セキュリティ企業のGigasheetが「Log4ShellでAWSアカウントを乗っ取る方法」を公開しました。Gigasheetによると、この方法はあくまでAWSのセキュリティ設定がずさんな場合にのみ起こりえる現象であり、AWSがLog4Shellに関する固有の問題を抱えているということを意味しているわけではないとのこと。

世界最大級の小売＆電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。

2021年11月24日に、Alibaba Cloudのセキュリティチームが、Apache Log4jのバージョン2.0-beta9からバージョン2.14.1までにリモートコード実行の脆弱性を発見したと、Apacheに報告しました。

　警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。

In general, it should take about 20 seconds to pee. You can set a timer, or simply by counting “one-Mississippi, two-Mississippi,” Dr. Miller says. If you're significantly over or under 20 seconds, you're likely holding your pee too long or going too often.

一般的には、おしっこをするのに20秒くらいかかるはずです。タイマーをセットしてもいいですし、「ワン・ミシシッピ、ツー・ミシシッピ」と数えるだけでもいいと、ミラー博士は言います。20秒を大幅に超えたり、下回ったりする場合は、おしっこを我慢しすぎたり、回数が多すぎたりしている可能性があります。

The 20-second bladder rule, as she calls it, is based on research from a group of mechanical engineering students at the Georgia Institute of Technology. The students were working on a project to figure out a better design for water towers. To study a more straightforward form of fluid dynamics, they visited the zoo and counted how long it took animals to pee from start to finish.

They discovered that almost every mammal, from elephants to rabbits, takes 21 seconds to empty their bladder on average. For humans, this equates to about one cup (eight ounces) of liquid. That means that if you’re drinking about eight cups of water per day, you should pee eight times, says Nicole Eisenbrown, MD, a urologist who practices in Florida.


　20秒ブラダー・ルール
　ジョージア工科大学の機械工学科の学生たちの研究で，給水塔のより良い設計を考え流体力学を研究するため動物園の動物のしっこする時間をカウント．
　ゾウからウサギまでほとんどの哺乳類が平均21秒．

Say you’re the type of person who gets so buried in their work that you forget to get up and go to the bathroom. Suddenly, it’s 6 p.m., and you’re rushing to the toilet for a 40-second release. Eventually, your brain will ignore“we’re full” signals, and overstretching your bladder will become your habit.

This is a condition that Dr. Eisenbrown calls “nurse’s bladder” or “teacher’s bladder” because it’s common in these professions. “People can’t leave the classroom, or they’re on a shift, so they purposely delay going to the bathroom,” she says. Long-haul truckers and shift workers may also have this problem. But over time, chronically over-extending your bladder will cause it to stop working correctly, Dr. Eisenbrown says. “It’s a slippery slope,” she says. “Your bladder just gets slightly bigger, then slightly bigger, and slightly bigger.” After years of this, your bladder muscles lose the ability to stretch and eventually stop working properly, Dr. Eisenbrown says.


　仕事の都合上，トイレを我慢しがちだと，膀胱を酷使しているとやがて正常に動かなくなる．

バージョン2.0-alpha1から2.14.16までにサービス妨害（DoS）状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。

ASFよると、バージョン2.0-alpha1～2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx：loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ（MDC）で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。

発端は6日、マイナビが送信したある企業のインターン募集のメールだ。メールの件名には「〈第1〉大東亜以下9」（※「9」は正しくは丸数字）という、不可解なタイトルがつけられていた。

　この件名が、私立大学群の大東文化大学、東海大学、亜細亜大学を指し、それぞれの頭文字から「大東亜」以下の大学と学歴の区分けをしているのではないかとして、SNSで炎上。「大東亜以下」「学歴フィルター」というワードが一時トレンド入りする騒ぎになった。

「2018年にBloomberg発のスパイチップ騒動が起きた時、多くの人が目に見えないスパイチップを恐れましたが、Dellのデバイスには肉眼で見える欠陥が長年にわたり放置されていました。もし業界がこれほどあからさまな不具合を見つけられないとしたら、目に見えないスパイチップへの懸念が高まるのは当然と言えます」と述べました。

　日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容（購入・解約）、取引金額、銘柄などを記載しているという。

　仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。

開代行設定済みドメインの切替
─────────────────────────
　設定内容を新しい表示内容へ変更されたい場合、
　Whois情報公開代行設定を一度解除していただいた後、
　再度Whois情報公開代行の設定をお願いいたします。
　
※有料でご利用の場合、Whois情報公開代行の契約期間中に解除と再設定をされた場合、
　追加料金は発生することはありませんのでご安心ください。

Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列
から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用
されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録す
ることで、Log4jはLookupにより指定された通信先もしくは内部パスからjava
classファイルを読み込み実行し、結果として任意のコードが実行される可能性
があります。

** 更新: 2021年12月15日追記 ******************************************
The Apache Software Foundationは、Apache Log4jのバージョン2.16.0
（Java 8以降のユーザー向け）および2.12.2（Java 7のユーザー向け）を公開
しました。

主にLDAPのJNDIリソースを利用した攻撃が確認されていますが、RMIやDNSなど他のJNDIリソースに拡大する可能性があります。これらの文字列は、潜在的にログに記録されるあらゆる値に注入される可能性があります。可能性のあるフィールドは、ユーザーエージェント、ウェブフォーム、ウェブページ名、またはユーザーデータが送信される他の任意の場所です。これらの値は、もしログに記録されるために送られると、Log4j を使ってアプリケーションによって解析され、実行され ることができます。以下は、悪用されようとしていることを検知できる文字列です。

${jndi:ldap 
${jndi:dns 
${jndi:rmi 
${jndi:nis 
${jndi:nds 
${jndi:corba 
${jndi:iiop 

アップグレードされた Log4j ライブラリを使用する前にこの問題を軽減したい組織で、2.10 から 2.14.1 の間の Log4J バージョンを使用している場合、JVM 起動パラメーターに次のプロパティを適用し、Java プロセスを再起動することが可能です。

-DLog4j2.formatMsgNoLookups=true 

警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。

・Oracle JDKを無料で提供し、四半期ごとのセキュリティアップデートも提供する。
・新ライセンス「Oracle No-Fee Terms and Conditions (NFTC)」は、商用利用や本番環境での利用を含むすべてのユーザーに対して無料での利用を許可する。
・Oracle JDK 17から、この無料のリリースとアップデートの提供を開始する。これは次の長期サポート（LTS：Long Term Support）がリリースされてから1年が経過するまで続く。

マイクロソフトは、Javaの仕様策定や関連技術の開発、実装などを行う「Java Community Process」（JCP）への参加を発表しました。

Javaプラットフォームの互換性に関する規定やライセンス契約にMicrosoftが違反しているというのがSunの主張だった。結局、MicrosoftがSunに2000万ドルを支払うことで2001年に和解が成立した。

　LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名／住所／電話番号／メールアドレス／クレジットカード番号／銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。

 ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。

【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか

第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則

「『その人のことを信じようと思います』っていう言葉ってけっこう使うと思うんですけど、『それがどういう意味なんだろう』って考えたときに、その人自身を信じているのではなくて、『自分が理想とする、その人の人物像みたいなものに期待してしまっていることなのかな』と感じて」
「だからこそ人は『裏切られた』とか、『期待していたのに』とか言うけれど、別にそれは、『その人が裏切った』とかいうわけではなくて、『その人の見えなかった部分が見えただけ』であって、その見えなかった部分が見えたときに『それもその人なんだ』と受け止められる、『揺るがない自分がいる』というのが『信じられることなのかな』って思ったんですけど」
「でも、その揺るがない自分の軸を持つのは凄く難しいじゃないですか。だからこそ人は『信じる』って口に出して、不安な自分がいるからこそ、成功した自分だったりとか、理想の人物像だったりにすがりたいんじゃないかと思いました」