Last modified: Sat Jan 6 15:51:34 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 WireWatch Measuring the Security of Proprietary Network Encryption in the Global Android Ecosystem (CitizenLab, 5/12)
》 Appleの新たな子ども向け安全対策は十分? (Kaspersky, 5/19)
オンライン上の子どもの安全の保証を、製品に依存させることで利益を得ている企業に期待することは最善の策とは言えません。上記で引用した、Appleの解決策に関する声明を出したMetaから漏れた情報によると、Metaが意図的に若年層をターゲットとしていることが繰り返し指摘されています。
(中略)
Appleもまた、これまで子どものオンラインでの安全を特に優先事項にしたことは一度もありません。長い間、Appleのペアレンタルコントロールにはかなり限定的な機能しか搭載されておらず、子どもたちはその抜け穴をすぐに見つけていました。
》 New Russia-affiliated actor Void Blizzard targets critical sectors for espionage (Microsoft, 5/27)
e―Taxで虚偽の確定申告し還付金を不正受給容疑…高知県警が男女10人逮捕、数百人が関与か (読売, 5/22)。さらっと書かれている「他にも数百人が関与したとみている」がすさまじい。
“5万円の副業”のはずが巨額《e-Tax還付金》詐欺の加担者に…闇バイト告白「これ詐欺なんですか?」 (高知さんさんテレビ / FNN, 5/29)。丁寧な記事。
さんさんテレビは関係者から、この事件に関わったとみられる28人の名簿などの資料を独自に入手。このうち名嘉優貴容疑者と猿山順子容疑者はすでに逮捕されている。今回取材したのは、その名簿に記載されていた県内在住の40代男性だ。
事件に関わり、トクリュウに個人情報を提供した関東の60代女性にも取材をした。
(中略)
記者「詐欺に利用されたということですね」
女性「えー!本当ですか?だから電話もつながらない」
》 新型コロナ“再流行”の危機迫る…変異株「LP.8.1」急増中、WHO「ワクチン接種の継続を」 (Medical DOC / Yahoo, 5/28)。関連:
SARS-CoV-2オミクロンLP.8.1株 のウイルス学的特性の解明 (東京大学医科学研究所, 2/12)
以上のことから、オミクロンLP.8.1株は親系統株であるオミクロンJN.1変異株と比較して、より高い免疫逃避能を獲得し、現在の主流行株オミクロンXEC株よりも高い伝播力(実効再生産数)を有することが明らかとなりました。 この変異株は今後全世界に拡大し、流行の主体になる可能性が懸念されています。そのため、有効な感染対策を講じることが肝要です。
》 「トロイの木馬」中国製コンテナクレーン締め出しを目指す韓米 (朝鮮日報, 5/28)
昨年にはZPMCクレーンから購入契約に含まれていない通信設備(モデム)が発見された。中国・上海のZPMC本社から遠隔でクレーンをモニタリングできるだけでなく、中国政府が米国の海洋インフラに必須な部品や資材の供給を制限し、「物流主導権」を握る恐れがあるとも懸念されている。「第2の華為(ファーウェイ)」問題に発展する可能性が指摘されているのはそのためだ。
》 中国製太陽光発電に不審な通信機器搭載 遠隔操作で大規模停電恐れ ロイター報道 (産経, 5/19)。元ねた: Rogue communication devices found in Chinese solar power inverters (Reuters, 5/15)。DeepL 訳:
米国のエネルギー当局は、再生可能エネルギーのインフラで重要な役割を果たしている中国製機器の一部から原因不明の通信機器が見つかったことを受け、そのリスクを再評価していると、この問題に詳しい2人の関係者が明らかにした。 (中略)
製品ドキュメントに記載されていない不正な通信デバイスが、一部の中国製太陽光発電インバーターで発見されている。セキュリティ上の問題がないか、送電網に接続された機器を分解してチェックする米国の専門家によって発見されたのだ、と2人は述べている。
過去9ヶ月の間に、携帯無線を含む文書に記載されていない通信機器が、複数の中国サプライヤーのバッテリーの一部からも発見されている、と2人のうちの1人が述べた。
ロイターは、彼らが調べた太陽光発電インバーターとバッテリーの数を特定することはできなかった。
(中略)
この2人は、余分な通信装置を搭載したインバーターやバッテリーの中国メーカー名や、全部で何個見つかったかについては明言を避けた。
不正デバイスの存在はこれまで報告されていない。 米国政府もこの発見を公には認めていない。
コンサルタント会社ウッド・マッケンジーによると、ファーウェイは世界最大のインバータサプライヤーで、2022年の世界出荷量の29%を占め、中国の同業者であるSungrowとGinlong Solisがこれに続く。
しかし、ドイツの太陽光発電デベロッパー1Komma5は、ファーウェイのインバーターはセキュリティ・リスクと関連があるため、避けているという。
(中略)
ファーウェイは5G通信機器が禁止された2019年に米国のインバーター市場からの撤退を決めたが、他の地域では依然として支配的なサプライヤーである。
ファーウェイはコメントを拒否した。
「2019年に撤退」。つまり、記事にある事象はファーウェイ製インバーター ではない ということなのだろうか。よくわからん。
関連: 「誰が操作しているかもみないと」自民・小野田氏、太陽光発電の遠隔操作リスクに対応要請 (産経, 5/29)
》 警視庁が作った冤罪事件、税金で裁判継続は「許されない」大川原化工機の弁護団が署名スタート (弁護士ドットコムニュース / Yahoo, 5/30)。 これですかね: 【緊急署名】警視庁(東京都)および検察庁(国)は上告しないでください #大川原化工機冤罪事件 #公安部捏造 (Change.org)
関連: 大川原化工機えん罪事件 民事裁判 2審も都と国に賠償命じる (NHK, 5/28)
》 制服警官のコンビニ立ち寄り「どう見られるか」と疑心暗鬼も…「利用宣言」に大反響「むしろあちこち出没して」 (読売, 5/30)。たいていのコンビニには 「警察官立寄所」って札が貼ってあるもんだと思ってたのだけど、 そうでもないんだろうか。
》 トランプ関税は「違法であり無効」、米国際貿易裁判所が差し止め命令…政権側は控訴 (読売, 5/29)
判決文によれば、差し止めの対象は、政権が貿易赤字の是正を目的に、全世界からの輸入品に発動した相互関税のほか、合成麻薬フェンタニルの流入を阻止する名目で導入されたカナダとメキシコ、中国に対する追加関税だ。
(中略)
国際貿易裁は「米国憲法では、関税などを課して徴収する権限は原則として議会が有する」「IEEPAはこのような際限のない権限を大統領に与えていない」と言及し、一連の関税措置は無効だと指摘した。
通商拡大法第232条に基づく自動車や鉄鋼・アルミニウムへの25%関税は、今回の判決の差し止めの対象とはなっていない。
》 マスク氏、トランプ政権役職を退任 DOGEで職員大量削減 (ロイター, 5/29)
2025 年 5 月のセキュリティ更新プログラム (月例) (2025.05.19)
「Windows 11 22H2/23H2」に2025年5月セキュリティパッチを適用できない問題が発生中【5月30日追記】 (窓の杜, 2025.05.29)
Chrome 137.0.7151.55 (Linux) および 137.0.7151.55/56 (Windows / Mac) が stable に。11 件のセキュリティ修正を含む。 初報がずいぶん古いやつがあるなあ。
[$4000][40058068] Medium CVE-2025-5064: Inappropriate implementation in Background Fetch API. Reported by Maurice Dauer on 2021-11-29
[$2000][40059071] Medium CVE-2025-5065: Inappropriate implementation in FileSystemAccess API. Reported by NDevTK on 2022-03-11
関連:
Chrome for Android Update (Google, 2025.05.28)。上記と同様のセキュリティ修正あり。
Chrome Stable for iOS Update (Google, 2025.05.27)。位置付けは不明。
「Microsoft Edge 137」が正式リリース ~YouTubeなどで使えるピクチャーインピクチャーが強化 (窓の杜, 2025.05.30)
出てました。セキュリティ修正を含みます。
Firefox 139 がリリースされた (mozillaZine, 2025.05.29)
その後 Firefox 139.0.1 が出てます。セキュリティ修正はありません。
Firefox 139.0.1 がリリースされた (mozillaZine, 2025.05.30)
Firefox for Android 139 がリリースされた (mozillaZine, 2025.05.29)
Thunderbird 139 がリリースされた (mozillaZine, 2025.05.29)
Thunderbird 139.0.1 が公開されました。セキュリティ修正はありませんが 「ローカルフォルダーを IMAP へコピーする」と crash するという重大問題の修正を含みます。
Thunderbird 139.0.1 がリリースされた (mozillaZine, 2025.06.03)
ローカルフォルダーを IMAP へコピーするときにクラッシュする問題を修正
バージョン 139.0 へアップデートするとテーブルビューが誤ってカードビューに変更される問題を修正
OpenSSL Security Advisory [22nd May 2025] The x509 application adds trusted use instead of rejected use (CVE-2025-4575) (OpenSSL, 2025.05.22)。OpenSSL 3.5 系にのみ影響。 Severity: Low のため OpenSSL 3.5.1 リリース時に修正。
iida さん情報ありがとうございます。
JVNVU#91929206 Apache TomcatのCGIサーブレットにおいてpathInfoのセキュリティ制約が回避される脆弱性 (JVN, 2025.05.30)。 Apache Tomcat 11.0.7 / 10.1.41 / 9.0.105 で対応。 CVE-2025-46701
》 027中国が謎の船を造っている (DEEP DIVE Cast / YouTube, 5/27)、 Ship Wars: Confronting China’s Dual-Use Shipbuilding Empire (CSIS, 3/11)。
》 「ケンタッキー州の仮想通貨王」がビットコインのパスワードを奪うため男性を監禁して2週間以上にわたり拷問する事件が発生 (gigazine, 5/26)。関連:
起業家の父を誘拐、指切断して脅迫 相次ぐ暗号通貨関連の身代金要求事件 仏 (CNN, 5/5)
暗号資産取引所CEOの娘と孫、パリで誘拐未遂の被害に (CoinDesk Japan, 5/17)
フランス当局 仮想通貨業界関係者の誘拐事件で12人以上を逮捕=報道 (CoinTelegraph Japan, 5/27)
Severed Fingers and ‘Wrench Attacks’ Rattle the Crypto Elite (Wall Street Journal, 5/17)。DeepL 訳:
今、大きな問題となっているのは、犯罪者が現実世界でどのようにターゲットを見つけているのか、そしてそれに対してどうすればいいのかということだ;
すでに暗号コミュニティのメンバーは、インスタグラムのプロフィールを非公開にし、自分の物理的な住所や家族の住所を公的な記録から削除しようとしているという。 ある幹部は、幼い子供がいるので特に心配していると語った。 火曜日の攻撃を受け、ペイミウムは当局に対し、データ漏洩の際に顧客を危険にさらす可能性があると主張する情報開示義務を軽減するよう求めた。
Coinbaseのハッキングに加え、特に2つのデータ流出が調査官を不安にさせている。 1つ目は、2020年7月に起きたLedgerのハッキングで、暗号通貨のキーをオフラインで保管する洗練された物理的デバイスを製造しているフランスの暗号財布会社だ。 Ledgerのマーケティング・データベースにアクセスしたこのハッキングでは、最終的に27万2000人の顧客の名前、Eメール、住所がネット上に流出した。 もうひとつは、リスク・アドバイザリー会社Krollへの侵入で、暗号通貨会社Genesisの破産手続きにおける債権者の住所やその他の個人情報にハッカーがアクセスした。
》 スペースXが「スターシップ」第9回飛行試験を実施 宇宙船は軌道到達も姿勢制御喪失 (sorae, 5/28)
Starship宇宙船は2025年1月の第7回飛行試験から新世代の改良版が用いられていますが、第7回および2025年3月の第8回飛行試験では上昇燃焼中に異常が発生し、軌道に到達することなく機体は失われていました。改良版として3回目の飛行となる今回は上昇燃焼を終えることはできましたが、軌道上での試験を計画通り行うことができないまま、姿勢制御を失った状態で大気圏に再突入することとなりました。
関連: Starship's Ninth Flight Test (SpaceX, 5/27)
》 F-15E Spotted Packing Big Laser-Guided Rocket Arsenal Ideal For Drone Hunting (The War Zone, 5/23)。対ドローン用レーザー誘導ロケット登場。 通常の誘導弾は対ドローン用にはコスパが悪すぎるので。
》 経済産業省 「産業サイバーセキュリティ研究会」が「政策の方向性」と「産業界へのメッセージ」を発出(2025.05.23) (まるちゃんの情報セキュリティ気まぐれ日記, 5/27)
中小企業対策は日本だけでなく世界的な課題ですが、★3、★4の話と、情報処理安全確保支援士の活用がポイントとなってくるはずですね。今は社会的に必要なセキュリティ対策費用を払っていない状態(社会的には最適なリスクの状態ではない)で社会が成り立っているという状況をどのように効果的に是正していくかということだと思います。(車社会でいうと、安全ではない安価な車にのっていて、多くの人が亡くなり、社会的な損失が大きい状況から、多少高価になるが安全な車にのって、死亡事故が減少し、社会的な損失が少なくなるという状況に変えるということ。)私もこの課題には関わっているので、うまく前進させたいと思っています。
「多少高価」で済むレベルに抑えられるかどうかだよなあ……。
》 Windows 11の次期セキュリティ機能「管理者保護」でユーザー・開発者が注意するべきこと (窓の杜, 5/27)
管理者保護は「Windows 11 バージョン 24H2」以降で利用可能(Home、Professional、Enterprise、Educationの各エディション)。近日中にプレビュービルドでテストが開始される。「Windows Server」や「Windows 10」などではサポートされない。
》 小泉進次郎「5キロ2000円台出てきた」で大炎上、SNSのコメ欄閉鎖で“国民の声”無視姿勢も火に油 (週刊女性 PRIME / Yahoo, 5/27)。消費税を知らない男。
》 令和のコメ騒動 農水省が招く飢饉 (山下 一仁 / キヤノングローバル戦略研究所, 4/25)
平成の米騒動は冷夏が原因と言われているが、根本的な原因は減反である。当時の潜在的な生産量1,400万トンを減反で1,000万トンに減らしていた。それが不作で783万トンに減少した。しかし、通常年に1,400万トン生産して400万トン輸出していれば、冷夏でも1,000万トンの生産・消費は可能だった。今は水田の4割を減反して生産量を650万トン程度に抑えている。減反を廃止して1千万トンを生産し、国内に650万トン、輸出に350万トン仕向ければ、国内で不足しても輸出の一部を国内に振り向ければ今回のようなことは起きない。
》 “情報漏えいは斎藤知事ら指示の可能性” 兵庫県第三者委員会 (NHK, 5/27)、 秘密漏えい疑いに関する第三者調査委員会の調査報告書の公表 (兵庫県, 5/27)
》 韓国大統領選挙戦終盤、革新系・李在明氏が約10ポイントリード 保守系は支持分散 (ロイター, 5/27)。「李在明候補が依然優勢」。
》 超長期金利が急低下、発行減額巡る報道で 円安/株高に波及 (ロイター, 5/27)。「3月から上昇基調を辿っていた超長期金利にようやくブレーキがかかった」。
助成金凍結、打ち切り
米ハーヴァード大、トランプ政権の要求拒否 政府は助成金を凍結 (BBC, 4/15)。「教育省はハーヴァード大学への22億ドルの助成金と6000万ドルの契約を直ちに凍結すると発表」。
トランプ政権、要求拒否のハーバード大への補助金を新たに打ち切り…留学生受け入れ資格取り消し可能性も (読売, 4/17)。「総額270万ドル(約3億8000万円)の補助金」を新たに停止。
米ハーヴァード大、トランプ政権を提訴 助成金凍結の停止求め (BBC, 4/22)
トランプ氏、ハーバード大への助成金30億ドル打ち切り検討と表明 (ロイター, 5/27)
税制優遇措置を撤回
トランプ大統領 ハーバード大の税優遇措置 取り消すと表明 (NHK, 5/3)
ハーバード大学が反論「法的根拠ない」 トランプ大統領の税制優遇取り消し表明受け (TBS, 5/3)
留学生受け入れ資格剥奪
ハーバード大学、ついにトランプ政権を提訴-留学生受け入れ資格の剥奪巡って学長は「われわれはこの違法かつ不当な措置を強く非難する」と言明 (ブルームバーグ / 東洋経済, 5/24)
ハーバード大の留学生認定取り消し措置 裁判所が一時差し止め (NHK, 5/24)
トランプに対抗するハーバード大学、法廷闘争は「トランプ敗北」の可能性も、その根拠となる最高裁判例とは? (Wedge Online, 5/22)
日本人260人在籍のハーバード大、留学生は「努力が無駄に」…転籍しないと米滞在資格を喪失 (読売, 5/24)
トランプ氏「留学生の名前を教えろ」 ハーバード大への圧力強める (毎日, 5/25)。赤狩り 2025。
ハーバードのアキレス腱を攻めたトランプ政権 「中国浸透」も問題視 (朝日, 5/26)
アングル:ハーバード大、「負債」になった中国との関係 トランプ政権がやり玉に (ロイター, 5/26)
ハーバード大、トランプ氏と闘う覚悟も残る懸念 (Wall Street Journal, 5/26)
ハーバード大学の留学生受け入れ「剥奪」の衝撃…トランプ支持者は無関心?損なわれる米国のソフトパワー (Wedge Online, 5/26)
各所でハーバード留学生受け入れ表明
ハーバード大学にいられなくなった留学生、中国の大学が「無条件で受け入れ」 (ニューズウィーク日本版, 5/26)
ハーバード留学生を追い出すトランプ大統領…香港の大学、破格の条件で「人材誘致」 (ハンギョレ, 5/27)
東大がハーバード留学生を一時受け入れへ 「学びの継続に貢献を」 (朝日, 5/26)
ハーバード大の留学生受け入れ、日本の全大学に依頼 文科省 (毎日, 5/27)。ただし金は出さぬ。
》 OpenAIのo3モデルでLinuxカーネルのゼロデイ脆弱性を発見した方法とは (gigazine, 5/27)
》 Wii用非公式ツール「Homebrew Channel」の開発者が「コミュニティの主要人物が任天堂や他の開発者からコードを盗んでいた」と指摘して開発を停止 (gigazine, 5/25)。 RTEMS を利用するように改変できないものなのだろうか。
》 ChatGPTのo3が明示的に指示されたシャットダウンを妨害したことが報告される (gigazine, 5/26)。物理で殴れることの重要性。
》 X(旧Twitter)のチャットボット・Grokは反証済みの主張を繰り返すため医療分野などの重要な局面で信頼に欠けるとの指摘、「真実を探求するチャットボット」を開発するというイーロン・マスクの目的にも反する (gigazine, 5/26)
そんなGrokの評判を大いに貶める出来事が2025年5月に起きました。2025年5月に入ってから、Grokはあらゆる種類の無関係な質問に対して、文脈に関係なく唐突に「南アフリカの白人虐殺」について語り出すようになりました。
うわ……。ネトウヨしぐさ。
この問題に対して、xAIは問題のあるGrokのポストを削除し、問題の原因は匿名の従業員が「無許可でコードを変更したため」と主張しています。なお、xAIは無許可でコードを変更した従業員を特定せず、懲戒処分についても発表しませんでした。
「無許可でコードを変更」できること自体が致命的な欠陥のはずだが。 もしかして、そいつはイーロン・マスク自身なんじゃないのか。
》 AIトレーニングについてコンテンツ作者に使用許可を求めるなら「国のAI産業が一夜で消滅してしまう」と元Meta幹部のニック・クレッグが語る (gigazine, 5/27)。消滅すればいいじゃん。
》 CIAが秘密裏にスター・ウォーズのファンサイトを運営していたと判明 (gigazine, 5/27)
ウェブサイトのソースコードには「password」「message」「compose」などの記述が残っており、右クリックでソースを確認すれば誰でも通信機能の存在に気づける状態だったそうです。さらに、これらのサイトは同一サーバー上で連番のIPアドレスを用いて大量に生成されていたため、ある一つのサイトが発覚すれば、近隣のIPを調べることで同様のサイトを芋づる式に特定できる構造になっていました。そのため、イランだけでなく中国など他国でも数十人規模のCIA協力者が逮捕・処刑されたと報じられています。
CIA、やってることが雑すぎる……。
》 AI幻覚、法廷にも 知的労働の最高峰がなぜ騙されるのか? (MIT Technology Review, 5/26)
チャットGPT(ChatGPT)がおよそ3年前に登場して以来、この問題については知られていたが、解決策はほとんど進歩していない。「AIの出力を無条件に信じるな。そして検証せよ」というのが相変わらずの教訓である。しかし、AIが多くのツールに組み込まれていく中で、この基本的な欠陥に対する対応としては、あまりにも心もとないと感じる。
》 184 Million Users’ Passwords Exposed From an Open Directory Controlled by Hackers (cybersecuritynews.com, 5/24)
》 三菱重工業、T-4後継機のコンセプトを近日中に防衛省へ提案 (航空万能論 GF, 5/23)。MHI としては国産でイきたいということなんでしょうか。
》 空自、ASM-3Aを今年度から配備開始 (航空新聞社, 5/26)
》 斎藤元彦兵庫県知事の法解釈問題。消費者庁がその見解を否定する法的通知を全国に発信し、さらに波紋広がる (赤澤竜也 / Yahoo, 5/26)
兵庫県在住である上脇博之教授は、
「県がどのような文書を作成または保有しているのかわたしは把握していませんので、斎藤知事の記者会見での発言を踏まえていくつかの情報公開請求をしてきました。その結果、重要なことが判明しました。県が3号通報者探しをしたことやその結果亡くなった元西播磨県民局長を処分したことが公益通報者保護法違反ではなかったと結論づける者で、同法の著書または論文を書いていた学者・弁護士の文書を、人事課も県政改革課も保有していなかったのです。また、体制整備義務の対象に3号通報が含まれないと同法を解釈する者で、同法の著書または論文を書いていた学者・弁護士の文書を、人事課も県政改革課も一切保有していませんでした。
にもかかわらず斎藤知事は、県の対応や処分が適切で、専門家の間で意見が分かれているかのような説明を繰り返していたのです。そのうえ消費者庁の助言も無視しています。法治主義(法の支配)を事実上否定しており、もはや専制君主と同じような存在になってしまっている。このままでは、さらなる被害者が出てしまうでしょう。すでに法治主義を正しく理解している真っ当な職員に大きなしわ寄せが及んでいるのですから」
と語る。
》 債券市場から米政府に警告 「支払いはこれから」 (Wall Street Journal, 5/26)
》 トランプ氏、対EU関税50%の発動を7月9日まで延期 (Wall Street Journal, 5/26)
》 トランプ米大統領、「Appleは海外製造iPhoneの25%関税を支払うべき」 (ITmedia, 5/24)、 トランプ大統領「AppleだけでなくSamsungにも25%の関税」と発言 (ITmedia, 5/25)
》 Apple AirTag vs 激安タグ 徹底比較!最適解はどれ? (パソコン修理屋の豆知識 / YouTube, 5/21)。 「AirTag、Anker SmartTrack Card、DAISO製、そして中華製の格安タグ3種の合計6製品を比較検証」。興味深い。
関連: Anker、Androidの「検索ハブ」に対応したスマートトラッカー2種発売 (Internet Watch, 5/23)
》 米Z世代が見る景気後退サイン、どこにでも (Wall Street Journal, 5/23)
在韓米軍4500人の移転検討、グアムなどに (Wall Street Journal, 5/23)
この当局者2人によると、撤収案はトランプ氏のデスクにまだ届いておらず、政策見直しを行う高官らが議論している複数のアイデアの一つ。
米国防総省「在韓米軍4500人削減検討は事実ではない」 (ハンギョレ, 5/24)
これに関して韓国国防部は「在韓米軍の撤退に関して韓米間で議論された事項は全くない」と述べた。
そもそも WSJ 記事では韓米間で議論したとか書いてないからね。
2025 年 5 月のセキュリティ更新プログラム (月例) (2025.05.19)
Microsoft、「Windows Server 2022」向け定例外パッチ「KB5061906」を公開 (窓の杜, 2025.05.26)
この問題は「Windows Server 2022」のみに影響し、おもにAzureの機密仮想マシンで発生する。プレビューまたはプリプロダクションの構成に関わるまれなケースを除き、標準的な「Hyper-V」には影響しないと考えられている。
Azure confidential VM で問題になるそうで。
》 ホンダ、ブログ記事削除理由は“確認漏れ”と釈明 「風通し悪そう」と波紋 (ITmedia, 5/23)
》 レールガンの“ちょっと先の姿”、防衛装備庁が公開 陸上での運用も検討中 (ITmedia, 5/22)。まじめにレールガンやってるのは今や日本だけみたいだからなあ。
》 Advanced Protection: Google’s Strongest Security for Mobile Devices (Google Security Blog, 5/13)。Android 16 で利用可能となるという Advanced Protection の解説。 これは楽しそうですね。
》 What’s New in Android Security and Privacy in 2025 (Google Security Blog, 5/13)。 たとえば グーグル、「Android」のセキュリティ機能を大幅強化--巧妙化する詐欺・盗難からユーザーを保護 (ZDNet, 5/14) で紹介されているけど、劣化コピーな感じ。
》 How US defense secretary Hegseth circumvents the official DoD communications equipment (Electrospaces.net, 4/30)。「ヘグセス米国防長官はいかにして国防総省の公式通信機器を回避したか」。DeepL 訳:
米国防長官Pete Hegsethは、公共のインターネットに接続された私用コンピューターをオフィスに置いているようだ。 彼はこのコンピューターでメッセージングアプリSignalを使用したかったようだ。
ここでは、国防長官の公式通信機器とSecDef Cables通信センターを見ていこう。 また、ヘグセスのプライベート・コンピューターが確認できる写真もある。
Chrome 137.0.7151.40/.41 (Windows / Mac) が stable に。現在は Early Stable チャネルでのみ配布している模様。 8 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.05.22)。 Chrome 137 (137.0.7151.44) for Android が「small percentage of users」に公開。
Chrome Stable for iOS Update (Google, 2025.05.21)。Chrome Stable 137 (137.0.7151.34) for iOS だそうで。 Chrome 137.0.7151.40/.41 (Windows / Mac) と同等かどうかは不明。
》 サイオステクノロジー、OSSサポートサービス「サイオスOSSよろず相談室」に技術検証と脆弱性レポートメニューを追加 (クラウド Watch, 5/22)
》 IPA、IoT製品のセキュリティ要件適合を評価する制度「JC-STAR」適合ラベルの交付を開始 (クラウド Watch, 5/22)
》 ライターを雇い8000作品以上の「映画ネタバレサイト」を運営、仙台在住の経営者ら5人を著作権法違反の疑いで逮捕 (Internet Watch, 5/22)
》 AIが作成した米新聞の読書リストに実在しない本が掲載される。「ひどい」「事実確認なし?」 (ハフポスト, 5/21)。シカゴ・サンタイムズ紙。
このリストは、ライターのマルコ・ブスカリア氏(サンタイムズ紙の社員ではない)が生成AIを使って作成した。
ブスカリア氏は「私は、下調べのためにAIを使うことはありますが、必ず自分で内容を確認しています」と、独立系のテクノロジーニュースサイト・404メディアに語っている。
「しかし、今回はそれを怠りました。明らかな誤りで確認しなかったことが信じられません。言い訳のしようがありません」
関連:
著者は実在するも本は架空……米新聞、生成AIによる「おすすめ本リスト」を掲載し、謝罪 (やじうま Watch, 5/22)
ちなみに、シカゴ・サンタイムス紙は財政難を理由に、従業員の20%を2カ月前に解雇したばかりだったことを「Ars Technica」が伝えている。
Chicago Sun-Times prints summer reading list full of fake books (ars technica, 5/20)。 そもそも外部から買った「宣伝コーナー」(promotional section) の記事だったと。DeepL 訳:
この読書リストは、キング・フィーチャーズ・シンジケートが制作した宣伝コーナーであり、シカゴに特化したものではない「ヒート・インデックス」と呼ばれる64ページの付録に掲載された。 また、先週フィラデルフィア・インクワイアラー紙にも掲載された。 ブスカリア氏は404 Mediaに対し、このコンテンツは「一般的で全国的」なものであり、全国の新聞に掲載されることを意図していると語った。 「どこに掲載されたかというリストを受け取ることはありません」と彼は語った。
シカゴ・サンタイムズがバイアウト・プログラムによって20%のスタッフを失った2ヶ月後に、この出版ミスが起こった。 3月、同紙の非営利オーナーであるシカゴ・パブリック・メディアは、財政難の中、ニュースルームの23人を含む30人のサンタイムズ社員がバイアウトのオファーを受け入れたと発表した。
サンタイムズ紙の3月のバイアウトに関する報道は、この人員削減を「サンタイムズ紙がここ数年で直面した最も大幅なもの」と表現した。 その中には、コラムニスト、論説委員、数十年の経験を持つ編集者も含まれていた。
シカゴ・パブリック・メディアのメリッサ・ベル最高経営責任者(CEO)は当時、この退社によって年間420万ドルの節約になると述べた。 同社は、2026年末に予想される助成金支援の終了に備え、買収を提案した。
》 警察庁、台湾でのSNS上の脅迫事件被疑者検挙に協力 (Internet Watch, 5/21)
》 各業界で進む顧客を守る詐欺対策、操作中のユーザーに「詐欺では?」と気付かせるUX設計も (Internet Watch, 5/21)
》 米の価格高騰に便乗した詐欺サイトによるトラブルが相次ぐ。国民生活センターが注意喚起 (やじうま Watch, 5/21)
BIND 9.20.x の TSIG 実装に欠陥があり、 remote から DoS 攻撃 (named 異常終了) が可能。 BIND 9.18.x には影響しない。 CVE-2025-40775
本脆弱性は、などから、広い範囲での適切な緊急対策が必要となります。
- 外部から該当する問い合わせパケットを一つ送りつけるだけで、namedを 異常終了させられること
- フルリゾルバー及び権威DNSサーバーの双方が対象となること
- TSIGを設定・利用していない場合も対象となること
- namedの設定ファイル(named.conf)によるアクセスコントロール(ACL) や設定オプションの変更では、影響を回避・軽減できないこと
BIND 9.20.9 で修正されている。
Firefox 138.0 / 128.10.0 ESR / 115.23.0 ESR、Thunderbird 138.0 / 128.10.0esr 公開 (2025.04.30)
Thunderbird 138.0.2 / 128.10.2esr 公開。セキュリティ修正が含まれているようなのだが、詳細がわからない。
Thunderbird 138.0.2 がリリースされた (mozillaZine, 2025.05.21)
Release Notes: Thunderbird Desktop Version 138.0.2 | Released May 20, 2025 (Thunderbird, 2025.05.20)。「fixed: Security fixes」とあるのだが、リンク先には記載がない。
》 ロシアがジェットエンジン搭載の新型ドローン「バンデローリ」を投入 (Forbes, 5/8)、 Shahedを使用した攻撃方法の巧妙化、一部の機体は光に反応する (航空万能論 GF, 5/19)。Shahed-238 ベース?
》 パキスタン空軍 J-10CE が PL-15E ミサイルでインド空軍ラファールを撃墜した? 件。 結局のところ、詳細はよくわからんのですが。
インド軍機を撃墜したされる中国製のJ-10C・JF-17戦闘機とPL-15ミサイル (ミリレポ, 5/8)
中国J10C戦闘機「実戦で成果」 国営放送、仏製機の撃墜裏付けか (日経, 5/18)。まあ、そりゃあ宣伝しますわな。
中国オリジナル戦闘機が史上初の戦果!? ヒマラヤ至近で起きた空中戦 世界の兵器マーケットに影響 “大”な可能性 (乗りものニュース, 5/17)
インド・パキスタン紛争は中国の兵器ポジションを変える (vietnam.vn, 5/16)
パキスタン軍が使用してインド軍機を撃墜か 中国製空対空ミサイル「PL-15」はなぜ長射程が実現できているのか? (数多 久遠 / JBpress, 5/19)
J-10Cとラファールの空中戦、明暗を分けたのはキルチェーン全体の有効性 (航空万能論 GF, 5/20)
ダーム氏はインドとパキスタンの空中戦において最も重要な要素だったのは「戦闘機単体の性能」ではなく「戦闘機、ミサイル、レーダー、早期警戒管制機などの要素で構成されるキルチェーンの有効性」で、ロシア製、フランス製、米国製、インド製システムが入り交じるインド軍よりも、システムの大半が中国製で統一されているパキスタン軍の方がシステム統合で優位だったのではないかと予想しているのが興味深いものの、インドとパキスタンが積極的に情報を公開すると思えないので真相は誰にも分からない。
印パ衝突でも「電子戦」が重要な役割 中国のシステム、仏製戦闘機撃墜に寄与か (Forbes / Yahoo, 5/21)
中国製武器にやられた…世界に衝撃与えた「インド最高の失敗」(1) (中央日報 / Yahoo, 5/18)、 (2) (中央日報 / Yahoo, 5/18)
しかしさらに大きな問題はインド軍が見せた混乱する姿は今回が初めてではないという事実だ。2019年にやはりカシミール分離主義者のテロで起きた紛争の空中戦の再発と変わらないためだった。パキスタン軍はインド軍の戦闘機2機を撃墜し、操縦士1人を捕らえる戦果を上げ空中戦で勝利した。これは以前までの戦争や紛争で優勢な戦果を上げてきたインド空軍には途轍もない屈辱だった。
(中略)
この時、インドのモディ首相が「もしラファールがあったとすれば勝っただろう」としながら敗北の元凶を古いミグ21のせいにした。(中略) 結局空中戦敗北後にモディ首相が叱咤し、インド軍はフランスを急き立てて2020年からラファールを配備できた。
同時期にパキスタンは米国の干渉から抜け出そうと中国からJ10、ZDK03早期警報機、HQ16地対空ミサイルなどを一括導入して戦力を強化した。
そして最初に言及したように今回再び紛争が起きるとインド軍はモディ首相が万能薬と考えたラファールを投じて2019年の屈辱に復讐しようと考えた。だが結果はラファール撃墜の再発で、世界に衝撃を与えるほど余波が大きく押し寄せた。
関連:
インドが6.8兆円相当の緊急調達を承認、無人機とミサイルを優先調達 (航空万能論 GF, 5/18)
》 英海軍、空母向け早期警戒ヘリの後継機としてMQ-9Bを検討中 (航空万能論 GF, 5/20)。関連:
ツイート
海自がやってる調査だからやはりDDHへの搭載を考えてだろうな……
— imgurの人/とほほ電池@充電中 (@chageimgur) July 17, 2023
ただ既存品ならMQ-9 STOL一択だし早急な戦力として導入すべきとも思うけど、AEW/EW機として開発された国産STOL-UAVを見たくもある。
MQ-9 STOLだと能力も限界あるだろうし…… https://t.co/OIITDWEw26
》 問題は赤外線センサー、フーシ派の初歩的な防空システムがF-35を脅かす (航空万能論 GF, 5/17)。しょせんはモノスタティックレーダーに映りにくいというだけの話なのでねえ。K.U.F.U.
》 誰も知らないF-55に全関係者が沈黙、専門家は史上最悪のアイデアと指摘 (航空万能論 GF, 5/17)
「F-55の言及に該当するのは数十年前にRevellが発売したプラモデル以外に思いつくものがない」
ギャハハハハ。
》 トランプ大統領がGolden Domeの概要を発表、任期満了前までに完全稼働 (航空万能論 GF, 5/21)
トランプ大統領はGolden Domeの迎撃対象についても「地球の反対側から発射されたミサイル(恐らくFOBSのこと)」「宇宙から発射されたミサイル」と述べ「全て空中で叩き落される」「迎撃成功率は100%に近い」と述べているため、恐らく国防総省が提出したプランの中で「最も壮大でコストがかかるプラン」を選択した可能性が高い。
》 長距離攻撃兵器を手に入れれるUCAV、対地攻撃で復権する可能性 (航空万能論 GF, 5/16)
日本の新明和工業とWB GROUPは有人・無人航空プラットフォームの開発協力協定を今年3月に締結 (中略) WB GROUPはC4Iシステム、無人システム、射撃管制システム、訓練用シミュレーションシステムで成功を収めているポーランド最大の防衛産業企業で、特に戦術用途の無人機=偵察向けのFlyEye、FT5、X-FRONTER、Warmate-R、徘徊型弾薬のWARMATEや、これを活用するための情報統合技術が日本にとって魅力的に映るだろう。
これか: WARMATE loitering munitions (WB GROUP)
》 中国の大型無人機が6月に初飛行、徘徊型弾薬や小型ドローンを100機搭載 (航空万能論 GF, 5/21)。空中空母コンセプト、使い捨て無人機との組み合わせならば実現可能なのか。なるほど。
》 維新が「旧姓の通称使用」の法案提出 選択的夫婦別姓案とは一線 (朝日, 5/19)。本当の改革をしない。本質を避ける。 それが維新。
》 危機に瀕する気候データ、地味な研究こそ継続性が重要な理由 (MIT Technology Review, 5/19)。本当になあ。
》 野党5党、江藤農水相の更迭要求で一致 応じなければ不信任決議案も (朝日, 5/20)。確かに駄目すぎる失言なのだが、 減反しすぎたという米不足の本質的な問題は江藤大臣個人の責任ではないしなあ。 いちばん悪いのは減反廃止と大嘘をついた安倍政権だし、 江藤大臣の首を取ればそこが解決するわけでもない。 今下手に首を取ると、米価対策はむしろ後退するのでは。
》 創業100年、変わらず引き継ぐ「二つの事件」 雪印が得た教訓とは (朝日, 5/11)
》 クラウド狙う“削除型ランサム”被害 エネクラウドがデータ消失を公表、顧客情報漏えいの可能性も (ITmedia, 5/20)
》 米シェールオイル生産はピークアウト、業界各社 (Wall Street Journal, 5/20)。世の中厳しい。
》 グリーンランドの氷の下に米核基地 冷戦時代の遺物 極秘のまま放棄された「キャンプ・センチュリー」、60年を経て発見 (Wall Street Journal, 5/16)。冷戦時代の秘密核基地だそうで。
「キャンプ・センチュリー」と呼ばれるこの極秘基地は、1959年に一部が建設されたものの、氷床が安定しないため、核ミサイル発射基地の計画を支えるには不適切と判断され、1967年に放棄された。
氷床に直接掘られ、21のトンネルで相互につながった全長約3.2キロメートルの基地は原子炉を動力源としていた。原子炉は200キロ以上に及ぶ氷床の上を運ばれてきた。基地には寝泊まりする部屋のほか、体育館やトイレ、研究室、食堂が備えられ、約200人の軍事要員が滞在していた。
うぉぅ原子炉。ぐぐってみると、かつては南極 マクマード基地 にも原子炉があったのだそうで。「1972年に撤去された」。へぇ。
》 トランプ米大統領、ディープフェイク画像削除を義務化する「Take It Down Act」に署名 (ITmedia, 5/20)
電子フロンティア財団(EFF)はこの法案について、削除規定が「法案の他の条項で規定されているNCII(非合意の親密な画像)という限定的な定義よりもはるかに広範なコンテンツカテゴリーに適用される」ことに懸念を表明した。また、苦情を受けてから48時間以内に削除するという規定は、プラットフォームがコンテンツが実際に違法かどうか確認せずに削除する可能性を高くするとしている。
》 今年の“着るクーラー”は、ダブルで冷えるプロ仕様 ソニー「REON POCKET PRO」先行レビュー (ITmedia, 5/20)
それよりも気になったのは、厚みの増加だ。本体がくの字に曲がっていることもあり、厚みとしては2倍ぐらいになっている。これは車の運転席やヘッドレストがある椅子に座っている時に、本体が椅子の背中に当たる感じがある。
こうしたオフィスワークよりも、おもに屋外移動や立ち作業などの利用がメインに想定されているということなのだろう。逆に厚みがあることで身体とシャツの間に隙間ができ、背中の風通しが良くなった。
》 イオンカードがNHK報道に反論 詐欺事件の原因が、同社のシステムエラーと取れるとして (ITmedia, 5/17)、 5月15日のNHKニュース報道について (イオンカード, 5/16)
弊社は、昨年の詐欺犯罪の多発が確認されて以降、根本的な対策を講じ不正利用犯罪の抑制に努めてまいりました。
「昨年の詐欺犯罪」は確かに「多発」していた。 特別損失99億円 だからね。
また、自社システムについては、第三者検証を行い問題がないことを確認しており、NHKが報道したような事実はございません。
「自社システムについては」問題はなかったと。
》 資源ごみ持ち去り、各地で急増 垣間見えるウクライナ侵攻の影 (毎日, 5/20)
環境省の調査では、ごみの売却量の減少により「収入減少」を訴えた自治体は283市区町村に及んでおり、深刻な状況だ。
》 世界の支配権を失いつつある米国が破れかぶれの政策を断行する理由 (トマ・ピケティ / クーリエ・ジャポン, 5/13)
トランプは、過去の栄光にこだわるあまり、米国が1945年、欧州が築いた植民地支配の秩序を断ち切り、新しい開発モデルを掲げて国家建設に乗り出したことを忘れてしまっている。その新しい開発モデルとは、民主主義の理想を掲げ、世界各地の教育水準を大幅に向上させるものだった。
いまトランプがしていることは、米国の指導力の基盤となってきた、そうした道徳的かつ政治的な威信を損なうものだ。
Firefox 138.0 / 128.10.0 ESR / 115.23.0 ESR、Thunderbird 138.0 / 128.10.0esr 公開 (2025.04.30)
Firefox 138.0.4 の件、Pwn2Own だったのですね。
ハッキング大会「Pwn2Own」で「Firefox」がまた陥落……するも、「本丸」は死守! (窓の杜, 2025.05.19)
2025 年 5 月のセキュリティ更新プログラム (月例) (2025.05.19)
KB5058379 の vPro + Intel TXT 時の不具合の件、修正版が公開されたそうで。 ただし Microsoft Update カタログのみ。
MS、Windows10が正常に起動しない不具合を修正。修正更新プログラムKB5061768を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2025.05.20)
"KB5061768" (Microsoft Update カタログ)
》 中国製プリンターのドライバにマルウェア。半年以上公開状態。Procolored社製プリンターにご注意 (ニッチなPCゲーマーの環境構築Z, 5/19)
》 Trump Is Building a Global Gulag for Immigrants Captured by ICE (The Intercept, 5/15)。DeepL 訳:
米国はすでにエルサルバドルのテコルーカにある悪名高いテロ監禁センター(CECOT)を使用しており、国務省が人権侵害を非難している多くの国を含む、その他多数の国に照準を合わせている。 米国は少なくとも19カ国と取引を模索、模索、または締結していると伝えられている: アンゴラ、ベニン、コスタリカ、エルサルバドル、エスワティニ、赤道ギニア、グアテマラ、ガイアナ、 ホンジュラス、コソボ、リビア、メキシコ、モルドバ、モンゴル、パナマ、ルワンダ、サウジアラビア、ウクライナ、ウズベキスタン。
Adobe、2025年5月のセキュリティ情報 ~12製品に致命的な欠陥 (窓の杜, 2025.05.14)。 ColdFusion のみ Priority: 1、その他は Priority: 3。
Dropbear 2025.88 (oss-sec ML, 2025.05.07)
Security: Don't allow dbclient hostname arguments to be interpreted by the shell.
dbclient hostname arguments with a comma (for multihop) would be passed to the shell which could result in running arbitrary shell commands locally. That could be a security issue in situations where dbclient is passed untrusted hostname arguments.
Now the multihop command is executed directly, no shell is involved. Thanks to Marcin Nowak for the report, tracked as CVE-2025-47203
WebKitGTK and WPE WebKit Security Advisory WSA-2025-0004 (oss-sec ML, 2025.05.15)
「Zoom Workplace」に複数の脆弱性 ~権限昇格やサービス拒否(DoS)の問題 最新版のv6.4.6で修正済み (窓の杜, 2025.05.14)
Intelが2025年5月のセキュリティアドバイザリを公開 ~CoreシリーズのCPUなどに脆弱性 (窓の杜, 2025.05.14)
はい、先週に出てますね。 78 Microsoft CVE + 5 non-MS CVE。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。 11 件もあるよ。
- .NET、Visual Studio、および Build Tools for Visual Studio CVE-2025-26646
- Active Directory 証明書サービス (AD CS) CVE-2025-29968
- Azure CVE-2025-30387 CVE-2025-33072
- Azure Automation CVE-2025-29827
- Azure DevOps CVE-2025-29813
- Azure File Sync CVE-2025-29973
- Azure Storage リソース プロバイダー CVE-2025-29972
- Microsoft Brokering File System CVE-2025-29970
- Microsoft Dataverse CVE-2025-29826 CVE-2025-47732
- Microsoft Defender for Endpoint CVE-2025-26684
- Microsoft Defender for Identity CVE-2025-26685
- Microsoft Edge (Chromium ベース) CVE-2025-29825 CVE-2025-4050 CVE-2025-4051 CVE-2025-4052 CVE-2025-4096 CVE-2025-4372
- Microsoft Office CVE-2025-30377 CVE-2025-30386
- Microsoft Office Excel CVE-2025-29977 CVE-2025-29979 CVE-2025-30375 CVE-2025-30376 CVE-2025-30379 CVE-2025-30381 CVE-2025-30383 CVE-2025-30393 CVE-2025-32704
- Microsoft Office Outlook CVE-2025-32705
- Microsoft Office PowerPoint CVE-2025-29978
- Microsoft Office SharePoint CVE-2025-29976 CVE-2025-30378 CVE-2025-30382 CVE-2025-30384
- Microsoft PC Manager CVE-2025-29975
- Microsoft Power Apps CVE-2025-47733
- Microsoft Scripting Engine CVE-2025-30397
- UrlMon CVE-2025-29842
- Visual Studio CVE-2025-32702 CVE-2025-32703
- Visual Studio Code CVE-2025-21264
- Web Threat Defense (WTD.sys) CVE-2025-29971
- Windows Ancillary Function Driver for WinSock CVE-2025-32709
- Windows DWM CVE-2025-30400
- Windows File Server CVE-2025-29839
- Windows Fundamentals CVE-2025-29969
- Windows Hardware Lab Kit CVE-2025-27488
- Windows LDAP - ライトウェイト ディレクトリ アクセス プロトコル CVE-2025-29954
- Windows Media CVE-2025-29840 CVE-2025-29962 CVE-2025-29963 CVE-2025-29964
- Windows NTFS CVE-2025-32707
- Windows SMB CVE-2025-29956
- Windows Virtual Machine Bus CVE-2025-29833
- Windows Win32K: GRFX CVE-2025-30388
- Windows インストーラー CVE-2025-29837
- Windows カーネル CVE-2025-24063 CVE-2025-29974
- Windows ドライバー CVE-2025-29838
- Windows ランタイム信頼済みのインターフェイス ドライバー CVE-2025-29829
- Windows リモート デスクトップ CVE-2025-29966
- Windows ルーティングとリモート アクセス サービス (RRAS) CVE-2025-29830 CVE-2025-29832 CVE-2025-29835 CVE-2025-29836 CVE-2025-29958 CVE-2025-29959 CVE-2025-29960 CVE-2025-29961
- Windows 共通ログ ファイル システム ドライバー CVE-2025-30385 CVE-2025-32701 CVE-2025-32706
- Windows 展開サービス CVE-2025-29957
- Windows 保護カーネル モード CVE-2025-27468
- ユニバーサル プリント管理サービス CVE-2025-29841
- リモート デスクトップ ゲートウェイ サービス CVE-2025-26677 CVE-2025-29831 CVE-2025-29967 CVE-2025-30394
- ロール: Windows Hyper-V CVE-2025-29955
0-day が 7 件もある。
- CVE-2025-32702 Visual Studio のリモートでコードが実行される脆弱性
- CVE-2025-26685 Microsoft Defender for Identity のスプーフィングの脆弱性
- CVE-2025-30397 スクリプト エンジンのメモリ破損の脆弱性
- CVE-2025-32709 WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性
- CVE-2025-32706 Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性
- CVE-2025-32701 Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性
- CVE-2025-30400 Microsoft DWM Core ライブラリの特権の昇格の脆弱性
関連:
【Windows11】 WindowsUpdate 2025年5月 不具合情報 - セキュリティ更新プログラム KB5058405 / KB5058411 [Update 3] (ニッチなPCゲーマーの環境構築Z, 2025.05.19)
【Windows10】 WindowsUpdate 2025年5月 不具合情報 - セキュリティ更新プログラム KB5058379 [Update 3] (ニッチなPCゲーマーの環境構築Z, 2025.05.19)
MS、Windows10が正常に起動しない不具合を認める。KB5058379インストール後、BitLocker回復画面が表示されたり自動修復が始まる。最悪再起動ループに (ニッチなPCゲーマーの環境構築Z, 2025.05.18)
この不具合は、Intel第10世代以降のvProを搭載したプロセッサー(CPU)環境で、尚且つ、『Intel TXT』(または『Intel Trusted Execution Technology』とも呼ばれる)が有効になっていると発生します。
(中略)
現在、Microsoftはこの不具合の解決に取り組んでおり、近日中に修正した更新プログラムをMicrosoft Updateカタログにリリース予定とのことです。
本件は Intel TXT の無効化により回避できるそうだ。
KB5058379 の vPro + Intel TXT 時の不具合の件、修正版が公開されたそうで。 ただし Microsoft Update カタログのみ。
MS、Windows10が正常に起動しない不具合を修正。修正更新プログラムKB5061768を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2025.05.20)
"KB5061768" (Microsoft Update カタログ)
Microsoft、「Windows Server 2022」向け定例外パッチ「KB5061906」を公開 (窓の杜, 2025.05.26)
この問題は「Windows Server 2022」のみに影響し、おもにAzureの機密仮想マシンで発生する。プレビューまたはプリプロダクションの構成に関わるまれなケースを除き、標準的な「Hyper-V」には影響しないと考えられている。
Azure confidential VM で問題になるそうで。
「Windows 11 22H2/23H2」に2025年5月セキュリティパッチを適用できない問題が発生中【5月30日追記】 (窓の杜, 2025.05.29)
MS、Windows11 23H2 / 22H2起動不能の不具合を修正。KB5058405起因の問題。修正更新プログラムKB5062170を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2025.06.02)
Firefox 138.0 / 128.10.0 ESR / 115.23.0 ESR、Thunderbird 138.0 / 128.10.0esr 公開 (2025.04.30)
Thunderbird 138.0.1 / 128.10.10esr および Firefox 138.0.4 が公開されてます。セキュリティ修正を含みます。 (Firefox 138.0.1〜3 はセキュリティ修正を含みません)
Thunderbird 138.0.1 がリリースされた (mozillaZine, 2025.05.14)。High x 3、Low x 1。
Firefox 138.0.4 がリリースされた (mozillaZine, 2025.05.18)。Critical x 2。
Chrome 136.0.7103.113/.114 (Windows / Mac) および 136.0.7103.113 (Linux) 公開。4 件のセキュリティ修正を含む。内 1 件 CVE-2025-4664 が 0-day。
[N/A][415810136] High CVE-2025-4664: Insufficient policy enforcement in Loader. Source: X post from @slonser_ on 2025-05-05
こちらのようです: https://x.com/slonser_/status/1919439373986107814
関連:
Chrome for Android Update (Google, 2025.05.14)。 Chrome 136 (136.0.7103.125) for Android。
Microsoft、ゼロデイ脆弱性に対処した「Edge」v136.0.3240.76をリリース (窓の杜, 2025.05.16)
》 退職日に“ファイル削除プログラム”起動──データを削除した退職者 vs. 半導体企業の裁判例 その行方は? (ITmedia, 5/14)。被告A氏は令和元年入社、令和3年7月31日退職。
1 被告らは、原告に対し、連帯して、577万4212円及びこれに対する令和3年7月31日から支払済みまで年3%の割合による金員を支払え。
2 原告のその余の請求をいずれも棄却する。
3 訴訟費用は、これを50分し、その11を被告らの負担とし、その余を原告の負担とする。
4 この判決は、第1項に限り、仮に執行することができる。
へぇ、訴訟費用の約 4/5 は原告負担ですか。
》 TikTok配信中に銃撃事件 メキシコの女性インフルエンサーが死亡 Xでは配信中の切り抜き動画が拡散か (ITmedia, 5/15)
》 トランプ氏、ウォルツ大統領補佐官を解任し国連大使に指名 暫定の後任にルビオ氏 (BBC, 5/2)、 トランプ氏、ウォルツ国家安保担当補佐官を更迭 (Wall Street Journal, 5/2)
関連: Inside Waltz’s ouster: Before Signalgate, talks with Israel angered Trump (Washington Post, 5/3)
》 トランプもついに呆れたか 「ネタニヤフ無視」に焦るイスラエル (クーリエ・ジャポン, 5/14)。 元記事はこれか: Trump repeatedly bypasses Netanyahu, stoking dismay among Israelis (Washington Post, 5/12)
》 航空券に「SSSS」の文字があったら…「死の接吻」セキュリティ検査を覚悟せよ (クーリエ・ジャポン, 5/6)。 元記事はこれかな: We asked: What’s this SSSS on my boarding pass? (Washington Post, 5/1)。 SSSS の記事はいろんな人が書いているようで。
搭乗券に「SSSS」のマークがあったら覚悟しておくべきこと (Life Hacker, 2018.10.12)。古い記事だけど、 基本的には変わってないようで。
Why You Never Want to See These Four Letters on Your Boarding Pass (Trabel + Leisure, 2/26)。DeepL 訳:
なぜSSSSになるのか?
2023年12月の米国上院報告書によると、SSSSは特定の理由なく、航空券にランダムに適用されることが最も多い。 (中略)
この追加スクリーニングは、民間空港における連邦政府の重層的なセキュリティ・アプローチの一環である。 TSAは、情報機関や法執行機関と連携し、旅客が空港内に入る前と後にセキュリティ対策を開始すると説明している。
何度もSSSSを受けたらどうすればいいのか?
(中略)
国土安全保障省の旅行者救済照会プログラム、またはDHS TRIPは、旅行者の身元を確認するために予約時に使用できる救済管理番号を提供するのに役立つ。 (中略) あなたのケースが審査されると、合格者にはレッドレス番号 が与えられ、今後の航空会社の予約に追加される。 これは、あなたが二度とSSSSに会わないことを保証するものではありませんが、空港のセキュリティの障害になる頻度を減らすことができるはずです。
》 広島県が虚偽の公文書作成、一転認める 公益通報受けた調査に不自然な経緯 (日経 xTECH, 5/13)
【Q&A】広島県の虚偽公文書作成問題 何があったのか(※随時更新) (中国新聞, 4/30)
さらに、会見後の5月8日に新たな動きがあった。県が記者会見を開き、虚偽の公文書を作成していたことを認め、謝罪した。文書偽造の公益通報を受けていたのに調査が十分でなかったことから、県庁内で「人事課が隠蔽(いんぺい)を図った」との見方が広がっている。
職員の公益通報→十分な調査をせず→再調査で虚偽公文書の作成が判明 広島県が陳謝 災害復旧工事をめぐり (TBS, 5/8)
「県民の皆様に心からお詫び」 広島県の湯崎知事が陳謝 虚偽公文書問題で再発防止策検討へ (FNN, 5/13)
》 英国の「サイバーリーグ」とは何か/英国政府が「殺人予測」システムを開発中 (Internet Watch, 5/13)
》 Amazonの商品ページに「サクラチェッカー」「Keepa」を一括導入できる拡張機能が登場 (やじうま Watch, 5/13)
》 認証3回失敗で口座をロック──楽天証券、ログイン認証の仕様をさらに厳格化 (ITmedia, 5/13)
》 「Slack」で障害、全世界に影響 (窓の杜, 5/13)
》 中国経済はどれほど悪化? 分析に必要なデータが消失 (Wall Street Journal, 5/12)。公開できないほどひどい。
》 教皇選挙を終えて (司教の日記 菊地大司教の活動から, 5/11)
事実は一つしかありません。システィーナ聖堂に集まった133名の枢機卿団は、祈りのうちに投票を繰り返し、主イエス御自身がすでに選ばれているに違いないペトロの後継者を見いだすために投票を続け、プレボスト枢機卿が3分の2以上の票を得て、教皇に選出された。それだけです。
》 LINEのトークが流出する理由 その原因と対策を考える (ITmedia, 5/12)
》 マレーシア航空機撃墜はロシアに責任、ICAO理事会が認定 (ロイター, 5/13)。こちら:
ICAO Council vote on Flight MH17 case (ICAO, 5/12)。DeepL 訳:
これは、ICAOの紛争解決メカニズムの下で加盟国間の紛争の是非について理事会が決定を下した、ICAO史上初のケースとなる。 (中略) 理事会の結論に至る事実と法律の理由を記した正式な決定文書は、今後の会合で発表される予定である。
》 今般のインターネット取引サービスにおけるフィッシング詐欺等による証券口座への不正アクセス等による対応について(10社 申し合わせ) (日本証券業協会, 5/2)。 今般 = 2025年1月以降に発生したもの、 10社 = SMBC日興証券 ・ SBI証券 ・ 大和証券 ・ 野村證券 ・ 松井証券 ・ マネックス証券 ・ みずほ証券 ・ 三菱UFJ eスマート証券 ・ 三菱UFJモルガン・スタンレー証券 ・ 楽天証券 だそうで。
今般のフィッシング詐欺等による証券口座への不正アクセス等により、第三者がお客様の資産を利用して、有価証券等の売買等を行ったことにより発生した被害について、各社の約款等の定めに関わらず、一定の被害補償を行う方針とすることを申し合わせました。
「一定の」。
お客様が被った被害の補償については、被害状況を十分に精査し、そのお客様のIDやパスワード等の管理を含む態様やその状況等並びに証券会社における不正アクセス等を防止するための注意喚起等を含む対策等を勘案したうえで、個別の事情に応じて対応することになります。
「個別の事情に応じて」。限りなく 0 に近い場合もあり得そうだ。
関連: オンライン証券口座の乗っ取り被害が急増 露呈した日本の弱点 (クーリエ・ジャポン, 5/12)。ブルームバーグ記事の邦訳とされているが、 元記事はどこにあるのだろう。
パートタイムで働く女性(41)は、楽天証券の口座がハッキングされた。中国株の購入に利用され、保有資産の約12%に相当する約63万9777円を失ったという。この女性は、プライバシーへの懸念から匿名を希望した。
被害に気付いて楽天に連絡したところ、警察に届け出るよう指示された。だが、地元愛知県警の交番で、被害に遭ったのは女性ではなく楽天証券だと言われ、被害届が受理されなかった。楽天証券は同社に過失はないため支援できないと女性に告げたという。
この事象が発生したのはいつなのだろう。 上記申し合わせが登場するまで (5/1 まで) は、 各社とも冷たくあしらっていただろうからなあ。
Multiple Security Issues in Screen (OpenSUSE, 2025.05.12)。screen-4.9.1 と screen-5.0.0 用の patch があるみたい。
出ました。0-day は無いようです。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 18.5 and iPadOS 18.5 (Apple, 2025.05.12)
About the security content of iPadOS 17.7.7 (Apple, 2025.05.12)
tvOS
About the security content of tvOS 18.5 (Apple, 2025.05.12)
visionOS
About the security content of visionOS 2.5 (Apple, 2025.05.12)
watchOS
About the security content of watchOS 11.5 (Apple, 2025.05.12)
macOS
About the security content of macOS Sequoia 15.5 (Apple, 2025.05.12)
About the security content of macOS Sonoma 14.7.6 (Apple, 2025.05.12)
About the security content of macOS Ventura 13.7.6 (Apple, 2025.05.12)
Safari
About the security content of Safari 18.5 (Apple, 2025.05.12)
》 温泉街の空にそびえ立つ「対艦ミサイル」の場違い感 大分・湯布院に新たな自衛隊連隊 住民は「標的」不安 (東京, 5/12)。というか、有名温泉地に駐屯地があることがそもそも違和感なのだろうけど、有名温泉地になったのは最近の出来事だからなあ。
》 中国でトリウム原子炉が稼働、見直される過去のアイデア (MIT Technology Review, 5/7)
最終的に、世界は多かれ少なかれ、ウラン238を燃料として使用し、高圧の水で冷却する原子炉の設計図に落ち着いた。エネルギー技術としてウランに焦点を当てている理由の1つは、研究が核兵器にも応用できるからだ。
しかし今、代替原子力技術に対する関心が再び高まっている。トリウム燃料炉はその一例に過ぎない。以前にMITテクノロジーレビューが取り上げた著名な例として、カイロス・パワー(Kairos Power)がある。同社は小型原子炉の冷却材として溶融塩を使用する原子炉を建設している。これも1950年代と60年代に発明・開発された後、放棄された技術である。
もうひとつの古くて新しいコンセプトは、高温ガスを使用して原子炉を冷却することだ。これは、X-エナジー(X-energy)がテキサス州の化学プラントに提案している発電所で実現を目指しているものだ。その原子炉は、中国の新しいトリウム原子炉のように、運転中に燃料を交換できる。
》 「Gmail」が暗号化方式「3DES」のサポートを終了へ (窓の杜, 5/9)
》 Bluesky上の誹謗中傷で国内初の開示命令が出るも、日本国内に窓口がなく「どうやって対応させるか」が問題に (やじうま Watch, 5/9)
Blueskyはきちんとした窓口もなく、また、「会社法上求められる外国会社の登記をしていない」とのことで「ここからどうやって実際に対応させるかということのほうが主眼になるため、むしろここからの方が正念場かもしれません」
あらまあ、そんな状態なのですか。
FG-IR-24-535 - Authentication bypass in Node.js websocket module (2025.01.15)
悪用事例が観測されているそうです。
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 (JPCERT/CC, 2025.05.09 更新)
JPCERT/CCは、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性が悪用された事例があることを確認しました。
2月11日(現地時間)、Fortinetは、本脆弱性のアドバイザリにCSFリクエストによる認証回避の脆弱性(CVE-2025-24472)を追記しています。また、3月13日(現地時間)には、Forescoutからこれら2つの脆弱性を悪用するランサムウェア攻撃が2025年1月から3月にかけて複数確認されたとする分析記事が公表されてい ます。
》 警察庁サイバー部門・デジタル部門における技官採用の実施について (警察庁, 5/8)
》 Surface Hub の Windows 10 サポート終了 – 移行を開始してください。 (Windows Blogs, 4/17)
》 「パルワールド」が一部仕様の変更を表明 「特許は侵害していない」が…… 「開発継続の予防策として」 (ITmedia, 5/8)。ということにしたいのですね。
》 米陸軍、ドローン使用を大幅拡大へ (Wall Street Journal, 5/8)。「各戦闘師団に約1000機の無人航空機(ドローン)を装備し、時代遅れの武器やその他の装備を廃棄する計画」。 さすがに戦闘ヘリ廃止とまでは言っていない模様 (今のところは) 。
》 AWS障害にOracle情報漏えい疑惑──リスク露呈したガバメントクラウド、デジタル庁の受け止めは (ITmedia, 5/8)
》 さよなら Skype、5月5日をもってサービス終了 Microsoft Teams Freeへの移行を、プライバシー設定には注意 (窓の杜, 5/5)
》 「PR TIMES」で不正アクセス、最大約90万件の個人情報などが漏えいの可能性 (Internet Watch, 5/7)
》 夏休みに「セキュリティ・キャンプ 2025」開催、小学生~22歳が対象で参加費無料 (Internet Watch, 5/8)。2025.08.11〜16、東京都多摩市、無料。 5/12 から応募開始。
Chrome 136.0.7103.92/.93 (Windows / Mac) および 136.0.7103.92 (Linux) 公開。2 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.05.06)。 Chrome 136 (136.0.7103.87) for Android。
関連:
「Microsoft Edge」v136.0.3240.64、「Microsoft エディター」が機能しない問題を修正 (窓の杜, 2025.05.09)
限定的な標的型攻撃への悪用も ~2025年5月のAndroidセキュリティアップデート情報 (窓の杜, 2025.05.07)
[security] Go 1.24.3 and Go 1.23.9 are released (Google, 2025.05.07)
CVE-2025-47153: out-of-bounds access in some 32-bit builds of Node.js (oss-sec ML, 2025.05.02)
Knot Resolverの脆弱性情報が公開されました (JPRS, 2025.04.28)
インドがパキスタンの「テロ拠点」攻撃、8人死亡 インド側も死者 (ロイター, 5/7)
インドの今回の攻撃は、カシミールにおける過去の衝突に対するインドの対応をはるかに超えるものだ。
フォーリンポリシー誌の記者で南アジア専門アナリストでもあるマイケル・クーゲルマン氏は「インドの攻撃の規模は2019年に行われたものよりはるかに大規模で、パキスタンも相当な反撃をすると予想される」と述べた。
インドとパキスタンが軍事攻撃の応酬-カシミール銃撃事件受け (ブルームバーグ, 5/7)
インドがパキスタンを攻撃 これまでに分かっていること (CNN, 5/7)
インド“パキスタン支配地域攻撃” 軍事行動 激化に懸念強まる (NHK, 5/7)
》 中国企業、貿易戦争の「痛み」もはや隠せず (Wall Street Journal, 5/2)
》 米EV業界揺るがす元素「ジスプロシウム」とは (Wall Street Journal, 5/2)。磁石の材料だそうで。
米EVメーカー、テスラのイーロン・マスク最高経営責任者(CEO)は最近、この磁石がなければテキサス州オースティン近郊の同社工場でヒト型ロボット「オプティマス」を製造する計画が頓挫するかもしれないと述べた。
関連:
中国、中・重希土類7種のレアアース関連品目で4月4日から輸出管理を実施 (JETRO, 4/7)。「今回、輸出管理の対象となったのは、サマリウム、ガドリニウム、テルビウム、ジスプロシウム、ルテチウム、スカンジウム、イットリウムの7種の中・重希土類レアアース」。
対中関税戦争の代償となるレアアース1 ~中国の独占状態にあるレアアースを米国は捨てる覚悟か~ (第一生命経済研究所, 4/10)
対中関税戦争の代償となるレアアース2 ~重要鉱物の自前確保に向けて退路を断ったトランプ関税~ (第一生命経済研究所, 4/23)
レアアース価格3倍に急騰 5月に最高値、中国の輸出規制響く (日経, 5/2)
》 「面白い、と『犬笛』に加担」 向けられる矛先、中傷なお止まらず (朝日, 4/30)
》 40年変更なし「さすがにまずい」 厚労省が「労働者」の条件再検討 (朝日, 5/2)
》 LibreSSL 4.1.0 released (OpenBSD journal, 4/30)。iida さん情報ありがとうございます。
都内に出没する「偽携帯電話基地局」に村上総務相も「関係機関と対応」――セキュリティアップデートで「2G接続不可」モードの実装を (石川温 / ITmedia, 4/27)
スマホの混信やフィッシング詐欺も 総務省が“偽基地局”に警戒呼びかけ (ITmedia, 5/2)、 不法無線局の疑いのある無線機器※からの携帯電話サービスへの混信 ~フィッシング詐欺等のSMSにご注意ください~ (総務省, 5/2)
》 トランプ政権の「敵性外国人法」適用は違法 連邦地裁が判断 (ロイター, 5/2)
》 中国が「軍民両用艦」建造、台湾有事には兵員・兵器輸送に利用か…読売新聞など衛星画像分析 (読売, 5/29
同艦は幅約40メートル、長さ約200メートル。形状は空母と似ているが、中国軍が保有する空母3隻(長さ300メートル超)と比べて短く、
いやいやあなた、 海自の 輸送艦「おおすみ」型 (「長さ 178m、幅 25.8m」) よりもよっぽど大きいよ。かなりの輸送力を有する船ですぞ。
韓国最大野党「大統領選候補の交代ない」 最高裁判決を「選挙介入」と非難 (聯合ニュース, 5/1)。三権分立を否定したらクーデターと同じなのだが。 お前は何を言ってるんだ。
無罪破棄で韓国左派に衝撃、李在明氏「私が考えたものと全く違う方向の判決だ」…追い風一転「逆風」の恐れ (読売, 5/2)
「高裁の初期日まで少なくとも半月」…大統領選挙前の李在明候補の確定判決は難しく (中央日報, 5/2)
被選挙権がないのに大統領になったらどうするつもりなのか【5月2日付社説】 共に民主・李在明候補の無罪破棄 (朝鮮日報, 5/2)
韓国最大野党 「大統領の刑事裁判停止」改正案推進=李氏当選を想定 (聯合ニュース, 5/2)
鄭氏は「裁判が継続されれば大統領の職務遂行に障害が発生する可能性がある」とし、「大統領に当選した被告人に対し、憲法第84条が適用される在職期間に刑事裁判の手続きを停止させ、憲法上の不訴追特権が手続き的にも実現されるようにしなければならない」と述べた。
だから、三権分立を否定したらクーデターと同じなんだってば。 お前ら 2024.12.03 から今までいったい何を主張してきたの?
》 テスラ、4月のフランス登録台数59%減の863台-欧州で不振止まらず (ブルームバーグ, 5/1)、 “テスラの取締役会 マスクCEOの後任探しに着手か” 米有力紙 (NHK, 5/1)。WSJ 報道。 テスラ取締役会、マスク氏の後継CEO探しに着手していた (Wall Street Journal, 5/1)
》 やっぱり料金請求しません 中日本高速道路、ETC障害で (共同, 5/2)、 ETCシステム障害時のご利用料金について(お知らせ) (NEXCO 中日本, 5/2)
》 令和生まれの新しい攻撃手法「ClickFix」が増殖中 ~Kasperskyが注意喚起 (窓の杜, 5/2)。めんどうなことは人間にやらせよう。
》 待望のAI機能「リコール」がついに実装 ~利用のポイントは? (窓の杜, 5/2)
》 Marine AH-1Z Attack Helicopter’s Mystery Missiles Identified (The War Zone, 5/1)。米海兵隊 AH-1Z に射程 150 NM 以上のミサイルだそうで。
“So, the current [LRAM] effort that ADT is working on right now is based on L3Harris’ Red Wolf,” Shadforth said at Modern Day Marine in direct response to a question from TWZ‘s Howard Altman. “So generally speaking, range-wise, you’re looking at low triple-digit range capacity on it and double-digit time of flight.”
Shadforth did not specify any units of measure, but the Marines have talked about a maximum range of at least 150 nautical miles (just over 170 miles or nearly 278 kilometers) for LRAM/PASM in the past. Assuming “double-digit time of flight” here is measured in minutes, this would mean Red Wolf has a subsonic cruising speed.
ほんとうに、オフィシャルな裏口 (backdoor) があったのですね。 SBI証券は本日閉鎖だそうですが。
あとここ:
中でも注目を集めたのは、テスタさんの「楽天証券で2段階認証やデバイス認証を設定していても、旧バージョンのツールからだとそれらをすり抜けてしまうようです」という発言。これにより、同様の仕様を持つトレーディング用のPCアプリ「マーケットスピード」に対する不安感が高まっている。
すさまじいな……。
出ました伝家の宝刀「仕様です」。侵入されました! → とりあえずパスワード変えとけ! という対応は RDP の世界では取れないと。
ウェイド氏によると、複数の古いパスワードが有効であるのに、新しいパスワードは有効にならないケースもあるとのこと。そのため、クラウド認証、多要素認証、条件付きアクセス ポリシーを回避した永続的なRDPアクセスが可能になります。この仕様について、ウェイド氏は「MicrosoftアカウントやAzureアカウントが侵害された場合、RDPの仕様を悪用することで大きな損失につながるサイバー攻撃を実現できる可能性がある」と指摘しました。
ぐはぁ (吐血)
なお、Microsoftの広報担当者によると、RDPの仕様を脆弱性として伝えたのはウェイド氏が初めてではないそうです。
死して屍拾う者無し。
》 韓国 最大野党 前代表 前回の大統領選めぐる裁判 高裁差し戻し (NHK, 5/1)。李在明氏の件。こりゃまたえらいことになった (えらいは名古屋弁)。
関連:
李在明氏の無罪判決破棄 審理差し戻し=韓国最高裁 (聯合ニュース, 5/1)
大法院は、李氏が大庄洞開発事業を巡る不正事件の参考人だった城南都市開発公社のキム・ムンギ開発第1処長(21年に死亡)とは面識がないと発言したことと、柏峴洞の土地が用途変更されたのは国土交通部から脅迫を受けたためと発言したことについていずれも虚偽と認め、無罪とした二審判決は誤りだと指摘した。
有罪ってことだよなあ。
前回の大統領選はわずか0.73ポイント差で敗れた李在明氏、当時とまったく異なる“3つの好ポイント”…課題は? (searchkoreanews.jp, 4/28)。課題は、有罪ってこと。
》 米海兵隊の無人地対艦ミサイルNMESISがフィリピン北部のバタン島に展開訓練、台湾有事を想定か (JSF / Yahoo, 4/28)
》 北朝鮮が新型5000トン駆逐艦「崔賢」の射撃試験を実施、謎の「超音速巡航ミサイル」が実在していた (JSF / Yahoo, 4/30)、 北朝鮮「超音速巡航ミサイル」は最終突入段階でロケット加速するロシア製3M54Eのコンセプトを模倣? (JSF / Yahoo, 4/30)
》 ウクライナと米国が公平な復興基金協定に署名、ロシア経済は失速の可能性 (航空万能論 GF, 5/1)。幸いなことに、まともな内容になっているようだ。
トランプ大統領は鉱物資源協定と引き換えに「明確に定義された安全保障の提供」を拒否したものの、30日の閣議で「米軍の存在によって掘削作業の安全を確保できると思う」と述べ、協定で確保した権益を保護するため地上軍のウクライナ派遣を示唆しており、これがウクライナの安全保障に間接的な利益をもたらす可能性が高い。
へぇ。
さらにEconomistは27日「カリーニングラードからウラジオストクまで何かが変化している」「ゴールドマン・サックスが作成した高頻度指数によれば昨年以降、ロシア経済の成長率(年率換算)は約5%から0%に落ち込んでいる」「ロシア開発銀行=VEBも月次成長率の推計で同様の傾向を示している」「ロシア貯蓄銀行が作成した企業売上高の高頻度指標も落ち込んでいる」「ロシア連邦中央銀行も『需要の急減で多くの分野で生産高が減少した』と述べ、控えめながら何かが起こっていることを認めた」と報じた。
こちらの記事みたい: Vladimir Putin’s money machine is sputtering (Economist, 4/27)
関連: トランプ氏の攻撃受けたゼレンスキー氏、我慢の末に得た協定 転機は (朝日, 5/1)
パキスタン国防相はインドとの戦争勃発を警告、神に衝突回避の手助けを祈る (航空万能論 GF, 5/1)
米国務長官 インドとパキスタンに緊張緩和促す テロ事件めぐり (NHK, 5/1)
》 「WSUS」経由で「Windows 11 バージョン 24H2」へ更新できない問題が発生中 2025年4月のセキュリティパッチ「KB5055528」以降で (窓の杜, 4/30)。Microsoft 名物、終了間近製品いじめですか。
》 CICが信用情報を第三者に開示した恐れ 本人になりすまして開示請求か 信用スコア開示も一部停止 (ITmedia, 4/30)。CIC って何屋さん? と思ったら「クレジットカード事業者など800社超が加盟する信用情報機関のシー・アイ・シー」。おいおい。
》 「Amazonが商品に関税を明示するなら、それは敵対行為」とトランプ政権 (ITmedia, 4/30)。隠蔽のために圧力をかけますか。
》 第2のDeepSeekショック? オープンな中国LLM「Qwen3」シリーズが破格の性能で話題 最大モデルはOpenAI o1やGemini 2.5 Proに匹敵、たった4BでもGPT-4oレベルに (ITmedia, 4/29)
無料のオフィス環境「LibreOffice」に脆弱性 ~最新版で修正済み (窓の杜, 2025.05.01)。LibreOffice 24.8.6 / 25.2.2 で修正。 最新は LibreOffice 25.2.3 のようだ。
JVNVU#90649144 セイコーエプソン製Windows版プリンタードライバーにおける不適切なファイルアクセス権設定の脆弱性 (JVN, 2025.04.28)。インストーラーが不適切な権限を設定してしまう話。 インストール済のファイルの権限設定が不適切になっている。
日本語以外のOS環境にWindows版プリンタードライバーをインストールする、もしくはプリンタードライバーで日本語以外の言語に変更すると、プリンタードライバーが管理する一部のDLLファイルを全てのアカウント権限で書き換えることが可能となります。これにより、悪意のある第三者にシステム権限で任意のコードを実行される可能性があります。
こういうのを悪用するマルウェアが出てくる前に修正しておこう。 Windows版 プリンタードライバーにおける脆弱性について (EPSON, 2025.04.28) によると、 Epson Software Updater を使うか、あるいは Epsonプリンタードライバーセキュリティサポートツール を使って修正できるそうで。
Chrome 136.0.7103.59 (Linux) および 136.0.7103.48/49 (Windows / Mac) が stable に。8 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.04.29)。Chrome 136 (136.0.7103.60) for Android。
関連:
「Microsoft Edge 136」が正式リリース ~更新アラートなど各種UIの改善を展開 (窓の杜, 2025.05.07)。Edge 136.0.3240.50。 Edge 独自のセキュリティ修正 1 件を含む。
Apple 方面 (iOS / iPadOS, tvOS, visionOS, macOS, Safari, Xcode) (2025.04.01)
iOS / iPadOS 18.4 に含まれる AirPlay の修正の件の詳細:
Wormable Zero-Click Remote Code Execution (RCE) in AirPlay Protocol Puts Apple & IoT Devices at Risk (Oligo Security Research , 2025.04.29)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)