セキュリティホール memo - 2023.08

　このページの情報を利用される前に、注意書きをお読みください。

• 》 【抄訳】ISW ロシアによる攻勢戦役評価 1910 ET 28.08.2023 “ウクライナ軍攻勢とロシア軍空挺部隊の疲弊の可能性” (Panzergraf / note, 8/29)

• 》 謎の病気に苦しんでいた女性の脳に7cm超のヘビの寄生虫が寄生していたことが明らかに (gigazine, 8/29)。ひょえー。

• 》 ClamAV 1.2.0 feature version and 1.1.1, 1.0.2, 0.103.9 patch versions published (ClamAV, 8/28)。記事タイトルに間違い。 ClamAV 1.2.0 および 1.1.2 / 1.0.3 / 0.103.10 が公開されている。 後者は UnRAR ライブラリの更新。

• 》 日本への売却をアメリカ政府が承認 “射程外から攻撃可能”スタンドオフミサイル「JASSM-ER」 売却総額は約150億円 (TBS, 8/29)。こちらの件: JAPAN - JOINT AIR-TO-SURFACE STANDOFF MISSILES WITH EXTENDED RANGE (JASSM-ER) (dsca.mil, 8/28)。最大 50 発。

  The Government of Japan has requested to buy up to fifty (50) AGM-158B/B-2 Joint Air-to-Surface Standoff Missiles with Extended Range (JASSM-ER). Also included are JASSM Anti-jam Global Positioning System Receivers (JAGR), training missiles, and missile containers; munitions support and support equipment; spare parts, consumables, accessories, and repair/return support; integration and test support and equipment; personnel training and equipment; classified and unclassified software delivery and support; classified and unclassified publications and technical documentation; transportation support; U.S. Government and contractor engineering, technical, and logistics support services; studies and surveys; and other related elements of logistics and program support. The estimated total cost is $104 million.

• 》 日本政府、次期戦闘機向けに新しい空対空ミサイルを開発する方針 (航空万能論 GF, 8/29)。あれ? ミーティアベースでやるんじゃなかったっけ? と思ったら、その件は既に終了していた。 マジか。

  • 防衛装備庁、日英が共同で進めていた新型空対空ミサイルの研究終了を発表 (航空万能論 GF, 4/2)

  　関連: サウジはGCAP参加のため巨額の資金で英伊を買収可能、日本は未知数 (航空万能論 GF, 8/28)。どうなることやら。

  取材に応じた英国王立防衛安全保障研究所（RUSI）のイザベラ･アンティノッツィ氏は「サウジがGCAPにもたらす貢献は資金のみだ。しかし英国とイタリアはアフォーダビリティの向上に貢献しうるサウジのプログラム参加に前向きで、逆に日本はアフォーダビリティの向上に興味がなくプログラムの着実な前進と確実な協力関係だけを望んでいる。少し前に話した日本の関係者は2035年に対する切迫感と緊張感を訴え、これを妨げる全ての要素について反対している」と言及。

• 》 【SNS投稿和訳】ウクライナ南部ロボチネ方面：今後の戦術展開（Emi Kastehelmi氏） (Panzergraf / note, 8/28)

• 》 【抄訳】ISW ロシアによる攻勢戦役評価 1835 ET 27.08.2023 “ウクライナ軍攻勢とロシア軍の防御態勢” (Panzergraf / note, 8/28)

• 》 【抄訳】ISW ロシアによる攻勢戦役評価 1845 ET 26.08.2023 “ウクライナ軍のロボチネ方面攻勢とそれへのロシア軍の対応” (Panzergraf / note, 8/27)

• 》 OpenAIのクローラーをNew York Timesなどのペイウォールメディアがブロック開始 (ITmedia, 8/26)。GPTbot の件。

  • https://www.nytimes.com/robots.txt。 Disallow: / しているのは CCBot, GPTBot, ia_archiver, omgili, omgilibot の 5 つ。

• 》 Windows版初登場の「アーマード・コア6」、定価8,690円をちょっとでも安く買いたい (窓の杜, 8/25)。へぇ。

• 》 2023年8月テストパッチのブルースクリーンは特定CPUが原因 ～Microsoftが調査結果を発表　 影響するデバイスに対し、配信の一時停止措置を講ずる予定 (窓の杜, 8/28)

• 》 “ファスト映画”訴訟で、所在不明になっていた1人に5億円の損害賠償命令 (Internet Watch, 8/25)。記事では過去形だが、当該人物は現在もなお海外にいる模様。

  • 「ファスト映画」投稿、３人に計５億円賠償命令…所在不明だった男にも判決 (読売, 8/24)

    原告の東宝などは３人を同時に提訴したが、この日判決の出た男が所在不明だったため、審理が分離されていた。

  • 「ファスト映画」で賠償命令　所在不明の投稿男性に―東京地裁 (時事, 8/24)

    原告側によると、この日判決が出された男性は海外にいるとみられるが所在不明。

• 》 【抄訳】ISW ロシアによる攻勢戦役評価 2120 ET 23.08.2023 “ウクライナ軍攻勢の進展状況” (Panzergraf / note, 8/24)

• 》 【抄訳】ISW ロシアによる攻勢戦役評価 1950 ET 24.08.2023 “ウクライナ軍攻勢状況分析” (Panzergraf / note, 8/25)

• 》 ボーイング、７３７ＭＡＸに新たな不具合－納入目標に狂い生じる恐れ (Bloomberg, 8/24)。後部圧力隔壁に「仕様に合わない穴」(ォィ)。 ボーイングではなく下請け会社 (スピリット・エアロシステムズ) の問題。

  • Spirit AeroSystems 737 Aft Bulkhead Statement (spiritaero.com, 8/23)

  • ‘Aft pressure bulkhead issue affects only “some” Boeing 737/MAX’ (Air Insight Group, 8/24)

  　関連:

  • 737MAX、納入を一部停止　スピリット製部品の品質問題 (Aviation Wire, 4/14)。ちょっと前に出た、別の問題の件。

  • 米航空部品スピリット、現金フロー悪化見通しで株価急落 (ロイター, 8/3)

  • スピリット・エアロシステムズ株価 (Google)

• 》 ランタイム更新をモジュール化、「Android 12」以降なら古いデバイスでもセキュリティ・パフォーマンスで恩恵 (窓の杜, 8/24)。へぇ。

• 》 Windows 10/11でブルースクリーンが発生、2023年8月プレビューパッチの適用後に (窓の杜, 8/24)。原因調査中だそうです。

• 》 Internet Week 2023。 iw2023.jp は使わないことになったみたい。

• 》 プリゴジン搭乗の民間機が墜落 (8/23)。ロシア政府が撃墜か

  • ワグネル代表プリゴジン氏、飛行機墜落で死亡か　搭乗者名簿に名前とロシア当局 (BBC, 8/24)

  • ロシアで反乱を起こした民間軍事会社ワグネルのプリゴジン代表が乗った航空機が墜落するまでの経路をFlightradar24が公開 (gigazine, 8/24)

  • プリゴジン氏の死亡は確定的　搭乗機墜落、ミサイル発射の痕跡と報道 (朝日, 8/24)

  • プリゴジン氏のジェット機墜落「プーチン氏の命令」　米シンクタンク (朝日, 8/24)。ISW の見解。

  • プリゴジン氏が死亡か ロシアでジェット機墜落 撃墜の可能性も (NHK, 8/24)

• 》 「能動的サイバー防御」導入へ　背景と課題 (NHK, 8/17)

• 》 関東大震災100年 流言による惨事は"過去のこと"か (NHK, 8/21)。惨事などという言葉を使うのか NHK。

  殺害された人数はわかっていませんが、国の中央防災会議がまとめた報告書は「千人から数千人に上る」と推定しています。この中には中国人や朝鮮半島出身者と間違えられた日本人も含まれています。

  　この規模だぞ。素直に虐殺と言うべきであろ。

• 》 月探査機の着陸にインドが成功、墜落したロシアとの明暗から“競争”の険しさが浮き彫りになってきた (WIRED, 8/24)

• 》 Duolingoから流出した260万人分のデータがわずか2.13ドルで販売され始める (ニッチなPCゲーマーの環境構築Z, 8/23)

• 》 クレジットカード会社が集めた個人情報が信用情報機関やブローカーを通じて犯罪者に拡散されてしまっているとの指摘 (gigazine, 8/24)

• 》 Microsoft・Uber・NVIDIA・Rockstar Gamesなどの大企業にハッキングした国際ハッカー集団「LAPSUS$」の主要メンバーが10代の少年だと裁判所が認定 (gigazine, 8/24)

• 》 北朝鮮のハッカーが盗み出した約60億円相当のビットコインを現金化しようとしているとFBIが警告 (gigazine, 8/24)

• 》 Huaweiが経済制裁回避のため中国全土に半導体製造ネットワークを構築しているとの警告 (gigazine, 8/23)

• 》 テスラから7万5000人分以上の個人情報が流出、テスラは元従業員2人の犯行と断定 (gigazine, 8/22)

• 》 イーロン・マスクが抱える1億5000万人のフォロワーのうち40％は投稿件数0件で42％はフォロワー0人 (gigazine, 8/21)

• 》 カスタマイズ可能なマルウェア検知ツールYAMA (JPCERT/CC Eyes, 8/9)

  YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能です。そのため、難読化されたマルウェアやファイルレス攻撃に対しても効果があります。

• 》 MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - (JPCERT/CC Eyes, 8/22)

  本手法への対策としては、悪性なWordファイルの分析ツールであるOLEVBA[2]が依然として有効で、図3のようにOLEVBAを使用することで埋め込まれているマクロが出力されるため、ファイルの悪性部分をこのツールの出力結果で確認することができます。
  (中略)
  [2] OLEVBA
  https://github.com/decalage2/oletools/wiki/olevba

• 》 WALTHERの高品質ペンライトが戦えるレベルに昇華！H2Tカスタム！ (目指せ！ライトマニア AKARICENTER 懐中電灯レビュー, 8/8)

• 》 CSA ChatGPTのセキュリティへの影響 (2023.08.02)　日本語版へのリンクを追加 (まるちゃんの情報セキュリティ気まぐれ日記, 8/22追記)。 なぜだかリンクをたどれないので、 翻訳WGが「「ChatGPTのセキュリティへの影響（Full Release版）」を公開しました！ (CSA Japan, 8/18) からどうぞ。

• 》 ヒグマ OSO18、ついに駆除される

  • 牛襲うヒグマ「OSO18」を駆除と発表 北海道 (NHK, 8/22)

  • ウシ66頭襲った「忍者グマ」OSO18 ついに仕留められる…7月末にハンターが駆除したクマがDNA鑑定で"オソ"と判明 (北海道ニュース UHB, 8/22)

  • 【詳報】OSO18を駆除…普通のヒグマかと思ったらDNA鑑定でオソと判明 体長は2メートル10センチ 痩せていた (北海道文化放送 / FNN, 8/22)

  　関連:

  • 次々と牛を襲い包囲網すり抜ける"忍者グマ"「OSO18」 実は普通のクマだった？ 冬眠明けの2月末から本格追跡へ 北海道 (北海道ニュース UHB, 1/21)

  • 牛を襲い続ける"忍者グマ"OSO18に強敵か？「今年は他にも大きなヒグマが複数現れ行動を阻んでいる可能性」対策会議で報告 (北海道ニュース UHB, 6/29)

  • 北海道の怪物ヒグマ「OSO18」に“異変”が　「牛のロースだけ選んで食べるように」「例年と異なる不気味な行動パターン」 (デイリー新潮 / Yahoo, 8/20)

• 》 「ランサムウェア攻撃にやられたらどうする」、Gartnerが説く組織としての効果的な備えとは (@IT, 8/22)

  　最高情報セキュリティ責任者（CISO）は、身代金の支払いについてもアドバイスできなければならないと、ハンキンス氏は話す。それはセキュリティ責任者にとって荷が重すぎることなのではないかと聞くと、次のように答えた。 　「情報セキュリティについて経営の最高幹部にアドバイスするのは、CISOの役割の一つだ。マルウェアやランサムウェアの世界で何が起こっているのかを常に把握している必要がある。ランサムウェア攻撃を受けたら、最高経営責任者（CEO）や最高財務責任者（CFO）が『他の組織は身代金を支払っているのか』といった疑問を持つのは当然だ。いったん支払うと、再び攻撃される可能性が高まることを含めて、正確な情報をもとに判断を下す必要がある。事業についての判断は事業の責任者が行うしかないが、CISOはこうした判断を支援する情報を提供しなければならない」

• 》 国がスマホの「サイドローディング」を義務化したい理由　内閣府の担当者に直接聞いてみた (ITmedia, 8/22)

  成田氏は、政府での議論の中でも決済手段の開放だけでは競争が進まないという結論に至ったと答えている。そのことを示しているのが韓国の事例で、韓国では2021年にアプリ内課金で特定の支払い方法を強制することを禁止、決済システムの開放がなされているのだが、Appleがさまざまな条件を付けたことで外部の決済システムを利用する際に26%の手数料が徴収されているため、手数料に対する競争圧力が実質的に働いていないという。

• 》 ログイン画面で2段階認証が利用できるようになりました (pixiv, 8/21)。さっそく設定してみた。

• 》 個人情報保護委員会、生成AIサービスの利用に関する注意喚起のパンフレットを公開中 (やじうま Watch, 8/22)

• 》 検索してもたどり着けない？ X（旧Twitter）、名称変更後にアプリダウンロード数が激減か (やじうま Watch, 8/22)。 ブランディングセンスがおかしいんだよね。

  Eric Seufert氏がThreadsで公開したグラフによると

  　Threads、投稿自体は web でも見れるのか。

• 》 完全無人タクシー、サンフランシスコ全域で解禁　自動運転に懸念も (朝日, 8/11)。関連:

  • 完全無人の自動運転タクシーを、24時間いつでも呼べる時代がやってきた：サンフランシスコでの“営業解禁”が意味すること (WIRED, 8/12)

  • ドライバーがいない？衝撃の完全無人タクシーとは？ (NHK, 4/24)。まだサービス地域制限中だった時代の記事。

• 》 サウジアラビアが要請したGCAPへの参加、英伊は前向き、日本は反対 (航空万能論 GF, 8/15)

• 》 ウクライナが初めて露Tu-22M3の破壊に成功、掩体壕の必要性が浮き彫り (航空万能論 GF, 8/21)

• 》 マイクロソフト、検索シェア拡大に苦戦　AIで先行も (Wall Street Journal, 8/18)。世の中厳しい。

• 》 Windowsの時刻補正機能により時計がときどき数ヶ月単位でズレてリセットされる事態が発生 (gigazine, 8/17)。またお前か w32time 。 Secure Time Seeding だってさ。

  • Secure Time Seeding – improving time keeping in Windows (Microsoft, 2016.09.28)

    The Secure Time Seeding feature was shipped in the Windows 10 November 2015 release and is turned on by default. You may have seen the improvements in timekeeping on your Windows tablets and other Windows devices running this version of the OS. We have seen it work time and again given the prerequisites are met.

    Windows 10 バージョン 1511 から塔載、デフォルト有効だそうで。

    Set the following registry value to 0 and reboot your machine and the Secure Time Seeding feature will be disabled. (Standard warning about exercising care while modifying registry applies here).
    
    Registry Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
    Value Name: UtilizeSslTimeData
    Value Type: REG_DWORD

    レジストリ設定で無効にできる。

  • Time accuracy improvements for Windows Server 2016 (Microsoft, 2022.06.10)

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config /v UtilizeSslTimeData /t REG_DWORD /d 0 /f

    W32tm.exe /config /update

    To apply this setting in an entire domain, please set the UtilizeSSLTimeData value in W32time group policy setting to 0 and publish the setting. When the setting is picked up by a Group Policy Client, W32time service is notified and it will stop time monitoring and enforcement using SSL time data. The SSL time data collection will stop when each machine reboots. If your domain has portable slim laptops/tablets and other devices, you may want to exclude such machines from this policy change. These devices will eventually face battery drain and need the Secure Time Seeding feature to bootstrap their time.

• 》 ジェミニ天文台がサイバー攻撃によってシステム停止に追い込まれる、天文学の研究に大きな遅れが生じる可能性 (gigazine, 8/21)

• 》 ペルーの奥地に出没する「空飛ぶエイリアン」の正体が「ジェットパックで空を飛ぶ違法採掘者」であったと判明 (gigazine, 8/15)

• 》 「常温常圧の超伝導体」として科学界に旋風を巻き起こしたLK-99が超伝導体ではないことはどのように明らかになったのか？ (gigazine, 8/17)

• 》 AI と著作権方面

  • 「AIが生成した作品は著作権で保護される余地がない」との判決が下る (gigazine, 8/21)。米国の話。

    コロンビア特別区連邦地方裁判所のベリル・A・ハウエル判事は今回の判決で、「作者が人間であることは著作権の基本的な要件である」として、AI作品の著作権登録を拒否した当局の主張を支持しました。

  • 「生成AIは著作権保護の検討が不十分」新聞協会など声明　「著作権法30条の4は大きな課題」 (ITmedia, 8/18)、 生成AIに関する共同声明 (日本新聞協会, 8/17)

    日本の著作権法第３０条の４が諸外国に比べ、ＡＩ学習に極めて有利に作られていることは大きな課題です。同条のただし書きでは「著作権者の利益を不当に害する」場合は学習利用できないとされていますが、その解釈は明確ではなく、また海賊版の学習利用も禁止されていません。権利侵害コンテンツが大量に流通する恐れがあるにもかかわらず、著作権者に対する実効的な救済策は何ら示されていません。
    (中略)
    　著作権法第３０条の４は２０１８年の改正でつくられましたが、当時、生成ＡＩのような高度なＡＩの負の影響が十分に想定されていたわけではありませんでした。
    　第３０条の４ただし書きの解釈を明確にし、著作権法改正の必要性を見極める必要があります。

• 》 ウクライナ戦争、来年に目を向け始めた西側諸国　 反転攻勢の失速受け、訓練と新装備投入による打開策を検討 (Wall Street Journal, 8/15)。今年中には終りそうにないようです。関連:

  • クラスター砲弾の到着で戦場の様子が変化、ロシア軍の火力支援量が低下 (航空万能論 GF, 8/21)

  • 50万人に近づく死傷者数、ウクライナ軍が約19万人でロシア軍が約30万人 (航空万能論 GF, 8/19)

  • ウクライナ侵攻で数万人が手足切断か　義肢1年待ち 　まるで第1次世界大戦のような状況 (Wall Street Journal, 8/7)

    　当初は大砲やミサイルによる攻撃が四肢切断の主な原因だったが、現在最も深刻な人的被害をもたらしている原因の一つは、長さ600マイル（約966キロ）の前線に沿って仕掛けられた地雷だ。私立KSMクリニックのコスティアンティン・ミリツィア医長によると、ザポリージャ市の病院には1日に40～80人の外傷患者が運ばれており、その中には約25マイル離れた前線から搬送される四肢切断者も含まれるという。

• 》 中国の統計、操作か不備か　その両方かも (Wall Street Journal, 8/21)

  中国の若者の失業率は6月に過去最高の21.3％に達した。これを受けて中国の国家統計局（NBS）は同失業率の公表を停止した。

• 》 Microsoft Bug Bounty Program Year in Review: $13.8M in Rewards (MSRC, 8/7)

• 》 全高4.5mの搭乗型ロボット「アーカックス」、日本で販売へ　価格は4億円　エアコン完備で夏場もOK (ITmedia, 8/19)。公道を走れるようになると、すごいんだけどなあ。

• 》 QRコード悪用のフィッシング攻撃、多数の米エネルギー企業が標的に (ITmedia, 8/18)

• 》 地震・豪雨で被災したHDDからもデータ復旧できる！HDDは"乾かさず濡れタオルで包んで保存"が正解 (PC Watch, 8/21)。へぇ。

• 》 Internet Week 2023。 毎年新しいドメイン名をつくることにしたんだろうか。

• 》 X（Twitter）の収益化プログラム、有名人はいくら稼げた？　グラドルや声優が公開 (ITmedia, 8/8)

• 》 進展のないウクライナ軍の反攻作戦、欧米当局者の間で広がる悲観的な評価 (航空万能論 GF, 8/9)。現実は厳しい。

  「ロシア軍には幾つも防衛ラインがあり、ウクライナ人は最初の防衛ラインすら突破できていない。このまま何週間も戦い続けて突破口を開けない場合、この消耗した状態で状況を打開できる可能性があるだろうか？条件は非常に厳しいだろう」

• 》 自民・二階氏「国家の威信にかけて成功させる」大阪・関西万博めぐり (TBS, 8/8)。たかが万博ごときに「国家の威信」なんてものをかけないと成功しないとは。日本はここまで落ちぶれましたか。

• 》 ストリートファイター6大会で盲目の選手が予選で勝利。サウンドアクセシビリティを活用 (スラド, 8/9)

• 》 DNS Summer Day 2023: WindowsのChromeやEdgeでネットにつながりにくくなる現象、一部の家庭用ルーターが原因かも？ (Internet Watch, 8/1)、 ブラウザのTCPクエリ送信でネットにつながりにくくなる現象、一部ルーターが原因か (スラド, 8/3)

  　Aterm、対応ファーム出てたんですね: Atermの一部の機種においてルータモードで使用時に特定ブラウザでインターネット接続ができなくなる現象について［2023年6月29日更新］ (NEC, 6/29更新)。「WG1200HS、WG1200HS2、WG1200HP2、WG1900HP、WG1800HP3」用。

• 》 Google、「Chrome」のセキュリティパッチを隔週→毎週配信に ～「Chrome 116」から (窓の杜, 8/9)。週刊 Chrome アップデートですか。

• 》 トルコの第5世代機開発にアゼルバイジャンが参加、パキスタン参加も濃厚 (航空万能論 GF, 8/9)。トルコ TF-X、正式名称はカーン KAAN だそうで。地上滑走試験を開始、 12 月に初飛行を予定。

  プロトタイプのエンジンにはF110を採用しているが、カーンは海外輸出が前提なので量産機には「制約のない国産エンジン」の採用が不可欠で、昨年6月に発行された提案依頼書（RFP）にはTRMotor、Tusas Engine Industries、Kaleとロールス･ロイスのコンソーシアム（TAEC）が応じたものの、まだ開発の枠組みすら決定されていない状況だ。
  
  カーン･プログラムは複数のBlockで構成され、現在のプロトタイプはBlock0と呼ばれており、トルコ空軍に引き渡すカーンの初期型＝Block1は2029年までに開発され2030年～2033年の間に納品する予定なので、トルコは10年以内に国産エンジンを開発しなければならず、これに失敗すればF110の使用に関する承認を米国から取り付けるか、すでに見つけていると公言している「代替エンジン」を入手しなければならないが、トルコはウクライナの協力を確保しているため国産エンジンを本当に完成させてくるかもしれない。

  　ここでウクライナが出てきますか。 モトール・シーチ は 政府に接収された そうで。

• 》 ウクライナ軍、ストーム･シャドウでヘルソン州とクリミアを結ぶ道路橋を破壊 (航空万能論 GF, 8/7)

• 》 中国のハッカー集団が日本の防衛機密ネットワークに侵入していたとの報道 (gigazine, 8/8)。ワシントン・ポストの報道。こちら:

  • China hacked Japan’s sensitive defense networks, officials say (Washington Post, 8/7)。 NSA が 2020 年秋に、中国軍ハッカーが日本の「most sensitive computer systems」に侵入していることを発見。

    The hackers had deep, persistent access and appeared to be after anything they could get their hands on — plans, capabilities, assessments of military shortcomings, according to three former senior U.S. officials, who were among a dozen current and former U.S. and Japanese officials interviewed, who spoke on the condition of anonymity because of the matter’s sensitivity.
    
    “It was bad — shockingly bad,” recalled one former U.S. military official, who was briefed on the event, which has not been previously reported.

    米国政府は直ちに警告するが、2021 年初頭になっても引き続きアクセスが続いていたそうで。

    By early 2021, the Biden administration had settled in, and cybersecurity and defense officials realized the problem had festered. The Chinese were still in Tokyo’s networks.
    
    Since then, under American scrutiny, the Japanese have announced they are ramping up network security, boosting the cybersecurity budget tenfold over the next five years and increasing their military cybersecurity force fourfold to 4,000 people.

    2021 年秋になっても……

    Then in fall 2021, Washington uncovered fresh information that reinforced the severity of China’s breach of Tokyo’s defense systems and that Japan was not making much progress in sealing it.
    (中略)
    That November, despite Japan being in pandemic lockdown, Neuberger and a handful of other U.S. officials flew to Tokyo and met with top military, intelligence and diplomatic officials, according to several people with knowledge of the trip.
    (中略)
    Neuberger found a partner in Japan’s newly appointed national security adviser, Takeo Akiba, who zeroed in on an entrenched bureaucracy. They were helped by the fact that Kishida was keen on advancing a campaign launched by Abe to bolster Japan’s defense capabilities. Tokyo set to work on a new cyber strategy, which sought to beef up spending and personnel and align cybersecurity standards with U.S. and international benchmarks.

  　関連報道:

  • 中国軍ハッカーが日本の防衛システム侵入と米紙報道、浜田防衛相は「秘密漏えい確認していない」 (読売, 8/8)

  • 中国軍、日本の最高機密網に侵入　情報共有に支障―米報道 (時事, 8/8)

  • ツイート

    数多ある論点の一つは「日本のメディアはどこも知らなかったのか？」ですね。確かに2020年秋のナカソネ、ポッティンジャー来日について、当時は報道も発表もなかった模様。ただ、防衛記者会は訪問自体には気づいていた？ https://t.co/F2KblVZY2Z

    — Michito Tsuruoka / 鶴岡路人 (@MichitoTsuruoka) August 8, 2023

    防衛省ネットワークへの中国からのサイバー攻撃に関するWP報道について防衛大臣会見（8.8）では「詳細については事柄の性質上お答えを差し控え」ながら「防衛省が保有する秘密情報が漏洩したとの事実は確認しておりません」ーー何らかの事案があったこと自体は否定せず。https://t.co/34AqoyM50e

    — Michito Tsuruoka / 鶴岡路人 (@MichitoTsuruoka) August 8, 2023

• 》 初の国際サイバー捜査、インドネシア人逮捕　世界的詐欺ツールを使用 (朝日, 8/8)、 詐欺プログラム開発、FBIに追われた17歳　世界で被害起こすまで (朝日, 8/8)

• 》 Microsoft公式の削除ファイル復旧コマンド「winfr」を誰でも使えるようにGUI化する (窓の杜, 8/8)。WinfrGUI。

• 》 「リモートワークは死んだ」Zoom、フルリモート勤務を廃止し社員に出社を指示し波紋 (Internet Watch, 8/8)。力不足は否めない、ということかな。

• 》 前代未聞？ X（旧Twitter）、社名と無関係なアカウントまで一般ユーザーから強奪か (Internet Watch, 8/7)。クソっぷりが半端ない。

  今回話題になっているのは、「@music」というアカウント。(中略) 中の人は移行先として3つのアカウントを提示され、最終的に「@musicfan」に全データが引き継がれたようだが、このアカウントもまたXが一般ユーザーから強奪された玉突き疑惑が出ている。

  　めちゃくちゃだ……。

• 》 「日本の重要インフラに影響を及ぼした」〜名古屋港へのランサムウェア攻撃をトレンドマイクロが解説 (Internet Watch, 8/8)

• 》 Threadsの利用者が当初から82％減少して800万人に、1日の平均滞在時間は19分から3分に激減 (gigazine, 8/4)

• 》 ウクライナ軍がノヴォロシスク基地を攻撃、ロシア海軍の大型揚陸艦が大破 (航空万能論 GF, 8/4)。ロプーチャ級揚陸艦オレネゴールスキイ･ゴルニャーク。

• 》 予定が狂ったウクライナ軍の反攻作戦、慣れ親しんだ防御戦術に回帰 (航空万能論 GF, 8/3)

  米国や欧州諸国は「投射火力量で戦場を制圧してロシア軍を消耗させるという古典的な防御戦術は弾薬在庫を枯渇させるため、異なる部隊が高度な協調攻撃を実施する諸兵科連合作戦の方が効率的だ」と考え、訓練の大半を防御ではなく攻撃に転じる方法に割いたが、最前線を訪問してウクライナ軍指揮官や兵士から聞き取り調査を行った米政府高官やアナリスト達は「欧米で訓練された旅団は4週間から6週間しか諸兵科連合作戦の訓練を受けておらず、この部隊は6月初旬の作戦でミスを犯して後退した」と証言しているのが興味深い。 (中略) 6月初旬の作戦ミスとは「予め安全を確保していた進路を無視した部隊が地雷に遭遇して損害を被る」「何の調整もなく夜間攻撃の時間を変更して砲兵部隊が無意味に射点を晒す」といった内容だ。

  　関連: 反攻作戦の進展が遅い原因、ウクライナ軍の作戦スキルが不足しているため (航空万能論 GF, 8/4)。諸兵科連合作戦のスキルが不足と。

• 》 ゼレンスキー大統領、軍事委員会による不正や虐待の多さにうんざり (航空万能論 GF, 8/4)

• 》 Previewing RSS of セキュリティホール memo (tamo.github.io)。tamo さん作のセキュ memo RSS、OSDN から GitHub に移動したそうです。 tamo さん情報ありがとうございます。

• 》 「ガッカリだ！」スシローとペロペロ少年の和解に失望の声が続出…それでも“英断”だったと言い切れるワケ (窪田順生 / ダイヤモンド ONLINE, 8/3)

  危機管理における会見とは、そういう社会の溜飲を下げるためにやるものではない。ダメージを最小限に抑えて、危機から立ち直っていくために、必要最低限の事実やメッセージを伝える場だ。

• 》 Debian、RISC-Vを正式なアーキテクチャとしてサポートへ (gihyo.jp, 8/1)

  開発チームのManuel Fernandez Monteceloによれば、商用RISC-VベンダのSiFiveが提供する開発ボード「HiFive Unmatched」を9台使ってビルドを行っているという。

• 》 NIST FIPS-202「SHA-3 標準」、 SP 800-185「SHA-3 派生関数」についてのパブリックコメント募集 (2023.07.27) (まるちゃんの情報セキュリティ気まぐれ日記, 8/3)

• 》 ビッグモーター 特別調査委員会 調査報告書 (まるちゃんの情報セキュリティ気まぐれ日記, 7/27)

• 》 『更新してシャットダウン』を選択しても電源が切れない理由。あの機能が悪さをしていた (ニッチなPCゲーマーの環境構築Z, 7/31) 「エンジニアによると、『高速スタートアップ』が関係しているという。(中略) ただ、筆者環境では、『高速スタートアップ』を無効にしているにも関わらず、シャットダウンしないことがあります。」

• 》 AWS、パブリックIPv4アドレスの利用を有料化へ　「IPv4アドレスの取得コストは5年間で3倍以上」 (@IT, 8/3)

• 》 long COVID 方面

  • 新型コロナの後遺症の影響は「計り知れないほど大きい」と研究者が語る (gigazine, 7/27)

  • 新型コロナウイルス感染の長期後遺症「ロングCOVID」の治療法を確立せよ：打開策を模索する研究者たち (WIRED, 6/29)

  • メトホルミン服用によるコロナ後遺症予防効果 (東京都医学綜合研究所, 4/20)。2型糖尿病治療薬メトホルミン。

• 》 真夏の夜、エアコンは「つけっぱなし」でいい　電気代は一晩20円ちょっと (ITmedia, 7/27)

  「エアコンは外気温と設定温度の差が大きいほど消費電力量が多くなります。外気温の低い夜間は日中に比べて電気代はかかりません」（パナソニック）

• 》 ハンディファン、猛暑日は逆効果とメーカーが注意喚起　「濡れタオルとの併用を」 (ITmedia, 8/1)。「明らかに気持ち悪い熱風になったら使用を控えてください」。

• 》 記名式のSuicaやPASMOが一時発売中止。半導体不足で無記名/記名の両方が購入不可に (PC Watch, 7/31)。 「定期乗車券の新規発売や、カード障害および紛失による再発行サービスなどは継続」 「世界的な半導体不足の影響下において、今後の定期乗車券の新規発売や再発行サービス継続に必要な在庫を確保するため」。 半導体不足はまだ解消してませんと。

• 》 Windowsで「TLS 1.0」「TLS 1.1」が非推奨に ～2023年9月のプレビュービルドで既定無効 (窓の杜, 8/2)

  まずは2023年9月の「Windows 11 Insider Preview」ビルドでこの変更がテストされ、問題がなければ製品版のOSにも導入される見込みだ。

• 》 大阪万博がピンチらしい⑨ (建築エコノミスト 森山高至「土建国防論Blog」, 8/2)

  たった数か月の仮設建築のために、地下５０メートルまでの杭を、数百本打って数か月後に引き抜いて、更地で返せ！とはなんだ！
  
  杭打ち以上に、引き抜き撤去と廃棄物の処理に工事費かかるじゃねえか！
  
  それもこれも、地盤が悪すぎるからじゃんね。

  　関連:

  • 夢洲における実証実験公募の実施第3号が「超軟弱地盤における「NSエコパイル®」打設・引抜きおよび「カルシア改質材」による支持力改良に関する実証実験」に決定 (EXPO2025, 2021.12.02)。こんなのが採択されるくらい「超軟弱地盤」ですよと。

  • 夢洲における実証実験の終了について (EXPO2025, 5/25)。実証実験の結果がどうだったのかは、さっぱりわからないんですよねえ。

• 》 盗難されたマークIIが8日後に奇跡の発見　どうやって？　散歩中の発見者「違和感全開の光景でした」 (ENCOUNT / Yahoo, 8/2)

• 》 バーベンハイマー方面

  • 『バーベンハイマー』キノコ雲のポップなミーム化は見たくない (THE RIVER, 7/26)

  • 映画「バービー」公式アカと #barbenheimer について (togetter, 7/31)

  • 日本で物議の“Barbenheimer”、北米でなぜ人気？　『バービー』は10億ドル超え目指す (リアルサウンド, 7/31)

    　すなわち「バーベンハイマー」とは、ワーナーVSユニバーサル＆ノーランの真っ向勝負でもあったのだが、これをイベントとして盛り上げたのが現地のジャーナリストと映画ファンだった。2023年春頃から、北米メディアは両作品のタイトルをもじって「バーベンハイマー」として注目し、SNSではファンアートやコラージュがアップされるようになったのだ（この中に少なからず含まれていたのがキノコ雲のイメージだった）。劇場公開直後には、バービーとオッペンハイマーのコスプレをした大勢の観客が劇場に足を運んでいる。

  • 「バーベンハイマー」の波、米映画業界乗れるか (Wall Street Journal, 8/1)。 両作ともヒット継続中。

  　ワーナー ブラザース ジャパンが遺憾の意と本社への対応要求を表明 (7/31)

  • 映画『バービー』物議の米SNSに日本側が公式声明 ─ 「極めて遺憾」「アメリカ本社に然るべき対応求める」 (THE RIVER, 7/31)

  • 映画『バービー』日本公式SNS、米公式の原爆ミーム「#Barbenheimer」への反応に「極めて遺憾」 (CINRA, 8/1)

  • ‘Barbenheimer’ Isn’t Funny in Nuclear-Scarred Japan (NYTimes, 8/1)

  • #NoBarbenheimer trends as Japanese users speak out on tasteless Barbenheimer memes (automaton-media.com, 7/31)

  　ワーナーブラザーズ、メディア各社に公式謝罪コメントを送付、問題とされたツイートも削除 (8/1)。

  • 米ワーナー、『バービー』投稿に関する謝罪文を正式発表 (THE RIVER, 8/1)

  • バービー“原爆騒動”巡り米ワーナー本社が謝罪コメント　米メディアの取材に「心から謝罪する」 (ITmedia, 8/1)

  • 映画「バービー」の髪型が原爆“キノコ雲”に… 公式SNSが“ハートマーク” 批判殺到に 米ワーナーはお詫び【news23】 (TBS, 8/2)

  　とりあえず、OPPENHEIMER を日本で公開してほしいんですけどねえ。

• 》 「Office 2016/2019」がMicrosoft 365サービスへ接続できるのは2023年10月10日まで (窓の杜, 8/2)。おぉっと 2019 もですか。

• 》 大阪急性期・総合医療センターのランサムウェア被害、当事者が語る復旧の道のりと教訓 (@IT, 7/24)

  　次に中西氏は、大阪急性期・総合医療センターのシステム運用を支える人員が13人だった点に触れた。
  　IIJの全国情シス実態調査レポートによると、2000人規模の企業ならば、情シス部門の規模は平均で正社員が21人、委託先などで11人だという。「これに比べると、非常に少ないのではないか」という中西氏の問いに、粟倉氏は「これでも多い印象です。病院が自前でITの専門家を抱えるのは難しく、事務職に入った人間を配置させるくらいしかありません。限られた人数の中でやるしかありません」と率直に答えた。
  　この状況を打開する鍵になりそうなのが、厚生労働省が打ち出した診療報酬制度の改定だ。この改定では、サイバーセキュリティ対策を適切に実施した場合、報酬が増額されることになる。

  　これか: 全国情シス実態調査2022 (IIJ)

• 》 X(旧Twitter)が「マスク氏の買収後Twitterでヘイトスピーチが急増している」と指摘した非営利団体に訴訟をちらつかせる (gigazine, 8/1)、X（旧Twitter）、反ヘイト団体CCDHを本当に提訴　「データを不正に収集した」 (ITmedia, 8/2)。関連:

  • Our response to Elon Musk and X Corp’s lawsuit against CCDH (CCDH, 8/1)

  • Twitterはたった10人の「有害なインフルエンサー」で年間25億円も稼ぐとの試算結果 (gigazine, 2/13)

  • Twitter上のヘイトスピーチはマスク氏買収後増加--CCDHの調査結果 (CNET, 2022.12.05)

  • 誰が、何のために「デマ」を拡散させるのか？ (NHK, 2021.09.14)

• 》 厚生労働省で行政文書データ1100万件誤削除　システム仕様策定時の確認不足で保存期間にミス (ITmedia, 8/1)。めちゃくちゃ。

• 》 Twitterアプリ、「引用リツイート」が「件の引用」に　アプリ内でも用語はバラバラ (ITmedia, 8/2)。ぐちょぐちょ。

• 》 “プレミアムフライデー”は実質終了？　公式サイトは閉鎖済み、ドメイン有効期限切れ間近　経産省の対応は？ (ITmedia, 8/2)。ショボい。

• 》 一部のWSUSサーバーに問題、「Windows 11 バージョン22H2」にパッチが降りてこない (窓の杜, 7/31)。Windows Server 2016/2019 から 2022 にアップグレードした場合に、 「必要な「Unified Update Platform」（UUP）MIMEタイプが誤って削除されたために発生する」そうで。 Microsoft 2023.03 patch で対応されている他、 手動での対応 も可能だそうで。

• 》 不正が相次ぐウクライナの軍事委員会、今度はドニプロの軍事委員長を拘束 (航空万能論 GF, 8/2)。権力者が人の弱みにつけこむと、かくも儲かるのですね。

• 》 中国軍が調達を進めるJ-20、2023年の生産数は限りなく100機に近い？ (航空万能論 GF, 8/2)。年間 100 機。すさまじい勢い。