Last modified: Fri Mar 21 19:14:36 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 USAF Air Base In England Is Nuclear Capable Again: Watchdog Report (The War Zone, 2/27)。イギリスのレイクンヒース空軍基地 (米空軍が駐留)、 核兵器再配備を準備中だそうで。 FASの報告書 の紹介記事。
》 This Is What The Classified AIM-260 Missile Actually Looks Like, Air Force Confirms (The War Zone, 2/26)。AIM-120 と同サイズで大射程化 (最大1.5倍) を実現。
》 コラム:ウクライナ、鉱物資源取引にのぞくトランプ氏顔負けのしたたかさ (ロイター, 2/27)
ウクライナの鉱物資源の規模は未知数だ。ウクライナのウランやリチウム、原油、ガスなどの天然資源について地元当局はほとんど把握していない。いわゆるレアアース(希土類)のマッピングは数十年前が最後で、もしかすると鉱床には採算性がないかもしれない。その上、一部はロシアに占領された地域にある。
さらに、収入が得られるのは何年も先になる。ウクライナはまず、鉱山施設の建設や再建を手がけた上で、損傷したエネルギー網を修復しなければならない。もっとも将来的な見返りが約束されれば米国の投資が促進され、世界銀行が5240億ドルかかると試算しているウクライナの再建が始まる可能性がある。
》 「ノートPCを10%値上げする」とAcerのCEOが発言、トランプ大統領による追加関税が原因 (gigazine, 2/19)
》 ドイツ海軍で続く破壊工作、今度はフリゲート艦の飲料システムに廃油を混入 (ミリレポ, 2/26)。3件目だそうで。
関連:
Unknown Saboteurs Are Targeting German Navy Warships (maritime-executive.com, 2/18)
German Navy Thwarts Another Sabotage Attempt (maritime-executive.com, 2/23)
Germany says its warships were sabotaged as concerns mount that Russia is waging a hybrid war (Business Insider, 2/13)。艦艇だけではないようで。 DeepL 訳:
ドイツでは過去2年間、飛行機内でパッケージが燃えたり、ベルリンの弾薬工場で火災が発生したりと、複数の事件が起きており、すでに妨害工作への警戒を強めている。
最近では、スペインにあるドイツの弾薬工場が1月下旬に爆発に見舞われ、6人の作業員が負傷した。
ドイツ当局はロシアが第一容疑者であることを繰り返し示唆しているが、これらの事件の多くはまだ調査中である。
》 このままロシア軍が進軍を続ければウクライナの鉱物資源・レアメタルが奪われる (ミリレポ, 2/4)。トランプ政権が停戦を急ぐのは、そういう理由もあるのか?
しかし、これら鉱物資源の鉱床の多くはロシアが制圧しているウクライナ東部に集中している。1月27日、ウクライナ軍の元司令官ヴィクトル・ムジェンコ氏は、ドネツク州、ルハンシク州、ザポリージャ州、ヘルソン州と4つの地域を失ったことでウクライナは天然資源の半分を失ったと発言している。カナダのシンクタンク「SecDev」の分析によると、ロシアが押収した埋蔵量の価値は2022年の分析時点で12兆4000億ドル規模に達しており、その価値は現在、更に増加しているだろう。
》 原爆投下したB-29が出撃したテニアン飛行場再稼働へ (ミリレポ, 2/21)
》 Chromeの変更にともない、グーグルが「すべてのデバイスを追跡」開始 (Forbes, 2/23)
》 維新兵庫県議の情報提供問題 岸口氏は除名 増山氏を離党勧告 (NHK, 2/26)。岸口実、除名されたにもかかわらず辞職せず。 これが維新クオリティ。 関連:
ツイート
日本維新の会には「党から除名処分を受けた場合は辞職する」旨の誓約書があり、兵庫県議の岸口氏と増山氏も提出済みのリストに名前が記録されています。
— 恒久的絶対平和☮️ (@japasiaearth) February 19, 2025
果たして除名処分は下るのでしょうか?https://t.co/KJPS05tiLR pic.twitter.com/rBygjvF1XB
》 ロシア軍の「亀戦車」が地雷をものともせず猛進、だが穴ぼこに落ちる (Forbes, 2/26)
》 パスワードマネージャーに保存された認証情報を狙うマルウェア、前年の3倍に増加 (やじうま Watch, 2/19)。宝の山だからなあ。
》 警察庁、「海外で儲かる仕事」に誘われ、脅迫・監禁され、犯罪に加担させられる事案に注意喚起 (Internet Watch, 2/21)
》 警察庁、保護者向けに「ゲーム上で子どもの信頼を得たうえで犯罪行為を行う者がいる」とオンラインゲームの現状を説明し、注意喚起 (Internet Watch, 2/21)
》 スティグリッツが警告「トランプ率いる米国は、進歩が止まるだろう」 (クーリエ・ジャポン, 2/26)
》 下水道に起因する道路陥没事故をうけての土木学会会長から会員の皆さんへのメッセージ (土木学会, 2/26)
》 TBS ラジオ降板の生島ヒロシに言及 セクハラ、パワハラは「調査の過程で複数の案件があった」 (スポニチ, 2/26)
》 大阪万博の目玉 344億円の巨大木造リングはほぼフィンランド産…「日本の森林再生のため」の嘘っぱち (日刊ゲンダイ, 2/26)
》 台湾海峡の離島で海底ケーブル切断 中国のグレーゾーン作戦か (毎日, 2/25)。澎湖諸島と台湾本島との間のケーブル。 一度目は偶然. 二度目は必然. 三度目は……?
》 吉本ばなな氏「こんな本書いてない」 偽書籍に法的措置へ「こんなことがオッケーになったら…」 (日刊スポーツ / Yahoo, 2/26)。 こちらのツイート。 本件については amazon 側で既に対応されたようですが、 こんなのが通ってしまっているのがなあ。
》 「水曜日のダウンタウン」実在学校名で架空のいじめ演出 TBS謝罪 (毎日, 2/25)
》 「ヌル氏」名前のせいでビザが発行されずホテルの予約もできずインターネット契約すら解約できず他人宛の郵便物が届きまくる (gigazine, 2/25)。不具合が生じる名前……。
》 DOGE職員21人が辞表を提出、元USDS職員で「重要な公共サービス解体に協力したくない」との理由 (gigazine, 2/26)
》 世界最凶のスパイウェア・ペガサス (早川書房)。1/22 に出ていたのですね。 Pegasus - How a Spy in Your Pocket Threatens the End of Privacy, Dignity, and Democracy (Macmillan, 2023.01.16) の邦訳のようです。 関連:
》 《兵庫知事疑惑》「ひどい。こんなにギョッとしたのは」兵庫県関係者の衝撃的な証言が…亡くなったX氏を追い込んだ7人の脅迫者 (プチ鹿島 / 文春オンライン, 2/25)
》 「蒸留所」を訪ねると…日本のウイスキー「世界からそっぽ」の恐れも (朝日, 2024.12.26)。四季酒造の丹波 ウイスキー の件。 黄桜 丹波 シングルモルト のパチもんらしい。 原産国は韓国?!
》 砲弾で株売られたダイキン ESGの圧力で事業撤退へ (日経, 2/26)。ダイキンとコマツ、白リン弾から撤退だそうで。
具体的には英ベイリー・ギフォードや伊アニマなどが白リン発煙弾を理由にダイキン株を23年までに売却したと公表した。欧州事業の不振もあり、ダイキンの株価は22年末比で2割安い。ダイキンの空調は環境性能が高く、もともとESG(環境・社会・企業統治)重視の資金が多く入っていた面もある。
関連:
白リン弾の使用について基礎知識と提言:再び白リン弾を使用し始めたイスラエル (JSF / Yahoo, 2023.10.13)
》 ABEMA番組、女性へのAED使用巡る投稿、「裏付け困難」と謝罪 (朝日, 2/25)
「Parallels Desktop」にゼロデイ脆弱性 ~以前実施した権限昇格対策が不十分との指摘 (窓の杜, 2025.02.25)。 CVE-2024-34331
「GNU Emacs 30.1」が公開 ~Android版が追加、高速なネイティブコンパイルが既定有効 (窓の杜, 2025.02.26)
なお、本バージョンでは「man.el」のシェルインジェクション(CVE-2025-1244)と「Flymake」の任意コード実行(CVE-2024-53920)も修正されている。セキュリティ維持のためにもアップデートは怠らないようにしたい。
関連:
CVE-2025-1244 (Red Hat)、 CVE-2025-1244 (Debian)
CVE-2024-53920 (Red Hat)、 CVE-2024-53920 (Debian)
Emacs Arbitrary Code Execution and How to Avoid It (eshelyaron.com, 2024.11.27)。 CVE-2024-53920 の件の詳細。
Chrome 133.0.6943.141/.142 (Windows / Mac) および 133.0.6943.141 (Linux) 公開。1 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.02.25)。Chrome 133 (133.0.6943.137) for Android。
》 テックラッシュ時代の到来、 「シリコンバレー流」が 本当に破壊したもの (MIT Technology Review, 2/21)
》 スターマー英首相、ウクライナの平和維持のため地上部隊派遣の「用意」あると (BBC, 2/17)。現実はこんな感じ↓の模様。
スターマー首相の発表の前には、元イギリス陸軍司令官のダナット卿がBBCに対し、イギリス軍は「あまりに疲弊している」ため、今後ウクライナでどのような平和維持活の先頭に立つこともあり得ないと話していた。
(中略)
2006年から2009年にかけて英陸軍トップだったダナット卿はBBCに対し、ウクライナの平和維持活動には最大4万人のイギリス軍兵士が必要になるものの、「そのような人員はまったく確保できていない」と話した。
ダナット卿は、平和維持部隊には計約10万人の兵士が必要となり、イギリスは「そのかなりの割合を提供しなくてはならないが、そんなことは本当にまったく無理だ」と述べた。
関連: Twenty-thousand troops? We only have 25 main battle tanks working at best (Independent, 2/20)。装備更新ができてない件。
Now, the main battle tank (MBT) force is at a disastrous low. The Challenger 2 fleet (just over 400 were bought in the 1990s) has a notional strength of 213 tanks, after 14 were donated to Ukraine. However, these have been at the receiving end of “malign neglect” - maintenance regimes slashed in the 2000s and 2010s, spares not purchased, and supply chains disappearing as companies went bust. In 2023, it was reported that only around 160 of the fleet was in any fit state to be used on operations (after extensive, expensive work) - and the situation got worse.
チャレンジャー 2 保有数 (上記では 213) とチャレンジャー 3 移行数 (148 台を計画) が合わないのは何故? と思っていたのだけど、実動数 ≒ 移行数ということかな。
》 「トランプ2.0」と台湾 鍵となるのは、退任したこの人かもしれない (クーリエ・ジャポン, 2/25)。蔡英文前総統。
実際、米国から台湾への武器の販売は、蔡とトランプの1期目のときに過去40年間で最高を記録した。そこにはF16戦闘機80億ドル(約1兆2000億円)分という、その規模の大きさが当時話題になった超大型案件も含まれる。
このようにトランプを味方につけたことにより、台湾の防衛力増強の道が開けたと蔡は誇る。蔡の総統在任中、台湾の防衛予算は80%も増額したという。
それまでは、台湾が欲しいと言ってもアメリカが売ってくれなかったからね。
台湾側にも不満がある。ニューヨーク・タイムズによると、米国の生産能力が追いつかず、台湾がすでに支払った分の武器や軍事装備も、まだ大量に未納となっている。そのような状況でもっと購入しろと米国に言われることに、不信感を抱く人もいるのだ。
これだよね。いまどきのアメリカは、発注してもモノが来ない。
》 デルタ航空4819便着陸失敗・転覆事故 (2/17) 方面。 死者なし、21名負傷。
Delta Connection Flight 4819 (Wikipedia)
Endeavor Flight 4819 (DELTA NEWS HUB)。オフィシャル情報。
A Delta flight crashed and overturned while landing in Toronto. Here’s what we know (CNN, 2/20)
Why did a plane crash in Toronto, and how did everyone survive? (BBC, 2/19)
着陸失敗の瞬間 飛行機“逆さま”新たな映像 カナダ・トロント【スーパーJチャンネル】(2025年2月19日) (ANN / YouTube, 2/19)。片足着陸となって右主翼が脱落し、転覆した模様。
着陸中に旅客機横転したデルタ航空、乗客につき3万ドル補償金を提示=カナダ (中央日報, 2/21)
》 航空機事故やインシデントが突然増加?、真相は (CNN, 2/20)。増加どころか、 NTSB の 2025.01 暫定データによると、 2025.01 は総航空機事故数、総航空機死亡事故数共に過去最低なのだそうで。
昨年こんな祭りがあったのですね。知らんかった。
Rogue WHOIS server gives researcher superpowers no one should ever have (ars technica, 2024.09.11)
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI (labs.watchtowr.com, 2024.09.11)。20ドルで楽しむべ〜。 いやはや、すさまじいなこれは。 DeepL 訳:
この時点で、私たちはあることに気がつきました。 おそらく、GlobalSignは新しいWHOISサーバーにクエリしていたのだろう - しかし、私たちのWHOISサーバーが返した文字列はGlobalSignの解析と互換性がなかったのだろうか?
私たちは、正規のWHOISサーバーから出力されたmicrosoft.mobi をコピーし、私たち独自のものにし、私たち独自のWHOISサーバーに読み込みました:
息を潜めて、microsoft.mobi のCSRでGlobalSignを再トリガーした。
最近 SSL 証明書の取得に whois 情報を使えなくなったのは、本件の影響なんだろうなあ。
WHOIS情報を用いたドメイン認証方法における新たな要件変更とその影響 (GMO グローバルサイン, 2024.12.05)
WHOIS ベースのEメール によるドメイン名の利用権確認(DCV)方式のご利用及びサポート終了に関するご案内 (DigiCert, 2025.02.12 更新)
》 横浜市による度重なる「報道介入」に抗議する (新聞労連, 2/17)
》 ドコモ、「通常のご利用を目的としていない」短期解約に解除料 3月1日以降の契約から (ITmedia, 2/18)
》 「Firefox ESR 115」のWindows 7/8.1対応が半年延長、2025年9月までに (窓の杜, 2/20)
Firefox 135.0 / ESR 128.7.0 公開 (2025.02.05)
Firefox 135.0.1 / Firefox for Android 135.0.1 公開。 セキュリティ修正を含みます。
Firefox 135.0.1、Firefox for Android 135.0.1 がリリースされた (mozillaZine, 2025.02.19)
Thunderbird 128.7.1esr も公開。セキュリティ修正はありません。
Thunderbird 128.7.1esr がリリースされた (mozillaZine, 2025.02.19)
OpenSSH 9.9p2 Release Notes (2025.02.19)
OpenBSD Errata 出てました。 portable 版のみの問題ではなかった。_o_
OpenBSD 7.5 errata 017 (OpenBSD, 2024.02.18)
OpenBSD 7.6 errata 008 (OpenBSD, 2024.02.18)
》 「にじさんじフェス」楽天チケットの不備で4公演の抽選応募が無効に、月ノ美兎とROF-MAOは変更検討 (ナタリー, 2/18)。不具合の内容がなかなかすさまじい。 にじさんじの公式 page の発表が画像なことも、なかなかすさまじい。
https://x.com/nijisanji_app/status/1891739449375215962 (にじさんじ公式 twitter, 2/18)。これが一番読みやすい。
当社は、昨年末より皆さまから本事象に関連するお問い合わせを複数いただいていたため、チケット抽選の運用作業が正常に運用されているか否かについて、複数回楽天チケット株式会社に対して確認いたしておりましたが、2024年12月時点では「問題や不具合は発生していない」旨の回答を受け取っておりました。しかし、2025年2月12日(水)に一転して、楽天チケット株式会社より「抽選の運用作業に抜け落ちがあり、本事象が発生する仕様となっていた」旨の回答を受け取りました。
また、先日、当社から公表した【壱百満天原サロメ 1st LIVEに関するお詫びと追加券売実施】においても、イベント券売にかかる楽天チケット株式会社の不手際によるチケット未販売在庫があった旨のご報告をいたしました。
この度、短期間で複数回にわたり楽天チケット株式会社の不手際に起因するトラブルが発生し、皆様にご迷惑をおかけする結果となってしまったことに関しまして、当社としても由々しき事態であると考えており、楽天チケット株式会社に対して責任のある対応をとっていただくよう要請しております。
こちらの案内: https://x.com/RakutenTicket/status/1890661105862594776
【にじさんじフェス2025 チケットに関する お詫びと重要なお知らせ】 (にじさんじ, 2/18)。 page 1, 2, 3, 4
「にじさんじフェス2025」チケット販売に関するお詫び (楽天チケット, 2/18)
当社でもチケット抽選の運用における設定不備、不具合の検知の遅延、関係者への報告が適切に行われていなかったことを確認しております
》 東芝テックで着服2億円 架空の受注で得た物品を転売 (ITmedia, 2/18)
》 AIデバイス「Ai Pin」即時終了──HPによるHumane買収で (ITmedia, 2/19)
Ai Pinの販売は即時終了し、既存デバイスは2月28日に機能停止する。同社はユーザーに対し、28日までにHumaneのサーバにアクセスし、Ai Pinで撮影した写真、ビデオ、メモをダウンロードするよう勧めた。米太平洋時間の28日午後12時にはすべてのユーザーデータは完全に削除される。
うわ、サイテー。クソすぎる。これが HP のやり口か。
》 「パクリがあったと認められたものの…」 最高裁で「小説ドラクエV」作者・久美沙織さんが敗訴 「リュカ基金」設立へ (ITmedia, 2/18)。無断流用だったが、そもそも著作物性が無い = 違法ではない。
AMDが大量のセキュリティアドバイザリを公開 ~RyzenやEPYC、Radeonも対象 BIOSやソフトウェアのアップデートを (窓の杜, 2025.02.17)
PostgreSQL 17.3, 16.7, 15.11, 14.16, and 13.19 Released! (PostgreSQL, 2025.02.13)
Hidden Messages in Emojis and Hacking the US Treasury (Slam Dunk Software, 2025.03.14)。 CVE-2025-1094 の詳細解説。
老舗の圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性 「WinZip 29.0」へのアップデートを (窓の杜, 2025.02.14)
「LibreOffice」に任意の場所へファイルを保存される問題など2件の脆弱性【2月18日追記】「LibreOffice 24.8.4」への更新を (窓の杜, 2025.01.10)
The Document Foundationは1月7日(中央ヨーロッパ時間)、「LibreOffice」に確認された2件の脆弱性「CVE-2024-12425」と「CVE-2024-12426」を公表した。
これの PoC が 2025.02.12 に公開されたそうで。
OpenSSH 9.9p2 公開。2 件のセキュリティ欠陥を修正。
これは portable 版のみの問題であり、本体 (OpenSSH 9.9) に欠陥はない。
発見者による詳細情報はこちら: Qualys Security Advisory - CVE-2025-26465: MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client, CVE-2025-26466: DoS attack against OpenSSH's client and server (Qualys, 2025.02.18)
CVE-2025-26465 - OpenSSH 6.8p1 〜 9.9p1 の ssh(1) に欠陥。 VerifyHostKeyDNS オプションが yes または ask (デフォルトは no) の場合に MITM 状態の攻撃者が任意のサーバーになりすますことが可能。
各 OS / ディストリでのデフォルト値は上記とは異なる可能性がある。 たとえば FreeBSD 同梱の ssh では 2013.09 〜 2023.03 において VerifyHostKeyDNS yes がデフォルトだったそうで。
CVE-2025-26466 - OpenSSH 9.5p1 〜 9.9p1 の sshd(8) に欠陥。 SSH2_MSG_PING パケットの処理に欠陥がありメモリーおよび CPU の DoS 攻撃を招く。 既存の LoginGraceTime, MaxStartups や PerSourcePenalties 機能を利用して影響を緩和できる。
OpenBSD Errata 出てました。 portable 版のみの問題ではなかった。_o_
OpenBSD 7.5 errata 017 (OpenBSD, 2024.02.18)
OpenBSD 7.6 errata 008 (OpenBSD, 2024.02.18)
》 米「DOGE暴走」、政府システムの脆弱性浮き彫りに (MIT Technology Review, 2/17)
この記事の3つのポイント
- イーロン・マスク率いる政府効率化省(DOGE)が政府システムを破壊する可能性
- 政府システムを守るための技術的手段はほとんどなく人間の判断に頼らざるを得ない
- 政府の機能不全に備え州政府や各組織は緊急時対応の災害対策手順を用意すべきだ
ロシア中国、大喜びであろ。
》 米大規模バッテリー火災、高まる安全性への懸念 (MIT Technology Review, 2/18)。モスランディング火力発電所(Moss Landing Power Plant)。天然ガス火力 (1020 MW) + 電力貯蔵施設 (750 MW)。関連:
Public Statements (mosslandingresponse.com)
Moss Landing battery fire sparks calls to improve safety, ‘accountability’ for industry (utility dive, 1/21)。DeepL 訳:
火災の原因についてはまだ調査中ですが、ノースカウンティ消防局のジョエル・メンドーサ局長は金曜日、施設のバッテリーラックの1つに収容されていた消火システムが故障したために火災が広がったと述べています。ヴィストラ社の広報担当者はCBSニュースに対し、「火災が鎮火次第、調査を開始する」と語りました。
More than a quarter of energy storage systems have fire detection and suppression defects: report (utility dive, 2024.02.13)。1年前に警鐘が鳴らされていた。
「カーボンゼロ」に本気の米電力、「系統蓄電池」導入を加速 (日経BP, 2021.03.08)
昨年12月カリフォルニア州サンフランシスコの南約200kmに位置する港町・モントレー郡で、世界最大規模のエネルギー貯蔵プロジェクトが稼働した。「モス・ランディング・エネルギー貯蔵施設」と呼ばれるこのプロジェクトの出力は300 MW、容量1200 MWhに達する。敷地内にある火力発電所用に設置されていた変電所と送電インフラに接続されるだけでなく、この発電所から送られる電力サービスも代替し、クリーンエネルギー転換に貢献する
上記 (Phase I の 300 MW) が今回燃えたもの。 現在はより新しい施設 (Phase II 100 MW, Phase III 350 MW) も追加されているが、そちらは燃えていない。
》 Collision Damage To Aircraft Carrier USS Harry S. Truman Seen In Photo (The War Zone, 2/14)、 Aircraft Carrier USS Harry S. Truman In Greece For Repairs Following Collision (The War Zone, 2/17)
》 海自の新型護衛艦 のしろ オーストラリアなどで訓練のため出発 (NHK, 2/17)。商売、商売。
》 ドラッグ、詐欺、違法採掘… ミャンマーが国際的な組織犯罪の「最上級の温床」と化してしまった理由 (クーリエ・ジャポン, 2/14)。関連
中国系犯罪組織が監禁の外国人ら260人をタイ当局が保護…ミャンマー拠点に特殊詐欺などに強制加担か 日本人含まれず (FNN, 2/13)
タイで保護の日本人少年“ミャンマーの拠点に約10人の日本人” (NHK, 2/15)
ウソで人集め、詐欺強要、睡眠制限 日本の少年もいたミャンマー国境 (朝日, 2/17)
一連の問題が注目を浴びたのは今年1月。中国の男性俳優(31)が「撮影」に誘われてタイに渡航後、行方不明になった。ミャンマー側の詐欺拠点に連行され、数日後に救出。丸刈りにされた姿が世間に驚きを与えた。
王星さんの件:
中国人俳優、タイで拉致され詐欺拠点に一時監禁 同様の被害多数 (CNN, 1/15)
中国人俳優にオンライン詐欺強制 タイ経由で誘拐、ミャンマーへ―多数の外国人監禁か (時事, 1/14)
中国人俳優拉致事件、容疑者を逮捕 ミャンマー詐欺拠点で監禁 (ロイター, 1/27)。中国公安省が逮捕。
中国人俳優・王星さんを誘拐した疑い 中国人10人をタイ当局が拘束 (FNN, 2/15)。タイ警察が拘束。
》 マイナシステム利用想定、こっそり半数に修正 整備過剰、無駄遣いか (朝日, 2/16)
マイナンバーを利用して行政手続きをオンライン上で行う「マイナシステム」の利用が進まず (中略) 運用が始まった2017年度、最大で年間約6.4億件と見込んで139億円のシステムを整備したが、21年度からは年間約3億件とし、システム整備費は約45億円減った。
国は下方修正を発表していない。
今後、より利用が進んでいくであろうにもかかわらず「最大値」が半減されるシステムですか。
関連: 組合員数十万人に端末1台 マイナシステム、国の共済組合も利用低迷 (朝日, 2/16)
》 アイ・オー、データ消去ソフト「DiskRefresher5」発売。消去証明書も発行可能でPCと外付けドライブ対応 (Internet Watch, 2/14)
米国国立標準技術研究所(NIST)が定めるデータ消去レベルの中でも高レベルなPURGE方式に対応し、データ適正消去実行証明協議会(ADEC)による認証も取得済み。
安心の ADEC 認証取得。関連:
ADEC「データ消去ガイドブック」とは? DoD(3回上書き)からNISTへ ~グローバル標準の採用~ (ADEC, 2022.12.06)。まずはこれを読むのがいいと思う。
ADEC データ消去技術 ガイドブック 第 2.4 版 (ADEC, 2024.05)
NIST Special Publication 800-88 Revision 1 媒体のデータ抹消処理(サニタイズ) に関するガイドライン (NIST / IPA)。当初公開されていたと思しき URL https://www.ipa.go.jp/files/000094547.pdf は 404 Not Found になるので注意。
対応データ消去方式 (IO DATA)。DiskRefresher5 が実際に何を行うのかが明記されている。
米国国立標準技術研究所方式(NIST SP800-88Rev.1)準拠 CLEAR (ADEC準拠) ※1 ※2 ※3
回数:
HDD:1回
SSD:消去対象による
処理内容:
HDD:ゼロで上書き1回
SATA SSD:Security Erase Unit
NVMe SSD:乱数で上書き2回
米国国立標準技術研究所方式(NIST SP800-88Rev.1)準拠 PURGE (ADEC準拠) ※1 ※2 ※3 ※4
回数: 1回
処理内容:
HDD:Security Erase Unit
SATA SSD:Block Erase EXT
NVMe SSD:Format NVM
※1 ADECの認証を受ける消去方式
※2 デバイスが消去コマンドに対応していない場合は非対応
※3 ご使用の端末によりサスペンドへの移行が必要になる場合があります。サスペンドへの移行および復帰ができない場合には消去方式を変更してください。
※4 リースパソコンなどパソコンを再利用する場合、PURGE方式での消去は実行しないでください。PURGE方式での消去をすると、そのパソコンの再利用ができなくなってしまい、契約によってはレンタル会社より賠償請求をされる可能性があります。詳しくはレンタル会社との規約/約款をご確認ください。
D-REF5Bシリーズ 仕様 (IO DATA)
※ 廃棄ドライブ1台または1つのパーティションの消去につき1ライセンス必要です。複数ドライブのパソコンを消去する場合はドライブ数分のライセンスが必要です。
お、ぉぅ……
Will It Blend? iPhone X (Blendtec's Will It Blend? / YouTube, 2018.02.14)。 やっぱり物理破壊が最強です?
Chrome 133.0.6943.98/.99 (Windows / Mac) および 133.0.6943.98 (Linux) 公開。 4 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.02.12)。Chrome 133 (133.0.6943.89) for Android。
》 これが最新トレンド? Apple Watchを手首ではなく足首につける人が増加中か (やじうまWatch, 2/12)。 元記事 An Ankle Monitor? No, That’s My Apple Watch (NYTimes, 2/8) の内容は確かに興味深い。 生体モニターの取り付け位置は本当に手首が最適なのか? という話。そして少なくない人達が、手首ではなく足首だと認識し運用していると。DeepL 訳を若干改訂して引用:
オンタリオ州ブランプトンの医療助手、シャニース・ゲイルは、Apple Watchを使って歩数を記録している。 しかし、2023年に息子のジェーレン君を出産し、ベビーカーに乗せて移動するようになってから、彼女は片方の腕を自由にして、ベビーカーを横に振れるようにしておかないと、Apple Watch が歩数を記録してくれないことに気づいた。
「でも、ベビーカーを押していると、もう片方の腕が疲れてしまうんです。 それで、こう思ったの。 “足首につけてみよう”って」。
納得感が凄い。
ただし、性犯罪者などにつける GPS モニターも足首につけるようで、 誤解されがちな模様。
》 Googleマップ、米国では「メキシコ湾」を「アメリカ湾」に 米政府の公式データベース準拠で (ITmedia, 2/11)、 Appleも米国の「マップ」で「メキシコ湾」を「アメリカ湾に」 (ITmedia, 2/12)。日本海を「東海」と呼ぶようなものですね。
》 米CISAが新たな「CPGs(セキュリティパフォーマンス目標)」発表、18項目からなるIT分野版の固有目標とは (Internet Watch, 2/12)
》 GeForce RTX 5090、電源側のコネクタ温度が150℃以上になると判明。レビュアーが『懸念事項』と表明。12V-2x6コネクタ焼損・融解の原因・一因の可能性 (ニッチなPCゲーマーの環境構築Z, 2/12)
》 Microsoft、Edgeの偽アンインストールページを削除。削除したからといって終わりではない、徹底的な再発防止を。明らかにコンプライアンス欠如 (ニッチなPCゲーマーの環境構築Z, 2/11)
》 フジテレビに「女優を預けられない」大手プロが出演拒否…中居正広の女性トラブルで“蜜月関係”終わりの動き (日刊ゲンダイ, 2/11)。そりゃそうなるよなあ。
》 AIボットが自殺指南、 運営会社は「検閲せず」 (MIT Technology Review, 2/12)。今どきの AI は考えていないし倫理感もないからなあ。
》 「能動的サイバー防御」導入に向け、政府が法案を閣議決定 (Internet Watch, 2/10)
》 ランサムウェア攻撃グループ「8base」構成員とみられるロシア人被疑者4人を検挙、警察庁が発表 (Internet Watch, 2/12)
出ました。63 Microsoft CVE + 4 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- Active Directory Domain Services CVE-2025-21351
- Azure Network Watcher CVE-2025-21188
- Microsoft AutoUpdate (MAU) CVE-2025-24036
- Microsoft Digest Authentication CVE-2025-21368 CVE-2025-21369
- Microsoft Dynamics 365 Sales CVE-2025-21177
- Microsoft Edge (Chromium-based) CVE-2025-0444 CVE-2025-0445 CVE-2025-0451 CVE-2025-21267 CVE-2025-21279 CVE-2025-21283 CVE-2025-21342 CVE-2025-21404 CVE-2025-21408
- Microsoft Edge for iOS and Android CVE-2025-21253
- Microsoft High Performance Compute Pack (HPC) Linux Node Agent CVE-2025-21198
- Microsoft Office CVE-2025-21392 CVE-2025-21397
- Microsoft Office Excel CVE-2025-21381 CVE-2025-21383 CVE-2025-21386 CVE-2025-21387 CVE-2025-21390 CVE-2025-21394
- Microsoft Office SharePoint CVE-2025-21400
- Microsoft PC Manager CVE-2025-21322
- Microsoft Streaming Service CVE-2025-21375
- Microsoft Surface CVE-2025-21194
- Microsoft Windows CVE-2025-21337
- Open Source Software (Node.js) CVE-2023-32002
- Outlook for Android CVE-2025-21259
- Visual Studio CVE-2025-21206
- Visual Studio Code CVE-2025-24039 CVE-2025-24042
- Windows Ancillary Function Driver for WinSock CVE-2025-21418
- Windows CoreMessaging CVE-2025-21184 CVE-2025-21358
- Windows DHCP Client CVE-2025-21179
- Windows DHCP Server CVE-2025-21379
- Windows Disk Cleanup Tool CVE-2025-21420
- Windows DWM Core Library CVE-2025-21414
- Windows Installer CVE-2025-21373
- Windows Internet Connection Sharing (ICS) CVE-2025-21212 CVE-2025-21216 CVE-2025-21254 CVE-2025-21352
- Windows Kerberos CVE-2025-21350
- Windows Kernel CVE-2025-21359
- Windows LDAP - Lightweight Directory Access Protocol CVE-2025-21376
- Windows Message Queuing CVE-2025-21181
- Windows NTLM CVE-2025-21377
- Windows Remote Desktop Services CVE-2025-21349
- Windows Resilient File System (ReFS) Deduplication Service CVE-2025-21182 CVE-2025-21183
- Windows Routing and Remote Access Service (RRAS) CVE-2025-21208 CVE-2025-21410
- Windows Setup Files Cleanup CVE-2025-21419
- Windows Storage CVE-2025-21391
- Windows Telephony Server CVE-2025-21201
- Windows Telephony Service CVE-2025-21190 CVE-2025-21200 CVE-2025-21371 CVE-2025-21406 CVE-2025-21407
- Windows Update Stack CVE-2025-21347
- Windows Win32 Kernel Subsystem CVE-2025-21367
0-day が 4 件。悪用済は 2 件。 他は情報公開。
Microsoft Surface セキュリティ機能のバイパスの脆弱性 CVE-2025-21194
NTLM ハッシュ開示スプーフィングの脆弱性 CVE-2025-21377
WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性 CVE-2025-21418。悪用済。
Windows ストレージの特権の昇格の脆弱性 CVE-2025-21391。悪用済。
関連:
Microsoft February 2025 Patch Tuesday (SANS ISC, 2025.02.11)
【Windows11】 WindowsUpdate 2025年2月 不具合情報 - セキュリティ更新プログラム KB5051989 / KB5051987 自動HDR有効時にゲームが固まる不具合を修正など (ニッチなPCゲーマーの環境構築Z, 2025.02.12)
【Windows10】 WindowsUpdate 2025年2月 不具合情報 - セキュリティ更新プログラム KB5051974 (ニッチなPCゲーマーの環境構築Z, 2025.02.12)
「Photoshop Elements」や「Illustrator」など脆弱性 ~Adobeの月例セキュリティ情報 (窓の杜, 2025.02.12)。 Adobe Commerce / Substance 3D Designer は Priority: 1 (0-day)。
Intel、2025年2月のセキュリティアドバイザリを公開 ~Core iシリーズのCPUにも影響 (窓の杜, 2025.02.12)
0-day です。CVE-2025-24200。 iOS 11.4.1 以降の 「USB 制限モード」を、iPhone / iPad がロック中であっても無効にできてしまう。
exploited in an extremely sophisticated attack against specific targeted individuals.
(中略)
CVE-2025-24200: Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School
報告者は Citizen Lab の Bill Marczak 氏。またしても政治家や民主活動家などを狙った攻撃か?
全体
iOS / iPadOS。いずれも修正は CVE-2025-24200 のみ。
About the security content of iOS 18.3.1 and iPadOS 18.3.1 (Apple, 2025.02.10)
About the security content of iPadOS 17.7.5 (Apple, 2025.02.10)
macOS Sequoia 15.3.1 / Sonoma 14.7.4 / Ventura 13.7.4、 watchOS 11.3.1、 visionOS 2.3.1 も 2025.02.10 に公開されているが、いずれも CVE 番号が付与されるような修正点は無いとされている。
》 英紙がトヨタの水素への賭けを改めて考えてみた いまが我慢の時なのか (クーリエ・ジャポン, 2/10)。 元ねたは Toyota rethinks its bet on hydrogen (FT, 1/10) の模様。
》 「は」の直後に「、」は必要か? 論文60本を分析、使い分けの基準を提示 筑波大と琉球大が発表 (ITmedia, 2/7)。本記事には「人文系学会誌に掲載された60本の論文を対象に」 とあるが、当該論文にはこう書かれている:
分析対象は人文系論文 60 本である。内訳は、日本語教育学(『日本語教育』)20 本、日本語学(『日本語の研究』)20 本、日本文学(『日本文学』『日本近代文学』各 10 本)20 本である(括弧内は対象の学会誌名)。分野と学会誌の選定は佐藤ほか(2013)を参考にした。論文は、各学会誌について 2017 年 12 月からさかのぼって 50 本の論文の中から無作為抽出法で選定した。なお、対象の論文は全て異なる筆者による執筆である。
各分野の最近の論文 50 から 20/50 ずつ無作為抽出したと。 あくまで「アカデミックライティングにおける読点指導の一助となることを目指」した研究であるので注意。一般論を示しているわけではない。
》 [gnutls-help] gnutls 3.8.9 (GnuPG.org, 2/8)。iida さん情報ありがとうございます。
》 NHK、日本IBMを提訴 システム開発中止で約55億円請求 (日経, 2/4)。あらまあ、動かないコンピューター。
NHKによると受信料関連の業務を担う現行システムが27年3月に使用期限を迎えるため、新たなクラウド型システムの開発・移行を目指して入札を実施。IBMが約80億円で落札した。22年12月に契約を結んだが、NHKの担当者は「24年3月に入って突然、(IBM側から)開発方式の見直しと、納期の大幅な延伸について申し入れがあった」と説明する。
IBM 的には、開発に失敗したのでやり直させてほしい、ということなんですかね。
契約の解除後も既払い代金31億円の返還がなされず、3日に訴訟を提起した。
NHK の返答は「じゃあさようなら、金返せ」だったということかな。 関連:
システム開発中止に伴う訴訟の提起について (NHK, 2/4)
NHKシステム開発・移行中断の件について (IBM, 2/7)
現行システムの解析を進める中で、提案時に取得した要求仕様書では把握できない、長年の利用の中で複雑に作り込まれた構造となっていることが判明したため、当社はNHKに対し、解析の進捗状況、課題およびそれに対する対応策を随時報告し、共にその対応を検討してまいりました。こうした中で当社は、同システムを利用する業務の重要性も鑑みて、NHK指定の移行方針による2027年3月までの安全かつ確実なシステム移行にはリスクを伴うことを伝えてまいりました。そして、2024年5月に、従来の納期のもとで品質を確保した履行は困難であることを報告し、取りうる選択肢とそれぞれの利点およびリスク等を提示いたしました。 NHKは、これをふまえて契約を解除することを決定されました。
要は見通しが甘かったということだよなあ。 IBM がどのようなシステムを提案していたのか知らんけど。
NHKの基幹情報システムの運用 (NHK テクノロジーズ, 2019.05.20)
システム開発中止で日本IBMへの損害賠償請求が相次ぐ背景…NHKも (Business Journal, 2/5)
日本IBMといえば1月、販売管理システムの開発が頓挫したことをめぐる文化シヤッターとの裁判において、日本IBMに損害賠償金約20億円の支払いを命じる判決が確定したばかりだが、なぜ日本IBMで同様の事例が相次いでいるのか。
これか。Salesforce 地獄ですか。
文化シヤッターのシステム開発訴訟の判決が確定、日本IBMに20億円の賠償命じる (日経 xTECH, 1/15)。 最高裁判決 (上告棄却)。高裁判決が確定。
文化シヤッターvs日本IBM控訴審 東京高判令6.5.16(令4ネ3424) (IT・システム判例メモ, 2024.08.21)。高裁判決の解説。
SOFTIC判例ゼミ(第5回) 東京地判令4年6月17日(平29ワ39859) 文化シヤッターvs日本IBM (藤江啓介 粥川莉帆 / NTT DATA, 2023.11.22)。地裁判決の解説。
③本件システムの開発は、被告の提案により、ERP(総合基幹業務システム。以下同じ。)等のパッケージ・ソフトウェアは使用せず、セールスフォース・ドット・コム社(以下「SF社」という。)が提供するPaaSであるセールス・フォース・ワン・プラットフォーム(以下「SF」という。)を利用することとされた。
(中略)
⑤本件システムも、SFをプラットフォームとして利用し、その標準部品を使用しつつ、必要な業務機能はカスタム開発で構築することとされていた(以下「本件開発方式」という。)。実際には、平成29年2月14日時点で、本件システム中標準部品を用いて実装する部分は5%にとどまり、カスタム開発により実装する部分が95%を占めていた。
典型的な 「来週もキリコと地獄に付き合ってもらう」じゃん。
IBMの主張
(中略)
本件業務の開始時点では、IBMが当初提案した開発手法でRFPを実現するシステムを完成させることは可能であったのであり、これが極めて困難になったのは、本件システムの開発が進行し、UATフェーズ及び業務フローと機能一覧の見直しフェーズを経て、文化シヤッターが本件システムに求めるものがRFPでの想定とかけ離れた極めて複雑で大きなシステム(機能)となるものであることが判明した時点であった。
NHK の件と同様の文言が並んでいるなあ。
今だから考えるクラウドシステム導入の難しさ?! 「文化シャッターとIBMとの販売管理システム開発失敗訴訟19.8億円賠償」 (prism777(Nobu Takuma) / note, 2023.03.04)
1. 開発方法論の突然の変更
当初、両者はアジャイル開発とウォーターフォール開発の併用を目指していましたが、途中からウォーターフォール開発のみに開発方法を変更しました。
(中略)
2. ユーザー受入テストで多数の不具合が発生したためPMを交代
(中略)
3. 実はこの時点で「Salesforce1 Platform」の標準機能の部分が5%で、カスタム開発の部分が95%となってしまっていた。これによって稼働後に年3回程度予定されている「Salesforce1 Platform」のバージョンアップへの対応が難しくなることが予想された。
この後の日本IBMの行動を見ると、この時点で日本IBM社内で最も問題となっていたのは1000件不具合の件ではなく、この「標準機能が使われていない」件であったと想像されます。
つまり、ウォーターフォール方式で開発していく中で、カスタムメイドでのプログラム部分をたくさん作り過ぎてしまって、これでは「Salesforce1 Platform」を使うメリットがない、むしろバージョンアップもできない、まずい、と気づいたのではないかと思われます。
実はこの時期にIBM米国本社のセールスフォース製品を専門とするチーム「Blue Wolf」(かっこいいネーミング!)が日本IBMと協議した内容文書が裁判に提出されていて、プロジェクトにダメ出しをしていたようなのです。
要は、日本IBMの従来PMと従来SEチームが作ったカスタム95%のシステムを米国本社の「Salesforce1 Platform」に詳しい専門家が査察?品質管理?に入って、ダメ出しをして社内で問題なり、PM交代となったのではないか、と想像されます。
地獄の根源:
今回の文化シヤッターの件では、同社の現場が従来のシステム画面と同様にすることに強くこだわったためカスタム開発の部分が増えてしまったということです
(中略)
ベンダ側としては『顧客の言うことだから』として何でも受け入れるのではなく、デメリットなどを提示しつつ、ときには毅然とした態度で拒否したり、断念するよう説得するという姿勢が必要といえます
Salesforce を選んだ時点で、 従来システムに合わせるのではなく Salesforce に合わせることを選択するしかないのは自明のはずなんだがなあ。
》 「Thunderbird」の更新ペースが2025年3月から月次アップデートに移行 (Internet Watch, 2/10)。ESR 版ではなく、通常版の Firefox に追従すると。
CVE-2025-23419: nginx: Client certificate authentication bypass with TLSv1.3 and session resumption (oss-sec ML, 2025.02.05)。 nginx 1.11.4 以降 + OpenSSL + TLS 1.3 + 「ssl_session_cache または ssl_session_tickets において session resumption が有効な場合」に発現。 nginx 1.26.3 / 1.27.4 で修正。CVE-2025-23419
Changes in 8.12.0 - February 5 2025 (curl, 2025.02.05)。curl 8.12.0 で 3件のセキュリティ欠陥 を修正。 CVE-2025-0167 CVE-2025-0665 CVE-2025-0725
Subject: Curl SSH Insufficient Host Identity Verification (oss-sec ML, 2025.02.05)。セキュリティ欠陥ではないとされた件。
libtasn1-4.20.0 released [stable] (GNU, 2025.02.06)。 DoS 攻撃を受けかねない欠陥 CVE-2024-12133 を修正。iida さん情報ありがとうございます。
》 万博協会、個人情報保護方針改正を検討 有識者「幅広く取得し利用目的も不明確」 (産経, 2/7)
》 サンリオピューロランド運営、最大200万件情報漏えいの可能性 ランサムウェア攻撃で (ITmedia, 2/7)。マジか。
マジだった: 株式会社サンリオエンターテイメントへの不正アクセスに伴う情報漏洩の可能性に関するお知らせとお詫び (サンリオ, 2/7)
》 羽田空港航空機衝突事故対策検討委員会 (国土交通省)
羽田空港航空機衝突事故対策検討委員会における中間取りまとめ 概要 (国土交通省, 2024.06.24)
資料2 中間取りまとめで提言された対策の進捗状況 (第8回 羽田空港航空機衝突事故対策検討委員会 / 国土交通省, 2024.12.26)
ASN58-07 | 羽田事故「中間取りまとめ」に対する見解を発表 (航空安全会議, 2024.07.31)
ASN58-08 | 滑走路誤進入対策に有効な「滑走路警戒灯(RGL)」 (航空安全会議, 2024.07.31)
ASN59-01 | 見解「羽田事故後の対応で明らかになった航空行政の課題」 (航空安全会議, 2024.11.13)
2024年1月2日に羽田空港で発生した航空機同士の衝突事故後、航空局や運輸安全委員会の動向を注視してきました。これまでの航空局による対応は、「事故再発防止」と言いながらその内実は世界の航空安全トレンドから大きくかけ離れており、しかも再発防止ではなく内部論理を優先した対策となっていることが明らかになっています。そこで航空安全推進連絡会議では、一連の流れを振り返ると共に課題を記した「見解」を発表しました。
ASN59-03 | 声明「2024年1月2日の航空機衝突事故から1年」 (航空安全会議, 1/19)
》 能登の空路を守り抜いた、ANAスタッフたちの記録 〜2024年1月1日、最大震度7の能登半島地震発生。あれから8か月後の証言〜 (AIRLINE, 2024.10.12)。関連:
令和6年能登半島地震における被害と対応について (国土交通省)
能登半島地震、能登空港の被災状況は? (航空新聞社, 2024.01.03)
そうしたなか被災した能登空港の最大震度は6強を観測したとのこと。能登空港内の各施設・設備を点検したところ、滑走路上には深さ10センチ、約10メートル以上におよぶ亀裂が4~5か所発見されたという。国土交通省は1月4日までを対象にしたノータム(航空情報)を発出済みだ。
ターミナルビルと航空局庁舎にも被害が発生した。ターミナルビル内は一部でガラスが飛散していることが確認され、依然として停電しているほか、飲料水の断水も続いている。一方、予備発電機が復旧したことにより、空調およびトイレ、固定電話といった施設・設備は1月2日から使用することができるようになった。
1月22日09時00時点 令和6年能登半島地震における国土交通省の対応状況 (国土交通省, 2024.01.22)
○能登空港
・ターミナルビル被害あり(人的被害なし)。滑走路上に亀裂にあり
・1/2~ 救援ヘリ等の離発着を受入れ開始。
滑走路の被害状況調査・復旧支援のための航空局職員(TEC-FORCE)を派遣
・1/9~ 空港の運用を支援するための航空局職員(TEC-FORCE)を派遣
・1/10~空港運用時間を拡大 ※8:00~19:30(11.5 時間)→6:00~24:00(18 時間)
・1/12~自衛隊固定翼機が仮復旧した滑走路から離発着を開始
・民航機が運航可能となるのは早くとも 1/25 以降の見込み
能登空港 応急の復旧工事完了 25日から民間機の離着陸可能に (NHK, 2024.01.23)
令和6年能登半島地震における大規模な港湾、空港、海岸被害や土砂崩壊等 による災害について国土交通省による本格的な復旧を実施 (国土交通省, 2024.02.01)
「ヘリで行ければもっと救えた命が…」 道路寸断、滑走路は閉鎖、港も損傷 「半島の災害」の課題とは (東京, 2024.01.19)。和歌山の場合。
国土強靱化年次計画2024(案)⑬ (国土強靱化推進会議(第8回)配布資料, 2024.06.06)
令和7年度航空局関係 予算概算要求概要 (国土交通省航空局, 2024.08)
国交省の25年度予算、空港の防災強化 能登半島地震受け (日経, 2024.12.27)
能登空港の防災機能強化 復旧、25年度末完了目指す (北国新聞, 2024.12.27)
令和6年能登半島地震による被害及び消防機関等の対応状況(第117報) (消防庁災害対策本部, 1/28)
同様の URL で 第28報 (消防庁災害対策本部, 2024.01.12) 以降なら取得できるようだ。
令和6年能登半島地震関連情報 (総務省)
令和6年能登半島地震への対応 (自衛隊)。正直、宣伝臭がひどい。
》 トランプ政権から知識を守れ、科学者は徹夜でデータの引っ越し急ぐ (ブルームバーグ, 2/7)
》 兵庫県知事選のSNS運用で関係先捜索 公選法違反容疑の告発受け (NHK, 2/7)
》 26億円投入のお台場巨大噴水事業が「フジ日枝案件」と露見…小池都知事による激怒と錯乱と珍答弁 (日刊ゲンダイ, 2/7)
》 英国主導のセキュリティ連合「ICCSW」に日本も加盟、サイバーセキュリティ人材育成を目的に (Internet Watch, 2/5)
》 「マンガ図書館Z」の再始動クラウドファンディング、わずか1日で目標額達成 (やじうま Watch, 2/6)。さすがです。 ひきつづき応援募集中です。
》 Microsoftが公開した「Edgeをアンインストールする方法」、その予想外の内容とは (やじうま Watch, 2/7)。また詐欺ページかよ Microsoft。
Chrome Stable Channel Update for Desktop (2025.02.05)
Chromium 133.0.6943.53 に対応する Edge 133.0.3065.51 公開。Edge 固有のセキュリティ修正も含む。
サポート詐欺からユーザーを保護 ~「Microsoft Edge 133」がリリース (窓の杜, 2025.02.07)
Firefox 135.0 / ESR 128.7.0 公開 (2025.02.05)
Thunderbird 128.7.0esr 出てました。
Thunderbird 128.7.0esr がリリースされた (mozillaZine, 2025.02.06)
Androidカーネルで脆弱性が悪用されている可能性 ~2025年2月セキュリティ情報が公開 (窓の杜, 2024.02.04)
》 吉本興業所属「ダイタク」吉本大、「9番街レトロ」のなかむら★しゅんが事情聴取される…オンラインカジノ賭博の疑い (日刊ゲンダイ, 2/6)
》 米海軍、アーレイ・バーク級駆逐艦 Preble (DDG-88) で HELIOS 高エネルギーレーザーシステムをテスト、成功。 だそうなのですが、60kW レーザーって、どのくらいの間照射し続けるとドローンやら巡航ミサイルやらを撃墜できるんだろう。
Navy HELIOS Laser Aboard USS Preble Zaps Drone In Latest Test (The War Zone, 2/4)。High-Energy Laser with Integrated Optical Dazzler and Surveillance (HELIOS)。 統合光学撹乱・監視機能つき高エネルギーレーザー (60kw)。 Dazzler は「目くらまし」。 softkill も hardkill もできて surveillance もできると。 これが AEGIS システムに統合されている。
Either way, it’s a capability that Navy brass has been increasingly clamoring for, especially in the past year, as Navy warships shoot down an at-times daily barrage of drones and missiles fired by Iran-backed Houthi rebels over the Red Sea and Gulf of Aden. Those battles and other global flashpoints have raised continued concerns about the Navy draining its finite missile stocks, as the pacing threat of China looms on the horizon. TWZ has reported on several aspects of the Navy’s battle against the Houthis, including a tally of ordnance expended during more than 400 engagements against the Houthi arsenal of aerial drones, anti-ship cruise missiles, and anti-ship ballistic missiles.
フーシ派との戦いにおいて誘導弾の弾切れリスクが顕在化しており、現場では弾切れリスクが無い高エネルギーレーザーシステムが望まれていると。 誘導弾は高価で量産も容易ではないのでねえ。
“When I was in Bahrain as [the Destroyer Squadron 50 commanding officer] 10 years ago, the afloat staging base USS Ponce had a laser on it,” Naval Surface Forces Commander Vice Adm. Brendan McLane told reporters in early 2024, before the Surface Navy Association conference. “We’re 10 years down the road, and we still don’t have something we can field?”
お前ら実用化に何年かかっとんねん、と。
U.S. Navy HELIOS laser test underscores greater advancements in Directed Energy Weapons (NAVAL NEWS, 2/4)
HELCAP’s termination will not be followed by integration onto surface combatants at the time of writing. For HELIOS, the U.S. Navy has installed Aegis software capable of operating the laser system on DDG 81, 89, 122, 124 and 127, all of which could receive a HELIOS weapon system if the U.S. Navy pursues such an option. In the meantime, HELIOS testing will continue in 2025 onboard USS Preble.
既に AEGIS システムに統合されていて、対応する AEGIS システムを塔載しているアーレイ・バーク級駆逐艦 (DDG 81, 89, 122, 124, 127) であれば、HELIOS を塔載すればすぐ使えると。
https://www.dacis.com/budget/budget_pdf/FY20/RDTE/N/0604307N_119.pdf 。 予算書類。
AEGIS Baseline 9 capability packages 2018, 2020, and 2021 (AEGIS BL 9 2018, 2020, 2021) will deliver additional warfighter improvements to the AEGIS Fleet to include improved Ballistic Missile Defense (BMD) capabilities (DDG only), SEWIP BLK II, MH-60R Integration, SPQ-9B in the Fire Control Loop, Total Ship Training Capability (TSTC), Condition Based Maintenance, Combat System Boundary Defense, NIFC-CA 2019, and NIFC-CA Collateral #3. AEGIS BL 9 2018 will be delivered (including back-fit) to 15 DDGs (51/52/57/61/65/69/80/113-120), 7 CGs (52-58) and 2 AEGIS ASHORE (AA) sites (Poland/Romania); AEGIS BL 2020 will initially be delivered to 2 DDGs (79/83) and 7 CGs (63-65/66/68/69/71); and AEGIS BL 9 2021 will be delivered to 12 DDGs (81/84-88/92/94/121-124, 127).
AEGIS Baseline 10 capability package 2023 (AEGIS BL 10 2023) will provide critical warfighter improvements to the AEGIS FLT III Destroyers. AEGIS BL 10 2023 combat system development efforts include integration of the Air and Missile Defense Radar (AMDR) SPY-6 while building upon AEGIS BL 9 to form the foundation for the AEGIS Flight III DDG Combat System.
AEGIS Baseline 9 2021 以降であれば HELIOS 対応なのかな。
Everything You Ever Wanted To Know About The Navy’s Ever-Evolving Aegis Combat System (The War Zone, 2021.03.04)。Rich さんはロッキード・マーチンのえらい人。
Tyler: Will Aegis fuse new sensors like infrared surveillance systems, or weapons like directed energy weapons? What do you see being tied into the system in the future that maybe isn’t a priority now, or is at least not fielded now?
Rich: Again, the short answer is everything. We’re continuously upgrading the multi-source integration infusion capability of the Aegis weapon system and looking to bring in new weapons and sensors and do coordinated hard kill and soft kill. Directed energy weapons… We’re really already integrating the Helios Laser Weapon System with the Aegis Weapon System CSL in our lab here in New Jersey. In fact, we’ve… The guy who’s now managing the laser program… He let me know the other day that we recently fired a laser here under the control of the Aegis Weapon System computer program. So, we’re building in the capability to do that weapon coordination and to do the hard kill, soft kill coordination in an automated fashion, working with the Helios Weapon System.
2021 年の記事。HELIOS を AEGIS に組み込み済ですよと。
《特集》イージス艦のポイント──進化するベースラインとBMD能力 (Jディフェンスニュース, 2024.05.13)。9.D というのが Baseline 9 2021 にあたるのだろうか。
USS Preble (DDG 88) Arrives in Yokosuka to join Commander, Destroyer Squadron 15 (NAVY.mil, 2024.10.12)。横須賀が母港になりました。
Japan Launches Second Maya-Class Guided Missile Destroyer (The Diplomat, 2019.07.17)。 海自のまや型 (改あたご型) に塔載されているのは Baseline J7 という、Baseline 9/BMD 5.1 を日本向けにしたものだそうで。 HELIOS 運用能力は入っていないんだろうなあ。
》 (けいざい+)ヤマトVS.日本郵便:下 三つの誤算、ヤマト翻意 (朝日, 2/6)。いろいろひどい。ヤマトが。
一つは、日本郵便に委託したメール便の激減だ。ヤマトのメール便の集荷量は、委託を始めた昨年2月にいきなり前年比84・4%減となった。ヤマトは、メール便での発送が禁じられる「信書」の疑いで日本郵便から差し戻されるケースが多く、離脱する顧客が相次いだと説明する。
これ、ヤマトが「信書」をテキトーに処理しまくってしまっていたということだよなあ。 本業の日本郵便に回したらアレもコレも駄目ということになって客が離れたと、 そういうことでしょ。自業自得。
ぐぐってみると、周辺業社の対応はこんな感じなんだよね:
信書についての注意事項及び DM 本舗の対応について (DM 本舗, 2023.03.14)
近年、郵便局による信書に対する審査が非常に厳格となり、投函時に差出拒否をされる事例が発生しています。
この書き方を見る限り、ヤマトはユルユルだったんでしょ。 相手方の業務実態をまるで理解してなかったと。 周辺業社はちゃんと理解してたのに。
『クロネコDM便』廃止でもご安心を。 万全の信書対策 (DMレスポ)
切り替わり日(2024年2月1日)前後には相当大きな混乱が起こるものと予測されます。不足の事態を避けた、安心&安価な発送のために、少しでも早めの発送方法の見直しをお勧めいたします。
不足じゃなくて不測なんだけど、まさに予想どおりに混乱しまくったということかな。
クロネコDM便の内容物及び外装表示に関するお願い (ジャパンメール, 2024.03.26)
クロネコDM便で「信書」を送ることができないことはすでにご承知のことと存じますが、このたび新たに、信書封入を疑われる外装表示についても同様との見解がヤマト運輸より示されました。
これまではよかったのに、と言いたいみたいだけど、 いやいや、本来アカン奴でしょ。 ヤマトがユルユルだっただけ。
つづき。
二つ目は、薄型荷物の配達日数の問題だ。
ヤマトと日本郵便の薄型荷物は、広範囲で翌日には届く。だが配達を委託すると、荷物を仕分けるなどして郵便局に運び込むタイムロスが生じる。結果、委託する荷物は翌々日に届くものが多くなり、顧客から不満が出た。
中間業社を挟むのだから以前よりも遅くなるだろうことは誰でもわかるよね。ところが、ヤマトにはわからなかったらしいんだ。馬鹿なの?
配達日数が延びるのは「協業開始時にわかっていたこと」とする日本郵便に対し、鹿妻は「無理とは言われていない」とし、「何とかできる」と互いに認識していたと主張。
ねえ、馬鹿なの?
三つ目の理由は、ヤマトが昨年12月2日付の連絡文書で指摘した「(日本郵便の)信義に欠ける営業活動」だ。
文書では、ヤマトの顧客が日本郵便に流出したと訴え、信義に欠ける営業が「協業の精神に反するもので到底看過できない」とした。ヤマトによると、日本郵便の商品のほうがヤマトからの委託より利点があるとするチラシが2023年秋までに確認されたという。
いやいや、ちょっと前までは完全にライバル会社だったんだから、そんなこともあるでしょうよ。ただの難癖じゃん。なんでこんなに大人気ないの?
》 [単独]「リネージュ」エヌシーソフトのセキュリティ網、10年前に北朝鮮のハッカーが突破 (東亜日報, 2/5)
オンラインゲーム「リネージュ」の違法プライベートサーバーの運営者が10年前に北朝鮮工作員ハッカーと結託してセキュリティプログラムを無力化するプログラムを購入・使用していたことが明らかになった。このハッカーは、北朝鮮の外貨獲得組織である「39号室」傘下の機関に所属し、取引を通じて得た外貨が北朝鮮政権の資金に流れた可能性が提起される。
》 墜落アゼルバイジャン航空機「多数の貫通した穴と金属片」 暫定調査報告 墜落原因は特定せず (TBS, 2/5)。カザフスタン運輸省、 暫定報告書を公開。
関連:
アゼルバイジャン航空8243便墜落事故 (ウィキペディア)
対空ミサイルの爆風破片らしきものを発見:アゼルバイジャン航空8243便墜落事件の事故調査予備報告 (JSF / Yahoo, 2/5)
https://www.gov.kz/uploads/2025/2/4/84f9ee83af415a658fc3d2830d317889_original.3875924.pdf (gov.kz)。暫定報告書。
アゼルバイジャン機墜落、「ロシア防空システムが原因」との指摘 「仮説」広めないようロシアは警告 (BBC, 2024.12.27)
プーチン大統領、アゼルバイジャン大統領に旅客機墜落めぐり謝罪 ロシアの責任認めず (BBC, 2024.12.29)
アゼルバイジャン大統領、旅客機墜落の責任認めるようロシアに促す (BBC, 2024.12.30)
アゼルバイジャン大統領 “墜落の責任はロシア代表者らに” (NHK, 1/7)
》 米グーグル、AIを兵器のために使わないとの誓いを削除 (BBC, 2/5)
》 【解説】 米国際開発局(USAID)とは? なぜトランプ政権の標的に? (BBC, 2/5)
》 韓国LCCエアプサン、機内荷物棚での充電器保管禁止へ 火災事故受け (ロイター, 2/4)。充電器というか、モバイルバッテリー (元記事 の表現では power bank)。頭上の荷物棚には入れちゃ駄目、 異常があればすぐに対処できるように乗客の身近で管理。
エアプサン関連: エアプサン火災の鎮圧に「無人破壊放水車」 (東亜日報, 2/3)
》 Approach for Reagan National’s Runway 33 is within feet of helicopter corridor (Washington Post, 2/4)。うひゃあ、これはひどい。 ヘリコプター用の回廊 (Route 4、上限 200ft) と Runway 33 着陸進入機との間にはたった 15ft しかないと。 そりゃ事故るわ。
》 Ending Support for Expiration Notification Emails (Let's encrypt, 1/22)。有効期限切れ通知メール終了のお知らせ。 2025.06.04 で終了だそうです。草地さん情報ありがとうございます。 DeepL 訳:
有効期限切れの通知を引き続き受け取りたい方には、Red Sift Certificates Lite(旧Hardenize)などのサードパーティサービスを利用することをお勧めします。 Red Sift の有効期限通知メール監視サービスは、250 証明書まで無料でご利用いただけます。 その他の監視オプションはこちらをご覧ください。
Chrome 133 が stable に。 Chrome 133.0.6943.53 (Linux) および 133.0.6943.53/54 (Windows, Mac) 公開。12 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。 関連:
Chrome for Android Update (Google, 2025.02.04)。Chrome 133 (133.0.6943.49) for Android。
Chromium 133.0.6943.53 に対応する Edge 133.0.3065.51 公開。Edge 固有のセキュリティ修正も含む。
サポート詐欺からユーザーを保護 ~「Microsoft Edge 133」がリリース (窓の杜, 2025.02.07)
出ました。iida さん情報ありがとうございます。
Firefox 135 がリリースされた (mozillaZine, 2025.02.05)。Firefox ESR 128.7.0 も出てます。
Firefox 翻訳 の対象となる言語が拡張された。簡体字 (中国語)、日本語、韓国語を他の言語に翻訳できるようになったほか (この 3 言語への翻訳はまだサポートされていないことに注意)、他の言語からロシア語への翻訳が可能となった。
へ〜。
Firefox for Android 135 がリリースされた (mozillaZine, 2025.02.05)
Thunderbird 128.7.0esr はまだです。現時点での最新は 128.6.1esr。
Tor Browser も Firefox ESR 128.7.0 ベースになりました。 iida さん情報ありがとうございます。
New Release: Tor Browser 14.0.5 (Tor project, 2025.02.04)
Thunderbird 128.7.0esr 出てました。
Thunderbird 128.7.0esr がリリースされた (mozillaZine, 2025.02.06)
Firefox 135.0.1 / Firefox for Android 135.0.1 公開。 セキュリティ修正を含みます。
Firefox 135.0.1、Firefox for Android 135.0.1 がリリースされた (mozillaZine, 2025.02.19)
Thunderbird 128.7.1esr も公開。セキュリティ修正はありません。
Thunderbird 128.7.1esr がリリースされた (mozillaZine, 2025.02.19)
》 フジHD日枝氏の辞任、米ファンドが要求-取締役会を絶対的支配 (ブルームバーグ, 2/4)
》 中国軍の“変化” その先は (NHK, 1/27)
》 サイトのコンテンツを無断収集するAIクローラーを捕獲し、脱出できなくするツールが物議 (やじうま Watch, 1/30)
》 米旅客機衝突事故、フィギュア関係の犠牲者は28人 全体の半数近く (AFP, 2/4)
協会はインスタグラムで、亡くなった関係者のうち11人は11歳から16歳のジュニア選手で、残りの13人は関係者の家族だったと明かした。
乗客は、カンザス州ウィチタで行われた全米選手権後の強化合宿から戻ってくる途中だった。
なんてこったい。合掌。
関連:
The lives lost in the D.C. plane-helicopter crash (Washington Post, 随時更新中)
DCA Airport Diagram (Wikipedia)。AA5342 便の希望どおり Runway 1 に誘導されていれば衝突は回避されていたかもしれないが、選択されたのは Runway 33。
Retired pilot’s video shows what it’s like landing at Ronald Reagan Washington National Airport (wsaz.com, 1/31)。DCA Runway 33 への着陸の様子 (2013 年クリスマスの早朝)。 ページの下の方にフルバージョンがある。
The final seconds — and grim aftermath — of D.C. plane crash that killed 67 (Washington Post, 1/31)
A visual timeline of the collision between a passenger plane and a Black Hawk helicopter in DC (CNN, 1/31)
Pilots tried to pull passenger jet’s nose up within seconds of deadly DC helicopter collision, preliminary NTSB data shows (CNN, 2/2)。ブラックホークはなんでまたそんなところを飛んでいたのか。 DeepL 訳:
衝突事故当時、ブラックホーク軍用ヘリコプターは、大惨事が発生した場合に政府高官を避難させる訓練を行っていた。
陸軍航空総局のジョナサン・コジオール参謀長は木曜日、記者団に「この地域で本当に悪いことが起こり、上級指導者を移動させる必要がある」場合のシナリオを想定してパイロットは訓練をしていたと語った。
この避難は、ヘグセスが "政府の継続性 "と表現したミッションの一部である。
そのような避難を実行するために、パイロットは "環境、航空交通、ルートを理解する必要がある "とコジオルは付け加えた。
そしてやはり、ヒヤリハットは以前にもあったと:
一方、この悲劇がより大きな問題の一部であることを示すかもしれない報告も出ている。 この惨事の3年前にも、レーガン・ナショナル空港に着陸する際に、少なくとも2機のパイロットがヘリコプターとニアミスしている。
何年もの間、ティム・ケイン上院議員は空港の混雑を声高に批判し、致命的な衝突が起こるのは時間の問題だと警告してきた。
》 「シー・シェパード」創設者にパリ名誉市民権授与 フランス (AFP, 2/4)。欧米ではこういう扱いなのですね。
安全? 脅威?
「DeepSeek-R1は厳格なレッドチームテストと安全性評価を受けている」Microsoftが公式ブログにて言及 (窓の杜, 2/3)
パロアルトネットワークスやシスコが脱獄テスト結果を公表 DeepSeekは“脱獄”による悪用が簡単 話題のLLMにセキュリティ企業が注意喚起 (ascii.jp, 2/4)
Evaluating Security Risk in DeepSeek and Other Frontier Reasoning Models (Cisco, 1/31)
Recent Jailbreaks Demonstrate Emerging Threat to DeepSeek (paloalto networks, 1/30)
NVIDIA、マイクロソフト、アマゾンが中国「DeepSeek」を導入 (AFP, 2/4)
「DeepSeekショック」とは何だったのか? 2025年、AI開発の最新事情を解説 (ITmedia, 2/4)
ゴジラ、アカデミー賞を喰う〜VFXに人生をかけた精鋭たち〜 (NHK 新プロジェクト X, 2/1) を観ながら、DeepSeek も多分こういうことなんだろうなあ、知らんけど、と思ったり。NHK は今すぐ中国に新プロジェクト X 取材班を送るべきだよね。
》 年末年始に相次いだDDoS攻撃を受け、内閣サイバーセキュリティセンターが注意喚起を実施 (Internet Watch, 2/4)
》 警察になりすました末尾「0110」からの国際電話が急増〜トビラシステムズが詐欺電話やSMSに関する調査の結果を公開 (Internet Watch, 2/3)
》 ダークパターン対策協会、対策ガイドライン ver1.0を公開し、意見を募集 (Internet Watch, 2/3)
》 IISでpfxファイルをインポート時に「指定されたネットワークパスワードが間違っています」エラーが出る (learn.microsoft.com, 2024.11.05)。 pfx を AES256-SHA256 で作成すると Server 2016 で import できない模様。 今日この地雷にひっかかった。
この件ですが、以下の問題が当てはまる可能性があります。
https://qiita.com/kenjiuno/items/c1c777d0a9eaeb453180
TripleDES-SHA1 で作成し直すしかないっぽい。うへえ。
関連: AES256-SHA256 で暗号化された PFX 証明書をインポートできない (learn.microsoft.com)
Windows 11、Windows 2019、およびそれ以降のバージョンの Windows では、AES256-SHA256 で暗号化された PFX ファイルがサポートされています。 したがって、この記事で概説されている問題は、これらのバージョンの Windows には適用されません。
Windows Server 2019 に対応するのは Windows 10 Version 1809 なので、それ以降の Windows 10 なら ok と。
》 How to Build a Human (The Intercept, 2/2)。Parabon 社、 DNA 情報から顔面画像をテキトーに生成して犯罪捜査用に提供している模様。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)
