Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 ソメイヨシノ、“寒さ不足”で「満開とならず」 九州南部などの開花異常、岡山理科大学など分析 (ITmedia, 4/17)
》 朗報! Googleが「戻るボタン→広告」がスパムに……次は「×ボタン小さすぎ広告」を何とかしてほしい (ITmedia, 4/20)
そもそも、あの手の広告で商品を買う人はいるんだろうか?ほんとそう思うよね。憎しみしか生まれない。
》 動き出した「NEXTGIGA」は初期の反省は生かせるか? “学校のWindows離れ”が起きた3つの背景 (ITmedia, 4/15)。コスパ、共同調達、クラウド管理で Chromebook が強いと。
》 「Axios」にとどまらないオープンソース攻撃 信頼を悪用するだましの手口 (ITmedia, 4/21)
》 日経ではわからない「もがみ」型護衛艦輸出の暗雲 (清谷信一 / note, 4/21)。まだまだ仕事は山積みなんだよね。 関連:
豪海軍向けの改もがみ型フリゲート、日本製のミサイルや魚雷を採用しない (航空万能論 GF, 2025.11.16)。 12式地対艦誘導弾能力向上型 / 23式艦対空誘導弾 / 97式魚雷 ではなく NSM / ESSM / Mk.54魚雷 を装備と。 NSM / ESSM の OYQ-1 への統合はこれから。
しかしまあ、そのへんはまだなんとかできると思うんだよね。 いちばんの問題は、オーストラリアでの生産分 8 隻をちゃんと造れるかどうか。 オーストラリアの造船能力はめちゃくちゃ低いので。
追記:
Australian Defence Strategy 2026 Spends Big On Submarines, Frigates (Naval News, 4/20)。DeepL 訳を若干修正:
一方、米国とイスラエルによるイラン攻撃に端を発した中東での最近の紛争は、軍事作戦と世界経済の両面における懸念として、機雷戦の脅威を改めて浮き彫りにした。それゆえ、オーストラリア政府が、老朽化したオーストラリア海軍(RAN)の掃海艦艇の更新に向けた追加支出について言及していないことは興味深い。Naval Newsが報じたように、減少の一途をたどるヒューオン級掃海艇には、直接的な後継艦が配備される予定はない。オーストラリア海軍当局者は、他の目標によって予算が逼迫している状況下では、掃海艦艇の更新を優先事項とは考えていないことを明らかにした。
その結果、2026年版IIPでは、対機雷戦の重要性が指摘されており、SEA 1778フェーズ1に基づく展開可能な対機雷戦装備の調達や、欧州のベンダーであるRWM Italia社製の新たな「スマート」機雷の追加といった、既存の取り組みが改めて強調されている。しかし、同文書には、海上機雷戦に関するさらなる投資については一切記載されていない。自衛隊同様、オーストラリア海軍も (改)もがみ級に掃海・掃討をやらせるつもりなのかなあ。
《特集》護衛艦「もがみ」型の機雷戦──海外での掃海任務にも速やかに対応できる (J-Defence News, 4/18)。機雷敷設能力もあると。 へえ。
》 荒井陸上幕僚長 定例記者会見2026年04月14日での質問 (清谷信一 / note, 4/15)。自民党大会の件など。 自衛隊の闇が凝縮されている感。 消耗品更新については、こんだけ予算増になってるんだから、 ほんとちゃんとやってくれ感。 正面装備だけでは戦争はできんのよ。
関連:
幕僚長会見でソープランドの例えは下品なのか (清谷信一 / note, 4/16)
陸幕長とのやりとりでソープランドの例を挙げて質問しました。一部の国士様たちからこれについて不謹慎だという批判がありました。
確かにブログではある程度下品なたとえをしています。これに官僚の友人から苦言をいただくこともあります。ですが比喩やカリカチュアライズは下品な方がわかりやすいものです。誰も知らないドイツの哲学者の言葉を引用して説明しても腑に落ちないでしょう。
(中略)
端的に言えば馬鹿にもわかるようにたとえをだしているわけです。そういうものであることは文脈から明らかなのになあ。 「一部の国士様たち」は文脈を理解する能力が無いのかな。
自民党大会の自衛隊政治利用、一番悪いのは幹事長 (清谷信一 / note, 4/17)
需品軽視の防衛省と自衛隊では戦争ができない (清谷信一 / note, 4/20)
》 三陸沖 M7.5 地震 (深さ 10km) 発生、津波到達中
津波警報・注意報 (気象庁)。津波警報・注意報発令中。
【津波情報】岩手 青森 北海道に津波警報 久慈港80cm津波到達 (NHK, 4/20)
三陸沖の地震で通信各社が「災害用伝言サービス」を運用開始 気象庁は避難継続を呼び掛け (ITmedia, 4/20)
》 Israel's “Black Wednesday” Massacre Leaves Lebanese Families Giving DNA to ID Loved Ones' Remains (The Intercept, 4/17)。DeepL 訳:
遺体のDNA鑑定がかつてない規模で行われるようになった背景には、不気味なほどの必要性がある。先週、イランと米国が停戦に合意した直後、イスラエルはレバノン戦線での攻勢を強め、猛烈な空爆を展開した。その被害は甚大で、建物やインフラが破壊され、それに伴い死傷者数は急増した。暴力によって、人々の姿は原形を留めないほどに引き裂かれてしまった。
「遺体は完全に原形を留めていない状態で運び込まれてきます」と、同病院を運営するレバノン保健省の病院・診療所局局長、ヒシャム・ファワズ氏は語った。「遺体は散乱しており、顔立ちは判別不能です。私たちが扱うのは、多くの場合、遺体そのものではありません。爆発の衝撃によって『医療上の難題』と化した、人間の断片を扱っているのです」
TOUSKA - Container ShipIMO: 9328900 (marinetraffic.com)
米軍がイランの大型貨物船を拿捕 機関室を数回攻撃して航行を停止 トランプ大統領が発表 イラン港湾への船の出入りの封鎖措置で (TBS, 4/20)
米軍が海上封鎖下で初のイラン船拿捕、停戦期限控え協議開催に暗雲 (ブルームバーグ, 4/19)
ホルムズ海峡の通航止まる、船舶への銃撃やイランの警告で緊張激化 (ブルームバーグ, 4/20)
NY原油再び上昇 ホルムズ海峡緊張高まり原油輸送不安が再拡大 (TBS, 4/20)
イラン大統領「威圧的な発言は不信感を高めるだけ」 パキスタン首相との電話会談でアメリカによる海上封鎖を強く批判 (TBS, 4/20)
関連:
パキスタン船籍のタンカー「SHALAMAR」が示した,ホルムズ海峡の新局面 (渡邉英徳研究室 / note, 4/17)
この事象は,単に「1隻のタンカーが通った」という以上の意味を持っています。現時点で確認できる限り,この船は,これまで私が述べてきたイラン側・アメリカ側双方の航行秩序を,ともに満たして通過した最初の明瞭な事例とみられるからです。ホルムズ海峡の束の間の「開放」と「再封鎖」,その後の状況 (渡邉英徳研究室 / note, 4/20)
》 6GHz帯Wi-Fi、「屋外高出力」SPモードが解禁へ ユースケース拡大に前進 (Business Network, 4/17)。 情報通信審議会 情報通信技術分科会 陸上無線通信委員会(第99回) (総務省, 4/17) での議論だそうで。
作業班の主査を務める南山大学 特任研究員・茨城大学 名誉教授の梅比良正弘氏は、SPモードを新たに導入し、その利用周波数を、すでにLPIモードおよびVLPモードで使用されている5925~6425MHz(6GHz低域帯)に加え、6570~6870MHz(6GHz高域帯)とすることが適当だと、報告書案の骨子を説明した。ただし SP モード導入にあたっては、仰角制限と AFC システム対応が必要になると。 陸上無線通信委員会報告書概要案 6GHz帯無線LANの周波数拡張等に係る技術的条件 5GHz帯無線LANのDFS高度化に係る技術的条件 (総務省, 4/17)
- AFCシステムは、既存無線システム(固定局及び電波天文)への干渉保護や周波数共用を実現するため、 6GHz帯SPモード 無線LANの使用する周波数及び送信電力を場所に応じてコントロールする周波数管理システムである。
- ①既存システム情報(固定局+電波天文)を取得し、②SPモードデバイスから位置情報の提供を受け、③位置情報に応じた利用可能周波数チャネルリストと共に送信電力をSPモードデバイスに提供することになる。
等価等方輻射電力(e.i.r.p.):
- SPアクセスポイント及び固定クライアントデバイスは4W以下、SPクライアントは1W以下
- 屋外設置されるSPアクセスポイントおよび固定クライアントデバイスは、水平面に対して仰角30度を超えるところで測定されるe.i.r.p.の最大が21 dBm(125 mW)を超えないこと。
あと「5GHz帯無線LANのDFS高度化に係る技術的条件」の話。 「パンクチャリング」や「オフチャネルCAC」に対応することで 5GHz 帯をより有効活用できると。
(中略)
- 欧米においては、パンクチャリング及びオフチャネルCACは既に導入されており、我が国の検討では、欧州の規定をもとに検討を行うこととした。
- 現行制度に対して、IEEE 802.11axで規定されるスペクトラムマスクを前提としたパンクチャリングを設定することで共用条件が維持され、共用可能となることを確認した。
対応 AP が揃うと、かなり便利になりそう。
》 シャオミ、タブレット値上げ 最大32%、メモリ高騰など背景 (ITmedia, 4/17)
》 AI時代でも米国のセキュリティリーダーたちは実質週6日以上勤務、精神的な負担も (Internet Watch, 4/14)
》 映画などのストーリーの全容を文字起こしした「文字抜き出しサイト」運営者に有罪判決 (Internet Watch, 4/16)。地裁判決。
》 アフィリエイターがこぞって勧めるShellの充電器は買うなという話 (techK / note, 2025.12.22)
つまり、Shell充電器は、無名メーカーの製品を無名企業が仕入れ、国が名指しで指摘するハイリスクな事業者が認証を行い、Shellのロゴを付けて販売している状況というわけです。
洋上積み替え原油が再び日本に、中東緊迫化で異例の調達続く (ブルームバーグ, 4/16)
ブルームバーグがまとめた船舶追跡データによると、オマーンのミナ・アル・ファハル港で、中型サイズのタンカー「Shenlong」に積まれていた原油が、16日までにムンバイ沖でVLCCの「Bright Horizon」に積み替えられた。VLCCは約200万バレルの原油を積載できるが、中型タンカーからの積み替えであるため、Bright Horizonには約75万バレルしか積まれていない。鹿児島県の喜入港に29日に到着する予定だ。
- SHENLONG - Crude Oil TankerIMO: 9379210 (marinetraffic.com)
- BRIGHT HORIZON - Crude Oil TankerIMO: 9787780 (marinetraffic.com)
- 運航船腹 (ENEOS オーシャン)
中東原油を巡ってはホルムズ海峡を経由しない代替ルートとしてアラブ首長国連邦(UAE)のフジャイラ港や紅海沿岸のヤンブー港が注目を集めているが、中東情勢が緊迫化する中でいずれの海域も安全とは言い切れない状況だ。そのため危険海域への航行に慎重な買い手の間では、今回のような積み替え手法の活用が広がる可能性がある。米国産原油に買い殺到 空っぽタンカー、喜望峰―メキシコ湾に大行列 (日経, 4/17)
Production Of AH-64 Apache’s New Counter-Drone Cannon Shell Ammunition Ramping-Up (The War Zone, 4/16)。アパッチが塔載する 30mm 機関砲用の XM1225 航空近接信管(APEX)弾。自爆機能もあるそうで。 DeepL 訳:
さらに、自爆式近接信管弾を使用することで、目標に命中しなかった場合でも弾丸が長距離を飛行し続けるという、ドローン攻撃に伴う危険性をある程度軽減できるという利点もある。これは、標準的な高爆発性または焼夷性の砲弾では頻繁に発生する現象である。自衛隊は対戦車ヘリ全廃を決定しているけど、 対ドローン航空機としての対戦車ヘリ再認識はあるかなあ。
Cheap Interceptor Drones Proven In Ukraine Protected U.S. Troops Against Iranian Shaheds (The War Zone, 4/16)。迎撃ドローン「メロプス Merops 」。 Shahed-136 よりも安価だそうで。
Drupal
Drupal 10.5.9 / 10.6.7 / 11.2.11 / 11.3.7 で修正されている。
Drupal core - Critical - Cross-site scripting - SA-CORE-2026-001 (Drupal, 2026.04.15)
Drupal core - Moderately critical - Gadget Chain - SA-CORE-2026-002 (Drupal, 2026.04.15)
Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2026-003 (Drupal, 2026.04.15)。Drupal 11.3.x のみ影響。
Chrome 147.0.7727.101/102 for Windows/Mac および 147.0.7727.101 for Linux 出てます。31 件のセキュリティ修正。 関連:
Chrome for Android Update (Google, 2026.04.15)。Chrome 147 (147.0.7727.101) for Android。
Chrome Stable Channel Update for Desktop (Google, 2026.04.07)。Chrome 147.0.7727.55 for Linux および 147.0.7727.55/56 for Windows/Mac から stable になってたんですね。
Adobe 2026.04 定例更新。 ColdFusion が Priority: 1、Acrobat / Acrobat Reader が Priority: 2、 他は Priority: 3。
- APSB26-44 : Security update available for Adobe Acrobat Reader (Adobe, 2026.04.14)
- APSB26-32 : Security update available for Adobe InDesign (Adobe, 2026.04.14)
- APSB26-33 : Security update available for Adobe InCopy (Adobe, 2026.04.14)
- APSB26-34 : Security update available for Adobe Experience Manager Screens (Adobe, 2026.04.14)
- APSB26-36 : Security update available for Adobe FrameMaker (Adobe, 2026.04.14)
- APSB26-37 : Security update available for Adobe Connect (Adobe, 2026.04.14)
- APSB26-38 : Security update available for Adobe ColdFusion (Adobe, 2026.04.14)
- APSB26-39 : Security update available for Adobe Bridge (Adobe, 2026.04.14)
- APSB26-40 : Security update available for Adobe Photoshop (Adobe, 2026.04.14)
- APSB26-41 : Security update available for Adobe DNG SDK (Adobe, 2026.04.14)
- APSB26-42 : Security update available for Adobe Illustrator (Adobe, 2026.04.14)
Microsoft 2026.04 更新。 165 Microsoft CVE + 82 non-MS CVE (大半は Edge)。
- .NET CVE-2026-26171 CVE-2026-32178
- .NET and Visual Studio CVE-2026-32203
- .NET Framework CVE-2026-23666 CVE-2026-32226
- .NET, .NET Framework, Visual Studio CVE-2026-33116
- Applocker Filter Driver (applockerfltr.sys) CVE-2026-25184
- Azure Logic Apps CVE-2026-32171
- Azure Monitor Agent CVE-2026-32168 CVE-2026-32192
- Desktop Window Manager CVE-2026-27923 CVE-2026-27924 CVE-2026-32152 CVE-2026-32154 CVE-2026-32155
- Function Discovery Service (fdwsd.dll) CVE-2026-32086 CVE-2026-32087 CVE-2026-32093 CVE-2026-32150
- GitHub Copilot and Visual Studio Code CVE-2026-23653
- GitHub Repo: Git for Windows CVE-2026-32631
- Input-Output Memory Management Unit (IOMMU) CVE-2023-20585
- Microsoft Brokering File System CVE-2026-26181 CVE-2026-32091 CVE-2026-32219
- Microsoft Defender CVE-2026-33825
- Microsoft Dynamics 365 (on-premises) CVE-2026-33103
- Microsoft Edge (Chromium-based) CVE-2026-33118 CVE-2026-33119 CVE-2026-5272 CVE-2026-5273 CVE-2026-5274 CVE-2026-5275 CVE-2026-5276 CVE-2026-5277 CVE-2026-5279 CVE-2026-5280 CVE-2026-5281 CVE-2026-5283 CVE-2026-5284 CVE-2026-5285 CVE-2026-5286 CVE-2026-5287 CVE-2026-5289 CVE-2026-5290 CVE-2026-5291 CVE-2026-5292 CVE-2026-5858 CVE-2026-5859 CVE-2026-5860 CVE-2026-5861 CVE-2026-5862 CVE-2026-5863 CVE-2026-5864 CVE-2026-5865 CVE-2026-5866 CVE-2026-5867 CVE-2026-5868 CVE-2026-5869 CVE-2026-5870 CVE-2026-5871 CVE-2026-5872 CVE-2026-5873 CVE-2026-5874 CVE-2026-5875 CVE-2026-5876 CVE-2026-5877 CVE-2026-5878 CVE-2026-5879 CVE-2026-5880 CVE-2026-5881 CVE-2026-5882 CVE-2026-5883 CVE-2026-5884 CVE-2026-5885 CVE-2026-5886 CVE-2026-5887 CVE-2026-5888 CVE-2026-5889 CVE-2026-5890 CVE-2026-5891 CVE-2026-5892 CVE-2026-5893 CVE-2026-5894 CVE-2026-5895 CVE-2026-5896 CVE-2026-5897 CVE-2026-5898 CVE-2026-5899 CVE-2026-5900 CVE-2026-5901 CVE-2026-5902 CVE-2026-5903 CVE-2026-5904 CVE-2026-5905 CVE-2026-5906 CVE-2026-5907 CVE-2026-5908 CVE-2026-5909 CVE-2026-5910 CVE-2026-5911 CVE-2026-5912 CVE-2026-5913 CVE-2026-5914 CVE-2026-5915 CVE-2026-5918 CVE-2026-5919
- Microsoft Graphics Component CVE-2026-32221
- Microsoft High Performance Compute Pack (HPC) CVE-2026-32184
- Microsoft Management Console CVE-2026-27914
- Microsoft Office CVE-2026-32190
- Microsoft Office Excel CVE-2026-32188 CVE-2026-32189 CVE-2026-32197 CVE-2026-32198 CVE-2026-32199
- Microsoft Office PowerPoint CVE-2026-32200
- Microsoft Office SharePoint CVE-2026-20945 CVE-2026-32201
- Microsoft Office Word CVE-2026-23657 CVE-2026-33095 CVE-2026-33114 CVE-2026-33115 CVE-2026-33822
- Microsoft Power Apps CVE-2026-26149
- Microsoft PowerShell CVE-2026-26143 CVE-2026-26170
- Microsoft Windows CVE-2026-32181
- Microsoft Windows Search Component CVE-2026-27909
- Microsoft Windows Speech CVE-2026-32153
- Node.js CVE-2026-21637
- Remote Desktop Client CVE-2026-32157
- Role: Windows Hyper-V CVE-2026-26156 CVE-2026-32149
- SQL Server CVE-2026-32167 CVE-2026-32176 CVE-2026-33120
- Universal Plug and Play (upnp.dll) CVE-2026-32212 CVE-2026-32214
- Windows Active Directory CVE-2026-32072 CVE-2026-33826
- Windows Admin Center CVE-2026-32196
- Windows Advanced Rasterization Platform CVE-2026-26178
- Windows Ancillary Function Driver for WinSock CVE-2026-26168 CVE-2026-26173 CVE-2026-26177 CVE-2026-26182 CVE-2026-27922 CVE-2026-32073 CVE-2026-33099 CVE-2026-33100
- Windows Biometric Service CVE-2026-32088
- Windows BitLocker CVE-2026-27913
- Windows Boot Loader CVE-2026-0390
- Windows Boot Manager CVE-2026-26175
- Windows Client Side Caching driver (csc.sys) CVE-2026-26176
- Windows Cloud Files Mini Filter Driver CVE-2026-27926
- Windows COM CVE-2026-20806 CVE-2026-32162
- Windows Common Log File System Driver CVE-2026-32070
- Windows Container Isolation FS Filter Driver CVE-2026-33098
- Windows Cryptographic Services CVE-2026-26152
- Windows Encrypting File System (EFS) CVE-2026-26153
- Windows File Explorer CVE-2026-32079 CVE-2026-32081 CVE-2026-32084
- Windows GDI CVE-2026-27930 CVE-2026-27931
- Windows Hello CVE-2026-27906 CVE-2026-27928
- Windows HTTP.sys CVE-2026-33096
- Windows IKE Extension CVE-2026-33824
- Windows Installer CVE-2026-27910
- Windows Kerberos CVE-2026-27912
- Windows Kernel CVE-2026-26163 CVE-2026-26179 CVE-2026-26180 CVE-2026-32195 CVE-2026-32215 CVE-2026-32217 CVE-2026-32218
- Windows Kernel Memory CVE-2026-26169
- Windows Local Security Authority Subsystem Service (LSASS) CVE-2026-26155 CVE-2026-32071
- Windows LUAFV CVE-2026-27929
- Windows Management Services CVE-2026-20930
- Windows OLE CVE-2026-26162
- Windows Print Spooler Components CVE-2026-33101
- Windows Projected File System CVE-2026-26184 CVE-2026-27927 CVE-2026-32069 CVE-2026-32074 CVE-2026-32078
- Windows Push Notifications CVE-2026-26167 CVE-2026-26172 CVE-2026-32158 CVE-2026-32159 CVE-2026-32160
- Windows Recovery Environment Agent CVE-2026-20928
- Windows Redirected Drive Buffering CVE-2026-32216
- Windows Remote Desktop CVE-2026-26151
- Windows Remote Desktop Licensing Service CVE-2026-26159 CVE-2026-26160
- Windows Remote Procedure Call CVE-2026-32085
- Windows RPC API CVE-2026-26183
- Windows Secure Boot CVE-2026-25250
- Windows Sensor Data Service CVE-2026-26161
- Windows Server Update Service CVE-2026-26154 CVE-2026-26174 CVE-2026-32224
- Windows Shell CVE-2026-26165 CVE-2026-26166 CVE-2026-27918 CVE-2026-32151 CVE-2026-32202 CVE-2026-32225
- Windows Snipping Tool CVE-2026-32183 CVE-2026-33829
- Windows Speech Brokered Api CVE-2026-32089 CVE-2026-32090
- Windows SSDP Service CVE-2026-32068 CVE-2026-32082 CVE-2026-32083
- Windows Storage Spaces Controller CVE-2026-27907 CVE-2026-32076
- Windows TCP/IP CVE-2026-27921 CVE-2026-33827
- Windows TDI Translation Driver (tdx.sys) CVE-2026-27908
- Windows Universal Plug and Play (UPnP) Device Host CVE-2026-27915 CVE-2026-27916 CVE-2026-27919 CVE-2026-27920 CVE-2026-27925 CVE-2026-32075 CVE-2026-32077 CVE-2026-32156
- Windows USB Print Driver CVE-2026-32223
- Windows User Interface Core CVE-2026-27911 CVE-2026-32163 CVE-2026-32164 CVE-2026-32165
- Windows Virtualization-Based Security (VBS) Enclave CVE-2026-23670 CVE-2026-32220
- Windows WalletService CVE-2026-32080
- Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys) CVE-2026-27917
- Windows Win32K - GRFX CVE-2026-33104
- Windows Win32K - ICOMP CVE-2026-32222
0-day は 2 件。
Microsoft Defender Elevation of Privilege Vulnerability CVE-2026-33825 (Microsoft, 2026.04.14)。local user による権限上昇。情報公開のみ。 Defender の自動更新により対応済。
Microsoft SharePoint Serverのスプーフィング脆弱性 CVE-2026-32201 (Microsoft, 2026.04.14)。「権限のない攻撃者がネットワーク経由でなりすましを行うことが可能」。攻略済。 DeepL 訳:
よくある質問
CVSS指標によると、この脆弱性が悪用された場合、機密性(C:L)および完全性(I:L)に何らかの損失が生じる可能性がありますが、可用性(A:N)の損失は生じません。この脆弱性の影響はどのようなものですか?
この脆弱性を悪用することに成功した攻撃者は、一部の機密情報を閲覧したり(機密性)、公開された情報を改ざんしたり(完全性)することは可能ですが、リソースへのアクセスを制限することはできません(可用性)。関連:
【Windows11】 WindowsUpdate 2026年4月 不具合情報 - セキュリティ更新プログラム KB5083769 [Update 2] (ニッチなPCゲーマーの環境構築Z, 2026.04.17 更新)
【Windows10】 WindowsUpdate 2026年4月 不具合情報 - セキュリティ更新プログラム K5082200 [Update 1] (ニッチなPCゲーマーの環境構築Z, 2026.04.15 更新)
KB5083769をインストールできない不具合。0x800f0983や0x80070020エラー等で失敗。解決策あり (ニッチなPCゲーマーの環境構築Z, 2026.04.17)。Windows 11 24H2/25H2 方面。
KB5083769にBitLocker関連の不具合。インストール後、BitLocker回復画面が表示される場合あり [Update 1: Win10 KB5082200などでも発生] (ニッチなPCゲーマーの環境構築Z, 2026.04.15)
米、13日からイラン港湾封鎖へ 中央軍が発表 (Wall Street Journal, 4/13)、 米のホルムズ海峡封鎖、5つのポイント (Wall Street Journal, 4/14)
イラン革命防衛隊の小型船団、ホルムズ海峡なお支配 (Wall Street Journal, 4/13)
アメリカの「海上封鎖」発表から約1日,ホルムズ海峡で何が起きたのか (渡邉英徳研究室 / note, 4/14)
これらを総合すると,現在のホルムズ海峡は,アメリカが外側から圧力を加え,イランが内側で通航レーンを管理する,「二層の秩序」のもとにあるとみみられます。アヴェンジャー級掃海艇、西へ
- 掃海艦艇が米海軍から消滅の危機!? 残すは佐世保にいるだけ「後継考えてなかったの?」 (乗りものニュース, 2025.10.01)。2027年退役予定と。
- Flurry Of Navy Minesweepers Appear To Be Heading Toward The Middle East (The War Zone, 4/13)。DeepL 訳:
アベンジャー級駆逐艦のUSS チーフとUSS パイオニアが、4月8日にシンガポールに到着する姿が確認され、4月10日には西へ向かうのが目撃された。これらは、現在も米海軍が保有するアベンジャー級駆逐艦の半数を占めており、同級艦はすべて日本の佐世保に前方展開している。結局 LCS はどうなっているのだろう。米海軍、希少で高価なドローン失う ペルシャ湾上空 (CNN, 4/16)。MQ-4C。
この件: Navy MQ-4C Triton Surveillance Drone Crash In The Middle East Finally Confirmed (The War Zone, 4/14)
トランプ政権に財界が警告 「戦争長期化は経済に打撃」 (Wall Street Journal, 4/13)
サウジ、米国にホルムズ封鎖の解除要請 (Wall Street Journal, 4/14)
イランで強硬派回帰の動き、戦前より事態「悪化」 (Wall Street Journal, 4/15)
イラン軍、米国が港湾封鎖継続するなら紅海封鎖と警告 (AFP, 4/16)
》 アゼルバイジャン機墜落、ロシアが賠償合意 ミサイルの誤射認める (朝日, 4/15)。 アゼルバイジャン航空8243便墜落事故 (ウィキペディア) の件。
声明では、「ロシアの防空システムの意図しない動作」が原因と記載し、ミサイルの誤射を認めた。2025.10 のプーチン発言の段階では「事実上認める」だったのが、今回は文書に明記の上、 賠償もすると。
》 「OpenSSL 4.0」が公開 ~13カ月サポートされるレギュラーリリース (ITmedia, 4/15)
》 LINEヤフー、韓国NAVERとのシステム分離を完了 情報漏えい事案の再発防止策で (ITmedia, 4/15)。ようやく完全に分離された模様。
》 Amazon、“アフィ広告をXで有料ブースト”報酬対象外に (ITmedia, 4/15)
》 なぜXの「歌ってみた」だけ音を消す? JASRAC「Xとは契約していない」と解説 YouTubeやTikTokは契約済み (ITmedia, 4/15)
》 シエナ副社長 ソレンセン氏「海底ケーブル産業の現在と未来 オープンケーブル移行とルート多角化で変容」 (Business Network, 4/13)
ソレンセン 現在、CIFケーブルは45本以上あり、そこから、地政学リスクが敷設ルートに大きく影響していることが分かります。特に、建設が困難とみなされている南シナ海とインドネシアを回避する傾向が見られます。
一例が、5大陸を結ぶメタの「Project Waterworth(Project W)」です。米東海岸からブラジル、アフリカ南端を経由してインド、マレーシア、オーストラリアを経て米国西海岸へ戻る地球一周プロジェクトであり、南シナ海とインドネシア沿岸、そして、ケーブル建設が事実上不可能な紅海を避ける南回りルートを採用しています。
- Project Waterworth (Submarine Cable Map)
グーグルも、アフリカ西海岸を通るEquianoや、南アと豪州を直結するUmojaで同じ戦略を採っています。また、アジア域内でも、従来は南シナ海を経由していた日本−シンガポール間ルートを補完するため、フィリピンやボルネオの東を通る「Apricot」「Echo」が建設されています。
SoftEther VPN Developer Edition
Pre-Auth EAP-TLS DoS on SoftEther VPN Developer Edition 5.2.5188 (SoftEtherVPN)。SoftEther VPN 4.0 Stable Edition にはこの欠陥はない。 CVE-2026-39312
JVNDB-2026-011226 筑波大学 SoftEther VPN ProjectのSoftEther VPNにおける過剰なサイズ値のメモリ割り当てに関する脆弱性 (JVN, 2026.04.16)
nginx-ui
Actively Exploited nginx-ui Flaw (CVE-2026-33032) Enables Full Nginx Server Takeover (The Hacker News, 2026.04.15)
- Unauthenticated MCP Endpoint Allows Remote Nginx Takeover (0xJacky/nginx-ui / GitHub)
- CVE-2026-33032
In versions 2.3.5 and prior, the nginx-ui MCP (Model Context Protocol) integration exposes two HTTP endpoints: /mcp and /mcp_message. While /mcp requires both IP whitelisting and authentication (AuthRequired() middleware), the /mcp_message endpoint only applies IP whitelisting - and the default IP whitelist is empty, which the middleware treats as "allow all".- https://github.com/0xJacky/nginx-ui/releases (GitHub)。2.3.4 と 2.3.5 には「This update includes several security patches」との文言があるのだが、2.3.6 にはそういう文言はないんだよなあ。
学ばないトランプ氏、米国と世界のリスク-最も強力で危険な「生徒」 (ブルームバーグ, 4/14)
ホルムズ海峡「逆封鎖」、トランプ氏が突き進む勝ち目なき戦い (ブルームバーグ, 4/14)
コラム:ホルムズ封鎖が生む「新常態」、新たな紛争の序章となるか (ロイター, 4/14)
中東のオイルマネーが支えたドル覇権、「暗黙の取り決め」に終止符 (ブルームバーグ, 4/12)
自身をキリストに似せた?トランプ大統領がSNSに画像投稿→批判相次ぎ削除 イラン大統領もトランプ氏を非難 (TBS, 4/14)
住宅建設全面停止へ
TOTO、ユニットバスの受注停止へ ホルムズ封鎖、ナフサ不足で (朝日, 4/13)
石油由来のナフサを加工して原料が作られており、 TOTOは「調達のメドは立っていない。10日までに受注したものは予定通りに納品する」としている。LIXILやパナソニック系、ユニットバスなど「納期未定」 ナフサ調達難 (日経, 4/14)
TOTOの新規受注停止を受け通常を上回る発注を受けたことに加え、中東情勢の緊迫化で原油由来のナフサ(粗製ガソリン)からつくる素材調達が不安定なためだ。
受注そのものは止めないが出荷は確約せず、今後の状況によっては受注停止する可能性もあるとする。クリナップがシステムバスルームの注文停止、中東情勢で原材料調達難 (ブルームバーグ, 4/14)
「マンションの防水塗装、全部ストップしている」事業者も ナフサ原料”シンナー”が不足深刻 (RKB毎日放送 / Yahoo, 4/14)
ホルムズ海峡封鎖でナフサ不足 ラップ値上げへ シンナー高騰 テープも入手困難に (TV朝日, 4/14)
アスクル、一部商品で購入制限 中東情勢の影響で (ITmedia, 4/14)
日銀が物価見通しの大幅引き上げ検討へ、中東情勢受け原油高-関係者 (ブルームバーグ, 4/14)
ナフサ供給上の問題ない、国内で必要な量を確保と認識=木原官房長官 (ロイター, 4/14)。壊れたテープレコーダー感。
赤澤経産相、シンナー供給「目詰まり解消に向かう」 出荷半減していた塗料メーカーや卸業者に要請 (日刊自動車新聞 / Yahoo, 4/14)。局所的・短期的に解消しても、 後が続かない。
コラム:イラン攻撃で浮き彫りになる日本特有の「正常性バイアス」=熊野英生氏 (ロイター, 4/14)
》 H3ロケット打ち上げ失敗原因 衛星土台部品の接着剥がれる JAXA (NHK, 4/13)。こちらです。
宇宙開発利用部会 調査・安全小委員会(第62回) 配付資料 (文科省, 4/13)
》 「NHKスペシャル」のドラマに、クボタトラクタが登場します(4/5(日)・12(日)放送) (クボタ / Facebook, 4/1)。NHKスペシャル「富士山大噴火 迫る“灰色の悪夢”」の件。トラクター最強説は 2022 年のウクライナでも実証されてますしね。 やっぱり一家に一台トラクター?
こういう時はやっぱり宇宙刑事御用達のジムニーじゃね? と思ってぐぐってみると、 砂浜を車で走るための必須装備とおすすめアイテムまとめ (ジムニーフリーク!, 2025.07.21)
一般的に、同じタイヤサイズであれば、車両重量が軽い方が接地圧が低くなるため、砂に沈み込みにくく、有利とされています。スズキ ジムニーのような軽量なオフロード車が、砂浜でも軽快に走行できるのはこのためです。
ただし、ランドクルーザーのような重量級の車両でも、後述するタイヤの空気圧調整を適切に行えば、接地面積を増やして接地圧を下げ、高い走破性を発揮することが可能です。4WD は必須だが、重量級でも調整すれば ok と。
》 米のホルムズ封鎖は大規模な軍事作戦に、イラン報復も=専門家 (ロイター, 4/13)。脳内で 「ノストラダムスの大予言 オリジナル・サウンドトラック」がマジで鳴り止まないんだ。 ほんとかんべんしてくれ。
》 メスのマウスのDNA配列をたった1文字分変えただけでオスの生殖器が発達したという報告 (gigazine, 4/13)。マジか。そんな程度の差異でできるとは。
》 米海軍DDGへのC-UAS用Hellfire/JAGM発射機搭載 (OSINFO, 4/9)。UAV / USV 対策としてヘルファイアランチャーが塔載された様子が捉えられたそうです。 ペルシャ湾内に突入したアーレイ・バーク級 DDG Frank E. Petersen Jr. と Michael Murphy (どちらもフライト IIA) にも塔載されている……んだろうなあ多分。
米中央軍はX(旧ツイッター)への投稿で、駆逐艦「フランク・E・ピーターセン」と「マイケル・マーフィー」の両艦が「ホルムズ海峡を通過し、アラビア湾で活動に当たった。イスラム革命防衛隊によって敷設された機雷の完全除去を確実なものとする広範な任務の一環だ」と説明した。イランとの戦争が1カ月以上前に始まって以降、米艦船のホルムズ海峡通過が確認されたのは初めて。どちらにも機雷戦能力は無いので、 機雷戦能力を持つ艦 (LCS) にイージスシステムによる防空の傘を提供する…… のかなあ。
》 ロシアのサイバー攻撃グループ「APT28」が、古いルーターの脆弱性を悪用したDNSハイジャック攻撃。米英機関が情報公開 (Internet Watch, 4/10)
》 「CPU-Z」「HWMonitor」にマルウェアが混入か!? 配布サイト「CPUID」にハッキングの被害 (窓の杜, 4/10)。「窓の杜ライブラリ収録の「CPU-Z」には問題なし」。
Acrobat / Acrobat Reader に 0-day 、 任意のコードの実行を招く欠陥。 ひさびさの Priority: 1。 CVE-2026-34621
Revisions:
- April 12, 2026: Adjusted CVSS Attack Vector from Network (AV:N) to Local (AV:L), changing the overall CVSS from 9.6 to 8.6.
当初は remote から任意のコードを実行可能、と思われていたが、local からのみの模様。
Acrobat DC / Acrobat Reader DC 26.001.21411、 Acrobat 2024 24.001.30362 (Windows) / 24.001.30360 (Mac) で修正されている。
》 海底ケーブル防衛に新技術 中ロの破壊工作阻止へ (Wall Street Journal, 4/10)。とはいえ、根本的な解決は難しいよなあ。
》 ネタニヤフ首相はイラン停戦合意に異議 トランプ大統領との亀裂が示す戦争の現在地 (ブルームバーグ, 4/10)
関係者の話では、ネタニヤフ、ウィトコフ、クシュナー氏の3氏は過去数週間、イランの脅威を押し返すため軍事作戦の継続・強化を主張してきた。一方で、ウィトコフ、クシュナー両氏は並行的な交渉には一定の柔軟姿勢を示していたのに対し、ネタニヤフ氏は外交再開に強く反対していたという。この3人(特にネタニヤフ)が「バカには見えない服」を王様に売り込んだ張本人なんだよなあ。ほんと糞。
関連:
パキスタンはなぜ米イラン停戦を仲介できたのか?元駐米大使が語る世界秩序の変化 (ブルームバーグ, 4/10)
──ホルムズ海峡は、米国が十分に考慮していなかった要素だったように見えます。
はい、その通りです。米国はいくつかの誤算を犯しましたが、これもその一つです。もう一つは、イランの指導部を排除すれば体制が崩壊するだろうという見方でした。
最終的に、米国はナショナリズムの力を過小評価しています。これは歴史を通じて繰り返されてきたことであり、ベトナム、アフガニスタン、イラク、そして今回のイランでも同様です。イランを攻撃すれば体制に反対する人々が立ち上がると本気で考えていました。しかし戦争は逆の効果をもたらします。人々は結束し、内部の違いを忘れ、より一体感のある国家になります。まさに今回起きたのはその通りの展開でした。
──それが今回、米国に学んでほしい教訓だということですか。あなたは歴代の米政権と関わってきましたし、9.11の際には米ワシントンでパキスタン大使を務めていました。
9.11直後のことをよく覚えています。当時、パキスタン当局は米国に対し、非公式にこう助言しました。「アフガニスタンに進攻して占領すべきではない。軍事行動は短期かつ限定的にすべきだ。占領軍になってはならない」と。
なぜかと言えば、この地域での経験から、人々は外部の勢力に抵抗すること、外国による占領に反発することが分かっていたからです。そして実際にその通りの結果となりました。
米国は自国に強い誇りを持っています。人々は国旗を掲げますが、他国にも同様に自国に誇りを持ち、それを守ろうとする人々がいることを十分に理解していません。イランが証明:経済戦争を仕掛けるのに超大国の必要なし (Wall Street Journal, 4/10)
停戦合意で勢いづくイラン、恐れる湾岸諸国 (Wall Street Journal, 4/9)
イラン、軍に甚大な損失でもなお「勝利」と考える理由 (Wall Street Journal, 4/10)
米、イスラエルに自制求める 停戦崩壊阻止へ奔走 (Wall Street Journal, 4/10)
》 アイ・オー・データ、Blu-rayドライブとディスク販売継続を発表 (ニッチなPCゲーマーの環境構築Z, 4/8)。よかったね。
》 ホルムズ海峡「無許可通航なら船舶破壊」 イラン警告、全面開放遠く (日経, 4/9)。結局、戦争大好きイスラエルが各国の努力をめちゃくちゃにするんだよな。 マジクソ。
イスラエル、レバノンに大規模攻撃 ヒズボラは停戦合意に従い戦闘一時停止 (ロイター, 4/8)
ヒズボラ、イスラエルにロケット弾攻撃 レバノン攻撃は「停戦違反」 (ロイター, 4/9)
「10分間で100か所」イスラエル軍がヒズボラに最大規模の攻撃 イランはホルムズ海峡を再び封鎖か (TBS / Yahoo, 4/9)
イランがホルムズ海峡「再封鎖」表明、イスラエルのヒズボラ攻撃「停戦合意違反」と…米は「対象外」と主張 (読売, 4/9)
関連:
本国では上映禁止、イスラエル首相のドキュメンタリー「ネタニヤフ調書」が日本で記録的ヒット (映画.com / Yahoo, 4/7)j
》 子供にマイナンバーカードを作ったら巨大な落とし穴があった話 (小寺信良 / ITmedia, 4/2)
さあ現地に着きました。荷物の搬入も終わりました。じゃあ転出届をオンラインで出すぞ、となった途端、詰んだ。
転出するには署名用電子証明書とそれを利用するためのパスワードが必要になる。ところが、息子がマイナンバーカードを作ったのが14歳の時だったのだ。
マイナンバーカードは、15歳未満には署名用電子証明書が付与されないという仕様になっている。パスワードを忘れたという話はよくあるが、証明書自体が入っていないというケースがあることを、うかつにも知らなかった。そうなんだ。へぇ。
関連:
「子供のマイナカードむずすぎ」問題 成長で顔認証も通らない? (岡田有花 / ITmedia, 4/6)
一方で、マイナカードがそもそも大人向けを前提に設計されていると感じる。子供が小さいうちは親が管理する前提。15歳未満に「署名用電子証明書」を希望しない限りは発行しない(パスワードを設定させない)ことで、親の負担は減る面はあるだろうが、そのせいで子供の転出・転入が手作業になり、より面倒になった小寺さんの事例を見ると、子供と大人に同じシステムを使わせる際の設計の難しさを感じる。マイナンバーカードに搭載された電子証明書(公的個人認証)の発行について (世田谷区)
※ご本人が15歳未満の場合もしくは成年被後見人、被保佐人、被補助人、任意被後見人の場合は、以下の資料をご準備のうえ、法定代理人がご申請ください。
15歳未満の方と成年被後見人の方は、原則、署名用電子証明書は発行されません。
強いご希望があり、発行を行いたい場合は、必ずご本人と法定代理人が一緒に来所してください。
1.本人のマイナンバーカード
2.法定代理人の本人確認書類A書類【詳しくは「マイナンバー制度に関する本人確認資料一覧」】
※A書類の提示ができない場合、お手続きはできません。
3.代理権確認書類
本人が18歳未満の場合:戸籍謄本(法定代理人が本人と住民票上同世帯の場合は不要)
本人が成年被後見人、被保佐人、被補助人、任意被後見人の場合:登記事項証明書、登記事項証明書の代理行為目録。マイナンバーカードへの電子証明書の追加方法 (府中市)。15歳になったので署名用電子証明書を追加したい、という場合はこれを実施すればよいみたい。
》 離れて暮らす家族を自然に見守る「そっと見守るWi-Fiセンシングプラグ」、サイチが発売 (Internet Watch, 4/8)
米とイラン 2週間停戦で合意 “海峡 安全航行可能”イラン外相 (NHK, 4/8)
トランプ氏「イラン攻撃2週間停止」 ホルムズ海峡の開放を条件に (日経, 4/8)
米・イランが即時停戦合意、仲介国パキスタン発表 恒久解決へ10日協議 (日経, 4/8)
イラン、ホルムズ海峡「2週間の安全通航可能に」 外相表明 (日経, 4/8)
トランプ氏、イラン攻撃2週間停止で合意 「文明滅亡」脅しから一転 (ロイター, 4/8)
イスラエル、イランとの停戦支持 レバノンは対象外と首相府 (ロイター, 4/8)
米・イランが2週間の停戦合意、ホルムズ海峡の航行可能に…イラン外相が声明 (読売, 4/8)
米とイラン 2週間停戦で合意 “海峡 安全航行可能”イラン外相 (NHK, 4/8)
影響。
ジェット燃料、ホルムズ海峡再開しても供給回復に数カ月=IATA事務局長 (ロイター, 4/8)
イラクの原油輸出、ホルムズ海峡再開で1週間以内に戦前水準に回復可能 (ロイター, 4/8)
イラクの国営バスラ石油会社のバセム・アブドゥルカリム社長はロイターのインタビューに応じ、米国とイスラエルが2月末にイランを攻撃して始まった戦争が終結してホルムズ海峡が再開されれば、原油輸出量を1週間以内に戦争が始まる前の日量約340万バレルの水準まで迅速に回復させることが可能だと述べた。 (中略) 戦争開始前のイラクの原油生産量は日量約430万バレルで、戦争による損傷を考慮しても日量340万バレルを輸出するだけの十分な余力が残されている。薄氷米イラン フーシ派狙うパイプライン、報復応酬なら原油200ドルも (日経ビジネス, 4/8)
OpenSSL 3.6.2 / 3.5.6 / 3.4.5 / 3.3.7 / 3.0.20 公開。 またプレミアサポートから OpenSSL 1.1.1zg / 1.0.2zp が有償公開されている。 以下を修正:
Severity: Moderate
- Incorrect Failure Handling in RSA KEM RSASVE Encapsulation (CVE-2026-31790)
Severity: Low
- Out-of-bounds Read in AES-CFB-128 on X86-64 with AVX-512 Support (CVE-2026-28386)
- Potential Use-after-free in DANE Client Code (CVE-2026-28387)
- NULL Pointer Dereference When Processing a Delta CRL (CVE-2026-28388)
- Possible NULL Dereference When Processing CMS KeyAgreeRecipientInfo (CVE-2026-28389)
- Possible NULL Dereference When Processing CMS KeyTransportRecipientInfo (CVE-2026-28390)
- Heap Buffer Overflow in Hexadecimal Conversion (CVE-2026-31789)
iida さん情報ありがとうございます。
Android
致命的な脆弱性に対処したAndroid OSの2026年4月セキュリティ更新が発表 (窓の杜, 2026.04.07)
Firefox 149.0 / ESR 140.9.0 / ESR 115.34.0、Thunderbird 149.0 / 140.9.0esr 公開 (2026.03.26)
Firefox 149.0.2 / ESR 140.9.1 / ESR 115.34.1、 Firefox for Android 149.0.2、 Thunderbird 149.0.2 / 140.9.1esr 公開。 セキュリティ修正を含みます。
Firefox 149.0.2、Firefox for Android 149.0.2 がリリースされた (mozillaZine, 2026.04.08)
Thunderbird 149.0.2 がリリースされた (mozillaZine, 2026.04.08)
》 クローズアップ現代 ホルムズ海峡“封鎖” 長期化で何が? (NHK, 3/31)。ようやく見たのですが、よい番組ですね。
そもそも絶対量が足りてない、 上流企業が対応として減産してしまっているため下流の影響は避けられない、 ことがよくわかります。 政府のプロパガンダと現場との乖離がすごい。
見のがし配信は本日 4/7 19:57 までだそうです。
関連: ナフサ、高市首相「在庫4カ月」で安心? 状況改善でも一部化学品は不足 (日経, 4/7)
目詰まりが顕在化している事例の一つがシンナーだ。建設や自動車など向けの塗料の希釈液として使われ、用途ごとに複数の化学品を混ぜ合わせる。材料が1つでも欠けると製造は難しく、日本ペイントホールディングスは「原料逼迫で自助努力ではどうしようもない」と嘆く。
足元では原油やナフサの調達難で、シンナーの主要材料であるトルエンやキシレンの生産も減っているもようだ。日本ペイントはシンナー製品全般で75%、関西ペイントも50%以上の値上げを決め、出荷制限も一部始めた。シンナーを調達しインキを手がけるartience(アーティエンス)はシンナーなど溶剤の「納入時期が遅延し見通しが不透明になっている」と話す。ナフサ価格が更に上がり価格転嫁が進んだ場合、石油化学コンサルタントの柳本浩希氏は「加工メーカー側が高値の材料を買うことができず、生産できない可能性も出てくる」と指摘する。
》 マレーシア船、ホルムズ海峡を無事通過 (ロイター, 4/7)。オーシャン・サンダー Ocean Thunder。
イラク産原油タンカー、ホルムズ海峡通過のもよう-供給不安続く中 (ブルームバーグ, 4/6)。イラン「安全回廊」を通過。
OCEAN THUNDER Crude Oil Tanker IMO: 9416422 (marinetraffic.com)
》 RQ-180’s Likely Role Over Iran Foreshadowed By Secret Cold War Stealth Drone Program (The War Zone, 4/6)
》 Everything We Now Know About The Operation To Rescue The F-15E WSO (The War Zone, 4/6)
》 How Pakistan’s solar boom is shielding it from worst of Iran war crisis (aljazeera, 4/7)。パキスタンで太陽光発電が大ブームだそうで。 DeepL 訳:
しかし、アナリストによると、その恩恵を受けているのは主にパキスタンの中流階級の上層や上流階級の人々だという。太陽光発電システムの導入にかかる初期費用は、システムの規模やバッテリーの種類によって、数十万ルピーから100万ルピー以上にも及ぶ。経済的に恵まれないパキスタン人にとって、その費用は手が出ない額だ。
》 アングル:ホルムズ海峡封鎖で中東産油国に明暗、イラクに打撃 サウジは恩恵 (ロイター, 4/7)
》 エンドツーエンド暗号化が売りのスイス製メッセージングアプリに「斜め上の欠陥」が? (やじうま Watch, 4/3)。TeleGuard。キーエスクローが売り……というわけではないようで。
》 Geminiに特定の漢字を繰り返し出力させると暴走、無関係な文章を出力する現象が話題に (やじうま Watch, 4/6)。 Geminiの「証拠」プロンプトで奇妙なハルシネーション連発 (twitter) では、バグというより仕様では? という声も。
》 Wi-Fi対応でリモート接続がカンタンなIP KVM登場! GL.iNet「Comet Pro(GL-RM10)」 (Internet Watch, 4/6)。 4社のメーカーのIP-KVMに脆弱性があることが明らかに (2026.03.18) で問題とされた件はファームウェア 1.8.2 で修正されている模様。 指摘されたのは GL-iNet Comet (GL-RM1) だが Comet Pro (GL-RM10) も同様のように見える。
》 イランの攻撃でAWSのドバイとバーレーンのリージョンが「完全にダウン」状態、Amazonは長期間にわたって利用不可になるとの見通しを示す (gigazine, 4/6)
》 オープンAIの動画生成「ソラ」、開発断念した舞台裏 (Wall Street Journal, 4/1)
世界ユーザー数は公開直後に約100万人を記録した。だが二度とその水準に戻ることはなかった。シミラーウェブのデータによると、続く数カ月で50万人を割り込むまでに減少した。
事情に詳しい関係者らによると、ソラは1日に約100万ドルの赤字を出していた。オープンAIは、開発中の新しい「スーパーアプリ」に軸足を移す予定だ。 (中略) このような生産性を向上させる製品は、職場で広く採用されつつあり、オープンAIは今のところ、この市場のシェアで競合するアンソロピックに後れを取り、AI競争をリードする立場が危ぶまれている。
》 イラン 一時的停戦を拒否「恒久的な戦闘終結が必要」 アメリカからの提案に対し (TBS, 4/7)。イランからすりゃ、そりゃそうだわなあ。 関連:
Trump Says Iran Proposal Isn’t Enough to Stop Attacks on Bridges and Power Plants (NYTimes, 4/6)
Iran’s 10-Point Proposal Demands an End to Attacks and Sanctions (NYTimes, 4/6)
ホルムズ海峡の支配、イラン戦争の勝者を決める (Wall Street Journal, 4/3)
イラン政府は実際のところ、ホルムズ海峡について極めて野心的な計画を発表している。イラン議会の国家安全保障委員会は、通過する船舶に通航料の支払いを義務付け、非友好国をペルシャ湾から締め出す新法案をすでに承認。これはイラン政府が欧州諸国や日本などに対イラン経済制裁の解除を強制し、同時に米海軍を湾岸海域から恒久的に追放する手段となる。
同委員会のエブラヒム・アジジ委員長は、「(ドナルド・)トランプ米大統領はついに体制交代の夢を実現したが、それは地域の海洋体制における交代だ。ホルムズ海峡は確実に再開されるが、米国のためではない。イランの新法に従う者のために開かれる」とした。強固なイラン体制、忠誠と引き換えに経済的便宜 (Wall Street Journal, 3/30)
原油価格 一時114ドル台に 約3年10か月ぶりの高値で取引終了 トランプ大統領による“イラン攻撃警告”受け (TBS, 4/7)
Windows に 0-day 欠陥。local user が SYSTEM 権限を取得できる。 PoC が公開されている。
FortiClient の統合管理・配布サーバー FortiClient EMS 7.4.5〜7.4.6 に 0-day 欠陥。認証・認可を回避できるため、remote から無認証で任意のコード・コマンドを実行できる。 FortiClient EMS 7.2 系列にはこの欠陥はない。 CVE-2026-35616。
FortiClient EMS 7.4.5 / 7.4.6 用の hotfix が用意されている。また 7.4.7 (未リリース) で修正される予定。
「Google Chrome 146」には脆弱性の修正も ~深刻度「Critical」を含む29件に対処 (2026.03.12)
Chrome 146.0.7680.177/178 for Windows / Mac および 146.0.7680.177 for Linux が 2026.03.31 付で公開されています。 0-day 欠陥 CVE-2026-5281 への対応を含みます。
Stable Channel Update for Desktop (Google, 2026.03.31)
Chrome for Android Update (Google, 2026.03.31)。Chrome 146 (146.0.76380.177) for Android。
「Microsoft Edge」にゼロデイ脆弱性、WebGPU実装「Dawn」の欠陥を突く攻撃が確認 修正版のv146.0.3856.97が展開中、できるだけ早い適用を (窓の杜, 2026.04.06)。 CVE-2026-5281 対応。
4社のメーカーのIP-KVMに脆弱性があることが明らかに (2026.03.18)
GL-iNet Comet (GL-RM1)、ファームウェア 1.8.1 でも直っていなかった 2件 CVE-2026-32290 CVE-2026-32291 は ファームウェア 1.8.2 で修正された模様。
- Enhanced access security: Serial port login now requires password authentication (defaults to the firmware password) to prevent unauthorized access and protect device security.
- Firmware signature verification: Added firmware signature to ensure firmware integrity and authenticity.
RFC8628 - OAuth 2.0 Device Authorization Grant (IETF, 2019.08) の仕組みを悪用した「デバイスコードフィッシング」が流行っているという話。 DeepL 訳:
OAuth 2.0のデバイス認証グラントは、入力機能が制限されたデバイスでも、ユーザーに別のデバイスでコードを入力してログインを完了してもらうことで、アプリへのサインインを可能にするために設計されました。しかし現在では、主にCLIツールにアクセスする際に使用されており、多くのユーザーが日常的にこのデバイスコードフローを利用しています。うひ〜 CLI。
前述の通り、今年はデバイスコードを標的としたフィッシング攻撃が急増しており、複数のキット、ページデザイン、および餌の種類が確認されています。実環境で流通しているキットは10種類確認されており、中でもEvilTokensが最も多く見られます。攻撃者が独自のキットを開発するだけでなく、既存のキットを基に独創的な派生版を作成していることは明らかです。攻撃ツールもいっぱいと。
理想を言えば、デバイスコードによるログインを単純にブロックすればよいのですが、環境によっては重大な混乱を招く恐れがあり、また一部のアプリでは、そのためのツールが提供されていない場合もあります。例えば、GitHubではデバイスコードがデフォルトのCLIログイン方法となっています。開発者が多い組織では、正当な利用がより多く見られる傾向があります。
Microsoftは(最初からこの機能を無効にしているGoogleを除けば)おそらく最も強力な制御オプションを提供していますが、その設定にはかなりの手間がかかります。 Microsoftは現在、過去25日間この機能を使用していないテナントに対して、デバイスコードフローをブロックすることを明示的に推奨しています。その指針として、カスタムCAポリシーを作成することが推奨されています。無効にできる部分があればそうしろと。
関連:
図解デバイスフロー(RFC 8628) (quiita, 2020.04.12) 。RFC8628 の説明。わかりやすい。
》 高市首相「長期化見据え判断」 エネルギー節約呼び掛け―参院予算委 (時事, 4/6)
参院予算委員会は6日、高市早苗首相と関係閣僚が出席し、「内外の諸課題」をテーマに集中審議を行った。首相は中東情勢悪化を踏まえたエネルギー節約の呼び掛けについて「(事態の)長期化も見据え、あらゆる可能性を排除せず、臨機応変に対応する」と述べ、需給の状況次第であり得るとの認識を示した。事ここに至るも、とりあえず何もしないと。 ホワイトハウスでタコ踊りするだけの事はある鈍感さよ。
関連: 【速報】日・イラン首脳会談を調整 高市総理「段取りをつけている」 国会で表明 (テレ朝 / Yahoo, 4/6)。具体的に何を交渉しているのかは不明。 成果も不明。 何もなさそうなのだが。
》 イランで撃墜された米軍機、高山に潜伏した乗員の発見に総力を賭けた米軍とCIAの救出作戦 (CNN, 4/6)。墜落した F-15E の兵装システム士官 (WSO) 救出作戦の件。
イラン辺境地にある飛行場では、米軍のMC130J特殊作戦機2機が特殊部隊と救出された乗員を出国させるために待機していたが、作戦の途中で損傷した。
このため米軍は代替機の派遣を決め、損傷した2機についてはイランに奪われるリスクを考慮して爆破することにした。MC-130J 2 機を喪失?! これはまた大変な事態だなあ。 関連:
F-15E Weapon Systems Officer Shot Down Over Iran Has Been Rescued (Updated) (The War Zone, 4/5)。DeepL 訳:
ニューヨーク・タイムズ紙によると、この作戦では敵地内に複数の輸送機を着陸させた。そのうち2機(おそらくMC-130J)が前線飛行場で動けなくなり、さらに3機が派遣され、そこで足止めされていた米軍部隊を回収しなければならなかった。これらの機体は敵の手に渡らないよう、その場で破壊された。
(中略)
イランの準国営メディアは、地上に2機のC-130が写っていると思われる画像と、その現場から立ち上る濃い黒煙を捉えた画像を公開した。Downed U.S. Air Force Officer Rescued Deep Inside in Iran, Trump Says (NYTimes, 4/4)
How the C.I.A. Helped Locate a U.S. Airman Hiding on an Iranian Ridgeline (NYTimes, 4/5)
2026 United States pilot rescue operation in Iran (Wikipedia)
戦闘機F15E墜落現場に円形のくぼみ 衛星画像で確認 (CNN, 4/6)
撃墜された米戦闘機乗員救出現場周辺の道を精密に破壊した痕跡 衛星画像で明らかに (CNN, 4/6)。脱出支援 (敵側接近阻止) のための爆撃痕ではという記事。
》 米軍ガトリング砲、イランのシャヘド無人機に突破を許す 「最後の防空手段」飽和攻撃に不安 (Forbes, 4/5)。CIWS / C-RAM vs Shahed 136。
C-RAMの弾倉容量は1500発となっている。一見多いように思えるが、1回50発の1秒間の連射でも30回分、より速い発射速度なら2秒間の連射10回分にしかならない。再装填は手作業で行われ、27kg前後の弾薬箱15個を使い、完了までに30分ほどかかるとされる。
M940の取得価格は1発あたり168ドル(約2万6800円)なので、150発の連射1回の弾薬コストはざっと2万5000ドル(約400万円)という計算になる。これはシャヘド1機の価格とだいたい同じだ。
(中略)
これまでに確認されている状況から判断すると、C-RAMがドローンの迎撃に成功するには数秒を要するようなので、弾倉内の弾がいったん尽きるまでに撃墜できるのはせいぜい4〜5機程度かもしれない。イランがシャヘドの波状攻撃を仕掛けていることを踏まえると、当該施設の最後の防御手段としてC-RAM1基では不十分になるおそれがある。レーザー兵器が期待される所以。弾切れがない = 低コスト。
》 自衛隊初の「攻撃用ドローン」はオーストラリア製が落札 イスラエル製は入札不参加 約310機、36億円超 (東京, 2/18)。「小型攻撃用UAV I型」の件。
同庁によると、落札された機種は豪ディフェンドテックス社製の「Drone40」。入札には、この機種で丸紅エアロスペース(東京都千代田区)の1社だけが参加し、1回目で落札した。落札金額は36億8016万円。約310機を調達する。納期は2027年5月末単純計算で 36,8016 / 310 = 1,187 万円。 ウクライナの人達にハイパーびっくりされそうな値段だなあ。 関連:
自衛隊初の小型攻撃ドローンにDrone40、取得コストは1機1,000万円超え (航空万能論 GF, 2/22)
DefendTexは2016年のArmy Innovation DayでDrone40を初めて展示し、豪国防省からの資金提供を受けて本格的な開発が進められ、2019年頃から複数の国(米軍、オーストラリア軍、ニュージーランド軍など)でテストが行われ、英陸軍が国連任務部隊向けの偵察用として採用(数百機)し、豪メディアの7NEWSが2022年8月「オーストラリア製の徘徊型弾薬=Drone40をウクライナに提供するためポーランドでテストが行われている」「出来るだけ早く300発のDrone40をウクライナに引き渡す」と報じたが、ウクライナでDrone40が活躍したという報告は確認されていない。
(中略)
結果論から言えば「40mmグレネードランチャーから発射可能な小型ドローン」というコンセプトは死んでしまった可能性がある。ウクライナ戦争以前の製品って感じ。 今は FPV ドローン大流行中なのでねえ。
《ニュース解説》陸自が導入を急ぐ「小型攻撃用UAV」とは? (Jディフェンスニュース, 2025.01.26)。 IAI の Point Blank や Rotem L、 AeroVironment の Switchblade は入札に来てくれなかったと。
防衛力抜本的強化の進捗と予算 令和8年度予算案の概要 (防衛省, 2025)。 ポンチ絵では 「小型攻撃用UAVI型(イメージ)」は Point Blank っぽい奴、 「小型攻撃用UAVⅡ型 (イメージ)」は HERO 120 っぽい奴、 「小型攻撃用UAVⅢ型 (イメージ)」はなんだか Shahed 136 っぽい奴なんだよね。 米軍も Shahed っぽい FLM136 をつくってるしなあ。
しかし、ウクライナのドローン戦訓は、 自前で作ってひたすら改良し続けないと勝てない、 だと思うんだけどなあ。 他所から買ってくる時点で負け。
》 米同盟国の中でAIM-260の初取得は豪州、米議会の輸出審査をクリア (航空万能論 GF, 4/6)
未だにオーストラリア以外へのAIM-260 JATM売却話は登場しておらず、これはF-22やF-35よりもF/A-18E/FへのAIM-260A統合が先行している=初期運用能力の獲得に近い位置にあると示唆しているかもしれない。
》 購入済みでも起動不可……語学ソフト「ロゼッタストーン」日本版、サービス終了へ (ITmedia, 4/6)。またソースネクストか。
》 AIの誤情報を疑うことなくそのまま受け入れる「認知的降伏」という状態に多数の人が陥っていることが明らかに、1372名の参加者と9000回以上の実験で (gigazine, 4/6)
》 アングル:イランはホルムズ海峡封鎖解除せずと米情報機関 威力は「核兵器以上」 (ロイター, 4/6)。ペルシャ湾・ホルムズ海峡の制海権を渡してしまったわけで。
紛争予防団体である「国際クライシス・グループ」のイラン・プロジェクト・ディレクター、アリ・バエズ氏は「米国はイランによる大量破壊兵器の開発を阻止しようとして、『大量妨害兵器』を手渡してしまった」と言い切った。
バエズ氏によればイランは、海峡の要衝を握ることで世界のエネルギー市場を左右する自国の能力が「核兵器よりもはるかに強力である」ことを理解している。だよなあ。今のところ、戦略的に勝っているのはイランだよね。
》 マクロスコープ:中東ショック、全業種に波及 「赤字転落」相次ぐ恐れ (ロイター, 4/6)
》 Iran, US receive plan to end hostilities, immediate ceasefire, source says (Reuters, 4/6)。停戦は実現するのか?! DeepL 訳:
4月6日(ロイター) - 提案の内容に詳しい情報筋が月曜日に明らかにしたところによると、イランと米国は、月曜日に発効し、ホルムズ海峡の航行を再開させる可能性のある敵対行為停止計画を受け取った。
(中略)
この提案によれば、停戦は直ちに発効し、ホルムズ海峡が再開されるほか、より広範な和平合意の最終調整に15~20日間が設けられる。暫定的に「イスラマバード合意」と呼ばれるこの合意には、同海峡に関する地域的な枠組みが含まれ、最終的な対面協議はイスラマバードで行われる予定である。関連: イランと米国、停戦・最終合意の2段階紛争終結案を受領 6日に合意する必要=関係筋 (ロイター, 4/6)
》 OpenSSH 10.3/10.3p1 リリースノート (OpenSSH.com, 4/2)。「比較的軽微なセキュリティ修正」を含む。
》 Claude Code の流出したソースコードを GitHub に公開した人が著作権違反を回避した方法がヤバすぎ (LostMyCode / qiita, 4/1)
同じリポジトリをPythonで完全リライトして再公開したのです。 (中略) しかもこのリライト作業は数時間で完了。AIエージェントに投げて「Claude CodeをPythonで再実装せよ」と指示しただけで終わったと言われています。 (中略)
このPython版は今も生き残っており、スター数も爆速で伸び続けています。
》 イランが4月1日から中東地域において暗殺1件ごとにアメリカ企業1社を標的にすると発表、Apple・Google・Intel・Meta・Microsoft・NVIDIAなど (gigazine, 4/2)
攻撃計画にはアメリカのテック・AI企業の製品が用いられているとしてまあ実際そうなのだろうけど、標的とざれた各社に温度差はありそうなんだよな。
あれっイランは Internet 閉鎖してなかったっけ? tasnimnews.ir has address 5.172.177.212 ? トルコですか。
》 量子コンピューターが「仮想通貨を保護する暗号」を想定よりはるかに少ないリソースで解読できるとGoogleの研究者が警告 (gigazine, 4/2)
ビットコインをはじめとするほとんどのブロックチェーン技術や仮想通貨は、セキュリティの重要な側面において、「ECDLP-256」という楕円曲線上の離散対数問題を基礎にした楕円曲線暗号に依存しています。
今回Googleの研究チームは、ECDLP-256に対するショアのアルゴリズムを実装する量子回路を2つ設計しました。新たに設計された回路の実行に必要な物理量子ビット数は50万個未満と推定されており、従来のわずか20分の1に削減できたとのこと。
》 【更新】NASAが有人月ミッション「アルテミスII」のSLSロケットを打ち上げ (sorae, 4/2)。とりあえずおめでとうございます。
ミッション2日目となる日本時間2026年4月3日には、いよいよOrion宇宙船のエンジンを用いた月遷移軌道投入(TLI)が実施される予定です。アルテミス III 以降についてはこちらを。予定がかなり変わってます。
NASAが月・惑星探査などの新たな方針を発表 月面基地を重視し原子力も活用へ (sorae, 3/25)
オリオン宇宙船については Orion Reference Guide が詳しいっぽい。
Orion Spacecraft (NASA)
Orion Reference Guide PDF Version (NASA)。ft に lbs に °F。これだからアメリカは。 SI を使おうよ
オリオン (宇宙船) (ウィキペディア)
》 「Google ドライブ」でランサムウェアの検出およびファイルの復旧機能が一般提供開始 (窓の杜, 4/1)
》 Microsoft、Windows 11全バージョンとWindows 10からコマンドラインツール「WMIC」を正式削除 (ebisuda.net, 3/31)
Microsoftは代替手段として、PowerShellおよび**Windows Management Instrumentation(WMI)**をPowerShell経由で利用することを推奨している。PowerShellはWMIクラスへのアクセスを Get-WmiObject や Get-CimInstance コマンドレットで提供しており、従来のコマンドラインと同等以上の機能を持つ。
》 Windows 11の2026年3月プレビューパッチに問題 ~Microsoftが修正パッチを緊急公開 (窓の杜, 4/1)。Windows 11 25H2 / 24H2 用プレビュー更新プログラム KB5079391 に 0x80073712 エラーが発生する不具合があり、 それを修正した KB5086672 が配布されているそうで。 なんかほんと、最近の Windows Update は品質が落ちてますね。
【Windows11】 WindowsUpdate 2026年3月 不具合情報 - プレビューリリース KB5079391 [Update 2] (ニッチなPCゲーマーの環境構築Z, 3/27)
MS、KB5079391の配信を一時停止。Windows Updateに降ってこなくなる。0x80073712エラーが発生する不具合により [Update 2] (ニッチなPCゲーマーの環境構築Z, 3/28)
MS、近日中に帯域外更新プログラムのリリースを予告。KB5079391の0x80073712エラーを修正したもの (ニッチなPCゲーマーの環境構築Z, 3/31)
【Windows11】 WindowsUpdate 2026年4月 不具合情報 - 帯域外更新プログラム KB5086672 (ニッチなPCゲーマーの環境構築Z, 4/1)
》 MicrosoftがCopilotを「エンターテインメント目的のみ」と規約に明記——AI情報の信頼性に警鐘 (ebisuda.net, 3/31)。はぁ。 というわけで Microsoft Copilot Terms of Use (Microsoft, 2025.10.24) を読むと (DeepL 訳:)
本利用規約は、Microsoft 365 Copilot のアプリまたはサービスには適用されません。ただし、当該アプリまたはサービスにおいて本利用規約が適用されると明記されている場合はこの限りではありません。そりゃあそうでしょうねえ、としか思えないのですが。
》 How China can survive without the Strait of Hormuz (Reuters, 4/1)。DeepL 訳:
中国は、世界の他の地域を合わせたものとほぼ同規模の電気自動車保有台数を誇り、膨大かつ増加し続ける石油備蓄、多様な石油・ガス供給源、そして国内の石炭や再生可能エネルギーのおかげで輸入にほとんど依存しない電力網を有している。
「現在の状況は、中国の政策立案者たちが数十年にわたり構想してきたものに非常に近い」と、フィンランドの「エネルギー・クリーンエア研究センター」の共同創設者であるラウリ・ミルリヴィルタ氏は述べた。
「これは、海上輸送による化石燃料への依存を減らそうとする取り組みの正当性を裏付けるものだ。」
》 米空母「フォード」が修理のためクロアチアに到着 (ロイター, 3/28)、 イラン戦争から離脱の米空母ジェラルド・フォード、修理が完了 クロアチアの港に到着 (CNN, 3/29) 。USS Gerald R. Ford、クレタで修理して、その後クロアチアまで下がってたのですね。
関連: USS George H.W. Bush Departs for Deployment, USS Gerald Ford Could Be Extended to 11 Months (USNI News, 3/31)。Bush CSG が来るようなので、 Ford CSG は帰宅できるのかな? DeepL 訳:
もしフォードの展開が4月15日以降も続く場合、同空母の展開期間は294日となり、ベトナム戦争以降の空母展開期間の記録を更新することになる。火曜日時点で、フォードの展開期間は280日となっている。
》 「日本はこれからレアアースに困らない」首相発言に第一人者が「いいかげんにしろ」 超遠隔地・南鳥島沖の深海底資源、引き揚げより肝心なのは… (共同 / Yahoo, 3/18) 「レアメタル(希少金属)やレアアースの研究に長年取り組んできた東京大学生産技術研究所教授の岡部徹さん」にインタビュー。
―南鳥島沖のレアアース泥の採掘をどう評価していますか。
(中略) レアアースの生産コストが中国の100倍とか1000倍になっても驚きません。日本の資源セキュリティーやサプライチェーン(供給網)の観点から見て、多額の投資をしても得はないと思います。多額の国家予算を使うなら、安価に手に入るタイミングで中国から買って備蓄する方がはるかに国のためです」
―南鳥島沖のレアアース泥には、陸上の鉱石と違って放射性物質や有害な金属がほとんど含まれていないそうです。遠隔地の深海底を開発するコストはかかっても、廃棄物処理のコストは減らせるのではないですか。
「中国では、陸上の地表近くに濃縮した鉱石を採掘して、廃棄物をほぼゼロコストで処理しています。勝負にならないと思います」南鳥島沖レアアース泥、競争力ゼロと。
―レアアースの安定確保に向けて、日本はどんな戦略をとるべきでしょうか。
「中国との関係をできるだけ安定させ、安くて良質なレアアースが大量に入ってくる状況を維持するのが第一です。国家戦略として安価な時にレアアースをたくさん仕入れ、10年分の備蓄をすべきです。安いときに買って備蓄する戦略をとらずに、供給障害が起きて価格が何倍にも跳ね上がってから買い付けに動くのはおかしい。そんな愚かな失敗を日本政府は繰り返しています」しごくごもっとも。
》 湾岸諸国の米軍基地、数年前から脆弱性を警告 (Wall Street Journal, 4/1)
現職および元当局者によると、バイデン前政権もトランプ政権も、紅海沿岸のサウジの基地網強化を求める提言には従わず、代わりに中国に対抗するため太平洋地域における米軍の態勢強化に注力していた。そもそもトランプがこんな戦争をはじめなければ、損害も出なかったのですが。
関連: Bunkers For U.S. Bases In Middle East Now A Top Priority For Pentagon (The War Zone, 3/31)。自衛隊も同様なんですけどね。 今のままだと、開戦初頭に全滅させられます。 航空機に限らず、地対艦ミサイル部隊とか、弾薬庫とか、いろいろ。
》 日本の住宅メーカー、米市場で急拡大 米国の住宅建設が減速する中、日本勢のシェアは間もなく6%へ (Wall Street Journal, 3/31)。こんなことになっていたのか。
》 トランプ氏の台湾めぐる曖昧さ、中国に歴史的チャンス開く (Wall Street Journal, 3/27)
》 ニュージーランドも軍備増強、中国が太平洋進出で (Wall Street Journal, 3/31)
背景にあるのは、2025年に行われた中国海軍による大規模な軍事演習だ。中国の任務部隊がオーストラリア周辺を航行し、同国とニュージーランドの間(タスマン海)で実弾演習を実施したことで、軍備を整える緊急性が一気に高まった。ニュージーランド軍は新型哨戒機P8A「ポセイドン」と海軍艦艇を緊急出動させて監視に当たったが、この事案は、中国が自国から遠く離れた海域でも軍を展開できる能力を証明するものとなった。こちらの件:
Chinese gave live fire warning with planes 'literally flying across the Tasman' (ABC, 2025.02.21)
中国海軍、実弾演習を直前通知 民間機多数が針路変更 豪航空局 (AFP, 2025.02.25)
「極めて高性能」な中国軍艦が実弾演習、NZと豪州に動揺走る (CNN, 2025.02.25)
中国艦隊のタスマン海での実弾演習、「謝罪する理由ない」=駐豪大使 (ロイター, 2025.02.28)
中国がオーストラリアとニュージーランドの間の海域で事前通告なく実弾演習を実施!海洋強国として秩序形成を支配したい中国軍の変化とは? (小原 凡司 / 東洋経済 online, 2025.03.21)
中国海軍055型駆逐艦「遵義」、054A型フリゲート「衡陽」、093A型補給艦「微山湖」の3隻が、2025年2月21日および22日にオーストラリアとニュージーランドの間にあるタスマン海で実弾射撃訓練を行った。日豪防衛協力の「節目」 日本の護衛艦選定 2+2共同声明 (朝日, 2025.09.06)
日豪接近の最大の原動力は、中国の存在だ。日本周辺では6月、中国の空母「山東」と「遼寧」が同時に活動する姿が初めて確認された。豪州周辺でも2月、中国の艦艇が豪州の裏庭とも言えるタスマン海を航行し、実弾射撃演習を実施。中国は戦略的要衝である南太平洋の島嶼(とうしょ)国への軍事、経済的な関与も強め、防衛省幹部は「中国軍の活動は西太平洋で広がりつつある」と懸念する。
》 P2Pファイル共有ソフト「BitTorrent」利用の違法アップローダーに発信者情報の開示を命じる判決、日本レコード協会が発表 (Internet Watch, 4/1)
》 ESET、新年度の組織変更に合わせたスピアフィッシングが確認されているとして注意喚起 (Internet Watch, 4/1)
》 AIによるヌード加工アプリを全面的に禁止する提案にEU議会が合意、きっかけはGrokか (やじうま Watch, 3/31)
》 IPA、サイバーセキュリティ対策の記載を拡充した「中小企業の情報セキュリティ対策ガイドライン」第4.0版公開 (Internet Watch, 3/30)
》 「JC-STAR」、シンガポールのIoTセキュリティ制度「CLS」と相互承認、6月から運用 (Internet Watch, 3/23)
》 アニメイト、エイプリルフール企画が炎上して謝罪 「内容に不適切かつ配慮を欠く表現」 (ITmedia, 4/1)
》 クラシック「Outlook」アプリにまた問題、メールの送信・返信で配信不能レポート(NDR)が表示 (窓の杜, 4/1)
》 Microsoft公式のリモートPCアプリ「Windows」の信頼性・生産性・セキュリティが向上 ~古いクライアントの廃止にも注意 (窓の杜, 3/31)
なお、Windows(MSI)版リモートデスクトップクライアントおよびWebベースのリモートデスクトップクライアントは、2026年3月27日をもって商用クラウドでのサポートを終了する。政府系の「Azure Government」および「Azure 21Vianet」クラウドでも、2026年9月28日にWindows(MSI)クライアントのサポートが打ち切られる予定。
IT管理者はそれまでに「Windows」アプリへの移行を完了させる必要がある点には注意が必要だ。
nginx
Webサーバー「nginx」にセキュリティアップデート、6件の脆弱性を修正 (窓の杜, 2026.03.27)
各社 Wi-Fi ルーター
AtermシリーズのWi-Fiルーターの一部に脆弱性、最新ファームウェアへの更新など対処方法の確認を (Internet Watch, 2026.03.27)
バッファローのネットワーク製品に複数の脆弱性、ファームウェアの更新など対策方法の確認を (Internet Watch, 2026.03.26)
NTTドコモ「home 5G HR01」などシャープ製ホームルーター、モバイルルーター8製品に脆弱性。ファームウェアの更新など対策方法の確認を (Internet Watch, 2026.03.26)
最近起きた事例、新しもの好きのあなたが狙われた、ということなんですかね。
【緊急】月間9500万DLのLiteLLMが乗っ取られた。インストールしただけでSSH鍵・AWS認証・仮想通貨が全部盗まれる (qiita, 2026.03.25)
LiteLLMのCI/CDパイプラインがバージョン指定なしでTrivyをインストールしていたため、汚染されたTrivyがパイプライン内のPyPI認証トークンを窃取。攻撃者はメンテナーkrrishdholakiaのアカウントを完全に乗っ取りました。2026年3月31日にaxiosが受けたサプライチェーン攻撃の概要と予防策「クールダウン」機能について (yamory.io, 2026.03.31)
攻撃者は事前に plain-crypto-js という悪意あるパッケージを公開し、axiosの依存関係に追加。
npm install を実行するだけで、 postinstall フックを通じてRAT(遠隔操作トロイの木馬)がインストールされる仕組みでした。今回の攻撃はGitHub ActionsやOIDC署名といった正規のリリースフローを経由せず、侵害したアカウントからnpm CLIで直接パブリッシュされています。つまり、バージョンを指定せずにパッケージを新規インストールすると、公開直後の悪意あるバージョンをそのまま取り込んでしまうリスクがあります。yamory.io 記事ではパッケージマネージャーの「クールダウン機能」を利用して時間をかせぐ方法が紹介されています。
クールダウンは、パッケージの新バージョンが公開されてから一定期間はインストール対象としない仕組みです。公開直後のバージョンを自動的に取り込まないことで、コミュニティが悪意あるコードを検出・報告する時間的猶予を確保できます。
2025年後半から主要なパッケージマネージャーが相次いでこの機能を実装しています。yamory.io 記事で紹介されているのは npm, pnpm, uv, pip。 他には:
Package Managers Need to Cool Down (nesbitt.io, 2026.03.04)
GitHub Dependabotのcooldown機能を試す (電通総研 Tech blog, 2025.07.09)、 Dependabot バージョン更新プログラムに合わせて pull request の作成を最適化する - 依存関係の更新の頻度とタイミングを制御する (GitHub)
RubyGems/Bundler における Cooldown 機能の議論と現状 (ANDPAD TECH BLOG, 2026.03.19)。 それ意味あるの的な議論が出てきているようだけど、 セキュリティは薄皮を重ねるしかないものなので、 選択肢を用意することには意味があるでしょう。
関連:
Trivy サプライチェーン攻撃の影響確認対象製品リスト (CSC, 2026.04.01 更新)
CiscoがTrivy連鎖攻撃で被害——300超のGitHubリポジトリとソースコードが流出 (ebisuda.net, 2026.03.31)
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える (GMO Flatt Security, 2026.03.30)
個別パッケージの評価が無理なら、信頼できるキュレーション層を挟む…の例としての Takumi Guardruns-on: takumi-runner の1行で、ワークフロー実行中のすべてを記録する