Last modified: Thu Sep 19 17:25:47 2024 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 東北新幹線、「はやぶさ」「こまち」の連結外れ停車 Xに現場写真も (ITmedia, 9/19)
》 任天堂、「パルワールド」を特許権侵害で提訴 (PC Watch, 9/19)
》 主張:インターネットアーカイブ敗訴、図書館の未来を守れ (MIT Technology Review, 9/18)
》 ポケベルに続いてヒズボラのトランシーバーが爆発、しかも日本製
通信機器爆発 20人死亡 “民生品を兵器にしないルールに”国連 (NHK, 9/19)
レバノンでまた通信機器爆発、20人死亡 日本製トランシーバーか (ロイター, 9/19)
治安筋によると、ヒズボラはこの日爆発した無線機を5カ月前に購入。17日に爆発したポケットベルの購入とほぼ同時期という。ヒズボラはイスラエルによる携帯電話の傍受を回避するため、ポケベルなど一昔前の通信機器を使っていた。
ヒズボラのトランシーバー爆発、死者20人に 大阪のメーカー製か (毎日, 9/19)
アイコム製 IC-V82
一部報道について(第二報) (アイコム, 9/19)
IC-V82は、当社が2004年から2014年10月にかけて中東を含む海外向けに生産・出荷していたハンディ型無線機です。約10年前に終売しており、それ以降本社からの出荷は行なっておりません。すでに本体を動作させるためのバッテリーの生産も終売しているほか、偽造品防止のためのホログラムシールが貼付されておらず、当社から出荷した製品かどうかは確認できません。
ヒズボラの機器爆発、日本のアイコム製トランシーバーか (日経, 9/19)
関連:
ヒズボラへのサプライチェーン攻撃「ついに」 国際人道法上の問題も (朝日, 9/18)
》 IPA、サポート詐欺とは似て非なる未知の手口「操作不能の偽メッセージ」に注意喚起 (Internet Watch, 9/18)
》 プロ怪談師の“ITインシデント怪談”に来場者は固唾 風変わりなセキュリティイベントに行ってきた (ITmedia, 9/13)
》 Internet Week 2024 Program-Timetable (internetweek.jp)。公開されてます。 11/26 の Room 4 がおもしろそうなんだけど、DNS DAY とかぶっているなあ。うーむ。
》 小林製薬の紅こうじ健康被害、腎障害の原因はプベルル酸 厚労省 (毎日, 9/18)。こちら:
厚生科学審議会食品衛生監視部会機能性表示食品等の健康被害情報への対応に関する小委員会第1回紅麹関連製品に係る事案の健康被害情報への対応に関するワーキンググループ 配付資料 (厚生労働省, 9/18)
参考資料2 紅麹関連製品に係る事案の原因究明について (厚生労働省, 9/18)。 「小林製薬社製の紅麹を含む食品の事案に係る取組について (国立医薬品食品衛生研究所)」
原因究明において、以下を確認した。
● 工場内の青カビ(Penicillium adametzioides)が、培養段階で混入し、コメ培地を栄養源としてプベルル酸を産生
● 工場内の青カビ(Penicillium adametzioides)が、紅麹菌との共培養により、モナコリンKを修飾して化合物Y、Zが生成
● プベルル酸については腎障害が確認されたが、化合物Y、Zについては腎障害は確認されなかった
》 ヒズボラのポケベル数千台が一斉に爆発 (9/17)、イスラエルの工作か
【Introduction】Gold Apollo Rugged Pager AR924【AR924】Rugged Pager【Gold Apollo】 (Apollo Systems HK / YouTube)。爆発物を仕掛けるには十分な大きさの筐体であるように思える。
Israel Planted Explosives in Pagers Sold to Hezbollah, Officials Say (NYTimes, 9/17)。 DeepL 訳:
一部の関係者によれば、ヒズボラが台湾のゴールド・アポロ社に注文したポケベルは、レバノンに届く前に改ざんされていたという。ほとんどが同社のAR924モデルであったが、他の3つのゴールド・アポロ・モデルも出荷に含まれていた。
(中略)
「これらのポケベルは、このような爆発を起こすために何らかの改造が施されている可能性が高い。爆発の大きさと強さは、バッテリーだけが原因ではないことを示している」と、ソフトウェア会社ウィズセキュアのリサーチスペシャリストで、ユーロポールのサイバー犯罪アドバイザーであるミッコ・ヒッポネン氏は言う。
BAC Consulting Kft. (companywall.hu)
レバノン ポケベル爆発“イスラエルが爆発物埋め込んだ”米紙 (NHK, 9/18)
ヒズボラのポケベル同時爆発、5つの疑問 (Wall Street Journal, 9/18)。「事情に詳しい複数の関係者によると、爆発したポケベルの多くは、ヒズボラの元へ最近届いたものだった」。
【社説】ヒズボラのポケベル爆発が伝えたこと (Wall Street Journal, 9/18)
ヒズボラのポケベル型機器が次々爆発、レバノン各地で9人死亡 イスラエルの犯行と非難 (BBC, 9/18)
【解説】 ポケベル型機器の相次ぐ爆発、ヒズボラの士気と人的資源に大きく影響 (BBC, 9/18)
ポケベル型の機器を使った攻撃は、イスラエルによる大規模な作戦の前触れなのだろうか?
ヒズボラのメンバーが多数負傷し、重要な通信網が大規模かつ恥ずかしいほどに寸断されていることを考えると、イスラエルは明らかに、この瞬間を利用したいと考えるだろう。
ヒズボラ通信機器爆発、イスラエルが端末5000台に爆発物=関係筋 (ロイター, 9/18)
レバノンの治安当局高官はこの機器のモデル「AP924」の写真を確認した。その上で、モサドによって機器が「製造レベル」で改造されたとし、「モサドはコードを受信する爆発物を搭載した基板を内部に埋め込んだ。どのような手段でも検知するのは難しい。どんな装置やスキャナーを使ってもだ」と語った。コード化されたメッセージが送られて同時に爆発物が作動し、3000台の機器が爆発したという。
別の治安筋は最大3グラムの爆発物が機器内に隠され、数カ月間ヒズボラに検知されなかったと語った。
レバノンで爆発の機器、台湾企業「権利持つブタペスト会社が製造」 (ロイター, 9/18)
台湾企業ゴールド・アポロは18日、レバノンで17日にポケットベルが一斉に爆発したことを巡り、ブダペストに拠点を置くBACコンサルティングが製造したと明らかにした。ゴールド・アポロはライセンスを供与しただけで、製造には関与していないと説明した。
爆発のポケベル「ハンガリーの企業が製造」台湾企業が声明 (朝日, 9/18)
》 中国海軍空母「遼寧」および駆逐艦2隻、与那国島と西表島の間を通過 (9/17)
中国海軍艦艇の動向について (統合幕僚監部, 9/18)
中国海軍の空母「遼寧」、初めて日本の接続水域に侵入…与那国島と西表島の間を航行 (読売 / Yahoo, 9/18)
中国の空母が日本の接続水域を初めて航行、与那国と西表島間=統合幕僚監部 (ロイター, 9/18)
中国空母の接続水域航行「受け入れられず」、懸念を伝達=官房副長官 (ロイター, 9/18)
》 「見たこともない、ひどい」と「請願者」あ然 千葉市議会、自作自演した維新系会派の2市議に辞職勧告 (東京, 9/17)。また維新。桜井崇、大平真弘。
そういえば昨日出てましたね。 Apple Security Releases の Web ページが https://support.apple.com/HT201222 から https://support.apple.com/100100 に変わった。
iOS / iPadOS
tvOS
watchOS
visionOS
macOS
Safari
Xcode
macOS 14.7 にアップデートしてみようとしたけどダウンロードの途中で失敗するなあ……。
Chrome 129.0.6668.58 (Linux) および 129.0.6668.58/.59 (Windows / Mac) が stable に。 9 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.09.17)。Chrome 129 (129.0.6668.54) for Android。
》 ドラマ『地面師たち』を見た積水ハウス元幹部が激白「あのとき社内で起こったこと」 (週刊現代, 8/27)
しかし実際のところ、あれは単なる詐欺事件ではありませんでした。積水ハウス側にも問題があったのです
後編: 「本物の地面師は、ドラマよりもずっと…」積水ハウス元幹部が『地面師たち』を見て感じたこと (週刊現代, 8/27)
》 【令和の米騒動の真因】インバウンドよりも大きかった作付面積の減少、「主食向け」をあきらめる米農家の存在 (宮前 耕也 / JBpress, 9/5)
すなわち、このところ作柄は「平年並み」で安定しているにもかかわらず、2021年産以降、作付面積の縮小が続いている影響により、米の収穫量、供給量が減少しており、足元の価格高騰の一因となっていよう。
(中略)
減反政策が廃止された2018年から2020年にかけて、米の作付面積および収穫量はほぼ横ばいで推移した。だが、コロナ禍後の労働供給縮小もしくは外食需要縮小に対応して、2021年以降、作付面積および収穫量は再び縮小している。
総需要量は2021年度の916万トンから、2022年度に916万トン、2023年度に917万トンとなり、2年間で僅か1万トン分の増加にとどまった。内訳をみると、2年間で飼料用が8万トン分、純旅客用が5万トン分増加したものの、主食用は11万トン分減少した。
他統計を踏まえれば、インバウンドを含め外食需要は回復しているとみられるものの、人口減などを背景に全体として主食向け需要が低迷していると考えられる。
一方、総供給量は2021年度の910万トンから、2022年度に891万トン、2023年度に872万トンへ、2年間で38万トン分減少。上述の通り、作付面積縮小が影響していよう。
減反政策が本当は廃止されていない件はこちら。
関連:
米農家への直接注文が殺到 「もう異様ですね」対応追われる “令和の米騒動” ふるさと納税一部で受け付け停止 (OBS 大分放送, 9/11)
宇佐市まちづくり推進課ふるさと支援係・南真紀さん:
「スーパーだけでなく、ついにふるさと納税にも波及したなというのはすごく感じます。収穫してみないと分からないのですが、10月からの新米の在庫状況がどうなるか不透明という事業者が多いです」
》 Microsoft、CrowdStrikeのブルスク障害を受けたセキュリティ機能構築へ (ITmedia, 9/13)
CrowdStrikeの問題は、ソフトウェアがWindowsのカーネルレベルで実行されることが原因の1つだった。Microsoftは、Windows内にセキュリティベンダー用の新たなプラットフォームを構築し、カーネルレベルへの接続を回避させることを検討している。
こちら: Taking steps that drive resiliency and security for Windows customers (Microsoft, 9/12)。DeepL 訳:
顧客とエコシステムパートナーの両方から、Microsoftに対して、カーネルモード以外の追加のセキュリティ機能を提供するよう求められており、SDPとともに使用することで、可用性の高いセキュリティソリューションを構築することができます。(中略)
次のステップとして、マイクロソフトは、セキュリティを犠牲にすることなく信頼性を向上させるという目標を達成するため、エコシステムパートナーの意見や協力を得ながら、この新しいプラットフォーム機能の設計と開発を続けていく。
オフィシャル:
輪軸組立作業における不正行為の発生について (JR 貨物, 9/10)
2024 年 7 月 24 日(水)に発生した山陽線新山口駅構内での貨物列車脱線事故を受けて、9 月 6 日(金)に関西支社広島車両所内において輪軸*組立作業の確認を行っていたところ、社員からの申告により、車輪及び大歯車の圧入作業**において、圧入力が基準値を超過していた場合、検査結果データを基準値内のデータに差し替えて、検査を終了させていたことが判明しました。他の車両所についても社内調査を行ったところ、圧入力が基準値を超過した状態で、検査を終了させていたことが判明しました。
発生箇所
北海道支社輪西車両所、関東支社川崎車両所、関西支社広島車両所
件数
①北海道支社輪西車両所 貨車 309 両
②関東支社川崎車両所 貨車 218 両
③関西支社広島車両所 機関車 4 両、貨車 33 両
現在一時的に運行を停止している貨物列車について (21時30分現在) (JR 貨物, 9/11)。「貨物列車 248 本の運行を取りやめましたが、安全が確認された列車につきましては順次運転を再開しております」
輪軸組立作業における不正行為の発生について【対象件数の追加】 (JR 貨物, 9/12)
件数
①北海道支社輪西車両所 貨車 319 両 (9 月 10 日時点:309 両(+10 両))
②関東支社川崎車両所 貨車 275 両 (9 月 10 日時点:218 両(+57 両))
③関西支社広島車両所 機関車 4 両、貨車33 両
JR貨物のデータ改ざんなど不正 国交省 3事業所に特別保安監査 (NHK, 9/11)
JR貨物 一時すべての貨物列車運行停止 物流各社で荷物の遅れも (NHK, 9/12)
JR貨物 すべての貨物列車の運行再開 点検で新たに67両で不正も (NHK, 9/12)
斉藤国交相 鉄道事業者に緊急点検指示 JR貨物のデータ改ざんで (NHK, 9/13)
》 富大附属病院 システム障害 機器の故障原因 通常診療再開 (NHK, 9/13)。機器故障だったそうで。
病院によりますと情報システムの機器の一部とその予備の部分が立て続けに故障したことが障害の原因だということで、12日夕方に機器の部品を交換したところ、システムが復旧したことから、13日は通常通り診療を再開したということです。
昨日のニュース: 富山大学附属病院 システム不具合で一部診療できず (NHK, 9/12)
》 “ネットに未接続”のPCからデータを盗む攻撃 7m先からエアギャップPC内の機密情報を盗む (ITmedia, 9/13)
》 「Google 検索」に「Wayback Machine」リンク、過去ページへ直接アクセスできるように (窓の杜, 9/12)
》 中学・高校で増加「ハーフパンツ制服」…10代が求める“機能性”と、もう1つの“重要ポイント”【THE TIME,】 (TBS, 9/11)
》 Microsoft、古いDRMを廃止。Windows7など旧OSで保護されたコンテンツが再生できなくなる (ニッチなPCゲーマーの環境構築Z, 9/13)
Crucial MX500 SSDの最新ファームウェアに脆弱性。データ漏洩の恐れ (ニッチなPCゲーマーの環境構築Z, 2024.09.13)
VL4DR / CVE-2024-42642 (GitHub)
CVE-2024-8096 OCSP stapling bypass with GnuTLS (curl, 2024.09.11)。 curl 8.10.0 で修正。 iida さん情報ありがとうございます。
》 Windows11 22H2 / 21H2、サポート終了目前。脆弱性が修正されなくなる。Microsoftが再々度注意喚起 (ニッチなPCゲーマーの環境構築Z, 9/10)。23H2 / 24H2 に移行しましょう。
》 映画『ラストマイル』大ヒットの今こそ知ってほしい…過酷な「宅配ドライバー」がお客様に心から「お願いしたいこと」 (二階堂 運人 / 現代ビジネス, 9/4)
》 自民党平井氏の“税優遇リスト”に「四国新聞社主の母」の名が…それでも報じない四国新聞社の“驚きの言い分”とは (プチ鹿島 / 文春オンライン, 9/10)。北朝鮮もびっくり。
そう、私が不思議なのは現場の記者たちだ。地元紙オーナー一族から政治家が出た例は四国新聞以外にもある。しかし編集は独立し尊重されるのが当たり前。ところが四国新聞の紙面からはオーナーへの忖度しか感じない。
「Photoshop」や「Adobe Premiere Pro」、「Acrobat Reader」など8製品に致命的な脆弱性 (窓の杜, 2024.09.11)。いずれも Priority: 3。
Recent bulletins and advisories (Adobe) には「APSB24-70 : Security update available for Adobe Acrobat Reader」 とあるのだが、実際には Security update available for Adobe Acrobat and Reader | APSB24-70 (Adobe, 2024.09.10) で Acrobat も対象なので注意。
Intel、2024年9月度のセキュリティ情報を公開。Core、Xeon、Atom CPUなどに脆弱性。計4件 (ニッチなPCゲーマーの環境構築Z, 2024.09.12)
Chrome 128.0.6613.137/.138 (Windows / Mac) および 128.0.6613.137 (Linux) 公開。 5 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.09.11)。Chrome 128 (128.0.6613.146) for Android。
出ましたね。昨日。79 MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- Azure CycleCloud CVE-2024-43469
- Azure Network Watcher CVE-2024-38188 CVE-2024-43470
- Azure Stack CVE-2024-38216 CVE-2024-38220
- Azure Web Apps CVE-2024-38194
- Dynamics Business Central CVE-2024-38225
- Microsoft AutoUpdate (MAU) CVE-2024-43492
- Microsoft Dynamics 365 (オンプレミス) CVE-2024-43476
- Microsoft Graphics コンポーネント CVE-2024-38247 CVE-2024-38249 CVE-2024-38250
- Microsoft Office Excel CVE-2024-43465
- Microsoft Office Publisher CVE-2024-38226
- Microsoft Office SharePoint CVE-2024-38018 CVE-2024-38227 CVE-2024-38228 CVE-2024-43464 CVE-2024-43466
- Microsoft Office Visio CVE-2024-43463
- Microsoft Outlook for iOS CVE-2024-43482
- Microsoft Stream サービス CVE-2024-38237 CVE-2024-38238 CVE-2024-38241 CVE-2024-38242 CVE-2024-38243 CVE-2024-38244 CVE-2024-38245
- Microsoft リモート デスクトップ ライセンス サービス CVE-2024-38231 CVE-2024-38258 CVE-2024-38260 CVE-2024-38263 CVE-2024-43454 CVE-2024-43455 CVE-2024-43467
- Microsoft 管理コンソール CVE-2024-38259
- Power Automate CVE-2024-43479
- SQL Server CVE-2024-26186 CVE-2024-26191 CVE-2024-37335 CVE-2024-37337 CVE-2024-37338 CVE-2024-37339 CVE-2024-37340 CVE-2024-37341 CVE-2024-37342 CVE-2024-37965 CVE-2024-37966 CVE-2024-37980 CVE-2024-43474
- Windows AllJoyn API CVE-2024-38257
- Windows DHCP サーバー CVE-2024-38236
- Windows Kerberos CVE-2024-38239
- Windows Libarchive CVE-2024-43495
- Windows Mark of the Web (MOTW) CVE-2024-38217 CVE-2024-43487
- Windows MSHTML プラットフォーム CVE-2024-43461
- Windows Network Address Translation (NAT) CVE-2024-38119
- Windows PowerShell CVE-2024-38046
- Windows Remote Access Connection Manager CVE-2024-38240
- Windows Standards-Based Storage Management サービス CVE-2024-38230
- Windows Storage CVE-2024-38248
- Windows TCP/IP CVE-2024-21416 CVE-2024-38045
- Windows Update CVE-2024-43491
- Windows Win32K - ICOMP CVE-2024-38252 CVE-2024-38253
- Windows Win32K: GRFX CVE-2024-38246
- Windows インストーラー CVE-2024-38014
- Windows カーネルモード ドライバー CVE-2024-38256
- Windows セキュリティ ゾーン マッピング CVE-2024-30073
- Windows ネットワーク仮想化 CVE-2024-38232 CVE-2024-38233 CVE-2024-38234 CVE-2024-43458
- Windows の設定とデプロイ CVE-2024-43457
- Windows 管理センター CVE-2024-43475
- Windows 認証方法 CVE-2024-38254
- ロール: Windows Hyper-V CVE-2024-38235
直った 0-day は 4 件。いずれも「悪用の事実を確認済み」。
Microsoft Windows Update のリモートでコードが実行される脆弱性 CVE-2024-43491 (Microsoft, 2024.09.10)。対象は Windows 10 バージョン 1507 (いちばん最初の Windows 10) だけど、 Windows 10 Enterprise 2015 LTSB および Windows 10 IoT Enterprise 2015 LTSB として今でも維持されている。
Windows インストーラーの特権の昇格の脆弱性 CVE-2024-38014 (Microsoft, 2024.09.10)。SYSTEM 権限を取得できるそうで。
Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性 CVE-2024-38217 (Microsoft, 2024.09.10)。 Internet からファイルを取得すると Zone.Identifier 代替データストリーム が付くはずなのに付かなくする方法があった、ということかな。
Microsoft Publisher のセキュリティ機能のバイパスの脆弱性 CVE-2024-38226 (Microsoft, 2024.09.10)。Office マクロポリシーを回避できるそうで。
直ってない 0-day が 1 件 (先月から継続中)。
Windows Update スタックの特権の昇格の脆弱性 CVE-2024-38202 (Microsoft, 2024.08.08 更新)。日本語版は変な翻訳が混入しているようなので、 英語版で読んだ方がよさげ。右上の歯車マークから言語を選択できる。 日本語版だとこんな感じ:
マイクロソフトは、Windows バックアップに特権昇格の脆弱性が存在しているとの通知を受けました。
関連:
Microsoft September 2024 Patch Tuesday (SANS ISC, 2024.09.10)
【Windows11】 WindowsUpdate 2024年9月 不具合情報 - セキュリティ更新プログラム KB5043076 / KB5043080 (ニッチなPCゲーマーの環境構築Z, 2024.09.11)
【Windows10】 WindowsUpdate 2024年9月 不具合情報 - セキュリティ更新プログラム KB5043064 (ニッチなPCゲーマーの環境構築Z, 2024.09.11)
》 集会で感じた78歳トランプ氏の「老い」 4年前と落差 (日経, 9/8)
異変に気づいたのは1時間半の演説が中盤にさしかかったころだ。退屈そうにあくびをする支持者たち。席を立って帰途につく人が増え、空席がかなり目立っていた。
(中略)
1時間半、独演する体力はさすがだ。それでも話の流れや声の張りには年齢を感じざるを得なかった。
》 敦賀原発の活断層に決着 「直下で動く危険あり」 (共同, 9/5)
危険が放置されたまま長年運転されたという点では、事故を起こした東京電力福島第1原発(廃止決定済み)とも共通する。原発を守ろうとして肝心の安全性を損なう結果を招いてしまう事業者、過去に与えた「許可」に縛られ安全性を二の次にしてしまう行政。背景も2011年と同じだ。
(中略)
幸いなことに、敦賀原発で過酷事故は起きてはいない。原電は自らの戦略のために既に多くの時間と資金を費やしたが、まだ引き返すことはできる。活断層は今動くかもしれない。東電の二の舞いは避けるべきだ。
》 米商務省、AI開発者にサイバーセキュリティー報告義務を課す規則案を発表 (JETRO, 9/10)
》 「一晩寝たら解決策が浮かぶ」という現象のメカニズムが一部解明される、脳は睡眠中に1日の出来事を1秒未満に圧縮して整理している (gigazine, 9/3)。「あえて………寝るっ!!」
》 アメリカ国内で販売停止になったKasperskyのユーザー約100万人をPango Groupが救済 (gigazine, 9/7)
このような措置を受けてもなおアメリカ国内には約100万人のKasperskyユーザーが残されています。こうしたユーザーを救うべく、Pango GroupとKasperskyはこれらの顧客をPango Groupのアンチウイルスソフト「Ultra AV」に移行させることに合意。ユーザーに対し既存の有料サブスクリプションでUltra AVを利用できるようになり、VPNやパスワードマネージャーを利用できることを通知しました。
》 メッセージングアプリのTelegramがCEO逮捕後に「チャットはモデレートしない」という文言を公式サイト上からひっそり削除 (gigazine, 9/8)
》 SpaceXが7000基目のStarlink衛星を打ち上げ、アクティブなStarlink衛星の数が全人工衛星の約3分の2に達する (gigazine, 9/9)
》 ロシアから資金提供を受けた「右派系YouTubeチャンネル」が配信停止に (Forbes / Yahoo, 9/9)。Tenet Media。
司法省は4日の起訴状で、ロシア政府が「テネシー州に拠点を置くオンラインコンテンツ制作会社」に秘密裏に1000万ドル(約14億3000万円)の資金提供を行ったと非難した。この会社の名前は、起訴状に記載されていなかったが、後にテネット・メディアだと報じられた。
関連: YouTubeがロシアから資金提供を受けていたとされる右翼インフルエンサーのチャンネル4件を閉鎖 (gigazine, 9/9)
》 中国製EVの「ルール違反」に、“自由貿易の旗手”カナダまで信念を曲げた (クーリエ・ジャポン, 9/3)
もちろん、単に「中国製EVは安いから嫌だ」といって高関税をかけるようでは世界の経済成長を牽引してきた自由貿易のルールに反する。それは、ただの保護主義だ。
そうではなく、カナダ政府が問題視したのは、中国のEVメーカー各社が中国政府からの不公正な補助金を受けてEVを安く、かつ過剰に生産しているとされること。貿易ルール、つまりWTO(世界貿易機関)の協定に中国は違反しているので関税をかけるというわけだ。
実は、中国製EVはまだ本格的にカナダで販売されていない。(中略) カナダのメーカーが「実害」を受けてもいない段階での関税100%なのだ。
なぜそうした不自然なタイミングでの高関税となったかといえば、トルドーが、中国製EVへの追加関税で先行した米国やEUから、同調するよう強い働きかけを受けたためだ。
関連:
カナダ政府、10月から中国製EVに100%の追加関税を賦課 (JETRO, 8/30)
米USTR、カナダによる中国製EVへの追加関税を歓迎、米国の関税引き上げ時期はさらに延期 (JETRO, 9/2)
欧州委、中国製EVへの「追加関税率」最終案を発表 (東洋経済online, 9/4)
出てました。
Firefox 130 がリリースされた (mozillaZine, 2024.09.04)。「セキュリティ問題への修正は合計 9 件」。
Firefox for Android 130 がリリースされた (mozillaZine, 2024.09.04)
Thunderbird 128.2.0 ESR がリリースされた (mozillaZine, 2024.09.05)
Thunderbird 115.15.0 がリリースされた (mozillaZine, 2024.09.05)
SeaMonkey 2.53.19 がリリースされた (mozillaZine, 2024.09.06)
Firefox 130.0.1 / Firefox for Android 130.0.1、 Thunderbird 128.2.1esr / 128.2.2esr 公開。
Thunderbird 128.2.1 ESR がリリースされた (mozillaZine.jp, 2024.09.17)
Firefox 130.0.1、Firefox for Android 130.0.1 がリリースされた (mozillaZine.jp, 2024.09.18)。Firefox for Android 130.0.1 にのみセキュリティ修正 が 1 件含まれている。
Thunderbird 128.2.2 ESR がリリースされた (mozillaZine.jp, 2024.09.19)
キングソフトの「WPS Office」シリーズにゼロデイ脆弱性 ~修正版が公開 (窓の杜, 2024.09.06)。 CVE-2024-7262 CVE-2024-7263。
OpenSSL Security Advisory [3rd September 2024] Possible denial of service in X.509 name checks (CVE-2024-6119) (OpenSSL, 2024.09.03)。OpenSSL 3.0.15 / 3.1.7 / 3.2.3 / 3.3.2 で修正。 iida さん情報ありがとうございます。
YubiKey 5にサイドチャネル攻撃でセキュリティが破られる脆弱性が見つかる、バージョン5.7より前のYubiKeyは永久に危険との勧告 (gigazine, 2024.09.04)
Security Advisory YSA-2024-03 Infineon ECDSA Private Key Recovery (yubico.com, 2024.09.03)
A vulnerability was discovered in Infineon’s cryptographic library, which is utilized in YubiKey 5 Series, and Security Key Series with firmware prior to 5.7.0 and YubiHSM 2 with firmware prior to 2.4.0. The severity of the issue in Yubico devices is moderate.
使用している YubiKey / YubiHSM 2 が該当バージョンか否かについては Yubico Authenticator や YubiHSM SDK で確認できるそうで。 上記リンクを参照。
ファームウェアの更新は利用者ではできないみたい (そりゃそうか)。破棄するしかないのかな。
EUCLEAK (NinjaLab)。発見者によるページ。
》 保険料抑える「デメ逃れ」、大口契約で横行か 一般契約者にしわ寄せ (朝日, 8/29)
》 NIST、耐量子暗号アルゴリズム3種類をFIPS標準として最終決定、格子暗号で鍵交換/電子署名 (Impress, 8/16)。こちら: Announcing Approval of Three Federal Information Processing Standards (FIPS) for Post-Quantum Cryptography (NIST, 8/13)
》 HP、最新のセキュリティ調査結果を発表 約2割の企業が影響を受け、ハードウェアサプライチェーン攻撃への懸念が高まったと回答 (HP, 8/27)
企業は、デバイスの改ざんなどサプライチェーンにおける脅威を軽減する方法が分からず、体制が整っていないことを懸念しています。ITSDMの51%(日本では54%)は、PC、ノートPC、プリンターのハードウェアやファームウェアが輸送中に改ざんされたかどうかの検証を行うことができていないことを懸念しています。さらに77%(日本も同様)が、デバイス改ざんのリスクを軽減するために、ハードウェアの完全性を検証する方法が必要だと回答しています。
》 JR東海「スマートEX」の、スマートじゃないところ (岡田有花 / @IT, 9/2)。JR 東海に何かを期待してはいけない。
》 日産のカーシェア「e-シェアモビ」不正ログインで車両不正利用 最大約7万件の個人情報閲覧された可能性 (ITmedia, 9/3)
》 イセトー、セキュリティのISO認証一時停止に ランサムウェア攻撃の被害受け (ITmedia, 9/3)。9/2 付。今になってようやく感が強いのだが、こんなものなんだろうか。
》 あ……ありのまま今起こった事を話すぜ! BingでGoogleを検索したらGoogleっぽい(?)Bingが (やじうまの杜, 9/3)。これはやっちゃ駄目な奴だろ Microsoft……。
》 これこそXに必要かも? Bluesky、投稿の引用や返信を細かく制御できる新機能を追加 (Internet Watch, 8/30)
》 ブラジルとX(旧Twitter)が全面闘争に突入。ユーザーは大挙して新天地「Bluesky」に移動へ (Internet Watch, 9/2)
》 職員「4割」不調を訴えSNSに悲鳴投稿 18時半以降はサウナ状態、大阪府庁の過酷実態 (産経 / ITmedia, 8/30)。維新行政の実態は奴隷労働。
》 ElasticsearchとKibanaがオープンソースライセンスに復帰、Elasticが発表 「AWSがフォークに投資し、市場の混乱は解決された」と (ITmedia, 8/30)
》 能登半島地震、延べ1万人以上が通信インフラ復旧に従事 NTTドコモとKDDIが語る、復旧秘話 (@IT, 9/2)
》 240V対応なのに「日本専用」 海外で故障したUSB充電器を巡り、エレコムが表記の意図を説明する事態に (ITmedia, 9/2)
該当ユーザーは上海で使用したと投稿しており、計測器や産業用電源を手掛ける菊水電子工業の公式Xアカウントによると、現地の電圧波形を確認できていないので何とも言えないとしつつも、「テスターで電圧がOKでも系統の高次高調波が大きいため内部のXコンデンサに想定以上の電流が流れて壊れる事例が実際にあるようです」と、電源ラインにノイズが乗ることで故障につながる事例もあるとしている。
》 特許に見るペロブスカイト太陽電池の勢力図、SK弁理士法人・奥野所長に聞く (メガソーラービジネス, 7/9)
ペロブスカイト太陽電池は日本発の技術で、桐蔭横浜大学の宮坂力特任教授の論文が発端となり、欧州勢が効率を高める革新的な手法を見出したことで、世界中で開発競争が激しくなりました。こうした経緯から基本特許は、日本と欧州でほぼ押さえています。中国勢は、改良や量産に関する特許がほとんどです。
さきほど日本の優位は続いているといった背景には、日本勢は企業も含めて基本特許を押さえつつ、改良・量産面でも有力な特許が多いため、基本特許だけの欧州、改良・量産関連特許だけの中国に比べても、国全体として特許ポートフォリオは最強と思います。
》 ロシア国境を脆弱にした陸軍参謀長の失態 ロシア軍のラピン大将はクルスク州がウクライナ軍に侵攻される数カ月前に同州の防衛監督機関を解散させていた (Wall Street Journal, 8/23)
》 テレグラム創業者逮捕、ロシアが激怒する理由 (Wall Street Journal, 9/2)。そんなに↓依存しているのか。
「無謀に思えるが、機密情報の送信や火砲の目標設定、ドローン映像の放送などさまざまなことが現在、テレグラム経由でかなり頻繁に行われている」とロゴジン氏はテレグラム上で話した。同氏の父親は上院議員で、過去にロシア駐北大西洋条約機構(NATO)大使や同国宇宙プログラムのトップを務めた。
(中略)
「テレグラムはロシア軍用に正式に許可された通信システムではないにもかわらず、そのプライベートチャットや直接メッセージの機能は、戦場での連携のため兵士や一部の部隊で戦術的に使用されている」。ワシントンのシンクタンク、シルベラード・ポリシー・アクセラレーターのドミトリー・アルぺロビッチ会長はそう話した。
「ドゥーロフが拘束されただけなら必ずしもロシアでこうした反響は起きなかっただろう。テレグラムは事実上、この戦争の主要通信システムであり、機密軍事ネットワークの代わりだ」。ロシア国営テレビの記者でモスクワ市議会副議長のアンドレイ・メドベージェフ氏はテレグラムにそう書いた。
》 コロナ後遺症でキャリア中断、米で100万人 電子メールに返信するといった簡単な作業にも困難を感じる人が多い (Wall Street Journal, 9/2)
》 日経NETWORK 2024年9月号 の「特集2」が「動き出すIoTセキュリティーの評価制度」で、 「IoT製品に対するセキュリティ適合性評価制度」の件だった。
産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 最終とりまとめ (経産省, 3/15)。とりまレベル1 (☆1) を今年度中に開始と。 「図5-1 今後のスケジュール案」参照。
IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始しました (経産省, 3/15)
IoT製品に対するセキュリティ適合性評価制度構築方針 (経産省, 8/23)
経産省IoT新制度が今年度開始 セキュリティ基準を満たした機器に“ラベル”付与 (Business Network, 6/6)
そろそろ「☆1開始の正式案内」が出てくるはずなんだけど……。
》 玉川徹氏「政治家としてほぼ詰んでる」「次はない」パワハラ疑惑の斎藤元彦兵庫県知事を断じる (日刊スポーツ, 9/2)
さらに、深夜に職員にラインなどで指示をしていることについて、「自分が官僚だったときに、『そういうもんだ』とたたき込まれたのがあって、『マインドとして持ってほしかった』って言っている。そっちの方が異常。彼は自分の時に嫌だと思いながらやっていなかったのか。全然嫌だと思わないでやっていたから、今もやっているということなのか」と官僚体質を批判した。
ブラック部活のマインドなんだよなあ。上に上がったら、自分がかつてやられた・やらされたことを平気で下にやる。改めよう・改めるべきという思考が微塵もない。
関連:
斎藤元彦知事のパワハラ疑惑 元厚労官僚の中野雅至氏「霞が関なら…」元総務官僚の気質を指摘 (日刊スポーツ, 8/31)
告発者に「究極のパワハラ」 公益通報軽視の兵庫知事、三つの過ち (毎日, 8/30)
- 告発時点で、告発者が同法の保護対象となるかという十分な検討がなされた形跡がない
- 「保護対象ではない」とした県の判断の妥当性
- 告発された側である知事や県幹部が処分の決定に関わった
県政混乱に懸念の声 側近退任、辞職要求で知事孤立―兵庫県 (時事, 8/31)
一転して「知事おろし」ムードに 維新に何が 兵庫のパワハラ疑惑 (毎日, 8/31)
パワハラ疑惑の斎藤知事、初めての尋問「当時の認識は合理的」 表情を変えず淡々と 兵庫県議会百条委証人尋問詳報(1) (産経, 8/30)。(4)まである。
》 不作でもインバウンドでもない コメが買えない「本当の理由」 (毎日, 8/18)
――では、大きな要因は何だと?
◆コメが不足しているのは減反政策のせいですよ。減反というのは、コメの生産を減らして、市場価格を上げる政策です。コメ農家が麦や大豆など他の作物に転作すれば、国が補助金を出す仕組みです。日本はこれを50年以上も続けているのです。
(中略)
――そもそも減反政策は18年、当時の安倍晋三政権が廃止したはずですが。
◆あれは安倍政権のごまかしです。廃止したのはコメの「生産数量目標」だけで、生産を減らせば補助金を出すという減反政策の本丸は残したままです。実際、私は当時、農林水産省の関係者に「本当に減反を廃止するのか」と聞いたら、「とんでもない。減反廃止なんて我々は一言も言ってませんよ」と言い切っていました。
関連:
続くコメ品薄、9月上旬から徐々に解消か 奈良の米穀店が感じた異変 (毎日, 8/28)
消費者の負担は増している。何度も買い物に行ってようやくコメを見つけても、価格が上がっているためだ。7月以降、需要が供給を上回ったことを背景に仕入れ値が一気に約2割高騰し、そのまま販売価格に転嫁されているのだ。
中間搾取してボロ儲けしている奴らがいるってこと。
「お米が売ってない」お米不足…スーパーで買いづらくても通販で購入できます (ポケットマルシェ, 8/28)。ほんとこれ。
》 “VTuberの中の人”をこっそり撮影→第三者に無断送信&誹謗中傷 フリー音楽家の“蛮行”に「にじさんじ」運営、怒りの声明 (ITmedia, 9/2)
ANYCOLORは、音楽家と結んでいる契約を解除し、秘密保持義務違反、プライバシー権侵害、名誉・信用の毀損(きそん)、その他の権利の侵害を理由とする法的対応を実施する予定
Chrome 128.0.6613.113/.114 (Windows / Mac) および 128.0.6613.113 (Linux) 公開。 4 件のセキュリティ修正を含む。 関連:
Chrome for Android Update (Google, 2024.08.28)。Chrome 128 (128.0.6613.99) for Android。
「Microsoft Edge」v128.0.2739.54が公開 ~脆弱性が発見された「Chromium」を更新 (窓の杜, 2024.09.02)
過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998