![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri May 9 18:27:10 2025 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 「Gmail」が暗号化方式「3DES」のサポートを終了へ (窓の杜, 5/9)
》 Bluesky上の誹謗中傷で国内初の開示命令が出るも、日本国内に窓口がなく「どうやって対応させるか」が問題に (やじうま Watch, 5/9)
Blueskyはきちんとした窓口もなく、また、「会社法上求められる外国会社の登記をしていない」とのことで「ここからどうやって実際に対応させるかということのほうが主眼になるため、むしろここからの方が正念場かもしれません」
あらまあ、そんな状態なのですか。
FG-IR-24-535 - Authentication bypass in Node.js websocket module (2025.01.15)
悪用事例が観測されているそうです。
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 (JPCERT/CC, 2025.05.09 更新)
JPCERT/CCは、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性が悪用された事例があることを確認しました。
2月11日(現地時間)、Fortinetは、本脆弱性のアドバイザリにCSFリクエストによる認証回避の脆弱性(CVE-2025-24472)を追記しています。また、3月13日(現地時間)には、Forescoutからこれら2つの脆弱性を悪用するランサムウェア攻撃が2025年1月から3月にかけて複数確認されたとする分析記事が公表されてい ます。
》 警察庁サイバー部門・デジタル部門における技官採用の実施について (警察庁, 5/8)
》 Surface Hub の Windows 10 サポート終了 – 移行を開始してください。 (Windows Blogs, 4/17)
》 「パルワールド」が一部仕様の変更を表明 「特許は侵害していない」が…… 「開発継続の予防策として」 (ITmedia, 5/8)。ということにしたいのですね。
》 米陸軍、ドローン使用を大幅拡大へ (Wall Street Journal, 5/8)。「各戦闘師団に約1000機の無人航空機(ドローン)を装備し、時代遅れの武器やその他の装備を廃棄する計画」。 さすがに戦闘ヘリ廃止とまでは言っていない模様 (今のところは) 。
》 AWS障害にOracle情報漏えい疑惑──リスク露呈したガバメントクラウド、デジタル庁の受け止めは (ITmedia, 5/8)
》 さよなら Skype、5月5日をもってサービス終了 Microsoft Teams Freeへの移行を、プライバシー設定には注意 (窓の杜, 5/5)
》 「PR TIMES」で不正アクセス、最大約90万件の個人情報などが漏えいの可能性 (Internet Watch, 5/7)
》 夏休みに「セキュリティ・キャンプ 2025」開催、小学生~22歳が対象で参加費無料 (Internet Watch, 5/8)。2025.08.11〜16、東京都多摩市、無料。 5/12 から応募開始。
Chrome 136.0.7103.92/.93 (Windows / Mac) および 136.0.7103.92 (Linux) 公開。2 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.05.06)。 Chrome 136 (136.0.7103.87) for Android。
関連:
「Microsoft Edge」v136.0.3240.64、「Microsoft エディター」が機能しない問題を修正 (窓の杜, 2025.05.09)
限定的な標的型攻撃への悪用も ~2025年5月のAndroidセキュリティアップデート情報 (窓の杜, 2025.05.07)
[security] Go 1.24.3 and Go 1.23.9 are released (Google, 2025.05.07)
CVE-2025-47153: out-of-bounds access in some 32-bit builds of Node.js (oss-sec ML, 2025.05.02)
Knot Resolverの脆弱性情報が公開されました (JPRS, 2025.04.28)
インドがパキスタンの「テロ拠点」攻撃、8人死亡 インド側も死者 (ロイター, 5/7)
インドの今回の攻撃は、カシミールにおける過去の衝突に対するインドの対応をはるかに超えるものだ。
フォーリンポリシー誌の記者で南アジア専門アナリストでもあるマイケル・クーゲルマン氏は「インドの攻撃の規模は2019年に行われたものよりはるかに大規模で、パキスタンも相当な反撃をすると予想される」と述べた。
インドとパキスタンが軍事攻撃の応酬-カシミール銃撃事件受け (ブルームバーグ, 5/7)
インドがパキスタンを攻撃 これまでに分かっていること (CNN, 5/7)
インド“パキスタン支配地域攻撃” 軍事行動 激化に懸念強まる (NHK, 5/7)
》 中国企業、貿易戦争の「痛み」もはや隠せず (Wall Street Journal, 5/2)
》 米EV業界揺るがす元素「ジスプロシウム」とは (Wall Street Journal, 5/2)。磁石の材料だそうで。
米EVメーカー、テスラのイーロン・マスク最高経営責任者(CEO)は最近、この磁石がなければテキサス州オースティン近郊の同社工場でヒト型ロボット「オプティマス」を製造する計画が頓挫するかもしれないと述べた。
関連:
中国、中・重希土類7種のレアアース関連品目で4月4日から輸出管理を実施 (JETRO, 4/7)。「今回、輸出管理の対象となったのは、サマリウム、ガドリニウム、テルビウム、ジスプロシウム、ルテチウム、スカンジウム、イットリウムの7種の中・重希土類レアアース」。
対中関税戦争の代償となるレアアース1 ~中国の独占状態にあるレアアースを米国は捨てる覚悟か~ (第一生命経済研究所, 4/10)
対中関税戦争の代償となるレアアース2 ~重要鉱物の自前確保に向けて退路を断ったトランプ関税~ (第一生命経済研究所, 4/23)
レアアース価格3倍に急騰 5月に最高値、中国の輸出規制響く (日経, 5/2)
》 「面白い、と『犬笛』に加担」 向けられる矛先、中傷なお止まらず (朝日, 4/30)
》 40年変更なし「さすがにまずい」 厚労省が「労働者」の条件再検討 (朝日, 5/2)
》 LibreSSL 4.1.0 released (OpenBSD journal, 4/30)。iida さん情報ありがとうございます。
都内に出没する「偽携帯電話基地局」に村上総務相も「関係機関と対応」――セキュリティアップデートで「2G接続不可」モードの実装を (石川温 / ITmedia, 4/27)
スマホの混信やフィッシング詐欺も 総務省が“偽基地局”に警戒呼びかけ (ITmedia, 5/2)、 不法無線局の疑いのある無線機器※からの携帯電話サービスへの混信 ~フィッシング詐欺等のSMSにご注意ください~ (総務省, 5/2)
》 トランプ政権の「敵性外国人法」適用は違法 連邦地裁が判断 (ロイター, 5/2)
》 中国が「軍民両用艦」建造、台湾有事には兵員・兵器輸送に利用か…読売新聞など衛星画像分析 (読売, 5/29
同艦は幅約40メートル、長さ約200メートル。形状は空母と似ているが、中国軍が保有する空母3隻(長さ300メートル超)と比べて短く、
いやいやあなた、 海自の 輸送艦「おおすみ」型 (「長さ 178m、幅 25.8m」) よりもよっぽど大きいよ。かなりの輸送力を有する船ですぞ。
韓国最大野党「大統領選候補の交代ない」 最高裁判決を「選挙介入」と非難 (聯合ニュース, 5/1)。三権分立を否定したらクーデターと同じなのだが。 お前は何を言ってるんだ。
無罪破棄で韓国左派に衝撃、李在明氏「私が考えたものと全く違う方向の判決だ」…追い風一転「逆風」の恐れ (読売, 5/2)
「高裁の初期日まで少なくとも半月」…大統領選挙前の李在明候補の確定判決は難しく (中央日報, 5/2)
被選挙権がないのに大統領になったらどうするつもりなのか【5月2日付社説】 共に民主・李在明候補の無罪破棄 (朝鮮日報, 5/2)
韓国最大野党 「大統領の刑事裁判停止」改正案推進=李氏当選を想定 (聯合ニュース, 5/2)
鄭氏は「裁判が継続されれば大統領の職務遂行に障害が発生する可能性がある」とし、「大統領に当選した被告人に対し、憲法第84条が適用される在職期間に刑事裁判の手続きを停止させ、憲法上の不訴追特権が手続き的にも実現されるようにしなければならない」と述べた。
だから、三権分立を否定したらクーデターと同じなんだってば。 お前ら 2024.12.03 から今までいったい何を主張してきたの?
》 テスラ、4月のフランス登録台数59%減の863台-欧州で不振止まらず (ブルームバーグ, 5/1)、 “テスラの取締役会 マスクCEOの後任探しに着手か” 米有力紙 (NHK, 5/1)。WSJ 報道。 テスラ取締役会、マスク氏の後継CEO探しに着手していた (Wall Street Journal, 5/1)
》 やっぱり料金請求しません 中日本高速道路、ETC障害で (共同, 5/2)、 ETCシステム障害時のご利用料金について(お知らせ) (NEXCO 中日本, 5/2)
》 令和生まれの新しい攻撃手法「ClickFix」が増殖中 ~Kasperskyが注意喚起 (窓の杜, 5/2)。めんどうなことは人間にやらせよう。
》 待望のAI機能「リコール」がついに実装 ~利用のポイントは? (窓の杜, 5/2)
》 Marine AH-1Z Attack Helicopter’s Mystery Missiles Identified (The War Zone, 5/1)。米海兵隊 AH-1Z に射程 150 NM 以上のミサイルだそうで。
“So, the current [LRAM] effort that ADT is working on right now is based on L3Harris’ Red Wolf,” Shadforth said at Modern Day Marine in direct response to a question from TWZ‘s Howard Altman. “So generally speaking, range-wise, you’re looking at low triple-digit range capacity on it and double-digit time of flight.”
Shadforth did not specify any units of measure, but the Marines have talked about a maximum range of at least 150 nautical miles (just over 170 miles or nearly 278 kilometers) for LRAM/PASM in the past. Assuming “double-digit time of flight” here is measured in minutes, this would mean Red Wolf has a subsonic cruising speed.
ほんとうに、オフィシャルな裏口 (backdoor) があったのですね。 SBI証券は本日閉鎖だそうですが。
あとここ:
中でも注目を集めたのは、テスタさんの「楽天証券で2段階認証やデバイス認証を設定していても、旧バージョンのツールからだとそれらをすり抜けてしまうようです」という発言。これにより、同様の仕様を持つトレーディング用のPCアプリ「マーケットスピード」に対する不安感が高まっている。
すさまじいな……。
出ました伝家の宝刀「仕様です」。侵入されました! → とりあえずパスワード変えとけ! という対応は RDP の世界では取れないと。
ウェイド氏によると、複数の古いパスワードが有効であるのに、新しいパスワードは有効にならないケースもあるとのこと。そのため、クラウド認証、多要素認証、条件付きアクセス ポリシーを回避した永続的なRDPアクセスが可能になります。この仕様について、ウェイド氏は「MicrosoftアカウントやAzureアカウントが侵害された場合、RDPの仕様を悪用することで大きな損失につながるサイバー攻撃を実現できる可能性がある」と指摘しました。
ぐはぁ (吐血)
なお、Microsoftの広報担当者によると、RDPの仕様を脆弱性として伝えたのはウェイド氏が初めてではないそうです。
死して屍拾う者無し。
》 韓国 最大野党 前代表 前回の大統領選めぐる裁判 高裁差し戻し (NHK, 5/1)。李在明氏の件。こりゃまたえらいことになった (えらいは名古屋弁)。
関連:
李在明氏の無罪判決破棄 審理差し戻し=韓国最高裁 (聯合ニュース, 5/1)
大法院は、李氏が大庄洞開発事業を巡る不正事件の参考人だった城南都市開発公社のキム・ムンギ開発第1処長(21年に死亡)とは面識がないと発言したことと、柏峴洞の土地が用途変更されたのは国土交通部から脅迫を受けたためと発言したことについていずれも虚偽と認め、無罪とした二審判決は誤りだと指摘した。
有罪ってことだよなあ。
前回の大統領選はわずか0.73ポイント差で敗れた李在明氏、当時とまったく異なる“3つの好ポイント”…課題は? (searchkoreanews.jp, 4/28)。課題は、有罪ってこと。
》 米海兵隊の無人地対艦ミサイルNMESISがフィリピン北部のバタン島に展開訓練、台湾有事を想定か (JSF / Yahoo, 4/28)
》 北朝鮮が新型5000トン駆逐艦「崔賢」の射撃試験を実施、謎の「超音速巡航ミサイル」が実在していた (JSF / Yahoo, 4/30)、 北朝鮮「超音速巡航ミサイル」は最終突入段階でロケット加速するロシア製3M54Eのコンセプトを模倣? (JSF / Yahoo, 4/30)
》 ウクライナと米国が公平な復興基金協定に署名、ロシア経済は失速の可能性 (航空万能論 GF, 5/1)。幸いなことに、まともな内容になっているようだ。
トランプ大統領は鉱物資源協定と引き換えに「明確に定義された安全保障の提供」を拒否したものの、30日の閣議で「米軍の存在によって掘削作業の安全を確保できると思う」と述べ、協定で確保した権益を保護するため地上軍のウクライナ派遣を示唆しており、これがウクライナの安全保障に間接的な利益をもたらす可能性が高い。
へぇ。
さらにEconomistは27日「カリーニングラードからウラジオストクまで何かが変化している」「ゴールドマン・サックスが作成した高頻度指数によれば昨年以降、ロシア経済の成長率(年率換算)は約5%から0%に落ち込んでいる」「ロシア開発銀行=VEBも月次成長率の推計で同様の傾向を示している」「ロシア貯蓄銀行が作成した企業売上高の高頻度指標も落ち込んでいる」「ロシア連邦中央銀行も『需要の急減で多くの分野で生産高が減少した』と述べ、控えめながら何かが起こっていることを認めた」と報じた。
こちらの記事みたい: Vladimir Putin’s money machine is sputtering (Economist, 4/27)
関連: トランプ氏の攻撃受けたゼレンスキー氏、我慢の末に得た協定 転機は (朝日, 5/1)
パキスタン国防相はインドとの戦争勃発を警告、神に衝突回避の手助けを祈る (航空万能論 GF, 5/1)
米国務長官 インドとパキスタンに緊張緩和促す テロ事件めぐり (NHK, 5/1)
》 「WSUS」経由で「Windows 11 バージョン 24H2」へ更新できない問題が発生中 2025年4月のセキュリティパッチ「KB5055528」以降で (窓の杜, 4/30)。Microsoft 名物、終了間近製品いじめですか。
》 CICが信用情報を第三者に開示した恐れ 本人になりすまして開示請求か 信用スコア開示も一部停止 (ITmedia, 4/30)。CIC って何屋さん? と思ったら「クレジットカード事業者など800社超が加盟する信用情報機関のシー・アイ・シー」。おいおい。
》 「Amazonが商品に関税を明示するなら、それは敵対行為」とトランプ政権 (ITmedia, 4/30)。隠蔽のために圧力をかけますか。
》 第2のDeepSeekショック? オープンな中国LLM「Qwen3」シリーズが破格の性能で話題 最大モデルはOpenAI o1やGemini 2.5 Proに匹敵、たった4BでもGPT-4oレベルに (ITmedia, 4/29)
無料のオフィス環境「LibreOffice」に脆弱性 ~最新版で修正済み (窓の杜, 2025.05.01)。LibreOffice 24.8.6 / 25.2.2 で修正。 最新は LibreOffice 25.2.3 のようだ。
JVNVU#90649144 セイコーエプソン製Windows版プリンタードライバーにおける不適切なファイルアクセス権設定の脆弱性 (JVN, 2025.04.28)。インストーラーが不適切な権限を設定してしまう話。 インストール済のファイルの権限設定が不適切になっている。
日本語以外のOS環境にWindows版プリンタードライバーをインストールする、もしくはプリンタードライバーで日本語以外の言語に変更すると、プリンタードライバーが管理する一部のDLLファイルを全てのアカウント権限で書き換えることが可能となります。これにより、悪意のある第三者にシステム権限で任意のコードを実行される可能性があります。
こういうのを悪用するマルウェアが出てくる前に修正しておこう。 Windows版 プリンタードライバーにおける脆弱性について (EPSON, 2025.04.28) によると、 Epson Software Updater を使うか、あるいは Epsonプリンタードライバーセキュリティサポートツール を使って修正できるそうで。
Chrome 136.0.7103.59 (Linux) および 136.0.7103.48/49 (Windows / Mac) が stable に。8 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.04.29)。Chrome 136 (136.0.7103.60) for Android。
関連:
「Microsoft Edge 136」が正式リリース ~更新アラートなど各種UIの改善を展開 (窓の杜, 2025.05.07)。Edge 136.0.3240.50。 Edge 独自のセキュリティ修正 1 件を含む。
Apple 方面 (iOS / iPadOS, tvOS, visionOS, macOS, Safari, Xcode) (2025.04.01)
iOS / iPadOS 18.4 に含まれる AirPlay の修正の件の詳細:
Wormable Zero-Click Remote Code Execution (RCE) in AirPlay Protocol Puts Apple & IoT Devices at Risk (Oligo Security Research , 2025.04.29)
過去の記事: 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)