セキュリティホール memo - 2024.07

　このページの情報を利用される前に、注意書きをお読みください。

• 》 避妊法がコンドーム中心の日本　緊急避妊薬が重要な理由 (毎日, 7/31)

  中絶に関する法律の規制が厳しく、配偶者の同意が必要だったり、費用が高額だったりする日本のような国においては、緊急避妊薬の重要度は特に高いです。なぜなら、緊急避妊薬は中絶を予防する最後の手段となるからです。政府は、その認識をもっと強く持つべきでしょう。
  　145カ所の薬局で購入できるということですが、各都道府県に数店舗ずつしかなく、到底、十分な数とは言えません。

• 》 エッフェル塔、不倫疑惑、家宅捜索…離党の広瀬氏、岩手県連に大打撃 (毎日, 7/31)。「しかし元はと言えば、広瀬氏を国政に送り出したのは自民県連だ」。

• 》 日本も将来こうなる？ Wi-Fiジャマーで防犯カメラを無効化する窃盗団、米で警戒を呼び掛け (Internet Watch, 7/30)。電子戦。

  あわせて、警報システムの有線接続について業者に相談することも挙げているが、これについてPCWorldの記事では、Wi-Fiジャマーを使うほど賢い窃盗団であれば住宅全体の電源を切って有線カメラシステムも無効化するなどと指摘し、効果を疑問視している。

• 》 “兵庫のおねだり知事”斎藤元彦と“公務員はタダ働き”大阪維新の凶悪すぎるタッグ…「阪神・オリ優勝パレード」担当はなぜ自死するほど追い詰められたのか (プチ鹿島 / 文春オンライン, 7/30)

• 》 “HDMIケーブルから漏れる信号”を屋外から傍受→モニターの表示内容を盗み見るAI　ウルグアイチームが開発 (ITmedia, 7/30)。HDMI でも AI 学習を使えば TEMPEST できるようです。

• 》 「暴力や虐待が日常茶飯事」八王子・滝山病院の“おぞましい実態”が明るみに…高級スポーツカーを乗り回す院長の“反応”とは (水島 宏明 / 文春オンライン, 7/30)。 ＥＴＶ特集　死亡退院　さらなる闇 (NHK, 6/29) の件。

  　朝倉重延院長には今回と似た事件で報道された過去があった。2001年にはおよそ40人が不審死をとげた埼玉県の朝倉病院の院長だった。患者の身体を違法に拘束。過剰な栄養点滴など不必要な治療を行い、診療報酬を不正請求したことが発覚。朝倉病院は事実上廃院に。院長は保険医の資格を取り消された。その後、保険医の資格を再取得。5年前に父親の死後に滝山病院の院長を引き継いでいた。

  　圧巻は取材班が入手した「厳秘」と記された病院経営の内部文書だ。
  (中略)
  　役員報酬だけで毎年5000万円、6000万円という内部資料の証拠映像に加え、高級スポーツカーの映像。この2つの映像が雄弁に語っている。
  　事件発覚後に「精神障害者の家族会」の関係者が初めて病院内に入ると廊下にエアコンがなく、シャワールームも狭いなど他では考えられない劣悪さに衝撃を受けたという場面があるが、患者の環境改善のための病院設備には費用をかけなかった。

• 》 取得は任意なのに…　本人確認にマイナ義務化で「外堀埋められた」 (毎日, 7/30)

  マイナンバーカードを巡る政策に詳しい名古屋大大学院法学研究科の稲葉一将教授（行政法学）は「最も問題なのは（義務化を）閣僚会議で決定し、国会で審議を尽くしていない点だ。政府とは異なる意見が反映されないなど、民主主義的な進め方だろうか」と性急なプロセスに疑問を呈する。

• 》 Bug 280203 - security/openssh-portable blacklistd extra-patch broken with 9.8.p1 (freebsd.org)。現状、blacklistd 対応版をつくろうとすると失敗するよ。

• 》 マスク氏、ハリス副大統領の偽動画をXで拡散　規約違反の可能性 (朝日, 7/29)

  元の投稿では「ハリス陣営の広告のパロディー」と書かれていたが、マスク氏は26日、パロディーとは言及せず、「これは素晴らしい」とのコメントと共に動画をシェア。

  　だめだこりゃ。

• 》 Google Planned to Sponsor IDF Conference That Now Denies Google Was Sponsor (The Intercept, 7/25)。しかし IDF と Google が親密な関係にあることは明らかだ、という話。

• 》 インターネット出願ソフト用マイナンバーカード電子証明書更新における注意点 (栗原潔のIT弁理士日記, 3/4)

  役所での更新手続自体はすぐに終るのですが、その後、インターネット出願ソフトを使用するときに、改めて利用者登録手続（電子証明書の追加）が必要になります。インターネット出願ソフトにログインすると指示が出ます。平日の午前中に手続してもその日の18時にならないと追加されません（追記：という旨のメッセージが出ましたが実際には13時には有効になっていました）。ということで、電子署名書更新後すぐに何かの手続が必要といったパターンの場合は注意が必要かと思います。

• 》 敦賀原発2号機、新規制基準に不適合　規制委「活断層否定できず」 (毎日, 7/26)。昔からずーーーーーーーーーーーーーーーーーーっと言われてきた件。 関連:

  • 敦賀発電所敷地内破砕帯の調査に関する有識者会合 (原子力規制委員会 / WARP)

  • 敦賀発電所敷地内破砕帯の調査に関する有識者会合　評価会合 (原子力規制委員会 / WARP, 2012.12.10)。 ここで死んだはずなのに、その後もうだうだ言い続けてきたんだよな。

  • 敦賀原発終了のおしらせ (memo, 2012.12.11)。リンク先はほぼ死んでいるなあ。

  • 古賀茂明「敦賀原発2号機直下の活断層の意味」 その1～3 (現代ビジネス, 2012.12.16)

  • 日本原子力発電(日本原電)敦賀原発　活断層問題 (地震がよくわかる会)

  • 活断層か否かめぐり背水の陣の敦賀原発　空転する議論、新たな懸念も (朝日, 2023.12.16)

    2号機の原子炉直下の断層について、規制委の有識者会合は、13年と14年の2度、「将来活動する可能性のある断層」と指摘した。原電が審査を申請する前のこと。

    • 敦賀発電所敷地内破砕帯の評価について (原子力規制庁, 2013.05.22)

    • 日本原子力発電株式会社敦賀発電所の敷地内破砕帯の評価について（その２） (原子力規制庁, 2015.03.25)

  • 敦賀原発、活断層｢否定は困難｣　原子力規制委員会が見解 (日経, 5/31)

  • 敦賀原発2号機､新基準不適合　規制委｢活断層否定できず｣ (日経, 7/26)

• 》 Preliminary Post Incident Review: Content Configuration Update Impacting the Falcon Sensor and the Windows Operating System (BSOD) (CrowdStrike, 7/25)

  Systems in scope include Windows hosts running sensor version 7.11 and above that were online between Friday, July 19, 2024 04:09 UTC and Friday, July 19, 2024 05:27 UTC and received the update. Mac and Linux hosts were not impacted.

  　トレンドマイクロのときは、CNET によると 「23日午前7時33分から9時2分の間」。 問題発生を認識して止めるまでには、1時間ちょっとくらいは必要なようです。

  What Happened on July 19, 2024?
  On July 19, 2024, two additional IPC Template Instances were deployed. Due to a bug in the Content Validator, one of the two Template Instances passed validation despite containing problematic content data.
  
  Based on the testing performed before the initial deployment of the Template Type (on March 05, 2024), trust in the checks performed in the Content Validator, and previous successful IPC Template Instance deployments, these instances were deployed into production.

  　直接的には Content Validator の不具合だそうです。

  　改善策がいくつも記載されているのだけど、

  Implement a staggered deployment strategy for Rapid Response Content in which updates are gradually deployed to larger portions of the sensor base, starting with a canary deployment.

  　段階的に配備することで問題を発見しやすくすると。

  Third Party Validation
  

  • Conduct multiple independent third-party security code reviews.
  • Conduct independent reviews of end-to-end quality processes from development through deployment.

  　第三者によるコードレビューも行うそうです。

• 》 イセトーのランサムウェア感染と情報漏えいに関してのまとめ (Rocket Boys, 7/24)。関連:

  • イセトーへのサイバー攻撃、情報流出30万件超に　市民の所得情報も (朝日, 7/3)

  • イセトー情報流出問題、90万件超に　識者「2015年と似た構図」 (朝日, 7/11)j。1週間で既知の漏洩規模が 3 倍に。 「ただ、同社は公の場で状況を説明しておらず、被害の全容は明らかでない」

  • サイバー攻撃を受けたイセトー、データ消去を怠る…氏名や住所、納税額など１５万件流出で市長「厳正に対処」 (読売, 7/12)

  • 情報流出のイセトー｢我々の不手際｣　小谷達雄会長が謝罪 (日経, 7/23)

• 》 「サードパーティークッキーの廃止の撤回」ってどういうこと？ (IIJ Engineers Blog, 7/25)

• 》 OpenSSL New Governance Structure and Two New Projects (OpenSSL, 7/24)。iida さん情報ありがとうございます。

• 》 機能性表示食品、「根拠」に社員の論文のケース　「紅麴」サプリも (朝日, 7/29)。機能性表示食品方面では、まともに査読されていないような論文誌が大流行りな模様。

  　京都大のグループは2月、機能性表示食品の根拠とされた論文32本を調べ、うち7割が「（機能性食品の）有利な結果ばかりを強調している」と指摘する論文を発表した（https://doi.org/10.1016/j.jclinepi.2024.111302）。体重や腹囲などに変化がなかったことには触れず、内臓脂肪が減ったという結果だけを強調しているといった問題がみられたという。
  　32本の論文のうち18本が同じ医療専門誌に掲載されていた。このうち問題が指摘されたものは17本あった。
  (中略)
  　朝日新聞は、消費者庁のデータベースにある約8千件の届け出情報から、各製品が健康増進効果の根拠としている「採用文献リスト」を独自に調べた。リストが見つかった7389件の届け出のうち、この専門誌に載った論文を採用しているものが少なくとも3942件（53%）あった。

• 》 KDDIら、国内初Starlink活用による建設中トンネル坑内の通信エリア化を実現 (Business Network, 7/25)。 ファルコン9 の2段目失敗によって Starlink 衛星の増設も止まってしまっているんだよなあ。

• 》 パリ五輪“不安定化”計画か　ロシア人逮捕 (日テレ, 7/25)

• 》 「衝撃。デカすぎる」 ディズニーのクルーズ船にザワつきまくる日本の船業界 それは脅威か、希望か (乗りものニュース, 7/17)。「日本船籍船で14万総トンは例がない」「3300億円という投資額は開園当時のディズニーシーの総工費と同規模」

• 》 ジェットフォイル「セブンアイランド愛」漂流方面

  • 航行不能のジェット船 出港からほぼ1日たち伊豆大島に入港 (NHK, 7/25)。「一度、えい航のひもが切れてしまったときは時間が延びると知って絶望しました」。曳航は簡単じゃないんだよね。

  • 航行不能の高速ジェット船、曳航作業が難航、伊豆大島への到着見込みは25日午前4時でさらに遅れる可能性も (TBS / Yahoo, 7/24)

    船は千葉県の野島崎沖の南西を漂流していましたが、通報を受けた海上保安庁の巡視船「おきつ」が現場付近から曳航し、東海汽船が手配したタグボートに牽引を引き継いだということです。
    東海汽船などによりますと、その後、タグボートと船を繋ぐロープがスクリューに巻き込まれて曳航が難しくなり、海上保安庁の別の巡視船「かの」が曳航、現在はさらに別のタグボートが牽引している状況です。

  • ボーイング929 (ウィキペディア)、 “ボーイングが作った船”ジェットフォイル、実はかなり「旅客機」っぽい!？ 飛行機目線で乗船 (乗りものニュース, 2022.10.09)

  • 【解説】油なぜ漏れた？　考えられることは…　高速ジェット船一時漂流　乗客乗員121人、体調不良者も (日テレ, 7/24)

    東海大学海洋学部　山田吉彦教授
    「おそらく点検はしっかりしていても、この船、かなり古いです。造ってから44年たっている船で、途中補修もしていますが、どうしても経年劣化で、なかなか気付かない傷やゆがみが出ていた…あるいはひずみが中に出ていた可能性があります。それが高速走行に入った段階で、限界を超えてしまったということが考えられます」

  • 一時漂流の「高速ジェット船」機関トラブルが他人事でないワケ 維持更新できる人材だいじょうぶ？ (乗りものニュース, 7/25)

    　実際、このたび航行不能になった「セブンアイランド愛」は1980年10月竣工（東海汽船での運航は2002年より）で、すでに40年以上も使われ続けているベテラン船です。種子屋久高速船が運航する「トッピー7」は、さらに古い1979年竣工と、老朽化が課題になっています。
    　しかし、代替船を検討する際にネックになるのが、50億円を超える高額な船価です。

  • 「ジェットフォイル」建造レポート ～その特性と新造船「セブンアイランド結」の紹介～ (JRTT 鉄道・運輸機構)。ひさびさの新造船。

• 》 ファルコン9 方面。 鬼のような安定性を誇っていたファルコン9 だったが、7/11 の打ち上げにおいて第2段に不具合が発生、ペイロードの予定軌道投入に失敗。

  • スペースX「ファルコン9」ロケット、打ち上げ失敗 - 考えられる影響は？ (鳥嶋真也 / マイナビニュース, 7/23)

  • STARLINK MISSION (SpaceX, 7/11)

  • The FAA responding to NSF (twitter, 7/12)

  • The FAA responding to NSF (twitter, 7/17)

  • 米「スペースX」 主力ロケット打ち上げ失敗 液体酸素漏れる (NHK, 7/13)

  • スペースＸ「ファルコン９」、7年ぶり軌道投入失敗　再点火できず (ロイター, 7/14)

  • 「ファルコン9」不具合、 スペースX頼みの危うさ露呈 今後のゆくえは？ (MIT Technology Review, 7/23)。ファルコン9 は優れた機体だが、それだけでは単一障害点になりかねないんだよなあ。

    FAAが7月11日に公開した声明は、12日にはXで広まった。FAAは、今回発生した不具合を認識しており、調査が必要だとしている。「今回の不具合に関連するシステム、プロセス、手順が公共の安全に影響を及ぼさないとFAAが判断することが、打ち上げ再開の前提となる」と声明は述べている。
    
    スペースXは調査に協力する意向を示している。(中略) 一方、スペースXは、調査期間中もファルコン9の運用を継続することを求めている。「FAAはこの要請について検討しており、検討プロセスのあらゆる段階で安全を重視する」とFAAは声明で述べた。

• 》 【ヘリ ライブ】伊豆諸島向かうジェット船漂流 乗客乗員121人 (NHK, 7/24)。ジェットフォイル「セブンアイランド愛」 が機関故障により漂流。 巡視船などにより曳航中。

  • 【第一報】7/24(水)セブンアイランド愛　機関故障に伴う欠航について (東海汽船, 7/24)

• 》 事実検証委員会の調査報告を踏まえた取締役会の総括について (小林製薬, 7/23)。調査報告書が添付されている。

• 》 個人情報保護法第2期「3年ごと見直し」が佳境に差し掛かっている (高木浩光＠自宅の日記, 7/7)

• 》 進化するロシアの無人機 部品に“ラズパイ”も？ (NHK, 7/22)

• 》 東海道新幹線 豊橋駅～三河安城駅間の保守用車脱線について (JR東海, 7/22)。新幹線を止めた件。 砕石運搬散布車 x 6 + モータカー (2+1) が停止中のマルチプルタイタンパーに衝突。 モータカーが 1 軸脱輪、 マルチプルタイタンパーが 3 軸脱輪 (!)。

  • 新幹線 浜松-名古屋 終日運転取りやめ 脱線車両の運び出し終了 (NHK, 7/22)

    JR東海は会見で、追突した保守用の車両ではブレーキ操作が行われていたものの何らかの原因で速度を落とせなかったと明らかにしました。

    操作が甘かったのか、装置不具合なのか、両方なのか。

    JR東海は記者会見で、脱線した保守用の車両を線路上から撤去する作業が当初の見込みからずれ込んだことについて、「衝突した保守用の車両どうしを切り離す作業や漏れた油を除去する作業、損傷した枕木を20本ほど交換する作業などに時間がかかった」と述べました。

    マルチプルタイタンパーが 3 軸脱輪するほどの衝撃ですからね……。

  • 保守用車両2台が衝突し脱線…周辺住民「寝ててドーン!で起きた」東海道新幹線の一部運転見合わせ 再開見通せず (東海テレビ / Yahoo, 7/22)

  • 【動画で見る】保守用車両2台が衝突し脱線…周辺住民「寝ててドーン!で起きた」東海道新幹線の一部運転見合わせ 再開見通せず (東海テレビ / YouTube, 7/22)。砕石運搬散布車にはバラストがいっぱい積まれているのがわかる。

  • 時速40キロで衝突 保守車両同士の事故で東海道新幹線“大混乱”炎天下で復旧作業も…遅れの要因は「壊れ方が思ったよりひどかった」【news23】 (TBS, 7/23)、動画

    22日午前3時37分ごろ、保守用の車両が前に止まっていた別の保守用車両に追突し、脱線しました。JR東海によると、ブレーキをかけたものの、何らかの理由で減速せず、時速40キロで衝突したということです。

    「保守用車の壊れ方が、当初思っていたよりひどかった。当初もくろんでいた走行スピードより半分ぐらいのスピード。まったく想定していなかった。線路設備も一部損傷しており、枕木を20本ほど交換しなきゃいけない。もろもろ行う中で時間を要した、誠に申し訳ない」

  • 東海道新幹線の保守用車両の事故があった現場。後方は名古屋方面=2024年7月22日午前9時49分、愛知県蒲郡市神ノ郷町舟川原、朝日新聞社ヘリから、上田幸一撮影 (朝日, 7/22)。見通しはよさそうな場所のように見える。夜間というのはあるのだが。

  • 東海道新幹線運休で25万人に影響　「大変重く受け止める」　国交相がJR東海に原因究明と再発防止を指示 (テレビ静岡 / Yahoo, 7/23)

• 》 鉄道の保守作業に適したアシストスーツの開発について (JR東海, 7/23)。上腕部をアシスト。

• 》 旧ビッグモーター不正「6.5万件」と損保認定　会社は調査打ち切り (朝日, 7/22)

• 》 「弥助は侍」という偽史を広めたロックリーは罪に問えない事を法学の専門家が解説 (togetter, 7/18)

• 》 「旧ジャニーズ問題を忘れてはいけない」カンニング竹山が今言いたいそのワケは？ (文化放送, 7/22)

• 》 CrowdStrike 方面

  • Technical Details: Falcon Content Update for Windows Hosts (CrowdStrike Blog, 7/20)。DeepL 訳:

    チャネルファイル291は、ファルコンが Windowsシステム上で名前付きパイプ1の実行をどのように評価するかを制御する。 名前付きパイプは、Windowsにおける通常の、プロセス間、またはシステム間の通信に使用される。
    
    UTC 04:09に発生したアップデートは、サイバー攻撃で一般的なC2フレームワークによって使用されている、新たに観測された悪意のある名前付きパイプを標的としたものでした。この設定更新は、オペレーティングシステムのクラッシュを引き起こすロジックエラーを引き起こしました。

  • Microsoft、CrowdStrikeブルスク対策に第3の復旧手段を公表 ～USB禁止環境向けの奥の手　 ネットワーク経由で起動するPXE復旧オプション (窓の杜, 7/23)

  • 世界大混乱の元凶、謎のセキュリティー企業　クラウドストライクの誤算 (日経ビジネス, 7/22)

  • クラウドストライクＣＥＯに議会公聴会での証言要請、米下院委員会 (Bloomberg, 7/23)

  • クラウドストライクの大規模障害、損失１６００億円か　賠償責任の負担先は？ (CNN, 7/22)

  • クラウドストライク関連の世界的システム障害、フライト欠航まだ続く (CNET, 7/23)

  • 大規模システム障害で米国が大混乱、「クラウドストライクショック」いまだ収まらず (日経 xTECH, 7/22)

  • 数百台のPOSレジを手作業で復旧、多くの国内企業がWindows大規模障害に直面 (日経 xTECH, 7/22)

  • 日本マクドナルドのシステム障害、4日目に突入しても全面復旧せず (日経 xTECH, 7/22)

• 》 「Google URL Shortener」（goo.gl）で作成された短縮URL、リダイレクト終了へ (@IT, 7/23)。あと 1 年ですか。 このページに記載していた短縮 URL (http://goo.gl/pwSG) もコメントアウトしました。

  　関連: Google、URL短縮サービス「goo.gl」を一般公開 (Internet Watch, 2010.10.01)

• 》 日テレ、ドラマ制作の指針を発表　「セクシー田中さん」問題うけ　放送の1年前までに原作側と基本合意など (ITmedia, 7/22)

  • 日本テレビドラマ制作における指針 (日テレ, 7/22)

  • 当社刊行作品の映像化に関する、今後の指針について (小学館, 6/3)

• 》 Google、サードパーティCookie廃止方針を変更　新たなユーザー選択肢を導入へ (ITmedia, 7/23)。3rd party cookie がいかにオイシイものだったか、という話でもあるよなあ。

• 》 Intel、第13/14世代Coreにおける不安定動作の根本原因を解明。8月にパッチ提供 (PC Watch, 7/23)

  　関連: Intel、第13～14世代CPUが不安定になる原因を特定したと発表。しかし、肝心なことは抜け落ちている (ニッチなPCゲーマーの環境構築Z, 7/23)

  この発表には非常に大事なことが抜け落ちています。このマイクロコードにより、影響を受けたCPUが正常に動作するようになるのかどうかです。

• 》 Wi-Fi 7対応でも「320MHz幅」でつながるPCとつながらないPCがある、謝罪と問題の整理 (Internet Watch, 7/22)

  　まずは謝罪から。
  　筆者がこれまでに本誌で解説したWi-Fi 7関連のレビュー記事で、320MHz幅接続での速度をテストしたものがあるが、これらのテストで使用した機材は、技術基準適合証明で320MHz幅が許可されていない製品であった。
  　具体的には、MSI Prestige-16-AI-Studio-B1VFG-8003JPで、筆者が個人的に2月に購入したPCとなる。
  　このPCには、Killer Wi-Fi 7 BE1750w （Intel BE200D2W）が搭載されているのだが、筆者が購入したPCの底面に記載されている技適番号は「003-230204」となっており、下図のように6GHz帯に関しては160MHz幅までが許可されている。
  　このIntel BE200D2Wには、もうひとつ「003-240053」技適番号があり（5月27日付）、こちらは「Ｄ1Ｄ，Ｇ1Ｄ　6.105ＧＨz，6.265ＧＨz　0.000195Ｗ／ＭＨz」という記載がある通り、320MHz幅の2つのチャネルが許可されている。
  　昨年末に国内で320MHz幅が認可され、筆者が購入した当該PCが発売されたのが2月8日だったので、勝手に320MHz幅に対応済みと考えていたが、実際はそうではなかったわけだ。

  　いやいやいや……。こんなん普通は気付かんやろ……。

  　しかしながら、ややこしいのが、この状況が現在は変わっていることだ。
  　Intel BE200D2W用のドライバーは、その後、「23.30.0」「23.40.0」「23.50.0」「23.60.1」とリリースされており、23.30.0以降のドライバーでは、以前のような特定設定での320MHz幅接続はできないように制限されている。

  　最新ドライバーでは当該製品の技適状況にあわせた動作になっている模様。 当初の 320MHz イケてしまう動作は不具合でしたと。そりゃそうか。

• 》 統合戦闘指揮システムが陸のセンサーと海のミサイルを統合しミサイルを迎撃 (海国防衛ジャーナル, 7/20)

• 》 3大クラウド×日米両リージョンでハニーポットを動かしてみる【前編】 (gihyo.jp, 7/10)、 【後編】 (gihyo.jp, 7/11)

• 》 ケンタッキーフライドチキンの秘伝のレシピに限りなく近いスパイスブレンドが市販されている (gigazine, 7/21)。Chicken Seasoning 99-X。最終兵器感がすごい。

• 》 Yandexの親会社がロシア国外へ撤退しNVIDIA製GPUを大量確保へ (gigazine, 7/22)

• 》 南極の「極渦」による温暖化現象が発生中、地球全体で異常気象を引き起こす可能性 (gigazine, 7/22)

• 》 CrowdStrike 方面

  • CrowdStrike の障害の影響を受けたお客様への支援について (Microsoft, 7/22)

    私たちは現時点の推定として、このソフトウェア更新が 850 万台の Windows 端末に影響を与えたと考えています。これは、すべての Windows マシンの 1% 未満にあたります。

    現在全世界で稼働しているWindowsが何億台なのかは示されていませんが、2022年1月時点で14億台以上であるとされています: PC の新たな時代 (Microsoft, 2022.01.28)

    PC 市場は過去 10 年間で最大の伸びを示しました。2021 年に、世界の PC 出荷台数は 3 億 4000 万台を突破し、Canalys によるとその成長率は 2019 年比で 27% 増となります。今や、Windows は、月間 14 億台以上のアクティブなデバイス上で稼働し、その総使用時間はパンデミック前に比べて 10% 増加しています。

  • “ブルースクリーン問題” CrowdStrike CEOが「心よりお詫び」 (ascii.jp, 7/22)。ジョージ・カーツ CEO。 不具合を引き起こしたチャンネルファイル C-00000291*.sys にちなんで、 月給を 291 ドルにするかどうかは不明。 (多分しない)

  • CrowdStrikeのアップデートを起因とした世界的ブルースクリーン障害（BSoD）：便乗したサイバー攻撃に注意 (トレンドマイクロ セキュリティ blog, 7/21)

  • 多数のWindowsでブルースクリーンを発生させてしまったCrowdStrikeのコードは何が悪かったのか (gigazine, 7/22)

  • Microsoftが「CrowdStrikeの障害の原因は欧州委員会のクレーム」と当てこすり、なぜMacは無傷だったのかも浮き彫りに (gigazine, 7/22)

    Appleは2020年にセキュリティ製品の開発者に向けて、カーネルレベルへのアクセスを許可しないと伝えました。これはAppleのパートナー企業にとっては頭痛の種ですが、同時にMacが今回のような問題とは無縁になった理由でもあると、Mac専門のセキュリティソフト企業・DoubleYouのパトリック・ウォードルCEOは述べています。
    
    しかし、Microsoftは他社製品がOSのカーネルにアクセスするのを防ぐことができません。なぜなら、Microsoftは2009年に締結した欧州委員会との契約で、Microsoftと同レベルのWindowsへのアクセス権をセキュリティソフトの開発者に与えなければならないことになっているからです。

• 》 中国と北朝鮮首脳の足形が消えた　大連の海辺で「友好の印」に異変 (朝日, 7/22)

  記者が今月20日に現地を訪れると、足形があった場所はアスファルトで覆われていた。事情に詳しい地元の観光関係者は、「国家指導者の足形を観光の宣伝に使うのは良くない」とする当局からの指示があった、と証言した。消えた時期については「はっきりした日時は覚えていないが、昨年の秋ごろ」だと答えた。オレンジ色の路面標示も最近になって施されたという。

• 》 Thunderbird 128.0.1 がリリースされた (mozillaZine, 7/20)。ひきつづき冒険者向け。

• 》 最新戦車3両やオートバイ含むロシア軍の「玉石混交」部隊が突撃、玉も石も砕け散る (Forbes, 7/22)

  失敗したこの突撃に参加した装甲兵員輸送車が、戦車よりも少なかったらしいのは示唆的だ。ロシアは戦車の補充に苦労しているが、装甲兵員輸送車や歩兵戦闘車（IFV）の補充にはもっと苦労している。

• 》 Windowsパソコン相次ぎ異常停止　セキュリティーソフト原因か (朝日, 7/19)。CrowdStrike がやらかした模様。

  　回避方法: BSOD error in latest crowdstrike update (reddit)

  1. Boot Windows into Safe Mode or the Windows Recovery Environment
  2. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
  3. Locate the file matching “C-00000291*.sys”, and delete it.
  4. Boot the host normally.

  　2005年のトレンドマイクロ ウイルスバスターの障害を思い起こしましたが、 今回のは全世界的に影響が出ているようです。

  • 【随時更新】JR西やUSJでトラブルか　Windows異常停止 (朝日, 7/19)

  • 米国の全航空便が運航停止、Windowsトラブルで　現地報道 (朝日, 7/19)

  • Live: Major IT outage hits airlines, companies worldwide including Singapore, US and Australia (channelnewsasia.com, 7/19)

  • Microsoft outage sparks chaos around the world: System failure grounds planes with TV channels, airports and banks around the globe knocked offline in massive outage causing Windows computers to suddenly shut down (mail.com, 7/19)

  • Australia is hit by massive Microsoft outage as major banks, businesses, Qantas, ABC and Foxtel are all struck by huge outages - and computers crash with the blue screen of death (mail.com, 7/19)

  • What is Crowdstrike? The rogue update that brought down the world: How one app is believed to have crippled Microsoft computer networks across the globe - and it could be days before we're all back online (mail.com, 7/19)

  • Live Updates: Global Tech Outage Grounds Flights and Hits Businesses (NYTimes, 7/19)

  • Major U.S. air carriers ground flights as mass IT outage hits Windows users (Washington Post, 7/19)

• 》 小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ (読売, 7/14)。リクルートの件というのはこれか。

  小中学生に１人１台配備された学習用端末の利用を巡り、一部の自治体が、端末にアプリを提供するリクルート（東京）に子供の個人情報を直接取得・管理させていることがわかった。一部のデータは、保護者に十分な説明のないまま海外の事業者に委託されたり、一般向けに販売しているアプリの機能改善に使われたりしていることも判明。文部科学省は、自治体の情報管理が不適切だとみて、近く全国調査に乗り出す。

• 》 Microsoft、Windows11 23H2をすべてのユーザーに解放。Windows Updateを実行すると降ってくるように。ただし (ニッチなPCゲーマーの環境構築Z, 7/18)

  日本時間で2024年10月9日をもってWindows11 バージョン22H2のサポートが終了となるため、企業や組織で管理されていないPCは手動でWindows Updateを実行しなくても、サポート終了日が近づくと自動的にWindows11 バージョン23H2へとアップデートされます。
  (中略)
  なお、Windows11 バージョン23H2が降ってくるのはWindows11のシステム要件を満たした環境のみです。Windows11非対応PCに無理矢理インストールした環境には降ってきません。

• 》 EU 2024.07.12にAI法がEU官報に掲載された (まるちゃんの情報セキュリティ気まぐれ日記, 7/16)

• 》 防衛白書（2024年） (まるちゃんの情報セキュリティ気まぐれ日記, 7/13)

• 》 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合 (まるちゃんの情報セキュリティ気まぐれ日記, 7/15)

• 》 鹿児島県警方面

  • 「ウォッチドッグ」ー鹿児島県警問題の背景ー (Hunter, 7/1)

    　鹿児島県警を舞台にした２件の「内部通報」の発端となったのは、2021年秋に起きた強制性交事件である。当時、県が設置した新型コロナウイルスの療養施設で、県医師会の男性職員（2022年10月に退職）に性被害を受けたとして、療養施設に勤務していた女性スタッフが告訴した件だ。
    　この件では、警部補として中央署に勤務していた男性職員の父親と男性職員が先手を打って同署に出向き、「刑事事件にはならない」という結論を引き出したあとだったため、警察は組織ぐるみで被害女性を門前払いにするという、理不尽な「警察一家」擁護が行われたことが明らかになっている。
    　ようやく告訴状を受理した後も、事件を矮小化しようとする警察幹部の思惑によって捜査は停滞。送検さえされていなかった2022年、県医師会の池田琢哉会長（先月15日に退任）と顧問弁護士の新倉哲朗氏（和田久法律事務所）が、記者会見を開いて「合意に基づく性行為だった」と断言し、性犯罪被害を訴えている女性に、さらに大きな精神的ダメージを与えるという暴挙に出る。ここまでも、その後も、女性の人権を無視した県医師会や、不当な捜査指揮を行っていた鹿児島県警を追及したのはハンターだけ。鹿児島に、「ウォッチドッグ」はいなかった。

    関連: 鹿児島県警内部通報、発端の「強制性交事件」被害者が初のコメント｜にじむ県医師会・池田前会長への怒り　 (Hunter, 6/24)

  • 【速報】鹿児島県警事件隠ぺい　「内部告発」 さらに１件 (Hunter, 7/16)

    内部告発は元巡査長と元部長が発した2件だけではなかった。実は今年２月、現役警官が起こした犯罪の不当捜査を指摘する「内部告発」が、ある人物に郵送されていた。

  • 消された処理票データ｜鹿児島県警不当捜査・もう一つの「霧島署員ストーカー事件」（１） (Hunter, 7/17)

  • 消えた防犯カメラ映像｜鹿児島県警不当捜査・もう一つの「霧島署員ストーカー事件」（２） (Hunter, 7/18)

    当該事案のもみ消しや隠ぺいに関わったと考えられるのは、当時の霧島署長で現在は県警本部生活安全部長の南茂昭氏、同署の警務課、県警本部の人身・安全少年課、そして野川明輝本部長だ。本田尚志元生活安全部長が北海道のジャーナリスト・小笠原淳氏に送ったとされる内部告発文書に記されていた霧島署員によるストーカー事件とほぼ同じ構図、同じ登場人物である。

• 》 「たった一度のビラまきで逮捕」　関西生コン事件訴訟の原告側が冤罪と訴える「警察と検察の組合つぶし」 (東京, 7/15)。あいかわらずの特高しぐさ。

• 》 ミネラルウォーターから高濃度のＰＦＡＳ、発がん性の恐れ指摘…神戸市内で製造され商品化 (読売, 7/12)

  商品化されたペットボトルでは、最高で水道水に対する国の暫定目標値（１リットルあたり５０ナノ・グラム）の２倍にあたる濃度を検出していた。
  　兵庫県明石市の辻本達也市議が、神戸市に情報公開請求し、判明した。ミネラルウォーターは食品衛生法上、清涼飲料水に規定され、同法に基づくＰＦＡＳの規制などはなく、市は業者名を明らかにしていない。

  　実際、アウトなものが見つかったと。2 年も前に。

  市によると２０２２年１２月、厚生労働省から情報提供があり、市は２３年１月と６月に水質を検査。最高で商品のペットボトルからは１００ナノ・グラム、原水となる地下水からは最高３１０ナノ・グラムが検出された。

  　関連: (7/18 に朝日記事リンクを追加し、神戸市資料の体裁を整えました)

  • 目標値660倍のPFAS　神戸市の調査で検出、明石市は安全性強調 (朝日, 7/6)。朝日さんが初報なんですかね。

  • ペットボトルのミネラルウォーターが汚染されていたことが発覚！１年以上販売されていたが神戸市は公表せず (スローニュース, 7/10)

    ミネラルウォーターは食品衛生法上の「清涼飲料水」に位置づけられるが、同法ではPFASについての基準はない。
    厚労省から示された「PFOS及びPFOA対応の手引き」にも、
    ＜PFOS・PFOAは暫定目標値等が設定されていることから、継続的に摂取する水は目標値等を下回ることが望ましい＞
    ＜PFOS 及び PFOA が目標値等を超えて検出された地下水等を水源としている井戸等の設置者等に対して、PFOS 及び PFOA の特性やこれらの目標値等が設定されたことについて情報を提供する＞
    と書かれているにすぎず、飲み水や食品に含まれるPFASについて規制はない。

    オォゥ。「水道水に対する国の暫定目標値」しか無いので、ということか。 駄目じゃん。立法府も行政府も何をやっておるのか。

  • 神戸市に公開請求　６ (明石市議会議員 辻本たつやの部屋, 7/8)。震源地。 神戸市から公開された資料が掲載されている。

    令和6年1月15日（月）
    健康局
    食品衛生課

    
    

    有機フッ素化合物(PFAS)が検出されたミネラルウォーターヘの対応について

    
    〇概要

    • 令和4年12月に厚生労働省より、「試買検査の結果、神戸市内製造のミネラルウォーターから水道水の暫定目標値を上回るPFASが検出された」旨の情報提供があった。
      
      対象商品　[　　　　　　　　　　　　　　　　]
      　　　　[　　　　　　　　　　　　　　　　] 製造
      
    • 本市において、季節変動を踏まえ令和5 年1 月及び6 月に検査を行い、継続的に暫定目標値を超過している状況であることを確認した。
      
      R5.1月検査　100 ng/L ～270 ng/L
      R5.6月検査　94 ng/L～310 ng/L
      用途：ペットポトル、[　　　　　　　　　　　　　　　　]
      ※水道水の暫定目標値：PFOS及びPFOAの合計値で50ng／L
    • これを踏まえ令和5 年6 月に事業者に対策を要請したが対応に時間を要したことから、11 月6 日に改めて以下の2点について文書で要請した。
      
      ① 12月20日までに目標値以下へ低滅
      ②目標値以下へ低減できない場合は販売停止
      

    
    〇措置の確認
    

    ① フィルターの性能確認
    

    検出値が最も高かった2号井戸水を原水として、活性炭フィルター処理後に1ng／L未満となった水質検査データを確認。31Ong/L(R5.6)⇒1ng/L未満
    

    ② フィルターの設置確認
    

    当該活性炭フィルターが水の供給ラインに取り付けられていることを確認．
    

    ③ フィルター設醤後の検査結果確認
    

    活性炭フィルター設置後の水について検査を指示。12月22日に採水。
    →令和6年1月11日に検査結果を確認し、目標値以下となっていることを確認した。

  • 兵庫県のミネラルウォーター製造・企業一覧。 神戸市には 「六甲の天然水 マロッ」の サン神戸ウォーターサプライ株式会社 しか無いようなのだが……。

  • 六甲の天然水 マロッ。 ペットボトルの他にウォーターサーバーがあるのですね。

• 》 トピックス一覧 - プレスリリース (小学館)。 特別調査委員会による調査報告書公表および映像化指針策定のお知らせ (小学館, 6/3) がなぜか出てこないんだなあ。 直接アクセスすれば読めはするのですが。

• 》 Androidの「デバイス探す」が再設計されています (gihyo.jp, 7/11)

• 》 Thunderbird 128.0 がリリースされた (mozillaZine, 7/14)。冒険者専用。

  テスト目的での利用ではないユーザーは、現時点では Thunderbird 128 へ更新するべきではない。Thunderbird 128 は、thunderbird.net からの直接ダウンロードによってのみ提供され、Thunderbird 115 系列およびそれ以前からの自動アップグレードは行われない。今後リリースされるバージョンにおいて、自動アップグレードが行われる予定である。

• 》 NHK BSスペシャルを制作しました「境界の抵抗者たち 〜ミャンマーを追われた映像作家の記録〜」 (久保田徹 / change.org, 7/16)。7/18 23:25〜 放送予定。

• 》 VMware製品「OEM廃止」の衝撃、ブロードコムはNECなど国産勢を切り捨て (日経 xTECH, 7/16)

• 》 当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告 (ファーストリテイリング, 7/2)

• 》 「特定の人がデマの潮流を生み出していた」　ネットにはびこるヘイトの真偽を検証し、立ち向かう動きを追った (東京, 7/15)

• 》 介護保険証も「紙は廃止」へ？　マイナカードと一体化を前提に厚労省部会で議論中　やっぱり不安の声が出ている (東京, 7/13)

• 》 特定秘密漏えい、裏金接待、カラ手当…こんな自衛隊で大丈夫か　膨れる予算、隊員のストレスもパンパンな内実 (東京, 7/12)

  　「組織にたまっていたストレスのマグマが一気に表面化した」と話すのは、神奈川県横須賀市の市民団体「ヨコスカ平和船団」の鈴木茂樹さん。2年前まで市内でタクシー運転手をしており、海自隊員や防衛大学校の学生から「勤務がきつい」「いじめてやった」「いじめられてる」といった言葉をよく耳にしたという。「軍備増強で業務が増える一方で、人員不足が慢性化している。ストレスがたまりやすい構造の中、上手に発散ができない結果なんでしょうね」

  　元海上自衛官で軍事ライターの文谷数重氏は「国民の血税をないがしろにしかねない」として、潜水艦乗組員と川重の癒着疑惑を特に問題視する。
  　文谷氏によると、潜水艦は修理などの際にメーカーの工場に入り、乗組員はメーカー側の担当者と付きっきりで作業をする。「どこを修理するか、どの部品を交換するかはある程度、乗組員で決められるので、メーカーが慣習的にサービスを続けてきたのでは。潜水艦乗りは、石を抱かされても秘密を守る。口が堅く、フネ（自艦）のことは他の海上自衛官にも話さない。だから長い間続いたのでは」

• 》 スポーツドリンクと糖質 (大塚製薬 桜井政夫 / 農畜産業振興機構, 2010.10)

  　どのように水分補給をしたらよいかというと、日本体育協会では運動前には250～500ミリリットル、運動中には1時間あたり500～1,000ミリリットルを摂取目安量としています。また、飲みやすいものが薦められており、水温は5～15度で0.2%程度の食塩と4～8％程度の糖分を含んだものが適当とされています（表1）（＊3）。
  　また、アメリカスポーツ医学会は、運動中には脱水量が体重の2％を越えないよう水分を摂取することを推奨しており、飲料には電解質と糖質を含んでいることがよいとしています（＊4）。
  　糖質を含んだ飲料が推奨される理由としては、腸管での水分吸収を促進することが挙げられます。主要な糖質であるブドウ糖は、腸管内でナトリウムが同時にあると速やかに吸収されます。そしてそれらに引っ張られ水分も吸収されるというのがそのメカニズムです。
  　実際に、ブドウ糖だけ、あるいはナトリウムだけの溶液より、それら両方を含んだ溶液の方が水分の吸収が速いことが実験で明らかになっています（＊5）。また、単糖であるブドウ糖に比べて、同じ糖質量であれば重合した（マルト）デキストリンの溶液では浸透圧が低くなるため水分吸収が速まりますし、ショ糖の溶液あるいはブドウ糖と果糖の混合溶液ではブドウ糖以外の糖の影響により水分吸収はさらに速まることも報告されています（＊6）。

• 》 「PFAS漏れ事故は『非公表』で」アメリカの要求に日本は従い、国民に真実を隠した…政府関係者が経緯明かす (東京, 7/10)。隠蔽したのは岸田政権。

• 》 24人擁立のNHK党の得票数　全員合わせて何票とった？供託金はどうなる？　トップはあの人と同姓の… (東京, 7/8)

• 》 沖縄米兵の性的暴行、県への連絡ルートが一切機能せず　日米の情報共有にも不備あったのに…改善しぶる政府 (東京, 7/12)

• 》 「想定超えた」KADOKAWAサイバー攻撃　多角経営の隙狙われたか (毎日, 7/10)

• 》 侵入型ランサムウェア攻撃を受けたら読むFAQ (JPCERT/CC, 4/6)

• 》 ランサムウェア攻撃を受けた際の実務対応 (牛島綜合法律事務所, 1/24)

• 》 Pattern of Brain Damage Is Pervasive in Navy SEALs Who Died by Suicide (NYTimes, 6/30)。銃火器の発射時の衝撃が脳損傷の原因となっているらしい。 DeepL 訳:

  これが最初でも最後でもない。過去10年間で、少なくとも12人のネイビーシールズ隊員が、在隊中あるいは退役直後に自殺している。ニューヨーク・タイムズ紙の調査によると、悲嘆に暮れる家族の草の根的な努力によって、8人の脳が研究室に届けられた。そして、慎重に分析した結果、研究者たちはそのひとつひとつに爆風による損傷を発見した。

  自殺で死亡したシールズ隊員の話は、エリート部隊における厄介なパターンを示している。
  平均年齢は43歳。それぞれが何度も戦闘に参加しているが、敵の攻撃で負傷した者はいない。全員が何年もかけて、強力な兵器の数々を撃ち、飛行機から飛び降り、爆薬でドアを爆破し、水中に深く潜り、手と手で戦うことを学んできた。
  彼らは長年にわたり、熟練の特殊オペレーターとしての専門知識と鋭い判断力を培ってきた。しかし、キャリアの後半になると、長年の度重なる爆風被爆の影響で、そのスキルは失われていった。
  40歳前後になると、ほぼ全員が不眠や頭痛、記憶力や協調性の問題、抑うつ、混乱、そして時には激怒に悩まされるようになる。

• 》 Apple PayではEUの罰金回避　欧州でのNFCアクセス開放で (ITmedia, 7/12)

  欧州委員会は、Appleが欧州圏で「tap and go（日本でのタッチ決済）」で使うNFC技術をサードパーティ開発者に開放し、Face ID認証などのiOS機能へのアクセスを可能にするという「法的拘束力のある」約束をしたと発表した。

• 》 ほぼA3サイズの「Starlink Mini」、全米で一般単体発売　月額50ドル (ITmedia, 7/12)

  本体価格は599ドル (中略) Starlink Miniだけを購入することも可能になった。サブスクプランとしては、月額150ドルの「Mobile」か50ドルの単体プラン「Mini Roam」を選択できる (中略) 100W（20V/5A）対応のUSB-PD電源から直接電力を供給することもできる。

• 》 漏洩情報の拡散行為に対する措置ならびに刑事告訴等について (KADOKAWA, 7/10)。日に日におどろおどろしい文面になっていくなあ。

  さらに、悪質性の高い情報拡散者に対しては、証拠保全の上、刑事告訴・刑事告発をはじめ法的措置の準備を進めております。

  　法的対応を実際にやらないとわからない人達はいるだろうからなあ。

• 》 Zotacからユーザーの個人情報が漏洩。Web上から誰でも閲覧できる状態に。日本人にも影響 (ニッチなPCゲーマーの環境構築Z, 7/8)

• 》 Googleが「ダークウェブ レポート」を無料開放、誰でも自分の個人情報が売買されているか確認可能に (窓の杜, 7/8)

• 》 EU加盟国の初等中等教育におけるサイバーセキュリティ教育の事例紹介 (Internet Watch, 7/9)

• 》 中国のサイバー攻撃集団「APT40」に対する国際アドバイザリーに日本も署名、攻撃事例・対策を共有 (Internet Watch, 7/10)

• 》 豪雨災害が心配な季節、全国のハザードマップを流域単位で可視化～「YAMAP 流域地図」 (Internet Watch, 7/10)

• 》 米マイクロソフト、中国の社員にiPhone使用を要請　安全対策で (毎日, 7/9)。9月からだそうです。 Android はいろいろあるので iPhone 一択にしたということかな。 Windows Phone で、と言いたかったね。

• 》 都知事選投票「アッコにおまかせ！」誤情報は「アドリブ」だった　TBS「予定していた内容ではありません」 (J-CAST / Yahoo, 7/8)。とりあえず、明日のアフ6で本人から報告があるだろう。

• 》 SAPジャパンの偽サイト「sapjp[.]com」に注意　過去に保有していたドメインを第三者が取得、なりすまし被害に (ITmedia, 7/9)。マジなニセサイトになっているので本当に駄目。

• 》 石丸現象とは何か 石丸伸二氏「165万票」の中身を独自データで分析する (米重克洋 / Yahoo, 7/8)。 YouTube 時代の B層、という感じがするんだよなあ。

  　関連:

  • 石丸伸二氏、選挙ポスター代「未払い」で敗訴確定　最高裁が上告受理せず　広島・安芸高田市長選で業者へ依頼 (東京, 7/8)。お金をきちんとできない人は政治家になっちゃ駄目。

  • 京大卒銀行員→安芸高田市長→都知事選2位に…石丸伸二氏（41）が「週刊文春」に明かしていた“ポスター未払い訴訟”への主張「非を認めて謝ってきたら全部払ってあげようと」 (文春オンライン / Yahoo, 7/8)。↓の「市政関係者」発言は「最高裁が上告受理せず」の前の状況であろう。

    「ポスターを制作した印刷業者が、未払いの残金約73万円を請求して石丸氏を訴えた。石丸氏は、公費負担分の約35万円を代金とする合意があったとの主張ですが、業者が赤字になって請け負う理由は乏しいなどとして地裁、高裁で敗訴。最高裁に上告しています。判決文によれば、この印刷業者は石丸氏の妹の勤務先。妹の会社とくらい丸く収められないのか……との声も出ています」（同前）

  • 「石丸フィーバー」なぜ起きた？　「政治が面白い」「人柄を信じられる」と無党派層に言わせた独自の戦略 (東京, 7/7)

  • 「パワハラ臭ぷんぷん」石丸伸二氏「本当に熟読されました？」とライターを逆質問…ラジオ番組での対応が“高圧的”と批判続出 (女性自身 / Yahoo, 7/8)。 安芸高田市長時代からこうなのですけどね。

  • 取材不足 (twitter)。石丸伸二氏の件について詳しい。

• 》 What's new for Symantec Endpoint Protection 14.3 RU9? (broadcom, 6/22)

• 》 前県民局長が死亡　知事批判文書で処分 (神戸新聞, 7/8)。 兵庫県 斎藤知事「パワハラ」「おねだり」疑惑 を告発した方。「自死とみられる」。告発者を守れず自殺に追い込んでしまった事例がまた 1 つ。

  　関連: 【速報】知事の『パワハラ疑惑』告発の職員が死亡　「私の表現は行き過ぎたものだった」と兵庫・斎藤知事　自殺とみられ遺書残す　生前「後輩たちがのびのびと仕事できるように、県政が変わってほしい」と思い語る (カンテレ / Yahoo, 7/8)

• 》 ボーイング、司法取引で詐欺共謀罪認める方針　2度の墜落事故巡り (ロイター, 7/8)

  ボーイングは墜落事故に絡むソフトウエア機能に関連して米連邦航空局（ＦＡＡ）を欺こうとした共謀罪で罪を認める。
  (中略)
  司法省当局者によると、ボーイングは安全・コンプライアンス（法令順守）プログラム強化のため３年間で少なくとも４億５５００万ドルを投資することにも同意した。司法省は法令順守を監視する第三者を任命する。

• 》 JAXA、2023年10月に発生したサイバー攻撃について説明。「未知のマルウェアが複数使用され、Microsoft 365に不正アクセス」 (Internet Watch, 7/8)、 JAXAにおいて発生した不正アクセスによる情報漏洩について (JAXA, 7/5)

  　昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス（以下、「本インシデント」といいます）を認知しました。 (中略)
  　なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました（その中には、ゼロデイ攻撃によるものも含まれます）が、情報漏洩等の被害が発生していないことを確認しました。

  　朝日の報道:

  • JAXAに複数回サイバー攻撃、機密流出か　NASA、トヨタ情報も (朝日, 6/21)

    不正侵入の痕跡が確認されたのは2023年6月と、24年に入ってからの複数回。調布航空宇宙センター内の研究用ネットワークや、JAXAの業務用ネットワークなどが狙われた。いずれも外部のインターネットから組織内ネットワークに接続するためのVPN（仮想専用線）装置の欠陥を突かれたという。

  • JAXAサイバー攻撃、不正侵入1年で4回　対策後にスパコンも標的 (朝日, 7/6)

    　複数の関係者によると、情報流出の恐れは昨年6月に発生。(中略) JAXAは昨年10月に警察からの指摘で被害を把握し、新たな機器の導入など対策を取った。
    　しかし今年に入り、1月、4月、5月にそれぞれ不正アクセスが確認された。1月は業務ネットワーク、4月は地球観測基盤システム、5月はスーパーコンピューターネットワーク (中略)
    　4回とも侵入の手口は共通で、インターネットからJAXA内部のネットワークに接続する「VPN（仮想専用線）機器」をハッキングされた痕跡があった。いずれも異なるメーカーの機器で、それぞれの欠陥が悪用された。うち2回はメーカーが欠陥を公表する前に侵入された痕跡があり、高度な技術力を持ったハッカー集団の関与がうかがわれるという。

• 》 豊田市でも42万人分漏えいか　委託先・イセトーのランサムウェア被害、拡大続く (ITmedia, 7/4)。これもイセトーの件。 「本来は削除すべきだった情報をイセトーの担当者が削除しておらず、漏えいの可能性につながった」。

• 》 「KUMON」委託先事業者のランサムウェア被害により、会員と指導者の個人情報が漏えい (Internet Watch, 7/4)。これはイセトーの件だった。

• 》 強力な「WinGet」を親しみやすいGUIで ～「WingetUI」改め「UniGetUI」v3.1.0が公開 (窓の杜, 7/5)

• 》 法解釈の変更は「安倍政権の守護神」の「定年延長が目的」…黒川弘務元検事長をめぐる衝撃判決、その舞台裏 (東京, 7/3)。まさにアベ、法治よりも人治、の世界なんだよな。

  　法務省はこれまで「黒川氏個人のためではない」という姿勢を示してきたが、今回の判決は「（理由は）黒川氏の勤務延長しかあり得ない」と断じた。解釈変更の閣議決定は黒川氏の退官予定日のわずか7日前。対象が黒川氏に限られ、他の検察官への周知がなかった点も考慮された。
  　上脇氏が「大きな分岐点だった」と振り返るのが、元法務次官の辻裕教氏に対する昨年12月の証人尋問だ。「他の検察官への解釈変更の周知の有無を原告側が尋問した際、辻氏が『やっていません』と答えた。法解釈を一般化するのが行政の仕事だが、全く逆で、特定の人物のために動いていた事実が鮮明になった」

  　関連

  • 法務・検察自ら検証せよ／検事長定年延長と政権 (Web 東奥, 7/3)

  • 主張　元検事長定年延長　 「法の支配」の破壊が明らかに (赤旗, 7/3)

• 》 Starlinkで10拠点を接続！バッチリ使えます！ (IIJ Engineers Blog, 7/4)

  これまで工場エリア内にある事務所のインターネット環境は厳しく、都市部の事務所と同じような使い勝手の良いものではありませんでした。またプラントの建設などで新しい事務所を立ち上げる時などもインターネット接続環境の準備は大変だったそうです。
  そこに登場したのがStarlink (中略) IIJも検証に協力するという形になりました。

  このVPNネットワークの特徴はなんといってもIPv6とフロートリンクを組み合わせる事で半固定のIPv6ネットワークでありながらIPsec VPNが構築できている事です。

  　これですかね: IPv6 IPoE ＋ フロートリンク (IIJ SEIL)

• 》 川崎重工の裏金接待疑惑　海上自衛隊を特別防衛監察へ　防衛相が指示 (朝日, 7/5)

• 》 川重、裏金作りは20年前からか　下請け6社を通じ年1億円超プール (朝日, 7/4)。なぜこれほど巨額の裏金が必要だったのか、よくわからないんだよなあ。

  潜水艦の幹部自衛官から一般の乗組員まで多数の海自隊員に物品や商品券を購入して渡したり、飲食接待したりするために裏金が使われていたとみられる。

  　裏金でゲーム機、家電…　希望リスト、浮かぶ海自の「たかりの構図」 (朝日, 7/4)

  複数の関係者によると、各潜水艦の取りまとめ役が乗組員らの希望をリストにして川重の修繕部に連絡していたという。そのリストに基づき、修繕部や下請け企業が裏金を使って物品を購入した後、修繕部から各潜水艦の担当者にまとめて渡していたとみられる。

  　「餓鬼」という言葉が浮かんでくるのだが。

• 》 京都商工会議所　延べ4万件情報漏えい　委託先のランサムウェア被害で (ITmedia, 7/3)。イセトーの件。

  京商によると、6月5日に企業情報の漏洩の可能性があるとイセトー側から報告があったが、後日、情報漏洩はないと伝えられた。その後、同28日に同社が企業情報の流出を確認し、京商に報告したという。

  　本家の方により詳しいタイムラインが： 業務委託先への不正アクセスによる企業情報の漏洩について (京都商工会議所, 7/2)

  • 5月26日：
    委託先がランサムウェア被害を認識
  • 6月 5日：
    委託先より、本所が管理している企業情報の漏洩可能性があると報告を受ける。後日、委託先より、情報漏洩はないとの報告を受ける
  • 6月18日：
    委託先が、リークサイトに顧客情報の一部が漏洩していることを確認
  • 6月28日：
    委託先が、本所が管理している企業情報の漏洩を確認、報告を受ける
  • 現在：
    本所にて、漏洩情報の特定作業中

  　関連

  • ランサムウェア被害の発生について (イセトー, 5/29)。「現時点で、情報の漏洩は確認されておりません」

  • ランサムウェア被害の発生について（続報） (イセトー, 6/6)。「現時点での流出は確認されておりませんが、一部のお取引先様においては、個人情報の流出の恐れが判明しております」

  • ランサムウェア被害の発生について（続報2） (イセトー, 7/3)

    2024年6月18日に攻撃者グループのリークサイトにおいて、当社から窃取されたと思われる情報のダウンロードURLの出現を確認いたしました。外部専門家とともに調査を行った結果、公開された情報は当社のサーバーから流出したものであること、また流出した情報の中には一部のお取引先様の顧客の個人情報が含まれていることが判明しました。

• 》 ダークウェブに自分の情報が漏れているか確認するGoogleの機能が無料に (PC Watch, 7/4)。「有料サービス「Google One」向けの機能「ダークウェブレポート」を7月下旬以降、Googleアカウントを持つすべてのユーザー向けに提供する」。

• 》 Pixel 6シリーズを工場出荷状態にリセットすると文鎮化する問題、Googleが回避手順を公開 (やじうま Watch, 7/4)

• 》 川崎重工架空取引→海自接待方面

  • 第２０１期 有価証券報告書に記載の税務調査における指摘事項について (川崎重工, 7/3)

    ① 当社神戸造船工場修繕部と取引先企業による架空取引の存在
    ② その架空取引により捻出した資金を使った金品や物品の購入および飲食
    ③ 上記②について当社従業員および潜水艦乗組員の関与があったとの疑い
    (中略)
    なお、本件に関連した防衛省への過大請求は、現時点では確認されておりません。

  • 潜水艦乗組員へ金品提供　防衛省、自衛隊員倫理法違反の疑いで調査 (朝日, 7/3)

  • 川重、裏金で海自潜水艦部隊の物品多額負担か　大阪国税局が調査 (朝日, 7/3)

  • 川重と自衛官の癒着なぜ生まれた　裏金十数億円から商品券や飲食代 (朝日, 7/4)

    広報担当者によると、潜水艦の施工に必要な資材を供給する下請け会社と川重の間で架空取引が行われ、捻出された資金は2018～23年の会計年度で十数億円に上る。その資金で購入された金品や物品は「商品券やトルクレンチ、ワイヤロープ、ヘッドライト」などと説明。乗組員らとの飲食にも使われたという。

  • 川崎重工が架空取引　海自潜水艦の修理巡り　資金は隊員との飲食に (毎日, 7/3)

• 》 [gnutls-help] gnutls 3.8.6 (GnuPG.org, 7/3) が出ています。不具合修正と機能拡張だそうです。iida さん情報ありがとうございます。

• 》 問題発生の「KB5039302」が配信を一時停止 ～Windows 11の2024年6月プレビューパッチ (窓の杜, 6/28)。配信停止になってたのか。

• 》 エレコムの指向性マイク付きヘッドセットに不具合、同等品交換/返金へ (PC Watch, 7/3)。HS-EP12SCBK。「ノイズが発生する不具合」。

• 》 数十年分相当の書き込み負荷テストで各社のSSDの信頼性を検証してみた (PC Watch, 6/26)

• 》 万博パビリオンの自前建設を断念…インドとイラン、簡易型へ (読売, 6/26)。 交通・地盤・工期に難ありの万博、 インドやイランのような地域大国にすら無理でした。

  インドとイランが (中略) 「タイプＸ」に変更 (中略) パキスタン、ナイジェリア、アルメニアの３か国が (中略) 「タイプＣ」に変更

  　関連: 大阪万博、「タイプA」パビリオン、インド、イランなど6カ国が撤退　「タイプX」移行で数十億円の負担増に「始まる前から終わってる」批判殺到 (FLASH / Yahoo, 6/26)

  タイプAの建設を断念した国に対し、日本国際博覧会協会（万博協会）は、建設予定だった敷地の返却を求める方針だ。吉村知事は、空いたスペースを休憩所や芝生広場として活用する考えを示した。

  　芝生広場! どんどんショボくなる。

• 》 米政府系サイトの常識を変えた「デザインシステム」革命 (MIT Technology Preview, 7/3)。 「米国には、公式のWebデザインシステムとカスタムフォントがある」。へぇ〜。

• 》 「生成」ではなく「模倣」、大手レコード会社提訴で音楽AIの未来に暗雲 (MIT Technology Preview, 7/2)、

  主要なAI音楽スタートアップ、Suno（スーノ）とUdio（ユーディオ）の2社が6月24日、大手レコード会社から訴えられたのだ。ソニー・ミュージック、ワーナー・ミュージック・グループ、ユニバーサル・ミュージック・グループは、スーノとユーディオが著作権で保護された音楽を「ほとんど想像を絶するような規模で」訓練データに使用し、AIモデルが「本物の人間の音源クオリティを模倣した」楽曲を生成できるようにしたと主張している。

  　音楽生成AIサービス「Suno」と「Udio」をソニー＆ワーナー＆ユニバーサルなどの音楽大手各社が著作権侵害で訴える (gigazine, 6/25) の件。まぁ実際そうなのだろうなあ。

• 》 MUFG、法人用ネットバンキングでシステム障害　「月初めなのに勘弁して」などの声も (ITmedia, 7/1)。7/1 21:25 に復旧。

  • BizSTATION／MUFG Bizへログインができない事象は解消され、復旧いたしました(21:50時点) (MUFG, 7/1)

  • 7月2日（火）の総合振込、給与振込の締切時限のお知らせ (MUFG, 7/2)。7/1 の余波。