Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。

[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

• 》 秀和システムの出版事業はトゥーヴァージンズグループへ　新社名は「秀和システム新社」 (ITmedia, 7/15)

• 》 Grok、“金髪ツインテ”の美少女キャラと会話できる機能登場　「新時代のギャルゲー」との声も (ITmedia, 7/15)

  Xユーザーの投稿によると、Aniはこの“好感度”によってふるまいを変更。“好感度”を高めると、下着姿を見せるといった演出もあるという。

  　あらまあ、ほんとうにギャルゲーなのですね……。

• 》 AIベースのセキュリティツールを自然言語で誤認させ、良性判定するよう仕向けるマルウェアが発見される (Internet Watch, 7/15)。「プロンプトインジェクションを組み込んだマルウェア」。

• 》 中国業者の仕業？ 注文していないAmazonの商品が1年にわたって届き続けた一般家庭の悲劇 (やじうま Watch, 7/15)

• 》 一部の広告ブロッカーでは、問題のある広告がより多く表示されてしまうとの調査結果 (やじうま Watch, 7/14)、 Ad blockers may be showing users more problematic ads, study finds (NYU, 7/9)。DeepL 訳:

  米国とドイツの1,200以上の広告を分析したこの研究では、Adblock Plusの「容認できる広告」機能を使用しているユーザーは、広告ブロックソフトを使用せずにブラウジングしているユーザーと比較して、13.6%も問題のある広告に遭遇していることがわかりました。

  　正直者は馬鹿を見る、ということですかねえ。

• 》 無償の高機能ペイントアプリ「Krita 5.2.10」が公開 ～「WeChat」など悪質アプリに対策 (窓の杜, 7/15)

  なお、ファンクションキーが12個以上あるキーボードを備えたデバイスでは、既定で［F12］キー以降を無視する処理が追加されているとのこと。これは「WeChat」などのアプリがフォーカスを得るため、定期的に偽の［F22］キー入力を送信する問題に対処するためだという。必要であれば「kritarc」ファイルに「ignoreHighFunctionKeys=false」という行を追加することで、この対策を無効化することも可能だ。

• 》 Stable Diffusionで「性的に露骨なコンテンツの生成」が禁止に、Stability AIが利用規約を改定 (窓の杜, 7/15)

  今回の改定では、禁止条項として「合意のないヌードや違法なポルノコンテンツを作成すること」のみを明示している現在の利用規約に対し、「同意のない性的画像（NCII）」「違法なポルノコンテンツ」に加えて「性交、性行為、または性的暴力に関連するコンテンツ」の条項が明記された。生成AIの悪用例のひとつである「性的ディープフェイク」問題への対策強化といえる。

• 》 「夫なぜ死んだ」遺族の怒り 検察の本音と裁判官の保釈実務の実態　大川原化工機冤罪事件 (TV 朝日, 6/25)。長期勾留を許している裁判官の問題。

  東京地裁の場合「令状部」という部署があり、およそ10人の裁判官がその日の「保釈担当」や「勾留担当」を決め、当番制で仕事を回している。令状部が設置されているのは、全国で東京と大阪など都市圏にある裁判所のみで、1日で多くの事件を処理しなければならないという特殊性を鑑みたもの。取り扱う事件数は多い時で1日10件以上に及び、とにかく“スピード処理”が求められるわけだ。
  
  ある裁判官は、保釈の判断について「常日頃から難しいと思っている」と吐露したうえで、「令状部は“その日仕事”。膨大な証拠を見て事案を理解し、即判断をしなければならないので、力量が求められる。判決は事実認定なので過去を見るが、保釈は未来をどう予測するか。裁判官が熟慮すればするほど拘束は長引くし、心配すればするほど、保釈は認められにくくなる」と指摘した。

  　そもそも人間には判断不能な話になっている模様。 長期勾留そのものを禁止するのが筋であろ。

• 》 角川元会長 長期間勾留訴訟「大川原化工機」遺族の陳述書提出 (NHK, 7/14)。長期勾留が冤罪の素なんだよな。

• 》 「大川原化工機事件」はなぜ起きたのか？NHKスペシャル『“冤罪”の深層～警視庁公安部・内部音声の衝撃～』と著書『追跡　公安捜査』がひも解く公安警察の闇 (Wedge, 6/23)

• 》 脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈 (MIT Technology Review, 7/15)。CVE の件。

• 》 ロシア軍に「ソーラー充電ドローン」出現　待ち伏せ型の新たな進化 (Forbes, 7/11)

• 》 エア・インディア機墜落事故、パイロットの行動など調査 (Wall Street Journal, 7/11)

  　関係者らによると、予備的な調査結果では、2基のエンジンへの燃料供給を制御するスイッチが切られ、離陸直後に推力が失われたことが示されている。パイロットはこのスイッチを使用してエンジンを始動、停止、または緊急時にリセットする。
  　このスイッチは通常の場合、飛行中はオンになっているが、切られていた背景は不明だという。関係者らはまた、これが事故だったのか意図的だったのか、あるいはスイッチを入れ直そうとしていたのかも不明だと述べた。

  　関連: インド当局、エア・インディア機墜落に関する報告書を週内に公表へ (ブルームバーグ, 7/9)

• 》 大企業に潜り込む工作員、増加中──北朝鮮ITワーカーの手口　採用面接もAIで突破、実績アピールの偽装SNSも (ITmedia, 7/10)

• 》 It's EFF's 35th Anniversary (And We're Just Getting Started) (EFF, 7/10)

• 》 トランプ政権の移民摘発、背後に巨大ビジネス (Wall Street Journal, 6/7)

• 》 黄海が新たな火種に、中国領有権主張の動きか　韓国警戒 (Wall Street Journal, 7/7)、 中国が黄海に「養殖施設」設置　領有権主張に向けた布石か、韓国で懸念広がる (共同 / 産経, 4/7)

• 》 ロシア経済、危険信号が点滅 (Wall Street Journal, 7/7)

• 》 ウクライナのドローン戦、光ファイバーで一変 (Wall Street Journal, 7/10)。やっぱり有線。

• 》 有人戦闘機と行動する“遠隔操作無人機”　スバルが防衛装備庁に実験機を納入　編隊飛行の動画も (ITmedia, 7/9)

• 》 ランサムウェアの身代金を支払ったこと、秘密にしてちゃダメ!? 被害者からの報告を義務化する法律が発効～豪州で世界初 (Internet Watch, 7/8)

• 》 A few interesting and notable ssh/telnet usernames (SANS ISC, 7/6)

• 》 Setting up Your Own Certificate Authority for Development: Why and How. (SANS ISC, 7/9)。DeepL 訳:

  最も簡単で安価に始められるのは、Smallstepが提供するオープンソースのソリューションだ。 Smallstepはまた、サポートや追加の統合機能を望むなら、いくつかの商用ソリューションも提供している。 おまけ」として、SSH証明書の管理にも使えます。

• 》 かつてはバカにされた、グーグル「AIによる概要」がニュース業界の息の根を止める理由 (Forbes, 7/9)

• 》 グーグルが全Gmailユーザーにアカウントのアップグレードを推奨、その理由とは (Forbes, 7/8)。「パスキーはフィッシング耐性が高い」。 関連:

  • パスキーによるフィッシング耐性の向上 (okta, 5/22)

    パスキーを利用した認証、つまりFIDO認証の仕組みは、公開鍵、秘密鍵を利用したチャレンジレスポンスの仕組みに基づいています。
    
    従来のパスワードによる認証のように、クライアント側でパスワードを入力し、その内容をサーバー側に送信するのではなく、スマートフォンやセキュリティキーといった認証器を利用してクライアント側で認証し、その結果をサーバー側に送信するという仕組みです。
    
    パスキーはフィッシング耐性があることで知られていますが、特筆すべきは、認証器はサーバーの識別子（ドメイン情報）に対して署名したものを送付し、サーバーはその署名を検証するという仕組みです。これにより、正規のドメインと異なるドメイン（例：偽のフィッシングサイト）では認証が成立しないようになっています。

  • パスキーの安全性について (cockscomblog?, 7/8)。UV = User Verified。

    パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている、ということを説明した。

  　SSH で使いたくなってきた感。

  • ssh鍵をiPhone/Android (Passkey) に入れて運用してみた（Windows） (@suicatan / qiita, 2024.01.31)。 PuTTY CAC というものがあるのですか。

  • SSHでも二要素認証を使いたい (IIJ Engineers Blog, 2024.12.06)

• 》 BLマンガの研究書がAmazonで販売停止？ 日本マンガ学会は声明を発表 (やじうま Watch, 7/7)。 BLマンガの表現史 少年愛からボーイズラブジャンルへ (西原麻里, 青弓社)。 研究書なのでねえ。

  • 【跡見学園女子大学】2873作品のBLマンガで検証！　30年間で変化したボーイズラブの表現史を西原麻里准教授が刊行 (跡見学園女子大学, 3/7)

  • 日本マンガ学会、アマゾンに「強い懸念と憂慮」　研究成果「BLマンガの表現史」販売されず (ITmedia, 7/7)

• 》 Windows 10のサポート期間を10月以降に伸ばすには、「Microsoft アカウント」が必要 (窓の杜, 7/8)。でしょうね。

• 》 空港の「USB充電ポートや無料Wi-Fi」は危険、米運輸保安庁が警告 (Forbes, 7/6)。 Juice jacking やら ChoiceJacking やらの件。

  また、自分が所有・管理していないデバイスにスマートフォンを接続した状態で、ロックを解除するのは避けたほうがいい。というのも、その瞬間にUSB経由でデータが抜き取られるリスクがあるからだ。興味深いことに、グーグルやサムスンは現在、こうしたUSB経由のデータの抜き取りに対する防御機能を強化している。さらにiOSやAndroidには、3日以上ロックされたままの端末を自動的に再起動させる新機能も加わっており、これもケーブル経由の攻撃に対する防御策となっている。

  　関連:

  • スマートフォン充電中のデータ盗難 (Kaspersky, 5/27)

    このような攻撃が心配な場合は、信頼できる充電器やパワーバンクを使用してデバイスを充電するか、USB データブロッカーを使用する必要があります。

  • 話題になっている充電用USB端子経由のハッキング抑止デバイス「USB DATA BLOCKER」を衝動買い (ascii.jp, 1/18)、 充電用USB端子経由のハッキング抑止デバイス「USB DATA BLOCKER」を衝動買いして、さらに考察する (ascii.jp, 1/25)。USB データブロッカーを謳う製品の中には中途半端なものが存在するようだ。

    確かなことは確実に5V/2Aの準急速充電レベルまでしか充電効率は上がらないが、Type-AーType-Cの「ポータポウ」のようなレガシーなデータブロッカーを使うのが安心だ。あるいは100g前後重くなっても、確実に安心なのは急速充電がコミットされている、専用ACアダプターとケーブルを充電スポットに持ち込むことだ。これで面倒なジュースジャッキングとは無縁でいられる。

• 》 【聞いてみた】もし僕が死んだら「Microsoft アカウント」はどうしよう？ (窓の杜, 7/4)

• 》 Windows11 25H2はイネーブルメントパッケージ(eKB)で提供。Microsoftが発表 (ニッチなPCゲーマーの環境構築Z, 6/30)

  Windows11 24H2とWindows11 25H2は同じ内部構造のためイネーブルメントパッケージを利用できますが、Windows11 23H2は内部構造が異なるため、23H2 → 25H2へとアップデートする場合、イネーブルメントパッケージは利用できません。

• 》 4万年前の有害宇宙線時代。ヒトは「鉄分性の日焼け止め」塗り生き延びた (Forbes, 7/3)。ラシャン地磁気エクスカーション (42,000年前ごろ)。 Laschamp はフランスなので p は発音しないっぽい。 関連:

  • 地磁気極が45年で南極大陸へジャンプした (神戸大学, 2022.04.08)。 ラシャンエクスカーションでは5回、 その後のスイゲツエクスカーション (39,000年前ごろ) では2回、振動が発生していたのだそうで。

    本研究では、ほぼ逆転に近い地磁気極の大移動に要した年数を、世界で初めて年縞枚数で決めた。地磁気極が最も南に移動したケースでは、北極付近から南極大陸まで45年で到着し38年で北極に戻っている。最速は南インド洋高緯度への移動で18年である。日本最古の旧石器遺跡は約38000年前とされている。エクスカーション発生時には、日本列島へ移住する直前の旧石器人たちが中国大陸や朝鮮半島で、北太平洋上空のオーロラを見上げていたかもしれない。

• 》 HPE、ジュニパーネットワークスの買収完了を発表 (publickey, 7/3)

• 》 砂漠の国・ナミビア、 世界初「水素立国」への夢 (MIT Technology Review, 7/2)

  製鉄所は3世紀にわたり化石燃料を使って鉄鉱石を処理してきたが (中略) 炭素排出量の少ない代替手段が存在することが分かってきた。水素を使って鉄を抽出する方法である。ミヒェルスCEOによれば、石炭や天然ガスとは異なり、この方法では副産物として水が生成される。そして水素自体が「グリーン」、すなわち従来の天然ガスと蒸気を混ぜる方式ではなく、再生可能エネルギーによる電気分解によって製造されたものであれば、このプロセス全体が気候に与える影響は最小限に抑えられる。

• 》 クラウドフレアがAIクローラーをデフォルト拒否、課金も (MIT Technology Review, 7/3)

• 》 DNS TCP fallbackの教訓 (dnsops.jp, 6/27)

• 》 Cloudflareがポスト量子暗号への移行を提言「まずは鍵交換から最優先で」 (Business Network, 7/3)

• 》 自動更新（ACME） (FujiSSL)。自動更新できるサービスに移行するしかないよなあ。

• 》 トランプ氏の海運復興計画が失速 (Wall Street Journal, 7/3)

  米国の海運各社は食糧支援プログラムの削減が業界に打撃を与えていると指摘する。政府効率化省（DOGE）が国際開発局（USAID）を閉鎖したことで、「フード・フォー・ピース（平和のための食糧）」プログラムは事実上停止状態になった。同プログラムが提供する貨物は米国の海運会社にとって重要な収入源だった。一部の業界関係者は、同プログラムが別の政府機関の下で早期に復活しなければ、係船作業や船員の解雇を始めなくてはならなくなると警告している。

  　「無用の用」みたいな話になってきているなあ。

  造船計画に関する懸念もある。上院軍事委員会の委員長を務めるロジャー・ウィッカー上院議員（共和、ミシシッピ州）は6月10日の公聴会で、政権の来年度の海軍の予算要求額に落胆したと述べた。特に造船予算が今年度の370億ドル（約5兆3000億円）から210億ドル以下に削減された点を指摘した。

  　あらまあ、そんなに?

  トランプ氏は4月、造船業の再活性化計画の策定を各省庁に指示する大統領令に署名しており、海事産業能力局が大統領令の実施状況を監督している。(中略) ただ、同局の人員は縮小している。(中略) 海事産業能力局の職員7人のうち5人が、ここ数週間で任期が切れたか他の政府部局に移った。

  　めちゃくちゃだ。

• 》 「ネット上で人権侵害行為が頻発」──民放連、テレビスタッフの安全を守ると声明 (ITmedia, 7/2)

• 》 IT関連書籍の秀和システムが法的整理へ　一時は船井電機の実質親会社に──帝国データバンク (ITmedia, 7/2)

• 》 Windowsのセキュリティアプリをカーネル外部で実行 ～BSoDなどの深刻なエラーを軽減へ (窓の杜, 7/1)、 The Windows Resiliency Initiative: Building resilience for a future-ready enterprise (Windows Blogs, 6/26)。DeepL 訳:

  来月、MVIはWindowsエンドポイント・セキュリティ・プラットフォームのプライベート・プレビューをMVIパートナーに提供する。 Windowsの新しい機能により、パートナーはWindowsカーネルの外側で動作するソリューションの構築を開始できるようになる。 これは、アンチウイルスやエンドポイント保護ソリューションのようなセキュリティ製品が、アプリと同じようにユーザー・モードで実行できることを意味する。

  　対応製品がユーザーに届くのはもうちょっと先のようです。

• 》 NTTなど通信事業者8社、大規模災害時の通信サービス復旧・協力体制の強化を発表 (Internet Watch, 7/3)。NTT 各社、KDDI、ソフトバンク、楽天。

• 》 初心者でも挑戦できる「セキュリティ・キャンプ2025ミニ」、品川で8月23日・24日に開催　 エントリー受付は7月28日まで (Internet Watch, 7/3)

• 》 Windows 10の「Microsoft Defender」ウイルス対策は2028年10月まで更新を継続 (窓の杜, 6/26)。ESU に対応。