Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 キオクシアの時価総額、一時トヨタ超え 上場から1年半で50倍以上に (ITmedia, 6/3)。すさまじいなあ。
首位のソフトバンクグループは1日、22年間トップを維持していたトヨタを抜いたばかり。AI関連銘柄が相次いでトヨタを上回る異例の展開になっている。めちゃくちゃだ。
》 デザイン書の老舗・MdNが消滅へ インプレスに吸収合併 (ITmedia, 6/3)。あらまあ。
》 気象庁「線状降水帯情報」不具合で発表できず 運用開始わずか5日 (ITmedia, 6/3)。運用前から gdgd だったようなのでねえ。
》 CAMPFIRE「従業員がGitHub認証情報を個人開発サーバに誤アップロード」 不正アクセスの原因公表 (ITmedia, 6/3)
従業員が発行したGitHub認証情報が、個人開発で利用していたサーバに意図せずアップロードされ、第三者に悪用されたことが原因だったという。
》 Gamaredon Exploits WinRAR to Deliver GammaWorm and GammaSteel Against Ukraine (The Hacker News, 6/2)
ロシア政府が支援する侵入ツールセット「Gamaredon」は、連邦保安庁(FSB)との関連が公式に確認されており、これまでウクライナ、特に政府機関、軍、重要インフラ関連組織を標的としてきた。その手口は、悪意のある添付ファイル(罠が仕掛けられたRARアーカイブ)を含むスピアフィッシングメールを送りつけるものである。関連:
JVNDB-2025-011429 RARLAB の WinRAR におけるパストラバーサルの脆弱性 (JVN, 2025.08.14 更新)
WinRAR の重大な脆弱性 CVE-2025-8088 を悪用する多様な脅威アクター (Google, 2/3)
》 「六ヶ所再処理工場」と書いて「ハリボテ」と読む。♪ハ〜リボ〜テ〜ハリボ〜テ〜 (うた: 森本レオ / 「王立宇宙軍 オネアミスの翼」)
六ヶ所再処理工場のガラス溶融炉のレンガ欠損と漏洩や耐震性の心配 (まさのあつこ / note, 5/27)
今の再処理工場はアクティブ試験によって物理的な問題が二つ起きていて、①既にガラス溶融炉で詰まりが起きたので、そこで詰まっちゃったからその前の過程であるせん断とか硝酸で溶かしたりとかした危険な廃液がとどまった状態にあるというのが一つですよね。
②もう一つが、その詰まりに対処するために、このガラス溶融炉の天井部にある穴から棒を入れてマニピュレーターで棒で突いていたら、天井のれんがが剥がれて欠損してしまったと。そこから漏えいしないかと、閉じ込め機能は大丈夫かという、その問題があると。
(中略)
もうむしろアクティブ試験によって、再処理工場の設備なり、運用するものの能力なりが適合していないということが、もう証明されてしまっている事案なのかなとも思うのですが、 その点いかがでしょうか。ほんとそれ。既に Q.E.D. なんだよなあ。
だから、フリをする #核燃料サイクル (まさのあつこ / note, 5/29)。 核燃料サイクルが技術的にも経済的にも破綻していることを延々と認めないので、 PDCA が回らないんだよなあ。
ウェザーニュースLiVE (ウェザーニュース)。今回はこれを BGV として流して過ごした。
台風情報 (気象庁)、 気象警報・注意報 (気象庁)。12:45 現在、紫色 (レベル4) 地域が東京都と千葉にあるなあ。
》 「IOWNが大きく一歩進んだ」ラグビー決勝“本番”でビデオ判定をリモート運用 (Business Network, 6/2)。IOWN、6/7 に本番運用だそうで。
Firefox 151.0 / ESR 140.11.0 / ESR 115.36.0、Thunderbird 151.0 / 140.11.0esr 公開 (2026.05.20)
Firefox 151.0.3 / Firefox for Android 151.0.3 公開。セキュリティ修正を含む。
Firefox 151.0.3、Firefox for Android 151.0.3 がリリースされた (mozillaZine, 2026.06.03)
Chrome 149 が stable に。セキュリティ修正情報についてはまだ未公開。
Stable Channel Update for Desktop (Google, 2026.06.02)。 Chrome 149.0.7827.53 for Linux および 149.0.7827.53/54 for Windows / Mac。
Chrome for Android Update (Google, 2026.06.02)。 Chrome 149 (149.0.7827.59) for Android。
Android
Androidに四半期に一度の大規模セキュリティ更新 ~致命的なもの多数、悪用の兆候も (窓の杜, 2026.06.03)
Go
[security] Go 1.26.4 and Go 1.25.11 are released (golang-dev, 2026.06.03)。セキュリティ修正 3 件を含む。 CVE-2026-42504 CVE-2026-42507 CVE-2026-27145
》 防衛省、レーダーサイト防衛用に撃ち放し運用が可能な迎撃ドローンを要求 (航空万能論 GF, 5/28)
レーダーサイト防衛用UAVに関する情報・提案要求書 (防衛省, 5/27)
我のレーダーサイト等及びその近傍に迎撃UAVシステムを展開し、遠方から飛来する長射程自爆型UAVの同時多数攻撃に対し、発射した迎撃UAVにより有効に対処するために運用できるもののうち、下記に合致するもの
ア レーダー、指揮統制(C2)及び迎撃UAVが連接されたシステム
イ 迎撃UAVのカメラ映像を見ながら、地上の人員が迎撃UAVを操縦する仕様ではなく、地上装置から自動誘導される迎撃UAV
ウ 運用及び維持整備について、以下に合致するもの
(ア) システムの展開後、2名以下の要員で防空戦闘が実施できるもの
(イ) 維持整備について、故障診断、部品交換、定期整備等を部外委託できるもの。また、これが困難場合は、専門的知見を有しない要員により維持整備し得る簡易性を有するもの
エ 諸外国軍隊等で既に運用され、シャヘド136等の長射程自爆型UAVを撃墜している実績を有しているもの
オ 他社のレーダー、エフェクター等と短期間で連接運用し得る拡張性及び適応性を有するシステム
シャヘド撃墜実績が必要なのですね。
》 たった11分で3,800リポジトリが流出——GitHubを陥落させたVS Code拡張機能サプライチェーン攻撃 (Zenn, 5/22)
Grafana Labsの成功例にならい、重要なシステムにカナリアトークンを仕込んでおきましょう。万が一侵害されたときの早期検知と被害範囲の特定に大きく貢献します。
》 オープンソースソフトウェア開発者を標的にするボットネット「Glassworm」をCrowdStrikeやGoogleが遮断 (gigazine, 5/28)、 Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet (CrowdStrike, 5/26)
》 日本が参加する次期戦闘機開発、資金供給への懸念とタイムリミットに直面 (航空万能論 GF, 6/1)。金の切れ目が縁の切れ目。
》 Iran attacks damage 20 US military sites since start of war, satellite images show (BBC, 6/1)
》 「作れば売れる」時代の終わり――岐路に立たされるアニメ業界、決算が映す各社の“明暗”を分けたもの (ITmedia, 5/30)。「作れば売れる」は「作れば hit する」ではなく「作れば配信屋さんがライセンスを買ってくれる」という意味の模様。 要は、配信バブルが終了したということのようで。 馬鹿みたいになろう系をつくってりゃよかった時代は終了と。 むしろ正常化でしょう。
》 エリン・ブロコビッチ氏、AIデータセンター建設の「透明性欠如」を批判 住民報告マップも公開 (ITmedia, 6/1)
》 トランプ氏の健診結果に疑義、医師から詳細欠如の声 (Wall Street Journal, 6/1)
》 米がオマーンに迫るイランとの「断絶」 中立が裏目に (Wall Street Journal, 6/2)
5月、オマーンはホルムズ海峡での通行料徴収というイランの動きを非難するアラブ首長国連邦(UAE)主導の国連声明への署名を拒否した唯一のペルシャ湾岸国となった。
》 UAE、イラン攻撃への深い関与判明 空爆数十回 (Wall Street Journal, 5/30)。従来言われていたよりも遥かに多い。
》 中国ドローン覇権に挑む米国、立ちはだかる壁 FPVドローンの部品を分析、中国の支配力の強さが浮き彫りに (Wall Street Journal, 5/11)
》 外付けUSBドライブの「安全な取り外し」でエラー、でもそのまま抜いて問題なし 日本マイクロソフトのWindowsサポートチームが解説 (窓の杜, 5/25)
この問題が発生するのは、「Windows 11 バージョン 24H2」以降の環境で、NTFSでフォーマットされた外付けUSBドライブ(外付けHDDやUSBメモリ)を接続したケース。(中略) 「Windows 10 バージョン 1809」以降、OSの既定ポリシーは[クイック取り外し]に設定されている。このポリシーでは書き込みキャッシュが無効化されており、データは遅延なくドライブへ書き込まれる。そのため、エラーが表示されても「安全な取り外し」を利用せずにUSBドライブを取り外しても問題はない。
》 「俺がいなければお前は刑務所に」 トランプ氏がネタニヤフ氏罵倒か (毎日, 6/2)
米ニュースサイト「アクシオス」によると、トランプ氏は電話協議でネタニヤフ氏を「今や誰もがお前を嫌っている」「完全に狂っている」「俺がいなければお前は刑務所に入っていた」などと罵倒し、強い不満をあらわにしたという。裸の王様、ようやく裸であることに気づいたか。
》 Amazon Shuts Down Internal AI Leaderboard After Employees Cheated (404media, 6/1)。悪貨は悪貨を駆逐する。
関連: Tokenmaxxingとは?AIトークン消費量で生産性を測る危うさと実務KPI (ファネル Ai, 5/24)
Tokenmaxxingを完全に否定する必要はありません。AI活用の初期段階では、十分な試行量がないと何が効くか分からないからです。大切なのは、トークン消費量を「探索の量」として扱い、「成果の証明」として扱わないことです。
ファンティア(Fantia)大炎上再燃!2次元基準「一旦緩和」もクリエイター怒り爆発「修正作業無駄」「法的指導は方便か」 (coki, 5/29)
Fantia、規制強化めぐり「2次元作品は一旦元の基準に」「法的機関と協議」改定後の対応に批判集中 (オタク総研, 5/30)
ツイート
ファンティア事変で致命的にダメなのは「法的機関の指導に基づく厳格で緊急性が高い」と言っておきながら数日で旧基準に戻しちゃったことだよね。全然厳格じゃなくて緊急性も高くなかったのに強い言葉で脅して利用者を従わせようとした、と自ら暴露してるわけだから。
— うるの拓也@カソクキッズ連載再開中 (@takuya_uruno) May 30, 2026ファンティアの件、これディスコードのグループでも少し触れたんだけど...
— ほしのはら🌟満天星空 (@hoshinohara001) May 30, 2026
ちょっと前から実写系の成人向け作品でモザイク処理不足の作品が多数出展されてた
⇩
しかもその作品はサンプルもモザイク処理不足だったりしたものだから購入前の一般の方の目にも止まる状態になっていた
⇩…今回のファンティア(とら)の規約変更の件、経験的に取扱商品の手入れ(謎)が発生したときに起きる事案なんで、今夏のコミケの当落時に、サークル向け緊急アピール告知(作品表現の厳重注意事項)が出るかどうか…
— 大須ブログ (@osu_dnews) June 1, 2026
》 フロリダ州がOpenAIとアルトマンCEOを提訴 ChatGPTを「子供を危険にさらす製品」と非難 (ITmedia, 6/2)
》 名門カリフォルニア大学で“中学数学を教え直す”異常事態 理工系教員ら1000人超が連名で抗議文書 原因は…… (ITmedia, 6/2)
その内容は、2027年の入学試験からSTEM専攻の志願者に対し、全米共通学力試験である「SAT」「ACT」の数学スコア提出を再び義務付けるよう求めるものだ。(中略) UCサンディエゴ校の報告によれば、高校レベルの数学スキルに満たない学生の数はこの5年で約30倍に激増し、そのうちの70%はなんと中学生レベルにも達していないという。これは新入生の約12人に1人に相当する。
》 脱Microsoft/Googleを掲げるオフィスツール「Euro-Office」、6月9日にリリースへ (窓の杜, 6/1)
「Euro-Office」はオンライン・リアルタイムでの共同編集に特化したコンポーネントとなっており、ストレージやナビゲーション、権限の管理、共有ロジックなどはプラットフォーム側に任せる設計になっているようだ。
(中略)
初期リリースでは、コードのクリーンアップとセキュリティ修正、既存ソリューションとの統合に注力したとのこと。当初はNextcloudの最新版「Nextcloud Hub 26 Spring」へ統合され、今後IONOSの「Managed Nextcloud」でも利用できるようになるほか、「XWiki」や「Office.eu」とも順次統合していく予定だという。クラウド前提の office アプリになるということですかね。
コードベースは「ONLYOFFICE」をフォーク(分岐)したもの。(中略) わざわざフォークしたのは、同アプリがロシアで開発されているのが理由のようだ。ふぅん。
Notepad++
テキストエディター「Notepad++」に脆弱性、設定ファイル経由の任意コード実行など【6月1日追記】 (窓の杜, 2026.06.01 追記)。8.9.6.2 が出たそうです。
[2026年6月1日編集部追記] 5月31日付で「Notepad++」v8.9.6.2がリリースされた。v8.9.6.1で修正された脆弱性「CVE-2026-48800」への対策に回避シナリオが発見されたため、追加の修正が行われている。Exim
Exim Security Advisory for EXIM-Security-2026-05-19.1 / CVE-2026-48840 (Exim, 2026.05.29)。 Exim 4.88〜4.99.3 に欠陥。 SUPPORT_PROXY が有効で hosts_proxy が設定されている場合に発現。初期化されていないスタックメモリーの内容が漏洩する。TCPv6 で 16 バイト、 TCPv4 で 4 バイト。CVE-2026-48840
Exim 4.99.4 で修正されている。 iida さん情報ありがとうございます。
2026 年 5 月のセキュリティ更新プログラム (月例) (2026.05.14)
EFI システムパーティションの容量不足で KB5089549 のインストールに失敗するという件があり、KIR で対応という話だったのであまり気にしていなかったのですが、 プレビュー更新プログラム KB5089573 で対応されたそうです。 2026年6月の月例更新プログラムは問題なくインストールできるようになりそうです。
MS、KB5089549をインストールできない不具合を認める。対処方法公開。KIRを展開 (ニッチなPCゲーマーの環境構築Z, 2026.05.16)
5月のセキュリティパッチ適用時、空き容量不足でインストールできないエラーは解決 (窓の杜, 2026.06.01)
》 LibreSSL 4.3.2 Release Notes (OpenBSD, 5/25)。4.3.x の 1st stable release だそうです。 iida さん情報ありがとうございます。