Previewing RSS of セキュリティホール memo

》イラン危機爆撃された小学校 (共同)。現地取材。

米軍による誤爆が疑われているイラン南部ミナブの小学校爆撃について、共同通信テヘラン支局が外国メディアを管轄するイラン当局に現地取材の許可を申請し、4月末に認められた。現地取材は5月6日に行い、当局による制限や介入は一切なかった。厳格な報道規制を敷くイランでは外国メディアが地方を取材する場合、当局に個別に許可を得る必要がある。

【速報】OpenAIがブラウザを乗っ取る！Codex Chrome拡張で「ログイン済みセッション」にAIがアクセスする時代

》【速報】OpenAIがブラウザを乗っ取る！Codex Chrome拡張で「ログイン済みセッション」にAIがアクセスする時代 (emi_ndk / qiita, 5/12)。これはマルウェアでしょ。どうも OpenAI という会社は、Sora といいコレといい、やっていいことと悪いことの区別がついていない感があるなあ。

ENEOS管理の原油タンカーがホルムズ海峡通過の報道

》 ENEOS管理の原油タンカーがホルムズ海峡通過の報道 (NHK, 5/14)。 VLCC タンカー ENEOS ENDEAVOR Crude Oil Tanker IMO: 9924091 (marinetraffic.com)、ようやくペルシャ湾を脱出。おめでとうございます。これで ENEOS 運航船腹は全隻ペルシャ湾外にいます。

ENEOS OCEAN　　 Crude Oil Tanker IMO: 9662875 (marinetraffic.com)

ENEOS SPIRIT　　 Crude Oil Tanker IMO: 9662887 (marinetraffic.com)

ENEOS ARROW　　 Crude Oil Tanker IMO: 9814129 (marinetraffic.com)

BRIGHT HORIZON　　 Crude Oil Tanker IMO: 9787780 (marinetraffic.com)

ENEOS EARTH　　 Crude Oil Tanker IMO: 9814131 (marinetraffic.com)

BRIGHT CREST　　 Crude Oil Tanker IMO: 9787792 (marinetraffic.com)

ENEOS GLORY　　 Crude Oil Tanker IMO: 9851608 (marinetraffic.com)

ENEOS DREAM　　 Crude Oil Tanker IMO: 9891995 (marinetraffic.com)

ENEOS ENDEAVOR　　 Crude Oil Tanker IMO: 9924091 (marinetraffic.com)

KAIMON MARU　　 Crude Oil Tanker IMO: 9648776 (marinetraffic.com)

TOKYO MARU　　 Crude Oil Tanker IMO: 9617038 (marinetraffic.com)

SHINSEI MARU　　 Crude Oil Tanker IMO: 9759850 (marinetraffic.com)

　関連

ツイート

ホルムズ海峡を通過した「ENEOS ENDEAVOR」は，5月11日までペルシャ湾側にいたことを確認しています。

5月に入ってからGPSジャミングが顕著になり，正確に位置を追えていませんでした。突如として通過したことに驚いています。 pic.twitter.com/1joMQZc3KQ
— 渡邉英徳 wtnv (@hwtnv) May 13, 2026

イラン革命防衛隊 “ホルムズ海峡の作戦上の境界大幅に拡大”

》イラン革命防衛隊 “ホルムズ海峡の作戦上の境界大幅に拡大” (NHK, 5/13)。実効支配域宣言かな。

中国がパキスタンに潜水艦引き渡し　計8隻を予定、軍事協力深化

》中国がパキスタンに潜水艦引き渡し　計8隻を予定、軍事協力深化 (日経, 5/11)。こちらの件:

Pakistan Navy Commissions First Hangor-class Submarine in China (Naval News, 4/30)

Hangor-class submarine (Wikipedia)。元型がベース。

「Android 17」に複数の新機能　銀行を装った詐欺電話の自動切断や“10秒待機”でアプリの使いすぎ防止も

》「Android 17」に複数の新機能　銀行を装った詐欺電話の自動切断や“10秒待機”でアプリの使いすぎ防止も (ITmedia, 5/14)

2026 年 5 月のセキュリティ更新プログラム (月例)

　Microsoft 2026.05 更新。 137 Microsoft CVE + 128 non-MS CVE (大半は Edge)。

.NET CVE-2026-26171 CVE-2026-32178

.NET and Visual Studio CVE-2026-32203

.NET Framework CVE-2026-23666 CVE-2026-32226

.NET, .NET Framework, Visual Studio CVE-2026-33116

Applocker Filter Driver (applockerfltr.sys) CVE-2026-25184

Azure Logic Apps CVE-2026-32171

Azure Monitor Agent CVE-2026-32168 CVE-2026-32192

Desktop Window Manager CVE-2026-27923 CVE-2026-27924 CVE-2026-32152 CVE-2026-32154 CVE-2026-32155

Function Discovery Service (fdwsd.dll) CVE-2026-32086 CVE-2026-32087 CVE-2026-32093 CVE-2026-32150

GitHub Copilot and Visual Studio Code CVE-2026-23653

GitHub Repo: Git for Windows CVE-2026-32631

Input-Output Memory Management Unit (IOMMU) CVE-2023-20585

Microsoft Brokering File System CVE-2026-26181 CVE-2026-32091 CVE-2026-32219

Microsoft Defender CVE-2026-33825

Microsoft Dynamics 365 (on-premises) CVE-2026-33103

Microsoft Edge (Chromium-based) CVE-2026-33118 CVE-2026-33119 CVE-2026-5272 CVE-2026-5273 CVE-2026-5274 CVE-2026-5275 CVE-2026-5276 CVE-2026-5277 CVE-2026-5279 CVE-2026-5280 CVE-2026-5281 CVE-2026-5283 CVE-2026-5284 CVE-2026-5285 CVE-2026-5286 CVE-2026-5287 CVE-2026-5289 CVE-2026-5290 CVE-2026-5291 CVE-2026-5292 CVE-2026-5858 CVE-2026-5859 CVE-2026-5860 CVE-2026-5861 CVE-2026-5862 CVE-2026-5863 CVE-2026-5864 CVE-2026-5865 CVE-2026-5866 CVE-2026-5867 CVE-2026-5868 CVE-2026-5869 CVE-2026-5870 CVE-2026-5871 CVE-2026-5872 CVE-2026-5873 CVE-2026-5874 CVE-2026-5875 CVE-2026-5876 CVE-2026-5877 CVE-2026-5878 CVE-2026-5879 CVE-2026-5880 CVE-2026-5881 CVE-2026-5882 CVE-2026-5883 CVE-2026-5884 CVE-2026-5885 CVE-2026-5886 CVE-2026-5887 CVE-2026-5888 CVE-2026-5889 CVE-2026-5890 CVE-2026-5891 CVE-2026-5892 CVE-2026-5893 CVE-2026-5894 CVE-2026-5895 CVE-2026-5896 CVE-2026-5897 CVE-2026-5898 CVE-2026-5899 CVE-2026-5900 CVE-2026-5901 CVE-2026-5902 CVE-2026-5903 CVE-2026-5904 CVE-2026-5905 CVE-2026-5906 CVE-2026-5907 CVE-2026-5908 CVE-2026-5909 CVE-2026-5910 CVE-2026-5911 CVE-2026-5912 CVE-2026-5913 CVE-2026-5914 CVE-2026-5915 CVE-2026-5918 CVE-2026-5919

Microsoft Graphics Component CVE-2026-32221

Microsoft High Performance Compute Pack (HPC) CVE-2026-32184

Microsoft Management Console CVE-2026-27914

Microsoft Office CVE-2026-32190

Microsoft Office Excel CVE-2026-32188 CVE-2026-32189 CVE-2026-32197 CVE-2026-32198 CVE-2026-32199

Microsoft Office PowerPoint CVE-2026-32200

Microsoft Office SharePoint CVE-2026-20945 CVE-2026-32201

Microsoft Office Word CVE-2026-23657 CVE-2026-33095 CVE-2026-33114 CVE-2026-33115 CVE-2026-33822

Microsoft Power Apps CVE-2026-26149

Microsoft PowerShell CVE-2026-26143 CVE-2026-26170

Microsoft Windows CVE-2026-32181

Microsoft Windows Search Component CVE-2026-27909

Microsoft Windows Speech CVE-2026-32153

Node.js CVE-2026-21637

Remote Desktop Client CVE-2026-32157

Role: Windows Hyper-V CVE-2026-26156 CVE-2026-32149

SQL Server CVE-2026-32167 CVE-2026-32176 CVE-2026-33120

Universal Plug and Play (upnp.dll) CVE-2026-32212 CVE-2026-32214

Windows Active Directory CVE-2026-32072 CVE-2026-33826

Windows Admin Center CVE-2026-32196

Windows Advanced Rasterization Platform CVE-2026-26178

Windows Ancillary Function Driver for WinSock CVE-2026-26168 CVE-2026-26173 CVE-2026-26177 CVE-2026-26182 CVE-2026-27922 CVE-2026-32073 CVE-2026-33099 CVE-2026-33100

Windows Biometric Service CVE-2026-32088

Windows BitLocker CVE-2026-27913

Windows Boot Loader CVE-2026-0390

Windows Boot Manager CVE-2026-26175

Windows Client Side Caching driver (csc.sys) CVE-2026-26176

Windows Cloud Files Mini Filter Driver CVE-2026-27926

Windows COM CVE-2026-20806 CVE-2026-32162

Windows Common Log File System Driver CVE-2026-32070

Windows Container Isolation FS Filter Driver CVE-2026-33098

Windows Cryptographic Services CVE-2026-26152

Windows Encrypting File System (EFS) CVE-2026-26153

Windows File Explorer CVE-2026-32079 CVE-2026-32081 CVE-2026-32084

Windows GDI CVE-2026-27930 CVE-2026-27931

Windows Hello CVE-2026-27906 CVE-2026-27928

Windows HTTP.sys CVE-2026-33096

Windows IKE Extension CVE-2026-33824

Windows Installer CVE-2026-27910

Windows Kerberos CVE-2026-27912

Windows Kernel CVE-2026-26163 CVE-2026-26179 CVE-2026-26180 CVE-2026-32195 CVE-2026-32215 CVE-2026-32217 CVE-2026-32218

Windows Kernel Memory CVE-2026-26169

Windows Local Security Authority Subsystem Service (LSASS) CVE-2026-26155 CVE-2026-32071

Windows LUAFV CVE-2026-27929

Windows Management Services CVE-2026-20930

Windows OLE CVE-2026-26162

Windows Print Spooler Components CVE-2026-33101

Windows Projected File System CVE-2026-26184 CVE-2026-27927 CVE-2026-32069 CVE-2026-32074 CVE-2026-32078

Windows Push Notifications CVE-2026-26167 CVE-2026-26172 CVE-2026-32158 CVE-2026-32159 CVE-2026-32160

Windows Recovery Environment Agent CVE-2026-20928

Windows Redirected Drive Buffering CVE-2026-32216

Windows Remote Desktop CVE-2026-26151

Windows Remote Desktop Licensing Service CVE-2026-26159 CVE-2026-26160

Windows Remote Procedure Call CVE-2026-32085

Windows RPC API CVE-2026-26183

Windows Secure Boot CVE-2026-25250

Windows Sensor Data Service CVE-2026-26161

Windows Server Update Service CVE-2026-26154 CVE-2026-26174 CVE-2026-32224

Windows Shell CVE-2026-26165 CVE-2026-26166 CVE-2026-27918 CVE-2026-32151 CVE-2026-32202 CVE-2026-32225

Windows Snipping Tool CVE-2026-32183 CVE-2026-33829

Windows Speech Brokered Api CVE-2026-32089 CVE-2026-32090

Windows SSDP Service CVE-2026-32068 CVE-2026-32082 CVE-2026-32083

Windows Storage Spaces Controller CVE-2026-27907 CVE-2026-32076

Windows TCP/IP CVE-2026-27921 CVE-2026-33827

Windows TDI Translation Driver (tdx.sys) CVE-2026-27908

Windows Universal Plug and Play (UPnP) Device Host CVE-2026-27915 CVE-2026-27916 CVE-2026-27919 CVE-2026-27920 CVE-2026-27925 CVE-2026-32075 CVE-2026-32077 CVE-2026-32156

Windows USB Print Driver CVE-2026-32223

Windows User Interface Core CVE-2026-27911 CVE-2026-32163 CVE-2026-32164 CVE-2026-32165

Windows Virtualization-Based Security (VBS) Enclave CVE-2026-23670 CVE-2026-32220

Windows WalletService CVE-2026-32080

Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys) CVE-2026-27917

Windows Win32K - GRFX CVE-2026-33104

Windows Win32K - ICOMP CVE-2026-32222

　0-day は無いようです。

　ヤバいものとして挙げられているのは:

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が 9.8 以上と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。(中略)

CVE-2026-42898 Microsoft Dynamics 365 オンプレミスのリモートでコードが実行される脆弱性

CVE-2026-42823 Azure Logic Apps の特権昇格の脆弱性

CVE-2026-41096 Windows DNS クライアントのリモートでコードが実行される脆弱性

CVE-2026-41089 Windows Netlogon のリモートでコードが実行される脆弱性

　うぉぅ DNS ねた。

CVE-2026-41096 Windows DNS クライアントのリモートでコードが実行される脆弱性 (Microsoft, 2026.05.12)。CVSS:3.1 9.8 / 8.5。対象 OS は Windows 11 / Server 2025 のみ。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、特別に細工された DNS 応答を脆弱な Windows システムに送信することによって、この脆弱性を悪用し、DNS クライアントに応答を正しく処理させないようにしてメモリを破損させる可能性があります。特定の構成では、これにより、攻撃者が認証なしで影響を受けるシステムでコードをリモートで実行できるようになる可能性があります。

攻略 DNS 応答で RCE。「悪用される可能性は非常に低い」とされているので、「特定の構成」の条件がかなり厳しいのかもしれない。

　関連:

【Windows11】 WindowsUpdate 2026年5月不具合情報 - セキュリティ更新プログラム KB5089549 ［Update 1］ (ニッチなPCゲーマーの環境構築Z, 2025.05.14 更新)

【Windows10】 WindowsUpdate 2026年5月不具合情報 - セキュリティ更新プログラム KB5087544 ［Update 1］ (ニッチなPCゲーマーの環境構築Z, 2025.05.14 更新)

『C:\Windows\SecureBoot』が新たに作成される。KB5089549等のインストール後に。このフォルダはいったい (ニッチなPCゲーマーの環境構築Z, 2025.05.14 更新)

いろいろ (2026.05.14)

Intel 各種

インテルがセキュリティ情報を公開～Intel Graphicsに深刻度CRITICALの脆弱性 (窓の杜, 2026.05.14)

INTEL-SA-01457 - Intel Vision Software Advisory (Intel, 2026.05.12)

INTEL-SA-01438 - AI Playground Software Advisory (Intel, 2026.05.12)

INTEL-SA-01434 - Intel EMA Software Advisory (Intel, 2026.05.12)

INTEL-SA-01430 - Display Virtualization for Windows OS Advisory (Intel, 2026.05.12)

INTEL-SA-01429 - Intel Connectivity Performance Suite Software Installer Advisory (Intel, 2026.05.12)

INTEL-SA-01426 - Intel 800 Series Ethernet Linux Driver Advisory (Intel, 2026.05.12)

INTEL-SA-01425 - Intel Slim Bootloader Advisory (Intel, 2026.05.12)

INTEL-SA-01424 - Intel NPU Driver Advisory (Intel, 2026.05.12)

INTEL-SA-01420 - 2026.2 IPU - Intel Processor Firmware Advisory (Intel, 2026.05.12)

INTEL-SA-01413 - UEFI Reference Firmware Advisory (Intel, 2026.05.12)

INTEL-SA-01410 - Intel Server Firmware Update Utility Software Advisory (Intel, 2026.05.12)

INTEL-SA-01402 - Intel Graphics Advisory (Intel, 2026.05.12)

INTEL-SA-01387 - Intel QAT Software Drivers for Windows Advisory (Intel, 2026.05.12)

Zoom

Zoomがセキュリティ情報を発表～最大深刻度はHigh (窓の杜, 2026.05.13)

dnsmasq

dnsmasq contains several vulnerabilities, including attacker DNS redirect, privilege escalation, and heap manipulation - Vulnerability Note VU#471747 (CERT/CC, 2026.05.11)。 dnsmasq に複数の欠陥。 DeepL AI 訳:

DoS (CVE-2026-2291、CVE-2026-4890、CVE-2026-5172) — dnsmasq がクラッシュしたり応答しなくなったりする可能性があり、その結果、DNS 解決が停止し、関連するサービスに影響が及ぶ恐れがあります。

キャッシュポイズニング／リダイレクト (CVE-2026-2291, CVE-2026-4893) — 攻撃者はキャッシュエントリを上書きしたり、レスポンスのルーティングを操作したりすることで、ユーザーを悪意のあるドメインへ気付かれずにリダイレクトさせることが可能です。

情報漏洩 (CVE-2026-4891, CVE-2026-4893) — 内部メモリおよびネットワーク情報が意図せず漏洩する可能性があります。

ローカル特権昇格 (CVE-2026-4892) — ローカルの攻撃者が、DHCPv6を悪用することで、root権限で任意のコードを実行する可能性があります。

dnsmasq 2.92rel2 で修正されている。

Apache Tomcat

Apache Tomcat。 11.0.22 (2026.05.05) / 9.0.118 (2026.05.10) / 10.1.55 (2026.05.11) が公開された。セキュリティ修正を含む。 Moderate x 2、Low x 5。

Fixed in Apache Tomcat 11.0.22 (Apache Tomcat)

Fixed in Apache Tomcat 10.1.55 (Apache Tomcat)

Fixed in Apache Tomcat 9.0.118 (Apache Tomcat)

Moderate x 2 はこんなの。

Moderate: Security constraints not correctly applied CVE-2026-43515

Moderate: Digest authenticator will authenticate any unknown user CVE-2026-43512

なお、Tomcat 9.0 系列は 2027.03.31 で EOS となるそうです。

Cursor

【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性！CVSS 9.9のヤバすぎる攻撃手法 (emi_ndk / qiita, 2026.05.03)

追記

Linux KernelのLPE(Local Privilege Escalation)脆弱性(Dirty Frag: CVE-2026-43284, CVE-2026-43500) (2026.05.08)

　Dirty Frag 脆弱性クラス (class) に属すると自称する Fragnesia が登場。 CVE-2026-46300。回避方法は Dirty Frag と同様でよいそうで。

GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access

》 GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access (Google, 5/12)。DeepL AI 訳:

本レポートは、マンディアント（Mandiant）のインシデント対応業務、Gemini、およびGTIGの積極的な調査から得られた知見に基づき、AIが攻撃者の作戦における高度なエンジンであると同時に、攻撃の標的として高い価値を持つという、現在の脅威環境の二重性を浮き彫りにしています。

New GhostLock tool abuses Windows API to block file access

》 New GhostLock tool abuses Windows API to block file access (bleeping computer, 5/11)。Windows の仕様だそうです。 DeepL AI 訳:

ファイルが「dwShareMode = 0」で開かれると、Windowsはそのプロセスにファイルへの排他アクセス権を付与し、他のユーザーやアプリケーションがそのファイルを開くことを防ぎます。 (中略) このツールは「標準」のドメインユーザーでも実行でき、ファイルをロックするために管理者権限は必要ありません。 (中略) 関連するSMBセッションが終了するか、GhostLockプロセスが強制終了されるか、または影響を受けたシステムが再起動されると、Windowsは自動的にハンドルを閉じ、ファイルへのアクセスが復元されます。

　こちら: kimd155/ghostlock (GitHub)

戦勝記念日パレードの縮小で露わになったロシアの脆弱さ…ウクライナのモスクワ攻撃情報に慌てたプーチン

》戦勝記念日パレードの縮小で露わになったロシアの脆弱さ…ウクライナのモスクワ攻撃情報に慌てたプーチン (東洋経済 ONLINE / Yahoo, 5/12)

　結果的にアメリカのトランプ大統領がパレード前日、プーチンの要望を受け入れる形で9日を挟んで3日間の停戦を提案。これにウクライナも同意したことで、パレード攻撃という、プーチンにとって最悪のシナリオは土壇場で回避できた。

　しかし、結果的にみれば、戦勝記念日という最大の祝祭行事が、トランプ、ゼレンスキー両大統領の「安全の約束」を得て、ようやく開催できたという、ロシアにとって、屈辱的な事態となった。

性自認なしに男女区別、憲法抵触　戸籍表記変更の審判、大阪高裁

》性自認なしに男女区別、憲法抵触　戸籍表記変更の審判、大阪高裁 (東京, 5/12)

大阪高裁（大島雅弘裁判長）は１２日までに、男女を区別する運用は「法の下の平等を定めた憲法１４条の趣旨に抵触し、是正すべき状態にある」と判断した。 (中略)
　決定理由で大島裁判長は、戸籍に記載すべき性別情報について、いずれにも当てはまらない性自認を有する国民の存在を前提にしておらず、戸籍上の性別の表示方法を変更する手段がない現状は「ＬＧＢＴ理解増進法の基本理念に反する」と指摘した。

日本国憲法第十四条 (e-gov)

性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する法律　第三条（基本理念） (e-gov)

（基本理念）
第三条　性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する施策は、全ての国民が、その性的指向又はジェンダーアイデンティティにかかわらず、等しく基本的人権を享有するかけがえのない個人として尊重されるものであるとの理念にのっとり、性的指向及びジェンダーアイデンティティを理由とする不当な差別はあってはならないものであるとの認識の下に、相互に人格と個性を尊重し合いながら共生する社会の実現に資することを旨として行われなければならない。

性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する法律　第四条（国の役割） (e-gov)

（国の役割）
第四条　国は、前条に定める基本理念（以下単に「基本理念」という。）にのっとり、性的指向及びジェンダーアイデンティティの多様性に関する国民の理解の増進に関する施策を策定し、及び実施するよう努めるものとする。

　というわけで、国は施策をとっとと実施しろ。

出光、国内向け安定供給を「最優先」－追加コストは価格転嫁へ

》出光、国内向け安定供給を「最優先」－追加コストは価格転嫁へ (ブルームバーグ, 5/12)

暑さ指数計シリーズ

》暑さ指数計シリーズ (キングジム)。新製品。黒球式の暑さ指数計を安価に入手できるのはすばらしい。

中東情勢の影響による一部商品仕様見直しのお知らせ

》中東情勢の影響による一部商品仕様見直しのお知らせ (カルビー, 5/12)。正式発表来ました。ポテチ、堅あげポテト、かっぱえびせん、フルグラ。

中東情勢の緊迫化に伴う一部原材料の調達不安定化を受け、商品の安定供給を最優先とする観点から、当面の対応策として一部商品のパッケージ仕様を見直しますので、お知らせいたします。

ENEOS の VLCC (超大型) タンカー「BRIGHT HORIZON」、根岸製油所に到着

》 ENEOS の VLCC (超大型) タンカー「BRIGHT HORIZON」、根岸製油所に到着

BRIGHT HORIZON Crude Oil Tanker IMO: 9787780 (marinetraffic.com)。200万バレル積める船。

アゼルバイジャン産原油、日本到着　イラン情勢悪化で調達多角化 (毎日, 5/11)。「アゼルバイジャンからは64万8000バレルを輸入した」。

アゼルバイジャン産原油、12日にも日本に　中央アジア産代替調達は初 (日経, 5/11)

12日にも横浜市の根岸製油所に着く。64万8000バレルを運び、うち28万3000バレルを同製油所で使う。残りは鹿児島県の喜入基地に荷降ろしし、各地の製油所に輸送する。

契約内容や具体的な調達ルートは公表していない。同社によると、中央アジア産原油は通常、パイプラインで近隣国とつなぎ、黒海や地中海を経て、喜望峰や紅海ルートで日本などのアジア向けに運ぶという。

洋上積み替え原油が再び日本に、中東緊迫化で異例の調達続く (ブルームバーグ / Yahoo, 4/16)

ブルームバーグがまとめた船舶追跡データによると、オマーンのミナ・アル・ファハル港で、中型サイズのタンカー「Shenlong」に積まれていた原油が、16日までにムンバイ沖でVLCCの「Bright Horizon」に積み替えられた。VLCCは約200万バレルの原油を積載できるが、中型タンカーからの積み替えであるため、Bright Horizonには約75万バレルしか積まれていない。鹿児島県の喜入港に29日に到着する予定だ。

ふぅむ……?

ツイート

「BRIGHT HORIZON」は，オマーン産・アゼルバイジャン産原油をミックスして積載していたようです。

スリランカ・マラッカ間の喫水変化は，AISの誤差修正，あるいはSTSといった要因が考えられます。

いずれにせよ，複数産地・海域をまたぐ複雑なオペレーションを経て，日本へ原油を運び終えています。
— 渡邉英徳 wtnv (@hwtnv) May 12, 2026

積んだり降ろしたりしながら、最終的に「64万8000バレル」が日本に来たということなのかな。 VLCC の満載喫水は 20m くらいのようで、15.5m は「軽め」だそうです。

すでに日本近海に到達している原油タンカー「TENSHO」も，やはり「中東から戻る途中，マラッカで原油を積む」パターンを辿っています。

管理会社は ENEOS OCEAN CORP と表示されており，社名を冠した「ENEOS GROLY」「ENEOS EARTH」と同じく，ENEOS関係船とみられます。 pic.twitter.com/o922vYtyaR
— 渡邉英徳 wtnv (@hwtnv) May 12, 2026

　ENEOS の運航船腹のうち ENEOS ENDEAVOR Crude Oil Tanker IMO: 9924091 が、いまだにペルシャ湾から出られずにいるようです。

エンドツーエンドで暗号化されたRCSメッセージング、本日よりベータ版で提供開始

》エンドツーエンドで暗号化されたRCSメッセージング、本日よりベータ版で提供開始 (Apple, 5/11)。まだβ版ですか。

本日より、iOS 26.5を搭載したiPhoneのユーザー、対応する通信事業者、Googleメッセージの最新バージョンを搭載したAndroidユーザーを対象に、エンドツーエンドで暗号化されたRCSメッセージングがベータ版で提供開始されます。

　iOS / Android 共に、最新でないと駄目のようです。

用語

》用語 (BeReal)。用語って何だよ。利用規約だろ。

　ときどき語られる「画像利用30年」という制限は、もはや存在しないのですね。今では無制限に利用されます。

あなたは、当社のサービスを通じて共有するコンテンツを所有し、BeRealに以下の条件でコンテンツを使用するライセンスを付与します：

友達限定コンテンツとは、BeRealで友達とだけ共有したコンテンツを意味します。自主的に、一部の人々は、それが通信、商業およびマーケティングの目的のために使用できるようにBeRealと彼らの友人専用コンテンツを共有することを選択することができます。例えば、看板、他の広告、AppleのApp StoreやGoogleのPlay Storeで。その場合、BeRealにあなたの友達限定コンテンツを使用するライセンスを与える必要があります。

グローバルに共有されたコンテンツとは、BeReal上のすべての人と共有したコンテンツを意味します。当社のサービスを利用する対価として、あなたは当社に対し、あなたが「全世界共有コンテンツ」で共有したコンテンツを、あらゆるメディアや配布方法で使用、コピー、複製、加工、翻案、変更、公開、送信、表示、配布するための、世界的、非独占的、使用料無料、サブライセンス可能なライセンスを付与します。本ライセンスは、当社がお客様の「全世界共有コンテンツ」を全世界で利用可能にし、他者にも同様の利用をさせることを許諾するものです。このライセンスには、BeRealが当社のサービスを提供、宣伝、改善する権利、および他のメディアやサービスでのシンジケーション、放送、配布、宣伝、公表のために、他の企業、組織、または個人がグローバル共有コンテンツを利用できるようにする権利が含まれることに同意するものとします。BeReal、または他の企業、組織、または個人によるこのような追加的な利用は、お客様による当社サービスの利用が十分な対価であるとして、グローバル共有コンテンツに関してお客様に対価を支払うことなく行われます。

　30 年はいつ無くなったの?

話題沸騰中のSNSアプリ「BeReal」は安全？プライバシーリスクを徹底解説 (Avast, 2022.12.10)。2022 年当時は 30 年だったようです。

利用規約 (BeReal / archive.is, 2023.04.25 更新)。この時点で 30 年は消えています。

　Be care.

カルビーのポテチ、なぜ白黒包装に？　ナフサ不足が覆す売り場の常識

》カルビーのポテチ、なぜ白黒包装に？　ナフサ不足が覆す売り場の常識 (日経, 5/12)。さすが日経という感じ。

食品メーカーのもとには包材メーカーからの値上げ要請が届いている。ある中堅菓子メーカーは「インキやフィルム不足を背景に6月以降のフィルム価格を20〜40%引き上げたいとの打診を受けた」と明かした。

　これはさすがに、考えざるを得ないよなあ。

カルビー「ポテトチップス」のパッケージが白黒2色へ　中東情勢の緊迫化で印刷インクなどの調達が不安定に

》カルビー「ポテトチップス」のパッケージが白黒2色へ　中東情勢の緊迫化で印刷インクなどの調達が不安定に (TBS, 5/11)。ポテチだけではないようで。

ナフサ不足、ポテチの袋を白黒にする…カルビーが方針 (読売 / Yahoo, 5/11)。最主力の製品が対象となっているようで。

対象はポテトチップスの「うすしお味」、「コンソメパンチ」のほか、「かっぱえびせん」など計１４の主力商品。

　カルビーだけでもないようで。

カルビー、ポテトチップスなど白黒包装に　インク不足で伊藤ハムも検討 (日経, 5/11)。ちゃんと取材している会社はこういう記事を書けるという例。

伊藤ハム米久ホールディングスの浦田寛之社長は1日の決算発表会で「今後、カラフルなパッケージは難しくなる。白黒などシンプルな包装になる可能性がある」と語った。

伊藤ハム社長が 5/1 にそう語っていたがカルビーが先に来た、ということなんですね。

中堅飲料メーカーは５月下旬から生産を請け負う小売り大手ブランドなど１５商品の乳酸菌飲料についてパッケージ容器の印字を取りやめると決めた。食品や飲料で白黒パッケージや印字なしパッケージへの切り替えが進みそうだ。

パッケージ白黒化は避けられそうにないようです。イランは ok ok と言っているのにタンカーを通さない高市政権のおかげですね。

　業務用はもとからシンプルじゃん、みたいなツイートもみかけた。

カルビー業務用ポテトチップスうすしお 188g 6個セット (リカーショップおおの楽天市場店)。なるほど。確かに。

　それにしても気になるのは朝日の記事タイトル。

ポテトチップスの袋が白黒に　カルビー、中東情勢受けインク不足か (朝日, 5/11)。「か」って何だよ「か」って。何やってんだ。

ポテチの袋、白黒に　カルビー、インク不足で (朝日, 5/12)。5/12 付記事では「で」になっている。

いろいろ (2026.05.12)

Palo Alto Networks PAN-OS User-ID Authentication Portal

CVE-2026-0300 PAN-OS: Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID Authentication Portal (Palo Alto Networks, 2026.05.06)。 PAN-OS の User-ID Authentication Portal サービスに buffer overflow する欠陥があり、 remote から無認証で任意のコードを root 権限で実行できる。既に攻撃が実施されている。

修正版は準備中、2026.05.13 に (一部は 2026.05.28 に) リリース予定。

緩和策としては、User-ID Authentication Portal サービスを停止する、あるいは User-ID Authentication Portal サービスへのアクセスを trusted zones のみに制限した上で Response Pages を trust/internal zones のみ有効とするよう設定する (他の zone については Response Pages を無効に設定する)。

cPanel

Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026 (cPanel, 2026.04.28)。cPanel 11.40 以降に認証を回避できる欠陥があった。修正版が用意されている。

cPanel CVE-2026-41940 Under Active Exploitation to Deploy Filemanager Backdoor (The Hacker News, 2026.05.11)

Apple 方面 (iOS / iPadOS, macOS, tvOS, watchOS, visionOS, Safari)

　多数のセキュリティ修正。0-day は無いみたい。

全体

Apple security releases (Apple)

iOS / iPadOS

About the security content of iOS 26.5 and iPadOS 26.5 (Apple, 2026.05.11)

About the security content of iOS 18.7.9 and iPadOS 18.7.9 (Apple, 2026.05.11)

About the security content of iPadOS 17.7.11 (Apple, 2026.05.11)。 iOS / iPadOS 26.4.2 / 18.7.8 で修正された、 Signal 突破の件 CVE-2026-28950 への対応のみ。

About the security content of iOS 16.7.16 and iPadOS 16.7.16 (Apple, 2026.05.11)。上記と同様。

About the security content of iOS 15.8.8 and iPadOS 15.8.8 (Apple, 2026.05.11)。上記と同様。

macOS

About the security content of macOS Tahoe 26.5 (Apple, 2026.05.11)

About the security content of macOS Sequoia 15.7.7 (Apple, 2026.05.11)

About the security content of macOS Sonoma 14.8.7 (Apple, 2026.05.11)

tvOS

About the security content of tvOS 26.5 (Apple, 2026.05.11)

watchOS

About the security content of watchOS 26.5 (Apple, 2026.05.11)

visionOS

About the security content of visionOS 26.5 (Apple, 2026.05.11)

盗撮強要アプリ BeReal 方面

》盗撮強要アプリ BeReal 方面

「親しい人だけ」のはずが…… なぜBeRealから社内情報は流出するのか (鈴木朋子 / Impress Watch, 5/8)

ここまで、BeRealは親しい人にだけリアルな自分を共有するSNSだと説明しました。それなら、なぜ社内情報を撮影した投稿がXなどに流出したのでしょうか。

投稿が流出するには、本人以外が投稿をスクリーンショットか画面録画で保存する必要があります。BeRealではスクリーンショットを撮ると本人に通知される機能がありましたが、現在通知されないようになっているため、どちらも可能です。つまり、本人は親しいと感じている誰かが投稿を保存し、公開範囲を超えて流出させたということです。

また、BeRealは、投稿からおおよそ24時間で他ユーザーから自分の投稿が見られなくなります。例外は本人がプロフィール画面に固定した投稿です。

今回の流出では、2年前と推測される投稿もありました。本人がプロフィール画面に固定していなければ、繋がっている人が24時間以内に保存し、ずっと保管していたということになります。

関連: 西日本シティ銀行の炎上動画、じつは2024年撮影か。企業が恐れるべきはもう防げない「過去の漏えい」 (篠原修司 / Yahoo, 5/4)

「仲間内だから大丈夫」利用者の油断が招く情報漏洩　自治体・銀行などでSNS通じた“流出”相次ぐ　Z世代激増の写真動画共有アプリ「BeReal.」を検証【専門家解説】 (ABC / Yahoo, 5/7)

なぜ「BeReal」から漏えいが相次ぐのか　“2分以内”の焦りが生む不用意な投稿 (ITmedia, 5/1)

Googleのサーバーにデータを送信しないはずのChrome内AIモデル、説明がひっそり書き換わり物議

》 Googleのサーバーにデータを送信しないはずのChrome内AIモデル、説明がひっそり書き換わり物議 (Internet Watch, 5/11)。Google がまたやった (悪いことを)。

Chromeが容量4GBにもおよぶデバイス内AIモデルを何の説明もなくインストールしていた (中略) このデバイス内AIモデルがGoogleのサーバーにデータを送信しないという説明が、Chromeの新バージョン148でひっそり削除された

【EU】メローニ首相、AIで作られた下着姿の偽画像を自ら告発——伊「不当な害」刑罰法の効力

》【EU】メローニ首相、AIで作られた下着姿の偽画像を自ら告発——伊「不当な害」刑罰法の効力 (Velleity Note, 5/7)

EU全体では、AI法の第50条が2026年8月からAI生成・改変コンテンツのラベリングと合成的やり取りの開示を義務化し、違反すると世界売上の最大6％の制裁金が科されます。さらにEUは、現実の人物の同意なしの性的画像を作るAI（いわゆる「ヌード化アプリ」）の禁止に向けた法改正も進めている最中です。メローニ首相の今回の発信は、その規制強化の追い風として動き出した象徴的な一幕でした。

　おぉぅ。これは……

【8月2日施行】EU AI法コンテンツラベリング対応チェックリスト15項目｜マーケター・法務・個人事業主向け (しおどめ / note, 5/5)

具体的に何が対象になるかというと、テキスト、画像、音声、動画——生成AIが関与したあらゆるコンテンツが含まれます。ChatGPT、Claude、Gemini、Midjourney、Stable Diffusionなど、ツールの種類は問いません。「AIで叩き台を作って人間が手直しした」場合も、AIの関与が実質的であれば開示が求められます。

「機械可読形式」というのは、HTML上の特定のメタデータタグや、画像ファイルに埋め込まれたC2PA（Coalition for Content Provenance and Authenticity）標準のウォーターマークなどが想定されています。「人間が認識できる方法」とは、コンテンツの冒頭や末尾に「このコンテンツはAIによって生成されました」などの文言を記載することです。

現時点でEU当局が推奨している表示例はこうです：

テキストコンテンツ: 記事の冒頭または末尾に「このコンテンツはAIアシスタントを使用して作成されました」などの一文

画像: 「AI生成」「AI-generated」などのキャプション、またはC2PAメタデータの埋め込み

動画: オープニングクレジットまたは説明欄での開示

SNS投稿: ハッシュタグ（#AIGenerated, #AI作成）または投稿文内への明記

　セキュリティホール memo も DeepL 訳を引用していたりするので他人事じゃないね。とりあえず記載方法を「DeepL 訳」から「DeepL AI 訳」に変えてみたけど、これでいいのかな。

AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変

》 AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変 (鈴木聖子 / ITmedia, 5/11)。悪貨は良貨を……。

米セキュリティ企業Minimusの専門家は、AIが生成した「ゴミ報告」が激増したことで、かつて15％程度あった有効な報告の割合は5％未満に低下したと指摘する。「脆弱性探しにAIを利用しても、重大なゼロデイの発見が増えるとは限らない」。それどころか「もっともらしく見えながら悪用はできない」脆弱性報告が殺到して、トリアージ担当者が何千件もの検証を強いられる状況に追い込まれているという。

防衛装備庁、国産ドローン300台を1.1億円で導入へ　日本企業と契約

》防衛装備庁、国産ドローン300台を1.1億円で導入へ　日本企業と契約 (ITmedia, 5/9)、テラドローン、防衛装備庁より国産ドローン「モジュール型UAV（汎用型）」300式・1.15億円を受注～参入障壁の高い防衛分野において、本格参入から短期間で初受注を実現。拡大する国内防衛需要を背景に、国産ドローンの供給を本格展開～ (テラドローン, 5/9)。 115,434,000円 / 300 = 1機あたり 384,780円。「モジュール型UAV（汎用型）教育用」って何だろう。

テラドローン---急騰、ストップ高、防衛装備庁から案件受注 (diamond.jp, 5/11)

なお、今回納入する製品は現在発表済みの迎撃ドローン「Terra A1」や「Terra A2」とは異なるプロダクトで、自社開発かつ国産のドローンとなる。

荒井陸上幕僚長　定例記者会見 (防衛省, 2/24)

我が国への侵攻が万が一生起した場合に、侵攻部隊から我が国を防護するためには、高価なアセットを含む、有人アセットのみならず安価、かつ大量のＵＡＶ、ＵＳＶ、ＵＵＶを活用することによって、これらの組み合わせによる非対称的かつ多層的な防衛体制を早急に整備することがこれまで以上に喫緊の課題となっているというのが全般の認識です。その上で陸上自衛隊としては近距離で情報収集等を行う、ＦＰＶのモジュール型ＵＡＶ、それから車両・舟艇等を捜索した上で体当たりにより攻撃する小型攻撃用ＵＡＶⅡ型及びⅢ型、敵艦艇等への情報収集を行う小型多用途ＵＳＶや小型多用途ＵＵＶを取得する計画であります。

「近距離で情報収集等を行う」ための UAV と。

防衛力抜本的強化の進捗と予算　令和８年度予算の概要 (防衛省, 4/8)。「令和8年度予算～重点ポイント～」の筆頭が UAV なのだが、「モジュール型ＵＡＶ」が何をする用なのか、図からはいまいちわからなかったんだよね。汎用クアッドコプターに見えはするのだけど。

米国、ホルムズ海峡通過支援「プロジェクト・フリーダム」開始→36時間で中止

》米国、ホルムズ海峡通過支援「プロジェクト・フリーダム」開始→36時間で中止

トランプ大統領がホルムズ海峡“通航支援”を「一時停止」…わずか1日での方針転換　「戦闘終結“覚書”近く合意か」米メディアが報道【news23】 (TBS, 5/7)

Trump’s abrupt U-turn on a plan to reopen the Strait of Hormuz came after backlash from allies (NBC, 5/7)。「ホルムズ海峡の封鎖解除計画をめぐり、トランプ氏が急きょ方針を転換したのは、同盟国からの反発を受けたためである」。DeepL AI 訳:

当局者によると、トランプ氏は日曜日の午後、ソーシャルメディアで「プロジェクト・フリーダム」を発表し、湾岸諸国の同盟国を驚かせ、サウジアラビアの指導部を激怒させたという。これに対し、サウジアラビアは米国に対し、リヤド南東部のプリンス・スルタン空軍基地からの米軍機の離陸や、同作戦を支援するためのサウジアラビア領空の通過を許可しないと通告した、と当局者は述べた。

米政府高官2人によると、トランプ大統領とサウジアラビアのムハンマド・ビン・サルマン皇太子との電話会談でも問題は解決せず、その結果、大統領は米軍がこの重要な空域へのアクセス権を取り戻すため、「プロジェクト・フリーダム」を一時中断せざるを得なくなった。

Trump reversed a Hormuz plan after Saudis denied airspace access. (NYTimes, 5/7)

　阿呆としか言いようが。いいかげん、根回ししてからやることを覚えろよ。学習能力が無いのか? (ドナルド君には本当に無いっぽいよなあ……)

実の娘に性的暴行加えた大門広治被告（54）懲役8年が確定　期限までに上告せず　被害受けた娘「大きな区切りにはなるが、むしろここからがスタート」　今後は民事裁判起こすか検討

》実の娘に性的暴行加えた大門広治被告（54）懲役8年が確定　期限までに上告せず　被害受けた娘「大きな区切りにはなるが、むしろここからがスタート」　今後は民事裁判起こすか検討 (MBS / Yahoo, 5/8)。ようやく。事件発生から 10 年かかっている。

原子力規制庁「業務用スマホ」紛失

》原子力規制庁「業務用スマホ」紛失

原子力規制庁の「業務用スマホ」紛失、1年間で少なくとも6件…ホテル周辺、路上、移動中　開示文書で判明 (弁護士ドットコムニュース, 5/8)。「2025年に少なくとも紛失6件」。

ザックから落下、ファスナー閉め忘れ…原子力規制庁の「業務用スマホ」紛失の実態…数日気付かないケースも (弁護士ドットコムニュース, 5/8)

「サハリン2」発原油「サハリンブレンド」

》「サハリン2」発原油「サハリンブレンド」

サハリン1・サハリン2プロジェクト (在ユジノサハリンスク日本国総領事館)

資源・燃料政策の現状と今後の方向性 (資源エネルギー庁, 2023.02)

サハリン２では、LNGに加えて、天然ガス生産時にコンデンセート（原油の一種）が随伴して生産される。これをベースとした、「サハリンブレンド」という原油を従前から輸出している。

仮に、サハリン島からの搬出ができなくなった場合、「サハリンブレンド」がサハリン島の原油タンクに貯まり続け、原油タンクが満杯となる。そうなると、LNG生産も止めざるを得なくなる。

そのため、「サハリンブレンド」をサハリン島から搬出（購入）し続けることが、LNGの安定供給のために不可欠。

プライスキャップによって、「サハリンブレンド」の搬出が停止し、結果としてLNG生産が停止することがないよう、G7各国に対して、サハリン２の重要性について丁寧に説明し、サハリン２で生産された原油をプライスキャップの適用除外とするよう働きかけを進めてきたところ。

その結果、米国等の制度においても、サハリン２で生産された原油は、プライスキャップの適用除外とされた。また、日本の制度でも適用除外としている

サハリン２の日本向けＬＮＧ輸出、25年は全体の58％＝運営会社 (ロイター, 4/22)

ロシア極東サハリン沖の石油・天然ガス開発事業「サハリン２」の運営‌会社サハリンスカヤ・エネルギヤは、２０２５年に同事業が供給した液化天然ガス（ＬＮＧ）の５８％は日本向けだったと明らかにした。また、２２年以来初めて石油も供給したという。

ロシア産原油の荷揚げ開始、ホルムズ封鎖後初の輸入　制裁の例外「サハリン2」から調達 (産経, 5/5)

VOYAGER (marinetraffic.com)。タンカー。

太陽石油、「サハリン2」のロシア原油を代替調達 (日経, 5/2)

”サハリンブレンド”受け入れ　運搬タンカーは制裁対象…調達先多角化に寄与するか (FNN, 5/5)

出光興産もロシア・サハリン2産の原油を輸入、タンカーが今治から千葉へ　調達先を多角化 (産経, 5/7)。VOYAGER が千葉に移動。

【独自】政府訪ロ団、5月下旬に　三井物産、商船三井参加 (共同, 5/8)

Apple、一部Macで「大容量メモリ構成」削除　世界的なメモリ不足で　Mac Studioは最大96GBに制限

》 Apple、一部Macで「大容量メモリ構成」削除　世界的なメモリ不足で　Mac Studioは最大96GBに制限 (ITmedia, 5/7)

データを保存する先がない？世界的なストレージ不足と価格高騰がInternet ArchiveやWikipediaを直撃

》データを保存する先がない？世界的なストレージ不足と価格高騰がInternet ArchiveやWikipediaを直撃 (Internet Watch, 5/8)

自転車青切符時代の自己防衛策に!!　自転車用ミラーをいろいろ比べてみた【ぼっち・ざ・ろーど！その8】

》自転車青切符時代の自己防衛策に!!　自転車用ミラーをいろいろ比べてみた【ぼっち・ざ・ろーど！その8】 (Internet Watch, 5/8)

Linux KernelのLPE(Local Privilege Escalation)脆弱性(Dirty Frag: CVE-2026-43284, CVE-2026-43500)

　Linux カーネルに新たな欠陥。 2 件の欠陥 CVE-2026-43284 (esp4 / esp6) CVE-2026-43500 (rxrpc) を組み合せることで local user が root 権限を取得できる。

https://github.com/V4bel/dirtyfrag/。震源地。

Linux Kernel Dirty Frag LPE Exploit Enables Root Access Across Major Distributions (The Hacker News, 2026.05.08)

CVE-2026-43284 (RHEL, 2026.05.07)

Dirty Frag (CVE-2026-43284, CVE-2026-43500) vulnerability fix is ready for testing (AlmaLinux, 2026.05.07)

　とりあえず以下で回避できるらしい。

sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

2026.05.14 追記:

　Dirty Frag 脆弱性クラス (class) に属すると自称する Fragnesia が登場。 CVE-2026-46300。回避方法は Dirty Frag と同様でよいそうで。

追記

「Google Chrome 148」では127件もの脆弱性修正も～深刻度最高評価の致命的なものは3件 (2026.05.07)

　Microsoft Edge も Chromium 148 ベースに。独自のセキュリティ欠陥修正も 3 件あり。

「Microsoft Edge 148」が公開～新しいAI設定ページを導入、致命的な脆弱性も修正 (窓の杜, 2026.05.08)

「セーラームーンに似ている」　生成AIを使った化粧品の広告が物議　メーカーは謝罪と広告の撤去を発表

》「セーラームーンに似ている」　生成AIを使った化粧品の広告が物議　メーカーは謝罪と広告の撤去を発表 (ITmedia, 5/7)。これほどあからさまにやっているにもかかわらず、本家に許可取ってなかったというのはどういうことなのか。株式会社ウテナの法務は何やってたの。

ウテナ「モイスチャー」が全編AIアニメ公開、制作時間を大幅短縮　変身ヒロインで若年層へアピール (AdverTimes., 5/1)。AI 利用を大々的に宣伝していた。

動画制作では、企画・構成といったクリエイティブの“核”となる部分はPRチームの人間が担い、映像化のプロセスにおいてCrestLabのアニメーションDXサービスを導入。通常、1分のアニメ制作には半年から1年を要する場合もあるが、AIの活用により数時間から半日程度での試行・検証が可能になった。短期間でのトライアンドエラーを経て、細部までこだわった映像表現を実現している。

ウテナモイスチャーの広告に関するお詫びとご報告 (株式会社ウテナ, 5/6)

本件は外部専門家を交えてリーガルチェックを重ねた上で公開に至りましたが、既存作品との類似性を含めたご指摘について、改めて専門家など第三者による指導を受けながら、関連する法規制などの点で問題がないかを確認してまいります。

ドローン攻撃受けたAWS中東（UAE）リージョン、復旧には数カ月かかる見込み

》ドローン攻撃受けたAWS中東（UAE）リージョン、復旧には数カ月かかる見込み (ITmedia, 5/7)。このまま終戦になったとしても、ということだろう。

macOS版「Notepad++」プロジェクトが商標侵害・誤認誘導の疑いで炎上　次期バージョンから「Nextpad++」に改称へ

》 macOS版「Notepad++」プロジェクトが商標侵害・誤認誘導の疑いで炎上　次期バージョンから「Nextpad++」に改称へ (窓の杜, 5/5)。

タイで新型コロナ類似ウイルス発見、人への感染能力ありか　東大など

》タイで新型コロナ類似ウイルス発見、人への感染能力ありか　東大など (日経, 5/7)。やっぱりコウモリが自然宿主なのですね。

ウイルスの遺伝情報や発生する地理情報を基に解析すると、タイを含むインドシナ半島ではヒトに感染する能力を持ったウイルスが大規模に移動しながら変異し、多様なウイルスの出現につながっている可能性が示された。

エンジンオイル方面

》エンジンオイル方面

中東情勢影響による油剤メーカー各社動向（2026-05-01版） (日立工油, 5/1)。ほぼ壊滅と。

日立工油さんは 3/20 から各社動向のまとめを公開されていて興味深い。この時点で各社ほぼ受注停止だったと。新着情報のページから閲覧できる。

中東問題でディーゼル車用エンジンオイル不足が深刻　カタール産ベースオイルが一因　ガソリン車用は供給続くが… (日本自動車会議所, 4/17)

■カタール産ベースオイルが一因
ここまでの状況に至った一因が、エンジンオイルの原材料となるベースオイルの供給量が減少したことだ。エンジンオイルは、主成分のベースオイルと酸化防止剤などの添加剤で構成される。添加剤の成分を変えることで、ガソリンエンジン（GE）用、DE用それぞれに最適なオイル性能にしている。

添加剤は、北米のメーカーから輸入することが多いため、現時点で大きな支障が出ていないもよう。しかし、一定の品質が求められる自動車のエンジンオイルに適する「グループIII」のベースオイルは国内で精製しておらず、韓国やカタールが主な輸入先となっている。

このうち、カタールにある英シェルの精製施設がイランからの攻撃を受け、出荷が全面的に停止した。潤滑油メーカーの関係者によると「正確な統計があるわけではないが、カタールからのベースオイルは日本の輸入量全体の2割程度を占めていたのではないか」としている。残り8割に相当する韓国からの輸入は継続しているものの、メーカーが供給制限をかけており、前年の実績以上は発注できない状況だ。

■DE用固有の要因も
ベースオイル供給量の減少はGE用にも共通する課題だが、DE用はさらに固有の要因が重なった。そもそもDE用はGE用に比べて需要が少ない。このため、「本来、特約店や商社はあまり在庫を持たない」（関係者）のが通例だ。加えて、「繁忙期の年度末にかけて一気に発注量を増やす会社が多い」（同）という商慣習もある。そのタイミングで今回の中東問題が発生。エンジンオイル流通の各段階で在庫を確保しようとする動きが生じ、需要が供給を上回った。「発注が急増し、元売り各社が受注を停止せざるを得ない状況になった」（同）としている。

【2026年4月26日】現在のイラン情勢とエンジンオイルについて (TAKMO, 4/26)

オイルの残りの10～20%を占めるのが添加剤です。酸化防止剤、清浄分散剤、摩耗防止剤など、数十種類の化学物質が絶妙なバランスで配合されていますが、ここにもホルムズ海峡の実質的な閉鎖の影響が忍び寄っています。
(中略)
世界の添加剤市場は、ルブリゾール、インフィニウム、オロナイト、アフトンの4社でほぼ独占されています。彼らの工場は米国や欧州、シンガポールにありますが、その原料となる中間化学品の多くが、実は中東の石油化学プラントから供給されています。

2026年5月　DH-2の不足と受注停止について　私見です (オイルマニアブログ, 5/2)

現在大型トラック用のDH-2規格オイルの不足が目立ちます。不足の一番の理由は石油元売りの受注停止と思います。

DH-2はグループⅠベースオイルを製造している元売りが多くを製造しているため元売りの受注停止の影響が強く出ています。

またＤＨ-2規格は日本の国内規格のため、海外での製造がほぼなく輸入オイルでの代替えがあまりできません。現在DH-2規格相当のオイルが少し輸入されているようですが性能は不明です。なお一部韓国製などでDH-2合格品があるようですがどの程度輸入されているかは不明です。

元売の受注停止は大量の注文が殺到したためで、現在昨年以上の製造をして不足を解消しようと努力されていると思いますが、今受注を再開するとさらに大量の発注が予想され再び受注停止に追い込まれるため停止が続いていると思われます。

情報BOX：クルーズ船で集団感染のハンタウイルスとは

》情報BOX：クルーズ船で集団感染のハンタウイルスとは (ロイター, 5/7)。ハンタウイルスにもいろいろあるが、北米・南米の奴によるハンタウイルス肺症候群 (HPS) が怖いようで。

国外航行中のクルーズ船におけるハンタウイルス感染症事例について (国立健康危機管理研究機構, 5/6)

ハンタウイルス感染症（腎症候性出血熱、ハンタウイルス肺症候群）（Hantavirus Infection） (厚生労働省検疫所)

ハンタウイルス肺症候群（詳細版） (国立健康危機管理研究機構)。

スピリット航空終了のお知らせ (5/2)

》スピリット航空終了のお知らせ (5/2)。イラン戦争による燃料高騰が経営再建中だったスピリット航空にとどめを刺した模様。

スピリット航空 (ウィキペディア)。米国の LCC。

Why Is Trump Obsessed With Saving Spirit Airlines? (Steven Rattner / NYTimes, 4/29)。スピリット航空終了直前に書かれたコラム。「なぜトランプ氏はスピリット航空の救済に執着しているのか？」

ワシントンに改めて申し上げたいのは、資本主義は概して機能しているということだ。わが国の経済は世界から羨望の的となっているが、その大きな要因は、不振な企業が倒産しても市場が機能し続ける点にある。スピリット航空の1万7000人の雇用は失われることになるだろうが、自動車業界で100万人以上の雇用が危機に瀕していた2009年と比べれば、現在の経済はそうした雇用を吸収する余力がはるかに大きい。

スピリット航空を清算させ、その墓標を航空会社の墓場に追加すべきだ。

米スピリット航空が全便停止、政府救済まとまらず　燃料価格高騰受け (日経, 5/2)

米スピリット航空が全便の運航停止、事業閉鎖へ　カスタマーサービスも利用不能に (CNN, 5/2)

トランプ政権のスピリット航空救済、瓦解の内幕 (Wall Street Journal, 5/3)

Spirit Airlines, a Pioneer of Low-Fare Flights, Shuts Down (NYTimes, 5/2)。DeepL AI 訳:

トランプ政権は、スピリット航空に5億ドルの救済資金を提供するため、土壇場での取り組みを開始したが、政府当局者と航空会社の債権者は、同社を救うための合意に間に合わなかった。

提案された救済策が投資家から反発を受けたのは、トランプ政権が、万が一スピリット航空が倒産した場合、政府が同社の資産に対して最優先の弁済権を持つことを要求していたことも一因だった。そうなれば、同社に融資していた他の投資家は、ほとんど、あるいは全く回収できなくなっていたはずだ。

事情に詳しい関係者によると、同航空会社の貸し手側は、政府との合意において貸し手側に有利な条件を盛り込んだ独自の対案を提示していた。しかし、当事者間で合意には至らなかった。

Spirit Airlines (NYTimes)

いろいろ (2026.05.07)

Android

Androidに致命的な任意コード実行の脆弱性～2026年5月セキュリティ更新 (窓の杜, 2026.05.07)。今回はセキュリティ更新プログラムレベル 2026-05-01 だけ、だそうで。

Wireshark

フリーのネットワークプロトコルアナライザー「Wireshark 4.6.5」、43件の脆弱性を修正　旧ブランチには「Wireshark 4.4.15」をリリース (窓の杜, 2026.05.07)

追記

Firefox 150.0 / ESR 140.10.0 / ESR 115.35.0 、Thunderbird 150.0 / 140.10.0esr 公開。

　Firefox 150.0.1 / ESR 140.10.1 / ESR 115.35.1、 Thunderbird 150.0.1 / 140.10.1esr が公開されている。セキュリティ修正を含む。

Firefox 150.0.1、Firefox for Android 150.0.1 がリリースされた (mozillaZine, 2026.04.29)

Thunderbird 150.0.1 がリリースされた (mozillaZine, 2026.05.01)

Changes with Apache 2.4.67

　Apache httpd 2.4.67 公開。11 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。

mod_proxy_ajp: 4 件 CVE-2026-34059 CVE-2026-34032 CVE-2026-33857 CVE-2026-28780

mod_authn_socache: 1 件 CVE-2026-33007

mod_auth_digest: 1 件 CVE-2026-33006

mod_dav_lock: 1 件 CVE-2026-29169

mod_md: 1 件 CVE-2026-29168

mod_rewrite: 1 件 CVE-2026-24072

複数のモジュール: 1 件 CVE-2026-33523

複数のモジュール (詳細不明) において HTTP レスポンス分割の発生を許してしまう。報告者は早稲田大学の Haruki Oyama 氏。

HTTP/2 実装: 1 件 CVE-2026-23918

mod_http2 が更新されているし mod_http2 の欠陥なのかしらんと思うのだが、そのようには書かれていないんだよね。

DAEMON Toolsにマルウェア混入。約1か月も公開されたままに

　広く利用されている仮想ドライブツール DAEMON Tools の無料版 DAEMON Tools Lite がマルウェア (トロイの木馬) 版だったことが明らかとなった。具体的には 2026.04.08 以降のバージョン 12.5.0.2421〜12.5.0.2434 がマルウェア混入版となっていた。有料版には同様の欠陥はない。

DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026 (Kaspersky, 2026.05.05)。発見者 Kaspersky のブログ。 DeepL AI 訳:

2026年が始まってからまだ4か月しか経っていませんが、この短い期間のうちに、報告されるサプライチェーン攻撃の件数が増加していることが確認されています。1月にはeScan、2月にはNotepad++、4月にはCPU-Z、そして5月にはDAEMON Toolsについて調査を行いました。このようにサプライチェーン攻撃の観測件数が急増していることを踏まえ、組織はインストールするソフトウェアの選定に細心の注意を払う必要があります。同時に、これは、広く使用され信頼されているアプリケーションが、その影響範囲の広さゆえに、攻撃者にとって極めて価値のある侵入経路となっていることを示しています。組織のサイバーセキュリティ戦略を策定する際には、この点を念頭に置き、「ゼロトラスト」戦略を確実に実施できるようにすべきです。

Security Incident Affecting DAEMON Tools Lite: What We Know So Far (Daemon Tools, 2026.05.06)。オフィシャル。

　DAEMON Tools Lite 12.6.0.2445 で修正されている。

「Google Chrome 148」では127件もの脆弱性修正も～深刻度最高評価の致命的なものは3件