セキュリティホール memo - 2017.01

リリースノート: Firefox 51.0、 ESR 45.7.0、 Android 版 Firefox 51.0。

ESR 45 系列は次回の 45.8 で終了......となっているけど、ESR 45 系列の採番が 1 つずれているので、45.8 じゃなくて 45.9 で終了になるのかな。 ESR 52 は (もちろん) まだ出ていませんし。
セキュリティアドバイザリ: Firefox、 Firefox ESR。計 24 件の欠陥を修正。
- Mozilla Foundation Security Advisory 2017-01 - Security vulnerabilities fixed in Firefox 51 (mozilla.org)
- Mozilla Foundation Security Advisory 2017-02 - Security vulnerabilities fixed in Firefox ESR 45.7 (mozilla.org)
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。

2017年02月13日追記:

Android 版 Firefox のみ 51.0.3 が公開されました。キャッシュディレクトリに誰でも書き込めちゃう状態になっていたようで。

「Firefox 51」Android版、キャッシュの書き込み権限における脆弱性を修正 (Internet Watch, 2017年02月13日)
Security vulnerabilities fixed in Firefox 51.0.3 (Mozilla, 2017年02月09日)。「CVE-2017-5397: Firefox for Android cache directory is world writable」

■しかく 2017年01月24日

》顔検出を妨害するPOLYSICS的?なアイウェア「PrivacyVisor」 (Internet Watch, 1/19)
》東京五輪選手村、国産食品ダメ? 国際基準対応へ協議会 (朝日, 1/21)。日本の食材は国際基準に全く達していないと。
[引用] 協議会によると、厳しい基準が課せられるようになったのは、12年のロンドン五輪から。「GAP」と呼ばれる安全認証で、農薬や肥料の使用履歴や、家畜にどのようなエサを与えたかなど細かい記録を残すことが必要とされる。
前回大会から既にそうなっていたのに、何ら対応されていないと?
》トランプ大統領方面
- トランプ政権、ホワイトハウス公式サイトから気候変動対策を削除 (MIT Technology Review, 1/21)
- Trump White House Takes Down Native Americans Web Page from Website (Native News Online, 1/20)
- 町山智浩トランプ政権の閣僚の顔ぶれと選考基準を語る (miyearnZZ Labo, 1/17)。2017年1月17日(火)「たまむすび」アメリカ流れ者書きおこし。
- トランプ「3G」政権陣容固まる家族も、異例の顔ぶれ (朝日, 1/21)
  [引用] 新政権の閣僚の特徴について「3G」という言葉が使われる。大富豪(Gazillionaire)、ゴールドマン・サックス(Goldman Sachs)、将軍(General)というキーワードの頭文字から名付けられた。
  Golden shower も入れたら 4G ですか。(それは人じゃない)
- ×ばつ前嶋和弘▼1月23日(月)放送分(TBSラジオ「荻上チキ・Session-22」) (TBS ラジオ, 1/24)
- トランプ氏、就任式の人数めぐり報道を「嘘」と攻撃比較写真を否定 (BBC, 1/22)
- 路上販売の赤いトランプ帽は外国製、就任式参加者に衝撃広がる (ロイター, 1/23)。「トランプ陣営の公式サイトで販売されているものは米国製」だが、路上販売のものはそうじゃなかったと。
- イスラエル首相の訪米招請トランプ氏が電話会談 (東京, 1/23)
》英政府が核ミサイル試験失敗を隠ぺいか、計画更新の採決直前 (AFPBB, 1/23)
[引用] サンデー・タイムズが英海軍高官の話として伝えたところによると、昨年6月に米フロリダ(Florida)州沖で英潜水艦から「トライデントII D5」を発射する試験を行ったが、失敗したという。
》「アパホテル客室を点検」書籍問題でアジア大会組織委 (朝日, 1/20)
》アパホテルが「「南京大虐殺」が「虚構である」証拠の数々」と称して公表している内容について反論しておく (誰かの妄想・はてな版, 1/20)
》アパホテルの利用中止要求中国政府、国内旅行業者に (朝日, 1/24)。国家旅遊局が認めたと。
》徳島県警スマホ写真、被害者の瞳に容疑者の顔解析成功 (毎日, 1/24)。こういうことがリアルにできる時代になったと。ブレードランナーに追いついた? (あれは立体写真みたいだけど)
》セキュリティ機能を集中管理する「Windows Defender Security Center」、「Windows 10 Creators Update」に搭載 (Internet Watch, 1/24)。以前から予告されていた Windows Security Center の正式名称が Windows Defender Security Center になったようで。画面イメージも紹介されてます。

■しかく 2017年01月23日

》「マイニンテンドーストア」にアクセス集中エラー画面に「かわいい」「ゴジラに襲われたなら仕方ない」の声も (ITmedia, 1/23)
》ロンブー田村亮の「ジャニーズ、バーニングタブー」ツイート騒動に凍りつくマスコミ、同じ問題を提起した松本人志も... (リテラ, 1/23)。ショボい。
》「ハニーポット観察記録」書籍化のお知らせ (www.morihi-soc.net, 1/23)
》サムスン、Galaxy Note7 の欠陥についてバッテリーが原因と発表 (1/23)。Note7 のバッテリーは 2 種類存在するのだが、それぞれに個別の原因があったとされているそうで。
- Samsung Electronics Announces Cause of Galaxy Note7 Incidents in Press Conference (Samsung, 1/23)
- [Infographic] Galaxy Note7: What We Discovered (Samsung, 1/23)
- Samsung Announces New and Enhanced Quality Assurance Measures to Improve Product Safety (Samsung, 1/23)
- 発火問題の「Galaxy Note7」、原因はバッテリーの欠陥 (ケータイ Watch, 1/23)
  [引用] 数カ月に渡る調査において、バッテリーに対してCTスキャンをしたところ、バッテリーに異常があることがわかった。Galaxy Note7のバッテリーに採用された2社のバッテリーのうち、A社のバッテリーでは、意図しない損傷によりバッテリーセルの負極周辺で電池内のセパレーター(絶縁シート)が変形し、発熱・発火に繋がった。一方、B社のバッテリーでは、正極周辺の溶接の不具合で、結果的にセパレーターなどを突き破る事象が起きていた。
- サムスン電子「ノート7発火はバッテリー欠陥の問題」 (聯合ニュース, 1/23)
  [引用] 同機種には韓国のサムスンSDIと中国のATLのバッテリーが搭載されていたが、会見では社名に言及しなかった。
  業界の一部では、本体の構造設計上の問題やソフトウエアのエラーが発火事故を招いたという観測もあったが、サムスン電子の発表はこれと相反する内容となった。
- 速報:Galaxy Note 7爆発の原因は「バッテリー」、サムスンが公式発表 (engadget, 1/23)

■しかく 2017年01月21日

》米海兵隊 AH-1Z、沖縄県うるま市伊計島に不時着 (1/20 19:30)
- 不時着は普天間の攻撃ヘリ沖縄・伊計島、ホテルから600メートル (琉球新報, 1/21)
- 住民「無法地帯だ」沖縄・伊計島の米軍ヘリ不時着相次ぐ事故に怒り (琉球新報, 1/21)
- 米軍が機体整備始める伊計島の不時着ヘリ (琉球新報, 1/21)
- 不時着ヘリが離陸 10分後に普天間飛行場に着陸 (琉球新報, 1/21)
- 石川潤一さんのツイート:
  
  不時着の米軍ヘリ普天間基地に戻る沖縄では不安の声 | NHKニュース https://t.co/2AImz6nDOg
  サイドワインダー用のLAU-7/Aランチャー搭載してる。第三世代FLIRとトップアウルヘルメット搭載ディスプレイにより、夜間でも安全な着陸ができた模様。
  — 石川潤一 JunichiIshikawa (@oldconnie) 2017年1月21日
》標的型攻撃対策ソフト「FFRI yarai」、ランサムウェア対策を強化した新バージョン (クラウド Watch, 1/19)
》「アサヒカメラ2月号」で緊急企画「写真を無断使用する"泥棒"を追い込むための損害賠償&削除要請マニュアル」 (ネタとぴ, 1/20)
》 NISC、今年度は桐ヶ谷和人氏をサイバーセキュリティ調査官に任命 (Internet Watch, 1/20)。ビーターの能力が必要、ということなんでしょうか。
》 OSSセキュリティナイター vol.4【緊急開催 2/8】迫る!Red Hat Enterprise Linux 5 通常サポート終了 (connpass)。2017年02月08日、東京都港区、無料。面さん情報ありがとうございます。

■しかく 2017年01月20日

》 Googleがページを覆い尽くすポップアップ広告などにペナルティ付与を開始 (gigazine, 1/20)
》キヤノン ITS の件に関連して、匿名希望さんから (情報ありがとうございます)

在宅勤務者のカメラ監視が書かれていましたが、某上場企業ではオフィス電話のスピーカーフォン機能(ハンズフリーとも言う)を使って支店の会話を聞いている時があります。
スピーカーフォンのステータスランプが点いていたら聞かれていると思ったほうが良い。会議室にある内線電話も実は聞き放題の設定になっている可能性があるので設定を確かめたほうが良いです。

キヤノン ITS の件はこちら: キヤノンITS、在宅勤務者をカメラで監視 (日経, 1/17)

■しかく 2017年01月19日

》山市良のうぃんどうず日記(82):Windows 10のWindows Updateサービスを停止しようと考えている方へ (@IT, 1/19)
》総務省、「IoTサイバーセキュリティアクションプログラム2017」を公表 (Internet Watch, 1/18)
》匿名加工情報の条文構成はどう壊れて行ったか(保護法改正はどうなったその6) (高木浩光@自宅の日記, 1/8)
》 Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に (スラド, 1/19)
》「最もよく使われているパスワード」、2016年調査でもトップは「123456」 (スラド, 1/19)
》 1.6万台ものPCに感染したスパイウェアを作成・販売した大学生が逮捕される。懲役10年の可能性も (スラド, 1/18)
》東京 MX 「ニュース女子」問題
- MXテレビに「沖縄ヘイト」批判米軍への抗議活動巡り (朝日, 1/18)
- 津田大介さんがテレビ番組出演を辞退「ニュース女子」報道を疑問視 (ハフィントンポスト, 1/18)
- 「沖縄ヘイト」と批判集まる番組「ニュース女子」制作のDHC側に見解を聞いた (BuzzFeed, 1/18)
》「森のくまさん」訳詞著作権問題
- 森のくまさん (嘉門達夫オフィシャルブログ, 1/18)。「手順にミスがあったかなー」
- 「森のくまさん」問題、嘉門達夫が引っ張りだこ (日刊スポーツ, 1/19)
  [引用] 嘉門は同日放送の日本テレビ系「スッキリ!!」に電話出演。自身が替え歌を発売する際には「楽曲の権利を管理している出版社に『この楽曲のこの部分をこういうふうに変えていいですか』というのを明確に送りまして、OKが返ってきたものに限ってCD化している」とし、さらに元の楽曲の権利者や歌詞に出てくる人物にも許可を取っているとした。
- 童謡「森のくまさん」替え歌CD、訳詞者が販売中止要請...法的にどう考えればいい? (弁護士ドットコム, 1/18)
  [引用] 実際裁判になった場合、裁判所が「森のくまさんパーマ大佐バージョン」を、「同一性保持権の侵害」と認定するかは、実際の訴訟進行との関係でどちらとも考えられるところでしょう。
関連:
- 「森のくまさん」の作詞者とされる馬場祥弘にまつわる疑惑 (togetter, 1/18)

■しかく 2017年01月18日

》キリン「氷結」のWebアニメCM公開中止で議論を呼ぶ理由は「アニメだから」? (ねとらぼ, 1/18)
[引用] また、具体的にCMのどの部分を問題と認識し、公開を中止にしたのか質問したところ、「(未成年に訴求力がある)アニメだから」公開中止にしたとの説明がありました。
》キヤノンITS、在宅勤務者をカメラで監視 (日経, 1/17)
》警視庁警備部が災害時に役立つ「水漬けパスタ」紹介し話題に (おたくま経済新聞, 1/18)
[引用] 味付けはナポリタンやこってり系のソースの場合が向いていると思われます。若干粉っぽさが残る場合があるからです。(中略) 火はあるけど水が少量しかないという場合 (中略) は、過去記事で紹介した「焼きパスタ」の方法がオススメです。
関連: ソースによく絡む調理法?ためしてガッテン紹介の『焼きパスタ』に挑戦 (おたくま経済新聞, 2016年02月25日)
》小田原市生活保護受給者威圧ジャンパー方面
- 生活保護「なめんな」「私たちは正義」小田原市の担当職員ら、ジャンパーにプリント (ハフィントンポスト, 1/18)
- 小田原市職員の上着に「不正受給はクズ」生活保護担当が市民訪問に着用も (東京, 1/18)
- ジャンパーに生活保護「なめんな」、市職員訪問 (読売, 1/17)
- 「なめんな」ジャンパー、切りつけ事件きっかけ (読売, 1/18)
関連:
- 【改善させました!】「保護なめんなジャンパー」の小田原市ホームページは制度を利用させない「仕掛け」が満載だった。 (稲葉剛公式サイト, 1/18)
- のすけさんのツイート:
  
  保護なめんなのニュース見てびっくりしてんけどそのロゴリバプールのパクりやんけ
  アンタらが消したYOU'LL NEVER WALK ALONEが、2つの炎がどんだけ大事な意味かわかってんのかぼけ。このエンブレムはただのロゴじゃないねん。お前らがなめんな。これはほんまに腹立つ pic.twitter.com/WUBskheXNL
  — のすけ (@lvp_1079) 2017年1月17日
  
  関連。
  - 『君は独りぼっちじゃない』 (八千代ゴールデンサッカークラブ)。You'll Never Walk Alone の詳細解説。
  - ヘイゼルの悲劇 (ウィキペディア)、ヒルズボロの悲劇 (ウィキペディア)。「2つの炎」は、両悲劇への追悼の意を表しているのだそうです。
》日本将棋連盟方面

第三者委員会調査報告書、概要版を公開 (1/16)。しかも、概要版 URL からドラフト版の存在が発覚。
- 第三者調査委員会からの結果報告書の開示 (日本将棋連盟, 1/16)、第三者委員会調査報告書概要版 (日本将棋連盟)
- 将棋棋士のスマホ不正疑惑、第三者委報告書のドラフト版が存在 (ねとらぼ, 1/18)
- ドラフト版と公開版の比較
谷川会長、辞任を発表。
- 会長の辞任に関するお知らせ (日本将棋連盟, 1/18)
- 日本将棋連盟の谷川会長辞任へソフト不正疑惑で引責か (朝日, 1/18)。「島朗(あきら)常務理事(53)も辞任する意向を固めたことがわかった」
》ピースサインの写真から「指紋盗難」の恐怖 (ロイター / 東洋経済, 1/17)、越前功 / ECHIZEN Isao (国立情報学研究所)
》オバマ大統領がチェルシー・マニング元上等兵に恩赦イラク空爆などで内部告発 (ハフィントンポスト, 1/18)。おぉ。すばらしい。

■しかく  Oracle Critical Patch Update Advisory - January 2017
(Oracle, 2017年01月17日)

Oracle 四半期更新来ました。

[Support] January 2017 Critical Patch Update Released (Oracle Blogs 日本語のまとめ, 2017年01月18日)

Java は 8u121 が公開されています。

[Java] Java SE 8 Update 121 and More (Oracle Blogs 日本語のまとめ, 2017年01月18日)
2017年 1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2017年01月18日)
Java SE Downloads (Oracle)、全オペレーティング・システム用のJavaのダウンロード (Java.com)

で、8u122 は出ないようです。

[8u communication] Changes to JDK 8u122 plans (jdk8u-dev ML, 2016年12月13日)

■しかく 2017年01月17日

》「アパホテル」中国のSNSで"炎上" 「南京大虐殺を否定するCEOの著書が客室に」告発動画「微博」で6800万再生 (ITmedia, 1/17)、アパホテルホームページは、現在サーバ停止のため復旧作業を行っております。 (アパグループ, 1/17)。元からそういうホテルだからなあ。

■しかく  PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性について (CVE-2016-7068、CVE-2016-7072、CVE-2016-7073、CVE-2016-7074、 CVE-2016-2120) - バージョンアップを推奨 -
(JPRS, 2017年01月17日)

PowerDNS Recursor 4.0.4 / 3.7.4、PowerDNS Authoritative Server 4.0.2 / 3.4.11 公開。複数のセキュリティ欠陥を修正。

PowerDNS Recursor 4.0.4 released! (PowerDNS Blog, 2017年01月13日)
PowerDNS Authoritative Server 4.0.2 released! (PowerDNS Blog, 2017年01月13日)
PowerDNS Authoritative Server 3.4.11 and Recursor 3.7.4 released! (PowerDNS Blog, 2017年01月13日)

■しかく 2017年01月16日

》制御システムセキュリティカンファレンス 2017 (JPCERT/CC, 1/11)。うわ、もう締め切られている。
》「ハードウェアセキュリティの最新技術動向に関するセミナー」開催のご案内 (IPA, 1/13)。2017年01月19日、東京都文京区、1000円。
》 Poison Ivyのコードを取り込んだマルウエアPlugX (JPCERT/CC, 1/12)
》「マイナポータル」にマイナンバーカードでログイン可能に、ただしJava実行環境が必要 (日経 IT Pro, 1/16)。Windows + IE と Mac + Safari に対応だそうで。
》 FBIのWebサイトがハッキングされ漏洩データがPastebinに公開される (ZERO/ONE, 1/16)
》 Content Security Policy Level 2 サポートの概要 (Microsoft Edge Japan, 1/11)
》 Troubleshooting Microsoft WSUS software update synchronization issues (SUS Blog, 1/9)、 Troubleshooting ConfigMgr 2012 software update synchronization issues (Microsoft)
》 Windows 10 Anniversary Update (1607) へアップグレード後、.NET Framework 3.5を利用するアプリケーションが利用出来ない。 (Ask CORE, 1/10)。1511 では使えてたのに、という話。「.NET Framework 3.5 の再有効化」で対応できるそうだ。
》「STOP. THINK. CONNECT.」日本版サイト、第三者からの不正アクセスで改ざん (Internet Watch, 1/16)
》 Windows Vistaはあと3カ月、2017年にサポートが終了する/したMicrosoft製品まとめ (Internet Watch, 1/16)。Office 2007 も今年ですか。
》大手メディアか書かない、CES2017の実態(出展者目線) (キャズムを超えろ!, 1/16)。Alexa、既に業界標準みたいになっちゃってるのか。
[引用] ぶっちゃけ、あのレベルで生音声を集められてしまうと、もう戦えるプレイヤーはGoogleぐらいしか残っていない。(中略) 少なくとも本年のCESを見る限りではAlexaが圧勝したことに異を唱える人はいないはずだ。
そんなにですか。いやだなあ。あとここなんだけど、
[引用] と、まぁとりとめもない内容となったが、最後に言いたいことは『なんでこんな世界盛り上がっとんのに日本人誰もやってへんの?』ということ。びっくりするぐらい世界はIoTに向いていて、ハードウェアスタートアップ、あるいは数年前スタートアップだった中堅企業がすごい勢いで攻めているというのに、ここ2年で日本のハードウェアスタートアップは20%ぐらいしか増えていない・・・・・という何となくの体感値。
日本という国がいかに老化しているかの証明だと思うんだよなあ。
》大学入試センター試験で 12 件の不正を確認、スマホ利用は 1 人。というわけで、スマホを無闇に強調するのはよくないんじゃないのかという気が。
- センター試験終了、雪で繰り下げ31会場スマホなど不正12人 (日経, 1/16)。こう書かれてしまうとスマホ利用が多数なのかと思ってしまう。ところが中身を読むと『「電卓使用」が6人 (中略) 「スマホ使用」は1人』。
- スマホで教科書、電卓...センター試験不正12件 (読売, 1/16)。これもスマホ利用が最多なのかと誤解する。
- センター試験12人不正全科目無効道内6人電卓使用 (北海道新聞, 1/16)。
  [引用] 大学入試センターによると、道内で電卓を使ったのは2日目の数学の「簿記・会計」で同じ教室で受験した6人。試験中に電卓を使っていたのを試験監督が見つけ、退出させた。
  同センターは「簿記の検定試験と違い、センター試験は電卓を認めていない。今後不正行為が起きないよう周知徹底を図る」としている。
  誤解した可能性はあるものの、センター試験の事前説明は、くどいほど徹底しているはずなのだが......。というか、試験開始前に机上にあったら試験監督が事前に発見・除去できているはずだよなあ。
- センター試験の不正、計12件数学2で6人が電卓使用 (朝日, 1/15)。電卓とスマホの他は、以下だそうで。
  [引用] このほかはいずれも15日の「数学1」の試験中で、定規の使用、試験終了後のマークシート修正が各2件、受験票を机の上に置くよう求めた試験監督の指示に従わなかったケースが1件あった。
  うわ。もったいない......。「定規の使用」は、試験監督が事前に除去できたはずなんじゃないのか。試験監督はちゃんと確認したのか?
》 Galaxy Note7 発火事故、調査結果を 1/23 に発表か。現時点での報道では「バッテリー主因説」と「複合原因説」があるようで。
- サムスン電子、ノート7発火問題は電池が主因と判明=関係筋 (ロイター, 1/16)。ただしソースは「1人の関係者の話」。
- サムスン電子「ノート7」発火原因を23日ごろ発表 (聯合ニュース, 1/16)。ソース不明。
- ギャラクシーノート7発火、設計とソフトに原因 (朝鮮日報, 1/16)。ソースは「サムスンに近い業界関係者」。

■しかく 2017年01月14日

》 Windows 10 のプライバシーに関するマイクロソフトの継続的な取り組みについて (Windows ブログ, 1/12)
》カスペルスキー曰く、デススター崩壊の原因はサイバーセキュリティ対策の不備 (スラド, 1/12)、スター・ウォーズ:帝国のサイバーセキュリティ問題 (Kaspersky, 1/10)
》 GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された (徳丸浩の日記, 1/12)
[引用] バグの本質的な原因は、HTTPレスポンスのステータスをチェックしていなかったことにありますが、ファイル名とファイルの中身の両方に同一の認証コードを含めるという設計は、上記のように潜在的な問題を抱えていると考えます。

■しかく 2017年01月13日

》 1月2日放送TOKYO-MXTV「ニュース女子」による「のりこえねっと」および共同代表・辛淑玉を誹謗中傷する虚偽報道に対する抗議声明 (のりこえねっと, 1/5)
》 EMET 5.52 update is now available (Microsot Security Research & Defense, 1/12)
》あの『日本会議の研究』が出版差し止めに! 過去の判例無視、「表現の自由」を侵す裁判所の不当決定の裏に何が? (リテラ, 1/10)。扶桑社は対応措置として、問題ありとされた 36 文字を黒塗りした「修正版」の販売を決定。電子版は対応済み。
- 『日本会議の研究』(菅野完著)の修正版販売について (扶桑社, 1/11)
- 菅野完さんのツイート:
  
  【謹告】拙著『日本会議の研究』、この度、平成29年1月6日付東京地裁の仮処分決定により削除を命じられた三十数文字を墨塗りしたバージョン、出来決定!!!墨塗りのkindle版も好評発売中!ぜひご注文ください!!!
  — 菅野完 (@noiehoie) 2017年1月11日
関連:
- (社説)出版差し止め表現の自由の理解欠く (朝日, 1/12)
》カジノ利権を警察が狙う、天下り先激減で (窪田順生 / ダイヤモンド online, 1/12)。パチンコ利権に代わるモノを探しているらしい。
[引用] 若者のクルマ離れが叫ばれているが、離れっぷりで言えばパチンコの方が深刻で、20代の新客は激減している。最盛期の1995年に全国に1万8200店舗あった店舗が、この20年で45%まで減少した。(中略) パチンコ店舗が減少していることで、警察OBたちの雇用が「危機」に瀕しているのだ。

■しかく 2017年01月12日

》熟練システム管理者もお手上げ?――Windows 10後のWindows Updateがカオスな件 (山市良 / @IT, 1/11)
》グーグル、クラウドで暗号化キーを管理できる「Google Cloud Key Management Service」発表 (ZDNet, 1/12)
》トランプ氏とロシアめぐる疑惑文書 BuzzFeedによる全文公開とその反応 (BuzzFeed, 1/12)×ばつロシア密結合疑惑の件、まずはこの記事を読みましょう。関連:
- ロシアがトランプ氏の問題情報を握っている? 今の事態にどう至ったのか (ポール・ウッド / BBC, 1/12)。BBC ポール・ウッド記者による検証報道。BBC も以前から当該文書を入手していた模様。一読を推奨。
  [引用] 異様な状況だ。トランプ氏が宣誓就任する10日前にして。しかし選挙戦の最中から予兆はあったのだ。
  最後の大統領候補討論会で、ヒラリー・クリントン氏はトランプ氏を、プーチン大統領の「操り人形」と呼んだ。(中略) CIAのマイケル・モレル元長官は昨年8月にニューヨーク・タイムズへの寄稿で、「プーチン氏はトランプ氏を気づかないうちにロシア連邦のエージェントとして採用したんだと、われわれ情報業界関係者なら言うだろう」と書いた。(中略) CIAとNSAの両方のトップだったマイケル・ヘイデン氏はただ一言、トランプ氏を「ポレズニ・ドゥラク」と呼んだ。ソ連時代からのスパイ用語で、「便利な馬鹿者」のことだ。
  各氏の一連の発言の背景には、米政府の情報諸機関が当時、公表せずに抑えていた情報があったのだ。
  それを今や、アメリカ人全員が耳にした。就任まで1週間余りの時点で。次期大統領が本当に、ロシア政府に恐喝されていたのか、国民は判断しなくてはならない。
  とんでもない状況。
- トランプ氏側近と露の共謀、米情報当局が調査 (ウォール・ストリート・ジャーナル日本版, 1/11)
- ロシア、トランプ氏の不名誉な情報入手かセックス動画も存在? (AFPBB, 1/11)
- ロシア、トランプ氏の個人情報も収集か米高官らが本人に報告 CNN EXCLUSIVE (CNN, 1/11)
- ベッドに放尿強要?トランプ氏奇行か FBI精査中 (日刊スポーツ, 1/12)
- トランプ次期大統領、記者会見でCNNを虚偽ニュース呼ばわり (ITmedia, 1/12)
- トランプ米次期大統領がメディアに敵意むき出しで会見。そのワケは... (TBS ラジオ, 1/12)。北丸雄二さんによる、この件の解説。
- [FT]トランプ氏のロシア疑惑を知る5つのポイント (FT / 日経, 1/12)
  [引用] 政治アナリストらは何カ月も前から、なぜトランプ氏がこれほどの親ロシア派なのか、頭を悩ませてきた。
  この疑問におもいっきり適合する答えなんだよなあ。
この件を受けて、大統領選後初の記者会見は......
- トランプ氏会見、CNNにも矛先意に沿わぬ報道切り捨てか (CNN, 1/12)
- トランプ次期大統領初の記者会見で何を語った?ロシアのサイバー攻撃を認める (ハフィントンポスト, 1/12)
- トランプ会見は期待外れ--期待が失望に変わるリスクも (ZDNet, 1/12)
- 違いを超えて報道の自由を守る〜トランプ氏に非難されたCNNをFOXが擁護 (江川紹子 / Yahoo, 1/12)
》 FBIが修理会社に報酬、児童ポルノ捜査に協力させていた--米報道 (CNET, 1/12)。Washington Post が報道。
》爆発する「Galaxy Note7」、96%を回収済みとSamsungが発表 (ITmedia, 1/12)
》 AIやIoTなどの進展でセキュリティ脅威増大も--世界経済フォーラム (CNET, 1/12)
》天皇譲位、新元号は"平成31年"元日から皇室会議を経て閣議決定へ (産経 / ITmedia, 1/11)
》 10〜12月のインシデント報告、ポートスキャンが倍増、標的型攻撃は1.5倍に〜JPCERT/CC (Internet Watch, 1/11)
》 ChromeやSafariの自動入力でクレジットカードなどの個人情報が盗まれる危険性 (Internet Watch, 1/11)
》「Officeのプロダクトキーが不正コピーされている」というフィッシングメールが出回り中 (Internet Watch, 1/12)
》新国家資格「情報処理安全確保支援士」の受験受け付け開始 (Internet Watch, 1/12)
》誤送信いろいろ

文科省のケース
- 文科省人事案を全職員に誤送信 (NHK, 1/10)。オープン人事、はじまる。
- 「今後、機密情報は紙で」文科省のメール誤送信対策に驚きの声、話を聞いてみた (ハフィントンポスト, 1/10)
- 電子政府の推進 (文科省)。ただし、機密情報は紙で。
- 新泉©EO ‏@araizumiC さんのツイート:
  
  文科省の機密情報の取り扱い方を聴いて
  やはり朱儁将軍が激昂します
  
  文科省の「人事異動案」全職員に誤送信 #日テレNEWS24 #日テレ #ntv https://t.co/S4HwzU1KmQ pic.twitter.com/mpDM95oXjf
  — 新泉©EO (@araizumiC) 2017年1月10日
警視庁のケース
- 警視庁被害少女の実名、誤送信防犯メール6545件 (毎日, 1/12)
  [引用] 現場を管轄する警察署には当時メール作成の担当者がいたが、宿直責任者だった男性警部が事件を扱った男性巡査にメール作成を依頼。巡査は警部のチェックを受けないままメールを配信したという。
  担当者でも責任者でもないのに配信できちゃうシステムなのですね。
- メールけいしちょう (警視庁)。「安全・安心」のかけ橋、メールけいしちょうが被害者の氏名をばら撒きます。

■しかく  WordPress 4.7.1 Security and Maintenance Release
(WordPress, 2017年01月11日)

WordPress 4.7.1 公開、複数のセキュリティ修正を含む。PHPMailer の件についても、影響は受けないが、対応されている。日本語版はまだみたい。

2017年01月13日追記:

WordPress 4.7.1 日本語版出ました。

WordPress 4.7.1 セキュリティ・メンテナンスリリース (WordPress, 2017年01月12日)

■しかく  2017 年 1 月のマイクロソフトセキュリティ情報の概要
(Microsoft, 2017年01月11日)

Edge、Office 2016 / SharePoint Enterprise Server 2016、Flash Player、Windows Vista / Server 2008 / 7 / Server 2008 R2。 IE の修正はない。 0-day もない模様。

MS17-001 - 重要: Microsoft Edge 用のセキュリティ更新プログラム (3214288)。 Exploitability Index: 1
MS17-002 - 重要: Microsoft Office 用のセキュリティ更新プログラム (3214291)。 Exploitability Index: 1
MS17-003 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3214628)。 Exploitability Index: N/A (APSB17-02 を参照)
MS17-004 - 重要: ローカルセキュリティ機関サブシステムサービス用のセキュリティ更新プログラム (3216771)。 Exploitability Index: 3

■しかく  ISC BIND 9 に対する複数の脆弱性に関する注意喚起
(JPCERT/CC, 2017年01月12日)

BIND 9.x に 4 種類のセキュリティ欠陥、remote から named を停止できる。

欠陥	対象	深刻度	リスク	その他
CVE-2016-9444	9.11.0〜9.11.0-P1 9.10.0〜9.10.4-P4 9.9.3〜9.9.9-P4 9.8.5〜9.8.8 9.6-ESV-R9〜9.6-ESV-R11-W1	高	フルリゾルバー: 高権威 DNS サーバー: 限定的
CVE-2016-9147	9.11.0-P1 9.10.4-P4 9.9.9-P4	高	フルリゾルバー: 高権威 DNS サーバー: 限定的	DNSSEC 検証関連処理の欠陥だが、DNSSEC 検証を使用していない場合も影響を受ける。
CVE-2016-9131	9.11.0〜9.11.0-P1 9.10.0〜9.10.4-P4 9.9.3〜9.9.9-P4 9.8.5〜9.8.8 9.4.0〜9.6-ESV-R11-W1	高	フルリゾルバー: 高権威 DNS サーバー: 限定的	RTYPE=ANY のクエリをフィルタすることで回避できる。
CVE-2016-9778	9.11.0〜9.11.0-P1	高	nxdomain-redirect オプション有効、かつ、nxdomain-redirect オプションに自身が権威を持つゾーンを指定していた場合にのみ、本欠陥の影響を受ける	nxdomain-redirect オプションを無効にする、あるいは、redirect namespace 機能ではなく redirect zone 機能を使うことで回避できる。

BIND 9.11.0-P2 / 9.10.4-P5 / 9.9.9-P5 で修正されている。

■しかく 2017年01月11日

》ラック、JSOCが検知した攻撃の実態レポート「JSOC INSIGHT vol.14」を公開〜IoT機器の乗っ取りを試みる攻撃の増加やCisco社製品のコード実行の脆弱性などについての解説を公開〜 (LAC, 1/10)
》将棋界が直面する未曾有の危機とは何か? 将棋ソフトに右往左往、三浦九段は完全シロ (東洋経済, 1/4)
[引用] 三浦九段の「不正はしていない」という言葉を信じず、久保九段の「30分離席」という曖昧な記憶を信じたのはなぜだったのだろうか。どんな棋士も平等に信用する信念が連盟幹部に徹底していれば、今回のような冤罪まがいの騒動は起きなかったはずである。
ほんとこれ。

関連: 将棋連盟がスマホ不正疑惑で指した"悪手"を検証する (ダイヤモンド ONLINE, 1/11)
》踏み間違い対策にも自動ブレーキ最前線 (NHK, 1/5)
[引用] 通常、自動ブレーキを搭載したい場合は車の組み立て段階から専用の部品を取り付けないといけないため、新車を購入する必要があります。しかし、オートバックスなどが開発した装置は、国内メーカーの乗用車であれば1日程度の作業で"後付け"することができるのが特徴で(一部の車は除く)、価格も4万円程度と比較的割安に抑えられています。
「ペダルの見張り番」(オートバックスセブン) のことみたい。これは自動ブレーキを実現する製品ではないので注意。
》飲酒後にラーメン食べたくなる理由判明英でマウス実験 (朝日, 1/11)。「アルコールが食欲にかかわる脳の神経細胞を活性化させるためらしい」。
》虫歯治療が大きく変わる可能性あり、アルツハイマー治療薬を使って歯を再生させることに成功 (gigazine, 1/11)。まだマウス段階です。
》中国空母「遼寧」艦隊が台湾海峡通過 (毎日, 1/11)。こういうことができるようになりました。

■しかく  いろいろ (2017年01月11日)
(various)

GnuTLS

GnuTLS 3.3.26 / 3.5.8 公開。 OSS-Fuzz によって発見された 2 件のセキュリティ欠陥を修正。 iida さん情報ありがとうございます。

■しかく  APSB17-01 - Security Updates Available for Adobe Acrobat and Reader
(Adobe, 2017年01月10日)

Acrobat / Acrobat Reader DC Continuous 15.023.20053 / Classic 15.006.30279、Acrobat / Adobe Reader XI 11.0.19 公開。29 件のセキュリティ欠陥 CVE-2017-2939 CVE-2017-2940 CVE-2017-2941 CVE-2017-2942 CVE-2017-2943 CVE-2017-2944 CVE-2017-2945 CVE-2017-2946 CVE-2017-2947 CVE-2017-2948 CVE-2017-2949 CVE-2017-2950 CVE-2017-2951 CVE-2017-2952 CVE-2017-2953 CVE-2017-2954 CVE-2017-2955 CVE-2017-2956 CVE-2017-2957 CVE-2017-2958 CVE-2017-2959 CVE-2017-2960 CVE-2017-2961 CVE-2017-2962 CVE-2017-2963 CVE-2017-2964 CVE-2017-2965 CVE-2017-2966 CVE-2017-2967 を修正。 0-day はないみたい。CVE-2017-2947 (セキュリティ機能の回避) を除いた他は、任意のコードの実行を許す欠陥。Priority rating は 2。

■しかく  APSB17-02 - Security updates available for Adobe Flash Player
(Adobe, 2017年01月10日)

Flash Player 24.0.0.194 公開。13 件のセキュリティ欠陥 CVE-2017-2925 CVE-2017-2926 CVE-2017-2927 CVE-2017-2928 CVE-2017-2930 CVE-2017-2931 CVE-2017-2932 CVE-2017-2933 CVE-2017-2934 CVE-2017-2935 CVE-2017-2936 CVE-2017-2937 CVE-2017-2938 を修正。 0-day はないみたい。 CVE-2017-2938 (情報漏洩) を除いた他は、任意のコードの実行を許す欠陥。Priority rating は Linux 版が 3、他は 1。

■しかく 2017年01月10日

》ソフト体験版試用期間を不正に延長千葉の私立大42人 (毎日, 1/10)、学生によるソフトウェアの不正なインストールについて (東京情報大学, 1/10)。タレコミで発覚だそうです。
[引用] 学生らが2015年春以降、学園祭のポスターなどを制作する際、米アドビシステムズ社の画像編集ソフト「イラストレーター」の無料体験版を私有のパソコンにインストール。不正プログラムを使って設定されている試用期間を延長
こういうの、いまだにあるんだなあ。
》聖地巡礼で住宅街や私有地には踏み込まないで!現地の方に迷惑がかかるため「この世界の片隅に」監督からのお願い (togetter, 1/10)
[引用] 私どもの手で「この世界の片隅に」のロケ地マップを作りましたが、辰川バス停から先、北條家があると想定されるエリアについては、あえて地図には載せていません (中略) 旧上長ノ木・畝原・惣付のあたりはいわゆる「聖地巡礼」の目的地とされませんようお願いいたします。
関連: 映画「この世界の片隅に」広島と呉、ロケ地へ足を案内所で絵地図 /広島 (毎日, 1/6)

■しかく  Quick Homepage Makerには二つの脆弱性があります
(合同会社くまさん, 2016年12月29日)

Quick Homepage Maker (QHM) 5.x 以前、および HAIK 6.0.x、7.0.0.Beta.x に欠陥。同梱されている SWFUpload (QHM 5.x 以前では Pro 版にのみ同梱?) に欠陥があり、無認証で任意のファイルをアップロードし実行できてしまう。結果として、たとえば PHP シェルをアップロードされてサイトを乗っ取られるといった事態が発生し得る。

haik6/7サイト改竄の脆弱性 #38 (GitHub, 2016年12月22日)

HAIK 6.0.8、7.0.0.Beta.2 で修正されている。ただし、HAIK 6.0.8 / 7.0.0.Beta.2 には別の欠陥が残存しているので注意。

脆弱性を修正 #40 (GitHub, 2016年12月22日)
[WIP] v7.0.0リリース(PHP7対応) #7 (GitHub)
dlexec.phpの脆弱性 #27 (GitHub, 2016年12月07日)
dllink.inc.phpの脆弱性 #28 (GitHub, 2016年12月07日)

■しかく 2017年01月07日

》ついに判明!?国際勝共連合大学生遊説隊UNITE(ユナイト)のホントの正体 (やや日刊カルト新聞, 2016年12月26日)
[引用] つまり、外に向けては「国際勝共連合大学生遊説隊ユナイト」と「国際勝共連合」という二つの看板を背負っているが、実態は一つということだ。
》 Upcoming Security Updates for Adobe Acrobat and Reader (APSB17-01) (Adobe, 1/5)。1/10 (US 時間) に公開予定。

■しかく  追記

Apache Tomcat 8.5.9、9.0.0.M15 公開 (2016年12月13日)

Apache Tomcat 6.x, 7.x, 8.0.x にも欠陥があることが明らかとなりました。

JVNVU#97321122 - Apache Tomcat に情報漏えいの脆弱性 (JVN, 2017年01月06日追記)。

Apache Tomcat 6.0.49 / 7.0.74 / 8.0.40 で修正される予定だそうです (未リリース)。

■しかく  いろいろ (2017年01月07日)
(various)

SKYSEA Client View

SKYSEA Client View の脆弱性 (CVE-2016-7836) に関する注意喚起 (JPCERT/CC, 2016年12月22日)。Ver.11.300.08h で対応。
【重要】グローバルIPアドレス環境で運用されている場合の注意喚起(CVE-2016-7836) (Sky, 2016年12月27日更新)。保守対象外ユーザーにも配布。

2017年03月08日追記:

脆弱性(CVE-2016-7836)問題のご連絡 SKYSEA Client View アップデートのお願いと最新版リリースのご案内 (Sky, 2017年03月08日)
[引用] 本脆弱性を使用した攻撃活動が、引き続き観測されております。
「攻撃活動が、引き続き観測」って......。元の文書では「組織外のサーバーから不正なパケットを受信する事例が確認」という、あいまいな表現でしたよね。 JPCERT/CC の注意喚起では「本脆弱性を悪用した攻撃活動が観測」と明記してあったわけですが。

■しかく 2017年01月06日

あけましておめでとうございます。

》 Linux 4.9 が封印解除されたけれども・・・ (熊猫さくらのブログ, 2016年12月31日)
[引用] ストールしている間は10秒毎に警告を出力するという楽観的な修正には、全員が同じ考えで動いた場合には機能しないという致命的な欠陥があり、問題が発生しているかもしれないことを知らせるという watchdog としての役割を果たせません。
「理汝駆素(りなくす)は陽拳ゆえ」...... (「新世紀覇王獲素伝説美獲素手の拳」より)。
》「共謀罪」法案リストに通常国会で提出検討 (弁護士落合洋司 (東京弁護士会) の日々是好日, 1/5)。何度叩いてもゾンビのように復活する共謀罪。
[引用] 600以上の罪が対象となるとされていますが、その多くはテロとは無縁の犯罪であって、むしろ、そうした広範囲な犯罪が対象とされることで、市民生活の自由が脅かされる、そこを真剣に考えておく必要があります。
テロ対策という「美名」の背後に巧みに隠された、市民生活の自由に対する脅威、危険性を強く認識、理解しておく必要があると思います。
息の根を止めるには、おおもとを選挙で head shot するしかないんだよなあ。
》次号発売のお知らせ (冤罪事件専門誌「冤罪File」編集局公式ブログ, 2016年12月22日)。「No27 2017年1月27日(金) 発売予定」だそうです。予約した。
》大陽日酸への不正アクセスについてまとめてみた (piyolog, 1/1)
》三重銀行「讀賣新聞より当行と第三銀行との経営統合に係る報道がされましたが、これは当行として発表したものではございません」(リークプレス週明け報道) (市況かぶ全力2階建, 1/5)。適時開示情報閲覧サービスについては、「2017年01月05日 13:24 削除」の上で差し替え版が公開されています。
》宇賀克也「個人情報保護法の逐条解説」第5版を読む・前編(保護法改正はどうなったその5) (高木浩光@自宅の日記, 2016年12月30日)
》速報対象を個人データに限る案は初期段階で存在していた(パーソナルデータ温故知新その5) (高木浩光@自宅の日記, 1/4)

[セキュリティホール memo]

[私について]

セキュリティホール memo - 2017.01

■しかく マイクロソフト セキュリティ アドバイザリ 4010983 - ASP.NET Core MVC 1.1.0 の脆弱性によりサービス拒否が起こる (Microsoft, 2017年01月28日)

■しかく OpenSSL Security Advisory [26 Jan 2017] (OpenSSL, 2017年01月26日)

■しかく Apache HTTP Server 2.2.32 Released (Apache, 2017年01月13日)

■しかく WordPress 4.7.2 セキュリティリリース (WordPress, 2017年01月27日)

2017年01月30日 追記:

2017年02月06日 追記:

2017年02月09日 追記:

■しかく Chrome Stable Channel Update for Desktop (Google, 2017年01月25日)

■しかく Firefox 51.0 / ESR 45.7.0 公開 (Mozilla, 2017年01月24日)

2017年02月13日 追記:

■しかく Oracle Critical Patch Update Advisory - January 2017 (Oracle, 2017年01月17日)

■しかく PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性について (CVE-2016-7068、CVE-2016-7072、CVE-2016-7073、CVE-2016-7074、 CVE-2016-2120) - バージョンアップを推奨 - (JPRS, 2017年01月17日)

■しかく WordPress 4.7.1 Security and Maintenance Release (WordPress, 2017年01月11日)

■しかく 2017 年 1 月のマイクロソフト セキュリティ情報の概要 (Microsoft, 2017年01月11日)

■しかく ISC BIND 9 に対する複数の脆弱性に関する注意喚起 (JPCERT/CC, 2017年01月12日)

■しかく いろいろ (2017年01月11日) (various)

GnuTLS

■しかく APSB17-01 - Security Updates Available for Adobe Acrobat and Reader (Adobe, 2017年01月10日)

■しかく APSB17-02 - Security updates available for Adobe Flash Player (Adobe, 2017年01月10日)

■しかく Quick Homepage Makerには二つの脆弱性があります (合同会社くまさん, 2016年12月29日)

■しかく いろいろ (2017年01月07日) (various)

SKYSEA Client View

■しかくマイクロソフトセキュリティアドバイザリ 4010983 - ASP.NET Core MVC 1.1.0 の脆弱性によりサービス拒否が起こる
(Microsoft, 2017年01月28日)

■しかく OpenSSL Security Advisory [26 Jan 2017]
(OpenSSL, 2017年01月26日)

■しかく Apache HTTP Server 2.2.32 Released
(Apache, 2017年01月13日)

■しかく WordPress 4.7.2 セキュリティリリース
(WordPress, 2017年01月27日)

2017年01月30日追記:

2017年02月06日追記:

2017年02月09日追記:

■しかく Chrome Stable Channel Update for Desktop
(Google, 2017年01月25日)

■しかく Firefox 51.0 / ESR 45.7.0 公開
(Mozilla, 2017年01月24日)

2017年02月13日追記:

■しかく Oracle Critical Patch Update Advisory - January 2017
(Oracle, 2017年01月17日)

■しかく PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性について (CVE-2016-7068、CVE-2016-7072、CVE-2016-7073、CVE-2016-7074、 CVE-2016-2120) - バージョンアップを推奨 -
(JPRS, 2017年01月17日)

■しかく WordPress 4.7.1 Security and Maintenance Release
(WordPress, 2017年01月11日)

■しかく 2017 年 1 月のマイクロソフトセキュリティ情報の概要
(Microsoft, 2017年01月11日)

■しかく ISC BIND 9 に対する複数の脆弱性に関する注意喚起
(JPCERT/CC, 2017年01月12日)

■しかくいろいろ (2017年01月11日)
(various)

■しかく APSB17-01 - Security Updates Available for Adobe Acrobat and Reader
(Adobe, 2017年01月10日)

■しかく APSB17-02 - Security updates available for Adobe Flash Player
(Adobe, 2017年01月10日)

■しかく Quick Homepage Makerには二つの脆弱性があります
(合同会社くまさん, 2016年12月29日)

■しかくいろいろ (2017年01月07日)
(various)