Last modified: Tue May 2 13:12:48 2023 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 「アメリカンフットボール部薬物事件対応に係る第三者委員会」からの調査報告書の公表について (日本大学, 10/31)
本法人は、本事案の再発防止策と法人としての管理運営体制の再構築を含む改善計画の策定並びに関係者の責任の所在を明確にし、速やかに改革を断行してまいります。
関連報道:
林理事長の対応「著しく不適切」 日大第三者委指摘、処分にも言及 (朝日, 10/31)。林理事長が駄目な人筆頭のように読める記事だが、 報告書自体はそういう書き方ではない。
》 チャットも公文書、保存はスクショで 中央官庁職員に義務付け (毎日, 10/27)
内閣府が調査したところ、国の49行政機関のうち45機関が米マイクロソフトのオンライン会議用アプリ「チームズ」などを利用していた。多くは日常的な業務連絡だが、中には保存期間「20年」とされる国会答弁を含むやりとりもあったという。
Teams は画面コピーするしかないんかい、と思ってぐぐってみたところ:
Microsoft Teams でメッセージを保存済みまたは未読としてマークする (Microsoft)
後で読むメッセージを保存する場合は、保存済みまたは未読としてマークするのは簡単です。注: 新しい Teams に切り替えた場合、メッセージを保存することはできません。
どうやら本当に画面コピーするしかないようだ。
》 電気通信における「通信の秘密」について解説します (畳之下新聞, 10/30)
関連: PyCon APAC 2023、運営提供のFree Wi-FiがDNSの通信内容を勝手に公開して炎上 (スラド, 10/30)
》 ガザ攻撃で出回るフェイク画像:ハマスが「劇団員」を使って市民の犠牲を演出しているという中傷情報のうそ (川上泰徳 / Yahoo, 10/28)
では、このリポーターは何者なのか。
男性をグーグルで画像検索すると、ヘブライ語のフェイスブックサイトが見つかった(写真下)。AIを使った動画生成アプリ「HeyGen」を宣伝しているアミハイ・シェケルというイスラエルのビジネスマンのサイトだった。(中略) ”IT先進国”イスラエルで開発されたAIが自然な動画生成を行うアプリのサイトなのである。こうなれば、「劇団員」はハマスではなく、イスラエル人だということになる。
AI FAKE アプリが実戦投入されている模様。
》 ノーラン監督作『オッペンハイマー』日本公開の行方と意義 (稲垣貴俊 / CINRA, 10/28)。 前向きに検討されてはいるものの、発表できる段階ではない模様。
映画の原作となったカイ・バード&マーティン・J・シャーウィン著『オッペンハイマー』も、2024年1月10日に早川書房(ハヤカワ・ノンフィクション文庫)より復刊される。(中略) 文庫版の内容は、単行本『オッペンハイマー 「原爆の父」と呼ばれた男の栄光と悲劇(上・下)』(PHP研究所刊)と同一。ただし、翻訳監修として『TENET テネット』(2020年)の字幕科学監修を担当した山崎詩郎氏が新たに参加し、より読みやすくなるよう訳文が改められる。
》 空自戦闘機、豪州に巡回展開へ 集団的自衛権を視野に共同訓練 (朝日, 10/30)。また外堀が1つ埋まったようだ。
今月19日に都内で開かれた日豪防衛相会談では、RAAを適用して共同訓練の実績を積み重ねることで一致した。ローテ展開も念頭に置いたとみられ、これを受けて検討が本格化し始めた格好だ。
「訓練」の名目で派遣、ということかな。
》 来月の大規模演習 民間空港で戦闘機離着陸の訓練実施へ 防衛省 (NHK, 10/27)。少しずつ外堀を埋めている感。
全国の自衛隊施設のほか、民間の空港や港なども使われ、このうち岡山空港と大分空港、鹿児島県の奄美空港と徳之島空港では、自衛隊の基地が攻撃を受けて使えなくなったことを想定して、戦闘機が離着陸する訓練を行うとしています。
防衛を想定した訓練で戦闘機が離着陸を行うのは、岡山空港と大分空港では初めてだということです。
これですか: 令和5年度自衛隊統合演習(実動演習)について (統合幕僚監部, 10/27)。お、こんな文言があるぞ。
(2) 豪州、加国、仏国、NZ、比国、韓国、米国、英国、独国及びNATOからオブザーバーを招へい予定です。
令和3年度自衛隊統合演習(実動演習)について (統合幕僚監部, 2021.11.11) には、上記のような文言は一切存在しませんね。
》 ビッグモーターに不正アクセス、個人情報漏えいか フォームからの問い合わせ、約7年分 (ITmedia, 10/30)
》 大手損保4社はウミを出し切ることができるか ビッグモーターや保険料カルテルなど問題山積 (東洋経済, 10/26)
金融庁は現在、大手損保4社による保険料カルテル問題について、1996年の保険自由化までさかのぼり、企業向け保険についてどのような営業活動をしてきたのか、四半世紀以上にわたる実態を詳細に報告させ、任意でヒアリングを進めている。
保険料調整の疑義が浮上している契約企業・団体は、東急のほか、京成電鉄、成田国際空港、千葉都市モノレール、JR東日本、ENEOS、イオン、日産自動車、ケーユーホールディングス、東京都のほか、損保各社がOBの天下りを受けて入れている警察庁、警視庁にも及んでおり、その数は150を超えた。
ビッグモーター問題と併せて、保険制度への信頼を揺るがす事態に大手損保4社はどう向き合っていくのか。改革の手綱を緩めるようなことがあれば、その信頼は二度と取り戻せなくなる。
》 Microsoft、OEM向けにWindows11 23H2をリリース。一般公開が迫る (ニッチなPCゲーマーの環境構築Z, 10/30)
》 KB5031455のインストールに失敗する不具合。ブートループに陥る (ニッチなPCゲーマーの環境構築Z, 10/30)。Windows 11 22H2 用プレビューリリースの件。
》 ClamAV 1.2.1, 1.1.3, 1.0.4, 0.103.11 patch versions published (ClamAV, 10/25)
》 バラクーダの注目する脅威:受信トレイのルールを悪用する攻撃者の実態 (Barracuda, 10/17)
メールの自動受信ルールは、ほとんどのメールクライアントの便利でおなじみの機能です。メールを特定のフォルダに移動させたり、留守中に同僚に転送したり、あるいは単に削除したりすることで、受信トレイに毎日のように押し寄せる必要な、あるいは不要なコミュニケーションの管理に役立ちます。
あなたのアカウントに侵入した攻撃者は、受信トレイのルールを隠れみのにすれば、受信トレイ経由で情報をネットワークからこっそり移動させたり、セキュリティ警告が表示されないようにしたり、特定のメッセージを見つけにくいフォルダにファイルしたり、金銭を引き出すために上級役員になりすまして送ったメッセージを削除したりすることができます。
》 NHK「ねほりんぱほりん」、次回は「ゲームのチートツールを開発・販売した男」 (ITmedia, 10/30)。11/10 放送回。
》 AtermがIPv6による新世代UPnPに対応! KONAMIとの共同検証で実現したピンホール制御で、ゲームもIoTもIPv6直接接続へ (Internet Watch, 10/30)
》 切り札は原子力発電? 爆増する電力需要とデータセンター (クラウド Watch, 10/30)
そして、ついにデータセンターのための原発が登場した。コロケーションおよびデータセンター建設のStandard Powerは10月6日、オハイオ州とペンシルベニア州の2カ所にデータセンター向けの原子力発電施設を建設すると発表した。
今年1月にNRC(米国原子力規制委員会)から初めてのSMRの商業利用の認可を得たSMRメーカーNuScale Powerなどと協力する。SMRはモジュール構造で、工場で製造してプレハブのように運搬・設置できる小型の原子炉。出力300メガワットまでのものを言う。英米加日など各国で開発中の新タイプの原発技術だ。
「Microsoft Edge」内蔵のAdobe PDFリーダーにリモートコード実行の問題、更新を (窓の杜, 2023.10.30)。Edge 118.0.2088.76。
OpenSSL Security Advisory [24th October 2023] (OpenSSL, 2023.10.24)。1件。 「Incorrect cipher key & IV length processing (CVE-2023-5363)」(Moderate) 。 OpenSSL 3.0 / 3.1 系に影響、3.0.12 / 3.1.4 で対応。
》 マイナ制度は「なりすまし犯罪の温床」 情報システム学会が「制度設計に根本的な問題」と提言 (東京, 10/26)
》 学校のタブレット故障多発、教育長謝罪 1人1台「戻せるめどない」 (朝日, 10/27)。「県立高校など29校」用の Chuwi 製。
故障機は全て中国の「ツーウェイ」社製で、約1万5千人の生徒に対し、3500台以上が故障で使えないと明らかにし、複数生徒で1台を利用するなど緊急措置でしのいでいるという。 (中略) 故障は今年7月から急増し、猛暑などでバッテリーに異常が起きたという。
故障率 20% 越えですか。すさまじいですね。関連:
生徒に配布のタブレット端末故障問題 県教育委員会定例会で委員から意見相次ぐ【徳島】 (JRT 四国放送 / Yahoo, 10/26)
(徳島県教育委員会教育政策課 内海はやと課長)
「現時点で不足数は約3500台となっています。これまで年間故障台数が600台前後で推移、現在は故障が多数で対応が間に合わないっていうのが実情」
県立学校に配布のタブレット故障問題 志田副知事 対策を指示 (NHK, 10/26)
県立校タブレット、4~9月に17%故障=大半がバッテリー膨張―徳島県教委 (東書 E ネット, 10/5)
タブレット端末故障急増で緊急対策会議=徳島県 (東書 E ネット, 10/27)
端末は中国企業「Chuwi(ツーウェイ)」の製品。20年度に購入し、5年ごとに更新する計画で21年度から使用を開始したが、今年に入って故障が急増。故障端末は9月までの半年間で2859台に上り、10月だけでさらに600台超が使用不能となった。
うひゃあ。残っている端末も続々と故障するかもしれんのか。
徳島県立高校 学習用端末を知ろう (りん研究室, 2021.07.12)。 Chuwi Ubook。
CHUWI UBook X バッテリー交換作業 (masao-Tec-blog, 5/1)
本記事で、裏蓋を外すのに非常に苦労した旨を記載していますが、本ブログの読者の方より、裏蓋ではなく、液晶パネル側から外すことで、簡単に本体を分離できるとの情報を頂きました。
液晶パネルと本体の間が分離し、液晶パネル側に本体部品がすべて乗っかった形で外すことができる模様です。(スタンド下のネジは外す必要がありそうです。)
》 大阪市にメール届かない問題、「メールシステムのセキュリティ過剰反応」が原因 (ITmedia, 10/27)
》 ScanSnapが電子帳簿保存法に対応。裏写りを軽減する機能も (PC Watch, 10/26)
電子帳簿保存法のスキャナ保存画質要件を満たすイメージデータを保存できる「e-文書モード」
あ、そんな要件あるんだ。そりゃそうか。 電子帳簿保存法運用の注意点(解像度要件の確認) (MoneyForward)。
25.4ミリメートル当たり200ドット以上(200dpi)相当以上かつ256階調(24ビットカラー)以上
スマートフォンを利用する場合は、dpi(単位面積あたりのドット数)を取得することができません。
よって別途A4サイズ相当の解像度が要件になっており、約388万画素(縦2,338画素、横1,654画素)をそれぞれ満たしている必要があります。
参考: 国税庁 スキャナ保存Q&A 問12
Apple 0-day 方面 (iOS / iPadOS, watchOS, macOS, Safari) (2023.06.27)
iOS / iPadOS 15.8 が公開された。 CVE-2023-32434 への対応だとされている。 iOS / iPadOS 15.7.7 で対応されたはずなのだが? 何らかの修正漏れがあったのか?
iOS 15.8 and iPadOS 15.8 (Apple, 2023.10.25)
Firefox 119.0 / ESR 115.4.0 公開 (2023.10.25)
Thunderbird 115.4.1 が出ました (Thunderbird 115.4.0 はキャンセルされたそうです)。
Thunderbird 115.4.1 がリリースされた (mozillaZine, 2023.10.26)
About the security content of iOS 17.1 and iPadOS 17.1 (Apple, 2023.10.25)
About the security content of iOS 16.7.2 and iPadOS 16.7.2 (Apple, 2023.10.25)
About the security content of tvOS 17.1 (Apple, 2023.10.25)
About the security content of watchOS 10.1 (Apple, 2023.10.25)
About the security content of macOS Sonoma 14.1 (Apple, 2023.10.25)
About the security content of macOS Ventura 13.6.1 (Apple, 2023.10.25)
About the security content of macOS Monterey 12.7.1 (Apple, 2023.10.25)
About the security content of Safari 17.1 (Apple, 2023.10.25)
》 登録キャンペーンに関する Q&A (Japan Azure Identity Support Blog, 10/20)
現在、Microsoft Entra ID へのサインイン時に以下のような画面が表示され Microsoft Authenticator アプリのインストールが求められるというお問い合わせを多くいただいております。
(中略)
上記の画面は、下記公開情報に記載されている “登録キャンペーン” 機能における [Microsoft マネージド] 値が [有効] に変更されたために表示されています。
》 偽の講演依頼を通じて東京大学教員が被害にあった標的型攻撃についてまとめてみた (piyolog, 10/25)
Proself 5.62 以前 / Proself Gateway Edition 1.65 以前 / Proself Mail Sanitize Edition 1.08 以前に 0-day 欠陥。
弊社製品であるProselfにおきまして新たなゼロデイ脆弱性が発見されました(2023/10/04付)。脆弱性の内容としてはXXE(XML External Entity)となります(CVE-2023-45727)。攻撃者はXXEを悪用してProselfのアカウント情報を外部に送信し、その情報を元にProselfへの不正ログインを試みている可能性がございます。
攻撃されたかどうかを log から確認する方法が https://www.proself.jp/information/153/ で公開されている。
2023.10.17 付で Proself 5.63 が、 2023.10.24 付で Proself Gateway Edition 1.66 と Proself Mail Sanitize Edition 1.09 がリリースされた。 これらに更新することで欠陥自体は修正される。 また更新するまでの暫定対応方法も提供されている。
既にサポートが終了している Proself 4.x 以前にも同様の欠陥があるが、修正予定はない。
関連: ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起 (JPCERT/CC, 2023.10.26 更新)
JPCERT/CCがこれまでに確認している、同脆弱性を悪用する攻撃に関する情報は下記のとおりです。ご参照のうえ、インディケータ情報に基づいて侵害有無の調査実施を推奨します。なお、インディケータ情報の一部は[.]に置き換えています。記載されたIPアドレスに誤って接続することがないようご注意ください。
攻撃時期:2023年8月以降インディケータ情報:不正アクセス元のIPアドレス
- 167[.]179[.]66[.]89
- 202[.]182[.]127[.]214
- 45[.]32[.]20[.]97
》 セイコー、6万件の漏えい明らかに 8月発表のランサムウェア攻撃で (ITmedia, 10/25)
》 1PasswordにOkta悪用のサイバー攻撃 「ユーザーデータなどは侵害されていない」 (ITmedia, 10/25)
関連:
Okta Support System incident and 1Password (1Password, 10/23)
サポートケース管理システムへの不正アクセスから派生して行われたサイバー攻撃についてまとめてみた (piyolog, 10/24)
Chrome 118.0.5993.117 (Mac / Linux) および Chrome 118.0.5993.117/.118 (Windows) 公開。 2 件のセキュリティ修正を含む。
出ました。Thunderbird 115.4.0 はまだみたい。
Firefox 119 がリリースされた (mozillaZine, 2023.10.25)
Firefox for Android 119 がリリースされた (mozillaZine, 2023.10.25)
Thunderbird 115.4.1 が出ました (Thunderbird 115.4.0 はキャンセルされたそうです)。
Thunderbird 115.4.1 がリリースされた (mozillaZine, 2023.10.26)
》 【スクープ】宮崎の警察が殺人事件の証拠を偽造か…証拠物を撮影したSDカードを被告に不利なように改ざんした疑い 弁護側は証拠隠滅罪で警察署長らを告訴へ (スローニュース, 10/24)。 SD WORM。 捜査用の「撮影後に書き換えができない記録媒体」のはずの奴の話。
警察の捜査では、撮影後に書き換えができない記録媒体の使用が義務付けられているが、今回の事件で使用された半導体メーカー「キオクシア」製のSDカードは、実際には、データを別のキオクシア製SDカードにコピーするなどの方法によって改ざん可能だったこともフロントラインプレスなどの調査で判明した。同型のSDカードは全国の警察で広く使用されている。
この件ですね: 大阪覚せい剤事件「警察が証拠動画をわざと消した?」 捜査SDカード“改ざん”問題とは (文春オンライン, 2020.02.21)。3 年前の記事。この記事でも、問題にしているのはキオクシア製。
現在、市場に出回っている警察向けなどの「改ざん防止機能付き」のSDカードは、問題となっているキオクシア社製(旧東芝メモリ)=2011年販売開始=のほかに、サンディスク社製=2016年製造中止=、PGS社製=2016年販売開始=の3種類がある。
この中で、キオクシア社のカードだけは、原本のカードに記録した画像データをデジタルカメラの内蔵メモリーやパソコンに保存することによって、部分消去や改ざんが可能であり、改ざん後のデータを別のSDカードに保存すれば、“新たな原本カード”も作成できる。このため、刑事裁判の場で、被告人の弁護士が検察側の証拠写真に疑問を抱いてSDカードを証拠開示請求した際、原本カードではない新たな別のカードを示されても見破るのは困難ではないか、と弁護士らが懸念している。
結局、今だに改善されていないんですかね。 宮崎の件は 「殺人事件が起きたのは2020年11月22日深夜」 ということなので、上記文春記事の発表後なんですけどね。
関連: 改ざん可能製品 捜査で使用 県警などの証拠写真記録SDカード (セキュリティホール memo, 2018.10.16)。もっと前から報じられてました。orz (追記しろ > 俺)
》 旧ジャニーズ現役取締役は元フジテレビ社員だった! 検証番組では一切触れないズブズブ癒着 (日刊ゲンダイ, 10/24)。これはひどい。
しかも、フジテレビはジャニーズ事務所とズブズブの蜜月関係にあったことを示す“不都合な真実”については検証番組で一切触れていないのである。
これまで映画「THE有頂天ホテル」(06年)や「ザ・マジックアワー」(08年)といった三谷幸喜氏の作品を多数手掛けたほか、ジャニーズ事務所とは映画「NIN×NIN 忍者ハットリくん THE MOVIE」(香取慎吾主演)、連続ドラマ「ラッキーセブン」(松本潤主演)などを担当してきたフジテレビの敏腕プロデューサーである重岡由美子氏が、現在はジャニーズ事務所の取締役であるという事実だ。重岡氏は18年に旧ジャニーズ事務所に現役出向し、22年3月にはフジテレビを希望退職。同年4月から、旧ジャニーズ事務所専任となり、同社の取締役に就任している。
》 Braveブラウザ、不要なサービスを勝手にインストール (ニッチなPCゲーマーの環境構築Z, 10/22)
Braveは、ユーザーの同意なしに『Brave Vpn Service』と『Brave Vpn Wireguard Service』をインストールしていることが判明した。
(中略)
この記事を公開した後日、Brave Software社は考えを改め、Brave Firewall + VPNに加入した人にのみサービスをインストールするよう変更すると述べた。
》 EdgeのCopilot『ページの概要を生成する』に注意。閲覧データがMicrosoftに送信されることを認識した上での利用を (ニッチなPCゲーマーの環境構築Z, 10/23)
個人的な用途でのブラウジングなら問題ないかもしれませんが、例えば仕事上の機密性の高いページを開くような場合は扱いにお気をつけください。知らず知らずにこの機能を使っていると、Microsoftにページ内容が送信されています。
》 SSDが遅い原因はBitLockerかも。Windows標準BitLockerが有効だとSSD速度が最大45%も低速に。無効にするだけで速度アップ (ニッチなPCゲーマーの環境構築Z, 10/23)。そんなにもというか、半減程度で済んでいるのかというか。いまどきはデフォルトで BitLocker 有効だったりするからなあ。
BitLockerが不要な場合は、無効にするだけでSSDの速度を上げることができます。上記コントロールパネル画面の『BitLocker を無効にする』を選択すれば無効にできます。
》 コード署名用証明書の新規・更新発行の受付終了に関するお知らせ (UPKI, 3/28)。こんなことになっていたとは。
本サービスは、啓蒙を目的にこれまでコード署名用証明書を無償で運用しており、上記BRに準拠対応を行っても、引き続き、皆様にご利用いただけるように、検討を行ってまいりました。
しかし、利用機関の方に追加の費用負担いただくことを避けられず、また、利用機関も少ない状況です。(「②利用状況」参照)
おぉぅ。手元的には一時期 UPKI コード署名用証明書のお世話になっていたのだが、 証明書不要な運用に変更しちゃったからなあ。 UPKI のでコード署名しても Windows は警告を出し続けるので、利便性がいまいちだったんだよね。
》 個人認証用証明書を発行するCAのプライベート化に関するお知らせ (UPKI, 10/13)。こんなことになっていたとは。
》 (令和5年10月23日)学校制服の取引実態に関する事後検証報告書について (公正取引委員会, 10/23)
》 (令和5年10月23日)Google LLCらによる独占禁止法違反被疑行為に関する審査の開始及び第三者からの情報・意見の募集について (公正取引委員会, 10/23)
Google LLCらは、
① Android端末メーカーとの間で、当該端末メーカーが製造する端末への「Google Play」と称するアプリケーションストア等の搭載を許諾するに当たり、「Google Search」と称する検索アプリケーション、「Google Chrome」と称するブラウザアプリケーション等自己のアプリケーションを併せて搭載させ、搭載する際の当該アプリケーションのアイコン等の端末画面上の配置場所を指定する内容の許諾契約を締結すること
② Android端末メーカーらとの間で、自己と競争関係にある事業者の検索アプリケーションを搭載しないこと等を条件に、自己が検索連動型広告サービスから得た収益を分配する内容の契約を締結すること
により、自己と競争関係にある事業者の事業活動を排除し、又は取引先事業者の事業活動を制限している疑いがあります。
なお、当委員会が、本件審査を開始したこと及び第三者からの情報・意見の募集を行うこととしたことは、独占禁止法に違反する行為が存在することを意味するものではありません。
現時点では、広く情報・意見を募っただけ。
NTT西子会社の情報流出、岡山県警が捜査 山田養蜂場の相談を受け (朝日, 10/20)。経緯を考えると、 本件が「警察の捜査」につながったということなのかな。
経緯はこちら: NTTビジネスソリューションズに派遣された 元派遣社員によるお客さま情報の不正流出について (お詫び) (NTTマーケティングアクトProCX, 10/17)
2.これまでの経緯
■2022年4月
あるクライアントさまから「自社のお客さま情報の流出が生じている可能性がある ので、社内調査を実施いただきたい」旨の依頼を受け、BS及びProCXにおいて 調査を行いましたが、その時点では漏えいに関する事実を把握することができず、 その旨、当該クライアントさまへご報告していました。
■2023年7月13日
BSに対して、当該クライアントさまに係る情報漏えいの疑いで、警察による 捜査が実施されたことを契機に、捜査に全面的に協力しながら社内調査等を継続し、 お客さま情報が不正に持ち出されたクライアントさまの特定を進めてまいりました。
■2023年9月28日、10月9日
お客さま情報が不正に持ち出されたクライアントさまを順次特定いたしました。 (計59、計約900万件)
準備が整ったクライアントさまから順次、情報連絡、事前対応を進めた上で、 本日、公表させていただきました。
NTT西日本子会社の顧客情報900万件流出、社内調査後も対策せず…個人情報を自由に持ち出し (読売, 10/19)。シロ判定だったので何もしなかったと。
同社は昨年4月に委託元から指摘を受け、調査を実施した。だが、流出が確認できず、情報管理体制を見直すなどの対策をとらなかったという。
同社は、USBメモリーを含む私物の記録媒体の持ち込みを禁止していたが、保守作業用の端末で利用できた。その上、アクセスの権限があればデータをダウンロードでき、不正な操作を検知して管理者に警告する仕組みもなかった。作業のログ(記録)も定期的に確認していなかった。
900万件流出のNTT西日本子会社、情報管理認証団体が「Pマーク」の取り消し検討 (読売, 10/20)
》 「ハマスが40人の赤ちゃんを…」未確認情報が拡散、メディアや米大統領も (新聞紙学的, 10/20)
ガザ地区の停戦実現せず 国連安保理の決議案、米国が拒否権を行使 (朝日, 10/19)。米国、本命と目されたブラジル案すら拒否。
悲嘆に暮れるガザの人たち バイデン米大統領、中東情勢の改善を目指したはずが (BBC, 10/19)。無能ぶりを示しただけだったなあ。
米国務省幹部、イスラエルへの軍事支援に抗議し辞任 ガザ情勢めぐり (朝日, 10/20)。ジョシュ・ポール氏。
ガザへの支援物資、トラック20台が近く搬入の見通し 「100台分は必要」と支援団体 (BBC, 10/20)。「近く」1と言われながら、なかなか出発できない。
イスラエル国防相「ガザを中から見ることになるだろう」 ガザとの境界付近に展開の部隊に、地上侵攻改めて示唆 (TBS, 10/20)
ガザ病院爆発、死者は最大300人 「イスラエルに責任なし」=米機密文書 (ロイター, 10/20)
ガザ病院爆発の報道混乱、戦争取材の課題浮き彫り (Wall Street Journal, 10/20)
英MI5長官、イスラエル・ガザ戦争が国内の過激派に与える影響を懸念 (BBC, 10/18)
イスラエル・ガザ衝突 原因は?なぜ和平が遠いのか? 地図と用語解説・年表でひもとく対立の構図 (東京, 10/19)
【イスラエル・ハマス戦争】誰もエスカレートを止められないのか イスラエル軍が「ガザ侵攻」ならイランとヒズボラが「ハマス支援」に動く恐れ (JBpress, 10/19)
ガザ戦争 エジプトの本音? (中東の窓, 10/19)
シーシ大統領は、ラファア検問所問題について、IDFの行動が、検問所付近の安全を脅かしていると批判し、安全と安寧の確保が先決問題であるとした。
大統領は更に、イスラエルはガザの問題ゑジプトの犠牲で解決しようとしているが、エジプトはすでに数百万人の難民を抱えており、これ以上難民を引き受ける用意はないとした。
大とうりょうはまたイスラエルが難民を砂漠に追い出したいのであれば、イスラエル内にはネゲブ砂漠も存在すると指摘し、エジプトの犠牲でガザ問題を解決しようとする試みは受け入れがたいとした
》 Cloudflare、「CAPTCHA」に代わる「Turnstile」に完全移行、誰でも無制限に使える無料版も提供 (@IT, 10/20)
Turnstileでは、チェックボックスを確認する行為自体に重きを置いていない。重要なのは、ユーザーがチェックボックスを確認している間に解析しているバックグラウンドデータだ。
Turnstileはブラウザ内テストを実行した後、ブラウザの特性やネイティブブラウザAPIをチェックし、小さいテスト(例: プルーフオブワークテスト、プルーフオブスペーステスト)に合格するよう要求することで、botを発見する。
》 トヨタ、お客様の充電オプション拡大のため、北米充電規格(NACS)採用を決定 (トヨタ, 10/20)、 トヨタ、テスラの充電規格を採用へ 北米で販売するEVで 日産・ホンダに続き (ITmedia, 10/20)。 2025 年から。 GM, Ford も NACS になるそうですし、 どうやら NACS がデファクト・スタンダードになりそうです。
》 Android版「Firefox」、ようやく拡張機能をフルサポートへ (窓の杜, 10/20)。11月末リリースの Firefox 120 から、だそうです。
》 ウクライナ派のハッカーがランサムウェア集団「Trigona」をハッキングしサーバーを焼き払うことに成功 (gigazine, 10/19)
》 カプコンに不正アクセス攻撃を仕掛けたRagnarLockerのダークウェブポータルを日本・アメリカ・EUの法執行機関が押収 (gigazine, 10/20)
》 パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生 (gigazine, 10/20)
》 WikiLeaksの創始者ジュリアン・アサンジがイタリア・ローマの名誉市民に認定される見込み (gigazine, 10/19)
》 中国がAIで知的財産を盗んでいるとアメリカなど5カ国の「ファイブ・アイズ」が異例の警告 (gigazine, 10/19)。five eyes に言われてもなあ。
》 「Mastercardはクレカユーザーから収集したデータの販売をやめるべきだ」という主張に電子フロンティア財団が賛同 (gigazine, 10/18)
PIRGのレポートによると、Mastercardは社内のデータ&サービス部門を通じて合計1250億件超もの取引データベースを販売しており、購入したサードパーティーがユーザーの好みに合わせたターゲティング広告を配信したり、消費者行動を予測するモデルを作ったり、収益性の高い潜在的な顧客にリーチしたりすることを可能にしているそうです。
》 全銀ネット障害、いまだ根本原因特定できず メモリ不足の指摘には「分からない」 (ITmedia, 10/18)
全銀によると、中継コンピュータでエラーが発生した直接の原因は、銀行間手数料を入力する際に参照するインデックステーブルが壊れていたこと。一部金融機関のコードが読み取れず、エラーが発生した。
小林氏は「展開されたテーブルが不正な状態になっていた。事前準備の段階で何らかの原因で壊れた」とみている。
一方、一部報道ではメモリ不足や64bit OSへの移行を問題視しているが、小林氏は「現時点でそれがテーブルにどう影響したか分からない」としている。
関連:
システム障害に係る対応状況について (国銀行資金決済ネットワーク, 10/18)
テーブル破損も「生成プログラムは正常終了だった」、18日の全銀ネット会見一問一答 (日経 xTECH, 10/19)
Apache HTTP Server 2.4.58 公開。3 件のセキュリティ修正を含む。
| 脅威レベル | 内容 | 対象 | CVE |
|---|---|---|---|
| low | mod_macro buffer over-read | 2.4.57 以前 | CVE-2023-31122 |
| low | DoS in HTTP/2 with initial windows size 0 | 2.4.55 〜 2.4.57 | CVE-2023-43622 |
| moderate | HTTP/2 stream memory not reclaimed right away on RST | 2.4.57 以前 | CVE-2023-45802 |
CVE-2023-45802 は CVE-2023-44487 (HTTP/2 Rapid Reset) のテストを実施していて発見されたものだそうで。CVE-2023-44487 そのものへの対応ではない。
Oracle Critical Patch Update Advisory - October 2023 出ました。
Oracle Virtualization Risk Matrix (Oracle)。3 件のセキュリティ欠陥を修正。
Oracle Java SE Risk Matrix (Oracle)。5 件のセキュリティ欠陥を修正。
JDK Releases (java.com)
JDK 21 Release Notes (oracle.com)。LTS です。
Java SE 17.0.9 - Bundled Patch Release (BPR) - Bug Fixes and Updates (oracle.com)
JDK 11.0.21 Release Notes (oracle.com)
JDK 8u391 Release Notes (oracle.com, 2023.07.18)
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起 (2023.10.18)
関連:
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability (Cisco Talos, 2023.10.16)
Cisco IOS XE の脆弱性 CVE-2023-20198 についてまとめてみた (piyolog, 2023.10.19)
いろいろ (2023.08.21) WinRAR
WinRAR 6.23 では CVE-2023-40477 の他に CVE-2023-38831 も修正されているのですが、これを利用した攻撃が行われているそうで。
Googleが「ロシアや中国政府が支援するハッカー集団がWinRARのゼロデイ脆弱性を悪用して攻撃を行っている」と指摘 (gigazine, 2023.10.19)
Government-backed actors exploiting WinRAR vulnerability (Google, 2023.10.18)
Security announcements (Moodle)。 Moodle 4.2.3 / 4.1.6 / 4.0.11 / 3.11.17 / 3.9.24 で MSA-23-0031 〜 MSA-23-0043 に対応したそうです。 最新は Moodle 4.3.0。
[JS23002] ジャストシステム商品を安心してお使いいただくために (ジャストシステム, 2023.10.19)。更新版が公開されている。以下の 4 件を修正した模様。
TALOS-2023-1758 - JustSystems Corporation Ichitaro "Figure" stream use-after-free vulnerability (Talos Vulnerability Report, 2023.10.19)
TALOS-2023-1808 - JustSystems Corporation Ichitaro 2023 HyperLinkFrame parser integer overflow vulnerability (Talos Vulnerability Report, 2023.10.19)
TALOS-2023-1809 - JustSystems Corporation Ichitaro 2023 HyperLinkFrame parser out-of-bounds write vulnerability (Talos Vulnerability Report, 2023.10.19)
TALOS-2023-1825 - JustSystems Corporation Ichitaro 2023 DocumentViewStyles and DocumentEditStyles stream relative write vulnerabilities (Talos Vulnerability Report, 2023.10.19)
JVN#28846531 ジャストシステム製品における複数の脆弱性 (JVN, 2023.10.19)
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967 (Citrix, 2023.10.18 更新)。情報漏洩 CVE-2023-4966 と DoS CVE-2023-4967。 CVE-2023-4966 は既に攻略プログラムが公開されている。
NetScaler ADC / NetScaler Gateway 13.0 以降については修正版あり。 NetScaler ADC / NetScaler Gateway 12.1 も脆弱だが EOL であり修正版なし。
Remediation for Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) (Mandiant, 2023.10.18 更新)
Mandiant has identified zero-day exploitation of this vulnerability in the wild beginning in late August 2023. Successful exploitation could result in the ability to hijack existing authenticated sessions, therefore bypassing multifactor authentication or other strong authentication requirements. These sessions may persist after the update to mitigate CVE-2023-4966 has been deployed. Additionally, we have observed session hijacking where session data was stolen prior to the patch deployment, and subsequently used by a threat actor.
CVE-2023-4966 は 0-day であり 2023.08 から観測していると。 攻撃が成功すると既存の認証済みセッションをハイジャックできるので、2FA / MFA による強力な認証を実装していても回避できると。 CVE-2023-4966 patch を適用後も、盗まれた認証情報を悪用しての侵入が行われると。
Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-4966)に関する注意喚起 (JPCERT/CC, 2023.10.20)
WordPress 6.3.2 メンテナンスとセキュリティのリリース (WordPress, 2023.10.13)
Fortinet Releases Security Updates for Multiple Products (CISA, 2023.10.11)
》 防衛力強化を言うけど実態は「国民を守らない政権」なのか 自衛隊の政治利用やチャーター機問題で見えてきた (東京, 10/18)
》 政府有料チャーターに批判の声 外務省幹部「退避搭乗8人は想定外」 (毎日, 10/16)
外務省によると、事前に実施した意向調査では100人以上の搭乗希望が寄せられたことから、チャーター機派遣を決定し、200座席以上設置できる機種を仲介業者を通じて手配した。ただ、「中東地域のチャーター機需要が増し、刻一刻と状況が変わる」(同省関係者)ため、調査段階で行き先を明示しなかった。ドバイ行きに決まったのは「早期運航を優先した結果」(同)で、蓋(ふた)を開けたら8人だったという。
アンケに答えた人達も、まさかドバイまでだとは思わんよなあ。
》 upcoming release of OpenSSL 3.1.4 and 3.0.12 (oss-sec ML, 10/17)。10/24 だそうで。
》 イスラエルとハマスの衝突により誤情報が拡散されまくりX(旧Twitter)がコミュニティノートにソースをリンクすることを義務化 (gigazine, 10/18)
》 多発する謎の腎臓病に除草剤の「ラウンドアップ」が関係している可能性が浮上 (gigazine, 10/18)
デューク大学のニシャド・ジャヤスンダラ氏らがスリランカの農村で井戸水を調査した結果、ラウンドアップの成分である「グリホサート」がCKDuを引き起こす原因となっている可能性が浮上しました。
》 広がるTikTok使用禁止網、運営するバイトダンスがリスク懸念払拭へ欧州で進める計画とは (WIRED, 10/14)
》 内部不正による情報漏えいを防ぐには IPAが“内部不正防止ガイドライン”無料公開中 (ITmedia, 10/18)。 組織における内部不正防止ガイドライン (IPA)。2022.04 の第5版が最新。
》 カシオの教育アプリに不正アクセス 個人情報など12万件超漏えいの可能性 (ITmedia, 10/18)。ClassPad.net 。
》 「ステマ規制」スタートで混乱も? 「ステマ」は何が問題なのか、改めておさらいする (ITmedia, 10/19)
》 「Amazon」でパスワードレス認証「パスキー」が利用可能に ~顔や指紋で簡単ログイン (窓の杜, 10/19)
旅行サイト最大手の「入金遅延」、集団訴訟に発展! ブッキングドットコムに旅館オーナー怒りの声 (東洋経済 ONLINE, 10/19)
「ブッキングドットコム」未払い問題 初の直接謝罪も「中身なかった」 日本法人代表は直撃取材に…【news23】 (TBS / Yahoo, 10/19)
アウディーイウカを巡る戦い、ウクライナ軍の防衛ラインは破れていない (航空万能論 GF, 10/14)
ロシアの大軍から要衝アウディーイウカを防衛したウクライナ軍の高度なドローン戦術 (ニューズウィーク日本版, 10/17)
ロシア軍、ウクライナ東部で攻勢も甚大な損失 小都市アブデーフカへの攻撃、前線の膠着状態示す (Wall Street Journal, 10/18)
ウ軍はドニエプル川左岸に上陸、ロ軍はアウディーイウカ南郊外の防衛ラインを突破 (航空万能論 GF, 10/19)
》 ガザのアル・アハリ病院爆発事件 (10/17)。 詳細が判明しているわけではないが、 どうやら「イスラエル空軍が JDAM を落とした」というような話ではなさそう?
ガザ市の病院で爆発、約500人死亡か イスラエル軍はパレスチナ武装勢力を非難 (BBC, 10/18)
ガザ市の病院爆発、現場をBBC記者が取材 「遺体の回収作業が続いている」 (BBC, 10/19)
【検証】 ガザ市の病院爆発、映像などの証拠から何が分かるのか (BBC, 10/19)。冷静な分析。
Identifying Possible Crater from Gaza Hospital Blast (bellingcat, 10/18)
ガザ病院爆発、パレスチナ過激派に責任=米当局・専門家 西側諸国の当局や専門家は、病院爆発の原因はイスラエルの空爆にあるとの見方を否定 (Wall Street Journal, 10/19)
ガザの病院爆発、イスラエルはイスラム聖戦のロケット弾が落下したと主張 (航空万能論 GF, 10/18)
ガザの病院爆発、駐車場で発生した半径10mの爆発で500人以上も死亡? (航空万能論 GF, 10/18)
ガザの病院爆発、多くの民間人はなぜ犠牲に…真偽不明のまま国際的な人道非難強まる (読売, 10/19)
しかしイスラム世界ではもはや、それでは通じない模様。 そういう状況 (病院に多数の避難民という状況) をつくったのは、他ならぬイスラエルだしなあ。
ガザ病院爆発、世界のイスラム教徒怒る 各地で抗議と追悼の動き (Wall Street Journal, 10/19)
ガザ戦争 (中東の窓, 10/18)
ハマス戦闘員への命令「できるだけ多く殺せ」 (Wall Street Journal, 10/17)。という「指示書」を持っていたのだそうで。
ハマス撃退、銃を取ったイスラエル住民 (Wall Street Journal, 10/17)。キブツ・メファルシムの闘い。
ガザ衝突が変える世界の勢力図、中ロ有利に (Wall Street Journal, 10/17)
米国防戦略の見直し迫るガザ戦争 (Wall Street Journal, 10/18)。米国は「 ジェラルド・R・フォード」空母打撃群 CSG-12 と「ドワイト・D・アイゼンハワー」空母打撃群 CSG-2 を展開。
イスラエル軍は携帯電話のデータを収集してガザ地区の住民の動きを追跡し、避難呼びかけに応じた数がどれぐらいかリアルタイム評価している (gigazine, 10/18)
ハマスとの紛争が続くイスラエルが通信インフラ強化のために衛星インターネット「Starlink」の展開を計画しSpaceXと協議中であることが報告される (gigazine, 10/18)
》 NTTビジネスソリューションズ元派遣社員による顧客情報の不正な持ち出しについてまとめてみた (piyolog, 10/18)
ジャニーズの性的虐待を継続させた社会の価値観 (武田 信子 / note, 9/13)
テレビ朝日のプレハブトイレにいるとジャニー氏が… 元忍者・志賀泰伸さんが性被害を証言「合宿所などで30~40回」 (東京, 10/18)
プレハブは既に取り壊され、30年余り経過して関係者の多くが亡くなっており「第三者の調査は非常に難しいと考える」とした。 喜多川氏の性加害を検証する特別番組を制作し、放送する予定という。
腰の重かったテレ朝も、ようやく検証報道しますか。
田原俊彦のマネジャーが性被害初告白「16歳にブランデーを口移しで…」《ジャニー喜多川氏性加害問題》 (文春オンライン, 10/18)
「芸能史上最悪の性加害」になぜ警察も政府も動かないのか…逃げを打つジャニーズ事務所に加担する4つの勢力 (柴田 優呼 / プレジデント WOMAN, 10/11)
ウクライナ、米供与の長射程ミサイル「ATACMS」初使用 (ロイター, 10/18)
ウクライナ軍のザルジニー総司令官、ATACMSの発射シーンを動画で公開 (航空万能論 GF, 10/18)
》 セキュリティソフト「ESET」にアップデートが完了しない問題 「Windows Update」中に (窓の杜, 10/16)。Windows Update 中に ESET のモジュールアップデートが走ると終了しなくなる模様。
- ESET製品のモジュールアップデートをキャンセルし、Windows Updateを完了してください。
- モジュールアップデートがキャンセルできない場合、OSを再起動してください。
- Windowsの再起動後も改善しない場合、ESET製品を一時的にアンインストールしてWindows Updateを完了してください。
アンインストールした場合は、Windows Update 終了後に再インストールだそうで。 けっこうやっかいな話だなあ。
》 女性支援団体「Colabo」 名誉毀損で「暇空茜」名乗る男性ら4人提訴 (カナロコ, 10/16)。関連:
Colabo記者会見と暇空の反応(2023年10月16日) (Masanobu Usami / note, 10/16)
【暇アノン懺悔録】「暇アノンの姫」だった40代男性(1) (小川たまか / Yahoo, 10/16)。「避難所」氏。
》 トマホーク配備「前倒し」でも半数は「旧型」調達 どうしてそんなに「敵基地攻撃能力」の導入を急ぐのか (東京, 10/18)。たかが 1 年、されど 1 年、なのだろうか。
Dappi訴訟「投稿は業務というほかない」 投稿元会社などに賠償命令 社長の「関与」も示唆…東京地裁 (弁護士ドットコム, 10/16)
「Dappi」裁判は野党議員全面勝訴 判決理由から明らかになった「誹謗中傷」組織ぐるみの実態 (日刊ゲンダイ / Yahoo, 10/17)
野党攻撃発信源「Dappi」には「まだ黒幕がいる」…執拗なネット工作 自民との関係は本当にないのか (東京, 10/17)。ワンズクエストを明記。
Dappi投稿 会社業務 220万円賠償・削除命令 東京地裁 「社長自身の可能性」 (しんぶん赤旗, 10/17)
》 メール中のURLに“飾り文字”などが含まれたフィッシングに、フィッシング対策協議会が注意喚起 (Internet Watch, 10/18)
》 「404 Not Found」ページに悪意のあるコードを埋め込むサイバー攻撃が発見される (やじうま Watch, 10/18)
》 米、エヌビディアなどのAI半導体輸出規制拡大へ 中国は反発 (ロイター, 10/18)。具体的には NVIDIA H800 / A800 の件だそうです。
バイデン米政権、新たな対中半導体規制 抜け穴塞ぐ NVIDIAの「H800」、規制対象か? (JBpress, 10/17)
NVIDIA、対中輸出規制に対応したAI向けGPU「H800」「A800」構築か (マイナビニュース, 3/27)
Cisco IOS XE の Web UI 機能に権限上昇を許す 0-day 欠陥。JPCERT/CC でも攻撃被害を確認しているそうで。修正版はまだ無いようだ。
ip http server および/または ip http secure-server で Web UI 機能を有効にしている場合、影響を受ける。無効にする (no ip http server および/または no ip http secure-server) ことで回避できる。また ACL を設定してアクセスを制限することで影響を緩和できる。
Cisco オリジナル: Cisco IOS XE Software Web UI Privilege Escalation Vulnerability (Cisco, 2023.10.16)
関連:
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability (Cisco Talos, 2023.10.16)
Cisco IOS XE の脆弱性 CVE-2023-20198 についてまとめてみた (piyolog, 2023.10.19)
関連:
Cisco IOS XE CVE-2023-20198 and CVE-2023-20273: WebUI Internals, Patch Diffs, and Theory Crafting (HORIZON3.ai, 2023.10.25)
Cisco IOS XE CVE-2023-20198: Deep Dive and POC (HORIZON3.ai, 2023.10.30)
Chrome 118.0.5993.88 (Mac / Linux) および 118.0.5993.88/.89 (Windows) 公開。 1 件のセキュリティ修正を含む。
関連: Chrome for Android Update (Google, 2023.10.17)。Chrome 118 (118.0.5993.80) for Android。
「Qt」で修正されたはずの脆弱性パッチが含まれていないことが発覚 ~最新版で修正 (窓の杜、 2023.10.18)。Qt 6.5.3 で修正したはずが、入ってなかった。6.5.4 で修正。
AI超解像で古いビデオがキレイに復元できる「VLC media player 3.0.19」が公開、ゼロデイ脆弱性の修正も (窓の杜, 2023.10.13)
Complete Version history / Release notes / Changelog / What's New for VLC media player (videohelp.com)
Contribs:
* Update of fluidlite, fixing some MIDI rendering on Windows
* Update of zlib to 1.2.13 (CVE-2022-37434)
* Update of FFmpeg, vpx (CVE-2023-5217), ebml, dav1d, libass
Samba 4.19.1 Available for Download (samba.org, 2023.10.10)
o CVE-2023-3961: Unsanitized pipe names allow SMB clients to connect as root to
existing unix domain sockets on the file system.
https://www.samba.org/samba/security/CVE-2023-3961.html
o CVE-2023-4091: SMB client can truncate files to 0 bytes by opening files with
OVERWRITE disposition when using the acl_xattr Samba VFS
module with the smb.conf setting
"acl_xattr:ignore system acls = yes"
https://www.samba.org/samba/security/CVE-2023-4091.html
o CVE-2023-4154: An RODC and a user with the GET_CHANGES right can view all
attributes, including secrets and passwords. Additionally,
the access check fails open on error conditions.
https://www.samba.org/samba/security/CVE-2023-4154.html
o CVE-2023-42669: Calls to the rpcecho server on the AD DC can request that the
server block for a user-defined amount of time, denying
service.
https://www.samba.org/samba/security/CVE-2023-42669.html
o CVE-2023-42670: Samba can be made to start multiple incompatible RPC
listeners, disrupting service on the AD DC.
https://www.samba.org/samba/security/CVE-2023-42670.html
Samba 4.18.8、 Samba 4.17.12 も同様の修正。
「Photoshop」などに致命的な脆弱性 ~Adobeの月例セキュリティアップデート (窓の杜, 2023.10.11)。いずれも Priority: 3。
パッチの適用優先度はいずれも「3」(72時間以内を目途とした一刻も早い対処が必要)。
「72時間以内を目途とした一刻も早い対処が必要」なのは Priority: 1 。 セキュリティ速報の優先度と緊急度の評価体系 (Adobe) の Priority: 3 の説明はこちら:
優先度3 : この優先度のアップデートは、過去に攻撃者の標的になったことのない脆弱性を解決します。この優先度のアップデートは、システム管理者が判断したタイミングで適用することを推奨します。
》 NTT西子会社、900万件の情報流出 USBに記録し第三者に渡す (朝日, 10/17)
元派遣従業員は、システム管理者のアカウントを悪用して、顧客データを保管していたNTT西の別の子会社のサーバーにアクセス。USBメモリーに情報をダウンロードして持ち出していたという。流出した情報の中には、クレジットカードの情報も含まれていたという。
(中略)
クレジットカードの情報は2社、81件の流出が確認されているが、不正引き出しの被害は確認されていないという。
USB メモリーに直接? ベネッセ情報漏洩事件よりも楽にできた感じ? 管理者アカウントだしなあ。
関連:
お客さま情報の不正流出に関する お詫びとお知らせ (NTT 西日本, 10/17)
NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び) (NTTマーケティングアクトProCX, 10/17)
別添資料があったのね: NTTビジネスソリューションズに派遣された 元派遣社員によるお客さま情報の不正流出について (お詫び) (NTTマーケティングアクトProCX, 10/17)
2.これまでの経緯
■2022年4月
あるクライアントさまから「自社のお客さま情報の流出が生じている可能性がある ので、社内調査を実施いただきたい」旨の依頼を受け、BS及びProCXにおいて 調査を行いましたが、その時点では漏えいに関する事実を把握することができず、 その旨、当該クライアントさまへご報告していました。
■2023年7月13日
BSに対して、当該クライアントさまに係る情報漏えいの疑いで、警察による 捜査が実施されたことを契機に、捜査に全面的に協力しながら社内調査等を継続し、 お客さま情報が不正に持ち出されたクライアントさまの特定を進めてまいりました。
■2023年9月28日、10月9日
お客さま情報が不正に持ち出されたクライアントさまを順次特定いたしました。 (計59、計約900万件)
準備が整ったクライアントさまから順次、情報連絡、事前対応を進めた上で、 本日、公表させていただきました。
NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び) (NTTビジネスソリューションズ, 10/17)
》 兵庫県洲本市・第三者委「最終報告書」が暴いたふるさと納税のデタラメぶり (ニュースサイト ハンター, 10/16)
人気があった返礼品は「淡路牛」で知られる牛肉。第三者委員会が、返礼品となった牛40頭の出生から“と畜”までのデータを調査したところ、16頭が洲本市の牧場や食肉業者とはまったく関係ない牛だったことが判明。返礼品は寄付額に合わせて淡路牛のロースなどの部位を選べるのだが、なぜか洲本市は牛一頭をまるまる買う「一頭買い」を繰り返していた。
信じがたいことに、牛の出生から販売ルートをたどれる個体識別番号が、2度に渡り伝票に記されているケースまで発覚。牛は一頭しかいないのに、2度も洲本市に販売されるという杜撰さだった。
65頭の「一頭買い」のうち、30頭ほどが140万円という価格に統一されているという不自然さ。洲本市が「一頭買い」をした業者の法人登記簿を見ると、どうみても牛肉とは無関係。所在地に行くと、なぜかピザ店の看板があがっていた。
報告書はこちら: 洲本市ふるさと納税問題第三者調査委員会 最終報告書 (洲本市, 2023.09)
(5)牛一頭買いのケース
これは、牛肉の返礼品のために牛一頭分の枝肉を購入していたケースである。
これらのケースにおける問題点は、洲本市が牛一頭を買い取ることにより、参加事業 者の返礼品の商品代金が 0 円になることから、返礼品の正確な調達費の算定が困難とな ることである 8。当調査委員会は正確な調達費の算定が困難となることからこのケース についても 3 割基準違反であると認定した。
牛一頭買いについては、そもそも地方団体が牛一頭分の枝肉を在庫として保有するこ と自体が問題であるし、後記のとおり地場産品基準違反の問題もはらんでおり、極めて 問題のある類型である 9。
関連:
職員の処分内容、処分理由等【洲本市ふるさと納税問題に関する事案】 (洲本市, 3/29)
洲本温泉利用券に基準額上回る「おまけ」同封 ふるさと納税返礼品めぐり違法手続き 市の元課長を停職6カ月 (神戸新聞, 3/29)。「男性は31日付で自主退職する予定」。
内部告発【前編】洲本市元課長の不正行為~東京アンテナショップ元店員たちの証言と録音データ「現市長は知っていたはずだ…」~ (サンテレビ, 9/27)。「市魅力創生課の元課長」。 最終報告書の X 元課長かな。
内部告発【後編】洲本市元課長の不正行為「公金で高級和牛を女性に」~サンテレビの市への情報公開請求で分かったお金の流れ~ (サンテレビ, 9/27)
初の住民説明会で市長謝罪、住民から厳しい声 洲本ふるさと納税問題 (朝日, 10/4)
》 県が使用したドメインの第三者による再取得について (岡山県, 10/17)
》 【速報】岡山・吉備中央町の浄水場で国の目標値超える「有機フッ素化合物」検出【岡山】 (岡山放送, 10/17)。PFOS / PFOA。
2つの物質は国の水質管理目標設定項目で、合算して1リットル当たり、50ナノグラム以下(※暫定指針値)に設定されていますが、吉備中央町によりますと水質調査ではこれをはるかに上回る1400ナノグラム検出されたということです。
関連: 浄水場で暫定目標値超える「有機フッ素化合物」検出 保健所が緊急対応の必要性を指摘 岡山・吉備中央町 (瀬戸内海放送, 10/17)
水質調査は2022年10月に行われ、町は検査結果を把握していましたが対策はしていませんでした。その後、2023年9月に報告を受けた備前保健所が、10月13日に町に「緊急対応の必要性」を指摘しました。
2021年の水質調査でも、暫定目標値の24倍の有機フッ素化合物が検出されていたということです。
すさまじい。
》 「Appleの高利回り預金は間違いだった」と取引相手のゴールドマン・サックスが語る、消費者金融事業からの撤退を考えていることも報じられる (gigazine, 10/17)。Apple Card、端的に言って失敗だったと。
》 アバクロンビー・アンド・フィッチの元CEO、多数の男性を性的搾取か=BBC調査報道 (BBC, 10/5)。すさまじい。関連:
オンラインの森:「ホワイト・ホット:アバクロンビー&フィッチの盛衰」 顧客選別したブランドの転落 (ひとシネマ, 2022.06.16)。Netflix で見れるドキュメンタリー。
↑上記記事で「アバクロの広告を撮影していた写真家のブルース・ウェーバーに対するモデルたちからのセクハラの告発も続く」と記載されている件:
セクハラ疑惑 ファッション界にも 、「ヴォーグ」写真家を男性モデルが提訴 (AFP, 2017.12.05)
男性モデルら 有名写真家BウェーバーとMテスティーノをセクハラ被害で告発 (Mushup reporter, 2018.01.15)
》 Dappi 裁判、ワンズクエスト側に計 220万円賠償判決 (10/16)。 Dappi の正体は依然として隠蔽されたままだが、ワンズクエスト・小林幸太社長自身が Dappi である可能性がとても高いようだ。
それにしても、なぜマスメディアはワンズクエストと書かないのだろう。
「Dappi」ツイートに賠償命令、投稿者は不明のまま 東京地裁 (朝日, 10/16)
【速報】「Dappi」投稿で東京地裁が会社側に賠償命令 立憲民主党の小西・杉尾2議員がネット関連会社を名誉毀損で訴えた裁判の判決 (TBS, 10/16)
【速報】「Dappi」裁判、被告企業が敗訴 立民議員2人への名誉毀損認める (東京, 10/16)
「Dappi」裁判、どんな経緯だった?匿名アカウントは何を投稿をしたのか (東京, 10/16)
ツイート:
今日の「Dappi」裁判判決を受けて以下のようなコメントを発表しました。これまで応援して下さった皆さんと、全ての関係者に深く感謝申し上げます。 pic.twitter.com/G5maZM9aEP
— 杉尾ひでや 参議院議員 長野県選出 (@TeamSugioHideya) October 16, 2023
Dappi名誉棄損裁判に勝訴。「ワンズクエスト社の業務として小林社長の指示の下、従業員あるいは小林社長によって行われたものと認めることができる」と会社の業務行為と認定し、Dappiの正体にも踏み込んでいます。自民議員や都連と契約関係を持つ会社の組織的違法行為。岸田総裁の説明責任を求めます。 pic.twitter.com/2BwonLLDLq
— 小西ひろゆき (参議院議員) (@konishihiroyuki) October 16, 2023
なるほど、判決文には「本件記事を含む本件アカウントからの記事の投稿は、被告会社の業務として、被告小林の指示の下、被告会社の従業員あるいは被告小林自身によって行われたものと認めることができる」と明記されているのですね。
このまま確定するのなら、偽証罪での刑事告訴をすべきではないだろうか。通説実務の内心説によると、尋問対象の事項について「答えられない」と答えるのは、内心と異なる答えをしたことになり、偽証になる。https://t.co/AhjpnoOwdr
— 渡辺輝人 🇺🇦連帯 (@nabeteru1Q78) October 16, 2023
関連:
山本有二元農水相を刑事告発 あのDappiの発信元「ワンズクエスト」への経費支払い不記載の疑い 「政治資金規正法違反」と専門家 (アジアプレス / Yahoo, 10/2)
》 Apple、中古iPhoneの購入時に気を付けるべきポイントをサポートページで自ら公開中 (Internet Watch, 10/16)
ちなみにページの冒頭では、Appleが他のスマートフォンより長持ちする製品を設計していること、また、それらのデバイスに業界をリードするソフトウェアアップデートを提供していることをアピールしている。
個人的には、iPhone はバッテリーがよわよわな印象なのだが、最近の大型機種なら大丈夫なんだろうか (SE シリーズしかさわっていない人)。 ソフトウェア更新についてはがんばってると思う。
》 「Tera Term 5.0」がリリース ~18年ぶりのメジャーバージョンでUnicodeに全面対応 (窓の杜, 10/16)。TeraTerm 4.107 も公開されているそうで。
2023 年 10 月のセキュリティ更新プログラム (月例) (2023.10.13)
不具合報告:
Windows 10 用: インストールが終了しない事例。
KB5031356のインストールに失敗する既知の不具合。エラーコード0x8007000dが表示。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2023.10.14)
Windows 10パッチ「KB5031356」で問題発生中、「ERROR_INVALID_DATA」で適用に失敗 (窓の杜, 2023.10.16)
Known Issue Rollback で対応されるので、最大 24 時間待てば ok 。 あるいは、管理者コマンドプロンプトから dism /online /cleanup-image /RestoreHealth を実施。
Windows 11 バージョン 22H2 用: KB5031354にさまざまな不具合報告 (ニッチなPCゲーマーの環境構築Z, 2023.10.15)
》 70年万博基金の取り崩し検討 大阪府、会場整備費の上振れ対応 (共同, 10/11)。住民の身を切る改悪。それが維新。 とっとと中止しろよ。
米でイスラエル批判封じる動き、ハマス攻撃巡り (Wall Street Journal, 10/13)。またぞろキナ臭くなってきた。
ガザのパレスチナ人に逃げ場なし、迫る人道危機 イスラエルの地上侵攻は不可避か、ガザ住民200万人の多くは地区外に出られず (Wall Street Journal, 10/13)。ハマスどころかイスラエルも、実は住民の脱出を妨害している模様。
カナダ人で2人の子どもの母親であるラマ・ナスラウィさん(43)は、ガザ滞在中にイスラエル軍の空爆作戦に巻き込まれた。ガザ訪問は25年間離ればなれになっていた親戚との楽しい再会になるはずだった。ナスラウィさんと子どもたちは、ガザの親戚の家で数週間を過ごすため、10月初めに同地に到着した。親戚の家はガザ地区の中心部で比較的安全とされる地域にあった。ナスラウィさんらは7日、この地域が砲撃を受けているのに気が付いた。
イスラエルがこの攻撃の後、戦争状態にあると表明したため、ナスラウィさんは2人の子どもとともにガザ南部ラファの国境検問所からエジプトへの脱出を試みた。彼女は外国のパスポートを持ち、検問所を通ってガザの外へ脱出することが許されている、ガザ地区の中でも数少ない幸運な人々の1人だった。エジプト当局からの特別の許可証がある者だけが検問所の通過を認められている。
検問所のスタッフらがパスポートにスタンプを押していた時、イスラエル軍機が国境地帯を爆撃した。出国しようとする人々は、悲鳴を上げながら出口に殺到した。ナスラウィさんは、大混乱が続く中で他の人々がパスポートを失う様子を目にして、自身と子どもたちのパスポートをつかみ取ろうとカウンターを乗り越えたという。その後彼女は、親戚の家に戻った。ガザ脱出の問題はいまだ解決されないままだ。イスラエル軍は、国境の検問所付近を攻撃した理由について、説明していない。
ハマス戦闘員、イスラエル軍施設など詳細地図を所持 (Wall Street Journal, 10/13)
ハマス侵攻、中東のルールを塗り替える (Wall Street Journal, 10/13)
フランス、パレスチナ支持のデモを全面禁止 (CNN, 10/13)
ハマス・イスラエル軍事衝突でフェイク氾濫、EUがXを叱り、Metaに警告した理由とは? (新聞紙学的, 10/12)
「X」がハマス関連の数百アカウントを削除 EUの警告受け (毎日, 10/13)
》 「くら寿司」迷惑動画 21歳被告に執行猶予付き判決 名古屋地裁 (毎日, 10/13)。「懲役3年、執行猶予5年(求刑・懲役3年)」。
》 弊社リサーチエンジニアが「CODE BLUE 2023」に登壇します! (FFRI Security Blog, 10/10)
》 アップル潤すグーグルマネー、断たれる可能性も (Wall Street Journal, 10/13)
両社は長らく競合関係にある。中でも携帯端末向け基本ソフト(OS)市場では、グーグルの「アンドロイド」とアップルの「iOS」が寡占状態にある。だが、アップルがインターネットブラウザー「サファリ」のデフォルトの検索エンジンをグーグルにし、グーグルがアップルに年間数十億ドルを支払う契約を結んだことで、両社は提携関係にもある。この契約により、グーグルはiOSユーザーに優先的にアクセスでき、アップルのサービス事業は利益率が高く安定した収益源を手にした。同事業は全体の売上高の21%、利益の35%を占める。
Apple の利益の 1/3 は Google から、ですか。
米連邦政府が反トラスト法(独占禁止法)違反でグーグルを訴えた訴訟の審理が先月始まり、この契約に焦点が当たったことで、両社の幹部はこの慣行について抗弁するため証言台に立たざるを得なくなった。米マイクロソフトのサティア・ナデラ最高経営責任者(CEO)も先週証言台に立ち、サファリのデフォルト設定について、グーグルの潜在的な競合相手にとって不利な「悪循環」だと述べた。
そりゃそうだよなあ。 Bing が AI パワーでがんばっても、どうしようもない。
》 ジャニーズ性加害、メディアはなぜ沈黙してきたのかーテレビ局の自己検証を含め考える (篠田博之 / Yahoo, 10/12)。関連:
ジャニーズ怒らせられない雰囲気 日テレ、社内調査結果を公表 (東京, 10/4)、 【ジャニーズ“性加害問題”】日本テレビとして自己検証 「マスメディアの沈黙」指摘ふまえ社内調査を実施 (日テレ / YouTube, 10/4)
ジャニーズ“忖度ドラマ枠”持つ日テレ&テレ朝に迫るリミット 10月クールも2局に主演作が集中の“蜜月” (Smart FLASH, 10/9)
NHKや日テレ、TBSに続き…「最後の砦」と言われたテレビ朝日がジャニーズ事務所と“決別する日” (FRIDAY / Yahoo, 10/9)
ジャニーズ事務所、コンサル会社と“特定の記者名”あげ打ち合わせ 会見2日前の“NGリスト”配布前に (日テレ / Yahoo, 10/12)。結局、がっつり関与してましたと。
》 旧統一教会関連団体、トランプ氏出演に3億円 安倍氏「無償」なぜ? (毎日, 10/12)。トランプとの関係はビジネスだけど、安倍との関係はズブズブ、ということだよなあ。
》 ロシアTVで抗議の女性ジャーナリスト、毒殺未遂か 仏当局が捜査 (AFP, 10/13)。マリーナ・オフシャンニコワ氏。 またしても、おそロシア案件ですか。 関連:
TVで抗議の女性、ロシア出国し欧州へ (AFP, 2022.10.17)。出国した、とだけ示された。
決死の亡命劇で「すべてを失った」 ウクライナ侵攻に反対したロシア政府系テレビの女性がフランスへ (東京, 2/11)。亡命先で記者会見した時の記事。
反戦抗議のロシア元TV編集者に懲役8年6月、欠席裁判で判決 (ロイター, 10/5)
》 Symantec Endpoint Protection (SEP) 14.3 RU8 のシステム要件 (broadcom) の SEPM の IPv6 の部分:
純粋な IPv6 ネットワークは、IPv4 スタックをインストールして無効にする必要があります。IPv4 スタックがアンインストールされ、Symantec Endpoint Protection Manager は機能しません。
意味不明なので英語版を参照:
In purely IPv6 networks, the IPv4 stack must still be installed and disabled. If the IPv4 stack is uninstalled, Symantec Endpoint Protection Manager does not work.
意味明瞭。
》 インターネット協会が「第23回 迷惑メール対策カンファレンス」11月6日・7日開催、参加申し込み受付中 (Internet Watch, 10/12)
》 Microsoft、7~8.1のプロダクトキーを完全にブロック。古いキーでWindows11やWindows10の新規ライセンス認証ができなくなる (ニッチなPCゲーマーの環境構築Z, 10/13)
関連: Microsoft 、ついにWindows 7 / 8.1のライセンスを使用したWindows 10/11への無償アップグレードパスを削除 (ウインタブ, 10/5)
》 旧統一教会の解散命令を東京地裁に請求 文科省 (NHK, 10/13)。マイルストーンの 1 つにようやく到達。まだまだこれから。
》 Dappi裁判が結審、ますます怪しい小林社長 (田下 正俊 / note, 7/3)
そして、注目のと書きたいところだが、実はあまり注目されなかった6月26日の公判には証人として初めて被告企業ワンズクエストの社長と専務が現れた。原告の両議員の姿はなかった。
原告側弁護士はたたみかけるように次々と、質問というより検事のように追及した。
「あなた自身がDappi本人なのではないですか?」
この質問に小林幸太社長はボソボソと傍聴席にやっと届くくらいの声で何か言ったが、明確に否定する言葉はなかった。
「Dappiは役員ですか従業員ですか?」
原告代理人の尋問に小林社長は証言を拒否した。答えると人物が特定されてしまうというのが拒否の理由だ。あれれ、これまでワンズクエストはDappiは従業員であることを認め個人が勝手にやったことで会社は関与してしていなと言ってきている。それなら「役員ではなく従業員です」と答えなければおかしい。
この時点で裁判長も傍聴人も小林社長がDappiであることが間違いないと確信したろう。従業員と答えると十数人いるのだから即座に特定できないが、偽証罪に問われる可能性がある。役員ですと答えると自分ともう一人の証人である専務の二人しかいないのから容易に特定できる。川上正輝専務はとてもやりそうにないので、「それは私、小林です」と言っているのに等しい。答えようがないので、ボソボソと証言拒否するしかなかったわけだ。
一般従業員が Dappi のあの作業時間をどうやって捻出していたのかという疑問があったのだが、 社長自らが Dappi だった、ということだった可能性がとても高い模様。
2023.10 patch です。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- Active Directory Domain Services CVE-2023-36722
- Azure CVE-2023-36419 CVE-2023-36737 CVE-2023-36561
- Azure Real Time Operating System CVE-2023-36418
- Azure SDK CVE-2023-36414 CVE-2023-36415
- Client Server Run-time Subsystem (CSRSS) CVE-2023-41766
- HTTP/2 CVE-2023-44487
- Microsoft Common Data Model SDK CVE-2023-36566
- Microsoft Dynamics CVE-2023-36416 CVE-2023-36429 CVE-2023-36433
- Microsoft Edge (Chromium-based) CVE-2023-5346
- Microsoft Exchange Server CVE-2023-36778
- Microsoft Graphics Component CVE-2023-36594 CVE-2023-38159
- Microsoft Office CVE-2023-36565 CVE-2023-36568 CVE-2023-36569
- Microsoft QUIC CVE-2023-36435 CVE-2023-38171
- Microsoft WDAC OLE DB provider for SQL CVE-2023-36577
- Microsoft Windows Media Foundation CVE-2023-36710
- Microsoft Windows Search Component CVE-2023-36564
- Microsoft WordPad CVE-2023-36563
- Skype for Business CVE-2023-36780 CVE-2023-36786 CVE-2023-36789 CVE-2023-41763
- SQL Server CVE-2023-36417 CVE-2023-36420 CVE-2023-36598 CVE-2023-36728 CVE-2023-36730 CVE-2023-36785
- Windows Active Template Library CVE-2023-36585
- Windows AllJoyn API CVE-2023-36709
- Windows Client/Server Runtime Subsystem CVE-2023-36902
- Windows Common Log File System Driver CVE-2023-36713
- Windows Container Manager Service CVE-2023-36723
- Windows Deployment Services CVE-2023-36567 CVE-2023-36706 CVE-2023-36707
- Windows DHCP Server CVE-2023-36703
- Windows Error Reporting CVE-2023-36721
- Windows HTML Platform CVE-2023-36436 CVE-2023-36557
- Windows IIS CVE-2023-36434
- Windows IKE Extension CVE-2023-36726
- Windows Kernel CVE-2023-36576 CVE-2023-36698 CVE-2023-36712
- Windows Layer 2 Tunneling Protocol CVE-2023-38166 CVE-2023-41765 CVE-2023-41767 CVE-2023-41768 CVE-2023-41769 CVE-2023-41770 CVE-2023-41771 CVE-2023-41773 CVE-2023-41774
- Windows Mark of the Web (MOTW) CVE-2023-36584
- Windows Message Queuing CVE-2023-35349 CVE-2023-36431 CVE-2023-36570 CVE-2023-36571 CVE-2023-36572 CVE-2023-36573 CVE-2023-36574 CVE-2023-36575 CVE-2023-36578 CVE-2023-36579 CVE-2023-36581 CVE-2023-36582 CVE-2023-36583 CVE-2023-36589 CVE-2023-36590 CVE-2023-36591 CVE-2023-36592 CVE-2023-36593 CVE-2023-36606 CVE-2023-36697
- Windows Microsoft DirectMusic CVE-2023-36702
- Windows Mixed Reality Developer Tools CVE-2023-36720
- Windows Named Pipe File System CVE-2023-36605 CVE-2023-36729
- Windows NT OS Kernel CVE-2023-36725
- Windows Power Management Service CVE-2023-36724
- Windows RDP CVE-2023-29348 CVE-2023-36790
- Windows Remote Procedure Call CVE-2023-36596
- Windows Resilient File System (ReFS) CVE-2023-36701
- Windows Runtime C++ Template Library CVE-2023-36711
- Windows Setup Files Cleanup CVE-2023-36704
- Windows TCP/IP CVE-2023-36438 CVE-2023-36602 CVE-2023-36603
- Windows TPM CVE-2023-36717
- Windows Virtual Trusted Platform Module CVE-2023-36718
- Windows Win32K CVE-2023-36731 CVE-2023-36732 CVE-2023-36743 CVE-2023-36776 CVE-2023-41772
0-day はこちら:
MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack CVE-2023-44487 (Microsoft, 2023.10.10)。 New 'HTTP/2 Rapid Reset' zero-day attack breaks DDoS records の件。
Microsoft WordPad Information Disclosure Vulnerability CVE-2023-36563 (Microsoft, 2023.10.10)
What type of information could be disclosed by this vulnerability?
Exploiting this vulnerability could allow the disclosure of NTLM hashes.
Skype for Business Elevation of Privilege Vulnerability CVE-2023-41763 (Microsoft, 2023.10.10)
How could an attacker exploit this vulnerability?
An attacker could make a specially crafted network call to the target Skype for Business server, which could cause the parsing of an http request made to an arbitrary address. This could disclose IP addresses or port numbers or both to the attacker.
特記事項:
Server 2012 / 2012 R2 が終了。
2023 年 10 月 10 日 (米国時間) にWindows Server 2012 / 2012 R2 のサポートが終了しました。これらの製品を引き続き使用すると、セキュリティ リスクにさらされる可能性があります。サポートが終了する製品をご利用のお客様は、最新のバージョンへのアップデートをご検討ください。詳細については、「Windows Server 2012 および 2012 R2 のサポート終了」を参照してください。
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 (Microsoft)。完全強制フェーズに移行しました。
Latest Servicing Stack Updates ADV990001 (Microsoft, 2023.10.10 更新)。 Windows 7 / Server 2008 R2、Server 2012、Windows 10、Windows 10 1809/Server 2019 で更新されてます。
関連:
October 2023 Microsoft Patch Tuesday Summary (SANS ISC, 2023.10.10)
今日 (10/11 JST) の Windows Update (2023-10 B) (山市良のえぬなんとかわーるど, 2023.10.11)
【Windows11】 WindowsUpdate 2023年10月 不具合情報 - セキュリティ更新プログラム KB5031354 / KB5031358 | 21H2のサポートが終了 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2023.10.11)
【Windows10】 WindowsUpdate 2023年10月 不具合情報 - セキュリティ更新プログラム KB5031356 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2023.10.12)
不具合報告:
Windows 10 用: インストールが終了しない事例。
KB5031356のインストールに失敗する既知の不具合。エラーコード0x8007000dが表示。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2023.10.14)
Windows 10パッチ「KB5031356」で問題発生中、「ERROR_INVALID_DATA」で適用に失敗 (窓の杜, 2023.10.16)
Known Issue Rollback で対応されるので、最大 24 時間待てば ok 。 あるいは、管理者コマンドプロンプトから dism /online /cleanup-image /RestoreHealth を実施。
Windows 11 バージョン 22H2 用: KB5031354にさまざまな不具合報告 (ニッチなPCゲーマーの環境構築Z, 2023.10.15)
不具合報告:
Windows Server 2022にブルースクリーンエラーの不具合。AMD EPYC環境で発生。KB5031364に起因 (ニッチなPCゲーマーの環境構築Z, 2023.11.09)
この不具合は、VMware ESXiホスト上で以下の条件を満たしたゲスト仮想マシンにのみ影響します。
- AMD EPYCの物理プロセッサーを使用
- 仮想マシンのVMwareの設定で『Expose IOMMU to guest OS』を有効にしている
- Windows Server 2022で『Enable Virtualization Based Security』が有効になっている
- Windows Server 2022で『System Guard Secure Launch』が有効になっている
「Expose IOMMU to guest OS」を無効にすることで回避できるそうです。
》 元大使館職員のアフガン難民、日本で困窮 ウクライナと支援に差 (朝日, 10/8)
ハマスvsイスラエル "戦争"の衝撃 (NHK 解説委員室, 10/10)
戦争ではなく虐殺、イスラエル国防軍が民間人の虐殺現場を報道陣に公開 (航空万能論 GF, 10/11)
イスラエルの死傷者数は3,900人以上、レバノンやシリアからの攻撃も増加 (航空万能論 GF, 10/11)
ヒズボラが対戦車ミサイルでM113を破壊、イスラエルも報復攻撃を実施 (航空万能論 GF, 10/11)
ホワイトハウス、大統領も政権も首をはねられた子供の写真を見ていない (航空万能論 GF, 10/12)
イスラエルの空爆、ガザの住宅や学校を直撃=国連人権高等弁務官 (ロイター, 10/10)。イスラエルはイスラエルで、やってることがめちゃくちゃなんだよな。
イスラエル、反撃は「始まったばかり」 ガザ地区「完全包囲」で人道危機の恐れ (BBC, 10/10)
「まるでホラー映画」 音楽祭襲撃、若者たちは逃げる途中で撃たれた (朝日, 10/11)
イスラエル・ガザ双方で死者2100人超 20万人以上が家追われる (朝日, 10/11)
パレスチナ国連大使、イスラエルのガザ封鎖を非難 「非人道的行為」 (ロイター, 10/11)
イスラエル、ガザ地上攻撃準備 バイデン氏は支援強調 (ロイター, 10/11)
イスラエルの限られた選択肢、ガザに地上部隊投入なら多大な犠牲も (ブルームバーグ, 10/11)
「どこに行けばいいのか」 安全な場所のなくなったガザ市内、BBC記者が取材 (BBC, 10/11)
【ルポ】 赤ちゃんも犠牲に、イスラエル国境の集落 ハマス戦闘員が民間人を虐殺 (BBC, 10/11)。「注意:この記事には読んでいてつらいと感じるかもしれない、詳細描写が含まれています」
イスラエルがガザを「完全包囲」、病院・救急車も空爆の標的…住民230万人に人道危機 (読売, 10/12)
焦点:中国、中東緊迫でも動けず 野心の限界露呈か (ロイター, 10/12)
イスラエル、地上戦最終準備か-ハマスを地球上から抹殺と国防相 (ブルームバーグ, 10/12)
医薬品や食料が不足するガザ地区 「悲惨な状況が待っている」とBBC記者 (BBC, 10/12)
BBC、ハマスを「テロリスト」と説明しない編集方針を擁護 英与野党は批判 (BBC, 10/12)
シャップス氏はまた、ハマスは「罪のない人々、赤ちゃん、フェス参加者、年金生活者らを殺害した」とし、
残念ながら、イスラエルもガザでめちゃくちゃやってるのがなあ……
エジプト、ハマス攻撃を3日前にイスラエルに警告=米下院外交委員長 (BBC, 10/12)。9.11 でもそうだったが、気がついていた人はいて、ちゃんと報せてもいたと。 しかし具体的な内容ではなかった模様?
AFP通信によると、米下院外交委員会のマイケル・マコール委員長(共和党、テキサス州)が、中東危機の機密情報に関する非公開の報告会の後、記者団に対し、「私たちの知るところでは、今回のような事が起こりうると、エジプトはイスラエルに3日前に警告していた」と話した。
エジプト情報当局の関係者は今週、AP通信に対し、ガザ地区で「何か大きな事」が計画されていると、イスラエルに繰り返し警戒を呼びかけていたと話した。
「近いうちに事態が爆発すると伝えていた。非常に近いうちに、大ごとになると警告してきた。だがイスラエル側はその警告を軽くみていた」
虐殺現場の集落、イスラエル反撃の準備拠点に ハマス戦闘員に多数の住民が殺害されたキブツ、兵士は「報復狙う」 (Wall Street Journal, 10/12)
イスラエル、ハマス封じ込めから「根絶」へ (Wall Street Journal, 10/11)
ガザ地区で26万人超が避難、人道危機の懸念高まる (Wall Street Journal, 10/12)
謎多きハマス司令官、イスラエル最大の標的 (Wall Street Journal, 10/12)
ツイート
カラメの戦いって、パレスチナ民族運動の歴史の画期とされてアラブ世界で顕彰されているんだが、事実だけ見たら、ゲリラがイスラエルの児童の通学バス襲って多くを殺害して、イスラエルが報復攻撃かけてカラメでアラファトの部隊を壊滅させたがアラファトが逃げ延びたりヨルダン軍が予想以上に戦ったり
— Satoshi Ikeuchi 池内恵 (@chutoislam) October 8, 2023
》 デヴィ夫人は撤回し謝罪…ジャニー氏への「ご縁とご恩」を熱く語った山下達郎はどうする? (日刊ゲンダイ, 10/12)
》 建設業界死傷事故多発の背景 工事現場から消えた「チームワーク」と「意識の共有」(森山高至) (日刊ゲンダイ, 10/3)。 シリーズ「事故多発の建設現場で何が起きているのか」。
》 最近「タクシーが全然捕まらない」ことが暗示する、ヤバい日本経済の実態…岸田首相は「人手不足」の理由に気づいているのか? (現代ビジネス, 10/4)
本当は働きたくないのだが、やむを得ず高齢者が働くことで、何とか企業のオペレーションが維持されており(ちなみに日本の高齢者の就業率は、諸外国と比べると突出して高い)、高齢者が低賃金で働いてくれるので、企業にとっては、経営を改革して賃金を上げる努力を放棄できたとも言える。
ところが、こうした状況を一変させたのがコロナ危機である。
タクシー運転手が最も分かりやすいケースだが、賃金が安く、労働条件が悪い職場の労働者たちは、コロナ危機をきっかけに一斉に退職し、就業者数が急減した。
(中略)
労働者が職場に戻らず、深刻な人手不足になるという問題は、コロナ発生当初にはまったく想定されていなかった。
筆者ら少数の専門家は、このリスクについても何度も警鐘を鳴らしたが、当時の雰囲気は正反対で「一時的な労働者の気の迷い」「コロナが収束すれば労働者はすぐに仕事に戻ってくる」という安易な予想が大半だった。
さらにインボイス制度強行が追い打ちをかけているようで。
ツイート:
そうなんです。
— 建築エコノミスト森山高至「土建国防論」執筆中 (@mori_arch_econo) October 11, 2023
実は、その話もテレビや新聞でしたかったんですが、実際に声上げてくれる職人さんが少なくて。
インボイス増税が嫌というより、インボイス制度への対応が面倒いという職人さん多く、せやったらもうええか、みたいな感じで廃業されています。
特に技術力と応用力のある高齢の職人さん。
《独自》ビッグモーターも「社名変更」へ…販売台数が3割以下に激減した同社に異変…「スポンサー決定」ではじまる「本当の新体制」 (現代ビジネス, 10/3)
こんな悲惨な状況になるとは…経営悪化が続く中、それでも自主再建を目指すビッグモーターの「厳しすぎる現実」 (現代ビジネス, 10/3)
ビッグモーター34事業所に車検業務指定取り消しなど行政処分へ (NHK, 10/12)
【街路樹枯死問題】ビッグモーターが都に1600万円納付 店舗前の街路樹”除草剤”検出受け原状回復費用 (テレ朝 / Yahoo, 10/11)
ビッグモーターが説明ナシで「冠水車」を販売! 判決は「販売代金」の支払い命じる! ずさんな対応で何があったのか (くるまのニュース / Yahoo, 10/12)
DX先進企業だったはずの損保ジャパン、ビッグモーター事件で見えた実情 (木村 岳史 / 日経 xTECH, 10/12)
何せ損保ジャパンは、日経コンピュータが主催して優れたIT事例を表彰する「IT Japan Award 2022」でグランプリを受賞しているからな。 (中略) 受賞対象となった日経コンピュータ2021年7月22日号の特集記事では、ビッグモーター事件で今や「時の人」になってしまったSOMPOホールディングスの桜田謙悟社長(当時、現会長)兼グループ最高経営責任者(CEO)がインタビューで登場し、グループ挙げてのDXについて熱く語っていた。
今回のビッグモーター事件で明らかになってしまったのは、SOMPOホールディングスや損保ジャパンは「DX先進企業」「データ活用先進企業」のはずなのに、肝心の経営判断においてITは何の関係もないということだ。さらに言えば、DXの「魂」はデジタルではなくトランスフォーメーション、つまり変革のほうである。デジタルは変革のための手段という位置付けだ。だが、損保ジャパンの経営者らは、既存のビジネスをより良いものに変革するどころか、現状を守ることだけを考えていたようだ。
改ざんの事実を“隠ぺい” 損保ジャパンの親会社が中間報告書を公表 ビッグモーター問題めぐり (TBS, 10/10)。こちら: ビッグモーター社による不正事案に関する社外調査委員会の中間報告書受領について (SOMPOホールディングス, 10/10)。社長、副社長くらいは実名で書きなよ。
全国銀行データ通信システムの復旧について (全国銀行資金決済ネットワーク, 10/12)
全銀ネットが簡素化したパッチを適用へ、2日で500万件超の送金に影響 (日経 xTECH, 10/11)。10/11 中に不具合個所が判明、patch で不具合を回避と。
12日朝の復旧に向けて、全銀ネットは不具合が発生した中継コンピューター(RC)に新たなパッチを適用する方針だ。不具合の原因になったとされるプログラムは、内国為替制度運営費(旧銀行間手数料)の設定などをチェックするもの。今回、「銀行間手数料を参照しない」(全銀ネット)形の簡素化したパッチを開発し、RCに適用するという。
RCを更改した14の金融機関のうち、不具合が生じなかった金融機関が3つあった。全銀ネットはこの理由について「(不具合が発生しなかった3金融機関は)RCで銀行間手数料を計算するのではなく、自行システムで手数料を計算する仕組みだった」と説明する。
全銀システムのトラブルが解消、通常利用を再開 (日経 xTECH, 10/12)。patch は無事機能しているようです。
Chrome 118.0.5993.70 (Mac / Linux) および 118.0.5993.70/.71 (Windows) 公開。 20 件のセキュリティ修正を含む。
いろいろ (2023.10.10) curl / libcurl
出てます。iida さん情報ありがとうございます。
curl 8.4.0 (Daniel Stenberg, 2023.10.11)
》 Booking.com、宿泊費未払い問題を謝罪 原因は“支払いシステムの不具合” 「現在緊急対応をしている」 (ITmedia, 10/11)
》 EU、Xのマスク氏にハマスのイスラエル攻撃関連の偽情報対策を要請 (ITmedia, 10/11)
このポストに対し、マスク氏は「われわれのポリシーは、すべてがオープンソースで透明性があることであり、EUもこのアプローチを支持していると認識している。あなたがほのめかした違反をリストアップして、一般の人々が確認できるようにしてください」とリプライした。
これに対し、ブルトン氏は「あなたは偽情報や暴力の美化に関する報告を(既に)受けているはずだ。自分が有言実行の人であることを証明できるかどうかはあなた次第だ」とリプライした。
》 Google、「パスキー」を個人ユーザーのデフォルトに (ITmedia, 10/11)
全銀システムの送金不具合、11日も復旧せず 11金融機関の他行宛て振込に影響 (ニッキン online, 10/11)。内容としては 10/10 時点の記事の模様。
全銀システムと各金融機関をつなぐリレーコンピューター(RC)の不具合が要因。銀行利用者に影響を及ぼす全銀システムの障害発生は、1973年の稼働以来初めて。
(中略)
全銀ネットは6年ごとにRCを更改している。今回、不具合が生じた金融機関は23〜29年に24回に分けて移行するうち第一陣だった。9日までに実証テストも行っていたものの、10日8時30分過ぎに不具合を検知。RCが内国為替制度運営費(銀行間で支払う手数料)をチェックする行程で問題が発生したと把握したため、9時30分頃にRCのシステムをリブート(再起動)したが、システム不具合は解消しなかった。14時30分には他行宛振替データを入力した媒体を全銀ネットに持ち込む代替手段への切り替えに着手。17時から19時頃まで代替手段を使った振り込み取引処理を実施した。
平日15時30分〜翌日8時30分と休日の即時着金に対応する「モアタイムシステム」は通常通り稼働中。個別銀行とモアタイムシステムを接続するRCは更改していないため、他行宛振り込みの問題も発生していない。
11日8時30分以降は再びコアタイムシステムを稼働させる。それまでにシステムを改修できなければ、10日と同様に代替手段での対応を余儀なくされることになる。
そして、11 日も駄目だったと。
全銀システムの大規模障害、中継コンピューター2台ともに不具合で冗長構成が機能せず (日経 xTECH, 10/11)
コアタイムシステムのRCは各金融機関に2台ずつ設置されていたが、2台とも不具合が生じ、冗長構成がうまく機能しなかった。全銀ネットは10日午前9時30分ごろ、ベンダーのNTTデータとの協議を経てRCのシステムをリブートしたが、不具合は解消しなかったという。
全銀ネット、なぜ50年目で初のシステム障害…オープン化計画に影響も (Business Journal, 10/11)
「トラブル発生が確認されたのが昨日8時30分であり、24時間以上たった今(11日9時30分現在)も復旧しておらず、障害は長期化している。中継コンピュータ、いわゆるリレーコンピュータはシステムのなかでもやっかいな部分で、トラブルの原因になりやすい。今回は各銀行と全銀システムに接続する中継コンピュータの更新作業で問題が生じたということなので、ありがちな障害といえる」(大手ベンダーSE)
その「ありがち」を 50 年回避しつづけることができていたが、今回大規模に失敗したと。
全銀システムで中継コンピューターのチェック機能に不具合、40万件が処理できず (日経 xTECH, 10/10)
全銀ネットによれば、今回の障害はおおむね6年おきに実施している中継コンピューター(RC)のシステム更改に伴って発生した。「更改した中継コンピューターには内国為替制度運営費(旧銀行間手数料)の設定などをチェックする機能が備わっており、この機能に不具合が生じた」(全銀ネット)。内国為替制度運営費とは、送金元の金融機関から送金先の金融機関に対して支払う費用のことだ。
RCの更改は14の金融機関で実施したが、そのうち不具合は三菱UFJ銀行やりそな銀行など11機関で発生した。一部の金融機関で不具合が起きなかった理由について、全銀ネットは「設定の仕方などが異なっていた」と説明する。
うわあ。本番で「設定の仕方」のテスト漏れが判明、ということかなあ。
全国銀行データ通信システムの不具合について(その4) (全国銀行資金決済ネットワーク, 10/11 11:43:11)
同システムについては、10 月 10 日(火)から 11 日(水)の夜間に復旧に向けた対応を 実施いたしましたが、10 月 11 日(水)午前 11 時時点において、上記事象の解消の目途は 立っておりません。 (中略) 不具合の原因は引続き調査中
1.5 日経過した時点でも原因不明・解消目処立たずと。 旧機器への 切り戻しはしないのかなあ。
全国銀行データ通信システムのシステム障害についてまとめてみた (piyolog, 10/11)
国内決済インフラの高度化に向けた取組み (全国銀行協会, 6/16)
》 中国で3年拘束のオーストラリア人記者、解放され帰国 (ロイター, 10/11)
》 台湾・蔡英文総統、双十節(建国記念日)祝賀式典で演説 (10/10)。 2024.05 で退任なので、双十節演説はこれで最後。
台湾総統「現状維持」訴え 建国記念日の最後の演説 (共同 / 東京, 10/10)。ニュース記事としては、こうなっちゃうのね。
President Tsai delivers 2023 National Day Address (中華民国総統府, 10/10)。演説全文の英訳。 個人的に一番うらやましいのはここ。
It has been four years since the passing of legislation for marriage equality in Taiwan. I want to thank those who opposed this for their tolerance, making Taiwan, a country where any two people who love each other can start a family and find happiness, the envy of the world.
DeepL 翻訳:
台湾で結婚の平等を求める法案が可決されてから4年が経った。台湾が、愛し合う二人であれば誰でも家庭を築き、幸せをつかむことができる国として、世界の羨望の的となったことを、これに反対した人々の寛容さに感謝したい。
HTTP/2 プロトコルに欠陥。HTTP/2 Rapid Reset と呼ばれる DDoS 攻撃が可能。 リクエストし直後にキャンセルする、を高速に繰り返すことで、サーバー側に大量のリソースを消費させられる。CVE-2023-44487。 観測されている攻撃は
CloudFlare によると、 CloudFlare に対する 201M リクエスト/s の攻撃は、たった 2 万台のボットネットからなのだそうで。 世の中には 数十万〜100万台のボットネットも存在するので、 Web 全体のリクエスト (1〜3G リクエスト/s) に相当するものを浴せるような攻撃も不可能ではないと。
CloudFlare、Google、Amazon、Microsoft といった主要なクラウドサービス事業者は既に緩和策を実装済の模様。Microsoft Windows については 2023 年 10 月の更新プログラムで対応している。
HTTP/2 Rapid Reset: deconstructing the record-breaking attack (CloudFlare, 2023.10.10)
How it works: The novel HTTP/2 ‘Rapid Reset’ DDoS attack (Google, 2023.10.11)
How AWS protects customers from DDoS events (Amazon, 2023.10.10)
Microsoft Response to Distributed Denial of Service (DDoS) Attacks against HTTP/2 (Microsoft, 2023.10.10)
抄訳版: HTTP/2に対する分散型サービス拒否 (DDoS) 攻撃に対するマイクロソフトの対応について (Microsoft, 2023.10.10)
本件は HTTP/2 プロトコル自体の欠陥であるので、HTTP/2 に対応する全ての製品が対象となる。 また HTTP/2 サポートを無効にすることで回避できる。
HTTP/2 Rapid Reset Attack Impacting NGINX Products (NGINX, 2023.10.10)
Fixed in Apache Tomcat 10.1.14 (apache.org, 2023.10.10)
CVE-2023-44487。 さまざまな製品・サービスへのリンクがある。
関連:
HTTP/2を実際に使用するためのサーバー設定 (さくらのナレッジ, 2017.03.24)。Apache と NGINX で HTTP/2 を有効にするためのドキュメントだが、逆をすれば無効になる。
MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack CVE-2023-44487 (Microsoft, 2023.10.10)。IIS での無効化方法が記載されている。 管理者権限で regedit を起動し、 HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters の EnableHttp2TIs と EnableHttp2Cleartext を 0 にすると無効化される (1 だと有効化) そうで。
About the security content of iOS 17.0.3 and iPadOS 17.0.3 (2023.10.05)
iOS / iPadOS 16.7.1 が公開されました。上記 2 件 CVE-2023-42824 CVE-2023-5217 が修正されています。
About the security content of iOS 16.7.1 and iPadOS 16.7.1 (Apple, 2023.10.10)
》 ジャニーズ問題 “NHK内で複数回 性被害に” 男性が証言 (NHK, 10/9)
NHKの取材に対し、ジャニー喜多川氏からの性被害を訴えているのは、現在30代の男性です。
男性によりますと、高校生だった2002年の秋、ジャニーズ事務所の「ジャニーズJr.」が出演する音楽番組「ザ少年倶楽部」に出演を希望していたことから、東京 渋谷のNHK放送センターを訪れ、ダンスの練習に参加したということです。
その際、会場に来ていたジャニー喜多川氏から休憩時間に声をかけられ、部屋の外の男性用トイレに連れて行かれると、個室の中で下着を脱がされ、性被害に遭ったと証言しています。
この報道に対するセカンドレイプが酷いのだが、 加害者たるジャニーズ事務所自身がこの調子:
【性加害問題】ジャニーズ事務所が声明文 【全文】「告発される方々のご主張内容についても十分な検証を」 (TBS, 10/10)
故ジャニー喜多川による性加害に関する事実認定については、加害行為に責任がある弊社が関与することを避け、独立した第三者である再発防止特別チーム及び被害者救済委員会に委ねることとしていることから、関連報道における個別の告発内容については弊社として認識していない情報も含まれており、コメントを控えております。これは、10月2日に発表した被害者救済の方針に則り、性加害に遭われた方々を保護し、その人権に配慮しているからでもあります。
と言いつつ、こんなコメント↓をしているのだ。明らかにおかしい。
なお、弊社は現在、被害者でない可能性が高い方々が、本当の被害者の方々の証言を使って虚偽の話をされているケースが複数あるという情報にも接しており、これから被害者救済のために使用しようと考えている資金が、そうでない人たちに渡りかねないと非常に苦慮しております。
そのような事態を招かないためにも、報道機関の皆様におかれましては、告発される方々のご主張内容についても十分な検証をして報道をして頂きますようお願い申し上げます。
圧力をかけて潰す気マンマンじゃないか。 早くも化けの皮がはがれてきた。
関連:
ツイート
たしかにザルだった。わたしも20年↑ほど前は某劇団のスタッフをやっていて、小道具や衣装を取りに行く等でテレビ局に出入りしたこともあるけど、忘れ物して再入場時とか、受付のおじさん変わってても「すみません、忘れ物~」で入れたわ。ザルだったのは事実w https://t.co/TiL3Lf3Ih3
— しょこちん💚🍫 (@shoko56) October 10, 2023
》 緊急避妊薬、11月20日から 処方箋なしの試験的販売開始へ (東京, 10/10)。これは朗報だが、
各都道府県で要件を満たした調剤薬局2~3店舗ずつ、全国計150店舗程度で販売する方針。
少なすぎじゃね?
「試験販売される緊急避妊薬」として写真が掲載されているのは、 ノルレボ (ウィメンズヘルスケア オンライン)。 ジェネリック品「レボノル」もあるらしい のだが、今回の処方箋なし試験販売では対象とはならないということなのか。
V6井ノ原のこと好きでも嫌いでもなかったけど会見みて無理になってしまった… (はてな匿名ダイアリー, 10/3)
スクープ!ジャニーズ会見で使用された「指名候補&NGリスト」現物入手&全社名公開! (FRIDAY, 10/5)
「指名候補記者リスト」に入っていたのは以下の8名だ。
・「読売新聞東京本社」T記者
・「日本経済新聞社」S記者
・「日経ビジネス」O記者
・「東洋経済新報社」Y記者
・「ロイター通信」S記者
・「ニューヨークタイムズ」U記者とM記者
・「TBS」藤森祥平アナウンサー
・芸能リポーターの駒井千佳子氏
駒井氏や藤森アナウンサーなど、メディア出演を行っている人間以外の記者については、現時点ではプライバシーに配慮し、本誌が独自にモザイクを入れ、匿名にしている。
会見に出席したメディア関係者が語る。
「会見の質疑応答が始まると、『指名候補』に挙げられている東洋経済の記者、リポーターの駒井氏が真っ先に指名されました。一方、NGリストに記載されている鈴木エイト氏は、ずっと挙手していたものの最後まで当てられませんでした。尾形氏や望月氏は挙手してもいつまで経っても指名されないので、司会に当てられなくても自分たちで質問していた。他にも『指名候補』に挙がっていたTBSの藤森アナウンサーやロイター通信の記者は当てられていたので、会見はやはりリストに沿って進められたように感じます」
スクープ!運営スタッフが激白「ジュリー氏も会場にいた」「リストはジャニーズの要望に基づいて作成」 (FRIDAY, 10/6)
運営に関わっていたスタッフは「リストはジャニーズ事務所の要望に基づいて作成された」と断言する。
「9月の一回目の会見は謝罪をメインにしたいという方針があったのですが、今回の会見に関しては、『ジャニーズ側がペースを握っていきたい』という要望が事前に提示されていました。さらに『可能な限りダメージの少ない質疑応答で済ませられるように』という要望もありました。
ただ、運営側としては会見における記者のコントロールまではできないと判断し、その旨をお戻ししたんです。しかしジャニーズ事務所から、『今回の司会の方は会見のリスクマネジメントを上手くできる人だから、顔と場所さえ分かれば上手く回せる』といった意見が出された。結果的に『じゃあNG記者の場所特定までやりましょう』となったようです」
会見当日、ジュリー氏の姿は会見場にあったという。
「あの日、会見場の裏にはジュリーさんも来ていたと聞いています。会見場には運営スタッフでも入れない『立ち入り禁止ゾーン』があったのですが、そこには『ジュリーさんが来ているから、ここから先は入らないでください』とお達しが出ていたんです。そのゾーンにはジャニーズの一部関係者など、本当に限られた人しか入れないようになっていました」(前出・会見運営スタッフ)
「井ノ原氏に拍手」に感じた日本メディアのヤバさ 1回目の会見と決定的に違ったポイント (レジス・アルノー / 東洋経済 online, 10/4)
今回の会見は、ジャニーズ事務所の新たな不正や落ち度を明らかにしたものではなかった。今回の会見は日本の主要メディアの最悪な部分を暴露したのだ。つまり、記者たちは生やさしい質問をするだけで国民の知る権利の役に立たないだけでなく、同時に同胞であるはずのジャーナリストが質問しようとしているのを邪魔するのだ。
このパターンは日本の多くの機関や企業でも同じだ。多くの場合、「認定されたジャーナリスト」はほかのジャーナリストとの接触さえもコントロールする。私の経験では、外国人記者が行政機関の記者会見に立ち入ろうとすると、省庁ではなくジャーナリスト(記者クラブ)に許可を求めなければならない。
望月衣塑子記者が振り返るジャニーズ会見 記者席から見た現場の状況は、「NGリスト」に名前はあったのか… (東京, 10/5)
「新会社の質問を先に受けたかった」“NGリスト”運営会社認める ジャニーズ関与否定 (テレ朝, 10/5)
「ジャニNGリスト問題」司会・元NHKアナ、3年前の動画が物議に…「大ブーメラン」との声が続出 (スポニチ, 10/6)
元Jr.が証言「噂レベルなんてことは絶対あり得ません」ジャニー氏の性加害が広がった背景を検証【報道特集】 (TBS, 10/7)
【ジャニーズ】『メリー氏の人物像』性加害問題を長年取材した中村竜太郎氏の実体験「クレーム言いたいと呼び出され...5時間以上、罵詈雑言、脅迫めいたことを」 (TBS, 10/9)
「ジャニーズ性加害問題当事者の会」が会見のやり直しを求める コメント発表 「指名NGリスト」を受け (TBS, 10/9)。あたりまえ。
ジャニーズ会見「NGリスト」以外も…「ちゃんと回せよ!」挙手せず“野次だけ“記者の「異様正体」 (FRIDAY / Yahoo, 10/10)
白波瀬傑前副社長が裏で糸を引く構造は変わらず…ジャニーズ「NG記者リスト」主導報道 (日刊ゲンダイ / Yahoo, 10/10)
》 「ゆうちょ通帳アプリ」「ゆうちょダイレクト」が使えない不具合発生中 (PC Watch, 10/10)、 【一部復旧】ゆうちょダイレクト・ゆうちょ通帳アプリ・ゆうちょPay等における不具合発生について (ゆうちょ銀行, 10/10)。まだ完全復旧ではないと。
》 「三菱UFJ」や「りそな」で振込できない不具合が発生中。復旧目処は不明 (PC Watch, 10/10)
全国銀行データ通信システムの不具合について (全国銀行資金決済ネットワーク, 10/10)
全国銀行データ通信システムの不具合について(その2) (全国銀行資金決済ネットワーク, 10/10)
本日、全国銀行データ通信システムにおいてシステムの不具合が発生しており、一部銀行 (三菱 UFJ 銀行、りそな銀行、埼玉りそな銀行、関西みらい銀行、山口銀行、北九州銀行、 三菱 UFJ 信託銀行、日本カストディ銀行、JP モルガン・チェース銀行、もみじ銀行、 商工組合中央金庫)において、他行宛の振込取引ができない状況でございましたが、現在、バッ クアップ手段を用いて、振込取引の処理を実施しております。
元々の不具合は残ったままなのね。
》 福島第一原発デブリ回収、3度目の延期? 東電の代案「相当厳しい」 (朝日, 10/9)
東電は今年6月、貫通口のフタを固定しているボルト24本の取り外し作業を始めた。
今年度上期にはフタを開き、中のケーブルなどの除去を始めるはずだったが、一部のボルトが固着していて、取り外しが難航。事故時に炉心が高温になり、フタの接地面のゴムなどが溶けてボルトの穴につまった可能性があるとみられ、今もボルトの取り外しを終えていない。
2023年 第39週 (9月25日~10月1日) 2023年10月4日現在 (国立感染症研究所)。既に警報レベルに到達している県が複数ある。
今シーズン (2019/20年)の動き (国立感染症研究所)。↑と見比べると、2023年第39週は、2019年第48週〜49週あたりの状況になっているように見える。約 2 か月早い感じか。
2023/24 シーズンの インフルエンザワクチンの供給等について (厚生労働省, 8/28)
都内におけるインフルエンザウイルスの遺伝子系統樹解析について (東京都健康安全研究センター)。9/25 現在の遺伝子系統樹。
ウクライナ、ロシアが鹵獲した欧米製兵器をハマスに引き渡したと発表 (航空万能論 GF, 10/9)
ウクライナ国防省情報総局は9日「ウクライナの信用を傷つけるためロシアが戦場で鹵獲した欧米製兵器をハマスに引き渡した。ロシアは今後『ウクライナが西側諸国から受け取った武器をテロリストに売りつけている』と偽情報を広めるだろう」と警告した。
露元大統領、ウクライナに引き渡された武器がイスラエルで使用されている (航空万能論 GF, 10/9)。うわー本当に言い出したよ……。
イスラエルがガザ地区沿いの支配権を確保、30万人の予備役動員も完了 (航空万能論 GF, 10/9)
イスラエル政府高官、人質が犠牲になってもガザ地区への攻撃を止めない (航空万能論 GF, 10/10)
》 "ウクライナ疲れ?"懸念される支援の綻び (NHK 解説委員室, 10/10)
》 世界中の政治家、学者、ジャーナリスト等をスパイウェアの拡散に利用した攻撃に関するレポート「プレデター・ファイル」が報告される (gigazine, 10/10)
》 やや日刊カルト新聞: (動画あり)統一教会信者が鈴木エイト氏を提訴し会見 被告が記者席で取材 (やや日刊カルト新聞, 10/8)
》 Microsoft、VBScriptを廃止予定。Windowsの将来のリリースで削除 (ニッチなPCゲーマーの環境構築Z, 10/10)
》 明日(10/11 JST) の Windows Update、最後の品質更新がいくつか (山市良のえぬなんとかわーるど, 10/10)。Server 2012 / 2012 R2 が終了など。
》 覚醒剤使用したとして起訴の会社役員に無罪判決 東京地裁 (NHK, 10/3)。以下を読む限りではケーサツが捏造・隠蔽したという話にしか読めないのだが。
男性は3年前の1月、警視庁から車などの捜索を受け、任意で提出した尿から覚醒剤成分が検出されたため逮捕、起訴されました。
3日の判決で、東京地方裁判所の平出喜一裁判長は「男性側は、捜索中に覚醒剤が混じったペットボトルを意図せず飲んだことが原因だと主張していて、うそだと退けることは困難だ。覚醒剤を故意に使用したとは認められない」として無罪を言い渡しました。
また、警視庁の捜査員が男性に隠れて自宅周辺を撮影した動画のDVDのうち、一部が初期化されていたことに触れ、「捜査を担当した警察官は記憶がないと言うが、警察官の誰かが初期化したと推認できる。故意にデータを破損させる目的とまでは認められないにしても、重大な事が起きているのに警察官がその原因について真実を告げていないことは、適正な捜査手続きに対する信頼を大きく害する事態だ」と厳しく指摘しました。
ペットボトルの件は、朝日報道の方がわかりやすいか: 覚醒剤使用の故意認めず「無罪」 証拠映像の破損も批判 東京地裁 (朝日, 10/3)
公判で男性側は「当日車に乗せた知人女性が、ペットボトルの水で使用済み注射器を洗ったことが原因だと思う」と説明。捜索時に警官から渡されたその水を飲んだため、尿から覚醒剤が検出されたと主張した。
判決は、ペットボトルの飲み口についた唾液(だえき)のDNA型が男性と一致した一方、ボトル内の水には女性のDNA型の血液が含まれ、車内で見つかった注射器から検出されたDNA型と矛盾しないことなどから、男性側の主張を認めた。「一見あり得そうもない内容にも思えるが、それに沿う証拠も相応にあり、他に虚偽と認める証拠がない限り、排斥できない」と述べた。
あとここ:
男性は2020年1月、警視庁に別の容疑でレンタカーの捜索を受けた際、覚醒剤が見つかって逮捕された。その後、尿検査で覚醒剤成分が検出され、使用の罪で起訴された。
所持では起訴されていないようですね。 証拠のデータ破損問題 捜査の適法性「裁判官は予断持たずに判断を」 (朝日, 2021.11.01) に記載された状況↓を見ても、 「知人女性」が所持していたとみなされているようで。
この日の初公判で無罪を主張した弁護側は、被告が逮捕された昨年1月8日、車にあったペットボトルを警察官から渡されて被告が飲み、その水に、被告の知人女性が使った覚醒剤が混じっていた可能性があると指摘。「被告自らがすすんで摂取していない」と訴えた。女性は被告の確保中に逃げ出したという。
そのうえで、破損した映像データには、被告や女性、警察官の行動が記録されていたはずと説明。警察が女性を取り逃がしたり警察官が被告を転倒させたりしたなど「不都合な場面があった」と述べた。
ケーサツは男性が犯人だと決めつけて行動したが実は無実で、しかも犯人と思しき女性を取り逃した、ということかな。あまりにショボいので、その証拠を隠滅したと。
Acronis Agent update C23.10 (Acronis, 2023.10.09)。2 件のセキュリティ修正を含む。
Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11 #12026 (GitHub, 2023.10.04)。2023.10.11 (UTC 06:00) に公開される予定。 iida さん情報ありがとうございます。
CVE-2023-38545: severity HIGH (affects both libcurl and the curl tool)
CVE-2023-38546: severity LOW (affects libcurl only, not the tool)
出てます。iida さん情報ありがとうございます。
curl 8.4.0 (Daniel Stenberg, 2023.10.11)
》 ハマス、イスラエルへ大規模攻撃 (10/7〜)、市民等を多数殺害・拉致
奇襲攻撃で1,000人以上が死傷、イスラエルにとって今回の攻撃は9.11に匹敵 (航空万能論 GF, 10/8)
ネタニヤフ首相が宣戦布告、イスラエル側の死傷者数は2,700人を突破 (航空万能論 GF, 10/9)
イスラエルの死傷者数は3,000人を突破、ハマス発射のロケット弾も4,000発超え (航空万能論 GF, 10/9)
ハマスの奇襲攻撃は非常に洗練された協調作戦、海からの襲撃にも成功か (航空万能論 GF, 10/9)
もう海外の主要メディアは「ウクライナとロシア」ではなく「イスラエルとハマス」の報道で埋め尽くされている
【解説】 ガザから最も大胆な攻撃、イスラエルは意表を突かれた=BBC国際編集長 (BBC, 10/9)
【解説】 イスラエルへの急襲、不可能と思われたが……ハマスはどうやって (BBC, 10/9)
ハマス襲撃 米、タイなど外国人犠牲者の報告相次ぐ 一部は人質か (毎日, 10/9)、 ハマスとイスラエルの戦闘で死者1100人超 人質は130人以上か (毎日, 10/9)
サウジ外相、米・EUとの電話会談でガザ地区の民間人に対する暴力を非難 (アラブニュース, 10/8)
》 SSH使うなら、これだけは覚えておきたい話 (PC Watch, 10/7)。Byobu、Mosh。
》 ソニーがセキュリティ侵害で約6800人分の従業員データが流出したことを認める (gigazine, 10/6)
》 ついにイーロン・マスクがアメリカ政府から提訴される、Twitter買収による乗っ取りについて出廷を命じられていたが無視して応じなかったため (gigazine, 10/6)
》 AliExpressを運営する中国企業Alibabaが「スパイ活動容疑」でベルギーの諜報機関から監視されていることが判明 (gigazine, 10/6)。「VSSEの監視対象になっているのはベルギーの都市・リエージュの貨物空港にあるAlibabaの物流拠点」。
》 X(旧Twitter)が新しい「広告とは明示されない」広告フォーマットを導入し混乱広がる (gigazine, 10/7)
》 中国から不正アクセス 国内トップ企業のガラス技術を持ち出しか 容疑で兵庫の夫婦を逮捕 (産経, 10/6)、 独自の製造技術情報を中国企業へ提供したとみられる事案についてまとめてみた (piyolog, 10/7)
》 容量偽装USBメモリ検出アプリ『ValiDrive』が登場。偽物かどうかを簡単に判別 (ニッチなPCゲーマーの環境構築Z, 10/8)
》 Intel、Windows12が2024年にリリースされると示唆 (ニッチなPCゲーマーの環境構築Z, 10/7)。その方が儲かるからね。
Windows12が2024年に登場するという噂は2022年から出ていました。当時のリークでは、MicrosoftはWindowsのメジャーバージョンのリリースサイクルを3年周期に戻し、Windows11のリリースから3年後にあたる2024年にWindows12をリリースすると報じられていました。
》 サブスクリプションコードは企業向けWindows11 IoTのものか。一般向けWindows12 / 11のサブスクではないと報じられる (ニッチなPCゲーマーの環境構築Z, 10/7)
》 「BOOTH」成人向け商品購入でPayPal利用不可に (ITmedia, 10/6)。理由がよくわからない。
》 最大手を含む6社が締結、米CISAが幼稚園〜高校向け教育ソフト開発会社と交わしたセキュア・バイ・デザインの誓約の中身 (Internet Watch, 10/5)
》 「Gmail」がスパムメール撲滅に本腰 大量送信者に新しい義務を課す方針を明らかに (窓の杜, 10/4)
Wireshark 4.0.9 and 3.6.17 Released (Wireshark, 2023.10.04)。セキュリティ修正あり。
Wireshark 4.0.10 and 3.6.18 Released (Wireshark, 2023.10.04)。mac 版での不具合を修正。セキュリティ修正なし。
Buffer overread in TLS stream cipher suites (Mbed TLS, 2023.10.05)。 脆弱な暗号化スイート (null cipher, RC4) への対応を削除することで回避できる (コンパイル時、またはランタイムへの設定)。デフォルトでは非対応。 Mbed TLS 3.5.0 / 2.28.5 で対応。
Buffer overflow in TLS handshake parsing with ECDH (Mbed TLS, 2023.10.05)。デフォルト設定では影響しない。 Mbed TLS 3.5.0 で対応。Mbed TLS 2.28 系には影響しない。
CVE-2023-45322: Use-after-free in libxml2 through 2.11.5 (oss-sec ML, 2023.10.06)。開発版でに修正が入ったが、リリース版はまだみたい。
CVEs assigned for reachable assertions in avahi (oss-sec ML, 2023.10.06)。 CVE-2023-38469 CVE-2023-38470 CVE-2023-38471 CVE-2023-38472 CVE-2023-38473
CVE-2023-22515 - Broken Access Control Vulnerability in Confluence Data Center and Server (Atlassian, 2023.10.04)。「CVSS 10: URGENT ACTION REQUIRED」
》 全米50超の警察が採用した「犯罪予測AI」の精度は0.5%未満だった | 新聞紙学的 (新聞紙学的, 10/5)。犯罪予測 AI Geolitica (旧称 PredPol) の結果発表。
》 「iPhone 15 Pro」過熱問題を修正するiOS 17.0.3がリリース (PC Watch, 10/5)。15 Pro / Pro Max 過熱問題の修正が入っていたのですね。
》 自称"ナゴルノ=カラバフ共和国消滅の衝撃 (NHK解説委員室, 10/4)。NHK 的には「アルツァフ共和国」ではなく「ナゴルノ=カラバフ共和国」なのですね。って、どちらにせよ、まもなく消滅するのですが。
》 Microsoft、Windows12 / 11でOSのサブスクリプションを検討か。それらしきコードが見つかる (ニッチなPCゲーマーの環境構築Z, 10/6)
》 「MagSafe充電器が特定の周波数に干渉する」とアマチュア無線家が指摘 (gigazine, 10/6)
》 科学論文の「不正に操作された画像」を検出するAIツールはすでに人間を上回る精度だという研究結果 (gigazine, 10/6)
》 ロシアが2024年3月からVPNサービスをブロックする予定だと報じられる (gigazine, 10/5)
》 Cloudflareが内部ソフトウェアのエラーで障害を発生させた件の分析結果を公表、何が原因だったのか (gigazine, 10/5)
》 公式サポートが終了した古いMacに最新のmacOSをインストールするプロジェクト「OpenCore Legacy Patcher」が「2008年のMacにmacOS Sonomaをインストールする」バージョン1.0.0を公開 (gigazine, 10/5)
今回のバージョン1.0.0を利用できるMacのモデルは、2007年に発売されたiMacから2019年まで販売されていたMacBookまでのすべてのMacです。
》 「児童ポルノ規制」を旗印にiPhoneのプライバシー保護を弱体化させようとする圧力団体は出所不明の政治資金で運営されている (gigazine, 10/3)。ソースは The Intercept。
》 「スペースデブリ規制」違反でアメリカ当局が初となる罰金を民間企業に科す、古い衛星が軌道から適切に離脱しなかったため (gigazine, 10/4)
》 関係法令Q&Aハンドブック Ver.2.0 (NISC, 9/25)
》 EV証明書の不正利用:マルウェア「RedLine」、「Vidar」の最新攻撃手法を解説、ランサムウェア感染の危険も (トレンドマイクロ, 10/3)
こうしたセキュリティ対策が施行されているにも関わらず、本調査事例では、2023年の7月から8月にかけてEVコード署名付きの検体が30個以上発見されました。このうち、トレンドマイクロが「TrojanSpy.Win32.VIDAR.SMA」として検知した情報窃取ツールは、検体毎にハッシュ値が異なるなど、多態性(ポリモーフィック)が備わっています。攻撃者によってマルウェアにEVコード署名が付与される事例は以前にもありましたが、単一の攻撃グループからこれほど多くの検体が確認される事例は、弊社の把握している限り、今回が初めてのこととなります。当該の攻撃グループが秘密鍵へのアクセスを取得した手段については、現在のところ不明です。
》 英高速鉄道「HS2」、残りの計画を中止 スーナク首相が党大会で発表 (BBC, 10/5)
関連: 英高速鉄道「HS2」の車両製造、日立・アルストムが受注 (レイルラボ, 2021.12.15)、 日立、アルストムから「高速車両技術」を買う理由 元ボンバルディアの車両、残る部分は中国へ? (東洋経済オンライン, 2021.12.17)
》 韓国の造船企業を対象としたサイバー攻撃についてまとめてみた (piyolog, 10/5)
CVE-2023-4692, CVE-2023-4693: grub2: OOB write, read via specially crafted NTFS filesystem (oss-sec ML, 2023.10.04)
Chrome Stable Channel Update for Desktop (2023.09.14)
Microsoft’s Response to Open-Source Vulnerabilities - CVE-2023-4863 and CVE-2023-5217 (MSRC, 2023.10.02)。Microsoft 的には、CVE-2023-4863 は Edge / Teams for Desktop / Skype for Desktop / WebP Image Extension に影響していたそうで。 CVE-2023-4863 - Security Update Guide - Microsoft - Chromium: CVE-2023-4863 Heap buffer overflow in WebP (Microsoft, 2023.10.04 更新) によると Teams for Mac と VP9 Video Esxtention も対象のようです。
Chrome Stable Channel Update for Desktop (2023.10.04)
「Microsoft Edge」にセキュリティアップデート、v117.0.2045.55が公開 (窓の杜, 2023.10.05)
》 Times紙、中国海軍の潜水艦は壊滅的な事故で55人の死亡者を出した (航空万能論 GF, 10/5)。Times が後追いしたと……
Times紙は「この潜水艦は黄海を航行中に海底の障害物(米海軍や同盟国の潜水艦を罠に嵌めるため中国海軍が設置したものらしい)に接触して損傷、この影響で酸素供給システムが壊滅的に破損し、浮上するまで6時間もかかったため全乗組員が低酸素症に陥って艦長を含む55人が死亡した。この情報は高度な機密レベルに指定されているため情報漏えいの調査が行われるだろう」と書いているが、記事の中で「国防省はDaily Mail紙の報道についてコメントを避けた」とも書いているため、Times紙の記事はDaily Mail紙を引用して書かれている可能性が高い。
うーん……。内容が「沈黙の艦隊」すぎるんだよなあ……。 ほんまかいな……。
》 ジャニーズ 2 回目記者会見 (10/2) は「NG リスト」に基づく八百長会見だったことが判明。 やっぱりね。
ジャニーズ事務所会見 会場に質問指名の「NGリスト」 (NHK, 10/5)。記者会見映像で存在を確認できたと。
ジャニーズ事務所 NHKのNG記者リスト報道に「弊社の関係者は誰も関与しておりません」 (日刊スポーツ, 10/5) (魚拓)。いやいや、そのコメントで自ら関与を認めてるじゃん。
会見前々日の会議で、本件について打ち合わせが行われた際、媒体リストを持ってこられて、そこにNGと書いてあったので井ノ原(快彦)が、「これどういう意味ですか?絶対当てないとダメですよ」と言いました。
するとPR会社が では前半ではなく後半で当てるようにします。と答えました。
そのやりとりをその場にいた役員全員が聞いております。
NGリストを「前半」で使いますよとPR会社が宣言し、ジャニーズ側も許可してるってことじゃん。 「いやいや、そんなの前半でも絶対使っちゃ駄目」等とは井ノ原氏は言わなかったわけで。
NGリストの「前半」での運用を支持した当事者が、記者たちが騒ぎ出すと「ルールを守る大人たちの姿を見せたい」とほざいていたと。騒ぎ出した原因を作ったのが自分達であるにもかかわらず。
ジャニーズ「NGリスト」判明 PR会社に責任転嫁? 出回った〝告発メール〟と食い違い (東スポ, 10/5)。どうやら「告発メール」が先にあり、 NHK は会見映像で裏取りした、ということみたい。
「NHKの報道の前にも不穏な空気はありました。真偽のほどは定かではありませんが、会見の翌3日にマスコミの間で〝八百長会見〟を告発するメールが出回っていたからです」と明かすのは芸能関係者だ。
メールには冒頭「私は、9/7と10/2のジャニーズ事務所の会見の運営を担当したものの1人です」と名乗った上で「会見運営をジャニーズのやりたい方向性で進めるべく10/2の会見では、ジャニーズ主導で質疑応答で指名する記者と指名を絶対しない記者を決めておりました」と記されてあった。
リストは当日の朝に運営メンバーに配布され、NG記者の着席場所を司会と共有。「ジャニーズ事務所に不利益が最小限で済むように会見を進行しておりました」という。メールには座席表や質問の順番に関する運営マニュアルなどの画像も添付されてあった。
鈴木エイト氏が違和感覚えた司会者の「顔が覚えられなくなってきた」発言 NGリスト関係か (東スポ, 10/5)
「司会者とは目が合いましたね。途中で司会者が『なんか顔が覚えられなくなってきました』みたいな発言をしていたので、おかしいなとは思いました。何の話をしているのかな、1回当てた人を当てないようにしているのかな、と。でも1人1問だから2回手を挙げる人はいないのに。あれっ?と思ったんです」
井ノ原快彦を称賛する報道に疑問の声も「『偽善』そのもの」「話を自然にすり替え、危うい人だな」 (日刊スポーツ, 10/3)
望月記者のツイートに、「告発メール」からの引用と思しき画像が添付されている。 NG リストの他に指名リストもあったのね。
大変不愉快です。やはり茶番・八百長会見でした。ジャニーズ事務所に反省など微塵もありません。司会の元NHKの松本和也氏の指名の仕方は、あきらかに不自然でした。この資料は私も関係者から提供を受け、ジャニーズ事務所に朝から質問を投げていたところでした… pic.twitter.com/4JjidXhg4g
— 望月衣塑子 (@ISOKO_MOCHIZUKI) October 4, 2023
記者会見のセオリー2 (壇弁護士の事務室, 10/4)
司会の件:
松本氏の仕切りは、望月記者らの会場の不規則発言に対して、マイクなしの発言に回答を許したり、司会が自分で反論を始めたりで、記者会見が終わってからも質問が続いたりかなりしょっぱかった。
私は、こういう荒れる会見の司会は会見に慣れた弁護士を使うのをオススメしているのであるが、それはこういうのが気になるからである。
NG リストの件:
私が聞く範囲では指名NGリストまで作ることは少ない。指名NGリストがバレると炎上必須なので、間違っても会場に持ち込ませない。
(中略)
実際の本音をいうと、本当にNGな記者はなんとか理屈をつけて記者会見に入れないのがセオリーだし、それでも記者会見に来てしまったら公平に扱えばいいのである。
仮に、NG記者から変な質問が来たら、あまりに記者会見の趣旨に反した質問は、司会者で引き取ってしまえばいいし、1社1問なんだから1回答えれば済むことだし、そもそも、嫌な質問に答えるために記者会見の練習をして防御ラインの設定をしているのである。
もし、東山氏が望月記者の質問に耐えられないと判断したので、あえて一部の記者を指名NGにしたのであれば、そもそも、東山氏を新会社の社長にするというスキーム自体に無理があったことになる。
「司会者で引き取」るためにも、司会には「会見に慣れた弁護士を使うのをオススメ」 ということなのだろうなあ。
ジャニーズ会見で明らかになった「NG記者リスト」、PR業界の"常識"で「台本も当たり前です」 (弁護士ドットコム, 10/5)
ジャニーズ会見・記者NGリスト作成のPR会社の実態…「信じがたい」失態 (Business Journal, 10/5)
「後半で当てる」が消えた…記者指名「NGリスト」 ジャニーズが説明を一部修正、「容認」批判を意識? (東京, 10/5)
ただこの文書では、会見の運営を委託されたPR会社がNGリストの人物を「前半ではなく後半で当てる」と発言し、事務所側も容認したとも受け取れる当初の説明の一部がなくなっていた。5日午後5時時点では、説明内容を変更したことや、その理由は書かれておらず、SNSでは「なぜ?」との疑問の声が上がった。
紀藤弁護士のツイート:
今回のNGリスト問題では、冷たい言い方かもしれませんが、記者会見に同席したお二人の弁護士の結果責任も重いと思います。コンプライアンス責任者の山田将之弁護士は、顧問の木目田裕弁護士の元同僚で、やはりビジネス弁護士。危機管理対応を内輪の弁護士でそろえたことが、互いの信頼から、詰めの甘さ…
— 紀藤正樹 MasakiKito (@masaki_kito) October 5, 2023
今後の注目: テレ朝方面
やはり望月記者のツイート
取締役会は、早河会長の言いなりの人たちばかりと聞くが、社外取締役の田中早苗弁護士、朝日新聞から来ている堀江隆常務取締役、監査役のライオンの特別顧問の藤森貞慶氏、資生堂特別顧問の弘間明氏、元警視総監の池田活彦が、何を言うか否かが注目される
ジャニーズ事務所に、テレ朝第2リハーサル室を使わせ、そこでジャニー氏の性加害が行われていたと指摘され、現在でもジャニーズ事務所と早河洋会長の強い結びつきが指摘されているテレビ朝日の取締役会が近々行われる… pic.twitter.com/V4Z7J4Rkkf
— 望月衣塑子 (@ISOKO_MOCHIZUKI) October 4, 2023
》 OpenSSH 9.5/9.5p1 Release Notes (OpenSSH, 10/5)。セキュリティ修正は無いようです。iida さん情報ありがとうございます。
New features
- ssh(1): add keystroke timing obfuscation to the client. This attempts to hide inter-keystroke timings by sending interactive traffic at fixed intervals (default: every 20ms) when there is only a small amount of data being sent. It also sends fake "chaff" keystrokes for a random interval after the last real keystroke. These are controlled by a new ssh_config ObscureKeystrokeTiming keyword.
- ssh(1), sshd(8): Introduce a transport-level ping facility. This adds a pair of SSH transport protocol messages SSH2_MSG_PING/PONG to implement a ping capability. These messages use numbers in the "local extensions" number space and are advertised using a "ping@openssh.com" ext-info message with a string version number of "0".
- sshd(8): allow override of Sybsystem directives in sshd Match blocks.
0-day を含む 2 件の修正。
Kernel - local user による権限上昇が可能。0-day。確認されている攻撃は iOS 16.6 より前の版に対するもの。 CVE-2023-42824
WebRTC - libvpx の件。libvpx 1.13.1 に更新。 CVE-2023-5217
iOS / iPadOS 16.7.1 が公開されました。上記 2 件 CVE-2023-42824 CVE-2023-5217 が修正されています。
About the security content of iOS 16.7.1 and iPadOS 16.7.1 (Apple, 2023.10.10)
Chrome 117.0.5938.149 (Mac / Linux) および 117.0.5938.149/.150 (Windows) 公開。 1 件のセキュリティ修正を含む。
「Microsoft Edge」にセキュリティアップデート、v117.0.2045.55が公開 (窓の杜, 2023.10.05)
いろいろ (2023.10.02) Exim4
Re: Exim4 MTA CVEs assigned from ZDI (oss-sec ML, 2023.10.02)。Exim 4.96.1 公開されました。 6 件中 3 件は 4.96.1 で修正、残り 3 件は未修正。
》 Microsoftが干ばつ時でも水を吸い上げてAIの訓練に使っていたとの批判、一方でMicrosoftは小型原子炉をデータセンターの電力源として検討を開始 (gigazine, 10/3)。うわあ、まるで JR 東のようだ。(fixed: みどりさん感謝)
》 Bing Chatの回答にマルウェア入りの広告が紛れ込んでいることが判明 (gigazine, 10/3)。なんと……。
》 偽のMicrosoft公式ロゴつき警告表示で不正送金被害多数、消費者庁が注意喚起 (窓の杜, 10/2)。昔からあるニセ警告ものですが、堂々と Microsoft を名乗るところが新しいのかな。
》 BMWのワイヤレス充電がiPhone 15を破壊する可能性 (gigazine, 10/3)
》 iPhone 15、モバイルバッテリーにつなぐと逆にモバイルバッテリー側が充電されるトラブル? (やじうま Watch, 10/2)。USB PD ってほんと楽しいですね。
JVNVU#93230203 複数のBGP実装における不正なBGP UPDATEメッセージの取り扱いに関する問題 (JVN, 2023.09.21)。 Juniper、FRRouting (FRR)、EXOS、OpenBGPd など。
Fixed in Apache Tomcat JK Connector 1.2.49 (Apache, 2023.09.13)。 CVE-2023-41081 が修正されている。iida さん情報ありがとうございます。
セキュリティ更新プログラムレベル 2023-10-01 / 2023-10-05 / 2023-10-06 の 3 種類。 WebP に対応しているのは 2023-10-06 のみ。
Arm Mali GPU Driver に関する 3 件のセキュリティ欠陥情報が 2023.10.02 付で新たに公開された。
Mali GPU Kernel Driver allows improper GPU memory processing operations CVE-2023-4211
Bifrost / Valhall / Arm 5th Gen GPU Architecture Kernel Driver r43p0 (2023.03.24) で修正されている。 既に悪用されているそうだが、0-day かどうかはよくわからない。 Midgard GPU Kernel Driver にも欠陥があるが、 修正については Arm support に連絡をだそうで。
Mali GPU Kernel Driver allows improper GPU memory processing operations CVE-2023-33200
Bifrost / Valhall / Arm 5th Gen GPU Architecture Kernel Driver r44p1 / r45p0 (2023.09.15) で修正されている。Midgard には影響なし。
Mali GPU Kernel Driver allows improper GPU memory processing operations CVE-2023-34970
Valhall / Arm 5th Gen GPU Architecture Kernel Driver r44p1 / r45p0 (2023.09.15) で修正されている。Midgard / Bifrost には影響なし。
関連:
》 記者会見のセオリー (壇弁護士の事務室, 9/13)。ジャニーズ会見 (9/7) の件。
私には、記者会見に際して最も重要な獲得目標と防御ラインの設定が気になった。
(中略)
次に、獲得目標であるが、こういう記者会見では、取引先や顧客の納得と取引の維持等に設定されることが多い。
(中略)
実は、今回の記者会見でジャニーズ事務所が示したのは、藤島氏の代表取締役継続、藤島氏の100%株主継続、ジャニーズの社名継続、タレントの移籍無し、企業の営業自粛無しの、まさかのゼロ回答である。これで取引先に納得してもらうのは難しいと感じていたところである。
「ジャニーズの社名継続、タレントの移籍無し」については、本日 (10/2) の会見で手をつけたということでしょうか:
速報中: ジャニーズ事務所会見 (NHK, 10/2)
「藤島氏の代表取締役継続、藤島氏の100%株主継続」はそのままのようで。
あと、壇弁護士はこのようにも書いていたのだが、
次に、記者会見に同席した弁護士が、「以後の記者会見は考えていません」と言ったのが気になった。
この発言は不誠実な印象を与えるのでNGワードである。
予定して無くても「今後、必要が生じれば、ご説明の場を設けます」と脊髄反射で答えるのがセオリーである。
今回はこのような発言があったそうで。
ジャニーズ事務所2度目の会見、怒号のなか2時間8分で終了 ラスト30分は大荒れ、一時中断も (スポーツ報知, 10/2)
午後3時59分頃に最後の質問者が指名され、質疑応答が終了。東山と井ノ原が席を立とうとしたところで、質問できなかった記者の一部から「改めて記者会見することはないのでしょうか!」という声が飛び、東山は「またご報告することがありましたらこのような形で対話させていただき、決まり次第会見で表現したいと思っています」と答えた。
》 しょせん他人事ですから~という痕跡すらのこってないがな【勝手にPRシリーズ】 (壇弁護士の事務室, 9/27)。「しょせん他人事ですから」5巻の宣伝。
ちなみに、なりすましであるが、けっこう近い人が犯人というのが弁護士あるあるである。
私が経験した中では、捕まえてみたら、会社の上司だったということもある。
》 個人情報保護委員会 デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表 (2023.09.20) (まるちゃんの情報セキュリティ気まぐれ日記, 9/23)
》 前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた (piyolog, 10/2)
》 前職の名刺情報を転職先に不正提供した事案についてまとめてみた (piyolog, 9/21)
》 Internet Wide Multi VPN Search From Single /24 Network (SANS ISC, 9/18)
Blocking 77.105.147.0/24 may be a good start :)
》 Windows11 22H2 KB5030310に多数の不具合報告 (ニッチなPCゲーマーの環境構築Z, 10/1)。βクオリティにもなってない?
》 閣僚相次ぎ失脚か 習指導部で何が起きているのか (NHK, 9/28)
では、習指導部の閣僚の相次ぐ失脚とみられる動きからは何が読み取れるのでしょうか。
実は李国防相、秦前外相には共通点があります。
それは権力を集中させた習主席による肝いり人事での抜擢だったという点です。
(中略)
不祥事がどのように発覚したのかわかりませんが、習主席お気に入りの2人に対する嫉妬ややっかみが背景にあるとしたら、盤石とされる体制も一枚岩ではなさそうです。
だからこそ、習主席は「2人の更迭」という断固とした姿勢を示すことで、体制の引き締めを図ろうと躍起になっている。そう読み取ることができそうです。
こういう状況で「汚染水放出」という絶好のエサを与えてしまったのが岸田政権なんだよなあ。
》 Windows Sysinternals 更新情報 (2023 年 9 月 30 日) ─ Procmon v3.96、Sdelete v2.05、および for Linux (山市良のえぬなんとかわーるど, 9/30)
》 NFTは死んでしまい大部分が無価値になっているとの指摘 (gigazine, 9/30)
》 結局「プラスチック製ストロー排除運動」に意味はあったのか? (gigazine, 10/1)
》 Appleが中国政府のアプリ配信に対する厳しい規制に直面しているという報道、XやInstagramを追放するか法的処罰を受けるかの二択 (gigazine, 10/2)。WSJ 報道。
》 社用PCで転職用の課題に取り組んだら実は北朝鮮ハッカー集団「Lazarus」による攻撃で会社全体が被害に遭う事態に (gigazine, 10/2)
》 How To Turn Off Google’s “Privacy Sandbox” Ad Tracking—and Why You Should (EFF, 9/28)
》 Mastodon 4.2がリリース (gihyo.jp, 9/22)
》 ドローン戦争を左右する部品供給、ウクライナは中国の輸出制限に直面 (航空万能論 GF, 10/1)
中国はドローン部品の輸出制限を9月1日に開始、そのためウクライナはドローン製造に必要なコンポーネントの入手が難しくなっており、ロシアがミサイル製造に不可欠なコンポーネントを入手するのと同じように「複雑な経路による密輸」を余儀なくされている。
》 スロバキア総選挙、ウクライナ支援停止を主張する親ロシア政党が勝利 (航空万能論 GF, 10/1)、 スロバキアの選挙結果、EUのウクライナ支援に混乱をもたらす可能性 (航空万能論 GF, 10/1)
関連: ロシア寄り左派第1党 ウクライナ支援暗雲、連立協議へ―スロバキア総選挙 (時事, 10/1)
スメルが議会で過半数を得るためには、複数政党との協力が必要で、連立交渉は難航する可能性がある。フィツォ氏は、少なくとも数週間を要するとの見通しを示した。スメルを離党したペレグリニ元首相が立ち上げた中道左派「声」が得票率14.7%で3位につけており、協議の鍵を握る。
》 米下院がつなぎ予算を可決、共和党に譲歩してウクライナ支援資金は除外 (航空万能論 GF, 10/1)、 国防総省、ウクライナ支援資金をほぼ使い尽くしたと民主党に警告 (航空万能論 GF, 10/2)。
USAIの資金が尽きているということは「ウクライナ軍が必要とする装備、弾薬、サービスを産業界から調達する資金がない」と、PDAの資金が16億ドルしか残っていないということは「米軍在庫から引き出す装備・弾薬の提供を3回~5回行うと資金が枯渇する」という意味で、1度も使用されなかったウクライナ・レンドリース法は9月30日に期限切れを向かえているため、バイデン政権に残されたウクライナ支援はPDA経由しか残されておらず、16億ドルを使い尽くす前に資金補充が実現しないと冗談抜きで支援が途切れてしまう。
》 10万人以上のアルメニア系住民が脱出、もうナゴルノ・カラバフ地域は空っぽ (航空万能論 GF, 9/30)
》 国土地理院、液状化などの災害リスクが分かる「明治期の低湿地データ」整備拡大 (ITmedia, 9/29)
Exim4 MTA CVEs assigned from ZDI (oss-sec ML, 2023.09.29)。2022.06.06 に 6 件の欠陥について通知したのだが、3 件しか直っていない模様。
Re: Exim4 MTA CVEs assigned from ZDI (oss-sec ML, 2023.10.01)。6 件についての概要の解説。 同じ内容が https://www.exim.org/static/doc/security/CVE-2023-zdi.txt にある。
Re: Exim4 MTA CVEs assigned from ZDI (oss-sec ML, 2023.10.02)。直っている 3 件の patch が git で公開されたそうです。
Re: Exim4 MTA CVEs assigned from ZDI (oss-sec ML, 2023.10.02)。Exim 4.96.1 公開されました。 6 件中 3 件は 4.96.1 で修正、残り 3 件は未修正。
JVN#39596244 医薬品医療機器等法対応医薬品等電子申請ソフトにおける XML 外部実体参照 (XXE) に関する脆弱性 (JVN, 2023.10.02)。2023年9月版 (9.02) で対応されている。
【重要】無線LANアクセスポイント「STモード」における複数の脆弱性と対処方法について (フルノシステムズ, 2023.10.02)。上記型番については修正ファームウェアが用意されている。
ACERA 900 / 850M / 810 / 800ST にも欠陥があるが、保守が終了しているため修正されない。 使用中止が推奨されている。
アラート/アドバイザリ:Deep Discovery Inspector で確認された複数の脆弱性 (CVE-2023-3823/3824) について (2023年9月) (トレンドマイクロ, 2023.09.21)
Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 (Drupal, 2023.09.20)
Apple 0-day 方面 (iOS / iPadOS, watchOS, macOS, Safari) (2023.09.22)
関連:
PREDATOR IN THE WIRES: Ahmed Eltantawy Targeted with Predator Spyware After Announcing Presidential Ambitions (CitizenLab, 2023.09.22)
Between May and September 2023, former Egyptian MP Ahmed Eltantawy was targeted with Cytrox’s Predator spyware via links sent on SMS and WhatsApp. The targeting took place after Eltantawy publicly stated his plans to run for President in the 2024 Egyptian elections.
WebKitGTK and WPE WebKit Security Advisory WSA-2023-0009 (oss-sec ML, 2023.09.28)。 CVE-2023-41993 が含まれている。
Chrome Stable Channel Update for Desktop (2023.09.27)
「Microsoft Edge」にも緊急アップデート ~VP8のゼロデイ脆弱性に対処 (窓の杜, 2023.10.02)
あと、libvpx 自体は 1.13.1 で修正されているそうです。
Firefox 118.0 / ESR 115.3.0、Firefox for Android 118、Thunderbird 115.3.0 公開 (2023.09.28)
「Thunderbird 115.3.1」が公開 ~VP8のゼロデイ脆弱性に対処したセキュリティ更新 (窓の杜, 2023.10.02)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)