セキュリティホール memo - 2023.05

　このページの情報を利用される前に、注意書きをお読みください。

• 》 LibreSSL 3.7.3 / 3.8.0 が出ています。iida さん情報ありがとうございます。 3.7.3 が stable release、3.8.0 は development release です。

• 》 「AIによる人類絶滅のリスク」に警鐘。OpenAIやMicrosoft役員ら多数が署名 (PC Watch, 5/31)

• 》 アルメニアとアゼルバイジャン　プーチン大統領の面目つぶす大論争 (テレ東BIZ, 5/26)。プーチンの面前で、なだけでなく、プーチンの発言を遮って、なのですね。

  • プーチン氏の面前で大論争　アルメニア・アゼルバイジャン首脳 (時事, 5/26)

  • プーチン大統領の目の前で口論　係争地めぐりアルメニア・アゼルバイジャン首脳 (TBS, 5/27)

• 》 モノポリー状態の米防衛産業界、言い値での調達を強要される国防総省 (航空万能論 GF, 5/27)。防衛装備品は、こういうところがねえ。

• 》 韓国空軍は胴体着陸で損傷したF-35Aの修理を断念、廃棄か教育機材か (航空万能論 GF, 5/29)。バードストライクで胴体着陸となった機体。

  • 最先端戦闘機、鳥１羽であわや墜落＝韓国 (中央日報, 2022.01.15)

  • 胴体着陸した韓国空軍のF-35A、機体左側にバードストライク痕を確認 (航空万能論 GF, 2022.01.14)

  • 韓国でＦ-３５Ａ戦闘機が胴体着陸した原因は重さ１０キロの鷲との衝突 (ハンギョレ, 2022.03.05)。F-5E の話で始まるので「あれっ?!」と思うが、 記事の後半で本件事故について触れている。

• 》 心肺蘇生法(CPR)実施時の生存率は思ったより低い (gigazine, 5/30)

  「わずかでも蘇生する可能性があるのであればCPRを試みる動機になる」という考えに対して、ダルトン氏は、そもそも胸骨を圧迫すること自体が体に害を及ぼすと指摘。ジョンズ・ホプキンス大学の研究者が最初にCPRを行った時点で「合併症として、肋骨の骨折やひび割れが起きる」と言及しているほか、肺出血、肝臓裂傷などが起きる可能性もあります。
  
  特に高齢者の場合、CPRによって負った傷が元通りに回復しないことが多く、CPRを受けて生存した70歳以上の患者のうち、機能が回復したのは38.6％だったという研究結果があります。

  　「機能が回復した」のが 38.6%。残りはそうではなかったと。

• 》 注射ではなく「肌にステッカーを貼る」だけで接種できる麻疹ワクチンが臨床試験で有望な結果を出す、多くの子どもが救われる可能性 (gigazine, 5/30)。痛くないそうで。

• 》 HPのプリンターはエコ表示を取り外すべきと業界団体が提唱 (gigazine, 5/30)。非正規インクカートリッジを排除しているため。

• 》 Microsoft、オリジナルディストリビューション「Azure Linux」の一般提供を開始 (gihyo.jp, 5/30)

• 》 「専門家への敬意の不足」を理由にプログラミング言語「Rust」のコアチームメンバーの一人が離脱、一体何が起きたのか (gigazine, 5/29)

• 》 北朝鮮、偵察衛星ロケットの発射に失敗と発表 (BBC, 5/31)。関連:

  • 北朝鮮が発射失敗認めた「衛星」　その能力と課題は？米専門家に聞く (朝日, 5/31)。「米ジェームズ・マーティン不拡散研究センターのデビッド・シュマーラー上級研究員」。

    　――「衛星運搬ロケット」の発射は、大陸間弾道ミサイル（ICBM）発射を偽装する狙いがあるという指摘もあります。
    
    　（09年、12年に発射した）「銀河」には、ICBMプログラムを偽装する狙いもあったと思います。
    　しかし北朝鮮は現在、使える複数タイプのICBMを保有しています。衛星発射をICBM発射のための偽装手段と判断するのは、古い考え方です。

    あいかわらずそのように主張している日本政府 はわかりましたか。阿呆だと思われてますよ。

  • 北朝鮮「墜落」発射体の一部か　韓国軍が発見 (日経, 5/31)

  • 北朝鮮「衛星打ち上げ墜落 できるだけ早く2次打ち上げ実施」朝鮮中央通信 (ABEMA, 5/31)

• 》 Surface Pro Xなどのカメラが動作しなくなった問題に対応する修正ファイルをMicrosoftが配布 (gigazine, 5/31)

• 》 写真内の不要物を塗りつぶすだけで手軽に消して自然に補正するPhotoshopの「削除ツール」を使ってみた (gigazine, 5/31)、 被写体の背景をAIが新たに生み出してくれるPhotoshopの「ジェネレーティブ塗りつぶし」を使ってみた (gigazine, 5/30)

• 》 Windows 7/8.xサポートは「Firefox 115」が最後 ～Mozillaが発表 (窓の杜, 5/31)

• 》 中国製x86 CPU Powerstar (暴芯)、中身はComet Lakeで確定。ベンチマーク結果から明らかに (ニッチなPCゲーマーの環境構築Z, 5/26)

• 》 Windows 10(KB5026361) / Windows 11(KB5026368) で確認された問題について (トレンドマイクロ, 5/24)。Apex One as a Service、Apex One 2019、ウイルスバスター ビジネスセキュリティサービス 6.7 で「USB デバイスおよび SMB プロトコルに対して、情報漏えい対策機能で機密データの転送をブロックすることができ」ない問題が発生しているそうで。 6〜7月に修正予定。

• 》 TwitterはEUが偽情報防止のために定めた行動規範から離脱しようとしている (gigazine, 5/29)

• 》 Pythonパッケージを管理するPyPIがユーザーのデータをアメリカ司法省に開示したことを明らかに (gigazine, 5/25)

• 》 中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告 (gigazine, 5/25)

• 》 残業しても収入全体は増えない――　運送業界、複雑な賃金制度 (朝日, 5/29)。無料部分だけだと何の話なのかよくわからないが、

  最高裁が問題にしたのは、熊本総合運輸（熊本市）の賃金制度だ。

  　こちらの件:

  • 令和４年（受）第１０１９号 未払賃金等請求事件　 令和５年３月１０日 第二小法廷判決 (裁判所)

  • ■注目判例　 時間外労働手当の定額払いの有効性　 熊本総合運輸事件 (労働判例ジャーナル133号（2023年・4月）)

• 》 Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT (JPCERT/CC Eyes, 5/29)

• 》 その男、岸田翔太郎 (政務担当首相秘書官)。遂に更迭されることに。

  • 岸田首相、翔太郎秘書官更迭　公邸忘年会問題でけじめ (時事, 5/29)

  • 「公邸で忘年会」の岸田翔太郎秘書官、心が折れて自ら「もう辞める！」母も“悪ノリ撮影”かばい切れず (FLASH / Yahoo, 5/29)

    　急転直下の辞職の背景には何があったのか。ある政治ジャーナリストが語る。
    
    「岸田首相は、2022年12月に報じられた、翔太郎秘書官が民放記者に情報を漏らしているという疑惑以降、翔太郎秘書官のことを『適任ではないのではないか』と内心、考えていたようです。しかし裕子夫人は、頑として息子の更迭を認めず、今日まで来てしまいました。
    　今回、報じられた公邸での忘年会の写真には、裕子夫人方のいとこも混じっていたため、さすがの夫人もかばえなくなったようです。もともと翔太郎秘書官は、議員会館にいたころから、陳情が来るとどこかに消えたりしていて、政治家には向いてないという評判でした。内向的なわけではないようなのですが……」

  • 岸田翔太郎氏　たった8ヵ月で秘書官をクビ…実績ほぼナシ、問題連発で首相父の顔に泥を塗っただけ (女性自身 / Yahoo, 5/30)

  • 岸田首相は「身内に甘い」批判回避か、長男秘書官更迭　広島サミット後の支持率上昇の「壁」に (日刊スポーツ, 5/29)

  • 岸田首相＝｢息子に甘いパパ｣が払う痛すぎる代償　忘年会写真で結局更迭､上げた支持率も下がる (城戸 譲 / 東洋経済 online, 5/30)

  • 岸田首相長男、ボーナス返上　更迭発表後も批判相次ぐ (時事, 5/30)、 岸田翔太郎秘書官、退職金・ボーナス返納　松野官房長官「本人が申し出」 (時事, 5/30)

    首相は２９日に更迭を発表したが、辞職日が公務員のボーナス支給基準日に当たることから、ＳＮＳ上に「ボーナス目当てで辞職を延ばすのか」といった声が出ていた。

    6/1 付で辞職にしたら、そりゃあそう思われるし、実際そのつもりだったのでしょう。

  　数々の武勇伝を残して……

  • 官邸機密情報漏洩疑惑

    • 「官邸極秘情報ダダ漏れ」情報源は首相長男・岸田翔太郎氏か／「早すぎるフジテレビ」スクープ連発／10月の秘書官就任直後から (FACTA, 2022.12.22)

    • 岸田首相の長男・翔太郎氏“ド素人”秘書官は限界？ 官邸機密情報ダダ漏れ騒動で“犯人”扱い (日刊ゲンダイ, 2022.12.23)

    • 情報漏洩で岸田首相が翔太郎秘書官を叱責…官邸が「なにかおかしい」と気づいた瞬間とは (FRIDAY, 2022.12.26)

    • 岸田首相息子のフジ女性記者へのリーク疑惑で「まるで『エルピス』」の声！ マスコミ政治部の醜悪すぎる癒着体質があらためて露呈 (LITERA, 2022.12.26)

    • 岸田首相長男「フジテレビ既婚女性記者と密接交際」情報に激怒　　内部調査に翔太郎氏は何と答えたのか？ (デイリー新潮, 2022.12.27)

  • 公用車で観光三昧

    • 岸田総理の長男・翔太郎氏が父の外遊先パリ、ロンドンで“観光三昧”　異例の親バカに元首相秘書官は「観光に行く暇などない」と一喝 (デイリー新潮, 1/31)。1/26 週刊新潮報道の中身はこれと思われ。

    • 岸田首相の長男、外遊先で公用車使い観光?　官房副長官「点検する」 (朝日, 1/26)

    • 岸田首相の長男秘書官、外遊中に観光三昧？「週刊新潮」報じる　「報道は承知」木原官房副長官 (日刊スポーツ, 1/26)

    • 「観光＆写真おねだり」報道の翔太郎秘書官と「安倍超え」狙う岸田首相の「本当の評判」 (FRIDAY, 1/28)

    • 岸田翔太郎秘書官購入か　複数閣僚「総理から土産」…中身は「プライベート」と明かさず (TBS, 1/31)

    • 岸田首相「長男隠し」大失敗 公用車観光問題“丁寧な説明”で繕うほど墓穴を掘る負のループ (日刊ゲンダイ, 1/31)

  • 首相公邸で大ハシャギ

    • 〈岸田総理から厳しく注意〉岸田首相一族が首相公邸で大ハシャギ　「階段寝そべり」写真と翔太郎秘書官の「閣僚ひな壇」撮影 (文春オンライン, 5/25)

    • 羽鳥慎一アナ、岸田翔太郎氏の「公邸で宴会」報道に「何で流出するんですかね？身内の写真が」 (スポーツ報知 / Yahoo, 5/26)

    • 首相、親族忘年会であいさつ認める　階段での撮影は「厳重に注意」 (朝日, 5/26)

• 》 Buzzfeedが「チャットGPTメディア」への転換を急ぐ、切実な理由とは？ (新聞紙学的, 5/29)

  さらに、コンテンツが生成AIの学習データとして使われ、生成コンテンツとして利用されることへの著作権と使用料をめぐる懸念も広がる。
  
  ワシントン・ポストが調査したグーグルが公開している学習データでは、データ元のトップ10のうち、5つがニューヨーク・タイムズやロサンゼルス・タイムズといったメディアサイトであることが明らかになっている。
  
  ※参照：チャットAIの「頭脳」をつくるデータの正体がわかった、プライバシーや著作権の行方は？（04/24/2023　新聞紙学的）
  
  米国メディアの業界団体「ニュース／メディア連合」は、4月20日に「AI原則」を公開。「コンテンツを使用する権利についてメディアと協議する必要がある」と述べている。
  
  また日本新聞協会も5月17日に見解を公表。ニュースコンテンツの利用実態の透明化が必要だとした。

  　AI が生成した、とされるものの著作権って本当はどうなの? という疑問がぬぐえないんだよなあ。

  　関連: AIはどのように個人データを漏洩するのか (Kaspersky, 5/25)

• 》 Time to challenge yourself in the 2023 Google CTF! (Google Security Blog, 5/26)

• 》 AKARI 1.0.48 と CaitSith 0.2-20230527 をリリースしました。 (熊猫さくらのブログ, 5/27)。こんなこと↓になっていたとは……。

  しかし、最近は LSM コミュニティが再び排他的になってきているようです。具体的には、文字列の名前で区別していた LSM モジュールを、 LSM モジュールに対応する数値のＩＤで区別するようにするという修正がまもなく採用され、このＩＤが割り当てられないと LSM モジュールを使えなくなります。
  
  そのため、 AKARI や CaitSith のように、ローダブルカーネルモジュールとして LSM を利用している場合、他の LSM モジュールが使用するＩＤと競合することにより問題が発生するという可能性が生じます。一意に特定できないものをＩＤとして使うのは、退化です。
  
  さらに、「メインラインに採用された LSM モジュールだけが、永続的なＩＤを獲得できる」という方針と、「レビューのための労力を確保できないことにより、新しい LSM モジュールをメインラインに追加することが年々難しくなってきている」という現実により、メインラインに採用されていない LSM モジュールは、永続的なＩＤを獲得することが困難な状況が発生することが予想されています。 つまり、「メインラインに採用されていない LSM モジュールをロックアウトする」という方向に進んでいるのです。

• 》 AI のパワーを Windows 11 にもたらす - Windows Copilot と Dev Home でお客様と開発者の生産性の新時代へ (Windows Blogs, 5/26)

  Arm 版 Windows 向けの開発イノベーションを加速
  (中略)
  以下は、最近リリースされた製品の一部です。
  (中略)
  Symantec Endpoint Security

  　Symantec Endpoint Security は ARM 版 Windows にも対応しているのか。

• 》 Surface Pro Xのカメラが23日以降動かず、証明書期限切れか。Microsoftは調査中 (PC Watch, 5/26)

• 》 なぜニュースウォッチ9は「ワクチン死」に触れなかったのか――遺族の決死の告白を踏みにじった「NHKの粗暴」【NHKワクチン被害者遺族放送問題#1】 (週刊現代 / 現代ビジネス, 5/26)

  問題となっているのはこの3人の紹介の仕方だ。
  
  一見すると視聴者は、彼ら、彼女らを「新型コロナウイルス感染症にかかった肉親を失った遺族」ととらえるだろう。
  
  だが、ここに登場した遺族全員が「肉親は、新型コロナのワクチン接種後の副反応による疑いで命を落とした」と主張している。決してコロナに感染して亡くなったわけではないのだ。

• 》 ベルゴロド州に侵入したロシア人義勇兵部隊は現地 5/24 早朝に帰還したと発表

  • ロシア人義勇軍組織、越境作戦に「成功」 (AFP, 5/25)

    　会見にはロシア義勇軍団および同盟関係にある「自由ロシア軍団（Freedom of Russia Legion）」の戦闘員約30人が出席。ほとんどはスカーフで顔を隠していた。
    　戦闘員らは軍の射撃場で、戦利品だと称する装甲兵員輸送車の前に立ち、写真撮影に応じた。両組織は、ウクライナ軍に支援や装備を要求していないと主張している。
    　両組織は越境作戦について、ロシア領内で約24時間にわたって作戦を敢行し、24日早朝に帰還したと説明した。

  • ロシア義勇軍はベルゴロド州から撤退？ ロシア軍が検問所を奪還した可能性 (航空万能論 GF, 5/24)

  • 越境攻撃で死者２人に　ロシア西部州の脆弱ぶり露呈　「ロシア義勇軍団」などが声明も実態は不明 (日刊スポーツ, 5/24)。「死者2人」はロシア側発表によるもの。

  • 起ち上がった「ロシア義勇軍団」　ロシア領内に武力侵入と主張 (AP / Yahoo, 5/25)

  • ロシアでさらなる越境攻撃を予告、親ウクライナ武装集団 (ロイター / Yahoo, 5/25)

  • ロシアに衝撃 ウクライナ側に立つもう1つの『ロシア軍』とは (NHK, 5/25)。取材先はウクライナ軍。

• 》 著者インタビュー 「カティンの森ヤニナ」小林文乃氏 (日刊ゲンダイ, 5/25)。はい、あのカティンの森です。

  当時、ドイツに占領されていたスモレンスク近郊のカティンの森で見つかった遺体の山の中に、たったひとり、女性の犠牲者がいた。空軍パイロット、ヤニナ・レヴァンドフスカ、32歳。

• 》 ANYCOLOR、VTuberへの誹謗中傷で情報開示請求に成功　賠償金300万円以上で示談成立 (ITmedia, 5/25)

• 》 高速1号羽田線2週間通行止め ～高速大師橋架け替え工事～ 5月27日（土）午前5時～6月10日（土）午前5時 (首都高)。物流にも影響しそうなようで。

  • 首都高速道路羽田線一部区間の通行止めによるお荷物のお届けの遅延について（2023年5月25日更新） (ヤマト運輸, 5/25)

  • 首都高速道路一部区間の通行止めによる集配への影響について (佐川急便, 5/25)

  • 首都高速道路羽田線一部区間の通行止めによる郵便物・ゆうパックなどのお届け遅延に関するお知らせ (郵便局, 5/25)

• 》 「ガンダム水星の魔女」最新話をフライング配信　アマゾンが謝罪 (ITmedia, 5/25)

  当日納品には（まだ）なってないという事だから朗報ではある。

  　確かに……。

• 》 ウクライナ軍は戦場に段ボール製無人機、ロシア軍は木製無人機を投入 (航空万能論 GF, 5/24)。 CORBO Precision Payload Delivery System (PPDS)。 段ボールで十分ですよ。

  Sypaq社が開発した固定翼の無人機は「少量の緊急物資を低コストで運搬する」という豪陸軍のニーズに基づき開発されたもので、段ボールで構成された機体はグルーガン、スパナ、ナイフ、テープ、輪ゴムで簡単に組み立てることができ、ミリタリー仕様の制御システムを採用しているため「指定された地点までの飛行」にオペレーターは不要で、もしGPSが妨害されても慣性航法で目標までの飛行を継続できるらしい。
  
  同社の関係者は「ウクライナ軍からのフィードバックを受けて物資輸送だけでなくISR任務に適していることが分かった＝PPDSのペイロードにセンサーシステムを搭載して偵察にも活用しているという意味」と述べており、Times紙は「PPDSは使い捨てタイプだが、中には60回も繰り返し飛行したものがあり、1機あたりのコストは564ポンド～2,800ポンドだ」と、Forbesも「PPDSは最大60km先離れた戦場情報を持ち帰ることができ、航法システムもウクライナ製無人機より高度なものを採用しているため爆弾運搬ミッションにも対応できるだろう」と言及。

  　1機 10〜50 万円くらいと。 関連:

  • 消耗できる強み、段ボールと輪ゴムで作った豪無人機がウクライナで活躍 (航空万能論 GF, 3/8)

  • ウクライナが手に入れた「段ボール製ドローン」の実力と可能性 (Forbs / Yahoo, 3/14)

• 》 米戦闘艦、日本の造船所で定期補修　米基地外で初 (日経, 5/24)。米軍基地内での補修はこれまでもやっていたが、基地外の民間施設で、という話。

  日本に展開する20隻強が対象で、米側は将来は日米共同による日本での戦闘艦製造も期待する。

  　前方展開中の艦船の補修を前方展開先でやりたい、というのは理解できるのだけど、 後者の件は、 US の艦船製造能力がそれほどまでに落ちている、ということなのかな。

• 》 ロシア義勇軍はベルゴロド州から撤退？ ロシア軍が検問所を奪還した可能性 (航空万能論 GF, 5/24)

• 》 デジタルエンジニアリングの落とし穴、誰もT-7Aの完成時期が分からない (航空万能論 GF, 5/25)。問題は射出座席だけじゃないそうで。

  さらに空軍とボーイングは飛行制御ソフトウェアの完成度についても意見に相違があり、空軍の専門家は「あと6回程度の修正が必要で、各修正毎に6ヶ月程度のテストが必要なためソフトウェアの完成は2年以上遅れる」と主張している。

  　gdgd ですね……。

• 》 ファイルの保存やコピーに失敗する不具合。Windows10およびWindows11にて発生 ［Update 1］ (ニッチなPCゲーマーの環境構築Z, 5/25)。Windows 10/11 プレビューリリース更新プログラムの件。

• 》 丸亀製麺「カエル混入」で自作自演を疑う人が知らない、カット野菜のリスク (窪田順生 / ダイヤモンド online, 5/25)

  丸亀製麺の今回の「お詫び」の中に、「加工野菜を洗ったり、盛り付ける時に調理スタッフも混入に気づくことができませんでした」なんて言及はない。(中略) それを象徴するのが「検品」という言葉だ。この文脈で使われている検品は、取引先工場から仕入れた原料の品質を確認するという意味だ。つまり、丸亀製麺にとって今回の異物混入は自社のミスではなく、あくまで取引先が「やらかした」という認識だ。

  　丸亀製麺オフィシャル:

  • お詫びとお知らせ (丸亀製麺, 5/23)

  • お詫びとお知らせ（第二報） (丸亀製麺, 5/25)

• 》 日本が抱く半導体の野望　マイクロンに大きな賭け (Wall Street Journal, 5/23)

  　中国は21日、マイクロンの製品が国家安全保障に重大なリスクをもたらすとして、主要な情報インフラへの同社製品の使用を禁止した。中国は2カ月前にサイバーセキュリティーの観点から同社の調査を開始。これは中国の半導体セクターに対する米国の規制強化に対抗する動きだと広く受け止められた。(中略)
  　一方、好対照をなす動きもあった。マイクロンは先週、日本政府の財政支援を受けて、最先端の極端紫外線リソグラフィー技術を用いる工程を含めた日本での先端半導体メモリー製造に約36億ドル（約4970億円）を投資すると発表。米インテルや台湾積体電路製造（TSMC）、韓国サムスン電子など他の半導体企業の経営者も先週のサミットに合わせて来日し、岸田文雄首相と会談した。

• 》 最高裁判事 團藤重光氏 生誕110周年記念特別展「團藤重光の世界― 法学者・最高裁判事・宮内庁参与」を龍谷大学で開催 (龍谷大学, 5/11)。5/22〜6/4、龍谷大学深草キャンパス、無料。 関連:

  • 『大阪空港公害訴訟』最高裁長官が「判決前に介入」元判事・團藤重光氏のノート公開 (MBS, 5/22)

  • ＥＴＶ特集　誰のための司法か～團藤重光　最高裁・事件ノート～ (NHK オンデマンド)

  • 大阪空港公害訴訟事件に係る団藤重光元裁判官の指摘を踏まえ、改めて司法権の独立の徹底を求める会長声明 (大阪弁護士会, 4/26)

  • 団藤重光元裁判官のノートから大阪空港公害訴訟の闇が明らかに (西天満総合法律事務所, 4/29)

  • 團藤プロジェクトについて (龍谷大学)

• 》 台風2号 (マーワー)

  • 非常に強い台風がグアム接近、壊滅的な被害の恐れ (CNN, 5/24)。「これほど強い台風がグアムを直撃するのは極めてまれで、過去７５年で８回程度だった」。

  • 台風2号、気象庁の予想進路と米軍の見方は　最大瞬間風速85ｍ予報も…日本接近可能性は、5月24午前6時時点 (福井新聞, 5/24)

  • 台風2号 今後は猛烈な勢力へ発達予想　来週の進路に注意 (ウェザーニュース, 5/24)

• 》 サイバートラスト、MIRACLE LINUXをAlmaLinuxとの共同開発体制に移行へ (クラウド Watch, 5/23)。AlmaLinux へ合同する、という理解でいいのかな。 手元的には、 SEP が AlmaLinux 対応していないので Rocky Linux なのだけど。

• 》 AI 方面

  • きっかけは「ジョーク」だった──ジェフリー・ヒントンがAIは人類の脅威になると考えるようになった経緯 (WIRED, 5/21)

    数カ月前、ヒントンはたまたま思いついたジョークをPaLMに説明するよう指示したところ、そのジョークの面白さを的確に説明できたことに驚いたという（ジョークの内容は覚えていないらしい）。「わたしは何年もの間、AIがジョークの面白さを説明できるようになるまでは相当な時間がかかるだろうと、人々に言い続けていました」とヒントンは語る。「ある意味、ジョークが試金石だったのです」
    
    また、ヒントンは長年、AIが今よりも高度な知性を得るには、ソフトウェアが人間の脳のように複雑なものへと発達しなければならないと信じていた。しかしこの考えは間違っているであろうことが判明し、それがふたつ目のきっかけとなった。

  • OpenAIのサム・アルトマンCEOが「AIの規制は不可欠」と発言、公聴会でChatGPTが法案を作成し国会議員たちを驚かす一幕も (gigazine, 5/17)

  • 画像生成AI「Stable Diffusion」開発元のCEOが「AIにおけるオープンソースの重要性」をアメリカ議会に訴える公開書簡を発表 (gigazine, 5/17)

  • 検証されていないAIベースのツールは患者に害と警告：WHO (国連情報誌ＳＵＮブログ対応版, 5/17)

  • 「AIが作成した記事」で波紋のCNET、従業員が労働組合を結成して対抗する理由 (WIRED, 5/18)

  • 「学校からChatGPTへのアクセスを禁止する」という決定を下したニューヨーク市教育局が方針転換して生成AIを受け入れている (gigazine, 5/22)

  • ChatGPTの開発元OpenAIが「10年以内にAIがほとんどの分野で専門家のスキルレベルを超える」という懸念に基づき「超知能AI」の登場に備えるべく世界的な規制機関を立ち上げる必要があると主張 (gigazine, 5/23)

  • GoogleのAIが黒人を「ゴリラ」と分類した事件から8年が経過してもGoogle・Apple・Amazon・MicrosoftのAIはゴリラのラベル付けを避けている (gigazine, 5/23)

• 》 ロシアの守備、衛星画像で明らかに　ウクライナによる反撃を前に (BBC, 5/23)

• 》 ロシア人義勇兵部隊、ロシアのベルゴロド州に侵入

  • ロシア義勇軍はベルゴロド州に侵入、モスクワでは自由ロシア軍の旗が飛ぶ (航空万能論 GF, 5/23)

    さらに興味深いのはモスクワの中心部で自由ロシア軍の旗が空を飛んでおり、今回の作戦はウクライナ軍、ロシア義勇軍、自由ロシア軍の3者で綿密に計画されたものである可能性が高く、最大の焦点はベルゴロドで築いた足場を維持するのか、直ぐに撤退するのかだ。

  • 今度はベルゴロドで保安庁や内務省の建物が爆発、ドローン攻撃の可能性 ((航空万能論 GF, 5/23)

  • ロシア、ウクライナから領内侵入の集団と戦闘と発表　ウクライナ側はパルチザン運動だと (BBC, 5/23)

• 》 スマホの指紋認証を回数無制限かつ機械的に実行できる攻撃手法「BrutePrint」が開発される、材料費はわずか2000円でAndroidには効果抜群もiPhoneなら防御可能 (gigazine, 5/23)

  一般的な指紋認証システムでは認証に複数回失敗すると認証を実行できなくなりますが、研究チームは指紋認証を回数無制限で実行できる仕組みも構築し、総当たり攻撃を実現しました。

• 》 新型コロナ 第9波

  • 新型コロナ第９波「すでに来始めている」　奈良県医師会長 (産経, 5/19)

  • ツイートl

    もう第7波のピークは超えていますね。#コロナ第9波はきています https://t.co/7fD0roohiQ

    — Koichi Kawakami, 川上浩一 (@koichi_kawakami) May 19, 2023

    下水モニタリング、下水サーベイランスの結果をリアルタイムで公表しているサイト：
    小松市：https://t.co/qwwJl9KI6Y
    札幌市：https://t.co/3cRT50H6R6
    宇部市、山口大学：https://t.co/svT5m1AB3Y
    神奈川県：https://t.co/XqPm4rnLdd
    ほかには？ https://t.co/4yjgxG7Vo5

    — Koichi Kawakami, 川上浩一 (@koichi_kawakami) May 19, 2023

• 》 ロシア高級官僚が帰国途中に急死　「みんな人質」と政府を批判も (朝日, 5/23)。クチェレンコ次官。 おそロシア事例がまた増えた模様。関連:

  • ここから始まる一連のツイート:

    1/
    ロシアの反戦系ジャーナリスト、ロマン・スーペル氏の昨日の投稿が密かに話題を呼んでいる。スーペル氏のTelegramより、一部要約して転載する：https://t.co/kWXqclr7ZC　（続

    — 露傍の石 (@isiken78) May 21, 2023

• 》 「ペンタゴン近くで爆発」というフェイク画像がTwitter認証済みアカウントに拡散され株式市場が混乱 (gigazine, 5/23)、 「米国防総省で爆発」偽情報拡散　ＡＩ時代のリスク浮き彫り (時事, 5/23)

• 》 Twitterで削除したはずのツイートとリツイートが勝手に復元されてしまうバグが発覚、自分の過去の削除ツイートが本当に消えているかどうか要確認 (gigazine, 5/23)

• 》 SanDisk Extreme V2 / Extreme Pro V2 外付け SSD でデータが消える件

  • SanDisk Extreme Pro SSD 4TB で複数の不具合報告（ファイルシステム損失、データ喪失）が出ている模様(2023 FEB) (KANEYANのブログ, 2/19)

  • SanDisk Extreme SSDs keep abruptly failing—firmware fix for only some promised (Ars Technica, 5/20)。報告の多くは 4TB モデルにおいてだが、2TB モデルでも報告があるそうで。 Ars Technica の中の人も 2 台の 2TB Extreme Pro で現象を確認と。

    SanDisk は 4TB モデルで現象を確認、修正ファームウェアを準備中と Ars Technica に回答。2TB モデルが修正されるかどうかは不明。

  • SanDiskのSSDで「データが突然消える」などの症状が報告される (gigazine, 5/22)

• 》 生成AIがウイルススキャンサービス「VirusTotal」にも ～マルウェアを自然言語で説明 (窓の杜, 5/18)

• 》 サードパーティーCookieをChromeユーザーの1%で廃止する実験を2024年に開始予定とGoogleが発表 (gigazine, 5/19)

• 》 Windows 11からiPhoneの着信や通知をチェックできる機能は危険？ 海外セキュリティ企業が警告 (やじうま Watch, 5/22)。Phone Link for iOS の件。

  いったんiPhoneとのリンク設定が完了すると、以降はその設定の存在をiPhone側から確認する術がない。それゆえ、iPhoneに物理的にアクセスできる家族・知人などに知らぬ間に設定されて悪用されかねないという。

• 》 富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた (piyolog, 5/22)

• 》 ハッカーや犯罪者が集うダークウェブのデータでトレーニングしたAI「DarkBERT」 (gigazine, 5/19)

• 》 女性の「妊活アプリデータ」が中国にダダ漏れだったと当局が発表、Googleが一枚かんでいたことも判明 (gigazine, 5/19)

• 》 Appleのサードパーティ修理プログラムはまともに機能していないことが発覚、Appleはまともに部品を供給せず申請を半年も放置するなどやりたい放題 (gigazine, 5/19)

• 》 娯楽用大麻が合法化された地域では交通事故死者数が平均10％増加するという研究結果 (android, 5/20)

• 》 半導体大手・Micronの製品が「安全審査を通らなかった」として中国がインフラ管理者に購入禁止を呼びかけ (gigazine, 5/22)

• 》 数百万台のAndroidスマホやAndroid TVにマルウェアがあらかじめインストールされていることが判明 (gigazine, 5/22)

• 》 ASUS製ルーターが世界中でオフラインになる。ネットワークが切断される不具合。内蔵セキュリティの定義ファイルに問題か (ニッチなPCゲーマーの環境構築Z, 2023.05.20)

• 》 HP、プリンターを壊すファームウェアをリリース。世界中でブルースクリーンが表示されて文鎮化。OfficeJet Proシリーズに影響 (ニッチなPCゲーマーの環境構築Z, 2023.05.21)。HP OfficeJet Pro 902x で発生している模様。

• 》 日本、NATO CCDCOE (サイバー防衛協力センター) の参加国に。 それ以前から職員を派遣したり演習に参加していたりしていたが、 ついに Member nation (Contributing Participant) になった。

  • About us (CCDCOE)

  • ＮＡＴＯサイバー防衛協力センターの活動への正式参加について (防衛省, 2022.11.04)

  • ＮＡＴＯサイバー防衛協力センターによるサイバー防衛演習「ロックド・シールズ２０２３」への参加について (防衛省, 4/18)。「重要インフラ事業者等」には NTT グループや中部電力が含まれるようです:

    • 国際サイバー防衛演習「Locked Shields 2023」にNTTグループが参加 (NTT, 4/19)

    • NATOサイバー防衛協力センター主催のサイバー防衛演習「ロックド・シールズ2023」への参加 (中部電力パワーグリッド, 5/19)

      日本からも防衛省・自衛隊を始めとする関係省庁や民間事業者などが2021年より参加しており、当社も2021年から今回で3回目の参加となります。

  • The NATO CCDCOE welcomes new members Iceland, Ireland, Japan, and Ukraine (CCDCOE, 5/17)

• 》 New details about the Pentagon Leak (electrospaces.net, 5/18)。 Everything you want to know about the Pentagon/Discord Leak (electrospaces.net, 4/21) のつづき。

  Teixeira's behaviour is very similar to that of Edward Snowden, who also had an almost insatiable desire for information regardless of whether he was entitled to it. In his book Permanent Record, Snowden proudly recalled how easy it was to circumvent auditing controls and internal monitoring systems.
  
  Whether Teixeira circumvented such control systems as well is still unclear. While he could apparently access intelligence information on the JWICS network, he definitely didn't have the need-to-know for the material he eventually posted on his Discord server, which included intelligence briefings for senior military commanders and civilian policy makers.

• 》 中国メディア、輸出向けの軍用無人機にキルスイッチを仕込むのは常識 (航空万能論 GF, 5/18)。中国軍に限った話でもない。 国産化する意義でもある。

• 》 How to Enable Advanced Data Protection on iOS, and Why You Should (EFF, 5/17)。 iCloudデータに「高度なデータ保護」を使用する (Apple) の件。

  Not everything you store in iCloud is included with Advanced Data Protection. iCloud Mail, contacts, and calendar events are not end-to-end encrypted, and Apple still collects some metadata about backups, iCloud Drive files, photos, notes, bookmarks, and messages.

  　関連:

  • E2EEメッセージ拡大で揺れる、データ秘匿と悪用の微妙なバランス (Impress Watch, 3/8)

  • 連載：AppleのE2EEに対する賛否【第6回】データの“正当な盗み見”はそもそもあり？　Apple「E2EE」騒動から考える (TechTarget, 5/9)

• 》 日本も情報提供した米国のランサムウエア攻撃者の起訴についてまとめてみた (piyolog, 5/18)

• 》 New Android & Google Device Vulnerability Reward Program Initiatives (Google, 5/17)

• 》 いまだに生きていた「Security Essentials」と「Edge」の“謎バージョン”の存在理由 (山市良 / @IT, 5/17)

• 》 米国：セキュリティと言論・表現の自由を脅かすSTOP CSAM法案 (p2ptk.org, 4/26)

• 》 なぜ“プライバシー”が必要なのか：Signalプレジデントが警告する欧州の「呪術的思考」 (p2ptk.org, 4/21)

  　関連: EUによる「プライベートな会話の大規模な盗聴」を許してはならない (p2ptk.org, 4/18)

• 》 国連サイバー犯罪条約（案）方面

  • 国連サイバー犯罪条約（案）を読み解く：サイバー犯罪を口実にした「検閲、言論統制、監視」の拡張を望む世界各国の思惑 (p2ptk.org, 4/9)

  • いかにして国連サイバー犯罪条約（案）は形成されているのか：提案から交渉、今後の予定までのタイムライン (p2ptk.org, 4/14)。ロシア発なのですね。

  • 国際NGO、国連サイバー犯罪条約案の危険性を交渉国に警告 (p2ptk.org, 4/19)

  • United Nations Cybercrime Treaty (EFF)

• 》 学生の提出課題をChatGPTに「AIが書いたものか？」と聞くと「AIが書いた」と答えたので学生の半数以上が落第の危機に (gigazine, 5/18)

  しかし、そもそもChatGPTに「ある文章がChatGPTやAIによって生成されたものかどうかを見分ける」という機能はなく、Mumm博士の行ったチェック自体に問題があることが指摘されています。

  　だよなあ……。

• 》 コナミがCygamesを提訴　「ウマ娘」で特許侵害あったとして　40億円とゲーム提供差し止め求める (ITmedia, 5/17)、 ウマ娘訴訟の争点はどこ？　コナミに聞いた　回答全文　「遊びを奪うのが目的ではない」 (ITmedia, 5/17)。ほんとに特許侵害しているのなら、きちんとお金を払うべきだからなあ。

• 》 電子機器を修理サービスに出すのは危険？　カナダチームが検証　修理中の全ログ取得、返却後に解析してみた (ITmedia, 5/19)。修理前に全初期化という Apple のやり方は全く正しいわけだなあ。

  修理後のログを調べてみると、データを気軽に盗み見ることが日常茶飯事であると分かった。「（露出度の高い）写真の閲覧」「フォルダののぞき見」が最も多かった。少ないがデータの盗難も確認できた。さらに、従業員が盗み見や盗難の痕跡を残さないように努力していることも分かった。証拠が残らないように慎重に行い、あるいは証拠を消していた。

• 》 ウェザーニューズが「熱中症実況データ」提供開始。1kmメッシュの「熱中症情報API」をバージョンアップ (Internet Watch, 5/18)

• 》 「ゲイやバイセクシャルの男性からの献血」を禁止する規制をアメリカ食品医薬品局が正式に撤廃 (gigazine, 5/18)。HIV の時につくった奴が今まで残っていたのだそうで。

• 》 中国政府の支援を受けたサイバー攻撃グループ「カマロドラゴン」がルーターにバックドアを設けネットワーク侵害を行っている (gigazine, 5/18)

• 》 テザーが利益の最大15％をビットコインに投資する計画を発表、ビットコイン価格が上昇する可能性 (gigazine, 5/18)

• 》 LogitechがiFixitと提携してワイヤレスマウスの修理部品やツールキットを販売すると発表 (gigazine, 5/18)

• 》 「TikTok禁止法」がモンタナ州で成立、2024年1月1日発効予定 (gigazine, 5/18)

• 》 YouTuber逮捕　「シュタインズ・ゲート」のゲーム動画を無断配信か (毎日, 5/18)

  今回公開された動画はストーリー重視のアドベンチャーゲームだった。公開が「ネタバレ」につながるため、こうしたゲームの配信は指針で認めていないケースが多い。

  　関連: ガイドライン違反の「ゲームプレイ動画」アップローダーを逮捕 (コンテンツ海外流通促進機構 CODA, 5/18)

• 》 [無料]危険情報満載の登山系Youtube動画を見つけてしまったので、どこが危険か解説する (松本圭司@ジオグラフィカ開発者 / note, 5/17)。ふつうの人は絶対やっちゃ駄目、 な映像であるらしい。安全第一になってないと。

  通常は、真っ先にセルフビレイ（自己確保）をします。 (中略) セルフビレイをしてなければ、ちょっとふらついたり突風が吹いたりして崖から落ちてしまうかも知れません。そうなれば一巻の終わりです。 (中略) それを全くしないのは、登山の世界では考えられません。 (中略) 絶対に、まず何はなくともセルフビレイです。

  　で、種明かしとしては、当該動画の人はこういうことらしい:

  用語から推測すると、ロープの技術は消防か自衛隊関係から学んだものと推測します。仕事の関係で副業禁止とのことなので、現役の消防士か救急隊員、または自衛官なのかも知れません（違っていたらすみません）。
  (中略)
  消防のロープワークの原型は自衛隊のレンジャーだそうなので、おそらく戦場で速く降りる、ヘリからの降下や屋上からの強襲を想定したものなのでしょう。スピード命。登山やクライミングの様な『安全確実』とは全く違う思想です。クライミングの懸垂下降で消防式のセット（設定）をしたら、控えめに言っても頭をひっぱたかれて「死ぬぞ！」と怒鳴られます。

  　戦場では安全優先では全くないからね。

• 》 ある日暗号資産の投資家が大金を盗まれた話 (Kaspersky, 5/17)

  このように、偽のハードウェアウォレットは実在することが証明されました。何も知らない投資家が、すでにハッキングされているデバイスをネットで購入し、被害に遭う…という古典的なサプライチェーン攻撃だったのです。

  当社のTwitter公式アカウント（グローバル）で、今回の調査がツイートされた後、Trezor社（このモデルのクリプトウォレットの製造元）はそれに返信する形で回答を寄せました。それによりますと、今回の件は、2022年5月、ロシア国内の無許可の販売代理店を介して、偽のハードウェアウォレットが複数市場に出回ったケースだと認識しており、それ以降この種の問題は報告されていないと述べています。

• 》 暗号鍵管理ガイドライン (IPA)。 「暗号鍵管理ガイダンス」が 5/9 に公開された。

  具体的には、「暗号アルゴリズム運用のための暗号鍵管理オペレーション対策」「暗号アルゴリズムの選択」及び「暗号アルゴリズム運用に必要な鍵情報の管理」における各項目の解説・考慮点を提供しています。また、これらの理解を助けるため、簡単なシステム（トイモデル）を具体的に取り上げ、そのシステムで設定された構成や運用条件などを踏まえた場合の各々の項目におけるチェックリストへの記載例を示しています。

• 》 TSUBAMEレポート Overflow（2023年1～3月） (JPCERT/CC, 5/11)

• 》 NVIDIA、GPUの供給が追いついていないと報じられる。一部製品は値上がり。AI需要を受けて (ニッチなPCゲーマーの環境構築Z, 5/17)。採掘の次は AI ですか。

• 》 Microsoft、Windows11でBSoDやゲームが起動しない不具合を認める (ニッチなPCゲーマーの環境構築Z, 5/17)。『カーネル モード ハードウェア強制スタック保護』の不具合だそうで。

• 》 岡浩一朗「座りすぎ 健康への影響」 (NHK 解説委員室, 5/1)

  そのため、最近では昇降デスクがオフィスなどで有効活用されています。デスクの高さを上げたり下げたりすることで、立っての作業姿勢に容易に切り替えることができます。結果として、仕事中、座っている時間が約2時間減少するとともに、心血管代謝の健康指標や労働生産性に関わる指標が改善することも報告されています。

• 》 #StopRansomware: BianLian Ransomware Group (CISA, 5/16)

  Actions to take today to mitigate cyber threats from BianLian ransomware and data extortion:
  • Strictly limit the use of RDP and other remote desktop services.
  • Disable command-line and scripting activities and permissions.
  • Restrict usage of PowerShell and update Windows PowerShell or PowerShell Core to the latest version.

  PowerShell の更新は、log を取るためだそうで。 Greater Visibility Through PowerShell Logging (Mandiant, 2016.02.11)、 Configure PowerShell logging to see PowerShell anomalies in Splunk UBA (Splunk) など。

• 》 攻撃グループ「Iron Tiger」によるマルウェアファミリ「SysUpdate」が再浮上：Linuxを攻撃 (トレンドマイクロ, 5/16)

• 》 これが証拠メールだ、地震本部の警告を骨抜きするよう圧力かけた内閣府の罪　 【地震大国日本の今】「津波リスクはなぜ軽んじられた」地震学会元会長が告発 (添田 孝史 / JBpress, 4/29)。 島崎邦彦／著　 『3.11 大津波の対策を邪魔した男たち』 (青志社) の件。1F 事故は天災ではなく人災。

• 》 debian stretchの提供終了について (Armadilloフォーラム, 4/24)、 How to use Extended LTS (freexian)

• 》 A Brutal Sex Trade Built for American Soldiers (NYTimes, 5/2)。韓国における、米兵および韓国兵のための慰安婦の話。

  There were “special comfort women units” for South Korean soldiers, and “comfort stations” for American-led U.N. troops during the Korean War. In the postwar years, many of these women worked in gijichon, or “camp towns,” built around American military bases.
  
  Last September, 100 such women won a landmark victory when the South Korean Supreme Court ordered compensation for the sexual trauma they endured. It found the government guilty of “justifying and encouraging” prostitution in camp towns to help South Korea maintain its military alliance with the United States and earn American dollars.
  
  It also blamed the government for the “systematic and violent” way it detained the women and forced them to receive treatment for sexually transmitted diseases.

  South Korea’s history of sexual exploitation is not always openly discussed. When a sociologist, Kim Gwi-ok, began reporting on wartime comfort women for the South Korean military in the early 2000s, citing documents from the South Korean Army, the government had the documents sealed.

• 》 格安のガソリンスタンドが消えていく事情　ジョイフル本田が給油事業を出光興産に譲渡 (東洋経済, 4/26)

  かつてのように安い業転玉の大量仕入れが難しくなったこともある。 (中略) 特に大きなインパクトがあったのが、3年前のJXホールディングスと東燃ゼネラルの経営統合だ。
  東燃ゼネラルはもともと製油所設備の過剰度が高く、大量の余剰ガソリンを業転玉として放出してきた経緯がある。それを苦々しく思っていたのが、ほからなぬ、最大手で統合相手となったJ X。2017年の2社統合後、旧東燃ゼネラルの余剰ガソリンは旧JX側の販売網に吸収され、業転玉の供給量が大幅に減った。

• 》 「40機」「整備士」「不仲」…沖縄・陸自ヘリ「UH-60JA」墜落事故で浮かび上がった陸上自衛隊の問題点 (デイリー新潮 / Yahoo, 5/16)。ほんと機種大杉なんだよな。 米海兵隊の AH-1Z / UH-1Y みたいに部品共通化とかしてるわけでもなし。 陸自の攻撃ヘリ全廃決定は機種大杉問題への回答でもあるんだろうなあ。

  　デイリー新潮は4月24日、「陸上自衛隊のヘリは海上を飛ばない…沖縄・ヘリ事故のパイロットはいつもの精神状態ではなかったのか」の記事を配信した。
  　この記事で軍事ジャーナリストは「わざわざ第8師団のUH-60JAを宮古島まで飛行させた」ことと、「視察で第8師団の幹部が2機のUH-60JAに分乗しなかった」ことは、危機管理上、問題があると指摘した。

  　えぇっ! 九州から沖縄まで UH-60JA で?! そんな話だったの?! こちら: 陸上自衛隊のヘリは海上を飛ばない…沖縄・ヘリ事故のパイロットはいつもの精神状態ではなかったのか (デイリー新潮 / Yahoo, 4/24)

  　しかも、洋上飛行を想定していないにもかかわらず、事故機が長時間の海上飛行を行った事実も明らかになっているのだ。
  「ヘリの特別点検が3月20日から28日まで行われ、事故機は問題なしと判断されました。そして4月4日、熊本県益城町の高遊原分屯地を飛び立ち、鹿児島県の奄美駐屯地を経由して沖縄県の那覇基地に到着しました。5日は那覇市で待機し、6日に宮古島へ向かうと、レーダーから機影が消えたのです」（前出の記者）
  　熊本市から那覇市までの直線距離は約780キロ。
  (中略)
  「師団長が乗るヘリとなると、パイロットを厳選する必要があったでしょう。常識的に考えれば、優れた技量を持つベテランのパイロットが選ばれたはずです。詳細は今のところ分かっていませんが、第8師団のパイロットが熊本から那覇まで機体を運び、同じパイロットが宮古島上空も飛んだとすると、慣れない洋上飛行に疲労し、師団長を乗せているという心理的なプレッシャーも相当なものがあったでしょう」（同・菊池氏）

  　うひゃあ。

• 》 プリゴジンはプーチン史上最大の裏切り者?──ウクライナにバフムトを売ろうとしたと米紙が暴露 (ニューズウィーク日本版 / Yahoo, 5/16)。ワシントン・ポスト。

• 》 岡浩一朗「座りすぎ 健康への影響」 (NHK 解説委員室, 5/1)

  オーストラリアのシドニー大学の研究グループが、約2年10か月の期間にわたり追跡し、座っている時間の違いによる死亡率を調査しました。対象は45歳以上、22万人あまりです。結果は、調査の最初の時点で座っている時間が、１日にトータルで11時間以上の人は、４時間未満の人に比べて、死亡率が1.4倍と高くなることがわかりました。

• 》 Introducing a new way to buzz for eBPF vulnerabilities (Google, 5/11)

• 》 ハードウェアセキュリティ製品の「重大な脆弱性」を開発段階で発見、インテルとグーグルが手を組んだことの意味 (WIRED, 5/16)。

• 》 わざと飛行機を墜落させたYouTuberが最長20年間の懲役刑に直面 (gigazine, 5/12)

• 》 インターネット通信の半分をボットが占領、30％超は悪質ボットによる通信 (gigazine, 5/15)

• 》 AmazonがChatGPTのようなAIを搭載した検索エンジンを構築中 (gigazine, 5/16)。あれまあ、そんなこと↓になっていたとは。

  Amazonはかつて、AIアシスタントのAlexaをショッピングに導入したことで、チャットAIの分野で先陣を切ったIT企業の一角となりました。しかし、Alexaが思うようにユーザーに商品を売り込むことができなかったことから、Alexaは社内で「巨大な失敗」と見なされるようになり、開発チームも大規模な人員整理のあおりを受けて縮小されています。

• 》 LinkedInの偽アカウント問題と対策 (Kaspersky, 5/16)

• 》 GPT-4に女性インフルエンサーを学習させて作った「1分1ドルで彼女になってくれるAI」が1週間で約1000万円を稼ぎ出す (gigazine, 5/15)。やっぱエロですか。

  CarynAIの中毒性の高さの一端は、性的な魅力にあふれているという点にあります。マージョリー氏は、「AIは性的な誘いには乗らない」と説明していますが、アメリカのビジネス誌・FORTUNEは、CarynAIがエロティックな話をしたがり、性的なシナリオについて詳細に描写したことを報告しています。

• 》 HPが「純正以外のインクを使うとプリンターが印刷を拒否」するアップデートを敢行しユーザーの怒りが爆発 (gigazine, 5/15)

• 》 8000万円超の罰金を「ネット中立性」規則撤廃を阻止するためにパブリックコメントを偽造した企業が支払うことに (gigazine, 5/15)

  ネットワーク中立性規則撤廃の動きに反対するために、LCX、Lead ID、Ifficientの3社は数百万人の消費者の個人情報を本人の同意なしに勝手に利用し、パブリックコメントを偽造していたことが司法長官事務所の調査によリ明らかになっています。なお、3社は合計61万5000ドルの違約金支払いに合意しています。

• 》 Windows標準のセキュリティソフト「Microsoft Defender」はシステム負荷が高すぎるとのテスト結果、ベストなセキュリティソフトは一体どれなのか？ (gigazine, 5/15)。おなじみ AV-TEST の結果。

• 》 本当に大丈夫？スマートロックに関する3つの疑問 (Kaspersky, 5/11)。 これを読むと、 8 年がんばった Qrio Smart Lock は良心的なのかなと思えてくる。

• 》 著名人を狙った金銭目的のSNS公式アカウントののっとりについてまとめてみた (piyolog, 5/12)

• 》 SIMスワップ詐欺による暗号資産口座への不正送金事案についてまとめてみた (piyolog, 5/12)

• 》 正規のWindows用デバッグツールに偽装するトロイの木馬「PlugX」を分析 (トレンドマイクロ, 5/15)

• 》 [復旧済み][障害情報]Trend Micro Deep Security 及び Cloud One - Endpoint and Workload Security 推奨設定の検索を実施後に発生する事象について(2023/5/10) (トレンドマイクロ, 5/10)

• 》 Windows 10/11 の Chrome / Edge 113 で Error code: STATUS_STACK_BUFFER_OVERRUN

  • Edge - Error code: STATUS_STACK_BUFFER_OVERRUN. (learn.microsoft.com, 5/10)。Microsoft の人が known issue だと回答している。 回避方法を述べた上で、 それでも直らないときは Edge 112 にロールバックしてくれ、だそうで。 方法: How to roll back Microsoft Edge to a previous version (Microsoft)

  • GoogleChromeを開いたら下記の様な画面がでます。 エラーコード STATUS_STACK_BUFFER_OVERRUN (Yahoo!JAPAN 知恵袋, 5/8)

• 》 ウクライナ軍、ロシア軍が発射したキンジャール6発を全て撃ち落とした (航空万能論 GF, 5/16)

  • ツイート

    Air Force Command: Last night, Ukrainian air defenses downed 18 Russian missiles:
    
    🔹 6 "hypersonic" Kh-47M2 Kinzhals
    🔹 9 Kalibrs
    🔹 3 land-based missiles (S-400, Iskander-M).https://t.co/nk8tsjVDjA pic.twitter.com/OAKHW1tztS

    — Euromaidan Press (@EuromaidanPress) May 16, 2023

• 》 富士通Japan 方面

  • 熊本市コンビニ発行　マイナンバーカード『印鑑登録証明書』交付停止 (テレビくまもと, 5/14)

    熊本市によりますと、１３日、システムを提供している富士通Ｊａｐａｎから「印鑑登録証明書のコンビニ交付サービスで、熊本市内で区を異動した場合に、古い住所で発行される可能性がある」と連絡があったということです。

    粛々と点検が進んでいる、ということなのだろうか。

  • 新潟市のコンビニ交付で「抹消済み証明書」を誤発行、またも富士通Japan製システム (日経 xTECH, 5/15)

  • 住民票誤交付でデジ庁が富士通Japanに総点検要請、困惑の自治体・熊本市で新規停止も (日経 xTECH, 5/15)

• 》 統制要領の策定が戦後これほどまでに遅れた理由は何か　防衛省の説明は？ (高橋浩祐 / Yahoo, 4/28)。海自と海保の件。

• 》 防衛装備庁、新型FFM建造に関する企画提案を三菱重工業とジャパンマリンユナイテッドの2社と契約 (高橋浩祐 / Yahoo, 5/15)

  もがみ型は年2隻というハイペースで建造が進められ、当初は計22隻が建造される計画だった。しかし、もがみ型は令和5（2023）年度計画艦までの計12隻で建造を終了。昨年12月に閣議決定された防衛力整備計画に基づき、令和6年度計画艦からはもがみ型に代わる新型FFMの計10隻が建造される予定だ。

  　そんなことになっていたとは。 海自の護衛艦「みくま」就役　もがみ型は12隻で建造終了し、新型FFMが10隻誕生へ ((高橋浩祐 / Yahoo, 3/7)

  ネット上では「もがみ型」の艦尾や構造物スカート（物の下部につける保護や覆い）内に水が溜まりやすいなどといった指摘が出ている。
  (中略)
  これについて、ある海自関係者は「ツイッターの内容はその通り」と認め、「装備に大きな変更はないが、改善点はたくさん有り」と指摘した。
  (中略)
  さらに、他の海自関係者も「（もがみ型は）細かな点で不具合が見つかり修正変更を行なっているようだ。ちくご型でも初期型と最終型では艤装に変化があった」と指摘、「予算が増えることで未装備のVLS（垂直発射装置）などの搭載は当然進められる」と述べた。さらに「後部に搭載艇スペースや扉があるため、係船用のキャプスタン（電動式巻き上げ機）の機器室の配置に問題があると聞いている」と指摘した。

  　もがみ型、細かい不具合がいろいろ出ているんですね。

• 》 トヨタ「215万人分のクルマの位置情報、漏えいの可能性」公表　クラウド環境誤設定、約10年にわたり (ITmedia, 5/12)。うひゃあ。

  • クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて (トヨタ, 5/12)

  • クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて (トヨタコネクティッド, 5/12)

  • ツイート

    マーダこんなこと言っちゃう大企業が存在するのですねこの国には。https://t.co/ARi8M4I55d
    「外部からアクセスした場合であっても、これらのデータのみでは、お客様が特定されるものではありません。」「車載端末ID＊1、車台番号＊2、車両の位置情報、時刻」 pic.twitter.com/ujplgrNeNH

    — Hiromitsu Takagi (@HiromitsuTakagi) May 12, 2023

• 》 ジャニーズ性加害問題、謝罪文URLはここにある　「最新情報」からリンクなし (ITmedia, 5/15)。今は「最新情報」からリンクされてますね。 なんかスタイルシートが見えちゃってて変ですけど。

  　故ジャニー喜多川による性加害問題について当社の見解と対応 (ジャニーズ事務所, 5/14)。いかにも苦しい言いわけだなあ。 事実調査をしないままメディアを弾圧してきたのがジャニーズの実態だからなあ。

  　関連: ジャニーズは“存亡の機”「東山紀之らベテランにも説明責任」と99年に性加害報じた1人が指摘 (日刊ゲンダイ, 5/15)

• 》 映画「すずめの戸締まり」に「マスク」を描き足した新海監督の思い　Twitterで解説 (ITmedia, 5/12)

  「コロナ禍も徐々に過去の歴史となりつつある中で、むしろその痕跡を映画中に残すべきだと考えるようになりました。なぜなら『すずめ』は12年前に震災が起きた世界での物語であり、現実と地続きであるべきだと思うからです」

• 》 「とにかく夜眠れない」トコジラミの被害報告相次ぐ なぜ今？ (NHK, 5/11)

• 》 キャベツ食い荒らすガをレーザーで撃墜、急所を狙い1発で仕留める (日経 xTECH, 5/15)

• 》 『冤罪File』2023年夏号　6/27（火）発売のお知らせ (「冤罪File」編集部公式ブログ, 4/29)。おぉ。

• 》 海で遭難したときに高度1万メートルを飛ぶ旅客機に気付いてもらえるライトはどれ？！ (目指せ！ライトマニア AKARICENTER 懐中電灯レビュー, 4/29)

• 》 YouTubeが広告ブロッカーの排除をテスト中？ 有料プランへの誘導が海外で確認される (やじうま Watch, 5/12)

• 》 ウクライナ西部で大爆発、ロシア軍の攻撃が弾薬庫か物資集積拠点に着弾か (航空万能論 GF, 5/14)

• 》 イギリス、ウクライナに長距離巡航ミサイル「ストームシャドウ」を提供 (BBC, 5/12)。射程

  • SCALP-EG/ストーム・シャドウ (Wikipedia)。SCALP-EG が仏名称、Storm Shadow が英名称。 射程 250km 以上。

  • 英国がウクライナへのストーム･シャドウ提供を発表、クリミア大橋が攻撃可能に (航空万能論 GF, 5/11)

  • 英国防相、ロシア人の行動がストーム･シャドウのウクライナ提供を招いた (航空万能論 GF, 5/12)

  　デコイジャマー ADM-160 MALD と共に、実戦に投入されている模様。

  • ロシア占領下のルハンスクで大規模爆発、ハイマース射程外の都市 (CNN / Yahoo, 5/13)

  • ウクライナ軍がストームシャドウ巡航ミサイルをルガンスク市への攻撃に使用か (JSF / Yahoo, 5/13)

• 》 ジャニー喜多川 性加害方面

  • 日本はなぜ少年たちを守れなかったのか　 ジャニー喜多川という“傀儡師”に操られ、踊らされた国 (デイビッド・マクニール / クーリエ・ジャポン, 5/4)

  • ジャニー氏は地方公演で13歳のジュニアを襲った「涙が止まりませんでした」元ジュニアの橋田康氏（37）が実名・顔出しで告白 (文春オンライン, 5/9)

  • カウアン氏に続く2人目の実名＆顔出し告白 ジャニーズ事務所は「#MeToo」運動にどう対処するのか (日刊ゲンダイ, 5/12)

  • 「ジャニーズ性被害」調査求める署名1.6万筆　有志団体が郵送 (毎日, 5/11)

    こちらの署名ですね: ジャニーズ事務所は性暴力被害者の声を無視しないで！　性加害の検証と謝罪を求めます！ (Change.org)

  • ジャニーズ事務所 “今週末に公式な見解” ファンなど署名提出 (NHK, 5/11)

  • ジャニーズ性加害報道、最初は「1965年」　雑誌や書籍の追及はなぜ見過ごされたか (弁護士ドットコムニュース, 5/12)

  　関連:

  • 故ジャニー喜多川氏のハラスメント問題も一部重なり、タイムリーな日本公開となる衝撃作『TAR/ター』 (斉藤博昭 / Yahoo, 5/10)

• 》 スマートロック旧機種「Qrio Smart Lock」がサービス終了、ユーザーの反応は真っ二つ？ (やじうまWatch, 5/11)。買いかえ需要を創出したいってことですかね。 SONY タイマーよりは長いけど、 そうそう壊れるものではないからなあ。

  　local で完結できるものの方が、長生きなんだよなあ。 クラウドは、ほんと信用できない。

• 》 マイナカード 一体化された健康保険証で別人の情報がひも付け (NHK, 5/12)。ようやく認めましたか。

  厚生労働省によりますと、健康保険組合などが加入者の健康保険証とマイナンバーカードをひも付ける際に入力を誤ったことなどが原因とみられ、これまでに数件確認されているということです。

  　誤登録の実数は、そんなものでは済まないようですよ:

  • ツイート

    マイナンバーカードと保険証のひも付けの間違いで医療情報が閲覧された昨年１１月末までに５件（医療機関、本人から通報があったもの）。
    閲覧される前に、ひもづけの間違いが確認されたもの７３１２件（多数は協会けんぽの重複調査で発見） pic.twitter.com/d8rZ8DkoMv

    — 宮本徹 (@miyamototooru) May 12, 2023

    マイナンバーカードと健康保険証の一体化に関する検討会（第2回） (デジタル庁, 2/17) の 中間とりまとめ参考資料 の p.17、 登録データの補正等の状況 だそうで。

    上記の期間中に判明した保険者から異なる個人番号が登録されていた事例数は、
    ・ 令和３年10月～11月末 33件
    ・ 令和３年12月～令和４年11月 7,279件（うち7,114件は、協会けんぽにおいて資格情報の重複調査により判明）
    これらの事例は、閲覧を停止し、補正（異なる個人番号等を削除）を実施。

• 》 富士通Japan 方面

  • MICJET コンビニ交付 (富士通)

  • 新たにマイナンバーの漏洩が発覚、富士通Japanのコンビニ交付サービスの不具合で (日経 xTECH, 4/8)

    横浜市は2023年4月7日、誤交付が計10件（18人分）に及んだと発表した。これまで誤交付は5件（11人分）としていた

    こちら: ３月 27 日に発生したコンビニエンスストアでの証明書交付サービスの 障害に係る対応状況について (横浜市, 4/7)

  • 他人の住民票が誤発行される謎バグの真相、富士通Japanの「稚拙」設計に専門家も驚く (日経 xTECH, 4/21)

    逐次処理で設計した経緯について富士通Japanは回答を控えた。そのうえで「逐次処理を行っている点やファイル名が同一だった点は特段問題があったとは考えていない。今回はバグが内在していた点が問題だ」（國分氏）との見解を示した。

    そういう認識だから、不具合発生を回避できず、いろんなところでボロが出ているのでは。

  • 足立区でも住民票を誤発行、富士通Japanのコンビニ交付サービスで「別不具合」発覚 (日経 xTECH, 5/1)。「3月と4月に」。計 2 件。

    富士通Japanは2023年4月11日時点で日経クロステックの取材に対し、「横浜市以外の自治体で同様の誤発行トラブルが発生していないことを確認済み」と説明していた。今回新たに誤発行が発覚した理由については、「他の自治体（横浜市）で発生した事象については、同じトラブルが発生していないことを確認した。さらにデータの更新部分など含め総点検を実施した際に、新たな不具合が発覚した」（富士通Japanの中村信介ソリューション開発本部エグゼクティブディレクター）としている。

    こちら: コンビニエンスストアでの証明書交付サービスにおける証明書誤交付による個人情報の漏えいについて（詳細） (足立区, 5/1)

  • 川崎市のコンビニ交付で他人の戸籍書類出力、市独自の富士通Japan製システムに原因 (日経 xTECH, 5/8)。「川崎市の戸籍システム特有の不具合」。

  • デジ庁が富士通Japanにシステム停止・総点検要請、コンビニ交付サービス誤発行で (日経 xTECH, 5/9)

  • 今度は徳島市でも判明、止まらない富士通Japan巡るコンビニ誤交付トラブル (日経 xTECH, 5/11)

    徳島市が富士通Japanから受けた説明によると、原因は徳島市役所内に新たに設置した証明書交付端末「らくらく窓口証明書交付サービス」との接続の問題だったという。(中略) 「コンビニから2人、らくらく窓口証明書交付サービスから1人の計3人が同時に交付を申請した際の、排他制御の動作に誤りがあったと説明を受けた」（徳島市）

    こちら: コンビニ交付システムでの証明書の誤発行について (徳島市, 5/11)

  • 個情委が富士通Japanと3自治体に報告徴収、コンビニ交付サービス誤交付で (日経 xTECH, 5/11)。横浜市、東京都足立区、川崎市。

  • 相次ぐ住民票誤交付トラブル、富士通Japanのシステムに何が起こっているのか (日経 xTECH, 5/11)

  • 横浜市と足立区が富士通Japanを「指名停止」処分に、住民票誤交付トラブル巡り (日経 xTECH, 5/12)

  　時系列だとこうですか。

  • 3/22: 東京都足立区 (1件)

  • 3/27: 横浜市 (5件)、徳島市 (1件)

  • 3/30〜4/7: 横浜市 (5件)

  • 4/18: 東京都足立区 (1件)

  • 5/2: 川崎市 (1件)

  　3/27 横浜市が発覚の契機なので、対応が速やか・徹底であれば 4/18 足立区や 5/2 川崎市は防げた可能性あり? いずれも富士通Japan が組んでいる、と言っても、中身は個別のようなので、 横展開は難しいのかな。

• 》 汚染源を調べたいのに…PFAS米軍基地内調査、地位協定の壁　「都民の健康より米軍ファースト」と批判も (東京, 5/12)

• 》 pixivFANBOX、AI生成作品を当面禁止に (ITmedia, 5/10)。現状では仕方ないでしょう。

  同じくファンコミュニティーサイト「Fantia」を運営する虎の穴も5月10日にFantiaでのAI生成作品の一時取り扱い停止を発表。

• 》 「Googleでもダメか」　チャットAI「Bard」日本語対応プレゼンに落胆の声　原因はフォント (ITmedia, 5/11)。ありがち。

• 》 米国防総省のライダー准将、パトリオットによるキンジャール迎撃を確認 (航空万能論 GF, 5/10)

• 》 中国製x86 CPU、Powerstar (暴芯)が登場。しかし中身は (ニッチなPCゲーマーの環境構築Z, 5/7)

  「あれ、どこかで見覚えがあるぞ？」と思った方、その通りです。どこからどう見てもIntelのCPUです。(中略) 実際のところは旧世代のCoreシリーズと同一で、Intelから許可を受けてラベルを変えただけのもののようです。

• 》 End of life (EOL) policy change, 0.103 one year extension, 0.105 past end of life (ClamAV, 5/8)

• 》 積水化学工業の住宅に小屋裏界壁の施工不備、防火サッシの建基法不適合も判明 (日経 xTECH, 5/10)。レオパレス21に続いて。積水、お前もか。

  積水化学工業は2023年4月14日、自社グループで供給した木造アパート6棟で界壁が小屋裏まで達していない建築基準法不適合が見つかったと発表した。同社はさらに、鉄骨系の戸建て住宅とアパート計2640棟で、防火設備（引き違い窓）の国土交通大臣認定不適合も判明したと明らかにした。

  　こちら: 共同住宅・戸建住宅における建築基準への不適合等について (積水化学工業, 4/14)

• 》 米司法省、ロシア FSB 主催の Snake マルウェアによる P2P ネットワークを破壊したと発表。 実際に破壊作戦 MEDUSA を実施したのは FBI とニューヨーク東部地区連邦検事局。

  • Justice Department Announces Court-Authorized Disruption of Snake Malware Network Controlled by Russia’s Federal Security Service (justice.gov, 5/9)

    Although Operation MEDUSA disabled the Snake malware on compromised computers, victims should take additional steps to protect themselves from further harm. The operation to disable Snake did not patch any vulnerabilities or search for or remove any additional malware or hacking tools that hacking groups may have placed on victim. The Department of Justice strongly encourages network defenders to review the Joint Advisory for further guidance on detection and patching. Moreover, as noted in court documents, Turla frequently deploys a “keylogger” with Snake that Turla can use to steal account authentication credentials, such as usernames and passwords, from legitimate users. Victims should be aware that Turla could use these stolen credentials to fraudulently re-access compromised computers and other accounts.

    MEDUSA 作戦は patch あてや脆弱性対応などはしていないので、 Joint Advisory を参照して別途対応してね。 認証情報も盗まれているだろうから気をつけてね。 ↓がその Joint Advisory の模様。

  • AA23-129A - Hunting Russian Intelligence “Snake” Malware (CISA, 5/9)

    PREVENTION
    
    Note that the mitigations that follow are not meant to protect against the initial access vector and are only designed to prevent Snake’s persistence and hiding techniques.
    
    Change Credentials and Apply Updates
    
    System owners who are believed to be compromised by Snake are advised to change their credentials immediately (from a non-compromised system) and to not use any type of passwords similar to those used before. Snake employs a keylogger functionality that routinely returns logs back to FSB operators. Changing passwords and usernames to values which cannot be brute forced or guessed based on old passwords is recommended.
    
    System owners are advised to apply updates to their Operating Systems. Modern versions of Windows, Linux, and MacOS make it much harder for adversaries to operate in the kernel space. This will make it much harder for FSB actors to load Snake’s kernel driver on the target system.
    
    Execute Organizational Incident Response Plan
    
    If system owners receive detection signatures of Snake implant activity or have other indicators of compromise that are associated with FSB actors using Snake, the impacted organization should immediately initiate their documented incident response plan.
    
    We recommend implementing the following Cross-Sector Cybersecurity Performance Goals (CPGs) to help defend against FSB actors using Snake, or mitigate negative impacts post-compromise:
    
    CPG 2.A: Changing Default Passwords will prevent FSB actors from compromising default credentials to gain initial access or move laterally within a network.
    
    CPG 2.B: Requiring Minimum Password Strength across an organization will prevent FSB actors from being able to successfully conduct password spraying or cracking operations.
    
    CPG 2.C: Requiring Unique Credentials will prevent FSB actors from compromising valid accounts through password spraying or brute force.
    
    CPG 2.E Separating User and Privileged Accounts will make it harder for FSB actors to gain access to administrator credentials.
    
    CPG 2.F. Network Segmentation to deny all connections by default unless explicitly required for specific system functionality, and ensure all incoming communication is going through a properly configured firewall.
    
    CPG 2.H Implementing Phishing Resistant MFA adds an additional layer of security even when account credentials are compromised and can mitigate a variety of attacks towards valid accounts, to include brute forcing passwords and exploiting external remote services software.
    
    CPG 4.C. Deploy Security.txt Files to ensure all public facing web domains have a security.txt file that conforms to the recommendations in RFC 9118.

    CPG 4.C. は RFC9118 ではなく RFC9116 のことでしょうか:

    • 日経電子版がRFC 9116(security.txt)に対応した話 (HACK THE NIKKEI Blog, 2022.12.14)

    • https://www.nikkei.com/.well-known/security.txt

    • https://securitytxt.org/。 security.txt ジェネレーター。

    • あなたのWebサービスの脆弱性を発見者から教えてもらう方法 - RFC9116が発表されました (Zenn, 2022.04.29)

    • A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩 (JPCERT/CC Eyes, 2022.08.09)

  • 報道

    • 米、ロシアのサイバースパイ網破壊　２０年間情報窃取か (時事, 5/10)

    • ロシアの軍事マルウェアネットワークが「自爆コマンド」で壊滅、FBIのオペレーション・メデューサの成功によって (gigazine, 5/10)

• 》 公文書管理システムの大量ファイル消失事故についてまとめてみた (piyolog, 5/6)。藤井さん情報ありがとうございます。

  システムではフルバックアップを取得していたものの保存期間が3日間のみであり、削除が判明した4月12日時点で消失時点のバックアップ取得期間を過ぎてしまっていたため、ローカル環境に保存されたファイルが残っていないかなどを含めて復旧可否について事業者が確認を進めたところ、2万5,439件のファイルが復旧可能であることが判明した。バックアップ期間を3日としたのは新潟県、事業者間で合意されたものである一方で、その理由について新潟県は把握していなかった。

  　なぜ 3 日……。関連:

  • 公文書(電子データ)の消失事故について (新潟県)

    削除してしまったデータについて、保守業者において、復旧の可否の確認も含め作業中です。5月7日に作業完了見込みです。

  • 消失の新潟県公文書データ、75％に当たる7万7950件復旧できず (新潟日報, 5/9)

  • 新潟県から受託した公文書管理システムに係る電子データの消失事故について（続報） (富士電機ＩＴソリューション, 5/9)

    復旧できなかった77,950ファイル
    新潟県にて控えを保存しているものについては、新潟県にて控えを再登録いただく予定です。

    「控え」とは?

• 》 Endpoint Protection 14.0 - 14.2 のサービスとサポートの変更 (broadcom, 3/30)

  2024 年 12 月 31 日以降、14.3 未満のバージョンの SEP は、サポートとコンテンツの更新を受けられなくなります。

• 》 WDの不正アクセス被害、オンラインストアユーザーの個人情報が漏洩 (PC Watch, 5/9)

• 》 Intel Boot Guardの秘密鍵など1.5TBの機密ファイルがMSIへのハッキングで流出 (gigazine, 5/8)

• 》 ブラウザ上で3Dキャラクターと会話できる「ChatVRM」がオープンソースで公開 (gigazine, 5/8)

• 》 MicrosoftがBingのチャットAIを全ユーザーに開放、「質問に画像やグラフで回答」などAI機能の強化や今後追加予定の新機能も発表 (gigazine, 5/8)

• 》 カナダ海軍が潜水艦の輸入を示唆、今月中に韓国と日本に視察団を派遣予定 (航空万能論 GF, 5/6)。韓国や日本には、追加の製造能力はあるのだろうか。 アタック級がキャンセルされたフランスには余っていそうだけど。

  　現在保有中なのは、英国製のアップホルダー級潜水艦だそうで。しかし、まともに動いていないという話があるようで。

• 》 AUKUSの協力範囲が拡大に焦るカナダ、技術や情報の共有から取り残される (航空万能論 GF, 5/9)

  米英豪は同じファイブアイズの一員であるカナダに何も知らせずAUKUSを結成、そのためカナダ国内では「この協定からカナダが除外された＝ある種のカナダ軽視だ」と受け取られ、野党も「トルドー首相は世界の友人や同盟国から相手にされていない」と批判されてしまい、これに反論するためトルドー首相は「この取引は原潜に関するもので（原潜導入の予定もない）我々には無関係だ」と主張していたが、AUKUSの協力範囲は原潜技術の共有を越えて拡大したため態度を変え始めた。

• 》 パトリオットによるキンジャール迎撃成功、ロシア軍から確実な攻撃手段を奪う (航空万能論 GF, 5/8)。PAC-3。

• 》 リトアニア人、寄付金で集めた資金でウクライナに対空レーダーを16基提供 (航空万能論 GF, 5/8)。ieMHR。

  このレーダーはRCSの値が小さいナノUAVの検出能力が優れている点で、DRSはMHRよりも大型のieMHRについて「ナノUAVを10km離れた地点で検出できる（MHRは5km）」と主張、過去に「MHRはRCS値0.002㎡のUAV（DJI製Phantom4 Proよりも小さな値）を3.5km離れた地点で検出可能だ」と報じられているため、ieMHRは戦場で偵察に使用される小さなドローンの検出に威力を発揮するだろう。

• 》 日韓が弾道ミサイル情報の即時共有に向けて前進、6月合意を目指す (航空万能論 GF, 5/9)、 日韓、米国介しレーダー接続へ　ミサイル情報即時共有＝関係筋 (ロイター, 5/9)

• 》 「Microsoft Edge」のめっちゃすげえセキュリティモード、再び2レベル構成に　 「Edge 113」からは「基本」レベルが削除 (窓の杜, 5/9)

• 》 寝ている時に呼吸が止まってしまう睡眠時無呼吸症候群が認知機能の低下をもたらすことが研究で確かめられる (gigazine, 5/5)

• 》 「修理する権利」を認める法案にビッグテックが反対する一方でMicrosoftは後押しの構え (gigazine, 5/1)

• 》 ついに関節リウマチの犯人である「新種の細菌」が見つかる (gigazine, 5/2)。腸内細菌 Subdoligranulum didolesgii。

  Upadhyay氏は科学雑誌・The Scientistの取材に対し、「この研究は、他の生物種の関与を除外するものではないので、今回見つかった新種がどのような役割を果たすのかはまだ分かりません。確かに主犯格かもしれないので、最初に発見されたのもそれが理由だと思いますが、一歩引いて見たらもっと多くのものが見つかる可能性もあります」と話しました。
  事実、研究チームは「Subdoligranulum didolesgii」を関節リウマチのリスク高い人と早期の関節リウマチ患者の16.7％でしか見つけられておらず、これは他にも関節リウマチに関与している要因があることを示唆しています。

• 》 「オープンソースは脅威」「勝者はMeta」「OpenAIは重要ではない」などと記されたGoogleのAI関連内部文書が流出 (gigazine, 5/8)

• 》 Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた (gigazine, 5/9)

  なお、パスキーを用いてログインするにはPCとスマートフォン双方のBluetooth機能をオンにしておく必要があります。

• 》 巧妙に偽装されたQRコードを読んだことでスマホを乗っ取られ銀行預金を盗まれてしまった事例 (gigazine, 5/9)。「タピオカティーショップに立ち寄ったことでステルス詐欺に遭い、2万ドル(約270万円)を盗み取られてしまったシンガポールの女性」「一方アメリカやイギリスでは、自動車のフロントガラスに偽の駐車違反切符を貼り付ける詐欺が横行しています」

• 》 中国政府は年間2000億円以上の補助金を国内の半導体関連メーカーに投入して「半導体の自給自足」を目指している (gigazine, 5/9)。そりゃあそうだろう。

• 》 古代マヤ文明の「819日周期の暦の謎」がついに解明か、45年もの期間における天体の運行と同期していることが判明 (gigazine, 5/8)。ほえ〜。

  例えば、土星の会合周期は約378日でこれを13回繰り返すと4914日となりますが、これは819日の6倍、つまり6サイクルです。同様に水星は819日を1サイクル(会合周期117日×7回)、金星は5サイクル(585日×7回)、木星は19サイクル(399日×39回)、火星は20サイクル(780日×21回)するごとに整数回の会合周期を迎えます。リンデン氏らによると、このサイクルはマヤ文明にとって重要な日付や祝祭日とも関係があるとのこと。
  この発見のもう1つの重要なところは、819×20サイクルに当たる16380日は260の倍数であり、この260はマヤ文明で一般的に使われていた暦であるツォルキンでの1年に相当するという点です。

• 》 23万台超のHDDを運用するBackblazeがモデル別故障率をまとめた「メーカー・モデル別統計データ2023年Q1版」を公開 (gigazine, 5/8)

• 》 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー (JPCERT/CC Eyes, 5/9)。セキュリティホール memo は 100% 自己目的なので、 コストは各自でお支払いください。

• 》 「USB-Cケーブルの機能制限は認められない」Apple、新型iPhoneを前にEUにクギを刺される (Internet Watch, 5/8)。新型 iPhone に塔載されるであろう USB-C コネクタに関して、

  端子こそUSB-Cながら、AppleのMFi認証付きのUSB-Cケーブルでなければ充電速度などが制限されるという、何らかの縛りを組み込む可能性があると噂されている。

  　Apple クソ列伝にまた 1 ページが加えられるのだろうか。

• 》 メールに混じって広告が…Gmailが新たに導入した広告の表示方法が海外で物議 (やじうま Watch, 5/8)

• 》 電用品等調達困難に伴うご協力・ご支援のお願い (日本配電制御システム工業会)。あいかわらず部品が枯渇気味のようです。

• 》 リーチサイト「映画の無料動画で夢心地」が著作権法違反の疑いで立件 (なか2656のblog, 5/8)。なか2656 さん情報ありがとうございます。

• 》 Everything you want to know about the Pentagon/Discord Leak (electrospaces.net, 4/21)

  　ウクライナ方面だけでなく、こんなのもあったのですね: China readies supersonic spy drone unit, leaked document says (Washington Post, 4/18)、 (SECRET//SI/REL TO USA, FVEY) China: PLA Almost Certainly Establishes First Supersonic UAV Unit, Improving ISR Capabilities

• 》 米国と韓国が核協議グループを創設 (海国防衛ジャーナル, 4/27)

• 》 ＬＧＢＴ擁護、問われる日本　サミット前の法整備厳しく (時事, 5/8)。自民党 = 統一協会だからねえ。

  　そういえば、こんなのもありましたね: 文鮮明氏来日で便宜　金丸副総裁が不許可覆す―韓国外交文書 (時事, 4/6)

• 》 【コラム】世界保健機関WHOテドロス事務局長による「新型コロナに関する #国際的に懸念される公衆衛生上の緊急事態 」解除宣言を受けて #今日もコロナの下で (戦いのノート by カツミタカヒロ, 5/6)。緊急事態ではなくなったが、脅威でなくなったわけではないことに注意。

• 》 Summary of Water Torture Attacks in 2023 (e-ontap)。昨今の DNS 水責め攻撃の状況まとめ。

• 》 「PayPay改悪」トレンド入り　他社クレカ締め出しの理由は「総合的に判断した結果」 (ITmedia, 5/1)。今いる魚を囲い込めれば ok ok ですかねえ。

• 》 【豆知識】エラーダイアログの内容は［Ctrl］＋［C］キーでコピーできる（こともある） (やじうまの杜, 5/2)

• 》 DNS 水責め攻撃方面

  • とりあえず、 浸透いうな先生のツイート を読んでいただければ。

    先月から続く DNS 水責め絨毯爆撃の様子。なぜ騒ぎにならない? 皆気づかないのか? https://t.co/tmHUeZqCbL pic.twitter.com/r5rtHbEsSU

    — 一時的に DNS 水責めウォッチャー (本業:浸透いうな) (@tss_ontap_o) April 22, 2023

  • My Open Resolver Status (e-ontap.com)。下の方にある queries to my openresolver (since 2018...) の図を見ると、ごく最近になって高値安定しているのがわかる。 対数軸であることに注意。

  • ランダムサブドメイン攻撃（DNS水責め攻撃） (JPRS)

  • 事例

    • 自治体委託の通信事業者にサイバー攻撃　約６時間ＨＰつながりにくく　鹿児島 (ＫＴＳ鹿児島テレビ / Goo, 4/28)

    • 富山県内自治体サイト　つながりにくい状態に　２９日午前 (KNB NEWS, 4/29)

    • G7前にサイバー攻撃が頻発　特殊な手法、企業や官庁に (共同 / Yahoo, 4/29)

      内閣サイバーセキュリティセンターは「G7広島サミット議長国として狙われている可能性があり、関係機関に警戒するよう注意喚起した」と話す。中京大の鈴木常彦教授は「本格的な攻撃の前の下調べの可能性がある」と分析している。

      その「注意喚起」が DDoS 攻撃への対策について (NISC, 5/1) ＤＤｏＳ攻撃への対策について（概要） (NISC, 5/1) っぽいのだけれど、 なぜか「昨年９月に発生した一連の DDoS 攻撃の状況」が記載されていて、 DNS 水責め攻撃に関する記載はされていない。 何言ってるのおまえ感がすごい。

  • 関連

    • DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 〜前編〜 (さくらのナレッジ, 2/15)

    • DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 〜後編〜 (さくらのナレッジ, 2/16)

    • 権威DNSサービスへのDDoSとハイパフォーマンスなベンチマーカ (さくらのナレッジ, 4/12)

• 》 ドコモ回線が「つながりにくい」問題はなぜ起きている--他社で発生しない理由は (CNET / Yahoo, 4/28)。3月くらいからつながらない感。

• 》 sudoとsuがRustで書き直される。メモリ安全性向上へ (PC Watch, 5/2)。人類にはメモリー管理は無理なので。

• 》 2030年に向けたサイバーセキュリティの脅威と、各分野の専門家との分析結果を含む報告書をENISAが公開 (Internet Watch, 5/2)

• 》 作業中にモニターが真っ暗に→チェアの特性が引き起こしていた？ 意外な結果が話題に (やじうま Watch, 5/2)。へぇ。

• 》 ClamAV 1.1.0 released (ClamAV, 5/1)

• 》 追及スクープ！”中古車販売業界の雄”ビッグモーターが「客のタイヤ」に穴を空けていた「衝撃動画」 (FRIDAY, 4/29)。うへえ。

  　関連:

  • 指定自動車整備事業者（民間車検場）の取消処分～不正車検による処分～ (九州運輸局, 3/24)。ビッグモーター熊本浜線店。

  • 中古車大手「ビッグモーター」　不正車検で行政処分　修理費水増し請求につづき「不正」相次ぐ (AUTOCAR JAPAN / Yahoo, 3/28)

  • 中古車販売『ビッグモーター』不正発覚で、過去のCMが「おまいう」すぎるとネット上で話題沸騰 (FRIDAY, 5/2)

  • ビッグモーター不正請求､窮地の損保ジャパン　組織的関与の疑い強まる中､不可解な取引再開 (東洋経済, 2022.09.15)

  • 損保ジャパン｢不正請求被害｣も取引再開の深層　｢トップ会談｣ないがしろで払う大きすぎる代償 (東洋経済, 2022.10.01)

  • ビッグモーター､保険金不正の真相究明に新展開　早期幕引き狙った損保ジャパンにも責任論噴出 (東洋経済, 2022.12.16)

  • ビッグモーターだけじゃない！ 民間「車検不正」はなぜ絶えないのか 業者＆利用客の“なあなあ関係”を断ち切るために必要なものとは (merkmal, 3/30)

  • ツイート

    ありがとうございます。昨年から今年にかけ多くのビッグモーター関係者と話しました。誰一人としてご自分の会社を良くいう人はいません。この会社の経営者は社会のルールを破ったことを反省し、率先して企業改革に取り組まなければなりません。それができなければ、やがて人々から見放されるでしょう。 https://t.co/qmP2TiuVL7

    — MagX（ニューモデルマガジンX） (@CyberMagazineX) April 27, 2023

    ビッグモーター社員による「ビッグモーターは素晴らしい」の口コミを載せていた1社がインディードです。こちらもリクルートグループですね。 https://t.co/ewdGVSQmqG

    — MagX（ニューモデルマガジンX） (@CyberMagazineX) April 29, 2023

• 》 ナイキが証明！｢政治的に正しい方が儲かる｣理由　 ｢意識高い系｣と｢意識低い系｣の2つの資本主義 (内田 樹 / 東洋経済, 5/2)。Woke Capitalism。

  本書巻頭解説で、中野剛志氏は、ウォーク資本主義の萌芽的形態が日本にも現れてきたことを指摘しているけれど、私は日本については「ウォーク資本主義が民主主義を滅亡させる」ことをそれほど気に病む必要はないと思う。日本の民主主義を今滅亡させつつあるのは新自由主義者たちの「意識低い系」資本主義のほうであり、たぶんこちらのほうが手際よく日本の民主主義に引導を渡してくれると思う。

  　確かになあ……。

• 》 差別政党　自民党

  • 「日本に合わない言葉遣い」“差別”文言めぐり反対根強く…LGBT法案　自民が議論開始 (テレビ朝日 / Yahoo, 4/28)

    自民党・西田昌司参院議員：「『差別はあってはならない』とか、厳しい対立を生むような言葉遣いは、決して日本の国柄に合わない。社会の根幹、家族そのものに関わる問題」

    「日本」を「大日本帝国」、「社会」を「統一協会」に直すと理解できる。

    関連: 「日本文化で一番大事なのは教育勅語にある家族主義」　参院憲法審で自民・西田昌司氏が持論展開 (東京, 2022.03.23)。この人が言っている「日本」とは「大日本帝国」のこと。

  • 関連ツイート

    つまり自民党はこう言っている。
    ⚫差別はなくてはならない。
    ⚫｢正当な差別｣というものがある。
    ⚫｢差別はあってはならない｣という人のせいで、｢差別を残すべきだ｣という人との間に、厳しい対立がうまれる。
    ⚫日本は｢差別の国｣だ
    ｢差別をやめよう｣は日本の国柄に合わない。 pic.twitter.com/5orojotRkp

    — Daniela (@nothing_001) April 29, 2023

    GWなので自民党の名言を紹介します。
    
    「そもそも国民に主権があるのはおかしい」
    
    「国民の生活が第一という政治はおかしいと思います」
    
    「人権、人権、人権。バカかと思う」
    
    「国民主権、基本的人権、平和主義を無くさないと自主憲法ではない」
    
    「差別反対というのは日本の国柄に合わない」←new

    — Dr.ナイフ (@knife900) April 29, 2023

• 》 Steam Deckを使ってマシンガンタレットを遠隔操作する軍隊がウクライナに出現 (gigazine, 5/2)

  ウクライナ軍が導入している「Steam Deckで遠隔操作可能なマシンガンタレット」は、「Sabre」と呼ばれるプラットフォームにマシンガンを装着したものです。Sabreは2022年2月にロシアがウクライナへ侵攻を初めてから同国がはじめたクラウドファンディングで集められた資金をベースに開発されたもの。

• 》 近江八幡 同性カップルなどパートナーシップ宣誓制度７月から (NHK, 4/27)。彦根市、米原市につづいて近江八幡市でも。

• 》 【解説】 韓国はなぜ核兵器を欲しているのか　国内で製造への支持広がる (BBC, 4/28)

• 》 有料の「GPT-4」を無料で使えるようにした「gpt4free」がOpenAIから「削除しないと訴える」と脅迫される (gigazine, 5/1)

  gpt4freeが大きな注目を集める中、gpt4freeの開発者であるxtekky氏の元にOpenAIから「5日以内にgpt4freeを公開停止してください。さもなければ訴訟を提起します」という内容の通知が届いたとのこと。しかし、gpt4freeはOpenAIのサービスであるChatGPTにはアクセスしていないため、xtekky氏は「アクセスしているウェブサイトの運営会社から訴訟を提起されるなら理解できますが、OpenAIによって訴訟を提起される理由はよく分かりません」と通知に疑問を呈しています。

• 》 「障害者を揶揄するつもりはなかった」電動車椅子に乗って障害者の真似して笑う動画拡散。広島マツダが謝罪 (篠原修司, 5/1)。ただでさえ駄目な動画な上に、 #広島マツダ の対応が火に油を注いている模様。匿名希望さん情報ありがとうございます。

  本動画を撮影し SNS に投稿した従業員、動画に映っている従業員、および撮影時に周囲にいた従業員に対して事実確認を行ったところ、決して障害者を揶揄するつもりはなかったと申しておりますが、会社としては軽率な行動に対して厳重注意を行い、当該従業員も深く反省しております。

  　なぜ、「決して障害者を揶揄するつもりはなかった」という犯人の言いわけをそのまま掲載してしまうのだろう。不要である。当該動画をどう見ても、障害者を揶揄しているのだから。どうしても掲載したいのであれば、社としては従業員の言い訳を認めることはできないと明言すべきである。

  　加えて、上記では何が「軽率な行動」なのか、さっぱりわからない。社内での行動を TikTok に掲載したことが軽率なだけで、中身は特に問題なかった、 と言っているようにも見える。これは、最後の締めがこうなっていることからも窺える。

  弊社は、本件を真摯に受け止め、広島マツダおよび関係グループ会社も含め、本件の内容を周知するとともに、再発防止に向けた取り組みを行ってまいります。

  　結局、反省しているのは当該従業員だけのようなのだ。何を「反省」しているのかも不明なのだけど。 何が問題とされているのか、社長さんは「真摯に受け止め」た方がよいと思うのだが。

  　関連:

  • 障がい者をバカにした？ 従業員の動画炎上、広島マツダが謝罪「社員教育の徹底が足りなかった」 (弁護士ドットコムニュース, 5/1)

  • 広島マツダ　従業員の“障がい者揶揄”を謝罪も火に油…ネット逆なでさせた逆効果な“一文” (女性自身, 5/1)

  • 近距離モビリティ-WHILL (WHILL)。今回の件、車いすベンダーにとっても逆風になりかねないと思うのだが。

• 》 他のツイートのスクリーンショットを添付したツイートにつき引用の成立可能性を認め著作権侵害の明白性を否定した知財高裁判決について (イノベンティア・リーガル・アップデート, 4/24)、 事件番号: 令和4(ネ)10060　 事件名: 発信者情報開示請求控訴事件 (知的財産高等裁判所, 4/13)

• 》 Calculating CVSS Scores with ChatGPT (SANS ISC, 4/25)

• 》 長井健司さんのカメラ、遺族の元へ　ミャンマーで撮影の最後の映像が明らかに (BBC, 4/27)

• 》 フレッツ光の大規模障害、発端は普通のマルチキャストパケットだった──NTT東西 (ITmedia, 4/28)

  マルチキャストパケットを受信した際、「複数の条件が重なり」加入者収容装置の特定機種の一部で不具合が発生した。再起動とフェールセーフ機能による切り替えを繰り返し、パケットが止まるまで続いたという。
  　「直接的な原因は、マルチキャスト通信の内部処理において通信機器メーカーも認識していなかったソフトウェアの不具合が内在していたこと。 (中略) 2018年から合わせて1100台も導入していたが、不具合が起きたのは約1割だった。 個々の機器が置かれた条件の違いで差が出たとみている。

• 》 OpenAIのChatGPT、イタリアで再び利用可能に　透明性改善で (ITmedia, 4/29)