Last modified: Mon Oct 31 10:37:51 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
欧州、石油・ガス施設のセキュリティーを強化 ガス漏れはロシアの「破壊工作」 (BBC, 9/29)
ノルドストリーム、週明けにもガス漏れ終息 その後調査へ=運営会社 (ロイター, 9/30)
Location Of 4th Leak On Russia's NordStream Gas Pipeline In Baltic (H I Sutton, 9/29)
Russian Underwater Drone With Manipulator Arm For Seabed Operations (H I Sutton, 9/29)
》 南部ヘルソンの最前線 ウクライナ軍に同行し取材 (BBC, 9/29)。自走砲部隊に同行取材したみたい。
》 国境に殺到するロシアの若者、隣国にも不安拡大 渋滞の列は6マイル(約10キロ)に (Wall Street Journal, 9/30)、 出国しようとするロシア人の長い列 ジョージア国境でドローン撮影 (BBC, 9/29)。行列のできる国境。
関連:
フィンランド、ロシア人の観光ビザでの入国を禁止 EU最後の陸路が閉鎖 (BBC, 9/30)
「自らの命と自由を守って戦え」=ゼレンシキー宇大統領、ロシア連邦の先住民たちに呼びかけ【全訳】 (UKRINFORM, 9/29)
》 「Windows 11 バージョン 22H2」にプリンター関連のトラブル、影響する環境へのアップグレード提供を一時停止 (窓の杜, 9/30)。『「Microsoft IPP Class Driver」または「Universal Print Class Driver」を利用するプリンター』が存在すると、Windows 11 22H2 にはアップグレードできなくなっている模様。
》 Microsoft Edgeのニュースフィードで有害サイトに誘導する「マルバタイジング」が見つかる (gigazine, 9/29)
》 メキシコの地震が2400km離れた砂漠で引き起こした「砂漠の津波」とは? (gigazine, 9/28)
》 CloudflareがCAPTCHAの代わりとして「Turnstile」をリリース、ユーザーではなくブラウザをテストしてボットかどうかを見極める仕組みとは? (gigazine, 9/29)。まだβ版。
》 ロシアとドイツを結ぶ「ノルドストリーム」のパイプラインで複数の爆発とガス漏れ発生、破壊工作の可能性も (gigazine, 9/28)。関連:
Sabotage Suspected In Undersea Gas Pipeline Explosions In The Baltic (The WAR ZONE, 9/27)
Fingers Point At Russia In Baltic Undersea Pipeline Attack (Updated) (The WAR ZONE, 9/28)
「ノルドストリーム」3か所でガス漏れ 攻撃との見方も (TBS, 9/28)。ノルドストリーム1 x 2、ノルドストリーム2 x 1。
ノルドストリーム停止長期化も 23年から需給逼迫の懸念 (日経, 9/28)
ノルド・ストリーム2で新たなガス漏れ スウェーデン紙報道 (毎日, 9/29)、 ノルドストリームガス漏れ、4カ所目発見=スウェーデン沿岸警備隊 (ロイター, 9/29)。ノルドストリーム2 x 2 になったと。
焦点:ノルドストリームガス漏れ、気候被害は不明も「甚大な恐れ」 (ロイター, 9/29)
ガス漏れ地点付近にロシア海軍船がいた、欧州の安全保障当局者が確認 情報筋 (CNN, 9/29)
ツイート:
4. Belgorod
— H I Sutton (@CovertShores) September 27, 2022
A Russian submarine you will hear a lot about is Belgorod. See https://t.co/Niienq0adX
This submarine is not to blame. Many reasons. Right now she is understood to be operating in the White Sea pic.twitter.com/S39TSv8blT
》 ウクライナ占領地域で通信サービスを提供、ロシアの国番号を使う携帯電話会社の正体 (WIRED, 9/28)
》 ロシアからのハッキングに対抗するウクライナ、その“サイバー戦争”の指揮官の勝算 (WIRED, 9/23)
》 Androidアプリで「通知の許可を事前にとる」ことが、ようやく義務づけられた (WIRED, 9/22)。Android 13 で。
》 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書の公開 (IPA, 9/20)
》 IPA 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書 (まるちゃんの情報セキュリティ気まぐれ日記, 9/23)
》 尾行の存在を検知できるツール、米連邦捜査官が「Raspberry Pi」で自作 (WIRED, 9/28)
エドモンドソンが自作したツールは周囲の無線機器をスキャンし、過去20分以内に同じ機器を検出したかどうかをログで確認する仕組みだ。カフェのように長時間滞在する場所では誤認識が多くなるので、移動中に使用することを想定して設計されている。
(中略)
このツールは無線ネットワーク検出システム「Kismet」を搭載しており、Wi-FiやBluetoothの接続先を探す周囲のスマートフォンやタブレット端末を検出する。わたしたちが使っているスマートフォンは以前接続したことのあるネットワークだけでなく、新しいネットワークを含め常に周囲の無線ネットワークを探しているのだ。
》 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない... (まるちゃんの情報セキュリティ気まぐれ日記, 9/17)
》 Webサイトスキャンサービス経由による情報漏えいの実態調査 (マクニカ セキュリティ研究センターブログ, 8/31)。 オンラインストレージサービスの「共有リンクが第三者へ知れ渡るきっかけのひとつとして、Webサイトスキャンサービスの安易な利用が考えられます」。
》 ビジネスメール詐欺(BEC)対策特設ページ (IPA, 9/28)
》 エアコン、冷房シーズンが終わったら半日○ カビ防止に (ITmedia, 9/24)。晴れた日に半日送風運転、だそうです。
》 Mass DNA Collection in the Tibet Autonomous Region from 2016–2022 (CitizenLab, 9/13)
》 ダース・ベイダーの声をAIが引き継ぐことに (gigazine, 9/26)。こういうことがオフィシャルに起きている時代なのですね。
Respeecherによる合成音声はこれまでにもルーカスフィルム作品に取り入れられていて、2019年配信のドラマ「マンダロリアン」と2021年配信のドラマ「ボバ・フェット」に登場する若き日のルーク・スカイウォーカーの声は新規録音のものではなく、Respeecherによる合成音声だったことが明らかになっています。
》 両生類の生態を破壊した「ツボカビ」の猛威が、ついに人間の健康にも影響を及ぼし始めた (WIRED, 9/22)。カエル減少地域でマラリア発症増加。
》 The highly classified documents found at Trump's residence Mar-a-Lago (electrospaces.net, 9/21)
》 MS、「Exchange」の悪用によるスパム送信事例を紹介--MFAで回避できた可能性も (ZDNet, 9/26)、 Malicious OAuth applications abuse cloud email services to spread spam (Microsoft, 9/22)
》 【重要なお知らせ】Exchange Online における基本認証の廃止について (Microsoft, 9/26)。2022 年 10 月 1 日から実施。
》 [gnutls-help] gnutls 3.7.8 (gnutls-help ML, 9/27)。iida さん情報ありがとうございます。
Chrome 106.0.5249.61 (Mac / Linux 版) および 106.0.5249.61/62 (Windows 版) が stable に。 20 件のセキュリティ修正を含む。
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016 (Drupal, 2022.09.28)。Drupal が使用している Twig ライブラリーの欠陥。
Drupal 9.4.7 / 9.3.22 で修正されている。Drupal 7 には影響しない。
Unboundの脆弱性情報が公開されました(CVE-2022-3204) (JPRS, 2022.09.27)。Unbound 1.16.3 で修正されている。
関連: https://nlnetlabs.nl/downloads/unbound/CVE-2022-3204.txt (nlnetlabs.nl, 2022.09.21)
A vulnerability named 'Non-Responsive Delegation Attack' (NRDelegation Attack) has been discovered in various DNS resolving software.
(中略)
The NRDelegation Attack can exploit resolvers by having a malicious delegation with a considerable number of non responsive nameservers. It can trigger high CPU usage in some resolver implementations that continually look in the cache for resolved NS records in that delegation. This can lead to degraded performance and eventually denial of service in orchestrated attacks.
Unbound does not suffer from high CPU usage, but resources are still needed for resolving the malicious delegation. Unbound 1.16.3 includes fixes for better performance when under load.
Knot Resolverの脆弱性情報が公開されました(CVE-2022-40188) (JPRS, 2022.09.27)。Knot Resolver 5.5.3 で修正されている。
アラート/アドバイザリ:Deep Security および Cloud One - Workload Security の Windows版Agentにおける複数の脆弱性について (2022年9月) (トレンドマイクロ, 2022.09.22)。 Deep Security Agent 20.0.0-5137 以降で対応されているが、 20.0.0-5137 には既知の不具合が存在する。 これは 20.0.0-5394 で修正されている。
関連: Deep Securityソフトウェア (トレンドマイクロ)
WebKitGTK and WPE WebKit Security Advisory WSA-2022-0009 (oss-sec ML, 2022.09.19)。 CVE-2022-32886 CVE-2022-32912 は WebKitGTK / WPE WebKit 2.36.8 / 2.38.0 で、 CVE-2022-32891 は WebKitGTK / WPE WebKit 2.36.5 で修正されている。 また CVE-2022-32912 は Linux 版には影響しない そうです。
》 「Windows 11 バージョン 22H2」に定例外パッチ ~非英語のインストールメディアを作成できない (窓の杜, 9/28)、 September 27, 2022—KB5019311 (OS Build 22621.525) Out-of-band (Microsoft, 9/27)
》 「Windows 11 バージョン 22H2」のゲーム性能を改善 ~「GeForce Experience 3.26」が正式版に (窓の杜, 9/28)
》 電波強度がGPSの10万倍、GNSSの弱点を補う「MBS」とは? 屋内外シームレスに測位できる“地上波システム”構築へ (Internet Watch, 9/28)
測位に使用する時刻情報がマイクロ秒以下の精度であることを活用して、高精度な時刻配信サービスの提供も予定しています。
これかな: Terrestrial Timing System (NextNav, 5/8)
関連: 次世代GPSインフラ ユビキタスで、安心安全な測位サービス MBS(Metropolitan Beacon System)事業 (国土交通省 令和3年度 高精度測位社会プロジェクト検討会, 3/14)
》 静岡県の水害巡りフェイク画像が拡散 画像生成AIを利用 投稿者はデマと認めるも「ざまあw」と開き直り (ITmedia, 9/26)
》 インテルSSTを更新していないWindows 11マシンは22H2を受け取れず (PC Watch, 9/27)。Intel Smart Sound Technology (SST) ドライバを更新しないと Windows 11 22H2 において不具合が発生するため。
》 「無料で動画やマンガが見られるソフト」のつもりで「ファイル共有ソフト」を使ってしまうトラブル、国民生活センターが注意喚起 (Internet Watch, 9/26)
「Node.js」にセキュリティ更新 ~深刻度「High」2件を含む6件の脆弱性に対処 (窓の杜, 2022.09.26)。 Node.js 14.20.1 / 16.17.1 / 18.9.1 で修正されている。また CVE-2022-35255 に関して、
Weak randomness in WebCrypto keygen (High) (CVE-2022-35255)
Node.js made calls to
EntropySource()inSecretKeyGenTraits::DoKeyGen()insrc/crypto/crypto_keygen.cc. However, it does not check the return value, it assumes EntropySource() always succeeds, but it can (and sometimes will) fail.Thank you, Ben Noordhuis for reporting (and fixing!) this vulnerability.
Impacts:
- All versions of the 18.x and 16.x release lines.
こういう欠陥なので、
WebCrypto.subtle.generateKey() で生成した全ての鍵について、再発行することが推奨されている。
》 Windows 11へのアップグレードはいつまで無料?改めて10からのアップグレード要件を確認する (PC Watch, 9/23)
ただし、2022年10月5日以降はアップグレードが有料化される可能性もあるため、早めにアップグレードすることをおすすめします。
脅迫。
》 ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で (ITmedia, 9/21)
》 “Web3本”著者の団体「DeFi協会」が解散 (ITmedia, 9/26)
》 「iOS 16.0.2」公開、「iPhone 14 Pro」のカメラが振動する問題を修正 (CNET, 9/26)。iOS 16 のアップデートについて (Apple) では 「このアップデートには以下のバグ修正とiPhone用の重要なセキュリティアップデートが含まれます」とされているが、 Apple セキュリティアップデート (Apple) では「このアップデートには CVE の公開エントリがありません」とされている。
関連: iOS 16にアップデートしたあとバッテリーの消耗が激しくなったと複数ユーザーが報告 (gigazine, 9/26)
》 【重要】ジブリパークスタッフエントリーシステムをご利用された皆様へ (テツコーポレーション, 9/24)。「弊社に対しては、翌日本件に関して金銭の要求がなされております」。ランサムウェアでしょうか。
》 「Windows 11 バージョン 22H2」でゲームのパフォーマンスが低下 ~NVIDIAが対策を実施 (窓の杜, 9/26)
》 「人間扱いしていない」植松死刑囚と同じ体質だった、もう一つのやまゆり園 虐待疑いや不適切な対応が横行、職員76人が関与 (共同通信 / Yahoo, 9/20)
調査委員会が「虐待が疑われる」とした中には「居室の天井が便まみれとなった環境で生活させていた」というケースもあった。自分の大便を部屋の天井に投げ付けるという行動をする30代男性入所者がいて、掃除がきちんとされていなかったという。
委員の一人はこう話す。「部屋を見たとき、そのひどさにがくぜんとした。でも、もっと問題だと思ったのは、アンケートでこの部屋の状況を指摘する職員が1人もいなかったことだ。誰もおかしいと思っていなかったことを示している」
取材では「行動障害がある人は、実は1人暮らしの方が落ち着くのではないか」という指摘をたびたび聞いた。だが、それを支える地域でのサービスが圧倒的に足りない。だから親は「施設に入れるしかない」と思ってしまう。この構造から脱しないと、中井やまゆり園と同じことは今も起き、これからも起きてしまうだろう。
関連:
県立中井やまゆり園における利用者支援外部調査委員会調査結果等について (神奈川県, 9/5)
神奈川県立の障害者施設、虐待疑い25件 肛門にナット・水に塩混入 (朝日, 9/5)
続発する介護施設での虐待事案と限界まで追い込まれる介護職の厳しい現実 (NEWS ポストセブン, 9/25)
》 「Firefox 105」のちょっとした仕様変更が不評、開発チームが撤回 (窓の杜, 9/26)。105.0.1 だそうです。
》 110番で動画も送れるように 警察庁が「映像通報システム」をテスト運用へ (ITmedia, 9/23)
110番に通報すると、電話口の担当者から通報者に映像などの送信が可能かを尋ねる。通報者の承諾が得られると、SMSでワンタイムURLを送信。担当者から口頭で伝えられるアクセスコードを入力することで、システムにログインできる。
ログインすると、スマートフォンのカメラが起動し、リアルタイムで映像を送ることができる。
関連: 110番映像通報システムの試行運用の開始について (警察庁, 9/22)
》 京都大学がオープンコースウェアの閉鎖を撤回、タスクフォースも設置し積極路線へ (やじうま Watch, 9/22)。朗報。
》 TELEC、Wi-Fi 6Eの6GHz帯、および自動車内の5.2GHz帯無線設備に関する技術基準適合証明、および工事設計認証業務を開始 (Internet Watch, 9/26)
》 申し入れが功を奏した? インボイス制度の事業者公表サイト、一覧のダウンロードを停止 (やじうま Watch, 9/26)。インボイス制度の問題点はそこだけではないわけですが。
》 出どころ不明のGIF画像に注意、Microsoft Teamsを狙った新たな攻撃方法が見つかる (やじうま Watch, 9/20)。まあ、出所不明な何かは常に注意すべきなわけですが。
「Foxit PDF Reader 12」の日本語版が更新 ~リモートコード実行の脆弱性などを修正 (窓の杜, 2022.09.16)。Foxit PDF Reader 12.0.1 日本語版だそうです。
いずれも Squid 5.7 で修正されている。また Squid 4 / 5 用の patch が用意されている。
Fwd: [ADVISORY] SQUID-2022:1 Exposure of Sensitive Information in Cache Manager (oss-sec ML, 2022.09.23)
Fwd: [ADVISORY] SQUID-2022:2 Buffer Over Read in SSPI and SMB Authentication (oss-sec ML, 2022.09.23)
》 《日経バイオテクから》新型コロナで実力発揮、mRNAワクチンはなぜ効いたのか? Part.4 続々と開発中、COVID-19へのmRNAワクチン (日経メディカル, 9/22)。第一三共の DS-5670 はこんな感じ:
》 令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について (警察庁, 9/15)
》 【試し読み】「Qアノン」はなぜ日本でも浸透しているのか? 黒幕の実像に迫ったルポ/藤原学思『Qを追う 陰謀論集団の正体』 (朝日新聞出版さんぽ / note, 9/16)。 朝日新聞の連載記事 「Qを追う 陰謀論集団の正体」 を書籍化。 9/20 まで全文公開されていたみたい (今気がついた)。
》 空自、独空軍と百里基地で9/28共同訓練 ユーロファイターなど6機飛来 (Aviation Wire, 9/20)。「共同訓練には、百里基地の第7航空団に所属するF-2戦闘機3機と、ドイツ空軍の3機が参加予定。編隊航法訓練を実施する」。
関連: 無茶な! ドイツ空軍「24時間以内にアジア展開」訓練の裏側 軍用機13機で1万km彼方へ 脱落も (乗りものニュース, 9/12)。「ラピッド・パシフィック2022」。 日本への展開も、途中までは似たようなルートになるのかな。
この訓練では6機のユーロファイター戦闘機を中心に、A400M輸送機4機とA330MRTT空中給油・輸送機3機を支援機として同時に派遣
百里での共同訓練では「3機のユーロファイター2000のうち1機に中将が搭乗し、A330 MRTTとA400M輸送機、A321政府専用機が各1機ずつの計6機が27日に飛来」だそうなので、 「ラピッド・パシフィック2022」のような緊急展開ではないのかな。
》 ミュージシャンが報われないのはSpotifyが買い叩いてるせい? それともレコードレーベルが強欲だから? (p2ptk.org, 9/20)
果たして、Spotifyが買い叩いているのか、それともビッグ3のレコード会社が強欲なのか。だが、Spotifyが買い叩いていて、かつ、ビッグ3が貪欲だとしたら? Spotifyとレーベルが結託して「才能あるクリエイター」から搾取しているのだとしたら? この2つの独占主義者はいずれもアーティストにとって望ましい存在ではなく、我々がどれほど彼らを愛したとしても、彼らはその愛を返してくれることはないのではないのか?
これが『チョークポイント資本主義』第5章のテーマである。
関連:
『チョークポイント資本主義』:クリエイターを搾取し続けるテック業界とコンテンツ業界の独占的支配 (p2ptk.org, 9/11)
いかにしてビッグテックはクリエイターから搾取しているのか――Amazon Audibleの場合 (p2ptk.org, 9/16)
コリイ・ドクトロウの新刊はビッグテックや巨大メディアの権力へのクリエイターの対抗を呼びかける「チョークポイント資本主義」 (YAMDAS現更新履歴, 8/29)
めっちゃ読みたいな。
》 1.1.1.1:パブリックDNSへのブロッキング命令に抗うCloudflare (p2ptk.org, 9/18)
》 EAがカーネルレベルのアンチチートツールを「FIFA 23」で導入 (gigazine, 9/14)
》 SSDの故障率をまとめた統計データ「メーカー・モデル別統計データ2022年中間レビューSSD版」をBackblazeが公開 (gigazine, 9/14)
》 Google ChromeとMicrosoft Edgeで機密性の高い情報が拡張スペルチェック機能経由で外部サーバーに送信されている (gigazine, 9/20)。拡張スペルチェック機能を使わないことで回避できる。
》 Uberが内部システムへの侵入を許したハッキング被害の詳細を報告、「GTA6」の映像をリークしたハッカーが関与か (gigazine, 9/20)
》 「胸を触り、キスを強要」被害女性は骨折 ENEOS会長、電撃辞任の理由は性加害だった (デイリー新潮 / Yahoo, 9/21)。オフィシャル:
代表取締役の異動(辞任)に関するお知らせ (ENEOS ホールディングス, 8/12)。「一身上の都合による」。
当社元会長に関する一部報道について (ENEOS ホールディングス, 9/21)
人権尊重、コンプライアンス徹底を経営の最優先事項と位置付けているにもかかわらず、今回の一部報道にあるとおり、元会長自らがこれに背く行為を行ったことは、極めて遺憾です。
(中略)
当社は、被害を受けられた方から一報を受けた後、ただちに、社長指揮の下で事実関係の調査を行い、元会長が不適切な言動に及んだと判断し、社長から辞任を求めました。元会長も深い反省を示し辞任届を提出したことから、当社取締役会は、これを受け入れることとしたものです。
》 Google Playで障害か プロセカや原神など「有料アイテム購入しないで」の投稿相次ぐ (ITmedia, 9/21)。Google からは何の案内もないものの、各種ゲームベンダーから案内が出ていると。
関連:
アイアンサーガさんが不具合解消と 12:00 にツイートしている。 他でも同様なのかは不明。
【不具合解消のお知らせ】
— 機動戦隊アイアンサーガ公式 (@ironsaga_staff) September 21, 2022
Google Playの決済システムが復旧しましたことをお知らせいたします。
ご利用のお客様に、ご不便、ご迷惑をおかけしましたことを深くお詫び申し上げます。#アイサガ #アイアンサーガ
》 Oracle、「Java 19」を発表 ~より軽量な「仮想スレッド」をプレビュー導入 (窓の杜, 9/21)。LTS ではない。
》 【速報】「Windows 11 2022 Update」の一般提供が開始 ~初の大型アップデート (窓の杜, 9/21)。22H2、Windows 11 の方が先に来ましたか。 1 回目なのに 22H2 とはこれいかに。
関連:
「Windows 11 2022 Update」における既知の問題は2件 ~不具合まとめ (窓の杜, 9/21)
Windows compatibility with Symantec Endpoint Protection clients (broadcom)。まだ更新されてない。 手元の Windows 11 22H2 では SEP 14.3 RU5 が問題なく動作しているっぽいけれど。
BIN3 9.16.33 / 9.18.7 / 9.19.5 が公開されています。 セキュリティ修正を含みます。
On 21 September 2022 we (Internet Systems Consortium) disclosed six vulnerabilities affecting our BIND 9 software:
- CVE-2022-2795: Processing large delegations may severely degrade resolver performance https://kb.isc.org/docs/cve-2022-2795
- CVE-2022-2881: Buffer overread in statistics channel code https://kb.isc.org/docs/cve-2022-2881
- CVE-2022-2906: Memory leaks in code handling Diffie-Hellman key exchange via TKEY RRs (OpenSSL 3.0.0+ only) https://kb.isc.org/docs/cve-2022-2906
- CVE-2022-3080: BIND 9 resolvers configured to answer from stale cache with zero stale-answer-client-timeout may terminate unexpectedly https://kb.isc.org/docs/cve-2022-3080
- CVE-2022-38177: Memory leak in ECDSA DNSSEC verification code https://kb.isc.org/docs/cve-2022-38177
- CVE-2022-38178: Memory leaks in EdDSA DNSSEC verification code https://kb.isc.org/docs/cve-2022-38178
CVE-2022-38177 は BIND 9.16 まで。CVE-2022-2881 / CVE-2022-2906 は BIND 9.18 以降。
CVE-2022-2795、CVE-2022-2881 は Medium / Remotely、 CVE-2022-2906、CVE-2022-3080、CVE-2022-38177、CVE-2022-38178 は High / Remotely。
Notes for BIND 9.16.33 (ISC)
Notes for BIND 9.18.7 (ISC)
Note for BIND 9.19.5 (ISC)
出ました。
Firefox 105 がリリースされた (mozillaZine, 2022.09.21)
Firefox for Android 105 がリリースされた (mozillaZine, 2022.09.21)
Thunderbird 102.3.0 がリリースされた (mozillaZine, 2022.09.21)
Firefox 105.0.3 公開。Avast / AVG 環境でのクラッシュに対応。
Firefox 105.0.3 がリリースされた (mozillaZine, 2022.10.08)
Windows: Avast あるいは AVG のアンチウイルスソフトをインストールした環境で頻繁にクラッシュする問題を修正 (bug 1794064)
Avast/AVGが原因で「Firefox」のクラッシュが多発 ~「Firefox 105.0.3」で緊急対応 (窓の杜, 2022.10.11)
これはアンチウイルスソフト「Avast」や「AVG」のDLLに起因する問題で、MozillaのWindows用ツールに同梱されているMercurial実行可能ファイルがランサムウェアと判定されてしまっていたようだ。
開発チームによると、当該DLLをブロックリストに追加することで問題は軽減されたとのこと。これを機に「Avast」「AVG」のアンインストールも検討してほしいとしている。
お、ぉぅ。
Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)
Thunderbird 91.13.1 が公開されています。セキュリティ修正を含みます。
Thunderbird 91.13.1 がリリースされた (mozillaZine, 2022.09.20)
》 JPCERT/CC、フィッシングサイトのURLデータセットを公開、GitHubレポジトリで (Internet Watch, 9/16)
》 【恐山】ケータイは3カ月、パソコンは6カ月で故障 「ブラタモリ」でも話題の恐山を住職代理が解説 (デイリー新潮, 9/15)。過酷な環境。
》 函館地区オールトヨタ クルマファンFES (9/18) のカート体験イベントで死亡事故発生
函館地区オールトヨタ クルマファンFES (ehako.org)。「関連ブックマーク」はどちらも消えている。
【2022/9/18】車を販売しない車のイベント「函館地区オールトヨタ クルマファンFES」(森町) (函館イベント情報局)。404。 魚拓。
2022オールトヨタイベント | 〈公式〉函館トヨタ (函館トヨタ)。404。 Google キャッシュ、 魚拓
トヨタ。今回の件に関する記述は何もないっぽい。
函館トヨタ。今回の件に関する記述は何もないっぽい。
函館トヨペット。 今回の件に関する記述は何もないっぽい。
報道
森町 ゴーカートが突込み 2歳男児が意識不明の重体 (NHK, 9/18)
11歳女児のゴーカート、高速コース外れ見物客に突っ込む…男児3人搬送され2歳児が重体 (読売 / Yahoo, 9/18)
子どものゴーカートが事故、男児1人意識不明 トヨタ系販社イベント (朝日, 9/18)
ゴーカート事故、時速40キロで突っ込む? 主催のトヨタ系販社謝罪 (朝日, 9/18)
速報 ゴーカート事故 治療を受けていた2歳男児が死亡 観客守るクッションない場所で事故 森町 (TBS, 9/19)
事故を起こしたゴーカート(レーシングカート)は、イベントのために用意されたもので、排気量は200ccのものでした。
「ヒーローごっこ好き」ゴーカートにはねられ死亡の2歳男児…母親は声詰まらせ「痛かったかな」 (読売, 9/20)。トヨタの文字なし。
【重体の2歳児死亡】「パニックに…」ゴーカート事故 安全管理に問題は? (STV / Yahoo, 9/19)。 事故対策に不備があったことは明らか。 モータースポーツ体験イベントなのに。
(函館トヨペット 坂上裕一 車両企画部長)「ピットインすることで低速になる場所だったので、フェンスがない場所」
(新千歳モーターランド 九谷田聡・常務)「安全対策は取っていたが予期せぬことになった」
いやいや、観客の防護がまるでできてない手抜きサーキットだったわけで。 防護できてないから、 暴走カートが観客につっこんで死傷者が発生したわけで。
》 「Google Chrome」は独自のルートストアへ ~「Chrome Root Program」の開始が発表 (窓の杜, 9/20)。 Firefox が独自でやってたと思うけど、 Chrome もそうなると。
ネタ元: Announcing the Launch of the Chrome Root Program (Chromium Blog, 9/19)
The Chrome Root Store and Certificate Verifier began rolling out on Windows and macOS in Chrome 105, with other platforms to follow.
Testing ahead of the rollout described above is possible on Windows and macOS using these instructions.
まずは Windows 版と macOS 版の Chrome 105 系列ではじめると。 起動オプション --enable-features=ChromeRootStoreUsed をつけると、この機能をテストできると。
》 「iPhone 14」をiFixitが分解 「数年に1度の大改善」と高評価 (ITmedia, 9/20)。修理しやすさが大幅に向上。 「iPhone 14は前面だけでなく、背面も簡単に開けるようになった」そうで。
》 労働者の賃金「~ペイ払い」に異議あり (渡辺輝人 / Yahoo, 9/16)
将来的に解消する可能性はあるにせよ、そもそも利用場面が大幅に制限され、サービス利用者や店舗の手数料が高く、~ペイの規格が乱立し、~ペイ同士で相互に等価交換もできないサービスを、通貨による賃金支払いと同視するのは、現状では不可能だと考えます。また、サービスを利用するのに携帯端末の存在が前提になり、その契約の維持、端末の維持管理が労働者の自己責任となるのも通貨による支払いとの大きな違いです。
そして、これらの点をクリアしなければ、他の点の利便性をいくら上げ、欠点を補っても、労働基準法24条1項違反になり、施行規則をいかに改正しても、元々の法律に違反して無効だと思います。
》 《岩田明子氏が事件後初執筆》安倍晋三“暗殺前夜”の電話で口にした統一教会問題「私自身は…」 (文春オンライン / Yahoo, 9/16)。安倍様の NHK を代表する「記者」。 なんてったって、安倍晋三が直接電話してくるんだぜ。
》 1500円のニセAirPodsを分解してわかった中国半導体産業の進化 (FabCross, 9/1)
一方でJieLiは、ファブレスのチップ設計会社。もともと設計済みのチップを代理店経由で大量販売しているが、納入先ごとに設計を修正して最適化したチップを納入することも多い。
そういう大量購入の場合は、型番を分けることがほとんどだ。日本企業同士のやりとりでも、たとえば「車載用に熱関係のテストを追加した」など、特殊な用途向けに型番を変えたチップを納入することはある。
そうした型番が変更されたチップの多くは、契約時に再販が禁止されている。しかし、製造時の予備が余った場合やプロジェクト中に条件が変わった場合など、さまざまな理由で「手っ取り早く現金化したい」ときはある。そして、そうしたチップの受け皿になっているのが、今回のニセAirPodsのようなニセモノ製品だと考えられる。
》 Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける (gigazine, 9/16)
》 参院選前、旧統一教会系応援希望アンケート 自民議員らに配布 (毎日, 9/15)。うへえ。ズブズブじゃん。
》 【全文公開】旧統一教会が韓国の新聞13紙で展開した“反撃広告”「安倍元首相を絶対に忘れません」 (NEWS ポストセブン, 9/16)
在ソウルジャーナリストの柳錫氏が語る。
「この意見広告は韓国の新聞13紙に掲載されました。日本でいう朝日、読売のような伝統ある全国紙から、新興のところまで網羅していました。これほどの数の全面広告は韓国でも見たことがなく、費用も相当かかっているはず。声明文では献金は自発的なものだと強調していますが、そうしたお金がこの広告費に充てられている可能性も否定できない。この意見広告については私が見る限りでは韓国で報道もされていませんし、あまり話題にもなっていません」
統一教会にとって安倍晋三がいかに重要人物だったか、ということだよなあ。
》 “なぜ自分に?”安倍元総理の国葬 案内状届いた人の中には戸惑いの声も…出欠めぐり野党対応分かれる (TBS, 9/16)。にせ国葬のグダグダっぷり、すさまじい。
関連: 速達で届いた国葬の案内状 政府ドタバタ、職員「右手が痛い」 (朝日, 9/15)
》 あふれるコロナ死の遺体、火葬待ちの列 第7波の安置所の一日 (朝日, 9/5)。記事が描くのは「8月中旬、首都圏」。 データからわかる-新型コロナウイルス感染症情報- (厚生労働省) で見ると、8/中〜末あたりが死者数のピークのようだ。
日本語版は途中から有料だが、英語版は無料で読める: Bodies stacking up at mortuaries as COVID-19 deaths surge (Asahi Shinbun, 9/5)
》 ロシアからのSQLインジェクションが急増 9月4日だけ平均の3倍 (ITmedia, 9/13)
》 既存のWi-Fi 6E対応機、ファーム更新などでは国内利用できないことが判明 (PC Watch, 9/16)。こういう状況を想定していませんでしたということかな。法の不備だよね。 技適通過後に、 既出荷分にも遡及適用できるように法改正すればいいわけだよね。 とっとと国会開いて法改正しようぜ。
》 「Windows 10 バージョン 21H1」のサービス終了まであと3カ月 ~Microsoftが注意喚起 (窓の杜, 9/15)。22H2 はいつ正式版になるんだろう。
》 「○○ペイ」で給与支払い可能に 残高上限100万円、厚労省方針 (朝日, 9/13)。関連:
ツイート
「『○○ペイ』で給与支払い可能になれば便利そうなのに、なぜそんなに懸念してるんですか?」
— 新田 龍(ブラック企業アナリスト) (@nittaryo) September 14, 2022
「決済業者の破綻リスクとか、口座引落の公共料金がデジタル対応してないとかいろいろありますが、やはり第一は、ブラック企業が『自社グループ内でしか使えない独自ペイで払う』と言い出す危険性ですね」 pic.twitter.com/xnoIneoKBA
》 次世代グラボ向け12VHPWRコネクタに安全上の懸念。PCI-SIGが警告。GeForce RTX 4000シリーズのハイエンドモデルやRTX 3090 Tiなどに影響か [Update 1] (ニッチなPCゲーマーの環境構築Z, 9/12)。詳細不明だが、
WCCF TECHの独自調査によると、8ピン x3 → 12VHPWR変換コネクタ使用時に、1つの8ピンコネクタだけに負荷が偏るそうです。
》 「家族もクズや」覚えのない強盗、罵倒する刑事 救ったオカンの眼力 (朝日, 9/15)。また大阪府警か。
裁判は大阪地裁岸和田支部で開かれた。出廷したコンビニ店員は土井さんを指し、「この人が犯人です」と証言した。
(中略)
判決後、法廷で証言したコンビニ店員に会った。店員は証言についてわび、こう明かした。
証言の直前、検事から「あの人が犯人ですと言って、日当をもらって帰ってくれたらいい」と言われた――。
偽造・捏造あたりまえ。これが警察・検察の実態ですか。 全部可視化しないとなくならないでしょ。
Chrome 105.0.5195.125 (Mac 版 / Linux 版) および 105.0.5195.125/126/127 (Windows 版) 公開。 11 件のセキュリティ修正を含む。
Apple 方面 (iOS / iPadOS 15.7, iOS 16, macOS 12.6 / 11.7, Safari 16) (2022.09.13)
iOS 16 不具合事例:
「iOS 16にアプデしないで」 プロセカなどリズムゲームが注意喚起 タップの仕様変更でプレイしにくく (ITmedia, 2022.09.14)
2022 年 9 月のセキュリティ更新プログラム (月例) (2022.09.14)
「ロール: DNS サーバー」はこちら。DoS だそうです。
Windows DNS サーバーのサービス拒否の脆弱性 CVE-2022-34724 (Microsoft, 2022.09.13)
Microsoft Office はこちら。Mac 版も対象です。
Microsoft PowerPoint のリモートでコードが実行される脆弱性 CVE-2022-37962 (Microsoft, 2022.09.14 更新)
》 「Twitterのセキュリティチームには中国の工作員がいる」「経営陣は安全より利益を重視」などを内部告発者が議会で証言 (gigazine, 9/14)
》 VirusTotal Result Comparisons for Honeypot Malware (SANS ISC, 9/12)
》 アメリカ軍が「国家に危険をもたらすUFO映像」の存在を認める (gigazine, 9/12)
》 フロッピーディスク販売の最後の砦とも呼ばれる人物へのインタビューが公開中 (gigazine, 9/14)
パキスタン 洪水で約1400人犠牲 浸水解消に半年も 長期化懸念 (NHK, 9/13)
パキスタン洪水、国連総長が国際支援呼びかけ 「世界的危機」 (ロイター, 9/12)
パキスタン「国の3分の1冠水」 泥の家、目の前で崩れた (朝日, 9/14)
2022年パキスタン洪水救援金 (日本赤十字)
パキスタンの洪水被害 気候変動が自然災害を悪化させている (グリーンピース・ジャパン, 9/7)
》 ウクライナ国防省が「柴犬兵士」の雑コラに感謝を表明? 注目される「NAFOの戦争」とは何か (石動 竜仁 / 文春オンライン, 9/3)、 NAFO (集団) (ウィキペディア)
》 NIST SP 800-90C(ドラフト)ランダムビット生成器(RBG)の構成に関する推奨事項(第3ドラフト)とNISTIR 8427 (ドラフト) SP 800 90 シリーズの完全エントロピーの仮定に関する考察 (まるちゃんの情報セキュリティ気まぐれ日記, 9/10)
》 インド データセキュリティ評議会「IoTセキュリティガイド」と「IoTセキュリティ・ベストプラクティス」(2022.08.24) (まるちゃんの情報セキュリティ気まぐれ日記, 9/9)
Adobe Experience Manager / Bridge / InDesign / Photoshop / InCopy / Animate / Illustrator が対象だそうです。いずれも Priority: 3。
Zero-day in WPGateway Wordpress plugin actively exploited in attacks (bleeping computer, 2022.09.13)
出ました。 2022 年 9 月のセキュリティ更新プログラム より、対象一覧:
0-day は 2 件、内 1 件は攻略プログラムも出回っている。
Windows Common Log File System Driver Elevation of Privilege Vulnerability CVE-2022-37969 (Microsoft, 2022.09.13)。攻略プログラムが出回っている方。
Arm: CVE-2022-23960 Cache Speculation Restriction Vulnerability (Microsoft, 2022.09.13)。攻略プログラムが出回っていない方。ARM の CPU の欠陥。 Spectre-BHB。 影響対象は Windows 11 for ARM64-based Systems のみ。
Critical は 5 件:
Microsoft Dynamics
Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability CVE-2022-34700 (Microsoft, 2022.09.13)。Less Likely。
Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability CVE-2022-35805 (Microsoft, 2022.09.13)。Less Likely。
Windows Internet Key Exchange (IKE)
Windows Internet Key Exchange (IKE) Protocol Extensions Remote Code Execution Vulnerability CVE-2022-34721 (Microsoft, 2022.09.13)。Less Likely。
Windows Internet Key Exchange (IKE) Protocol Extensions Remote Code Execution Vulnerability CVE-2022-34722 (Microsoft, 2022.09.13)。Less Likely。
IKEv1 で RCE。IKE ではこの他に、 Windows Internet Key Exchange (IKE) Extension Denial of Service Vulnerability CVE-2022-34720 (Microsoft, 2022.09.13) がある。
Windows TCP/IP
Windows TCP/IP Remote Code Execution Vulnerability CVE-2022-34718 (Microsoft, 2022.09.13)。 IPv6 + IPSec の場合に RCE が発生。IPv6 を無効化することで回避できる。 More Likely。
Service Stack Update (SSU):
Latest Servicing Stack Updates ADV990001 (Microsoft)。以下が更新されている:
関連:
【Windows10】 WindowsUpdate 2022年9月 不具合情報 - セキュリティ更新プログラム KB5017308 (ニッチなPCゲーマーの環境構築Z, 2022.09.14)
【Windows11】 WindowsUpdate 2022年9月 不具合情報 - セキュリティ更新プログラム KB5017328 (ニッチなPCゲーマーの環境構築Z, 2022.09.14)
【Windows8.1】 WindowsUpdate 2022年9月 注意事項と各KBメモと直リンク KB5017365 / KB5017367等 (ニッチなPCゲーマーの環境構築Z, 2022.09.14)
今日(9/14 JST)は恒例、Windows Update の日 (2022-09 B) (山市良のえぬなんとかわーるど, 2022.09.14)
Microsoft September 2022 Patch Tuesday (SANS ISC, 2022.09.13)
Microsoft September 2022 Patch Tuesday fixes zero-day used in attacks, 63 flaws (bleeping computer, 2022.09.13)
「ロール: DNS サーバー」はこちら。DoS だそうです。
Windows DNS サーバーのサービス拒否の脆弱性 CVE-2022-34724 (Microsoft, 2022.09.13)
Microsoft Office はこちら。Mac 版も対象です。
Microsoft PowerPoint のリモートでコードが実行される脆弱性 CVE-2022-37962 (Microsoft, 2022.09.14 更新)
不具合情報:
グループポリシーによるファイルのコピーに問題 ~「Windows 11 バージョン 22H2」にも影響 (窓の杜, 2022.09.27)
Windows Kerberos Elevation of Privilege Vulnerability CVE-2022-33647 (Microsoft) および Windows Kerberos Elevation of Privilege Vulnerability CVE-2022-33679 の詳細解説:
RC4 Is Still Considered Harmful (Google Project Zero, 2022.10.27)
》 iPhone 14で注目集める「スマホと衛星の“直接通信”」 急速に実用化が進む背景とは (ITmedia, 9/13)
》 接触確認「COCOA」終了へ 感染者全数把握見直しに伴い (ITmedia, 9/13)。えっ。
》 【開催報告】2022年度人工知能学会全国大会「AIによるクリエイティビティと著作権」 (人工知能学会 倫理委員会, 6/21)
》 原発で3カ月にトラブルや不具合9件、放射性物質含む水の漏えいも 関西電力「再度安全最優先を徹底する」 (福井新聞 / Yahoo, 9/1)。ヒヤリ・ハットで済んでいるうちに手を打たないと、東電のようなことになる。
》 What's new for Symantec Endpoint Protection 14.3 RU5? (Broadcom)
14.3 RU5 is the last version that supports 32-bit Windows clients.
32bit 版 Windows のサポートは SEP 14.3 RU5 で終了なのですね。今気がついた。
トレンドマイクロ Trend Micro Apex One 2019 および Apex One SaaS に、0-day を含む複数のセキュリティ欠陥。管理コンソールにログインできる攻撃者が任意のコードを実行できる、ログイン認証を回避できる、等の影響がある。
Trend Micro Apex One 2019 Service Pack 1 (build 11092)、 および Apex One SaaS 8月メンテナンスで修正されている。
参照情報
Trend Micro's Zero Day Initiative Published Advisories :
・ZDI-CAN-16314
・ZDI-CAN-16691
・ZDI-CAN-16435
JPCERT/CC および Japan Vulnerability Notes (JVN) :
・JVN#36454862
関連:
UPCOMING ADVISORIES (ZDI)。ZDI-CAN-* はこちらから。詳細はわからないんだけど。
JVN#36454862 Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性 (JVN, 2022.09.13)
0-day ではないようです。
Kernel の欠陥
CVE-2022-32917
が 0-day でした。
About the security content of iOS 15.7 and iPadOS 15.7 (Apple, 2022.09.12)
About the security content of iOS 16 (Apple, 2022.09.12)。iPhone 8 以降。
macOS / Safari:
About the security content of macOS Monterey 12.6 (Apple, 2022.09.12)
About the security content of macOS Big Sur 11.7 (Apple, 2022.09.12)
About the security content of Safari 16 (Apple, 2022.09.12)。Monterey / Big Sur のみ。macOS Ventura 13 がそろそろ出ますかね。
watchOS 9 と tvOS 16 も公開されており、どうやらセキュリティ修正を含みそう。 https://support.apple.com/en-us/HT201222 では「details available soon」となっています。
iOS 16 不具合事例:
「iOS 16にアプデしないで」 プロセカなどリズムゲームが注意喚起 タップの仕様変更でプレイしにくく (ITmedia, 2022.09.14)
》 大阪ワクチン開発断念とアンジェスの闇 (八木啓代のひとりごと, 9/9)
なにより、アンジェスは 2019年12月期売上3億2千6百万円、営業利益 マイナス32億7千万円 経常利益 マイナス32億9千3百万円、2020年度第一四半期にいたっては、わずか3ヶ月で前年度比で売上高マイナス92.4% 経常利益がマイナス9億円というとんでもない赤字会社だった。
(中略)
このような、実質的な実績が皆無に近いうえ、感染症や免疫疾患はまったく未経験であり、さらに、財務状況がきわめて不健全な会社でのワクチン開発だったわけだ。言うまでもなく、ワクチン開発の実績も皆無。しかし、この発表で、同社の株価は倍以上に上がった。その後もテレビなどでの露出のたびに、株価は劇的に上がっていく。
具体的には、このコロナワクチン開発発表で株価は、2月の最安値388円から4月の会見以来、爆上がりとなり、6月18日には2324円と6倍となった。
そして、今年、8月18日、森下寄付口座教授・内閣府健康・医療戦略推進事務局健康・医療戦略参与は、安倍晋三元首相の訃報に際し、日本最大級の医療従事者専用サイトm3に、安倍氏の功績を賛美する記事の緊急寄稿をおこなった。
ここで、(慶応医師団が実質的に否定している)安倍氏の潰瘍性大腸炎なる病名が、森下教授が出演するラジオ番組で初めて公表されたことを明かすと共に、「再生医療に関しても、2014年の医薬品医療機器等法(薬機法)改正により、画期的な期限付き・条件付きで早期に承認する制度を創設した」、健康食品の機能性表示の解禁(トクホが消費者庁の承認を必要とするのに対し、事前届出制で消費者庁の承認なしに保健機能の表示ができるようになった)など、安倍氏の功績を絶賛。
(中略)
森下寄付口座教授は、この追悼文を、「健康医療政策を福祉でなく成長戦略と捉えた点に、安倍政権での特徴があった」と結んでいるが、まさに、医療を「国民のための福祉」ではなく、「利益供与・金儲けのネタ」と捉えていたのが、安倍&森下コネクションということだろう。
(中略)
その挙げ句、今年の9月7日になって、コロナワクチンの開発断念を正式発表したというわけだ。
なお、アンジェスは、JRCT(臨床研究等提出・公開システム)への登録内容を今年の6月に変更し、この計画によれば2022年3月31日に試験は終了しているはずであるのに、進捗状況は「募集終了」のままで終わっている。計画変更なら倫理委員会からやり直す必要があるはずなので、試験自体をやっていないのではないかという疑惑も表明されていることも付記しておく。
一つ言えることは、ワクチン開発を断念した以上、そこにもう実験データに関しての企業秘密はあり得ない。多額の公金を補助金として受け取っている以上、どのような研究・治験が行われたのか、その具体的なデータ、莫大な資金の使途が開示、監査されるべきだろう。
アンジェス、維新案件かつ安倍案件だったのか。維新は結局、自民党の成れの果てなんだよな。
》 サードパーティソフトウェアからのクレデンシャル収集 (paloalto networks unit42, 9/8)
》 Linux標的の新マルウェア「Shikitega」 「Shikata Ga Nai」でステルス攻撃 (ITmedia, 9/12)、 Shikitega - New stealthy malware targeting Linux (AT&T, 9/6)
大学院司法研究科教授が論文盗用
研究活動上の不正行為に関する調査結果について (同志社大学, 9/9)
同志社大の司法研究科教授が論文盗用 「ネット上の学生の文章に著作権はないと誤解」 (ITmedia, 9/9)
アメフト部員が女性を泥酔させレイプ
本学学生の逮捕報道について (同志社大学, 9/8)
【速報】同志社大学が謝罪「極めて深刻な事態」バーで声掛けした『女子大生』に酒飲ませ自宅連れ込み性的暴行疑い…強豪・同志社大アメフト部「ワイルドローバー」部員4人を逮捕 京都府警 (MBS / Yahoo, 9/8)
女子大生へ"性的暴行”「スマホのカメラで撮影」も 部員4人逮捕の同志社大アメフト部『無期限活動停止』 (関西テレビ / Yahoo, 9/9)
《同志社アメフト部性的暴行》「残念を通り越して…悲しい」容疑者の祖父も肩を落とす、エリート学生が傷つけた女性と自分の将来 (文春オンライン, 9/10)
》 富士通の“政府認定クラウド”が再監査に (ITmedia, 9/9)
》 「自分も加害者だったんじゃないか」ライムスター・宇多丸に聞く、映画が問い直してくれる問題 (Yahoo! JAPAN SDGs, 8/30)
》 北朝鮮に盗まれた約40億円相当の仮想通貨を取り返すことに成功 (gigazine, 9/12)、 $30 Million Seized: How the Cryptocurrency Community Is Making It Difficult for North Korean Hackers To Profit (Chainalysis, 9/8)。Lazarus Group との戦い。
》 海に戻るのは適切だったのか? 巨大な単胴船となるイージスアショア代替艦と極超音速兵器に対応する必要性 (JSF / Yahoo, 9/1)
8月31日に発表された概算要求でイージスシステム搭載艦(イージスアショア代替艦)の項目で、極超音速滑空兵器(HGV)対策を強調している理由はおそらくこのためです。(中略) 完全に結果論ですが、2カ所で日本全土を防空するイージスアショア計画を中止して海上移動式の迎撃システムで代替するのは適切だったと言えるかもしれません。
しかしそうなると数が必要なはずなので、SPY-7 + 巨大艦というのは正直どうなのか。
》 ウクライナ軍、ハルキウ州のオスコル川以西全域を奪還 (9/11)
Maps: Tracking the Russian Invasion of Ukraine (NYTimes, 9/11)
New Front Line Set Farther East After Ukrainian Blitz (NYTimes, 9/12)
RUSSIAN OFFENSIVE CAMPAIGN ASSESSMENT, SEPTEMBER 11 (ISW, 9/11)。ISW のサイトはかなり重くなっている模様。
ウクライナ軍がハルキウ州で大突破に成功:戦車と装甲車の機甲部隊が価値を証明 (JSF / Yahoo, 9/11)
ロシア兵士、軍服捨て私服姿で逃走か 東部ハルキウ州 (CNN, 9/11)
ウクライナ軍、東部ハルキウ州で「東京都の1・4倍」奪還…露軍「敗走」か (読売, 9/12)
ウクライナ軍、北東部で反転攻勢 「20以上の集落解放」 (朝日, 9/12)。図がちょっと古い。
ウクライナ軍イジューム奪還 ロシア軍は急ぎ拠点から撤退 (AP / Yahoo, 9/12)
ロシア国防省、ウクライナ東部要衝ハリコフ周辺の兵士に撤退を命令 元司令官「大きな敗北」 (ロイター / ニューズウィーク日本版, 9/11)
ウクライナ軍最大の攻勢、新しい長距離砲と「お粗末なロシア軍の薄い防衛線」 (ニューズウィーク日本版, 9/12)
Cisco Meraki MR Series Splash Page Insecure Configuration Option (Cisco, 2022.09.07)。Captive portal strength を Allow non-HTTP traffic prior to sign-on に設定するとマズいことに。 Block all access until sign-on is complete に設定するのが良いそうです。
》 新型コロナウイルス感染症(COVID-19)経口治療薬「ラゲブリオ カプセル200mg」一般流通開始日のお知らせ (MSD, 9/8)。ようやく安定して入手できるようになったようです。 妊娠している (可能性のある) 人には使えない薬です。
新型コロナ治療薬「モルヌピラビル」今月16日から国内で一般流通 (日テレ, 9/9)
薬価は、1カプセル約2357円で、4カプセルを1日2回、5日間服用するため、1人あたりの治療で総額9万4312円となりますが、今後も全額公費負担となるため患者の自己負担はありません。
5類になったら、そうはいかないよ。
コロナ飲み薬、16日から一般流通 米メルク製、軽・中等症対象 (毎日, 9/8)
》 あの「音の正解」はこれだった!上野駅「エキマトペ」で耳の聞こえない人が感動 (おたくま経済新聞, 9/9)。関連:
プロジェクトチーム
富士通株式会社, 東日本旅客鉄道株式会社, 大日本印刷株式会社 (DNP)
特別協力
川崎市立聾学校
システム協力
FUJITSU PRIMEHPC, FUJITSU Software LiveTalk, DNP感情表現フォントシステム
富士通 + JR東 + DNP ですか。
電車の通過音はビューン?ヒューン?音が見えると… (NHK, 9/6)
》 幼稚園バス3歳児置き去り死、防ぐには? 「スクールバス王国」アメリカ 安全策は意外にアナログ でも確実 (AUTOCAR / Yahoo, 9/8)
アメリカのスクールバス製造会社大手「ICバス」が標準装備している「Leave No Student Behind」(後ろにいる子どもを置き去りにしない)
手順としてはシンプルでメーカー公式の動画で手順が説明されている。
スクールバスの後部安全機能「Leave No Student Behind」について
朝、子どもたちを乗せたバスが学校に到着し子どもたちが降車するのを見届けると、ドライバーはエンジンキーをイグニッションから抜く。
その瞬間からバス内にアラームが鳴り響く(10分以上の走行後のみ)。このアラームを消すためにドライバーはバスの最後部まで歩いてアラームを解除(リセットボタンを押す)する必要がある。
リセットボタンを押す際に最後部まで行く間、一席ずつ確認して子どもが眠ったまま残っていないか? シート下に隠れたりしていないか? 確認しながら歩くことになる。
カメラやセンサーではなく、ドライバーが一席ずつ歩いて子どもたちが車内に残っていないかを確認する。そして、ボタンを押すという作業を最後におこなう。
その後、ふたたび運転席に戻るまで、もう一度シートや車内を確認することもできる。
アナログなシステムではあるが、確実に子どもの置き去りを防ぐことができる。
こちらの動画: Leave No Student BehindAlarm System (IC Bus / YouTube)
関連: School Bus Safety (NIHSA)
》 ウクライナ、クリミア基地攻撃認める ロシアの戦術核使用に懸念 (毎日, 9/8)。サーキ飛行場の件。
》 独原発2基停止延期で混乱、政府と運営企業の見解対立 (ロイター, 9/8)
》 米国防総省、F35戦闘機の新規納入を停止 エンジンに中国製材料 (ニューズウィーク日本版, 9/8)。「エンジンの潤滑油ポンプに使われている合金が、中国製の未承認材料を禁止する米国の調達法に準拠していないことが判明」。
》 「中国寄り」に傾きかけていたインドを、再び怒らせた「正体不明の中国船」騒動 (ニューズウィーク日本版, 9/7)。中国の遠洋測量船「遠望5号」の件。
親ロシアのハッカー集団「KILLNET」、日本政府に宣戦布告 SNSに声明動画を投稿 (ITmedia, 9/8)
mixi、eLTAXが障害から復旧 一部は今もアクセス不良 ロシア支持ハッカー集団「KILLNET」の関与は「調査中」 (ITmedia, 9/8)
Killnetによる国内サイトへの攻撃示唆についてまとめてみた (piyolog, 9/7)
》 Windows 11にサインインできない問題 ~2022年8月プレビューパッチを適用した環境で (窓の杜, 9/8)。Windows 11 + KB5016691 (2022.08 Cリリース) で発生。
新規に「Microsoft アカウント」でユーザーを追加し、最初にサインインするときにのみ発生する。影響範囲はクライアントOS(Windows 11)のみで、サーバーOSには影響しない。
KIR ロールバックで対応されるそうです。 まあ、C リリースなので。
》 処理水はほぼ満杯、放出完了へ遠い道のり 福島第1原発 (毎日, 9/7)。実は「処理水」の実に 66% が基準に満たない「処理途上水」。 放出前に再度処理 (除染) する必要がある。
再度の処理は20年代半ばに始める予定だが、いつ終わるかはわからないという。処理が終わった水も、放射性物質の濃度を監視しながら慎重に放出する必要がある。完了までには数十年かかる見通しだ。
》 M1A2Tだけでは足りない台湾、来年からM60A3のアップグレードを開始 (航空万能論 GF, 9/5)。まだまだ使うよ。
》 ウクライナ軍、ロシア製カウンター・ドローンシステムは全く効果がない (航空万能論 GF, 9/5)。Silok-01。
(復旧済み)一部のお客様において通話・データ通信がご利用しづらい事象について (楽天モバイル, 9/4)
楽天モバイルの通信障害は約130万回線に影響 原因はネットワーク設備の再起動 (ITmedia, 9/6)
楽天モバイル通信障害 “重大事故” 緊急通報もできず 総務省 (NHK, 9/6)
楽天モバイル通信障害で考えるユーザーの“備え” (石野純也, 9/7)
》 玄人志向、ゲーミングチェアをリコール。キャスターの強度不足により転倒のおそれ (PC Watch, 9/6)。GG-C シリーズの特定ロットに欠陥。
》 ハーバード大のコンピュータサイエンス講座「CS50」の日本語化が完了し、無償公開 (こどもとIT, 9/7)
》 ハッカー集団 KILLNET、e-Gov や mixi などを攻撃
政府運営「e-Gov」などにサイバー攻撃か ロシア支持のハッカー集団「KILLNET」が声明 mixiやJCBへの攻撃にも言及 (ITmedia, 9/6)
政府サイトでまたシステム障害 ロシア系ハッカー集団が攻撃か (朝日, 9/7)
ハクティビストKillnet(キルネット)のこれまでの動き (codebook, 9/7)
》 ウクライナとロシア、もう一つの攻防 武力衝突の影でうごめくスパイたち (朝日, 8/29)
》 円相場1ドル144円台に、官房長官「憂慮」でも24年ぶり安値更新 (朝日, 9/7)。無能! 岸田内閣。
》 AirTag の電池交換がうまく行かない理由 (TidBits 日本語版 #1626, 9/7)。AirTag の電池は CR2032 なのだが、 AirTag の電池を交換する方法 (Apple) に 「苦味剤がコーティングしてある CR2032 電池は、コーティングと電池端子との位置関係によっては、AirTag やその他の電池式製品では使えない場合があります」と書かれている件。
これらの小さな電池には窒息の危険性があるので、多くの会社がそれ等を小さな子供から遠ざけておくように警告している。少なくとも Duracell はもう一歩進んで、電池を苦味剤で覆っている。その味はどうしようもなくひどく、万が一小さな子供が口にしても直ぐに吐き出すであろう。その考えは素晴らしいが、この苦味剤は電気接続の邪魔となることもある。それは何も AirTag に限ったことではない;Garmin もまた Duracell の CR2032 苦味剤コーティング電池を使わないよう警告している。
(中略)
最善の選択肢はコーティング無しの電池を買うことである。具体的には、Duracell の電池は避けることで、同社は今や 全てのボタン型電池にこのコーティングを施している。
関連:
Duracell、コイン型リチウム電池に誤飲防止の苦味コート (スラド, 2020.10.04)
【AirTag】苦味剤が付いていないボタン電池はどれ? (iphone-manual.net, 2021.08.03)。
※2021年8月7日現在の情報です。
Amazon.co.jpでボタン電池を検索すると、4社以外のボタン電池も販売していますが、とりあえず「Panasonic」「SONY」「enevolt」「マクセル」の4社のCR2032を購入すれば間違いなく「苦味剤のコーティング」は行われていません。
「Android 13」リリース後初のセキュリティアップデートが公表 (窓の杜, 2022.09.07)。セキュリティ パッチ レベル 2022-09-01 と 2022-09-05。
Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)
Firefox 104.0.2 が公開されています。セキュリティ修正はありません。
Firefox 104.0.2 がリリースされた (mozillaZine, 2022.09.07)
》 ロシア、北朝鮮から砲弾購入 米当局者が米紙報道を確認 (ロイター, 9/6)。マジか。
》 ロシア、イラン製ドローンで「多数の不具合」に直面=米政権高官 (ロイター, 8/31)
》 Quickie: Grep & Tail -f With Notepad++ (SANS ISC, 9/5)
》 欧州での「Facebook利用停止」は一時回避、メタのデータ保護を巡る規制当局との争いは“延長戦”に (WIRED, 9/3)
》 SNSで誘われた悪質商法 摘発と規制の強化を! (NHK 解説委員室, 9/2)
》 勝手に登録されたネットバンキングから不正送金される事案についてまとめてみた (piyolog, 9/5)
》 ロシア最大のタクシー会社がハッキングされ全車両が1カ所に集合し大渋滞してしまう (gigazine, 9/2)。Yandex Taxi。
》 Microsoftの「軍用HoloLens」が実戦テストに合格し納入開始が決定 (gigazine, 9/5)
》 硬貨に刻まれた諜報機関の暗号を14歳の少年が1時間で解読 (gigazine, 9/6)。 75th Anniversary Commemorative Coin (Australian Signals Directorate (ASD)) に記載された複数の暗号を解いた話。
なお、ノーブル事務局長は硬貨にはさらにまだ誰も解いていない第5層の暗号があることも明らかにしています。
》 ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定 (gigazine, 9/6)
》 スマホに「5年間のセキュリティアップデート」と「3年間のOSアップデート」を義務付ける法案がEUで検討中 (gigazine, 9/6)
》 注射器を使わない吸入式の新型コロナワクチンが世界で初めて中国で承認される (gigazine, 9/6)
》 自衛隊内でのハラスメントの実態調査で異例の特別防衛監察 (NHK, 9/6)。関連:
元自衛官・五ノ井里奈が告発する性被害について、第三者委員会による公正な調査を求めます! #自衛隊は性被害を隠さないで (change.org)
自衛隊での性被害について第三者委員会による公正な調査求め防衛省に申し入れ (立憲民主党, 8/31)。求めているのは第三者委員会であり、特別防衛監察したから ok ok という話ではない。
自衛隊の性被害を告発した五ノ井里奈さんに「殺害予告」 「後ろから誰かに刺されるんじゃないかと…」〈dot.〉 (AERA dot. / Yahoo, 9/1)。 隠蔽したい輩がいるということか。 こういうのは明るみに出さないと直らないのだが。
》 “サイボーグ昆虫” 理研など開発 昆虫に電子部品付け遠隔操作 (NHK, 9/5)
今後の課題は何か。
1つは“長時間の稼働”です。
開発した“サイボーグ昆虫”は、30分の充電でおよそ2分の稼働が限界。
電力問題ですか。
倒産速報/日本ロジステック負債75億、運輸・倉庫業界で今年最大 (物流ニュース, 8/30)
倒産続報/日本ロジステック負債151億、不正発覚で資金繰り悪化 (物流ニュース, 8/31)
楽天モバイルが刑事告訴、日本ロジ水増し請求 (Logistics Today, 9/2)
楽天モバイル、46億円損害か「元従業員と取引先が水増し請求」 (毎日, 9/2)
楽天モバイル、取引先から不正請求 46億円損害か 関与従業員解雇 (朝日, 9/2)
楽天モバイルは水増しの総額が約46億円に上るとして、このうち日本ロジの預金口座にある4億円の仮差し押さえを東京地裁に申し立て、8月に認められた。また、元従業員が東京都港区内に所有するタワーマンションの一室も仮差し押さえした。
民事再生の日本ロジステック、役員について「然るべき対応をする」 (東京商工リサーチ, 9/2)
》 Samsung、米システムを侵害され、ユーザーデータ漏えい (ITmedia, 9/5)
》 マルウェア「win32/hive.zy」が検出されるトラブル ~「Microsoft Defender」ウイルス対策の誤検知か 「Chromium」ベースのアプリで発生 (窓の杜, 9/5)、 Microsoft Defenderに不具合。EdgeやChrome、Discordなどをウイルスと誤検知。バージョン1.373.1508.0で発生 (ニッチなPCゲーマーの環境構築Z, 9/5)
この不具合は、『Microsoft Defender Antivirus のセキュリティ インテリジェンス更新プログラム - KB2267602 (バージョン 1.373.1537.0)』(以降)をインストールすることで修正されます。
》 「インドにとって歴史的な日」初の国産空母「ビクラント」就役 軍艦旗も一新 (乗りものニュース, 9/5)。2013 年の進水からずいぶんかかったが、ようやく就役。
Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)
Thunderbird 102.2.1 公開。セキュリティ修正を含みます。
Thunderbird 102.2.1 がリリースされた (mozillaZine, 2022.09.02)
Chrome 105.0.5195.102 公開。0-day 欠陥 CVE-2022-3075 を修正。
[$TBD][1358134] High CVE-2022-3075: Insufficient data validation in Mojo. Reported by Anonymous on 2022-08-30
》 B777 相次いだエンジン損傷 求められる再発防止 (NHK, 8/30)。PW4074 エンジンのファンブレードが金属疲労により破断した事故。
再発防止策では、検査方法と検査間隔を大きく見直しています。
具体的には、検査方法は、これまでのTAI検査のほかに、超音波による検査を追加します。検査間隔について、TAIの検査はこれまで飛行6500回ごとに実施していましたが、これを1000回ごとに改めました。検査間隔を大幅に縮めました。超音波の検査も、飛行550回ないし、275回ごとに行うとしています。
(中略)
日本航空は、このエンジンを搭載したB777型機について、経済性を考えて、すべて退役させました。全日空は、15機を所有していて、2022年6月以降、対策を完了したものから、順次、運航を再開しています。
報告書はこちら: 日本航空株式会社所属 ボーイング式777-200型機の重大インシデント[発動機の破損(破片が当該発動機のケースを貫通した場合に限る。)に準ずる事態](那覇空港の北約50kmの上空、令和2年12月4日発生) (運輸安全委員会, 8/25)
WordPress 6.0.2 セキュリティとメンテナンスのリリース (WordPress, 2022.08.31)
》 巨艦イージス建造へ 陸上配備代替、ミサイル防衛―「令和の戦艦大和」の声も・防衛省 (時事, 9/1)
構想では基準排水量は約2万トンでいずも型とほぼ同じで、まや型の2倍以上ある。全長210メートル、幅40メートル程度を検討している。(中略) アショアで配備する予定だった米ロッキード・マーティン社製の大型レーダー「SPY7」を転用するが、既存のイージス艦レーダーより重く、重心のバランスを取る必要があるため、船体が巨大化する。
本末転倒感が凄い。SPY-7 をやめて SPY-6 にしなさい。
》 Windows Serverのsshd設定でハマったメモ (Zenn, 2/2)
Powershellでは、 リダイレクトで作ったファイルはUTF-16になる そうだ。
》 WindowsにSSHでアクセスしてPowerShellコマンドを実行すると「"EndProcessing" を呼び出し中に例外が発生しました」になる (退屈生活, 2021.06.03)
結論から言うと、
$ProgressPreference = "SilentlyContinue"
を実行するコマンドの前につけると解決する。
》 Windows版OpenSSHクライアント実行後にコードページが壊れるようになった (記憶は人なり, 2021.05.15)。こんな話があったのか。知らんかった。 手元の Windows 10 21H2 でも再現できた。
性加害に加え、別の女性に暴行も
香川照之による性加害 「胸を直に触り、キスもしていた」同席者が証言 (デイリー新潮, 8/28)
鬼の形相でホステスの髪の毛をつかみ… 香川照之、女性への暴行の“新証拠”を入手 (デイリー新潮, 8/31)
セクハラだけじゃない。香川照之がTBSドラマ懇親会で女性スタッフに暴行疑惑 (文春オンライン, 8/31)
性加害の香川照之、女性への暴行も発覚、新潮報道…番組降板や活動休止は免れず (Business Journal, 8/31)
香川照之の酒グセ 他の客から「そういう飲み方すんな!」注意も (東スポ, 8/26)。ヒヤリ・ハットは山ほどあった模様。
トヨタ CM 放送中止、TBS THE TIME, 降板。
トヨタ、俳優・香川照之氏のテレビCM放映終了へ 「トヨタイムズ」編集長として出演も「契約満了のため」 (ITmedia, 9/1)
「THE TIME,」香川照之の代役に江藤愛アナ 現在は木、金曜に進行役で出演中 (日刊スポーツ, 9/1)。 THE TIME, の web ページ (TBS) にはまだ香川照之の写真が掲載されている。
関連: 香川照之『THE TIME,』視聴率低迷に性加害報道の泣きっ面 (講談社 FRIDAY, 8/31)
香川照之、今夜『六本木クラス』放送中止か、THE TIME,も…CM全社降板へ (Business Journal, 9/1)
「トヨタがCM契約企業のなかでいち早く放送見合わせの判断を下したのは、『文春』で同社の豊田章男社長が香川とクラブで一緒に飲むほど交流が深く、トヨタイムズ編集長への起用も章男社長の意向だったと報じられたことが大きいのでは。もし香川を降板させなければ“社長が仲が良いからという理由で暴行加害者を庇っている”“社長自らトヨタイムズ編集長に抜擢したから香川を切れない”という声があがるのは必至なので、先手を打って厳しい処分を下したのだろう」(全国紙記者)
そして、問題の日、銀座のクラブに香川照之を呼び出したのは誰なのか。
ツイート
「豊田章男社長とは銀座のクラブで交流を重ね、意気投合。可愛がられるようになり、豊田社長自ら『トヨタイムズ』への起用を決めた」
— 💫T.Katsumi📢 (@tkatsumi06j) September 1, 2022
という『財界関係者』の話からすると、今回【も】、初めて来る銀座のクラブに香川を電話一本で呼びつけたのは、豊田社長だったということにならないだろうか。
》 記録的熱波で電力需要が高まっているカリフォルニア州で住民に「電気自動車の充電を控えて」との呼びかけ (gigazine, 9/1)。電気自動車を推進しておいて、これですからねえ。
ニュースサイトのMyStateline.comは、カリフォルニア州が2035年までにガソリン車の新車販売を全廃する規則を決めて数日後にこんな呼びかけが出たとツッコミを入れています。
》 国連がついに新疆ウイグル自治区で「深刻な人権侵害」が行われていると報告、中国の圧力で公開に遅れ (gigazine, 9/1)
》 AdGuardが世界初となるChromeの「Manifest V3」対応版広告ブロッカー「AdGuard Browser extension V3」をリリース (gigazine, 9/1)
》 簡単なスケッチから「Stable Diffusion」で思い通りの絵を描く手順を解説 (gigazine, 8/31)。デジタル絵画ツールとしての Stable Diffusion。
なお、Stable Diffusionに与える文章については「実在のアーティストの名前を追加すると高品質な画像が得られる」というテクニックが広まっていますが、サレルノ氏は「アーティスト名をウェブ検索した際に、検索結果にAI製の画像が表示されるのは好ましくない」という理由からアーティスト名を用いずに画像生成を行っているとのことです。
関連: 画像生成AI「Stable Diffusion」をWindows環境にボタン1つでインストール可能&GUIで操作できる「NMKD Stable Diffusion GUI」がついに登場 (gigazine, 8/31)
》 画像生成AI「Midjourney」の描いた絵が美術品評会で1位を取ってしまい人間のアーティストが激怒 (gigazine, 9/1)。まあ、時間の問題ではあった。
》 米、エヌビディアなどのAIチップに対中輸出規制 (ロイター, 9/1)
機械学習を高速化する半導体「A100」と「H100」が対象で、今年発表した旗艦製品H100の開発完了に影響する可能性があるという。
(中略)
アドバンスト・マイクロ・デバイセズ(AMD)の広報担当者も、輸出許可に関する新たな要件の通知があり、AIチップ「MI250」の対中輸出が停止されるとロイターに明らかにした。「MI100」は影響を受けないとの見方を示し、新ルールが事業に重大な影響を及ぼすとはみていないとした。
Apple 方面 (iOS / iPadOS 15.6.1, macOS 12.5.1, Safari 15.6.1) (2022.08.19)
iOS 12.5.6 公開。 CVE-2022-32893 を修正。CVE-2022-32894 は iOS 12.5.6 には影響しないそうで。
About the security content of iOS 12.5.6 (Apple, 2022.08.31)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)