Last modified: Thu Oct 10 12:35:11 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
遺族側が会見 “宝塚歌劇団側 多くがパワハラに該当と認める” (NHK, 2/27)
遺族側の代理人弁護士は記者会見で、上級生などからのパワハラ行為について「遺族側が主張している15のパワハラ行為のうち、歌劇団は7つの項目についてほぼ認めていると理解している。ほかの6項目については、一部認めていない部分があり、残る2つは、否定している。
遺族側が主張している15件のパワハラ行為は次のとおりです。
- 亡くなった劇団員が断ったにもかかわらず、上級生がヘアアイロンで髪を巻き、額にやけどを負わせた
- この上級生がやけどを負わせたにもかかわらず、真摯(しんし)な謝罪をしなかった
- 上級生が髪飾りの作り直しなど、深夜に及ぶ労働を課した
- 上級生が新人公演のダメ出しで人格否定のようなことばを浴びせた
- 週刊誌の報道の後、上級生が亡くなった劇団員を呼び出して詰問し、過呼吸の状態に追い込んだ
- 劇団幹部がヘアアイロンでやけどを負ったことについて「全くの事実無根」と発表した
- 劇団幹部が睡眠時間が1日3時間程度しかとれないような極めて過酷な長時間労働を課し、過大な要求をした
- 亡くなった劇団員が所属していた宙組の幹部が「振り写し」の復活により、一層過大な要求をした
- 宙組の幹部が「お声がけ」の復活により、一層過大な要求をした
- 演出家が怠慢や不備により、到底対応不可能な業務を課した
- 宙組の幹部が配役表の事前開示に関し、2日連続で執ような叱責を行った
- 宙組の幹部が「振り写し」に関し、大声で宙組の組員の前で叱責を行った
- 宙組の幹部が「下級生の失敗はすべてあんたのせいや」などの叱責を繰り返した
- 宙組の幹部が幹部部屋で大声で叫び、威圧的な言動を行った
- 宙組の幹部が「お声がけ」に関し、詰問や叱責を続け、罵倒した
タカラジェンヌ死亡、現在も歌劇団に在籍する妹がコメント「姉の命の重さを何だと思っているのでしょうか」 (読売, 2/27)
厚生労働省のパワハラの定義を見れば、姉が受けた行為は、パワハラ以外の何ものでもありません。
宝塚は治外法権の場所ではありません。宝塚だから許される事など一つもないのです。
劇団は今に至ってもなお、パワハラをおこなった者の言い分のみを聞き、第三者の証言を無視しているのは納得がいきません。
宝塚歌劇理事退任へ 阪急阪神HD角会長、団員死亡問題で (時事, 2/26)
タカラジェンヌ飛び降り事件【全内幕】宝塚宙組トップが「私は謝らない」《真相追及第16弾》【週刊文春 目次】 (文春オンライン, 2/29)
「ヘアアイロンでやけど」は故意か 宝塚と劇団員遺族側に隔たり残る (毎日, 2/27)
「ひどすぎて話にならない」 阪急阪神HDの悪手、専門家が酷評 (毎日, 2/27)。 第三者委員会報告書格付け委員会 でもおなじみの八田進二・青山学院大名誉教授。
八田名誉教授がまず問題点に挙げるのは、調査チームの中立性だ。調査を手がけた大阪市の弁護士事務所には、歌劇団を運営する阪急電鉄と関わりの深い企業(阪急阪神百貨店の親会社、エイチ・ツー・オーリテイリング)の役員が所属していることが判明した。また死亡した劇団員が所属する宙(そら)組のうち4人が聞き取りを辞退し、問題に関わった全員をヒアリングできずに原因究明にたどり着けなかった点も疑問視する。
さらにHDの「企業価値を著しく損ねた」とみるのは、11月の記者会見での対応。角和夫会長や嶋田泰夫・阪急電鉄社長は出席せず、歌劇団の専務理事だった村上浩爾理事長が「証拠を見せていただきたい」と遺族側に発言。「親会社としての真摯(しんし)な対応が感じられなかった」と指摘する。
タカラジェンヌ、なぜストを起こせない 「ブギウギ」劇団との違い (毎日, 2/26)。人を大切にしない。それが宝塚。
神奈川など4県警で免許発行トラブル うるう年が影響、作成機に障害 (朝日, 2/29)。「4県警で使っている機械は同じメーカーのものだという」
セルフ給油機使えず、うるう年でソフトウエアに不具合か NZ (AFP, 2/29)
ガソリンスタンドチェーン「ガル(Gull)」の広報担当者は「全国的な問題で、全ての店舗で影響が出ている。うるう年の2月29日が原因で、決済サービス事業者のソフトウエアに不具合があったようだ」と話した。
スギ薬局、処方薬の会計できず うるう年の影響でシステム障害 (中日, 2/29)
》 旧統一教会と「関係断絶」決議 取り消し求めた友好団体側が敗訴 (朝日, 2/28)
》 避難計画、宮古は鹿児島経由 八重山は福岡、台湾有事想定―政府調整 (時事, 2/28)
避難の対象は先島諸島の住民と観光客計約12万人で、1カ月程度の滞在を想定。民間航空機を利用することを基本とし、鹿児島、福岡両空港から個別の避難先へは陸路での移動が中心となる見込みだ。
なんじゃそりゃ。300人乗りを持ってこれたとしても 120,000 / 300 = 400 だぜ。 どれだけかかるんだい。 「民間航空機を利用することを基本」なんて安易に言ってんじゃないよ。
》 米イリノイ州裁判所、トランプ氏を大統領選の投票用紙から除外 修正14条の「反乱者の禁止」理由に (CNN, 2/29)
トランプ氏の大統領選出馬資格に異議を唱える同様の判決は、コロラド州の最高裁でも下されていた。同州の判決は現在連邦最高裁で審理されているが、大方の予想では退けられるとみられている。
イリノイ州クック郡巡回裁判所のポーター判事は、今回の判決を下すに当たりコロラド州最高裁の判決に強く依拠。「論理的に従わざるを得ない」判断だとの見解を示した。
》 オスプレイ飛行再開 軍幹部が国防長官に説明へ (琉球朝日放送 / Yahoo, 2/29)
AP通信は28日、複数の国防当局者の話として、軍の幹部が2024年3月1日にもオースティン国防長官に飛行再開に向けた計画について説明すると伝えました。
》 万博海外館、10月完成「無理」 複数国が超過予測、工程形骸化 (共同, 2/28)。無理なものは無理。
》 クラウドの隙間から「のぞき見」 名刺管理サービスで起きた不正 (毎日, 2/28)
これまでの捜査では、片岡容疑者は2022年ごろから、部下らになりすましメールの送信や電話をするように指示を出し、十数社からログイン情報を引き出していたことが判明している。 (中略) こうした相手の心理的な隙(すき)につけ込み、情報などを盗み取る手口は「ソーシャルエンジニアリング」と呼ばれる。
人間の脆弱性を突く手法は常に有効なんだよなあ。
》 「Apple Car」開発中止か EV計画白紙と米メディア報じる (ITmedia, 2/28)
SMTP Smuggling (2023.12.25)
CVE-2023-51747: SMTP smuggling in Apache James (oss-sec ML, 2024.02.27)。Apache James 3.8.1 / 3.7.5 で対応。
Chrome 122.0.6261.94 (Mac / Linux) および Chrome 122.0.6261.94/.95 (Windows) 公開。 4 件のセキュリティ修正を含む。
「Microsoft Edge」に3件の脆弱性 ~修正版のv122.0.2365.63が公開 (窓の杜, 2024.03.01)
》 日テレ、「セクシー田中さん」調査チームに外部有識者として2人の弁護士 (ITmedia, 2/26)
調査チームの責任者は、日本テレビの執行役員(広報、コンプライアンス、総務担当)でコンプライアンス推進室長の山田克也氏が務める。調査チームは、日本テレビの顧問弁護士である谷田哲哉氏の他、ドラマ制作部門から独立した社内特別調査チームおよびコンプライアンス推進室などのメンバーで構成するという。
さらに外部有識者として、「そこが知りたい著作権Q&A 100」(著作権情報センター)などの著書があり、知的財産分野で知られる早稲田祐美子弁護士(東京六本木法律特許事務所)と、コンテンツ制作の契約法務やメディア・エンタメ関係の実務に実績を持ち、テレビドラマ「下町ロケット」(TBS)などで法律監修を務めた國松崇弁護士(東京リベルテ法律事務所)の名前を挙げた。
第三者委員会ではない。期待はできない。
》 デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた (なか2656のblog, 2/26)
このようにマイナンバーカードのICチップの電子証明書の発行番号(シリアル番号)は、マイナンバー(個人番号)と同様に取扱注意な番号ですが、それに対する法規制がマイナンバーに対する法規制と異なりゆるいことが大きな問題の一つであるといえます。
(中略) 電子証明書の発行番号についてはそこまでの利用目的の制限がなく、また発行番号は特定個人情報(マイナンバーを含む個人情報)にも該当しないとなっており、特定個人情報に対する厳格な安全管理措置の適用もありません。公的個人認証法(JPKI法)で、発行番号を含めた外部提供用のデータベースを作成することが禁止されていますが(63条)、罰則についてはそのようなデータベースを繰り返し作成する等した事業者が、国の命令に従わなかった場合にしか科されないなど、ゆるい法規制にとどまっています(75条)。
》 通信傍受法第36条に基づく令和5年における通信傍受に関する国会への報告について (警察庁, 2/27)。いずれもケータイですね。
》 ハッキング思考 強者はいかにしてルールを歪めるのか、それを正すにはどうしたらいいのか Kindle版 (amazon)。ブルース・シュナイアーの新刊がポイント 50% 還元になってる。
》 その男、アーロン・ブッシュネル (米空軍軍人)。 合掌。
ガザ侵攻に抗議で25歳焼身自殺 アメリカのイスラエル大使館前 (毎日, 2/27)
Aaron Bushnell: US airman dies after setting himself on fire outside Israeli embassy in Washington (BBC, 2/27)
Man Dies After Setting Himself on Fire Outside Israeli Embassy in Washington, Air Force Says (NYTimes, 2/25)
OPINION - Suicide vs genocide: Rest in power, Aaron Bushnell (Aljazeera, 2/26)
当該映像
米空軍兵のアーロン・ブッシュネル(25)「私は合衆国空軍の現役要員だ。これ以上ジェノサイドに加担することはできない」https://t.co/N9nWOI9JOP…
— T.Katsumi #FreePalestine (@tkatsumi06j) February 26, 2024
2024 年 2 月のセキュリティ更新プログラム (月例) (2024.02.15)
不具合報告:
The February 2024 security update might fail to install (Microsoft, 2024.02.26 更新)。Windows 11 + KB5034765 (2024.02 patch) でインストールが 96% から進まない場合があると。
This issue can be prevented by deleting the hidden folder C:\$WinREAgent. A restart might be required.
隠しフォルダ C:\$WinREAgent を削除して再起動するとこの問題を回避できると。
2024年2月セキュリティパッチの適用が97%で止まってしまう ~Windows 11で発生中 (窓の杜, 2024.02.27)
この問題が影響するプラットフォームは、以下の通り。コンシューマー版の「Windows 11」でのみで発生し、サーバーOSや「Windows 10」では起こらないようだ。
どこを読むとこの認識にたどりつけるのだろう。よくわからん。
JVNVU#93534773 複数のトレンドマイクロ製品における複数の脆弱性 (JVN, 2024.02.21)。対策版あり。
JVNVU#96033712 Trend Micro Apex Centralにおける複数の脆弱性 (JVN, 2024.02.21)。patch あり。
》 syzbot が発見した Linux カーネルの不具合の内、修正されたことが報告された件数が2/2に5000件になりました (熊猫さくらのブログ, 2/4)
ファジングツールである syzkaller を使って見つかった不具合は、人間が報告した場合には対処されるけれども、 syzbot が報告した場合には無視されるという感じになりつつあります。5年ほど前の記事に、「syzbotの能力が向上することで、ますますOSカーネル開発者たちがsyzbotに追い回されるようになるという説も…?」と書きましたが、その通りの状況になってしまって、逆にカーネル開発者たちが無視するようになってきたということかもしれません。
》 中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家 (gigazine, 2/26)
I-Soonは、表向きには中国四川省にあるセキュリティ企業となっていますが、実態は上海を拠点としてハッキングサービスを展開している高度持続的脅威(APT)グループだとされています。人民解放軍や国家安全省を含む多くの中国政府機関と取引を行っていることが知られているほか、公式サイトには警察組織である公安部を筆頭に50を超える地方の公安当局が顧客として記載されていましたが、公式サイトはリークが発覚後にダウンしました。
》 Windows 11が「Wi-Fi 7」に対応へ ~理論上の最大通信速度は46Gbps (窓の杜, 2/26)
》 Bluesky、フェデレーション開始 Mastodonと異なるプロトコルの長所を説明 (ITmedia, 2/25)
HPE サーバーおよびストレージ製品用 SAS SSD不具合のお知らせ 2019年12月20日 (HPE, 2019.12.20) の件だそうです。ひえ〜
HPEサーバーに搭載する特定のSSDドライブのファームウェア不具合が起因で、起動後32,768時間(約3年9ヶ月)経過すると故障状態となることが報告されております。本事象が同時に複数のSSDで発生すると、RAID構成においてもデータロストを含む重大な障害に至る可能性がございます。
修正版ファームウェアが公開されているので適用すればよい。
Chrome Stable Channel Update for Desktop (2024.02.21)
「Microsoft Edge 122」がリリース ~「Web 選択」は「スクリーンショット」に (窓の杜, 2024.02.26)
》 能登の「外国人窃盗」デマ、どう広がった SNSで避難所の会話変質 (朝日, 2/23)
》 能登半島地震、大隆起はなぜ起きたのか (日経, 2/24)。例の 4m 隆起の件。
能登半島の北岸には「海成段丘」と呼ばれる階段状の地形がみられる。波の侵食と地震の隆起を繰り返していくうちに段数も増え、その痕跡が海岸に刻まれていく。この地域では合わせて3段が確認されていたが、今回の地震で4段目が作られたことになる。各段の標高などを比べたところ、過去に最も隆起したとみられるところは、今回も顕著な隆起が観測された。宍倉グループ長は「同じ傾向にあったということは、海底の活断層が同じように繰り返し動いている可能性を示している」と話す。
関連:
能登半島の海岸が約4m隆起 産総研が現地調査 (Impress Watch, 1/12)
令和6年(2024年)能登半島地震の関連情報 (産総研 地質調査綜合センター)
》 ロシア軍のA-50メインステイ早期警戒機を再び撃墜、ウクライナ軍のS-200防空システムで撃墜-ウ紙 (JSF / Yahoo, 2/24)
》 日本の基地に配属の米海軍兵、スパイ罪で起訴 (BBC, 2/22)
ペディチーニ被告は、日本に配備されているミサイル駆逐艦「ヒギンズ」に、火器管制官として配属されている。
中米パナマ運河 記録的干ばつで通航できる船舶数を削減へ (NHK, 2023.11.02)
一日あたり平均36隻だった運河の通航数について、今月1日から31隻に制限して、その後も通航数を段階的に減らし、来年2月からは一日あたり18隻に制限する
パナマ運河が干ばつで水不足、通航船舶数を制限-海上輸送に影響 (ブルームバーグ, 2023.12.05)
干ばつで浅くなるパナマ運河、供給網混乱 現地取材で見えた深刻度 (日経ビジネス, 2/6)
コンテナ船の95%がスエズ運河を避けて喜望峰を回るルートを選択、イエメン内戦でフーシ派による船舶への攻撃が続いているため (gigazine, 1/9)。「イエメン内戦で」ではなく「ガザ戦争の余波で」なのだが。
スエズ運河ルートを回避!フーシ派の船舶攻撃 世界の物流混乱 (NHK, 2/2)
スエズ運河、通航量36%減 襲撃回避で喜望峰に迂回、物価上昇 (毎日, 2/20)
フーシ派、やまない商船攻撃 激化・不確かな標的、海運に不安 (毎日, 2/20)。貨物船ルビマーの件はこちら:
RUBYMAR Bulk Carrier IMO: 9138898 (marinetraffic.com)
フーシ派、アデン湾で貨物船を攻撃 乗組員は船放棄し避難 (BBC, 2/20)
Red Sea: New images show British ship Rubymar has not sunk (BBC, 2/22)。とはいえ、かなり浸水してますね。
スエズ運河通る貨物船が激減、喜望峰経由がシェア75%に…航海長期化で家畜船から異臭騒ぎも (読売, 2/23)
US drone that crashed in Yemen appears to have been shot down by Houthi missile, official says (CNN, 2/20)。フーシ派により MQ-9 が撃墜された模様。
小学館、「セクシー田中さん」芦原先生の逝去にコメント発表 現場編集者からの声明も (ITmedia, 2/8)。「小学館は経緯発表予定なし」のはずが?
作家の皆様 読者の皆様 関係者の皆様へ (プチコミック Web, 2/8)。 いや確かに、これは経緯発表ではない?
芦原妃名子先生のご逝去に際して (小学館, 2/8)
『セクシー田中さん』問題、小学館の編集者一同の「泣ける声明」でも鎮火失敗のワケ (窪田順生 / ダイヤモンド online, 2/15)。詳細分析。
芦原妃名子さん死去で脚本家の相沢友子さんコメント SNS発信「慎重になるべきだった」 (産経 / ITmedia, 2/8)
「セクシー田中さん」について日テレが声明 特別調査チームを設置へ 小学館なども協力 ((ITmedia, 2/15)。第三者委員会ではないので期待はできない。
ドラマ「セクシー田中さん」について (日テレ, 2/15)
日テレ。 top page にあるのは上記プレスリリースではなく、この文言:
芦原妃名子さんの訃報に接し、哀悼の意を表するとともに、謹んでお悔やみ申し上げます。
日本テレビとして、大変重く受け止めております。
ドラマ「セクシー田中さん」は、日本テレビの責任において制作および放送を行ったもので、
関係者個人へのSNS等での誹謗中傷などはやめていただくよう、切にお願い申し上げます。
「セクシー田中さん」の波紋 原作者はなぜ「守られない」のか (毎日, 2/16)
「セクシー田中さん」報道で多発する意外な勘違い 現在のドラマは本当に漫画原作ばかりなのか? (木村 隆志 / 東洋経済, 2/16)
ここまで書いてきたようにゴールデン・プライム帯で放送される主要作はオリジナルが主流であり、局をあげた力作ほどその傾向が強くなります。(中略) だからこそ民放各局は脚本家の発掘・育成に力を入れはじめています。
ではなぜ「ドラマは漫画原作ばかり」というミスリードが生まれてしまったのか。その主な理由は深夜帯とNHK総合のドラマにあります。(中略) 深夜帯のほとんどが漫画原作のドラマで占められているのです。
関連記事: 「チャイルド★プラネット」方面
『チャイルド★プラネット』作者の竹熊健太郎さんが『ぼくらの勇気未満都市』において釈然としない事「あれは公認ではなく盗作だった」「一銭ももらっていない」 (togetter, 2017.07.22)
KinKi Kids『未満都市』が盗作炎上! 日テレは否定も「金は出す」「泣き出す」醜態!? (サイゾー women, 2017.07.25)。 この時点では 「「チャイルド・プラネット」は、残念ながら絶版で、再刊もなく電子出版にもなっていない」 だったのが、この直後に電書化された模様。
関連記事: 「動物のお医者さん」方面
KinKi Kids「未満都市」盗作騒動で再燃した「剛が主演」獣医ドラマの“疑惑” (Asagei plus, 2017.07.29)。「向井荒太の動物日記 ~愛犬ロシナンテの災難~」 は 「動物のお医者さん」のパクリ説。
堂本剛主演のロシナンテの災難 なぜこんなにいいドラマがDVD化されてないんだ (Yahoo! JAPAN 知恵袋, 2015.10.05)。されないのではなく、できないのでしょうねえ。
》 地方スーパーにランサム攻撃、復旧は5月の見込み メールシステムも停止、連絡手段は電話・ファクス・郵送のみに (ITmedia, 2/22)。システム障害の経過、休止中のサービスに関するお知らせ (イズミ・ゆめタウン, 2/22)
》 ワイヤレス充電器をハッキングして周辺アイテムが発火! 物騒すぎる攻撃方法が話題に (Internet Watch, 2/22)。 こちら: VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger (arxiv.org)
2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)
KB5034441 の件:
2024年1月の「WinRE更新エラー」は、なぜ、どのように発生したのか? どうやって解決するつもりなのか? (@IT, 2024.02.22)
今回のWinREのセキュリティ更新プログラム「KB5034439」「KB5034440」「KB5034441」には、回復パーティションの空き容量による失敗以外にも、別の問題が確認されています。
WinREが無効化されているWindowsでも、これらのセキュリティ更新プログラムが検出、ダウンロード、インストールされ、同じエラー「0x80070643」を報告して失敗するのです(画面7)。この問題は「KB5034439」「KB5034440」「KB5034441」の既知の問題に追加されました。Microsoftによる解決策が提供されるまでは安全に無視できるとされています。
》 続・USBメモリ型SSD選手権!長時間の書き込みにも強いデバイスはどれだ (gihyo.jp, 2/21)。興味深い。
》 中国、金門周辺の巡回常態化発表 学者「水域進入なら深刻な挑発行為」/台湾 (フォーカス台湾, 2/20)。中国、じわじわ圧力かけてるんだよなあ。
》 ロシア軍が見つけた勝ち方「滑空爆弾による猛爆」、防げる兵器は1つだけ (Forbes, 2/20)。衛星誘導滑空爆弾 (射程 40km) が有効に機能していると。
滑空爆弾を撃墜し、KABによる壊滅的な爆撃を防ぐシステムがウクライナ側にあるのは明らかだ。足りないのはそれを実行するためのミサイルだ。射程140km超のパトリオットミサイルも、ウクライナにとって最大の供給国は米国だった。しかし昨年10月以来、ウクライナの戦争努力に対する米国の援助は米議会のロシア寄りの共和党議員たちによって阻まれている。
ウクライナの内相顧問などを務めたアントン・ヘラシチェンコは、ウクライナ軍のパトリオットの在庫は「危機的な水準に落ち込んでいる」と訴えている。
共和党の親ロっぷりがすごい。
》 やまぬネット中傷 RADWIMPS野田が「舟を編む」に込めた願い (朝日, 2/18)。おもしろそうなのだが、NHK BS / BSP4K のみなのでねえ。
》 "Windows\PowerShell\5.1".Split("\\")はOKだけど、"PowerShell\7".Split("\\") はNGな件 (山市良のえぬなんとかわーるど, 2/20)。あいかわらずこういうのがあるのですね。 MS-DOS 2.0 でパス区切り文字を \ にするという歴史的決定が延々と尾を引いているわけだよなあ……。
》 制御システムセキュリティカンファレンス 2024 (JPCERT/CC)。講演資料が公開されている。
》 ロシア使用の北朝鮮ミサイル、部品75%が米国関連 日本製品も (毎日, 2/21)。 元ねた: North Korean missile relies on recent electronic components Ukraine field dispatch, February 2024 (Conflict Armament Research, 2/21)
》 PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 (JPCERT/CC, 2/21)
》 Python InfoStealer With Dynamic Sandbox Detection (SANS ISC, 2/20)
》 YARA 4.5.0 Release (SANS ISC, 2/18)
》 Wireshark 4.2.3, 4.0.13 and 3.6.21 Released (Wireshark, 2/14)。セキュリティ修正は無いみたい。
Windows 版 Wireshark 4.2.0 / 4.2.1 からの自動更新はできないみたい。手動インストールが必要だそうで。
》 ランサムウェア攻撃の被害は2023年に過去最高、支払総額は1,600億円規模に到達していた (WIRED, 2/20)
》 名古屋港攻撃疑惑の「LockBit」運営者2名を国際法執行部隊が逮捕し暗号化ファイルを無料で回復するツールを作成 (gigazine, 2/21)
関連: U.S. and U.K. Disrupt LockBit Ransomware Variant (US DoJ, 2/20)
》 次期戦闘機輸出 深まる与党内対立 なぜいま輸出の議論が求められるのか (NHK 解説委員室, 2/15)
与党は、去年4月から、「防衛装備移転三原則」の見直しに向けて実務者協議を行い、7月には、次期戦闘機を念頭に、共同開発した装備品を第三国に直接輸出することについては、「認める意見が大半を占めた」とする論点整理を行い、容認する方向で一致していました。
しかし、11月になって、公明党内では、幹部を含めた協議で、「殺傷能力のある装備品は第三国に輸出しないというのが基本だ」として、容認できないという立場が確認されました。
このため、12月の「防衛装備移転三原則」と運用指針の改正の際には、共同開発した装備品の第三国輸出についての結論は先送りされました。
》 H3ロケット 再挑戦成功! 衛星打ち上げビジネスで世界と競うには 何が課題となるのか解説します (NHK 解説委員室, 2/20)
そのためにはH3も低コストと早さを早期に実現しなければならない。
まずは目標価格50億円の早期達成。
今回は信頼性の確認を優先したため、メインエンジンも安全に余裕を持たせてあり50億円は達成できていない。(中略)
そして衛星事業者が打ち上げたい時に打ち上げられる早さも重要で、そのためにも打ち上げ回数を増やせる発射場が必要。
【解説】 ユリア・ナワルナヤ氏が立ち向かう困難な挑戦 夫ナワリヌイ氏の死を受けて (BBC, 2/20)
ナワリヌイ氏担当が昇任 抑圧指揮、陣営は「殺害3日後」と反発―ロシア (時事, 2/20)
ナワリヌイ氏の妻がXアカウントを凍結される、Xは「誤りがあった」と釈明 (gigazine, 2/21)
ロシア監獄で急死したナワリヌイ氏の妻、InstagramとTelegramで発信 Xはアカウント停止後再開 (ITmedia, 2/21)
》 セキュリティカメラメーカーのWyzeで障害発生、1万3000人の顧客が他のユーザーのカメラをのぞき見ることが可能に (gigazine, 2/20)
Wyzeによると、今回の問題は2024年2月16日に行われたAWS由来のシステム障害に端を発するとのこと。システム障害から復旧し、全てのカメラが再びオンラインになるにつれて、Wyzeのシステムに想定以上の負荷がかかりました。その結果、デバイスIDとユーザーIDが正しく紐付けられず、一部のデータが誤ったアカウントに接続されるという状況に陥ったことが報告されています。
》 「チャットボットの誤回答に責任はない」と弁解していたエア・カナダに裁判所が損害賠償支払いを命令 (gigazine, 2/19)。そりゃそうだろ……。
》 「Apple Watchがハッキングされた」という投稿がApple公式コミュニティで賛同多数で注目を集める、「ゴーストタッチ」の可能性も (gigazine, 2/19)
》 アメリカとイギリスがAIドローン数千機を供与予定&ウクライナは自国でFPVドローン100万機を製造予定 (gigazine, 2/20)。いよいよドローン戦争じみてきた?
》 OpenAI支援のロボット企業「1X」のアンドロイドが洗練された動作でタスクをこなすムービー、ちょっと不気味ながら未来を感じさせまくる光景 (gigazine, 2/20)。 「身長は1.86メートル、体重は86kg」。けっこうデカい。工場作業用って感じ。 今は車輪型だけど、次は 2 本足になるそうで。
1Xは2024年1月に1億ドル(約150億円)の資金を調達し、車輪ではなく2本の足で歩いて家事を行う第2世代アンドロイド「NEO」を市場に投入するとしています。
》 ロシアがウクライナのゼレンスキー大統領を弱体化させる偽情報キャンペーンを実施していることが文書で明らかに (gigazine, 2/20)
》 イランが「イスラエル・ハマス戦争」の裏で反イスラエル世論形成のためのサイバー活動を強化しているとGoogleが報告 (gigazine, 2/15)
出ました。
Firefox 123 がリリースされた (mozillaZine, 2024.02.21)
Firefox for Android 123 がリリースされた (mozillaZine, 2024.02.21)
Thunderbird 115.8.0 がリリースされた (mozillaZine, 2024.02.21)
無線LANルーターのセキュリティ向上のための ファームウェアアップデート実施のお知らせ (エレコム, 2024.02.21)。 OSコマンドインジェクション、 XSS / CSRF を修正するファームウェアが公開されている。
Changes with nginx 1.25.4 (nginx, 2024.02.14)。 CVE-2024-24989 CVE-2024-24990 を修正。 iida さん情報ありがとうございます。
[nginx-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990) (nginx, 2024.02.14)
Raspberry Pi Pico cracks BitLocker in under a minute (2024.02.14)
BitLockerを43秒で突破、TPMモジュールの脆弱性が明らかに (マイナビニュース, 2024.02.08)。Takosan さん情報ありがとうございます。
Chrome 122.0.6261.57 (Linux / Mac) および 122.0.6261.57/.58 (Windows) が stable に。 12 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.02.20)。Chrome 122 (122.0.6261.64) for Android。 上記デスクトップ版と同じセキュリティ修正を含む。
Chrome Stable for iOS Update (Google, 2024.02.20)。Chrome Stable 122 (122.0.6261.62) for iOS。 iOS 版のアナウンスにはセキュリティ修正に関して何も記載されていないのだよなあ。
「Microsoft Edge 122」がリリース ~「Web 選択」は「スクリーンショット」に (窓の杜, 2024.02.26)
》 LINEヤフーへの不正アクセスについてまとめてみた (piyolog, 2/16)
》 New Security Advisory Tab Added to the Microsoft Security Update Guide (MSRC Blog, 2/15)
》 石川県、予算案に1000万円「大阪万博」関連事業費計上「私は維新の顧問」馳浩知事の開き直りに県民の怒り爆発 (FLASH / Yahoo, 2/19)。 災害復興に使うべきであろ。
》 2023-09-23: RFC2 is shutting down. (rfc-clueless.org, 2023.09.23)。今日気がついた。
2023-02-01 - DNSBL lists will be retired (set to NXDOMAIN)
》 国防を優先事項へ:オランダの兵器調達リスト(一覧) (Oryx Blog - ジャパン, 2/16)。「2023年8月27日に本国版「Oryx」(英語)に投稿されたものを翻訳した記事」。オランダの戦車全廃の件、オチがすさまじい。
前述の能力ギャップの一つは、戦力面における戦車不足に関するものです。オランダは2011年に全ての戦車部隊を解隊させた後、現在では僅か18台の「レオパルト2A6」がドイツとオランダが統合運用している第414戦車大隊に配備されています。
全戦車の退役については、戦車のコンセプト自体が時代遅れになったというオランダの思い込みによるものだという説が今でもまん延していますが、実際のところ、退役は単に予算上の判断にすぎませんでした。他の兵器システムや部隊を廃止するという選択肢はほとんど残されておらず、80台以上の「レオパルド2A6」が高額なA7規格への改修用に運用可能な状態で温存され続けていたことから、軍の戦車部隊を廃止するという苦渋の決断が下されたわけです。
「レオパルト2A6」100台は後にフィンランドへ売却され、残りの17台は第414戦車大隊で18台のドイツ軍の「レオパルト2A6」を運用する代わりに同国へ寄贈されました。
現在、オランダ陸軍はドイツから最大で52台の「レオパルド2A8」を調達する予定ですが、その価格は、(以前に計画されていた)2010年代半ばから後半にかけて「レオパルド2A6」をA7規格へ改修する費用の10倍近くにも上ります。
》 名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる (gigazine, 2/20)
》 半導体ルネサス、「異質の巨額買収」の裏に危機感 9000億円弱で電子回路設計ツール企業を買収 (東洋経済, 2/20)。プリント基板設計ツール大手のアルティウムを91億オーストラリアドルで買収。
柴田社長が会見で語ったのは、半導体・電子部品と、ルネサスが主顧客とする自動車や産業機械メーカーとを取り巻く環境の変化だ。製造業に強いコンサルティング会社、アーサー・ディ・リトルの赤山真一パートナーも次のように解説する。
「AI(人工知能)やソフトウェアを扱う企業が最終製品を企画し、それからハードウェアを手がける企業にものづくりを任せる、というケースが増えている。その場合、企画段階からシミュレーションで検証できることが重要。自動車や産業機械が“AIの塊”に進化していく中、ルネサスはこの動きについていくと決めたのではないか」
》 ロシア当局、アレクセイ・ナワリヌイ氏死亡を発表 (2/16)
ロシア ナワリヌイ氏が死亡 プーチン政権批判の反体制派指導者 (NHK, 2/17)
【解説】ナワリヌイ氏死亡 影響は?追悼の市民ら400人以上拘束 (NHK, 2/19)
死亡したナワリヌイ氏、Xへの最後の投稿は2日前「懲罰房へ入れられる」 (Business Insider, 2/19)
ナワリヌイ氏遺体にあざ 死亡時刻、証言と不一致―ロシア紙 (時事, 2/19)
ロシア当局、ナワリヌイ氏遺体検査に14日間 妻「神経剤隠ぺい」 (ロイター, 2/20)
ナワリヌイ氏の妻「プーチンが殺した」 夫の遺志を継ぎ活動続ける考え示す (TBS, 2/20)
ナワリヌイ氏追悼、366人拘束 ロシア人権団体 (CNN, 2/20)
ロシア野党、5万人規模のナワリヌイ氏追悼デモ計画 当局と衝突も (朝日, 2/20)
“ナワリヌイ氏遺体14日間引き渡せず”真相究明求める声高まる (NHK, 2/20)
<社説>ナワリヌイ氏 独裁体制の噓を暴いた (東京, 2/20)
なぜ最強の政敵ナワリヌイ氏をいま「排除」したのか…プーチンが「大統領続投」の先に描く恐ろしい野望 戦争終結のために「トランプ前大統領との取引」を画策か (名越 健郎 / President, 2/20)
アレクセイ・ナワリヌイ氏追悼 (AVAAZ)。署名ページ。
》 「使命感で現場が奮い立った」羽田の飛行機炎上、ヒーローはJALだけじゃない JR、ANA、スカイマーク…ライバルが交通インフラを支えていた (共同, 2/18)
》 続・“冤(えん)罪”の深層〜警視庁公安部・深まる闇〜 (NHK スペシャル, 2/18)。犯罪捏造による出世チャレンジ by 公安、なんだよな。 ほんとクソ。
》 日本医師会サイバーセキュリティ支援制度 (日本医師会, 2/2)。こんなのあるんですね。
》 学校の健康診断「原則着衣で」、文科省が通知…プライバシーに配慮 (読売, 1/23)。関連:
児童生徒等のプライバシーや心情に配慮した 健康診断実施のための環境整備について(通知) (日本医師会, 1/23)。 文科省の通知「児童生徒等のプライバシーや心情に配慮した 健康診断実施のための環境整備について(通知)」 も添付されている。
1.検査・診察における対応について
検査・診察に当たっては、児童生徒等のプライバシーや心情に配慮した対応を行う。 具体的には、以下の例を参考に、各学校の施設設備の状況や実施体制等に応じて取り 組む。
この部分は例示に留められているんだなあ。
2.検査・診察時の服装について
検査・診察時の服装については、正確な検査・診察に支障のない範囲で、原則、体 操服や下着等の着衣、又はタオル等により身体を覆い、児童生徒等のプライバシーや 心情に配慮する。
また、検査・診察の場面においては、正確な検査・診察のため、必要に応じて、医 師が、体操服・下着やタオル等をめくって視触診したり、体操服・下着やタオル等の 下から聴診器を入れたりする場合があることについて、児童生徒等や保護者に対して 事前に説明を行う。
「正確な検査・診察に支障のない範囲」の前置きはあるものの、 「原則、体操服や下着等の着衣、又はタオル等により身体を覆い」。 これが 2024 年のスタンダードと。
学校健康診断に関する文部科学省通知について解説 渡辺弘司常任理事 日本医師会定例記者会見 1月24・31日 (日本医師会)。この記事に添付されている「資料」が上記 PDF。
学校の健康診断 “子どもの着衣可に 心情など配慮を” 文科省 (NHK, 1/23)
学校健診で上半身裸「完全に全部見えている状態ですよね」 文科省が「子供の気持ちに配慮」通知 「着衣でも診察に問題ない」と医師 (FNN, 2/16)
Q.医師としては、正確にそして慎重にしっかりと子供を診たいという思いがあるようだが、健康診断のあり方についてどのように考えられるのか?
関西テレビ 神崎博報道デスク:
具体的な解決策としては、加古川市がやっていたように、同性の医師、特に女性の医師ですよね。日本の医学会を見ると、女性医師の割合は2割ぐらいなんです。医師国家試験に受かる人で若い人も増えているのですが、それでも3割から3割5分ぐらい。圧倒的に女性の医師が不足しています。急には増えないのでなかなか難しいと思うんですけども、地元の医師会などに協力してもらって、「同性の医師であれば構わない」ということもあると思うので、現場の配慮は必要なのかな…という風に思います
「圧倒的に女性の医師が不足してい」るにもかかわらず、 入試で女性を差別していたのか……。
》 スマホ指紋認証の“摩擦音”を録音→指紋を復元する攻撃 中国の研究者らが開発 (ITmedia, 2/19)。音系はいろいろ使えるんだなあ。
》 トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセスキー無効化忘れ (ITmedia, 2/19)
》 まるで本人、ネット詐欺の「ディープフェイク」技術が向上して見分けるのが難しいレベルに (Internet Watch, 2/16)
》 iOSで顔認識データを収集するトロイの木馬が見つかる。ディープフェイク動画にして銀行の顔認証を突破か (やじうま Watch, 2/19)
》 WinSCP 6.3 released (WinSCP, 2/14)。PuTTY 0.80 ベースになった等。
》 「大量リストラ」「サブスク衰退」相次ぐ米メディア、AI激変への生き残り策は? (新聞紙学的, 2/12)
我々は広告モデルからサブスク・ベースのモデルに移行した。そのサブスク・ベース・モデルは今や衰えつつあり、今後、さらに深刻な衰退期を迎えることになるだろう。
松本人志の弁護人、田代政弘の犯罪 (八木啓代のひとりごと, 1/28)
つまり、検察審査会を騙して起訴議決を出すように仕向けるため、審査員に「偽の証拠」が渡されていたのである。
それが、「田代虚偽報告書事件」である。
田代政弘の犯罪と自民党裏金事件の関係 (八木啓代のひとりごと, 1/29)
松本人志は嵌められたのか? (弁護士がとにかくヤバすぎる件) (八木啓代のひとりごと, 2/5)
》 中国の核戦力概観 2024 (海国防衛ジャーナル, 1/19)
》 Windows Sysinternals 更新情報 (2024 年 2 月 14 日) ─ Sysmon 15.14 (山市良のえぬなんとかわーるど, 2/14)
いろいろ (2022.12.16) Buffalo Wi-Fi ルーター / 中継機
【更新】ルーター等の一部商品における複数の脆弱性とその対処方法
(Buffalo, 2024.01.31)。これを含めて 2022.12.05 から計 5 回更新されている。
2022.12.05 時点と比べると、
WXR-11000XE12
WXR-5700AX7S
WXR-5700AX7B
WSR-2533DHPLB
WSR-1166DHP
WSR-1166DHP2
が増えている。
PostgreSQL 16.2, 15.6, 14.11, 13.14, and 12.18 Released! (PostgreSQL, 2024.02.08)。CVE-2024-0985 を修正。
ClamAV 1.3.0 feature release and 1.2.2, 1.0.5 security patch release! (ClamAV, 2024.02.07)
AMD製CPUに複数の脆弱性 ~任意コード実行の恐れ (窓の杜, 2024.02.14)。 CVE-2023-20576 CVE-2023-20577 CVE-2023-20579 CVE-2023-20587 の 4 件。いずれも Severity: High。
AMD Processor Vulnerabilities (AMD, 2024.02.13)。AMD CPU 利用者は、影響可否を示す表が掲載されているので確認を。
「Zoom」クライアントに致命的な脆弱性 ~非認証ユーザーにより権限昇格される恐れ (窓の杜, 2024.02.15)
》 自動運転車のレーダーセンサーに「幻の対向車」を見せたり存在するはずの車両を見えなくしたりして事故を起こさせる攻撃手法「MadRadar」が開発される (gigazine, 2/9)
》 NGINXのコア開発者が親会社と決別、新たに「freenginx」という名前でフォーク版を作成開始 (gigazine, 2/15)
》 OpenAIとMicrosoftが「中国・ロシア・北朝鮮・イランのハッカーがAIを使ってハッキングしていた」と報告 (gigazine, 2/15)
》 Windows Updateを早く終わらせる方法が見つかる。誰にでもできる簡単な方法で時短 (ニッチなPCゲーマーの環境構築Z, 2/15)。有意な差があるのか……。
2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)
KB5034441 の件:
Microsoft、KB5034441のさらなる続報を発表。PowerShell用スクリプト公開。しかし、やはり一般ユーザーには難易度が高い (ニッチなPCゲーマーの環境構築Z, 2024.02.13)
Microsoft 2024.02 patch 出ました。 73 MS CVE + 6 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET CVE-2024-21386 CVE-2024-21404
- Android 用 Microsoft Teams CVE-2024-21374
- Azure Active Directory CVE-2024-21381 CVE-2024-21401
- Azure Connected Machine エージェント CVE-2024-21329
- Azure DevOps CVE-2024-20667
- Azure File Sync CVE-2024-21397
- Azure Site Recovery CVE-2024-21364
- Azure Stack CVE-2024-20679
- Microsoft ActiveX CVE-2024-21349
- Microsoft Azure Kubernetes Service CVE-2024-21376 CVE-2024-21403
- Microsoft Defender for Endpoint CVE-2024-21315
- Microsoft Dynamics CVE-2024-21327 CVE-2024-21328 CVE-2024-21380 CVE-2024-21389 CVE-2024-21393 CVE-2024-21394 CVE-2024-21395 CVE-2024-21396
- Microsoft Edge (Chromium ベース) CVE-2024-1059 CVE-2024-1060 CVE-2024-1077 CVE-2024-1283 CVE-2024-1284 CVE-2024-21399
- Microsoft Exchange Server CVE-2024-21410
- Microsoft Office CVE-2024-20673 CVE-2024-21413
- Microsoft Office OneNote CVE-2024-21384
- Microsoft Office Outlook CVE-2024-21378 CVE-2024-21402
- Microsoft Office Word CVE-2024-21379
- Microsoft WDAC ODBC ドライバー CVE-2024-21353
- Microsoft Windows CVE-2024-21406
- Microsoft Windows DNS CVE-2024-21377
- Skype for Business CVE-2024-20695
- SQL Server CVE-2024-21347
- SQL 用 Microsoft WDAC OLE DB プロバイダー CVE-2024-21350 CVE-2024-21352 CVE-2024-21358 CVE-2024-21359 CVE-2024-21360 CVE-2024-21361 CVE-2024-21365 CVE-2024-21366 CVE-2024-21367 CVE-2024-21368 CVE-2024-21369 CVE-2024-21370 CVE-2024-21375 CVE-2024-21391 CVE-2024-21420
- Windows Hyper-V CVE-2024-20684
- Windows LDAP - ライトウェイト ディレクトリ アクセス プロトコル CVE-2024-21356
- Windows OLE CVE-2024-21372
- Windows SmartScreen CVE-2024-21351
- Windows USB シリアル ドライバー CVE-2024-21339
- Windows Win32K - ICOMP CVE-2024-21346
- Windows インターネット接続の共有 (ICS) CVE-2024-21343 CVE-2024-21344 CVE-2024-21348 CVE-2024-21357
- Windows カーネル CVE-2024-21338 CVE-2024-21340 CVE-2024-21341 CVE-2024-21345 CVE-2024-21362 CVE-2024-21371
- Windows メッセージ キュー CVE-2024-21354 CVE-2024-21355 CVE-2024-21363 CVE-2024-21405
- インターネット ショートカット ファイル CVE-2024-21412
- トラステッド コンピューティング ベース CVE-2024-21304
- ロール: DNS サーバー CVE-2023-50387 CVE-2024-21342
0-day は 3 件:
Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 CVE-2024-21351 (Microsoft, 2024.02.13)
インターネット ショートカット ファイルのセキュリティ機能のバイパスの脆弱性 CVE-2024-21412 (Microsoft, 2024.02.13)
関連: Windows Defender SmartScreenの脆弱性「CVE-2024-21412」、攻撃グループWater Hydraによる金融関連へのゼロデイ攻撃を確認 (トレンドマイクロ, 2024.02.14)
Microsoft Exchange Server の特権の昇格の脆弱性 CVE-2024-21410 (Microsoft, 2024.02.13)
関連:
Microsoft February 2024 Patch Tuesday (SANS ISC, 2024.02.13)
【Windows11】 WindowsUpdate 2024年2月 不具合情報 - セキュリティ更新プログラム KB5034765 [Update 2] (ニッチなPCゲーマーの環境構築Z, 2024.02.15)。こちらの件:
タスクバーが消える・表示されない不具合。KB5034765インストール後に発生 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.02.15)
Microsoftは、この不具合を修正したKB5034765へと差し替えた模様です。この不具合が発生する場合、KB5034765を一度アンインストールして、再インストールすると直ったとの報告が複数出ています。本不具合にお困りの方はアンインストール → 再インストールをお試しください。
【Windows10】 WindowsUpdate 2024年2月 不具合情報 - セキュリティ更新プログラム KB5034763 (ニッチなPCゲーマーの環境構築Z, 2024.02.14)
不具合報告:
PC再起動時やシャットダウン時に『explorer.exe』のエラー。KB5034765に起因 (ニッチなPCゲーマーの環境構築Z, 2024.02.19)。Windows 11 で不具合発生との報告。
この不具合は、Xboxコントローラーのドライバを使用するゲームコントローラーが接続されていると発生する場合があります。
Xbox コントローラーを外すと問題ない模様。
不具合報告:
The February 2024 security update might fail to install (Microsoft, 2024.02.26 更新)。Windows 11 + KB5034765 (2024.02 patch) でインストールが 96% から進まない場合があると。
This issue can be prevented by deleting the hidden folder C:\$WinREAgent. A restart might be required.
隠しフォルダ C:\$WinREAgent を削除して再起動するとこの問題を回避できると。
2024年2月セキュリティパッチの適用が97%で止まってしまう ~Windows 11で発生中 (窓の杜, 2024.02.27)
この問題が影響するプラットフォームは、以下の通り。コンシューマー版の「Windows 11」でのみで発生し、サーバーOSや「Windows 10」では起こらないようだ。
どこを読むとこの認識にたどりつけるのだろう。よくわからん。
不具合報告:
2024年2月セキュリティパッチが原因で「Outlook」の送信取り消しが機能しない ~Microsoftが告知 (窓の杜, 2024.02.29)。 Microsoft Outlook のリモートでコードが実行される脆弱性 New CVE-2024-21378 の副作用により、送信取り消しが機能しないことがあるそうで。
この不具合は Outlook on the web (OWA) や 新しい Outlook では発生しないそうです。
いずれも Priority: 3。
Security update available for Adobe Commerce | APSB24-03 (Adobe, 2024.02.13)
Security updates available for Substance 3D Painter | APSB24-04 (Adobe, 2024.02.13)
Security update available for Adobe Acrobat and Reader | APSB24-07 (Adobe, 2024.02.13)
Security Updates Available for Adobe FrameMaker Publishing Server | APSB24-10 (Adobe, 2024.02.13)
Security Updates Available for Adobe Audition | APSB24-11 (Adobe, 2024.02.13)
Security updates available for Substance 3D Designer | APSB24-13 (Adobe, 2024.02.13)
Unbound 1.19.1 公開。 2 件のセキュリティ欠陥、CVE-2023-50387 (KeyTrap 脆弱性) および CVE-2023-50868 (NSEC3 脆弱性) に対応。 どちらも DNS 仕様の欠陥。
KeyTrap 脆弱性の震源地はこちら: Serious Vulnerability in the Internet Infrastructure Fundamental design flaw in DNSSEC discovered (ATHENE, 2024.02.13)。 NSEC3 脆弱性は、「We would like to thank Petr Špaček from ISC for discovering and responsibly disclosing the NSEC3 vulnerability」とあるので、 ISC の人が見つけたということかな。
The introduced builtin limits in Unbound are:
- Max 4 DNSSEC key collissions are allowed when building chain of trust. More than that without a secure key treats the delegation as bogus.
- 8 validation attempts per RRSET (combination of keys + signatures). If more are needed and Unbound has yet to find a valid signature the RRSET is treated as bogus.
- More than 8 validation attempts per answer will suspend validation.
- 8 NSEC3 hash calculations are allowed before suspension. More than that will suspend validation.
- The limit of total suspensions is 16 after which the query will error out. Any completed RRSET validations populate the cache for use in future queries.
逆に言うと、これまでは無限に扱っていたので DoS 攻撃を誘発していたということかな。
CVE-2023-50387, CVE-2023-50868 共に仕様の欠陥なので、多くの実装で修正が公開されている。 Microsoft 製品が含まれるので Patch Tuesday なのですね。はぁ。
PowerDNS Security Advisory 2024-01: crafted DNSSEC records in a zone can lead to a denial of service in Recursor (PowerDNS, 2024.02.13)
Knot Resolver 5.7.1 (2024-02-13) (nic.cz, 2024.02.13)
BIND 9 Security Release and Multi-Vendor Vulnerability Handling, CVE-2023-50387 and CVE-2023-50868 (ISC, 2024.02.14)。BIND 9.16.48 / 9.18.24 / 9.19.21 で対応。
MITRE: CVE-2023-50387 DNS RRSIGs and DNSKEYs validation can be abused to remotely consume DNS server resources (Microsoft, 2024.02.13)。Microsoft 2024.02 patch。
関連:
MITRE: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU CVE-2023-50868 (Microsoft, 2024.06.11)。 Microsoft 2024.06 patch でようやく修正。 CVE-2023-50387 は Microsoft 2024.02 patch で修正済。
》 Windows 11に追加された「Sudo」、Windows Serverではサポートされないことが確定 (やじうま Watch, 2/14)。あらまあ。
》 ヴィレヴァンが知らぬ間にマズいことになってた (谷頭 和希 / 東洋経済, 1/18)。 開店当初の 1 号店がとても好きなのだけど、もはや当時の面影はどこにもないからなあ。 谷頭氏も開店当初の様子は理解しておらず、 ゴタゴタ雑貨屋としてのヴィレッジヴァンガードしか知らないように思える。
言い方がやや厳しいかもしれないが、ヴィレヴァンにはどことなく「選民意識」みたいなものが流れているのだ。それは「センスの悪い奴を相手にするな」という言葉によく現れている。
実際、開店当初の 1 号店はセンスの塊だったからね。ゴチャゴチャなんて全くしていない。 本のセレクトショップという感があった。 そのヴィレッジヴァンガード自身がセンスを失って雑貨屋に落ちぶれたが、 それは本が売れなくなったからだよね。雑貨に逃げるしかなかった。
続編記事 を見るとこんな記述。やはり、開店当初の様子は理解していないようだ。
また、いわゆる「エロ」だけではなく、「グロ」や「ナンセンス」的な商品についても、その取り扱いがほとんど無くなってしまったことを憂う声が多かった。
例えばカルト宗教の本や、90年代、若者に絶大な人気を集めた『完全自殺マニュアル』など、いわゆる「90年代サブカル」と呼ばれる系統に属するカルチャーでよく読まれていた書籍の取り扱いもあったらしい。初期のヴィレヴァンに迫った『菊地くんの本屋』の定番商品リストには、90年代鬼畜系カルチャーを先導した青山正明が書いた『危ない薬』も書かれている。
開店当初の 1 号店には「マリファナ・ナウ」「マリファナ・ハイ」がそれぞれ 100 冊平積みされており (2m 近い高さになる)、 しばらくすると「100冊売れました! もう 100 冊行きます!」という pop と共にまたどーんと平積みされる、そういう店だった (pop という文化を流行らせたのもヴィレッジヴァンガードである)。 いや、そんな本ばっかりではもちろんなかったのだけれど、そういうクセのある本がオシャレな本といっしょに置いてあるのがヴィレッジヴァンガードだった (過去形)。
》 チェコに登場、欧州初「中国製電車」数々の問題点 長期間認可出ずやっと運行、見かけは立派だが (橋爪 智之 / 東洋経済, 2/10)
最後に、筆者の視点から見て致命的と感じたのが、走行に関わる部分だ。
シリウスは連接式を採用しているが、走行中、特にカーブやポイント部分を通過する際に、車体が壊れるのではないかというほどの大きな衝撃がたびたび発生した。これはダンパー性能の問題なのか、車体構造上の問題なのかわからないが、試乗した数時間の間に何度も発生しており、思わず身構えるほどであった。
これは怖い……。
》 早急に海底活断層評価を、地震学の専門家が警鐘 能登半島地震で、政府の対策の遅れが露呈 (東洋経済, 2/14)。「東北大学の遠田晋次教授にインタビュー」。
能登半島北部の沿岸についてはF43およびF42という断層の存在を指摘し、それが動いた場合の地震の規模や津波の高さなどが示されています。今回の地震ではF43およびF42断層と呼ばれたものとほぼ同等の活断層が動いたと言うことができます。
より詳細に言えば、両断層に加えて、能登半島西部の志賀町の北部あたりまで活断層が動いた。その点では地震の規模は予想よりも大きかったけれども、地震の発生自体はほぼ想定されていたものだったと言えます。
にもかかわらず、 「政府の地震本部ではそれらの断層を主要な断層帯として評価していなかった」 「石川県 (中略) 防災対策の地震災害対策編では同断層は考慮されず、四半世紀前の評価に基づく地震被害想定のままになっていました」。 結果としてのこの被害、この対応の遅さ。
stacksmashing 氏がラズパイ Pico を使って BitLocker を破ったという話。 攻略動画 とツール Pico TPMSniffer が公開されている。
BitLockerを43秒で突破、TPMモジュールの脆弱性が明らかに (マイナビニュース, 2024.02.08)。Takosan さん情報ありがとうございます。
いずれも BIND 9.18.24 / 9.16.48 で対応。 Patch Tuesday にぶつけるの、ほんとやめてほしい……
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-4408) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - (JPRS, 2024.02.14)。回避方法なし。
BIND 9.xのDNSメッセージを解析するコードには計算量が過度に多い部分が 存在しており、特別に作成されたDNSメッセージを送りつけることで、named のCPU負荷を過剰に高められる可能性があります。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-5517) - nxdomain-redirect機能を有効にしている場合のみ対象、 バージョンアップを強く推奨 - (JPRS, 2024.02.14)。nxdomain-redirect を無効にすることで回避できる (デフォルト無効)。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-5679) - serve-staleとDNS64を共に有効にしている場合のみ対象、 バージョンアップを強く推奨 - (JPRS, 2024.02.14)。回避方法あり。
namedの設定ファイル(通常はnamed.conf)においてstale-cache-enableと stale-answer-enableオプションを共にnoに指定してserve-stale機能を無効 にするか、DNS64を無効にすることで、本脆弱性を回避できます。
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2023-6516) - バージョンアップを強く推奨 - (JPRS, 2024.02.14)。 キャッシュクリーニングに欠陥があり、DoS 攻撃が可能。 BIND 9.16 系列にのみ影響。回避方法なし。
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387) - バージョンアップを強く推奨 - (JPRS, 2024.02.14)。 DNSSEC 検証に欠陥があり、DoS 攻撃が可能。 DNSSEC 検証を無効にすることで回避できる。
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50868) - バージョンアップを強く推奨 - (JPRS, 2024.02.14)。 NSEC3 検証に欠陥があり、DoS 攻撃が可能。 DNSSEC 検証を無効にすることで回避できる。
Patch Tuesday にぶつけるしかなかったんですね。なるほど。
》 バイトテロを食らったドミノ・ピザ公式の対応速度とその内容に称賛が集まる→バイトテロはなぜ繰り返す? (togetter, 2/13)
》 名刺管理「Sansan」不正アクセスし閲覧 容疑の不動産販売会社員の男逮捕 営業に利用目的か (産経 / ITmedia, 2/9)
》 ウクライナ軍部、ロシア占領軍によるStarlink使用を報告 マスクCEOは否定 (ITmedia, 2/13)
》 鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表 (ITmedia, 2/13)。「この手法は特にピンシリンダー錠に有効であり、鍵のビッティング(切り込みの深さ)の特定が可能である」。
》 「ZoomIt 8.0」にキー送信機能 ~Sysinternalsの画面拡大・プレゼン補助ツール あらかじめ仕込んだ台本通りにデモタイプ、特定キーの合成やクリップボードとの連携も (窓の杜, 2/13)。これはまた、アレな機能が追加されましたね。
》 Chromebookを使う自治体にGoogleへの不必要なデータ送信を止めるようデンマークデータ保護局が要求 (gigazine, 2/9)。DPA = Datatilsynet = デンマーク データ保護局 (Danish Data Protection Agency )。
「Googleへのデータ送信には法的根拠がない」として、DPAはChromebookを使用している自治体に対して対応策を求めています。具体的には、許可されていない目的でGoogleへ個人情報を送信しないことや、送信するのであれば規則に沿っていることを明確にすることが求められます。
本当の問題は、G の行為が不明確だということ。
》 自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」 (Internet Watch, 2/8)
FortiOS - Out-of-bound Write in sslvpnd (Fortinet, 2024.02.08)。 FortiOS 6.0〜7.4 および FortiProxy 1.0〜7.4 に欠陥。 sslvpnd に 0-day 欠陥があり、RCE 可能。 SSL VPN を無効にすることで回避できる。Web モードを無効にしても回避できない。 FortiOS 7.6 にはこの欠陥はない。 CVE-2024-21762。
FortiOS 7.4.3 / 7.2.7 / 7.0.14 / 6.4.15 / 6.2.16 以降、 FortiProxy 7.4.3 / 7.2.9 / 7.0.15 / 2.0.14 以降で修正されている。 FortiOS 6.0 系は修正されない。6.2 以降へのアップグレードが必要。 FortiProxy 1.0 / 1.1 / 1.2 系も修正されない。2.0 以降へのアップグレードが必要。
CVE-2024-21762の影響について (図研ネットウエイブ, 2024.02.09)。FortiProxy 7.2.9 / 7.0.15 はリリースされたと記載さている。 他はまだみたい。
FortiOSの脆弱性 CVE-2024-21762 についてまとめてみた (piyolog, 2024.02.11)
FortiOS - Format String Bug in fgfmd (Fortinet, 2024.02.08)。 FortiOS 7.0 / 7.2 / 7.4 系列、 FortiPAM 1.0 / 1.1 系列、 FortiProxy 7.0 / 7.2 / 7.4 系列、 FortiSwitchManager 7.0 / 7.2 系列に欠陥。 fgfmd にフォーマット文字列バグがあり RCE 可能。 FortiOS 6.x にはこの欠陥はない。 CVE-2024-23113。
各インターフェイスから fgfm のアクセス許可を削除することで回避できる。 FG-IR-24-029 を参照。
FortiOS 7.4.3 / 7.2.7 / 7.0.14 以降、 FortiPAM 1.2.1 / 1.1.3 以降、 FortiProxy 7.4.3 / 7.2.9 / 7.0.16 以降、 FortiSwitchManager 7.2.4 / 7.0.4 以降で修正されている。 FortiPAM 1.0 系列は 1.1 以降へのアップグレードが必要。
CVE-2024-23113の影響について (図研ネットウエイブ, 2024.02.09)。対象製品として FortiOS / FortiProxy の他に FortiWIFI が挙げられている。 FortiProxy 7.2.9 はリリースされたと記載さている。
CVE-2024-23113、実際に悪用されていることが確認されているそうで。
FortinetのRCE脆弱性が悪用されている:CISAがKEVカタログに追加し注意喚起(CVE-2024-23113) (codebook, 2024.10.10)
FG-IR-24-029 - Format String Bug in fgfmd (Fortinet, 2024.02.09)。「2024-04-09: added more affected products」。
対象に FortiPAM 1.2 / 1.3 系列、FortiWeb 7.4 系列が増えている。 一方で FortiSwitchManager は消えている。
Ivanti Connect Secure、Ivanti Policy Secure、ZTA gateways に新たな欠陥 CVE-2024-22024 だそうで。
CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure (Ivanti, 2024.02.08)
This vulnerability only affects a limited number of supported versions - Ivanti Connect Secure (version 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1), Ivanti Policy Secure version 22.5R1.1 and ZTA version 22.6R1.3.
A patch is available now for Ivanti Connect Secure (versions 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 and 22.6R2.2), Ivanti Policy Secure (versions 9.1R17.3, 9.1R18.4 and 22.5R1.2) and ZTA gateways (versions 22.5R1.6, 22.6R1.5 and 22.6R1.7).
limited なんて言葉を使うくらいだから サポートされているバージョンが他にも大量にあるのかと思ったけど、 Granular Software Release EOL Timelines and Support Matrix (Ivanti) を見る限りでは、たとえば Ivanti Connect Secure でサポートされているのは 9.1R14〜9.1R18 と 22.1〜22.6。 対象外なのは 22.[1236] だけじゃん。
Chrome 121.0.6167.160 (Mac / Linux) および 121.0.6167.160/161 (Windows) 公開。 3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.02.06)。Chrome 121 (121.0.6167.164) for Android。 上記と同じセキュリティ修正を含む。
Microsoft Edge セキュリティ更新プログラムのリリースノート 2024 年 2 月 8 日 (Microsoft)。 Edge Stable Channnel 121.0.2277.112 および Extended Stable Channel 120.0.2210.175。
志賀原発 相次ぐトラブル 地震で何が起きていたのか? (NHK, 1/22)
志賀原発 “変圧器の復旧時期 見通し立たない状況” 北陸電力 (NHK, 1/30)。「3系統5回線ある送電線のうち、1系統2回線が現在も使えなくなっています」。
志賀原発、変圧器故障など複数トラブル…北陸電「新しい知見に基づき安全対策講じる」 (読売, 2/4)
変圧器は耐震クラスCの製品で、現状入手できるうち最も強い揺れに耐える仕様だという。それが壊れたことは、原発が受けた揺れの大きさを示す。 (中略) 原子炉は1000ガル程度に耐えれば十分との立場で原子力規制委員会の安全審査に臨んでいる。しかし、北陸電によると、耐震クラスCの変圧器は500ガルまで耐えられる仕様で、変圧器のトラブルは北陸電の主張や立場を揺るがしかねない。
論理破綻しているよなあ。 志賀原発終了のお知らせ。
志賀原発 モニタリングポスト欠測 “通信障害が原因か”対策へ (NHK, 2/7)。「モニタリングポスト自体には被害はほとんど見られなかった」「通信障害が生じてデータを送信できなかったことが原因とみられる」
モニタリングポストは有線通信と携帯電話を併用するなど通信手段を多重化していますが、今回はいずれも使えなくなったとみられ、規制庁は今後、複数の通信事業者を利用できるようにするなど多重化を強化するほか、放射線量を測定できるドローンを導入するなどモニタリング手段の多様化を進める方針です。
関連: 令和6年能登半島地震後の志賀原子力発電所の現状及び今後の対応 (原子力規制庁 第63回原子力規制委員会資料, 2/7)
(2)モニタリングポストの欠測
詳細な原因を引き続き確認する。また、通信の信頼性向上に向けた対策を実施するとともに、航空機モニタリング等によりモニタリング体制の機動力を強化し放射線モニタリングの多様化を図る。具体的には以下のとおり。
ア)通信の信頼性向上
・低消費電力で広域の無線通信が可能な通信(LPWA)を使用した測定器の開発・導入
・複数の通信事業者を利用可能な通信方式の活用など、既存回線の信頼性向上の検討
イ)放射線モニタリングの多様化
・市販ドローンに搭載可能な小型測定器や欠測箇所へ機動的に設置可能な軽量測定器の開発・導入
・より機動性の高いドローン(VTOL機)導入の検討
Starlink のような衛星通信技術の活用、というのは検討項目に入っていないのですね。
》 珠洲市若山町に2.2mの断崖が出現 住民「今年は田植え無理かも」 (東京, 2/7) 。凄いね……。
ドラマ『セクシー田中さん』について (芦原妃名子 ブログ / archive.is, 1/26)
芦原妃名子先生の訃報に際して、謹んでご冥福をお祈り申し上げます (小学館, 1/30)
「それは最悪手ですよ」 『セクシー田中さん』問題、「小学館は経緯発表予定なし」報道に作家たちが不信感 (ねとらぼ, 2/7)
小学館、原作者から相次ぐ告発…映像化で意見を許されず、「契約書なし」も (Business Journal, 2/7)
「この先安心して描けない」人気漫画家 芦原妃名子さん急逝受け連載中の小学館への“提言”に「勇気ある」と支持続々 (ニコニコニュース, 2/7)
小学館 芦原妃名子さん急死の経緯、社外発信の予定なし 説明会受け、社員からは反発の声も (スポニチ / Yahoo, 2/7)
芦原さん死去で小学館が社内説明会 日テレと良好関係、SNS運用に課題「痛恨の極み」 (東スポ / Yahoo, 2/7)
第三者委員会を立ち上げて原因究明と再発防止に務めるべきだと思いますが、 SNS のせいにしてうやむやにしたいってことですかね。 これでは、まだまだ人が死にますよ。
》 『.ics』ファイルを開くとセキュリティ警告が表示される不具合。Windows10やWindows11などで発生。Outlookの更新プログラムに起因 (ニッチなPCゲーマーの環境構築Z, 2/6)
》 ボーイングのドア落下事故、ボルトが欠落か 当局が報告書公表 (BBC, 2/7)。「非常用のドアを機体に固定する主要なボルト4本が見当たらなかったという」。
》 イギリスの公共システムでまたも「ねつ造スキャンダル」が発覚、学校評価システムのデータがしょっちゅう消えるので監査員が証拠をでっち上げているとの証言 (gigazine, 2/5)
》 フィリップスが2009年から2021年に製造した人工呼吸器をリコール、関連が疑われる死亡例が561件あり補償は700億円以上に (gigazine, 2/6)
》 ゼロデイ脆弱性のほとんどに「商用スパイウェアベンダー」が絡んでいたとGoogleの脅威分析チームが発表 (gigazine, 2/7)
》 中国の半導体メーカー・SMICがアメリカの規制を乗り越えてファーウェイのHiSiliconが設計した5nmプロセスのチップを製造することが明らかに (gigazine, 2/7)
》 中国のサイバースパイがオランダの軍事ネットワークにアクセスしたと諜報機関が公表 (gigazine, 2/7)
》 中国政府系ハッカー集団「ボルト・タイフーン」が5年間以上もアメリカの主要インフラに潜伏していたことが判明、台湾侵攻の緊張が高まる (gigazine, 2/8)。Volt Typhoon。
》 VTuberへのプレゼントに“GPS発信器” 「あおぎり高校」が発表 プレゼントの受け付け停止に (ITmedia, 2/7)
》 Xからの乗り換え有力候補「Bluesky」が登録制限を撤廃、招待コード不要で利用可能に (窓の杜, 2/7)
関連: 「ちいかわ」作者・ナガノさんがSNS「Bluesky」にアカウント作成 早速マンガ投稿 (ITmedia, 2/7)
》 「今の石川県で原発災害が起きたら避難できない」 それでも災害指針を見直さない、楽観論の背景にあるもの (東京, 2/6)
》 【速報】福島第一原発の汚染水浄化装置から放射性物質含む水が漏洩 漏れたのは約5.5トン220億ベクレルと試算【福島県】 (福島中央テレビ / Yahoo, 2/7 18:36)。「7日午前9時前」の話が 18:36 に「速報」される世界。東電なのでね。
福島第一原発内で汚染水5.5トン漏れる 東電「海への流出なし」 (朝日, 2/7)
東電によると、7日午前9時前、汚染水の浄化装置で発生する水素を逃がすための建屋外壁の穴から、水が漏れているのを作業員が発見。装置は当時、停止中で、点検の準備のために配管に淡水を流して汚れをとる作業をしていた。
だが、本来、閉じるべき弁が開いていたため、配管に残っていた汚染水と淡水が混じった水が、水素を逃がす穴から出たという。
オフィシャル:
福島第一原子力発電所の状況について(日報) (東電, 2/7)
東電的には「水」だそうです。
》 女子トイレを廃止? 性犯罪者が狙うのは、こんなトイレ ――犯罪を誘発するデザイン・抑止するデザイン (小宮信夫 / Yahoo, 2/7)
トイレに限定した公式統計はないので、トイレで起きた犯罪の実態は分からない。しかし、構造分析はできる。「犯罪機会論」が分析ツールになるからだ。
筆者は100カ国でトイレの構造分析を行ってきたが、その結論は「構造上、世界で最も犯罪が起きる確率が高いのは日本のトイレ」ということだ。その違いは、犯罪機会論採用の有無から生まれる。
海外では、男子トイレの入り口と女子トイレの入り口が、かなり離れていることも多い。そうしたデザインなら、男性の犯罪者が女性を追尾しにくく、一緒に個室に入り込む手口を防げる。(中略) 対照的に、日本のトイレは、男子トイレの入り口と女子トイレの入り口が近いので、怪しまれずに追尾できるし、簡単に個室に連れ込める。
このように、犯罪機会論からは、トイレ利用者の安全のためには、ゾーニングが不可欠と言える。
ところが、これに対し、ゾーニングしないトイレ、つまり、男女別のないトイレ(オールジェンダートイレ)が望ましいとする意見がある。いわゆる「女性専用トイレ廃止問題」だ。
(中略)
結論として、まず犯罪機会論に基づき、「多様性」を確保するゾーニングされたトイレを作り、その上で付加的にプラスワンとしてオールジェンダートイレを設置するのが望ましい。 (中略) 多くの人は勘違いしているが、「違い」を認めることは平等で、「違い」を認めないことが差別である。
パブリックディスプレイにおける脆弱性 (シャープ NEC ディスプレイソリューションズ, 2024.02.05)。 「当該製品のソフトウェアサポートは終了しました」。おぅ。
CVE-2024-0853 - OCSP verification bypass with TLS session reuse (curl, 2024.01.31)。curl 8.6.0 で修正。
Jenkinsの脆弱性 CVE-2024-23897 についてまとめてみた (piyolog, 2024.01.30)
》 WordPress 6.4.3 メンテナンスとセキュリティのリリース (WordPress, 2024.01.31)
レーザービームプリンターおよびスモールオフィス向け複合機に関する脆弱性対応について (キヤノンマーケティングジャパン, 2024.02.05)。更新版ファームウェアが用意されている。
「Docker Desktop」に6件の脆弱性、Dockerがv4.27.1への「すぐに更新」を強く推奨 (@IT, 2024.02.07)
「Android 11」以降に致命的なリモートコード実行の脆弱性 ~Googleが月例更新を公表 (窓の杜, 2024.02.06)。2024-02-01 と 2024-02-05。
FortiSIEM に RCE を招く欠陥。2023.10 に対応された CVE-2023-34992 に類似の RCE を招く欠陥 CVE-2024-23108 CVE-2024-23109 が発覚。 Fortinet のアドバイザリは新規に発行されるのではなく、 CVE-2023-34992 のもの (FG-IR-23-130) が改訂され CVE-2024-23108 / CVE-2024-23109 が追加される形となっている。 とはいえ Timeline 欄には反映されていないのだけど。
FortiSIEM 7.1.2 で修正されている他、 まもなくリリースされる予定の FortiSIEM 7.2.0 / 7.0.3 / 6.7.9 / 6.6.5 / 6.5.3 / 6.4.4 で修正される予定。
》 Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告 (@IT, 2/6)
》 ツイキャスにDDoS攻撃、1週間継続中 ライブ配信視聴しづらいなど障害 (ITmedia, 2/7)
》 次期「Windows Server 2025」、無停止でOSアップデートを実現する「ホットパッチ機能」を全エディションで提供 (ITmedia, 2/7)
ただしホットパッチングの説明が、スライドの左側に示された「Arc-enabled Hotpatching Everywhere」となっているように、Windows Server 2025のホットパッチング機能は、Microsoft AzureからWindows Serverを管理する「Azure Arc」とセットで提供される見通しです。
そのため月額料金(Monthly Subscription)が発生するとも説明されています。
なんだ、がっかり機能か。
》 Googleがついに検索結果ページでのキャッシュ提供を終了 (gigazine, 2/5)
》 The Money and Drugs That Tie Elon Musk to Some Tesla Directors (Wall Street Journal, 2/3)。金とクスリでぐっちょぐちょ。
関連: マスク氏8兆円報酬、米裁判所が無効判断-世界一の富豪の座失う恐れ (ブルームバーグ, 1/31)
》 電気自動車によるガードレール“クラッシュテスト” ガソリン車より数百kg以上重く…事故対策の改善必要か (FNN, 2/4)。クルマ自体が変化した結果、周辺装置もまた変化する必要があるという話だなあ。
電気自動車は、バッテリーによりガソリン車より車体が重く、ガードレールを簡単に突き破ってしまった。(中略) テストを行ったアメリカのネブラスカ大学によると、バッテリーを大量に積んでいるため、ガソリン車に比べ、数百kg以上も重いという。
「重量税」をもっと取るべき という意見もあり、もっともだと思う。法もまた変化する必要がある。
》 日本シナリオ作家協会、“原作者と脚本家の関わり方”動画について謝罪 「故人の尊厳に関わる軽率な行為だった」 (ITmedia, 2/5)。関連:
出演者「対応として最悪です」 「セクシー田中さん」騒動めぐるシナリオ作家協会の動画削除で物議 (ねとらぼ, 2/2)
「緊急対談:原作者と脚本家はどう共存できるのか」AI書き起こし (はてな匿名ダイアリー, 2/2)
シナリオ作家協会の炎上動画は閉鎖も…理事「原作者は関係ない」の“本音発言”にファン怒り (日刊ゲンダイ / Yahoo, 2/5)
》 集英社、“早バレ”サイト容疑者逮捕に「大きな前進」 (ITmedia, 2/5)。関連:
雑誌発売前に“早バレ” 経営者ら2人著作権法違反容疑で逮捕 (NHK 熊本, 2/5)
『ジャンプ』に続いて『週刊少年マガジン』の早バレも捜査、講談社「読者の喜び奪う極めて悪質な行為」 (弁護士ドットコムニュース, 2/5)
》 これならWeb会議中に寝ても大丈夫!? 「Copilot for Microsoft 365」で劇的に便利になるTeams会議 (Internet Watch, 2/5)
続いては、Teamsだ。これは実際に体験するとわかるが、本当に便利だ。
誤解を恐れずに言えば、極端な話、会議を聞いていなくてもよくなる。
Teamsでは、大きく2つの機能を利用できる。1つは会議中の機能だ。会議中にレコーディングとトランススクリプト(文字起こし)を有効にしてから、Copilotボタンでサイドバーを表示、「これまでの会議を要約する」を選択すると、会議の内容がまとめられて表示される。 現在の会議について、要約したり、トピックをリストアアップしたり、質問内容を考えてもらったりできる
会議に遅れてしまったり、会議中に電話などで席を外したりすることはめずらしくないが、このようなケースでは、復帰したタイミングで話が進行していると、それまでの内容に追いつけないことがある。しかし、こうしたケースでもCopilotが欠席中の情報をフォローしてくれるわけだ。
もう1つは、会議後の機能だ。
会議の終了後、会議の結果画面に「まとめ」というタブが表示される。これは、Teams PremiumのIntelligent Recapと同様の機能で、会議の結果をまとめたものとなる。 (中略) 会議を欠席したり、内容を忘れてしまったりしても、AIメモを見れば、内容ややるべきことをすぐに把握できるわけだ。決まった理由や会話の流れを確認したければ、そこからトランススクリプトを読み、動画の該当部分を見返せばいいことになる。
もう、電話も、打ち合せも、インタビューも、全部Teamsでやってほしい。そうすれば、すべての情報がここに集約され、Copilot経由でいつでも取り出せるようになる。同僚も秘書もいない筆者にとって、これが実現できるメリットは非常に大きい。
AI 秘書を 45000円/年 で雇っていると考えれば、ぜんぜん高くないということかな。
》 AnyDesk Incident Response 2-2-2024 (AnyDesk, 2/2)。リモートデスクトップソフト AnyDesk の本番環境への侵入を発見、対応。 ランサムウェア事案ではないそうです。
》 外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検 (読売, 2/5)
関係者によると、米政府は安倍政権当時の20年夏、「日本の在外公館のネットワークが中国に見られている」と日本側に伝えた。漏えいした情報の具体的な中身や、攻撃をどのように把握したのかは明らかにしなかったが、北京の日本大使館と外務省本省間などで交わされた公電が中国当局に幅広く読み取られていることを示唆した。
当時、米国家安全保障局(NSA)のポール・ナカソネ長官らが急きょ、来日して日本政府高官と会談したほか、日米の実務者が対応を協議した。
その結果、外務省に加え、機密情報を扱う防衛省と警察庁、公安調査庁、内閣情報調査室の計5機関がシステムを点検し、脆弱性のあるプログラムを改善することで一致した。改善の状況は日米間で共有され、米側は点検・強化の継続を求めている。
2020年夏……。ワシントン・ポストが昨年 8 月に報道していた「防衛機密ネットワーク」の件は 2020 年秋だから、その前にこういう話があったということ? それとも同じ話?
》 アップル「Vision Pro」 24時間着けてみた (Wall Street Journal, 2/2)。電脳メガネへの長い道。
非常に素晴らしいことの一つが、自身の3Dホームビデオを視聴できることだ。アップルは数カ月前、「iPhone15 Pro(アイフォーン・フィフティーン・プロ)」に「空間ビデオ」機能を導入しており、筆者はこの機能を使用して息子を撮影し始めていた。それらのビデオを今、ヘッドセットを装着して3Dで視聴すると、その瞬間を追体験しているような気分になる。
OpenSSL 3.2.1 / 3.1.5 / 3.0.13 公開されました。Severity: Low だったものが修正されてます。 iida さん情報ありがとうございます。
Excessive time spent in DH check / generation with large Q parameter value (CVE-2023-5678) (OpenSSL, 2023.11.06)
POLY1305 MAC implementation corrupts vector registers on PowerPC (CVE-2023-6129) (OpenSSL, 2024.01.09)
Excessive time spent checking invalid RSA public keys (CVE-2023-6237) (OpenSSL, 2024.01.15)
PKCS12 Decoding crashes (CVE-2024-0727) (OpenSSL, 2024.01.15)
Changelog (OpenSSL)
Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari) (2024.01.23)
Apple Vision Pro 用 visionOS の修正が出ました。 CVE-2024-23222 の修正です。
About the security content of visionOS 1.0.2 (Apple, 2024.01.31)。修正個所は CVE-2024-23222 のみ。
》 ビッグモーター本社社員「環境整備推進委員」逮捕 (1/30)
ビッグモーター 街路樹伐採で初めて社員逮捕 本社で「環境整備推進委員」 器物損壊容疑 (東京, 1/30)
ビッグモーター 逮捕の社員 本社側の影響力を背景に伐採指示か (NHK, 1/31)
こちらは別件:
背景に組織風土、降格を恐れ伐採か ビッグモーター店長らを書類送検 (朝日, 2/1)。2名を書類送検。「県警は2人が降格や左遷を恐れ、本社からの伐採指示に従ったとみて在宅で調べていた」。
》 【社外調査報告およびニュースリリース一覧】ビッグモーター社による不適切な自動車保険金請求への当社グループの対応 (SOMPOホールディングス, 1/26)
関連:
金融庁による行政処分(業務改善命令)の概要と再発防止の方向性 (SOMPOホールディングス, 1/26)
損保ジャパンが最終報告書を公表の裏で…ビッグモーター『ロイヤルファミリー』を含め退職者が続出中 (FRIDAY / Yahoo, 1/23)
しかし、その一方で報告書には全く触れられなかった存在がある。それが、損保ジャパンが委託したとされる会社外部のアジャスターだ。(中略) ビッグモーターが行ってきた保険金不正請求は、その規模からも損保会社のアジャスターの関与なしには考えられない。損保ジャパンだけに留まらず、各損保から派遣された外部アジャスターの不正関与の実態が追及されることは、今後ないのだろうか……。
》 「虚構新聞展」リアル開催 20周年のエイプリルフールに合わせ (ITmedia, 2/2)。2024.03.27〜04.08 (4/2は休) 、大阪市福島区、一般当日 1000 円。
2004年に開設され、現在も更新を続けるた嘘ニュースサイト「虚構新聞」の世界を体感できる展覧会「虚構新聞展」が、開設20周年のエイプリルフールに合わせて大阪市内で開かれる。
滋賀じゃないんかい…… (仕方ない)。
》 寄付金の着服あった「24時間テレビ」、日テレが再発防止策 キャッシュレス募金など導入 (ITmedia, 2/1)
》 AMラジオ、34局が放送休止へ 1日から順次 (ITmedia, 2/1)。AM 停波、はじまります。 影響検証という名目だけど、期間が長いよね。 って、私もふだんは radiko でしか聽かないからなあ。 関連: 休止を予定する民間AMラジオ放送事業者一覧 (総務省)
今手元の moto g52j 5G で試してみたら、 FM 77.0 MHz (エフエム滋賀)、84.0 MHz (NHK-FM)、94.9 MHz (KBS京都) が入るなあ。関連: 近畿エリアのFM局・ワイドFM局一覧
あと NHK だけど、ラジオ第2がなくなります: NHK、AMラジオを1本化へ。2026年度から (AV Watch, 2023.10.10)。現在、緊急時には第2で英語放送をやっているんだけど、 そういうのどうするつもりなんだろう。
》 フェイクポルノ規制論に「テイラー・スウィフト効果」が火をつける、その行方は? (新聞紙学的, 2/1)
》 「能登の津波」フェイク動画が世界規模で拡散、地震から1カ月、その対処法とは? (新聞紙学的, 1/29)
》 輪島 地震大火~大津波警報下の消火活動は (NHK 解説委員室, 2/1)
今回あらためて認識されたのが防火水槽の重要性です。消火栓は大地震のとき断水で使えなくなるからです。専門家は周辺の建物の倒壊対策やリスクのある場所を避けて増設すること、複数の取水口をつけるなどの対策を検討すべきだと指摘しています。
》 "英国史上最大の冤罪事件"どうする富士通 (NHK 解説委員室, 2/1)
「Docker Desktop」に最大深刻度「High」の脆弱性 ~修正版が公開へ (窓の杜, 2024.02.01)。4.27.1 で対応。
Windows向けクライアント用プログラムで報告されている脆弱性への対応について(CVE-2023-7043) (キヤノンITソリューションズ, 2024.02.01)。 「本脆弱性は、2023年11月21日にリリースされました V17.0.15.0 で修正されました」。
アラート/アドバイザリ:Airサポートの脆弱性について(CVE-2024-23940) (トレンドマイクロ, 2024.01.26)。ウイルスバスター クラウド+ デジタルライフサポート プレミアム向けのサポートサービス「Air サポート」に権限上昇を許す欠陥。 Air サポート 6.0.2103 で修正。
各社のアンチウイルス製品 (BitDefender, Avira, TotalAV, Forticlient, ZoneAlarm, TrendMicro) に欠陥があり、proxy DLL という主砲を使って権限上昇が可能だ、という指摘。 TrendMicro のみ対応済とされている。 ZoneAlarm は対応中だそうで。
アラート/アドバイザリ:Airサポートの脆弱性について(CVE-2024-23940) (トレンドマイクロ, 2024.01.26)
Chrome 121.0.6167.139 (Mac / Linux) および Chrome 121.0.6167.139/140 (Windows) 公開。 4 件のセキュリティ修正を含む。
関連:
Chrome for Android Update (Google, 2024.01.30)。Chrome 121 (121.0.6167.143) for Android。
「Microsoft Edge」にリモートコード実行の恐れ ~Edge固有の脆弱性修正を含むセキュリティアップデート (窓の杜, 2024.02.02)。 Edge 121.0.2277.98。 上記に加え、Edge 独自のセキュリティ修正 CVE-2024-21399 も含む。
》 2024年2月、笑い男事件発生 (攻殻機動隊)。そうか、2024年設定だったのか。 攻殻 SAC、 20 年前なんだなあ……。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)