平成27年(1月~12月期)工場立地動向調査結果(速報)を取りまとめました。
経済産業省は、工場を建設する目的で平成27年(1月~12月期)に1,000平方メートル以上の用地を取得した製造業、ガス業、熱供給業、電気業の事業者を対象に「工場立地動向調査」を実施し、結果を取りまとめました。
日中韓自由貿易協定(FTA)交渉の第10 回交渉会合(局長/局次長会合)が開催されます
4月5日から9日まで、韓国のソウルにおいて、日中韓自由貿易協定(FTA)交渉の第10回交渉会合(局長/局次長会合)が開催されます。
「活力あふれる『ビンテージ・ソサエティ』の実現に向けて」(研究会報告書)をとりまとめました
経済産業省は、昨年10月に「活力あふれる『ビンテージ・ソサエティ』の実現に向けた取組に係る研究会」を立ち上げ、検討を重ね、今般報告書をとりまとめました。
自動走行との連携が期待される、地図情報に関する国際規格が発行されました
交通事故の削減や渋滞緩和、環境負荷低減等の課題解決が期待される協調ITS(※)の実現普及に必要とされる地図データベースの整備や維持・更新のコスト削減に役立つ日本発の国際規格が制定されました。
東京電力株式会社の会社分割について、電気事業法に基づき認可しました
平成28年3月4日に、東京電力からありました改正電気事業法に基づく会社分割に係る申請について、このたび申請のとおり認可しました。
「沖縄の基地は本土で引き取るべき」 辺野古訴訟での県敗訴受け、各地の市民団体が声明
沖縄県の辺野古新基地建設計画をめぐり、埋め立て海域の軟弱地盤が見つかったことに伴い防衛省が申請した設計変更を承認するよう国が県に是正指示を出したのは違法だとして県が訴えた訴訟で、最高裁は9月4日、県の上告を退ける判決を […]
「砂川事件」国賠訴訟が結審 原告側は「伊達判決」の復権望む
「米軍駐留は違憲。被告は無罪」とした判決から一転、「基地内に立ち入ったデモ参加者は日米安保条約の規則に違反する」との有罪判決を受けた(その後確定)元被告人らが国を提訴した「砂川事件」の国家賠償請求訴訟が9月11日に東京地 […]
反原発、気候変動防止、再生可能エネルギー問題、みんなまとめて大集会 「ワタシのミライ」に見た希望
東日本大震災と福島原発の事故から12年半、東京・代々木公園で毎秋に行なわれてきた反原発集会が生まれ変わった。地球規模での気候災害が年々深刻な課題となる状況を踏まえ、反原発のみならず気候変動や再生可能エネルギーの問題に取 […]
ipv4only.arpa、なぜか日本から多くの名前解決要求。Cloudflareのランキングで判明
momokaのブログによると、Cloudflareの1.1.1.1を使ったドメインランキングをみていたところ、日本からIPv6・IPv4間のプロトコル変換に利用されるIPアドレスを検出する際に使われるipv4only.arpaへの名前解決が大量に行われているという。この結果、先のドメインランキングにおいて、通常は人気がないはずのipv4only.arpaドメインが、 amazon.co.jpより上位にランクインしてしまうという状況が起きているそうだ(momokaのブログ)。
同サイトによると、おそらくネットワーク機器やソフトウェアによるDNSクエリの結果起きているものではないかとしている。この現象は特に日本国内で顕著に発生しており、ipv4only.arpaへのAAAAクエリの名前解決は、DNS64(およびNAT64)がネットワークに存在するかどうかを調べるために行われている可能性がある。ただ、その原因や理由は不明とのこと。同サイトでは、この現象を引き起こしている具体的なソフトウェアやネットワーク機器を特定したいと考えている模様。
すべて読む | ITセクション | インターネット | IT |
関連ストーリー:
Cloudflare、VPNサービス「WARP」のWindowsおよびmacOS向けクライアントベータ版をリリース 2020年04月07日
世界一危ないドメイン「corp.com」、約2億円で売りに出される 2020年02月19日
CloudflareのDNS「1.1.1.1」で5ちゃんねるの名前解決が一時的にできなくなる 2019年08月13日
CloudflareのパブリックDNSサービス1.1.1.1ではarchive.isの名前解決が行えない 2019年05月08日
Cloudflare、DNSサービス「1.1.1.1」をiOSとAndroidで利用するための設定アプリを公開 2018年11月13日
日本は「死の商人」になるのか −殺傷武器の輸出に反対する共同声明
Wikipediaの『11千年紀以降』のページが話題に
はてなでWikipediaの『11千年紀以降』のページが話題になっているらしい。このページでは、西暦10001年以降の未来に関する出来事や予測についての解説がおこなわれている。ジャンルとしては天文学や素粒子物理学、進化生物学、プレートテクトニクスなどがあり、それぞれ現時点で予想されているものをベースに記載されているようだ(はてな)。
遠い未来に関するものということもあり、コメントでは人類の未来や宇宙の運命についての議論が活発におこなわれていた模様。特に、宇宙の終わりや人類の存続に関する考察に関しては多くの考察が挙がっていた。もっとも、西暦10001年以降の未来についての予測に関しては、その出来事を実際に確認することは不可能だとも指摘されている。
すべて読む | ITセクション | 地球 | 変なモノ | Wikipedia | 宇宙 | IT |
関連ストーリー:
Wikipedia公式の「不毛なWikipedia編集合戦」事例集 2023年05月11日
Wikimedia Enterprise、GoogleとInternet Archiveが最初の顧客 2022年06月26日
検閲・監視・アクセス制限、Internet Archive が考えるディストピアな未来のインターネット 2021年10月05日
Google、Web検索で見つかったサイト等の情報を検索画面で表示する機能のベータ版を提供開始 2021年02月07日
特定保健用食品の表示許可に係る答申について【10月2日付】
Microsoft Outlookの「メッセージの取り消し機能」を誤使用しメールアドレスが再流出
三重県の9月27日の発表によると、三重県立高校でメールを誤送信する問題が再発したという。最初の問題は、同校が9月19日に高校生活入門講座に参加登録した中学生421人に対してアンケートメールを送信。その際、BCCに記載するべきアドレスを宛先部分に誤って記載したことから、メールアドレスが漏洩。同校はこの問題を公表、謝罪していた。ところが同月26日に再び誤送信が発生しまったという(三重県リリース、Security NEXT)。
2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。
すべて読む | セキュリティセクション | セキュリティ | idle | 情報漏洩 |
関連ストーリー:
数百万通の米軍宛てメールがマリのアドレスに送られていたことが覚発 2023年07月19日
管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 2022年10月28日
トレンドマイクロが感謝しまくるメールを誤送信 2022年08月01日
Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 2021年04月25日
[B] トコジラミがフランスで問題に 来年のパリ五輪への試練1
トコジラミという小型吸血昆虫がフランスで大きな問題になっています。家庭、病院、学校、老人施設、刑務所、映画館、電車などに増えていると言うのです。これがかゆみや不快感で睡眠障害などの健康障害を引き起こすと、野党「服従しないフランス」(LFI)の下院リーダーであるマチルド・パノ―議員が議会やラジオなどで訴えています。しかも、殺虫剤でも薬剤耐性を獲得するという悪循環があると言うから面倒です。
韓国民主労総来日10・6日韓連帯・争議現場統一行動へ
オンライン署名 : 「ヤマト運輸の3万人一斉首切り」を撤回して!
Windows 7/8のキーを使った10/11のアクティベートが不可能に
Microsoftは20日、Windows 7および8のライセンスキーを使用してWindows 10および11をアクティベートすることを不可能にしたと発表した。同社は2015年7月にWindows 10をリリースする際、Windows 7および8(8.1)ユーザー向けに無償アップグレードプログラムを提供してきた。このプログラムは期間限定となっており、2016年7月29日に提供が終了したが、実際にはその後も一部のユーザーが無償でアップグレードできる状態が続いており、Windows 7などのライセンスキーを使用してアクティベートすることも可能だった(Microsoft発表、PC Watch)。
しかし、今回のWindows 7および8のアクティベート停止により、このアップグレードパスは完全に終了した。ただし、Windows 10から11へのアップグレードに関しては引き続き無償で提供されている。
すべて読む | ITセクション | アップグレード | マイクロソフト | Windows |
関連ストーリー:
Microsoft、Insider PreviewからRTM版への無料アップグレードは正規Windows 7/8.1ユーザーのみに? (更新) 2015年06月23日
Windows Vista、海賊版のアクティベート方法が公表 2006年12月12日
Cloudflareを利用してCloudflareをバイパスする手法
headless 曰く、Cloudflare による保護のメカニズムを Cloudflare を用いてバイパスする手法について、発見した Certitude が解説している
(Certitude Blog の記事、
Bleeping Computer の記事)。
Cloudflare を利用して Cloudflare のバイパスが可能になる原因は、すべてのテナントが利用可能な共有インフラストラクチャーにある。攻撃が成立するにはターゲットが特定の保護の仕組みを使用していることに加え、攻撃者がターゲットの IP アドレスを知っている必要はあるものの、攻撃者は Cloudflare でカスタムドメインを作成して DNS A レコードでターゲットの IP アドレスを指定するだけでいい。あとはすべての保護を無効化したカスタムドメインを通じて攻撃を実行すれば、ターゲットのオリジンサーバーを攻撃できる。
攻撃が可能になる問題を含む保護機能としては、トランスポート層の「Authenticated Origin Pulls」とネットワーク層の「Allowlist Cloudflare IP addresses」が挙げられている。前者は「非常にセキュア」と区分されているが、証明書のオプションで Cloudflare の証明書を選択すると攻撃が可能になる。顧客が自前で用意したカスタム証明書を使用することで攻撃は回避できるが、使用は API で設定する必要があり、多くの顧客が Cloudflare の証明書を選択していると考えられるとのこと。
「中程度にセキュア」と区分される後者の場合、Cloudflare の IP アドレス範囲からの接続のみをオリジンサーバーが許可することによる保護機能だ。そのため、Cloudflare を利用した接続はすべて許可されてしまう。攻撃は Cloudflare Aegis を使用すれば回避できるが、すべての顧客が利用できるわけではない。
Certitude は HackerOne 報奨金プログラムを通じて報告したが、Cloudflare が報告を緊急の対応を必要としない「参考になる (Informative)」と区分してバグをクローズしたため、一般公開することにしたという。Cloudflare に対しては、これらの攻撃から保護する仕組みの導入を推奨している。
すべて読む | ITセクション | セキュリティ | クラウド | バグ | 変なモノ |
関連ストーリー:
Cloudflare、生成型AIへの機密情報漏洩を未然に防ぐサービス 2023年05月26日
Microsoft Edge の組み込み VPN 機能、通信量が 5GB に増量されたとの報告 2023年05月26日
オーストリアの裁判所、Cloudflare の IP アドレスをブロックするよう ISP に命ずる 2022年08月31日
Twilio、フィッシングで奪われた従業員の認証情報による不正アクセスで顧客の情報が漏洩 2022年08月11日
x86 CPUに新たなサイドチャネル脆弱性「Hertzbleed」が見つかる。リモートでも攻撃可能 2022年06月16日
Cloudflareを利用してCloudflareをバイパスする手法
headless 曰く、Cloudflare による保護のメカニズムを Cloudflare を用いてバイパスする手法について、発見した Certitude が解説している
(Certitude Blog の記事、
Bleeping Computer の記事)。
Cloudflare を利用して Cloudflare のバイパスが可能になる原因は、すべてのテナントが利用可能な共有インフラストラクチャーにある。攻撃が成立するにはターゲットが特定の保護の仕組みを使用していることに加え、攻撃者がターゲットの IP アドレスを知っている必要はあるものの、攻撃者は Cloudflare でカスタムドメインを作成して DNS A レコードでターゲットの IP アドレスを指定するだけでいい。あとはすべての保護を無効化したカスタムドメインを通じて攻撃を実行すれば、ターゲットのオリジンサーバーを攻撃できる。
攻撃が可能になる問題を含む保護機能としては、トランスポート層の「Authenticated Origin Pulls」とネットワーク層の「Allowlist Cloudflare IP addresses」が挙げられている。前者は「非常にセキュア」と区分されているが、証明書のオプションで Cloudflare の証明書を選択すると攻撃が可能になる。顧客が自前で用意したカスタム証明書を使用することで攻撃は回避できるが、使用は API で設定する必要があり、多くの顧客が Cloudflare の証明書を選択していると考えられるとのこと。
「中程度にセキュア」と区分される後者の場合、Cloudflare の IP アドレス範囲からの接続のみをオリジンサーバーが許可することによる保護機能だ。そのため、Cloudflare を利用した接続はすべて許可されてしまう。攻撃は Cloudflare Aegis を使用すれば回避できるが、すべての顧客が利用できるわけではない。
Certitude は HackerOne 報奨金プログラムを通じて報告したが、Cloudflare が報告を緊急の対応を必要としない「参考になる (Informative)」と区分してバグをクローズしたため、一般公開することにしたという。Cloudflare に対しては、これらの攻撃から保護する仕組みの導入を推奨している。
すべて読む | ITセクション | セキュリティ | クラウド | バグ | 変なモノ |
関連ストーリー:
Cloudflare、生成型AIへの機密情報漏洩を未然に防ぐサービス 2023年05月26日
Microsoft Edge の組み込み VPN 機能、通信量が 5GB に増量されたとの報告 2023年05月26日
オーストリアの裁判所、Cloudflare の IP アドレスをブロックするよう ISP に命ずる 2022年08月31日
Twilio、フィッシングで奪われた従業員の認証情報による不正アクセスで顧客の情報が漏洩 2022年08月11日
x86 CPUに新たなサイドチャネル脆弱性「Hertzbleed」が見つかる。リモートでも攻撃可能 2022年06月16日
鈴木総務大臣閣議後記者会見の概要
鈴木総務大臣閣議後記者会見の概要