Last modified: Mon Oct 13 14:32:12 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 広がるパレスチナ国家承認、孤立深めるイスラエル (Wall Street Journal, 7/31)。WSJ はイスラエルべったりメディアなので注意。
》 【津波警報 一夜】暑さの中での避難 浮き彫りになった課題は (NHK, 7/31)
[引用] 三重県尾鷲市の郵便局では (中略) 厳しい暑さの中で避難する際には、配達員が使っているたたくと冷たくなる冷却パックが特に役立ったとしています。こういうのですかね: 【徹底比較】瞬間冷却パックのおすすめ人気ランキング【2025年7月】 (マイベスト)。ダイソーはさすがだなあ。
》 津波注意報をすべて解除 気象庁 (NHK, 7/31)
》 パナソニックのエアコン「エオリア」、家電製品として初の「JC-STAR」★1取得 (Internet Watch, 7/31)。リモート家電なので。
》 買い切りだったはずのスマートホームデバイス、年額1万7千円のサブスク強制導入でユーザー反発 (Internet Watch, 7/30)。スマート家電の罠。 ありがちではある。
》 東芝とNEC、NICTが世界初、IOWN APN向けの量子鍵配送(QKD)システムを共同開発 (Internet Watch, 7/30)
》 ユーザーにコマンドを実行させるマルウェア感染手法「ClickFix」の派生版、ファイル選択画面を悪用した「FileFix」 (Internet Watch, 7/30)
》 "1日1万歩"は多すぎた? 歩数と死亡率の関係、豪州チームが調査 (ITmedia, 7/31)
[引用] 分析の結果、1日7000歩が多くの健康において臨床的に意味のある改善と関連することが明らかになった。(中略) 1日1万歩は長年にわたり非公式な目標とされてきたが、明確な科学的根拠に基づくものではなかった。今回の研究では、1万歩でも健康上の利益は継続するものの、7000歩を超えてからの追加的な効果は限定的であることを示した。Apple 方面 (iOS / iPadOS, tvOS, visionOS, watchOS, macOS) (2025年07月30日)
Safari も出ました。
About the security content of Safari 18.6 (Apple, 2025年07月30日)
「WinRAR」が7.13に更新、ディレクトリトラバーサルの脆弱性を修正 (窓の杜, 2025年07月31日)
【解説】 ガザで積みあがる戦争犯罪の証拠、イスラエルの友好国はどうするのか BBC国際編集長 (BBC, 7/24)
トランプ氏、ガザには「本当の飢餓」があると発言 イスラエル首相と食い違い (BBC, 7/29)
ガザで飢饉が「進行中」、国連支援の専門家ら警告 「最悪のシナリオ」 (BBC, 7/30)
イギリス政府、パレスチナ国家承認へ イスラエルが停戦など条件満たさなければ9月に (BBC, 7/30)
[引用] スターマー首相は、イスラエルがパレスチナ・ガザ地区での停戦に合意し、パレスチナ国家と共存する「2国家解決」を実現する持続可能な和平に注力し、国連による支援物資の搬入再開を認めるなど、複数の条件を満たさなければ、9月の国連総会で承認に踏み切ると述べた。関連:
アウシュヴィッツ収容所、解放から80年 「記憶」の風化に生存者らが警告 (BBC, 1/28)。自ら絶滅収容所を建設することで風化を抑止。 アパルトヘイト国家はやる事が違う。
》 Steamのクレカ表現規制、圧力をかけた団体が経緯説明 「無視されたので決済業者に」 (ITmedia, 7/29)。Collective Shout。
Steam Campaign Timeline (Collective Shout, 7/28)
Steam、「決済業者の基準に違反するゲーム禁止」新ルール 一部の成人向けゲーム削除か (ITmedia, 7/17)
インディゲーム配信「itch.io」、成人向けコンテンツを全面非表示に 人権団体・決済業者に緊急対応 (ITmedia, 7/25)
》 トランプ大統領が無償でカタールから譲り受けた航空機、改修費用が約1400億円に上る可能性 (Forbes, 7/30)。でしょうね。
》 ロシア カムチャツカ半島付近で巨大地震 3〜4mの津波観測 (NHK, 7/30)、 【津波速報】北海道〜和歌山沿岸に津波警報 岩手で1m30cm観測 (NHK, 7/30)。 なにしろ M 8.8 - 2025 Kamchatka Peninsula, Russia Earthquake (USGS, 7/29) ということなので、津波が納まるのにまる1日くらいはかかるのでは。
》 「『インターネットは自由だ』と言う人がいるけど、どこが自由なの?」〜ネットの疑問をIIJに聞きました (Internet Watch, 7/30)
[引用] 堂前さん:20年前というと2005年、ブログが流行り始め、Facebookやmixi(どちらも2004年サービス開始)も始まった頃ですね。その頃は、今ほど説明をせず、「もちろん自由です」と言って、納得してもらえたのではないかなと思います。サイバースペース独立宣言は 1996 年、約 30 年前だなあ。 関連:
追悼、ジョン・ペリー・バーロウ──彼は最後まで「インターネットの吟遊詩人」だった (WIRED, 2018年02月10日)。 自伝はこちら: Mother American Night: My Life in Crazy Times (amazon)
「自由の真の代償」と「自由の真価」 〜 サイバースペース独立宣言を越えて (yomoyomoの「情報共有の未来」, 2008年04月16日)。 2008 年時点でこの状況なので。
20年後:インターネットの自由という夢の死 (WirelessWire News, 2015年09月14日)。これが 10 年前。
》 第10回 IoTセキュリティフォーラム 2025 〜テクノロジーに信用を実装し新たな競争力を生みだす時代へ〜。 2025年09月03日〜04、東京都中央区 / オンライン、無料。
[引用] ※(注記)リアル会場でのご参加は席数の限りがあるため招待制といたします。オンライン視聴に関しては制限無くご参加いただけます。リアル参加をご希望の方にはお申込み受領後1週間以内に順次メールにてご案内可否をご連絡いたします。出ました。0-day はないっぽい。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 18.6 and iPadOS 18.6 (Apple, 2025年07月29日)
About the security content of iPadOS 17.7.9 (Apple, 2025年07月29日)
tvOS
About the security content of tvOS 18.6 (Apple, 2025年07月29日)
visionOS
About the security content of visionOS 2.6 (Apple, 2025年07月29日)
watchOS
About the security content of watchOS 11.6 (Apple, 2025年07月29日)
macOS
About the security content of macOS Sequoia 15.6 (Apple, 2025年07月29日)
About the security content of macOS Sonoma 14.7.7 (Apple, 2025年07月29日)
About the security content of macOS Ventura 13.7.7 (Apple, 2025年07月29日)
Safari も出ました。
About the security content of Safari 18.6 (Apple, 2025年07月30日)
Chrome 138.0.7204.183/.184 (Windows / Mac) および 138.0.7204.183 (Linux) 公開。4 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025年07月29日)。Chrome 138 (138.0.7204.179) for Android。
》 証券口座乗っ取り補償で損失計上 SBIは80億円、楽天は10億円 (日経, 7/29)
》 IPAとCRIC SC3、サイバーセキュリティに関する情報共有と協力体制を強化する覚書を締結 (Internet Watch, 7/29)
》 英国、ネットの成人向けコンテンツ閲覧に年齢確認を必須に→VPN契約数が爆発的な伸びを記録 (やじうま Watch, 7/29)
》 「WinGet 1.11」が安定版に 〜フォントを実験的にサポート、32bit ARM対応は終了 (窓の杜, 7/24)
》 台湾民進党「反共リコール」まさかの 0勝25敗 で大失敗
大規模リコールはなぜ失敗したのか 民進党の多正面作戦を医師が分析し浮かぶ10の敗因 (風傳媒, 7/27)
特集》大規模リコールで惨敗 民進党と頼清徳へ民意の鉄槌 (風傳媒, 7/28)
台湾、大規模リコール失敗 頼清徳政権に打撃、2028年総統選「盧秀燕vs陳其邁」の可能性も浮上 (風傳媒, 7/29)
台湾の野党議員リコール投票はなぜ大敗したのか? (遠藤誉 / Yahoo, 7/27)
小笠原欣幸が大罷免を分析:頼清徳の「団結十講」が裏目に、中共の台湾浸透が一層深化する恐れ (風傳媒, 7/27)、 台湾のリコール投票は国民党「全面勝利」 中国の浸透工作進展も 小笠原欣幸・清華大教授 (産経, 7/26)
》 テスラとサムスン、「約2.4兆円規模」の半導体調達を契約 サムスン株は大幅高 (Forbes, 7/29)
いろいろ (2025年07月15日) Apache HTTP Server
Apache HTTP Server 2.4.65 が出ました。 2.4.64 で混入した欠陥 CVE-2025-54090 が修正されています。 2.4.64 の方は更新してください。 iida さん情報ありがとうございます。
Apache HTTP Server 2.4.65 Released (apache.org, 2025年07月23日)、 CHANGES_2.4.65 (apache.org, 2025年07月23日)。セキュリティ修正 1 件。
[引用] SECURITY: CVE-2025-54090: Apache HTTP Server: 'RewriteCond expr' always evaluates to true in 2.4.64 (cve.mitre.org)オゥ......。iida さん情報ありがとうございます。
NVIDIA製GPUドライバーに8件の脆弱性、修正版がリリース (窓の杜, 2025年07月25日)
》 Internet Week 2025 ×ばつ世代 〜フルスタックで"不確実"の先へ。 2025年11月18日〜20 (オンライン) / 25〜27 (東京都墨田区)。
》 原発「空」の防衛に限界 法規制も「強制力」なし 玄海原発"ドローン"侵入 (産経 / ITmedia, 7/28)。 FPV ドローンが 1 ダースもあれば重大事態に発展させることができるのではないかなあ。
[引用] 板橋功・公共政策調査会研究センター長の話 (中略) 原発施設は堅牢(けんろう)で、ドローンによる攻撃を受けても大きな影響はないだろう。甘すぎる見解。関連:
玄海原発「光を放つ三つの飛行体」見つからず、専門家「上空からの侵入リスクが顕在化」 (読売, 7/28)
ツイート
原発って最上階の壁、特に天井薄い。10センチってマンションの床の半分ぐらいしかない(だから福島第一でもあれだけ派手に吹っ飛んだ)。砲撃どころか上からドローンで狙われる程度で使用済み核燃料プールがやばい。東電の事故から類推すれば半径250キロ居住不適になりうる。https://t.co/cRyjK1fAgd pic.twitter.com/Ph7v5Xqavb
— 添田孝史 (@sayawudon) March 15, 2022
》 "最大9割の売上"を過大計上──「AI GIJIROKU」のオルツ、循環取引発覚 売上高119億円、広告宣伝費115億円を虚偽申告 (ITmedia, 7/28)
》 「全焼するぞ」......京都の芸能神社がXで大炎上 警察沙汰に発展した生成AIイラストの賛否 (産経 / ITmedia, 7/25)
[引用] 中には看過できない内容もあった。「お前のクソ神社いつか原因不明の火事で全焼するぞ」。燃え盛る炎の画像が添付されており、神社側は警備や見回りの強化などを迫られた。関連:
「原因不明の火事で全焼するぞ」メールで車折神社を脅迫、容疑で38歳無職男逮捕 「生成AI絵師」で立腹 (京都新聞, 7/3)
京都「車折神社」に脅迫メールで「38歳無職の男」が逮捕...「生成AI」反対派はなぜ過激化するのか 渦中のイラストレーターが明かす"常軌を逸した"誹謗中傷の中身 (デイリー新潮, 7/10)。「今回、渦中の人となったAI絵師のグラハム氏に話を聞いた」。
》 グーグル検索、AIで消滅どころか適応力発揮 (Wall Street Journal, 7/25)。G は簡単には死なない。
》 エプスタイン疑惑で追いつめられるトランプ政権:アストロターフィングの末路 (伊東 乾 / JBpress, 7/26)
[引用] 2016年時点でトランプ氏は「バラク・オバマこそがディープステートの指導者」などと公言して憚りませんでした。関連:
エプスタイン文書にトランプ氏の名前、5月に司法省が本人に伝える (Wall Street Journal, 7/24)
エプスタイン元被告の協力者、恩赦要望か 弁護士が司法副長官と面会後に示唆 (CNN, 7/26)
エプスタイン問題、米2議員が国民信頼損ね共和党に選挙で打撃と警告 (ロイター, 7/28)
》 GPSに代わる航空機の新航法、地球磁場の異常に着目 (Wall Street Journal, 7/225)。量子センシング。
関連: 「第2の量子革命」 商用化が近づく量子センサー (EE Times, 3/25)
》 チャットGPT、危険な妄想を助長 自ら認める (Wall Street Journal, 7/28)。すさまじい。
[引用] 生成AI(人工知能)チャットボット「チャットGPT」はジェイコブ・アーウィンさん(30)に、あなたは時間を曲げる能力を手に入れたと告げた。》 中国のレアアース圧力に直面した日本、米国の教訓に 2010年の対立後に供給源の多様化模索も、依然として中国に依存 (Wall Street Journal, 7/28)
[引用] 日本が政策上の問題に対して行動を起こすまでに10年以上かかった。JOGMECと双日は2023年、ライナスに2億豪ドル(約194億円)を追加出資した。ライナスは最近、ジスプロシウムとテルビウムの生産を開始しており、合意に基づき最大65%が日本向けとなっている。》 林官房長官「遺憾、韓国に申し入れ」 韓国軍機、防空識別圏に進入 (毎日, 7/25)。こちらの件:
韓国軍の輸送機 嘉手納緊急着陸 (琉球新報, 7/15)。7/13 に韓国軍 C-130 が嘉手納に緊急着陸。
韓国軍輸送機 緊急着陸中に日本防空識別圏侵入=空自戦闘機出動 (ハンギョレ, 7/24)。当該 C-130 はグアムに向かっていたが天候悪化により嘉手納に緊急着陸。事前通告がなかったため空自がスクランブルしたと。
》 韓国外相候補「米国と協議して原子力潜水艦保有、原子力協定改正を検討」 (ハンギョレ, 7/18)
》 トランプとエプスタインの接点、わかっていること 結婚式から「小さな黒い手帳」まで (Forbes, 7/25)
酷暑の欧州でエアコンが極端に少ない理由 (CNN, 7/3)
猛暑の欧州、エアコン巡る政治論争熱く (Wall Street Journal, 7/24)
[引用] 環境保護活動家や科学者の間では、エアコンに過度に頼らなくても涼しく過ごすことはできるとの見方もある。例えば、建物や街路に緑を増やすことで、都市部における極端な気温上昇を緩和することができる。また、風通しを良くする設計を建物に取り入れたり、日差しを遮るシャッターを取り付けたりすれば、エアコンの必要性を低下させることができる。低下させることができるけれど 0 にはならんのだよなあ。 この状況では特に。
え、ウソでしょ?気温40°C超のパリで「エアコンが使えない」理由が"パリすぎて"ドン引きした (ダイヤモンド online, 7/25)
[引用] 建造物そのものが観光遺産のパリにあって、テラスに室外機を設置するには行政と共同所有者の許可を得る必要がある(2025年3月13日 Le Figaro)。住民は扇風機を使ってしのぐのが実情。プチホテルなどと呼ばれてイメージのいい宿泊施設も当然エアコン設備がなくても不思議ではない。フロント係が扇風機を貸してくれるくらいだ。注文殺到...急ピッチでエアコン設置 灼熱の暑さ40°Cに迫る北海道 (テレ朝, 7/24)
40°Cに迫る北海道 クーラー無し世帯が6割で命の危機に (テレ朝, 7/22)
猛暑の北海道、エアコン技術者不足 パナソニックやダイキンが育成 (日経, 7/25)。 生産は 5 割自動化できても、 取り付けは 10 割人力だからなあ。
》 「黒い」ブルースクリーンと「クイック マシン リカバリー」が一般提供開始 「Windows 11 24H2」の2025年7月プレビューパッチ「KB5062660」で (窓の杜, 7/23)。BSOD Mk-II。
》 警察庁、銀行4行と特殊詐欺の被害拡大防止のため「情報連携協定書」締結 (Internet Watch, 7/23)
》 全長1m、ウクライナがドローン搭載可能な「極小空母」を開発 (Forbes, 7/24)
[引用] ウクライナはすでに同様の無人ボート(無人水上艇=USV)を実戦で使用しており、USVからドローンを発進させるのはいまでは普通になっている。》 Wi-Fi HaLowやStarlinkでスマート農業 IIJらが2種類の農業ロボット開発へ (Business Network, 7/23)、 農業ロボットや無線、AI等先端技術を活用した省力化稲作支援サービスの実証プロジェクトを開始 (IIJ, 7/23)。いよいよロボットに進出ですか。
》 2010年放送のアニメ『怪盗レーニャ』公式サイトがオンラインカジノ紹介サイトになっていた...ドメイン放棄後に別の業者が再取得する問題、どうにかならないのか (togetter, 7/23)。コンテンツはともかく、ドメイン名については、持ち主が不要だとしたもののリサイクルなのでねえ。
関連: ドメイン名のライフサイクルマネジメント 〜最近の事例とともに〜 (Internet Week 2024 DNS DAY / JPNIC, 2024年11月26日)
[引用] ドメイン名とはその組織における出ました。Thunderbird 141.0 / 140.1.0esr / 128.13.0esr も出ています。
Firefox 141 がリリースされた (mozillaZine, 2025年07月24日)
Firefox for Android 141 がリリースされた (mozillaZine, 2025年07月24日)
Thunderbird 141 がリリースされた (mozillaZine, 2025年07月24日)
Firefox 141.0.2、Firefox for Android 141.0.2、Thunderbird 140.1.1esr が公開されました。セキュリティ修正はありません。
Firefox 141.0.2、Firefox for Android 141.0.2 がリリースされた (mozillaZine, 2025年08月06日)
Thunderbird 140.1.1esr がリリースされた (mozillaZine, 2025年08月06日)
》 9,573個ものRFCドキュメントをDifyで全部取り込んでみた話 (IIJ engineers blog, 7/22)
》 拍手の正体、両手がぶつかりあう音じゃなかった 実験3年で明らかに (朝日, 7/21)。マジか。
》 約3ミリの"極小イヤホン"を耳に...TOEIC不正受験問題の手口明らかに 中国籍・京大院生を再逮捕 組織的なカンニングか (TBS / Yahoo, 7/22)。「中国籍で京都大学大学院生の男」。関連:
TOEICで組織的カンニングか、中国籍の京大院生を会場侵入疑いで逮捕...マスク内側に小型マイク「報酬目的だった」 (読売, 5/19)
[引用] 運営法人「国際ビジネスコミュニケーション協会」(中野区)から「別の名前で受験を繰り返している同じ顔の人物がいる」と相談を受け、同署が警戒していた。容疑者が他人の名前を書いた書類を受付に出し、替え玉受験が発覚した。TOEICなりすまし事件、同じ住所の受験者多数か 京大院生再逮捕 (朝日, 6/6)
京大院生の「TOEIC替え玉受験」逮捕で中国不正業者に新たな動き、今度は"TOEFL訪日カンニングツアービジネス"に移行か 中国SNSに点数保証を謳う広告急増 (週刊ポスト / Yahoo, 7/19)
》 山手線発火事故「自社製品の可能性」 cheero、リコール対象のモバイルバッテリー「探しています」と再告知 (ITmedia, 7/23)。「cheero Flat 10000mAh」。
関連: JR山手線内モバイルバッテリー出火 出火したバッテリーはリコール対象の製品 (TBS, 7/22)
》 実は怖いスマートメーター? 電力消費の多い家庭の情報を、電力会社が警察に提供していた事例が発覚 (Internet Watch, 7/23)
》 リコールのAnker製モバイルバッテリーをCTスキャンで解析、海外検査会社がレポートを公開 (Internet Watch, 7/23)
》 山形新幹線 E8系車両故障の調査結果と対策及び今後の運転計画について (JR東, 7/22)
[引用] 特定の時期以降に製造された半導体素子では、半導体素子を制御する電流が従来の補助電源装置より高くなることが確認されました特定ロット以降の素子製造に問題があったということなのか、それとも、 素子の仕様的には公差の範囲内なのだが使い方が悪かったということなのか。 よくわからん。
[引用] これにより、制御基板に想定よりも高い電流が流れたことに加え、周囲温度上昇も影響したことで、制御基板内の制御回路にある保護素子が誤動作し、半導体素子の損傷に至ることが確認されましたその状況で保護素子が動作するのは仕様ではないのか? どういう設計なんだ? よくわからん。誰かそのあたりを記者会見で確認していないのか?
[引用] E8系の補助電源装置において、制御基板の制御回路が半導体素子を制御する電流の違いや回路の周囲温度の上昇に対しても誤動作しないよう、制御回路の保護素子の設定を見直します。んん?! 設定を見直す?! そんな対応で ok なの?! どういう設計なんだ?!
》 訪日客向け「白タク」職務質問→その場で摘発 捜査の新手法が効果 (朝日, 7/23)
》 ロボティクスにおけるGNSS失敗学 (日本ロボット学会誌, 2019年09月16日)。マルチパス等への対策。
》 求心力を失うロシア、旧ソ連の軍事同盟は崩壊に向かうのか? (Forbes, 7/22)。CTSO。
ロシア・アゼルバイジャン関係悪化の波紋 (NHK, 7/10)
「撃墜認めよ」アゼルバイジャンがロシアを国際提訴へ 旅客機墜落で関係悪化進む (産経, 7/20)
緊迫するロシア・アゼルバイジャン情勢、世界が無視すべきではない理由 (Forbes, 7/21)
[引用] ロシアにとっての脅威は、旧植民地がソビエト連邦崩壊後の依存から脱却することだけでなく、ロシア国内のタタールスタン共和国やブリャート共和国などのトルコ系民族地域が追随するようになれば、国内情勢が不安定化する可能性があることだ。アゼルバイジャン大統領がウクライナに「降伏するな」...対露批判鮮明、露を国際司法機関に提訴準備も (読売, 7/22)
Chrome 138.0.7204.168/.169 (Windows / Mac) および 138.0.7204.168 (Linux) 公開。3 件のセキュリティ欠陥を修正。関連:
Chrome for Android Update (Google, 2025年07月22日)。Chrome 138 (138.0.7204.168) for Android。
》 従来の常識が通用しない! "AI詐欺"が私たちの生活に入り込んでくる――防衛術はあるのか? (Internet Watch, 7/18)
「Node.js」でセキュリティアップデートが実施、v24.4.1、v22.17.1、v20.19.4が公開 (窓の杜, 2025年07月22日)
解凍・圧縮ソフト「7-Zip」にヒープバッファーオーバーフローの脆弱性、GitHubが報告 (窓の杜, 2025年07月22日)。7-Zip 25.00 で修正。
7-Zip 25.00 には上記とは別に 2 件のセキュリティ修正が含まれていたことが明らかに。
2025 年 7 月のセキュリティ更新プログラム (月例) (2025年07月10日)
今回修正された Sharepoint の CVE-2025-49704 CVE-2025-49706 は Pwn2Own ねたで、ToolShell と呼ばれているのだそうで。 そして ToolShell の改訂版が登場し CVE-2025-53770 CVE-2025-53771 、各地の Sharepoint (オンプレミス版) を実際に攻撃しているのだそうで。
Customer guidance for SharePoint vulnerability CVE-2025-53770 (Microsoft, 2025年07月19日)。 主に CVE-2025-53770 についてだが、 CVE-2025-53771 についても言及されている。
SharePoint Server のオンプレミス版に 0-day 欠陥。 SharePoint Server 2019 / 2016 / サブスクリプション版 について更新プログラムが提供されている。 「2016 についてはまだない」と書かれている文書は情報が古いので注意。 Windows Update では配布していないっぽいので、 個別にダウンロードし適用する必要がある。
緩和策はこちら:
[引用]AMSI を有効にし AMSI 対応のアンチウイルス製品を使うのが吉のようで。 Configure AMSI integration with SharePoint Server (Microsoft, 2025年03月12日)。日本語ページは情報が古いっぽいので、 英語版ページがよさげ。
Customer guidance for SharePoint vulnerability CVE-2025-53770 (Microsoft, 2025年07月19日) のうしろの方に、 侵入された場合の痕跡を調べる方法も記載されてますね。
SharePoint Zero-Day CVE-2025-53770 Actively Exploited: What Security Teams Need to Know (Check Point, 2025年07月21日)
[引用] Check Point Research found that the first exploitation attempts were observed on July 7th. The target of the attack is a major Western government. The attacks only intensified on July 18th and 19th, using infrastructure tied to the following IP addresses:CVE-2025-53770 - Zero-day exploitation in the wild of Microsoft SharePoint servers (Rapid7, 2025年07月21日)
[引用] Initial access begins with a specially crafted POST request to the vulnerable SharePoint endpoint: /_layouts/*/ToolPane.aspxMicrosoft Fix Targets Attacks on SharePoint Zero-Day (Krebs on Security, 2025年07月21日)。ヤラレ事例が確認されているようです。
[引用] The Washington Post reported on Sunday that the U.S. government and partners in Canada and Australia are investigating the hack of SharePoint servers, which provide a platform for sharing and managing documents. The Post reports at least two U.S. federal agencies have seen their servers breached via the SharePoint vulnerability.Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770) (CISA, 2025年07月20日)
参政党が躍進してしまいました。なんてこったい。
参議院選挙2025 当選者 参政 (読売)
参政党の躍進は何を示すのか? 極右化「フランス」との共通点、上智大・稲葉教授「シンボリックな変化が起こる」 (弁護士ドットコム, 7/21)。 日本の場合、そもそも自民党が極右なので、 既に起きてしまっているわけで。 参政党はさらに極端な奴来たなということなんだよな。
ツイート
参政党は、神谷氏は「ビジネス極右」と感じていますが、それを有り難がる取り巻きや支持者が極右だと、「ビジネス」のはずが党首も自己陶酔を始めかねない。というわけで、党首・党員・支持者もろとも既に「極右」だとも言えます。差別・排他でないなら、右でも左でもどっちでもいいが、参政党は違う。 https://t.co/CzfFS02RXH
— 藤原亮司 (@JP_Fujiwara) July 21, 2025
こういう時代が来ましたね。 https://t.co/UcsNiskvhg
— マライ・メントライン@職業はドイツ人 (@marei_de_pon) July 21, 2025
#映像の世紀 高精細スペシャル
— 映像の世紀バタフライエフェクト (@nhk_butterfly) July 21, 2025
「ヨーロッパ2077日の地獄」
第1部 ドイツ国民は共犯者となった 1939-1940
今夜10時 NHK総合#第二次世界大戦 の埋もれていた真実に
高精細カラー映像で迫る特別編。
▼配信https://t.co/T8WyZZAqCl #ドイツ #ヒトラー #ナチス #電撃戦 #ダンケルク pic.twitter.com/yJX1szHQQ0
その他
参議院選挙2025 当選者 立民 (読売)。 この状況でも伸び悩むというのがアレすぎるが、 森裕子氏が帰ってきたのは率直にうれしい。
参議院選挙2025 当選者 社民 (読売)。おぉ、社民党が生き残った。 すばらしい。
参議院選挙2025 当選者 維新 (読売)。おぉ、石平氏が当選している。
参議院選挙2025 当選者 れいわ (読売)。伊勢崎賢治氏って、あの伊勢崎賢治氏ですよね。 しかも [特定枠] だったのですね。うひー。
参議院選挙2025 当選者 自民 (読売)。 親ロでおなじみの 鈴木宗男 氏が土壇場ですべり込みですか。 「国民に主権があることがおかしい」でおなじみの 西田昌司氏も生き残ってしまったし。 はぁ。 佐藤正久氏は生き残れず。さようなら。
ツイート
オードリー・タンは「技術を使いこなす思想家」で安野さんは「思想を持たない技術屋」だと思ってる。タン氏のような人権意識や社会問題への深い理解は安野さんにはない、もう根本から違う https://t.co/iJnzXUMr44
— Nat (@sthlm_tokyo) July 20, 2025
「チームみらい」は、イエ制度を肯定し、復活させようとしています。
— 宇宙の父 (@Booskachan_Ver2) July 21, 2025
ようするに高橋史朗の精神が宿っています。
(・ω・) シロウ https://t.co/rn2Lr2TuUQ pic.twitter.com/HozfaX5R7w
Active! mail 6の脆弱性に関する重要なお知らせ (クオリティア, 2025年07月02日)。 XSS CVE-2025-52462、 CSRF CVE-2025-52463。 BuildInfo:6.61.01008654 以降で修正されている。
Active! mail 6の脆弱性に関する重要なお知らせ (2025年04月18日)
関連:
IIJに行政指導、4月発表の不正アクセス巡り 総務省 (ITmedia, 2025年07月18日)
》 トランプ氏、エプスタイン元被告の誕生日祝っていた 下品な手紙で 大統領は手紙が偽物だとコメント (Wall Street Journal, 7/18)
》 西側から技術引き出す中国の取り組み:当事者の証言 (Wall Street Journal, 7/17)
》 GrokのAI金髪美少女"好感度アップで脱衣"、月30ドルの有料会員限定に (ITmedia, 7/16)。有料ギャルゲーでした。 1日あたり換算だと「1ドルで楽しむべ〜」((C)ロボコップ) ということか。
》 警察庁がランサムウェア対抗ツールを公開、ただし現在、マルウェア判定されてしまう状態 (窓の杜, 7/18)。おいおい警察庁、コード署名くらいしろよ! これじゃあマルウェア判定されても仕方がないよ。
Windows向けクライアント用プログラムで報告されている脆弱性への対応について(CVE-2025-2425) (キヤノン ITS, 2025年07月17日)。ESET の Windows 向け各種セキュリティ製品に TOCTOU 競合状態を招く欠陥がある。 CVE-2025-2425
V18.2 で修正されているので更新すればよい。
元ねた: [CA8840] ESET Customer Advisory: TOCTOU race condition vulnerability in ESET products on Windows fixed (ESET, 2025年07月16日)。DeepL 訳:
[引用] 攻撃者は、NTFS ファイルシステムのプロパティを利用することで、インストールされている ESET セキュリティソフトウェア (以下の「影響を受ける製品およびバージョン」を参照) を使用して、任意のファイルの内容をクリアすることが可能です。 これは、同名の重複ファイルを検出した際(およびクリアされる前)に、ファイルハンドルをスワップすることで実現可能です。》 エア・インディア機墜落事故、機長が燃料スイッチ切った可能性 (Wall Street Journal, 7/17)。「機長、やめてください!」の世界なのだろうか。
》 「猛暑でIntel製CPU搭載PCのクラッシュが増加している」とFirefox開発者が報告 (gigazine, 7/17)。特に Core i9 14900KF(family 6 model 183 stepping 1) がひどいそうで。
[引用] Firefoxにはクラッシュ時に自動的にレポートを送信する機能がありますが、当該モデルからのクラッシュ報告が多すぎるためレポート送信を無効化したそうです。》 【第2報(終報)】 不正アクセスによるシステム障害について (東海大学, 7/17)
[引用] <暗号化された情報>認証システムと web サーバーをやられた、ということなのかなあ。
Oracleが定例セキュリティ更新を実施 〜Java、MySQL、VirtualBoxなどで309件の脆弱性を修正【7月17日追記】 (窓の杜, 2025年07月16日)
VMSA-2025-0013: VMware ESXi, Workstation, Fusion, and Tools updates address multiple vulnerabilities (CVE-2025-41236, CVE-2025-41237, CVE-2025-41238, CVE-2025-41239) (broadcom, 2025年07月15日)
関連: VMware and Pwn2Own 2025 - Berlin (VMware, 2025年07月15日 更新)。Pwn2Own ねただったのですね。
BIND 9.20.x / 9.21.x に欠陥。serve-stale-enable yes かつ stale-answer-client-timeout 0 の場合に (デフォルトは serve-stale-enable no かつ stale-answer-client-timeout off のようだ)、 特定の状況にある CNAME チェーンの名前解決処理において異常終了する。 CVE-2025-40777
BIND 9.20.11 / 9.21.10 で修正されている。また serve-stale-enable no あるいは stale-answer-client-timeout off を設定することで回避できる。
なお、BIND 9.20 では stale-answer-client-timeout は off か 0 しか取れない (0 ではない数値を設定しても警告を吐いて 0 にされる) ようです。BIND 9.20 Release Notes
[引用] BIND 9 no longer supports non-zero stale-answer-client-timeout values, when the feature is turned on. When using a non-zero value, named now generates a warning log message, and treats the value as 0. [GL #4447]》 参政党を支えたのはロシア製ボットによる反政府プロパガンダ (山本一郎 / note, 7/15)
[引用] 現在、もっぱら参政党の主張に合わせる形でロシア製ボットが多くのユーザーに対して偽情報や印象操作を拡散していますが、彼らの目的はあくまで「日本政治や社会が不安定化するよう、偽情報や印象操作で国民を怒らせる」ことですので、その発言者が参政党だろうが国民民主党だろうが日本保守党だろうがどこだろうと構わないのです。ただ、今回の参院選では明らかにロシア製ボットの運営者は国民民主党を見捨て、参政党を使って反社会的な言動を煽っている作戦に出ているように見えます。関連:
ロシア製botによる世論操作に関与? 「Japan News Navi」など複数のXアカウントが相次ぎ"凍結" (ITmedia, 7/16)
[引用] 凍結の理由は明かされていないが、Xではbotネットなどの自動化を利用したトレンド操作などは規約違反となる。》 A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers (propublica, 7/15)。DeepL 訳:
[引用] マイクロソフトは、国防総省のコンピューター・システムのメンテナンスに中国のエンジニアを利用しており、米国人による監視は最小限に抑えられている。そりゃ驚くよなあ。他の政策との整合性が取れていない。
》 紅茶が大流行→死亡率が大幅に減少 18世紀イギリスで何が起きた? 米国チームが23年に研究 (ITmedia, 7/16)
[引用] 結論から言うと、産業革命期の英国では、紅茶を入れるために水を沸騰させる習慣が広まったことで、結果的に水系感染症が減少。死亡率の大幅な低下につながっていたという。》 中国軍、太平洋で軍事力を誇示 (Wall Street Journal, 7/16)
[引用] 豪ニューサウスウェールズ大学キャンベラ校の海軍研究の非常勤研究員、ジェニファー・パーカー氏は「問題は(中国が)遠洋能力を高め、自国沿岸から遠く離れた場所に展開していることではない。それは予想されたことだ」とし、「問題は、挑発的な方法でそれを行っていることだ」と述べた。》 日米豪、合同演習を年々拡充 中国の脅威念頭に (Wall Street Journal, 7/15)
[引用] 日米豪は11日、防衛力向上に不可欠となりそうな給油やミサイルシステムの再装弾などの活動を含む海軍後方支援の新たな協定を結び、3カ国の協力を一段と強化した。これか: 日米豪海上部隊物流協定。
日米豪物流協定締結で独と争う豪州のフリゲート艦受注に追い風! (ミリレポ, 7/14)
[引用] 11日金曜、海上自衛隊の星直也海上幕僚監部装備計画部長、米海軍のジェフ・ジャブロン海軍作戦部副司令官中将、オーストラリア海軍のキャサリン・ローズ准将は、オーストラリアのブリスベン港を訪問中のUSSアメリカ(LHA-6)艦上で、新協定の調印式に出席し、「日米豪海上部隊物流協定」に署名しました。どこで撮ってる写真なんだ? と思ったら、LHA-6 アメリカの艦内でしたか。 なかなかに象徴的ですね。
現在、海自の補給艦から US 海軍艦艇に燃料輸送とかを日常的に行っているようですが、 これでオーストラリア海軍艦艇にも同様にできたりするんですかね。
》 (第三報)毒性の疑いのある植物の生育について (北海道大学, 7/15)
[引用] 上記の経緯に基づき、今回発見・報道された植物は、「一部の文献に従うとコモン・ホグウィードに類似する一方で、ジャイアント・ホグウィードやコモン・ホグウィードなどの複数の類似種間の差異を把握できないことから同定不可能」と結論しました。 (中略) 外来種であることは間違いありません。》 Windows11 / 10でWinRing0ドライバを使用するアプリを引き続き使用する方法 (ニッチなPCゲーマーの環境構築Z, 7/16)
Chrome 138.0.7204.157/.158 (Windows / Mac) および 138.0.7204.157 (Linux) 公開。6 件のセキュリティ修正を含む。内 1 件 CVE-2025-6558 が 0-day。関連:
Chrome for Android Update (Google, 2025年07月15日)。 Chrome 138 (138.0.7204.157) for Android。 上記と同様のセキュリティ修正を含む。
Chrome Stable for iOS Update (Google, 2025年07月15日)。 Chrome Stable 138 (138.0.7204.156) for iOS。 上記と同様のセキュリティ修正を含むか否かは不明。
》 秀和システムの出版事業はトゥーヴァージンズグループへ 新社名は「秀和システム新社」 (ITmedia, 7/15)
》 Grok、"金髪ツインテ"の美少女キャラと会話できる機能登場 「新時代のギャルゲー」との声も (ITmedia, 7/15)
[引用] Xユーザーの投稿によると、Aniはこの"好感度"によってふるまいを変更。"好感度"を高めると、下着姿を見せるといった演出もあるという。あらまあ、ほんとうにギャルゲーなのですね......。
》 AIベースのセキュリティツールを自然言語で誤認させ、良性判定するよう仕向けるマルウェアが発見される (Internet Watch, 7/15)。「プロンプトインジェクションを組み込んだマルウェア」。
》 中国業者の仕業? 注文していないAmazonの商品が1年にわたって届き続けた一般家庭の悲劇 (やじうま Watch, 7/15)
》 一部の広告ブロッカーでは、問題のある広告がより多く表示されてしまうとの調査結果 (やじうま Watch, 7/14)、 Ad blockers may be showing users more problematic ads, study finds (NYU, 7/9)。DeepL 訳:
[引用] 米国とドイツの1,200以上の広告を分析したこの研究では、Adblock Plusの「容認できる広告」機能を使用しているユーザーは、広告ブロックソフトを使用せずにブラウジングしているユーザーと比較して、13.6%も問題のある広告に遭遇していることがわかりました。正直者は馬鹿を見る、ということですかねえ。
》 無償の高機能ペイントアプリ「Krita 5.2.10」が公開 〜「WeChat」など悪質アプリに対策 (窓の杜, 7/15)
[引用] なお、ファンクションキーが12個以上あるキーボードを備えたデバイスでは、既定で[F12]キー以降を無視する処理が追加されているとのこと。これは「WeChat」などのアプリがフォーカスを得るため、定期的に偽の[F22]キー入力を送信する問題に対処するためだという。必要であれば「kritarc」ファイルに「ignoreHighFunctionKeys=false」という行を追加することで、この対策を無効化することも可能だ。》 Stable Diffusionで「性的に露骨なコンテンツの生成」が禁止に、Stability AIが利用規約を改定 (窓の杜, 7/15)
[引用] 今回の改定では、禁止条項として「合意のないヌードや違法なポルノコンテンツを作成すること」のみを明示している現在の利用規約に対し、「同意のない性的画像(NCII)」「違法なポルノコンテンツ」に加えて「性交、性行為、または性的暴力に関連するコンテンツ」の条項が明記された。生成AIの悪用例のひとつである「性的ディープフェイク」問題への対策強化といえる。》 「夫なぜ死んだ」遺族の怒り 検察の本音と裁判官の保釈実務の実態 大川原化工機冤罪事件 (TV 朝日, 6/25)。長期勾留を許している裁判官の問題。
[引用] 東京地裁の場合「令状部」という部署があり、およそ10人の裁判官がその日の「保釈担当」や「勾留担当」を決め、当番制で仕事を回している。令状部が設置されているのは、全国で東京と大阪など都市圏にある裁判所のみで、1日で多くの事件を処理しなければならないという特殊性を鑑みたもの。取り扱う事件数は多い時で1日10件以上に及び、とにかく"スピード処理"が求められるわけだ。そもそも人間には判断不能な話になっている模様。 長期勾留そのものを禁止するのが筋であろ。
》 角川元会長 長期間勾留訴訟「大川原化工機」遺族の陳述書提出 (NHK, 7/14)。長期勾留が冤罪の素なんだよな。
》 「大川原化工機事件」はなぜ起きたのか?NHKスペシャル『"冤罪"の深層〜警視庁公安部・内部音声の衝撃〜』と著書『追跡 公安捜査』がひも解く公安警察の闇 (Wedge, 6/23)
》 脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈 (MIT Technology Review, 7/15)。CVE の件。
JVNVU#91930855 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2025年07月14日)
Changes with Apache 2.4.64 (Apache.org, 2025年07月11日)。iida さん情報ありがとうございます。
速やかに更新するのがよさげ。
Apache HTTP Server 2.4.65 が出ました。 2.4.64 で混入した欠陥 CVE-2025-54090 が修正されています。 2.4.64 の方は更新してください。 iida さん情報ありがとうございます。
JVNVU#91378143 Apache Tomcatにおける複数の脆弱性 (JVN, 2025年07月14日)。3 件 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506
GigabyteマザーボードのUEFIモジュールに複数の脆弱性 〜JVNが注意喚起 (窓の杜, 2025年07月15日)
2025 年 7 月のセキュリティ更新プログラム (月例) (2025年07月10日)
Windows 11 / Server 2025 + Azure仮想マシン の環境で不具合があり、KB5064489 で修正されたそうです。 ただし Windows Update カタログからしか入手できません。
July 13, 2025—KB5064489 (OS Build 26100.4656) Out-of-band (Microsoft, 2025年07月13日)
[引用] [Fix for Azure Virtual Machines with Trusted Launch disabled] This update addresses an issue that prevented some virtual machines (VMs) from starting when Virtualization-Based Security (VBS) was enabled. It affected VMs using version 8.0 (a non-default version) where VBS was offered by the host. In Azure, this applies to standard (non-Trusted Launch) General Enterprise (GE) VMs running on older VM SKUs. The problem was caused by a secure kernel initialization issue.Azure仮想マシンが起動しない不具合。Windows Server 2025とWindows11 24H2に影響。KB5062553に起因。修正更新プログラムKB5064489を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2025年07月15日)
[引用] このほか、トラステッド起動を有効にする(※(注記)英語ページ。日本語ページもありますが機械翻訳)ことでもこの不具合を回避できます。Windows11を実行している仮想マシンは、トラステッド起動が必須であるとMicrosoftは述べてます。》 ロシア軍に「ソーラー充電ドローン」出現 待ち伏せ型の新たな進化 (Forbes, 7/11)
》 エア・インディア機墜落事故、パイロットの行動など調査 (Wall Street Journal, 7/11)
[引用] 関係者らによると、予備的な調査結果では、2基のエンジンへの燃料供給を制御するスイッチが切られ、離陸直後に推力が失われたことが示されている。パイロットはこのスイッチを使用してエンジンを始動、停止、または緊急時にリセットする。関連: インド当局、エア・インディア機墜落に関する報告書を週内に公表へ (ブルームバーグ, 7/9)
》 大企業に潜り込む工作員、増加中──北朝鮮ITワーカーの手口 採用面接もAIで突破、実績アピールの偽装SNSも (ITmedia, 7/10)
2025 年 6 月のセキュリティ更新プログラム (月例) (2025年06月16日)
DHCP サービスの件、2025.07 定例アップデートで修正されたそうです。
June 10, 2025—KB5060842 (OS Build 26100.4349) (Microsoft, 2025年06月10日)。Windows Server 2025 用。
[引用] Known issues in this update - DHCP Server Service》 It's EFF's 35th Anniversary (And We're Just Getting Started) (EFF, 7/10)
》 トランプ政権の移民摘発、背後に巨大ビジネス (Wall Street Journal, 6/7)
》 黄海が新たな火種に、中国領有権主張の動きか 韓国警戒 (Wall Street Journal, 7/7)、 中国が黄海に「養殖施設」設置 領有権主張に向けた布石か、韓国で懸念広がる (共同 / 産経, 4/7)
》 ロシア経済、危険信号が点滅 (Wall Street Journal, 7/7)
》 ウクライナのドローン戦、光ファイバーで一変 (Wall Street Journal, 7/10)。やっぱり有線。
》 有人戦闘機と行動する"遠隔操作無人機" スバルが防衛装備庁に実験機を納入 編隊飛行の動画も (ITmedia, 7/9)
》 ランサムウェアの身代金を支払ったこと、秘密にしてちゃダメ!? 被害者からの報告を義務化する法律が発効〜豪州で世界初 (Internet Watch, 7/8)
》 A few interesting and notable ssh/telnet usernames (SANS ISC, 7/6)
》 Setting up Your Own Certificate Authority for Development: Why and How. (SANS ISC, 7/9)。DeepL 訳:
[引用] 最も簡単で安価に始められるのは、Smallstepが提供するオープンソースのソリューションだ。 Smallstepはまた、サポートや追加の統合機能を望むなら、いくつかの商用ソリューションも提供している。 おまけ」として、SSH証明書の管理にも使えます。Adobe Experience Manager (AEM) Forms と ColdFusion が Priority: 1、その他は Priority: 3。
「Zoom」に複数の脆弱性 〜情報漏えいやサービス拒否などの恐れ (窓の杜, 2025年07月09日)
分散型バージョン管理システム「Git」に7件の脆弱性 〜Windows版にも対策版【17:30追記】 (窓の杜, 2025年07月09日)。 Git for Windows 2.50.1 / 2.49.1、 MinGit for Windows 2.47.3 で修正されているそうで。
今月はAndroidのセキュリティパッチなし 〜2025年7月のセキュリティ情報が公開 (窓の杜, 2025年07月08日)
Microsoft 2025.07 更新出ました。 130 Microsoft CVE + 10 non-MS CVE。先月のほぼ倍じゃん。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い (計 14)。
[引用]0-day は 1 件。
Microsoft SQL Server Information Disclosure Vulnerability CVE-2025-49719 (Microsoft, 2025年07月08日)。情報のみ。
DHCP サービスの不具合は今回修正されたそうです。
MS、DHCPサーバーサービスが応答しなくなる不具合をやっと修正。Windows Serverシリーズで発生していた不具合 (ニッチなPCゲーマーの環境構築Z, 2025年07月09日)
July 8, 2025—KB5062553 (OS Build 26100.4652) (Microsoft, 2025年07月08日)。Windows Server 2025 用。
[引用] [DHCP Server (known issue] Fixed: An issue in which the DHCP Server service might intermittently stop responding and affects IP renewal for clients.関連:
Microsoft Patch Tuesday, July 2025 (SANS ISC, 2025年07月08日)
【Windows11】 WindowsUpdate 2025年7月 不具合情報 - セキュリティ更新プログラム KB5062552 / KB5062553 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2025年07月09日)
【Windows10】 WindowsUpdate 2025年7月 不具合情報 - セキュリティ更新プログラム KB5062554 (ニッチなPCゲーマーの環境構築Z, 2025年07月09日)
Windows11 24H2、ファイアウォール関連の不具合は直っていないとの報告。KB5062553インストール後も発生 (ニッチなPCゲーマーの環境構築Z, 2025年07月10日)。表示上の問題のみ。
Windows 11 / Server 2025 + Azure仮想マシン の環境で不具合があり、KB5064489 で修正されたそうです。 ただし Windows Update カタログからしか入手できません。
July 13, 2025—KB5064489 (OS Build 26100.4656) Out-of-band (Microsoft, 2025年07月13日)
[引用] [Fix for Azure Virtual Machines with Trusted Launch disabled] This update addresses an issue that prevented some virtual machines (VMs) from starting when Virtualization-Based Security (VBS) was enabled. It affected VMs using version 8.0 (a non-default version) where VBS was offered by the host. In Azure, this applies to standard (non-Trusted Launch) General Enterprise (GE) VMs running on older VM SKUs. The problem was caused by a secure kernel initialization issue.Azure仮想マシンが起動しない不具合。Windows Server 2025とWindows11 24H2に影響。KB5062553に起因。修正更新プログラムKB5064489を緊急リリース (ニッチなPCゲーマーの環境構築Z, 2025年07月15日)
[引用] このほか、トラステッド起動を有効にする(※(注記)英語ページ。日本語ページもありますが機械翻訳)ことでもこの不具合を回避できます。Windows11を実行している仮想マシンは、トラステッド起動が必須であるとMicrosoftは述べてます。今回修正された Sharepoint の CVE-2025-49704 CVE-2025-49706 は Pwn2Own ねたで、ToolShell と呼ばれているのだそうで。 そして ToolShell の改訂版が登場し CVE-2025-53770 CVE-2025-53771 、各地の Sharepoint (オンプレミス版) を実際に攻撃しているのだそうで。
Customer guidance for SharePoint vulnerability CVE-2025-53770 (Microsoft, 2025年07月19日)。 主に CVE-2025-53770 についてだが、 CVE-2025-53771 についても言及されている。
SharePoint Server のオンプレミス版に 0-day 欠陥。 SharePoint Server 2019 / 2016 / サブスクリプション版 について更新プログラムが提供されている。 「2016 についてはまだない」と書かれている文書は情報が古いので注意。 Windows Update では配布していないっぽいので、 個別にダウンロードし適用する必要がある。
緩和策はこちら:
[引用]AMSI を有効にし AMSI 対応のアンチウイルス製品を使うのが吉のようで。 Configure AMSI integration with SharePoint Server (Microsoft, 2025年03月12日)。日本語ページは情報が古いっぽいので、 英語版ページがよさげ。
Customer guidance for SharePoint vulnerability CVE-2025-53770 (Microsoft, 2025年07月19日) のうしろの方に、 侵入された場合の痕跡を調べる方法も記載されてますね。
SharePoint Zero-Day CVE-2025-53770 Actively Exploited: What Security Teams Need to Know (Check Point, 2025年07月21日)
[引用] Check Point Research found that the first exploitation attempts were observed on July 7th. The target of the attack is a major Western government. The attacks only intensified on July 18th and 19th, using infrastructure tied to the following IP addresses:CVE-2025-53770 - Zero-day exploitation in the wild of Microsoft SharePoint servers (Rapid7, 2025年07月21日)
[引用] Initial access begins with a specially crafted POST request to the vulnerable SharePoint endpoint: /_layouts/*/ToolPane.aspxMicrosoft Fix Targets Attacks on SharePoint Zero-Day (Krebs on Security, 2025年07月21日)。ヤラレ事例が確認されているようです。
[引用] The Washington Post reported on Sunday that the U.S. government and partners in Canada and Australia are investigating the hack of SharePoint servers, which provide a platform for sharing and managing documents. The Post reports at least two U.S. federal agencies have seen their servers breached via the SharePoint vulnerability.Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770) (CISA, 2025年07月20日)
》 かつてはバカにされた、グーグル「AIによる概要」がニュース業界の息の根を止める理由 (Forbes, 7/9)
》 グーグルが全Gmailユーザーにアカウントのアップグレードを推奨、その理由とは (Forbes, 7/8)。「パスキーはフィッシング耐性が高い」。 関連:
パスキーによるフィッシング耐性の向上 (okta, 5/22)
[引用] パスキーを利用した認証、つまりFIDO認証の仕組みは、公開鍵、秘密鍵を利用したチャレンジレスポンスの仕組みに基づいています。パスキーの安全性について (cockscomblog?, 7/8)。UV = User Verified。
[引用] パスキーはUVフラグの値が真なら実質的に多要素認証であり、フィッシング耐性の面から、パスワードとTOTPの組み合わせよりもセキュアであると考えられている、ということを説明した。SSH で使いたくなってきた感。
ssh鍵をiPhone/Android (Passkey) に入れて運用してみた(Windows) (@suicatan / qiita, 2024年01月31日)。 PuTTY CAC というものがあるのですか。
SSHでも二要素認証を使いたい (IIJ Engineers Blog, 2024年12月06日)
》 BLマンガの研究書がAmazonで販売停止? 日本マンガ学会は声明を発表 (やじうま Watch, 7/7)。 BLマンガの表現史 少年愛からボーイズラブジャンルへ (西原麻里, 青弓社)。 研究書なのでねえ。
【跡見学園女子大学】2873作品のBLマンガで検証! 30年間で変化したボーイズラブの表現史を西原麻里准教授が刊行 (跡見学園女子大学, 3/7)
日本マンガ学会、アマゾンに「強い懸念と憂慮」 研究成果「BLマンガの表現史」販売されず (ITmedia, 7/7)
》 Windows 10のサポート期間を10月以降に伸ばすには、「Microsoft アカウント」が必要 (窓の杜, 7/8)。でしょうね。
いろいろ (2025年05月30日): OpenSSL
OpenSSL 3.5.1 公開されました: Openssl Release Announcement for 3.5.1, 3.4.2, 3.3.4, 3.2.5, and 3.0.17 (OpenSSL, 2025年07月01日)。iida さん情報ありがとうございます。
》 空港の「USB充電ポートや無料Wi-Fi」は危険、米運輸保安庁が警告 (Forbes, 7/6)。 Juice jacking やら ChoiceJacking やらの件。
[引用] また、自分が所有・管理していないデバイスにスマートフォンを接続した状態で、ロックを解除するのは避けたほうがいい。というのも、その瞬間にUSB経由でデータが抜き取られるリスクがあるからだ。興味深いことに、グーグルやサムスンは現在、こうしたUSB経由のデータの抜き取りに対する防御機能を強化している。さらにiOSやAndroidには、3日以上ロックされたままの端末を自動的に再起動させる新機能も加わっており、これもケーブル経由の攻撃に対する防御策となっている。関連:
スマートフォン充電中のデータ盗難 (Kaspersky, 5/27)
[引用] このような攻撃が心配な場合は、信頼できる充電器やパワーバンクを使用してデバイスを充電するか、USB データブロッカーを使用する必要があります。話題になっている充電用USB端子経由のハッキング抑止デバイス「USB DATA BLOCKER」を衝動買い (ascii.jp, 1/18)、 充電用USB端子経由のハッキング抑止デバイス「USB DATA BLOCKER」を衝動買いして、さらに考察する (ascii.jp, 1/25)。USB データブロッカーを謳う製品の中には中途半端なものが存在するようだ。
[引用] 確かなことは確実に5V/2Aの準急速充電レベルまでしか充電効率は上がらないが、Type-AーType-Cの「ポータポウ」のようなレガシーなデータブロッカーを使うのが安心だ。あるいは100g前後重くなっても、確実に安心なのは急速充電がコミットされている、専用ACアダプターとケーブルを充電スポットに持ち込むことだ。これで面倒なジュースジャッキングとは無縁でいられる。》 【聞いてみた】もし僕が死んだら「Microsoft アカウント」はどうしよう? (窓の杜, 7/4)
》 Windows11 25H2はイネーブルメントパッケージ(eKB)で提供。Microsoftが発表 (ニッチなPCゲーマーの環境構築Z, 6/30)
[引用] Windows11 24H2とWindows11 25H2は同じ内部構造のためイネーブルメントパッケージを利用できますが、Windows11 23H2は内部構造が異なるため、23H2 → 25H2へとアップデートする場合、イネーブルメントパッケージは利用できません。》 4万年前の有害宇宙線時代。ヒトは「鉄分性の日焼け止め」塗り生き延びた (Forbes, 7/3)。ラシャン地磁気エクスカーション (42,000年前ごろ)。 Laschamp はフランスなので p は発音しないっぽい。 関連:
地磁気極が45年で南極大陸へジャンプした (神戸大学, 2022年04月08日)。 ラシャンエクスカーションでは5回、 その後のスイゲツエクスカーション (39,000年前ごろ) では2回、振動が発生していたのだそうで。
[引用] 本研究では、ほぼ逆転に近い地磁気極の大移動に要した年数を、世界で初めて年縞枚数で決めた。地磁気極が最も南に移動したケースでは、北極付近から南極大陸まで45年で到着し38年で北極に戻っている。最速は南インド洋高緯度への移動で18年である。日本最古の旧石器遺跡は約38000年前とされている。エクスカーション発生時には、日本列島へ移住する直前の旧石器人たちが中国大陸や朝鮮半島で、北太平洋上空のオーロラを見上げていたかもしれない。》 HPE、ジュニパーネットワークスの買収完了を発表 (publickey, 7/3)
》 砂漠の国・ナミビア、 世界初「水素立国」への夢 (MIT Technology Review, 7/2)
[引用] 製鉄所は3世紀にわたり化石燃料を使って鉄鉱石を処理してきたが (中略) 炭素排出量の少ない代替手段が存在することが分かってきた。水素を使って鉄を抽出する方法である。ミヒェルスCEOによれば、石炭や天然ガスとは異なり、この方法では副産物として水が生成される。そして水素自体が「グリーン」、すなわち従来の天然ガスと蒸気を混ぜる方式ではなく、再生可能エネルギーによる電気分解によって製造されたものであれば、このプロセス全体が気候に与える影響は最小限に抑えられる。》 クラウドフレアがAIクローラーをデフォルト拒否、課金も (MIT Technology Review, 7/3)
Firefox 140.0 / 140.0 ESR / 128.12.0 ESR / 115.25.0 ESR 公開 (2025年06月25日)
Thunderbird 140.0 / 128.12.0esr が公開されました。
Thunderbird 140 がリリースされた (mozillaZine, 2025年07月03日)
[引用] Thunderbird ESR も本来はバージョン 140.0esr にアップデートされるところであるが、ビルドに複数の問題が発生しておりその解決に時間を要したこと、7 月 4 日 (金) がアメリカの祝日に当たることから、確実なサポートのためバージョン 140.0esr のリリースは来週に延期されている。》 DNS TCP fallbackの教訓 (dnsops.jp, 6/27)
》 Cloudflareがポスト量子暗号への移行を提言「まずは鍵交換から最優先で」 (Business Network, 7/3)
》 自動更新(ACME) (FujiSSL)。自動更新できるサービスに移行するしかないよなあ。
》 トランプ氏の海運復興計画が失速 (Wall Street Journal, 7/3)
[引用] 米国の海運各社は食糧支援プログラムの削減が業界に打撃を与えていると指摘する。政府効率化省(DOGE)が国際開発局(USAID)を閉鎖したことで、「フード・フォー・ピース(平和のための食糧)」プログラムは事実上停止状態になった。同プログラムが提供する貨物は米国の海運会社にとって重要な収入源だった。一部の業界関係者は、同プログラムが別の政府機関の下で早期に復活しなければ、係船作業や船員の解雇を始めなくてはならなくなると警告している。「無用の用」みたいな話になってきているなあ。
[引用] 造船計画に関する懸念もある。上院軍事委員会の委員長を務めるロジャー・ウィッカー上院議員(共和、ミシシッピ州)は6月10日の公聴会で、政権の来年度の海軍の予算要求額に落胆したと述べた。特に造船予算が今年度の370億ドル(約5兆3000億円)から210億ドル以下に削減された点を指摘した。あらまあ、そんなに?
[引用] トランプ氏は4月、造船業の再活性化計画の策定を各省庁に指示する大統領令に署名しており、海事産業能力局が大統領令の実施状況を監督している。(中略) ただ、同局の人員は縮小している。(中略) 海事産業能力局の職員7人のうち5人が、ここ数週間で任期が切れたか他の政府部局に移った。めちゃくちゃだ。
》 「ネット上で人権侵害行為が頻発」──民放連、テレビスタッフの安全を守ると声明 (ITmedia, 7/2)
》 IT関連書籍の秀和システムが法的整理へ 一時は船井電機の実質親会社に──帝国データバンク (ITmedia, 7/2)
》 Windowsのセキュリティアプリをカーネル外部で実行 〜BSoDなどの深刻なエラーを軽減へ (窓の杜, 7/1)、 The Windows Resiliency Initiative: Building resilience for a future-ready enterprise (Windows Blogs, 6/26)。DeepL 訳:
[引用] 来月、MVIはWindowsエンドポイント・セキュリティ・プラットフォームのプライベート・プレビューをMVIパートナーに提供する。 Windowsの新しい機能により、パートナーはWindowsカーネルの外側で動作するソリューションの構築を開始できるようになる。 これは、アンチウイルスやエンドポイント保護ソリューションのようなセキュリティ製品が、アプリと同じようにユーザー・モードで実行できることを意味する。対応製品がユーザーに届くのはもうちょっと先のようです。
》 NTTなど通信事業者8社、大規模災害時の通信サービス復旧・協力体制の強化を発表 (Internet Watch, 7/3)。NTT 各社、KDDI、ソフトバンク、楽天。
》 初心者でも挑戦できる「セキュリティ・キャンプ2025ミニ」、品川で8月23日・24日に開催 エントリー受付は7月28日まで (Internet Watch, 7/3)
》 Windows 10の「Microsoft Defender」ウイルス対策は2028年10月まで更新を継続 (窓の杜, 6/26)。ESU に対応。
FreeBSD-SA-25:06.xz - Use-after-free in multi-threaded xz decoder (FreeBSD, 2025年07月02日)
Chrome 138.0.7204.96/.97 (Windows)、138.0.7204.92/.93 (Mac)、138.0.7204.92 (Linux) 公開。0-day 欠陥 1 件 CVE-2025-6554 を修正。関連:
Chrome for Android Update (Google, 2025年06月30日)。Chrome 138 (138.0.7204.63) for Android。 上記と同様のセキュリティ修正を実施。
Chrome Stable for iOS Update (Google, 2025年06月30日)。Chrome Stable 138 (138.0.7204.119) for iOS。 セキュリティ修正については不明。
悪用の報告がある「V8」のゼロデイ脆弱性に「Microsoft Edge」も1日遅れで緊急対策 (窓の杜, 2025年07月02日)。Edge 138.0.3351.65。