Last modified: Wed Oct 22 18:17:44 2025 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
G現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
......のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 OpenBSD 7.8 Released (OpenBSD, 10/22)
》 NTTと産総研が光ファイバーセンシングを活用した地盤監視の実証 道路陥没リスクの低減へ (Business Network, 10/21)
[引用] 今回の実証では、実際の地下管路に敷設された光ファイバーケーブルのルート上の複数地点において、光ファイバー振動センサー(DAS)を用いた常時微動の測定・検知を行った。DASとは、光ファイバーそのものをセンサーとして利用し、周囲の微小な振動や音響を高密度に検知・計測する技術である。》 航空自衛隊 F‐15戦闘機4機が訓練「タッチアンドゴー」 南紀白浜空港 和歌山県 (テレビ和歌山 / Yahoo, 10/21)。 南紀白浜空港は滑走路が 2000m しかないのでタッチアンドゴーなんですかね。 2500m へ延伸する計画があるそうなので、これが完成すると着陸までするようになるのかなあ。
2025 年 10 月のセキュリティ更新プログラム (月例) (2025年10月17日)
Windows 回復環境 (WinRE) で USB キーボード・マウスが使えない件、 帯域外の累積的更新プログラム KB5070773 で修正されました。 Windows Update に流れているので適用しませう。
「KB5070773」が緊急公開、「WinRE」でUSBキーボード・マウスが機能しない問題を解決 (窓の杜, 2025年10月21日)
Windows回復環境でUSB機器が動作しない不具合を修正。MS、KB5070773を緊急リリース。アップデート後、USBマウスやUSBキーボードが動作するように。Windows11 25H2 / 24H2 / Windows Server 2025にて (ニッチなPCゲーマーの環境構築Z, 2025年10月21日)
》 凄惨な状態で搬送されるクマ外傷、受け入れ時の対応は? (日経メディカル, 10/6)。記事ラストに凄惨な写真があるので注意。
[引用] クマによる外傷は、非常に強い外力による顔面への受傷が多い。実際に2023年に当院で受け入れたクマ外傷患者21人では、9割が顔面、7割が上肢、6割が頭部を受傷。中には顔面骨骨折や眼球破裂、頭蓋内出血を伴う頭蓋骨骨折の症例も含まれていたことを当院では過去に報告している。関連:
グロ過ぎて報道されないクマ被害の実際の症例報告 (ナゾロジー, 9/13)
【クマ襲撃】被害者の9割が顔面損傷...鼻がなくなり骨は粉砕「体を大きく見せようと立ち上がって...」医師が語るクマ外傷の実態 47歳男性はあの日を境に人生が一変 (HBC / Yahoo, 10/14)
クマ外傷 クマージェンシー・メディシン (amazon)。品切れのようですね。
》 5Gミリ波の現在地(2)普及の課題と今後の展望 (Business Network, 10/20)
[引用] 実際には、ミリ波基地局はすでに4万5千局程度が稼働している。にも拘わらず、ミリ波を利用しているモバイル通信トラフィックは全体の0.1%程度に過ぎない。基地局はあるが、ほとんど使われていないのが現状だ。 [引用] 現状、ミリ波に対応した端末は限定的にしか市場に投入されていない。日本で流通しているスマートフォンについては、iPhoneがサポートしていないこともあり10%以下の機種しかミリ波をサポートしていない。関連:
【社内雑談】iPhone17日本版もやっぱりミリ波非対応 (三技協【公式】 / note, 9/24)
[引用] iPhoneも、Pixelも、Galaxyも、ミリ波に対応しているのは米国モデルだけ。日本含めたそれ以外の国では、ミリ波対応モデルの入手すら困難になってきている。オワコン感が凄い。
2025 年 10 月のセキュリティ更新プログラム (月例) (2025年10月17日)
Windows 11、バージョン 24H2 の既知の問題と通知 (Microsoft, 2025年10月18日)。一覧になってる。
IIS に接続できない (localhost に接続できない、HTTP/2.0 で接続できない) 件、まずはこういう対処だそうで:
[引用] この問題は、デバイスのインターネット接続、および最近の更新プログラム のインストールとデバイスの再起動のタイミングによって影響を受ける可能性があるさまざまな条件によって発生します。 このため、上記の更新プログラムをインストールしたにもかかわらず、一部の環境で観察されない可能性があります。 次の手順は、この問題が観察される環境で解決するのに役立ちます。これでも復旧しない場合は、KB5066835 / KB5065789 のアンインストール、 もしくは レジストリ設定でHTTP/2を無効化 することで回避、ということになるんですかね。
エンタープライズ環境の場合は、Known Issue Rollback (KIR) が提供されているので、これを適用することで回避できるそうで。
Windows 11 24H2、Windows 11 25H2、Windows Server 2025 KB5066835 251015_22001 既知の問題のダウンロード Rollback.msi (Microsoft)
Known Issue Rollback (KIR) のご紹介 (Inside SCCM / Intune Japan, 2022年02月12日)
「Windows Recovery Environment (WinRE) で USB マウスとキーボードが動作しない」問題があり、これはまだ解決方法が示されていない。
こちらの件です: Windows回復環境でマウスとキーボードが動作しない不具合。2025年10月のWindows Update後に発生。Windows11 25H2 / 24H2にて。KB5067039 / KB5066835が原因。回避策あり [Update 2: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2025年10月19日 更新)。 回避策が 2 つ提示されている。
Winre.wim を古いバージョンのものに置き換える。
マウスとキーボードを PS/2 コネクターに接続する。
Microsoft 2024.09 更新で対応された Windows Cryptographic Services Security Feature Bypass Vulnerability CVE-2024-30098 (Microsoft, 2024年07月09日) に関して、
[引用] UPDATE: Starting with the October 2025 security updates, the fix will be enabled by default (DisableCapiOverrideForRSA set to 1) and the KSP will be used for RSA based certificates in the Smart Card Certificate Propagation service. If you discover applications relying on the old behavior, the DisableCapiOverrideForRSA registry key can be set back to 0 to switch back to auditing mode. The DisableCapiOverrideForRSA registry key will be removed in April 2026.Microsoft 2025.10 更新とともにデフォルト有効になった (DisableCapiOverrideForRSA = 1 になった) ことに伴うスマートカード認証の不具合が発生しているようで。
[引用] 2025 年 10 月の Windows セキュリティ更新プログラム (KB5066835) をインストールする前に、スマート カード サービスのシステム イベント ログにイベント ID 624 が存在することを確認すると、スマート カードがこの問題の影響を受けるかどうかを検出できます。詳細については、次のリンクを参照してください: https://go.microsoft.com/fwlink/?linkid=2300823。問題が発生している場合は DisableCapiOverrideForRSA = 0 に設定する。
》 「中国の中流階級」が東京に大挙して移り住むようになった理由 (クーリエ・ジャポン, 10/17)。 元記事は How Tokyo become an unexpected haven for China's middle class (FT, 9/6) のようだ。 記事中で 潤日: 日本へ大脱出する中国人富裕層を追う (舛友 雄大 / 東洋経済) が参照されている。
Microsoft 2025.10 更新。 175 Microsoft CVE + 21 non-MS CVE。 いつもの倍くらいあるなあ。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。 (Security Update Guide から拾っています)
Copilot 関係は全て critical ですか......。
0-day は以下だそうです。
Cert CC: CVE-2025-2884 Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation (Microsoft, 2025年10月14日)。Windows 11 22H2〜 / Server 2022 23H2 / Server 2025 のみ。
Windows Agere Modem Driver Elevation of Privilege Vulnerability New CVE-2025-24052 (Microsoft, 2025年10月14日)。「third party Agere Modem driver that ships natively with supported Windows operating systems」。 情報公開のみ。
MITRE CVE-2025-47827: Secure Boot bypass in IGEL OS before 11 New CVE-2025-47827 (Microsoft, 2025年10月14日)。 攻略済み。
Windows Remote Access Connection Manager Elevation of Privilege Vulnerability New CVE-2025-59230 (Microsoft, 2025年10月14日)。攻略済み。
Windows Agere Modem Driver Elevation of Privilege Vulnerability New CVE-2025-24990 (Microsoft, 2025年10月14日)。攻略済み。
不具合情報
Windows回復環境でマウスとキーボードが動作しない不具合。2025年10月のWindows Update後に発生。Windows11 25H2 / 24H2にて。KB5067039が原因。回避策あり [Update 1] (ニッチなPCゲーマーの環境構築Z, 2025年10月17日)
IISが正常に動作しない不具合。KB5066835 / KB5065789に起因。Windows11 24H2 / 25H2にて [Update 1: 修正] (ニッチなPCゲーマーの環境構築Z, 2025年10月17日)
関連
【Windows11】 WindowsUpdate 2025年10月 不具合情報 - セキュリティ更新プログラム KB5066793 / KB5066835 ゲームの動画シーンが真っ赤になる不具合は今回も未修正 [Update 4] (ニッチなPCゲーマーの環境構築Z, 2025年10月17日)
【Windows10】 WindowsUpdate 2025年10月 不具合情報 - セキュリティ更新プログラム KB5066791 サポート終了。継続使用する場合はESUの登録を (ニッチなPCゲーマーの環境構築Z, 2025年10月15日)
あと、RDP Wrapper の rdpwrap.ini は 2025年10月16日b 版が出ています。
Windows 11、バージョン 24H2 の既知の問題と通知 (Microsoft, 2025年10月18日)。一覧になってる。
IIS に接続できない (localhost に接続できない、HTTP/2.0 で接続できない) 件、まずはこういう対処だそうで:
[引用] この問題は、デバイスのインターネット接続、および最近の更新プログラム のインストールとデバイスの再起動のタイミングによって影響を受ける可能性があるさまざまな条件によって発生します。 このため、上記の更新プログラムをインストールしたにもかかわらず、一部の環境で観察されない可能性があります。 次の手順は、この問題が観察される環境で解決するのに役立ちます。これでも復旧しない場合は、KB5066835 / KB5065789 のアンインストール、 もしくは レジストリ設定でHTTP/2を無効化 することで回避、ということになるんですかね。
エンタープライズ環境の場合は、Known Issue Rollback (KIR) が提供されているので、これを適用することで回避できるそうで。
Windows 11 24H2、Windows 11 25H2、Windows Server 2025 KB5066835 251015_22001 既知の問題のダウンロード Rollback.msi (Microsoft)
Known Issue Rollback (KIR) のご紹介 (Inside SCCM / Intune Japan, 2022年02月12日)
「Windows Recovery Environment (WinRE) で USB マウスとキーボードが動作しない」問題があり、これはまだ解決方法が示されていない。
こちらの件です: Windows回復環境でマウスとキーボードが動作しない不具合。2025年10月のWindows Update後に発生。Windows11 25H2 / 24H2にて。KB5067039 / KB5066835が原因。回避策あり [Update 2: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2025年10月19日 更新)。 回避策が 2 つ提示されている。
Winre.wim を古いバージョンのものに置き換える。
マウスとキーボードを PS/2 コネクターに接続する。
Microsoft 2024.09 更新で対応された Windows Cryptographic Services Security Feature Bypass Vulnerability CVE-2024-30098 (Microsoft, 2024年07月09日) に関して、
[引用] UPDATE: Starting with the October 2025 security updates, the fix will be enabled by default (DisableCapiOverrideForRSA set to 1) and the KSP will be used for RSA based certificates in the Smart Card Certificate Propagation service. If you discover applications relying on the old behavior, the DisableCapiOverrideForRSA registry key can be set back to 0 to switch back to auditing mode. The DisableCapiOverrideForRSA registry key will be removed in April 2026.Microsoft 2025.10 更新とともにデフォルト有効になった (DisableCapiOverrideForRSA = 1 になった) ことに伴うスマートカード認証の不具合が発生しているようで。
[引用] 2025 年 10 月の Windows セキュリティ更新プログラム (KB5066835) をインストールする前に、スマート カード サービスのシステム イベント ログにイベント ID 624 が存在することを確認すると、スマート カードがこの問題の影響を受けるかどうかを検出できます。詳細については、次のリンクを参照してください: https://go.microsoft.com/fwlink/?linkid=2300823。問題が発生している場合は DisableCapiOverrideForRSA = 0 に設定する。
Windows 回復環境 (WinRE) で USB キーボード・マウスが使えない件、 帯域外の累積的更新プログラム KB5070773 で修正されました。 Windows Update に流れているので適用しませう。
「KB5070773」が緊急公開、「WinRE」でUSBキーボード・マウスが機能しない問題を解決 (窓の杜, 2025年10月21日)
Windows回復環境でUSB機器が動作しない不具合を修正。MS、KB5070773を緊急リリース。アップデート後、USBマウスやUSBキーボードが動作するように。Windows11 25H2 / 24H2 / Windows Server 2025にて (ニッチなPCゲーマーの環境構築Z, 2025年10月21日)
》 ビル・ゲイツ特別寄稿: それでも気候変動対策に私が投資し続ける理由 (MIT Technology Review, 10/10)
》 ANAと米Joby、空飛ぶクルマのデモ飛行 万博で12分飛ぶ (AviationWire, 9/30)。N542JX、万博では ANA カラーになっていたのですね。 Joby S4 のページ では TOYOTA カラーの N542JX を見ることができます。
[引用] ANAHDとJobyは8月に、日本でのエアタクシーサービスの実現に向けて、合弁会社設立の検討を開始したと発表。2027年度以降、首都圏では東京都心と成田空港や羽田空港などを結ぶサービスを視野に入れておりはたして事業運行、成りますかねえ。
関連:
》 FCAS中止に備えたプランB、ドイツメディアはスウェーデンとの共同開発を勧告 (航空万能論 GF, 10/12)
》 ロシアの燃料不足、これが持続的な問題に発展するかどうかはウクライナ次第 (航空万能論 GF, 10/13)
》 日本人ルポライターが受けた、ウイグル「国家安全危害罪の疑い」取り調べの壮絶な実態 (ニューズウィーク日本版, 10/11)。 一九八四+四〇 ウイグル潜行 (西谷 格 / 小学館)。
》 中国レアアース輸出、9月に急減 3カ月連続の減少 (ロイター, 10/13)
中国、レアアースと関連技術の輸出制限強化へ-米中摩擦の火種再燃も (ブルームバーグ, 10/9)
米大統領、高関税で中国揺さぶり レアアース規制で対立再燃 (時事, 10/12)
中国、米の協議要請「保留」 レアアース規制巡り=USTR代表 (ロイター / ニューズウィーク日本版, 10/13)
》 ラトビア、ロシア人841人に退去命令 言語・安全審査の厳格化で (日経, 10/13)
[引用] 米ニュースサイト、ポリティコによると、約3万人のロシア人が改正法の影響を受け、大半は条件を満たしたものの、約2600人が自発的にラトビアを出国。841人は期限内に必要書類を提出できなかったという。この記事っぽい: Latvia orders more than 800 Russian citizens to leave by mid-October (politico.eu, 10/10)
》 PCの物理破壊を外部委託→なぜかネット接続を検知 個人情報漏えいの可能性 「ぼんち揚」製造会社が謝罪 (ITmedia, 10/10)
[引用] ぼんちは3月12日、使用終了したPCの物理破壊によるデータ消去を伴う廃棄処分を外部業者に委託。しかし4月26日、そのうち1台のPCがWebに短時間接続したことを、セキュリティ監視ツールで検知した。ぼんちがこの事実を認識したのは6月2日で、その後に外部業者に事実確認を実施。結果、複数台のPCの廃棄状況が不明であることが9月1日に判明し、PC内の個人情報が漏えいした可能性があることが分かった。》 日本政府、OpenAIに「著作権侵害行為」を行わないよう要請 Sora 2での"アニメ風動画"問題を受け (ITmedia, 10/10)
》 OpenSSH 10.2 Release Notes (OpenSSH, 10/10)。不具合修正。
いろいろ (2025年07月22日) 7-Zip
7-Zip 25.00 には上記とは別に 2 件のセキュリティ修正が含まれていたことが明らかに。
》 映画『ネタニヤフ調書 汚職と戦争』ポスター&チラシ設置にご協力いただける方を募集します (株式会社トランスフォーマー / google docs)
[引用] お店や施設、オフィスなどご使用場所のジャンルは問いません。ポスター・チラシどちらかでも結構です。関連:
映画サイトはこちら: 『ネタニヤフ調書 汚職と戦争』
イスラエルでは上映禁止『ネタニヤフ調書 汚職と戦争』より本編映像公開 (株式会社トランスフォーマー / YouTube)
出演者は全員イスラエル人、しかしイスラエル本国で上映禁止...「ネタニヤフ調書 汚職と戦争」本編映像&場面写真 (映画.com / Yahoo, 10/7)
》 公明党・斉藤鉄夫代表、自公連立政権「いったん白紙」 離脱方針表明 (日経, 10/10)。ついに来ましたね。 アベの時にやっておくべきでしたが。 関連:
公明、連立離脱へ 党首会談、自民と決裂―首相指名、不透明に (時事, 10/10)
[引用] 斉藤氏は会談後の記者会見で「自公連立政権はいったん白紙にする。これまでの関係に区切りを付ける」と表明。国政選挙での協力解消も打ち出した。「首班指名、高市早苗と書けない」公明・斉藤鉄夫代表の会見冒頭全文 (朝日, 10/10)
自民党は戦々恐々...公明党「連立離脱」なら次の衆院選で93人が落選危機 (日刊ゲンダイ, 10/10)
円売り圧力「政治空白」で増幅 円153円台、急落の歯止め乏しく (日経, 10/8 18:08)。「8か月ぶりに153円台へ急落」。
ドル円相場 (表示期間6か月) (日経)
自民・高市総裁、行き過ぎた円安を誘発するつもりはない (ブルームバーグ, 10/9 22:20)。ようやく「口先介入(弱)」を発動した模様。
[引用] 高市氏の発言を受け、為替市場で円は対ドルで一時152円14銭まで上昇したが、その後、再び円安が進んだ。午後3時のドルは152円後半、8カ月ぶり高値更新後に調整売り (ロイター, 10/10 15:33)
[引用] しかし、日中のドルの安値は152円半ばにとどまり、下げは限定的だった。ドルは前日海外市場で、自民党総裁選で勝利した高市早苗氏が「行き過ぎた円安を誘発するつもりはない」と発言したことが伝わると、152円前半まで下落したが、すぐに値を戻した。加藤財務相、進む円安に「足元で一方的、急激な動き」 市場を牽制 (朝日, 10/10)
「高市円安」の行方見極め、米政府閉鎖の長期化も懸念=来週の外為市場 (ロイター, 10/10)
》 高市早苗氏の"馬車馬"発言はガチだった? 総裁選公約に労働規制緩和を掲げ「働かせ放題」画策 (日刊ゲンダイ, 10/9)
[引用] 実際、高市氏は総裁選公約に〈労働時間規制につき、心身の健康維持と従業者の選択を前提に緩和します〉と明確に掲げている。留保付きとはいえ、これまで国が「働き方改革」として推進してきた残業時間の上限規制とは真逆の考えがにじむ。関連:
総裁選公約 (高市早苗 総裁選特設サイト)
[引用] ●くろまる成長投資と人材総活躍の環境づくりワークライフバランスの必要性及び重要性を前提とした政治を求める談話 (日本労働弁護団, 10/6)
[引用] 高市氏の上記発言に対する批判について、「高市氏が自分自身と自民党所属議員に対して述べた決意にすぎない」、「一国の総理大臣になる予定の高市氏が覚悟を示したのは当然」といった意見が散見される。しかし、そうした意見は、一国の総理大臣となる者の発言を軽んじる意見である。Discord情報流出、顔写真約210万件と機密情報1.5TBを盗んだとハッカー声明 (Gadget Gate, 10/9)
Discordがユーザー7万人分の身分証明書画像やID・クレジットカード番号下4桁などが流出した可能性があることを発表 (gigazine, 10/9)
[引用] 本件について詳しい情報を持つvx-underground氏は、具体的に不正アクセスを受けたサービスがZendeskであり、脅威アクターは運転免許証やパスポートの写真、合計1.5TB相当(218万5151枚)を入手したと報告しています。The Discord Hack is Every User’s Worst Nightmare (404media, 10/9)
[引用] In an email, a Zendesk spokesperson told 404 Media "Our investigation indicates this incident did not arise from a vulnerability within Zendesk's platform. Zendesk’s own systems were not compromised." In messages with the infosec X account VX-Underground, the hackers reportedly said they compromised an outsourced support agent.Zendesk 本体ではなく外部のサポート会社がヤラレた、と Zendesk は主張している模様。
》 早大で約3400件の個人情報漏えい 氏名や顔写真にアクセスできる「IELTS」の成績証明書番号などを誤掲載 (ITmedia, 10/8)
》 "マウス"から盗聴するサイバー攻撃 米国チームが発表 ゲーミングマウスの高感度センサーを悪用 (ITmedia, 10/3)
NVIDIA製GPUドライバーに8件の脆弱性、最大深刻度は「High」 (窓の杜, 2025年10月10日)
「Unity」ランタイムにリモート攻撃のおそれのある脆弱性、ゲーム開発者は対応を (窓の杜, 2025年10月08日)
Oracle E-Business Suite 12.2.3 〜 12.2.14 に RCE を招く 0-day 欠陥 CVE-2025-61882。 広く攻撃されている。
[引用] CVE-2025-61882 is a vulnerability in the BI Publisher Integration component of Oracle Concurrent Processing within Oracle E-Business Suite. An unauthenticated attacker can send specially crafted HTTP requests to the affected component resulting in full system compromise. No user interaction is required.無認証の攻撃者が攻略 HTTP リクエストを送ることで完全にシステムを屈服させることが可能。対話的操作は不要。
関連:
Apply Oracle Security Alert CVE-2025-61882 for Oracle E-Business Suite (EBS) (Oracle Security Blog, 2025年10月05日)。patch が出ているようです。
Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign (Google, 2025年10月10日)
CVE-2025-61882: Frequently Asked Questions About Oracle E-Business Suite (EBS) Zero-Day and Associated Vulnerabilities (tenable, 2025年10月05日)
Oracle E-Business スイート RCEゼロデイ (FortiGuard Labs, 2025年10月08日)、 Indicators of Compromise (FortiGuard Labs)
CVE-2025-61882: Critical 0day in Oracle E-Business Suite exploited in-the-wild (Rapid7, 2025年10月07日)
CrowdStrike Identifies Campaign Targeting Oracle E-Business Suite via Zero-Day Vulnerability (now tracked as CVE-2025-61882) (CrowdStrike, 2025年10月06日)
[引用] The first known exploitation occurred on August 9, 2025; however, investigations remain ongoing, and this date is subject to change.グーグルのオラクル製ソフト狙ったハッキング、被害顧客企業は100社超か (ロイター, 2025年10月10日)
》 「Windows 11」のインストールはMicrosoftアカウント必須に--裏技ついに終了 (CNET, 10/8)、 Windows 11のセットアップ時にユーザーフォルダー名を指定する機能がようやく導入へ その代わりローカルアカウントを作成する方法は削除、Dev/Betaチャネルでテスト (窓の杜, 10/7)
》 東急田園都市線「衝突事故」を招いた10年前のミス 「ATC完備」なのに...万全なはずの安全対策に死角 (小佐野 景寿 / 東洋経済, 10/8)
[引用] この設定ミスは、2015年3月に梶が谷駅構内の改修を行った際に起きたという。効率的な運行ができるよう、下り2番線から引き込み線への列車の移動と、上り列車の3番線への進入を同時に可能にするため設備を改修したが、この際の設計に問題があった。うわあ。まさに「10年バグ」だ。
関連: 東急脱線事故、回送電車運転の「見習い運転士」に心配の声「トラウマにならないといい」 事故原因は信号システムの問題 (JCAST / Yahoo, 10/7)。ほんとそれ。
》 LUUP、違反情報の共有を義務化 アカウント停止を厳格に (Impress Watch, 10/8)
[引用] 従来は、警察が違反情報を事業者へ提供する際、取り締まり時に警察官がユーザーから同意を取得する必要があり、制度適用が部分的なものに留まっていた。今回の改定で、同意取得の主体を警察官からLuupへ、取得の場面を取り締まり時からサービス利用開始時へと変更し、Luupが違反情報を確実に取得できるようにする。》 今月はAndroidのセキュリティパッチなし 〜四半期ごとの大型修正へ移行 2025年10月のセキュリティ情報が公開 (窓の杜, 10/7)
》 人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定 (窓の杜, 10/8)
》 「高市トレード」で円安加速、注目集める政府・日銀の為替介入ライン (ブルームバーグ, 10/8)。こちらの方がよっぽど大きな危機なのだが。
》 アサヒGHDにサイバー攻撃、ハッカー集団の「Qilin」が犯行声明 (ブルームバーグ, 10/8)。関連:
サイバー攻撃によるシステム障害発生について (アサヒGHD、9/29)
サイバー攻撃によるシステム障害発生について(第2報) (アサヒGHD、10/3)
アサヒビール商品出荷状況について (アサヒGHD、10/7)。出荷中 / 出荷再開予定 / 新商品発売延期。
サントリー、「ザ・プレミアム・モルツ」限定2商品の発売中止...アサヒシステム障害の影響で (読売, 10/8)。「代替商品の注文を想定以上に受けており、対応に集中する」。
[引用] ビールなどの在庫が尽きるのを避けるため、 飲食店や小売店は、サントリーを含む他のビールメーカーに代わりの商品を発注している。そりゃそうだよなあ、余剰能力なんてそうそう無いよなあ。
アサヒGHD サイバー攻撃の被害は甚大だ (読売, 10/8)
ASAHI-CSIRT アサヒグループサイバーセキュリティ対応チーム (日本シーサート協議会)
[引用] ASAHI-CSIRTは、アサヒグループジャパンDX統括部担当役員配下でグループ向けにインシデント対応等の支援を実施するアサヒグループジャパン(株)、アサヒビジネスソリューションズ(株)の共同チームとしております。各事業会社やシステムのPoCと連携してグループで発生したインシデントの被害を低減し、平時においてもセキュリティに関する最新の脅威や脆弱性等の情報を継続的に収集・分析し、適時・適切な予防策の実施をしております。アサヒGHDは対象外ということなのかなあ。
》 OpenSSH 10.1 Release Notes (OpenSSH, 10/6)
》 ClamAV 1.5.0 released! (ClamAV, 10/7)
Chrome 141.0.7390.65/.66 (Windows / Mac) および 141.0.7390.65 (Linux) 公開。 3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025年10月07日) 。Chrome 141 (141.0.7390.70) for Android。
》 韓国の国家情報資源管理院で UPS の交換作業中に発火、全焼 (9/26)
韓国の国家情報資源管理院で火災、10時間後に鎮圧...「データ毀損の懸念で難航」 (中央日報, 9/27)
[引用] 26日午後8時20分ごろ大田市儒城区花岩洞(ユソング・ファアムドン)情報管理院5階の電算室でリチウムイオンバッテリーの爆発で発生した火災が、約9時間50分後に鎮圧された。(中略) この火災でリチウムイオンバッテリー384個が全焼した。無停電電源装置(UPS)用のこれらバッテリーは一般的にラック(rack)形態でキャビネット形式で設置されている。火災で停止した韓国‘デジタル政府’...実質的に存在しなかったバックアップシステム(1) (中央日報, 9/29)
[引用] 3年前の2022年10月にインターネット情報媒介サービス大手「カカオ」に大規模障害が発生した際、韓国政府は「災害があっても3時間以内に復旧できるシステムが構築されている」と明らかにしたが、誇張された発言だったことが今回露呈した。政府の電算システム災害対策は穴だらけだった。バックアップシステムは事実上存在しなかった。 [引用] 出火元は5階7-1電算室だ。(中略) 大規模クラウドシステムだ。今回の火災で、当該電算室内の電算機器740台とバッテリー384台が焼失した。火災で停止した韓国‘デジタル政府’...実質的に存在しなかったバックアップシステム(2) (中央日報, 9/29)
[引用] 今回の火災の最初の発火地点は無停電電源装置(UPS)用リチウムイオン電池だ。公共機関のバッテリー管理問題も俎上に載せられた。該当バッテリーは2014年8月管理院に納品されたもので、使用年限の10年からすでに1年を過ぎている。バッテリーとサーバーが同じ空間に...韓国国家情報資源管理院、火災に打つ手ない「予告されたシャットダウン」 (中央日報, 9/29)
[引用] バッテリー業界によると、今回の火災は移設作業過程の管理ミスとする見方が優勢だ。移設作業中の電源遮断と復旧過程で過電流が流入したりバッテリー管理システム(BMS)が正常に稼動しなかった可能性があるという。(中略)【社説】世界最高のはずが...1度の火災で露わになったデジタル政府の素顔=韓国 (中央日報, 9/29)
焼けた韓国災難安全システム...秋夕連休中の事故情報伝播に影響も (中央日報, 10/1)
<韓国国家情報資源管理院火災> 公務員12万人分の業務資料が丸ごと消えた...Gドライブ全焼 (中央日報, 10/2)
[引用] 韓国行政安全部は2018年に「Gドライブ利用指針」を通じて使用を奨励してきたが、いざ災難状況に備えるための外部バックアップ体系は不十分だった。同部公共サービス局のイム・ジョンギュ局長は1日の対策本部のブリーフィングで「Gドライブは現在バックアップがなく、復旧が不可能な状況だ」と説明した。【社説】火災収拾中に次々と表れる韓国電子政府の実情 (中央日報, 10/3)
[引用] このほかにも人災が疑われる状況が多い。バッテリー推奨使用期限(10年)の交換勧告を黙殺した事実も明らかになり、バッテリー移転作業に零細通信設備業者のアルバイトが投入されたという証言までが出てきた。高度な安全が要求される作業を非専門業者と非熟練者に任せたとすれば明白な安全不感症だ。無停電電源装置(UPS)とリチウムイオンバッテリー移転過程で電気工事安全守則を守らなかった状況も表れた。国家電算網担当職員が投身死...「火災の捜査対象者ではなかった」 (中央日報, 10/3)
》 電動自転車バッテリー、国際線ターミナルで激しく燃える...機内持ち込み禁止で乗客から回収したもの (読売, 10/2)
》 証券口座乗っ取りの"STBが踏み台"報道がケーブルテレビ業界に波紋 問題は「ネット通販等で売られている管理されていない端末」 (ITmedia, 10/2)
》 「忌避レーザー搭載ドローン」で鳥インフル対策 NTT東などが千葉県で新たな試み (ITmedia, 10/2)
[引用] 鳥獣が本能的に不快感を覚える光を照射することで(忌避レーザー)、ウイルスを保持した野鳥の鶏舎内への侵入を防ぐ。プレスリリースには商品名「鳥獣忌避装置「クルナムーブ」」が明記されている。
[引用] 1 赤色と緑色のレーザー光は、目を守る習性が強い鳥獣(ハト・カラス・ムクドリ・シカなど)へ本能的な不快感を与えることから忌避効果を発揮します関連: 鳥獣被害対策 〜クルナレーザーによる〜 (一般社団法人 地域総研, 2024年01月26日)
》 「NHK ONE」登録不具合が解消 原因は「新規ドメインからの大量送信」 (ITmedia, 10/2)
》 「ドラゴンボール」「NARUTO」もそっくり再現 Sora 2使った日本のアニメ風動画がXに続々 自民・塩崎衆院議員は「重大な問題」と指摘 (ITmedia, 10/2)
[引用] なお、「野放し」ともいえる日本のIPに対して、「ディズニー」や「マーベル」などの米国キャラクターはSora 2で出力できないようだ。「(日本のコンテンツは)足元を見られているのでは」といった声も上がっているが、米Wall Street Journalによる9月29日(現地時間)の報道によれば、Sora 2は「著作権者がオプトアウト(除外)を申請しない限り、著作物を含む動画を生成できる仕様」であり、OpenAIは一部のスタジオやタレント事務所に対し、Sora 2の公開前にオプトアウト手続きの通知を送ったという。OpenAI が送ったという「一部のスタジオやタレント事務所」とはどこなのか (どこではないのか) が問題であろ。
》 DDoS攻撃、ランサムウェア被害のインシデント報告様式を統一し、被害組織の報告負担軽減へ。国家サイバー統括室 (Internet Watch, 10/2)、 サイバー攻撃による被害発生時のインシデント報告様式の統一について (国家サイバー統括室, 10/1)。Excel ファイルが用意されている。
》 メールで国勢調査の回答を依頼することは「絶対にありません」。届いたらそれは詐欺、即ゴミ箱へ! (Internet Watch, 10/3)
》 「長距離無線LAN」は日本国内でも活躍していた。いったいどんな場所で使われているのか? (Internet Watch, 10/1)。バッファロー製品も実績あるよ話。
[引用] TP-Linkの製品がもとより長距離接続の専用機として設計・提供されているものだったのに対し、今回紹介するバッファローの製品は長距離専用機というわけではない。屋外対応の無線LANアクセスポイントに、接続する距離やカバーする範囲などのニーズに応じて、オプションのアンテナを組み合わせて設置するかたちだ。》 Gmail、POPのサポートを2026年1月に終了へ。海外のGmailユーザーへ順次案内中 (やじうま Watch, 10/2)。おぅ。
》 警察庁、新たにネット銀行4行と特殊詐欺やSNS型投資・ロマンス詐欺の被害拡大防止を目的とした「情報連携協定書」締結 (Internet Watch, 10/1)
「NVIDIA アプリ」に特権昇格の脆弱性 〜セキュリティアドバイザリが公開 v11.0.5.245への更新を (窓の杜, 2025年10月02日)
Chrome 141.0.7390.54 (Linux) および 141.0.7390.54/55 (Windows / Mac) が stable になった件。セキュリティ更新が 21 件ありました。
[引用] リリース当初は脆弱性修正がアナウンスされていなかったが、のちにGoogleがリリースノートを更新した。詳細はこちら: Chrome Stable Channel Update for Desktop (Google, 2025年09月30日)。25000ドル なんてのも含まれている。
[引用] [25000ドル][442444724] High CVE-2025-11205: Heap buffer overflow in WebGPU. Reported by Atte Kettunen of OUSPG on 2025年09月02日関連:
Chrome for Android Update (Google, 2025年09月30日)。Chrome 141 (141.0.7390.43) for Android。
》 [clamav-users] ClamAV 0.103 past end of life for signature updates (ClamAV, 10/1)。 ClamAV 0.103 のサポート自体は 2024年09月14日 で EOL になっている のだが、シグネチャ更新についても 2025年09月30日 で EOL になったと。
》 「NHK ONE」早々のトラブルにSNSでは「やっぱり」 "移行期間なし"に疑問の声 (ITmedia, 10/1)
》 サイバー攻撃受けたアサヒグループ、新商品が発売延期に ミンティアや1本満足バー、三ツ矢サイダーなど (ITmedia, 10/1)
》 富士通ゼネラル、商号を「ゼネラル」に 41年ぶり旧社名へ回帰 26年1月から (ITmedia, 10/1)。ナショナルも復活してください。
》 非実在キャラの「合意」とは? Blueskyの新しいコミュニティガイドラインがいろいろと波紋 (Internet Watch, 9/24)。関連:
Bluesky コミュニティガイドライン(日本語訳) (フィーナビ!, 9/19更新)。これか:
[引用] 未成年者や未成年を思わせるキャラクターを性的に描写したり、搾取するコンテンツ(実写、合成、イラスト、アニメーションを含む)の作成、共有、宣伝は許可されません。 [引用] i.適切にラベル付けされ、年齢制限が適用される場合に限り、合意ある成人の性的コンテンツ(フィクション表現を含む)は許容されます。未成年に見える、同意が無いように見える、 と駄目ですよと。なかなかに厳しい。
》 教員盗撮グループで6人目、都内の小学校教諭を容疑で逮捕「教員になり児童ポルノ収集」「自分も盗撮」 (読売, 10/1)。 「チャットには教員10人近くが参加していたとみられ」。 まだまだいるのか......。
》 出場辞退にまで発展したアーチェリー選手間の誹謗中傷についてー東京地裁令和6年8月6日判決ー (田本伸雄/弁護士 / note, 9/28)
[引用] (2) 令和3年1月2日、5日で、8/6 に判決です。実際に、このくらいの時間経過になるのですね。
[引用] (2)不法行為の個数について「割と高い」で 80 万円なのですね。
》 セキュアブート署名切れに備えた「Rufus 4.10」が公開 〜無料のブータブルUSB作成ツール (窓の杜, 10/1)
[引用] 「Windows UEFI CA 2023」は (中略) 「セキュアブート」で用いられる証明書の一つ。セキュアブートのソフトウェア検証に用いられている証明書のなかには2026年6月以降、期限切れを迎えるものが出てくるため、「Windows UEFI CA 2023」への更新が必要となることがある。
》
Chrome Stable Channel Update for Desktop
(Google, 9/30)。Chrome 141.0.7390.54 (Linux) および 141.0.7390.54/55 (Windows / Mac) が stable に。(削除) セキュリティ更新は含まれない。 (削除ここまで)
関連: Chrome for Android Update (Google, 9/30)。Chrome 141 (141.0.7390.43) for Android。
Firefox 143.0 / 140.3.0 ESR / 115.28.0 ESR、Thunderbird 143.0 / 140.3.0esr 公開 (2025年09月19日)
出てます。
Firefox 143.0.3、Firefox for Android 143.0.3 がリリースされた (mozillaZine, 2025年10月01日)。セキュリティ修正 2 件を含む。
Thunderbird 140.3.1esr がリリースされた (mozillaZine, 2025年10月01日)。こちらはセキュリティ修正は無い。
いずれも FontParser CVE-2025-43400 の修正のみ。 tvOS と watchOS も更新されたけど、そちらは影響ないそうです。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 26.0.1 and iPadOS 26.0.1 (Apple, 2025年09月29日)
About the security content of iOS 18.7.1 and iPadOS 18.7.1 (Apple, 2025年09月29日)
visionOS
About the security content of visionOS 26.0.1 (Apple, 2025年09月29日)
macOS
About the security content of macOS Tahoe 26.0.1 (Apple, 2025年09月29日)
About the security content of macOS Sequoia 15.7.1 (Apple, 2025年09月29日)
About the security content of macOS Sonoma 14.8.1 (Apple, 2025年09月29日)
OpenSSL 3.5.4 / 3.4.3 / 3.3.5 / 3.2.6 / 3.0.18 / 1.1.1zd / 1.0.2zm 登場。 OpenSSL Security Advisory [30th September 2025] 記載の欠陥を修正。
Out-of-bounds read & write in RFC 3211 KEK Unwrap (CVE-2025-9230) (Moderate)
Timing side-channel in SM2 algorithm on 64 bit ARM (CVE-2025-9231) (Moderate)
OpenSSL 3.1 以前にはこの欠陥は存在しない。
Out-of-bounds read in HTTP client no_proxy handling (CVE-2025-9232) (Low)
OpenSSL 1.1 以前にはこの欠陥は存在しない。
iida さん情報ありがとうございます。
過去の記事: 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998