Last modified: Sat Jan 6 15:51:34 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 ドラマ「セクシー田中さん」調査報告書を公表 日本テレビ (日テレNEWS, 5/31)
まず、ドラマ化にあたって原作から内容を変更する「改変の程度」について日本テレビ側と小学館側に認識の違い、齟齬がありました。
原作者は今年1月、ブログなどで、ドラマ化するなら「必ず漫画に忠実に」「漫画に忠実でない場合は、原作者がしっかりと加筆修正」することがドラマ化の条件だったとつづっています。
しかし、日本テレビ側は、小学館側からドラマ化の条件として明確に伝えられたという認識はなかったということです。
こうした認識の齟齬があったため、ドラマ制作サイドから、原作とは内容やエピソードの順番が異なる脚本などが送られてくるたびに、原作者の不信感が高まったとしています。
なお、日本テレビ側は、制作初期の段階で原作者と面会しておらず、直接、意思疎通する機会を設けることができていませんでした。
クソすぎる。全文はこちらから: ドラマ「セクシー田中さん」 社内特別調査チームの調査結果について (日テレ, 5/31)
この調査報告からドラマ制作者側と原作者側のお互いの認識の違い、そこから生じているミスコミュニケーション、ドラマの制作スケジュールや制作体制、契約書の締結時期など、今後日本テレビとしてさらに厳しく取り組まなければならない点が見つかりました。
日本テレビとしては、指摘された課題についてテレビドラマに関わる全ての方が、より安心して制作できるよう、責任をもって取り組んでまいります。
今後も見守っていただきたいと思います。
問題点が改善されている様子を積極的に広報するくらいになってくれないと駄目だと思うのだが、 そういう気概は読み取れないなあ。
第 5 今後へ向けた提言
1 原作者や脚本家等との信頼関係を構築するための方策
- 原作の改変について相互理解を図る
- ドラマ化にあたっての思いを事前に説明する。映像化するに際しての全体構成案・演出などが書かれた「相談書」を作成し、原作サイドが映像化についてイメージし共感できるものとする。
- 原作者との認識の齟齬をなくすため、制作担当者は、原作者との直接の面談を要請する。その場で、原作者のご意見や譲れない点などをお聞きするよう試みる。原作者が面会を望まない場合は出版社の意向を尊重しつつ、最善の方法を双方で協議する。
- 脚本家とは原作者の意向を速やかに共有し、脚本家の理解を得ることが重要である。特にオリジナルの部分については、キャラクターや世界観にブレが生じないよう、原作者が望まない、やってほしくないポイントを細かく脚本家の執筆前に共有し理解を得ることを重ねて行う。脚本家はクリエイターであり、その尊厳は尊重されるべきである。
- 原作のドラマ化にあたっては、最終話までの全体の流れが理解できるような構成案を原作サイドと合意の上で、撮影に臨む。特に連載中の作品は、完結するまで待つことが望ましいが、ドラマ化する場合は、最終回までの構成案を完成させ、原作にはないオリジナル部分の内容を明確にすることが望ましい。
- 放送開始の 1 年半前、遅くとも1年前には企画決定するよう努める。
逆に言うと、現時点では、上記の、 ごくあたりまえとしか思えないことがまるでできていないということなのだろう。 先は長そうだ。
(2) メール、LINE 等の電子データ
本件ドラマの制作のため小学館の担当者、本件脚本家その他の関係者と連絡を取 り合っていた日本テレビのドラマ制作関係者ら計 8 名から本件ドラマ制作に関する 電子メール及び LINE 等の電子データについて、任意に提出を受けた。
都合の悪いものは隠されてる感がすごいなあ。
同年 4 月 15 日、A 氏と本件脚本家とが対面で打ち合わせを行った。本件脚本家は、 日本テレビで脚本を書くのは 20 年振り以上であり、A 氏とも初めて会ったが、原作 が面白かったことと、A 氏は誠実そうであり、かつ本件ドラマ化についての熱意が伝 わってきたことから、本件ドラマの執筆を引き受けることにした。本件ドラマは全 10 話を予定しており、1 話~10 話までを本件脚本家が執筆する予定であった。本件脚本 家は、この時点で A 氏から原作の利用許諾がされている旨の説明を受けており、ドラ マ化にあたっての諸条件について問題ないと感じた。本件脚本家が A 氏に対し、本件 原作者のドラマ化に対する姿勢を聞いたところ、A 氏は「難しい人」(こだわりが強 い人)と聞いている旨述べた。本件脚本家は「難しい人(こだわりが強い人)かー」 とは言ったものの、原作が大変面白いので原作を大事に描きたい、こだわりが強い人 のほうが良いドラマができると思うのでがんばりましょうという旨述べた。なお、当 調査チームに対し、本件脚本家は、この時点で A 氏からは雑談で「難しい人(こだわ りが強い人)」という話はあったかもしれないが、明確な説明はなかった、自分は原 作者との間に揉め事が生じるのは嫌なので、この時点でもし「難しい人」と説明され ていたら、必ず「どの程度難しい人なのか」「改変がどこまで許されるのか」等、詳 細の確認を求め、その上で執筆を引き受けるか慎重に判断したはずである旨述べて いる。
ドラマ化にあたって「必ず原作に忠実に」「終盤は本件原作者が脚本を書くことも あり得る」という条件については、A 氏自身そのような条件が小学館から出されてい るという認識がなかったため、A 氏から本件脚本家には説明されていない。
結局プロデューサーが駄目なんだよなあ。 全ての中心にいるのはプロデューサーだからなあ。
関連: 芦原妃名子さんには「最強の味方」がいなかった…日本の「マンガ実写化問題」を世界中のファンが心配する理由 (シェリー めぐみ / プレジデント online, 2/15)
日本ではドラマの脚本家や放映した日本テレビに批判が集まっているが、問題は作家と脚本家間のトラブルではなく、作家・脚本家双方を守らなかった出版社とテレビ局にあると考える。
というよりも、作家や脚本家といったクリエイターを守る仕組みが、日本にはなさすぎるのだ。
アメリカでももちろん、映画制作会社やテレビ局の持つ力は、原作者に比べて桁違いに大きい。だからこそ原作者が身を守るための仕組みが作られている。
》 鳥インフルエンザが米国でどれほど広まったのか、誰も知らない (WIRED, 5/27)。H5N1。
現在のところ、研究者たちは、生乳が人間への感染因子となるかどうかという点に関心を向けている。家禽におけるH5N1感染は主に呼吸器系の疾患を引き起こすが、牛の場合は同じウイルスが乳腺に集中する。これが、感染牛の生乳に大量のウイルスが発見される理由だと考えられる。テキサスの農場で感染した牛のミルクを飲んだネコが2匹死亡し、検査の結果、同ウイルスに感染していたことがわかった。
関連:
米国の乳牛における高病原性鳥インフルエンザウイルス(H5N1亜型)への感染事例について〔農林水産省〕 (中央畜産会, 4/4)
アメリカで2人目の乳牛からのヒト感染例 高病原性鳥インフルエンザウイルスA(H5N1)の現在の状況 (忽那賢志 / Yahoo, 5/25)
牛乳から検出された高病原性H5N1鳥インフルエンザウイルスの熱不活性化とマウスへの感染性 (東大, 5/31)
牛乳の殺菌で使用される63°C 30分および72°C 15秒の条件で、鳥インフルエンザウイルスを含む牛乳を熱処理し、その後鶏卵および培養細胞に接種して感染性ウイルスを評価しました。その結果、感染性ウイルス量は30000分の1以下にまで減少しましたが、完全に感染性ウイルスを不活化することはできませんでした(図1)。一方で、熱処理を行わない場合、牛乳中のウイルスは4°Cで5週間にわたり感染性を維持することがわかりました。
牛乳の殺菌方法 (酪農 PLUS)。 63℃/30分 (低温殺菌) と 72℃/15秒 (高温殺菌) を検証したと。 日本の牛乳で一般的な超高温瞬間殺菌 (130℃/2秒とか) だと完全不活化されるのだろう。 そのかわりに風味は低温殺菌/高温殺菌よりも劣るんだけどね。
》 わずか3日間で60万台ものルーターを破壊したマルウェア攻撃「Pumpkin Eclipse」について明らかに (gigazine, 5/31)
攻撃者はカスタム開発したツールキットではなく、Chaluboと呼ばれるコモディティマルウェアを使用して攻撃を実行したそうです。
Chaluboに組み込まれた機能によって攻撃者はルーター上でカスタムLuaスクリプトを実行し、ルーターのファームウェアを永久に上書きしたと考えられます。
》 ロシアのプロパガンダを発信する160の偽ニュースサイトは工作員になった元フロリダ州保安官とつながっている (gigazine, 5/31)
》 MetaがAI生成のプロパガンダを拡散するイスラエルのネットワークをFacebookとInstagramから削除 (gigazine, 5/30)
》 OpenAIがロシア・中国・イラン・イスラエルによるAIの悪用を未然に防いだと明かす (gigazine, 5/31)。世論操作。
》 1900万以上のIPアドレスに接続した世界最大級のボットネット「911 S5ボットネット」の解体にFBIなどが成功 (gigazine, 5/30)
》 ロシアがStarlinkの通信を妨害する高度な技術の導入に成功したとウクライナ当局が発表 (gigazine, 5/28)
》 マルウエア作成に対話型生成AIを悪用した事案についてまとめてみた (piyolog, 5/31)
》 運用終了したページがSQLインジェクション攻撃を受けた事案についてまとめてみた (piyolog, 5/28)
》 自動車メーカーが顧客の運転データを保険会社と共有 (Kaspersky, 5/28)
結果的に、多くのドライバーは、事実上、それぞれの運転習慣に基づいて保険料が決まる自動車保険に縛られていました。ただ、こうしたプログラムはかつては任意加入であり、加入すると基本割引が提供されていましたが、それでもほとんどのドライバーは加入していませんでした。現在、自動車メーカーは顧客の同意を得ずに、しかも顧客に知らせることなく顧客を登録しているようです。
確認できる情報によりますと、これは現在のところアメリカ国内のドライバーに対してのみ行われているとのことです。しかし、アメリカで始まったものはたいてい他の地域にも広がっていくため、似たようなことがすぐに他の地域でも行われる可能性があります。
PostgreSQL 16.3, 15.7, 14.12, 13.15, and 12.19 Released! (PostgreSQL, 2024.05.09)。CVE-2024-4317 を修正。PostgreSQL 12 は EOL。
アラート/アドバイザリ:Trend Micro Apex One および Apex One SaaS で確認された複数の脆弱性について(2024年5月) (トレンドマイクロ, 2024.05.30)
Check Point Software Technologies社製品のVPN機能における情報漏えいの脆弱性(CVE-2024-24919)について (JPCERT/CC, 2024.05.30)。hotfix が出ています。
もともとは glibc iconv() の欠陥なのだが、PHP で発現し得るという話。
Re: The GNU C Library security advisories update for 2024-04-17: GLIBC-SA-2024-0004/CVE-2024-2961: ISO-2022-CN-EXT: fix out-of-bound writes when writing escape sequence (oss-sec ML, 2024.05.27)
Iconv, set the charset to RCE: Exploiting the glibc to hack the PHP engine (part 1) (ambionics security, 2024.05.27)
ambionics / cnext-exploits (GitHub)
asterisk security releases 18.23.1, 20.8.1, & 21.3.1 (oss-sec ML, 2024.05.21)
Unboundの脆弱性情報が公開されました(CVE-2024-33655) (JPRS, 2024.05.13)
A novel pulsing DoS attack named "DNSBomb" has been discovered to affect various DNS resolving software (nlnetlabs.nl, 2024.05.13)
関連:
BIND 9 is Unaffected by the DNSBomb (ISC, 2024.05.01)
Researchers Warn of CatDDoS Botnet and DNSBomb DDoS Attack Technique (Hacker News, 2024.05.28)
JVNVU#97214223 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性 (JVN, 2024.05.28)。「当該製品にログイン可能なユーザから細工されたリクエストを送信された場合、任意のOSコマンドを実行される可能性があります」。対応ファームウェアあり。
》 iPhoneにマイナカード搭載可能に 2025年春の後半から Apple正式発表 (ITmedia, 5/30)。「クレジットカード情報などを保存できるアプリ「Appleウォレット」にマイナカードの情報を追加し、物理的なカードと同じように使えるようになる」。
》 モバイルSuicaアプリで障害 チャージや定期券購入がしにくい状態 「急ぎの方は現金チャージを」【更新済み】 (ITmedia, 5/30)
》 総務省、「国民のためのサイバーセキュリティサイト」をより読みやすく、最新動向を反映してリニューアル (Internet Watch, 5/29)
OpenSSL Security Advisory [28th May 2024] Use After Free with SSL_free_buffers (CVE-2024-4741) (OpenSSL, 2024.05.28)。Severity: Low。 OpenSSL 3.[0-3] / 1.1.1 に影響。 iida さん情報ありがとうございます。
「nginx」に4件のセキュリティアップデート ~HTTP/3 QUICモジュールに欠陥 (窓の杜, 2024.05.30)。nginx 1.26.1 / 1.27.0 が公開されたそうです。
CVE-2023-52424 WiFi Vulnerability: The SSID Confusion Attack (top10vpn.com, 2024.05.14)。中間介入攻撃を行い、WiFi クライアントを間違った AP に誘導することが可能。 DeepL 訳を若干修正。
脆弱性の根本的な原因は、WiFi の仕組みを支える IEEE 802.11 規格において、 ネットワーク名(SSID)が常に認証されるように要求してはいないことだ。
SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network (top10vpn.com)。論文。
あらゆるWi-Fiクライアントが対象となりうるトラフィック傍受の手口が発見され物議 (やじうまWatch, 2024.05.22)
》 大脱走劇で明るみに 仏刑務所で“テレワーク”の犯罪指示が横行か 首謀者は「蠅」の異名で知られる人物 (産経 / ITmedia, 5/29)
仏公共放送は脱走後、受刑者や仲間の監房で携帯電話が見つかり、連絡を取り合っていた可能性が浮上したと報道。昨年、国内の刑務所では5万3000台の携帯電話が押収されたとも伝えた。携帯電話は無人機などで持ち込まれ、1台200ユーロ(約3万4000円)で取引されているという。
》 OpenAIを「限界点に達した」と退社したライケ氏、競合Anthropicで安全チーム結成へ (ITmedia, 5/29)
Firefox 126.0 / ESR 115.11.0、Thunderbird 115.11.0 公開 (2024.05.17)
出てました。セキュリティ修正はありません。
Firefox 126.0.1 がリリースされた (mozillaZine, 2024.05.29)
》 波紋広げた研究論文、 トランスジェンダー伝染説は いかにして利用されたか (MIT Technology Review, 2023.10.23)
》 内部告発で右往左往…県知事の「おねだり」「パワハラ」疑惑文書拡散で兵庫県政が“異例の大混乱” (FRIDAY / Yahoo, 5/27)
知事は感情的なところがあり、何の前触れもなく怒り出すというタイプの方です。例えば芸術楽団などの催し物に呼ばれた際、『公用車の停め位置が遠い。歩く距離が長い』と怒り出したことがあります。現場に控室がないと『なぜ用意してないんだ』と激怒する。
転生ものによく出てくる、典型的なダメ領主じゃん。
》 経済安保秘密保護法など重要法案が十分な議論もなく可決していく現実にペンクラブが抗議声明 (篠田博之 / Yahoo, 5/19)
国際司法裁判所 ICJ、軍事作戦停止の暫定措置を命令 (5/24)
国際司法裁「ラファ軍事侵攻の即時停止」命じる イスラエルは拒絶し空爆続行 (BBC, 5/25)
国際司法裁判所、イスラエルにガザ地区南部ラファでの軍事作戦停止の暫定措置命令 (JETRO, 5/27)
イスラエル ICJ命令後もラファでの攻撃継続 交渉再開は不透明 (NHK, 5/26)
EU上級代表 イスラエルにICJ命令に従うよう求める (NHK, 5/27)
イスラエル、避難民キャンプを爆撃 (5/26)。死者 45 名。「ハマスの幹部2人を標的にして殺害した」。
パレスチナの避難所空爆か、45人死亡 イスラエル軍「ハマスの拠点標的」と主張 (時事, 5/27)
中東諸国、イスラエルを一斉非難 ラファ避難民テント攻撃の死者45人に (AFP, 5/28)、 動画:中東諸国、イスラエルを一斉非難 ラファ避難民テント攻撃の死者45人に (AFP, 5/28)
イスラエル軍のラファ空爆で45人死亡 国際社会から非難強まる (NHK, 5/28)
ラファ空爆で多数死傷したのは「悲劇的な誤り」 ネタニヤフ首相が釈明 (BBC< 5/28)
関連
東京藝術大学は、ガザ地区で虐殺を続けるイスラエル軍を支援したベツァルエル美術デザインアカデミーとの国際交流協定を打ち切ってください (Change.org)。賛同した。
》 【速報】大阪公立大で青酸カリを盗んだ疑いで男を逮捕 致死量は最大250人分 大阪府警 (TBS, 5/28)。「紛失」してた件。
》 『関心領域』グレイザー監督「映画は政治をラジカルに描くべきだ」 (クーリエ・ジャポン, 5/23)。まだ観れてない。 関連:
アカデミー賞受賞作『関心領域』満席続出、週末動員ランキング「洋画1位」に輝く (Cinema Cafe, 5/28)。それはすごい。
映画「関心領域」 日常生活のなかに潜む「究極の恐怖」を描く (稲垣 伸寿 / Forbes, 5/25)
》 AIが「次の産業革命」けん引、乗じるウォール街 (Wall Street Journal, 5/28)
》 鉄道の障害者割引は「半人前扱い」「謎ルール」なのか?JR・大手私鉄が単独割引をしないワケ (ダイヤモンド online, 5/27)
》 GPT-4oの中国語に異常 ポルノ、ギャンブルで トークンが汚染されていた (MIT Technology Review, 5/28)
》 北朝鮮「軍事偵察衛星打ち上げ 新型ロケットが空中爆発 失敗」 (NHK, 5/28)
北朝鮮と国境を接する中国東北部・遼寧省の東港で日本時間の27日午後10時40分すぎ、NHKが撮影した映像では「ソヘ衛星発射場」の付近から光の点が夜空を上昇したあと、突然、オレンジ色の炎とともに爆発したように見える様子が確認できました。
NHK、独自カラー映像でロケット打ち上げ失敗をリアルタイム報道。 さすがである。
実は「Jアラート」にリアルタイム遭遇したのははじめてだったのだが、 あまりに気色悪くて TV を消した。特にテレ朝の政府広報ぶりがひどい。 クソ政府も、いいかげん衛星打ち上げロケットを「ミサイル」と呼ぶのをやめろ。
関連:
衛星ロケットの爆発映像公開 韓国軍 (時事, 5/28)。白黒。
北朝鮮の「衛星」打ち上げ、朝鮮中央通信が失敗を報じる…新開発エンジンの不具合で空中爆発 (読売, 5/28)。「(27日夜、中国・丹東で)=大原一郎撮影」
》 マイナカードの認証「かざし利用」が可能に 法改正で (ITmedia, 5/27)
デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。
これでニセカードの悪用は根絶できそう?
》 長崎県物産振興協会の通販サイトに不正アクセス クレカ情報2万5000件以上や全会員の個人情報が漏えいした可能性 (ITmedia, 5/28)
》 積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】 (ITmedia, 5/24)
2008年から11年にかけて運用していたが、現在は使用していないWebページのセキュリティ設定に不備があり、漏えいにつながったという。事態に気付いたのは21日。サーバ関連業務を委託している事業者から、アクセス数が急激に増えているとの報告を受け、調査したところ「データベースを操作するための言語を用いたサイバー攻撃を受けた」(同社)ことが分かったという。
SQL インジェクションなのかな。
》 「Copilot+ PC」はセキュリティも万全 ~攻撃面の縮小、ID保護に取り組むWindows 11 (窓の杜, 5/27)。1kg を切るような製品が欲しいんだけどなあ。
》 「Sudo for Windows」はRustで開発されている! 「バージョン 24H2」にも導入決定 (やじうまの杜, 5/28)。へぇ。
》 第46回JPNICオープンポリシーミーティング開催のご案内 (jpopf.net)。2024.06.21、東京都千代田区 / Zoom、無料 (要申込)。 DNS Summer Day 2024 とおもいっきりかぶってるなあ。
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響 (窓の杜, 2024.05.22)
修正は5月14日にリリースされた「Firefox 126」、「Firefox ESR 115.11」、「Thunderbird 115.11.0」に含まれており、最新版へアップデートしていれば脆弱性の影響を受けることはない。
(中略)
しかし、「PDF.js」はMozilla製品だけでなく、Webサイトや「Electron」ベースのデスクトップアプリでも広く用いられている。
》 「VBScript」は2027年頃にデフォルトで無効に ~非推奨化スケジュールが公開 3つのフェイズに分け、段階的にサポートを縮小 (窓の杜, 5/23)
》 バッファローのWi-Fiルーター「WSR-1166DHP」シリーズほかのボット感染が増加、NICTER解析チームが警告 (Internet Watch, 5/22)、 NICTERの投稿に関する重要なお知らせ(5/23更新) (Buffalo, 2024.05.23)
5月21日から22日にかけて報道されております、NICTER解析チームによる弊社「WSR-1166DHPシリーズ」等のボットへの感染が確認された件につきまして、NICT様と連携して調査を行った結果、およそ50台程度の弊社Wi-Fi商品、ないしその内部ネットワークからマルウェアが発信したと思われる通信を確認しております。こちらのお客様につきましては、処置などのご案内方法についてNICT様と協議しております。
Chrome 125.0.6422.112/.113 (Windows / Mac) および 125.0.6422.112 (Linux) 公開。 1 件の 0-day 欠陥 CVE-2024-5274 に対応。関連:
Chrome for Android Update (Google, 2024.05.23)。Chrome 125 (125.0.6422.112/.113) for Android。
「Microsoft Edge」にもセキュリティ更新 ~「V8」スクリプトエンジンにゼロデイ脆弱性 v125.0.2535.67への更新を (窓の杜, 2024.05.27)
》 名古屋港が約3日でランサムウェア被害から復旧できた理由 国土交通省が語る教訓 (@IT, 5/14)
暗号化されたシステムの復旧を試みる上で幸運だったのは、しっかりバックアップを取っていたことだ。「本番サーバのバックアップを1日に1回の頻度で取得し、3日分保存していました。さらに、バックアップの複製を別の場所に隔地保管していました」(北尾氏)
》 InstalledAppView v1.08 (Nirsoft)
》 「iOS 17.5.1」がリリース、削除した写真がまれに表示される問題に対処 (窓の杜, 5/21)。この記事では詳細がさっぱりわからないぞオイ! というあなたにはこちら:
》 シンガポール航空 SQ321 便、乱気流により乗客1名死亡 (5/21)
シンガポール航空機、乱気流で緊急着陸 乗客1人死亡 7人重傷 (ロイター, 5/22)。機内写真や映像あり。 一部の天井部品が外れるほどの衝撃 (衝突?) が発生したことを伺わせる。
One Dead and Dozens Injured After ‘Extreme Turbulence’ on Flight (NYTimes, 5/21)
シンガポール航空、乱気流で乗客1人死亡 ロンドン発SQ321便 (AviationWire, 5/21)
シンガポール航空SQ321便、乗客死因は心臓発作 乱気流でバンコク緊急着陸 (AviationWire, 5/22)
機体記号 9V-SWM (FlyTeam)
Playback of flight SQ321 / SIA321 (flightradar24)
》 英裁判所、アサンジ被告の不服申し立て認める 米への身柄引き渡し巡り (ロイター, 5/21)
高等法院は3月、アサンジ被告が外国生まれで不利益を受ける可能性があるとの理由での申し立てを暫定的に許可したが、米側に公正な裁判を受けられるとの保証の提出を求めていた。
20日の審理後、2人の上級判事は、合衆国憲法修正第1条の言論の自由に対する権利を確保できない可能性があるとのアサンジ被告の主張を踏まえ、上訴に値するとの判断を示した。
3月時点での記事: WikiLeaks創設者のジュリアン・アサンジが、米国への移送を「回避」したことの意味 (WIRED, 3/27)
いろいろ (2024.05.20) OpenSSL
影響先修正 (OpenSSL 3.[01] FIPS のみ および OpenSSL 3.[0123]) 。iida さん情報ありがとうございます。
》 イランのライシ大統領、搭乗へりが墜落し死亡。 アブドラヒアン外相も搭乗しており、こちらも死亡。
不明のイラン大統領ヘリ、機体の残骸発見 墜落炎上か イラン報道 (毎日, 5/20)
イラン捜索隊、不時着した大統領ヘリを発見…当局者は「生存の可能性低い」の見解 (読売, 5/20)
イランのライシ大統領、生存は絶望的に 墜落ヘリ残骸発見 (ロイター, 5/20)
イランのライシ大統領と外相が死亡と当局者、ヘリ墜落で (ロイター, 5/20)
》 OpenAIのAI危険対策チームトップが「限界に達し」退社 「安全確保が後回しになっている」 (ITmedia, 5/18)
》 NHK「スマホやパソコンを持っているだけでは負担の対象にならない」 改正放送法成立受けコメント、詳細は検討中 (ITmedia, 5/17)。今はまだ、ってだけだろ。
》 iOS 17.5へのアプデで「写真が復活する問題」、前ユーザーが撮った写真まで蘇るとの噂 (Internet Watch, 5/20)
該当ユーザーの投稿によると、所有していた12.9インチiPad Proを、Appleのガイドラインに基づいてユーザー情報を消去し、それを友人に転売。友人が別のApple IDでログインして使用していたところ、元のユーザーの古い写真が表示されたことから、本人に連絡が入り、その事実が発覚したのだという。(中略) その後、この問題を報告したユーザーは該当の投稿を削除したため、MacRumorsでは主張の真実性に疑問を投げ掛けている。
えっ? 報告数 1?
「LibreOffice 7.6」系の最終版が公開 ~スクリプトが無警告で実行される脆弱性も修正 (窓の杜, 2024.05.17)。LibreOffice 7.6.7 Community。7.6 系はこれでサポート終了だそうで。
OpenSSL Security Advisory [16th May 2024]
Excessive time spent checking DSA keys and parameters (CVE-2024-4603)
(OpenSSL, 2024.05.16)。影響するのは
OpenSSL 3.[01] FIPS のみ および OpenSSL 3.[0123] 。Severity: Low なので次期リリース版にて修正。
iida さん情報ありがとうございます。
影響先修正 (OpenSSL 3.[01] FIPS のみ および OpenSSL 3.[0123]) 。iida さん情報ありがとうございます。
》 弊誌、「x.com」が「x.com」へリダイレクトされる、と報じる記事を流してしまう (やじうまの杜, 5/17)。リアル「おまえは何を言っているんだ」案件。 イーロン・マスクのせい。
関連: 「twitter.com」から「x.com」へのリダイレクト開始 ~「Firefox」などではトラブルも (窓の杜, 5/17)
》 米CISAの国際ガイドラインに日本も署名。民主主義の価値を損なうサイバー攻撃から研究者・ジャーナリストらを保護 (Internet Watch, 5/17)。ふぅむ。 「0) Reboot everyday.」とは書かれていませんね。
関連: Pegasus、ChrysaorなどAPT関連のマルウェアからモバイルデバイスを守るために (Kaspersky, 2022.02.22)
高度なスパイウェアからiOSデバイスを守るには
毎日、再起動する:Amnesty InternationalとCitizen Labが行った調査によると、Pegasusの感染チェーンは、持続性のないゼロデイのゼロクリック攻撃に依存していることがしばしばです。このため、再起動を日常的に行えば、デバイスをクリーンな状態に保つことが可能です。デバイスを毎日再起動すれば、攻撃者たちは何度も感染を試みなければなりません。そのため、いずれ攻撃が検知される可能性が高くなりますし、クラッシュが発生するかもしれません。また、攻撃の痕跡がログに残り、密かに進行する感染が検知される可能性もあります。これは単なる理論上の話ではありません。かつて私たちは、ゼロクリックエクスプロイト(おそらくFORCEDENTRY)を通じてモバイルデバイスが標的となった事例を分析したことがあります。そのデバイスの所有者は日常的に再起動を行っており、攻撃を受けた24時間後にもデバイスを再起動させていました。攻撃者たちは複数回にわたりそのデバイスを標的にしましたが、再起動によって何度も撃退された後、最終的には攻撃を断念しました。
毎日再起動、が筆頭項目なのです。
》 リニア新幹線のトンネル工事を一時中断へ JR東海社長が表明 井戸やため池など14か所の水位が下がった問題を受けて (CBC / Yahoo, 5/16)。そら見たことか案件。
》 亡き人と対話するAI、中国で「よみがえり」ビジネスが拡大中 (MIT Technology Review, 5/17)。 帝王の殻 にはまだまだ程遠い感じだけど、やる気になればできないこともなさそうな時代になってきたなあ。
Microsoft 2024.05 patch 。 60 MS CVE + 12 non-MS CVE (Github, Chrome)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET and Visual Studio CVE-2024-30045
- Azure Migrate CVE-2024-30053
- Microsoft Bing CVE-2024-30041
- Microsoft Brokering File System CVE-2024-30007
- Microsoft Dynamics 365 Customer Insights CVE-2024-30047 CVE-2024-30048
- Microsoft Edge (Chromium-based) CVE-2024-30055 CVE-2024-30056 CVE-2024-4331 CVE-2024-4368 CVE-2024-4558 CVE-2024-4559 CVE-2024-4671 CVE-2024-4761 CVE-2024-4947 CVE-2024-4948 CVE-2024-4949 CVE-2024-4950
- Microsoft Intune CVE-2024-30059 CVE-2024-30060
- Microsoft Office Excel CVE-2024-30042
- Microsoft Office SharePoint CVE-2024-30043 CVE-2024-30044
- Microsoft WDAC OLE DB provider for SQL CVE-2024-30006
- Microsoft Windows SCSI Class System File CVE-2024-29994
- Microsoft Windows Search Component CVE-2024-30033
- Power BI CVE-2024-30054
- Visual Studio CVE-2024-30046 CVE-2024-32002 CVE-2024-32004
- Windows Cloud Files Mini Filter Driver CVE-2024-30034
- Windows CNG Key Isolation Service CVE-2024-30031
- Windows Common Log File System Driver CVE-2024-29996 CVE-2024-30025 CVE-2024-30037
- Windows Cryptographic Services CVE-2024-30016 CVE-2024-30020
- Windows Deployment Services CVE-2024-30036
- Windows DHCP Server CVE-2024-30019
- Windows DWM Core Library CVE-2024-30008 CVE-2024-30032 CVE-2024-30035 CVE-2024-30051
- Windows Hyper-V CVE-2024-30010 CVE-2024-30011 CVE-2024-30017
- Windows Kernel CVE-2024-30018
- Windows Mark of the Web (MOTW) CVE-2024-30050
- Windows Mobile Broadband CVE-2024-29997 CVE-2024-29998 CVE-2024-29999 CVE-2024-30000 CVE-2024-30001 CVE-2024-30002 CVE-2024-30003 CVE-2024-30004 CVE-2024-30005 CVE-2024-30012 CVE-2024-30021
- Windows MSHTML Platform CVE-2024-30040
- Windows NTFS CVE-2024-30027
- Windows Remote Access Connection Manager CVE-2024-30039
- Windows Routing and Remote Access Service (RRAS) CVE-2024-30009 CVE-2024-30014 CVE-2024-30015 CVE-2024-30022 CVE-2024-30023 CVE-2024-30024 CVE-2024-30029
- Windows Task Scheduler CVE-2024-26238
- Windows Win32K - GRFX CVE-2024-30030
- Windows Win32K - ICOMP CVE-2024-30028 CVE-2024-30038 CVE-2024-30049
Microsoft SharePoint Server のリモートでコードが実行される脆弱性 CVE-2024-30044 の CVSS:3.1 score、もともとは 8.8/7.7 だったみたいなのだけど、 今は 7.2/6.3 に修正されている。 しかし「最大深刻度: 緊急」のまま。
0-day は 3 件。
Windows MSHTML Platform Security Feature Bypass Vulnerability CVE-2024-30040 (Microsoft, 2024.05.14)。情報未公開、exploit 確認済。
Visual Studio Denial of Service Vulnerability CVE-2024-30046 (Microsoft, 2024.05.14)。情報公開済、exploit 未確認。 Exploitation Less Likely と判定されている。
Windows DWM Core Library Elevation of Privilege Vulnerability CVE-2024-30051 (Microsoft, 2024.05.14)。情報公開済、exploit 確認済。
なお、VPN の件はまだ直り切っていない模様です。
VPNに接続できない不具合、まだ直っていないとの報告。Windows11 / 10 / Serverで発生 (ニッチなPCゲーマーの環境構築Z, 2024.05.17)
関連:
May 2024 Security Updates (Microsoft)
Microsoft May 2024 Patch Tuesday (SANS ISC, 2024.05.14)
【Windows11】 WindowsUpdate 2024年5月 不具合情報 - セキュリティ更新プログラム KB5037771 [Update 3] (ニッチなPCゲーマーの環境構築Z, 2024.05.17)
【Windows10】 WindowsUpdate 2024年5月 不具合情報 - セキュリティ更新プログラム KB5037768 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.05.17)
関連:
Windowsの新たなゼロデイ脆弱性を悪用したQakBot攻撃を発見 (Kaspersky, 2024.05.16)。 CVE-2024-30051 の件。
CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect (2024.04.15)
関連:
Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC, 2024.04.25 更新)
更新: 2024年4月25日追記
2024年4月23日(現地日付)、Palo Alto Networksは本脆弱性を悪用する攻撃を受けた場合の対処方法や手順に関する情報を公開しました。侵害のレベルに応じて推奨する対処方法が掲載されています。同社が提供する最新の情報をご確認の上で、必要な対処の実施もご検討ください。
Palo Alto Networks
How to Remedy CVE-2024-3400
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices (Volexity, 2024.05.15)。log とネットワークモニタリングによる侵害検出の話。
git: 5 vulnerabilities fixed (oss-sec ML, 2024.05.14)。 Git 2.45.1 / 2.44.1 / 2.43.4 / 2.42.2 / 2.41.1 / 2.40.2 / 2.39.4 で対応されている。
「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開 (窓の杜, 2024.05.15)
「Acrobat Reader」「Illustrator」などに脆弱性 ~Adobeの月例セキュリティ情報 8製品でセキュリティアップデートが実施、最大深刻度は「Critical」 (窓の杜, 2024.05.15)。Priority は全て 3。
そういえば出てました。
Firefox 126 がリリースされた (mozillaZine, 2024.05.15)
新機能: 「サイト追跡を除いてコピー」でネスト化された URL からパラメーターを除去できるようになった。大手ショッピングサイトなど 300 以上のサイト追跡パラメーターの除去にも対応し、リンクの共有の際にサイト追跡を気にする必要がなくなる
Firefox for Android 126 がリリースされた (mozillaZine, 2024.05.15)
Thunderbird 115.11.0 がリリースされた (mozillaZine, 2024.05.15)
出てました。セキュリティ修正はありません。
Firefox 126.0.1 がリリースされた (mozillaZine, 2024.05.29)
Chrome 125.0.6422.60 (Linux) および 125.0.6422.60/.61 (Windows / Mac) が stable に。9 件のセキュリティ修正を含む。内 1 件 CVE-2024-4947 は 0-day。関連:
Chrome for Android, Update (Google, 2024.05.15)。Chrome 125 (125.0.6422.53) for Android。
Release notes for Microsoft Edge Security Updates: May 16, 2024 (Microsoft, 2024.05.16)。 Edge 124.0.2478.109 (Stable) / 124.0.2478.109 (Extended Stable) で CVE-2024-4947 に対応。
》 早大入試 スマートグラスでSNS流出か 18歳受験生を書類送検へ (NHK, 5/15)。今年 2 月の入試。
Xを見て、試験問題の流出に気付いた人が大学に情報提供し、受験生が別の学部の試験に訪れた際にスマートグラスを着用しているのを大学職員が確認し、警視庁に相談していました。
昨日今日バレた話ではないと。
この受験生は外部の人が書き込んだ答えをもとに解答用紙に記入しましたが、入試は不合格だったということです。
まあ、バレてるし、そうなるわなあ。
「劇症型溶血性レンサ球菌感染症」報告 過去最多ペースで増加 (NHK, 5/15)
クローズアップ現代 急拡大・致死率3割「劇症型溶連菌」 原因は?対処法は? (NHK, 5/14)
危険な感染症「劇症型溶連菌」 命を守るためには? (NHK, 5/14)。妊婦さんの具体事例が取りあげられている。
劇症型溶血性レンサ球菌感染症 (STSS)とは (東京都保健医療局, 4/25 更新)
・劇症型溶血性レンサ球菌感染症は、レンサ球菌による感染症です。
・通常は、レンサ球菌に感染しても無症候のことも多く、ほとんどは咽頭炎や皮膚の感染症にとどまりますが、まれに通常は細菌が存在しない組織(血液、筋肉、肺など)にレンサ球菌が侵入することで、急激に症状が進行する重篤な疾患となることがあります。
※小児が多く罹患する A群溶血性レンサ球菌咽頭炎 (溶連菌感染症)とは区別されます。
・子供から大人まで広範囲の年齢層に発症しますが、特に大人に多いのが特徴です。
・発病から病状の進行が非常に急激かつ劇的で、発病後数十時間以内には筋肉周辺組織の壊死を起こしたり、血圧低下や多臓器不全からショック状態に陥り、発病後数十時間で死に至ることも少なくありません。
「劇症型」の文字は伊達ではない模様。
東京都感染症マニュアル「劇症型溶血性レンサ球菌感染症」(令和6年4月版) (東京都保健医療局)
感染経路
わずかな皮膚損傷(創傷)が侵入門戸となるが、飛沫感染によっても感染する。多くは感染経路が不明である
国内における劇症型溶血性レンサ球菌感染症の増加について (国立感染症研究所, 3/29)
》 ランサムウェア攻撃による身代金支払い額、前年の5倍に~ソフォスが調査結果を発表 (Internet Watch, 5/10)。儲かってますねえ。
同調査は、ソフォスが調査会社に依頼し、北米、中南米、欧州、アジア太平洋地域の14カ国の組織のIT/サイバーセキュリティ部門のリーダー5000人を対象として、2024年1月~2月に実施したもの。
ランサムウェア攻撃を受けた組織は調査対象の59%。これは、過去2年の調査(2023年、2022年ともに66%)から、わずかに減少した。
(中略)
身代金を支払ったと回答した回答者は1097人で、支払った金額の平均値は396万917ドル。中央値は200万ドルで、前年調査時の40万ドルから5倍に増加している(平均値では同2.6倍)。平均して要求額の94%が支払われているが、売上高が最も大きな回答者グループ(50億ドル以上)以外では、要求額よりも支払額の方が少ない。一方で、売上高が最も大きな回答者グループは、要求額よりも実際に支払った額の方が大きい。
》 「研究費11億円以上の不正使用」「論文4本の捏造」――京大の霊長類研究所が“解体”されたワケ 元教授らが論文発表 (ITmedia, 5/10)。すさまじい。
A教授を中心とする研究グループは、10~15年度にかけて、総額17億円を超える大規模な研究費を獲得し、認知研究のための飼育チンパンジー用の大型ケージの建設を計画していた。
11年5月から、大型檻の建設業者を選定する入札が4回行われた。入札ではX社やY社が落札。しかし、Y社に関してはA教授とB准教授(のちに教授)から予算額を事前に知らされていたにもかかわらず、赤字承知で応札し、工事を行った。その結果、Y社の工事した3件の合計落札額2億9900万円に対して、受注額の2~3倍の工事をしたことになり、Y社は合計4億9900万円の赤字を抱えることになった。
B准教授は、後の工事で埋め合わせをするからと約束し、予算を超える工事をY社に要求していた。しかし、超過費用の埋め合わせはわずかしか実行されず、A教授とB准教授は研究費の不正経理を34件も繰り返した。例えば、1つの工事に2回の発注、購入物品を別の目的に使用、架空取引、談合、入札妨害などである。
出ました。
全体
iOS / iPadOS
関連
忘れ物防止タグ「AirTag」には、特定の人物の持ち物にこっそりしのばせることで位置の追跡(トラッキング)に悪用できてしまうという問題があったが、AppleとGoogleの協力により、「iOS 17.5」と「Android 6.0」以降でトラッキングを検出してデバイスへ警告を送信できるようになった。Apple以外が製造しているBluetoothトラッカーでも、今後の対応が予定されている。
tvOS
watchOS
macOS
Safari
Chrome 124.0.6367.207/.208 (Mac / Windows) および 124.0.6367.207 (Linux) 公開。 0-day 欠陥 CVE-2024-4761 を修正。関連:
Chrome 124.0.6367.201/.202 で修正された 0-day は CVE-2024-4671 。 今回のは CVE-2024-4761。 ややこしいね!
Chrome for Android Update (Google, 2024.05.13) 。Chrome 124 (124.0.6367.179) for Android。
JVNTA#94876636 DHCPのオプション121を利用したVPNのカプセル化回避の問題 (JVN, 2024.05.10)。これ、脆弱性と呼ぶべきなんですかねえ。
Androidは DHCPオプション121をサポートしていないため、本問題の影響を受けないとのことです。
Linux環境では、VPNを使用するすべてのアプリケーションに対して、物理インターフェイスを含む別の名前空間にトラフィックを送信する前にネットワーク名前空間を使用する機能が存在します。この機能を利用することで本問題の影響を回避することができます。
詳細は、WireGuard’s documentationを参照してください。
へぇ……。
》 北海道大の教授会が「内部基準」作成、一部教員に研究室業務させず (毎日, 5/9)。ひでえ。
なぜこのような基準を設けたのか。3月、講座委員会のメンバーである石森浩一郎副学長と副化学部門長(当時)の松井雅樹教授、基準をまとめた20年度当時の部門長、村越敬教授が取材に応じた。
松井氏は「人事の活性化」を理由に挙げた。「同じ分野でも新任教授と研究方針の相違などで研究室の運営が難しくなるケースも出てくる。一つのオプションとして、いわゆる旧スタッフには独立した形で研究室業務に振り回されることなく研究に集中できる環境を構築したいということだ」と説明した。
「研究に集中できる環境」= 4平方メートルのタコ部屋。狂ってる。
》 ソニーは「着るエアコン」を本気でビジネスにしようとしている 新作はどう進化したか、実機をチェックする (ITmedia, 5/10)。REON POCKET5。
今回最大の改善点は、冷却ファンだ。これまでは汎用品を組み込んでいたが、冷却ファンのメーカーが変更され、専用設計品を搭載した。これにより回転数を上げなくても風量が出るため、電力効率が劇的に改善した。電力効率1.8倍の秘密は、ほぼここだという。 (中略) 流体軸受けを採用したことで、ファン音も静かになった。
》 Google Cloud、豪年金基金のアカウントを誤削除 予備も誤削除 他社でのバックアップでなんとか復旧 (ITmedia, 5/13)
Chrome 124.0.6367.201/.202 (Mac / Windows) および 124.0.6367.201 (Linux) 公開。 0-day 欠陥 CVE-2024-4671 を修正。関連:
Chrome for Android Update (Google, 2024.05.10)。Chrome 124 (124.0.6367.171) for Android。
すでに悪用の報告あり、「Microsoft Edge」に4件の脆弱性 v124.0.2478.97への更新を (窓の杜, 2024.05.13)、 Microsoft Edge セキュリティ更新プログラムのリリースノート (Microsoft)
》 損保4社「政策株ゼロと営業協力見直し」の前途多難 「ごまかしと過剰な協力」に金融庁が目を光らす (東洋経済, 3/5)。関連:
損保大手4社にカルテル疑惑、引き起こした「業界の特徴」 (ニュースイッチ, 2023.10.21)
大手損害保険会社に対する行政処分について (金融庁, 2023.12.26)
金融庁、損保大手4社に業務改善命令 保険料の事前調整問題で (ロイター, 2023.12.26)
損保大手4社、役員処分132人に 保険料の事前調整問題 (日経, 2/29)
損保の価格調整問題 (日経)
》 改正プロバイダー責任制限法 (情報流通プラットフォーム対処法) 成立
SNS上の誹謗中傷、削減の迅速化へ 違反行為に罰金も 法案が成立 (朝日, 5/10)
SNS上での中傷被害、これで減る? 「プロバイダー責任制限法」改正案が「大きな一歩」と言われるワケ (東京, 5/10)
衆院総務委で参考人として意見を述べた龍谷大の金尚均(キムサンギュン)教授(刑法)は「事業者に対する被害投稿の削除についてはこれまで法の規定がなく、SNS事業者の自主的対応に委ねられていた。今回、削除申請の窓口を作り、削除するための審査をさせる点で、従来の日本のインターネット対策から大きく一歩踏み出した」と指摘。「権利侵害情報の拡散を防ぐため、一秒でも早く削除してほしいと願う被害者の要望に具体的に対処できる可能性が出てきた。止まらない被害を食い止める上で、大きな前進だ」と話す。
「プロバイダ責任制限法」は「情プラ法」へ 誹謗中傷対応の迅速化を狙い改正案 (ITmedia, 3/1)。「閣議決定」の段階の記事。
令和6年(2024年)プロバイダ責任制限法改正法案について② (大澤法律事務所, 3/12)。閣議決定し国会に提出した段階の記事。
閣法 第213回国会 議案番号34 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 経過 (衆議院)、 本文及び修正案 (衆議院)
(侵害情報に係る調査の実施)
第二十三条 大規模特定電気通信役務提供者は、被侵害者から前条第一項の方法に従って侵害情報送信防止措置を講ずるよう申出があったときは、当該申出に係る侵害情報の流通によって当該被侵害者の権利が不当に侵害されているかどうかについて、遅滞なく必要な調査を行わなければならない。
(侵害情報調査専門員)
第二十四条 大規模特定電気通信役務提供者は、前条の調査のうち専門的な知識経験を必要とするものを適正に行わせるため、特定電気通信による情報の流通によって発生する権利侵害への対処に関して十分な知識経験を有する者のうちから、侵害情報調査専門員(以下この条及び次条第二項第二号において「専門員」という。)を選任しなければならない。
2 大規模特定電気通信役務提供者の専門員の数は、当該大規模特定電気通信役務提供者の提供する大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数(当該大規模特定電気通信役務提供者が複数の大規模特定電気通信役務を提供している場合にあっては、それぞれの大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数を合算した数)以上でなければならない。
3 大規模特定電気通信役務提供者は、専門員を選任したときは、総務省令で定めるところにより、遅滞なく、その旨及び総務省令で定める事項を総務大臣に届け出なければならない。これらを変更したときも、同様とする。
「大規模特定電気通信役務提供者」は規定数の「侵害情報調査専門員」 を置く必要があるみたい。 「遅滞なく」もなかなかな文句だなあ。
》 新型iPadの動画、批判を受けてアップルが謝罪 「的外れだった」 (朝日, 5/10)
》 ロシア接続阻止せよ、スペースXと米国防総省のスターリンク共同戦線 (ブルームバーグ, 5/10)。対抗処置がとられた模様。
国防総省のジョン・プラム宇宙政策担当次官補が明らかにした。退任が決まっているプラム氏はインタビューで、「ロシアによるスターリンク端末の不正使用を防ぐべく、米政府はウクライナ政府とスペースXとの協力に力を入れている」と述べた。
関連:
》 デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】 (ITmedia, 5/10)
》 イズミのランサムウエア被害はVPN経由、最大770万件超のデータが閲覧された可能性 (日経 xTECH, 5/9)。関連:
システム障害に関するお詫び (イズミ, 2/16)
システム障害の経過について (イズミ, 2/16)
システム障害の経過および休止中のサービスに関するお知らせ (イズミ, 2/20)
第三者によるランサムウェア感染被害および経過に関するお知らせ (イズミ, 2/22)
システム障害の経過および復旧見込について (イズミ, 2/22)
当社システムに対する外部攻撃に伴う個人情報に関するお知らせとお詫び (イズミ, 5/9)
外部専門機関に調査を依頼したところ、外部からの通信の受け口となる通信装置(VPN装置)を狙って直接当社グループのサーバに侵入され、一部データが使用不能になったとの報告を受けております。
(開示事項の経過)第三者によるランサムウェア感染被害に伴う個人情報に関するお知らせ (イズミ, 5/9)
》 火災保険料10%前後引き上げ 損保大手、10月から (日経, 5/8)
保険料の引き上げは直近5年で4回目だ。平均11〜13%だった前回の2022年10月に続き、2回連続で高い上昇率となる。
》 <PR>NTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」 (Business Network, 3/19)
》 「光回線電話のみで代替すると770億円の赤字になる理由は?」 NTTがユニバ試算結果の詳細を公表 (Business Network, 5/9)。「同社は2024年5月8日 (中略) 説明会を開催した」。 資料どこかで公開されてるんだろうか。
》 リスの鳴き声、AIで判別 「ケーブルかじられネット不通」防ぐ調査 NTT東 (ITmedia, 5/7)
》 欧州サイバーレジリエンス法(CRA)の既存標準規格へのマッピングが公開される (Internet Watch, 5/9)
》 Ask iFixit: プラスチックのべたつきを直すには? (iFixit, 5/3)
これを避ける最善の方法は、ソフトコート製品を買わないことです。 (中略) 一度でもガジェットをこすってガンコな汚れを落とす経験をしたら、もう二度とソフトタッチの製品を買うことはないはずです。
確かに……。とはいえ、触ってから買える機会がなかなかないんだよなあ。
試す順序としてはこうだそうです。
これでも駄目ならこんなものもあるそうです。
》 グリコ、通期業績予想を下方修正 営業・経常ともに約50億円減 システム障害の影響で (ITmedia, 5/8)。あいかわらず出荷再開時期は未定のまま。
》 新iPad Proの動画「Crush!」炎上、世界に広がる (ITmedia, 5/9)。「逆再生したら明和電機」なのは、すごい発見だ。
About the security content of iTunes 12.13.2 for Windows (Apple, 2024.05.08)。CVE-2024-27793
中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性 攻撃対象は“10億人規模”と試算 (ITmedia, 2024.05.09)。アプリ - クラウド間の通信を盗聴されると通信が解読され得るという話。
同時に調べた Huawei 製品にはこの欠陥はなかった。
The not-so-silent type - Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers (CitizenLab, 2024.04.23)。詳細解説。
結局、記事執筆時点で直っているのは Tencent と iFlytek だけなのかな。
》 「Appleに失望」新iPad Proの動画炎上 楽器やカメラをプレス機で破壊 (ITmedia, 5/8)。こういう演出は、ジョブズならやらないよね.
》 サイバー犯罪集団ロックビット、ランサムウェア開発のロシア人を起訴 (朝日, 5/8)。関連:
U.S. Charges Russian National with Developing and Operating LockBit Ransomware (justice.gov, 5/7)
ランサムウェア「LockBit」被疑者の起訴等について (警察庁, 5/8)
日本警察の協力
関東管区警察局サイバー特別捜査部と各都道府県警察は、我が国で発生 したランサムウェア事案について、外国捜査機関等とも連携して捜査を推 進しており、捜査で得られた情報を外国捜査機関等に提供してい る。
アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について (CVE-2024-32849) (トレンドマイクロ, 2024.04.23)。 修正済みバージョンは 17.7.1979。自動配信で対応済。
Security Bulletin: NVIDIA ChatRTX - May 2024 (NVIDIA, 2024.05.01)。ChatRTX 0.2.1 以前に 3 件のセキュリティ欠陥 CVE-2024-0096 CVE-2024-0097 CVE-2024-0098 。 ChatRTX 0.3 で対応。
Androidの5月セキュリティ更新が公表、最大深刻度は「High」、デバイスメーカーから提供されたら早めの適用を (窓の杜, 2024.05.08)。セキュリティ更新プログラムレベル 2024-05-01 および 2024-05-05。
Chrome 124.0.6367.155/.156 (Mac / Windows) および 124.0.6367.155 (Linux) 公開。 2 件のセキュリティ修正を含む。
[TBD][337766133] High CVE-2024-4558: Use after free in ANGLE. Reported by gelatin dessert on 2024-04-29
[TBD][331369797] High CVE-2024-4559: Heap buffer overflow in WebAudio. Reported by Cassidy Kim(@cassidy6564) on 2024-03-26
関連:
Chrome for Android Update (Google, 2024.05.07)。Chrome 124 (124.0.6367.159) for Android。
2024 年 4 月のセキュリティ更新プログラム (月例) (2024.04.11)
2024.04 patch を適用すると VPN 接続で問題が発生?
Microsoftが「2024年4月のセキュリティ更新プログラムの適用後にVPN接続が切断される問題」を公式に認める (gigazine, 2024.05.02)
VPN に関するどのような不具合がどのような頻度で発生していると認識されているのかさっぱりわからないんだよなあ。 なんか最近切れやすくなったような気が? とは思っていたのだけど、そういう話で合ってるのかなあ。
》 「FF14」にDDoS攻撃 日本データセンターにも影響 (ITmedia, 5/7)
》 ユヴァル・ノア・ハラリ「敗北寸前のイスラエル国民への警鐘」 (クーリエ・ジャポン, 5/1)。 元記事: From Gaza to Iran, the Netanyahu Government Is Endangering Israel's Survival (Haaretz, 4/18)
》 iPhone、飛行機から落ちても無傷だったのはなぜ? (Wall Street Journal, 5/7)。 iPhone 14 および Galaxy S23 を 3/30/300 feet から投下。着地地点は草地とアスファルト。 300 feet 落下ならほぼ終端速度だそうで。
》 オレンジジュースが飲めなくなる? 不作と価格高騰でメド立たず…販売休止相次ぐ異常事態 (日刊ゲンダイ, 5/1)
》 Surface IT Toolkit のご紹介 (Windows ブログ, 5/2)
Data Eraser (データ消去ツール)
Data Eraserは、NIST [Special Publication 800-88 Revision 1 NVM Express] フォーマットのコマンドを使用して、Surface デバイスからデータを消去できます。また、記録の保持や監査の目的で使用するデータ サニタイズ証明書を作成できます。この機能は、デバイスの再利用、リサイクル、廃棄にあたって、デバイス上に機密データが残っていないことを証明する場合に役立ちます。
Data Eraser の新機能:
- SSD のワイプ後にサニタイズ証明書を簡単に作成できます。
- ワイプ後のディスク検証を実行できるようになりました。
》 パソコンやタブレット端末の故障相次ぐ 修理・保険費用は6億円超に 1人1台「GIGAスクール構想」の現場は (NHK さいたま放送局, 4/15)
》 当社基幹システム障害に伴う チルド食品(冷蔵品)の出荷停止期間の延長に関するお詫び (江崎グリコ, 5/1)
出荷停止をしている当社のチルド食品およびキリンビバレッジから販売を受託しているチルド商品につきまして、5月中旬の出荷再開を目指しておりました。しかし、問題解消に向けての作業に時間を要しており、この度、出荷停止期間の延長を決定いたしました。現時点での出荷再開時期は未確定です
4/3 の不具合発生から作業してきたが、再開の目処立たず。関連:
江崎グリコ 冷蔵商品の出荷停止 延長決定 来月中の再開目指す (NHK, 5/1)。6/E くらいまではかかるだろうということか。
ブランド牛乳もストップ 江崎グリコのシステム障害、広がる影響 (毎日, 5/2)
加えて新たに影響が明らかになったのが、JAさがのブランド牛乳だ。グリコの製造子会社「グリコマニュファクチャリングジャパン」の佐賀工場では、自社の乳飲料などの製造のほかにJAさがのブランド牛乳「グリコJA牛乳さが生まれ」の製造もしている。システム障害の影響で、学校給食用の200ミリリットル以外は製造停止に追い込まれており「一般家庭用の牛乳は店頭に並んでいない」(JAさが畜産部)という。
江崎グリコの基幹システム移行トラブルについてまとめてみた (piyolog, 4/26)
稼働が1年超遅れたグリコの基幹システム刷新、投資額は当初比1.6倍の342億円に (日経 xTech, 4/22)
【独自】プッチンプリン出荷停止の「主犯」はデロイト!グリコのシステム刷新で1年遅延の末に障害発生“ボロボロ案件”の実態 (ダイヤモンド・オンライン, 4/24)
》 中国を必要とするマスク氏、力学の変化を象徴 (Wall Street Journal, 5/1)
同氏と李首相の会談で明確になったのは、中国がテスラにとって依然極めて重要なのに対し、中国は今や自国のEV・自動運転業界を活気づけるためにテスラをそれほど必要としていないということだ。
》 テスラ充電器部門の大量解雇、EV業界に衝撃走る 全米「標準規格」充電網の構築に大きな打撃か (Wall Street Journal, 5/2)
》 中国不動産バブル、誰も止めようとしなかった (Wall Street Journal, 5/2)
今の中国には、もっと早くそれを抑制する行動を起こさなかったツケが回っている。
中国のデベロッパー50社余りが国際的債務の不履行(デフォルト)に陥った。中国不動産を専門とする民間シンクタンクKeyanによると、約50万人が職を失った。中国全土の約2000万戸の住宅が未完成のままで、完成には4400億ドル(約68兆7000億円)が必要だと試算されている。
主要都市の中古住宅価格は3月に5.9%下落した。デベロッパーへの土地売却による収入を絶たれた地方政府は、債務の支払いに苦しんでいる。かつて国内総生産(GDP)の約25%を占めた不動産関連産業が今や経済成長の足かせとなり、中国経済全体がぐらついている。
》 What We Learned Inside a North Korean Internet Server: How Well Do You Know Your Partners? (38 North, 4/22)。今ごろになって読んでいるのですが、興味深いですね。 北のまる見えクラウドサーバー観察記録。 DeepL 訳:
画像に写っている企業が、自分たちのプロジェクトの一部が北朝鮮のアニメーターに下請けに出されていることを知っていたことを示唆する証拠はない。実際、米国を拠点とするアニメーションを含むすべてのファイルの編集コメントは中国語で書かれていることから、この契約は大手プロデューサーから数段階下流で行われた可能性が高い。
》 テレビはジャニー喜多川氏の死をどのように伝えたか② ―死去翌日、夜のニュース番組の分析から―【研究員の視点】#538 (NHK 文研ブログ, 4/30)
前提として一覧表にも記したが、▼1999年から2000年にかけて、週刊文春がジャニー氏による少年たちへの性加害疑惑を告発する報道を展開したこと、▼そして、ジャニー氏側と雑誌の発行元である文藝春秋との間で争われた民事裁判において、2004年2月、最高裁で東京高裁の判決が認められ、ジャニー氏による性加害の事実が司法で認定されたことについて言及した番組は全くなかった。
2019年7月のジャニー氏の追悼に際して、この点が一切触れられていなかったことは、報道の規範からすると不作為だったとみなされるであろう。
それを踏まえたうえで、特集の中で語られたことについては、(1)追悼、(2)功績評価、(3)エンタメ(エンターテインメント)への思い、(4)本人(ジャニー氏)の素顔、の4つのサブカテゴリーに大別できると筆者たちは判断した。
それぞれ、構成する要素を具体的に説明していく。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)