Last modified: Thu Sep 24 18:32:19 2020 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 WireGuardでVPNサーバーを構築する (Ubuntu Weekly Recipe, 4/8)
WireGuardは,SSHサーバーと同程度に,簡単にセットアップが可能なことを目指して開発されています。実際,サーバーとクライアント間で公開鍵を交換し,IPアドレスを割り当てるだけで,VPN通信が可能になります
》 (更新)第2学期(後期)の授業開始にあたって (龍谷大学, 8/27)
》 New Release: Tor Browser 9.5.4 (Tor Blog, 8/25)。iida さん情報ありがとうございます。
》 LibreSSL 3.2.1 Release Notes (OpenBSD, 8/24)。開発版。iida さん情報ありがとうございます。
》 データ消去技術 ガイドブック 第 2 版(暫定版) (データ適正消去実行証明協議会 消去技術認証基準委員会, 8/24)。たいへん興味深い。関連:
NIST Special Publication 800-88 Revision 1 - Guidelines for Media Sanitization (NIST, 2014.12)
「自治体情報セキュリティ対策の見直しについて」の公表 (総務省, 5/22)、 自治体情報セキュリティ対策の見直しのポイント (総務省, 5/22)
関連報道: ハードディスク破壊を指針に明記 自治体廃棄の際、個人情報保護で (共同, 8/13)。消去手段が物理破壊のみとなるのは「マイナンバー利用事務系に該当するもの」に限るのだが、 この記事からは、そこまでは読みとれない。
「教育情報セキュリティポリシーに関するガイドライン」公表について (文科省)。2019.12 版が最新。
安全な廃棄のために使用すべきストレージの機能(2/2) (ken-yossy (Kenichiro Yoshii / qiita, 2/20)
MegaRAID上でのSSDのSecure Erase (DSAS開発者の部屋, 2017.03.16)
ソリッドステートドライブ/メモリセルの消去 (archlinux)
複数の SSL VPN 製品の脆弱性に関する注意喚起 (2019.09.02)
関連:
テレワーク、VPN暗証番号流出 国内38社に不正接続 (日経, 2020.08.24)
崩れたネットの「関所」VPN 在宅勤務増で急ごしらえ (朝日, 2020.08.25)。「三菱電機への攻撃と同じ欠陥悪用」。
流出した情報は6~7月にロシア系ハッカーが集うサイトにアップされた。販売目的とみられ、暗号資産(仮想通貨)がハッカーに振り込まれた痕跡もあった。朝日新聞記者が入手した流出情報を分析したところ、接続情報は900余の組織に上り、少なくとも50近くの国内企業や学校法人のものとみられる情報が含まれていた。取材に応じた複数の企業はいずれも、社内システムへの侵入は確認されなかったと説明した。
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工 (ITmedia, 2020.08.26)
パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる (日経 xTECH, 2020.08.26)
VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相 (日経 xTECH, 2020.08.28)
脆弱性が見つかったのは2019年4月。同時期にPulse Secureはパッチを提供したが、なかなか適用されなかったようだ。
パッチ適用の有無は、不正アクセスに当たらない方法で容易に調べられる。セキュリティー企業の米Bad Packets(バッドパケッツ)が2019年8月末に調べたところ、世界で1万4500台の脆弱なVPN製品が存在し、そのうち1511台が日本国内にあるとしていた。
JPCERT/CCによると、今回流出を確認した国内のIPアドレス90件は、この1511台のIPアドレスにほぼ含まれていた。このためパッチ未適用のPulse Secure製品から流出した情報だと推測できるとしている。
》 日東ホルカム。 「日東造機CrushBox,HORUKAMU公式通販サイト」。2〜3か月待ちのようです。
● CRUSH BOXシリーズ納期情報:2019年12月 県庁の廃棄パソコン内 HDDの転売事件による個人情報を含む行政文書なんどの情報漏洩事件から、注文が急増していて生産が追い付いていない状態が続いています。
納期がかかり大変申し訳ございません。在庫運用まで今しばらくお待ちくださいませ。 (10月末予定)
》 容疑者の多くからDNA採取 DBに130万件と判明 (朝日, 8/23)
》 国のコロナウイルス対策とPCR検査抑制論の推移 (臨床獣医師の立場から, 7/16)
吉村府知事、イソジン騒動が示す「維新流イメージ戦略」の危うい実態 (松本 創 / 現代ビジネス, 8/15)
吉村洋文・大阪府知事のイソジンうがい推奨は何が間違っているのか? 維新の会の“体質”であるリスク無視の「Good Try」論こそが問題だ (米山隆一 / 論座, 8/20)
日本維新の会の政党支持率だが、時事ので見る限りでは、 3月まで 1% 台だったのに 5月に 7.7% まで急上昇したあと、7月には 2.2%、8月 1.5% と急降下している。イソジン (8/4〜) で下がった、というわけではない感じ。
【図解・政治】政党支持率の推移 (時事, 3/13)。1, 2, 3月と 1% 台。
内閣支持横ばい40% コロナ対応「評価せず」過半数―時事世論調査 (時事, 6/27)。5月 7.7%、6月 5.9%。
調査は従来、個別面接方式で行ってきたが、新型コロナの感染状況を踏まえて、前月に続いて郵送方式で実施。6月11日に一斉投函(とうかん)し、22日回収分をもって締め切った。対象は全国18歳以上の男女2000人で、有効回収率は49.3%だった。
維新が高かった月から、調査方法が変わってる。
内閣支持35%、不支持46% コロナ対応、5割弱「評価せず」―時事世論調査 (時事, 7/17)。7月は 2.2%。
調査は10~13日に全国の18歳以上の男女2000人を対象に実施。有効回収率は61.5%。
内閣支持32%、過去最低目前 コロナ対応「評価せず」6割―時事世論調査 (時事, 8/14)。8月は 1.5%。
調査は7~10日、新型コロナの影響で沖縄県を除く全国の18歳以上の男女1977人を対象に面接方式で実施。有効回収率は63.7%。過去との比較は、郵送方式で行った5、6月分を除いた。
あぁなるほど。郵送方式のときだけ維新の数字が高く出たのね。
大阪の「イソジン教授」に古巣大学が「職務規定違反」を指摘 (NEWS ポストセブン / Yahoo, 8/24)
松山氏は7月末まで藤田医科大学に医学部教授として籍を置いていた。 はびきの医療センターでの研究は大学に無断で行なっていたらしく、兼業を禁止している大学の職務規程に違反しているのでは、と言われているのです
中国スマホメーカーはトランプ政権の規制策で米国アプリインストール不可に (techcrunch, 8/7)
トランプ政権の5本柱から成るClean Network(クリーンネットワーク)イニシアチブは、中国のスマホメーカーが米国のアプリをプレインストールまたはダウンロードできないようにすることを目的としている。米国の制裁によりHuaweiはすでにGoogleの主要サービスへのアクセスを失い、これにより中国外でのスマホ販売は大打撃を受けている。もしクリーンネットワークが適用されれば、OppoやVivo(ビボ)、Xiaomi、その他の中国スマホメーカーもHuaweiと同じ苦しみを味わうことになる。
アフリカ、深まるファーウェイ依存 米の排除方針と一線 (日経, 8/14)
インドも5G導入計画からファーウェイとZTEを排除か (CNET, 8/17)、 インド、ファーウェイなど中国通信機器を排除へ FT報道 (日経, 8/25)
米商務省、ファーウェイなどへの輸出管理を強化、第三者からの調達を制限 (JETRO, 8/18)
トランプ政権 ファーウェイに追加の制裁 締めつけ強める (NHK, 8/18)
[FT]米禁輸強化、ファーウェイに致命的打撃 (FT / 日経, 8/18)
米商務省がファーウェイへの禁輸をさらに強化、エンティティリストに38組織追加 (techcrunch, 8/18)
米商務省がHuaweiに対する「輸出一時許可」を延長せず スマホやタブレットへの影響は? (ITmedia, 8/18)
関連会社38社をリストに追加: 米国がHuaweiに対する禁輸措置を強化 (EE Times, 8/19)
ファーウェイにとどめを刺しにきた米国の追加規制。ユーザーのスマホはどうなる?影響は?(本田雅一) (engadget, 8/19)
「問題ある製品なら全世界がファーウェイ使うだろうか」…米中対立に狭まれた韓国LGユープラス(1) (中央日報, 8/19)。「5G装備の30%ほどにファーウェイ製品を使うLGユープラスが米中対立の狭間で悩みが深まることになった」
息を止められたファーウェイ…米国の半導体「死の攻撃」にサムスンも緊張 (中央日報 / Yahoo, 8/21)
ファーウェイ、古い「Android」デバイスへのアップデートは継続へ (CNET, 8/20)
ファーウェイの制裁回避、関与が疑われる米国テック企業 (Forbes, 8/25)
Huaweiへの追加制裁でソニー製イメージセンサーが出荷減か。AMOLED価格にも影響 (PC Watch, 8/24)
【お詫び】IPアドレスが他者からも確認できてしまう不具合について (note, 8/14)
【再発防止策】IPアドレスが外部から確認できた事態について (note, 8/14)
noteでソースにIPアドレスが表示されることが発覚し緊急メンテナンスに。「記事投稿者のIPアドレス」が表示されていたことを認める。 (togetter, 8/14)
youtubeでの活動休止について (楠 栞桜 / note, 8/20)
ec騒動で楠栞桜さんはどうするべきだったか (打ち首こくまろ, 8/21)
》 キリンHD、豪乳飲料事業の売却中止 豪中摩擦が影響か (日経, 8/25)
2019年秋に中国蒙牛乳業に売却することで合意していたが、豪政府が蒙牛乳業による買収に難色を示していた。
》 「ひろしまタイムライン」NHKが謝罪 差別助長と批判 (朝日, 8/24)。 例の「朝鮮人」ツイートに、なぜ註釈が必要ないと思ったのかがわからないんだよなあ。ただでさえ、元の日記にはないものなのに。
「ひろしまタイムライン」について、NHK広島放送局は24日、「配慮が不十分だった」などとおわびする文章をホームページに掲載した。
これのことみたい: 6月16日・8月20日のツイートについて (NHK, 8/24)
関連:
虚実を混ぜる危険性、人々を魅了した「ひろしまタイムライン」はなぜ批判されたのか (藤代裕之, 8/22)
「朝鮮人だ!!」ツイート炎上…「ひろしまタイムライン」最大の問題はこれだ 非常に残念だったNHKの“二枚舌” (辻田 真佐憲 / 現代ビジネス, 8/25)
すでにさまざまな意見が出ているが、最大の問題は、NHKが現実と虚構を都合よく使い分けていることだろう。かたやツイートの創作性を主張しながら、問題となるや、元ネタの資料どおりと弁解するのは、あまりにご都合主義的だからである。
》 映像学部・情報理工学部 OIC移転へ 2024年度から 立命館大発表 (立命館新聞社, 8/25)。マジか。
》 関東の複数自治体に爆破予告 “暗号資産要求” (TBS, 8/25)。こちらは金銭を要求ですか。
》 (更新)(重要)本学に対する爆破予告とその対応について (8月26日京都市内のキャンパス等入構禁止措置) (龍谷大学, 8/25)。この手の奴、いまだに続いているんですね。 犯人が検挙されたという話は聞かないなあ。
》 TikTok、米政府を提訴--取引禁止めぐり (CNET, 8/25)
》 Zoomで一時サービス障害--米英などのユーザーに影響も (CNET, 8/25)
》 Googleサービスでの8月20日の大規模障害について、Googleが原因と対策を説明 (ITmedia, 8/25)
根本的な原因は、Googleの多様なサービスで使っている、BLOB(Binary Large OBject)と呼ばれる非構造化データに共通の内部分散システムでの過負荷。(中略) 別のGoogleサービスからのトラフィックの増加により、BLOBメタデータサービスの過負荷が始まって待ち時間が発生し、操作が過度に再試行されたことでリソースが使い果たされた。失敗したリクエストをキャンセルして再試行しようとすることで事態は悪化し、トラフィックがさらに増加した。
》 真夏の換気、エアコンは“つけっぱなし”が正解 ダイキン調査 (ITmedia, 8/24)
》 アップル、iOS 13でストレージを「その他」が圧迫する不具合の解決方法を案内 (ケータイ Watch, 8/25)
》 米加州、数十か所で森林火災 非常事態宣言 (AFPBB, 8/20)。「州北部と中央部で急速に拡大している火災の多くは厳しい熱波の中での落雷によるもの」。
》 Cloudflareレポート: 外出禁止令下、最大で10Gbpsの“小規模”なDDoS攻撃が人々の生活を混乱させた理由 (@IT, 8/20)。小規模……
》 Windows 10 May 2020 Update後のWindows Updateに“へん”化あり[その2] (@IT, 8/19)。ひどいものだ。
》 タウンユースにも馴染むa.v.vブランドのファン付きベスト - 空調服 (マイナビニュース, 8/6)。おぉ、こんなの出てるのか。
》 Apple・Google 対 Epic Games (Fortnite 戦争)
大人気バトルロワイヤルゲームFortniteがApp Storeから消滅、メタバースの未来どうなる? (techcrunch, 8/14)
Fortniteを削除されたEpic Gamesが反アップルキャンペーンを全力展開、提訴も準備 (techcrunch, 8/14)、 Epic Games、「フォートナイト」をApp Storeから削除したAppleを提訴 (ITmedia, 8/14)
Android版FortniteもGoogle Playストアから消滅、2018年に続き二度目 (techcrunch, 8/14)、 「フォートナイト」、App Storeに続きGoogle Playストアからも削除 (ITmedia, 8/14)。「【UPDATE】EpicはGoogleもカリフォルニア北部地区連邦地裁に提訴した」。
Epic Gamesに続きFacebookがアップルApp Storeの30%税に反発 (techcrunch, 8/15)
Fortnite(フォートナイト)はAppleに勝てるのか(1/2) (BRIDGE, 8/15)、 Fortnite(フォートナイト)はAppleに勝てるのか(2/2) (BRIDGE, 8/16)
しかし、消費者に選択の余地がないという議論に本当に勝つためには、Epic Games は、消費者により高い価格を支払わせ、かつ、開発者を悪い取引に導くという「複占(※duopoly:2社による寡占状態)」が問題であると示さなければならない。
これは、AppleとGoogleが熾烈な競争相手というよりも、寡占主義者のように振る舞わなければならないことを意味しており、それを証明するのは実は難しい。Epic Gamesは、AppleとGoogleが同じ日にアプリストアからFortniteを削除するように行動したことや、スマートフォンの黎明期から続く30%の手数料を維持し続けていることを指摘して、AppleとGoogleの癒着を告発する可能性がある。
一方、その告発は実際に何か証拠があって初めて成立するものであり、このような独占禁止法に精通した企業がそのような証拠を転がったままにしておくとは思えないのだ。
ーーということで結局のところEpic Gamesは勝てない、これが私の見立てだ。両社は価格設定の面で似たような振る舞いをしているので、勝つことは不可能ではない。その一方で、AppleとGoogleが「猛烈な競争相手である」という、本件における強力な防衛策を打ち出すのではと考えている。
ばいばいアップル税。史上最大の金づる『フォートナイト』のエピックバトルが今はじまる (gizmodo, 8/17)
アップルがUnreal Engineを含む開発ツール全面禁止予告、Epic Gamesは差し止めを申し立て (techcrunch, 8/18)
フォートナイトを削除されたEpic Games、アップル批判の企業連合を呼びかけの噂 (engadget, 8/19)
本当にAppleは“悪者”なのか 「フォートナイト」開発元の”宣戦布告”に覚える違和感 (本田雅一 / ITmedia, 8/19)
Appleが「Unreal Engine排除」という強烈な報復へーーFortnite(フォートナイト)のアプデも不可に (BRIDGE, 8/19)
VR、AR、映画の未来まで脅かす、AppleによるEpicへの脅迫行為【Fortnite(フォートナイト)戦争】 (BRIDGE, 8/20)
脅迫はAppleからEpicへ宛てられた書簡の中で行われた。この書簡はAppleによる報復措置の一時差し止めを求めた訴訟の「添付資料B」として提出されている。(中略) よく確認してほしい。AppleはFortniteをApp Storeから排除するだけでなく、MacおよびiOSデバイスでのUnreal Engineのパフォーマンス向上を妨害すると脅迫している。
AppleのTim Cook氏は7月、議会公聴会で証言している。
“私たちは報復も脅迫も行いません。それは私たちの企業文化に大いに反することです。”
だがこの書簡は、独占禁止法違反の強力な証拠でもある。iOSにアプリ内課金の30%を支払うことについて盾付けば、iOSのみならずMacからも追放するという脅迫だ。
「権力は腐敗する、絶対的権力は絶対に腐敗する」を地で行く話だなあ。
Epic Games、アンチAppleイベント「FreeFortnice Cup」を開催 (iPhone Mania, 8/21)
》 “アマプラ解約運動”、Twitterが「フィットネス」と分類 「その運動じゃないだろ」と総ツッコミ (岡田有花 / ITmedia, 8/17)。ショボい。
Bug 1870298 (CVE-2020-14367) - CVE-2020-14367 chrony: Insecure writing to PID file (Red Hat, 2020.08.19)
[chrony-users] chrony-3.5.1 released (security) (chrony-users ML, 2020.08.20)
chrony: CVE-2020-14367: unsafe pidfile creation allows privilege escalation from chrony user to root (oss-sec ML, 2020.08.21)
GmailとG Suiteの脆弱性、研究者の公表を受けGoogleが修正 (ITmedia, 2020.08.21)
The Confused Mailman: Sending SPF and DMARC passing mail as any Gmail or G Suite customer (Allison Husain, 2020.08.19)
curl 7.72.0 – more compression (daniel.haxx.se, 2020.08.19)
libcurl: wrong connect-only connection (curl.haxx.se, 2020.08.19)。iida さん情報ありがとうございます。
BIND 9.x に 5 つのセキュリティ欠陥。
remote から BIND を停止できる
CVE-2020-8620: A specially crafted large TCP payload can trigger an assertion failure in tcpdns.c
(ISC, 2020.08.20)、
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8620)
- バージョンアップを推奨 -
(JPRS, 2020.08.21)。
BIND 9.16.x / 9.17.x の欠陥。
CVE-2020-8621: Attempting QNAME minimization after forwarding can lead to an assertion failure in resolver.c
(ISC, 2020.08.20)、
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8621)
- バージョンアップを推奨 -
(JPRS, 2020.08.21)。
BIND 9.14.x 〜 9.17.x の欠陥。
CVE-2020-8622: A truncated TSIG response can lead to an assertion failure
(ISC, 2020.08.20)、
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)
- バージョンアップを推奨 -
(JPRS, 2020.08.21)。
BIND 9.0.x 〜 9.17.x の欠陥。
CVE-2020-8623: A flaw in native PKCS#11 code can lead to a remotely triggerable assertion failure in pk11.c
(ISC, 2020.08.20)、
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8623)
- ビルド時に「--enable-native-pkcs11」を指定した場合にのみ対象、
バージョンアップを推奨 -
(JPRS, 2020.08.21)。
BIND 9.10.x 〜 9.17.x の欠陥。
サービス提供者が意図しない Dynamic Update を許可してしまう
CVE-2020-8624: update-policy rules of type "subdomain" are enforced incorrectly
(ISC, 2020.08.20)、
BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)
について(CVE-2020-8624) - バージョンアップを推奨 -
(JPRS, 2020.08.21)。
BIND 9.9.x 〜 9.17.x の欠陥。
subdomainゾーンタイプを設定しているにもかかわらずzonesubゾーンタイプを設定した際の動作となり、そのサブドメインと共にそのゾーンのすべての部分を更新できるようになります。
BIND 9.11.22 / 9.16.6 / 9.17.4 で修正されている。
》 Facebook、陰謀論のQAnon関連グループを790削除、Instagramアカウント1万件を制限 (ITmedia, 8/20)
》 GmailとGoogleドライブなどで障害 ファイルの添付やアップロードに不具合 (ITmedia, 8/20)
》 海の向こうの“セキュリティ” いわゆる「ホワイトハッカー」と呼ばれる人たちの実態 (Internet Watch, 8/6)。「あくまでBugcrowdのプラットフォームに参加しているホワイトハッカーを対象とした調査」。
》 【重要・2020-08-25より適用】サーバ証明書有効期間短縮のお知らせ (UPKI, 7/21)。Apple 発、例のアレへの対応。
なお、この変更実施のため、メンテナンスを実施します。
- 2020年8月25日(火)14:00-16:00
これまで2年間+30日のサーバ証明書をご利用いただいておりましたが、このメンテナンス終了以降は発行ができなくなります。
サーバ証明書更新の頻度が隔年から毎年に変更となりますので、サービス利用機関の皆様には、年間のメンテナンススケジュール作成時に留意くださいますようお願い申し上げます。
》 サイバーセキュリティ企業と国家安全保障(1) ―カスペルスキー製品排斥の背景― (小沢知裕 / 先端技術安全保障研究所, 2019.08.11)。 (8) まで続けて読める。関連:
事実より「政治と感情」が優先される時代、信頼性をどう確保するか? (ascii.jp, 2019.02.14)。Kaspersky の Global Transparency Initiative は粛々と進行中。
Kaspersky、ソフトウェア製品のセキュリティを評価するための概要を学べる「Cyber Capacity Building Program」を提供開始 (Kaspersky, 5/29)。Kaspersky、こんなこともやってたのか。
(typo fixed: homma さん感謝)
上位認証局がしくったために、中間CA証明書の切りかえが必要になった話。 おおもとの話である SECURITY RELEVANT FOR CAs: The curious case of the Dangerous Delegated Responder Cert (mozilla.dev.security.policy) を見ると、対象は Actalis, Atos, Camerfirma, Digicert, Firmaprofesional, GlobalSign, HARICA, Microsec, QuoVadis, PKIoverheid, SECOM, SK ID, T-Systems, WISeKey だそうで。
https://bugzilla.mozilla.org/show_bug.cgi?id=1649961 - Actalis
https://bugzilla.mozilla.org/show_bug.cgi?id=1649963 - ATOS
https://bugzilla.mozilla.org/show_bug.cgi?id=1649944 - Camerfirma
https://bugzilla.mozilla.org/show_bug.cgi?id=1649951 - DigiCert
https://bugzilla.mozilla.org/show_bug.cgi?id=1649943 - Firmaprofesional
https://bugzilla.mozilla.org/show_bug.cgi?id=1649937 - GlobalSign
https://bugzilla.mozilla.org/show_bug.cgi?id=1649945 - HARICA
https://bugzilla.mozilla.org/show_bug.cgi?id=1649947 - Microsec
https://bugzilla.mozilla.org/show_bug.cgi?id=1649938 - QuoVadis
https://bugzilla.mozilla.org/show_bug.cgi?id=1649964 - PKIoverheid
https://bugzilla.mozilla.org/show_bug.cgi?id=1649962 - SECOM
https://bugzilla.mozilla.org/show_bug.cgi?id=1649942 - SK ID
https://bugzilla.mozilla.org/show_bug.cgi?id=1649941 - T-Systems
https://bugzilla.mozilla.org/show_bug.cgi?id=1649939 - WISeKey
関連
文書署名用証明書の一部の中間CA証明書失効に伴う再発行のお願い(2020年7月22日追記) (GMO グローバルサイン, 2020.07.22)
DigiCert: Incorrect OCSP Delegated Responder Certificate (bugzilla.mozilla.org)。影響対象に Microsoft IT TLS CA [1245] なんてのがありますね。うひー。
SECOM: Incorrect OCSP Delegated Responder Certificate (bugzilla.mozilla.org)。JPRS 関連の他に SECOM Passport for Member PUB CodeSigning CA G1 の名前が出ているなあ。
The destruction of the key pair at one of the following CAs is planned to be done on 2020-10-31.
SECOM Passport for Member PUB CodeSigning CA G1
https://crt.sh/?id=2517735005
……んんっ?! SECOM Passport for Member PUB CodeSigning CA G1 といえば、 UPKI の新しいコード署名証明書で使われている奴じゃん。 SECOM の件は RESOLVED FIXED になっているので、ユーザー側でのこれ以上の対応は不要という理解でいいんだろうか。
UPKI の新しいコード署名証明書も、再発行で対応となったようです。 (連絡が来た)
0-day の修正が含まれているのだとか。
Operation PowerFall:2つのゼロデイ脆弱性 (Kaspersky, 2020.08.14)
今年5月、当社のテクノロジーが、韓国企業に対する攻撃を防ぎました。サイバー犯罪者のツールを解析していた当社エキスパートは、2つのゼロデイ脆弱性を発見しました。(中略) まず、Internet Explorer 11の脆弱性(CVE-2020-1380)を突く悪質なスクリプトが動作し、続いてシステムサービス内の脆弱性(CVE-2020-0986)を利用して悪意あるプロセスの権限昇格が行われます。結果として、攻撃者はシステムを掌握することが可能となります。攻撃者の目的は、複数名社員のコンピューターに侵入し、組織の内部ネットワークへ侵入することでした。
Microsoftは2020年6月9日に、CVE-2020-0986(Windowsカーネルの脆弱性)に対するセキュリティ更新プログラムをリリースしています。CVE-2020-1380に関するセキュリティ更新プログラムは、8月11日にリリースされました。
Two zero-day vulnerabilities in Windows and IE were chained to target a South Korea firm in May (computing.co.uk, 2020.08.13)
A patch for CVE-2020-0986 was released in June, although its details were first revealed in May after Trend Micro's Zero Day Initiative (ZDI) published an online post giving details of CVE-2020-0986 and four other unpatched bugs affecting Windows.
ZDI said it had reported CVE-2020-0986 to Microsoft in December 2019 but the tech giant failed to release a patch for it before the end of six-month deadline.
According to Kaspersky, threat actors exploited the vulnerability in attacks one day after ZDI's disclosure. In the attack, hackers used two zero-days to deliver a piece of malware, although the final payload was blocked by Kaspersky products from being downloaded on the targeted system.
Microsoft Put Off Fixing Zero Day for 2 Years (Krebs on Security, 2020.08.20)
One of the 120 security holes Microsoft fixed on Aug. 11’s Patch Tuesday was CVE-2020-1464, a problem with the way every supported version of Windows validates digital signatures for computer programs.
(中略)
In fact, CVE-2020-1464 was first spotted in attacks used in the wild back in August 2018. And several researchers informed Microsoft about the weakness over the past 18 months.
あと、仕様変更が含まれるのだそうで。
2020 年 8 月の定例リリースで情報を公開した CVE-2020-1472 (NetLogon) の脆弱性に対応するために、Active Directory 環境における NetLogon セキュアチャネルが、secure RPC を求めるように動作変更をします。動作変更は、2020 年 8 月の月例更新プログラムと 2021 年 2 月に公開予定の月例更新プログラムの 2 回にわたり段階的に実施する予定です。
サポート対象かつ最新の状態である Windows 端末は既定で secure RPC を利用するため影響を受けません。しかし非 Windows 端末などにおいて追加の対応が必要となる場合がありますので、弊社のサポート技術情報 4557222 にて詳細をご確認ください。
KB 4557222: CVE-2020-1472 に関連する Netlogon セキュア チャネル接続の変更を管理する方法 (Microsoft)。「展開ガイドライン」を見ながら対応する必要があるようです。
関連:
Windows DNSキャッシュリゾルバーサービスの脆弱性情報が公開されました (CVE-2020-1584) (JPRS, 2020.08.14)
関連:
KB4566782適用後、Lenovo PCでBSoDの不具合。対処方法あり (ニッチな PC ゲーマーの環境構築 Z, 2020.08.31)。Windows 10 バージョン 2004 用の、2020年8月の累積的な更新プログラム。
Lenovoによると、これらのエラーはBIOSの設定で『Enhanced Windows Biometric Security』が有効になっている場合に発生するとのこと。
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 (Microsoft Security Response Center, 2020.09.14)
Windowsサーバーの脆弱性、米政府機関が緊急対応を通達 (PC Watch, 2020.09.23)。CVE-2020-1472 の件。
》 GA-ASI、海上保安庁の遠隔操作無人機の飛行実証を日本にて実施 (PR TIMES, 7/8)。MQ-9B シーガーディアン。非武装。 関連:
海上保安庁が全長11メートル大型ドローン導入、監視強化へ (産経, 2019.08.23)
海保、八戸拠点に大型無人機検証 広範囲の海洋監視に活用期待 (京都新聞, 6/26)
General Atomics MQ-9 Reaper (WikiPedia)
MQ-9B RPA (GA-ASI)
》 Adobe Flash Player 32.0.0.414公開 (ニッチなPCゲーマーの環境構築Z, 8/11)
Adobe 方面。
Security Updates Available for Adobe Acrobat and Reader | APSB20-48 (Adobe, 2020.08.11)。Priority: 2
26 件のセキュリティ修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2020.012.20041 |
| Acrobat 2020 / Acrobat Reader 2020 (Classic 2020) | 2020.001.30005 |
| Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) | 2017.011.30175 |
| Acrobat 2015 / Acrobat Reader 2015 (Classic 2015) | 2015.006.30527 |
Acrobat 2015 / Acrobat Reader 2015 のサポートは 2020.07.07 で終了しているそうで、今回のセキュリティ修正で打ち止めの模様。 Acrobat 2017 / Acrobat Reader 2017 の EOL は 2022.06.06 だそうです。
Security Updates Available for Adobe Lightroom | APSB20-51 (Adobe, 2020.08.11)。Priority: 3
Windows 版 Lightroom Classic 9.2.0.10 以前に、権限上昇を招く 1 件のセキュリティ欠陥。 Lightroom Classic 9.3 で修正されている。
Apache HTTP Server 2.4.46 公開。3 件のセキュリティ修正を含む。
Apache HTTP Server 2.4.46 Released (apache.org, 2020.08.07)
Changes with Apache 2.4.46 (apache.org, 2020.08.07)
- SECURITY: CVE-2020-11984 (cve.mitre.org)
mod_proxy_uwsgi: Malicious request may result in information disclosure or RCE of existing file on the server running under a malicious process environment. [Yann Ylavic]- SECURITY: CVE-2020-11993 (cve.mitre.org)
mod_http2: when throttling connection requests, log statements where possibly made that result in concurrent, unsafe use of a memory pool. [Stefan Eissing]- SECURITY:
mod_http2: a specially crafted value for the 'Cache-Digest' header request would result in a crash when the server actually tries to HTTP/2 PUSH a resource afterwards. [Stefen Eissing, Eric Covener, Christophe Jaillet]
Apache HTTP Server 2.4 vulnerabilities (apache.org)。「Fixed in Apache httpd 2.4.44」と書かれている内容は、 実際には 2.4.46 で修正されたものの模様。上記の CVE 記載なしの mod_http2 の欠陥は CVE-2020-9490 のようだ。
Apache Struts 2.x に 2 件 (RCE、DoS) のセキュリティ欠陥。
S2-059 - Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution (apache.org, 2020.08.13)。RCE。
The problem only applies when forcing OGNL evaluation inside a Struts tag attribute, when the expression to evaluate references raw, unvalidated input that an attacker is able to directly modify by crafting a corresponding request.
Example:
<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>
If an attacker is able to modify the skillName attribute in a request such that a raw OGNL expression gets passed to the skillName property without further validation, the provided OGNL expression contained in the skillName attribute gets evaluated when the tag is rendered as a result of the request.
S2-060 - Access permission override causing a Denial of Service when performing a file upload (apache.org, 2020.08.13)。DoS。
Apache Struts 2.5.22 で修正されている。
関連:
Struts 2の脆弱性情報(Important: CVE-2019-0230, Moderate: CVE-2019-0233) (SIOS, 2020.08.13)
》 Windows Updateの「詳細オプション」に「プライバシーの設定」が配置されている理由 (@IT, 8/4)。オプションに歴史あり。
》 UDP Amplificationを使用したDDoS攻撃が増加 IIJが2020年6月のセキュリティレポートを発表 (@IT, 8/6)、 wizSafe Security Signal 2020年6月 観測レポート (IIJ, 7/30)
》 香港に本拠を置く7つの無料VPNサービスから2000万人分以上のユーザーデータが流出――vpnMentorが発見 (@IT, 7/30)
》 Huawei、5Gスマホ用プロセッサの調達先を多様化へ - 台湾メディア報道 (マイナビニュース, 8/5)
》 超新星1987Aの残骸の中心付近に観測史上最も若い中性子星が存在する可能性 (マイナビニュース, 8/5)。おぉ〜
》 「アイマス」フィギュアなど企画開発、アクアマリン破産 コロナ禍の工場停止、イベント中止で限界 (ITmedia, 8/6)
》 Facebook、「TikTok」競合の「Instagram Reels」を日本を含む世界で公開 (ITmedia, 8/6)
》 中国からの「謎の種」、播いたら生えてきたのは......? (ニューズウィーク日本版, 8/5)
米農務省は、注文した覚えのない種が入った荷物を受け取った人に対し、種を植えずに、州あるいは連邦の農務事務所に送付するよう呼びかけている。
一方で、中国はアメリカに対し、捜査のために謎の種を送り返すよう求めている。中国外務省の汪文斌報道官は、記者会見でこう述べた。「植物の種は、万国郵便連合(UPU)加盟国の間で輸入や輸送が厳しく制限されている物品であり、条件付きでしか認められていない」
》 米国の3政府機関、マルウェア「Taidoor」新版に関する警告を共同発表 (ZDNet, 8/5)。Chinese Malicious Cyber Activity (US-CERT, 8/3) の件。
》 米FTC、Twitterを個人情報の不正利用で調査--広告ターゲティングに流用の可能性 (ZDNet, 8/5)
Twitterは3日付の規制当局への提出書類の中で、この問題が1億5000万〜2億5000万ドル(約160億〜約260億円)の損失につながる可能性があると述べた。
》 マイクロソフトのTikTok買収計画から見える4つのこと (ZDNet, 8/5)
2. MicrosoftはTikTok買収の話題で衆目を集め、ソフトバンクからArmを買収しない理由を尋ねられるのを避けている。
おぉぅ。
》 大阪府知事発、イソジンパニック。 またしても維新クオリティですか。
吉村知事「うそみたいな本当の話」 うがい薬の使用呼びかけ、主な一問一答 (毎日, 8/4)
今日発表するのは、既存の薬剤による重症化抑制効果で、軽症の方にポビドンヨード、代表的にはイソジンのようなものがありますが、そういったうがい薬を使うことで重症化抑制にかかる観察研究をやってきた。府内の宿泊療養施設に入る軽症者41人を対象に実施し、大阪府市が研究に協力した。1日4回、ポビドンヨードによるうがいを実施した結果、ウイルスの頻度が低下することが判明した。唾液のPCR(検査)をした時に圧倒的に陽性が減る。
そりゃそうだろう。ポビドンヨードは「殺菌消毒剤」だからね。口腔内を殺菌したので唾液の PCR にひっかかりにくくなった、 というだけの話であろ。 少なくとも、唾液じゃないところの PCR もあわせて比較すべき。
ポビドンヨード(PVP-I)を有効成分とするBETADINE製品(イソジン)の新型コロナウイルスに対する抗ウイルス効果を確認 (ムンディファーマ / PR TIMES, 7/20)。今回の件とは異なる話だが、製造元が何を言っているかはわかる。
感染症の予防対策としては、うがい・手洗い・マスクの着用・衛生環境を保つなど、様々な手段を実践し、感染リスクを低減することが有効です。その中でも、殺菌・殺ウイルス効果のあるうがい薬を使用し、口腔内およびのどを殺菌・洗浄することは菌やウイルスの口からの侵入を防ぐために重要です。イソジンは、今後もさまざまな製品を提供し、日本の感染症対策に貢献いたします。
製造元の主張は「菌やウイルスの口からの侵入を防ぐために重要」。
『ポビドンヨードによるうがいは新型コロナを改善させる』は本当か?医師が解説 (堀向健太 / Yahoo, 8/4)
繰り返しになりますが、今回の報道は、唾液の中の新型コロナが減っても、その後の新型コロナによる悪化が防がれるという研究結果ではないのです。検査の陽性率が下がった、という結果です。
うがいによって、一時的に新型コロナが検出されにくくなっただけなのかもしれないのです。
イソジンなどのうがい薬、妊婦などの使用は“注意”が必要。使い過ぎると「ポビドンヨード」過剰摂取の恐れ。胎児に影響及ぼす可能性も (ハフポスト / MSN, 8/5)
「妊婦さんはうがい薬に含まれている『ポビドンヨード』と呼ばれるヨウ素の成分には気を付けてください。この成分が入ったうがい薬を連用すると、普段の食事で海藻類から摂取する量よりもはるかに多くのヨウ素を吸収し、ヨウ素過剰症を引き起こすことがあります。ヨウ素過剰症は、赤ちゃんの甲状腺機能の低下につながることもあります」
うがい薬がコロナに効果か研究 (NHK, 8/4)
担当する「大阪府立病院機構大阪はびきの医療センター」の松山晃文 次世代創薬創生センター長は、「唾液のウイルスを減らすことで、家庭での身近な人どうしの感染などを減らす効果があるのではないかと期待している。数十例や数百例でははっきりとは言えないので、大規模な研究で確かめたい」と話しました。
一方で、松山センター長は記者団に対し、「うがいをしたあと、1時間程度でウイルスの量が再び増えるケースもある。うがい薬を使って、何回もうがいをすると喉を痛める可能性もあるので、注意が必要だ」と述べました。
転売は違法です。
うがい薬がコロナ重症化を予防? 大阪府発表を受けメルカリ高額出品が相次ぐ 医薬品の出品は違法 (ITmedia, 8/4)
『イソジン』などポビドンヨード含有うがい薬、フリマアプリでの転売に注意。医薬品のため違法 (篠原修司 / Yahoo, 8/4)
ツイート:
イソジンの件は検査をごまかす方法を伝えただけだ、と公言するのって凄い。 https://t.co/UP7MrQLTto
— 藤井 太洋, Taiyo Fujii (@t_trace) August 5, 2020
コロナ対策の迷走を描いたら描いたで、海堂尊「コロナ黙示録」https://t.co/urKT53P6XW みたいに、今度は、忖度メディアが必死で黙殺したり、ネトウヨが叩いたりするということになる。 https://t.co/TzkhI3NtI4
— Nobuyo Yagi 八木啓代 (@nobuyoyagi) August 5, 2020
『イソジン吉村』嘘のような本当の話で吉村洋文府知事から感じる「進次郎臭」
— 文春オンライン (@bunshun_online) August 5, 2020
論文もまともにない状態で浮かれて記者会見をしちゃ駄目だと思うんですよ #山本一郎 #吉村府知事 #吉村知事 #イソジン #文春オンラインhttps://t.co/HgPQ8xc5iy
#うがい薬 で #うがい をすると、#新型コロナウイルス の感染予防になりますか。
— WHO Kobe Centre (@WHOKobe) August 5, 2020
いいえ。うがい薬の使用で新型コロナウイルスの感染を予防できるという科学的根拠はありません。#COVID19 #Mythbusters #新型肺炎 pic.twitter.com/9M0YJ0WsZb
「進次郎臭」のキラーワード感がすごい。
》 「接触確認アプリ」のダウンロード数が約1,099万件に到達 ~濃厚接触通知システムはAndroid 11でOS標準搭載を予定 (PC Watch, 8/4)。ようやく 1000 万越えですか。 Go to キャンペーンの予算でも、出かける前にインストールをと宣伝すべきだよなあ。
Twitter 著名人アカウント大規模ハッキング方面 (2020.07.20)
関連:
FBIはいかにしてTwitterハッキングの容疑者を突き止めたのか (CNET, 2020.08.05)
》 「接触確認アプリ」の導入問題から見える課題(曽我部真裕) (法律時評 / Web日本評論, 7/27)
》 EU、初のサイバー攻撃に対する制裁を決定 (IT Research Art, 8/1)
》 Microsoft Joins Open Source Security Foundation (Microsoft Security Response Center, 8/3)
》 Microsoft Defender Smartscreenの解除を待ち望む日々。 (SIOS, 7/27)
》 Google SafeBrowsingの誤警告に対応する日。 (SIOS, 7/14)
》 Chinese Malicious Cyber Activity (US-CERT, 8/3)
》 Freshclam, cdiffs and bandwidth are your friends (ClamAV blog, 7/27)
》 Writing a ClamAV signature for Masslogger (ClamAV blog, 7/23)
》 映画館で換気実験「スモークが20分でほぼ消える」 コロナ禍でのマイナスイメージ払拭のため (ねとらぼ, 8/4)。関連:
現在、映画館を作っている立場から映画館の換気について説明します (浅井隆 / note, 3/1)
映画館を作ることは、実はこの機械式換気、加湿設備を設置することにかなりの予算が割かれます (中略) 換気・加湿の設備のコストは、ざくっと言うと映画館の総予算の3分の1かかります。換気と遮音は相反するので換気ダクトにつける消音チェンバーなどコストがかかります。残りの3分の1は壁と天井とその防音遮音、最後の3分の1はプロジェクター、スピーカー、サーバーなどの映写機器。映画館は換気という衛生面でコストをかけているということを理解してください。
興行場法のもと、換気の数値が定められ、保健所の指導で加湿をされた映画館の空間は、少なくとも満員電車よりは感染リスクは低いのではないでしょうか。
》 バカッターから迷惑系YouTuberへ。ネットに生息する「バカ」はどのように進化したのか (中川淳一郎 / finders.me, 7/29)。関連:
報道
へずまりゅう、2度目逮捕でYouTube再開は絶望的か…擁護するゆたぼんにも厳しい目 (Business Journal, 7/14)
何度でも復活する“迷惑系YouTuber”元IT起業家が首をかしげる違反動画取り締まりの本気度 (ABEMA TIMES / Yahoo, 7/16)
迷惑系YouTuberのへずまりゅう容疑者の滞在先でコロナ感染拡大 捜査員、留置所収容者も 〈週刊朝日〉 (AERA dot. / Yahoo, 7/18)
窃盗容疑で逮捕の「へずまりゅう」と接触、警官と留置中の男が感染 (読売, 7/18)
「へずまりゅう」と接触の女性も感染…偶然同じ店に居合わせ、話しかけられる (読売, 7/18)
「へずまりゅう」と偶然近いテーブル、学生も感染…関連の相談600件 (読売, 7/19)
ユーチューバー「へずまりゅう」関連の感染7人 愛知県 (朝日, 7/20)
「へずまりゅう」の立ち寄り先、営業自粛や検査続々「苦渋の決断」 (読売, 7/22)
「迷惑系YouTuber」逮捕されても反省しない理由 山口県知事も激怒「へずまりゅう」とは何者か (高橋暁子 / 東洋経済, 7/18)
迷惑系YouTuber「へずまりゅう」を熱狂的に支持する若者たちの心理 (高橋暁子 / CNET, 7/25)
感染者公表「極めて異例」へずまりゅうで山口知事 (日刊スポーツ, 7/31)
山口県
「へずまりゅう」氏に関連する疫学調査の状況について (7月17日17時現在) (山口県, 7/17)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月19日15時現在) (山口県, 7/19)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月20日15時現在) (山口県, 7/20)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月21日15時現在) (山口県, 7/21)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月22日15時現在) (山口県, 7/22)
知事記者会見録 (令和2年7月17日実施分) (山口県, 7/17)
知事記者会見録 (令和2年7月23日実施分) (山口県, 7/23)
知事記者会見録 (令和2年7月31日実施分) (山口県, 7/31)
》 Windows10 アップデートによる、モリサワ製品インストールの障害発生について (モリサワ, 8/3)。使用している Thales の Sentinel HASP ドライバーが未対応だそうで。最新のドライバーソフトウェア (8.11) を事前にインストールすることで回避できる。 関連:
Windows10 バージョン2004で発生する問題の回避方法について (サトー, 6/26)
Software Monetization Drivers and Downloads (Thales Group)
Sentinel LDK and Sentinel HASP Run-time Environment Command-line Installer for Windows: Readme Version 8.11 (Thales Group / gemalto.com)。「"Denial of Service" vulnerabilities were resolved」なんて記述もあるなあ。
2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 (2020.07.15)
JVN#62161191 - JavaFX の WebEngine コンポーネントに任意の Java メソッド実行が可能になる脆弱性 (JVN, 2020.07.28)
OracleJDK 8 update 251 に同梱されている JavaFX および OpenJFX プロジェクトが提供する JavaFX 14.0.1 では、JavaScript から呼び出せる Java メソッドに制限を加えています。詳細はリリースノートを確認してください。
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) (SIOS, 2020.07.30)
ほぼすべてのLinuxのブートローダーに脆弱性 (PC Watch, 2020.07.30)
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 (PC Watch, 2020.08.03)
System hangs after POST and the grub menu never loads after applying the RHSA-2020:3216 or RHSA-2020:3217 (Red Hat, 2020.08.04 更新)。RHEL 7.8 / 8.2 で不具合発生を確認、8.1 EUS / 7.9 では確認していないが潜在的には問題あり。修正版を公開済。
Red Hat has fixed the bug in the shim packages. Updated shim packages are now available and can be used in conjunction with previously released grub2, fwupd, and fwupdate packages.
問題となった RHSA-2020:3216 と RHSA-2020:3217 では grub2, shim, shim-signed, fwupdate パッケージが更新されたが、このうち shim パッケージに不具合があったと。
JVN#40400577 - トヨタ⾃動⾞製 Global TechStream (GTS) におけるバッファオーバーフローの脆弱性 (JVN, 2020.07.29)
Toyota GTS Home page (toyotagts.service-solutions.com)
Global TechStream(GTS)とは、トヨタ自動車が提供する次世代の故障診断ツールです。
ハンドヘルド型故障診断ツールである従来のIT2とは異なり、GTSは、PC版の故障診断ツールとなります。Windows上で動作する故障診断の核となるGTSソフトウェアと車両間の通信を実現するVehicleInterfaceModule(VIM)で構成されます。
》 アップル、中国App Storeから3万以上のアプリを削除。主に有料ゲームが対象 (engadget, 8/3)
》 「Microsoft Defender」が「CCleaner」を“望ましくない可能性のあるアプリ(PUA)”として検出 (窓の杜, 7/31) することがあるらしい。
PUAからPCを保護する機能は「Windows 10 May 2020 Update(バージョン 2004)」から搭載されているが、既定では無効化されている。 (中略) 「Chromium」ベースの「Microsoft Edge」にも“Microsoft Defender SmartScreen”ベースにPUAブロック機能が搭載されており、プライバシー設定画面(edge://settings/privacy)の[望ましくない可能性のあるアプリをブロックする]オプションをONにすることで保護を受けることができる。
》 「Microsoft Edge」に一時不具合 〜アドレスバーへの入力でアプリがクラッシュ (窓の杜, 7/31)。「問題の原因はGoogle側の仕様変更にあったようで、現在はGoogleとの調整により解決している」。
【更新】米国TikTok事業の売却でByteDanceとマイクロソフトが合意、米政府の裁定を待つ (techcrunch, 8/1)
マイクロソフトとバイトダンス、TikTok買収交渉を保留-DJ (ブルームバーグ, 8/2)
マイクロソフト、TikTok米事業買収交渉継続-大統領と協議 (ブルームバーグ, 8/3)
Microsoft to continue discussions on potential TikTok purchase in the United States (Microsoft, 8/2)
Microsoft、TikTok買収を検討中と正式発表 「トランプ大統領とも会談済み」 (ITmedia, 8/3)
SKYSEA Client View 12.200.12n〜15.210.05f に権限上昇可能な欠陥、 local user がシステム権限で任意のコードを実行できる。
修正モジュールが配布されている。
Twitter 著名人アカウント大規模ハッキング方面 (2020.07.20)
容疑者が逮捕されたそうです。
Twitterアカウント大規模乗っ取り犯逮捕 主犯は米在住の17歳 (ITmedia, 2020.08.01)。現時点では容疑者のはずなので、「乗っ取り犯」は言いすぎだと思います。
ツイッターのハッキング事件、17歳の男を逮捕-米司法省は3人訴追 (ブルームバーグ, 2020.08.01)
Twitter大規模ハック、17歳はなぜたった2週間で逮捕されたのか? (平和博 / Yahoo, 2020.08.03)
Three Individuals Charged For Alleged Roles In Twitter Hack (justice.gov, 2020.07.31)
Florida Teenager Is Charged as ‘Mastermind’ of Twitter Hack (NYTimes, 2020.07.31)
From Minecraft Tricks to Twitter Hack: A Florida Teen’s Troubled Online Path (NYTimes, 2020.08.02)
攻略画像を処理すると任意のコードが実行される、等のセキュリティ欠陥 20 件が修正されている。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)