Last modified: Sat Jan 6 15:51:34 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 アサヒグループHDにサイバー攻撃 ビールなどグループ各社の出荷業務が停止 復旧時期は未定 (ITmedia, 9/29)、 サイバー攻撃によるシステム障害発生について (アサヒグループホールディングス, 9/29)
》 デジタル庁、アクセンチュアを4カ月間指名停止 業務を無断で再委託 (ITmedia, 9/29)
》 時刻同期のGNSS依存脱却が急務 PTPは電力・AI DCでも不可欠に (Business Network, 9/25)
》 NTT東西がメタル固定電話を光・モバイルへ段階移行 設備老朽化に伴い基本料も値上げ (Business Network, 9/29)
[引用] 2035年までを目途に、光回線やモバイル回線を活用したサービスへ段階的に移行する (中略)ワイヤレス固定電話は特別な場所向けのようですね。
NTT東西、「ワイヤレス固定電話」4月開始 メタルケーブルの老朽化に備え (ITmedia, 2024年03月07日)
[引用] 提供エリアは、山村振興法や離島振興法などの対象で、1km2あたりの加入電話が18回線未満の地域。また特別な事情でメタルケーブルでの提供が著しく不経済な地域や、災害などで固定電話の提供が困難になった地域も対象となる。ワイヤレス固定電話 提供エリア (NTT東)
ワイヤレス固定電話のお申し込み 提供エリア (NTT西)
》 解説:トランプ「鎮痛剤が自閉症の原因」説の科学的根拠は? (MIT Technology Review, 9/26)
[引用] では、妊婦は念のためタイレノールを避けるべきか?関連:
鎮痛剤で自閉症リスク? トランプ発言に科学的根拠は... (毎日メディカル, 9/29)
[引用] 米国政府の見解に対し、英国はいち早く反対の意思表示をしました。ウェス・ストリーティング保健相は、英国民に対し「ドナルド・トランプが薬について何を言おうが、注目しないでください(don’t pay any attention whatsoever to what Donald Trump says about medicine.)」とトランプ大統領を非難しました(※(注記)3)。トランプ氏、妊婦の解熱鎮痛剤タイレノール使用で「自閉症リスク増える」 証明されていない説を主張 (BBC, 9/23)
米厚生長官が「タイレノール」攻撃を決めた舞台裏 (Wall Street Journal, 9/26)
Cisco Secure Firewall Adaptive Security Appliance (ASA) Software および Cisco Secure Firewall Threat Defense (FTD) Software に 0-day 欠陥 2 件があり権限上昇や RCE を招く。
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability (Cisco, 2025年09月25日)。Critical。 CVE-2025-20333
Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability (Cisco, 2025年09月25日)。Medium。CVE-2025-20362
いずれの欠陥についても回避方法は存在しない。
修正版ソフトウェアが公開されているので適用すればよい。Fixed Software の項にあるフォームに入力して [Check] を実施すると、修正版ソフトウェアバージョンが表示される。例:
上記に加え、第 3 の欠陥 CVE-2025-20363 があるという。こちらは 0-day ではない。
関連:
CISA orders agencies to patch Cisco flaws exploited in zero-day attacks (bleeping computer, 2025年09月25日)
ED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices (CISA, 2025年09月25日)。DeepL 訳:
[引用] 背景まずは コアダンプを取得して CISA Malware Next Generation (MNG) にアップロードしろ と。その結果に応じて、ネットワークから切り離したりアップデートを適用したりする。
Cisco ASAおよびFTDにおける複数の脆弱性(CVE-2025-20333、CVE-2025-20362)に関する注意喚起 (JPCERT/CC, 2025年09月26日)
Cisco ASAおよびFTDにおける複数の脆弱性(CVE-2025-20333、CVE-2025-20362)に関する注意喚起 (JPCERT/CC, 2025年09月26日) が 2025年10月01日 付で更新された。
[引用] Ciscoが、本件に関して侵害を検出するための参考となるガイドを公開しました。攻撃の調査から得た、フォレンジックによる検出の回避が狙いと考えられる、特定のログの出力を抑制する点などが示され、痕跡調査のポイントとされています。また、本ガイドにもとづく調査により侵害が疑われる場合は、Cisco Technical Assistance Center(TAC)に詳細な分析を依頼するよう促しています。》 パナソニック、漕がないママチャリ「MU」 特定原付に参入 (Impress Watch, 9/25)。「エムユー」であって「ムー」ではない模様。
[引用] 最高速度は車道モードで時速20kmで、時速6kmでの歩道走行モードも備える。これか: 特定小型原動機付自転車に関する交通ルール等について (警視庁, 6/16更新)。ふぅん。
》 New EDR-Freeze tool uses Windows WER to suspend security software (bleeping computer, 9/22)。DeepL 訳:
[引用] WERフレームワークとMiniDumpWriteDump APIを併用することで、セキュリティ研究者TwoSevenOneThree (Zero Salarium) はEDRとアンチウイルスプロセスの活動を無期限に停止する方法を発見しました。》 ソフトアップデート時の再認証を簡素化へ 技適制度検討作業班が第2回会合 (Business Network, 9/22)
》 GNSSの信頼性維持は"ベンダーの使命" ジャミングなどの妨害に鉄壁の防御 (Business Network, 9/24)。PR 記事だけど、
[引用] こうした状況下、ノルウェー政府は2022年から「ジャマーテスト」を開催している。軍や政府系機関、研究機関、ベンダー各社がスカンジナビア半島北端近くのアン島(アンドーヤ)に集まり、実地でジャミング耐性を検証する公開試験だ。通常、この種の試験はその性質上、公開で行われることはほとんどない。 オープンに参加が可能なほぼ唯一の機会がジャマーテストなのだという。そんなのがあるんですね。へえ。
世界最大のGNSSテストイベント「ジャマーテスト 2025」に参加 (古野電機 / PR TIMES, 9/10)
これのことかな: 信号認証サービス (みちびき)。
》 キャンピングカーの「トイレ問題」 コレが最適解? (キャンピングカーで行こう!, 9/18)
[引用] 革命とは、端的にいうと「汚物」を密封個包装してしまう、というもの。ラップポン、5万円程度の安価なモデルもあるのですね。 amazonだと4万円台 だった。
[引用] 前述の通り、どのタイプもポータブルです。つまり、使わないとわかっているときは下ろしておくことも可能ということ。長期旅行や、トイレに配慮してあげたい高齢者や幼児連れの旅なら、あれば絶対助かる装備には違いありません。とくにキャンピングカーを災害時対策として考える人なら、ぜひ用意しておきたいものです。ラップポン PF-1、電源を確保できない時はどうすれば? と思っていたのだが、 パナソニックから出ている ポータブルトイレ ラフィーネ だと「停電時は処理袋あが長いので縛って使えます!」 と一工夫あるようだ。
》 1 「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について(案) (日本証券業協会, 7/15)。 パブコメ募集は 8/18 で終了している。
[引用] (2)ログイン・取引・出金時これまでは「多要素認証」の導入を図ってきたが、 今後は「フィッシングに耐性のある多要素認証」の導入を図ると。
関連:
Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability (Cisco, 2025年09月24日)。本件は 0-day。CVE-2025-20352。 認証済み攻撃者が DoS や RCE 可能。 DeepL 訳:
[引用] Cisco Product Security Incident Response Team (PSIRT) は、ローカルの Administrator 認証情報が侵害された後に、この脆弱性が悪用されたことを確認しました。シスコは、この脆弱性を修正したソフトウェア リリースにアップグレードすることを強く推奨します。解凍・圧縮ソフト「7-Zip」に11年間も眠り続けていた脆弱性、コード実行のおそれ v25.01で解決済み (窓の杜, 2025年09月25日)
[引用] 書庫ファイルに埋め込まれた悪意あるシンボリックリンクをサニタイズ(無毒化)する処理に問題があり、少なくとも2つの方法で迂回できてしまう (中略) この脆弱性の影響を受けるのは主にLinuxユーザーで、Windowsユーザーへの影響は限定的だとみられている。PowerDNS Security Advisory 2025-05 for DNSdist: Denial of service via crafted DoH exchange (PowerDNS, 2025年09月18日)。 PowerDNS の DNS ロードバランサーソフト DNSdist の DNS over HTTPS (DoH) 実装に欠陥があり、DoS 攻撃を受ける。 CVE-2025-8671。
DNSdist 1.9.11 / 2.0.1 で修正されている。
「シャイ=フルード」ワームだそうで。デューンかよ!
Breakdown: Widespread npm Supply Chain Attack Puts Billions of Weekly Downloads at Risk (paloalto networks, 2025年09月10日)。2025年09月08日 から、としている。
"Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack (Updated September 23) (paloalto networks unit42, 2025年09月23日 更新)
Widespread Supply Chain Compromise Impacting npm Ecosystem (CISA, 2025年09月23日)
NPMサプライチェーン攻撃の現状と分析 (トレンドマイクロ, 2025年09月18日)
[引用] 攻撃者はWeb APIを乗っ取り、ネットワークトラフィックを操作することで、正規のチャネルから自らが管理するウォレットに資金を密かに誘導しました。標的となったのは、侵害されたパッケージを利用する組織やエンドユーザです。 [引用] 従来のソフトウェアサプライチェーン脅威は、単発のペイロードや標的型の認証情報窃取を伴うものが一般的でした。Shai-Huludは、NPMエコシステム内で自己複製できる点で異なります。ポストインストールスクリプトの機能を利用して二次感染や三次感染を成立させることが可能です。一度侵害されたパッケージがインストールされると、このワームは自動的に新たな標的への拡散を試み、初期展開後は攻撃者の介入を必要としない増殖型の脅威となります。Self-propagating supply chain attack hits 187 npm packages (bleeping computer, 2025年09月16日)
自己伝播ワーム「Shai-Hulud」のサプライチェーン攻撃で180件超のnpmパッケージが侵害される (codebook, 2025年09月24日)
》 U.S. Secret Service dismantles imminent telecommunications threat in New York tristate area (secretservice.gov, 9/23)。NANOG で話題になってたので読んでみたけど......。 DeepL 訳:
[引用] この保護情報調査によって、複数の拠点にまたがる300台以上のSIMサーバーと10万枚のSIMカードが発見された。 (中略) これらのデバイスは、ニューヨークで開催中の国連総会のグローバル会議から35マイル以内に集中していた。タイミング、場所、そしてこれらの装置によってニューヨークの電気通信に重大な混乱がもたらされる可能性を考慮し、同局はこのネットワークを破壊するために迅速に動いた。うーん。これだけだと過剰反応気味に見えるのだが、 実際のところどうなんだろう。 なにしろ SS のやることだからなあ。
》 「キチガイ人殺し」で罰金10万円──法務省の「侮辱罪の事例集」話題 生々しい"ネット中傷"ずらり (ITmedia, 9/22)、 侮辱罪の施行状況に関する刑事検討会 > 第1回会議(令和7年9月12日) (法務省, 9/12)
》 インフルエンサーの田端信太郎氏を書類送検 メルカリ社員を侮辱疑い (毎日, 9/22)。「書類送検は3日付。起訴を求める「厳重処分」の意見を付けた」。
[引用] 書類送検容疑は2024年11月と12月、フリーマーケットアプリ運営会社「メルカリ」の女性社員の実名が記載された記事をX上で引用して、「クソな無能を雇うの、株主からしたら、やめてほしいわ」などと2回投稿して中傷したとしている。どうやら https://x.com/tabbata/status/1857635012495266018 と https://x.com/tabbata/status/1869578222100447645 のことっぽい。 ふつうに誹謗中傷でしょう。 関連:
ソーシャルメディア上での誹謗中傷事案の書類送検に関する報道について (メルカリ, 9/21)
Chrome 140.0.7339.207/.208 (Windows / Mac) および 140.0.7339.207 (Linux) 公開。3 件のセキュリティ修正を含む。内 2 件は Google Big Sleep によるもの。 関連:
Chrome for Android Update (Google, 2025年09月23日)。Chrome 140 (140.0.7339.207) for Android。
》 Endpoint Prevention & Response (EPR) Test 2025 (av-comparatives.org, 9/22)。名前を公表できない Vendor A, B はどこかなあ。
2024 年版はこちら: Endpoint Prevention & Response (EPR) Test 2024 (av-comparatives.org, 2024年09月26日)
》 「日本のワイヤレス技術、何を残すのか」総務省で重点技術作業班が初会合 (Business Network, 9/19)
[引用] 堀越構成員は、日本の通信機器ベンダーの厳しい現状について報告した。世界最大級のモバイル技術展示会であるMWC(Mobile World Congress)における日本企業の展示規模が年々縮小していることを例に挙げたほか、「日本の期待が高かったOpen RAN市場も停滞している」と指摘した。これかな: 情報通信審議会 情報通信技術分科会 電波有効利用委員会 重点技術作業班(第1回) (総務省, 9/18)
》 Endpoint Protection クライアントと MacOS の互換性 (broadcom, 9/16)。macOS Tahoe には SEP 14.3 RU9 で対応済。
》 Trend MicroTM Security Agent Support for macOS Tahoe (26.0) (Trendmicro, 9/18)。10〜11月になるようです。
》 macOS Tahoe 26.x への対応について (キヤノンITS, 9/1)。ESET は準備中。
》 Apple macOS 26 Tahoe release and Endpoint readiness (Sophos, 9/12)。Sophos は対応済のようで。
》 Chrome MV3でuBlock Originが劣化したので代替案まとめた (じゅんち8 / Zenn, 9/18)
》 スルメイカ異例の大漁 水揚げ昨年の1.8倍 資源管理漁獲規制も 相馬沖 (読売, 9/19)
[引用] 水産庁は「9月以降、三陸沖など各地で良好な水揚げが確認されている。近年、異例の漁獲量だ」とする。同庁は今年度、沖合底引き網漁業によるスルメイカの漁獲上限を全国で2600トンと定め、全国 底曳 網漁業連合会が地域ごとに目安を示している。あくまで目安だが、相双漁協は想定以上の水揚げを受けて、17日から1回の漁で1隻2トンまでとする漁獲上限を自主的に設けた。関連: 特定水産資源(するめいか)に関する令和7管理年度における漁獲可能量の変更について(諮問第 485 号) (水産政策審議会 第140回 資源管理分科会 配付資料, 9/19)
[引用] 今般、資源管理基本方針「別紙2-12 するめいか」に基づき、冬季発生系群について、最新の資源調査の結果や漁獲状況、利用可能な水産機構の助言等を踏まえ、令和7管理年度の資源量の算出に用いられた令和7管理年度の加入量の予測値よりも良好な加入が発生していると判断し、TACを下記のとおり変更し、変更前の数量との差分は国の留保に繰り入れる。読売記事にある「2600トン」がどのくらい増えるのかよくわからんが、 同様に増えるのであれば 3494 トンになるのかな。
》 安倍元首相銃撃事件裁判 奈良地裁が11月中旬までの日程発表 (NHK, 9/18)。 第2回 (10/29) から第7回 (11/13) までを発表。 初公判は 10/28。
》 【復旧済み】【DNSSEC設定】名前解決が不安定な状況の発生と復旧 (お名前.com, 9/19更新)
[引用] 【発生日時】復旧まで、けっこうかかってますね。
》 上空3000mからスマホに5G通信 ソフトバンク、HAPS向け新機器の実証に成功 (ITmedia, 9/19)
「チャットGPTが自殺方法提供」、米少年の両親がオープンAI提訴 (ロイター, 8/27)
もっと役立つChatGPT体験を、すべての人に (OpenAI, 9/2)。対応策としてペアレンタルコントロールの導入などを発表。
米当局、AIチャットボット調査へ 児童自殺で心理への影響懸念 (日経, 9/12)
Teen safety, freedom, and privacy (OpenAI, 9/16)
[引用] First, we have to separate users who are under 18 from those who aren’t (ChatGPT is intended for people 13 and up). We’re building an age-prediction system to estimate age based on how people use ChatGPT. If there is doubt, we’ll play it safe and default to the under-18 experience. In some cases or countries we may also ask for an ID; we know this is a privacy compromise for adults but believe it is a worthy tradeoff.関連: ChatGPT、18歳未満を会話で判別 自殺問題受け機能制限 (日経, 9/17)
「お母さんには言わないで」──ChatGPTが自殺方法を指南→16歳の子供が死去 両親がOpenAIを提訴 (鈴木聖子 / ITmedia, 9/19)。経緯がまとまった記事。
》 「Tera Term 5.5.0」がリリース、x64/ARM64のバイナリを追加 (窓の杜, 9/18)
[引用] なお、編集部にてARM64バイナリをダウンロードしたところ、「Microsoft Defender」ウイルス対策がトロイの木馬「Trojan:Script/Wacatac.B!ml」を検出した。窓の杜ライブラリで使用しているセキュリティ対策ソフト4種の内、「Microsoft Defender」以外の3種は検知しないため、おそらく誤検知だと思われるが、利用の際は注意したい。窓の杜では現在、Microsoftへ問い合わせ中。》 いったいなぜ? AIアシスタントからリンクされたURL、404エラー率が3倍にも上ると判明 (Internet Watch, 9/19)。さもありなん。
出てます。
Firefox 143 がリリースされた (mozillaZine, 2025年09月17日)
Firefox for Android 143 がリリースされた (mozillaZine, 2025年09月17日)
Thunderbird 143 がリリースされた (mozillaZine, 2025年09月17日)
出てます。
Firefox 143.0.3、Firefox for Android 143.0.3 がリリースされた (mozillaZine, 2025年10月01日)。セキュリティ修正 2 件を含む。
Thunderbird 140.3.1esr がリリースされた (mozillaZine, 2025年10月01日)。こちらはセキュリティ修正は無い。
》 日本最大級のサイバーセキュリティ国際会議「CODE BLUE 2025」、11月18日・19日に高田馬場で開催 (Internet Watch, 9/18)
》 高齢者を騙す詐欺メールをAIチャットボットに作成させるには? ロイターの実験が話題に (Internet Watch, 9/18)
》 NTT西が計227万回線に及ぶ通信障害 原因は「セキュリティサーバーの設定ミス」 (Business Network, 9/18)
[引用] 通信障害が発生した時間帯にセキュリティサーバーの更改作業を実施していたが、その際にサーバー接続用のスイッチに誤った設定を行ったという。このスイッチをサーバー収容ルーターに接続したことで、「ブロードキャストストームと呼ばれる大量の制御信号が発生した。》 「台風で電柱が......」AIが電話対応、手配まで自動化 NTT東がシステム導入 (ITmedia, 9/18)
》 置き配普及へ「配達員が自由にオートロック解錠」は「事実無根」 国交相、SNSの懸念に反論 (ITmedia, 9/18)
Apple 0-day 対応 (iOS / iPadOS, macOS) (2025年08月21日)
ImageIO への 0-day CVE-2025-43300 対応、2025年09月15日 付で古い OS への 対応もされました。
About the security content of iOS 16.7.12 and iPadOS 16.7.12 (Apple, 2025年09月15日)
About the security content of iOS 15.8.5 and iPadOS 15.8.5 (Apple, 2025年09月15日)
そういえば出てましたね。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 26 and iPadOS 26 (Apple, 2025年09月15日)
About the security content of iOS 18.7 and iPadOS 18.7 (Apple, 2025年09月15日)
tvOS
About the security content of tvOS 26 (Apple, 2025年09月15日)
watchOS
About the security content of watchOS 26 (Apple, 2025年09月15日)
visionOS
About the security content of visionOS 26 (Apple, 2025年09月15日)
macOS
About the security content of macOS Tahoe 26 (Apple, 2025年09月15日)
About the security content of macOS Sequoia 15.7 (Apple, 2025年09月15日)
About the security content of macOS Sonoma 14.8 (Apple, 2025年09月15日)
Safari
About the security content of Safari 26 (Apple, 2025年09月15日)
Xcode
About the security content of Xcode 26 (Apple, 2025年09月15日)
》 Oracle、「Java」の最新版「Java 25」を発表 〜8年間の長期サポート版 (窓の杜, 9/17)
》 EU、Microsoftの「Teams抱き合わせ」問題で和解 Slackは苦情取り下げ (ITmedia, 9/13)
[引用] 最終的なコミットメントとして、MicrosoftはEEA域内の顧客に対し、Teamsを含まないOffice 365およびMicrosoft 365スイートを、Teamsを含む対応スイートよりも大幅に低い価格で提供することに合意した。Teams単体の価格を基準として算出されている既存の価格差(割引額)を、さらに50%拡大する。また、長期ライセンスを持つ顧客がTeamsを含まないスイートに切り替えられるようにし、Teamsの競合他社がMicrosoft製品との相互運用性を確保できるようにすることや、顧客が自身のTeamsメッセージデータを競合ソリューションに移行できるデータポータビリティを提供することも約束した。日本政府もがんばれ。
》 米政府、TikTok売却期限を4度目の延長 トランプ大統領「合意に到達」と投稿 (ITmedia, 9/17)
》 障害発生】通信サービスがご利用できない、またはご利用しづらい状況について(第 2 報:9 月 16 日 午後 4 時 30 分時点) (NTT西, 9/16)。龍大の学舎間内線もつながらなくなってます。
[引用] 1.日時......と、学舎間内線については復旧の連絡が来たぞ (16:58)。
終報出てました。
【復旧】大阪府、京都府の全域および兵庫県の一部エリアで通信サービスがご利用できない状況につい て(終報:9 月 16 日 午後 5 時 00 分時点) (NTT西, 9/16)。16:36 復旧。「原因 当社の通信設備の故障」。
ロシア無人機、夜間のポーランド領空侵犯 その時NATOは (Wall Street Journal, 9/11)
ロシアのドローン侵入、試されるNATOの結束と防衛力 (Wall Street Journal, 9/12)
ポーランド ロシア軍無人機の残骸見つかる NATOの対応が焦点 (NHK, 9/11)
ポーランドで発見された領空侵犯のロシア無人機の残骸は16機に増加 (JSF, 9/11)
[引用] ○しろまるドローン19飛来(3撃墜、1着弾、15未到達)とすると計算は合う。ポーランド軍が撃墜したロシア無人機、発泡スチロール製のおとりか...ウクライナの混乱狙った可能性 (読売, 9/11)。多くはガーベラ囮無人機?
【解説】 故意か偶然か......ロシア無人機によるポーランド領空侵犯 NATOにとっての試練に (BBC, 9/11)
ロシアのドローンによる領空侵犯、ポーランドのNATO第4条発動は何を意味するのか (CNN, 9/12)
広陵野球部暴力事件の真相 「じゃあ何て言うんじゃ」中井哲之監督の陰湿な"隠蔽強要"を暴く (文春オンライン, 9/9)
収束気配が見えない広陵高野球部の暴力問題 夏の甲子園辞退から1カ月、学校経営にも暗雲 (産経, 9/10)
広陵野球部内暴力 加害生徒が被害生徒の親権者らを刑事告訴「進路に重大な影響」民事訴訟も検討 (日刊スポーツ, 9/11)
広陵野球部は"廃部"へ一直線...加害生徒が被害生徒側を名誉棄損で告訴の異常事態 (日刊ゲンダイ, 9/11)
広陵高校の甲子園辞退、「連帯責任」の是非を問う!いまだ「教育的価値」を掲げる高校野球の欺瞞 (湯浅 大輝 / JBpress, 9/12)
》 ダイキン、従業員のPFOA曝露を初めて認める 通常の「500倍〜5万倍」検出、住民向け説明では「健康被害ない」と詭弁 (tansa, 9/11)
》 「TikTokはナチスのラジオと同じ」ドイツ極右政党、躍進のキーマンが目を付けた"毒を広める隙" 選挙とSNSを問う (テレ朝 / Yahoo, 7/10)。AfD。
》 ドイツ極右議員、中国側から収賄か 検察が事務所捜索 (時事, 9/12)。AfD のマクシミリアン・クラー連邦議会議員。関連:
スパイ容疑で極右政党議員スタッフ逮捕 独検察 中国に情報提供 (ロイター, 2024年04月23日)。これは去年のニュース。
独検察、中国人の女をスパイ容疑で逮捕 右派政党の欧州議会議員元スタッフに情報 (産経, 2024年10月01日)。これも去年のニュース。 「中国人の女」を逮捕。「既にスパイ容疑で逮捕された男に流していた」。
「中国スパイ、欧州議会文書500件盗み出す」...ドイツ議員補佐官がスパイ容疑で起訴 (中央日報, 4/30)。これは今年のニュース。 中国出身でドイツ国籍保有者の Jian Guo 氏。
[引用] Guo氏はこの期間、ドイツのための選択肢(AfD)所属のマクシミリアン・クラー(Maximilian Krah)欧州議会議員の補佐官として勤務し、欧州議会が「敏感な書類」に分類した文書500件余りを入手して交渉・決定関連情報を中国情報機関に渡した容疑(刑法上他国情報機関のための間諜等)がもたれている。》 チャーリー・カーク狙撃事件方面。 犯人は依然として逃走中のようだ。
Utah Valley Shooting Updates (FBI)。犯人の写真、逃走動画が掲載されている。 懸賞金 10 万ドルだそうで。
米保守活動家チャーリー・カーク殺害、容疑者の「逃走動画」を当局が公開。約1500万円の懸賞金 (ハフポスト, 9/12)
容疑者は 9/13 に逮捕されている: カーク氏銃撃 22歳の容疑者逮捕 州知事"政治的暴力防止を" (NHK, 9/13)
》 MAGA 活動家チャーリー・カーク、狙撃され死亡。 犯人は逃走中のようだ。
米保守活動家チャーリー・カーク氏、大学イベントで銃撃され死亡 熱烈なトランプ氏支持者 (BBC, 9/11)
米保守活動家カーク氏の銃撃事件、何が起きたか (Wall Street Journal, 9/11)
どこから入手した情報なのか、「FBIが容疑者を拘束」と書いてしまう 読売新聞オンライン https://x.com/Yomiuri_Online/status/1965909639331197159 。なぜツイートを削除しないのだろう。
米保守活動家チャーリー・カーク殺害、容疑者の「逃走動画」を当局が公開。約1500万円の懸賞金 (ハフポスト, 9/12)
[引用] FBIのパテル長官は事件後の10日夜、「チャーリー・カークの命を奪った恐ろしい銃撃事件容疑者の身柄を拘束した」とXに投稿したが、約1時間後に、拘束された人物はすでに解放されたと発表した。》 グーグル「大勝利」、アップルにはさらに大きな勝利 (Wall Street Journal, 9/4)
[引用] 両社は2日、米政府がグーグルを相手取って起こした2件の反トラスト法(独占禁止法)違反を巡る訴訟の一つで大きな勝利を手にした。連邦地裁のアミット・P・メータ判事は、グーグルの事業分割や同社検索エンジンを巡るアップルへの対価支払い停止を求めた政府の要請を基本的に却下した。》 レールガンの洋上射撃試験に成功──装備庁が報告 長射程射撃&船への射撃で成果 (ITmedia, 9/10)
》 経済産業省ら、脆弱性関連情報をむやみに第三者に公開しないよう求める声明を発表 (Internet Watch, 9/9)。「むやみに」?
》 警視庁、偽のCAPTCHA画面でマルウェアをインストールさせる手口に注意喚起 (Internet Watch, 9/10)
》 IPA、「情報セキュリティ白書2025」PDF版の先行公開開始 (Internet Watch, 9/11)
》 生成AIが巡回するたび報酬が発生? 無断クローラー対策の決定版となる標準規格が誕生 (やじうま Watch, 9/11)
》 パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内 (DigiCert, 9/4)
[引用] DigiCert は、2025 年 10 月 1 日以降、パブリック TLS 証明書にクライアント認証拡張キー使用法 (EKU) をデフォルトで含めなくなります。これは、Google Chrome のルート プログラム要件に対応するための変更で セキュリティを強化し、相互運用性を促進することを目的としています。へえ。関連:
ClientAuthの無効化が金融機関をX9 PKIに向かわせる理由 (DigiCert, 5/15)
「Zoom」にサービス拒否や権限昇格など全7件の脆弱性 〜最新版へのアップデートを (窓の杜, 2025年09月11日)
curl 8.16.0 (daniel.haxx.se, 2025年09月10日)。2 件のセキュリティ修正を含む。
以下になります。 ColdFusion が Priority:1、Adobe Commerce が Priority:2、他は 3。
Chrome 140.0.7339.127/.128 (Windows) 140.0.7339.132/.133 (Mac) 140.0.7339.127 (Linux) 公開。2 件のセキュリティ修正を含む。
[引用] [43000ドル][440454442] Critical CVE-2025-10200: Use after free in Serviceworker. Reported by Looben Yang on 2025年08月22日うひょ〜、金額!! 関連:
Chrome for Android Update (Google, 2025年09月09日)。Chrome 140 (140.0.7339.123) for Android。
Microsoft 2025.09 更新出ました。 86 Microsoft CVE + 5 non-MS CVE。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。
[引用]0-day は 2 件。
Windows SMB Elevation of Privilege Vulnerability CVE-2025-55234 (Microsoft, 2025年09月09日)。情報公開のみ。
VulnCheck: CVE-2024-21907 Improper Handling of Exceptional Conditions in Newtonsoft.Json CVE-2024-21907 (Microsoft, 2025年09月09日)。情報公開のみ。
2025.08 patch で発生した不具合のうち、修正された分。
「OBS」「NDI」などで発生していたラグ問題、最新のWindows 10/11パッチで解決 「KB5065426」「KB5065429」の適用を (窓の杜, 2025年09月10日)
関連:
【Windows11】 WindowsUpdate 2025年9月 不具合情報 - セキュリティ更新プログラム KB5065431 / KB5065426 (ニッチなPCゲーマーの環境構築Z, 2025年09月10日)
【Windows11】 WindowsUpdate 2025年9月 不具合情報 - セキュリティ更新プログラム KB5065431 / KB5065426 (ニッチなPCゲーマーの環境構築Z, 2025年09月10日)
》 職員への誹謗中傷、調べたら投稿者は元職員......3万7000人分の情報持ち出しも発覚 堺市文化振興財団 (ITmedia, 9/9)。 【重要なお知らせ】元職員による個人データ漏えい事案の発生とお詫び (堺市文化振興財団, 9/8)
》 「自分の声が無断で生成AIに」──プリキュア声優の山村響さんが告発 とある音声合成AIが波紋 経緯は (ITmedia, 9/9)
[引用] 無料のAI音声合成ソフト「AivisSpeech」の標準モデル「Anneli」の開発では、声優の山村響(やまむら ひびく)さんの許諾を取っていない――同モデルの作成者による告白により、AivisSpeechがSNS上で波紋を広げている。》 民放5局、BS4Kから撤退か──TBSの資料から浮かび上がる厳しい現状とは? 代わりに浮上した4K配信 (ITmedia, 9/9)
》 国勢調査が行われる2025年、なりすましの「かたり調査」などに国民生活センターが注意喚起 (Internet Watch, 9/8)
》 欧州の通信事業者で2024年に発生したセキュリティインシデント、最も多い原因は? (山賀 正人 / Internet Watch, 9/8)
[引用] 今回の報告書で注目すべきなのは、悪意のある行為が原因となるセキュリティインシデントが1割にも満たない点です。(中略) 通信事業者のように正常なサービスの提供停止(情報セキュリティのCIAのうちの「A:可用性」の侵害)を極めて深刻なセキュリティインシデントと見なさなければならない企業や組織においては、どのような原因であれ、停止に至った出来事は間違いなく全てセキュリティインシデントなのです。》 「自民党は断末魔の苦しみにある」 石破辞任を海外メディアはこう報じた (クーリエ・ジャポン, 9/8)。 「自民の断末魔だ......」 「自民の断末魔です!」
》 厚生労働省薬事審議会にて緊急避妊薬のスイッチOTC化の方針が可決。声明文を公開しました。 (change.org, 9/8)。まずはめでたい。
[引用] 一方で、2021年の要望提出から4年、2016年の最初の申請からは9年という長期に渡る議論が積み重ねられ、また、年齢制限や保護者同意の条件はつけないことになったものの、薬剤師の面前服用の条件は課されることとなりました。また、向き合うべき課題は、まだあまりにも山積しており、今回のようやくの可決を手放しで喜ぶことはできません。なおも闘いはつづく。
》 R-18コンテンツを開いているブラウザタブを検知・スクショするマルウェア Webカムで撮影も 性的脅迫に使用か (ITmedia, 9/5)。おぉぅ。
》 「Firefox ESR 115」のWindows 7対応がさらに延長、これで3度目 (窓の杜, 9/5)。2026.03 までだそうです。
》 天気予報サービス「177」の終了について (NTT東, 2024年07月26日)。「2025年3月31日(月)をもって提供終了」。知らんかった。
関連: 電話の3桁番号サービス (NTT東)。104 も「2026年3月31日サービス終了」だそうで。
Pythonの国産GUIライブラリ「TkEasyGUI」に深刻な脆弱性 〜任意OSコマンド実行の恐れ (窓の杜, 2025年09月05日)。 v1.0.22 以降で修正されているそうです。
Chrome 140.0.7339.80 (Linux) および 140.0.7339.80/81 (Windows / Mac) が stable に。6 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025年09月02日)。Chrome 140 (140.0.7339.35) for Android。
Chrome Stable for iOS Update (Google, 2025年09月03日)。 Desktop 版 / Android 版のセキュリティ修正にどれだけ追従しているのかは不明。
Microsoft Edge 140 Web プラットフォームのリリース ノート (2025 年 9 月) (Microsoft)。「2025 年 9 月 4 日にリリースされる Microsoft Edge 140 」 だそうなので、もう出ているのでしょう。
》 川重、海自潜水艦エンジンで検査データ改ざんか 20年間不正の疑い (毎日, 8/28)
[引用] 川重によると、今月、「2021年までに製造された潜水艦エンジンの一部で検査不正が行われていた可能性が高い」と防衛省に報告。外部弁護士らの特別調査委員会が調査しており、年内にも最終報告をまとめる見通しという。関連:
開示事項の経過)舶用エンジンにおける検査不正について (川崎重工業株式会社, 8/29)
<1分で解説>川重、今度は潜水艦検査データ改ざんか 相次ぐ不祥事 (毎日, 8/29)
》 「ヤバさが伝わる」の声も──NHKの「津波マルチ画面」"見やすさ"の工夫を広報に聞いた (ITmedia, 9/1)
》 楽天ふるさと納税、10月からポイント付与取りやめ 総務省のルール変更で (ITmedia, 9/1)
》 サウジアラビアは世界最大の格ゲーの祭典「EVO」を買収して「スポーツウォッシング」をしているという批判 (gigazine, 9/4)
》 UNC5325と関係するTINYSHELLベースの新しいLinux用マルウェア (IIJ-SECT, 9/4)
》 営業秘密の漏えい、サイバー攻撃要因が大きく増加〜IPAが企業における営業秘密管理に関する実態調査を発表 (Internet Watch, 9/2)
》 Windowsのロック画面がカスタマイズ可能に、スマホ情報、クイズ、タイマーなどもOK 〜8月プレビューパッチから展開 (窓の杜, 9/4)
[引用] 「Windows 11 バージョン 24H2」の2025年8月非セキュリティプレビュー更新プログラム「KB5064081」以降、この制限は緩和され、ロック画面に表示するウィジェットを自由に追加・削除できるようになる。ウィジェットの並び替えも可能「WhatsApp」にゼロデイ脆弱性、iOS/macOSの脆弱性と組み合わせて標的型攻撃に悪用か (窓の杜, 2025年09月02日)。 iOS / macOS 用アプリに欠陥 CVE-2025-55177。 Apple 0-day 対応 (iOS / iPadOS, macOS) で修正された CVE-2025-43300 との合わせ技で攻撃していた模様。
Androidに2件のゼロデイ脆弱性〜2025年9月のセキュリティ情報が公開 (窓の杜, 2025年09月03日)
》 マイナ免許証、9月1日から更新しやすく システム接続で"二度手間"なくなる (ITmedia, 9/1)。マイナ免許証にするとむしろ不便感が 1 つ減ったようです。