Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 アスクル、ランサムウェア攻撃の詳細な調査結果を公開~個人情報など72万件以上の流出確認 (Internet Watch, 12/16)
》 かつての人気サイト「スラッシュドット・ジャパン」に偽物、関係者が警告「絶対ログイン禁止」 (やじうまの杜, 12/16)
台湾が直面する中国の脅威、対中防衛最前線のリアル (ブルームバーグ, 12/9)
Tドームと国防費の増額は、台湾の自衛への決意を示す― 専門家の見解 (インド太平洋防衛フォーラム, 10/8)
》 「中国が韓中暫定水域内に構造物を無断設置、南シナ海と同じやり口」 米CSISが西海の紛争海域化を懸念 (朝鮮日報 / Yahoo, 12/17)
》 ロシア軍の潜水艦に海中から「刺客」が迫る “すさまじい一撃”を捉えた映像をウクライナが公開 (乗りものニュース / Yahoo, 12/17)。ウクライナ、UUV を実戦で使用。
Ukraine Claims World’s First Underwater Drone Attack On Russian Submarine (The War Zone, 12/15)
Aftermath Of Ukraine’s Underwater Drone Attack On Russian Submarine Seen In Satellite Imagery (The War Zone, 12/16)
》 EVは排ガスを出さないから走行中はエコ……じゃない! 欧州ではEVの環境汚染まで問題視され始めていた (EV Times, 12/10)
》 特別リポート:中国発の詐欺広告に甘いメタ、数千億円規模の収入優先か (ロイター, 12/16)。 英語版: Meta tolerates rampant ad fraud from China to safeguard billions in revenue (Reuters, 12/15)。 メタ、2024年売上高の1割が不正広告か ロイター報道 (日経, 11/7) の精査版かな。
中国政府は国民がメタのソーシャルメディアを利用するのを禁じているが、中国企業が外国の消費者向け広告に使うのは容認している。結果としてメタの中国における広告事業は拡大し、2024年の年間収入は180億ドル(2兆8000億円)強と、全世界収入の10分1余りを占めた。
ところが、その約19%に当たる30億ドル強が、詐欺や違法ギャンブル、ポルノやその他禁止商品に誘導する広告に由来するとメタが計算していたことが、ロイターが確認した同社の内部文書で分かった。
》 PCの価格改定、26年1月以降に──マウスコンピューターが発表 駆け込み需要で一部製品の販売停止も (ITmedia, 12/16)
》 ディズニーとOpenAIの契約は「AI著作権戦争」を再定義した (WIRED, 12/14)
12月11日(米国時間)、ディズニーとOpenAIは、少し前なら考えられなかったような資本提携を発表した。2026年からOpenAIは、ミッキーマウス、アリエル、ヨーダといったディズニーのキャラクターを、同社の動画生成AI「Sora」で使用できるようになる。
》 Intelが中国と関係の深い輸出規制対象となった企業の半導体製造装置をテスト中との報道、専門家からは「技術保護政策の重大な欠陥を浮き彫りにした」と批判の声 (gigazine, 12/15)
》 LG製テレビにMicrosoft Copilotが勝手に追加されて削除不可能に (gigazine, 12/15)
》 iOS 26で「Androidで撮影した写真を拡大表示するとなぜか真っ赤になる」というバグの報告が上がる (gigazine, 12/15)
》 Starlinkと中国由来の人工衛星が宇宙空間で200mの距離まで接近 (gigazine, 12/16)
》 「超安全」をうたったメッセージングアプリが全員の電話番号とPINを漏えいしていたと判明 (gigazine, 12/16)。Converso → Freedom Chat。
》 Let’s Encryptが証明書発行に関する変更点の詳細を発表、証明書チェーンの刷新・クライアント認証EKUの削除・証明書の有効期間の短縮など (gigazine, 12/16)
》 Appleギフトカードを利用したら約25年使っていたAppleアカウントが凍結されて写真やデバイスへアクセス不能に (gigazine, 12/15)。こういうところはほんとクソの殿堂なんだよな Apple。
》 政府機関や病院が使う機密性の高いメッセージアプリ「Zivver」がイスラエル情報機関とつながる企業に売却され専門家が危険視 (gigazine, 12/15)
オランダの裁判所は機密情報の送付にZivverを利用しており、弁護士も同様にZivverを利用して機密情報を裁判所に提出しているそうです。オランダの移民局を含む複数の政府機関もZivverを利用しており、ロッテルダム空港やハーグ空港などの重要インフラでもZivverが活用されています。他にも、イギリスでは病院や自治体で、ベルギーとドイツでは大病院でZivverが利用されています。
》 ロシアで「Roblox」が禁止され非難殺到、子どもたちから6万3000通の苦情の手紙が届き「出国したい」と嘆願 (gigazine, 12/16)
》 iOS 26.2配信、デフォルトブラウザをSafari以外からも選べるように 「スマホ新法」対応で (ITmedia, 12/15)
》 中国で“論文を盗作した人”のキャリアを追跡→不正をした人は公務員になりやすく、昇進も早い 海外チームが調査 (ITmedia, 12/16)
悪影響は本人だけにとどまらず、盗作歴のある先輩裁判官に指導された新人は、影響されて同じような偏った判決を出すようになった。また、盗作歴のある弁護士は、盗作歴のある裁判官の法廷で特に勝ちやすかった。
セイコーエプソン プリンター Web Config
プリンターのWeb Configで任意のコマンドが実行可能な脆弱性について (EPSON, 2025.12.16)
■対象製品
レシートプリンター
TM-H6000V/TM-L100/TM-m10/TM-m30/TM-m30Ⅱ/TM-m30Ⅱ-H/TM-m30Ⅱ-S/TM-m30Ⅱ-SL
/TM-P60Ⅱ/TM-P20/TM-P80/TM-T20Ⅱ/TM-T20Ⅲ/TM-T88Ⅵ/TM-T88Ⅵ-iHUB/UB-R04(注2)
/UB-E04
大判プリンター
SC-P10050/SC-P20050/SC-P6050/SC-P7050/SC-P8050/SC-P9050/SC-T3250/SC-T3255
/SC-T5250/SC-T5250D/SC-T5255/SC-T5255D/SC-T7250/SC-T7250D/SC-T7255/SC-T7255D
ページプリンター
LP-M8170シリーズ/LP-S180DN/LP-S280DN/LP-S380DN/LP-S3250/LP-S340DN/LP-S3550/LP-S4250
/LP-S440DN/LP-S6160/LP-S7160/LP-S8160/LP-S9070/LP-S950
(中略)
■対策方法
現時点でUB-R04以外の製品につきましては対策ファームウエアを公開しています。UB-R04 (「無線 LAN 対応 EPSON TM プリンターに搭載されている、無線 LAN インターフェイス」) については対策ファームウエアの公開予定が無いそうで。 管理者パスワードを変更する等の回避策の実施が推奨されている。
無線LANインターフェイスマニュアル (レシートプリンター / EPSON) によると UB-R04 マニュアル (リビジョン C) は 2014年9月9日公開 であり、かなり古い製品。 サポート終了なのも無理はない。
Universal Boot Loader (U-Boot)
ICSA-25-343-01 - Universal Boot Loader (U-Boot) (CISA, 2025.12.09)。 U-Boot < 2017.11 および Qualcomm の SoC IPQ4019 IPQ5018 IPQ5322 IPQ6018 IPQ8064 IPQ8074 IPQ9574 に欠陥 CVE-2025-24857。 U-Boot v2025.4 以降への更新が推奨されている。
Intel Xeon 6 Processors with P-cores with Intel TDX Connect
》 “普通の大学生”が転売ヤーに…「プレステ5」購入するだけで時給1万円、若者の“闘志”に火をつけた「代理購入バイト」の闇 (弁護士JPニュース, 12/13)。ある転売ヤーの誕生。
》 ハンターは減っている?クマ問題に欠かせない人材の実情、駆除数は増えるも極めて厳しい現場 (田中淳夫 / Wedge, 12/15)
クマはともかく、シカやイノシシの駆除数が劇的に増えたのは、報奨金が増額されたことが大きい。かつてシカは1頭5000円くらいだったのが、最近では地域によっては2万円、3万円に達しており、しかも生息数が増加したから捕獲のチャンスも増えた。狩猟に精が出るわけだ。それが新規参入者も増やした。
だが、クマはそうはいかない。シカを撃ち損じてもハンターの身に危険はないが、クマだと逆襲される恐れが強い。それに比して報奨金や出動手当は安いと言われている。
しかも現在求められているのは、人里、とくに市街地に出てきたクマの駆除である。市街地における発砲は条件も厳しい。標的の後ろに人家などがなく、跳弾にならないよう柔らかい土などのバックストップが求められる。射撃技能面からも非常に難易度が高い。
》 相場操縦容疑で摘発された国内証券口座のっとり事案についてまとめてみた (piyolog, 12/7)
》 Abusing DLLs EntryPoint for the Fun (SANS ISC, 12/12)
Conclusion: Always have a quick look at the DLL entry point!
》 Intelが劣化したCore i9-13900Kの返金を拒否したと報じられる。説明を求めるも無視、返答はないという (ニッチなPCゲーマーの環境構築Z, 12/12)
》 Dell、ついにPCを値上げ。Xデーは2025年12月17日。かなりの値上げ幅 (ニッチなPCゲーマーの環境構築Z, 12/14)。「始まったな」「ああ、全てはここからだ」。
》 SK hynixが絶望の予測。PC向けDDR5メモリは当分の間需要を満たせない。つまり価格は…… (ニッチなPCゲーマーの環境構築Z, 12/14)。 「2028年まで制限された状態が続く見込み」。オゥ。 万策つきた感。
》 「テイラー・スウィフトはナチス」という主張は組織的なボット攻撃によって拡散されたと研究で判明 (gigazine, 12/11)
》 DeepSeekが新型AI開発のため入手不可能なはずのNVIDIA Blackwellチップを複雑なルートで中国に密輸していたことが明らかに (gigazine, 12/11)
》 トランプ政権が日本を含む海外からの旅行者に過去5年間のソーシャルメディア上での活動開示を求める計画 (gigazine, 12/11)
》 エレベーター「かご」なく転落死 大手の担当者、安全装置切り放置か (朝日, 12/14)
エレベーターの製造元は「三菱電機ビルソリューションズ」(東京都千代田区)で、保守管理も同社が行っている。
同社のホームページによると、エレベーターの保守台数は約24万台で業界1位(2024年3月時点)。全世界では約100万台にのぼるという。業界最大手がしくじった可能性が高いと。
》 Amazon KindleでDRMフリーとして設定した書籍をEPUB形式やPDF形式で提供可能に (gigazine, 12/11)
関連:
ツイート
AmazonアカウントのBANとはKindle蔵書の全損です。知らなかったでは済まないのでくれぐれもやるんじゃないよ。 https://t.co/tCzSubu54c
— きんどう (@zoknd) December 14, 2025
》 LinuxカーネルへのRust導入は定着したとの合意、「実験的」タグを外すことが決定 (gigazine, 12/11)
》 無料で1GBの一時的なSFTPサーバーを作成できるSFTPCloudの「Free SFTP Server」 (gigazine, 12/14)
0-day は WebKit CVE-2025-43529 CVE-2025-14174 です。iOS < 26 への攻撃が確認されているそうです。 CVE-2025-14174 は Chrome / Edge でも修正が入ってます。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 26.2 and iPadOS 26.2 (Apple, 2025.12.12)
About the security content of iOS 18.7.3 and iPadOS 18.7.3 (Apple, 2025.12.12)
tvOS
About the security content of tvOS 26.2 (Apple, 2025.12.12)
watchOS
About the security content of watchOS 26.2 (Apple, 2025.12.12)
visionOS
About the security content of visionOS 26.2 (Apple, 2025.12.12)
macOS
About the security content of macOS Tahoe 26.2 (Apple, 2025.12.12)
About the security content of macOS Sequoia 15.7.3 (Apple, 2025.12.12)
About the security content of macOS Sonoma 14.8.3 (Apple, 2025.12.12)
Safari
About the security content of Safari 26.2 (Apple, 2025.12.12)
Chrome Stable Channel Update for Desktop (2025.12.11)
修正 3 件のうち CVE-2025-14174 が 0-day だったわけですが、
[N/A][466192044] High CVE-2025-14174: Out of bounds memory access in ANGLE. Reported by Apple Security Engineering and Architecture (SEAR) and Google Threat Analysis Group on 2025-12-05
(中略)
Google is aware that an exploit for CVE-2025-14174 exists in the wild.これ WebKit 関連で iOS < 26 に対する攻撃が確認されているという話だったのですね。 Apple でも修正かかってます。
About the security content of iOS 18.7.3 and iPadOS 18.7.3 (Apple, 2025.12.12)
WebKit
Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later
Impact: Processing maliciously crafted web content may lead to memory corruption. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 26. CVE-2025-43529 was also issued in response to this report.
Description: A memory corruption issue was addressed with improved validation.
WebKit Bugzilla: 303614
CVE-2025-14174: Apple and Google Threat Analysis Groupあと Edge。
「Microsoft Edge」でもゼロデイ脆弱性「CVE-2025-14174」が修正、実環境での悪用を確認 (窓の杜, 2025.12.12)
》 青森地震でNTT青森八戸ビルの鉄塔が損傷 「倒壊リスクは低いが補修に3週間」 (Business Network, 12/11)
また、水道管の破損によりビル内が浸水しており、「当社の社員もビルに立ち入れていない状況。ビル内の通信設備が損傷した場合、修理ができないため、一部サービスに影響が出る可能性がある。ただ、安全にビルへ入れるルートの確保を進めており、対応を急ぎたい」と石田氏は話した。
》 また古いアニメの公式サイトが“オンカジ誘導サイト”に ドロップキャッチか (ITmedia, 12/12)。温泉妖精ハコネちゃん。
》 ハウステンボス、大規模漏えいの可能性 顧客150万人の個人情報、役職員・取引先のマイナンバー情報など (ITmedia, 12/12)
》 オラクルに付きまとう「オープンAIの影」 (Wall Street Journal, 12/12)。単一障害点。
最大のサプライズは望ましくない類いのものだった。オラクルは9-11月期に過去最高の120億ドルを設備投資に費やした。これは市場予想の84億ドルをはるかに上回る額だった。同社はまた、2026年5月期通期の設備投資見通しを350億ドルから500億ドルに引き上げた。
年間500億ドルという設備投資は、他の大手テック企業の一部が支出している額と比べると少ないように見えるかもしれない。だがこれは、オラクルの26年5月期の予想売上高の75%に相当する。(中略) 言い換えれば、オラクルの今後数年間の成長の大部分はオープンAI頼みのままだ。これほどの金額を約束できる企業は他にほとんどないため、容易に分散することはできない。そして、オープンAIがその約束を完全に果たせるかどうかは全く確実ではない。
》 “DRAMパニック”はなぜ起きたか、価格はいつ落ち着くのか? 狂騒の裏で起きていること (大原雄介 / ITmedia, 12/12)
現状発生しているのは、Spot価格の高騰だ。(中略) Spot市場の高騰が、11月に入って突如発生したメモリの品薄・高騰の直接的な要因である。
ではなぜSpot市場が価格高騰しているかといえば、恐らくContract市場に異常が発生しているからだ。具体的に言えば、恐らくメモリメーカーに対してDDR5チップの生産能力を超える量のContractの要求が殺到。(中略) 遅延した納期を待ってなんぞいられないので、Spot市場でDDR5チップをあさるしかない。(中略)
ではなぜContract市場に異常が起きたのか? あるいは、なぜサーバメーカーその他はContractを通常より増やさざるを得ないのか? という話になるが、筆者は基本的にはPanic Buy、つまり“狼狽買い”と考えている。 (中略) 韓国Samsung及び韓国SK Hynixが米OpenAIと結んだ契約がきっかけではないか?というシナリオが現在は有力視されている。ありそうなシナリオは「メモリトップ2社がHBMに傾斜生産を掛けた場合、自社分を調達できなくなる可能性がある」と感じたサーバメーカーなどが、DDR5のContractを本来の必要分より多めに発注。これはGPUメーカーのGDDR、スマートフォンメーカーのLPDDRなども同じで、結果各メーカーへのContractの要求が生産量を超え、今回の事態につながったというあたりが妥当かもしれない。この状況がいつ終わるかというと、筆者の予想は2027年以降である。なぜかというと、恐らくContractの期間が1年程度が多い(もっと長いかもしれない)と考えられるからだ。
1四半期程度だったら、Crucialブランドを一時的に休眠状態にするという選択肢もあった。そうしなかったのは、つまり1四半期では収まらないくらい長期化すると予測したためと思われる。chip がようやく順当に流れてくるようになったと思ったら、今度はメモリーか……。世の中ままならんのう。
恐らくは26年の決算くらいのタイミングで、損切りの形でそうした在庫を市場に放出を始めるだろう。ただ厄介なのは、放出されるのはサーバ向けのRegistered ECC DIMMということで、通常のPCでは利用ができない。この流れでコンシューマー向けもふつう ECC ok という時代になってほしいなあ。
関連: アイ・オー・データ、SSDやUSBメモリなど値上げ 最大54.8%増 (ITmedia, 12/11)
》 “発火しにくい”モバイルバッテリー続々 「脱リチウムイオン」へ動き出したバッテリーの世界 (ITmedia, 12/11)。あと 5 年もすればリチウムイオンは駆逐されていたりするのかな。関連:
半固体系バッテリーを採用した次世代モバイルバッテリーの展開について (CIO, 11/25)
「半固体電池」という言葉が一般的に使用されるようになってきておりますが、2025年11月現在において、公的規格はもとより、業界として統一された定義も存在していない状況です。
未開拓な技術領域であることも相まって、製造技術や安全性の水準はメーカーによって大きく異なり、「半固体=安全」といった単純な解釈は、かえって誤った判断につながりかねないと危惧しております。既存製品の半固体系モバイルバッテリーへの置き換えと新製品の販売予定について (CIO, 12/1)。CIO は製品全体を徐々に半固体系に移行したいようだ。
cheero Solido 10000mAh (cheero)。
》 「Node.js」に最大深刻度Highの脆弱性 ~v25.x、v24.x、v22.x、v20.x系統に影響 (窓の杜, 12/11)。更新予告。12/15 にアップデート公開。
》 メモリ高騰でパソコンは値上げする? メーカー各社に聞いた (ITmedia, 12/11)。まあ、安くなる方向には向かないだろうなあ。
》 「S-netがめちゃくちゃ仕事してる」 震災後に作られた海底観測網、青森県の地震で注目を集める (ITmedia, 12/9)
》 高架橋損傷のJR八戸線、復旧のめど立たず…送迎の都合つかず登校できない高校生も (読売, 12/11)
JR八戸線本八戸駅~小中野駅間の被害状況について (JR東, 12/9)
》 FreeBSD 15.0リリース ―pkgツールベースのインストール/アップデート方式を採用へ (gihyo.jp, 12/2)
》 HTTPS certificate industry phasing out less secure domain validation methods (Google, 12/10)
Zoom
「Zoom」に非認証ユーザーによる権限昇格などの脆弱性 ~最新版への更新を (窓の杜, 2025.12.11)
Adobe 2025.12 Security Bulletin です。 ColdFusion のみ Priority: 1、他は Priority: 3 です。
- APSB25-105 : Security update available for Adobe ColdFusion (Adobe, 2025.12.09)
- APSB25-115 : Security update available for Adobe Experience Manager (Adobe, 2025.12.10 更新)
- APSB25-118 : Security update available for Adobe DNG SDK (Adobe, 2025.12.09)
- APSB25-119 : Security update available for Adobe Acrobat Reader (Adobe, 2025.12.09)
- APSB25-120 : Security update available for Adobe Creative Cloud Desktop (Adobe, 2025.12.09)。macOS 版のみ。
Firefox 146.0 / ESR 140.6.0 / ESR 115.31.0 公開 (2025.12.10)
Thunderbird 146 / 140.6.0esr も出ました。
Thunderbird 146 がリリースされた (mozillaZine, 2025.12.11)
Chrome 143.0.7499.109/.110 (Windows / Mac) および 143.0.7499.109 (Linux) 公開。3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.12.10)。Chrome 143 (143.0.7499.109) for Android。
2025.12.15 追記:
修正 3 件のうち CVE-2025-14174 が 0-day だったわけですが、
[N/A][466192044] High CVE-2025-14174: Out of bounds memory access in ANGLE. Reported by Apple Security Engineering and Architecture (SEAR) and Google Threat Analysis Group on 2025-12-05
(中略)
Google is aware that an exploit for CVE-2025-14174 exists in the wild.これ WebKit 関連で iOS < 26 に対する攻撃が確認されているという話だったのですね。 Apple でも修正かかってます。
About the security content of iOS 18.7.3 and iPadOS 18.7.3 (Apple, 2025.12.12)
WebKit
Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later
Impact: Processing maliciously crafted web content may lead to memory corruption. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on versions of iOS before iOS 26. CVE-2025-43529 was also issued in response to this report.
Description: A memory corruption issue was addressed with improved validation.
WebKit Bugzilla: 303614
CVE-2025-14174: Apple and Google Threat Analysis Groupあと Edge。
「Microsoft Edge」でもゼロデイ脆弱性「CVE-2025-14174」が修正、実環境での悪用を確認 (窓の杜, 2025.12.12)
》 中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も (gigazine, 12/9)。nanoKVM。
》 戦闘機「F-35」にはC++の特殊ルール適用版が使われており例外処理や再帰関数が禁止されている (gigazine, 12/8)
》 「AIが引用した参考文献」の約3分の2が存在しない文献だったり間違っていたりしたとの調査結果 (gigazine, 12/7)
》 「Let’s Encrypt」がついにサービス開始から10周年を迎えてこれまでの道のりを振り返る (gigazine, 12/10)
》 Dell、ノートPCなどPC本体を近々15~20%値上げか。Lenovoも2026年1月に値上げ予定。メモリ価格高騰の影響により (ニッチなPCゲーマーの環境構築Z, 12/6)。今が買いどきということになりそう。
》 Crucialさん、イベントに出展!?このタイミングで!?2026年2月で出荷終了するのになぜ (ニッチなPCゲーマーの環境構築Z, 12/9)。逆に言うと、コンシューマー市場からの撤退はごく最近決定されたということなのだろう。
》 悲報。大容量DDR5メモリがGeForce RTX 5090とほぼ同価格になる。国内外にて (ニッチなPCゲーマーの環境構築Z, 12/10)。めちゃくちゃですなあ。
》 WordPress 6.9 “ジーン” (WordPress, 12/3)。WordPress 6.9 出てたんですね。
Microsoft 2025.12 更新。 57 Microsoft CVE + 13 non-MS CVE。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。 (Security Update Guide から拾っています)
- Application Information Services CVE-2025-62572
- Azure Monitor Agent CVE-2025-62550
- Copilot CVE-2025-64671
- Microsoft Brokering File System CVE-2025-62469 CVE-2025-62569
- Microsoft Edge (Chromium-based) CVE-2025-13630 CVE-2025-13631 CVE-2025-13632 CVE-2025-13633 CVE-2025-13634 CVE-2025-13635 CVE-2025-13636 CVE-2025-13637 CVE-2025-13638 CVE-2025-13639 CVE-2025-13640 CVE-2025-13720 CVE-2025-13721
- Microsoft Edge for iOS CVE-2025-62223
- Microsoft Exchange Server CVE-2025-64666 CVE-2025-64667
- Microsoft Graphics Component CVE-2025-64670
- Microsoft Office CVE-2025-62554 CVE-2025-62557
- Microsoft Office Access CVE-2025-62552
- Microsoft Office Excel CVE-2025-62553 CVE-2025-62556 CVE-2025-62560 CVE-2025-62561 CVE-2025-62563 CVE-2025-62564
- Microsoft Office Outlook CVE-2025-62562
- Microsoft Office SharePoint CVE-2025-64672
- Microsoft Office Word CVE-2025-62555 CVE-2025-62558 CVE-2025-62559
- Storvsp.sys Driver CVE-2025-64673
- Windows Camera Frame Server Monitor CVE-2025-62570
- Windows Client-Side Caching (CSC) Service CVE-2025-62466
- Windows Cloud Files Mini Filter Driver CVE-2025-62221 CVE-2025-62454 CVE-2025-62457
- Windows Common Log File System Driver CVE-2025-62470
- Windows Defender Firewall Service CVE-2025-62468
- Windows DirectX CVE-2025-62463 CVE-2025-62465 CVE-2025-62573
- Windows DWM Core Library CVE-2025-64679 CVE-2025-64680
- Windows Hyper-V CVE-2025-62567
- Windows Installer CVE-2025-62571
- Windows Message Queuing CVE-2025-62455
- Windows PowerShell CVE-2025-54100
- Windows Projected File System CVE-2025-55233 CVE-2025-62462 CVE-2025-62464 CVE-2025-62467
- Windows Projected File System Filter Driver CVE-2025-62461
- Windows Remote Access Connection Manager CVE-2025-62472 CVE-2025-62474
- Windows Resilient File System (ReFS) CVE-2025-62456
- Windows Routing and Remote Access Service (RRAS) CVE-2025-62473 CVE-2025-62549 CVE-2025-64678
- Windows Shell CVE-2025-62565 CVE-2025-64658 CVE-2025-64661
- Windows Storage VSP Driver CVE-2025-59516 CVE-2025-59517
- Windows Win32K - GRFX CVE-2025-62458
0-day は 3 件だそうです。
- CVE-2025-62221 Windows Cloud Files Mini Filter ドライバーの特権の昇格の脆弱性
- CVE-2025-54100 PowerShell のリモートでコードが実行される脆弱性
- CVE-2025-64671 GitHub Copilot for Jetbrains のリモートでコードが実行される脆弱性
関連:
【Windows11】 WindowsUpdate 2025年12月 不具合情報 - セキュリティ更新プログラム KB5072033 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2025.12.10)
【Windows10】 WindowsUpdate 2025年12月 不具合情報 - セキュリティ更新プログラム KB5071546 (ニッチなPCゲーマーの環境構築Z, 2025.12.10)
Microsoft Patch Tuesday, December 2025 Edition (Krebs on Security, 2025.12.09)
出ました。
Firefox 146 がリリースされた (mozillaZine, 2025.12.10)
Firefox for Android 146 がリリースされた (mozillaZine, 2025.12.10)
2025.12.11 追記:
Thunderbird 146 / 140.6.0esr も出ました。
Thunderbird 146 がリリースされた (mozillaZine, 2025.12.11)
Critical Security Vulnerability in React Server Components (2025.12.05)
関連:
React Server Componentsの重大な脆弱性「CVE-2025-55182」: セキュリティ担当者が押さえるべきポイント (トレンドマイクロ, 2025.12.08)
React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 (piyolog, 2025.12.08)
》 2025年12月9日 17:20 【速報中】青森県で震度6強 けが51人 「北海道・三陸沖 後発地震注意情報」を発表 16日午前0時まで“特別な備え”呼びかけ (テレ朝, 12/9更新)。随時更新中。
》 北海道・三陸沖後発地震注意情報(発表中) (北海道)。来ましたね。
2.北海道・三陸沖後発地震注意情報とは? (北海道・三陸沖後発地震注意情報の解説ページ / 内閣府 防災情報のページ)
巨大地震が発生した際の甚大な被害を少しでも軽減するため、日本海溝・千島海溝沿いの巨大地震の想定震源域とその周辺でMw7以上の地震が発生した場合には、「北海道・三陸沖後発地震注意情報」を発信し、大地震の発生可能性が平時よりも相対的に高まっているとして、後発地震への注意を促すこととなりました。令和4年12月より運用を開始しました。東日本大震災の教訓があるのでね。
【情報の留意事項】
・「北海道・三陸沖後発地震注意情報」は、後発地震の発生可能性が平時よりも相対的に高まっていることをお知らせするものであり、情報が発信されたら後発地震が必ず発生するというものではありません。
・先発地震を伴わず、大規模地震が突発的に発生する可能性があります。
・情報発信の対象とする地震の発生エリア(北海道の根室沖から岩手県の三陸沖)の外側でも、先発地震が発生した周辺では、大規模地震が発生する可能性があります。
・すでに発生した先発地震への対応と後発地震に備えた対応を混同しないようにすることが必要です。
》 青森県の地震で“東に約9センチ”の地殻変動か 国土地理院 (ITmedia, 12/9)
》 ロシア軍がウクライナを704発の長距離ドローン・ミサイル攻撃、過去3番目の多さの飛来数 (JSF / Yahoo, 12/6)。弾道弾 (キンジャール、イスカンデル) の迎撃は依然として困難と。
》 高市首相の「戦艦」発言が間違っている理由、戦艦を戦闘艦全般の意味で使わなくなって100年以上が経過 (JSF / Yahoo, 12/4)
ただし実は、中国語では「戦艦」を戦闘艦全般の意味で用いています。「戦車」も中国語では戦闘車両全般の意味で用いています。漢字を使う中国と日本ですが、同じ言葉でも意味が違うケースがあるのです。へぇ〜。
》 「アメリカをサイバー強国に」――政権交代で、米国の「サイバーセキュリティ啓発月間」は変わったか? (Internet Watch, 12/9)
》 「クイック マシン リカバリー」がProデバイスでも既定有効に ~設定の簡素化も (窓の杜, 12/8)。「ただし、ドメインに参加している企業向けデバイスは例外だ。組織が有効にしない限りQMRは無効のままだ」。
》 X(Twitter)のフォロワー欄に潜むスパムっぽいアカウントをあぶり出すユーザースクリプトが話題に (やじうまの杜, 12/8)。 X Spam Highlighter (GitHub)
》 トランプ大統領、NVIDIAの前世代GPU「H200」対中輸出承認へ 「米国の顧客はすでにBlackwellチップで前進している」 (ITmedia, 12/9)、 米安保戦略、対中姿勢が軟化 欧州を厳しく批判 (Wall Street Journal, 12/8)。 米中は融和模様なのでねえ。
レーダー照射、日本側からの「ホットライン」に中国応じず (日経, 12/8)
中国レーダー照射「秩序を再構築」「世界で孤立」 米欧有識者の見方 (日経, 12/8)
米戦略国際問題研究所(CSIS)上級研究員のニコラス・セーチェーニ氏
中国は2013年1月にも、日本政府による沖縄県・尖閣諸島の国有化へ一連の威圧措置で同様の行動を取った。戦術的目標は日本側の対応を試すことであり、その対応は驚くほど一貫して効果的、冷静でありながら強靱(きょうじん)だといえる。戦略的目標は日米同盟の生命力を試すことだ。いずれの目標も目新しいものではない。
新たな点は、高市氏の11月7日の国会発言以降、中国が日本への圧力を強化しているにもかかわらず、米国が控えめな対応に留まっていることだ。中国の威圧的行為に対し米国が日本に強力な支援メッセージを発しないのは、日本を孤立させ地域を不安定化させようとする中国のエスカレーションを助長するだけだ。中国の新たな主張「捜索用レーダー」“レーダー照射”で応酬激化 今後どうなる? (テレ朝 / Yahoo, 12/9)。ああ言えば上祐。
中国側は、8日になって、こんな主張を繰り広げました。
中国外務省 郭嘉昆副報道局長
「艦載機が訓練中に“捜索用レーダー”を起動するのは、各国の通常のやり方であり、安全確保の正常な操作でもある」
(中略)
海上自衛隊の元ヘリパイロットで、中国の安全保障政策に詳しい、笹川平和財団の小原凡司さんに聞きました。
小原さんは「そもそもレーダーは“捜索用”と“火器管制用”で周波数帯が違う。今回、照射されたレーダーがどちらなのか、自衛隊は明らかに把握している。今回、小泉大臣が『安全な飛行に必要な範囲を超える危険な行為』としていることからも、攻撃に使われる火器管制用レーダーが照射されたと見ていい。中国側が、捜索用レーダーだと言い始めたのは、もし認めると、国際的に批判を受けて不利になるとわかっているからではないか」と指摘します。そして、はい、いよいよ来ましたよ。 レアアース。
千々岩森生記者
「その前に、もう一つ気になる情報があります。レアアースです。官邸幹部によりますと、中国の輸出に遅れが出ているといいます。これ、しばしば遅れることは、これまでもありましたので、中国の圧力かどうかは不明で、慎重に見ていく必要が、いまのところあります高市発言は日本経済に害しかもたらしていないので、 とっとと撤回してください。 トランプの掌返しの早さを見習うべき。
防衛大臣記者会見 (防衛省, 12/9)
記者:
中国軍機によるレーダー照射に関してお伺いします。中国側は、自衛隊機の妨害があったとした上で、探索レーダーを作動させるのは各国で一般的な行為であり、飛行安全を確保するため正常な操作と主張しています。受け止めと中国の主張に反論した事例があれば教えてください。あわせて日中防衛当局間のホットラインに関して、機能していないとの指摘がありますが、ホットラインが活用されていない要因と今後とるべき対策についてお願いいたします。
大臣:
まず今般レーダー照射を受けた際、自衛隊機は安全な距離を保ちながら、終始プロフェッショナルな態様で対領空侵犯措置を実施しており、自衛隊機の妨害があったとする中国側の主張は当たりません。また、戦闘機のレーダーは艦艇のレーダーと異なり、捜索のみならず、火器管制の目的も有しており、照射を受けた側は、その目的を必ずしも明確に判別できません。そのため、一般に視界が悪い時などにおいて、安全確保の観点から、周囲の捜索等のためレーダーを用いる場合であっても、今般の事案のような形で、断続的に照射をすることはありません。このように、むやみに戦闘機のレーダーが用いられることはない中で、今回のような断続的な照射を自衛隊の戦闘機、とりわけ対領空侵犯措置を実施中の自衛隊の戦闘機に対して行うことは、危険な行為であると判断しています。今、正に私がお答えしてる内容が中国側の主張に対する反論であり、今後も引き続き中国側との意思疎通を図って、必要な場合は適宜適切に主張していく考えでありますし、先般マレーシアで日中防衛相会談で、私から董軍国防部長に対して伝えたとおり、日中間では具体的かつ困難な懸案から目を背けず、むしろ懸案があるからこそ、率直な議論と意思疎通を粘り強く重ねることが必要不可欠だという思いは変わりません。こうした考えの下、ホットライン、この関係もありましたけれども、日中防衛当局間では、年次会合及び専門会合の開催、艦船・航空機間での直接連絡、そしてホットラインから構成される海空連絡メカニズムをはじめ、様々なチャンネルで意思疎通を行える状態を確保しています。なお、日本からのホットラインに中国が応じなかったとの報道があることを承知しておりますが、ホットラインの使用状況については、相手国との関係において、円滑な意思疎通をしっかりと確保していくとの観点から、これまでもお答えをしてきておらず、本件に関しても、使用したか否かについてはお答えをしておりません。記者:
レーダー照射問題について、中国側はですね、事前に訓練を通知していたが、日本がそれを無視している、侵害していると主張していますが、実際中国側から訓練の通知はあったのかどうか教えてください。
大臣:
中国側は、今発言があったように、事前に公表していたというふうに発信をしていますが、遼寧の艦載機等の訓練海空域に関するNOTAM、これは航空情報と言われるものですが、このNOTAMや航行警報が事前に通報されていたとは認識しておりません。Chinese J-15s ‘Lock On’ JASDF F-15s Near Okinawa (The Aviationist, 12/7)。匿名の現役 NATO 戦闘機パイロットによる寄稿。 DeepL 訳:
現代のアクティブ電子走査アレイ(AESA)レーダーは、レーダーの捕捉方法とその認識を大きく変えた。従来の機械式走査レーダーがミサイル誘導を支援するために明示的な単一目標追跡モードに移行する必要があったのとは異なり、AESAシステムは広域監視を継続しながらも、複数の狭ビームを電子的に指向し、エネルギーを極めて精密に集中させることができる。これらは、高速周波数ホッピング、高指向性ビーム、サイドローブ放射の低減といった低探知確率(LPI)技術を採用している。これらの手法は、レーダー信号を背景雑音に溶け込ませ、旧式または性能の低いレーダー警告受信機(RWR)による探知を困難にするよう特別に設計されている。
その結果、AESA搭載戦闘機は、従来なら標的機でロックオン警報を発動させるような明確な射撃管制シグネチャを生成することなく、レーダーホーミングミサイルに中間誘導を提供できる。高度なRWR(レーダー警告受信機)は、追跡エネルギーの増加やデータリンク活動に伴う微妙な変化を依然として検知する可能性があるが、警告は交戦のかなり後になって届く。極端なケースでは、敵対意図の最初の明確な兆候がミサイル自身のシーカー作動となることもあり、反応できる時間はわずか数秒となる。
この進化により、従来のレーダー技術には存在しなかった曖昧さが生じている。パイロットは、自機が武器目標として指定されたかどうかを判断する際に、もはやRWRのみに依存することはできない。代わりに、敵機の位置関係や挙動を解釈し、ミサイル発射が差し迫っている可能性を評価しなければならない。これにより、混雑した空域や争奪空域における脅威評価は、はるかに困難なものとなっている。
(中略)
したがって、ロックオンが発生する状況はこれまで以上に重要である。パイロットは、距離、接近速度、正面位置、可視兵器構成、主権空域への近接度、および攻撃的または予測不能な機動を総合的に評価する。至近距離での急激な機動とレーダーロックオンの同時発生は、潜在的な敵対行為と認識される可能性がある。標的機はミサイルが発射されたかどうかの判断を数秒で迫られるためだ。このような状況では、防御的反撃がさらなるエスカレーションを招き、緊迫した迎撃から重大なインシデントへ急速に発展するリスクが高まる。
このため、安全な迎撃手順は依然として専門的な軍事航空の基盤である。西太平洋における中国海軍の作戦周辺のような政治的に敏感な領域でさえ、ほとんどの空軍は国際的に認められた規範を遵守している。すなわち、目視による識別、予測可能な編隊飛行、可能な限り明確な通信である。国際空域で合法的に飛行する外国機に対してレーダーロックオンを仕掛けることは標準的な慣行とは見なされない。これは意図的な圧力行使であり、こうした事案が発生するたびに各国は公式に抗議を申し入れるのが通例である。
》 AIデータセンターは迷惑施設 健康不安で怒る米住民、3.8兆円分阻止 (日経, 12/6)。へぇ。
住民はなぜデータセンターに反対するのか。
一つは大気汚染による健康被害への懸念だ。(中略) もう一つは電気と水の大量使用だ。 特に電気代の上昇は生活費に直結し反発が大きい。米ブルームバーグ通信によると、全米一のデータセンター集積地、東部バージニア州では8月の電気代が前年同月比で13%上昇した。実際に電気料金が上がってしまっていると。 迷惑施設であると。
米マイクロソフトは10月、米中西部ウィスコンシン州の農村カレドニアでデータセンターをつくる計画を撤回した。電気や水道のコスト増を地域に転嫁しないと誓い、デジタル研修の提供を約束したが、住民に根強い大気汚染や騒音への不安を払拭できなかった。そして実際に建設が阻止されていると。
地元への利益還元がまるでない施設なんだなあ。
PowerDNS Recursor
PowerDNS Security Announcement 2025-07 and 2025-08 regarding (oss-sec ML, 2025.12.08)。PowerDNS Recursor に 2 件の DoS を招く欠陥。 PowerDNS Recursor 5.1.9 / 5.2.7 / 5.3.3 で修正。
》 中国空母「遼寧」搭載のJ-15戦闘機が空自F-15戦闘機をレーダーでロックオンする威嚇行為 (JSF / Yahoo, 12/7)。まとまっている。 これまでも数々の下品な行動をしてきた中国海軍ですが、またかって感じ。 まあ、元凶は明らかに高市発言なわけですが。
関連:
中国軍機による自衛隊機へのレーダー照射について (防衛省, 12/7)
第一に、本年12月6日(土)16時32分頃から16時35分頃までの間 (中略)
第二に、同日18時37分頃から19時08分頃までの間 (後 略)特に 2 回目が、長いんだよね。31 分間。 これはさすがに、パイロットの個別判断とは思えないんだよなあ。
中国海軍艦艇の動向について (統合幕僚監部, 12/7)。12/6 当時の遼寧の位置。 こんな場所で J-15 が発艦したら、そりゃあスクランブルかけますわ。
中国海軍の空母艦載機が空自戦闘機に断続的にレーダー照射 “空対空”の照射は初公表 小泉防衛大臣「中国側に強く抗議」 (TBS, 12/7)
小泉防衛大臣、オーストラリア国防相と会談 「地域の平和と安定に向け毅然かつ冷静に対応」 中国軍のレーダー照射めぐり (TBS, 12/7)
中国、「中傷」やめるよう要求 レーダー照射巡り (AFP / Yahoo, 12/8)。そもそも、こんな場所で行うのが「通常の軍事演習」のわけないであろ。明確な示威行為。
「日本側が中国軍の訓練を妨害」レーダー照射めぐり中国が反発 「日本の“当たり屋”行為を許さない」との見出しで報道も (TBS, 12/8)
けさの中国共産党系の国際紙「環球時報」は、「日本の“当たり屋”行為を許さない」というタイトルでレーダー照射事案について報じていて、日本側の自衛隊機について「わざと近づいてきた」と主張しています。スクランブルしてきたんだから、接近して確認するのはあたりまえ。 これこそ通常の行動。
中国軍戦闘機レーダー照射に日本政府が抗議 「抗議受け入れずその場で拒否」中国外務省が明らかに (TBS, 12/8)
》 台湾有事は法的に存立危機事態になり得ない 元内閣法制局長官の警鐘 (朝日, 12/4)。宮崎礼壹氏。
》 無料の「Affinity」は“Adobe税”に苦しむデジカメ民を救えるか? 節税にはなるかも (ITmedia, 12/6)
つまるところ、AffinityはAdobe製品でいえば、Lightroomの代わりにはならないけど、Photoshop的に使うならけっこうイケるし、写真を素材としてチラシとかポスターとか小冊子とかWeb用のデザインなどを仕上げていくなら、おすすめ。
》 Cloudflare、約25分間のネットワーク障害の原因を説明し謝罪 (ITmedia, 12/7)。「Webアプリケーションファイアウォール(WAF)のボディ解析ロジックを変更したことが直接のきっかけ」。
》 EUがXにDSA違反で約217億円の制裁金、イーロン・マスク氏は「bullshit」と反発 (ITmedia, 12/8)
》 Wi-Fi HaLowの本領発揮は目前 850MHz帯拡張は最短で2026年春ごろ (Business Network, 12/8)。逆に言うと、今買うと損するぞ感があるなあ。 テストやノウハウ取得のためと割り切れるなら ok だろうけど。
ビート・クラフトはWi-Fi HaLowモジュールを搭載したRaspberry Piキットを販売し、草の根レベルからの認知拡大を図っている。これか: Raspberry Pi 802.11ah HAT (BC-11AH-A2: ASKEY社製モジュール搭載) (ビート・クラフト)。アマゾンで 8999 円。 関連:
BC-11AH-A/A2用設定済み起動イメージファイル2025.11 Release (ビート・クラフト, 11/25)。duty 比設定にも対応している。
BeatCraft BC-11AH-A (Raspberry Pi 802.11ah(HaLow) HAT) で Duty cycle を設定する (nara256 / quiita, 1/23)
なるべく通信を止めたくない場合
duty_cycle_window を1秒で設定すると、概ね「回線が許容出来る最大速度の1/10の速度」でずっと通信を継続させることができます。Raspberry Pi OS 64bit 版への Newrapeek のインストール (ビート・クラフト, 12/2)
Wireshark
フリーのパケットキャプチャーツール「Wireshark 4.6.2」が公開 ~2件の脆弱性を修正 (窓の杜, 2025.12.08)
Go
[security] Go 1.25.5 and Go 1.24.11 are released (golang-announce, 2025.12.03)。 2 件のセキュリティ修正を含む。 CVE-2025-61729 (CVSS v3.1 7.5 High)、 CVE-2025-61727 (CVSS v3.1 6.5 Medium)。
》 米国防長官、「シグナル」チャットで部隊を危険にさらした可能性 監視機関が指摘 (BBC, 12/4)。例のアレの件。
高官らは、民間アプリ「シグナル」のチャットグループで、目前に迫っていたイエメンの反政府勢力フーシ派に対する空爆を議論していた。このことは、ジャーナリストが誤ってチャットに追加されたことで初めて明らかになった。
維新党首
何が面白いって、吉村洋文が「飲み食い政治とは決別します」と宣言したその月に維新の連中が政治資金使って赤坂のスナックで飲み食いしてたってところですね。このオマヌケさんめ。 https://t.co/mp7nyw8Vhw pic.twitter.com/raj09BQMU0
— アームズ魂 (@fukuchin6666) December 3, 2025兵庫県知事
これ完全に民主主義の崩壊と言っていいぐらいの事を斎藤元彦はやってるぞ。
— 仁尾淳史 (@atsushi_mic) December 3, 2025
質問にも答えない、違う解答をする、挙句の果てには質問が終わっていないのに逃げるように退席する。
これ完全に斎藤元彦のやってる事は公開パワハラやでなんも治ってないがな。 https://t.co/iXgRPSgLGZ
》 AIで捏造した偽写真を使った「返金詐欺」が相次ぐ中国のネット通販事情 (カラパイア, 12/3)。ひでえ。
》 【重要】Rakuten TV 「購入コンテンツ」の販売および視聴終了に関するお知らせ (楽天, 12/1)。マジクソ TV。
》 SMART ICOCA解約は郵送必須。AndroidモバイルICOCAへの残高移行は不可能 (AndroGalaxy, 9/19更新)
》 「中国人がマンション買いあさり、外国人は国民健康保険料の未納が多い」 SNSのうわさをデータで検証したら (JCAST / Yahoo, 12/4)
2025年1~6月に海外に住む人が購入した23区内のマンションは、去年2倍になっているが、台湾192件、中国30件、シンガポール21件、香港15件で、決して"中国人が買いあさって"いるわけではない。転売率もわずか1.3%医療費の不払い (中略) 外国人分は1.5%の約13億円で、98.5%は日本人の未収 (中略)
「日本に住んでいる外国人の割合は大体3%ぐらいなので、外国人の方が日本人よりきっちり支払っている人が多いということになります」国民健康保険 (中略) 全加入者の4%が外国人で、支払われた医療費は総額8.9兆円のうち1240億円で1.4% (中略) 外国人はあまり保健医療を受診しておらず、外国人の保険料が日本人の医療費の支えになっている側面もある
》 電話でメールアドレスを聞き出し、偽サイトへ誘導──「ボイスフィッシング」被害が急増、警察庁が注意呼びかけ (ITmedia, 12/5)。AI のおかげか、日本でもふつうに vishing が行われる時代になってしまったようで。
》 「紛失防止タグ」の悪用を規制へ 改正ストーカー規制法が成立 (ITmedia, 12/4)
紛失防止タグを悪用したストーカー事案は2021年には3件だったが、24年には370件にまで急増している。GPS機器による追跡行為はすでに規制されていたが、タグ型の機器は対象外だった。
》 生放送にも“自動化”の波 AIカメラを使った「無人スタジオ」は人手不足を解消できるか (ITmedia, 12/5)
【悲報】買い時を逃したかも……。メモリ・SSD・HDDが高騰、原因はAI?価格推移をまとめてみた (PC Watch, 11/10)
改めて見返すとこの1年間において、メモリ、ストレージは2025年5月前後が一番お買い得な時期であった。2025年11月の価格上昇はあまりにも急激と言ってもよいが、それだけ在庫が枯渇状態ということだろう。AI需要は今後ますます高まるのは間違いない。メモリ価格が急騰中:2025年の値上がり原因と今後の見通し (AKIBAオーバークロックCafe, 11/15)
LPDDRが足りない AIブームで価格高騰 (EETimes, 12/1)
メモリがどれだけ値上がりしているか分かるグラフ、数カ月で3倍以上に値上げし自作PCも既製品も影響大 (gigazine, 12/4)
メモリ価格高騰の今、買うべきは32GBか64GBか?「16GBはもうキツイ」かも調べてみた (PC Watch, 12/5)
React.js 19.0 / 19.1.0 / 19.1.1 / 19.2.0 の
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
に RCE を招く欠陥 CVE-2025-55182。CVSS v3.1 10.0 (満点)。React.js 19.0.1 / 19.1.2 / 19.2.1 で修正。
React.js を使った Web アプリケーションフレームワーク Next.js にも影響があり CVE-2025-66478、 Next.js 15.0.5 / 15.1.9 / 15.2.6 / 15.3.6 / 15.4.8 / 15.5.7 / 16.0.7 で修正されている。
RCE in React Server Components (Next.js / GitHub, 2025.12.03)
関連:
React2Shell (CVE-2025-55182)。 震源地。
Update: Public Proof-of-Concepts
We are aware that a Proof-of-Concept has been developed and made public.
Update: A note on scanners (4 December 20:55 UTC)
We've seen some great scanners from the likes of Assetnote, which are very effective at detecting unpatched Next.js instances that use Server Components.
However, there's another nuance that we'd like to highlight: The day-0 protections from some providers are actually runtime-level, and not just WAF rules. So many customers with theoretically vulnerable versions are, to our knowledge, still protected.
We're aware of many submissions to Bug Bounty programs, etc. based on these scanner outputs, many of which may be false positives. Unfortuantely, at this point in time, we cannot share any methods to concretely identify with certainity if you are vulnerable. So when in doubt: patch!
Update: A note on invalid PoCs (4 December 03:25 UTC)We have seen a rapid trend of "Proof of Concepts" spreading which are not genuine PoCs.
Anything that requires the developer to have explicitly exposed dangerous functionality to the client is not a valid PoC. Common examples we've seen in supposed "PoCs" are vm#runInThisContext, child_process#exec, and fs#writeFile.
This would only be exploitable if you had consciously chosen to let clients invoke these, which would be dangerous no matter what. The genuine vulnerability does not have this constraint. In Next.js, the list of server functions is managed for you, and does not contain these.
Many of these "PoCs" have been referenced in publications, and even some vulnerability aggregators. We are concerned that these may lead to false negatives when evaluating if a service is vulnerable, or lead to unpreparedness if or when a genuine PoC surfaces.
「React」「Next.js」に重大なリモートコード実行の脆弱性、CVSSの基本値は「10.0」 (窓の杜, 2025.12.05)
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 (株式会社StoreHero / zenn, 2025.12.05)
React2Shell(CVE-2025-55182)への対応につきまして(2025年12月5日追記) (NVC, 2025.12.04)
2025.12.10 追記:
関連:
React Server Componentsの重大な脆弱性「CVE-2025-55182」: セキュリティ担当者が押さえるべきポイント (トレンドマイクロ, 2025.12.08)
React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 (piyolog, 2025.12.08)
Apache httpd 2.4.66 公開。セキュリティ修正 5 件を含む。 iida さん情報ありがとうございます。
SECURITY: CVE-2025-66200: Apache HTTP Server: mod_userdir+suexec bypass via AllowOverride FileInfo (cve.mitre.org)
SECURITY: CVE-2025-65082: Apache HTTP Server: CGI environment variable override (cve.mitre.org)
SECURITY: CVE-2025-59775: Apache HTTP Server: NTLM Leakage on Windows through UNC SSRF (cve.mitre.org)
SECURITY: CVE-2025-58098: Apache HTTP Server: Server Side Includes adds query string to #exec cmd=... (cve.mitre.org)
SECURITY: CVE-2025-55753: Apache HTTP Server: mod_md (ACME), unintended retry intervals (cve.mitre.org)
mod_md - Managing domains across virtual hosts, certificate provisioning via the ACME protocol というものがあるのですね。現時点では Experimental 扱いのようですが。
》 駿河屋、カード情報3万件超が漏えいか 8月公表の不正アクセスで (ITmedia, 12/4)
》 「スマートロッカーが開かない」──深夜の大阪駅で何が起きた? 通信障害の原因とユーザーが取るべき行動、運営元に聞いた (ITmedia, 11/28)
同社のロッカーには、イスラエルNayax製の決済端末(タッチパネル)が取り付けられている。ロッカーの仕様上、扉の遠隔操作などを行う本体側と、決済を行う端末側で、それぞれ異なる通信回線(SIM)を使用しており、本体側のSIMはSPACER社が、決済用のSIMはNayax社がそれぞれ調達している。
今回はこのうち、決済端末と決済用サーバ間の通信が不通となったことが、トラブルの原因だったとSPACERはみている。こんなところにもイスラエルですか。
》 ホロライブ所属・天音かなたさんが卒業 理由は“業務負荷の集中” 「解決には組織全体の仕組みの見直し必要」 (ITmedia, 12/2)
3つの引退理由として「当初想定された領域を大きく超える業務外のタスクが何度も発生したこと」「その結果、自分の活動が回らないほど負荷が集中する期間が続いたこと」「仕事の負荷による心身の状態から活動の継続が難しいと感じるようになったこと」を挙げた。(中略) 解決には組織全体の仕組みに見直しが必要であった。このため、健全な活動を続けることが難しいと天音さんは判断し、今回の発表へと至った。構造的な問題が存在し、解決はほぼ不可能と。
関連:
ツイート
にじさんじ的にライバーをどんどん増やせば、リターンもリスクも分散されて平準化されて属人性リスクは最小化する。ただこれは、若年層や女性層にも人気があるにじさんじだからできることで、ファン層が「ユニコーン」と呼ばれるアイドルファン層(高年齢男性層)が主体のホロライブでは難易度が高い
— kemofure (@kemohure) December 4, 2025「ホロライブ」「にじさんじ」の運営会社、時価総額の差4倍に 決算で見えた“属人性リスク” (ITmedia, 11/19)
》 米国でプライムビデオ解約祭りが勃発、引き金は日本アニメ「BANANA FISH」のAI吹き替え (Internet Watch, 12/4)
》 産経の“5本盗用”が映す、記事制作現場のいま (おたくま経済新聞, 12/3)
こうした事例は、実は産経だけで特別に起きているわけではありません。特に大手メディアほど、会社が把握しないまま他社の記事の著作権を侵害しているケースは、当人たちが気づいていないだけで、もはや珍しいものではありません。
背景には、ここ数年業界全体で起きている大幅なPV減少や広告単価の下落があります。PVを維持するために記事本数を増やし、同時にコストを抑える必要から、執筆や編集の一部を低単価で外部に委託する流れが加速しました。その結果、一本一本の制作に十分な時間を割けない構造が定着し、著作権への理解が十分でない人がライティングや編集を担う場面も増え、さらに内容を丁寧に確認する体制そのものも弱体化しています。特に小規模メディアである弊媒体は、「声を上げないだろう」と軽く見られているのか、盗用被害に遭う事態がいまだに年2~3回のペースで起きています。しかも相手はすべて大手です。都度連絡し抗議を続けてきたものの、相手は先述の通りその場しのぎの謝罪を口にするだけで、改善策を提示するわけでもなく、責任の所在を曖昧にしたまま逃げ回り、担当者をたらい回しにしてきます。
》 産経のネットメディア「エモグラム」で他社記事盗用 元記事コピー&語尾など改変 (ITmedia, 12/3)。「当該記事5本は同一の派遣スタッフが執筆したもの」 「当該の記事を含む一部の記事について社員が関与しないまま出稿されていた体制にも問題があった」。
》 サイバーセキュリティ、“侵入前提”はもう時代遅れ? 今再び「防御」に注目が集まるワケ (ITmedia, 12/2)
サイバーセキュリティの分野では、攻撃による実害(侵害やシステム停止など)が発生した瞬間を、爆発になぞらえて「Boom」(ブーム)と呼ぶ。近年、多くの企業が投資を集中させてきたのは、事案発生後の領域「Right of Boom」(ブームの右側)だった。それに代わって生まれているトレンドが「Left of Boom」(ブームの左側)、つまり事案発生前の防御への回帰だ。 (中略) Left of Boomの主眼は、自社のシステムに存在する脆弱(ぜいじゃく)性を攻撃者よりも先に見つけ出し、修正することにある。パッチを当てる、設定ミスを直す、認証を強化するといった管理を徹底し、攻撃者が付け入る隙を極限まで減らしていく。このLeft of BoomあるいはLeft of Leftを具体的に実践するための新しいフレームワークとして、米Gartnerなどが提唱しているのが「CTEM」(Continuous Threat Exposure Management:継続的な脅威エクスポージャー管理)という概念だ。 (中略) 従来のアプローチとCTEMの決定的な違いは、「ビジネス視点での優先順位付け」にある。技術者は「全ての脆弱性を修正したい」と考えがちだが、それは現実的に不可能だ。CTEMは「ハッカーが明日使ってくるかもしれない、ビジネスを止める穴」にリソースを集中するという発想だ。
》 Micronが消費者向けメモリ・ストレージ事業から撤退、CrucialブランドのメモリやSSDは2026年2月で出荷停止 (gigazine, 12/4)。定番ブランドが終了してしまう衝撃。
Crucialの終了について、The Vergeは「Crucialの終了は、AI企業からの需要急増に伴うRAM価格の高騰に悩まされているPCビルダーや愛好家にとって大きな打撃となるでしょう。例えば、OpenAIはSK HynixおよびSamsungと契約を結び、Stargateプロジェクト向けに月間最大90万個のDRAMを確保しています。このようなAI需要により世界的なRAM不足が深刻化しており、価格は高騰し続けています」と指摘しました。クソ AI 共のおかげで大打撃である。
》 Let’s Encryptが証明書の有効期間を45日間に短縮すると発表 (gigazine, 12/3)。iida さん情報ありがとうございます。
》 フィッシングの裏側:テレグラム地下市場の「信頼」と「サービス」 (Macnica セキュリティ研究センターブログ, 11/18)
》 台湾検察が東京エレクトロン子会社を起訴、TSMCの企業秘密を盗んだとして罰金6億円を請求 (gigazine, 12/3)
》 【検証】 アメリカ政治のアカウントの拠点がインドに……Xの位置情報機能で明らかになったこと (BBC, 11/26)
》 女性に配慮したAEDの使用方法について (東京都多摩府中保健所, 2023.05.16)
AEDは電源を入れて2枚のパッドを素肌に貼りますが、服をすべて脱がせる必要はなく、下着をずらして貼ることで対応できます。また、パッドを貼ったあと、 その上から服などをかけて肌を隠すようにしても、AEDの機能に影響はありません。
》 インドネシアやタイなどの東南アジア各国に豪雨をもたらした熱帯低気圧「センヤール」の発生は、通常は台風が発生しない赤道近辺。「従来の常識」を超える気候変動が要因の一つに(RIEF) (RIEF, 12/1)
今回の各国での被害は、タイ南部(被災者数約300万人)、インドネシア西部(同110万人)等に集中している。これらの赤道近接地域ではこれまで、「稀な」熱帯低気圧やサイクロンに被災する経験が少ないことから、それらへの備えも不十分だった可能性が高い。インドネシア気象庁は被災地域の自治体と住民に対し「災害」への備えを呼びかけたとするが、住民も自治体も、どう対応していいかわからなかったのかもしれない。関連:
タイ南部で「300年に一度」の豪雨 東南アジア各国でも洪水被害 (BBC, 11/27)
インドネシア、大洪水の死者500人超す 行方不明も500人以上 (BBC, 12/1)
スリランカ、洪水と土砂崩れで死者330人超 非常事態を宣言 (BBC, 12/1)
東南アジア・南アジアを襲う豪雨、洪水や土砂崩れでの被害拡大 (BBC, 12/2)
》 Appleがインド政府による国営アプリのプリインストール命令を拒否 (gigazine, 12/3)
》 IPカメラ12万台以上をハッキング、性的搾取映像を作成した疑い 韓国で4人逮捕 (BBC, 12/2)
うち1人は、カメラ6万3000台をハッキングし、性的搾取ビデオ545本を作成。それらを販売し、3500万ウォン(約370万円)相当の仮想資産を得ていたとされる。
別の1人は、カメラ7万台をハッキングし、ビデオ648本を売って、1800万ウォン相当の資産を得ていたとされる。
この2人の容疑者は、IPカメラのハッキング映像の違法配信サイトに過去1年間に投稿された動画の、約62%に関わっていたとみられている。
》 Meet Rey, the Admin of ‘Scattered Lapsus$ Hunters’ (Krebs on Security, 11/26)。DeepL 訳:
信じがたいことに、レイは昨年、一連の重大な運用上のセキュリティミスを犯し、それが彼の実際の身元と居場所を特定・確認する複数の手段を提供することになった。レイの正体がどのように暴かれたのか、その経緯を以下で明らかにする。
各種 ICS
CISA Releases Five Industrial Control Systems Advisories (CISA, 2025.12.02)
- ICSA-25-336-01 Industrial Video & Control Longwatch
- ICSA-25-336-02 Iskra iHUB and iHUB Lite
- ICSMA-25-336-01 Mirion Medical EC2 Software NMIS BioDose
- ICSA-25-201-01 Mitsubishi Electric CNC Series (Update A)
- ICSA-23-157-02 Mitsubishi Electric MELSEC iQ-R Series/iQ-F Series (Update C)
Django
Django CVE-2025-13372 and CVE-2025-64460 (oss-sec ML, 2025.12.02)。 Django 5.2.9 / 5.1.15 / 4.2.27 で修正。
Kubernetes
[kubernetes] CVE-2025-13281: Portworx Half-Blind SSRF in kube-controller-manager (oss-sec ML, 2025.12.01)
CUPS
CVE-2025-64524 cups-filters: Heap Buffer Overflow in rastertopclx Filter Leading to Potential Arbitrary Code Execution (oss-sec ML, 2025.11.20)
CVE-2025-58436 cups: Slow client communication leads to a possible DoS attack (oss-sec ML, 2025.11.27)
CVE-2025-61915 cups: Local denial-of-service via cupsd.conf update and related issues (oss-sec ML, 2025.11.27)
X.Org xkbcomp
FW: X.Org Security Advisory: multiple security issues in xkbcomp (oss-sec ML, 2025.12.03)。xkbcomp 1.5.0 で修正されている。
Windows 版 Vim
[vim-security] A Windows uncontrolled search path vulnerability affects Vim < 9.1.1947 (oss-sec ML, 2025.12.02)。いまだにこの手の問題があったとは。
Array AG シリーズの「DesktopDirect機能」にコマンドインジェクションを許す欠陥があるそうで。 2025.05 リリースの ArrayOS AG 9.4.5.9 で修正済だそうだが、 国内攻撃事例を 2025.08 以降に確認しているそうで。
攻撃時期:2025年8月以降
攻撃内容:webshell設置※、同製品上で新規ユーザー作成、同製品経由での内部侵入など
攻撃痕跡:攻撃通信の送信元IPアドレス
- 194.233.100[.]138本件、https://support.arraynetworks.net/prx/001/http/supportportal.arraynetworks.net/appnotes.html にある「Array Networks Security Advisory: Enhance DesktopDirect Security」 のことかなあ。 要認証のため読めないのですが。
Chrome 143.0.7499.40 (Linux) および 143.0.7499.40/41 (Windows, Mac) が stable に。13 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.12.02)。Chrome 143 (143.0.7499.52) for Android。 上記と同様のセキュリティ修正を含む。
Chrome Stable for iOS Update (Google, 2025.12.02)。Chrome Stable 143 (143.0.7499.92) for iOS。 セキュリティ修正状況は不明。
》 中国が約2000機のドローンを台湾上空に飛ばしてStarlinkへのアクセスを遮断する大規模電子戦をシミュレーションしている (gigazine, 11/27)
》 OpenAIはすさまじい金食い虫で2030年までに少なくとも32兆円を調達する必要ありとの声 (gigazine, 11/27)
》 鳥インフルエンザウイルスは高温耐性があり人類にとって重大な脅威となる (gigazine, 11/28)
人間の間で流行するインフルエンザウイルスは約33℃の上気道で増殖しやすい一方、約37℃の下気道では増殖しにくいことがわかっています。一方、鳥インフルエンザウイルスは下気道で増殖しやすい傾向があり、アヒルやカモメといった自然宿主の場合は40℃~42℃に達する腸管が感染部位となる事例が多く確認されています。そして、培養細胞を用いた先行研究により、鳥インフルエンザウイルスはヒトの発熱時の体温に耐性を持つことがすでに示されています。今回は培養細胞ではなくマウスで実験。やはり発熱による高温への耐性を確認。
》 悲報。NANDウェハー契約価格が大幅に値上がり。60%超えも。SSD価格に大きな影響 (ニッチなPCゲーマーの環境構築Z, 12/2)
》 絶望。メモリ価格の高騰はまだ始まったばかり。TeamGroupのGMが警告。前月比で100%値上げするメーカーも (ニッチなPCゲーマーの環境構築Z, 12/2)
》 「SNSデトックス」1週間の18~24歳、不眠、不安、抑うつを15~25%軽減、米研究 (新聞紙学的, 12/1)
》 チャットGPTなど対話型AI「10代のメンタルヘルスに安全ではない」、米NPO・スタンフォード大調査 (新聞紙学的, 11/25)
》 SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya (JPCERT/CC, 11/18)
》 IPA ★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集 (2025.11.27) (まるちゃんの情報セキュリティ気まぐれ日記, 12/1)
》 私物PCのマルウェア感染起因とみられる業務利用Slackへの不正ログイン事案についてまとめてみた (piyolog, 11/28)
》 Ubuntu 14.04 LTSへの15年サポート・DNSSECのデフォルト化テストと失敗・Ubuntu 25.10リリース記念オフラインミーティング25.11 (gihyo.jp, 11/14)
》 L3 DNSにおける最近の変化―『DNSがよくわかる教科書 第2版』発行に寄せて~ランチのおともにDNS~(「Internet Week 2025」での発表資料) (JPRS, 11/26)
【独自】防空ミサイル輸出検討へ 政府、フィリピンと非公式協議 (共同, 11/30)
ツイート。
陸自の中距離防空システムのうち未だ半数がホークらしく、そして無印中SAMの改型への更新も控えている中でフィリピンへの03中SAM輸出となると非常に悩ましい
— Dagon (@deepone5950) November 30, 2025
ホークと無印中SAM更新をしつつ並行輸出となると03中SAM改の生産数を2倍に増やさないとダメでは?
三菱電機ちゃん、辛いけど生産倍いける? https://t.co/sqJLidk4Jv pic.twitter.com/EpkyBnYTufホークまだおったんか……。
ホーク (ミサイル) (ウィキペディア)、 配備部隊・機関 (ウィキペディア)。 まだ 10 個高射中隊がホークですか。
地対空誘導弾 改良ホーク (改善Ⅱ型・Ⅲ型) (陸自調査団)
見納めか? 自衛隊で60年現役の「ベテランミサイル」射撃シーン動画で公開「スゴイ白煙!」 (乗りものニュース, 10/7)
なお、2024年(令和6年)度予算に「ホーク」の廃止が盛り込まれたため、まもなく東北地方や北海道からも姿を消す模様です。ホーク用廃の目処が立ったので中 SAM 輸出、ということなんですかねえ?
》 高額報酬で騙されウクライナの戦場に送られた南アフリカ人が救助要請 アフリカで広がるロシアの“悪評” (六辻彰二 / Yahoo, 12/2)
》 スーダン軍政が紅海港を25年ロシアに賃借し兵器供与要求 (Chosun Biz JP, 12/2)。from WSJ。いよいよ実現のようです。関連:
スーダンにロシア海軍基地設置を計画 モスクワでの外相会談で「相互理解に達した」 (産経, 2/12)
ロシアのアフリカ進出から浮かぶ“火事場戦略”――内戦が続くスーダンでの海軍基地建設計画とは (六辻彰二 / Yahoo, 2024.06.30)
》 健康保険「資格確認書」が届かない? Web交付という可能性も (ITmedia, 12/1)
例えば、多くのIT企業が加盟する関東ITソフトウェア健康保険組合は、いわゆる紙の資格確認書を発行していない。理由は事務部門の負担増を避けるため。代わりに電磁的に交付する仕組みを採用した。(中略) マイナ保険証の利用登録をしていないのに資格確認書が手元に届いていない場合は、該当する健康保険組合のWebサイトなどを確認したい。
》 AIによるサイバー攻撃の民主化をUnit 42が警告 無料の「KawaiiGPT」巡り (ITmedia, 12/1)、 AIのデュアルユースのジレンマ:悪意あるLLM (paloalto networks Unit 42, 11/25)
KawaiiGPTの成功は、類似の他のツールの不透明で高価なダークウェブ販売モデルとは対照的に、アクセシビリティとシンプルさの上に築かれています。以下の図8に示すようにGitHubで無料で入手でき、その軽量なセットアップは簡単であるように設計されており、私たちのテストでは、ほとんどのLinuxオペレーティングシステムで構成と実行に5分もかかりませんでした。攻撃の主要フェーズのコードを生成するKawaiiGPTの基本的な能力は、ラテラルムーブメント(横展開)に関するプロンプトへの応答によって実証されています。このモデルは、図10に示すように、SSH Pythonモジュールであるparamikoを使用して、ネットワーク侵害のための機能的なブループリントを提供します。
結果として得られるスクリプトは、非常に斬新な機能を導入しているわけではありませんが、ほぼすべての成功した侵害における標準的かつ重要なステップを自動化します。生成されたコードは、正規のユーザーとして認証し、攻撃者に新しいターゲットマシンへのリモートシェルを与えます。
SSHセッションが確立されると、後続の execute_command 関数が client.exec_command(command) を使用してエクスプロイトフェーズを開始します。この機能により、攻撃者は以下を含む任意のコマンドをリモートで実行できます:
- 権限昇格
- 偵察ツールの実行
- 永続的なバックドアのインストール
- 機密ファイルの収集
- ネットワーク上の他のシステムに対するさらなる攻撃の開始
Advantech WebAccess/VPN
Multiple Vulnerabilities in Advantech WebAccess/VPN (Versions ≦ 1.1.4) (Advantech, 2025.10.31)。 WebAccess/VPN 1.1.5 で修正。
unbound
Unboundの脆弱性情報が公開されました(CVE-2025-11411) (JPRS, 2025.12.01)
Unbound 1.24.2 released (nlnetlabs.nl, 2025.11.26)
FreeBSD-SA-25:10.unbound: Cache poison in local-unbound service (FreeBSD, 2025.11.26)
Android
Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も (窓の杜, 2025.12.02)
Wireshark
Wireshark 4.6.1 Release Notes (Wireshark, 2025.11.19)
PostgreSQL
PostgreSQL 18.1, 17.7, 16.11, 15.15, 14.20, and 13.23 Released! (postgresql.org, 2025.11.13)
pgAdmin
pgAdmin 4 v9.10 Released (postgresql.org, 2025.11.17)
》 【写真大量】まるで万里の長城 高知に現れた巨大堤防…「三重防護」進む (高知新聞, 11/28)。こんなんなってるんですね。