Last modified: Sat Jan 6 15:51:34 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 詐欺師がディープフェイクを使用して顧客の本人確認を回避する方法 (Kaspersky, 8/21)
最近、404 Mediaは、KYCを回避する目的で人物の写真や動画を販売するアンダーグラウンドのWebサイトについて報じました。記者によりますと、デジタル複製品の販売業者は、そのようなコンテンツの完全なコレクションを持っているとのことです。彼らは経済的に恵まれていない低所得諸国でボランティアを見つけます。映像の対価の相場は、約5~20ドルです。
(中略)
同メディアの記者は、AIを使用して作成された偽造書類のリアルな写真の販売に特化したWebサイトも発見しました。
》 デジタル庁 マイナンバーカード対面確認アプリをリリース (2024.08.20) (まるちゃんの情報セキュリティ気まぐれ日記, 8/22)
》 Five Eyes +α イベントロギングと脅威検知のベストプラクティス (まるちゃんの情報セキュリティ気まぐれ日記, 8/25)
》 制御システムセキュリティカンファレンス2025講演募集(Call for Presentation) (JPCERT/CC, 8/26)
》 Windows11 24H2でRyzenのゲーム性能が大幅アップ!こんなに上がる!?ゲーム43タイトルで検証。Intel CPUにも恩恵あり (ニッチなPCゲーマーの環境構築Z, 8/27)、 KB5041587でRyzenのゲーム性能が向上!CPUの分岐予測の最適化を内包。Intel CPUにも効果あり (ニッチなPCゲーマーの環境構築Z, 8/28)。 Windows 11 23H2 の月例更新プレビュー patch に当該機能が入っているそうで。
》 その男、パベル・ドゥーロフ (テレグラム CEO)。 UAE とフランスの 2重国籍を保持。
逮捕状が出ているのにフランスに入国したため逮捕 (8/24)
テレグラムCEO フランスで拘束 犯罪放置の疑い メディア伝える (NHK, 8/26)
「テレグラム」CEO、仏警察が逮捕 犯罪放置の疑い=関係筋 (ロイター, 8/26)
テレグラムのCEO、フランスで逮捕 犯罪利用を抑制しなかった疑い (BBC, 8/26)
テレグラムCEO、拘束はサイバー犯罪捜査の一環-仏検察当局 (ブルームバーグ, 8/27)
物議醸す過激なリバタリアン、逮捕劇でテレグラムCEOに転機 (ブルームバーグ, 8/27)
フランス当局、テレグラムCEO拘束を8月28日まで延長 (コインテレグラフ ジャパン, 8/27)
【解説】 テレグラムのCEO逮捕、ロシアの政府やメディアの反応は (BBC, 8/27)
マクロン大統領「政治的な背景はない」
テレグラム創業者逮捕に「政治的」背景ない フランス大統領 (AFP, 8/27)
テレグラムCEO逮捕で仏ロ関係は過去最悪に=ロシア外相 (ロイター, 8/28)
テレグラムって?
「デジタル避難所」として大きくなったテレグラム、性搾取の「デジタル温床」に=韓国 (ハンギョレ, 8/25)
2014年と2016年の2度の「テレグラム亡命」で韓国人ユーザーを大きく増やしたテレグラムは、「n番部屋事件」などデジタル性搾取の温床となったが、捜査機関の協力要請には徹底的に「無回答」で一貫してきた。
このように最近まで各種犯罪のルートとして使われているが、テレグラムは依然として法の死角地帯にある。2021年12月から施行中のいわゆる「n番部屋防止法」(電気通信事業法・情報通信網改正案)では、テレグラムが法の適用対象から除外されている。テレグラムが「私的対話部屋」であるため、インターネット事業者に性犯罪物削除などの措置をするよう定めた法の適用対象に含まれていないためだ。
テレグラムはなぜ犯罪に使われやすいのか 「自由」を貫く創業者の考え方とは (ITmedia, 8/23)
なぜテレグラムはトラブルメーカーに人気なのか-QuickTake (ブルームバーグ, 8/26)
テレグラム発の仮想通貨 TON が急落
テレグラムCEO逮捕でTON 14%下落──イーロン・マスク氏は釈放を要求 (CoinDesk Japan, 8/25)
テレグラム創業者逮捕で時価総額10位の暗号資産TON急落 ロシア当局らが抗議 (COINPOST, 8/26)
TONソサエティ テレグラムCEOの即時釈放を求める公開書簡 (コインテレグラフ ジャパン, 8/28)
TONでトランザクションの検証が停止 新しいミームコイン取引の急増が影響か (コインテレグラフ ジャパン, 8/28)
現在の価格: トンコイン (coinmarketcap.com)
議論
Telegramが声明発表「悪用の責任はすべてCEOが背負うべき?」 (ascii.jp, 8/26)
テレグラム創設者の拘束、言論の自由とネット上の犯罪めぐる論議噴出 (CNN, 8/27)
テレグラムCEO逮捕、表現の自由めぐり批判 仏大統領は声明で反論 (朝日, 8/27)
“犯罪を放置”の疑いでテレグラムCEOを逮捕 会社側「不正利用の責任負わせるのは不合理だ」今後のSNS規制に影響は?【news23】 (TBS, 8/27)
》 「オープンソースAI」問題ついに決着、OSIが定義を発表 (MIT Technology Review, 8/26)。この日本語タイトルは盛りすぎであろ。 まだ draft 0.0.9 版なのだ。
》 オープンソース投票機は 民主主義の「信頼」を 取り戻せるか? (MIT Technology Review, 8/25)
》 [障害情報]法人カスタマーサービス & サポートサイトから最新パターンファイルがダウンロードできない障害のお知らせ (トレンドマイクロ, 8/27)。11:54 現在、 法人カスタマーサービス & サポート (トレンドマイクロ) に事象終息との情報は無いので、 事象継続中の模様。
ノルドストリーム爆発“ウクライナ人の男関与”ドイツメディア (NHK, 8/14)
こうした中、ドイツの公共放送ARDなど複数のメディアは14日に、ウクライナ人の男が爆発に関与していたとして、検察当局が逮捕状を取ったと一斉に伝えました。
それによりますと、男は、ウクライナのダイビングスクールでインストラクターとして働いていた経歴があり、その後、隣国のポーランドで暮らしていたとみられるものの、最近、行方をくらましたということです。
Erster Haftbefehl wegen Nord-Stream-Anschlägen (tagesschau.de, 8/14)
ノルドストリーム攻撃の男、独が逮捕状も出国=ポーランド検察当局 (ロイター, 8/15)
German arrest warrant over Nord Stream blast mystery (BBC, 8/14)
「ノルドストリーム」爆破事件の真相、始まりは酒場での会話 (Wall Street Journal, 8/16)
現代史上、屈指の大胆な破壊工作となったこの作戦は、欧州のエネルギー危機を悪化させた。国際法の下では重要インフラへの攻撃は戦争行為とみなされかねない。犯人は誰なのかを巡り、諸説が飛び交った。米中央情報局(CIA)なのか。プーチン氏自身が計画を実行に移したのか。
その真相がいま初めて明らかになりつつある。ウクライナが行った作戦の費用は約30万ドル(約4500万円)だったと、作戦の参加者らは明かす。小型ヨットを借り、経験豊富な民間ダイバーなど6人が乗り込んだ。うち1人は女性だった。彼女の存在もあって、乗組員は遊覧クルーズを楽しむ友人グループのような雰囲気を演出することができた。
「ノルドストリーム」爆破の真相、ドイツとポーランドの論争過熱 (Wall Street Journal, 8/20)
》 SpaceX Polaris Dawn private spacewalk mission: Live updates (space.com, 8/27)。「The Polaris Dawn mission is scheduled to launch on Aug. 27 at 3:38 a.m. EDT (0738 GMT) during a four-hour launch window.」。
》 Microsoft、Windows10のスタートメニューも改悪か。新しいアカウントマネージャー(広告入り)が組み込まれる (ニッチなPCゲーマーの環境構築Z, 8/26)
》 中国企業がAmazonやMicrosoftのクラウドを通じてアメリカのハイエンドGPUにアクセスしているとの報道 (gigazine, 8/26)
》 ボーイングの宇宙船「スターライナー」の不具合で帰れなくなった乗組員はSpace Xの「クルードラゴン」で帰還することが正式に決定 (gigazine, 8/26)
Falcon 9 の打ち上げ失敗については先月解決してますね:
》 映画「メガロポリス」の予告編で登場した映画批評家によるコメントはすべてAIで捏造されたものであったことが明らかになり予告編が削除&担当者も解雇 (gigazine, 8/26)
》 Intel第13~14世代CPUの不具合、延長保証対象外CPUでも発生。国内BTO PCメーカーはどう対応するか未定 (ニッチなPCゲーマーの環境構築Z, 8/25)
》 米国の自動運転タクシー、朝4時にクラクションを鳴らしまくる 住民の不満噴出も「苦情を言う相手いない」 (ITmedia, 8/23)。「米Google傘下の自動運転企業であるWaymo」。
同社がメディア各社に寄せた声明によると、騒音の原因は「低速での衝突を避けるために最近導入した便利な機能」にあった。バックで走行中に別の車が接近しすぎるとクラクションを鳴らすというのがその機能で、「市街地では非常に役に立っているが、駐車場でこれほど頻繁に起きるとは予想外だった」という。
馬鹿すぎる。安易にクラクションを鳴らすんじゃない。
》 バイデン氏のAI生成「なりすまし電話」、米通信会社に罰金1億円 (朝日, 8/22)
》 パキスタンのインターネット速度が通常時の半分にまで低下、中国のような大規模ファイアウォールをテスト中との指摘を政府は否定 (gigazine, 8/22)
》 ロシアでTelegram・WhatsApp・Wikipedia・Discord・Twitchなどにアクセスできなくなる障害が発生、政府当局はDDoS攻撃と主張も政府によるブロックを疑う声も (gigazine, 8/22)
》 MITが学術出版社のエルゼビアと契約を打ち切ったことで「支出を8割(約3億円)削減できた」と報告 (gigazine, 8/21)
》 「TP-Linkのルーターのサイバーセキュリティリスクを調査するように」との書簡がアメリカ商務省に提出される (gigazine, 8/19)
》 不安定問題に脆弱性問題……CPUのメンテナンスは大変 (PC Watch, 8/22)。最近の Intel / AMD / RISC-V の話題。 Raptor Lake / Raptor Lake Refresh K/KF/KS モデル劣化問題、脆弱性、脆弱性。
こうしてみると、4月の記事に書いた「要するに『やり過ぎた』のだ。」は、一周回って正しかったと思わざるを得ない。4月の時には単純に「性能を上げるために消費電力突っ込み過ぎである」程度の意味合いだったのだが、今では「性能を上げるために消費電力を無理やりにでも上げるために複雑な仕組みを突っ込み過ぎて、問題の解析すらできなくなっている」ことが見えてきたことになる。これ、そこまで性能を追求しなければ、ここまで複雑な仕組みは必要なかったことになる。
4月ではなく5月の記事の模様。
RISC-V の件に興味深い記述。
ちなみにU54やU74ではこうした問題は発生しておらず、なので「RISC-Vにも脆弱性」というよりは「T-HeadのRISC-V CPUに脆弱性」というのが正しい見出しなのだろうが。
(中略)
要するに、後から動作を修正できるような仕組みが現在のCPUには欠かせないという話であり、実際にIntelやAMDがこれを活用して今回の問題に対処していることを考えると、RISC-Vにもマイクロコードレイヤーの搭載は必須になっていくだろう。
逆に言うと、現状の RISC-V にはそんなものは無い (= 対応不能) と。
》 DNS Summer Day 2024 「ChromeはHTTPS RRをまともに実装できているとは言い難い」各ブラウザーの対応状況を調べた結果が報告される (Internet Watch, 8/22)
Chrome 128.0.6613.84 (Linux) および 128.0.6613.84/.85 (Windows / Mac) が stable に。 0-day CVE-2024-7971 を含む 38 件のセキュリティ修正を含む。$36000 の大物もいますね。
Chrome for Android Update (Google, 2024.08.21)。Chrome 128 (128.0.6613.88) for Android 。 上記と同様の修正を含む。
Chrome Stable for iOS Update (Google, 2024.08.21)。Chrome Stable 128 (128.0.6613.92) for iOS。 iOS 版って、どういう扱いなのか不明なんだよなあ。
》 ロボタクシー&ロボットバスのテストが中国の19都市で行われており運転手たちに危機感 (gigazine, 8/21)
》 GoogleがChromeのデータ収集で集団訴訟に直面、Googleの主張を認める以前の判決が覆される (gigazine, 8/21)
》 クルスク州でロシア軍部隊を包囲か ウクライナ軍の空中強襲旅団 (Forbes, 8/21)
》 ウクライナ、クルスク州の支配地域2倍に拡大へ布石 川の主要な橋すべて破壊 (Forbes, 8/20)
》 iPhoneの「ヘルスケア」アプリの記録が事件の証拠となる時代に。データの信頼性は? プライバシー侵害の懸念も (Internet Watch, 8/20)
iPhoneのヘルスケア (中略) の中に、あまり見慣れない「上った階数」というデータがあるのです。(中略)
紀州のドンファン事件の容疑者は、スマホを警察に任意提出していました。警察はスマホの解析かアプリの記録から、容疑者の供述とは異なり2階に上がっていたという証拠を見つけました。このアプリがiPhoneのヘルスケアかどうかは判明していませんが、「上った階数」が具体的にわかり、かつ利用台数が多いのはiPhoneなので、筆者はiPhoneのヘルスケアの可能性が高いと考えています。
》 Microsoftが個人用と仕事用で切り替えられる統合型のMicrosoft TeamsアプリをWindowsとMac向けにリリース (gigazine, 8/21)
》 通販大手のSHEINがライバルのTemuを著作権侵害で提訴 (gigazine, 8/21)
》 第9回 IoTセキュリティフォーラム 2024。 2024.09.03〜04、東京都中央区 / オンライン、無料。
出ましたね。先週。90 MS CVE + 12 non-MS CVE (Red Hat, Chrome)。 Red Hat のは UEFI secure boot 方面、grub2 と shim の古い修正。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET と Visual Studio CVE-2024-38167 CVE-2024-38168
- Azure Connected Machine エージェント CVE-2024-38098 CVE-2024-38162
- Azure CycleCloud CVE-2024-38195
- Azure Health Bot CVE-2024-38109
- Azure IoT SDK CVE-2024-38157 CVE-2024-38158
- Azure Stack CVE-2024-38108 CVE-2024-38201
- Microsoft Bluetooth ドライバー CVE-2024-38123
- Microsoft Copilot Studio CVE-2024-38206
- Microsoft Dynamics CVE-2024-38166 CVE-2024-38211
- Microsoft Edge (Chromium ベース) CVE-2024-38218 CVE-2024-38219 CVE-2024-38222 CVE-2024-6990 CVE-2024-7255 CVE-2024-7256 CVE-2024-7532 CVE-2024-7533 CVE-2024-7534 CVE-2024-7535 CVE-2024-7536 CVE-2024-7550
- Microsoft Local Security Authority Server (lsasrv) CVE-2024-38118 CVE-2024-38122
- Microsoft Office CVE-2024-38084 CVE-2024-38200
- Microsoft Office Excel CVE-2024-38170 CVE-2024-38172
- Microsoft Office Outlook CVE-2024-38173
- Microsoft Office PowerPoint CVE-2024-38171
- Microsoft Office Project CVE-2024-38189
- Microsoft Office Visio CVE-2024-38169
- Microsoft Stream サービス CVE-2024-38125 CVE-2024-38134 CVE-2024-38144
- Microsoft Teams CVE-2024-38197
- Microsoft Windows DNS CVE-2024-37968
- Reliable Multicast Transport ドライバー (RMCAST) CVE-2024-38140
- SQL 用 Microsoft WDAC OLE DB プロバイダー CVE-2024-38152
- Windows Ancillary Function Driver for WinSock CVE-2024-38141 CVE-2024-38193
- Windows Cloud Files Mini Filter Driver CVE-2024-38215
- Windows DWM Core ライブラリ CVE-2024-38147 CVE-2024-38150
- Windows IP ルーティング管理スナップイン CVE-2024-38114 CVE-2024-38115 CVE-2024-38116
- Windows Kerberos CVE-2024-29995
- Windows Mark of the Web (MOTW) CVE-2024-38213
- Windows Network Address Translation (NAT) CVE-2024-38126 CVE-2024-38132
- Windows NT OS カーネル CVE-2024-38135
- Windows NTFS CVE-2024-38117
- Windows Power Dependency Coordinator CVE-2024-38107
- Windows Resource Manager CVE-2024-38136 CVE-2024-38137
- Windows SmartScreen CVE-2024-38180
- Windows TCP/IP CVE-2024-38063
- Windows Update Stack CVE-2024-38163 CVE-2024-38202
- Windows WLAN Auto Config Service CVE-2024-38143
- Windows アプリ インストーラー CVE-2024-38177
- Windows カーネル CVE-2024-38106 CVE-2024-38127 CVE-2024-38133 CVE-2024-38151 CVE-2024-38153
- Windows カーネルモード ドライバー CVE-2024-38184 CVE-2024-38185 CVE-2024-38186 CVE-2024-38187 CVE-2024-38191
- Windows クリップボード仮想チャネル拡張機能 CVE-2024-38131
- Windows コンピューターの初期構成 CVE-2024-38223
- Windows スクリプト CVE-2024-38178
- Windows セキュア ブート CVE-2022-2601 CVE-2022-3775 CVE-2023-40547
- Windows セキュリティ センター CVE-2024-38155
- Windows トランスポート層セキュリティ (TLS) CVE-2024-38148
- Windows ネットワーク仮想化 CVE-2024-38159 CVE-2024-38160
- Windows モバイル ブロードバンド CVE-2024-38161
- Windows ルーティングとリモート アクセス サービス (RRAS) CVE-2024-38120 CVE-2024-38121 CVE-2024-38128 CVE-2024-38130 CVE-2024-38154 CVE-2024-38214
- Windows レイヤー 2 ブリッジ ネットワーク ドライバー CVE-2024-38145 CVE-2024-38146
- Windows 圧縮フォルダー CVE-2024-38165
- Windows 印刷スプーラー コンポーネント CVE-2024-38198
- Windows 共通ログ ファイル システム ドライバー CVE-2024-38196
- Windows 展開サービス CVE-2024-38138
- Windows 保護カーネル モード CVE-2024-21302 CVE-2024-38142
- ライン プリンター デーモン (LPD) サービス CVE-2024-38199
直った 0-day は 6 件:
Microsoft Project のリモートでコードが実行される脆弱性 CVE-2024-38189 (Microsoft, 2024.08.13)
Windows Power Dependency Coordinator の特権昇格の脆弱性 CVE-2024-38107 (Microsoft, 2024.08.13)
Windows カーネルの特権の昇格の脆弱性 CVE-2024-38106 (Microsoft, 2024.08.13)
WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性 CVE-2024-38193 (Microsoft, 2024.08.13)
スクリプト エンジンのメモリ破損の脆弱性 CVE-2024-38178 (Microsoft, 2024.08.13)
Windows Line Printer Daemon (LPD) サービスのリモートでコードが実行される脆弱性 CVE-2024-38199 (Microsoft, 2024.08.13)
直ってない 0-day が 1 件:
Windows Update スタックの特権の昇格の脆弱性 CVE-2024-38202 (Microsoft, 2024.08.07)。2024.08.08 に BlackHat で情報が公開されたそうで。 まだ直ってない模様。
CVE-2024-38063 がヤバいというもっぱらの噂。
Windows TCP/IP のリモートでコードが実行される脆弱性 CVE-2024-38063 (Microsoft, 2024.08.13)。CVSS:3.1 9.8 / 8.5、「悪用される可能性が高い」。 IPv6 を無効化することで回避できる。
ネットに繋いでいるだけでリモートコード実行の恐れ。2024年8月のWindows Updateにて修正。アップデートまたは対策を [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.08.17)。IPv6 無効化方法の解説。
Where are we with CVE-2024-38063: Microsoft IPv6 Vulnerability (SANS ISC, 2024.08.20)
https://x.com/f4rmpoet/status/1825472703223992323 (x.com, 2024.08.19) からのスレッド。farmpoet 氏による CVE-2024-38063 の解説。
まとめ: https://threadreaderapp.com/thread/1825472703223992323.html。 (threadreaderapp.com)。
関連:
【Windows11】 WindowsUpdate 2024年8月 不具合情報 - セキュリティ更新プログラム KB5041585 / KB5041571 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.08.19)
【Windows10】 WindowsUpdate 2024年8月 不具合情報 - セキュリティ更新プログラム KB5041580 (ニッチなPCゲーマーの環境構築Z, 2024.08.14)
Microsoft August 2024 Patch Tuesday (SANS ISC, 2024.08.13)
2024年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2024.08.14)
Windows DNSの脆弱性情報が公開されました(CVE-2024-37968) (JPRS, 2024.08.16)
Server 2019 に不具合情報。Known Issue Rollback で対応だそうです。
パフォーマンスが低下したりフリーズする不具合。Windows Server 2019で発生 (ニッチなPCゲーマーの環境構築Z, 2024.08.23)
デュアルブート環境で不具合が起こる場合があるそうで:
WindowsとLinuxのデュアルブート環境でLinuxが起動しない不具合。2024年8月の更新プログラムが原因 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2024.08.23)。対応方法あり。
》 例示用IPv6アドレス 3fff::/20 が新たに追加 (Geek なぺーじ, 7/25)
》 IPv4アドレス移転の売買価格推移および移転組織ランキング100 (Geek なぺーじ, 7/27)
》 Intel第13~14世代CPUの不具合、メーカー製PCやBTO PCの保証はどうなるの?延長される? (ニッチなPCゲーマーの環境構築Z, 8/8)
》 Chained for attack: OpenVPN vulnerabilities discovered leading to RCE and LPE (Microsoft, 8/8)
》 WUBEN X3、なんか担当者気に入っちゃったよ!ちっちゃくて可愛い多機能ライト (アカリセンター公式ブログ, 8/6)
》 しょせん他人事ですからって~清水先生が女優さんと仲良くなることを他人事ですましたくない。 (壇弁護士の事務室, 7/25)。「しょせん他人事ですから」、いまごろになって読み始めましたが、おもしろいですね。
》 「オンライン安全法」SNS規制に効果はあるか、暴動受け英政府が強化を検討 (新聞紙学的, 8/15)
》 ブラジル事業撤退、パリ五輪、英暴動、マスク氏の「表現の自由」がネットを揺るがす (新聞紙学的, 8/19)
》 KADOKAWAグループへのサイバー攻撃や悪質な情報拡散についてまとめてみた (piyolog, 8/19)
》 ClamAV 1.4.0 feature release and ClamAV bytecode compiler 1.4.0 release (ClamAV, 8/15)
An expired signing certificate used to create one of the test files is causing feature test failures in previous versions (1.3.1, 1.0.6 LTS). This is only a test issue and does not impact ClamAV functionality or detection. We are preparing patch versions for the 1.3 and 1.0 feature releases to address the test issue.
The next LTS release will be announced later this year. It will likely be the feature release after 1.4.
》 ClamAV 0.103 LTS End of Life Announcement (ClamAV, 8/7)
We recommend that users update to the newest LTS release, ClamAV 1.0.6.
》 米の中国製ドローン禁止案、警察が反対する訳 中国DJI製品を頼りにする米国の公共安全機関 (Wall Street Journal, 8/15)。実際問題、DJI 製品が最も優れているから。
2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)
KB5034441 は廃止され、新たに KB5042320 がリリースされたそうです。
Microsoft、KB5034441を廃止。新たにKB5042320へと置き換えて配信。しかし、これも問題ありか (ニッチなPCゲーマーの環境構築Z, 2024.08.15)
KB5042320はKB5034441とは違って、Windows回復環境のパーティションに空き容量がない環境には配信されない仕様になっています。
根本的な対応を諦めた、ということかな……。
RyzenやEPYCに新たな脆弱性『Sinkclose』。BIOS ROMにマルウェアを仕込まれる恐れ。AMDは緩和策をリリース (ニッチなPCゲーマーの環境構築Z, 2024.08.10)
JVNVU#98459170 Intel製品に複数の脆弱性(2024年8月) (JVN, 2024.08.14)
Security announcements (moodle)。 2024.08.19 付で MSA-24-0021 〜 MSA-24-0041 が公開されている。
Moodle 4.4.2 (moodle, 2024.08.12)
Moodle 4.3.6 (moodle, 2024.08.12)
Moodle 4.2.9 (moodle, 2024.08.12)
Moodle 4.1.12 (moodle, 2024.08.12)
WebKitGTK and WPE WebKit Security Advisory WSA-2024-0004 (oss-sec ML, 2024.08.17)
Unbound 1.21.0 released with multiple security fixes (oss-sec ML, 2024.08.16)。以下への対応だそうです。
CAMP: Compositional Amplification Attacks against DNS (usenix.org)
A Flushing Attack on the DNS Cache (usenix.org)
Dovecot CVE-2024-23185: Very large headers can cause resource exhaustion when parsing message (oss-sec ML, 2024.08.15)。patch あり。
Dovecot CVE-2024-23184: Having a large number of address headers (From, To, Cc, Bcc, etc.) becomes excessively CPU intensive (oss-sec ML, 2024.08.15)。patch あり。
Django CVE-2024-41989, CVE-2024-41990, CVE-2024-41991, and CVE-2024-42005 (oss-sec ML, 2024.08.06)
Multiple vulnerabilities in Jenkins (oss-sec ML, 2024.08.07)
》 A Top-level Domain for Private Use draft-davies-internal-tld-00 (IETF, 8/2)。「.internal」。
The "internal" namespace and the "alt" namespace [RFC9476] have been reserved for different purposes. "alt" has been reserved for non-DNS contexts, whereas "internal" is intended for use with the DNS protocol for in a private-DNS context.
》 8月になっても無料開放されないGoogle「ダークウェブ レポート」、日本ではしれっと延期に 公式ヘルプサイトの表記がいつの間にか変更されとる……【8月7日追記】 (窓の杜, 8/7)
》 「マネーフォワード」ユーザーのアカウントが乗っ取られ、不審なメールの大量送信に悪用される。注意呼び掛け (Internet Watch, 8/16)
》 テレ東の番組で露呈した「警察密着」の問題点 娯楽と報道のはざまで (朝日, 8/13)。テレ東 2023.03.28「激録・警察密着24時‼」。
愛知県警の捜査員が卸売会社の役員ら男女4人を訪ね、逮捕状を執行する。(中略) 番組は4人を「事件の首謀者」とし、「偽グッズで荒稼ぎする闇組織」などと放送。だがこの女性を含む3人は、放送の1年半前に不起訴処分になっていた。
(中略)
23年3月の放送後、テレ東に会社側が抗議。 (中略) テレ東は24年5月末、行き過ぎた演出や複数の不適切な内容があったと公表し、関係者の名誉を傷つけたなどと謝罪した。番組は制作会社のテレビジョンフィールドが制作し、納品。テレ東が内容を確認して放送していた。
放送から謝罪まで 1年と2か月ですか。
放送倫理・番組向上機構(BPO)の放送人権委員会は6月、放送倫理検証委は7月にそれぞれ番組について調査を行うと決定。
関連:
「2023年3月放送『激録・警察密着24時!!』に関するお詫び」 (テレ東)。ページ内に 2024年5月28日(火)放送「ウオッチ!7」 (テレ東 / YouTube) へのリンクがある。
放送人権委員会 議事概要 第328回 (BPO, 2024.06)
申立ての対象となったのは、テレビ東京が2023年3月28日に放送した『激録・警察密着24時!!』(中略)
6月18日に開かれたBPO放送人権委員会は、委員会運営規則第5条(苦情の取り扱い基準)に照らして、本件申立ては審理要件を満たしていると判断し審理入りすることを決めた。次回委員会から実質審理に入る。
放送倫理検証委員会 ニュース・トピックス 2024年7月12日 (BPO, 7/12)。「テレビ東京『激録・警察密着24時!!』が審議入り」。
》 終わりを迎えた「キャンプブーム」 “あとしまつ”の道は災害対策か (ITmedia, 8/9)
》 【詳細】小林製薬 紅麹事業から撤退へ 新社長が会見で陳謝 (NHK, 8/8)。企業体質自体はあいかわらずな感じだけどなあ。
しかし、新たに設けられた特別顧問に就任した小林前会長に対して、通常の顧問に支払われる報酬の4倍にあたる月額200万円の報酬が支払われることが明らかになっています。これに対して、専門家からは、「危機意識が低い」という指摘も出ています。
関連:
小林製薬 辞任の前会長に月額200万円の報酬支払いへ (NHK, 7/26)
紅麹事業からの撤退に関するお知らせ (小林製薬, 8/8)
紅麹関連製品について (小林製薬)。結局、現在の死者数ってどうなってるんだっけと思って見てみると、 さっぱりわからない表記になっている。
「死亡が関連するお問合せ数」の「詳細調査対象」が疑い事例なのだろうけど、 「調査完了: 21」についてすら白黒つけられていないというのが、正直よくわからない。
紅麹で健康被害「小林製薬」見せかけの企業改革 「ガバナンスの優等生」は形だけだったのか (東洋経済, 7/22)。小林製薬大阪工場は GMP(適正製造規範)認定未取得。
1つ明らかなのは、小林製薬が紅麹原料を自社で製造する医薬品とは別の基準で製造してきたということだ。同社は「ナイシトール」や「命の母」などのOTC(一般用医薬品)を製造する。OTCは当然GMPを取得した製造ラインで生産されているが、紅麹原料ではそうした配慮はなかった。 「史上初」をうたう(写真は小林製薬提供)
原因物質については、別の可能性も指摘されている。紅麹が特殊な環境下で製造され、「消費者庁への届出実績がない新規の機能性関与成分」(消費者庁の公表資料)であったことだ。前出の池田氏は「小林製薬の製造方法は特殊で、特異な紅麹菌を使用していたほか、紅麹を約50日と通常より長く培養していた。その過程での汚染や、まったく別の物質を生み出したことも国の調査で報告されている」と指摘する。
なぜ通常より長く紅麹を培養していたのか。小林製薬は「有用成分の適正量を担保するため」だと説明する。ただ独自の製法や管理手法が、未知のリスクを引き起こしたおそれがある。
》 日本でも「ライドシェア」は始まっている…でも「見たことない」し「稼げない」らしい 何が起きている? (東京, 8/8)
しかし働き手からは、悲鳴も上がっている。「これでは稼げない」—。7月29日にオンラインで行われた、規制改革推進会議ワーキング・グループ(WG)の会議。参入ドライバーに聞き取った声が紹介された。
ライドシェアは運行曜日や時間が限られている上に、別の業務をしていた場合、運行前には9時間空けなくてはならない。「制限を撤廃してほしい」といった要望が上がった。社会保険の対象とならないよう、タクシー会社が週20時間未満の勤務を条件とするケースも続発し、「ワーキングプアの温床だ」との声も。売り上げの3〜5割がタクシー会社の手数料となる事例も紹介された。
「無課金おじさん」じゃない方、金メダルの人について (あきゅらぼ, 8/6)。セルビア代表ダミル・ミケッツ選手と、 使用拳銃ワルサー LP300XT について。 He use the walther (声: チャーリー・コーセイ)。
「無課金おじさん」に幻想を持ちすぎないで (あきゅらぼ, 8/6)。オリンピックは、ぶらっと来れる場所じゃないですからね。
これ、2024パリ五輪公式サイトに掲載されているユスフ・ディケチ選手の、これまで参加したことがある世界大会での戦績表です。とんでもない量です。スクロールしてもしても最後までたどり着かない! これだけ世界大会に参加していて、しかも入賞もけっこうしている(金銀銅メダルマークがついているのですぐわかります)のに、これまでのオリンピックでは44位(2008北京)、27位(2012ロンドン)、21位(2016リオ)、24位(2021東京)、13位(2024パリ)と、ファイナル出場条件である8位以内に届かなかった、その壁をついに破り銀メダル獲得となったのが2024パリでの10mエアピストルMIXだったのです。
関連: DIKEC Yusuf (olympics.com)、 Yusuf DIKEC (issf-sports.org)
関連:
オリンピック直前企画・25mピストルのルール (あきゅらぼ, 8/3)
オリンピック直前企画・ラピッドファイアピストルのルール (あきゅらぼ, 8/4)
》 KADOKAWAの公式サイト復旧 一部コンテンツや関連サイトは「順次」 (ITmedia, 8/9)
》 セイコーエプソンやエプソン販売が不正アクセス被害に 詳細調査中 (ITmedia, 8/9)
》 委託先がPOSレジのデータ消さず再販売、約10万件情報漏えいの可能性 気仙沼市立病院 (ITmedia, 8/8)
POSレジのうち1台は第三者がフリマアプリで購入。購入者が情報を閲覧できることに気付き、23年9月26日に市に連絡したことで事態が発覚した。(中略) 残る2台は未回収。委託事業者からの報告によれば、ジャンク品として販売されているという。
》 トレンドマイクロが身売りを検討中 関係者 (ロイター / ITmedia, 8/9)
ここ数週間の円の弱体化と、日本の競合他社と比較して株価が低迷していることから、買収のターゲットになっている。
おぉぅ。
》 Ankerの睡眠時用イヤホン「Soundcore Sleep A20」が期待以上の効果! “寝落ち”の必需品かもしれない (Internet Watch, 8/9)。へぇ。
出てました。
Firefox 129 がリリースされた (mozillaZine, 2024.08.07)
Firefox for Android 129 がリリースされた (mozillaZine, 2024.08.07)
Thunderbird 128.1.0 ESR がリリースされた (mozillaZine, 2024.08.07)
Thunderbird 115.14.0 がリリースされた (mozillaZine, 2024.08.07)
Chrome 127.0.6533.99/.100 (Windows / Mac) および 127.0.6533.99 (Linux) 公開。6 件のセキュリティ修正を含む。 関連:
Chrome for Android Update (Google, 2024.08.06)。Chrome 127 (127.0.6533.103) for Android。
「Microsoft Edge」も2日遅れで「ANGLE」の致命的な脆弱性に対処 v127.0.2651.98への更新を (窓の杜, 2024.08.09)。
》 内部告発の行方はどうなる? 兵庫県が信金への補助金を増額してキックバックさせた疑惑で、サンテレビが新たな文書を入手 (SlowNwes, 8/8)、 【独自】兵庫県元副知事が補助金増額を指示した県職員メモ 阪神・オリックスの優勝パレードの約1週間前 (サンテレビ, 8/6)
》 不祥事相次ぐ鹿児島県警、本部長に提言できる制度を新設へ (産経, 8/1)。関連:
鹿児島県警の不祥事再発防止策を県議会委が調査 「外部の目が入っていない」「精神論ばかり」…具体性欠く内容に委員から批判続出 (南日本新聞, 8/7)
複数人が「警察関係の組織だけで原因分析や対策策定を進めており、外部の目が入っていない」などと批判。「今すぐ解決しなければならないのに精神論ばかりが書かれている。対策ではなく、案に過ぎない」との厳しい声もあった。
ツイート:
この制度の提言先が外部であれば画期的だった!
— 粟根康智(元警察官)逃げたくない人 (@kuuumikoriku) August 1, 2024
提言先が本部長では誰も何も言えない。
警察内部なら誰だってわかってる。
広島県警だって監察が内部告発を本人に伝える始末なんだから。
抜本的な改革が必要ではないか!
上司の評価を部下ができるのは良いと思う。… https://t.co/VVJPIbZiP0
粟根康智(元警察官)逃げたくない人 (twitter)。告発男性。
元警察官が “カラ出張” を内部告発し退職… 県警監察官室が調査・捜査認める 代理人「氷山の一角だ」 広島 (TBS, 2023.08.07)。「男性は組織的な関与があるとして、不正を自ら申告し、去年3月に退職したということです」
告発男性、広島県庁で記者会見 (2023.11.20)
元警察官 “上司に指示されカラ出張していた” (NHK, 2023.11.20)
元巡査部長がカラ出張を告発 「上司指示で」計6回 広島 (毎日, 2023.11.21)
広島県警の元巡査部長、6度の「カラ出張」を告発…「おかしいと思いながらも不正に関わってしまった」 (読売, 2023.11.21)
広島県警「カラ出張」問題 警部(53)ら3人を懲戒処分 詐欺容疑などで書類送検も 不正受給は計16万円余りで他の2人も関与 (TBS, 2023.12.08)
広島県警カラ出張 公権力担う自覚あるのか (中国新聞, 2023.12.10)
広島県警“カラ出張”問題「真相は未解明」 内部告発の元巡査部長(44)が会見で主張 「県警認定の不正受給額は少ない」 (TBS, 2023.12.13)
広島県警の不正経理「上司の命令にノーはない」元警官の実名告発までの葛藤 「公安に相当の闇がある」弁護士も指摘 (弁護士ドットコムニュース, 2/27)
一連の問題では、捜査員が協力者に渡すことがあるという捜査費の使い道がどうなっていたのかも明らかになっておらず、粟根さんは会場に集まった参加者に「事件は全く一件落着していない」と強調した。
警察庁として捜査を 広島県警カラ出張巡り井上氏 参院内閣委 (赤旗, 5/19)
警察の「内部告発潰し」はここでも!広島県警での隠蔽工作の証拠音声を入手 (SlowNews / Yahoo, 6/7)
【スクープ速報】広島県警の「内部告発を受理した」は虚偽の疑い!監察官もグルで「警察の犯罪」を隠蔽か (SlowNews / Yahoo, 6/24)。「鹿児島県警の問題とも重なる“内部告発潰し”」。
》 エアコンや扇風機なく「うちわだけ」は人権侵害…日弁連が徳島刑務所に熱中症対策を勧告 (弁護士ドットコムニュース, 8/7)
》 「iOS 17.6.1」公開、「高度なデータ保護」を有効/無効にできない問題を修正 (CNET, 8/8)。iOS / iPadOS 17.6.1 の他に iOS / iPadOS 16.7.0、macOS 14.6.1 / 13.6.9 が公開されています。
Apple security releases (Apple)。CVE 番号が付与された脆弱性の修正は含まれないそうです。
》 ツメが折れたLANケーブルに後付けできるラッチ「ADT-RJ45SOS-10」、サンワサプライが発売 (Internet Watch, 8/7)。おぉ。
》 米CISAの「選挙管理者のためのセキュリティ運用ガイド」は一般的な機密情報管理にも参考になる内容 (Internet Watch, 8/7)
》 間違いなく「320MHz幅対応のWi-Fi 7対応PC」が欲しいならココを見ろ! 足で稼いだ情報で最新PCの対応状況を深堀りする (Internet Watch, 8/7)。地道に店頭で調べるのがいちばんというのが現状の模様。 しかも、店頭で調べれば ok ok ではないと。
さて、ここまで紹介してきたが、前述したように、「320MHz技術的対応」と「320MHz法的対応」の欄が両方とも「〇」となっていたとしても、320MHz幅での通信ができる“可能性がある”に過ぎない点には注意したい。
(中略)
実際、筆者が個人的に購入したLenovo Yoga Slim 7x Gen 9は、先の表のとおり、モジュールも〇、技適も〇だが、本稿執筆時点でもドライバーまたはファームウェアが320MHz幅対応していない状況で、実際にWi-Fi 7対応ルーターに接続しても320MHz幅ではリンクしない。
提供されるドライバーの出来にも左右されるそうで。厳しい。
》 東海道新幹線 豊橋駅~三河安城駅間における保守用車脱線の原因と対策について (JR東海, 8/5)。 新幹線を止めた保守用車脱線事故 の件、驚くべき原因が明らかに。
軌道モータカーに牽引された6両の砕石運搬散布車のうち少なくとも3両(※1)について、 ブレーキ力が大きく低下した状態で走行していました。(中略)
※1 その他の3両については衝突の影響で破損していたため確認できていません。
後に続く記述を考えると、「その他の3両」も同様に「ブレーキ力が大きく低下した状態」だった疑いが濃厚なんだよなあ。で、続くのがこれ:
ブレーキ力が適正か否かを確認するための指標となるブレーキシリンダーのストローク量(以下、ストローク量という。)が、本来ならば使用停止すべき値となっていた(※2)にもかかわらず、使用前にそのことを認識できなかった
いやいや見りゃわかるだろ、と思ったが、その理由が 2 つ:
ストローク量を確認する際、最大圧力でブレーキをかけた状態で行うという保守用車メーカー想定の確認方法を採っていなかったこと【別紙3】。
ハァ?! と思うが、その理由がこれ:
①当社における確認方法
230kPa (7ノッチ)
②メーカーの想定する確認方法
380kPa (10ノッチ) = 最大圧力
※説明書にはその旨の記載なし
マニュアルに記載無し?! どういうこと? というか、JR東海の「230kPa」はどこから出てきた数字なの?
ストローク量の調整要否の判定について、当社から保守用車メーカーに対して判定方法の 確認を行わず、両者の認識が異なり、結果的に誤った方法で判定していたこと【別紙4】。
メーカーが示した「使用限界は130mm」の判定方法について、 貼付された判定用テープ (幅 10mm) の「右側」(遠点) なのか「左側」(近点) なのかで誤認識が発生していたと。 マニュアルに記載が無い上に、JR は確認しないまま、判定が緩くなるような認識 (=「左側」) を行ったと。 ハァ。
いやいやいや。重要情報記載してないってどういうこと? 列車の世界ってそんなんなの? JR 東海は、そんなマニュアルをはいはいそうですかと受領したの?
関連:
東海道新幹線保守用車同士の追突事象に関する考察 (どんこめ / note, 7/23)。「ブレーキが利かなかった理由(注:筆者推測)」 がいずれも間違っているのが興味深い。そりゃそうだよ! こんな真相を予想できるわけがない。
》 TTC・SPEコンソーシアム共催セミナー 「Single pair Ethernet(SPE)の最新技術動向」開催のお知らせ (情報通信技術委員会)。2024.08.22、Zoom Webinar、無料。 関連:
シングルペアイーサネット通信用拡張セット (LE-8600X/LE-8500Xシリーズ用) SB-T1E (LINEEYE)
Phoenix Contact シングルペアEthernet(SPE)コネクタ (mouser.jp)
》 ランサムウェア攻撃による情報漏洩に関するお知らせ (KADOKAWA, 8/5)
》 三菱電機子会社で不正アクセス、最大で231万人分の個人情報が閲覧された可能性 (Internet Watch, 8/5)
》 AIの訓練に使われたかどうかを判別、「トラップ」ツールが登場 (MIT Technology Review, 8/5)
》 Google、授業中にスマホの機能を制限する機能 (PC Watch, 8/5)。「School time」。
すでにスマートウォッチの「Fitbit Ace LTE」では2024年より導入しているが、今後1年間で一部のAndroidスマートフォン、タブレット、Samsung製のGalaxy Watchなどにも展開していく予定だという。
》 ツイキャスの「コメントを画面に流す」は“無許諾”か 特許を持つドワンゴが指摘、法的アクションも匂わせる (ITmedia, 8/2)。「コメントを画面に流す(β)」の件。
》 Google、Geminiのパリ五輪CMへの不評を受けテレビから撤回 (ITmedia, 8/4)
このCMが放映されると、SNSなどに多数の批判が寄せられた。例えばCNNやCNBCのコメンテーターも務めるコンサルタントのシェリー・パーマー氏は自身のブログで「これはまさに、絶対にやってほしくないAIの使い方だ」と批判した。「この父親は、娘が自分の言葉で誠実に気持ちを伝えるよう指導するのではなく、人間にとって大切なスキルをAIに頼るよう教えているのだ」と説明した。
》 屋久島沖 米空軍オスプレイ (CV-22B) 墜落事故 (2023.11.29) 調査報告書
Gearbox Failure Caused Air Force V-22 Osprey Crash, Investigation Finds (airandspaceforces.com, 8/1)
屋久島の沖合で発生した米空軍横田基地所属のCV-22オスプレイの墜落事故に関する事故調査報告書について (防衛省, 8/2)、 (別紙)屋久島の沖合で発生した米空軍横田基地所属のCV-22オスプレイの墜落事故に関する事故調査報告書の概要 (防衛省, 8/2)
オスプレイ墜落、ギアにひび 警告灯表示も飛行継続 米軍調査報告書 (毎日, 8/2)
オスプレイ報告書、米軍の安全意識の低さに警鐘 「人的ミス」の色濃く (毎日, 8/2)
【速報】オスプレイ墜落の根本原因「特定できず」 米軍が調査報告書を公表 23年11月の屋久島沖事故 (琉球新報, 8/2)
第三者委員会による調査報告書の公表について (東京女子医大, 8/2)
「女帝に事実上の辞任勧告!」“東京女子医大の闇”第三者委員会の調査報告“驚きの内容”「女子医大の理事会は解散すべき」「予想は良い意味で裏切られました」 東京女子医大の闇#20 (文春オンライン, 8/2)
東京女子医大の第三者委、理事長の責任を指摘 報告書を公表 (朝日, 8/2)
「うそばかりだ」東京女子医大の理事長派 報告書に反発、怒号 (毎日, 8/2)
》 Intel、2期連続の最終赤字で約1万5000人の人員削減発表 (ITmedia, 8/2)
》 兵庫県の斎藤元彦知事、30日に証人尋問 パワハラ疑惑で百条委 (日刊スポーツ, 8/2)
関連:
兵庫県、総務部長も体調不良で病欠 知事側近の一人 (日経, 8/1)、 【疑惑の斎藤知事】最側近“4人組” 2人が離反、3人目もサボタージュ…「辞任は否定」も「阿部一二三に祝福コメント」で批判殺到 (デイリー新潮, 8/2)
「“個人情報をすべて公開する”と脅されていた」斎藤知事パワハラ疑惑 亡くなった局長の知人明かす怒りの真実 (女性自身 / Yahoo, 7/30)
》 腰が低い「異色の官僚」だった斎藤知事 「どちらが本当の彼なのか」戸惑う記者も 県政3年を振り返る (神戸新聞, 8/2)。「戸惑う記者」は誰かと思ったら松本創氏だ。
斎藤が大阪府の財政課長だった20年ごろから付き合いがあるジャーナリストの松本創(はじむ)も「東北(宮城県)の出向時代も含め、在阪記者からも軒並み評判がいい。好人物だったが…」と戸惑いを口にする。
松本は複雑な思いで行く末を見つめている。
「あの時の彼のイメージと、今の疑惑が結び付かない。取材先と、部下に見せる顔は違ったのもしれない。どちらが本当の彼だったのか」
外ヅラだけはいい人だった、ということなんですかね。
側近の一人は「知事は走りながら考えるタイプ」とかばうが、別の幹部は「話題になっていることに飛びつく。兵庫県をどうするかというビジョンをまるで持っていない」と突き放す。
(中略)
3年前、斎藤を支援した自民県議の一人は自省する。「これがやりたいという政治哲学や熱意がないのが一番の問題だ。結局、知事になりたかっただけなのだろう。資質を見誤ったわれわれの責任も大きい」
外ヅラだけの空っぽの人、ということなんですかね。
》 Wi-Fi 7機器は技適マークがあっても安心できない? 現在の日本国内で使う際の注意点 (窓の杜, 8/2)。ややこしや。
法律上、また電波の公正な利用上やむを得ないことと理解はしつつも、もう勘弁してくれという愚痴は出てしまう。
ほんとこれ。
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ (2024.07.08)
関連: 「ぶいすぽっ!」応募者の情報流出問題、「Googleフォームの予告ない仕様変更」が原因の一端か (岡田有花 / ITmedia, 2024.08.01)
Chrome 127.0.6533.88/89 (Windows / Mac) および 127.0.6533.88 (Linux) 公開。 3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.07.30)。Chrome 127 (127.0.6533.84) for Android。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)