Last modified: Sat Jan 6 15:51:34 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 ウクライナ、プロペラ機からショットガンでドローン迎撃 (Wall Street Journal, 8/28)。文中にもあるけど、第一次世界大戦における最初期の空中戦のスタイルなんだよね。
自動車整備士から射撃手に転じた男性は「今は素晴らしい新技術があるが、私はコックピットから身を乗り出してショットガンを撃つという古いやり方で、ドローンを攻撃している」と語った。彼は現在の経験を、馬上からの銃撃のようなものだと評している。これまで多くの銃を試してきたが、現在は独ヘーネル社製のMK55自動小銃を好んで使用している。
「独ヘーネル社製のMK55自動小銃」をぐぐると、 それ MK556 のことじゃね? と Google に言われる。 記事に掲載されている写真を見る限り、そのとおりのようだ。
》 ロシアが燃料配給制、ウクライナのドローン攻撃で (Wall Street Journal, 8/26)。産油国なのに。
ロシアの主要な国営ガス会社の一つであるガスプロム・ネフチで22年まで幹部を務めていたセルゲイ・バクレンコ氏は、「ウクライナは現在、持続的攻撃を実行できる。昨年もこれを試みたが弾頭は軽く、成功率も低かった。今は攻撃で生じた影響が修復されると新たな攻撃が続く状況にある。もしウクライナがこの圧力を維持し、ロシアが修復できる以上の頻度で製油所に損害を与えることができれば状況は全く異なるものになるだろう」と述べた。
》 ロシアの通信障害が慢性化、ドローン対策で当局が妨害…スマホ使った支払いや検索など不具合 (読売, 8/24)。ウクライナによるドローン攻撃への対応、 こんなことになっていたのですね。
》 ESET、「初のAI駆動型ランサムウェア」として「PromptLock」を発見、マルウェアがAIを使って悪意あるスクリプトを生成 (Internet Watch, 8/29)
》 SNSやショッピングサイトの不正ログインに関する相談が増加中! IPAが注意喚起 (Internet Watch, 8/29)
》 豪州策定の国際文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」に日本も共同署名 (Internet Watch, 8/27)
》 読売新聞「当社を通さずに……」 Netflixの「ワールドベースボールクラシック」独占配信が物議 (ITmedia, 8/26)。それで結局、読売は WBCI とどういう契約を結んでいたんだい? という話にしかならないと思うのだが。 2026年WBCに関するNetflixの発表について (読売, 8/26) を読んでも
前回2023年のWBC1次ラウンド東京プールの試合中継は、WBCIが当社を通じ、国内の複数の民間放送局及び海外の配信事業者に放送・配信権を付与し、地上波の番組での生中継が実現されました。しかし、本大会では、WBCIが当社を通さずに直接Netflixに対し、東京プールを含む全試合について、日本国内での放送・配信権を付与しました。
契約違反だ! 撤回しろ! という話は一切無いようだ。 結局、江川事件 のようなものであろ。読売の法務は何をしていたの?
》 そりゃ異物が混入するわ…「はま寿司」が謝罪で繰り返す“絶対NGワード”とは? (窪田順生 / ダイヤモンド online, 8/28)
こういう危機管理マニュアルの遵守を徹底しているような企業というのは、重大な事故の発生が多い。先ほど申し上げたように、危機というのは、マニュアルに沿っていないから起きるわけではなく「危機意識と想像力が欠如した人」がやらかしてしまうものだ。だから面倒でも効率が悪くても、「現場での教育」や「研修」が必要なのである。
人間はロボットではないので、「マニュアルを守れ!」といくら口酸っぱく言ったところで、100%守ることは不可能だ。この理想と現実のギャップを教育や研修で埋めていくのが、企業の腕の見せ所である。
しかし、はま寿司の「マニュアル遵守を徹底します」という再発防止コメントを見る限り、そういう意識はあまり感じられない。
素晴らしいマニュアルがあることによって、マニュアルを過信してしまっているのだ。
Chrome 139.0.7258.154/.155 (Windows / Mac) および 139.0.7258.154 (Linux) 公開。1 件のセキュリティ修正 CVE-2025-9478 を含む。関連:
Chrome for Android Update (Google, 2025.08.26)。Chrome 139 (139.0.7258.158) for Android。
「Microsoft Edge」でも致命的な「ANGLE」脆弱性が修正、[Copilot で要約]コマンドも展開中 v139.0.3405.125がリリース (窓の杜, 2025.08.29)
》 吉田寮の自治と歴史的建築を未来へ! 和解した今こそ対話の再開を! (change.org)
私たちは京都大学吉田寮に暮らす寮生です。2025年8月25日、吉田寮生と京都大学との6年半に及ぶ裁判が、和解によって終わりました。
(中略)
この和解では主に、
1.京都大学は速やかに吉田寮現棟の耐震工事を行い、その間被告寮生は一時的に現棟から退去すること
2.吉田寮食堂の使用(イベント開催など)は禁止されないこと
が確認されました。
一方、現棟の耐震工事の内容や、耐震工事後の現棟を含む吉田寮の今後のあり方などについては、裁判所で取り決められる性質のものではなく、今後の大きな課題です。
》 AIが米若年雇用を破壊、新研究で鮮明に (Wall Street Journal, 8/27)
》 電話ボックスをWi-Fiアクセスポイントに 東京都とNTT東日本、1500カ所を再整備へ (ITmedia, 8/27)。OpenRoaming 対応の 公衆 Wi-Fi TOKYO FREE Wi-Fi 対応 AP に、という話。
》 三菱商事、馬鹿みたいな安値で洋上風力に参入した挙句、事業計画が困難になったとして撤退を表明。 結局、当初の懸念 (この価格で本当にやれるのか?!) どおりに撤退とは。 ほんと迷惑。
国内洋上風力発電事業に係る事業性再評価の結果について (三菱商事洋上風力, 8/27)
三菱商事 洋上風力撤退発表 社長「事業計画の実現困難」 (NHK, 8/27)
三菱商事 洋上風力からなぜ撤退?今後どうなる?【Q&A】 (NHK, 8/27)
三菱商事を中心とする事業体は2021年、国が促進区域として公募した秋田県沖と千葉県沖の3つの海域の事業者に決まりましたが、決め手になったのは売電価格の安さです。
このとき三菱商事などの事業体が提示したのは競合他社より2割以上安い1キロワットアワーあたり11円台から16円台と、価格で他社を圧倒しました。
国会議員の逮捕につながった三菱商事の洋上風力「総取り」 落札当時から疑問視されていた事業実現性 (東京, 8/27)
三菱商事は2021年12月、洋上風力事業者の政府公募(1回目)で、「秋田県由利本荘市沖」「秋田県能代市、三種町および男鹿市沖」「千葉県銚子市沖」の3海域とも落札。「由利本荘市沖」ではレノバ(東京)が、「能代市、三種町および男鹿市沖」では日本風力開発(東京)が、先行投資で地元調整や地盤調査を進めていたにもかかわらず、三菱の落札によって撤退を余儀なくされたため、風力発電業界から「ダンピングではないか」「実現性があるのか」などの批判が起きた。
洋上風力撤退、三菱商事連合は保証金200億円没収 公募参加も一時停止 (日経, 8/27)
No.284 検証洋上風力入札① 驚愕の洋上風力入札結果/事業化・産業化の実現性に疑義あり (山家公雄 / 京大, 2022.01.06)。「しかし、それにしても三菱Gの価格は低すぎる。金融費用ゼロとしても達成できるレベルなのだろうか」。
何よりも事業規模、コスト、国内産業育成の3目標を一定の時間をかけて達成する目標を掲げ官民協議会で纏めた「洋上風力ビジョン」が破綻してしまう懸念がある。肝心の第1号案件で、博打とも見える提案が選ばれたことに大きな危惧を覚える。
つづきはこちら:
No.285 検証洋上風力入札② 低価格応札の要因と国内産業化実現の危機 (山家公雄 / 京大, 2022.01.14)
No.288 検証洋上風力入札③ 報道にみる低価格の解説と欺瞞 (山家公雄 / 京大, 2022.01.20)
No.289 検証洋上風力入札④ 12円はIRRゼロ前提の欧州コスト (山家公雄 / 京大, 2022.01.24)
三菱Gが、提示した価格は、2035年迄に達成する発電コストの目標値である8~9円(=調達価格:11~13円)を大幅に前倒し達成した可能性がある。同時に、そのときまでに官民協議会目標である国内調達率60%を達成し、地域貢献の実現により地元関係者と良好な関係が構築・維持できれば、大変な快挙である。
できませんでしたと。
No.292 検証洋上風力入札⑤ 資本費(建設費)は現実的か (山家公雄 / 京大, 2022.01.31)
No.294 検証洋上風力入札⑥ 定性(事業実現性)評価の不可解 (山家公雄 / 京大, 2022.02.08)
No.296 検証洋上風力入札⑦ 運転維持(O&M)費用を巡る不可解 (山家公雄 / 京大, 2022.02.14)
No.301 検証洋上風力入札⑧ 日本風力発電協会が選定評価の早期見直しを提言 (山家公雄 / 京大, 2022.03.07)
No.303 検証洋上風力入札⑨ 審査基準見直しの背景と意義 (山家公雄 / 京大, 2022.03.22)
No.304 検証洋上風力入札⑩ ラウンド1入札の総括・中間整理 (山家公雄 / 京大, 2022.03.22)
【三菱商事、洋上風力撤退】採算割れ、懸念現実に トップ肝いり、一転頓挫 (新潟日報, 8/28)
〈波乱の洋上風力〉三菱商事が国内3海域プロジェクトから撤退、落札時に「絶対にこけられへんで」と鼓舞した中西社長が会見で語ったこと (東洋経済, 8/28)
「垣内院政」の〝後遺症〟が深刻化 【特集】三菱商事「垣内―中西独裁」に忍び寄る〝因果応報〟 (ZAITEN, 2025.03)
落札から3年余り、世間を騒がせた3海域のプロジェクトは進んでいるのか―。いや、今や三菱商事の〝時限爆弾〟と囁かれる。それは悪運強い中西の場当たり的経営の象徴であり、社内には濃霧のような閉塞感が漂っている。
チクタク……BOOM!
第一回洋上風力発電事業で落札した三菱商事に対する経済産業省の「救済策」報道で、日本風力発電協会が日経の記事を「誤報」と申し入れ。だが「誤り」は経産省の救済策ではないか(RIEF) (環境金融研究機構, 4/3)
Windows 11最新パッチ、大容量データコピーでSSDアクセス不能になるバグ。なお、コントローラの問題ではない (2025.08.20)
不具合は使用済領域が 60% を越えている場合に発生するという情報が。
Microsoft is investigating Windows 11 KB5063878 SSD data corruption/failure issue (Mayank Parmar / Windows Latest, 2025.08.20)
What might be happening behind the scenes:
- Windows 11 KB5063878 likely made a change, and it might have created an OS-side caching or buffering fault in the storage stack.
- The OS holds too much data in its buffered region when it’s performing long and contiguous writes.
- Now, the kernel mishandles flush/FUA ordering and lets I/O queues bloat.
- But the issue happens when the drive is >60% full. This means effective SLC cache is smaller and free blocks are scarce.
- Now, I think the SSD’s FTL ramps up garbage collection and wear leveling. This causes the write amplification to rise.
- Windows keeps queueing writes instead of applying backpressure. So at some point, what might be happening is the controller either resets or stops responding.
- When the controller has stopped responding, the SSD vanishes from Windows.
- A reboot should now bring back the SSD, but in case the SMART is unreadable or NTFS has corrupted, then the volume shows as RAW.
》 SQLインジェクションや認証の欠陥を自動的に発見 「Claude Code」にセキュリティレビュー機能 (@IT, 8/27)
今回追加されたセキュリティレビュー機能は2種類ある。1つ目はコマンド「/security-review」を利用するもので、2つ目はGitHubの自動化プラットフォーム「GitHub Actions」を利用するものだ。
》 北極圏の戦争:過酷な未知の闘いに備える米軍と同盟国軍 (Wall Street Journal, 8/25)
北欧諸国の教官は、米海兵隊をはじめとするNATO加盟国の兵士らに対し、雪の中でキャンプを行う方法や、樹木がなくても身を隠す方法を教えている。トナカイの解体方法や魚を捕って生で食べる方法、夏の白夜に適応する方法も指導する。白夜の時期は、兵士が睡眠と時間感覚を奪われかねない。
北極圏に新たに派遣された兵士が最初のショックを克服し、寒さの中で十分活動できるようになるのに約1カ月かかる。北極圏以北に拠点を置く4500人規模の部隊であるノルウェー陸軍北方旅団の指揮官、テリエ・ブルーエイガール准将はそう述べた。
》 減り続けるロシアの人口、極めて深刻な状況に 国家統計局は統計の公表を中止 (Forbes, 8/20)
唯一の現実的な解決策は、移民労働者に頼ることだ。ロシアには現在、移民労働者が豊富に存在する。ロシア内務省によれば、その数は1000万人を超えており、大半は中央アジアの出身だ。しかし近年、その数は減少傾向にある。ラトビアのロシア語紙ノバヤガゼータ・ヨーロッパが昨年秋に報じたところによると、ロシアは現在「移民労働者の大幅な不足」に直面している。
》 クリミア半島は本当にロシア「固有の領土」なのか? 複雑な歴史を振り返る (Forbes, 8/25)
》 <現地ルポ>ウクライナの 生命線「スターリンク」1万台超を直した非公式工場 (MIT Technology Review, 8/24)。 戦場では「タフ・スターリンク」が求められているのだろうけど、 そんなものはないからね。
》 TSMC海外進出で揺らぐ「シリコンの盾」は台湾を守れるか (MIT Technology Review, 8/26)
》 AutoCADが正常に起動しない不具合。起動時に『ユーザーアカウント制御』(UAC)が表示されて管理者権限を求められる。Windows11やWindows10などで発生。KB5063878 / KB5063709など2025年8月のWindows Updateに起因 (ニッチなPCゲーマーの環境構築Z, 8/24)。うひー。
オフィシャル: Microsoft Windows AutoCAD 製品のセキュリティ更新プログラムのインストール後に、管理者資格情報を要求する (Autodesk, 8/21)
》 SNSで除草剤の評判落ちた ネガティブ投稿者に「名誉棄損」で賠償命令 抑止力になるか (産経 / ITmedia, 8/22)。ラウンドアップ。
訴訟の対象としたのは、ブログやXなどで、ラウンドアップを「猛毒」「枯れ葉剤と同じ成分」などと明らかに事実誤認の書き込みをしていた投稿者。
》 “スマホ1日2時間”条例案はあくまで「目安」──豊明市が声明 「時間をどう使うかは各自の自由、当然のこと」 (ITmedia, 8/22)
》 米連邦政府、Intelの株式の10%を取得 (ITmedia, 8/13)。Intel 買われてる。
》 ネットの安全守るモデレーターの過酷な実態 アダルトサイト担当者は「毎日見させられてPTSD発症」 (ITmedia, 8/15)
》 日本では異色のセキュリティカンファレンス「Cybertech Tokyo 2025」9月4日に開催 (Internet Watch, 8/22)
》 いったい何が? Bluesky、米ミシシッピ州からのアクセスを年齢を問わず完全ブロック (Internet Watch, 8/25)。「同州が「HB 1126」と呼ばれる新しい年齢確認法を導入したことによるもの」。
》 Facebook、ユーザー設定を書き換えカメラロールの写真をAIに学習させている可能性が浮上 (Internet Watch, 8/25)。「許可を求めるポップアップが表示されていないユーザーでも、デフォルトでオンになっている事例が見つかったことで、現在波紋を呼んでいる」。うわ。いかにも Facebook。
》 他人のID・パスワード提供か「指示役」男子高校生を逮捕 楽天モバイル回線不正契約事件 (ITmedia, 8/22)
》 スターリンクに「スタンバイモード」登場 月730円で無制限の低速データ通信が可能に (ITmedia, 8/21)。500kb ですか。
》 「FC2」創業者の男に有罪判決 わいせつ動画を不特定多数に送信と認定 (ITmedia, 8/21)
》 迫る「知能爆発」の兆し、 AIによるAIの進化は 5つの領域で起きている (MIT Technology Review, 8/13)
救世主から一転、米政府がmRNAワクチンへの資金を打ち切った背景 (MIT Technology Review, 8/19)
すべてのmRNA研究が放棄されているわけでもない。バッタチャリヤ所長は、がん治療におけるmRNAベース治療の使用に関する研究への支持を表明している。このような「ワクチン治療薬」は、新型コロナウイルスが出現する前から研究されていた(注目すべきは、バッタチャリヤ所長がこれらを「ワクチン」と呼んでいないことである)。
【コラム】トランプ氏の功績、ケネディ氏が台無しに (Michael R Bloomberg / ブルームバーグ, 8/20)
さらに3カ月後、トランプ氏は当時の大統領としてワクチンの開発・承認・流通を加速させる180億ドル(約2兆7000億円)規模の取り組み「ワープスピード作戦」を発表した。
1年を経ずして、世界中で数十億回分のワクチンが接種され、何百万もの命が救われた。多くの米国民もその恩恵を受けた。トランプ氏は「ワープスピード作戦は、民主党であれ共和党であれ、米国でかつてないほど素晴らしい成果の一つだ」と語った。
(中略)
ホワイトハウスは、トランプ政権1期目のこの驚異的な成功を思い出し、これを誇りとしてケネディ氏の暴走を止めるべきだ。そうすれば、トランプ氏は新型コロナワクチンの開発を加速させた大統領として歴史に名を刻むだけでなく、がんや他の病気の治療法をもたらした大統領として語り継がれることになるかもしれない。
Windows 11最新パッチ、大容量データコピーでSSDアクセス不能になるバグ。なお、コントローラの問題ではない (2025.08.20)
Microsoft が問題を再現できなかったという Bleeping Computer 報道。 なんだか混沌としてきた。
MS、Windows11 24H2でSSDが認識しなくなる不具合を再現できず。フィードバックを求める (ニッチなPCゲーマーの環境構築Z, 2025.08.22)
Microsoft asks customers for feedback on reported SSD failures (Bleeping Computer, 2025.08.21)
》 ネット通販の代引き配達で偽物や粗悪品が届くトラブルが多発! 国民生活センターが注意喚起 (Internet Watch, 8/21)
》 日本シーサート協議会、CSIRT設立や活動向上に向けたトレーニングプログラム「TRANSITS Workshop 2025 Autumn」を10月に開催 (Internet Watch, 8/20)
》 「PowerShell 2.0」は間もなく削除、今月から来月の更新で ~Windows 11 バージョン 24H2/Server 2025で (窓の杜, 8/18)
「Windows PowerShell 2.0」は、2009年に「Windows 7」に同梱する形でリリースされたバージョン。
》 マスク氏、新党結成計画に早くもブレーキ (Wall Street Journal, 8/20)
》 山手線のモバイルバッテリー発火事故、原因は「セル内部の短絡」も直接要因は特定できず cheeroの調査報告 (ITmedia, 8/21)
》 総務省、技適制度見直しへ作業班初会合 オープンRANや無線のソフト化対応など課題整理 (Business Network, 8/13)
無線設備の認証の在り方検討作業班 (総務省)
資料1-4 無線設備の認証制度の概要と現状 (総務省, 8/6)。最終ページに課題がまとまっている。
ImageIO への 0-day CVE-2025-43300 対応です。
全体
Apple security releases (Apple)
iOS / iPadOS
iOS 18.6.2 and iPadOS 18.6.2 (Apple, 2025.08.20)
Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals.
About the security content of iPadOS 17.7.10 (Apple, 2025.08.20)
macOS
About the security content of macOS Sequoia 15.6.1 (Apple, 2025.08.20)
About the security content of macOS Sonoma 14.7.8 (Apple, 2025.08.20)
About the security content of macOS Ventura 13.7.8 (Apple, 2025.08.20)
》 実弾演習で「パトリオット」が空中で爆発か 軍が原因を調査中/台湾 (フォーカス台湾, 8/20)、 獨家》愛國者二型飛彈發射4秒自爆 凌晨演訓罕見意外引關注 (自由時報, 8/20)
》 手軽に扱えるDHCPリクエストのログ採取ツール「DHCPLogView」 (窓の杜, 8/18)。いつもの nirsoft さん。
》 デスクトップマスコット「伺か」もAI連携が当たり前の時代? 「SSP」がMCPへ実験対応 (やじうまの杜, 8/18)
》 備蓄米「JA外し」もなお目詰まり 出庫や精米に遅れ、有事の教訓に (日経, 8/20)。備蓄米の販売期限延長 (8月末まで → 9月以降も ok) の件の背景。
一方で、想定より流通が滞ったのも事実だ。契約した28万トンのうち、予定していた8月20日までに引き渡せたのは6割程度の18万トンにとどまった。
ネックになったのは備蓄米を保管倉庫から出す作業だ。
平時は年20万トン程度ずつ5年分を備蓄し、新米が出ると5年前の備蓄米を飼料用などとして出す運用をしている。出しやすいよう古い備蓄米を手前に置く場合が多く、20〜24年産を同時並行で動かすのが難しかった。
そもそも出庫する能力が無かった。 販売どころの騒ぎじゃない。
関連: 備蓄米、9月以降も販売 銘柄米価格の高止まりで小泉農相表明 (日経, 8/20)
小泉氏は小売りなどと契約した備蓄米のうち10万トンほどの引き渡しが終わっていないと明かした。新たな販売期限は設けないとした上で、小売りなどには「(備蓄米を)引き渡し後に1カ月以内に売り切る努力をしてほしい」と求めた。
保管倉庫からの引き取り期限を20日に設定していたが、出庫や精米などに時間がかかり、流通に遅れが出ていた。農水省は今後、備蓄米の販売を続けるか、20日までに出庫できなかった分をキャンセルするか事業者に意向を聞き取る。
》 滋賀 長引く暑さ逆手にとりコメ増産へ 再生二期作に挑戦 (NHK, 8/20)。へぇ。
中江さんは、通常よりも2週間ほど早い4月上旬に田植えを行い、今月17日に1度目のコメを収穫しました。
その際、稲が再び育ちやすいよう、30センチほど残して刈り取っていて、19日の夕方からは、田んぼに再び水を入れて育てる作業を始めています。
品種は暑さに強いとされる「みずかがみ」で9月以降も暑さが続く最近の状況を逆手にとれば稲を育てられると判断したということです。
「再生」ってそういう意味なんだね。 関連: [特集]注目・水稲の再生二期作 各地の実践例や課題は (日本農業新聞, 7/21)
離農の進行で生産基盤の弱体化が懸念される中、再生二期作を含め「農家の生産性を高めていくことが、米の長期的な安定確保につながる」(米卸)との声が上がる。
一方、再生二期作には注意すべき点もある。長期的に見れば地力が落ち、農機の燃料代などコストが増える可能性があるとの声も出ている。多発するイネカメムシへの対応も求められる。
各地の実践事例を共有・分析し、安定栽培に向けた知見を積み重ねる必要がある。
いいことばかりじゃない、ノウハウの集積が必要と。
》 今日は2歳のお誕生日。こうちゃんはいないけれど… 「究極のながら運転」に我が子の命奪われて (柳原三佳 / Yahoo, 8/2)。 トヨタ・クラウンクロスオーバーのレーントレーシングアシストに頼り切っていたら明後日の方向に行き人殺しになった模様。
1) 運転支援装置(レーントレーシングアシスト)を作動させていたが、これは車線維持に必要なハンドル操作を支援するものに過ぎない。
2) 自動運転システムではなく、前方への注意を軽減する装置ではない。
むしろ勘違い機能として作用したということかな。 「トヨタクラウン、想像力のフラッグシップ」ってそういう意味ではないはずなのですが。 日産やテスラだったらもうちょっと違ったんですかねえ? 関連:
テスラ、日本で“自動運転”のテスト走行開始 ハンドルに触れず、「FSD」で市街地を走る動画公開 (ITmedia, 8/20)
複数のIntel製品に脆弱性 ~権限昇格、DoS、情報漏洩の恐れ (窓の杜, 2025.08.18)
Stable Channel Update for ChromeOS / ChromeOS Flex (Google, 2025.08.19)。M-139, ChromeOS version 16328.55.0 (Browser version 139.0.7258.137) 公開。セキュリティを含む。
Thunderbird も来てます。
Firefox 142 がリリースされた (mozillaZine, 2025.08.20)
Firefox for Android 142 がリリースされた (mozillaZine, 2025.08.20)
Thunderbird 142 がリリースされた (mozillaZine, 2025.08.20)。Thunderbird 142.0 / 140.2.0esr / 128.14.0esr。
Chrome 139.0.7258.138/.139 (Windows / Mac) および 139.0.7258.138 (Linux) 公開。1 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.08.19)。Chrome 139 (139.0.7258.143) for Android。
Windows 11 24H2 + Microsoft 2025.08 patch (本番: KB5063878、プレビュー: KB5062660) における SSD の処理に問題があり、大きなファイルや大量のファイル (数十 GB 規模) を操作した場合に SSD を認識できなくなる場合があるという。 再起動してもひきつづき認識できない場合もあったという。
ねこるすきー氏によるテスト結果まとめ (修正版) (twitter, 2025.08.19)
Windows Server 2025 + Microsoft 2025.08 patch でも同様に不具合が発生する可能性があるが、 テストを行う勇者はまだ現れていない模様。
原因は SSD コントローラーではなく KB5063878 / KB5062660 にある模様。
この不具合を報じた海外メディアのTom's Hardwareは19日(現地時間)、Phisonに取材をしたところ、すでにPhisonはこの問題を把握して調査しているとのこと。弊誌が20日朝にPhisonに取材したところ、この問題はPhisonのコントローラに起因するものではなく、Windows側の不具合であることが判明したため、Microsoftが修正作業を行なっているとした。
回避するには KB5063878 / KB5062660 をアンインストールする。
Microsoft が問題を再現できなかったという Bleeping Computer 報道。 なんだか混沌としてきた。
MS、Windows11 24H2でSSDが認識しなくなる不具合を再現できず。フィードバックを求める (ニッチなPCゲーマーの環境構築Z, 2025.08.22)
Microsoft asks customers for feedback on reported SSD failures (Bleeping Computer, 2025.08.21)
不具合は使用済領域が 60% を越えている場合に発生するという情報が。
Microsoft is investigating Windows 11 KB5063878 SSD data corruption/failure issue (Mayank Parmar / Windows Latest, 2025.08.20)
What might be happening behind the scenes:
- Windows 11 KB5063878 likely made a change, and it might have created an OS-side caching or buffering fault in the storage stack.
- The OS holds too much data in its buffered region when it’s performing long and contiguous writes.
- Now, the kernel mishandles flush/FUA ordering and lets I/O queues bloat.
- But the issue happens when the drive is >60% full. This means effective SLC cache is smaller and free blocks are scarce.
- Now, I think the SSD’s FTL ramps up garbage collection and wear leveling. This causes the write amplification to rise.
- Windows keeps queueing writes instead of applying backpressure. So at some point, what might be happening is the controller either resets or stops responding.
- When the controller has stopped responding, the SSD vanishes from Windows.
- A reboot should now bring back the SSD, but in case the SMART is unreadable or NTFS has corrupted, then the volume shows as RAW.
》 トランプがインテルCEOに「即時辞任」を要求、対中関係への指摘受け (Forbes, 8/8)。リップブー・タン氏。
ロイターは4月に、タンが自身のベンチャーキャピタル企業であるウォルデン・インターナショナルおよび2つの香港系持株会社を通じて、中国を拠点とする複数の企業に投資していたと報じた。タンはウォルデンを通じて、2001年に中国最大の半導体ファウンドリーである中芯国際集成電路製造(SMIC)へ出資し、2018年まで同社の取締役を務めていた。SMICは2020年に中国軍との関係を理由に米国から制裁対象とされ、タンはその翌年に同社の株式を手放している。
また、ウォルデンは、2020年に人権侵害への関与が疑われて米商務省のブラックリストに掲載された雲天励飛(インテリフュージョン)への共同投資にも関与していた。
タンは今年3月にインテルCEOに就任した。インテルはその際、彼を「半導体業界で豊富な経験を持つ優れた技術リーダー」と評価していた。タンは2009年から2021年までケイデンス・デザイン・システムズのCEOを務め、2021年から2023年までは同社の取締役会会長を務めていた。
なお、ケイデンス・デザイン・システムズは今年初め、米司法省からの告発に対し有罪を認めた。同社は、核爆発のシミュレーション研究に関与していたと見られる中国の軍事大学に対し、ハードウェア、ソフトウェア、半導体設計に関する知的財産を販売していたとされている。
政権側が疑うのも仕方ない感。
》 米政府統計への信頼揺らぐ 労働統計局長解任 (Wall Street Journal, 8/5)
》 世界の自動車業界、関税戦争で1.8兆円の打撃 (Wall Street Journal, 8/8)
トヨタ自動車は7日、関税率の引き上げで4-6月期営業利益が約4500億円押し下げられたと明らかにした。自動車メーカーが報告した関税の影響額としてはこれまでで最大だ。
(中略)
打撃は今後も続く。トヨタは2026年3月期の営業利益が関税で1兆4000億円押し下げられる見通しで、純利益が44%減ると予想している。
FreeBSD-SA-25:07.libarchive - Integer overflow in libarchive leading to double free (FreeBSD, 2025.08.08)。 archive_read_format_rar_seek_data() で integer overflow が発生することで double free が発生、攻撃者が任意のコードを実行できる。 CVE-2025-5914
回避方法なし、patch あり。
TSMC元従業員ら3人の勾留認める 機密情報を不正取得、国家安全法違反疑い/台湾 (フォーカス台湾, 8/5)
TSMCの機密情報不正取得 東京エレクはコメントせず=従業員が関与疑い/台湾 (フォーカス台湾, 8/6)。「東京エレクトロン(TEL)の台湾子会社の従業員も事件に関与している疑い」。
TSMC機密情報不正取得 東京エレクトロン「関与の元従業員を懲戒解雇」/台湾 (フォーカス台湾, 8/7)
TSMCの2ナノ技術が日本企業に流出か 元社員3人を国家安全法違反で拘束 (風傳媒, 8/6)
TSMCの2ナノ技術流出疑惑で急浮上 Rapidusとは何者か──日本半導体産業の逆襲 (風傳媒, 8/6)
TSMCの2ナノ機密流出危機 国家技術を守る女性検察官がスパイ摘発へ (風傳媒, 8/7)。とてもヒロイックな扱い。
オフィシャル:
当社の子会社であるTokyo Electron Taiwan Ltd.の元従業員1名が、台湾司法当局が2025年8月5日付で発表した事案に関与していたことを確認いたしました。
当社は、法令遵守および倫理基準の徹底を経営の最重要事項と位置付けており、これに反するいかなる行為も断じて容認しておりません。関与した台湾子会社の元従業員についてはすでに懲戒解雇の措置を講じており、台湾司法当局による捜査に全面的に協力しております。
当社による調査では、現時点において関連する機密情報の外部への流出は確認されておりません。
なお、捜査の機密保持の観点から現段階でこれ以上の情報提供は控えさせていただきます。
》 米が対日15%関税を上乗せで発動、土壇場で日米間の解釈の差が表面化 (ブルームバーグ, 8/7)。まぬけ。あまりにもまぬけすぎる。
自民党の小野寺五典政調会長が同日午後、米国の対日関税は欧州連合(EU)のような特例が認められず、通常の関税率より15%上乗せされているのが今の状況だと党本部で記者団に語った。赤沢亮正経済再生担当相から日本側の主張が正しいと閣僚間では確認していると報告を受けたとし、修正を求めていることも明らかにした。
日本側は既存の税率が15%以上の品目には課されないとし、それ以外の品目は15%になるとの認識だったが、米国の大統領令にはそうした記述がなかった。官報でも、EUには既存の関税率が15%未満とそれ以上の品目に対する税率が書き分けられているのに対し、日本では「15%」との記載しか見られなった。
(中略)
林芳正官房長官は7日午前11時すぎの記者会見で、訪米中の赤沢再生相がラトニック商務長官との協議で日米合意の内容を改めて確認し、実施するための措置を執るよう直ちに求めたと述べた。発動時に日本側の理解通りとなるかは明言しなかった。
》 トランプ氏、半導体に100%関税を表明 国内投資なら除外へ (Wall Street Journal, 8/7)
米国の対中国および対インド関税の影響を警告していたアップルのティム・クック最高経営責任者(CEO)にとって、関税措置からの除外は勝利と言える。同社はこれまでのところ関税の影響を回避しており、クック氏は第1次トランプ政権時にも関税措置の除外を勝ち取っている。
関連:
Apple、米国に1000億ドル追加投資 トランプ大統領同席の会見で発表 (ITmedia, 8/7)
米半導体関税、TSMCは対象外と台湾政府発表-株価急伸 (ブルームバーグ, 8/7)
[security] Go 1.24.6 and Go 1.23.12 are released (Google, 2025.08.07)。 CVE-2025-47906 CVE-2025-47907 を修正。
》 OpenSSL 3.5.2 (GitHub, 8/5) 公開されました。セキュリティ修正はありません。 iida さん情報ありがとうございます。
》 わずか5分でエンジン起動「CANインベーダー」に警戒を、大阪府内で自動車盗急増 (産経, 8/6)
府警によると、今年上半期(1~6月)の自動車盗の認知件数は327件で、前年同期比で127件増加した。上半期だけでも年間を通しても令和4年以降は毎年減少していたが、今年に入り増加に転じた。
新型の CAN インベーダーが登場しているのだそうで。 被害増は大阪だけではありません。
車体に穴… 未明の“ランクル”盗難未遂 CANインベーダーか 全国ワーストだった去年の1.5倍ペースで被害拡大 愛知 (CBC / Yahoo, 8/5)
愛知県内では、ことし6月末時点で未遂も含めて自動車が盗まれる被害が639件確認されています。 これは全国ワーストだった去年の1.5倍のペースで、警察は二重三重の防犯対策を呼びかけています。
【独自】[盗難]被害急増!! [新型CANインベーダー]出現! ボディに穴を開けて[CAN]に接続!? (ベストカー, 4/2)
近年、自動車窃盗の手口は、リレーアタック→CANインベーダー→GAME BOY(キーエミュレータ=スマートキーの機能を丸ごと複製)と進化してきた。 (中略) メーカーのほうで対策できていないのは現状、GAME BOYだけとも言えるのだが、実はGAME BOY同様、キー複製の機能を盛り込んだ窃盗ツールによる盗難が昨年秋頃から急増しているのをご存じだろうか?
新型CANインベーダーともいえるこの新しいツールによる窃盗の最大の特徴はボディに穴を開ける事である。
2022年11月1日以降生産のランドクルーザー300や40系アルヴェル、ランドクルーザー250などの新型車種にはメーカー純正のセキュリティ(CANインベーダー向け)がついていますが、当然今回紹介した新型CANインベーダーの手口ではもちろん役に立ちません。 (中略) できる対策としては、パンテーラやクリフォード、ゴルゴ、イグラなどの防盗効果の高い社外セキュリティとともに、キタコ(K-TECT)に代表される物理ロックの併用もおすすめします。
》 ANAホールディングスとJoby Aviation エアタクシー事業合弁会社設立の本格検討開始 10月1日から大阪・関西万博にて空飛ぶクルマデモフライトを一般公開 (ANA ホールディングス, 8/5)。Joby S4 は「空飛ぶクルマ」ではなくマルチコプターですね。 Joby Aviation にはトヨタが出資しているので、将来的にはクルマになるのかもしれません。
Joby、日本で初の試験フライト (トヨタ / YouTube, 2024.11.08)
トヨタ、空飛ぶクルマ試験飛行 東京―静岡25分 (日経, 2024.11.03)。 名古屋まで飛べれば商業価値が上がりそうだが、 こういう言い方をするということは、そこまでは飛べないのかな。
》 DRAMの価格が2025年5月からわずか1カ月で2倍に上昇し高止まり、中国のCXMTがDDR4の生産を停止しDDR5とHBMに注力するのではないかという憶測 (gigazine, 8/6)
》 TSMC社員が2nm半導体の機密情報を漏らした疑いで逮捕される、東京エレクトロンも捜査を受けているとの報道 (gigazine, 8/6)
》 Intelは18Aプロセスの製造に苦戦中、仕様を満たすのは2025年夏時点でもまだ10% (gigazine, 8/6)
》 アメリカが「Intel株の49%を取得するようTSMCに要求している」との報道、台湾への関税を20%から引き下げる条件として (gigazine, 8/6)。それほどに Intel が落ちぶれているということ。
》 HDDの故障率を実際の運用状況から可視化する「Backblazeメーカー・モデル別統計データ」2025年第2四半期版が公開される (gigazine, 8/6)
》 トランプと暗号資産業界の蜜月関係に亀裂。“見返りの乏しさ”に不満募る (WIRED, 8/6)
》 最悪の場合は無期懲役…中国で施行されたインターネット身分証と威力を発揮する信用スコア (山崎文明 / Wedge ONLINE, 8/6)。7/15 から開始済だそうで。
中国の「社会信用システム」は、他人事ではない。日本にも似たようなシステムが存在している。LINEスコアがそれだ。
LINE登録時に入力した属性情報(生年月日、性別、配偶者の有無、子供の人数、戸建てかマンション、持ち家か賃貸か、入居年数、同居人数、正社員か自営業か、職種、業種、勤続年数、年収、健康保険種類、郵便番号など)にLINEサービスの利用状況やLINEウォレット、LINE家計簿、LINEP Payと連携させ、LINEプラットフォーム上の全ての行動データをAIが分析し、100から1000点でスコアをつける仕組みがある。LINEの説明では貸付業務LINE Pocket Moneyの利率と限度額の設定に利用しているとしている。
LINEは、23年に約52万人もの個人情報漏洩事件を起こし、総務省の行政指導を受けている。ランク付された個人情報が漏れた時の影響は計り知れない。
》 NVIDIAが正式に「バックドアなし・キルスイッチなし・スパイウェアなし」を宣言、一方でトランプ政権は半導体の追跡手段を検討中 (gigazine, 8/6)
》 Windows11やWindows10の大型アップデート名がわかりやすくなった理由。なぜ季節名は使われなくなったのか (ニッチなPCゲーマーの環境構築Z, 8/6)。なるほどな理由。
Critical ADOdb Flaw (CVE-2025-54119, CVSS 10.0) in SQLite3 Driver Allows SQL Injection (securityonline.info, 2025.08.05)。 ADOdb 5.22.10 で修正。
SQL injection in ADOdb sqlite3 driver (ADOdb / GitHub, 2025.08.04)
Firefox 141.0 / 140.1.0 ESR / 128.13.0 ESR / 115.26.0 ESR 公開 (2025.07.24)
Firefox 141.0.2、Firefox for Android 141.0.2、Thunderbird 140.1.1esr が公開されました。セキュリティ修正はありません。
Firefox 141.0.2、Firefox for Android 141.0.2 がリリースされた (mozillaZine, 2025.08.06)
Thunderbird 140.1.1esr がリリースされた (mozillaZine, 2025.08.06)
Trend Micro Apex One / Apex One SaaS / Standard Endpoint Protection に 2 件のセキュリティ欠陥。 内 1 件は 0-day。
Trend Micro Apex One Console Command Injection Remote Code Execution Vulnerability - ZDI-25-772 ZDI-CAN-27855 (Trend Micro ZDI, 2025.08.05)。 remote から無認証で IUSR 権限で任意のコードを実行できる。 CVE-2025-54987。 こちらが 0-day のようだ。
注意:トレンドマイクロは、この脆弱性が実際の攻撃に利用されたことを確認しています。Apex One SaaSおよびStandard Endpoint Protectionに対しては、2025年7月31日に緩和策が適用されたため、お客様側での対処は不要です。Apex Oneに対しては、できるだけ早く下記の対処法にある緩和策を適用することを推奨しています。
Trend Micro Apex One Console Command Injection Remote Code Execution Vulnerability ZDI-25-771 ZDI-CAN-27834 (Trend Micro ZDI, 2025.08.05)。 remote から無認証で IUSR 権限で任意のコードを実行できる。 CVE-2025-54948
修正はまだないが、緩和策 FixTool_Aug2025 が公開されている。 Apex One SaaS / Standard Endpoint Protection には 2025.07.31 に緩和策を適用済だそうで。 また緩和策の副作用として、管理コンソールのリモートインストール機能が使えなくなるそうで。
修正は「8月中旬」に公開予定とのこと。
トレンドマイクロは、お客様にできるだけ早く最新のビルド(2025/8月中旬の公開を予定)にアップデートすることを推奨いたします。
関連:
トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性に関する注意喚起 (JPCERT/CC, 2025.08.06)
Chrome 139.0.7258.66 (Linux) および 139.0.7258.66/67 (Windows / Mac) が stable に。12 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.08.05)。 Chrome 139 (139.0.7258.62) for Android。 上記と同様のセキュリティ修正を含む。
Chrome Stable for iOS Update (Google, 2025.08.05)。 上記と同様のセキュリティ修正を含むかどうかは不明。
「Google Chrome 139」安定版リリース、ISO-2022-JPの自動検出を廃止 (gigazine, 2025.08.06)
》 新興ランサムウェアグループ「BERT」がアジアやヨーロッパ圏でマルチプラットフォーム型の攻撃活動を開始 (トレンドマイクロ, 8/4)
》 中国の過酷な「996」勤務、米のAIスタートアップで拡大 (WIRED, 8/4)
とはいえ世界的には、「996」が再び広がりつつあるようだ。今年の夏、英国拠点のベンチャーキャピタリストのハリー・ステビングスがこの傾向について議論を呼び起こした。彼は、「996」すら不十分かもしれず、本気で野心的なスタートアップはさらに厳しい働き方をする必要がある、と主張している。「実際のところ、中国ではいまや“007”ですよ──深夜0時から0時まで、週7日働く。そして交代制のチームでそれを回しているんです」と彼は語る。「1億ドルの企業をつくりたいなら、週5日で十分かもしれない。でも、100億ドル規模の企業を目指すなら、週7日働かなくてはなりません」
》 ゼロクリックで情報漏えい:Microsoft 365 Copilotの脆弱性「EchoLeak」の調査結果を解説 (トレンドマイクロ, 7/31)
》 ウイルスバスター ビジネスセキュリティサービス Windows 10 22H2 / Windows 10 Enterprise 2015 LTSB のサポートポリシーについて (トレンドマイクロ, 8/4)。「2026年10月14日 まで実施」に変更 (1年延長)。
》 New Tool: ficheck.py (SANS ISC, 7/24)。 https://github.com/clausing/scripts/tree/master (GitHub)。
》 制御システムセキュリティカンファレンス2026講演募集(Call for Presentation) (JPCERT/CC, 8/4)
》 No, the UK’s Online Safety Act Doesn’t Make Children Safer Online (EFF, 8/1)
》 sosコマンドでUbuntuシステムの情報をあらいざらい収集しよう (gihyo.jp, 7/30)
》 オープンソースの2FAアプリ「Proton Authenticator」リリース (gihyo.jp, 8/4)
Proton AG.はCERN(Conseil Européen pour la Recherche Nucléaire:欧州原子核研究機構)の研究者によって創設されたセキュリティ企業。非営利団体であるProton Foundationが筆頭株主となっている。
》 IPA 脆弱性診断内製化ガイド (2025.07.31) (まるちゃんの情報セキュリティ気まぐれ日記, 8/3)
》 米国 NIST SP 1800-44 (初期ドラフト) 安全なソフトウェア開発、セキュリティ、および運用 (DevSecOps) のプラクティス (2025.07.30) (まるちゃんの情報セキュリティ気まぐれ日記, 8/5)
》 米国 耐量子暗号連合 (PQCC) 国際的なPQC要件 (2025.07.15) (まるちゃんの情報セキュリティ気まぐれ日記, 8/5)
》 「ディープフェイクス」ツール3.5万件、ダウンロード1,500万回、「ヌード化」の世界的被害を加速 (新聞紙学的, 7/7)
》 「Copilot」のチャット20万件から見えた、AIに最も影響を受けやすい職業と受けにくい職業 (新聞紙学的, 8/4)
》 加速する「AIリストラ」、AIは「知性の自転車」か「人間の代替」か? (新聞紙学的, 7/14)
》 警察活動におけるウェアラブルカメラ活用の試行について (警察庁, 7/24)
》 公安部の幹部ら処分へ 「捜査指揮機能せず」警視庁が今週にも検証結果公表へ 大川原化工機えん罪事件 (TBS, 8/4)。たいていのメディアは「近く」等の表現になっているところ、 TBS は「今週にも」となっている。
関連: 捜査情報垂れ流しは「フェイクニュース」 冤罪被害者が望む真の報道 (毎日, 8/5)
》 ウクライナの若者たちが主張通す 汚職対策機関の独立性確保、ゼレンスキー氏が新法に署名し事態収拾 (BBC, 8/2)
抗議者たちは、ゼレンスキー氏とその政権に対し、2つの汚職対策機関に「手を出すな」と要求し、政府が方針を転換するまで抗議を続けると訴えていた。
そして数日のうちに、政府は方針を転換したのだった。
(中略)
問題は解決されたと、議員たちは精一杯アピールした。しかし、今回の危機は、不快な余韻を残した。
ゼレンスキー氏が汚職対策改革についてどこまで真剣なのかが、疑問視されてしまったからだ。
》 地球上の淡水が急速に減って飲み水や食料の安定供給がピンチになりつつある (gigazine, 8/4)
》 350億円超の損害賠償支払いをテスラが命じられる、オートパイロット利用時に起きた死亡事故でテスラに部分的な責任があるとの判決 (gigazine, 8/4)。「テスラは控訴する構えです」。
》 ロシアのサイバースパイ集団「Secret Blizzard」が各国大使館のデバイスに中間者攻撃でマルウェアをインストールしている (gigazine, 8/1)
》 空自が誇る「巨大な日の丸輸送機」に“長槍”搭載か!? 驚愕の「ミサイルキャリア化」検討が本格化 (乗りものニュース, 8/2)。日本版 Rapid Dragon をやりたいようなのですが、 本家 US での状況は停滞しているように見えます。
AFRL NEWS SEARCH: rapid dragon (afrl.af.mil)。最新ニュースが 2023 年なのですよね。 開発自体は無事終了した ok ok ということなのかな。 でも量産開始とかいう話は聞かないよねえ。
》 「艦艇防衛用の新型ミサイル」日本での生産実現!“撃ちっぱなし型”で艦員の負担も軽く 三菱電機がRTXと契約 (乗りものニュース, 6/26)。ESSM Block 2。 国産化できるのはよろこばしい。 レイセオンも生産能力が足りなくて困ってるだろうしなあ。
》 オーストラリア海軍、次期汎用フリゲートとして三菱重工の改もがみ型 FFM を選択
Mogami-class frigate selected for the Navy’s new general purpose frigates (defence.gov.au, 8/5)
The Albanese Government is accelerating the delivery of a larger and more lethal surface combatant fleet with the selection of the upgraded Japanese Mogami-class frigate as the preferred platform for the Royal Australian Navy’s future fleet of general purpose frigates.
オーストラリア海軍の次期フリゲート、日本の新型FFMを採用へ その計り知れない意義とは? #エキスパートトピ (高橋浩祐 / yahoo, 8/5)
豪、次期フリゲート艦に三菱重を選定 日本9年越しの巻き返し (ロイター, 8/5)
豪 新型フリゲート艦導入計画 日本の提案が最優先候補と発表 (NHK, 8/5)
林官房長官は (中略) その上で「最終的な契約の締結は来年初めを見込んでおり、締結に向けて関係省庁や関係企業と連携し官民一体となって取り組んでいく」と述べました。
まだ半年あるよと。
ドイツに勝った! 日本製「改もがみ型」豪海軍の次期フリゲートへ「ただ正念場は来年」どういうこと? (乗りものニュース, 8/5)
あくまでもこれは優先交渉権を得たにすぎません。前述したように建造契約は来年に予定されているため、細部含めこれから両国で交渉していく形になります。
オーストラリア国営放送、日本がドイツを破って100億豪ドルの入札に勝利 (航空万能論 GF, 8/5)
JVNVU#97735345 TP-Link製ルーターArcher C50におけるハードコードされた暗号鍵使用の脆弱性 (JVN, 2025.08.05)。「TP-Link製ルーターArcher C50のサポートは既に終了しています。開発者は該当製品の使用停止および後継製品への移行を推奨しています」。
JVNVU#93412964 PowerCMSにおける複数の脆弱性 (JVN, 2025.07.31)。PowerCMS 6.71 / 5.31 / 4.61 で対応。
The GNU C Library version 2.42 is now available (GNU, 2025.07.28)
The following CVEs were fixed in this release, details of which can be found in the advisories directory of the release tarball:
GLIBC-SA-2025-0001:
assert: Buffer overflow when printing assertion failure message
(CVE-2025-0395)
GLIBC-SA-2025-0003:
power10: strcmp fails to save and restore nonvolatile vector
registers (CVE-2025-5702)
GLIBC-SA-2025-0004:
power10: strncmp fails to save and restore nonvolatile vector
registers (CVE-2025-5745)
GLIBC-SA-2025-0005:
posix: Fix double-free after allocation failure in regcomp
(CVE-2025-8058)
PowerDNS Recursorの脆弱性情報が公開されました(CVE-2025-30192) (JPRS, 2025.07.24)。 PowerDNS Recursor 5.0.12 / 5.1.6 / 5.2.4 で対応。
Knot Resolverの脆弱性情報が公開されました (JPRS, 2025.07.23)。Knot Resolver 5.7.6 で対応。
Unboundの脆弱性情報が公開されました(CVE-2025-5994) (JPRS, 2025.07.18)。Unbound 1.23.1 で対応。
PHP security releases 8.4.10, 8.3.23, 8.2.29, 8.1.33 (oss-sec ML, 2025.07.11)
gnutls 3.8.10 fixes 4 CVEs (oss-sec ML, 2025.07.11)
Ivanti Connect Secureなどにおける脆弱性(CVE-2025-22457)に関する注意喚起 (2025.04.04)
Ivanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア (JPCERT/CC, 2025.07.18)
》 中国、欧米の防衛関連企業への重要鉱物輸出を制限 (Wall Street Journal, 8/4)。パトリック・マギー著『Apple in China』ですか。
業界トレーダーによると、防衛企業が必要とする特定の原材料は現在、中国が鉱物資源の輸出規制を実施する以前の価格から5倍以上に上昇しているという。ある企業は、高温の環境においても優れた磁気特性を発揮しジェット戦闘機のエンジンなどに使用されるサマリウムについて、標準価格の60倍の値段を提示されたという。 (中略) 伊防衛大手レオナルドの米国子会社レオナルドDRSは先月30日、ゲルマニウムの在庫量が「安全在庫」を割り込む水準まで減少していると指摘した。
》 アップルを成長させた40兆円超の対中投資は「重大なリスク」になっている (Forbes, 8/4)
マギーは、アップルが中国での生産から脱却するのは極めて難しいと結論づける。必要な技術を持つサプライヤーは他地域には存在せず、中国政府が自国のサプライヤーに国外で生産することを許可する保証もない。
(中略)
マギーは「今後5年間でアップルが中国依存を有意に低減する方法はない。それは不可能だ」と断じている。
》 iPhoneに宣戦布告したザッカーバーグ氏 (Wall Street Journal, 8/4)
ザッカーバーグ氏は、勝者となるフォームファクターはグラスだと考えている。メタはすでにいわゆるスマートグラスを販売している。(中略) 現時点では、メタのグラスはスマホと併用される。いずれは必ずしもそうではなくなる世界が想像できる。
いよいよ電脳メガネの時代になる……んですかねえ?
関連: Metaの次世代スマートグラス「Orion」「Hypernova」に期待大。リークと噂まとめ (ライフハッカー, 7/17)
Satori Threat Intelligence Disruption: BADBOX 2.0 Targets Consumer Devices with Multiple Fraud Schemes (humansecurity.com, 3/5)
低価格なAndroid機器100万台に、秘密のバックドアが仕掛けられていた:研究結果 (WIRED, 3/17)
ヤロフキンは、今回のキャンペーンに関与している多くのグループが、中国のグレー市場の広告やマーケティング企業と何らかの関係をもっているようだと指摘する。彼によると、10年以上前の中国では、企業がデバイスに「サイレント」プラグインを仕込み、それを不正行為に利用していたとして、複数の 法的訴訟が 発生していたという。
「2015年の事態を生き残った企業は、(その後の変化に)適応した企業でした」とヤロフキンは語る。彼の調査によると、現在もBadbox 2.0に関与するいくつかのグループとつながりをもつ中国の「複数の企業」が確認されているという。そして、これらの企業には経済的および技術的なつながりがある。「調査チームは企業の所在地、オフィスの写真、LinkedIn上の従業員アカウントなどを特定しています」と述べている。
Alert Number: I-060525-PSA - Home Internet Connected Devices Facilitate Criminal Activity (FBI IC3, 6/5)
We’re taking legal action against the BadBox 2.0 botnet. (Google, 7/17)
安価なタブレットなど数百万台に感染、今すぐAndroid機器の接続を切断せよ FBI警告 (Forbes, 7/30)
》 The Changing Map of Palestinian Recognition (NYTimes, 7/30)。未承認の国がいかに少数か。 日本もとっとと承認すべき。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)