2012年6月1日金曜日

セキュリティホール Memo - 2012.02


セキュリティホール memo - 2012.02

Last modified: Thu May 31 11:35:47 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


  • 》 日本ベリサイン、国内で初めて次世代暗号アルゴリズムのSHA-2の商用版 SSLサーバ証明書の提供開始 (日本ベリサイン, 2/29)。具体的には何を使ってるんだろう。

     ケータイ方面:

    株式会社エヌ・ティ・ティ・ドコモの携帯電話では、携帯電話やスマートフォンを利用したネットショッピングやネットバンキングにおけるSSL/TLS通信の安全性を、デスクトップPCのブラウザと同じレベルにまで高めることを目的に、2009年度冬春モデルよりSHA-2ハッシュアルゴリズムに順次対応しています。

    また、KDDI株式会社の携帯電話では2009年以降のモデルについて、順次対応を計画しています。

    ソフトバンクモバイル株式会社の携帯電話では2012年春モデルより、順次対応予定です。

     現状では SHA-2 ファミリーには未対応ということか……。 https://ssltest-sha2ee.verisign.co.jp/ でテストできるそうです。このサイトは SHA-256 ですね。

  • 》 McAfee SiteAdvisor アドオンのメモリリーク問題 (Mozilla Japan ブログ, 2/28)。SiteAdvisor 3.4.1 に深刻なメモリリーク問題があり、3.4.1.195 で修正されているそうです。

  • 》 高島市沖の湖底からガス噴出 県が原因究明へ (中日, 2/29)。琵琶湖方面。高島市の沖といっても広いのですが、どのあたりなんだろう。

  • 》 Anonymousのサイバー攻撃に関与の疑いで4人逮捕――スペイン (ITmedia, 2/29)

  • 》 東日本大震災:福島第1原発事故 汚染水浄化の新設備 放射性物質57種除去 (毎日, 2/28)。「来年度前半にも導入」……。汚染水貯蔵タンクは、その前にいっぱいになっちゃうんじゃ。

     放射性物質62種類について試験したところ、現時点で57種類を検出限界値未満に除去できることが確かめられた。この設備を使って、海に放出できる法定基準以下まで浄化するが経産省は「放出するかどうかは地元と協議する」と説明した。

     あと、放流する前に、ヒドラジン とかも除去してもらわないと。

  • 》 巨大津波「いつ起きても」を削除 文科省 (中日, 2/28)

     東日本大震災直前の昨年2月、政府の地震調査委員会(文部科学省)が東北地方の巨大津波について、報告書に「いつ起きてもおかしくはない」と警戒する記述を盛り込むことを検討しながら、委員の議論を受けて削除していたことが、28日までの文部科学省への情報公開請求などで分かった。「切迫度のより高い東海地震と同じ表現を使うのは不適切」との理由だった。

     こんなんばっか……。

  • 》 児童ポルノ:共有ソフトで 宇治市職員ら4容疑者逮捕 /静岡 (毎日, 2/24)。「日本で一番厳しい」児童ポルノ規制条例制定の横で。

  • 》 頻発する標的型攻撃に備えよ (日経コミュニケーション 2011年12月号 pp.28-29)

  • 》 スマホユーザーを狙う新たな罠、「友達リクエスト」でウイルス感染 (日経 IT Pro, 2/28)。これも Android ねた。

  • 》 Facebookのユーザプロフィールから感染するAndroidマルウェアあり (techcrunch, 2/25)

  • 》 ボットの手口を身につけた Android.Opfake.B (シマンテック, 2/26)

  • 》 深刻さ増すAndroidマルウエア (日経コミュニケーション 2012年1月号 pp.37-42)

  • 》 米グーグル:個人情報収集の新方針は「EU規則違反」 (毎日, 2/29)

  • 》 斉羽家のセキュライフ! 第 5 話: ウィルス対策ソフトウェア (Microsoft)

  • 》 『われ敗れたり コンピュータ棋戦のすべてを語る』 新刊ちょい読み (HONZ, 2/13)

    決戦の裏側に隠された興味深いエピソードが、いくつか挙げられている。(中略)
    二つ目は、米長氏が出がけに奥さんに「私は勝てるだろうか」と聞いたときのこと。はっきりと「あなたは勝てません」と断言されたのである。「なぜ勝てないんだ」と問い返すと、「あなたはいま、若い愛人がいないはずです。それでは勝負に勝てません」と言い放ったというから驚く。げに恐ろしきは、勝負師の妻なり。
  • 》 IPA重要インフラ情報セキュリティシンポジウム2012 (IPA, 2/23 開催)。講演資料が公開されています。みやじゅん・涅槃寂静さん情報ありがとうございます。

■ When Do I Need to Apply This Update - Adding Priority Ratings to Adobe Security Bulletins
(Adobe, 2012.02.28)

 プライオリティ 1, 2, 3 の 3 種類だそうで。 Adobe Reader や Flash Player は 1 か 2 しかないと理解していいのかな。

2012.03.23 追記:

 抄訳版出ました: セキュリティ情報に追加された「優先度」について (Adobe)

■ 制御機器の脆弱性に関する注意喚起 〜制御システムへの攻撃ルートの分析とセキュリティ対策の検討を!〜
(IPA, 2012.02.29)

■ Security Update 2012-02-27 released
(PostgreSQL, 2012.02.27)

 PostgreSQL 9.1.3 / 9.0.7 / 8.4.11 / 8.3.18 登場。3 件のセキュリティ欠陥が修正されている。

  • トリガーにより呼ばれる関数において、権限が確認されていない。 CVE-2012-0866

  • SSL 証明書における名前が 32 文字に切りつめられて評価される。 CVE-2012-0867

  • オブジェクト名に行末文字が含まれていると、pg_dump ファイルを読み込んだ時にコードが実行される。CVE-2012-0868



  • 》 2012年2月25日(土) IWJCh4 自由報道協会主催 おしどりマコ氏・「週刊文春」編集部緊急記者会見 視聴者ツイートの全て (togetter, 2/26)、"福島児童 甲状腺ガンの疑い" マコ氏「公益性のため報道した」 (JANJAN blog, 2/26)。「衝撃スクープ 郡山4歳児と7歳児に「甲状腺がん」の疑い!」の件、文春側が誤報ではないと反論。

     週刊文春(3月1日号)に掲載された「郡山児童に甲状腺がんの疑い」のスクープ記事をめぐって、取材者のおしどりマコ氏と同誌編集部が25日夜、都内で緊急記者会見を開いた。さっぽろ厚別通内科の杉澤憲医師が前々日に記者会見し、「事実と異なる部分があり訂正する」と表明したことを受けたものだ。
     冒頭で週刊文春編集部の前島篤志・統括次長は、「医師の名前は公表していないが、録音やメールのやり取りを保管しており、誤報と言われる意図がわからない」と真っ向から否定した。
     杉澤医師の弁護士は記者団の質問に「(週刊文春相手に)訴訟を起こすつもりはない)」と答えている。記事の根幹部分で誤報があれば、訴訟に至るケースが多い。訴訟を起こせないのは、記事が大意として間違っていないことを示� �たようなものだ。
  • 》 「DNSの浸透待ち」は回避できる――ウェブ担当者のためのDNS基礎知識 (Internet Watch, 2/27)

  • 》 Macマルウェア「Flashback」がパスワードを狙う〜早急にJavaアップデートを (Internet Watch, 2/27)、 Macを狙うドライブバイダウンロード攻撃発生〜必ずアップデートを (so-net セキュリティ通信, 2/27)。最新の Mac 用 Java に更新してあれば ok。

  • 》 デジタル活動家が検閲不可能なネットワークを構築 (エフセキュアブログ, 2/22)、Internet Freedom Fighters Build a Shadow Web [Preview] (ScientificAmerican, 2/16)

  • 》 鳥インフルエンザウィルスに関する論文発表延期に同意:WHO (国連情報誌SUNブログ対応版, 2/18)

  • 》 「2010年度国内における情報セキュリティ事象被害状況調査」報告書を公開 〜依然として低いセキュリティパッチ適用状況の改善を〜 (IPA, 2/24)

    (1) セキュリティパッチの適用率は依然として低い
     外部公開サーバー・内部ローカルサーバーとも、計画的にセキュリティパッチを適用している企業は約4割に留まります。クライアントパソコンに対しては、「実際の適用状況が分からない」、「各ユーザーに任せている」とした回答が約45%、「ほとんど適用していない」、「分からない」とした回答も約16%ありました。ウイルスを感染させるために悪用された脆弱(ぜいじゃく)性は、ほとんどが既知であるとの報告もあり、感染防止のためには積極的なセキュリティパッチの適用が重要となります。
  • 》 IPAと米国NIST、暗号モジュール試験及び認証制度の共同認証で合意 (IPA, 2/27)

  • 》 あなたの街で、オープン・ガバメント政策が採択されるには (CCJP, 2/27)

  • 》 「3日以内に 200ユーロ支払え」− PC を"人質"に金銭を要求するランサムウェアの被害が日本国内にも (トレンドマイクロ セキュリティ blog, 2/23)

  • 》 Facebook 1000アカウントが15ドル? 闇取引される情報の「お値段」 (トレンドマイクロ セキュリティ blog, 2/23)

  • 》 橋下大阪市長が行うべきアンケートは…当然、談合、買収調査でしょう! (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊)日隅一雄, 2/24)

  • 》 VMware Workstation 8でVNCクライアントのキーボードマップを指定する方法 (Eiji James Yoshidaの記録, 2/23)

  • 》 UDID取得は業界の常識!? (水無月ばけらのえび日記, 2/26)

  • 》 武雄市役所職員はFacebookを私的利用できなくなる (水無月ばけらのえび日記, 2/26)

  • 》 携帯電話ネットワークから端末の位置情報はダダ漏れ?  大学研究機関が警鐘、「スマホとオープンソース技術で簡単に居場所を突き止められる」 (ComputerWorld.jp, 2/20)

     研究者によるデモンストレーションでは、T-Mobileの「G1」スマートフォンとオープンソース技術を利用し、ミネアポリス地域の10ブロック以内にある1台の携帯電話を簡単に見つけ出すことができた。彼らがこの実験を行うにあたり、サービス・プロバイダーにコンタクトする必要性はまったくなかった。

     論文はこちら: University of Minnesota researchers discover that cell phone hackers can track your physical location without your knowledge (University of Minnesota)

  • 》 中国の苛烈な検閲をかいくぐり、「Google+」へアクセスする市民たちの"要求"とは (ComputerWorld.jp, 2/27)

  • 》 今シーズンのインフルエンザワクチンの効果は低い? (コンテナ・ガーデニング, 2/25)。変異しやすい相手との戦いを 1 年前から準備しないといけないので、うまくいかない時もあります。

  • 》 中国沿岸でエチゼンクラゲ"幼生" (NHK「かぶん」ブログ, 2/25)

  • 》 原発近くの上空 事故後初めての飛行(増山記者) (NHK「かぶん」ブログ, 2/27)。原発上空 飛行禁止区域を縮小 (NHK「かぶん」ブログ, 2/25) になったのを受けて、各社、同様の絵を撮りに行っているようで。 どこからどう見てもゴーストタウンです。

  • 》 「バグフィルターで放射性物質を除去できる」は本当か (JANJAN blog, 2/23)

  • 》 The Art of Keylogging with Metasploit & Javascript (Metasploit, 2/21)

  • 》 Metasploit 4.2 Released: IPv6, VMware, and Tons of Modules! (Metasploit, 2/22)

  • 》 Spotify:レコードレーベルに祝福された大規模P2Pネットワーク (P2Pとかその辺のお話, 2/23)

  • 》 欧州委員会、ACTAを欧州司法裁判所へ付託 (P2Pとかその辺のお話, 2/25)

  • 》 原発事故 100時間の記録 (NHK スペシャル, 3/3 放送予定)

  • 》 不安を煽る「報道ステーション」 (toriiyoshiki's Blog, 2/25)。例の「黒い粉」の件。

    ぼくはこの文章の冒頭に 23日放送の「報道ステーション」には、 「事実の取り違え、ないしは不正確な表現がある」と書いた。
    神戸大学で108万ベクレル/kgが検出されたのは、 実は「黒い物質」ではない。 番組で紹介されたのとは全く別の場所、 市内の駐車場の排水溝近くにあった土壌である。 この事実は20日、 共同通信によって配信された記事によって確認される。 分析に当たった神戸大学の山内友也教授の 「土壌に含まれていた枯れた植物が集まったことによって、  濃縮が進んだ可能性」というコメントからも、 「黒い物質」=藻ではないことは明らかだ。
    ところが、「報道ステーション」では、 108万ベクレルの放射性物質は 「黒い物質」から検出されたとしか見えない。 そのように編集されているからだ。
    プロの取材者が これほど基本的な事実を取り違えたのだろうか? それとも意図的に「不正確な表現」を行うことで、 ある種の印象操作を行ったのだろうか?
    もっといえば、 取材協力者(というかネタ元)が、 地元でプルトニウム騒ぎを引き起こしていることを、 「報道ステーション」のスタッフは知らなかったのだろうか?
  • 》 時論公論 「習近平中国副主席 訪米の狙いと成果」 (NHK 解説委員室, 2/15)

  • 》 視点・論点 「職場のパワハラ 解消への取り組み」 (NHK 解説委員室, 2/16)

  • 》 似顔絵捜査官:被害者救いたい…「第1号」の経験を出版 (毎日, 2/24)。「警視庁似顔絵捜査官001号」(並木書房)

  • 》 「ガチャ」、日本で最もお金を生み出すソーシャルゲームのメカニズムを読み解く (Startup Dating, 2/24)

  • 》 携帯端末でカンニングしている人間を座席単位で特定可能に (gigazine, 2/24)、携帯電話による入試の不正行為を検出法を開発 ―模擬試験会場で電波発信源の高精度特定に成功― (東工大)。

  • 》 国会図書館が「東日本大震災アーカイブ」を構築、震災関連サイトなども収集 (Internet Watch, 2/23)

  • 》 年金専門誌が09年に「日本版マドフ」と警告 AIJ運用資産消失問題 (ウォール・ストリート・ジャーナル日本版, 2/25)

  • 》 イラン方面

  • 》 シリア方面

  • 》 北方領土、要塞化の危機 日本を仮想敵に演習活発 (産経 MSN, 2/26)

■ DNS Changerマルウェア感染に関する注意喚起
(IIJ-SECT, 2012.02.27)

 対応しませう。

DCWG (DNS Changer Working Group) によると、1月末時点で約45万の感染端末が観測されており、まだ感染したままのユーザは3月8日以降 DNSの名前解決ができなくなります。

 設定されている DNS サーバがまともなのかどうなのか、このページでチェックできるそうで。

2012.03.06 追記:

 DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起 (JPCERT/CC, 2012.03.06)

2012.03.07 追記:

 DNS Changerマルウェア感染に関する注意喚起 (続報) (IIJ-SECT, 2012.03.07)。4 か月延長されたそうで。

2012.05.22 追記:

 DNS Changer マルウエア感染確認サイト公開のお知らせ (JPCERT/CC, 2012.05.22)。 https じゃないのか……。 にはまだ掲載されてませんね。

2012.05.24 追記:

 Notifying users affected by the DNSChanger malware (Google, 2012.05.22)

2012.05.31 追記:

 関連:

■ 追記


  • 》 セキュリティ・キャンプ (エフセキュアブログ, 2/22)

  • 》 Zeusbot/Spyeye P2P の進化でボットネットがさらに強力化 (シマンテック, 2/24)。P2P 化の促進、UDP を多用化。

    と言っても、C&C サーバーが完全になくなったわけではありません。特定の状況では、今でも C&C サーバーへの接続が選択されることがあります(たとえば、盗み出したデータを攻撃者に返信する場合など)。この脅威の分析は現在も進行中で、現時点ではこの点が大きな焦点になっています。

    C&C サーバーの完全な排除が可能になったとしたら、それはボットネットが強力に進化するひとつのステップとなるでしょう。P2P のみで稼動するようになれば、それを操っている攻撃者の追跡は、ほぼ不可能になります。分析は現在も進行中であり、全体像を把握するためにこの謎についても明らかにしようと努めています。

  • 》 PDF マルウェア開発者に狙われ続ける脆弱性 (シマンテック, 2/22)。CVE-2010-0188 だそうです。APSB10-07: Security Advisory for Adobe Reader and Acrobat で修正されてます。

  • 》 ZEBRALIGHT SC80 / SC80W 単三電池・CR123A使用可 (目指せ!ライトマニア HATTAのLEDライトレビュー, 2/23)。おもしろそうだなあ。

  • 》 F35戦闘機、高騰続けば導入中止 日本政府、米に価格維持求める (産経 MSN, 2/22)。とりあえず言ってみた。それはともかく、自衛隊が買うのは F-35A なのだから、F-35A の写真を載せなさい。

  • 》 DNS-Changer "clean DNS" extension requested (SANS ISC, 2/23)

  • 》 Apache 2.4 Features (SANS ISC, 2/22)。より細かい log が取れるのか。

  • 》 US 政府、「消費者プライバシー権利章典」を発表

     まだ法案を発表しただけですから。関連:

  • 》 陸山会裁判方面

  • 》 飯舘村のアキれた実情 酪農家はミタ 放射線量改ざん (日刊ゲンダイ / ネタりか, 2/24)。「センサーのまわりを重点的に除染しております!」

  • 》 事故情報、共有していると思った 現地対策副本部長 黒木慎一審議官 (東京新聞, 2/24)。原子力安全・保安院の黒木慎一審議官インタビュー。

     発生当日、黒木氏は車でOFCに向かったが大渋滞。急きょ自衛隊ヘリに乗り換えたものの、着いたのは翌十二日午前零時ごろ。
     到着の三時間ほど前に福島第一から半径三キロ圏の住民に避難を指示していたが、黒木氏がそのことを知ったのは、ヘリが福島県内の自衛隊基地に着陸してからだった。
     十二日未明に官邸が避難指示の対象を十キロ圏に拡大した際も「本省から事後に聞いたか、報道で聞いたかのどちらか」といい、現地とのすり合わせはなかったという。
     東電が福島第一からの「全面撤退」を政府に打診したかどうかについて、黒木氏は「現地では、東電からは『必要最低限の人間はずっと置く』という話しか聞いていない」と証言。官邸にいた菅首相や海江田万里経産相(当時)は、本紙のインタビュー� ��、そろって「全面撤退」と受け止めたと語っていた。ここでも現地と東京の間で大きな情報ギャップがあったことが判明した。

     オフサイトセンター (OFC) がいかに機能しなかったかがよくわかる。

     こうした点を踏まえ黒木氏は「初期対応を現地でやるのは困難だった」と説明し、「司令塔機能は移動があることを前提としたシステムに変える必要がある。東京の方が司令塔として適切な場合もあるのではないか」と教訓を語った。

     オフサイトセンターという発想そのものに欠陥があると。

  • 》 関電原発立地自治体のみなさん

  • 》 「軽水炉爆発」デマで株価操作、大学生が計画  虚偽の「共同通信電」も作成 (朝鮮日報, 2/22)

     今回の事件に使われた資金は、大企業で課長を務める会社員が会社資金を横領したものだった。また、デマで株価を急落させることを考えたのは、大学1年の男子学生だった。デマは釜山市内のインターネットカフェから発信され、インターネットのインスタントメッセンジャーを通じ、瞬く間に広がり、わずか16分後にはソウル株式市場で株価指数がその日の最安値水準まで下落した。
  • 》 班目春樹・原子力安全委員会委員長

     個人的には、「俺は責任取りたくない」と言っているだけのように聞こえるのだが。

  • 》 浜岡原発:3号機、ベント操作を初公開 県、御前崎市が手順を確認 /静岡 (毎日, 2/22)

     手動ベントが地下1階で行われるのに対し、窒素ボンベは津波による浸水時にも利用できるよう、海抜15メートルの建屋2階に配備されている。県原子力安全対策課の藤原和夫課長は、緊急時に作業員がは重いボンベを持って降りなければいけなくなることを指摘し、「実際には暗闇の中で作業するので、もう少し窒素ボンベを近くに置いた方が良いのではないか」と述べた。

     実際にやってみたからこそ、こういうことが言えるわけですね。

  • 》 クウェート:原発断念 福島事故で安全性疑問視 (毎日, 2/22)

     ただ、国立科学研究所が原子力委員会の後を継ぎ、主に医療分野での原子力利用を研究しており、将来的に研究用原子炉が建設される可能性はある。国立科学研究所のオサマ・サエグ研究員は「3〜5カ月以内に(今後の方向性の)調査を始めたい」との見通しを示した。
  • 》 写真で見る「脱原発杉並有象無象デモ」 (山本宗補の雑記帳, 2/20)、 第221回  カオスだった「脱原発杉並(副題は自由)」デモ!! の巻 (雨宮処凛がゆく!, 2/22)

  • 》 国交省が民主党にダム中止特措法案の概要提示 (八ツ場ダムをストップさせる埼玉の会, 2/23)

  • 》 週刊文春 2012年3月1日 春の特大号 巻頭記事「衝撃スクープ 郡山4歳児と7歳児に「甲状腺がん」の疑い!」は、いろいろ問題があったようで

  • 》 なぜガレキ処理が進まないか:宮城の産廃業者の話 (togetter, 2/20)。行政が遅い・無知、金の流れが悪い、ノウハウのないゼネコンが受注している、捜索活動の際にぐちゃぐちゃにしてしまった……。

  • 》 鉄鋼業界「九重苦」の構図 (日経ビジネス, 2/10)

  • 》 官民連携の情報共有を真面目に考える > 中国では80〜00年の期間中、従属人口比率低下が一人当たりGDPの増加に2.3ポイント分、成長全体に対する寄与率にして4分の1以上の貢献をしたと推計されている。それが日本そっくりであるのと同様、今後は少子高齢化が中国の経済成長に大きなオーナス効果を及ぼす。いや、中国の少子高齢化は「一人っ子政策」のせいで、日本を凌ぐ勢いで進む。最近中国で「未富先老」という言葉が生まれた。資本集約型産業構造への転換を可能とする「豊かさ」に未だ達しないうちに高齢化が始まってしまう現象のこと。中国を待ち受ける坂は恐らく日本以上に険しいだろう。

    ある在野の研究者が低出生率を前提に将来人口を推計したところ、16年には労働人口どころか、総人口も14億人に達せずに純減に転ずるという衝撃的な結果が出た(図参照) 。 (中略) 日本と中国の経済発展には、ざっと40年の時差があるのに、労働人口比率の低下だけは、わずか20年の時差なのだ。

  • 》 テレビを見まくりな謎のカード「BLACKCASカード」をテレビに挿してみた (gigazine, 2/23)

    なお、このBLACKCASカードの現在の販売価格は1枚4万9800円となっています。
  • 》 米財務省、「山口組」2名と「ブラザーズ・サークル」7名の資産を凍結。「山口組」については、組織に対しても。

  • 》 iPad、上海では販売停止回避 商標権裁判、中止に (朝日, 2/23)

  • 》 ソフトバンクの発電性能公表で戦々恐々の太陽電池メーカー (週刊ダイヤモンド, 2/24)、リアルタイム発電特性 (SBエナジー)。設置場所や季節によって向き不向きが大きく出るようで。はじまったばかりなので、もうちょっと長い目で見続ける必要があるようです。 しかし、帯広サイトにおけるパナソニック製品の極端な性能の低さは目を引きますね。

  • 》 若い母親に人気で予約は1年以上待ち!  新しい雛人形を作る伝統産業の改革者  ふらここ社長 原 英洋 (週刊ダイヤモンド, 2/24)。顧客が求めているものを提供するのが基本だよなあ。

■ [重要] Movable Type 5.13 および、5.07、4.38 セキュリティーアップデートの提供を開始
(movabletype.jp, 2012.02.22)

 Movable Type 4.38 / 5.07 / 5.13 登場。XSS、セッションハイジャック、CSRF、OS コマンドインジェクションと、てんこもりな欠陥を修正。

 テンプレートの変更を含むため、アップグレード後にテンプレートの初期化を行う必要がある。 詳細は、5.13、5.07、4.38 へのアップグレード後に必要な作業 を参照。


  • 》 「ガラスの雨」を防げ、上海カーテンウオール禁止条例 (日経 KEN-Plats, 2/10)、ガラス・カーテンウオール禁じた上海、日本との違いは<訂正あり> (日経 KEN-Plats, 2/10)

     禁止条例施行の背景には、上海ではここ数年、高層ビルからのガラスの落下事故が多発していることがある。主な事故例は、SSG構法によって窓枠に接着のみで使用されているガラスの落下と、破損した強化ガラスの破片の落下が顕著だ。さらには、突き出し窓が窓枠ごと落下する事故も多いという。
     幸い、このような事故は、日本ではほとんどあり得ない。それは、以下のようなガラス落下対策の歴史があるからだ。
  • 》 PC輸出で逮捕の社長、北ハッカー機関と接触 (読売, 2/22)。「朝鮮コンピューターセンター(KCC)」。

  • 》 不正アクセス行為の禁止等に関する法律の一部を改正する法律案 (警察庁, 2/21)。罰則がなにげに強化されてますね。第3条違反は3年以下の懲役または100万円以下の罰金ですか。第4条違反も懲役刑に。


    ロレッタ·サンチェスの肥満
  • 》 究極の偽善者 ワタミの渡邊美樹社長 女性新入社員過労自殺の労災認定にも全く反省せず暴言ツイート (BLOGOS, 2/22)。思い出した話: 入社4カ月で過労死した「日本海庄や」社員の給与明細とタイムカード公開 (MyNewsJapan, 2010.07.12)

  • 》 ここに注目! 『増える津波避難ビルの課題』 (NHK 解説委員室, 2/15)。

    18%が建築された年がはっきりしないなど耐震性がわかりませんでした。(中略) またビルの高さも問題で (中略) 75%が2階から4階建てでした。中には1階建ての建物もありました。
  • 》 敵の敵は味方 (techcrunch, 2/22)。Google 対その他連合。

    一方の側にGoogleがいる。もう一方の側には事実上他の全員がいて、新メンバーが日毎に増えている。そしてこの側には、あらゆる状況下で互いに憎しみ合うであろうライバルがひしめきあっている。しかし、ここでは同盟を組んでいる。敵の敵は味方だ。
  • 》 Safari / IE / Google の件

  • 》 事故翌日「スリーマイル超える」 震災当初の保安院広報 中村幸一郎審議官 (東京新聞, 2/22)。中村幸一郎審議官 (原子力安全・保安院) インタビュー。

  • 》 日本はサイバー戦争に何の対策も講じていない--ラック 伊東氏 (ZDNet, 2/21)

  • 》 「探検ドリランド」カード増殖バグ問題、重複アイテムは回収 (ITmedia, 2/21)

  • 》 米国と欧州におけるプライバシーに関する法規制 (Sophos, 2/15)

  • 》 偽の Twitter 、Wikipedia サイトが罰金を科せられ、強制的にオフラインに (Sophos, 2/17)

  • 》 脇甘い法律事務所 ハッカーの餌食 (SankeiBiz, 2/22)

  • 》 US NRC が福島第一原発事故当時の当局者のやりとりを公開

    • 日本の原発事故で米の情報に混乱=NRC文書 (ウォール・ストリート・ジャーナル日本版, 2/22)。 避難半径 50 マイル、の判断根拠。

       NRC当局者は当初から状況を重大に受け止め、3月12日には50マイル圏内からの避難が必要かどうか、また折に触れて、日本全体からの「全般的避難」が正当であるかどうかについても話し合った。
       NRCのボーチャード運営部長は同16日、ヤツコ委員長に対して、「これが米国での事故なら、50マイル圏内から避難する」と述べた。同委員長は、米当局者が使用済み核燃料棒を貯蔵している4号機のプールには水がなくなっていると信じていたことから、このアドバイスを受け入れた。燃料棒から放射性物質が出ないようにするには水が必要なことから、このままでは大量の放射性物質が大気中に排出される公算が大きいことになる。
       4号機は同15日に爆発した。日本にいたNRCのジョン・モニンガー氏は「この爆発でプール� �壁や構造物は破壊され、水は燃料棒の底部にまで下がった。よってプールには水がなくなった」とNRCのスタッフに伝え、これがヤツコ氏に伝達された。
       ヤツコ氏はこれを受けて16日、日本の避難範囲をはるかに上回る規模での避難を勧告すると米議会に通告した。
    • 米 事故5日後にメルトダウン示唆 (NHK, 2/22)

      事故発生から2日後のアメリカ東部時間12日には、福島第一原発の敷地内の周辺でセシウムなどが検出されたことが分かったことから、少なくとも原子炉内部で部分的な炉心損傷が起きている可能性があるなどとして、発電所から半径50マイル=およそ80キロ圏内に避難勧告を出すべきはないかと、幹部が原子力委員会に対して進言していたことが分かりました。
      さらに、16日には、原子力規制委員会のヤツコ委員長が、最悪の事態を想定すると、1号機から3号機までの3つの原子炉がすべてメルトダウンする可能性もあると指摘し、また、ボーチャード事務局長が、「同じ事態がアメリカ国内で発生すれば、原発から50マイル以内には避難勧告を出すのが妥当だと思われる」と述べて、日本政府が福島第一原発の付近の� �民に出した半径20キロ圏内の避難指示、20キロから30キロ圏の屋内退避指示よりも広い範囲の勧告を行うよう、委員会に提起していたことが分かりました。
    • Transcripts Provide Unique Glimpse of an Agency in Action (US NRC, 2/21)

    • 2012 FOIAs Related to Japan's Emergency (US NRC)

    • 議事録が語る原発事故の10日間 (NHK, 2/22)

  • 》 陸山会裁判方面

  • 》 情報を外部送信する偽ファンアプリ、公式Androidマーケットで確認 (トレンドマイクロ セキュリティ blog, 2/22)

  • 》 葛飾区の公園でチェルノブイリ最高レベル ホットスポットの衝撃 (日刊ゲンダイ, 2/22)。葛飾区「水元公園」で 2万Bq/Kg 越えの土壌を確認。 元ねた: 都立水元公園 2万3300ベクレル  都施設の測定求める  共産党都議団調査 (しんぶん赤旗, 2/22)

  • 》 インターネット使用禁止の条件でMegaupload創設者が保釈へ (gigazine, 2/22)

  • 》 イラン方面

  • 》 橋下市長:小中学生に留年検討 大阪市教委に指示 (毎日, 2/22)。安易な進級も安易な留年もまずいと思うのだが……。

  • 》 「ハフィントン・ポスト」コラムニストの息子、7歳にしてゲイだとカムアウト (みやきち日記, 2/18)

    日本でも、自分は幼稚園時代からゲイだったと言う男性はいっぱいいますよね。「性の目ざめのきっかけは、ピチピチスーツの特撮ヒーローだった」とか、そういう話をよく聞きます。で、やっぱり、皆さん(1)それを表現する単語を知らなかった、(2)同性に惹かれるのはなんだか悪いことらしいと思っていた(より厳密にいうと、周囲にそう刷り込まれていた)という2点から、もやもやしたまま思春期まで引きずっちゃうパターンが多いみたい。

    これが異性愛者だと、たとえば男の子が女性保育士さんに夢中になって「○○せんせいだいすきー!」と叫んでも周囲は「初恋なのねえ」とにこにこ見守るだけでしょう。誰も彼に「あなたは異性愛者なのね」とか言わない。「この年でもう性的指向があるの?」なんて言わない。幼稚園児の 側も、いちいち「ぼくはヘテロだよ」なんて言わなくていい。異性愛は無徴で、「ふつう」で、人間はみな自動的に異性愛者になるのがあたりまえだと思われているからです。この不均衡(そしてそれは、性的少数者にいらんプレッシャーをおしつける不均衡でもあります)、いったいどうしたらいいんでしょうね。

  • 》 Experts Explain: WordPress Security (StopTheHacker, 2/21)

  • 》 RSA keys not as random as they should be (H Security, 2/16)。調べてみたら、思ったよりもランダムじゃない。

  • 》 検索サイトの検索結果上位で「公的機関に成りすますサイト」に注意 (so-net セキュリティ通信, 2/21)

  • 》 WBCの検査結果をふまえて (医療ガバナンス学会, 2/21)。南相馬市立総合病院 坪倉正治氏。 WBC 検査結果: 市民の内部被ばく検診「ホールボディカウンター(WBC)による」の結果 (南相馬市)

  • 》 OCNから配信するメールにおけるセキュリティ対策について (OCN, 2/21)。Benjamin さん情報ありがとうございます。電子署名つきになるそうです。 電子署名に関するよくあるお問い合わせ (OCN, 2/21) にはこんな文章が:

    メールを開封した時に「改ざんされている」というセキュリティ警告が出る

    ご使用のPCで、以下のアンチウイルスソフト製品を使用している場合、「改ざん検知」のメッセージが誤表示される事象があることを確認しております。各製品のサポートに従い適切な対処を行ってください。
    また、他の製品をご使用の場合でも、アンチウイルスソフトやその他セキュリティ製品などセキュリティサービスを一旦無効化して再度メールを参照してください(その際は、念のため製品のメーカーやサービス提供元にお問い合せください)。
    改善しない場合は、メール改ざんのおそれがあるためご連絡ください。

     「以下のアンチウイルスソフト製品」が何なのかよくわからないという……。 ちょっとぐぐってみたらこんなの出てきた。

     参照されているのは古い製品のドキュメントのようだなあ。いまどきの製品なら問題ない感じかな。

  • 》 Apache HTTP Server 2.4.1 Released (Apache.org, 2/21)、Webサーバ「Apache」、パフォーマンスを底上げするアップグレード  「Nginx」の追撃を受け、高トラフィック環境向けの強化図る (ComputerWorld.jp, 2/22)

  • 》 ドコモ、700社に通信抑えるアプリ開発を要請--障害対策の進捗報告 (CNET, 2/21)、一連のネットワーク障害への対策について (NTT ドコモ, 2/21)

  • 》 大阪市:職員のメール調査 通知せず2万3400人分 (毎日, 2/22)

     大阪市が、市役所のサーバーに保存されている市長部局全職員の内部メールの点検調査に着手したことが分かった。橋下徹市長が問題視する職員の政治・組合活動の実態解明が狙い。調査を担当する市特別参与の弁護士がデータの提供を受けたが、この調査を市は職員に通知しておらず、識者は「職員の了解もないのは行き過ぎだ」と指摘している。
    (中略)
     市総務局などによると、市特別参与の山形康郎弁護士から要請があり、今月18、19日の2日がかりでサーバーのデータを取り出した。調査リーダーは、組合問題を担当する市特別顧問の野村修也弁護士。外部との送受信記録についても提供を求めているといい、総務局が対応を検討している。サーバーを管理する職員は、山形弁護士から「調査に使う」としか説明され� ��かったという。毎日新聞の取材に山形弁護士は、政治・組合活動の実態解明の一環であることを認めたうえで、「詳しい目的や手法は言えない」と話した。

     うわ……。アンケート調査に続いてこれですか。

  • 》 特集ワイド:岩波書店・募集要項の波紋 著者に「協力」依頼、存在していた「内部文書」 (毎日, 2/21)。「当たり」の著者を探し出す能力も問われている、ということか。

  • 》 アフガン:米軍に抗議広がる…コーラン焼却で 政権が謝罪 (毎日, 2/22)。米軍は、あいかわらずこんなネタですか……。

     アフガンからの報道などによると、首都カブール北方のバグラム米空軍基地で20日、米兵らがコーランを含むイスラム教関連書籍を焼却しているのを、基地で働くアフガン人従業員が目撃した。従業員らの話で焼却の事実が基地外に広まり、地元住民約2000〜3000人が基地周辺で抗議デモを繰り広げる事態となった。
  • 》 スマートフォンやタブレット端末に潜む脆弱性、危険性と対策は? (ITmedia, 2/16)。「フォティーンフォティ技術研究所 新技術開発室 室長の村上純一氏と、リサーチ・エンジニアの大居司氏」にインタビュー。

     また企業などでスマートフォンやタブレット端末を利用する場合、「モバイルデバイスマネージメント(MDM)」と呼ばれる仕組みを併用することで、セキュリティ対策を強化できる。MDMは、盗難や紛失の場合に管理者が遠隔操作でデータを消去したり端末をロックしたりする機能を搭載しているが、製品やサービスによってはアプリケーションのインストールや実行を制限する機能もある。大居氏は、「私見だが、Androidでは業務用アプリ以外は利用させないようにすることも検討した方が良いだろう」とアドバイスしている。
  • 》 【WP for IT Pros】Windows Phone のセキュリティモデル 4 〜 マルウェアからの保護 (フィールドSEあがりの安納です, 2/14)

  • 》 Jailbreakやroot化された端末での電子証明書利用を禁止、ベリサインが対応 (ITmedia, 2/20)。『モバイル端末向け電子証明書発行サービス「ベリサイン マネージドPKI for Device」』の新機能として用意されるそうで。

  • 》 Trend Micro Releases HijackThis Source Code to sourceforge.net (trendmicro, 2/17)。HijackThis のソースコードが公開されたそうで。 http://sourceforge.net/projects/hjt/ を参照。

  • 》 中国の裁判所、「iPad」商標訴訟で家電チェーンにiPadの販売禁止を命令 (ComputerWorld.jp, 2/21)

  • 》 スタンダードを学ぶか? ノスタルジーを学ぶか? (ComputerWorld.jp, 2/22)

    そういえば、以前のエントリー(「フリーエージェント宣言!(2012年1月26日)」)でもご紹介したダニエル・ピンク氏の著書でも、こんなフレーズがありました。

    校舎に一歩足を踏み入れた瞬間、ノスタルジーの波がどっと押し寄せてきて、失神しそうになる。いまや21世紀だというのに、どの学校も私が1970年代に通った公立学校とそっくりに見える(中略)。学校以外に、20年前、30年前とほとんど変わっていないものなどあるだろうか?

     もちろんある。たとえば、NHK の爆問学問 FILE174:「天才心臓外科医の告白」 (2/16 放送) では、"天才心臓外科医"南淵氏が「道具はいろいろ変わってるけど、切って縫うという、やってることの基本は 100 年変わってない」「使用する人工弁も 30 年間変わってない、いろいろ新しい製品が開発されるが 30 年前開発されたコレを越えることができない」「患者さんも、これは 30 年間世界中でずっと使われ続けているんですと言うと安心する」といった発言をされてましたね。

  • 》 Windows 8の「Secure Boot」を批判するLinux陣営 (techtarget, 2/17)

     Secure Bootは無効にすることもできるが、Secure Bootの要となる要素の1つは、信頼できる認証局の署名がなければどんなOSであれ起動が阻止されるという点だ。もしもSecure Bootを無効にすれば(MicrosoftはSecure Bootを無効にできるオプションの提供をPCに義務付けている)、Windows 8は動作しなくなる。
     ではLinuxコミュニティーが騒ぐ理由は何なのか。Windows 8 PCスペック解説書の116ページで、Microsoftが「ARMシステムにおいてはSecure(Boot)の無効化を可能にしてはならない」と述べているためだ。

  • 》 超高濃度の汚染水漏れ2000mSv検出 濃縮水タンクから 以後どうなっているのか (ざまあみやがれい!, 2/19)

  • 》 南相馬市で「108万ベクレル」 市民団体、土壌を測定 (共同 / 東京新聞, 2/20)

  • 》 福島第一原発、記者団に公開 (2/20)。あいかわらずのバスツアーのようですが。

  • 》 「吉田前所長の思いを引き継いで」 福島第1原発・高橋所長の初会見全文 (ニコニコニュース, 2/21)

  • 》 プロメテウスの罠  明かされなかった福島原発事故の真実 (学研出版)。3/2 発売予定。しかし朝日新聞自身の報道の謎が明かされることはない。

  • 》 公的資金援助を受けた研究出版・データへのパブリックアクセスについて、米国政府が行った調査への意見 (CCJP, 2/20)

  • 》 2012年 ビッグデータ経営革命 (週刊ダイヤモンド, 2/20)。全ての顧客の行動を直接分析して儲けにつなげよう。

     ところでマイクロソフトは、勝手にログデータを採ることはしない。「毎月、億単位のデータが来る」(石坂直樹・マイクロソフトディベロップメント・オフィス開発統括部シニアマネージャー)というが、必ずユーザーの承諾を得てから送信してもらう手法を取る。「当社は、かつて独占禁止法の問題で悪の帝国みたいな言われ方をされて以来、不正に情報を収集しているような疑念を持たれないよう、配慮するカルチャーがある」(石坂シニアマネージャー)。
     今後、データの収集過程においては、プライバシー保護の問題が重視されるのは間違いないだろう。

     逆に言うと、多くの企業にはそういうカルチャーはないということか。

  • 》 低線量被曝のモラル (河出書房, 2/22 発売予定)

  • 》 課税論と癒着疑惑に揺れる幸福の科学のどでかい空き地=千葉県長生村 (やや日刊カルト新聞, 2/21)

  • 》 自分のアドレス帳に秘かにアクセスしているアプリが分かるAdiOS (techcrunch, 2/18)

  • 》 ニールセン調査:若年層は低所得でもスマートフォン。贅沢品から生活必需品へ (techcrunch, 2/21)

  • 》 Simple Malware Research Tools (SANS ISC, 2/20)

  • 》 GoogleはIEのプライバシー機能も回避していた---Microsoftが非難 (日経 IT Pro, 2/21)。Safari だけではなかった。 ……が、そのことは広く知られていた模様。

     MicrosoftはGoogleの追跡を遮断する措置として、P3P機能とは別に「IE9」に導入している追跡対策機能「Tracking Protection List」を使用するようユーザーに勧めている。
     なお、今回Googleが利用したIEの抜け穴については、プライバシー関連の研究者から長年にわたって指摘されていると、米メディア(Wall Street Journal)は報じている。

     WSJ の記事の日本語版は有料会員向けに提供されてます。

  • 》 あなたの部屋にもガスタービン、IHIが手のひらサイズを開発 >  東京地検はこれまで「裁判に支障を来す」として、身内の犯罪を捜査することを拒んでいた。だが東京地裁が17日、小沢一郎元民主党代表の資金担当秘書だった石川知裕衆院議員の供述調書を証拠採用しない判断を示したことから、東京地検としては捜査せざるを得ない状況に追い込まれた。「支障を来すもの」が裁判で争われることがなくなったのだから。

  • 》 「便座がない」「電球が赤い」と突っ込むことが多いアフリカ安宿事情まとめ (gigazine, 2/18)

  • 》 Microsoftの最新版SkyDriveサービスにiCloudも脱帽か (techcrunch, 2/21)

    現在SkyDriveサイトには殆ど機能がないが、近々ユーザーは自分のパソコンに保存されたファイルをSkyDriveサイトからリモートアクセスできるようになる。内部で"Forgot something?"[何か忘れたの?](製品版にも残してほしい名前だ)と呼ばれている機能で、ユーザーはSkyDriveデスクトップサービスを走らせておけば、出先から自分のパソコンにアクセスできる。(中略) この種のアクセスにつきもののセキュリティーリスクの可能性を減らすために、Microsoftは、デバイスのパスワードおよび登録されたメールアカウントまたはモバイルデバイスへのアクセスを要求する「2要素認証」を使用している。
  • 》 産みたいのに産めない 〜卵子老化の衝撃〜 (NHK クローズアップ現代, 2/14 放送)

    「どうしてそんなひどい事を言うんだと思うかもしれません
    でも卵子の若返りは不可能です
    どんなに見た目が若く見えても 卵子は若返りません」
    (中略)
    学会によると35歳で不妊治療をした人のうち、子どもが産まれた割合は16.8%。 40歳では8.1%です。
    こうした卵子の老化は、学校などできちんと教えられてこなかったのが実情です。
    (中略)
    浅田レディースクリニック 浅田義正院長
    「努力で乗り越えられない そういう壁があるんですね。不妊治療でというとやっぱり年齢の壁というのが非常に大きいので同じ人が例えば5年前、10年前だったらなんの苦労もせずに妊娠してたんだろうなということは感じますよね。」
  • 》 実名報道と匿名報道 光市母子殺害事件で分かれる (47news.jp, 2/21)。主要各紙の立場と「おことわり」ダイジェスト。

  • 》 戦闘機から飛び降りながら敵を撃って敵機を奪い取る超人プレイムービー (gigazine, 2/20)。無茶。

  • 》 「データ保護」「セキュリティ」2つの視点からの事業継続対策セミナー (Oracle)。2012.02.23、東京都港区、無料。みずほ証券・堀越氏による「東日本大震災に対する金融機関の対応の実際と課題(仮)」とか、「事業継続を支えるデータ破壊対策と顧客事例」とか、おもしろそう。

  • 》 「ロシア語で考えないで」。グルジア、「ジョージア」への呼称変更を日本に要請 (slashdot.jp, 2/21)。「グルジア」はロシア語読み、ふつうの人はジョージアで ok なのか。

  • 》 グリー「探検ドリランド」カード増殖バグを使って大儲け。 中村さん情報ありがとうございます。

    • 「探検ドリランド」にカード増殖バグ、RMTで月数百万稼ぐ人も? グリーは「厳格な対応」 (ITmedia, 2/20)

    • 「探検ドリランド」でカード増殖バグ--業績への影響は「軽微」 (CNET, 2/21)

    • グリー、「探検ドリランド」バグについて「業績に与える影響は軽微」と正式にコメント発表 (ITmedia, 2/20)

       今回のバグは、オンラインゲームにはよくある「デュープ(duplicate=複製)」と呼ばれるもの。「ドリランド」の場合、一定の手順でトレードを行うことで、送ったカードを重複して受け取ることができてしまった模様(つまり、1枚送ったカードを2枚受け取れてしまう)。これを延々繰り返せば実質、レアなカードを無限に増やすことが可能になります。
       こうした複製バグは、MMORPGなどのオンラインゲームでは以前からしばしば問題になっていましたが、「話題のソーシャルゲームで」という部分と、また複製されたカードの取引額が大きかったことが騒ぎを大きくした原因と推測されます。特に「ドリランド」の場合、規約で現金によるカード取引は禁止しているにもかかわらず 、オークションでは一部のレアカードが1枚あたり数万円という高額で取引されており、バグ発覚後はレアカードがオークションに大量出品されるといった事態も。ネット上では、昨年から累計で3000万円以上も「ドリランド」のカードオークションで「荒稼ぎ」していたアカウントの存在も指摘されており、これも「おそらくバグで増やしたものだろう」などと推測を呼んでいます。
       オンラインゲームやソーシャルゲームの場合、こうしたバグが悪用されると、他のユーザーとの公平性が崩れてしまい、ひいてはゲーム全体のバランス崩壊につながるといった問題もはらんでいます。増殖バグ自体はオンラインゲームではさほど珍しいものではなく、データを複製されたところでグリー側に金銭的被害が生じるわけではありませんが、 今後の対応によっては、これまで真面目に課金してきたユーザーの不満を招き、課金ユーザーの離脱を加速させるなどの二次的被害を招く可能性はあります。今後のソーシャルゲーム市場への影響も鑑み、グリーの事後対応に注目が集まるところです。
    • 探検ドリランドでレアカード複製技がバレて祭り勃発中wwwwww (ハムスター速報, 2/19)

    • グリーの人気ゲーム「探検ドリランド」に不正利用が トレード機能一時停止へ (ハムスター速報, 2/19)

  • 》 なぜ「ダッチワイフ」はダッチワイフと呼ばれるようになったのか? (togetter, 2/8)、インタヴュー  タケトモコ(アーティスト)×岡部あおみ (武蔵野美術大学芸術文化学科, 2005.09.26)

    タケ:現在、私たちが知っているダッチワイフを、東京の上野にあるオリエント工業という会社が作っていて、そこに話を聞きに行ったことがあるんです。最近は質のいいシリコン製のものを作っています。皆さん、もし機会がありましたら、上野にあるオリエント工業にぜひ行ってみてください。ショールームもありますし、すごく出来がいいので驚きます。ここのダッチワイフは、単に性欲処理の目的だけではなく、例えば老夫婦の方々が、亡くなったお嬢さんそっくりに作ってもらって、余生を一緒に暮らしていたり、身体障害者の方が、性的な処理を自分ではできないので、今までお母さんが、複雑な思いでお手伝いしていたのを、人形がきっかけで自分で処理できるようになって助かったという感謝の手紙を頂いたという話も伺� ��ました。身体障害者の方々には10%の割引もあります。性的な体験がない独身の男性が、めでたく結婚されたあかつきに、今までありがとうございましたという心暖まる手紙と共に、こちらの会社に返却される方もいるそうです。実際、結婚したらなかなか家には置いておけない。製品にもよるそうですが、30kgくらいある。しかもバラバラには分割できない。私が何よりも感銘を受けたのは、性的な欲求を満たすだけのダッチワイフではなく、人としての大切なコミュニケーション手段として、様々なニーズにあわせた人形を制作されているということでした。
  • 》 「セキュリティ・キャンプ実施協議会」の設立について (IPA, 2/20)

  • 》 ハッカー集団のAnonymous、「インターネットをダウンさせる」と予告 (ITmedia, 2/21)。3/31 に root DNS に対する攻撃を行うと予告。

     こんなこともあろうかと root DNS 側だって備えてきたわけですが、さて、どうなりますやら。


  • 》 光市母子殺害事件最高裁判決

    • 光市母子殺害事件:各社の報道方針のまとめ (togetter, 2/20)。最高裁で死刑確定だから「更生、社会復帰への配慮が必要なくなるため」実名報道 ON、という考え方に驚愕した。 どうせ殺すんだから何してもいいっていうことか。

      一方で、朝日の「国家によって生命を奪われる刑の対象者は明らかにされているべき」という意見は、理解できる。国家の名の元に殺される者を記憶せよ。

      しかし個人的には、毎日や中日などの「匿名報道継続」を支持する。

    • 光市母子殺害事件最高裁判決 (壇弁護士の事務室, 2/20)

  • 》 2月15日【内容起こし】第4回国会事故調、斑目氏の発言部分「『SPEEDIが生きてたらば、もうちょっとうまく避難できた』というのは、全くの誤解」【前半】 (ぼちぼちいこか。。。, 2/16)、 2月15日【内容起こし】第4回国会事故調、斑目氏の発言部分「立地指針も実は非常に甘々の評価で強引な計算をしている」【後半】 (ぼちぼちいこか。。。, 2/16)。興味深い。

  • 》 2011年3月20日、隠蔽された3号機格納容器内爆発 (Space of ishtarist, 2011.06.25)。この時点でこういう分析をしていた人がいるのだなあ。興味深い。


    "降伏" "アポマトックス裁判所"と
  • 》 オリンパス:指南役の社長 自ら会社設立し買収を提案 (毎日, 2/20)

  • 》 情報共有の未来 (達人出版会)。βが取れたようです。

  • 》 巧妙になるウイルス攻撃、注文確認メールに見せかける (日経 IT Pro, 2/20)

  • 》 Weekly Metasploit Update: All Your Auth Are Belong To Us (Metasploit, 2/15)

  • 》 復興2012 かながわの苦悩 〜震災がれき受け入れを考える〜 (情報整理メモ, 2/16)

  • 》 ネットワーク接続遮断まで起こしたKTとサムスンの大激突  トラフィック負荷のいがみあい、問われるネットワーク中立性 (日経 PC Online, 2/17)

     KTによると、「スマートTVのトラフィックは20〜25Mbps。スマートTV15万台を同時に視聴する場合、KTのネットワークに緊急事態が発生する恐れがある」と主張する。これに対しサムスンは、「スマートTVのトラフィックはIPTVよりも少なく、せいぜい1.5〜8Mbpsしかない。スマートTVでも、地上波テレビの視聴は普通のテレビと同じく電波を利用している。動画やアプリケーションだけネットを経由して利用するので、ネットワークに負荷をかけるほどではない」と反論する。
  • 》 欧州200都市以上で大規模な反ACTAデモ、数十万人が参加 (P2Pとかその辺のお話, 2/16)、 欧州議会議長、ACTAを批判:「著作権保護とインターネットユーザの権利とのバランスがとれていない」 (P2Pとかその辺のお話, 2/17)

  • 》 英当局、リンクを掲載した人気音楽ブログ運営者を逮捕、ブログ読者の摘発もほのめかす (P2Pとかその辺のお話, 2/18)

  • 》 MIAUは2月22日(水)に、『MIAU Presents ネットの羅針盤』第22回生放送を行います。 (MiAU, 2/18)。Winny 方面。

  • 》 逃げてー!「健康クラウド」ゼロプライバシー特区?(見附市、新潟市、三条市、伊達市、岐阜市、高石市、豊岡市) (高木浩光@自宅の日記, 2/18)

  • 》 ゲーム提供者やダウンロード販売サイトが狙われた理由とは? (ascii.jp, 2/20)。Xbox LIVE および Steam での事例紹介。

  • 》 若狭湾沿岸における津波堆積物に関する追加調査の実施について (日本原電, 2/16)。2012 年 10 月まで。

  • 》 「外部電源の信頼性確保に係る開閉所等の耐震性評価実施計画書」の提出について (電力各社, 2/17)。福島第一原発では、開閉所等が地震でボコボコにされてしまった事も、事態の悪化につながりました。 これに対応するための「耐震性評価実施計画書」が 2/17 に提出された……ということは、 耐震性評価の実施はこれからなのですね。 そんな状態で再稼働とか言ってるわけです。

  • 》 外部電源喪失おこした鉄塔倒壊 原因「地下水」 大飯原発でも鉄塔3基倒壊の恐れ・51基が監視対象に (ざまあみやがれい!, 2/20)。福島第一原発の夜ノ森線 No.27 鉄塔の倒壊は、鉄塔そのものの地盤がまずかったのではなく、隣接地の盛り土が崩れてなだれ込んできたため。 これを受けて各電力会社の鉄塔で調査が行われ、その結果が 2/17 に経産省に報告された模様。

  • 》 福島第1原発:千葉工大のロボット 改良型2機が現場へ (毎日, 2/20)、千葉工大、原発対応版Quinceの新型を公開 - 2月中旬にも福島に投入か (マイナビニュース, 1/31)。新型 Quince、in action。

  • 》 サイバー犯罪者、IPv6ネットワークに対するDDoS攻撃を開始 (ComputerWorld.jp, 2/17)

  • 》 グーグルが「Safari」ユーザーの行動を監視していた可能性――FTCによる調査も (ComputerWorld.jp, 4/20)

     17日、スタンフォード大学の大学院生であるジョナサン・メイヤー(Jonathan Mayer)氏が、Googleおよびその他3社の企業がSafariのDo Not Track保護機能を無効化しているとする情報を公にしたのが事の発端だ。
     Googleは、故意にcookieトラッキング機能を有効化した事実はないと否定している。

     関連:

  • 》 Windows クライアント OS の製品サポートライフサイクル ポリシー変更について (2012 年 2 月) (Microsoft)。青山さん情報ありがとうございます。

    マイクロソフトは Windows クライアント オペレーティングシステム (OS) をお使いいただいているお客様に一貫したサービスを提供するために、延長サポートについて、ライフサイクルポリシーを変更しました。Windows7, Windows Vista のコンシューマー製品についても延長サポートを適用いたします。
    今回の変更により、Windows XP、Windows Vista およびWindows 7 製品の現在サポートされているサービスパックをご利用いただいいているお客様はエディションに関係なく10 年までのセキュリティ更新プログラム提供の対象となります。

     コンシューマ向け OS についても、エンタープライズ向けと同様に延長サポートされることになりました。よかったね。 関連: Windows Vista/Windows 7 コンシューマー用製品も延長サポートを決定、セキュリティ更新プログラムを継続提供 (日本のセキュリティチーム, 2/20)

  • 》 通信傍受法第29条に基づく平成23年における通信傍受に関する国会への報告について (警察庁, 2/3)

  • 》 暴力団排除条例をめぐり「脅しや詐欺」が続出。不安を煽り信頼を強調して金銭を要求、公的団体を名乗る手口に要注意! (日経 BP, 2/16)

     暴排条例はその存在がクローズアップされた時から、混乱が始まっており、それは現在も続いている。どこまでオーケーなのか、どこからダメなのかがはっきりしないのである。条例をいくら読んでも判然としない。
     その上、実際には条例にまったく書かれていない「密接交際者」なる言葉が一人歩きしている。誰が言い出したか知らないが、テレビが広めたことだけは間違いない。定義の分からない言葉を広めるなど無責任極まる。

     マスメディア一般で広く使用されているのが現実なので、テレビのせいにするのはやめた方がいいと思う。暴力団組員と会食、ゴルフ 「密接交際者」も開示 (読売, 2011.12.23)

     全国で出そろった暴力団排除条例に対応するため、警察庁は22日、公共機関や企業に提供する暴力団情報について、従来の構成員、準構成員などに加え、組員らと頻繁に接触している「密接交際者」を追加すると発表した。暴排条例の多くが自治体や企業に密接交際者との関係遮断を求めているためで、同庁の暴力団勢力データベース(DB)に登録して照会に応じる。
    (中略)
     10月までに全都道府県で施行された暴排条例の多くは、公共事業から密接交際者を含む暴力団関係者の排除を規定し、民間事業者にも取引中止などを求めている。同庁は、条例が順守されるため、密接交際者情報を漏れなく提供する必要があると判断した。

     日経の記事だとこう: 「組関係者?」照会可能に 警察庁、暴排条例で対応策 (日経, 2011.12.22) (Google キャッシュ)

     暴力団排除条例では、暴力団に協力して利益を得る「共生者」や、暴力団と社会的に非難される関係にある「密接関係者」への利益供与を規制している。事業者などからは、特定の個人や法人について、警察がどう認定しているかの情報を求める声が出ていた。
     そこで、暴力団情報の提供に関する通達を改正し、民間への情報提供の要件に「条例上の義務の履行」を追加。条例が利益供与を規制する暴力団関係者に当たるかどうかについてのみ情報を提供する。暴力団側の情報収集を防ぐために、「××組系」といった属性の詳細は回答しない。

     元ねた: 警察庁丁暴発第27ー号: 「暴力団排除等のための部外への情報提供」 に関する通達の改正について (日本電設工業協会, 2011.12.28)。 警察庁刑事局 組織犯罪対策部 暴力団対策課長から日本電設工業協会会長に送られた文書が公開されている。同じものが、警察庁の施策を示す通達(刑事局): 組織犯罪対策部 暴力団対策課 に掲載されていてしかるべきだと思うのだが、なぜか掲載されていない。 [追記] 組織犯罪対策 (警察庁) のページに 2/1 付で掲載されているようで。

    第3 情報提供の基準等
    1 情報提供の基準
    (中略) (1) 提供の必要性
    ア 条例上の義務履行の支援に資する場合その他法令の規定に基づく場合
     事業者が、取引等の相手方が暴力団員、暴力団準構成員、元暴力団員、共生者、暴力団員と社会的に非難されるべき関係を有する者等でないことを確認するなど条例上の義務を履行するために必要と認められる場合には、その義務の履行に必要な範囲で情報を提供するものとする。
    2 提供する暴力団情報の内容に係る注意点
    (中略)
    (2) 暴力団準構成員及び元暴力団員等の場合の取扱い
    (中略)
    エ 暴力団員と社会的に非難されるべき関係にある者
     「暴力団員と社会的に非難されるべき関係」とは、例えば、暴力団員が関与している賭博等に参加している場合、暴力団が主催するゴルフコンペや誕生会、還暦祝い等の行事等に出席している場合等、その態様が様々であることから、当該対象者と暴力団員とが関係を有するに至った原因、当該対象者が相手方を暴力団員であると知った時期やその後の対応、暴力団員との交際の内容の軽重等の事情に照らし、具体的事案ごとに情報提供の可否を判断する必要があり、暴力団員と交際しているといった事実だけをもって漫然と「暴力団員と社会的に非難され� ��べき関係にある者である」といった情報提供をしないこと。

     結局わけがわからないよ。 関連:

  • 》 Bogus Twitter and Wikipedia sites fined and booted offline (Sophos, 2/17)。 ニセ Wikipedia (Wikapedia.com) とニセ Twitter (Twtter.com) を強制オフライン、罰金つき。

  • 》 The Ultimate OS X Hardening Guide Collection (SANS ISC, 2/20)

  • 》 Mountain LionのGatekeeper:「あなた」のためにより多くのコントロールを (エフセキュアブログ, 2/17)

     以下の画像を何度見ても、私には次のように見える。あなた「に対する」より多くのコントロール、と。
     だが、Macファンはそれが好きなんでしょう?

     M はマゾヒズムの M。

■ libpng 画像ライブラリの脆弱性を修正した Firefox と Thunderbird のセキュリティアップデートを公開しました
(mozilla.jp, 2012.02.18)

 Firefox / Firefox ESR 10.0.2、Firefox 3.6.27、Thunderbird / Thunderbird ESR 10.0.2、Thunderbird 3.1.19、SeaMonkey 2.7.2 登場。 Firefox / Thunderbird / SeaMonkey が使用している libpng の欠陥を修正。


  • 》 「大阪市のアンケート調査」は憲法違反の「思想調査」

  • 》 ctf12 (AV TOKYO)

  • 》 日刊ゲンダイ「検察審イカサマ発覚」「小沢強制起訴は最高裁の謀略なのか」「審査員選定ソフトはイカサマ自在」と新聞初報道! (一市民が斬る!!, 2/16)

  • 》 小沢元代表公判:石川議員らの調書却下 東京地裁 (毎日, 2/17)、小沢元代表公判:裁判長、特捜捜査を厳しく批判 (毎日, 2/17)。江川さんによると、「池田調書は若干残ったものの、石川調書は全滅と言える」そうで。

  • 》 食品新規制値で放射線審前会長 関係学会へ投稿要請 (東京新聞, 2/17)

    文部科学省放射線審議会の前会長、中村尚司(たかし)東北大名誉教授が「(厳しい規制は)福島県の農漁業に甚大な影響を与える」などとして、公募期間中に「反対意見の投稿要請」とも受け取れる依頼を関係学会の会員らにメールで送っていたことが十六日、分かった。
  • 》 信号無視:「ピスト」運転の男ら書類送検 投稿動画で判明 (毎日, 2/17)

  • 》 Avi Rubin:あらゆるデバイスにハッキングの可能性がある (エフセキュアブログ, 2/16)

    ワイヤレスで車にブレーキをかけられるのかな、と考えたことはあるだろうか?
  • 》 PSI指令改正案に対するCOMMUNIAの反応 (CCJP, 2/17)

    欧州委員会の公共部門情報指令(public sector information Directive, PSI Directive)とは、国民による二次利用のために欧州の公共部門情報(PSI)を公開しなければならないという条件を表したもので、2003年に制定されました。(中略) 欧州委員会(EC)はPSIの二次利用の増加は新たなビジネスと仕事を生み出すとして、その目的のために最終的には最初の制定から9年も経っている本指令を更新する予定です。
  • 》 池田会長も祝辞を送った韓国済州島の『世界7大自然景観』に詐欺の疑い (やや日刊カルト新聞, 2/17)

  • 》 An update is available for the ASLR feature in Windows 7 or in Windows Server 2008 R2 (Microsoft KB 2639308)。ALSR 強制。

  • 》 欧州のSNSファイル共有阻止裁判、著作権保護団体が敗訴  SNSに対する強制的なフィルタの設置は不可と判断 (ComputerWorld.jp, 2/17)

  • 》 FTC、アプリ配信ストアに子どものプライバシー保護強化を勧告 (日経 IT Pro, 2/17)

  • 》 米・エジプト関係(ムスリム同胞団の警告) (中東の窓, 2/17)

    エジプト政府が民主化運動支持のNGOが、外国から不法に資金を得て、エジプトの国内政治に関与しているとして、そのメンバーを逮捕し米国籍の者の出国を禁止したことに対して、米政府及び議会からは、米国のエジプト援助(軍事援助13億ドル、開発援助2・5億ドル)を停止するとの警告がなされ、両国関係は緊張しています。
    この問題について、16日付のal qods al arabi net ,al jazeerah net はムスリム同胞団が、最高軍事評議会の政策を支持し、米国援助の停止はキャンプ・デービッド合意の見直しをもたらす(イスラエルとの平和条約と正常な関係の見直しと言う意味か)と警告したと報じています。
  • 》 オープンソースのリアルタイムWebアクセス解析ツール「Piwik 1.7」リリース、レポート機能などが大きく改善 (sourceforge.jp, 2/17)

  • 》 Scientific Linux 6.2リリース、本家公開から遅れること2か月 (sourceforge.jp, 2/17)

  • 》 枝野経済産業大臣に「一般家庭への自由化拡大」を要請 (保坂展人のどこどこ日記, 2/17)

  • 》 JANOG29レポート〜過熱し過ぎていませんか? OpenFlowをめぐる期待と現実 >  こうした騒動を受け、下院エネルギー・商業委員会ランキングメンバーのHenry A. Waxman議員と、同委員会に属する商業・製造業・貿易小委員会ランキングメンバーのG.K. Butterfield議員は、「Appleのアプリケーション開発者ポリシーと慣習は、ユーザー情報および連絡先情報を保護するという点で不十分ではないかという疑問が生じる」と強い懸念を示し、質問状に答えるようCook氏に求めた。
    (中略)
     米Wall Street Journalの技術系情報サイト「AllThingsD」の取材に対し、Apple広報担当のTom Neumayr氏は、「事前にユーザーの許可を得ずにアドレス帳のデータを収集および転送するアプリケーションは当社のガイドラインに違反している」と述べた。また、「将来のソフトウエアリリースで、連絡先情報にアクセスするアプリケーションはいずれもユーザーの許可を得なければならないようにする」と語った。

  • 》 Cryptome.org がハッキングされ Blackhole の攻撃コードが拡散される (sophos, 2/14)。Cryptome の件、日本語な記事。

  • 》 イラン人科学者暗殺はイスラエルの仕業か (ニューズウィーク, 2/17)

  • 》 「原発が止まった町」 (MBS Voice, 2/14)。 福井県おおい町、美浜町。

  • 》 止まらない弾圧 〜緊迫シリア・広がる危機〜 (NHK クローズアップ現代, 2/16)

  • 》 チベット亡命政府:「抗議の焼身20件超える」首相語る (毎日, 2/17)。ニューデリーでチベット亡命政府ロブサン・センゲ首相にインタビュー。

    今月22日のチベット正月や、「チベット動乱」から53年に当たる3月10日に向け、焼身による抗議運動と、これを弾圧する中国側の動きが強まる恐れがあり、「非常に憂慮している」と述べた。
     ダラムサラの社会活動家、ロブサン・ワンギャルさん(44)は、「センゲ首相ら亡命政府側がいくら訴えても焼身はやまない。中国の抑圧に苦しむチベットの現状は、我々のように外にいるチベット人には理解できないほど深刻なのかもしれない」と指摘した。
     チベット支援の日本の非政府組織(NGO)「ルンタ・プロジェクト」代表でダラムサラに27年間居住してきた中原一博さん(59)は取材に、「チベット人の抗議が強まるほど、中国側は力による支配を正当化し、さらにその抗議で焼身が続く。悪循環だ」と話した。

     シリアと同じ。

  • 》 東証、システム障害の原因は「人為ミス」、診断レポートを"解読"できず (日経 IT Pro, 2/16)

     午前1時27分、1台のサーバー(ノードA)でメモリーコントローラーの障害が発生し、監視端末にエラーを示すメッセージが表示された。これを受け、TSSの担当者は「障害診断ツール」を使い、診断レポートを出力した。
     その後、TSSの担当者は富士通のSEに対し、電話と電子メールで診断レポートの内容を報告。富士通のSEは診断レポートの内容を見て、残り2台のサーバー(ノードB、ノードC)が正常に稼働していると判断し、TSSに切り替え処理が成功しているとの見解を伝えた。TSSはその見解を東証の職員に伝え、東証は「当日の売買業務への影響はない」と判断した。
     東京証券取引所グループIT企画部の田倉聡史 統括課長によると、診断レポートには「ノードAは死にかけているが、ノードB、ノードCは正常に稼働している」旨の記載があったという。それを見た富士通のSEは、正常稼働していると誤認した。
     だが実際には、ノードBとノードCが処理を継続するには、「ノードAが処理不能だと表明し、"バトン"を渡す必要がある」(田倉氏)。診断レポートには、ノードAがバトンを渡していないことが記載されていたが、それを富士通のSEは見逃した。「レポートの該当部分を見れば、処理が切り替わっていないことが分かったはずだ」と田倉氏は説明した。診断ツールには問題がなく、きちんと状況を分析していたが、診断レポートを読み解く人間の側に問題があったとの見解を示した。
     障害発生時の報告体制にも不備があった。東証のシステム担当者は自ら主体的にシステムの状況を確認せず、TSSからの報告のみで「当日の売買業務への影響はない」と判断し、処理が切り替わっていると誤認したまま午前2時44分に障害対応を完了。経営陣への報告を行わなかった。
  • 》 松本哉ののびのび大作戦  第55回:前代未聞の有象無象が街に出現! 脱原発杉並デモ、いよいよ迫る! (マガジン9, 2/15)。2/19。

  • 》 JR 北海道・石勝線東追分駅で脱線事故、札幌〜帯広・釧路間の特急列車は一部または全区間で運休中

■ 追記


  • 》 RADEON HD7700の超絶ワットパフォーマンスに驚き! (ドスパラ パーツの犬, 2/16)。低消費電力かつ高性能のようで。

  • 》 原発技術者:東電人材流出やまず 韓国が引き抜き攻勢 (毎日, 2/16)

  • 》 OATH Toolkit (nongnu.org)。2011.05.24 の 1.10.0 で PAM が TOTP にも対応していたのですね。

     関連: apache BASIC認証にOTP(oath)を使ってみた (knol, 2011.04.14)

  • 》 中国におけるiPad商標問題について (ZDNet, 2/16)

     メディア記事のタイトルだけ見ると、中国の商標ゴロにiPad商標を先取り出願されて困っているというような話に見えるかもしれませんが、そうではありません。iPadの商標権利者の中国企業Proview Technology(唯冠科技)は、2000年時点からiPadを中国で商標登録しています(なお、iPodの登場は2001年なのでiPodの名前をパクったということでもありません)。
     問題は、AppleはProview Technology社と商標権を譲渡するという契約を結んでいたと思っていたのですが、そこには中国での権利は含まれていなかった(台湾での権利だけだった)ということのようです。当事者間の契約の問題なので外部からは細かいことはわかりませんが、中国の裁判において昨年の12月にProview Technologyの訴えが認められており、Appleは中国におけるiPadの商標権を所有していないことが認定されています。

     そういうことだったのか……。えらいこっちゃ。

     最終的には金で解決することになるとは思いますが、言えることは(1)商標権はいったん取得できればめちゃくちゃ強力である、(2)中国企業は怖い、ということかと思います。
  • 》 アップルとFacebookの繁栄、そして「オープン」が廃れた理由 (CNET, 2/16)

     しかし、注目を集めているテクノロジー業界の2つの企業は、1つ大きな共通点を持っている。どちらも、テクノロジーの世界で古くから継承されているオープンエコシステムを拒絶し、囲い込みアプローチを取ったということだ。これまで、囲い込みアプローチは大きな収益を上げる可能性があるが、大衆を魅了することはなく、大きくは育たないというのが一般的な見解だった。AppleとFacebookはどちらも、この一般的な見解に真っ向から挑み、強引に押し切った。彼らは単純に、より大きく、より塀の高い囲いを作ったのだ。
  • 》 清浄性能にこだわったスウェーデンの空気清浄機「ブルーエア」とは――CEOインタビュー (家電 Watch, 2/16)。イージーメンテナンスは魅力だなあ。その分お金がかかるわけだけど。

    ――一方、日本の空気清浄機は、ブルーエアとは全く違ったアプローチで製品を作っています。たとえば、除菌・脱臭効果のあるイオンを放出するというのもその1つですが、それについてはどうお考えですか。

     ウイルスやバクテリアを無力化させるというのは、確かに大事だと思いますが、イオンだけでそれらの働きを無にすることはできないと思います。私たちの製品は、花粉や室内のアレル物質に対する効果をアメリカのテストで証明済みです。日本で行なっている実証テストは、研究室の密閉された小さな箱の中で行なっていますよね。その中で、除菌効果があった、空気がきれいになったと言っても、それは実生活では無意味なことです。
     私たちが実践しているテストは、アメリカの環境保護庁が行なっている製品テス� ��で、実際の生活空間に近い環境で行なわれるものです。細かな規定のある厳しいテストですが、ブルーエアはそこで結果を出している。特にアメリカの市場においては、このテストで結果を出すことが非常に重要です。
     事実、アメリカの消費者アンケートでも、高い評価を受けています。評価の高い空気清浄機トップ10の中に私たちの製品が3つ入っていました。一方、日本製の空気清浄機はトップ15の中にも入っていません。この結果が、製品の性能を表していると思います。

    ――なるほど。それではアメリカにおいてはイオン放出機能を搭載した空気清浄機というのは存在しないのですか?

     いや、何年か前にはありました。アメリカの空気清浄機市場で大きなシェアを占めるメーカーが売り出して、一時は200万台近くを� ��り上げました。しかし、ある雑誌がイオンの有効性に疑問を持った記事を書いたところ、ユーザーからの問い合わせが相次いで、そのメーカーは結局倒産してしまったのです。

    ――もう1つ、最近の日本の空気清浄機の多くは加湿機能を搭載しています。ブルーエアでは加湿機能などを搭載する予定などはないのですか?

     とんでもないですね。水分というのはバクテリアの大好物です。それをフィルターと一緒にするなんて考えられません。空気清浄と加湿は、相反するもので、空気清浄機に加湿機能を載せるということは矛盾しています。加湿トレイで増殖したカビ菌を部屋中に放出することになる。加湿したいのであれば、空気清浄機とは別の製品を使うべきだし、我々の製品に加湿機能をプラスすることもあり得ません。

■ いろいろ (2012.02.16)
(various)

■ 追記

Ghost Domain Names: Revoked Yet Still Resolvable

 BIND だけでなく、複数の DNS 実装に欠陥があるそうで。プロトコル上での挙動が明記されていない部分なため、実装によって問題が出たり出なかったりしている模様。

 Ghost Domain Names: Revoked Yet Still Resolvable (ISC) は 2012.02.08 付で 2.0 に改訂されている。早急な patch は不要と判断された模様。

On further review, ISC has determined that this is not an issue which needs an immediate patch. The issue is being reviewed at the protocol level and will be addressed there. Implementing DNSSEC is the safest mitigation measure.

いろいろ (2012.02.14)

 CVE-2012-0831 の件、 実際はこんな話だった模様: 勝手に訂正: 「PHP における SQL インジェクション攻撃を行われる脆弱性 (JVNDB-2012-001388)」 (co3k.org, 2012.02.15)。スッポソ @supp0n さん情報ありがとうございます。

要するに、 PHP 5.3.11 の開発中のソースコードにのみ存在する問題であり、現在リリースされているすべてのバージョンの PHP にはこの脆弱性は存在しません。
原因は PHP 5.3.11-dev に加わった http://svn.php.net/viewvc?view=revision&revision=323016 のコミットです。このコミットは PHP 5.3.10 以前、つまりリリースされている PHP には含まれていません。

Microsoft 2012 年 2 月のセキュリティ情報


なぜ私たちの憲法が書かれたのか?

■ Google Chrome Stable Channel Update
(Google, 2012.02.15)

 Google Chrome 17.0.963.56 登場。13 件のセキュリティ欠陥が修正されている。 APSB12-03: Security update available for Adobe Flash Player にあわせて Flash Player も更新されている。

■ APSB12-03: Security update available for Adobe Flash Player
(Adobe, 2012.02.15)

 Flash Player 11.1.102.62 for Windows / Mac / Linux / Solaris, Flash Player 11.1.115.6 for Android 4.x, Flash Player 11.1.111.6 for Android 3.x 登場。 7 件のセキュリティ欠陥 CVE-2012-0751 CVE-2012-0752 CVE-2012-0753 CVE-2012-0754 CVE-2012-0755 CVE-2012-0756 CVE-2012-0767 が修正されている。 CVE-2012-0767 はユニバーサル XSS、他は任意のコードの実行を招くもの。 CVE-2012-0767 は既に悪用が確認されている。

 Google Chrome 内蔵の Flash Player については、17.0.963.56 で修正されている。

 関連:

2012.03.13 追記:

 Adobe Flash Playerのメモリ破損の脆弱性 (CVE-2012-0754)に関する検証レポート (NTTデータ先端技術, 2012.03.12)


  • 》 NTTの料金請求業務統合は「脱法的行為」 通信・CATV各社、総務省に要望書提出 (ITmedia, 2/15)

  • 》 福島第一原発事故に関する周辺自治体職員等の生々しい声 (togetter, 2/15)。 原子力安全委員会原子力施設等防災専門部会  防災指針検討ワーキンググループ(第11回会合) (原子力安全委員会, 1/18) および 原子力安全委員会原子力施設等防災専門部会  防災指針検討ワーキンググループ(第13回会合) (原子力安全委員会, 2/14) の

    からの抜粋。

  • 》 米国ワシントン州知事が同性婚法にサイン (みやきち日記, 2/15)

  • 》 Horde Groupware contains backdoor (H Security, 2/14)

  • 》 Firefox extension illustrates password reuse (H Security, 2/14)。Password Reuse Visualizer 。

  • 》 CSIRT ワークショップ 2012 (日立)。 2012.02.29、東京都千代田区、無料。

  • 》 Nortel veteran claims Chinese hackers stole its data for nearly 10 years (Sophos, 2/14)

  • 》 顧客との接点は「ビッグデータ」にある  日本アイ・ビー・エム ソフトウェア事業 インフォメーション・アジェンダ事業部ICP 野嵜 功氏 (日経 IT Pro, 1/30)

     例えば、海外の携帯電話会社がビッグデータに注目しているのは、通話履歴のログが有効なことに気が付いたからだ。通話履歴は従来、月次で集計して利用料金を集計するためのものだった。この人は何分話したというデータを3カ月分ぐらい蓄積し、その後は使い道がなくて破棄していた。
     ところが最近は「通話履歴を捨てるのはもったいない」と言われ始めた。通話履歴は、いつ、どこで、だれがだれに通話したというデータだ。なので、例えば、従来は昼間に電話することが多かったのに、最近は夜間に電話するようになった、ということがわかる。この場合は、転職して行動形態が変わったのかもしれないし、ひょっとしたら持ち主は携帯電話を落としてしまい、別の人が拾って使っているのかもしれない。不正に使われると、電話会社は課金することができないので、売上減になる。そこで、不正利用を素早く把握するのに通話履歴を使おうとし始めている。
     また、だれがだれに電話したというデータなので、それをグラフ化すればソーシャルグラフが描ける。そうすると、ある人が基点になって周囲に頻繁に電話している、といったこともわかる。その人を中心にしたコミュニティの存在を把握できる。周囲への影響を考えると、その人が電話会社を変えないことは重要である、といった事柄が察知できるわけだ。
     こうしたことから携帯電話会社は、3カ月で通話履歴を捨てていたのは間違いだったととらえている。5年でも10年でも保存しておいて、ソーシャルグラフを活用してビジネスに活用すべきだ、と認識を改めている。通話履歴が単なる「課金用のデータ」から、「行動履歴、ソーシャルグラフ用のより重要なデータ」に変質したわけだ。

     日本ではすぐにはできない話……だと思っていたのですが、許諾を得たことになってるんだからガンガンやっちまえ、というのが昨今の au とかの動きなのでしょうか。

  • 》 AKB48高橋みなみ母淫行事件 スポーツ報知報道自粛の舞台裏が明らかに (サイゾー, 2/15)、「東スポも触れない・・」AKB母(44)による15歳男児淫姦逮捕事件というマスコミ最大のタブーを報知新聞芸能デスクが勇気ある告発 (Birth of Blues, 2/8)

  • 》 ジャストシステム、総合セキュリティソフトを自社開発、無償で提供開始 (Internet Watch, 2/15)。ただしスキャンエンジンは他社製。

     セキュリティソフトを自社開発・提供するにあたってジャストシステムでは、社内に専任のセキュリティ開発・サービス提供体制を構築する一方で、外部のセキュリティベンダーとパートナー契約を結んだ。ウイルス解析のためのラボ機能やスキャンエンジン技術、ウイルス定義ファイルなどについてはパートナー企業から共有を受ける。具体的な社名は明らかにしていないが、ウイルス対策で数十年の実績と情報の蓄積がある企業であり、スキャンの処理速度とウイルス検知率のバランスが優れていることでその企業と提携したという。

     どこ製なのでしょうね。 なにしろ「初期費用、更新費用ともに無料」だからなあ。

■ Microsoft 2012 年 2 月のセキュリティ情報
(Microsoft, 2012.02.15)

 9 件出てます (あとで書く)

 関連:

2012.02.16 追記:

 書いた。

MS12-008 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2660465)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に 2 つ欠陥。

  • GDI のアクセス違反の脆弱性 - CVE-2011-5046

    任意のコードが実行される。Server Core インストールを除く OS 形態が「緊急」、Server Core は「重要」。Exploitability Index: 2

  • キーボード レイアウトの解放後使用の脆弱性 - CVE-2012-0154

    権限上昇を招く。Exploitability Index: 1

MS12-009 - 重要: Ancillary Function ドライバーの脆弱性により、特権が昇格される (2645640)

 Windows XP 64bit / Server 2003 / Vista 64bit / Server 2008 64bit / 7 64bit / Server 2008 R2 に 2 つ欠陥。

  • AfdPoll の特権の昇格の脆弱性 - CVE-2012-0148。Exploitability Index: 1

  • Ancillary Function ドライバーの特権の昇格の脆弱性 - CVE-2012-0149。Exploitability Index: 1

MS12-010 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2647516)

 IE 6 / 7 / 8 / 9 に 4 つの欠陥。

  • コピーおよび貼り付けの情報漏えいの脆弱性 - CVE-2012-0010

    Exploitability Index: N/A

  • HTML レイアウトのリモートでコードが実行される脆弱性 - CVE-2012-0011

    IE 7〜9。Exploitability Index: 1

  • Null バイトの情報漏えいの脆弱性 - CVE-CVE-2012-0012

    IE 9 のみ。Exploitability Index: 3

  • VML のリモートでコードが実行される脆弱性 - CVE-2012-0155

    IE 9 のみ。Exploitability Index: 1

MS12-011 - Important: Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2663841)

 SharePoint Server 2010、SharePoint Foundation 2010 に 3 つの XSS 欠陥。 いずれも Exploitability Index: 1

 関連:

MS12-012 - 重要: カラー コントロール パネルの脆弱性により、リモートでコードが実行される (2643719)

 Windows Server 2008 / Server 2008 R2 に欠陥 (ただし Server Core は除く)。カラー コントロールパネルに DLL 読み込みに関する脆弱性。Exploitability Index: 1

 関連:

MS12-013 - 緊急: C ランタイム ライブラリの脆弱性により、リモートでコードが実行される (2654428)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。msvcrt.dll に buffer overflow する欠陥があり、remote から任意のコードを実行できる。 CVE-2012-0150。Exploitability Index: 1

 関連:

MS12-014 - 重要: Indeo コーデックの脆弱性により、リモートでコードが実行される (2661637)

MS12-015 - 重要: Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2663510)

 Visio Viewer 2010 に 5 つの欠陥。いずれも、攻略 VSD ファイルによって任意のコードが実行される。

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0019。Exploitability Index: 1

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0020。Exploitability Index: 1

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0136。Exploitability Index: 3

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0137。Exploitability Index: 3

  • VSD ファイル形式のメモリ破損の脆弱性 - CVE-2012-0138。Exploitability Index: 3

MS12-016 - 緊急: .NET Framework および Microsoft Silverlight の脆弱性により、リモートでコードが実行される (2651026)

 .NET Framework 2.0 SP2 / 3.5.1 / 4、Silverlight 4 に 2 つの欠陥。 Mac 版 Silverlight 4 も影響を受ける。

  • .NET Framework のアンマネージ オブジェクトの脆弱性 - CVE-2012-0014。Exploitability Index: 1

  • .NET Framework のヒープ破損の脆弱性 - CVE-2012-0015。Exploitability Index: 1。 .NET Framework 2.0 SP2 / 3.5.1 のみ。

 .NET Framework 1.1 SP1 / 3.5 SP1、Silverlight 5 には影響はない。

■ アドビ、深刻な脆弱性を修正した「Shockwave Player 11.6.4.634」公開
(so-net セキュリティ通信, 2012.02.15)

■ オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開
(so-net セキュリティ通信, 2012.02.15)

 Oracle Java SE Critical Patch Update Advisory - February 2012 (Oracle, 2012.02.14) の件。計 14 件のセキュリティ欠陥が Java SE 6 Update 31 / Java SE 7 Update 3 および JavaFX 2.0.3 で更新されている。

 修正項目: CVE-2011-3563 CVE-2011-3571 CVE-2011-5035 CVE-2012-0497 CVE-2012-0498 CVE-2012-0499 CVE-2012-0500 CVE-2012-0501 CVE-2012-0502 CVE-2012-0503 CVE-2012-0504 CVE-2012-0505 CVE-2012-0506 CVE-2012-0508。 CVE-2012-0508 は JavaFX にのみ影響。

2012.03.05 追記:

 Oracle Java SE JDKおよびJREのDeploymentサブコンポーネントにおける脆弱性 (CVE-2012-0500)に関する検証レポート (NTTデータ先端技術, 2012.02.28)、 修正されたばかりのJREの脆弱性を突くコードが公開〜今すぐアップデートを (so-net セキュリティ通信, 2012.03.02)

2012.04.04 追記:

 Oracle Java SE Critical Patch Update Advisory - February 2012 (Oracle, 2012.02.14) は 2012.02.17 付で改訂されている。CVE-2011-3571 を CVE-2012-0507 につけ変えたそうで。

 Mac 版 Java SE 6 Update 31、ようやく出ました: About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7 (Apple, 2012.04.03)。 既に悪用されているので、Mac 利用者は大急ぎで適用しませう。

 関連:

2012.04.09 追記:

 Mac 版 Java SE 6 Update 31、謎の更新が行われたようで:

2012.04.10 追記:

 関連:

2012.04.12 追記:

 関連:

2012.04.18 追記:

 関連:

2012.04.23 追記:

 関連:

2012.04.24 追記:

 関連:

2012.05.01 追記:

 OSX.Flashback.K の背後にある金銭的な動機 (シマンテック, 2012.05.01)。広告料を稼ぐ。

広告クリック型のトロイの木馬は目新しいものではなく、昨年の 8 月に行った W32.Xpaj.B の解析でも、25,000 件の感染が観測された地域のボットネットから 1 日当たり最大 450 ドルの収益があったものと考えられています。Flashback Trojan の場合は規模が数 10 万件に達していることから、この数字は 1 日当たり優に 10,000 ドル以上に及ぶでしょう。

実に儲けの大きい犯罪と言えます。だからなおのこと、Mac をお使いの方はパッチをすべて適用し、ウイルス対策定義を最新の状態に保つことが重要です。

2012.05.08 追記:

 関連:

2012.05.16 追記:

 Apple 純正 FlashBack 削除ツール、Mac OS X 10.5 にも提供されたそうで: About the security content of Flashback Removal Security Update (Apple, 2012.05.14)

2012.05.18 追記:

 OSX.Flashback - ボットネットが利益を上げるための手口 (シマンテック, 2012.05.18)


  • 》 「OCNマイページ」のシステム不具合に伴い OCNメールパスワードが別のお客さまによって変更された事象について (ntt.com, 2/10)

    4.原因
    「OCNマイページ」のシステムの不具合により、メールパスワード再設定申請時のメールアドレスと申請確認時のメールアドレスとの整合性チェックが実施されていなかったため。

     詳細: 別紙

  • 》 くそったれ東電! 賠償目的で受けた援助1兆2000億円の税金を自分の財布に入れ決算を公表 債務超過を逃れる算段 (ざまあみやがれい!, 2/12)

  • 》 裁判員裁判:裁判員判決2審が破棄、最高裁「不合理を示せ」 初判断、再逆転で無罪 (毎日, 2/14)。関連:

  • 》 Office を悪用した新しい標的型攻撃が出現 (シマンテック, 2/12)。DLL つき。MS11-073 狙いだそうで。

  • 》 Infostealer.Offsupload: 盗難データを含む 20,000 以上のアーカイブがサードパーティのファイル共有サイトにアップロードされる (シマンテック, 2/10)

  • 》 SMS 詐欺に利用される偽の Android マーケットが再登場 (シマンテック, 2/14)

  • 》 Android.Bmaster: 金の卵を産むモバイルボットネット (シマンテック, 2/10)

  • 》 Java の脆弱性を悪用する攻撃が急速に猛威 − 偽セキュリティソフトの被害が倍増も (トレンドマイクロ セキュリティ blog, 2/10)

  • 》 The 'Chupa Cabra' malware: attacks on payment devices (Kaspersky, 2/10)。ATM を狙うチュパカブラ。

  • 》 Stratfor customers targeted by cybercriminals (Microsoft Malware Protection Center, 2/13)

  • 》 英国でトランス男性が出産し、同国初の「男性の母親」に (みやきち日記, 2/13)

  • 》 FBI、ジョブズ氏に関する調査報告書を公開 (ComputerWorld.jp, 2/13)

  • 》 Satellite phone encryption cracked (H Security, 2/8)。 A5-GMR-1 および A5-GMR-2 暗号化プロトコルを破ったそうで。 詳細: http://gmr.crypto.rub.de/。

  • 》 イラン政府が検閲強化、一部Webサイトへのアクセスを遮断 「Gmail」や「Twitter」などもNG (ComputerWorld.jp, 2/13)、 Reports: Iran disrupts secure internet connections - Update (H Security, 2/13)

  • 》 イスラエル大使館に対するテロ攻撃 (中東の窓, 2/14)。ゲームの枠内ですか。

  • 》 モサドの暗躍 (中東の窓, 2/13)。アゼルバイジャンはイランの北、トルコの東 (アルメニアを挟むけど)。バクーを擁する産油国。

    昨日のhaaretz net がtimes 紙を引用して、アゼルバイジャンはイランへのアクセスが極めてよいので、モサドとイラン情報機関の情報戦争の舞台になっていると言う記事がありました。 (中略) 12日付のhaaretz net 及びy net news が、イラン通信を引用して12日イラン外務省がイラン駐在アゼルバイジャン大使を招致して、同国がモサドの活動を停止させるように要求したと報じています。

     ふぅん。

    この件と関係はないのですが、京都にアゼルバイジャン料理店があり、同国の料理はトルコ料理とイラン料理のミックスであると書いてあり、地理的な関係からもイランとの関係について、当然気がつくべきだったと後悔しTものです。

     SHANDIZ のことかと思いますが、残念ながら 1/29 に閉店されたそうです。 アゼルバイジャン料理は、姉妹店の ZAM ZAM の方で引きつがれるそうで。

  • 》 インターネット取引トラブル110番、2日間で相談222件(東京都) (so-net セキュリティ通信, 2/14)

  • 》 Google+ 共有サークルの危険性と注意点 (Plus One World, 2/6)

    何故、このようなことが起こるのかというと「サークルの共有」がフォロワーを増やす目的を達成するのに便利だからです。そして、悪意のあるユーザ(コンサルタントやスパム)はこの機能を悪用しています。
  • 》 No further updates for Debian 5.0 Lenny (H Security, 2/10)。終了しますた。 続いて RHEL 4 ももうすぐ終了です。

  • 》 米軍、狙いは中国包囲網 再編見直しでグアム拠点化急ぐ (朝日, 2/13)

  • 》 eo光のケイ・オプティコム、警察と強力して児童ポルノ配信ユーザーに警告へ (slashdot.jp, 2/9)。意図しない公開を意図した公開に転換するための施策。

  • 》 インドのマイクロソフトストアにハッキング被害、顧客情報が漏洩 (engadget, 2/13)。www.microsoftstore.co.in がハクられた。

  • 》 ジャーナリストが警察に逮捕されて消されたムービーを復元しYouTubeに公開 (gigazine, 2/13)

  • 》 マラウイはブラックマーケット、ガソリン不足、インフレーションと経済が混乱中でジンバブエ化の気配も (gigazine, 2/11)

  • 》 Dutch ISP KPN hacked, credentials and personal information leaked (Sophos, 2/11)

  • 》 Google WalletのPINを見られてしまうAndroidハックが出現 (techcrunch, 2/11)、 「Google Wallet」の脆弱性報道でプリペイドカード機能が一時無効に (日経 IT Pro, 2/13)

  • 》 Path:非通知にて収集した利用者のアドレスブックデータ、全削除を完了 (techcrunch, 2/14)

  • 》 村長の幸福の科学学園視察費用めぐり百条委=千葉・長生村議会 (やや日刊カルト新聞, 2/13)

  • 》 カード会社がホメオパシー団体との契約を解除 (やや日刊カルト新聞, 1/30)、 JCB がホメオパシージャパンの加盟店契約を解除 (slashdot.jp, 1/24)

  • 》 cryptome.org がハクられ改ざんされた

  • 》 Skype、LINE、Viberなど7種の通話アプリを「アクセス許可」で比較してみた (スマート中目黒, 2/2)。人生いろいろ、アクセス許可もいろいろ。

  • 》 原発従事者の身元を確認 原子力委方針 (産経 MSN, 2/10)。暴力団やらヤクザやらがワンサカからんでる現状を、ようやくなんとかしようと思ったんですかね。

     報告書では同制度について、「主要な原子力利用国の中で唯一、日本だけが導入していない」と指摘。作業員を偽装した内部からのテロ行為の危険性を踏まえ、導入に向けた議論を開始すべきだとした。
     また、犯罪歴などの個人情報の調査に加え、得られた情報を評価する必要があるため、電力会社などに任せるのではなく、国の機関が主体的に関与することを提言。時期については2014年に開催予定の核セキュリティーサミットをめどに検討を終えるよう求めている。
  • 》 高速ストリーム暗号アルゴリズム「KCipher-2 (ケーサイファー-ツー) 」がISO国際標準規格に採用 (KDDI, 2/14)。ブロック暗号ではなくストリーム暗号ですか。

  • 》 ツイッターなんてもう信用できない! (ニューズウィーク日本版, 2/8)。ニセのセレブアカウントを本物だと「認証」してしまったツイッター、なぜそうなったのかも再発防止策も明らかにせず。

     元記事: Twitter Gets Punk'd (thedailybeast.com, 1/4)

  • 》 [攻撃手法]標的型攻撃はこう動く、AD悪用で同一ドメインを制圧 (日経 IT Pro, 2/14)。事例紹介。 ドメイン管理者権限取られると怖いですねえ。

  • 》 サンデー毎日凄いぞ!"検察審査会にクジ引きソフト初導入"「仕組まれた小沢有罪疑惑」 (一市民が斬る!!, 2/13)

  • 》 全国の汚泥からヨウ素 がん治療薬が原因か (中日, 2/12)。I-131 の件。

     専門家が排出源とにらむのは、甲状腺がんなどの治療で使うカプセル入りの甲状腺治療薬。甲状腺がんの患者には、1回の治療で37億〜74億ベクレルのヨウ素131が投与されるという。放射線医学総合研究所(放医研)の説明では、病院ではヨウ素が濃度限度(1リットルあたり40ベクレル)以下になるまで待って下水に流すルール。患者は体内ヨウ素残量が5億ベクレルまで下がれば退院できるが、家庭トイレからの排出基準はないという。
     東京大付属病院放射線科の中川恵一准教授は「ヨウ素131を使った治療は日常的に行われている。事故から時間がたった後に検出されているものは、患者から排せつされたものと考えられる」と指摘する。
  • 》 線量マップ 命に関わる情報隠しだ (琉球新報, 2/13)。全ては合州国のために。

     東京電力が、福島第1原発敷地内の放射線量マップを、公開の1カ月以上前に米原子力規制委員会に提供していたことが分かった。
     国民に知らせる1カ月前というだけでなく、政府に報告するよりも1日早かった。東京電力は国民よりも、政府よりも米国に顔を向けている。そう批判されても反論できまい。
     原発事故のデータでは、文部科学省の緊急時迅速放射能影響予測ネットワークシステム(SPEEDI)の試算データも問題となった。文科省は事故の12日後にようやく一部を公表したが、米軍には3日後に提供していた。
     気象庁も事故直後から国際原子力機関(IAEA)に放射性物質拡散予測データを逐次報告していたが、国民に知らせたのは事故の25日後だった。

     こんな奴らばっかりで、TPP に反対なんてできるわけがない。

  • 》 K-84 エカテリンブルク (デルタ IV 級弾道ミサイル原潜) 火災事故 (2011.12.29) の件

■ いろいろ (2012.02.14)
(various)

2012.02.16 追記:

 CVE-2012-0831 の件、 実際はこんな話だった模様: 勝手に訂正: 「PHP における SQL インジェクション攻撃を行われる脆弱性 (JVNDB-2012-001388)」 (co3k.org, 2012.02.15)。スッポソ @supp0n さん情報ありがとうございます。

要するに、 PHP 5.3.11 の開発中のソースコードにのみ存在する問題であり、現在リリースされているすべてのバージョンの PHP にはこの脆弱性は存在しません。
原因は PHP 5.3.11-dev に加わった http://svn.php.net/viewvc?view=revision&revision=323016 のコミットです。このコミットは PHP 5.3.10 以前、つまりリリースされている PHP には含まれていません。

■ 追記


  • 》 Google Chrome、SSL証明書のオンライン失効チェックを無効に (ITmedia, 2/9)、Revocation checking and Chrome's CRL (ImperialViolet, 2/5)。OCSP や CRL はいざという時に機能しないし処理に時間がかかるのでステ。

    Our current method of revoking certificates in response to major incidents is to push a software update. Microsoft, Opera and Firefox also push software updates for serious incidents rather than rely on online revocation checks. But our software updates require that users restart their browser before they take effect, so we would like a lighter weight method of revoking certificates.

    So Chrome will start to reuse its existing update mechanism to maintain a list of revoked certificates, as first proposed to the CA/Browser Forum by Chris Bailey and Kirk Hall of AffirmTrust last April. This list can take effect without having to restart the browser.

    An attacker can still block updates, but they have to be able to maintain the block constantly, from the time of revocation, to prevent the update. This is much harder than blocking an online revocation check, where the attacker only has to block the checks during the attack.

  • 》 インターネット上の知財関連法でスタートアップとVCたちが議会に要望書 (techcrunch, 2/7)

  • 》 公式Androidマーケットに偽アプリ− iOS で人気のゲームを装う (トレンドマイクロ セキュリティ blog, 2/8)

  • 》 標的型攻撃の手法をワンクリック詐欺に応用か−ファイル開封時に用心を (トレンドマイクロ セキュリティ blog, 2/9)。トレンドマイクロ製品をインストールすると RLO 対策もクリック 1 発で簡単にできます、とかいうことはないのだろうか。

  • 》 PCウイルス:「ワンクリック詐欺」で立件へ 京都府警 (毎日, 2/8)。「画像を消すための登録料として今年1月までの1年間で1万人に総額約6億円を振り込ませていた」……。めちゃめちゃ儲かるんだなあ。 (よい子は真似しない)

  • 》 'Deleted' Facebook photos survive online three years later (Sophos, 2/8)。永遠に消えないんだろうな。

  • 》 iPhoneの連絡先データ無断収集のPathが謝罪 アプリをアップデート (ITmedia, 2/9)

  • 》 育児サイト「ベビカム」、17万人の個人情報流出 (朝日, 2/9)、不正アクセスによる会員情報漏えいに対するお詫びとご報告 (ベビカム, 2/9)

■ Clarifying The Trustwave CA Policy Update
(Trustwave, 2012.02.04)

 認証局 Trustwave は、中間介入攻撃 (MITM attack) を実施できる証明書を発行していた。当該証明書を含んだ装置は SSL proxy として動作し、SSL 暗号化通信を全て解除できる。 当該証明書が発行されたのは企業の内部ネットワーク用であり、政府や ISP や法執行機関ではないとされている。

 Mozilla は Firefox / Thunderbird から Trustwave の root 証明書を削除: Bug 724929 - Remove Trustwave Certificate(s) from trusted root certificates (Mozilla)

■ Google Chrome Stable Channel Update
(Google, 2012.02.08)

 Google Chrome 17.0.963.46 登場。20 件のセキュリティ欠陥が修正されている。 Chrome 17 はセキュリティ面での新機能もあるそうで。

  • Speed and Security (Google Chrome Blog, 2012.01.05)

  • All About Safe Browsing (Chromium Blog, 2012.01.31)


    Malicious downloads are especially tricky to detect since they're often posted on rapidly changing URLs and are even "re-packed" to fool anti-virus programs. Chrome helps counter this behavior by checking executable downloads against a list of known good files and publishers. If a file isn't from a known source, Chrome sends the URL and IP of the host and other meta data, such as the file's hash and binary size, to Google. The file is automatically classified using machine learning analysis and the reputation and trustworthiness of files previously seen from the same publisher and website. Google then sends the results back to Chrome, which warns you if you're at risk.
    It's important to note that any time Safe Browsing sends data back to Google, such as information about a suspected phishing page or malicious file, the information is only used to flag malicious activity and is never used anywhere else at Google. After two weeks, any associated information, such as your IP address, is stripped, and only the URL itself is retained. If you'd rather not send any information to Safe Browsing, you can also turn these features off.
  • Faster browsing, safer downloading (Google Chrome Blog, 2012.02.08)

    On the security front, Chrome now does even more to help protect you from malicious downloads. In addition to checking a list of known bad files, Chrome also does checks on executable files (like ".exe" and ".msi" files). If the executable doesn't match a whitelist, Chrome checks with Google for more information, such as whether the website you're accessing hosts a high number of malicious downloads.

  • 》 Sandbox applications quickly with KVM or LXC (H Security, 2/7)、 Building application sandboxes with libvirt, LXC & KVM (Daniel P. Berrange, 1/17)

  • 》 勝利が逃げた「脱原発」、京都市長選挙 (JANJAN blog, 2/6)

    自・民・公・みんなの党という市議会議席保有政党プラス議席の無い社民党府連の推薦を門川さんは受けた。罪深いのは「脱原発」政党の社民党が推薦したことであろう。これによって一気に「脱原発」の争点が中和されてしまった。(中略) 投票日の前日大津市であった「大飯原発再開阻止、関西びわこ集会」ではこの政党の代表が「止めよう原発」と壇上に立っている。
  • 》 『心のおくりびと 東日本大震災 復元納棺師』を読んで (JANJAN blog, 2/7)。

  • 》 「サ高住」直撃の民主党の介護保険『改正』で介護難民増大? (JANJAN blog, 2/8)

  • 》 原発「共同会見」 大手記者は質問少な過ぎでは (回答する記者団, 2/2)

  • 》 シリア方面

    • 時論公論 「長期化する シリア危機」 (NHK 解説委員室, 2/2)

      シリアは、イスラエル、レバノン、ヨルダン、 イラク、トルコの5か国と国境を接し、イランとは、事実上の同盟関係にあります。

      言ってみれば、中東のあらゆる問題に関わっていますので、 アサド政権がどうなるかは、シリア一国にとどまらず、 中東全域のパワーバランスを大きく変える可能性があります。

      シリアに対する国際社会の対応が「及び腰」なのは、 アサド政権が倒れた場合、地域全体が不安定化する事態を恐れているからです。

      たとえば、シリアと何度も戦火を交え、 現在も公式には「戦争状態」にあるイスラエルでさえ、 アサド政権の崩壊は望んでいません。 シリアが「無政府状態」に陥り、アルカイダなど国際テロ組織が拠点を築き、 あるいは、イスラム主義勢力が政権を握る可能性があると危惧しているのです。

    • ピックアップ@アジア 「出口見えない シリアの危機」 (NHK 解説委員室, 2/6)

    • シリア離反兵士の数(トルコ紙の報道) (中東の窓, 2/5)

    • シリア情勢(ハマの虐殺の再演?) (中東の窓, 2/7)

  • 》 PLOとハマスの和解 (中東の窓, 2/7)。本当かなあ。

  • 》 アップル、App Storeランキングの操作に厳重な警告 (CNET, 2/7)

  • 》 応用光研の食品用放射能測定装置FNF-401のデータ解析ソフトについて:岩手県一関市産納豆の巻 (togetter)。なんだかすさまじい話だが、これが現実。

  • 》 毎時275マイクロシーベルトの双葉厚生病院玄関口。警戒区域の現実1(双葉町) (山本宗補の雑記帳, 2/8)。あの場所は今。ふくいちから約 4km 双葉厚生病院。玄関口の地面に線量計を置くと 275 μSv/h を計測。関連:

  • 》 「特許業務法人」を検索 (goo ブログ)。楽しいですね。 元ねた

  • 》 Red Hat、サポート期間を7年から10年へ延長 (マイナビニュース, 2/7)

    対象となるのは「Red Hat Enterprise Linux 5」および「Red Hat Enterprise Linux 6」。3系と4系のサポートは従来通り7年間となる。

     詳細はこちら: Red Hat Enterprise Linux Life Cycle (Red Hat)

     基本的にはめでたい話なのですが、罠ありだなあ。 RHEL 5 の End of Production 3 が 2014.03.31 から 2017.03.31 に延びてしまったので、 古い BIND がさらに生き残ることになりかねない。 RHEL 5 な方は、標準の bind パッケージ (BIND 9.3.6 ベース) から bind97 パッケージ (BIND 9.7 ベース) への移行を推奨します。 なお RHEL 6 では標準で BIND 9.7 ベースです。

  • 》 【Windowsお悩み相談室】 第29回 Windows Vistaのサポート終了期限迫る! ドライブルートの謎のファイルは削除しても大丈夫? (ComputerWorld.jp, 2/8)。Windows Vista のメインストリームサポート終了は 2012.04.10。Vista Business / Enterprise については 2017.04.11 まで延長サポートが続く。 Vista Home Basic / Home Premium / Ultimate については延長サポートはない。 Vista Business / Enterprise か Windows 7 に移行しましょう。

     「【質問87】 ドライブルートのMsdia80.dllファイルは削除してもよいのですか?」も興味深い。

     Windowsの自動更新(Microsoft Update)を適切に実施していれば、2009年7月に公開された以下のセキュリティ更新プログラム(MS09-035/KB973923/KB973544)が適用されたことで、すでに修正されているはずですが、問題が解決されない場合もあるようです。

     その場合は手動で対応可能。対応方法が記載されている。

  • 》 米当局、ストリーミングリンクサイト運営者を著作権侵害容疑で逮捕 (P2Pとかその辺のお話, 2/4)

  • 》 パイレート・ベイ裁判 上告棄却、旧運営者らの有罪が確定 (P2Pとかその辺のお話, 2/4)

  • 》 首都直下型…都心道路は"難民"であふれ返る!ここが危険ルートだ (ZAKZAK, 2/7)。図の元ねたは、中央防災会議 「首都直下地震避難対策等専門調査会」 の、帰宅行動シミュレーションに係る参考資料(混雑箇所の地名等) (中央防災会議, 2008.04.02)。2008 年の時点で『「むやみに移動を開始しない」という基本原則の周知・徹底』が示されていたにもかかわらず、2011.03.11 にはああいうことになった。

     関連: 首都圏で"浸水"の恐れがある、危ないエリアを検証 (bizmakoto.jp, 1/25)

  • 》 ソーシャルサービスPathがユーザーに無断で連絡先データを収集 (ITmedia, 2/8)、写真共有サービス「Path」、iPhoneの連絡先情報を無断アップロード--非難の的に (CNET, 2/8)。スマホアプリってこんなのばっかなのか。

  • 》 ハッカー集団AnonymousがSymantecを脅迫――ソースコード公開めぐり (ITmedia, 2/8)

  • 》 3種類のオンライン攻撃 (TEDTalks) (aoky.net)。TED でのミッコ・ヒッポネン氏の講演、日本語訳。

     映像を日本語字幕つきで見たい場合はこちら: http://www.ted.com/talks/lang/ja/mikko_hypponen_three_types_of_online_attack.html

  • 》 特許庁の職員PCがウイルス感染、標的型攻撃が原因か (Internet Watch, 2/7)。「ウイルス感染によって、特許出願などの未公開情報が外部に流出した事実は確認されていないとしている」。出てたら超ヤバい。

  • 》 人間そっくりアンドロイドが恋する表情でお待ちしてます 高島屋のショーウィンドウに人だかり (ねとらぼ, 2/6)。石黒先生のジェミノイドF が新たな一石を投じているようです。

    ガラスケースに取り付けたKinectセンサーの反応をもとに、アンドロイドは65通りの「人を待つ短いストーリー」から1つを選んで表情を変える。

     Kinect を使って自律動作ですか。

  • 》 技術評論社 「Web Site Expert」 静かに休刊 (fx-it.com, 2/6)

  • 》 VirusScan Enterprise Access Protection blocks DAT updates beginning with 6608 DAT files (McAfee, 2/6)。02/07/2012 版で修正されるそうで。

  • 》 McAfee Agent for Mac becomes unresponsive after install or a reboot (McAfee, 1/31)。McAfee Agent 4.6 Patch 1 for Non-Windows で対応されているそうで。

  • 》 現役の東電社員・安斉昭が区議をつとめる杉並区が、東電グラウンドを60億円で買収し、東電を支援。 (ざまあみやがれい!, 2/4)。もちろん、そのお金は税金でしょう。

  • 》 福島県は米の緊急調査結果のとりまとめ(2/3)を発表! (3.11東日本大震災後の日本, 2/4)。丁寧な解説。

  • 》 サッチャー元首相の伝記映画公開 ー今も英国に影落とす「遺産」 (小林恭子の英国メディア・ウオッチ, 2/6)

  • 》 橋下・特区構想の「あいりん地区」結核発症深刻 (読売, 2/4)

    市の調査では、西成区の罹患率は238・5人で市内24区の中でも突出。あいりん地区に限れば、南アフリカ(罹患率978人)、ジンバブエ(同743人)に次ぐ水準だった。
  • 》 2011/04/04 東京電力記者会見 深夜25時(4月5日未明) (IWJ ダイジェスト, 2011.04.05)。汚染水をタレ流したときの話。

  • 》 県市会議長会で原発堅持議案否決 敦賀の提案に異論相次ぐ (福井新聞, 2/6)。

    敦賀市会は高速増殖炉「もんじゅ」の研究継続や日本原電敦賀原発3、4号機増設など原子力政策の堅持を求める議案を提出したが、異論が相次ぎ、採決の結果否決された。(中略) 賛成したのは敦賀、あわら両市会のそれぞれ2人だけで、否決された。あわら市会は会合後「積極的賛成ではないが、各市の要望として出されたものは尊重したい」と説明した。

     あわら市会は何にでも賛成するってことなのか……。

  • 》 山崎解説:2号機の温度上昇問題は (NHK「かぶん」ブログ, 2/7)

  • 》 日本からも購入できるようになった、 Kindle Touch International 版 (晴れのちクラウド, 2/4)

■ いろいろ (2012.02.08)
(various)

■ RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2012.02.06)

 Windows 用および Mac 用の RealPlayer に、任意のコードの実行を招く欠陥。 Windows 用 RealPlayer 15.02.71、Mac 用 RealPlayer 12.0.0.1703 で修正されている。

■ Ghost Domain Names: Revoked Yet Still Resolvable
(ISC, 2012.02.07)

 BIND 9 に欠陥。ドメインがレジストリから削除されても cache され続けてしまう。CVE-2012-1033

 回避方法なし。patch は現在テスト中。

2012.02.16 追記:

 BIND だけでなく、複数の DNS 実装に欠陥があるそうで。プロトコル上での挙動が明記されていない部分なため、実装によって問題が出たり出なかったりしている模様。

 Ghost Domain Names: Revoked Yet Still Resolvable (ISC) は 2012.02.08 付で 2.0 に改訂されている。早急な patch は不要と判断された模様。

On further review, ISC has determined that this is not an issue which needs an immediate patch. The issue is being reviewed at the protocol level and will be addressed there. Implementing DNSSEC is the safest mitigation measure.

2012.02.17 追記:

 「ghost domain names(幽霊ドメイン名)」脆弱性について (JPRS, 2012.02.17)。痒いところに手が届く解説。

2012.03.05 追記:

 BIND 9.9.0 で修正された模様です。前野さん情報ありがとうございます。BIND 9.9.0 Release Notes (ISC)

When replacing an NS RRset, BIND now restricts the TTL of the new NS RRset to no more than that of the NS RRset it replaces. [RT #27792]

 それでも BIND 9 の max-cache-ttl はデフォルトで 1 週間なので、必要に応じて短くしてください。

2012.03.22 追記:

 「DNS浸透問題」は脆弱性だった!「幽霊ドメイン名脆弱性」 (Geek なぺーじ, 2012.03.21)。「DNS浸透問題」と「幽霊ドメイン名脆弱性」の関連性 (というか等価性) の解説。

 ちなみに、コミPo! でつくるとたとえばこんな感じです。

2012.04.06 追記:

 BIND 9.8.2 / 9.7.5 / 9.6-ESV-R6 が公開されました。幽霊ドメイン名問題の修正が含まれています。リリースノート: BIND 9.7.5 / 9.6-ESV-R6。 BIND 9.8.2 のリリースノートは、なぜか中身が 9.6-ESV-R6 のものになってるような。


  • 》 マン・イン・ザ・ブラウザ攻撃を説明する方法 (エフセキュアブログ, 2/6)

  • 》 3つの活断層の連動を評価すれば、大飯3・4号の耐震安全性は成り立たない  (美浜の会, 2/4)

     関連: ストレステストに福島第一原発事故の教訓生かされず−意見聴取会委員 (ブルームバーグ, 2/1)。後藤政志委員と井野博満委員。

  • 》 中国、自由派知識人ら続々出国 党大会控え、言論弾圧強化 (産経 MSN, 2/6)

    言論弾圧の強化について北京の民主化活動家は「ものがいえなくなり、1989年の天安門事件直後をほうふつさせる冬の時代に入った」と語った。
  • 》 "アサド政権側近"のメール流出 (NHK, 2/7)、

  • 》 国連安全保障理事会、中露が拒否権行使、シリア非難決議案を否決。 「問題ない、俺らもチベットでやってるし」「俺らもチェチェンでやってるし」

    • GCC・トルコ共同声明 (中東の窓, 1/29)

    • シリア:民衆弾圧 大統領、内外で窮地 離反兵士の蜂起相次ぐ (毎日, 2/3)

    • シリア:治安部隊が住宅地など砲撃、217人が死亡 (毎日, 2/4)

    • シリア非難決議案 否決 国連安保理 ロ中が再び拒否権 (東京新聞, 2/6)、 シリア:国連安保理、暴力停止決議案否決 中露が拒否権 (毎日, 2/6)

    • 対シリア:中国、欧米諸国など批判 安保理決議案 (毎日, 2/6)

    • ミュンヘン安全保障会議:シリアの流血拡大懸念 決議案否決、中露に非難集中 (毎日, 2/6)

    • シリア:反体制派側への攻撃激化、死者100人に (毎日, 2/6)。 決議案否決後の死者が 100 人になったという話。

    • シリア:米国が大使館閉鎖、館員ら出国 (毎日, 2/6)

    • シリア:英は大使を本国に召還 (毎日, 2/7)

    • シリア:対応、米仏露が模索 安保理決議案否決、事態打開困難に (毎日, 2/7)

    • クローズアップ2012:対シリア決議案否決 中露、欧米に不信 リビア「後遺症」重く (毎日, 2/7)

       安保理の対リビア決議はこの「保護の責任」に基づいてNATO(北大西洋条約機構)軍の空爆を容認。市民保護が目的だったが、結果的にNATOは継続的にリビア政府軍を空爆しカダフィ政権崩壊に結実した。
      (中略)
       政府が反体制派を弾圧する構図はシリアもリビアと同じだが、欧米は対シリア決議案では、「保護の責任」を明記しなかった。先月31日の協議ではクリントン米国務長官が「『第二のリビアを生む』との懸念は誤りだ」と強調したのも中露の懸念を意識したためだ。だが中露の警戒感は強かった。
       欧米諸国はシリアに強い圧力をかける一方、ペルシャ湾岸バーレーンで政府軍がサウジやカタールなどの軍支援を受け民主化運動を弾圧した際、ほとんど何の対応もしなかった。欧米諸国は、イランと友好関係にあるシリアの住民弾圧は許さないが、イランの脅威にさらされるバーレーンの弾圧には目をつぶっている。
    • シリア人らが在リビア中国大使館に投石、決議案拒否で抗議 (ロイター, 2/7)

  • 》 PlayStation 3 "Other OS" Saga Shows: Jailbreaking Is Not a Crime (EFF, 2/6)

  • 》 シンポジウム「表示規制と消費者被害の事前抑止について」 (壇弁護士の事務室, 2/7)。 2012.02.18、東京都千代田区、無料。 オフィシャルな案内はこちら

  • 》 シンポジウム「ネット消費者被害を考える」 (壇弁護士の事務室, 2/7)。2012.03.03、東京都千代田区、無料。 中継あり。 オフィシャルな案内はこちら。

  • 》 韓国の資源外交揺るがすカメルーンダイヤモンド事件  インサイダー疑惑、政権末期の権力闘争にも発展 (JBpress, 2/1)

  • 》 プーチンの誰も知らない錬金術  沿ドニエステル共和国で20年ぶりに政権交代したわけ (JBpress, 2/2)

  • 》 Appleが贋作/盗作アプリ一掃作戦―中にはApp Storeの売上トップも (techcrunch, 2/4)

  • 》 国内フィッシング事情(1月):URLを量産するフィッシャーたち  (so-net セキュリティ通信, 2/3)

  • 》 「31年ぶり」貿易赤字の大嘘、国内生産はもはや消滅の危機 (日経 BP, 1/31)

    昨年後半、私は空洞化をテーマに地方の中小企業から大企業まで、多くの経営者や形成戦略の中枢をになう人々への取材を続け、日本の製造業の行く末を『メイド・イン・ジャパン消滅!』(朝日新聞出版)という本にまとめた。(中略) そのなかでじつに印象深かったのは、日本を代表する大手メーカーの経営者が発した言葉だった。
    「日本でこれだけ製造業が軽視されたら、もうやっていかれない」
     日本社会が抱えこんだ一番の問題はリアリティの欠如である。
     2008年度にすでに赤字転落している事実を伝えない報道は、現実の全体像を正直に伝えるよりも「31年ぶり」を強調した方がニュースバリューは高まるというお粗末な発想が呼び込んだものに違いない。そこにはいま日本が直面している危機に対するリアリティがまったく感じられない。
  • 》 小社の「定期採用」報道について―― (岩波, 2/6)

    小社に入社を希望なさる方は、岩波書店著者にご相談いただくか、お知り合いの岩波書店の社員に直接ご連絡をください。いずれの方法もとれない場合は、小社総務部の採用担当者(03-5210-4145)に電話でご相談ください。
  • 》 Flash Player sandboxing is coming to Firefox (Adobe, 2/6)。Chrome につづいて Firefox でも。 試してみたい方は Adobe AIR and Adobe Flash Player Incubator から。Windows 7 / Vista のみ。

  • 》 CSRFで逮捕者が出たらしい話 (水無月ばけらのえび日記, 2/7)。 ウイルス作成罪で初の逮捕者が出る (slashdot.jp, 1/26)、 【速報】某アニメまとめブログ管理人が逮捕 (ブラックニュース, 1/26)、 ついに『今日もやられやく』乗っ取り犯の小林浩忠(萌通)逮捕! 他にも色々あったが分裂騒動に関しては完全にやらおん大勝利 (みぶ速, 1/27)、 ステマ騒動で叩かれた「やらおん」は次の逮捕を予言か? (jmwjow38のAA日記, 1/27)、 http://yaraon.blog109.fc2.com/blog-entry-6851.htmlの2012年1月26日 18:17に記録された魚拓 (ウェブ魚拓) の件。

  • 》 USA to equip military, government officials with Androids (Sophos, 2/6)

     関連: 合衆国政府と軍部が機密情報を扱える特製のAndroid携帯を開発中 (techcrunch, 2/4)

  • 》 グーグル化の見えざる代償 ウェブ・書籍・知識・記憶の変容 (インプレス)。1/26 発売。 関連:

     やっぱり yomoyomo さんのとこ多いな……。

  • 》 九州大学の学生成績改ざんを五千元(約6万円)で依頼か(Far East Research) (ScanNetSecurity, 2/3)

  • 》 Will Google Bouncer definitely remove all malware from the Android Market? (Kaspersky, 2/6)

  • 》 Facebook上でバレンタインに便乗した攻撃、Chromeが標的か (トレンドマイクロ セキュリティ blog, 2/6)

    さらに Chrome や Firefox のユーザが攻撃の標的となっている点を考察すると、サイバー犯罪者がブラウザにおける拡張機能の互換性のほかに、これらのブラウザが多くの人が利用しているという人気に目をつけていることが伺えます。
  • 》 レグザブルーレイ「DBR-Z160/DBR-Z150」 ご愛用のお客様へのお詫びとお知らせ (東芝, 1/31)。東芝、自社製品に対して DoS 攻撃を実施の件、2/1 の夕方までにはアップデータが公開されていた模様です。青野さん情報ありがとうございます。

  • 》 Book Review: Practical Packet Analysis, 2nd ed (SANS ISC, 2/7)。第1版の邦訳は「実践パケット解析――Wiresharkを使ったトラブルシューティング」 (オライリージャパン)。風の噂によると、2nd ed. の邦訳作業は、監訳者が忙しすぎて遅れているらしい 新しい翻訳・監訳コンビで進行中らしい。

■ 追記

Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS

 Debian 用 fix、lenny 用のパッケージも用意された事を追記。Scientific Linux 出たので修正。 FreeBSD ports が 5.3.10 になったので修正。

About the security content of OS X Lion v10.7.3 and Security Update 2012-001

 Mac OS X 10.6.8 用に不具合が発生し、出し直しになっていた。 Rosetta で不具合が発生した模様。 ImageIO 関連のセキュリティ修正を削除したそうだ。CVE-2011-0241 がそれみたい。 Lion 用 (10.7.3) には問題なし。

PHP 5.3.9 Released!

Microsoft 2012 年 1 月のセキュリティ情報


  • 》 German government makes recommendations for secure Windows PCs (H Security, 2/6)

  • 》 Firefox の更新体験を改善するために - サイレントアップデートを実現する 5 つの変更点 (Mozilla Japan ブログ, 2/6)

    UAC のセキュリティ機構に対応しつつ更新のたびにダイアログを表示しないようにするため、新しい更新サービスをまもなく Aurora (プレベータ版 Firefox) へ投入します。このサービスはバックグラウンドプロセスとして実行され、更新が見つかったらインストールを行います。一度その更新サービスに許可を与えたら、それ以降更新時に UAC ダイアログは表示されません。
  • 》 ダイキン、除加湿清浄機「クリアフォース」で発煙・発火事故。約17万台を無償交換へ (家電 Watch, 2/3)。 本体まるごと全部新品に交換するという太っ腹対応 (ダイキン大丈夫なのか……)。 手元の奴も対象だったので申し込んだ。

     関連: リコール:ダイキン工業、空気清浄機を (毎日, 2/4)

    事故は11年5月と6月、会社事務所の喫煙室など煙の多い場所で発生。たばこのやになどの可燃性物質を内部のフィルターで除去しきれなかった場合、一定の条件が加わると過熱する可能性があるという。

     そういう場所では業務用を使おうよ……。まぁ、だからと言って火を吹くのは困るわけだが。ダイキンのは、かなりアグレッシブな処理をしているからなあ。

  • 》 パナソニック、落としても水に浮くLED懐中電灯 (家電 Watch, 2/3)

    IPX8の防水性能を備えた点が特徴。豪雨や水深20mまでの水中でも使用可能という。また、水中で落とした時は、本体が水に浮かぶ (中略) 本体にはカラビナが直接通せるほど大径の通し穴が付いている。
  • 》 Wiiの改造を請け負った男性逮捕、「技術的制限手段回避装置提供行為」で (Internet Watch, 2/6)。2/2 に逮捕、2/3 に送検。

  • 》 正確な放射能測定へ試料提供 土壌測定のばらつき校正 (asahi.com, 2/3)

    これまで日本には、国際的に標準となっているIAEAの標準試料がほとんどなく、十分な校正ができなかった。国内で測定し汚染度が基準値以下とされた茶葉が輸出先のフランスで基準を上回る問題も起きた。

     唖然……。

  • 》 知的財産裁判例 平成23(ネ)10011 著作権侵害差止等請求控訴事件 (裁判所, 1/31)。ロクラクII の件。

  • 》 知的財産裁判例 平成23(ネ)10009 著作権侵害差止等請求控訴事件 (裁判所, 1/31)。まねき TV の件。

  • 》 農水省に標的型メール攻撃、情報流出狙う? (読売, 2/2)、農林水産省における標的型メール事案について (農林水産省, 2/2)

  • 》 年金改革の試算公表、防衛省



    These are our most popular posts:

    セキュリティホール memo - 2012.02

    2011年12月21日 ... なぜこんな流れになったかについての私見は、暇があったらにでもして、今回は実際 問題として通販で今のところ手に入る、放射性核種デトックス剤を挙げてみます。 皆さん はこれらのサプリ、どうお考えですか? わたしは、自分と年老いた両親 ... read more

    ウォーターゲート事件の闇

    2012年5月6日 ... 草津はしぶとく食い下がって来て戦いにくそうな山形でしたが、船山のラッキーなゴール で何とか勝つ事が出来ました。船山選手、本日 ... 次のホームゲームからまたコツコツ 通って劇的な勝利を目の当たりにできるように頑張ります。 ... 本日の山形の選手は ホーム開幕戦という事も影響してか素晴らしい動きをしていただけに残念です。長丁場 ..... 5百歩譲ってお布施感覚で・・・とも考えましたが、どこをどう工面しても今の筆者には 費用を捻り出す事は不可能です。 ...... 他に入手出来る方法は無いものか・・・ ... read more

    Take it easy: モンテディオ

    2012年2月29日 ... また、KDDI株式会社の携帯電話では2009年以降のモデルについて、順次対応を計画 しています。 ... 高島市の沖といっても広いのですが、どのあたりなんだろう。 ... この設備 を使って、海に放出できる法定基準以下まで浄化するが経産省は「放出するかどうかは 地元と協議する」と説明 .... 訴訟を起こせないのは、記事が大意として間違っていない ことを示したようなものだ。 ... 武雄市役所職員はFacebookを私的利用できなくなる ( 水無月ばけらのえび日記, 2/26) .... 2月24日 魔窟最高裁事務総局と接触! read more

    「放射性核種 体外排泄 サプリ (重金属デトックス剤)」---- 皆さんどうお ...

    2012年5月18日 ... Easyタグクラウド ..... 何があっても生きていかなきゃいけない」と前を向けたようだ。 ... また同時間帯で視聴率が低迷していた、フジテレビのオダギリジョー主演ドラマ「家族の うた」は ... お二人には4月20日にお会いし直接謝罪する機会を頂くことができました。 現在報道されている二股は事実です。 お二人と結婚の話をしたことも事実です。 男 として一切の言い訳も許されない無礼であったと本当に反省しています。 私 ... read more

0 件のコメント:

コメントを投稿