![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri May 15 19:23:01 2026 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2026 | 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
G現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 東京都「はしか」緊急ワクチン接種へ 72時間以内にはしか患者と接触した人が対象 感染拡大受け無料で実施 (TBS, 5/15)。「今月18日から」。
都内の指定の医療機関で接種ができ、費用は無料です。
接種の対象は▼はしか患者と接触してから72時間以内で、▼はしかに感染したことがなく、▼予防接種歴が2回未満の人や回数がわからない人など、保健所が必要性を認めた人です。
関連:
麻しん(はしか)患者の発生及び来訪について (東京都, 5/14)
患者が利用し、不特定多数の方と接触した可能性のある施設 国立健康危機管理研究機構 国立国際医療センター 5月10日(日曜日) 12時25分から15時10分頃 1階時間外受付、救急外来待合室 5月11日(月曜日) 9時30分頃 正面玄関、1階受付付近、3階腎臓内科外来 10時00分頃 3階検査室、地下1階コンビニエンスストア、地下1階アトリウム 11時30分頃 3階腎臓内科外来
麻しん(はしか)に注意! (東京都, 5/14)。確かに、2025 年と比べて大幅に増えている。
またそういうのが起きたのですか。
最大の特徴は、攻撃者が「正規のビルドパイプラインをハイジャックし、有効なSLSA署名を持ったまま悪意のあるコードを配布した」ことです。「署名されているから安全」という前提が崩されたインシデントとして、サプライチェーンセキュリティの転換点と言えます。
「ignore scripts しているから安全」「pnpm を使っているから安全」という認識は、npm 11 + 明示的 --ignore-scripts か、pnpm 10.26.0 以降を前提にすれば一定の効力を持ちますが、それ未満のバージョンでは成立しません。
サプライチェーン攻撃は 発見 → アドバイザリ発行 → スキャナ反映までに数時間〜半日のラグがあります。新規リリース直後のバージョンを即座に取り込まないだけで、今回のような侵害の大半を回避できます。
- パッケージマネージャ側で「公開後N日以内のバージョンを禁止」する設定を導入(minimumReleaseAge 等)
- 社内プロキシレジストリで新規バージョンの取り込みを遅延
- 依存更新PRの自動マージは公開から一定期間経過後に限定
クールダウンは「最新を追わない」運用に見えますが、現在のサプライチェーン攻撃に対する最も実効性の高い防御の一つです。
関連:
Mini Shai-Hulud 第二波の概要と対応指針(TanStack Router を含む 200 超の侵害) (GMO Flatt Security Blog, 2026.05.12)
npmワーム攻撃「Mini Shai-Hulud」によりTanStackなど160以上のパッケージがマルウェアに感染 (gihyo.jp, 2026.05.12)
Our response to the TanStack npm supply chain attack (OpenAI, 2026.05.13)。macOS ユーザーは各アプリを更新してください。
Update your macOS applications by June 12, 2026We are updating our security certificates, which will require all macOS users to update their OpenAI apps to the latest versions. This helps prevent any risk, however unlikely, of someone attempting to distribute a fake app that appears to be from OpenAI. You can update safely through an in-app update or at the official links below:
- ChatGPT Desktop(opens in a new window)
- Codex App
- Codex CLI(opens in a new window)
- Atlas
Microsoft Exchange 2016 / 2019 / SE (サブスクリプション版) に 0-day 欠陥。攻略電子メールを Outlook Web Access で開き、なおかつ「特定の操作条件」が満たされると、 任意の JavaScript が実行される。 CVE-2026-42897
patch は開発中。Microsoft は Exchange Emergency Mitigation Service を通じて緩和策を実施中。Exchange Emergency Mitigation Service を使わない / 使えない場合には、Exchange On-premises Mitigation Tool (EOMT) を使った対応が可能と。
Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 (Microsoft, 2026.05.14)
K000161019: NGINX ngx_http_rewrite_module vulnerability CVE-2026-42945 (F5, 2026.05.13)。ngx_http_rewrite_module に欠陥があり、 remote の無認証の攻撃者が DoS 攻撃を実施できる。 また ASLR が無効な場合は任意のコードを実行できる。
iida さん情報ありがとうございます。(typo 修正済です _o_)
nginxに18年前から存在する重大な脆弱性が発見される (gihyo.jp, 2026.05.15)
Changes with nginx 1.30.1 (nginx, 2026.05.13)、 Changes with nginx 1.31.0 (nginx, 2026.05.13)。 CVE-2026-42945 の他にも複数のセキュリティ欠陥を修正。
libexpat/expat/Changes (expat / GitHub, 2026.05.10)。 Release 2.8.1 Sun May 10 2026。 CVE-2026-45186 を修正。
iida さん情報ありがとうございます。
「LibreOffice」に脆弱性、「26.2」「25.8」シリーズで境界外書き込みの可能性 (窓の杜, 2026.05.13)。 CVE-2026-4430。 LibreOffice 26.2.3 / 25.8.7 で修正。
PostgreSQL 18.4, 17.10, 16.14, 15.18, and 14.23 Released! (PostgreSQL, 2026.05.14)。 セキュリティ修正多数。
あと、PostgreSQL 14 は 2026.11.12 で EOL だそうです。
pgAdmin 4 v9.15 Released (PostgreSQL, 2026.05.11)。権限上昇、XSS、SQL インジェクション、OS コマンドインジェクション等々。
今月の……というか、最近の傾向とこれからの対応について。 DeepL AI 訳。
今月の公開分では、過去数ヶ月と比較して、Microsoftが発見した問題の割合が増加しました。これらの問題の多くは、Microsoftの新しいマルチモデルAI駆動型スキャン・ハンスの活用を含め、エンジニアリングおよび研究チーム全体でのAIへの投資や調査を通じて明らかになりました。また、AIと連携して活動する外部研究者による発見も多数含まれています。これらすべての問題は、すべての報告に対して適用しているMSRCの検証、優先順位付け、および開示のワークフローを経て処理されました。
Microsoft 社内でも AI を使った既存コードの点検と対応が実施されている模様。
大規模なリリースが標準的なものとなる中、アップデートの提供方法や決定プロセスは従来通り維持されます。「パッチ・チューズデー」はオンプレミス型ソフトウェアにおける予測可能なサイクルとして継続され、PaaSおよびSaaSクラウドサービスについては、多くの場合、お客様による操作を必要とせずに継続的に更新が行われます。予定外のリリースは、正当な理由がある場合に限定して実施されますが、脆弱性の発見件数が増加し続ける中、お客様には、予定外のアップデートに対して即座の対応が必要となるケースがより頻繁に発生する可能性に備えていただく必要があります。
月イチ patch 提供では間にあわない事例が今後増えていくだろうと。 その観点からも PaaS / SaaS 移行が有利だと。
今月のリリースについて、お客様にぜひご理解いただきたい点は以下の通りです:
- サポート対象のOS、製品、パッチに関する最新情報を常に把握し、パッチ適用の頻度や一貫性を見直してください。単純な件数ではなく、脆弱性の露出度や影響度に基づいて優先順位を判断してください。CVSSに加え、『Security Update Guide』では「Exploitability Index(悪用可能性指数)」、公開されているエクスプロイトコードの状況、および確認されている悪用事例も公開されています。優先順位を決定する際は、これらの情報をすべて活用してください。
- 不必要な外部への露出を減らしましょう。インターネットに公開するシステムを削減し、設定管理を徹底し、旧式の認証方式を廃止することで、大きな効果が期待できます。
- アイデンティティ管理を強化する。多要素認証、管理用アカウントの分離、そして厳格なアクセス制御は、依然として多くの組織にとって最も費用対効果の高い投資策の一つである。
- 環境をセグメント化してください。セグメント化により障壁が設けられ、たとえ小さな脆弱性が存在する場合でも、攻撃者が被害をもたらす能力を低減させることができます。
- 検知と対応への投資を強化しましょう。現在、検知と封じ込めのスピードは、パッチ適用のスピードと同様に重要となっています。
上記は DeepL 訳なんだけど、うーん。原文はこうなんだよね。
This is what I would ask customers to take from this month's release:
- Stay current on supported operating systems, products, and patches, and revisit the speed and consistency of your patching cadence. Triage by exposure and impact, not raw count. Beyond CVSS, the Security Update Guide also publishes the Exploitability Index, public exploit code status, and observed exploitation - use the full set of signals when prioritizing.
- Reduce unnecessary exposure. Fewer internet-facing systems, tighter configuration hygiene, and removal of legacy authentication go a long way. Tighten identity. Multi-factor authentication, separated administrative accounts, and disciplined access controls remain among the highest-leverage investments most organizations can make.
- Segment your environments. Segmentation creates barriers that reduce an attacker's ability to cause impact, even when smaller vulnerabilities are present.
- Invest in detection and response. Speed of detection and containment are now as important as speed of patching.
今月のリリースについて……というより、今月のリリース以降、顧客のみなさんにお願いしたいこと、だよね多分。
》 イラン危機 爆撃された小学校 (共同)。現地取材。
米軍による誤爆が疑われているイラン南部ミナブの小学校爆撃について、共同通信テヘラン支局が外国メディアを管轄するイラン当局に現地取材の許可を申請し、4月末に認められた。現地取材は5月6日に行い、当局による制限や介入は一切なかった。厳格な報道規制を敷くイランでは外国メディアが地方を取材する場合、当局に個別に許可を得る必要がある。
》 【速報】OpenAIがブラウザを乗っ取る!Codex Chrome拡張で「ログイン済みセッション」にAIがアクセスする時代 (emi_ndk / qiita, 5/12)。これはマルウェアでしょ。 どうも OpenAI という会社は、Sora といいコレといい、やっていいことと悪いことの区別がついていない感があるなあ。
》 ENEOS管理の原油タンカーがホルムズ海峡通過の報道 (NHK, 5/14)。 VLCC タンカー ENEOS ENDEAVOR Crude Oil Tanker IMO: 9924091 (marinetraffic.com)、ようやくペルシャ湾を脱出。 おめでとうございます。 これで ENEOS 運航船腹 は全隻ペルシャ湾外にいます。
関連
ツイート
ホルムズ海峡を通過した「ENEOS ENDEAVOR」は,5月11日までペルシャ湾側にいたことを確認しています。
— 渡邉英徳 wtnv (@hwtnv) May 13, 2026
5月に入ってからGPSジャミングが顕著になり,正確に位置を追えていませんでした。突如として通過したことに驚いています。 pic.twitter.com/1joMQZc3KQ
》 イラン革命防衛隊 “ホルムズ海峡の作戦上の境界 大幅に拡大” (NHK, 5/13)、イラン、ホルムズ海峡の定義変更 幅最大480キロに拡大 (ロイター, 5/12)。実効支配域宣言かな。
》 中国がパキスタンに潜水艦引き渡し 計8隻を予定、軍事協力深化 (日経, 5/11)。 こちらの件:
Pakistan Navy Commissions First Hangor-class Submarine in China (Naval News, 4/30)
Hangor-class submarine (Wikipedia)。 元型がベース。
》 「Android 17」に複数の新機能 銀行を装った詐欺電話の自動切断や“10秒待機”でアプリの使いすぎ防止も (ITmedia, 5/14)
Microsoft 2026.05 更新。 137 Microsoft CVE + 128 non-MS CVE (大半は Edge)。
0-day は無いようです。
ヤバいものとして挙げられているのは:
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が 9.8 以上と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。(中略)
- CVE-2026-42898 Microsoft Dynamics 365 オンプレミスのリモートでコードが実行される脆弱性
- CVE-2026-42823 Azure Logic Apps の特権昇格の脆弱性
- CVE-2026-41096 Windows DNS クライアントのリモートでコードが実行される脆弱性
- CVE-2026-41089 Windows Netlogon のリモートでコードが実行される脆弱性
うぉぅ DNS ねた。
CVE-2026-41096 Windows DNS クライアントのリモートでコードが実行される脆弱性 (Microsoft, 2026.05.12)。CVSS:3.1 9.8 / 8.5。 対象 OS は Windows 11 / Server 2025 のみ。
攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、特別に細工された DNS 応答を脆弱な Windows システムに送信することによって、この脆弱性を悪用し、DNS クライアントに応答を正しく処理させないようにしてメモリを破損させる可能性があります。特定の構成では、これにより、攻撃者が認証なしで影響を受けるシステムでコードをリモートで実行できるようになる可能性があります。
攻略 DNS 応答で RCE。 「悪用される可能性は非常に低い」とされているので、 「特定の構成」の条件がかなり厳しいのかもしれない。
関連:
【Windows11】 WindowsUpdate 2026年5月 不具合情報 - セキュリティ更新プログラム KB5089549 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2025.05.14 更新)
【Windows10】 WindowsUpdate 2026年5月 不具合情報 - セキュリティ更新プログラム KB5087544 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2025.05.14 更新)
『C:\Windows\SecureBoot』が新たに作成される。KB5089549等のインストール後に。このフォルダはいったい (ニッチなPCゲーマーの環境構築Z, 2025.05.14 更新)
インテルがセキュリティ情報を公開 ~Intel Graphicsに深刻度CRITICALの脆弱性 (窓の杜, 2026.05.14)
Zoomがセキュリティ情報を発表 ~最大深刻度はHigh (窓の杜, 2026.05.13)
dnsmasq contains several vulnerabilities, including attacker DNS redirect, privilege escalation, and heap manipulation - Vulnerability Note VU#471747 (CERT/CC, 2026.05.11)。 dnsmasq に複数の欠陥。 DeepL AI 訳:
DoS (CVE-2026-2291、CVE-2026-4890、CVE-2026-5172) — dnsmasq がクラッシュしたり応答しなくなったりする可能性があり、その結果、DNS 解決が停止し、関連するサービスに影響が及ぶ恐れがあります。
キャッシュポイズニング/リダイレクト (CVE-2026-2291, CVE-2026-4893) — 攻撃者はキャッシュエントリを上書きしたり、レスポンスのルーティングを操作したりすることで、ユーザーを悪意のあるドメインへ気付かれずにリダイレクトさせることが可能です。
情報漏洩 (CVE-2026-4891, CVE-2026-4893) — 内部メモリおよびネットワーク情報が意図せず漏洩する可能性があります。
ローカル特権昇格 (CVE-2026-4892) — ローカルの攻撃者が、DHCPv6を悪用することで、root権限で任意のコードを実行する可能性があります。
dnsmasq 2.92rel2 で修正されている。
Apache Tomcat。 11.0.22 (2026.05.05) / 9.0.118 (2026.05.10) / 10.1.55 (2026.05.11) が公開された。 セキュリティ修正を含む。 Moderate x 2、Low x 5。
Moderate x 2 はこんなの。
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 (emi_ndk / qiita, 2026.05.03)
Linux KernelのLPE(Local Privilege Escalation)脆弱性(Dirty Frag: CVE-2026-43284, CVE-2026-43500) (2026.05.08)
Dirty Frag 脆弱性クラス (class) に属すると自称する Fragnesia が登場。 CVE-2026-46300。 回避方法は Dirty Frag と同様でよいそうで。
》 GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access (Google, 5/12)。DeepL AI 訳:
本レポートは、マンディアント(Mandiant)のインシデント対応業務、Gemini、およびGTIGの積極的な調査から得られた知見に基づき、AIが攻撃者の作戦における高度なエンジンであると同時に、攻撃の標的として高い価値を持つという、現在の脅威環境の二重性を浮き彫りにしています。
》 New GhostLock tool abuses Windows API to block file access (bleeping computer, 5/11)。Windows の仕様だそうです。 DeepL AI 訳:
ファイルが「dwShareMode = 0」で開かれると、Windowsはそのプロセスにファイルへの排他アクセス権を付与し、他のユーザーやアプリケーションがそのファイルを開くことを防ぎます。 (中略) このツールは「標準」のドメインユーザーでも実行でき、ファイルをロックするために管理者権限は必要ありません。 (中略) 関連するSMBセッションが終了するか、GhostLockプロセスが強制終了されるか、または影響を受けたシステムが再起動されると、Windowsは自動的にハンドルを閉じ、ファイルへのアクセスが復元されます。
こちら: kimd155/ghostlock (GitHub)
》 戦勝記念日パレードの縮小で露わになったロシアの脆弱さ…ウクライナのモスクワ攻撃情報に慌てたプーチン (東洋経済 ONLINE / Yahoo, 5/12)
結果的にアメリカのトランプ大統領がパレード前日、プーチンの要望を受け入れる形で9日を挟んで3日間の停戦を提案。これにウクライナも同意したことで、パレード攻撃という、プーチンにとって最悪のシナリオは土壇場で回避できた。
しかし、結果的にみれば、戦勝記念日という最大の祝祭行事が、トランプ、ゼレンスキー両大統領の「安全の約束」を得て、ようやく開催できたという、ロシアにとって、屈辱的な事態となった。
》 性自認なしに男女区別、憲法抵触 戸籍表記変更の審判、大阪高裁 (東京, 5/12)
大阪高裁(大島雅弘裁判長)は12日までに、男女を区別する運用は「法の下の平等を定めた憲法14条の趣旨に抵触し、是正すべき状態にある」と判断した。 (中略)
決定理由で大島裁判長は、戸籍に記載すべき性別情報について、いずれにも当てはまらない性自認を有する国民の存在を前提にしておらず、戸籍上の性別の表示方法を変更する手段がない現状は「LGBT理解増進法の基本理念に反する」と指摘した。
日本国憲法 第十四条 (e-gov)
性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する法律 第三条(基本理念) (e-gov)
(基本理念)
第三条 性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する施策は、全ての国民が、その性的指向又はジェンダーアイデンティティにかかわらず、等しく基本的人権を享有するかけがえのない個人として尊重されるものであるとの理念にのっとり、性的指向及びジェンダーアイデンティティを理由とする不当な差別はあってはならないものであるとの認識の下に、相互に人格と個性を尊重し合いながら共生する社会の実現に資することを旨として行われなければならない。
性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する法律 第四条(国の役割) (e-gov)
(国の役割)
第四条 国は、前条に定める基本理念(以下単に「基本理念」という。)にのっとり、性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する施策を策定し、及び実施するよう努めるものとする。
というわけで、国は施策をとっとと実施しろ。
》 出光、国内向け安定供給を「最優先」-追加コストは価格転嫁へ (ブルームバーグ, 5/12)
》 中東情勢の影響による一部商品仕様見直しのお知らせ (カルビー, 5/12)。正式発表来ました。ポテチ、堅あげポテト、かっぱえびせん、フルグラ。
中東情勢の緊迫化に伴う一部原材料の調達不安定化を受け、商品の安定供給を最優先とする観点から、当面の対応策として一部商品のパッケージ仕様を見直しますので、お知らせいたします。
》 ENEOS の VLCC (超大型) タンカー「BRIGHT HORIZON」、根岸製油所に到着
BRIGHT HORIZON Crude Oil Tanker IMO: 9787780 (marinetraffic.com)。200万バレル積める船。
アゼルバイジャン産原油、日本到着 イラン情勢悪化で調達多角化 (毎日, 5/11)。「アゼルバイジャンからは64万8000バレルを輸入した」。
アゼルバイジャン産原油、12日にも日本に 中央アジア産代替調達は初 (日経, 5/11)
12日にも横浜市の根岸製油所に着く。64万8000バレルを運び、うち28万3000バレルを同製油所で使う。残りは鹿児島県の喜入基地に荷降ろしし、各地の製油所に輸送する。
契約内容や具体的な調達ルートは公表していない。同社によると、中央アジア産原油は通常、パイプラインで近隣国とつなぎ、黒海や地中海を経て、喜望峰や紅海ルートで日本などのアジア向けに運ぶという。
洋上積み替え原油が再び日本に、中東緊迫化で異例の調達続く (ブルームバーグ / Yahoo, 4/16)
ブルームバーグがまとめた船舶追跡データによると、オマーンのミナ・アル・ファハル港で、中型サイズのタンカー「Shenlong」に積まれていた原油が、16日までにムンバイ沖でVLCCの「Bright Horizon」に積み替えられた。VLCCは約200万バレルの原油を積載できるが、中型タンカーからの積み替えであるため、Bright Horizonには約75万バレルしか積まれていない。鹿児島県の喜入港に29日に到着する予定だ。
ふぅむ……?
ツイート
「BRIGHT HORIZON」は,オマーン産・アゼルバイジャン産原油をミックスして積載していたようです。
— 渡邉英徳 wtnv (@hwtnv) May 12, 2026
スリランカ・マラッカ間の喫水変化は,AISの誤差修正,あるいはSTSといった要因が考えられます。
いずれにせよ,複数産地・海域をまたぐ複雑なオペレーションを経て,日本へ原油を運び終えています。
積んだり降ろしたりしながら、最終的に「64万8000バレル」が日本に来たということなのかな。 VLCC の満載喫水は 20m くらいのようで、15.5m は「軽め」だそうです。
すでに日本近海に到達している原油タンカー「TENSHO」も,やはり「中東から戻る途中,マラッカで原油を積む」パターンを辿っています。
— 渡邉英徳 wtnv (@hwtnv) May 12, 2026
管理会社は ENEOS OCEAN CORP と表示されており,社名を冠した「ENEOS GROLY」「ENEOS EARTH」と同じく,ENEOS関係船とみられます。 pic.twitter.com/o922vYtyaR
ENEOS の運航船腹 のうち ENEOS ENDEAVOR Crude Oil Tanker IMO: 9924091 が、いまだにペルシャ湾から出られずにいるようです。
》 エンドツーエンドで暗号化されたRCSメッセージング、本日よりベータ版で提供開始 (Apple, 5/11)。まだβ版ですか。
本日より、iOS 26.5を搭載したiPhoneのユーザー、対応する通信事業者、Googleメッセージの最新バージョンを搭載したAndroidユーザーを対象に、エンドツーエンドで暗号化されたRCSメッセージングがベータ版で提供開始されます。
iOS / Android 共に、最新でないと駄目のようです。
ときどき語られる「画像利用30年」という制限は、もはや存在しないのですね。今では無制限に利用されます。
あなたは、当社のサービスを通じて共有するコンテンツを所有し、BeRealに以下の条件でコンテンツを使用するライセンスを付与します:
- 友達限定コンテンツとは、BeRealで友達とだけ共有したコンテンツを意味します。自主的に、一部の人々は、それが通信、商業およびマーケティングの目的のために使用できるようにBeRealと彼らの友人専用コンテンツを共有することを選択することができます。例えば、看板、他の広告、AppleのApp StoreやGoogleのPlay Storeで。その場合、BeRealにあなたの友達限定コンテンツを使用するライセンスを与える必要があります。
- グローバルに共有されたコンテンツとは、BeReal上のすべての人と共有したコンテンツを意味します。当社のサービスを利用する対価として、あなたは当社に対し、あなたが「全世界共有コンテンツ」で共有したコンテンツを、あらゆるメディアや配布方法で使用、コピー、複製、加工、翻案、変更、公開、送信、表示、配布するための、世界的、非独占的、使用料無料、サブライセンス可能なライセンスを付与します。本ライセンスは、当社がお客様の「全世界共有コンテンツ」を全世界で利用可能にし、他者にも同様の利用をさせることを許諾するものです。このライセンスには、BeRealが当社のサービスを提供、宣伝、改善する権利、および他のメディアやサービスでのシンジケーション、放送、配布、宣伝、公表のために、他の企業、組織、または個人がグローバル共有コンテンツを利用できるようにする権利が含まれることに同意するものとします。BeReal、または他の企業、組織、または個人によるこのような追加的な利用は、お客様による当社サービスの利用が十分な対価であるとして、グローバル共有コンテンツに関してお客様に対価を支払うことなく行われます。
30 年はいつ無くなったの?
話題沸騰中のSNSアプリ「BeReal」は安全?プライバシーリスクを徹底解説 (Avast, 2022.12.10)。2022 年当時は 30 年だったようです。
利用規約 (BeReal / archive.is, 2023.04.25 更新)。この時点で 30 年は消えています。
Be care.
》 カルビーのポテチ、なぜ白黒包装に? ナフサ不足が覆す売り場の常識 (日経, 5/12)。さすが日経という感じ。
食品メーカーのもとには包材メーカーからの値上げ要請が届いている。ある中堅菓子メーカーは「インキやフィルム不足を背景に6月以降のフィルム価格を20〜40%引き上げたいとの打診を受けた」と明かした。
これはさすがに、考えざるを得ないよなあ。
》 カルビー「ポテトチップス」のパッケージが白黒2色へ 中東情勢の緊迫化で印刷インクなどの調達が不安定に (TBS, 5/11)。ポテチだけではないようで。
ナフサ不足、ポテチの袋を白黒にする…カルビーが方針 (読売 / Yahoo, 5/11)。最主力の製品が対象となっているようで。
対象はポテトチップスの「うすしお味」、「コンソメパンチ」のほか、「かっぱえびせん」など計14の主力商品。
カルビーだけでもないようで。
カルビー、ポテトチップスなど白黒包装に インク不足で伊藤ハムも検討 (日経, 5/11)。ちゃんと取材している会社はこういう記事を書けるという例。
伊藤ハム米久ホールディングスの浦田寛之社長は1日の決算発表会で「今後、カラフルなパッケージは難しくなる。白黒などシンプルな包装になる可能性がある」と語った。
伊藤ハム社長が 5/1 にそう語っていたがカルビーが先に来た、 ということなんですね。
中堅飲料メーカーは5月下旬から生産を請け負う小売り大手ブランドなど15商品の乳酸菌飲料についてパッケージ容器の印字を取りやめると決めた。食品や飲料で白黒パッケージや印字なしパッケージへの切り替えが進みそうだ。
パッケージ白黒化は避けられそうにないようです。 イランは ok ok と言っているのにタンカーを通さない高市政権のおかげですね。
業務用はもとからシンプルじゃん、みたいなツイートもみかけた。
カルビー 業務用 ポテトチップス うすしお 188g 6個セット (リカーショップおおの 楽天市場店)。 なるほど。確かに。
それにしても気になるのは朝日の記事タイトル。
ポテトチップスの袋が白黒に カルビー、中東情勢受けインク不足か (朝日, 5/11)。「か」って何だよ「か」って。 何やってんだ。
ポテチの袋、白黒に カルビー、インク不足で (朝日, 5/12)。5/12 付記事では「で」になっている。
CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID Authentication Portal (Palo Alto Networks, 2026.05.06)。 PAN-OS の User-ID Authentication Portal サービスに buffer overflow する欠陥があり、 remote から無認証で任意のコードを root 権限で実行できる。 既に攻撃が実施されている。
修正版は準備中、2026.05.13 に (一部は 2026.05.28 に) リリース予定。
緩和策としては、User-ID Authentication Portal サービスを停止する、 あるいは User-ID Authentication Portal サービスへのアクセスを trusted zones のみに制限した上で Response Pages を trust/internal zones のみ有効とするよう設定する (他の zone については Response Pages を無効に設定する)。
Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026 (cPanel, 2026.04.28)。cPanel 11.40 以降に認証を回避できる欠陥があった。 修正版が用意されている。
cPanel CVE-2026-41940 Under Active Exploitation to Deploy Filemanager Backdoor (The Hacker News, 2026.05.11)
多数のセキュリティ修正。0-day は無いみたい。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 26.5 and iPadOS 26.5 (Apple, 2026.05.11)
About the security content of iOS 18.7.9 and iPadOS 18.7.9 (Apple, 2026.05.11)
About the security content of iPadOS 17.7.11 (Apple, 2026.05.11)。 iOS / iPadOS 26.4.2 / 18.7.8 で修正された、 Signal 突破の件 CVE-2026-28950 への対応のみ。
About the security content of iOS 16.7.16 and iPadOS 16.7.16 (Apple, 2026.05.11)。上記と同様。
About the security content of iOS 15.8.8 and iPadOS 15.8.8 (Apple, 2026.05.11)。上記と同様。
macOS
About the security content of macOS Tahoe 26.5 (Apple, 2026.05.11)
About the security content of macOS Sequoia 15.7.7 (Apple, 2026.05.11)
About the security content of macOS Sonoma 14.8.7 (Apple, 2026.05.11)
tvOS
About the security content of tvOS 26.5 (Apple, 2026.05.11)
watchOS
About the security content of watchOS 26.5 (Apple, 2026.05.11)
visionOS
About the security content of visionOS 26.5 (Apple, 2026.05.11)
「親しい人だけ」のはずが…… なぜBeRealから社内情報は流出するのか (鈴木 朋子 / Impress Watch, 5/8)
ここまで、BeRealは親しい人にだけリアルな自分を共有するSNSだと説明しました。それなら、なぜ社内情報を撮影した投稿がXなどに流出したのでしょうか。
投稿が流出するには、本人以外が投稿をスクリーンショットか画面録画で保存する必要があります。BeRealではスクリーンショットを撮ると本人に通知される機能がありましたが、現在通知されないようになっているため、どちらも可能です。つまり、本人は親しいと感じている誰かが投稿を保存し、公開範囲を超えて流出させたということです。
また、BeRealは、投稿からおおよそ24時間で他ユーザーから自分の投稿が見られなくなります。例外は本人がプロフィール画面に固定した投稿です。
今回の流出では、2年前と推測される投稿もありました。本人がプロフィール画面に固定していなければ、繋がっている人が24時間以内に保存し、ずっと保管していたということになります。
関連: 西日本シティ銀行の炎上動画、じつは2024年撮影か。企業が恐れるべきはもう防げない「過去の漏えい」 (篠原修司 / Yahoo, 5/4)
「仲間内だから大丈夫」利用者の油断が招く情報漏洩 自治体・銀行などでSNS通じた“流出”相次ぐ Z世代激増の写真動画共有アプリ「BeReal.」を検証【専門家解説】 (ABC / Yahoo, 5/7)
なぜ「BeReal」から漏えいが相次ぐのか “2分以内”の焦りが生む不用意な投稿 (ITmedia, 5/1)
》 Googleのサーバーにデータを送信しないはずのChrome内AIモデル、説明がひっそり書き換わり物議 (Internet Watch, 5/11)。Google がまたやった (悪いことを)。
Chromeが容量4GBにもおよぶデバイス内AIモデルを何の説明もなくインストールしていた (中略) このデバイス内AIモデルがGoogleのサーバーにデータを送信しないという説明が、Chromeの新バージョン148でひっそり削除された
》 【EU】メローニ首相、AIで作られた下着姿の偽画像を自ら告発——伊「不当な害」刑罰法の効力 (Velleity Note, 5/7)
EU全体では、AI法の第50条が2026年8月からAI生成・改変コンテンツのラベリングと合成的やり取りの開示を義務化し、違反すると世界売上の最大6%の制裁金が科されます。さらにEUは、現実の人物の同意なしの性的画像を作るAI(いわゆる「ヌード化アプリ」)の禁止に向けた法改正も進めている最中です。メローニ首相の今回の発信は、その規制強化の追い風として動き出した象徴的な一幕でした。
おぉぅ。これは……
【8月2日施行】EU AI法コンテンツラベリング対応チェックリスト15項目|マーケター・法務・個人事業主向け (しおどめ / note, 5/5)
具体的に何が対象になるかというと、テキスト、画像、音声、動画——生成AIが関与したあらゆるコンテンツが含まれます。ChatGPT、Claude、Gemini、Midjourney、Stable Diffusionなど、ツールの種類は問いません。「AIで叩き台を作って人間が手直しした」場合も、AIの関与が実質的であれば開示が求められます。
「機械可読形式」というのは、HTML上の特定のメタデータタグや、画像ファイルに埋め込まれたC2PA(Coalition for Content Provenance and Authenticity)標準のウォーターマークなどが想定されています。「人間が認識できる方法」とは、コンテンツの冒頭や末尾に「このコンテンツはAIによって生成されました」などの文言を記載することです。
現時点でEU当局が推奨している表示例はこうです:
- テキストコンテンツ: 記事の冒頭または末尾に「このコンテンツはAIアシスタントを使用して作成されました」などの一文
- 画像: 「AI生成」「AI-generated」などのキャプション、またはC2PAメタデータの埋め込み
- 動画: オープニングクレジットまたは説明欄での開示
- SNS投稿: ハッシュタグ(#AIGenerated, #AI作成 )または投稿文内への明記
セキュリティホール memo も DeepL 訳を引用していたりするので他人事じゃないね。 とりあえず記載方法を「DeepL 訳」から「DeepL AI 訳」 に変えてみたけど、これでいいのかな。
》 AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変 (鈴木聖子 / ITmedia, 5/11)。悪貨は良貨を……。
米セキュリティ企業Minimusの専門家は、AIが生成した「ゴミ報告」が激増したことで、かつて15%程度あった有効な報告の割合は5%未満に低下したと指摘する。「脆弱性探しにAIを利用しても、重大なゼロデイの発見が増えるとは限らない」。それどころか「もっともらしく見えながら悪用はできない」脆弱性報告が殺到して、トリアージ担当者が何千件もの検証を強いられる状況に追い込まれているという。
》 防衛装備庁、国産ドローン300台を1.1億円で導入へ 日本企業と契約 (ITmedia, 5/9)、 テラドローン、防衛装備庁より国産ドローン「モジュール型UAV(汎用型)」300式・1.15億円を受注 ~参入障壁の高い防衛分野において、本格参入から短期間で初受注を実現。拡大する国内防衛需要を背景に、国産ドローンの供給を本格展開~ (テラドローン, 5/9)。 115,434,000円 / 300 = 1機あたり 384,780円。 「モジュール型UAV(汎用型)教育用」って何だろう。
テラドローン---急騰、ストップ高、防衛装備庁から案件受注 (diamond.jp, 5/11)
なお、今回納入する製品は現在発表済みの迎撃ドローン「Terra A1」や「Terra A2」とは異なるプロダクトで、自社開発かつ国産のドローンとなる。
荒井陸上幕僚長 定例記者会見 (防衛省, 2/24)
我が国への侵攻が万が一生起した場合に、侵攻部隊から我が国を防護するためには、高価なアセットを含む、有人アセットのみならず安価、かつ大量のUAV、USV、UUVを活用することによって、これらの組み合わせによる非対称的かつ多層的な防衛体制を早急に整備することがこれまで以上に喫緊の課題となっているというのが全般の認識です。その上で陸上自衛隊としては近距離で情報収集等を行う、FPVのモジュール型UAV、それから車両・舟艇等を捜索した上で体当たりにより攻撃する小型攻撃用UAVⅡ型及びⅢ型、敵艦艇等への情報収集を行う小型多用途USVや小型多用途UUVを取得する計画であります。
「近距離で情報収集等を行う」ための UAV と。
防衛力抜本的強化の進捗と予算 令和8年度予算の概要 (防衛省, 4/8)。 「令和8年度予算 ~重点ポイント~」の筆頭が UAV なのだが、 「モジュール型UAV」が何をする用なのか、図からはいまいちわからなかったんだよね。 汎用クアッドコプターに見えはするのだけど。
》 米国、ホルムズ海峡通過支援「プロジェクト・フリーダム」開始→36時間で中止
トランプ大統領がホルムズ海峡“通航支援”を「一時停止」…わずか1日での方針転換 「戦闘終結“覚書”近く合意か」米メディアが報道【news23】 (TBS, 5/7)
Trump’s abrupt U-turn on a plan to reopen the Strait of Hormuz came after backlash from allies (NBC, 5/7)。「ホルムズ海峡の封鎖解除計画をめぐり、トランプ氏が急きょ方針を転換したのは、同盟国からの反発を受けたためである」。DeepL AI 訳:
当局者によると、トランプ氏は日曜日の午後、ソーシャルメディアで「プロジェクト・フリーダム」を発表し、湾岸諸国の同盟国を驚かせ、サウジアラビアの指導部を激怒させたという。これに対し、サウジアラビアは米国に対し、リヤド南東部のプリンス・スルタン空軍基地からの米軍機の離陸や、同作戦を支援するためのサウジアラビア領空の通過を許可しないと通告した、と当局者は述べた。
米政府高官2人によると、トランプ大統領とサウジアラビアのムハンマド・ビン・サルマン皇太子との電話会談でも問題は解決せず、その結果、大統領は米軍がこの重要な空域へのアクセス権を取り戻すため、「プロジェクト・フリーダム」を一時中断せざるを得なくなった。
Trump reversed a Hormuz plan after Saudis denied airspace access. (NYTimes, 5/7)
阿呆としか言いようが。いいかげん、根回ししてからやることを覚えろよ。 学習能力が無いのか? (ドナルド君には本当に無いっぽいよなあ……)
》 実の娘に性的暴行加えた大門広治被告(54)懲役8年が確定 期限までに上告せず 被害受けた娘「大きな区切りにはなるが、むしろここからがスタート」 今後は民事裁判起こすか検討 (MBS / Yahoo, 5/8)。ようやく。事件発生から 10 年かかっている。
原子力規制庁の「業務用スマホ」紛失、1年間で少なくとも6件…ホテル周辺、路上、移動中 開示文書で判明 (弁護士ドットコムニュース, 5/8)。「2025年に少なくとも紛失6件」。
ザックから落下、ファスナー閉め忘れ…原子力規制庁の「業務用スマホ」紛失の実態…数日気付かないケースも (弁護士ドットコムニュース, 5/8)
サハリン1・サハリン2プロジェクト (在ユジノサハリンスク日本国総領事館)
資源・燃料政策の現状と今後の方向性 (資源エネルギー庁, 2023.02)
- サハリン2では、LNGに加えて、天然ガス生産時にコンデンセート(原油の一種)が随伴して生産される。これをベースとした、「サハリンブレンド」という原油を従前から輸出している。
- 仮に、サハリン島からの搬出ができなくなった場合、「サハリンブレンド」がサハリン島の原油タンクに貯まり続け、原油タンクが満杯となる。そうなると、LNG生産も止めざるを得なくなる。
- そのため、「サハリンブレンド」をサハリン島から搬出(購入)し続けることが、LNGの安定供給のために不可欠。
- プライスキャップによって、「サハリンブレンド」の搬出が停止し、結果としてLNG生産が停止することがないよう、G7各国に対して、サハリン2の重要性について丁寧に説明し、サハリン2で生産された原油をプライスキャップの適用除外とするよう働きかけを進めてきたところ。
- その結果、米国等の制度においても、サハリン2で生産された原油は、プライスキャップの適用除外とされた。また、日本の制度でも適用除外としている
サハリン2の日本向けLNG輸出、25年は全体の58%=運営会社 (ロイター, 4/22)
ロシア極東サハリン沖の石油・天然ガス開発事業「サハリン2」の運営会社サハリンスカヤ・エネルギヤは、2025年に同事業が供給した液化天然ガス(LNG)の58%は日本向けだったと明らかにした。また、22年以来初めて石油も供給したという。
ロシア産原油の荷揚げ開始、ホルムズ封鎖後初の輸入 制裁の例外「サハリン2」から調達 (産経, 5/5)
出光興産もロシア・サハリン2産の原油を輸入、タンカーが今治から千葉へ 調達先を多角化 (産経, 5/7)。VOYAGER が千葉に移動。
【独自】政府訪ロ団、5月下旬に 三井物産、商船三井参加 (共同, 5/8)
》 Apple、一部Macで「大容量メモリ構成」削除 世界的なメモリ不足で Mac Studioは最大96GBに制限 (ITmedia, 5/7)
》 データを保存する先がない? 世界的なストレージ不足と価格高騰がInternet ArchiveやWikipediaを直撃 (Internet Watch, 5/8)
》 自転車青切符時代の自己防衛策に!! 自転車用ミラーをいろいろ比べてみた【ぼっち・ざ・ろーど!その8】 (Internet Watch, 5/8)
Linux カーネルに新たな欠陥。 2 件の欠陥 CVE-2026-43284 (esp4 / esp6) CVE-2026-43500 (rxrpc) を組み合せることで local user が root 権限を取得できる。
Linux Kernel Dirty Frag LPE Exploit Enables Root Access Across Major Distributions (The Hacker News, 2026.05.08)
CVE-2026-43284 (RHEL, 2026.05.07)
Dirty Frag (CVE-2026-43284, CVE-2026-43500) vulnerability fix is ready for testing (AlmaLinux, 2026.05.07)
とりあえず以下で回避できるらしい。
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Dirty Frag 脆弱性クラス (class) に属すると自称する Fragnesia が登場。 CVE-2026-46300。 回避方法は Dirty Frag と同様でよいそうで。
「Google Chrome 148」では127件もの脆弱性修正も ~深刻度最高評価の致命的なものは3件 (2026.05.07)
Microsoft Edge も Chromium 148 ベースに。 独自のセキュリティ欠陥修正も 3 件あり。
「Microsoft Edge 148」が公開 ~新しいAI設定ページを導入、致命的な脆弱性も修正 (窓の杜, 2026.05.08)
》 「セーラームーンに似ている」 生成AIを使った化粧品の広告が物議 メーカーは謝罪と広告の撤去を発表 (ITmedia, 5/7)。これほどあからさまにやっているにもかかわらず、 本家に許可取ってなかったというのはどういうことなのか。 株式会社ウテナの法務は何やってたの。
ウテナ「モイスチャー」が全編AIアニメ公開、制作時間を大幅短縮 変身ヒロインで若年層へアピール (AdverTimes., 5/1)。AI 利用を大々的に宣伝していた。
動画制作では、企画・構成といったクリエイティブの“核”となる部分はPRチームの人間が担い、映像化のプロセスにおいてCrestLabのアニメーションDXサービスを導入。通常、1分のアニメ制作には半年から1年を要する場合もあるが、AIの活用により数時間から半日程度での試行・検証が可能になった。短期間でのトライアンドエラーを経て、細部までこだわった映像表現を実現している。
ウテナ モイスチャーの広告に関するお詫びとご報告 (株式会社ウテナ, 5/6)
本件は外部専門家を交えてリーガルチェックを重ねた上で公開に至りましたが、既存作品との類似性を含めたご指摘について、改めて専門家など第三者による指導を受けながら、関連する法規制などの点で問題がないかを確認してまいります。
》 ドローン攻撃受けたAWS中東(UAE)リージョン、復旧には数カ月かかる見込み (ITmedia, 5/7)。このまま終戦になったとしても、ということだろう。
》 macOS版「Notepad++」プロジェクトが商標侵害・誤認誘導の疑いで炎上 次期バージョンから「Nextpad++」に改称へ (窓の杜, 5/5)。
》 タイで新型コロナ類似ウイルス発見、人への感染能力ありか 東大など (日経, 5/7)。やっぱりコウモリが自然宿主なのですね。
ウイルスの遺伝情報や発生する地理情報を基に解析すると、タイを含むインドシナ半島ではヒトに感染する能力を持ったウイルスが大規模に移動しながら変異し、多様なウイルスの出現につながっている可能性が示された。
中東情勢影響による油剤メーカー各社動向(2026-05-01版) (日立工油, 5/1)。ほぼ壊滅と。
日立工油さんは 3/20 から各社動向のまとめを公開 されていて興味深い。 この時点で各社ほぼ受注停止だったと。 新着情報のページ から閲覧できる。
中東問題でディーゼル車用エンジンオイル不足が深刻 カタール産ベースオイルが一因 ガソリン車用は供給続くが… (日本自動車会議所, 4/17)
■カタール産ベースオイルが一因ここまでの状況に至った一因が、エンジンオイルの原材料となるベースオイルの供給量が減少したことだ。エンジンオイルは、主成分のベースオイルと酸化防止剤などの添加剤で構成される。添加剤の成分を変えることで、ガソリンエンジン(GE)用、DE用それぞれに最適なオイル性能にしている。
添加剤は、北米のメーカーから輸入することが多いため、現時点で大きな支障が出ていないもよう。しかし、一定の品質が求められる自動車のエンジンオイルに適する「グループIII」のベースオイルは国内で精製しておらず、韓国やカタールが主な輸入先となっている。
このうち、カタールにある英シェルの精製施設がイランからの攻撃を受け、出荷が全面的に停止した。潤滑油メーカーの関係者によると「正確な統計があるわけではないが、カタールからのベースオイルは日本の輸入量全体の2割程度を占めていたのではないか」としている。残り8割に相当する韓国からの輸入は継続しているものの、メーカーが供給制限をかけており、前年の実績以上は発注できない状況だ。
■DE用固有の要因もベースオイル供給量の減少はGE用にも共通する課題だが、DE用はさらに固有の要因が重なった。そもそもDE用はGE用に比べて需要が少ない。このため、「本来、特約店や商社はあまり在庫を持たない」(関係者)のが通例だ。加えて、「繁忙期の年度末にかけて一気に発注量を増やす会社が多い」(同)という商慣習もある。そのタイミングで今回の中東問題が発生。エンジンオイル流通の各段階で在庫を確保しようとする動きが生じ、需要が供給を上回った。「発注が急増し、元売り各社が受注を停止せざるを得ない状況になった」(同)としている。
【2026年4月26日】現在のイラン情勢とエンジンオイルについて (TAKMO, 4/26)
オイルの残りの10~20%を占めるのが添加剤です。酸化防止剤、清浄分散剤、摩耗防止剤など、数十種類の化学物質が絶妙なバランスで配合されていますが、ここにもホルムズ海峡の実質的な閉鎖の影響が忍び寄っています。
(中略)
世界の添加剤市場は、ルブリゾール、インフィニウム、オロナイト、アフトンの4社でほぼ独占されています。彼らの工場は米国や欧州、シンガポールにありますが、その原料となる中間化学品の多くが、実は中東の石油化学プラントから供給されています。
2026年5月 DH-2の不足と受注停止について 私見です (オイルマニアブログ, 5/2)
現在大型トラック用のDH-2規格オイルの不足が目立ちます。不足の一番の理由は石油元売りの受注停止と思います。
DH-2はグループⅠベースオイルを製造している元売りが多くを製造しているため元売りの受注停止の影響が強く出ています。
またDH-2規格は日本の国内規格のため、海外での製造がほぼなく輸入オイルでの代替えがあまりできません。現在DH-2規格相当のオイルが少し輸入されているようですが性能は不明です。なお一部韓国製などでDH-2合格品があるようですがどの程度輸入されているかは不明です。
元売の受注停止は大量の注文が殺到したためで、現在昨年以上の製造をして不足を解消しようと努力されていると思いますが、今受注を再開するとさらに大量の発注が予想され再び受注停止に追い込まれるため停止が続いていると思われます。
》 情報BOX:クルーズ船で集団感染のハンタウイルスとは (ロイター, 5/7)。 ハンタウイルスにもいろいろあるが、 北米・南米の奴によるハンタウイルス肺症候群 (HPS) が怖いようで。
国外航行中のクルーズ船におけるハンタウイルス感染症事例について (国立健康危機管理研究機構, 5/6)
ハンタウイルス感染症(腎症候性出血熱、ハンタウイルス肺症候群)(Hantavirus Infection) (厚生労働省 検疫所)
ハンタウイルス肺症候群(詳細版) (国立健康危機管理研究機構)。
》 スピリット航空終了のお知らせ (5/2)。 イラン戦争による燃料高騰が経営再建中だったスピリット航空にとどめを刺した模様。
スピリット航空 (ウィキペディア)。米国の LCC。
Why Is Trump Obsessed With Saving Spirit Airlines? (Steven Rattner / NYTimes, 4/29)。スピリット航空終了直前に書かれたコラム。「なぜトランプ氏はスピリット航空の救済に執着しているのか?」
ワシントンに改めて申し上げたいのは、資本主義は概して機能しているということだ。わが国の経済は世界から羨望の的となっているが、その大きな要因は、不振な企業が倒産しても市場が機能し続ける点にある。スピリット航空の1万7000人の雇用は失われることになるだろうが、自動車業界で100万人以上の雇用が危機に瀕していた2009年と比べれば、現在の経済はそうした雇用を吸収する余力がはるかに大きい。
スピリット航空を清算させ、その墓標を航空会社の墓場に追加すべきだ。
米スピリット航空が全便停止、政府救済まとまらず 燃料価格高騰受け (日経, 5/2)
米スピリット航空が全便の運航停止、事業閉鎖へ カスタマーサービスも利用不能に (CNN, 5/2)
トランプ政権のスピリット航空救済、瓦解の内幕 (Wall Street Journal, 5/3)
Spirit Airlines, a Pioneer of Low-Fare Flights, Shuts Down (NYTimes, 5/2)。DeepL AI 訳:
トランプ政権は、スピリット航空に5億ドルの救済資金を提供するため、土壇場での取り組みを開始したが、政府当局者と航空会社の債権者は、同社を救うための合意に間に合わなかった。
提案された救済策が投資家から反発を受けたのは、トランプ政権が、万が一スピリット航空が倒産した場合、政府が同社の資産に対して最優先の弁済権を持つことを要求していたことも一因だった。そうなれば、同社に融資していた他の投資家は、ほとんど、あるいは全く回収できなくなっていたはずだ。
事情に詳しい関係者によると、同航空会社の貸し手側は、政府との合意において貸し手側に有利な条件を盛り込んだ独自の対案を提示していた。しかし、当事者間で合意には至らなかった。
Spirit Airlines (NYTimes)
Androidに致命的な任意コード実行の脆弱性 ~2026年5月セキュリティ更新 (窓の杜, 2026.05.07)。今回は セキュリティ更新プログラムレベル 2026-05-01 だけ、だそうで。
Firefox 150.0 / ESR 140.10.0 / ESR 115.35.0 、Thunderbird 150.0 / 140.10.0esr 公開。
Firefox 150.0.1 / ESR 140.10.1 / ESR 115.35.1、 Thunderbird 150.0.1 / 140.10.1esr が公開されている。 セキュリティ修正を含む。
Firefox 150.0.1、Firefox for Android 150.0.1 がリリースされた (mozillaZine, 2026.04.29)
Thunderbird 150.0.1 がリリースされた (mozillaZine, 2026.05.01)
Apache httpd 2.4.67 公開。11 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
mod_proxy_ajp: 4 件 CVE-2026-34059 CVE-2026-34032 CVE-2026-33857 CVE-2026-28780
mod_authn_socache: 1 件 CVE-2026-33007
mod_auth_digest: 1 件 CVE-2026-33006
mod_dav_lock: 1 件 CVE-2026-29169
mod_md: 1 件 CVE-2026-29168
mod_rewrite: 1 件 CVE-2026-24072
複数のモジュール: 1 件 CVE-2026-33523
複数のモジュール (詳細不明) において HTTP レスポンス分割の発生を許してしまう。 報告者は早稲田大学の Haruki Oyama 氏。
HTTP/2 実装: 1 件 CVE-2026-23918
mod_http2 が更新されているし mod_http2 の欠陥なのかしらんと思うのだが、 そのようには書かれていないんだよね。
広く利用されている仮想ドライブツール DAEMON Tools の無料版 DAEMON Tools Lite がマルウェア (トロイの木馬) 版だったことが明らかとなった。 具体的には 2026.04.08 以降のバージョン 12.5.0.2421〜12.5.0.2434 がマルウェア混入版となっていた。有料版には同様の欠陥はない。
DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026 (Kaspersky, 2026.05.05)。発見者 Kaspersky のブログ。 DeepL AI 訳:
2026年が始まってからまだ4か月しか経っていませんが、この短い期間のうちに、報告されるサプライチェーン攻撃の件数が増加していることが確認されています。1月にはeScan、2月にはNotepad++、4月にはCPU-Z、そして5月にはDAEMON Toolsについて調査を行いました。このようにサプライチェーン攻撃の観測件数が急増していることを踏まえ、組織はインストールするソフトウェアの選定に細心の注意を払う必要があります。同時に、これは、広く使用され信頼されているアプリケーションが、その影響範囲の広さゆえに、攻撃者にとって極めて価値のある侵入経路となっていることを示しています。組織のサイバーセキュリティ戦略を策定する際には、この点を念頭に置き、「ゼロトラスト」戦略を確実に実施できるようにすべきです。
Security Incident Affecting DAEMON Tools Lite: What We Know So Far (Daemon Tools, 2026.05.06)。オフィシャル。
DAEMON Tools Lite 12.6.0.2445 で修正されている。
Chrome 148.0.7778.96 for Linux および 148.0.7778.96/97 for Windows / Mac が stable に。127 件 (!) のセキュリティ修正を含む。 関連:
Stable Channel Update for Desktop (Google, 2026.05.05)。 127 件のうち 100 件が Reported by Google、その他が外部研究者。 Critical 3 件も 2 件が by Google, 1 件が外部研究者。
Chrome for Android Update (Google, 2026.05.05)。 Chrome 148 (148.0.7778.120) for Android。
Microsoft Edge も Chromium 148 ベースに。 独自のセキュリティ欠陥修正も 3 件あり。
「Microsoft Edge 148」が公開 ~新しいAI設定ページを導入、致命的な脆弱性も修正 (窓の杜, 2026.05.08)
》 政府・日銀が30日に円買い介入、財務相らの「最後通告」後=関係者 (ロイター, 4/30)
ドルはこの日の日中、一時160円後半と1年9カ月ぶりの高値圏まで上昇。夕方に片山財務相が「いよいよ『断固たる措置』を取るタイミングが近づいてきた」、続いて三村淳財務官が「最後の退避勧告」と発信するとドルは160円を割り込み、その後も下げ足を速めて155円台半ばまで下値を広げた。
関連:
30日の為替介入規模は約5.4 兆円の可能性、日銀当座預金が示唆 (ブルームバーグ, 5/1)
30日の円買い介入、5兆円規模か 市場推計 (日経, 5/1)
米ドル円急落、一時155円台に 追加的な為替介入の可能性と介入効果の持続性が焦点 野村證券・後藤祐二朗 (後藤祐二朗 / 野村証券, 5/1)
為替介入効果はどこまで続くか? ~日銀利上げ見送りによる円安を為替介入でカバー~ (熊野 英生 / 第一ライフ資産運用経済研究所, 5/1)
CVE-2026-42167: SQL injection in ProFTPd prior to 1.3.9a (oss-sec ML, 2026.05.01)。mod_sql に SQL injection を招く欠陥があり、 ProFTPd 1.3.9a で修正された模様。
dhclient が 2 件
FreeBSD-SA-26:12.dhclient - Remote code execution via malicious DHCP options (FreeBSD, 2026.04.29)。攻略 DHCP サーバーから root 権限で任意のコードを実行される。
reeBSD-SA-26:15.dhclient - Remotely triggerable out-of-bounds heap write in dhclient (FreeBSD, 2026.04.29)。こちらも任意のコードの実行を招きかねない模様。
libnv が 2 件
FreeBSD-SA-26:16.libnv - Stack overflow via select() file descriptor set overflow (FreeBSD, 2026.04.29)。libnv を使用するアプリが suid root だと 権限上昇に使われると。
FreeBSD-SA-26:17.libnv - Heap overflow in libnv (FreeBSD, 2026.04.29)。こちらも権限上昇に使われかねないと。
あと exec と pf。
FreeBSD-SA-26:13.exec - Local privilege escalation via execve() (FreeBSD, 2026.04.29)。root 権限を取られる。
FreeBSD-SA-26:14.pf - pf can overflow the stack parsing crafted SCTP packets (FreeBSD, 2026.04.29)。攻略 SCTP パケットで system panic する。
過去の記事: 2026 | 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)