Last modified: Sat Jan 6 15:51:34 2025 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 2024年第4四半期、記録的な5.6TbpsのDDoS攻撃およびグローバルなDDoSの傾向 (Cloudflare, 1/21)
攻撃期間
HTTP DDoS攻撃の大半(72%)は、10分未満で終了しています。HTTP DDoS攻撃の約22%が1時間以上、11%が24時間以上続きました。
同様に、ネットワーク層DDoS攻撃の91%も10分以内に終了しています。1時間以上続いたのはわずか2%でした。
全体として、DDoS攻撃の時間は前四半期比で大幅に減少しました。ほとんどの攻撃は、持続時間が非常に短いため、ほとんどの場合、人がアラートに対応し、トラフィックを分析し、緩和策を適用することは現実的ではありません。攻撃期間が短いことは、インラインで常時稼働する自動DDoS攻撃対策サービスの必要性を強調しています。
いよいよ人間では対応できない時代なんだなあ。
攻撃ソース
2024年の第4四半期、2四半期連続で、インドネシアが世界中のDDoS攻撃の最大の発生源となりました。(中略) 2位は香港で、前四半期から順位を5つ上げました。シンガポールは3つ順位を上げ、3位になりました。
文章化はされていないが、図では 4 位ウクライナ、5位アルゼンチン、6位コロンビアになっている。
》 IPA、「情報セキュリティ10大脅威 2025」発表。組織の脅威に「地政学的リスクに起因するサイバー攻撃」が初選出 (Internet Watch, 1/31)
》 パソコン工房、NVIDIAの新型GPU「RTX 5080」の抽選販売を中止 Xでは「現場は大混乱」の声が続出【追記あり】 (ITmedia, 1/30)
店舗でのRTX 5080の抽選を中止した理由については「顧客がフェンスを乗り越えて隣地の幼稚園に侵入した」と説明している。
ああ、これは駄目ですね。仕方ない。
関連: 「RTX 5080/5090」店頭販売の中止が相次ぐ パソコン工房の混乱が原因か (ITmedia, 1/30)
生島企画室。 1/27 付の「ご報告」が top に掲載されている。
生島ヒロシ、何をした? TBS2冠番組を緊急降板「不適切な写真を送ってしまい 女性スタッフから不愉快と…」 (中日スポーツ, 1/28)
生島ヒロシが「不適切写真送信」で降板、死去・森永卓郎さん最後の出演…1・27『おはよう一直線』が伝説回に (ピンズバ NEWS / Yahoo, 1/29)。結果として、森永卓郎と生島ヒロシ両名の「最後の放送」になってしまったと。
森本毅郎、ハラスメントで降板の生島ヒロシに言及「認識ズレてしまった」 独自で調査も【ほぼ全文】 (岩手日報, 1/28)。1/28 のスタンバイで言及と。
これね、実は私も近い番組なので、どうなったのかなと思って、いろいろ聞いてみたんですけれども。なかなかやはり、具体的な話はわかりません。ただ、こういう話なんですね。パワーハラスメント、セクシャルハラスメントについては、TBS側がいろいろと、被害者の方たちと話をして、証言がまとまって、それを生島さん自身にぶつけたと。それが、月曜日の放送後だった。そして、その放送後、生島さんからその事実について確証が得られたので、そして降板と。非常にすばやい動きになったということなんですね。
》 「スターリンクミニ」が届いた! さっそく導入したお寺に聞いた“第一印象”と活用法 (ITmedia, 1/30)
DeepSeek、チャット履歴含む100万件超のログが外部から閲覧できた可能性 米セキュリティ企業が指摘 (ITmedia, 1/30)。「米セキュリティ企業Wiz」の指摘。 Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History (wiz.io, 1/30)
DeepSeekのジェイルブレークにセキュリティー企業が成功、「ChatGPTより脆弱」 (日経 xTECH, 1/29)。「イスラエルのKELA」の指摘。
DeepSeekがデータ不正利用か OpenAIとMicrosoft調査 (日経, 1/29)
ディープシークは実際にはオープンソースのAIモデルだけでなく、外部に公開していないオープンAIの大規模言語モデルを生成AIの学習に使った疑惑が出ている。オープンAIが外部アプリとのデータ連携に使うアプリケーション・プログラミング・インターフェース(API)と呼ぶ仕組みが悪用されたとみられている。
》 アメリカ空軍のF-35が墜落! “クルクルと回転しながら”落ちる 現地指揮官「徹底的な調査を行う」 (乗りものニュース, 1/30)
関連: F-35 jet crashes in Alaska, pilot ejects safely (ABC / YouTube, 1/30)。墜落映像あり。
》 ロシア軍がクルスクで領土を奪還、ポクロウシクでもT-0504を遮断寸前 (航空万能論 GF, 1/23)
》 豪海軍のフリゲート調達、日本は自国よりオーストラリア優先を誓う (航空万能論 GF, 1/29)
》 防衛省、垂直離着陸可能な小型無人機を配備へ 警戒監視を省力化 (毎日, 1/30)。Shield AI の V-BAT。 新型哨戒艦に塔載予定だそうで。
新型哨戒艦については、すでに357億円を投じて4隻の建造を進め、26年度の就役を予定する。自動運航技術などで省人化を図り、30人程度の少人数での運用を目指す。
関連: Shield AI のプレスリリース: Shield AI社のV-BAT機、海上自衛隊初の海上ISRプラットフォームに選定 (Shield AI / PRNewswire, 1/23)
》 American Airlines Regional Aircraft Collides With Helicopter At DCA, Crashes Into Potomac River (loyaltylobby.com, 1/29)。アメリカンイーグル AA5342 便 (CRJ-700) が DCA (ロナルド・レーガン・ワシントン・ナショナル空港) 付近でヘリコプターと空中衝突し墜落。
American Airlines 5342 (flightaware.com)
【旅客機と軍用ヘリが衝突】川に墜落…救助活動続く 日本人搭乗かは確認中 アメリカ・ワシントン近郊 (日テレ / YouTube, 1/30)
》 エアプサン香港行きBX391便、釜山出発前に火災 乗客3人けが (Aviation Wire, 1/29)。関連:
韓国・航空機が炎上 原因は荷物棚に入れたモバイルバッテリーか? 乗客・乗員は間一髪で脱出も屋根が焼け落ち3人けが【news23】 (TBS, 1/30)
出発が遅れていなかったら大惨事に…韓国の消防当局が明かした「危うかった瞬間」 (中央日報, 1/29)
航空機の33番の列に座っていた20代の女性客は、当時すべての乗客が席に座っていたと伝えた。飛行機は9時55分出発の予定時刻が過ぎ、ドアが閉まっていた。乗務員も安全に関する案内を終えた状態だった。
離陸を待っている間、機内で20分ほど出発が遅れるという案内放送が流れた。
この乗客は「飛行機が前の飛行機との間隔のために20分遅れて出発するという案内があったと記憶している」とし「その放送を聞いて5分程度待っているうちに火事が起こった」と話した。この乗客は当時を午後10時5分前後と記憶していた。
火災は、この乗客のすぐ前列にある左側の機内手荷物棚(オーバーヘッドビン)が火元だったものと推定される。
黒く焼けたエアプサンの航空機…「シートベルトを締めたが煙が一気に」 (中央日報, 1/29)
<エアプサン旅客機火災>「乗客が開いたという非常口、乗務員の要請だった」エアプサン説明 (中央日報, 1/30)
一部の乗客が直接非常口を開いて脱出したという証言が出てきたことに関しては「非常口付近の乗客は搭乗直後に乗務員に緊急脱出時に非常口の開閉方法に対して案内を受けて乗務員を助ける協力者の役割に同意してはじめて着座することができる」とし「緊急脱出時、乗客が直接非常口操作および脱出が可能だ」と説明した。これに関連し、エアプサン関係者は「当時マニュアルに沿って乗務員が非常口側にいる乗客に協力を要請して乗客が扉を開いたと把握している」と説明した。
<エアプサン旅客機火災>「非常扉を開けた乗客、英雄のように振る舞うな…一歩間違えればエンジンに引き込まれる場合も」 (中央日報, 1/30)
韓国・釜山の旅客機炎上、後方座席の手荷物棚から出火か…事故調査官を派遣 (読売, 1/29)
金海空港のエアプサン機火災現場 (朝鮮日報, 1/29)
FreeBSD-SA-25:01.openssh - OpenSSH Keystroke Obfuscation Bypass (FreeBSD, 2025.01.29)
II. Problem Description
A logic error in the ssh(1) ObscureKeystrokeTiming feature (on by default) rendered this feature ineffective.
OpenSSH 9.8 で直った件。
FreeBSD-SA-25:02.fs - Buffer overflow in some filesystems via NFS (FreeBSD, 2025.01.29)
FreeBSD-SA-25:03.etcupdate - Unprivileged access to system files (FreeBSD, 2025.01.29)
FreeBSD-SA-25:04.ktrace - Uninitialized kernel memory disclosure via ktrace(2) (FreeBSD, 2025.01.29)
Oracle、2025年最初の定例セキュリティ更新 ~「Java」「VirtualBox」「MySQL」などで脆弱性318件 (窓の杜, 2025.01.22)
リモートデスクトップソフト「TeamViewer」に脆弱性 ~修正版をリリース (窓の杜, 2025.01.29)
Chrome 132.0.6834.159/160 (Windows / Mac) および 132.0.6834.159 (Linux) 公開。2 件のセキュリティ修正を含む。関連:
本件に対応する Chrome 132 Android の記述が Chrome Releases Blog でなされるのが通常なのだが、無いようだ。 Google Chrome (Google Play) には「最終更新日 2025/01/29」「バージョン 132.0.6834.122」 とあるので、更新されている模様。
予告されていた奴ですね。
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2024-11187) - バージョンアップを強く推奨 - (JPRS, 2025.01.30)
権威 DNS サーバー、フルリゾルバー(キャッシュ DNS サーバー)どちらにも影響。 named.conf で minimal-responses: yes; を設定することで回避できる。
BIND 9.18.33 / 9.20.5 / 9.21.4 で対応されている。
(緊急)BIND 9.xの脆弱性(パフォーマンスの低下)について(CVE-2024-12705) - バージョンアップを強く推奨 - (JPRS, 2025.01.30)
named.conf で listen-on ... http .... ; を指定した (DoH サポートを有効にした) 場合のみ影響。
If an HTTP configuration is specified, named listens for DNS-over-HTTPS (DoH) connections using the HTTP endpoint specified in the referenced http statement. If the name default is used, then named listens for connections at the default endpoint, /dns-query.
Use of an http specification requires tls to be specified as well. If an unencrypted connection is desired (for example, on load-sharing servers behind a reverse proxy), tls none may be used.
If a port number is not specified, the default is 53 for standard DNS, 853 for DNS over TLS, 443 for DNS over HTTPS, and 80 for DNS over HTTP (unencrypted). These defaults may be overridden using the port, tls-port, https-port, and http-port options.
BIND 9.18.33 / 9.20.5 / 9.21.4 で対応されている。
関連:
BIND 9の脆弱性情報(High: CVE-2024-11187, CVE-2024-12705)と新バージョン(9.18.33, 9.20.5 9.21.4) (SIOS SECURITY BLOG, 2025.01.30)
0-day が含まれてますね。 CVE-2025-24085。
全体
iOS / iPadOS
CoreMediaAvailable for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later
Impact: A malicious application may be able to elevate privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 17.2.
Description: A use after free issue was addressed with improved memory management.
CVE-2025-24085
tvOS
watchOS
visionOS
macOS
Safaril
》 相次ぐ海底ケーブル切断、対処力や影響把握が狙いか 国基研が分析公表 (ITmedia, 1/27)
》 亡き親のサブスクを解約したら借金まで背負うことに!?――相続放棄するなら絶対注意したいデジタル遺品のこと (Internet Watch, 5/15)
》 ほぼA3サイズの「Starlink Mini」、日本でも購入できるように 3万4800円 USB-PDでも動作可能 (ITmedia, 1/22)
【記事訂正:1月23日午前10時】記事初出時、移動中の通信が可能としておりましたが、正確には日本とメキシコのみ陸地での移動中の使用が規制で禁止されていたため、タイトルと本文の表記を変更しました。訂正してお詫びいたします。
5GHz 帯利用に関する制限の話のようで。関連:
スターリンクのルーターは屋外で使うことはできますか? (株式会社クラウンクラウン)
無線LANの屋外利用について (総務省)
移動中にStarlinkをローミング、陸上モバイル、海上で使用する際、どこで使用できますか? (starlink.com)
(軍事)作戦上重大な支障が生じかねない。なんとかせんといかん。
》 使用済み太陽光パネル 加熱処理でリサイクル 再エネ適地の北海道で進む最先端技術実証 (産経 / ITmedia, 1/22)
》 中国ディープシーク、どうやって米国を出し抜いたか (Wall Street Journal, 1/29)。K.U.F.U. 工夫。
米シンクタンク「ランド研究所」でAIを研究しているレナート・ハイム氏は、チャットGPTの以前のバージョンを、図書館の本を全て読んだ司書だと考えると良いと話す。質問をすると、それは読んだ多くの本をベースにして答えを出す。
このプロセスには時間もお金もかかる。これらの本を読み込ませるには、電力消費の多いコンピューターチップが必要だ。
ディープシークは別の手法を取った。同社の司書は全ての本を読んだりせず、質問を受けてから答えにふさわしい本を探し出すよう訓練された。
その上に、また別のテクニックが加えられた。それは「mixture of experts(混合エキスパート、さまざまな分野の専門家集団)」と呼ばれるものだった。ディープシークや他のAI開発企業は、あらゆる事柄に関する質問をうまくさばく司書を見つけるのではなく、質問を特定分野の専門家集団に割り振るような手法を取った。その分野は、例えばフィクションや定期刊行物、料理などだ。それぞれの専門家に必要なトレーニングは司書よりも少ない。このため半導体への負担は、全ての作業を一度にこなすよう求められる場合よりも小さくなる。
関連:
中国製AIモデルを絶賛するシリコンバレー (Wall Street Journal, 1/28)
ディープシーク躍進、それでもAIの巨人は沈まず エヌビディアなどの株価急落に拍車をかけたパニックは行き過ぎ (Wall Street Journal, 1/28)。驚くほどのパニック売りでしたね。
ディープシークはチャットGPTから「知識蒸留」=米AI責任者 (Wall Street Journal, 1/29)
ディープシークCEO、数学オタクから世界的破壊者に (Wall Street Journal, 1/29)
【社説】ディープシークAIの衝撃 (Wall Street Journal, 1/28)
トランプ大統領は政府にAIの管理権限を過度に与えたジョー・バイデン氏の大統領令を取り消したが、ディープシークの登場はこの判断の正しさを証明した。この大統領令が撤回されなければ、国家安全保障や経済安全保障、公衆衛生、公共の安全に「深刻なリスク」をもたらし得るAIモデルを開発する企業は、モデルの訓練時に規制当局に通知し、「レッドチーム・セーフティーテスト(専門家による安全診断)」の結果を報告しなければならなくなるところだった。
DeepSeekが集める個人情報は「中華人民共和国にある安全なサーバに保存」 (ITmedia, 1/28)
WSJ がこんなに語り出すのもパニックっぷりの現れなんだろうなあ。
》 【社説】トランプ氏、市民権「出生地主義」の制限で敗北 (Wall Street Journal, 1/24)
ロナルド・レーガン大統領に任命されたジョン・クーナー連邦判事はこの主張を軽く片付けた。同判事は「この大統領令は明らかに違憲だ」との判決を下し、さらに「この決定が下される過程で、弁護士は何をしていたのか。(中略)法曹界の一員がこの大統領令を合憲だと明言するとは理解し難い」と述べた。良い指摘だ。
》 生島ヒロシ、TBSラジオ緊急降板「人権方針に背く重大なコンプライアンス違反」 (日刊スポーツ, 1/27)。今日の放送限りと。いきなり打ち切り。
TBSラジオは、生島氏に「TBSグループ人権方針に背く重大なコンプライアンス違反があったことを確認したため」とし、番組出演の継続が不可能と判断。番組降板を決めた。違反の詳細については「関係者のプライバシー保護の観点から、説明を控えさせて頂きます」としている。
そう書かれると中居氏と同様の案件のように見えてしまうのだが、それでいいの?
関連:
TBSラジオ取材に回答 生島ヒロシ電撃降板「事態が分かったのはつい最近」「本人と話し合いを持った」 (日刊スポーツ, 1/27)
生島ヒロシさん、早朝のラジオ番組を降板…TBS「関係者複数人にハラスメント行為」 (読売, 1/27)。「関係者複数人」。単数ではないと。
社員向け説明会 (1/23)
【独自】「この場で社長会長が辞任してくれないと月9ドラマが止まる!」悲痛のフジテレビ社員説明会の一部始終《緊迫の1・23ドキュメント》 (現代ビジネス, 1/24)
【独自】フジテレビ社員集会の一問一答「なぜいま辞任しないんですか?CMがゼロになります」《涙のフジ社員説明会1・23》 (現代ビジネス, 1/24)
【独自】フジ社員の怒号音声「中居さん、いや『中居』ですよ!なぜ番組を止めなかったのか?」会長社長の驚きの答え《フジ社員集会の実況中継》 (現代ビジネス, 1/25)
【独自】フジ女性社員が社長に決死の発言「これでは27日の会見は持たない」「日枝さんのこと聞かれたどうする」《フジテレビの非公開説明会Q&A》 (現代ビジネス, 1/27)。すさまじい内容。 フジテレビ経営陣は本当に腐ってる。
「経営陣の総入れ替えの可能性も」…混乱を極める「フジテレビ」内部で浮上する「新社長候補の名前」《ロンドン、パリ帰りの才女》 (現代ビジネス, 1/25)。ニッポン放送・檜原麻希社長を推す声があるそうで。
檜原さんは6年連続でニッポン放送の営業収益を伸ばすなど経営能力に長けた人物。ニッポン放送は昨年の視聴率調査でも平日平均、土日平均、週平均のいずれも首位を獲得し、ラジオアプリ『radiko』では首都圏内での視聴者数が3年連続トップを記録。まさに快進撃を続けている。その立役者となっているのが檜原さんだ。
フジテレビ 他局の女子アナも中居接待へ…幹部が手引き 民放キー局の調査で判明 27日会見 (スポニチ, 1/27)
中居氏の女性トラブルが起きた23年6月の1カ月前の5月7日。女性アナは民放キー局の若手社員。会食はフジテレビの編成幹部がセッティングしており、場所は都内の飲食店だった。そこには同編成幹部のほか、中居氏と人気男性タレントがいた。他にはフリーの若手女性アナウンサーらが招集されていた。
》 小中学生に「殺し」の報酬として200万円を提示…増え続ける「スウェーデンギャング」の衝撃的な内情 (現代ビジネス, 1/27)
そんな闇バイトだが、実は日本のみならず海外でも似たような犯罪、いや、それ以上に凶悪な犯罪が横行していることをご存じだろうか。(中略) スウェーデンでは数年前からギャング犯罪が横行しており、同国のギャング集団は、暗号化機能を備えたテレグラムなどのメッセージアプリを使用し、刑事責任を問われない15歳未満の子どもたちを「殺し屋」として勧誘しているとのこと。また、「殺し」の報酬として200万円越えの高額を提示するケースもあるというのだ。
MIC 声明 フジテレビの「締め出し」記者会見に抗議する ~会見をオープンにし、真摯に説明せよ~ (日本マスコミ文化情報労組会議, 1/21)
フジ・メディア・ホールディングスに、第三者委員会の設置と信頼回復に向けた取り組みを再度お願いする書簡を送付 (ダルトン・インベストメンツ・インク, 1/22)。フジの大株主。 あたりまえのことしか言ってない。
《中居正広・フジテレビ問題》「会見はやりたくない」港浩一社長は一時拒否も…異例会見の真相「当日には社員に“弁明メール”が…」 (文春オンライン, 1/23)
フジテレビ、なぜ炎上 危機管理のプロが指摘する「致命的な失敗」 (毎日, 1/23)
中居正広は自宅に“ひきこもり”…フジテレビを破滅寸前に追い込み「芸能界追放」へ (FRIDAY / Yahoo, 1/23)
中居正広さん 芸能活動 引退発表 自身のファンクラブサイトで (NHK, 1/23)
CM の件
「フジテレビ潰れます」がシャレにならない異常事態…スポンサー50社撤退で赤字まっしぐら!?「異様な経営体質」を徹底検証 (ダイヤモンド online, 1/21)
【独自】広告返金交渉、契約終了の動き フジCM差し替え、地方局にも (共同 / Yahoo, 1/22)
関西テレビ・大多亮社長 (事件当時フジテレビ専務) 会見 (1/23)
》 米政府機関、リモートワーク原則禁止へ トランプ氏が大統領令に署名 (ITmedia, 1/22)
OpenSSL Security Advisory [20th January 2025] Timing side-channel in ECDSA signature computation (CVE-2024-13176) (OpenSSL, 2025.01.20)。iida さん情報ありがとうございます。
OpenSSL 3.4 / 3.3 / 3.2 / 3.1 / 3.0 / 1.1.1 / 1.0.2 に影響。 Severity: Low なので次のリリース時に修正。
「Node.js」にセキュリティアップデート ~サポート終了の旧版にもCVE番号が付番開始 v23.6.1/v22.13.1/v20.18.2/v18.20.6へのアップデートを (窓の杜, 2025.01.22)。予告されていた件。
解凍・圧縮ツール「7-Zip」に「Mark of the Web」をバイパスできる脆弱性 「7-Zip 24.09」へのアップデートを (窓の杜, 2025.01.22)
》 TikTok禁止法を75日間停止する大統領令にトランプ大統領が署名 (gigazine, 1/21)
》 海底ケーブルインフラを保護するためにNATOが「海上ドローン」を配備 (gigazine, 1/21)。本当に哨戒だけをするつもりなら、いまどきは無人船舶の方が使い勝手がよさそうだよなあ。
一方で海自は有人の「哨戒艦」を 12 隻も整備するのだそうだが、こいつの場合、将来的には、後部の「多目的甲板」に「コンテナ式SSM発射装置」 を装備したりもできるようになる模様。
さらに一方で海自は「シーガーディアン」UAV を 23 機も調達する予定だそうだが、 こいつは将来的には対潜水艦作戦にも使おうというハラらしい?
海自にシーガーディアン導入決定 無人機で警戒監視、23機調達へ―防衛省 (時事, 2024.11.15)
海自ついに導入「シーガーディアン」一体どう使うの? 新たな“空の眼”となる無人機 減っていくかもしれない有人機とは? (乗りものニュース, 2024.11.24)
海自の「新型艦」必要性に疑問符「その仕事、無人機でよくね?」 実は“全然ちがう役割”の可能性も!? (乗りものニュース, 2024.07.16)
》 ロシアの破壊工作が疑われたバルト海の海底ケーブル損傷について「やっぱり事故の可能性が高い」と当局者は考え始めている (gigazine, 1/21)
》 Xが極右を後押ししているというドイツの政治家からの苦情の後にEUがXの調査を拡大、おすすめアルゴリズムに関する内部文書の提出を求める (gigazine, 1/21)
関連: ドナルド・トランプ大統領の就任式後演説でイーロン・マスクが「ナチス式敬礼」をしたと話題に (gigazine, 1/21)
》 「勃起ハチミツ」の輸入に対しフランスの税関が警告 (gigazine, 1/21)。薬物入りハチミツ。
輸入に成功した勃起ハチミツは約15グラムごとのスティック形状に加工され、数ユーロ(約1000円)で個別に販売されるとのこと。販売の際、「パーティーを盛り上げる」「スタイルが良くなる」「健康になる」などの適当なうたい文句で消費者をだましていることが判明しています。
》 トランプ大統領が「言論の自由を回復して連邦政府の検閲を終わらせる大統領令」に署名、バイデン政権の検閲についての調査も指示 (gigazine, 1/21)。デマの国アメリカ。日本も他人事じゃないけどな。
》 Metaはアメリカ国外でファクトチェックプログラムを維持する予定 (gigazine, 1/21)。不自由の国アメリカ。
花粉飛散情報 2025 (tenki.jp)
花粉飛散予報マップ(スギ・ヒノキ) (ウエザーニュース)
スギの木も暖かさで“勘違い”…もう始まっている『スギ花粉の飛散』昨夏の暑さから東海3県でも量が多い予想 (東海テレビ, 1/20)
「花粉」今年は“早い”“多い”!?東京で統計史上“最早”「スギ花粉」飛散開始【ひるおび】 (TBS ひるおび / goo, 1/20)
daitoshi.mlit.go.jp ドメインがハイジャックされオンラインカジノサイトが設置されていた (2025.01.09)
kyufukin.soumu.go.jp 等の件:
サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて (JPRS, 2025.01.21)
終わったWebサイトのDNS設定、そのままになっていませんか? (JPRS, 2025.01.21)
》 あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心 (JPCERT/CC, 1/10)
》 Tuesday, January 21, 2025 Security Releases (node.js, 1/14)。来週。
》 Japanese Spam on a Cleaned WordPress Site: The Hidden Sitemap Problem (sucuri blog, 1/14)
》 新しいKSK(KSK-2024)がルートサーバーで事前公開 (JPRS, 1/14)
》 [Wireshark-announce] Wireshark 4.4.3 is now available (Wireshark, 1/8)、 [Wireshark-announce] Wireshark 4.2.10 is now available (Wireshark, 1/8)。セキュリティ修正は無いみたい。
》 Microsoft Teamsを介した「ヴィッシング」の手口によってマルウェア「DarkGate」が侵入 (トレンドマイクロ セキュリティ blog, 1/10)
》 北朝鮮とランサムウェアギャングが使用する仮想通貨ミキシングサービス「Bender.io」と「Sinbad.io」を運営した疑いでロシア人3人が起訴される (gigazine, 1/14)
》 中国政府系ハッカー「シルク・タイフーン」が海外投資の国家安全保障リスクを審査するアメリカ政府機関に侵入 (gigazine, 1/15)
》 米国が示した“中国関連の脅威アクターから守るためのベストプラクティス”とは (Internet Watch, 1/14)
》 新型コロナウイルス感染症が重症化するメカニズムを日本の研究チームが解明、免疫細胞の異常接着が原因か (gigazine, 1/15)
研究チームは、今回の発見は人間のCOVID-19重症化患者の血液サンプル分析結果とも一致していると述べ、好中球の血管壁への異常接着とそれに続く血小板凝集による微小血栓の形成が肺血流を阻害し、COVID-19肺炎を重症化させている可能性を指摘しました。(中略) ただし、SARS-CoV-2に感染すると接着分子が増加する理由については完全に解明されていません。
》 アメリカが中国のテクノロジー企業14社を輸出規制リストに追加、TSMC製半導体をHuaweiに横流ししていたSOPHGOも規制対象に (gigazine, 1/16)
》 Let’s Encryptが「短期証明書」を導入すると発表、セキュリティが向上&IPアドレスでの発行も可能に (gigazine, 1/17)。有効期限6日。
》 ローマに支配される前のイギリスでは女性が権力を持っていたことがDNA分析で判明 (gigazine, 1/17)
》 スターシップが7回目の試験飛行、スーパーヘビーの帰還に成功するもスターシップ本体は空中分解 (gigazine, 1/17)。fireworks.
》 警察庁とNISC、サイバー攻撃グループ「MirrorFace」(Earth Kasha)の手口を詳細に解説し注意喚起 (Internet Watch, 1/17)
》 北朝鮮による暗号資産の窃取に対し、日米韓が共同声明。「違法な大量破壊兵器及び弾道ミサイル計画のための不法な資金を途絶する」 (Internet Watch, 1/17)。共同声明は 1/14 付。
三か国のより深化した官民連携は、これらの悪意のあるアクターによるサイバー犯罪活動を能動的に阻止し、民間ビジネスの利益を守り、国際金融システムを守るために不可欠である。(中略) 日本においては、金融庁が日本暗号資産等取引業協会(JVCEA)と連携し、2024 年9月 26 日及び 12 月 24 日に、関連企業に対して暗号資産窃取のリスクに関する注意喚起を行い、また、自主点検を要請した。
関連: 暗号資産の流出リスクへの対応等に関する再度の一斉点検実施について (日本暗号資産等取引業協会, 2024.12.24)
》 東京都、闇バイト対策で個人宅向け防犯カメラに購入費の半額・最大2万円を補助へ (やじうま Watch, 1/17)。半額補助、最大 2万円。
》 不正懸念のある会員様への動画によるご利用確認について (セゾンカード, 1/17)。 動画?!
2025年1月20日(月)より、情報漏洩を含む不正懸念対象のお客様に「ご利用内容確認のお願い」の動画をお送りすることになりました。
身に覚えのないご利用がある場合は、動画内の質問にご回答いただくことで、クレジットカードの再発行手続きまで行うことができます。
》 クーポンの利用規約改定で「誤解を招いた」と謝罪したメルカリ 改定の理由を聞いた (ITmedia, 1/17)
》 チェジュ航空2216便着陸失敗事故 (2024.12.29) 方面
737 CVR FDR Power (The Boeing 737 Technical Channel / YouTube, 1/13)。 わかりやすい解説。 当該機にも RIPS があればよかったんですけど、なかったみたい。
<チェジュ航空旅客機事故>「エンジン2つ停止しても作動するが」…衝突4分前にブラックボックス停止 (中央日報, 1/13)
匿名を求めた航空業界の関係者も「エンジン2つのうち1つだけが機能しても電力は供給される」とし「2つとも消えても補助動力装置を手動でつければFDRは作動するが、事故当時はこれさえも難しかったのか、本当に異例の状況」と話した。
737 Hydraulics (The Boeing 737 Technical Channel / YouTube, 2021.06.17)
AUXILIARY POWER UNIT (b737.org.uk)
飛行中の全エンジン停止 信じられないまさかの出来事 何故起こったか (JAXAメールマガジン第226号, 2014.08.05)
<チェジュ航空旅客機事故>「あとは事故の原因究明」…追加捜索も終了 (中央日報, 1/17)
RSYNC: 6 vulnerabilities (oss-sec ML, 2025.01.14)。 CVE-2024-12084 CVE-2024-12085 CVE-2024-12086 CVE-2024-12087 CVE-2024-12088 CVE-2024-12747。 rsync 3.4.0 で修正。
git: 2 vulnerabilities fixed (oss-sec ML, 2025.01.14)。 CVE-2024-50349 CVE-2024-52006。 git 2.48.1 / 2.47.1 / 2.46.3 / 2.45.3 / 2.44.3 / 2.43.6 / 2.42.4 / 2.41.3 / 2.40.4 で修正。
pam-u2f: problematic PAM_IGNORE return values in pam_sm_authenticate() (CVE-2025-23013) (SuSE Security Team Blog, 2025.01.14)。pam_u2f-1.3.1 で修正された模様。 CVE-2025-23013
[vim-security] heap-buffer-overflow in Vim < 9.1.1003 (oss-sec ML, 2025.01.11)。 Vim patch v9.1.1003 で修正されたそうです。CVE-2025-22134
NVIDIA製GPUドライバーに5件の脆弱性 ~最新「GeForce」ドライバーへの更新を (窓の杜, 2025.01.17)
2025 年 1 月のセキュリティ更新プログラム (月例) (2025.01.15)
不具合情報:
USBオーディオDACやサウンドデバイスが動作しない不具合。Windows10およびWindows11にて発生。Windows Update KB5049981 / KB5050021 / KB5050009に起因。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2025.01.16)
上記更新プログラムをインストールすることでMicrosoftの汎用USBオーディオドライバのバージョンが10.0.19041.4355から10.0.19041.5369へとアップデートされます。ユーザー報告では、このドライバのアップデートに起因しているのではないかと疑われています。
Webカメラが動作しない不具合。Windows10 / Windows11で発生。これもWindows Update KB5049981 / KB5050021 / KB5050009が原因 (ニッチなPCゲーマーの環境構築Z, 2025.01.17)
不具合発生時は KB5049981 / KB5050021 / KB5050009 をアンインストールしてみる (アンインストールにより解決するか否かを確認する) のが吉のようで。
》 “改造Switch”販売で逮捕者 「海賊版ゲームソフト」を起動できるように改造か (ITmedia, 1/16)
》 Blue Origin’s New Glenn launches on maiden voyage (CNN, 1/16)。Blue Origin の大型ロケット New Glenn、ようやく上がりました。 おめでとうございます。 残念ながら 1 段目の回収には失敗したようですが、SpaceX だって初期には何度も失敗したからね。関連:
》 アンカー、カード型紛失防止トラッカーを自主回収 周囲の磁気カードに影響を及ぼす恐れ (ITmedia, 1/16)。Eufy SmartTrack Card E30。
こちらです: 弊社充電式カード型紛失防止トラッカーに関するお詫びと自主回収のお知らせ (Anker, 1/14)
2024年12月、お客様より弊社カスタマーサポートまで充電式カード型紛失防止トラッカーに搭載されている磁石により磁気カードへ不具合が発生したとの連絡があり出荷を停止。原因究明に向けて調査を実施した結果、製品の磁力が一部磁気カードへ影響を与える場合があることが発覚したため、自主回収を決定。
Path traversal via AMI ListCategories allows access to outside files (asterisk / GitHub)。CVE-2024-53566 。 Asterisk 18.26.1 / 20.11.1 / 21.6.1 / 22.1.1 / 20.7-cert4 / 18.9-cert13 で修正。
Asterisk News。 2025.01.09 付で 上記バージョンが公開されている。
「Zoom」に複数の脆弱性 ~最大深刻度は「High」 (窓の杜, 2025.01.15)
》 チェジュ航空2216便着陸失敗事故 (2024.12.29) 方面
■発生概要
午前8時54分:管制が着陸を許可
午前8時57分:管制から鳥群回避の注意喚起を提供
午前8時59分:操縦士から鳥群衝突による緊急事態を宣言
午前9時:同機が着陸を試みる
午前9時3分:同機がランディングギアを使用せずに着陸し、滑走路末端地点を逸脱して空港外壁に衝突して停止。火災発生
午前10時3分:総括対策本部が任務に移行し、遂行
午後2時00分:チェジュ航空航空公式ブリーフィング実施
午後5時30分:現場対策本部総括支援チームが務安空港に到着
午後6時26分:乗員乗客181名中、死亡176名、負傷2名、行方不明3名
また、今回の事故では右側のエンジンから煙が出ている様子が、SNSなどで公開されました。これは鳥の群れに関する注意勧告があり、その直後に事故機が緊急事態を宣言したタイミングと重なっています。
この時に疑われるのは、ダメージを受けた右側エンジンではなく、正常に動作していた左側エンジンを止めてしまった可能性です。他方、最初の進入時にパイロットがゴーアラウンドを宣言したのは、この時点ですでにエンジンの1基に不具合が生じていた可能性を指摘する専門家もいます。
今回の事故でブラックボックスが作動しなかったのは、電気動力問題が原因である可能性が高い。航空機の電源供給において核心的な役割をするエンジンが2基とも機能不全状態に陥って電気系統に問題が発生し、ブラックボックスに情報を送る機能も止まったということだ。(中略)原因が事故なのか誤操作なのかはともかく、両エンジンが停止し両電源斷となったことは確かなようだ。
事実、航空機が自らの位置や速度などを外部に送る電波信号である放送型自動従属監視(ADS-B)信号も午前8時58分を最後に送出を停止した。これは、ブラックボックスが動作しなくなった時間とほぼ同じだ。
事故原因を解明する重要データであるブラックボックスの記録がないため、事故原因調査や今後の責任の所在を巡る混乱は避けられないものとみられる。今回の事故の原因を正確に解明するには、「バードストライク後、なぜゴーアラウンドをしたのか」「1回目の着陸を試みた時とは反対の方向から着陸し直したのはなぜか」「ランディングギア(降着装置)をなぜ手動で下ろさなかったのか」などを明らかにしなければならない。ブラックボックスのデータがなければ、バードストライク後に発生した状況は結局、推定するしかない、というのが専門家らの大方の見解だ。
ICAOは滑走路の端に位置した着陸台で240m長さの縦断安全区域を推奨する。 着陸帯の長さが通常60メートルであることを考慮すれば、300メートルの長さの安全区域が必要なわけだ。 米連邦航空庁(FAA)も1000フィート(305メートル)の安全区域を要求している。日本の状況はもっとアレなんだよね……。
しかし、国内の国際空港は安全区域の長さがほとんど滑走路の端から240メートルに過ぎない。 済州(チェジュ)航空の事故で179人の犠牲者が発生した務安(ムアン)国際空港は199メートルに止まった。 国内線だけが通る地方空港は状況がさらに深刻だ。 最も短い安全区域基準で泗川空港122m、原州空港90m、蔚山空港90mなどだ。
・EMAS Maxの耐用年数は概ね20年(記述通り)
・Green EMASの耐用年数は72年
・Green EMASの50年ライフサイクルコストは事業費ベースで25億円程度
FAA(米国連邦航空局)が承認しているアレスティングシステムは「EMAS Max」 と「Green EMAS」の2商品ですが、そもそもFAAが規定化した当時、「EMAS Max」しか商品化されておらず、規定は「EMAS Max」を反映したものです。その後、「EMAS Max」のデメリット部分(設置費用や耐用年数、修繕費用など)を補填する目的で「Green EMAS」が2014年に商品化されました。そのため、「Green EMAS」はあらゆる面で「EMAS Max」より優れた商品価値を保持しています。
》 中国で活動するブラック要員情報を中国に渡した韓国軍務員…無期懲役を求刑 (中央日報, 1/15)。ブラック要員 = スパイの模様。
流出情報には海外で活動する、いわゆる対北朝鮮「ブラック要員」の名簿も一部含まれていた可能性があるという。海外で偽装身分で情報収集活動をしていたブラック要員の身分が明るみに出るかもしれないということだ。ある情報筋は「資料にはブラック要員だけでなく(身分を露出して活動する)ホワイト要員と混ざっていると聞いた」と伝えた。
》 米ファンド フジ・メディアHDに調査要求 中居さんめぐる対応で (NHK, 1/15)。あたりまえの要求。
原文: Request for the establishment of a third-party committee and the restoration of confidence (Rising Sun Management, 1/14)
》 【速報中】ユン大統領の拘束令状を執行と発表 合同捜査本部 (NHK, 1/15)。逮捕令状ではなく「拘束令状」。
》 【速報】兵庫県選挙管理委員会が総務省に要望へ 知事選めぐり「当選目的のない立候補」の法整備求める NHK党立花氏が「当選を目的としない」斎藤知事を応援 ポスター掲示板の増設対応も (読売 / Yahoo, 1/15)。ようやくですか。
日本郵便、ゆうパック委託業者に「違約金」 誤配・苦情1件数万円も (朝日, 1/6)。末端いじめ。 とっても JAPAN だね!
関係者によると、公取委は23~24年、関東地方にある郵便局と委託業者の契約を調査。誤配やたばこ臭クレームの違約金額が不当に高額で、十分な説明なく複数の委託業者から徴収したとして、日本郵便の下請法違反を認定した。違反行為の早急な是正を優先して、調査はこの局がある県内で終え、日本郵便を指導したという。
ゆうパック配達「罰金なんて時代錯誤」 たばこの苦情で「10万円」 (朝日, 1/6)
日本郵便、違約金の一部を返金 公取委の指導後、「説明不足だった」 (朝日, 1/7)
「一方的だ」ゆうパックの違約金変更、委託業者の怒り 内部から疑問 (朝日, 1/14)
》 米国が示した“中国関連の脅威アクターから守るためのベストプラクティス”とは (Internet Watch, 1/14)
》 アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は…… (ITmedia, 1/8)
「Git for Windows」にセキュリティアップデート ~資格情報の漏洩などにつながる可能性 (窓の杜, 2025.01.15)
FortiOS 7.0.0〜7.0.16 / FortiProxy 7.2.0〜7.2.12 / FortiProxy 7.0.0〜7.0.19 に欠陥。Node.js websocket モジュールに攻略リクエストを送ることで、 認証を回避して super-admin 権限を取得できる。CVE-2024-55591
FortiOS 7.0.17 / FortiProxy 7.2.13 / FortiProxy 7.0.20 で修正されている。 また、HTTP/HTTPS 管理インターフェイスを無効にする、 あるいは local-in ポリシーによる IP アドレスに基づくアクセス制限を設定することで状況を緩和できる。
関連:
Zero-Day Vulnerability Suspected in Attacks on Fortinet Firewalls with Exposed Interfaces (The Hacker News, 2025.01.14)
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 (JPCERT/CC, 2025.01.15)
Adobe Photoshop / Substance3D Stager / Illustrator for iPad / Animate / Substance3D Designer のセキュリティ情報公開。いずれも Priority: 3。 いずれも対応版が用意されている。
Chrome 132.0.6834.83 (Linux) および 132.0.6834.83/84 (Windows / Mac) が stable に。16 件のセキュリティ修正を含む。関連:
Firefox 134.0 / ESR 128.6.0 公開 (2025.01.08)
Thunderbird 128.6.0esr が 2025.01.08 付で出てました。
Thunderbird 128.6.0esr がリリースされた (mozillaZine, 2025.01.08)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。 セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた (mozillaZine, 2025.01.15)
出ました。159 Microsoft CVE + 2 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET CVE-2025-21171 CVE-2025-21173
- .NET と Visual Studio CVE-2025-21172
- .NET、.NET Framework、Visual Studio CVE-2025-21176
- Active Directory Domain Services CVE-2025-21293
- Active Directory フェデレーション サービス CVE-2025-21193
- Azure Marketplace SaaS リソース CVE-2025-21380
- BranchCache CVE-2025-21296
- Internet Explorer CVE-2025-21326
- IP ヘルパー CVE-2025-21231
- Microsoft AutoUpdate (MAU) CVE-2025-21360
- Microsoft Azure ゲートウェイ マネージャー CVE-2025-21403
- Microsoft Brokering File System CVE-2025-21315 CVE-2025-21372
- Microsoft Graphics コンポーネント CVE-2025-21382
- Microsoft Office CVE-2025-21346 CVE-2025-21365
- Microsoft Office Access CVE-2025-21186 CVE-2025-21366 CVE-2025-21395
- Microsoft Office Excel CVE-2025-21354 CVE-2025-21362 CVE-2025-21364
- Microsoft Office OneNote CVE-2025-21402
- Microsoft Office Outlook CVE-2025-21357
- Microsoft Office Outlook for Mac CVE-2025-21361
- Microsoft Office SharePoint CVE-2025-21344 CVE-2025-21348 CVE-2025-21393
- Microsoft Office Visio CVE-2025-21345 CVE-2025-21356
- Microsoft Office Word CVE-2025-21363
- Microsoft Purview CVE-2025-21385
- Microsoft Windows 検索コンポーネント CVE-2025-21292
- Microsoft ダイジェスト認証 CVE-2025-21294
- Power Automate CVE-2025-21187
- Reliable Multicast Transport ドライバー (RMCAST) CVE-2025-21307
- Visual Studio CVE-2024-50338 CVE-2025-21178 CVE-2025-21405
- Windows BitLocker CVE-2025-21213 CVE-2025-21214
- Windows Boot Manager CVE-2025-21215
- Windows Cloud Files Mini Filter Driver CVE-2025-21271
- Windows COM CVE-2025-21272 CVE-2025-21281 CVE-2025-21288
- Windows Connected Devices Platform Service CVE-2025-21207
- Windows Cryptographic サービス CVE-2025-21336
- Windows Digital Media CVE-2025-21226 CVE-2025-21227 CVE-2025-21228 CVE-2025-21229 CVE-2025-21232 CVE-2025-21249 CVE-2025-21255 CVE-2025-21256 CVE-2025-21258 CVE-2025-21260 CVE-2025-21261 CVE-2025-21263 CVE-2025-21265 CVE-2025-21310 CVE-2025-21324 CVE-2025-21327 CVE-2025-21341
- Windows DirectShow CVE-2025-21291
- Windows DWM Core ライブラリ CVE-2025-21304
- Windows Hello CVE-2025-21340
- Windows Hyper-V NT Kernel Integration VSP CVE-2025-21333 CVE-2025-21334 CVE-2025-21335
- Windows Kerberos CVE-2025-21218 CVE-2025-21242 CVE-2025-21299
- Windows MapUrlToZone CVE-2025-21189 CVE-2025-21219 CVE-2025-21268 CVE-2025-21269 CVE-2025-21276 CVE-2025-21328 CVE-2025-21329 CVE-2025-21332
- Windows Mark of the Web (MOTW) CVE-2025-21217
- Windows NTLM CVE-2025-21311
- Windows OLE CVE-2025-21298
- Windows PrintWorkflowUserSvc CVE-2025-21234 CVE-2025-21235
- Windows Security Account Manager CVE-2025-21313
- Windows SmartScreen CVE-2025-21314
- Windows SPNEGO Extended Negotiation CVE-2025-21295
- Windows Themes CVE-2025-21308
- Windows UPnP Device Host CVE-2025-21300 CVE-2025-21389
- Windows Web Threat Defense ユーザー サービス CVE-2025-21343
- Windows Win32K: GRFX CVE-2025-21338
- Windows WLAN Auto Config Service CVE-2025-21257
- Windows イベント トレーシング CVE-2025-21274
- Windows インストーラー CVE-2025-21275 CVE-2025-21287 CVE-2025-21331
- Windows カーネル メモリ CVE-2025-21316 CVE-2025-21317 CVE-2025-21318 CVE-2025-21319 CVE-2025-21320 CVE-2025-21321 CVE-2025-21323
- Windows クライアント側のキャッシュ (CSC) サービス CVE-2025-21374 CVE-2025-21378
- Windows スマート カード CVE-2025-21312
- Windows セキュア ブート CVE-2024-7344
- Windows テレフォニー サービス CVE-2025-21223 CVE-2025-21233 CVE-2025-21236 CVE-2025-21237 CVE-2025-21238 CVE-2025-21239 CVE-2025-21240 CVE-2025-21241 CVE-2025-21243 CVE-2025-21244 CVE-2025-21245 CVE-2025-21246 CVE-2025-21248 CVE-2025-21250 CVE-2025-21252 CVE-2025-21266 CVE-2025-21273 CVE-2025-21282 CVE-2025-21286 CVE-2025-21302 CVE-2025-21303 CVE-2025-21305 CVE-2025-21306 CVE-2025-21339 CVE-2025-21409 CVE-2025-21411 CVE-2025-21413 CVE-2025-21417
- Windows トラステッド プラットフォーム モジュール CVE-2025-21210 CVE-2025-21280 CVE-2025-21284
- Windows ブート ローダー CVE-2025-21211
- Windows メッセージ キュー CVE-2025-21220 CVE-2025-21230 CVE-2025-21251 CVE-2025-21270 CVE-2025-21277 CVE-2025-21285 CVE-2025-21289 CVE-2025-21290
- Windows リモート デスクトップ サービス CVE-2025-21225 CVE-2025-21278 CVE-2025-21297 CVE-2025-21309 CVE-2025-21330
- Windows 位置情報サービス CVE-2025-21301
- Windows 仮想化ベースのセキュリティ (VBS) エンクレーブ CVE-2025-21370
- Windows 回復環境エージェント CVE-2025-21202
- ライン プリンター デーモン (LPD) サービス CVE-2025-21224
0-day が 8 件も。攻略プログラムが確認されているのは Hyper-V の 3 件。 他は情報公開。
Access patch は副作用あり。
この更新プログラムは、この脆弱性をどのような方法で保護しますか?
この更新プログラムにより、潜在的に悪意のある拡張子が電子メールで送信されることはありません。どの種類の拡張子がブロックされますか?
ブロックされる拡張子は次のとおりです。
- accdb
- accde
- accdw
- accdt
- accda
- accdr
- accdu
関連:
不具合情報:
USBオーディオDACやサウンドデバイスが動作しない不具合。Windows10およびWindows11にて発生。Windows Update KB5049981 / KB5050021 / KB5050009に起因。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2025.01.16)
上記更新プログラムをインストールすることでMicrosoftの汎用USBオーディオドライバのバージョンが10.0.19041.4355から10.0.19041.5369へとアップデートされます。ユーザー報告では、このドライバのアップデートに起因しているのではないかと疑われています。
Webカメラが動作しない不具合。Windows10 / Windows11で発生。これもWindows Update KB5049981 / KB5050021 / KB5050009が原因 (ニッチなPCゲーマーの環境構築Z, 2025.01.17)
不具合発生時は KB5049981 / KB5050021 / KB5050009 をアンインストールしてみる (アンインストールにより解決するか否かを確認する) のが吉のようで。
》 Facebookに現れた「タモリさん起訴」のフェイクニュース広告を調査―クリック先に待ち受けるものとは? (おたくま経済新聞, 1/14)
》 「イオンカード」のイオンFS、カード不正利用で“特損28億円”も増収増益 (ITmedia, 1/9)
》 スクエニ、カスハラ対応方針を明示 悪質な場合は「法的措置や刑事手続を含む対処を」 (ITmedia, 1/10)
》 手放したドメインを「パパ活サイト」に転用されたマカフィー、「別の法人により管理されていた」「非常に遺憾」 (ITmedia, 1/10)。blogs.mcafee.jp の件。 関連:
》 JAL、飛行機を“サメ肌”にして空気抵抗軽減 世界で初めて国際線に導入へ 1月中旬から (ITmedia, 1/20)
導入に当たり、JAXA(宇宙航空研究開発機構)と、塗装事業などを手掛けるオーウエル(大阪府大阪市)が協力。機体の表面のリブレット形状塗膜を施す際は、オーウエルの「Paint-to-Paint Method」(既存の塗膜上に水溶性の型で凹凸を形成する技術)を使用した。フィルムなどでの加工に比べ、重量の軽減や耐久性の向上が期待できるという。
》 Sweet QuaDreams or Nightmare before Christmas? Bill Marczak on Dissecting an iOS 0-Day (CitizenLab, 1/9)
》 MirrorFaceによるサイバー攻撃について(注意喚起) (警察庁, 1/8)
》 Appleが「Siriのプライバシー保護機能」について解説、可能な限りオフラインで処理しデータ収集は最小限 (gigazine, 1/10)
》 TikTok買収にドジャース元オーナーのフランク・マッコート率いる「Project Liberty」が正式立候補 (gigazine, 1/10)。はてさて。
》 TikTok禁止法の施行を前にTikTokはユーザーに「Lemon8」への脱出を推奨している (gigazine, 1/9)
Lemon8は、2020年に誕生した「コミュニティプラットフォーム・Shareee(シェアリー)」が、2021年に「ライフスタイル共有アプリ」として生まれ変わったもの。TikTokと同じく、ByteDanceが手がけるアプリです。
》 Instagram・Facebookでは露骨なポルノを含む迷惑詐欺広告が数多く表示されている、一方でMetaはポルノと関係のない投稿まで「ポリシー違反」として削除している (gigazine, 1/9)
》 「ハトにカメラを仕込んで撮影」など動物を使ったスパイ活動の成功例と失敗例について国際安全保障の専門家が解説 (gigazine, 1/10)
》 GoogleとLinux FoundationがChromiumの開発と維持を支援する基金「Supporters of Chromium-Based Browsers」を設立、MetaやMicrosoftなども参加 (gigazine, 1/10)
》 なぜトランプ次期大統領の関税引き上げ計画を経済学者は懸念しているのか? (gigazine, 1/10)。第1次トランプ政権の時にも関税引き上げ事例があったのですね。
》 GoogleとMicrosoftがトランプ大統領就任式におよそ1億6000万円ドルを寄付したことが明らかに (gigazine, 1/10)。うへえ。
》 トランプ氏の仮想通貨政策に暗雲か、アメリカ司法省が過去に押収した1兆円相当のビットコインの売却が認められたことで準備金が不足する可能性 (gigazine, 1/10)
》 仏独、トランプ次期米大統領に警告 グリーンランド支配の発言めぐり (BBC, 1/9)
》 Drupal 7 End of Life - PSA-2025-01-06 (Drupal, 1/6)。ついに終了。
》 北朝鮮:極超音速滑空ミサイル「火星16B」の発射試験に成功か (海国防衛ジャーナル, 1/7)
》 大川原化工機代理人「警察犯罪を裁く機会が奪われた」 虚偽の文書作成疑い、警視庁公安部の3人が不起訴に (東京, 1/8)。冤罪殺人事件なのに主犯はこの扱い。
》 Turkish Navy Unveils MUGEM: A Fully Indigenous Aircraft Carrier (Naval News, 2024.10.28)。トルコの 6万トン級空母 MUGEM。
いよいよ建造開始だそうで: トルコ海軍向けの6万トン級空母、国防省が建造作業の開始を発表 (航空万能論 GF, 1/4)
》 Microsoftが「93日を超えてライセンスの付与されていないOneDriveアカウント」へのアクセスを遮断する予定 (gigazine, 1/9)。また祭になるのだろうか。
》 プライバシーを勝手にオークションにかける「リアルタイム入札」について電子フロンティア財団が警鐘を鳴らす (gigazine, 1/9)
》 弾薬統合の自由、ドイツ軍の選択はGMARSではなくEuroPULS (航空万能論 GF, 1/8)
Defense Newsの取材に応じたドイツ国防省の報道官は「評価可能なGMLRSのプロトタイプを入手できなかった」「PULSを選択したオランダ軍はドイツ軍に深く統合されている」「同一システムを採用することで両軍の協力関係を強化できる」「PULSの運用国は射撃管制システムと使用する弾薬を独自に選択可能だ」と述べ、Defense Newsは「PULSに統合可能な弾薬にM270で使用していたGMLRSが含まれるかどうかは未解決な問題だ。ドイツ国防省の報道官も『米国側と緊密に協力している』と説明したが、Lockheed Martinは『もしPULSを選択すれば米国製弾薬にはアクセスできなくなる』と主張している」と指摘。
この拒絶は政治的もしくは商業的な側面に起因している可能性が高く、海外市場ではプラットホーム、弾薬、保守、サービスの全てを支配するやり方は不人気で、だからこそ武器システムの主権確保が調達時の重要なポイントになっているのだろう。
ひでえ。昨今のトランプ発言もそうだが、独立国家を馬鹿にしすぎだろ。
》 クルスク方面の戦い、ロシア軍の攻勢でウクライナ軍の左翼が急速に崩壊 (航空万能論 GF, 1/10)、 ロシア軍はウクライナ軍の攻勢を事前に察知、戦力を集中させて逆攻勢 (航空万能論 GF, 1/10)
》 ウクライナ兵1700人脱走か 当局が捜査開始 (TBS, 1/4)。第155機械化旅団 大量脱走事件。
“第155旅団の状況について全てをお話しよう。西部作戦司令部と陸軍司令部は(政治的ニーズ)を満たすためショーを演じることにした。彼らは路上から数千人を旅団に連れて来て、軍服を着せ、有能の指揮官が旅団の指揮を執ったが、組織を固めるための十分な時間が与えられなかった。そのため路上から旅団に連れてこられた者の中から大量に離脱者が出た。所属部隊からの無断離脱は犯罪ではないという法律が成立してしまったため、第155旅団に連れてこられた1,000人を越える人々は直ぐに帰宅してしまい、旅団長はБусифікація(動員対象年齢の男性を強制的に路上バスに押し込んで連れて行くことを指す新造語)された人々の責任を問われて解任されてしまった”
》 J-36はポジショニングと先制攻撃を追求した戦闘機、視界外戦闘に特化 (航空万能論 GF, 2024.12.31)。 AWACS キラーかなあ。
Ivanti Connect Secure / Policy Secure / ZTA Gateways に 2 件のセキュリティ欠陥、 remote から無認証で RCE CVE-2025-0282 と local user による権限上昇 CVE-2025-0283。 CVE-2025-0282 は 0-day。
CVE-2025-0282 を突いた侵入の有無は Integrity Checker Tool (ICT) で確認できるとされている。internal ICT と external ICT があるようなのだが、 external ICT は 対応済みバージョンである 22.7R2.5 以降でのみ利用可能な模様。
影響範囲:
| CVE-2025-0282 | CVE-2025-0283 | 対応済バージョン | |
|---|---|---|---|
| Ivanti Connect Secure | 22.7R2 〜 22.7R2.4 | 22.7R2.4 以前、 9.1R18.9 以前 | 22.7R2.5 |
| Ivanti Policy Secure | 22.7R1 〜 22.7R1.2 | 22.7R1.2 以前 | |
| Ivanti ZTA Gateways | 22.7R2 〜 22.7R2.3 | 22.7R2.3 以前 | 22.7R2.5 |
現時点では Ivanti Connect Secure 用の patch のみが用意されている。 Policy Secure / ZTA Gateways は 2025.01.21 に登場予定。
関連:
Mandiant has identified zero-day exploitation of CVE-2025-0282 in the wild beginning mid-December 2024. CVE-2025-0282 is an unauthenticated stack-based buffer overflow. Successful exploitation could result in unauthenticated remote code execution, leading to potential downstream compromise of a victim network.
While there are several variations during the exploitation of CVE-2025-0282, the exploit and script generally performs the following steps:remote から無認証で root 権限取られるってことなのですね。
- Disable SELinux
- Prevent syslog forwarding
- Remount the drive as read-write
- Write the script
- Execute the script
- Deploy one or more web shells
- Use sed to remove specific log entries from the debug and application logs
- Reenable SELinux
- Remount the drive
daitoshi.mlit.go.jp ドメインがハイジャックされオンラインカジノサイトが設置されていた (2025.01.09)
kyufukin.soumu.go.jp 等の件:
》 ClamAV 1.4 as Next Long-Term Stable (LTS) (ClamAV, 1/8)
》 刊行物『中小企業向けサイバーセキュリティ対策の極意』 (東京都産業労働局)。1/8 付で Ver.3.0 が公開されています。
》 「反戦詩」詠んだ与謝野晶子像に突然の撤去要請 裁判応酬の事態に (朝日, 1/8)。堺市長はもちろん維新。 維新はほんと駄目だな。
大都市交通センサスのドメイン daitoshi.mlit.go.jp がハイジャックされ、オンラインカジノサイトが設置されていた模様です。現在は修正されているそうです。 lame delegation ダメ、ゼッタイ。
@MLIT_JAPAN 国土交通省はなかったことにするつもりっぽいし、修正済みだから暴露しちゃえ
— random (@randomp23189307) December 6, 2024
ということで、先月まで、国交省https://t.co/I64bYAlW8K下のDNSの一部ゾーンが第三者に乗っ取られてました。
DNS素人なので間違ってるかもですが、Route53のlame delegationです
使われなくなったゾーンの委任消し忘れですね
— random (@randomp23189307) December 6, 2024
JPCERT/CC経由で報告し、現在は修正済みです
こちらから当時のDNSの様子が見れますhttps://t.co/ixXF9xVgeq
Let's Encryptで不正なワイルドカード証明書まで発行されちゃってます
— random (@randomp23189307) December 6, 2024
これはhttps://t.co/fptzWm77Vwで確認できます
https://t.co/ICKegrNp9a
— random (@randomp23189307) January 9, 2025
まだキャッシュに残ってました
https://www.slotshell.daitoshi.mlit.go.jp
Hell Slots: 人気の最新スロットを提供するオンライン カジノ。
* ヘルスロットで楽しみを見つけよう幅広いオンラインカジノゲームをお楽しみください素晴らしいボーナスとプロモーション付き今すぐゲームに参加しましょう!
kyufukin.soumu.go.jp 等の件:
Dangling (宙ぶらりんの) CNAME や NS は他にもたくさん見つかっていますが個々に安全性を確認する手間をかけていられず、見つけたものからリストを政府方面へお渡ししています。
GO.JP は総点検とドメイン運用ルールの見直しが必要だと思います。
また乗っ取りが容易なサービスを提供している事業者たちにも対策を求めたいですね。
kyufukin.soumu.go.jp 等の件:
サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて (JPRS, 2025.01.21)
終わったWebサイトのDNS設定、そのままになっていませんか? (JPRS, 2025.01.21)
》 ビッグテック企業は“ガザのジェノサイド”にどのように加担しているのか (p2ptk.org, 2024.10.15)
》 「優しい独裁者」から「権威主義者への迎合」に向かうテック業界 (p2ptk.org, 2024.12.12)
》 「人間がAIを監督する」という幻想 (p2ptk.org, 2024.12.09)
グリーンが指摘するように、リスクを伴う重要な決定をAIに任せ、その害を人間による監視で防ごうとする試みは「逆効果」を招く。「根本的な懸念に実質的に対処することなく、政府のアルゴリズムへの監視を緩める」のだから。人間による監視は「根拠のない安心感」を生み出し、アルゴリズムの重要分野への導入を促進し、その失敗の責任を人間に転嫁する。ダン・デイビスの言葉を借りれば、「責任の空洞化(accountability sink)」を作り出すのだ。
》 Hollywood Miscasts AI As The Terminator (NOEMA, 2024.10.11)。 以下の引用は DeepL 訳:
AIモデルが強力になりすぎて、独自の決定を下す恐れが出てきた場合、ビッグテックはプラグを抜くかキルスイッチを押せばいいと考えているようだ。 私はハラリに、そのような見方を信じているのかと尋ねた。
(中略)
AI官僚は無数に存在し、全世界で数十億人、あらゆるシステムに存在することになる。 医療システムにも、教育システムにも、軍隊にもいる。 数年後、どこかで大きな間違いを犯し、事態が制御不能に陥っていることに気づいたら、どうする? 世界中の軍隊や医療制度、教育制度をすべて停止することはできない。 そう考えるのは完全に非現実的であり、誤解を招く」
》 トランプ次期米大統領、グリーンランドとパナマ運河の支配めぐり脅し強める 「カナダ合併」にも言及 (BBC, 1/8)
》 中国政府は自動車用半導体の自給率を高めたがっている (gigazine, 1/8)
》 Huaweiはアメリカの厳しい制裁にもかかわらず復活し中国市場でiPhoneを追い上げつつある (gigazine, 1/7)
関連:
》 Tencentが中国軍との関係が疑われる企業のブラックリストに追加され株価7%超の下落、企業の評判悪化のほか財務省による制裁の圧力にさらされる可能性も (gigazine, 1/7)
》 サイバートラックがトランプ・ホテル前で爆発した事件の犯人はChatGPTで計画を練っていた (gigazine, 1/8)
》 「極右の毒が深刻な脅威に」「荒らしに餌を与えるな」マスク氏の介入、英独首相ら欧州指導者が相次ぎ反発 (新聞紙学的, 1/8)。だんだんあからさまになってきた。
関連: 【解説】 なぜマスク氏は各国の政治に介入しようとしているのか (BBC / Wedge, 1/8)
》 Meta、第三者によるファクトチェック廃止へ 政治コンテンツ制限緩和も (ITmedia, 1/8)。トランプ効果。
関連:
政治あるいは国家戦略の文脈に合わせてSNSプラットフォームも変化してきているようだ。中露が全領域での戦いを展開しているように米国も民間企業も含めた全領域の戦いに突入しようとしているのかもしれない。そう考えると、イーロン・マスクが米国の同盟国を民主主義を標榜する極右を通じて影響下におく試みも理解できる。
すでにプーチンは米国や欧州の極右を通じて影響工作を行っている。同じことをイーロン・マスクはやっているわけだ。ただし、イーロン・マスクの場合は、自由と経済発展という看板があるので、堂々と正体をさらしてできる。米国全領域作戦の一端を担えるし、自社の利益のために独自の作戦も可能となる。
》 米国 NSA、CISA、FBI他 イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 (2024.12.18) (まるちゃんの情報セキュリティ気まぐれ日記, 1/3)。
標的はイスラエル製のPLC、HMIのようですので、日本ではあまり関係ないかもしれませんが、他社製と名乗っていても、実は元のシステムがイスラエル製で社名を変えて売られている可能性もあるので、念の為、といったところでしょうかね...
》 Treaties on the exchange and protection of classified information (electrospaces.net, 2024.12.31)
》 ランサムリークサイト観察記 2024年振り返り ((n)inja csirt, 1/7)
関連:
》 ケニアの村に重さ500kgの落下物、宇宙ゴミか 「家の敷地に落ちたら大惨事に」 (産経 / ITmedia, 1/7)
関連: アストロスケールの商業デブリ除去実証衛星「ADRAS-J」、宇宙空間でデブリから約15mの距離まで接近に成功 (アストロスケール, 2024.12.01)
》 カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で (ITmedia, 1/7)
出ました。Thunderbird 128.6.0esr はまだです。
Thunderbird 128.6.0esr が 2025.01.08 付で出てました。
Thunderbird 128.6.0esr がリリースされた (mozillaZine, 2025.01.08)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。 セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた (mozillaZine, 2025.01.15)
Chrome 131.0.6778.264/.265 (Windows / Mac) および 131.0.6778.264 (Linux) 公開。4 件のセキュリティ修正を含む。また $55000 とか出てるし。
関連:
》 グアムの陸上配備型イージスが弾道ミサイルの迎撃試験に成功 (海国防衛ジャーナル, 2024.12.22)
試験「FEM-02」では、まず、C-17から準中距離弾道ミサイル標的L3MRBM Type 1を空中発射。GDSのAN/TPY-6が探知、追跡、交戦までカバーし、陸上型Mk.41からSM-3ブロック2Aを発射、グアム沖の上空にてこれを迎撃しました。
当該試験においては、米海軍のイージス駆逐艦「ミリウス(DDG-69)」も標的に対して探知、追跡、交戦をシミュレート、米陸軍のTHAADも標的を追跡、そして海上自衛隊の護衛艦「はぐろ」も防空支援対処を演練したとのことです。
海自も参加していたのですね。 こういうのの訓練機会はなかなかないからなあ。
》 WordPress 6.7.1、カテゴリが勝手に複数選択される不具合。特定条件下で発生。当サイトも見事に被弾 (ニッチなPCゲーマーの環境構築Z, 1/6)
》 【重要】【リマインド】ActiveUpdateサーバのコードサイニング証明書更新について (トレンドマイクロ, 1/6)、 ActiveUpdateサーバのコードサイニング証明書更新に伴う影響について (トレンドマイクロ, 1/6 更新)
》 2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測 (トレンドマイクロ セキュリティ blog, 1/6)
》 日本航空で発生した大量データ送付起因のネットワーク障害についてまとめてみた (piyolog, 2024.12.30)
》 サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~ (JPCERT/CC, 2024.12.25)
以上2つの特徴/意義を踏まえた上で、こうした演習が何に備えるために行われているのか今一度考える必要があります。冒頭に申し上げた通り、この演習はリアルタイムインシデント対応という現実の世界ではほとんど発生しない事案の対応を行います。
LockedShields演習の基本的なシナリオ設定もそうですが、重要インフラや政府のシステムが狙われる同時多発的なリアルタイムインシデントはいわゆる「有事[5]」です。刻々と変わる情勢の中で、ごく短時間で意思決定と対処をしなければ社会的に深刻な被害が拡大していきます。
》 制御システムセキュリティカンファレンス2025 (JPCERT/CC, 2024.12.19)。2025.02.05、ハイブリッド (東京都台東区 + オンライン)、無料 (要登録)。
》 しょせん他人事って言っても若いですなぁ。 (壇弁護士の事務室, 2024.12.25)。「しょせん他人事ですから」8巻の宣伝。
》 ISO-2022-JPによるXSSの話 (葉っぱ日記, 1/2)
》 お待たせしました!次号発売決定のお知らせ (「冤罪File」編集局公式ブログ, 2024.12.11)。「2025年3月1日(土)」。
》 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起) (個人情報保護委員会, 2024.12.17)
》 Apple、「iOS 18.2.1」「iPadOS 18.2.1」をリリース (窓の杜, 1/7)
》 動く実物大ガンダムの“解体”現場に密着 NHK「解体キングダム」で8日放送 (ITmedia, 1/6)。明日。
》 VHS「2025年問題」思い出消滅の危機 迫る耐用年数、データ変換の依頼殺到 (産経 / ITmedia, 1/7)
国連教育科学文化機関(ユネスコ)がVHSなど磁気テープに保存された情報が失われる危険性への注意を喚起する「マグネティック・テープ・アラート」を発表したのは令和元(2019)年のこと。一般的にVHSテープの寿命は約20年、長くても30年ほどといわれている。ユネスコのアラートから5年、VHSテープの再生機器や部品は急速に姿を消しており、25年ごろに映像が見られなくなる危険があるという。
》 セキュリティソフト「マカフィー」になにが? 公式ブログが“パパ活”の記事を配信 (やじうま Watch, 1/6)
》 元旦に連続発生した自動車による殺傷事件には身元確認が厳密なはずのカーシェアリングサービス「Turo」の車両が使われていた (gigazine, 1/6)
》 最大の脅威は「組織化、ビジネス化するランサムウェア攻撃」。JASAが2025年の情報セキュリティ10大トレンド発表 (Internet Watch, 1/7)
》 Bing、Googleとデザイン激似の検索フォームでユーザーを誘い込んでいることが明らかに (やじうま Watch, 1/7)
巧妙なのは、この検索フォームの表示がMicrosoftによる広告というかたちを取っていること。実際、画面右上の「×」をクリックすると、この“広告”は非表示になる。
今 Edge で確認してみたら、確かに「マイクロソフトによる広告」としてにせ Google が表示されているなあ。Microsoft にとってのセキュリティってどうなってるの? と思って「Microsoft のプライバシーとセキュリティ ポリシーについて」 (Microsoft) を見てみると、
Microsoft は、お客様が製品を使用している間、セキュリティとプライバシーを保護Bingしています。
そもそも日本語が通じていないようだった。 (英語だと「Microsoft is committed to helping protect your security and privacy while you're using Bing products」)
》 「7つの失敗」で振り返る 2024年のAIシーン (MIT Technology Review, 1/3)
Deep Security Agent(Windows版)における不適切なパーミッションによるローカル権限昇格の脆弱性(CVE-2024-55955) (トレンドマイクロ, 2024.12.20)
Trend Micro Apex One および Trend Micro Apex One SaaS で確認された複数の脆弱性について(2024年12月) (トレンドマイクロ, 2024.12.17)
「libxml2」にXXE脆弱性 - 利用アプリに影響 (security-next, 2024.12.27)。 CVE-2024-40896
同脆弱性に関しては、現地時間7月24日にリリースされた「libxml2 2.13.3」「同2.12.9」「同2.11.9」にて修正されており、アップデートが呼びかけられている。
CVE-2024-40896 Analysis: libxml2 XXE due to type confusion (oss-sec ML, 2024.12.25)
iTerm2 < 3.5.11 logs input/ouput to /tmp/framer.txt on remote host (oss-sec ML, 2025.01.03)。iTerm2 3.5.6〜3.5.10 の欠陥。 3.5.11 で修正。
Androidにリモートコード実行の「Critical」な脆弱性 ~2025年1月セキュリティ更新 (窓の杜, 2025.01.07)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)