![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Thu May 14 16:50:27 2026 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2026 | 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
G現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 イラン危機 爆撃された小学校 (共同)。現地取材。
米軍による誤爆が疑われているイラン南部ミナブの小学校爆撃について、共同通信テヘラン支局が外国メディアを管轄するイラン当局に現地取材の許可を申請し、4月末に認められた。現地取材は5月6日に行い、当局による制限や介入は一切なかった。厳格な報道規制を敷くイランでは外国メディアが地方を取材する場合、当局に個別に許可を得る必要がある。
》 【速報】OpenAIがブラウザを乗っ取る!Codex Chrome拡張で「ログイン済みセッション」にAIがアクセスする時代 (emi_ndk / qiita, 5/12)。これはマルウェアでしょ。 どうも OpenAI という会社は、Sora といいコレといい、やっていいことと悪いことの区別がついていない感があるなあ。
》 ENEOS管理の原油タンカーがホルムズ海峡通過の報道 (NHK, 5/14)。 VLCC の ENEOS ENDEAVOR Crude Oil Tanker IMO: 9924091 (marinetraffic.com)、ようやくペルシャ湾を脱出。 おめでとうございます。 これで ENEOS 運航船腹 は全隻ペルシャ湾外にいます。
関連
ツイート
ホルムズ海峡を通過した「ENEOS ENDEAVOR」は,5月11日までペルシャ湾側にいたことを確認しています。
— 渡邉英徳 wtnv (@hwtnv) May 13, 2026
5月に入ってからGPSジャミングが顕著になり,正確に位置を追えていませんでした。突如として通過したことに驚いています。 pic.twitter.com/1joMQZc3KQ
》 イラン革命防衛隊 “ホルムズ海峡の作戦上の境界 大幅に拡大” (NHK, 5/13)。実効支配域宣言かな。
》 中国がパキスタンに潜水艦引き渡し 計8隻を予定、軍事協力深化 (日経, 5/11)。 こちらの件:
Pakistan Navy Commissions First Hangor-class Submarine in China (Naval News, 4/30)
Hangor-class submarine (Wikipedia)。 元型がベース。
》 「Android 17」に複数の新機能 銀行を装った詐欺電話の自動切断や“10秒待機”でアプリの使いすぎ防止も (ITmedia, 5/14)
Linux KernelのLPE(Local Privilege Escalation)脆弱性(Dirty Frag: CVE-2026-43284, CVE-2026-43500) (2026.05.08)
Dirty Frag 脆弱性クラス (class) に属すると自称する Fragnesia が登場。 CVE-2026-46300。 回避方法は Dirty Frag と同様でよいそうで。
Apache Tomcat。 11.0.22 (2026.05.05) / 9.0.118 (2026.05.10) / 10.1.55 (2026.05.11) が公開された。 セキュリティ修正を含む。 Moderate x 2、Low x 5。
Moderate x 2 はこんなの。
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 (emi_ndk / qiita, 2026.05.03)
》 GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access (Google, 5/12)。DeepL AI 訳:
本レポートは、マンディアント(Mandiant)のインシデント対応業務、Gemini、およびGTIGの積極的な調査から得られた知見に基づき、AIが攻撃者の作戦における高度なエンジンであると同時に、攻撃の標的として高い価値を持つという、現在の脅威環境の二重性を浮き彫りにしています。
》 New GhostLock tool abuses Windows API to block file access (bleeping computer, 5/11)。Windows の仕様だそうです。 DeepL AI 訳:
ファイルが「dwShareMode = 0」で開かれると、Windowsはそのプロセスにファイルへの排他アクセス権を付与し、他のユーザーやアプリケーションがそのファイルを開くことを防ぎます。 (中略) このツールは「標準」のドメインユーザーでも実行でき、ファイルをロックするために管理者権限は必要ありません。 (中略) 関連するSMBセッションが終了するか、GhostLockプロセスが強制終了されるか、または影響を受けたシステムが再起動されると、Windowsは自動的にハンドルを閉じ、ファイルへのアクセスが復元されます。
こちら: kimd155/ghostlock (GitHub)
》 戦勝記念日パレードの縮小で露わになったロシアの脆弱さ…ウクライナのモスクワ攻撃情報に慌てたプーチン (東洋経済 ONLINE / Yahoo, 5/12)
結果的にアメリカのトランプ大統領がパレード前日、プーチンの要望を受け入れる形で9日を挟んで3日間の停戦を提案。これにウクライナも同意したことで、パレード攻撃という、プーチンにとって最悪のシナリオは土壇場で回避できた。
しかし、結果的にみれば、戦勝記念日という最大の祝祭行事が、トランプ、ゼレンスキー両大統領の「安全の約束」を得て、ようやく開催できたという、ロシアにとって、屈辱的な事態となった。
》 性自認なしに男女区別、憲法抵触 戸籍表記変更の審判、大阪高裁 (東京, 5/12)
大阪高裁(大島雅弘裁判長)は12日までに、男女を区別する運用は「法の下の平等を定めた憲法14条の趣旨に抵触し、是正すべき状態にある」と判断した。 (中略)
決定理由で大島裁判長は、戸籍に記載すべき性別情報について、いずれにも当てはまらない性自認を有する国民の存在を前提にしておらず、戸籍上の性別の表示方法を変更する手段がない現状は「LGBT理解増進法の基本理念に反する」と指摘した。
日本国憲法 第十四条 (e-gov)
性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する法律 第三条(基本理念) (e-gov)
(基本理念)
第三条 性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する施策は、全ての国民が、その性的指向又はジェンダーアイデンティティにかかわらず、等しく基本的人権を享有するかけがえのない個人として尊重されるものであるとの理念にのっとり、性的指向及びジェンダーアイデンティティを理由とする不当な差別はあってはならないものであるとの認識の下に、相互に人格と個性を尊重し合いながら共生する社会の実現に資することを旨として行われなければならない。
性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する法律 第四条(国の役割) (e-gov)
(国の役割)
第四条 国は、前条に定める基本理念(以下単に「基本理念」という。)にのっとり、性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する施策を策定し、及び実施するよう努めるものとする。
というわけで、国は施策をとっとと実施しろ。
》 出光、国内向け安定供給を「最優先」-追加コストは価格転嫁へ (ブルームバーグ, 5/12)
》 中東情勢の影響による一部商品仕様見直しのお知らせ (カルビー, 5/12)。正式発表来ました。ポテチ、堅あげポテト、かっぱえびせん、フルグラ。
中東情勢の緊迫化に伴う一部原材料の調達不安定化を受け、商品の安定供給を最優先とする観点から、当面の対応策として一部商品のパッケージ仕様を見直しますので、お知らせいたします。
》 ENEOS の VLCC (超大型) タンカー「BRIGHT HORIZON」、根岸製油所に到着
BRIGHT HORIZON Crude Oil Tanker IMO: 9787780 (marinetraffic.com)。200万バレル積める船。
アゼルバイジャン産原油、日本到着 イラン情勢悪化で調達多角化 (毎日, 5/11)。「アゼルバイジャンからは64万8000バレルを輸入した」。
アゼルバイジャン産原油、12日にも日本に 中央アジア産代替調達は初 (日経, 5/11)
12日にも横浜市の根岸製油所に着く。64万8000バレルを運び、うち28万3000バレルを同製油所で使う。残りは鹿児島県の喜入基地に荷降ろしし、各地の製油所に輸送する。
契約内容や具体的な調達ルートは公表していない。同社によると、中央アジア産原油は通常、パイプラインで近隣国とつなぎ、黒海や地中海を経て、喜望峰や紅海ルートで日本などのアジア向けに運ぶという。
洋上積み替え原油が再び日本に、中東緊迫化で異例の調達続く (ブルームバーグ / Yahoo, 4/16)
ブルームバーグがまとめた船舶追跡データによると、オマーンのミナ・アル・ファハル港で、中型サイズのタンカー「Shenlong」に積まれていた原油が、16日までにムンバイ沖でVLCCの「Bright Horizon」に積み替えられた。VLCCは約200万バレルの原油を積載できるが、中型タンカーからの積み替えであるため、Bright Horizonには約75万バレルしか積まれていない。鹿児島県の喜入港に29日に到着する予定だ。
ふぅむ……?
ツイート
「BRIGHT HORIZON」は,オマーン産・アゼルバイジャン産原油をミックスして積載していたようです。
— 渡邉英徳 wtnv (@hwtnv) May 12, 2026
スリランカ・マラッカ間の喫水変化は,AISの誤差修正,あるいはSTSといった要因が考えられます。
いずれにせよ,複数産地・海域をまたぐ複雑なオペレーションを経て,日本へ原油を運び終えています。
積んだり降ろしたりしながら、最終的に「64万8000バレル」が日本に来たということなのかな。 VLCC の満載喫水は 20m くらいのようで、15.5m は「軽め」だそうです。
すでに日本近海に到達している原油タンカー「TENSHO」も,やはり「中東から戻る途中,マラッカで原油を積む」パターンを辿っています。
— 渡邉英徳 wtnv (@hwtnv) May 12, 2026
管理会社は ENEOS OCEAN CORP と表示されており,社名を冠した「ENEOS GROLY」「ENEOS EARTH」と同じく,ENEOS関係船とみられます。 pic.twitter.com/o922vYtyaR
ENEOS の運航船腹 のうち ENEOS ENDEAVOR Crude Oil Tanker IMO: 9924091 が、いまだにペルシャ湾から出られずにいるようです。
》 エンドツーエンドで暗号化されたRCSメッセージング、本日よりベータ版で提供開始 (Apple, 5/11)。まだβ版ですか。
本日より、iOS 26.5を搭載したiPhoneのユーザー、対応する通信事業者、Googleメッセージの最新バージョンを搭載したAndroidユーザーを対象に、エンドツーエンドで暗号化されたRCSメッセージングがベータ版で提供開始されます。
iOS / Android 共に、最新でないと駄目のようです。
ときどき語られる「画像利用30年」という制限は、もはや存在しないのですね。今では無制限に利用されます。
あなたは、当社のサービスを通じて共有するコンテンツを所有し、BeRealに以下の条件でコンテンツを使用するライセンスを付与します:
- 友達限定コンテンツとは、BeRealで友達とだけ共有したコンテンツを意味します。自主的に、一部の人々は、それが通信、商業およびマーケティングの目的のために使用できるようにBeRealと彼らの友人専用コンテンツを共有することを選択することができます。例えば、看板、他の広告、AppleのApp StoreやGoogleのPlay Storeで。その場合、BeRealにあなたの友達限定コンテンツを使用するライセンスを与える必要があります。
- グローバルに共有されたコンテンツとは、BeReal上のすべての人と共有したコンテンツを意味します。当社のサービスを利用する対価として、あなたは当社に対し、あなたが「全世界共有コンテンツ」で共有したコンテンツを、あらゆるメディアや配布方法で使用、コピー、複製、加工、翻案、変更、公開、送信、表示、配布するための、世界的、非独占的、使用料無料、サブライセンス可能なライセンスを付与します。本ライセンスは、当社がお客様の「全世界共有コンテンツ」を全世界で利用可能にし、他者にも同様の利用をさせることを許諾するものです。このライセンスには、BeRealが当社のサービスを提供、宣伝、改善する権利、および他のメディアやサービスでのシンジケーション、放送、配布、宣伝、公表のために、他の企業、組織、または個人がグローバル共有コンテンツを利用できるようにする権利が含まれることに同意するものとします。BeReal、または他の企業、組織、または個人によるこのような追加的な利用は、お客様による当社サービスの利用が十分な対価であるとして、グローバル共有コンテンツに関してお客様に対価を支払うことなく行われます。
30 年はいつ無くなったの?
話題沸騰中のSNSアプリ「BeReal」は安全?プライバシーリスクを徹底解説 (Avast, 2022.12.10)。2022 年当時は 30 年だったようです。
利用規約 (BeReal / archive.is, 2023.04.25 更新)。この時点で 30 年は消えています。
Be care.
》 カルビーのポテチ、なぜ白黒包装に? ナフサ不足が覆す売り場の常識 (日経, 5/12)。さすが日経という感じ。
食品メーカーのもとには包材メーカーからの値上げ要請が届いている。ある中堅菓子メーカーは「インキやフィルム不足を背景に6月以降のフィルム価格を20〜40%引き上げたいとの打診を受けた」と明かした。
これはさすがに、考えざるを得ないよなあ。
》 カルビー「ポテトチップス」のパッケージが白黒2色へ 中東情勢の緊迫化で印刷インクなどの調達が不安定に (TBS, 5/11)。ポテチだけではないようで。
ナフサ不足、ポテチの袋を白黒にする…カルビーが方針 (読売 / Yahoo, 5/11)。最主力の製品が対象となっているようで。
対象はポテトチップスの「うすしお味」、「コンソメパンチ」のほか、「かっぱえびせん」など計14の主力商品。
カルビーだけでもないようで。
カルビー、ポテトチップスなど白黒包装に インク不足で伊藤ハムも検討 (日経, 5/11)。ちゃんと取材している会社はこういう記事を書けるという例。
伊藤ハム米久ホールディングスの浦田寛之社長は1日の決算発表会で「今後、カラフルなパッケージは難しくなる。白黒などシンプルな包装になる可能性がある」と語った。
伊藤ハム社長が 5/1 にそう語っていたがカルビーが先に来た、 ということなんですね。
中堅飲料メーカーは5月下旬から生産を請け負う小売り大手ブランドなど15商品の乳酸菌飲料についてパッケージ容器の印字を取りやめると決めた。食品や飲料で白黒パッケージや印字なしパッケージへの切り替えが進みそうだ。
パッケージ白黒化は避けられそうにないようです。 イランは ok ok と言っているのにタンカーを通さない高市政権のおかげですね。
業務用はもとからシンプルじゃん、みたいなツイートもみかけた。
カルビー 業務用 ポテトチップス うすしお 188g 6個セット (リカーショップおおの 楽天市場店)。 なるほど。確かに。
それにしても気になるのは朝日の記事タイトル。
ポテトチップスの袋が白黒に カルビー、中東情勢受けインク不足か (朝日, 5/11)。「か」って何だよ「か」って。 何やってんだ。
ポテチの袋、白黒に カルビー、インク不足で (朝日, 5/12)。5/12 付記事では「で」になっている。
CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID Authentication Portal (Palo Alto Networks, 2026.05.06)。 PAN-OS の User-ID Authentication Portal サービスに buffer overflow する欠陥があり、 remote から無認証で任意のコードを root 権限で実行できる。 既に攻撃が実施されている。
修正版は準備中、2026.05.13 に (一部は 2026.05.28 に) リリース予定。
緩和策としては、User-ID Authentication Portal サービスを停止する、 あるいは User-ID Authentication Portal サービスへのアクセスを trusted zones のみに制限した上で Response Pages を trust/internal zones のみ有効とするよう設定する (他の zone については Response Pages を無効に設定する)。
Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026 (cPanel, 2026.04.28)。cPanel 11.40 以降に認証を回避できる欠陥があった。 修正版が用意されている。
cPanel CVE-2026-41940 Under Active Exploitation to Deploy Filemanager Backdoor (The Hacker News, 2026.05.11)
多数のセキュリティ修正。0-day は無いみたい。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 26.5 and iPadOS 26.5 (Apple, 2026.05.11)
About the security content of iOS 18.7.9 and iPadOS 18.7.9 (Apple, 2026.05.11)
About the security content of iPadOS 17.7.11 (Apple, 2026.05.11)。 iOS / iPadOS 26.4.2 / 18.7.8 で修正された、 Signal 突破の件 CVE-2026-28950 への対応のみ。
About the security content of iOS 16.7.16 and iPadOS 16.7.16 (Apple, 2026.05.11)。上記と同様。
About the security content of iOS 15.8.8 and iPadOS 15.8.8 (Apple, 2026.05.11)。上記と同様。
macOS
About the security content of macOS Tahoe 26.5 (Apple, 2026.05.11)
About the security content of macOS Sequoia 15.7.7 (Apple, 2026.05.11)
About the security content of macOS Sonoma 14.8.7 (Apple, 2026.05.11)
tvOS
About the security content of tvOS 26.5 (Apple, 2026.05.11)
watchOS
About the security content of watchOS 26.5 (Apple, 2026.05.11)
visionOS
About the security content of visionOS 26.5 (Apple, 2026.05.11)
「親しい人だけ」のはずが…… なぜBeRealから社内情報は流出するのか (鈴木 朋子 / Impress Watch, 5/8)
ここまで、BeRealは親しい人にだけリアルな自分を共有するSNSだと説明しました。それなら、なぜ社内情報を撮影した投稿がXなどに流出したのでしょうか。
投稿が流出するには、本人以外が投稿をスクリーンショットか画面録画で保存する必要があります。BeRealではスクリーンショットを撮ると本人に通知される機能がありましたが、現在通知されないようになっているため、どちらも可能です。つまり、本人は親しいと感じている誰かが投稿を保存し、公開範囲を超えて流出させたということです。
また、BeRealは、投稿からおおよそ24時間で他ユーザーから自分の投稿が見られなくなります。例外は本人がプロフィール画面に固定した投稿です。
今回の流出では、2年前と推測される投稿もありました。本人がプロフィール画面に固定していなければ、繋がっている人が24時間以内に保存し、ずっと保管していたということになります。
関連: 西日本シティ銀行の炎上動画、じつは2024年撮影か。企業が恐れるべきはもう防げない「過去の漏えい」 (篠原修司 / Yahoo, 5/4)
「仲間内だから大丈夫」利用者の油断が招く情報漏洩 自治体・銀行などでSNS通じた“流出”相次ぐ Z世代激増の写真動画共有アプリ「BeReal.」を検証【専門家解説】 (ABC / Yahoo, 5/7)
なぜ「BeReal」から漏えいが相次ぐのか “2分以内”の焦りが生む不用意な投稿 (ITmedia, 5/1)
》 Googleのサーバーにデータを送信しないはずのChrome内AIモデル、説明がひっそり書き換わり物議 (Internet Watch, 5/11)。Google がまたやった (悪いことを)。
Chromeが容量4GBにもおよぶデバイス内AIモデルを何の説明もなくインストールしていた (中略) このデバイス内AIモデルがGoogleのサーバーにデータを送信しないという説明が、Chromeの新バージョン148でひっそり削除された
》 【EU】メローニ首相、AIで作られた下着姿の偽画像を自ら告発——伊「不当な害」刑罰法の効力 (Velleity Note, 5/7)
EU全体では、AI法の第50条が2026年8月からAI生成・改変コンテンツのラベリングと合成的やり取りの開示を義務化し、違反すると世界売上の最大6%の制裁金が科されます。さらにEUは、現実の人物の同意なしの性的画像を作るAI(いわゆる「ヌード化アプリ」)の禁止に向けた法改正も進めている最中です。メローニ首相の今回の発信は、その規制強化の追い風として動き出した象徴的な一幕でした。
おぉぅ。これは……
【8月2日施行】EU AI法コンテンツラベリング対応チェックリスト15項目|マーケター・法務・個人事業主向け (しおどめ / note, 5/5)
具体的に何が対象になるかというと、テキスト、画像、音声、動画——生成AIが関与したあらゆるコンテンツが含まれます。ChatGPT、Claude、Gemini、Midjourney、Stable Diffusionなど、ツールの種類は問いません。「AIで叩き台を作って人間が手直しした」場合も、AIの関与が実質的であれば開示が求められます。
「機械可読形式」というのは、HTML上の特定のメタデータタグや、画像ファイルに埋め込まれたC2PA(Coalition for Content Provenance and Authenticity)標準のウォーターマークなどが想定されています。「人間が認識できる方法」とは、コンテンツの冒頭や末尾に「このコンテンツはAIによって生成されました」などの文言を記載することです。
現時点でEU当局が推奨している表示例はこうです:
- テキストコンテンツ: 記事の冒頭または末尾に「このコンテンツはAIアシスタントを使用して作成されました」などの一文
- 画像: 「AI生成」「AI-generated」などのキャプション、またはC2PAメタデータの埋め込み
- 動画: オープニングクレジットまたは説明欄での開示
- SNS投稿: ハッシュタグ(#AIGenerated, #AI作成 )または投稿文内への明記
セキュリティホール memo も DeepL 訳を引用していたりするので他人事じゃないね。 とりあえず記載方法を「DeepL 訳」から「DeepL AI 訳」 に変えてみたけど、これでいいのかな。
》 AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変 (鈴木聖子 / ITmedia, 5/11)。悪貨は良貨を……。
米セキュリティ企業Minimusの専門家は、AIが生成した「ゴミ報告」が激増したことで、かつて15%程度あった有効な報告の割合は5%未満に低下したと指摘する。「脆弱性探しにAIを利用しても、重大なゼロデイの発見が増えるとは限らない」。それどころか「もっともらしく見えながら悪用はできない」脆弱性報告が殺到して、トリアージ担当者が何千件もの検証を強いられる状況に追い込まれているという。
》 防衛装備庁、国産ドローン300台を1.1億円で導入へ 日本企業と契約 (ITmedia, 5/9)、 テラドローン、防衛装備庁より国産ドローン「モジュール型UAV(汎用型)」300式・1.15億円を受注 ~参入障壁の高い防衛分野において、本格参入から短期間で初受注を実現。拡大する国内防衛需要を背景に、国産ドローンの供給を本格展開~ (テラドローン, 5/9)。 115,434,000円 / 300 = 1機あたり 384,780円。 「モジュール型UAV(汎用型)教育用」って何だろう。
テラドローン---急騰、ストップ高、防衛装備庁から案件受注 (diamond.jp, 5/11)
なお、今回納入する製品は現在発表済みの迎撃ドローン「Terra A1」や「Terra A2」とは異なるプロダクトで、自社開発かつ国産のドローンとなる。
荒井陸上幕僚長 定例記者会見 (防衛省, 2/24)
我が国への侵攻が万が一生起した場合に、侵攻部隊から我が国を防護するためには、高価なアセットを含む、有人アセットのみならず安価、かつ大量のUAV、USV、UUVを活用することによって、これらの組み合わせによる非対称的かつ多層的な防衛体制を早急に整備することがこれまで以上に喫緊の課題となっているというのが全般の認識です。その上で陸上自衛隊としては近距離で情報収集等を行う、FPVのモジュール型UAV、それから車両・舟艇等を捜索した上で体当たりにより攻撃する小型攻撃用UAVⅡ型及びⅢ型、敵艦艇等への情報収集を行う小型多用途USVや小型多用途UUVを取得する計画であります。
「近距離で情報収集等を行う」ための UAV と。
防衛力抜本的強化の進捗と予算 令和8年度予算の概要 (防衛省, 4/8)。 「令和8年度予算 ~重点ポイント~」の筆頭が UAV なのだが、 「モジュール型UAV」が何をする用なのか、図からはいまいちわからなかったんだよね。 汎用クアッドコプターに見えはするのだけど。
》 米国、ホルムズ海峡通過支援「プロジェクト・フリーダム」開始→36時間で中止
トランプ大統領がホルムズ海峡“通航支援”を「一時停止」…わずか1日での方針転換 「戦闘終結“覚書”近く合意か」米メディアが報道【news23】 (TBS, 5/7)
Trump’s abrupt U-turn on a plan to reopen the Strait of Hormuz came after backlash from allies (NBC, 5/7)。「ホルムズ海峡の封鎖解除計画をめぐり、トランプ氏が急きょ方針を転換したのは、同盟国からの反発を受けたためである」。DeepL AI 訳:
当局者によると、トランプ氏は日曜日の午後、ソーシャルメディアで「プロジェクト・フリーダム」を発表し、湾岸諸国の同盟国を驚かせ、サウジアラビアの指導部を激怒させたという。これに対し、サウジアラビアは米国に対し、リヤド南東部のプリンス・スルタン空軍基地からの米軍機の離陸や、同作戦を支援するためのサウジアラビア領空の通過を許可しないと通告した、と当局者は述べた。
米政府高官2人によると、トランプ大統領とサウジアラビアのムハンマド・ビン・サルマン皇太子との電話会談でも問題は解決せず、その結果、大統領は米軍がこの重要な空域へのアクセス権を取り戻すため、「プロジェクト・フリーダム」を一時中断せざるを得なくなった。
Trump reversed a Hormuz plan after Saudis denied airspace access. (NYTimes, 5/7)
阿呆としか言いようが。いいかげん、根回ししてからやることを覚えろよ。 学習能力が無いのか? (ドナルド君には本当に無いっぽいよなあ……)
》 実の娘に性的暴行加えた大門広治被告(54)懲役8年が確定 期限までに上告せず 被害受けた娘「大きな区切りにはなるが、むしろここからがスタート」 今後は民事裁判起こすか検討 (MBS / Yahoo, 5/8)。ようやく。事件発生から 10 年かかっている。
原子力規制庁の「業務用スマホ」紛失、1年間で少なくとも6件…ホテル周辺、路上、移動中 開示文書で判明 (弁護士ドットコムニュース, 5/8)。「2025年に少なくとも紛失6件」。
ザックから落下、ファスナー閉め忘れ…原子力規制庁の「業務用スマホ」紛失の実態…数日気付かないケースも (弁護士ドットコムニュース, 5/8)
サハリン1・サハリン2プロジェクト (在ユジノサハリンスク日本国総領事館)
資源・燃料政策の現状と今後の方向性 (資源エネルギー庁, 2023.02)
- サハリン2では、LNGに加えて、天然ガス生産時にコンデンセート(原油の一種)が随伴して生産される。これをベースとした、「サハリンブレンド」という原油を従前から輸出している。
- 仮に、サハリン島からの搬出ができなくなった場合、「サハリンブレンド」がサハリン島の原油タンクに貯まり続け、原油タンクが満杯となる。そうなると、LNG生産も止めざるを得なくなる。
- そのため、「サハリンブレンド」をサハリン島から搬出(購入)し続けることが、LNGの安定供給のために不可欠。
- プライスキャップによって、「サハリンブレンド」の搬出が停止し、結果としてLNG生産が停止することがないよう、G7各国に対して、サハリン2の重要性について丁寧に説明し、サハリン2で生産された原油をプライスキャップの適用除外とするよう働きかけを進めてきたところ。
- その結果、米国等の制度においても、サハリン2で生産された原油は、プライスキャップの適用除外とされた。また、日本の制度でも適用除外としている
サハリン2の日本向けLNG輸出、25年は全体の58%=運営会社 (ロイター, 4/22)
ロシア極東サハリン沖の石油・天然ガス開発事業「サハリン2」の運営会社サハリンスカヤ・エネルギヤは、2025年に同事業が供給した液化天然ガス(LNG)の58%は日本向けだったと明らかにした。また、22年以来初めて石油も供給したという。
ロシア産原油の荷揚げ開始、ホルムズ封鎖後初の輸入 制裁の例外「サハリン2」から調達 (産経, 5/5)
出光興産もロシア・サハリン2産の原油を輸入、タンカーが今治から千葉へ 調達先を多角化 (産経, 5/7)。VOYAGER が千葉に移動。
【独自】政府訪ロ団、5月下旬に 三井物産、商船三井参加 (共同, 5/8)
》 Apple、一部Macで「大容量メモリ構成」削除 世界的なメモリ不足で Mac Studioは最大96GBに制限 (ITmedia, 5/7)
》 データを保存する先がない? 世界的なストレージ不足と価格高騰がInternet ArchiveやWikipediaを直撃 (Internet Watch, 5/8)
》 自転車青切符時代の自己防衛策に!! 自転車用ミラーをいろいろ比べてみた【ぼっち・ざ・ろーど!その8】 (Internet Watch, 5/8)
Linux カーネルに新たな欠陥。 2 件の欠陥 CVE-2026-43284 (esp4 / esp6) CVE-2026-43500 (rxrpc) を組み合せることで local user が root 権限を取得できる。
Linux Kernel Dirty Frag LPE Exploit Enables Root Access Across Major Distributions (The Hacker News, 2026.05.08)
CVE-2026-43284 (RHEL, 2026.05.07)
Dirty Frag (CVE-2026-43284, CVE-2026-43500) vulnerability fix is ready for testing (AlmaLinux, 2026.05.07)
とりあえず以下で回避できるらしい。
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Dirty Frag 脆弱性クラス (class) に属すると自称する Fragnesia が登場。 CVE-2026-46300。 回避方法は Dirty Frag と同様でよいそうで。
「Google Chrome 148」では127件もの脆弱性修正も ~深刻度最高評価の致命的なものは3件 (2026.05.07)
Microsoft Edge も Chromium 148 ベースに。 独自のセキュリティ欠陥修正も 3 件あり。
「Microsoft Edge 148」が公開 ~新しいAI設定ページを導入、致命的な脆弱性も修正 (窓の杜, 2026.05.08)
》 「セーラームーンに似ている」 生成AIを使った化粧品の広告が物議 メーカーは謝罪と広告の撤去を発表 (ITmedia, 5/7)。これほどあからさまにやっているにもかかわらず、 本家に許可取ってなかったというのはどういうことなのか。 株式会社ウテナの法務は何やってたの。
ウテナ「モイスチャー」が全編AIアニメ公開、制作時間を大幅短縮 変身ヒロインで若年層へアピール (AdverTimes., 5/1)。AI 利用を大々的に宣伝していた。
動画制作では、企画・構成といったクリエイティブの“核”となる部分はPRチームの人間が担い、映像化のプロセスにおいてCrestLabのアニメーションDXサービスを導入。通常、1分のアニメ制作には半年から1年を要する場合もあるが、AIの活用により数時間から半日程度での試行・検証が可能になった。短期間でのトライアンドエラーを経て、細部までこだわった映像表現を実現している。
ウテナ モイスチャーの広告に関するお詫びとご報告 (株式会社ウテナ, 5/6)
本件は外部専門家を交えてリーガルチェックを重ねた上で公開に至りましたが、既存作品との類似性を含めたご指摘について、改めて専門家など第三者による指導を受けながら、関連する法規制などの点で問題がないかを確認してまいります。
》 ドローン攻撃受けたAWS中東(UAE)リージョン、復旧には数カ月かかる見込み (ITmedia, 5/7)。このまま終戦になったとしても、ということだろう。
》 macOS版「Notepad++」プロジェクトが商標侵害・誤認誘導の疑いで炎上 次期バージョンから「Nextpad++」に改称へ (窓の杜, 5/5)。
》 タイで新型コロナ類似ウイルス発見、人への感染能力ありか 東大など (日経, 5/7)。やっぱりコウモリが自然宿主なのですね。
ウイルスの遺伝情報や発生する地理情報を基に解析すると、タイを含むインドシナ半島ではヒトに感染する能力を持ったウイルスが大規模に移動しながら変異し、多様なウイルスの出現につながっている可能性が示された。
中東情勢影響による油剤メーカー各社動向(2026-05-01版) (日立工油, 5/1)。ほぼ壊滅と。
日立工油さんは 3/20 から各社動向のまとめを公開 されていて興味深い。 この時点で各社ほぼ受注停止だったと。 新着情報のページ から閲覧できる。
中東問題でディーゼル車用エンジンオイル不足が深刻 カタール産ベースオイルが一因 ガソリン車用は供給続くが… (日本自動車会議所, 4/17)
■カタール産ベースオイルが一因ここまでの状況に至った一因が、エンジンオイルの原材料となるベースオイルの供給量が減少したことだ。エンジンオイルは、主成分のベースオイルと酸化防止剤などの添加剤で構成される。添加剤の成分を変えることで、ガソリンエンジン(GE)用、DE用それぞれに最適なオイル性能にしている。
添加剤は、北米のメーカーから輸入することが多いため、現時点で大きな支障が出ていないもよう。しかし、一定の品質が求められる自動車のエンジンオイルに適する「グループIII」のベースオイルは国内で精製しておらず、韓国やカタールが主な輸入先となっている。
このうち、カタールにある英シェルの精製施設がイランからの攻撃を受け、出荷が全面的に停止した。潤滑油メーカーの関係者によると「正確な統計があるわけではないが、カタールからのベースオイルは日本の輸入量全体の2割程度を占めていたのではないか」としている。残り8割に相当する韓国からの輸入は継続しているものの、メーカーが供給制限をかけており、前年の実績以上は発注できない状況だ。
■DE用固有の要因もベースオイル供給量の減少はGE用にも共通する課題だが、DE用はさらに固有の要因が重なった。そもそもDE用はGE用に比べて需要が少ない。このため、「本来、特約店や商社はあまり在庫を持たない」(関係者)のが通例だ。加えて、「繁忙期の年度末にかけて一気に発注量を増やす会社が多い」(同)という商慣習もある。そのタイミングで今回の中東問題が発生。エンジンオイル流通の各段階で在庫を確保しようとする動きが生じ、需要が供給を上回った。「発注が急増し、元売り各社が受注を停止せざるを得ない状況になった」(同)としている。
【2026年4月26日】現在のイラン情勢とエンジンオイルについて (TAKMO, 4/26)
オイルの残りの10~20%を占めるのが添加剤です。酸化防止剤、清浄分散剤、摩耗防止剤など、数十種類の化学物質が絶妙なバランスで配合されていますが、ここにもホルムズ海峡の実質的な閉鎖の影響が忍び寄っています。
(中略)
世界の添加剤市場は、ルブリゾール、インフィニウム、オロナイト、アフトンの4社でほぼ独占されています。彼らの工場は米国や欧州、シンガポールにありますが、その原料となる中間化学品の多くが、実は中東の石油化学プラントから供給されています。
2026年5月 DH-2の不足と受注停止について 私見です (オイルマニアブログ, 5/2)
現在大型トラック用のDH-2規格オイルの不足が目立ちます。不足の一番の理由は石油元売りの受注停止と思います。
DH-2はグループⅠベースオイルを製造している元売りが多くを製造しているため元売りの受注停止の影響が強く出ています。
またDH-2規格は日本の国内規格のため、海外での製造がほぼなく輸入オイルでの代替えがあまりできません。現在DH-2規格相当のオイルが少し輸入されているようですが性能は不明です。なお一部韓国製などでDH-2合格品があるようですがどの程度輸入されているかは不明です。
元売の受注停止は大量の注文が殺到したためで、現在昨年以上の製造をして不足を解消しようと努力されていると思いますが、今受注を再開するとさらに大量の発注が予想され再び受注停止に追い込まれるため停止が続いていると思われます。
》 情報BOX:クルーズ船で集団感染のハンタウイルスとは (ロイター, 5/7)。 ハンタウイルスにもいろいろあるが、 北米・南米の奴によるハンタウイルス肺症候群 (HPS) が怖いようで。
国外航行中のクルーズ船におけるハンタウイルス感染症事例について (国立健康危機管理研究機構, 5/6)
ハンタウイルス感染症(腎症候性出血熱、ハンタウイルス肺症候群)(Hantavirus Infection) (厚生労働省 検疫所)
ハンタウイルス肺症候群(詳細版) (国立健康危機管理研究機構)。
》 スピリット航空終了のお知らせ (5/2)。 イラン戦争による燃料高騰が経営再建中だったスピリット航空にとどめを刺した模様。
スピリット航空 (ウィキペディア)。米国の LCC。
Why Is Trump Obsessed With Saving Spirit Airlines? (Steven Rattner / NYTimes, 4/29)。スピリット航空終了直前に書かれたコラム。「なぜトランプ氏はスピリット航空の救済に執着しているのか?」
ワシントンに改めて申し上げたいのは、資本主義は概して機能しているということだ。わが国の経済は世界から羨望の的となっているが、その大きな要因は、不振な企業が倒産しても市場が機能し続ける点にある。スピリット航空の1万7000人の雇用は失われることになるだろうが、自動車業界で100万人以上の雇用が危機に瀕していた2009年と比べれば、現在の経済はそうした雇用を吸収する余力がはるかに大きい。
スピリット航空を清算させ、その墓標を航空会社の墓場に追加すべきだ。
米スピリット航空が全便停止、政府救済まとまらず 燃料価格高騰受け (日経, 5/2)
米スピリット航空が全便の運航停止、事業閉鎖へ カスタマーサービスも利用不能に (CNN, 5/2)
トランプ政権のスピリット航空救済、瓦解の内幕 (Wall Street Journal, 5/3)
Spirit Airlines, a Pioneer of Low-Fare Flights, Shuts Down (NYTimes, 5/2)。DeepL AI 訳:
トランプ政権は、スピリット航空に5億ドルの救済資金を提供するため、土壇場での取り組みを開始したが、政府当局者と航空会社の債権者は、同社を救うための合意に間に合わなかった。
提案された救済策が投資家から反発を受けたのは、トランプ政権が、万が一スピリット航空が倒産した場合、政府が同社の資産に対して最優先の弁済権を持つことを要求していたことも一因だった。そうなれば、同社に融資していた他の投資家は、ほとんど、あるいは全く回収できなくなっていたはずだ。
事情に詳しい関係者によると、同航空会社の貸し手側は、政府との合意において貸し手側に有利な条件を盛り込んだ独自の対案を提示していた。しかし、当事者間で合意には至らなかった。
Spirit Airlines (NYTimes)
Androidに致命的な任意コード実行の脆弱性 ~2026年5月セキュリティ更新 (窓の杜, 2026.05.07)。今回は セキュリティ更新プログラムレベル 2026-05-01 だけ、だそうで。
Firefox 150.0 / ESR 140.10.0 / ESR 115.35.0 、Thunderbird 150.0 / 140.10.0esr 公開。
Firefox 150.0.1 / ESR 140.10.1 / ESR 115.35.1、 Thunderbird 150.0.1 / 140.10.1esr が公開されている。 セキュリティ修正を含む。
Firefox 150.0.1、Firefox for Android 150.0.1 がリリースされた (mozillaZine, 2026.04.29)
Thunderbird 150.0.1 がリリースされた (mozillaZine, 2026.05.01)
Apache httpd 2.4.67 公開。11 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。
mod_proxy_ajp: 4 件 CVE-2026-34059 CVE-2026-34032 CVE-2026-33857 CVE-2026-28780
mod_authn_socache: 1 件 CVE-2026-33007
mod_auth_digest: 1 件 CVE-2026-33006
mod_dav_lock: 1 件 CVE-2026-29169
mod_md: 1 件 CVE-2026-29168
mod_rewrite: 1 件 CVE-2026-24072
複数のモジュール: 1 件 CVE-2026-33523
複数のモジュール (詳細不明) において HTTP レスポンス分割の発生を許してしまう。 報告者は早稲田大学の Haruki Oyama 氏。
HTTP/2 実装: 1 件 CVE-2026-23918
mod_http2 が更新されているし mod_http2 の欠陥なのかしらんと思うのだが、 そのようには書かれていないんだよね。
広く利用されている仮想ドライブツール DAEMON Tools の無料版 DAEMON Tools Lite がマルウェア (トロイの木馬) 版だったことが明らかとなった。 具体的には 2026.04.08 以降のバージョン 12.5.0.2421〜12.5.0.2434 がマルウェア混入版となっていた。有料版には同様の欠陥はない。
DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026 (Kaspersky, 2026.05.05)。発見者 Kaspersky のブログ。 DeepL AI 訳:
2026年が始まってからまだ4か月しか経っていませんが、この短い期間のうちに、報告されるサプライチェーン攻撃の件数が増加していることが確認されています。1月にはeScan、2月にはNotepad++、4月にはCPU-Z、そして5月にはDAEMON Toolsについて調査を行いました。このようにサプライチェーン攻撃の観測件数が急増していることを踏まえ、組織はインストールするソフトウェアの選定に細心の注意を払う必要があります。同時に、これは、広く使用され信頼されているアプリケーションが、その影響範囲の広さゆえに、攻撃者にとって極めて価値のある侵入経路となっていることを示しています。組織のサイバーセキュリティ戦略を策定する際には、この点を念頭に置き、「ゼロトラスト」戦略を確実に実施できるようにすべきです。
Security Incident Affecting DAEMON Tools Lite: What We Know So Far (Daemon Tools, 2026.05.06)。オフィシャル。
DAEMON Tools Lite 12.6.0.2445 で修正されている。
Chrome 148.0.7778.96 for Linux および 148.0.7778.96/97 for Windows / Mac が stable に。127 件 (!) のセキュリティ修正を含む。 関連:
Stable Channel Update for Desktop (Google, 2026.05.05)。 127 件のうち 100 件が Reported by Google、その他が外部研究者。 Critical 3 件も 2 件が by Google, 1 件が外部研究者。
Chrome for Android Update (Google, 2026.05.05)。 Chrome 148 (148.0.7778.120) for Android。
Microsoft Edge も Chromium 148 ベースに。 独自のセキュリティ欠陥修正も 3 件あり。
「Microsoft Edge 148」が公開 ~新しいAI設定ページを導入、致命的な脆弱性も修正 (窓の杜, 2026.05.08)
》 政府・日銀が30日に円買い介入、財務相らの「最後通告」後=関係者 (ロイター, 4/30)
ドルはこの日の日中、一時160円後半と1年9カ月ぶりの高値圏まで上昇。夕方に片山財務相が「いよいよ『断固たる措置』を取るタイミングが近づいてきた」、続いて三村淳財務官が「最後の退避勧告」と発信するとドルは160円を割り込み、その後も下げ足を速めて155円台半ばまで下値を広げた。
関連:
30日の為替介入規模は約5.4 兆円の可能性、日銀当座預金が示唆 (ブルームバーグ, 5/1)
30日の円買い介入、5兆円規模か 市場推計 (日経, 5/1)
米ドル円急落、一時155円台に 追加的な為替介入の可能性と介入効果の持続性が焦点 野村證券・後藤祐二朗 (後藤祐二朗 / 野村証券, 5/1)
為替介入効果はどこまで続くか? ~日銀利上げ見送りによる円安を為替介入でカバー~ (熊野 英生 / 第一ライフ資産運用経済研究所, 5/1)
CVE-2026-42167: SQL injection in ProFTPd prior to 1.3.9a (oss-sec ML, 2026.05.01)。mod_sql に SQL injection を招く欠陥があり、 ProFTPd 1.3.9a で修正された模様。
dhclient が 2 件
FreeBSD-SA-26:12.dhclient - Remote code execution via malicious DHCP options (FreeBSD, 2026.04.29)。攻略 DHCP サーバーから root 権限で任意のコードを実行される。
reeBSD-SA-26:15.dhclient - Remotely triggerable out-of-bounds heap write in dhclient (FreeBSD, 2026.04.29)。こちらも任意のコードの実行を招きかねない模様。
libnv が 2 件
FreeBSD-SA-26:16.libnv - Stack overflow via select() file descriptor set overflow (FreeBSD, 2026.04.29)。libnv を使用するアプリが suid root だと 権限上昇に使われると。
FreeBSD-SA-26:17.libnv - Heap overflow in libnv (FreeBSD, 2026.04.29)。こちらも権限上昇に使われかねないと。
あと exec と pf。
FreeBSD-SA-26:13.exec - Local privilege escalation via execve() (FreeBSD, 2026.04.29)。root 権限を取られる。
FreeBSD-SA-26:14.pf - pf can overflow the stack parsing crafted SCTP packets (FreeBSD, 2026.04.29)。攻略 SCTP パケットで system panic する。
過去の記事: 2026 | 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)