セキュリティホール memo - 2023.01

　このページの情報を利用される前に、注意書きをお読みください。

• 》 【独自】10分交代で座り、飲み物分け合う…列車の中に10時間　乗客証言から見えた極限の中での“助け合い”【寒波・列車閉じ込め】 (FNN / Yahoo, 1/30)。そりゃそうだよなあ。

  　その原因が、JR西日本 列車立往生 ポイント融雪装置使うほどの降雪想定せず (NHK, 1/25) というのがなあ。 全国的に10年に一度の低温の見込み 大雪や猛吹雪などに警戒を (NHK, 1/24) とさんざん言われていたのに。 非常時に平時の対応をしてしまったと。

• 》 『はま寿司』に続く“回転寿司テロ”を『スシロー』が警察相談も、迷惑行為をSNS投稿の金髪男性「この程度のことでww」反省なしの開き直り (週刊女性 PRIME, 1/31)。関連:

  • SNS で拡散されたスシロー店舗での迷惑行為について (あきんどスシロー, 1/30)

    本件につきましては、スシロー全店において、当該事象発生の有無、発生していた場合その時期、被害に遭ったお店の特定などの調査を進めており、対象となりうる店舗では消毒などを進め、また、早急に警察と相談させていただきながら刑事民事の両面から厳正に対処してまいります。

  • スシロー迷惑動画の男性が通うとされる学校に電話相次ぐ　教頭「本校の生徒か確認中」 (東スポ, 1/30)。当該高校名については滝沢ガレソ氏が公開していたようで。

  • 寿司テロ＆バイトテロ...「炎上動画」相次ぐ背景　識者が分析する「バカッター時代」との違いとは (J-CAST / Yahoo, 1/30)

• 》 「Windows 11 バージョン 22H2」のリモート デスクトップ接続の問題は解決　 「KB5022360」の適用を (窓の杜, 1/30)。KB5022360 はいわゆる「C リリース」。

• 》 「PS5は世界中の小売店で」　SIE、PS Blogで供給増を約束も“日本語版から省いた一節” (ITmedia, 1/31)

• 》 KCPS設備の一部ストレージ障害について(2023年1月28日) (KDDI, 1/28)。事象継続中。

  再起動のトリガとなっているイベントから、復旧対処方法を検討した結果、別ストレージに データ移行を行う方針を決定しました。

  　もともとのストレージは使いものにならなくなっている模様。 作業完了まで最長 2 週間ほどかかると。

  　関連:

  • KDDIのIaaSで60時間にわたる障害　一部ゾーンで「復旧には相当な時間を要する見込み」【追記あり】 (ITmedia, 1/30)

  • 葛飾区立図書館でシステム障害、公式サイトなど利用できず　約80時間続くKDDIクラウド障害の影響で (ITmedia, 1/31)

  • KDDIのクラウド障害、完全復旧には最長で約2週間かかる見込み (ITmedia, 1/31)

• 》 Washington halts licences for US companies to export to Huawei (FT, 1/31)。いよいよ全面停止の模様です。 アメリカ政府の規制で深刻な危機に陥ったHuaweiの年間売上高が前年比で微増となり「危機的状態を脱した」と宣言 (gigazine, 1/6) かと思いきや、この状況。

• 》 他人が2要素認証を無効にできる脆弱性がFacebookに存在していた。現在は修正済み (PC Watch, 1/31)。 「6桁の2要素認証コード」の入力回数制限がなかったので、何度でも try し放題だったそうです。

• 》 時がロシアに味方か、長引く戦闘で西側に焦り　 昨春にロシア軍がキーウから撤退した際のムードとは対照的 (Wall Street Journal, 1/30)

  　そうした急な動きには、もう一つ要因がある。当局者によると、欧米の世論は今のところ、軍事・財政支援を依然として固く支持している。しかし、プーチン氏は、戦争が何年も続き、米国などで政権が交代すれば、そうした支持は続かないと期待している可能性がある。

  　欧州で記録的暖冬 (日経, 1/6) だったこともあり、今冬は保ったようだけれど、今後も続くかどうかはわからないよなあ。

  　関連: 欧州の｢あり得ない暖冬｣、実は世界経済を激変させる？ 2023年｢台風の目｣はユーロ圏に (Business Insider, 1/27)

• 》 セブン―イレブン、卵使用商品を一部販売休止…鳥インフル流行で供給滞る (読売, 1/31)。鶏肉が不足気味という話は聞こえてきていたが、いよいよ卵もですか。

• 》 イスラエルがイラン軍需工場を無人機攻撃 (Wall Street Journal, 1/30)。イラン中部イスファハンの軍需工場へのドローン攻撃 (1/29) はイスラエルによるものだ、という話。

  • 軍需工場にドローン攻撃か　爆発発生も「損害軽微」―イラン (時事, 1/29)

    国営イラン通信によると、国防省は「（ドローン）１機が防空網により撃墜され、他の２機は防衛機構に捉えられて爆発した。死者はおらず、工場の屋根に軽微な被害が出た」と説明した。

  • イラン中部の軍需工場にドローン攻撃、死傷者なし (CNN, 1/29)

  • イラン、軍事施設へのドローン攻撃を「阻止」　建物が損傷も死傷者なしと (BBC, 1/30)

  • イランの中心都市イスファハンの軍事工場で大きな爆発音、死傷者なしと当局者 (アラブニュース, 1/29)

  • イラン軍事工場へのドローン攻撃、イスラエル関与か＝米高官 (ロイター, 1/29)。ロイターも独自取材でイスラエル関与との「米高官」の匿名証言を記事に。

  • イラン軍需工場に無人機攻撃 米有力紙“イスラエルの攻撃” (NHK, 1/30)。WSJ 報道を引いた記事。

  • イラン軍需工場に無人機、イスラエルが攻撃の見方…米に圧力強化訴える狙いか (読売, 1/31)

• 》 Windows Sysinternals 更新情報 (2023 年 1 月 26 日) － RDCMan 2.92、Sysmon 14.14、ZoomIt 6.11 (山市良のえぬなんとかわーるど, 1/26)

• 》 弾が足りない件

  • ウクライナ提供で激減したスティンガー、生産量を2025年までに50％増 (航空万能論 GF, 1/28)。50% 増やしても 60発/月だそうです。 誘導弾は高価で複雑。

    因みにレイセオンのヘイズ最高経営責任者は昨年末「約10ヶ月間の戦いでウクライナ軍は13年分のスティンガーを使い切った」と述べて注目を集めたが、ここまで携帯式対空ミサイルの消耗が激しいのは有人機との交戦だけでなく「低空の戦い」が激しいためで、つまり前線を飛び回る無数の商用ドローンやミリタリーバージョンの無人機を放置すると敵砲兵に狙われるため携帯式対空ミサイルが多用されているからだ。

    安価な対ドローン兵器が求められているけど、決定打はまだない感じ。 とりあえず、今そこにあるスティンガーを使うしかないのだろう。 個人携行できてドローンから対地攻撃機まで対処できるわけで、 スティンガーは利便性・汎用性が高いんだよね。

  • 西側最大の砲兵戦力を保有する韓国、NATO事務総長がウクライナ支援強化を要請 (航空万能論 GF, 1/30)。韓国から直接供与してほしい件。

  • 独ラインメタル、155mm砲弾を年間45万発～50万発まで生産が可能 (航空万能論 GF, 1/30)。現状「戦車向けの120mm砲弾と榴弾砲向けの155mm砲弾を (小島注: それぞれ) 年間6万発～7万発」から、120mm砲弾 年間24万発 + 155mm砲弾 年間45万発～50万発「まで引き上げることが可能」 だそうで。

• 》 オンライン診療アプリSOKUYAKUのプライバシーポリシーが心配な件 (なか2656のblog, 1/30)

  なお、このようなメッセージアプリは通信のやり取りを媒介するサービスなので、総務省に届出電気通信事業者の届出が必要となります。しかしSOKUYAKUを運営する会社サイトの会社概要をみると、届出電気通信事業者の届出番号が記載されていないのですが、これも電気通信事業法との観点からアウトなのではないかと思われます。

• 》 DAPPI は月給 110 万円。 平社員では全くなさげ。

  • 会社の業務中に貸与パソコンで「Dappi投稿」給与1割カットの懲戒処分に疑問点、原告側が裁判で指摘 (BuzzFeed, 2022.11.25)

    なお、懲戒処分に関連する証拠資料として提出されていた給与明細については、会社側による閲覧制限の申し立てが11月4日、東京地裁に却下された。
    両議員側の弁護団が明らかにしたところによると、2020年12月〜21年2月までの間、月額110万円だった給与が99万円に減給されていたという。

  • 「ここまで大きな問題になるとは…」Dappiめぐる裁判、従業員による私的な投稿と主張のWEB制作会社「業務と無関係」と改めて反論 (BuzzFeed, 1/23)

  • 野党中傷「Ｄａｐｐｉ」発信元　 投稿者に月給１１０万円　 会社幹部関与か (しんぶん赤旗, 1/25)

• 》 最高裁のメールアドレスが「nifty.com」　河野大臣「これはすごい」と反応　対応へ (ITmedia, 1/26)

  裁判所の公式Webサイト内にある「変更事項の届出等について」のページでは、最高裁判所の連絡先として「@nifty.com」のメールアドレスを掲載しており、詐欺や間違いではないことが分かる（1月26日午後14時時点）。

• 》 大雪で「ゆうパック」引受停止　近畿や四国ほぼ全域で「当面の間」 (ITmedia, 1/26)。関連:

  • 天候不良の影響について【2023年1月26日（木）】10時現在 (郵便局, 1/26)。引受停止範囲が広過ぎる。これが小泉郵政改革の成れの果て。

  • 非常に強い寒気の影響によるお荷物のお届け遅延について（1月26日 14:00更新） (ヤマト運輸, 1/26)。一部、引受停止地域あり。

  • 天候不良による配送遅延について（2023年1月26日14時現在） (佐川急便, 1/26)。遅れはあるが、引受停止はしていない模様。

• 》 Wi-Fiルーター、捨てるときは必ず○○を　安全な処分の方法、バッファローに聞いた (ITmedia, 1/26)

  Wi-Fiルーターにはお使いのプロバイダー情報などが記憶されているので、廃棄の前に必ず初期化作業が必要です。
  　具体的には、電源が入った状態で「RESET」ボタンの「POWER」ランプが点滅するまで（約3秒間）押し続けることで、設定情報を初期化できます。

• 》 半導体は余ってる?

  • 半導体不足が一転、供給過剰　PC・スマホ低迷で (Wall Street Journal, 2022.12.28)

  • 半導体の供給過剰、解消は23年秋以降　車向けは逼迫続く (日経, 1/4)

    対照的に、自動車や産業向け半導体はなお需給が逼迫している。短納期で手に入る部品が増えても「半導体、電子部品が1点でも入手できなければ生産できず、その他の部品は在庫にするしかない」（半導体商社のコアスタッフ）。古い生産技術を使った半導体部品を中心に、なお十分な量を確保しづらい状況だ。
    
    特に車向けは23年内は供給が不足したままとの見通しだ。(中略) 自動車向けで需要が増加傾向にある中で、電流の制御に使うパワー半導体や、電源管理などを担うアナログ半導体は「まだ設備投資も少なく、急激に供給は増加しなさそう」（商社大手のマクニカホールディングス）。両者とも23年内の逼迫感は残ったままだ。米半導体商社ソースエンジンのまとめによると、パワー半導体の納期は5月末の31～51週から11月時点では39～64週に長期化している。

  　関連:

  • 熊本・菊陽町進出のTSMC「日本に第2工場を検討」 (熊本日日新聞, 1/12)

  • TSMC進出の九州、続く半導体投資　京セラや三菱電機も (日経, 1/7)

• 》 ドイツがレオパルト提供を決定、米国は約30輌のエイブラムスを提供か (航空万能論 GF, 1/25)

  ドイツのSpiegel紙は「少なくともドイツは陸軍在庫からレオパルト2A6を14輌提供する予定だ」と、FAZ紙は「オランダのルッテ首相がリース契約で導入した18輌のレオパルト2A6を購入に切り替えてウクライナ提供を検討中だ」と、ノルウェーのDN紙は「36輌保有するレオパルト2A4NOの内8輌を提供する可能性がある」と報じており、先に提供を表明しているポーランド分（14輌）とフィンランド分（不明）を合わせれば50輌以上のレオパルト2がロシア軍との戦いに向かうことになる。

  　微妙に異なるレオパルト2 各種が戦場へ。 まあ、まずは訓練、訓練、訓練でしょうが。 それとも、実は訓練は既に実施中だったりするのだろうか。

  　M-1 の台数は、WSJ 記事 では max 50 両となっている。まあ、正式発表を待ちましょう。

  　関連: 対ウクライナの戦車供与、米国の影に隠れた欧州 (Wall Street Journal, 1/25)

• 》 ウクライナ支援の転換点、スイスが交戦国への武器移転を容認する方針 (航空万能論 GF, 1/25)。35mm 機関砲弾など。

• 》 米陸軍は155mm砲弾の生産量を朝鮮戦争の水準に戻す、2年以内に月産9万発 (航空万能論 GF, 1/25)

• 》 「Wi-Fiルータは暖房ついてる部屋に」氷点下は保証外、バッファローが注意喚起 (ITmedia, 1/25)。MIL-SPEC じゃないのでねえ。

• 》 Microsoft、「Edge」のWindows Server 2012/2012 R2対応を10月10日まで延長 (窓の杜, 1/25)。ESU ではどうなるんだろう。

• 》 「Microsoft 365」サービスに障害発生 ～TeamsやOutlookなどにアクセス不可に【20時55分追記】 (窓の杜, 1/25)。なんか動きが変だなあと思っていたけど、不具合だったのね。

• 》 『徴用』問題 最終局面　日韓関係の行方 (NHK 解説委員室, 1/20)

• 》 STREAMLIGHT 1AAクラス世代交代なるか！？ 1L-1AA VS MACROSRTREAM (目指せ！ライトマニア AKARICENTER 懐中電灯レビュー, 1/18)

• 》 New T-Mobile Breach Affects 37 Million Accounts (Krebs on Security, 1/19)

• 》 メール配信サービス「Mailchimp」がハッカーによる不正アクセスを受け顧客データの一部が流出か (gigazine, 1/19)

• 》 システム不具合によりアメリカ全土のフライトが一時欠航になった原因は「請負業者によるファイル削除」との結論 (gigazine, 1/23)。NOTAM 不具合の件。

• 》 航空会社が誤って公開していたサーバーから約150万件の飛行禁止対象者のリストが流出 (gigazine, 1/23)

• 》 シリアに違法駐留を続ける米軍の基地が「イランの民兵」所属と見られる自爆型ドローンの攻撃を受ける (青山弘之 / Yahoo, 1/21)

• 》 「Twitterの無駄機能を全部殺せる」　ブラウザ拡張「Tweak New Twitter」が話題　フォローのツイートだけ表示など (ITmedia, 1/23)

  記者も実際に使ってみたが、なかなか快適だ。Twitterに対し「フォローしている人やフォロワーのツイートを時系列に見せてくれればそれでいい」「余計な機能はいらない」と求めるユーザーの声も多く見られるが、その要望をおおむね実現してくれると感じた。

• 》 「今までありがとう」サードパーティ製Twitterアプリの公式アカウント、開発停止を続々表明 (Internet Watch, 1/23)

  広告が表示されないサードパーティ製Twitterクライアントが同社の方針と相容れないことはかねてより指摘されており、この結末を予想していた開発者も多かったようで、今回の発表に合わせて開発や配布の終了を淡々と告知する様子が目立っていた。

  　関連:

  • Twitterサードパーティアプリの停止は「意図的」と報道、収益改善が狙いか (男子ハック, 1/16)

  • Twitter Blueとサードパーティ製アプリ締め出しの着地点 (8vivid, 1/17)

  • イーロン・マスク「おすすめの強制表示の廃止」「おすすめに国外のツイート」「広告ナシで高価なTwitter Blue」を予告 (男子ハック, 1/23)

• 》 ChatGPTのヤバさは、論理処理が必要と思ったことが確率処理でできるとわかったこと (きしだのHatena, 1/10)

• 》 ロシアのスパイとして射殺されたキレフ氏、実際はキーウ占領を阻止した功労者 (航空万能論 GF, 1/20)。映画化決定だろこんなの。

  ブダノフ准将の説明によるとキレフ氏はウクライナ国防省情報総局（GBR）のエージェントで「彼がロシア側の情報を伝えてくれたお陰で23日にプーチンがウクライナ侵攻を命じたことも、攻撃の目標が何処なのかも全て事前に知ることができ、キーウ防衛のため軍を配備する貴重な時間を得ることができた」と述べており、24日朝にロシア軍空挺部隊がアントノフ空港を強襲するのを事前に把握して阻止できたのは「キレフ氏のお陰だ」と示唆。

• 》 ウクライナはなぜドイツの戦車を求めるのか　「3大戦車」その性能は (朝日, 1/20)

  　――旧ソ連製の戦車を使っていたウクライナがすぐに使いこなせるようになりますか。
  
  　少なくとも、単車（1両）で戦闘行動できるようになるのに1カ月かかるでしょう。自衛隊なら3カ月かけます。レオパルト2の乗員は4人だそうですから、車長、砲手、操縦手、装塡（そうてん）手がいるのでしょう。4人連携し、車長の言う通りに動けるようになるまで時間がかかります。
  (中略)
  　単車で動けるようになっても、3～4両の小隊単位で連動して動けるようになるまで、ここにも最低1カ月はかかります。結局、個人ごとの訓練を始めてから、部隊として戦力を発揮するまで最低2カ月はかかるでしょう。

  　なので、次回の攻勢 (3〜4月?) に間にあわせるには今すぐ戦車を取得して訓練をはじめられないと駄目だと。

• 》 続々と発表されるウクライナ支援、デンマークは保有するCaesarを全部提供 (航空万能論 GF, 1/20)。19両。

• 》 欧州9ヶ国がタリン宣言を発表、ウクライナに対する集団的軍事援助を約束 (航空万能論 GF, 1/20)。「英国、オランダ、デンマーク、ポーランド、チェコ、スロバキア、エストニア、ラトビア、リトアニアの9ヶ国」。

• 》 独産業界の奇抜な計画、オマーン保有のチャレンジャー1をウクライナに提供 (航空万能論 GF, 1/20)。50両以上。あくまで plan。

• 》 ウクライナへの戦車提供、英国に続きフランスもルクレール提供を検討か (航空万能論 GF, 1/19)。生産数が全然違うのですね。

  ショルツ首相は西側製戦車のウクライナ提供で「ドイツ製戦車の提供数」が突出するのを何よりも嫌っており、英国とフランスがチャレンジャー2（227輌保有）とルクレール（222輌保有）を提供すると言っても量が限定的で、3,000輌以上も生産されたレオパルト2の提供や移転承認を認めればドイツ製戦車の提供数が突出するのは目に見えているため「米国がエイブラムスを出すなら」と主張している。

• 》 ドイツ製戦車供与は「米国次第」　ショルツ首相の意向と報道 (東京, 1/19)。レオパルド2 供与の件、 米国が M-1 エイブラムズの供与を渋っているから、ということにしたいと。

  　つづき: ドイツ国防相、レオパルト2は単独提供が可能で数日以内に決定が下される (航空万能論 GF, 1/20)。ポーランド所有のレオパルド2 がウクライナに供与されるのは時間の問題?

• 》 ドイツでロシア関係者が民意扇動か　ウクライナ支援の弱体化狙う (産経, 1/10)。詳細はこちら:

  • Pro-Putin operatives in Germany work to turn Berlin against Ukraine (Reuters, 1/3)。ロイターの調査報道。

• 》 通信事業者は最悪事態の想定を、大規模障害「地獄絵図」の教訓とは (日経 xTECH, 1/20)

  日経クロステック堀越功　
  (中略)
  　2022年夏以降、「電気通信事故検証会議（以下、事故検証会議）」と「非常時における事業者間ローミング等に関する検討会（以下、ローミング検討会）」という通信障害に関する総務省の有識者会議に参加することになり、制度整備の視点からこの問題に向き合うようになったのはよい機会でした。
  　事故検証会議では、KDDIやNTT西日本の重大事故など、個別の通信障害の原因や背景を深掘りし、今後の教訓を洗い出す作業を進めてきました。ただ個別の事象を検証したところで、通信障害はなかなか減りません。このため事故検証会議では2022年12月末から、業界横串で通信障害の背景にある構造問題を探ろうと新たな検証作業を始めています。具体的には各社の新規設備に関するリスクの洗い出し方法や、ヒューマンエラーを防ぐための取り組み、想定外の事象が発生した場合の対応方法などを、通信事業者各社にヒアリングしています。
  　残念ながらヒアリングの内容は非公開ですが、各社の障害対策のアプローチは気づきも多く、業界全体に展開できたら価値が高いノウハウもあります。事故検証会議ではヒアリングの内容を踏まえ、現在の通信設備の技術基準や管理規定の見直しなども視野に入れて、2023年初頭から集中的に議論を進めています。

  　関連:

  • KDDI通信障害の報告書で見えた地獄絵図、痛恨のミスから次々と事態が悪化 (日経 xTECH, 2022.10.12)

    • 電気通信事故検証 報告書　 （令和４年７月２日発生した KDDI 株式会社及び沖縄セルラー電話株式会社 による重大事故） (電気通信事故検証会議 / 総務省, 2022.10)

  • 令和4年度　第4回　電気通信事故検証会議 (総務省, 2022.11.01)、 資料4－2　 「電気通信事故に対する適切な対応について（指導）」の実施状況について（KDDI株式会社・沖縄セルラー電話株式会社） (総務省, 2022.11.01)

    指導内容はこちら: 電気通信事故に関する適切な対応について（指導） (総務省, 2022.08.03)

  • 令和4年度　第6回　電気通信事故検証会議 (総務省, 2022.12.21)、 資料6-3　　電気通信事故検証会議（構造問題関係）の検討事項等について (総務省, 2022.12.21)

  • 令和4年度　第8回　電気通信事故検証会議 (総務省, 1/18)、 資料8-2　　「電気通信事故に対する適切な対応（指導）」の実施状況について （西日本電信電話株式会社） (総務省, 1/18)

    指導内容はこちら: 西日本電信電話株式会社に対する電気通信事故に関する適切な対応についての指導 (総務省, 2022.09.30)

• 》 トンネル工事の出水で井戸枯れか、広島で異変相次ぐ (日経 xTECH, 1/20)。トンネル工事というのは、こういうことが実際に起こるわけですね。

  　広島県熊野町の平谷地区で井戸枯れが相次いだ問題は、地下送水トンネルの新設工事が影響している可能性が高いことが分かった。2021年7月ごろからトンネル掘削時の湧水量が増え、同年10月以降に井戸の異変を訴える苦情が続出した。

• 》 EVに逆風か、新規制「ユーロ7」はタイヤ粉じんも対象 (日経 xTECH, 1/20)

  　とりわけ、欧州で販売が伸びているEVでは対策が難しくなりそうだ。EVは大容量のリチウムイオン電池を搭載するため、車両質量が内燃機関（ICE）搭載車より重くなりやすい。(中略) モーターで駆動するEVは発進・加速時の強力なトルクが持ち味でもある。こうしたEVの特徴は、タイヤの摩耗量が増える要因となる。
  　ただ、タイヤの規制に関しては具体的な規制値や試験法が確定していないのが現状だ (中略) まずは、早急な試験法の確立が望まれる。

• 》 攻撃ヘリコプターを廃止する陸上自衛隊 (JSF / Yahoo, 1/19)。 攻撃/偵察専用は廃止し、 汎用ヘリ + 武装 + ドローンで対応する話。 ぶっちゃけ金がないからなんだけど、 ウクライナ戦争での実績がそれを加速させた感。

• 》 RSAの終わりの始まり - 暗号移行再び (@lemiyachi / qiita, 1/18)。RSA 2048bit もそろそろ終了が見えてきたようです。 今のうちから ECDSA に移行するのが吉なのかな。 (typo fixed: iida さん感謝)

• 》 バンナム元社員、会社スマホ4400台を無断で売り約6億円着服　民事訴訟へ (ITmedia, 1/18)

  2021年11月、社内で管理しているスマホなどのモバイル端末の数と、実際に使用されている端末の数に差異があることが発覚。調査したところ、元従業員の関与が明らかになった。

• 》 コインベースが日本撤退、1年半で (Impress Watch, 1/18)。関連:

  • Coinbase、950人をレイオフ　昨年6月に続けて (ITmedia, 1/11)

  • ビットコイン価格上昇の原因はコインベースの機関投資家？──バイナンスのクジラも関係か (coindesk japan, 1/18)

• 》 ロシア・参謀総長・総司令官　異例の兼務 (NHK 解説委員室, 1/18)

• 》 NATO加盟　北欧とトルコの駆け引き (NHK 解説委員室, 1/18)

  Ｑ．トルコとスウェーデンがＮＡＴＯ加盟をめぐってここまでこじれているのは何故でしょうか。
  
  この機にとれるものはすべてとりたいトルコと、人道的にもこれ以上譲歩はできないスウェーデン、双方の思惑が真っ向からぶつかっているからです。

  Ｑ．では北欧２か国のＮＡＴＯ加盟はどうなるのでしょうか？
  
  ＮＡＴＯに加盟する３０か国のうち加盟議定書にまだ批准してないのはハンガリーとトルコの２か国です。ハンガリーは加盟支持を表明し近く議会で批准される見通しですので残るはトルコだけです。スウェーデンと一緒にＮＡＴＯ加盟を申請したフィンランドは、スウェーデン抜きに単独で加盟しないとしており、北欧２か国のＮＡＴＯ加盟はトルコの決断にかかっています。トルコとしてもＮＡＴＯ内での孤立を避けるためにも最後までＮＯを突き付けるのは得策ではありません。
  大統領選挙までトルコの軟化は期待薄ですが、どこで手を打つのか、ウクライナの行方にもかかわるだけに今後の動きに目が離せません

• 》 クレジットカード不正利用 最悪の見通し 対策を解説 (NHK 解説委員室, 1/18)

• 》 iPhoneを奪い取られた後「AppleのサポートのせいでiCloudアカウントまで失ってしまった」との体験談 (gigazine, 1/17) (

  ビジャルバ氏の兄弟が受けた攻撃は、iPhoneを盗まれた被害者が新しいSIMカードを入手すると、古いSIMカードが使えなくなることを利用した手口です。これにより被害者が新しいSIMを取得したことを察知した犯人は、発信元をAppleのサポートに偽装したフィッシングメッセージを被害者に送りつけます。そして、被害者からiCloudアカウントとパスワードをだまし取ることに成功すると、iPhoneのロックを解除してiPhoneを売り払ってしまいます。

• 》 テスラの「完全自動運転で通勤するムービー」はやらせだったことが判明 (gigazine, 1/18)。イメージ映像。

• 》 環境活動家のグレタ・トゥーンベリがドイツで警察に連行される (gigazine, 1/18)

  地元のアーヘン警察によると、トゥーンベリ氏らは逮捕されたわけではなく、他の抗議者とともに身元確認のために移動されたとのこと。

• 》 GoogleがAppleの「AirTag」のような落とし物トラッカーを開発しているとリークされる、2023年秋に新型Pixelと同時発売か (gigazine, 1/18)

• 》 ニュースサイト「CNET」に掲載されたAI製記事は人間のファクトチェックを経てもなお重大な誤りが含まれていた (gigazine, 1/18)

• 》 秀丸メール：HTMLメールViewerの動作不良について (秀まるおのホームページ, 1/17)

  　当社でテストした所、Windows10/11の「22H2」に対しての最近出てきた更新プログラム（Windows10用 = KB5015684、Windows11用 = KB5022303）がインストールされるとおかしくなるようです。
  　（2023年1月18日追記:Edgeブラウザのアップデートによっておかしくなってるらしいです。バージョン 109.0.1518.55で再現し、109.0.1518.52では大丈夫とのことでした。KBxxxxxxxxのWindowsの更新プログラムは関係無いかもしれません）

  　Edge 109、印刷不具合に続いてこれですか。

  　関連: Microsoft Edge で PDFなどを読み込んで印刷しようとしても反応しない　Part 2 (パソコンのツボ　～ Office のTIP, 1/16)

• 》 貴石のチケット: 詳解 次世代型Kerberos攻撃 (paloalto unit42, 2022.12.21)

  リサーチャーの推測では、Sapphire Ticket攻撃とDiamond Ticket攻撃はGolden Ticket攻撃と似ていますが、さらに発見が困難になるので、将来的に多様な脅威アクター(Playful Taurusなど)がこれらの攻撃を使用する危険性があります。

• 》 ロシアの侵攻前日、マイクロソフトが察知した異変　サイバー戦最前線 (朝日, 1/17)

  　米国では2013年、ロシアに亡命した元米中央情報局（CIA）職員のエドワード・スノーデン氏による内部告発で、IT大手9社が政府が進める個人情報の収集に協力していたことが発覚。この時には政府とIT大手の「密約」に厳しい批判がわき起こった。
  
  　だが、ウクライナ侵攻や中国の台頭で地政学的なリスクやサイバー攻撃の脅威が高まる今、国家とIT大手の連携は強まり、企業側からも公に「成果」が強調される状況になっている。

• 》 「Microsoft Defender」に削除されたショートカットを修復するスクリプト、v2.0が公開　 日本語環境では最新版の利用を推奨 (窓の杜, 1/17)

• 》 「MSYS2」でWindows 7/8対応が終了 ～32bit版「Qt 6」のサポートも打ち切り (窓の杜, 1/17)

• 》 座礁が続きますね

  • 護衛艦「いなづま」。 DD-105。 むらさめ型護衛艦。

    • 海自護衛艦「いなづま」が座礁（山口県周防大島沖） (中国新聞, 1/10)

    • 護衛艦「いなづま」を詳細調査へ　瀬戸内で座礁、造船所到着 (神戸新聞, 1/16)。 ジャパンマリンユナイテッド 因島事業所 (広島県尾道市)。

    • 護衛艦「いなづま」の航行不能、原因は運航面にあった可能性高いとの認識…海上幕僚長 (読売, 1/17)。機器不具合でも天候不順でもないので。

  • 巡視船「えちご」 。PLH-08。つがる型巡視船。

    • 巡視船「えちご」新潟 沖合で浅瀬に乗り上げ浸水 けが人なし (NHK, 1/18)

    • 【速報】海保の巡視船「えちご」座礁　新潟柏崎市沖 (テレビ朝日 / Yahoo, 1/18)

• 》 Microsoft Edgeで印刷できない不具合。バージョン109から発生。対処方法・回避策あり (ニッチなPCゲーマーの環境構築Z, 1/16)。CTRL-P は駄目だけど、 CTRL-SHIFT-P なら ok なのだそうで。

  プリンター一覧に2バイト文字(全角)のプリンターがあるとこの不具合が発生します。一覧にある2バイト文字のプリンター名をすべて1バイト文字(半角)に変更するか、2バイト文字のプリンタードライバを削除すると、この不具合は発生しません。

• 》 Avastが無料でランサムウェア復号ソフトを配布 (gigazine, 1/17)

• 》 お掃除ロボットがスパイに？ (Kaspersky, 1/17)。 「ルンバが撮ったトイレ中の女性の写真がFacebookに投稿された」という記事がネットで激論に (gigazine, 2022.12.20) を受けての記事みたい。

  ロボット掃除機によるデータの収集や漏洩のリスクを最小限に抑えるように、使い方を調整することは、そんなに難しいことではありません。例えば、自宅の間取りをメーカーのサーバーに送信しないように掃除機を設定したり、家族がいるときは掃除機を使わないようにしたり、寝室や書斎など特定の部屋に掃除機が入らないように設定することもできます。この最後のオプションは、ロボット掃除機上で設定できる場合もありますが、掃除機メーカーが販売しているバーチャルウォールバリアを利用するとさらに安全です。
  
  また、完全にオフラインで動作する掃除機モデルを選ぶことも現実的な選択肢の一つです。iRobot社には多くのオフライン対応モデルがありますが、起動のスケジュール設定やクリーニング情報の閲覧にはネット接続が必要で、さらに携帯電話にアプリをインストールする必要もあります。

• 》 ロシア雇い兵組織「ワグネル」の元指揮官、ノルウェーに亡命申請　ウクライナで実態見て (BBC, 1/17)

  ロシアの人権団体「Gulagu」(中略) の創設者ウラジーミル・オセチキン氏はBBCに対し、メドベージェフ氏は2022年7月に4カ月契約でワグネルに加わったが、ウクライナでの職務中に多数の人権侵害と戦争犯罪を目撃して脱走したと語った。

• 》 IntelやMicrosoftがロシアへのソフトウェア配信規制の一部をこっそり解除か (gigazine, 1/16)

• 》 Microsoft Defender for Endpointで事件です。 (山市良のえぬなんとかわーるど, 1/16)。 「Microsoft Defender」がショートカットファイルを破壊・削除 ～Microsoftが対策、復旧策を案内 (窓の杜, 1/16) の件。

• 》 イーロン・マスクのTwitter改革によって「日本で政治的なトレンドが減少」「インドでヘイトスピーチが増加」など世界中で変化が生じている (gigazine, 1/16)

• 》 Dellが中国製のチップの使用を2024年までに削減・停止へ (gigazine, 1/6)

• 》 個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書（案）」に関する意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 1/13)。2/12 まで。

• 》 読みました！　「偽情報戦争」 (まるちゃんの情報セキュリティ気まぐれ日記, 1/15)。 まだ発売前だった。

• 》 システム障害による米国内全便のフライト一時停止についてまとめてみた (piyolog, 1/14)。NOTAM の件。

• 》 CircleCIへの不正アクセスについてまとめてみた (piyolog, 1/16)

• 》 アフラックとチューリッヒの情報流出についてまとめてみた (piyolog, 1/13)。業務委託先から漏洩。

• 》 12月のドコモ障害、故障検知ミス・不正確な手順書で延べ311万人に影響　総務省に報告書提出 (ITmedia, 1/16)

• 》 GYAO と LINE LIVE、3/31 終了を発表

  • 「GYAO!」サービス終了のお知らせ (Zホールディングス, 1/16)

  • 「GYAO!」も終了へ　「LINE LIVE」と同時　ショート動画「LINE VOOM」に資源集中 (ITmedia, 1/16)

  • 「GYAO!」3月終了の余波　最終回が間に合わないアニメ多数　独占配信は代替手段なし (ITmedia, 1/16)。おぉぅ。

• 》 イエティ航空 YT691 便墜落事故 (1/15) 方面。 ATR72-500。

  • ATR 72-500 (atr-aircraft.com)、 ATR 72 (ウィキペディア)

  • ネパール中部でイエティ航空機が墜落　29人死亡 (AviationWire, 1/15)

    イエティ航空は6機のATR72を保有。Aviation Wireの調べによると、事故機はインドのキングフィッシャー航空（13年に運航停止）が16年前の2007年8月に受領した機体で、座席数は1クラス66席だった。その後2社を経て、イエティ航空は2019年4月に受領している。

    機体自体はめちゃくちゃ古いというわけではなさそう。

  • ネパールYT691便墜落、死者68人に　16日は全便欠航 (AviationWire, 1/16)

  • ネパールの墜落事故、飛行機利用が世界で最も危険な国の評判強める (ブルームバーグ, 1/17)

  • 結果として、事故のライブ配信となってしまった模様。

    • ネパール墜落事故、搭乗客が動画をライブ配信　パイロットからは「異常報告なかった」と当局 (BBC, 1/17)

    • ネパールの飛行機墜落事故　機内からライブ配信されたという映像がTwitter上で拡散 (ITmedia, 1/16)

    • Final moments of Nepal plane crash captured by passenger on Facebook Live: Chilling footage filmed from inside doomed airliner as it plummets to the ground and bursts into flames killing at least 68 people on board (Daily Mail, 1/15)

    • 突然、画面乱れ…悲鳴も　ネパール旅客機墜落直前の“ライブ配信”映像　68人の死亡確認 (TBS NEWS DIG / YouTube, 1/16)

  • ネパール 旅客機墜落事故 フライトレコーダーなど回収 (NHK, 1/16)

  • ネパール旅客機、墜落直前…左側に突然傾き　専門家「エンジン出力不足か」 (TV 朝日, 1/16)

• 》 レッツノートはUSB PDをどこまで信じているのか (山田 祥平 / PC Watch, 1/14)

• 》 「Microsoft Defender」がショートカットファイルを破壊・削除 ～Microsoftが対策、復旧策を案内 (窓の杜, 1/16)。問題のあったルール自体は既に修正されている模様。

• 》 六本木で火災、スプレー缶のガス抜き中に爆発か。廃棄時は「穴開けしないで」と環境省、安全な捨て方とは…？ (BuzzFeed, 1/16)

  環境省は2009年から自治体に対し「穴開けをしない方向が望ましい」という風に伝え、通知も出してきた。

  　へえ。

  • スプレー缶取扱い中の火災に注意してください！ (大津市)

    大津市では、カセットボンベなどのエアゾール缶は、中身を使いきり、穴をあけずに缶の日に捨ててください。

  • スプレー缶（エアゾール缶）、カセットボンベの出し方 (草津市)

    注記：穴を空ける必要はありません。穴を開けようと、勢いよく釘を刺したりハンマーで叩いたりすると、爆発の恐れがあり危険です。

  • 令和2年4月から、スプレー缶・カセットボンベ類の出し方が変更になりました (栗東市)

    スプレー缶・カセットボンベ類は、穴を開けずにコンテナへ出せます。

  • カセットボンベ・スプレー缶、使用済みライターの回収方法について (守山市)

    必ず使い切り、穴を空けてください。

  • スプレー缶の廃棄について【注意】！！ (野洲市)

    野洲市ではスプレー缶を捨てる際は、中身を使い切り、自身で缶に穴を空けて頂く必要があります。

  • ごみ の 分別 と 出し方 (近江八幡市)

    スプレー缶、カセットボンベは、中身を使いきり穴2か所を開けて出してください。

  　田舎ほど旧体制のままなんですかね。(分析がざっくりすぎる)

• 》 スマホの回線がつながらない…と思ったら金銭被害まで発生!? 脅威の「SIMスワップ詐欺」とは (Internet Watch, 1/13)

• 》 プチ鹿島が川口浩探検隊を“探検”した理由「メディアの熱狂の時代を不透明決着で終わらせてはいけない」 (日刊ゲンダイ, 1/16)。 ヤラセと情熱 水曜スペシャル『川口浩探検隊』の真実 の件。電書版も出ました。

  　──メディアが熱狂していた時代ですよね。
  
  　テレビ史を変えたヤラセリンチ事件の真相もロクに検証されず、ロス疑惑も三浦和義さんが亡くなってグレーなまま。まるで探検隊の「不透明決着」です。84～85年は現在の挑戦しにくいメディアに至る時代の転換期だったのかもしれない。改めて熱狂の時代を検証すべきじゃないでしょうか。

• 》 「LibreOffice 7.4.4 Community」が公開 ～「LibreOffice 7.3」ユーザーは移行を (窓の杜, 1/13)

• 》 スノーモービルやスキーでiPhoneやApple Watchの衝突事故検出が誤誘発 (やじうま Watch, 1/12)

• 》 「Starlink」大幅値下げ、衛星インターネットが月額6600円に　アンテナも半額 (ITmedia, 1/13)

• 》 結局、紙で保存でOKなのか？　電子帳簿保存法がアップデート　売上高5000万円以下は検索要件不要に (ITmedia, 1/13)

• 》 Twitterから漏えいした6億件の個人情報は「Twitterの脆弱性を悪用して取得されたものではない」とTwitterが主張 (gigazine, 1/12)

• 》 NOTAM がクラッシュして米国国内便が停止 (1/10)

  • 米航空システム「ＮＯＴＡＭ」の異常で空の便大混乱、原因は？ (CNN, 1/12)

  • 全米の航空便を停止させる原因となった｢NOTAMシステム｣とは (Business Insider, 1/12)

  • コンピューターシステムの不具合によりアメリカ全土のフライトが一時欠航に (gigazine, 1/12)

• 》 「Password1234」などの超単純パスワードがアメリカ政府機関で大量に使われていた (gigazine, 1/12)。にんげんだもの。

• 》 Webサーバー「Apache」にアメリカ先住民から名称変更の要請 (gigazine, 1/12)。web サーバーではなく Apache Software Foundation の名前を変えてくれという話。 原義に戻って a patchy なら ok なのかな。

• 》 決定、2022年マライ・メントライン文芸賞！『ロマニ・コード』（角悠介）を驚異と言わずなんとする (マライ・メントライン / QJWeb, 1/11)

  だからですね、これは版元に怒られるかもしれないけど、本書、たとえばこの内容のままでタイトルを『文学部の学者のくせに即物的にしか思考できないボクは奇怪言語で覚醒する』にして、電撃文庫とかから出したほうが市場に刺さって絶対売れるしウケる（というか知性の種が世に拡散される）と思うのですよ。電撃ノンフィクション叢書第一弾！ とかいって。表紙が美女と加齢臭おやじの共演イラストになったりするのは内容的にもウソじゃないし（笑）。

  　関連:

  • ツイート

    【大反響御礼❗️】
    多数メディアにてとりあげていただきました✨
    （日本経済新聞、西日本新聞、週刊現代、週刊文春）
    
    注目の本書、ぜひご覧ください！
    
    角悠介『ロマニ・コード』https://t.co/T41StRXh4N#ロマ #旅 #民族学 #読書 #読書好きな人と繋がりたい #言語学 #放浪 #ノンフィクション pic.twitter.com/wRHgTjQsO2

    — 夜間飛行 (@bookyakan) January 10, 2023

• 》 明日 （1/11 JST）は毎月恒例 Windows Update の日、Windows 8.1 最後の更新 (山市良のえぬなんとかわーるど, 1/10)

• 》 Malware Analysis Operations（MAOps）の自動化 (JPCERT/CC Eyes, 1/10)

• 》 LogonTracer v1.6 リリース (JPCERT/CC Eyes, 2022.12.21)

• 》 「ブラジル議会襲撃」フェイクが後押しする暴力の背景とは？ (新聞紙学的, 1/9)

• 》 しょせん他人事ですからって、セリフ減ったねぇ。【勝手にPRシリーズ】 (壇弁護士の事務室, 2022.12.27)。3巻で 120 万部は、なかなかのものですね。

• 》 情報法制研究12号に画期的な論文（連載第6回）を書いたのでみんな読んでほしい (高木浩光＠自宅の日記, 2022.12.30)

  また、この論文の帰結から導かれる政策論のエッセンスは、先日発表された「GLOCOM六本木会議」の提言書に簡潔にまとめられているので、こちらもご覧いただきたい。

  • 【提言書公表】デジタル社会を駆動する『個人データ保護法制』に向けて, GLOCOM六本木会議, 2022年12月22日

  もはや学説よりも、一般人の理解の方が先に着いて来ている。

• 》 内閣官房サイバーセキュリティセンター 「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 2022.12.27)。1/30 まで。

• 》 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復：製造業のためのサイバーセキュリティ（改訂1版） (まるちゃんの情報セキュリティ気まぐれ日記, 2022.12.24)

• 》 「Windows 11 バージョン 22H2」の日本語変換にトラブル ～Microsoftが認める (窓の杜, 1/10)。回避不能ということみたい。

• 》 10年以上前の古いAdobe製品は利用不可 ～2023年1月31日でログイン不能に　 「Creative Suite 6」や初期版「Creative Cloud」サブスクリプションなどが対象 (窓の杜, 1/10)。世知辛い。

• 》 2023年3月よりDigicert(デジサート) SSL/TLSサーバ証明書のルート証明書、 および中間CA証明書変更に関するご案内 (ZERONET, 2022.11.30)

  1. (再掲)適用予定日 2023年3月9日（木）2:00 (日本時間） (中略) 上記適用日以降に、新規、更新、再発行申請により発行される証明書は、 新しい中間CA証明書から発行されます。

  　関連: (続報) SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するご案内 (DigiCert, 2022.11.28)

• 》 コードサイニング証明書を買う前に　 2022年版 コードサイニング証明書 主要価格一覧 (山崎はるかのメモ, 2022.09.21 更新)。「初心者はセクティゴジャパンがおすすめ」

  　関連: コード証明書(スタンダードタイプ)の仕様変更に関するお知らせ (セクティゴジャパン, 2022.11.01 更新)

  ※2022年11月1日追記
  
  証明書の仕様を策定するCA/ブラウザフォーラムは、コード証明書(スタンダードタイプ)及びそのサービスに関する新規定の適用について、USBハードウェア暗号モジュールトークン (HCM) を起因とするグローバルサプライチェーンの諸事情により、2023年6月1日まで延期することを決定いたしました。
  
  大変申し訳ございませんが、新規定を満たす証明書への最終的な移行日は現在未定となりました。当面、従来のダウンロード形式の証明書を販売させていただきますので、何卒、ご理解を賜りますよう、お願い申し上げます。

• 》 玄人志向、電源ユニットに誤ったケーブルが付属。交換対応へ (PC Watch, 1/10)

• 》 なぜ国産旅客機「MRJ」は失敗したのか 現場技術者に非はなかった？ 知られざる問題の本質とは (ブースカちゃん / Merkmal, 1/9)

  つまり、MRJが挫折した理由の根本は、
  「日本という国家が、航空機の安全を国際的に担保する能力に欠けている」
  ことだ。

  　そして、MRJ の挫折により、「次」にはまた 0 からやらなきゃならないんだよね。 ノウハウが残らないだろうから。

　あけましておめでとうございます。

• 》 アイルランド、Metaにまた罰金　GDPR違反で約547億円 (ITmedia, 1/5)

• 》 宅食「ナッシュ」に不正アクセス、約6000件の顧客情報流出か　ランサムウェアに感染 (ITmedia, 1/5)

• 》 差出人不明の年賀状、大量に誤送付「スマホで年賀状」が謝罪　数十万人超に影響 (ITmedia, 1/5)

  顧客から受注して発送した年賀状の一部で、 差出人欄に誤って同社の広告を印刷してしまい、誰から送られたか分からない状態で届けてしまった

  　これは、シャレにならんなあ……。

• 》 “MFAの標準搭載”がなぜベンダーに求められるのか――、ISRが解説 (クラウド Watch, 2022.12.21)

• 》 「Slack」のソースコードが流出 ～顧客データは無事、サービスにも影響なし　 社員の「GitHub」トークンが盗まれる (窓の杜, 1/6)。元ねた: Slack security update (Slack, 2022.12.31)

  On 29 December 2022, we were notified of suspicious activity on our GitHub account. Upon investigation, we discovered that a limited number of Slack employee tokens were stolen and misused to gain access to our externally hosted GitHub repository. Our investigation also revealed that the threat actor downloaded private code repositories on 27 December. No downloaded repositories contained customer data, means to access customer data or Slack’s primary codebase.

  　notify したのが誰なのかは記載されていないのだけれど、文脈からして GitHub 運営元なのかな。 「a limited number of Slack employee tokens」が奪われたということなので、単数ではなさそう。

• 》 Windows Server 2012/R2のサポートは今年10月まで、有償サポート「ESU」を3年間提供 (窓の杜, 1/5)

• 》 古い「Microsoft Office」はExchange/SharePoint/OneDriveへ接続不能に？ Microsoftが注意喚起　 「Office 2016」や「Office 2019」は今年10月まで (窓の杜, 1/6)。移行圧力ですか。

• 》 「Firefox」が「IE 11」と誤認されてしまう悲劇発生……開発チームが対応に追われる　 期間限定でUA文字列が「凍結」 (窓の杜, 1/6)