Last modified: Thu Apr 13 18:21:40 2023 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 コロナにより自宅療養等した場合、生損保の医療保険の入院給付金は支払われないのか? (なか2656のblog, 1/25)
このように日本生命保険は、コロナに感染したが、病院などの事情により病院への入院でなく、自宅療養やホテルなどの宿泊所療養などをした場合であっても、お客様が「その治療期間に関する保健所等発行の証明書(入院勧告書または就業制限・解除通知等)など」を提出した場合は、自宅療養などであっても入院給付金の支払い対象となるとしています。
同様に、第一生命保険、住友生命保険、明治安田生命保険、損保ジャパンなどもプレスリリースで、「医師の診断書等」や「会社所定の宿泊療養・自宅療養書」、「保健所の証明書」などの提出があった場合には、コロナによる自宅療養でも入院給付金・医療保険金を支払い対象になるとしています。
逆に言うと、そういうものを取得できないとマズそう、ということかな。 特定地域の医療崩壊状況では、そういうものを取得できなさそうに思えますが、どうなんでしょう。 いや、そもそも医療崩壊しているのなら、入院も医療ももはや不可能だからいいのか。 (ォィ)
》 日能研に不正アクセス、メールアドレス28万件流出か SQLインジェクション攻撃で (ITmedia, 1/31)
》 「d払い」不正利用で190万円騙し取った詐欺グループのスミッシングと“闇バイト”を使った手口 (Internet Watch, 1/28)
》 アンチウイルスソフトに仮想通貨マイニング機能が追加される時代
「ノートン 360」、暗号通貨採掘を強制インストールした上に削除が困難と批判が相次ぐ しかも15%の手数料を徴収 (engadget, 1/9)、 ノートン製品の暗号通貨採掘機能に懸念の声、日本では未搭載 (ZDNet, 1/8)
無料アンチウイルスソフト「Avira Free Antivirus」にも仮想通貨マイニング機能が追加されていた (gigazine, 1/11)
Avira Operations GmbH&Co. KGは、創業者のTjark Auerbach氏が2020年にほぼ全株式をバーレーンの投資会社・Investcorp Groupに売却。さらに、2021年2月にノートンライフロックの傘下に入っていました。
実は同じ会社の製品でしたと。
なお、ノートンライフロックは2021年8月に同じく無料アンチウイルスソフトで有名なAvastを買収しており、今後、Avastに仮想通貨マイニング機能が追加されても何らおかしくない状況となっています。
オォゥ……。
》 北朝鮮、中距離弾道弾「火星12」をロフテッド軌道で発射 (1/30)。 実戦配備段階か。
北朝鮮ミサイル発射 “EEZ外に落下 中距離以上か” 官房長官 (NHK, 1/30)
北朝鮮 中距離弾道ミサイル発射 韓国で警戒強まる (NHK, 1/30)
北朝鮮のミサイル発射 軍事的な目的色濃く 米国刺激は回避か (毎日, 1/30)
政府 ICBM発射実験など北朝鮮の軍事行動 警戒監視を強化 (NHK, 1/31)
北朝鮮「火星12」発射発表 ICBM再開へ布石か (時事, 1/31)
北朝鮮 “中距離弾道ミサイル「火星12型」 30日に発射実験” (NHK, 1/31)
「北朝鮮 米グアム射程のミサイル実戦配備か」韓国専門家 (NHK, 1/31)
北朝鮮のミサイル「火星12」 岸防衛相「実用化、生産段階」と警戒 (毎日, 1/31)
コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)
関連:
Coinhive事件最高裁「無罪」判決を受けて #jha (togetter, 2022.01.31)
》 京大のスパコンでファイル約77TB分が消失、実行中のスクリプト更新で誤動作 (日経 xTECH, 1/28)
ITベンダーの担当者が実行中のスクリプトを不用意に更新したのが原因だった。
オォゥ……。shell script ではやっちゃ駄目な奴。
関連: How to make shell scripts robust to source being changed as they run (stack overflow)
》 LGWAN障害は機器故障、牧島デジタル相「再発防止に向けてヒアリング」 (日経 xTECH, 1/28)。 1/26 の LGWAN 障害の件。
》 「海事産業の基盤強化のための海上運送法等の一部を改正する法律の施行に伴う関係国家公安委員会規則の整備に関する規則案」に対する意見の募集について (警察庁, 1/20)
海事産業の基盤強化のための海上運送法等の一部を改正する法律(令和3年法律第43号)第8条の規定により、船員職業安定法(昭和23年法律第130号)において、無料の船員職業紹介事業から暴力団員等を排除する規定が新設されたことを踏まえ、警察庁では、 無料の船員職業紹介事業の無許可営業及び偽りその他不正の行為による無料の船員職業紹介事業の許可の取得に当たる行為を暴力的不法行為等に追加すること等を内容とする「海事産業の基盤強化のための海上運送法等の一部を改正する法律の施行に伴う関係国家公安委員会規則の整備に関する規則案」について検討しています。
》 情報セキュリティ10大脅威 2022 (IPA, 1/27)
》 2021年度情報システム等の脆弱性情報の取扱いに関する研究会 (IPA, 1/6 更新)。資料が掲載されています。
》 強欲の代償 ボーイング危機を追う。 第9回まで来ました。
救済した相手は「オオカミ」だった ボーイング襲った「文化大革命」 (朝日, 1/24)。McDonnell Douglas (MD) ですか。
決定的な転機は、97年に訪れた。
同業のマクドネル・ダグラス(MD)社との合併だ。かつてアメリカに3社あった旅客機メーカーは、このM&Aでボーイング1社に集約された。(中略) ただ、当時最高経営責任者(CEO)だったハリー・ストーンサイファーらMDの経営陣は、最終利益と株主価値をとことん追求する、やり手ぞろいで知られていた。ボーイングに救済されたはずが、ボロボロだった会社を高値で売りつけるのに成功した、と業界では受け止められた。
ボーイングとGE、同時の苦境は偶然か 底流にあの名経営者のDNA (朝日, 1/25)。 同時期にボーイングとエアバス両社から同様の電子機器を受注したピーター・レミー氏の証言。
機器をどう設計し、どんな性能・機能をもたせるのか。
エアバスは細部にわたる説明を用意しており、レミーがもらった書類を積み重ねたら1メートル近い厚さがあった。
一方、古巣のボーイングは「ウチの代わりにどんな機能と設計が必要かを考え、書類も整えてほしい」とレミーらに丸投げしてきた、という。
しかも最重要機器の担当者としてボーイングがつけてきたのはたった1人だった。レミーが知る以前のボーイングなら、社員が20~40人はかかわっていたはずだという。
「安全にかかわる責任やコストを、サプライヤーに押しつける。コストをケチるための、ボーイング経営陣による意図的な転換でした」
ボーイング、こんな会社になり果てていたとは。
ワシントンまで乗っ取ったボーイング 独占テコ、安全規制も骨抜きに (朝日, 1/26)
2018年10月5日、米ホワイトハウスの大統領執務室。運輸長官ら関係者に見守られながら、当時の大統領ドナルド・トランプが1本の法律にサインした。
「18年連邦航空局(FAA)再授権法」
FAAが新型航空機の安全性などをチェックする「認証」の手続きをめぐり、これまで以上にボーイングなどメーカー側が主導権を握れるようにする内容が含まれていた。ボーイング側のロビイストが米議会を回って働きかけ、実現したものだった。(中略)
ボーイングの最新鋭機737MAXが最初の墜落事故を起こしたのは、トランプのサインで同法が成立してから3週間後のことだった。
フリードマン・ドクトリンの結末 ボーイングは株主をも食いつぶした (朝日, 1/27)
ステークホルダー主義は幻想か 経営者らの改心、コロナ禍が暴く虚実 (朝日, 1/28)
》 ウクライナ緊迫、ロシア軍10万人の意味とは 節目は北京五輪後か (朝日, 1/28)。小泉悠氏に聞く。
米国にとっては同盟国でもなく、NATO加盟国ですらないウクライナに自国の軍隊を送る難しさは確かにあります。ですが根本的に重要なのは、ロシアが核保有国であるという点です。例えば、ハイブリッド戦やドローン攻撃といった局地的な衝突を起こされ、かつ自力でその状況を挽回(ばんかい)できる可能性がある場合、武力衝突がエスカレートする可能性があります。クラウゼビッツが説いた「相互作用による暴力のエスカレート」が起きる可能性がある以上、核保有国と直接的な対峙はできません。
またしても、核を放棄するとロクなことがないことが実証された、という話になるんですかねえ。 世の中こんなのばっかなので、北朝鮮が核を放棄するわけがないし、 みんな核を保有したがるんだよなあ。
》 Questions about Renewing before TLS-ALPN-01 Revocations (Let's Encrypt) の件、 対象となるドメイン一覧 が公開されてますね (記載されている情報はドメインだけじゃないけど)。ac.jp だけ抜き出してみた。
status.dsty.ac.jp
inohira.mns.kyutech.ac.jp
evo.alife.cs.i.nagoya-u.ac.jp
nm2020.nbu.ac.jp
africa.denki.numazu-ct.ac.jp
spqr.denki.numazu-ct.ac.jp
sqlite.int.net.ist.osaka-u.ac.jp
trav.int.net.ist.osaka-u.ac.jp
jadh2020.lang.osaka-u.ac.jp
m1.lang.osaka-u.ac.jp
natsume.lang.osaka-u.ac.jp
nlp.lang.osaka-u.ac.jp
shiryo.econ.shiga-u.ac.jp
ozakilab.jo.sus.ac.jp
darwin.lila.cs.tsukuba.ac.jp
www.sustainability.k.u-tokyo.ac.jp
https://ssl.lavoscore.org/api/sslcert-expires/?q= のうしろにドメイン名をつけると、更新状況を確認できる模様。
コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)
関連:
事件番号: 令和2(あ)457 事件名: 不正指令電磁的記録保管被告事件 最高裁判決 (裁判所, 2022.01.20)
不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える (高木浩光@自宅の日記, 2022.01.19)、 追記(21日)最高裁判決は検察控訴棄却(一審の無罪が確定へ) (高木浩光@自宅の日記, 2022.01.21)
コインハイブ事件最高裁判決 (壇弁護士の事務室, 2022.01.24)
というわけで、コンピュータウイルスの罪は、起訴されて有罪かどうかがわかる
10万円ガチャ罪
になったのであるが、有罪かどうか予想困難なのは検察も一緒なので、今後、ウイルス罪が謙抑的に運用されるようになったらがんばって弁護した甲斐があったというものである。
》 Microsoft、「Windows 11」次期アップデートでAndroidアプリ利用可能に (ITmedia, 1/27)。22H1 で、ということかな。
》 信頼の置けない引っ越し業者を追跡するためにAirTagを家財に忍ばせるという行為が話題に (gigazine, 1/27)
》 北朝鮮のインターネットがDDoS攻撃でダウン (gigazine, 1/27)
》 Amazonがブラックな労働環境を隠すために実行した「Twitterでのステマ作戦」が打ち切りに (gigazine, 1/27)
》 Questions about Renewing before TLS-ALPN-01 Revocations (Let's Encrypt, 1/25)。 Let's Encrypt で発行された証明書のうち、 TLS-ALPN-01 チャレンジ を用いて検証されたものが 2022.01.28 に失効されるそうです。
Certbot は TLS-ALPN-01 チャレンジに対応していないので、 Certbot 利用者は本件に影響されないそうです。 TLS-ALPN-01 チャレンジに対応しているのは、 Caddy、Traefik、apache mod_md、go autocert package、 bitnami/bn-cert だそうです。
本件に該当する方は、手動で証明書を更新してください。
》 初確認! 中国の最新鋭電子戦機「殲-16D」台湾設定のADIZに進入 1日に2機 (乗りものニュース, 1/26)
2人乗りの戦闘爆撃機「殲-16」をベースに、各種ジャミングアンテナや電子戦ポッドなどを装備したもので、レーダーや通信システムなどをかく乱・無力化することを主任務としています。加えて、搭載するミサイルを発射し、レーダーサイトや通信施設などを破壊することも可能とのこと。
トンガ噴火の救援を妨げた「通信喪失」、海底ケーブル網の災害リスクとは (デール・ドミニーハウーズ / ニューズウィーク日本版, 1/26)。 トンガへのケーブルはフィジー経由の 1 本しかないみたい。
台湾南方沖地震による被災海底ケーブルの復旧について (KDDI, 2007.02.13)。2006.12.26 発生の台湾南方沖地震でケーブルが切れた時の話。
当社国際通信サービスにつきましては、関係各国の通信事業者と密接に連携しながら、衛星や他の光海底ケーブルを利用した緊急迂回措置を実施いたしました。
ふつうは緊急迂回措置で対応しつつケーブルの復旧作業を行うのだが、 トンガの場合は緊急迂回措置をする先がない模様。
海底ケーブルが断線したトンガへの衛星通信提供、570万ドルをめぐる紛争で提供不可能に (データセンターカフェ / クラウド Watch, 1/20)
2019年に12日間の海底ケーブルの停止を受け、トンガ政府は衛星ブロードバンドプロバイダーのKacificと、離島接続とファイバーバックアップのための15年契約を締結しました。この契約では、Kacificの「Kacific1」衛星が89の離島のコミュニティを接続するために使われることになっていました。
しかしZDNetとStuff.nzは、この契約はまだシンガポールでの仲裁に留まっており、一度も有効化されていないと報じています。その結果、噴火による被災にもかかわらず、同国へのサービスは提供されていません。
あらまあ、なんということでしょう。
トンガ政府、「未曽有の災害」と声明 海底ケーブル復旧には4週間も (BBC, 1/19)
》 NVIDIA、Arm買収を断念か──Bloomberg報道 (ITmedia, 1/26)。さしもの NVIDIA も FTC には勝てず。関連:
アーム買収計画を米FTCが懸念、米エヌビディアが明かす (ブルームバーグ, 2021.11.18)
NVIDIAのソフトバンクGからのArm買収は競争を阻害すると米FTCが提訴 (ITmedia, 2021.12.03)、 米FTCがNVIDIAによるArm買収を競争阻害で提訴 (techcrunch, 2021.12.03)
》 Google、脱Cookie技術「FLoC」開発を停止し、新たな「Topics」を発表 (ITmedia, 1/26)
》 行政向けネットワーク「LGWAN」で全国的な通信障害 自治体メール、証明書コンビニ交付サービスなどに影響 (ITmedia, 1/26)
》 クレカ基盤への不正アクセス問題 自治体EC・映画予約サイトなど、安全のため決済機能停止 (ITmedia, 1/26)
滋賀県が展開する飲食店応援施策「湖国のお店応援!ここクーポン」ではメタップスペイメントのクレジットカード決済サービスを導入していたが、同社から情報セキュリティ上の懸念があると報告を受け、25日午前9時にクレジットカード決済を停止した。シネマシティ(東京都立川市)が運営する映画予約サイト「CINEMA CITY」でも同様に、25日午前10時にクレジットカード決済を停止。再開時期は未定としている。
実は地元ニュースだったのか。関連:
不正アクセスに関するご報告とお詫び (メタップスペイメント, 1/25)
》 Windows 10/11にCパッチ ~一部の画像編集ソフト・特定のHDRディスプレイで正しく色が表示されない問題に対処 (窓の杜, 1/26)
》 2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか (徳丸浩の日記, 1/26)
引き続きCSRFの対策は必要であり、以下を推奨いたします。
- アプリケーションフレームワークの提供するCSRF防御機能を使う
- セッションIDのCookieにはsamesite=laxを明示する
- 更新処理ではGETメソッドを受け付けないことを確認する
》 米国から帰国。国内の待機施設での3日間「待機」レポート (笠原一輝 / PC Watch, 1/25)
》 Microsoft台湾の美少女キャラ「藍澤光」が引退表明、ねぎらいのコメントが多数寄せられる (やじうま Watch, 1/26)。おつかれさまでした。そして、ありがとう。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)
2021 年末に新たな欠陥 CVE-2021-44832 が発見されてました。攻撃者が設定をいじれる場合、JDBC Appender を介して RCE 発生。 Log4j 2.17.1 / 2.12.4 / 2.3.2 で対応された。 これにあわせて本文も修正。
また Log4j 1.x については、現在 6 件の CVE が未修正として記載されている。内 3 件 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307 は 2022.01.18 に追加された模様。 iida さん情報ありがとうございます。
あとこんなの:
「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中 (gigazine, 2022.01.26)
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る (publickey, 2022.01.26)
Improper Input Validation Vulnerability in Serv-U (CVE-2021-35247) (SolarWinds, 2022.01.18)。Serv-U 15.3 で対応。
「Log4j」の脆弱性を調査中にSolarWindsの脆弱性発見、修正済み--マイクロソフト報告 (ZDNet, 2022.01.24)
90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた (gigazine, 2022.01.24)
Backdoor Found in Themes and Plugins from AccessPress Themes (Jetpack, 2022.01.18)。 CVE-2021-24867
「Docker Desktop」にシステム上の任意ファイルを移動できてしまう脆弱性 v4.4.4で修正 (窓の杜, 2022.01.25)
Docker for Windows release notes (docker, 2022.01.24)
「McAfee Agent for Windows」に複数の脆弱性、任意コード実行のおそれ (窓の杜, 2022.01.25)
McAfee Agent 5.7.x Known Issues (McAfee, 2022.01.20 更新)。 McAfee Agent 5.7.0〜5.7.4 に、 local user が cleanup.exe に任意のシェルコードを挿入できる欠陥 CVE-2021-31854 と、 権限上昇を許す欠陥 CVE-2022-0166 があり、McAfee Agent 5.7.5 で修正。
McAfee Agent 5.7.5 Release Notes (McAfee, 2022.01.18 更新)
SonicWall SMA 100 シリーズに、無認証で stack buffer overflow を招くなどの 8 件のセキュリティ欠陥があると 2021.12.01 に公表された。修正版ファームウェアが用意されている。 CVE-2021-20038 CVE-2021-20039 CVE-2021-20040 CVE-2021-20041 CVE-2021-20042 CVE-2021-20043 CVE-2021-20044 CVE-2021-20045
これらについて、既に PoC が公開されているものが存在する他、 CVE-2021-20038 を攻略するための通信も観測されているそうで。 Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021) (SonicWall, 2021.12.09 更新) には「IMPORTANT: There is no evidence that these vulnerabilities are being exploited in the wild.」とあるが、もはや正しくない模様。
関連:
SonicWall SMA100シリーズ製品における複数の脆弱性のご案内 (キヤノン, 2021.12.17)
CVE-2021-20038..42: SonicWall SMA 100 Multiple Vulnerabilities (FIXED) (Rapid7, 2022.01.11)。 CVE-2021-20038 CVE-2021-20039 CVE-2021-20040 CVE-2021-20041 CVE-2021-20042 は Rapid7 から報告されたものだそうで。
CVE-2021-20038 exploitation impact
This stack-based buffer overflow has a suggested CVSS score of 9.8 out of 10 — by exploiting this issue, an attack can get complete control of the device or virtual machine that's running the SMA 100 series appliance. This can allow attackers to install malware to intercept authentication material from authorized users, or reach back into the networks protected by these devices for further attack. Edge-based network control devices are especially attractive targets for attackers, so we expect continued interest in these kinds of devices by researchers and criminal attackers alike.
SonicWall SMA 100: CVE-2021-20039: Authenticated Command Injection Vulnerability as Root (Rapid7 Vulnerability & Exploit Database)
コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)
関連:
逆転無罪“Coinhive事件” 担当弁護士が振り返るイベントを無料配信 (ITmedia, 2022.01.25)
いわゆる“Coinhive事件”の訴訟を振り返り、判決の影響について解説するイベントを、日本ハッカー協会が1月31日に報道関係者向けに開催する。YouTube liveでの配信も予定しており、compassで申し込めば無料で視聴できる。
》 Dockerフォレンジック - 実行中のコンテナに加えられた変更を特定する (qiita, 1/24)
》 「オミクロン株は潜伏期間2日」最速で第6波経験 沖縄の専門家が新たな事実 (TV 朝日, 1/21)。沖縄の現場での数字、ということかな。関連:
SARS-CoV-2の変異株B.1.1.529系統(オミクロン株)の潜伏期間の推定:暫定報告 (国立感染症研究所, 1/13)。国内実地疫学調査 + HER-SYS データ。2.9日。
新型コロナウイルス「オミクロン株」の特徴について【感染力・症状・重症化】 (ひまわり医院, 1/22)
アメリカの報告例によると潜伏期間の中央値は3日としています。通常の新型コロナが5日ほどと考えられているので、2日ほど早いということになります。
2〜3日、と理解すればいいのかな。
》 ヤマトはなぜA321P2Fを選んだのか 特集・LCCで飛ばすヤマトとJAL貨物機事業 (Aviation Wire / Yahoo, 1/22)。 持続的な物流ネットワークの構築に向けて フレイターの運航を2024年4月から開始 ― 羽田・成田空港と新千歳・北九州・那覇空港間に就航 ― (ヤマトホールディングス, 1/21) の件。3 機導入だそうで。
A321P2Fは中古のA321ceo(従来型A321)旅客機を貨物専用機に改修するもので、10トン車約5-6台分に相当する1機当たり28トンの貨物を搭載できる。改修する機体は、ジェットスター・グループ以外が運航していたものを調達する。
グループ外から調達して改修するのですね。
ヤマトが今回A321P2Fを導入する理由の一つが、慢性的な物流業界のドライバー不足に加え、2024年4月1日から自動車運転業務の年間残業時間の上限が960時間になることにより、輸送力の確保が求められていることだ。
輸送力増強が求められた結果、まずは小型機 3 機ではじめると。
A321P2Fは10トン車約5-6台分に相当する1機当たり28トンの貨物を搭載可能。(中略) 客室だったメインデッキには、AAYコンテナを14台、旅客機でも貨物室として使用していた床下のロワーデッキには、AKH(LD3-45W)コンテナを10台搭載できる。
(中略)
同じ小型機で比較した場合、737-800BCFは床下の貨物室にコンテナを搭載できず、「バルク」と呼ばれるばら積みになる。貨物搭載量も22.7トンと、A321P2Fと比較すると機体が小さい分積める量も少ない。
ボーイング勢だと 737-800BCF の上は 767-300BCF で、これはもう中型機なので×、ということみたい。
》 強欲の代償 ボーイング危機を追う (朝日)。第3回、第4回が公開されてます。
第3回 「ボーイングのおごりが殺した」事故機のリスク、操縦士も知らされず (朝日, 1/22)。737NG と 737MAX の間にある大きな違いをパイロットは知らされず。
737MAXが十分安全なのか米連邦航空局(FAA)が審査する手続きで、ボーイングはそのシステムの存在をFAAに過小評価させることに徹底的にこだわった。コストのかさむパイロットの訓練を義務づけられたくなかったからだ。(中略)
ボーイングの「努力」は実を結んだ。FAAは結局、専用シミュレーターによる追加訓練を義務づけなかった。もともと737シリーズを操縦していた航空会社のパイロットたちは、iPad上で56分間の講習を受けただけで、問題のシステムの存在すら知らされないまま737MAXのコックピットに乗り込んでいった。そして二つの事故が起き、合わせて346人が死んだ。
第4回 巨額の自社株買いの末に 「金融マシン化」したボーイングの自滅 (朝日, 1/23)。ゼニクレージー。
リーマン・ショックから途絶えていた自社株買いをボーイングが再開したのは、737MAXの受注が1000機を超した翌年の13年。それから737MAXの2度目の事故が起きる直前まで、その間のもうけの総計を大きく上回る600億ドル(約6・9兆円)超を株主に還元していた。そのうち7割の430億ドル超が自社株買いだった。
18年末には、1機目の737MAXが墜落した後だったにもかかわらず、2割増配と追加の自社株買い200億ドル(約2・3兆円)も決めた。いかに事故を過小評価していたかがわかる。
》 春日井リハビリテーション病院、ランサムウェア攻撃で被害発生か
不正アクセス(疑い)によるシステム障害発生のお知らせ (春日井リハビリテーション病院, 1/19)
愛知のリハビリ病院に不正アクセスか 診療の一部に影響 (毎日, 1/20)
数万人分の電子カルテ閲覧不能、愛知の病院ウイルス感染か…金銭要求の外国語文書届く (読売, 1/20)
ツイート
今後の要療養者数と要観察濃厚接触者数の予測。
— Sukuna (@SukunaBikona7) January 21, 2022
1/25時点で要療養者数51.8万人、要観察濃厚接触者数195.9万人〜293.8万人という予測。
これ、主要インフラにも相当影響出そうだな…。 pic.twitter.com/u1AHgOEmBU
こちらの資料ですね: https://www.mhlw.go.jp/content/10900000/000884972.pdf
新型コロナウイルスワクチンの特例承認について (厚生労働省, 1/21)。5〜11歳用ファイザーワクチン。
オミクロン株の特徴を踏まえた効果的な対策 (厚生労働省, 1/21)
効果的な対策とは、これまでのような“強い対策”の踏襲ではなく、オミクロン株の感染リスクに応じた対策である。この効果的な対策においては、かつて実施した一律かつ広範な“人流抑制”という方法もあるが、感染対策を社会経済活動との両立が求められる現時点では、感染リスクの高い場面・場所に焦点を絞った接触機会の確実な低減のための“人数制限”が適していると考えられる。なお、感染状況等の実情も踏まえて、各都道府県知事の判断により、“人流抑制”を加味することもあり得る。感染拡大・医療逼迫が悪化した場合には、さらに“強い対策”が必要になる可能性もある。
これまでも、手法としては「人流抑制」+ 「人数制限」だったと思うんですが、 なぜわざわざ「人流抑制」は今は不要みたいなメッセージが出てくるのか、 正直理解できない。 急増局面なのに。 人流抑制しないと人数制限もできないのでは? そこらじゅうにあふれるだけですよ?
小池都知事が不快感「整合性取って」 尾身氏の人数制限発言に (毎日, 1/21)
小池氏は尾身氏の発言の感想を問われ、基本的対処方針の中に、まん延防止措置適用時は不要不急の都道府県間の移動は「控えるよう促す」と明記されている点を強調。「(尾身氏の発言は)時短や外出の抑制を措置に盛り込む都県との齟齬(そご)ではなく、むしろ基本的対処方針との違い(がある)。尾身先生はそれを超えたことを今おっしゃっている」と述べ、国と尾身氏に対して「すみやかに調整してほしい」と要望した。
》 400人が体育館で密集作業 日本原燃社長「話しやすくした」 使用済み核燃料再処理工場の審査難航で (東京, 1/21)。だめだこりゃ。
》 Microsoft、マルウェアの温床となっていた古い「Excel」マクロ機能をデフォルト無効化 30年前からある「Excel 4.0」(XLM)マクロ (窓の杜, 1/21)
》 Microsoftのゲーム部門トップが「PlaystationでもCall of Dutyを出し続ける」と発言、Xbox独占疑惑を否定 (gigazine, 1/21)。とはいえ、Microsoft のさじ加減一つでいつでも止められる、という点は残るわけで。
》 「テレホーダイ」「マイライン」などサービス終了へ。2024年1月の固定電話のIP網移行で (Internet Watch, 1/20)
》 「クレベリン置き型」に関する仮の差止めの申立てにおける勝訴と本日の措置命令について (大幸薬品, 1/20)
》 強欲の代償 ボーイング危機を追う (朝日)。737MAX の件。 全 10 回。
ボーイング機はなぜ墜ちたか 妻子奪われた私 問い続けて見えた病理 (朝日, 1/20)。家族を事故で失ったポール・ジョロゲ氏。
企業の経営分析なら本職である。事故から1カ月ほどたち、ジョロゲは金融のプロフェッショナルとしての思考力を取り戻しつつあった。家族を失った悲しみを紛らわすように、ボーイングの経営や737MAXが就航したいきさつを調べ抜いた。
疑いは確信へと変わっていく。
ボーイングは、安全な飛行機をつくるための「エンジニアリング企業」から、株主のためにキャッシュを生み出す「金融マシン」へとその本質を転じていたのだ、と。
魔のショートカット 連続事故の737MAXはこうして生まれた (朝日, 1/21)。構造上無理がある機体の誕生について。
ボーイング社内では当時、まったく新型の小型機を白紙から開発するプロジェクトが検討されていた。しかし、それでは時間も費用もかかり、アメリカン航空からの小型機受注をエアバスに丸ごと奪われかねない。
ボーイング経営陣は考えを変えた。手元にある737NGに改良を施したうえで、A320neoと同じCFM製大型エンジンを据え付ければ、手っ取り早くエアバスに対抗できる――。
こうして生まれたのが737シリーズの4世代目、のちに「737MAX」と名付けられるモデルだった。このショートカットが、取り返しのつかない禍根を残す。
関連:
737MAX墜落事故の犠牲者家族に、ボーイング幹部が言い放った心ない言葉 (ピーター・ロビソン / ニューズウィーク日本版, 2021.12.01)。 ロビソン記者は Flying Blind: The 737 MAX Tragedy and the Fall of Boeing の著者。
インドネシア、737MAXの運航再開承認 墜落事故から3年 (ロイター, 2021.12.28)
ボーイング737MAX、中国で月内にも商業運航再開へ-関係者 (ブルームバーグ, 1/13)
連続事故のボーイング737MAX、世界の主要市場に3年ぶり復帰へ (朝日 / Yahoo, 1/20)
》 Microsoftのゲーム部門トップが「PlaystationでもCall of Dutyを出し続ける」と発言、Xbox独占疑惑を否定 (gigazine, 1/21)。当面は、ということだろうなあ。 関連:
ソニーG時価総額約2兆円喪失-マイクロソフトのゲーム会社買収 (ブルームバーグ, 1/19)
ソニーグループ(株) (Yahoo! ファイナンス)
》 中国が崩壊するとすれば「戦争」、だから台湾武力攻撃はしない (遠藤誉 / ニューズウィーク日本版, 1/20)。 中国共産党による一党支配体制が崩壊するとすれば「戦争」、なので、という話。 ただし、
昨年12月3日のコラム<習近平、「台湾統一」は2035年まで待つ>に書いたように、習近平は台湾の「武力統一」はしないつもりで、2035年まで待って台湾経済界を絡め取って「平和統一」に持って行くつもりだ。
2030年頃には、中国のGDPがアメリカを凌駕していて、2035年頃には少なくとも東アジア地域における米軍の軍事力は中国に勝てなくなっているだろう。だから2035年まで待つ。これが習近平の長期戦略だ。
「2035 年頃」になったら、また別の話。
》 外交官が次々に謎の脳損傷を負った「ハバナ症候群」の多くは他国の攻撃ではないとの調査結果、一方で未解明の報告も (gigazine, 1/21)。 Most ‘Havana Syndrome’ Cases Unlikely Caused by Foreign Power, C.I.A. Says (NYTimes, 1/20) の件。
出ています。 Java SE 17.0.2 / 11.0.14 / 8u321、VirtualBox 6.1.32 など。
Changelog for VirtualBox 6.1 - VirtualBox 6.1.32 (released January 18 2022) (virtualbox.org)
JDK 17.0.2 General-Availability Release (jdk.java.net)
Consolidated JDK 11 Release Notes (oracle.com)
Java 8 Release Highlights (java.com)。Java 8 Update 321 (8u321)。
[11u communication] OpenJDK Update 11.0.14 released (openjdk.java.net, 2022.01.18)
Amazon Corretto。 8u322b06 や 11.0.14+9 が用意されている。
Liberica JDK。 8u322b06 や 11.0.14+9 が用意されている。
Changes in MySQL 8.0.28 (2022-01-18, General Availability) (MySQL, 2022.01.18)
Changes in MySQL 5.7.37 (2022-01-18, General Availability) (MySQL, 2022.01.18)
コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)
関連:
【速報】コインハイブ事件の最高裁判決で無罪判決が出される (なか2656のblog, 2022.01.20)
逆転無罪の「Coinhive事件」を総括する日本ハッカー協会のイベント、1月31日に開催決定 (やじうま Watch, 2022.01.21)。「当日はYouTube Liveでの中継も予定されており、タイムシフトも可能」
》 ロシアの兵力集結ほぼ完了、侵攻いつでも可能 ウクライナ分析 (CNN, 1/20)。いよいよなのか?! 関連:
Russia’s Possible Invasion of Ukraine (CSIS, 1/13)、 ロシアのウクライナ侵攻6つのシナリオ (ニューズウィーク日本版, 1/19)
イギリス、ウクライナに自衛兵器を供給 国境でのロシア軍増強受け (BBC, 1/18)、 Statement by the Defence Secretary in the House of Commons, 17 January 2022 (GOV.UK, 1/17)
We have taken the decision to supply Ukraine with light, anti-armour, defensive weapon systems. A small number of UK personnel will also provide early-stage training for a short period of time, within the framework of Operation ORBITAL, before then returning to the United Kingdom.
関連: What we know about the “light anti-tank weapons” UK started supplying to Ukraine (euromaidan press, 1/19)。C-17 で運んでいたのはこれみたい。 このツイート によれば、既に 2000 基だそうで。 しかし、しょせんは携行対戦車兵器なのでねえ。 たとえば、 HIMARS みたいなものがほしいところでしょうねえ。
[深層NEWS]ウクライナ情勢「露が本格的な戦争準備しているのは間違いない」 (読売, 1/19)
バイデン氏、プーチン氏は「ウクライナ侵攻するだろう」 西側試せば「高い代償」 (BBC, 1/20)
バイデン氏の発言を受けて、一部の記者から、アメリカがロシアによるウクライナへの小規模な侵攻を認めるつもりなのかとの質問が出た。ホワイトハウスはアメリカの立場を明確にするため、同日夜に声明を発表した。
ホワイトハウスのジェン・サキ大統領報道官は声明の中で、「ロシア軍がウクライナの国境を越えて移動した場合、それは新たな侵攻といえる。そうなればアメリカと同盟国は一致団結し、迅速かつ厳格な対応を取ることになる」と述べた。
米、バルト三国にウクライナへのミサイル移動を承認 (ロイター, 1/20)
関係筋によると、今回の承認により、エストニアは対戦車ミサイル「ジャベリン」を、リトアニアは「スティンガー」ミサイルをウクライナに移すことが可能になる。
》 大幸薬品株式会社に対する景品表示法に基づく措置命令について (消費者庁, 1/20)。 クレベリン スティック ペンタイプ、 クレベリン スティック フックタイプ、 クレベリン スプレー、 クレベリン ミニスプレー、 が景品表示法違反(優良誤認)。
》 アップル、iOS 14セキュリティアップデートの打ち切りを認める。iOS 15への移行を加速か (engadget, 1/20)、 Apple「iOS14のセキュリティアップデートは特例だった」 (iPhone Mania, 1/20)。Apple はそういう会社ですから。
》 colors.jsとfaker.jsの作者が自らのライブラリを破損、背後にはオープンソースを悪用する企業への不満? (OSDN, 1/11)
》 私物ハードディスク売却後に起きた社内情報の流出についてまとめてみた (piyolog, 1/17)。 「メルカリで購入した外付けのハードディスクにラックの社内文書が含まれていた」。ほぇ〜。
》 氏名と生年月日でパスワードを割り出していたSNSの不正アクセス事案についてまとめてみた (piyolog, 1/10)。「アイの歌声を聴かせて」 でもそういう人大杉 (といっても 2 名なのだが)。
》 標的型ランサム観察記 2021年振り返り版 全体編 ((n)inja csirt, 1/12)
前述したように条件が揃うことで、これまでと比較すると薄利多売のモデルになっていくことが考えられます。
これはあまり歓迎できるものではありませんが現実としてそこにあります。
》 約5000の学校へ影響したランサムウェア事案へのFinalsite社による対応メモ ((n)inja csirt, 1/18)
》 Most ‘Havana Syndrome’ Cases Unlikely Caused by Foreign Power, C.I.A. Says (NYTimes, 1/20)。大半については、外国勢力によるものではないと結論できる模様。 今だ原因不明の 20 件についてひきつづき調査中だそうで。
US Army Confirms IVAS to Deploy in 2022 (XR TODAY, 2021.12.24)
米陸軍、HoloLens 2活用のシステムを車両部隊でもテスト (MoguraVR, 1/19)
The US Army postpones HoloLens 2's IVAS test and plans to equip its troops with equipment in September 2022 (inf.news, 1/20)
本当に、本当に、おつかれさまでした。
警察・検察が間抜けだと、一市民がかように苦労するという話でもあります。
関連:
【速報】コインハイブ事件の最高裁判決で無罪判決が出される (なか2656のblog, 2022.01.20)
逆転無罪の「Coinhive事件」を総括する日本ハッカー協会のイベント、1月31日に開催決定 (やじうま Watch, 2022.01.21)。「当日はYouTube Liveでの中継も予定されており、タイムシフトも可能」
関連:
逆転無罪“Coinhive事件” 担当弁護士が振り返るイベントを無料配信 (ITmedia, 2022.01.25)
いわゆる“Coinhive事件”の訴訟を振り返り、判決の影響について解説するイベントを、日本ハッカー協会が1月31日に報道関係者向けに開催する。YouTube liveでの配信も予定しており、compassで申し込めば無料で視聴できる。
関連:
事件番号: 令和2(あ)457 事件名: 不正指令電磁的記録保管被告事件 最高裁判決 (裁判所, 2022.01.20)
不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える (高木浩光@自宅の日記, 2022.01.19)、 追記(21日)最高裁判決は検察控訴棄却(一審の無罪が確定へ) (高木浩光@自宅の日記, 2022.01.21)
コインハイブ事件最高裁判決 (壇弁護士の事務室, 2022.01.24)
というわけで、コンピュータウイルスの罪は、起訴されて有罪かどうかがわかる
10万円ガチャ罪
になったのであるが、有罪かどうか予想困難なのは検察も一緒なので、今後、ウイルス罪が謙抑的に運用されるようになったらがんばって弁護した甲斐があったというものである。
関連:
Coinhive事件最高裁「無罪」判決を受けて #jha (togetter, 2022.01.31)
関連:
第二のコインハイブ事件生み出さないためには 弁護人らが最高裁無罪判決振り返る (弁護士ドットコムニュース, 2022.02.01)
Coinhive裁判4年間の舞台裏 担当弁護士が見た、始まりから逆転無罪前夜まで (ITmedia, 2022.02.02)
最高裁で逆転無罪の確率は0.02%──針の穴を通したCoinhive裁判 覆った“従来の法解釈” (ITmedia, 2022.02.02)
「モロさんはスパルタクスだった」──Coinhive裁判がもたらした“抑止力” (ITmedia, 2022.02.02)
Coinhive事件は無罪確定も 依然残る「不正性」の曖昧さ (日経 xTECH, 2022.02.03)
Chrome 97.0.4692.99 / 96.0.4664.110 公開。26 件のセキュリティ修正を含む。 Google Project Zero は external researcher 扱いなのかな。
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001 (Drupal, 2022.01.19)。Drupal 9.3.3 / 9.2.11 / 7.86 で修正。
Drupal core - Moderately critical - Cross site scripting - SA-CORE-2022-002 (Drupal, 2022.01.19)。Drupal 7 系列にのみ影響、7.86 で修正。
レーザープリンター及びスモールオフィス向け複合機のクロスサイトスクリプティングに関する脆弱性対応について (キヤノン, 2021.12.21)。「Remote UI機能にクロスサイトスクリプティングの脆弱性」「本脆弱性を利用した攻撃を実行するには、製品の管理者権限での操作が必要」。 更新版ファームウェアが用意されている。
対策が必要なレーザプリンター及び、スモールオフィス向け複合機
LBP162L/LBP162
MF4890dw
MF269dw/MF265dw/MF264dw/MF262dw
MF249dw/MF245dw/MF244dw/MF242dw/MF232w
MF229dw/MF224dw/MF222dw
関連: JVN#64806328 - キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性 (JVN, 2022.01.19)
アラート/アドバイザリ:Deep Security および Cloud One Workload Security の Linux版Agentにおける ディレクトリトラバーサルおよびコードインジェクションの脆弱性について (トレンドマイクロ, 2022.01.19)。 更新版が用意されている。 Windows 版 Agent にはこの欠陥はない。
アラート/アドバイザリ:トレンドマイクロのエンドポイント向け製品の脆弱性について(2022年1月) (トレンドマイクロ, 2022.01.13)。5 件の欠陥。 Apex One SaaS / ウイルスバスタービジネスセキュリティサービス 6.7 は修正済み、 Apex One 2019 と ウイルスバスタービジネスセキュリティ 10.0 は patch あり、 ウイルスバスターCorp XG SP1 はまだ。
》 「かえでの種」がモチーフの空飛ぶロボット ひらひら落下し目的地まで飛行 (ITmedia, 1/19)
軍事目的や災害救助活動などの多くの分野では、大量の軽量センサーやペイロードを劣悪な環境下でも目的の場所にできるだけ早く展開することが不可欠だ。これまではドローンやパラシュートなどを活用してきたが、ドローンは高いコストや制御の難しさ、パラシュートはパッケージングが困難と、それぞれ課題が残っている。
これら課題に挑戦するため、かえでの種子の落下をヒントにした新しい落下飛行のロボットを提案する。かえでの種子は、急降下後に減速するまでのスピードが速いことが知られており、研究チームはこの特性が落下制御に有効に働くのではと着目した。
知性化地雷をばら撒く場面を想像してしまった。
》 「どのビルが危険かわからない」“見過ごされた”耐震化 (NHK, 1/14)
》 太陽光パネル“大廃棄時代”がやってくる (NHK, 1/14)
「10年くらい前のパネルは発電効率が悪いんです。
日本は発電設備を置ける場所が限られているので、発電効率を上げようとすると、新しいパネルに換えたほうがいいということになるんですよね。
今後、パネルの大量の入れ替えがどんどん出てくるのではないでしょうか」
》 「太陽光パネルの火災は水で消せない」は誤り SNSで拡散 (毎日, 1/19)
消防庁は14年3月、「太陽光発電システム火災と消防活動における安全対策」という報告書をまとめている。それによると、消火時の感電防止対策として、高い絶縁性能のある手袋及び靴を着用する▽放水は噴霧注水を用い、棒状注水は極力避ける▽棒状注水を行う場合は太陽光発電システムから少なくとも6メートル以上(可能ならば10メートル以上)の距離をあける――などの注意事項を挙げている。一方で、放水での消火自体を禁止する記載はない。
》 パイロット間で話題沸騰中の神ワザ激揺れ着陸シーン (タワーマン / Yahoo, 2021.11.07)。オォゥ、これはすごい。
》 飛行機と 5G (Cバンド)。 結局、米 AT&T とベライゾンは空港周辺での 5G サービス開始を延期。
Cバンド (ウィキペディア)。6GHz帯 (4〜8GHz)。隣は X バンド (8〜12GHz) と S バンド (2〜4GHz)。
5G電波の脅威!飛行機の機能障害、着陸制限を正式発表 (タワーマン / Yahoo, 2021.12.11)
ボーイングとエアバス、5Gの安全性に懸念 航空機器に悪影響か (BBC, 2021.12.22)
ボーイングとエアバス、米政府に5G拡大の延期要請 (日経, 2021.12.23)
米FAA、5Gゾーン内の飛行を一部認める-サービス開始に先立ち (ブルームバーグ / Yahoo, 1/17)
米航空業界、5Gめぐりバイデン政権に「即時介入」要請 (CNN, 1/18)
【社説】米5G導入めぐる混乱のてん末 自分のミスを押しつける連邦航空局 (Wall Street Journal, 1/19)
JAL、ANA は 777 を欠航に。電波高度計の動作不良懸念?
米国の5Gが機体に影響? ANAが計20便を欠航 (朝日, 1/18)
ANAとJAL、米国5Gサービスの影響により19日以降の米国便が一部欠航へ (ケータイ Watch, 1/18)
ANAやJALなど、米国便の一部欠航 5G電波の影響懸念で (ロイター, 1/19)
米連邦航空局(FAA)は新たな5Gサービスの通信電波が原因で、一部の航空機の電波高度計に支障が出る恐れがあると警告していた。航空各社によると、米ボーイングの777型機などが最も影響を受けやすい。
5G拡大で米国便欠航 ボーイング777、世界的影響 (東京, 1/19)
米国の空港周辺で携帯電話の5G移動通信システムのサービスが始まるのに伴い、米航空機大手ボーイングから777型機の電波高度計に支障が出る恐れがあると通知を受けた。
米航空会社、Cバンド5Gが「壊滅的な混乱」を引き起こす可能性を警告 (techcrunch, 1/19)
AT&T とベライゾン、空港周辺での 5G サービス開始を延期
米当局と通信大手、空港周辺5G基地局稼働延期で合意-空の混乱回避 (ブルーブバーグ / Yahoo, 1/19)
米通信大手2社、一部空港付近で5G開始を延期 航空機への影響懸念 (朝日, 1/19)
米5G新サービス、空港周辺の導入延期 「壊滅的影響」JAL・ANAも欠航 (毎日, 1/19)
日本では?
全日空と日航が5Gで米国路線欠航。日本の5Gは大丈夫? (石川温 / Yahoo, 1/19)
日本もアメリカも3.7GHz帯は同じであり、世界の多くの国で3.7GHz帯が使われています。日本では3.7GHz帯を局所的に飛ばしているの対して、アメリカでは広いエリアをカバーしようと電波の出力を上げているため、飛行機が低い高度を飛ぶと影響を及ぼす可能性が出てきました。
みずほe-ビジネスサイトでログイン障害 (1/11)
みずほ銀行でログインしにくい障害 法人向けネットバンキングで (ITmedia, 1/11)
みずほ銀行 法人向けサイトの不具合解消も原因不明 (TV 朝日, 1/11)
業務改善計画を金融庁に提出 (1/17)
業務改善計画の提出について (みずほ銀行, 1/17)
「企業風土を変革」「安定稼働に必要な人材の配置」 みずほ、業務改善計画を公開 (ITmedia, 1/17)
首脳人事発表 (1/17)
みずほFG 業務改善計画提出 新社長にみずほ銀行の木原常務起用 (NHK, 1/17)
みずほ、またも興銀出身社長 抜本的な変革みえず (SankeiBiz, 1/17)
みずほ木原氏「人の意見聞き、大胆に変える」 記者会見の主なやり取り (日経, 1/17)
みずほ、システム人員2割増強 木原氏「不退転の決意」 (日経, 1/17)
みずほで強まるIBM色、立て直しへ試される 新グループ執行役員・下野氏の手腕 (日経 xTECH, 1/18)
障害相次ぐみずほの会見で透けた“社外取締役の限界” (毎日, 1/19)
関連
「『合コンなのにお金が下ろせない』と女性に胸ぐらをつかまれた行員も」みずほ銀行の現行員、元行員が激白 システム障害を繰り返す行内の実態 (ABEMA TIMES / Yahoo, 1/17)
みずほ銀行 2021年システム障害の教訓 (日経 xTECH, 1/19)
》 Trellix。 McAfee Enterprise + FireEye の新しい社名だそうで。関連:
Revealed: McAfee Enterprise, FireEye merger named Trellix (Gulf Business, 1/19)
STG。 McAfee Enterprise と FireEye を買ったプライベート・エクイティ・ファンド。 RSA も買ってる。
》 「にゃんこ大戦争」ゲームデータ改ざん、「最強にしたかった」 容疑5人書類送検 (京都新聞, 1/19)、 「にゃんこ大戦争」不正データ作成/販売で19名送致 (やじうま Watch, 1/19)
》 個人情報保護委員会が個人情報を漏えい パブリックコメント参加者の氏名や所属先を誤掲載 (ITmedia, 1/18)
》 「Firefox 96.0.1」がリリース ~先日発生したHTTP3接続の不具合に対策 (窓の杜, 1/17)
》 18~100WまでのUSB PD充電器を徹底検証!出力が違うとノートPCの挙動はどう変わる?11機種を総当たりチェック (PC Watch, 1/19)
》 十数年見つからなかった謎の日本人「サトシ」って何者? NHKで特集番組の放送が決定 (やじうま Watch, 1/19)。Bitcoin 開発者サトシ・ナカモトの話ではないので注意。
[gnutls-help] gnutls 3.7.3 (GNU, 2022.01.18)。 gnutls_x509_trust_list_verify_crt2() が thread safe ではなかった件 GNUTLS-SA-2022-01-17 を修正。
iida さん情報ありがとうございます。
》 JPCERT/CCが「侵入型ランサムウェア攻撃を受けたら読むFAQ」公開、相談窓口や初動対応の「3つの方針」など示す (Internet Watch, 1/17)
》 永田町で話題の菅義偉氏の内幕暴露本に見る「政治報道の落とし穴」 (論座, 1/10)。 孤独の宰相 菅義偉とは何者だったのか (文藝春秋) の件。
問題は、オフレコを前提で聞いた話を暴露したり、官房長官の記者会見では質問を控えてその後の単独取材で本音を聞き出したりといった手法の是非である。
》 米空母打撃群と両用即応群が南シナ海での訓練完了 (航空新聞社, 1/18)、 Carl Vinson Carrier Strike Group and Essex Amphibious Ready Group Wrap Up Joint Operations in the South China Sea (US NAVY, 1/16)
2022 年 1 月のセキュリティ更新プログラム (月例) (2022.01.14)
VPN 問題等の修正 patch 出たようです:
Microsoft、KB5010793やKB5010795等を緊急リリース。VPNに繋がらない不具合やWindows Serverの不具合を修正 (ニッチなPCゲーマーの環境構築Z, 2022.01.18)
Microsoft、Windows向けパッチを緊急公開 ~2022年1月パッチに起因する問題を修正 (窓の杜, 2022.01.18)
手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。
大規模サイバー攻撃 (1/14)
ウクライナ 各省庁のウェブサイトがハッキングされ閲覧不能に (NHK, 1/14)
ウクライナ政府に破壊的なサイバー攻撃 Microsoftが報告 (ITmedia, 1/17)
ウクライナへのサイバー攻撃、ロシア関与判明でも驚かず-サリバン氏 (ブルームバーグ, 1/17)。サリバン米大統領補佐官(国家安全保障問題担当)の発言。
偽旗作戦?
偽旗作戦 (ウィキペディア)。柳条湖事件は満州事変の発端。
ロシア、ウクライナ侵攻へ「偽旗作戦」準備 米が主張 (AFP, 1/15)
ロシア、ウクライナ侵攻を正当化する「偽旗作戦」準備か 米諜報 (CNN, 1/15)
》 Apple、オランダで外部課金実装を容認。デートアプリが対象 (PC Watch, 1/17)
》 旧クライアント証明書中間認証局の失効について(2022年1月17日) (UPKI, 1/17)
本件は、2020年10月よりご案内しておりますクライアント証明書(個人認証用とS/MIME用双方を含みます)中間認証局切り替えに関する続報です。
旧クライアント証明書中間認証局の失効予定日が下記の通り定まりましたのでお知らせ申し上げます。
失効予定日:
2022年1月17日(月)
》 神奈川県、津波注意報に関する緊急速報メールを繰り返し誤配信
津波警報出てないのに20回緊急速報メール誤配信…神奈川知事、受験生に影響と謝罪 (読売, 1/16)
神奈川県、1晩で626件もの大量エリアメール 原因はプログラムのミス (ITmedia, 1/17)
神奈川県で「津波」関連の緊急速報メールが多数配信、設定にミス (ケータイ Watch, 1/16)
津波注意報に伴う緊急速報メールの配信について (神奈川県, 1/16)
》 気象庁、海底火山「フンガ・トンガ=フンガ・ハアパイ」噴火による津波の予報に失敗
フンガ・トンガ (ウィキペディア)
トンガで巨大な海底噴火 その瞬間の衛星映像 (BBC / Yahoo, 1/16)
トンガ噴火日本への影響 多少の潮位変化も被害心配ない 気象庁 (NHK, 1/15 19:11)
気象庁によりますと日本時間の15日午後1時10分ごろ、南太平洋のトンガ諸島で大規模な火山噴火が発生しました。
この噴火について気象庁は、日本への津波の影響を調べていましたが、午後7時すぎ「日本では多少の潮位の変化があるかもしれないものの被害の心配はない」と発表しました。
しかし実際には 1m を越える津波が襲来、襲来後にようやく注意報・警報を発令。
【詳報】前例ない大規模噴火の “津波” そのとき気象庁は… (NHK, 1/16)
しかし、その後、事態は一変します。シミュレーションで予想した到達時刻より早く、高い津波が各地で観測されはじめたのです。
小笠原諸島の父島では想定より2時間半余り早い午後7時58分に第一波が到達しました。
一方、気象庁内部ではあるデータに関心が集まっていました。日本で潮位の変化が観測され始めた午後8時ごろ、全国各地で大きな“気圧の変化”が起きていたのです。
さらに、地震による一般的な津波では日本に到達するまでの海外の観測地点で、順番に潮位の変化が観測されるはずですが、その変化はほとんど見られませんでした。
「気圧の変化が起きたということなら噴火の空振(空気の振動)で日本に波が来たということか?」
「前代未聞の事態だ」(気象庁幹部)
令和4 年1 月15 日13 時頃のトンガ諸島付近のフンガ・トンガ‐フンガ・ハアパイ火山の大規模噴火に伴う潮位変化について (気象庁, 1/16〜17)
令和4年1月15日13時頃のトンガ諸島付近のフンガ・トンガ-フンガ・ハアパイ火山の大規模噴火に伴う潮位変化について (気象庁, 1/16)。報道発表資料。
令和4年1月15日13時頃のトンガ諸島付近のフンガ・トンガ-フンガ・ハアパイ火山の大規模噴火に伴う潮位変化について(第2報) (気象庁, 1/16)。報道発表資料。
地震活動等総合監視システム EPOS (気象庁) が当日どのようなオペレーションを実施したのか、詳報がほしいなあ。 3.11 の時は大阪管区気象台がオペレーションを実施していたけど、今回は東京と大阪どっちなんだろう。奇数月だから今回も大阪?
3.11 については、 NHK 「かんさい熱視線」で「検証 津波警報システム」(2011.07.08) というすばらしい検証番組が放送された。あのレベルで検証報道やってほしい。
原因は空震?
火山噴火による空振で津波が発生か 気圧急上昇の観測と良好な対応 (ウェザーニュース, 1/16)
今回の津波には、海中を伝わる通常の津波にはみられない特徴がいくつかありました。
ひとつは到達の早さです。日本へは、通常の津波による到達予想時刻よりも3時間程度早く到達し始めていました。
また、海面の昇降の時間間隔も特徴的でした。通常、遠い外国からやってくる津波は、20分から1時間程度の周期でゆっくりと大きく昇降を繰り返します。今回の津波では数分から10分程度という短い周期で昇降を繰り返していて、遠地津波ではみられない特徴でした。
さらに、通常の津波が日本に向かう途中で通過する、ミクロネシアなどでの津波の観測値がかなり小さかったことも特徴でした。
トンガ大規模噴火 日本の津波注意報はすべて解除 (NHK, 1/16)
海底火山の噴火は続いています。津波再来の可能性もあろうかと。
トンガ沖で再び「大規模噴火」 豪観測機関 (AFP / 時事 / Yahoo, 1/17)
トンガで「再噴火」の情報、気象庁が潮位の変化を注視 (読売, 1/17)
関連:
トンガの首都「月面のよう」 被害の全容わからず 海底火山噴火 (毎日 / Yahoo, 1/16)
「1000年に1度」の大噴火か トンガで通信遮断、被害把握難航 (時事, 1/16)
トンガ、海底火山噴火で通信障害続く 津波被害まだ不明 (ロイター, 1/17)
トンガ大規模噴火、「最大8万人に影響」 NZと豪が被害調査 (BBC, 1/17)
トンガ噴火、NZとオーストラリアが哨戒機を派遣 通信難続く (朝日, 1/17)
SA はこちら。
FreeBSD-SA-22:01.vt - vt console buffer overflow (FreeBSD, 2022.01.11)。FreeBSD 12.2 / 13.0 に影響。12.3 では直っているっぽい。
あと Errata がいくつか。いずれも patch あり。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:01.fsck_ffs (FreeBSD, 2022.01.11)。対象は 13.0 のみ。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:02.xsave (FreeBSD, 2022.01.11)。hw.cpu_stdext_disable=0x1 で無効化することで回避できる。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:03.hyperv (FreeBSD, 2022.01.11)。Windows Server 2022 で特定部分の挙動が変わったため、という話。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:04.pcid (FreeBSD, 2022.01.11)。vm.pmap.pcid_enabled=0 で無効化することで回避できる。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:05.tail (FreeBSD, 2022.01.11)。13.0 の tail -F の挙動の話。
[FreeBSD-Announce] FreeBSD Errata Notice FreeBSD-EN-22:06.libalias (FreeBSD, 2022.01.11)。12.2 用の patch はない。12.3 に更新して patch する。
ラベルプリンタ「テプラ」にネットワーク関連の脆弱性。パッチを提供中 (PC Watch, 2022.01.14)
Safari の、というより、WebKit の欠陥。
報告された脆弱性は、Safari 15などで使われるWebKitに実装された「IndexedDB」APIが「Same-origin policy」に違反した状態になっているというもの。(中略) 影響を受けるのはmacOSのSafari 15、およびiOS 15/iPadOS 15で動作するすべてのWebブラウザ。前者はSafariのみだが、後者でSafari以外が含まれるのは、iOS/iPadOS上のすべてのWebブラウザにおいてWebKitエンジンを使用するよう、Appleが定めているため。
macOS では非標準の Web ブラウザを使うことで回避できるが、 iOS / ipadOS では回避不能と。
詳細:
Exploiting IndexedDB API information leaks in Safari 15 (Martin Bajanik / FingerprintJS, 2022.01.15)
The leak was reported to the WebKit Bug Tracker on November 28, 2021 as bug 233548.
ClamAV 0.103.5 and 0.104.2 security patch release; 0.102 past EOL (ClamAV, 2022.01.12)。セキュリティ修正を含むそうで。CVE-2022-20698
HomeKit の欠陥 CVE-2022-22588 を修正、だそうで。
関連: Apple、悪意のあるHomeKitデバイスを登録するとiPhoneの動作が不安定になり、デバイスを復元してもiCloud同期で再び問題が発生してしまうゼロデイ脆弱性を修正した「iOS/iPadOS 15.2.1」をリリース。 (AAPL Ch., 2022.01.13)
人生辛すぎる。
》 FirefoxでWebサイトに繋がらない障害。Mozillaが復旧方法を案内 (ニッチなPCゲーマーの環境構築Z, 1/13)。 Firefox を再起動すればよいそうです。
》 自衛隊幹部「性的画像」流出騒動 所属する駐屯地広報は「本人です」 (NEWS ポストセブン, 1/11)。本人認定されましたか。
事実関係は現在調査中ですが、あくまでもA個人所有のパソコンからのものなので、情報漏えい問題にはならないと考えている
倫理的な問題は残ると思うんですけど、そこはスルーなのかな。
「実は、最近買った中古パソコンにこれらの画像が保存されていたというのは、流出元をぼかすために書いたフェイクです。もともとはダークウェブ(ハッカーなどがハッキングして得た情報が出回るアンダーグラウンドなネットワーク)上に流れていた大量のデータの中から、要らないデータとして私たちのところに回り回ってきたものの中にこの画像や日記が入っていた。
それ、もっとヤバいパターンなのでは……。
はい、出てました。
Firefox 96 がリリースされた (mozillaZine, 2022.01.12)
Firefox for Android 96 がリリースされた (mozillaZine, 2022.01.12)
Thunderbird 91.5.0 がリリースされた (mozillaZine, 2022.01.12)
Adobe Acrobat/Reader / Illustrator / Bridge / InCopy / InDesign のセキュリティ更新が公開されたそうで。時間が取れたらちゃんと書きたい。
出ましたが、今回は不具合多めのようで。
Windows 10 / 11 で L2TP/IPsec VPN が死ぬ件:
KB5009543 / KB5009566適用後、VPNに接続できない不具合 [Update 1: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2022.01.14 更新)
New Windows KB5009543, KB5009566 updates break L2TP VPN connections (bleeping computer, 2022.01.12)
Windows 10, version 21H2 - Certain IPSEC connections might fail (Microsoft, 2022.01.13 更新)
After installing KB5009543, IP Security (IPSEC) connections which contain a Vendor ID might fail. VPN connections using Layer 2 Tunneling Protocol (L2TP) or IP security Internet Key Exchange (IPSEC IKE) might also be affected.
Workaround: To mitigate the issue for some VPNs, you can disable Vendor ID within the server-side settings. Note: Not all VPN servers have the option to disable Vendor ID from being used.
Next steps: We are presently investigating and will provide an update in an upcoming release.
Affected platforms:
Client: Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB
Server: Windows Server 2022; Windows Server, version 20H2; Windows Server 2019; Windows Server 2016
Microsoft Azureで稼働するLinux VMは50%を超え、Microsoft自身が業務にLinuxを利用する割合は3分の1を突破した と言っても、その実態はごらんのとおりということですか。
ドメインコントローラーが勝手に再起動したり Hyper-V が機動しなかったり ReFS に接続できなかったりする件:
Windows ServerでブートループやHyper-Vが起動しなくなるなどの不具合。2022年1月のWindowsUpdateが起因 [Update 1: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2022.01.14 更新)
New Windows Server updates cause DC boot loops, break Hyper-V (bleeping computer, 2022.01.12)
で、ええっと何でしたっけ?
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21919 (Windows)、CVE-2022-21874(Windows)、CVE-2022-21839(Windows)、CVE-2022-21836(Windows)、CVE-2021-36976(Librachive)、CVE-2021-22947(Curl) は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、これらの脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。
既知の欠陥だが攻略されたとは確認されていないと。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21907 (HTTP プロトコル スタックのリモートでコードが実行される脆弱性) およびCVE-2022-21849 (Windows IKE Extensionでコードが実行される脆弱性) は、CVSS スコア Base スコアが9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。
IKE Extension がらみは上記含めて 6 件 (CVE-2022-21843, CVE-2022-21883, CVE-2022-21848, CVE-2022-21849, CVE-2022-21889, CVE-2022-21890) あるそうで。 これが上記の VPN 話につながっていると推測されるが詳細不明。
関連:
VERT Threat Alert: January 2022 Patch Tuesday Analysis (tripwire, 2022.01.11)
VPN 問題等の修正 patch 出たようです:
Microsoft、KB5010793やKB5010795等を緊急リリース。VPNに繋がらない不具合やWindows Serverの不具合を修正 (ニッチなPCゲーマーの環境構築Z, 2022.01.18)
Microsoft、Windows向けパッチを緊急公開 ~2022年1月パッチに起因する問題を修正 (窓の杜, 2022.01.18)
手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。
Microsoft、「.NET Framework」の更新プログラムをWindows Server向けに緊急公開 2022年1月パッチで「Active Directory」フォレストの信頼情報の処理に問題 (窓の杜, 2022.02.08)
ReFS に接続できなかった件を含めた解説:
Windows 10の最新はReFS v3.4、Windows 11はReFS v3.7、そしてどちらもReFS v2、さて何のことでしょう? (@IT, 2022.02.24)
問題の影響を受けたのは、「USB外部ドライブを含むリムーバブルメディア」でReFSを使用していた場合のようです。そして、以下のドキュメントに記載されているように、ReFSはリムーバブルメディアでの使用はサポートされていません。(中略) USB外付けディスクをReFSでフォーマットして使うという、サポートされていないというか、あまり意味のない使い方をしていた場合、2022年1月のBリリースインストール後にボリュームが「RAWディスク」と表示され、正常にマウントできなくなったということです。幸い、1週間後にその問題の修正を含む定例外の更新プログラムが提供されたので、サポートされていない使われ方でしたが、一応、“回復性”の約束は守られました。
2022.04.25 付で Known Exploited Vulnerabilities Catalog (CISA) に登録されたもの:
Windows User Profile Service Elevation of Privilege Vulnerability CVE-2022-21919 (Microsoft, 2022.01.11)。 Publicly Disclosed: Yes、 Exploitability: Exploitation More Likely。
CVE-2022-21894 を狙う bootkit が出回っているそうで。
Secure Boot Security Feature Bypass Vulnerability CVE-2022-21894 (Microsoft, 2023.01.11)
Guidance for investigating attacks using CVE-2022-21894: The BlackLotus campaign (MSRC, 2023.04.11)
MS、UEFIブートキット「BlackLotus」対策のガイダンスを公開 (Security NEXT, 2023.04.13)
BlackLotus UEFI bootkit: Myth confirmed (ESET, 2023.03.01)
》 Googleのスマートスピーカーがアップデートで使いにくく 特許問題のとばっちりで (ITmedia, 1/10)
(name fixed: 望月さんご指摘ありがとうございます)
》 パナ不正アクセス、被害サーバに採用応募者の個人情報や取引先の情報などを保存していたと判明 (ITmedia, 1/7)
当社ファイルサーバへの不正アクセス発生について (Panasonic, 2021.11.26)
当社ファイルサーバへの不正アクセス発生について(第2報) (Panasonic, 1/7)。「第三者が、当社海外子会社のサーバを経由し、日本のファイルサーバに不正アクセスを行った」
》 BALMUDA Phoneが一時販売停止に 「技適認証について確認すべき項目がある」 (ITmedia, 1/11)
》 みずほ銀行 法人向けネットバンキングに不具合 復旧めど立たず (NHK, 1/11 11:08)、 みずほ銀行 法人向けネットバンキングの不具合 復旧 (NHK, 1/11 12:19)。AM 8 時ごろに不具合発生、AM 11:30 ごろ復旧。
》 高速道路で覆面パトカーに連行されるGoogleストリートビューカーの「自撮り」が話題に (やじうま Watch, 1/11)
》 フリーの解凍・圧縮ソフト「7-Zip」がVHDX形式仮想ディスクファイルの抽出に対応 (窓の杜, 1/6)
Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari) (2021.12.16)
MicrosoftがmacOSの脆弱性「powerdir」を解説 (PC Watch, 2021.01.11)。上記で修正された CVE-2021-30970 の解説。
2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)
2021年12月のWindowsパッチに問題、「Outlook」で最近のメールが検索結果に表示されない Microsoftが一時的な回避策を案内 (窓の杜, 2022.01.11)。
》 逮捕の「ALSOK」元社員 1億円以外にもATMから盗みくり返したか (NHK, 1/7)。Always 現金抜き取り OK。
政府、反基地感情高まり懸念 コロナ感染拡大、米軍震源説強まる (時事, 1/7)
沖縄 山口 広島の「まん延防止」適用決定 9日から今月末まで 沖縄県 新型コロナ 過去最多1400人超 感染確認の見通し (NHK, 1/7)
米軍基地からオミクロン、これが同盟国のすることか (青沼 陽一郎 / JBpress, 1/7)
沖縄 山口 広島の「まん延防止」適用決定 9日から今月末まで (NHK, 1/7)
林外相、在日米軍基地での感染対策強化を改めて要求 日米2プラス2 (朝日, 1/7)
神奈川県知事「第6波始まった」 感染急増、米軍基地では行動制限 (朝日, 1/7)
コロナ拡大の在日米軍 ”ずさん”対策目の当たりにしてきた従業員の訴え (沖縄テレビ / FNN, 1/6)
沖縄、山口、広島に「まん延防止等重点措置」を適用へ 政府方針 (朝日, 1/6)
第6波、「後手」批判恐れた政権 コロナ対応は「世論対策でもある」 (朝日, 1/6)
在日米軍のコロナ、地位協定の「特権」 その仕組み 「納得いかぬ」 (朝日, 1/6)
在日米軍、コロナ感染対策強化 健康保護態勢レベル引き上げ (朝日, 1/6)、 在日米軍が感染防止対策を強化 日本到着時の検査・マスク義務の徹底 (朝日, 1/6)
関連: U.S. Forces Japan Increases to Health Protection Bravo (USFJ, 1/5)
疑われるオミクロン「染み出し」 ずさんな米軍、後手に回った政府 (朝日, 1/5)
青森三沢基地で米海軍56人が新規感染 多くがカウント漏れの不手際 (朝日, 1/5)
山口県で79人の感染確認、62人が岩国市 米軍岩国基地でも47人 (朝日, 1/4)
沖縄の新規感染者130人 米軍関係は計800人超える (朝日, 1/3)
感染増の広島の知事 米軍岩国基地ある岩国市と「関連の感染例多い」 (朝日, 1/3)
玉城知事「オミクロン株は米軍から染みだし」 沖縄での対応巡り非難 (朝日, 1/2)
在日米軍、日本入国後24時間以内も検査 クラスター発生でようやく (朝日, 2021.12.31)
在日米軍、出国時にコロナの検査せず 米側に確認、林外相明らかに (朝日, 2021.12.24)
在日米軍、コロナ検査手抜かり 水際対策「穴」あらわ (時事, 2021.12.24)
沖縄米軍クラスター、水際対策の「穴」露呈 オミクロン株拡大懸念も (朝日, 2021.12.23)
沖縄米軍クラスター207人に拡大 知事「米本国からの異動停止を」 (朝日, 2021.12.21)
》 分身キャラへの中傷、「現実の自分が傷ついた」 Vチューバーが提訴 (朝日, 2021.12.30)、 VTuber同士が訴訟へ「デマ流され、人生壊された」生身の人間が語る苦悩 (弁護士ドットコムニュース / Yahoo, 2021.12.31)
関連: 「Vtuber」に対する名誉毀損は成立するか? 「ネット人格」めぐる論点 (弁護士ドットコムニュース, 1/7)。既存の法解釈の枠組みのままだと、本件提訴は苦しい模様。
――裏を返すと、実世界とのつながりを持っていない「アルファツイッタラー」や「野良VTuber」には、名誉毀損は成立しないのでしょうか?
有名人でなく一般の方の趣味のアカウントなどでも、ハンドルネームを名乗ってオフ会に参加している、顔写真をネットに公開しており現実の知り合いが見れば誰のことかわかる、などの事情を主張して名誉毀損が認められた事例は経験があります。
しかし、そのようなリアルの活動が一切なく、完全に自分一人でかつネット人格とリアル人格を切り離している場合には、現在の裁判所の判断枠組みでは名誉毀損の成立は否定されるでしょう。
新しい法解釈が必要な時代になってきたと思うがなあ。
》 語学力を伸ばすのに重要な「エージェンシーを持つ」とは、どういうことか (トニー・ラズロ / ニューズウィーク日本版, 1/5)。著者は「ダーリンは外国人」のダーリンの方。
エージェンシーを持つとは、つまり「好きなことを好きな方法で」学ぶということ。筆者の経験から言えば、「背後から」指導してくれる教師がいれば、エージェンシーのある状態に近づきやすい。先頭に立って方向を示すのではなく、生徒にできるだけ主体的に教材やテーマを選ばせ、「イエス、アンド」「イエス、バット」と背後から優しく言ってくれるような教師だ。
》 ロシア潜水艦、2020年に北大西洋で英軍艦と衝突=英国防省 (BBC, 1/7)。TV クルーの乗船取材中に発生。当該番組の放映にあわせて公表された模様。
WARSHIP LIFE AT SEA Season 3 Episode 2 (Channel 5)
Travelling off the coast of Scotland, Northumberland receives intelligence about a Russian submarine that’s currently under surveillance.
Tuesday, 11 January, 06:00
British Frigate HMS Northumberland Hit A Russian Submarine With Its Towed Sonar In 2020 (The Drive, 1/6)
HMS Northumberland (F238) (Wikipedia)
》 年末年始恒例、「2022年にサポートが終了する」Microsoft製品――Windows 10は? IEは? (@IT, 2021.12.28)
January 10th 2022 Security Releases (node.js, 2022.01.04)。4 件のセキュリティ欠陥 (medium x 3、low x 1) を修正した Node.js 12.x, 14.x, 16.x, 17.x の更新版のリリースが予告されています。
Django security releases issued: 4.0.1, 3.2.11, and 2.2.26 (Multiple CVEs) (oss-sec ML, 2022.01.04)
オープンソースのパケット取得・解析ツール「Wireshark 3.6.1」 ~6件の脆弱性が修正 (窓の杜, 2022.01.05)
2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)
Windows Server 2012 R2 / 2016 / 2019 / 2022 において、更新プログラム適用後に「画面が黒くなる、ログオンが遅くなる、あるいは全般に処理が遅くなる」状況が発生することがあるそうで。定例外の更新プログラムが公開されています。
Windows Server用KB5010196とKB5010215が緊急リリース。画面が黒くなったり遅くなるなどの不具合を修正 [Update 1: 2022 / 2016用公開] (ニッチなPCゲーマーの環境構築Z, 2022.01.06)。更新プログラムのダウンロードに関して、Chrome 系ブラウザ利用者のための注あり。
Take action: Out-of-band update to address a Windows Server issue (Microsoft, 2022.01.05 更新)。WSUS で配布したい場合は、 手動でインポートする必要があるそうです。
》 関西スーパーが1株1518円で買い取り オーケーなどの保有株 (毎日, 1/6)。戦後処理。 関連:
(株)関西スーパーマーケット (Yahoo! JAPAN ファイナンス)。最高裁で OK が破れて以来、株価は 1050 円程度に下がったまま。
オーケー、関西スーパー争奪戦で“敗北”も関西進出に「勝算あり」の理由 (ダイヤモンド online, 2021.12.28)
とにかくオーケーには安く売る仕掛け、安く売れる仕組みがある。それゆえ、経済観念が進んでいる関西人がオーケーを受け入れない“はずがない”。
すでに成功例はある。それが、関東地盤のスーパー「ロピア」だ。関東から関西へ出ていくこと自体、冒険だが関西進出からわずか1年で、あっという間に7店舗も出店した。
ロピアはオーケーと同じディスカウント型のスーパーマーケット。オーケーと同じく、とにかく安い。
京都ヨドバシの地下がロピアになったので行ってみたけど、安さはそれほど感じなかったなあ。
》 スポティファイ、CEOが軍事企業に投資したことが物議を醸すことに (NME JAPAN, 2021.12.01)。 そんな話があったのか。 投資しただけでなく、取締役に就任と。
》 「海賊版で読みました」無邪気なファン 「ネギま!」赤松健さんの怒りポイント (時事, 1/6)
》 「ジョジョ」に学んだ海賊版との戦い 漫画原作者デビューした弁護士の気概とは (時事, 1/5)。中島博之弁護士インタビュー。
カザフスタン内閣総辞職 ガス高騰に抗議デモ激化、最大都市で衝突も (朝日, 1/5)
産油国カザフスタンで燃料費高騰 抗議活動で200人以上拘束 (NHK, 1/5)
非常事態宣言中のカザフスタン全土で通信遮断、事態沈静化にロシア主導の軍派遣も (gigazine, 1/6)
カザフスタンが非常事態宣言 ロシアなどに部隊派遣要請 (日経, 1/6)
カザフで抗議デモ広がる、鎮静へ旧ソ連諸国が支援部隊派遣へ (ロイター, 1/6)
ロシア主導軍事同盟、カザフに平和維持部隊派遣へ (AFP, 1/6)
コラム:カザフの燃料高騰抗議デモ、欧州諸国にタイムリーな警鐘 (ロイター, 1/6)
一見したところ、今回の抗議デモは奇妙に映る。カザフは2020年の石油生産が日量180万バレル、天然ガス生産が320億立方メートルと、消費量を大幅に上回る国だからだ。ただ、LPGは長年、政府が補助を出して生産コスト以下の価格で売られてきたため、輸出を促す結果となり、国内で供給不足を招いた。従って、価格を引き上げて国内供給を増やそうという政府のアイデアは理屈にかなったものだったが、一部の国民にとってはエネルギー料金が2倍に跳ね上がった。
》 ヤフコメも改竄「ロシアのネット工作」に私の記事も利用されていた (黒井文太郎 / FRIDAY DIGITAL, 1/6)。 ロシア政府系メディア、ヤフコメ改ざん転載か 専門家「工作の一環」 (毎日, 1/1) の関連記事。
》 ネット向け新型暗号、24年実用化 量子計算機の解読防ぐ (日経, 1/5)。 Post-Quantum Cryptography (NIST) の話みたい。 どのあたりが「スクープ」なのかよくわからない上に、 なぜ耐量子暗号という言葉を使わないのかもさっぱりわからないが。
Post-Quantum Cryptography PQC - Round 3 Submissions (NIST)。日経記事で触れられているのは Round 3 Finalists: Public-key Encryption and Key-establishment Algorithms の 4 つ。「NTT、クアルコムなど」が NTRU、 「IBM など」が CRYSTALS-KYBER、「ルーベン・カトリック大」が SABER、 「イリノイ大など」が Classic McEliece のことみたい。
Public-key Encryption and Key-establishment Algorithms の他に Digital Signature Algorithms があって、Finalists は CRYSTALS-DILITHIUM、 FALCON、Rainbow の 3 つ。
暗号技術検討会検討グループ/タスクフォース資料 (CRYPTREC)、 第4回(2020年度第1回) (CRYPTREC, 2021.03.03)、 暗号技術検討会 2020年度 報告書 (CRYPTREC, 2021.03)
量子暗号通信に関する動向 (日本総合研究所 先端技術ラボ, 2021.02.01)。p.23 に「参考」として耐量子暗号について記載されている。
2025年頃~
耐量子暗号への移行
CRYPTRECから移行指針発表(見込み)
鍵長がRSA2048の数十~数百倍になる見込みであり、
ICカードに導入する際、IC容量を拡大する必要あり
Chrome 97.0.4692.71 が stable に。37 件のセキュリティ修正を含む。
あわせて Extended Stable Channel で 96.0.4664.131 が公開 されている。
あけましておめでとうございます。
》 ポーランド・ベラルーシ国境 白銀の森に「凍結」された移民危機 (フォーサイト / Yahoo, 2021.12.27)
》 連載 オシント新時代~荒れる情報の海 (毎日)
中西輝政氏「気持ちいい情報は危うい」 感情の世紀、どう生きる (毎日, 2021.12.29)
情報ドブに…中西輝政氏が指摘するインテリジェンスの「大問題」 (毎日, 2021.12.30)
隠れ株主「中国」を可視化せよ AI駆使し10次取引先までチェック (毎日, 2021.12.31)
ロシア政府系メディア、ヤフコメ改ざん転載か 専門家「工作の一環」 (毎日, 1/1)
グローバル企業の監視諦めるな 林香里・東大大学院教授 (毎日, 1/2)
》 XOSS G/G+に緊急の最新ファームウェア 使用前にすぐアップデートせよとのこと【2022年問題?】 (CBN Blog, 1/2)、 XOSS G/G+ Firmware Update TUTORIAL (Android) (XOSS / YouTube, 2021.12.31)
》 Microsoft Exchange Server、日付チェック問題でメール配信停止(対処中) (ITmedia, 1/2)。Exchange 2016/2019 のマルウェア対策エンジンにおいて、2038 年問題ライクな事態が 2022 年に発生した模様。 Microsoft が対策を公開。ただし、管理者による手動対応が必要。
Email Stuck in Transport Queues (Microsoft, 1/1)。 scan engine reset script を入手して実行するか、あるいは対応手順を手動で実施する。
Microsoft Exchange year 2022 bug in FIP-FS breaks email delivery (bleeping computer, 1/1)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)