YANO's digital garage

Linuxカーネルに管理者権限を取得される恐れがある脆弱性「Dirty COW」発覚。

Dirty COWより

なんと「11年前に修正を試みたがうまくいかなかった」という長い歴史があるセキュリティホールらしく、影響を受けるKernelのバージョンが2.6.22以降とこちらも幅広いのがなんとも深刻だ。

ソフトバンク・テクノロジーの調査でも実際に「Debian 7.8 + Kernel 3.2.0-4-amd64」の環境で権限昇格に成功している。手元のUbuntu 14.04 LTS (Trusty Tahr)もリスクがあったが、CVE-2016-5195 in Ubuntuにあるとおり、3.13.0-100.147で改修されたのが確認できた。

なお、２週間前に書いたボットネット「Mirai」だが、感染したIoT機器が急増し、DNSへの大規模DDoS攻撃が発生し、TwitterやSpotifyがダウンした。

今週になり防犯カメラが踏み台とわかり中国メーカーがリコール表明、関与のIPアドレスは数千万規模というので、モノのインターネットを取り巻く環境は思った以上の速さで急激に悪化しているようだ。

【参照】
●ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
┣セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも 2016年9月26日
┣サイバー攻撃者に乗っ取られやすいIoT機器、パスワードのトップ10は？ 2016年9月27日
┣史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用 2016年10月4日
┣大規模DDoS攻撃横行の恐れ、IoTマルウェア「Mirai」のソースコード公開で米機関が注意喚起 2016年10月17日
┣マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現 2016年10月20日
┣米DNSサービスに大規模DDoS攻撃で米国でTwitterやSpotifyが長時間ダウン 2016年10月22日
┣Linuxカーネルに脆弱性「Dirty COW」発覚、管理者権限を取得される恐れ 2016年10月24日
┣大規模DDoS攻撃は防犯カメラが踏み台に、中国メーカーがリコール表明 2016年10月25日
┣DNSへの大規模DDoS攻撃、関与のIPアドレスは数千万と判明 2016年10月26日
┗日本型セキュリティの現実と理想：第34回　IoTセキュリティが日本の国家戦略の要になる理由 2016年10月27日
●ソフトバンク・テクノロジー https://www.softbanktech.jp/
┗Linux カーネルの脆弱性により、権限昇格が行える脆弱性（CVE-2016-5195）に関する調査レポート 2016年10月25日
●JVNVU https://jvn.jp/
┗JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性 2016年10月24日
●CERT Vulnerability Notes https://www.kb.cert.org/vuls/
┗VU#243144 - Linux kernel memory subsystem copy on write mechanism contains a race condition vulnerability 2016年10月21日
●linux CVEs in Ubuntu https://people.canonical.com/~ubuntu-security/cve/main.html
┗CVE-2016-5195 in Ubuntu
●Wikipedia http://ja.wikipedia.org/wiki/
┣ボットネット
┗モノのインターネット

RedStone1が降ってきた X201s。

C:\Windows\System32\bash.exe

スタートメニューに！

３月の発表以来、楽しみにしていた「Bash on Ubuntu on Windows」(BoW)ことWindows Subsystem for Linuxの事を忘れてたので、入れてみた。

まず「Windowsを開発者モードに変更」し、「PowerShellでMicrosoft-Windows-Subsystem-Linuxを有効」にする。一旦再起動した後、bash.exeを起動し、Windows Subsystem for Linuxをインストールする流れになるそうだ。

今回は時間的にここで終了したが、LinuxのELF64バイナリがそのままWindows上で実行できる時代が来るとは感慨深いねぇ…

【参照】
●＠IT http://www.atmarkit.co.jp/
┣Tech TIPS：Windows 10のLinux／Ubuntu互換環境でbashを使う 2016年8月8日
┗Tech TIPS：Windows 10のBash on Ubuntu on Windows環境を初期化／再インストールする 2016年10月5日
●Build Insider http://www.buildinsider.net/
┗Bash on Ubuntu on Windowsとは？ そのインストールと使い方 2016年8月23日
●Engadget Japanese http://japanese.engadget.com/
┣Windows 10がBashに公式ネイティブ対応。マイクロソフトとカノニカルが協力、Ubuntu Linuxのコマンドラインツールがそのまま動作 2016年3月30日
┗次のWindows 10大型更新は8月2日に決定。Anniversary Updateでコルタナ・Edge・ペン・ゲームetcが進化 2016年6月29日
●MSDN Blogs https://blogs.msdn.microsoft.com/
┣Windows Subsystem for Linux Overview 2016年4月22日
┣Learn more about Bash on Ubuntu on Windows and the Windows Subsystem for Linux 2016年6月2日
┗Bash on Ubuntu on Windows 10 Anniversary Update 2016年7月8日
●Wikipedia https://ja.wikipedia.org/wiki/
┣Ubuntu
┣Bash
┗Windows Subsystem for Linux

9月30日にANAの羽田行き256便が定員オーバーのまま出発、離陸直前に発覚した事案。

ANA国内線の搭乗スタイル「スキップサービス」より

異なる予約バーコードを取得していた親子のうち、子が誤って父親のバーコードをスマートフォンにダウンロード。

という「ありがちな間違い」が発端だったそうだが、保安検査場と搭乗口の2カ所で「重複」が検出されたにも関わらず、係員が「誤って2度かざした」と判断した為に最終的に搭乗できたという事だ。今回は使用されなかった分が「空席待ち」の客に割り当てられ、定員オーバーとなった結果発覚したが、空席に座ってしまえば誰も気づかなかった可能性が高い。

って事は、他人のQRコードを入手し、本人より先に関所を通過した後、適当に空席を見つければタダ乗りできちゃう事になるので、LINEアカウントで搭乗手続きする方がセキュアなのかもな。

公共交通機関のチケットレスというと新幹線のEX-ICサービスもあるがこちらは１列車につき１人しか予約ができない仕組みなので、事案のような取り違えは起こらない代わりに家族の分を一括で予約できない不便さがあるので、やっぱり利便性とリスクは表裏一体なんだと再確認。

まぁ、悪意のないミスによるレアケースとはいえ、結果的に２箇所の関所が"なりすまし"で通過できたという結果は深刻に受け止める必要があるかもね…と思っていたのだが、国交省調査で乗客数不一致(定員オーバーに限らず)だった事象が過去5年で236件あったらしく、ざっくり週１ペースで起こっている事がわかった。

レアケースじゃなくて、意外と頻繁に起こってるんじゃね？

ANA、2007年中に国内線航空券をeチケットに全面移行からまもなく10年。2008年2月に書いたSkipサービスにスキップされる逆向きの事象も思い出したが、これも現状どうなっているのか気になる。

大勢の命を預かる航空会社としてはちょっと遅い気もするが、まだ「遅きに失する」という事は無い。大至急各社のヒヤリハットを全て棚卸しして、見直すべきところは見直して下さいな。

【参照】
●ITmedia ニュース http://www.itmedia.co.jp/news/
┣JALに「タッチ＆ゴー」で搭乗可能に～FeliCa携帯も対応 2004年8月5日
┣ANA、年内に紙の航空券を廃止、FeliCa＆QRコードに全面移行 2007年7月10日
┣ANA、2007年中に国内線航空券をeチケットに全面移行 2007年8月31日
┣LINEで搭乗手続き　トーク画面をかざすだけ　北海道の航空会社がスタート 2016年10月7日
┣ANA、定員オーバーのまま出発　離陸直前に“立ち乗り”で発覚　国交省が厳重注意 2016年10月11日
┗航空機の乗客数不一致、過去5年で236件　ANAのトラブル受け、国交省が調査 2016年10月25日
●坂本康宏のWriter's Diary http://blog.livedoor.jp/crescent_face1984/
┗Skipサービスにスキップされる 2008年2月1日
●国土交通省 http://www.mlit.go.jp/
┗本年9月30日に福岡空港で発生したANA便の事案に関する航空局の対応について 2016年10月25日
●Wikipedia https://ja.wikipedia.org/wiki/
┣全日本空輸
┣SKiPサービス
┗エクスプレス予約 >> EX-ICサービス

9月に発表された『iPhone 7』と『iPhone 7 Plus』のウリであるApple Payのsuica対応。

ITmedia記事より

今日未明にリリースされたiOS 10.1アップデートでApple Payが日本でもスタートしたそうだ。

朝5時半に早速使ってみた感想が掲載されていて驚いたが、注目の「モバイルSuica」は朝から通常の10倍のアクセスにより障害発生した模様。

昼過ぎには復旧したそうだが、対応に当たった諸氏はご愁傷さまだ。

しかし、やっぱりsugocaは移行できないのかなぁ…

【参照】
●ITmedia News http://www.itmedia.co.jp/news/
┣「iPhoneでSuica」、利用できない機能も　JR東がQ＆A公開 2016年10月12日
┣Apple Pay利用可能店舗で「Apple Pay」対応掲示開始 2016年10月24日
┣「Apple Payを使う前におぼえておきたい5つのポイント&おすすめカードの選び方」（暮らしの達人）が公開 2016年10月24日
┣iPhone 7 Plusにボケがきた　iOS 10.1アップデートでApple Pay、Suica対応も 2016年10月25日
┣Apple Pay日本で開始：「iPhoneでSuica」きょうスタートも、アクセス集中で登録しづらい状態に　モバイルSuicaにも影響 2016年10月25日
┣私鉄沿線住みで電子マネー未経験のiPhone 7 PlusユーザーがApple PayとモバイルSuicaを使ってみた 2016年10月25日
┗「モバイルSuica」障害、約3時間半で復旧　「通常の10倍のアクセス」　Apple PayのSuica対応が影響か 2016年10月25日
●ITmedia Mobile http://www.itmedia.co.jp/mobile/
┣PASMOの相互利用は？　モバイルSuicaとの違いは？――Apple Pay Suicaの疑問 2016年9月9日
┣クレカ、Suica、FeliCa――「Apple Pay」日本上陸前に知っておきたいこと 2016年9月15日
┣国内対応した「Apple Pay」　早速使ってみた感想と気になる点 2016年10月25日
┗「iOS 10.1」リリースで「Apple Pay」対応、iPhone 7 Plusの「ポートレートカメラ」も 2016年10月25日
●ITmedia PCuser http://www.itmedia.co.jp/pcuser/
┣林信行の現地リポート：ついにiPhoneでSuicaが利用可能に――AppleとJR東日本が協力して生み出したSuicaの新しい姿 2016年9月8日
┗見た目では分からない大きな変化：林信行が読み解く「2つのiPhone」と「Apple Pay」 2014年9月16日
●Engadget Japanese http://japanese.engadget.com/
┣アップル iPhone 7 / Plus 速報まとめ：Suica対応や防水防塵、カメラ大幅強化。ほか新Apple Watch、左右独立イヤホンAirPod、マリオ新作も 2016年9月7日
┣iPhone7のタッチ操作はコツがある？ Apple Payとおサイフケータイの付き合い方を考えてみた 2016年9月11日
┣日本のiPhone7でVISAが使えないワケ。iPhoneのApple Pay国内対応で事前に知っておきたいこと：モバイル決済最前線 2016年9月26日
┣iOS 10.1配信開始。Apple Pay対応、7 Plusのデュアルカメラでボケ味写真「ポートレートカメラ」も実装 2016年10月25日
┣Apple Pay提供開始！iPhone 7に手持ちのSuicaカードを登録する方法 2016年10月25日
┣iPhone 7ならSuica改札もピッ、「Apple Pay」ついに開始──iPhone 6以降にも対応 2016年10月25日
┗復旧：Apple Payに障害発生中、iPhoneにSuicaを転送できない症状 2016年10月25日
●情報科学屋さんを目指す人のメモ http://did2memo.net/
┣iPhone 7でのSuica初期設定の注意点（WalletアプリとSuicaアプリのどちらを使って初期設定すれば良いのか） 2016年10月25日
┗Apple PayでのSuica登録・利用関連のエラー・トラブル・不具合情報まとめ（2016年10月25日更新・追加中） 2016年10月25日
●Apple（日本） http://www.apple.com/jp/
┗Apple Pay
●Wikipedia https://ja.wikipedia.org/wiki/
┣GSMアソシエーション
┣近距離無線通信
┣FeliCa
┣Apple Pay
┗iPhone

20日にポチッたThinkPad T460s。

出荷案内メールより

23日に中国国内の工場から出荷された模様。「納品予定日」は10月31日。

カスタマイズ構成後の「最短お届け予定日」は11月11日頃だったので、だいぶ早くなった形。もしかして米沢モデルよりも早かったりして。

値下り気配が収束してきた増設用メモリについては、GB単価でほぼ同等の8GBと16GBどっちにするかでずっと悩んでいたのだが、下がる余地より上がるリスクの方が大きいと判断し、DDR4 DIMM D4N2400CM-16Gを7,822円で調達。

【参照】
●CPU Benchmark Charts http://www.cpubenchmark.net/
┗Core i5-6200U 4037
●Intel Ark http://ark.intel.com/ja/
┗Intel Core i5-6200U
●PC Watch http://pc.watch.impress.co.jp/
┣【笠原一輝のユビキタス情報局】カバンの中で熱くならない秘密兵器を内蔵した「ThinkPad T460s」 ～初代X1 Carbon並みの薄さ軽さを実現し、分解も容易に 2016年1月19日
┗レノボ、今後のThinkPadは14型モバイルにも注力 2016年1月19日
●ITmedia PC USER http://www.itmedia.co.jp/pcuser/
┣2016年PC／タブレット春モデル：全機種「第6世代Core i」採用でリフレッシュ――「ThinkPad T460s」「ThinkPad X260」「ThinkPad L460／560」 2016年1月19日
┗ザ・ThinkPad：ビジネスモバイルの決定版となりうる王道モデル「ThinkPad T460s」の実力に迫る 2016年3月29日
●ThinkPad T460sのレビュー http://t460s.degipic.com/
┣ThinkPad T460sの構成内容と特徴まとめ
┣ThinkPad T460s は初代X1 Carbon並の薄さ・軽さを実現！　T460sレビュー
┣薄型でも分解・組立は簡単！ ThinkPad T460s
┗ThinkPad T460sに米沢生産モデルが登場！　米沢生産のメリットは？
●ThinkPad X1 Yoga はじめて日記 http://thinkpad-x1yoga.hatenablog.com/
┣ThinkPad T460s販売開始、オンボードメモリー8GB、WiGig対応あり！ 2016年2月19日
┗ThinkPad T460sにCPUがi5、オンボードメモリー8GBのモデルがあった 2016年3月7日
●Lenovo Japan http://www.lenovo.com/jp/ja/
┗ThinkPad T460s
●CFD販売株式会社 http://www.cfd.co.jp/
┗D4N2400CM-16G：Crucial スタンダードモデル DDR4-2400 ノート用メモリ 260pin SO-DIMM 16GB
●価格.com http://kakaku.com/
┣crucial D4N2400CM-8G [SODIMM DDR4 PC4-19200 8GB]
┗crucial D4N2400CM-16G [SODIMM DDR4 PC4-19200 16GB]
●自作パソコン・PC/パソコンとPCパーツの専門店【TSUKUMO】 http://shop.tsukumo.co.jp/
┣DDR4 DIMM D4N2400CM-8G 4,043円
┗DDR4 DIMM D4N2400CM-16G 7,822円