Last modified: Tue Mar 12 12:44:38 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Google Newsは“パクリ記事”だらけ? 生成AIも悪用 検索でも上位に、米メディアが実態指摘 (ITmedia, 1/30)
》 米、中国ハッカー集団の活動無効化 重要インフラを標的=関係筋 (ロイター, 1/30)。Volt Typhoon への対抗作戦を実施中、という話。 オフィシャルな発表があったわけではない。
》 「iOS 17.3」の新機能「盗難デバイスの保護」に重大な問題--対策は? (CNET, 1/30)
盗難デバイスの保護機能を有効にすると、iPhoneが職場や自宅などのよく知っている場所から離れているときに重要な操作を実行する場合、「Face ID」または「Touch ID」による生体認証や、1時間後に再度の生体認証を要求する「セキュリティ遅延」など、追加のセキュリティ要件が適用される。
(中略)
9to5Macが発見したように、Appleは、ユーザーが訪れる頻度を基に、その場所が利用頻度の高い、すなわち「よく知っている」場所かどうかを判断している。行きつけの食料品店やバー、カフェなどそれほど安全でない場所にもかかわらず頻繁に訪問しているために、そこがよく知っている場所として記録されるとすれば、これはセキュリティ上の問題となりかねない。
利用頻度の高い場所がいくつあるかを確認したい場合は、「設定」>「プライバシーとセキュリティ」>「位置情報サービス」>「システムサービス」>「利用頻度の高い場所」にアクセスすればいい。
筆者は、自身のiPhoneで2023年12月4日~2024年1月28日の間に、利用頻度の高い場所が197カ所も記録されていたことに衝撃を受けた。これには前日1時間ほど滞在したピザ店や、一度も入ったことはないが近所にある惣菜店も含まれていた。
「利用頻度の高い場所」を編集できるようになるのがよさそうに思うのだが、そういう機能は無いということかしらん。
》 「このApple IDは有効ではありません」と表示されるトラブルが複数発生 Xトレンド入りする事態に (ITmedia, 1/29)。草地さん情報ありがとうございます。
》 ICANN proposes creating .INTERNAL domain to do the same job as 192.168.x.x (The Register, 1/29)。.internal と .private が最終候補だったのだけど .internal の方が選ばれたのだそうで。
.PRIVATE lost out because assessors felt it "may carry the unintended imputation of privacy to a higher degree, and more potential was seen for conflicting meanings across the gamut of assessed languages."
》 万一に備えて知っておきたいMicrosoft Update手動更新の手引き【Windows 10/11】 (@IT, 1/26)
》 「やさしいせかい」目指したVTuber事務所、社長失踪で存続困難に 給与未払いの指摘も (ITmedia, 1/29)
》 ITパスポート試験が中止に システム障害で全国のCBT会場で受験できず (ITmedia, 1/26)
》 次期サーバーOSの名称は「Windows Server 2025」 ~Microsoftが発表 (窓の杜, 1/29)
》 「Outlook」をはじめとするメールアプリで「Outlook.com」に接続できない問題が発生中 (窓の杜, 1/29)
》 「Oracle VM VirtualBox 6.1」のサポートが終了 (窓の杜, 1/26)
》 Windows 10で「Sysprep」コマンドが完了しない問題 ~昨年11月末のパッチ「KB5032278」以降で (窓の杜, 1/25)
》 Starlink(スターリンク)のIPアドレスと地域の対応、geoip情報について (IIJ Engineers Blog, 1/23)
最初は設定ミスなのかな?と思いサポートに確認してみたところ混雑などが原因で再ルーティングして使う事があるとの回答がありました。要するに混雑でIPアドレスが足りなくなるようなケースで他の国とかに割り当てたネットワークを使う事があるのかと思います。さらに日本での利用が増えれば、大きなブロックを新規に日本向けとして正式に割り当てたりするのかなと思います。
というわけで、ときどき海外からに見えたりするみたい。
》 【最後のお願いです】ヤマト運輸リストラ問題のオンライン署名を1/31に再提出します。 10万筆を集めるために、みなさんでラストスパート大拡散をお願いできないでしょうか? (全労連 (全国労働組合総連合)/ Change.org, 1/25)。 ヤマト運輸契約打ち切り/1月31日まで水面下で交渉続く (物流ニュース, 1/12) によると
ヤマト運輸コーポレートコミュニケーション部によると、「大半の対象者と対話を行い、転職支援サイトも用意し、すでに転職等が決まった人も多い。現在一部の対象者が残っているが、一人ひとりと真摯に話し合い、1月31日までに解決したい」としている。
とあるのだが、
念のために私たちの労働組合がヤマト運輸の人事部に問い合わせてみたところ、以下のような回答がありました。
・人事部は再就職の件数を把握していない。
・人事部はヤマト運輸が用意した再就職支援サイトを通じて何件の再就職が成立したかもわからない。
・コーポレートコミュニケーション部がなぜそんなことを言ったのかわからない。
これはひどい。めちゃくちゃだ。
労働組合として、このような状況のまま1/31を迎えるわけには絶対にいきません。
そこで私たちは、1/31にもう一度このオンライン署名をヤマト運輸に提出したいと思います。
10万筆目標、だそうです。
》 韓国の軍事力は世界第5位 ウクライナ危機で装備品輸出も急増 (NHK 解説委員室, 1/24)
》 InstagramとFacebookがデフォルトで16歳未満のユーザーへのDM送信を不可能に、2024年1月26日より適用開始 (gigazine, 1/26)
》 AppleがiOSアプリに課す1インストール当たり約80円の「コアテクノロジー料」が無料アプリやフリーミアムアプリの開発者を破産させる可能性 (gigazine, 1/26)
アプリ開発者のSteve Troughton-Smith氏がApple公式のCTF試算ツールを利用したところ、完全無料で提供されているアプリの年間インストール数が200万回の場合、Appleに対して年間50万ドル(約7400万円)もの手数料を支払わなければならなくなると報告しています。
》 Appleがデジタル市場法を受けてEUでのサイドローディングとApp Store外決済を認めるも厳しい条件や新しい手数料が追加される (gigazine, 1/26)
》 Appleがゲームストリーミングサービスに対してApp Storeを解放、GeForce NOWなどのサービスをアプリで提供できるように (gigazine, 1/26)
》 「原神」の未公開情報をリークしたユーザーの情報開示をX(旧Twitter)が拒否 (gigazine, 1/26)
》 ロシア政府によるVPNサービスの遮断について多くのロシア在住ユーザーがソーシャルニュースサイトで体験談を報告 (gigazine, 1/23)
》 組み込み機器向けOS「OpenWrt」の開発チームが100ドル以下の独自ハードウェア「OpenWrt One」の開発計画を発表 (gigazine, 1/24)
》 離陸直後にドア落下事故を起こしたボーイング737MAX9は外注部品製造の品質保証がずさんであるという告発 (gigazine, 1/24)
今回問題となっているボーイング737MAX9の部品もスピリット・エアロシステムズが生産し、保証作業をボーイングと共に行っています。しかし上記の告発者によれば、この保証作業が非常にずさんだったそうで、品質検証の現場ではチェック中のボーイング737MAX9でリベットの打ち間違いがあったのを「上からペンキを塗った」ことで問題なしと報告し、ボーイングの品質保証班もそれでOKとしてしまったとのこと。
》 Amazonのドアカムブランド「Ring」が警察による令状なしの映像要求機能を一部廃止することを発表 (gigazine, 1/25)、 Victory! Ring Announces It Will No Longer Facilitate Police Requests for Footage from Users (EFF, 1/24)
》 「Operaは変わり果てたのでもう使うな」と有識者が語る (gigazine, 1/25)
そういえば出てました。
Firefox 122 がリリースされた (mozillaZine, 2024.01.24)
Firefox for Android 122 がリリースされた (mozillaZine, 2024.01.24)
Thunderbird 115.7.0 がリリースされた (mozillaZine, 2024.01.24)
Chrome 121.0.6167.85 (Mac / Linux) および Chrome 121.0.6167.85/.86 (Windows) が stable に。 17 件のセキュリティ修正を含む。
Android 版: Chrome for Android Update (Google, 2024.01.23)。Chrome 121 (121.0.6167.101) for Android。
OpenSSL Security Advisory [25th January 2024] PKCS12 Decoding crashes (CVE-2024-0727) (oss-sec ML, 2024.01.25)。Severity: Low。 OpenSSL 1.0.2 / 1.1.1 / 3.[012] に影響。
JVNVU#90908488 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性 (JVN, 2024.01.23)。更新版ファームウェアあり。
JVNVU#99896362 ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性 (JVN, 2024.01.23)。更新版ファームウェアあり。
》 損害保険ジャパン及びSOMPOホールディングス に対する行政処分について (金融庁, 1/25)。業務改善命令。
》 1938年にヒトラー・ユーゲントの代表団が来日し、米・麦の二毛作が行われて、驚いた。//こういった米麦二毛作の農村スケジュールをスリリングに体験できるのが、黒澤明の映画『#七人の侍』である。 (togetter, 2023.04.27)。そういうことだったのか。
》 ウクライナ人捕虜を輸送中のIl-76が墜落、ロシア側は撃墜されたと主張 (航空万能論 GF, 1/25)
》 Googleで18年間勤務した元社員が「Googleの文化は変わってしまった」と嘆く長文を投稿して話題に (gigazine, 1/22)
》 アメリカ証券取引委員会がSNSで偽のビットコイン承認投稿をしたのは「SIMスワップ攻撃」によるハッキングが原因 (gigazine, 1/23)
》 フロッピーディスクの使用指定を廃止 経産省 (Impress Watch, 1/22)
経済産業省管轄の現行法上では、申請や届出の方法について、フロッピーディスク等の特定の記録媒体の使用を定める規定が数多く存在する。(中略) 「フレキシブルディスク(フロッピーディスク)」、「シー・ディー・ロム」といった具体的な媒体名を定める経済産業省所管の省令から媒体名を削除し、「電磁的記録媒体」等の抽象的な規定へ見直すなど必要な改正を行なった。
》 松本人志さん性加害疑惑「吉本興業は第三者機関による調査を」 大阪万博にも出展する"国際企業"に求められる対応とは (弁護士ドットコムニュース, 1/23)
したがって、本来、吉本興業は、性加害という重大な人権侵害の申告が複数の被害者から告発されたという事態を受けて、内部調査のみの結果に基づき被害事実を一方的に否定するべきではなく、独立した第三者機関を設置し、事実調査を実施し、被害拡大とならないよう被害者の心身への配慮措置を十分におこなったうえで、被害者との対話を通じた解決を目指すことが求められます。
これが王道なのだけど、吉本は覇道 only のようだからなあ。
関連: 担当弁護士は「捏造」男。
松本人志は知っているのか?vs文春の代理人ヤメ検弁護士に小沢一郎事件「調書捏造」の過去 (日刊ゲンダイ / Yahoo, 1/23)
実は特捜部在籍時、田代氏は10年に小沢一郎衆院議員が強制起訴された「陸山会事件」で小沢氏の元秘書の取り調べを担当した。ところが、裁判の過程で作成した捜査報告書に聴取内容の「捏造」が発覚。12年6月に最高検の「懲戒処分」を受け、依願退職したのである。
どうなる松本人志VS文藝春秋、損賠の請求額を約5億5000万円、争いの場は法廷に舞台を移すことに (中スポ, 1/23)。コメント欄:
松ちゃんの代理人である田代政弘弁護士は、2012年に東京地検特捜部でありながら捜査報告書に虚偽の記載をしたとして、虚偽有印公文書作成及び行使罪で告発された人です。そしてその時、田代氏の捏造を暴いたのが、現在の文春の顧問弁護士である喜田村洋一氏です。
》 珠洲原発を止めて「本当によかった」 無言電話や不買運動に耐えた阻止活動28年の感慨 (東京, 1/23)
今回の能登半島地震で珠洲原発の予定地だった高屋地区の海岸線は数メートル隆起した。もし原発があったら大打撃を受けた可能性もあった。前出の井上さんは「原発事故が起きたら、能登はなくなっとったかもしれんね」。塚本さんは淡々と語る。「言葉を尽くすより、あの様子を見て想像がつくでしょう。やっぱり日本に原発を造れるところなんてどこにもないね、と」
》 能登地震で原発周辺400人8日間孤立 避難計画機能せぬおそれ (朝日 / Yahoo, 1/23)。かねてからの懸念どおりに孤立したわけですが。
》 陸上自衛隊練馬駐屯地、トンデモ装置「NMRパイプテクター」を導入へ
謎水装置@自衛隊 (togetter, 1/22)
》 <ヤマト運輸・現場が大混乱>“業務効率化”で正社員が一斉退職、人員補充は委託業者頼りの本末転倒「実はクール便の品質にも問題が起きていて…」 (集英社オンライン, 1/17)
しかし、現場はそんなに単純なものではないとも。特にこの男性が迷惑しているのが、都内の一部主管(エリア)で始まったドライバーの「分業制」だという。
(中略)
分業制によってクール便の鮮度が保たれ、品質がよくなると本社は言ってますが、トラックいっぱいに荷物を積んでいるから荷台を開けるとすぐに荷物が温まってしまい、品質に大問題が起きています。そのうえ、年収も100~200万円下がるから誰もやりたがらない。おもに主管支長がCDを指名していますが、『指名されたら罰ゲームだ』ともっぱらです」
》 老舗掲示板サイト「スラド」が2024年1月末に終了、「OSDN」も接続困難なまま閉鎖か 「OSCHINA」による買収の余波 (窓の杜, 1/22)。スラドはともかく、OSDN がなあ。
0-day CVE-2024-23222 の修正を含みます。 いつもなら遅れ気味の iOS / iPadOS 15 / 16 系アップデートも同時公開されていますが、 iOS / iPadOS 15.8.1 では CVE-2024-23222 が修正されているわけではないことに注意。
iOS / iPadOS
About the security content of iOS 17.3 and iPadOS 17.3 (Apple, 2024.01.22)
About the security content of iOS 16.7.5 and iPadOS 16.7.5 (Apple, 2024.01.22)
About the security content of iOS 15.8.1 and iPadOS 15.8.1 (Apple, 2024.01.22)。修正されているのは WebKit の欠陥 CVE-2023-42916 CVE-2023-42917。 iOS / iPadOS 17.2 / 16.7.3 で修正されたもの。
tvOS
About the security content of tvOS 17.3 (Apple, 2024.01.22)
watchOS
About the security content of watchOS 10.3 (Apple, 2024.01.22)
macOS
About the security content of macOS Sonoma 14.3 (Apple, 2024.01.22)
About the security content of macOS Ventura 13.6.4 (Apple, 2024.01.22)
About the security content of macOS Monterey 12.7.3 (Apple, 2024.01.22)
Safari
About the security content of Safari 17.3 (Apple, 2024.01.22)
Apple Vision Pro 用 visionOS の修正が出ました。 CVE-2024-23222 の修正です。
About the security content of visionOS 1.0.2 (Apple, 2024.01.31)。修正個所は CVE-2024-23222 のみ。
》 Microsoft、『Show or hide updates』を廃止予定。Windows10以降用の更新プログラム非表示ツール (ニッチなPCゲーマーの環境構築Z, 1/22)。そんなツールあったのか、知らんかった。2025 年だそうです。
》 【訃報】インターネットを介してシステム時刻を同期する「NTPプロトコル」を発明したデイヴィッド・L・ミルズ氏が85歳で死去 (gigazine, 1/22)。合掌。
》 「宮崎駿監督の映画『君たちはどう生きるか』で2万5000枚分の作画を担当した」という自称スーパーアニメーターの大ウソが発覚して大騒動に (gigazine, 1/19)
》 Microsoft、ハッキング被害を受ける。従業員の一部メールが流出 (ニッチなPCゲーマーの環境構築Z, 1/20)、 Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard (MSRC, 1/19)
》 SOMPOホールディングス 社外調査委員会による調査報告 (2024.01.16) (まるちゃんの情報セキュリティ気まぐれ日記, 1/20)。ビッグモーターの件。
》 ランサムリークサイト観察記 2023年振り返り ((n)inja csirt, 1/18)
》 MiraclePtr: protecting users from use-after-free vulnerabilities on more platforms (Google Security Blog, 1/11)
》 「英国史上最大の冤罪」悪いのは富士通だけ? 郵便制度を調べると… (毎日, 1/21)
英国では郵便局が民営化されており、それを統括する国有企業「ポストオフィス」には起訴など刑事手続きの一部権限がある。英スカイニューズ・テレビによると、誰かを起訴し、財産没収に成功した場合、起訴を実行した調査官には「ボーナスが支払われた」ケースも度々あったという。
英政府は事件を受け、ポストオフィスの「起訴権停止」を検討中と報じられている。元検事のケン・マクドナルド氏は英紙ガーディアンに、事件は「制度の失敗」と指摘。「ポストオフィスが自らのスタッフを起訴する権限を持っていなければ、事件は起きなかった」との見方を示した。「無実の罪」で収監されたスキナー氏もこうした点を訴えており、警察がポストオフィスの責任も捜査すべきだと述べている。
》 日本初、「SLIM」月面着陸に成功も、太陽光パネル発電せず “ピンポイント着陸”は「ほぼ実証できた」 (ITmedia, 1/20)
ただし、探査機の太陽光パネルが発電しておらず、現在内蔵のバッテリーで省電力運用している状態。数時間のバッテリー稼働でできることに注力する。原因として「当初の想定と違う方向を向いている可能性がある」(JAXA國中氏)とのことだが、太陽光の当たり方が変わることで発電する可能性もあるという。ただし、光が再び当たるまでマイナス200度の「越夜」に、2週間耐える必要があるとしている。
関連:
ツイート:
テレメトリデータによればSLIMの太陽電池は西を向いていることから、今後月面で太陽光が西から当たるようになれば、発電の可能性があると考えており、現在復旧へ向けて準備を進めています。なお、SLIMは太陽電池からの電力のみで動作することが可能です。#JAXA #SLIM
— 小型月着陸実証機SLIM (@SLIM_JAXA) January 22, 2024
2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)
KB5034441 の件:
Microsoft、KB5034441の続報を発表。Windows回復環境がなければインストール不要。確認を (ニッチなPCゲーマーの環境構築Z, 2024.01.19)。reagentc /info を実行して 「Disabled」なら KB5034441 をインストールする必要は無いと。 「Enabled」な場合は要インストール。
アラート/アドバイザリ:Deep Security Agent(Windows版)におけるローカル権限昇格の脆弱性(2024年1月) (トレンドマイクロ, 2024.01.17)
CVE-2024-21733: Apache Tomcat: Leaking of unrelated request bodies in default error page (oss-sec ML, 2024.01.19)
GnuTLS 3.8.3 released, fixes CVE-2024-0553 & CVE-2024-0567 (oss-sec ML, 2024.01.19)。iida さん情報ありがとうございます。
GNU coreutils v9.4; v9.3; v9.2 split heap buffer overflow vulnerability (oss-sec ML, 2024.01.18)
Fwd: X.Org Security Advisory: Issues in X.Org X server prior to 21.1.11 and Xwayland prior to 23.2.4 (oss-sec ML, 2024.01.18)
そういえば出てました。 Oracle Critical Patch Update Advisory - January 2024 (Oracle, 2024.01.16)。
VirtualBox 7.0.14 / 6.1.50 が公開されましたが、セキュリティ修正は無いみたい。
VirtualBox 7.0.14 (released January 16 2024) (VirtualBox.org)
VirtualBox 6.1.50 (released January 16 2024) (VirtualBox.org)
Oracle Java SE Risk Matrix (Oracle)。 13 件のセキュリティ欠陥を修正。
JDK Releases (java.com)。21.0.2 / 17.0.10 / 11.0.22 / 8u401 ですか。
JavaSE Development Kit 21.0.2 (JDK 21.0.2) (Oracle, 2024.01.16)
Java SE 17.0.10 - Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.01.16)
Java SE 11.0.22 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.01.16)
Java SE 8u401 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.01.16)
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
》 「政府が森林火災を起こしている」と主張した気候変動否定の陰謀論者が14件の放火で罪を認める (gigazine, 1/18)
》 経団連 英国国家サイバー諮問委員会 サイバー分野における官民連携に関する協力覚書の締結 (まるちゃんの情報セキュリティ気まぐれ日記, 1/18)
》 金融庁 コーポレートガバナンス改革に向けた取組みに関するウェブページを開設 (2024.01.15) (まるちゃんの情報セキュリティ気まぐれ日記, 1/18)
PixieFail: Nine vulnerabilities in Tianocore's EDK II IPv6 network stack. (Quarkslab's Blog, 2024.01.16)
Vulnerabilities in EDK2 NetworkPkg IP stack implementation. (CERT/CC, 2024.01.18 更新)。AMI, Insyde, Intel, Phoenix が affected とされている。
VMSA-2024-0001 - VMware Aria Automation (formerly vRealize Automation) updates address a Missing Access Control vulnerability (CVE-2023-34063) (VMware, 2024.01.16)。 VMware Aria Automation 8.14 / 8.13 / 8.12 / 8.11 系列、 および VMware Cloud Foundation 4.x / 5.x に欠陥。 アクセス制御に不備があり、認証済みユーザーによる認可されないアクセスが可能となる。 CVSSv3 base score 9.9 だそうで。
VMware Aria Automation 8.1[4321].x には patch が用意されているものの、欠陥のない 8.16 への更新が推奨されている。 VMware Cloud Foundation については VMware Aria Automation への更新が必要。
VMware Response To CVE-2023-34063 (VMSA-2024-0001) (96098) (VMware, 2024.01.18)
VCF Response to VMSA-2024-0001 (96136) (VMware, 2024.01.16)
GitLabのパスワードリセット機能における脆弱性(CVE-2023-7028)について (JPCERT/CC, 2024.01.16)。 GitLab 16.7.2 / 16.6.4 / 16.5.6 で修正されている。
Drupal core - Moderately critical - Denial of Service - SA-CORE-2024-001 (Drupal, 2024.01.17)。Drupal 10.2.2 / 10.1.8 で修正されている。 Drupal 8 / 9 / 10.0.x にも影響があるが EoL なので修正されない。 Drupal 7 には影響しない。
》 中国「5%成長達成」の裏で習近平が金融界に戒厳令 空振りの「GDPフライング発表」に映る切実 (東洋経済 online, 1/18)
中国では地方政府の「隠れ債務」といわれるが、その規模はIMF(国際通貨基金)の推計では2022年の時点で57兆元(約1100兆円)に及ぶ。不動産の値下がりは、こうした構造を根底から揺るがすことになる。
不動産不況のもとで金融リスクが拡大しているなか、習政権は国務院(内閣)から権限を奪って共産党への一極集中体制を築き、危機管理を強化しようとしている。党側には、金融リスクの管理に当たるべき専門家への不信もあるようだ。2023年には金融当局や国有銀行幹部の汚職摘発が続いた。
中国発の格安ファッション企業「SHEIN」に対して中国当局がセキュリティ審査を実施、アメリカでの上場に遅れが生じる可能性も (gigazine, 1/18)
ユニクロ、中国発通販サイト「SHEIN」を提訴 ショルダーバッグの「模倣品」を販売と (BBC, 1/17)
》 トヨタグループ傘下保険会社のMicrosoftアカウントが漏えい、約25GBのメールや顧客情報が閲覧可能に (gigazine, 1/18)。豊田通商インシュアランス・ブローカー・インディア。
》 FBIがAWSやMicrosoftから認証情報を盗み出すマルウェア「AndroxGh0st」について警告 (gigazine, 1/18)
》 ウクライナ軍、ロシアの早期警戒機 A-50 を撃墜と発表 (1/14)
ウクライナ、ロシア偵察機を撃墜と発表 ロシア空軍に「打撃」と専門家 (BBC, 1/16)。A-50 は偵察機じゃないけどな。
ロシア軍の指揮系統に大打撃 ウクライナ軍、早期警戒機など2機破壊 (Forbes, 1/16)
ロシアの“円盤”を撃墜成功か!? 貴重な早期警戒機「A-50」の喪失、航空作戦に「大きな影響」の理由とは (乗りものニュース, 1/15)
ロシア軍のA-50メインステイ早期警戒機を撃墜という激震、幾つかの攻撃方法の説 (JSF / Yahoo, 1/17)
これはロシア軍にとっても衝撃ですが世界中の軍事関係者にとっても非常に大きな衝撃です。戦争中に早期警戒機が撃墜されたのはこれが史上初の出来事なのです。
ロシアの貴重なA-50早期警戒管制機を撃墜したのはウクライナ軍ではなく味方の誤射だった? (ニューズウィーク日本版, 1/17)。 誤射説の方がまだマシ (ウクライナ軍に攻撃能力があることを認めたくない)、ということみたい。
》 ロシアとウクライナ 戦争と停戦 (NHK 解説委員室, 1/16)。 停戦したところでロシアはまたやってくるだろうしなあ。
》 激化するサイバー戦 ウクライナで何が起きたのか (住田和明 / Wedge, 1/17)
》 イラン軍事精鋭部隊 隣国パキスタンの武装組織の拠点を攻撃か (NHK, 1/17)。パキスタンのバロチスタン州にある「イスラム教スンニ派の武装組織の拠点」を攻撃だそうで。 関連:
パキスタン、イランによる空爆で子供2人死亡と発表 武装勢力狙ったとイラン側 (BBC, 1/17)。「イランはここ数日の間に、イラク、シリア、パキスタンと3カ国を攻撃したことになる」。
パキスタン、報復攻撃か?
パキスタン、イラン領内を攻撃 7人死亡、越境攻撃の報復か (時事, 1/18)
》 北朝鮮、14日に固体燃料の中距離ミサイル発射実験 極超音速弾頭 (ロイター, 1/15)
関連:
北朝鮮が弾道ミサイルの発射に失敗か(追記あり) (海国防衛ジャーナル, 1/14)。失敗ではなく極超音速ミサイルだったという解説。
北朝鮮が「極超音速ミサイル」を固体燃料化した新型中距離ミサイルの試験発射に成功 (JSF / Yahoo, 1/15)
調査報道・新世紀 File2 北朝鮮 極秘ミサイル開発 (NHK スペシャル, 1/14)
》 重要インフラのオープン化:5G通信で注目を集めるオープンRAN(O-RAN)におけるセキュリティの現状 (トレンドマイクロ セキュリティ blog, 1/15)。オープンな無線アクセスネットワーク (RAN) の話。
》 羽田で5人死亡の航空機事故、国交労組「人手不足で安全保てない」...遠因の指摘も (弁護士 JP ニュース / Yahoo, 1/18)。政府の人員抑制策が事故の原因の1つだという指摘。
全運輸労働組合等で組織される「国土交通労働組合(国交労組)」の担当者は、「政府の合理化政策等によって管制官として携わる人手が不足している」と訴える。 (中略) この背景には、14年に政府が閣議決定した「国の行政機関の機構・定員管理に関する方針」が関係している。
国の行政機関の機構・定員管理に関する方針 (cas.go.jp)。 2014.07.25 閣議決定。 第2次安倍内閣ですね。
担当者氏によると、管制管 1チーム 3 人 x 6 チーム分 = 18 人必要なのだが
「ところが、政府方針の通り新規要員を減に抑制することになっている。そのため、とりあえず国交省は18人に対して6人を要求するから後は現場の工夫で何とかしてくれと数を削られる。その後、国交省は21年度に政府に対して6人を要求したが、政府の答えは3人だった」(国土交通労組の担当者)
こんな重要な部分の人員を機械的に削除するとは。馬鹿としか言いようがない。
》 被災地の自衛隊員「装備品ボロボロ」報道で「こういうところにお金使って」の声…元隊員も「意外に自腹は多い」と指摘 (FLASH / Yahoo, 1/16)。こういう、人を大切にしないところも旧軍体質なんだよな。 正面装備だけでは勝てないってことがあいかわらず分かってない。 正面装備を減らしてでも充実させるべき。
》 自衛隊のハラスメントを根絶してください (Change.org, 1/12)。旧軍体質が抜けないんだよなあ。
同じ実力組織であっても、例えばドイツの軍隊には、人権擁護の部署や軍事オンブズマン制度、兵士の労働組合があり、「兵士の人権を守ることは軍隊を誤らせないこと」と言われています。アメリカでは、例えばセクハラについては、米軍事司法統一法典において犯罪化され、特に軍の信用を失墜させるものについては重い犯罪とされています。また、アメリカ、イギリスでは民間団体や外部アドバイザーを利用したヘルプラインが活用されています。このような諸外国での取り組みを日本も参考にすべきです。
》 ロシアが北朝鮮から提供された弾道ミサイルをウクライナに発射 (海国防衛ジャーナル, 1/5)。「おそらく北朝鮮版イスカンデル「KN-23」短距離弾道ミサイルだと考えられます」。
》 初の実戦における対艦弾道ミサイル(ASBM)使用と迎撃成功 (海国防衛ジャーナル, 2023.12.29)。
》 「給与支払いシステムの技術的不具合」によりパプアニューギニアで暴動が発生し非常事態宣言が発令される (gigazine, 1/16)
》 仮想通貨テザーが「豚殺し詐欺」などアジアにおけるサイバー詐欺を助長していると国連が警告 (gigazine, 1/16)
》 OpenAIが2024年の選挙ラッシュでAIが悪用されることを防ぐための施策を発表 (gigazine, 1/16)
》 Googleがオンラインカジノ・スポーツ賭博・競馬・宝くじなど以外にも幅広いリアルマネーゲームを許可する方針を発表 (gigazine, 1/15)
》 Apple対Epic Games訴訟の審理を連邦最高裁が拒否、Appleのほぼ勝訴が確定も「App Store外の決済システム」を認める必要あり (gigazine, 1/17)
》 ついにAppleがiPhone向けアプリへの「外部課金システムへのリンク挿入」を許可、ただし手数料は発生 (gigazine, 1/17)。「外部システムへのリンク挿入はアメリカ向けのアプリのみに限定されています」。
》 iPhoneにApp Store以外からアプリをインストールする「サイドローディング」対策のためAppleがApp Storeを分割する可能性が浮上 (gigazine, 1/16)
》 AppleがSamsungを抑えついにスマホ市場シェア1位に躍り出る (gigazine, 1/17)。「Samsung以外の企業がトップに立ったのは2010年以来のこと」
いろいろ (2024.01.12) Ivanti Connect Secure / Ivanti Policy Secure
ヤラレたか否かのチェックには Integrity Check Tool (ICT) を使うのだそうです。 ICT には internal ICT と external ICT の 2種類があり、 両方 clean であれば問題なしと判断できるようです。
Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887 (ivanti.com, 2024.01.16)
Both the internal and external ICT successfully identifies the post-advisory activity. If your ICT scans were clean, you are not affected by this activity.
で、その ICT とやらはどこにあるのよ? と思ったら、
Customers can access direct downloads for the Mitigation and ICT here login required.
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.17 更新) にはさらに興味深い情報があって、
本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)は機器の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用できる場合はそちらの利用をまずご検討ください。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。
再起動……。
Ivanti Connect Secure VPN Exploitation Goes Global (volexity.com, 2024.01.15)
北京市司法局 (sfj.beijing.gov.cn) が発表しているのですね。 対象となる iOS バージョンなどは記載されていない。
科学捜査:匿名の "ドロップシップ "通信の謎を解明する科学捜査 (北京市司法局, 2024.01.08) (DeepL 訳)
(前略)北京網信東健司法鑑定研究所は、公安当局の委託を受け、検査に出された携帯電話の「AirDrop」機能の記録を抽出・分析した。
北京網信東健科技研究所のフォレンジック技術専門家は、iPhoneデバイスのログを深く分析し、送信原理を明らかにすることで、AirDrop関連の記録を特定した。テストの結果、送信者のデバイス名、メールボックス、携帯電話番号関連のフィールドが発見され、その中で携帯電話番号とメールボックス関連のフィールドはハッシュ値の形で記録され、ハッシュ値の一部のフィールドは隠されていた。フィールドの迅速な解読を実現するため、技術チームは詳細な携帯電話番号とメールボックス・アカウントの「レインボー・テーブル」を作成し、暗号文を原文に変換し、送信者の携帯電話番号とメールボックス・アカウントを迅速にロックできるようにした。
これは 2019 年に指摘済の問題なのだという。 しかし Apple は直す気がまるでないらしい。
Apple AirDrop has “significant privacy leak”, say German researchers (Sophos, 2021.04.23)。問題点を指摘するだけでなく、改善提案までしていた。 しかし Apple は何もしなかった。
A Billion Open Interfaces for Eve and Mallory: MitM, DoS, and Tracking Attacks on iOS and macOS Through Apple Wireless Direct Link (28th USENIX Security Symposium, 2019.08.14)
PrivateDrop: Practical Privacy-Preserving Authentication for Apple AirDrop (30th USENIX Security Symposium, 2021.08.13)
Sophos がまとめているアドバイスは以下のとおり (DeepL 訳)
だから、この攻撃を心配しているのなら:
- AirDropを使わない場合はオフにしましょう。とにかく、これは良いセキュリティ対策です。他のAirDropユーザーに常に発見される必要はありません。
- Contacts onlyモードが失敗し続けても、やみくもにEveryoneモードに戻らないでください。あなたが信頼できる送り主と二人きりの場所にいるのであれば、おそらく大丈夫でしょうが、もしあなたが賑やかなコーヒーショップやショッピングモールにいるのであれば、Everyoneモードは、まあ、周りのみんなにあなたを開いていることを覚えておいてください。
- 接続する相手には注意が必要だ。研究者たちは、一種の "namesquatting "トリックを使用して、受信者のデバイス名の明白な変種を使用することに依存していた。可能であれば、まず受信者のデバイス名を画面に表示させ、似ているが偽の名前を選んで騙されないようにしよう。
Apple knew AirDrop users could be identified and tracked as early as 2019, researchers say (CNN, 2024.01.12)
中国当局がユーザーを特定するために使用したとされるAirDropの脆弱性について実は2019年の早い段階でAppleに警告したとセキュリティ研究者が主張 (gigazine, 2024.01.15)
Chrome 120.0.6099.234 (Mac) / 120.0.6099.224 (Linux) / 120.0.6099.224/225 (Windows) 公開。 0-day CVE-2024-0519 を含む 4 件のセキュリティ修正が施されている。
Android 版も出てます: Chrome for Android Update (Google, 2024.01.16)。Chrome 120 (120.0.6099.230) for Android。
「Microsoft Edge」でもスクリプトエンジン「V8」のゼロデイ脆弱性が修正 v120.0.2210.144にアップデートされているかどうか確認を (窓の杜, 2024.01.18)
》 南アフリカ vs イスラエル、ジェノサイド訴訟審理開始 (1/12)。 アパルトヘイト国家イスラエルに打撃を与えることはできるか?
“ガザ地区への攻撃は集団殺害犯罪” 南アフリカがICJに提訴 (NHK, 2023.12.30)
ガザでの集団殺害の提訴巡り、国際司法裁判所で審理開始 (JETRO, 1/12)
南ア、イスラエルの「ジェノサイド」を非難 国際司法裁判所で審理 (CNN, 1/12)
ガザめぐる「ジェノサイド」訴訟、南アとイスラエルの主張と今後の見通し (BBC, 1/13)
ガザ、最後の希望! (Avaaz)。署名募集中。
パレスチナでは、数百万人もの市民が身動き取れず息を潜めながら、一刻も早い停戦決定を待ち望んでいます。南アフリカによる惨状終結への試みを支持するよう各国政府を説得することは、私たちの喫緊の課題なのです。
》 富士通 UK (旧 ICL) 「ホライゾン」冤罪事件が再燃
震源地: TV ドラマ「Mr Bates vs The Post Office」
Mr Bates vs the Post Office: The Real Story (IMDb)。IMDb Rating は 7.7/10。
Devastating Post Office Scandal Into the Light (NYTimes, 1/10)
Mr Bates vs The Post Office: How a TV drama shook up Britain - in just a week (BBC, 1/12)
Hughes' story did more than just attract attention; it galvanised action. The Post Office CEO at the time of the scandal, Paula Vennells, was played so convincingly in the show by Lia Williams, that within days of the finale on 4 January, more than a million people signed a petition demanding she hand back her CBE, given to her by Queen Elizabeth II in 2019. On 9 January, she did just that. And a day later, the Government stepped in. Prime Minister Rishi Sunak said he would bring in a new law to "swiftly exonerate and compensate victims".
Mr Bates is once again proof of the ability of the small screen to change the narrative of real-life events, and when it connects with an audience, what instrumental changes can arise from it. This power was arguably first harnessed back in 1966, when the British drama Cathy Come Home deftly and impactfully brought awareness to the issue of housing and homelessness, which led to the problem being discussed in the House of Commons and the homeless charity Shelter being formed.
‘The timing was impeccable’: why it took a TV series to bring the Post Office scandal to light (Guardian, 1/13)
記事:
【解説】 富士通と英郵便局スキャンダル どう関係しているのか (BBC, 2022.10.14)
英郵便局スキャンダル、被害者救済に新展開 富士通は下院で証言へ (BBC, 1/10)
こうした中、2012~2019年にポスト・オフィスの最高経営責任者(CEO)を務めていたポーラ・ヴェネルズ氏が9日、勲章を返還すると発表した。同氏をめぐっては、勲章を剥奪するよう求める署名が100万筆を超えていた。
ヴェネルズ氏の在任中、ポスト・オフィスはホライゾン・システムに問題があったことを繰り返し否定していた。ヴェネルズ氏本人は、このスキャンダルにおける役割について長い間、疑問視されていた。
というか、勲章 (CBE; 大英帝国勲章 - コマンダー) を与えていたというのがびっくり。 カーチス・ルメイに勲一等旭日大綬章を授与した日本国並だな。
「違法な取り立て」に心折れ、自殺者も...富士通のシステムが招いた巨大「冤罪」事件に英国民の怒りが沸騰 (木村正人 / ニューズウィーク日本版, 1/10)
富士通に補償求める声、被害者らから噴出 英郵便局スキャンダル (BBC, 1/11)
「イギリス史上最大のえん罪事件」スナク首相が被害者救済を表明 郵便会計システムの欠陥で自殺者も (TBS, 1/11)
富士通、英国で排除の動きか…システム欠陥で数百人が冤罪=ホライゾン事件 (Business Journal, 1/11)
英史上最大の冤罪と闘う郵便局長を描いたTVドラマが「ヴォルデモート」富士通を追い詰める (木村正人 / Yahoo, 1/11)
富士通幹部が英議会で証言へ、システム欠陥による郵便局の一大冤罪事件めぐり (日経 xTECH, 1/12)
英国の郵便冤罪事件、なぜ起きた? 富士通幹部が証言へ (日経, 1/15)
【コラム】富士通は直ちに動け、さもなくば永遠の誤解も-リーディー (ブルームバーグ, 1/15)
2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)
KB5034441 の件の記事:
Windows 10/11で「2024年1月の更新プログラム」のインストールが失敗(エラー0x80070643)! その原因は? (@IT, 2024.01.16)。山市良氏の記事なので安心して読める。
あと CVE 一覧。48 MS CVE + 5 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET Core と Visual Studio CVE-2024-20672
- .NET Framework CVE-2024-21312
- .NET と Visual Studio CVE-2024-0057
- Azure Storage Mover CVE-2024-20676
- Linux 用 Windows サブシステム CVE-2024-20681
- Microsoft Bluetooth ドライバー CVE-2024-21306
- Microsoft Edge (Chromium ベース) CVE-2024-0222 CVE-2024-0223 CVE-2024-0224 CVE-2024-0225
- Microsoft ID サービス CVE-2024-21319
- Microsoft Office CVE-2024-20677
- Microsoft Office SharePoint CVE-2024-21318
- Microsoft デバイス CVE-2024-21325
- Microsoft 仮想ハード ドライブ CVE-2024-20658
- SQL Server CVE-2024-0056
- SQLite CVE-2022-35737
- Unified Extensible Firmware Interface CVE-2024-21305
- Visual Studio CVE-2024-20656
- Windows AllJoyn API CVE-2024-20687
- Windows BitLocker CVE-2024-20666
- Windows Cloud Files Mini Filter Driver CVE-2024-21310
- Windows Collaborative Translation Framework CVE-2024-20694
- Windows Cryptographic サービス CVE-2024-20682 CVE-2024-21311
- Windows Hyper-V CVE-2024-20699 CVE-2024-20700
- Windows Libarchive CVE-2024-20696 CVE-2024-20697
- Windows ODBC ドライバー CVE-2024-20654
- Windows Server キー分離サービス CVE-2024-21316
- Windows TCP/IP CVE-2024-21313
- Windows Themes CVE-2024-20691 CVE-2024-21320
- Windows Win32 カーネル サブシステム CVE-2024-20686
- Windows Win32K CVE-2024-20683
- Windows オンライン証明書状態プロトコル (OCSP) スナップイン CVE-2024-20655 CVE-2024-20662
- Windows カーネル CVE-2024-20698
- Windows カーネルモード ドライバー CVE-2024-21309
- Windows グループ ポリシー CVE-2024-20657
- Windows スクリプト CVE-2024-20652
- Windows メッセージ キュー CVE-2024-20660 CVE-2024-20661 CVE-2024-20663 CVE-2024-20664 CVE-2024-20680 CVE-2024-21314
- Windows ローカル セキュリティ機関サブシステム サービス (LSASS) CVE-2024-20692
- Windows 共通ログ ファイル システム ドライバー CVE-2024-20653
- Windows 近距離共有 CVE-2024-20690
- Windows 認証方法 CVE-2024-20674
- リモート デスクトップ クライアント CVE-2024-21307
いろいろ (2024.01.12) Ivanti Connect Secure / Ivanti Policy Secure
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.15 更新)
JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。同製品を利用している場合は速やかに対処や調査を実施することを推奨します。
Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation (Mandiant, 2024.01.12)
》 羽田空港 JAL516 便 (A350-900)・海上保安庁 MA722みずなぎ1号機 (DHC-8-Q300) 衝突事故 (1/2)
JAL A350が羽田で炎上 札幌発JL516便、乗客乗員は全員脱出 (Aviation Wire, 1/2)
日本航空(JAL/JL、9201)によると、1月2日の札幌(新千歳)発羽田行きJL516便(エアバスA350-900型機、登録記号JA13XJ)の乗客367人(幼児8人含む)と乗員12人(パイロット3人、客室乗務員9人)の379人は、羽田空港で全員脱出した。C滑走路(RWY34R)へ着陸後に機体が炎上した。JALのA350-900と、海上保安庁羽田航空基地所属のMA722「みずなぎ1号」(ボンバルディアDHC-8-Q300、JA722A)が衝突した可能性がある。
東日本大震災の津波で被災 炎上した海保機「みずなぎ1号」 (産経, 1/11)
羽田空港で日本航空機と海上保安庁機が衝突・炎上 何があったのか (NHK 解説委員室, 1/5)
JAL機炎上、そのとき何が 検証・羽田空港衝突事故 (日経, 1/9)。これはよくできている記事。
2機のサイズはかなり異なる。公式サイトをもとに日本経済新聞が3Dモデルの寸法を合わせたところ、JAL機の先頭部分に当たったのは海保機の尾翼である可能性が高いことが分かった。海保機長の「いきなり後ろが燃えた」という証言にも合致する。
《JAL機炎上事故》現役管制官が緊急告発 「事故が起きた羽田空港C滑走路は離着陸兼用の“異常”な運用だった」 (文春オンライン, 1/9)。RWY34R の離着陸混用が一因だという指摘。
「羽田空港にはA~Dまで4本の滑走路があります。事故当時は北風が吹いていましたが、この場合、B滑走路は使用せず、A滑走路が着陸、D滑走路が離陸専用となる。ところが、C滑走路は常に『離着陸兼用』の運用なのです」
「混雑ランキング1位のアトランタ空港、2位のドバイ空港はもちろん、関西国際空港も離着陸ごとに滑走路を分けている。そうした実態を踏まえると、羽田のC滑走路は“異常”な運用と言えます」
羽田空港事故 日本航空パイロット“他機の離陸許可 通信なし” (NHK, 1/11)
羽田空港JAL機炎上事故「航空安全推進連絡会議」が緊急声明を出した本当の理由 (esquire, 1/12)
「事故調査を最優先にして」航空関係者が刑事捜査に反発する理由とは 羽田衝突事故 調査と捜査の大きな違い (東京, 1/13)
羽田空港 衝突事故 緊急時、命を守る“判断”とは (NHK クローズアップ現代+, 1/10)、 【羽田空港事故】なぜ旅客機から全員脱出できた?緊迫の18分に何が?専門家が語る“苦しい判断”とは【クロ現】 (NHK / YouTube, 1/12)。脱出の様子の解説。
JAL機パイロット、衝突後は「操縦不能に」 羽田事故の聞き取り (毎日, 1/14)
「機体は滑っているという感覚で、機長がブレーキ、尾翼の方向舵(だ)、車輪の向きを変えるハンドルなどを操作したが機能せず、アンコントローラブル(操縦不能)だと認識した」
羽田衝突事故「海保機に非搭載だった」と海外メディア報じる装置とは 欧米で義務化 日本は事故後も“沈黙” (中島二郎 / 乗りものニュース, 1/15)
では、航空機側に衝突を未然に防ぐ装置が存在するのかというと、2つのシステムが実用化されています。
1つは「TCAS(ティーキャス)」と呼ばれる接近警報装置です。(中略)
これをさらに進化させて、自機の位置を緯度経度の座標情報を含んだ信号で、周囲にいる他の航空機に発信するシステムが「ADS-B」と呼ばれるものになります。
「TCAS」と「ADS-B」、これら2つのシステムは多くの国で採用されていて、ヨーロッパなどでは「TCAS」に反応するモードSの発信機を搭載していない航空機は混雑空域を飛ぶことができません。
さらにヨーロッパでは、2020年より総重量5.7t以上ある全ての航空機にADS-Bの装備が義務付けられました。FAA(アメリカ連邦航空局)でも2020年から管制空域に入るにはADS-Bの搭載を義務付けています。なお、アメリカではこれに先立ちADS-Bの普及を促すため、2016年以降2度にわたり小型機にも1機当たり500ドル(1ドル140円換算で約7万円)の補助金を出して同装置の設置を後押ししてきました。
ところが日本では、TCASやこれに反応するモードSの導入は進んでいますが、ADS-Bは義務化されていません。
海外メディアは、この点が今回の事故の重要な要因として報道などで取り上げているのに対し、国内メディアは、このことに触れていないという点に大きな違いがあります。海外メディアは、今回の事故を起こした海保機は、モードSこそ搭載していたものの、ADS-Bは未搭載であったと伝えています。
そこへ今回の事故が発生してしまいました。この事実を国土交通省はどう説明するのでしょうか。しかも、日本で最も忙しい羽田空港の常駐機にADS-Bが搭載されていなかったことは、世界の常識と照らし合わせると考えられないことだといえるでしょう。
ADS-B があれば事故を防げた可能性が高いと。 即刻、義務化すべきだろ。
放送型自動従属監視 (ウィキペディア)
Raspberry Piで航空機のADS-Bを受信する (Luup Developers Blog / Zenn, 2023.04.25)
羽田空港事故 安全対策で専門家検討委 19日に初会合 国交省 (NHK, 1/12)。ADS-B の件が取りあげられるのかどうか、要注目。
日本航空516便衝突炎上事故 (ウィキペディア)
羽田で5人死亡の航空機事故、国交労組「人手不足で安全保てない」...遠因の指摘も (弁護士 JP ニュース / Yahoo, 1/18)。政府の人員抑制策が事故の原因の1つだという指摘。
全運輸労働組合等で組織される「国土交通労働組合(国交労組)」の担当者は、「政府の合理化政策等によって管制官として携わる人手が不足している」と訴える。 (中略) この背景には、14年に政府が閣議決定した「国の行政機関の機構・定員管理に関する方針」が関係している。
国の行政機関の機構・定員管理に関する方針 (cas.go.jp)。 2014.07.25 閣議決定。 第2次安倍内閣ですね。
担当者氏によると、管制管 1チーム 3 人 x 6 チーム分 = 18 人必要なのだが
「ところが、政府方針の通り新規要員を減に抑制することになっている。そのため、とりあえず国交省は18人に対して6人を要求するから後は現場の工夫で何とかしてくれと数を削られる。その後、国交省は21年度に政府に対して6人を要求したが、政府の答えは3人だった」(国土交通労組の担当者)
こんな重要な部分の人員を機械的に削除するとは。馬鹿としか言いようがない。
》 中国の軍事機関・国営AI研究機関・大学などがアメリカから禁止されているNVIDIA製半導体を少しずつ購入していた実態が判明 (gigazine, 1/15)
》 ハワイ最後の石炭火力発電所が158台のテスラ製バッテリーを備えたエネルギー施設に生まれ変わる (gigazine, 1/12)
》 世界初の第4世代原子力発電所「石島湾原子力発電所」の仕組みとは? (gigazine, 1/11)
》 イランの核施設破壊作戦のためアメリカが1500億円を費やしオランダのスパイ組織が作戦を実施したもののオランダ政府は事態を把握していなかった可能性が浮上 (gigazine, 1/15)。おぉぅ、Stuxnet の記事じゃん!
》 GitHubがサイバー犯罪者によるマルウェア配信の温床として悪用されているという指摘 (gigazine, 1/15)
》 「すべての学術誌でAIによる不正画像チェックを行う」とScienceが発表 (gigazine, 1/7)
》 HPのプリンターがサードパーティーの非純正インクをファームウェアアップデートでブロックした件で訴訟が提起される (gigazine, 1/11)
》 テスラ車にスピードを出すとタイヤが外れてしまうなど多数の不具合報告、技術者には「欠陥ではない」と答えるよう指示が出ていたことが判明 (gigazine, 2023.12.26)。おーこわ。
》 2023年に死んだ「NFT」とは結局何だったのかを振り返る (gigazine, 2023.12.27)
》 Corsairのファン用ネジが革新的!全ファンメーカーに採用してもらいたいくらい (ニッチなPCゲーマーの環境構築Z, 1/13)
》 サバイバルマニアが教える「3の法則」に従った自宅用防災グッズ16選 (つぼっち / mag2news, 2017.09.04)
防災グッズを構築する基本として、「3の法則」というものがあるのをご存知でしょうか。3はそれぞれ、3分・3時間・3日・3週間という時間の単位を示しています。そこで、備えるべき防災グッズの優先順位も、時間の短いものから準備していきます。
- 空気 3分:人は空気がないと3分しか生きられない。
- 体温 3時間:人は適切な体温を維持できなければ、3時間しか生きられない。
- 水分 3日:人は体内に水分がない状況では3日程度しか生きられない。
- 食料 3週間:人は食べなければ3週間ぐらいしか生きられない。
記事が古いのでリンク先が一部ディスコンだったりするみたいだけど、 現行製品は割と簡単に見つかる。
》 いざというときの備えのスマホの設定とアプリ (gihyo.jp, 1/11)
いつ何時に大きな声が出せなくなる可能性もあるので、笛の音を出すアプリをインストールしておくのは良いかもしれません。
そんなアプリあるんだ。物理笛を常時携帯してますが、バックアップ用に入れておこうかな。
》 令和6年能登半島地震の偽情報関連の報道についてまとめてみた (piyolog, 1/6)
》 国民生活センター、震災に便乗した消費者トラブルの相談窓口を設置 (ITmedia, 1/15)
》 NTT・島田社長、被災地の通信環境復旧は「見通し立たず」 能登半島地震 (産経 / ITmedia, 1/12)
一方、NTTドコモがKDDIと共同で運営する船上基地局のほか、衛星電話なども活用することで「連絡ができない状況になっている場所はもうない」という。現地で活動する自衛隊の通信などにも支障はない状況だ。
船上基地局 (NTTドコモ、KDDI)
ケーブル敷設船きずな (NTT WE MARINE)
令和6年能登半島地震に伴う「船上基地局」運用の実施について -NTTドコモ、KDDI共同で海上から通信を復旧- <2024年1月6日> (NTT ドコモ, 1/6)。KDDI も相乗りと、
NTTとKDDI、災害時の物資運搬などに関する相互協力開始 (KDDI, 2020.09.11)
両社は、災害発生時に両社が所有するケーブル敷設船を相互活用し、被災地への災害対応物資 (可搬型基地局、発電機、燃料、携帯電話、水、食料など) の搬送を行うことで、救済地域の拡大や、迅速な物資運搬を実現し、被災者を支援します (※)。これにより、直下型大地震などにより陸路での物資運搬が困難となった際など、両社いずれかのケーブル敷設船が運航可能な場合に、被災地復旧の支援を早めることが可能となります。
※ 災害発生時に運航が可能な場合の取り組みとなります。
これを今回初運用と。
ドコモとKDDIの「船上基地局」、13日に移動 (ケータイ Watch, 1/11)。「石川県輪島市町野町沿岸付近」から「輪島市大沢地区」へ。
新たな海底ケーブル敷設船「きずな」の進水式について (NTT ファイナンス, 2016.11.16)。主に国内担当と。
最新鋭のケーブル敷設船「きずな」の内部に潜入! (NTT.com)
きずなの大きな特長となっているのは、ケーブル敷設・修理の役割を担うことに加え、災害発生時に迅速に通信を復旧するための災害対応機能も付加されている点です。搭載されている大型クレーン2基を使い、被災地へ復旧資機材の搬入を可能としているほか、きずな内の会議室や医務室、宿泊施設といった船内設備を利用して臨時の災害対策本部として使うこともできます。そのほか、きずな自身が基地局となって被災地での携帯電話の利用を可能にする船上基地局としての利用、岸壁の電源・飲料水の供給なども想定されています。
船上基地局機能が常設されているのかな。
最大積載容量 4360 トンだそうなので、 港湾を使えていれば「きずな」をもっと活用できたのでしょうね。 さすがに LCAC やヘリを塔載したりはしていないからなあ。
KIZUNA Cable Layer IMO 9805491 (marinetraffic.com)、 KIZUNA Other Ship (vesseltracker.com)、 KIZUNA Cable Layer, IMO 9805491 (vesselfinder.com)
(お知らせ)新日本海フェリーとドコモが「防災及び災害対処活動に関する相互協力協定」を締結 -大規模災害時、旅客船へ船上基地局を設置し、陸上の通信を確保- <2018年4月16日> (NTT ドコモ, 2018.04.16)。という協定も結んでいたわけですが、 今回は「きずな」での運用に留まっているようです。
ドローン基地局 (ソフトバンク)
災害時にサービスエリアを迅速に復旧するための 有線給電ドローン無線中継システムの運用を開始 (ソフトバンク, 2022.07.22)。「有線給電ドローン無線中継システム」が正式名称と。
ソフトバンクがドローンで携帯の電波を中継、能登半島地震で運用開始 (ケータイ Watch, 1/6)
Starlink (KDDI)
スペースXとKDDI、能登半島の避難所にStarlink 350台を無償提供 (KDDI, 1/7)
KDDIとDMAT、Starlinkで能登半島の災害医療現場を支援 (KDDI, 1/12)
復旧エリアマップ。移動基地局の投入数がすごい。
令和6年能登半島地震の影響による復旧エリアマップ(FOMA) (NTT ドコモ)
au 復旧エリアマップ (au)
令和6年能登半島地震 復旧エリアマップ (ソフトバンク)
復旧エリアマップ(甲信越・北陸) (楽天モバイル)。甚大被害地域の多くは、もとから楽天独自ではなく「パートナー回線エリア」のようで。
Stuxnet worm 'targeted high-value Iranian assets' (2010.09.24)
関連:
アメリカによる対イラン用の電子戦計画「ニトロ・ゼウス(NITRO ZEUS)」の存在が明らかに (gigazine, 2016.02.18)
イランの核燃料施設へのサイバー攻撃は「オランダのスパイ」を潜入させて実行されたという詳細 (gigazine, 2019.09.03)
イランの核施設破壊作戦のためアメリカが1500億円を費やしオランダのスパイ組織が作戦を実施したもののオランダ政府は事態を把握していなかった可能性が浮上 (gigazine, 2024.01.15)
カメラ付き顔認識体表温度計を中古で買ったら中に全員の顔写真以下略って全部言っちゃった! (2023.05.10)
別会社の別製品だけど関連だと思うので、こちらに追記しますね。
JVN#96240417 サーマルカメラ TMC シリーズにおける技術情報の提供が不十分な問題 (JVN, 2024.01.15)
サーマルカメラ TMCシリーズの運用及び処分(再販売)する場合の注意点に関して (スリーアール ソリューション, 2023.12.20)
》 “ウソ”、Windows Updateの裏ワザ「UsoClient StartScan」がWindows 11から使えなくなった! は“ウソ” (@IT, 1/11)
》 「地面が約4m隆起した」──能登半島地震の地殻変動、産総研が調査結果発表 (ITmedia, 1/12)
》 TBS「news23」に放送倫理違反 BPO「映像の見た目を優先した」 JA共済“自爆営業”報道で (ITmedia, 1/12)
》 Windows Sysinternals 更新情報 (2024 年 1 月 10 日) ─ Sysmon 15.12 (山市良のえぬなんとかわーるど, 1/10)
Security updates available for Substance 3D Stager | APSB24-06 (Adobe, 2024.01.09)。 Priority: 3。 Adobe Substance 3D Stager 2.1.4 で対応。
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.11)。認証回避 + コマンドインジェクション。
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.15 更新)
JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。同製品を利用している場合は速やかに対処や調査を実施することを推奨します。
Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation (Mandiant, 2024.01.12)
ヤラレたか否かのチェックには Integrity Check Tool (ICT) を使うのだそうです。 ICT には internal ICT と external ICT の 2種類があり、 両方 clean であれば問題なしと判断できるようです。
Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887 (ivanti.com, 2024.01.16)
Both the internal and external ICT successfully identifies the post-advisory activity. If your ICT scans were clean, you are not affected by this activity.
で、その ICT とやらはどこにあるのよ? と思ったら、
Customers can access direct downloads for the Mitigation and ICT here login required.
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC, 2024.01.17 更新) にはさらに興味深い情報があって、
本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)は機器の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用できる場合はそちらの利用をまずご検討ください。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。
再起動……。
Ivanti Connect Secure VPN Exploitation Goes Global (volexity.com, 2024.01.15)
Ivanti Connect Secure、Ivanti Policy Secureの脆弱性 CVE-2023-46805およびCVE-2024-21887についてまとめてみた (piyolog, 2024.01.17)
アラート/アドバイザリ:Trend Micro Apex OneおよびTrend Micro Apex One SaaS で確認された複数の脆弱性について(2024年1月) (トレンドマイクロ, 2024.01.12)
FortiOS & FortiProxy - Improper authorization for HA requests (FortiGuard Labs, 2024.01.09)。CVE-2023-44250
OpenSSL Security Advisory [9th January 2024] POLY1305 MAC implementation corrupts vector registers on PowerPC (CVE-2023-6129) (oss-sec ML, 2024.01.09)。Severity: Low。 OpenSSL 3.[012] 系に影響。OpenSSL 1.1.1 / 1.0.2 には影響なし。
iida さん情報ありがとうございます。
inetutils ftpd, rcp, rlogin, rsh, rshd, uucpd: Avoid potential privilege escalations by checking set*id() return values (oss-sec ML, 2023.12.30)。inetutils-2.5 で修正されているそうです。
inetutils-2.5 released [stable] (GNU, 2023.12.29)
オープンソースのオフィス統合環境「Apache OpenOffice 4.1.15」が公開 (窓の杜, 2024.01.11)
TP-LinkのWi-Fiルーターやメッシュシステム5製品に複数の脆弱性、最新ファームウェアへのアップデートを (Internet Watch, 2024.01.10)
Chrome 120.0.6099.216 (Mac / Linux) および Chrome 120.0.6099.216/217 (Windows) 公開。 1件のセキュリティ修正を含む。
関連:
Chrome for Android Update (Google, 2024.01.09)。Chrome 120 (120.0.6099.210) for Android。
「Microsoft Edge」で5件の脆弱性を修正、「Chromium」や「Acrobat」の問題を解決 v120.0.2210.133にアップデートされているかどうか確認を (窓の杜, 2024.01.12)
SMTP Smuggling (2023.12.25)
CVE-2023-51766: Exim: SMTP smuggling (oss-sec ML, 2023.12.29)。Exim 4.97.1 で対応。
2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)
KB5034441 の件、回復パーティション拡張用のオフィシャルスクリプトが公開されました。 Windows 10 バージョン 2004 以降 (Windows 11 を含む) 用と、 Windows 10 / 11 全バージョン用です。よりロバストなので前者が推奨だそうです。
手元で失敗していた Windows 10 機 2 台に適用してみたところ、うまくいったようです。
関連:
今日 (1/10 JST)の Windows Update(2024-01 B) (山市良のえぬなんとかわーるど, 2024.01.11更新)
Firefox 121.0 / ESR 115.6.0、Thunderbird 115.6.0 公開 (2023.12.20)
Firefox 121.0.1、Thunderbird 115.6.1 公開。セキュリティ修正は無いみたい。
Firefox 121.0.1 がリリースされた (mozillaZine, 2024.01.10)
Thunderbird 115.6.1 がリリースされた (mozillaZine, 2024.01.10)
Microsoft 2024.01 patch 出ました。 今回 0-day 修正はありません。
同時に配信された Windows 10 用 KB5034441 のインストールに失敗する事例が多数発生しているようです。 私の手元でも発生しています。
KB5034441が0x80070643エラーで失敗するとの不具合報告が多数。Windows10にて (ニッチなPCゲーマーの環境構築Z, 2024.01.10)
KB5034441の騒動に便乗したフィッシング詐欺が発生。@bahiamailのポストにご注意。決してURLを開かないで (ニッチなPCゲーマーの環境構築Z, 2024.01.11)
Windows Update で KB5034441 がエラーになってしまうのを今すぐ何とかしたい方向けの手順 (qiita, 2024.01.11)。スクリプトが付いているけど、自己責任で。 この手のスクリプトは、おうおうにして予期しない結果が発生します。 Microsoft ですら自動化できなかった作業です。
関連:
Microsoft January 2024 Patch Tuesday (SANS ISC, 2024.01.10)
2024年1月 セキュリティアップデート解説:Microsoft社は53件、Adobe社は6件の脆弱性に対応 (トレンドマイクロ, 2024.01.11) 【2024.01.17 追記】
【Windows11】 WindowsUpdate 2024年1月 不具合情報 - セキュリティ更新プログラム KB5034123 (ニッチなPCゲーマーの環境構築Z, 2024.01.10)
【Windows10】 WindowsUpdate 2024年1月 不具合情報 - セキュリティ更新プログラム KB5034122 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.01.10)
KB5034441 の件、回復パーティション拡張用のオフィシャルスクリプトが公開されました。 Windows 10 バージョン 2004 以降 (Windows 11 を含む) 用と、 Windows 10 / 11 全バージョン用です。よりロバストなので前者が推奨だそうです。
手元で失敗していた Windows 10 機 2 台に適用してみたところ、うまくいったようです。
関連:
今日 (1/10 JST)の Windows Update(2024-01 B) (山市良のえぬなんとかわーるど, 2024.01.11更新)
KB5034441 の件の記事:
Windows 10/11で「2024年1月の更新プログラム」のインストールが失敗(エラー0x80070643)! その原因は? (@IT, 2024.01.16)。山市良氏の記事なので安心して読める。
あと CVE 一覧。48 MS CVE + 5 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET Core と Visual Studio CVE-2024-20672
- .NET Framework CVE-2024-21312
- .NET と Visual Studio CVE-2024-0057
- Azure Storage Mover CVE-2024-20676
- Linux 用 Windows サブシステム CVE-2024-20681
- Microsoft Bluetooth ドライバー CVE-2024-21306
- Microsoft Edge (Chromium ベース) CVE-2024-0222 CVE-2024-0223 CVE-2024-0224 CVE-2024-0225
- Microsoft ID サービス CVE-2024-21319
- Microsoft Office CVE-2024-20677
- Microsoft Office SharePoint CVE-2024-21318
- Microsoft デバイス CVE-2024-21325
- Microsoft 仮想ハード ドライブ CVE-2024-20658
- SQL Server CVE-2024-0056
- SQLite CVE-2022-35737
- Unified Extensible Firmware Interface CVE-2024-21305
- Visual Studio CVE-2024-20656
- Windows AllJoyn API CVE-2024-20687
- Windows BitLocker CVE-2024-20666
- Windows Cloud Files Mini Filter Driver CVE-2024-21310
- Windows Collaborative Translation Framework CVE-2024-20694
- Windows Cryptographic サービス CVE-2024-20682 CVE-2024-21311
- Windows Hyper-V CVE-2024-20699 CVE-2024-20700
- Windows Libarchive CVE-2024-20696 CVE-2024-20697
- Windows ODBC ドライバー CVE-2024-20654
- Windows Server キー分離サービス CVE-2024-21316
- Windows TCP/IP CVE-2024-21313
- Windows Themes CVE-2024-20691 CVE-2024-21320
- Windows Win32 カーネル サブシステム CVE-2024-20686
- Windows Win32K CVE-2024-20683
- Windows オンライン証明書状態プロトコル (OCSP) スナップイン CVE-2024-20655 CVE-2024-20662
- Windows カーネル CVE-2024-20698
- Windows カーネルモード ドライバー CVE-2024-21309
- Windows グループ ポリシー CVE-2024-20657
- Windows スクリプト CVE-2024-20652
- Windows メッセージ キュー CVE-2024-20660 CVE-2024-20661 CVE-2024-20663 CVE-2024-20664 CVE-2024-20680 CVE-2024-21314
- Windows ローカル セキュリティ機関サブシステム サービス (LSASS) CVE-2024-20692
- Windows 共通ログ ファイル システム ドライバー CVE-2024-20653
- Windows 近距離共有 CVE-2024-20690
- Windows 認証方法 CVE-2024-20674
- リモート デスクトップ クライアント CVE-2024-21307
KB5034441 の件:
Microsoft、KB5034441の続報を発表。Windows回復環境がなければインストール不要。確認を (ニッチなPCゲーマーの環境構築Z, 2024.01.19)。reagentc /info を実行して 「Disabled」なら KB5034441 をインストールする必要は無いと。 「Enabled」な場合は要インストール。
KB5034441 の件:
Microsoft、KB5034441のさらなる続報を発表。PowerShell用スクリプト公開。しかし、やはり一般ユーザーには難易度が高い (ニッチなPCゲーマーの環境構築Z, 2024.02.13)
KB5034441 の件:
2024年1月の「WinRE更新エラー」は、なぜ、どのように発生したのか? どうやって解決するつもりなのか? (@IT, 2024.02.22)
今回のWinREのセキュリティ更新プログラム「KB5034439」「KB5034440」「KB5034441」には、回復パーティションの空き容量による失敗以外にも、別の問題が確認されています。
WinREが無効化されているWindowsでも、これらのセキュリティ更新プログラムが検出、ダウンロード、インストールされ、同じエラー「0x80070643」を報告して失敗するのです(画面7)。この問題は「KB5034439」「KB5034440」「KB5034441」の既知の問題に追加されました。Microsoftによる解決策が提供されるまでは安全に無視できるとされています。
KB5034441 の件関連:
Windows PowerShellで動くスクリプトがPowerShellでも動くとは限らない、なぜなのか? (山市良 / @IT, 2024.03.12)
Microsoftは2024年2月初め、「回復パーティション」のサイズを拡張するサンプルスクリプトを公開しました。もし、このサンプルスクリプトを実行したい場合は、クロスプラットフォーム対応の「PowerShell 7.x」ではなく、Windowsのコンポーネントである「Windows PowerShell 5.1」の使用をお勧めします。なぜなら、サンプルスクリプト内で使用されている「Split」メソッドの挙動に重大な違いがあるからです。
うひー。罠すぎる。
》 フェイクニュース、AI、認知戦 2024年という選挙のビッグイヤーに何が起きるのか(ジャーナリスト・古田大輔) (時事, 1/10)
》 Microsoft、Webからのアプリ直接インストール機能を無効化。悪用されているため。『アプリ インストーラー』のバージョン確認を (ニッチなPCゲーマーの環境構築Z, 1/4)、 Microsoftは アプリ インストーラー の悪用に対処します (MSRC Blog, 1/5)。 たびたび悪用されている ms-appinstaller: スキームの件。 欠陥が修正されるまでの間、無効化しますよ、ということかな。
》 画像生成AIの訓練に「児童ポルノ」が使用されていたことが発覚 (Forbes, 1/6)。うひゃあ。
スタンフォード大学の研究者たちは、Stable Diffusionをはじめとするモデルが学習に用いている数十億の画像からなる大規模な公開データセット「LAION-5B」に、児童の性的虐待の画像が数多く含まれていることを発見した。(中略) 研究者たちは、公開された訓練データの中からCSAM(児童の性的虐待素材)の疑いがある画像を3000点以上発見したという。しかし、調査が行われたのが9月以降であることに加え、数十億ある画像の一部しか対象にしていないことを考慮すると、実際の量ははるかに多い可能性が高いと彼らは注意を促している。
》 ペット同乗便の緊急脱出「持って行けない」手荷物と同ルール適用 (AviationWire, 1/4)。人命優先。
》 アラスカ航空 1282 便 737 MAX 9 ドアプラグ脱落事故 (1/5)
Information about Alaska Airlines Flight 1282 (Alaska Airlines)。随時更新中。
The aircraft involved in flight 1282 was delivered to us on Oct. 31, 2023. The part of the aircraft involved in this event is called a plug door – a specific panel of the fuselage near the rear of the aircraft.
2023.10.31 に引き渡された新品。 2 か月ちょっとしか運用していない。
Updates on Grounding of Boeing 737 MAX 9 Aircraft (FAA)。随時更新中。
Playback of flight AS1282 (flightradar24.com)
アラスカ航空の737MAX、離陸直後に非常ドア脱落 AS1282便、ポートランド引返 (AviationWire, 1/6)
FAA、同一仕様737MAXの運航停止 アラスカ機事故でEAD発行へ (AviationWire, 1/7)。ドアプラグを塔載している機体。
ドアプラグ (door plug)
Diagram of a Boeing 737-9 mid-cabin door plug and components (Source: Boeing) pic.twitter.com/7qPF5MGAOX
— NTSB Newsroom (@NTSB_Newsroom) January 8, 2024
脱落したドアプラグ発見
NTSB has recovered the door plug from Alaska Airlines Flight 1282 Boeing 737-9 MAX. NTSB investigators are currently examining the door plug and will send it to the NTSB Materials Laboratory in Washington, DC for further examination. pic.twitter.com/fqeemNeBPW
— NTSB Newsroom (@NTSB_Newsroom) January 8, 2024
2 major airlines find loose bolts, other problems on grounded Boeing jets (npr, 1/8)
ボーイング株急落、吹き飛ばされた機体の一部回収と米当局 (ブルームバーグ, 1/8)
【解説】 米ボーイングにとって深刻な問題 主力機のドアが航行中に飛んだ事故 (BBC, 1/8)
事故は機体がポートランド国際空港を離陸して数分後の、まだ上昇中に起きた。
使用されていなかった非常ドアが吹き飛び、機体側面にぽっかりと穴が開いた。
機内では空気が外へと押し出され、気圧が急速に低下した。
この影響は二つの重要な要素によって軽減された。第一に、この段階では乗客全員がシートベルトを着用し、座席に座っていたことだ。
そして第二に、航空機のモニタリングサイトによれば、事故機は高度約1万6300フィート(約5000メートル)に達した後、素早く降下したことだ。
737MAXの巡航高度は約3万8000フィート(約1万1600メートル)となっている。この高さだと機内と機外の気圧差ははるかに大きい。もしここでドアが吹き飛んでいたら、突然の空気の流れはもっと激しく、死者を出した可能性があった。特にシートベルトを着用していなかった乗客は危険だった。
おーこわ。
United, Alaska Find Loose Parts on Some Boeing 737 MAX 9 Jets (WSJ, 1/9)。DeepL 翻訳:
ユナイテッド航空は、「ドアプラグの取り付けに問題があると思われる事例が見つかった。同航空会社によると、この問題は整備スタッフによって改善され、飛行機を運航に戻す認可を待つことになるという。
アラスカ航空によると、MAX 9の点検を準備していた技術者から最初の報告があり、プラグ部分にアクセスしたところ、いくつかの機体でハードウェアの緩みが確認されたという。アラスカ航空は65機のMAX9を保有している。「発見された事項については、当社の安全基準とFAAコンプライアンスを満たすよう、完全に対処する」と同航空会社は述べた。
Alaska Airlines Boeing Probe: What We Know (WSJ, 1/9)。DeepL 翻訳:
ドアプラグとは何ですか?
乗客には、アラスカ航空機の26列目の側壁は普通の飛行機の窓のように見えただろう。メンテナンスのために開けることはできるが、非常用ドアとしては機能しない。
すべてのMAX9にドアプラグがあるわけではない。一般的にアメリカ国外の航空会社が使用するMAX9の中には、座席数が200を超えるものもある。
MAX9を飛ばすアラスカ航空とユナイテッド航空は、座席数が少ないためドア枠を塞いでいる。
200 を越えるとドアプラグではなく通常の非常ドアが装備される、ということ。 (DeepL 翻訳がいまいちイケてない)
アラスカ機では、プラグが機体に固定するためのストッパーから外れてしまったという。プラグがストッパーから外れないようにするための4本のボルトが欠けていたという。NTSB関係者は、この4本のボルトが取り付けられていたかどうかを調査すると述べた。プラグのための2つのローラートラックも同様に破損していたという。
おぉぅ。
パイロットの声やエンジン音を含むコックピット内での出来事の完全な再現は失われている。
コックピットのボイスレコーダーは2時間分のデータしか記録できないため、NTSBは過去の調査の妨げになったと述べている。金曜日のフライトはポートランドにUターンしてすぐに着陸したが、誰もレコーダーを停止させるためにサーキットブレーカーを引かなかったため、フライトの データは 上書きされてしまった、とホーメンディは語った。後日、メンテナンスチームがレコーダーを回収しに行ったが、時すでに遅しであった。
あぁ〜なるほど、無事着陸した場合はそういう操作が必要なのか。
》 グーグルのクッキー廃止、業界は対応追い付かず (Wall Street Journal, 1/5)
》 米HPE、ジュニパーネットワークス買収で合意間近=関係筋 (Wall Street Journal, 1/9)。これは……
》 中国ネット通販SheinとTemu、激安の裏側 (Wall Street Journal, 1/9)
マスク氏の薬物使用、経営企業に広がる不安 (Wall Street Journal, 1/8)。震源地。
マスク氏は合成麻薬のLSDやコカイン、MDMA(俗称「エクスタシー」)、マジックマッシュルームを使用している。目撃した人や事情を知る複数の関係者が明らかにした。(中略)
違法薬物の使用は米政府のルールに抵触する可能性が高く、スペースXが政府と結んでいる巨額の契約を脅かしかねない。
マスク氏、薬物常用巡るWSJ報道を批判 (Wall Street Journal, 1/9)
本年もよろしくお願いいたします。
》 JPQRの名称を用いたURLに関する注意喚起 (JPQR, 1/4)。 総務省が行った JPQR 普及事業のためのドメイン jpqr-start.jp が例によって違う内容のドメインに変貌している件。 セキュリティホール memo にも jpqr-start.jp へのリンクが存在し、 「サイト運営者」さんからのメールで状況を知ることができた (情報ありがとうございます)。 リンクは修正済。
jpqr-plug.jp も本来目的終了のドメインみたいだけど、現時点 (1/6 16:06) においては 接続できないみたい。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)