オクトパ〜ス

雑多なメモ

MS:一般向け月例セキュリティ情報の通知を廃止


Microsoft、月例セキュリティ情報の一般向け事前通知を廃止 | マイナビニュース

月例の通知無くなったようです。
去年の地雷パッチのせいでしょうか

iCloudアカウント破り「iDict」


任意のiCloudアカウントを破ることができる「iDict」がGitHubで公開中 すでに動作報告も|I believe in technology

海外で、写真流出とかあったけど、これが原因のようですね。
個人的にはクラウドに写真とか大切なデータは保存したくないものです。
金庫を道路に設置するようなものですから。

LINEを使うならば、知っておくべきでは無いかと

LINEの送金決済サービス 契約書面で「安全性を保障しない」と明示 トラブルでも損害賠償請求を制限 契約名義はLINE本体とも別会社と判明
 http://echo-news.net/japan/extreme-lines-of-one-sided-terms

・・・・・

第三者のクレームに対する弁護士代も払わされるというのであるから、自分がLINE側に示談交渉などをしようとした場合には当然にすぐ、その際にLINE側が必要とした弁護士費用も支払えという言い分がくると思われる。

実際、この条文の第1項で利用者は「アカウントにおいて行った一切の行為およびその結果について一切の責任を負うものとします。」とあるので、損害があったら自己責任でありLINE側には請求するなということと思われる。

・・・・ ・

LINEの顧客に対する姿勢がよくわかる内容です。
被害にあってからではなく、被害に遭う前に自分が利用しているサービスがどのようなものなのか、よくチェックして利用すべきかと。

 




アップル 〜 火のない所に煙は立たず・・・


GTアドバンスト倒産でアップルとサプライヤーの関係が表沙汰に - エキサイトニュース(1/2)

・・・・・・

アップルのサファイアガラス供給元「GTアドバンスト」が破産し、工場閉鎖と従業員大量解雇を決めたのに伴い、GT経営陣の宣誓供述書が今月公開され、いろいろとあり得ない契約関係だったことがわかってきました。

本来であればアップルとの契約内容を口外すると、GTは1回5000万ドル(58億円弱)の罰金をアップルに支払わなけばなりません。が、今回は破産手続きの一環で裁判所が特別に公開することを認めました。アップルはあまりにも長々と恨み節が並んでいるため公開を止めようとしましたが、それは認められませんでした。

ニューハンプシャーの無名の会社、GTアドバンストがアップルとサファイアガラスを独占的に開発・供給することで5億7800万ドル(668億円)の契約を結んだのは2013年のことです。その支払いの最終分1億3900万ドル(161億円)の10月末の入金を前にGTはむしろ連邦倒産法第11章適用の道を選びました。もうとっとと終わりにしたい、と倒産のシェルターに逃げ込んだのです。

アップルとの提携を発表した時には「ものすごく楽しみだ」(GT社長Tom Gutierrez氏)とあんなに舞い上がっていたのに、今は「飴とムチ」に踊らされて「厄介な一方的過ぎるディールを掴まされてしまった」とGT社COOのDavid Squiller氏は供述書で悔しさを滲ませています。

GTが「飴」と言ってるのはアップルが最初に持ち込んだ契約です。GTはもともとサファイア結晶炉販売会社なのですが、アップルから炉を2,600台買いたいという申し出があったのです。これは創業以来最大のオーダーです。

しかし価格と契約内容を何ヶ月も交渉するうち、アップルには炉を買う気はないことが明らかに。GTに製造を任せて出来上がったマテリアルを買いたいだけだったんですね。となるとGT(製造機器メーカーであってマテリアルのサプライヤーではない)には巨大な設備投資が必要になります。そこでGTは5億7800万ドル(668億円)をアップルから前借りしてアリゾナ州に新工場を建造し、サファイアの結晶をつくり始めました。

Squiller氏曰く、GTが契約分のサファイアを納期までに製造できなかったのは、そもそもアップルが選定した製造機械がトロくてとても納期に間に合わなかったのだとか。

アップルは製造プロセスのことにしょっちゅう口出しし、マテリアルのスペックを絶え間なく変え続けてきたのだとも。

GTもサファイアは製造したんですが、アップルの需要に追いつく数ではありませんでした。さらにアップルの買取価格は市場価格を割り込んでいました。ですが、アップルに独占的に供給する契約だったため、「もう要らない」と言われても他社に売ることもできず在庫を抱え込んでしまったのです。

結局問題の本質はこのSquiller氏の言葉に集約されます。
GTAT(GTアドバンスト・テクノロジーズ)にはサファイアのマテリアルを何百万個も供給する責任があった。だがアップルにはそのサファイアを買わなければならない義理はひとつもなかったのである。

まあ、そんなホラーな契約書にサインした方もした方だよって思ってしまいますけどね。契約上起こりうる最悪のシナリオになってしまってもそれは契約の範疇のことであって、アップルが嫌がるGTの指をもってきて無理やり血判押させたんでもないし、アップルが目に見えないインクで契約書印刷したんでもないし、お互い様としか言いようがないです。

GTの社長とCOOはiPhone 6発表前や倒産前に持ち株の売り逃げに走ってSECの調査が入ってます。こうなることはある程度わかっていたんじゃないでしょうか。少なくとも途中で気づいていたことは確かです。

GTはリスキーな賭けに乗り、そして負けた。アップルは情け容赦なく契約を実行した。所詮は営利で動く多国籍企業ってことですね。

アップルとGTにはコメントお願いしておきましたので何かあればアップデートします。いずれにしてもアップルのサプライヤーには良い警告かな。iPhoneメーカーとの契約は当たれば天国だけど、リスクフリーではないのです。
 


・アップルの製造メーカーへの口出し
・アップルに対して供給責任がある
・しかし、アップルには買い取る義務は無い
・アップル独占供給契約のため、在庫を転売できない
・契約内容漏らしたら58億円の罰金


ひどい話です。

日本の首相はアップルの研究拠点が日本に出来ることを喧伝してましたが、シコーの倒産の件とか知っての上でのことでしょうか。

 

 

【日曜経済講座】狙われる日本の最先端技術


【日曜経済講座】狙われる日本の最先端技術 研究機関の対中連携見直せ 編集委員・田村秀男 (1/3ページ) - 政治・社会 - ZAKZAK

本紙サイバー問題取材班は東京版の連載企画「狙われた情報通信」で、独立行政法人情報通信研究機構(NICT)」と同「理化学研究所理研)」が中国人 民解放軍系の研究機関と連携していることを明らかにした。自らの先端技術研究が軍事に応用されるリスクを意識しないまま中国と交流する国内の有力研究機関 は大学など他にも多い。政府は公的資金によって支えられる日本の研究機関に対し、対中連携の全面見直しを求めるべきではないか。
度重なる中国から のサイバー攻撃に慣れっこになっているはずの米軍関係者を震撼(しんかん)させる事件が8月18日に表面化した。米国最大級の病院グループ、コミュニ ティー・ヘルス・システムズ(CHS)がサイバー攻撃を受け、約450万人分の患者の個人情報が盗まれたのだ。6月にはモンタナ州保健衛生局のサーバーか ら約100万人の個人情報が奪われた。攻撃を仕掛けたのは、いずれも「APT18」と呼ばれる中国のハッカー集団という。
知り合いの米情報筋に聞 くと、「最も懸念したのは米国市民の遺伝子情報の流出だった」という。特定の遺伝子だけを狙い撃ちにする生物化学兵器が開発されると、その遺伝子を持つ人 種すべてが標的にされる危険性が高まる。それは科学フィクションのような話だが、ロシアは国防を理由に2007年に遺伝子サンプルの輸出を禁止した。
理 研は06年5月から今年5月までの8年間、中国科学院上海分院との間で「包括的協力協定」を結んでいた。対象項目には「化学生物学」「バイオリソース」 (研究用実験動物・植物、細胞、遺伝子、微生物などの情報)が含まれる。上海分院は人民解放軍と一体となっており、傘下にはレーザー兵器開発に取り組んで いる上海光学精密機械研究所(SIOM)がある。理研はSIOMと昨年9月に研究協力覚書に調印した。
米情報筋は、「中国科学院は10年以上前から遺伝子攻撃兵器の開発に取り組んでいる。亡くなられた理研発生・再生科学総合研究センター副センター長の笹井芳樹さんのゲノム分析手法に中国側は着目していたはずだ」とみている。
中国系投資ファンドが日本の代理人を通じて医科大学系を含む首都圏の大型病院を買収する動きも耳に入る。利益動機によるものには違いないが背後の気配は不気味だ。
NICT は13年1月、中国科学院・上海微系統研究所(SIMIT)と協力覚書に調印した。重点協力分野は、「超電導」「バイオ・エレクトロニクス」「テラヘルツ (光波と電波の中間域にある電磁波)」の3つ。テラヘルツは超高速大容量通信手段となる。NICTは民生用をめざすが、人民解放軍系と目されるSIMIT の思惑がそうだとはとてもいえまい。
12年にはシンガポールで、テラヘルツ用素材の米国人技術者が怪死した。この事件について英フィナンシャル・ タイムズ紙は13年、解放軍系と米政府がみる中国の通信機器大手の関与疑惑を報道。シンガポール政府の判定は「シロ」だが、今年7月に米CBSが同当局に よる重要証拠物件破壊を特報するなど、米国側の関心は依然として高い。
理研やNICTの研究連携先の総元締めである「中国科学院」は純然とした科 学研究を装い、中国全土で114件もの研究所群を統括する。傘下の研究所は党指令に応じて共同体制を組む。SIMITもSIOMもサイバー戦争や大量破壊 兵器開発のような軍事プロジェクトで結集するし、他の研究所も党や軍の要請に応じて軍事技術研究に関わる可能性がある。
東大医科学研究所は中国科 学院微生物研究所と分子生物学や分子免疫学で協力しているし、独立行政法人物質・材料研究機構」は中国科学院大連化学物理研究所と燃料電池の共同研究に 取り組んでいる。これらは民生用に見えるが、中国側は随時、日本の技術研究成果を軍事用に生かそうとしている点を見落とすべきではない。
中国は対 米や対日サイバー攻撃の激化にみられるように、習近平体制のもとで、トウ小平氏が敷いた「韜光養晦(とうこうようかい)(自分の能力を隠す一方で力を蓄え る)」というソフト戦術を全面放棄し、力をむき出しにして取るべきものを最大限取っていく路線に転じた。脇の甘い日本の研究機関は絶好の標的に違いない。 
・・・・・

日本はその技術支援によって将来的に何が起こるのか、よく考えるべき。
国ぐるみの技術強奪に、研究機関が個々に対応するのには限界がある。
技術提携先のリスク判定のための専門機関の設立や、何らかの法整備が必要ではないかと。



産業スパイで韓国特許庁のデタラメ結論 国ぐるみの技術窃取 (1/2ページ) - 政治・社会 - ZAKZAK








中国サンゴ密漁船対策を考える

政府は外交交渉や罰則強化等の努力をしているが、中国相手にそれだけではたぶん対応できない。やはり物理的な対応策があの国に対しては一番効果がある。
根本的には、巡視船等の増強が急がれるが、船の建造、人材育成は予算も時間もかかるし、その体制ができるころにはサンゴが全滅しているかもしれない。

ということで、どれだけできるかわからないが、短期的にすぐ動けるかもしれない案をいくつか。

案その1
RTV-100やAnchor Diver(東工大)などの水中探査ロボット/航行型海中ロボットを利用した水中からの監視体制の強化。
現行犯逮捕でなければ捕まえられないというのは、かなり厳しい状況。監視する船の数に限界がある以上、それ以外の監視支援があった方が現場で働かれている方は楽かと。
海上から監視するより、水中から海中探査船(ロボット)で近づいて録画撮影できたら、監視体制はかなり強化できる気がする。
潜水艇なども利用できるれば良いかも。
廃業してしまったが、半潜水型海中観光船もぐりんとか、今どうなっているんでしょ。

案その2
目ぼしい「サンゴ繁殖域の海底」に監視用海中ブイをいくつか設置する。
百隻を超える船を全て追っかけるばかりでは現実的には厳しいので、目ぼしいサンゴ域に監視用の水中ブイを設置。店舗の監視カメラの発想ですね。
密漁船の操業を察知したら、近くの船がそこへ行けば良いし、密漁船を捕まえられなくとも、海底の変化は確認できる。
美しいサンゴ礁が、密漁船によって失われる映像を世界に公開すれば、それだけでも中国に対してプレッシャー。
問題は電力確保、映像送信等をどうするか。
専用海底ケーブルを引く?
それだと環境破壊か。
波力発電とか、今どうなってるんだろう。
ダミーなブイや波力発電も考えればコスト削減にはなりそう。


案その3
空からの監視強化
飛行船型ソーラープレーンやFAZERなどの無人ヘリコプターなどを活用して、密漁船の動きを上から把握。

無人ヘリは速く動けるけれども、燃料等の問題が出てくるだろうから、飛行船型ソーラープレーンを併用できれば、良いかも。
せっかく、成層圏プラットフォームプロジェクトなるものをやったのだから、活用できないものですかね。


色々挙げましたが、どれか1つの方法に頼るのは、多分ムリだと思うので出来るところからできるだけ併用できるのが良いかと。

海上、海中、空から監視できれば相手にはかなりプレッシャーにはなると思うし、今回の件をきっかけにして、海防の技術開発等に繋がっていけばと思う。


NHKの「bash脆弱性報道」が欠陥の件


閲覧でウイルス感染も「bash」に重大欠陥


閲覧でウイルス感染も「bash」に重大欠陥 NHKニュース


インターネットのホームページを表示するサーバーで広く利用されているプログラムに重大な欠陥が見つかり、放置しておくと、個人情報の流出などを招くおそれがあるとして、セキュリティー機関などが早急な対策を呼びかけています。

欠陥が見つかったのは、Linuxという基本ソフト上で動く「bash」と呼ばれるプログラムで、インターネットのホームページを表示するサーバーで広く利用されています。
このプログラムについて25日、外部からコンピューターを勝手に操作されかねない重大な欠陥があることが明らかになりました。
この欠陥を悪用されると、サーバーに保管されている個人情報が流出したり、ホームページを閲覧した人のパソコンが、ウイルスに感染するよう仕組まれる危険性があるということです。
このため、セキュリティー機関のJPCERTなどは、このプログラムを利用しているサイトに欠陥が修正された最新のプログラムを早急に導入するよう呼びかけています。
JPCERTコーディネーションセンターの満永拓邦情報セキュリティアナリストは、「欠陥を悪用されると、個人情報やクレジットカードの情報を盗まれたり、ホームページが改ざんされるおそれがある。
省庁や会社など、いろいろなところで使われているプログラムなので、大きな影響があると思う」と話しています。

bashを全角文字で表記しているところから、すでにNHKの終わっている感が丸出しなんですが、文面内の「Linuxという基本ソフト上で動く「bash」と呼ばれるプログラム」という表現は「Linuxが危ない」というイメージを招きかねない誤った表記ですよね。Linuxの名称を出すなら、Mac OS Xも出さなければおかしな話。もしかして、アップルへの配慮ですか? 最悪ですね。
そもそもbashLinux専用のプログラムでは無いんですが、NHKはそれ自体わかっていません。
bash自体はWindowsでもAndroidでもiPhoneでも動くんですけども。サーバの中にはbashは入っているが、Linuxではないシステムもあります。


システム管理者に対する注意喚起なら「bash脆弱性」で十分に伝わります。伝わらないなら、システム管理者としてはそもそも失格ですし、むしろMacユーザの方への注意喚起の方が重要なはず。たぶん知らない人の方が多いでしょうから。Macユーザに被害が出たら、どうするつもりなんでしょうか。注意喚起の意味がない。


Linux」の名称を出す必要性が全く感じられませんし、数あるLinuxデストリビューションの中には今回の件では対象外のデストリもあります。万が一、関係ないデストリに風評被害が出たら、NHKはどう責任を取るのでしょうか。


少なくとも数多いUbuntuユーザを敵に回すことになるでしょうね。
今回は対象外ですから。


さて、修正報道は出るでしょうか。

 

 

 


bash脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

http://d.hatena.ne.jp/Kango/20140925/1411612246



ウェブアプリにおけるBash脆弱性の即死条件

http://d.hatena.ne.jp/nekoruri/20140926/shellshock



2014年9月26日号 14.10の開発・“shellshock”とその対応・UWN

http://gihyo.jp/admin/clip/01/ubuntu-topics/291409/26



「CVE-2014-6271」、「CVE-2014-7169」について調べてみた(Debian Wheezy)

http://labunix.hateblo.jp/entry/20140926/1411734893