「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri May 11 19:11:01 2012
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
| |
|
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在45票)
中山信弘「ソフトウェアの法的保護」 (現在119票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
我ら降伏せず−サイパン玉砕戦の狂気と真実 (現在136票)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
を参照してください。(のいんさん情報ありがとうございます)
2 刷が出ました。オライリーで注文し、備考覧に「必ず2刷であること」と書くと 2 刷を確実に入手できるそうです。
》 キム・テヒさんのCM降板要求 ロート製薬を強要容疑 元市民団体関係者逮捕「日本の領土に関わる」 (産経 MSN, 5/10)、 ロート製薬脅した容疑、4人逮捕 キムさんCM起用巡り (朝日, 5/10)、 【ロート製薬強要容疑事件】桜井誠・在特会会長緊急生放送 (togetter, 5/10)。在特会、もはや暴力団扱いですか。
》 海から電気を作り出せ (NHK クローズアップ現代, 5/10)。イギリスで開発競争が激化しているのだそうで。 どんどん置いていかれる日本。
》 Ustreamのダウンはロシアの市民ジャーナリストを狙った大規模DDoS攻撃が原因 (techcrunch, 5/10)
》 Yahooよ、どうしてそんなにのろいのか? CEOの学歴詐称でようやく調査委員会設置 (techcrunch, 5/9)
》 アルゼンチン、医師や裁判所の同意がなくともジェンダーを変えられる法律を可決 (みやきち日記, 5/11)。すごいな。
》 「バットマンは完全にゲイ」作者グラント・モリソン語る (みやきち日記, 5/10)
》 オバマ大統領、同性婚支持を表明 (みやきち日記, 5/10)
》 Facebook、レズビアンTシャツの広告を排除 (みやきち日記, 5/10)
》 「個人情報」定義の弊害、とうとう地方公共団体にまで (高木浩光@自宅の日記, 5/8)
私にできることはここまでです。ここから先は私の役割ではないと考えています。必要だと思われる方々で行動して頂くほかありません。昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。「もしここで自分が書かなかったら」「そのままスルーになってしまうのではないか」そういう想いでこれまで走り続けてきました*4が、いったいいつまで続くのでしょう。私個人の行動ではなく、社会の仕掛けによってこれまでの各種問題が解決されていくようになっているべきです。欧州や米国に見られるような仕組みが早く日本にも確立されることを願ってやみません。
*4 今回も、記者会見の席で私の4項目の質問が読み上げられ、回答もされ、その場に新聞記者の方々が何人もいらしたはずなのに、この観点を取り上げて報道した新聞社は一社もなかった。
》 時論公論 「規制緩和と安全〜高速ツアーバス事故の教訓」 (NHK 解説委員室, 5/9)
》 ピックアップ@アジア 「中国税制の実態と改革の行方」 (NHK 解説委員室, 5/9)。 うぉぅ、超消費税国家。
》 時論公論 「プーチン大統領就任」 (NHK 解説委員室, 5/8)、 ピックアップ@アジア 「動き出すか、日ロエネルギー協力」 (NHK 解説委員室, 5/10)
ただそれよりも問題は、日本のエネルギーシステムそのものがまだこうした協力を実現する準備ができていないことなのです。
Q)どういうことなのですか。
A)実は日本国内のパイプライン網は誠に貧弱で新潟東京仙台などごく一部の区間でしかつながっていません。たとえば稚内まで持ってきてもそこから大消費地東京までどうやって運ぶのかという問題が残ります。そして日本全土を結ぶガスパイプラインができますと、地域の実情に合った発電が可能となります。ガス会社でも発電に参加できることになり、今のような電力会社による地域独占は必要なくなります。このためロシアからのパイプライン構想に頑強に反対してきたのは東京電力など電力会社なのです。
》 くらし☆解説 「太陽異変 地球が寒くなる?」 (NHK 解説委員室, 5/8)
》 北のGPS妨害で墜落か 韓国で無人偵察ヘリ、1人死亡 (中日, 5/11)。無人機のオペレーターが死亡したそうで。
》 「ノートン360」次期バージョンのパブリックベータ版を公開 Windows 8 に対応、新しいクラウドベースのテクノロジーによりユーザーの安全を確保 (シマンテック, 5/10)
》 医薬品のネット販売訴訟で厚労省が上告--蓮舫議員ら解禁派は緊急会見 (CNET, 5/9)、 日本薬剤師会が厚労省を支持--「医薬品のネット販売規制は不可欠」 (CNET, 5/11)。わかりやすい利権。
2ちゃんねる:違法情報5068件放置…全体の9割 (毎日, 5/10)
2ちゃんねる:薬物は削除基準外 「管理甘い」指摘も (毎日, 5/10)
2ちゃんねるへの違法情報の削除要請、放置件数が年5000件超に〜警察庁 (Internet Watch, 5/11)
警察当局から2ちゃんねるへの削除要請はメールで行われていた (slashdot.jp, 5/11)
》 ISPのWorld IPv6 Launch対応説明会第2回の開催につきまして (JAIPA, 4/27)。5/11 付で資料が公開された。
関連: JAIPA「World IPv6 Launch対応について(第2版)」公開 (Geek なぺーじ, 5/11)
》 “ネット探偵”にご用心−−SNSユーザーの住所特定はかくも簡単? (ITmedia, 5/11)。 関連: ストーキングアプリ「Creepy」 、その名の通り気味が悪い (slashdot.jp, 2011.04.04)
》 FBI: Updates Over Public ‘Net Access = Bad Idea (krebsonsecurity.com, 5/11)。 Secunia PSI は知ってたけど、 FileHippo.com Update Checker というのは知らなかった。
》 ピラニア満載のプールで泳ぐ (Geek なぺーじ, 5/9)
ピラニアというのは基本的に大人しくて臆病な性格なので、通常はピラニアが生息している河で泳いだりしても大丈夫です。しかし、いくつかの条件がそろうと集団で襲いかかります。ピラニアの集団に襲われた相手が攻撃によってさらに出血することでより多くのピラニアが呼び寄せてられます。
ネット上の多くのユーザもピラニアのような傾向がある気がしています。普段は、おとなしくしているのですが、何かのキッカケがあると一気に集団で襲いかかります。中国では、オンラインとオフランを駆使しつつ、話題になった人物の素性を集合知的に探る行為を「人肉検索」と言いますが、ピラニアが人肉に喰い付いているようなアナロジーがピッタリ来るような気もします。
関連: ピラニアの飼育方法
ピラニアは非常に共食いすることが多い魚です。(中略) 餌を小まめに与えないと空腹になると共食いします。
なるほど。
》 アラビア半島のアルカイダ(スパイ小説を地で行く話) (中東の窓, 5/9)。アフガンの男かなあ。読んでないからわかんないけど。
》 北アの遭難、生かされなかった防寒着 猛吹雪で判断力低下か (日経, 5/9)
遭対協によると、7日現場から回収されたリュックは4個で、容量はいずれも60リットル程度。全てに薄いダウンジャケットが入っていた。現場には「ツェルト」と呼ばれる簡易テントが残っていた。回収した山岳関係者は「全然軽装じゃない」と言い切った。
なぜ、持っているのに着なかったのか。専門家は「着込むタイミングの難しさ」を指摘する。「行動中は体温が上がり汗をかくため、悪天候時でもあまり着込まないこともある」と話すのは、登山用品店「カモシカスポーツ」(東京都)の佐藤日出雄統括部長(60)。
(中略)
山の事故に詳しい関西大の青山千彰教授(危機情報論)は「医師もおり、低体温症の知識はあったはず。防寒具を使わなかったのは重症化が急激に進んで判断力が低下したからでは」と推測する。
低体温症に詳しい苫小牧東病院副院長の船木上総医師(56)によると、中高年者は血管が収縮する機能が低下し、低温に対する抵抗力が落ちている。同医師は「面倒がらず、天候に合わせて頻繁に服装を変えることが重要」と強調。体温を維持するため簡単に食べられる食料や防寒着を取り出しやすいところに入れるようアドバイスしている。〔共同〕
》 標的型攻撃を“OSの下”から防御する「McAfee Deep Defender」 の優位性とは (ComputerWorld.jp, 5/11)。と言われても、日本ではまだ販売されてないわけで。 この記事では「未定」とあるけど、この記事では「2012年夏」になってますね。
》 南海トラフ新想定:11市町村役場で浸水も 高知県が予測 (毎日, 5/10)。関連:
【高知県版第1弾】南海トラフの巨大地震による津波浸水予測について (高知県, 5/10)。50m メッシュ。
新着動画のご紹介 (高知県)。「【高知県版第1弾】南海トラフの巨大地震による津波浸水予測についての知事記者会見」(5/10)
南海地震に備えちょき! (高知県, 2011.11 改訂)
》 大阪市中心部、津波で浸水想定 高さ2倍、府が被害予測 (朝日, 2011.07.06)。 元ねた: 東日本大震災を踏まえた大阪府の津波避難対策の基本的な考え方 (大阪府, 2012.07.06)
》 米FCC、グーグルに罰金 - 「ストリートビュー」関連の調査に「非協力的な態度」 (WirelessWire, 4/16)
MS12-035 修正プログラムのうち KB2604044 は Windows Update や WSUS では配布されていないそうだ。
KB2604044 (MS12-035) は WSUS から配布が出来ないセキュリティ更新です (Japan WSUS Support Team Blog, 5/10)
MS12-035 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2693777) (Microsoft)
なぜセキュリティ更新プログラム パッケージ KB2604044 は Windows Update で利用可能ではないのですか?
セキュリティ更新プログラム KB2604044 は以前は MS11-100 で KB2656353 として提供されました。KB2656353 を正常にインストールされたお客様は今回は対策を講じる必要はありません。KB2656353 をインストールしていないお客様は手動で KB2604044 をインストールしてください。
WindowsやOfficeなどに危険な脆弱性、Outlook 2007ユーザーは特に注意 メールをプレビューするだけで被害の恐れ、パッチの適用が不可欠 (日経 IT Pro, 2012.05.10)
特に注意が必要なのは、Outlook 2007のユーザー。Outlook 2007の初期設定では、メールを表示するソフト(リーダー)としてWordが使われるからだ。
悪質なRTFファイルがメールとして送られてきた場合、Outlook 2007はWordを使ってそのメールを開こうとする。このため、脆弱性のあるWordをインストールしているパソコンでは、メールをプレビューするだけで被害に遭う。
Outlook 2007のユーザーでなくても、メールのリーダーにWordを設定している場合には、同様の危険性がある。
OpenSSL に欠陥。TLS 1.1 / 1.2 および DTLS における CBC モード暗号群の処理に欠陥があり、クライアントおよびサーバに対して DoS 攻撃を実施できる。CVE-2012-2333。 TLS 1.1 / 1.2 については OpenSSL 1.0.1 にのみ影響。
OpenSSL 1.0.1c / 1.0.0j / 0.9.8x で修正されている。iida さん情報ありがとうございます。
Opera 11.64 登場。1 件のセキュリティ欠陥を修正。 Advisory: Certain URL constructs can allow arbitrary code execution Severity (Opera)
Safari 5.1.7 登場。WebKit のセキュリティ欠陥 4 件を修正。 いずれも Windows / Mac 共通。 CVE-2011-3046 CVE-2011-3056 CVE-2012-0672 CVE-2012-0676
おまけ機能があるそうで:
Note: In addition, this update disables Adobe Flash Player if it is older than 10.1.102.64 by moving its files to a new directory. This update presents the option to install an updated version of Flash Player from the Adobe website.
10.1.102.64 よりも古い Flash Player は無効化ですか。
》 オン ・ デマンドのウイルス対策スキャン Windows Vista では、Windows 7、Windows Server 2008 または Windows Server 2008 R2 が期待どおりに動作しません。 (Microsoft KB 2698155)
注この問題は、ウイルス対策ソフトウェアがロックされている、メモリ マップト ファイルを使用してデータを読み取るときに通常発生します。
Hotfix 公開されてます。Ntfs.sys を修正。
》 Google Playに不正アプリを17種確認。ダウンロード総数は70万回以上 (トレンドマイクロ セキュリティ blog, 5/10)
》 Researchers spot fake mobile antivirus scanners on Google Play (ZDNet Zero Day, 5/9)。Android にもにせアンチウイルスな時代。
》 インドネシア上空で消息絶ったロシア旅客機の残骸見つかる (CNN, 5/10)。三菱 MRJ のライバル機の 1 つ、スホーイ Superjet 100 が墜落。
》 F22戦闘機で原因不明の低酸素症続出、パイロットや整備士も (CNN, 5/10)。 事象継続中なのか……。
空軍の軍医は9日、利用を再開して間もなく、地上でF22の整備を担当している整備士5人に低酸素症の症状が出たことを明らかにした。整備士はコックピットに乗り込んでエンジンをかけ、地上を走行させることがあるという。
なんと、パイロットだけじゃないと。
6日にはF22のパイロット2人が米CBSテレビの番組に出演し、もうF22には乗らないと宣言した。空軍は8日、この2人を懲戒処分の対象とはしない方針を明らかにしている。
うへぇ。
》 声の大きい衰退業界について (やまもといちろう Blog, 5/10)
》 【必見】アメリカ専門家が「TPPはNAFTAより後退している」とわかりやすく解説・批判(動画) (ざまあみやがれい!, 2011.11.17)。TPP for 1%。
》 早期警戒情報フィールドレポート 三菱東京UFJ銀行 (JPCERT/CC, 5/10)
》 昨日の「パスワード流出」というニュースについて (Twitter Blog, 5/10)。twitter からは一切洩れていない、当該アカウントについてはパスワードリセットリクエストを出した。
》 経済キャスター・鈴木ともみが惚れた、"珠玉"の一冊 (18) "サムライ"とは何か? 山口義正氏著『サムライと愚か者 暗闘オリンパス事件』 (マイコミジャーナル, 5/10)。山口氏は、FACTA の記事を書いた人。
》 山谷剛史のマンスリー・チャイナネット事件簿 楽天中国版「楽酷天」、ヤフー&淘宝網に続き中国から撤退 ほか 〜2012年4月 (Internet Watch, 5/9)
》 The day after patch Tuesday; sometimes called Wednesday (SANS ISC, 5/9)。思い出したもの: ビッグ・ウェンズデー。新・14日の土曜日。
Mac OS X 10.7.4 および、10.6.8 用セキュティ更新 2012-002 公開。36 件の欠陥がセキュリティ修正されている。 CVE-2011-0241 CVE-2011-1004 CVE-2011-1005 CVE-2011-1167 CVE-2011-1777 CVE-2011-1778 CVE-2011-1944 CVE-2011-2692 CVE-2011-2821 CVE-2011-2834 CVE-2011-2895 CVE-2011-3212 CVE-2011-3328 CVE-2011-3389 CVE-2011-3919 CVE-2011-4566 CVE-2011-4815 CVE-2011-4885 CVE-2012-0036 CVE-2012-0642 CVE-2012-0649 CVE-2012-0651 CVE-2012-0652 CVE-2012-0654 CVE-2012-0655 CVE-2012-0656 CVE-2012-0657 CVE-2012-0658 CVE-2012-0659 CVE-2012-0660 CVE-2012-0661 CVE-2012-0662 CVE-2012-0675 CVE-2012-0830 CVE-2012-0870 CVE-2012-1182
Apple update to OS X Lion exposes encryption passwords (Sophos, 2012.05.06) の件 (FileVault の件) も修正されている。
関連:
CVE-2012-1823 CVE-2012-2311 PHPのCGIモードにおける脆弱性について (IIJ SECT, 2012.05.10)
PHPのリリースとしては、2006年11月頃リリースされたバージョン5.2.0にて変更が取り入れられています。その一つ前は2006年8月頃リリースされたバージョン5.1.6ですが、こちらにはその変更は含まれていません。脆弱性の影響についてもこの変更に同期しており、バージョン5.1.6においては影響を受けず、バージョン5.2.0において影響を受ける事を確認しています。
この適用より更に前の2004年にリリースされているバージョン5.0.0の時点で、オプションの処理は既に複数に分かれており、CGI等の外部入力を考慮した実装になっていました。その部分の実装については、今回の脆弱性の影響を受けないバージョンと殆ど変わっていません。今回の問題はその設計の意図を読み取れずに、変更を適用してしまったため発生したのではないかと推測されます。
PHPの脆弱性(CVE-2012-1823)を悪用する攻撃の検知状況 (IBM ISS, 2012.05.10)
Apple update to OS X Lion exposes encryption passwords (Sophos, 2012.05.06) の件、 About the security content of OS X Lion v10.7.4 and Security Update 2012-002 (Apple, 2012.05.09) で修正されました。
「レジストリをいじってキーボードレイアウトを変更していると KB2686509 (MS12-034) の適用に失敗する」という事例があるようです。
Windows Vista/XP/2000/NT4.0のキー配列の変更方法 (藤枝 和宏)。Scancode Map を使う方法。
KB2686509の適用失敗についてのメ%b!#B?J,f+$O2つ (新・日々録 by TRASH BOX@Eel, 2012.05.09)。 Scancode Map を使う方法は「想定外」らしい、という話。
WindowsUpdate KB2686509 が失敗する場合 のこと (ウィンドウズをカスタマイズしたりゲームコントローラーを改造したまとめ, 2012.05.09)
荒っぽいが簡単な方法
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout\Scancode Map をファイルに書き出し、一旦削除
再起動後にWindowsUpdateしてKB2686509適用
Update成功後に書き出しておいたレジストリを書き戻す
Windows XP で MS12-034 (KB2686509) が適用できない (山賀正人のブログ, 2012.05.10)
Android/NotCompatible Looks Like Piece of PC Botnet (McAfee Labs Blog, 5/8)
Also, based on the network traffic similarities (commands, ports, strings), it is very possible that both the Android and PC malware belong to the same botnet.
Android を狙うトロイの木馬と連動した Web サイトインジェクション攻撃 (シマンテック, 5/7)
》 Foreign Travel Malware Threat Alert: Watch out for hotel Internet connections (ESET, 5/8)。旅先アップデートにはご注意を。
》 pastebinに貼られた「twitterユーザのパスワード」を軽く分析した (ockeghemのtumblr, 5/9)、 55.000 hacked Twitter accounts leaked… or? (ESET, 5/8)
》 Cyber attacks on US gas pipeline operators (H Security, 5/8)
》 “CIA協力者の情報でテロ阻止” (NHK, 5/9)。「アラビア半島のアルカイダ」の件。
》 これは検閲か?Facebookが「無関係あるいは不適切な」コメントの掲載を拒否した (techcrunch, 5/7)
》 tail -f が機能しない時にチェックすること (熊猫さくらのブログ, 5/2)
inotify を使わせないようにするには、 ---disable-inotify という隠しオプションを使います。 - が3つ連続していることに注意してください。
》 ソースコードセキュリティ検査ツール「iCodeChecker」の公開 〜開発工程にソースコード検査技術を用いて、より安全なソフトウェア開発を〜 (IPA, 5/8)。
開発時に作り込みやすく、危険度の高い脆弱性8種類(別紙表1)について、本ツールで機械的に検出することができます。
この 8 種類だそうです。
あと、iCodeChecker のページに重要な情報が:
開発実施者
・株式会社 フォティーンフォティ技術研究所
・報告書概要
【3632】グリー(株) (Yahoo! JAPAN ファイナンス)。今日は 159 円安。
【2432】(株)ディー・エヌ・エー (Yahoo! JAPAN ファイナンス)。今日は 26 円安。
当社提供のソーシャルゲームにおけるコンプリートガチャの全面停止について (サイバーエージェント, 5/9)
当社グループが提供するすべてのソーシャルゲームにおいて、2012年5月31日までにコンプリートガチャ(以降コンプガチャ)を停止することを決定いたしました。
コンプガチャ全停止に関するお知らせ (KLab, 5/9)
弊社が提供するソーシャルゲームに於ける全てのコンプガチャが平成24年5月31日をもって終了し、以降新たなコンプガチャを行わないことを決定いたし$^$7$?$N$G$*CN$i$;$$$?$7$^$9!#
消費者庁:コンプガチャ「一定の規制、必要」…福嶋長官 (毎日, 5/9)。 5/9 の定例会見にて発言。
DeNA:コンプガチャを順次廃止へ 守安社長が会見で (毎日, 5/9)
コンプリートガチャの取り扱いに関するお知らせ (GREE, 5/9)
自社で開発、運営しているソーシャルゲームなどのサービスにおける全てのコンプリートガチャ(以下「コンプガチャ」)に関し、明日より新規リリースを中止します。また、現在運用しているものについても、2012年5月31日までに終了し、以降は新たなコンプガチャを提供しないことを決定しました。
》 ネット実名派が本当に求めているのは相手の脆弱性 (togetter, 5/9)
》 Java Drive-by Generator (F-Secure blog, 5/8)
》 Pastebin Shares Botnet Source Code (McAfee, 5/7)
》 自ら「八ッ場ダムは不要」裏付け−−墓穴を掘る前田国交大臣 (週刊金曜日 / Yahoo, 5/9)
“国内最大級” 竜巻の脅威 (NHK クローズアップ現代, 5/8)
【茨城】 雨戸でガラス破損防ぐ (東京新聞, 5/9)
防災コラム > 竜巻から身を守る (Yahoo! JAPAN)。「雨戸・シャッターをしめる」は有効なようですね。
家族みんなの Honda 防災ノート: 竜巻 (Honda)
5/9 つくば竜巻支援 ボランティア参加情報 (OPEN JAPAN ブログ, 5/9)。まだまだ人手が足りないようです。
雨戸の必要性を突き付けた竜巻被害 (日経 KEN-Plats)
》 Symantec False-Positive Issue with XLS Files - Bloodhound.Exploit.459 (SANS ISC, 5/8)。誤検出。
》 ソフトバンクがPayPalと戦略的提携、「日本の決済を変える」新会社を設立へ (gigazine, 5/9)。来ましたね。おサイフケータイがなくなるとは思わないけど。
》 「ITセキュリティ評価及び認証制度に関する説明会 〜政府調達における海外動向と日本への影響について〜」開催のご案内 (IPA, 5/9)。2012.06.09、東京都文京区、無料。
》 「標的型攻撃」、「スマートフォン」をテーマにした情報セキュリティ啓発用の映像コンテンツを公開 〜研修や自己学習に活用し、組織・個人の情報セキュリティ意識の向上を〜 (IPA, 5/9)。講議に使えるかなあ。
なお本映像コンテンツは、2012年5月9日(水)〜2012年5月11日(金)の期間、東京ビッグサイトで開催される「第9回情報セキュリティEXPO(春)」のIPAブース内でも上映する予定です。
最近悲惨な事故のニュースが続いていますが、これは自転車が加害者となる事例に備えての話。
2011年6月に学生が滋賀県内で自転車を運転中に死亡事故を起こしたのがきっかけ (中略) 事故は、同県草津市内の県道交差点で、学生が自転車を運転中に信号無視をし、横断歩道を渡っていた主婦をはねて死亡させたもので、学生は執行猶予付きの有罪判決を言い渡されている。
読売 2011.10.27 記事では『時速25キロで車道を走行』『午後10時45分頃、草津市野路町の県道交差点で、ロードレース用自転車を運転中に赤信号の交差点に進入』『車がめったに通らないので、普段から信号を気にせず走っていた』とありますね。
立命館大は全学生の半数にあたる約1万6000人が自転車通学だ。理工学部など7学部がある「びわこ・くさつキャンパス」(滋賀県草津市)で11年9月から保険加入を義務化し、法学部など6学部の「衣笠キャンパス」(京都市北区)でも4月から実施し、今年の新入生は100%加入したという。
大学は賠償額が1億円以上(年間保険料1000円前後)の保険を推奨している。保険の契約書を学校側に提示しないと登録シールがもらえず、シールのない自転車は駐輪場で警備員が確認し、乗り入れないよう指導する仕組みだ。
【新入生用】 2012 年度 自転車通学マニュアル (立命館大学 衣笠キャンパス事務課) によると、1 億円が「要件」のようで。通学自転車 保険義務に (朝日, 2012.04.30) によると、
学生はまず、交通ルールを学ぶ安全講習会(約1時間)を受ける。そこで自転車事故での賠償を補償する保険に加入させ、防犯登録や照明、鍵が故障していないかを確認できたら、大学が登録シールを発行する。保険料は補償限度額1億円で4年間1360円程度だ。5月までに学生全員の登録を完了させる方針。
読売の「年間保険料1000円前後」と、朝日の「4年間1360円程度」では、ずいぶん違うような気もするが、まぁその程度だと。
立命館大の取り組みを知った大学や高校、中学などからは、学生・生徒の加入手続きなどについて問い合わせが殺到しているという。
なるほどなあ。
関連: 自転車の安全 (日本交通管理技術協会)。ビデオ「まさかの未来〜まさか、自転車事故でこんなことになるとは〜」 もリンクされている。
4 発同時に来ました。内 3 発は CS6 買えという殿様商売な内容。
Windows / Mac 用 Illustrator CS5.5 以前に、任意のコードの実行を招く 5 つの欠陥。 CVE-2012-0780 CVE-2012-2023 CVE-2012-2024 CVE-2012-2025 CVE-2012-2026。Priority Rating: 3
Illustrator CS6 では修正されている。Adobe は CS5.5 以前用の patch を出すつもりはない模様。
For users who cannot upgrade to Adobe Illustrator CS6, Adobe recommends users follow security best practices and exercise caution when opening files from unknown or untrusted sources.
と述べてオワリ。
Windows / Mac 用 Photoshop CS5.5 以前に、任意のコードの実行を招く 2 つの欠陥。 CVE-2012-2027 CVE-2012-2028。Priority Rating: 3
Photoshop CS6 では修正されている。Illustrator と同様、Adobe は CS5.5 以前用の patch を出すつもりはない模様。
Windows / Mac 用 Flash Professional CS5.5 (11.5.1.349) 以前に、任意のコードの実行を招く欠陥。 CVE-2012-0778。Priority Rating: 3
Flash Professional CS6 では修正されている。Illustrator / Photoshop と同様、Adobe は CS5.5 以前用の patch を出すつもりはない模様。
APSB12-13: Security update available for Adobe Shockwave Player
Windows / Mac 用 Shockwave Player 11.6.4.634 以前に、任意のコードの実行を招く 5 つの欠陥。CVE-2012-2029 CVE-2012-2030 CVE-2012-2031 CVE-2012-2032 CVE-2012-2033。Priority Rating: 2
Shockwave Player 11.6.5.635 で修正されている。ダウンロード。
日本語抄訳出てました。
APSB12-10: Illustrator に関するセキュリティ情報 (Adobe, 2012.05.08)
APSB12-11: Photoshop に関するセキュリティ情報 (Adobe, 2012.05.08)
APSB12-12: Flash Professional に関するセキュリティ情報 (Adobe, 2012.05.08)
APSB12-13: Adobe Shockwave Player に関するセキュリティアップデート公開 (Adobe, 2012.05.08)
予定どおり出ました。
MS12-029 - 緊急: Microsoft Word の脆弱性により、リモートでコードが実行される (2680352)
Word 2003 / 2007、Office 2008 for Mac、Office for Mac 2011、Office 互換機能パック に欠陥。RTF ファイルの処理に欠陥があり、メモリ破損が発生、攻略 RTF ファイルによって任意のコードを実行できる。 CVE-2012-0183。 Exploitability Index: 1
Word 2010 や Word Viewer にはこの欠陥はない。
MS12-030 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (2663830)
Excel 2003 / 2007 / 2010、Office 2008 for Mac、Office for Mac 2011、Excel Viewer、Office 互換機能パックに 6 つの欠陥。
Excel ファイル形式のメモリ破損の脆弱性 - CVE-2012-0141
Office 2008 for Mac にはこの欠陥はない。 Exploitability Index: 3
OBJECTLINK レコードの Excel ファイル形式のメモリ破損の脆弱性 - CVE-2012-0142
Office for Mac 2011 にはこの欠陥はない。 Exploitability Index: 3
さまざまな変更されたバイトを使用するときの Excel メモリ破損の脆弱性 - CVE-2012-0143
Excel 2007 / 2010、Office for Mac 2011、Excel Viewer、Office 互換機能パックにはこの欠陥はない。 Exploitability Index: 1
Excel SXLI レコードのメモリ破損の脆弱性 - CVE-2012-01840
Exploitability Index: 1
Excel MergeCells レコードのヒープ オーバーフローの脆弱性 - CVE-2012-0185
Excel 2003、Office 2008 for Mac、Office for Mac 2011 にはこの欠陥はない。 Exploitability Index: 2
Excel Series レコードの種類の解析の不一致により、リモートでコードが実行される脆弱性 - CVE-2012-1847
Exploitability Index: 1
MS12-031 - 重要: Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2597981)
Visio Viewer 2010 に欠陥。Visio ファイルの処理に欠陥があり、攻略 Visio ファイルによって任意のコードを実行できる。CVE-2012-0018。Exploitability Index: 1
Windows Vista / Server 2008 / 7 / Server 2008 R2 に 2 つの欠陥。
Windows ファイアウォールのバイパスの脆弱性 - CVE-2012-0174
ブロードキャストパケットの処理に欠陥があり、送信ファイアウォールによる規則を回避できてしまう。Exploitability Index: N/A
関連: Windows Firewall Bypass Vulnerability and NetBIOS NS (SANS ISC, 2012.05.08)
TCP/IP のダブル フリーの脆弱性 - CVE-2012-0179
TCP/IP スタックにおける IPv6 アドレスのローカルインターフェイスへのバインド処理に欠陥があり、local user による権限上昇が可能。 Windows Vista / Server 2008 にはこの欠陥はない。 Exploitability Index: 1
MS12-033 - 重要: Windows Partition Manager の脆弱性により、特権が昇格される (2690533)
Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 Windows Partition Manager (partmgr.sys) に欠陥があり、local user による権限上昇が可能。Exploitability Index: 1
MS12-034 - 緊急: Microsoft Office、Windows、.NET Framework、Silverlight 用のセキュリティ更新プログラムの組み合わせ (2681578)
Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2、 .NET Framework 3.0 / 3.5.1 / 4、Office 2003 / 2007 / 2010、Silverlight 4 / 5 に 10 種類の欠陥。
TrueType フォントの解析の脆弱性 - CVE-2011-3402
Exploitability Index: 1
TrueType フォントの解析の脆弱性 - CVE-2012-0159
Exploitability Index: 1
.NET Framework のバッファー割り当ての脆弱性 - CVE-2012-0162
Exploitability Index: 1
.NET Framework のインデックス比較の脆弱性 - CVE-2012-0164
Exploitability Index: N/A
GDI+ レコードの種類の脆弱性 - CVE-2012-0165
Exploitability Index: 1
GDI+ ヒープ オーバーフローの脆弱性 - CVE-2012-0167
Exploitability Index: 1
Silverlight ダブルフリーの脆弱性 - CVE-2012-0176
Exploitability Index: 1
Windows およびメッセージの脆弱性 - CVE-2012-0180
Exploitability Index: 1
キーボード レイアウト ファイルの脆弱性 - CVE-2012-0181
Exploitability Index: 1
スクロール バーの計算方法の脆弱性 - CVE-2012-1848
Exploitability Index: 1
関連: MS12-034: Duqu, ten CVE's, and removing keyboard layout file attack surface (Microsoft Security Research & Defense, 2012.05.08)
MS12-035 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2693777)
.NET Framework 1.0 / 1.1 / 2.0 / 3.0 / 3.5 / 3.5.1 / 4 に 2 つの欠陥。
.NET Framework のシリアル化の脆弱性 - CVE-2012-0160
.NET Framework 内のシリアル化処理に欠陥があり、remote から任意のコードを実行できる。Exploitability Index: 1
.NET Framework のシリアル化の脆弱性 - CVE-2012-0161
.NET Framework 内のシリアル化処理における例外の処理に欠陥があり、remote から任意のコードを実行できる。Exploitability Index: 1
関連:
2012 年 5 月のセキュリティ情報 (月例) (日本のセキュリティチーム, 2012.05.09)
2012 年 5 月のマイクロソフトワンポイントセキュリティ〜ビデオで簡単に解説〜 (日本のセキュリティチーム, 2012.05.09)
Microsoft May 2012 Black Tuesday Update - Overview (SANS ISC, 2012.05.08)。PATCH NOW はない。
「レジストリをいじってキーボードレイアウトを変更していると KB2686509 (MS12-034) の適用に失敗する」という事例があるようです。
Windows Vista/XP/2000/NT4.0のキー配列の変更方法 (藤枝 和宏)。Scancode Map を使う方法。
KB2686509の適用失敗についてのメモ。多分罠は2つ (新・日々録 by TRASH BOX@Eel, 2012.05.09)。 Scancode Map を使う方法は「想定外」らしい、という話。
WindowsUpdate KB2686509 が失敗する場合 のこと (ウィンドウズをカスタマイズしたりゲームコントローラーを改造したまとめ, 2012.05.09)
荒っぽいが簡単な方法
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout\Scancode Map をファイルに書き出し、一旦削除
再起動後にWindowsUpdateしてKB2686509適用
Update成功後に書き出しておいたレジストリを書き戻す
Windows XP で MS12-034 (KB2686509) が適用できない (山賀正人のブログ, 2012.05.10)
MS12-035 修正プログラムのうち KB2604044 は Windows Update や WSUS では配布されていないそうだ。
KB2604044 (MS12-035) は WSUS から配布が出来ないセキュリティ更新です (Japan WSUS Support Team Blog, 5/10)
MS12-035 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2693777) (Microsoft)
なぜセキュリティ更新プログラム パッケージ KB2604044 は Windows Update で利用可能ではないのですか?
セキュリティ更新プログラム KB2604044 は以前は MS11-100 で KB2656353 として提供されました。KB2656353 を正常にインストールされたお客様は今回は対策を講じる必要はありません。KB2656353 をインストールしていないお客様は手動で KB2604044 をインストールしてください。
WindowsやOfficeなどに危険な脆弱性、Outlook 2007ユーザーは特に注意 メールをプレビューするだけで被害の恐れ、パッチの適用が不可欠 (日経 IT Pro, 2012.05.10)
特に注意が必要なのは、Outlook 2007のユーザー。Outlook 2007の初期設定では、メールを表示するソフト(リーダー)としてWordが使われるからだ。
悪質なRTFファイルがメールとして送られてきた場合、Outlook 2007はWordを使ってそのメールを開こうとする。このため、脆弱性のあるWordをインストールしているパソコンでは、メールをプレビューするだけで被害に遭う。
Outlook 2007のユーザーでなくても、メールのリーダーにWordを設定している場合には、同様の危険性がある。
PHP 5.4.3 / 5.3.13 が公開されました (PHP.net, 2012.05.08)。CVE-2012-2311 と CVE-2012-2329 が修正されています。 関連:
Node.js に欠陥、攻略リクエストによって remote に機微情報が漏洩する。 0.6.17 / 0.7.8 で修正されている。
》 ネット銀行をかたるフィッシングに注意〜ログインPWや乱数表の入力促す (so-net セキュリティ通信, 5/8)
》 時論公論 「日米同盟の深化と懸念」 (NHK 解説委員室, 5/1)
》 時論公論 「東電・新事業計画まとまる」 (NHK 解説委員室, 4/30)
》 時論公論 「長崎ストーカー殺人 強まる警察不信」 (NHK 解説委員室, 4/24)
》 憲法記念日に改めて理解してほしい議論 − 憲法9条について (Nothing Ventured, Nothing Gained., 5/3)
》 アフリカの終わりを感じたボツワナとナミビア、誰もいない地平線を追いかけて (gigazine, 4/21)。この空の青さ。
》 Oracle対Google裁判、陪審がAndroidにおける一部著作権侵害を認める (日経 IT Pro, 5/8)、陪審の裁決下る: GoogleはOracleの著作権を侵害している(かもしれない) (techcrunch, 5/8)。Java 方面。
》 [解決への道]プライバシーコミッショナー制度を確立せよ (日経 IT Pro, 5/8)
》 クラウド・プロバイダーはもっと踏み込んだセキュリティ対策を−−アナリストら指摘 (ComputerWorld.jp, 5/2)
英国Pricewaterhouse CoopersとInfosecurity Europeが共同で実施し、英国ビジネス・イノベーション・職業技能省が支援したセキュリティ調査報告書「The 2012 Information Security Breaches Survey」(ISBS)によると、よりありふれた問題としては、企業がサードパーティーに対してほとんど、あるいはまったく入念な調査をすることなく、自社データを預けていることにあるという。
》 「ムーアの法則は10年以内に臨界点に達する」:理論物理学者が予測 (ComputerWorld.jp, 5/2)。何度でも甦るさ……。
ソーシャルゲームの「コンプガチャ」の仕組みとは (CNET, 5/7)
「事業者名を出して規制の話をしている段階でない」コンプガチャ問題で消費者庁 (CNET, 5/7)
「コンプガチャが景表法違反の方向で検討」は事実--消費者庁がコメント (CNET, 5/7)
コンプガチャ問題だけが悪材料ではないが--SNS関連銘柄が大幅下落 (CNET, 5/7)
グリーQ3決算、売上高461億8900万円で過去最高に (CNET, 5/8)、 グリー決算発表「指摘があった場合には適切に対応していきたい」 (techcrunch, 5/8)
【3632】グリー(株) (Yahoo! JAPAN ファイナンス)。今日は 1 円安。
【2432】(株)ディー・エヌ・エー (Yahoo! JAPAN ファイナンス)。今日は 29 円安。
冗談のような「ソーシャルゲーム被害者の会」が立ち上がり、返還訴訟を起こすらしい (やまもといちろう Blog, 5/6)
さらなる補遺 (やまもといちろう Blog, 5/6)
消費者庁、コンプガチャ規制騒ぎが大きくなって「まだ検討段階じゃけん」 (やまもといちろう Blog, 5/7)
いまだ戦え山岸広太郎 (やまもといちろう Blog, 5/7)
》 原発利権追及した記者に6,700万円の損害賠償請求 (田中龍作ジャーナル, 5/7)。あからさまな SLAPP。 これか: 「最後の大物フィクサー」白川司郎氏 東電原発利権に食い込む (六ヶ所村の現在) (CiNii)、 週刊金曜日のバックナンバー 2011/12/16発売号 (876号) (fujisan.co.jp)、 「東京電力原発利権に食い込む『最後の大物フィクサー』白川司郎」。渋谷区に西松建設が建設した白川氏の豪邸が。週刊金曜日12月16日号 pic.twitter.com/mMA9ehrY (ジャーナリスト 田中稔 @minorucchu, 2011.12.20)
》 ビン・ラディンは書類を暗号化しなかった (slashdot.jp, 5/8)、オンライン世界のテロリストグループ (エフセキュアブログ, 5/4)
》 Flash 11.3 to bring protected mode for Firefox (H Security, 5/7)。Google Chrome 上の Flash や Adobe Reader X、Office 2010 Protected View と同等の機能。
》 時論公論 「東日本大震災と憲法」 (NHK 解説委員室, 5/3)
》 イエメン情勢(対テロ戦争) (中東の窓, 5/8)
先ず6日夕、2001年のアデンにおける米駆逐艦コール爆破事件で、米国から追及されていた「アラビア半島のアルカイダ」指導者のfahad al kasaa が2名の護衛とともに、米国の無人機によりシャブワ県で爆撃され、死亡しました。
その直後に今度はアルカイダが占拠していたzinjibar 市の近くの軍の基地がアルカイダ部隊に攻撃され、多数が死傷し、多数が捕虜になったとのことです。
》 保護者のためのあたらしいインターネットの教科書−おとなの知らないネットの世界 (MiAU, 5/8)
》 Google+からYouTubeでリアルタイム・ビデオ・ストリーミングができるようになった (techcrunch, 5/8)
しかしライブストリーミングについてはYouTube Liveのアップデートを待つ必要はない−Google+アカウントを取ればすぐに利用が可能なようだ。これはGoogle+のプロモーションとしてはなかなか巧妙な仕掛けだ。
》 ロケーション×ポイントサービスのスマポが1.5億円を調達 (techcrunch, 5/8)
このスマポが興味深いのは、チェックインする際の店舗の位置情報を特定する方法だろう。店舗の位置情報を特定するにはたとえばfoursquareのようにGPSを利用するものが多いのだが、これだと精度が非常に悪くなってしまうし、同じ建物内の店舗を識別することは難しくなってしまう。そこでスマポでは各店舗に人間の耳には聞こえない超音波を発信する独自のデバイスを設置してもらって、スマポのアプリがその超音波をマイクで拾うことでどの店舗にいるのかを認識するのだそうだ。しかもこの超音波の方法だと出力を変えることで、デパートなどの特定の売り場という小さな範囲から、デパートの全フロアをカバーするといったこともできる。Shopkickでも同様の方法を使っているのだという。
現在、スマポのサービスに参加している店舗はビックカメラ、マルイ、ユナイテッドアローズ、H.I.Sなどで、ポイントは各ショップで共通して使用でき、主要都市の約80店舗が対応している。
》 また新たなSQLインジェクション攻撃 (エフセキュアブログ, 5/4)、Lizamoon Mass SQL-Injection: Tried and Tested Formula (Symantec, 5/8)、 Lizamoon による大規模 SQL インジェクション: 変わらないその手口 (シマンテック, 5/9)、 インジェクション - r.php 2 (cNotes, 5/8)
》 米中 サイバー攻撃対策でも協力方針 (NHK, 5/8)
》 日・EU サイバー攻撃対処で枠組み (NHK, 5/3)。詳細: 川端総務大臣の英国政府及び欧州委員会との閣僚級会談の結果 (総務省, 5/4) の、川端総務大臣と欧州委員会ネリー・クルース副委員長との間の共同声明
そういえば先日、エストニアの防衛次官も来日していたなあ。
》 中国から「人肉カプセル」1.7万錠 韓国当局が摘発 (朝日, 5/8)。うへえ……。
》 「セーフティネットがあると県民がサボる」と連合・自治労役員 (JANJAN blog, 5/7)
》 ここに注目! 「原発ゼロで再稼働は?」 (NHK 解説委員室, 5/7)。水野倫之解説委員。大飯原発は「見通しは全くたたない」、 他の原発は「さらにめどが立たない」と一刀両断。
結局のところ、これまでさんざん手を抜いてきたのが原因なんだよね。免震重要棟は 2007 年の新潟県中越沖地震の教訓でできた建物なんだから。2008 年には建設を開始していなければいけない建物なわけで。必要性を認識できたのが東電だけだったというのがなあ。 フィルタ付ベント設備や静的触媒式水素再結合装置は、1979 年の TMI 事故や 1986 年のチェルノブイリ事故後に各国でシビアアクシデント対策として導入済なわけだし。
免震重要棟の建設について (東電, 2008.05.15)
原発周辺建物に採用促す 免震構造協会 (東日本激災復興新聞, 2011.05.25)
驚愕! 中越沖地震時、柏崎刈羽の緊急対策本部は、駐車場に設置!そこでホワイトボード4枚で指揮! (ざまあみやがれい!, 4/26)。国会事故調 第9回委員会 (4/18) の紹介。
》 原子炉の事故と安全対策 (軽水炉) L-5.1_Accident and Safety Measures of Light Water Reactor (cea-jaea-collaboration.net, 2007.09)。 平成19年度 敦賀「原子力」夏の大学 の資料みたい。 予備電源が結線されていなくてデータを送れなかった「ERSS」、 首相官邸に存在が知らされなかった「SPEEDI」、 実は超ショボい内容だった「原子力防災訓練」、 何の役にも立たなかった「防災ロボット」等々、今読むとなかなかアレ。 世界に冠たる日本の技術力ゥ〜
》 海の向こうの“セキュリティ” 第68回:韓国、住民登録番号の収集が原則禁止に ほか (Internet Watch, 5/7)。データ漏洩/侵害調査報告書 (Verizon) 2012 年版の件。
このようにVerizonの調査報告書はなかなか面白いデータを示してくれているのですが、今回紹介したものは、いずれもExecutive Summaryにはありません。英語版で80ページもある報告書なので、すべてに目を通すのは難しいかもしれませんが、Executive Summary以外の本文も一度は読んでみることをお勧めします。
》 河岡教授チームの H5N1 変異株論文、ようやくネイチャーに掲載
ヒト感染する鳥インフル変異株論文、英ネイチャー誌に掲載 (AFPBB, 5/3)
河岡教授のチームは、H5N1ウイルスから赤血球凝集素(ヘマグルチニン、HA)として知られる遺伝子を取り出し、ヒトの呼吸細胞と結合しやすくなるよう変異させた。そして、2009年にヒト間で流行したものの通常のインフルエンザと同程度の致死性しか示さなかった新型インフルエンザA型(H1N1)のウイルス株のHA遺伝子を、この変異遺伝子と置き換えた。
この「H5N1変異株」を、ヒトと呼吸器系がよく似ているとされるフェレット6匹に感染させたところ、フェレット間での飛沫感染が起こり、変異株がせきやくしゃみで感染し得ることが証明されたという。ただし死亡したフェレットはおらず、この点についてさらに研究が必要だとしている。
鳥インフル:河岡教授の論文やっと公開 米が非公表要求 (毎日, 5/3)
河岡教授らのチームは、H5N1型ウイルスの表面にあり細胞に入り込むための突起「ヘマグルチニン」に注目。H5N1型の遺伝子のうち、このヘマグルチニンに関する部分を操作して3カ所を変異させるなどし、新たなウイルスを作った。これをイタチの仲間のフェレットに感染させたところ、さらに1カ所が変異した。
この変異したウイルスに感染した個体と健康な個体を金属の網で区切ったカゴに入れたペア6組を飼育していたところ、3〜7日後に4匹が感染、残る2匹もウイルスに対する抗体ができていた。感染したフェレットは肺の機能が低下したり、体重が減少したりしたが、死ぬことはなかった。この実験からチームは、H5N1型は同じ哺乳類の人同士でも容易に感染するウイルスに変異する可能性があると結論づけた。
インフルエンザに挑む(上)ウイルス学者・河岡義裕 (産経 MSN, 5/1)
インフルエンザに挑む(中)ウイルス学者・河岡義裕 (産経 MSN, 5/2)
インフルエンザに挑む(下)ウイルス学者・河岡義裕 「エイ、ヤー」とバットを振れ (産経 MSN, 5/3)
関連:
The anatomy of Flashfake. Part 1 (Kaspersky, 2012.04.19)
オックスフォードがMac Flashbackについて熟考:Blaster以来最悪の発生 (エフセキュアブログ, 2012.05.02)
OSX.FlashBack.K - An Overview and its Inner Workings (Symantec, 2012.05.08)
iOS 5.1.1 登場。4 件のセキュリティ欠陥が修正されている。 CVE-2012-0674 CVE-2011-3046 CVE-2011-3056 CVE-2012-0672
》 時論公論 「加速するか国産旅客機開発」 (NHK 解説委員室, 5/2)。三菱 MRJ。
》 JIPDEC 個人情報の安心安全な管理に向けた社会制度・基盤の研究会報告書の公開について (まるちゃんの情報セキュリティ気まぐれ日記, 5/3)
》 17 Bad Mobile Apps Still Up, 700,000+ Downloads So Far (trendmicro blog, 5/3)
》 「情報」実行アイコンがないアンドロイドアプリケーション (nProtect 対応チーム公式ブログ, 5/7)
原子力安全基盤機構:職員のパソコンがウイルス感染か (毎日, 5/2)
情報通信研究機構 Webサイトへの不正アクセスについて (情報通信研究機構, 5/2)
》 Monitoring VMWare logs (SANS ISC, 5/2)
》 実践 Metasploit−−ペネトレーションテストによる脆弱性評価 (オライリージャパン, 5/23 発売予定)
》 4月の国内フィッシング事情:韓国金融機関を装う偽サイトが大量発生 (so-net セキュリティ通信, 5/2)
》 OpenSSH 6.0 (OpenSSH.com, 4/22)。「This is primarily a bugfix release」だそうです。iida さん情報ありがとうございます。
》 コンピュータウイルス・不正アクセスの届出状況[4月分]について (IPA, 5/7)。「あなたを狙うスマホアプリに要注意!」
竜巻:茨城と栃木で890棟損壊、1人死亡 (毎日, 5/7)
竜巻:「ゴオー」突然真っ暗 のどかな街に黒い渦 (毎日, 5/7)
竜巻:積乱雲発達が誘発 地上と空、気温差40度 (毎日, 5/7)
平成24年5月6日に茨城県つくば市付近で発生した突風について (気象庁, 5/7)。藤田スケールで F2 と推定、ひきつづき調査中。
》 「長周期地震動に関する情報のあり方報告書」について (気象庁, 4/26)
》 津波防災啓発ビデオ「津波からにげる」の制作について (気象庁, 4/27)、津波防災啓発ビデオ「津波からにげる」 (気象庁)
》 悪い面だけ注目してもろくなことがない--Winny事件から見た社会規範 (朝日, 5/1)、落合弁護士のコメント。
》 FTCがグーグルに罰金の可能性 - Safariのプライバシーポリシー違反問題で (Wireless Wire, 5/7)
》 Firefox to introduce click-to-play option to protect against dangerous plugins (sophos, 5/5)
》 Mac 版 Firefox で Adobe Reader プラグインをブロックしました (Mozilla Japan ブログ, 5/5)。不具合のため。
》 780km上空の人工衛星を基地局にして僻地から通信・通話ができる携帯電話「イリジウム Extreme」実機レビュー (gigazine, 5/2)、GPS機能搭載のイリジウム衛星携帯電話「Extreme」 (ケータイ Watch, 4/12)。GPS 機能が付いたそうで。
関連:
》 福島の今とこれから、そして報道について考えた(注ありVer)」 (江川紹子ジャーナル, 5/6)
》 Targeted Attacks in Syria (F-Secure blog, 5/3)、シリアで標的型攻撃 (エフセキュアブログ, 5/3)
》 Tool updates and Win 8 (SANS ISC, 5/6)
RegRipper: Update, Road Map (Windows Incident Response, 5/6)。RegRipper 2.5 登場、そして 3.0 へのロードマップ。
Parse-Win32Registry-1.0 (CPAN)
Update: TaskManager.xls V0.1.3 Killer Shellcode (Didier Stevens, 5/1)
Windows 8 Forensic Guide (Propeller Head Forensics, 4/18)
》 J-16戦闘機:中国海軍航空隊のマルチロール・ファイター (海国防衛ジャーナル, 5/3)。Su-30MK2 のコピーだそうで。
》 ドイツ、ドルフィン級潜水艦4番艦 Tannin をイスラエルに引き渡し
ドルフィン級潜水艦 (ウィキペディア)
独潜水艦のイスラエルへの引き渡し (中東の窓, 5/4)
イスラエル潜水艦の戦略的意味 (中東の窓, 5/5)
》 A Basic Distributed Fuzzing Framework for FOE (Adobe, 5/2)
》 ハーレー社[)$/!"I:Ce%P%$%/L5=~=$M}$7FO$1$?$$ (slashdot.jp, 5/7)。 津波でカナダ漂着のハーレー、持ち主判明 修理して宮城の男性の元へ (CNN, 5/3) に掲載されている写真を見ると、原形は留めているものの、さすがにかなり錆びているなあ。
》 「コンプガチャ」終了のお知らせ。 なかむらさん情報ありがとうございます。
コンプガチャは違法懸賞、消費者庁が中止要請へ (読売, 5/5)
【3632】グリー(株) (Yahoo! JAPAN ファイナンス)。ストップ安。09:38。
【2432】(株)ディー・エヌ・エー (Yahoo! JAPAN ファイナンス)。ストップ安。09:40。
ソーシャルゲームへの「コンプガチャ」規制関連のメモ (やまもといちろう Blog, 5/5)
● 違法状態からの救済について
これは消費者庁や警察庁関係なく、そもそも懸賞、絵合わせで違法だったコンプリートガチャは、利用者から、使用金額の変換訴訟を起こされる可能性があります。
戸田泉せんせとか腕まくりしてたら笑いますが。
ただ、ざざっと試算しますと、総額で1,200億円以上、返還対象となるんじゃないかと思うので、絶対に取り返したいと思う方は携帯電話の支払い明細を握り締めて、事実上の違法認定となる改善通知が業界団体に送達された報道があり次第、その方面に詳しい弁護士方面に雪崩れ込んで相談していただければと思います。
モバゲーの「ファンタシースター」酷いw 「消費アイテム詰め合わせガチャやります!」 → 4日後 「サービス終了のお知らせ」 (オレ的ゲーム速報@JIN, 5/6)、 サービス終了のお知らせ (セガ, 4/9)
■サービス終了までのスケジュール
・2012年5月9日(水) 15:00 課金アイテムの販売停止
・2012年6月8日(金) 15:00 サービス終了
■有料アイテムについて
・お客様が現在所有している、または今後入手される全ての有料アイテムは
2012年6月8日(金)のサービス終了後に失効となります。
・全ての有料アイテムは返金・返品には応じかねますので、予めご了承くださいますようお願いいたします。
消費者庁、ソーシャルゲームの「コンプガチャ」中止要請 (slashdot.jp, 5/6)
ソーシャルゲームの「コンプガチャ」規制、消費者庁が否定 (slashdot.jp, 5/6)、消費者庁が報道否定−−SNSのコンプガチャ問題 (ケータイ Watch, 5/7)。
表示対策課の担当者は、「会見で長官が指示した通り、検討が始まった段階。中止要請や措置命令などは何も決定しておらず、そういった考えもない。事業者名を出したこともない」とする。
「表示対策課の担当者」って誰? 衛宮切嗣『規制しないよ。「僕は」な……』というネタなのだろうか。
DeNAとグリー株がストップ安、景品表示法違反との報道 (ブルームバーグ, 5/7)。あれぇ ↑ と話が違うよぉ?!
同庁表示対策課の片桐一幸課長はブルームバーグ・ニュースの電話取材に「コンプガチャは景表法違反の方向で検討している。近く見解を公表する」と述べた。コンプガチャ中止の要請先は未定としている。
武雄新図書館構想発表記者会見 #図書館 #takeolibrary (togetter, 5/4)
武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て (高木浩光@自宅の日記, 5/4)
図書館貸出情報の扱い、ご安心ください! (武雄市長物語, 5/6)。「法令尊守コンプライアンス」だな。全く安心できないよ。
無罪判決の敗者:もう後がありませんわよ (八木啓代 / BLOGOS, 4/29)
そうなんですよ。判決の中で、一番厳しく叩かれていたのは、他ならぬ検察の捜査だったのです。
いや、これはね。検察の方も、受けていただくしかないですよ。
ここまでいわれて、田代不起訴となれば、検察と裁判所の仁義なき戦いが始まるしかないじゃないですか。
となると、やはり、例の報告書が、もうすぐ焦点になってきそうですね。
すでにもう噂の段階を通り越して、大手メディア関係者の方は、ほぼ入手されているようですが、私にも誰か見せてくれないかな。
大暴露:とんでもないものが届きました (八木啓代 / BLOGOS, 5/3)。 上記文書がネットに掲載されている、という話。 入手方法が記されている。
(ダブルクリックしたら、なぜか、全然別のプログラムファイルのダウンロードが始まり、焦りまくりましたが、しかし、ウイルスではありません)
これは、コメントにもあるように、当該サイトにおいて Yandex.Bar のインストールにデフォルトでチェックが入っているため。不要な場合はチェックを外せばよい。
大暴露の裏側:正直言うとびびってました (八木啓代 / BLOGOS, 5/3)。 有田芳生議員や郷原弁護士が内容を確認。
【リーク】小沢一郎陸山会事件関連、石川議員の取り調べテキスト起こしや報告書等がリークか (ガジェット通信, 5/3)。ガジェット通信の人、当該文書を GoogleDocs にアップロードしたみたい。危険なこと (PDF ファイルの閲覧処理) は Google にやらせよう。
石nO?2;J8;z5/$3$7!J$H;W$o$l$k$b$N!K
https://docs.google.com/open?id=0ByWdni-HzzdgQkl3Z0w2cTdiNXM
田代・斎藤・木村報告書(と思われるもの)
https://docs.google.com/open?id=0ByWdni-HzzdgV0RMV0o5WWNiTlk
VMSA-2012-0009: VMware Workstation, Player, ESXi and ESX patches address critical security issues (VMware, 2012.05.03)。CVE-2012-1516 CVE-2012-1517 CVE-2012-2448 CVE-2012-2449 CVE-2012-2450。 Workstation や Player も更新されている。
Apple update to OS X Lion exposes encryption passwords (Sophos, 2012.05.06)。OS X Lion 10.7.3 ではなぜか debug option が有効になっており、 "legacy" Filevault のログインパスワードが平文で (!!!!) テキストファイルに記録されてしまう。
関連: Apple Legacy Filevault Hole (cryptome, 2012.05.05)
[security bulletin] HPSBMU02771 SSRT100558 rev.1 - HP SNMP Agents for Linux, Remote Cross Site Scripting (XSS), URL Redirection (bugtraq, 2012.05.02)。修正版が用意されている。 CVE-2012-2001 CVE-2012-2002
Apple update to OS X Lion exposes encryption passwords (Sophos, 2012.05.06) の件、 About the security content of OS X Lion v10.7.4 and Security Update 2012-002 (Apple, 2012.05.09) で修正されました。
緊急 x 3、重要 x 4。Office あり、.NET Framework あり。
Flash Player 11.2.202.235 for Windows / Mac / Linux, 11.1.115.8 for Android 4.x, 11.1.111.9 for Android 3.x / 2.x 登場。0-day 欠陥 CVE-2012-0779 が修正されている。 0-day の詳細については、 Adobe Flash Player の脆弱性(CVE-2012-0779)を悪用する標的型攻撃 (シマンテック, 2012.05.07) を参照。
すでに 1 週間以上も活動が続いています。(中略) これまでのところ、軍需産業に利用される製品のメーカー間で複数の標的が確認されていますが、これは今後数日のうちに変わるものと考えられます。
Ilion さん情報ありがとうございます。関連:
Adobe Flash Player の脆弱性 (APSB12-09) に関する注意喚起 (JPCERT/CC, 2012.05.07)
PHP を CGI で動作させている場合 (素の CGI、あるいは mod_cgid 経由の場合) に欠陥。remote から任意のスクリプトを実行できる。FastCGI や mod_php の場合には、この欠陥の影響を受けない。 CVE-2012-1823 CVE-2012-2311。 既に Metasploit モジュールが提供されている。
PHP 5.3.12 / 5.4.2 で修正されたはずだったのだが、実は不十分だった。素の CGI、あるいは mod_cgid 経由の場合には、何らかの対応が必要。関連:
CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) (徳丸浩の日記, 2012.05.07)。詳細かつわかりやすい解説。
当脆弱性の対策としては、ApacheモジュールまたはFastCGIへの移行を推奨します。
どうしてもCGIのままにしなければならない場合は、php-cgiを呼び出すラッパー(/cgi-bin/php-wrapper)を以下のように記述します。
New PHP-CGI exploit: CVE-2012-1823, PoC exploit (Yet Another PHP Security Blog, 2012.05.03)
Mitigation for CVE-2012-1823 / CVE-2012-2311? (Yet Another PHP Security Blog, 2012.05.04)。 Apache の mod_rewrite を使った回避策が示されている。
So, right now you will probably want to use the following RewriteRule:
RewriteEngine on RewriteCond %{QUERY_STRING} ^[^=]*$ RewriteCond %{QUERY_STRING} %2d|\- [NC] RewriteRule .? - [F,L]
PHP 5.3.12 and 5.4.2 releases about CGI flaw (CVE-2012-1823) (PHP.net, 2012.05.06) にも同様の記述がある。
CVE-2012-1823 in Ubuntu (canonical.com)、 CVE-2012-2311 in Ubuntu (canonical.com)
PHP 5.4.3 / 5.3.13 が公開されました (PHP.net, 2012.05.08)。CVE-2012-2311 と CVE-2012-2329 が修正されています。 関連:
Red Hat: RHSA-2012:0546-1 Critical: php security update、 RHSA-2012:0547-1 Critical: php53 security update
CentOS: [CentOS-announce] CESA-2012:0546 Critical CentOS 6 php Update、 [CentOS-announce] CESA-2012:0547 Critical CentOS 5 php53 Update
Ubuntu: USN-1437-1: PHP vulnerability
関連:
CVE-2012-1823 CVE-2012-2311 PHPのCGIモードにおける脆弱性について (IIJ SECT, 2012.05.10)
PHPのリリースとしては、2006年11月頃リリースされたバージョン5.2.0にて変更が取り入れられています。その一つ前は2006年8月頃リリースされたバージョン5.1.6ですが、こちらにはその変更は含まれていません。脆弱性の影響についてもこの変更に同期しており、バージョン5.1.6においては影響を受けず、バージョン5.2.0において影響を受ける事を確認しています。
この適用より更に前の2004年にリリースされているバージョン5.0.0の時点で、オプションの処理は既に複数に分かれており、CGI等の外部入力を考慮した実装になっていました。その部分の実装については、今回の脆弱性の影響を受けないバージョンと殆ど変わっていません。今回の問題はその設計の意図を読み取れずに、変更を適用してしまったため発生したのではないかと推測されます。
PHPの脆弱性(CVE-2012-1823)を悪用する攻撃の検知状況 (IBM ISS, 2012.05.10)
ShowIP の件、Mozilla の ShowIP add-on ページからダウンロードされるものは 1.0 に戻された。Shibuya, Nobuhiro @nsh1960 さん情報ありがとうございます。バージョン 1.5 では当該サイトへの通信が SSL 化されたようだが、 ShowIP add-on ページからダウンロードされるものは 1.0 のままのようだ。
++ Note for 1.5: Security updates where done like and https was added.
++ Note for people with 1.4 and later installed: The Plugin gets data like ISP and Country from an external API. If you are not interested in that information you can deactivate it in the settings! It is recommended until an https update and some other changes are done.
++ The version you can download here is 1.0 which is an old one without getting and/or showing the webserver´s ISP and country.
Skype の件、実は 2010 年 11 月には明らかになっていた模様: Skype knew about IP address security flaw since November 2010 (Sophos, 2012.05.03)
》 見滝原で「労働」の話をしよう - QB被害者対策弁護団 - (メロンブックス)。5/5 発売開始、予約受付中。
関連: 新刊告知〜「見滝原で『労働』の話をしよう!」5月4日発刊@Super Comic City 21! (アニメキャラが行列を作る法律相談所withアホヲタ元法学部生の日常, 4/28)
ブラック企業中のブラック企業で働く魔法少女。彼女らを助けることができるのは、アレしかない!?
日本の誇る「守られていない法律No.1」を争う労働法。
これをフル活用すると、「まどかを守る」というほむほむの願いを叶えるのも夢じゃない?
というストーリーが「見滝原で『労働』の話をしよう!」。
大阪府市エネルギー戦略会議の開催概要 (大阪市)。議事録は無いようですが、配布資料は読めます。
関電、電力不足は計58時間 今夏全体の2・8% (47news.jp, 4/12)
【関電の節電契約、低水準】夏のピーク抑制に余地 大飯再稼働に疑問も 9社中7位 (47news.jp, 4/28)
関電が電力需給と関係なく再稼働主張 (よみうりテレビ, 4/25) (Google キャッシュ)。 電力が足りないから稼働させるわけではない。 リンクされている映像は、まだ見れるようです。
関電の最終赤字2422億円 過去最悪、火力の燃料費が圧迫 3月期決算 (産経 MSN, 4/27)
原発再稼働についての細野大臣の発言等に関する質問主意書への答弁書 (河野太郎公式ブログ, 4/29)
「どうしても原発を動かしたい関西電力の裏事情」(そもそも総研5/3全部書きだし) (みんな楽しくHappyがいい♪, 5/3)。 東京並み節電 (揚水発電の供給力が上がる付随効果あり) + 他社からの融通で、電力は足りそう。
羽鳥:う〜ん・・電力不足には関係ないんですね。
玉川:「関係ない」って関西電力が言っている訳ですから。
つまり、「経営のために動かしたい」っていう事があるわけですよ。
どういうことか?っていうと、
古賀さんのインタビューの時よりも新しい決算が出たんで、その新しい決算に基づくと、
純資産、資産から負債を、ま、貯金から借金を引いたものですね、それが1兆5000億円位あるんですよ。
で、この中に、原子力関係の資産というのが、発電設備と核燃料を合わせると9000億ぐらい。
で、これをもしか使わない$H$$$&;v$K$J$k$H!"$3$l$,;q;:$+$iMn$A$A$c$&$s$G$9!#
そうすると、ここからこれを引くと、6391億円になっている。
いま、赤字記帳です。
赤字記帳で、2011年度に2400億を超える赤字で、
これがあと2年ぐらい続くと、(純資産が)なくなっちゃうわけですよね。
そうすると破たんだよと。いうことなんで、
ともかく関西電力は動かしたいというのは、
もちろん安全が確認されたらという事は関西電力も言ってますけれど、
ただ、経営のために動かしたいんだと。
だから電気が足りる足りないじゃなくて11基全部動かしたいんです。
赤江:この理論でいくと関西電力はもう永遠に(原発を)続けていきたいと。
玉川:
永遠に原発を続けていかないとできないような経営状況というかね、
そういうふうな形で今までやってきたんですよ。
原発をそれだけ増やしたっていう事はね。
立花:
関西電力は自分の会社が倒産しないために、原発をずっと動かし続けていきたいという事なんですね。
玉川:
それはそのように、そのまんま(関電は)言っています。
それだけじゃないんですよ。
実はですね、これはいま、バランスシートの話ですけれども、
前に総括原価方式っていうのをやりました。
これは、じゃあ利益ってどうやって決まっているんですか?って言ったら、
資産に、たとえば3%とかをかけた分が利益なる。
だから資産の部分がごそっと無くなると、資産から生まれる利益もごそっと無くなるわけですね。
仮に原子力関係の資産が9000億だとしてこの3%だとすると、3×9=24ですよね、
だから200何10億というお金が、毎年入ってくる筈だった利益が無くなっちゃう訳です。
だからこれも大きいんです。
電力不足:枝野経産相、関電管内で計画停電の準備必要 (毎日, 5/3)
》 「ユーザーストーリー」による要件定義手法、永和システムが普及活動開始 (日経 IT Pro, 4/26)
同社で2011年後半から何度か同手法を社内で実験的に使ってみたところ、「『エンドユーザーと開発者の合意形成がスムーズになる』『比較的短時間で漏れなく要求を書き表し、重要な事項だけ掘り下げられる』『エンドユーザーと開発者とやり取りする過程で新たなアイデアが生まれやすい』といった手応えを得た」(同社の市谷主任)という。
ただし、「価値がある」「テスト可能」といったルールに則った表現のストーリーを作る際には、適切なファシリテーションも必要になる。今回のセミナーでは、模擬演習でそれを体験することで、そうしたノウハウも吸収できるという。
》 「非機能要求グレード」の普及に関する調査報告書と活用事例集を公開 (IPA, 4/24)
しかし実際には、情報システムの稼働直前や稼働後にしばしばトラブルが発生し、企業活動のみならず国民生活に大きな影響を及ぼしてしまうケースも少なくありません。これらのトラブル発生の一因には、本来の機能以外の、例えばシステムがダウンした際、速やかに復旧させること(可用性)や、利用者にストレスを感じさせない応答(性能)など、といった「非機能要求」を定義することの難しさが挙げられます。そして、非機能要求の重要度を判断し、どの領域で、どの程度の数の非機能要求項目をどのような水準で決めればよいのかといったノウハウを、非機能要求を定義する担当者が持っていない、あるいは十分に活用出来ていないと考えられます。
そこで、非機能要求の利用状況および定義を、どのような項目で、どのように、誰と調整しているか等についてユーザー企業、ベンダー企業等に対し調査を行い、非機能要求定義に関わる人向けに課題を整理し、その対策をまとめました。 また、非機能要求を漏れなく定義する手法を体系的にまとめたノウハウ、 「非機能要求グレード」の浸透度に関しても併せて調査を行いました。
》 Global Payments Breach Window Expands (Krebs on security, 5/1)
》 Cross-platform malware exploits Java to attack PCs and Macs (ZDNet Zero Day, 5/1)
》 「オンラインプライバシー勉強会」レポート 〜行動追跡の現状とブラウザ業界の動向〜 (Mozilla japan, 5/1)。よくまとまった記事。
》 Pirate Bay blocked! 93% oppose court order on UK ISPs, poll reveals (Sophos, 5/1)
知らない間にアダルトサイトを「いいね」 Facebook知人、同僚に性的嗜好がバレる (J-CAST ニュース, 4/28)
Fun with Click and Jack (threatexpert blog, 2008.10.06)
Clickjacking (OWASP)
Internet Explorer 8 以降でないと Web サーバー側のクリックジャッキング対策が有効にならないらしい (あるSEのつぶやき, 4/6)。X-FRAME-OPTIONS ヘッダへの対応状況。
クリック ジャッキング/Like ジャッキング拡散プラットフォームが Facebook を狙う (webroot, 4/13)
》 Google、Chromeの脆弱性テストシステム「ClusterFuzz」を紹介 (ITmedia, 5/1)
》 プレゼンテーションの秘密 (ComputerWorld.jp, 5/2)
》 中小企業を踏み台にした大企業へのセキュリティ攻撃が多発――シマンテック報告書 攻撃やマルウェアは依然増加、ボット・マシンやスパムは減少 (ComputerWorld.jp, 5/1)。 Internet Security Threat Report, Volume 17 の件。
》 フェイスブックでの「いいね!」でクビに!?――裁判を起こしても勝機は薄い SNS上の行動は憲法で保護される言論には当たらないとの法廷判断 (ComputerWorld.jp, 5/1)。えぇ〜
》 「Ivy Bridge」チップの加熱問題がネットで話題に オーバークロック時の温度が90度を超えるというテスト結果も (ComputerWorld.jp, 5/1)。 Intelの新CPU「Ivy Bridge」が高熱になる「ダブルグリスバーガー症候群」状態 (gigazine, 5/1) の件。
Intelがよりすぐれていると思われる熱放散技術を放棄したのはなぜだろうと、読者も困惑したかもしれない。Overclockersはこの点に関して、多くのレビュワーに提供されたIvy Bridgeチップはエンジニアリング・サンプルであり、実生産バージョンではなかったこと、同チップの製造時には大半のユニットにおいて、再び無融剤はんだが採用される公算が大きいことに言及した。
関連:
22nmプロセスのIvy BridgeはSandy Bridgeと何が違うのか? (ascii.jp, 4/24)
Ivy Bridgeの強化ポイントはGPUアーキテクチャの改革 (PC Watch, 4/27)
》 A “LNK” to the Past (Symantec, 5/2)。実は thumbs.db が実行ファイルで、foobar.jpg という名前の LNK ファイルから kick する。次から次へと、よく考えるなあ。
日本語番: "LNK" はマルウェアへのショートカット (シマンテック, 5/2)
》 WSUS サーバーから任意のアプリケーションを配布するには (Japan WSUS Support Team Blog, 5/2)
》 検索結果の上位はSEOスパムだらけ, とお嘆きのあなた, MillionShortを試してみよう (techcrunch, 5/2)
》 【神世界事件】懲役5年判決に教祖泣きべそ、被害者は「軽すぎる」 (やや日刊カルト新聞, 5/2)
会見で弁護団長の紀藤正樹弁護士は、このように語りました。
「まだ霊感商法事件は続いている。神世界は解散するといっているが、本当に解散するかどうかは、これから。オウム真理教も破産し解散しながらアレフやひかりの輪が残っている。法の華三法行も解散したのに、現在は“喜び家族の和”という団体を作って活動を活発化させています」(紀藤弁護士)
「検察は詐欺という点に力を入れて立証したが、組織の活動実態の情状部分の立正が足りない。組織内の、人を人とも思わない上限関係や威圧的なものがきちんと立証されていない気がします。ふつうの悪徳商法詐欺と同じように裁かれている。このカルト的な団体の属性そのものを反省させないと、また同じ事を繰り返す。法の華がいい例で、いまも事件を“誤解だった”などと称して活動している」(同)
》 小沢判決の解説・評価(最後) (Nothing Ventured, Nothing Gained., 5/2)
》 IE・Firefox・Chrome・Safariなど全ブラウザに残るあらゆる履歴を確認できるフリーソフト「Web Historian」 (gigazine, 5/1)
》 萩尾望都さん・紫綬褒章インタビュー全文掲載 (NHK「かぶん」ブログ, 5/1)
》 水陸両用飛行艇の輸出活動を本格化 (新明和, 4/24)。民間型 US-2 へ向け、さらなる一歩。インドが興味を示しているそうで。
》 ドコモは何を恐れたのか 日本通信との接続料訴訟、その対立の深層 (日経ビジネス, 5/1)
》 澤地、瀬戸内、鎌田氏が経産省前テント来訪 「原発再稼働に反対」 (田中龍作ジャーナル, 5/2)
》 Z9q$GBg5,LO#G#P#S>c32!!KLD+A/$+$iK832EEGH$+!!9R6u5!#2#5#05!$K1F6A (産経 MSN, 5/2)
》 ハッカー集団アノニマス、中国企業狙う 次々と不正告発 (朝日, 5/2)
》 救命センターでの行き過ぎ取材はあったのか 新聞社と病院に取材を行いました (ガ島通信, 5/2)。 マスコミの人間に心はあるのか (TECCMC's BLOG(但馬救命救急センターのブログ), 4/23) の件に関する、その後の状況。 少なくとも、読売・毎日・朝日の記者には問題はなかった模様。 当該ブログ記事も、「読売新聞,毎日新聞,朝日新聞など各社の記者」から「マスコミ各社の記者たち」に記述が変更されている。
》 【置き去りの活断層 大間原発】 (上)国は一方的に存在否定 (朝日, 5/1)、 (下) (朝日, 5/2)。関連:
渡辺 満久(ManQ) (東洋大学)。渡辺教授の紹介ページ。
》 子どもたちの甲状腺異常:福島と長崎の差が著しい!というデータの見方 (togetter, 5/2)。比べているデータの基準が異なるという話。長崎は「5mm以下の病変は無視」したデータであるのに対し、福島は「最大 3.1mmの嚢胞」。
》 韓国で大規模GPS障害 北朝鮮から妨害電波か 航空機250機に影響 (産経 MSN, 5/2)
》 QuiqLite(クイックライト) X RECHARGEABLE 充電式 LEDクリップライト (目指せ!ライトマニア HATTAのLEDライトレビュー, 4/27)。これはよさげ。
先週行われましたライブ会場での演出照明卓の操作をするオペレーターにデモ機を使ってもらいましたが大変好評でした。やはり、サイズ的にこれくらい小さいものが良いそうです。ボディが小さいのでTシャツの襟元にさせば手元を照らすことが出来る灯具として使えます。とてもスタイリッシュでクールなスタイルです。
Privacy concerns over popular ShowIP Firefox add-on (Sophos, 2012.05.01)。 ShowIP add-on は、バージョン 1.3 以降において、ユーザに無断で、アクセス先サイトの情報を ip2info.org に送信している模様。
Skype User IP-address Disclosure (skype-open-source, 2012.04.26)。 skype55 deobfuscated version を使ってデバッグログを有効にすると、相手の IP アドレスがわかるという話。
HTC IQRD Android Permission Leakage (vsecurity.com, 2012.04.20)。HTC Android スマホの Carrier IQ 用の porting layer である IQRD に欠陥。起動されると 2479/tcp で listen するのだが、何らアクセス制限がされていないため、android.permission.INTERNET パーミッションを持つアプリなら何でも接続できてしまう。 CVE-2012-2217
日本で売られているものがどうなってるのかは不明。
関連: Some Facts About Carrier IQ (EFF, 2011.12.13)
ShowIP の件、Mozilla の ShowIP add-on ページからダウンロードされるものは 1.0 に戻された。Shibuya, Nobuhiro @nsh1960 さん情報ありがとうございます。バージョン 1.5 では当該サイトへの通信が SSL 化されたようだが、 ShowIP add-on ページからダウンロードされるものは 1.0 のままのようだ。
++ Note for 1.5: Security updates where done like and https was added.
++ Note for people with 1.4 and later installed: The Plugin gets data like ISP and Country from an external API. If you are not interested in that information you can deactivate it in the settings! It is recommended until an https update and some other changes are done.
++ The version you can download here is 1.0 which is an old one without getting and/or showing the webserver´s ISP and country.
Skype の件、実は 2010 年 11 月には明らかになっていた模様: Skype knew about IP address security flaw since November 2010 (Sophos, 2012.05.03)
》 ワイドショーを見る親が子どもの学力を下げている? 子ども社会に広がる学力格差【話題】 (livedoor ニュース for スマートフォン, 4/29)
2009年にお茶の水女子大学の研究グループによって行われた「家庭背景と子どもの学力等の関係」調査によると家庭内の文化的教養度、さらに家庭内の教育O$,;R$I$b$N3XNO$K4X78$7$F$$$k$H$$$&$3$H$@!#
例えば、学力の低い子どもの親によく見られる行動は「テレビのワイドショーやバラエティ番組をよく見る」「携帯電話でゲームをする」「パチンコ・競馬・競輪に行く」「カラオケに行く」だという。
元ねたはこれのようだ: 1. 全国調査の結果による市町村・学校のサンプリング手法及び教員等に対する補完的な追加調査を実施・活用する調査分析手法の調査研究 (国立教育政策研究所 平成19・20年度 全国学力・学習状況調査 追加分析報告書)、p.153 の表 8 ↓。
付されている解説 (p.154) はこう:
テレビや娯楽,ギャンブルなどといった保護者の行動は,学力とは負の相関が見られる。たとえば,以下の項目は,低学力層(D 層)ほど高いという傾向がある:「携帯電話でゲームをする」「テレビのワイドショーやバラエティ番組をよく見る」「スポーツ新聞や女性週刊誌を読む」「パチンコ・競馬・競輪に行く」「カラオケに行く」。
livedoor ニュース for スマートフォンの記事は、なぜか、「パチンコ・競馬・競輪に行く」や「カラオケに行く」よりも負の相関が高い「スポーツ新聞や女性週刊誌を読む」が無視されている。それがあると、何か都合でも悪いのか? -4〜5% 程度の負の相関を「学力の低い子どもの親によく見られる行動」とは言えないと思うし。
》 USBフラッシュメモリで起動するWindows 7のシステム修復ディスクを作る (@IT, 4/27)
》 長崎ストーカー殺人・千葉県警旅行問題から見えるもの 警察本部長の判断力と驕り (フォーラム市民の目, 5/1)
習志野署員の旅行問題で深刻なのは、警部である生活安全課長が旅行に参加していたことだ。
ストーカー問題やそれに関する相談業務は生活安全課の業務であり課長はその責任者だ。だとすれば、ストーカー規制法等がいかなる経緯で制定された法律であり、対応を誤ればどんな問題が生じるかは分かっていたはずだ。
昨年、警視庁捜査一課の警部が、捜査資料を事件関係者に渡したとして地公法違反で逮捕されたが、今年に入ってからも大阪府警警部の証拠品ねつ造事件が、佐賀県警警部の事件関係者からの借金問題等が発覚している。
警部といえば、警察組織にあって中核となるべき幹部である。
不祥事が、警部にまで拡大している事実はかなり深刻だ。
米 無人機による殺害を認める (NHK, 5/1)。「テロリスト」というレッテルを貼りさえすれば、いくらでも殺して OK OK! 国家主権も侵害して OK OK!
米大統領“中国は人権状況改善を” (NHK, 5/1)。自分のことは棚に上げる。
》 標的型攻撃が拡大する誤った3つの思い込み - シマンテック発表 (マイナビニュース, 5/1)
思い込みとは、「大企業、政府、防衛産業のみが攻撃の標的になる」、「CEOや役員クラスのみが標的になる」、「標的型攻撃の対象になるのは1回限りである」というものだ。
あらゆる組織が標的になる、一般社員も標的になる、何度もくりかえし攻撃される。
》 Amazonのライバルが電子書籍でMicrosoftと戦略的提携 (マイナビニュース, 5/1)。NOOK の Barnes & Noble と Microsoft が組んだ模様。
》 記者の目:原発汚染土壌の中間貯蔵施設問題=袴田貴行 (毎日, 5/1)
今年2月下旬、富岡町の避難住民から、双葉郡の地図のコピーを見せられた。大熊、双葉町など放射線量の高い地域が線で区切られている。「国は帰還困難区域を封鎖するため境界にバリケードを設置するらしい」。国は水面下で既に線引きしており、それを示す地図だというのだ。
真偽を確かめたところ、風評のきっかけになったのは、内閣府が2月7日に実施した「住民帰還に向けた環境整備事業」の一般競争入札だと分かった。帰還困難区域の境の道路上にガードフェンスを設置するもので、大手ゼネコンが3億円余で落札していた。関係者は、出回った地図はその関連資料と推測する。内閣府原子力被災者生活支援チームは事業に関し「当初は3月末までに警戒区域が見直される予定だったので、資材の確保や事前準備のため入札を行った。住民の安全確保や治安対策が目的で、『ベルリンの壁』のように周囲を丸ごと囲うものではない」と説明する。
だが、その説明を受けるまで、福島県内や霞が関の政府機関に何度も電話して担当者を探す苦労が必要だった。大熊町の石田仁・生活環境課長もバリケードの風評は耳にしていたといい、「住民は不安になっており、この種の話が流れると役場へ問い合わせが殺到するが、こちらはきちんとした情報がないので対応できずに困っている」と国の説明不足を指摘する。
不信感の広がりは、復興にとってマイナスでしかない。中間貯蔵施設に関しては、丁寧な説明が不可欠だ。
》 即決ダメ!「2社以上の見積もりを」 太陽光トラブル、過去最多 市場急拡大に比例 (産経 MSN, 5/1)
ツアーバス激突 客の争奪激化 「豪華」と「格安」二極化 (産経 MSN, 5/1)
旅行会社→バス会社→運転手 強要の連鎖、しわ寄せは「安全」に (産経 MSN, 5/1)
「頻繁に急ブレーキ」 運転に不安、乗客が証言 (産経 MSN, 5/1)
「運行指示書」とは違うルートで遠回り (産経 MSN, 5/1)
ガードレールと防音壁の隙間で被害拡大 (産経 MSN, 5/1)