セキュリティホール memo - 2023.11

　このページの情報を利用される前に、注意書きをお読みください。

• 》 Cloudflareは海賊版サイトに簡単にアクセスできないよう対応しなければならないがDNSリゾルバーでブロックする必要まではないと裁判所が判断 (gigazine, 11/30)

• 》 シーク教徒殺害計画にインド政府関与の疑い、米で男起訴 (ロイター, 11/30)

  　関連:

  • U.S. prosecutors allege assassination plot of Sikh separatist directed by Indian government employee (Washington Post, 11/29)

  • India Accidentally Hired a DEA Agent to Kill Sikh American Activist, Federal Prosecutors Say (The Intercept, 11/29)

    The alleged assassination plot against Pannun was in the works around the same time as the killing of Hardeep Singh Nijjar, a Canadian citizen who was also a leader in the Sikh separatist movement. Nijjar was murdered outside Vancouver in June; the Canadian government has alleged the involvement of Indian intelligence in his death.

    DeepL 訳:

    パヌンに対する暗殺計画疑惑は、カナダ国籍でシーク分離主義運動の指導者でもあったハーディープ・シン・ニジャールの殺害と同時期に進行していた。ニジャールは6月にバンクーバー郊外で殺害され、カナダ政府は彼の死にインド情報機関が関与していると主張している。

  • シーク教指導者ハーディープ・シン・ニジャール暗殺事件関連:

    • インド政府がカナダ人の宗教指導者を殺害、トルドー首相が非難 (Forbes, 9/19)

    • インド、カナダ人へのビザ発行停止　シーク教指導者の殺害めぐる対立悪化 (BBC, 9/22)

    • [FT]カナダのシーク教徒勢いづく　首相のインド批判で (FT / 日経, 10/2)

    • 米英がカナダ支持表明、シーク教徒殺害事件巡るインドとの対立で (ロイター, 10/21)

• 》 韓国で問題『トコジラミ』、大阪では真偽不明の「谷町線にトコジラミ」複数SNS投稿受け1380車両を順次清掃する事態　専門家は「旅の外泊先でも注意を！」 (TBS, 11/29)。こえぇ……。

• 》 避難所氏のNHKインタビュー原稿が漏洩 (togetter, 11/28)

• 》 米空軍 CV-22 オスプレイが墜落 (11/29)

  • 【更新中】米軍オスプレイ墜落 1人死亡 海保など捜索継続 (NHK, 11/29〜)。目撃証言がすさまじい。

    平田さんは「釣り道具を片づけているとオスプレイが見えました。飛行機と同じコースで降下を始めて緊急着陸かと思ったらひっくり返ってしまい、左側のエンジンから火が出て爆発しました。爆発した瞬間に落ちていき、プロペラが種子島の方に飛ぶのが見えました。すごい音と真っ黒な煙でした。

    屋久島町小瀬田の (中略) 50代の男性は「空港の沖合を見ると、左側のエンジンからオレンジ色の炎を出しているオスプレイが見えて、それと同時に2回転ぐらい旋回して背面のまま落下していきました。そのあと、ドーンという音がして黒煙があがり地響きもしました。

    伊藤さんは「屋久島空港に向かってオスプレイが飛んでいるのを見ていたら、機体が1回か2回、回転し、オレンジの光が出てそのあと10秒ぐらいで海面に落ちた。水柱がすごくて高さ50メートルから100メートルまで上がった。私たちの漁場から3キロぐらいの場所だった。現場近くに向かうと、青白い感じの油が浮いていた」と話していました。

    片側のエンジンが出力を失って機体が横転、さらにエンジン爆発、ということだろうか。 ティルトローター機のおそろしさよ。

  • 米軍オスプレイ 墜落情報 1人死亡 屋久島沖【29日 詳細】 (NHK, 11/30)。岩国→嘉手納の予定が屋久島に向かい、着陸寸前で事故?

  • 屋久島沖・米軍CV22オスプレイ墜落　昨年8月、事故相次ぎ全機飛行停止　奄美空港 緊急着陸後に1カ月駐機 専門家「深刻なトラブル疑い」 (南日本新聞, 11/30)

    　オスプレイの事故は多発している。今年８月にはオーストラリア北部で墜落し、兵士が犠牲となった。２２年にも米カリフォルニア州の砂漠で墜落事故が起きた。国内では１６年１２月、沖縄県名護市沖に不時着して大破、搭乗員２人が負傷した。

  • オスプレイ墜落　米軍に飛行中止要請　防衛相「安全確認されるまで」 (東京, 11/30)

  • オスプレイ「不時着水」から一転「墜落」に　自民・佐藤正久議員「ごまかしは不信増大」 (東京, 11/30)

    オスプレイが墜落した29日、緊急会見を開いた宮沢博行防衛副大臣は「米軍からの説明で、最後の最後までパイロットが頑張ってコントロールしていたということで、不時着水としている」と説明。「不時着水」との認識を示していた。

    馬鹿としか言いようがない。 JAL 123 便も不時着だと言いたいのか。 パイロットは誰だって最後まで努力するんだよ。 努力しないパイロットが存在するかのような発言をするな。

• 》 「キナ臭い」「裏がある」　公安調査庁HPから消えた国際テロ組織情報　担当者に真意を直接聞いてみた (上毛新聞, 11/29)

  「情報出典元を改めたため」とした。23年版から記載内容を国連安保理決議第1267号に基づく制裁リストに準拠したという。従来は海外のシンクタンクのレポートなどを出典としていた

• 》 波紋・パイプライン爆破にウクライナ諜報員関与？ (NHK 解説委員室, 11/22)。Nord Stream の件。 関連:

  • Ukrainian military officer coordinated Nord Stream pipeline attack (Washington Post, 11/11)

  • Who blew up the Nord Stream pipelines? What we know one year later. (Washington Post, 9/25)

  • U.S. had intelligence of detailed Ukrainian plan to attack Nord Stream pipeline (Washington Post, 6/6)

  • Intelligence officials suspect Ukraine partisans behind Nord Stream bombings, rattling Kyiv’s allies (Washington Post, 3/8)

• 》 MicrosoftがCyberLink製アプリを改変、悪用する新たなサプライチェーン攻撃を発見 (@it, 11/30)。「このアプリケーションは、CyberLinkが発行した有効な証明書を用いて署名されている」「Microsoftはこの活動について、北朝鮮のサイバー攻撃グループDiamond Sleetの犯行と確信している」。

  　こちら: Diamond Sleet supply chain compromise distributes a modified CyberLink installer (Microsoft Threat Intelligence, 11/22)

• 》 Googleドライブのファイルが削除される不具合、Googleが事実と認め、対処方法を案内中 (やじうま Watch, 11/30)

  これはGoogleドライブで、フォルダとサブフォルダは残っているにもかかわらず、中にあるはずのファイルが消失したり、あるいは過去のバージョンへと戻ってしまうという不具合。

• 》 中国テック事情：ファーウェイ「独自チップ」衝撃も厳しい現実 (MIT Technology Preview, 11/29)

  結論から言うと、Mate 60 Proは製造面におけるファーウェイの飛躍的な前進が形になったもので、それによって同社は再びスマホの世界にカムバックできた。「制裁措置を理由に、同社が主力企業ではなくなったと決めつけるのは明らかに誤りです」と、クリシュナスワミ准教授は語った。

  ファーウェイは今、現実を突きつけられている。新機種の発売から数カ月が経った今でも、消費者がスマホを入手するのが非常に困難であるという事実によって、国内の熱狂は失われてきている。供給不足で何カ月も入荷待ちになっているのだ。実際、11月の中国のブラック・フライデーに相当する時期では、売れ筋のスマホはやはりアップルとシャオミ（Xiaomi、中国ブランド）の製品だった。

  　量産にごぎつけたものの、歩留まりが悪いってこと?

  　関連:

  • 5G対応かも不明、異例だらけのスマホ「HUAWEI Mate 60 Pro」レビュー　力業で制裁を回避した驚異のモデル (ITmedia, 11/16)

    Mate 60 Proに採用されているプロセッサは、HiSilicon Kirin 9000Sを搭載していることが判明している。(中略) Pixel 7などに採用されるTensor G2に近いスコアを計測している。簡易的なテストではあるが、基本的な性能は2年前のハイエンド機に迫る性能を出せていることに驚きを隠せない。

    5G対応について曖昧な表記としている理由は、Huaweiも公式にはMate 60シリーズが「5G通信対応」とは明記していないからだ。メーカーサイトには5Gどころか4Gの対応周波数バンドの記載すら一切ない。
    (中略)
    そんな端末が本当に5G通信に対応しているのか。筆者も実際に試してみたところ日本の通信網でも880Mbpsを記録した。瞬時値では1Gbpsを超える値を計測するなど、一般に4Gの理論値といわれる1Gbpsに迫る値を複数回計測した。(中略) 今回のMate 60 Proは「5G通信に対応している可能性が極めて高い」と結論付ける。

    日本でも売ってほしいなあ。

  • 謎多きスマホ「HUAWEI Mate 60」はどのように製造されたのか　その“秘策”を考察 (ITmedia, 11/30)

    ちなみに世界知的所有権機関（WIPO）によると、2022年の国際特許出願件はHuaweiが世界1位だ。

    あいかわらずの力づよさだなあ。

• 》 LINEヤフー、不正アクセスで約44万件超の個人情報が漏えい 　原因は委託先企業のPCのマルウェア感染 (Internet Watch, 11/27)、 不正アクセスによる、情報漏えいに関するお知らせとお詫び (LINE ヤフー, 11/27)

  ■時系列対応（日本時間）
  2023/10/09：当社関係会社のサーバーを経由して当社サーバーに不正アクセス開始
  2023/10/17：当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始
  2023/10/27：外部からの不正アクセスである蓋然性が高いと判断
  不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断
  2023/10/28：従業者の社内システムへの接続について再ログインを強制実施
  2023/11/27：ユーザーおよび従業者等への通知を開始

  　対応実施から通知開始まで 1 か月かかっているなあ。影響対象の洗い出しに 1 か月かかったということなんだろうか。

  なお、個別にご連絡ができない皆さまには、本発表を以て、通知とさせていただきます。

  　先日、サイバー攻撃被害の公表、果たして「正解」なんてあるのか？ (Internet Week 2023) に参加した関係で、このへんの記述が目にとまったり。

• 》 Google、数十万件に上る虚偽のDMCA削除申請を行っていたプリントTシャツ業者を提訴 (やじうま Watch, 11/27)

• 》 ドメインの放棄　企業はどのようにドメインを捨てるべきか？ (web > SEO, 11/26)

  運用終了したドメインは、まずは1年間301リダイレクトを行うことをお勧めします。
  (中略)
  私は、1年のリダイレクトを終了した後でサイトにアクセス出来ない状態で10年放置するのが望ましい対応と考えます。

• 》 さくらインターネット、「ガバメントクラウド」のサービス提供事業者に国内事業者として初めて選定 (Internet Watch, 11/29)

• 》 NTTら4社、Amazonの衛星インターネット「Project Kuiper」との協業に合意 (Internet Watch, 11/29)。Starlink は KDDI だからなあ。

• 》 ベルギーがFCASプログラムへの正式参加を表明、参加時期は2025年6月 (航空万能論 GF, 11/29)。独仏スペインの次世代戦闘機開発プログラム FCAS にベルギーが参加。

• 》 米ランド研究所、反攻失敗は戦争継続への合理性に疑問を生じさせる (航空万能論 GF, 11/28)

• 》 日本海テレビ幹部が着服　「24時間」寄付など1100万円　解雇 (毎日, 11/28)。「経営戦略局長の男性（53）」。

  • 弊社元幹部社員の不正について (プレスリリース) (日本海テレビ, 11/28)。画像。 魚拓。

    264万6020円はチャリティー番組「24時間テレビ」に寄せられた寄付金から、 また835万6555円は売上金など弊社の資金から着服

    まあ、「24時間テレビ」自体がニセチャリティー番組なのだが。

• 》 読売テレビ　「カミオト夜」担当の管理職社員が1383万円の不正請求で懲戒解雇処分　番組は年内で休止 (毎日, 11/28)。 カミオト夜。

• 》 なぜいまの自民党議員は小物ばかりなのか…元明石市長と元朝日新聞政治記者が語った「根本原因」 (現代ビジネス / Yahoo, 11/27)

  　泉　私はよく「どっち向いて仕事しとんねん！」と言いますが、小選挙区制に根本の原因があると思う。中選挙区時代は、自力で勝ち上がって初めて議員になれたから、彼らが見ている方向はまずは有権者だった。
  
  　鮫島　現在の自民党内を見渡しても、中選挙区を経験している議員はどんどん少なくなってきました。岸田文雄首相は、1993年の衆院選で初当選してますから、ぎりぎり中選挙区を経験しているんですよ。でも菅義偉前首相は横浜市議会議員を経て1996年に初当選しているので、小選挙区制導入後だったんですよね。小選挙区制で国政デビューした最初の総理大臣でした。
  
  　それ以降の世代は本当に小選挙区しか知らないわけです。党内の偉い人にペコペコするサラリーマン議員しかいなくなる時代が、そこまできている。

• 》 b.root-servers.net（B-Root）のIPアドレス変更に伴う設定変更について (JPRS, 11/28)。そういえば、戸井さんから情報提供来てたのでした (ありがとうございます、紹介できなくてすいません)。

  2023年11月27日（協定世界時）、ルートサーバーの一つである b.root-servers.net（B-Root）のIPアドレスが変更されました。
  
  旧IPv4アドレス：199.9.14.201
  新IPv4アドレス：170.247.170.2
  旧IPv6アドレス：2001:500:200::b
  新IPv6アドレス：2801:1b8:10::b

• 》 中国で急増の｢呼吸器疾患｣に広がる大きな懸念　情報提供を要請するも､中国には隠蔽の前歴 (東洋経済 online, 11/28)。マイコプラズマですか。関連:

  • 風邪と間違いやすい「マイコプラズマ肺炎」とは？ (横浜弘明寺呼吸器内科・内科クリニック, 2022.11.26)

    痰のからまない咳が「長く」「激しく」続いている人は、ただの風邪ではなく、マイコプラズマ肺炎にかかっている疑いがあります。マイコプラズマ肺炎の初期症状は風邪ととてもよく似ているため、判別が難しいのです。

    見逃されがちなんですよね。マイコプラズマかも? と思(わ|え)ないと、次に進めない。 ヤブ医者注意。

  • 【要注意】まるでコロナ禍のよう…中国で「マイコプラズマ肺炎」急増　約8割が12歳以下の子ども…日本で広がる可能性は (FNN / Yahoo, 11/25)

  • 日本でも 2011〜2012 と 2016 に流行していた模様。

    • マイコプラズマ肺炎　2012年９月現在 (国立感染症研究所, 2012.10.22)

    • マイコプラズマ肺炎は2012年以来の本格的な流行となっています (感染症・予防接種ナビ, 2016.09.30)

• 》 国防総省が海軍に警告、テストをスキップしてMQ-25Aの生産を行なうな (航空万能論 GF, 11/27)。例によって絶賛遅延中ですか。

  　関連: MQ-25 Stingray Tanker Delays, Risks Come Into View (The War Zone, 11/21)。この記事でダメ開発事例として挙げられているのは、 F-35、LCS、空母ジェラルド・R・フォード。確かにどれもひどかった。

• 》 支援資金不足が原因か、ウクライナへの155mm砲弾供給が30％以上も減少 (航空万能論 GF, 11/21)、 ウクライナ支援はイスラエル支援の影響は受けない、資金が不足しているだけ (航空万能論 GF, 11/22)。弾がないのは金がないから、だそうです。

• 》 F-16V向けの次世代EWシステム、2025年頃にVIPER SHIELDが登場予定 (航空万能論 GF, 11/27)

  一方のL3ハリスはドバイ航空ショーで「VIPER SHIELDが2025年第四半期の量産開始に向けて12月に開発マイルストーンをクリアする見込みだ。5ヶ国が発注したBlock70/72をVIPER SHIELDを受け取ることになる」と発表、つまり量産段階に進むための審査＝マイルストーンCを年内に達成するという意味で、Block70/72を発注した5ヶ国とは台湾、スロバキア、モロッコ、ブルガリア、バーレーンのことだ。
  (中略)
  問題は既存機からBlock70/72にアップグレードしたF-16向けのVIPER SHIELD（ポッド式）が設定されていない点で、この問題が解決するまで台湾空軍はアップグレードしたF-16Vで旧式のEWシステム（AN/ALQ-184）を使用しなければならず「戦場での生存性」に大きな課題を抱えている状態だ。

• 》 実践 メモリフォレンジック ―揮発性メモリの効果的なフォレンジック分析 (オライリー)。11/29 発売予定だそうで。

• 》 コロナ禍の裏で中国で爆発的に増えたRISC-Vコアの出荷数　RISC-Vプロセッサー遍歴 (ascii.jp, 11/27)。Arm をめぐるドタバタ + コロナ禍、だよなあ。

• 》 ユーロファイター・タイフーンを○○に売りたいのですが

  • UK「サウジに売りたいのですが」ドイツ「当面は不許可」

    • 「ユーロファイターはやらん」ドイツ首相がサウジへ頑なに拒否 イギリスは輸出したいのになぜ？ (乗りものニュース, 7/21)

    • ドイツ「ユーロファイターの売却を当面許可しない」イギリスの航空機産業の雇用が危機に 原因はなに？ (乗りものニュース / Yahoo, 11/9)

  • UK「トルコに売りたいかも」ドイツ「反対」

    • トルコ、欧州製戦闘機購入を協議　Ｆ１６調達不透明で＝関係筋 (ロイター, 11/24)

  　現在は他人事だけど、F-3 が日英伊共同開発で実用化されたら、 この手の話がどんどん出てくることになるはずなわけで。 ドイツのように拒否できますか? というのが問われることになるんだけど、 バンバン売りそうな気がするんだよなぁ……。

• 》 当社運航自動車専用船 Galaxy Leaderの拿捕について (日本郵船, 11/20)。イエメンのフーシ派に拿捕された模様。関連:

  • フーシ、乗っ取った日本郵船の船を港に収容　イスラエル人富豪が株主 (朝日, 11/20)

  • 日本郵船運航の輸送船「ギャラクシー・リーダー」、イスラエルの実業家が共同保有 (読売, 11/20)

  • イエメン・フーシ派が貨物船を拿捕、イスラエルは自国船ではないと　日本郵船が運航 (BBC, 11/20)

  • イエメンの親イラン武装組織、紅海で日本郵船の運航船拿捕 (ロイター, 11/20)

  • ヘリで貨物船に降り立つ戦闘員…フーシ派が「乗っ取り」時の動画公開 (毎日, 11/21)。 こちらをどうぞ。

    Footage of Houthi forces hijacking the ship Galaxy Leader in the Red Sea yesterday. pic.twitter.com/PSFLpV4FLA

    — OSINTtechnical (@Osinttechnical) November 20, 2023

  • アメリカも警戒する「抵抗の枢軸」とは？中東揺るがす存在？ (NHK, 11/20)

  • 米国、フーシのテロ組織再指定を検討　貨物船拿捕で (日経, 11/22)

• 》 ジャニー喜多川 未成年者レイプ方面

  　テレ朝がようやく検証番組を放送 (11/12)、しかしショボい内容でがっかり。

  • 「アリバイ作っただけの薄い内容」テレ朝ジャニーズ問題検証番組に酷評の嵐「Mステはスルー」「街録垂れ流し」 (FLASH / Yahoo, 11/12)

  • TV各局「ジャニーズ問題検証番組」はお手盛り超薄味…テレ朝は報道機関の役割放棄 (日刊ゲンダイ, 11/13)

  • 【旧ジャニ問題】熱心に報じる「朝日新聞」と消極的な「テレビ朝日」　同じ「朝日」でなぜこうも違うのか (デイリー新潮, 11/12)

  • テレビ朝日の「旧ジャニーズ問題検証」番組に「Mステ忖度に触れないなんて、意味なし」「言い訳ばかり」「きちんと調べて」と批判的な意見 (中日スポーツ / goo, 11/12)

  • テレ朝、ジャニー喜多川氏の性加害問題を検証　当時の裁判報じず「人権意識の低さがあった」 (日刊スポーツ, 11/12)

  　「魔の7階」

  • ジャニー喜多川氏の性加害現場…NHKが認めた「魔の7階」トイレ、局員たちは「こんな場所で」と絶句【写真あり】 (FLASH / Yahoo, 11/8)

  　ジャニーズ事務所は、こういう事態↓を防ぐための行動として何をしていたのだろう。

  • 性被害を知った母は自ら命を絶った…遺書につづられた、ジャニーズ事務所に写真と履歴書を送ったことへの後悔 (東京, 11/9)

  　ちびぬい、なんてものがあるのですね。知らんかった。

  • ジャニーズ「ちびぬい」に批判再燃、スマイルアップが謝罪…性的表現した人形から浮かぶ"日本社会"の問題点 (弁護士ドットコムニュース, 11/12)

• 》 SolarWinds、米国証券取引委員会に詐欺行為と内部統制の不備で告発される (@IT, 11/13)

• 》 Microsoft unveils expansion of AI for security and security for AI at Microsoft Ignite (Microsoft, 11/15)

• 》 国内で初めて摘発されたWebスキミング事案についてまとめてみた (piyolog, 11/16)

• 》 テレビ北海道、お天気キャスターにデジタルヒューマン起用　視聴者と「不気味の谷」について考える (ITmedia, 16)。利用しながら考える、という話。

• 》 Microsoft、OneDriveの終了を妨害する強制アンケートの実施を断念。仕様は元通りに (やじうま Watch, 11/15)

• 》 全銀システム障害に残る3つの謎を追う、生成AIには負けられない (日経 xTECH, 11/16)

• 》 Windows10 / 11のライセンス認証が外れて再認証できない不具合。7～8.1のプロダクトキーを使用した環境でBIOSアップデート後などに発生 (ニッチなPCゲーマーの環境構築Z, 11/16)

  この問題が解決するまで、Windows7や8.1のプロダクトキーを使っている方はBIOSアップデートやマザーボードの交換など大幅なハードウェアの変更は控えた方が良いかもしれません。

• 》 AppleがiPhone 14ユーザー向けの衛星通信・緊急SOS機能の無料期間を2025年までの1年間延長することを発表 (gigazine, 11/16)

• 》 5万9533台のHDDを運用するBackblazeがモデル別故障率まとめ2023年Q3版を公開 (gigazine, 11/15)

• 》 「ロシアのGoogle」とも呼ばれる巨大IT企業のYandexがロシアの全事業を売却することを計画中 (gigazine, 11/15)

  2021年11月時点で時価総額は300億ドル(当時のレートで約3兆4500億円)を超えていました。
  ところが、2022年2月にロシアがウクライナへの軍事侵攻を開始した途端にYandexの株価は急落し、それまでの半年間で積み上げてきた企業価値の75％以上が吹き飛ぶ事態となりました。

  　ロシアにつぶされたと……。

• 》 pple公式ストアで新品のiPhone 15 Pro Maxを買ったら中身がAndroidの「偽iPhone」が届いたとの報告 (gigazine, 11/15)

  この一件でtheEdmardさんが最も心配しているのは、同様の端末がたくさん出回っており、正規品ではないと気づかない人がApple IDやFacebookアカウントなどでログインしてしまっているのではないかという点です。

• 》 YouTubeがAI生成・改変動画をはっきり明示する方針を発表、クリエイターに情報開示を義務づけ違反するとパートナープログラム停止も (gigazine, 11/15)

• 》 Google PlayをデフォルトにしてもらうためGoogleはSamsungに4年間で1兆2000億円を支払っていたとEpic Gamesが指摘 (gigazine, 11/15)。独自の収益システムを構築させないために、という話。

• 》 Microsoft⁠⁠、.NET 8をリリース ―GPTなどのLLMが.NETアプリに直接統合可能に (gihyo.jp, 11/16)

• 》 グーグルが物理的な認証キーの新バージョン、「パスキー」を保存してPCを守るデバイスへと進化 (WIRED, 11/15)。Titan セキュリティ キー の新バージョンだそうです。

  さらにグーグルは、新しいTitan セキュリティ キー10万個を世界中のリスクの高い個人に2024年に配布すると、米国のアスペン研究所が11月15日（米国時間）に開催したセキュリティカンファレンス「The Aspen Institute Cyber Summit」で発表した。この取り組みはグーグルの「高度な保護機能プログラム」の一環で、オンライン攻撃の標的になるリスクが高いユーザーの保護を強化するものだ。

  　BAD USB が送られてきそうなシチュエーションのような。

• 》 攻撃グループ「APT34」によるアフリカ政府機関を偽装して新型マルウェアを展開するフィッシング攻撃 (トレンドマイクロ, 11/15)

• 》 Redline Dropped Through MSIX Package (SANS ISC, 11/15)。MSIX というパッケージ形式があるのですね。 正体は例によって zip ファイルだそうで。

• 》 ノートンやAvast、CCleanerが1つになった巨大セキュリティ企業、「Gen」では何が変わる？　社長に聞いた (窓の杜, 11/16)。

• 》 人間対コロナ　神戸市立医療センター中央市民病院の３年 (神戸新聞綜合出版センター)

• 》 ドメイン名失効による大学生協のシステム障害についてまとめてみた (piyolog, 11/14)。univ.coop の件。

• 》 計算エラーの発生時にSSHの秘密鍵が盗み取られる危険があることを研究者が実証 (gigazine, 11/14)

• 》 経済制裁が続くロシアにヨーロッパ製マイクロチップを輸入するための仕組みとは？ (gigazine, 11/13)

• 》 ついにThreadsでInstagramとは別にアカウントを消去することが可能に (gigazine, 11/14)

• 》 メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 (Internet Watch, 11/14)

• 》 外部弁護士からなる調査チームの調査報告・提言を受けた宝塚歌劇団の今後の対応について (宝塚歌劇団, 11/14)。 いちばんの原因は、ここでしょ:

  ヒアリング結果によれば、故人は、すでに令和５年3月から6月のカジノ・ロワイヤル公演をもって退団することを検討していたが、 同期や劇団のプロデューサーより引き留められ退団を思い止まっていたところ、同期のうち２名が同年８月に退団することが決まり、 故人が退団すると同期が１名残されることになることから辞められない状況になったと推察される。 前出の診療録の記載からも、あのとき辞めておけばこのような辛い思いはしなかったのではないかという精神状況が負担増加の一因となったことが推測できる。

  　もろにブラック企業状態じゃん。 辞めたいのに辞められなかったという部分への改善提言は、本報告書には無いんだよね。

• 》 東京海上の代理店システムの個人情報漏洩と保険業法 (なか2656のblog, 10/30)。なか2656さん情報ありがとうございます。 「一部の代理店が本来アクセスする権限のない他の生損保の契約情報を閲覧できる状態になっていた」そうで。

  　関連: 東京海上日動の代理店システムの参照設定不備についてまとめてみた (piyolog, 11/9)

• 》 金融庁がビッグモーターの保険代理店登録を取消しの方針－保険業法 (なか2656のblog, 11/14)。なか2656さん情報ありがとうございます。

• 》 ウクライナ方面

  　「反攻作戦」は、ふつうに考えて、成功とは言いがたいですよねえ。

  • ザルジニー総司令官が反攻作戦の評価に言及、私が間違っていた (航空万能論 GF, 11/2)

    ザルジニー総司令官はザポリージャや南ドネツクでの攻勢が早い段階で行き詰まるのを目の当たりし、まず「指揮官に問題があるのではないか」と考えて何人か交代させたものの改善が見られず、次に「兵士が任務に合っていないのではないか」と考えて幾つかの旅団で兵士を移動させたが効果がなく、最終的に司令部の部下に士官学校時代の教本（要塞防衛線の突破/1941年出版）を持ってこさせ「この本を半分も読まない内に我々が置かれている状況に気づいた」と述べている。

  • ゼレンスキー大統領と軍の不協和音、ザルジニー総司令官に知らせず司令官交代 (航空万能論 GF, 11/5)

  • 米メディア、ゼレンスキー大統領とザルジニー総司令官の発言は対称的だ (航空万能論 GF, 11/6)

  • Economist紙、反攻作戦の失敗を認めないと同じ結果を繰り返すだけ (航空万能論 GF, 11/13)

  • ゼレンスキー政権、反攻作戦を指揮したタルナフスキー准将などを解任か (航空万能論 GF, 11/14)

  • 揺れるゼレンスキー政権とロシアの思惑 (NHK 解説委員室, 11/13)

  　ロシア側が攻勢をかけているようで。

  • エストニア軍大佐、ロシア軍がドネツク州とルハンシク州で主導権を握った (航空万能論 GF, 11/11)

  • アウディーイウカの戦い、ロシア軍が線路を突破してステポヴェ集落内に到達 (航空万能論 GF, 11/11)

  • バフムート方面でもロシア軍が反撃を開始、戦場の主導権交代が濃厚 (航空万能論 GF, 11/11)

  • バフムートの戦い、ロシア軍がベルヒフカ方向で1km以上も前進か (航空万能論 GF, 11/14)

• 》 防衛装備庁がレールガン洋上射撃　極超音速兵器に対抗 (日経, 11/14)。へぇ、世界初なんだ。米海軍は中止しちゃったみたいだからなあ。

  • 米議会、海軍のレールガン開発に資金供給を行うも開発継続は絶望的か (航空万能論 GF, 2021.12.29)

    そもそも海軍がレールガンの本格開発を決意したのは「Mk.45等の艦載砲、精密誘導ミサイル、航空機による誘導爆弾といった兵器より安価で破壊力が高いレールガンなら沿岸地域で戦闘を行う海兵隊を効果的に支援できる」と考えたためで、副次的な要素としてミサイル防衛システムへの流用も見込まれていたが実際に出来上がったレールガンの性能は海軍の期待を大きく裏切るものだった。
    
    海軍はレールガンに110マイル（177km）の射程を望んでいたが直ぐにコレを実現するのは困難だと気づき砲身は12発～24発毎に交換が必要で、仮に海軍の要求を満たしたレールガンが実用化できても対艦ミサイルの普及や長射程化で艦艇が200km以内の沿岸部に接近することはリスクが高すぎる上、迎撃困難で1,000km以上離れた目標を攻撃可能な極超音速兵器の登場でレールガンの魅力が色褪せてしまい「使い所の難しい兵器」になってしまったのだ。

    米海軍は大射程の攻撃兵装としてのレールガン開発だったようだけど、防衛装備庁の奴はあくまで極超音速兵器対抗用の防御兵装、という位置づけなんだろうか。

    日経の記事、電力の話は出てくるけど、砲身寿命の話はどこにも無いなあ。迎撃用ミサイルのかわりだと思えば、砲身寿命10発程度でも ok ok ということなんだろうか。

  • 「世界初のレールガン洋上射撃試験」について防衛装備庁に聞いた (高橋浩祐 / Yahoo, 10/18)

  • 「世界初のレールガン洋上射撃試験」はやはり海自唯一の試験艦「あすか」で実施していた (高橋浩祐 / Yahoo, 10/30)

• 》 ブッキング・ドットコム悪用して客のカード情報盗む　世界規模で被害 (朝日, 11/11)

  　複数の国内ホテルや同社への取材によると、今回の被害は何者かが旅行者を装い、ホテルに英文のメールを送りつけることで始まる。メールにはウイルス感染を誘発するリンクが埋め込まれており、ブッキング・ドットコム用のホテルのID、パスワードを詐取。何者かはそれを使ってブッキング・ドットコムのサイトに不正にアクセスし、ホテルを装って旅行者にメッセージを送る。「事前決済が必要」と虚偽を伝え、同社に似せた偽サイトにカード番号を入力させて盗む、「フィッシング」という手法だ。

  　piyokango さんが 6 月に紹介していた件のつづきかな: Booking.comへの不正アクセス、国内ホテルでの被害相次ぐ (日経 xTECH, 6/20)

• 》 「風穴開ける」行政処分取り消し　赤信号バイクと衝突、無罪確定 (毎日, 11/13)

  福岡県古賀市の国道交差点を車で右折中に対向車線を赤信号で直進してきたバイクとぶつかった事故で、自動車運転処罰法違反（過失致傷）などについて無罪が確定した車の運転者の男性（53）＝古賀市＝に対し、県公安委員会は事故による違反点数を取り消す異例の対応を取った。
  (中略)
  　交通問題に詳しい高山俊吉弁護士（東京弁護士会）は「無罪判決が確定しても刑事処分と行政処分は別物として処分を取り消さないのが一般的だが、そうした姿勢に風穴を開ける判断だ。貴重な事例だ」と指摘した。

  　いやいや、当然の処置でしょ。「異例の対応」「取り消さないのが一般的」なのがおかしい。

• 》 ついに逮捕された“私人逮捕系”ユーチューバー「煉獄コロアキ」…「借金1億円」「家賃踏み倒し」「反ワク活動」の呆れた履歴書 (デイリー新潮 / Yahoo, 11/14)

• 》 新しいOutlookはユーザーの資格情報をMicrosoftのサーバーに送信している (gigazine, 11/13)

• 》 X(旧Twitter)にはモデレーションのスタッフが2294人しかいないのに対してYouTubeは1万6974人・TikTokは6125人 (gigazine, 11/13)

• 》 Windows 11、バージョン 23H2 情報システム管理者向けの新機能 (Windows Blogs, 11/13)

• 》 徳島の「学校タブレット大量故障」にみる、GIGAスクールの“想定外”　なぜそんなに壊れるのか (小寺信良, 11/10)

  　他社でGIGAスクール用として販売されているPC・タブレットは、アメリカ国防総省が定めた品質基準、平たく言えば米軍仕様である「MIL-STD 810G/H」など、複数の安全基準にパスしているものが多い。選定の絶対条件ではないが、普通はこうした品質基準はチェックするものだろう。夏の暑さでバッテリーが膨張するPCがこうした基準をクリアしているとは思えず、おそらく選定時に安全基準のチェックが甘かったものと思われる。

  　なぜそんなに壊れるのかと言えば、最大の問題は「机が小さい」に集約される。皆さんが子供の頃に使った学校の机を想像していただければいいと思うが、あの机のサイズは今もなお変わっていない。そこに紙の教科書とノート、プリント資料等に加えて、PCを置くわけである。当然乗りきれるわけもなく、一番奥に置かれたPCが落下するというわけだ。
  　サンワサプライでは端末故障防止グッズを多数販売しており、これが好評だというぐらい、端末が壊れているのである。

  　関連:

  • MIL-STD-810 ＞ 概要 (株式会社ナセル)

  • パソコンの耐久性試験でよく使われる「MIL(ミル)規格」とは？試験をクリアしたパソコン３選 (ふくしまクラウド, 2022.02.06)

    パソコンの耐久性試験でよく使われるのはMIL規格の一つ「MIL-STD-810G」または「MIL-STD-810H」です。最後の「G」と「H」がリビジョンになっていて、アルファベット順に改定されているので「H」が最新です(「G」は2008年、「H」は2019年)
    (中略)
    様々な耐環境性のテストが用意されていますが、すべての項目をクリアする必要はありません。
    そのため、各メーカーによってテストを行っている項目としていない項目があります。
    (中略)
    今回調査して思ったのが、dynabookは太陽光の反射テストも行っていて、真夏の車内に放置してても大丈夫そう・・・という感が伝わってきます(他メーカーは太陽光反射テストまで行っているところは少ないと思います)

• 》 「パッチチューズデー」が20周年 ～WindowsなどMicrosoft製品の月例セキュリティ更新 (窓の杜, 11/13)

  　この「パッチチューズデー」は2002年1月12日（米国時間）、ビル・ゲイツが始めた全社的な取り組み「Trustworthy Computing」（TwC：信頼できるコンピューティング環境）運動の一環として始まりました。
  　当時のMicrosoftは「勢力拡大を急ぐあまり、セキュリティがおざなりになっているのではないか」と批判されることが多々ありました。そこで製品になにかあってから対応するのではなく、セキュリティの向上へ継続的に取り組み、定期的にセキュリティパッチをリリースしていこうとなったわけです。

  　ふむん。元ネタはこういう書き方:

  On January 12, 2002, Bill Gates published a company-wide email announcing the creation of the Trustworthy Computing (TwC) initiative. It represented a paradigm shift, pushing security teams to shift their thinking toward securing features themselves across the breadth of our products. From this important initiative, we consolidated our security update process into a predictable cadence of monthly Patch Tuesday updates.

  　どうしてこうなったかというと、2001 年に Code Red / Nimda ワームが全世界的に大流行して、 世の中の Windows 管理者達はその都度対応におおわらわだったわけですね。 ブチ切れた世界中の顧客からの突き上げを食らった MS の回答が TwC と、定期的な security patch の提供という patch tuesday。 都度直す、から毎月直す、へのパラダイムシフト。

  　まあ、Edge のように、毎月では間にあわないものは都度 (というか常時) 直しているわけですが。

• 》 子どものいる未来を持つチャンスをください (こどまっぷ / change.org)。あいかわらず、やってることが統一自民党会議なんだよなあ。

  現在、生殖医療に関する国の法整備（特定生殖補助医療法案）の議論が行われています。この法案には、第三者からの提供精子を使った生殖補助医療を受けられるのは婚姻している夫婦のみに限るという文言が入る方向で調整がされています。

  　現在は制限なし。実に統一自民党会議らしい制限でほんと駄目なので、Change.org で賛同した。

• 》 Microsoft shares threat intelligence at CYBERWARCON 2023 (Microsoft, 11/9)。以下の演題だそうです。

  • Reactive and opportunistic: Iran’s role in the Israel-Hamas war
  • The digital reality: A surge on critical infrastructure
  • “You compile me. You had me at RomCom.” – When cybercrime met espionage
  • A LinkedIn update on combating fake accounts

• 》 名古屋港をハッキングしたとみられる「LockBit」が今度はボーイングをハッキングし50GB分のデータを流出させたと発表 (gigazine, 11/13)

• 》 アメリカによる世界規模の監視システムを暴露した元NSA職員エドワード・スノーデンの情報はわずか1%しか公開されていない (gigazine, 11/12)

• 》 いまだに多くの12VHPWRコネクタが融解。ある修理業者は毎月100枚ものGeForce RTX 4090を修理 (ニッチなPCゲーマーの環境構築Z, 11/12)。マジか……。

• 》 SanDiskとWDの外付けSSDが壊れるのはハードウェアの欠陥か。データ復旧会社が指摘 (ニッチなPCゲーマーの環境構築Z, 11/13)。以前から不具合が指摘されていた件、 ファームウェアの更新では対応できないようなハードウェア上の欠陥があるとの指摘。

  データ復旧会社のAttingoによると、この不具合はハードウェアの設計に欠陥があるために発生していると指摘しています。

  　関連:

  • SanDisk Extreme Pro SSD 4TB で複数の不具合報告（ファイルシステム損失、データ喪失）が出ている模様(2023 FEB) (KANEYANのブログ, 2/19)

  • SanDiskのSSDで「データが突然消える」などの症状が報告される (gigazine, 5/22)

  • データが消える、ドライブが認識しなくなる不具合。SanDiskやWDのポータブルSSDで発生。Extreme Pro、My Passportなど (ニッチなPCゲーマーの環境構築Z, 8/18)

• 》 「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害 (ITmedia, 11/10)、 短縮URLサービス利用時に表示された悪質な広告についてまとめてみた (piyolog, 11/12)

  同社が公表した資料中の説明、および掲載されていた「予定していない入会サイトの事例」の図より、QRコードの読込先として記載されていたURLは無料で利用可能なサードパーティの短縮URLサービス「オンラインツール (onl.jp)」を使用していたとみられる。このサービスでは短縮先として指定されたURLへ遷移する前に当該サービスの読込ページが表示される場合があり、このページ中使用されているGoogle Adsより11月10日時点では「Start」や「OK」などと誤ってつい押してしまいそうな悪質な広告が配信される場合があることをpiyokangoも確認した。

  　そういう仕様のタダサービスを使ったから、というオチですか……。

  　関連: オートバックスのDMにあるQRコードにアクセスしたら詐欺サイトに飛ばされてクレカ決済されてしまった「QRコードを乗っ取られた？」 (togetter, 11/11)。同様事例のようです。

• 》 SACの廃止から15カ月、Windows Serverの新しい年間チャネルが開始 (山市良 / @IT, 11/10)。Windows Server Annual Channel。

  つまり、Windows Server ACをコンテナホストのOSとして使用すると、ホストOSを1年という短いサイクルで新しい技術や新機能に対応した最新バージョンに更新しながら、LTSCバージョンのコンテナをプロセス分離モードで実行し続けることができるわけです

• 》 無料で読める、東大／京大の「Python教科書」電子書籍 (@IT, 11/13)

  本稿は、2021年5月26日に公開した記事を、2023年11月13日の最新情報に合わせて改訂したものです。東大と京大のどちらも2023年版が公開されています。

• 》 自治体システム標準化の費用はどこが持つのか？　河野大臣「国が全額持つ」→「総務大臣が責任持つ」 (ITmedia, 11/10)。河野太郎がどれだけ理解して言っているのか、 はなはだ心許ないんだよな。

  自治体システム標準化とは、複数の民間事業者が一定の基準に沿った業務用アプリを政府の共通クラウド基盤「ガバメントクラウド」上に開発し、自治体が状況に合わせて導入する取り組みを指す。

  　これ、各社アプリ間の互換性はどこまで保障されるのかなあ。

• 》 地下の光ファイバーに伝わる振動から路面状態を推定し除雪の必要性を判断、NTT、NECらが世界初 (Internet Watch, 11/13)。こんなことわかるのか。すごいな。

• 》 「Windows Server 2012/R2」の拡張セキュリティ更新プログラム（ESU）の提供が開始 (窓の杜, 11/10)。とはいえ、Server 用の ESU は、さくっと買えるわけじゃないんですよねえ。

  　こちらがわかりやすいかな: 拡張セキュリティ更新プログラム（ESU）を利用する (NEC ネクサスソリューションズ)

  以下の2パターンによる対応をご検討ください。

  • オンプレミス環境からAzure環境のIaaSへの移行を行い、ESU（無償）を取得する。
  • ソフトウェアアシュアランス付きのServerライセンス、またはSPLAによるOSを購入し、オンプレミスサーバーをAzure Arcに登録することでESU（有償）を取得する。※

  　MS 的には Azure に移行させるための方策なのでしょう。

• 》 「故人のサブスクが解約できない！」……意外に困る「デジタル遺品」を考えるシンポジウムを開催します　 「第5回デジタル遺品を考えるシンポジウム」開催のお知らせ (Internet Watch, 11/10)。 2023.12.07、東京都千代田区、3000円。 関連:

  • コロナ禍はデジタル終活にどう作用するのか――「第4回 デジタル遺品を考えるシンポジウム」レポート (ITmedia, 2020.12.17)

  • そのスマホ、形見になる？ 供養される？　第3回「デジタル遺品を考えるシンポジウム」レポート (ITmedia, 2019.03.21)

  • 【レポート】第2回デジタル遺品を考えるシンポジウム (つむぐ, 2018.03.16)

• 》 ビットコインの生みの親「サトシ・ナカモト」に迫る番組、今夜22時からNHK総合で放送 (やじうま Watch, 11/13)

• 》 First handset with MTE on the market (Google Project Zero, 11/3)。Pixel 8 / 8 Pro に塔載の Tensor G3 チップセットは Armv9 アーキテクチャを採用、Memory Tagging Extension (MTE) に対応している。 関連:

  • Google Tensor G3とはどんなチップ？Pixel 8搭載の最新技術を解説 (CAPA, 9/1)

  • グーグル、Pixel 8シリーズ向けに新チップセット「Tensor G3」搭載 (ケータイ Watch, 10/5)

  • Arm Memory Tagging Extension（MTE） (デベロッパー向け Android)

• 》 Windows Sysinternals 更新情報 (2023 年 11 月 10 日) ─ Sysmon 15.1、ZoomIt 7.20 (山市良のえぬなんとかわーるど, 11/10)

• 》 YouTubeの広告ブロッカー検出機能はEUの法律に違反しているという指摘 (gigazine, 11/10)

• 》 IoT標準規格「Matter」の次世代通信プロトコル「Thread」は何がすごいのか？ (gigazine, 11/11)

  Threadのテクノロジー担当ヴァイスプレジデントで、Googleの主席ソフトウェアエンジニアであるジョナサン・フイ氏は、「例えば、BLEは『本来は有線接続するものを低電力で無線接続するためのプロトコル』として設計されたのに対して、Threadは『長時間スリープして、復帰した際に1つのパケットを送信し、その後再びスリープに戻ってバッテリーをできるだけ長く維持したいデバイス向けのプロトコル』として設計されました」と述べています。

• 》 ミャンマー軍、クーデター後最大の後退　少数民族武装勢力との戦闘で「国が分裂も」 (BBC, 11/10)

  シャン州で反乱を起こしている三つの民族の武装勢力は、反軍政派のほかの武装グループの支援を受け、国軍の数十の軍事拠点を制圧した。さらに、複数の国境検問所と、中国との陸路貿易の大部分を担う道路を占拠した。
  (中略)
  一方で、ほかの要因も考慮する必要がある。これら三つの反軍政派勢力には、自分たちの領土を拡大したいという長年の野望がある。そして決定的なのは、通常はミャンマーとの国境沿いで活動するすべての勢力に対して抑制的な影響力を見せている中国が、今回の活動の進展を妨げていないことだ。

• 》 スマートロックとデジタルキーのオープン標準「Aliro」構築へApple・Google・Samsung・Qualcommが提携 (gigazine, 11/10)

  Aliroの目標は、どのメーカーがスマートフォンやロックを作ったのかにかかわらず許可されたデバイスが自宅やオフィス、ジム、その他の場所のスマートロックを解錠可能にする、グローバルな通信プロトコルと共通の資格情報システムを構築することです。

• 》 NVIDIAが数日以内に3つの新しいH100ベースのAIチップを中国に投入する予定との報道、輸出規制回避に必死な姿が浮き彫りに (gigazine, 11/10)。商売、商売。

• 》 映画で知る難民問題 (NHK 解説委員室, 11/8)

• 》 Insights from Microsoft Security Copilot early adopters (Microsoft, 11/8)。いよいよ、こういう時代のようです。

• 》 ハリウッド俳優のストライキが終了、将来的なAI利用や配信ビジネスにとって重要な転換点になる (WIRED, 11/10)

• 》 卵の値段の見通しは？ 鳥インフルエンザの影響や業界の対応 (NHK 解説委員室, 11/10)

• 》 処理水の海洋放出が続く福島第一原発 廃炉への険しい道のり (NHK 解説委員室, 11/9)

• 》 攻撃グループ「Earth Lusca」が新型バックドアによってLinuxを攻撃：水平移動・内部活動にCobalt Strikeを利用 (トレンドマイクロ, 11/7)

• 》 児童ポルノ検出のためメッセージのスキャンを義務づける規制案について欧州委員会が情報開示を行わなかった件が欧州オンブズマンに問題視される (gigazine, 11/9)

• 》 週3回・30分間の運動でバイアグラと同様の勃起不全回復効果が期待できるという研究結果 (gigazine, 11/9)

• 》 国民の暗号化された通信内容を政府が傍受可能にする条文がEUの新たな標準規則「eIDAS 2.0」に盛り込まれようとしている (EFF, 11/9)

• 》 ChatGPTがDDoS攻撃を受け一時アクセス不能に陥る (gigazine, 11/10)

• 》 Appleの共同創業者スティーブ・ウォズニアックがメキシコシティの病院に搬送される (gigazine, 11/10)

• 》 RFC 9116「security.txt」の紹介（2022年8月）の続報 (JPCERT/CC Eyes, 11/10)

• 》 米軍とミサイル防衛局が、弾道ミサイル標的と亜音速巡航ミサイルドローン標的の同時多目標迎撃実験に成功 (海国防衛ジャーナル, 10/31)

• 》 キャッシュレス社会の安全・安心の確保に関する検討会の開催について (警察庁, 11/9)

• 》 Googleが12月に数百万件のGoogleアカウントを削除する可能性、アカウントを削除されないようにするには？ (gigazine, 11/8)

• 》 Thunderbird 115.4.2 がリリースされた (mozillaZine, 11/8)。セキュリティ修正は無いみたい。

• 》 アメリカ軍が採用する世界最高峰の暗視ゴーグルはまったく光がない暗闇でも機能するのか？ (gigazine, 11/8)

• 》 「2023年が観測史上最も暑い年になるのはほぼ確実」と科学者が訴える、2024年はさらに暑くなる可能性も (gigazine, 11/9)

• 》 Oktaで昨年に続く2度目の不正アクセス、セキュリティ体制の不備に顧客らが厳しい目 (WIRED, 10/30)

  今回の不正アクセスが特に問題視されている理由は、Oktaで22年に起きたセキュリティに関するインシデントとの共通点が多いからである。前回の攻撃者はOktaがカスタマーサポートの作業を委託していたサブプロセッサー（業務委託先）経由で侵入していた。(中略) 今回のインシデントは、サードパーティーのパートナーが提供するカスタマサポートサーボスではなく、Oktaの社内のサービスに侵入するものだった。

• 》 What's Normal: New uses of DNS, Discovery of Designated Resolvers (DDR) (SANS ISC, 11/7)。 Discovery of Designated Resolvers RFC 9462 (IETF) の件。

  　関連: DNS over HTTPS/TLS (DoH/DoT)の設定方法 (IIJ Engineers Blog, 10/5)。iOS 16 から使えるのですか。

• 》 Multiple Layers of Anti-Sandboxing Techniques (SANS ISC, 10/31)

• 》 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31) (まるちゃんの情報セキュリティ気まぐれ日記, 11/9)

• 》 パスワードに絵文字を使ってセキュリティ強化？ (Kaspersky, 11/8)

  絵文字の種類は非常に多いので、パスワードの長さを半分にすることができます。侵入者が文字、数字、句読点を含むパスワードを総当たり攻撃しようとする場合、選択する必要がある各記号のバリエーションは100個未満です。しかし、Unicode標準の絵文字は、3600個を超えるため、パスワードに絵文字を追加すると、ハッカーは記号ごとに、約3700個のバリエーションを調べる必要があります。したがって、複雑さの観点から見ると、5つの異なる絵文字で構成されるパスワードは9文字の通常のパスワードに相当し、7つの絵文字は13文字の「通常」文字の強力なパスワードに相当します。

  　お、ぉぅ……

  すべてのサービスが、絵文字パスワードに対応しているとは限りません。 (中略) Microsoft/OutlookとGoogle/Gmailの両方では、絵文字パスワードが拒否されました。しかし、DropboxとOpenAIでは難なく許可されたので、基本的には実験次第ということになります。

  　うぅむ……

  　なんというか、エヴァ7話の JA のパスワード入力をさらにアレした世界が目の前に来ているような……

• 》 インターネット定点観測レポート（2023年 7～9月） (JPCERT/CC, 10/31)

• 》 TSUBAMEレポート Overflow（2023年7～9月） (JPCERT/CC Eyes, 10/31)。「国内メーカーが販売するルーターから送信したとみられる不審なパケットについて」。

  今回取り上げるのは、産業用途で用いられるようなルーターのお話です。
  (中略)
  送信元IPアドレスでは、接続しているルーターがインターネットに対して管理用インタフェースを公開しており、ルーターが使用しているIPアドレス、SIMカードの電話番号、ソフトウェアのバージョン等が表示され、その特徴からメーカーや製品を判明することができました。 現在、脆弱性コーディネーションを実施しているチームとも協力して、メーカーへの問い合わせを試みているところです。メーカーからは一度応答はありましたが、残念ながらTSUBAMEの分析から得た情報を提供するには至っていません。

  　うーむ、修正はおろか連絡すら満足に取れない状況ですか……。 まだまだそういう製品/ベンダーが多いのかなあ。

• 》 フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件 (JPCERT/CC Eyes, 10/25)

• 》 Drupal 9 is end of life - PSA-2023-11-01 (Drupal, 11/1)

• 》 サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される？ CISAとNSAが公開したアドバイザリをチェック (Internet Watch, 11/9)

• 》 Apple、「iOS 17.1.1」などを公開 ～iPhone 15のApple Pay/NFCバグに対処 (窓の杜, 11/8)。 iOS / iPadOS 17.1.1, macOS 14.1.1 / 13.6.2, watchOS 10.1.1。 CVE 番号が付くようなセキュリティ修正は無い模様。

• 》 「CVSS 4.0」が正式発表 ～共通脆弱性評価システムの最新バージョン (窓の杜, 11/7)

• 》 Appleシリコン「M3 Pro」のベンチマーク結果が明らかに、CPUのマルチコアパフォーマンスが前世代のM2 Maxと変わらないという指摘 (gigazine, 11/8)

  M2 MaxのCPUは高性能コア×8＋高効率コア×4の計12コアを搭載しています。
  
  M3 ProのCPUも同じく計12コアを搭載していますが、高性能コア×6＋高効率コア×6という構成となっています。ハードウェア関連ニュースサイトのExtremetechは、3nmプロセスによってCPU1コア当たりの性能は上がっているものの、構成を見ると高性能コアが減っていることから、マルチコアパフォーマンスはM2 Maxとほぼ同等になっているのではないかと推測しています。
  
  一方、M3 MaxのCPUは高性能コア×12＋高効率コア×4の計16コア。このことから、Extremetechは「Appleはより高価なM3 Maxへのアップグレードを促すため、コア構成を新しくしてM3 Proに足かせをつけたようです」と主張しています。

• 》 Firefox 119.0.1 がリリースされた (mozillaZine, 11/8)。セキュリティ修正は無いみたい。

• 》 ウクライナ軍がクリミア半島ケルチ市のザリフ造船所を巡航ミサイルで攻撃、ロシア軍艦「アスコリド」が大破 (JSF / Yahoo, 11/7)。就役前のプロジェクト 22800 カラクルト型コルベット (800t)。

• 》 WeWork、警告どおり破産

  • ソフトバンクグループ出資 米ウィーワークが経営破綻 (NHK, 11/7)

    ウィーワークの日本法人によりますと、日本法人は今回のアメリカの連邦破産法第11条の申請の対象外だということです。

  • ソフトバンクG出資の米WeWorkが経営破綻。国内への影響は？日本法人が見解を発表 (ハフポスト, 11/7)

  • 米国時間11月6日付：WeWork Inc. による発表について / Regarding Recent Report on WeWork Inc. (WeWork Japan, 11/7)

    本申請は米国およびカナダを対象としたもので、日本は本申請の対象外です。日本国内で現在運営している40拠点については、通常通り営業しております。本申請による当社のメンバー、取引先、不動産パートナーへの影響はございません。日本国内の拠点は高い占有率を示しており、今後も変わらず営業を継続する方針で、現時点では閉鎖の予定はございません。

  • 孫正義氏が失ったのは１兆7000億円と信頼性、ウィーワーク投資の結末 (ブルームバーグ, 11/8)

    　　「ウィーワークの前は、ソフトバンクＧは孫氏の下で驚くほど注意深く、賢明で、先見性のある組織だと認識されていた」とダモダラン教授。「しかし、成功は時として人をうぬぼれさせるのだと思う。成功したことで、自分たちは他の誰よりも物事が分かっていると思い込んでしまったのかもしれない。そして、そこに最終的な転落の種がある」と語った。

  　WeWork 自身によって警告されていた。

  • ソフトバンクが多額の投資をしたコワーキングスペースのWeWorkが破産の可能性について警告、「継続能力に重大な疑問」があると認める (gigazine, 8/10)

  • 孫正義氏の「人生の汚点」　WeWorkに100億ドル投資の「判断ミス」はなぜ起きたか (ITmedia, 8/21)

• 》 NTTデータ、全銀ネット障害に関して記者会見を実施 (11/6)

  • 【ライブ】NTTデータが会見「全銀システム」障害めぐり（2023年11月6日） (TBS, 11/6)。録画あり。

  • 全国銀行データ通信システムの障害に関する取り組みについて (NTT データ, 11/6)。プレゼン資料あり。

  • 全銀ネット障害、根底に“開発体制の不備”か　NTTデータの見解 (ITmedia, 11/7)

    　直接の原因については、10月18日に全銀が説明した内容と同様。システム移行直後に中継コンピュータのシステム上で銀行間取引手数料の入力とチェックを行った際、メモリ上に展開したインデックステーブルが破損していたため、中継コンピュータが異常終了したと説明している。
    　NTTデータの佐々木裕社長は「動作していたアプリケーションに原因があったのではなく、参照する共有メモリ上に展開されたデータが一部壊れていたため、異常終了を引き起こした。環境構築時にテーブルを生成するプログラムに不備があった」とシステム稼働の前段階に原因があったと話している。

    「障害の原因」の図の右上にある「環境構築 (事前準備)」のテーブルがそもそも壊れていたという説明。 テーブルを生成するプログラムに問題があったと。 64bit 化も原因の 1 つである模様。

  • テーブル生成プログラムのOS変更対応に不備か、全銀障害のNTTデータG見解 (日経 xTECH, 11/6)

    　10月7日から9日にかけて実施した中継コンピューター（RC）の更改作業ではOSを32ビットから64ビットに変更した。鈴木副社長は「64ビットOSへの変更に当たり生成プログラムを64ビットに対応させなければならない箇所があったが、その部分に不具合があった」との見解を示した。不具合が混入した原因や試験で検出できなかった理由は「現在全銀ネットと共に検証している」（NTTデータの佐々木裕社長）とした。

  • NTTデータ、全銀ネットの障害対応を説明--根本原因にめども「包括的な点検が必要」 (ZDNet, 11/6)

    　今回のRC23シリーズへの更改では、OSが32ビットから64ビットに変更されるのに伴い、このアプリケーションも64ビットへの対応改修が行われたという。NTTデータでは事前に入念な検証とテストを実施したといい、全銀ネット側でも本番環境に近い状態で検証とテストを実施していたが、結果として今回の問題が発見されないまま本番稼働を開始し、RC17シリーズの環境では発生しなかった問題がRC23シリーズの環境では発生し、障害に至った。
    　なお、初期の一部報道で「RCのメモリー容量が不足してインデックステーブルのデータを適切に展開できず不具合が発生」と伝えられたが、NTTデータ側は「いわゆるPCなどのメモリー不足といった状態が発生したわけではない」（取締役副社長執行役員の鈴木正範氏）と否定した。

  • ツイート

    まだ言えないことも多いみたいですが、質問を途中で打ち切ることなく、かなり丁寧に答えてくれた印象。手数料問い合わせのインデックステーブルが破損していたこと、RC17→RC23のインフラ更改で事故ったこと、テストを重ねたにもかかわらずすり抜けたこと、などが検証のポイントになりそうですね。 pic.twitter.com/zYzgsXXHN3

    — GOMI Akiko (@g3akk) November 6, 2023

• 》 陸上自衛隊・日野基本射撃場、訓練再開するもさっそく中断

  • 日野基本射撃場発砲事件 (ウィキペディア)

  • 陸自日野射撃場での訓練を再開　6月に隊員3人が死傷する事件で中断　岐阜市 (メーテレ, 11/6)

  • 【独自】“中指立て”の次はカメラに“ピース”？同じ自衛隊員か　事実なら「怒りすらない」と元隊員…3人死傷の射撃場で訓練再開 (FNN, 11/6)

    11月6日午前7時ごろ、次々と射撃場に入る自衛隊の車両。1台の後部座席から、衝撃的な光景が見られた。
    車両の後部に乗った隊員の1人が、カメラに向けて中指を立てるようなしぐさを見せたのだ。

  • 【独自】報道陣に“中指立て”ポーズ　陸自隊員が認め「反省」自衛隊３人死傷の射撃場で訓練再開 (FNN, 11/7)

  • 陸上自衛隊の射撃訓練再び中止、隊員が中指立てる「軽い気持ちでやった」…銃撃で３人死傷の「日野基本射撃場」 (読売, 11/7)

    射撃場を管理する陸自守山駐屯地（名古屋市）によると、不適切行為があったのは、第３５普通科連隊に所属する２０歳代の男性隊員。

  • 第35普通科連隊 (防衛省)。本件に関する記述は特にない。

  • 防衛大臣記者会見 (防衛省, 11/7)

    Ｑ：６月に起きた陸自の発砲事件に関してです。昨日ですね、陸自の隊員が報道陣に対して、中指を立てたりピースサインをしたというふうに報じられています。ようやく訓練再開を迎えた初日に隊員がそのような行為に及んだことについてどのように受け止めていらっしゃいますでしょうか。また、その事実関係を含めた調査をされていると思いますが、現段階の調査状況とですね、今後の対応についてお聞かせください。
    
    Ａ：昨日、報道を受けまして、陸上自衛隊が日野基本射撃場で射撃訓練を実施した隊員に対しまして、隊員が戻ってからですね、帰隊後に報道の記録映像を本人に見せつつ確認を行ったところ、射撃場に向かう車両の中で外部に向かって中指を立てる不適切な行為を行った隊員がいたという御指摘については、これは事実であるということを確認をいたしました。大切な仲間を失った自衛官候補生の発砲事件が６月１４日にあったわけですが、それ以来、射撃訓練を中止していた射撃場において、様々なこれまで準備を行って、そして準備を整えた上でですね、ようやく射撃訓練の再開に至った日が昨日だったわけですが、そのような日に不適切な行為を行った隊員がいたということ、そういう事実は大変遺憾に感じております。今後、確認を進める中で判明した事実に基づき厳正に対処してまいります。
    
    Ｑ：念のために確認なんですけれども、ピースサインについても同様に同じ隊員がやったということでよろしいんでしょうか。
    
    Ａ：それは帰りの時の隊員ですか。
    
    Ｑ：帰りの、そうですね。
    
    Ａ：それも含めてですね、事実であるということを確認をいたしました。

• 》 JALとヤマトのクロネコ貨物機、成田到着　A321P2Fをスプリング運航、長距離トラック補完 (AviationWire, 11/6)。「中古のA321ceo（従来型A321）旅客機を貨物専用機に改修」「28トンの貨物を搭載できる」「首都圏から北海道や九州、沖縄への長距離トラックによる宅急便輸送の一部を補完」。

  　関連: ついにキタ！ 「ヤマトの貨物機」日本初降臨 JALとタッグ 今後は成田以外でも目撃可能に？ (乗りものニュース, 11/6)

• 》 Microsoft、WindowsでWebDAVサービスなど3つの機能を非推奨に (窓の杜, 11/6)。Computer Browser、Webclient (WebDAV)、Remote Mailslots が deprecated に。

• 》 「自動車安全運転シンポジウム2023」開催のお知らせ (警察庁)。2023.11.14、YouTube ライブ、無料。 チラシ。 事前登録は任意であり必須ではない模様。

• 》 生殖腺の人権 (壇弁護士の事務室, 10/26)

  このように、多くの裁判官が完全に一致しなかったことから、本件の背後の問題が難しいことがうかがわれる。それは、人の数だけ人格があるのに、法的な性は２つしかないことからくるのかもしれない。
  
  今回の判決については立法の対応が不可欠である。ただ、福田村の村民みたいなマインドセットの人からの批判も多数ありそうであるので、立法は難航しそうである。今後の国会の対応に注目である。

• 》 報道番組を装った総理大臣の偽動画拡散についてまとめてみた (piyolog, 11/6)

• 》 これも生成AI？ 実在するアナウンサーの映像を用いた偽動画が拡散、TV局が注意を呼び掛け (やじうま Watch, 11/2)、 生成AIでニュースを偽造？　日テレ番組悪用の詐欺広告　一体どうやって？　#みんなのギモン (日テレ, 11/1)

• 》 OpenELA、最初のELソースコードを公開 (gihyo.jp, 11/6)

• 》 大阪万博方面。とっとと中止すればいいだけなのにね。

  • 大阪万博、整備費倍増「2350億円」で吹き出る「木造リングいらなくね？」日よけの屋根に350億円の奇々怪々 (Smart FLASH, 11/3)

  • 大阪万博の巨大木造建築物「リング」　巨額費用も経団連会長「ぜひやりたい」 (テレ朝 / Yahoo, 11/6)。経団連が全額出すのかな?

  • 万博費倍増2350億円、大阪府民は赤ちゃんも約1万円負担…SNSで「#万博中止」拡散の必然 (日刊ゲンダイ, 11/5)

  • 大阪万博まさかの「着工期限後ろ倒し」は事実上の“白旗”か 高校の文化祭レベルに陳腐化必至 (日刊ゲンダイ, 10/31)

• 》 LibreSSL 3.8.2 Release Notes (OpenBSD, 11/2)。stable release です。iida さん情報ありがとうございます。

• 》 「マイナポイント関連のサイトに誘導するメールが届いたら詐欺を疑って」、国民生活センターが注意喚起 (Internet Watch, 11/1)

• 》 YouTubeの取締強化で広告ブロックツールを削除する人続出、一方で導入する人も続出？ (やじうま Watch, 11/6)

• 》 写真を4枚並べた投稿を装いスパムサイトに誘導するポスト、X（旧Twitter）で増殖中 (Internet Watch, 11/6)

• 》 【速報】「Windows 11 2023 Update」（バージョン 23H2）の一般提供が開始 (窓の杜, 11/1)、

  • 最新のWindows 11 23H2は何が変わった？AIアシスタントのCopilotなど、新機能・更新内容を一挙紹介 (PC Watch, 11/6)

  • 正式リリースのMicrosoft 365 Copilot、過大な期待は禁物な理由 (@IT, 11/2)。 E3/E5 かつ 300 ユーザー以上限定、 1ユーザー／月30ドル、教育機関・政府機関は除外、だそうで。