Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 The Hacker Sent by Anthropic to Calm the Government’s Nerves About AI Safety (Wall Street Journal, 6/16)。「AIの安全性に関する政府の懸念を和らげるため、アンソロピックが派遣したハッカー」ニコラス・カルリーニ氏。DeepL AI 訳:
先週、Anthropic社は「Mythos 5」と呼ばれるMythosのアップデート版と、安全対策が施され機能が制限されたMythosのバージョンである「Fable 5」をリリースした。そして今度は、ホワイトハウスが警鐘を鳴らす番となった。金曜日、米政府は外国政府、企業、個人によるFable 5およびMythos 5の使用を禁止した。これを受け、Anthropic社は規制に準拠するため、すべてのユーザーへのアクセスを遮断した。
かつて懐疑論者から信奉者に転じ、警鐘を鳴らしていたカルリーニは、突如として政府の不安を和らげる役割を担うことになった。アンソロピックは彼を首都に派遣し、安全対策について説明させた。彼は、AIに「絶対的な安全性」など存在しないとはいえ、『フェイブル』を秘密にしておくよりも世に送り出すほうが世界にとって有益であることをホワイトハウスに説得しようとするチームの一員だった。
現在、カルリーニ氏は、他のモデルが「Mythos」に追いつくのはあと数ヶ月の問題に過ぎないと見ている。そして、それがどのような意味を持つのかは不明だ。
》 ロボタクシーが全米に拡大、反発も広がる (Wall Street Journal, 6/3)
モルガン・スタンレーによると、自律走行車分野は2032年までに米国のライドシェア業界の約30%を占めると予想されている。
しかし、人間よりも安全な交通手段を実現するには、業界が「エッジケース」と呼ぶ問題、すなわち日常的な運転を超えた、まれで異常な事態を解決する必要がある。こうしたエッジケースが最大の頭痛の種となっている。
報告されているロボタクシーの問題の多くはウェイモに関するものだが、それは同社が、現在路上を走る自動運転タクシーの圧倒的多数を占めているためでもある。だが問題を抱えているのはウェイモだけではない。
》 トランプ氏、国防生産法発動 弾薬の生産能力と供給網の制約に対処=覚書 (ロイター, 6/17)
- Defense Production Act of 1950 (Wikipedia)。わりと頻繁に使われてる感。
- トランプ米大統領、国防生産法に基づき国内エネルギー・関連インフラ5分野の強化をエネルギー長官に指示 (JETRO, 4/24)
今回発表された覚書は、国内産業基盤の整備という長期的な展望に沿った政策と位置付けられる。一方で、米国・イスラエルとイランの対立が続く2026年3月以降、ガソリンをはじめとするエネルギー価格の上昇が顕著で、物価上昇への懸念は11月に行われる中間選挙の争点の1つとなっている(2026年4月8日記事参照)ことから、トランプ政権は覚書の発表を通じて、目下のインフレ懸念に対処する姿勢を示したいともみられている(政治専門紙「ポリティコ」4月21日)。
》 「赤い服を着た人」映像をAIが追跡 香川県警が開発→全国へ広がる (朝日, 6/17)。「連載AIと警察 イギリスと日本の現場から」の第3回。
》 処分に出したHDが未破砕 ネットオークションに流出 (朝日, 6/9)
同機構によると、両病院が24年に電子カルテを更新した際、旧端末のHD破砕を石狩市の廃棄物処理業者に委託したが、破砕済みと未破砕の区分けなどが適切にされず、未破砕のHDが流出していたという。昨年6月、オークションで落札した人からの情報提供で判明した。
【重要】個人情報の取扱いに関するお詫びとご報告 (北海道医療センター, 6/8)
【重要】個人情報の取扱いに関するお詫びとご報告 (北海道がんセンター, 6/8)
出てました。
Firefox 152.0, See All New Features, Updates and Fixes (Mozilla, 2026.06.16)
Firefox for Android 152.0 Release Notes (Mozilla, 2026.06.16)
Firefox ESR 140.12.0, See All New Features, Updates and Fixes (Mozilla, 2026.06.16)
Firefox ESR 115.37.0, See All New Features, Updates and Fixes (Mozilla, 2026.06.16)
Thunderbird 152.0 Release Notes (Mozilla, 2026.06.16)
Thunderbird 140.12.0esr Release Notes (Mozilla, 2026.06.16)
》 ここ3か月のDRAMチップスポット価格の推移。DDR5とDDR4はどれくらいの値動きがあったのか (ニッチなPCゲーマーの環境構築Z, 6/15)
》 量子攻撃に対して「AES-128」は安全との見方、暗号研究者が分析 (The Quantum Insider / 日経 xTECH, 6/16)
量子リスクはまず公開鍵暗号で顕在化すると予想され、対称暗号についてはポスト量子への移行において即時の変更を必要としないことを、今回の調査結果は示している。
》 英海兵隊がロシア「影の艦隊」の石油タンカーを拿捕 英仏海峡で (BBC, 6/15)
SMYRTOS - Crude Oil TankerIMO: 9389100 (marinetraffic.com)
UK forces intercept Russian shadow fleet vessel for the first time in blow to Putin's war chest (gov.uk, 6/14)
Royal Navy leads interdiction of shadow fleet tanker in the English Channel (royalnavy.mod.uk, 6/15)
British armed forces intercept Russian shadow fleet oil tanker in Channel (Guardian, 6/14)。掲載されている動画が BBC とはちょっと違う。
》 DNS Summer Day 2026 (dnsops.jp)。2026.06.26、東京都中央区 / オンライン、無料。
》 警視庁、メール受信者の注意力を逆手に取った「二段階式フィッシングメール」に注意喚起 (Internet Watch, 6/12)
》 ユーロポール、サイバー攻撃で得た暗号資産のマネーロンダリングを行っていたグループを摘発。警察庁も捜査に協力 (Internet Watch, 6/15)
》 Windows 11向けの新しい「Kindle」アプリが登場、しかし評価のほとんどが星1つと大炎上 (やじうま Watch, 6/16)
6月に入って新しくリリースされたアプリ「Amazon Kindle」は、起動の遅さなどの従来アプリにおける問題点はさして変化が見られないことに加えて、これまで存在したカスタマイズ関連の機能が消失。さらに「保存先フォルダーが変更されておりこれまでダウンロードした本が読み込めない」「一部の本が非対応としてダウンロードできない」など致命的な問題が発覚し不満が続出うーむ、なぜこんな仕様で出したのだろう……。
》 大人にも効果アリ? 「赤ちゃんがすぐに寝る音」のMP3ファイルが期間限定で無償公開中 (やじうま Watch, 6/16)。「6月30日までの期間限定」。
<オルゴール配布ページ> (千葉音声研究所)
》 厚労省、委託事業者の作業ミスでTeams上のチャットデータが消失。業務への影響は限定的 (Internet Watch, 6/16)。なかなかなホラーストーリー。
厚生労働省はチャットツールについて、基本的には定型的・日常的な業務連絡などに活用されているものであり、その性質上、業務の遂行に影響を及ぼす可能性は限定的であるとしている。えぇっ?! 手元ではむしろ、非定型なものを全部チャットに押し込む的な使いかたになっているんだが……。
関連: 東芝による厚労省のTeamsデータ削除、実は2億件 うち約750万件が復元困難 (日経 xTECH, 6/16)
先週出てましたね。はい。 206 Microsoft CVE + 409 non-MS CVE (内 407 が Chrome 由来、もはやリストされず)。
- .NET CVE-2026-45490 CVE-2026-45491
- Active Directory Domain Services CVE-2026-45648
- ASP.NET Core CVE-2026-45591
- Azure HorizonDB CVE-2026-48567
- Azure Stack Edge CVE-2026-41098 CVE-2026-47643
- Copilot Chat (Microsoft Edge) CVE-2026-47644
- Function Discovery Service (fdwsd.dll) CVE-2026-42836
- GitHub Copilot and Visual Studio Code CVE-2026-45482
- HTTP/2 CVE-2026-49160
- Linux MANA Driver CVE-2026-45476
- M365 Copilot CVE-2026-42824
- Microsoft Azure Attestation service and Device Health Attestation Service CVE-2026-33828 CVE-2026-45642
- Microsoft Azure Kubernetes Service CVE-2026-32193
- Microsoft Bing CVE-2026-45650
- Microsoft Copilot CVE-2026-45497
- Microsoft Defender for Endpoint CVE-2026-45647
- Microsoft Dynamics 365 (on-premises) CVE-2026-40371
- Microsoft Exchange Online CVE-2026-48579
- Microsoft Exchange Server CVE-2026-45500 CVE-2026-45501 CVE-2026-45502 CVE-2026-45503 CVE-2026-45504 CVE-2026-45583 CVE-2026-47631
- Microsoft Graph CVE-2026-47655
- Microsoft Graphics Component CVE-2026-42986
- Microsoft Kinect CVE-2026-41092
- Microsoft Live Share Canvas SDK CVE-2026-45644
- Microsoft Office CVE-2026-44819 CVE-2026-44821 CVE-2026-44824 CVE-2026-45456 CVE-2026-45458 CVE-2026-45460 CVE-2026-45461 CVE-2026-45463 CVE-2026-45472 CVE-2026-45474 CVE-2026-45475 CVE-2026-45485 CVE-2026-45645 CVE-2026-47635
- Microsoft Office Click-To-Run CVE-2026-47293
- Microsoft Office Excel CVE-2026-44817 CVE-2026-44818 CVE-2026-44820 CVE-2026-44822 CVE-2026-44823 CVE-2026-45455 CVE-2026-45459 CVE-2026-45469
- Microsoft Office Project CVE-2026-45483
- Microsoft Office SharePoint CVE-2026-33113 CVE-2026-45453 CVE-2026-45454 CVE-2026-45462 CVE-2026-45464 CVE-2026-45465 CVE-2026-45467 CVE-2026-45468 CVE-2026-45479 CVE-2026-45481 CVE-2026-45484 CVE-2026-47298 CVE-2026-47634 CVE-2026-47636 CVE-2026-47637 CVE-2026-47638 CVE-2026-47639 CVE-2026-47640 CVE-2026-47641 CVE-2026-48560 CVE-2026-48562
- Microsoft Office Word CVE-2026-45457 CVE-2026-45466 CVE-2026-45471 CVE-2026-45486 CVE-2026-45643
- Microsoft PC Manager CVE-2026-49161
- Microsoft PowerToys CVE-2026-42902
- Microsoft Teams for Android CVE-2026-42835
- Microsoft UxTheme Library (uxtheme.dll) CVE-2026-45606
- Microsoft Windows DNS CVE-2026-41108
- Nuance PowerScribe CVE-2026-26142
- Office for Android CVE-2026-45649
- Remote Desktop Client CVE-2026-42909 CVE-2026-42913 CVE-2026-42985 CVE-2026-42992 CVE-2026-42993 CVE-2026-44799 CVE-2026-44801 CVE-2026-47289 CVE-2026-47653 CVE-2026-47654 CVE-2026-48563
- Role: Windows Hyper-V CVE-2026-42972 CVE-2026-45641
- UI Automation Manager (uiamanager.dll) CVE-2026-45597
- Universal Plug and Play (upnp.dll) CVE-2026-45599 CVE-2026-45635
- Visual Studio Code CVE-2026-40376 CVE-2026-47281 CVE-2026-47284 CVE-2026-47287 CVE-2026-47292 CVE-2026-48569
- Windows Administrator Protection CVE-2026-42829
- Windows Ancillary Function Driver for WinSock CVE-2026-34335 CVE-2026-42911 CVE-2026-45596 CVE-2026-45598 CVE-2026-45601 CVE-2026-45603 CVE-2026-45638
- Windows Application Identity (AppID) Subsystem CVE-2026-45594 CVE-2026-45604
- Windows BitLocker CVE-2026-45655 CVE-2026-45658 CVE-2026-50507
- Windows Bluetooth Port Driver CVE-2026-45640
- Windows Bluetooth Service CVE-2026-45605
- Windows Boot Manager CVE-2026-47656
- Windows Collaborative Translation Framework CVE-2026-45586
- Windows Common Log File System Driver CVE-2026-44809
- Windows Cryptographic Services CVE-2026-44810
- Windows Deployment Services CVE-2026-42987
- Windows DHCP Client CVE-2026-44815 CVE-2026-45608
- Windows DHCP Server CVE-2026-45602 CVE-2026-45634
- Windows DWM Core Library CVE-2026-42905 CVE-2026-42983 CVE-2026-44802 CVE-2026-44804 CVE-2026-44807 CVE-2026-44808 CVE-2026-44811 CVE-2026-44813 CVE-2026-44814 CVE-2026-45637 CVE-2026-48566
- Windows Hotpatch Monitoring Service CVE-2026-42910
- Windows HTTP.sys CVE-2026-47291
- Windows Hyper-V CVE-2026-45607 CVE-2026-47652
- Windows Internet (wininet.dll) CVE-2026-45592
- Windows Kerberos CVE-2026-42903 CVE-2026-42914 CVE-2026-47288
- Windows Kernel CVE-2025-10263 CVE-2026-42984 CVE-2026-45653 CVE-2026-45657 CVE-2026-48583
- Windows Kernel-Mode Drivers CVE-2026-45600
- Windows Mark of the Web (MOTW) CVE-2026-45595
- Windows Media CVE-2026-48574
- Windows Narrator Braille CVE-2026-48565
- Windows Network Controller (NC) Host Agent CVE-2026-44805
- Windows NT OS Kernel CVE-2026-42916 CVE-2026-42980
- Windows NTFS CVE-2026-45636
- Windows NTLM CVE-2026-50508
- Windows Performance Monitor CVE-2026-42974 CVE-2026-42981
- Windows Program Compatibility Assistant Service CVE-2026-45487
- Windows Projected File System Filter Driver CVE-2026-42828 CVE-2026-42837
- Windows Push Notifications CVE-2026-42969 CVE-2026-42970 CVE-2026-42971 CVE-2026-42973 CVE-2026-42977 CVE-2026-42978 CVE-2026-42979 CVE-2026-42991
- Windows RDP CVE-2026-42908 CVE-2026-45639
- Windows SDK CVE-2026-45593
- Windows Secure Boot CVE-2026-45588 CVE-2026-45654 CVE-2026-48568 CVE-2026-48570 CVE-2026-48573 CVE-2026-48575 CVE-2026-48576 CVE-2026-48578
- Windows Shell CVE-2026-42906 CVE-2026-42907
- Windows Storage CVE-2026-47648
- Windows TCP/IP CVE-2026-42904 CVE-2026-42915
- Windows Telephony Service CVE-2026-42912 CVE-2026-42968
- Windows UEFI CVE-2026-45656 CVE-2026-8863
- Windows Universal Disk Format File System Driver (UDFS) CVE-2026-40404 CVE-2026-40409
- Windows Win32K - GRFX CVE-2026-44803 CVE-2026-44812
- Winlogon CVE-2026-42989
不具合が出ている模様。
KB5094126インストール後、0xc0430001のブルースクリーンでOS起動不能の不具合。一部HP製PCやDell製PCで発生 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2026.06.13)
ファイルエクスプローラーでOneDriveにアクセスできない不具合。KB5094126インストール後、一部PC発生 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2026.06.14)
KB5094126インストール後スタートメニューが表示されない不具合。原因はWindhawk (ニッチなPCゲーマーの環境構築Z, 2026.06.14)。Windhawk というカスタマイズアプリが原因という話。
KB5094126インストール後、タスクバーのシステムトレイが壊れる不具合。何も表示されなくなる。一部PCで発生 (ニッチなPCゲーマーの環境構築Z, 2026.06.15)
【Windows11】 WindowsUpdate 2026年6月 不具合情報 - セキュリティ更新プログラム KB5094126 ゲーム中にBSoD発生の不具合を修正 [Update 5] (ニッチなPCゲーマーの環境構築Z, 2026.06.15 更新)
Windows 0-day 2 件: YellowKey (BitLocker 保護ディスクに無認証でアクセスできる)、GreenPlasma (local user が SYSTEM 権限を取得できる) (2026.05.08)
Yellow Key の件、Microsoft 2026.06 月例更新で対応された模様。
Windows BitLocker Security Feature Bypass Vulnerability CVE-2026-45585 (Microsoft, 2026.06.09 更新)
New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare (2026.06.04)
IIS は Microsoft 2026.06 月例更新で対応された模様。
HTTP.sys Denial of Service Vulnerability CVE-2026-49160 (Microsoft, 2026.06.09)
「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン (2026.06.03)
2026.06.11 付で Chrome 149.0.7827.114/.115 が出ていたのですね。
Stable Channel Update for Desktop (Google, 2026.06.11)。セキュリティ修正 28 件。
Chrome for Android Update (Google, 2026.06.11)
》 AIエージェントを安全に自律動作させるWindowsのセキュリティ新機能が発表 (窓の杜, 6/5)
》 警察庁やJC3も、企業のPCを遠隔操作する「ボイスフィッシング」新手口に注意喚起 (Internet Watch, 6/9)
「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン (2026.06.03)
「Google Chrome 149」の脆弱性修正はなんと429件、できるだけ早めの更新を (窓の杜, 2026.06.05)。うひ〜。
と言っている間に Chrome 149.0.7827.102/.103 が来ましたよ。
Stable Channel Update for Desktop (Google, 2026.06.08)。Chrome 149.0.7827.102/.103 for Windows / Mac および 149.0.7827.102 for Linux。 74 件のセキュリティ修正を含む。金額蘭 N/A が多い。
Chrome for Android Update (Google, 2026.06.08)。Chrome 149 (149.0.7827.102) for Android。
New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare
Apache 2.4.68 出ました。本件への対応を含みます。 iida さん情報ありがとうございます。
Changes with Apache 2.4.68 (apache.org, 2026.06.08)
SECURITY: CVE-2026-49975: mod_http2 denial of service (cve.mitre.org)
Memory Allocation with Excessive Size Value vulnerability in Apache HTTP Server's mod_http leads to denial of service via malicious HTTP requests.
This issue affects Apache HTTP Server: from 2.4.17 through 2.4.67.
Credits: Quang Luong of Calif.IO in collaboration with OpenAI Codex
rsync
NEWS for rsync 3.4.4 (samba.org, 2026.06.08)。セキュリティ修正はありませんが、「rsync 3.4.3 がインクリメンタルバックアップを壊す」件などが修正されています。 (typo fixed: iida さん感謝)
Honour a relative alt-basis directory (e.g. --link-dest=../sibling, --copy-dest, --compare-dest) on a daemon receiver running with use chroot = no. Such a path is re-anchored at the module root but was then rejected by the receiver's secure open; it now works where kernel-enforced confinement is available. See the PORTABILITY note below for the platform limitation. Fixes #915.rsync 3.4.3がバックアップを壊し、コミットログの「claude」で大炎上した件 — 騒動の真相と、AI時代のインフラ運用の教訓 (zephel01 / note, 2026.06.08)
※この記事は情報の灯台さんの解説動画をきっかけに、各一次ソースを確認して再構成したものです。rsync最新版でバックアップ崩壊。AIへの怒りと見落とされた原因・対処法 (情報の灯台 / YouTube, 2026.06.07)
》 インド「ゴキブリ人民党」爆誕、現時点ではまだ SNS 上の運動
Cockroach Janta Party (Instagram)。「投稿169件 フォロワー2214万人 フォロー中0人」
India has a new political superstar - a cockroach (BBC, 5/21)
アングル:インド「ゴキブリ人民党」運動がZ世代に爆発的人気、政権の安定イメージに揺らぎ (ロイター, 6/1)
ディプケ氏は過去2年間、米国で暮らしている。ロイターの取材にはシカゴから電話で応じ、交流サイト(SNS)投稿の作成やメディア対応に追われ、眠れない夜が続いていると語った。
「インド政府は私を国家安全保障上の脅威と宣言し、私の評判を傷つけようとしている」とディプケ氏は言う。「だが私たちは、民主的に、憲法上の権利の範囲内で、やるべきことをやる」。
ディプケ氏によれば、自身のX(旧ツイッター)アカウントは政府によりブロックされ、CJPのインスタグラムアカウントは正体不明のハッカーに乗っ取られた。さらにメッセージアプリ「ワッツアップ」上では身体的危害を加えるとの脅迫も受けており、インドと米国両方にいる家族の安全確保に努めているという。出身地である西部マハラシュトラ州の警察からは、家族の安全を確保するとの説明を受けたとしている。
ニューデリーに拠点を置くインターネット・フリーダム財団の理事で弁護士のアパル・グプタ氏は「インドにおけるオンライン上の遮断増加は、異議や風刺が民主的な表現ではなく、行政上の脅威として扱われていることを示している」と指摘する。
ディプケ氏によると、支持者からは「ミームを超えた行動」を求める声が出ており、運動として信頼性を持たせる方法を協議している。ただ、政党化については未定だという。
インドで「ゴキブリ新党」発足? 政府に不満、若者らが「結集」 (毎日, 5/30)
「ゴキブリ人民党」創設者、インドに帰国し政府への抗議活動計画 (毎日, 6/2)
》 米空母ジェラルド・フォード、火災の損傷が映像で明らかに 消火システム作動せずとの証言も CNN EXCLUSIVE (CNN, 6/5)
》 nginx-module-acme で certbot をやめて nginx 単体で Let's Encrypt 証明書を回す (Zenn, 6/3)
》 モバイルバッテリーが製品群別の事故発生数トップに NITEが25年度の事故情報収集報告書を発表 (ITmedia, 6/4)
》 開始5日で障害、気象庁「線状降水帯直前予測」復旧 ソフトウェア不具合が原因 (ITmedia, 6/4)
台風6号の接近と重なるタイミングでシステム障害が発生。6月2日夕方から夜にかけては高知県西部で線状降水帯直前予測の発表基準を満たしたが、システム障害のため発出できなかった。
》 Key新作「anemoi」マスターデータ流出、個人情報も漏えいか ビジュアルアーツに不正アクセス 取引先のマイナンバーも (ITmedia, 6/4)
》 患者1365人分の個人情報漏えいか 看護師が私物PCに情報保存→サポート詐欺被害に 藤田医科大学病院 (ITmedia, 6/4)
同院に勤務する看護師が、院内規定に反して患者情報を個人PCに保存しており、そのPCがサポート詐欺の被害に遭ったことが原因
》 問題児はクラウドから巻き戻し、Windowsドライバーの品質改善「Driver Quality Initiative」 (窓の杜, 6/4)
なかでも注目は、「Cloud Initiated Driver Recovery」という仕組みだ。これは「Windows Update」を通じて配布されたドライバーのうち、品質に問題があると判断されたドライバーをクラウド側から自動的にロールバック(復旧)できる仕組み。
》 Bluetoothデバイスの「ある名前」のせいで、航空機が出発地に引き返す事態に。その名前とは? (やじうま Watch, 6/2)
乗客の誰かが所有するBluetoothスピーカーに「BOMB(爆弾)」という識別名を設定しており、爆破予告の可能性があることから、貨物室を含む機内全体を検査する必要があり、引き返さざるを得ない事態となった
》 NII FileSenderについて (nii-auth.atlassian.net)。こんなのあるんですね。知らんかった。 ファイル暗号化 もできるので、そのまま置くのはちょっと……というファイルも大丈夫そうです。
関連:
NII FileSenderの利用 (東京大学)
少なくとも nginx / Apache httpd / Microsoft IIS / Envoy / Cloudflare Pingora の HTTP/2 実装に欠陥があり、DoS 攻撃を受ける。 Codex を使って発見。
震源地: Codex Discovered a Hidden HTTP/2 Bomb (blog.calif.io, 2026.06.03)
A home computer on a 100Mbps connection can render a vulnerable server inaccessible within seconds. Against Apache httpd and Envoy, a single client can consume and hold 32GB of server memory in roughly 20 seconds.100Mbps 環境からでも秒単位で殺れると。
対応:
nginx: 1.29.8 以降で対応。
Apache httpd: mod_http2 自体はバージョン 2.0.41 で対応しているとされているが、これを同梱した Apache httpd はまだリリースされていない。
Envoy: 1.35.11 / 1.36.7 / 1.37.3 / 1.38.1 で対応される模様。 HTTP/2 memory exhaustion via cookie header size bypass and HPACK amplification (Envoy Proxy / GitHub)
回避するには HTTP/2 を無効にすればよい。
nginx: http2 off; を設定する。
Apache httpd: mod_http2 を読み込まないように設定するか、 あるいは http/1.1 を強制するよう設定する。
Protocols http/1.1
<virtualhost *:443>
Protocols h2 http/1.1
...
</virtualhost>Microsoft IIS: レジストリや IIS マネージャーで設定する。
- Disable HTTP/2 in IIS 10 (goacoustic.com)
- How to Enable HTTP/2 in IIS on Windows Server 2025 (progressiverobot.com)。「Step 5: Disable HTTP/2 If Needed」を参照。PowerShell スクリプトが掲載されている。
Cloudflare Pingora: ここでいいんですかね? Directory > Speed > Settings > Protocol optimization > HTTP/2 (developers.cloudflare.com)
iida さん情報ありがとうございます。
2026.06.05 追記:
対応事例:
【重要】【お知らせ】脆弱性(CVE-2026-49975)に伴うWebサーバー通信設定の一時変更について (お名前.com, 2026.06.04)
【重要】HTTP/2の脆弱性対策に伴う、サーバー設定一時変更のお知らせ (さくらインターネット, 2026.06.05)
2026.06.09 追記:
Apache 2.4.68 出ました。本件への対応を含みます。 iida さん情報ありがとうございます。
Changes with Apache 2.4.68 (apache.org, 2026.06.08)
SECURITY: CVE-2026-49975: mod_http2 denial of service (cve.mitre.org)
Memory Allocation with Excessive Size Value vulnerability in Apache HTTP Server's mod_http leads to denial of service via malicious HTTP requests.
This issue affects Apache HTTP Server: from 2.4.17 through 2.4.67.
Credits: Quang Luong of Calif.IO in collaboration with OpenAI Codex2026.06.16 追記:
IIS は Microsoft 2026.06 月例更新で対応された模様。
HTTP.sys Denial of Service Vulnerability CVE-2026-49160 (Microsoft, 2026.06.09)
TP-Link Archer BE450 / BE7200 Wi-Fi 7ルーター
JVNVU#95687008 TP-Link製ルーターArcher BE450およびBE7200におけるOSコマンドインジェクションの脆弱性 (JVN, 2026.06.02)。修正版ファームウェアが提供されている。
》 キオクシアの時価総額、一時トヨタ超え 上場から1年半で50倍以上に (ITmedia, 6/3)。すさまじいなあ。
首位のソフトバンクグループは1日、22年間トップを維持していたトヨタを抜いたばかり。AI関連銘柄が相次いでトヨタを上回る異例の展開になっている。めちゃくちゃだ。
》 デザイン書の老舗・MdNが消滅へ インプレスに吸収合併 (ITmedia, 6/3)。あらまあ。
》 気象庁「線状降水帯情報」不具合で発表できず 運用開始わずか5日 (ITmedia, 6/3)。運用前から gdgd だったようなのでねえ。
》 CAMPFIRE「従業員がGitHub認証情報を個人開発サーバに誤アップロード」 不正アクセスの原因公表 (ITmedia, 6/3)
従業員が発行したGitHub認証情報が、個人開発で利用していたサーバに意図せずアップロードされ、第三者に悪用されたことが原因だったという。
》 Gamaredon Exploits WinRAR to Deliver GammaWorm and GammaSteel Against Ukraine (The Hacker News, 6/2)
ロシア政府が支援する侵入ツールセット「Gamaredon」は、連邦保安庁(FSB)との関連が公式に確認されており、これまでウクライナ、特に政府機関、軍、重要インフラ関連組織を標的としてきた。その手口は、悪意のある添付ファイル(罠が仕掛けられたRARアーカイブ)を含むスピアフィッシングメールを送りつけるものである。関連:
JVNDB-2025-011429 RARLAB の WinRAR におけるパストラバーサルの脆弱性 (JVN, 2025.08.14 更新)
WinRAR の重大な脆弱性 CVE-2025-8088 を悪用する多様な脅威アクター (Google, 2/3)
》 「六ヶ所再処理工場」と書いて「ハリボテ」と読む。♪ハ〜リボ〜テ〜ハリボ〜テ〜 (うた: 森本レオ / 「王立宇宙軍 オネアミスの翼」)
六ヶ所再処理工場のガラス溶融炉のレンガ欠損と漏洩や耐震性の心配 (まさのあつこ / note, 5/27)
今の再処理工場はアクティブ試験によって物理的な問題が二つ起きていて、①既にガラス溶融炉で詰まりが起きたので、そこで詰まっちゃったからその前の過程であるせん断とか硝酸で溶かしたりとかした危険な廃液がとどまった状態にあるというのが一つですよね。
②もう一つが、その詰まりに対処するために、このガラス溶融炉の天井部にある穴から棒を入れてマニピュレーターで棒で突いていたら、天井のれんがが剥がれて欠損してしまったと。そこから漏えいしないかと、閉じ込め機能は大丈夫かという、その問題があると。
(中略)
もうむしろアクティブ試験によって、再処理工場の設備なり、運用するものの能力なりが適合していないということが、もう証明されてしまっている事案なのかなとも思うのですが、 その点いかがでしょうか。ほんとそれ。既に Q.E.D. なんだよなあ。
だから、フリをする #核燃料サイクル (まさのあつこ / note, 5/29)。 核燃料サイクルが技術的にも経済的にも破綻していることを延々と認めないので、 PDCA が回らないんだよなあ。
ウェザーニュースLiVE (ウェザーニュース)。今回はこれを BGV として流して過ごした。
台風情報 (気象庁)、 気象警報・注意報 (気象庁)。12:45 現在、紫色 (レベル4) 地域が東京都と千葉にあるなあ。
》 「IOWNが大きく一歩進んだ」ラグビー決勝“本番”でビデオ判定をリモート運用 (Business Network, 6/2)。IOWN、6/7 に本番運用だそうで。
Firefox 151.0 / ESR 140.11.0 / ESR 115.36.0、Thunderbird 151.0 / 140.11.0esr 公開 (2026.05.20)
Firefox 151.0.3 / Firefox for Android 151.0.3 公開。セキュリティ修正を含む。
Firefox 151.0.3、Firefox for Android 151.0.3 がリリースされた (mozillaZine, 2026.06.03)
Chrome 149 が stable に。セキュリティ修正情報についてはまだ未公開。
Stable Channel Update for Desktop (Google, 2026.06.02)。 Chrome 149.0.7827.53 for Linux および 149.0.7827.53/54 for Windows / Mac。
Chrome for Android Update (Google, 2026.06.02)。 Chrome 149 (149.0.7827.59) for Android。
2026.06.09 追記:
「Google Chrome 149」の脆弱性修正はなんと429件、できるだけ早めの更新を (窓の杜, 2026.06.05)。うひ〜。
と言っている間に Chrome 149.0.7827.102/.103 が来ましたよ。
Stable Channel Update for Desktop (Google, 2026.06.08)。Chrome 149.0.7827.102/.103 for Windows / Mac および 149.0.7827.102 for Linux。 74 件のセキュリティ修正を含む。金額蘭 N/A が多い。
Chrome for Android Update (Google, 2026.06.08)。Chrome 149 (149.0.7827.102) for Android。
2026.06.16 追記:
2026.06.11 付で Chrome 149.0.7827.114/.115 が出ていたのですね。
Stable Channel Update for Desktop (Google, 2026.06.11)。セキュリティ修正 28 件。
Chrome for Android Update (Google, 2026.06.11)
Android
Androidに四半期に一度の大規模セキュリティ更新 ~致命的なもの多数、悪用の兆候も (窓の杜, 2026.06.03)
Go
[security] Go 1.26.4 and Go 1.25.11 are released (golang-dev, 2026.06.03)。セキュリティ修正 3 件を含む。 CVE-2026-42504 CVE-2026-42507 CVE-2026-27145
》 防衛省、レーダーサイト防衛用に撃ち放し運用が可能な迎撃ドローンを要求 (航空万能論 GF, 5/28)
レーダーサイト防衛用UAVに関する情報・提案要求書 (防衛省, 5/27)
我のレーダーサイト等及びその近傍に迎撃UAVシステムを展開し、遠方から飛来する長射程自爆型UAVの同時多数攻撃に対し、発射した迎撃UAVにより有効に対処するために運用できるもののうち、下記に合致するもの
ア レーダー、指揮統制(C2)及び迎撃UAVが連接されたシステム
イ 迎撃UAVのカメラ映像を見ながら、地上の人員が迎撃UAVを操縦する仕様ではなく、地上装置から自動誘導される迎撃UAV
ウ 運用及び維持整備について、以下に合致するもの
(ア) システムの展開後、2名以下の要員で防空戦闘が実施できるもの
(イ) 維持整備について、故障診断、部品交換、定期整備等を部外委託できるもの。また、これが困難場合は、専門的知見を有しない要員により維持整備し得る簡易性を有するもの
エ 諸外国軍隊等で既に運用され、シャヘド136等の長射程自爆型UAVを撃墜している実績を有しているもの
オ 他社のレーダー、エフェクター等と短期間で連接運用し得る拡張性及び適応性を有するシステム
シャヘド撃墜実績が必要なのですね。
》 たった11分で3,800リポジトリが流出——GitHubを陥落させたVS Code拡張機能サプライチェーン攻撃 (Zenn, 5/22)
Grafana Labsの成功例にならい、重要なシステムにカナリアトークンを仕込んでおきましょう。万が一侵害されたときの早期検知と被害範囲の特定に大きく貢献します。
》 オープンソースソフトウェア開発者を標的にするボットネット「Glassworm」をCrowdStrikeやGoogleが遮断 (gigazine, 5/28)、 Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet (CrowdStrike, 5/26)
》 日本が参加する次期戦闘機開発、資金供給への懸念とタイムリミットに直面 (航空万能論 GF, 6/1)。金の切れ目が縁の切れ目。
》 Iran attacks damage 20 US military sites since start of war, satellite images show (BBC, 6/1)
》 「作れば売れる」時代の終わり――岐路に立たされるアニメ業界、決算が映す各社の“明暗”を分けたもの (ITmedia, 5/30)。「作れば売れる」は「作れば hit する」ではなく「作れば配信屋さんがライセンスを買ってくれる」という意味の模様。 要は、配信バブルが終了したということのようで。 馬鹿みたいになろう系をつくってりゃよかった時代は終了と。 むしろ正常化でしょう。
》 エリン・ブロコビッチ氏、AIデータセンター建設の「透明性欠如」を批判 住民報告マップも公開 (ITmedia, 6/1)
》 トランプ氏の健診結果に疑義、医師から詳細欠如の声 (Wall Street Journal, 6/1)
》 米がオマーンに迫るイランとの「断絶」 中立が裏目に (Wall Street Journal, 6/2)
5月、オマーンはホルムズ海峡での通行料徴収というイランの動きを非難するアラブ首長国連邦(UAE)主導の国連声明への署名を拒否した唯一のペルシャ湾岸国となった。
》 UAE、イラン攻撃への深い関与判明 空爆数十回 (Wall Street Journal, 5/30)。従来言われていたよりも遥かに多い。
》 中国ドローン覇権に挑む米国、立ちはだかる壁 FPVドローンの部品を分析、中国の支配力の強さが浮き彫りに (Wall Street Journal, 5/11)
》 外付けUSBドライブの「安全な取り外し」でエラー、でもそのまま抜いて問題なし 日本マイクロソフトのWindowsサポートチームが解説 (窓の杜, 5/25)
この問題が発生するのは、「Windows 11 バージョン 24H2」以降の環境で、NTFSでフォーマットされた外付けUSBドライブ(外付けHDDやUSBメモリ)を接続したケース。(中略) 「Windows 10 バージョン 1809」以降、OSの既定ポリシーは[クイック取り外し]に設定されている。このポリシーでは書き込みキャッシュが無効化されており、データは遅延なくドライブへ書き込まれる。そのため、エラーが表示されても「安全な取り外し」を利用せずにUSBドライブを取り外しても問題はない。
》 「俺がいなければお前は刑務所に」 トランプ氏がネタニヤフ氏罵倒か (毎日, 6/2)
米ニュースサイト「アクシオス」によると、トランプ氏は電話協議でネタニヤフ氏を「今や誰もがお前を嫌っている」「完全に狂っている」「俺がいなければお前は刑務所に入っていた」などと罵倒し、強い不満をあらわにしたという。裸の王様、ようやく裸であることに気づいたか。
》 Amazon Shuts Down Internal AI Leaderboard After Employees Cheated (404media, 6/1)。悪貨は悪貨を駆逐する。
関連: Tokenmaxxingとは?AIトークン消費量で生産性を測る危うさと実務KPI (ファネル Ai, 5/24)
Tokenmaxxingを完全に否定する必要はありません。AI活用の初期段階では、十分な試行量がないと何が効くか分からないからです。大切なのは、トークン消費量を「探索の量」として扱い、「成果の証明」として扱わないことです。
ファンティア(Fantia)大炎上再燃!2次元基準「一旦緩和」もクリエイター怒り爆発「修正作業無駄」「法的指導は方便か」 (coki, 5/29)
Fantia、規制強化めぐり「2次元作品は一旦元の基準に」「法的機関と協議」改定後の対応に批判集中 (オタク総研, 5/30)
ツイート
ファンティア事変で致命的にダメなのは「法的機関の指導に基づく厳格で緊急性が高い」と言っておきながら数日で旧基準に戻しちゃったことだよね。全然厳格じゃなくて緊急性も高くなかったのに強い言葉で脅して利用者を従わせようとした、と自ら暴露してるわけだから。
— うるの拓也@カソクキッズ連載再開中 (@takuya_uruno) May 30, 2026ファンティアの件、これディスコードのグループでも少し触れたんだけど...
— ほしのはら🌟満天星空 (@hoshinohara001) May 30, 2026
ちょっと前から実写系の成人向け作品でモザイク処理不足の作品が多数出展されてた
⇩
しかもその作品はサンプルもモザイク処理不足だったりしたものだから購入前の一般の方の目にも止まる状態になっていた
⇩…今回のファンティア(とら)の規約変更の件、経験的に取扱商品の手入れ(謎)が発生したときに起きる事案なんで、今夏のコミケの当落時に、サークル向け緊急アピール告知(作品表現の厳重注意事項)が出るかどうか…
— 大須ブログ (@osu_dnews) June 1, 2026
》 フロリダ州がOpenAIとアルトマンCEOを提訴 ChatGPTを「子供を危険にさらす製品」と非難 (ITmedia, 6/2)
》 名門カリフォルニア大学で“中学数学を教え直す”異常事態 理工系教員ら1000人超が連名で抗議文書 原因は…… (ITmedia, 6/2)
その内容は、2027年の入学試験からSTEM専攻の志願者に対し、全米共通学力試験である「SAT」「ACT」の数学スコア提出を再び義務付けるよう求めるものだ。(中略) UCサンディエゴ校の報告によれば、高校レベルの数学スキルに満たない学生の数はこの5年で約30倍に激増し、そのうちの70%はなんと中学生レベルにも達していないという。これは新入生の約12人に1人に相当する。
》 脱Microsoft/Googleを掲げるオフィスツール「Euro-Office」、6月9日にリリースへ (窓の杜, 6/1)
「Euro-Office」はオンライン・リアルタイムでの共同編集に特化したコンポーネントとなっており、ストレージやナビゲーション、権限の管理、共有ロジックなどはプラットフォーム側に任せる設計になっているようだ。
(中略)
初期リリースでは、コードのクリーンアップとセキュリティ修正、既存ソリューションとの統合に注力したとのこと。当初はNextcloudの最新版「Nextcloud Hub 26 Spring」へ統合され、今後IONOSの「Managed Nextcloud」でも利用できるようになるほか、「XWiki」や「Office.eu」とも順次統合していく予定だという。クラウド前提の office アプリになるということですかね。
コードベースは「ONLYOFFICE」をフォーク(分岐)したもの。(中略) わざわざフォークしたのは、同アプリがロシアで開発されているのが理由のようだ。ふぅん。
Notepad++
テキストエディター「Notepad++」に脆弱性、設定ファイル経由の任意コード実行など【6月1日追記】 (窓の杜, 2026.06.01 追記)。8.9.6.2 が出たそうです。
[2026年6月1日編集部追記] 5月31日付で「Notepad++」v8.9.6.2がリリースされた。v8.9.6.1で修正された脆弱性「CVE-2026-48800」への対策に回避シナリオが発見されたため、追加の修正が行われている。Exim
Exim Security Advisory for EXIM-Security-2026-05-19.1 / CVE-2026-48840 (Exim, 2026.05.29)。 Exim 4.88〜4.99.3 に欠陥。 SUPPORT_PROXY が有効で hosts_proxy が設定されている場合に発現。初期化されていないスタックメモリーの内容が漏洩する。TCPv6 で 16 バイト、 TCPv4 で 4 バイト。CVE-2026-48840
Exim 4.99.4 で修正されている。 iida さん情報ありがとうございます。
2026 年 5 月のセキュリティ更新プログラム (月例) (2026.05.14)
EFI システムパーティションの容量不足で KB5089549 のインストールに失敗するという件があり、KIR で対応という話だったのであまり気にしていなかったのですが、 プレビュー更新プログラム KB5089573 で対応されたそうです。 2026年6月の月例更新プログラムは問題なくインストールできるようになりそうです。
MS、KB5089549をインストールできない不具合を認める。対処方法公開。KIRを展開 (ニッチなPCゲーマーの環境構築Z, 2026.05.16)
5月のセキュリティパッチ適用時、空き容量不足でインストールできないエラーは解決 (窓の杜, 2026.06.01)
》 LibreSSL 4.3.2 Release Notes (OpenBSD, 5/25)。4.3.x の 1st stable release だそうです。 iida さん情報ありがとうございます。