Scan Security Wire 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
ネットランナーの ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Wed Nov 12 22:57:27 2008 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、 可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
|
|
Scan Security Wire 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
ネットランナーの ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
日経 ネットワークセキュリティ 2002 Vol.1 サポートページをつくりました。 (Vol.3 のサポートページも必要なのかなあ……特に書くことないのですが)
| |
|
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在27票)
中山信弘「ソフトウェアの法的保護」 (現在119票) (オンデマンド購入可)
リデル・ハート「戦略論 間接的アプローチ」 (復刊決定)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在103票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在166票)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
を参照してください。(のいんさん情報ありがとうございます)
2 刷が出ました。オライリーで注文し、備考覧に「必ず2刷であること」と書くと 2 刷を確実に入手できるそうです。
》 永遠にネットをさまよう公安個人記録 「亡霊のよう」 (ZAKZAK / ITmedia, 11/12)
このHPは現在、消滅しており、データは抹消されたと考えられていたが実態は違った。
「公安キラー」野田敬生氏が cryptome にタレこんでいるので、すぐみつかりますけど……。
あるネットユーザーは「この種のデータは何回消しても、亡霊のように必ず復活する。データをダウンロードしてしまった不特定多数のユーザーらがアップし続ける限り、一般ユーザーでも専用ソフトを使ってキーワードを入力すれば、かなりの確率でダウンロードできる」と言い切る。
専用ソフトって……。ふつうの Web ブラウザで十分なんですが。
》 アクラII級原子力潜水艦「ネルパ」事故の件。 11/11 のつづき。
消火システムに問題 ロシア原潜事故調 (asahi.com, 11/12)
【露原潜事故】犠牲は民間の技術者中心、防護策不備で被害拡大? (産経 MSN, 11/11)
》 裁判員HPに異議あり!〜刑事裁判に臨む上でもっとも大切なことは無罪推定原則では? (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/11)
45頁のうち、「無罪推定」という趣旨の説明がでてくるのはここだけだ。裁判員裁判の流れを説明する中でも、当然、触れるべきことだと思うが、まったくない。しかも、このわずか一カ所でさえ、その意味を読む者に印象づけようという姿勢は感じられない。むしろ、「無罪推定隠し」をしている感さえある。
》 MySQLバージョンの確認方法 (マカフィー, 2007.06.05)。Quarantine Manager って MySQL なんだ……。
》 「学校裏サイト」に爆撃予告 羽島の中学校が休校 (中日, 11/12)
》 ニコニコ動画で「児童買春・ポルノ禁止法」を議論した (保坂展人のどこどこ日記, 11/11)
近く衆議院議員会館の会議室で「児童ポルノ禁止法改正案と青少年ネット規制法」をめぐって、若者との意見交換会を行うことにしたい。(中略) 11月25日の夜を予定しています。
うぅっ、その日は 日本DNSオペレーターズグループ BoF じゃないですか……。
児ポ法関連:
ネット児童ポルノ、74カ国連携し捜査 3容疑者逮捕 (asahi.com, 11/12)。eMule ですか。京都府警ではなく埼玉県警です。
児童ポルノでさらに1人逮捕=25万件のアクセス‐埼玉県警 (時事, 11/12)。 ↑の記事では氏名が不明だった東京都昭島市の人のこと。
プリキュアは18禁であるべきなのだろうか? (崎山伸夫のBlog, 11/12)。SafetyOnline3.1 は縛りがかなりキツい模様。
こんなんでいいの?SafetyOnlineの過去の議論って、どう見ても清ければ清いほど望ましい的な純潔価値観が暴走してると思うんだ。みんな、ちゃんとパブコメ書いたほうがいいよ。
》 アイ・オー、「LANDISK Home HDL4-G4.0」の一部にRAIDの不具合 (PC Watch, 11/12)。AC アダプタが原因、無償交換実施中。
》 「最大のライバルはシマンテック」カスペルスキー氏インタビュー (Internet Watch, 11/12)。会社の規模がぜんぜん違うような気がしますが、言論の自由はあるので。またヒゲをのばしてる最中?
――2008年中に日本でテストラボを設立すると伺っていますが、状況は。
川合氏:コンシューマー向けは、テストラボというよりもテストチームという感じですが、すでに稼動しています。具体的な活動としては、日本語OSに日本語のソフトが入った状況で、日本製PCで検証を行っています。企業向けについては製品やプラットフォームが多いので、今年中は間に合わない可能性がありますが、現在立ち上げ中です。
そういうことがようはじまった、ということですかね。
》 某外国機関、両大統領候補のコンピューターにハッキング (technobahn, 11/11)
》 Researchers Hack Storm Botnet for Economics Study (F-Secure blog, 11/12)。もうかりまっか。
》 Antivirus Professional 2008 (F-Secure blog, 11/11)。にせアンチウイルス + EstDomains ねた。
》 骨髄移植でHIV感染者を「機能的に治癒」 (slashdot.jp, 11/11)
》 松田龍平主演で「蟹工船」を映画化 (asahi.com, 11/12)
さらに、時代設定を明確に特定しないことも特徴になる。船内の寝床はカプセルホテルのようでいてタコつぼのようになる。美術や衣装にもこだわり、ポップな雰囲気を強調するという。船の揺れもCGも使ってリアルに表現する。
「クローバーフィールド」では酔う人が何人も出たようですが、 蟹工船はどうですかね。もっとも、「クローバーフィールド」は「つまらないから酔うのだ」と主張する人もいるようですが。
「クローバーフィールド」を前列で見て酔う (エミー・ファン!フォト, 4/11)
画面が揺れすぎるのが問題なんじゃない! 『クローバーフィールド/HAKAISHA』 (瓶詰めの映画地獄 〜断罪!断罪!また断罪!!〜, 4/13)
先日ようやく「クローバーフィールド」を見たのですが、「一般市民が市販のヴィデオカメラで状況を記録し続ける」という無茶な設定を最後まで強引に押しとおしているのには笑えました (おかげでシナリオが……)。無茶すぎて 2 度と使えない手法だよなあ。
》 Facebookで国際的振り込め詐欺が発覚 (ComputerWorld.jp, 11/11)。419 詐欺だそうで。
Agenda。赤澤さん情報ありがとうございます。今日は Web 話が多いのかな。WPA 話は明日だそうです。
》 「花粉症」3か月で改善、スイスの研究チームが新治療法 (読売, 11/11)。改善型の減感作療法。1 か月おきの注射を 3 回だけで ok。
》 06年度県立高校生の個人情報流出か 神奈川 (asahi.com, 11/11)
同社 (小島注: 開発元の日本 IBM) が調べたところ、データ処理をしていた下請け会社の社員のパソコンに、ウイルスに感染した状態のファイルがあったらしい。06年度の対象者は計152校の約11万人に及ぶという。
神奈川県教委:高校生11万人の情報、ネットに流出か (毎日, 11/11)
日本IBMの広報は取材に対し、システム開発後のデータ削除を怠ったと説明、「不適切な情報管理をおわびしたい」と話した。
神奈川県教育委員会ホームページにはまだ何もないみたい。
》 漫画「金色のガッシュ!!」原稿紛失訴訟で和解成立 (asahi.com, 11/11)。「小学館が謝罪し、和解金255万円を払うことで合意」だそうです。
》 携帯向け無断配信、サーバー会社役員を幇助容疑で逮捕 (asahi.com, 11/11)、エーウォーカー。第3世界ねた。 エーウォーカーが運営する Mobile Space はどうなる、という声があるようで。
関連: 携帯違法サイト「第3世界」の運営者と音楽ファイルのアップロード者を再逮捕 携帯レンタルサーバーの管理会社役員を幇助の疑いで逮捕 (JASRAC, 11/11)
BIOS キーボードバッファに残ったデータをサルベージすることによって起動前認証のパスワードを取得できてしまう模様。 これを利用することで、BitLocker や SafeBoot などといったディスク暗号化ツールも破れてしまう。
White Paper (ivizsecurity.com)
アドバイザリ:
Security Advisory: Microsoft Bitlocker Plain Text Password Disclosure (ivizsecurity.com)。 Vista SP1 で修正されている。
関連: BitLocker, Brossard's Pre-boot Authentication Research, and the BSI (Microsoft System Integrity Team Blog, 2008.09.04)
Security Advisory: Hewlett-Packard BIOS Plain Text Password Disclosure (ivizsecurity.com)。HP 68DTT Ver. F.0D BIOS。
Security Advisory: TrueCrypt Security Model bypass exploiting wrong BIOS API usage (ivizsecurity.com)。 Version History (TrueCrypt) を見る限りでは、TrueCrypt 6.1 で修正されているようだ。
Security Advisory: Intel BIOS Plain Text Password Disclosure (ivizsecurity.com)。 PE94510M.86A.0050.2007.0710.1559 (07/10/2007)。
Security Advisory: Lenovo BIOS Plain Text Password Disclosure (ivizsecurity.com)。 7CETB5WW v2.05 (10/13/2006)。
Security Advisory: DiskCryptor Security Model bypass exploiting wrong BIOS API usage (ivizsecurity.com)。DiskCryptor 0.2.6。 DiskCryptor 0.3 で修正?
Security Advisory: DriveCrypt Security Model bypass exploiting wrong BIOS API usage (ivizsecurity.com)。 DriveCrypt Plus Pack v3.9。 DriveCrypt 5.0 というのが出ているようですが、直っているのかなあ。
Security Advisory: LILO Security Model bypass exploiting wrong BIOS API usage (ivizsecurity.com)。LILO 22.6.1。
Security Advisory: Grub Legacy Security Model bypass exploiting wrong BIOS API usage (ivizsecurity.com)。Grub Legacy 0.97。
関連: Grub wrong BIOS API usage multiple vulnerabilities. (bug-grub ML, 2008.07.29)。patch つき。
Security Advisory: McAfee SafeBoot Device Encryption v4, Build 4750 and below (ivizsecurity.com)。SafeBoot Device Encryption v4, Build 4750。 SafeBoot Device Encryption v4, Build 4760 以降、および SafeBoot Device Encryption v5.x で修正されている。
BIOS Information Leakage (ouah.org, という文書もあるそうで。
2 個。
Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 CVE-2008-4037
もっと詳しい情報: MS08-068: Metasploit and SMB Relay (metasploit, 2008.11.11)。今読んでる最中……。
MS08-068 英語版には Workaround の 1 つとして Enable SMB signing と書いてあるのに、MS08-068 日本語版には「SMB 署名を無効にする」と書いてある……。なんじゃこりゃ。
MS08-069 - 緊急: Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218)
Microsoft XML コアサービス 3.0 / 4.0 / 5.0 / 6.0 に 3 つの欠陥。
MSXML のメモリの破損の脆弱性 - CVE-2007-0099。 Concurrency strikes MSIE (potentially exploitable msxml3 flaws) だそうで。
MSXML DTD のクロス ドメイン スクリプティングの脆弱性 - CVE-2008-4029
MSXML のヘッダー リクエストの脆弱性 - CVE-2008-4033
複数のバージョンの MSXML コアサービスがインストールされている事の方が多いだろう。その場合、各バージョン毎に patch が必要となる。
APSB08-19: Security Update available for Adobe Reader 8 and Acrobat 8
攻撃が行われているようで。
Adobe Reader vulnerability exploited in the wild (SANS ISC, 2008.11.07)
Shoulder Surfing a Malicious PDF Author (Didier Stevens, 2008.11.10)
Acrobat continued activity in the wild (SANS ISC, 2008.11.11)。シマンテックでは Trojan.Pidief.D として検出するそうで。
Adobe Reader Vulnerability: Actively Being Exploited (trendmicro blog, 2008.11.11)。トレンドマイクロでは TROJ_PIDIEF.CB として検出するそうで。
MS08-067 つづき。
Hacker Tool Targeting MS08-067 Vulnerability (websense, 2008.11.11)。 トレンドマイクロが報告していたものと同じ。
》 アクラII級原子力潜水艦「ネルパ」事故の件。 11/9 のつづき。
ロシア:原潜事故…実力伴わぬ露軍 対米強硬路線に打撃 (毎日, 11/10)
露原潜:事故はウラジオストク東方のロシア領海内で発生か (毎日, 11/11)
露原潜:負傷者が証言「頭上から消火剤」「マスク!の声」 (毎日, 11/11)
》 MSN ToolbarをJREと一緒に配布、米Microsoftと米Sunが提携 (Internet Watch, 11/11)
》 IPA、SQLインジェクション検出ツールを機能強化 (Internet Watch, 11/11)。iLogScanner の件。
》 おいしいコーヒーの真実。こんな映画があったのね。
ところで、「エチオピア産コーヒー豆から基準値を超える残留農薬が検出」という話がありましたが、
エチオピア産に残留農薬。入荷停止 (自家焙煎コーヒー「Gaya通信」, 6/10)
なお、同問屋さんでは、次のような疑問を提示しています(以下要旨)。
「これらの農薬に設けられている基準値は大変矛盾している。『リンデン』は、コーヒー生豆に0,002ppmの基準値が設定されているが、コメは0,3ppm、白菜1ppm、ピーマンは2ppm。
今回、コーヒーから検出された残留農薬は『リンデン』0,004ppmで、ピーマンの基準値の500分の1の値である。『クロルデン』はコーヒー豆に個別の基準値が設定されていないため、一律基準が適用されている。この一律基準値は0,01ppmとなっているが、ニンジンは0,02ppmで、『ヘプタクロル』も個別基準値の設定がないために一律基準値の0,01ppmを適用。例えばアーモンドには10ppmの基準値が設定されており、コーヒー生豆の1,000倍。生では絶対食べないコーヒーが、生で食べる白菜やピーマン、ニンジンよりも厳しい値で流通している現実に、どうにも納得できない。残留農薬は熱を加えるとほとんど消える」
なんだ、これもポジティブリスト制度の副作用という面があるのか。「また厚生労働省か!」「うん厚生労働省」
モカ・イルガチェフェ (nsforest.com)
エチオピア産コーヒーの農薬問題で輸入が制限されていましたが、農薬検査をクリアした良質な豆が再入荷しました。(2008/10/20)
》 チェチェンでの小児医療の取り組み チェチェン人外科医ハッサン・バイエフ講演会。 2008.11.12、東京都文京区、1000円。 カンパも募集中。
》 人間の倫理は非理性的か:「トロッコ問題」が示すパラドックス (WIRED VISION, 11/11)。直接自分の手でするのだけは勘弁してくれ、というだけの話では。
》 日本ユニシス 「情報セキュリティ事件・事故対応シミュレーションサービス」の提供開始 (ユニシス, 11/11)
(1)情報漏えい時の緊急対応シミュレーション
(2)擬似標的型攻撃シミュレーション
(3)擬似ウイルス感染シミュレーション
(4)ソーシャルエンジニアリング・シミュレーション
(5)無線LAN不正アクセス・シミュレーション
》 60発の核と共に日本に入港していた――米空母オリスカニーに関するNHK特集を見て (JANJAN, 11/11)
》 セキュリティソフトのテスト手法ガイドライン、業界団体が発表 (Internet Watch, 11/11)、 AMTSO Adopts Testing Guidelines (AMTSO, 11/10)。ん〜、このガイドラインは AMTSO メンバじゃないと読めないのかな。 AMTSO Fundamental Principles of Testing と AMTSO Best Practices for Dynamic Testing については、 ここから入手できるようなのだけど。
》 総務省で「.日本」の検討開始、レジストリを2009年8月に決定 (Internet Watch, 11/11)
》 楽天証券でシステム障害 朝から7時間ネット取引できず (asahi.com, 11/11)
》 ホンダ開発、簡単に装着できる「外骨格」:画像と動画で紹介 (WIRED VISION, 11/11)。なるほど、しゃがむ←→立つ、を繰り返すような作業には適していそうだ。足の内側にあるから、「外骨格」が物にぶつかる心配も少なそう。 ただし、足の内側にあるために、独特の歩き方 (多分、ちょっとガニ股) をマスターする必要があるだろうなあ。女性の方が若干使いやすいか?
》 史上最大のロボットが誕生、カーネギー大が超大型ロボットトラックを 開発 (technobahn, 11/11)。オフロードダンプカーをロボット化。
》 【雑談】海外におけるクレジットカード使用時のIDについて (栗原潔のテクノロジー時評Ver2, 11/9)
日本の免許証に名前と生年月日が英語で併記されるようになればこの問題は解決するのですけどね。たいした手間ではないと思うので、是非やっていただきたいものです>公安委員会殿。
》 日経ITPro記者さんのクラウドに関する疑問に勝手に答える (栗原潔のテクノロジー時評Ver2, 10/24)
1.データの移行はどうするのか?
(中略) この質問に対する答は、「ユーザーは、今までOSのAPIやプロセッサの命令セットにより囲い込まれてきたように、クラウドの世界ではデータにより囲い込まれる」ということだと思います。(中略) クラウドの世界では、いったんあるクラウド・サービス内に重要データが蓄積すると、そう簡単に他のクラウド・サービスには移れなくなります。
なるほど。
2.誰が障害を復旧するのか?
(中略) これに対する私の答は「そもそもそういう堅牢な体制を必要とするシステムをクラウドで稼働してはならない」というものです。
なるほど!
関連: Tim O'Reillyをパクって"Cloud Computing by Example"の表を作ってみた (栗原潔のテクノロジー時評Ver2, 10/30)
》 ≪注目≫USB4BSDついにマージ - 480Mbps高速通信実現とGiant Lock削除,NFSに新しいRPCSEC_GSS実装 - Variantシンボリックリンク導入も?他 (FreeBSD Daily Topics, 11/5)
Doug Rabson氏によってNFSクライアントとサーバの双方に対してRPCSEC_GSS認証をサポートするための実装が追加されました。
》 Source Wars - Return of the Puffy: What's New in OpenBSD 4.4 (O'Reilly, 11/3)
》 pam_mountを使ったログイン時における暗号化ファイルシステムの自動マウント (sourceforge.jp, 11/11)
》 パナソニックはなぜ医療PC分野に乗り出すのか? AVCネットワークス社 伊藤副社長に聞く (Enterprise Watch, 11/7)、 パナソニック、医療現場のニーズに応えるヘルスケア向けTOUGHBOOK (Enterprise Watch, 11/6)、 TOUGHBOOK CF-H1 (Panasonic)。 Intel Mobile Clinical Assistant なんてのがあるんですね。
》 露原潜事故、消火装置の誤作動や定員超過が原因か (読売, 11/10)。定員の約 3 倍乗っていたそうな……。
》 Word に張り付けた画像データ (B-) の独り言, 11/6)
てっきりそのままバイナリデータが DOC ファイル中にあるのかと思ったら違ってました(^^;;
》 ジュリ個人情報保護特集 (Okumura's Blog, 11/10)、 ジュリスト。
》 GFDL 1.3について (sourceforge.jp, 11/10)
》 SNS「Facebook」で広まるマルウエアが急増 (日経 IT Pro, 11/11)
》 Attackers: generous or just lazy? “crimeware toolkit heaven” (MCRC Blog, 11/10)。AdPack というツールキットだそうです。 いまどきは、Opera も Firefox も攻撃対象になってます。
》 違法ダウンロード爆増でDVD売れず、ついに韓国からハリウッドの全映画会社が撤退 (gigazine, 11/11)。まじですか……。
》 シンドラー社員ら5人を不起訴、平塚のエスカレーター挟まれ事故 (日経 KEN-Plats, 10/24)
Google の「デフォルト公開」の罠は半端じゃない模様。
本当はもっと怖いGoogleマイマップ (高木浩光@自宅の日記, 2008.11.10)
なんと、自動保存されるようになっているのだ。図5で「OK」すら押していない段階で、もう登録されて公開されている。 (中略) Googleマイマップの編集中に暇を持て余してヘタなことでも書こうものなら、容赦なく自動公開されてしまうのだ。
普通にマップを作っているときも、作成過程がそのまま実況中継のごとく公開され続ける。そんなこと誰が予見できようか?
自動保存 → 自動公開。Google にはテンポラリという概念はない模様。そういえば、Google 検索の「キャッシュという名前のアーカイブ」も似たような話か。
関連: 業務用途でGoogleマイマップを使ってはいけない (高木浩光@自宅の日記, 2008.11.09)
Trac 0.11.2 がリリースされている。以下が修正されている。
特定の wiki マークアップによって DoS 状態となり得る欠陥
フィッシング攻撃に利用され得る HTML sanitiser filter の問題
》 ヤフーはもう終わりなのか (ComputerWorld.jp, 11/10)。はい。 マイクロソフトのバルマー氏、ヤフー買収に「関心なし」 ただし「検索に関する提携の可能性はある」と含みも (ComputerWorld.jp, 11/10)。買うのなら、底値で買いたい。
》 医薬品のインターネット販売に関する議論が山場を迎えているようです。
順序としてはこうですかね。
一般用医薬品は 2007 年に、副作用リスクに応じて、第1類・第2類・第3類の 3 種類に分類された。
一般用医薬品のリスク区分について (福岡県)
第一類医薬品・第ニ類医薬品・第三類医薬品 (薬剤師が大学6年制で、どうなったか?, 2008.06)
現在は一般用医薬品は薬剤師による対面販売が原則ですが、2009年4月から改正薬事法が施行され、副作用リスクの低い一部医薬品については登録販売者が販売できるようになります。 それが、第二類医薬品・第三類医薬品です。第一類の医薬品は、相変わらず薬剤師が必ず顧客と対面して販売しなければならないOTC薬です。
これにあわせて、ヤマダ電気まで一般用医薬品販売に参入するらしい。ヤマダ電機、大衆薬販売に参入 (日経, 7/16)
家電量販最大手のヤマダ電機は風邪薬など一般用医薬品(大衆薬)の販売に本格参入する。異業種の参入を促す来年4月の規制緩和をにらみ、群馬県高崎市の新店を手始めに全国の大型店で扱う見通し。消費者は家電購入でためた割引ポイントを使えるため、他店より割安になる可能性がある。他の家電量販大手も追随するとみられ、既存のドラッグストアを巻き込んだ医薬品の販売競争が激化し、価格低下が進みそうだ。
「医薬品の販売等に係る体制及び環境整備に関する検討会」というものが 2008.02〜07 に開催されて、報告書ができた。ここでは、ネット販売は第三類しか認められていない。from p.16:
また、取り扱う品目については、情報通信技術を活用する場合は、販売時に情報提供を対面で行うことが困難であることから、販売時の情報提供に関する規定がない第三類医薬品を販売することを認めることが適当である。
ヤマダですら第二類 ok になる模様なのに、ケンコーコムでは第三類だけ、H$$$&$N$O!"8D?ME*$K$OD>46E*M}2r$KH?$9$k$N$@$h$J$"!#!VBPLLHNGd!W$r6S$N8f4z$K$7$F$$$k$h$&$J$N$@$1$I!"$=$3$KI{:nMQHo32$rKI$0$?$a$N
報告書に基づいて「薬事法施行規則等の一部を改正する省令案」が作成され、パブコメが募集された。もちろんネット販売は第三類のみ。
ご意見いろいろ:
日本薬剤師会は大賛成: 「医薬品の販売等に係る体制及び環境整備に関する検討会」
報告書のとりまとめを受けて (日本薬剤師会, 7/4)。自分達の利権が増大するのだから当然か。
薬害オンブズパースン会議はネット規制に賛成、というか第三類すら認めるな、という立場:
薬事法施行規則等の一部を改正する省令案についての意見書提出
(薬害オンブズパースン会議, 10/17)
楽天、ヤフーなどネット販売当事者はもちろん反対:
医薬品のネット販売制限に対して100社連名で
厚生労働大臣宛の意見書を提出 (楽天, 8/7)
日本オンラインドラッグ協会、『薬事法施行規則等の一部を改正する省令案』についてパブリックコメントを提出
(ケンコーコム, 10/16)
「医薬品のネット販売規制は非論理的」と楽天・三木谷社長
(Internet Watch, 11/10)
MiAU は「法改正を進めるに足る議論の土台が形成されていない」「より制限的でない規制の可能性を検討すべき」として反対:
「薬事法施行規則等の一部を改正する省令案」に関するパブリックコメント送付のご報告
(MiAU, 10/16)
規制改革会議も大いに疑問を投げかけている。
第2回医療TF 医薬品のインターネット販売に係る規制に関するヒアリング (規制改革会議, 8/14)
第3回医療TF 医薬品のインターネット販売に係る環境整備に関するヒアリング (規制改革会議, 8/14)
第4回医療TF 医薬品のインターネット販売に係る環境整備に関するヒアリング
(規制改革会議, 9/12)
第3回重点事項推進委員会 公開討論 医薬品のインターネット販売に関する規制強化について (規制改革会議, 10/7)
関連: ネット販売、規制改革会議の疑問にどう答えるか?
(アポネットR研究会・最近の話題, 10/9)。まとめ記事。
●厚労省さんの通達に対して違反があった場合の罰則規定が全くないんです。例えば薬剤師会でも何でも、現実的に全国の薬局ですべてが常駐していなくて対面できていないのに、薬剤師会としても事後的な管理チェックが充分にできていない中で、薬事法や通達でどう言おうが対面でなければ絶対だめだと言っているのは、主張そのものが非常に情緒的なんです。
●エビデンスベーストメディスンだと言われている世の中で、薬剤師会の主張は明らかにエビデンスが何にもない、非常に少ない。だから、これでは説得をするということは非常に難しいと思う。(日薬がくすりと健康の週間に行ったアンケート調査は、エビデンスと呼べるようなものではない)
●大衆薬で薬害がどうなっているのか。一類、二類、三類というリスク基準があるならば、その一類、二類のリスクというものの基準はどういう基準なんだ。何十年間大衆薬を売ってきて、どういう問題があって、どういう課題かあったから、この類型としてリスク分類をしましたといった基準、EBMが全くない。医療用医薬品の情報を基に大衆薬のリスク評価が行われたとのことですが、大衆薬になったんだったら大衆薬という全く違った分類の中でエビデンス生成を当然やっていくべきではないですか。
●大衆薬に関してもインターネット販売が反対であるならば、一般薬と同じようにエビデンス生成について薬剤師会として、もっときちっとした対応をとられて、組織的にやられた方がいいのではないか。
結局のところ、「はじめに対面ありき」というか、「なんとなく対面」にしか見えないんだよなあ。ネット販売・カタログ販売による副作用事例がどのくらい発生しているのかは不明だし、それを対面販売なら防ぐことができるのか否かも不明。少なくない事業者を地獄の底に突き落とそうとしているにもかかわらず、何のデータもないとは。 規制賛成の人の意見は「珍走団がウザいのでバイク全面禁止」のようなことを言っているようにしか聞こえないしなあ。
対面販売は、「当該のクスリを入手しにくくする」効果はあると思うけど、「当該のクスリによる副作用を減らす」ための実効的な効果ははたしてあるのか。 どうせ、ほとんどの薬局は客が欲しいと思っているクスリを言われるがままに売っちゃうのだろうし、「なんとなく対面」よりは、陳列方法や注意書きを工夫した方が実効性があるんじゃないのか。
》 パンデミック対策に、抗ウイルス薬のスイッチを検討(米国) (アポネットR研究会・最近の話題, 10/28)
米FDAでは29日、抗ウイルス薬諮問委員会と非処方せん医薬品諮問委員会の合同の諮問委員会を開催します。この諮問委員会では、パンデミック対策に抗ウイルス薬(タミフル・リレンザ)の家庭での備蓄を進めるために、家庭用保管品(Medkits)の導入の検討の他、これら抗ウイルス薬のOTCへのスイッチの是非について話し合いが行われるようです。
》 メールが使えなくなったのはなぜ? (パソコントラブル出張修理・サポート日記, 11/4)。 OutlookExpress と Outlook は違います話 + α。両者を明確に区別できない人は、半径 50m 以内にも複数存在します。
しかし、「知り合いの人」も、OpenOffice.org を入れて帰ればいいのになあ。
》 Secunia PSI、RC4 になっていたんですね。
》 IIJ Technical WEEK 2008 をやっているんですね。
WPA-TKIP破られる (Tetsu=TaLowの雑記, 2008.11.08)。
しかし、この状況がいつまで保てるかもわからないので、遠からずすべてをWPA-PSK(AES)またはWPA2-PSK(AES)に変えていかないといけないんでしょう。ここで問題なのが、まだすべての無線LAN端末がAESをサポートしているわけではないことです。ちょっと古いパソコンの中には無線LAN用のチップが古くAESがサポートされていないものがあります。
「100 年に 1 度という経済混乱」の真最中でもありますから、買いかえろと言われてはいそうですかと言える人ばかりじゃないわけで。
この映画『ポチの告白』は、昨今多発する日本の警察犯罪事件の数々の実例をモデルに、良識ある巡査が警察の犯罪機構に巻き込まれながら悪徳に染まり、やがて自滅するまでを描いた、社会派エンターテインメント大作である。
予告編。このコンテキストで「♪犬のおまわりさん」なのね。
》 新型エアガンに「殺傷能力」 警視庁、製造元を家宅捜索 (asahi.com, 11/9)。タナカのカシオペアタイプ。
同庁科学捜査研究所で鑑定したところ、強度を上げた薬莢の中にガスの代わりに火薬を詰めた場合、金属弾を連続発射でき、本物の拳銃と同程度の殺傷能力があることが判明したという。
弾さえ用意すれば本体はそのまま銃として通用すると、科捜研は判断した模様。しかし、科捜研の判断が本当に正しいのかどうか……。
関連:
緊急告知!タナカ カシオペア製品出荷停止 (FORTRESSウェブログ, 10/8)
エアーソフトガン情報 タナカ カシオペア製品の出荷停止について (今治模型社お知らせBlog, 10/9)
エアーソフトガン情報 NEWS 新型エアガンに殺傷能力、800丁を警視庁押収のようです。 (今治模型社お知らせBlog, 11/9)
(株)タナカ カシオペア製品について (日本遊戯銃協同組合, 10/31)。極めて詳細な内容で、たいへん興味深い。 誠意を感じる。
( 当初のタナカ・カシオペア方式に見られた不安点 )
蓄圧式カートリッジに前方から力を加えてバルブを開放する方式においては、加える力の性質に注意しなければなりません。大きな打撃力は危険です。M40A1には大きな打撃力がありました。22口径の実弾を発火させ、炭酸ガスの高圧力を開放し、火薬入り密造薬莢を発火させてしまう打撃力です。タナカ方式には22口径の実弾を発火させたり、炭酸ガスの高圧力を開放してしまうような大きな打撃力がないことは明らかでした。
しかし、もしかすると、火薬入り密造薬莢ならば発火させてしまう打撃力があるのかもしれない、という漠然とした言いようのない不安が残りました。火薬入り密造薬莢、というものを見た者はASGKにはいないので、それがどれくらいの力で発火するのかがまったく分かりません。火薬入り薬莢というものを作って実験することは法律で禁止されていますから実験してデータを収集したり分析したりすることも許されません。とにかく数値による確認が取れないのです。組合規約の大半は重さや硬さ、速さ、強さなどの数値で決められています。数値の分からないものを勝手に想像して何らかの判断をして、それに対して良いとか悪いとかを適当に言うことは組合としてはできません。
実は、ベンダー自身には「どこまでやるとマズいのか」というデータが全くなく、また取得することも許されず、想像しながら手探りでやるしかない模様。
しかも、協会もベンダーも、安全なものにしたいと最大限の努力を行ったにもかかわらず、結果としてこうなってしまった模様。
( タナカが当初案に比べて改良を加えた部分 )
私の個人的な意見を多く含む提案に対して、タナカは真剣に社内会議を開いて対策を考えてくれました。私の提案のほとんどは力の伝達経路に幾つかのクッションを持たせるという、打撃力の低減案に関するものが主でしたが、それらに加えタナカはバルブ開放のストロークが3ミリ以上あったものを限界まで追い込み、実質ストロークを1ミリ近くまで縮めるという改良をした、ということを発売後に聞きました。とても大きな低減効果があったと考えられます。生産直前の時期にあったにも関わらず、タナカはできる限りの努力をしてくれました。
(中略)
( なんとなく不安、の正体は何か )
不安の正体は、火薬入り密造薬莢、というものです。それは自然と生まれてくる訳ではありません。それを作り出す過激な者がどこかにいるのかもしれないのです。
M40A1のときに出現した火薬入り密造薬莢は、ある小売店が営利目的で作ったものでした。数百発を販売していたと当時聞いた記憶があります。悪意のある者は、そのようなものを作って販売すれば社会的な安全が脅かされることを承知で行動してきます。そして彼らは、悪意と共に知識と技術を持っています。
( タナカはなぜ家宅捜索を受けたのか )
M40A1で発火する火薬入り薬莢を作ることは、実はあまり難しくないのかもしれません。とにかく22口径の実弾を発火させることができたほどの、強力な打撃力を有していたのですから、かなりラフな構造でもよかったのでしょう。
しかし、タナカのカシオペアタイプ製品で発火する火薬入り薬莢を作ることは、かなり難しいのではないでしょうか。もともとM40A1とは比較にならないほど弱い打撃力しかない上に、当初の設計からかなりの改良が加えられ、打撃力は相当低減しているはずです。力の伝達経路にふたつのクッションが加えられ、最終ストロークも3ミリから1ミリ程度へと極めて短くなっています。その厳しい条件下で火薬を発火させることはそれほど容易なことではないように思えます。火薬を発火させることを目的として作られたモデルガンでさえ不発があります。ましてや火薬を発火させないように努力して作られたタナカのエアガンで発火させるのは極めて難しいことなのではないでしょうか。
しかし、警察の担当の方から説明を受けましたが、それでも発火する可能性があるとのことです。警察がわざわざそのような発火しやすい薬莢を製作して玩具銃を実銃に仕立て上げるとは考えられません。でも現実にはそのような発火しやすい火薬入り薬莢が警察の手元にはあるようです。
M40A1の発売後、1年余りが経過してから火薬入り密造薬莢が登場したのですが、それにははっきりとした営利目的がありました。今回は違います。タナカのカシオペアタイプ製品で発火する火薬入り密造薬莢がどこかで売られたとか、インターネットで売られたとか、あるいは誰かがどこかで見たとか、そのような情報はいっさいありません。つまり、今回の事件は営利目的ではないような気がします。
( 警察の捜索について )
タナカに対しておこなわれた捜索は正しいものだったと思います。しかし安全な玩具銃を作ろうと努力したタナカが罪に問われるかもしれないと考えると、やりきれない気持ちです。
今回の件はとても残念なことであり、とても悲しいことです。新しい可能性を持った玩具銃がひとつなくなりました。火薬入りの密造薬莢を入れられても発火できないようにとタナカが企業努力したにもかかわらず、過激な者はその上を行く技術で発火できる薬莢を密造したのでしょうか。前述したような理由でASGK公認は難しかったのですが、業界の方もファンの方も、タナカの新製品を歓迎してくれていました。本当に残念$G$9!#
タナカ・SAAシビリアン・カシオペア (mokei-paddock information, 8/9)
タナカ M500 カシオペア新登場! (YouTube)。どんなに凄いかと思ったら……。これで問題なの?! もちろんこれは、「正しい使用方法」で撃った場合の映像なのだろうが……。
》 セコムが消費者団体申し入れで契約内容を一部見直し (JANJAN, 11/9)
》 イオンド大学(?)日本校の学長が新潟県立の大学長選挙に立候補 (JANJAN, 11/8)
》 「麻生邸拝見ツアー逮捕事件」で抗議集会 (JANJAN, 11/9)。関連:
渋谷麻生邸不当逮捕事件に抗議 名古屋で“愛”の募金活動 (JANJAN, 11/8)
この活動は、渋谷での逮捕劇の映像をみて衝撃をうけた、名古屋に在住するアーティストやピクニック好きな人たちで結成された「アそネスティー・インターナショナル・ジャポン」が呼び掛けたものです。主催者によると、この名前は、渋谷企画のユーモアのセンスに敬意を表したもので、アムネスティではないので誤解しないように、とのことでした。
「まずは、弾圧だ」ポスター (JANJAN, 11/8)。
「麻生さんのおうちを見にいこう」で、アそネスティー『愛の募金活動』・映像 (JANJAN, 11/7)。「恵まれない国で〜、歩いていただけなのに〜、拉致されてしまった人達への募金活動をしていま〜す、よろしくお願いしま〜す」
》 破棄差し戻し!「痴漢冤罪沖田国賠訴訟」最高裁判決 (JANJAN, 11/9)。高裁に差しもどし。
1999年9月2日、電車内で携帯電話をかけていた女性を注意した沖田光男さんは、女性に逆恨みされ、痴漢行為をしたとして虚偽の申告をされ、警察に逮捕され21日間の身柄拘束をされました。沖田さんは嫌疑不十分で不起訴となりました。
痴漢行為をしたという確かな証拠もなく、女性の話を鵜呑みにし、警察がいきなり逮捕し、検察が勾留の理由や必要性がないにもかかわらず勾留請求、拘留延長を行ったのは違法な公権力に当たるとして、02年4月、沖田さんは、警察・検察・女性に対し、損害賠償を求める訴訟を東京地裁八王子支部に提起しました。
一審、二審とも原告敗訴。しかも、嫌疑不十分で不起訴になったにもかかわらず、痴漢行為があったとする不当判決でした。女性は背が高く、ハイヒールを履くと沖田さんとは10cm以上の身長差があり、女性が主張するような痴漢行為は不可能なこと、女性が携帯電話で話をしていたAさんという男性の話が沖田さんの話と一致し、女性の話とは矛盾することなど、客観的証拠を無視した不当判決でした。
めちゃくちゃだよなあ……。こういうトンデモ逮捕、トンデモ判決がまかり通っているのが日本という国なんだよな。
》 Big Chinese Hack 2? (Analyst's Diary, 11/7)。またぞろボロボロやられているらしい。
》 朝日新聞パリ支局長に問う、日本の新聞はフランスよりも権力から独立しているのか? (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 10/12)
》 米国の失業者1ヶ月に24万人増加…ばくち資本主義から早く脱却しよう… (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/8)
》 戦争を止めようとしたスパイ(The Spy Who Tried to Stop a War) (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/9)。 「キャサリン・ガン」でぐぐる
》 飴玉の後に毒饅頭。2兆円バラマキ考 (保坂展人のどこどこ日記, 11/9)
高額所得者や法人税を10年前の水準に戻すだけで、4・2兆円の税収が確保されるはずだが、「大企業と金持ちの味方」である現政権は、社会保障財源として「消費税」以外には言及しない。今日も、ホテルのバーの葉巻総理は、「消費税をあげる」と地方遊説で訴えている。
》 OpenVASを使ったセキュリティ監査 (sourceforge.jp, 10/22)。Nessus 2.2 後継。
》 アクラII級原子力潜水艦「ネルパ」(Nerpa) 試験航海中に消火設備の事故で 20 名以上が死亡
ロシア:原潜で事故、20人以上が死亡 放射能漏れなし (毎日, 11/9)
海軍によると、火災消火システムの誤作動が原因という。
ロシア原潜事故 死亡20人超 (NHK, 11/9)
事故の原因については、原潜の前方にある第1と第2区画と呼ばれる場所で、火災発生の際に使われる消火システムが誤って作動したことだと明らかにし、これに関連して「ネルパ」を建造した造船所の責任者は「乗組員は消火剤による中毒症状を起こしたと聞いている」と述べました。
アクラ級原子力潜水艦 (ウィキペディア)。「ネルパ」はソ連崩壊後の経済混乱のときに一旦建造が中止され、その後再開された艦だそうで。 (起工はなんと 1986 年!)
どのような「火災消火システム」だったんだろう。 CO2? ハロン? ハロン1301なら、CO2 に比べて安全性は高いようなのだけど。
「ハロンガス消火設備」って…何? 知らなきゃ危険な消防設備 (allabout, 2002.08.03)
ガス系消火設備は、消火の対象になる場所(部屋)に消火剤を放射する前に、自動閉鎖装置などにより密閉した区画を作り上げ、区画内の広さにあわせて計算された量の薬剤を放射します。二酸化炭素消火設備(不活性ガス)は、その区画内での酸素濃度を下げる希釈効果と同時に、放射の際に発生したドライアイスの冷却効果によって消火します。空気中の酸素濃度が低くなることで、人間も窒息してしまいますが、二酸化炭素自体も人体に対して毒性があり、濃度が高い時は、ほんの数回の呼吸でも死に至ります。
これに対し、ハロゲン化物消火設備の薬剤『ハロン1301』は、誤放出などで空気中に放射された場合でも人体に対してほぼ無害です。といっても、実際には独特の臭いがあり、これを吸い込んで気分が悪くなったという報告もあります。もう一つの特徴として、ヘリウムガスを吸い込んだように異様に声が高くなるという事があります。
「消火ガスが放射されましたので、念のため避難してくださ〜い。と、『ゲゲゲの鬼太郎』に出てくる目玉親父のような声で避難誘導しても、緊迫感などありません。間抜けなだけでした…。」(体験者談)
「クリティカルユース(必要不可欠用途)におけるリサイクルハロン活用ガイド」の送付及び活用について (消防庁, 2003.12.05)
ハロン消火剤の在庫が増加している背景として、ハロン消火剤の使用そのものが禁止されているという誤解から、クリティカルユースであってもハロン消火剤の使用を認めないケースが散見されるようです。
このような状況を踏まえ、ハロンバンク推進協議会において、当庁のほか環境省等の協力により、別添「クリティカルユース(必要不可欠用途)におけるリサイクルハロン活用ガイド」(PDF)がとりまとめられました。本活用ガイドは、ハロン1301消火剤の優れた特徴を紹介するとともに、ハロンリサイクルシステムの概要及びクリティカルユースの詳細等を広く周知するものです。
新しい消火設備(3) ガス系消火設備 (岡田潤 / 空気調和・衛生工学会, 2001.08)
日本海で事故のロシア原潜が入港 (AFP, 11/9)
通信社各社が連邦捜査委員会の広報官の話として報じたところによると、解剖の結果、死因は消火装置の誤作動で原潜の一部に発生したフロンガスを吸ったためとみられる。
net-snmp 5.2 / 5.3 / 5.4 に欠陥。agent/snmp_agent.c の netsnmp_create_subtree_cache 関数に Integer Overflow する欠陥があり、攻略 SNMP GETBULK リクエストによって crash する。CVE-2008-4309
net-snmp 5.2.5.1 / 5.3.2.3 / 5.4.2.1 で修正されている。
ClamAV 0.94.1 登場。少なくとも、以下の欠陥が修正されている模様。
Security Advisory 0810: Buffer overflows in VLC RealText and CUE demuxers
VLC media player 0.9.6 バイナリが公開されています。fu7mu4 さん情報ありがとうございます。
関連:
Googleマイマップで「限定公開」「非公開」設定にしても検索にヒットするシステム障害 (高木浩光@自宅の日記, 2008.11.09)
Googleマイマップを削除しても、残骸が発生して消せなくなる不具合 (slashdot.jp, 2008.11.08)
》 著名商号に装って商いする闇金業者サイト (トレンドマイクロ セキュリティ blog, 11/7)
》 インターネット協会 SafetyOnline3.1 の問題点など (崎山伸夫のBlog, 11/6)
》 ウェブの仕事力が上がる標準ガイドブック5 Webプログラミング (水無月ばけらのえび日記, 11/5)
》 庶民の実感を想像できない麻生総理 (日経 BP, 10/31)
かねてから麻生総理は「景気の麻生」と言われてきて、わたしも多少の期待をしたのだが、先日の自民党の総裁選でその正体が明らかになった。誰のための景気対策かといえば、彼の目には基本的に金持ちと大企業しか映っていないように見える。
(中略)
小泉元総理は横須賀という都会育ちだから地方や農業に冷たかったが、麻生総理は地方出身だからそれを何とかしてくれると考えたのが間違いだった。よく考えてみると、彼は東京都心の住民であり、しかも勝ち組だったのだ。
財政政策について、米国のオバマ大統領候補は対照的である。彼は、はっきりと金持ち増税、庶民減税を打ち出している。
》 「米国に変革が到来」 オバマ氏勝利演説(全文) (asahi.com, 11/6)、 President-elect Barack Obama's remarks in Chicago (asahi.com, 11/6)。
》 NTT西日本の顧客情報246件、Share介し委託先の元派遣社員PCから流出 (マイコミジャーナル, 11/6)。
同社から電気通信設備工事を受託した協和エクシオの委託先会社の元派遣社員
つまり、孫請け企業の派遣社員ですか……。
》 キャンパー出演なるか? (極楽せきゅあ日記, 11/6)。あら、デジタルネイティブ 〜“次代”を担う若者たち〜(仮) (NHK スペシャル, 11/10 放送予定) はキャンプネタだったの?
社説:前空幕長問題 政府の責任を明らかにせよ (毎日, 11/7)
田母神(たもがみ)俊雄氏が応募した民間企業の懸賞論文に、自衛官78人が応募していることが明らかになった。応募総数は235件だから、3分の1が現職自衛官の作品だったことになる。
前空幕長論文問題:アパ懸賞論文、自衛官78人が応募 空幕教育課が紹介 (毎日, 11/6)
防衛省によると、78人は全員が航空自衛官。階級別では1尉など尉官が64人で最多。1佐など佐官が10人、下士官が4人だった。また、うち62人が小松基地(石川県)に司令部がある第6航空団所属で全体の8割近くを占めた。空幕の教育課が全国の各部隊にファクスで応募要領などを送ったという。
懸賞論文を主催した総合都市開発「アパグループ」(東京都港区)代表の元谷外志雄氏は、小松基地を支援する民間組織「小松基地友の会」の会長をつとめている。
前空幕長論文問題:アパ懸賞論文、幹部教育の一環 第6航空団62人、そのまま応募 (毎日, 11/7)
防衛省は6日、同じ懸賞論文に応募した空自の幹部自衛官78人のうち第6航空団の62人が、幹部教育の一環で書いた論文をそのまま応募していたことを明らかにした。 (中略) 小松基地(石川県)に司令部のある第6航空団は要領を見て、幹部教育の一環として所属幹部に提出を求める課題論文のテーマを、懸賞論文と同じにした。提出された課題論文のうち62本が懸賞論文にもそのまま応募され、その結果、同航空団の論文が突出して多くなったという。課題論文は通常、尉官級以上の幹部が部隊ごとにテーマを決めて書く。
航空幕僚長:新たに16人論文応募 外薗氏が就任会見 (毎日, 11/7)
一方、新たに論文応募が判明した16人は、航空救難団などに所属する1佐〜1曹。内規で定めた上司への報告を怠った隊員はおらず、幹部教育の一環として作成したケースもなかった。論文の応募総数は235人で、空自隊員だけで約4割を占める計算になる。
「田母神航空幕僚長」がトップに君臨した自衛隊の体質 (保坂展人のどこどこ日記, 11/6)
田母神氏とアパグループはそもそも関係が密接で、昨年8月には航空自衛隊小松基地のF15戦闘機に試乗させるなどの便宜供与を受けていることも明らかになった。「最優秀賞」は出来レースで「賞金300万円」は現金の授受ではないかとの疑いも出てくる。
つまりは、ドロドロズブズブな関係ってことですかね。関連:
「懲戒じゃなくていいのか」 前空幕長の退職で公明・北側氏 (産経 MSN, 11/5)
「文民統制に緩み」 民主徹底追及へ 「懸賞論文」大量応募 (北海道新聞, 11/7)
》 筑紫哲也さん死去 NEWS23前キャスター 73歳 (asahi.com, 11/7)、筑紫哲也さん逝く (保坂展人のどこどこ日記, 11/7)。合掌。
》 パナソニック、三洋の子会社化に向け協議開始 (家電 Watch, 11/7)。パナソニックから正式発表。
》 “オプトイン”導入の迷惑メール法改正、事業者への影響は? 行政担当者と事業者がカンファレンスで意見交換 (Internet Watch, 11/6)
》 海の向こうの“セキュリティ” 第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか (Internet Watch, 11/5)
》 山谷剛史のマンスリー・チャイナネット事件簿 2008年10月 (Internet Watch, 11/7)。黒くぬれ話など。
》 インターネット脅威マンスリーレポート - 2008年10月度 〜USBワームに新しい機能〜 (トレンドマイクロ, 11/5)
》 簡単にハッキングできてしまう電子投票システム (slashdot.jp, 11/5)
》 1200BK|?MJ,$N%G!<%?$H%7%9%F%`$N%=!<%9%3!<%I$,J]B8$5$l$?USBメモリ、英国のパブ駐車場で発見される (slashdot.jp, 11/6)
》 iPhone 3Gの売買契約書類に消費者契約法違反のおそれ、通信が不安定でも解約不能 (gigazine, 11/7)
》 「CSS2008のCFPを騙ったウイルスメール」の対応について (hitachi.co.jp)。今年 6 月に発生した件の詳細。
》 こんなパソコンは…ちょっと買いたくない (パソコントラブル出張修理・サポート日記, 11/1)。CPU ファンがなくても動きます!
》 情報ネットワーク法学会 第8回研究大会受付開始 (まるちゃんの情報セキュリティ気まぐれ日記, 11/6)
》 Makuosan (まくおさん、Multicasts All-Kinds of Updating Operation for Servers on Administered Network) (klab.org)。削除機能はまだないそうで。
》 1つのシェルから複数のSSHセッションを同時に実行するツール3種類を試す (sourceforge.jp, 11/6)。Parallel ssh、Cluster SSH、ClusterIt の 3 つ。
》 Ubuntu用簡単バックアップ・ツール、TimeVault (sourceforge.jp, 11/6)
》 「Google Book Search」訴訟で米出版業界と和解合意 (Internet Watch, 10/29)、 Google Book Search Settlement: A Reader's Guide (EFF, 10/31)
》 「偽ソフト」の押し売りにご用心――IPAが警告 (日経 IT Pro, 11/6)。関連:
More Google Searches Resulting in Rogue AV (trendmicro blog, 11/5)。またぞろこういう状態になっていたそうで。
「Windows Defenderと間違えないで」、偽ソフト「WinDefender」に新版 (日経 IT Pro, 11/7)
We Hate WinDefender (F-Secure, 11/6)
》 ITproのセキュリティ検定がヤバイ (水無月ばけらのえび日記, 11/6)。ITpro すごい、すごすぎる。
》 オバマ氏の勝利に便乗した大規模なマルウェア作戦が進行中 Adobe Flash Playerのアップデートと見せかけて悪質なプログラムをインストール (ComputerWorld.jp, 11/6)。時事ネタがあれば何でも利用するからなぁ。 破綻銀行を詐称したフィッシング・メールに注意 (ComputerWorld.jp, 11/6) も同様ですよね。関連:
Obama氏の大統領当選を悪用したスパム・メールが急増 (日経 IT Pro, 11/6)
次期大統領オバマ氏演説ビデオへの誘導メール:実はトロイの木馬 (トレンドマイクロ セキュリティ blog, 11/7)
》 定額給付金の高額所得者辞退制度を実行したら、給付金で「馬鹿にするな!自民党・公明党」広告を打とう! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/6)
》 ストリートビュー、関西でも“物議” (産経 MSN, 11/1)。ここでも競合他社の取りくみは全く紹介されていない。 識者コメントについても、暗号屋さんではなく、情報倫理をやっている人に聞きに行くべきでしょう。
》 エチゼンクラゲ:なぜ?今年は姿見せず…首かしげる水産庁 (毎日, 11/7)
緊急 x 1、重要 x 1。
事例はまだまだあるようで。
グーグルマップ:教諭ミスで生徒の自宅住所公開 名古屋 (毎日, 2008.11.07)。市立高杉中学校。
グーグルマップ設定注意!個人情報“公開”相次ぐ 杉並の小学校でも (産経 MSN, 2008.11.06)。東京都杉並区立某校。
しかしなんと、マイマップを削除しようとしてもうまく削除できない事例がある模様。
緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥 (高木浩光@自宅の日記, 2008.11.06)
このような事態の発生に備えて、マップを削除する前に、そのマップに登録した地点の情報を編集して「秘密の情報」などの部分を書き換え、意味のない文字列に変更しておくことが対策となるかもしれない。(必ずその変更が反映されるかどうかは確認できていない。)
(中略)
もしマップの削除で残骸が生じたとしても、このようにしておくことで、単に場所が指されているだけで、その意味はわからない状態とすることができ、被害を小さくできると考えられる。
さらに、上記にとんでもない追記が!
残骸ではなく復活している模様(7日追記) (高木浩光@自宅の日記, 2008.11.07)
私は、4日から6日にかけて(時間の許す限り自宅から個人的に)、秘密にするべき情報が公開状態となっているマップについて、作成者の勤務先と思われるところに電話で連絡して、事実を伝える作業を行っていた。6日の夜には、あるキーワードのものについて、連絡した事案はほぼ消えた状態となっていたのを確認していた。ところが、7日の朝に再び検索してみると、何か所もの地域で、一部が残骸として残っていたり、全部が残っているものがヒットするようになり、これは残骸ではなく、消えたものが復活しているのだと認識した。
復活しているといっても、マップ自体は消えているため、復活した登録地点は宙ぶらりんであり、作成者による削除操作は不可能になっている。
復活してしまっている地域の何か所かについて、再び電話連絡をして事実を伝える作業を始めたところ、「昨日は完全に消えていたのに」という現場の証言も得られた。また、前日までに連絡していたところからこちらに電話があり、「復活しているようなんです。どうしたらいいのでしょうか」と問い合わせを頂いた事例も複数ある。
いったいGoogleはどうなっているのか。もう私の手には負えない。どうしようもない。最悪だ。
[memo:9548] マイマップで消したはずの「地点」が見える。 高木氏の追記内容を確認。
Flash Player 9.0.151.0 が公開されました。 Flash Player 10.0.12.36 / 9.0.151.0 に共通して修正されている欠陥が複数あるそうです。
APSB08-20: Flash Player update available to address security vulnerabilities (Adobe)
XSS 欠陥の修正。 CVE-2008-4818
DNS rebinding 攻撃を補助してしまえる状況の緩和。 CVE-2008-4819
HTML インジェクション欠陥を阻止するよう、ActionScipt 属性をより厳密に実行するようにした。 CVE-2008-4823
ポリシーファイルの処理において、非ルートドメインポリシーのバイパスを招く状況を阻止。CVE-2008-4822
Mozilla における Flash Playe の jar: プロトコルの処理が情報漏洩を招く状況を阻止。CVE-2008-4821
Flash Player ダウンロード (Adobe)。ただし、推奨されているのは Flash Player 10.0.12.36 への移行。
MS08-067 つづき。
Latest on MS08-067 (MSRC blog, 2008.11.05)
脆弱性 (MS08-067:CVE-2008-4250)を悪用したハッキングツールを確認 (トレンドマイクロ セキュリティ blog, 2008.11.06)
ColdFusion 8.0.1 / 8.0.0 / 7.0.2 話。HotFix が公開されています。 CVE-2008-4831
EC-CUBE 2.3.1 以前 / 1.4.8 以前に SQL インジェクションや XSS を招く複数の欠陥があり、EC-CUBE 2.3.2 / 1.4.9 で修正されている。大半は EC-CUBE 2.3.1 / 1.4.8 で修正されており、積み残しが EC-CUBE 2.3.2 / 1.4.9 で修正された。
EC-CUBEをバージョンアップしました。(2008/11/06) (EC-CUBE)
なお、EC-CUBE 1.x のセキュリティ修正は 2008.12.31 をもって終了する。 利用者は EC-CUBE 2.x 系への移行などを検討されたい。
関連:
JVN#19072922 - EC-CUBE における SQL インジェクションの脆弱性 (JVN, 2008.11.06)
1系から2系へのDB移行について (EC-CUBE 開発コミュニティサイト)
VLC media player 0.5.0 〜 0.9.5 に複数の欠陥。
CUE 画像ファイルの処理に欠陥があり、stack buffer overflow が発生。 攻略 CUE 画像ファイルによって任意のコードを実行できる。
RealText (rt) サブタイトルファイルの処理に欠陥があり、stack buffer overflow が発生。 攻略 RealText ファイルによって任意のコードを実行できる。
VLC media player 0.9.6 で修正されている。ただし、ソースは 0.9.6 が配布されているものの、バイナリについては 0.9.5 のままのようだ。Windows 版バイナリに至っては、いまだにB 0.9.4 のままだ。
VLC media player 0.9.6 バイナリが公開されています。
詳細は PacSec カンファレンス 2008 の "Gone in 900 Seconds, Some Crypto Issues with WPA" で公開されるそうです。
こっちの記事の方がいいかな: 無線LANのセキュリティ規格「WPA」の暗号鍵が部分的に破られる (ComputerWorld.jp, 2008.11.07)
WPA-TKIP破られる (Tetsu=TaLowの雑記, 2008.11.08)。
しかし、この状況がいつまで保てるかもわからないので、遠からずすべてをWPA-PSK(AES)またはWPA2-PSK(AES)に変えていかないといけないんでしょう。ここで問題なのが、まだすべての無線LAN端末がAESをサポートしているわけではないことです。ちょっと古いパソコンの中には無線LAN用のチップが古くAESがサポートされていないものがあります。
「100 年に 1 度という経済混乱」の真最中でもありますから、買いかえろと言われてはいそうですかと言える人ばかりじゃないわけで。
》 退治のはずが、実は感染源…偽ウイルス対策ソフトが横行 (読売, 11/6)。マスメディアでも報道されるようになったようで。
》 ウィルススキャン/全自動暗号化機能搭載 セキュリティー USBメモリー RUF2-HSCUWシリーズ (buffalo.jp) ですが、西畑さんから (情報ありがとうございます)
バッファローのセキュリティUSBの件ですが、薄い字でこう書かれています。
※パターンファイルは、アクティベーション後、1年間最新のパターンファイルをダウンロードできます。次年度以降は契約の更新(有償)が必要です。
薄い字だと、見落としがちになりそうなので、ひどいですね・・・。
確か、発表された時は、小さな字で書かれていましたが、幾分改善されたのかもしれません。
トレンドマイクロのソースは
http://jp.trendmicro.com/jp/products/enterprise/tmusb/index.html
ここなんですが、更新価格が未だに分からないというところがあります。
一瞬、次年度以降も無償のようなとらえ方をしがちなので、購入したら、2年目以降、ふところが心配になりそうです。
》 GoogleとYahoo!の提携が白紙に、司法省との反トラスト法訴訟回避 (Internet Watch, 11/6)、 米ヤフー:MSに秋波 再度買収提案なら応諾 (毎日, 11/6)
》 3人が釈放されました! (麻生でてこい!!リアリティツアー救援会ブログ, 11/6)
》 JCB、基幹系にも障害が発生、キャッシングが不能に (日経 IT Pro, 11/5)、 JCB、キャッシング障害から復旧、原因は調査中 (日経 IT Pro, 11/6)、 新システムへの移行に伴う重要なお知らせ (JCB)
》 小中学生、校内への携帯電話持ち込み「原則禁止」へ--文科省が要請 (CNET, 9/25)。こんな話があったのね。
関連:
セガ、デバッグアルバイト応募者の個人情報がGoogleマップ流出 (Internet Watch, 2008.11.06)
アルバイト応募者の個人情報の流出に関するお詫びとお知らせ (セガ, 2008.11.04)
》 ウィルススキャン/全自動暗号化機能搭載 セキュリティー USBメモリー RUF2-HSCUWシリーズ (buffalo.jp)。販売されているようです。
》 ヤフオクID不正利用被害でYahoo! JAPANに要望書――大阪の消費者団体 (JANJAN, 11/1)、 ヤフー株式会社に対し、ID乗っ取り問題に関する「要請書」を10月29日に送付しました (消費者支援機構関西, 10/30)
》 韓国・中央日報が新聞テレビ兼営で情報操作記事掲載 (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 10/22)
》 国連の自由権規約委員会が表現の自由に対する制約をなくすよう勧告! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 10/31)。 日本政府ハズカシイ。
関連: 国連・自由権規約委員会、日本政府に死刑廃止、従軍慰安婦問題$N2r7h!"BeMQ4F9v$NGQ;_!"CK=w:9JLE1GQ$J$I$r5a$a$k (JANJAN, 11/3)
》 麻生邸を見学しようとして逮捕された3人が無実であることを示す一部始終〜3つのビデオ (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/1)、 でてこい3人!でてこい麻生!!麻生邸リアリティーツアーの不当逮捕に抗議する集会 (麻生でてこい!!リアリティツアー救援会ブログ)。 2008.11.06、東京都千代田区。
》 事故米および飼料の安全性に関する質問主意書&答弁書 (保坂展人のどこどこ日記, 11/1)
》 環境省 パブコメ 「カーボン・オフセットの取組に対する第三者認証機関による認証基準(Ver. 1.0)(案)」 (まるちゃんの情報セキュリティ気まぐれ日記, 11/2)
田母神航空幕僚長更迭もよいが、駆けつけ警護発言の佐藤ひげ隊長議員の辞職も必要だ! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/1)
田母神論文は自民党の本音?!〜「航空自衛隊を元気にする10の提言」にもかかわらず任命した責任は重い (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/2)
田母神航空幕僚長著「日本人としての誇りを持とう」全文を読んで… (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 11/4)
田母神論文問題 日本は侵略国家ではなかったのか (JANJAN, 11/5)
》 安売りスタンドの柿本石油が倒産―気づかされたプリペイドカードの危険 (JANJAN, 10/13)。倒産すれば、ただの紙屑。
》 破算の教習所・債権者集会の動画がネットに続々 (ITmedia, 11/5)。八王子自動車教習所ねた。
》 派遣労働者に適用されない雇用保険を改革せよ (保坂展人のどこどこ日記, 11/4)
》 グーグルとヤフー、広告提携内容を縮小――長引く反トラスト法違反の調査に根負け? (ComputerWorld.jp, 11/4)
》 デジタルネイティブ 〜“次代”を担う若者たち〜(仮) (NHK スペシャル, 11/10 放送予定)
》 「破損HDDからデータを回収」オントラックデータ復旧ラボ見学記 (Enterprise Watch, 11/5)
》 Ruby on Railsのセキュリティガイドブックが公開 (sourceforge.jp, 11/5)
》 グーグル、「Google Apps」に管理者向け解析ツール群を追加 「ユーザーごとに利用状況が把握できる」とGoogle Apps担当者 (ComputerWorld.jp, 11/5)
オバマ氏当選、米史上初のアフリカ系大統領誕生へ (asahi.com, 11/5)
オバマ大統領誕生に見る「ブッシュの8年間」 (保坂展人のどこどこ日記, 11/5)
「ブッシュの8年間」に「NO」とアメリカ国民の審判が示された今、私たちの日本は「小泉とその仲間たちの8年間」を正面から問う解散・総選挙を闘わなければならない。
関連: 「障害者自立支援法」廃止と京品ホテル争議激励へ (保坂展人のどこどこ日記, 10/31)
》 小室容疑者が「二重譲渡」 未熟な著作権ビジネスが背景 (asahi.com, 11/5)
小室容疑者から205曲の著作権を譲渡されていたエイベックス社によると、日本音楽著作権協会(JASRAC)から昨年末、ヒット曲「DEPARTURES」など11曲の使用料が差し止めになると連絡が入った。芸能プロダクション「トライバルキックス」(東京)がこの11曲を文化庁に登録したことがその理由だった。
11曲は、小室容疑者からトライバル社へ無断譲渡され、文化庁へ登録されていた。エイベックス社は「小室氏から報告がなく、寝耳に水だった」として、トライバル社側と文化庁の登録取り下げを交渉していたが、結論が出ていない。
登録しちゃった方に法的優先権があるのだそうで……。
文化庁への登録は手続きが煩雑なうえ、費用も高く利用しにくいのが現状という。著作権ビジネスに詳しい福井健策弁護士は (中略) 「専門家の育成や利用しやすい著作権登録制度の整備など、著作権にかかわるインフラ整備の必要がある」と指摘する。
小室関連:
巨額の著作権詐欺――“小室事件”と音楽著作権の関係 (ITmedia, 11/4)
小室事件についてちょっとコメント (栗67i$N%F%/%N%m%8!<;~I>Ver2, 11/4)
》 ボーイズラブ小説は不適切?図書館貸し出しで議論白熱 (asahi.com, 11/5)。「官能小説ヲ一掃セヨ」という要求ならまだ話が理解できるのだが、なぜボーイズラブねただけなのだろう……。よくわからんなあ。 (いずれにせよ、個人的には廃棄に賛成できないが)
》 1年後にはオリコン入り!? 「初音ミク」超えた音声合成技術 (日経, 9/19)、歌声を混ぜるインタフェース 「v.morish」 (関西学院大学 片寄研究室)。革命前夜の模様。
ソマリアでの13歳の少女の投石による処刑を非難:UNICEF (国連情報誌SUNブログ対応版, 11/5)。ひどすぎる。
チャドの情勢悪化 (国連情報誌SUNブログ対応版, 11/4)
コンゴ民主共和国情勢悪化 (国連情報誌SUNブログ対応版, 11/1)
インドでの連続爆破テロを非難:事務総長 (国連情報誌SUNブログ対応版, 10/31)
ソマリアでの国連事務所などへの襲撃を非難 (国連情報誌SUNブログ対応版, 10/30)
ギニアビサウでのコレラ対策に支援が必要 (国連情報誌SUNブログ対応版, 10/25)
中米で洪水被害 (国連情報誌SUNブログ対応版, 10/24)
》 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開 (Internet Watch, 11/4)、 安全なWebブラウザの使い方 (水無月ばけらのえび日記, 11/4)。
元ねたである 技術メモ − 安全なWebブラウザの使い方 (JPCERT/CC, 11/4) なのだが、これ、そもそも誰に向けて書いているのだろう。一般ユーザ向けにしては素気なさすぎるし、IT Pro 向けにしては詳細さが足りないような。
》 CAPTCHA解読―ロシアが仕掛ける新たなビジネス (日経 IT Pro, 11/5)。もうかりまっか?
》 米国防総省のRFID利用の現状 (日経 IT Pro, 11/5)
現時点では、Gen 2技術のユーザーとしての米国防総省は、技術への理解がある顧客がそこそこの規模の購買を確約している形で業界に安心感を与える存在に過ぎません。その動向に業界が振り回されるという位置にはいないと考えます。その意味で、現状の低調な報道は現状を反映しているといえるでしょう。
》 愛知県不正経理 「DVD」実はゲーム機 (中日, 11/5)。実は PSX だった。そういえば、そんな機械もあったねえ。
PSXは、家庭用ゲーム機のプレイステーション2とDVD録画機能を併せ持ったもので、県は発表資料に「DVDプレーヤー」と記載。記者会見でも「パソコン用の外付けDVDドライブ」と説明していた。
「DVD レコーダー」と言っていれば嘘にはならなかったのに。
》 ニセ標識、近隣住民ら設置 道交法違反容疑で書類送検へ (asahi.com, 11/4)。近隣住民が勝手につけていた模様。
同署によると、住民らは今年夏ごろ、同市横山町の市道丁字路にあった一方通行規制の標識をポールから取り外し、代わりに偽の「止まれ」の一時停止の標識を取り付けた疑いを持たれている。(中略) 住民らは、工場構内用などに市販されている標識を購入したとみられる。
》 覚せい剤密売「広告」を放置、サイト開設者を再逮捕 (読売, 11/4)
ネット上には、覚せい剤を「氷」や「S」などの隠語に言い換えて売買を呼びかける書き込みが急増しているが、同庁ではこれらも広告にあたると判断。同法では、医薬関係者以外を対象とした広告の掲載を禁じており、書き込みを放置していた開設者に同法違反を適用した。
これだけ読むと「そのへんに転がってる掲示板とかどうなるの?」と思ってしまうが、 携帯掲示板に覚せい剤広告 (共同 / ニッカンスポーツ, 11/4) を見ると
事前に薬物を浜田容疑者に送ってきた相手にだけ広告掲載を認めていたという。薬物は自分で使っていた。浜田容疑者自身も掲示板で向精神薬を密売しており「違法薬物の広告を載せれば、アクセスが増えると思った」と供述しているという。
それが覚せい剤の広告だということが明らかな上で掲載していた模様。 あと、読売は「再逮捕」と報じているのだけど、もともとの容疑が何だったのかはよくわからない。
関連: ネットの掲示板に覚醒剤広告、サイト管理者を逮捕 (産経 / Yahoo, 11/4)
》 耐火材偽装:防火・耐火用建材、さらに2社が基準以下 (毎日, 11/5)
耐火構造の間仕切壁の設計・施工に携わる皆様へのお知らせ (エーアンドエーマテリアル, 11/4)
国土交通Bg?CG'Dj$N
国土交通大臣認定QF045RS-0027についてのお詫び (中越アドバンス, 11/4)
MS08-067 つづき。
WORM_KERBOT.A (Trendmicro)。たかさん情報ありがとうございます。
Troj/Kerbot-A (Sophos)
ushealthmart.com (Norton Safe Web Beta)。ウイルスリンクあり。 中国ですか……。
Adobe Reader 8 / Acrobat 8 に複数の欠陥。
Type 1 フォントの扱いに欠陥があり、攻略 PDF ファイルによって任意のコードを実行できる。 Adobe Reader Embedded Font Handling Out of Bounds Array Indexing Vulnerability (iDefense)、 CVE-2008-4812
PDF ファイルに含まれる PDF オブジェクトの処理に欠陥があり、攻略 PDF ファイルによって任意のコードを実行できる。 ZDI-08-073: Adobe Acrobat Reader Malformed PDF Code Execution Vulnerability、 CVE-2008-4813
PDF ファイル中の組込 JavaScript コードの処理に欠陥があり、攻略 PDF ファイルによって任意のコードを実行できる。 ZDI-08-072: Adobe Acrobat PDF Javascript printf Stack Overflow Vulnerability、 ZDI-08-074: Adobe Acrobat PDF Javascript getCosObj Memory Corruption Vulnerability、 CVE-2008-2992
AcroJS 関数に欠陥があり、攻略 PDF ファイルによって任意のコードを実行できる。 Adobe Acrobat Professional And Reader AcroJS Heap Corruption Vulnerability (iDefense)、 CVE-2008-4817
Download Manager に欠陥があり、ダウンロード中に Internet Security オプションを変更できる。Windows 版のみ。 CVE-2008-4816
JavaScript メソッドに欠陥があり、任意のコードを実行できる。 CVE-2008-4814
権限上昇が可能。UNIX 版のみ。 CVE-2008-4815
一般に公開された DoS 話の修正。 CVE-2008-2549
Adobe Reader / Acrobat 8.1.3 で修正されている。
Acrobat for Windows (Adobe)
Acrobat for Macintosh (Adobe)
Acrobat 3D for Windows (Adobe)
現在、Adobe Reader / Acrobat のアップデート機能を使った更新は、なぜかうまくいかないようだ。手元の Acrobat 8 でも、[ヘルプ]→[アップデートの有無をチェック] すると、Adobe Updater のアップデートに失敗してうまく更新できない。尾上さん情報ありがとうございます。上記リンクからスタンドアロンのアップデータを入手して実行しよう。
また、Adobe Reader / Acrobat 9 にはこの欠陥はない。最新版へ移行できるのなら、移行を推奨する。
Get Adobe Reader (Adobe)
なお、Adobe Reader / Acrobat 8 インストール・アンインストール時あるいは Adobe Reader / Acrobat 9 インストール時に内部エラー 2229 が表示される場合は、以下を参照。尾上さん情報ありがとうございます。
関連:
Adobe Acrobat 及び Adobe Reader の脆弱性に関する注意喚起 (JPCERT/CC, 2008.11.05)
攻撃が行われているようで。
Adobe Reader vulnerability exploited in the wild (SANS ISC, 2008.11.07)
Shoulder Surfing a Malicious PDF Author (Didier Stevens, 2008.11.10)
Acrobat continued activity in the wild (SANS ISC, 2008.11.11)。シマンテックでは Trojan.Pidief.D として検出するそうで。
Adobe Reader Vulnerability: Actively Being Exploited (trendmicro blog, 2008.11.11)。トレンドマイクロでは TROJ_PIDIEF.CB として検出するそうで。
文句はβのうちに言っておきましょう。
Consumer WatchdogはChromeの問題点として次の点を挙げている。
- ユーザーの理解や合意、管理なしで、新たな非同期通信を行っている
- Chromeの多くの機能は、デスクトップとクラウドコンピューティングの区別をあいまいにしており、ユーザーのソフトや文書、データ、個人情報が、ユーザーのHDDではなく、ネット上のGoogleのサーバに保存されている。このため機密情報のプライバシーとセキュリティについて、ユーザーの混乱を招いている
- Chromeの「Incognito」モードは、実際はそうでないにもかかわらず、ユーザーに自分の活動が完全にプライベートで、監視されていないと誤解させている
元ねた: Consumer Watchdog Exposes Google Privacy Problems & Calls For Attorneys General Investigation (Consumer Watchdog, 2008.11.03)
え? Google Map で個人情報? と思ったら、
同病院は、住所や情報を入力すると目印を地図上に示せるグーグルマップの機能「マイマップ」を利用。患者の送迎ルートを決める際などに便利だからと使っていたが、個人情報が掲載されたこの地図が誰でも見られる状態だった。
マイマップは、店舗や施設の情報を共有することを前提にしたもので、不特定多数の人がネット上で閲覧できる初期設定になっている。同病院は個人や組織内で使う場合の「非公開」に設定すべきだったが、地図作成時に変更していなかったという。
「デフォルト公開の罠」にはまった模様。
病院側は「(地図の作成や変更には)パスワードが必要なので、外部には閲覧できないと思い込んでいた。患者らに申し訳ない。情報管理を徹底したい」としている。
勘違いしかねない UI、ということですかねえ。「思い込み」のパワーは極めて強力だしなあ。
マイマップをめぐって個人情報を意図せず公開してしまう例が発生しており、グーグル日本法人は「利用規約を守って使ってほしい。閲覧者がルール違反の地図を通報する機能もある」と呼び掛けている。
昔の Microsoft を連想した……。
「非公開」なら安全というわけでは全くない模様。 今度はGoogleマップで意図しない個人情報流出騒ぎ (slashdot.jp, 2008.11.04) より
なお、「公開/非公開」の違いは「非公開マップは作成したマイマップがユーザープロフィールページや検索結果で表示されない」だけなので、非公開マップでもURLが分かればアクセスできてしまう。そのため、Google以外の検索エンジンでば非公開マップが検索結果として表示されることもあるようだ。
一般公開マップと限定公開マップの違いは? (Google ヘルプ) より:
ただし、限定公開のものを含みすべてのマップには URL が付いていることに注意してください。原則として、誰にも見られたくない地図はここで作成しないことをお勧めします。
そういうオチかい……。
関連:
グーグルが注意喚起、「マイマップ」公開設定の確認を (Internet Watch, 2008.11.05)
マイマップの公開設定をご確認ください (Google ブログ, 2008.11.04)
これまで、公開設定については、「公開」「非公開」と設定していましたが、ユーザーの皆さまから「非公開」だとわかりづらいというご指摘をいただき、「限定公開」と文言を変更しました。
船橋の小学校でもグーグルマップに児童の情報流出 (産経 MSN, 2008.11.05)
関連:
セガ、デバッグアルバイト応募者の個人情報がGoogleマップ流出 (Internet Watch, 2008.11.06)
アルバイト応募者の個人情報の流出に関するお詫びとお知らせ (セガ, 2008.11.04)
事例はまだまだあるようで。
グーグルマップ:教諭ミスで生徒の自宅住所公開 名古屋 (毎日, 2008.11.07)。市立高杉中学校。
グーグルマップ設定注意!個人情報“公開”相次ぐ 杉並の小学校でも (産経 MSN, 2008.11.06)。東京都杉並区立某校。
しかしなんと、マイマップを削除しようとしてもうまく削除できない事例がある模様。
緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥 (高木浩光@自宅の日記, 2008.11.06)
このような事態の発生に備えて、マップを削除する前に、そのマップに登録した地点の情報を編集して「秘密の情報」などの部分を書き換え、意味のない文字列に変更しておくことが対策となるかもしれない。(必ずその変更が反映されるかどうかは確認できていない。)
(中略)
もしマップの削除で残骸が生じたとしても、このようにしておくことで、単に場所が指されているだけで、その意味はわからない状態とすることができ、被害を小さくできると考えられる。
さらに、上記にとんでもない追記が!
残骸ではなく復活している模様(7日追記) (高木浩光@自宅の日記, 2008.11.07)
私は、4日から6日にかけて(時間の許す限り自宅から個人的に)、秘密にするべき情報が公開状態となっているマップについて、作成者の勤務先と思われるところに電話で連絡して、事実を伝える作業を行っていた。6日の夜には、あるキーワードのものについて、連絡した事案はほぼ消えた状態となっていたのを確認していた。ところが、7日の朝に再び検索してみると、何か所もの地域で、一部が残骸として残っていたり、全部が残っているものがヒットするようになり、これは残骸ではなく、消えたものが復活しているのだと認識した。
復活しているといっても、マップ自体は消えているため、復活した登録地点は宙ぶらりんであり、作成者による削除操作は不可能になっている。
復活してしまっている地域の何か所かについて、再び電話連絡をして事実を伝える作業を始めたところ、「昨日は完全に消えていたのに」という現場の証言も得られた。また、前日までに連絡していたところからこちらに電話があり、「復活しているようなんです。どうしたらいいのでしょうか」と問い合わせを頂いた事例も複数ある。
いったいGoogleはどうなっているのか。もう私の手には負えない。どうしようもない。最悪だ。
[memo:9548] マイマップで消したはずの「地点」が見える。 高木氏の追記内容を確認。
関連:
Googleマイマップで「限定公開」「非公開」設定にしても検索にヒットするシステム障害 (高木浩光@自宅の日記, 2008.11.09)
Googleマイマップを削除しても、残骸が発生して消せなくなる不具合 (slashdot.jp, 2008.11.08)
Google の「デフォルト公開」の罠は半端じゃない模様。
本当はもっと怖いGoogleマイマップ (高木浩光@自宅の日記, 2008.11.10)
なんと、自動保存されるようになっているのだ。図5で「OK」すら押していない段階で、もう登録されて公開されている。 (中略) Googleマイマップの編集中に暇を持て余してヘタなことでも書こうものなら、容赦なく自動公開されてしまうのだ。
普通にマップを作っているときも、作成過程がそのまま実況中継のごとく公開され続ける。そんなこと誰が予見できようか?
自動保存 → 自動公開。Google にはテンポラリという概念はない模様。そういえば、Google 検索の「キャッシュという名前のアーカイブ」も似たような話か。
関連: 業務用途でGoogleマイマップを使ってはいけない (高木浩光@自宅の日記, 2008.11.09)
》 自重しろ?>クロム (極楽せきゅあ日記, 11/4)。Google Chrome の話。
クロムの通信をモニタしてみたんだけど、URL直接入力のときに1文字ずつグーグルと通信してるんですね。
関連: インクリメンタル名前解決 (水無月ばけらのえび日記, 11/4)
画像を見ると、一文字入力するごとにDNSキャッシュサーバに名前を問い合わせに行っているようですね。
※「グーグルと通信」は書き間違いで、「DNSサーバと通信」が正解なのかも。
クロムの話・続報 (極楽せきゅあ日記, 11/6)
クロムの設定で、オプションの「基本設定」タブの「既定の検索エンジン」の「管理」ボタンを押す (中略) ここの「検索キーワードの候補を表示して入力をオートコンプリートする」ってのをオフにすれば、DNS参照を都度行わなくなるようですね。
》 Java SE & Java SE for Business Support Road Map (Sun)。J2SE 1.4 は 10 月末で終了ですか。
》 セキュリティ インテリジェンス レポート 第5版 (日本のセキュリティチーム, 11/4)
》 プッシュ可能なネットワーク・ファイルシステム ccgfs (sourceforge.jp, 10/23)。攻撃者にもたぶん便利。
》 MySQLのカラム切り捨て問題 (水無月ばけらのえび日記, 10/14)
》 『景気悪化=派遣切り』の横行を許すな (保坂展人のどこどこ日記, 11/2)
秋葉原の加藤被告の事件によって、彼が関東自動車というトヨタ系の自動車工場で働いていて、1年契約のはずなのに中途解約を通告されたことと事件の関係が一時話題になった。一挙に200人の派遣労働者が契約を中途解約されて首を切られている。もちろん、ある事件でたくさんの人が傷つき亡くなったことは許せないことだと思っているが、彼の仕事場で絶望に突き落とすような『派遣切り』があったことをもっと考えていいののではないか。そして今、日産で780人、キャノン、日野自動車と次々と派遣労働者の雇止めや中途解約が起きている。
「加藤に共感したんだ。俺、死刑になる」 不満と共感と理不尽と (産経 / ITmedia, 10/14)
揺れ動いた「派遣論議」 それが核心なのか? (産経 / ITmedia, 10/15)
「秋葉原事件うらやましい」「ファンタジーの世界に行きたい」土浦連続殺傷犯インタビュー (産経 / ITmedia, 10/14)
》 セキュリティガイドライン (e-3lab.com)
》 ソフトバンクモバイルがボタン1つでアクセスできる「Yahoo!ケータイ」のトップページを有料化、携帯電話を傾けると再課金も (gigazine, 11/4)。ソフトバンクは、少しでも金を儲けようとあの手この手だなあ。いよいよヤバいのか?
》 FSF、CC-BY-SAとの互換性を取り込んだFDL最新版をリリース (sourceforge.jp, 11/4)。GNU Free Documentation License (FDL) v1.3。
》 VoIP/SIPエンティティに対するDoSアタック (日経 IT Pro, 11/4)
》 パブリックコメントを載せない新聞に公共性はあるのか?〜郵便料金値上げパブコメなんて知ってました? (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)(B, 11/3)
》 欧州特許庁、コンピュータプログラムの特許性について統一へ (Internet Watch, 11/4)
》 あぶない!出会い系サイト:出会い系サイト事業者の方 (警察庁)。11/4 付でリニューアルされたそうで。出会い系サイト規制法改正 (2008.12.01 施行) の部分かしら。
》 小室哲哉容疑者:5億円詐欺で逮捕…容疑認める 大阪地検 (毎日, 11/4)、 エイベックス、小室逮捕でglobeの全曲配信停止/CD発売中止 −「@MUSIC HD Sound」も中止。「捜査の行方を見守る」 (AV Watch, 11/4)
》 バイナリ・ブロブの恐怖 (sourceforge.jp, 11/3)。関連:
ブロブ 宇宙からの不明物体 (goo 映画)。↓のリメイク。
マックィーンの絶対の危機 (ピンチ) 人喰いアメーバの恐怖 (amazon)。↑のオリジナル。
関連じゃない: 謎の「生物」出現!?汚染湖でたんぱく質と細菌の固まりが… ― 福建省福州市 (Record China, 11/2)、福建省福州市の湖に謎の「お化け」が出現、正体は菌類の複合体 (slashdot.jp, 11/4)
》 ノートン先生に辞めていただくと…。 (パソコントラブル出張修理・サポート日記, 10/30)。ほとんど DoS 攻撃だよね……。
》 オフラインのためこのWebページを表示できません。 (パソコントラブル出張修理・サポート日記, 10/29)。IE7 + eo光 (PPPoE) ですか。
》 外務省、海賊対策部署を新設 ソマリア沖での被害受け (47news.jp, 11/4)。関連:
ソマリア沖でまた海賊の船舶乗っ取り 被害はトルコ貨物船 (CNN, 10/30)
ソマリア沖で1日5件の船舶乗っ取り未遂、放水などで海賊撃退 (CNN, 10/30)。 写真のロシア海軍艦船は FF-712 Neustrashimyy (ネウストラシムイ) というフリゲート。
海賊対策兼務の艦船に給油、防衛相認める (asahi.com, 10/28)
自衛艦「海賊を未然防止」=麻生首相 (時事, 10/28)
政治ここが知りたい 海賊対策に海自艦派遣 現行法では活動に制約 (東京, 10/26)
問 海自艦活用案が浮上した経過は。
答 きっかけは、十七日の衆院テロ防止特別委員会。民主党が提案し、麻生首相が「すごくいいことだ」と応じたことで、一気に検討課題になった。
(中略)
問 新法を作れば問題は解決する?
答 それはそうだが、防衛や外務、国土交通、法務、内閣など関係府省が多く、法制化の作業にはかなり時間がかかる。仮に法案ができても、衆院解散前には落ち着いた審議もできず、成立する見込みはない。実際、民主党の直嶋正行政調会長は「衆院選後、正統な政府ができた上で議論すべきだ」と自民党との政策協議を拒否した。首相の指示を受け、自民党はプロジェクトチームの設置を決めたが、急ピッチで論議が進むような状況ではない。
NATOが海賊対策 ソマリア沖に艦船派遣 (日経, 10/25)、 NATO Naval Task Group en route to escort duties off Somali coast (NATO, 10/24)。WFP の船を護衛。
ITS Durand de la Penne (flagship, Italy)
HS Themistokles (Greece)
HMS Cumberland (United Kingdom)
「合計で7隻の」というのは、 Standing NATO Maritime Group transits Suez Canal en-route to anti-piracy duties (NATO, 10/15) のこれみたい。(上記 3 隻を含む)
ITS Durand de la Penne (flagship, destroyer D560, Italy)。 デ・ラ・ペンネ級駆逐艦。
HS Themistokles (frigate F465, Greece)。 コルテノール級フリゲート。
HMS Cumberland (frigate F85, United Kingdom)。 22 型フリゲート。
FGS Karlsruhe (frigate F212, Germany)。ブレーメン級フリゲート。
FGS Rhon (auxiliary A1443, Germany)。 レーン級タンカー。
TCG Gokova (frigate G496, Turkey)。 G 級フリゲート。
USS The Sullivans (destroyer DDG 68, USA)。アーレイ・バーク級イージス駆逐艦。
関連: Operation Allied Provider (NATO)
ソマリア沖で海賊9人を捕そく、武器類も押収 フランス海軍 (CNN, 10/24)
》 [AML 21935] 10.26 麻生邸ツアー弾圧、共同通信が記事を配信! (AML, 11/4)。 逮捕映像、視聴14万回超 首相邸「無届けデモ」容疑 (47news.jp, 11/4) の件。
MS08-067 つづき。ついに来たようです。「準備できてる?」
TCP 445番ポートへのスキャン増加に関する注意喚起 (JPCERT/CC, 2008.11.04)
Worm Exploiting MS08-067 in the Wild (F-Secure blog, 2008.11.03)
Exploit-MS08-067、 W32/Wecorl、 KerBot (McAfee)
W32.Wecorl (Symantec)、 W32.Kernelbot.A (Symantec)
JVN#20502807 - Snoopy における OS コマンドインジェクションの脆弱性 (JVN, 2008.10.28)。Snoopy 1.2.4 で修正されている。
↓の MyNETS は Snoopy を使用しているため、Snoopy に関する更新も必要となる: MyNETSで利用している外部ライブラリSnoopyに脆弱性 (usagi-project.org) を参照。
JVN#53267766 - MyNETS におけるクロスサイトスクリプティングの脆弱性 (JVN, 2008.10.20)。修正版が配布されている。CVE-2008-4629
JVNVU#981849 - Automated Solutions Modbus Slave ActiveX Control における脆弱性 (JVN, 2008.11.04)。修正版があるそうです。 CVE-2007-4827
APSA08-10: Potential vulnerabilities in PageMaker 7 (Adobe, 2008.10.29)。 CVE-2007-6432 CVE-2007-5394 CVE-2007-6021 。 Adobe PageMaker Key Strings Stack Buffer Overflow Vulnerability (iDefense, 2008.10.30)。PageMaker 7.0.1 / 7.0.2 で確認。 patch 等はまだない。
関連: Secunia Research: Adobe PageMaker PMD File Processing Buffer Overflows
パナソニック:三洋買収へ 年内合意目指す (毎日, 11/1)
パナソニック:電池に狙い 成長分野補強へ 三洋買収方針 (毎日, 11/1)
パナソニック、三洋のエコ電池技術狙う 株安「買い時」 (asahi.com, 11/1)
世界的な金融危機も、買収劇の背中を押した。
パナソニックは三井住友銀行、米ゴールドマン・サックス(GS)グループ、大和証券SMBCグループの金融3社と交渉に入る。そのGSは公的資金を仰ぎ、三井住友フィナンシャルグループも09年3月期は前年同期比6割の減益を見込む。金融3社の関係者の一人は「値段より時期。業績が厳しく、売却に積極的に動いている」と語る。
危機の広がりで金融機関には、保有株売却によるキャッシュが必要になる状況だ。
一方のパナソニックにとっても今が「安い買い物ができる」(関係者)タイミング。買収交渉はこれからだが、5月下旬に300円弱だった三洋の株価は10月31日には145円にまで下落している。
「危機こそチャンス」を地で行く話なのか。しかし「買収交渉はこれから」ってアナタ……。
航空幕僚長:田母神氏更迭 過去にも問題発言、隊内に衝撃 (毎日, 11/1)
防衛省は内規で、隊員が職務に関する意見をメディアなどで発表する際、文書で上司に届けることを求めている。空幕長の場合、官房長に連絡する必要があった。だが関係者によると、田母神氏は論文を「職務には関係のない、個人的な研究内容の結果を投稿する」と説明し、正式な文書による連絡は不要と考え、背広組への連絡は口頭で済ませただけだったという。
制服組の一部は、政府見解と異なる論文の内容を危ぶみ、田母神氏に対して論文投稿を見合わせるよう水面下で説得を続けたが「個人的な持論」という主張に押し切られた。
航空幕僚長:政府見解逸脱論文、麻生政権にさらなる逆風 (毎日, 11/1)
航空幕僚長:田母神氏「淡々と従う」 識者らは批判 (毎日, 11/1)
航空幕僚長:複数の現職自衛官も応募 「更迭」の懸賞論文 (毎日, 11/1)
》 三沢基地「ゾウのオリ」解体へ デジタル化で役割終える (asahi.com, 11/1)
VideoLAN Security Advisory 0809: Buffer overflow in VLC TiVo demuxer
VLC media player 0.9.5 が登場しています。$?$@$7!"Windows 版のバイナリはまだ存在しないようです。
[videolan-announce] VLC media player 0.9.5 (videolan.org, 2008.10.25)
過去の記事: 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
