JAFの「Tax on Tax主張」は早々に引っ込めたほうが…

最近のガソリンなど燃料の高騰が続いてます。
そもそもの原因は原油の先物価格の高騰であるのは仕方ないとして、JAFその他で訴え続けている揮発油税・地方揮発油税に上乗せされた「当分の間税率」および消費税(税金に税金をかける状況)の問題を解決しろというもの。

JAFニュースリリース
今こそ、ガソリン価格を抑えるために「当分の間税率の廃止」および「Tax on Taxの解消」を！
https://jaf.or.jp/common/news/2022/20220207-002

現在の揮発油税+地方揮発油税の合計は1リッターあたり53.8円。

暫定税率については、是正が必要と思うけど揮発油税と消費税は課税対象が違うので、違法ではないような気がします。
※揮発油税は製造者・販売者に課税、消費税は消費者(顧客)に課税。
参考：揮発油価格高騰時における揮発油税及び地方揮発油税の特例税率の適用停止等について(平23/4 国税庁)
https://www.nta.go.jp/publication/pamph/kansetsu/9120.pdf

もっとも、販売事業者への課税である揮発油税は、販売価格へ転嫁されるので実質的に消費者が支払っているようなイメージを持つのかもしれませんが…

この当分の間税率が緊急事態となり、運用停止される場合には揮発油税法および地方揮発油税法本則の税率が適用されるので、リッターあたり28.7円となるので、単純に約25円引き下げられることになります。

ただし、トリガー条項の価格設定が先物価格が昨年末の1.5倍にまで跳ね上がった原油価格に応じられるとは到底思えないので、160円ラインおよび解除基準価格(130円台3ヶ月)は見直す必要がありそうです。
※さらにこの下げ幅がそのまま販売価格へ転嫁されるとは限らない

ただ、税の話だけをすればJAFのTax on Taxって話は完全に的外れなものになっています。2009年以降揮発油税は一般財源化(地方揮発油税は地方自治体の財源)されていますので、税率引き下げは社会サービスへの影響もあるということを考慮しなくてはなりません。

まぁ当分の間税率引き下げ→販売価格低下→経済活性化→別の税収増加となればいいんですが、そう簡単に経済が活性化するとも思えない空気が漂っているのが…

とはいえ、前述の通り揮発油税は製造者・販売者に課税、消費税は消費者(顧客)に課税なんです。JAFの主張は、要約するとガソリン製造にかかるコストにかかる税金は払わん、原材料に直接書かかる消費税しか払わないってネット掲示板で時々見かけるラーメン屋で原価しか払わんって言ってるの同じ意味の主張です。

JAFはとりあえずこの税金の仕組みを理解していない恥ずかしい主張は早々に引っ込めたほうが良い気がします。

PS3およびPS Vista、Playstation Storeでのアプリ販売継続へ

3月30日にPlay Station Storeについてのリリースがユーザーへメールで配信された。

お客様にご理解いただきたいこと
以下は一部抜粋

ソニー・インタラクティブエンタテインメントは、PlayStation 3およびPlayStation Vitaでのコンテンツの新規購入を以下の日程で終了いたします。 ・PlayStation 3：2021年7月2日 ・PlayStation Vita：2021年8月27日 また、PSP（PlayStation Portable）で現在一部ご利用いただける購入機能につきましても、2021年7月2日をもちまして終了いたします。

サポートは終了したとはいえ、未だにPlaystation3/Playstation Vita/Playstation Portable各機器のユーザーは多く、購入不可能となれば中古のメディア以外にゲームを入手する手段がなくなるという意味合いのメールに多くの反響があったと思われる。

そして、約一ヶ月後にCEOジム・ライアンからPS blogに以下の投稿が行われた。
PS3®およびPS VitaのPS Storeサービス継続のお知らせ


やはり、いくらサポート終了となったとはいえクラシックコンテンツが一切入手不能になるというのは、長年プレイしてきたユーザーにとってもたまらない物があったと思われる。
CEOが確約をしたので、一旦安泰と言えよう。

個人的にはPSPもその中に入れてほしかったのだが、UMDでの供給がメインとなっていたのでネット販売がそこまで普及していなかったのもあるのだろうか。

ここ数日で見えてきたCOCOAのバグ問題の実態

コロナウイルス感染に関する接触検知アプリ、COCOAのバグが4ヶ月放置されてきた問題について… 発注側である 厚生労働省と受注側(1次請け、二次請け、孫請け含む)間のコミュニケーション不足と本番環境でのテスト未実施という杜撰な形で進んでいたのだからだいぶお粗末。 しかも一次請けであるパーソルの中抜きひどすぎ(笑) 起こるべくして起こったCOCOA「4カ月間バグ放置」、受け入れテストのずさんな実態(日経XTECH) ※全文読むには会員登録(無料)必要です。 プログラム的観点から解説したのはこちらから。 COCOA騒動メモ なかなか面白いネタなので時間かけて読んでいこう… さらに資料… transmission_risk_levelの値について #14 要はCOCOAとはOSが提供したUIを叩くだけのプログラムだが、実機による動作確認が不十分だったということのようだ。 実機によるテストを十分洗い出せたと思うのだけど、お互いがやってくれてるだろうという思い込みのもとにリリースしちゃったという、あるあるネタだったな。

台風10号関連リンク(主に鹿児島県関連)

自分の覚え書きを兼ねた台風関連のリンクです。

気象情報

・気象庁台風情報
http://www.jma.go.jp/jp/typh/2010.html
・国土交通省　雨雲レーダー＆降雨状況
https://www.jma.go.jp/jp/realtimerad/index.html
・国土交通省　Xバンド雨雲レーダー
http://www.river.go.jp/x/krd0107010.php
・国土交通省　河川・降雨情報
http://www.river.go.jp/
・鹿児島県河川砂防情報システム
http://www3.doboku-bousai.pref.kagoshima.jp/bousai/jsp/index.jsp
※各河川の水位はここで確認できます
・Windy
https://www.windy.com/?31.824,131.295,8,m:ex5ajM3
※大まかな風の流れの現況と今後の予測を見ることができます。(右下のグラフを何回かクリックして単位をm/sにすると見やすいです)

九州電力停電情報

・九州電力 https://www.kyuden.co.jp/td_teiden_map/index.php

交通情報(高速道路・バス・船・鉄道等)

・九州のりもの.com　http://www.norimono-info.com/
フェリーや高速バス等の運行はここで確認できます。
・日本道路交通情報センター　http://www.jartic.or.jp/
・JR九州　運行情報　http://www.jrkyushu.co.jp/trains/unkou.jsp
・鹿児島県道路通行規制情報　http://www2.pref.kagoshima.jp/dourokisei/index.html

各航空会社の運航状況

・全日空　http://fli.ana.co.jp/fs/domjpmenu
・日本航空　https://www.jal.co.jp/cms/other/ja/weather_info_dom.html
*日本エアコミューター含む
・スカイマーク http://www.res.skymark.co.jp/mercury/fis/flight_announce_i18n
・ソラシドエア https://www.skynetasia.co.jp/prospect/
・ピーチアビエーション http://www.flypeach.com/jp/flightStatus.aspx
・ジェットスター http://booknow.jetstar.com/FlifoSearch.aspx

Zenfone5ZへのAndroid 10 配信開始(12/20追記あり)

11月27日にASUSの2018年フラグシップモデル Zenfone5ZへAndroid 10の配信が開始された。まずは海外版(WW版)からOTA配信が始まっており、1～2週間以内に全機に配信されるだろうとアナウンスされた。

ASUSリリースノート
https://www.asus.com/zentalk/thread-296102-1-1.html

今回のファームウエアで変更されたのは以下の部分
・以下の機能が削除される
ページメーカー
ZeniMoji
自撮りマスター
美人エフェクトLive
キッズモード
かんたんモード
天気アニメ設定
AI充電
WebStorage
Go2Pay
Report Location in Safeguard
ファイルマネージャーのクラウドメニューのYandex

急ぎで試してみたい場合には、以下のリンクからWW版のダウンロードは可能。
※JP版で導入する場合は、ファイル名書き換えでOKだが、アプリや本体動作が安定する保証はないので、自己責任で。一般的ユーザーならJP版配信を待つのが望ましい。

(参考)Zenfone5Zを購入、(ちょっと強引に)Android 9に更新してみた https://fjvsgarage.blogspot.com/2019/03/zenfone5zandroid9.html

アップデート後のビルド番号はWW_100.04.44.09_20191115となる
*日本版にファイル名変更でインストールすることも可能。
その場合のビルド番号はWWのままとなる。

Antutuベンチマークを実行した結果は以下のとおり。

11月上旬のAndroid 9のアップデートで、かなりのチューニングが施されている(発売当初は29万→34万に上昇)ので、35万超のスコアに驚きは少ないがゲームを含めた通常の利用には申し分ないといえる。

なお、サードパーティのアプリが全て10に対応してるか保証がないので、アップデートは慎重に。

ダウンロードリンク付き記事は以下から。
https://gadgetstwist.com/asus-zenfone-5z-android-10-update/

2019/12/20追記:
ASUS公式サイトでも12/18以降JP版の提供も始まった。
WW版 (WW-100.04.44.98)
JP版 (JP-100.04.44.108)


注意点として、アプリの動作不具合等によりAndroid 9に書き戻すことも可能だが、その際には本体内のデータは消去されるので、事前にバックアップを取っておくことが必要。

2020年5月から新幹線輪行が有料化?

先日JR東海・西・九州三社よりアナウンスされた特大荷物(3辺合計160Cm超250Cm未満)持ち込み有料化の件。

・JR東海の案内Web
・各社連名のリリース(PDF)

・特定の指定席取得必須
・指定席取らずに持ち込んだら1000円

自転車の輪行では、ほぼこれに該当することになるので由々しき事態。
自分はオーストリッチのロード220を使っているけど、サイズは1070×830×200ということで合計2100、見事に有料化対象。

(画像はアマゾンにリンク貼ってます)

そして疑問に思った点

(1)自由席ではどうなの?全員その場で1000円払うの?

(2)そもそも九州新幹線にはALL自由席のつばめがいるんだけど…

(3)1両に4席(さくら・みずほで一編成指定席20席)しかない特大対応席、すごい争奪戦にならない?
旅行会社に組織的に押さえられたら、一般乗客絶望的なんだけど。

というのを自分がおそらく最も利用するであろうJR九州に投げてみた。
数日経って返信が来た内容をざっくりまとめると…

有料化のアナウンスしたものの、細かいことは
まだ決まってないので決めたら来年5月までにアナウンスするね。

でした…＿|￣|○

元々、輪行ではこの席(座席後ろにスペースができる席)を利用していたと思うけど、特大荷物持ち込み有料化の影響で、定番席を利用できるチャンスが激減すること必至と思うと気が重い…
ちなみに、JR東日本は現時点では制度を導入するつもりはないそうで。


なお、このオーストリッチの輪行袋ロード220、エンド金具付属、タイヤ用の中仕切りあってなかなか良いです。もう一つ上のクラスのロード320と悩みましたが畳んだときのコンパクトさで軍配が上がりました。
[PR]
OSTRICH(オーストリッチ) 輪行袋 [ロード220] ロイヤルブルー リア用エンド金具付属 36782

Windows UpdateによりExcel2010が起動不能になる不具合と修正手順について

2019年1月2日にリリースされたExcel2010用の更新プログラム(新元号対応プログラム)について、起動不能になったり、入力中にExcelがクラッシュするなどの不具合が多発した模様。




関連記事
年始早々システムトラブル　その①『札幌市役所でシステム障害 住民票などの発行できず』とNHKニュース／その②『Excel2010 の更新プログラム KB4461627 を適用するとExcelが異常終了するようになる』との報告も (Togetter)

これを受けてマイクロソフトでも検証確認した結果、当該のパッチKB4461627とOffice2010用のKB4032217、KB4032225、KB4461616のパッチを公開中止した。

それぞれのパッチにおけるアンインストール手順の内容は以下に記載。

(1)Windowsキーを押しながらRを押して、ファイル名を指定して実行を開き、名前に appwiz.cpl を入力してOKを押す。 (2)プログラムのアンインストールまたは変更が表示されたら、左上の「インストールされた更新プログラムを表示」を選択。 (3)表示された一覧から、KB4461627、KB4032217、KB4032225、KB4461616をそれぞれ探して右クリックでアンインストールを選択して削除する。 ※アンインストールは各個に行う(まとめて削除はできない)。

参考：
Excel2010用削除対象と削除手順
KB4461627

Office2010用削除対象と削除手順
KB4032217
KB4032225
KB4461616

なお、Office2010のライフサイクルでは2020年10月13日でサポート終了となっており、そろそろOffice365や2016/2019への更新を検討する時期が近づいている。

Office2010ののサポート ライフサイクル

Windows7に至っては2019年度内に発生する問題(2020年1月にサポート終了)のため、合わせて更新の準備をしてもいいだろう。
以下はAmazonのリンクです。

Microsoft Office Personal 2016 (最新 永続版)|カード版|Windows|PC2台
Microsoft Office Home and Business 2016 (最新 永続版)|カード版|Windows|PC2台
Microsoft Office 365 Solo (最新 1年版)|オンラインコード版|Win/Mac/iPad|インストール台数無制限
*Office365は1年のみ利用可能なライセンスなので、ライセンス更新が必要です。

Microsoft Windows 10 Home April 2018 Update適用 32bit/64bit 日本語版【最新】|オンラインコード版
Microsoft Windows 10 Pro April 2018 Update適用 32bit/64bit 日本語版【最新】|オンラインコード版

毎日更新を続けてきた100SHIKIついに更新終了

2000年からほぼ毎日のように新しいWebサービスを紹介し続けてきた100SHIKIが8月末で更新終了となった模様。

2000年から日替わりでドットコムを紹介しつづけた『100SHIKI』
https://www.100shiki.com/archives/2018/08/100shikicom.html

かくいう自分もネット成長期だった2000年台前半は小ネタ拾いにかなりお世話になった。
ご苦労様でした。

2019年2月以降DNSの動作が変わるらしい

今後DNS関係のエンジニアは忙しくなりそうである。

DNSにはEDNSという拡張機能があるが、このEDNSの実装が正しくないサーバーや機器も存在する。これまでは不具合があっても名前解決できるように対策が施されてきたが、そのために本来の動作に支障をきたすため、2019年2月以降回避策は削除するというアナウンスが行われた。

正しい実装を行っていないDNSサーバーや機器(ソフトウエア)は来年2月1日("DNS flag day"と名付けられたらしい)以降、名前解決ができない(通信ができなくなる)恐れがある。

◆参考資料◆

注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります (JPNIC BLOG) 「DNS flag dayについて(速報版)」 (Internet Week ショーケース in 広島) *PDFファイルです

サーバー管理者は以下のURLから自DNSのEDNSの実装が正しいか確認が取れる(ALL OKと出れば問題ない)。もし問題がある場合には、結果画面のをもとに解決策を取る必要がある。
EDNS Compliance Tester(ISC)
https://ednscomp.isc.org/ednscomp

ネット時代の写真に関する法律とマナーを学ぶ良書

インターネットが身の回りのデバイスになって大分なるが、ネットにアップする写真に関するマナーや法律に関する事を正しく理解している人がどの程度いるだろうか?

Instagramなどの写真投稿ありきのSNSのほか、TwitterやFacebook、Lineなど写真のアップロード～公開の機会は無数にあるはずだ。

昔のように、カメラで撮影した画像をスキャナでPCに取り込んで、加工してネットにアップというのが、スマホやタブレットでごく簡単にその場でできるようになり、噴出してきたのは撮影対象のプライバシーや著作権、肖像権などの権利にまつわる問題や撮り鉄による敷地侵入や破壊行為などに代表される撮影者のマナー問題である。

これら、法律とあるべきマナーなどを具体的に解説した特集が、アサヒカメラの2017年2月・3月号の2号にわたり掲載されたが大きな反響を呼びまたたく間に売り切れてしまった。
この特集を1冊の本にまとめた写真好きのための法律マナー (アサヒオリジナル)(1,296円)が3月19日に発売になった。

写真好きのための法律マナー (アサヒオリジナル)
*リンクはAmazonの商品詳細ページ

この中では、写真撮影の際によく問題となる肖像権や著作権などの法律的問題から撮影者のマナー、そして人物撮影に関連する(盗撮)冤罪からの防衛方法、果ては第三者による写真の無断使用と戦う方法、撮り鉄問題など写真にまつわる問題を多岐に取り上げた良書と言える。

写真撮影を趣味とする人だけでなく、インスタ映えを目指して写真を撮る人などにもぜひ一読してもらいたい。Kindle版も出ている(書籍版より200円安い)ようなので、端末に常備しておいてもいいだろう。

80年代ナムコのゲームサウンド集CDが発売

かつてアルファレコードやサイトロンレーベル(ポニーキャニオン)などがビデオ・ゲーム・ミュージックをレコード(後にカセットやCDなど)にして大量に出していた時期があったが、音楽の提供方法やホビーの主流がアーケードからコンシューマーやモバイルベース、またアトラクション型などに変わっていって、今では格闘もの以外、テーブルやアップライト台はほぼ見なくなっていた。
80年～90年代前半はアーケードゲーム(当時はビデオゲームと言っていた)の黄金期とも言える。

80年代のナムコのビデオゲームサウンドを集めたナムコサウンドミュージアム from X68000が2月22日にいよいよ発売となった(自分は予約済)。
※一部店舗では先行発売済


※リンク先はAmazonの詳細ページへ

この手のサウンド集にしては、ちょっと値段が高い(8000円弱)なと思ったら、収録内容がすごかった。

制作会社(SWEEP RECORD.comの紹介ページ)
※楽曲リストはここから確認できる。

パックマンやゼビウスなど有名なタイトルからリブルラブル、スターラスターなど、8ビットCPUとPSG音源やFM音源の繰りだす40代感涙サウンドをX68000というPCで再現した楽曲がCD6枚合計415トラックのボリュームでがっつり収録してあった。
※Amazonのサイトには簡単にしか書いてない…w

今時の人だとシャープは発売していたX68000というのを知らないだろうな。アーケード版と寸分違わないグラディウスが付属していたのに衝撃を受けた。(今ではスマホでも行けそうだけど、当時のPCでではかなり困難だった)

心憎いのが電波新聞社がナムコサウンドをPCで再現したいパソコン少年(無論青年や成年もいると思うけどw)向けに98年に出版された『NAMCO VIDEO GAME MUSIC LIBRARY Vol.1』という楽譜集(今ではとても貴重かも、もちろん発売当初から所有)から起こしたサウンドも収録というから、さらに嬉しい。

色々と実機を再現するべく、PC88VA2やらPC-9821BA3でFM音源のパラメータいじってた頃が懐かしい(遠い目…)。

Google Pixel 3、早くも発売日に関する噂が流れる

Androidスマートフォンのコンセプトモデルとも言えるGoogleのPixelシリーズ(Pixel,Pixel2共に国内未発売)だが、早くも次期モデルとなる(であろう)Pixel3の噂が出始めている。

初代Pixelは2016年10月4日発表、10月25日発売。Pixel2は2017年10月4日発表、10月19日発売となっているため、今年も10月4日に発表され10月16または18日発売ではないかとされている。

今回はCrosshatch、Albacore、Bluelineという3種類の開発コードから存在することから、3モデル登場するのではないかと噂されている。

現時点で機能そのものに関する情報はリークされていないが、最新のSnapdragonチップを搭載したよりパワフルなものになり、iPhoneXに対抗するようにベゼルはより細くなりエッジスクリーンに移行するのではないかとも言われている。

搭載されると思われるAndroid 9.0は6月に発表される予定だが、まだ機能その他の情報は一切出ていない。

Android製スマホのフラグシップモデルとも言えるPixel2はグローバルモデルの発売がなかった(日本やアジアのLTEバンドにほとんど対応していない)ため、Pixel3ではぜひともグローバルモデルを出してほしいものだ。

参考記事:
Google Pixel 3 release date rumours – this could be 2018’s best phone, but what do we know so far?(The SUN)
https://www.thesun.co.uk/tech/5456194/google-pixel-3-latest-release-date-new-features-update/

ロジテックのLAN-WH300Nシリーズは即時捨ててしまえ

ちょっと乱暴なタイトルだなとは思う(笑)
その理由だが、ルーターを乗っ取りDDoS攻撃に加担するマルウエア、Mirai亜種の感染被害が再び拡大している。

JPCERT/CCのアナウンスによると、10月末頃から検出されはじめて11～12月に定常的に発生している状況。

その中で、国内の感染機器にロジテック製LAN-WN300Nシリーズが多く含まれている(攻撃パケットのMACアドレスから容易に割り出せる)こともアナウンスしている。
型番やシリアル番号は本体後部のカバーを外すと確認可能。
(下記リンク先参照)
LAN-W300Nシリーズカバーのはずし方
------------------------------------
これはJPCERT/CCが相当オブラートに包んだ表現をしていると思われる。
実際オープンリゾルバ問題のときにもロジテックの当該製品の比率は自分が管理しているDNSのログを見ても8割を超えていた。
正直当時のロジテックの製品は穴だらけで、その穴は買い替え以外ではまともに塞げていない状況だった。

製品の回転数が異様なほど高いメーカー(2～3ヶ月で廃番→1回作って在庫売り切ったら終了の繰り返し)は、警戒したほうが良い。
------------------------------------

このことを受けて、ロジテックも再度ファームウエア更新のアナウンスを(一応)出しているが、ものが約5年以上前の製品である点、肝心のファームウエアの造りが酷すぎてファームウエア更新すらままならない(訪問先でこれが設置されていると絶望感しか感じない)点を鑑みると即刻に別製品に買い換えることを強く推奨する。

無論それ以外のルーターにおいても、ファームウエアの更新は可能な限り行ったほうが良い。

自宅の端末は自分のものだが、そこから先のネットワーク資産は世界中で共有しているもの。
無駄なトラフィックを発生させない、DDoSに加担しない、自分のPCや端末を守る事は結果として、対策にかけるコストを低下させてネットの利用料金を引き下げる(この辺は風が吹けば桶屋が…の理論だが)ことにもつながるので、ぜひ実施してほしい。

参考：
・Mirai 亜種の感染活動に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2017/at170049.html

・Mirai亜種が国内の最大2万4000ホストに感染、ロジテック製Wi-Fiルーターの脆弱性を悪用(Internet Watch)
https://internet.watch.impress.co.jp/docs/news/1097777.html

・ロジテック製300Mbps無線LANブロードバンドルータ
およびセットモデル（全11モデル）に関する重要なお知らせとお願い
http://www.logitec.co.jp/info/2017/1219.html

EPSON製プリンタで11月のWindows Update以降印刷できなくなる問題発生

*写真の機種では問題は発生しない

エプソン製プリンタで11月のWindows Update以降印刷できなくなる現象が発生、問題発生しているプリンタはインクジェット、ドットインパクトのほかPCレジなどで使われているレシートプリンタまで多岐に及ぶ。
※レシートプリンタでは特定の条件下で発生

年賀状の印刷シーズンでもあり、エプソンでは専用の窓口(12/22まで)も準備した。

ただし、インクジェットの機種は全て販売終了・修理対応終了している機種が多いため、一般ユーザーのインパクトは少ないと思われる。

【2017年12月19日更新】 Windowsアップデート後　一部のプリンターから印刷できなくなる現象について
http://www.epson.jp/support/misc/171116_oshirase.htm

基本的には12月までに配信されている修正プログラムの導入で解消される。
このため使うときだけしかPCの電源を入れない人は要注意。
Windows Updateの受信のためにも、たまには自動スリープを無効にして半日ほど放っておくのをおすすめする。

Winddows7,8.1での修正状況と確認方法
https://faq2.epson.jp/web/Detail.aspx?id=050055

Windows 10各バージョンでの修正状況と確認方法
https://faq2.epson.jp/web/Detail.aspx?id=050057

KRACKs問題その後

ここ最近は脆弱性情報で、プロトコル上の問題で…ってのが多く、インパクトもものすごく大きい。
当然、各メディアもセンセーショナルに報じるが、あっという間に忘れ去られそうになる。

今回のKRACKsについては、Windowsはすでに対応済み、MacOS・iOSは間もなく、Androidも11月にリリース予定、Linuxはリリース進行中。
その他クライアント機器やルーターはこれから…という状況。

この攻撃の大きなポイントかつ問題を緩和する要素としては、

ハックするためには、攻撃者はWi-Fiの電波を直接受信できる場所に行かなくてはならない。

というのがある。

Wi-Fiの通信に直接介入する問題なので、当然といえば当然でありとあらゆるWi-Fiクライアントに脆弱性があるとは言え、全ての通信が傍受されるかといえばそうではない。
(攻撃者にとって、そこまで出向く価値あるかどうか)

脆弱性は当然修正されなくてはならないが、どうしたら緩和されるか、今後どうなるかをもっと追跡するのも必要じゃないかと思う。
この件はちょっと前に出たBlueBorn問題(Bluetoothの脆弱性)についても同様。

ニュースが正しく継続的に報じることが重要なんだけど、進展がないと流す機会は減るよなぁ～。

Wi-Fi暗号化の主要プロトコルWPA2に脆弱性(KRACKs)10/18更新

Wi-Fiに暗号化通信の主流となっているWPA2について、プロトコルレベルの脆弱性が公開。(キー再インストール攻撃=)。
詳細は以下に記載されている。

・Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

発表までの流れと対応状況についてはpiyologがわかりやすい。

・WPA2の脆弱性 KRACKsについてまとめてみた(piyolog)
http://d.hatena.ne.jp/Kango/20171016/1488907259

攻撃の対象となっている4HandShakeの流れは以下の通り。
[]がハンドシェイクの部分。
図はWikipedia(en)より。

(1)アクセスポイント(以下AP)側とクライアント側(STA)ではお互いに共有キーを持っている(PSK=いわゆるWi-Fiパスワード…同時にPMK=共有マスターキーでもある)。
(2)PSKを元にそれぞれ(=ペアワイズトランジェントキーPTK)を生成。
(3)[1]APからメッセージ(ランダム文字列 Nonce=ANonce)を送付
(4)STAはANonceを元にテンポラリキー(PTK)を生成
(5)[2]STAはAPに自身のNonce(SNonce)にMIC(Message Integrity Code)を添付したものを送付
(6)APはSNonceを元にPTKを生成。
(7)[3]APはGroup Temporal Key(GTK)を生成、MICを添付してSTAに送付。
(8)[4]STAはキーをインストール後ACKを返送。
(9)AP側はACKを受信してキーをインストール、ハンドシェイク完了。

今回の脆弱性では、(8)の段階で再送信されるとキーが再インストールされ、Nonceがリセットされるという仕様が原因となっている。

つまり偽のおかわり(再送信)を出すことで、暗号化キーを攻撃者が取得可能となる脆弱性があったというもの。
さらに、LinuxやAndroidに至っては、実キーの再インストールではなく、オールゼロキーがインストールされるため、さらに傍受が容易になる問題点をもっており、Androidデバイスの50%(Android6.0以降)にこの問題点がある。

対策としては、クライアント側のパッチ対応でどうにかなるようなので随時提供されるであろうパッチ待ちとなる。

現在のところ
Windows:提供済み(詳細は後日アナウンス)
Andorid:数週間以内に提供(あとはベンダー次第)
MacOS/iOS:調査中

ということらしい。

(10/18追記)------------------------------------
国内メーカーの各製品ごとの脆弱性有無に関して、JVNに掲載された。
JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
http://jvn.jp/vu/JVNVU90609033/index.html


余談になるが…

セキュリティの観点から言うとPCはともかく、Androidを搭載した多くのモバイル端末では、ベンダーのサポートすらまともに提供されず放置されている端末が山のようにあり、しかもそれらが普通に売られていることが大問題。
昨年ウチの親がジャパネットで購入させられたY!mobileとのセット契約でタブレット(ファーウェイ製)はなんとAndroid4.2(笑)

高齢者のタブレットブームに脆弱性のあるすでにサポートの終わっている端末を平気で売る姿勢にちょっと怒りすら感じる。

Androidでも、下位互換性をなくす→脆弱性のある端末更新を促すという流れにならないかな。

Google、新型pixelを10/4(日本時間5日)に発表

Googleが新型Pixel(Pixel2?)の発表を10月4日(日本時間5日)に実施するというアナウンスを行い、テザー映像もYoutubeにアップされた。

これまでの情報によると新型スナップドラゴン搭載、メモリは4GB、ストレージは128GBと先日発表されたiPhoneXに匹敵する性能を誇っており、Googleが買収と報じられるHTCあるいはLGが製造を担当すると噂されている。

参考記事：
Google’s Pixel 2 is launching on October 4(techcrunch)
Google's next Pixel smartphones arrive October 4th(engadget)

Bluetoothの実装に脆弱性、端末を乗っ取られる恐れ(BlueBorne問題)

ほぼ全ての端末のBluetooth実装における脆弱性が発見。
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起(JPCERT/CC)

脆弱性について解説した動画↓

この脆弱性の最も恐ろしい点は…
------------------------------------
BlueBorneの脅威な点は、リンクをクリックしたり、ファイルをダウンロードしたりといったユーザーの操作を必要とせず、すべてのソフトウェアバージョンと互換性があるほか、Bluetoothがアクティブであることを前提とした前提条件や構成を必要しないため、対象デバイスが広範であるという点
また、BluetoothはプロセスがOS内で高い特権を持っているため、デバイスを事実上完全に制御できる。
(以上PC watchの記事より編集)
------------------------------------
影響を受ける端末は約53億台と報じてられているが、今後修正パッチが提供される見込み(または提供済み)。
パッチが提供される見込みのない端末、提供予定であるが未提供の端末では当面Bluetoothをオフにすることが推奨される。

◆現在の対応状況(9/14時点)
・Android…パッチレベル2017-09-01で修正済
Android Security Bulletin?September 2017
ただし、OSの更新については各メーカーの対応に依存しているので、現行OS以前のバージョン(Android 5.1.1以下)については修正される可能性は限りなく低い。

脆弱性確認ツールがPlay Storeで提供されている。

・Windows…9月のWindows Updateで修正済
2017 年 9 月のセキュリティ更新プログラム (月例)

・iOS10…修正済
iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前では脆弱性あり。

・Linux…3.3-rc1以降のLinux Kernel、全てのBlueZに欠陥
RHEL…修正版パッチ提供済
https://access.redhat.com/security/vulnerabilities/blueborne
Debian…未修正
https://security-tracker.debian.org/tracker/CVE-2017-1000250
https://security-tracker.debian.org/tracker/CVE-2017-1000251
Ubuntu…一部修正
Kernel未修正、BlueZパッチ提供

◆関連記事:
新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる(techcrunch)

Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚
～Bluetoothがオンになっているだけで攻撃可能(PC watch)

Bluetooth実装の脆弱性「BlueBorne」、82億台に影響　無線経由で攻撃の恐れ
(IT Media)

Android 8.0 OREO(オレオ) 発表

例年この時期に発表になるアンドロイドの新バージョン、開発コードO…は大方の予想通りやっぱりオレオだった。

Android8.0 公式サイト
https://www.android.com/versions/oreo-8-0/

公式サイトによると、プレスキャンにより未インストールのアプリもチェックし安全性を高め、さらにバッテリーライフも伸びる…らしい。
残念ながら今のnexus6では公式リリースされず…(Google側のEOLが2017/10なのであと2～3ヶ月)
有志のリリースを期待するか、自分で勉強しろって話になるんだろうか。

現在のところAOSP(オープンソース)版が公開されており、Pixel/Nexus5X,6P用が近日リリースされる予定とのこと。

Android 8.0紹介動画

なお、そろそろ…と噂されているPixelの新型端末については今回は発表なし。
こちらは例年どおり秋ではないかと思われる。

ランサムウェアWannaCryの対応について

ニュースでも報道されているように、WannaCryという名称のPC内のデータを人質にとり身代金を要求するマルウエアによる攻撃被害が世界中で発生している(日本でも被害事例あり)。
この攻撃は、1月に発見されマイクロソフトから3月にパッチ配布が始まった(MS17-010)SMBの脆弱性を利用して感染を広げていくと手法で行われる。

wannacryの感染画面(情報処理推進機構のWebページより)

対策について

対策としてWindows7/8/10/Server2008/2008R2/2012/2012R2/2016はWindows Updateを実行して最新の状態にすること、Windows Vistaは4月の月例更新を適用。
また今回は例外的にWindowsXPに対してもセキュリティ更新プログラムが公開されている。※Windows Updateカタログから『Windows XP SP3 用セキュリティ更新プログラム (KB4012598) カスタム サポート』を探してダウンロード～インストール。

■今回の修正ファイルに関しては生産ライン等でLAN経由で被害を広げないための特別提供であり、その他の脆弱性は修正されていないので、サポートが終了したXPやVistaの一般利用はできるだけ早くやめることが望ましい。


このパッチを導入することで感染を防ぐのではなく、ネットワーク経由での攻撃を防ぐ(UAC=ソフトインストール時に管理者権限を要求する表示が出る)というもの。許可してしまえば感染するのは同じなので注意。

また、ウイルス対策ソフトを導入している場合は定義ファイルを最新の情報に更新。

※常識ではあるが、PC購入時に入っているソフトは体験版であり、初回起動後から2週間～3ヶ月で保護されなくなるので注意。

また、PCをルーター経由で接続している場合、SMB経由での侵入については網内のPCが感染しない限り被害を受ける可能性は大幅に緩和される(感染しないというわけではない)。※ルーター経由の接続が一般的な日本では被害が少なかったと思われる。

今回は被害が大規模に出たため大きく報道されているが、実際には0-day攻撃ではなく既存の脆弱性をついた攻撃のため、通常のマルウエア対策を行っていればさほど心配はいらない。

関連報道
・世界74カ国でランサムウェア攻撃、病院や銀行などに被害　(CNET、5/13)
・世界99カ国で大規模サイバー攻撃、ルノーは生産停止　(ロイター、5/14)

参考資料
・世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について　(IPA、5/14)
・ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス　(Microsoft、5/14)
・ランサムウエア "WannaCrypt" に関する注意喚起　(JPCERT/CC、5/14)