聴バグを修復している間グループ通話機能を無効化 (techcrunch, 2019.01.29)。とりあえず、この対応によって盗聴盗視は不可能になっている模様。
iOS 12.1.4、macOS Mojave 10.14.3 Supplemental Update で修正されました。
About the security content of iOS 12.1.4 (Apple, 2019.02.07)
About the security content of macOS Mojave 10.14.3 Supplemental Update (Apple, 2019.02.07)
AppleがGroup FaceTimeの盗聴バグを見つけたティーンエイジャーにごほうび (techcrunch, 2019.02.08)
iOS 12.1.4 で修正された、FaceTime とは異なる欠陥の件 CVE-2019-7286 (Foundation) CVE-2019-7287 (IOKit) の詳細が Google Project Zero から公開された。
A very deep dive into iOS Exploit chains found in the wild (Google Project Zero, 2019.08.29)
悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明 (techcrunch, 2019.08.30)
そして、攻撃対象はウイグル人だったという話が。
iPhone Hackers Caught By Google Also Targeted Android And Microsoft Windows, Say Sources (Forbes, 2019.09.01)
The unprecedented attack on Apple iPhones revealed by Google this week was broader than first thought. Multiple sources with knowledge of the situation said that Google’s own Android operating system and Microsoft Windows PCs were also targeted in a campaign that sought to infect the computers and smartphones of the Uighur ethnic group in China. That community has long been targeted by the Chinese government, in particular in the Xinjiang region, where surveillance is pervasive.
iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い (techcrunch, 2019.09.02)
iPhoneエクスプロイトのターゲットはウイグルのイスラム教徒?──TechCrunch報道 (ITmedia, 2019.09.02)
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
関連:
「激化する米中対立 『サイバー』の脅威」(キャッチ!ワールドアイ) (NHK 解説委員室, 2019.01.17)
焦点:米大学で進む「ファーウェイ排除」、トランプ政権が圧力 (ロイター / BLOGOS, 2019.01.27)。「法に抵触し、連邦政府から資金拠出を断たれるのを避けるためだ」
米司法省、ファーウェイを起訴--企業秘密の窃取や詐欺で (CNET, 2019.01.29)、 アメリカがHuaweiを刑事告訴、カナダ政府にCFOの身柄引き渡しを求める (techcrunch, 2019.01.29)
中国、米国によるファーウェイ起訴に深刻な懸念表明 (ロイター, 2019.01.29)
ファーウェイなど5社、ドル調達難の恐れ 外銀、取引敬遠の見方 (日経, 2019.01.29)
カナダ首相、ファーウェイ巡り失言の駐中国大使を解任 (ロイター / BLOGOS, 2019.01.28)。「外交筋や専門家によると、カナダ大使が正式に解任されるのは初めて」
中国、ファーウェイ巡る失言の大使解任は「カナダの内政問題」 (ロイター / BLOGOS, 2019.01.29)
ポーランド当局、ファーウェイ社員とポーランド治安当局元高官を逮捕 (1/11)。 ファーウェイ 5G 製品排除へ
華為社員ら2人がポーランドで逮捕、中国のスパイとして活動した疑い (ブルームバーグ, 2019.01.12)、 ファーウェイ幹部らをスパイ容疑で逮捕 ポーランド (CNN, 2019.01.12)
Poland calls for 'joint' EU-Nato stance on Huawei after spying arrest (Guardian, 2019.01.13)
Poland set to exclude China's Huawei from 5G plans (CNBC, 2019.01.24)、 ポーランド、ファーウェイの5G製品排除へ (ロイター, 2019.01.25)
台湾もファーウェイ排除へ。
台湾、中国通信機器の排除進む 研究機関、ファーウェイ製品の使用を制限 (フォーカス台湾, 2019.01.15)
台湾、中国機器を排除へ ファーウェイなど対象か (日経, 2019.01.23)
台湾政府 ファーウェイやZTE、レノボなど中国メーカー「ブラックリスト」作成 (大紀元, 2019.01.24)
英ボーダフォン、ファーウェイ製品の購入を停止。
英ボーダフォン、華為の一部製品購入を「停止」-中国外相は反発 (ブルームバーグ, 2019.01.26)
ボーダフォンが欧州でのファーウェイ製ネットワーク部品購入を見合わせ (techcrunch / yahoo, 2019.01.27)
ファーウェイを排除すると 5G に影響 (懸念含む)
豪通信大手、ファーウェイ使えず携帯通信網整備を中止 (日経, 2019.01.29)
ドイツテレコム、華為外しは欧州の5G普及を損なうと警告-関係者 (ブルームバーグ, 2019.01.29)
》 厚生労働省のコンドームの統計資料にミスがあるかも (人生万事こじらせるべからず, 1/28)。 まさかと思って元データを見てみたが、本当にそうだった。うひー。
》 労働組合活動におけるSNS活用のススメ (全労連, 1/28)
》 東洋大学大学生、竹中平蔵教授批判を実施し退学勧告を受ける (1/21)
「竹中平蔵の講義に反対」ビラ配った学生に東洋大学が退学勧告との報 (山本一郎 / Yahoo, 1/22)
学生の学内での無許可の立看板設置並びにビラ配布に関する本学の対応について (東洋大学, 1/23)
東洋大が竹中平蔵氏批判立て看板設置学生に退学勧告 (日刊スポーツ, 1/24)
竹中平蔵教授を批判 東洋大4年生「退学」騒動の本人を直撃 (日刊ゲンダイ, 1/25)
東洋大、竹中平蔵氏批判の学生に「退学」勧告? 立て看板とビラ配布 (毎日, 1/26)
東洋大学生の竹中平蔵氏批判の背景にある若者の貧困とワーキングプア (藤田孝典 / Yahoo, 1/23)
》 2018年の IoT ボット観測状況と最近の動向 (IIJ SECT, 1/28)
》 本日の Windows Update - 2019 年 1 月 23 日(D リリース、プレビュー パッチ)(RS5 のみ) (山市良のえぬなんとかわーるど, 1/23)
》 DNS flag dayに関する文書の公開と対応状況の確認について (JPRS, 1/28更新)、 DNS flag dayについてのご質問とその回答 (JPRS, 1/28更新)
》 「総崩れの原発輸出 原子力政策見直しを」(時論公論) (水野 倫之 / NHK 解説委員室, 1/23)。 原発は、もう無理なので (東電のおかげです)。
関連:
日立、英原発事業を中断 2000億円規模の損失計上へ 来週にも機関決定 (日経, 1/11)、 日立、英原発事業を凍結へ 3月期に3000億円損失計上も (毎日, 1/11)
日立、英ウェールズの原発建設を凍結決定 (BBC, 1/17)
日立、原発プロジェクト凍結は大英断なのか 国内原発メーカー3社の再編・統合へ鳴る号砲 (東洋経済, 1/21)
》 虚偽の侵害クレームが横行するYouTubeの著作権保護システム、そろそろ改善すべきでは? (P2P とかその辺のお話 R, 1/9)
》 ブライアン・アダムス:保護期間延長の恩恵はレーベルばかり、クリエイター存命中の著作権の返還権を求める (P2P とかその辺のお話 R, 1/8)
》 ホスティングサービス「アルファメール」で不正アクセス、WordPressを踏み台にウェブサーバーOSの脆弱性を突かれる (Internet Watch, 1/25)
》 宅ふぁいる便方面。 「オフィス宅ふぁいる便」は通常運転中だそうです。
宅ふぁいる便サービスの一時停止に関するお知らせとお詫び(第一報) (オージス総研, 1/24)
(第2報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) (オージス総研, 1/26)
(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) (オージス総研, 1/28)
無料大容量ファイル転送サービス「宅ふぁいる便」 ご質問一覧 (オージス総研, 1/28)
宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた (piyolog, 1/26)
》 僧衣で運転、交通違反切符 警察が一転「違反確認できず」 (ハフポスト, 1/27)
県警はこれまで、朝日新聞の取材に「和服が一律に違反ではない。着方によって違反になる」と説明していたが、26日に「本日までに切符を切った方を訪れ、改めて県警本部で内容を精査したところ、証拠の確保が不十分で違反事実が確認できなかったため、本件については送致しないこととした旨をお伝えした」とのコメントを明らかにした。
福井県警、考えを改めてくれたようで。よかった。
》 京急、バリアフリーかつ立体的に見える「錯視サイン」を羽田空港国際線ターミナル駅に設置。エレベータ利用促進図る (トラベル Watch, 1/28)。マグリットかよ! と思ったけど、 そんな馬鹿な、あり得ない、というものでないとまずいのだろうなあ。
2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)
1 月のセキュリティ パッチで RDP 認証エラー(7/2008/2008R2、修正パッチあり、説明なし) (山市良のえぬなんとかわーるど, 2019.01.16)。 2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10) の件。
1月の月例パッチが「Excel 2010」「Access 2010」を動作不能にする問題、修正へ 更新プログラム「KB4462157」がダウンロードセンターで提供される (窓の杜, 2019.01.21)
Security fix: phpMyAdmin 4.8.5 is released (phpMyAdmin, 2019.01.26)。以下の 2 件を修正。
PMASA-2019-1 - Arbitrary file read vulnerability (phpMyAdmin, 2019.01.21)。CVE-2019-6799
PMASA-2019-2 - SQL injection in Designer feature (phpMyAdmin, 2019.01.21)。 CVE-2019-6798
phpMyAdminに複数の深刻な脆弱性情報(Serious: CVE-2019-6798, Critical: CVE-2019-6799) (SIOS, 2019.01.27)
PHPライブラリサービスの「PEAR」でセキュリティ侵害が見つかる (gigazine, 2019.01.24)。2019.01.28 現在も down したまま。
shodanみたいなことやるのかと思ってたら、それどころじゃない真っ黒さだった。駄目だろこれは。
詳細はこちら:
国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可 -情報通信行政・郵政行政審議会からの答申- (総務省, 2019.01.25)
国立研究開発法人情報通信研究機構法 (平成11年法律第162号) 附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要 (総務省 サイバーセキュリティ統括官, 2019.01)
特定アクセス行為の送信元の電気通信設備に割り当てられるアイ・ピー・アドレス
153.231.215.11~14
153.231.216.179~182
153.231.216.187~190
153.231.216.219~222
153.231.226.163~166
153.231.226.171~174
153.231.227.195~198
153.231.227.211~214
153.231.227.219~222
153.231.227.226~230
フィルタしちゃえば ok なのだろう。
答申書 (情報通信行政・郵政行政審議会 / 総務省, 2019.01.25)
関連:
国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見(案) (サイバーセキュリティ戦略本部 第19回会合, 2018.07.25)
電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を 改正する法律 (平成30年法律第24号) の施行に伴う省令の制定について (NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係) (総務省 サイバーセキュリティ統括官, 2018.08)
IoT機器等へのサイバー攻撃の急増と固定電話網のIP網への移行等に対する取組 -電気通信事業法・NICT法改正法- (立法と調査 402号, 2018.07.02)
認定送信型対電気通信設備サイバー攻撃対処協会の認定 (総務省, 2019.01.08)。一般社団法人 ICT-ISAC。
(総務大臣による)認定送信型対電気通信設備サイバー攻撃対処協会の認定について (一般社団法人 ICT-ISAC, 2019.01.08)
関連:
IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施 (総務省, 2019.02.01)
電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律の施行に伴う国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集 (総務省, 2018.08.24)
IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) (NICT, 2019.02.13)
○ NOTICEの調査に使用するIPアドレス
・150.249.227.160/28
・153.231.215.8/29
・153.231.216.176/29
・153.231.216.184/29
・153.231.216.216/29
・153.231.226.160/29
・153.231.226.168/29
・153.231.227.192/29
・153.231.227.208/29
・153.231.227.216/29
・153.231.227.224/29
(中略)
なお、総務省が公開している資料「国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」の5ページ目に記載されているIPアドレスは特定アクセス行為に使用する送信元IPアドレスです。
http://www.soumu.go.jp/main_content/000595925.pdf
本お知らせに記載したIPアドレスは、特定アクセス行為に加えて、ポートスキャンに使用する送信元IPアドレスを含んでいるため、上記の総務省資料よりもアドレス数が増加しています。
国のIoT機器調査「NOTICE」が20日から実施、その前にやっておきたい自宅のセキュリティチェック (Internet Watch, 2019.02.18)
情報通信研究機構の合法不正アクセスの事前調査っぽい接続を調べる (記憶は人なり, 2019.01.26)
改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない (高木浩光@自宅の日記, 2019.02.11)
関連:
政府のIoT機器侵入調査「NOTICE」をハニーポットで捕捉してみた (じょんからドットネット, 2019.03.13)
脆弱なIoT機器及びマルウェアに感染しているIoT機器の利用者への注意喚起の実施状況 (総務省, 2019.06.28)。大山鳴動して鼠 147 匹。 しかも、147 は機器数ではなく延べ件数。関連報道:
弱いパスワードのIoT機器割り出し「NOTICE」、147件に注意喚起 「現時点で数は少ない」 (ITmedia, 2019.07.01)
これまでに調査した約9000万のIPアドレスのうち、ID・パスワードが入力可能だったのが約3万1000~約4万2000件。容易に推測できるID・パスワードでログインでき、注意喚起の対象になったのが延べ147件だったという。
国内147件のIoT機器が安易なID・パスワード設定でログイン可能な状態に、国によるIoT機器調査「NOTICE」実施状況 (Internet Watch, 2019.07.01)
》 コマンドによるバックアップの過去の世代の削除手順 1/2 (Ask CORE, 2018.10.31)、 コマンドによるバックアップの過去の世代の削除手順 2/2 (Ask CORE, 2018.10.31)
》 三重県津市・ミロクコミュニティ救世神教 麻疹集団感染事件
三重県麻疹問題、宗教団体にコントロールされない報道を (やや日刊カルト新聞, 1/25)
社説=メディアは麻疹集団感染の発生源を報道しろ (やや日刊カルト新聞, 1/20)
MC救世神教2世信者の麻疹(麻しん/はしか)集団感染、AKB48握手会などで被害拡散のおそれ (やや日刊カルト新聞, 1/18)
三重・MC救世神教の麻疹集団感染は医療否定カルトの問題 (やや日刊カルト新聞, 1/17)
三重の麻疹集団感染、発生場所はMC救世神教の中高生2世信者研修会と判明 (やや日刊カルト新聞, 1/16)
三重県
麻しん(はしか)患者の発生について (三重県)。1/10 から情報を随時公開。 当初は「民間団体」。1/22 から「ミロクコミュニティ救世神教」。
マスメディア報道:
三重県内で新たに4人のはしか感染を確認 宗教団体、HPで謝罪 (毎日, 1/22)。三重県が団体名を公開後、ようやく。
信仰でワクチン非接種、宗教団体発端ではしか集団感染 (朝日, 1/24)
はしか拡大止まらず 研修参加者以外にも感染 (中日, 1/24)
津市、はしか対策で助成 幼保職員に予防接種 (中日, 1/25)。1/2 補助。
当該団体
お詫び (ミロクコミュニティ救世神教)
》 SysmonSearchを用いて不審な挙動を調査 (JPCERT/CC, 1/21)
》 国内ホスティングのっとりを主張する投稿について調べてみた (piyolog, 1/23)
》 新潟県警察公式サイトなどの改ざん(画像設置)についてまとめてみた (piyolog, 1/19)
》 英Canonical、IoT向けとなる「Ubuntu Core 18」を公開。10年間のセキュリティアップデートを約束 (OSDN, 1/23)
》 ペネトレーションテストツール「Metasploit 5.0」が公開 (OSDN, 1/15)
》 SSPLはオープンソースライセンスにあらず!? Fedora,リポジトリからSSPLソフトを削除へ (Linux Daily Topics, 1/17)
1月15日(米国時間),Fedoraプロジェクトで法務を担当するTom CallawayはSSPLv1(Server Side Public License version 1)に対するFedoraの見解として,「レビューを重ねた結果,SSPLv1はフリーソフトウェアライセンスではないという結論に達した」と表明している。 (中略) 「あるクラスのユーザに向けた,意図的な妨害であり,このライセンスの作成者の意図は,商用ユーザに対するFUDの誘発であることが明らか。SSPLをフリーまたはオープンソースと認めればFOSSエコシステムに(良くない)影響を投げかけることになる」
》 Google Public DNS now supports DNS-over-TLS (Google, 1/10)
》 DNS flag dayに関する文書の公開と対応状況の確認について (JPRS, 1/21)
》 Windows 製品の更新プログラム (KB) のインストールの失敗 … 一般的な対処策 (Ask CORE, 1/16)、 Windows 製品の更新プログラム (KB) のインストールの失敗 … ログ分析の進め方 (Ask CORE, 1/22)
》 ワイモバイルのサイト誤表示、トラブルの真相 (日経 xTECH, 1/25)。shop.ymobile.jp を www.ymobile.jp/shop/ にリニューアル後、shop.ymobile.jp にアクセスすると ESXi 画面になっていた模様。
ソフトバンクは、shop.ymobile.jpを使わなくなっても、DNSサーバーにshop.ymobile.jpとさくらインターネットで使っていたサーバーのIPアドレスをひも付けるレコードを登録したままだった。 (中略) さくらインターネットがshop.ymobile.jpに割り当てていたIPアドレスを別のユーザーに割り当てた。このため、shop.ymobile.jpを使ったURLにアクセスすると、別のユーザーの画面が表示されるようになったのだ。それが、仮想化ソフトの管理画面だった。
全く関係ない第三者の ESXi だったのですね。
どうしてこのURLにアクセスするユーザーが多数いたのか。(中略) ワイモバイルショップの一部は、Twitterにアカウントを作って、ショップのURLを紹介する書き込みをボットで行っていた。そのボットが旧URLをつぶやいていたのだ。
関連:
ホントだ…https://t.co/HfocpXXc4xにアクセスするとESXiになるな pic.twitter.com/PvtNgPWukX
— かえざくら@2/16〜18:札幌→旭川 (@kae_sakura) December 23, 2018
》 沖縄 全域で県民投票 辺野古賛否 3択案、県議会合意 (東京, 1/25)。賛成、反対、どちらでもないの 3 択。
関連: 県民の熱意が政治を動かした 元山さんのハンストで事態急展開 辺野古県民投票 (琉球新報, 1/25)
》 インフル新薬「ゾフルーザ」に課題 耐性ウイルス できやすく (東京, 1/25)、インフル薬ゾフルーザの耐性ウイルス、患者から検出 (朝日, 1/25)。 ゾフルーザは高いしなあ (4789円)。 個人的はジェネリック版タミフルで ok (1360円)。 (価格情報はこちらから引用: ゾフルーザ採用見送り (亀田メディカルセンター))
》 焦点:「慰安婦」など表記変更、ジャパンタイムズで何が起きたか (ロイター, 1/25)
「反日メディアであることのレッテルをはがしたい。経営陣として『アンチジャパン(反日)タイムズ』ではとても存続できない」と説明する水野博泰・取締役編集主幹 (中略) 安倍晋三政権に批判的だったコラムニストの記事の定期掲載をやめてから、安倍首相との単独会見が実現し、「政府系の広告はドカッと増えている」と編集企画スタッフが発言すると、「それはジャーナリズム的には致命的だ」との声も。
ジャパンタイムズ、今ではアベジャパンタイムズですか。
関連: 慰安婦・徴用工の「強制」表現めぐり炎上 ジャパンタイムズが叩かれたワケ (山田敏弘 / ITmedia, 2018.12.13)
》 「宅ふぁいる便」が停止 不正アクセスか 再開めどたたず (毎日, 1/25)、 宅ふぁいる便サービスの一時停止に関するお知らせとお詫び(第一報) (宅ふぁいる便, 1/24)
》 「壁に映った影」を使って壁の向こうにある映像を撮影することに成功 (gigazine, 1/25)
》 「フェミニスト・ファイト・クラブ」で日米共通の「女子という呪い」を知る。 (ハフポスト, 2018.09.20)
》 「TO」に入力したアドレスが「BCC」でのメール受信者に流出、担当者は認識なく誤送信防止システムでも防げず(横浜市) (ScanNetSecurity, 1/23)、 記事に関するお詫びと訂正:メール誤送信を助長する表現について (ScanNetSecurity, 1/24)。匿名希望さん情報ありがとうございます。
》 「.NET Framework」の“オプション”パッチが“Windows Update”で誤って自動配信される (窓の杜, 1/25)
Security updates available for Adobe Experience Manager | APSB19-09 (Adobe, 2019.01.22)。Priority: 2
Security updates available for Adobe Experience Manager Forms | APSB19-03 (Adobe, 2019.01.22)。Priority: 2
News Archive - 2019 (PHP)。2019.01.10 付で PHP 5.6.40 / 7.1.26 / 7.2.14 / 7.3.1 が公開されている。
Drupal 8.6.6 / 8.5.9 / 7.62 で修正。
Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001 (Drupal, 2019.01.16)
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002 (Drupal, 2019.01.16)
Moodle 3.6.2 / 3.5.4 / 3.4.7 / 3.1.16 で修正。
MSA-19-0001: Manage groups capability is missing XSS risk flag (Moodle, 2019.01.21)
MSA-19-0002: Blind SSRF Risk in /badges/mybackpack.php (Moodle, 2019.01.21)
MSA-19-0003: User full name is not escaped in the un-linked userpix page (Moodle, 2019.01.21)
Malicious SVN clients can crash mod_dav_svn. (Apache Subversion, 2019.01.23)。Subversion 1.10.x / 1.11.0 の mod_dav_svn の欠陥。Subversion 1.10.4 / 1.11.1 で修正。 CVE-2018-11803
Cisco Security Advisories and Alerts には他にもいろいろ出てる。
Cisco Firepower Threat Defense Software Packet Inspection and Enforcement Bypass Vulnerability (Cisco, 2019.01.23)。Firepower 4100 / 9300 シリーズ上の Cisco Firepower Threat Defense Software Release 6.3.0 にのみ欠陥あり。 修正版が用意されている。 CVE-2019-1669
ghostscript: subroutines within pseudo-operators must themselves be pseudo-operators (oss-sec ML, 2019.01.23)、 Issue 1729: ghostscript: subroutines within pseudo-operators must themselves be pseudo-operators (Google Project Zero)。Ghostscript 9.26 以前に欠陥。 開発版では修正されている。本文中に patch の link あり。
最新は 4.1.10 のようです。https://downloads.powerdns.com/releases/ から入手できます。Horigome さん情報ありがとうございます。
PowerDNS Security Advisories 2011-01 and 2019-02 (oss-sec ML, 2019.01.21)。PowerDNS Recursor 4.1.9 で修正。 4.0.x にはこの欠陥はない。
PowerDNS Recursorの脆弱性情報が公開されました (JPRS, 2019.01.23)
Multiple vulnerabilities in Jenkins (oss-sec ML, 2019.01.16)。Jenkins weekly 2.160、Jenkins LTS 2.150.2 にはセキュリティ修正が含まれる。
JVNVU#90014171 - オムロン製 CX-Supervisor に複数の脆弱性 (JVN, 2019.01.18)。CX-Supervisor 3.5 で修正。
JVNVU#97716739 - オムロン製 CX-One に任意のコード実行が可能な脆弱性 (JVN, 2019.01.11)
JVNVU#99147082 - 複数の横河製品のライセンスマネージャサービスにアクセス制限不備の脆弱性 (JVN, 2019.01.25)
OS Command Injection Vulnerability in Reporter CLI (Symantec, 2019.01.11)。CVE-2018-12237
Norton App Lock Bypass (Symantec, 2019.01.09)。CVE-2018-18363
2019-01 Security Bulletin: Juniper ATP: Multiple vulnerabilities resolved in 5.0.3 and 5.0.4 (Juniper, 2019.01.09)。いろいろ直ってるけど、Hard coded ねた多いなあ。 こんなのも:
Juniper ATP uses DES and a hardcoded salt for password hashing, allowing for trivial de-hashing of the password file contents.
昭和か。
Remote Code Execution in apt/apt-get (2019.01.23)
Debian,APTの脆弱性を修正した「Debian 9.7」を緊急リリース (Linux Daily Topics, 2019.01.25)
Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows) (2019.01.23)
iTunes 12.9.3 for Windows が公開されました。
About the security content of iTunes 12.9.3 for Windows (Apple, 2019.01.24)
》 愛知県の大村知事が刑事告発される 一緒に告発されたのは山口組弘道会を自在に操る男? 清水利康元寿和工業役員のびっくり仰天! (いまにしのりゆき 商売繁盛でささもって来い!, 1/24)。 愛知県知事選挙の真最中ですぜ: 現新2人の争い確定 愛知県知事選 (日経, 1/17)
同県労働組合総連合議長の新人榑松佐一氏(62)=共産推薦=と、3選を目指す現職大村秀章氏(58)=立民、国民、公明推薦=の無所属2人の争い (中略) 大村氏は自民党県連の推薦も受けた。
》 OSSライセンスMeetup Vol.2 「実録:GPL違反とその対応を振り返る」 (connpass)。2019.02.21、東京都港区、無料。 面さん情報ありがとうございます。
》 「Chrome」改良で広告ブロッカーなど無効化の懸念--グーグルが回答 (CNET, 1/24)。Google は、動くようにしたいとの意向。
》 ゾフルーザは本当に夢の薬? (日経メディカル, 1/24)
治験時に9.7%の薬剤耐性ウイルスが出現していることにも注視しなくてはなりません。この薬剤に対してウイルスが急速に耐性化する懸念があるのです。
関連: ゾフルーザの耐性株、AH3亜型の9.5%に検出 21株中2株、いずれも投与3日後の児童から単離 (日経メディカル, 1/23)
scp client multiple vulnerabilities (sintonen.fi, 2019.01.11)。scp クライアントに 4 種類の欠陥。
OpenSSH scp は欠陥発見者による patch が公開されている。 また sftp を使うことで回避できる。 WinSCP は 5.14 で対応 (5.14 系の最新は 5.14.4 RC で、まだリリース品質ではない)。 PuTTY pscp は未対応。
EU が PuTTY の bug bounty program に出資しているそうだけど、この件についてはどうなんだろう。
複数のscp(OpenSSH)の脆弱性情報(Moderate: CVE-2019-6109, CVE-2019-6110, CVE-2019-6111) (SIOS, 2019.01.15)
今度はMarvellのWi-Fiに脆弱性、オンにしているだけで攻撃可能 (PC Watch, 2019.01.22)。ファームウェアの更新が必要となるが、 現時点では修正されていない模様。
Remotely compromise devices by using bugs in Marvell Avastar Wi-Fi: from zero knowledge to zero-click RCE (embedi.org, 2019.01.18)
RESEARCHING MARVELL AVASTAR WI-FI: FROM ZERO KNOWLEDGE TO OVER-THE-AIR ZERO-TOUCH RCE (Denis Selianin / embedi.org)。ZeroNights 2018 プレゼン資料。
高速リアルタイムOS ThreadX (GRAPE SYSTEMS)
Security Alert: Ethereum Constantinople Postponement (Ethereum Blog, 2019.01.15)
Ethereum大型アップデート「コンスタンティノープル」が延期、スマートコントラクトの脆弱性発見のため (仮想通貨 Watch, 2019.01.16)
Ethereumコンスタンティノープル実装延期、国内の仮想通貨交換所はETH入出金の一時停止方針を撤回 (仮想通貨 Watch, 2019.01.17)
Ethereum、延期したアップデート「コンスタンティノープル」を2月27日頃実装へ (仮想通貨 Watch, 2019.01.21)
2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)
Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。
2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10)。 「そのコンピューターに対して Administrators グループに所属しているローカル ユーザーを用いてアクセスすると、接続に失敗する」。 修正プログラムあり。
ライセンス認証の失敗と、2019 年 1 月 8日ボリューム ライセンスの Windows 7 の KMS クライアントの周りの「非正規品」の通知 (Microsoft KB 4487266)。 KB 971033 を削除することで回避できる。
》 グーグル、欧州からの「Googleニュース」撤退を示唆--EU著作権指令改正への対応で (CNET, 1/23)
》 インフルエンザ感染が急激に拡大中! ビッグデータの予測値が昨年のピーク並みに (Yahoo, 1/21)
》 厚労省発表では、ゾフルーザの供給量は約40.8万人分 手代木社長に聞く、ゾフルーザの出荷調整の理由 (日経ドラッグインフォメーション, 1/22)。不足するはずのない量を生産しているそうなのだが、
不足の原因として手代木氏は、「SNS上で、医師の間で『ゾフルーザがなくなるから早く買った方が良い』と噂が回り、卸売御者も『確保しておかないとなくなってしまう』といった誤った情報の連鎖によって、受注が受注を生んでいる」と分析。インフルエンザシーズン後の4~5月に過剰在庫が大量返品となる可能性を懸念する。
うわ……。
今回は watchOS も同時に更新されています。
About the security content of iOS 12.1.3 (Apple, 2019.01.22)
About the security content of tvOS 12.1.2 (Apple, 2019.01.22)
About the security content of watchOS 5.1.3 (Apple, 2019.01.22)
About the security content of macOS Mojave 10.14.3, Security Update 2019-001 High Sierra, Security Update 2019-001 Sierra (Apple, 2019.01.22)
About the security content of Safari 12.0.3 (Apple, 2019.01.22)
About the security content of iCloud for Windows 7.10 (Apple, 2019.01.22)
iTunes 12.9.3 for Windows が公開されました。
About the security content of iTunes 12.9.3 for Windows (Apple, 2019.01.24)
Apache httpd 2.4.38 公開。3 件のセキュリティ欠陥 (mod_session CVE-2018-17199, mod_http2 CVE-2018-17189, mod_ssl CVE-2019-0190) が修正されている。 iida さん情報ありがとうございます。
関連: Apach HTTP Server の脆弱性情報(Important: (mod_ssl) CVE-2019-0190 , Low: (mod_session_cookie) CVE-2018-17199) (SIOS, 2019.01.23)
apt/apt-get に欠陥。HTTP リダイレクトの処理に欠陥があり、remote から任意のコードを実行できる。CVE-2019-3462
以下のように実行することで HTTP リダイレクトを無効化でき、本欠陥を回避できる。
$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false
各 Linux ディストリビューターから修正パッケージが配布されている。
CVE-2019-3462 (Debian)
Bug #1812353 “content injection in http method (CVE-2019-3462)” : Bugs : apt package (Ubuntu)。 「apt, starting with version 0.8.15」と書かれている。
Debian,APTの脆弱性を修正した「Debian 9.7」を緊急リリース (Linux Daily Topics, 2019.01.25)
》 ロシアの通信規制当局、FacebookとTwitterにデータ関連法の遵守を要求 (CNET, 1/22)
Firefox 64.0 / ESR 60.4.0 公開 (2018.12.14)
Thunderbird 60.4 が出たようです。
「Thunderbird 60.4」では“Critical”1件を含む6件の脆弱性が修正 (窓の杜, 2019.01.18)
捜査関係事項照会の件。
捜査関係事項照会は、捜査当局が独自に企業側に出す要請にすぎず、捜査に必要かどうか外部のチェックは働かない。取得後の使用方法なども不明で漏えいリスクもある。当局への提供は顧客本人に通知されない。
検察が作成した「捜査上有効なデータ等へのアクセス方法等一覧表」を共同が入手。
入手したリスト「捜査上有効なデータ等へのアクセス方法等一覧表」によると、顧客情報は公共交通機関や商品購入の履歴、位置情報といった個人の生活に関わるもので計約三百六十種類。(中略) 捜索差し押さえ許可状などの令状が必要と明示しているのは二十二種類だけ。残りの大半は捜査関係事項照会などで取得できるとしている。
「一覧表」には「約二百九十団体」の名前があったそうで。
対象に挙げられた企業は、主要な航空、鉄道、バスなど交通各社やクレジットカード会社、消費者金融、コンビニ、スーパー、家電量販店などさまざま。買い物の際に付与され、加盟店で使用できるポイントカードの発行会社や、携帯電話会社も含まれている。
入手可能とされた情報は、ICカードなどの名義人や使用履歴に加え、カード作成時に提出された運転免許証などの写し、顔写真も含まれる。リストにあるドラッグストアやレンタルビデオ店、書店の購入情報を加えれば、対象者の健康状態や思想信条、趣味嗜好(しこう)を把握することも可能だ。
当該の「一覧表」の写真が、検察、顧客情報入手方法リスト化 290団体分保有 (福井新聞) などにある。 雰囲気しかわからないが。
で、共同はその「約二百九十団体」にアンケートを取ったそうで。
捜査当局に任意提供3割 29団体、顧客向け説明なし (共同, 2019.01.04)
共同は取材を進め、スマホゲーム運営会社から位置情報が漏れていたり、
スマホゲームで位置把握か 捜査にGPS利用可能性 (カナロコ, 2019.01.13)
ゲーム位置情報で捜査か 令状なく運営会社通じ (中日, 2019.01.14)
内部文書に記載されているゲーム運営会社は三社。(中略) 取材に対し、一社は「検察からは年間数件、請求がある。警察からはもっと多い。請求内容の詳細や対応の仕方は答えられない」と回答。別の一社は「そうした事実はない」とし、残り一社は取材に応じていない。
ポイントカード会社からさまざまな情報が漏れていたりを報道しています。
Tカード情報、令状なく提供 レンタルやポイント履歴 会員規約に明記せず (東京, 2019.01.21)
捜査当局はTカードの履歴を対象者の「足跡」として、積極的に活用している。捜査関係者によると、ポイントサービスを展開するCCCへの情報照会は日常的で、一度に数十件の照会をした部署も。数の多さにCCCの回答が遅れがちとなり、利用ルールを守るよう当局内で周知されたこともあった。
捜査関係者によると、捜査関係事項照会はカード番号か、氏名、生年月日などで問い合わせる。一方、特定のレンタルビデオの利用者一覧という尋ね方では回答を得られないという。
ある事件では、捜査担当者が対象者のTカードを照会したところ、ほぼ毎日、同じ時間帯に特定のコンビニに来店し買い物をしていると判明。店の防犯カメラの映像から本人と特定し、待ち伏せして身柄を拘束した。捜査関係者は「ポイントが付くのに、カードを提示しない理由はない」と話す。Tカードを貴重な情報源と位置付けている。
T カード運営の CCC は、2012 年からユルユルにしましたと告白。
Tカードの情報に関する一部報道について (CCC, 2018.01.21)
弊社の保有する個人情報は年々拡大し、社会的情報インフラとしての価値も高まってきたことから、捜査機関からの要請に基づき、2012年から、「捜査関係事項照会書」があった場合にも、新たに施行された個人情報保護法に則り、一層の社会への貢献を目指し捜査機関に協力してまいりました。
個人情報がたくさん集まり、社会インフラとなったのに、情報の扱いをユルユルにする会社。
個人情報保護法は 2003 年成立、2005 年全面施行。 2015 年に改正され、2017 年に全面施行。 なので、
2012年から、「捜査関係事項照会書」があった場合にも、新たに施行された個人情報保護法に則り
「新たに施行された個人情報保護法に則り」は意味不明な戯言。 単に、2012 年以降、ザルな扱いにしましたという話。
Tカード情報、令状なく当局に提供 今後は規約に明記へ (朝日, 2019.01.21)
「Tカード情報提出」CCCに欠けている意識 問題の本質はどこにあるのか (本田 雅一 / 東洋経済, 2019.01.22)
他の会社は?
問われる警察への「任意」情報提供 異なる個人情報の扱い (毎日, 2019.01.22)
NTTドコモによると、携帯電話や同社が提供している「dポイントカード」の情報については、「捜査関係事項照会書」により捜査機関に提供するケースはあるが、利用者の通信履歴や位置情報など「通信の秘密」に該当する部分は令状なしに提供することはないという。同社は「令状なしで提供できる情報はケース・バイ・ケースだ」と話す。
交通系電子マネー「PASMO」のシステムを利用する東京メトロや、「Suica」のシステムを利用するJR東日本、共通ポイントサービス「Ponta(ポンタ)」を運営する「ロイヤリティ マーケティング」(東京)などは、いずれも「捜査関係事項照会書」の提示があった場合、個人情報を提供している。
無料通信アプリのLINE(ライン)は、令状などに基づきLINEアプリの利用者の通信履歴などを捜査機関に提供し、その状況について16年下半期(7~12月)分から6カ月ごとに「透明性リポート」として公表している。
関連:
LINE Transparency Report (LINE)
LINE Transparency Report 2018年1-6月 (LINE)
当社では2018年1-6月の間にLINEメッセンジャーアプリに対し、前期間比13%(186件)増となる1,576件の要請を世界各国の捜査機関から受領し、うち76%の1,190件の要請に対し何らかの情報開示を行いました。要請数の増加の大部分は日本(人身被害関連/31%増)と台湾(金銭被害関連/28%増)の捜査機関からの要請増に起因しています。 (中略) 当社に対する要請は、日本(86%)と台湾(11%)の捜査機関が大部分を占めています。この傾向は統計を開始した2016年(日本:87%、台湾:10%)と大きな変化はありません。
「Tカード情報、令状なく提供」報道が波紋 「Ponta」「dポイント」の対応状況は? (ITmedia, 2019.01.21)
Pontaを展開するロイヤリティ マーケティング(東京都渋谷区)の広報担当者は、取材に対し「捜査当局からの要請があった場合、法令に従い、捜査関係事項照会の手続きをした上で、必要な範囲で情報を提供している」と説明しました。
NTTドコモの広報担当者も「dポイントを含むサービス全般で、捜査当局から要請があった場合、捜査関係事項照会書をいただき、それに基づいて捜査に協力する場合がある」と回答しました。
ショボい……。
関連:
捜査機関から「照会」があったとき (日本図書館協会)
図書館としては、守秘義務があること、法的手続きを経ずにデータを公開することはできないこと、また法的手続きを経た場合でも必ずしもデータの公開が約束できないことを説明します。そのうえで、何のために、どのデータを必要としているのかを限定する方向で要求を整理していきましょう。こうした調整を通じて状況を把握して整理し、図書館の立場・考え方の基本を落ち着いて提示していくことが大事です。
そのさい、「捜査関係事項照会書」さえ提出されれば求められたデータを開示する、という誤解が発生しないように注意深く調整を進めましょう。
こうした客観的で原則的な対応だけで、捜査機関からのデータ提出要請が撤回される例もあります。
警察へ利用者情報 任意協力の提供に疑問視も-苫小牧市立中央図書館 (苫小牧民報, 2018.11.13)
関連:
CCC、Tカード情報は「令状がある場合のみ提供」 新方針確定まで (ITmedia, 2019.02.06)
「ブルーカード」情報が県警に 令状なしで住所・買い物履歴など (信濃毎日, 2019.02.14)、 ポイントカード 捜査利用は令状なければ (信濃毎日, 2019.02.15)
警察、CCC以外2社に情報要請 裁判所令状なしの提供 (共同 / Yahoo, 2019.02.20)。衆議院予算委員会 2/20、山尾志桜里氏のところ。 「2社とも要請を拒否したと述べた」
》 バス運転士不足解消へ 意識改革に主眼「塾」始動 京成グループ社員ら受講 (千葉日報, 1/20)
バス業界では運転士になってもすぐに辞めてしまう人が多いことが人手不足を助長している。背景には、労働時間が不規則なことなど仕事内容に見合った賃金が支払われていない実情がある。
だよね。まずは金を出せ。話はそれからだ。
「運転士道塾」は、「武士道」に着想を得た「運転士道」の理念に基づいて職業への誇りを高め、仕事にやりがいを持ってもらうことで離職を防止する狙い。
オイオイ、洗脳かよ。本末転倒だろ。とっとと金を出せ。
》 「“著作権厨”をなんとかしたい」 慶応大・田中教授が考える、ネットで有意義な著作権の議論に必要なこと (ITmedia, 1/16)
》 海賊版リーチサイト「はるか夢の址」運営者に実刑判決 (大阪地裁 1/17)
リーチサイト「はるか夢の址」運営に実刑判決、講談社「重大な意義がある」 (弁護士ドットコム, 1/17)
元大学院生の男性には懲役3年6カ月、IT会社元代表の男性には懲役3年、無職の男性には2年4カ月の有罪判決が言い渡された。
はるか夢の址」大阪地裁の判決についてのコメント (講談社, 1/17)
「はるか夢の址」を通じたアップロード、主犯格男性らに実刑判決 (ACCS, 1/17)
》 「Googleマップ」のナビ、一部地域で「制限速度」と「ネズミ捕り」アイコン表示開始 (ITmedia, 1/21)。 マジか。「日本は今のところ対象外だ」
》 北極海や南極大陸でも……地球全域でクリアに通信「イリジウムCertus」、KDDIが「Certus350」として提供へ (ITmedia, 1/21)、イリジウム Certus (KDD)。 「船舶向けのCertus350からスタートし、順次さまざまなサービスをリリースする予定です」。
》 Microsoft、2019/2020年にサポートを終了する主要製品のリストを公表 「Windows 7」や「Windows Server 2008/2008 R2」、「Office 2010」など (窓の杜, 1/21)
》 Redis、MongoDB、Kafkaらが相次いで商用サービスを制限するライセンス変更。AWSなどクラウドベンダによる「オープンソースのいいとこ取り」に反発 (Publickey, 1/16)。オープンソースのマネタイズは簡単じゃないという話の最新版かな。
》 岡山県警の“新PITシステム”に、京セラ「TORQUE」&カシオ「PRO TREK Smart」導入、緊急時に位置情報など素早く送信 (Internet Watch, 1/17)。岡山県警ローカルな話みたい。
》 史上最大の情報流出、7億超のメールアドレスと2000万超のパスワードが公開 (ComputerWorld, 1/21)。膨大な量 (「7億7290万4991件」) のまとめデータが発見されたという話。 既知の流出との相違がどのくらいあるのかは明記されていない。
》 重要インフラサイバーセキュリティコンファレンス2019。 2019.02.21、東京都港区、無料。
》 「Microsoft Silverlight」が新元号へ対応 約1年半ぶりのアップデート (窓の杜, 1/17)。おぉ。
現在「Silverlight」を利用できるのは、「Internet Explorer」のみだ(2021年10月12日までサポート)。
関連:
Silverlight (Facebook)。公式。
藍澤光 Aizawa Hikaru (Facebook)。非公式。
藍澤光 @aizawa_hikaru (twitter)。非公式。
》 「インターネットの安全・安心ハンドブック」最新版を無料で公開、内閣サイバーセキュリティセンターが国民向けセキュリティ啓発コンテンツ (Internet Watch, 1/18)。 題名が変わったようで。元の題名である 「ネットワークビギナーのための情報セキュリティハンドブック」だと Ver 4.00 にあたる、ということのようです。
Android版アプリでは1月31日に最新版が配信される(iOS版も後日配信予定)。
各社の電書、元の題名と同じ書籍だと認識されるのかなあ。 それとも、新しい題名と元の題名と、両方で配信するのだろうか。
これは怖い。不具合でした、では済まんだろ。
この不具合の影響を受けるのは2014年11月3日から2019年1月14日までの間に、登録しているメールアドレスなど、アカウントに関する設定をAndroid版「Twitter」アプリで変更したユーザー。iOS版「Twitter」アプリや“twitter.com”に影響はない。
「影響を受けるのは」ではなく、影響を受けた可能性があるのは、のようですが、当該事象がどのくらいの割合で発生したのかといった詳細は不明。
》 著作権法改正で何が起きる? コミケ、二次創作の行方は 弁理士がポイントを解説 (ITmedia, 1/17)
これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? (2018.11.30)
知らないってのは恐い - DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) (インターノット崩壊論者の独り言, 2019.01.17)。 DNS温泉 番外編(2019年2月) において、解説とデモが行われるそうです。
》 海賊版サイト問題の解決を阻む「防弾ホスティング」 その歴史から現在までを読み解く (ITmedia, 1/17)
》 渡辺志保 R.KELLY告発ドキュメンタリー『Suriviving R.Kelly』を語る (miyearnZZ Labo, 1/15)
この番組のテーマのひとつになっているのは、「被害にあったのが黒人女性だったからこそこの事件、R.ケリーがしてきたことが明るみに出てくるまでにすごく時間がかかってしまったのではないか? 被害にあったのが白人の女の子だったら、もうすぐにえらいことになってたんじゃないか?」っていうことも言われてまして。
うわ……。
やっぱりそこまでブラックコミュニティーに深く深く根ざしたアーティストだからこそ、彼が陰で、裏でこんなおぞましいことやってるなんてやっぱり最初は誰も認めたがらないっていうことも言われておりまして、まさにそうだろうなと。かつ、やっぱりそれだけ大きいアーティストになりますと、稼ぐ額が変わってきますので。やっぱりそのR.ケリー1人が稼働して、それで生計を立ててるようなスタッフとかが周りにたぶんたくさんいるから、何かひとつ、「事件が起こりました」ってなっても、もう示談金で解決できるものは解決して、それでもう終わりにしましょう、みたいなケースも非常に多かったのではないかなと思いますし。
うわ……。
》 カミソリの米ジレット、「男らしさ」を問いかける広告動画が話題に。ネットには賛否の声 (ハフポスト, 1/16)。いいぞジレット。 私はフィリップスユーザーなので使えないのだけど。 (手動シェーバーだと血まみれになっちゃうので……)
》 英国金融機関Euro Exim Bank、国際送金に米リップル社の仮想通貨XRPを導入へ (仮想通貨 Watch, 1/16)
》 除草剤ラウンドアップ、フランスで即日販売禁止に (AFPBB, 1/16)。すばらしい。
》
中学生を匿名ブログで中傷 66歳男性に侮辱罪で略式命令
(BuzzFeed, 1/16)。匿名ヘイトブログに略式命令で罰金科料 9000 円。安すぎる。
男子生徒と家族から相談を受けた弁護団は2018年2月、中でも悪質だったブログ「写楽」の刑事告訴を検討。
管理会社のサイバーエージェントに任意の発信者情報開示を請求し、仮処分申し立てを経てIPアドレスを入手。プロバイダへの発信者情報開示を実施した。
この段階でブログ記事も削除された。管理者の男性は「侮辱する意図で作成したものでもございません」としていたが、弁護団は川崎署に侮辱罪での告訴状を提出。12月20日に川崎簡易裁判所が略式命令を下し、2019年1月に確定した。
手間とコストがかかりすぎる。
今後、男性に損害賠償を求める民事訴訟の提訴も検討している。
コストを取り戻すための手間が、さらにかかる現実。
》 Appleを装ったフィッシング詐欺が巧妙になってきている (gizmode, 1/17)、 Apple Phone Phishing Scams Getting Better (Krebs on Security, 1/3)
この件が懸念されるべきなのは、Appleのデバイス、携帯会社のAT&T、あるいはその両方を騙すことで、本物のサポートセンターの様に見せかけることができる点です。Westby氏は不審な点が分かるのですぐに気づきましたが、彼女がKreb氏に対し、「非常に説得力があるので、騙される人も多く出るのではと思います」と語っています。
》 ばいばいアップル税。Netflixが全世界でアプリ内課金やめる。節税幅がすごいことに (gizmode, 1/8)
Appleに売上の15%を徴収されてしまうのを嫌ったもの。(中略) Netflixって売上半端ないので、15%でも昨年だけで推定2億5600万ドル(約277億円)にもなってしまう計算。
》 Ethereum Classic 51%攻撃に続報、実被害額9千万円超の盗難ETCは返還され事態収束か (仮想通貨 Watch, 1/17)。結局、51% 攻撃だったことで確定なんですかね。
》 コインハイブ事件 高木浩光氏「刑法犯で処罰されるものではない」公判で証言 (弁護士ドットコム, 1/15)。関連:
モッチーさんの、このツイートに続く一連のツイート:
Coinhive(コインハイブ)裁判の第二回公判 高木浩光氏の証人尋問も傍聴してきました。
— モッチー@少年クリプト編集長 (@shonen_mochi) January 15, 2019
今回も『弁護士ドットコムNEWS』さんがわかりやすくまとめてくれていますが、書かれていないことをスレにまとめていこうと思います。https://t.co/wm2wVErPob
Coinhive事件、高木浩光氏が証人として裁判に出廷 (スラド, 1/17)
これってコンピューターウイルス? (NHK, 2018.12.26)
》 自動車向けのレーザーセンシング装置が原因でデジカメのセンサーが損傷したという報告 (スラド, 1/17)
LiDARでは波長1,000nm以下のレーザーを使用することが多いが、人間の眼の網膜を傷つける危険性があるため出力が制限されている。一方、AEyeが使用している波長1,550nmのレーザーは眼球内の液体に阻まれて網膜まで到達しないため、より高出力で利用可能だという。その結果、一般的なLiDARが検出可能な範囲は200~300mなのに対し、AEyeのLiDARは1,000m先まで検出できるそうだ。
しかし、カメラは眼球と異なり、波長1,550nmのレーザーを阻む液体は存在しない。
そこらじゅうにデジタル機器がある時代なので、人間を前提としてモノをつくるのは御法度ということか……。
》 ブロッキング法制化見送り…「通信の秘密」が壁 (読売, 1/15)、 海賊版サイト「ブロッキング」法制化を棚上げへ (共同 / 毎日, 1/15)。それはいいのですが、
政府はブロッキングに代わって、海賊版サイトへ誘導する「リーチサイト」を規制するほか、違法配信と知りながら漫画などをダウンロードする行為を違法化する著作権法改正案を提出する方針だ。
はぁ……。
》 ダウンロード違法化の拡大に反対意見を!(締切は1月6日日曜日) (P2P とかその辺のお話 R, 1/5)、 文化庁 文化審議会 著作権分科会 法制・基本問題小委員会 中間まとめに関する意見募集に意見を提出しました (インターネットユーザー協会, 1/6)。パブコメ受付は終了しています。匿名希望さん情報ありがとうございます。
》 ファーウェイ問題の深淵:サイバースペースで前方展開する米国 (土屋大洋 / ニューズウィーク日本版, 1/16)
ファーウェイ事件の直後に来日した米国国家安全保障局(NSA)の長官も務めたマイク・マッコーネル提督に、「ファーウェイの問題は、米国が同じことができるから中国もできるに違いないという見立てに基づいているのではないですか」と聞いた。 (中略) マッコーネル提督は直接答えなかった。しかし、「チャンスがあれば99%やるのが当たり前だ。やらないほうがおかしい。米国でも中国でも、インテリジェンス活動の対象が決まっていて、そこから情報をとる必要があるならば、可能なことは何でもやるはずだ」というのが彼の答えだった。
いままで US がさんざんやってきたことを、今後は中国にやられそうなので怖がっているわけです。実際にやっているかどうかではなく、できるかどうかが問題で、できるのであれば必ずやるだろうと。
》 サンドボックス「AnyRun」を使ってみた (WATOBAKO, 1/14)
》 Windows 10で脱ウイルス対策ソフトを実践、予期せぬ不安も (日経 xTECH, 1/11)。Windows Defender にしました話。 いまどきの Windows Defender は市販品にひけを取らないようですからね。
こうしてパソコンの設定を終えたが、他社製ウイルス対策ソフトを入れなかったことについて、一抹の不安があるのも事実だ。
とはいえ、市販品を入れれば安心できるわけでもないのですが。
Oracle 四半期定例出ました。 Java SE は 8u201/202 と 11.0.2 LTS が出ています。 VirtualBox は 6.0.2 と 5.2.24 が出ています。
そういえば Amazon Corretto はどうなっているのかなと思って見てみたら、 8u192 の preview2 が最新のようで。 Change Log for the Amazon Corretto 8 Preview (AWS)
》 第1回ばりかた文系専門セキュリティ勉強会。 2019.01.20、福岡県福岡市、無料 (懇親会は有料のようです)。 花田さん情報ありがとうございます。
関連: セキュリティ担当は簡単じゃない (ばりかた文系専門セキュリティ勉強会, 1/10)
》 45億円が160億円に 国購入予定の島、価格を上積み (朝日, 1/9)。馬毛(まげ)島の件。
》 米大手キャリアによる顧客の位置情報販売、報道受け議員らが調査求める (CNET, 1/11)
》 「忘れられる権利」はEU域内のみで適用されるべき--EU法務官が見解 (CNET, 1/11)。「最終判断は今後下される見通しだ」。
》 Global DNS Hijacking Campaign: DNS Record Manipulation at Scale (FireEye, 1/9)
》 redditで相次ぐアカウントのロック、海外から不正アクセスか (ITmedia, 1/11)
》 Windows 7 サポート終了まであと約 1 年。 2020.01.14 に終了。
Windows 10、ついにWindows 7を抜く――デスクトップOSのシェアでトップに (techcrunch, 1/3)。ようやく。
Windows 7と一緒に古いアプリも使えなくなる? OfficeやアプリもOSと一緒に最新版へアップグレードしよう (Internet Watch, 1/10)。Office 2010 は 2020.10 に終了するよ。
Microsoft Windows 7のOSサポート終了に対する移行支援について (トレンドマイクロ, 1/10)
》 空軍基地内の軍事パレードをドローンで攻撃、少なくとも6名死亡 (イエメン)。貧者の空軍力。
イエメン情勢(ドローンによる空軍基地攻撃等) (中東の窓, 1/10)。「その他多数が負傷したが、その中には副参謀長、ラハジェ知事、情報長官、憲兵司令官、第4軍管区報道官等が含まれていて他の報道者も負傷した。 ドローンはお偉方の居る壇の上で爆発した由」
Bomb-laden rebel drone kills 6 at Yemen military parade (AP, 1/11)
Rebel drone bombs Yemen military parade, kills at least 6 (Economic Times, 1/10)
イエメン内戦 “ドローン攻撃の瞬間映像” 戦闘再び激化か (NHK, 1/11)
イエメン最大の空軍基地でドローン攻撃、政権側6人死亡 和平の障害となる恐れ (AFPBB, 1/11)
2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)
適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。
Windows 7/Windows Server 2008 R2向けの月例パッチに問題、ネットワークが動作不能に マンスリーロールアップ「KB4480970」で確認 (窓の杜, 2019.01.10)
同社のサポートページによると、問題が確認されているのは「Windows 7 SP1」および「Windows Server 2008 R2 SP1」向けのマンスリーロールアップ「KB4480970」。セキュリティ関連の修正のみを含んだ「KB4480960」には影響しないようだ。
January 8, 2019—KB4480970 (Monthly Rollup) (Microsoft)
》 海の向こうの“セキュリティ” 「CVSS」とはそもそも何か? 脆弱性対応の優先順位付けではない!? (Internet Watch, 1/9)
》 国&東京都&組織委「東京オリンピックで混雑するから首都高を深夜帯以外は2倍に値上げするよ、大会後もレガシーとしてずっとね」 (Buzzap!, 1/7)
》 十数本のiPhoneアプリにマルウェアサーバーとの通信動作が発覚。App Storeでの配布停止 (engadget, 1/8)
》 WinSCP 5.13.7 が出たそうで (1/8)。
》 拝啓、ZOZO前澤友作様「1億円バラマキ、本当に下品です」 (藤田孝典 / iRONNA, 1/9)。関連:
プチ鹿島 ZOZO前澤社長1億円お年玉企画を語る (miyearnZZ Labo, 1/8)
(プチ鹿島)で、これは市場関係者の話として東スポはこう書いているわけです。「東スポと東洋経済の記事がネットにアップされた数時間後、バラまき企画をブチ上げている」っていう。つまり、ネガティブな話題をかき消すための戦略だったんじゃないかと。
ついに始まる?アパレル「ゾゾ離れ」の現実味 オンワードが全ブランドの商品販売から撤退 (東洋経済, 1/5)
ZOZO前澤社長「1億円バラまき企画」の波紋 (東スポ, 1/8)
「ZOZO離れ」オンワードだけではない!?セレクト各社の危機感 (ダイヤモンド online, 1/9)
》 From Encrypting the Web to Encrypting the Net: A Technical Deep Dive on Using Certbot to Secure your Mailserver (EFF, 1/7)
》 オーストラリアの気象情報サービスの不正アクセスについてまとめてみた (piyolog, 1/8)
》 NSAが無料で独自開発の高機能リバースエンジニアリングツール「GHIDRA」を公開する予定 (gigazine, 1/8)。ギドラ……。逆アセンブラだそうです。
Wireshark 2.6.6 Release Notes (Wireshark, 2019.01.08)
Wireshark 2.4.12 Release Notes (Wireshark, 2019.01.08)
出ました。IE / Edge, Windows, Office, ChakraCore, .NET Framework, Flash Player, ASP.NET, Exchange, Visual Studio。 以下、セキュリティ更新プログラム ガイド から拾ったもの:
IE
Edge
Windows
Windows カーネル
Windows Hyper-V
Jet データベース エンジン
Office
Skype for Android
CakraCore
.NET Framework
Flash Player
ASP.NET
Exchange
Visual Studio
あと、たとえば January 8, 2019—KB4480116 (OS Build 17763.253) (Windows 10 version 1809) を見ると、Known issues として
After installing this update, third-party applications may have difficulty authenticating hotspots.
なんてのが出ているのだが、どのくらいの頻度で影響するものなのか不明。
適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。
Windows 7/Windows Server 2008 R2向けの月例パッチに問題、ネットワークが動作不能に マンスリーロールアップ「KB4480970」で確認 (窓の杜, 2019.01.10)
同社のサポートページによると、問題が確認されているのは「Windows 7 SP1」および「Windows Server 2008 R2 SP1」向けのマンスリーロールアップ「KB4480970」。セキュリティ関連の修正のみを含んだ「KB4480960」には影響しないようだ。
January 8, 2019—KB4480970 (Monthly Rollup) (Microsoft)
Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。
2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10)。 「そのコンピューターに対して Administrators グループに所属しているローカル ユーザーを用いてアクセスすると、接続に失敗する」。 修正プログラムあり。
ライセンス認証の失敗と、2019 年 1 月 8日ボリューム ライセンスの Windows 7 の KMS クライアントの周りの「非正規品」の通知 (Microsoft KB 4487266)。 KB 971033 を削除することで回避できる。
1 月のセキュリティ パッチで RDP 認証エラー(7/2008/2008R2、修正パッチあり、説明なし) (山市良のえぬなんとかわーるど, 2019.01.16)。 2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる (Ask the Network & AD Support Team, 2019.01.10) の件。
1月の月例パッチが「Excel 2010」「Access 2010」を動作不能にする問題、修正へ 更新プログラム「KB4462157」がダウンロードセンターで提供される (窓の杜, 2019.01.21)
Flash Player 32.0.0.114 公開。セキュリティ修正は含まれていない、とされている。 Priority: 3。
明日は Windows Update 配信日です。
》 無料SSL認証サービス「Let’s Encrypt」が「2019年にHTTPSがどれだけ普及するか」の予測を発表 (gigazine, 1/5)
》 Introducing new advanced security and compliance offerings for Microsoft 365 (Microsoft, 1/2)
》 『THE ZERO/ONE』休刊のお知らせ (THE ZERO/ONE, 2018.12.31)。おつかれさまでした。
こちらが最後の記事だそうです: 続・日本人マルウェア開発の実態を追う ハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる (THE ZERO/ONE, 2018.12.31)
》 SECCON 2018 国際決勝 CTF での Programming Quiz について (熊猫さくらのブログ, 2018.12.30)
》 盗撮・レイプ未遂も…駅トイレの空きが分かる“神アプリ”を犯罪者目線で考えてみた (Business Insider Japan, 2018.12.28)。悪用される危険性の話。
》 少年ジャンプ+編集長に聞く「マンガ編集者がAIを使う」可能性 ── 中国には100万人の漫画家志望がいる (Business Insider Japan, 2018.12.28)
》 米国新聞社で発生したサイバー攻撃についてまとめてみた (piyolog, 2018.12.31)。ランサムウェア?
》 EU、Apache Kafkaなど15のフリー/オープンソースソフトウェアを対象とするバグ発見報酬プログラムを開始 (OSDN, 1/7)。「欧州議会議員でドイツ海賊党所属のJulia Reda氏が発表した」
》 ClamAV 0.101.1 Patch has been released (ClamAV, 1/7)
》 顧客情報、令状なく取得 検察、方法記すリスト共有 (共同 / 中日, 1/4)
入手したリスト「捜査上有効なデータ等へのアクセス方法等一覧表」によると、顧客情報は公共交通機関や商品購入の履歴、位置情報といった個人の生活に関わるもので計約三百六十種類。
検察関係者によると、リストは最高検が捜査への活用を目的に、警察の協力を得て作成し、検察内部のサーバーに保管、随時更新している。
》 警官467人に執筆料1億円超 副業禁止抵触か 昇任試験問題集の出版社 (西日本新聞 / Yahoo, 1/8)。ケーサツの裏はヤミ。
》 Ethereum Classic で 51% 攻撃発生? (そうではなかったと公式見解)
CoincheckとbitFlyer、仮想通貨Ethereum Classicの入出金を一時停止 51%攻撃の懸念によるユーザー資産保護のため (仮想通貨 Watch, 1/8 12:50)
Ethereum Classicで100ブロック超の再編成(reorg)が発生し二重支払いなどの報告も、ネットワーク安定化に向けて調査継続中 (仮想通貨 Watch, 1/8 14:59)
その後の調査によって、Ethereum Classicは本件が悪意ある51%攻撃ではなくセルフィッシュマイニングに類するものだったと発表した。ASICマイナーを開発するベンチャー企業Linzhi社の、1400MH/s(1秒間に14億回ハッシュ計算ができる処理能力)を持つという新型マイニングマシンのテスト運用が、ブロックの大規模な再編成に至った要因であるとしている。
》 辺野古埋め立て 首相が「あそこのサンゴは移植」と発言したが…実際は土砂投入海域の移植はゼロ (琉球新報, 1/8)
》 プチ鹿島 宝島社新聞広告「敵は、嘘」「嘘つきは、戦争の始まり」を語る (miyearnZZ Labo, 1/8)
》 保守速報の敗訴、最高裁で確定。在日女性への差別を認定、「まとめサイト」の新たな判例に (BuzzFeed, 2018.12.12)、 保守速報の上告棄却、李信恵さん「判例が差別解決に役立てばうれしい」 (弁護士ドットコム, 2018.12.12)、 「保守速報」の敗訴確定から見る、保守系まとめサイトと、保守論壇界のゆくえ (論壇net, 2018.12.13)
》 英空港へのドローン侵入で容疑者逮捕、後に釈放 (ZDNet, 2018.12.25)。ガトウィック空港。
》 装輪155mmりゅう弾砲は必要か 下 (清谷信一 / Japan In-depth, 2018.12.15)
「装輪155mmりゅう弾砲」の導入よりも、観測用のヘリやUAV、先方観測誘導部隊の更新導入及び充実、指揮通信およびネットワークの充実、更に精密誘導砲弾の導入などの方が優先順位は高い。島嶼防衛用に必要ならばむしろM777を1個大隊20~30門程度も導入すればいいだろう。
本当にねえ。
》 ウェイモの自動運転車を住民が襲う (新聞紙学的, 1/5)。ラッダイト運動再び、ですか……。
》 山市良のうぃんどうず日記(144): Windows Server 2019の新規インストールはWindowsセットアップに任せてはダメ! (@IT, 1/8)。回復パーティションがアレな件。
》 【「中国でVPNを使ったら行政処罰」の真相を探る】(1)「広東公安執法信息公開平台」の正体 (黒色中国BLOG, 1/7)、 【「中国でVPNを使ったら行政処罰」の真相を探る】(2)VPNで何をしたらアウトなのか? (黒色中国BLOG, 1/7)
2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)
関連:
JVNVU#90683334 - Windows DNS サーバにおけるヒープベースのバッファオーバーフローの脆弱性 (JVN, 2019.01.07)
JVNVU#92038183 - Windows Kernel Transaction Manager (KTM) における競合状態に関する脆弱性 (JVN, 2019.01.07)
Android版Skypeに「パス入力なしでスマホ内部にアクセスできる」脆弱性が発見される (gigazine, 2019.01.04)。「2018年12月23日に行われたAndroid版Skypeアプリのバージョンアップで修正されています」
CVE-2019-0622 | Skype for Android の特権の昇格の脆弱性 (Microsoft)
MsiAdvertiseProduct function (Microsoft TechNet)
JVNVU#92357871 MsiAdvertiseProduct における権限昇格の脆弱性 (JVN, 2018.12.20)
Windowsにゼロデイ脆弱性 ~保護されているファイルを攻撃者によって読み取られる恐れ (窓の杜, 2018.12.21)
JVNDB-2018-010809 - 横河電機製 Vnet/IP オープン通信ドライバにサービス運用妨害 (DoS) の脆弱性 (JVN, 2018.12.25)
YSAR-18-0008: Vnet/IPオープン通信ドライバにサービス運用妨害(DoS)の脆弱性 (横河電機, 2018.12.21)
Django security releases issued: 2.1.5, 2.0.10, and 1.11.18 (oss-sec ML, 2019.01.04)。「CVE-2019-3498: Content spoofing possibility in the default 404 page」を修正。
[CVE-2018-17197] Apache Tika Denial of Service -- Infinite Loop in Tika's SQLite3Parser (oss-sec ML, 2018.12.22)。1.20 以降で修正。
[CVE-2018-17191] Apache NetBeans 9.0 Proxy Auto-Configuration (PAC) interpretation is vulnerable for remote command execution (RCE) (oss-sec ML, 2018.12.30)。 Apache NetBeans 10.0 で修正。
[SECURITY] New security advisory for CVE-2018-11788 released for Apache Karaf (oss-sec ML, 2019.01.06)。4.1.7 / 4.2.2 で修正。
[SECURITY] CVE-2018-11798 Announcement (oss-sec ML, 2019.01.07)。0.12.0 で修正。
[SECURITY] CVE-2018-1320 Announcement (oss-sec ML, 2019.01.07)。0.12.0 で修正。
Dokan (ウィキペディア)
JVNVU#97284298 - ファイルシステムドライバ Dokan におけるスタックバッファオーバーフローの脆弱性 (JVN, 2018.12.21)。オリジナル Dokan ではなく、派生プロジェクトである Dokany の欠陥。Dokany 1.2.1.1000 で修正。
》 クイーンのギタリスト、ブライアン・メイさんも協力呼び掛け 県民投票までの名護市辺野古埋め立て工事の中止を求めるホワイトハウス請願署名 (琉球新報, 1/7)
URGENT !!! URGENT !!! PLEASE SIGN THIS PETITION to save a beautiful coral reef and irreplaceable eco-system, threatened by USA extending an airbase. Bri https://t.co/CyXjTbObeu
— Dr. Brian May (@DrBrianMay) January 6, 2019
URGENT ! Last chance to sign a petition to stop the destruction of an irreplaceable coral reef in Okinawa.… https://t.co/Z6HQocbTF8
— Dr. Brian May (@DrBrianMay) January 6, 2019
やり方: 3ステップでOK 米ホワイトハウスへの嘆願、署名のやり方は? (沖縄タイムス)
》 「平和統一」か「武力統一」か:習近平「台湾同胞に告ぐ書」40周年記念講話 (遠藤誉 / ニューズウィーク日本版, 1/6)
1月2日、習近平は「台湾同胞に告ぐ書」発表40周年記念で講話し、2020年の台湾総統選に向けて「一国二制度」による平和統一を選択しない限り、武力統一もあり得ると脅した。1,2年以内に何かが起きるだろう。
この習近平の巨大な野望と決意に対して、日本はどのように対処しているのか?
昨年10月の安倍首相公式訪中に関して筆者が盛んに批判的言説を展開したのは、安倍首相が習近平に「四つの政治文書の原則」を守り「(中国への)協力を強化します」と誓ったからだ。これは即ち「私は喜んで台湾を捨てます」と誓ったことに等しい。なぜなら「四つの政治文書」には共通して「一つの中国」原則(中華民国は存在しないという原則)が明示してある。また「中国に協力する」と誓ったことは、言論弾圧をする中国を認めますと誓ったことにもなる。
中国(大陸側)は今年から、徹底した「餌」を平和統一派である台湾の国民党側と選挙民である台湾国民にばらまき続けるだろうことを、日本は認識しなければならない。
》 Huawei総裁はなぜ100人リストから排除されたのか? (遠藤誉 / Yahoo, 2018.12.30)。Huawei は国家ではなく人民の企業なのだという話。
ZTEがアメリカの制裁を受けたことに関して、ネットには「ざまあ、見ろ!」という言葉に相当した中国語(活該!)の書き込みはあっても、それに抵抗を示す若者は一人もいなかった。しかし今般、Huaweiの孟晩舟が拘束されると、中国の若者の間ではアップルのiPhoneを破壊したり、Huaweiのロゴを掲げたりなどして、アメリカに抵抗を示す若者の姿が見受けられた。別に孟晩舟を応援しているわけではなく、国有企業ZTEから長いこと嫌がらせを受けて勝ち残ってきたHuaweiに対する一般庶民や若者の心情は、中国政府への抵抗につながる何かを体現しているように見える。特にHuaweiを潰そうとした国務院総理が、天安門事件で若者に銃口を向けた、あの李鵬であることを考えると、なおさらだろう。天安門事件への憤りは庶民の間から消えたわけではない。
》 今季は、キャップ依存性エンドヌクレアーゼ阻害薬「ゾフルーザ」の処方が広がりそう?
インフルエンザの新薬ゾフルーザは“早く楽になる” (日経 Gooday, 2018.12.25)
「まず作用機序(メカニズム)が、これまでの薬と全く違います。これまでのインフルエンザ治療薬は、ノイラミニダーゼ阻害薬と呼ばれる種類の薬で、感染した人の細胞の中で増殖したインフルエンザウイルスが、他の細胞に広がるのを抑える作用がありました。一方、ゾフルーザには、ウイルスの増殖そのものを抑える働きがあります」(廣津氏)。
ゾフルーザ採用見送り (亀田メディカルセンター|亀田総合病院 感染症科, 2018.11.11)
ウイルスの排泄がday 2-3がタミフルより少ない状態となることが利点とされていますが、本当にそれによって感染性が落ちることは示されていません(飛沫予防策の期間は変わりません)。また、インフルエンザウイルスA/H3N2で、治療中に約10%が耐性化する可能性が指摘されており、その場合、ウイルス排泄はタミフル群より多いため、むしろそのような株が大勢を占めた場合、感染伝播拡大の危険性もあります。また、コストは、4789円(40mg)で、タミフルの2720円(5日分)の1.76倍です。タミフルのジェネリックはさらに安く1360円(ゾフルーザはこれの3.52倍)となっており、もし1000万人を治療するとした場合、タミフルのジェネリックとゾフルーザを比較すると、前者のほうが342億9000万円もお安くなります。また、将来的に、タミフル耐性ウイルスがでた場合の治療薬となる可能性もあり、今から使用して、耐性ウイルスを増やしてしまってもよいのか、という問題もあります。
新インフルエンザ薬ゾフルーザ外来処方開始!嘔吐した場合の対処法は (認知症専門医・長谷川嘉哉【土岐内科クリニック】のブログ, 2018.12.18)。「1回で済む」タイプの薬は、その1回の服用に失敗するとめんどうなことになるんですよね。 実際、めんどうなことをイナビルで体験したので、できれば避けたいです。
》 落合陽一は反省表明したが…古市憲寿と落合が「高齢者終末医療カット」言い逃れでさらに露呈した無知と無自覚 (リテラ, 1/6)、 落合陽一氏、古市憲寿氏、荻上チキ氏の議論(終末期医療などをめぐって)~2019年1月※3日現在、議論継続中 (togetter)、 「死ぬ前1か月の医療費さえ削ればよい」落合陽一氏×古市憲寿氏対談で見えた終末期医療の議論の難しさ (市川衛 / Yahoo, 1/4)
》 放送局、テレビ視聴データ収集 ネット通じ、拒否可能 (共同, 1/6)。「民放キー5局は21日から15日間、どの番組が見られているか、関東地区のテレビ数百万台の膨大なデータを試験的に初めて共有化する」。 拒否したい人は、たとえばこういうのでいいのかな:
テレビでの、視聴履歴取得の許諾をキャンセルするには?キャンセル後に、再びサービスを利用したい場合は? (レグザクラウドサービス)
機器ごとに、そういう設定項目があるはず?
》 立憲が国民投票の「スポットCMの全面禁止」検討 (毎日 / Yahoo, 1/6)
》 ベネッセ情報流出、1人3300円賠償命令 東京地裁判決 (日経, 2018.12.27)。シンフォームについて、「弁護士費用300円と合わせ、1人当たり3300円の損害賠償」。
ベネッセについては派遣社員がスマートフォンを使ってデータを転送した方法について予見可能性はなく、指揮監督関係もないとして賠償は命じなかった。
》 「データ復旧率90%以上」を疑え、社名変えながら荒稼ぎする悪質業者をデータ復旧業界歴23年の本田氏が指摘 (Internet Watch, 2018.12.28)。 悪質企業は確かに存在するようで。 日本データ復旧協会 (DRAJ) の会員企業であれば、 一定の水準にあると言えるのかな。
「一部の悪質な事業者」に関する注意喚起について (日本データ復旧協会, 2018.10.18)
そのような不誠実な対応やお客様が一方的に不利になるような契約は、日本データ復旧協会加盟の会員企業では一切行っておりません。また、苦情が集中している悪質な事業者も当協会の会員ではございません。
もし被害を受けられた場合は、被害金額の大小に関わらず、独立行政法人国民生活センター(全国の消費生活センター)、ならびに消費者庁等へご相談くださいますようお願いいたします。
データ復旧サービス利用に関するトラブルの相談はこちら (日本データ復旧協会, 2018.12.13)
》
新元号アップデートでExcel 2010が起動しない不具合、Microsoftが削除を呼び掛け
(やじうま Watch, 1/7)。KB4461627
の件。This update is no longer available
だそうで。
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB19-02 (2018.12.28)
出てます: Security Bulletin for Adobe Acrobat and Reader | APSB19-02 (Adobe, 2019.01.03)。Zero Day Initiative からの 2 件を修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.010.20069 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30113 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30464 |
関連:
Adobe Acrobat Pro DC Preflight setDefaultLibrary Use-After-Free Remote Code Execution Vulnerability (ZDI, 2019.01.04)。CVE-2018-16011
Adobe Reader DC JavaScript Read-Only Variables Arbitrary Overwrite Restrictions Bypass Vulnerability
(ZDI, 2019.01.04)。
CVE-2018-19725
となっているが、APSB19-02 によると、
CVE-2018-19725 has been replaced with CVE-2018-16018
だそうだ。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)