セキュリティホール memo - 2024.03

　このページの情報を利用される前に、注意書きをお読みください。

• 》 小林製薬 紅麹問題【会見配信中】“補償は誠意を尽くす” (NHK, 3/29)

  　関連:

  • 紅麹関連製品の使用中止のお願いと自主回収のお知らせ（第6報） (小林製薬, 3/29)

• 》 LibreSSL 3.9.1 Release Notes (OpenBSD, 3/27)、 LibreSSL 3.8.4 Release Notes (OpenBSD, 3/27)。セキュリティ修正は無いようです。 iida さん情報ありがとうございます。

• 》 再エネタスクフォース会議資料等でのロゴ表示問題について (自然エネルギー財団, 3/26)、 「誤解受け不安にさせたのは当然」中国企業ロゴ問題で辞任の大林ミカ氏、会見主なやりとり (産経, 3/27)

• 》 アニメ「ウメ星デンカ」「ジャングル黒べえ」YouTubeに初登場　　藤子・F・不二雄生誕90周年で (ITmedia, 3/26)。「封印作品」として知られるジャングル黒べえが遂に、ですか。

• 》 破綻した暗号資産取引所FTXの創業者SBFに禁錮25年の判決 (ITmedia, 3/29)。サム・バンクマン＝フリード被告。「複数の詐欺計画を画策した罪で禁錮25年、監視付き釈放3年」「110億ドルの資産没収」。

• 》 突如「ひよこババア」トレンド入り──クレカブランドの要請で「DLsite」が案内した表現変更が話題に【追記あり】 (ITmedia, 3/27)。クレジットカード屋とエロ表現との闘い。

  　その後、若干変更があったそうです: 「ひよこババア」→「つるぺたババア」に　反響を踏まえ「DLsite」が表現を再変更 (ITmedia, 3/27)

• 》 サインイン時に「Windows 11」アップグレードを促すメッセージ、Windows 10に追加 (窓の杜, 3/29)。「このメッセージが表示されるのは、Windows 11の最小システム要件を満たしているデバイスのみ」。本当かなあ。

• 》 【ライブ】宝塚歌劇団 25歳劇団員死亡 パワハラ認め謝罪 (NHK, 3/28)。ようやくここまで来ましたか。

• 》 小林製薬「紅麹」問題は「安倍案件」。おまけに「維新案件」にも続くようで。

  • 小林製薬「紅麹」サプリの被害が拡大…「機能性表示食品」制度検討は安倍政権下の規制改革会議からだった (日刊ゲンダイ / Yahoo, 3/28)

  • 「機能性表示食品制度」は誰のため?　消費者視点でみた二つの問題点 (朝日, 2022.08.31)

    　――特定保健用食品（トクホ）は1件ずつ審査して国が許可していたのに対し、届け出だけで機能性表示が可能となって、大幅に規制が緩和されました。
    
    　トクホは、許可にあたって製品そのものを人間に投与した試験が必要ですし、生鮮食品が認められたことはありませんでした。これに対し、機能性表示食品ではヒト試験を行わなくても、機能性に関与する成分の文献評価でよいとされました。また生鮮食品も対象に含めました。

  • 小林製薬「紅麹」で問題視される「機能性表示食品制度」は安倍案件！ 維新と一体の大阪万博パビリオン総合Pも旗振り役 (リテラ, 3/28)

    　しかし、「機能性表示食品」制度が「安倍案件」として注目を集めているのは、たんに安倍政権下で新設された制度だからではない。「機能性表示食品」制度の創設を強く提言し、議論を主導させた人物が、安倍首相と昵懇の関係にあったからだ。
    　その人物とは、大阪のバイオ製薬ベンチャーであるアンジェスの創業者である森下竜一氏。 (中略) しかも、森下氏は安倍首相と昵懇だっただけではなく、維新ともつながりが強く、きな臭い「維新案件」も多数持ち上がっている人物だ。
    　なかでも代表的なのが「大阪産ワクチン」問題だ。森下氏は創業したアンジェスは2020年3月、大阪大学と共同でDNAワクチンの開発をおこなうと発表し、安倍政権はアンジェスに約75億円もの補助金を交付したが、このワクチン開発に乗っかったのが吉村洋文・大阪府知事と松井一郎・大阪市長（当時）。両氏はアンジェス開発のワクチンを「大阪産ワクチン」として大々的に喧伝し、2020年4月には会見で「年内には10万～20万単位で投与できる」（吉村知事）などと語っていた。ところが、アンジェスは2021年11月に「（治験で）想定していた効果が得られなかった」と公表、2022年9月にはDNAワクチンの開発を中止すると発表した。
    　つまり、安倍政権が巨額を投じ、吉村知事がさんざん大言壮語を繰り返しながら大失敗に終わったワクチンの責任者が森下氏というわけだが、この失敗劇の総括もないまま、森下氏は大阪・関西万博の「大阪パビリオン推進委員会」総合プロデューサーに就任している。

  　「紅麹」問題:

  • 小林製薬 紅麹コレステヘルプ のCM「そんなお悩み」篇 (動画NOW!!, 2022.10.31)

  • 小林製薬 「紅麹」成分含む３健康食品自主回収 摂取後発病も (NHK, 3/22)

  • 小林製薬「紅麹」 製品を摂取の女性“本当に怖い” (NHK, 3/27)

  • 小林製薬「紅麹」問題で行政処分 死亡の2人は同製品摂取 (NHK, 3/27)

    「小林製薬」は27日、厚生労働省が26日に公表した2人目の死亡事例について発表し、摂取していたのが1人目と同じ「紅麹コレステヘルプ」だったと遺族から連絡があったことを明らかにしました。

    大阪急性期・総合医療センターの腎臓・高血圧内科で中心となって対応に当たる林晃正副院長は (中略) 「今回の健康食品との関連はわからないが、薬剤などが原因で起こる『尿細管間質障害』の症状に似ているものもあるということだった。このような腎障害の場合、自覚症状が出にくいのが特徴だ。中には尿が多くなったり、脱水症状が出たりする人もいるが、進行して人工透析が必要になるまで気づかないケースもあるので早期発見がとにかく大事だ。尿検査や血液検査などで調べればわかるので、心配な人はまずかかりつけ医に相談してほしい」と話していました。

    とっとと病院に行って調べるのが吉と。

  • 小林製薬「紅麹コレステヘルプ」の製造会社「管理に問題なし」 (NHK, 3/28)。えっ、自社製造じゃないの?

    岐阜市に本社がある健康食品・医薬品メーカーの「アピ」は小林製薬から委託を受け、岐阜県池田町にある池田工場で長期にわたって「紅麹コレステヘルプ」を製造していて、工場には大阪市から依頼を受けた岐阜県が26日に調査に入りました。
    メーカーは、小林製薬から供給された原料を手順書に従って錠剤に加工していたほか、衛生面や品質の管理は徹底し何かが混入することはないとしています。また、健康被害は去年9月以降に製造されたものを食べた人に偏っていますが、その前後で製造方法が大きく変わったことはないとしています。

    「大きく変わったことはない」? 小さくは変わっているのか?

    これのことか: 健康補助食品 (OEM事業) (アピ)

  • （時時刻刻）見えぬ全容、「紅麹」対応後手　国に報告届くまで２カ月…深夜の通知 (朝日, 3/28)

    　機能性表示食品制度の導入検討時、消費者庁「食品の新たな機能性表示制度に関する検討会」の委員だった合田幸広さんは、医薬品との品質管理のレベルの違いを指摘する。医薬品の製造では、治験で使用し承認を得たものと、同一の作り方で、有効成分以外の含有物質も同等のものを作り続けるよう厳しく定められている。
    　しかし今回のサプリは機能性表示食品として製造販売しているため、医薬品的な効果を期待させるものでありながら、同等なものを作り続けるよう製造工程を担保する仕組みが弱い。「機能性関与成分が十分に入っているかはチェックしていても、その他の成分も含めて全体が同等なものになっているかをチェックする仕組みがなかったのではないか」
    　米国などにも企業の責任で機能性を表示する制度はある。だが、ある業界関係者は「米国でも国が製造工程管理に基準を設けるなどしている。安全性に関してもすべて企業に任せている制度は海外ではまず聞いたことがない。機能性表示食品の泣きどころが表に出た」と話した。

  • 紅麹関連製品の使用中止のお願いと自主回収のお知らせ（第5報） (小林製薬, 3/28)

    生前に紅麹コレステヘルプをお使いになられていた方が腎疾患を伴って亡くなったとのご連絡を、昨日（3月27日）、ご遺族の方からいただきました。
    また、生前に紅麹コレステヘルプをお使いになられていた方（2021年以降使用とお伺い）が亡くなったとのご連絡を、同じく昨日（3月27日）に、ご遺族の方からいただきました。

    これで計 4 人。とはいえ、紅麹コレステヘルプの何が影響を与えていたのかはいまだ不明なんだよなあ。

• 》 X（旧Twitter）、匿名ユーザーの身元情報の投稿がルール違反であることをポリシーに追記 (やじうま Watch, 3/27)

• 》 InstagramとThreads、政治的コンテンツを「おすすめ」しない設定を追加。Facebookでも後日導入 (やじうま Watch, 3/28)

• 》 「Microsoft Teams」の画面共有にAV1ビデオコーデックが採用 ～低速回線でも鮮明に (窓の杜, 3/27)

• 》 デスクトップ版「Outlook」アプリが応答不能に、MSGファイルの添付で (窓の杜, 3/28)

• 》 LLMに「隠れ人種差別」、アライメントによる是正に限界 (MIT テクノロジー・レビュー, 3/27)。そりゃそうだろうなあ。 糞を大量に投入すればするほど糞さが磨かれるってことだよね。

  モデルの規模が大きくなるにつれて、隠れステレオタイプも強まることが今回の研究で明らかになった。この発見は、より大規模なモデルをリリースしようと競争するオープンAI、メタ、グーグルのようなチャットボット・メーカーに潜在的な警告を提供している。モデルは一般的に、訓練用データの量やパラメーターの数が増えるにつれて、より強力になり、表現力が増す。しかし、それによって隠れ人種バイアスが悪化するのであれば、企業はそれに対抗するためのより良いツールを開発する必要があるだろう。

  　糞ではない訓練用データが必要なのだろうけど、それを用意する気はあるのかな?

• 》 謎に包まれたウェブ魚拓サービス「archive.today」を運営しているのは一体誰なのか？ (gigazine, 3/26)

• 》 Apple・Meta・Googleをデジタル市場法違反の疑いで欧州委員会が調査開始、悪質と判断されれば全世界売上の最大20％相当の罰金を科される可能性あり (gigazine, 3/26)

• 》 バイアグラがアルツハイマー病のリスクを50％以上減らすことが大規模な研究で確かめられる (gigazine, 3/26)

• 》 Appleの「探す」の精度が低いせいで無実の人がSWATの突撃を受ける事件が発生したとの報道 (gigazine, 3/26)

• 》 アメリカとイギリスが選挙に関するサイバー攻撃で中国を非難、中国人7人を起訴 (gigazine, 3/26)、 UK calls out China state-affiliated actors for malicious cyber targeting of UK democratic institutions and parliamentarians (UK NCSC, 3/25)

• 》 Xが非営利団体CCDHを提訴した裁判、Xの訴えは全面却下　Xは控訴へ (ITmedia, 3/26)

• 》 日本レコード協会、音楽違法アップローダー11人と賠償金の支払いなどで合意　金額は平均40万円 (ITmedia, 3/25)

• 》 NEXCO西日本がUSBメモリ紛失　データは暗号化済……ただしパスワードは本体に貼り付け (ITmedia, 3/25)。お、ぉぅ……。

• 》 個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導　「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」 (ITmedia, 3/25)。「社労夢」のエムケイシステム。

  　関連: 当社に対する個人情報保護委員会からの指導等について (社労夢, 3/26)

• 》 WinSCP 6.3.2 (WinSCP, 3/12) が出ています。iida さん情報ありがとうございます。

• 》 Acrobat および Photoshop の最新版で不具合発生?

  • 「Photoshop」Windows版を更新するとフリーズ！ 操作不能になる不具合が発生中 (窓の杜, 3/25)。「2024年3月に配信された「Photoshop 2024」（v25.6）へアップデートすると」。

  • 「Acrobat」の最新パッチに複数の問題 ～エラー表示、「Adobe PDF」プリンターが消失 (窓の杜, 3/25)。「3月20日リリースされたv24.001.20615へアップデートすると」。 Adobe のドキュメントを眺めた限りでは、これも Windows 版の話っぽいように見えるのだが。

• 》 OpenSSH 9.7 (OpenSSH, 3/11)。iida さん情報ありがとうございます。

• 》 「Microsoft Teams」Windows デスクトップアプリでプロファイルの取得に失敗、サインインできない問題発生 (窓の杜, 3/25)

• 》 「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス (@IT, 3/18)

  報告書ではメモリ安全性について「メモリ安全性が保たれていないと、意図しない方法でメモリへのアクセス、書き込み、割り当て、または割り当て解除が行われる可能性がある」とし、メモリの安全性を保つ特性を欠くプログラミング言語として「C」「C++」を挙げた。

  　人類にはメモリー管理は無理。 面倒なことはプログラミング言語に任せよう。

• 》 生成AIの弱点が相次ぎ発覚　ChatGPTやGeminiがサイバー攻撃の標的に　情報流出や不正操作の恐れも (ITmedia, 3/22)。いろいろありますねえ。

• 》 焼津市、深層水の購入者1万5000人の個人情報漏えいか　原因は「サポート詐欺」 (ITmedia, 3/21)

• 》 水原一平通訳 (解雇済) 違法賭博方面

  • 大谷翔平が罪に問われるケースは？「もし友人を助けるつもりとしても、かなり重い罰を受ける」 (日刊スポーツ, 3/22)

    カリフォルニア州にあるウィッティア大学の賭博法を専門とする名誉教授I・ネルソン・ローズ氏は「もしオオタニが違法賭博であることを知った上で肩代わりとして借金を返済していたら、かなり重い罰を受ける。米国の法律では、違法賭博の胴元の借金回収を助ける行為をした場合、その賭博に関与したとみなされる。もし彼がただ友人を助けるつもりでやったとしても、それは胴元の借金回収の助けになることが分かっていたことになる」と解説した。

    認識の有無で大きな違いになるみたい。

  • 大谷翔平の代理人、巨額の窃盗被害で刑事告訴…借金肩代わりなら最低１年間の出場停止可能性 (読売, 3/22)。大谷翔平の代理人が水原一平通訳 (解雇済) を刑事告訴した、という見出し。

    地元紙ロサンゼルス・タイムズは２１日、トップニュースで疑惑を報じ、大谷選手の責任を問う論評を展開した。大リーグには「選手らが違法なブックメーカーのために働いたりした場合、最低１年間の出場停止処分を受ける」と定めた規則がある。同紙は、大谷選手が借金を肩代わりした場合を念頭に「違法な賭博業者の債権回収を手伝えば事実上、賭博業を営んでいることになる」との専門家の見解を伝えた。

  • 大谷選手「ギャンブル」「借金」との英語20日に初めて聞いた？水原氏賭博問題　ESPN記者が資金消失の経緯語る (FNN, 3/22)、 「別の通訳の説明で大谷はお金を盗まれたと気付いた」違法賭博報じたESPN記者が語る背景　水原氏証言でのウソ認める (FNN, 3/22)

  • 大谷選手は知っていた？　水原氏、「賭博の借金返済頼んだ」から一転 (朝日, 3/22)

  • 水原一平氏が大谷翔平の関与発言を撤回　当初は自分の借金を大谷が返済していたと米メディアに回答 (日刊スポーツ, 3/21)

  • 大谷翔平代理人〝巨額窃盗〟で捜査要請　違法賭博関与の水原一平氏「ギャンブル依存症」告白、大谷が法的な問題に直面する可能性 (ZAKZAK, 3/22)

  • 違法賭博に関与？で水原一平氏が解雇された裏事情　１兆円産業に背を向けた日本球界の英断 (植村徹也 / 産経, 3/22)

    日本プロ野球界にとっても決して対岸の火事ではない。実は約２年前、オーナー会議の場でパ・リーグ球団のある球団代表が「日本でもスポーツベッティングを導入してはどうか？」と提案したことがある。(中略) しかし、巨人の山口寿一オーナーが激怒し、導入案を一蹴した。

  　波及

  • 大谷選手を起用した三菱UFJ銀行のWebCMが一部非公開に　「アプリで銀行振込に挑戦！」など (ITmedia, 3/21)

    非公開となっているCMは、「大谷翔平選手がアプリで口座開設に挑戦！」「大谷翔平選手がアプリで銀行振込に挑戦！」の2本

    これはさすがにマズいか……。

• 》 Appleを米司法省がiPhoneでの市場独占で提訴　Appleは「積極的に抗弁する」 (ITmedia, 3/22)。Apple が独禁法違反に問われる時代がやっと来た。

  　司法省は、Appleの反競争的な行動として以下を挙げた。
  (中略)
  

  • クロスプラットフォームのメッセージングアプリの排除：クロスプラットフォームメッセージングの品質を低下させ、革新性を低下させ、ユーザーにとっての安全性を低下させたため、顧客がiPhoneを購入し続けなければならなくした

  (中略)
  　訴状では、クロスプラットフォームのメッセージングアプリの排除について、Android版「iMessage」アプリを提供することは「iPhoneを使っている家族が子供に（安価な）Android端末を買い与えることへの障壁を取り除く可能性がある」としたApple内部のメールが引用されている。

  　関連:

  • U.S. Sues Apple, Accusing It of Maintaining an iPhone Monopoly (NYTimes, 3/21)

• 》 Flightradar24、GPSが妨害および干渉されているエリアを示した世界地図を公開中 (やじうま Watch, 3/22)

  今回公開されたマップは、実際に該当エリアを通過する航空機からもたらされた航法データのズレをもとに、不確実性の範囲を計測し、GPSへの妨害および干渉が行われているマップとしてまとめている。

  　飛んでいない地域 (グレーな部分) のことはよくわからん、ということなんだろう。

• 》 陸自 UH-60JA 宮古島沖墜落事故、調査結果公開 (3/14)

  • ＵＨ－６０ＪＡの航空事故調査結果について (陸上幕僚監部, 3/14)

    １ 事故の概要
    令和５年４月６日（木）、陸上自衛隊高遊原駐屯地所属の第８師団第８飛行隊のＵＨ－６０ ＪＡヘリコプターが、航空偵察のために１５時４６分頃に航空自衛隊宮古島分屯基地を離陸 した後、１５時５６分頃宮古島北北西洋上において、レーダーから航跡が消失。宮古島市伊良 部島北約６キロメートル海上に墜落（搭乗員１０名全員が殉職）

    どうして熊本県上益城郡の高遊原駐屯地くんだりから UH-60JA で飛んできて航空自衛隊宮古島分屯基地 にいたのかよくわからなかったのですが、 陸自の 宮古島駐屯地 にはヘリパッドすら無い (= 常時配備のヘリもない) ためということなんですかね。 航空自衛隊宮古島分屯基地もヘリパッドはあるものの常時配備のヘリは無いと。 対空レーダーとか電子情報収集とかしてる部隊なので。

    • 「宮古島駐屯地」は“南西防衛の要”　空、海、サイバー攻撃にも対応できる (MAMOR, 1/31)。中SAM、12SSM、J/FPS-7(B)、警備中隊ですか。

    • 陸上自衛隊・宮古島駐屯地 (Google Map)

    • 航空自衛隊・宮古島分とん基地 (Google Map)

    距離的には UH-60JA ではなくオスプレイを使いたいところだろうけどなあ……。

    なお、宮古島駐屯地は 2024 年度予算で拡張するようです: 宮古島への電子戦部隊配備、うるまで訓練場整備の土地取得費を計上　24年度沖縄関係防衛予算　自衛隊の施設整備に473億円

    事故調査結果に戻ると、

    ４ 事故の原因
    （１）原 因
    第２エンジンの出力が緩やかに低下し出力を喪失。それに引き続き、第１エンジンの出力 も低下するという、これまでに報告事例がない事象が生起し、高度保持が困難となり、墜落
    （２）第２エンジンの出力の緩やかな低下の要因
    「ロールバック」という取扱書に記載のない非常に稀な事象。この要因は、エンジン制御 系統又はそれに関連する空気圧ラインの一時的な異常（漏れ・詰まり）と推定
    （３）第１エンジンの出力低下の要因
    エンジンのエンジン制御に影響を与える部位の異常、機体のエンジン出力に影響を与え る部位の異常及び搭乗員の出力調整レバー（ＰＣＬ）操作による出力抑制のいずれも示す証 拠はなく、要因の特定には至らず

    エンジン 2 基同時不調ですか。 厳しい。

  • 陸上自衛隊 宮古島沖のヘリ墜落事故 調査結果を公表 (NHK, 3/14)

  • 陸自ヘリ事故 調査結果を公表 「ロールバック」などで墜落 (NHK, 3/14)

  • 陸自ヘリ事故「ロールバック」発生か　防衛省が調査結果 (日経, 3/14)

• 》 それは“正義”なのか 過激化するユーチューバー 行き着く先には (NHK事件記者取材note, 2023.12.13) (魚拓)。 記事が消えちゃうらしいのでメモ。

  　関連: NHK、「政治マガジン」など6サイト更新停止へ　新サービスを検討 (朝日, 3/7)

  6サイトが29日に情報の更新を停止 (中略) NHK関係者によると、停止するのは「政治マガジン」「事件記者取材note」「国際ニュースナビ」「サクサク経済Q＆A」「サイカル」「アスリート×ことば」 (中略) 停止後も記事などは閲覧できるという。

  　なんだ、消えるわけじゃないじゃん。

• 》 陸自 オスプレイの飛行再開 当面は駐屯地周辺などで基本的訓練 (NHK, 3/21)。今日からですか。

  • 米海軍航空システム・コマンド・プレスリリース(仮訳) (防衛省, 3/8)

    部品の不具合に対処し、安全な運用再開を可能にするため、整備及び手順の変更が実施された。米海軍、米海兵隊及び米空軍は、部隊の具体的なガイドラインに従って、それぞれ運用再開計画を実施する。

  • 米軍オスプレイの運用停止措置の解除について (防衛省, 3/8)

  • 日本国内のオスプレイの段階的な運用再開について (防衛省, 3/13)

  　結局原因がよくわからないんだよなあ。 「整備及び手順の変更」ってどんな内容なんだろう。

• 》 スタートアップの光と影 ～空飛ぶバイクはなぜ破綻したのか (NHK事件記者取材note, 2/26) (魚拓)。破産してたのか。

  関係者によると、取引先企業への未払い金などの負債総額は21億円余り。
  従業員に支払われていない賃金もおよそ1億円に上るとみられている。

  「当初の経営陣の説明では、『空飛ぶバイクはすでに完成していて、受注もバンバン入っている。来年には100億円は売り上げられる』と言っていました。しかし、実際は実用に耐えるものではなく、安心、安全に飛行することが確約されている状態では全然ありませんでした。
  投資家もお客様も、製品としてはすでに完成していると思っていましたから、実態とはかなりギャップがあったのかなと思います」

• 》 中国国産8コアCPUのベンチマーク結果公開！現実はいつも残酷 (ニッチなPCゲーマーの環境構築Z, 3/19)。厳しい。

• 》 攻撃グループ「Earth Lusca」が台湾総統選挙を目前に地政学的トピックを用いてサイバー諜報活動を展開 (トレンドマイクロ セキュリティ blog, 3/15)

• 》 「安全保障の脅威」「表現の自由」米を揺るがす“TikTok規制法”、その本当の怖さとは？ (新聞紙学的, 3/18)

• 》 鳥山明さん、TARAKOさん死去にも「インプ稼ぎ」　なお続く便乗型コピー投稿の氾濫 (新聞紙学的, 3/11)

• 》 1週間で閲覧1億超、ロシア「内部文書」が示す偽情報拡散のPDCAとは ウクライナ侵攻3年目に (新聞紙学的, 2/26)

• 》 「サブスク1,000万をいかに達成したか」NYタイムズ発行人が語るデジタル戦略の10年とは？ (新聞紙学的, 2/21)

• 》 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況について (警察庁, 3/14)

• 》 令和５年におけるサイバー空間をめぐる脅威の情勢等について (警察庁, 3/14)

• 》 Unbound 1.19.3 released (NLnet Labs, 3/14)

• 》 経済産業省 クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15) (まるちゃんの情報セキュリティ気まぐれ日記, 3/16)

• 》 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始 (まるちゃんの情報セキュリティ気まぐれ日記, 3/17)

• 》 総務省・経済産業省のAI事業者ガイドライン第1.0版はほぼきまりましたかね... (まるちゃんの情報セキュリティ気まぐれ日記, 3/18)

• 》 国分生協病院のランサムウェア感染についてまとめてみた (piyolog, 3/7)

• 》 Lockbitへ行われた共同捜査 Operation Cronos についてまとめてみた (piyolog, 3/1)

• 》 「macOS Sonoma 14.4」で「Java」がクラッシュ ～回避策なし、更新の延期の検討を【16:55追記】 (窓の杜, 3/19)

• 》 miwaと離婚「萩野公介」が妻を置いて参加していた「謎の新興宗教」布教活動 (Smart FLASH, 3/18)

  　関連: 安倍昭恵氏や国会議員がこぞって肩入れ…「不二阿祖山太神宮」のトンデモ歴史観 (日刊ゲンダイ, 2022.08.23)

• 》 朗報！！「北山アリーナ建設断念」京都府知事がついに表明 (Change.org, 3/18)。おめでとうございます。

• 》 トランプ氏、６９０億円の保証金用意できず　米ＮＹ州の民事詐欺訴訟 (CNN, 3/19)、 トランプ前大統領側「保証金納付できない」主張 民事裁判で (NHK, 3/19)。実は選挙資金がヤバい?

• 》 「サードパーティベンダーに説明責任を求める」と米マクドナルド　世界的なシステム障害で (ITmedia, 3/18)

  McDonald'sは15日中に、障害の原因が特定され、修正したと発表。サイバーセキュリティに関わるものではなく、「設定変更中のサードパーティプロバイダーによって引き起こされた」と明らかにしていた。

  　マクドの件、そんな話だったのか。機会損失がすさまじい額になりそう。

• 》 Microsoft、「Office 2024」を今年後半にリリース ～サポート期間は5年 (窓の杜, 3/18)。買い切り版。

  なお、「Office 2024」はWindows版とMac版が、商用およびコンシューマー向けに用意される予定。32bit版と64bit版が利用できる。「Office LTSC 2024」は「Windows 10」および「Windows 10 LTSC」デバイスでサポートされるが、Armデバイスは「Windows 11」が必要となる。

• 》 Secure by Design: Google’s Perspective on Memory Safety (Google, 3/4)

  • We see no realistic path for an evolution of C++ into a language with rigorous memory safety guarantees that include temporal safety.
  • A large-scale rewrite of all existing C++ code into a different, memory-safe language appears very difficult and will likely remain impractical.

• 》 「セーフ ブラウジング」がリアルタイムに ～「Google Chrome」のフィッシング対策機能 (窓の杜, 3/15)。ローカルに保持し 30〜60 分毎に更新、から、サーバー側で保持し逐次問いあわせに変更。 DNS 的なことをするのかなあ?

• 》 「Outlook」アプリでメールの送信取り消しが機能しない問題をMicrosoftが修正へ　 3月下旬に最新チャネルでの展開が予定されている「バージョン 2403」で (窓の杜, 3/14)

• 》 マイクロソフト、「Copilot for Security」を4月1日より一般提供開始へ (クラウド Watch, 3/14)

• 》 南海トラフ地震｢発生確率への疑念｣の重大影響　高い地震保険料率が妥当なのか､判断できない (土居 丈朗 / 東洋経済, 3/18)

  　能登半島地震の被災地では、確かに地震保険の世帯加入率が低い。しかし、地震に対する保険は、地震保険だけではなく、全国共済農業協同組合連合会（JA共済連）の建物更生共済や、全国労働者共済生活協同組合連合会（こくみん共済coop）の自然災害共済などがある。
  　これらを合わせた世帯加入率をみると、2020年度末時点での筆者の推計では、石川県は61.5％と、隣県の富山県の63.2％や福井県の79.6％と比べて低いものの全国平均の54.1％を上回っている。地震保険だけだと石川県は28.4％であり、JA共済連の建物更生共済の件数が多いことによるものである。
  　ちなみに、地震保険だけでなく共済等も含めた地域別世帯加入率は、政府から公式に発表されていない。統計の整備が急がれる。

• 》 日産とホンダがタッグ　戦略的パートナーシップの検討開始を正式発表　EV・ソフトウェア分野で (ITmedia, 3/15)。なんだ、まだ「検討開始」のレベルか。

  　関連:

  • 日本メーカーが2023年の生産・販売台数を発表！ 波乱の一年を数字で総括する (webCG, 2/9)

    トヨタ自動車の2023年のグローバル販売は1030万7395台。前年比107.7％で、なんと過去最高を記録した。日本国内でも前年比129.8％の167万2970台と、まさに絶好調。(中略)
    ホンダはどうかというと、2023年の実績は世界生産で387万0162台（前年比108.2％）を達成。5年ぶりの増加という好成績であった。(中略) おひざ元の日本市場は56万7969台（同104.6％）で、こちらは5年ぶりの前年比増を記録。(中略)
    日産の実績もホンダに似ている。要するに、調子がいいのが北米と欧州で、ダメなのが中国だ。グローバル販売は337万4271台で前年比104.6％。(中略) 日本国内も48万0578台で全年比106.9％となった。

    規模感で言うとホンダと日産はトヨタの 1/3 くらいということか。 単純に両方合わせれば 2/3 だが、はたして。

  • 日産とホンダ、ＥＶ部品共通化などで協議開始へ　15日に覚書締結＝関係筋 (ロイター, 3/15)

    日産関係者２人によれば、日産が協業を検討している分野は国内外にわたるが、このうち１人の話では、国内では軽自動車のＥＶでの協業も浮上している。海外では、ホンダは米自動車大手ゼネラル・モーターズ(GM.N) とＥＶなどのシステム開発で提携しており、調整が必要になる。
    ホンダは４０年に新車全てをＥＶか燃料電池車（ＦＣＶ）にする目標を掲げており日産との協業にはメリットも見込めるが、ホンダ関係者は、現段階では日産との協業は多くの検討事項の一つで「日産の話を進めるにしても、いろいろ整理しなければならない」と話している。

    本当に「検討開始」のレベルのようだ。現時点では中身は何もなさそう。 検討している間に世界は先に進んでいるぞ。

• 》 マクドナルド公式アプリで障害か　モバイルオーダー＆デリバリーが利用できず (ITmedia, 3/15)、 マックデリバリーは 現在メンテナンス中です (マクドナルド)

• 》 【復旧】楽天モバイルの一部サービスがご利用しづらい状況について（3月15日午後3時25分時点） (楽天モバイル, 3/15)

• 》 米国で最も環境にやさしい車は「トヨタ・プリウス・プライム」だった？ (クーリエ・ジャポン, 3/14)。米国エネルギー効率経済評議会（ACEEE）選定。

  プリウス・プライムが高く評価されたのは、その効率の良さだ。 (中略) プリウス・プライムに次いで上位にランクインしたのはEVばかりで、レクサスRZ 300e、ミニクーパーSE、日産リーフ、トヨタbZ4Xと続く。日本のメーカーが目立ち、6位に再びトヨタのPHEVのSUVであるRAV4プライムがランク入りしている。
  PHEVが高く評価された背景には、現状ではEVの環境負荷が実はそれほど低くないことがある。

  　これがリアルな順位だよなあ。

• 》 Eerste Kamer bereikt iets meer duidelijkheid over de Tijdelijke wet cyberoperaties [NL] (Electrospaces.net, 3/12更新)。 DeepL 訳:

  今回は、オランダの情報機関やセキュリティ・サービスにサイバー行為者に対する作戦の自由度を与える新法案に関するオランダ語による2つ目のブログ記事である。この件に関する英語の要約はこちら。

  上院は2024年3月12日、臨時サイバー作戦法を可決した。SP、PvdD、Volt、GroenLinks-PvdA、OPNL、FvDグループは反対票を投じた。ニコライ上院議員の動議は留保された。この法律は2024年7月1日に発効する予定である。

• 》 Microsoft、Midnight Blizzardにより「機密情報」が漏えいしたと認める (ITmedia, 3/12)、 Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard (MSRC, 3/8)

• 》 「セキュアブートのセキュリティ機能のバイパスの脆弱性」対策、2024年10月の強制施行フェーズに備える (@IT, 3/8)

  システムイメージ／フルバックアップを定期的に外付けHDDやネットワーク共有に作成している場合は問題ありませんが、1年以上作成していないという場合は一度作成しておくことをお勧めします。2023年5月以前に作成されたバックアップは、正常にリストアできなくなるからです（画面6）。

• 》 PCの健全性や安全性をセルフチェック＆最適化：Microsoft純正ツール「PC Manager」とは (@IT, 3/11)

  「System protection」画面には、セキュリティ関連の項目が集まっている。 (中略) 「Windows Update」をクリックすると、自動的にWindows Updateが実行され、適用可能な更新プログラムの一覧が表示される。PC Managerのメリットは、適用したい更新プログラムの選択が可能なことだ。通常、［設定］アプリのWindows Updateでは、見つかった更新プログラムは全て適用される。一方、PC Managerでは、チェックボックスで適用を保留しておきたいものが選択できる。

• 》 GitHubに大量の悪質リポジトリ、その数“10万超”　感染するとパスワード流出の恐れ (ITmedia, 3/11)

• 》 「災害水ストレス」1週間で限界に　被災地に温かいシャワーを提供したベンチャー企業、“長期断水”への備えを訴える (ITmedia, 3/11)

• 》 Airbnb、宿の屋内監視カメラ設置を全面禁止に　4月30日から (ITmedia, 3/12)

  従来は、玄関やリビングルームなどの共用スペースに限り、予約前にカメラの存在を開示し、目に見える場所に設置する場合は許可していた。だが、4月30日以降は、場所や目的、事前開示の有無にかかわらず屋内カメラは禁止になる。

• 》 東日本大震災から時代が変わり、スマホやSSDの復旧依頼が増える―令和6年能登半島地震データ復旧支援レポート (Internet Watch, 3/11)

• 》 実装に1年、「KeePassXC」が待望の「パスキー」対応 ～フリーのパスワード管理アプリ (窓の杜, 3/11)

　あれから 13 年。

• 》 アマゾン担当配達員　長崎でストライキ開始　就業継続求め (朝日, 3/8)

• 》 若い米国人エンジニア、500ドル未満でGPSに依存しない無人機を1日で開発 (航空万能論 GF, 3/10)

• 》 ウクライナとロシアが戦場で使用するFPVドローン、米陸軍も演習でテスト (航空万能論 GF, 3/10)。来てますね。

• 》 スウェーデンとオランダが潜水艦輸出で協力、カナダ海軍にC-71を提案 (航空万能論 GF, 3/11)

  ここに日本の潜水艦が入ってくるかどうかは今のところ不明だが (中略) これをクリアできる環境（5類型廃止）が整っても輸出実績や入札経験が欠ける上、技術移転、現地生産、産業界への再投資、オフセットといった部分が非常に弱いと思われるため採用を期待しないほうがいいだろう。
  
  因みに西側諸国（米国を除く）が実施する防衛装備品の入札は概ね「能力＝50％」「コスト＝25％」「オフセット＝25％」の割合で評価されることが多く、入札参加国のメディアも当然「如何に自分たちの装備が競合よりも優れているか」をアピールするものの、これと同じぐらい「自分たちの再投資プランが当該国の産業界にどのような恩恵をもたらすか」「どの産業にどの程度の投資や仕事量が配分され、どの程度の利益生み出すのか」「それによってどのぐらいの雇用が新たに発生するのか」「提案した装備のビジネス面における将来性」にも言及してくる。

• 》 BAE、米陸軍に迫撃砲搭載のPatria製砲塔を統合したAMPVを納品 (航空万能論 GF, 3/8)

• 》 LibreSSL 3.8.3 Release Notes (OpenBSD, 3/9)、 LibreSSL 3.9.0 Release Notes、 (OpenBSD, 3/9)。iida さん情報ありがとうございます。

• 》 中国の脅威グループ「Volt Typhoon」による被害など、米CISA長官が警鐘を鳴らす重要インフラへのサイバー攻撃問題 (山賀 正人 / Internet Watch, 3/7)

  今回公開されたガイダンスは、基本的には2023年に公開されたガイダンス「サイバーセキュリティリスクのバランスを変える：セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のSOHO機器メーカー向けの「簡易版」のような内容となっています。つまり、本来読むべきは、この簡易版ではなく、「完全版」の方ではあるのですが、その完全版が30ページを超える内容となっているのに対し、今回の簡易版は2ページと極めてコンパクトにまとまっており、まずは最低でもこちらの簡易版に目を通して欲しいとの意図なのでしょう。

  　こちら: Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers (CISA, 1/31)

• 》 「空飛ぶクルマ」製造始まる　SkyDriveとスズキが発表　大阪・関西万博向け機体も (ITmedia, 3/7)。現状ではただのマルチコプターだなあ。 ゆくゆくは空中機動ユニットと地上走行ユニットをモジュール化して取りかえられるようになったりするのだろうか。

• 》 プロンプト不要、生成AIで誰でも物語からマンガが作れる (MITテクノロジーレビュー, 3/7)。「ロア・マシーン（Lore Machine）」。

  現在ロア・マシーンは初めて一般に公開されている。1カ月10ドルで、10万語（1度に3万語まで）のテキストをアップロードし、短い物語、台本、ポッドキャストを書き起こしたものなどから、80枚の画像を生成できる。ヘビーユーザー向けの価格設定もあり、エンタープライズ・プランは1カ月160ドルで、テキスト224万語、画像1792枚までに対応する。

• 》 たった4機…幻の攻撃機「連山」の部品発見　群馬の民家に風防ガラス　「現存確認、国内初かも」 (東京, 3/6)。4発の重爆撃機。「44年10月に初飛行したが、物資不足や度重なる空襲のため終戦までに製造されたのは4機にとどまり、実戦には投入されなかった」。

• 》 全銀ネット障害、システム改修完了　発生5カ月で正常化 (日経, 3/4)。「当初は手作業などで代替していた障害箇所の修正を終えた」。

• 》 Microsoft Edgeが使えない！　2024年1月にWindows Server 2022で発生した「問題」を探る (山市良 / @IT, 3/5)

  問題を受けた1台は「Windows Server 2016」を新規インストールし、その後、Windows Server 2022にインプレースアップグレードしたものです。(中略) Windows 10の初期のリリース（バージョン1607）と同じカーネルベースのWindows Server 2016では、Microsoft Edgeを正常に動かすために「MaxLoaderThreads=1」の設定が必要なのでしょう。そして、Windows Server 2022へのインプレースアップグレード時に「MaxLoaderThreads=1」は不要になり削除されましたが、その入れ物である「msedge.exe」サブキーが残ってしまったのではないでしょうか。

• 》 NHKのネット配信「必須業務」へ　配信利用者はテレビなくても契約対象──放送法改正案 (ITmedia, 3/1)。NHK の報道がチンカスなのは、これを通すため。 ほんと犬。(犬に失礼)

• 》 「きのこの山 ワイヤレスイヤホンはまだ売ってません」──明治が注意喚起　商標を無断使用した模倣品が複数の通販サイトで売られていた (ITmedia, 3/4)。「この製品は 2024 年 3 月下旬の発売予定」。 今あるのはニセモノと。

• 》 MBSメディアHDが闇を子会社化──社名“闇”のせいでよく分からない公式発表に　ネット大ウケ (ITmedia, 3/4)。ホラーを扱っている会社なのね。

• 》 マクドナルドのハッピーセット「カービィ」、フリマサイトに大量出品も買い手がつかず転売ヤー大爆死か (やじうまWatch, 3/4)

• 》 文化庁、「AIと著作権に関する考え方について（素案）」のパブコメ結果発表　意見提出数は2万4938件 (ITmedia, 2/29)

• 》 セクシー田中さん方面

  • 「セクシー田中さん」原作改変巡る契約書を交わさず　日テレと小学館 (朝日 / Yahoo, 2/26)。へぇ。

    26日の日テレの定例会見で福田博之専務は「できあがった作品の二次利用などについては契約を結ぶが、ドラマ制作の詳細について契約書は存在しない」と語った。制作過程や著作者人格権に関わる契約については、「作品ごとにはない。法律に基づいた枠組みでの了解は当然あるが、約束事を文書で取り交わしているわけではない」と述べた。日テレではそうした対応は一般的だとした。小学館は朝日新聞の取材に、契約について「開示できない」としている。

    文書だけが契約じゃないし、口頭での約束がなかったとは言ってないね。 そして小学館の反応がマジクソ。

  • 【会見詳報】日テレ社長「極めて厳粛に受け止め」◆契約書はどうなっていた？「セクシー田中さん」問題 (時事, 2/27) (魚拓)。2/26 日本テレビ石沢顕社長の定例記者会見 (2/26) の模様。

    ー第三者委員会設置という選択肢もあったかと思うが、外部有識者による調査チームとした理由は。
    
    石沢社長：ドラマ制作の基本的な流れと、今回の事案についてしっかり記録に残しておくことも含めて、日本テレビがしっかりとサポートし、第三者の先生（外部有識者）のご意見も含めて幅広く受け止めながら、再発防止ができるように進めていきたいと考えている。

    理由を明示せず。隠蔽したいことがあるのだろう。

    ー原作を使うに当たって契約書が当然あると思うが、原作者の方が主張していた「原作に手を加えない」という取り決めは書面に書かれていたか。
    
    福田専務：できあがった作品の二次利用等については契約を結ぶことになっているが、ドラマ制作の詳細についての契約書は存在していない。
    
    ー契約書は作品の二次利用についてのみで、制作過程や著作者人格権については文書を交わしていないということか。
    
    福田専務：作品ごとには（著作者人格権などについて定めた契約書は）ないということ。法律に基づいた部分での約束事は当然あるが、それをその都度文書で取り交わしているわけではない。
    
    【この部分について、日本テレビ側は会見終了後に文書で補足。セクシー田中さんについては「通常作品ごとに交わす『原作契約書』が存在する」とした上で、福田専務の説明は「著作者人格権だけを定めた契約書を（個別に）交わすことはなく、著作者人格権の扱いについては原作契約書の中で規定されることが一般的ということ」と説明した】
    
    ー日本テレビのドラマ制作の現場では、個別の作品について通常、権利者と契約を交わすことはないということ？
    
    福田専務：通常は、内容について（契約書で）約束を確認していることはない。

    繰り返しになるが、口頭での約束がなかったとは言ってないね。
    要登録部分の記事だけど、ここだけ引用しておこう:

    ー契約書に「原作に触らない（改変しない）」という文言がなかったのであれば、小学館を介した、日本テレビのプロデューサーとの口約束でしかなかったという解釈でよいのか。
    
    福田専務：そのあたりを特別調査チームが調査します。（Ｑ．契約書に書かれていなかったらそれが事実になるのでは）契約書はないです。（Ｑ．原作者の方は『何度も約束した』とＳＮＳに書いていた。原作者の方はそういう認識だった）原作者の方はそういう認識で、そうおっしゃっているということです。

  • 日テレが漫画原作ドラマの制作見送りを発表 「テレビは漫画のドラマ化をやめるべき」なのか (木村隆志 / マイナビニュース, 2/28)。 「これを機にドラマは漫画原作をやめるべき」は乱暴な意見だと思うが、 これを機に安易な・乱暴なドラマ化はやめるべきであろ。

• 》 令和５年度沖縄県国民保護共同図上訓練　 関係機関等連絡調整会議運営訓練資料 (沖縄県)。↓は若干手を加えた引用:

  新石垣空港 10,485人/日 (5,261人＋5,224人) 25機・45便 (B737-800 x 15, B787-800 x 10)
  宮古空港 6,645人/日 (3,250人＋3,395人） 17機・31便 (B737-800 x 12, B787-800 x 5)
  下地島空港 2,832人/日 (708人＋2,124人）９機・16便 (B737-800 x 9)

  すさまじいな。 これだけガンガン回せたとしても 6日かかるのか。

  ○避難のための増便へ対応するためには、保安検査レーンの増設が必要（１レーン当たり150人/ｈ）
  ○新石垣空港、宮古空港では２レーン、下地島空港では１レーンの増設見込み（下表参照）
  (中略)
  〇大型機に搭乗する⑥、⑧スポットは、既存の保安検査レーン４レーンを使用。動線も平素と同じ。
  〇小型機に搭乗する⑤、⑦、⑨スポットは、臨時レーンを使用。動線が平素と異なるため、事前に実行性を確認しておく必要がある。定員165名の搭乗には、保安検査を一人当たり25秒で通過しても70分程度要する。

  大型機 = B787-800、小型機 = B737-800。 こんなの手榴弾1発でふき飛ぶぞ……。

  全資料は 令和5年度沖縄県国民保護共同図上訓練の実施結果 (沖縄県, 2/22 更新) からどうぞ。

• 》 第27回格付け: SOMPOホールディングス (第三者委員会報告書格付け委員会, 1/16)

• 》 Army units must trim command posts, add drones to survive (ArmyTimes, 2/27)。ウクライナの戦訓により変化しつつある米陸軍。 自衛隊は大丈夫ですか? (たぶん駄目)