Last modified: Fri May 9 18:19:48 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 2024年第4四半期、記録的な5.6TbpsのDDoS攻撃およびグローバルなDDoSの傾向 (Cloudflare, 1/21)
[引用] 攻撃期間いよいよ人間では対応できない時代なんだなあ。
[引用] 攻撃ソース文章化はされていないが、図では 4 位ウクライナ、5位アルゼンチン、6位コロンビアになっている。
》 IPA、「情報セキュリティ10大脅威 2025」発表。組織の脅威に「地政学的リスクに起因するサイバー攻撃」が初選出 (Internet Watch, 1/31)
》 パソコン工房、NVIDIAの新型GPU「RTX 5080」の抽選販売を中止 Xでは「現場は大混乱」の声が続出【追記あり】 (ITmedia, 1/30)
[引用] 店舗でのRTX 5080の抽選を中止した理由については「顧客がフェンスを乗り越えて隣地の幼稚園に侵入した」と説明している。ああ、これは駄目ですね。仕方ない。
関連: 「RTX 5080/5090」店頭販売の中止が相次ぐ パソコン工房の混乱が原因か (ITmedia, 1/30)
生島企画室。 1/27 付の「ご報告」が top に掲載されている。
生島ヒロシ、何をした? TBS2冠番組を緊急降板「不適切な写真を送ってしまい 女性スタッフから不愉快と...」 (中日スポーツ, 1/28)
生島ヒロシが「不適切写真送信」で降板、死去・森永卓郎さん最後の出演...1・27『おはよう一直線』が伝説回に (ピンズバ NEWS / Yahoo, 1/29)。結果として、森永卓郎と生島ヒロシ両名の「最後の放送」になってしまったと。
森本毅郎、ハラスメントで降板の生島ヒロシに言及「認識ズレてしまった」 独自で調査も【ほぼ全文】 (岩手日報, 1/28)。1/28 のスタンバイで言及と。
[引用] これね、実は私も近い番組なので、どうなったのかなと思って、いろいろ聞いてみたんですけれども。なかなかやはり、具体的な話はわかりません。ただ、こういう話なんですね。パワーハラスメント、セクシャルハラスメントについては、TBS側がいろいろと、被害者の方たちと話をして、証言がまとまって、それを生島さん自身にぶつけたと。それが、月曜日の放送後だった。そして、その放送後、生島さんからその事実について確証が得られたので、そして降板と。非常にすばやい動きになったということなんですね。》 「スターリンクミニ」が届いた! さっそく導入したお寺に聞いた"第一印象"と活用法 (ITmedia, 1/30)
DeepSeek、チャット履歴含む100万件超のログが外部から閲覧できた可能性 米セキュリティ企業が指摘 (ITmedia, 1/30)。「米セキュリティ企業Wiz」の指摘。 Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History (wiz.io, 1/30)
DeepSeekのジェイルブレークにセキュリティー企業が成功、「ChatGPTより脆弱」 (日経 xTECH, 1/29)。「イスラエルのKELA」の指摘。
DeepSeekがデータ不正利用か OpenAIとMicrosoft調査 (日経, 1/29)
[引用] ディープシークは実際にはオープンソースのAIモデルだけでなく、外部に公開していないオープンAIの大規模言語モデルを生成AIの学習に使った疑惑が出ている。オープンAIが外部アプリとのデータ連携に使うアプリケーション・プログラミング・インターフェース(API)と呼ぶ仕組みが悪用されたとみられている。》 アメリカ空軍のF-35が墜落! "クルクルと回転しながら"落ちる 現地指揮官「徹底的な調査を行う」 (乗りものニュース, 1/30)
関連: F-35 jet crashes in Alaska, pilot ejects safely (ABC / YouTube, 1/30)。墜落映像あり。
》 ロシア軍がクルスクで領土を奪還、ポクロウシクでもT-0504を遮断寸前 (航空万能論 GF, 1/23)
》 豪海軍のフリゲート調達、日本は自国よりオーストラリア優先を誓う (航空万能論 GF, 1/29)
》 防衛省、垂直離着陸可能な小型無人機を配備へ 警戒監視を省力化 (毎日, 1/30)。Shield AI の V-BAT。 新型哨戒艦に塔載予定だそうで。
[引用] 新型哨戒艦については、すでに357億円を投じて4隻の建造を進め、26年度の就役を予定する。自動運航技術などで省人化を図り、30人程度の少人数での運用を目指す。関連: Shield AI のプレスリリース: Shield AI社のV-BAT機、海上自衛隊初の海上ISRプラットフォームに選定 (Shield AI / PRNewswire, 1/23)
》 American Airlines Regional Aircraft Collides With Helicopter At DCA, Crashes Into Potomac River (loyaltylobby.com, 1/29)。アメリカンイーグル AA5342 便 (CRJ-700) が DCA (ロナルド・レーガン・ワシントン・ナショナル空港) 付近でヘリコプターと空中衝突し墜落。
American Airlines 5342 (flightaware.com)
【旅客機と軍用ヘリが衝突】川に墜落...救助活動続く 日本人搭乗かは確認中 アメリカ・ワシントン近郊 (日テレ / YouTube, 1/30)
》 エアプサン香港行きBX391便、釜山出発前に火災 乗客3人けが (Aviation Wire, 1/29)。関連:
韓国・航空機が炎上 原因は荷物棚に入れたモバイルバッテリーか? 乗客・乗員は間一髪で脱出も屋根が焼け落ち3人けが【news23】 (TBS, 1/30)
出発が遅れていなかったら大惨事に...韓国の消防当局が明かした「危うかった瞬間」 (中央日報, 1/29)
[引用] 航空機の33番の列に座っていた20代の女性客は、当時すべての乗客が席に座っていたと伝えた。飛行機は9時55分出発の予定時刻が過ぎ、ドアが閉まっていた。乗務員も安全に関する案内を終えた状態だった。黒く焼けたエアプサンの航空機...「シートベルトを締めたが煙が一気に」 (中央日報, 1/29)
<エアプサン旅客機火災>「乗客が開いたという非常口、乗務員の要請だった」エアプサン説明 (中央日報, 1/30)
[引用] 一部の乗客が直接非常口を開いて脱出したという証言が出てきたことに関しては「非常口付近の乗客は搭乗直後に乗務員に緊急脱出時に非常口の開閉方法に対して案内を受けて乗務員を助ける協力者の役割に同意してはじめて着座することができる」とし「緊急脱出時、乗客が直接非常口操作および脱出が可能だ」と説明した。これに関連し、エアプサン関係者は「当時マニュアルに沿って乗務員が非常口側にいる乗客に協力を要請して乗客が扉を開いたと把握している」と説明した。<エアプサン旅客機火災>「非常扉を開けた乗客、英雄のように振る舞うな...一歩間違えればエンジンに引き込まれる場合も」 (中央日報, 1/30)
韓国・釜山の旅客機炎上、後方座席の手荷物棚から出火か...事故調査官を派遣 (読売, 1/29)
金海空港のエアプサン機火災現場 (朝鮮日報, 1/29)
FreeBSD-SA-25:01.openssh - OpenSSH Keystroke Obfuscation Bypass (FreeBSD, 2025年01月29日)
[引用] II. Problem DescriptionOpenSSH 9.8 で直った件。
FreeBSD-SA-25:02.fs - Buffer overflow in some filesystems via NFS (FreeBSD, 2025年01月29日)
FreeBSD-SA-25:03.etcupdate - Unprivileged access to system files (FreeBSD, 2025年01月29日)
FreeBSD-SA-25:04.ktrace - Uninitialized kernel memory disclosure via ktrace(2) (FreeBSD, 2025年01月29日)
Oracle、2025年最初の定例セキュリティ更新 〜「Java」「VirtualBox」「MySQL」などで脆弱性318件 (窓の杜, 2025年01月22日)
リモートデスクトップソフト「TeamViewer」に脆弱性 〜修正版をリリース (窓の杜, 2025年01月29日)
Chrome 132.0.6834.159/160 (Windows / Mac) および 132.0.6834.159 (Linux) 公開。2 件のセキュリティ修正を含む。関連:
本件に対応する Chrome 132 Android の記述が Chrome Releases Blog でなされるのが通常なのだが、無いようだ。 Google Chrome (Google Play) には「最終更新日 2025年01月29日」「バージョン 132.0.6834.122」 とあるので、更新されている模様。
予告されていた奴ですね。
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2024-11187) - バージョンアップを強く推奨 - (JPRS, 2025年01月30日)
権威 DNS サーバー、フルリゾルバー(キャッシュ DNS サーバー)どちらにも影響。 named.conf で minimal-responses: yes; を設定することで回避できる。
BIND 9.18.33 / 9.20.5 / 9.21.4 で対応されている。
(緊急)BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2024-12705) - バージョンアップを強く推奨 - (JPRS, 2025年01月30日)
named.conf で listen-on ... http .... ; を指定した (DoH サポートを有効にした) 場合のみ影響。
[引用] If an HTTP configuration is specified, named listens for DNS-over-HTTPS (DoH) connections using the HTTP endpoint specified in the referenced http statement. If the name default is used, then named listens for connections at the default endpoint, /dns-query.BIND 9.18.33 / 9.20.5 / 9.21.4 で対応されている。
関連:
BIND 9の脆弱性情報(High: CVE-2024-11187, CVE-2024-12705)と新バージョン(9.18.33, 9.20.5 9.21.4) (SIOS SECURITY BLOG, 2025年01月30日)
0-day が含まれてますね。 CVE-2025-24085。
全体
iOS / iPadOS
Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later
Impact: A malicious application may be able to elevate privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 17.2.
Description: A use after free issue was addressed with improved memory management.
CVE-2025-24085
tvOS
watchOS
visionOS
macOS
Safaril
》 相次ぐ海底ケーブル切断、対処力や影響把握が狙いか 国基研が分析公表 (ITmedia, 1/27)
》 亡き親のサブスクを解約したら借金まで背負うことに!?――相続放棄するなら絶対注意したいデジタル遺品のこと (Internet Watch, 5/15)
》 ほぼA3サイズの「Starlink Mini」、日本でも購入できるように 3万4800円 USB-PDでも動作可能 (ITmedia, 1/22)
[引用] 【記事訂正:1月23日午前10時】記事初出時、移動中の通信が可能としておりましたが、正確には日本とメキシコのみ陸地での移動中の使用が規制で禁止されていたため、タイトルと本文の表記を変更しました。訂正してお詫びいたします。5GHz 帯利用に関する制限の話のようで。関連:
スターリンクのルーターは屋外で使うことはできますか? (株式会社クラウンクラウン)
無線LANの屋外利用について (総務省)
移動中にStarlinkをローミング、陸上モバイル、海上で使用する際、どこで使用できますか? (starlink.com)
(軍事)作戦上重大な支障が生じかねない。なんとかせんといかん。
》 使用済み太陽光パネル 加熱処理でリサイクル 再エネ適地の北海道で進む最先端技術実証 (産経 / ITmedia, 1/22)
》 中国ディープシーク、どうやって米国を出し抜いたか (Wall Street Journal, 1/29)。K.U.F.U. 工夫。
[引用] 米シンクタンク「ランド研究所」でAIを研究しているレナート・ハイム氏は、チャットGPTの以前のバージョンを、図書館の本を全て読んだ司書だと考えると良いと話す。質問をすると、それは読んだ多くの本をベースにして答えを出す。関連:
中国製AIモデルを絶賛するシリコンバレー (Wall Street Journal, 1/28)
ディープシーク躍進、それでもAIの巨人は沈まず エヌビディアなどの株価急落に拍車をかけたパニックは行き過ぎ (Wall Street Journal, 1/28)。驚くほどのパニック売りでしたね。
ディープシークはチャットGPTから「知識蒸留」=米AI責任者 (Wall Street Journal, 1/29)
ディープシークCEO、数学オタクから世界的破壊者に (Wall Street Journal, 1/29)
【社説】ディープシークAIの衝撃 (Wall Street Journal, 1/28)
[引用] トランプ大統領は政府にAIの管理権限を過度に与えたジョー・バイデン氏の大統領令を取り消したが、ディープシークの登場はこの判断の正しさを証明した。この大統領令が撤回されなければ、国家安全保障や経済安全保障、公衆衛生、公共の安全に「深刻なリスク」をもたらし得るAIモデルを開発する企業は、モデルの訓練時に規制当局に通知し、「レッドチーム・セーフティーテスト(専門家による安全診断)」の結果を報告しなければならなくなるところだった。DeepSeekが集める個人情報は「中華人民共和国にある安全なサーバに保存」 (ITmedia, 1/28)
WSJ がこんなに語り出すのもパニックっぷりの現れなんだろうなあ。
》 【社説】トランプ氏、市民権「出生地主義」の制限で敗北 (Wall Street Journal, 1/24)
[引用] ロナルド・レーガン大統領に任命されたジョン・クーナー連邦判事はこの主張を軽く片付けた。同判事は「この大統領令は明らかに違憲だ」との判決を下し、さらに「この決定が下される過程で、弁護士は何をしていたのか。(中略)法曹界の一員がこの大統領令を合憲だと明言するとは理解し難い」と述べた。良い指摘だ。》 生島ヒロシ、TBSラジオ緊急降板「人権方針に背く重大なコンプライアンス違反」 (日刊スポーツ, 1/27)。今日の放送限りと。いきなり打ち切り。
[引用] TBSラジオは、生島氏に「TBSグループ人権方針に背く重大なコンプライアンス違反があったことを確認したため」とし、番組出演の継続が不可能と判断。番組降板を決めた。違反の詳細については「関係者のプライバシー保護の観点から、説明を控えさせて頂きます」としている。そう書かれると中居氏と同様の案件のように見えてしまうのだが、それでいいの?
関連:
TBSラジオ取材に回答 生島ヒロシ電撃降板「事態が分かったのはつい最近」「本人と話し合いを持った」 (日刊スポーツ, 1/27)
生島ヒロシさん、早朝のラジオ番組を降板...TBS「関係者複数人にハラスメント行為」 (読売, 1/27)。「関係者複数人」。単数ではないと。
社員向け説明会 (1/23)
【独自】「この場で社長会長が辞任してくれないと月9ドラマが止まる!」悲痛のフジテレビ社員説明会の一部始終《緊迫の1・23ドキュメント》 (現代ビジネス, 1/24)
【独自】フジテレビ社員集会の一問一答「なぜいま辞任しないんですか?CMがゼロになります」《涙のフジ社員説明会1・23》 (現代ビジネス, 1/24)
【独自】フジ社員の怒号音声「中居さん、いや『中居』ですよ!なぜ番組を止めなかったのか?」会長社長の驚きの答え《フジ社員集会の実況中継》 (現代ビジネス, 1/25)
【独自】フジ女性社員が社長に決死の発言「これでは27日の会見は持たない」「日枝さんのこと聞かれたどうする」《フジテレビの非公開説明会Q&A》 (現代ビジネス, 1/27)。すさまじい内容。 フジテレビ経営陣は本当に腐ってる。
「経営陣の総入れ替えの可能性も」...混乱を極める「フジテレビ」内部で浮上する「新社長候補の名前」《ロンドン、パリ帰りの才女》 (現代ビジネス, 1/25)。ニッポン放送・檜原麻希社長を推す声があるそうで。
[引用] 檜原さんは6年連続でニッポン放送の営業収益を伸ばすなど経営能力に長けた人物。ニッポン放送は昨年の視聴率調査でも平日平均、土日平均、週平均のいずれも首位を獲得し、ラジオアプリ『radiko』では首都圏内での視聴者数が3年連続トップを記録。まさに快進撃を続けている。その立役者となっているのが檜原さんだ。フジテレビ 他局の女子アナも中居接待へ...幹部が手引き 民放キー局の調査で判明 27日会見 (スポニチ, 1/27)
[引用] 中居氏の女性トラブルが起きた23年6月の1カ月前の5月7日。女性アナは民放キー局の若手社員。会食はフジテレビの編成幹部がセッティングしており、場所は都内の飲食店だった。そこには同編成幹部のほか、中居氏と人気男性タレントがいた。他にはフリーの若手女性アナウンサーらが招集されていた。》 小中学生に「殺し」の報酬として200万円を提示...増え続ける「スウェーデンギャング」の衝撃的な内情 (現代ビジネス, 1/27)
[引用] そんな闇バイトだが、実は日本のみならず海外でも似たような犯罪、いや、それ以上に凶悪な犯罪が横行していることをご存じだろうか。(中略) スウェーデンでは数年前からギャング犯罪が横行しており、同国のギャング集団は、暗号化機能を備えたテレグラムなどのメッセージアプリを使用し、刑事責任を問われない15歳未満の子どもたちを「殺し屋」として勧誘しているとのこと。また、「殺し」の報酬として200万円越えの高額を提示するケースもあるというのだ。MIC 声明 フジテレビの「締め出し」記者会見に抗議する 〜会見をオープンにし、真摯に説明せよ〜 (日本マスコミ文化情報労組会議, 1/21)
フジ・メディア・ホールディングスに、第三者委員会の設置と信頼回復に向けた取り組みを再度お願いする書簡を送付 (ダルトン・インベストメンツ・インク, 1/22)。フジの大株主。 あたりまえのことしか言ってない。
《中居正広・フジテレビ問題》「会見はやりたくない」港浩一社長は一時拒否も...異例会見の真相「当日には社員に"弁明メール"が...」 (文春オンライン, 1/23)
フジテレビ、なぜ炎上 危機管理のプロが指摘する「致命的な失敗」 (毎日, 1/23)
中居正広は自宅に"ひきこもり"...フジテレビを破滅寸前に追い込み「芸能界追放」へ (FRIDAY / Yahoo, 1/23)
中居正広さん 芸能活動 引退発表 自身のファンクラブサイトで (NHK, 1/23)
CM の件
「フジテレビ潰れます」がシャレにならない異常事態...スポンサー50社撤退で赤字まっしぐら!?「異様な経営体質」を徹底検証 (ダイヤモンド online, 1/21)
【独自】広告返金交渉、契約終了の動き フジCM差し替え、地方局にも (共同 / Yahoo, 1/22)
関西テレビ・大多亮社長 (事件当時フジテレビ専務) 会見 (1/23)
》 米政府機関、リモートワーク原則禁止へ トランプ氏が大統領令に署名 (ITmedia, 1/22)
OpenSSL Security Advisory [20th January 2025] Timing side-channel in ECDSA signature computation (CVE-2024-13176) (OpenSSL, 2025年01月20日)。iida さん情報ありがとうございます。
OpenSSL 3.4 / 3.3 / 3.2 / 3.1 / 3.0 / 1.1.1 / 1.0.2 に影響。 Severity: Low なので次のリリース時に修正。
「Node.js」にセキュリティアップデート 〜サポート終了の旧版にもCVE番号が付番開始 v23.6.1/v22.13.1/v20.18.2/v18.20.6へのアップデートを (窓の杜, 2025年01月22日)。予告されていた件。
解凍・圧縮ツール「7-Zip」に「Mark of the Web」をバイパスできる脆弱性 「7-Zip 24.09」へのアップデートを (窓の杜, 2025年01月22日)
》 TikTok禁止法を75日間停止する大統領令にトランプ大統領が署名 (gigazine, 1/21)
》 海底ケーブルインフラを保護するためにNATOが「海上ドローン」を配備 (gigazine, 1/21)。本当に哨戒だけをするつもりなら、いまどきは無人船舶の方が使い勝手がよさそうだよなあ。
一方で海自は有人の「哨戒艦」を 12 隻も整備するのだそうだが、こいつの場合、将来的には、後部の「多目的甲板」に「コンテナ式SSM発射装置」 を装備したりもできるようになる模様。
さらに一方で海自は「シーガーディアン」UAV を 23 機も調達する予定だそうだが、 こいつは将来的には対潜水艦作戦にも使おうというハラらしい?
海自にシーガーディアン導入決定 無人機で警戒監視、23機調達へ―防衛省 (時事, 2024年11月15日)
海自ついに導入「シーガーディアン」一体どう使うの? 新たな"空の眼"となる無人機 減っていくかもしれない有人機とは? (乗りものニュース, 2024年11月24日)
海自の「新型艦」必要性に疑問符「その仕事、無人機でよくね?」 実は"全然ちがう役割"の可能性も!? (乗りものニュース, 2024年07月16日)
》 ロシアの破壊工作が疑われたバルト海の海底ケーブル損傷について「やっぱり事故の可能性が高い」と当局者は考え始めている (gigazine, 1/21)
》 Xが極右を後押ししているというドイツの政治家からの苦情の後にEUがXの調査を拡大、おすすめアルゴリズムに関する内部文書の提出を求める (gigazine, 1/21)
関連: ドナルド・トランプ大統領の就任式後演説でイーロン・マスクが「ナチス式敬礼」をしたと話題に (gigazine, 1/21)
》 「勃起ハチミツ」の輸入に対しフランスの税関が警告 (gigazine, 1/21)。薬物入りハチミツ。
[引用] 輸入に成功した勃起ハチミツは約15グラムごとのスティック形状に加工され、数ユーロ(約1000円)で個別に販売されるとのこと。販売の際、「パーティーを盛り上げる」「スタイルが良くなる」「健康になる」などの適当なうたい文句で消費者をだましていることが判明しています。》 トランプ大統領が「言論の自由を回復して連邦政府の検閲を終わらせる大統領令」に署名、バイデン政権の検閲についての調査も指示 (gigazine, 1/21)。デマの国アメリカ。日本も他人事じゃないけどな。
》 Metaはアメリカ国外でファクトチェックプログラムを維持する予定 (gigazine, 1/21)。不自由の国アメリカ。
花粉飛散情報 2025 (tenki.jp)
花粉飛散予報マップ(スギ・ヒノキ) (ウエザーニュース)
スギの木も暖かさで"勘違い"...もう始まっている『スギ花粉の飛散』昨夏の暑さから東海3県でも量が多い予想 (東海テレビ, 1/20)
「花粉」今年は"早い""多い"!?東京で統計史上"最早"「スギ花粉」飛散開始【ひるおび】 (TBS ひるおび / goo, 1/20)
daitoshi.mlit.go.jp ドメインがハイジャックされオンラインカジノサイトが設置されていた (2025年01月09日)
kyufukin.soumu.go.jp 等の件:
サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて (JPRS, 2025年01月21日)
終わったWebサイトのDNS設定、そのままになっていませんか? (JPRS, 2025年01月21日)
》 あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心 (JPCERT/CC, 1/10)
》 Tuesday, January 21, 2025 Security Releases (node.js, 1/14)。来週。
》 Japanese Spam on a Cleaned WordPress Site: The Hidden Sitemap Problem (sucuri blog, 1/14)
》 新しいKSK(KSK-2024)がルートサーバーで事前公開 (JPRS, 1/14)
》 [Wireshark-announce] Wireshark 4.4.3 is now available (Wireshark, 1/8)、 [Wireshark-announce] Wireshark 4.2.10 is now available (Wireshark, 1/8)。セキュリティ修正は無いみたい。
》 Microsoft Teamsを介した「ヴィッシング」の手口によってマルウェア「DarkGate」が侵入 (トレンドマイクロ セキュリティ blog, 1/10)
》 北朝鮮とランサムウェアギャングが使用する仮想通貨ミキシングサービス「Bender.io」と「Sinbad.io」を運営した疑いでロシア人3人が起訴される (gigazine, 1/14)
》 中国政府系ハッカー「シルク・タイフーン」が海外投資の国家安全保障リスクを審査するアメリカ政府機関に侵入 (gigazine, 1/15)
》 米国が示した"中国関連の脅威アクターから守るためのベストプラクティス"とは (Internet Watch, 1/14)
》 新型コロナウイルス感染症が重症化するメカニズムを日本の研究チームが解明、免疫細胞の異常接着が原因か (gigazine, 1/15)
[引用] 研究チームは、今回の発見は人間のCOVID-19重症化患者の血液サンプル分析結果とも一致していると述べ、好中球の血管壁への異常接着とそれに続く血小板凝集による微小血栓の形成が肺血流を阻害し、COVID-19肺炎を重症化させている可能性を指摘しました。(中略) ただし、SARS-CoV-2に感染すると接着分子が増加する理由については完全に解明されていません。》 アメリカが中国のテクノロジー企業14社を輸出規制リストに追加、TSMC製半導体をHuaweiに横流ししていたSOPHGOも規制対象に (gigazine, 1/16)
》 Let’s Encryptが「短期証明書」を導入すると発表、セキュリティが向上&IPアドレスでの発行も可能に (gigazine, 1/17)。有効期限6日。
》 ローマに支配される前のイギリスでは女性が権力を持っていたことがDNA分析で判明 (gigazine, 1/17)
》 スターシップが7回目の試験飛行、スーパーヘビーの帰還に成功するもスターシップ本体は空中分解 (gigazine, 1/17)。fireworks.
》 警察庁とNISC、サイバー攻撃グループ「MirrorFace」(Earth Kasha)の手口を詳細に解説し注意喚起 (Internet Watch, 1/17)
》 北朝鮮による暗号資産の窃取に対し、日米韓が共同声明。「違法な大量破壊兵器及び弾道ミサイル計画のための不法な資金を途絶する」 (Internet Watch, 1/17)。共同声明は 1/14 付。
[引用] 三か国のより深化した官民連携は、これらの悪意のあるアクターによるサイバー犯罪活動を能動的に阻止し、民間ビジネスの利益を守り、国際金融システムを守るために不可欠である。(中略) 日本においては、金融庁が日本暗号資産等取引業協会(JVCEA)と連携し、2024 年9月 26 日及び 12 月 24 日に、関連企業に対して暗号資産窃取のリスクに関する注意喚起を行い、また、自主点検を要請した。関連: 暗号資産の流出リスクへの対応等に関する再度の一斉点検実施について (日本暗号資産等取引業協会, 2024年12月24日)
》 東京都、闇バイト対策で個人宅向け防犯カメラに購入費の半額・最大2万円を補助へ (やじうま Watch, 1/17)。半額補助、最大 2万円。
》 不正懸念のある会員様への動画によるご利用確認について (セゾンカード, 1/17)。 動画?!
[引用] 2025年1月20日(月)より、情報漏洩を含む不正懸念対象のお客様に「ご利用内容確認のお願い」の動画をお送りすることになりました。》 クーポンの利用規約改定で「誤解を招いた」と謝罪したメルカリ 改定の理由を聞いた (ITmedia, 1/17)
》 チェジュ航空2216便着陸失敗事故 (2024年12月29日) 方面
737 CVR FDR Power (The Boeing 737 Technical Channel / YouTube, 1/13)。 わかりやすい解説。 当該機にも RIPS があればよかったんですけど、なかったみたい。
<チェジュ航空旅客機事故>「エンジン2つ停止しても作動するが」...衝突4分前にブラックボックス停止 (中央日報, 1/13)
[引用] 匿名を求めた航空業界の関係者も「エンジン2つのうち1つだけが機能しても電力は供給される」とし「2つとも消えても補助動力装置を手動でつければFDRは作動するが、事故当時はこれさえも難しかったのか、本当に異例の状況」と話した。737 Hydraulics (The Boeing 737 Technical Channel / YouTube, 2021年06月17日)
AUXILIARY POWER UNIT (b737.org.uk)
飛行中の全エンジン停止 信じられないまさかの出来事 何故起こったか (JAXAメールマガジン第226号, 2014年08月05日)
<チェジュ航空旅客機事故>「あとは事故の原因究明」...追加捜索も終了 (中央日報, 1/17)
RSYNC: 6 vulnerabilities (oss-sec ML, 2025年01月14日)。 CVE-2024-12084 CVE-2024-12085 CVE-2024-12086 CVE-2024-12087 CVE-2024-12088 CVE-2024-12747。 rsync 3.4.0 で修正。
git: 2 vulnerabilities fixed (oss-sec ML, 2025年01月14日)。 CVE-2024-50349 CVE-2024-52006。 git 2.48.1 / 2.47.1 / 2.46.3 / 2.45.3 / 2.44.3 / 2.43.6 / 2.42.4 / 2.41.3 / 2.40.4 で修正。
pam-u2f: problematic PAM_IGNORE return values in pam_sm_authenticate() (CVE-2025-23013) (SuSE Security Team Blog, 2025年01月14日)。pam_u2f-1.3.1 で修正された模様。 CVE-2025-23013
[vim-security] heap-buffer-overflow in Vim < 9.1.1003 (oss-sec ML, 2025年01月11日)。 Vim patch v9.1.1003 で修正されたそうです。CVE-2025-22134
NVIDIA製GPUドライバーに5件の脆弱性 〜最新「GeForce」ドライバーへの更新を (窓の杜, 2025年01月17日)
2025 年 1 月のセキュリティ更新プログラム (月例) (2025年01月15日)
不具合情報:
USBオーディオDACやサウンドデバイスが動作しない不具合。Windows10およびWindows11にて発生。Windows Update KB5049981 / KB5050021 / KB5050009に起因。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2025年01月16日)
[引用] 上記更新プログラムをインストールすることでMicrosoftの汎用USBオーディオドライバのバージョンが10.0.19041.4355から10.0.19041.5369へとアップデートされます。ユーザー報告では、このドライバのアップデートに起因しているのではないかと疑われています。Webカメラが動作しない不具合。Windows10 / Windows11で発生。これもWindows Update KB5049981 / KB5050021 / KB5050009が原因 (ニッチなPCゲーマーの環境構築Z, 2025年01月17日)
不具合発生時は KB5049981 / KB5050021 / KB5050009 をアンインストールしてみる (アンインストールにより解決するか否かを確認する) のが吉のようで。
》 "改造Switch"販売で逮捕者 「海賊版ゲームソフト」を起動できるように改造か (ITmedia, 1/16)
》 Blue Origin’s New Glenn launches on maiden voyage (CNN, 1/16)。Blue Origin の大型ロケット New Glenn、ようやく上がりました。 おめでとうございます。 残念ながら 1 段目の回収には失敗したようですが、SpaceX だって初期には何度も失敗したからね。関連:
》 アンカー、カード型紛失防止トラッカーを自主回収 周囲の磁気カードに影響を及ぼす恐れ (ITmedia, 1/16)。Eufy SmartTrack Card E30。
こちらです: 弊社充電式カード型紛失防止トラッカーに関するお詫びと自主回収のお知らせ (Anker, 1/14)
[引用] 2024年12月、お客様より弊社カスタマーサポートまで充電式カード型紛失防止トラッカーに搭載されている磁石により磁気カードへ不具合が発生したとの連絡があり出荷を停止。原因究明に向けて調査を実施した結果、製品の磁力が一部磁気カードへ影響を与える場合があることが発覚したため、自主回収を決定。Path traversal via AMI ListCategories allows access to outside files (asterisk / GitHub)。CVE-2024-53566 。 Asterisk 18.26.1 / 20.11.1 / 21.6.1 / 22.1.1 / 20.7-cert4 / 18.9-cert13 で修正。
Asterisk News。 2025年01月09日 付で 上記バージョンが公開されている。
「Zoom」に複数の脆弱性 〜最大深刻度は「High」 (窓の杜, 2025年01月15日)
》 チェジュ航空2216便着陸失敗事故 (2024年12月29日) 方面
》 中国で活動するブラック要員情報を中国に渡した韓国軍務員...無期懲役を求刑 (中央日報, 1/15)。ブラック要員 = スパイの模様。
》 米ファンド フジ・メディアHDに調査要求 中居さんめぐる対応で (NHK, 1/15)。あたりまえの要求。
原文: Request for the establishment of a third-party committee and the restoration of confidence (Rising Sun Management, 1/14)
》 【速報中】ユン大統領の拘束令状を執行と発表 合同捜査本部 (NHK, 1/15)。逮捕令状ではなく「拘束令状」。
》 【速報】兵庫県選挙管理委員会が総務省に要望へ 知事選めぐり「当選目的のない立候補」の法整備求める NHK党立花氏が「当選を目的としない」斎藤知事を応援 ポスター掲示板の増設対応も (読売 / Yahoo, 1/15)。ようやくですか。
日本郵便、ゆうパック委託業者に「違約金」 誤配・苦情1件数万円も (朝日, 1/6)。末端いじめ。 とっても JAPAN だね!
[引用] 関係者によると、公取委は23〜24年、関東地方にある郵便局と委託業者の契約を調査。誤配やたばこ臭クレームの違約金額が不当に高額で、十分な説明なく複数の委託業者から徴収したとして、日本郵便の下請法違反を認定した。違反行為の早急な是正を優先して、調査はこの局がある県内で終え、日本郵便を指導したという。ゆうパック配達「罰金なんて時代錯誤」 たばこの苦情で「10万円」 (朝日, 1/6)
日本郵便、違約金の一部を返金 公取委の指導後、「説明不足だった」 (朝日, 1/7)
「一方的だ」ゆうパックの違約金変更、委託業者の怒り 内部から疑問 (朝日, 1/14)
》 米国が示した"中国関連の脅威アクターから守るためのベストプラクティス"とは (Internet Watch, 1/14)
》 アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は...... (ITmedia, 1/8)
「Git for Windows」にセキュリティアップデート 〜資格情報の漏洩などにつながる可能性 (窓の杜, 2025年01月15日)
FortiOS 7.0.0〜7.0.16 / FortiProxy 7.2.0〜7.2.12 / FortiProxy 7.0.0〜7.0.19 に欠陥。Node.js websocket モジュールに攻略リクエストを送ることで、 認証を回避して super-admin 権限を取得できる。CVE-2024-55591
FortiOS 7.0.17 / FortiProxy 7.2.13 / FortiProxy 7.0.20 で修正されている。 また、HTTP/HTTPS 管理インターフェイスを無効にする、 あるいは local-in ポリシーによる IP アドレスに基づくアクセス制限を設定することで状況を緩和できる。
関連:
Zero-Day Vulnerability Suspected in Attacks on Fortinet Firewalls with Exposed Interfaces (The Hacker News, 2025年01月14日)
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 (JPCERT/CC, 2025年01月15日)
悪用事例が観測されているそうです。
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 (JPCERT/CC, 2025年05月09日 更新)
[引用] JPCERT/CCは、2025年3月以降に国内で発生したインシデントにおいて、本脆弱性が悪用された事例があることを確認しました。Adobe Photoshop / Substance3D Stager / Illustrator for iPad / Animate / Substance3D Designer のセキュリティ情報公開。いずれも Priority: 3。 いずれも対応版が用意されている。
Chrome 132.0.6834.83 (Linux) および 132.0.6834.83/84 (Windows / Mac) が stable に。16 件のセキュリティ修正を含む。関連:
Firefox 134.0 / ESR 128.6.0 公開 (2025年01月08日)
Thunderbird 128.6.0esr が 2025年01月08日 付で出てました。
Thunderbird 128.6.0esr がリリースされた (mozillaZine, 2025年01月08日)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。 セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた (mozillaZine, 2025年01月15日)
出ました。159 Microsoft CVE + 2 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
[引用]0-day が 8 件も。攻略プログラムが確認されているのは Hyper-V の 3 件。 他は情報公開。
Access patch は副作用あり。
この更新プログラムは、この脆弱性をどのような方法で保護しますか?
この更新プログラムにより、潜在的に悪意のある拡張子が電子メールで送信されることはありません。
どの種類の拡張子がブロックされますか?
ブロックされる拡張子は次のとおりです。
関連:
不具合情報:
USBオーディオDACやサウンドデバイスが動作しない不具合。Windows10およびWindows11にて発生。Windows Update KB5049981 / KB5050021 / KB5050009に起因。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2025年01月16日)
[引用] 上記更新プログラムをインストールすることでMicrosoftの汎用USBオーディオドライバのバージョンが10.0.19041.4355から10.0.19041.5369へとアップデートされます。ユーザー報告では、このドライバのアップデートに起因しているのではないかと疑われています。Webカメラが動作しない不具合。Windows10 / Windows11で発生。これもWindows Update KB5049981 / KB5050021 / KB5050009が原因 (ニッチなPCゲーマーの環境構築Z, 2025年01月17日)
不具合発生時は KB5049981 / KB5050021 / KB5050009 をアンインストールしてみる (アンインストールにより解決するか否かを確認する) のが吉のようで。
》 Facebookに現れた「タモリさん起訴」のフェイクニュース広告を調査―クリック先に待ち受けるものとは? (おたくま経済新聞, 1/14)
》 「イオンカード」のイオンFS、カード不正利用で"特損28億円"も増収増益 (ITmedia, 1/9)
》 スクエニ、カスハラ対応方針を明示 悪質な場合は「法的措置や刑事手続を含む対処を」 (ITmedia, 1/10)
》 手放したドメインを「パパ活サイト」に転用されたマカフィー、「別の法人により管理されていた」「非常に遺憾」 (ITmedia, 1/10)。blogs.mcafee.jp の件。 関連:
》 JAL、飛行機を"サメ肌"にして空気抵抗軽減 世界で初めて国際線に導入へ 1月中旬から (ITmedia, 1/20)
[引用] 導入に当たり、JAXA(宇宙航空研究開発機構)と、塗装事業などを手掛けるオーウエル(大阪府大阪市)が協力。機体の表面のリブレット形状塗膜を施す際は、オーウエルの「Paint-to-Paint Method」(既存の塗膜上に水溶性の型で凹凸を形成する技術)を使用した。フィルムなどでの加工に比べ、重量の軽減や耐久性の向上が期待できるという。》 Sweet QuaDreams or Nightmare before Christmas? Bill Marczak on Dissecting an iOS 0-Day (CitizenLab, 1/9)
》 MirrorFaceによるサイバー攻撃について(注意喚起) (警察庁, 1/8)
》 Appleが「Siriのプライバシー保護機能」について解説、可能な限りオフラインで処理しデータ収集は最小限 (gigazine, 1/10)
》 TikTok買収にドジャース元オーナーのフランク・マッコート率いる「Project Liberty」が正式立候補 (gigazine, 1/10)。はてさて。
》 TikTok禁止法の施行を前にTikTokはユーザーに「Lemon8」への脱出を推奨している (gigazine, 1/9)
[引用] Lemon8は、2020年に誕生した「コミュニティプラットフォーム・Shareee(シェアリー)」が、2021年に「ライフスタイル共有アプリ」として生まれ変わったもの。TikTokと同じく、ByteDanceが手がけるアプリです。》 Instagram・Facebookでは露骨なポルノを含む迷惑詐欺広告が数多く表示されている、一方でMetaはポルノと関係のない投稿まで「ポリシー違反」として削除している (gigazine, 1/9)
》 「ハトにカメラを仕込んで撮影」など動物を使ったスパイ活動の成功例と失敗例について国際安全保障の専門家が解説 (gigazine, 1/10)
》 GoogleとLinux FoundationがChromiumの開発と維持を支援する基金「Supporters of Chromium-Based Browsers」を設立、MetaやMicrosoftなども参加 (gigazine, 1/10)
》 なぜトランプ次期大統領の関税引き上げ計画を経済学者は懸念しているのか? (gigazine, 1/10)。第1次トランプ政権の時にも関税引き上げ事例があったのですね。
》 GoogleとMicrosoftがトランプ大統領就任式におよそ1億6000万円ドルを寄付したことが明らかに (gigazine, 1/10)。うへえ。
》 トランプ氏の仮想通貨政策に暗雲か、アメリカ司法省が過去に押収した1兆円相当のビットコインの売却が認められたことで準備金が不足する可能性 (gigazine, 1/10)
》 仏独、トランプ次期米大統領に警告 グリーンランド支配の発言めぐり (BBC, 1/9)
》 Drupal 7 End of Life - PSA-2025年01月06日 (Drupal, 1/6)。ついに終了。
》 北朝鮮:極超音速滑空ミサイル「火星16B」の発射試験に成功か (海国防衛ジャーナル, 1/7)
》 大川原化工機代理人「警察犯罪を裁く機会が奪われた」 虚偽の文書作成疑い、警視庁公安部の3人が不起訴に (東京, 1/8)。冤罪殺人事件なのに主犯はこの扱い。
》 Turkish Navy Unveils MUGEM: A Fully Indigenous Aircraft Carrier (Naval News, 2024年10月28日)。トルコの 6万トン級空母 MUGEM。
いよいよ建造開始だそうで: トルコ海軍向けの6万トン級空母、国防省が建造作業の開始を発表 (航空万能論 GF, 1/4)
》 Microsoftが「93日を超えてライセンスの付与されていないOneDriveアカウント」へのアクセスを遮断する予定 (gigazine, 1/9)。また祭になるのだろうか。
》 プライバシーを勝手にオークションにかける「リアルタイム入札」について電子フロンティア財団が警鐘を鳴らす (gigazine, 1/9)
》 弾薬統合の自由、ドイツ軍の選択はGMARSではなくEuroPULS (航空万能論 GF, 1/8)
[引用] Defense Newsの取材に応じたドイツ国防省の報道官は「評価可能なGMLRSのプロトタイプを入手できなかった」「PULSを選択したオランダ軍はドイツ軍に深く統合されている」「同一システムを採用することで両軍の協力関係を強化できる」「PULSの運用国は射撃管制システムと使用する弾薬を独自に選択可能だ」と述べ、Defense Newsは「PULSに統合可能な弾薬にM270で使用していたGMLRSが含まれるかどうかは未解決な問題だ。ドイツ国防省の報道官も『米国側と緊密に協力している』と説明したが、Lockheed Martinは『もしPULSを選択すれば米国製弾薬にはアクセスできなくなる』と主張している」と指摘。ひでえ。昨今のトランプ発言もそうだが、独立国家を馬鹿にしすぎだろ。
》 クルスク方面の戦い、ロシア軍の攻勢でウクライナ軍の左翼が急速に崩壊 (航空万能論 GF, 1/10)、 ロシア軍はウクライナ軍の攻勢を事前に察知、戦力を集中させて逆攻勢 (航空万能論 GF, 1/10)
》 ウクライナ兵1700人脱走か 当局が捜査開始 (TBS, 1/4)。第155機械化旅団 大量脱走事件。
》 J-36はポジショニングと先制攻撃を追求した戦闘機、視界外戦闘に特化 (航空万能論 GF, 2024年12月31日)。 AWACS キラーかなあ。
Ivanti Connect Secure / Policy Secure / ZTA Gateways に 2 件のセキュリティ欠陥、 remote から無認証で RCE CVE-2025-0282 と local user による権限上昇 CVE-2025-0283。 CVE-2025-0282 は 0-day。
CVE-2025-0282 を突いた侵入の有無は Integrity Checker Tool (ICT) で確認できるとされている。internal ICT と external ICT があるようなのだが、 external ICT は 対応済みバージョンである 22.7R2.5 以降でのみ利用可能な模様。
影響範囲:
| CVE-2025-0282 | CVE-2025-0283 | 対応済バージョン | |
|---|---|---|---|
| Ivanti Connect Secure | 22.7R2 〜 22.7R2.4 | 22.7R2.4 以前、 9.1R18.9 以前 | 22.7R2.5 |
| Ivanti Policy Secure | 22.7R1 〜 22.7R1.2 | 22.7R1.2 以前 | |
| Ivanti ZTA Gateways | 22.7R2 〜 22.7R2.3 | 22.7R2.3 以前 | 22.7R2.5 |
現時点では Ivanti Connect Secure 用の patch のみが用意されている。 Policy Secure / ZTA Gateways は 2025年01月21日 に登場予定。
関連:
関連: Ivanti Connect Secureに設置されたマルウェアDslogdRAT (JPCERT/CC, 2025年04月24日)
[引用] 今回は、2024年12月ごろに国内の組織に対する当時のゼロデイ脆弱性CVE-2025-0282を使った攻撃によって設置されたWebシェルとマルウェアDslogdRATについて解説します。daitoshi.mlit.go.jp ドメインがハイジャックされオンラインカジノサイトが設置されていた (2025年01月09日)
kyufukin.soumu.go.jp 等の件:
》 ClamAV 1.4 as Next Long-Term Stable (LTS) (ClamAV, 1/8)
》 刊行物『中小企業向けサイバーセキュリティ対策の極意』 (東京都産業労働局)。1/8 付で Ver.3.0 が公開されています。
》 「反戦詩」詠んだ与謝野晶子像に突然の撤去要請 裁判応酬の事態に (朝日, 1/8)。堺市長はもちろん維新。 維新はほんと駄目だな。
大都市交通センサスのドメイン daitoshi.mlit.go.jp がハイジャックされ、オンラインカジノサイトが設置されていた模様です。現在は修正されているそうです。 lame delegation ダメ、ゼッタイ。
@MLIT_JAPAN 国土交通省はなかったことにするつもりっぽいし、修正済みだから暴露しちゃえ
— random (@randomp23189307) December 6, 2024
ということで、先月まで、国交省https://t.co/I64bYAlW8K下のDNSの一部ゾーンが第三者に乗っ取られてました。
DNS素人なので間違ってるかもですが、Route53のlame delegationです
使われなくなったゾーンの委任消し忘れですね
— random (@randomp23189307) December 6, 2024
JPCERT/CC経由で報告し、現在は修正済みです
こちらから当時のDNSの様子が見れますhttps://t.co/ixXF9xVgeq
Let's Encryptで不正なワイルドカード証明書まで発行されちゃってます
— random (@randomp23189307) December 6, 2024
これはhttps://t.co/fptzWm77Vwで確認できます
https://t.co/ICKegrNp9a
— random (@randomp23189307) January 9, 2025
まだキャッシュに残ってました
https://www.slotshell.daitoshi.mlit.go.jp
Hell Slots: 人気の最新スロットを提供するオンライン カジノ。
* ヘルスロットで楽しみを見つけよう幅広いオンラインカジノゲームをお楽しみください素晴らしいボーナスとプロモーション付き今すぐゲームに参加しましょう!
kyufukin.soumu.go.jp 等の件:
kyufukin.soumu.go.jp 等の件:
サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて (JPRS, 2025年01月21日)
終わったWebサイトのDNS設定、そのままになっていませんか? (JPRS, 2025年01月21日)
》 ビッグテック企業は"ガザのジェノサイド"にどのように加担しているのか (p2ptk.org, 2024年10月15日)
》 「優しい独裁者」から「権威主義者への迎合」に向かうテック業界 (p2ptk.org, 2024年12月12日)
》 「人間がAIを監督する」という幻想 (p2ptk.org, 2024年12月09日)
[引用] グリーンが指摘するように、リスクを伴う重要な決定をAIに任せ、その害を人間による監視で防ごうとする試みは「逆効果」を招く。「根本的な懸念に実質的に対処することなく、政府のアルゴリズムへの監視を緩める」のだから。人間による監視は「根拠のない安心感」を生み出し、アルゴリズムの重要分野への導入を促進し、その失敗の責任を人間に転嫁する。ダン・デイビスの言葉を借りれば、「責任の空洞化(accountability sink)」を作り出すのだ。》 Hollywood Miscasts AI As The Terminator (NOEMA, 2024年10月11日)。 以下の引用は DeepL 訳:
[引用] AIモデルが強力になりすぎて、独自の決定を下す恐れが出てきた場合、ビッグテックはプラグを抜くかキルスイッチを押せばいいと考えているようだ。 私はハラリに、そのような見方を信じているのかと尋ねた。》 トランプ次期米大統領、グリーンランドとパナマ運河の支配めぐり脅し強める 「カナダ合併」にも言及 (BBC, 1/8)
》 中国政府は自動車用半導体の自給率を高めたがっている (gigazine, 1/8)
》 Huaweiはアメリカの厳しい制裁にもかかわらず復活し中国市場でiPhoneを追い上げつつある (gigazine, 1/7)
関連:
》 Tencentが中国軍との関係が疑われる企業のブラックリストに追加され株価7%超の下落、企業の評判悪化のほか財務省による制裁の圧力にさらされる可能性も (gigazine, 1/7)
》 サイバートラックがトランプ・ホテル前で爆発した事件の犯人はChatGPTで計画を練っていた (gigazine, 1/8)
》 「極右の毒が深刻な脅威に」「荒らしに餌を与えるな」マスク氏の介入、英独首相ら欧州指導者が相次ぎ反発 (新聞紙学的, 1/8)。だんだんあからさまになってきた。
関連: 【解説】 なぜマスク氏は各国の政治に介入しようとしているのか (BBC / Wedge, 1/8)
》 Meta、第三者によるファクトチェック廃止へ 政治コンテンツ制限緩和も (ITmedia, 1/8)。トランプ効果。
関連:
》 米国 NSA、CISA、FBI他 イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 (2024年12月18日) (まるちゃんの情報セキュリティ気まぐれ日記, 1/3)。
[引用] 標的はイスラエル製のPLC、HMIのようですので、日本ではあまり関係ないかもしれませんが、他社製と名乗っていても、実は元のシステムがイスラエル製で社名を変えて売られている可能性もあるので、念の為、といったところでしょうかね...》 Treaties on the exchange and protection of classified information (electrospaces.net, 2024年12月31日)
》 ランサムリークサイト観察記 2024年振り返り ((n)inja csirt, 1/7)
関連:
》 ケニアの村に重さ500kgの落下物、宇宙ゴミか 「家の敷地に落ちたら大惨事に」 (産経 / ITmedia, 1/7)
関連: アストロスケールの商業デブリ除去実証衛星「ADRAS-J」、宇宙空間でデブリから約15mの距離まで接近に成功 (アストロスケール, 2024年12月01日)
》 カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で (ITmedia, 1/7)
出ました。Thunderbird 128.6.0esr はまだです。
Thunderbird 128.6.0esr が 2025年01月08日 付で出てました。
Thunderbird 128.6.0esr がリリースされた (mozillaZine, 2025年01月08日)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。 セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた (mozillaZine, 2025年01月15日)
Chrome 131.0.6778.264/.265 (Windows / Mac) および 131.0.6778.264 (Linux) 公開。4 件のセキュリティ修正を含む。また 55000ドル とか出てるし。
関連:
》 グアムの陸上配備型イージスが弾道ミサイルの迎撃試験に成功 (海国防衛ジャーナル, 2024年12月22日)
[引用] 試験「FEM-02」では、まず、C-17から準中距離弾道ミサイル標的L3MRBM Type 1を空中発射。GDSのAN/TPY-6が探知、追跡、交戦までカバーし、陸上型Mk.41からSM-3ブロック2Aを発射、グアム沖の上空にてこれを迎撃しました。海自も参加していたのですね。 こういうのの訓練機会はなかなかないからなあ。
》 WordPress 6.7.1、カテゴリが勝手に複数選択される不具合。特定条件下で発生。当サイトも見事に被弾 (ニッチなPCゲーマーの環境構築Z, 1/6)
》 【重要】【リマインド】ActiveUpdateサーバのコードサイニング証明書更新について (トレンドマイクロ, 1/6)、 ActiveUpdateサーバのコードサイニング証明書更新に伴う影響について (トレンドマイクロ, 1/6 更新)
》 2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測 (トレンドマイクロ セキュリティ blog, 1/6)
》 日本航空で発生した大量データ送付起因のネットワーク障害についてまとめてみた (piyolog, 2024年12月30日)
》 サイバーセキュリティの「有事」に何が必要なのか 〜Locked Shields2024演習参加からの考察〜 (JPCERT/CC, 2024年12月25日)
[引用] 以上2つの特徴/意義を踏まえた上で、こうした演習が何に備えるために行われているのか今一度考える必要があります。冒頭に申し上げた通り、この演習はリアルタイムインシデント対応という現実の世界ではほとんど発生しない事案の対応を行います。》 制御システムセキュリティカンファレンス2025 (JPCERT/CC, 2024年12月19日)。2025年02月05日、ハイブリッド (東京都台東区 + オンライン)、無料 (要登録)。
》 しょせん他人事って言っても若いですなぁ。 (壇弁護士の事務室, 2024年12月25日)。「しょせん他人事ですから」8巻の宣伝。
》 ISO-2022-JPによるXSSの話 (葉っぱ日記, 1/2)
》 お待たせしました!次号発売決定のお知らせ (「冤罪File」編集局公式ブログ, 2024年12月11日)。「2025年3月1日(土)」。
》 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起) (個人情報保護委員会, 2024年12月17日)
》 Apple、「iOS 18.2.1」「iPadOS 18.2.1」をリリース (窓の杜, 1/7)
》 動く実物大ガンダムの"解体"現場に密着 NHK「解体キングダム」で8日放送 (ITmedia, 1/6)。明日。
》 VHS「2025年問題」思い出消滅の危機 迫る耐用年数、データ変換の依頼殺到 (産経 / ITmedia, 1/7)
[引用] 国連教育科学文化機関(ユネスコ)がVHSなど磁気テープに保存された情報が失われる危険性への注意を喚起する「マグネティック・テープ・アラート」を発表したのは令和元(2019)年のこと。一般的にVHSテープの寿命は約20年、長くても30年ほどといわれている。ユネスコのアラートから5年、VHSテープの再生機器や部品は急速に姿を消しており、25年ごろに映像が見られなくなる危険があるという。》 セキュリティソフト「マカフィー」になにが? 公式ブログが"パパ活"の記事を配信 (やじうま Watch, 1/6)
》 元旦に連続発生した自動車による殺傷事件には身元確認が厳密なはずのカーシェアリングサービス「Turo」の車両が使われていた (gigazine, 1/6)
》 最大の脅威は「組織化、ビジネス化するランサムウェア攻撃」。JASAが2025年の情報セキュリティ10大トレンド発表 (Internet Watch, 1/7)
》 Bing、Googleとデザイン激似の検索フォームでユーザーを誘い込んでいることが明らかに (やじうま Watch, 1/7)
[引用] 巧妙なのは、この検索フォームの表示がMicros×ばつ」をクリックすると、この"広告"は非表示になる。今 Edge で確認してみたら、確かに「マイクロソフトによる広告」としてにせ Google が表示されているなあ。Microsoft にとってのセキュリティってどうなってるの? と思って「Microsoft のプライバシーとセキュリティ ポリシーについて」 (Microsoft) を見てみると、
[引用] Microsoft は、お客様が製品を使用している間、セキュリティとプライバシーを保護Bingしています。そもそも日本語が通じていないようだった。 (英語だと「Microsoft is committed to helping protect your security and privacy while you're using Bing products」)
》 「7つの失敗」で振り返る 2024年のAIシーン (MIT Technology Review, 1/3)
Deep Security Agent(Windows版)における不適切なパーミッションによるローカル権限昇格の脆弱性(CVE-2024-55955) (トレンドマイクロ, 2024年12月20日)
Trend Micro Apex One および Trend Micro Apex One SaaS で確認された複数の脆弱性について(2024年12月) (トレンドマイクロ, 2024年12月17日)
「libxml2」にXXE脆弱性 - 利用アプリに影響 (security-next, 2024年12月27日)。 CVE-2024-40896
[引用] 同脆弱性に関しては、現地時間7月24日にリリースされた「libxml2 2.13.3」「同2.12.9」「同2.11.9」にて修正されており、アップデートが呼びかけられている。CVE-2024-40896 Analysis: libxml2 XXE due to type confusion (oss-sec ML, 2024年12月25日)
iTerm2 < 3.5.11 logs input/ouput to /tmp/framer.txt on remote host (oss-sec ML, 2025年01月03日)。iTerm2 3.5.6〜3.5.10 の欠陥。 3.5.11 で修正。
Androidにリモートコード実行の「Critical」な脆弱性 〜2025年1月セキュリティ更新 (窓の杜, 2025年01月07日)