Last modified: Mon May 27 11:21:05 2024 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 検閲の大部分は「自己検閲」で成り立っている――国家による検閲と個人の自己検閲/仲介者検閲 (p2ptk.org, 4/17)。世界SF大会、そんなことになってたのか。知らんかった。
Reactorに寄せた大作エッセイの中で、エイダは自身の中心的な主張を展開している。
「ほとんどの検閲は自己検閲だが、大部分の自己検閲は外部の権力によって意図的に培われたものである」
– https://reactormag.com/tools-for-thinking-about-censorship/
検閲は、私たちに検閲官の仕事を代行させることでしか成功しない。だからこそ、国家による検閲と民間による検閲の間に線を引くのはとてもミスリーディングだ。今までも、そして今でも、検閲は官民のパートナーシップなのである。
》 PayPay、“誤送金”防止のため送金や受け取りの際に相手の「PayPay ID」を表示 5月から (ITmedia, 4/26)
》 コード署名に悩むアプリ開発者に福音 ~Microsoftが格安サービス、6月までなら無料 (やじうまの杜, 4/26)。フルマネージドで安価なコード署名証明書、だそうです。
》 兵庫県内部告発文書問題。 西播磨県民局長 (当時) が作成。 なぜか事実確認抜きで 「事実無根」と決めつけるといった、 斎藤知事の奇妙な言動が続く。
マスメディアは当初、 内部告発ではなく中傷だと決めつけ。
兵庫県幹部が知事を中傷する文書を配布 知事「うそ八百」と解任、退職認めず 報道機関や県警が入手 (神戸新聞, 3/28)
知事や職員を中傷する文書流布か 退職間際の兵庫県幹部、処分を検討 (朝日, 3/28)
斎藤県政にくすぶる不満? 退職間際の県民局長が知事や側近を中傷する文書 異例の解任劇の裏で何が (神戸新聞, 3/30)
兵庫県“ふさわしくない行為”で県民局長を解任 元局長は反論 (NHK, 4/2)
内部告発文書問題で兵庫県元幹部が公益通報 「事実解明と是正措置検討を」 (産経, 4/5)
斎藤元彦知事、調査をすると言いながらも第三者委員会を設置するつもりはない模様。
知事中傷疑い文書問題、元県民局長の反論受け事実関係調査へ (読売, 4/3)
兵庫県幹部が知事ら中傷する文書作成疑惑 県、弁護士入れて調査へ (朝日, 4/3)
元県民局長が作成した知事らへの「告発文」、県議が内容の外部調査を要望…知事は否定的 (読売, 4/25)
兵庫県人事課、神戸新聞記者を聴取。 情報源秘匿の観点から問題と新聞労連が厳重抗議。
県民局長の斎藤知事批判文書問題 兵庫県人事課が本紙記者を聴取 (神戸新聞, 4/18)
情報源の秘匿に踏み込む報道機関への不当な「聴取」を止めよ (新聞労連, 4/26)
斎藤知事批判文書問題 記者に対する県の聴取、新聞労連が抗議声明 「報道の自由を侵害」 (神戸新聞, 4/26)
県の記者聴取「変更指示できない」 知事、新聞労連の抗議受け 批判文書問題 (神戸新聞, 4/26)
告発文の一部は事実だったことが既に確定している。
「軽い気持ちで受け取った」 兵庫県幹部が告発文書で指摘の「贈答品」を返却 (産経, 4/16)
斎藤兵庫知事「人事当局が全体を調査」 県幹部がコーヒーメーカー受け取り (神戸経済, 4/18)
内部告発に揺れる兵庫県 調査前から「法的措置」言及する斎藤知事の姿勢に疑問の声 (産経, 4/23)
で、結局のところは?
兵庫・斎藤知事を揺るがす「告発文書」 阪神・オリックスパレードにも疑惑が (AERA dot., 4/13)
ある県幹部は、「告発文書」を読んだと言い、こう話す。
「パレードの協賛企業は大阪府と兵庫県、それぞれが分担して集めた。大阪府の動きが早く、経済規模の違いもあって、兵庫県より先行してスポンサーを集めていた。斎藤知事から『大阪に負けるな』という趣旨の話があって、職員は必死で声をかけた。告発にあるキックバックの有無まではわからないが、兵庫県側は地元の金融機関、交通など、県と結びつきが強い協賛企業が多く名前を連ねたのは事実。パレードの担当職員が病気療養しているのも事実だ」
また、斎藤知事の「パワーハラスメント」については、ある県職員が、「有名な話です」と認める。
「エレベーターで行先の階のボタンを押し間違えて知事から10分ほど怒鳴られた、訪問先でエレベーターがすぐ来ず待たされて職員にブチ切れたとか、知事のパワハラのエピソードにはこと欠きません」
》 小林製薬 「紅麹」問題 外部の有識者委で対応検証へ (NHK, 4/26)。第三者委員会ではない。
紅麹関連製品をめぐる当社対応の検証について (小林製薬, 4/26)。「紅麹問題における一連の当社対応につき、取締役会が主導的に調査し、事後的検証を行う」。うひゃあ。
取締役会は3名の社内取締役と4名の社外取締役の合計7名で構成されているところ、取締役会による事後的検証に独立性と客観性を確保すべく、小林一雅代表取締役会長、小林章浩代表取締役社長、山根聡専務取締役には特別利害関係があるとみなし、当該3名は紅麹問題の事後的な検証においては審議・決議に加わらず、残りの社外取締役4名のみにて調査・検証を進める体制とする。
事象を見逃してきた 4 人に検証させてどうするの。
》 小林製薬の「紅麹」問題も“どこ吹く風”、おびただしい健康食品のテレビCMを放送局はどこまで考査しているのか (JBpress, 4/28)
》 小林製薬「紅麹」問題 のべ262人が入院(25日時点) 厚労省 (NHK, 4/26)
》 読売新聞記者が談話捏造 紅麹関連記事巡り (時事, 4/17)
》 マイナンバーカードの電子証明書の更新に行ってきた (Internet Watch, 4/26)
》 自家製爆弾vs竹やり。牧師が率いる「手作りの内戦」に同行した 国際社会の支援はゼロ。「打倒軍政」を支えるのは市民の熱意【ミャンマー報告】2回続きの(1) (共同, 4/28)。ここでもドローンが貧者の砲兵、貧者の空軍に。選ばれるのはやはりDJI。
》 セガ子会社で、約4740件の個人情報漏えいの可能性 メールシステムに不正アクセス (ITmedia, 4/25)
》 「全く知らない」「勝手に使われた」──日米のアニメ制作会社が相次ぎ声明 北朝鮮のサーバから関連ファイルが見つかった問題で (ITmedia, 4/26)
》 伝説のアニメ「まいっちんぐマチコ先生」、TVerなどで配信へ テレ東「放送当時のまま配信する」 (ITmedia, 4/26)。お、ぉぅ……。
》 Windows 10で毎月のパッチサイズが20%削減 ~2024年4月プレビューパッチ以降で改善へ (窓の杜, 4/26)
》 「Evernote」日本法人が解散 解散公告を掲載 (ITmedia, 4/26)。無惨。
》 それは不具合ではない:Metaによる組織的なパレスチナ言論の検閲 (p2ptk.org, 4/15)
》 全国の原発避難計画 調べてみえた地域差とは (NHK, 4/22)。複合災害時の復旧作業基準について明確化している県の少なさよ。
明記していた中では、▽民間の事業者の被ばく線量の上限を、一般の人の年間の限度とされる1ミリシーベルトとしているところが4道県(北海道、福島県、滋賀県、佐賀県)。
▽住民の避難や屋内退避が指示されるまでの段階で、民間の事業者による作業は中止するとしているところが2県だった(新潟県、愛媛県)。
残る13の府や県は明記していないと回答した。 (青森県、宮城県、茨城県、静岡県、石川県、富山県、福井県、京都府、島根県、鳥取県、長崎県、福岡県、鹿児島県)
あらかじめ決めておかないと、特攻隊になるぜ。
》 「JALとANAの天下りは問題」、空港施設に株主提案 国交省OBの人事介入、社長解任劇に続く第2幕 (東洋経済, 4/25)。「空港施設」という企業名です。 リム・アドバイザーズによる株主提案。
中でも注目のポイントは天下りの受け入れ禁止を求めている点だ。大株主であり、大口の取引先でもあるJALとANAの出身者が副社長に就任していることを問題視し、空港施設にさらなるガバナンス改革を迫っている。
》 大阪市教委、学校端末の契約金で未払い発覚 NECに7億円支払わず 「事務業務が煩雑化、対応できなかった」 (ITmedia, 4/25)。あり得ねえ……。
》 アクセサリー販売事業者がランサムウェア感染 “委託先名指し”で原因説明 「Parts Club」など運営 (ITmedia, 4/24)
》 「Google Chrome」のサードパーティCookie廃止は延期 ~2024年内の非推奨化を断念 (窓の杜, 4/24)
》 TikTok禁止法案にバイデン大統領が署名 「ユーザーのために法廷で闘う」とチュウCEO (ITmedia, 4/25)
ByteDanceは9カ月以内(その間に進展があれば大統領が3カ月延長する可能性がある)にTikTokを米企業に売却することが義務付けられ、これを実行できなければ米国全土でアプリが禁止されることになる。
》 HOYA、「生産と供給は概ね正常に戻りつつある」 不正アクセスによるシステム障害で (ITmedia, 4/23)
》 北朝鮮が日本のアニメ制作に関与? 7月放送作品も 米調査機関が報告 (ITmedia, 4/23)。これ、38 North なのですね。
》 「カメ止め」の監督が作ったショート動画「みらいの婚活」が面白いと話題に IT関係者も絶賛する理由とは? (ITmedia, 4/24)。 WHILL のカッコいい車イス出てきますね。これは現実。 折りたためるタイプ もあるのか。
》 漫画村に「17億円賠償命令」でも変わらぬ深刻実態 (東洋経済, 4/25)。
》 視聴率急落で「死の谷」にはまったテレビ局の苦悩 (東洋経済, 4/15)。まさに斜陽産業。
日本テレビはコアターゲット視聴率で、テレビ朝日を含めた他のキー局と大差を付けている。個人全体の視聴率では2位に後退した日本テレビが、今なお放送収入で頭一つ抜けているのには、こうした現役世代への強さも関係している。
(中略)
「個人全体の視聴率がホテルの部屋数だとすれば、コアターゲット視聴率は部屋の価格。テレビ朝日は部屋数が多く、安いホテルだとすると、日テレは部屋数が多く、価格も高いホテルだ」
ふぅん。
Chrome 124.0.6367.78/.79 (Windows / Mac) および 124.0.6367.78 (Linux) 公開。4 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.04.24)。Chrome 124 (124.0.6367.82) for Android。
》 Do Tanks Have a Place in 21st-Century Warfare? (NYTimes, 4/20)。戦車不要論再び? FPV = 一人称視点ドローン。DeepL 訳:
ワシントンのカーネギー国際平和財団でロシアとユーラシア・プログラムのシニアフェローを務めるマイケル・コフマン氏は、「現段階では、FPVを打ち負かすために使われる最も効果的な手段は、電子戦と、戦車に追加装甲やその他の種類の遮蔽物を付けるなど、さまざまな種類の受動的防御だ」と述べた。同氏は、FPVの撃破には「戦場でのオーダーメードのアプローチ」が必要であり、ウクライナ軍はそれに習熟しつつあると述べた。
いよいよ本格的な電子戦装備の塔載が必須になってくるのかな。 アフガンで IED が猛威をふるったときには装甲増加・耐爆構造化・IED jammer 装備で対抗したわけだけど、今回の戦訓を受けて、また新たな進化が必要になるのだろうなあ。
》 WelcomeHRのマイナンバーを含む個人情報漏洩事故の対応がひどい件(追記あり) (なか2656のblog, 4/14)。 確かにひどい。
第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて(略)一方で、マイナンバーに記載されている情報(略)から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。
つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁)。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。
にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。
そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます(マイナンバー法17条5項参照、下の追記参照)。
マイナンバー漏洩の際にはセットで告知すべきだよなあ。
関連:
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び (ワークスタイルテック, 3/29)
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
まる見え系ですか。
情報セキュリティ基本方針 (ワークスタイルテック)
サービス品質保証制度(SLA) (ワークスタイルテック)
データ暗号化
通信については、SSLにて暗号化を行っています。 ※個人番号や機密情報は暗号化を行い、保管しています。 ※サーバー自体も暗号化しています。
ん? きちんと暗号化されていたら、 本件漏洩も問題が軽減される (状況によっては問題ないとすら言える) はずなのでは? しかし告知文書には、そんな文言は一言もないよ? どういうこと?
個人情報漏えいに関するご報告とお詫び (Leaf NxT, 4/22)
【対象となる個人データに係る本人の数】 26,829人
(中略)
なお、「WelcomeHR」から個人情報の漏えいが発生した時点において、当社とワークスタイルテック株式会社間における「WelcomeHR」利用に関する契約は終了していましたが、同契約の終了後も「WelcomeHR」において、本件に係る個人情報が保存されていたため、本件が発生するに至りました。
契約終了時におけるデータの速やかな削除の確認を怠った、ということかな。
》 ゆうちょ銀行でシステム障害 他行からの入金遅れ約110万件 (TV朝日, 4/23)
》 ソフトバンク衛星電話の障害、6日間継続中 通話・通信できず 日割りで料金減免へ (ITmedia, 4/23)。「原因は、アラブThuraya Telecommunications Companyが提供する衛星電話サービス「Thuraya」(スラーヤ)の設備故障」。
》 公正取引委員会、Googleに行政処分 広告配信でLINEヤフーへの技術提供を7年にわたって制限 (ITmedia, 4/23)。うーん、 「Googleが7年にわたって制限」というより「公取が7年間見逃し」なんじゃないの?
》 海自 SH-60K 2 機、夜間対潜訓練中に墜落 (4/20)。空中衝突か。
海自、SH-60K哨戒ヘリコプター2機が伊豆諸島・鳥島東の洋上で墜落 (FlyTeam, 4/22)
海上幕僚長の会見によると該当機は、海上自衛隊第22航空群の大村航空基地(長崎県大村市)と小松島航空基地(徳島県小松島市)に所属する「機体記号:8416 および 8443」の2機で、それぞれ護衛艦「はぐろ」と「きりさめ」に搭載されていました。
護衛艦はぐろ、きりさめ搭載のSH-60K計2機、鳥島沖約270kmの海域で墜落 海自SH-60は訓練飛行見合わせ (FUNECO, 4/21)
4月21日(日)の海上幕僚監部の公表によれば、墜落したのは、護衛艦「はぐろ(DDG-180)」に搭載されていたSH-60K「8416」号機と、護衛艦「きりさめ(DD-104)」搭載のSH-60K「8443」号機。
司令官査察中の海自ヘリ事故に衝撃 対潜戦「任務の核心中の核心」 (朝日, 4/21)
関係者によると、今回の事故は、海上自衛隊の護衛艦部隊のトップ・護衛艦隊司令官が、海自第4護衛隊群(4群、広島県呉市)の練度を確認する「訓練査閲」の最中に起きたという。
「墜落ヘリ2機含め3機で対潜訓練中」「水深5500m」海幕長会見 (朝日, 4/21)
海自ヘリ墜落、夜間訓練中の事故は過去にも…2機は夜間の対潜水艦戦の訓練に参加 (読売, 4/22)
ヘリはソナーを海中につり下げるとき、海面から約20メートルの高さまで高度を下げてホバリングする。その地点で情報収集を終えると、高度約50メートルまで上昇し、別の地点に移動する。3機であれば、敵潜水艦を中心に「三角」の位置関係を保ちながら標的を追尾する。事故当時も、現場の空域では墜落した2機を含む計3機が飛行していた。
海自ヘリ2機墜落事故 フライトレコーダー解析で機体に異常なし (NHK, 4/22)
海上自衛隊によりますと、2機は当時、潜水艦を探知する訓練を行っていましたが、訓練は部隊の技量を幹部が確認する「査閲」と呼ばれる検定の一環で行われていたことが、防衛省関係者への取材でわかりました。
今回の「査閲」は広島県の呉基地に司令部がある第4護衛隊群を対象に行われ、部隊が警戒監視などの任務にあたるうえで必要な技量を有しているかどうか検証が行われたということです。
海自ヘリ2機墜落事故 互いの位置情報 共有システムで結ばれず (NHK, 4/22)
海上自衛隊によりますと、このヘリコプターには、目標の情報などをリアルタイムで共有するため、複数の機体を電波でつないで互いの位置情報などを共有する、「僚機間リンク」と呼ばれるシステムが搭載されていますが、2機どうしはこのシステムで結ばれていなかったことが、防衛省関係者への取材で分かりました。
防衛省関係者によりますと、このヘリコプターが複数で飛行する際には、基本的に「僚機間リンク」で互いに結び、接近した際には警報音が鳴って衝突を回避するということです。
木原防衛大臣臨時会見
》 ドローン迎撃ミサイルの不足、イランの攻撃で再浮上 (Wall Street Journal, 4/19)。誘導弾は高価な上に、簡単には増産できないんだよなあ。
米軍は主にイージス艦のミサイル防衛システムで、紅海を航行する自国船や商船を保護しているほか、機銃でドローンを撃破する「ファランクス」システムも活用している。
ファランクス (有効射程 1.5km) の弾もけっこうなお値段します: ファランクスのバースト射撃にかかる費用は4,600ドル~6,900ドル (航空万能論 GF, 3/14)。バースト射撃 (2秒) で 100 万円。
関連: 海自、ファランクス近接防御システムを最新型に改修 (TOKYO EXPRESS, 2018.03.17)。既設のファランクス Block 1 および Block 1B Baseline 1 (計 24 基) を Block 1B Baseline 2 にアップグレードする話。
最新型のファランクス“Block 1B”は、図2で“赤外線探知装置FLIR)”と表示した統合型電子光学(Electro Optic)センサーが付加され小型目標への対処能力が向上している。この改良で、小型・高速の航空機、ヘリコプター、無人機(UAS)やドローンへの対応も可能になった。
逆に言うと、Block 1B でないと対ドローン戦は困難と。
TOKYO EXPRESS 記事の元ねたはこれかなあ: JAPAN - MK 15 Phalanx Close-in Weapon System (CIWS) Block IB Baseline 2 Conversion Kits (dsca.mil, 2018.03.02)。しかしこれは、 Block 1B Baseline 1 を Block 1B Baseline 2 にアップグレードする話で、 Block 1 を Block 1B Baseline 2 にする話ではない。うーむ。
》 EU、「TikTok Lite」の中毒性に懸念 報酬プログラム停止措置の可能性も (ITmedia, 4/23)
今回の調査のポイントは、TikTokがフランスとスペインで新たに開始した「TikTok Lite」の報酬プログラムに関するものだ。(中略) 欧州委員会は、この機能が「中毒性の行動を刺激する」ことで若いユーザーのメンタルヘルスに悪影響を与える可能性があると懸念している。
》 「Vポイント」の不具合、2日目も解消せず TポイントとのID連携復旧も、アプリが利用しづらい状態に (ITmedia, 4/23)
関連: Tポイント統合、青と黄色の新「Vポイント」スタート アプリも刷新 (ITmedia, 4/22)
》 「OneDrive、SharePoint、Boxがマルウェア配布に悪用されている」とNetskopeが警告 (クラウド Watch, 4/17)。「Netskopeの顧客約3000社が対象」。 3000社のうち、日本の顧客は何社なんだろう。
》 国土地理院が南極大陸全域の1,000万分の1地図を約60MBのPDFとして配布開始 (窓の杜, 4/19)。狂気山脈は載ってません。
》 遺族にもよく分からない故人のサブスク、解約できないと永遠に請求が続くのか? (Internet Watch, 4/19)
しかし、多くの場合は遺品整理の過程でクレジットカードを退会したり、銀行口座を凍結したりすると思われます。サブスク契約自体には気づかなくても、そこで平常の支払いが一旦断然するわけです。
この断絶をもって、猶予期間を経たうえで契約解除とするサブスクサービスも少なくありません。問題はそれでも何らかの手段で請求が続けられるケースです。
しかしこれも、通常は「1年ちょっと」で請求が止まる模様。
Firefox 125.0.1 / ESR 115.10.0、Thunderbird 115.10.1 公開 (2024.04.16)
Firefox 125.0.2 公開。「信頼できない URL からのダウンロードのより積極的なブロック」機能で不具合が発生、一時的に無効化。
Firefox 125.0.2 がリリースされた (mozillaZine, 2024.04.23)
「Firefox 125」で導入されたダウンロード保護機能でトラブル、変更が撤回 v125.0.2が安定版に (窓の杜, 2024.04.23)
》 米下院が608億ドルのウクライナ支援法案を可決、ロシア凍結資産の転用も (航空万能論 GF, 4/21)
》 ウクライナ軍、ATACMSでクリミアのロシア軍基地を集中攻撃 甚大な被害 (Forbes Japan, 4/22)。ATACMS M39。
》 2度の大戦生き延びた世界最古の軍艦、ウクライナが攻撃 潜水艦救難艦「コムーナ」 (Forbes Japan, 4/22)
》 政府が令状なしで国民を監視できる法律にバイデン大統領が署名 (gigazine, 4/22)。FISA 702 → RISAA。
FISAは、テロやスパイ活動の兆候を探るために、アメリカ国内にいる外国人の活動を監視することを許可した法律です。
2024年4月19日に法律が失効するにあたり、代わりとなる修正案(RISAA)が提出されたのですが、FISAよりも政府側の権限が拡大され、また、外国人だけではなくアメリカ人も対象に含まれプライバシー保護に懸念があることから、強い反対意見が出ていました。
》 Malicious PDF File Used As Delivery Mechanism (SANS ISC, 4/17)
》 東日本大震災で切断された海底ケーブルの修理に震災直後から従事した日本の海底ケーブル修理船の秘話 (gigazine, 4/18)
》 写真や動画の本物と偽物を見分ける新しい方法 (Kaspersky, 4/17)
》 NATO加盟後にスウェーデンへのDDoS攻撃が466%急増していたことがCloudflareによるDDoS攻撃レポートで発覚 (gigazine, 4/17)
》 米国 欧州 オランダ Akiraランサムウェアについてのアラート (まるちゃんの情報セキュリティ気まぐれ日記, 4/19)。Akira ランサムウェアって何だっけ?
Akira ランサムウェアの持続する攻撃 (Sophos, 2023.12.21)。そのアキラかい!
2024 年 4 月のセキュリティ更新プログラム (月例) (2024.04.11)
Microsoft は認めていないが、SmartScreen Prompt Security Feature Bypass Vulnerability New CVE-2024-29988 も 0-day だ、と主張している研究者がいる模様。
Microsoftの2024年4月のセキュリティ更新プログラムに関する疑問をきっかけに行った脆弱性の悪用傾向の調査 ((n)inja csirt, 2024.04.22)
THE APRIL 2024 SECURITY UPDATES REVIEW (ZDI, 2024.04.09)
そういえば出てました。
VirtualBox 7.0.16 公開。13 件のセキュリティ欠陥を修正。
VirtualBox 7.0.16 (released Apr 16 2024) (VirtualBox.org)
Oracle Virtualization Risk Matrix (Oracle, 2024.04.18)
Oracle Java SE Risk Matrix (Oracle)。 13 件のセキュリティ欠陥を修正。
JDK Releases (java.com)。 22.0.1 / 21.0.3 / 17.0.11 / 11.0.23 / 8u411 ですか。
JavaSE Development Kit 22.0.1 (JDK 22.0.1) (Oracle, 2024.04.16)
JavaSE Development Kit 21.0.3 (JDK 21.0.3) (Oracle, 2024.04.16)
JavaSE Development Kit 17, Update 17.0.11 (JDK 17.0.11) (Oracle, 2024.04.16)
Java SE 11.0.23 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.04.16)
Java SE 8u411 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.04.16)
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
ClamAV 1.3.1, 1.2.3, 1.0.6 patch versions published (ClamAV, 2024.04.17)。 1.3.1 に CVE-2024-20380 の修正が含まれる。 1.3.0 にのみ影響。
》 YouTubeが「広告ブロッカー」の取り締まりを強化しサードパーティーアプリも禁止に (gigazine, 4/16)
》 サードパーティーiOSアプリストア「AltStore PAL」がEUで開始、任天堂のゲーム用エミュレーター「Delta」などが無料ダウンロード可能に (gigazine, 4/18)
》 EUがMetaに「広告が嫌なら金払え」をやめろと勧告、無料で個人情報も使わない「第3の選択肢」義務化へ (gigazine, 4/18)。GDPR 第64条2項に抵触。
EDPBは今回の決定で、「行動ターゲティング広告目的で個人情報を処理するサービスが、有料の代替手段のみを提供することが普通であってはならない」とした上で、Metaがユーザーに突きつけているConsent or Payモデルは、不当な圧力によらない自由な同意を得ることを要件とするGDPRに準拠していないとの見方を示しています。(中略) また、EDPBは個人情報の利用への同意と有料サブスクリプションへの加入に加えて、料金の支払いや行動ターゲティング広告を伴わない「同等な代替手段」が提供されるべきだとしています。
NSO Group 方面 (2021.11.11)
関連:
イスラエルがスパイウエア企業に協力要請、ガザの人質救出で-関係者 (ブルームバーグ, 2023.10.27)
New spyware attacks exposed: civil society targeted in Jordan (Access Now, 2024.02.21)、 Confirming Large-Scale Pegasus Surveillance of Jordan-based Civil Society (CitizenLab, 2024.02.01)。ヨルダンですか。
Poland launches Pegasus spyware probe (Politico, 2024.02.19)。ポーランド。
イスラエル企業のスマホ向けスパイウェア「Pegasus」のコードをWhatsAppに引き渡すよう裁判所が命じる (gigazine, 2024.03.04)
Almost 600 people targeted with Pegasus spyware under former Polish government (Notes from Poland, 2024.04.16)。DeepL 訳:
旧与党「法と正義(PiS)」政権下の2017年から2022年にかけて、ポーランドで約600人がスパイウェア「ペガサス」による監視対象になっていたことが、現政権の法務大臣によって明らかにされた。
一方、治安サービス担当大臣は、多くの合法的なターゲットが監視されたとはいえ、単に旧政権にとって「都合の悪い」人物に対してペガサスが使われたケースが「あまりにも多かった」と言う。
CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect (2024.04.15)
状況がいろいろ変わっているようで。本家よりも JPCERT/CC の Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC) の方が変更点を追いやすい。
更新: 2024年4月17日追記
同社のアドバイザリが更新され、デバイステレメトリ機能が有効でなくても本脆弱性の影響を受けると報告されています。本項目の対象バージョンや条件に関する表記も変更いたしました。
どひー。本家 を見ると、
In earlier versions of this advisory, disabling device telemetry was listed as a secondary mitigation action. Disabling device telemetry is no longer an effective mitigation. Device telemetry does not need to be enabled for PAN-OS firewalls to be exposed to attacks related to this vulnerability.
基本的には OS 更新するしかないようで。既に更新版は全てリリースされた模様。 緩和策である Threat Prevention の Threat ID は 95187 の他に 95189 と 95191 が追加されたそうで。
Recommended Mitigation: Customers with a Threat Prevention subscription can block attacks for this vulnerability using Threat IDs 95187, 95189, and 95191 (available in Applications and Threats content version 8836-8695 and later). Please monitor this advisory and new Threat Prevention content updates for additional Threat Prevention IDs around CVE-2024-3400.
exploit もバンバン飛んでいるようで。 Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC) から引用:
更新: 2024年4月19日追記
脆弱性を悪用する攻撃が広く確認されている状況に変化したため、「I. 概要」の記載を変更し、「VI. 関連情報」に情報を追記しました。また、「V. 侵害調査方法」を追加しました。
Unit 42 の Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Palo Alto Networks Unit 42, 2024.04.7 更新) は随時更新されている他、日本語版も出てます: [2024-04-18 JST 更新]脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動 (Palo Alto Networks Unit 42, 2024.04.18 更新)
そういえば出てましたね。
Firefox 125.0.1 がリリースされた (mozillaZine, 2024.04.18)。Firefox 125.0 は欠番だそうで。
Firefox for Android 125 がリリースされた (mozillaZine, 2024.04.18)
Thunderbird 115.10.0 がリリースされた (mozillaZine, 2024.04.18)
Thunderbird 115.10.1 がリリースされた (mozillaZine, 2024.04.19)。不具合修正。
Firefox 125.0.2 公開。「信頼できない URL からのダウンロードのより積極的なブロック」機能で不具合が発生、一時的に無効化。
Firefox 125.0.2 がリリースされた (mozillaZine, 2024.04.23)
「Firefox 125」で導入されたダウンロード保護機能でトラブル、変更が撤回 v125.0.2が安定版に (窓の杜, 2024.04.23)
》 UAEなどで暴風雨、ドバイ空港が冠水 「過去75年で最大」の降水量で死者も (BBC, 4/18)
国立気象センターの発表によると、アル・アイン地方のハトム・アル・シャクラでは24時間以内に254.8ミリの雨が降った。
UAEの年間平均雨量は140~200ミリ。ドバイの年間平均雨量はわずか97ミリで、4月の平均雨量は8ミリ。
》 オッペンハイマー、68年後の名誉回復──その知られざる舞台裏 (WIRED, 4/1)
》 ボーイングの内部告発者が「ボーイング787型機は廃棄すべき」と語る (gigazine, 4/18)。Boeing はいったい全体どうなっているんだ。
サレプール氏によると、ボーイング787型機は胴体部分が適切に固定されておらず、数千回の飛行で破損する可能性があるとのこと。この問題は組み立てラインでの部品の取り付け方と固定方法に起因しているとサレプール氏は指摘しています。また、サレプール氏は具体的に明らかにしていませんが、777型機の製造工程にも問題があることを明らかにしました。
》 同意なしの性的なディープフェイク画像作成を禁止する法案がイギリスで提出される、作成者に画像共有の意図があるかどうかは関係なし (gigazine, 4/17)
》 InstagramとFacebookで有名人が画像を改変されたAIディープフェイクポルノ事件をMetaの監督委員会が調査へ (gigazine, 4/17)
》 「XZ Utils」に仕掛けられたサイバー攻撃と同様のものが他のプロジェクトにも仕掛けられているとOpenSSFが警告 (gigazine, 4/18)
》 パスワード管理ソフトウェア・LastPassの従業員を「AIで複製されたCEOの声」でだまそうとする事案が発生 (gigazine, 4/18)
》 ロシアのサイバー攻撃集団Sandwormをセキュリティ企業のMandiantが広域の脅威である「APT44」に認定 (gigazine, 4/18)
》 Windowsの回復パーティションの話から始めましょう (かつて山市良と呼ばれたおじさんのブログ, 4/10)。 「現状、WinREの更新が発生しないのは最新のWindows 11だけ」。
ウクライナ 「ドローン戦」で 変貌する戦争 (ロイター, 3/26)。図解多数入りのわかりやすい記事。
電子戦(EW)システムはドローンを阻止する最も効果的な方法であることが証明されている。両国軍ともEWシステムを使い、特定の地域の無線周波数を妨害する。ドローンの信号が妨害されると、妨害を受けた周波数によっては、操縦士は機体を制御する能力を失ったり、映像信号を見ることができなくなる。
EWシステムがもたらす課題の増大に伴い、ウクライナもロシアも人工知能(AI)によって誘導されるドローンの開発を競っている。こうしたドローンは、操縦士との通信を必要とせずに標的を特定しロックオンするため、信号の妨害を受けにくい。
AI 化 (自律化) が急激に進むかも。
米国製ドローン、ウクライナ戦況を変えられず (Wall Street Journal, 4/12)。 高コストな上に機能・性能が低く、おまけに壊れやすい。 DJI には全く勝てないと。
ウクライナは中国から数万機のドローンやドローン部品を入手する方法を見つけた。軍が利用するのは一般に出回っている中国製ドローンで、大半はSZ・DJIテクノロジーが製造したものだ。
ウクライナはまた、中国の部品を柱にして国内ドローン産業を発展させてきた。工場では爆弾を搭載できる小型で安価なドローンを数十万機規模で生産している。敵地の奥深くを攻撃したり、黒海のロシア船舶を狙ったりすることができる比較的大型のドローンも製造する。
米ドローンメーカーが苦戦しているのは、米政府の中国に対する政策対応の結果でもあると、業界幹部や元国防当局者は指摘する。ドローンメーカーに対して国防総省は中国製部品の使用禁止を含む厳しい要件を課しているため、小型ドローンの製造は高コストで困難になりがちだという。
Chrome 124.0.6367.60/.61 (Windows / Mac) および 124.0.6367.60 (Linux) が stable に。 23 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.04.16)。Chrome 124 (124.0.6367.54) for Android。
脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094) (2024.04.02)
関連:
XZ Utilsにバックドアを仕込んだ謎の人物「Jia Tan」の正体とは? 専門家たちの推理 (WIRED, 2024.04.13)
セキュリティ・リサーチャーたちが合意するのは、Jia Tanは少なくとも実在する人間でなく、ましてやこの件がひとりの人間の犯行である可能性は低いという点だ。むしろJia Tanは、統制のとれた組織による新戦術をオンラインで体現したペルソナであることは明らかなようだ。しかもその戦術は危うく効力を発揮するところだった。
PuTTY 0.67〜0.80 に欠陥。 NIST P-521 楕円曲線を用いる ECDSA 秘密鍵からシグネチャを生成する際の ECDSA nonce の生成に致命的な偏り (最初の 9 bit が常に 0) があり、 秘密鍵を容易に復元できてしまう。CVE-2024-31497
PuTTY および/または PuTTY を利用するアプリケーションで NIST P-521 な ECDSA 鍵を使用している場合、当該の鍵は直ちに破棄すべき。NIST P-256 や NIST P-384 についてはこの限りではない。
影響を受ける、PuTTY を利用するアプリケーション例:
- FileZilla 3.24.1 - 3.66.5
- WinSCP 5.9.5 - 6.3.2
- TortoiseGit 2.4.0.2 - 2.15.0
- TortoiseSVN 1.10.0 - 1.14.6
PuTTY 0.81 で修正されている。 PuTTYrv (PuTTY-ranvis) も 0.81 ベースのものがリリースされている。 また上記アプリケーションについては以下で修正されている。
関連:
決定論的署名(Deterministic signature) (quiita, 2019.12.23)
ナンスを適切に設定しないと秘密鍵が漏れてしまいます。 (中略) ナンスをランダムにする必要があります。 (中略) そこで、ECDSAでは、RFC 6979というものが定義されています。
PuTTY は 0.81 でようやく RFC 6979 になったのだそうです。
PuTTY vulnerability vuln-p521-bias (PuTTY)
This technique is now mainstream, and RFC 6979 documents a specific well-known way of doing it. But PuTTY didn't follow that specification, because we started doing the same thing in 2001, and the RFC wasn't published until 2013.
PuTTY's technique worked by making a SHA-512 hash, and then reducing it mod q, where q is the order of the group used in the DSA system. For integer DSA (for which PuTTY's technique was originally developed), q is about 160 bits; for elliptic-curve DSA (which came later) it has about the same number of bits as the curve modulus, so 256 or 384 or 521 bits for the NIST curves.
In all of those cases except P521, the bias introduced by reducing a 512-bit number mod q is negligible. But in the case of P521, where q has 521 bits (i.e. more than 512), reducing a 512-bit number mod q has no effect at all – you get a value of k whose top 9 bits are always zero.
ECDSA: Handle with Care (Trail of Bits Blog, 2020.06.11)。ECDSA は弱い、代わりに EdDSA を使え、という記事。
Generating a new SSH key and adding it to the ssh-agent (GitHub)。EdDSA の一種 ed25519 と RSA 4096 にしか触れられていない。
CVE-2024-31497: Secret Key Recovery of NIST P-521 Private Keys (oss-sec ML, 2024.04.15)。脆弱性発見者による post。
Paper 2020/1540 On Bounded Distance Decoding with Predicate: Breaking the "Lattice Barrier" for the Hidden Number Problem (IACR Cryptology ePrint Archive)。脆弱性発見者による 2020 年の論文。 nonce が X bit 漏洩した場合にどれくらいで ECDSA を破れるか。 8 bit までしか書かれてない。 9 bit の場合は 58 シグネチャで 50%、 59 で 94%、60 で 100% だそうだ。
》 鳥インフルエンザが、かつてない規模で哺乳類へと広がっている (WIRED, 4/13)。H5N1 の件。ひたひたと迫ってきている。
報復攻撃の火種: シリアのイラン大使館領事部への攻撃 (4/1)
シリアのイラン大使館領事部に空爆、死者多数 イスラエルを非難 (BBC, 4/2)
イスラエルは、イランとヒズボラがこれまで、一部で予想されていたほど強い攻勢に出てこなかったことに着目。今回、イランとヒズボラが反撃に出るかを見定めるとみられる。
何らかの反応は予想されるが、大勢が思うようなものにはならない可能性がある。ミサイル攻撃ではなく、ある種のサイバー攻撃もあり得る。
ナーメテーター案件。
懸念。
バイデン氏、イランのイスラエル攻撃は近くあり得ると予想 大使館空爆めぐる報復懸念 (BBC, 4/13)。「いずれではなく、もっと手前で」
攻撃。弾道ミサイル・巡航ミサイル・自爆ドローン計「300発以上」(イスラエル軍発表) による複合攻撃。 ただし、どうやらイランから事前通告が行われていた模様。 また米国側は周辺各国の早期警戒情報を利用できた模様。 つまり、奇襲では全くない。示威行為か。
弾道ミサイルは主にアローシステムで、巡航ミサイルと自爆ドローンは主に各国の戦闘機で迎撃された模様。
イスラエル、「イランの攻撃の99%を迎撃」 (JETRO, 4/15)。「ミサイル警報アプリ(Tzofar)の4月14日の空襲警報画面」が興味深い。
イラン、イスラエルにドローンやミサイル発射 米軍が支援し「ほとんど」迎撃とバイデン氏 (BBC, 4/14)
イランがイスラエルに報復、ミサイルなど300発以上発射 少女1人負傷 (毎日, 4/14)
イスラエル軍によると、イランによる攻撃は無人機約170機と30発あまりの巡航ミサイル、120発以上の弾道ミサイルによって行われた。イスラエル軍は米国などの支援を受け「99%」(ハガリ報道官)を迎撃。
【詳細】イラン イスラエルに無人機やミサイルで大規模攻撃 (NHK, 4/14)
イスラエル軍元准将、イランの攻撃阻止にかかった費用は1,600億円以上 (航空万能論 GF, 4/14)。誘導弾はとにかく高価なのだよなあ。
各国の戦闘機: イスラエル、米国、イギリス、ヨルダン、フランス。
イラン無人機、米軍が周辺基地から撃墜 ヨルダンも迎撃 (ロイター, 4/14)
イランの無人機 イギリス軍の戦闘機が撃墜 スナク首相が表明 (TBS, 4/15)
イランの攻撃を「99%」迎撃 米高官が明かした防衛の内幕 (毎日, 4/16)
地中海東部に展開する米軍の駆逐艦2隻が弾道ミサイル4~6発を破壊し、米軍機が70機以上のドローンを撃墜した。イラク北部でも米軍の地対空ミサイルが弾道ミサイル1発を迎撃したが、大半の弾道ミサイルはイスラエルの防衛システムが撃ち落とした。
How the U.S. Forged a Fragile Middle Eastern Alliance to Repel Iran’s Israel Attack (Wall Street Journal, 4/15)。DeepL 訳:
攻撃の2日前、イラン政府高官は、サウジアラビアやその他の湾岸諸国の担当者に、イスラエルへの大規模な攻撃計画の概要とタイミングについて説明し、これらの国々が領空を守ることができるようにしたという。この情報はアメリカにも伝えられ、ワシントンとイスラエルに重要な事前警告を与えた。
イランのミサイルとドローンは、発射された瞬間から、ペルシャ湾諸国の早期警戒レーダーによって追跡され、カタールにあるアメリカの作戦センターにリンクされ、ヨルダン上空やその他の空域にいる数カ国の戦闘機や、海上の軍艦、イスラエルのミサイル防衛砲台に情報が送信された、と当局者は語った。
動きの遅いイランの無人機が射程内に入ると、ほとんどがイスラエルとアメリカの戦闘機によって、少数ではあるがイギリス、フランス、ヨルダンの戦闘機によって撃墜されたと当局者は語った。
エスカレーションはあるか?
イラン、イスラエルへの報復攻撃完了を宣言「成功した」「限定的な作戦だった」 (読売, 4/14)
イスラエルとイラン、全面戦争をアメリカや西側は防げるのか=BBC国際編集長 (BBC, 4/15)
イスラエルの今後の動きは? イランと単独衝突には余力なしか (毎日, 4/15)
イスラエルを支持しつつ、自制を求める バイデン米政権のジレンマ (毎日, 4/15)
イスラエル軍幹部、イランへの反撃明言 戦時内閣は結論出さず (毎日, 4/16)
イスラエル、全面戦争は回避の意向 イランに攻撃でも=報道 (ロイター, 4/16)。「イスラエルの民放テレビ局チャンネル12が情報源を明かさずに報じた」
》 ウクライナは今年、負けるかもしれないと英軍元司令官 それはどのように (BBC, 4/13)
》 北朝鮮IT労働者に関する企業等に対する注意喚起 (警察庁, 3/26)
【問合せ先】 北朝鮮IT労働者の関与が疑われる場合には、プラットフォームの管理責任者に相談するほか、関係機関に御相談ください。
・ 警察庁警備局外事情報部外事課 [email protected]
・ 外務省北東アジア第二課 [email protected]
・ 財務省国際局調査課対外取引管理室 [email protected]
・ 経済産業省商務情報政策局情報技術利用促進課 [email protected]
》 Windows 10 ESU を利用するタイミング (Windows Blog, 4/3)
各種プログラミング言語における Windows コマンドの引数エスケープ方法に欠陥があり、 意図しないコマンドが実行される恐れがあった話。
この問題は、少なくとも以下のプログラミング言語で確認され、修正されている。
- Haskell:「process-1.6.19.0」で対処済み(CVE-2024-1874)
- Node.js:v21.7.3、v20.12.2、v18.20.2で対処済み(CVE-2024-27980)
- Rust:v1.77.2で対処済み(CVE-2024-24576)
- PHP:v8.1.28、v8.2.18、v8.3.6で対処済み(CVE-2024-1874)
- yt-dlp:v2024.04.09で対処済み(CVE-2023-40581)
元はといえば cmd.exe の仕様が腐っているのだろうけどなあ。 `std::process::Command` did not properly escape arguments of batch files on Windows (GitHub rust-lang)
Due to the complexity of cmd.exe, we didn't identify a solution that would correctly escape arguments in all cases. To maintain our API guarantees, we improved the robustness of the escaping code, and changed the Command API to return an InvalidInput error when it cannot safely escape an argument. This error will be emitted when spawning the process.
どのくらいの複雑さなら耐えられるんだろう……。
JVN#58236836 バッファロー製無線LANルーターにおける複数の脆弱性 (JVN, 2024.04.15)
いずれも Priority: 3。
Security Updates Available for Adobe After Effects | APSB24-09 (Adobe, 2024.04.09)
Security update available for Adobe Photoshop | APSB24-16 (Adobe, 2024.04.09)
Security update available for Adobe Commerce | APSB24-18 (Adobe, 2024.04.09)
Security Update Available for Adobe InDesign | APSB24-20 (Adobe, 2024.04.09)
Security updates available for Adobe Experience Manager | APSB24-21 (Adobe, 2024.04.09)
Security Updates Available for Adobe Media Encoder | APSB24-23 (Adobe, 2024.04.09)
Security Updates Available for Adobe Bridge | APSB24-24 (Adobe, 2024.04.09)
Security Updates Available for Adobe Illustrator | APSB24-25 (Adobe, 2024.04.09)
Security updates available for Adobe Animate | APSB24-26 (Adobe, 2024.04.09)
FortiOS & FortiProxy - administrator cookie leakage (Fortinet, 2024.04.09)
WordPress 6.5.2セキュリティリリース (WordPress, 2024.04.10)
》 HOYA、めがねレンズの出荷を一部再開 不正アクセスによるシステム障害から「一部が回復」 (ITmedia, 4/12)
》 読売新聞とNTTが生成AIのあり方に関する共同提言を発表 (NTT, 4/8)。結論だけポコッと出されてもなあ。どのような体制でどのような検討がなされ何故この結論となったたのか、さっぱりわからない。
生成AIのガバナンスのあるべき姿についての共同検討を2023年の秋に開始し
検討期間の記述が雑なのも気になるし、
事務局:慶應義塾大学サイバー文明研究センター(山本龍彦、クロサカタツヤ)
提言の最後に何の説明もなく慶應が出てくるのも気になる。 「生成 AI のあり方に関する共同提言」に参画 (KGRI, 4/9) には「共同検討を支援し」「共同提言」に参画」とあるが、 慶應の関与はどの程度なのか。 はたして「読売新聞とNTTの共同提言」と本当に言えるのか。
》 封印された極秘資料入手!「デュポン・ファイル」が明かす地下水汚染・大気汚染・体内汚染の実態【大型スクープ連載開始】 (諸永裕司 / SlowNews, 4/2)。三井・デュポンフロロケミカル (現:三井・ケマーズフロロプロダクツ) 清水工場の PFAS 汚染。
幹部たちは2000年代に入って「対策をとってきた」と強調するが、逆に言えば、それ以前は汚染物質が垂れ流されていたのだ。一度汚染されれば、除去するのは容易ではない。「デュポン・ファイル」からは、そうした実態を示す資料やデータが次々と見つかった。
》 Windows11のスタートメニューに広告表示。Microsoftが実験開始 (ニッチなPCゲーマーの環境構築Z, 4/15)。いちおう「オフにする手段がある」そうです。
》 Windows10にWindows11への移行を促す全画面ポップアップが表示。「嫌がらせ」と報じられる (ニッチなPCゲーマーの環境構築Z, 4/12)
Palo Alto Networks PAN-OS 10.2 / 11.0 / 11.1 系列に 0-day 欠陥。 GlobalProtect gateway および/または GlobalProtect portal が有効で、かつ device telemetry が有効な場合に、remote から無認証で任意のコードをファイアウォールの root 権限で実行できる。 CVE-2024-3400。 この欠陥は Cloud NGFW、Panorama アプライアンス、Prisma Access には影響しない。
JPCERT/CC の Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC, 2024.04.15) によると、device telemetry は対象 OS のほとんどのバージョンでデフォルト有効となっている模様。
Palo Alto Networksのページによると、下記バージョンではデバイステレメトリ機能がデフォルトで有効とのことです。
(デバイステレメトリ機能がデフォルトで有効であるPAN-OSのバージョン)
- PAN-OS 11.0系、11.1系:11.0.1およびそれ以降のバージョン
- PAN-OS 10.2系:10.2.4およびそれ以降のバージョン
Palo Alto Networks
Device Telemetry Overview
(PAN-OS 11.1)
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/device-telemetry/device-telemetry-overview
(PAN-OS 11.0)
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-overview
(PAN-OS 10.2)
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/device-telemetry/device-telemetry-overview
緩和策としては、Threat Prevention サブスクリプション加入者には Threat ID 95187 を使って抑止することが推奨されている。 非加入の場合は、 device telemetry を無効にすることで抑止できる。
修正版 PAN-OS も一部リリースし始められており、今週中にはリリースされる模様。
関連:
Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) (volexity, 2024.04.12)。震源地。
Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Palo Alto Networks Unit 42, 2024.04.12)
PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 についてまとめてみた (piyolog, 2024.04.15)
状況がいろいろ変わっているようで。本家よりも JPCERT/CC の Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC) の方が変更点を追いやすい。
更新: 2024年4月17日追記
同社のアドバイザリが更新され、デバイステレメトリ機能が有効でなくても本脆弱性の影響を受けると報告されています。本項目の対象バージョンや条件に関する表記も変更いたしました。
どひー。本家 を見ると、
In earlier versions of this advisory, disabling device telemetry was listed as a secondary mitigation action. Disabling device telemetry is no longer an effective mitigation. Device telemetry does not need to be enabled for PAN-OS firewalls to be exposed to attacks related to this vulnerability.
基本的には OS 更新するしかないようで。既に更新版は全てリリースされた模様。 緩和策である Threat Prevention の Threat ID は 95187 の他に 95189 と 95191 が追加されたそうで。
Recommended Mitigation: Customers with a Threat Prevention subscription can block attacks for this vulnerability using Threat IDs 95187, 95189, and 95191 (available in Applications and Threats content version 8836-8695 and later). Please monitor this advisory and new Threat Prevention content updates for additional Threat Prevention IDs around CVE-2024-3400.
exploit もバンバン飛んでいるようで。 Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC) から引用:
更新: 2024年4月19日追記
脆弱性を悪用する攻撃が広く確認されている状況に変化したため、「I. 概要」の記載を変更し、「VI. 関連情報」に情報を追記しました。また、「V. 侵害調査方法」を追加しました。
Unit 42 の Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Palo Alto Networks Unit 42, 2024.04.7 更新) は随時更新されている他、日本語版も出てます: [2024-04-18 JST 更新]脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動 (Palo Alto Networks Unit 42, 2024.04.18 更新)
関連:
Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC, 2024.04.25 更新)
更新: 2024年4月25日追記
2024年4月23日(現地日付)、Palo Alto Networksは本脆弱性を悪用する攻撃を受けた場合の対処方法や手順に関する情報を公開しました。侵害のレベルに応じて推奨する対処方法が掲載されています。同社が提供する最新の情報をご確認の上で、必要な対処の実施もご検討ください。
Palo Alto Networks
How to Remedy CVE-2024-3400
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK
Detecting Compromise of CVE-2024-3400 on Palo Alto Networks GlobalProtect Devices (Volexity, 2024.05.15)。log とネットワークモニタリングによる侵害検出の話。
》 Microsoftの元開発者がWindows11に苦言。「スタートメニューは滑稽なほどひどい」 (ニッチなPCゲーマーの環境構築Z, 4/12)
》 Apple EU圏内で代替アプリストア利用可能に (Kaspersky, 3/28)
重要なのは、Appleが無秩序な状態を防ごうとしていることです。アプリのマーケットプレイスを登録するには、開発者は審査を通過し、100万ユーロのスタンドバイ信用状を提出する必要があります。同一のアプリの異なるバージョンをApp Storeと代替ストアの両方にアップロードすることは禁止されています。開発者がどのストアでもアプリを公開したい場合は、同一のものでなければなりません。最後に、すべてのアプリはAppleの「公証」を取得する必要があります。このプロセスとmacOSの公証の同一性が証明された場合、Appleは手動でレビューするのではなく、マルウェアの自動スキャンを実行し、特定の技術的推奨事項への準拠をチェックすることになるでしょう。
》 ランサムウェア攻撃事案から見る、ファーストレスポンダー同士の情報共有が必要な理由 (JPCERT/CC, 3/26)
》 制御システムセキュリティカンファレンス 2024 開催レポート (JPCERT/CC, 3/14)
》 「制御系SIRTの機能を備えるための手引き」(CSIRTマテリアル補完資料) (JPCERT/CC, 3/27)
》 「大谷選手は被害者」と米連邦検察 口座ひも付けの電話番号・メールアドレスが水原氏に変更されていた (ITmedia, 4/12)。腹黒通訳が言語障壁をさんざん悪用と。 悪意ある proxy の恐さよ。
口座は18年に開設しており、水原氏は英語が話せない大谷選手とアリゾナ州の銀行支店に同行。年俸を受け取るための口座開設を手伝っており、口座に関する詳細設定も通訳していた。「開設した口座にアクセスできた」(エストラーダ連邦検事)という水原氏は、日本語が話せない大谷選手の会計士や財務顧問などに対し、大谷選手の意向であるかのように、この口座にアクセスしないように伝えたとされる。
宣誓供述書によると、水原氏は21年9月に違法なスポーツブックでギャンブルを始め、数カ月後には多額の損失を出し始めたという。この間、大谷選手の銀行口座の連絡先情報が変更され、その口座が水原氏の電話番号と水原氏につながる匿名のメールアドレスにリンクされたとされる。これは、二段階認証などの本人確認も水原氏に届いていたものと考えられる。
また水原氏は、銀行に大谷選手であると偽って電話をかけ、行員をだまして大谷選手の銀行口座から違法賭博行為の関係者への電信送金を指示したという。なお、ギャンブルで勝った時の賞金は、大谷選手の口座ではなく水原氏自身の口座に送金していたとされている。
元ねた: Japanese-Language Translator Charged in Complaint with Illegally Transferring More Than $16 Million from Baseball Player’s Account (justice.gov, 4/11)。justice.gov からプレスリリースが出るような案件なんだなあ。 DeepL 訳:
水原一平容疑者(39歳、ニューポートビーチ在住)は、銀行詐欺で起訴されており、最高刑は連邦刑務所30年の重罪である。
(中略)
先週の警察とのインタビューで、大谷は水原の電信送金の許可を否定した。大谷は自分の携帯電話を警察当局に提供したが、警察当局は、大谷が水原の違法賭博行為や借金の支払いに気づいていた、あるいは関与していたことを示唆する証拠はないと判断した。
当該携帯電話は当然フォレンジック解析されたのだろうが、その結果はシロと。
》 ロシア企業からの支払い、中国が精査厳格化か 電子部品に影響 (ロイター, 4/12)
》 Apple の脅威の通知と金銭目当てのスパイウェアへの対策について (Apple, 4/10)。誤訳がひどい。
市民社会組織、テクノロジー企業、ジャーナリストによる公的報告や研究によると、このように莫大なコストをかけ複雑で個人を標的とした攻撃は、歴史的に国家主体と結び付けられてきました (NSO Group 社の Pegasus のように、国家主体に代わって金銭目的のスパイウェアを開発する民間企業も含む)。
Pegasus は「金銭目的の」スパイウェアじゃないし、そもそも「金銭目的のスパイウェア」って何だ?
なんじゃこりゃと思って英語版を見ると、 About Apple threat notifications and protecting against mercenary spyware (Apple, 4/10) である。金銭目的のスパイウェアじゃなくて mercenary spyware = 傭兵スパイウェア。 Apple の翻訳チームは何をやっているんだ。 これでも見て勉強してくれ: Mercenary spyware: Defending against what's next Ι 2023 (incubator for Media Education & Development / YouTube)
この誤訳は昨日今日はじまったものではない模様:
Apple、金銭目当ての高度な標的型スパイウェアからユーザーを保護するための業界をリードする取り組みを拡大 (Apple, 2022.07.06)
Apple expands industry-leading commitment to protect users from highly targeted mercenary spyware (Apple, 2022.07.06)
関連:
Apple Warns Top Indian Opposition Leaders, Journalists About ‘State-Sponsored’ Attack on Phone (THE WIRE, 2023.10.31)
Exclusive: Apple warns users of "mercenary spyware" attack; India, 91 other countries impacted (Economic Times, 4/12)
Apple Warns Users In 92 Countries They May Have Been Targeted By Mercenary Spyware Attacks (Forbes, 4/11)
》 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」を策定しました (経産省, 4/4)
》 ChromeやEdgeに市松模様が表示される不具合を回避する方法。GeForce環境で発生する異常表示 [Update 2: 現状についてMicrosoftがコメント] (ニッチなPCゲーマーの環境構築Z, 4/11)
》 Intel、Wi-Fiドライバ23.40.0を公開。ブルースクリーンエラー(BSoD)の不具合を再度修正 (ニッチなPCゲーマーの環境構築Z, 4/11)
Western Digital、HDDを値上げ (ニッチなPCゲーマーの環境構築Z, 4/10)。5〜10%?
GeForce RTX 4000シリーズ等の仕切り価格が値上げ (ニッチなPCゲーマーの環境構築Z, 4/9)
Micron、メモリとSSD価格を大幅に値上げ。2024年第2四半期中に (ニッチなPCゲーマーの環境構築Z, 4/9)。25% 以上?!
》 プルデンシャル生命保険で個人情報不正持ち出し 元社員が転職先で営業活動に利用 (ITmedia, 4/11)、 当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ (プルデンシャル生命保険, 4/9)
》 iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う (ITmedia, 4/12)。MFA = 多要素認証。
攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。
あぁ、これ一連のものだったのですね。 詳細: HTTP/2 CONTINUATION Flood: Technical Details (nowotarski.info, 2024.04.03)
Chrome 123.0.6312.122/.123 (Windows) 123.0.6312.122/.123/.124 (Mac) 123.0.6312.122 (Linux) 公開。3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2024.04.10)。Chrome 123 (123.0.6312.118) for Android。
関連:
「Microsoft Edge」にセキュリティ更新 ~「Angle」のヒープバッファーオーバーフローなど v123.0.2420.97への更新を (窓の杜, 2024.04.15)
》 【単独取材】ジャニーズ解体のその後……SMILE-UP. 東山社長、BBCの多数の質問に答える (BBC, 3/30)
》 Toward greater transparency: Adopting the CWE standard for Microsoft CVEs (MSRC, 4/8)
2024.04.16 追記: Microsoft、セキュリティレポートに「CWE」標準を採用、脆弱性のタイプを分類して表示 (窓の杜, 4/16)
》 TOMOYO/AKARI/CaitSith プロジェクトを SourceForge.net へ引っ越しました (熊猫さくらのブログ, 4/1)
》 さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査 (ITmedia, 4/4)。 HYAS Threat Intel Report April 1 2024 (HYAS, 4/1) で Summary of Top ASNs and Malware Origins として挙げられている 4 つの AS に さくらが含まれているという話。
HYAS Report では AS216309 については詳細な記述があるが、 AS7684 については簡便に記されているだけ。
AS7684 が特出しされていることに関して、何を見ると検証できるんだろう。たとえばこういうの?
Overview for AS7684 SAKURA-A (cloudflare radar)
Overview for AS131965 XSERVER (cloudflare radar)
Overview for AS4713 OCN (cloudflare radar)
Overview for AS2497 IIJ (cloudflare radar)
Overview for AS2527 So-net (cloudflare radar)
Overview for AS9605 docomo (cloudflare radar)
Overview for AS2907 SINET-AS (cloudflare radar)
spam だとこんな感じなのだけど。
AS7684 SAKURA Internet Inc. (CleanTalk)
AS131965 Xserver Inc. (CleanTalk)
AS4713 NTT Communications Corporation (CleanTalk)。「SPAM active IP addresses」という、さくらや Xserver には存在しない項が登場している。
AS2497 Internet Initiative Japan Inc. (CleanTalk)
AS2527 Sony Network Communications Inc. (CleanTalk)。「SPAM active IP addresses」あり。
AS9605 NTT DOCOMO, INC. (CleanTalk)。「SPAM active IP addresses」あり。
AS2907 Research Organization of Information and Systems, National Institute of Informatics (CleanTalk)
Microsoft 2024.04 patch 出ました。 149 MS CVE + 6 non-MS CVE (Intel x 1, lenovo x 2, Crome x 3)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET と Visual Studio CVE-2024-21409
- Azure CVE-2024-29993
- Azure AI 検索 CVE-2024-29063
- Azure Arc CVE-2024-28917
- Azure Compute Gallery CVE-2024-21424
- Azure Migrate CVE-2024-26193
- Azure Monitor CVE-2024-29989
- Azure Private 5G Core CVE-2024-20685
- Azure SDK CVE-2024-29992
- Intel CVE-2022-0001
- Microsoft Azure Kubernetes Service CVE-2024-29990
- Microsoft Brokering File System CVE-2024-26213 CVE-2024-28904 CVE-2024-28905 CVE-2024-28907
- Microsoft Defender for IoT CVE-2024-21322 CVE-2024-21323 CVE-2024-21324 CVE-2024-29053 CVE-2024-29054 CVE-2024-29055
- Microsoft Edge (Chromium ベース) CVE-2024-29049 CVE-2024-29981 CVE-2024-3156 CVE-2024-3158 CVE-2024-3159
- Microsoft Office Excel CVE-2024-26257
- Microsoft Office Outlook CVE-2024-20670
- Microsoft Office SharePoint CVE-2024-26251
- Microsoft WDAC ODBC ドライバー CVE-2024-26214
- Microsoft インストール サービス CVE-2024-26158
- SQL Server CVE-2024-28906 CVE-2024-28908 CVE-2024-28909 CVE-2024-28910 CVE-2024-28911 CVE-2024-28912 CVE-2024-28913 CVE-2024-28914 CVE-2024-28915 CVE-2024-28926 CVE-2024-28927 CVE-2024-28929 CVE-2024-28930 CVE-2024-28931 CVE-2024-28932 CVE-2024-28933 CVE-2024-28934 CVE-2024-28935 CVE-2024-28936 CVE-2024-28937 CVE-2024-28938 CVE-2024-28939 CVE-2024-28940 CVE-2024-28941 CVE-2024-28942 CVE-2024-28943 CVE-2024-28944 CVE-2024-28945 CVE-2024-29043 CVE-2024-29044 CVE-2024-29045 CVE-2024-29046 CVE-2024-29047 CVE-2024-29048 CVE-2024-29982 CVE-2024-29983 CVE-2024-29984 CVE-2024-29985
- SQL 用 Microsoft WDAC OLE DB プロバイダー CVE-2024-26210 CVE-2024-26244
- Windows BitLocker CVE-2024-20665
- Windows Cryptographic サービス CVE-2024-26228 CVE-2024-29050
- Windows Defender Credential Guard CVE-2024-26237
- Windows DHCP サーバー CVE-2024-26195 CVE-2024-26202 CVE-2024-26212 CVE-2024-26215
- Windows DWM Core ライブラリ CVE-2024-26172
- Windows HTTP.sys CVE-2024-26219
- Windows Kerberos CVE-2024-26183 CVE-2024-26248
- Windows Remote Access Connection Manager CVE-2024-26207 CVE-2024-26211 CVE-2024-26217 CVE-2024-26230 CVE-2024-26239 CVE-2024-26255 CVE-2024-28900 CVE-2024-28901 CVE-2024-28902
- Windows Storage CVE-2024-29052
- Windows Telephony Server CVE-2024-26242
- Windows Update Stack CVE-2024-26235 CVE-2024-26236
- Windows USB プリント ドライバー CVE-2024-26243
- Windows Virtual Machine Bus CVE-2024-26254
- Windows Win32K - ICOMP CVE-2024-26241
- Windows インターネット接続の共有 (ICS) CVE-2024-26252 CVE-2024-26253
- Windows カーネル CVE-2024-20693 CVE-2024-26218 CVE-2024-26229 CVE-2024-26245
- Windows セキュア ブート CVE-2024-20669 CVE-2024-20688 CVE-2024-20689 CVE-2024-23593 CVE-2024-23594 CVE-2024-26168 CVE-2024-26171 CVE-2024-26175 CVE-2024-26180 CVE-2024-26189 CVE-2024-26194 CVE-2024-26240 CVE-2024-26250 CVE-2024-28896 CVE-2024-28897 CVE-2024-28898 CVE-2024-28903 CVE-2024-28919 CVE-2024-28920 CVE-2024-28921 CVE-2024-28922 CVE-2024-28923 CVE-2024-28924 CVE-2024-28925 CVE-2024-29061 CVE-2024-29062
- Windows ファイル サーバー リソース管理サービス CVE-2024-26216
- Windows プロキシ ドライバー CVE-2024-26234
- Windows メッセージ キュー CVE-2024-26208 CVE-2024-26232
- Windows モバイル ホットスポット CVE-2024-26220
- Windows リモート プロシージャ コール CVE-2024-20678
- Windows ルーティングとリモート アクセス サービス (RRAS) CVE-2024-26179 CVE-2024-26200 CVE-2024-26205
- Windows ローカル セキュリティ機関サブシステム サービス (LSASS) CVE-2024-26209
- Windows 圧縮フォルダー CVE-2024-26256
- Windows 認証方法 CVE-2024-21447 CVE-2024-29056
- Windows 分散ファイル システム (DFS) CVE-2024-26226 CVE-2024-29066
- インターネット ショートカット ファイル CVE-2024-29988
- ロール: DNS サーバー CVE-2024-26221 CVE-2024-26222 CVE-2024-26223 CVE-2024-26224 CVE-2024-26227 CVE-2024-26231 CVE-2024-26233
- ロール: Windows Hyper-V CVE-2024-29064
0-day はこちら:
プロキシ ドライバ スプーフィングの脆弱性 CVE-2024-26234 (Microsoft, 2024.04.09)
patch を当てただけでは適用されない件:
KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法 (Microsoft)。現在は 3 番目の展開フェーズ。
2024 年 4 月 9 日以降 - 3 番目の展開フェーズ:
脆弱なブート マネージャーをブロックするための新しい軽減策。 これらの新しい軽減策では、メディアを更新する必要があります。
強制適用されるのは 2024.10.08。
KB5037754: CVE-2024-26248 および CVE-2024-29056 に関連する PAC 検証の変更を管理する方法 (Microsoft)。 英語版の方がわかりやすい。
- April 9, 2024: Initial Deployment Phase – Compatibility Mode
- October 15, 2024: Enforced by Default Phase
- April 8, 2025: Enforcement Phase
2024.04.09 (現在) は初期展開フェーズで HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters の PacSignatureValidationLevel = 2、 CrossDomainFilteringLevel = 2。 この状態では脆弱性対策機能は有効にはならない。 PacSignatureValidationLevel = 3、 CrossDomainFilteringLevel = 4 に変更すると有効になる。
2024.10.15 にデフォルト適用フェーズとなり PacSignatureValidationLevel = 3、 CrossDomainFilteringLevel = 4 に変更されるが、 管理者が PacSignatureValidationLevel = 2、 CrossDomainFilteringLevel = 2 に戻すことも可能。
2025.04.08 に強制適用フェーズとなり、このレジストリ設定への対応機能が削除され、 脆弱性対策機能を回避できなくなる。
CVE-2022-0001 (Microsoft, 2024.04.09)。 CVE-2022-0001 は Branch History Injection (BHI) の件だが、 新たな攻撃 Native Branch History Injection (Native BHI) (CVE-2024-2201) の登場にあわせてこの文書が作成された模様。 CVE-2024-2201 は eBPF を通さないので Native ということみたい。 CVE-2024-2201 の詳細は Inspecting the Residual Attack Surface of Cross-privilege Spectre v2 (vusec.net) を参照。
適用するにはレジストリ設定が必要。 CVE-2022-0001 を参照。
不具合情報:
【Windows11】 WindowsUpdate 2024年4月 不具合情報 - セキュリティ更新プログラム KB5036893 (ニッチなPCゲーマーの環境構築Z, 2024.04.10)
【Windows10】 WindowsUpdate 2024年4月 不具合情報 - セキュリティ更新プログラム KB5036892 (ニッチなPCゲーマーの環境構築Z, 2024.04.10)
今のところ、大物は無いみたい。
Microsoft は認めていないが、SmartScreen Prompt Security Feature Bypass Vulnerability New CVE-2024-29988 も 0-day だ、と主張している研究者がいる模様。
Microsoftの2024年4月のセキュリティ更新プログラムに関する疑問をきっかけに行った脆弱性の悪用傾向の調査 ((n)inja csirt, 2024.04.22)
THE APRIL 2024 SECURITY UPDATES REVIEW (ZDI, 2024.04.09)
2024.04 patch を適用すると VPN 接続で問題が発生?
Microsoftが「2024年4月のセキュリティ更新プログラムの適用後にVPN接続が切断される問題」を公式に認める (gigazine, 2024.05.02)
VPN に関するどのような不具合がどのような頻度で発生していると認識されているのかさっぱりわからないんだよなあ。 なんか最近切れやすくなったような気が? とは思っていたのだけど、そういう話で合ってるのかなあ。
》 GPIO番号に互換性がない? 「Raspberry Pi 5」と前モデルを比較してみた (日経 xTECH, 4/10)
/sys/class/gpio配下のファイルを操作してGPIOを制御するインターフェースは「GPIO sysfs」インターフェースと呼ばれている。実はこの慣れ親しまれてきたGPIO sysfsインターフェースは廃止予定となっており、GPIOはキャラクターデバイスとしてアクセスすることが推奨されている。 (中略) 旧来のGPIO sysfsインターフェースの利用が混乱のもとになっているということだ。混乱を避けるためにも、可能なら今後はGPIO sysfsインターフェースの利用を避けたほうが良いだろう。
》 The Black Market That Delivers Elon Musk’s Starlink to U.S. Foes (Wall Street Journal, 4/9) DeepL 訳:
ジャーナル紙の調査によると、アフリカ、東南アジア、アラブ首長国連邦での裏取引によって、Starlinkハードウェアの影のサプライチェーンが存在し、何千台もの白いピザ箱サイズのデバイスが、アメリカの敵対勢力や告発された戦争犯罪者の手に渡っている。これらのエンドユーザーの多くは、Starlinkが許可されている国で販売店がハードウェアを登録した後、Starlinkのローム機能を使って衛星に接続する。
えっ?! そんな手順で利用できちゃうの?!
》 OpenSSL version 3.3.0 published (OpenSSL, 2024.04.09)。 iida さん情報ありがとうございます。
Fwd: X.Org Security Advisory: Issues in X.Org X server prior to 21.1.12 and Xwayland prior to 23.2.5 (oss-sec ML, 2024.04.03)
Envoy security releases [1.29.3, 1.28.2, 1.27.4, 1.26.8] are now available (oss-sec ML, 2024.04.05)。Envoy は L7 proxy and communication bus だそうです。
CVE-2024-24576: Rust 1.77.1 and earlier did not properly escape arguments of batch files on Windows (oss-sec ML, 2024.04.09)
Go 1.22.2 and 1.21.9 (CVE-2023-45288 HTTP/2 CONTINUATION issue) (oss-sec ML, 2024.04.05)
「Aterm」シリーズのWi-Fiルーターなど59製品に複数の脆弱性。対策や買い替えの検討を (Internet Watch, 2024.04.09)
次の2製品については、悪意ある第三者が製品にアクセスした場合に、telnet経由で任意のコマンドが実行される可能性、および、任意のコマンドが実行されたり、装置名などの装置情報が読み取られる可能性があるとして、管理者パスワードの変更と、Wi-Fiネットワーク側のセキュリティ強化を行うようにとしている。次の8製品については、サポートが終了しているため、買い替えの検討を推奨している。
- WG1810HP(JE)
- WG1810HP(MF)
- WM3400RN
- WM3450RN
- WM3500R
- WM3600R
- WM3800R
- WR8166N
- MR01LN
- MR02LN
OpenSSL Security Advisory [8th April 2024] Unbounded memory growth with session handling in TLSv1.3 (CVE-2024-2511) (OpenSSL, 2024.04.08)。 OpenSSL 3.2 / 3.1 / 3.0 / 1.1.1 に影響、1.0.2 には影響なし。 Severity: Low なので、次リリース時に修正。
iida さん情報ありがとうございます。
》 Microsoft、中国のAIによる選挙操作を具体例で再警告 (ITmedia, 4/7)
》 署名「画像生成AIからクリエイターを守ろう」が賛同1万件間近に 「AI生成物のみ非親告罪に」などを主張 (ITmedia, 4/8)
》 IPA、情報セキュリティを学べる合宿開催 小学生~大学院生対象、参加費は無料 (ITmedia, 4/8)。「セキュリティ・キャンプ2024 全国大会/ネクスト/ジュニア」。
》 Visa/Masterカードの決済停止、成人アニメ老舗ブランドの公式サイトも (ITmedia, 4/8)。PinkPineapple。 こちらも JCB 推奨となっている。
》 Windows、外部ツールを使った標準Webブラウザの変更をドライバで阻止か (PC Watch, 4/8)
デフォルトWebブラウザの変更に対応するレジストリキーに書き込みを行なうとアクセスが拒否され、regedit、reg.exe、PowerShellでも変更ができない (中略) Windows上のドライバを調べたところ、プロパティに「UserChoice Protection Driver」と記載のある「USPD.sys」というドライバが見つかった。これを逆アセンブルしたところ、レジストリキーの変更に関するホワイトリストとブラックリストにあたるものが含まれていた。2月の更新で導入されたもので、http、httpsのプロトコルのほかにも、.pdfの関連付けの変更もブロックしていたという。
UCPD.sys (上記 USPD.sys は誤記) はもちろん Microsoft 製。
元記事はこちら: UserChoice Protection Driver – UCPD.sys (THE KOLBICZ BLOG, 4/3)
Microsoft also updated the driver during my tests (from 2.0 to 2.1) and extended the deny list of executables. this means, they can change the behavior almost on the fly and add new tricks or block additional extensions/protocols!
》 Windows 10の組織向け有償延長サポート、導入方法や料金が発表 (PC Watch, 4/5)。Windows 10 ESU の件。
従来の5-by-5アクティベーションキー(初年度で1デバイスあたり61ドル)、Windows 365サブスクリプションでのアクティベーション(初年度分はWindows 365利用料に含まれる)に加え、クラウドベースのアクティベーションの3種類が選べる。
円安のおかげで、ずいぶん高くなりそうですなあ……。
》 Windows 10で「Sysprep」コマンドが完了しない問題、ようやく解決へ 2023年11月末リリースの「KB5032278」以降で発生 (窓の杜, 4/8)
》 通園バスの安全装置設置100%達成見込み こども家庭庁が公表 (TBS, 4/5)。 置き去り防止支援装置の件。 2023.04 義務化・経過措置1年なので、当然といえば当然なのですが。
送迎用バスに対する安全装置の装備状況の調査結果について (こども家庭庁)
送迎用バスの置き去り防止を支援する安全装置のリストについて (こども家庭庁)。いろんな会社が出しています、が……
設置100%見込みはいいのですが、その装置本当に仕様を満足しているのですか問題というのがあるようで。
三菱ふそう、幼児置き去り防止装置の開発中断 ガイドラインへの適合難しく 自動車メーカーも温度条件がネック (日刊自動車新聞, 2023.02.15)。自動車メーカーがさじを投げるような厳しい仕様。 ってどういうこと?
送迎用バスの置き去り防止を支援する安全装置の ガイドライン (国土交通省, 2022.12.20)
4.9. 置き去り防止を支援する装置は、-30℃~65℃(ダッシュボード等の直射日光の当 たる位置に取り付けるものにあっては、-30℃~85℃)の温度条件下において正常 に作動するものでなければならない。
動作時温度 -30℃~65℃。
幼児置き去り防止装置、認定品の一部でガイドラインを満たさない部品を使用 製品テストは「問題なし」だが メーカー頼りの側面も (日刊自動車新聞, 2023.07.05)。
話題になった製品(メーカーをA社とする)に使われていた、ある部品の使用可能な温度範囲は「マイナス10度~同50度」。この部品は大手メーカー製の汎用品で、性能は同社のHPでも公表している。A社のHPに掲載されている製品写真の中に、この部品が確認できる。一見してガイドラインを満たしていない部品があったため、疑問に思った関係者が多かったのだ。
日刊自動車新聞が政府側に取材すると、「そういう部品があっても、商品全体として稼働テストをして問題がなければそれでいい」ということだった。A社もこうした見解に基づき、自社で稼働テストを実施。無事に作動が確認できたため、文書を提出して政府も認定した。A社側は、政府が定めたルールに違反はしていないことが分かる。
ふつうに考えたら、駄目でしょそれじゃ。 保温装置を付加するとかしてあるなら別かもだけど、多分そうじゃないのだろうし。
〈記者の目〉
政府のガイドラインで、必要な試験の条件を定めるべきだった。
ですよねえ。
幼児置き去り防止装置のガイドライン 東京大学・畑村洋太郎名誉教授「基準が不明瞭 政府側の問題」 (日刊自動車新聞, 2023.07.05)。失敗学の畑村先生に取材。
幼児置き去り防止装置の基準について、2022年末に政府はきちんとガイドラインの基準をまとめた。この装置はいろんな部品を使うが、採用する部品全部についてガイドラインの基準をクリアするのが条件だということを文書に盛り込むなど明確にするべきだった。
今回は、幼児置き去り防止装置を造った会社が、検査データを文書でまとめて、国土交通省所管法人が「原則書面審査」で審査した。合格すると政府認定として内閣府(現在はこども家庭庁)のホームページに掲載される。安全性を考えると、書面審査だけではなく、第三者が実証実験を行うのが望ましい。造った人が検査(テスト)をしても意味がない。
》 [gnutls-help] gnutls 3.8.5 (GNU, 4/4)。セキュリティ修正は無いようです。iida さん情報ありがとうございます。
》 HOYA、大規模システム障害の原因がサイバー攻撃であることを認める (4/4)
当社グループにおけるシステム障害について (HOYA, 4/4)
外部の専門家を交えた調査の結果によれば、本件は第 三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 (中略) 当社が保有する機密情報や個⼈情報の外部流出の可能性について調査を進めて いますが、解析には相当の日数を要する見込みです。
HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 (山田 敏弘 / JBpress, 4/6)
今回の攻撃は、ランサムウェア攻撃だと考えられる。というのも、「Hunters International」というサイバー犯罪グループが、「HOYA Corporation」への攻撃に関わっていることを関係者向けに明らかにしていたからだ。(中略) 今回のHOYAへのサイバー攻撃も、Hunters Internationalがランサムウェアを開発し、それを使ったアフィリエイトが攻撃の実働部隊になっているようだ。
》 ネット犯罪の通報は88万件超で前回調査から増加、米IC3が最新版レポートを公開 (Internet Watch, 4/4)
日本テレビ定例社長会見 (3/25)
2024年3月25日 日本テレビ 定例記者会見 《 要旨 》 (日テレ, 3/25)
日テレ「セクシー田中さん」調査に言及「ヒアリング進めている」結果公表は「GW明けが目安」 (スポニチ / 毎日, 3/25)
論点 「セクシー田中さん」問題 (毎日, 3/29)。里中満智子、福井健策、田淵俊彦。
「セクシー田中さん」問題、東村アキコさんはどう見た? 原作者が「どうぞお好きに」ではダメな理由 (東京, 4/6)
韓国で漫画「私のことを憶(おぼ)えていますか」をドラマ化した際、韓国から脚本家が4人来て4時間缶詰めにされた。原作にびっしり付箋が付いており、せりふの1行1行を「この時のこのキャラクターの気持ちは?」「どういう背景事情があるのか」など、自分でも思い出すのに苦労するくらい突っ込みがすごかった。
「好きにやっていいですよ」と言うと、韓国の脚本家から「何を言ってるんですか!」と怒られ、「先生そんなんじゃ駄目です。先生の世界観、思いをしっかり反映したいんです」と徹底的に意見を聞かれた。韓国は、それだけ原作へのリスペクトがあり、原作者の意向をいかに忠実に映画やドラマに反映するかへの思いも強かった。
映画やドラマに対する人や時間やお金のかけ方が日本と違う。韓国では、脚本はまず4話まで先に作り、そこから例えばネットフリックスなのか、テレビなのか、映画なのかが決まり、座組や役者を決めていく。
日本だと視聴率を取るために先に役者を決めていたりする。だから何に重きを置くのかの意識が全然違う、韓国のドラマや映画への取り組みを肌で知り、私ももう少し本気で映画やドラマに向き合ってみようと考えるようになった。韓国の現場を見て、真面目にガチンコで関わらないと良いものはできないと学んだ。
韓国の人は、寝る間を惜しんでひるむことなく、原作者に向かってくる。学んだことが大きかった。
こういうのが日本でもふつうになってほしいなあ。
「日テレ×小学館、チーフプロデューサーは「セクシー田中さん」三上絵里子」のドラマ「たーたん」は制作中止。代替ドラマの主役は“困ったらジャニーズ”。
ムロツヨシ主演の日テレドラマ「たーたん」が制作中止 プロデューサーが「今はできない。別の企画をやりましょう」《「セクシー田中さん」チーム“再タッグ”だったが…》 (文春オンライン, 2/21)
急転直下、放送自体がなくなってしまった「たーたん」だが、実はその裏では、ドラマ版の脚本をめぐり、「セクシー田中さん」の前轍を踏みかねない“未遂事件”があった——。
「原作のストーリーを脚本で“改変”していたことが分かったのです」(前出・ドラマ制作スタッフ)
《説明会音声入手》日テレドラマ「たーたん」スタッフに伝えられた“制作中止の理由”と、プロデューサーが滲ませていた“不信感”「普通じゃない状況のことを出版社の小学館さんに言われて」「悔しい気持ちでいっぱいで」 (文春オンライン, 2/22)
「俳優陣はそのまま」だったが…4月スタート《日本テレビ「たーたん」代替ドラマ》からムロツヨシが出演を辞退していた! (文春オンライン, 3/12)
【たーたん騒動】スト森本慎太郎主演の急ごしらえで思い出す「西内まりやの月9」 (日刊サイゾー, 3/22)
日テレ SixTONES森本ドラマ主演 旧ジャニ起用「改革に進捗」セクシー田中さん問題で調整枠で… (スポニチ / 毎日, 3/25)
テレビ業界の“困ったらジャニーズ”体質は変わらず ムロツヨシ緊急降板『たーたん』の代役がSixTONES森本慎太郎『街並み照らすヤツら』に決定 (週刊実話WEB, 3/26)
》 リニア計画 静岡以外も「延び延び」でした JR東海、山梨県駅完成が「2031年の見通し」初告白 (東京, 4/6)。事ここに至ってようやく認めたと。
27年開業を前提としたまちづくりが進む中での工期見直し。もっと早く公表はできなかったのか。リニアを取材するジャーナリストの樫田秀樹氏は「工期が遅れれば、工費は膨張する。JRはとっくの昔に把握していたはずなのに、ずっと『静岡のせいだ』と言い続けてきた」と批判する。
他にも未契約・未着工の工区、沿線住民が起こした差し止め訴訟、トラブルによる工事中断などの不安要素があるとし「先送りが重なれば、整備を終えた新駅周辺の民間投資に悪影響を及ぼす。閑古鳥が鳴く事態になるのでは」と懸念する。
中間駅周辺自治体に大打撃の可能性。関連:
開業は早くても10年遅れの2037年!? リニア新幹線建設の悲惨な現状!! (樫田秀樹 / 週プレNEWS, 3/28)。用地買収未了とな?!
例えば、神奈川県相模原市に建設予定の「リニア車両基地」は工期11年の計画だが、用地買収が未完で未着工だ。今年着工しても完成は35年。加えて、鉄道施設は完成後も電気調整試験や車両の走行実験に約2年をかけるから(本稿ではこの工程を便宜上「工期A」と呼ぶ)、開業は37年。実に10年遅れとなる。
リニアトンネル工事の公式進捗は品川124m、愛知40cm (はてな匿名ダイアリー, 3/30)。すさまじい。
》 “逆ギレ”辞意表明の静岡県・川勝知事「6月辞職」の狡猾…敵対自民に「後継」渡さない魂胆 (日刊ゲンダイ, 4/4)。 まあ、これ を見る限りでは逆ギレに見えますけどね。
小林製薬「紅麹」、食品1800社に影響の可能性 関連製品の流通・販売は全国3.3万社 TDB推計 (TDB / PRTIMES, 3/29)
》 米陸軍のタイフォン・システム、訓練目的で一時的に日本へ移送される可能性 (航空万能論 GF, 4/4)。アドバルーンかましてきましたね。
》 デンマーク海軍のフリゲート艦、派遣された紅海の作戦中に欠陥が露呈 (航空万能論 GF, 4/3)。すさまじい。
イーヴァ・ヴィトフェルトは3月9日に15機の敵無人機を検出、直ぐに迎撃を試みたもののThales製レーダー(APAR)とTerma製戦闘管理システム(C-FLEX)の間で問題が生じ、乗組員は問題を解決しようと30分ほど格闘したがESSMを発射することができず、同艦の指揮官はESSMを諦めて76mm砲での迎撃に切り替えた。
しかし76mm砲で使用された砲弾も30年以上前のもので発砲した直後に爆発
ちょっと待って……。その 76mm、一度も実弾を撃ったことなかったの?
》 韓国のHanwha、米軍プログラムの元請け参加が可能なAustal買収に動く (航空万能論 GF, 4/3)
Hanwha Oceaはフィリー造船所の買収に動いていたため「米国内での商業船舶建造に投資する」と解釈されていたが、いきなり「国防総省のプログラムに元請けとして参加する資格をもつAustal買収」に動いたため、これが実現するとスピアヘッド級遠征高速輸送艦の建造、バージニア級原潜のコンポーネント製造、ヘリテージ級カッター建造に関わるAustal USAもHanwhaの所有になり、アジア市場で韓国勢のOPVと競合することが多かったAustalのOPVもHanwhaのものになる。
》 OpenBSD 7.5 Release Notes (OpenBSD, 4/5)
》 DLsite、Visa・Mastercardのクレカ利用を一時停止 期間については「回答を控える」【追記あり】 (ITmedia, 4/3)。あら結局 Visa / Master / Amex いずれも駄目になったのですか。 JCB だけ ok ですよと。 こんなこともあろうかと、 JCB なカードを 1 つは用意しないと駄目ですか。
Changes with Apache 2.4.59 (apache.org, 2024.04.04)。3 件のセキュリティ修正 (HTTP/2 DoS CVE-2024-27316, HTTP Response Splitting x 2 CVE-2024-24795 CVE-2023-38709) を含む。iida さん情報ありがとうございます。
Android セキュリティ情報 - 2024 年 4 月 (Android, 2024.04.01)。セキュリティ パッチ レベル 2024-04-01 と 2024-04-05 。
「Node.js」にセキュリティアップデート ~v21.7.2/v20.12.1/v18.20.1がリリース (窓の杜, 2024.04.04)。 CVE-2024-27982 CVE-2024-27983 を修正。
Chrome 123.0.6312.105/.106/.107 (Windows / Mac) および 123.0.6312.105 (Linux) 出てたんですね。 Pwn2Own 2024 の件含む 3 件のセキュリティ修正を含む。
脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094) (2024.04.02)
FreeBSD は影響なしだそうです。
Disclosed backdoor in xz releases - FreeBSD not affected (freebsd-security ML, 2024.03.29)
The main, stable/14, and stable/13 branches do include the affected version (5.6.0), but the backdoor components were excluded from the vendor import. Additionally, FreeBSD does not use the upstream's build tooling, which was a required part of the attack. Lastly, the attack specifically targeted x86_64 Linux systems using glibc.
》 岡口基一判事を罷免とした弾劾裁判所の判決に反対する (なか2656のblog, 4/3)。なか2656さん情報ありがとうございます。
関連:
裁判官、罷免に慎重意見 識者「萎縮効果与える」―岡口判事弾劾 (時事, 4/3)
立命館大の市川正人特任教授(憲法)は「投稿の意図よりも遺族感情を傷つけたという結果を過大に重視した判断だ」と分析。裁判官としての威信を著しく失うほどの非行に当たるかの説明が尽くされておらず、「国会議員が胸三寸で裁判官を追放できることになってしまいかねない」と懸念を示した。
SNS投稿で「罷免」…法曹資格まで失うのは行き過ぎ? 岡口基一判事の弾劾裁判で課題が浮かんだ (東京, 4/4)
大阪経済法科大の渡辺康行教授(憲法学)は、訴追委も弾劾裁判所の裁判員も全員が国会議員であるため、「権限濫用(らんよう)や行き過ぎた判断に歯止めをかける仕組みが求められている」と強調する。裁判員は憲法で規定されているため、改正のハードルは高いが、一定数を法曹資格者とする要件を設けることは可能とみる。
裁判員に自民党の裏金議員や壷議員が含まれるような状況ですからねえ。
HOYAがシステム障害、外的要因による重大なインシデントで出荷に影響も (日経 xTECH, 4/1)
HOYAのシステム障害、他社レンズメーカーで納期の遅れが全国的に発生 (日経 xTECH, 4/4)
眼鏡レンズの注文受付停止が広がる HOYAでシステム障害発生、復旧の見通したたず長期化も (共同 / 日刊スポーツ, 4/4)
HOYAは、コンタクトレンズや半導体に電子回路を描く工程で使うガラス製品も製造しており、幅広い事業に影響が出る可能性がある。
ランサムウェア説:
(速報)HOYA、ランサムウェア被害か (Darkpedia / note, 4/3)。「脅威アクター:Hunters International」
Protection Highlight: Hunters International Ransomware (broadcom)
》 イスラエル国会、アルジャジーラ閉鎖の法案可決 (CNN, 4/2)。ファシスト国家らしさがさらに増加。
小林製薬は「いのち輝く」大阪万博メインパビリオンに5億円協賛…同社の対応は? (日刊ゲンダイ / Yahoo, 3/29)
大阪万博にイスラエル正式参加…「いのち輝く」理念から乖離も日本「NO」言えない情けなさ (日刊ゲンダイ, 4/2)。大阪万博のテーマは「いのち輝く未来社会のデザイン」ですからね! 現代社会じゃないからいいのかな?
ガザのシファ病院から発見され続ける遺体の数々。遺体の様子からも、イスラエル軍が足を縛って殺害したのは明らか。#StopGenocide https://t.co/oqdk2MzMTa
— 駐日パレスチナ常駐総代表部 (@PalestineEmb) April 2, 2024
関連: シファ病院からイスラエル軍撤収、攻撃の跡はさながら「ホラー映画」 (CNN, 4/2)
大阪万博「玉川徹氏は禁止」…吉村府知事オラオラ発言で大炎上→詭弁屁理屈で釈明の何サマ (日刊ゲンダイ, 4/3)
メタンガス爆発の件:
【万博工事で事故】たまった可燃性ガスに引火 トイレ床100平米が破損 夢洲の地下にはメタンガスが (FNN, 3/29)
博覧会協会によると、事故があったのは、万博会場の北西にある緑地エリア、「グリーンワールド(GW)」工区です。このエリアは元々、産業廃棄物の処分場で、地下にはメタンガスなどの可燃性ガスがたまっています。
もともとそういう土地でした。駄目じゃん。
大阪・関西万博会場でガス爆発事故…「メタンガス」の危険性は国会で指摘されていた (日刊ゲンダイ, 3/30)
2023年11月29日の参院予算委員会。社民党の福島みずほ参議院議員(68)は、万博会場となっている現場の土壌改良の必要性についてこう質問。
「何で万博会場は土壌改良をやらないんですか。有害物質の上でやるんですか。今、ここ、現場でメタンガスが出ていますよね。どういう状況ですか」
第212回国会 参議院 予算委員会 第6号 令和5年11月29日 (国会会議録検索システム)。メタンガスの件は174番から。
大阪 万博工事 可燃性ガス爆発 危険な会場 直ちに中止を (しんぶん赤旗, 3/31)
同工区のある夢洲1区は廃棄物の処分場で、地下にはメタンガスなどの可燃性ガスのほかダイオキシンなど有害物質が大量に埋まっています。可燃性ガスを放出する管(写真)は、市民団体が確認しただけでも79本に上ります。(中略) 万博協会はガス抜き管の出口の付け替えだけで建設工事を推進。政府も「開催は危険だと認識していない」(自見英子万博相)と容認してきましたが、今回の事故で危険性が露呈しました。
大阪万博の工事現場でガス爆発 会場地下に溜まるメタンガスへの懸念が現実に! 危険な有害物質PCB汚泥も覆うだけ (リテラ, 3/31)
「万博会場でたばこ吸ったら吹っ飛ぶ」をホンマに否定できるんか 建設現場で爆発、原因はメタンガスらしい (東京, 4/2)
》 iPad miniを機内に忘れ、8,700km先から取り戻した話 (PC Watch, 4/3)
》 【津波注意報 解除】台湾付近でM7.7の地震 沖縄で津波観測 (ウェザーニュース, 4/3)
台湾付近 M7.5 ごく浅い (気象庁, 4/3 08:58)、 台湾付近 M6.6 ごく浅い (気象庁, 4/3 09:11)
M 7.4 - 18 km SSW of Hualien City, Taiwan (USGS, 4/2 23:58:11 UTC)、 M 6.4 - 11 km NE of Hualien City, Taiwan (USGS, 4/3 00:11:25 UTC)
https://twitter.com/UN_NERV/status/1775335104468181489 (NERV / twitter, 4/3)
【地震の震源要素更新】
令和 6年 4月 3日10時30分をもって、地震の発生場所と規模を更新します。
震源: 台湾付近(北緯23度49.9分 東経121度35.9分 深さ 23km)
規模: M7.7
沖縄県の津波注意報をすべて解除 各地で津波観測 (NHK, 4/3)
台湾でM7.7、99年以来の大地震-TSMCとUMC生産ラインに影響 (ブルームバーグ, 4/3)
台湾東部 マグニチュード7超える地震 1人死亡50人以上けが (NHK, 4/3)
花蓮規模7.2地震市區2大樓嚴重傾斜 新北中和倉庫倒塌【圖輯】 (中央社網站, 4/3)
台湾東部地震/台湾東部で地震 複数の建物に被害 鉄道も一部で運転見合わせ (フォーカス台湾, 4/3)
》 上川外相 パレスチナ首相に“UNRWAへの資金拠出再開”伝える (NHK, 4/2)。ようやくですか。
》 ガザ情勢が及ぼすエネルギー供給への地政学的影響 ――中東のエスカレーション・リスクと紅海地域の不安定化 (笹川平和財団, 4/2)
現状では、中東の地域大国や米国のいずれも紛争のエスカレーションは望んでおらず、直接介入を明確に否定し、全面戦争を回避してきた。しかし、イスラエルは10月7日の事件によって破られた抑止を回復させるために、ガザ地区への大規模な軍事侵攻を継続するとともに、イランや親イラン勢力を挑発して米国を引きずり込もうとしており、この試みが暴発する危険性は無視できない。また、非国家主体という「ワイルドカード」が軍事衝突や偶発的エスカレーションの引き金になり得る。
米国やイラン、その他の地域大国が抑制的に行動する限り、複数の国を巻き込む全面戦争が発生する見込みは短期的には低いが、「戦争状態には至らずとも域内諸国が緊張状態にあり、武力衝突が突発的に発生し、邦人や日本権益が巻き込まれる」という状況は継続している。局所的な対立がエスカレーションを引き起こし、中東域内で「意図せざる戦争(unwanted war)」を引き起こすリスクには常に注意が必要である[1]。
》 「諸刃の剣」としてのAUKUS ――豪州の原子力潜水艦取得に向けた課題(前編) (笹川平和財団, 3/14)、 (後編) (笹川平和財団, 3/18)
より深刻な問題は、米国内の動向であろう。前節で見たように、米国議会は12月に豪州への原潜供与に同意したものの、潜水艦の譲渡が「米国の海中能力を低下させず」、「米国の外交政策と国家安全保障上の利益に合致する」ことを米大統領が証明すること、また米国が自国のニーズを満たすために「十分な潜水艦の生産・保守投資を行う」こと、そして豪州が同艦を運用する能力を持つことなど、多くの条件がつけられた[10]。また、豪州は潜水艦の購入費用とは別に、米国の潜水艦産業育成のために30億米ドル(日本円で約4400億円)を支払わなければならない。
ここでもっとも大きな問題となるのが、米国の原潜の生産能力の問題である。現在の米海軍の弾道ミサイル搭載原子力潜水艦以外の潜水艦は50隻前後で、長期目標である66〜72隻には遠く及ばない。ある分析によると、豪州に提供する分を踏まえた場合、米国は現在から2030年代にかけてヴァージニア級原潜を少なくとも年間2.3隻のペースで建造する必要がある。もっとも、ヴァージニア級の引き渡し速度は現在、年1.4隻程度であり、2隻に達するまでには5年かかると見られている[11]。
US の建艦能力の低さよ……。ほんまにできるんかいな。
XZ Utils 5.6.0 / 5.6.1 に難読化されたバックドアが仕掛けられており、 liblzma を利用するアプリケーション (例: SSH) を通じて侵害を行うことが可能。 CVE-2024-3094
XZ Utils 5.6.0 / 5.6.1 が比較的最近リリースされたもの (5.6.0: 2024.02.24、5.6.1: 2024.03.09) であったため、 主要な Linux ディストリビューションの安定版にはまだ採用されていなかった。
Urgent security alert for Fedora Linux 40 and Fedora Rawhide users (Red Hat, 2024.03.29)。 Fedora Linux 40 / 40 beta および Fedora Rawhide にのみ影響。
[SECURITY] [DSA 5649-1] xz-utils security update (Debian, 2024.03.29)、 CVE-2024-3094 (Debain)。unstable のみ影響。
openSUSE addresses supply chain attack against xz compression library (OpenSUSE, 2024.03.29)。ローリングリリースである openSUSE Tumbleweed および openSUSE MicroOS の 3/7〜3/28 版にのみ影響。3/29 リリースの liblzma5 5.6.1.revertto5.4 で修正。
Backdoor found in xz package source (alpine linux, 2024.03.31)、 CVE-2024-3094 (alpine linux)。 開発版である Edge にのみ影響。ただし問題のコードは alpine linux では機能しないと考えられている。
The xz package has been backdoored (arch linux, 2024.03.29)。 2024.03.01 以降のインストールメディア、 VM イメージ 20240301.218094 および 20240315.221711、 コンテナイメージ 2024-02-24 から 2024-03-28 までに影響。
All about the xz-utils backdoor (KALI Linux, 2024.03.29)。3/26 以降、 xz-utils パッケージが 5.6.0 ベースになっていた。 3/29 にリリースされた xz-utils 5.6.1+really5.4.5-1 で修正。
macOS 方面の Homebrew / MacPorts にも影響あったようで。
History for macports-portsarchiversxzPortfile (GitHub)。3/22 に 5.6.1 になり 3/28 に 5.4.6 に戻っている。
brew install xz installs the outdated version 5.4.6 instead of 5.6.1 #5243 (GitHub)。3/10 に 5.6.1 になり 3/29 に 5.4.6 に戻っている。
関連:
XZ Utils backdoor (Lasse Collin)。震源地。「Most likely it will be during the first week of April 2024」 だそうです。
backdoor in upstream xz/liblzma leading to ssh server compromise (Andres Freund / oss-sec ML, 2024.03.29)。発見者による詳細解説。
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に 0.5秒の遅延からたまたま発覚、数年をかけた周到なやり口が明るみに (窓の杜, 2024.04.01)。浸透工作 (= 信頼構築) は年単位の作業なんだよなあ。
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた (piyolog, 2024.04.01)
Everything I Know About the XZ Backdoor (boehs.org, 2024.03.29)。JiaT75 (Jia Tan) 氏の足跡について。
FreeBSD は影響なしだそうです。
Disclosed backdoor in xz releases - FreeBSD not affected (freebsd-security ML, 2024.03.29)
The main, stable/14, and stable/13 branches do include the affected version (5.6.0), but the backdoor components were excluded from the vendor import. Additionally, FreeBSD does not use the upstream's build tooling, which was a required part of the attack. Lastly, the attack specifically targeted x86_64 Linux systems using glibc.
関連:
XZ Utilsにバックドアを仕込んだ謎の人物「Jia Tan」の正体とは? 専門家たちの推理 (WIRED, 2024.04.13)
セキュリティ・リサーチャーたちが合意するのは、Jia Tanは少なくとも実在する人間でなく、ましてやこの件がひとりの人間の犯行である可能性は低いという点だ。むしろJia Tanは、統制のとれた組織による新戦術をオンラインで体現したペルソナであることは明らかなようだ。しかもその戦術は危うく効力を発揮するところだった。