セキュリティホール memo - 2024.04

　このページの情報を利用される前に、注意書きをお読みください。

• 》 検閲の大部分は「自己検閲」で成り立っている――国家による検閲と個人の自己検閲／仲介者検閲 (p2ptk.org, 4/17)。世界SF大会、そんなことになってたのか。知らんかった。

  Reactorに寄せた大作エッセイの中で、エイダは自身の中心的な主張を展開している。
  
  「ほとんどの検閲は自己検閲だが、大部分の自己検閲は外部の権力によって意図的に培われたものである」
  
  – https://reactormag.com/tools-for-thinking-about-censorship/

  検閲は、私たちに検閲官の仕事を代行させることでしか成功しない。だからこそ、国家による検閲と民間による検閲の間に線を引くのはとてもミスリーディングだ。今までも、そして今でも、検閲は官民のパートナーシップなのである。

• 》 PayPay、“誤送金”防止のため送金や受け取りの際に相手の「PayPay ID」を表示　5月から (ITmedia, 4/26)

• 》 コード署名に悩むアプリ開発者に福音 ～Microsoftが格安サービス、6月までなら無料 (やじうまの杜, 4/26)。フルマネージドで安価なコード署名証明書、だそうです。

• 》 兵庫県内部告発文書問題。 西播磨県民局長 (当時) が作成。 なぜか事実確認抜きで 「事実無根」と決めつけるといった、 斎藤知事の奇妙な言動が続く。

  • マスメディアは当初、 内部告発ではなく中傷だと決めつけ。

    • 兵庫県幹部が知事を中傷する文書を配布　知事「うそ八百」と解任、退職認めず　報道機関や県警が入手 (神戸新聞, 3/28)

    • 知事や職員を中傷する文書流布か　退職間際の兵庫県幹部、処分を検討 (朝日, 3/28)

    • 斎藤県政にくすぶる不満?　退職間際の県民局長が知事や側近を中傷する文書　異例の解任劇の裏で何が (神戸新聞, 3/30)

    • 兵庫県“ふさわしくない行為”で県民局長を解任 元局長は反論 (NHK, 4/2)

    • 兵庫県知事らを中傷した疑いで県民局長を解任された元局長が反論「事実関係を調査すべきだ」 (読売, 4/2)

    • 内部告発文書問題で兵庫県元幹部が公益通報　「事実解明と是正措置検討を」 (産経, 4/5)

  • 斎藤元彦知事、調査をすると言いながらも第三者委員会を設置するつもりはない模様。

    • 知事中傷疑い文書問題、元県民局長の反論受け事実関係調査へ (読売, 4/3)

    • 兵庫県幹部が知事ら中傷する文書作成疑惑　県、弁護士入れて調査へ (朝日, 4/3)

    • 元県民局長が作成した知事らへの「告発文」、県議が内容の外部調査を要望…知事は否定的　 (読売, 4/25)

  • 兵庫県人事課、神戸新聞記者を聴取。 情報源秘匿の観点から問題と新聞労連が厳重抗議。

    • 県民局長の斎藤知事批判文書問題　兵庫県人事課が本紙記者を聴取 (神戸新聞, 4/18)

    • 情報源の秘匿に踏み込む報道機関への不当な「聴取」を止めよ (新聞労連, 4/26)

    • 斎藤知事批判文書問題　記者に対する県の聴取、新聞労連が抗議声明　「報道の自由を侵害」 (神戸新聞, 4/26)

    • 県の記者聴取「変更指示できない」　知事、新聞労連の抗議受け　批判文書問題 (神戸新聞, 4/26)

  • 告発文の一部は事実だったことが既に確定している。

    • 「軽い気持ちで受け取った」　兵庫県幹部が告発文書で指摘の「贈答品」を返却 (産経, 4/16)

    • 斎藤兵庫知事「人事当局が全体を調査」　県幹部がコーヒーメーカー受け取り (神戸経済, 4/18)

    • 内部告発に揺れる兵庫県　調査前から「法的措置」言及する斎藤知事の姿勢に疑問の声 (産経, 4/23)

  • で、結局のところは?

    • 兵庫・斎藤知事を揺るがす「告発文書」 阪神・オリックスパレードにも疑惑が (AERA dot., 4/13)

      　ある県幹部は、「告発文書」を読んだと言い、こう話す。
      「パレードの協賛企業は大阪府と兵庫県、それぞれが分担して集めた。大阪府の動きが早く、経済規模の違いもあって、兵庫県より先行してスポンサーを集めていた。斎藤知事から『大阪に負けるな』という趣旨の話があって、職員は必死で声をかけた。告発にあるキックバックの有無まではわからないが、兵庫県側は地元の金融機関、交通など、県と結びつきが強い協賛企業が多く名前を連ねたのは事実。パレードの担当職員が病気療養しているのも事実だ」

      　また、斎藤知事の「パワーハラスメント」については、ある県職員が、「有名な話です」と認める。
      「エレベーターで行先の階のボタンを押し間違えて知事から10分ほど怒鳴られた、訪問先でエレベーターがすぐ来ず待たされて職員にブチ切れたとか、知事のパワハラのエピソードにはこと欠きません」

• 》 小林製薬 「紅麹」問題 外部の有識者委で対応検証へ (NHK, 4/26)。第三者委員会ではない。

  • 紅麹関連製品をめぐる当社対応の検証について (小林製薬, 4/26)。「紅麹問題における一連の当社対応につき、取締役会が主導的に調査し、事後的検証を行う」。うひゃあ。

    取締役会は3名の社内取締役と4名の社外取締役の合計7名で構成されているところ、取締役会による事後的検証に独立性と客観性を確保すべく、小林一雅代表取締役会長、小林章浩代表取締役社長、山根聡専務取締役には特別利害関係があるとみなし、当該3名は紅麹問題の事後的な検証においては審議・決議に加わらず、残りの社外取締役4名のみにて調査・検証を進める体制とする。

    事象を見逃してきた 4 人に検証させてどうするの。

• 》 小林製薬の「紅麹」問題も“どこ吹く風”、おびただしい健康食品のテレビCMを放送局はどこまで考査しているのか (JBpress, 4/28)

• 》 小林製薬「紅麹」問題 のべ262人が入院（25日時点） 厚労省 (NHK, 4/26)

• 》 読売新聞記者が談話捏造　紅麹関連記事巡り (時事, 4/17)

• 》 マイナンバーカードの電子証明書の更新に行ってきた (Internet Watch, 4/26)

• 》 自家製爆弾ｖｓ竹やり。牧師が率いる「手作りの内戦」に同行した　国際社会の支援はゼロ。「打倒軍政」を支えるのは市民の熱意【ミャンマー報告】２回続きの（１） (共同, 4/28)。ここでもドローンが貧者の砲兵、貧者の空軍に。選ばれるのはやはりDJI。

• 》 セガ子会社で、約4740件の個人情報漏えいの可能性　メールシステムに不正アクセス (ITmedia, 4/25)

• 》 「全く知らない」「勝手に使われた」──日米のアニメ制作会社が相次ぎ声明　北朝鮮のサーバから関連ファイルが見つかった問題で (ITmedia, 4/26)

• 》 伝説のアニメ「まいっちんぐマチコ先生」、TVerなどで配信へ　テレ東「放送当時のまま配信する」 (ITmedia, 4/26)。お、ぉぅ……。

• 》 Windows 10で毎月のパッチサイズが20％削減 ～2024年4月プレビューパッチ以降で改善へ (窓の杜, 4/26)

• 》 「Evernote」日本法人が解散　解散公告を掲載 (ITmedia, 4/26)。無惨。

• 》 それは不具合ではない：Metaによる組織的なパレスチナ言論の検閲 (p2ptk.org, 4/15)

• 》 全国の原発避難計画 調べてみえた地域差とは (NHK, 4/22)。複合災害時の復旧作業基準について明確化している県の少なさよ。

  明記していた中では、▽民間の事業者の被ばく線量の上限を、一般の人の年間の限度とされる1ミリシーベルトとしているところが4道県（北海道、福島県、滋賀県、佐賀県）。
  ▽住民の避難や屋内退避が指示されるまでの段階で、民間の事業者による作業は中止するとしているところが2県だった（新潟県、愛媛県）。
  残る13の府や県は明記していないと回答した。 （青森県、宮城県、茨城県、静岡県、石川県、富山県、福井県、京都府、島根県、鳥取県、長崎県、福岡県、鹿児島県）

  　あらかじめ決めておかないと、特攻隊になるぜ。

• 》 ｢JALとANAの天下りは問題｣､空港施設に株主提案　国交省OBの人事介入､社長解任劇に続く第2幕 (東洋経済, 4/25)。「空港施設」という企業名です。 リム・アドバイザーズによる株主提案。

  中でも注目のポイントは天下りの受け入れ禁止を求めている点だ。大株主であり、大口の取引先でもあるJALとANAの出身者が副社長に就任していることを問題視し、空港施設にさらなるガバナンス改革を迫っている。

• 》 大阪市教委、学校端末の契約金で未払い発覚　NECに7億円支払わず　「事務業務が煩雑化、対応できなかった」 (ITmedia, 4/25)。あり得ねえ……。

• 》 アクセサリー販売事業者がランサムウェア感染　“委託先名指し”で原因説明　「Parts Club」など運営 (ITmedia, 4/24)

• 》 「Google Chrome」のサードパーティCookie廃止は延期 ～2024年内の非推奨化を断念 (窓の杜, 4/24)

• 》 TikTok禁止法案にバイデン大統領が署名　「ユーザーのために法廷で闘う」とチュウCEO (ITmedia, 4/25)

  ByteDanceは9カ月以内（その間に進展があれば大統領が3カ月延長する可能性がある）にTikTokを米企業に売却することが義務付けられ、これを実行できなければ米国全土でアプリが禁止されることになる。

• 》 HOYA、「生産と供給は概ね正常に戻りつつある」　不正アクセスによるシステム障害で (ITmedia, 4/23)

• 》 北朝鮮が日本のアニメ制作に関与？　7月放送作品も　米調査機関が報告 (ITmedia, 4/23)。これ、38 North なのですね。

• 》 「カメ止め」の監督が作ったショート動画「みらいの婚活」が面白いと話題に　IT関係者も絶賛する理由とは？ (ITmedia, 4/24)。 WHILL のカッコいい車イス出てきますね。これは現実。 折りたためるタイプ もあるのか。

• 》 漫画村に｢17億円賠償命令｣でも変わらぬ深刻実態 (東洋経済, 4/25)。

• 》 視聴率急落で｢死の谷｣にはまったテレビ局の苦悩 (東洋経済, 4/15)。まさに斜陽産業。

  日本テレビはコアターゲット視聴率で、テレビ朝日を含めた他のキー局と大差を付けている。個人全体の視聴率では2位に後退した日本テレビが、今なお放送収入で頭一つ抜けているのには、こうした現役世代への強さも関係している。
  (中略)
  「個人全体の視聴率がホテルの部屋数だとすれば、コアターゲット視聴率は部屋の価格。テレビ朝日は部屋数が多く、安いホテルだとすると、日テレは部屋数が多く、価格も高いホテルだ」

  　ふぅん。

• 》 Do Tanks Have a Place in 21st-Century Warfare? (NYTimes, 4/20)。戦車不要論再び? FPV = 一人称視点ドローン。DeepL 訳:

  ワシントンのカーネギー国際平和財団でロシアとユーラシア・プログラムのシニアフェローを務めるマイケル・コフマン氏は、「現段階では、FPVを打ち負かすために使われる最も効果的な手段は、電子戦と、戦車に追加装甲やその他の種類の遮蔽物を付けるなど、さまざまな種類の受動的防御だ」と述べた。同氏は、FPVの撃破には「戦場でのオーダーメードのアプローチ」が必要であり、ウクライナ軍はそれに習熟しつつあると述べた。

  　いよいよ本格的な電子戦装備の塔載が必須になってくるのかな。 アフガンで IED が猛威をふるったときには装甲増加・耐爆構造化・IED jammer 装備で対抗したわけだけど、今回の戦訓を受けて、また新たな進化が必要になるのだろうなあ。

• 》 WelcomeHRのマイナンバーを含む個人情報漏洩事故の対応がひどい件（追記あり） (なか2656のblog, 4/14)。 確かにひどい。

  第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて（略）一方で、マイナンバーに記載されている情報（略）から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。
  
  つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます（鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁）。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。
  
  にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。
  
  そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます（マイナンバー法17条５項参照、下の追記参照）。

  　マイナンバー漏洩の際にはセットで告知すべきだよなあ。

  　関連:

  • 弊社サービスをご利用いただいているお客様への重要なご報告とお詫び (ワークスタイルテック, 3/29)

    本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
    当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。

    まる見え系ですか。

  • 情報セキュリティ基本方針 (ワークスタイルテック)

  • サービス品質保証制度（SLA） (ワークスタイルテック)

    データ暗号化
    通信については、SSLにて暗号化を行っています。 ※個人番号や機密情報は暗号化を行い、保管しています。 ※サーバー自体も暗号化しています。

    ん? きちんと暗号化されていたら、 本件漏洩も問題が軽減される (状況によっては問題ないとすら言える) はずなのでは? しかし告知文書には、そんな文言は一言もないよ? どういうこと?

  • 個人情報漏えいに関するご報告とお詫び (Leaf NxT, 4/22)

    【対象となる個人データに係る本人の数】 26,829人
    (中略)
    なお、「WelcomeHR」から個人情報の漏えいが発生した時点において、当社とワークスタイルテック株式会社間における「WelcomeHR」利用に関する契約は終了していましたが、同契約の終了後も「WelcomeHR」において、本件に係る個人情報が保存されていたため、本件が発生するに至りました。

    契約終了時におけるデータの速やかな削除の確認を怠った、ということかな。

• 》 ゆうちょ銀行でシステム障害　他行からの入金遅れ約110万件 (TV朝日, 4/23)

• 》 ソフトバンク衛星電話の障害、6日間継続中　通話・通信できず　日割りで料金減免へ (ITmedia, 4/23)。「原因は、アラブThuraya Telecommunications Companyが提供する衛星電話サービス「Thuraya」（スラーヤ）の設備故障」。

• 》 公正取引委員会、Googleに行政処分　広告配信でLINEヤフーへの技術提供を7年にわたって制限 (ITmedia, 4/23)。うーん、 「Googleが7年にわたって制限」というより「公取が7年間見逃し」なんじゃないの?

• 》 海自 SH-60K 2 機、夜間対潜訓練中に墜落 (4/20)。空中衝突か。

  • 海自、SH-60K哨戒ヘリコプター2機が伊豆諸島・鳥島東の洋上で墜落 (FlyTeam, 4/22)

    海上幕僚長の会見によると該当機は、海上自衛隊第22航空群の大村航空基地(長崎県大村市)と小松島航空基地(徳島県小松島市)に所属する「機体記号：8416 および 8443」の2機で、それぞれ護衛艦「はぐろ」と「きりさめ」に搭載されていました。

    機体記号 8416 (FlyTeam)、 機体記号 8443 (FlyTeam)

  • 護衛艦はぐろ、きりさめ搭載のSH-60K計2機、鳥島沖約270kmの海域で墜落　海自SH-60は訓練飛行見合わせ (FUNECO, 4/21)

    4月21日(日)の海上幕僚監部の公表によれば、墜落したのは、護衛艦「はぐろ(DDG-180)」に搭載されていたSH-60K「8416」号機と、護衛艦「きりさめ(DD-104)」搭載のSH-60K「8443」号機。

  • 司令官査察中の海自ヘリ事故に衝撃　対潜戦「任務の核心中の核心」 (朝日, 4/21)

    関係者によると、今回の事故は、海上自衛隊の護衛艦部隊のトップ・護衛艦隊司令官が、海自第4護衛隊群（4群、広島県呉市）の練度を確認する「訓練査閲」の最中に起きたという。

  • 「墜落ヘリ2機含め３機で対潜訓練中」「水深5500ｍ」海幕長会見 (朝日, 4/21)

  • 海自ヘリ墜落、夜間訓練中の事故は過去にも…２機は夜間の対潜水艦戦の訓練に参加 (読売, 4/22)

    ヘリはソナーを海中につり下げるとき、海面から約２０メートルの高さまで高度を下げてホバリングする。その地点で情報収集を終えると、高度約５０メートルまで上昇し、別の地点に移動する。３機であれば、敵潜水艦を中心に「三角」の位置関係を保ちながら標的を追尾する。事故当時も、現場の空域では墜落した２機を含む計３機が飛行していた。

  • 海自ヘリ2機墜落事故 フライトレコーダー解析で機体に異常なし (NHK, 4/22)

    海上自衛隊によりますと、2機は当時、潜水艦を探知する訓練を行っていましたが、訓練は部隊の技量を幹部が確認する「査閲」と呼ばれる検定の一環で行われていたことが、防衛省関係者への取材でわかりました。
    今回の「査閲」は広島県の呉基地に司令部がある第4護衛隊群を対象に行われ、部隊が警戒監視などの任務にあたるうえで必要な技量を有しているかどうか検証が行われたということです。

  • 海自ヘリ2機墜落事故 互いの位置情報 共有システムで結ばれず (NHK, 4/22)

    海上自衛隊によりますと、このヘリコプターには、目標の情報などをリアルタイムで共有するため、複数の機体を電波でつないで互いの位置情報などを共有する、「僚機間リンク」と呼ばれるシステムが搭載されていますが、2機どうしはこのシステムで結ばれていなかったことが、防衛省関係者への取材で分かりました。
    防衛省関係者によりますと、このヘリコプターが複数で飛行する際には、基本的に「僚機間リンク」で互いに結び、接近した際には警報音が鳴って衝突を回避するということです。

  • 木原防衛大臣臨時会見

    • 4/21
      • 令和6年4月21日（日）02:23～02:28｜海自ヘリ（ＳＨ－６０Ｋ）通信途絶事案に係る木原防衛大臣臨時会見
      • 令和6年4月21日（日）09:14～09:23｜海自ヘリ（ＳＨ－６０Ｋ）２機の墜落事案に係る木原防衛大臣臨時会見
      • 令和6年4月21日（日）16:30～16:37｜海自ヘリ（ＳＨ－６０Ｋ）２機の墜落事案に係る木原防衛大臣臨時会見
    • 令和6年4月22日（月）09:30～09:36｜海自ヘリ（ＳＨ－６０Ｋ）２機の墜落事案に係る木原防衛大臣臨時会見 (防衛省, 4/22)
    • 令和6年4月23日（火）08:55～09:00｜木原防衛大臣閣議後会見 (防衛省, 4/23)

• 》 ドローン迎撃ミサイルの不足、イランの攻撃で再浮上 (Wall Street Journal, 4/19)。誘導弾は高価な上に、簡単には増産できないんだよなあ。

  米軍は主にイージス艦のミサイル防衛システムで、紅海を航行する自国船や商船を保護しているほか、機銃でドローンを撃破する「ファランクス」システムも活用している。

  　ファランクス (有効射程 1.5km) の弾もけっこうなお値段します: ファランクスのバースト射撃にかかる費用は4,600ドル～6,900ドル (航空万能論 GF, 3/14)。バースト射撃 (2秒) で 100 万円。

  　関連: 海自、ファランクス近接防御システムを最新型に改修 (TOKYO EXPRESS, 2018.03.17)。既設のファランクス Block 1 および Block 1B Baseline 1 (計 24 基) を Block 1B Baseline 2 にアップグレードする話。

  最新型のファランクス“Block 1B”は、図２で“赤外線探知装置FLIR)”と表示した統合型電子光学(Electro Optic)センサーが付加され小型目標への対処能力が向上している。この改良で、小型・高速の航空機、ヘリコプター、無人機(UAS)やドローンへの対応も可能になった。

  　逆に言うと、Block 1B でないと対ドローン戦は困難と。

  　TOKYO EXPRESS 記事の元ねたはこれかなあ: JAPAN - MK 15 Phalanx Close-in Weapon System (CIWS) Block IB Baseline 2 Conversion Kits (dsca.mil, 2018.03.02)。しかしこれは、 Block 1B Baseline 1 を Block 1B Baseline 2 にアップグレードする話で、 Block 1 を Block 1B Baseline 2 にする話ではない。うーむ。

• 》 EU、「TikTok Lite」の中毒性に懸念　報酬プログラム停止措置の可能性も (ITmedia, 4/23)

  今回の調査のポイントは、TikTokがフランスとスペインで新たに開始した「TikTok Lite」の報酬プログラムに関するものだ。(中略) 欧州委員会は、この機能が「中毒性の行動を刺激する」ことで若いユーザーのメンタルヘルスに悪影響を与える可能性があると懸念している。

• 》 「Vポイント」の不具合、2日目も解消せず　TポイントとのID連携復旧も、アプリが利用しづらい状態に (ITmedia, 4/23)

  　関連: Tポイント統合、青と黄色の新「Vポイント」スタート　アプリも刷新 (ITmedia, 4/22)

• 》 「OneDrive、SharePoint、Boxがマルウェア配布に悪用されている」とNetskopeが警告 (クラウド Watch, 4/17)。「Netskopeの顧客約3000社が対象」。 3000社のうち、日本の顧客は何社なんだろう。

• 》 国土地理院が南極大陸全域の1,000万分の1地図を約60MBのPDFとして配布開始 (窓の杜, 4/19)。狂気山脈は載ってません。

• 》 遺族にもよく分からない故人のサブスク、解約できないと永遠に請求が続くのか？ (Internet Watch, 4/19)

  　しかし、多くの場合は遺品整理の過程でクレジットカードを退会したり、銀行口座を凍結したりすると思われます。サブスク契約自体には気づかなくても、そこで平常の支払いが一旦断然するわけです。
  　この断絶をもって、猶予期間を経たうえで契約解除とするサブスクサービスも少なくありません。問題はそれでも何らかの手段で請求が続けられるケースです。

  　しかしこれも、通常は「1年ちょっと」で請求が止まる模様。

• 》 米下院が608億ドルのウクライナ支援法案を可決、ロシア凍結資産の転用も (航空万能論 GF, 4/21)

• 》 ウクライナ軍、ATACMSでクリミアのロシア軍基地を集中攻撃　甚大な被害 (Forbes Japan, 4/22)。ATACMS M39。

• 》 2度の大戦生き延びた世界最古の軍艦、ウクライナが攻撃　潜水艦救難艦「コムーナ」 (Forbes Japan, 4/22)

• 》 政府が令状なしで国民を監視できる法律にバイデン大統領が署名 (gigazine, 4/22)。FISA 702 → RISAA。

  FISAは、テロやスパイ活動の兆候を探るために、アメリカ国内にいる外国人の活動を監視することを許可した法律です。
  2024年4月19日に法律が失効するにあたり、代わりとなる修正案(RISAA)が提出されたのですが、FISAよりも政府側の権限が拡大され、また、外国人だけではなくアメリカ人も対象に含まれプライバシー保護に懸念があることから、強い反対意見が出ていました。

• 》 Malicious PDF File Used As Delivery Mechanism (SANS ISC, 4/17)

• 》 東日本大震災で切断された海底ケーブルの修理に震災直後から従事した日本の海底ケーブル修理船の秘話 (gigazine, 4/18)

• 》 写真や動画の本物と偽物を見分ける新しい方法 (Kaspersky, 4/17)

• 》 NATO加盟後にスウェーデンへのDDoS攻撃が466％急増していたことがCloudflareによるDDoS攻撃レポートで発覚 (gigazine, 4/17)

• 》 米国 欧州 オランダ Akiraランサムウェアについてのアラート (まるちゃんの情報セキュリティ気まぐれ日記, 4/19)。Akira ランサムウェアって何だっけ?

  • Akira ランサムウェアの持続する攻撃 (Sophos, 2023.12.21)。そのアキラかい!

• 》 YouTubeが「広告ブロッカー」の取り締まりを強化しサードパーティーアプリも禁止に (gigazine, 4/16)

• 》 サードパーティーiOSアプリストア「AltStore PAL」がEUで開始、任天堂のゲーム用エミュレーター「Delta」などが無料ダウンロード可能に (gigazine, 4/18)

• 》 EUがMetaに「広告が嫌なら金払え」をやめろと勧告、無料で個人情報も使わない「第3の選択肢」義務化へ (gigazine, 4/18)。GDPR 第64条2項に抵触。

  EDPBは今回の決定で、「行動ターゲティング広告目的で個人情報を処理するサービスが、有料の代替手段のみを提供することが普通であってはならない」とした上で、Metaがユーザーに突きつけているConsent or Payモデルは、不当な圧力によらない自由な同意を得ることを要件とするGDPRに準拠していないとの見方を示しています。(中略) また、EDPBは個人情報の利用への同意と有料サブスクリプションへの加入に加えて、料金の支払いや行動ターゲティング広告を伴わない「同等な代替手段」が提供されるべきだとしています。

• 》 UAEなどで暴風雨、ドバイ空港が冠水　「過去75年で最大」の降水量で死者も (BBC, 4/18)

  国立気象センターの発表によると、アル・アイン地方のハトム・アル・シャクラでは24時間以内に254.8ミリの雨が降った。
  UAEの年間平均雨量は140～200ミリ。ドバイの年間平均雨量はわずか97ミリで、4月の平均雨量は8ミリ。

• 》 オッペンハイマー、68年後の名誉回復──その知られざる舞台裏 (WIRED, 4/1)

• 》 ボーイングの内部告発者が「ボーイング787型機は廃棄すべき」と語る (gigazine, 4/18)。Boeing はいったい全体どうなっているんだ。

  サレプール氏によると、ボーイング787型機は胴体部分が適切に固定されておらず、数千回の飛行で破損する可能性があるとのこと。この問題は組み立てラインでの部品の取り付け方と固定方法に起因しているとサレプール氏は指摘しています。また、サレプール氏は具体的に明らかにしていませんが、777型機の製造工程にも問題があることを明らかにしました。

• 》 同意なしの性的なディープフェイク画像作成を禁止する法案がイギリスで提出される、作成者に画像共有の意図があるかどうかは関係なし (gigazine, 4/17)

• 》 InstagramとFacebookで有名人が画像を改変されたAIディープフェイクポルノ事件をMetaの監督委員会が調査へ (gigazine, 4/17)

• 》 「XZ Utils」に仕掛けられたサイバー攻撃と同様のものが他のプロジェクトにも仕掛けられているとOpenSSFが警告 (gigazine, 4/18)

• 》 パスワード管理ソフトウェア・LastPassの従業員を「AIで複製されたCEOの声」でだまそうとする事案が発生 (gigazine, 4/18)

• 》 ロシアのサイバー攻撃集団Sandwormをセキュリティ企業のMandiantが広域の脅威である「APT44」に認定 (gigazine, 4/18)

• 》 Windowsの回復パーティションの話から始めましょう (かつて山市良と呼ばれたおじさんのブログ, 4/10)。 「現状、WinREの更新が発生しないのは最新のWindows 11だけ」。

• 》 ドローン戦争

  • ウクライナ 「ドローン戦」で 変貌する戦争 (ロイター, 3/26)。図解多数入りのわかりやすい記事。

    電子戦（ＥＷ）システムはドローンを阻止する最も効果的な方法であることが証明されている。両国軍ともＥＷシステムを使い、特定の地域の無線周波数を妨害する。ドローンの信号が妨害されると、妨害を受けた周波数によっては、操縦士は機体を制御する能力を失ったり、映像信号を見ることができなくなる。

    ＥＷシステムがもたらす課題の増大に伴い、ウクライナもロシアも人工知能（ＡＩ）によって誘導されるドローンの開発を競っている。こうしたドローンは、操縦士との通信を必要とせずに標的を特定しロックオンするため、信号の妨害を受けにくい。

    AI 化 (自律化) が急激に進むかも。

  • 米国製ドローン、ウクライナ戦況を変えられず (Wall Street Journal, 4/12)。 高コストな上に機能・性能が低く、おまけに壊れやすい。 DJI には全く勝てないと。

    　ウクライナは中国から数万機のドローンやドローン部品を入手する方法を見つけた。軍が利用するのは一般に出回っている中国製ドローンで、大半はSZ・DJIテクノロジーが製造したものだ。
    　ウクライナはまた、中国の部品を柱にして国内ドローン産業を発展させてきた。工場では爆弾を搭載できる小型で安価なドローンを数十万機規模で生産している。敵地の奥深くを攻撃したり、黒海のロシア船舶を狙ったりすることができる比較的大型のドローンも製造する。

    　米ドローンメーカーが苦戦しているのは、米政府の中国に対する政策対応の結果でもあると、業界幹部や元国防当局者は指摘する。ドローンメーカーに対して国防総省は中国製部品の使用禁止を含む厳しい要件を課しているため、小型ドローンの製造は高コストで困難になりがちだという。

• 》 鳥インフルエンザが、かつてない規模で哺乳類へと広がっている (WIRED, 4/13)。H5N1 の件。ひたひたと迫ってきている。

• 》 イラン、イスラエルへの直接報復攻撃を実施 (4/14)

  　報復攻撃の火種: シリアのイラン大使館領事部への攻撃 (4/1)

  • シリアのイラン大使館領事部に空爆、死者多数　イスラエルを非難 (BBC, 4/2)

    イスラエルは、イランとヒズボラがこれまで、一部で予想されていたほど強い攻勢に出てこなかったことに着目。今回、イランとヒズボラが反撃に出るかを見定めるとみられる。
    何らかの反応は予想されるが、大勢が思うようなものにはならない可能性がある。ミサイル攻撃ではなく、ある種のサイバー攻撃もあり得る。

    ナーメテーター案件。

  　懸念。

  • バイデン氏、イランのイスラエル攻撃は近くあり得ると予想　大使館空爆めぐる報復懸念 (BBC, 4/13)。「いずれではなく、もっと手前で」

  　攻撃。弾道ミサイル・巡航ミサイル・自爆ドローン計「300発以上」(イスラエル軍発表) による複合攻撃。 ただし、どうやらイランから事前通告が行われていた模様。 また米国側は周辺各国の早期警戒情報を利用できた模様。 つまり、奇襲では全くない。示威行為か。

  　弾道ミサイルは主にアローシステムで、巡航ミサイルと自爆ドローンは主に各国の戦闘機で迎撃された模様。

  • イスラエル、「イランの攻撃の99％を迎撃」 (JETRO, 4/15)。「ミサイル警報アプリ（Tzofar）の4月14日の空襲警報画面」が興味深い。

  • イラン、イスラエルにドローンやミサイル発射　米軍が支援し「ほとんど」迎撃とバイデン氏 (BBC, 4/14)

  • イランがイスラエルに報復、ミサイルなど300発以上発射　少女1人負傷 (毎日, 4/14)

    イスラエル軍によると、イランによる攻撃は無人機約170機と30発あまりの巡航ミサイル、120発以上の弾道ミサイルによって行われた。イスラエル軍は米国などの支援を受け「99％」（ハガリ報道官）を迎撃。

  • 【詳細】イラン イスラエルに無人機やミサイルで大規模攻撃 (NHK, 4/14)

  • イスラエル軍元准将、イランの攻撃阻止にかかった費用は1,600億円以上 (航空万能論 GF, 4/14)。誘導弾はとにかく高価なのだよなあ。

  • 各国の戦闘機: イスラエル、米国、イギリス、ヨルダン、フランス。

    • イラン無人機、米軍が周辺基地から撃墜　ヨルダンも迎撃 (ロイター, 4/14)

    • イランの無人機　イギリス軍の戦闘機が撃墜　スナク首相が表明 (TBS, 4/15)

    • イランの攻撃を「99％」迎撃　米高官が明かした防衛の内幕 (毎日, 4/16)

      地中海東部に展開する米軍の駆逐艦2隻が弾道ミサイル4～6発を破壊し、米軍機が70機以上のドローンを撃墜した。イラク北部でも米軍の地対空ミサイルが弾道ミサイル1発を迎撃したが、大半の弾道ミサイルはイスラエルの防衛システムが撃ち落とした。

  • How the U.S. Forged a Fragile Middle Eastern Alliance to Repel Iran’s Israel Attack (Wall Street Journal, 4/15)。DeepL 訳:

    攻撃の2日前、イラン政府高官は、サウジアラビアやその他の湾岸諸国の担当者に、イスラエルへの大規模な攻撃計画の概要とタイミングについて説明し、これらの国々が領空を守ることができるようにしたという。この情報はアメリカにも伝えられ、ワシントンとイスラエルに重要な事前警告を与えた。

    イランのミサイルとドローンは、発射された瞬間から、ペルシャ湾諸国の早期警戒レーダーによって追跡され、カタールにあるアメリカの作戦センターにリンクされ、ヨルダン上空やその他の空域にいる数カ国の戦闘機や、海上の軍艦、イスラエルのミサイル防衛砲台に情報が送信された、と当局者は語った。
    

    動きの遅いイランの無人機が射程内に入ると、ほとんどがイスラエルとアメリカの戦闘機によって、少数ではあるがイギリス、フランス、ヨルダンの戦闘機によって撃墜されたと当局者は語った。

  　エスカレーションはあるか?

  • イラン、イスラエルへの報復攻撃完了を宣言「成功した」「限定的な作戦だった」 (読売, 4/14)

  • イスラエルとイラン、全面戦争をアメリカや西側は防げるのか＝BBC国際編集長 (BBC, 4/15)

  • イスラエルの今後の動きは？　イランと単独衝突には余力なしか (毎日, 4/15)

  • イスラエルを支持しつつ、自制を求める　バイデン米政権のジレンマ (毎日, 4/15)

  • イスラエル軍幹部、イランへの反撃明言　戦時内閣は結論出さず (毎日, 4/16)

  • イスラエル、全面戦争は回避の意向　イランに攻撃でも＝報道 (ロイター, 4/16)。「イスラエルの民放テレビ局チャンネル１２が情報源を明かさずに報じた」

• 》 ウクライナは今年、負けるかもしれないと英軍元司令官　それはどのように (BBC, 4/13)

• 》 北朝鮮IT労働者に関する企業等に対する注意喚起 (警察庁, 3/26)

  【問合せ先】 北朝鮮IT労働者の関与が疑われる場合には、プラットフォームの管理責任者に相談するほか、関係機関に御相談ください。
  ・ 警察庁警備局外事情報部外事課 npa-gaiji-it-toiawase@npa.go.jp
  ・ 外務省北東アジア第二課 ahoku2-toiawase@mofa.go.jp
  ・ 財務省国際局調査課対外取引管理室 450062200000@mof.go.jp
  ・ 経済産業省商務情報政策局情報技術利用促進課 bzl-it-joho-toiawase@meti.go.jp

• 》 Windows 10 ESU を利用するタイミング (Windows Blog, 4/3)

• 》 HOYA、めがねレンズの出荷を一部再開　不正アクセスによるシステム障害から「一部が回復」 (ITmedia, 4/12)

• 》 読売新聞とNTTが生成AIのあり方に関する共同提言を発表 (NTT, 4/8)。結論だけポコッと出されてもなあ。どのような体制でどのような検討がなされ何故この結論となったたのか、さっぱりわからない。

  生成AIのガバナンスのあるべき姿についての共同検討を2023年の秋に開始し

  　検討期間の記述が雑なのも気になるし、

  事務局：慶應義塾大学サイバー文明研究センター（山本龍彦、クロサカタツヤ）

  　提言の最後に何の説明もなく慶應が出てくるのも気になる。 「生成 AI のあり方に関する共同提言」に参画 (KGRI, 4/9) には「共同検討を支援し」「共同提言」に参画」とあるが、 慶應の関与はどの程度なのか。 はたして「読売新聞とNTTの共同提言」と本当に言えるのか。

• 》 封印された極秘資料入手！「デュポン・ファイル」が明かす地下水汚染・大気汚染・体内汚染の実態【大型スクープ連載開始】 (諸永裕司 / SlowNews, 4/2)。三井・デュポンフロロケミカル (現：三井・ケマーズフロロプロダクツ) 清水工場の PFAS 汚染。

  幹部たちは2000年代に入って「対策をとってきた」と強調するが、逆に言えば、それ以前は汚染物質が垂れ流されていたのだ。一度汚染されれば、除去するのは容易ではない。「デュポン・ファイル」からは、そうした実態を示す資料やデータが次々と見つかった。

• 》 Windows11のスタートメニューに広告表示。Microsoftが実験開始 (ニッチなPCゲーマーの環境構築Z, 4/15)。いちおう「オフにする手段がある」そうです。

• 》 Windows10にWindows11への移行を促す全画面ポップアップが表示。「嫌がらせ」と報じられる (ニッチなPCゲーマーの環境構築Z, 4/12)

• 》 Microsoftの元開発者がWindows11に苦言。「スタートメニューは滑稽なほどひどい」 (ニッチなPCゲーマーの環境構築Z, 4/12)

• 》 Apple EU圏内で代替アプリストア利用可能に (Kaspersky, 3/28)

  重要なのは、Appleが無秩序な状態を防ごうとしていることです。アプリのマーケットプレイスを登録するには、開発者は審査を通過し、100万ユーロのスタンドバイ信用状を提出する必要があります。同一のアプリの異なるバージョンをApp Storeと代替ストアの両方にアップロードすることは禁止されています。開発者がどのストアでもアプリを公開したい場合は、同一のものでなければなりません。最後に、すべてのアプリはAppleの「公証」を取得する必要があります。このプロセスとmacOSの公証の同一性が証明された場合、Appleは手動でレビューするのではなく、マルウェアの自動スキャンを実行し、特定の技術的推奨事項への準拠をチェックすることになるでしょう。

• 》 ランサムウェア攻撃事案から見る、ファーストレスポンダー同士の情報共有が必要な理由 (JPCERT/CC, 3/26)

• 》 制御システムセキュリティカンファレンス 2024 開催レポート (JPCERT/CC, 3/14)

• 》 「制御系SIRTの機能を備えるための手引き」（CSIRTマテリアル補完資料） (JPCERT/CC, 3/27)

• 》 「大谷選手は被害者」と米連邦検察　口座ひも付けの電話番号・メールアドレスが水原氏に変更されていた (ITmedia, 4/12)。腹黒通訳が言語障壁をさんざん悪用と。 悪意ある proxy の恐さよ。

  　口座は18年に開設しており、水原氏は英語が話せない大谷選手とアリゾナ州の銀行支店に同行。年俸を受け取るための口座開設を手伝っており、口座に関する詳細設定も通訳していた。「開設した口座にアクセスできた」（エストラーダ連邦検事）という水原氏は、日本語が話せない大谷選手の会計士や財務顧問などに対し、大谷選手の意向であるかのように、この口座にアクセスしないように伝えたとされる。
  　宣誓供述書によると、水原氏は21年9月に違法なスポーツブックでギャンブルを始め、数カ月後には多額の損失を出し始めたという。この間、大谷選手の銀行口座の連絡先情報が変更され、その口座が水原氏の電話番号と水原氏につながる匿名のメールアドレスにリンクされたとされる。これは、二段階認証などの本人確認も水原氏に届いていたものと考えられる。
  　また水原氏は、銀行に大谷選手であると偽って電話をかけ、行員をだまして大谷選手の銀行口座から違法賭博行為の関係者への電信送金を指示したという。なお、ギャンブルで勝った時の賞金は、大谷選手の口座ではなく水原氏自身の口座に送金していたとされている。

  　元ねた: Japanese-Language Translator Charged in Complaint with Illegally Transferring More Than $16 Million from Baseball Player’s Account (justice.gov, 4/11)。justice.gov からプレスリリースが出るような案件なんだなあ。 DeepL 訳:

  水原一平容疑者（39歳、ニューポートビーチ在住）は、銀行詐欺で起訴されており、最高刑は連邦刑務所30年の重罪である。
  (中略)
  先週の警察とのインタビューで、大谷は水原の電信送金の許可を否定した。大谷は自分の携帯電話を警察当局に提供したが、警察当局は、大谷が水原の違法賭博行為や借金の支払いに気づいていた、あるいは関与していたことを示唆する証拠はないと判断した。

  　当該携帯電話は当然フォレンジック解析されたのだろうが、その結果はシロと。

• 》 ロシア企業からの支払い、中国が精査厳格化か　電子部品に影響 (ロイター, 4/12)

• 》 Apple の脅威の通知と金銭目当てのスパイウェアへの対策について (Apple, 4/10)。誤訳がひどい。

  市民社会組織、テクノロジー企業、ジャーナリストによる公的報告や研究によると、このように莫大なコストをかけ複雑で個人を標的とした攻撃は、歴史的に国家主体と結び付けられてきました (NSO Group 社の Pegasus のように、国家主体に代わって金銭目的のスパイウェアを開発する民間企業も含む)。

  　Pegasus は「金銭目的の」スパイウェアじゃないし、そもそも「金銭目的のスパイウェア」って何だ?

  　なんじゃこりゃと思って英語版を見ると、 About Apple threat notifications and protecting against mercenary spyware (Apple, 4/10) である。金銭目的のスパイウェアじゃなくて mercenary spyware = 傭兵スパイウェア。 Apple の翻訳チームは何をやっているんだ。 これでも見て勉強してくれ: Mercenary spyware: Defending against what's next Ι 2023 (incubator for Media Education & Development / YouTube)

  　この誤訳は昨日今日はじまったものではない模様:

  • Apple、金銭目当ての高度な標的型スパイウェアからユーザーを保護するための業界をリードする取り組みを拡大 (Apple, 2022.07.06)

  • Apple expands industry-leading commitment to protect users from highly targeted mercenary spyware (Apple, 2022.07.06)

  　関連:

  • Apple Warns Top Indian Opposition Leaders, Journalists About ‘State-Sponsored’ Attack on Phone (THE WIRE, 2023.10.31)

  • Exclusive: Apple warns users of "mercenary spyware" attack; India, 91 other countries impacted (Economic Times, 4/12)

  • Apple Warns Users In 92 Countries They May Have Been Targeted By Mercenary Spyware Attacks (Forbes, 4/11)

• 》 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を策定しました (経産省, 4/4)

• 》 ChromeやEdgeに市松模様が表示される不具合を回避する方法。GeForce環境で発生する異常表示 ［Update 2: 現状についてMicrosoftがコメント］ (ニッチなPCゲーマーの環境構築Z, 4/11)

• 》 Intel、Wi-Fiドライバ23.40.0を公開。ブルースクリーンエラー(BSoD)の不具合を再度修正 (ニッチなPCゲーマーの環境構築Z, 4/11)

• 》 値上げラッシュ?

  • Western Digital、HDDを値上げ (ニッチなPCゲーマーの環境構築Z, 4/10)。5〜10%?

  • GeForce RTX 4000シリーズ等の仕切り価格が値上げ (ニッチなPCゲーマーの環境構築Z, 4/9)

  • Micron、メモリとSSD価格を大幅に値上げ。2024年第2四半期中に (ニッチなPCゲーマーの環境構築Z, 4/9)。25% 以上?!

• 》 プルデンシャル生命保険で個人情報不正持ち出し　元社員が転職先で営業活動に利用 (ITmedia, 4/11)、 当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ (プルデンシャル生命保険, 4/9)

• 》 iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ　パスワードリセット通知を大量送付、乗っ取りを狙う (ITmedia, 4/12)。MFA = 多要素認証。

  攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。

• 》 【単独取材】ジャニーズ解体のその後……SMILE-UP. 東山社長、BBCの多数の質問に答える (BBC, 3/30)

• 》 Horizon (Post Office scandal) 方面

  • Post Office Horizon scandal explained: Everything you need to know (ComputerWeekly, 4/11)

  • Post Office scandal explained: What the Horizon saga is all about (BBC, 4/10)

  • Post Office cases 'greatest criminal justice scandal', inquiry told (BBC, 4/10)

• 》 Toward greater transparency: Adopting the CWE standard for Microsoft CVEs (MSRC, 4/8)

  　2024.04.16 追記: Microsoft、セキュリティレポートに「CWE」標準を採用、脆弱性のタイプを分類して表示 (窓の杜, 4/16)

• 》 TOMOYO/AKARI/CaitSith プロジェクトを SourceForge.net へ引っ越しました (熊猫さくらのブログ, 4/1)

• 》 さくらインターネットのASNで重大なマルウェア活動を確認　HYAS Infosec調査 (ITmedia, 4/4)。 HYAS Threat Intel Report April 1 2024 (HYAS, 4/1) で Summary of Top ASNs and Malware Origins として挙げられている 4 つの AS に さくらが含まれているという話。

  • AS9318 - SK Broadband Co Ltd (South Korea)
  • AS8968 - BT Italia S.p.A. (Italy)
  • AS216309 - TNSECURITY (UK)
  • AS7684 - Sakura Internet Inc. (Japan)

  　HYAS Report では AS216309 については詳細な記述があるが、 AS7684 については簡便に記されているだけ。

  　AS7684 が特出しされていることに関して、何を見ると検証できるんだろう。たとえばこういうの?

  • Overview for AS7684 SAKURA-A (cloudflare radar)

  • Overview for AS131965 XSERVER (cloudflare radar)

  • Overview for AS4713 OCN (cloudflare radar)

  • Overview for AS2497 IIJ (cloudflare radar)

  • Overview for AS2527 So-net (cloudflare radar)

  • Overview for AS9605 docomo (cloudflare radar)

  • Overview for AS2907 SINET-AS (cloudflare radar)

  　spam だとこんな感じなのだけど。

  • AS7684 SAKURA Internet Inc. (CleanTalk)

  • AS131965 Xserver Inc. (CleanTalk)

  • AS4713 NTT Communications Corporation (CleanTalk)。「SPAM active IP addresses」という、さくらや Xserver には存在しない項が登場している。

  • AS2497 Internet Initiative Japan Inc. (CleanTalk)

  • AS2527 Sony Network Communications Inc. (CleanTalk)。「SPAM active IP addresses」あり。

  • AS9605 NTT DOCOMO, INC. (CleanTalk)。「SPAM active IP addresses」あり。

  • AS2907 Research Organization of Information and Systems, National Institute of Informatics (CleanTalk)

• 》 GPIO番号に互換性がない？　「Raspberry Pi 5」と前モデルを比較してみた (日経 xTECH, 4/10)

  /sys/class/gpio配下のファイルを操作してGPIOを制御するインターフェースは「GPIO sysfs」インターフェースと呼ばれている。実はこの慣れ親しまれてきたGPIO sysfsインターフェースは廃止予定となっており、GPIOはキャラクターデバイスとしてアクセスすることが推奨されている。 (中略) 旧来のGPIO sysfsインターフェースの利用が混乱のもとになっているということだ。混乱を避けるためにも、可能なら今後はGPIO sysfsインターフェースの利用を避けたほうが良いだろう。

• 》 The Black Market That Delivers Elon Musk’s Starlink to U.S. Foes (Wall Street Journal, 4/9) DeepL 訳:

  ジャーナル紙の調査によると、アフリカ、東南アジア、アラブ首長国連邦での裏取引によって、Starlinkハードウェアの影のサプライチェーンが存在し、何千台もの白いピザ箱サイズのデバイスが、アメリカの敵対勢力や告発された戦争犯罪者の手に渡っている。これらのエンドユーザーの多くは、Starlinkが許可されている国で販売店がハードウェアを登録した後、Starlinkのローム機能を使って衛星に接続する。

  　えっ?! そんな手順で利用できちゃうの?!

• 》 OpenSSL version 3.3.0 published (OpenSSL, 2024.04.09)。 iida さん情報ありがとうございます。

• 》 Microsoft、中国のAIによる選挙操作を具体例で再警告 (ITmedia, 4/7)

• 》 署名「画像生成AIからクリエイターを守ろう」が賛同1万件間近に　「AI生成物のみ非親告罪に」などを主張 (ITmedia, 4/8)

• 》 IPA、情報セキュリティを学べる合宿開催　小学生～大学院生対象、参加費は無料 (ITmedia, 4/8)。「セキュリティ・キャンプ2024　全国大会／ネクスト／ジュニア」。

• 》 Visa/Masterカードの決済停止、成人アニメ老舗ブランドの公式サイトも (ITmedia, 4/8)。PinkPineapple。 こちらも JCB 推奨となっている。

• 》 Windows、外部ツールを使った標準Webブラウザの変更をドライバで阻止か (PC Watch, 4/8)

  デフォルトWebブラウザの変更に対応するレジストリキーに書き込みを行なうとアクセスが拒否され、regedit、reg.exe、PowerShellでも変更ができない (中略) Windows上のドライバを調べたところ、プロパティに「UserChoice Protection Driver」と記載のある「USPD.sys」というドライバが見つかった。これを逆アセンブルしたところ、レジストリキーの変更に関するホワイトリストとブラックリストにあたるものが含まれていた。2月の更新で導入されたもので、http、httpsのプロトコルのほかにも、.pdfの関連付けの変更もブロックしていたという。

  　UCPD.sys (上記 USPD.sys は誤記) はもちろん Microsoft 製。

  　元記事はこちら: UserChoice Protection Driver – UCPD.sys (THE KOLBICZ BLOG, 4/3)

  Microsoft also updated the driver during my tests (from 2.0 to 2.1) and extended the deny list of executables. this means, they can change the behavior almost on the fly and add new tricks or block additional extensions/protocols!

• 》 Windows 10の組織向け有償延長サポート、導入方法や料金が発表 (PC Watch, 4/5)。Windows 10 ESU の件。

  従来の5-by-5アクティベーションキー(初年度で1デバイスあたり61ドル)、Windows 365サブスクリプションでのアクティベーション(初年度分はWindows 365利用料に含まれる)に加え、クラウドベースのアクティベーションの3種類が選べる。

  　円安のおかげで、ずいぶん高くなりそうですなあ……。

• 》 Windows 10で「Sysprep」コマンドが完了しない問題、ようやく解決へ　 2023年11月末リリースの「KB5032278」以降で発生 (窓の杜, 4/8)

• 》 通園バスの安全装置設置100%達成見込み　こども家庭庁が公表 (TBS, 4/5)。 置き去り防止支援装置の件。 2023.04 義務化・経過措置1年なので、当然といえば当然なのですが。

  • 送迎用バスに対する安全装置の装備状況の調査結果について (こども家庭庁)

  • 送迎用バスの置き去り防止を支援する安全装置のリストについて (こども家庭庁)。いろんな会社が出しています、が……

  　設置100%見込みはいいのですが、その装置本当に仕様を満足しているのですか問題というのがあるようで。

  • 三菱ふそう、幼児置き去り防止装置の開発中断　ガイドラインへの適合難しく　自動車メーカーも温度条件がネック (日刊自動車新聞, 2023.02.15)。自動車メーカーがさじを投げるような厳しい仕様。 ってどういうこと?

  • 送迎用バスの置き去り防止を支援する安全装置の ガイドライン (国土交通省, 2022.12.20)

    4.9. 置き去り防止を支援する装置は、－30℃～65℃（ダッシュボード等の直射日光の当 たる位置に取り付けるものにあっては、－30℃～85℃）の温度条件下において正常 に作動するものでなければならない。

    動作時温度 -30℃～65℃。

  • 幼児置き去り防止装置、認定品の一部でガイドラインを満たさない部品を使用　製品テストは「問題なし」だが　メーカー頼りの側面も (日刊自動車新聞, 2023.07.05)。

    話題になった製品（メーカーをＡ社とする）に使われていた、ある部品の使用可能な温度範囲は「マイナス１０度～同５０度」。この部品は大手メーカー製の汎用品で、性能は同社のＨＰでも公表している。Ａ社のＨＰに掲載されている製品写真の中に、この部品が確認できる。一見してガイドラインを満たしていない部品があったため、疑問に思った関係者が多かったのだ。
    日刊自動車新聞が政府側に取材すると、「そういう部品があっても、商品全体として稼働テストをして問題がなければそれでいい」ということだった。Ａ社もこうした見解に基づき、自社で稼働テストを実施。無事に作動が確認できたため、文書を提出して政府も認定した。Ａ社側は、政府が定めたルールに違反はしていないことが分かる。

    ふつうに考えたら、駄目でしょそれじゃ。 保温装置を付加するとかしてあるなら別かもだけど、多分そうじゃないのだろうし。

    〈記者の目〉
    政府のガイドラインで、必要な試験の条件を定めるべきだった。

    ですよねえ。

  • 幼児置き去り防止装置のガイドライン　東京大学・畑村洋太郎名誉教授「基準が不明瞭　政府側の問題」 (日刊自動車新聞, 2023.07.05)。失敗学の畑村先生に取材。

    幼児置き去り防止装置の基準について、２０２２年末に政府はきちんとガイドラインの基準をまとめた。この装置はいろんな部品を使うが、採用する部品全部についてガイドラインの基準をクリアするのが条件だということを文書に盛り込むなど明確にするべきだった。

    今回は、幼児置き去り防止装置を造った会社が、検査データを文書でまとめて、国土交通省所管法人が「原則書面審査」で審査した。合格すると政府認定として内閣府（現在はこども家庭庁）のホームページに掲載される。安全性を考えると、書面審査だけではなく、第三者が実証実験を行うのが望ましい。造った人が検査（テスト）をしても意味がない。

• 》 [gnutls-help] gnutls 3.8.5 (GNU, 4/4)。セキュリティ修正は無いようです。iida さん情報ありがとうございます。

• 》 HOYA、大規模システム障害の原因がサイバー攻撃であることを認める (4/4)

  • 当社グループにおけるシステム障害について (HOYA, 4/4)

    外部の専門家を交えた調査の結果によれば、本件は第 三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 (中略) 当社が保有する機密情報や個⼈情報の外部流出の可能性について調査を進めて いますが、解析には相当の日数を要する見込みです。

  • HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 (山田 敏弘 / JBpress, 4/6)

    今回の攻撃は、ランサムウェア攻撃だと考えられる。というのも、「Hunters International」というサイバー犯罪グループが、「HOYA Corporation」への攻撃に関わっていることを関係者向けに明らかにしていたからだ。(中略) 今回のHOYAへのサイバー攻撃も、Hunters Internationalがランサムウェアを開発し、それを使ったアフィリエイトが攻撃の実働部隊になっているようだ。

• 》 ネット犯罪の通報は88万件超で前回調査から増加、米IC3が最新版レポートを公開 (Internet Watch, 4/4)

• 》 セクシー田中さん方面

  • 「セクシー田中さん」芦原さん急死問題　エンタメに詳しい弁護士　原作者とドラマ制作側の会議を (東京, 3/16)

  • 日本テレビ定例社長会見 (3/25)

    • ２０２４年３月２５日 日本テレビ 定例記者会見 《 要旨 》 (日テレ, 3/25)

    • 日テレ「セクシー田中さん」調査に言及「ヒアリング進めている」結果公表は「GW明けが目安」 (スポニチ / 毎日, 3/25)

  • 論点　 「セクシー田中さん」問題 (毎日, 3/29)。里中満智子、福井健策、田淵俊彦。

  • 「セクシー田中さん」問題、東村アキコさんはどう見た？　原作者が「どうぞお好きに」ではダメな理由 (東京, 4/6)

    　韓国で漫画「私のことを憶（おぼ）えていますか」をドラマ化した際、韓国から脚本家が4人来て4時間缶詰めにされた。原作にびっしり付箋が付いており、せりふの1行1行を「この時のこのキャラクターの気持ちは？」「どういう背景事情があるのか」など、自分でも思い出すのに苦労するくらい突っ込みがすごかった。
    　「好きにやっていいですよ」と言うと、韓国の脚本家から「何を言ってるんですか！」と怒られ、「先生そんなんじゃ駄目です。先生の世界観、思いをしっかり反映したいんです」と徹底的に意見を聞かれた。韓国は、それだけ原作へのリスペクトがあり、原作者の意向をいかに忠実に映画やドラマに反映するかへの思いも強かった。
    　映画やドラマに対する人や時間やお金のかけ方が日本と違う。韓国では、脚本はまず4話まで先に作り、そこから例えばネットフリックスなのか、テレビなのか、映画なのかが決まり、座組や役者を決めていく。
    　日本だと視聴率を取るために先に役者を決めていたりする。だから何に重きを置くのかの意識が全然違う、韓国のドラマや映画への取り組みを肌で知り、私ももう少し本気で映画やドラマに向き合ってみようと考えるようになった。韓国の現場を見て、真面目にガチンコで関わらないと良いものはできないと学んだ。
    　韓国の人は、寝る間を惜しんでひるむことなく、原作者に向かってくる。学んだことが大きかった。

    こういうのが日本でもふつうになってほしいなあ。

  　「日テレ×小学館、チーフプロデューサーは「セクシー田中さん」三上絵里子」のドラマ「たーたん」は制作中止。代替ドラマの主役は“困ったらジャニーズ”。

  • ムロツヨシ主演の日テレドラマ「たーたん」が制作中止　プロデューサーが「今はできない。別の企画をやりましょう」《「セクシー田中さん」チーム“再タッグ”だったが…》 (文春オンライン, 2/21)

    　急転直下、放送自体がなくなってしまった「たーたん」だが、実はその裏では、ドラマ版の脚本をめぐり、「セクシー田中さん」の前轍を踏みかねない“未遂事件”があった——。
    「原作のストーリーを脚本で“改変”していたことが分かったのです」（前出・ドラマ制作スタッフ）

  • 《説明会音声入手》日テレドラマ「たーたん」スタッフに伝えられた“制作中止の理由”と、プロデューサーが滲ませていた“不信感”「普通じゃない状況のことを出版社の小学館さんに言われて」「悔しい気持ちでいっぱいで」 (文春オンライン, 2/22)

  • 「俳優陣はそのまま」だったが…4月スタート《日本テレビ「たーたん」代替ドラマ》からムロツヨシが出演を辞退していた！ (文春オンライン, 3/12)

  • 【たーたん騒動】スト森本慎太郎主演の急ごしらえで思い出す「西内まりやの月9」 (日刊サイゾー, 3/22)

  • 日テレ　SixTONES森本ドラマ主演　旧ジャニ起用「改革に進捗」セクシー田中さん問題で調整枠で… (スポニチ / 毎日, 3/25)

  • テレビ業界の“困ったらジャニーズ”体質は変わらず　ムロツヨシ緊急降板『たーたん』の代役がSixTONES森本慎太郎『街並み照らすヤツら』に決定 (週刊実話WEB, 3/26)

• 》 リニア計画　静岡以外も「延び延び」でした　JR東海、山梨県駅完成が「2031年の見通し」初告白 (東京, 4/6)。事ここに至ってようやく認めたと。

  　27年開業を前提としたまちづくりが進む中での工期見直し。もっと早く公表はできなかったのか。リニアを取材するジャーナリストの樫田秀樹氏は「工期が遅れれば、工費は膨張する。JRはとっくの昔に把握していたはずなのに、ずっと『静岡のせいだ』と言い続けてきた」と批判する。
  　他にも未契約・未着工の工区、沿線住民が起こした差し止め訴訟、トラブルによる工事中断などの不安要素があるとし「先送りが重なれば、整備を終えた新駅周辺の民間投資に悪影響を及ぼす。閑古鳥が鳴く事態になるのでは」と懸念する。

  　中間駅周辺自治体に大打撃の可能性。関連:

  • 開業は早くても10年遅れの2037年!?　リニア新幹線建設の悲惨な現状!! (樫田秀樹 / 週プレNEWS, 3/28)。用地買収未了とな?!

    例えば、神奈川県相模原市に建設予定の「リニア車両基地」は工期11年の計画だが、用地買収が未完で未着工だ。今年着工しても完成は35年。加えて、鉄道施設は完成後も電気調整試験や車両の走行実験に約2年をかけるから（本稿ではこの工程を便宜上「工期A」と呼ぶ）、開業は37年。実に10年遅れとなる。

  • リニアトンネル工事の公式進捗は品川124m、愛知40cm (はてな匿名ダイアリー, 3/30)。すさまじい。

  • 「リニア」の遅れは静岡だけのせい？　ほかの工区でも後ずれする工事、未解決の問題を考えた (東京, 4/5)

• 》 “逆ギレ”辞意表明の静岡県・川勝知事「6月辞職」の狡猾…敵対自民に「後継」渡さない魂胆 (日刊ゲンダイ, 4/4)。 まあ、これ を見る限りでは逆ギレに見えますけどね。

• 小林製薬「紅麹」、食品1800社に影響の可能性　関連製品の流通・販売は全国3.3万社　TDB推計 (TDB / PRTIMES, 3/29)

• 》 米陸軍のタイフォン･システム、訓練目的で一時的に日本へ移送される可能性 (航空万能論 GF, 4/4)。アドバルーンかましてきましたね。

• 》 デンマーク海軍のフリゲート艦、派遣された紅海の作戦中に欠陥が露呈 (航空万能論 GF, 4/3)。すさまじい。

  イーヴァ･ヴィトフェルトは3月9日に15機の敵無人機を検出、直ぐに迎撃を試みたもののThales製レーダー（APAR）とTerma製戦闘管理システム（C-FLEX）の間で問題が生じ、乗組員は問題を解決しようと30分ほど格闘したがESSMを発射することができず、同艦の指揮官はESSMを諦めて76mm砲での迎撃に切り替えた。
  しかし76mm砲で使用された砲弾も30年以上前のもので発砲した直後に爆発

  　ちょっと待って……。その 76mm、一度も実弾を撃ったことなかったの?

• 》 韓国のHanwha、米軍プログラムの元請け参加が可能なAustal買収に動く (航空万能論 GF, 4/3)

  Hanwha Oceaはフィリー造船所の買収に動いていたため「米国内での商業船舶建造に投資する」と解釈されていたが、いきなり「国防総省のプログラムに元請けとして参加する資格をもつAustal買収」に動いたため、これが実現するとスピアヘッド級遠征高速輸送艦の建造、バージニア級原潜のコンポーネント製造、ヘリテージ級カッター建造に関わるAustal USAもHanwhaの所有になり、アジア市場で韓国勢のOPVと競合することが多かったAustalのOPVもHanwhaのものになる。

• 》 OpenBSD 7.5 Release Notes (OpenBSD, 4/5)

• 》 DLsite、Visa・Mastercardのクレカ利用を一時停止　期間については「回答を控える」【追記あり】 (ITmedia, 4/3)。あら結局 Visa / Master / Amex いずれも駄目になったのですか。 JCB だけ ok ですよと。 こんなこともあろうかと、 JCB なカードを 1 つは用意しないと駄目ですか。

• 》 岡口基一判事を罷免とした弾劾裁判所の判決に反対する (なか2656のblog, 4/3)。なか2656さん情報ありがとうございます。

  　関連:

  • 裁判官、罷免に慎重意見　識者「萎縮効果与える」―岡口判事弾劾 (時事, 4/3)

    立命館大の市川正人特任教授（憲法）は「投稿の意図よりも遺族感情を傷つけたという結果を過大に重視した判断だ」と分析。裁判官としての威信を著しく失うほどの非行に当たるかの説明が尽くされておらず、「国会議員が胸三寸で裁判官を追放できることになってしまいかねない」と懸念を示した。

  • SNS投稿で「罷免」…法曹資格まで失うのは行き過ぎ？　岡口基一判事の弾劾裁判で課題が浮かんだ (東京, 4/4)

    大阪経済法科大の渡辺康行教授（憲法学）は、訴追委も弾劾裁判所の裁判員も全員が国会議員であるため、「権限濫用（らんよう）や行き過ぎた判断に歯止めをかける仕組みが求められている」と強調する。裁判員は憲法で規定されているため、改正のハードルは高いが、一定数を法曹資格者とする要件を設けることは可能とみる。

  　裁判員に自民党の裏金議員や壷議員が含まれるような状況ですからねえ。

• 》 HOYA で大規模システム障害発生、ランサムウェアか?

  • HOYAがシステム障害、外的要因による重大なインシデントで出荷に影響も (日経 xTECH, 4/1)

  • HOYAのシステム障害、他社レンズメーカーで納期の遅れが全国的に発生 (日経 xTECH, 4/4)

  • 眼鏡レンズの注文受付停止が広がる　HOYAでシステム障害発生、復旧の見通したたず長期化も (共同 / 日刊スポーツ, 4/4)

    HOYAは、コンタクトレンズや半導体に電子回路を描く工程で使うガラス製品も製造しており、幅広い事業に影響が出る可能性がある。

  　ランサムウェア説:

  • （速報）HOYA、ランサムウェア被害か (Darkpedia / note, 4/3)。「脅威アクター：Hunters International」

  • Protection Highlight: Hunters International Ransomware (broadcom)

• 》 イスラエル国会、アルジャジーラ閉鎖の法案可決 (CNN, 4/2)。ファシスト国家らしさがさらに増加。

• 》 viva! 大阪万博

  • 小林製薬は「いのち輝く」大阪万博メインパビリオンに5億円協賛…同社の対応は？ (日刊ゲンダイ / Yahoo, 3/29)

  • 大阪万博にイスラエル正式参加…「いのち輝く」理念から乖離も日本「NO」言えない情けなさ (日刊ゲンダイ, 4/2)。大阪万博のテーマは「いのち輝く未来社会のデザイン」ですからね! 現代社会じゃないからいいのかな?

    ガザのシファ病院から発見され続ける遺体の数々。遺体の様子からも、イスラエル軍が足を縛って殺害したのは明らか。#StopGenocide https://t.co/oqdk2MzMTa

    — 駐日パレスチナ常駐総代表部 (@PalestineEmb) April 2, 2024

    関連: シファ病院からイスラエル軍撤収、攻撃の跡はさながら「ホラー映画」 (CNN, 4/2)

  • 大阪万博「玉川徹氏は禁止」…吉村府知事オラオラ発言で大炎上→詭弁屁理屈で釈明の何サマ (日刊ゲンダイ, 4/3)

  • メタンガス爆発の件:

    • 【万博工事で事故】たまった可燃性ガスに引火　トイレ床100平米が破損　夢洲の地下にはメタンガスが (FNN, 3/29)

      博覧会協会によると、事故があったのは、万博会場の北西にある緑地エリア、「グリーンワールド（ＧＷ）」工区です。このエリアは元々、産業廃棄物の処分場で、地下にはメタンガスなどの可燃性ガスがたまっています。

      もともとそういう土地でした。駄目じゃん。

    • 大阪・関西万博会場でガス爆発事故…「メタンガス」の危険性は国会で指摘されていた (日刊ゲンダイ, 3/30)

      　2023年11月29日の参院予算委員会。社民党の福島みずほ参議院議員（68）は、万博会場となっている現場の土壌改良の必要性についてこう質問。
      「何で万博会場は土壌改良をやらないんですか。有害物質の上でやるんですか。今、ここ、現場でメタンガスが出ていますよね。どういう状況ですか」

    • 第212回国会　参議院　予算委員会　第6号　令和5年11月29日 (国会会議録検索システム)。メタンガスの件は174番から。

    • 大阪　万博工事　可燃性ガス爆発　 危険な会場　直ちに中止を (しんぶん赤旗, 3/31)

      同工区のある夢洲１区は廃棄物の処分場で、地下にはメタンガスなどの可燃性ガスのほかダイオキシンなど有害物質が大量に埋まっています。可燃性ガスを放出する管（写真）は、市民団体が確認しただけでも７９本に上ります。(中略) 万博協会はガス抜き管の出口の付け替えだけで建設工事を推進。政府も「開催は危険だと認識していない」（自見英子万博相）と容認してきましたが、今回の事故で危険性が露呈しました。

    • 大阪万博の工事現場でガス爆発　会場地下に溜まるメタンガスへの懸念が現実に！ 危険な有害物質PCB汚泥も覆うだけ (リテラ, 3/31)

    • 「万博会場でたばこ吸ったら吹っ飛ぶ」をホンマに否定できるんか　建設現場で爆発、原因はメタンガスらしい (東京, 4/2)

• 》 iPad miniを機内に忘れ、8,700km先から取り戻した話 (PC Watch, 4/3)

• 》 【津波注意報 解除】台湾付近でM7.7の地震　沖縄で津波観測 (ウェザーニュース, 4/3)

  • 台湾付近 M7.5 ごく浅い (気象庁, 4/3 08:58)、 台湾付近 M6.6 ごく浅い (気象庁, 4/3 09:11)

  • M 7.4 - 18 km SSW of Hualien City, Taiwan (USGS, 4/2 23:58:11 UTC)、 M 6.4 - 11 km NE of Hualien City, Taiwan (USGS, 4/3 00:11:25 UTC)

  • https://twitter.com/UN_NERV/status/1775335104468181489 (NERV / twitter, 4/3)

    【地震の震源要素更新】
    令和 6年 4月 3日10時30分をもって、地震の発生場所と規模を更新します。
    震源: 台湾付近(北緯23度49.9分 東経121度35.9分 深さ 23km)
    規模: M7.7

  • 沖縄県の津波注意報をすべて解除 各地で津波観測 (NHK, 4/3)

  • 台湾でＭ7.7、99年以来の大地震－ＴＳＭＣとＵＭＣ生産ラインに影響 (ブルームバーグ, 4/3)

  • 台湾東部 マグニチュード7超える地震 1人死亡50人以上けが (NHK, 4/3)

  • 花蓮規模7.2地震市區2大樓嚴重傾斜 新北中和倉庫倒塌【圖輯】 (中央社網站, 4/3)

  • 台湾東部地震/台湾東部で地震 複数の建物に被害 鉄道も一部で運転見合わせ (フォーカス台湾, 4/3)

• 》 上川外相 パレスチナ首相に“UNRWAへの資金拠出再開”伝える (NHK, 4/2)。ようやくですか。

• 》 ガザ情勢が及ぼすエネルギー供給への地政学的影響 ――中東のエスカレーション・リスクと紅海地域の不安定化 (笹川平和財団, 4/2)

  　現状では、中東の地域大国や米国のいずれも紛争のエスカレーションは望んでおらず、直接介入を明確に否定し、全面戦争を回避してきた。しかし、イスラエルは10月7日の事件によって破られた抑止を回復させるために、ガザ地区への大規模な軍事侵攻を継続するとともに、イランや親イラン勢力を挑発して米国を引きずり込もうとしており、この試みが暴発する危険性は無視できない。また、非国家主体という「ワイルドカード」が軍事衝突や偶発的エスカレーションの引き金になり得る。
  　米国やイラン、その他の地域大国が抑制的に行動する限り、複数の国を巻き込む全面戦争が発生する見込みは短期的には低いが、「戦争状態には至らずとも域内諸国が緊張状態にあり、武力衝突が突発的に発生し、邦人や日本権益が巻き込まれる」という状況は継続している。局所的な対立がエスカレーションを引き起こし、中東域内で「意図せざる戦争（unwanted war）」を引き起こすリスクには常に注意が必要である[1]。

• 》 「諸刃の剣」としてのAUKUS ――豪州の原子力潜水艦取得に向けた課題(前編) (笹川平和財団, 3/14)、 （後編） (笹川平和財団, 3/18)

  　より深刻な問題は、米国内の動向であろう。前節で見たように、米国議会は12月に豪州への原潜供与に同意したものの、潜水艦の譲渡が「米国の海中能力を低下させず」、「米国の外交政策と国家安全保障上の利益に合致する」ことを米大統領が証明すること、また米国が自国のニーズを満たすために「十分な潜水艦の生産・保守投資を行う」こと、そして豪州が同艦を運用する能力を持つことなど、多くの条件がつけられた[10]。また、豪州は潜水艦の購入費用とは別に、米国の潜水艦産業育成のために30億米ドル（日本円で約4400億円）を支払わなければならない。
  　ここでもっとも大きな問題となるのが、米国の原潜の生産能力の問題である。現在の米海軍の弾道ミサイル搭載原子力潜水艦以外の潜水艦は50隻前後で、長期目標である66〜72隻には遠く及ばない。ある分析によると、豪州に提供する分を踏まえた場合、米国は現在から2030年代にかけてヴァージニア級原潜を少なくとも年間2.3隻のペースで建造する必要がある。もっとも、ヴァージニア級の引き渡し速度は現在、年1.4隻程度であり、2隻に達するまでには5年かかると見られている[11]。

  　US の建艦能力の低さよ……。ほんまにできるんかいな。