Last modified: Mon Apr 19 16:40:37 2021 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 宣言2週間、関西3府県解除見通し立たず 感染者数は高止まり、死者増も深刻化 (毎日, 1/28)
人口10万人当たりの感染者数は34人(26日現在)で、政府分科会の指標で最も深刻な「ステージ4(感染爆発)」の基準を超過。兵庫(27人)と京都(32人)も上回っている状況だ。
関連: 大阪市中心部で人出増加に転じる 緊急事態宣言2週目 出勤の抑制進まず (毎日, 1/28)
》 完了と発表された新潟県の柏崎刈羽原子力発電所7号機の安全対策工事が、実際には未完了であったことが発覚 (にいがた経済新聞, 1/27)。なんじゃそりゃ。
東京電力 柏崎刈羽原発7号機 安全対策工事が終了 (NHK, 1/13)
東電柏崎刈羽原発 安全対策工事 終了発表も実際は終わらず陳謝 (NHK, 1/27)
柏崎刈羽原子力発電所 7 号機の新規制基準に基づく安全対策工事における 一部工事の未完了について (東電, 1/27)
この工事は 6 号機の安全対策工事として工事管理を行っていたため、7 号機の安全対策工事完了時点で未完了であることを確認することができず、6 号機の安全対策工事を進める中で判明したものです。
東電って、そんなプロジェクト管理なの?
》 他人IDで原発制御室へ不正入室 東電柏崎刈羽所員、規制委に報告 (共同, 1/23)。2020.09 の話。
柏崎刈羽原子力発電所所員における発電所建屋内への不正な入域について (東電, 1/23)
新潟県の花角英世知事が定例会見、原発再稼働の判断は「そういったもの(東電のミスなど)を含めての判断になると思う」 (にいがた経済新聞, 1/27)
「東京電力の社員が他人のIDで柏崎刈羽原子力発電所の中央制御室に入った問題で東電は核物質防護に関する情報として昨年9月の発覚時に県や地元自治体へ報告を行わなかった」ことに対する見解を聞かれ、花角知事は、「入退室の管理というのはセキュリティの入り口、基本中の基本だと思っている。その部分が簡単に異常が起きたということは、全体に対する信頼、不安感が出るような事案だと思っている。しっかりと見直してセキュリティ対策、安全管理対策に万全を期してもらいたい」と語った。
オフィシャル: 令和3年1月27日 新潟県知事 定例記者会見 (新潟県)
原子力改革監視委員会が会見、新潟県柏崎刈羽原子力発電所職員が他人のIDカードを利用していた件にも言及 (にいがた経済新聞, 1/27)
東京電力ホールディングス株式会社は27日、同社取締役会の諮問機関「原子力改革監視委員会」の会合を開き (中略) 柏崎刈羽原子力発電所の中央制御室へ他人のIDカードを使用して入手つしていた職員がいたことが発覚したことから、前述の監視結果はあくまで現状では「案」とし、今後セキュリティに関する課題を検討していく必要があるという。
オフィシャル:
第18回原子力改革監視委員会における当社ご説明内容について (東電, 1/27)。東電側説明資料。
第18回原子力改革監視委員会 (原子力改革監視委員会, 1/27)、 原子力安全改革プランの進捗等に関する監視結果(案)について (原子力改革監視委員会, 1/27)
柏崎刈羽原発 不正立ち入り 規制委「厳正に対処」 (TV 朝日, 1/28)
更田委員長は必要であれば聞き取り調査をして、厳正に対処する考えを示しました。
日本語訳: とりあえず何もしない。
柏崎刈羽原発 社員が他人IDで制御室に「東電を指導」経産相 (NHK, 1/29)
》 メモリテスト「MemTest86」と「Memtest86+」 (AKIBAオーバークロックCafe, 1/11)
最近のパーツで構成されたPCでメモリテストを行う場合、基本的にはMemTest86を利用すると良いでしょう。
なお、現行バージョンであるV8.x系は、UEFIが導入されたマザーボードにしか対応していないため、UEFI提供以前の古い環境で実行する場合は、旧バージョンのMemTest86 V4を利用する必要があります。
石綿(アスベスト)を含む珪藻土製品についてのお知らせ (草津市, 1/26 更新)。 堀木工所、カインズ、ニトリ、不二貿易、エイベクト。
アスベスト検出バスマットの販売は45社 公表9社だけなのはなぜ? (アジアプレス・ネットワーク, 1/19)
珪藻土バスマットから法令の基準を超えるアスベスト(石綿)検出したとして、自主回収を発表した不二貿易(北九州市)。同社が卸していた45社のうち、公表がわずか9社なのはなぜか。
<ニトリ>店舗や通販サイトから「アスベスト検出記載」をこっそり削除 自主回収の珪藻土製品は国内最大の355万個超なのに (アジアプレス・ネットワーク, 1/23)
前代未聞のアスベスト検出品大量版売 ニトリなどの珪藻土製品になぜ混入したのか? (アジアプレス・ネットワーク, 1/27)
最初に問題になったのは大阪府貝塚市のふるさと納税返礼品に採用されていた堀木工所(同市)製造の珪藻土バスマットとコースターである。 (中略) 同12月にはカインズやニトリ、さらにヤマダ電機をはじめ44社に卸していた不二貿易(北九州市)などが続いた。
<速報>原因は中国で使用の凝固剤か バスマットなど珪藻土製品からのアスベスト検出 回収対象は約400万個 (アジアプレス・ネットワーク, 1/28)
》 マツダ、初の量産型EV「MX-30」を発売 (日経, 1/28)
電池容量は35.5キロワット時で航続距離は長くはないが、材料の調達や生産、廃棄など全体の二酸化炭素(CO2)排出量を評価する「ライフサイクルアセスメント(LCA)」の観点で排出量をディーゼル車よりも抑えるためだと説明している。同社の試算ではMX-30は約8万5000キロメートル走行した時点で、トータルの排出量がディーゼルを下回るという。
逆に言うと、そういうことを気にしてくれる層をターゲットにしているということだよなあ。
今後はEV専用プラットフォームの開発に力を入れるほか、ロータリーエンジンを発電機として載せたEVも22年に販売する予定。
おにぎり EV は 2022 年ですか。
》 マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信 (ZDNet, 1/28)。押収した C&C から自爆コードつきアップデートを送付したそうで。
各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetマルウェアをアンインストールするという。
》 再感染やワクチン有効性低下の懸念も 南アフリカやブラジルの変異株の何が問題なのか (忽那賢志 / Yahoo, 1/24)
ブラジル変異株 P1 関連
ブラジル、新型コロナの感染再拡大 変異種も確認 (日経, 1/12)
新型コロナ ブラジル、変異株流行か 北部で医療崩壊、WHO警戒 (毎日, 1/19)
《ブラジル》複数の変異種で感染爆発?=マナウス市医療崩壊の一因か=夏でも拡散、感染力強いP1など (ニッケイ新聞, 1/27)
《ブラジル》マナウス型変異種サンパウロでも=国のコロナ対策の不備表面化=保健相や大統領の責任は? (ニッケイ新聞, 1/28)
感染・伝播性の増加や抗原性の変化が懸念される 新型コロナウイルス(SARS-CoV-2)の新規変異株について (第5報) (国立感染症研究所, 1/25)
ウイルスの遺伝子解析は国内症例全体の5.0%注3について行われてきた。
参考)国内のゲノム確定数 17,955検体、空港検疫のゲノム確定数 718検体(共に2021/1/21現在)。
注3)患者報告から検体輸送やゲノム情報解析まで数週間かかるため、解析割合としては過少評価である。
FamiPay 半額キャンペーン (famidigi.jp) (魚拓)。システム不具合のため、ファミマを除いて中止に。
1/26 に不具合発生、ということは、ドラッグストア (〜1/25) では特に問題なかったが、飲食店 (1/26〜2/1) をはじめたら不具合が出た、ということか。
「FamiPay」システム不具合で一部サービスを停止 (NHK, 1/27)
FamiPayがファミマ以外で利用停止、「FamiPay払いで半額戻ってくる」キャンペーンにも影響 (ケータイ Watch, 1/28)
》 みずほ銀行、1年以上記帳していないユーザーは今月末で紙通帳が廃止に。利用者は確認を (やじうま Watch, 1/27)
Thunderbird も出てます。
Firefox 85 がリリースされた (MozillaZine, 2021.01.27)。Flash サポートは削除されました。
Supercookie からのユーザー保護を実装。(中略) SuperCookie を利用するサイトのキャッシュやネットワーク接続を隔離することで、この手法によるユーザー識別を拒絶する
Firefox for Android 85 がリリースされた (MozillaZine, 2021.01.27)
Thunderbird 78.7.0 がリリースされた (MozillaZine, 2021.01.27)
Firefox 85.0.1 / ESR 78.7.1、Thunderbird 78.7.1 が公開されました。 Firefox はセキュリティ修正を含みます。
Firefox 85.0.1、Firefox for Android 85.1.2 がリリースされた (MozillaZine, 2021.02.06)。 セキュリティ修正は Mozilla Foundation Security Advisory 2021-06 - Security Vulnerabilities fixed in Firefox 85.0.1 and Firefox ESR 78.7.1 (Mozilla, 2021.02.05) ですが、 この他に、Firefox 85.0.1 では NTFS $i30 の件 にも対応したそうです。
関連: Mozilla issues important patch to stop Firefox triggering Windows 10's drive corruption flaw (betanews, 2021.02.07)
Thunderbird 78.7.1 がリリースされた (MozillaZine, 2021.02.06)
Firefox 85.0.2 が公開されました。 セキュリティ修正はありません。
Firefox 85.0.2 がリリースされた (MozillaZine, 2021.02.10)。「起動時にデッドロックする問題を修正 (bug 1679933)」。
Firefox ESR 78.7.1 もこの問題の影響を受けるが、次のマイナーアップデートでの修正となる見込みである。Firefox for Android 85 はこの問題の影響を受けない。
Bug 1679933 - Firefox freeze on the startup (Mozilla) では、この問題は新規プロファイル時にのみ発生、とされている。
sudo 1.8.2〜1.9.5p1 に欠陥。local user が無認証で root 権限を取得できる。 CVE-2021-3156
CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) (Qualys, 2021.01.26)。詳細。 デモ映像あり。
sudo 1.9.5p2 で修正されている。
sudoコマンドの脆弱性、「macOS」にも影響 (ZDNet, 2021.02.04)。macOS 上ではまだ直ってない模様。
macOS Big Sur 11.2.1、macOS Catalina 10.15.7 追加アップデート、macOS Mojave 10.14.6 セキュリティアップデート 2021-002 のセキュリティコンテンツについて (Apple, 2021.02.09)。sudo の修正、入ってます。
iOS / ipadOS, tvOS, watchOS には 0-day の修正が含まれます。
iOS 14.4 and iPadOS 14.4 (Apple, 2021.01.26)。権限上昇を許す欠陥 1 件、任意のコードの実行を許す欠陥 2 件。 いずれも 0-day。
About the security content of tvOS 14.4 (Apple, 2021.01.26)。権限上昇を許す欠陥 1 件。
About the security content of watchOS 7.3 (Apple, 2021.01.26)。権限上昇を許す欠陥 1 件。
About the security content of Xcode 12.4 (Apple, 2021.01.26)
About the security content of iCloud for Windows 12.0 (Apple, 2021.01.26)
感染症法・特措法の改正法案に反対する会長声明 (日弁連, 1/22)
「入院拒めば罰則」の感染症法改正案 抑止力か人権侵害か (毎日, 1/24)
八尋光秀弁護士 (中略) 国はエイズ予防法とらい予防法について、入院を強制したことの誤りを謝罪し、法律を廃止した。これらの法律が未曽有の人権侵害を起こしてきたからだ。このたびの感染症法改正案は強制入院逃れに懲役を科すとしている。エイズ予防法やらい予防法よりもたちが悪い。
感染症法改正「入院拒否罰則導入」への重大な疑問 (郷原信郎 / Yahoo, 1/25)
結局、今回の法改正での「入院措置」にしたがわない場合の罰則導入によって、現行法で規定されている「勧告」「入院措置」という枠組み自体に重大な疑問が生じることにならざるを得ないのである。
感染症法改正「罰則導入」修正協議、「入院者逃亡」と「入院拒否」との区別を (郷原信郎 / Yahoo, 1/26)
今回の法案での罰則の対象とされているのは、
(1)入院の勧告や、入院の措置により入院した者がその入院の期間中に逃げたとき
(2)入院の措置を実施される者が正当な理由がなくその入院すべき期間の始期までに入院しなかったとき
(中略)
感染症法の修正協議で、法案を提出している与党側は、(1)(2)の両方について、「懲役刑削除」の方向の修正を考えているようだが、罰則を導入すること自体に問題があるのであり、懲役刑を削除しただけでは全く問題の解決にならない。
特措法、感染症法の罰則規定はなぜ問題なのか (大崎 明子 / Yahoo, 1/26)
保健師団体、感染症法改正に反対声明 「罰則は症状隠す行動につながる」と懸念 (毎日, 1/26)
コロナ 特措法と感染症法の改正案 きょうから与野党の修正協議 (NHK, 1/26)
日本政府、コロナのため五輪中止が必要と非公式に結論=タイムズ紙 (ロイター, 1/22)
「日本政府が東京五輪・パラの中止と結論」と英紙報道 2032年の開催目指す? (東京, 1/22)。これもタイムズを受けての記事。
東京五輪、「無観客開催の可能性も」 イギリスのIOC委員が発言 (BBC, 1/23)
東京五輪・パラのボランティア 辞退者相次ぐ 「国民が歓迎するイベントなのか」 (東京, 1/24)。そりゃそうだろう。
東京五輪「中止・延期」が7割 感染拡大を懸念―新聞通信調査会 (時事, 1/24)
「中止も検討対象か」 東京オリンピック、野党から質問次々 菅首相は「挙行準備」 (毎日, 1/25)
現実味を帯びる五輪「再延期」で噴出する、人・カネ・場所の大問題 (ダイヤモンド online, 1/25)
東京オリンピックは中止? 決行? 全豪OPで見えてきた課題 (gizmodo, 1/25)
暮らし大変「もう熱冷めた」五輪への特別な感情が消えた (朝日, 1/26)
》 厚生労働省「戦没者遺骨取り違え問題」取材ノート (NHK)
国の「不都合な真実」を暴いた報道の裏側を公開します!記者たちが3年かけて厚労省の壁に挑んだ「作戦」とは? (NHK, 1/21)
「不都合な真実」を暴くため、彼女はシベリアに飛んだ。疾走600キロ、ついに遺体が埋められた場所に… (NHK, 1/27)。すごい汚れ。 戦車模型をつくるときでも、ここまでウェザリングするのは稀だと思う。
》 個人情報保護法令和2年改正に伴う企業データベース事業への影響に関する検討(提言に向けた中間整理)(PDF) (JILIS, 1/25)
》 WhatsAppが数百万人のユーザーを失う事態に (gigazine, 1/26)
》 Twitter、コミュニティー主導の誤情報対策「Birdwatch」を発表 (CNET, 1/26)
》 セキュリティ研究者狙い撃ちの攻撃キャンペーンをGoogleが警告 背後に北朝鮮か (ITmedia, 1/26)
》 プライバシー保護と広告を両立 ~「Google Chrome 90」ではPrivacy Sandboxの管理UIが導入へ (窓の杜, 1/26)
》 「誹謗中傷でしょうか」「死にたい」 「映画秘宝」編集長、公式Twitterでユーザーどう喝 勤務先が謝罪 (ITmedia, 1/26)
》 退役撤回か スウェーデン軍「グリペンC/D」戦闘機 サーブが可否検討へ その切実な理由 (乗りものニュース, 1/7)。能力向上改修を実施へ?
》 来るか「軽戦車の時代」 戦車はどこでも走れるけれど どこでも走れるわけではない! (乗りものニュース, 1/25)
》 陸自「装甲救急車」誕生へ 運用面などに見るこれまで後回しになっていたワケ (乗りものニュース, 1/8)。ようやくですか。
》 オーストラリア 次期武装偵察ヘリとしてAH-64E「ガーディアン」を採用 (乗りものニュース, 1/20)。22 機の Tiger ヘリを AH-64E でリプレイス。
Defence Minister confirms Tiger replacement selection (defenceconnect.com.au, 1/15)
iPhone 12 だけの話ではなかった。
iPhone は磁石のほかにも、電磁場を生じる部品や無線送信機を内蔵しています。MagSafe アクセサリ (別売り) もすべて磁石を内蔵していて、MagSafe 充電器と MagSafe デュアル充電パッドには無線送信機が組み込まれています。こうした磁石や電磁場が医療機器に干渉するおそれがあります。
iPhone 12 の全モデルは、それ以前の iPhone モデルよりも磁石の内蔵量が増えましたが、以前の iPhone モデルと比べて医療機器への磁気干渉リスクが高まることは予測されていません。
植え込み型のペースメーカーや除細動器などの医療機器に内蔵されているセンサーが、磁石や無線送信機が近付くと反応する場合があります。こうした機器への干渉の可能性を排除するため、iPhone や MagSafe アクセサリを機器には近付けず、安全確保のために必要とされる距離を確保してください (15 cm 以内、またはワイヤレス充電時は 30 cm 以内には近付けない)。具体的なガイドラインについては、かかりつけ医や医療機器メーカーにお問い合わせください。
つまり、Apple は、全ての iPhone および MagSafe アクセサリについて、 15cm (ワイヤレス充電中は 30cm) 以内には近づけるなと主張している。
関連:
iPhone 12が近くにあるとペースメーカーが止まったと示唆する医学研究が発表 (engadget, 2021.01.12)
iPhone12のMagSafe磁力でペースメーカに影響?業界団体に取材 (iPhone Mania, 2021.01.19)。日本不整脈デバイス工業会。
当工業会としては、本来厚労省が発しているガイドライン上で「15cmの距離を取る」となっており、それを超えてデバイスに近づけた使用ではどこのメーカにおいても影響は出る可能性があります。したがってガイドラインをしっかり守っていただく事が重要です。
15cm は一般則であり、iPhone だけの話ではない、と。
各種電波利用機器の電波が植込み型医療機器等へ及ぼす影響を防止するための指針 (総務省)、 各種電波利用機器の電波が植込み型医療機器等へ及ぼす影響を防止するための指針 (総務省, 2018.07)
平成24年7月25日以降サービスが行われている方式の携帯電話端末(スマートフォン等の無線LANを内蔵した携帯電話端末を含む。)による植込み型医療機器への影響を調査した結果、一部の植込み型医療機器について、携帯電話から最長で3cm程度の離隔距離で影響を受けることがあったことから、以下の通り取り扱うことが適切である。
なお、PHS端末については、影響を受けた植込み型医療機器はなかったが、携帯電話端末と外見上容易に区別がつきにくいため、PHS端末の所持者は、必要に応じて植込み型医療機器の装着者に配慮することが望ましい。
ア 植込み型医療機器の装着者は、携帯電話端末の使用及び携行に当たっては、植込み型医療機器の電磁耐性(EMC)に関する国際規格(ISO14117等)を踏まえ、 携帯電話端末を植込み型医療機器の装着部位から15cm程度以上離すこと。 また、混雑した場所では、付近で携帯電話端末が使用されている可能性があるため、注意を払うこと。
イ 携帯電話端末の所持者は、植込み型医療機器の装着者と近接した状態となる可能性がある場所では、携帯電話端末と植込み型医療機器の装着部位との距離が15cm程度以下になることがないよう注意を払うこと。なお、身動きが自由に取れない状況下等、15cm程度の離隔距離が確保できないおそれがある場合には、事前に携帯電話端末が電波を発射しない状態に切り替えるなどの対処をすることが望ましい。
》 技術レポート:IIR Vol.49 エグゼクティブサマリ (IIJ Engineers Blog, 1/21)
》 共通テスト 英語 (リーディング) における「ローカロリー甘味料」に関する記述
2021年大学入学共通テストの英語(リーディング)問題文に対する見解 (日本食品添加物協会, 1/21)
甘味料等の食品添加物は、様々な論文等を基に複数の専門家による審議を経て、安全性が確認されています。今回の共通テスト問題文で取り上げられました低カロリー甘味料(aspartame, Ace-K, stevia, sucralose, advantame)は、日本のみならず海外各国でその安全性に問題無いとして使用が認められているものです。このことに関する記載が無く、ごく一部の研究内容を基に安全性への懸念だけをクローズアップすることは、公に使用が認められている甘味料に対して、誤った認識及び不安や混乱を与えてしまうものと考えます。
拝啓 大学入試センター様、 共通テストに科学リテラシーはありますか? (松永 和紀 / note, 1/22)
》 Google発の気球で世界中にインターネットを届ける「Project Loon」が完全シャットダウン (gigazine, 1/22)。コストの問題を乗り越えられなかった模様です。
》 除雪作業時、携帯電話所持を 秋田県警「素早い救助につながる可能性」 (毎日, 1/22)
除雪作業中にスマートフォンや携帯電話を持つことで、被災者が自ら警察や家族、近所の住民に救助を依頼できる利点がある。またスマホのGPS(全地球測位システム)機能で、雪に埋まって姿が見えなくなった場合でも現在地を絞り込める可能性が高くなる。(中略) 着信音から位置を特定できることから、除雪作業中はスマホを振動モードではなく、着信音が鳴る状態にしておくことも重要
》 本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開) (金床 “Kanatoko” / Scutum 技術者ブログ, 1/21)
今回、この機械学習において、事前に「ウェブの攻撃とはこういうものですよ」という知識をほとんど全くあたえないにも関わらず、異常検知の結果として攻撃を見つけてしまうことを示します。つまりAIはウェブアプリケーションセキュリティの知識なしに攻撃を見つけられるという技術者にとっては背筋が寒くなる事実をお見せします。とはいえ(教師なし学習であることもあり)精度はそれほど高くないので、最終的にあなたは「なるほど、このくらいのレベル感でこんなことができるんだな...」という感覚をつかむことができるでしょう
教師なし学習で異常検知を行う場合、おそらく皆さんの予想以上にあっけなく実施することができます。それほど大した準備も予備知識も要らないため、「機械学習は難しそう」と思っている人はその手軽さに驚くのではないでしょうか。ただしその手軽さの反面、やはり性能では教師あり学習にはかなわないところもあります
》 資生堂、TSUBAKIなどの日用品事業を1500億円超で売却へ (ブルームバーグ, 1/22 08:00)、 資生堂「TSUBAKI」など日用品事業売却へ 1000億円超 (日経, 1/22 11:14)
新型コロナウイルス禍で訪日外国人客の需要が蒸発し、資生堂は本業の化粧品事業で苦戦している。20年11月時点では、20年12月期の連結最終損益は300億円の赤字(前の期は735億円の黒字)としていた。(中略) 売却を検討しているパーソナルケア事業は低価格な商品が多く、収益性を圧迫する要因になっている。特にヘアケア事業は新興メーカーの攻勢を受け、シェアを落としている。値引き合戦が激しく利益を出しにくいこともあり、十分な商品開発や広告宣伝などへの投資を資生堂単体で続けるのが難しいと判断した。
TSUBAKI 立ち上げ時は広告宣伝費 50 億円が話題になったものですが、 それも今は昔と。
日本の女性は美しい!TSUBAKI 躍進の秘密 (allabout, 2006.05.20)
商品ブランディングの方法とは? 新旧のスターブランド事例で徹底解説。 (ココカラ, 2018.12.05)
前述した「TSUBAKI」はマス広告を中心に大量投下した物量作戦。
インフルエンサーを特定せずとも、いきなり大多数の大衆(フォロワー層)に大規模な広告宣伝への投資と流通展開を整備することで、認知を獲得するという方法です。
対する「ボタニスト」はそこまでの資金力はありません。
資生堂のように広告宣伝費に巨額を投じたり、販路を持っていたりするわけではないI-neは、インフルエンサーとSNSを賢く使いました。これが大ヒット。
なるほどねえ。それにしても、
でも、資生堂だってこのまま黙っているとは思えません。
この時代に、あのメガ企業はどういう展開をしかけてくるか。
日用品事業売却という戦略的撤退がその答えでしたと。
こちらの件:
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた (piyolog, 2021.01.01 改訂)
Salesforce Lightning Platformへの攻撃手法について (monii / medium.com, 2021.01.22 改訂)
攻撃の被害の確認方法
Salesforceでは、基本的にはユーザはログをみることはできない。
ただし、Salesforce Shield(別売り)のライセンスを購入していれば、ログを自身で取得できる模様。
ライセンスを購入していない場合、攻撃の有無や成否を確認するためには、Salesforceに問い合わせてログを取得するしか方法はない。つまり、ユーザは攻撃に対して気づく術はない点に注意する必要がある。
うひ〜
【お知らせ】当社一部製品をご利用のお客様における ゲストユーザに対する共有に関する設定について (Salesforce, 2020.12.29 改訂)
本件は、当社製品の脆弱性に起因するものではなく、ゲストユーザに対する情報の共有に関する設定が適切に行われていない場合に発生する事象であることが確認されています。ゲストユーザに対する共有に関する設定がお客様の用途に沿った設定になっているかどうかはお客様にご確認いただく必要がございます。
一部のお客様より、2016年に当該製品がアップデートされた際にゲストユーザに対する共有に関する設定が変わったのかとのお問い合わせをいただきましたが、そのような事実はございません。
お客様が該当する製品または機能(Experience Cloud〔旧 Community Cloud〕、Salesforceサイト)を使用しているかどうかは、以下のご案内リンクよりお客様ご自身でご確認いただけます。
【ナレッジ】Experience Cloud (旧 Community Cloud)、Salesforce サイトにおけるゲストユーザの利用について
https://help.salesforce.com/articleView?id=000356139&type=1&mode=1
上司「うち大丈夫なの?」Salesforce Experience Cloudアクセス権限とセキュリテイを説明してみた (maes_data(マエス) / note, 2020.12.27)
関連:
NISC、Salesforce の件について注意喚起
Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について (NISC, 2021.01.29)
「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け (ITmedia, 2021.02.02)
freee
各地の自治体
9つの自治体で不正アクセスの可能性が明らかに、セールスフォース「設定不備」問題 (日経 xTECH, 2021.02.12)
米IT企業のサービス利用 自治体システムで不正アクセス相次ぐ (NHK, 2021.02.13)
市民の皆さまへメッセージ(令和3年2月10日) (奈良県香芝市, 2021.02.10)
情報共有アプリ「KOBEぽすと」システムへの第三者によるアクセスについて (神戸市, 2021.02.09)
その他
13団体がセールスフォースの「設定不備」で不正アクセスを確認、委託先が発表 (日経 xTECH, 2021.02.13)
》 映画「KCIA 南山の部長たち」。明日 1/22 から公開。
KCIA 南山の部長たち (klockworx)
町山智浩『KCIA 南山の部長たち』を語る (miyearnZZ Labo, 1/19)
実録KCIA―「南山と呼ばれた男たち」 (amazon)。原作。ノンフィクション。 韓国では改訂増補版が出ている模様。
なぜ大統領は暗殺されたのか 映画「KCIA 南山の部長たち」原作者が語る (朝日新聞 GLOBE+ / Yahoo, 1/20)
私はノンフィクションを書き、監督は創作物である映画を作った。原作と映画のシンクロ率について問う人もいるが、それは意味のない議論だ。ウ・ミンホ監督は緻密に構成し、うまく撮った。素晴らしい映画だと思う。
》 ピーチ航空機運行妨害事件、威力業務妨害容疑等で大学職員を逮捕つづき
飛行機マスク拒否 大学職員「容疑と事実違う」 捜査車両でも着用しなかった理由 (毎日, 1/19)
マスク着用拒否で逮捕の容疑者は明治学院大「特別ティーチングアシスタント」 ピーチ機内で客室乗務員にけが負わせ運航妨げた疑い (スポーツ報知, 1/19)
マスク拒否、着陸後20分降りず 大学職員の男、新潟空港で (共同, 1/20)
逮捕の男、事件後マスクで外出か 健康理由に機内で着用拒否 (共同, 1/20)
皇居でもマスク拒否、トラブルに ピーチ機運航妨害疑いの男 (秋田魁新報, 1/21)
》 ALPINE LINUX 3.13.0 RELEASED (alpinelinux.org, 1/14)
Berkley DB has been deprecated due to licensing issues. For postfix, this means all tables in /etc/postfix/main.cf must be converted to a different format before upgrading, for example, lmdb.
》 「プペルが本当に面白いなら二次創作が生まれるはずなのに全く見ない。つまり…」に納得の声が集まる「浅い感想しかない」「モルカーは5分でも流行った」 (togetter, 1/20)。確かになあ。
関連: 話題の映画『えんとつ町のプペル』に抱いた「強烈な違和感」 (飯田 一史 / 現代ビジネス, 1/4)
》 60代母が「Qアノン」信奉者になりまして…「陰謀論」を垂れ流される娘の困惑 (弁護士ドットコム, 1/20)
》 日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了 (日経 xTECH, 1/21)。秘文AE Email Gateway は終了ですか。
秘文AE Email Gateway (日立ソリューションズ / archive.is)
社外送信時にメールを自動暗号化
・パスワードZIP、S/MIME、PGPによる暗号化、S/MIMEメールの復号が可能です。
・フィッシングメール対策にメールへのS/MIME署名が可能です。
》 ジョー・バイデン、米国大統領に就任。 懸念された騒乱は発生せず。
マスク義務化・パリ協定… バイデン氏、次々に大統領令 (朝日, 1/21)
Biden's 17 Executive Orders and Other Directives in Detail (NYTimes, 1/20)
台湾代表、米大統領就任式に出席 正式招待は79年断交後初 (AFP, 1/21)
歴史的な5分間のスピーチ全文…アマンダ・ゴーマンは大統領就任式の主役になった (Business Insider, 1/21)
dnsmasq に 7 件のセキュリティ欠陥。 詳細はホワイトペーパー、DNSpooq - Cache Poisoning and RCE in Popular DNS Forwarder dnsmasq (JSOF research labs) を参照。
HAVE_DNSSEC の有効・無効、DNSSEC validation 設定の有効・無効で、 影響の受け方が変わる模様。 以下の表は、ホワイトペーパーの表 1 から。
| 結果として起こること | DNSSEC 無効でコンパイル | DNSSEC 有効でコンパイル | DNSSEC 有効でコンパイルかつ DNSSEC validation 有効に設定 |
|---|---|---|---|
| バッファオーバーフロー | なし | なし | CVE-2020-25681 CVE-2020-25682 CVE-2020-25683 CVE-2020-25687 |
| ブラウザーからのキャッシュ汚染 |
CVE-2020-25684 CVE-2020-25685 |
なし | なし |
| ホストからのキャッシュ汚染 | CVE-2020-25684 CVE-2020-25685 CVE-2020-25686 |
CVE-2020-25686 | CVE-2020-25686 |
指摘された欠陥については dnsmasq 2.83 で修正されている。ただし:
ツイート:
今回の7件以外に、dnsmasqの実装について、以下の指摘がされている。
— Yasuhiro Morishita (@OrangeMorishita) January 20, 2021
・CNAMEに付随するA/AAAAのチェックがされず、無条件に受け入れる。
・CNAMEは10段まで処理され、10個の任意のドメイン名を1応答でキャッシュポイズニング可能。
・キャッシュ済みかどうかに関わらず、新しい応答で上書きされる。
Oracle 四半期定例 patch 出ました。 VirtualBox は 6.1.18、 Java SE は 15.0.2 / 11.0.10 / 8u281 / 7u291 が出た模様。 (typo fixed: ホンマさん感謝)
2021年1月Oracle製品のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2021.01.20)
Oracle、四半期ごとの定例セキュリティアップデート ~「Java SE」の脆弱性は1件 (窓の杜, 2021.01.20)
Oracle、「Java SE」の脆弱性1件を修正 (security-next.com, 2021.01.20)
Liberica 8u282, 11.0.10, and 15.0.2 are here (bell-sw.com, 2021.01.19)。M1 ネイティブ。
TEMPEST のスピーカーフォン版の模様。
実験に使った市販の6社の製品8機種のうち、6社の6機種で確認され、最大25メートル離れた場所で受信出来たということです。
けっこうな割合ですね……。
Chrome 88.0.4324.96 が stable に。36 件のセキュリティ修正を含む。 Flash と ftp:// URL のサポートは廃止されました。
》 Xiaomi、「われわれは“共産主義中国の軍事企業”ではない」と声明 (ITmedia, 1/19)
》 米議会議事堂襲撃者、盗んだペロシ議長のノートPCをロシア対外情報庁に売ろうとしていた──FBI供述書 (ITmedia, 1/19)。まさに売国。
》 テレ東の報道番組、マスク着用をルール化。「緊急事態宣言を受け」決定、ネットで反響広がる (ハフポスト / Yahoo, 1/19)
》 ピーチ航空機運行妨害事件、威力業務妨害容疑等で大学職員を逮捕
マスク拒否し緊急着陸させた大学職員逮捕 威力業務妨害などの疑い 大阪府警 (毎日, 1/19)。「私立大学非常勤職員の男性(34)」
機内マスク拒否運航妨害疑い逮捕 (NHK, 1/19)。「茨城県取手市に住む奥野淳也容疑者(34)」
マスクしないと飛行機は乗れないの? 降ろされた男性、ピーチ機上で経験した一部始終を語る (47news / Yahoo, 2020.09.16)
「マスク拒否」で相次ぐ旅客機での退去命令、乗客側の訴えに道理はあるか (ダイヤモンド online, 2020.09.21)
マスパセ(マスク未着用途中降機乗客) (twitter)
マスク未着用途中降機乗客の記録 (livedoor)
共通テスト:鼻出しマスク失格受験生に追試の場を!(19日編集部追記) --- 奥野 淳也 (アゴラ, 1/18)
ピーチ機内でマスク拒否の男逮捕 傷害や航空法違反など疑い、認否は保留 (AviationWire, 1/20)
》 共通テスト鼻出し受験生 (49)、不退去容疑で逮捕されていた
鼻マスク注意の受験生逮捕 共通テスト、不退去容疑で―警視庁 (時事, 1/19)
共通テストで“鼻マスク” 受験生を不退去の疑いで逮捕 警視庁 (NHK, 1/19)
》 FireEye Webセミナー UNC2452: What We Know So Far 〜現時点で判明していること〜 (FireEye / nex-pro.com)。SolarWinds の件。2021.01.22、オンライン、無料。
》 Amazon Prime解約の手順が分かりにくい! 欧米の消費者団体、Amazonを相次ぎ提訴 (やじうま Watch, 1/18)
5Gスマホ販売増加で自動車産業に思わぬ苦況 車載用MCUが半導体の生産逼迫で供給不足に (屈慧 / 財新 Biz&Tech / 東洋経済, 2020.12.17)
今回の供給不足の根源は、シリコンウエハーの世代に応じた製造設備のキャパシティにある。車載用MCU、ディスプレーパネル駆動用チップ、パワーマネジメント半導体など特定用途に使われる半導体の多くが、1世代前の8インチ(200mm)ウエハー用の製造ラインで生産されているからだ。
8インチ用のラインの新設はもう長い間行われておらず、既存のラインも増産余力がほとんどない。そんななか、消費電力が大きい5Gスマホ向けのパワーマネジメント半導体の注文が急増し、そのほかのチップの生産にしわ寄せが及んでいるのだ。
台湾のある半導体メーカーの責任者によれば、車載用MCUの受注量はもともとスマホ用チップより少ない。メーカーとしては大口顧客向けの生産量確保を優先し、車載用は後回しにせざるをえないという。
「パワーマネジメント半導体だって供給が追いつかない状況だ。生産能力を車載用に回す余裕はとてもない」と、この責任者は肩をすくめた。
5G スマホ用の方が大口なので、そちらが優先されると。 クルマ産業はもはやマイナーな時代なのですね。
自動車やスマホの半導体チップが無い! 中国の経済回復に大きな足かせ (CNS / AFPBB, 1/1)
半導体チップを製造に使うエンドユーザー企業が備蓄を確保していることも、供給不足の一因となっている。集微コンサルティング(Jiwei Consulting)の韓暁敏(Han Xiaomin)社長は「スマートフォン大手ファーウェイ(Huawei)が米国から半導体チップの供給を停止された後、他のスマホメーカーがチップの大量備蓄に走っている」と指摘。「供給不足解消はおそらく2021年末になる」とみている。
コロナ下、半導体奪い合い 液晶パネルは品薄で急騰 トヨタは代替調達検討 ゲーム機生産に懸念も (日経, 2020.12.25)
「21年4月以降の完成車生産が滞る懸念がある」。11月下旬、トヨタ自動車の幹部は危機感をあらわにした。10月に旭化成の子会社の半導体製造工場(宮崎県延岡市)で起きた火災によって半導体調達が困難になったためだ。特にデンソーが主に生産し、トヨタに供給する衝突の回避や被害軽減する安全システム向けの影響が深刻とされる。
関連
旭化成の工場火災、影響拡大 ヤマハは60億円の減収要因 (日経, 2020.11.27)
半導体製造工場の火災事故および製品供給の状況について(ご報告) (旭化成エレクトロニクス, 2020.12.25)
半導体製造工場の火災事故の状況について(続報) (旭化成エレクトロニクス, 1/18)
コロナで需要拡大 世界的な半導体不足で自動車減産の動き相次ぐ (毎日, 1/12)
トヨタやホンダなどにも生産調整の動き広がる-世界的な半導体不足 (ブルームバーグ, 1/12)
車載半導体不足の長期化懸念も、スマホ優先にEV需要増-アナリスト (ブルームバーグ, 1/15)
》 大型旅客機A380、半数の運用を中止 カタール航空 (CNN, 1/17)
》 Virgin ORBIT LauncherOne、LEO に到達。 10 機の CubeSat の軌道投入に成功。
Virgin ORBIT。 LauncherOne を 747 で上空へ運んで空中発射。 LauncherOne は 2 段式。
ヴァージン・オービットが輸送用航空機を利用する打ち上げでオービット(軌道)到達に初成功 (techcrunch, 1/18)
LauncherOne reaches orbit on second attempt with NASA CubeSats (NASA, 1/17)
Space Launch Report: Virgin Orbit LauncherOne Data Sheet (spacelaunchreport.com)
純粋な打ち上げ性能としては Pegasus XL と同様みたいだけど、 LauncherOne の売りはどこになるんだろう。 複数の小型衛星を一度に軌道投入できるところ?
Northrop Grumman Pegasus (WikiPedia)。Pegasus は 3 段 (オプションで 4 段) 式。
Pegasus XL Launch Vehicle (spaceflight101.com)
Space Launch Report: Pegasus Data Sheet (spacelaunchreport.com)
Apache Tomcat 7.0.x / 8.5.x / 9.0.x / 10.0.0-Mx に欠陥。 NTFS ファイルシステムを使用している network location からリソースを提供している場合に、セキュリティ制約を迂回したり、JSP ソースコードを閲覧できたりする。 CVE-2021-24122
Tomcat 7.0.107 / 8.5.60 / 9.0.40 / 10.0.0-M10 で修正されている。
ミッドナイト・ファミリー (MadeGood)
メキシコの闇救急車に3年密着 米国人監督が迫った現場 (朝日, 1/15)。ルーク・ローレンツェン監督インタビュー。
出てましたね、そういえば。
Security updates available for Adobe Photoshop | APSB21-01 (Adobe, 2021.01.12)。 Photoshop 2021 for Windows / Mac 22.x に、任意のコードの実行を招く欠陥。 21.x には影響しない。 Photoshop 2021 22.1.1 で対応。 Priority Rating: 3
Security Updates Available for Adobe Illustrator | APSB21-02 (Adobe, 2021.01.12)。 Illustrator 2020 for Windows 25.0 以前に、任意のコードの実行を招く欠陥。 Illustrator 2020 25.1 で対応。 Priority Rating: 3
Security updates available for Adobe Animate | APSB21-03 (Adobe, 2021.01.12)。 Animate for Windows 21.0 以前に、任意のコードの実行を招く欠陥。 Animate 21.0.2 で対応。 Priority Rating: 3
Security updates available for Adobe Campaign Classic | APSB21-04 (Adobe, 2021.01.12)。 Adobe Campaign Classic for Windows / Linux の 19.1.7 以前 / 19.2.3 以前 / 20.1.3 以前 / 20.2.3 以前 / 20.3.1 以前 / Gold Standard 10 以前に Server-side request forgery (SSRF) 欠陥があり、 センシティブ情報が漏洩する。 19.1.8 / 19.2.4 / 20.1.4 / 20.2.4 / 20.3.2 / Gold Standard 11 で対応。 Priority Rating: 2
Security Update Available for Adobe InCopy | APSB21-05 (Adobe, 2021.01.12)。 InCopy for Windows 15.1.3 以前に、任意のコードの実行を招く欠陥。 InCopy 16.0 で対応。 Priority Rating: 3
Security hotfix available for Adobe Captivate | APSB21-06 (Adobe, 2021.01.12)。 Captivate 2019 for Windows 11.5.1.499 以前に、権限上昇を招く欠陥。 Hotfix が公開されている。 Priority Rating: 3
Security Updates Available for Adobe Bridge | APSB21-07 (Adobe, 2021.01.12)。 Bridge for Windows 11.0 以前に、任意のコードの実行を招く欠陥 2 件。 Bridge 11.0.1 で対応されている。 Priority Rating: 3
NTFS の欠陥、今回は $i30 だそうで。 「データが破壊される」というか、ファイルシステム自体が壊れるみたい。 詳細はこちらを: Windows 10 bug corrupts your hard drive on seeing this file's icon (BleepingComputer, 2021.01.14)。 なかなかに強烈な DoS 攻撃が可能な模様。
関連:
Filesystem Bug Hangs or Crashes Windows 7 and Windows 8.1 (BleepingComputer, 2017.05.26)。こちらは $MFT。
Bugzilla Bug 29079: file:///c|/con/con/con (memo, 2020.02.24)。なつかしい。
Microsoft 2021.04 月例 patch で修正されたそうです。
アイコンを見るだけでNTFSドライブが破損する脆弱性が修正 (PC Watch, 2021.04.19)
Windows NTFS Denial of Service Vulnerability CVE-2021-28312 (Microsoft, 2021.04.13)
》 Using the NIST Database and API to Keep Up with Vulnerabilities and Patches (SANS ISC)
Part 1 of 3 (SANS ISC, 1/7)
Playing with Code (Part 2 of 3) (SANS ISC, 1/8)
Tool Drop: CVEScan (Part 3 of 3) (SANS ISC, 1/11)
》 シンデレラとシグネチャベースの検知 (Kaspersky, 1/6)
》 『ダイ・ハード』:ナカトミ商事のサイバーセキュリティ (Kaspersky, 2020.12.25)。クリスマス記事。
》 ACEBEAM L35 ターボヘッドLEDライト5000ルーメン (目指せ!ライトマニア HATTAのLEDライトレビュー, 2020.12.18)
》 Windows Sysinternals 更新情報 (2021 年 1 月 12・13 日) - Sysmon v13.00/13.01、Procmon v3.61、PsExec v2.30 (山市良のえぬなんとかわーるど, 1/12)
》 Windowsファイアウォールを肥大化させている犯人が再犯か? (山市良のえぬなんとかわーるど, 2020.12.22)。「Hyper-V が有効な Windows 10 バージョン 1809」での話。
》 【覚書】SMB2 での安全でないゲストアクセスの無効化について(SMB2はSMB v2+v3)(追記あり) (山市良のえぬなんとかわーるど, 2020.12.23)
》 知ってると思いますが、今年のカレンダー(印刷物)は要注意、Outlook のカレンダー対応はもうすぐ? (山市良のえぬなんとかわーるど, 1/5)、 「国民の祝日」について (内閣府)
令和3年(2021年)に限り、「海の日」は7月22日に、「スポーツの日」は7月23日に、「山の日」は8月8日(※)になります。
》 KDDIのahamo対抗2480円プラン「povo」のカラクリ (石川温 / Yahoo, 1/13)
povoの最大の特徴は「トッピング」という考え方だ。 (中略) 例えば「1回5分まで国内音声通話かけ放題が欲しい」のであれば、月額500円でトッピングすればいいし、「週末、旅行に行くので、できればデータを使い放題にしたい」というのであれば、200円を支払うと24時間、データ通信が使い放題になるというわけだ。
The report of a Swiss investigation into the case of Crypto AG (electrospaces.net, 2020.12.30)。 スイスの会社 Crypto AG が、米 CIA や独 BND のバックドアが入った暗号システムを販売していた件。関連:
‘The intelligence coup of the century’- For decades, the CIA read the encrypted communications of allies and adversaries. (Washington Post, 2020.02.11)
CIA controlled global encryption company for decades, says report (Guardian, 2020.02.11)
Swiss intelligence benefited from CIA-Crypto spying affair (swissinfo.ch, 2020.11.10)
JVNDB-2020-010286 - Net-SNMP における権限管理に関する脆弱性 (JVN, 2021.01.05)。「Net-SNMP 5.7.3 まで」と書かれているのだが、 make the extend mib read-only by default (GitHub) のタグは v5.9 v5.9.rc2 v5.8.1.rc1。コミットは 24 Jul 2020。 ChangeLog を見ると 5.8.1rc1 から 5.9rc2 に直接移行している (5.8.1 は未リリース) なので、リリース版としては 5.9 で修正、の模様。
Joomla 3.9.24 Release (Joomla, 2021.01.12)。3 件のセキュリティ修正が含まれる。
》 FAAの新しいドローン規則、グーグル兄弟会社Wingが懸念するプライバシー問題 (ZDNet, 1/12)
Wingの広報担当者は、筆者宛ての電子メールでの取材に対して「新規則は、不特定多数の人々が基本的なレベルで消費者のドローン配送の注文を追跡できるようにしてしまう」と述べている。「米国社会は、路上のタクシー移動や配送物がリアルタイムで監視されるようなことは容認しないだろう。空を飛ぶものについても、それを受け入れるべきではない」というのが彼らの主張だ。
》 Flash コンテンツ ブロックのタイマー発動(アンインストールしてない場合) (山市良のえぬなんとかわーるど, 1/12)、 「Adobe Flash Player」によるFlashコンテンツの実行ブロックが開始 (窓の杜, 1/13)
》 元ソフトバンク社員、「5G」情報など不正に持ち出し逮捕--楽天モバイルに転職 (CNET, 1/12)
》 フランス空軍、戦闘爆撃機「Mirage 2000D」“改”を納入。後部コクピットはWindows 7? (やじうま PC Watch, 1/13)。オォゥ。2021 年に Windows 7 ベースのものが新規納入されるのが、実際の世の中なのですね。 これが改修 1 機目で、計 55 機改修するのだそうで。
関連: フランスのミラージュ2000D戦闘機 近代化改修1号機を受領 (おたくま経済新聞, 1/12)
》 「こたつ記事ライター」の生態がいま明らかに!? NHK「ねほりんぱほりん」で今夜放送 (やじうま Watch, 1/13)
セキュリティ問題を修正した「TensorFlow 2.3.2」が公開 (OSDN, 2021.01.13)
Various security fixes in sudo 1.9.5 (CVE-2021-23239, CVE-2021-23240) (oss-sec ML, 2021.01.11)
SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)
関連:
SolarWinds、元CISA長官らのコンサルティング会社と契約--ハッキング事件を受け (ZDNet, 2021.01.12)、 Chris Krebs and Alex Stamos have started a cyber consulting firm (techcrunch, 2021.01.08)
SolarWinds製品のハッキングは2019年9月から--調査で判明 (ZDNet, 2021.01.12)
Kaspersky、SolarWinds製品を悪用した攻撃と「Kazuar」バックドアに関連性を発見 (Kaspersky / PR TIMES, 2021.01.12)
Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)
Thunderbird 78.6.1 が出ています。
Thunderbird 78.6.1 がリリースされた (Mozilla, 2021.01.12)
Microsoft 2021.01 月例更新出ました。
- Microsoft Windows
- Microsoft Edge (EdgeHTML ベース)
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Windows Codecs Library
- Visual Studio
- SQL Server
- Microsoft Malware Protection Engine
- .NET Core
- .NET Repository
- ASP .NET
- Azure
Microsoft Malware Protection Engine の件は 0-day だそうです: Microsoft Defender のリモートでコードが実行される脆弱性 CVE-2021-1647 (Microsoft)
Kerberos KDC の脆弱性 (CVE-2020-17049) への対応が変化しました。
2020 年 11 月の定例リリースに公開された CVE-2020-17049 は 2020 年 2 月に強制モード フェーズに移行する予定でしたが、2021 年 3 月に第二展開フェーズ、2021 年 5 月に強制モード フェーズに移行する予定に変更となりました。詳しくは、サポート技術情報 4598347 または Japan Security Team Blog をご参照ください。
中間段階である「第二展開フェーズ」が追加され、強制モードまでの期間も延長されています。 Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス (MSRC Blog) もあわせて改訂されていますので、詳細はそちらを。
Internet Explorer および Microsoft Edge での Flash の今後の対応について (Japan Developer Support Internet Team Blog, 2021.01.12 更新)
2021 年 1 月初旬に、Microsoft Edge (EdgeHTML 版) と Internet Explorer で Flash は既定で無効化され、また、2020 年 6 月リリースの KB4561600 より古いバージョンの実行はブロックされます。
今回、これが実施された模様です。
Windows OS のコンポーネントとしての Flash を永久的に削除するための『Update for Removal of Adobe Flash Player』というタイトルの更新プログラムがリリース予定です。この更新を適用したあとは元に戻すことはできません。
Update for Removal of Adobe Flash Player は、今回も WSUS には流れてきていないようです。Microsoft Update カタログからは入手できます。
今日(1/13 JST)の Windows Update(2021-01 B)は今年最初のセキュリティ更新日 (山市良のえぬなんとかわーるど, 2021.01.13)
【Windows10】 WindowsUpdate 2021年1月 不具合情報 - セキュリティ更新プログラム KB4598242 / KB4598229 (ニッチなPCゲーマーの環境構築Z, 2021.01.13)
【Windows8.1】 WindowsUpdate 2021年1月 注意事項と各KBメモと直リンク KB4598285 / KB4598275等 (ニッチなPCゲーマーの環境構築Z, 2021.01.13)
不具合を起こして撤回されていた KB4524244 更新プログラムが KB4535680 として再リリースされた。
Microsoft セキュア ブートのセキュリティ機能のバイパスの脆弱性 CVE-2020-0689 (Microsoft)
Microsoft、セキュア ブートの迂回攻撃を防止するセキュリティパッチを再リリース 昨年2月にトラブルで撤回されたもの (窓の杜, 2021.01.13)
セキュリティ更新 KB4524244(既に提供停止)で PC のリセットが失敗する件、やってみた (山市良のえぬなんとかわーるど, 2020.02.17)
HP の一部デスクトップ / ノート PC では KB4535680 でも不具合が発生する模様。 適用前に BIOS の更新が必要。
KB4535680の適用時にPCがハングアップする不具合 (ニッチなPCゲーマーの環境構築Z, 2021.01.13)
If the latest supported BIOS is not installed on the system, then Windows 2004 installation, Windows 2004 Update, or the KB4524244 or KB4535680 update may be blocked for installation or download.
HP recommends that the latest BIOS is installed before updating or installing Windows 2004 or installing the KB4524244 or KB4535680.
BIOS が更新されていない場合、 Windows 10 バージョン 2004 / KB4524244 / KB4535680 は ブロックされると書かれているのだが、実際にはインストールできちゃって不具合発生、ということだろうか。
ファイザーとBioNTech、日本においてCOVID-19ワクチンの製造販売承認申請を発表 (ファイザー, 2020.12.18)、 ファイザー コロナワクチン 日本で承認申請 早ければ2月に結論 (NHK, 2020.12.18)。承認は、早くても2月中旬になると。
新型コロナワクチン 2月下旬の接種開始準備を指示 厚労省 (NHK, 2020.12.18)
武田「モデルナの新型コロナワクチン 日本承認は5月以降」アストラゼネカは… (ten-navi.com, 1/8)。2月末に間にあうのはファイザーのワクチンだけになりそう。
新型コロナウイルス感染症に係るワクチンの接種について(案) (e-gov パブリックコメント)。締切 1/12。
4 接種の実施体制
(1) 接種の実施体制については、特定接種の枠組みではなく、予防接種法の臨時接種の特例として、住民への接種を優先する考えに立ち、簡素かつ効率的な接種体制を構築する。
(2) 接種は、 国の指示のもと、都道府県の協力により、市町村において実施することとなる。国民への円滑な接種を実施するため、国の主導的役割、広域的視点、住民に身近な視点から、国、都道府県及び市町村の主な役割について概ね以下の分担を前提とし、今後具体的な検討を進め、必要な体制の確保を図る。
実態としては、地方自治体にまる投げなのかな。
新型コロナウイルスワクチンの接種体制確保について 自治体説明会① (厚生労働省, 2020.12.18)
- 厚生労働大臣の指示のもと、都道府県の協力により、市町村において予防接種を実施する。
- 国・都道府県・市町村の役割分担については、主導的役割を果たす国、実施主体としての市町村、広域的な視点で市町村を支援する都道府県といった役割分担を基本として、接種体制・流通体制を速やかに整備する。
新型コロナウイルスワクチンの接種について (姫路市, 1/7)
下記の1(医療従事者等)については2月下旬以降、2(高齢者)については3月中旬以降、3から6(65歳未満の方)については4月以降の接種開始を見込んでいます。
これが現在のスケジュール感なのだろう。
優先順位
- 医療従事者等
- 高齢者
- 基礎疾患を有する者
- 高齢者施設等の従事者
- 60歳から64歳の者
- その他の者
業務委託募集例
新型コロナウイルスワクチン接種体制確保に係る業務委託について(提案募集) (福岡市, 1/8 更新)。1/14 締切。
【公募型指名競争入札】新型コロナワクチン接種体制確保事業個別通知作業委託 (横浜市, 1/5 更新)。入札、昨日じゃん。
関連:
[翻訳] BioNTech/Pfizer の新型コロナワクチンを〈リバースエンジニアリング〉する (柞刈湯葉 / note, 2020.12.31)
東京外かく環状道路 陥没箇所周辺以外の物理探査の実施について (NEXCO東日本, 2020.12.17)
令和2年11月27日に開催された「第4回 東京外環トンネル施工等検討委員会 有識者委員会」において、追加調査することとされた物理探査(微動アレイ探査、表面波探査)のうち世田谷区、狛江市区間について、12月下旬より実施することとしました
調布陥没「トンネル工事が原因」 有識者委が中間報告 NEXCO東日本が補償表明 (東京, 2020.12.18)、 「東京外環トンネル施工等検討委員会 有識者委員会」の開催について(令和2年12月18日) (NEXCO東日本)。
第5回 東京外環トンネル施工等検討委員会 有識者委員会 調査状況(中間報告) (NEXCO東日本, 2020.12.18)。 空洞内の写真あり。 工事前から空洞があった?
第5回 東京外環トンネル施工等検討委員会 有識者委員会 陥没・空洞の要因分析 (NEXCO東日本, 2020.12.18)
大深度法の見直しは必須だなあ。 少なくとも、直上地中における空洞の有無のチェックを必須としなければなるまい。
“陥没”補償など説明も…住民から不満の声 (日テレ, 2020.12.20)
【道路陥没】NEXCO東日本が警察呼んで住民説明会 (田中龍作 / BLOGOS, 2020.12.21)
【道路陥没】「爆音でロックを聞いている感じ」被害の実態明らかに 個別交渉で工事再開目指すNEXCO東日本 (田中龍作 / BLOGOS, 2020.12.28)
東京・調布 外環道工事被害 家屋58軒 騒音・振動102軒 「将来不安」も顕著 住民が調査 (しんぶん赤旗, 2020.12.29)
》 ワクチン後に29人がアナフィラキシー症状 米、530万人に接種 (毎日, 1/7)。
CDCはこのうち昨年12月14~23日にファイザー製を接種しアナフィラキシーを起こした21人の報告書を公表。当時接種した約189万人に占める発生割合は100万人当たり11・1人だった。インフルエンザワクチンの同1・3人と比べると頻度が高いが、CDCは「極めてまれで、接種により新型コロナを予防する利益の方がリスクを上回る」とした。
US では死者数がすごいことになっているからなあ。
関連:
As of December 23, 2020, a reported 1,893,360 first doses of Pfizer-BioNTech COVID-19 vaccine had been administered in the United States, and reports of 4,393 (0.2%) adverse events after receipt of Pfizer BioNTech COVID-19 vaccine had been submitted to the Vaccine Adverse Event Reporting System (VAERS). Among these, 175 case reports were identified for further review as possible cases of severe allergic reaction, including anaphylaxis. Anaphylaxis is a life-threatening allergic reaction that does occur rarely after vaccination, with onset typically within minutes to hours (3). Twenty-one cases were determined to be anaphylaxis (a rate of 11.1 per million doses administered), including 17 in persons with a documented history of allergies or allergic reactions, seven of whom had a history of anaphylaxis. The median interval from vaccine receipt to symptom onset was 13 minutes (range = 2–150 minutes). Among 20 persons with follow-up information available, all had recovered or been discharged home. Of the remaining case reports that were determined not to be anaphylaxis, 86 were judged to be nonanaphylaxis allergic reactions, and 61 were considered nonallergic adverse events. Seven case reports were still under investigation.
COVID-19 Vaccines and Allergic Reactions (CDC, 2020.12.31 更新)
》 15人以上の懇親会と2次会参加、警視庁の署長がコロナ感染 (読売, 1/6)。「尾久署(東京都荒川区)の大野良治署長」。
関連:
人事 警視庁 /東京 (毎日, 1/7)。大野良治氏は 1/8 付で「警務部付」になるみたい。
警視庁尾久署長が感染 (共同 / ロイター, 1/6)。まとまった記事。
》 愛知県知事リコール問題…「8割が不正」の事態に沈黙するお仲間たち【ラサール石井 東憤西笑】 (日刊ゲンダイ / Yahoo, 1/7)
》 隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催 (@IT, 1/7)。2/11 オンライン開催だそうです。
》 攻撃の発見、対処、報告の流れを体験しながら学べる「サイバーセキュリティオンライン講座」をNECが提供開始 (@IT, 1/6)
》 トランプ氏支持者、連邦議会に侵入 銃撃された女性死亡 (朝日, 1/7)。めちゃくちゃだ。 関連:
【米大統領選2020】 連邦議会、トランプ氏支持者たちが侵入 結果認定の審議が一時中断 (BBC, 1/7)。包括的な記事。
バイデン次期米大統領、議事堂占拠は「ほとんど反乱」 (BBC, 1/7)
米産業界、トランプ支持者の議事堂乱入を非難 (日経, 1/7)
グーグル(中略) 傘下の動画共有サイト「ユーチューブ」やフェイスブックはトランプ氏が支持者に「皆さんはスペシャルだ」などと呼びかけた動画を削除した。ツイッターも一部の投稿が規約違反に当たると判断し、閲覧できなくする対応をとった。
TwitterとFacebook、トランプ氏のアカウントを凍結 (日経, 1/7)
米民主議員、トランプ氏弾劾法案を準備 支持者の議会侵入受け (ロイター, 1/7)
米議会乱入、共和党議員からも批判 「トランプ氏が扇動」 (ロイター, 1/7)
トランプ政権閣僚ら、大統領の即時免職を協議 米報道 (AFPBB, 1/7)
ツイート:
Perspective: The Capitol mob images shouldn’t surprise you. Open insurrection was always where we were headed. https://t.co/zgb3uwNcCI
— The Washington Post (@washingtonpost) January 6, 2021
米議会議事堂が襲撃を受けたのは米英戦争中の1814年以来初めて。まさか2021年に南軍旗を持った連中が議事堂に乱入するとは。南北戦争中もこのようなことはなかった。
— tetsuo kotani/小谷哲男 (@tetsuo_kotani) January 6, 2021
Day 1 vs. Day 1,448 pic.twitter.com/OohffkCQrc
— 11th Hour (@11thHour) January 6, 2021
「トランプこそ俺の大統領」と書かれた旗を掲げて連邦議会に侵入したバッファロー男はアリゾナのQアノン、ジェイク・アンジェリ、その隣のヒゲ男はボルチモアのネオナチ、ジェイソン・タンカースリーです。ネオナチが議会を占拠とは合衆国史上最悪の事態です。 pic.twitter.com/i9XQgmMLSx
— 町山智浩 (@TomoMachi) January 6, 2021
いやほんと「トランプおもしれえ」とか「パンケーキおじさんかわいい」みたいなのがどれだけ危険なのか分かっただろう2021年を学びの年に。
— 森泉岳土:『爪のようなもの・最後のフェリー その他の短篇』 (@moriizumii) January 7, 2021
》 「CrystalDiskInfo」の次期バージョン、開発始動。Webhook対応でTeams・Slackとも連携可能に? (窓の杜, 1/7)
「CrystalDiskInfo 9」では全面的な刷新が計画されており、とくに世界中から要望が寄せられているWindowsサービス化とコア機能のDLL分離に取り組むとのこと。また、注目の機能として“Webhook”がサポートされます。 (中略) 「CrystalDiskInfo」が“Webhook”に対応すれば、ディスクドライブの異常を検知した時にSNSやメッセージングアプリに投稿できるようになります。作者・ひよひよ氏の“Twitter”によれば、「Microsoft Teams」や「Slack」との連携が一通り実装中の模様。
》 「FOSS」に貢献している人の多くはセキュリティに関わることに消極的? (Internet Watch, 1/7)。FOSS に限った話ではないだろうと思いますが。
もちろん、セキュリティにも十分に創造性はあるのですが、それはなかなか理解してもらえていないのが現実ですし、例えば、見つかった脆弱性を丁寧に修正する作業を「ワクワクして楽しめる」人はそう多くはいないでしょう。
コード直して ok ok で済めばいいのですが、安定性の確認とか、互換性の維持とか、めんどくさい作業が必要だったりしますからねえ。
》 AppleのM1チップ搭載Macでの確定申告、ICカードリーダライタの対応状況に要注意 (やじうま Watch, 1/7)
[Dovecot-news] Dovecot v2.3.13 released (dovecot, 2021.01.04)
CVE-2020-24386: Specially crafted command can cause IMAP hibernate to allow logged in user to access other people's emails and filesystem information.
Chrome 87.0.4280.141 公開。16 件のセキュリティ修正を含む。 $20000 x 3、$15000 x 2 の内 3 件は 360 Alpha Lab さんですか。
Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)
Firefox 84.0.2 / ESR 78.6.1、Firefox for Android 84.1.3 が出ています。 critical なセキュリティ欠陥 1 件が修正されています。
Firefox 84.0.2、Firefox for Android 84.1.3 がリリースされた (Mozilla, 2021.01.07)
SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)
関連:
Microsoft Internal Solorigate Investigation Update (MSRC Blog, 2020.12.31)、 Solorigate Resource Center - updated December 31st, 2020 (MSRC Blog)
マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡 (CNET, 2021.01.04)
SolarWinds製品のハッキングはどれほど深刻か (CNET, 2021.01.05)
SolarWinds製品のハッキングは「ロシア発の可能性が高い」--FBIやNSAらが声明 (CNET, 2021.01.06)、 Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) (CISA, 2021.01.05)
SolarWinds製品のハッキング、米司法省のメールにも不正アクセス (ZDNet, 2021.01.07)、 Department of Justice Statement on Solarwinds Update (justice.gov, 2021.01.06)
After learning of the malicious activity, the OCIO eliminated the identified method by which the actor was accessing the O365 email environment. At this point, the number of potentially accessed O365 mailboxes appears limited to around 3-percent and we have no indication that any classified systems were impacted.
》 アサンジ被告の米国引き渡し、英裁判所が拒否--自殺を懸念 (CNET, 1/5)
》 英国拠点の「.eu」ドメイン名8万1000件、一時停止--EU離脱の影響で (CNET, 1/6)
》 「リラックマ」の会員制ファンサイトに不正アクセス メールアドレス10万件が漏えいか (ITmedia, 1/6)
》 まだの人はいますぐに。サポート終了したFlashの削除方法 (PC Watch, 1/5)
関連: Adobe Flash Player法人向けサポート終了情報ページ (Adobe)
2021年1月12日以降、アドビはFlash PlayerによるFlashコンテンツの実行をブロックします。これはユーザーのシステムを保護するためです。
》 愛媛大に不正ログイン 迷惑メール3万5000件送信 (ITmedia, 1/5)、 不正アクセスによる迷惑メールの送信について (愛媛大学, 1/4)
本学の学部用メールサービス利用者2名のメールアカウントとパスワードが学外者に不正に利用され
複数名なんだ。
学外のイベント管理サービスに登録していた本学の学部用メールアドレス利用者のメールアカウントとパスワードが、同サービス運営会社が第三者による不正アクセスを受けた際に流出し、窃取されたものと推測されます。
その「イベント管理サービス」というのはどこのサイトなんだろう。 「イベント管理サービス 不正アクセス」でぐぐると出てくる筆頭は Peatix だけど。
イベント管理サービス「Peatix」に不正アクセス。最大677万件の顧客情報流出 (Impress Watch, 2020.11.18)
不正アクセスによるPeatixの情報流出についてまとめてみた (piyolog, 2020.11.20)
Peatix (Firefox Monitor)
弊社が運営する「Peatix( https://peatix.com/)」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について (Peatix, 2020.12.16)。この文書、peatix.com のトップページからどうすればたどりつけるのだろう。
最大677万件の上記お客様情報が不正アクセスにより引き出されていることを確認いたしました。なお、これまでに今回の不正アクセスに起因する具体的な財産的被害等の発生は確認されておりません。
愛媛大事案が Peatix 関連なら、流出情報の悪用が判明したのはこれが初、ということになるのかな?
Peatixの2020年を振り返って (Peatix BLOG, 2020.12.29)
》 リップル社を米証券取引委員会が提訴、「暗号資産の証券性」がブロックチェーンに与える影響とは (Internet Watch, 2020.12.28)
》 テレビ見逃し「TVerで見て」番組が訴え 再生数で出演者に還元 「違法動画、何も良いことない」 (ITmedia, 1/5)。同様に、ラジオの聽き逃しは radiko で。
》 AT&Tのナッシュビル施設爆破犯(63)は5G陰謀論者の可能性 (ITmedia, 2020.12.28)。はあ。
爆発事件の現場は、 AT&T ビル (ナッシュビル) のすぐ近くなのですね。米ナッシュヴィルでキャンピングカー爆発、3人負傷 「意図的行為」と警察 (CNN, 2020.12.26) の写真で確認できます。
システムコンポーネントにCriticalな脆弱性 ~Androidの2021年1月セキュリティ更新 (窓の杜, 2021.01.05)
「Node.js」の2021年1月セキュリティ更新 ~CVE番号ベースで3件の脆弱性に対処 (窓の杜, 2021.01.05)
New security releases now available for 15.x, 14.x, 12.x and 10.x release lines (Node.js, 2021.01.04)
シトリックス製品を悪用したDDoS攻撃を確認--対応パッチは1月に提供予定 (2020.12.28)
Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC (Citrix) が改訂されている。 2021.01.04 付で enhancement build が公開された模様。
Citrix has added a feature enhancement for DTLS which, when enabled, addresses the susceptibility to this attack pattern. The enhancement builds are available on the Citrix downloads page for the following versions:(中略)
- Citrix ADC and Citrix Gateway 13.0-71.44 and later releases
- NetScaler ADC and NetScaler Gateway 12.1-60.19 and later releases
- NetScaler ADC and NetScaler Gateway 11.1-65.16 and later releases
Customers using DTLS are recommended to upgrade to the enhancement build and enable “HelloVerifyRequest” in each DTLS profile by using the following ADC CLI instructions:
DDoS 攻撃への対応としては、
enhancement build に更新した上で HelloVerifyRequest を有効に設定する (推奨) か、
set vpn vserver <vpn_vserver_name> -dtls OFF で DTLS を無効に設定する
となるようです。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)