Last modified: Tue Jul 18 13:54:44 2023 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 マイナポータル規約の免責、河野デジタル相「修正を指示」 予算委で (朝日, 11/30)
中国で異例の大規模デモ いったいなぜ? 習近平指導部はどうする? (NHK, 11/30)
【中国・白紙革命】"天安門事件"以来、異例のデモが各地で発生...背景に「ゼロコロナ失敗」嫌がる地方の事情 (MBS, 11/29)。実は中央は一部緩和を指示しているのだが、地方がついて行ってないという指摘。
コラム:ゼロコロナと抗議デモ、中国当局が招いた「三重の危機」 (ロイター, 11/29)
この不安定な状況によって、投資家の楽観的な見方は一変するだろう。11月に入って政府がやっと習政権の看板政策である「ゼロコロナ」の部分的な緩和に乗り出すことを示唆したため、トレーダーはたたき売っていた中国株に再び資金を注ぎ込んだ。
だが、この軌道修正はタイミングが悪かった。主要株価指数のハンセン指数が11日間で27%上昇する一方、コロナは新たな変異株が生まれ、27日には新規感染者数が爆発的に増えて4万人を超えた。
各都市は行動規制の緩和から厳重警戒へと転じた。しかし、高齢者の多くがワクチン接種を拒否しているため、このままでは死者の急増はほぼ確実。また、ロックダウン(都市封鎖)への不満を訴えるデモ参加者がいる一方で、コロナ感染を恐れている市民がいることも当局は認識している。例えば、河北省の石家荘市でロックダウンが緩和された際には、多くの住民が買い物に行かず、アパートにこもった。
住民のこうした行動を考えると、ゼロコロナ政策を放棄すれば即座に経済活動が活性化するという主張は成り立たない。死亡率が上昇するリスクと、貧しい地域の公的医療制度が依然としてぜい弱なことを考えると、政府が譲歩するのは難しい。「アメとムチ」を組み合わせればデモ隊を消すことはできるかもしれないが、当局は新型コロナウイルスを脅すことも、なだめることもできない。
中国抗議デモで窮地の習氏、政策の選択肢なし (Wall Street Journal, 11/29)
10日間で「白紙革命」を鎮圧せよ 習近平氏が恐れる悪夢 (中沢克二 / 日経, 11/30)
中国の大規模な抗議活動では検閲回避のために「白紙」が使用されている、AppleによるAirDropの中国限定制限も影響か (gigazine, 11/29)
Twitterで中国のポルノ広告が爆増、大規模抗議デモを海外の目から隠す狙いか (gigazine, 11/29)
中国鄭州市でのFoxconn従業員大暴動の原因はゼロコロナ政策が招いたものだという指摘 (gigazine, 11/28)
》 同性婚認める法制度ないのは「違憲状態」 東京地裁判決 (毎日, 11/30)。おっしゃるとおりだし、同性婚認可済の台湾の様子を見ればわかるように、恐れる必要もない。
》 GoogleがVLCになりすましてマルウェアを配布するページの削除を拒否したとVideoLAN公式が告発 (gigazine, 11/25)
》 サル痘の名称を M痘 に:WHO (国連情報誌SUNブログ対応版, 11/29)
ツイッター認証サービス、まずアップルiOSで開始=報道 (ロイター, 11/30)
米国、ツイッターの誤情報拡散を警戒 マスク氏買収で差別投稿も増加 (毎日, 11/29)
イーロン・マスク率いるTwitterが6万人超えの凍結解除「ビッグバン」を実施 (gigazine, 11/30)
Twitterが新型コロナに関する「有害な誤報」ポリシーを廃止、新型コロナワクチンの陰謀論がOKに (gigazine, 11/30)
イーロン・マスクの「AppleがTwitterを締め出すと脅してきた」という主張にフロリダ州知事らが反応、Appleが独占禁止法違反で調査される可能性を示唆 (gigazine, 11/30)
イーロン・マスクがTwitterのトップに立ってからトランプ陣営共和党議員のフォロワーが増加し民主党議員のフォロワーは減少 (gigazine, 11/29)
イーロン・マスクが「AppleがApp Storeから締め出すと脅してきた」と主張、Twitterへの広告出稿をほぼ停止したとも報告 (gigazine, 11/29)
イーロン・マスクによるとTwitterの新規登録者数は1日200万人で前年比66%増の過去最高に (gigazine, 11/28)
Twitter幹部がイーロン・マスクに解雇されるのを防ぐために裁判所の差し止め命令を取得 (gigazine, 11/28)
イーロン・マスクの施策でTwitterのEU対応を担当したブリュッセル支社が閉鎖、EU当局者の間でコンプライアンスに関する懸念が発生 (gigazine, 11/25)
イーロン・マスクが「ハードコア」に付いてきた約50人のTwitterエンジニアを突然解雇、「コードが満足できない」と言われた人も (gigazine, 11/25)
従業員の3分の2がクビになってもTwitterのシステムが停止せず動き続けた理由を元Twitterエンジニアが語る (gigazine, 11/24)
》 USBGuardを使って悪意のあるUSBデバイスからシステムを守った気になろう (柴田充也 / gihyo.jp, 11/30)
》 連載「虚実のはざま」単行本に…「情報パンデミック あなたを惑わすものの正体」発売 (読売, 11/8)
》 個人情報を含むUSBメモリーの紛失事案について (尼崎市, 11/28 更新)。 調査報告書 が公開されました。
補助調査機関が実施したデジタルフォレンジック調査の概要は以下のとおりである。
(1) 調査対象機器
① 市政情報センター3 階サーバルーム内設置の給付金サーバ
② 本件紛失・発見にかかる USB メモリ「012」「013」。(「012」「013」は管理のため B 社が 2 本の USB メモリにそれぞれ貼付したラベル表示の番号)
③ 市政情報センター3 階 B 社執務室内で本件事案発生直前まで使用されていた開発用デ スクトップ PC、同じく同室内で使用されていたとされる開発用ノート PC
④ 「012」「013」の USB メモリ 2 本を本年(令和 4 年)6 月 22 日未明に紛失した B 社再々 委託先従業員(以下「A」という。)が上記 B 社執務室内で日常的に業務に使用してい たとされるノート PC
⑤ 本年 6 月 21 日夕方上記 USB メモリに格納された尼崎市民個人データを移行・保存し たコールセンターサーバ
⑥ 尼崎市の関係職員 6 名使用のメールデータ
⑦ 尼崎市が B 社に本件事案発生以前に貸与していた 12 本の USB メモリ(「001」~「010」、 「177」、「179」のラベル表示があるもの。臨時特別給付金対応業務が開始する以前、 「176」の USB メモリも B 社に貸与されていたが破損したため同業務では使用されて いない。)および「011」の USB メモリ 1 本
(2) 調査項目
USB 接続履歴、外部デバイスのドライバーインストール履歴、メール通信履歴、イベ ントログ、各種レジストリ設定、プログラム実行履歴(Prefetch、AmCache、Shim Cache、 UserAssist)、ファイル操作履歴(UsnJrnl、LNK ファイル、RecentDocs、JumpList、 Shellbags)、ネットワーク接続履歴 (有線・無線種別、インターネット利用有無、IP ア ドレス割当て等)、ブラウザ履歴、クラウドストレージ(Box)、暗号化(BitLocker)、ウイ ルス対策状況、ネットワーク関連情報(Remote Desktop Protocol、SRUM)、ごみ箱 (Recycle Bin)、その他関連諸事項
(3) 使用ツール
EnCase Forensic、FTK (Forensic Tool Kit)、Magnet AXIOM、Forensic Falcon-NEO、 Tableau TK8u、その他フォレンジックツール。「012」「013」の USB メモリ解析にはア イ・オー・データの開発用ツールを使用。
なお、当委員会が本年 7 月 21 日に 3 階 B 社執務室内を B 社の承諾を得て立ち入った際、上記の引出し内に、氏名表示のある複数のキーホルダーを 入れたボックスと爪楊枝を 10 数本立てたホルダー掛けがあった。この点に関し、翌 22 日 当委員会からの質問に対し、B 社従業員は、氏名表示のあるキーホルダーと上記ホルダー掛 けは、本件事案発生当時を含めその前から引出しの中にあり使用していたとの趣旨を当委 員会に説明したが、その後 B 社執務室内で稼働している他の従業員らに確認すると、これ ら氏名表示のあるキーホルダーも爪楊枝を使ったホルダー掛けも、少なくとも令和 2 年の 特別定額給付金業務が始まって以降、本件事案発生までの間引出し内には存在しておらず、 当委員会に対する上記説明は虚偽であることが判明した。
また、B 社執務室内の上記引出しの中に置かれていた各 USB メモリは、必ずしも保存さ れた個人データが消去された状態で保管されていたわけではなかった。(中略) 事実、A が本年 6 月 21 日午前 9 時過ぎに給付金サーバから個人データを USB メモリにコピーする 際も、USB メモリに残っていた従前の別データを消去したうえで、個人データの保存を行 っている。B 社執務室内で稼働する者らがデータのやり取り終了の都度 USB メモリの保存 データを消去する運用は確立しておらず、鍵のかからない引出しの中にデータが保存され たままの USB メモリが置かれていた。このような運用は、本件事案発生前 B 社の誰も注意 したり、運用を改めるよう促すことはなかった。
尼崎市とB社との間で機密情報をやり取りする際、「 amagasaki 」「 Amagasaki 」 「AMAGASAKI」や、これらに単に日付を追加するだけの、いわば辞書攻撃をするまでもな く誰でも簡単に思いついてクラックできるパスワード設定が複数みられた。(中略) なお、「012」「013」の USB メモリに設定されていた実際のパスワードは本報告書で詳らかにすることはできない が、本件事案発生直後に SNS 等で噂されていたような容易に想像がつくパスワードではな く、文字種が多彩でブルートフォース攻撃に対し耐性の高いパスワードが設定されていた。
》 制御システムのセキュリティリスク分析ガイド オンラインセミナー 2022年度(下期)開催 (IPA, 11/29)
》 「IEEE P1901c」作業部会、パナソニックの「Wavelet OFDM」をベース仕様に採択。有線・無線・海中で通信可能な標準規格策定へ (Internet Watch, 11/30)。PLC 方面の話。 パナソニックのプレスリリースを読んだ方が早い: パナソニック ホールディングスの開発技術がIEEEの次世代通信規格のベースライン仕様に採択 (パナソニック, 11/28)
今回採択された次世代通信規格では、利用通信帯域を標準モードの1/32倍まで縮小可能とすることで、利用周波数を従来のメガヘルツ帯からキロヘルツ帯まで拡張し、様々な媒体での更なる通信の長距離化が可能となります。また、アンテナを利用し、微弱電波による無線通信に適用することで、セキュアかつ通信範囲を制限可能な近距離高速無線(注4)が実現可能です。加えて、従来困難とされていた海中でのIoT通信の実現にも貢献します。海中での通信は、SDGsの一つである海洋資源の探索や海洋生物の保全のために今後重要となる技術です。本技術の海中・水中IoTへの適用は、国立研究開発法人情報通信研究機構(NICT(エヌアイシーティー))のBeyond 5G研究開発促進事業「研究開発課題名 海中・水中IoTにおける無線通信技術の研究開発(採択番号02301)」(注5)に採択され、技術開発とともに実証実験を進めております。
「VLC media player」にリモートコード実行の脆弱性、修正版のv3.0.18が公開 (窓の杜, 2022.11.30)
Chrome 108.0.5359.71 (Mac/linux) および 108.0.5359.71/72 (Windows) が stable に。 28 件のセキュリティ修正を含む。
Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開 (2022.11.16)
Firefox 107.0.1 出ました。セキュリティ修正は含みません。
Firefox 107.0.1 がリリースされた (mozillaZine, 2022.11.30)
》 540万件のTwitter漏えいデータが公開される 1700万件以上の新たな流出の可能性も 米報道 (ITmedia, 11/29)、 5.4 million Twitter users' stolen data leaked online — more shared privately (bleepingcomputer, 11/27)
》 ロシアは戦争開始前から自国の正当性を主張する準備を始めていた――マイクロソフトが解説 (クラウド Watch, 11/25)。 Microsoft Digital Defense Report 2022 のメディア向けブリーフィングが行われたそうで。
Microsoft Digital Defense Report 2022 Executive Summary (Microsoft)
独裁的指導者の攻撃性の増加に伴い、国家支援型のサイバー攻撃がより大胆に (Microsoft, 11/7)
Microsoft Digital Defense Report 2022 (Microsoft)
》 ドメイン名ライフサイクルマネージメント (Internet Week 2022, 11/29)。興味深かった。 関連:
【注意喚起】セキュリティリスク回避のため、旧Visionalistをご利用いただいていた法人のお客さまにおける”tracer.jp"タグ削除のお願い (NTTコム オンライン / PR TIMES, 5/18)
アクセスログ解析サービスVisionalistで利用していたドメイン(tracer[.]jp)の脅威分析と注意喚起 (NTTコミュニケーションズ 開発者ブログ, 6/7)
「ドメインパーキング リクルート」で検索 (Google)。ponpare.jp の他に cocokarada.jp や ab-road.net が出てきますね。
Welcomeページとは何ですか? (名づけてねっと)。こういうのかな。
》 ClamAV 1.0.0 LTS released (ClamAV, 11/28)。おめでとうございます。
》 全グローバルホットキーを表示して使っているアプリを突き止める無料ツールが公開 (窓の杜, 11/28)。 Hotkey Screener v1.0 (ntwind.com)
》 「Windows Update」でトラブル発生、更新プログラムを削除するには?【令和最新版】 (窓の杜, 11/29)
Windows 11 バージョン 22H2では、「コントロール パネル」の[プログラム]-[インストールされた更新プログラム]画面が「設定」アプリの[Windows Update]セクションに統合されました。
》 ウイルス入り偽Afterburnerが多数の偽サイトで配布。開発者が注意喚起 (ニッチなPCゲーマーの環境構築Z, 11/25)
》 台湾地方選 与党・民進党、惨敗 蔡英文総統が党主席を引責辞任 (毎日, 11/26)
21県市の当選者数は、民進党5▽国民党13▽第三勢力の台湾民衆党1▽無所属2。前回18年統一地方選は、民進党6▽国民党15▽無所属1だった。候補者の一人が死去した嘉義市長選は12月18日に投開票される。
これだけ見ると「惨敗」なの? という気がするのだが、 前回は民進党が大きく負けた結果であり、今回はどれだけ挽回できるかが問われたと。 ところが今回、負けがさらに増えてしまったと。
関連: 台湾統一地方選、民進党が大敗:自ら転んだ蔡英文政権 (野嶋剛 / Yahoo, 11/26)
》 イーロン・マスク氏のTwitter買収後、大口広告主の半数が出広停止? 衝撃レポートが話題に (やじうま Watch, 11/28)
》 米政府、HuaweiやZTEの通信機器の国内販売認可を禁止 (ITmedia, 11/28)、 ファーウェイやZTEら中国5社の機器、米国で販売禁止に (ZDNet, 11/28)
ファーウェイとZTEは、スパイ活動に関与しているとしてこれまでに何度も米政府の規制対象になっている。今回の規制では、海能達通信(ハイテラ)、杭州海康威視数字技術(ハイクビジョン)、浙江大華技術(ダーファ)の3社も対象となる。
関連:
ファーウェイがITUのP2Cデジタル連盟に加盟―広東省深セン市 (人民網日本語版, 11/27)
インドネシア: ファーウェイ、首都にデータセンター開設 (NNA ASIA, 11/28)
「EV業界のインテル」目指す中国のファーウェイ 米国の制裁を回避し生まれ変わる (湯進 / サンデー毎日・エコノミスト / Yahoo, 11/15)。HarmonyOS 3.0 塔載。
同社は車載端末から車載ネットワークのプラットフォーム、半導体チップ、デジタル地図、自動車販売に至るまで、次世代自動車産業のサプライチェーン(供給網)で独自の地位を築き、生き残ろうとしているようだ。
》 「インボイス中止を」 日本脚本家連盟など6団体が共同声明 「表現活動に大きく影響」 (ITmedia, 11/28)
Chrome 107.0.5304.121 for Mac / Linux、 Chrome 107.0.5304.121/.122 for Windows 公開。 0-day 欠陥 CVE-2022-4135 が修正されている。
2022 年 11 月のセキュリティ更新プログラム (月例) (2022.11.09)
2022年11月のパッチで「lsass.exe」にメモリリーク ~Windows Serverの一部バージョンで Microsoftが回避策を案内 (窓の杜, 2022.11.25)、 Windows Serverにメモリリークの不具合。サーバーが応答しなくなったり再起動が発生。2022年11月9日以降のWindowsUpdateに起因 (ニッチなPCゲーマーの環境構築Z, 2022.11.28)
当面の回避策としては、以下のコマンドを実行してレジストリキー「KrbtgtFullPacSignature」を「0」に設定するのが有効。 ただし、この問題が解決され次第、「KrbtgtFullPacSignature」をより高い値へ戻す必要がある。
》 アメリカ軍がFacebookで偽アカウントによる「親米キャンペーン」を展開していたとMetaが告発 (gigazine, 11/24)
》 Windows11 22H2のリモートデスクトップに不具合。アプリが応答しない・接続できないなど。10月から報告のあった不具合をやっと認める (ニッチなPCゲーマーの環境構築Z, 11/24)
この不具合が発生した場合、まずはタスクマネージャーから『mstsc.exe』を終了してください。
本不具合はUDP接続に起因しており、UDP接続を無効化することで回避できます。Windows11 Proのユーザーは、以下のグループポリシーを設定し、UDP接続を無効にすることで不具合を回避できます。
》 オミクロン株は、どこからやってきた? その起源は「ネズミ」かもしれない (WIRED, 11/20)
いくつかの仮説が立てられている。オミクロン株は外部との接触がほとんどなく、遺伝子の解析と縁遠かったヒトが保有し、潜伏していた説。2つ目は、ウイルスに打ち勝てないほど免疫力が低下したヒトに感染することで、ウイルスが複製し変化する余地があったという説だ。
そして3つ目は、ヒトではなく動物の世界に戻って潜伏していたという説である。最初に宿主となったコウモリではなく、新しい突然変異を誘発するような別の動物を宿主としていたことが想定されている。
また今回の研究結果は、新型コロナウイルスが野生動物や家畜とヒトの間を行き来できるという事実を強調している。ミンクへの感染が発覚した20年以来、多くの動物に感染することが判明しているのだ。
》 「ノルドストリーム」で起きた爆発の裏側に“謎の大型船”の存在:衛星データから明らかになったこと (WIRED, 11/14)。AIF off の「全長95m〜130m」の謎の船舶 2 隻。
》 ポーランドが遂にウクライナ批判、築き上げた関係を台無しにする気か? (航空万能論 GF, 11/22)
》 ロシア兵はウクライナで投降した後に撃たれたのか? (BBC, 11/23)
軍服姿の兵士が次々と小屋の外に出ては、地面にうつぶせになる。その多くは足に赤いバンドを巻いている。ロシア兵は認識票として赤や白の印を身に着けることで知られている。
続いて、これで全員か、全員出たのかとウクライナ語で確認する声が聞こえる。
すると、壁の後ろから男がいきなり出てくる。手にした武器を、撮影中のカメラの方向に発砲し始める。これに伴い、カメラの映像は乱れ、混乱が生じたことだけがわかる状態になる。
WHO、ウクライナで数百万人の命「脅かされる」 厳しい冬の到来を前に警告 (BBC, 11/22)
露軍ミサイル攻撃はウクライナの全ての原発と大半の火力・水力発電所を一時停電させた=宇エネルギー省 (UKRINFORM, 11/23)
ロシア軍が再びウクライナに大規模なミサイル攻撃、停電が広範囲で発生 (航空万能論 GF, 11/23)
今月15日に次ぐ規模、ロシア軍が70発の巡航ミサイルでウクライナを攻撃 (航空万能論 GF, 11/24)
要するにインフラを破壊するロシア軍の手段が先に尽きるか、インフラを守るウクライナ軍の手段が先に音を上げるかの勝負で、西側諸国からIRIS-TSL、NASAMS、HAWKが順次引き渡されているものの広域防空の主体は依然として補充が難しいS-300なので、こんなハイペースで攻撃が続けばウクライナ軍が保有するS-300の迎撃弾が尽きてしまうのではないかと心配される。
ウクライナの大半と隣国で停電 ゼレンスキー氏、ロシアの「テロ」を安保理で非難 (BBC, 11/24)
》 ポーランドに「ロシアのミサイル」 AP通信、誤り認め記者解雇 (共同 / 毎日, 11/23)
解雇された記者は2020年から勤務していた。APは、この記者が匿名の情報源を記事に用いる際の規則を順守しなかったことを解雇の理由としている。
同社の規則では、事前に情報源の身元を知らされている管理職の承認を得る必要がある。記者は副社長に承認を得たと主張したが、副社長は今回の記事に使われることを知らなかったとしている。
》 内閣官房 「国力としての防衛力を総合的に考える有識者会議」報告書 (まるちゃんの情報セキュリティ気まぐれ日記, 11/22)。 自衛隊は無駄な部分がたくさんある組織なのだけど、そういう部分への言及は一切行わず、ただ金をなんとかしろと言うだけのざっくり提言。 総合的 = ざっくり、ということっぽい。
(参考2)国力としての防衛力を総合的に考える有識者会議 構成員
(五十音順)
上山 隆大 総合科学技術・イノベーション会議 議員(常勤)
翁 百合 株式会社日本総合研究所 理事長
喜多 恒雄 株式会社日本経済新聞社 顧問
國部 毅 株式会社三井住友フィナンシャルグループ 取締役会長
黒江 哲郎 三井住友海上火災保険株式会社 顧問
佐々江 賢一郎 公益財団法人 日本国際問題研究所 理事長
中西 寛 国立大学法人 京都大学大学院法学研究科 教授
橋本 和仁 国立研究開発法人 科学技術振興機構 理事長
船橋 洋一 公益財団法人 国際文化会館 グローバル・カウンシルチェアマン
山口 寿一 株式会社読売新聞グループ本社 代表取締役社長
まあ、ざっくりしか言えないメンバーなのでしょう。
関連: 自衛隊の人員増は幻 (清谷信一 / Japan In-depth, 11/15)
本来人員削減によって防衛費を削減するためには、幹部や将官など人件費の高い階級とそのポストを削減するのだが、自衛隊は痛みを嫌って安易に任期制自衛官を切ったので、一線部隊の隊員の充足率は大いに下がり戦闘力は低下したが、人件費は下がらなかった。特に陸自では部隊を縮小し将官、幹部を減らしていれば同じ人件費でより多くの任期制自衛官を採用できたはずだ。
(中略)
対して人民解放軍は2000年に170万人だった兵力を2021年には97万人へと大きく削減している。その中には将官や将校も多く含まれている。これは主として兵力削減で浮いた費用を近代化に当てるためだ。だが近年中国も少子高齢化が進み始めており、恐らくはそれを見越して兵力の削減を行ってきたとも取れる。
》 PSIRT Services Framework と PSIRT Maturity Document (JPCERT/CC, 11/17)。Product Security Incident Response Team。
》 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」 (まるちゃんの情報セキュリティ気まぐれ日記, 11/21)
》 警察庁 Youtubeドラマ "PRIDE×ORDER 警視庁公安部presents 狙われる日本の技術" (まるちゃんの情報セキュリティ気まぐれ日記, 11/10)
》 フランスが学校でのMicrosoft Office 365の使用を禁止 (gigazine, 11/21)。GDPR 違反を主張。
FTXが破綻した影響は、こうして暗号資産のエコシステム全体にも波及し始めた (WIRED, 11/15)
破綻したFTXから巨額の暗号資産が消失、その“犯人”はブロックチェーンがあぶり出す (WIRED, 11/16)
FTXの破綻は「業界の浄化」の好機になれど、政府による暗号資産の規制強化は免れない (WIRED, 11/22)
「倒産の可能性も」Twitter主要幹部相次ぎ辞任、広告主の懸念は止まらないCEO自身のツイート (新聞紙学的, 11/11)
イーロン・マスクのせいでTwitterの著作権侵害警告システムがぶっ壊れてしまい映画全編のアップロードが可能になってしまっている (gigazine, 11/21)
イーロン・マスクがトランプ元大統領のTwitterアカウントを復活させるも本人に復帰の意志はなし (gigazine, 11/21)、 680日ぶりのトランプ氏Twitter復活、広告主・社員の離反で「イーロン・リスク」の行方は? (新聞紙学的, 11/20)
Twitterの従業員数がイーロン・マスクの買収後7500人から2700人に激減、今後は積極採用を行い目指すは「日本のような利用状況」 (gigazine, 11/22)
イーロン・マスクが差別・ヘイト発言で凍結されていたTwitterアカウントを復活 (gigazine, 11/22)
イーロン・マスクがTwitterで悪質な「なりすましアカウント」が止まるまで有料で認証済みバッジを配布するTwitter Blueを再開しないと社員に発言 (gigazine, 11/22)
イーロン・マスクは「政治や名声のために子どもの死を利用する人には容赦しない」として陰謀論者アレックス・ジョーンズのTwitterアカウントは凍結を維持、解除基準が個人的な感情に依存しすぎと猛烈非難される (gigazine, 11/22)
Twitter崩壊をアメリカ政府が危惧、災害時の公的機関からの情報拡散が困難になるため (gigazine, 11/22)
「イーロン・マスクはビザを人質にして過酷な労働を強いている」との指摘、AmazonやMetaも大量解雇で多数の就労ビザ保有者がアメリカに残れるかどうかの瀬戸際へ (gigazine, 11/22)
ツイッター内部の混乱でセキュリティリスクが急上昇、大規模な情報漏洩が発生したら何が起きるのか? (WIRED, 11/22)
イーロン・マスクが後押しするファクトチェック機能「コミュニティノート」は、ソーシャルメディアのあり方を変えるかもしれない (WIRED, 11/23)
イーロン・マスクが凍結されたTwitterアカウントの「全面的な恩赦」についてアンケートを実施中 (gigazine, 11/24)
イーロン・マスクがTwitter改善のために「iPhone脱獄」「PS3脱獄」「自動運転システム開発」を成し遂げた伝説的ハッカーを雇う、「検索システムの改修」や「ログインを求めるポップアップの削除」が目的か (gigazine, 11/24)
イーロン・マスクのTwitterにお金を払っているのは一体誰なのか?アダルトパフォーマーや極右インフルエンサーなどその正体が明らかに (gigazine, 11/24)
》 トルコ、シリアを空爆 (対クルド人勢力)。地上侵攻も計画か
トルコのイスタンブール中心街で爆発、少なくとも6人死亡 当局が40人以上拘束 (東京, 11/14)
トルコがシリア空爆、11人死亡 クルド勢力を狙った作戦 (CNN, 11/21)。11/19 日深夜の攻撃の記事。
トルコがクルド人武装組織拠点攻撃 緊張高まる 爆発から1週間 (NHK, 11/21)
トルコ大統領、新たな地上作戦を示唆 シリア北部のクルド勢力敵視 (時事, 11/22)
トルコ軍、テロ掃討を大義名分にシリアのクルド人組織を攻撃 エルドアン大統領は地上戦も示唆 (東京, 11/23)
トルコのシリア空爆、ISとの戦いに影響 米が懸念 (ニューズウィーク日本版, 11/24)
》 海上自衛隊「まや」、「はぐろ」によるミサイル防衛実験成功 (海国防衛ジャーナル, 11/21)。 SM-3 block 1B / 2A。Launch on Remote も実施。
》 無人探査機「OMOTENASHI」、月面着陸に失敗 (11/22)
超小型探査機OMOTENASHIの 今後の運用と対策チーム設置について (JAXA, 11/22)
ロケットから分離された以降、11月22日(火)2時00分(日本時間)までに通信が確立できず
月面着陸以前の問題だった。 世の中厳しい。
「失敗以上に失敗」探査機オモテナシ月着陸できず 電力や通信に難 (朝日, 11/22)。 OMOTENASHI は SLS に相乗りして打ち上げ。
JAXAによると、予定通り約4時間後に分離したものの、太陽電池パネルが太陽とは反対側を向いて、充電ができないことが判明。また、探査機は飛行中に回転することで姿勢を安定させるが、想定の8倍の速さで回転してしまい、消費電力が大きくなっていることも分かった。
「OMOTENASHI」月面着陸断念でJAXA “失敗以上の失敗だった” (NHK, 11/22)
JAXAは、「OMOTENASHI」の月面着陸を断念した一方、軌道を計算した結果、来年3月ごろから太陽電池パネルが光を受けられる可能性があるとして、被ばく線量の計測など残されたミッションに挑戦したいとしています。
》 輸送船が秒で真っ二つ 米軍テスト中の新たな対艦用兵器の凄み 標的に“当ててない”!? (乗りものニュース, 11/11)。2000 ポンド GBU-31 JDAM の対艦攻撃型。
》 「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練 (ITmedia, 11/24)
本題はそこからだ。21年の訓練ではfreeeの佐々木CEOが直接、攻撃者からの脅迫を受けた。一方今回は「漏えいした情報を公開されたくなければ金銭を支払え」という脅迫が顧客企業に行われてしまう、というシナリオだった。
当然、顧客からは「freeeから情報が漏れたんじゃないですか? どうなっているんですか」と問い合わせが寄せられる。しかも情報漏えいのうわさは隠しておくのが難しい。顧客企業の従業員がTwitterに「どうやらfreeeから情報が漏れたらしい」と書き込みを行い、それを見つけた報道陣、具体的にはアイティメディアが広報に問い合わせてくる、といった流れで訓練は進んだ。
こういう訓練はシナリオこそがキモだったりするわけですが、今どきな内容で興味深いなあ。
》 消える100ドル未満のプロセッサ (大原雄介 / PC Watch, 11/24)。Celeron / Pentium が消える理由は、自社都合ですか。
Celeron/Pentiumグレードでも製品原価が200ドルかそこらになってしまう計算だ。 (中略) 100ドルを切るのは厳しいだろう。
つまるところ冒頭で紹介した新しい“Intel Processor”というブランドは、現在のPentiumとCore iシリーズの間に入るような位置づけになるというか、Pentiumより価格が高いプロセッサを導入するために、新しいブランドを必要としたということだと思う。
これはIntel 4ベースでCPUを作る限り、もうどうしようもない。
》 Windows 10でもLinux GUIアプリが利用可能 ~Microsoft Store版が既定の「WSL」に (窓の杜, 11/24)
》 近年のDNSはプロトコル拡張が活発すぎる!? 現時点で意識しておくべきリソースレコードとは (Internet Watch, 11/24)
》 インテルの最新ドライバーで「Wi-Fi 6E」の6GHz帯が利用可能に。「Intel AX210/211」向け22.180.0.4 (Internet Watch, 11/24)
なお、上記の検証で使用したAX210モジュールは、技適マークのない市販のIntel AX210モジュールであるが、今回の検証は総務省の「技適未取得機器を用いた実験等の特例制度」を申請することによって限られた期間、限られた目的によってのみ実施したものとなる。
》 「時代遅れのデバイスの投棄場になりかねない」EUのUSB Type-C法案がインドに飛び火 (やじうま Watch, 11/21)。EU に続いてインドも Type-C 義務化へという話。 「追随しなければその国は時代遅れのデバイスの投棄場になってしまう懸念がある」からだそうで。
Stable Releases (iterm2.com)。2022.11.15 に 3.4.18 がリリースされている。
3.4.18
- Change DECRQSS response to patch a security hole.
Remote Code Execution in Spotify’s Backstage via vm2 Sandbox Escape (CVSS Score of 9.8) (oxeye.io, 2022.11.15)
サイバーセキュリティOxeyeがSpotifyの人気開発ツールに抜け穴を発見 (atpartners.co.jp, 2022.11.16)
Log4Shell-like code execution hole in popular Backstage dev tool (Sophos, 2022.11.15)
CVE-2021-33621: HTTP response splitting in CGI (Ruby, 2022.11.22)。cgi gem バージョン 0.3.5 / 0.2.2 / 0.1.0.2 で修正。
「Ruby 3.1.3/3.0.5/2.7.7」が公開 ~CGIの脆弱性を修正 (窓の杜, 2022.11.25)
Windows版「Zoom」にDLLインジェクションの欠陥 (窓の杜, 2022.11.22)。最新 5.12.8 では修正されている。
Samba 4.17.3 / 4.16.7 / 4.15.12 公開。1 件のセキュリティ欠陥を修正。
CVE-2022-42898 - Samba buffer overflow vulnerabilities on 32-bit systems (Samba, 2022.11.15)。64bit 環境では本欠陥は発現しない。
》 物価高でも給料上がらず 「実験的政策の失敗」に節約術で家計守ろう (朝日, 11/9)。 元日本銀行理事の早川英男氏。
――積極的な金融緩和や財政拡大で景気回復をめざす「リフレ派」が、アベノミクスを支えてきました。
「リフレ派のロジックの最大の特徴はデフレを『原因』とする点です。デフレによって日本経済が停滞している、だから、物価を上げれば経済が上向くという考え方です。圧倒的多数の主流派の経済学者は、デフレは『結果』だとみます。だから、異次元緩和には多くの経済学者が懐疑的でした。私もあくまで実験的政策だと思っていました。物価が上がればうまくいくというのが間違いだったことは、今の状況から明らかです。実験的政策はやってみてダメだったら見直さないといけないのに、ずっとしがみついて今に至ります」
【独自】竜山区長、ハロウィーン前に関連部署長を次々と交代させていた /ソウル (朝鮮日報 / Yahoo, 11/16)
このように朴熙英区長就任直後からイベント・行事・安全管理関連の部署長が次々と交代したため、梨泰院雑踏事故の緊急状況にきちんと対処できなかったのではないか、という疑惑が浮上しています。
しかも、A局長の突然の辞任の背景には、朴熙英区長の政治的な利害関係が絡んでいるという疑惑も浮上しています。
A局長の配偶者が区長選挙時、朴熙英区長のライバル候補の選挙運動を手伝って嫌われたということです。
韓国警察 雑踏事故犠牲者の氏名公開したメディアの捜査開始 (聯合ニュース, 11/16)
梨泰院雑踏事故:遺族になりすましてチョン・ウソンの前で号泣…詐欺親子を逮捕 (朝鮮日報, 11/16)
梨泰院雑踏事故:前竜山署長「機動隊要請を拒否された」…特捜本部「確認できていない」 (朝鮮日報, 11/19)
特別捜査本部のキム・ドンウク報道担当は「(現時点で)竜山警察署がソウル警察庁に警備機動隊を要請したという事実は確認できていない」「李任宰前署長が機動隊の要請を指示したという部分についても、職員の陳述が異なっており、捜査中だ」と明らかにした。
地元警察 10万人予測も当日勤務者数は普段通り=ソウル雑踏事故 (聯合ニュース, 11/20)
雑踏事故 特別法制定による補償を検討=韓国大統領室 (朝鮮日報, 11/22)
ソウル雑踏事故の遺族が初めて会見 徹底的な真相・責任究明要求 (聯合ニュース, 11/22)
》 マイクロソフト、「Royal」ランサムウェアのさまざまな配布手段について警告 (ZDNet, 11/22)。オリジナルはこちら: DEV-0569 finds new ways to deliver Royal ransomware, various payloads (Microsoft, 11/17)
DEV-0569 also continues to tamper with antivirus products. In September and October 2022, Microsoft saw activity where DEV-0569 used the open-source NSudo tool to attempt disabling antivirus solutions.
NSudo | System Administration Toolkit (m2team.org) ですか。 ぐぐると、たとえば https://github.com/swagkarna/Defeat-Defender-V1.2.0 というのが出てきますね。こういうのを nsudo で実行するのかな。
》 “圧勝”の楽天モバイル、“虎の子”奪われる携帯3社 波乱となった「プラチナバンド再割り当て」 (ITmedia, 11/22)。楽天ウハウハですか。
》 12月には約8割が変異株「ケルベロス」置き換わりか 第8波へ…東京都「警戒レベル」引き上げ (FNN / nippon.com, 11/18)。引用されている図は、 新型コロナウイルス感染症対策アドバイザリーボードの資料等(第101回~) のこちら:
第105回新型コロナウイルス感染症対策アドバイザリーボード (令和4年11月9日) 資料3-2 鈴木先生提出資料 p.75 (厚生労働省, 11/9)
第106回新型コロナウイルス感染症対策アドバイザリーボード (令和4年11月17日) 資料3-2 鈴木先生提出資料 p.67 (厚生労働省, 11/17)
BQ.1 と XBB の両方来そうな感じなのですか。
》 有名写真家「パクリ疑惑」で謝罪 海外作品を無断加工、SNSで披露も...本人は盗用否定「他者に投稿任せていた」 (J-CAST, 11/21)
》 Googleが広告ブロックに使われるVPNの規制で「アプリの収益化に影響を与える可能性のある広告をブロックしない」ことを開発者に要求している (gigazine, 11/22)。「VPNベースの広告ブロッカー」というものがあるのですね。
具体的には、VpnService APIを使用して、収益化、個人および機密データの収集、およびその他のアクションのために他のアプリケーションのトラフィックをフィルタリングすることができなくなりました。(中略)
このポリシー変更は2022年11月1日に発効しました。
》 「gmail」ドメインを「gmai」と誤記、10カ月気付かず2000件超の情報漏えいか 埼玉大が「ドッペルゲンガー・ドメイン」の毒牙に (ITmedia, 11/21)。gmai.com ですか。
》 ウルトラマン庵野が帰ってきた 「DAICONFILM版 帰ってきたウルトラマン」アマプラでサプライズ配信 (ITmedia, 11/18)。そんなことになっていたとは。 これは傑作なので、未見の方はぜひ。
》 全角・半角の切り替えで一部アプリがクラッシュ ~Microsoftが「Windows 11 バージョン 22H2」の不具合を認める (窓の杜, 11/22)。 この件を MS が認めた、という話だそうです: Delphi/C++Builder製アプリが日本語変換時にクラッシュ ~Windows 11 バージョン 22H2【21:00追記】 (窓の杜, 10/14)
Embarcadero Technologies (中略) は、Microsoftがこの問題を修正すべきとしつつも、当面の対策として以前のバージョンの「Microsoft IME」に戻すか、[オプションの診断データを送信する]オプションを無効化する方法を案内している。
》 「SoftEther VPN」で知られる登大遊氏が「Win32 Disk Imager」の改良版をリリース 「素人システム管理者」をボコボコに批判する長大なREADME付き (やじうまの杜, 11/22)
》 弊社が運営する「ワコムストア」への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ (ワコム, 11/21)
》 「ファスト映画」アップロードした2人に5億円の損害賠償金支払いを命じる判決 (Internet Watch, 11/21)。東京地裁 11/17。
》 原発:運転期限撤廃の印象操作? (まさのあつこ, 11/20)。「原発運転60年」は前人未踏だと。
岸田首相は、原発の運転期間(原則40年、最大延長60年)の上限をなくす検討をさせている。が、世界で最も長く動いている原発は53年に過ぎないという事実は、検討材料としてテーブルには載せていない。
》 変形した“柿”が大量発生その原因は?調べてみると大変なコトが…農家困惑 (TBS, 11/9)。原因不明だが、病害虫ではないと。
実が付き始めた時点で、すでに変形がみられるということで、実の成長過程で変異したものではないとみられます。原因がはっきりしないため対策も難しい
》 替え玉受検、容疑の男「やりがい感じた」 学生は「今後は自分で」 (朝日, 11/22)
女子学生は調べに「自分で受検したがWEBテストを突破できず不採用ばかりだった。そんな時にツイッターで代行を見つけた」と経緯を説明。
関連:
就活生になりすまし「WEBテスト」受検容疑 関西電力社員を逮捕 (朝日, 11/22)
捜査関係者によると、田中容疑者は関西電力社員。ツイッター上で京都大院卒という学歴をアピールして依頼者を募集。女子学生から23社分のWEBテストの代行を計約10万円で依頼されていたという。
就活WEBテスト替え玉事件で適用 「電磁的記録不正作出」容疑とは (朝日, 11/22)
就活替え玉受験 容疑者「感謝されやりがい」4000件代行か (毎日, 11/22)。余罪が山のようにありそうだと?
》 FC2のカード決済中止求める 警視庁、違法わいせつ動画横行で (朝日, 11/21)
こうしたことを問題視した同庁は、「ジェーシービー」「ビザ」「マスターカード」の3社に全国の警察が検挙した事例や違法動画の売買実態を提示した上で、FC2の主な決済手段の一つであるカード決済を使えなくするよう要請。具体的には、FC2との間に入る取次業者に取引中止を促すよう3社に求めた。
同庁によると、取引中止を求められた取次業者の一つが今年7月14日にFC2との契約を解除したところ、同日は約75万本あった国内の動画販売数は翌15日に約39万本に半減。その後も断続的に複数の業者が取引をやめ、8月20日には約30万本まで減った。
これですかね:
FC2ライブ / アダルト JCBをまた使える様にして欲しい (FC2 リクエスト, 8/8)
7月から予告もなく急にJCBのクレジットカードが使えなくなってしまったので、また使える様にして欲しいです。他の課金方法だと不便です。
》 「うるう秒」の廃止が決定、2035年までにうるう秒の挿入は停止されることに (gigazine, 11/21)。おめでとうございます。
ただし、国際電気通信連合(ITU)が2035年までに行ううるう秒の廃止を妨害する可能性も挙げられています。
うひゃあ。
》 自衛隊機へのレーダー照射疑惑、韓国国防省が改めて否定 絶対に認められない軍の事情 (朝日, 11/17)
》 Twitterが数百人退職のため本社を一時閉鎖へ (gigazine, 11/18)
》 エプソン、A3対応カラーインクジェット複合機「LM」シリーズを発表、CO2排出量低減など環境性能をアピール (Internet Watch, 11/18)
エプソン販売では「スマートチャージ」のなかで「オール・イン・ワンプラン」というプランをセールスの主力としている。これは、機器使用料と規定枚数までの印刷のほか、インクの自動配送、出張メンテナンスまでを含んだサービスだ。このほかに、学校向けのアカデミックプランも強く打ち出している。
アカデミックプランでは、今回発表のLMシリーズではなく、さらに高速で毎分100枚の印刷が可能なLXシリーズを導入することが多くなるという。基本的にはオール・イン・ワンプランに近いもとのなるが、一般的に金額が高くなるカラー印刷を我慢せず使えるよう、規定枚数まではカラーでもモノクロでも料金を同一としている。
》 ドコモがサービス終了を突如宣告、電子版お薬手帳継続へ対応迫られる 日本薬剤師会 (日経 xTECH, 11/18)。こういうのが一番怖い。
》 欧州でのロシアのスパイ活動に「重大な打撃」 MI5長官 (CNN, 11/17)
》 ドイツ、半導体工場の中国企業への売却禁じる (CNN, 11/13)
》 ポーランド・プシェヴォドフ村にミサイル落下、2人死亡 (11/15)
プシェボドゥフ、ポーランド (Google Map)。国境近くの村。リヴィウの近郊。
【検証】 ポーランドにミサイル着弾、公開情報から手がかりを探す (BBC, 11/17)。まとまっている記事。落下したのは、どうやら S-300 地対空ミサイルのようだ。
ポーランドにミサイル着弾で2人死亡、ウクライナ防空が原因のようとポーランドとNATO (BBC, 11/16)
ウクライナ、ポーランド着弾のミサイルはロシアが発射と主張 NATOの見方と食い違い (BBC, 11/17)。正直無理筋だが……。
ポーランドに着弾したミサイルについて、ウクライナのゼレンスキー大統領は「(欧州・大西洋)集団安全保障に対するロシアの攻撃」と非難。ドミトロ・クレバ外相も、ウクライナが発射したとするのは「陰謀論」だと述べた。どちらの主張にも、根拠はないとみられている。
このような発言は、一部の西側外交官の忍耐力を削り始めている。ウクライナ側の時に過激な言葉や要求が、西側同盟国の間の「ウクライナ疲れ」を悪化させるのではないかと、懸念されている。
ウクライナ各地、ロシアが爆撃 1千万人以上が電気失う (BBC, 11/17)。そもそもの原因を作っているのはロシアなのでねえ。
NATO、ポーランド着弾のミサイルをレーダーで追跡 (CNN, 11/16)、 バイデン氏、ポーランド着弾のミサイルは「ロシアから発射された可能性低い」 (CNN, 11/16)
関連:
独政府、ポーランドに防空協力を用意 戦闘機派遣し (CNN, 11/17)
》 自民党都連が「Dappi」発信元企業に400万円超支出 赤旗スクープで新たな“癒着”が発覚 (日刊ゲンダイ, 11/18)
》 ワクチン接種後に42歳妻が死亡 検証した県医師会は「体制に問題があった」夫は「怒りしかない」 (TBS, 11/18)
飯岡さんが不信感を抱いているのは接種直後、綾乃さんの体調が急変したのに、その場の医師らが急激なアレルギー反応、アナフィラキシーへの対応をすぐ行わなかった点です。(中略)
日本救急医学会のガイドラインにはワクチン接種後に急激な体調悪化があった場合、迷わずアドレナリンを投与すべきとしています。本来、血中酸素濃度は95%以上必要ですが、当時の綾乃さんは約60%しかありませんでした。
》 韓国国防省 “4年前 自衛隊機へのレーダー照射行っていない” (NHK, 11/17)。あいかわらずこんなこと言ってやがる。
》 北朝鮮 ICBM 発射、日本の EEZ 内に落下か。 「北海道渡島大島の西およそ210キロ」というと、EEZ の端かな。
【速報中】ミサイル 北海道西側 日本EEZ内着弾と思われる 首相 (NHK, 11/18)
北朝鮮のICBM級ミサイル、最高高度約6000キロ=松野官房長官 (ロイター, 11/18)。ロフテッド軌道。
日本の領海等概念図 (海上保安庁)
北朝鮮が日本海へ弾道ミサイル発射 北海道西のEEZ内に落下か (朝日, 11/18)
北朝鮮がICBMをロフテッド軌道で発射。日本のEEZに着水。 (海国防衛ジャーナル, 11/18)
関連:
2-239 EEZ(排他的経済水域)のマップを活用する② (地理屋にできること, 2010.04.17)、 Maritime Boundaries v11 (marineregions.org)。こんなのあるんですね。
》 TikTokでもオススメされていた世界最大級の海賊版電子書籍サイト「Z-Library」の運営者が逮捕・起訴される (gigazine, 11/18)
》 Apple、衛星を利用した緊急SOSを米国とカナダで開始 iPhone 14シリーズ向け (MACお宝鑑定団 / ITmedia, 11/16)
》 エプソン、オフィス向けレーザープリンタから撤退。2026年までにインクジェット方式に一本化 (PC Watch, 11/17)。おぉぅ。インクジェットの方が環境性能が高いため、だそうで。
エプソン社内では、2014年にはレーザープリンタを中心に利用していたところ、月間の消費電力は1万6,000kWに達していいたが、インクジェットプリンタへの置き換えを推進したことで、2019年には3,000kW弱まで削減。消費電力量の削減率は82%に達した。また、消耗品廃棄量は72%の削減率になったという。
マジか。そんなにか。
同社調べによると、医療・福祉系の大規模ユーザーでは、535台のレーザープリンタを、489台のインクジェットプリンタに置きかえたところ、消費電力量が85%削減され、CO2排出量も85%削減されたという。
おぉぅ。凄まじいなあ。
》 COCOA機能停止版が配信。約2年半の歴史に幕 (劉 尭 / PC Watch, 11/17)
今回のアップデートは、ユーザーに運用停止を伝えるとともに、この定期的な処理を停止する手続きを行なう機能を実装。(中略) この処理はOSが持つ接触通知機能を用いているため、各スマートフォンOSの設定から接触通知をオフにするよう設定変更を行なうことでも機能停止できる。例えば以前にCOCOAをインストールしたが既に削除している場合などは、この手段を用いるとよい。
・iOSの場合:iPhoneの「設定」→「接触通知」→「接触通知をオフにする」
・Androidの場合:OSの「設定」アプリ→「Google」→「COVID-19 接触通知システム」→「接触通知システムを使用」をオフに切り替える
》 Second ClamAV 1.0.0 release candidate AND updated packages for 0.105.1 (ClamAV, 11/15)
On October 31st, we repackaged all currently supported ClamAV versions to patch the bundled libxml2 and zlib library dependencies. For 0.105.1, this was intended to also include bug fixes for the jpeg and tiff Rust-based libraries that are bundled with the source code tarball. Unfortunately, those fixes were not all release-ready in time for the 0.105.1-2 packages. We have fixed the issue and are now publishing a third revision for ClamAV 0.105.1 packages.
ClamAV 0.105.1-3 が出ました、という話。
》 流れは変わるか? Yahoo!ニュースのコメント欄の携帯電話番号の設定必須化が本日開始 (Internet Watch, 11/15)。どうでしょう。
》 ドローンで上空から家の中をサイバー攻撃 壁越しに屋内のWi-Fi対応全機器を追跡 (ITmedia, 11/14)
》 Amazon、Alexa部門などで約1万人削減か──New York Times報道 (ITmedia, 11/15)
》 「児ポ」「獣姦」──pixivの一部サービスで規制強化、対応なければアカ停止も ユーザーからは批判相次ぐ (ITmedia, 11/15)
同社はお知らせの中で、国際カードブランドが規約で「児童ポルノまたは児童虐待」「近親相姦」「獣姦」「レイプ」(同意のない性的行為)「人または体の非合法的な切断」など、公序良俗に反する行為のコンテンツ/商品の取引を禁止していると指摘。これらのワードを含む利用規約に抵触する商品を取り扱っている場合は、非公開化や取り下げなどを呼びかけている。
そういえば、 DMMの「Mastercard取引停止」で考える“カード決済の裏” クレカの扱いがなくなる複数の理由 (ITmedia, 8/3) なんて話もありましたね。カード屋さんとのつきあいもたいへんだ。
》 「恐喝に応じるのも犯罪」ランサムウェアの身代金支払いの禁止を豪政府が検討中 (やじうま Watch, 11/16)
》 「インターネットで重要な青いチェックマーク(物理)」をTumblr公式ショップが販売中 (やじうま Watch, 11/16)
出ました。
Firefox 107 がリリースされた (mozillaZine, 2022.11.16)
Firefox for Android 107 がリリースされた (mozillaZine, 2022.11.16)
Thunderbird 102.5.0 がリリースされた (mozillaZine, 2022.11.16)
Firefox 107.0.1 出ました。セキュリティ修正は含みません。
Firefox 107.0.1 がリリースされた (mozillaZine, 2022.11.30)
Thunderbird 102.5.1 出ました。セキュリティ修正を含みます。
リモートコンテンツのブロックが回避される脆弱性を修正した「Thunderbird 102.5.1」 (窓の杜, 2022.12.01)
FTX崩壊、推移を時系列で整理 (coindesk JAPAN, 11/14)。簡潔なまとめ。
仮想通貨市場に激震、アラメダショックとFTX騒動の動向まとめ (coinpost.jp, 11/10)。詳しいまとめ。
FTX崩壊を引き起こした驚愕の8日間 (coindesk JAPAN, 11/11)
「FTX破綻」を解説…SBFとは誰か、FTXに何が起こったのか、仮想通貨業界にどんな影響があるのか (Business Insider Japan, 11/14)
Divisions in Sam Bankman-Fried’s Crypto Empire Blur on His Trading Titan Alameda’s Balance Sheet (coindesk, 11/2)。震源地。
バハマのペントハウスに同居、親密なルームメイトたちが運営していたFTX──多くの社員は蚊帳の外 (coindesk JAPAN, 11/11)
FTX危機に米規制当局が果たした役割【オピニオン】 (coindesk JAPAN, 11/13)
FTXをバハマ警察が捜査、破綻に関連した犯罪の有無が焦点 (ブルームバーグ, 11/14)
FTX幹部と関連会社CEO、FTXの顧客資金流用を知っていた=関係筋 (Wall Street Journal, 11/14)
機関投資家、仮想通貨と永久に決別か-FTX危機がとどめに (ブルームバーグ, 11/14)
仮想通貨の強気派はなお多いものの、多くの機関投資家はポートフォリオを多様化する役割や金の代替資産として仮想通貨を採用する理由は完全に否定されたとみている。損失があまりに大きく、市場構造が過度にリスキーだというのが理由だ。
2022 年末になって、ようやくその結論に到達ですか……。
》 「Windows 8.1」のサポート終了まで2カ月を切る ~Microsoftが注意喚起 OSだけでなく、「Microsoft 365」アプリのパッチも終了 (窓の杜, 11/14)
各社の UEFI 実装に欠陥。TOCTOU による競合状態が発生し、SecureBoot を回避する等の不適切な動作が実行されてしまう。CVE-2021-33164
Multiple race conditions due to TOCTOU flaws in various UEFI Implementations - Vulnerability Note VU#434994 (US-CERT, 2022.11.11 更新) によると、現時点では AMI / DELL / HP / Insyde / Intel が影響ありとされている。 AMI や Insyde の製品を採用している PC ベンダーは影響を受ける可能性がある。 たとえば Insyde だと、以前にはこういう話があった。
数多くのPCで採用されているInsyde H2O UEFI BIOSに23個の脆弱性。開示で修正へ (PC Watch, 2022.02.03)
Insyde H2Oは富士通、Siemens、Dell、HP、HPE、Lenovo、Microsoft、Intel、BullAtosなどで採用されており、これらのベンダーのシステムが影響を受ける。既に影響を受けるパートナーに対し、分析、開示、および更新の調整をしている。
一方で AMD / 東芝 / Phoenix は影響なしとされている。
libxml2 の欠陥 2 件 CVE-2022-40303 CVE-2022-40304 を修正。
iOS 16.1.1 および iPadOS 16.1.1 のセキュリティコンテンツについて (Apple, 2022.11.09)
macOS Ventura 13.0.1 のセキュリティコンテンツについて (Apple, 2022.11.09)
》 Unable to create install package for 14.3 RU6 for Mac (broadcom, 11/9)。SEPM 14.3 RU6 に移行したが Mac 版クライアントが無いよ? という話。11月下旬〜12月上旬のリリース予定だそうです。
》 警視庁がドラマ公開 実話をもとに先端技術の流出事件描く 出演はのんさん、筧利夫さん (ITmedia, 11/9)。産業スパイものだそうで。
》 環境活動家による名画攻撃、世界の有名美術館が共同声明 (AFP, 11/11)。環境テロリストは全く支持できない。
》 米IT大手トップから相次ぐ謝罪の言葉 過ちを認め、人員削減を断行 (Wall Street Journal, 11/11)
》 メタの致命傷は5兆円超え設備投資、絶好調のAI研究は今後どうなる (日経 xTECH, 11/11)
それ以上にすさまじかったのが、設備投資を中心とする資本的支出(CAPEX)の増加だ。2022年7~9月期の資本的支出は95億1800万ドルで前年同期比109%増、前年同期の2倍以上に増えた。(中略) 2022年1~12月の年間資本的支出は320億~330億ドルにまで膨らむ見込みだ。さらに2023年も増え続け、年間資本的支出は340億~390億ドルに達する見込みなのだという。現在の為替レートで計算すると約5兆7000億円にも達する。
5兆円ドン、さらに倍。すさまじい世界だな。
皮肉なことに、メタにおけるAIの研究開発は今が絶好調だ。AIを実行するITインフラに数兆円もつぎ込んでいるのだから当然と言うべきかもしれない。
(中略)
メタの弱点は、ESMFoldのような創薬に役立つAIを開発しても、それを企業に販売するルートが貧弱なことだ。
対照的なのはアルファベットだ。ディープマインドが開発した最新AIはGoogle Cloudを通じて法人向けにサービスとして提供され、売り上げにつながっている。
能力と業態とが整合していない?
ヘルソン方面
ショイグ国防相、ドニプロ川西岸からの撤退を命じる (11/9)
ロシア、南部要衝ヘルソンから撤退命令 ウクライナなお警戒 (ロイター, 11/10)
ロシア国防相、ヘルソン州都からの撤退指示 市民11万人超が避難 (朝日, 11/10)
ロシア政府、軍にヘルソン撤退を命令 ウクライナ南部で占領の州都 (BBC, 11/10)
ロシア国防相 ウクライナ南部ヘルソン州州都からの撤退命令 (NHK, 11/10)
親ロシアメディア、 「ヘルソン州知事代理」キリル・ストレモウソフ氏の事故死を報道 (11/9)
ヘルソン州で親ロシア派幹部が交通事故死か 「住民避難」を主導 (朝日, 11/10)
【独自取材】「事故当時現場にはいなかった」“ウサギ耳男性”が否定 犯人探しに“魔女狩り” (FNN, 11/3)
守られなかった道幅4メートル 韓国雑踏事故、路地を狭めた「違法」 (朝日, 11/4)
ソウル雑踏事故から1週間 警察の失態次々と 当直責任者が席外し、機動隊投入に遅れも (東京, 11/4)
梨泰院雑踏事故:通報殺到中に状況室ではなく自室にいた状況管理官 (朝鮮日報, 11/4)
梨泰院雑踏事故:消防は警察に2時間で15回支援要請するも警察官配置は23時30分だった (朝鮮日報, 11/5)
消防庁とソウル消防災難(災害)本部が4日に明らかにしたところによると、消防当局が最初に警察に共同対応を求めたのは、ソウル消防災難本部がソウル警察庁状況室に要請した午後10時18分だったという。これは119番に事故の通報があってから3分後のことだ。ソウル消防災難本部関係者は、ソウル総合防災センターから消防車を出動させた後、同センターのシステムである「警察共同対応要請」という緊急ボタンを押したとのことだ。だがこの時、ソウル警察庁も韓国警察庁も何の反応もなかったという。
ソウル消防災難本部は午後10時56分に電話で再びソウル警察庁に「多数の警察人員投入」を要請した。消防庁も同じ時刻、警察庁状況室に電話で「警察人員、車両規制の必要・支援」という内容の共同対応要請を送った。事故後、死傷者が警察や救急隊、市民らによって運ばれ始めたころだ。警察庁状況室はその時初めて事態を把握した。
群衆にのまれた夫婦、両足浮いて身動き取れず100分…ソウル雑踏事故「死を覚悟した」 (読売, 11/5)
「靴脱げた女性が次々に店内へ」現場前の店が新証言 梨泰院雑踏事故から1週間 (TV朝日 / Yahoo, 11/5)
「圧死しそう」「現場は街全体」 雑踏事故の数分前、悲鳴交じる通報 (朝日, 11/5)
「限定空間に10万人集まる」 雑踏事故2日前、警察は予測していた (朝日, 11/5)。しかし配置したのは 137 人。
警察当局は2018年は37人、19年は39人だったとして「例年より人出を見込み、多く配置した」とした。しかし、配置された137人の多くは麻薬などの犯罪取り締まりの要員だったという。
警察を所管する李祥敏(イサンミン)・行政安全相は事故翌日の会見で「警備が分散されたという側面があった」と説明している。市内の他の場所であったデモの警備に約4千人が投入されていた。
ソウル雑踏事故 管轄の警察署長・消防署長・区長を過失致死容疑で立件 (聯合ニュース / Yahoo, 11/7)
沈む街「廃業しようか」 夜、頭に浮かぶ事故の光景 韓国梨泰院は今 (朝日, 11/7)
雑踏事故当時の消防無線記録公開 緊迫した状況明らかに (聯合ニュース, 11/8)
梨泰院雑踏事故:特別捜査本部、警察庁長執務室など55カ所捜索 (朝鮮日報, 11/9)
雑踏事故現場のホテルを捜索 (聯合ニュース, 11/9)。ハミルトンホテル。
李林宰 (イ・イムジェ) 竜山警察署長 (当時)
梨泰院雑踏事故:1.8キロの移動に90分…はっきりしない竜山署長の行動 (朝鮮日報 / Yahoo, 11/4)
梨泰院雑踏事故:飲食店の防犯カメラに竜山署長、通報相次ぐ最中にのんびり食事 (朝鮮日報 / Yahoo, 11/8)
店を出た李林宰前署長は公用車に乗って梨泰院の事故現場に向かい、午後10時ごろ地下鉄・緑莎坪駅に到着、道がふさがっているのにもかかわらず車での通行にこだわり、50分以上過ぎて梨泰院交番近くのアンティーク家具通りに到着したことが分かった。この時も李林宰前署長が後ろ手を組んで歩く姿が防犯カメラにとらえられている。
梨泰院雑踏事故:竜山署長、事故発生から75分経っても「状況把握中」 (朝鮮日報, 11/9)
梨泰院雑踏事故:竜山消防署長立件がトレンド入り、韓国ネット民ら「納得できない」 (朝鮮日報, 11/9)
証拠隠滅?
梨泰院雑踏事故:竜山警察署、対応関連の証拠を隠滅か (朝鮮日報, 11/7)
本紙が6日までに取材した内容をまとめたところ、竜山署情報課のある情報官が事故の数日前に作成した報告書の一部に「コロナ後ということで多くの人が集まり事故が起こる危険性があるため、警察官の増員が別途必要になる」という趣旨の報告書を情報課長と情報係長に提出していたことが分かった。ところがこれを見た課長は「増員」に関する内容を削除した報告書を内部のネットワークに掲載するよう指示した。結果的に「ハロウィーンの時期に現場では警察官の増員がさらに必要」との意見は上部にしっかりと伝えられなかったようだ。
梨泰院雑踏事故:竜山署長の現場到着時刻を虚偽報告、ハロウィーン事前対策報告書は削除 (朝鮮日報, 11/8)
雑踏事故懸念の報告書削除指示 隠蔽工作、韓国警察が捜査 (共同, 11/9)
Microsoft 2022.11 月例更新出ました。
- .NET Framework
- AMD CPU Branch
- Azure
- Azure リアルタイム オペレーティング システム
- Linux カーネル
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Word
- ネットワーク ポリシー サーバー (NPS)
- オープン ソース ソフトウェア
- ロール: Windows Hyper-V
- SysInternals
- Visual Studio
- Windows Advanced Local Procedure Call
- Windows ALPC
- Windows Bind Filter ドライバー
- Windows BitLocker
- Windows CNG キー分離サービス
- Windows デバイス用ヒューマン インターフェイス
- Windows Digital Media
- Windows DWM Core ライブラリ
- Windows 拡張ファイル割り当て
- Windows グループ ポリシーの基本設定クライアント
- Windows HTTP.sys
- Windows Kerberos
- Windows Mark of the Web (MOTW)
- Windows Netlogon
- Windows Network Address Translation (NAT)
- Windows ODBC ドライバー
- Windows Overlay Filter
- Windows Point-to-Point Tunneling プロトコル
- Windows 印刷スプーラー コンポーネント
- Windows Resilient File System (ReFS)
- Windows スクリプト
- Windows Win32K
0-day は 4 件。
Windows Mark of the Web Security Feature Bypass Vulnerability CVE-2022-41091 (Microsoft, 2022.11.08)。CVSS:3.1 5.4 / 4.7
Windows Print Spooler Elevation of Privilege Vulnerability CVE-2022-41073 (Microsoft, 2022.11.08)。またまたプリントスプーラーですか。 権限上昇 (SYSTEM) が可能。 CVSS:3.1 7.8 / 6.8
Windows CNG Key Isolation Service Elevation of Privilege Vulnerability CVE-2022-41125 (Microsoft, 2022.11.08)。 権限上昇 (SYSTEM) が可能。 CVSS:3.1 7.8 / 6.8
Windows Scripting Languages Remote Code Execution Vulnerability CVE-2022-41128 (Microsoft, 2022.11.08)。 JScript9 に影響。 CVSS:3.1 8.8 / 8.2
Sysinternals は sysmon 。
Microsoft Windows Sysmon Elevation of Privilege Vulnerability CVE-2022-41120 (Microsoft, 2022.11.08)。 local user による権限上昇 (SYSTEM) が可能。 最新の Sysmon 14.11 では修正されている模様。
Exchange 0-day にようやく対応。
Released: November 2022 Exchange Server Security Updates (Microsoft, 2022.11.08)
Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability CVE-2022-37966 (Microsoft, 2022.11.08) への対応は、プロトコルの変更を伴うそうです。
KB5021131: How to manage the Kerberos protocol changes related to CVE-2022-37966 (Microsoft, 2022.11.08)。 デフォルトで RC4-HMAC だったのが AES になるそうで。
あと手動での対応が必要となる (patch を適用しただけでは穴は塞がらない) のが 2 件。
Windows Kerberos Elevation of Privilege Vulnerability CVE-2022-37967 (Microsoft, 2022.11.08)、 KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967 (Microsoft)。ドメインコントローラーの設定が必要。2023 年 7 月の更新で 強制的に有効にされる模様。
Netlogon RPC Elevation of Privilege Vulnerability CVE-2022-38023 (Microsoft, 2022.11.08)、 KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023 (Microsoft)。こちらはクライアントで設定が必要。2023 年 7 月の更新で 強制的に有効にされる模様。
関連:
【Windows11】 WindowsUpdate 2022年11月 不具合情報 - セキュリティ更新プログラム KB5019980 / KB5019961 (ニッチなPCゲーマーの環境構築Z, 2022.11.09) (link fixed: ホンマさん感謝)
【Windows10】 WindowsUpdate 2022年11月 不具合情報 - セキュリティ更新プログラム KB5019959 (ニッチなPCゲーマーの環境構築Z, 2022.11.09)
【Windows8.1】 WindowsUpdate 2022年11月 注意事項と各KBメモと直リンク KB5020023 / KB5020010等 (ニッチなPCゲーマーの環境構築Z, 2022.11.09) (ニッチなPCゲーマーの環境構築Z, 2022.11.09)
2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2022.11.09)
Microsoft November 2022 Patch Tuesday fixes 6 exploited zero-days, 68 flaws (Bleeping Computer, 2022.11.08)
Microsoft November 2022 Patch Tuesday (SANS ISC, 2022.11.08)
Patch Tuesday - November 2022 (Rapid7, 2022.11.08)
exFAT で権限上昇、なんてのが含まれているんですね。
Windows Extensible File Allocation Table Elevation of Privilege Vulnerability CVE-2022-41050 (Microsoft, 2022.11.08)
A domain user could use this vulnerability to elevate privileges to SYSTEM assigned integrity level.
local user ではなく domain user なので、 単に exFAT な USB メモリーを刺したらとたんに、とかいう話ではない?
exFAT file system specification (Microsoft)
2022年11月のパッチで「lsass.exe」にメモリリーク ~Windows Serverの一部バージョンで Microsoftが回避策を案内 (窓の杜, 2022.11.25)、 Windows Serverにメモリリークの不具合。サーバーが応答しなくなったり再起動が発生。2022年11月9日以降のWindowsUpdateに起因 (ニッチなPCゲーマーの環境構築Z, 2022.11.28)
当面の回避策としては、以下のコマンドを実行してレジストリキー「KrbtgtFullPacSignature」を「0」に設定するのが有効。 ただし、この問題が解決され次第、「KrbtgtFullPacSignature」をより高い値へ戻す必要がある。
不具合情報。
KB5019959やKB5020030などに新たな不具合。データベースへのアクセスに失敗。Windows10や11、Serverなど、サポート中の全OSに影響 (ニッチなPCゲーマーの環境構築Z, 2022.12.07)
具体的にはMicrosoft ODBC SQL Server Driver (sqlsrv32.dll)を使用するアプリが、データベースへのアクセスに失敗することがあります。
2022年11月セキュリティパッチにまた問題、アプリがODBCデータベース接続に失敗してしまう (窓の杜, 2022.12.06)
今のところ、確実な対応方法はアンインストールしかない模様。
あと、修正された欠陥 Windows Scripting Languages Remote Code Execution Vulnerability CVE-2022-41128 の解説:
GoogleがIEのゼロデイ脆弱性を突いて韓国のユーザーを狙った北朝鮮発の攻撃を解説 デフォルトのWebブラウザーが「Internet Explorer」でない場合でも感染 (窓の杜, 2022.12.09)
Windows Kernel Elevation of Privilege Vulnerability CVE-2022-38038 (Microsoft) への対応が、2023.04.11 (US 日付、次回の Windows Update の日) に「初期適用フェーズ」に入る。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)。 2023.04.11 以降、 RequireSeal: 0 (無効) と設定できなくなる。 2023.07.11 以降、 RequireSeal: 1 (互換モード) も設定できなくなり、常に 2 (強制モード) となる。
Microsoft Netlogon: Potential Upcoming Impacts of CVE-2022-38023 (SANS ISC, 2023.04.08)。注意喚起。
CVE-2022-38023 への対応とその影響について (Microsoft Japan Windows Technology Support Blog, 2023.01.22)。 これがいちばんわかりやすい?
CVE-20122-38023は、ONTAP 9に影響しますか (NetApp)、 Does CVE-2022-38023 have any impact to ONTAP 9 (NetApp, 2023.04.07 更新)。英語版の方が新しいみたい。 「1514175の修正バージョンにアップグレードします」というのは、 対応 patch がある、ということなんですかね。
CVE-2022-38023はData ONTAP 7-Modeに影響しますか (NetApp)。「7-Modeは限定サポートの対象であるため、ONTAP 7-Modeではこの新機能を実装するパッチは計画されていません」。
CVE-2022-38023 方面。
KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法 (Microsoft)。強制フェーズに移行しました。
【重要なおしらせ】 Windows Netlogon脆弱性対応(CVE-2022-38023)のための仕様変更による ONTAP SMB 共有アクセスへの影響 (日本オフィス・システム株式会社 2023.06.23)
CVE-20122-38023は、ONTAP 9に影響しますか (NetApp)
Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス (2022.10.04)
2022 年 11 月のセキュリティ更新プログラム (月例) (Microsoft, 2022.11.09) で更新プログラムが提供されました。
Released: November 2022 Exchange Server Security Updates (Microsoft, 2022.11.08)
Chrome 107.0.5304.110 (Mac/Linux) および 107.0.5304.106/.107 (Windows) 公開。10 件のセキュリティ修正を含む。 (バージョン番号修正: iida さん情報ありがとうございます)
》 北海道、コロナ感染者9136人 1日あたり過去最多を更新 (朝日, 11/8)。関連:
「コロナ 北海道」で検索 (Google)。今まさに第7波を越えようとしているのが北海道の現実。
「第8波念頭に」コロナ対策で加藤厚労相 ワクチン接種費にも言及 (朝日, 11/8)。言ってる内容が呑気すぎる。もはや「第8波につながる可能性」などという状況ではない。
》 ノートンやAvast、Avira、AVGといった著名アンチウイルスが「Gen」に統合 (PC Watch, 11/8)
》 Windows 11の一部環境でゲーム性能が低下、セキュリティ・仮想化の設定見直しを (窓の杜, 11/8)
最近のWindows 11デバイスでは初期状態で「メモリ整合性」や「仮想マシン プラットフォーム」といった機能が有効化されているが、それが原因で一部の環境でゲームのパフォーマンスが低下することがある
》 Xbox Game Barに音ズレの不具合。Windows11 22H2にて発生 (ニッチなPCゲーマーの環境構築Z, 11/8)
この不具合は、2022年10月26日にWindowsUpdateに配信されたWindows11 22H2用プレビューリリースKB5018496にて修正されています。
》 Microsoft、ロシアによるサイバー攻撃の増加などを報告 (PC Watch, 11/7)
》 ロシアはアメリカ中間選挙に干渉しウクライナ支持の弱体化を目指している (gigazine, 11/8)。プリゴジンの件。
米中間選挙、介入認める ロシア大統領に近い実業家プリゴジン氏 (時事, 11/8)
プーチン大統領の側近・プリゴジン氏、米選挙への「介入」認める (毎日, 11/8)
》 米中間選挙を前に、“偽情報”がWeChatを舞台に中国語で拡散している (WIRED, 11/8)
》 「中国軍が元軍用機パイロットをリクルートしている」──西側に広がる警戒 (ニューズウィーク日本版, 11/7)
》 auPAY不正利用の疑い、男女2人逮捕 商品購入役の「買い子」か (毎日, 11/8)。フィッシング経由だそうで。
auPAYを巡っては、全国で同様の不正利用が多発し、警察当局が摘発を強化している。
そんなに流行ってるの?
》 中古防衛装備の輸出条件を緩和 政府、戦車やミサイル 無償提供も視野 (日経, 11/6)。いよいよキナ臭くなってまいりました。
日本はアジアではインドやベトナム、フィリピンなど6カ国と防衛装備品・技術移転協定を結んでいる。こうした国への輸出や無償供与を想定する。三原則の指針などで譲渡できる品目を変更し、中古について戦車やミサイルを追加する。
他国と防衛装備を共同開発したときの移転条件も緩和する。共同開発国が戦闘機などを第三国に輸出・提供する場合、三原則は日本の事前同意を求める。輸出のたびに手続きが必要になるため日本との共同開発をためらう要因とされてきた。
政府は事前同意をなくす案を検討する。日本は航空自衛隊のF2戦闘機の後継にあたる次期戦闘機を英国と共同開発する見通しで、計画を円滑に進めやすくなる。
マスク氏のツイッター再生、失敗しそうな訳 (Wall Street Journal, 11/7)
ツイッターの大規模解雇は「AI倫理」の分野にも打撃、研究チームの“解散”が業界に波紋 (WIRED, 11/8)
「イーロン・マスクと仕事する時は善良なイーロン・マスクと悪いイーロン・マスクの2人が存在するという心構えが必要」と元SpaceXエンジニアがアドバイス (gigazine, 11/7)
Twitterの有料「認証済みバッジ」機能はアメリカの中間選挙後まで延期か (gigazine, 11/7)
Twitterは特定のメディアを優遇し、さらに「トレンド操作」をしていたのか (リョーさんのサラリーマン日記, 11/8)
関連: 「トレンド操作」トレンド入り 大量解雇でTwitterはどう変わる? ITmedia NEWS編集部で考えてみた (ITmedia, 11/7)。わかりやすい解説。
イーロン・マスクによるTwitter従業員のレイオフで日本・インド・アイルランドなどで大量の従業員が解雇される (gigazine, 11/8)
イーロン・マスクの買収後Twitterのデイリーユーザー数が「史上最高」を記録、一方で100万アカウントが消え去ったという指摘も (gigazine, 11/8)
Twitterの元エンジニアが「非倫理的なシステム」を作らされそうになった時のエピソードを打ち明ける (gigazine, 11/8)。「2015年~2016年頃」。
関連:
Twitterでイーロン・マスクによる改革が進む中、Mastodonの月間アクティブユーザー数が100万人に到達 (gigazine, 11/8)
【速報】大阪・堺市の「給食提供施設」にもサイバー攻撃 31日に攻撃があった『大阪急性期・総合医療センター』に給食提供 吉村知事「給食事業者のサーバーから侵入した可能性高い」業者の機器は去年サイバー攻撃受けた徳島の病院と同一 (MBS / Yahoo, 11/7)。ベルキッチン。
政府専門家チームによる調査結果で、ウイルスはベルキッチンのサーバーから侵入された可能性が高いことがわかった (中略) 給食委託業者のセキュリティー機器は、去年10月にサイバー攻撃を受けた徳島県の「半田病院」と同一で、ソフトウェアが更新されていない状態だった
オフィシャル: ウィルス感染被害によるシステム障害発生のお知らせ (社会医療法人生長会, 11/7)
大阪の病院サイバー攻撃、システム再構築へ 復旧は年明け (日経, 11/7)
ロシア撤退で協力者に冷たい視線 ウ軍奪還地 (Wall Street Journal, 11/7)
ウクライナ侵攻で注目されたOSINT(オシント)ロシア軍の情報、9千キロ先から監視 (朝日, 11/6)
ヘルソン市内から露プロパガンダ放送が消え、ウクライナラジオの聴取が再び可能に (UKRINFORM, 11/7)
ウクライナ激戦地に日本人志願兵 両親に内緒で入隊「失うものない」 (朝日, 11/7)
腕だけの遺体に結婚指輪 沖縄出身志願兵がウクライナで見た「地獄」 (朝日, 11/8)
ロシア軍 予備役500人以上が攻撃受け死亡 一個大隊ほぼ全滅か (NHK, 11/8)
ロシア軍の地下司令部に残っていた“内部文書”が露呈する「敗走までの日々」 (ロイター / クーリエ・ジャポン, 11/3)。興味深い。
ロシア兵の遺体を回収するアントン大尉に密着 「ウクライナへようこそ、ロシアのお肉さん」 (ワシントン・ポスト / クーリエ・ジャポン, 11/8)
欧米はウクライナへの防空支援「強化すべき」、シリア内戦の再来警告=英シンクタンク (BBC, 11/8)
》 Intel CPUの間接分岐保護機能「IBT」がLinux 6.2以降でデフォルトに (gihyo.jp, 11/7)
》 各社、RTX 4090付属の12VHPWR変換ケーブルを交換中か。発火・融解問題を受け (ニッチなPCゲーマーの環境構築Z, 11/8)
》 RTX 4090、変換ケーブルを使わなくても12VHPWRが融解。ATX 3.0電源のネイティブ接続でも融解したとの報告 (ニッチなPCゲーマーの環境構築Z, 11/6)。原因は「8ピン - 12VHPWER変換ケーブル」のみにあらず。
》 闇サイト「シルクロード」から盗まれた4920億円相当のビットコインが押収される、ただし2022年11月時点では3分の1以下の価値に (gigazine, 11/8)
》 Starlinkが通信速度の公称値を下方修正し昼間の高速通信容量を1TBに制限、追加には別途料金が必要なことが明らかに (gigazine, 11/7)
》 最大級の海賊版電子書籍サイトが突如閉鎖、「現代版アレクサンドリア図書館の放火」と嘆く声 (gigazine, 11/7)。アレクサンドリア図書館を海賊サイト扱いするな。
》 iPhone 14 Proシリーズの供給に大幅な遅れ、中国の工場がコロナでロックダウンしたことにより (gigazine, 11/7)
2022年11月のAndroidセキュリティ更新が発表 ~Qualcomm製品に深刻度「Critical」の脆弱性 (窓の杜, 2022.11.08)
》 英国 ウクライナのサイバー防衛に635万ポンド(約10億円)を支援している (2022.11.01) (まるちゃんの情報セキュリティ気まぐれ日記, 11/5)
》 全国の米軍基地周辺で有機フッ素化合物汚染が頻発 実態暴いた記者ミッチェルさんは嘆く「もっと学んで」 (東京, 10/30)。有機フッ素化合物 (PFAS) の件。
関連:
PFOS含有泡消火薬剤全国在庫量調査の結果について (環境省, 2020.09.25)
関係省庁・関係団体を通じて、PFOSを含有する泡消火薬剤が使用されている消防機関、空港、自衛隊関連施設、石油コンビナート等、その他の施設を対象として調査を行いました。
有機フッ素化合物(PFOS・PFOA)について (神奈川県)
》 Congressman demands answers to questions raised in Local 12's 'Fallout' investigation (LOCAL12, 10/28)
CINCINNATI (WKRC) - For decades, people living in the shadow of the Portsmouth Gaseous Diffusion Plant (PORTS) have felt alone, facing growing evidence from the governments own data that the now-closed cold war plant that once processed uranium for America’s nuclear bombs and nuclear power plants is spreading radiation that may be causing cancer and death.
》 CISAが米連邦政府機関を対象に発行、脆弱性検知の改善などを義務付ける「拘束力のある運用指令」の中身 (Internet Watch, 11/4)
「BOD 23-01」で求められる内容はいずれも「もっとも」なものではありますが、実現するのは決して容易なものではなく、かなり厳しいものとなっています。また、やるべきことは具体的に示されていますが、それをどのような技術(ソフトウェアなど)で実現すべきかは明記されておらず、自由度が高い分、対応する機関側の負担は大きいと言えるかもしれません。いずれにせよ、攻撃の対象となりやすく、しかも被害を受けた際の影響が大きい連邦政府機関の場合は、これくらいの備えをしておかなければならないのは仕方のないことなのでしょうし、少なくともCISAはそう判断したのでしょう。
》 ビットコイン採掘機器、ただ今大特価セール中 (Wall Street Journal, 11/7)
米連邦準備制度理事会(FRB)が金利を引き上げ始めると、リスク資産の魅力は低減し、ハイテク株も暗号資産(仮想通貨)も同様に急落した。ビットコインが暴落(現在は1年前よりも約70%安)すると、マイニング企業の経費、特に債務返済額は売上高を上回るようになった。一部の企業は、手元のキャッシュを調達するためにハードウエアを売却するしかない状況だ。
『Dappi』のTwitterアカウントめぐる訴訟始まる。小西洋之参院議員ら「ツイートは名誉毀損」訴え (竹下由佳 / ハフポスト, 2021.12.10)
『Dappi』のツイートは「従業員が私的にやったこと」 発信元企業側が書面提出 (竹下由佳 / ハフポスト, 2/28)
【Dappi裁判】ツイートめぐり主張対立が続く。被告企業「従業員が私的にやったこと」。原告の議員「会社として行ったものだ」(第3回口頭弁論) (竹下由佳 / ハフポスト, 4/11)
『Dappi』の投稿者に「減給の懲戒処分」。被告企業が明らかに(第4回口頭弁論) (竹下由佳 / ハフポスト, 5/27)
『Dappi』投稿者の処分は「報道関係者らが押しかけ活動が著しく害されたため」被告企業側(第5回口頭弁論) (竹下由佳 / ハフポスト, 8/22)
『Dappi』投稿者への社内調査、報告書作成せず。「業務性」めぐり平行線(第6回口頭弁論) (竹下由佳 / ハフポスト, 9/30)
次回は 11/25 だそうです。
》 Starlinkの個人向けプラン、日本列島のほぼ全域で利用可能に (ITmedia, 11/4)
》 Metaが数千人規模の人員削減か Wall Street Journal報道 (ITmedia, 11/7)、 米メタ、大規模な人員削減を今週通知へ=関係筋 (Wall Street Journal, 11/7)
》 米ハイテク大手が採用にブレーキ-アップルほぼ停止、リフト人員削減 (ブルームバーグ, 11/4)、 Amazon、新規採用を凍結 「普通ではない経済環境」 (日経, 11/4)
従業員の大量解雇の影響か? Twitterでニュースなど一部機能の更新が停止中 (やじうま Watch, 11/7)
Twitter、解雇した従業員の一部を呼び戻し 後から必要と判明した人材など 米報道 (ITmedia, 11/7)
Twitterでの大量解雇開始 「僕のせいだ」とジャック・ドーシー氏 (ITmedia, 11/6)
TwitterのiOSアプリ、11月5日付の更新で「Twitter Blue」が7.99ドルに 「青バッジをゲットしよう」 (ITmedia, 11/6)
「Twitterのなりすましアカウントは永久停止にする」──イーロン・マスク氏がツイート (ITmedia, 11/7)
【随時更新】今Twitterで何が起こっている? マスク氏買収からの激動の変化まとめ (ITmedia, 11/7)
》 配送事故? キャパオーバー? Amazonで商品が「配達不能」となるトラブル (やじうま Watch, 11/7)
》 米、豪北部に核搭載可能なB52の配備計画=関係筋 (ロイター, 10/31)。「最大6機」。関連:
60年超え現役、米B52爆撃機が活躍する事情 (Wall Street Journal, 2021.01.28)
米空軍、B-52戦略爆撃機の大規模な近代化改修に取り組む (TOKYO EXPRESS, 2021.10.23)
米B52爆撃機、機能刷新・運用継続へ 対中抑止を強化 (Wall Street Journal, 10/18)
New packages for ClamAV 0.103.7, 0.104.4, 0.105.1 to resolve CVE's (ClamAV, 2022.10.31)。3 件のセキュリティ欠陥を修正。 CVE-2022-37434 (zlib, critical) CVE-2022-40303 (libxml2, high) CVE-2022-40304 (libxml2, high)
OPEN SOURCE NTFS-3G SECURITY ADVISORY NTFS3G-SA-2022-0003 (oss-sec ML, 2022.10.31)。NTFS-3G 2022.10.3 で修正されている。 CVE-2022-40284
いろいろ (2022.11.03) Node.js
(Update 04-November-2022) Security releases available (Node.js, 2022.11.04)。OpenSSL 関連じゃない件は「DNS rebinding in --inspect via invalid octal IP address (Medium) (CVE-2022-43548)」。
Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)
Firefox 106.0.5、Thunderbird 102.4.2 が公開されています。
「Firefox 106.0.5」が公開 ~Gemini Lake CPUでクラッシュする問題を修正 (窓の杜, 2022.11.07)
「Thunderbird 102.4.2」が公開、CardDAVのアドレス帳をデフォルトで新規作成するように (窓の杜, 2022.11.07)
》 [注意喚起]EMOTETの拡散再開について(2022年11月) (トレンドマイクロ, 11/4)
関連: マルウェアEmotetの感染再拡大に関する注意喚起 (JPCERT/CC, 11/4 更新)
》 EUに暗号化を破壊させてはならない――我々の自由と権利を奪う暗号化の破壊 (EDRi / P2Ptk.org, 10/25)
》 Air-to-Air Missiles Could Be the North Korean Defense Sector’s Next Breakthrough: Why It Matters (38 North, 10/28)
イーロン・マスクのTwitter買収でMastodonユーザーがたった1週間で23万人も増加、アクティブユーザー数も過去最多へ (gigazine, 11/4)
イーロン・マスクのTwitterが「有料動画」や「有料DM」の実装を計画中 (gigazine, 11/4)
》 Who put the "Dark" in DarkVNC? (SANS ISC, 11/2)
》 TikTokが「中国人スタッフがユーザーデータを閲覧可能」と認める、ヨーロッパでのプライバシーポリシー更新で (gigazine, 11/4)
ロシア、方針転換 ウクライナの穀物輸出再開に再び合意 (BBC, 11/4)
ロシア国防省報道官は国営テレビに、ウクライナの港や人道回廊を「ロシア連邦への軍事攻撃に使用しない」と保証する文書をウクライナ政府から得たため、ロシアは当面その保証で満足したと明らかにした。
米中間選挙でアメリカのウクライナ支援は変わるのか? (BBC, 11/4)
》 国際観艦式20年ぶりの開催その意義は (NHK 解説委員室, 11/4)、 国際観艦式 2022 (海上自衛隊)。2022.11.06 10:20 から 海上自衛隊 公式 YouTube チャンネル で中継するそうで。
》 世界共通の色見本「PANTONEカラー」の利用にアドビが課金、新たな施策がデザイン業界に波紋 (WIRED, 11/4)
そして現時点では、現実的に使える代替ソリューションは存在しない。パントンは業界標準になっているのだ。
関連: 色を奪うAdobe (コリイ・ドクトロウ / P2Ptk.org, 10/31)
中国政府がAppleに圧力をかけたのは、AppleがApp Storeに変更を加えればユーザの選択を奪うことができると知っていたからであり、PantoneがAdobeに強く出るのも、SaaSがユーザの怒りからAdobeを守ることができると知っていたからである。
Adobeユーザは、同社のライバルであるFigmaに乗り換えることすらできない。Adobeは200億ドルを投じて同社を買収し、ユーザがベンダーを乗り換えて不支持を表明することすらできないようにしたばかりなのだから。
》 Windows Sysinternals 更新情報 (2022 年 11 月 4 日) - Procexp v17.01、Procdump v11.0、ProdDump 1.3 for Linux (山市良のえぬなんとかわーるど, 11/4)
》 映画『Winny』 (壇弁護士の事務室, 10/15)、 映画「Winny」が5年の時を経て、ようやく公開準備が整いました。 (サトシ・フルハシ / note, 10/7)
》 しょせん他人事ですから ~って掛け軸をいいっていう依頼者はおらんくね? (壇弁護士の事務室, 10/25)
》 サイバー攻撃受けた病院で一部手術を再開 通常診療や救急の受け入れは停止の状態続く (MBS, 11/4)。大阪急性期・総合医療センター。
》 Amazon.comは新規雇用凍結、StripeとLyftは大規模レイオフ (ITmedia, 11/4)
》 裾野市のスプリンクラー事故で調査委員会設置へ、被害総額は億単位 (日経 xTECH, 11/4)。関連:
裾野市オフィシャル:
2022年度第4回月例記者会見(2022年10月5日開催) (裾野市, 10/5)
2022年度10月臨時記者会見(2022年10月27日開催) (裾野市, 10/27)
「楽器救出のためずぶ濡れに」文化センターでスプリンクラー突然作動し 楽器が水浸し…100点以上破損、けが人も 原因分からず 裾野市の対応に楽団が強い憤り (静岡放送 / TBS, 10/13)
スプリンクラーの水には、小石やほこりが混じっていて、シンバルやティンパニなどの打楽器や弦楽器など合わせて100点以上が破損しました。
楽器に降り注いだのは「死水」? スプリンクラー作動でオーケストラずぶ濡れ、被害“数億円”か 楽器修理・消防設備の専門家の見解は (Abema TV, 10/24)
スプリンクラーのスペシャリストである吉村拓也さん(WAVE1代表取締役)は、写真や状況から、今回の設備は「開放型スプリンクラー」だと推測する。基本的に劇場や舞台に付いていて、一気に燃え広がる危険性に備えて、大量の水が出るようになっているという。
吉村さんによると、噴き出す水は、建物地下の水槽から引かれることが多い。何年も動かないため腐ってしまう「死水(しにみず)」と呼ばれ、臭いが発生することもあるという。誤作動の可能性については、珍しい設備なので事例はないが、「構造上なくはない」と指摘する。
では、人為的に散水された可能性はあるのか。シンフォニエッタ静岡の植田明美楽団長は、スプリンクラーのレバーはステージ両脇に2つあり、近くには楽団関係者とホール関係者がいたが、水が降り始めた時点でレバー周辺に人が居なかったのを見ていると話す。
「(楽器の被害に加えて)楽譜が濡れたことがつらかった。楽譜はオーケストラが長年紡いできた歴史そのもの。それを廃棄しなければならなかったのは、精神的に相当きつかった」(植田さん)
天井から滝のような水が…被害は数億円 スプリンクラーの誤作動それとも… オーケストラ「このままだと泣き寝入り」 静岡・裾野市 (静岡朝日テレビ, 10/17)
水に濡れ破けてしまった様子が痛々しい楽譜。カビてしまったことで破棄したものもあり、被害は百数十万円分にのぼります。オーケストラが所有するティンパニーなどの楽器の修理には、1000万円ほどかかるとのことですが、団員の中には、個人で高額な楽器を所有する演奏家もいるということです。
指揮者 中原朋哉さん:「2000万円とか3000万円という楽器を持ってる人は多分いるでしょうね。ローンを組んでたり、親から借りたり、そんな感じでしょうね。長い時間かけて払ってきて、やっと払い終わったのにと」
裾野市民文化センターどうなる スプリンクラー作動問題まとめ (あなたの静岡新聞, 10/28)
About the security content of Xcode 14.1 (Apple, 2022.11.01)。Git 3 件と IDE Xcode Server 1 件。
Splunk Product Security (Splunk)。Quarterly Security Patch Updates として 2022.11.02 に Splunk Enterprise の欠陥が多数公開されている。
VTS22-004 HotFix for Security Advisory Impacting NetBackup – Primary/Media Server (Veritas, 2022.07.18)。大半は認証が必要だが、無認証の RCE もあるなあ。
Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)
Firefox 106.0.4 が公開されています。結局、まともにテストしてないってことなの?
「Firefox 106.0.4」が公開 ~メディア再生のクラッシュなどを修正 (窓の杜, 2022.11.04)
》 著作権侵害の嵐に翻弄されるストームチェイサー:いかにして独立系クリエイターの権利・収益は“大手”に盗まれているのか (P2Ptk.org, 10/18)
Facebookは削除専門チームを組織し、ユーザが著作権侵害を阻止できるようにしている。だがそこには、文字通り、大きい問題がある。Facebookはかなり手の込んだ著作権バックエンドを備えているが、著作権の競合があった場合、大規模なページが小規模なページを切り捨てられるようにしているのだ。
「2つのページがRights Manager上でビデオの権利を主張した場合、競合が発生します。その場合、実際の所有権とは無関係に、最も多くのフォロワーを持つページが『所有権を確認する』オプションを持つことになります」とクレメントは説明する。
「これに異議申し立てすることはできず、METAは7日間の待機期間後に、大きい方のページにビデオの管理権を与えるだけです」。
このアプローチは、実質的にクレメントら独立系クリエイターに自らの権利の放棄を強要する。上記の画像は、彼と仲間のストームチェイサーが撮影し、アップロードした2つのビデオである。Facebookによると、最初にビデオを公開したのは彼らだが、現在は「 Sky News Arabia」と「MBC」がこのビデオを所有していることになっている。
韓国雑踏事故の「警備体制の不備」、明石歩道橋事故との共通性 (郷原信郎 / Yahoo, 11/2)
明石歩道橋事故については、地域官ら5人の裁判の一審判決が述べているように、明石警察署長の対応は、暴走族対策にばかり注意を向ける一方、雑踏事故の対策をあまりに軽視したものだった。ソウル・梨泰院(イテウォン)の雑踏事故で、薬物や性犯罪の予防に関心が向けられ、雑踏警備が軽視されていたのも、同様の構図だったのではないか。
通報はしたけれど
梨泰院事故 警察への通報全文 事故前に寄せられた切実な声 (NHK, 11/2)。通報 11 件の翻訳記事。
この11件の通報に対して、実際に警察が出動したのは、4件にとどまっていたということです
しかし 4 件は出動していたわけだよね。 当該警官は、あの状況を見て何とも思わなかったってこと? それとも、実は現場に行ってない?
ソウル雑踏事故、警察など捜索 警察トップ事故把握、発生2時間後 (毎日, 11/2)
これらの通報にもかかわらず、実際に警察官が現場に出動したのは11件の緊急通報のうち4件だけだった。特に午後9時7分以降に受けた5件の緊急通報では出動もしないなど積極的な措置をとらなかった。
NHK 記事だと 7〜11 になっている分 (11 が最後) は出動しなかったと。 すると、PM 09:02 の分では出動したことになる。 出動した結果、問題ないと判断したのか? どこを見て?
[梨泰院惨事]事を大きくした警察の対処…通報あったのに警官増員なし、なぜ? (ハンギョレ, 11/3)
[社説]梨泰院惨事前の通報黙殺に関する捜査、トカゲのしっぽ切りになってはならない (ハンギョレ, 11/3)
【韓国梨泰院圧死事故】主催者がいないから責任はない?…法曹界「むしろ国の責任は大きくなる」(1) (中央日報 / Yahoo, 11/2)、 (2) (中央日報 / Yahoo, 11/2)
[梨泰院惨事]156人死亡の社会災害の前で「マニュアル不在」ばかりを責める国家 (ハンギョレ, 11/3)
》 【速報中】北朝鮮 弾道ミサイル「火星17型が飛行に失敗か」 (NHK, 11/3)。今朝のやつ。
Twitterの買収を完了したイーロン・マスクがCEOに就任、テスラから集められた50人以上のエンジニアがTwitterのコードレビューに加わる (gigazine, 11/1)
イーロン・マスク体制によるTwitterの無法地帯化を危惧した広告主が広告出稿を続々停止 (gigazine, 11/2)
イーロン・マスクが「Twitterの認証済みバッジはでたらめ」と発言し有料化を示唆、有料サービス「Twitter Blue」の値上げも (gigazine, 11/2)、 Twitterの青い「認証バッジ」は月8ドルに。マスク氏がツイート (Impress Watch, 11/2)
TwitterやFacebookが政府の要請でどのようにコンテンツを削除してきたかが明らかに、Facebookは削除対応用のポータルサイトまで作成 (gigazine, 11/2)
FBIが「イーロン・マスクに買収されたTwitterのユーザー情報が外国に漏れるのではないか」と懸念している (gigazine, 11/2)
イーロン・マスクがTwitter買ってからやったことまとめ (gizmodo, 11/2)
》 2万件超すフェイク記事・サイトの6割で、Google広告が収益を支える 初の大規模国際調査 (新聞紙学的, 11/1)
》 総務省 「クラウドサービス利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」 の公表 (まるちゃんの情報セキュリティ気まぐれ日記, 11/2)
》 中国独自の宇宙ステーション「天宮」を構成する最後のモジュール「夢天」の打ち上げとドッキングが完了 (gigazine, 11/2)
》 FacebookやInstagramを使っていないのに他人のアドレス帳経由で勝手に登録されてしまった電話番号やメールアドレスを削除する方法まとめ (gigazine, 11/2)
》 ハリケーン「イアン」が去ったあと、“人食いバクテリア”による感染症が発生したことの重大な意味 (WIRED, 11/2)
体内に侵入したビブリオ・バルニフィカスは、人間の免疫システムをかいくぐることに長けている。この細菌はバイオフィルムを形成することが多い。バイオフィルムとは糖分とタンパク質、脂肪、微生物が混ざってできたぬるぬるした膜のことだ。細菌はこの膜で身を守っており、人体の免疫細胞はこれをなかなか壊せない。
皮膚から侵入した細菌は軟部組織を破壊し、最終的には壊死性筋膜炎を引き起こす。これは皮膚細胞が急速に分解されて死滅し、黒紫色の病変が発生する病態だ。同時に赤血球が保持している鉄分を奪い、敗血症を引き起こすこともある。ビブリオ・バルニフィカス感染症の全体での致死率は35%だが、基礎疾患がある人や免疫力が低下している人では50%近くにもなる。
》 東京都がパートナーシップ制度を開始 性的少数者カップルに同等の公共サービス (BBC, 11/2)。一歩前進ではあるが、ここで止まっては駄目。
関連: 11月開始の東京都パートナーシップ制度は「同性婚の通過点」。なぜパートナーシップではダメなのか (Business Insider, 11/1)。北丸雄二氏にインタビュー。
巡航ミサイルを迎撃するウクライナ空軍パイロット、任務の重圧を語る (BBC, 11/2)
ウクライナの原発を「安全地帯」に:危険が迫るなかでの攻防の行方 (WIRED, 11/3)
ロシア軍ヘリに破壊工作の映像、ウクライナは爆発の発生を速報 (CNN / Yahoo, 11/3)
Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)
Firefox 106.0.3 が公開されています。
Windows版「Firefox」が起動時にクラッシュする問題 ~ここ10日間で3回目の更新で対処 (窓の杜, 2022.11.01)
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 (2022.10.11)
Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査 (マクニカネットワークス セキュリティ研究センターブログ, 2022.10.14)
Nov 3 2022 Security Releases (Node.js, 2022.11.01)。明日公開予定。 セキュリティ修正 1 件 (medium) + OpenSSL 3.0.7 対応。
(Update 04-November-2022) Security releases available (Node.js, 2022.11.04)。OpenSSL 関連じゃない件は「DNS rebinding in --inspect via invalid octal IP address (Medium) (CVE-2022-43548)」。
Version 8.0.25 (PHP, 2022.10.27)。 CVE-2022-31630 CVE-2022-37454 を修正。
Version 8.1.12 (PHP, 2022.10.27)。 CVE-2022-31630 CVE-2022-37454 を修正。
SHA-3 code execution bug patched in PHP – check your version! (Sophos, 2022.11.01)。 CVE-2022-37454 の解説記事。
According to the Python team, “Python 3.8 and earlier did not delegate sha3 to OpenSSL regardless of version, so those are vulnerable”.
Debian の Python 関係修正:
Debian alert DSA-5267-1 (pysha3) (Debian / LWN.net, 2022.10.30)
Debian alert DLA-3174-1 (pysha3) (Debian / LWN.net, 2022.10.31)
Debian alert DLA-3175-1 (python3.7) (Debian / LWN.net, 2022.11.01)
Debian Security Advisory DSA-5269-1 pypy3 -- security update (Debian, 2022.11.02)
CVE-2022-42252: Apache Tomcat - Request Smuggling (oss-sec ML, 2022.10.31)。Apache Tomcat 10.1.1 / 10.0.27 / 9.0.68 / 8.5.83 で修正されている。
JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題 (JVN, 2022.11.02)
京セラ製複合機・プリンターのセキュリティー脆弱性について (京セラ, 2022.11.01)。京セラの複数の複合機・プリンターに組み込まれている Web サーバー Command Center に 3 件の欠陥。 保守担当業社から修正版ファームウェアを入手できるようだ。
当該の複合機のカタログを見ると、 対応 OS が「Windows XP/Vista/7/8、Server2003/ Server2008/ Server2008 R2/ Server2012、Mac OS X(10.2~)」とか書かれているので、 いずれもかなり古い機種のようだ。 Command Center のマニュアル (pa-solution.net) も (C) 2006-2009 となっているし。 最近の機種には Command Center ではなく Command Center RX が載っているみたい。
Microsoft Mitigates Vulnerability in Jupyter Notebooks for Azure Cosmos DB (MSRC, 2022.11.01)
》 GeForce RTX 4090の発火・融解の原因が判明か。12VHPWR変換ケーブルに起因。2種類のうち1種類に問題あり (ニッチなPCゲーマーの環境構築Z, 11/1)
『300V 14AWG』と記されていればあれば問題ありません。
しかし、『150V』と記されていたらそれは発火・融解の恐れがあります。
300V ケーブルが刺さっているべきところに 150V ケーブルが刺さっていることがあり、 そのために発火すると。
》 ぶっ壊れやすいHDDはどれなのかが22万台以上の故障率データでわかるレポート「Backblaze Drive Stats for Q3 2022」、信頼度が高いHDD選びにお役立ち (gigazine, 11/2)
》 Dropboxが130のGitHubリポジトリからコードを盗まれた被害を公表 (gigazine, 11/2)
》 コンビニのクレジットカード決済端末に巧妙に仕込まれたスキミングマシンのムービーが話題に (gigazine, 11/1)
》 欧米で起きている“マスク回帰”…岸田首相「脱マスク」は世界に逆行と専門家批判 (女性自身, 10/28)
》 岸田内閣、新型コロナ第8波に対して、更迭されたばかりの山際大志郎を対策本部長に (10/28付)。 めちゃくちゃだ。
山際氏、自民党のコロナ対策本部長に就任 更迭された4日後に (朝日, 11/2)
大臣辞任の山際前経済再生相 自民 新型コロナ対策本部長に就任 (NHK, 11/2)
韓国の雑踏事故「群衆雪崩」発生か 狭い路地、歩道橋事故と類似点 (朝日, 10/30)
群衆の圧力、英語の叫び声…ユーチューブ生配信が映した事故15分前 (朝日, 10/30)
違法建築による通路圧迫が事故の要因の 1 つ?
【韓国梨泰院圧死事故】ハミルトンホテルの違法建築が幅3.2mのボトルネックを生んだ (中央日報 / Yahoo, 11/1)
事故は幅3.2メートルの路地で起きた。梨泰院(イテウォン)のハミルトンホテル裏の世界食べ物文化通りに集まった人波がホテル横の長さ50メートルの下り坂の路地に入り乱れたところがその狭い区間だ。路地の上側は幅5メートル以上あるが下側は3.2メートルに狭くなる。専門家らは一種のボトルネック現象と解釈する。(中略)
建築法上、道路は「歩行者の安全」のため幅4メートル以上なくてはならず、該当地域の建築物現況図でも道路幅は4メートルと出ている。しかしどうしてそれ以下に狭くなったのだろうか。「違法建築物」のためだ。
中央日報が確保した建築物現況図によると、ハミルトンホテルはほとんどが建築限界線を超えていた。建築限界線は道路に接した部分に建築物を建築できる線だ。
ハミルトンホテルは路地の中間に建築限界線を侵した建物の出入口(階段含む)を設置しており、路地の下段部にはピンク色の鉄製の仮設フェンスが道路に沿って10メートルほど続いている。今回の事故の際にこの階段の上の空間に逃げて身を守った人たちは危機を免れた。
(中略)
また境界線にぴったり沿って設置されたピンク色の鉄製仮設フェンスも通行の流れを妨げる要素として作用した。現行の法律と条例上、ハミルトンホテルのような大型建築物は通行の流れなどを妨げないように隣接する道路との境界線から3メートルの距離を置いて作らなければならない。だがハミルトンホテルはそうでなくても狭い道路に境界線ぎりぎりにまで仮設フェンスを設置し、その結果幅3.2メートルの道路が誕生したのだ。
【韓国梨泰院圧死事故】ハミルトンホテルだけが違法ではなかった…現場路地の17棟のうち正常な建物は3棟だけ (中央日報 / Yahoo, 11/2)
ソウル雑踏事故 現場に面するホテルが違法増築=密集の一因か (聯合ニュース, 11/1)
梨泰院雑踏事故の1時間前、交番に「人が多くて怪我しそう」通報も (ハンギョレ, 11/1)
[梨泰院惨事]警察に「圧死しそう」…すでに午後6時34分の最初の通報で訴え (ハンギョレ, 11/2)
梨泰院駅で事故当日8万人下車、前年比2・6倍 違法建築で避難妨げか、警察の認識甘さ浮き彫り (共同 / 日刊スポーツ, 11/2)
[コラム]ハロウィーンへの備え問う質問に「扇動」レッテル貼った韓国行政安全相 (ハンギョレ, 11/1)
「韓国政府、どの機関も責任を負わない」海外メディアが伝えた「梨泰院惨事」 (ハンギョレ, 11/2)
韓国雑踏事故、悲痛な映像の拡散にも傷心 「クリックしたことを後悔している」との声も (Wall Street Journal, 11/2)。動画や写真を見て PTSD になることがあるんだよね。
雑踏事故が露わにした韓国社会の「イカゲーム化」 責任逃れしようとする政府と始まった犯人捜し (徐 台教 / 東洋経済, 11/2)
韓国警察 ソウル庁や竜山署など8カ所を家宅捜索=梨泰院雑踏事故 (聯合ニュース, 11/2)
》 Symantec Endpoint Protection 方面
Endpoint Protection クライアントと MacOS の互換性 (broadcom, 10/25 更新)。macOS Ventura 13 に対応するのは SEP 14.3 RU5 以降。 また M2 プロセッサ対応は SEP 14.3 RU6 以降。
New fixes and component versions in Symantec Endpoint Protection 14.3 RU6 (broadcom, 10/26)
Endpoint Protection クライアントと Windows の互換性 (broadcom, 10/31 更新)。 Windows 10 バージョン 22H2 や SEP 14.3 RU6 の記述が追加されてる。
Release Notes (broadcom, 8/26 更新)。まだ 14.3 RU6 は追加されていない。
》 見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法 (gigazine, 11/1)
Googleの検索結果をもう一度確認してみると、表示されているURLは本物と同一の「https://www.gimp.org/」に見えます。同一URLなら同じサイトにアクセスできるはずですが、上述の通り、最上部のリンクをクリックすると偽サイトにアクセスしてしまいます。この現象が発生する理由について、Redditでは「URLに含まれるアルファベットの『i(アイ)』に見える文字が、実はキリル文字の『і(イー)』なのではないか」と指摘されています。
》 VirtualBox 7.0の新機能[Windows 11とUbuntu 22.10の自動インストール編] (gihyo.jp, 11/2)
VirtualBox 7.0の自動インストールを使用すると、ローカルアカウントが作成できるため、これは大きなメリットです。逆にいえば、自動インストールを使用しないとローカルアカウントが作成できません。
》 ランサムウエア起因による大阪急性期・総合医療センターのシステム障害についてまとめてみた (piyolog, 11/1)
》 公正取引委員会 経済産業省 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて (まるちゃんの情報セキュリティ気まぐれ日記, 10/31)
》 仕様を無断変更か、日本電産が抱える新たな問題 空調機器用モーター子会社に無理な収益要求 (東洋経済, 11/1)
》 中国海軍測量艦 日本の領海に侵入 ことし4回目 (NHK, 11/2)。こういうのを見張る用につくるのが「哨戒艦」。
防衛省、初の哨戒艦26年度導入 中国艦の「見張り役」に (日経, 9/18)
海上自衛隊の新艦種「哨戒艦」いよいよ建造へ そもそも何する艦? 大量整備で造船業にも光 (乗りものニュース, 7/26)
》 Nutanixに身売り報道 HCIの寵児の現在地 (クラウド Watch, 10/31)。XX社が買おうとしている、のではなく、買い手を探しているという話。
10月14日付のWall Street Journalは、そのNutanixが身売りを検討していると報じた。情報に近い筋の話で、自社へ買収の関心が寄せられたことから売却を検討しているという。同紙はプライベートエクイティ、業界のプレイヤーが対象になると予想する。
OpenSSL 3.0.7 公開。2 件のセキュリティ欠陥が修正されている。
X.509 Email Address 4-byte Buffer Overflow (CVE-2022-3602)
Many platforms implement stack overflow protections which would mitigate against the risk of remote code execution. The risk may be further mitigated based on stack layout for any given platform/compiler.
Pre-announcements of CVE-2022-3602 described this issue as CRITICAL. Further analysis based on some of the mitigating factors described above have led this to be downgraded to HIGH. Users are still encouraged to upgrade to a new version as soon as possible.
X.509 Email Address Variable Length Buffer Overflow (CVE-2022-3786)
いずれの欠陥も OpenSSL 1.0.2 / 1.1.1 系列には影響しない。
関連:
Critical OpenSSL 3.0 Update Released. Patches CVE-2022-3786, CVE-2022-3602 (SANS ISC, 2022.11.01)。これを先に読んだ方がよいかも。
Upcoming Critical OpenSSL Vulnerability: What will be Affected? (SANS ISC)。新しめの Linux ディストリは OpenSSL 3 になっているのですね。
Overview of software (un)affected by vulnerability (NCSC-NL / GitHub)。影響有無一覧。
Homebrew は修正版あり。MacPorts も OpenSSL 3.0.7 に更新されてます。 Softether VPN や VMware Tools も影響あり (OpenSSL 3 を利用) ですか。
VMware Response to CVE-2022-3602 and CVE-2022-3786: vulnerabilities in OpenSSL 3.0.x (VMware, 2022.11.01)
To date, no VMware products have been found to be critically impacted by CVE-2022-3602 or CVE-2022-3786. Regardless, VMware products that consume OpenSSL 3.0.x will consume 3.0.7 fixes as a precautionary measure in upcoming releases.
OpenSSL 3 を使用しているが、欠陥による致命的な影響はないと。 次回更新時に OpenSSL 3.0.7 を使用すると。
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows (OpenSSL, 2022.11.01)。詳細情報。
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起 (JPCERT/CC, 2022.11.02)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)