「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Jul 18 19:58:37 2014
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 セキュアブレインが国内20のカード会社を狙うウイルスに対して注意喚起 (セキュアブレイン, 7/16)。MITB 攻撃を実行。
今回、以下のカード会社が攻撃対象として確認されました。(50音順)
イオンカード、出光カード、NTTグループカード、エポスカード、OMCカード、オリコカード、JCBカード、JP BANKカード、セゾンカード、TS CUBICカード、DCMX、日産カード、ポケットカード、Honda Cカード、三井住友VISAカード、三菱UFJニコス、UCSカード、ライフカード、楽天カード、りそなカード
》 法人ネットバンキングを狙う電子証明書窃取攻撃を解析 (トレンドマイクロ セキュリティ blog, 7/10)
》 ウイルスバスター ビジネスセキュリティ 7.0 Service Pack 1 Critical Patch build 2537 公開のお知らせ (トレンドマイクロ, 7/16)、Readme
ビジネスセキュリティクライアントで、Windows 8.1/Windows Server 2012 R2への対応Critical Patch (ビルド 2521またはビルド 2527) を適用したあとに発生していた不要なデバッグ情報のログが作成されないようになります。
デバック情報タレ流しのままリリースしてましたと。
》 最高裁:「DNA鑑定で父子」認めず…血縁より民法を優先 (毎日, 7/18)、 時論公論 「親子揺るがす科学の進歩」 (NHK 解説委員室, 7/18)
》 VMware CP&C releases Major Updates to DISA STIG *NIX Compliance toolkit in VCM! (VMware, 7/14)
》 インターネット定点観測レポート(2014年 4〜6月) (JPCERT/CC, 7/17)
》 国際的なボットネットのテイクダウン作戦 (JPCERT/CC, 7/18)。Gameover Zeus。
今回、JPCERT/CCは、国際連携活動の枠組みにおいて、米国US-CERT等から提供 された感染端末情報に基づき、国内の関係省庁・組織と連携して、国内の感染 端末利用者に対する不正プログラムの駆除等に関する情報提供を行います。
》 Retiring the “Back End” Concept (Adobe, 7/17)。クラウドだらけになった世の中でバックエンドと言われても、と。
》 WikiLeaksの内情描く映画「フィフス・エステート」 オンデマンド配信開始 (ITmedia, 7/17)
》 Dragonflyが日本を飛び回る? (エフセキュアブログ, 7/17)。Havex / Dragonfly の件。
》 カスペルスキー、10名以下の小規模環境を対象としたセキュリティソフト (Internet Watch, 7/18)
》 山谷剛史のマンスリー・チャイナネット事件簿: 対Appleコントロールへの布石か、iOSのiMessageにも警告 ほか〜2014年6月 (Internet Watch, 7/18)
》 LibreSSL portable 2.0.2 released. (OpenBSD-announce, 7/16)。iida さん情報ありがとうございます。
》 ウクライナの親ロシア武装勢力、マレーシア航空 17 便 (777-200ER) を地対空ミサイルで撃墜か
マレーシア機、宇親露派が軍用機と誤認して撃墜か ツイート削除 (AFPBB, 7/18)。ウクライナ軍 An-26 輸送機と誤認して撃墜?
親露派は17日午後、ウクライナ軍との戦闘が続く東部の工業地帯上空を飛行中のウクライナ軍機少なくとも1機を撃墜したとの最初の一報を投稿した。
一方的に独立を宣言している「ドネツク人民共和国(Donetsk People's Republic)」の自称防衛相イーゴリ・ストレルコフ(Igor Strelkov)氏は、ロシアの交流サイト最大手「フコンタクチェ(Vkontakte)」 の自身のページに、「たった今、トレーズ(Torez、ドネツク州の都市)近郊でアントノフ26(An-26)型機を撃墜した」と書き込んでいた。
ストレルコフ氏はさらに「これが『鳥が落ちた』ことを証明する動画だ」と書き込んだ。同氏のページには、マレーシア航空機についてウクライナのメディアが報道したものと完全に一致する情報へのリンクが掲載された。
この書き込みは直後に削除されたが、ウクライナ東部の同国軍司令部はこの投稿が表示されたディスプレーの画像を保存しており、英文の報道機関向け発表に添えて公開した。
ストレルコフ氏のものとされる書き込みでは、同機の撃墜に使用されたミサイルの詳細は明らかにされていない。しかしドネツク人民共和国は、その数時間前にマイクロブログのツイッター(Twitter)の公式アカウントから次のように投稿し、墜落したマレーシア航空機が飛行していた高度1万メートルまで到達可能なロシア製ミサイルを親露派が手に入れていたことを明らかにしていた。
「@dnrpress:DNRは(ウクライナの)地対空ミサイルA1402連隊から自走式ブーク(Buk)地対空ミサイルを奪った」。この投稿も後に削除された。
親ロ勢力、盛大に自爆している印象。
Buk missile system (Wikipedia)。問題なく撃墜できますね。
マレーシア機墜落は「撃墜」とウクライナ当局、親ロ派は関与否定 (ロイター, 7/18)
Rebel Leader in Alleged Leaked Audio: We Just Shot Down a Plane (mashable, 7/17)。親ロ勢力の会話 (音声あり)。
Pro-Russian Rebel Commander: 'We Did Warn You — Do Not Fly in Our Sky' (mashable, 7/17)
マレーシア航空、撃墜されたMH17便の搭乗者数と国籍を発表 (FlyTeam, 7/18)
マレーシア機MH17便墜落、コードシェアのKLMが弔意示す (FlyTeam, 7/18)
マレーシア機MH17便墜落、FAAは民間機に飛行禁止区域を設定 (FlyTeam, 7/18)
ウクライナ近辺の飛行機の様子 (flightradar24.com)。ウクライナ上空スカスカ。
マレーシアMH17便撃墜、154人がオランダ人 日本人乗客なし (AviationWire, 7/18)
エイズ研究者が多数搭乗=墜落のマレーシア機 (時事 / Yahoo, 7/18)、エイズ会議出席者100人搭乗か、ウクライナで墜落の旅客機 (AFPBB, 7/18)。マジか……。
親露派が墜落マレー機「ブラックボックス回収」 (読売, 2014.07.18)。うわー、めちゃくちゃしそう。
マレーシア機撃墜:格安、効率よく ウクライナ上空ルート (毎日, 2014.07.18)
Before Crash, Some Airlines Avoided Ukraine (NYTimes)。事前にウクライナを避けて飛んでいた会社、避けなかった会社。
いずれもガルーン 3.7 Service Pack 4 で修正。
[Internet Explorer 6の現象]地図検索に関するクロスサイトスクリプティングの脆弱性【CyVDB-341】 (サイボウズ, 2014.07.14)
お知らせポートレットに関するクロスサイトスクリプティングの脆弱性【CyVDB-440】 (サイボウズ, 2014.07.14)
ポートレットに関するアクセス制限回避の脆弱性【CyVDB-441】 (サイボウズ, 2014.07.14)
フレンドリー名に不正な値を指定できる不具合【CyVDB-446】 (サイボウズ, 2014.07.17)。 サーバー側で対応済。
リモートサービスマネージャーの一部の画面に認証なしでアクセスできてしまう【CyVDB-523】 (サイボウズ, 2014.07.17)。サイボウズ リモートサービス バージョン 3.1.2 で対応されている。
(改修済み)SessionFixation脆弱性について【CyVDB-243】 (サイボウズ, 2014.07.07)
(改修済み)特定の機能での XSS 脆弱性 (サイボウズ, 2014.07.07)
(改修済み)任意のJavaScriptを実行される【CyVDB-536】 (サイボウズ, 2014.07.07)
JVNDB-2014-000072: S2Struts において ClassLoader が操作可能な脆弱性 (JVN, 2014.07.15)。S2Struts 1.3.2、1.2.13 で修正されている。CVE-2014-3893
JVN#41028866: 多機能メールフォームフリーにおけるクロスサイトスクリプティングの脆弱性 (JVN, 2014.07.16)。 IE 11 において発生するそうです。 対応方法・適用方法 を参照してください。
SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities (Drupal, 2014.07.16)。Drupal core 7.29、6.32 で修正されている。
FreeBSD-SA-14:17.kmem - Kernel memory disclosure in control messages and SCTP notifications (FreeBSD, 2014.07.08)。 ローカルプロセスが kernel メモリの一部を取得できる欠陥 2 件。 CVE-2014-3952 CVE-2014-3953
報道によると……
ベネッセ顧客情報流出で派遣SEの39歳男逮捕 (スポーツ報知, 2014.07.17)
警視庁によると、●●容疑者は昨年7月、スマホを充電しようと業務用パソコンにつないだところ、データが取り込めることに気付いた。スマホ本体のマイクロSDカードにコピーして、持ち出しを繰り返すようになったという。
ベネッセ流出:SEを逮捕…秘密複製容疑、1年で1億件 (毎日, 2014.07.17)
同課によると●●容疑者は昨年7月、貸与のパソコンにスマートフォンを接続した際、情報を移せることに気づき、不正を始めた。スマホ本体や付属のマイクロSDカードにコピーし、持ち出しを繰り返すようになったという。ベネッセにはアクセス記録を定期的にチェックする体制がなく、見抜けなかったとみられる。
いまどきのスマートフォンやタブレット、メディアプレイヤーやデジタルカメラ等は MTP (Media Transfer Protocol; メディア転送プロトコル) や PTP (Picture Transfer Protocol; 画像転送プロトコル) を使ってファイル転送するのが一般的ですが、上記を見る限りでは、ベネッセが採用していた情報漏洩対策ソリューションは MTP/PTP に対応していなかった模様です。
メディア転送プロトコル (ウィキペディア)、 画像転送プロトコル (ウィキペディア)
スマートフォンのパソコン接続は大容量デバイスからMTPへ(第164回) (日経 PC Online, 2011.04.27)
ファイル転送の「MTP」と「MSC」はどう違うの? - いまさら聞けないAndroidのなぜ (マイナビニュース, 2014.01.13)。Android 3.1 以降で MTP に対応ですか。
これ↓はクオリティソフトの QND の宣伝記事ですが、ベネッセのもそういう状況だったように見えます。
持ち出しPCやUSBの情報漏えい対策では不十分!? (マイナビニュース, 2014.04.21)
セキュリティ対策は万全かと思われましたが、営業部のとある判断により、再び情報漏えいリスクにさらされることになります。デジカメやスマートデバイスのファイル転送プロトコル(MTP/PTP方式)は、ドライバのインストールが不要なため、既設のツールではPCへの接続を管理できなかったのです。同社情報システム運営室のA室長はこう語ります。
「もともとデジカメの管理には若干の不安を感じていましたが、社員が所有する携帯電話がスマートフォンに変わってきたことで、問題が深刻化しました。PCへの接続やデータ転送を管理者主導で制御することができないため、マルウェア感染や紛失・盗難による重要データの流出などが危惧されました」
ぐぐってみると、MTP/PTP 対応を明記している製品がいくつかありました。
クオリティソフト、デジカメやスマホのUSB接続による情報漏えいも防止 (クオリティソフト, 2013.09.06)。QND Ver.10.1i から MTP/PTP に対応。
DeviceLock 7.3 の新機能 (DeviceLock)
Sophos Anti-Virus バージョン 10.3.2 からのデバイスコントロールでの MTP/PTP 対応の概要 (Sophos)。SAV for Windows 10.3.2 (2013.09) から対応。
あと、グループポリシーを使うとか?
グループ ポリシーを用いたデバイスのアクセス制御について (Ask Core, 2014.04.28)
※ MTP, PTP デバイスについて
デジタルカメラ (PTP デバイス) やオーディオプレーヤー (MTP デバイス) については、 Windows Portable Devices として認識されます。
これらのデバイスを制限するには、以下のデバイス セットアップ クラスを使用します。
Windows Portable Devices (WPD)
ClassGuid = {eec5ad98-8080-425f-922a-dabf3de3f69a}
How can I disable MTP/PTP over USB in Windows 7? (superuser, 2012.10.17)
関連: connect24h @connect24h さんの一連のツイート
》 記者の目:集団的自衛権と湾岸のトラウマ=布施広(論説室) (毎日, 7/17)
》 エボラ死者600人超に、感染拡大止まらず (CNN, 7/17)。7/12 時点で死亡 603 人だと。 2014年07月11日更新 西アフリカでエボラ出血熱が発生しています (更新30) (厚生労働省検疫所, 7/11) では 7/8 時点で死亡 539 人なのだが。たった 4 日で 64 人死亡ということ?!
》 川口洋のセキュリティ・プライベート・アイズ(50):工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート (@IT, 7/9)
》 小型無線ヘリ墜落、愛知県警が書類送検へ 夜景を撮影 (朝日, 7/17)
捜査関係者によると、墜落事故があったのは4月9日夜。男は、名古屋空港(愛知県小牧市など)の航空交通管制圏内である名古屋市中区のテレビ塔付近で、無届けで無線操縦ヘリ(約1キログラム)を150メートルを超える上空で飛行させ、航空機の安全を確保する同法の規定に違反した疑いがある。容疑を認めているという。
この件ですね: 名古屋の繁華街・栄に小型無線ヘリ墜落、あわや惨事 過去には死亡事故も (NAVER まとめ, 4/29)
》 被リンク問題に関する「2ch.net」の誤算 (楽しくないブログ, 7/14)
》 リムパックに中国が初参加、日本指揮下の演習は忌避 (ウォール・ストリート・ジャーナル日本版, 7/17)
》 情報セキュリティ白書2014 (IPA, 7/15)。「今回初めて電子書籍版を制作し、Amazonにて8月中旬に発行する予定です」。え? kindle 版だけなの?
》 巨大企業AppleとIBMが業務提携、企業向けサービス業界に衝撃が走る (gigazine, 7/16)。 30 年前には こんな CM をつくってた Apple が、IBM と手を結ぶ日が来ようとは……。
》 集合知が衆愚になるのはバイアスが原因、そして衆愚化するのを防ぐ方法 (gigazine, 7/16)
彼らの理論の背景にあるのは非常にシンプルな考え。つまり、「自分の意見に自信を持っている人に影響されやすいタイプの人がいる」ということ。
》 簡単なパスワードの再利用がセキュリティ管理上有効であることが数学的に判明 (gigazine, 7/17)
例えばオンラインバンクの口座情報の管理画面で使うような、万一ハッキングされた場合の被害がとてつもなく大きいものについては、従来通り、複雑なパスワードをそのサイト固有で用いるべき。しかし、掲示板の書き込み用のパスワードなどハッキングされてもそれほど被害が大きくないものについては簡単なパスワードでよいということです。
たいていのオンラインサイトって、万一ハッキングされた場合の被害がかなり大きいと思うんだけど……。
》 第3回「組織における内部不正対策セミナー」開催のご案内 (IPA, 7/17)。毎回満員御礼となっているセミナーの再講演。 2014.07.30、東京都文京区、無料。
Chrome 36.0.1985.125 が stable に。セキュリティ修正 26 件を含む。
》 コラム:最新鋭ステルス戦闘機「F35」の宿命的欠陥 (ロイター, 7/16)
オランダの航空宇宙専門家で、戦闘機情報サイトのJSFニュースの編集者であるヨハン・ベーダー氏は「エンジンの同じ個所で問題が繰り返されていることは、F135エンジンの深刻な設計上かつ構造上の問題を示しているかもしれない」と述べた。 (中略) そして、たとえ史上最大の推進力を生むエンジンを積んだとしても、F35は「鈍重」な戦闘機だ。ワシントンの非営利組織「政府監督プロジェクト」で軍改革について研究するウィンスロー·ウィーラー氏は、F35を「重くて動力不足の失敗作」と呼ぶ。
》 兵庫県議10人に切手大量購入疑惑 (ニッカンスポーツ, 7/10)
関連: 丸尾 牧・兵庫県議のブログ
他の兵庫県議も切手を大量購入! 最大年144万円 (丸尾まき 言いたい放題, 7/9)
10人の資料を見ると、県政報告紙郵送料と記載をしており、金額が少額の人もおり、大きな問題はないだろうと想像します。
一方で野々村議員に匹敵する年144万円切手代に充当している自民党議員がいます。その方は、野々村議員同様、広報費の費目以外、資料に説明はありません。また、別の自民党議員は121万円を切手代に充当。政策の郵送費に使ったようです。
虚偽ではないと思いますが、その使途を裏付ける証拠資料の添付が必要です。2人は共に年度末に切手を大量に購入しており、繰越は認められないので、年度内に切手を使い切ったのかどうかの確認も必要です。
野々村竜太郎県議の「号泣事件」に対する私たちの見解 (丸尾まき 言いたい放題, 7/16)
》 “3大セキュリティベンダー”はもはや「リーダー」ではない――Gartnerが辛口評価 (ITmedia, 7/14)。確かになあ。
》 そのHDD/SSDはなぜ壊れた?プロが教える故障の裏側 HDD編(1)環境雰囲気が媒体/ヘッドを蝕む、敵はあらゆるところに (日経テクノロジー Online, 7/9)。環境汚染ガス、ですか……。
》 Google、脆弱性調査に専従する「Project Zero」発足 (ITmedia, 7/16)、 Googleの超優秀バグハンターやハッカーの神童が集結したドリームチーム「Project Zero」とは? (gigazine, 7/16)
》 プレス発表 標的型サイバー攻撃への対策支援 「サイバーレスキュー隊」を発足 (IPA, 7/16)
支援対象組織:下記法人を当初の対象の中心とします。
- 独立行政法人
- 地方独立行政法人
- 国と関係の深い業界等の団体
- 民間企業(標的型サイバー攻撃 特別相談窓口で受け付け、状況等から対応が必要と判断された場合)
》 ブロードバンドルーターのセキュリティーチェックのお願いについて (eo 光, 7/14)。eo ユーザー用のオープンリゾルバーチェックサイトできてる。
》 Adobe、日中韓3カ国語対応オープンソースフォントを無償公開 Googleが協力、アプリやWeb開発スムーズに (ITmedia, 7/16)。統一感のある CJK 表示。
》 FreeBSD 9.3-RELEASE登場 (マイナビニュース, 7/16)。Extended サポートです。
国産ステルス実証機ATD-X、三菱重工小牧南工場でロールアウト (FlyTeam, 7/12)
国産ステルス実証機、ついにロールアウト (slashdot.jp, 7/15)
》 ロシアのハッカー集団、米CNETの読者情報を盗み出す (ZDNet, 7/16)
CNET.comのウェブサイトで利用しているPHPフレームワーク「Symfony」のセキュリティホールが悪用された。
》 別のスマホからLINEログイン時は暗証番号が必要に 乗っ取り防止で (ITmedia, 7/16)、 【重要】スマートフォン版LINEのセキュリティ強化のため、「PINコード」による本人確認手順を追加します(7/17開始) (LINE, 7/15)。PIN コードは 7/17 15:00 からでないと設定できないそうで。
この「PINコード」は、電話番号の違う別のスマートフォンからLINEユーザーログインをするときに必要です。 そのため、機種変更で電話番号も変わる場合は、事前に設定が必要となります。
(中略)
※事前にPINコードを設定せずに、違う電話番号の端末に機種変更した場合、旧端末の電話番号の下4桁がPINコードの代わりになります。
PIN コードの初期値は NULL で、その場合は電話番号の下4桁が代用される、 ように読める。
》 IPA「情報セキュリティ白書2014」、注目分野はオンライン本人認証の動向など (クラウド Watch, 7/15)
》 子宮頸がんワクチン 広がる波紋 (NHK, 7/15)
去年4月、法律に基づく「定期接種」に追加されましたが、この1年ほとんど接種を受ける人がいない異例の状態が続いています。
まあ、そうなるよね。
国の専門家会議は (中略) 「ワクチンそのものが原因ではなく、接種の際の不安やストレスなど心理的な要因によって引き起こされる“心身の反応”だ」という見解を示しました。
実際、研究班がこの見解に基づいてカウンセリングなどの治療を行った70人の患者のうち7割近い人で症状の改善が見られたとしています。
それ、あくまで改善であって回復ではないんですよね。
その一方で、症状が改善していない患者もいます。
神奈川県に住む中学3年生の吉川佳里さんは、おととし子宮頸がんワクチンを接種したあと、全身に強い痛みの症状が現れ自由に歩くことが難しくなりました。
11の医療機関を転々とし、ワクチンの影響が疑われると診断されました。
今はほとんど学校に通えなくなっています。
こういう副作用が発生し、回復しない危険性がある。
“心身の反応”だけでは説明しきれないと指摘する専門家もいます。
厚生労働省の研究班のメンバーで信州大学病院の池田修一医師は (中略) 「心身の反応ではなく、神経の障害が痛みを引き起こしているのではないか」と指摘しています。
また、長年難病を研究してきた東京医科大学医学総合研究所の西岡久寿樹所長も、心身の反応で説明するのは無理があるのではないかと考えています。
「国の専門家会議」は間違っているのではという疑問。
関連:
子宮頸がんワクチン副作用 患者の1割に頻脈症候群 (真実を探すためのブログ, 7/9)。 信濃毎日 6/7 記事などの紹介。池田修一教授の研究。
信州大医学部の池田修一教授(脳神経内科学)のグループは6日までに、子宮頸(けい)がんワクチンの副作用が出ている患者の1割に、「ポッツ(体位性頻脈症候群)」というほとんど知られていない病態がもたらす頻脈などの症状があることを確認したと明らかにした。ワクチン接種とポッツの因果関係は分かっていないが、池田教授は「ポッツ発生の割合が高すぎる」として、ワクチン成分が原因の可能性があると主張している。
TBSNewsi・子宮頸がんワクチン、“副反応”症状で初の研究成果 (反日はどこからくるの, 6/12)。TBS 6/9 記事の紹介。
TBS 記事についてはこちらも: 子宮頸がん(HPV)ワクチンの副反応の真実を語る事は革命的な行動である (We are all one.(僕等は皆一つ), 6/12)
症状の改善を 〜子宮頸がんワクチン接種後の体調不良〜 (NHK, 2013.10.11)。 信州大学医学部・池田修一教授の活動の紹介。 関連: 子宮頸がん予防ワクチンの接種後の痛みの診療について (神奈川県)
子宮頸がんワクチン 患者の3割、痛み改善せず (viewpoint, 7/5)
一方、全国子宮頸がんワクチン被害者連絡会の松藤美香代表は「心身の反応がどうこうではなく、どうやったら治療できるのかが重要。ここでやっている議論が誰のためのものなのか、何のためのものなのか全く分からなかった」と批判。
さらに、6月9日に「全ての副反応症状の原因を心因性として説明することは医学的に不可能」と検討部会の結論に異議を唱える論文を発表した信州大学の池田修一医師が、痛みを専門的に診察する医療機関の調査班から外されたことに、大きな疑問を示した。
子宮頸がんワクチン、厚労省の意図的な排除 (みかりんのささやき〜子宮頸がんワクチン被害のブログ〜, 7/9)。 TBS 7/9 記事の紹介 (Google キャッシュでも読める)。
今回の部会への出席について、厚生労働省から池田教授に連絡は一切なかったと言います。
「(『神経班』を外した厚労省の対応について)コメントする立場にない。(なぜ外されているのか)厚生労働省の担当に聞くのが一番いいのでは」(信州大学医学部部長・池田修一教授〔神経中心の研究班〕)
池田教授のもとには、今も副反応を訴える新たな患者が毎週訪ねて来ると言います。先週の部会では、痛み中心の研究班から「患者の7割は症状が改善している」と報告されました。しかし、池田教授は因果関係の解明を強調します。
「改善しているのはあくまでも手足の症状だけ。改善しても非常にだるい、慢性疲労症候群も問題。何らかの神経コントロールの異常があるはず。何も異常がなくてこれだけ共通に心因反応が起こるはずない。(症状の)きっかけ(原因)をつかむのが我々『神経内科』」(信州大学医学部部長・池田修一教授)
今回の部会の中でも、1人の委員から「なぜ新たな体制案には神経内科の医療機関がないのか」との意見が出ました。歩行や記憶障害などの症状が続く患者の母親も部会を傍聴し、疑問を持っています。
「本当に子どものことを考えていただきたい」(傍聴した患者の母親)
患者の支援に当たる弁護士は、今回の体制案の問題をこう指摘しました。
「1回は厚労省が『この2つ(“痛み”と“神経”)が診療体制』と指定した病院。患者に何の説明もなく神経班を外してしまうのは本当に不当。患者無視。自分たち(部会)の結論に批判的な立場の人を排除したというふうにしか受け止められない」(水口真寿美弁護士)
子宮頸がん予防ワクチンの厚労省審議委員7割が利益相反――委員の4割が受領「不申告」 (週刊金曜日, 6/2)
》 3年後、Google+が実名ルールを捨て、ユーザーに謝罪 (techcrunch, 7/16)
人は実名では酷いコメントを書きにくくなる、というのが背景にあるアイデアだった。しかし、実際には多くの真っ当なコメンターが書くのをやめる一方で、多くの愚か者が実名(あるいは、Googleが実名だと〈思った〉名前)で同じ行動を続けた。
Oracle 定期更新来ました。113 件のセキュリティ欠陥が修正されています。 VirtualBox や MySQL もあるよ。
Java SE は 8u11 と 7u65 で修正されています。 ダウンロード
》 Google Glassなどを使ってパスワードや暗証番号を盗むソフトウェア (slashdot.jp, 7/14)。Google Glass を使って、第3者が装着者をショルダーハックする話みたい。
》 Java 7のWindows XP対応は当面継続、Oracleが表明 (ITmedia, 7/15)。方針撤回、やっぱり出すそうです。
》 三鷹バス痴漢冤罪事件、高裁で逆転勝訴。 おめでとうございます。 いや、地裁判決がトンデモなのであって、これはごくごくあたりまえの判決なのですが。
「三鷹バス痴漢冤罪事件」でトンデモナイ有罪判決 (togetter, 2013.05.09)。地裁判決。
裁判官検索: 倉澤千巖 (e-hoki)。「東京地方裁判所・東京家庭裁判所立川支部部総括判事」。
一審痴漢有罪の教諭 逆転無罪 (NHK, 7/15)。当然、無罪です。
》 マルウェア分析から“世界平和”へ―JPCERT/CC 中津留勇さん (Enterprise Zine, 7/15)
》 大手ホテルの公共PCにマルウェア、客情報が大量流出 (ITmedia, 7/15)。キーロガーがいたそうで。
ホテルのPCなど誰にでも物理的にアクセスできるPCは、セキュリティに関していえば「終わったも同然」だと同サイトを運営するブライアン・クレブズ氏は指摘する。
ですよねえ。信頼できないハードウェアでセンシティブ情報を扱ってはいけません。
もし外出先でメールの内容を印刷する必要が生じた場合は、「yopmail.com」「10minutemail.com」などの無料サービスで使い捨てのメールアドレスを取得しておいて、印刷したいメールやファイルを自分のモバイル端末からそのアドレスに転送し、公共のコンピュータから使い捨てアドレスにアクセスして利用する方法を紹介している。
あるいは、コンビニのプリントサービスを使うとか。
netprint。セブン-イレブン。
ネットワークプリントサービス。 サークルKサンクス、ファミマ、ローソン。
》 ああ、かわいそうな中国世界中からこんなに嫌われて 「成り上がり者」の無礼な振る舞いに、エリザベス女王も呆れ果てた (現代ビジネス, 7/15)。3m でどうこうとか、みみっちすぎる。
》 池袋事件で使用の脱法ドラッグ緊急指定 (NHK, 7/15)、 新たに2物質を指定薬物に指定する省令を公布しました 〜初めて、指定手続の特例により指定〜 (厚生労働省, 7/15)
》 豪競泳選手イアン・ソープ、ゲイとしてカミングアウト (石壁に百合の花咲く, 7/14)、 イアン・ソープのカミングアウトにアスリートたちが祝福ツイート (石壁に百合の花咲く, 7/14)
》 OpenBSD、OpenSSLからフォークした「LibreSSL 2.0」のPortable版をリリース (sourceforge.jp, 7/15)。その後 2.0.1 が出てます。
京都府警とNTT西日本で通信活用の防犯協定 〜電話やインターネット使った犯罪防止へ〜 (ポリスチャンネル, 7/14)
「犯罪の起きにくい社会づくりに関する協定」でぐぐる。 全国各地でやってるんですね。
これか: 4 官民一体となった犯罪抑止対策 (平成 23 年版警察白書) の「コラム〔6〕 犯罪の起きにくい社会づくりの推進」
22年以降、警察が社会の様々な主体を牽引し (中略) 小さな犯罪も安易に見過ごさない、また、社会から孤立した人を支援するための幅広い取組を進め、社会の規範意識の向上や絆の強化を図ることを内容とした「犯罪の起きにくい社会づくり」を推進している。
》 【コラム 江川紹子】人質司法が虚偽の供述と冤罪を作り出す (さくらフィナンシャルニュース, 7/14)
こんな風に、否認していると長期の身柄拘束がなされるという「人質司法」は、しばしば虚偽の供述を生み、冤罪を作り出す。また、村木さんは「裁判も始まらないうちから、罰を受けているようなもの」と指摘する。
ところが、身柄拘束について判断をする裁判所は、この現状を全く問題だと感じていないようだ。(中略) 法制審議会「新時代の刑事司法制度特別部会」(中略) がこのほどまとめた答申案でも、身柄拘束については、格別に改善の提言がされることなく終わってしまった。同特別部会の委員を務めた映画監督の周防正行さんは、「身柄を拘束される苦痛について、裁判官の想像力がなさ過ぎる」と嘆く。
》 集団的自衛権に警鐘 元自衛官インタビュー (沖縄タイムス, 7/14)。訓練内容について。
安倍政権になってから、内容が大幅に変わりました。人を標的とする訓練が始まりました。これまでは、相手を捕獲することが基本でしたが、もう今までと違います。軍隊としか思えません。
1年に2回だった実戦訓練は実際、増えました。人殺しは嫌です。これからは、自衛隊をやめる人がもっと増えるかもしれません。
》 「父さんがドイツに全貯金を賭けちゃったんだ」 反サッカー賭博キャンペーンに思わぬ誤算、シンガポールで (ねとらぼ, 7/14)。ドイツ勝っちゃった……ので、すかさず続きを作成。 よりリアルになった。さすがです。
》 女性アーティスト・ろくでなし子が語っていた本音 「女性器は現実。汚いものとして嫌ってる風潮が疑問だった」 (ウートピ, 7/14)。この件で逮捕された方: 3Dプリンター:わいせつデータをメール頒布 警視庁逮捕 (毎日, 7/14)。 マンガ家・ろくでなし子 さんの女性器アート活動に対して警視庁が動いた模様。
関連:
「ろくでなし子」逮捕に作家・北原みのりさんが反論「女性器はわいせつ物じゃない」 (弁護士ドットコム, 7/14)
海外メディアからも表現者、アーティストとして注目され、本人もやる気になっていた。そんな矢先の出来事でした」
「それなのに、メディアでは『自称芸術家』などと報道され、公表していなかった本名や年齢を公開され、警察署に入る際の映像を放映されるなど、『おかしな人扱い』をされています。これはひどい扱いだと思います。
ろくでなし子さんのよいこの科学まん個展に潜入してみた!@新宿眼科画廊 (群馬の飲食店に潜入します!!!(ただの食べ歩き), 5/24)。 これが警視庁的にはわいせつ物なのだろうか。 これに欲情する光景を想像できないのだが……。 それとも、「データ」というのがミソなのだろうか。
》 Googleの法務責任者、“忘れられる権利”について欧主要メディアに寄稿 (ITmedia, 7/14)
この裁定の問題点として、具体的な基準が示されていないために個別のケースの判断が難しいことや、検索エンジンには報道を例外として扱う権利がないことを挙げている。後者はつまり、例えばGuardianのようなメディアは個人名を含む記事を掲載できるが、検索エンジンは(削除要請があった場合は)その個人名で検索した結果ページにその記事へのリンクを表示してはいけないことを意味する。ドラモンド氏は「これは図書館に書籍を置けても、その書籍を図書目録に記載できないのと同じだ」と言う。
Google は、いつから図書館になったのか。 図書館じゃないでしょ。
》 オムロン、破棄されるはずの JR 乗降客映像を無断流用し研究
JR乗降客映像を無断流用 オムロンが「不審行動」解析 (朝日, 7/11)
オムロンは2008〜09年、4駅の改札付近の乗降客の流れを調べる流動調査のために各駅に10台ほどのカメラを設置。JR東側からDVDで映像の提供を受け、契約に基づき分析結果をJR東側に報告した。オムロンはJR東側とデータを一定期間後に破棄することや、委託した目的以外では使わないことを約束していた。
にもかかわらず、無断で流用したと。
総務省所管の独立行政法人「情報通信研究機構」(東京都小金井市、NICT)の事業公募に、不審行動を割り出す映像センサー技術の開発を目指すとして応募し、10年度までの5年連続で採用されていた。
「高度画像監視センサネットワーク技術の研究開発」でいいのかな。
民間基盤技術研究促進制度 成果報告書 (NICT)
平成18年度 研究開発成果報告書 高度画像監視センサネットワーク技術の研究開発 (NICT) (Google キャッシュ)
平成19年度 研究開発成果報告書 高度画像監視センサネットワーク技術の研究開発 (NICT) (Google キャッシュ)
平成22年度 成果報告書 (一般型) 「高度画像監視センサネットワーク技術の研究開発」 (NICT) (Google キャッシュ)
上條研究室 (東京大学)
10. 河村敦志(オムロン株式会社), 吉光裕司(オムロン株式会社), 梶谷浩一郎(オムロン株式会社), 内藤丈嗣(オムロン株式会社), 藤村嘉一(東京大学生産技術研究所), 上條俊介(東京大学生産技術研究所):
"高度画像監視センサネットワークシステム",
オーラルセッション発表 ViEW2010(Vision Engineering Workshop 2010), 2010.12.9-10, パシフィコ横浜
オムロン、ひそかに撮影13カ所 実験目的告げず (朝日, 7/12)。流用だけでなく、別件でも目的を隠蔽した撮影を実施。
オムロンによると、「撮影中」などと告知していたというが、情報通信研究機構(NICT)やオムロンの研究とは知らせていなかった。JR東の4駅でも、カメラに「旅客流動計測中」と記したシールを貼っただけだった。
オムロンは取材に対し、JR東の4駅以外については「映像を使用する承諾を得た」としているが、「技術開発のために映像を使う」などとだけ告げていたケースが大半だった。緑地公園駅(大阪府豊中市)での撮影を許可した北大阪急行は「NICTの研究に使うとは聞いていなかった。ホームの安全目的に使うとだけ説明を受けていた」と証言する。
オムロン「チェック働かなかった」 駅映像の無断流用 (朝日, 7/12)
〈JR東日本の話〉 オムロンとは秘密保持契約を結んでいたが、実際には、データを保管し、NICTの研究に使っていたとオムロンから報告を受けた。あってはならないことで厳重に抗議した。オムロン側に残っていた映像は、直ちに返却や破棄をさせた。今後、どのような実害が出たかの確認をした上で、オムロンへの対応を考える。我々も、社外に発注する際の映像の扱いなどを厳重に確認していなかったことを反省している。
弊社グループ会社の研究開発における画像情報利用に関するお詫び (オムロン, 7/12)
》 脱法ドラッグ4人変死、通報も急増 口から血を流しながら「殺してくれ」 (産経, 7/12)。致死性ありですか……。
》 ニトロプラスの二次創作ガイドライン、同人誌については緩和へ (slashdot.jp, 7/11)、 ニトロプラスが同人活動に関するガイドラインを制定したところ反発にあい、再度改定を行う (楽しくないブログ, 7/11)
ベネッセから顧客情報 760 万世帯分が流出、名簿屋から情報を購入したジャストシステムがダイレクトメールを送付して発覚 (2014.07.10)
関連:
ベネッセ情報流出 派遣社員が関与認める (NHK, 2014.07.14)
ベネッセ流出、データベース統合が被害拡大か 顧客情報1000万件単位を一括管理 (ITmedia, 2014.07.14)
ベネッセ個人情報ダダ漏れの件でなぜか孫正義が口出しし「お前が言うな」の大合唱 (togetter, 2014.07.12)
個人情報の大量漏えい事件で見覚えのある光景 (情報公開にまつわる日々の出来事-情報公開クリアリングハウス理事長日誌, 2014.07.14)
そして、この閲覧制度は住基台帳法が改正され、2006年に廃止されました。廃止されるまでの間は、結構うちも頑張りましたし、各地の市民や地方議員、そして自治体も頑張りました。かくして、自治体経由で住民情報がダダ漏れという状況はなくなったわけです。
ところが、文献社のHPを見ると、2006年時点まで行っていた閲覧制度で収集した情報をもとに、鮮度を確保した個人情報を提供すると言っておられるわけです。疑問は二つ。一つは、ベネッセの委託を受けて閲覧をして個人情報を収集したのであれば、それを名簿として商売のネタにするのは、違法であるはずということです。そして2006年から8年近く経過し、住基台帳の情報はもはや鮮度が高いと言えないにもかかわらず、なぜ鮮度を確保していることを売りにしているのか。
いろいろいこのあたりに闇が奥深い世界が広がっていそうです。そして、ベネッセはもともとは文献社のお得意様であったというこのシュールな状況。
.@HiromitsuTakagi 氏によるベネッセコーポレーション個人情報流出及びその関連案件についての見解 (togetter, 2014.07.14)
》 Amazonが送料無料を禁止した「反Amazon法」に対抗して「送料1円」に (gigazine, 7/11)
》 燃料電池車で泣いたトヨタの開発者 発売を前倒しする本当の理由 (日経ビジネス, 7/8)
》 iTunes 11.3、アップデートでiPhoneが認識されなくなる不具合 (スマホ口コミ評価速報, 7/12)。うーむ。
韓国内、中国との対日共闘に警戒感「取り込まれるかも」 (朝日, 7/5)
【コラム】習近平式「中国の夢」を警戒する=韓国 (中央日報, 7/11)
米韓関係に激震か 「韓国は米国の中国包囲網に参加してはならない」 (tenten99 / BLOGOS, 7/11)。激震というか、いわゆる「フィンランド化」の話では。 「フィンランドになりたい」と言い出した韓国 「米中板挟み」に耐えかね「中立化」探る (日経ビジネス, 6/17) など。
【オピニオン】なぜ日本の軍事シフトは韓国にとって必要か (ウォール・ストリート・ジャーナル日本版, 7/7)
【オピニオン】韓国カードを切る中国、日本の孤立化は成功しない (ウォール・ストリート・ジャーナル日本版, 7/12)
ここ最近フジテレビが嫌韓化している現象 韓国マネーが尽きたか? (ガジェット通信, 7/12)
》 サイバー攻撃で自社サイトが長期閉鎖したら? ネットからの消滅を防ぐ方法 (日経 IT Pro, 7/10)
吉岡専務によれば、長期閉鎖したWebサイトを再開するときは、「なるべくWebサイトの構造やデザイン、コンテンツなどを元通りに戻す方がいい。『ついでにサイトをリニューアルする』といったことはやらない方がいい」という。
》 LINE乗っ取り被害600万円 (NHK, 7/11)
》 韓国:ロッテホテルが自衛隊創設記念行事の開催拒否 (毎日, 7/11)、 韓国で開催拒否の自衛隊行事 大使公邸で実施 (NHK, 7/11)
》 ルビコン河で溺れる韓国 中韓首脳会談を木村幹教授と読む(1) (日経ビジネス, 7/10)
Listening:<隣人>日中韓 対立と融合/1(その1) 中国撤退ビジネス、活況 税や解雇の対策指南 (毎日, 7/8)、 Listening:<隣人>日中韓 対立と融合/1(その2止) 中国「世界の工場」衰退 (毎日, 7/8)
隣人:日中韓 対立と融合/2 無視できぬ13億市場 (毎日, 7/9)
隣人:日中韓 対立と融合/3 中国「南進」、対抗策なく (毎日, 7/10)
日本は昨年、フィリピン沿岸警備隊に巡視船10隻を「海洋の安全」を名目に供与することを決めた。しかし、日本の外務省幹部は「中国に対峙するための手助けだ」と打ち明ける。
(中略)
米国は「アジア重視」を掲げるが、国防費は削減され、日本など同盟国に「肩代わり」を求める。在フィリピンの複数の外交関係者は「日本の巡視船の供与は、米国の後押しもあった」と話す。
中国と激しく対立するベトナムも日本に巡視船の供与を求め、政府間で調整が続いている。海保関係者によると、中国公船と対抗できる100メートル級の大型巡視船を要求している。
これがリアルですから。
ちょうど、 軍事研究 2014年8月号 に「南海艦隊に新型水上艦を投入 中国海軍!南シナ海の完全制圧を目指す」という記事も出てますね。大量建造中の 056型コルベット (日本周辺国の軍事兵器) は南シナ海向けとの分析。
》 あなたの運転をスパイする代りに、自動車保険をディスカウントします IoTは既に我々の日常生活に入り込んでいる (Market Hack, 7/10)
これまでにこのようなデバイスを取り付けることに同意したドライバーは200万人に過ぎません。
ちょっと待って……。既に 200 万人もいるの?!
》 全国の警察がISP各社に対しロシア(ru)ドメインへの接続遮断を要請 (slashdot.jp, 7/10)。FACTA のアレの件。
ガザ地区で死者急増―イスラエル軍による攻撃激化 (ウォール・ストリート・ジャーナル日本版, 7/11)
Gaza Blog Live (aljazeera)
ガザ:イスラエル軍「地上戦を準備」 住民に退避促す (毎日, 7/11)
》 15年超IT系記者のプライドがポッキリ折れた話 (日経 IT Pro, 7/11)。OpenSSL の件。
》 Oracleが定例アップデートを予告、Javaに極めて深刻な脆弱性 (ITmedia, 7/11)
》 【週刊フライデーが衝撃のスクープ】安倍官邸がNHKを恫喝!NHK側土下座と国谷キャスター涙 (NAVER まとめ, 7/11)。官邸の、犬HK。
関連:
週刊誌報道「事実と違う」=菅長官 (時事, 7/11)。事実でもそうでなくても、そう言うわなあ。
sugiyama @sora9760 さんのツイート:
NHKクロ現「集団的自衛権 菅官房長官に問う」:「そもそも憲法解釈を変更したという事に対する原則の部分での違和感や不安というものをどうやって払拭していくか?」という国谷キャスターによる「最後の質問」は記録から削除されている http://t.co/vgEUKLMjTP
— sugiyama (@sora9760) 2014, 7月 11》 セキュリティクラスター まとめのまとめ 2014年6月版:LINEの盗聴疑惑にセキュリティクラスターはどう反応したか (@IT, 7/10)
》 【広報資料】「スマホ時代の子どもを守る「ALL京都」シンポジウムの開催について (京都市, 6/21)。2014.07.29、京都府京都市、無料。
》 西村博之がアフィブログやライブドアと繋がっているのを次第に隠さなくなっている模様 (楽しくないブログ, 7/10)
》 輸入ウナギ「種の把握に誤り」 NGO、4スーパー調査 (朝日, 7/10)。詳細はこちらを: DNA 検査で発覚! ウナギ流通の“闇” (グリーンピース)
》 小型化・高度化が進んで巧妙さを増すATMカードスキミング装置の実態 (gigazine, 7/8)
》 Upcoming Update to WSUS (KB 2887535) (WSUS Product Team Blog, 7/8)。WSUS 関連の非セキュリティな更新について。
Update to Microsoft Update client (Microsoft KB 2887535)。Microsoft Update クライアントの更新。 Windows 7 SP1、Server 2008 R2 SP1、8、RT、Server 2012 用。 (Windows 8.1、RT 8.1、Server 2012 R2) + 2919355 (Windows 8.1 アップデート) は、既にこれ相当になっている。
An update to harden Windows Server Update Services (Microsoft KB 2938066)。WSUS の更新。対象: WSUS 3.0 SP2、Windows Server 2012 + WSUS ロール、Windows Server 2012 R2 + WSUS ロール。
》 What are all those other Microsoft updates? (ZDNet, 7/10)。Microsoft Update の日の、非セキュリティな更新について。
》 「個人情報の削除」で詐欺被害 (NHK「かぶん」ブログ, 7/10)
》 Amazonが無断アプリ内課金の対策不足を指摘されるも改善を断固拒否して法廷闘争へ (gigazine, 7/11)。FTC 対 Amazon。
FTCは消費者から「Amazon製タブレット端末Kindle Fireのゲームアプリで、子どもが親に無断で有料課金オプションを利用してしまい、多額の請求を受けている」という苦情が多く寄せられたことから調査を行ったところ、Kindle対応アプリでは、有料課金オプションを購入するためにパスワード入力が求められない仕様であり、普段、AmazonアカウントでログインしているKindle Fireなどのモバイル端末であれば、子どもが親に無断で簡単に有料サービスを利用できる状態であることが分かりました。
》 Amazon、FAAにドローン配達のテスト許可を申請 (techcrunch, 7/11)
》 携帯電話ロック解除法案、米上院委員会を通過 (techcrunch, 7/10)
インドでニセ google 証明書の件、マイクロソフトも対応。 google.com の他に gmail.com, googlemail.com, gstatic.com, yahoo.com, yahoo-inc.com, yahooapis.com のニセ証明書もあった (SA 2982792 に一覧あり)。CCA India (インド政府認証管理局) から発行された NIC (インド国立情報工学センター) の中間 CA 証明書を無効化することで対応。
関連:
Maintaining digital certificate security (Google, 2014.07.08)
Update Jul 9: (中略) The intermediate CA certificates held by NIC were revoked on July 3, as noted above. But a root CA is responsible for all certificates issued under its authority. In light of this, in a future Chrome release, we will limit the India CCA root certificate to the following domains and subdomains thereof in order to protect users:
- gov.in
- nic.in
- ac.in
- rbi.org.in
- bankofindia.co.in
- ncode.in
- tcs.co.in
http://cca.gov.in/cca/。 「What's New」のところにちろっと書いてあるだけ。
ベネッセから顧客情報 760 万世帯分が流出、名簿屋から情報を購入したジャストシステムがダイレクトメールを送付して発覚 (2014.07.10)
関連:
2014年7月10日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 2014.07.11)
ベネッセコーポレーションの顧客情報が流出 (slashdot.jp, 2014.07.10)
ベネッセ情報漏えい:顧客DB再委託先から不正持ち出しか (毎日, 2014.07.11)
関係者によると、ベネッセはデータベースの運用や保守管理を岡山市に本社があるグループ企業「シンフォーム」に委託。同社はこうした業務を、さらに複数の外部業者に分散して再委託していたという。再委託先の担当者にもデータベースにアクセスする権限が与えられているとされ、警視庁はアクセス履歴や手口の分析を進めている。
また、流出した顧客情報のうち約230万件分については、通信教育事業を手掛けるソフトウエア会社「ジャストシステム」(徳島市)が東京都福生市の名簿業者「文献(ぶんけん)社」から購入し、ダイレクトメール(DM)を出していた。DMにはベネッセにしか登録されていない個人情報が含まれており、不審に思った顧客からの問い合わせで発覚した。
シンフォーム。 何もない。 Facebook ではラフティングツアーを楽しんでいらっしゃるなど。
沿革 (シンフォーム)
2001 年 「プライバシーマーク使用許諾事業者」として認定。(2011年返上)
えぇ〜?!
クローズアップ2014:ベネッセ流出 価値増す子供の情報 名簿業者「小6は1件15円」 (毎日, 2014.07.11)
両社の役員を兼ねる男性によると、ジャスト社には自社所有のリスト約120万件を今年2月下旬〜3月上旬に直接販売したところ、「もっと必要」と求められた。そのため同業者の「パンワールド」(武蔵野市)から得た約230万件分のデータを5月21日にジャスト社に渡したという。
Listening:<社説>ベネッセ情報流出 信用失う怖さ再認識を (毎日, 2014.07.11)
ベネッセHD:情報流出 再委託先担当者が接続 ダウンロード履歴 (毎日, 2014.07.11)
グループ企業から顧客データベースの管理を再委託されていた保守管理会社の関係者が昨年、大量の顧客情報をダウンロードした履歴がベネッセのサーバーに残されていたことが関係者への取材でわかった。顧客情報はその後、USBメモリーなどの記憶媒体にコピーされ、名簿業者に売却されたとみられる。不正競争防止法違反(営業秘密の複製・開示)容疑で捜査している警視庁は、流出させた疑いがある人物について既にベネッセから報告を受けており、同庁は今後、保守管理会社を家宅捜索するなどして全容解明を進める。
既に容疑者の目星はついているようで。
ベネッセ情報流出:さらに波紋…横浜の2動物園行事からも (毎日, 2014.07.11)。というか、ベネッセはもともとそういう手段を使って個人情報を集めていたわけで。
ジャストシステム、ベネッセからの面会要請に「協議には応じる」 (日経 IT Pro, 2014.07.10)
学力テスト集計委託の文科省「極めて遺憾」 (NHK, 2014.07.11)
文部科学省は、全国の小学6年生と中学3年生を対象に行っている全国学力テストのうち、小学生のテストの問題冊子の送付や採点、集計などを8年連続でベネッセに委託しています。 今年度はおよそ21億円8000万円で委託されました。
(中略)
これらのテストについてベネッセからは、今回、情報が流出したデータベースとは別のシステムで管理しているいため、問題はないと説明を受けているということです。
と言われてはいそうですかと納得できるわけないよねえ。
「子供の名簿」はカネになる 20倍で転売の価値 法規制なく名簿業者野放し (産経 / ITmedia, 2014.07.11)
名簿屋についての議論
第10回 パーソナルデータに関する検討会 議事次第 (首相官邸, 2014.05.29)
「パーソナルデータの利活用に関する制度改正大綱」に対する意見募集について (首相官邸, 2014.06.25)。7/24 締切。 「いわゆる名簿屋」について、大綱では「継続的な検討課題」として先送り (とりあえず何もしない) となっているところに、この事件。
ベネッセ個人情報漏洩事件所感 (.Nat Zone – Identity, Privacy and Music, 2014.07.11)
APSB14-17: Security updates available for Adobe Flash Player (2014.07.09)
Adobe Flash Player updates available for OS X on July 10, 2014 (Apple, 2014.07.10)、Apple Forcing Users to Upgrade to Latest Adobe Flash Plug-In Due to Security Issues (MacRumors, 2014.07.10)。Mac OS X 方面では、Flash Player が 14.0.0.145 / 13.0.0.231 より古いとブロックされるようになりました。
》 LINEのWebMoney詐欺師のIPアドレスを割り出してみた (まつぼ x Web, 7/6)
そして、VNCのパスワードをクラックするためにncrackをしばらく動かしていたんだけど、どうやらVNCの時はちゃんと動いてくれない模様。
次に、hydra使って、有名どころのパスワードを一通り試してみましたが、一致せず。。。。
それはやっちゃ駄目……
》 時論公論 「動き始めた東京五輪の行方」 (NHK 解説委員室, 7/10)
イスラエル ガザ本格空爆を開始 (NHK, 7/8)
ガザ地区を空爆 子どもなど16人死亡 (NHK, 7/9)
ガザ地区の空爆続く 停戦模索も予断許さず (NHK, 7/10)
NYでガザ地区空爆への抗議デモ (NHK, 7/10)
イスラエルがガザ空爆、15人死亡 (ウォール・ストリート・ジャーナル日本版, 7/9)
イスラエルとハマスの戦闘激化―エルサレムにロケット弾 (ウォール・ストリート・ジャーナル日本版, 7/9)
空爆続くガザとロケット弾警戒するイスラエル (ウォール・ストリート・ジャーナル日本版, 7/10)
イスラエル空軍、ガザ地区への攻撃継続―沈静化の兆し見えず (ウォール・ストリート・ジャーナル日本版, 7/10)
ガザ空爆 計430カ所に イスラエル地上戦準備 (東京, 7/10)
ガザ情勢(イスラエル紙の論調) (中東の窓, 7/10)
》 拉致の可能性を排除できない事案に係る方々 (警察庁, 7/8)。今になってこんなページつくったんだ……。ふぅん。
》 Malware Analysis with pedump (SANS ISC, 7/5)
》 http://erteam.nprotect.com/474 (nProtect, 7/3)、 北朝鮮のサイバー攻撃は停戦ではなく、現在進行形の脅威 (Google 翻訳)
》 Windows XPとJava (Oracle)。終了。
》 坂本龍一の咽頭がん報道「反原発だから放射線治療拒否」はスポニチの飛ばし記事でした (BUZZAP, 7/10)
》 どうやら総務省が本気でケータイ事業への介入を行うようです (山本 一郎 / Yahoo, 7/9)
予定どおり出ました。
IE 6〜11 に 24 件のセキュリティ欠陥。
EV (Extended Validation) 証明書セキュリティ機能のバイパスの脆弱性 - CVE-2014-2783。 EV SSL ではワイルドカード証明書を認めないのだが、 IE は認めてしまっていた。 Exploitability Index: N/A
メモリ破損の脆弱性 - CVE-2014-1763 CVE-2014-1765 CVE-2014-2785 CVE-2014-2786 CVE-2014-2787 CVE-2014-2788 CVE-2014-2789 CVE-2014-2790 CVE-2014-2791 CVE-2014-2792 CVE-2014-2794 CVE-2014-2795 CVE-2014-2797 CVE-2014-2798 CVE-2014-2800 CVE-2014-2801 CVE-2014-2802 CVE-2014-2803 CVE-2014-2804 CVE-2014-2806 CVE-2014-2807 CVE-2014-2809 CVE-2014-2813。 Exploitability Index: 1
Windows Vista、Server 2008、7、Server 2008 R2、8、8.1、Server 2012、Server 2012 R2、RT、RT 8.1 に欠陥。Windows Journal に欠陥があり、攻略ジャーナルファイルを開くと任意のコードが実行される。CVE-2014-1824。 Exploitability Index: 1
Windows Vista、Server 2008、7、Server 2008 R2、8、8.1、Server 2012、Server 2012 R2、RT、RT 8.1 に欠陥。整合性レベルが「低レベル」となっているプロセス (IE 保護モードなど) からスクリーンキーボードを実行することで、現在のユーザーと同じ整合性レベルで任意のプログラムを実行できる。実際にはさらにもう一段ステップがあるようで:
攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
この脆弱性を悪用するには、攻撃者はまず低整合性プロセスの脆弱性を使用してスクリーン キーボードを実行した後、特別に細工されたプログラムを標的となるシステムにアップロードする手段を確保する必要があります。
「一部のプログラムが整合性レベルの異なるプログラムと通信する方法を修正」して対応。 CVE-2014-2781。Exploitability Index: 1
Windows Server 2003、Vista、Server 2008、7、Server 2008 R2、8、8.1、Server 2012、Server 2012 R2、RT、RT 8.1 に欠陥。Ancillary Function ドライバー (AFD) に欠陥があり、local user による管理者権限の取得が可能。CVE-2014-1767。Exploitability Index: 1
Windows Vista、Server 2008、7、Server 2008 R2、8、8.1、Server 2012、Server 2012 R2、RT、RT 8.1 に欠陥。DirectShow に欠陥があり、 MS14-039 などと組みあわせることで (という理解でいいのかな) 整合性レベル「低レベル」から、ログオンしているユーザーの権限への権限上昇が可能となる。 CVE-2014-2780。Exploitability Index: 1
Windows Server 2008 R2、Server 2012、Server 2012 R2 に欠陥。 Microsoft Service Bus for Windows Server 1.1 に欠陥があり、攻略 Advanced Message Queuing Protocol (AMQP) メッセージを受信すると Microsoft Service Bus が応答しなくなる。よって DoS 攻撃が成立。 CVE-2014-2814。 Exploitability Index: N/A
関連:
2014 年 7 月のセキュリティ情報 (月例) - MS14-037 ~ MS14-042 (日本のセキュリティチーム, 2014.07.09)
2014 年 7 月のマイクロソフト ワンポイント セキュリティ 〜ビデオで簡単に解説 〜 (日本のセキュリティチーム, 2014.07.09)
2014 年 7 月のセキュリティ更新プログラムのリスク評価 (日本のセキュリティチーム, 2014.07.09)
Microsoft Patch Tuesday - July (SANS ISC, 2014.07.08)
セキュリティ更新が受けられなくなる前に、Windows 8.1 Updateを! (@IT, 2014.07.09)
マイクロソフト セキュリティ アドバイザリ 2871997: 資格情報の保護と管理を改善する更新プログラム (2014.05.16)
更新プログラム 2973351 と 2975625 が公開された。
Windows 8.1・Server 2012 R2・RT 8.1 に 2973351 (Windows 8.1 Update 適用済用) または 2975625 (Windows 8.1 Update 適用なし用) をインストールすると、制限管理モードがデフォルト OFF になる (これまではデフォルト ON だった)。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa へのレジストリ設定 + 再起動で ON/OFF を切り替えられるようになる。
Windows 7、Server 2008 R2、8、Server 2012、RT の場合、これまでは、2871997 更新プログラムで制限管理モード機能を追加し、Fixit 20141 の適用で有効化するというしくみになっていた (なぜか無効化手順が説明されていない……)。
今回、2871997 に加えて 2973351 を適用すると、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa へのレジストリ設定 + 再起動で ON/OFF を切り替えられるようになる。
オフィシャル情報
プレスリリース: お客様情報の漏えいについてお詫びとご説明 (ベネッセ, 2014.07.09)
本日の一部報道につきまして (ジャストシステム, 2014.07.10)
当社がベネッセコーポレーションから流出した情報と認識したうえでこれを利用したという事実は一切ございません。(中略) いずれの場合においても、適切な手順や方法をとっております。
顧客からの声
スマイルゼミから子供宛てにDMが届きました。 資料請求した記憶がないのです... (Yahoo! 知恵袋, 2014.06.28)。文献社(本社:東京都福生市)→スマイルゼミ→顧客、という流れが明らかに。 スマイルゼミ = ジャストシステム。 文献社の web ページ には「当社の名簿リストは全国各地の市町村役場で住民基本台帳が閲覧可能な時期に入手したリストなので、情報の入手ルートや時期が明確なうえ、100%自社が開発した独自のリストになります」とあるが、実は違うということなのか。
ジャストシステムのスマイルゼミから不自然なDMが届くと噂になってたら、ベネッセから最大2070万件の個人情報流出のお詫びちゃれんじが届いた件 (市況かぶ全力2階建)
まとめ、分析
ベネッセの情報漏えいをまとめてみた。 (piyolog, 2014.07.09)。 パンワールド→文献社(本社:東京都福生市)→スマイルゼミ→顧客、の模様。 そのさらに元があるのかどうかは不明。
ベネッセの個人情報流出関連 (やまもといちろ Blog, 2014.07.09)
ベネッセが埋めた名簿屋のミッシング・ピース (雑種路線でいこう, 2014.07.09)
身の回りで多くの知り合いが被害に遭っていることから分かるように、今回漏れたデータは未成年の親子に対する非常にカバレッジの高いデータベースだ。(中略) 公表されている名簿業者のデータベースリストをみると、1990年代半ばから顕著にカバレッジが下がり、2005年度生まれ以降のデータは空白となっていることを確認できる。地道にキャンペーンを通じて親子情報を蓄積したベネッセからの情報漏洩によって、個人情報保護法や住民票の閲覧制限で生じた名簿屋にとっての空白の10年が埋め合わせられたとすれば、それこそが今回の漏洩事案の真の深刻さではないか。
ベネッセ「賠償金」は700億円以上にのぼる? 大規模「個人情報流出」の法的責任 (弁護士ドットコム / Yahoo, 2014.07.10)
今回漏えいしたのは、氏名、住所、電話番語、子どもの生年月日・性別といった情報で、身体に関する情報ではありません。この点を考慮すると、損害賠償請求をすれば、1件あたり1~2万円程度の慰謝料となる可能性が高いと思います (中略)
現時点でも少なくとも760 万件あるということなので、仮に1件あたり1万円だとしても、ベネッセが負担する金額は760億円という莫大な金額になります。
関連報道など
【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯 (日経 IT Pro, 7/9)
今回のベネッセの会見では、最後まで明らかにならなかった点が二つある。一つは、漏えいを実行できるアクセス権限を持つ人間の範囲だ。同社は「警察の捜査に支障が出るため」として、アクセス権限を持つ人間の数などの詳細を公表していない。(中略)
ベネッセグループは、システムの運用をグループ企業のシンフォームに委託しており、さらにシンフォームは複数のIT企業に運用を再委託しているという。これらの委託企業に付与した権限の詳細について、同社は公表していない。
もう一つは、さらなる情報拡散の被害を防ぐための施策である。(中略)
ベネッセは、DMを発送したIT企業、名簿を持っていた名簿業者に対し、名簿の利用・販売の中止を求める内容証明郵便を発送。さらに、DMを発送したIT企業に面会を申し出たが、「面会に応じてもらえない」(同社)という。
こどもちゃれんじ・進研ゼミなどの個人情報が最大約2070万件も漏えいしたことが判明、ベネッセがお詫び (gigazine, 2014.07.09)
ベネッセ流出情報:ジャストシステムが利用 (毎日, 2014.07.10)
福生市の名簿業者は、武蔵野市の業者から買った情報をジャスト社に売ったと認めたうえで「違法な手段は全く使っていないし、ベネッセの顧客情報という認識はなかった」と説明。入手する名簿には、一般的に住所▽氏名▽生年月日▽電話番号−−などが掲載されているという。武蔵野市の業者は「他社から名簿を入手した。それ以上は答えられない」と語った。
ジャストシステム株がストップ安、ベネッセの情報流用か (ロイター, 2014.07.10)、 (株)ジャストシステム (Yahoo! ファイナンス)。前日終値 985 円 → ストップ安 835 円。
東証:ベネッセ株急落 (毎日, 2014.07.10)、 (株)ベネッセホールディングス (Yahoo! ファイナンス)。前日終値 4,360 円 → 4,150 円前後。
関連:
2014年7月10日のtwitterセキュリティクラスタ (twitterセキュリティネタまとめ, 2014.07.11)
ベネッセコーポレーションの顧客情報が流出 (slashdot.jp, 2014.07.10)
ベネッセ情報漏えい:顧客DB再委託先から不正持ち出しか (毎日, 2014.07.11)
関係者によると、ベネッセはデータベースの運用や保守管理を岡山市に本社があるグループ企業「シンフォーム」に委託。同社はこうした業務を、さらに複数の外部業者に分散して再委託していたという。再委託先の担当者にもデータベースにアクセスする権限が与えられているとされ、警視庁はアクセス履歴や手口の分析を進めている。
また、流出した顧客情報のうち約230万件分については、通信教育事業を手掛けるソフトウエア会社「ジャストシステム」(徳島市)が東京都福生市の名簿業者「文献(ぶんけん)社」から購入し、ダイレクトメール(DM)を出していた。DMにはベネッセにしか登録されていない個人情報が含まれており、不審に思った顧客からの問い合わせで発覚した。
シンフォーム。 何もない。 Facebook ではラフティングツアーを楽しんでいらっしゃるなど。
沿革 (シンフォーム)
2001 年 「プライバシーマーク使用許諾事業者」として認定。(2011年返上)
えぇ〜?!
クローズアップ2014:ベネッセ流出 価値増す子供の情報 名簿業者「小6は1件15円」 (毎日, 2014.07.11)
両社の役員を兼ねる男性によると、ジャスト社には自社所有のリスト約120万件を今年2月下旬〜3月上旬に直接販売したところ、「もっと必要」と求められた。そのため同業者の「パンワールド」(武蔵野市)から得た約230万件分のデータを5月21日にジャスト社に渡したという。
Listening:<社説>ベネッセ情報流出 信用失う怖さ再認識を (毎日, 2014.07.11)
ベネッセHD:情報流出 再委託先担当者が接続 ダウンロード履歴 (毎日, 2014.07.11)
グループ企業から顧客データベースの管理を再委託されていた保守管理会社の関係者が昨年、大量の顧客情報をダウンロードした履歴がベネッセのサーバーに残されていたことが関係者への取材でわかった。顧客情報はその後、USBメモリーなどの記憶媒体にコピーされ、名簿業者に売却されたとみられる。不正競争防止法違反(営業秘密の複製・開示)容疑で捜査している警視庁は、流出させた疑いがある人物について既にベネッセから報告を受けており、同庁は今後、保守管理会社を家宅捜索するなどして全容解明を進める。
既に容疑者の目星はついているようで。
ベネッセ情報流出:さらに波紋…横浜の2動物園行事からも (毎日, 2014.07.11)。というか、ベネッセはもともとそういう手段を使って個人情報を集めていたわけで。
ジャストシステム、ベネッセからの面会要請に「協議には応じる」 (日経 IT Pro, 2014.07.10)
学力テスト集計委託の文科省「極めて遺憾」 (NHK, 2014.07.11)
文部科学省は、全国の小学6年生と中学3年生を対象に行っている全国学力テストのうち、小学生のテストの問題冊子の送付や採点、集計などを8年連続でベネッセに委託しています。 今年度はおよそ21億円8000万円で委託されました。
(中略)
これらのテストについてベネッセからは、今回、情報が流出したデータベースとは別のシステムで管理しているいため、問題はないと説明を受けているということです。
と言われてはいそうですかと納得できるわけないよねえ。
「子供の名簿」はカネになる 20倍で転売の価値 法規制なく名簿業者野放し (産経 / ITmedia, 2014.07.11)
名簿屋についての議論
第10回 パーソナルデータに関する検討会 議事次第 (首相官邸, 2014.05.29)
「パーソナルデータの利活用に関する制度改正大綱」に対する意見募集について (首相官邸, 2014.06.25)。7/24 締切。 「いわゆる名簿屋」について、大綱では「継続的な検討課題」として先送り (とりあえず何もしない) となっているところに、この事件。
ベネッセ個人情報漏洩事件所感 (.Nat Zone – Identity, Privacy and Music, 2014.07.11)
関連:
不正競争防止法の観点からジャストシステムの責任を考える (栗原潔のIT弁理士日記, 2014.07.11)
<ベネッセ情報流出>ジャストシステムが負う可能性がある「3つの法的責任」とは? (弁護士ドットコム, 2014.07.13)
企業法務にくわしい秋山直人弁護士によると、(1)不正競争防止法上の責任(2)個人情報保護法上の責任(3)ベネッセの顧客に対する民事責任という3つの責任が問題になるという。
(株)ベネッセコーポレーションに対して個人情報保護法に基づく報告徴収を要請しました (経産省, 2014.07.10)
ベネッセの委託先監督義務を検証 (NHK, 2014.07.12)。「経済産業省は、ベネッセが法律で定められているデータの保守管理を行っていた委託先の外部業者への監督が不十分だった可能性があるとして、詳しく調べることにしています」
ベネッセ:子どもイベント秋まで中止…個人情報収集の根幹 (毎日, 2014.07.12)
ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び(お問い合わせ窓口のご案内) (ベネッセ)。随時更新されてます。
ベネッセ「データ使うな」→ジャスト「全データ削除する」→ベネッセ「消すな」
(時時刻刻)情報流出、競争激化の末 ベネッセがジャストシステムに情報利用中止要請 (朝日, 2014.07.11)
ベネッセコーポレーションの個人情報漏洩の件に対する当社の対応につきまして (ジャストシステム, 2014.07.11)
当社は、事業活動の中でご登録いただいたお客様にダイレクトメールをお送りする場合や、 外部の事業者に依頼して発送する場合等がありますが、データベースを購入してダイレクトメールを発送する場合には、 その外部事業者との間で当該個人情報は、適法かつ公正に入手したものであることを条件とした契約を締結しております。 今回、文献社からデータを購入するに際しても、同一の条件が含まれる契約を締結した上で、データを入手致しました。
しかしながら、社内調査により、今回の文献社からの購入において、データの入手経路を確認しながら、最終的にはデータの出所が明らかになっていない状況で契約に至り、購入していたことが判明致しました。したがいまして、当社は、企業としての道義的責任から、2014年5月に文献社より入手した全データを削除することに致しました。 なお、当該お客様情報の使用は、既に7月9日(水)より中止しております。
Q. ベネッセからジャストシステムに対して、個人情報の削除を止めるよう発表したとの報道を見ました。なぜですか? (ベネッセ, 2014.07.12更新)
弊社としては現時点において一方的に情報を削除することは、警察や経済産業省による原因の究明を難しくすると考えておりますことを報道各社に向けて公表いたしました。全容解明こそがお客様の不安の払しょくにつながると考えております。
ベネッセ漏えい事件「名簿業者」の実態 (読売, 2014.07.12)。執筆は三上洋氏。
ベネッセ顧客情報 多摩の関連社から流出 警視庁出入り関係者捜査へ (東京, 2014.07.12)
派遣社員が顧客情報持ち出しか 転売目的?警視庁聴取へ (産経, 2014.07.13)
ベネッセ関係者によると、派遣社員はDBの保守・管理を担当するグループのIT関連会社「シンフォーム」(岡山市)の下請け業者で、SEとして勤務。シンフォームから業務用のIDを与えられていた。
DBのアクセス履歴を解析したところ、シンフォームの東京都多摩市にある事業所から昨年末、派遣社員のIDで複数回、DBのサーバーに接続して顧客情報を大量にコピーした痕跡が確認された。
しかしその時点でアラートが上がるようなシステムにはなってませんでしたと。
顧客情報はベネッセが同じ下請け業者に貸し出していたパソコンにコピーされており、記録媒体に移し替えて外部に持ち出され、転売されたとみられる。
貸与 PC は、当該行為を防止するようなシステムにはなってませんでしたと。
ジャストシステムホームページを見てびっくりしたのですが、スマイルゼミこそがジャストシステムのイチオシ商品なのですね。いつのまにかそういう会社になってたんだ。
関連:
ベネッセ情報流出 派遣社員が関与認める (NHK, 2014.07.14)
ベネッセ流出、データベース統合が被害拡大か 顧客情報1000万件単位を一括管理 (ITmedia, 2014.07.14)
ベネッセ個人情報ダダ漏れの件でなぜか孫正義が口出しし「お前が言うな」の大合唱 (togetter, 2014.07.12)
個人情報の大量漏えい事件で見覚えのある光景 (情報公開にまつわる日々の出来事-情報公開クリアリングハウス理事長日誌, 2014.07.14)
そして、この閲覧制度は住基台帳法が改正され、2006年に廃止されました。廃止されるまでの間は、結構うちも頑張りましたし、各地の市民や地方議員、そして自治体も頑張りました。かくして、自治体経由で住民情報がダダ漏れという状況はなくなったわけです。
ところが、文献社のHPを見ると、2006年時点まで行っていた閲覧制度で収集した情報をもとに、鮮度を確保した個人情報を提供すると言っておられるわけです。疑問は二つ。一つは、ベネッセの委託を受けて閲覧をして個人情報を収集したのであれば、それを名簿として商売のネタにするのは、違法であるはずということです。そして2006年から8年近く経過し、住基台帳の情報はもはや鮮度が高いと言えないにもかかわらず、なぜ鮮度を確保していることを売りにしているのか。
いろいろいこのあたりに闇が奥深い世界が広がっていそうです。そして、ベネッセはもともとは文献社のお得意様であったというこのシュールな状況。
.@HiromitsuTakagi 氏によるベネッセコーポレーション個人情報流出及びその関連案件についての見解 (togetter, 2014.07.14)
》 「Adblockのビジネスモデルは違法」として広告会社に訴えられる (gigazine, 7/9)
》 Google、不正なデジタル証明書に失効措置 (ITmedia, 7/9)、 Maintaining digital certificate security (Google, 7/8)。複数の Google ドメインのニセ証明書がインドから。
》 スマホからマスメーリング活動を行うモバイル向け不正アプリを確認 (トレンドマイクロ セキュリティ blog, 7/8)
》 三井住友銀行のネットバンクのパスワード仕様改悪が直った件 (栗原潔のIT弁理士日記, 7/8)
》 メモ: 迷子の VSS スナップショットを消し去る方法 (Windows Server) (山市良のえぬなんとかわーるど, 7/8)。DiskShadow を使う。
》 Windows Server 2003のサポート終了に伴う注意喚起 (IPA, 7/8)。あと 1 年ちょっとなので。
》 【Twitterの噂話に注意】ブラジルで、ドイツとの試合終了前に暴動……なんか起きていません (NAVER まとめ, 7/9)
》 ClamAV 0.98.5 beta has been posted! (ClamAV, 7/8)
Flash Player / AIR 更新。3 件のセキュリティ欠陥が修正されている。
CVE-2014-4671。 Abusing JSONP with Rosetta Flash (Michele Spagnuolo) の、Flash Player 側の修正。
CVE-2014-0537、 CVE-2014-0539。Masato Kinugawa 氏による。
| プラットホーム | バージョン |
|---|---|
| Windows | 14.0.0.145 |
| Mac | 14.0.0.145 |
| Linux | 11.2.202.394 |
| Google Chrome | 14.0.0.145 |
| Windows 8 / Server 2012 / RT の Internet Explorer 10 | 14.0.0.145 |
| Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 | 14.0.0.145 |
| AIR | 14.0.0.137 (Windows, Mac, Android) |
| AIR SDK & Compiler | 14.0.0.137 (Windows, Mac, Android, iOS) |
| AIR SDK | 14.0.0.137 (Windows, Mac, Android, iOS) |
Windows / Mac 用には拡張サポート版 13.0.0.231 も用意されている。
日本語訳版: APSB14-17: Adobe Flash Player用のセキュリティアップデート公開 (Adobe, 2014.07.08)
Adobe Flash Player updates available for OS X on July 10, 2014 (Apple, 2014.07.10)、Apple Forcing Users to Upgrade to Latest Adobe Flash Plug-In Due to Security Issues (MacRumors, 2014.07.10)。Mac OS X 方面では、Flash Player が 14.0.0.145 / 13.0.0.231 より古いとブロックされるようになりました。
JVNDB-2014-003231: LibreOffice における脆弱性 (JVN, 2014.07.08)。4.x 系の欠陥の模様。 LibreOffice の最新は 4.2.5 だけど、それではまだ直ってない?
http://cgit.freedesktop.org/libreoffice/core/commit/?id=1b0402f87c9b17fef2141130bfaa1798ece6ba0d。patch。
Bug 1111083 - (CVE-2014-0247) CVE-2014-0247 libreoffice: VBA macros executed unconditionally (Red Hat)
CVE-2014-0247 (canonical.com)
Alert (TA13-207A) Risks of Using the Intelligent Platform Management Interface (IPMI) (US-CERT, 2014.06.26)。HP, DELL, IBM。
JVNDB-2014-003205: 複数の IBM 製品のファームウェアにおける任意の IPMI コマンドを実行される脆弱性 (JVN, 2014.07.08)
Rails 3.2.19, 4.0.7 and 4.1.3 have been released! (Ruby on Rails, 2014.07.02)。 CVE-2014-3482 CVE-2014-3483
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース (RealNetworks, 2014.06.27)。Windows 版 Real Player 17.0.8.22 以前に欠陥、MP4 ファイルの処理において buffer overflow が発生。Mac 版にはこの欠陥はない。 CVE-2014-3113
Windows 版 RealPlayer 17.0.10.8 以降で修正されている。 http://jp.real.com/ では 17.0.11.0 が公開されているそうで。
JVNDB-2014-003218: RealNetworks RealPlayer におけるバッファオーバーフローの脆弱性 (JVN, 2014.07.08)
Fixed a security issue caused by the Stored XSS vulnerability when reading and displaying filenames and their paths on the “Recent Documents” section from the Start Page. (Foxit Software, 2014.07.01)。Foxit Reader 6.2.0.0429 以前に XSS 欠陥。 Foxit Reader 6.2.1 で修正されている。
》 「LINE」パソコン版、初回ログインで認証番号が必要に (Internet Watch, 7/8)。PC 版をはじめて使うときは、スマホ側から認証番号を入力する必要がある、ようになった。
》 LINE:同級生に無理やり脱がされた動画や画像流される (毎日, 7/8)
》 Googleの「忘れられる権利」を行使した人・該当ページを公開するサイトが出現 (gigazine, 7/7)
》 旧ソ連の諜報機関KGBに関わったスパイの名前や秘密武器に関する情報などが一般公開されることに (gigazine, 7/8)
》 専守防衛:現代の籠城戦略が成り立つヒミツ (海国防衛ジャーナル, 6/15)
》 細かすぎて伝わらない?集団安全保障と集団防衛と集団的自衛権 (海国防衛ジャーナル, 7/6)
》 北朝鮮から“米国”へ向かう弾道ミサイルは日本上空を通過します (海国防衛ジャーナル, 7/7)。北朝鮮から米本土を狙うと日本上空は通過しないが、北朝鮮からハワイやグアムを狙うと日本上空を通過する。
集団的自衛権の議論においては、政府も北朝鮮からハワイやグアムへ向かう弾道ミサイルを想定しています。
》 証人尋問で明かされた幸福の科学学園の実態 (やや日刊カルト新聞, 7/8)
》 バッファローのファイル改竄問題の経緯と実態を追う 〜現時点までに安全対策を完了、具体的被害はゼロに (PC Watch, 7/8)。CDNetworks のアレの件。
今回の件で同社は、25人体制での専用サポート窓口を設置し、月曜日〜日曜日の午前9時30分〜午後7時まで、フリーダイヤル(0120-959-8630120-959-863)で対応。ピークとなった6月4日には約1,200件の入電があり、そのうち9割に回答。これまでに約3,000件の問い合わせに対応した。
回線の埋まり具合って、どうだったんだろう。
バッファローでは、JPCERTコーディネーションセンターとの共同ログ解析を実施。同一ファイルに対し複数回改竄が行なわれていたことが新たに判明する一方で、ログに残されたファイルのダウンロードサイズを元にさらに解析を進め、593件のIPアドレスからダウンロードがあったことが明らかになった。この593件のIPアドレスのユーザーには、プロバイダを通じて、直接一連の経緯を連絡。6月16日には、593件の全てに対しての告知が完了した。
今回の件で実際にウイルスに感染したケースは52件あった。これらのユーザーに対しては、ウイルス駆除に関してのサポートを行なった。対応が早かったこともあり、現時点で、オンラインバンキングに関わるIDやパスワードが不正に取得されたり、不正送金された被害はない(7月8日時点)のは不幸中の幸いだ。
おぉ〜。この対応は、手厚い部類に入るんじゃ。 「具体的被害ゼロ」を実際に確認しているのですね。 事象発覚 (5月27日) から 3 週間くらいかかってるんだなあ。
》 Facebookの感情伝染実験、米プライバシー団体がFTCに苦情申請 (日経 IT Pro, 7/4)。EPIC。
》 「スカパー!」顧客システムが12日ぶりに全面復旧、Web手続きも再開 (日経 IT Pro, 7/7)
》 米直行便がある空港で保安検査を強化、新型爆弾を懸念 (日経 IT Pro, 7/7)。実際に電源が入るかどうかをチェックするみたい。
》 第2回「組織における内部不正対策セミナー」開催のご案内 (IPA, 7/4)。うわもう埋まってる……。
》 「性産業」4社が早稲田で就職説明会 女子社員「セクハラはない」「真剣に説明すれば親も理解してくれる」 (弁護士 落合洋司 (東京弁護士会) の 「日々是好日」, 7/5)。
》 【9月の会場貸してください】江戸前セキュリティ勉強会2014/07が無事終了しました。100名の参加者で大盛り上がり!9月頃の会場を貸してください! (まっちゃだいふくの日記, 7/7)
》 フィンランドの英雄スナイパー“シモ・ヘイヘ”女体化マンガ 「白い魔女」 (アキバBlog, 7/8)。イロモノではないっぽい。
関連: 週刊コミタン! 2014/7/6号 (コミタン! ブログ部)
サイエンスの査読者は「ES 細胞混入可能性」「画像切り貼り」等を指摘していた
STAP論文:12年サイエンス審査時 ES細胞混入指摘 (毎日, 7/5)
ES細胞混入の可能性は、論文を掲載したネイチャーの査読者も指摘。
うわ……。
STAP論文:ネイチャー検証不足露呈 編集者判断強く (毎日, 7/5)
質問なるほドリ:STAP論文って「世界3大不正」なの?=回答・清水健二 (毎日, 7/3)
毎日「白紙・STAP論文」
白紙・STAP論文:/2 増える疑義に当惑 理研調査委、追い切れず (毎日, 7/4)
白紙・STAP論文:/3 「ヒロイン」膨らむ虚像 紹介教授の権威を支えに (毎日, 7/5)
白紙・STAP論文:/4 iPS超え、成果過信 予算獲得偏重、疑惑に「大丈夫」 (毎日, 7/6)
白紙・STAP論文:/5止 米研究員、不正戒めに「リケンするな」 信頼回復、道険し (毎日, 7/8)。動詞になっている模様。
STAP論文問題:竹市センター長 調査報告の一部削除 (毎日, 7/8)。ハァ?!
改革委は6月10日、検証委の報告書を受け取り理研改革の提言をまとめた。改革委の元委員によると、4月30日、竹市センター長が改革委に初出席し、作成中の検証委報告書について説明。この際、「関係者の発言であっても推測は消すべきだ。私が整理して危ないと思うところは全部デリーション(削除)した」と述べた。委員から異論が出たが、竹市センター長は姿勢を変えなかったという。なんてこったい。CDB 廃棄が必要なわけだぜ……
竹市センター長は毎日新聞の取材に発言を認め、「私が報告書を手直しすべきではないとの認識はあったが、正確さを第一として私の判断で削除した。後から検証委の外部委員に説明し、再調査してもらった部分もある」と説明した。
一方で竹市センター長は証言の一部が伏せられたままになっていることを認めた。改革委の委員だった竹岡八重子弁護士は「自己点検チームが集めた発言や資料がセンター長の独自の判断で削除され、何が集められたか今も明らかになっていないのは問題だ」と話している。
STAP論文、撤回理由を無断書き換え 食い違う証言、細胞由来の説明が180度変更 (ITmedia, 7/8)。もうわけがわからん。
【STAP細胞】小保方氏の検証参加に波紋 専門家「余計な混乱招くだけ」 (共同, 7/7)
》 マンガ『乙嫁語り』の作者・森薫氏がデザインした、“中央アジア+日本”対話10周年記念のイメージキャラクターが発表 (ファミ通.com, 7/7)。「それぞれ各国の国旗をイメージしてデザインされている」そうで。外務省、いい仕事発注した。
「中央アジア+日本」対話 10周年記念イメージキャラクター発表式 (外務省, 7/7)
「中央アジア+日本」対話 (外務省)
号泣兵庫県議:奇異な言動 昔から (毎日, 7/5)
号泣県議:野々村氏が辞職意向を表明 兵庫議会の勧告に (毎日, 7/7)
号泣県議:異例の勧告、追い込まれ 「迷惑かけた」辞職へ (毎日, 7/7)
号泣県議の議会質問 出張いかした形跡なし、妙な表現も (朝日, 7/7)
号泣県議「無精ひげで疲れた様子」 マスコミ避け移動 (朝日, 7/8)
号泣県議を聞き取り調査へ 兵庫県議会、結果は公表 (朝日, 7/8)
号泣県議、野々村さん 婚活やって電車代は政務調査費って、どないよな? (いまにしのりゆき 商売繁盛でささもって来い!, 7/8)
でも問題の本質はこっちだよねえ:
異常な政務活動費、なぜ素通り? 領収証なく800万円 (朝日, 7/6)
》 OpenID #BizDay #7 「どう変わる?個人情報保護法改正とビッグデータ/パーソナルデータ活用ビジネス」 (togetter, 7/7)、 佐藤さん講演資料
》 「Baidu IME」の自動アップデート機能で別ソフトがインストールされる障害が発生 (窓の杜, 7/7)。「別のソフトを」「無警告で」インストール。
防衛政策 - 防衛の基本的考え方 (防衛省)
魚拓: http://megalodon.jp/2014-0707-1425-53/www.mod.go.jp/j/approach/agenda/seisaku/kihon02.html
【悲報】「防衛省が集団的自衛権に反対」というスレが立つ→僅か一時間で該当ページが見れなくなる (2ch.net, 7/7)
集団的自衛権、防衛省HP削除、右往左往、2014年7月7日 (togetter, 7/7)
安倍政府の憲法解釈、新しい記述を即座に入れられない程度に生煮え gdgd であることを露呈。
強襲揚陸艦、海自に導入へ=離島防衛・災害対応を強化 (時事, 2/1)
防衛相 多機能輸送艦の導入を検討 (NHK, 7/8)。ちゃんと強襲揚陸艦って言いなさいよ。
とりあえず、その時が来たら、ちゃんと LHD と名乗ってほしいものです。 おおすみ型の LST はひどい。
2.68.00 で修正されている。
JVNDB-2014-000071: Becky! Internet Mail におけるバッファオーバーフローの脆弱性 (JVN, 2014.07.08)
リムアーツ。 2014.07.07 付で 2.68.00 公開。
JVNDB-2014-003201: Cacti におけるクロスサイトスクリプティングの脆弱性 (JVN, 2014.07.08)。svn 上では修正されている。
JVNDB-2014-003198: file におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.07.08)。file 5.19 で修正されている。 CVE-2014-3538
JVNDB-2014-003164: CENTUM を含む複数の YOKOGAWA 製品にバッファオーバーフローの脆弱性 (JVN, 2014.07.08)
YSAR-14-0002: CENTUM とExaopcにバッファオーバーフローの脆弱性 (横河電機, 2014.07.07)。patch 版が用意されている。
JVNVU#91918249: Netgear GS108PE Prosafe Plus Switch に認証情報がハードコードされている問題 (JVN, 2014.07.08)。修正ファームなし。
Hardcoded Netgear Prosafe Switch Password (SANS ISC, 2014.07.08)
長大な鍵名によって buffer overflow が発生、任意のコードを実行できる。影響があるのは Android 4.3 のみ。CVE-2014-3100
JVNDB-2014-003126: Android の KeyStore サービスの /system/bin/keystore におけるスタックベースのバッファオーバーフローの脆弱性 (JVN, 2014.07.04)
Android KeyStore Stack Buffer Overflow (CVE-2014-3100) (slideshare, 2014.06.30)
Android KeyStore Stack Buffer Overflow: To Keep Things Simple, Buffers Are Always Larger Than Needed (securityintelligence.com, 2014.06.30 更新)
Anatomy of a buffer overflow - Google's "KeyStore" security module for Android (Sophos, 2014.07.02)
Android 4.4.4 にはこの欠陥はない。Android Security Team には 2013 年中に通報済だという。 CVE-2013-6272
CVE-2013-6272 com.android.phone (curesec.com, 2014.07.04)
Androidに脆弱性、許可なく通話発信される恐れ (ITmedia, 2014.07.08)
今回見つかった脆弱性を悪用すれば、このパーミッションを迂回することが可能になる。不正なアプリを使って許可なく電話をかけたり、通話を中断させたりできるほか、USSDコードやMMIコードを送信することも可能で、電話の転送やシムカードの妨害といった行為に使われる恐れもある。
というかそもそも、AVG Safeguard とか AVG Secure Search でぐぐると、マルウェア扱いされてるとしか思えないんだが……。フリーソフトにくっついて入ることがあるみたい。 AVG Japan の「AVG Secure Search(AVGセキュアサーチ)について」 にもアンインストール手順しか載ってないし。
というわけで、アンインストールを推奨。どうしても使いたい人は、最新版をインストールすればいいんじゃないかな。 あと、kill bit 設定したい人は、VU#960193: AVG Safeguard and Secure Search ActiveX controls provides insecure methods (US-CERT) を参照。
》 中国でLINE接続不可、検閲システム「金盾」によって遮断か=中国メディア (サーチナ / Yahoo, 7/5)
》 LINE「独自暗号化」のメリットと安全性について (Kazuho's Weblog, 6/27)
》 LINEがID乗っ取りを対策と称して被害を拡大させる方針をとった件 (黒翼猫のコンピュータ日記 2nd Edition, 7/6)
ところが「今までメールアドレス登録&パスワード設定をしたことが無く、今回初めて設定する方も本スタンプをダウンロードできます」と書いてある。
(中略)
あー、乗っ取り対策と称してメールアドレス収集したいだけなんだね。納得。
やっぱ韓国企業怖いわ|;・ω・)
》 【東電】WindowsXP使用継続を計画!WindowsXPを使いる続けるリスク (NAVER まとめ, 7/6)。なんじゃそれー
関連: 平成26年7月6日付(朝刊)読売新聞1面「東電「XP」5年間継続 48000台 国は3度更新要請」について (東電, 7/6)。「そのような事実はございません」とはどこにも書かれていませんので、報道は事実だったようです。
つづき: 東電、「XP」更新前倒し…政府から何度も要請 (読売, 7/7)
東電は6日、計画を前倒しし、新しいOSに更新すると発表した。
東電によると、XP搭載のパソコンを2018年まで使用する計画だったが、15年9月までに更新する予定だという。東電は「さらなる前倒しを行うことができるか検討する」としている。
来年 9 月までは XP なんだ……。
》 2000ドルで取引される新型マルウェアの侮れない危険性 (ITmedia, 7/4)
Pandemiyaは「Zeus」のソースコードを基に作成されていない点で他のマルウェアと一線を画している。(中略) Pandemiyaは、マルウェアとしては比較的高価であるなどの理由から、現時点では普及が抑えられているとRSAチームは指摘している。
New Pandemiya Trojan Emerges as Alternative to Zeus-based Variants (RSA, 6/10)
》 DNSサーバーの障害復旧について (eo 光, 7/7)。7/1 22:00 からのキャッシュ DNS サーバー DDoS の件、ようやく復旧の案内が出ました。 「DNSサーバーへの不正な問い合わせを防止する対策ならびにDNSサーバーへの負荷を軽減する対策を実施」だそうです。
》 内閣府防災アカウントがつぶやいたスパムツイートを少し調べてみた (piyolog, 7/5)
》 「その理屈なら、日本にネット引いた俺がほう助じゃん」 Winny裁判での村井純氏の“漢”っぷり、弁護人が振り返る (ITmedia, 7/7)、 ミスターインターネット (アターニーアットロー〜博士と私, 7/6)
「KazaaっていうボロWinnyですらSkypeを生んだんだ。Winnyが何を生み出すかを見たかったんだ。俺は」
》 強力なH1N1インフル変異株、邦人研究者が開発 (AFPBB, 7/3)。河岡義裕教授。元ネタのIndependent記事はこちら: Exclusive: Controversial US scientist creates deadly new flu strain for pandemic research (Independent, 7/1)
》 米NSA収集の個人情報 9割近くが対象外 (NHK, 7/7)。ワシントンポスト記事。
In NSA-intercepted data, those not targeted far outnumber the foreigners who are (Washington Post, 7/5)
Communication breakdown (Washington Post, 7/5)
WordPress MailPoet (wysija-newsletters) Unauthenticated file Uploadの原因と対策 (yohgaki's blog, 2014.07.04)
MetasploiteのプラグインはテーマとしてアップロードされるZIPファイルに攻撃用となるPHPスクリプトを入れています。WordPressのMailPoetがロールの確認を怠っていたため、管理者以外でもテーマのZIPファイルがアップロード可能となり、不正なファイルを含むZIPファイルが展開され配置されてしまっていた事が問題の原因です。 対策としてロールの確認、ZIPファイルコンテンツのバリデーションが追加されています。
PHP版SQL::MakerでJSON SQL Injectionの対応版を出しました (Qiita, 2014.07.07)
》 LINEの「パスワード変更したらスタンププレゼント」キャンペーンは、長い目で見ると実はかなりマズい (mokuromi.com, 7/4)
》 「忘れられる権利」による記事リンク削除と「知る権利」の難しいバランスとは (gigazine, 7/5)。というか、Google の何も考えてなさが明らかとなっただけのような気が。
Googleのピーター・バロン氏は「学習段階にある」として実際の運用について試行錯誤を行っている様子を語っています。
もしかして、こういう判断も機械的にやろうとしてるのかな。
》 MS社の会員サービス悪用、詐欺容疑で男を逮捕 (朝日, 7/4)、人気ネット右翼が詐欺容疑で逮捕。ネトウヨのヨーゲン氏だそうです。
》 本当に「世論」を「調査」しているのか? (イイダ コウジ そこまで言うか ブログ / ニッポン放送, 5/12) (link fixed: 明嵐さん、Shibuya さん感謝)。 読売と朝日の「世論調査」について。
号泣県議、ナゾめく支出 運休でも出張・切手大量購入… (朝日, 7/5)
その日、特急の大半運休…号泣県議の城崎訪問 (読売, 7/5)。2013.09.02。
号泣兵庫県議:温泉出張日に神戸と大阪で切手3万円分購入 (毎日, 7/5)
号泣県議の切手代40万円近い月も、使い道は… (読売, 7/6)
収支報告書によると、切手代は「事務費」の一部として、135回にわたり計約176万2700円を支払ったと記載されていた。
3日連続で約2万9000円分ずつ購入したり、1日3回に分けて買ったりしており、今年2月は切手代だけで月40万円近く支出。神戸市内や大阪市内の金券ショップなどの領収書が添付されていたが、使い道の記載はなかった。
別の県議らによると、後援会の会員らに県政報告などを送る際は、郵便局に一括で代金を支払うのが普通で、切手は使わないという。ある県議は「170万円分もの切手を実際に郵送に使っているとはとても思えず、不自然だ」と話す。
まあ、ふつうはこれ↓かなと思いますよねえ……
ビール券、切手、回数券… 横領に使われやすい「換金性の高い金券」 (J-CAST, 2013.03.22)
》 米国家安全保障局、プライバシーに敏感なインターネットユーザーを監視対象に (slashdot.jp, 7/5)、 NSA: Linux Journal is an "extremist forum" and its readers get flagged for extra surveillance (Linux Journal, 7/3)。とりあえずつっこんどけ感バリバリだなあ。
》 「ネオニコ系農薬はミツバチ減少の要因」――800の論文を基に国際的な科学者チームが発表 (オルタナ, 6/26)、ミツバチの大量死と日本人の未来 ネオニコチノイド系農薬に科学者たちが警鐘~IUCN/TFSF による「浸透性農薬世界総合評価書(WIA)」研究成果発表会 (IWJ, 6/26)、 浸透性農薬の生態系への影響をまとめた評価書が発表されました。 (NACS-J 事務局日誌 ・・・生物多様性を守る日々, 6/27)
IUCN プレスリリース: Systemic pesticides pose global threat to biodiversity and ecosystem services (IUCN, 6/24)
》 配れないヨウ素剤 規制委の責任は重いはず (福井新聞, 6/29)
配布に向けて住民説明会が実施されたのは原発立地13道県のうち九州電力川内原発がある鹿児島県薩摩川内市のみ。7月中に地区別に計10回開催、下旬に一斉配布の予定だ。(中略)
本県の場合、5キロ圏内は5市町。6キロ圏に拡大した高浜町を含め約1万人が対象だが、まだ説明会を開ける状況にない。 (中略) 30キロ圏に関して県は対象12市町に備蓄を終えたが、対象人口は約34万人に及ぶ。緊急時の配布場所や医師、薬剤師の確保なども難題だ。
》 塩村あやか議員へのセクハラ野次の件つづき (前ねた: 6/27)
複数都議がヤジ 議場の音声分析「自分が産んでから」も (朝日, 6/28)、塩村都議の質問とヤジ、音声分析の結果は (朝日, 6/27)。朝日新聞 + テレビ朝日で音声分析。
鈴木章浩都議の声:早く結婚した方がいいんじゃないか
男性の声:自分が産んでから
男性の声:がんばれよ
(議場で笑いが起きる)
塩村都議:今後、妊娠、出産に関して
男性の声:動揺しちゃったじゃねえか
塩村都議:悩みを抱える女性たちの問題に対し(中略)具体的な取り組みをお願いいたします。
男性の声:いやー、先生の努力次第
塩村都議:また、不妊の原因は女性だけではなく
男性の声:やる気があればできる
山下太郞都議が"応援ヤジ"を説明 「初の一般質問なのに可哀想」【セクハラやじ問題】 (ハフィントンポスト, 6/28)。 上記の「がんばれよ」と「動揺しちゃったじゃねえか」は、 山下太郞都議 (民主党) による“応援ヤジ”だった。
国会でもセクハラヤジ、実行したのは東京都議出身の大西英男衆議院議員 (自民党)
国会「セクハラヤジ」の発言者、自民・大西英男衆院議員と判明 (弁護士ドットコム, 7/4)
「産まないとダメ」 国会でセクハラヤジ飛ばした「大西英男議員」ってどんな人? (弁護士ドットコム, 7/4)
「議員たちは笑っていた」――国会「セクハラヤジ」が飛んだ瞬間を傍聴者が証言 (弁護士ドットコム / BLOGOS, 7/4)
「親しみから不用意な発言」 セクハラヤジ大西英男衆院議員が「謝罪メッセージ」掲載 (弁護士ドットコム / BLOGOS, 7/4)
変化できぬオヤジたち 都議会のセクハラヤジ問題 (朝日, 7/1)
相次ぐ議会での女性蔑視発言 問題根深く (朝日, 7/5)
》 殺人エレベーターと報じられたこともあるシンドラーエレベーターに、反省って言葉はあるんやろうか? (いまにしのりゆき 商売繁盛でささもって来い!, 6/25)
》 ヤフー:寄稿ニュースで波紋 利害関係明記せず記事化 (毎日, 7/4)。 旅館業法の怪 (別所直哉 / Yahoo, 6/26) の件。
》 次期輸送機 C-2、配備をさらに 2 年延期。既に 3 年遅れていたのですが。
次期輸送機C2、与圧試験中に扉が脱落 防衛省発表 (朝日, 1/18)
航空自衛隊次期主力輸送機で機体構造に強度不足 (TOKYO EXPRESS, 1/18)
防衛省が次期輸送機の配備を再度延期、開発費800億円増 (ロイター, 7/4)
空自C2輸送機 配備予定を2年延期 (NHK, 7/4)
次期輸送機C2、トラブル続きで導入2年延期 防衛省 (朝日, 7/4)
C-2輸送機開発遅延と防衛省の説明責任の欠除 (清谷信一公式ブログ 清谷防衛経済研究所, 7/6)
さて問題はペイロードの低下が懸念されることです。当初の目論見が 30トン、それが最近では26トンまでに下がってきたといわれておりますが、それが更に低下することが考えられます。であれば戦闘重量26トンの機動戦闘車がそのまま運べなくなるわけです。三菱重工の人は付加装甲をはずせばOKですとおっしゃっておりましたが、その場合即応性はかなり下がります。
またそれすらも困難なほどにペイロードが低下する可能性も否定できません。
関連:
東大 空自機への協力拒否 不具合の原因究明 「軍事研究」と判断 (西日本新聞, 7/6)
防衛省が今年5月、強度試験中に不具合が起きた航空自衛隊輸送機の原因究明のため東大大学院教授に協力要請したところ、大学側が「軍事研究」を禁じた東大方針に反すると判断し拒否した (中略) 教授は東大大学院工学系研究科に所属し航空宇宙工学が専門。防衛省は有識者による機体構造の分析チームを設置するため5月中旬に委員委嘱を大学側に打診した。しかし東大側は研究科の判断でチーム入りを断った。教授は「研究への参加ではなく、最先端の情報を得る目的」としてオブザーバー参加した。
東京大学大学院工学系研究科・航空宇宙工学専攻 (東京大学)。 分野的には、 航空宇宙構造力学の青木隆平教授、かなあ。
》 From the Labs: PlugX - the next generation (Sophos, 6/30)
》 契約をないがしろにし、司法手続きを無視する自転車競技連盟の暴挙 (郷原信郎が斬る, 7/1)
》 集団的自衛権、黒幕の米国が考えていること 日米安保体制はますます米国の思うまま (東洋経済 ONLINE, 7/1)
》 「解釈改憲?ハァ!?なにその反則技。私たちは立憲主義も民主主義も手放すつもりはありませんよ声明」 (明日の自由を守る若手弁護士の会, 7/1)
》 『アナと雪の女王』独自解釈、掲載拒否の怪――「救済」してくれたのはインターネットだった 〈中森明夫〉 (朝日, 6/28)、 「中央公論」掲載拒否! 中森明夫の『アナと雪の女王』独自解釈 (REAL-JAPAN.org, 6/17)。 これを拒否しちゃう感覚って、セクハラヤジと根が同じだと思うんだよなあ。
》 子宮頸がんワクチン 厚労省、接種再開にやる気満々 (田中龍作ジャーナル, 7/4)
》 eo 光方面 DDoS つづき (前ねた: 7/3)
eo光のDNSサーバーへのDoS攻撃をまとめてみた (piyolog, 7/3)
DNSサーバーの障害発生について(第2報) (eo 光, 7/4)。事象継続中のようです。
一部のDNSサーバーで名前を解決できない、あるいは名前解決に時間がかかる場合があります。
全てのキャッシュ DNS サーバーで現象が発生しているわけではないようで。
》 普通のワッパーとここが違う! バーガーキングの「プラウド・ワッパー」のひと工夫 (石壁に百合の花咲く, 7/4)。これはいい。
》 スマートフォン広告にイラッとした経験、ある? (Business Media 誠, 7/2)
》 「ビックカメラ」元社員 カード情報盗む (NHK, 7/4)。盗んだだけでなく 50 万円使用。
》 LINEが不正ログイン防止施策、パスワード変更した人に特製スタンプをプレゼント (Internet Watch, 7/3)
》 シヤチハタ、個人情報流出を防止するのりを発売 (マイナビニュース, 7/3)
》 Googleが広告ネットワークからアダルト関係を締め出しへ (gigazine, 7/4)
》 CosmicDuke:MiniDukeのひねりを効かせたCosmu (エフセキュアブログ, 7/3)
》 欧州とウクライナの外交に関与しているのならBlackEnergyにご注意を (エフセキュアブログ, 6/30)。「伝えられているところでは、このファミリーは、2008年のグルジアへのサイバー攻撃で用いられたものと同一である」
》 Dailymotion Compromised to Send Users to Exploit Kit (Symantec, 7/3)。Dailymotion, 6/28 にヤラレていたのか……。
》 サイバーセキュリティ対策活動への協力者に感謝状贈呈 (JPCERT/CC, 7/3)。トッパン・フォームズの (フィッシング対策協議会 運営委員長の) 加藤孝浩氏、 カスペルスキー日本法人・情報セキュリティラボ所長のミヒャエル・モルスナー氏。
関連: Save the World, Save the ニッポン (Kaspersky, 7/4)
》 メモ: Windows のコマンド プロンプトで wget のようなこと (ツール不使用) (山市良のえぬなんとかわーるど, 7/3)
》 出火事故のF35、エンジン検査終了まで飛行停止=米国防総省 (ロイター, 7/4)。フロリダ、エグリン空軍基地の F-35A です。
Fire damages F-35A on Eglin runway (AirForce Times, 6/23)
Engine pieces found on runway after F-35 fire - sources (Reuters, 6/27)
》 東芝の英断でいよいよテレビ視聴もTポイント連動の時代へ (山本 一郎 / Yahoo, 7/3)。東芝の例のアレ。
「TimeOn」の予約ランキング注4上位の番組を見ると抽選でTポイントがもらえたり、「レグザ」に別売のUSBハードディスク注5を接続することや、動画CM注6 を視聴してアンケートに回答するなど随時実施される各種キャンペーンへの参加で、Tポイントを貯めることができます。
テレビを見ると「Tポイント」がたまる!? 東芝「TimeOn」の新サービス (ITmedia, 6/10)
》 LINEいじめ、親に代わり監視サービス 単語チェック (朝日, 7/4)。filii。Android 限定みたい。
LINEは第三者にアプリ内の情報へのアクセスを許可する仕組みがないため、同様の監視は難しいと見られてきたが、スマートフォンの基本ソフト(OS)がLINE上でやりとりされたメッセージを一時保存している点に着目。専用アプリを通じて、このデータを取得する仕組みを考案した。
うわー……。子供セキュリティFilii(フィリー)スマホやネット危険検知 (Google Play) のレビューにはこんな記述が。
LINEの通知をフル通知にするか、設定→ユーザー補助→Finiiをオフにすると監視外せるよ(*^^*)
》 「盗撮ができる運動靴」販売者が逮捕される (slashdot.jp, 7/2)
》 「tomocha.moe」というドメインが取得できない問題、発生 (slashdot.jp, 7/3)。ともちゃ氏が 10 年前に投げたブーメランが、今になって戻ってきたらしい話。(BGM: ブーメランストリート)
6 件を予定 (緊急 x 2、重要 x 3、警告 x 1)。 IE あり。「Windows Server 用の Microsoft Service Bus」というのも対象になっている。 Service Bus for Windows Server (Service Bus 1.0) や Service Bus for Windows Server (Service Bus 1.1) のことでいいのかな。
》 ソニーがテレビをAndroid化するようですが大丈夫なのでしょうか (山本 一郎 / Yahoo, 7/2)。Android TV。
もしテレビにAndroidが搭載されるということになれば当然Googleへログインした形でテレビ番組を見ることが推奨されることになるでしょう。すると、Google検索と同じようにテレビの視聴動向もすべてGoogleが収集する可能性はかなり高いと想像できます。当然ながら細かい機能のオプトイン/オプトアウト等は用意されるのでしょうが、私たち含むプライバシーフリークな皆さんにとってみればなかなか厄介な話となりそうです。
》 西アフリカにおけるエボラ出血熱の発生状況について (更新1) (厚生労働省検疫所, 7/2)
》 ISPs take GCHQ to court in UK over mass surveillance (Guardian, 7/2)
The claimants are: the Chaos Computer Club in Germany; Greenhost in the Netherlands; Jinbonet in South Korea; GreenNet in the UK; Riseup Networks and May First/People Link in the US; and Mango Email Service in Zimbabwe.
》 くらし☆解説 「パスワードの使いまわしをしていませんか」 (NHK 解説委員室, 6/26)
》 Samsungが中国の製造工場での「ブラック工場問題」を解決すると発表 (gigazine, 7/2)
》 米海軍史上最長距離での艦対空迎撃実験が成功 (海国防衛ジャーナル, 7/2)。SM-6、AEGIS baseline 9c、NIFC-CA。
》 ついに伝説の雪男イエティやビッグフットの正体がDNA鑑定で判明 (gigazine, 7/3)
》 Microsoft、Outlook.comとOneDriveで暗号化を強化 (日経 IT Pro, 7/2)
》 DNS Summer Days 2014、ほとんどの資料が公開されてます。
》 警察庁、金融機関などを装うフィッシングの増加に注意呼びかけ (so-net セキュリティ通信, 7/3)
》 セキュリティ侵害に関するお知らせ(最終報) (CDNetworks, 6/27)
》 cybozu.comバグハンター合宿開催 〜日本国内のバウンティハンターが集合〜 (サイボウズ, 7/1)。7/9 応募締切。
》 DOWNAD:2014年第2四半期、最も多くスパムメールを送信した不正プログラムに (トレンドマイクロ セキュリティ blog, 7/3)
》 おとり捜査にポリスウェア、海外におけるサイバー犯罪捜査のいま (@IT, 7/2)
関連: あなたのiPhoneはすでにハッキングされている? (Kaspersky, 7/2)
Kaspersky Labは最近、Citizen Labのモルガン・マルキボア(Morgan Marquis-Boire)氏と共同で調査を実施し、新たな変種を複数発見しました。これらは、AndroidとiOSの両方で動作する、スマートフォン向けトロイの木馬でした。
(中略)
Kaspersky LabがCitizen Labと共同で実施した調査でわかった被害者のリストには、活動家や人権運動家、ジャーナリスト、政治家などが名を連ねます。ただし、関心を持たれた理由がはっきりしない被害者もいます。目立った例としては、英国に住む歴史の高校教師などが挙げられます。
》 政府・与党、「解釈変更」により憲法 9 条を破壊 (前ねた: 7/1, 7/2)
憲法で戦え!
日本国憲法第98条。「この憲法は、国の最高法規であつて、その条規に反する法律、命令、詔勅及び国務に関するその他の行為の全部又は一部は、その効力を有しない」
日本国憲法第99条。「天皇又は摂政及び国務大臣、国会議員、裁判官その他の公務員は、この憲法を尊重し擁護する義務を負ふ」
「集団的自衛権は憲法侵す」 松阪市長、国提訴へ (中日, 7/3)。平和的生存権。
解説
時論公論 「憲法解釈変更 その先は?」 (NHK 解説委員室, 7/2)。 島田敏男解説委員。
世論調査設計のお粗末でブレる集団的自衛権の賛否 (団藤 保晴 / Yahoo, 7/3)
さっそく対応
集団的自衛権 教科書8社が記述の訂正検討 (NHK, 7/3)
》 Microsoft Office for Mac 2011 14.4.3 Update (Microsoft KB 2978808)。6/25 付で出てたんですね。更新対象は Outlook for Mac 2011 のみのようで。
》 【実務者系雑談】STAP細胞特許の国内移行〆切を先延ばしにする方法 (栗原潔のIT弁理士日記, 7/3)
》 Listening:<白紙・STAP論文>募る不信、理研を断罪 改革委「軟着陸」許さず (毎日, 7/3)。理研 CDB、ここまでひどいのね。
遠藤氏は、ウェブ上に公開されたSTAP細胞の遺伝子データを解析し、STAP細胞が胚性幹細胞(ES細胞)だった可能性があるとの結論をまとめていた。若山氏は、STAP細胞から作った細胞の解析を第三者機関に依頼、「STAP細胞用に準備したマウス由来ではない」との結果を得ていた。これらの結果は、毎日新聞など一部メディアが報じたが、理研から改革委に正式な説明はなかった。さらに、理研はこれらの公表に横やりを入れていた。
遠藤氏は、解析結果の論文発表を計画し、5月22日に理研本部へ報告した。しかし、本部は理研内の研究者組織「科学者会議」と議論してから投稿するよう求めた。研究者の論文投稿に条件を付けるのは極めて異例だ。
若山氏は6月3日、野依良治理事長ら幹部約30人が並ぶ理研改革推進本部の会合で解析結果を報告し、早期の公表を希望した。だが幹部らは「発表は早すぎる」と口々に難色を示し、野依理事長もそれに同意。押し問答の末、理研発生・再生科学総合研究センター(CDB)が結果を確かめるまで公表しないことが決まった。
「2人の解析結果公表に圧力がかかった」との情報を得た改革委委員が送ったのが、冒頭のメールだった。2人は6月12日の最終会合に招かれ、解析結果は提言書に盛り込まれた。ある委員は「委員会に呼び、結果を表に出さなければならないと思った」と明かす。
STAP論文:ネイチャーが撤回 著者ら「複数の誤り」 (毎日, 7/2)
STAP細胞に関する研究論文の取り下げについて (理研, 7/2)。「小保方晴子研究ユニットリーダーコメント」は今 (7/3 15:30) に至るもありません。
大阪大・篠原彰教授「査読過程の検証を」 (産経, 7/3)
》 高3生に自衛隊の募集案内が、個人宛に続々と届く (NAVER まとめ, 7/2)
関連: 住民基本台帳の閲覧状況 (東京都中野区)。 「自衛隊東京地方協力本部 高円寺募集案内所」がズラリと……。 本当に片っ端から探しているんですね。
》 「不正疑惑の説明を」東大医学部生が大学総長に送った「公開質問状」に込めた思い (弁護士ドットコム, 7/2)
》 NHK放送、災害時のネット同時配信に「お墨付き」 改正放送法成立 (ITmedia, 7/3)
》 Microsoft、メールでのセキュリティ情報通知を再開 (ITmedia, 7/3)
》 中国政府が「LINE」を遮断? 中国で接続できず (ITmedia, 7/2)、 中国:LINEを遮断か…1日夜からつながらず (毎日, 7/2)
》 FacebookのサンドバーグCOO、無断情動感染実験について部分的に謝罪 (ITmedia, 7/3)、 フェイスブック、ほとんど制約なしに心理実験=関係者 (ウォール・ストリート・ジャーナル日本版, 7/3)
》 ヤマダ電機23歳フロア長が新店オープン2日前に過労自殺 契約社員からいきなり管理職に登用後1か月で (MyNewsJapan, 7/2)
清司さんは、04年末にヤマダ電機に契約社員として中途入社し、死亡する約1か月前、正社員登用と同時に管理職になったばかり。専門学校卒業後、初めての正社員であり、正社員経験のない若者を管理職に就ける人事は一般にはありえない。労災認定した労基署の調査によると、死亡数日前には、自分が何をすればいいか分からず、フロア長の役割を果たすことができなくなったという。23歳の契約社員をいきなり管理職にして過労死に追い込んだヤマダ電機。
めちゃくちゃだ……。
》 eo 光、DDoS 攻撃によりキャッシュ DNS サーバーに障害発生中
障害情報一覧 (eo 光)。まとめるとこうなる模様。
| 日付 | 障害期間 | 対応 |
|---|---|---|
| 6/29 | 18:00 - 21:54 | DNSサーバーの負荷軽減策の実施 |
| 6/30 | 21:13 - 23:40 | 不明 |
| 7/1 | 16:39 - 17:46 | 不明 |
| 22:00 - 現在 (7/3) に至るも断続的に継続中 | 不明 |
eo サポート (twitter)
eo光で障害発生、どうやら3日連続DDos攻撃を受けている模様 (NAVER まとめ, 7/3)
目処が立たないようなので、eo 利用者は Google パブリック DNS などに一時避難するしかないのかも。 そういう奴の利用にあたっては、スノーデン事件がGoogle Public DNSに与えた影響 (Geek なぺーじ, 2013.11.11) とか読んでおいた方がよさげですが。
7/7 に復旧しました: DNSサーバーの障害復旧について (eo 光, 7/7)。「DNSサーバーへの不正な問い合わせを防止する対策ならびにDNSサーバーへの負荷を軽減する対策を実施」だそうです。
複数の LZO / LZ4 圧縮アルゴリズム実装 (各アルゴリズムの参照実装を含む) に欠陥があり、特定の条件を満たすと integer overflow するそうです。 Linux カーネル, Libav, FFmpeg, ...
Raising Lazarus - The 20 Year Old Bug that Went to Mars (The Mouse Trap, 2014.06.26)。 Libav や FFmpeg の LZO 実装、LZ4 参照実装や Linux カーネルの LZ4 実装においては、DoS だけでなく任意のコードの実行も現実的だそうで。
LMS-2014-06-16-1: Oberhumer LZO (The Mouse Trap, 2014.06.16)
LMS-2014-06-16-2: Linux Kernel LZO (The Mouse Trap, 2014.06.16)
LMS-2014-06-16-3: Libav LZO (The Mouse Trap, 2014.06.16)
LMS-2014-06-16-4: FFmpeg LZO (The Mouse Trap, 2014.06.16)
LMS-2014-06-16-5: Linux Kernel LZ4 (The Mouse Trap, 2014.06.16)
LMS-2014-06-16-6: LZ4 Core (The Mouse Trap, 2014.06.16)
Understanding the LZ4 Memory Corruption Vulnerability (The Mouse Trap, 2014.06.27)
I Was Wrong - Proving LZ4 Exploitable With Less Than 4MB (The Mouse Trap, 2014.07.01)
Vulnerabilities disclosure - how it's supposed to work (RealTime Data Compression, 2014.07.02)。LZ4 について。
対応
LZO 参照実装。 LZO 2.08 で修正されている。
LZ4 参照実装。 r118 (CVE-2014-4611) + r119 (CVE-2014-4715) で修正されている。
Linux 3.15.2 ChangeLog。 LZO, LZ4 が修正されている。
Bug 1112436 - (CVE-2014-4611) CVE-2014-4611 lz4: LZ4_decompress_generic() integer overflow (Red Hat)
FFmpeg。 FFmpeg 2.2.4, 2.1.5, 2.0.5, 1.2.7, 1.1.12, 0.10.14 で修正されている。
Libav。 Libav 10.2, 9.14, 0.8.13 で修正されている。
不正なJSONデータによるSQL Injectionへの対策について (Json.pm+SQLクエリビルダー) (Mobage Developers Blog, 2014.07.03)
PHP版SQL::MakerでJSON SQL Injectionの対応版を出しました (Qiita, 2014.07.07)
WordPressのプラグイン「MailPoet」に深刻な脆弱性 (ITmedia, 2014.07.03)。MailPoet 2.6.7 で修正されている。
関連: Remote File Upload Vulnerability in WordPress MailPoet Plugin (wysija-newsletters) (Sucuri, 2014.07.01)
WordPress MailPoet (wysija-newsletters) Unauthenticated file Uploadの原因と対策 (yohgaki's blog, 2014.07.04)
MetasploiteのプラグインはテーマとしてアップロードされるZIPファイルに攻撃用となるPHPスクリプトを入れています。WordPressのMailPoetがロールの確認を怠っていたため、管理者以外でもテーマのZIPファイルがアップロード可能となり、不正なファイルを含むZIPファイルが展開され配置されてしまっていた事が問題の原因です。 対策としてロールの確認、ZIPファイルコンテンツのバリデーションが追加されています。
CVE-2014-3477 (fd.o#78979): local DoS in dbus-daemon (oss-sec ML, 2014.06.10)。1.8.4、1.6.20 で修正。
最新ファームで修正されている。
JVNDB-2014-000065: SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.07.02)
JVNDB-2014-000066: SX-2000WG におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.07.02)
Multiple Vulnerabilities in Cisco Unified Communications Domain Manager (Cisco, 2014.07.02)。権限上昇、デフォルト SSH 鍵、BVSMWeb 無認証データ改変。
関連: Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ (ITmedia, 2014.07.03)
Alert (ICS-ALERT-14-176-02A) ICS Focused Malware (Update A) (2014.07.01)
シマンテックの、日本語版出ました:
Dragonfly: 妨害工作の危機にさらされる欧米のエネルギー業界 (シマンテック, 2014.07.02)
APPLE-SA-2014-06-30-4 Apple TV 6.1.2 (2014.07.02)
こちらでは、Apple TV 6.1.2 ではなく 6.2 になってますね: About the security content of Apple TV 6.2 (Apple, 2014.06.30)
》 STAP 細胞をめぐる理研 CDB の迷走、iPS 細胞臨床研究に重大影響
Masayo Takahashi @masayomasayo さんのツイート:
理研の倫理観にもう耐えられない
— Masayo Takahashi (@masayomasayo) 2014, 7月 1STAP細胞:理研の高橋政代氏「iPS臨床研究中止も」 (毎日, 7/2)
STAP問題、小保方氏に決着委ねる 批判回避狙う理研 (日経, 7/1)
Masayo Takahashi @masayomasayo さんのツイート:
全く一転していません。中止と書いた訳でもないし、この環境で進め難いのも事実。“@FlashNewsJP: 理研研究者、iPS研究中止を書き込み後一転… - 読売新聞 http://t.co/Ir1sTQxYFk iPS細胞を使った世界初の臨床研究を進める理化学研究所(神戸市)”
— Masayo Takahashi (@masayomasayo) 2014, 7月 2》 政府・与党、「解釈変更」により憲法 9 条を破壊 (前ねた: 7/1)
Listening:<平和国家の変質>集団的自衛権・閣議決定/1(その2止) 「明記」求めた首相 (毎日, 7/2)。「公明、楽観論で誤算」山口氏「代表辞めたい」
集団的自衛権:閣議決定 作家・半藤一利さんの話 (毎日, 7/2)
》 第2回プライバシーフリーク・カフェ(山本一郎・高木浩光・鈴木正朝) (ニコニコ生放送, 7/1)、 第2回プライバシーフリーク・カフェ 大綱サイコー(再考)! (togetter, 7/2)
第 1 回の記事: プライバシーフリークカフェ - 記事一覧 (Enterprise Zine)
》 連載が開始2日前に中止に…… マンガ家がブログで報告 「進撃の巨人」作者も「信じられない」とコメント (ねとらぼ, 7/2)。ひでえ。
「ラブひな」「ネギま!」などを手がけ、マンガサイト「Jコミ」の代表でもある赤松健さんはTwitterで、「もし今回の『児ポ法改正案』で附則第2条(漫画アニメの規制調査)を削除してもらえなかったら、この手の騒ぎが大量に発生していたはず。困ったもんだ」と、表現規制について難を示した。
》 ヤフー社長室長による「ステルスロビー活動」記事の問題点。自らの利益のためにメディアを使うのを戒めよ (藤代 裕之 / Yahoo, 6/30)、 ヤフー執行役員、Yahoo!ニュースで“自社サービス潰された”と恨みのロビー活動? (NAVER まとめ, 6/30)
》 梅雨なのに渇水・・・ 6月の雨と日照 (tenki.jp, 7/1)。東海、近畿、中国、北九州は渇水傾向ですか。 実際、ぜんぜん雨降らないものなあ。 このまま行くとヤバイなあ。
》 西アフリカのエボラ死者、467人に急増 WHO発表 (AFPBB, 7/2)。つい 10 日ほど前に、 西アフリカのエボラ、死者337人に 過去最悪の流行 (AFPBB, 6/19) と言っていたわけだが、そこから死者が 130 人も増えている。
》 『紙つなげ!』トークイベント@三省堂書店有楽町店(2014年7月1日) (togetter, 7/1)
》 役立つ:森下仁丹の「レスキューキット」 ポケットサイズでも本格派 (毎日, 7/2)
PHP 5.5.14、5.4.30 公開。
PHP 5.5.14 Release Announcement (PHP.net, 2014.06.26)、ChangeLog
PHP 5.4.30 Release Announcement (PHP.net, 2014.06.26)、ChangeLog
8 件のセキュリティ欠陥を修正。
Core:
Fixed bug #67390 (insecure temporary file use in the configure script). (CVE-2014-3981)
Fileinfo:
- Fixed bug #67326 (cdf_read_short_sector insufficient boundary check). (CVE-2014-0207)
- Fixed bug #67410 (mconvert incorrect handling of truncated pascal string size). (CVE-2014-3478)
- Fixed bug #67411 (cdf_check_stream_offset insufficient boundary check). (CVE-2014-3479)
- Fixed bug #67412 (cdf_count_chain insufficient boundary check). (CVE-2014-3480)
- Fixed bug #67413 (cdf_read_property_info insufficient boundary check). (CVE-2014-3487)
Network:
Fixed bug #67432 (Fix potential segfault in dns_get_record()). (CVE-2014-4049)
SPL:
Fixed bug #67492 (unserialize() SPL ArrayObject / SPLObjectStorage Type Confusion) (CVE-2014-3515)
Heads-up on security aspects of looking-glass deployments (nanog, 2014.07.01)
* mrlg4php - CVE-2014-3927: Remote command injection to router's console via "argument" parameter * cougar-lg - CVE-2014-3926: XSS in <title> via "addr" parameter - CVE-2014-3928: Unsafe configuration file path/ACL - CVE-2014-3929: Unsafe SSH keypairs path in default config * cistron-lg - CVE-2014-3930: Unsafe configuration file path/ACL * mrlg - CVE-2014-3931: Remote memory corruption in fastping (SUID binary) (中略) For specific details, full advisories are available for each issue: * http://www.s3.eurecom.fr/cve/CVE-2014-3926.txt * http://www.s3.eurecom.fr/cve/CVE-2014-3927.txt * http://www.s3.eurecom.fr/cve/CVE-2014-3928.txt * http://www.s3.eurecom.fr/cve/CVE-2014-3929.txt * http://www.s3.eurecom.fr/cve/CVE-2014-3930.txt * http://www.s3.eurecom.fr/cve/CVE-2014-3931.txt
JVNDB-2014-003031: GnuPG の g10/compress.c の do_uncompress 関数におけるサービス運用妨害 (DoS) の脆弱性 (JVN, 2014.06.26)。GnuPG 2.0.24、1.4.17 で修正されている。 CVE-2014-4617
Apple TV 6.1.2 公開。35 件の欠陥を修正。
こちらでは、Apple TV 6.1.2 ではなく 6.2 になってますね: About the security content of Apple TV 6.2 (Apple, 2014.06.30)
iOS 7.1.2 公開。44 件の欠陥を修正。 また Trusted root certificates を更新。
OS X Mavericks 10.9.4 および OS X Lion v10.7.5、Mountain Lion v10.8.5 用の Security Update 2014-003 公開。19 件の欠陥を修正。 また Trusted root certificates を更新。
OS X Mavericks 10.9.4 には Safari 7.0.5 が同梱されている。
Safari 6.1.5、7.0.5 公開 (v10.7.5, v10.8.5, v10.9.3 用)。 Webkit の 12 件の欠陥を修正 (任意のコードの実行 x 10、ローカルファイル漏洩 x 1、アドレスバー詐称 x 1)。
別の論文データ改ざんの疑い 再逮捕 (NHK, 7/1)
薬の論文データ改ざん 手動入力の形跡 (NHK, 7/1)
元ノバルティス社員再逮捕、誇大広告罪で法人も起訴 (産経, 7/1)
特捜部は同日、2011年に同医大研究チームが発表した論文で改竄した誇大広告の罪で、白橋容疑者と法人としての同社を起訴した。
京都府立医大の論文発表、ノバルティスが費用を負担 (朝日, 6/28)
》 【臨時配信】マカフィー サポート通信 - 2014/06/27 (マカフィー, 6/27)。5700 エンジンのリリースが遅れるそうで。
》 Google Drive update to protect to shared links (Google, 6/27)
》 政府・与党、「解釈変更」により憲法 9 条を破壊。 「立憲主義の断末魔です!」
目前に「引き返せぬ地点」=集団自衛権に警鐘鳴らす-作家・半藤一利氏に聞く (時事, 6/14)
集団的自衛権 与党が閣議決定案で合意 (NHK, 7/1)
集団的自衛権行使容認 閣議決定 (NHK, 7/1)
安倍首相 行使容認は限定的と強調 (NHK, 7/1)
安倍総理「日本が戦争に巻き込まれるおそれは一層なくなっていく」 (BLOGOS, 7/1)
クローズアップ2014:集団的自衛権、きょう閣議決定(その1) 崩された平和憲法 (毎日, 7/1)
特集ワイド:集団的自衛権の行使容認で「日本が失うもの」 (毎日, 7/1)
社説:集団的自衛権 閣議決定に反対する (毎日, 7/1)
山田監督ら映画関係者が反対声明 (NHK, 7/1)
ナチスに学んだ結果なんですかね。 愚かな……。
ちなみに、今日 7/1 は自衛隊発足 60 周年なのだそうで。
自衛隊 きょうで発足60年に (NHK, 7/1)
軍事研究 2014年5月号 に「富士学校部隊訓練評価隊のデザート遠征」という、US での日米共同 PKF 訓練の模様を紹介した記事があるのですが、 このまま行くと、こういう時代が本当に来るのだろうなあ。
STAR WARS エピソード 1 をもう一度観てみるべきかな。
》 集団的自衛権閣議決定、官邸前抗議行動、NHK「長崎で200人が反対」 (togetter, 6/30)。ひどい。
》 解釈改憲反対の男性が新宿で焼身自殺未遂した件 (6/29)
新宿駅前で男性が焼身自殺図る? 集団的自衛権で抗議か (朝日, 6/29)
Man sets self afire in Tokyo in apparent protest (Wasington Post, 6/29)
安倍自民へ抗議の焼身自殺発生…(#批判 #自衛権 #有名人の声 #動画付き #反響 #メディア矮小化 #未遂) (togetter, 6/30)
新宿・焼身自殺未遂、多くの海外メディアが報道 (TBS, 6/30 04:49)
「集団的自衛権に反対」東京・新宿駅で男性が焼身自殺図る (TBS, 6/30 05:38)
「安倍政権への抗議で焼身自殺」 海外メディアの報道を比較 (ハフィントンポスト, 6/30)
257:ドイツ紙がこぞってNHKの集団自衛権抗議の焼身自殺報道の欠落を指摘/報道不作為で自殺したNHKはAHKである/追加あり
(明日うらしま, 6/30)。みなさまの、NHK 官邸の、犬HK。
》 マイクロソフト、メールによるセキュリティ情報の通知を一時停止 (Internet Watch, 6/30)
ベンダーがこうしたメールを送信することが、一部の国で法規制などの対象になる可能性があることが判明したため、世界全体で一時的にサービスを停止することにした
関連:
Microsoft Kills Security Emails, Blames Canada (Krebs on Security, 6/30)。カナダのアンチスパム法ですか。
Microsoft to resume email security notifications (ZDNet, 6/30)。7/3 から復活する?
Microsoft、メールでのセキュリティ情報通知を再開 (ITmedia, 7/3)
》 FIRST2014で感じた”Information Sharing”の難しさ (エフセキュアブログ, 6/30)
》 「スカパー!」システム障害復旧のメド立たず、新たに55件の個人情報漏洩も (日経 IT Pro, 6/30)、 【重要なお知らせ】システム障害によるお手続き停止継続のお詫び (スカパー, 6/30)
受付再開は次の日時を予定しております。
カスタマーセンター:7/3(木)10:00
公式サイト(Myスカパー!含む):7/7(月)9:00
》 「 オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう! 」 (IPA, 7/1)。
》 DirBusterを使ったディレクトリ探索 (cNotes, 6/28)
》 .ssh等を探索するリクエスト (cNotes, 6/27)
》 「著作権特区」なんて意味がないと何回言ったらわかるのか (栗原潔のIT弁理士日記, 7/1)
》 イスタンブール・プライドに10万人以上が参加 宗教的圧力に負けず (石壁に百合の花咲く, 7/1)
》 論考:中央アフリカにおける国家の崩壊 (JDE-JETRO, 6/30)
》 米公文書記録局、全データをWikimedia Commonsにアップロード (techcrunch, 7/1)
》 グリーンピースとEFFがNSAの巨大データセンター上空に抗議の気球を飛ばす (techcrunch, 6/28)
》 ストーカー 殺意の深層 〜悲劇を防ぐために〜 (NHK スペシャル, 7/6 放送予定)
》 「邦人救出、米拒む」? 11年、日米協力加速で合意 (日本報道検証機構, 6/24)
》 ロス疑惑「新証拠」 名誉棄損判決記事を是正 (日本報道検証機構, 6/30)
》 いつから「マイノリティ」が少数派のことだと勘違いしていた? (みやきち日記, 6/29)
差別問題において女性をマイノリティと呼ぶのは、この3番目の意味、つまり「母集団の中で、なんらかの特徴において他の集団と違っており、しばしばアンフェアな扱いを受けている人々」という意味においてです。日本の女性がジェンダーという特徴のために「アンフェアな扱いを受けている」ことは、都議会のヤジ事件を見ても、そもそも議会での女性議員比率が他の先進国に比べ極端に低いことを見てもすぐわかるはず。シートン俗物記さんで言及されている通り、女性差別はマイノリティ問題でしかあり得ません。
》 ダイナミックDNSがマルウェアの温床になっているとしてMicrosoftがNo-IPのドメイン差し止め (gigazine, 7/1)。NO-IP.com が管理している DDNS 用ドメインを、Microsoft が法律戦によりテイクダウンしたみたい。 もちろん副作用が出ているようで。例:
どどんとふ公式鯖中の人 @DoDontoF_Srv さんのツイート:
ぎゃああああ!!何すんねん!!公式鯖見えたり見えなかったりはお前のせいかよ!! QT @gigazine: ダイナミックDNSがマルウェアの温床になっているとしてMicrosoftがNo-IPのドメイン差し止め http://t.co/aRXMY0NOJ8
— どどんとふ公式鯖中の人 (@DoDontoF_Srv) 2014, 7月 1とりあえず他のダイナミックDNSサービスに切り替えた。持っててよかった予備環境。
— どどんとふ公式鯖中の人 (@DoDontoF_Srv) 2014, 7月 1関連:
Microsoft Darkens 4MM Sites in Malware Fight (Krebs on Security, 7/1)
Microsoft Digital Crimes Unit disrupts Jenxcus and Bladabindi malware families (MMPC, 6/30)
Microsoft seizes 22 NO-IP domains, disrupts cybercriminal and nation state APT malware operations (Kaspersky, 7/1)
》 バンダイナムコIDへ行われた不正ログインについてまとめてみた (piyolog, 6/29)
》 米NetflixがAWSセキュリティ設定追跡ツール「Security Monkey」を公開 (sourceforge.jp, 7/1)
》 鎌倉市役所、生活保護窓口を封鎖する「水際作戦」 (NPO法人POSSE(ポッセ), 6/30)、 鎌倉市の生活保護申請窓口についたて 2年以上 外部指摘で撤去 (カナロコ, 7/1)
》 「パスコードを設定」ではLINE乗っ取りは防げない! 永江一石さんのエントリには賛成できません (I believe in technology, 6/30)
》 Twitterのアプリインストール広告、日本を含む世界でスタート (ITmedia, 7/1)
》 AWSがCIAの契約獲得 クラウド業界の地殻変動? (クラウド Watch, 6/30)
》 Tカードで紙と電子つなげる、TSUTAYAとBookLive!が連携して“AirBook”提供 (Internet Watch, 6/30)。げぇ。
》 マイクロソフトが警視庁へセキュリティ協力、覚書を締結 (Internet Watch, 6/27)。東京都限定。
Havex / Dragonfly の件。
Havex Hunts For ICS/SCADA Systems (F-Secure, 2014.06.23) (いまいち不安定な日本語訳)
Dragonfly: Western Energy Companies Under Sabotage Threat (Symantec, 2014.06.30)
攻撃対象はエネルギーセクターなのか……。
シマンテックの、日本語版出ました:
Dragonfly: 妨害工作の危機にさらされる欧米のエネルギー業界 (シマンテック, 2014.07.02)
マイクロソフト セキュリティ アドバイザリ (2719662) ガジェットの脆弱性により、リモートでコードが実行される (2012.07.12)
7/Vista のガジェット、無効にしてますか? (山市良のえぬなんとかわーるど, 2014.07.01)
過去の記事: 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998