Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 クローズアップ現代 ホルムズ海峡“封鎖” 長期化で何が? (NHK, 3/31)。ようやく見たのですが、よい番組ですね。
そもそも絶対量が足りてない、 上流企業が対応として減産してしまっているため下流の影響は避けられない、 ことがよくわかります。 政府のプロパガンダと現場との乖離がすごい。
見のがし配信は本日 4/7 19:57 までだそうです。
関連: ナフサ、高市首相「在庫4カ月」で安心? 状況改善でも一部化学品は不足 (日経, 4/7)
目詰まりが顕在化している事例の一つがシンナーだ。建設や自動車など向けの塗料の希釈液として使われ、用途ごとに複数の化学品を混ぜ合わせる。材料が1つでも欠けると製造は難しく、日本ペイントホールディングスは「原料逼迫で自助努力ではどうしようもない」と嘆く。
足元では原油やナフサの調達難で、シンナーの主要材料であるトルエンやキシレンの生産も減っているもようだ。日本ペイントはシンナー製品全般で75%、関西ペイントも50%以上の値上げを決め、出荷制限も一部始めた。シンナーを調達しインキを手がけるartience(アーティエンス)はシンナーなど溶剤の「納入時期が遅延し見通しが不透明になっている」と話す。ナフサ価格が更に上がり価格転嫁が進んだ場合、石油化学コンサルタントの柳本浩希氏は「加工メーカー側が高値の材料を買うことができず、生産できない可能性も出てくる」と指摘する。
》 マレーシア船、ホルムズ海峡を無事通過 (ロイター, 4/7)。オーシャン・サンダー Ocean Thunder。
イラク産原油タンカー、ホルムズ海峡通過のもよう-供給不安続く中 (ブルームバーグ, 4/6)。イラン「安全回廊」を通過。
OCEAN THUNDER Crude Oil Tanker IMO: 9416422 (marinetraffic.com)
》 RQ-180’s Likely Role Over Iran Foreshadowed By Secret Cold War Stealth Drone Program (The War Zone, 4/6)
》 Everything We Now Know About The Operation To Rescue The F-15E WSO (The War Zone, 4/6)
》 How Pakistan’s solar boom is shielding it from worst of Iran war crisis (aljazeera, 4/7)。パキスタンで太陽光発電が大ブームだそうで。 DeepL 訳:
しかし、アナリストによると、その恩恵を受けているのは主にパキスタンの中流階級の上層や上流階級の人々だという。太陽光発電システムの導入にかかる初期費用は、システムの規模やバッテリーの種類によって、数十万ルピーから100万ルピー以上にも及ぶ。経済的に恵まれないパキスタン人にとって、その費用は手が出ない額だ。
》 アングル:ホルムズ海峡封鎖で中東産油国に明暗、イラクに打撃 サウジは恩恵 (ロイター, 4/7)
》 エンドツーエンド暗号化が売りのスイス製メッセージングアプリに「斜め上の欠陥」が? (やじうま Watch, 4/3)。TeleGuard。キーエスクローが売り……というわけではないようで。
》 Geminiに特定の漢字を繰り返し出力させると暴走、無関係な文章を出力する現象が話題に (やじうま Watch, 4/6)。 Geminiの「証拠」プロンプトで奇妙なハルシネーション連発 (twitter) では、バグというより仕様では? という声も。
》 Wi-Fi対応でリモート接続がカンタンなIP KVM登場! GL.iNet「Comet Pro(GL-RM10)」 (Internet Watch, 4/6)。 4社のメーカーのIP-KVMに脆弱性があることが明らかに (2026.03.18) で問題とされた件はファームウェア 1.8.2 で修正されている模様。 指摘されたのは GL-iNet Comet (GL-RM1) だが Comet Pro (GL-RM10) も同様のように見える。
》 イランの攻撃でAWSのドバイとバーレーンのリージョンが「完全にダウン」状態、Amazonは長期間にわたって利用不可になるとの見通しを示す (gigazine, 4/6)
》 オープンAIの動画生成「ソラ」、開発断念した舞台裏 (Wall Street Journal, 4/1)
世界ユーザー数は公開直後に約100万人を記録した。だが二度とその水準に戻ることはなかった。シミラーウェブのデータによると、続く数カ月で50万人を割り込むまでに減少した。
事情に詳しい関係者らによると、ソラは1日に約100万ドルの赤字を出していた。オープンAIは、開発中の新しい「スーパーアプリ」に軸足を移す予定だ。 (中略) このような生産性を向上させる製品は、職場で広く採用されつつあり、オープンAIは今のところ、この市場のシェアで競合するアンソロピックに後れを取り、AI競争をリードする立場が危ぶまれている。
》 イラン 一時的停戦を拒否「恒久的な戦闘終結が必要」 アメリカからの提案に対し (TBS, 4/7)。イランからすりゃ、そりゃそうだわなあ。 関連:
Trump Says Iran Proposal Isn’t Enough to Stop Attacks on Bridges and Power Plants (NYTimes, 4/6)
Iran’s 10-Point Proposal Demands an End to Attacks and Sanctions (NYTimes, 4/6)
ホルムズ海峡の支配、イラン戦争の勝者を決める (Wall Street Journal, 4/3)
イラン政府は実際のところ、ホルムズ海峡について極めて野心的な計画を発表している。イラン議会の国家安全保障委員会は、通過する船舶に通航料の支払いを義務付け、非友好国をペルシャ湾から締め出す新法案をすでに承認。これはイラン政府が欧州諸国や日本などに対イラン経済制裁の解除を強制し、同時に米海軍を湾岸海域から恒久的に追放する手段となる。
同委員会のエブラヒム・アジジ委員長は、「(ドナルド・)トランプ米大統領はついに体制交代の夢を実現したが、それは地域の海洋体制における交代だ。ホルムズ海峡は確実に再開されるが、米国のためではない。イランの新法に従う者のために開かれる」とした。強固なイラン体制、忠誠と引き換えに経済的便宜 (Wall Street Journal, 3/30)
原油価格 一時114ドル台に 約3年10か月ぶりの高値で取引終了 トランプ大統領による“イラン攻撃警告”受け (TBS, 4/7)
Windows に 0-day 欠陥。local user が SYSTEM 権限を取得できる。 PoC が公開されている。
FortiClient の統合管理・配布サーバー FortiClient EMS 7.4.5〜7.4.6 に 0-day 欠陥。認証・認可を回避できるため、remote から無認証で任意のコード・コマンドを実行できる。 FortiClient EMS 7.2 系列にはこの欠陥はない。 CVE-2026-35616。
FortiClient EMS 7.4.5 / 7.4.6 用の hotfix が用意されている。また 7.4.7 (未リリース) で修正される予定。
「Google Chrome 146」には脆弱性の修正も ~深刻度「Critical」を含む29件に対処 (2026.03.12)
Chrome 146.0.7680.177/178 for Windows / Mac および 146.0.7680.177 for Linux が 2026.03.31 付で公開されています。 0-day 欠陥 CVE-2026-5281 への対応を含みます。
Stable Channel Update for Desktop (Google, 2026.03.31)
Chrome for Android Update (Google, 2026.03.31)。Chrome 146 (146.0.76380.177) for Android。
「Microsoft Edge」にゼロデイ脆弱性、WebGPU実装「Dawn」の欠陥を突く攻撃が確認 修正版のv146.0.3856.97が展開中、できるだけ早い適用を (窓の杜, 2026.04.06)。 CVE-2026-5281 対応。
4社のメーカーのIP-KVMに脆弱性があることが明らかに (2026.03.18)
GL-iNet Comet (GL-RM1)、ファームウェア 1.8.1 でも直っていなかった 2件 CVE-2026-32290 CVE-2026-32291 は ファームウェア 1.8.2 で修正された模様。
- Enhanced access security: Serial port login now requires password authentication (defaults to the firmware password) to prevent unauthorized access and protect device security.
- Firmware signature verification: Added firmware signature to ensure firmware integrity and authenticity.
RFC8628 - OAuth 2.0 Device Authorization Grant (IETF, 2019.08) の仕組みを悪用した「デバイスコードフィッシング」が流行っているという話。 DeepL 訳:
OAuth 2.0のデバイス認証グラントは、入力機能が制限されたデバイスでも、ユーザーに別のデバイスでコードを入力してログインを完了してもらうことで、アプリへのサインインを可能にするために設計されました。しかし現在では、主にCLIツールにアクセスする際に使用されており、多くのユーザーが日常的にこのデバイスコードフローを利用しています。うひ〜 CLI。
前述の通り、今年はデバイスコードを標的としたフィッシング攻撃が急増しており、複数のキット、ページデザイン、および餌の種類が確認されています。実環境で流通しているキットは10種類確認されており、中でもEvilTokensが最も多く見られます。攻撃者が独自のキットを開発するだけでなく、既存のキットを基に独創的な派生版を作成していることは明らかです。攻撃ツールもいっぱいと。
理想を言えば、デバイスコードによるログインを単純にブロックすればよいのですが、環境によっては重大な混乱を招く恐れがあり、また一部のアプリでは、そのためのツールが提供されていない場合もあります。例えば、GitHubではデバイスコードがデフォルトのCLIログイン方法となっています。開発者が多い組織では、正当な利用がより多く見られる傾向があります。
Microsoftは(最初からこの機能を無効にしているGoogleを除けば)おそらく最も強力な制御オプションを提供していますが、その設定にはかなりの手間がかかります。 Microsoftは現在、過去25日間この機能を使用していないテナントに対して、デバイスコードフローをブロックすることを明示的に推奨しています。その指針として、カスタムCAポリシーを作成することが推奨されています。無効にできる部分があればそうしろと。
関連:
図解デバイスフロー(RFC 8628) (quiita, 2020.04.12) 。RFC8628 の説明。わかりやすい。
》 高市首相「長期化見据え判断」 エネルギー節約呼び掛け―参院予算委 (時事, 4/6)
参院予算委員会は6日、高市早苗首相と関係閣僚が出席し、「内外の諸課題」をテーマに集中審議を行った。首相は中東情勢悪化を踏まえたエネルギー節約の呼び掛けについて「(事態の)長期化も見据え、あらゆる可能性を排除せず、臨機応変に対応する」と述べ、需給の状況次第であり得るとの認識を示した。事ここに至るも、とりあえず何もしないと。 ホワイトハウスでタコ踊りするだけの事はある鈍感さよ。
関連: 【速報】日・イラン首脳会談を調整 高市総理「段取りをつけている」 国会で表明 (テレ朝 / Yahoo, 4/6)。具体的に何を交渉しているのかは不明。 成果も不明。 何もなさそうなのだが。
》 イランで撃墜された米軍機、高山に潜伏した乗員の発見に総力を賭けた米軍とCIAの救出作戦 (CNN, 4/6)。墜落した F-15E の兵装システム士官 (WSO) 救出作戦の件。
イラン辺境地にある飛行場では、米軍のMC130J特殊作戦機2機が特殊部隊と救出された乗員を出国させるために待機していたが、作戦の途中で損傷した。
このため米軍は代替機の派遣を決め、損傷した2機についてはイランに奪われるリスクを考慮して爆破することにした。MC-130J 2 機を喪失?! これはまた大変な事態だなあ。 関連:
F-15E Weapon Systems Officer Shot Down Over Iran Has Been Rescued (Updated) (The War Zone, 4/5)。DeepL 訳:
ニューヨーク・タイムズ紙によると、この作戦では敵地内に複数の輸送機を着陸させた。そのうち2機(おそらくMC-130J)が前線飛行場で動けなくなり、さらに3機が派遣され、そこで足止めされていた米軍部隊を回収しなければならなかった。これらの機体は敵の手に渡らないよう、その場で破壊された。
(中略)
イランの準国営メディアは、地上に2機のC-130が写っていると思われる画像と、その現場から立ち上る濃い黒煙を捉えた画像を公開した。Downed U.S. Air Force Officer Rescued Deep Inside in Iran, Trump Says (NYTimes, 4/4)
How the C.I.A. Helped Locate a U.S. Airman Hiding on an Iranian Ridgeline (NYTimes, 4/5)
2026 United States pilot rescue operation in Iran (Wikipedia)
戦闘機F15E墜落現場に円形のくぼみ 衛星画像で確認 (CNN, 4/6)
撃墜された米戦闘機乗員救出現場周辺の道を精密に破壊した痕跡 衛星画像で明らかに (CNN, 4/6)。脱出支援 (敵側接近阻止) のための爆撃痕ではという記事。
》 米軍ガトリング砲、イランのシャヘド無人機に突破を許す 「最後の防空手段」飽和攻撃に不安 (Forbes, 4/5)。CIWS / C-RAM vs Shahed 136。
C-RAMの弾倉容量は1500発となっている。一見多いように思えるが、1回50発の1秒間の連射でも30回分、より速い発射速度なら2秒間の連射10回分にしかならない。再装填は手作業で行われ、27kg前後の弾薬箱15個を使い、完了までに30分ほどかかるとされる。
M940の取得価格は1発あたり168ドル(約2万6800円)なので、150発の連射1回の弾薬コストはざっと2万5000ドル(約400万円)という計算になる。これはシャヘド1機の価格とだいたい同じだ。
(中略)
これまでに確認されている状況から判断すると、C-RAMがドローンの迎撃に成功するには数秒を要するようなので、弾倉内の弾がいったん尽きるまでに撃墜できるのはせいぜい4〜5機程度かもしれない。イランがシャヘドの波状攻撃を仕掛けていることを踏まえると、当該施設の最後の防御手段としてC-RAM1基では不十分になるおそれがある。レーザー兵器が期待される所以。弾切れがない = 低コスト。
》 自衛隊初の「攻撃用ドローン」はオーストラリア製が落札 イスラエル製は入札不参加 約310機、36億円超 (東京, 2/18)。「小型攻撃用UAV I型」の件。
同庁によると、落札された機種は豪ディフェンドテックス社製の「Drone40」。入札には、この機種で丸紅エアロスペース(東京都千代田区)の1社だけが参加し、1回目で落札した。落札金額は36億8016万円。約310機を調達する。納期は2027年5月末単純計算で 36,8016 / 310 = 1,187 万円。 ウクライナの人達にハイパーびっくりされそうな値段だなあ。 関連:
自衛隊初の小型攻撃ドローンにDrone40、取得コストは1機1,000万円超え (航空万能論 GF, 2/22)
DefendTexは2016年のArmy Innovation DayでDrone40を初めて展示し、豪国防省からの資金提供を受けて本格的な開発が進められ、2019年頃から複数の国(米軍、オーストラリア軍、ニュージーランド軍など)でテストが行われ、英陸軍が国連任務部隊向けの偵察用として採用(数百機)し、豪メディアの7NEWSが2022年8月「オーストラリア製の徘徊型弾薬=Drone40をウクライナに提供するためポーランドでテストが行われている」「出来るだけ早く300発のDrone40をウクライナに引き渡す」と報じたが、ウクライナでDrone40が活躍したという報告は確認されていない。
(中略)
結果論から言えば「40mmグレネードランチャーから発射可能な小型ドローン」というコンセプトは死んでしまった可能性がある。ウクライナ戦争以前の製品って感じ。 今は FPV ドローン大流行中なのでねえ。
《ニュース解説》陸自が導入を急ぐ「小型攻撃用UAV」とは? (Jディフェンスニュース, 2025.01.26)。 IAI の Point Blank や Rotem L、 AeroVironment の Switchblade は入札に来てくれなかったと。
防衛力抜本的強化の進捗と予算 令和8年度予算案の概要 (防衛省, 2025)。 ポンチ絵では 「小型攻撃用UAVI型(イメージ)」は Point Blank っぽい奴、 「小型攻撃用UAVⅡ型 (イメージ)」は HERO 120 っぽい奴、 「小型攻撃用UAVⅢ型 (イメージ)」はなんだか Shahed 136 っぽい奴なんだよね。 米軍も Shahed っぽい FLM136 をつくってるしなあ。
しかし、ウクライナのドローン戦訓は、 自前で作ってひたすら改良し続けないと勝てない、 だと思うんだけどなあ。 他所から買ってくる時点で負け。
》 米同盟国の中でAIM-260の初取得は豪州、米議会の輸出審査をクリア (航空万能論 GF, 4/6)
未だにオーストラリア以外へのAIM-260 JATM売却話は登場しておらず、これはF-22やF-35よりもF/A-18E/FへのAIM-260A統合が先行している=初期運用能力の獲得に近い位置にあると示唆しているかもしれない。
》 購入済みでも起動不可……語学ソフト「ロゼッタストーン」日本版、サービス終了へ (ITmedia, 4/6)。またソースネクストか。
》 AIの誤情報を疑うことなくそのまま受け入れる「認知的降伏」という状態に多数の人が陥っていることが明らかに、1372名の参加者と9000回以上の実験で (gigazine, 4/6)
》 アングル:イランはホルムズ海峡封鎖解除せずと米情報機関 威力は「核兵器以上」 (ロイター, 4/6)。ペルシャ湾・ホルムズ海峡の制海権を渡してしまったわけで。
紛争予防団体である「国際クライシス・グループ」のイラン・プロジェクト・ディレクター、アリ・バエズ氏は「米国はイランによる大量破壊兵器の開発を阻止しようとして、『大量妨害兵器』を手渡してしまった」と言い切った。
バエズ氏によればイランは、海峡の要衝を握ることで世界のエネルギー市場を左右する自国の能力が「核兵器よりもはるかに強力である」ことを理解している。だよなあ。今のところ、戦略的に勝っているのはイランだよね。
》 マクロスコープ:中東ショック、全業種に波及 「赤字転落」相次ぐ恐れ (ロイター, 4/6)
》 Iran, US receive plan to end hostilities, immediate ceasefire, source says (Reuters, 4/6)。停戦は実現するのか?! DeepL 訳:
4月6日(ロイター) - 提案の内容に詳しい情報筋が月曜日に明らかにしたところによると、イランと米国は、月曜日に発効し、ホルムズ海峡の航行を再開させる可能性のある敵対行為停止計画を受け取った。
(中略)
この提案によれば、停戦は直ちに発効し、ホルムズ海峡が再開されるほか、より広範な和平合意の最終調整に15~20日間が設けられる。暫定的に「イスラマバード合意」と呼ばれるこの合意には、同海峡に関する地域的な枠組みが含まれ、最終的な対面協議はイスラマバードで行われる予定である。関連: イランと米国、停戦・最終合意の2段階紛争終結案を受領 6日に合意する必要=関係筋 (ロイター, 4/6)
》 OpenSSH 10.3/10.3p1 リリースノート (OpenSSH.com, 4/2)。「比較的軽微なセキュリティ修正」を含む。
》 Claude Code の流出したソースコードを GitHub に公開した人が著作権違反を回避した方法がヤバすぎ (LostMyCode / qiita, 4/1)
同じリポジトリをPythonで完全リライトして再公開したのです。 (中略) しかもこのリライト作業は数時間で完了。AIエージェントに投げて「Claude CodeをPythonで再実装せよ」と指示しただけで終わったと言われています。 (中略)
このPython版は今も生き残っており、スター数も爆速で伸び続けています。
》 イランが4月1日から中東地域において暗殺1件ごとにアメリカ企業1社を標的にすると発表、Apple・Google・Intel・Meta・Microsoft・NVIDIAなど (gigazine, 4/2)
攻撃計画にはアメリカのテック・AI企業の製品が用いられているとしてまあ実際そうなのだろうけど、標的とざれた各社に温度差はありそうなんだよな。
あれっイランは Internet 閉鎖してなかったっけ? tasnimnews.ir has address 5.172.177.212 ? トルコですか。
》 量子コンピューターが「仮想通貨を保護する暗号」を想定よりはるかに少ないリソースで解読できるとGoogleの研究者が警告 (gigazine, 4/2)
ビットコインをはじめとするほとんどのブロックチェーン技術や仮想通貨は、セキュリティの重要な側面において、「ECDLP-256」という楕円曲線上の離散対数問題を基礎にした楕円曲線暗号に依存しています。
今回Googleの研究チームは、ECDLP-256に対するショアのアルゴリズムを実装する量子回路を2つ設計しました。新たに設計された回路の実行に必要な物理量子ビット数は50万個未満と推定されており、従来のわずか20分の1に削減できたとのこと。
》 【更新】NASAが有人月ミッション「アルテミスII」のSLSロケットを打ち上げ (sorae, 4/2)。とりあえずおめでとうございます。
ミッション2日目となる日本時間2026年4月3日には、いよいよOrion宇宙船のエンジンを用いた月遷移軌道投入(TLI)が実施される予定です。アルテミス III 以降についてはこちらを。予定がかなり変わってます。
NASAが月・惑星探査などの新たな方針を発表 月面基地を重視し原子力も活用へ (sorae, 3/25)
オリオン宇宙船については Orion Reference Guide が詳しいっぽい。
Orion Spacecraft (NASA)
Orion Reference Guide PDF Version (NASA)。ft に lbs に °F。これだからアメリカは。 SI を使おうよ
オリオン (宇宙船) (ウィキペディア)
》 「Google ドライブ」でランサムウェアの検出およびファイルの復旧機能が一般提供開始 (窓の杜, 4/1)
》 Microsoft、Windows 11全バージョンとWindows 10からコマンドラインツール「WMIC」を正式削除 (ebisuda.net, 3/31)
Microsoftは代替手段として、PowerShellおよび**Windows Management Instrumentation(WMI)**をPowerShell経由で利用することを推奨している。PowerShellはWMIクラスへのアクセスを Get-WmiObject や Get-CimInstance コマンドレットで提供しており、従来のコマンドラインと同等以上の機能を持つ。
》 Windows 11の2026年3月プレビューパッチに問題 ~Microsoftが修正パッチを緊急公開 (窓の杜, 4/1)。Windows 11 25H2 / 24H2 用プレビュー更新プログラム KB5079391 に 0x80073712 エラーが発生する不具合があり、 それを修正した KB5086672 が配布されているそうで。 なんかほんと、最近の Windows Update は品質が落ちてますね。
【Windows11】 WindowsUpdate 2026年3月 不具合情報 - プレビューリリース KB5079391 [Update 2] (ニッチなPCゲーマーの環境構築Z, 3/27)
MS、KB5079391の配信を一時停止。Windows Updateに降ってこなくなる。0x80073712エラーが発生する不具合により [Update 2] (ニッチなPCゲーマーの環境構築Z, 3/28)
MS、近日中に帯域外更新プログラムのリリースを予告。KB5079391の0x80073712エラーを修正したもの (ニッチなPCゲーマーの環境構築Z, 3/31)
【Windows11】 WindowsUpdate 2026年4月 不具合情報 - 帯域外更新プログラム KB5086672 (ニッチなPCゲーマーの環境構築Z, 4/1)
》 MicrosoftがCopilotを「エンターテインメント目的のみ」と規約に明記——AI情報の信頼性に警鐘 (ebisuda.net, 3/31)。はぁ。 というわけで Microsoft Copilot Terms of Use (Microsoft, 2025.10.24) を読むと (DeepL 訳:)
本利用規約は、Microsoft 365 Copilot のアプリまたはサービスには適用されません。ただし、当該アプリまたはサービスにおいて本利用規約が適用されると明記されている場合はこの限りではありません。そりゃあそうでしょうねえ、としか思えないのですが。
》 How China can survive without the Strait of Hormuz (Reuters, 4/1)。DeepL 訳:
中国は、世界の他の地域を合わせたものとほぼ同規模の電気自動車保有台数を誇り、膨大かつ増加し続ける石油備蓄、多様な石油・ガス供給源、そして国内の石炭や再生可能エネルギーのおかげで輸入にほとんど依存しない電力網を有している。
「現在の状況は、中国の政策立案者たちが数十年にわたり構想してきたものに非常に近い」と、フィンランドの「エネルギー・クリーンエア研究センター」の共同創設者であるラウリ・ミルリヴィルタ氏は述べた。
「これは、海上輸送による化石燃料への依存を減らそうとする取り組みの正当性を裏付けるものだ。」
》 米空母「フォード」が修理のためクロアチアに到着 (ロイター, 3/28)、 イラン戦争から離脱の米空母ジェラルド・フォード、修理が完了 クロアチアの港に到着 (CNN, 3/29) 。USS Gerald R. Ford、クレタで修理して、その後クロアチアまで下がってたのですね。
関連: USS George H.W. Bush Departs for Deployment, USS Gerald Ford Could Be Extended to 11 Months (USNI News, 3/31)。Bush CSG が来るようなので、 Ford CSG は帰宅できるのかな? DeepL 訳:
もしフォードの展開が4月15日以降も続く場合、同空母の展開期間は294日となり、ベトナム戦争以降の空母展開期間の記録を更新することになる。火曜日時点で、フォードの展開期間は280日となっている。
》 「日本はこれからレアアースに困らない」首相発言に第一人者が「いいかげんにしろ」 超遠隔地・南鳥島沖の深海底資源、引き揚げより肝心なのは… (共同 / Yahoo, 3/18) 「レアメタル(希少金属)やレアアースの研究に長年取り組んできた東京大学生産技術研究所教授の岡部徹さん」にインタビュー。
―南鳥島沖のレアアース泥の採掘をどう評価していますか。
(中略) レアアースの生産コストが中国の100倍とか1000倍になっても驚きません。日本の資源セキュリティーやサプライチェーン(供給網)の観点から見て、多額の投資をしても得はないと思います。多額の国家予算を使うなら、安価に手に入るタイミングで中国から買って備蓄する方がはるかに国のためです」
―南鳥島沖のレアアース泥には、陸上の鉱石と違って放射性物質や有害な金属がほとんど含まれていないそうです。遠隔地の深海底を開発するコストはかかっても、廃棄物処理のコストは減らせるのではないですか。
「中国では、陸上の地表近くに濃縮した鉱石を採掘して、廃棄物をほぼゼロコストで処理しています。勝負にならないと思います」南鳥島沖レアアース泥、競争力ゼロと。
―レアアースの安定確保に向けて、日本はどんな戦略をとるべきでしょうか。
「中国との関係をできるだけ安定させ、安くて良質なレアアースが大量に入ってくる状況を維持するのが第一です。国家戦略として安価な時にレアアースをたくさん仕入れ、10年分の備蓄をすべきです。安いときに買って備蓄する戦略をとらずに、供給障害が起きて価格が何倍にも跳ね上がってから買い付けに動くのはおかしい。そんな愚かな失敗を日本政府は繰り返しています」しごくごもっとも。
》 湾岸諸国の米軍基地、数年前から脆弱性を警告 (Wall Street Journal, 4/1)
現職および元当局者によると、バイデン前政権もトランプ政権も、紅海沿岸のサウジの基地網強化を求める提言には従わず、代わりに中国に対抗するため太平洋地域における米軍の態勢強化に注力していた。そもそもトランプがこんな戦争をはじめなければ、損害も出なかったのですが。
関連: Bunkers For U.S. Bases In Middle East Now A Top Priority For Pentagon (The War Zone, 3/31)。自衛隊も同様なんですけどね。 今のままだと、開戦初頭に全滅させられます。 航空機に限らず、地対艦ミサイル部隊とか、弾薬庫とか、いろいろ。
》 日本の住宅メーカー、米市場で急拡大 米国の住宅建設が減速する中、日本勢のシェアは間もなく6%へ (Wall Street Journal, 3/31)。こんなことになっていたのか。
》 トランプ氏の台湾めぐる曖昧さ、中国に歴史的チャンス開く (Wall Street Journal, 3/27)
》 ニュージーランドも軍備増強、中国が太平洋進出で (Wall Street Journal, 3/31)
背景にあるのは、2025年に行われた中国海軍による大規模な軍事演習だ。中国の任務部隊がオーストラリア周辺を航行し、同国とニュージーランドの間(タスマン海)で実弾演習を実施したことで、軍備を整える緊急性が一気に高まった。ニュージーランド軍は新型哨戒機P8A「ポセイドン」と海軍艦艇を緊急出動させて監視に当たったが、この事案は、中国が自国から遠く離れた海域でも軍を展開できる能力を証明するものとなった。こちらの件:
Chinese gave live fire warning with planes 'literally flying across the Tasman' (ABC, 2025.02.21)
中国海軍、実弾演習を直前通知 民間機多数が針路変更 豪航空局 (AFP, 2025.02.25)
「極めて高性能」な中国軍艦が実弾演習、NZと豪州に動揺走る (CNN, 2025.02.25)
中国艦隊のタスマン海での実弾演習、「謝罪する理由ない」=駐豪大使 (ロイター, 2025.02.28)
中国がオーストラリアとニュージーランドの間の海域で事前通告なく実弾演習を実施!海洋強国として秩序形成を支配したい中国軍の変化とは? (小原 凡司 / 東洋経済 online, 2025.03.21)
中国海軍055型駆逐艦「遵義」、054A型フリゲート「衡陽」、093A型補給艦「微山湖」の3隻が、2025年2月21日および22日にオーストラリアとニュージーランドの間にあるタスマン海で実弾射撃訓練を行った。日豪防衛協力の「節目」 日本の護衛艦選定 2+2共同声明 (朝日, 2025.09.06)
日豪接近の最大の原動力は、中国の存在だ。日本周辺では6月、中国の空母「山東」と「遼寧」が同時に活動する姿が初めて確認された。豪州周辺でも2月、中国の艦艇が豪州の裏庭とも言えるタスマン海を航行し、実弾射撃演習を実施。中国は戦略的要衝である南太平洋の島嶼(とうしょ)国への軍事、経済的な関与も強め、防衛省幹部は「中国軍の活動は西太平洋で広がりつつある」と懸念する。
》 P2Pファイル共有ソフト「BitTorrent」利用の違法アップローダーに発信者情報の開示を命じる判決、日本レコード協会が発表 (Internet Watch, 4/1)
》 ESET、新年度の組織変更に合わせたスピアフィッシングが確認されているとして注意喚起 (Internet Watch, 4/1)
》 AIによるヌード加工アプリを全面的に禁止する提案にEU議会が合意、きっかけはGrokか (やじうま Watch, 3/31)
》 IPA、サイバーセキュリティ対策の記載を拡充した「中小企業の情報セキュリティ対策ガイドライン」第4.0版公開 (Internet Watch, 3/30)
》 「JC-STAR」、シンガポールのIoTセキュリティ制度「CLS」と相互承認、6月から運用 (Internet Watch, 3/23)
》 アニメイト、エイプリルフール企画が炎上して謝罪 「内容に不適切かつ配慮を欠く表現」 (ITmedia, 4/1)
》 クラシック「Outlook」アプリにまた問題、メールの送信・返信で配信不能レポート(NDR)が表示 (窓の杜, 4/1)
》 Microsoft公式のリモートPCアプリ「Windows」の信頼性・生産性・セキュリティが向上 ~古いクライアントの廃止にも注意 (窓の杜, 3/31)
なお、Windows(MSI)版リモートデスクトップクライアントおよびWebベースのリモートデスクトップクライアントは、2026年3月27日をもって商用クラウドでのサポートを終了する。政府系の「Azure Government」および「Azure 21Vianet」クラウドでも、2026年9月28日にWindows(MSI)クライアントのサポートが打ち切られる予定。
IT管理者はそれまでに「Windows」アプリへの移行を完了させる必要がある点には注意が必要だ。
nginx
Webサーバー「nginx」にセキュリティアップデート、6件の脆弱性を修正 (窓の杜, 2026.03.27)
各社 Wi-Fi ルーター
AtermシリーズのWi-Fiルーターの一部に脆弱性、最新ファームウェアへの更新など対処方法の確認を (Internet Watch, 2026.03.27)
バッファローのネットワーク製品に複数の脆弱性、ファームウェアの更新など対策方法の確認を (Internet Watch, 2026.03.26)
NTTドコモ「home 5G HR01」などシャープ製ホームルーター、モバイルルーター8製品に脆弱性。ファームウェアの更新など対策方法の確認を (Internet Watch, 2026.03.26)
最近起きた事例、新しもの好きのあなたが狙われた、ということなんですかね。
【緊急】月間9500万DLのLiteLLMが乗っ取られた。インストールしただけでSSH鍵・AWS認証・仮想通貨が全部盗まれる (qiita, 2026.03.25)
LiteLLMのCI/CDパイプラインがバージョン指定なしでTrivyをインストールしていたため、汚染されたTrivyがパイプライン内のPyPI認証トークンを窃取。攻撃者はメンテナーkrrishdholakiaのアカウントを完全に乗っ取りました。2026年3月31日にaxiosが受けたサプライチェーン攻撃の概要と予防策「クールダウン」機能について (yamory.io, 2026.03.31)
攻撃者は事前に plain-crypto-js という悪意あるパッケージを公開し、axiosの依存関係に追加。
npm install を実行するだけで、 postinstall フックを通じてRAT(遠隔操作トロイの木馬)がインストールされる仕組みでした。今回の攻撃はGitHub ActionsやOIDC署名といった正規のリリースフローを経由せず、侵害したアカウントからnpm CLIで直接パブリッシュされています。つまり、バージョンを指定せずにパッケージを新規インストールすると、公開直後の悪意あるバージョンをそのまま取り込んでしまうリスクがあります。yamory.io 記事ではパッケージマネージャーの「クールダウン機能」を利用して時間をかせぐ方法が紹介されています。
クールダウンは、パッケージの新バージョンが公開されてから一定期間はインストール対象としない仕組みです。公開直後のバージョンを自動的に取り込まないことで、コミュニティが悪意あるコードを検出・報告する時間的猶予を確保できます。
2025年後半から主要なパッケージマネージャーが相次いでこの機能を実装しています。yamory.io 記事で紹介されているのは npm, pnpm, uv, pip。 他には:
Package Managers Need to Cool Down (nesbitt.io, 2026.03.04)
GitHub Dependabotのcooldown機能を試す (電通総研 Tech blog, 2025.07.09)、 Dependabot バージョン更新プログラムに合わせて pull request の作成を最適化する - 依存関係の更新の頻度とタイミングを制御する (GitHub)
RubyGems/Bundler における Cooldown 機能の議論と現状 (ANDPAD TECH BLOG, 2026.03.19)。 それ意味あるの的な議論が出てきているようだけど、 セキュリティは薄皮を重ねるしかないものなので、 選択肢を用意することには意味があるでしょう。
関連:
Trivy サプライチェーン攻撃の影響確認対象製品リスト (CSC, 2026.04.01 更新)
CiscoがTrivy連鎖攻撃で被害——300超のGitHubリポジトリとソースコードが流出 (ebisuda.net, 2026.03.31)
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える (GMO Flatt Security, 2026.03.30)
個別パッケージの評価が無理なら、信頼できるキュレーション層を挟む…の例としての Takumi Guardruns-on: takumi-runner の1行で、ワークフロー実行中のすべてを記録する