Previewing RSS of セキュリティホール memo

Get the RSS


description

 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。

RSS 生成プロジェクトはこちら


令和5年度沖縄県国民保護共同図上訓練  関係機関等連絡調整会議運営訓練資料
2024-03-01 00:00:00 +0000

令和5年度沖縄県国民保護共同図上訓練  関係機関等連絡調整会議運営訓練資料 (沖縄県)。↓は若干手を加えた引用:

新石垣空港 10,485人/日 (5,261人+5,224人) 25機・45便 (B737-800 x 15, B787-800 x 10)
宮古空港 6,645人/日 (3,250人+3,395人) 17機・31便 (B737-800 x 12, B787-800 x 5)
下地島空港 2,832人/日 (708人+2,124人)9機・16便 (B737-800 x 9)

 すさまじいな。 これだけガンガン回せたとしても 6日かかるのか。

○避難のための増便へ対応するためには、保安検査レーンの増設が必要(1レーン当たり150人/h)
○新石垣空港、宮古空港では2レーン、下地島空港では1レーンの増設見込み(下表参照)
(中略)
〇大型機に搭乗する⑥、⑧スポットは、既存の保安検査レーン4レーンを使用。動線も平素と同じ。
〇小型機に搭乗する⑤、⑦、⑨スポットは、臨時レーンを使用。動線が平素と異なるため、事前に実行性を確認しておく必要がある。定員165名の搭乗には、保安検査を一人当たり25秒で通過しても70分程度要する。

 大型機 = B787-800、小型機 = B737-800。 こんなの手榴弾1発でふき飛ぶぞ……。

 全資料は 令和5年度沖縄県国民保護共同図上訓練の実施結果 (沖縄県, 2/22 更新) からどうぞ。

第27回格付け: SOMPOホールディングス
2024-03-01 00:00:00 +0000

第27回格付け: SOMPOホールディングス (第三者委員会報告書格付け委員会, 1/16)

Army units must trim command posts, add drones to survive
2024-03-01 00:00:00 +0000

Army units must trim command posts, add drones to survive (ArmyTimes, 2/27)。ウクライナの戦訓により変化しつつある米陸軍。 自衛隊は大丈夫ですか? (たぶん駄目)

宝塚方面
2024-02-29 00:00:00 +0000

宝塚方面

うるう年トラブル方面
2024-02-29 00:00:00 +0000

うるう年トラブル方面

旧統一教会と「関係断絶」決議 取り消し求めた友好団体側が敗訴
2024-02-29 00:00:00 +0000

旧統一教会と「関係断絶」決議 取り消し求めた友好団体側が敗訴 (朝日, 2/28)

避難計画、宮古は鹿児島経由 八重山は福岡、台湾有事想定―政府調整
2024-02-29 00:00:00 +0000

避難計画、宮古は鹿児島経由 八重山は福岡、台湾有事想定―政府調整 (時事, 2/28)

避難の対象は先島諸島の住民と観光客計約12万人で、1カ月程度の滞在を想定。民間航空機を利用することを基本とし、鹿児島、福岡両空港から個別の避難先へは陸路での移動が中心となる見込みだ。

 なんじゃそりゃ。300人乗りを持ってこれたとしても 120,000 / 300 = 400 だぜ。 どれだけかかるんだい。 「民間航空機を利用することを基本」なんて安易に言ってんじゃないよ。

米イリノイ州裁判所、トランプ氏を大統領選の投票用紙から除外 修正14条の「反乱者の禁止」理由に
2024-02-29 00:00:00 +0000

米イリノイ州裁判所、トランプ氏を大統領選の投票用紙から除外 修正14条の「反乱者の禁止」理由に (CNN, 2/29)

トランプ氏の大統領選出馬資格に異議を唱える同様の判決は、コロラド州の最高裁でも下されていた。同州の判決は現在連邦最高裁で審理されているが、大方の予想では退けられるとみられている。
イリノイ州クック郡巡回裁判所のポーター判事は、今回の判決を下すに当たりコロラド州最高裁の判決に強く依拠。「論理的に従わざるを得ない」判断だとの見解を示した。
オスプレイ飛行再開 軍幹部が国防長官に説明へ
2024-02-29 00:00:00 +0000

オスプレイ飛行再開 軍幹部が国防長官に説明へ (琉球朝日放送 / Yahoo, 2/29)

AP通信は28日、複数の国防当局者の話として、軍の幹部が2024年3月1日にもオースティン国防長官に飛行再開に向けた計画について説明すると伝えました。
万博海外館、10月完成「無理」 複数国が超過予測、工程形骸化
2024-02-29 00:00:00 +0000

万博海外館、10月完成「無理」 複数国が超過予測、工程形骸化 (共同, 2/28)。無理なものは無理。

クラウドの隙間から「のぞき見」 名刺管理サービスで起きた不正
2024-02-28 00:00:00 +0000

クラウドの隙間から「のぞき見」 名刺管理サービスで起きた不正 (毎日, 2/28)

これまでの捜査では、片岡容疑者は2022年ごろから、部下らになりすましメールの送信や電話をするように指示を出し、十数社からログイン情報を引き出していたことが判明している。 (中略) こうした相手の心理的な隙(すき)につけ込み、情報などを盗み取る手口は「ソーシャルエンジニアリング」と呼ばれる。

 人間の脆弱性を突く手法は常に有効なんだよなあ。

「Apple Car」開発中止か EV計画白紙と米メディア報じる
2024-02-28 00:00:00 +0000

「Apple Car」開発中止か EV計画白紙と米メディア報じる (ITmedia, 2/28)

追記
2024-02-28 00:00:00 +0000

SMTP Smuggling (2023.12.25)

 CVE-2023-51747: SMTP smuggling in Apache James (oss-sec ML, 2024.02.27)。Apache James 3.8.1 / 3.7.5 で対応。

Chrome Stable Channel Update for Desktop
2024-02-28 00:00:00 +0000

 Chrome 122.0.6261.94 (Mac / Linux) および Chrome 122.0.6261.94/.95 (Windows) 公開。 4 件のセキュリティ修正を含む。

日テレ、「セクシー田中さん」調査チームに外部有識者として2人の弁護士
2024-02-27 00:00:00 +0000

日テレ、「セクシー田中さん」調査チームに外部有識者として2人の弁護士 (ITmedia, 2/26)

 調査チームの責任者は、日本テレビの執行役員(広報、コンプライアンス、総務担当)でコンプライアンス推進室長の山田克也氏が務める。調査チームは、日本テレビの顧問弁護士である谷田哲哉氏の他、ドラマ制作部門から独立した社内特別調査チームおよびコンプライアンス推進室などのメンバーで構成するという。
 さらに外部有識者として、「そこが知りたい著作権Q&A 100」(著作権情報センター)などの著書があり、知的財産分野で知られる早稲田祐美子弁護士(東京六本木法律特許事務所)と、コンテンツ制作の契約法務やメディア・エンタメ関係の実務に実績を持ち、テレビドラマ「下町ロケット」(TBS)などで法律監修を務めた國松崇弁護士(東京リベルテ法律事務所)の名前を挙げた。

 第三者委員会ではない。期待はできない。

デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた
2024-02-27 00:00:00 +0000

デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた (なか2656のblog, 2/26)

このようにマイナンバーカードのICチップの電子証明書の発行番号(シリアル番号)は、マイナンバー(個人番号)と同様に取扱注意な番号ですが、それに対する法規制がマイナンバーに対する法規制と異なりゆるいことが大きな問題の一つであるといえます。
(中略) 電子証明書の発行番号についてはそこまでの利用目的の制限がなく、また発行番号は特定個人情報(マイナンバーを含む個人情報)にも該当しないとなっており、特定個人情報に対する厳格な安全管理措置の適用もありません。公的個人認証法(JPKI法)で、発行番号を含めた外部提供用のデータベースを作成することが禁止されていますが(63条)、罰則についてはそのようなデータベースを繰り返し作成する等した事業者が、国の命令に従わなかった場合にしか科されないなど、ゆるい法規制にとどまっています(75条)。
通信傍受法第36条に基づく令和5年における通信傍受に関する国会への報告について
2024-02-27 00:00:00 +0000

通信傍受法第36条に基づく令和5年における通信傍受に関する国会への報告について (警察庁, 2/27)。いずれもケータイですね。

ハッキング思考 強者はいかにしてルールを歪めるのか、それを正すにはどうしたらいいのか Kindle版
2024-02-27 00:00:00 +0000

ハッキング思考 強者はいかにしてルールを歪めるのか、それを正すにはどうしたらいいのか Kindle版 (amazon)。ブルース・シュナイアーの新刊がポイント 50% 還元になってる。

その男、アーロン・ブッシュネル (米空軍軍人)
2024-02-27 00:00:00 +0000

その男、アーロン・ブッシュネル (米空軍軍人)。 合掌。

追記
2024-02-27 00:00:00 +0000

2024 年 2 月のセキュリティ更新プログラム (月例) (2024.02.15)

 不具合報告:

  • The February 2024 security update might fail to install (Microsoft, 2024.02.26 更新)。Windows 11 + KB5034765 (2024.02 patch) でインストールが 96% から進まない場合があると。

    This issue can be prevented by deleting the hidden folder C:\$WinREAgent. A restart might be required.

    隠しフォルダ C:\$WinREAgent を削除して再起動するとこの問題を回避できると。

  • 2024年2月セキュリティパッチの適用が97%で止まってしまう ~Windows 11で発生中 (窓の杜, 2024.02.27)

    この問題が影響するプラットフォームは、以下の通り。コンシューマー版の「Windows 11」でのみで発生し、サーバーOSや「Windows 10」では起こらないようだ。

    どこを読むとこの認識にたどりつけるのだろう。よくわからん。

いろいろ (2024.02.27)
2024-02-27 00:00:00 +0000

トレンドマイクロ Apex One / Apex One SaaS、Deep Security Agent (Windows版)、Apex Central

syzbot が発見した Linux カーネルの不具合の内、修正されたことが報告された件数が2/2に5000件になりました
2024-02-26 00:00:00 +0000

syzbot が発見した Linux カーネルの不具合の内、修正されたことが報告された件数が2/2に5000件になりました (熊猫さくらのブログ, 2/4)

ファジングツールである syzkaller を使って見つかった不具合は、人間が報告した場合には対処されるけれども、 syzbot が報告した場合には無視されるという感じになりつつあります。5年ほど前の記事に、「syzbotの能力が向上することで、ますますOSカーネル開発者たちがsyzbotに追い回されるようになるという説も…?」と書きましたが、その通りの状況になってしまって、逆にカーネル開発者たちが無視するようになってきたということかもしれません。
中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家
2024-02-26 00:00:00 +0000

中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家 (gigazine, 2/26)

I-Soonは、表向きには中国四川省にあるセキュリティ企業となっていますが、実態は上海を拠点としてハッキングサービスを展開している高度持続的脅威(APT)グループだとされています。人民解放軍や国家安全省を含む多くの中国政府機関と取引を行っていることが知られているほか、公式サイトには警察組織である公安部を筆頭に50を超える地方の公安当局が顧客として記載されていましたが、公式サイトはリークが発覚後にダウンしました。
Windows 11が「Wi-Fi 7」に対応へ ~理論上の最大通信速度は46Gbps
2024-02-26 00:00:00 +0000

Windows 11が「Wi-Fi 7」に対応へ ~理論上の最大通信速度は46Gbps (窓の杜, 2/26)

Bluesky、フェデレーション開始 Mastodonと異なるプロトコルの長所を説明
2024-02-26 00:00:00 +0000

Bluesky、フェデレーション開始 Mastodonと異なるプロトコルの長所を説明 (ITmedia, 2/25)

3万2768時間が経過して発生した石巻市戸籍情報システムの障害についてまとめてみた
2024-02-26 00:00:00 +0000

 HPE サーバーおよびストレージ製品用 SAS SSD不具合のお知らせ 2019年12月20日 (HPE, 2019.12.20) の件だそうです。ひえ〜

HPEサーバーに搭載する特定のSSDドライブのファームウェア不具合が起因で、起動後32,768時間(約3年9ヶ月)経過すると故障状態となることが報告されております。本事象が同時に複数のSSDで発生すると、RAID構成においてもデータロストを含む重大な障害に至る可能性がございます。

 修正版ファームウェアが公開されているので適用すればよい。

追記
2024-02-26 00:00:00 +0000
能登の「外国人窃盗」デマ、どう広がった SNSで避難所の会話変質
2024-02-24 00:00:00 +0000

能登の「外国人窃盗」デマ、どう広がった SNSで避難所の会話変質 (朝日, 2/23)

能登半島地震、大隆起はなぜ起きたのか
2024-02-24 00:00:00 +0000

能登半島地震、大隆起はなぜ起きたのか (日経, 2/24)。例の 4m 隆起の件。

能登半島の北岸には「海成段丘」と呼ばれる階段状の地形がみられる。波の侵食と地震の隆起を繰り返していくうちに段数も増え、その痕跡が海岸に刻まれていく。この地域では合わせて3段が確認されていたが、今回の地震で4段目が作られたことになる。各段の標高などを比べたところ、過去に最も隆起したとみられるところは、今回も顕著な隆起が観測された。宍倉グループ長は「同じ傾向にあったということは、海底の活断層が同じように繰り返し動いている可能性を示している」と話す。

 関連:

ロシア軍のA-50メインステイ早期警戒機を再び撃墜、ウクライナ軍のS-200防空システムで撃墜-ウ紙
2024-02-24 00:00:00 +0000

ロシア軍のA-50メインステイ早期警戒機を再び撃墜、ウクライナ軍のS-200防空システムで撃墜-ウ紙 (JSF / Yahoo, 2/24)

日本の基地に配属の米海軍兵、スパイ罪で起訴
2024-02-24 00:00:00 +0000

日本の基地に配属の米海軍兵、スパイ罪で起訴 (BBC, 2/22)

ペディチーニ被告は、日本に配備されているミサイル駆逐艦「ヒギンズ」に、火器管制官として配属されている。
パナマ運河、干魃で通行困難に
2024-02-24 00:00:00 +0000

パナマ運河、干魃で通行困難に

スエズ運河回避
2024-02-24 00:00:00 +0000

スエズ運河回避

セクシー田中さん方面
2024-02-24 00:00:00 +0000

セクシー田中さん方面

地方スーパーにランサム攻撃、復旧は5月の見込み メールシステムも停止、連絡手段は電話・ファクス・郵送のみに
2024-02-24 00:00:00 +0000

地方スーパーにランサム攻撃、復旧は5月の見込み メールシステムも停止、連絡手段は電話・ファクス・郵送のみに (ITmedia, 2/22)。システム障害の経過、休止中のサービスに関するお知らせ (イズミ・ゆめタウン, 2/22)

ワイヤレス充電器をハッキングして周辺アイテムが発火! 物騒すぎる攻撃方法が話題に
2024-02-24 00:00:00 +0000

ワイヤレス充電器をハッキングして周辺アイテムが発火! 物騒すぎる攻撃方法が話題に (Internet Watch, 2/22)。 こちら: VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger (arxiv.org)

追記
2024-02-24 00:00:00 +0000

2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)

 KB5034441 の件:

  • 2024年1月の「WinRE更新エラー」は、なぜ、どのように発生したのか? どうやって解決するつもりなのか? (@IT, 2024.02.22)

     今回のWinREのセキュリティ更新プログラム「KB5034439」「KB5034440」「KB5034441」には、回復パーティションの空き容量による失敗以外にも、別の問題が確認されています。
     WinREが無効化されているWindowsでも、これらのセキュリティ更新プログラムが検出、ダウンロード、インストールされ、同じエラー「0x80070643」を報告して失敗するのです(画面7)。この問題は「KB5034439」「KB5034440」「KB5034441」の既知の問題に追加されました。Microsoftによる解決策が提供されるまでは安全に無視できるとされています。
続・USBメモリ型SSD選手権!長時間の書き込みにも強いデバイスはどれだ
2024-02-23 00:00:00 +0000

続・USBメモリ型SSD選手権!長時間の書き込みにも強いデバイスはどれだ (gihyo.jp, 2/21)。興味深い。

中国、金門周辺の巡回常態化発表 学者「水域進入なら深刻な挑発行為」/台湾
2024-02-23 00:00:00 +0000

中国、金門周辺の巡回常態化発表 学者「水域進入なら深刻な挑発行為」/台湾 (フォーカス台湾, 2/20)。中国、じわじわ圧力かけてるんだよなあ。

ロシア軍が見つけた勝ち方「滑空爆弾による猛爆」、防げる兵器は1つだけ
2024-02-23 00:00:00 +0000

ロシア軍が見つけた勝ち方「滑空爆弾による猛爆」、防げる兵器は1つだけ (Forbes, 2/20)。衛星誘導滑空爆弾 (射程 40km) が有効に機能していると。

滑空爆弾を撃墜し、KABによる壊滅的な爆撃を防ぐシステムがウクライナ側にあるのは明らかだ。足りないのはそれを実行するためのミサイルだ。射程140km超のパトリオットミサイルも、ウクライナにとって最大の供給国は米国だった。しかし昨年10月以来、ウクライナの戦争努力に対する米国の援助は米議会のロシア寄りの共和党議員たちによって阻まれている。
ウクライナの内相顧問などを務めたアントン・ヘラシチェンコは、ウクライナ軍のパトリオットの在庫は「危機的な水準に落ち込んでいる」と訴えている。

 共和党の親ロっぷりがすごい。

やまぬネット中傷 RADWIMPS野田が「舟を編む」に込めた願い
2024-02-22 00:00:00 +0000

やまぬネット中傷 RADWIMPS野田が「舟を編む」に込めた願い (朝日, 2/18)。おもしろそうなのだが、NHK BS / BSP4K のみなのでねえ。

"Windows\PowerShell\5.1".Split("\\")はOKだけど、"PowerShell\7".Split("\\") はNGな件
2024-02-21 00:00:00 +0000

"Windows\PowerShell\5.1".Split("\\")はOKだけど、"PowerShell\7".Split("\\") はNGな件 (山市良のえぬなんとかわーるど, 2/20)。あいかわらずこういうのがあるのですね。 MS-DOS 2.0 でパス区切り文字を \ にするという歴史的決定が延々と尾を引いているわけだよなあ……。

制御システムセキュリティカンファレンス 2024
2024-02-21 00:00:00 +0000

制御システムセキュリティカンファレンス 2024 (JPCERT/CC)。講演資料が公開されている。

ロシア使用の北朝鮮ミサイル、部品75%が米国関連 日本製品も
2024-02-21 00:00:00 +0000

ロシア使用の北朝鮮ミサイル、部品75%が米国関連 日本製品も (毎日, 2/21)。 元ねた: North Korean missile relies on recent electronic components  Ukraine field dispatch, February 2024 (Conflict Armament Research, 2/21)

PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動
2024-02-21 00:00:00 +0000

PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 (JPCERT/CC, 2/21)

Python InfoStealer With Dynamic Sandbox Detection
2024-02-21 00:00:00 +0000

Python InfoStealer With Dynamic Sandbox Detection (SANS ISC, 2/20)

YARA 4.5.0 Release
2024-02-21 00:00:00 +0000

YARA 4.5.0 Release (SANS ISC, 2/18)

Wireshark 4.2.3, 4.0.13 and 3.6.21 Released
2024-02-21 00:00:00 +0000

Wireshark 4.2.3, 4.0.13 and 3.6.21 Released (Wireshark, 2/14)。セキュリティ修正は無いみたい。

 Windows 版 Wireshark 4.2.0 / 4.2.1 からの自動更新はできないみたい。手動インストールが必要だそうで。

ランサムウェア攻撃の被害は2023年に過去最高、支払総額は1,600億円規模に到達していた
2024-02-21 00:00:00 +0000

ランサムウェア攻撃の被害は2023年に過去最高、支払総額は1,600億円規模に到達していた (WIRED, 2/20)

名古屋港攻撃疑惑の「LockBit」運営者2名を国際法執行部隊が逮捕し暗号化ファイルを無料で回復するツールを作成
2024-02-21 00:00:00 +0000

名古屋港攻撃疑惑の「LockBit」運営者2名を国際法執行部隊が逮捕し暗号化ファイルを無料で回復するツールを作成 (gigazine, 2/21)

 関連: U.S. and U.K. Disrupt LockBit Ransomware Variant (US DoJ, 2/20)

次期戦闘機輸出 深まる与党内対立 なぜいま輸出の議論が求められるのか
2024-02-21 00:00:00 +0000

次期戦闘機輸出 深まる与党内対立 なぜいま輸出の議論が求められるのか (NHK 解説委員室, 2/15)

与党は、去年4月から、「防衛装備移転三原則」の見直しに向けて実務者協議を行い、7月には、次期戦闘機を念頭に、共同開発した装備品を第三国に直接輸出することについては、「認める意見が大半を占めた」とする論点整理を行い、容認する方向で一致していました。
しかし、11月になって、公明党内では、幹部を含めた協議で、「殺傷能力のある装備品は第三国に輸出しないというのが基本だ」として、容認できないという立場が確認されました。
このため、12月の「防衛装備移転三原則」と運用指針の改正の際には、共同開発した装備品の第三国輸出についての結論は先送りされました。
H3ロケット 再挑戦成功! 衛星打ち上げビジネスで世界と競うには 何が課題となるのか解説します
2024-02-21 00:00:00 +0000

H3ロケット 再挑戦成功! 衛星打ち上げビジネスで世界と競うには 何が課題となるのか解説します (NHK 解説委員室, 2/20)

そのためにはH3も低コストと早さを早期に実現しなければならない。
まずは目標価格50億円の早期達成。
今回は信頼性の確認を優先したため、メインエンジンも安全に余裕を持たせてあり50億円は達成できていない。(中略)
そして衛星事業者が打ち上げたい時に打ち上げられる早さも重要で、そのためにも打ち上げ回数を増やせる発射場が必要。
アレクセイ・ナワリヌイ氏方面
2024-02-21 00:00:00 +0000

アレクセイ・ナワリヌイ氏方面

セキュリティカメラメーカーのWyzeで障害発生、1万3000人の顧客が他のユーザーのカメラをのぞき見ることが可能に
2024-02-21 00:00:00 +0000

セキュリティカメラメーカーのWyzeで障害発生、1万3000人の顧客が他のユーザーのカメラをのぞき見ることが可能に (gigazine, 2/20)

Wyzeによると、今回の問題は2024年2月16日に行われたAWS由来のシステム障害に端を発するとのこと。システム障害から復旧し、全てのカメラが再びオンラインになるにつれて、Wyzeのシステムに想定以上の負荷がかかりました。その結果、デバイスIDとユーザーIDが正しく紐付けられず、一部のデータが誤ったアカウントに接続されるという状況に陥ったことが報告されています。
「チャットボットの誤回答に責任はない」と弁解していたエア・カナダに裁判所が損害賠償支払いを命令
2024-02-21 00:00:00 +0000

「チャットボットの誤回答に責任はない」と弁解していたエア・カナダに裁判所が損害賠償支払いを命令 (gigazine, 2/19)。そりゃそうだろ……。

「Apple Watchがハッキングされた」という投稿がApple公式コミュニティで賛同多数で注目を集める、「ゴーストタッチ」の可能性も
2024-02-21 00:00:00 +0000

「Apple Watchがハッキングされた」という投稿がApple公式コミュニティで賛同多数で注目を集める、「ゴーストタッチ」の可能性も (gigazine, 2/19)

アメリカとイギリスがAIドローン数千機を供与予定&ウクライナは自国でFPVドローン100万機を製造予定
2024-02-21 00:00:00 +0000

アメリカとイギリスがAIドローン数千機を供与予定&ウクライナは自国でFPVドローン100万機を製造予定 (gigazine, 2/20)。いよいよドローン戦争じみてきた?

OpenAI支援のロボット企業「1X」のアンドロイドが洗練された動作でタスクをこなすムービー、ちょっと不気味ながら未来を感じさせまくる光景
2024-02-21 00:00:00 +0000

OpenAI支援のロボット企業「1X」のアンドロイドが洗練された動作でタスクをこなすムービー、ちょっと不気味ながら未来を感じさせまくる光景 (gigazine, 2/20)。 「身長は1.86メートル、体重は86kg」。けっこうデカい。工場作業用って感じ。 今は車輪型だけど、次は 2 本足になるそうで。

1Xは2024年1月に1億ドル(約150億円)の資金を調達し、車輪ではなく2本の足で歩いて家事を行う第2世代アンドロイド「NEO」を市場に投入するとしています。
ロシアがウクライナのゼレンスキー大統領を弱体化させる偽情報キャンペーンを実施していることが文書で明らかに
2024-02-21 00:00:00 +0000

ロシアがウクライナのゼレンスキー大統領を弱体化させる偽情報キャンペーンを実施していることが文書で明らかに (gigazine, 2/20)

イランが「イスラエル・ハマス戦争」の裏で反イスラエル世論形成のためのサイバー活動を強化しているとGoogleが報告
2024-02-21 00:00:00 +0000

イランが「イスラエル・ハマス戦争」の裏で反イスラエル世論形成のためのサイバー活動を強化しているとGoogleが報告 (gigazine, 2/15)

Firefox 123.0 / ESR 115.8.0、Thunderbird 115.8.0 公開
2024-02-21 00:00:00 +0000

 出ました。

いろいろ (2024.02.21)
2024-02-21 00:00:00 +0000

エレコム Wi-Fi ルーター WRC-1167GS2-B, WRC-1167GS2H-B, WRC-2533GS2-B, WRC-2533GS2-W, WRC-2533GS2V-B

nginx

追記
2024-02-21 00:00:00 +0000

Raspberry Pi Pico cracks BitLocker in under a minute (2024.02.14)

 BitLockerを43秒で突破、TPMモジュールの脆弱性が明らかに (マイナビニュース, 2024.02.08)。Takosan さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
2024-02-21 00:00:00 +0000

 Chrome 122.0.6261.57 (Linux / Mac) および 122.0.6261.57/.58 (Windows) が stable に。 12 件のセキュリティ修正を含む。関連:

  • Chrome for Android Update (Google, 2024.02.20)。Chrome 122 (122.0.6261.64) for Android。 上記デスクトップ版と同じセキュリティ修正を含む。

  • Chrome Stable for iOS Update (Google, 2024.02.20)。Chrome Stable 122 (122.0.6261.62) for iOS。 iOS 版のアナウンスにはセキュリティ修正に関して何も記載されていないのだよなあ。

2024.02.26 追記:

 「Microsoft Edge 122」がリリース ~「Web 選択」は「スクリーンショット」に (窓の杜, 2024.02.26)

LINEヤフーへの不正アクセスについてまとめてみた
2024-02-20 00:00:00 +0000

LINEヤフーへの不正アクセスについてまとめてみた (piyolog, 2/16)

New Security Advisory Tab Added to the Microsoft Security Update Guide
2024-02-20 00:00:00 +0000

New Security Advisory Tab Added to the Microsoft Security Update Guide (MSRC Blog, 2/15)

石川県、予算案に1000万円「大阪万博」関連事業費計上「私は維新の顧問」馳浩知事の開き直りに県民の怒り爆発
2024-02-20 00:00:00 +0000

石川県、予算案に1000万円「大阪万博」関連事業費計上「私は維新の顧問」馳浩知事の開き直りに県民の怒り爆発 (FLASH / Yahoo, 2/19)。 災害復興に使うべきであろ。

2023-09-23: RFC2 is shutting down.
2024-02-20 00:00:00 +0000

2023-09-23: RFC2 is shutting down. (rfc-clueless.org, 2023.09.23)。今日気がついた。

2023-02-01 - DNSBL lists will be retired (set to NXDOMAIN)
国防を優先事項へ:オランダの兵器調達リスト(一覧)
2024-02-20 00:00:00 +0000

国防を優先事項へ:オランダの兵器調達リスト(一覧) (Oryx Blog - ジャパン, 2/16)。「2023年8月27日に本国版「Oryx」(英語)に投稿されたものを翻訳した記事」。オランダの戦車全廃の件、オチがすさまじい。

 前述の能力ギャップの一つは、戦力面における戦車不足に関するものです。オランダは2011年に全ての戦車部隊を解隊させた後、現在では僅か18台の「レオパルト2A6」がドイツとオランダが統合運用している第414戦車大隊に配備されています。
 全戦車の退役については、戦車のコンセプト自体が時代遅れになったというオランダの思い込みによるものだという説が今でもまん延していますが、実際のところ、退役は単に予算上の判断にすぎませんでした。他の兵器システムや部隊を廃止するという選択肢はほとんど残されておらず、80台以上の「レオパルド2A6」が高額なA7規格への改修用に運用可能な状態で温存され続けていたことから、軍の戦車部隊を廃止するという苦渋の決断が下されたわけです。
 「レオパルト2A6」100台は後にフィンランドへ売却され、残りの17台は第414戦車大隊で18台のドイツ軍の「レオパルト2A6」を運用する代わりに同国へ寄贈されました。
 現在、オランダ陸軍はドイツから最大で52台の「レオパルド2A8」を調達する予定ですが、その価格は、(以前に計画されていた)2010年代半ばから後半にかけて「レオパルド2A6」をA7規格へ改修する費用の10倍近くにも上ります。
名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる
2024-02-20 00:00:00 +0000

名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる (gigazine, 2/20)

半導体ルネサス、「異質の巨額買収」の裏に危機感 9000億円弱で電子回路設計ツール企業を買収
2024-02-20 00:00:00 +0000

半導体ルネサス、「異質の巨額買収」の裏に危機感 9000億円弱で電子回路設計ツール企業を買収 (東洋経済, 2/20)。プリント基板設計ツール大手のアルティウムを91億オーストラリアドルで買収。

柴田社長が会見で語ったのは、半導体・電子部品と、ルネサスが主顧客とする自動車や産業機械メーカーとを取り巻く環境の変化だ。製造業に強いコンサルティング会社、アーサー・ディ・リトルの赤山真一パートナーも次のように解説する。
「AI(人工知能)やソフトウェアを扱う企業が最終製品を企画し、それからハードウェアを手がける企業にものづくりを任せる、というケースが増えている。その場合、企画段階からシミュレーションで検証できることが重要。自動車や産業機械が“AIの塊”に進化していく中、ルネサスはこの動きについていくと決めたのではないか」
ロシア当局、アレクセイ・ナワリヌイ氏死亡を発表 (2/16)
2024-02-20 00:00:00 +0000

ロシア当局、アレクセイ・ナワリヌイ氏死亡を発表 (2/16)

「使命感で現場が奮い立った」羽田の飛行機炎上、ヒーローはJALだけじゃない JR、ANA、スカイマーク…ライバルが交通インフラを支えていた
2024-02-19 00:00:00 +0000

「使命感で現場が奮い立った」羽田の飛行機炎上、ヒーローはJALだけじゃない JR、ANA、スカイマーク…ライバルが交通インフラを支えていた (共同, 2/18)

続・“冤(えん)罪”の深層〜警視庁公安部・深まる闇〜
2024-02-19 00:00:00 +0000

続・“冤(えん)罪”の深層〜警視庁公安部・深まる闇〜 (NHK スペシャル, 2/18)。犯罪捏造による出世チャレンジ by 公安、なんだよな。 ほんとクソ。

日本医師会サイバーセキュリティ支援制度
2024-02-19 00:00:00 +0000

日本医師会サイバーセキュリティ支援制度 (日本医師会, 2/2)。こんなのあるんですね。

学校の健康診断「原則着衣で」、文科省が通知…プライバシーに配慮
2024-02-19 00:00:00 +0000

学校の健康診断「原則着衣で」、文科省が通知…プライバシーに配慮 (読売, 1/23)。関連:

スマホ指紋認証の“摩擦音”を録音→指紋を復元する攻撃 中国の研究者らが開発
2024-02-19 00:00:00 +0000

スマホ指紋認証の“摩擦音”を録音→指紋を復元する攻撃 中国の研究者らが開発 (ITmedia, 2/19)。音系はいろいろ使えるんだなあ。

トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセスキー無効化忘れ
2024-02-19 00:00:00 +0000

トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセスキー無効化忘れ (ITmedia, 2/19)

まるで本人、ネット詐欺の「ディープフェイク」技術が向上して見分けるのが難しいレベルに
2024-02-19 00:00:00 +0000

まるで本人、ネット詐欺の「ディープフェイク」技術が向上して見分けるのが難しいレベルに (Internet Watch, 2/16)

iOSで顔認識データを収集するトロイの木馬が見つかる。ディープフェイク動画にして銀行の顔認証を突破か
2024-02-19 00:00:00 +0000

iOSで顔認識データを収集するトロイの木馬が見つかる。ディープフェイク動画にして銀行の顔認証を突破か (やじうま Watch, 2/19)

WinSCP 6.3 released
2024-02-16 00:00:00 +0000

WinSCP 6.3 released (WinSCP, 2/14)。PuTTY 0.80 ベースになった等。

「大量リストラ」「サブスク衰退」相次ぐ米メディア、AI激変への生き残り策は?
2024-02-16 00:00:00 +0000

「大量リストラ」「サブスク衰退」相次ぐ米メディア、AI激変への生き残り策は? (新聞紙学的, 2/12)

我々は広告モデルからサブスク・ベースのモデルに移行した。そのサブスク・ベース・モデルは今や衰えつつあり、今後、さらに深刻な衰退期を迎えることになるだろう。
その男、田代政弘 (松本人志弁護人)
2024-02-16 00:00:00 +0000

その男、田代政弘 (松本人志弁護人)

中国の核戦力概観 2024
2024-02-16 00:00:00 +0000

中国の核戦力概観 2024 (海国防衛ジャーナル, 1/19)

Windows Sysinternals 更新情報 (2024 年 2 月 14 日) ─ Sysmon 15.14
2024-02-16 00:00:00 +0000

Windows Sysinternals 更新情報 (2024 年 2 月 14 日) ─ Sysmon 15.14 (山市良のえぬなんとかわーるど, 2/14)

追記
2024-02-16 00:00:00 +0000

いろいろ (2022.12.16) Buffalo Wi-Fi ルーター / 中継機

いろいろ (2024.02.16)
2024-02-16 00:00:00 +0000

PostgreSQL

ClamAV

AMD CPU

Zoom クライアント

自動運転車のレーダーセンサーに「幻の対向車」を見せたり存在するはずの車両を見えなくしたりして事故を起こさせる攻撃手法「MadRadar」が開発される
2024-02-15 00:00:00 +0000

自動運転車のレーダーセンサーに「幻の対向車」を見せたり存在するはずの車両を見えなくしたりして事故を起こさせる攻撃手法「MadRadar」が開発される (gigazine, 2/9)

NGINXのコア開発者が親会社と決別、新たに「freenginx」という名前でフォーク版を作成開始
2024-02-15 00:00:00 +0000

NGINXのコア開発者が親会社と決別、新たに「freenginx」という名前でフォーク版を作成開始 (gigazine, 2/15)

OpenAIとMicrosoftが「中国・ロシア・北朝鮮・イランのハッカーがAIを使ってハッキングしていた」と報告
2024-02-15 00:00:00 +0000

OpenAIとMicrosoftが「中国・ロシア・北朝鮮・イランのハッカーがAIを使ってハッキングしていた」と報告 (gigazine, 2/15)

Windows Updateを早く終わらせる方法が見つかる。誰にでもできる簡単な方法で時短
2024-02-15 00:00:00 +0000

Windows Updateを早く終わらせる方法が見つかる。誰にでもできる簡単な方法で時短 (ニッチなPCゲーマーの環境構築Z, 2/15)。有意な差があるのか……。

追記
2024-02-15 00:00:00 +0000
2024 年 2 月のセキュリティ更新プログラム (月例)
2024-02-15 00:00:00 +0000

Microsoft 2024.02 patch 出ました。 73 MS CVE + 6 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day は 3 件:

 関連:

2024.02.21 追記:

 不具合報告:

2024.02.27 追記:

 不具合報告:

  • The February 2024 security update might fail to install (Microsoft, 2024.02.26 更新)。Windows 11 + KB5034765 (2024.02 patch) でインストールが 96% から進まない場合があると。

    This issue can be prevented by deleting the hidden folder C:\$WinREAgent. A restart might be required.

    隠しフォルダ C:\$WinREAgent を削除して再起動するとこの問題を回避できると。

  • 2024年2月セキュリティパッチの適用が97%で止まってしまう ~Windows 11で発生中 (窓の杜, 2024.02.27)

    この問題が影響するプラットフォームは、以下の通り。コンシューマー版の「Windows 11」でのみで発生し、サーバーOSや「Windows 10」では起こらないようだ。

    どこを読むとこの認識にたどりつけるのだろう。よくわからん。

「Acrobat」など6製品に致命的な脆弱性 ~Adobeが月例のセキュリティ情報を公開
2024-02-15 00:00:00 +0000
Unbound 1.19.1 released
2024-02-15 00:00:00 +0000

 Unbound 1.19.1 公開。 2 件のセキュリティ欠陥、CVE-2023-50387 (KeyTrap 脆弱性) および CVE-2023-50868 (NSEC3 脆弱性) に対応。 どちらも DNS 仕様の欠陥。

 KeyTrap 脆弱性の震源地はこちら: Serious Vulnerability in the Internet Infrastructure Fundamental design flaw in DNSSEC discovered (ATHENE, 2024.02.13)。 NSEC3 脆弱性は、「We would like to thank Petr Špaček from ISC for discovering and responsibly disclosing the NSEC3 vulnerability」とあるので、 ISC の人が見つけたということかな。

The introduced builtin limits in Unbound are:
  • Max 4 DNSSEC key collissions are allowed when building chain of trust. More than that without a secure key treats the delegation as bogus.
  • 8 validation attempts per RRSET (combination of keys + signatures). If more are needed and Unbound has yet to find a valid signature the RRSET is treated as bogus.
  • More than 8 validation attempts per answer will suspend validation.
  • 8 NSEC3 hash calculations are allowed before suspension. More than that will suspend validation.
  • The limit of total suspensions is 16 after which the query will error out. Any completed RRSET validations populate the cache for use in future queries.

 逆に言うと、これまでは無限に扱っていたので DoS 攻撃を誘発していたということかな。

 CVE-2023-50387, CVE-2023-50868 共に仕様の欠陥なので、多くの実装で修正が公開されている。 Microsoft 製品が含まれるので Patch Tuesday なのですね。はぁ。

Windows 11に追加された「Sudo」、Windows Serverではサポートされないことが確定
2024-02-14 00:00:00 +0000

Windows 11に追加された「Sudo」、Windows Serverではサポートされないことが確定 (やじうま Watch, 2/14)。あらまあ。

ヴィレヴァンが知らぬ間にマズいことになってた
2024-02-14 00:00:00 +0000

ヴィレヴァンが知らぬ間にマズいことになってた (谷頭 和希 / 東洋経済, 1/18)。 開店当初の 1 号店がとても好きなのだけど、もはや当時の面影はどこにもないからなあ。 谷頭氏も開店当初の様子は理解しておらず、 ゴタゴタ雑貨屋としてのヴィレッジヴァンガードしか知らないように思える。

言い方がやや厳しいかもしれないが、ヴィレヴァンにはどことなく「選民意識」みたいなものが流れているのだ。それは「センスの悪い奴を相手にするな」という言葉によく現れている。

 実際、開店当初の 1 号店はセンスの塊だったからね。ゴチャゴチャなんて全くしていない。 本のセレクトショップという感があった。 そのヴィレッジヴァンガード自身がセンスを失って雑貨屋に落ちぶれたが、 それは本が売れなくなったからだよね。雑貨に逃げるしかなかった。

 続編記事 を見るとこんな記述。やはり、開店当初の様子は理解していないようだ。

 また、いわゆる「エロ」だけではなく、「グロ」や「ナンセンス」的な商品についても、その取り扱いがほとんど無くなってしまったことを憂う声が多かった。
 例えばカルト宗教の本や、90年代、若者に絶大な人気を集めた『完全自殺マニュアル』など、いわゆる「90年代サブカル」と呼ばれる系統に属するカルチャーでよく読まれていた書籍の取り扱いもあったらしい。初期のヴィレヴァンに迫った『菊地くんの本屋』の定番商品リストには、90年代鬼畜系カルチャーを先導した青山正明が書いた『危ない薬』も書かれている。

 開店当初の 1 号店には「マリファナ・ナウ」「マリファナ・ハイ」がそれぞれ 100 冊平積みされており (2m 近い高さになる)、 しばらくすると「100冊売れました! もう 100 冊行きます!」という pop と共にまたどーんと平積みされる、そういう店だった (pop という文化を流行らせたのもヴィレッジヴァンガードである)。 いや、そんな本ばっかりではもちろんなかったのだけれど、そういうクセのある本がオシャレな本といっしょに置いてあるのがヴィレッジヴァンガードだった (過去形)。

チェコに登場、欧州初「中国製電車」数々の問題点 長期間認可出ずやっと運行、見かけは立派だが
2024-02-14 00:00:00 +0000

チェコに登場、欧州初「中国製電車」数々の問題点 長期間認可出ずやっと運行、見かけは立派だが (橋爪 智之 / 東洋経済, 2/10)

最後に、筆者の視点から見て致命的と感じたのが、走行に関わる部分だ。
シリウスは連接式を採用しているが、走行中、特にカーブやポイント部分を通過する際に、車体が壊れるのではないかというほどの大きな衝撃がたびたび発生した。これはダンパー性能の問題なのか、車体構造上の問題なのかわからないが、試乗した数時間の間に何度も発生しており、思わず身構えるほどであった。

 これは怖い……。

早急に海底活断層評価を、地震学の専門家が警鐘 能登半島地震で、政府の対策の遅れが露呈
2024-02-14 00:00:00 +0000

早急に海底活断層評価を、地震学の専門家が警鐘 能登半島地震で、政府の対策の遅れが露呈 (東洋経済, 2/14)。「東北大学の遠田晋次教授にインタビュー」。

 能登半島北部の沿岸についてはF43およびF42という断層の存在を指摘し、それが動いた場合の地震の規模や津波の高さなどが示されています。今回の地震ではF43およびF42断層と呼ばれたものとほぼ同等の活断層が動いたと言うことができます。
 より詳細に言えば、両断層に加えて、能登半島西部の志賀町の北部あたりまで活断層が動いた。その点では地震の規模は予想よりも大きかったけれども、地震の発生自体はほぼ想定されていたものだったと言えます。

 にもかかわらず、 「政府の地震本部ではそれらの断層を主要な断層帯として評価していなかった」 「石川県 (中略) 防災対策の地震災害対策編では同断層は考慮されず、四半世紀前の評価に基づく地震被害想定のままになっていました」。 結果としてのこの被害、この対応の遅さ。

Raspberry Pi Pico cracks BitLocker in under a minute
2024-02-14 00:00:00 +0000

 stacksmashing 氏がラズパイ Pico を使って BitLocker を破ったという話。 攻略動画 とツール Pico TPMSniffer が公開されている。

2024.02.21 追記:

 BitLockerを43秒で突破、TPMモジュールの脆弱性が明らかに (マイナビニュース, 2024.02.08)。Takosan さん情報ありがとうございます。

BIND 9.x 方面 6 件
2024-02-14 00:00:00 +0000

 いずれも BIND 9.18.24 / 9.16.48 で対応。 Patch Tuesday にぶつけるの、ほんとやめてほしい……

2024.02.15 追記:

 Patch Tuesday にぶつけるしかなかったんですね。なるほど。

バイトテロを食らったドミノ・ピザ公式の対応速度とその内容に称賛が集まる→バイトテロはなぜ繰り返す?
2024-02-13 00:00:00 +0000

バイトテロを食らったドミノ・ピザ公式の対応速度とその内容に称賛が集まる→バイトテロはなぜ繰り返す? (togetter, 2/13)

名刺管理「Sansan」不正アクセスし閲覧 容疑の不動産販売会社員の男逮捕 営業に利用目的か
2024-02-13 00:00:00 +0000

名刺管理「Sansan」不正アクセスし閲覧 容疑の不動産販売会社員の男逮捕 営業に利用目的か (産経 / ITmedia, 2/9)

ウクライナ軍部、ロシア占領軍によるStarlink使用を報告 マスクCEOは否定
2024-02-13 00:00:00 +0000

ウクライナ軍部、ロシア占領軍によるStarlink使用を報告 マスクCEOは否定 (ITmedia, 2/13)

鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表
2024-02-13 00:00:00 +0000

鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表 (ITmedia, 2/13)。「この手法は特にピンシリンダー錠に有効であり、鍵のビッティング(切り込みの深さ)の特定が可能である」。

「ZoomIt 8.0」にキー送信機能 ~Sysinternalsの画面拡大・プレゼン補助ツール  あらかじめ仕込んだ台本通りにデモタイプ、特定キーの合成やクリップボードとの連携も
2024-02-13 00:00:00 +0000

「ZoomIt 8.0」にキー送信機能 ~Sysinternalsの画面拡大・プレゼン補助ツール  あらかじめ仕込んだ台本通りにデモタイプ、特定キーの合成やクリップボードとの連携も (窓の杜, 2/13)。これはまた、アレな機能が追加されましたね。

Chromebookを使う自治体にGoogleへの不必要なデータ送信を止めるようデンマークデータ保護局が要求
2024-02-13 00:00:00 +0000

Chromebookを使う自治体にGoogleへの不必要なデータ送信を止めるようデンマークデータ保護局が要求 (gigazine, 2/9)。DPA = Datatilsynet = デンマーク データ保護局 (Danish Data Protection Agency )。

「Googleへのデータ送信には法的根拠がない」として、DPAはChromebookを使用している自治体に対して対応策を求めています。具体的には、許可されていない目的でGoogleへ個人情報を送信しないことや、送信するのであれば規則に沿っていることを明確にすることが求められます。

 本当の問題は、G の行為が不明確だということ。

自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」
2024-02-13 00:00:00 +0000

自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」 (Internet Watch, 2/8)

FortiOS / FortiProxy / FortiPAM / FortiSwitchManager 方面 (CVE-2024-21762, CVE-2024-23113)
2024-02-13 00:00:00 +0000

Fortinet FortiOS / FortiProxy

  • FortiOS - Out-of-bound Write in sslvpnd (Fortinet, 2024.02.08)。 FortiOS 6.0〜7.4 および FortiProxy 1.0〜7.4 に欠陥。 sslvpnd に 0-day 欠陥があり、RCE 可能。 SSL VPN を無効にすることで回避できる。Web モードを無効にしても回避できない。 FortiOS 7.6 にはこの欠陥はない。 CVE-2024-21762

    FortiOS 7.4.3 / 7.2.7 / 7.0.14 / 6.4.15 / 6.2.16 以降、 FortiProxy 7.4.3 / 7.2.9 / 7.0.15 / 2.0.14 以降で修正されている。 FortiOS 6.0 系は修正されない。6.2 以降へのアップグレードが必要。 FortiProxy 1.0 / 1.1 / 1.2 系も修正されない。2.0 以降へのアップグレードが必要。

  • CVE-2024-21762の影響について (図研ネットウエイブ, 2024.02.09)。FortiProxy 7.2.9 / 7.0.15 はリリースされたと記載さている。 他はまだみたい。

  • FortiOSの脆弱性 CVE-2024-21762 についてまとめてみた (piyolog, 2024.02.11)

Fortinet FortiOS / FortiProxy / FortiPAM / FortiSwitchManager

  • FortiOS - Format String Bug in fgfmd (Fortinet, 2024.02.08)。 FortiOS 7.0 / 7.2 / 7.4 系列、 FortiPAM 1.0 / 1.1 系列、 FortiProxy 7.0 / 7.2 / 7.4 系列、 FortiSwitchManager 7.0 / 7.2 系列に欠陥。 fgfmd にフォーマット文字列バグがあり RCE 可能。 FortiOS 6.x にはこの欠陥はない。 CVE-2024-23113

    各インターフェイスから fgfm のアクセス許可を削除することで回避できる。 FG-IR-24-029 を参照。

    FortiOS 7.4.3 / 7.2.7 / 7.0.14 以降、 FortiPAM 1.2.1 / 1.1.3 以降、 FortiProxy 7.4.3 / 7.2.9 / 7.0.16 以降、 FortiSwitchManager 7.2.4 / 7.0.4 以降で修正されている。 FortiPAM 1.0 系列は 1.1 以降へのアップグレードが必要。

  • CVE-2024-23113の影響について (図研ネットウエイブ, 2024.02.09)。対象製品として FortiOS / FortiProxy の他に FortiWIFI が挙げられている。 FortiProxy 7.2.9 はリリースされたと記載さている。

「スキップとローファー」主人公の故郷は珠洲がモデル、講談社アフタヌーンが1000万円を石川に寄付
2024-02-09 00:00:00 +0000

「スキップとローファー」主人公の故郷は珠洲がモデル、講談社アフタヌーンが1000万円を石川に寄付 (読売, 2/8)

Windows 11に「Sudo」コマンドを追加へ ~Linuxスタイルでコマンドの権限昇格が可能に
2024-02-09 00:00:00 +0000

Windows 11に「Sudo」コマンドを追加へ ~Linuxスタイルでコマンドの権限昇格が可能に (窓の杜, 2/9)

Security Update for Ivanti Connect Secure and Ivanti Policy Secure Gateways
2024-02-09 00:00:00 +0000

 Ivanti Connect Secure、Ivanti Policy Secure、ZTA gateways に新たな欠陥 CVE-2024-22024 だそうで。

  • CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure (Ivanti, 2024.02.08)

    This vulnerability only affects a limited number of supported versions - Ivanti Connect Secure (version 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1), Ivanti Policy Secure version 22.5R1.1 and ZTA version 22.6R1.3.
    A patch is available now for Ivanti Connect Secure (versions 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 and 22.6R2.2), Ivanti Policy Secure (versions 9.1R17.3, 9.1R18.4 and 22.5R1.2) and ZTA gateways (versions 22.5R1.6, 22.6R1.5 and 22.6R1.7).

    limited なんて言葉を使うくらいだから サポートされているバージョンが他にも大量にあるのかと思ったけど、 Granular Software Release EOL Timelines and Support Matrix (Ivanti) を見る限りでは、たとえば Ivanti Connect Secure でサポートされているのは 9.1R14〜9.1R18 と 22.1〜22.6。 対象外なのは 22.[1236] だけじゃん。

Chrome Stable Channel Update for Desktop
2024-02-09 00:00:00 +0000

 Chrome 121.0.6167.160 (Mac / Linux) および 121.0.6167.160/161 (Windows) 公開。 3 件のセキュリティ修正を含む。関連:

志賀原発方面
2024-02-08 00:00:00 +0000

志賀原発方面

珠洲市若山町に2.2mの断崖が出現 住民「今年は田植え無理かも」
2024-02-08 00:00:00 +0000

珠洲市若山町に2.2mの断崖が出現 住民「今年は田植え無理かも」 (東京, 2/7) 。凄いね……。

セクシー田中さん方面
2024-02-08 00:00:00 +0000

セクシー田中さん方面

 第三者委員会を立ち上げて原因究明と再発防止に務めるべきだと思いますが、 SNS のせいにしてうやむやにしたいってことですかね。 これでは、まだまだ人が死にますよ。

『.ics』ファイルを開くとセキュリティ警告が表示される不具合。Windows10やWindows11などで発生。Outlookの更新プログラムに起因
2024-02-08 00:00:00 +0000

『.ics』ファイルを開くとセキュリティ警告が表示される不具合。Windows10やWindows11などで発生。Outlookの更新プログラムに起因 (ニッチなPCゲーマーの環境構築Z, 2/6)

ボーイングのドア落下事故、ボルトが欠落か 当局が報告書公表
2024-02-08 00:00:00 +0000

ボーイングのドア落下事故、ボルトが欠落か 当局が報告書公表 (BBC, 2/7)。「非常用のドアを機体に固定する主要なボルト4本が見当たらなかったという」。

イギリスの公共システムでまたも「ねつ造スキャンダル」が発覚、学校評価システムのデータがしょっちゅう消えるので監査員が証拠をでっち上げているとの証言
2024-02-08 00:00:00 +0000

イギリスの公共システムでまたも「ねつ造スキャンダル」が発覚、学校評価システムのデータがしょっちゅう消えるので監査員が証拠をでっち上げているとの証言 (gigazine, 2/5)

フィリップスが2009年から2021年に製造した人工呼吸器をリコール、関連が疑われる死亡例が561件あり補償は700億円以上に
2024-02-08 00:00:00 +0000

フィリップスが2009年から2021年に製造した人工呼吸器をリコール、関連が疑われる死亡例が561件あり補償は700億円以上に (gigazine, 2/6)

ゼロデイ脆弱性のほとんどに「商用スパイウェアベンダー」が絡んでいたとGoogleの脅威分析チームが発表
2024-02-08 00:00:00 +0000

ゼロデイ脆弱性のほとんどに「商用スパイウェアベンダー」が絡んでいたとGoogleの脅威分析チームが発表 (gigazine, 2/7)

中国の半導体メーカー・SMICがアメリカの規制を乗り越えてファーウェイのHiSiliconが設計した5nmプロセスのチップを製造することが明らかに
2024-02-08 00:00:00 +0000

中国の半導体メーカー・SMICがアメリカの規制を乗り越えてファーウェイのHiSiliconが設計した5nmプロセスのチップを製造することが明らかに (gigazine, 2/7)

中国のサイバースパイがオランダの軍事ネットワークにアクセスしたと諜報機関が公表
2024-02-08 00:00:00 +0000

中国のサイバースパイがオランダの軍事ネットワークにアクセスしたと諜報機関が公表 (gigazine, 2/7)

中国政府系ハッカー集団「ボルト・タイフーン」が5年間以上もアメリカの主要インフラに潜伏していたことが判明、台湾侵攻の緊張が高まる
2024-02-08 00:00:00 +0000

中国政府系ハッカー集団「ボルト・タイフーン」が5年間以上もアメリカの主要インフラに潜伏していたことが判明、台湾侵攻の緊張が高まる (gigazine, 2/8)。Volt Typhoon。

 CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance (CISA, 2/7)

VTuberへのプレゼントに“GPS発信器” 「あおぎり高校」が発表 プレゼントの受け付け停止に
2024-02-08 00:00:00 +0000

VTuberへのプレゼントに“GPS発信器” 「あおぎり高校」が発表 プレゼントの受け付け停止に (ITmedia, 2/7)

Xからの乗り換え有力候補「Bluesky」が登録制限を撤廃、招待コード不要で利用可能に
2024-02-08 00:00:00 +0000

Xからの乗り換え有力候補「Bluesky」が登録制限を撤廃、招待コード不要で利用可能に (窓の杜, 2/7)

 関連: 「ちいかわ」作者・ナガノさんがSNS「Bluesky」にアカウント作成 早速マンガ投稿 (ITmedia, 2/7)

「今の石川県で原発災害が起きたら避難できない」 それでも災害指針を見直さない、楽観論の背景にあるもの
2024-02-08 00:00:00 +0000

「今の石川県で原発災害が起きたら避難できない」 それでも災害指針を見直さない、楽観論の背景にあるもの (東京, 2/6)

【速報】福島第一原発の汚染水浄化装置から放射性物質含む水が漏洩 漏れたのは約5.5トン220億ベクレルと試算【福島県】
2024-02-08 00:00:00 +0000

【速報】福島第一原発の汚染水浄化装置から放射性物質含む水が漏洩 漏れたのは約5.5トン220億ベクレルと試算【福島県】 (福島中央テレビ / Yahoo, 2/7 18:36)。「7日午前9時前」の話が 18:36 に「速報」される世界。東電なのでね。

 オフィシャル:

 東電的には「水」だそうです。

女子トイレを廃止? 性犯罪者が狙うのは、こんなトイレ ――犯罪を誘発するデザイン・抑止するデザイン
2024-02-08 00:00:00 +0000

女子トイレを廃止? 性犯罪者が狙うのは、こんなトイレ ――犯罪を誘発するデザイン・抑止するデザイン (小宮信夫 / Yahoo, 2/7)

トイレに限定した公式統計はないので、トイレで起きた犯罪の実態は分からない。しかし、構造分析はできる。「犯罪機会論」が分析ツールになるからだ。
筆者は100カ国でトイレの構造分析を行ってきたが、その結論は「構造上、世界で最も犯罪が起きる確率が高いのは日本のトイレ」ということだ。その違いは、犯罪機会論採用の有無から生まれる。
海外では、男子トイレの入り口と女子トイレの入り口が、かなり離れていることも多い。そうしたデザインなら、男性の犯罪者が女性を追尾しにくく、一緒に個室に入り込む手口を防げる。(中略) 対照的に、日本のトイレは、男子トイレの入り口と女子トイレの入り口が近いので、怪しまれずに追尾できるし、簡単に個室に連れ込める。
このように、犯罪機会論からは、トイレ利用者の安全のためには、ゾーニングが不可欠と言える。
ところが、これに対し、ゾーニングしないトイレ、つまり、男女別のないトイレ(オールジェンダートイレ)が望ましいとする意見がある。いわゆる「女性専用トイレ廃止問題」だ。
(中略)
結論として、まず犯罪機会論に基づき、「多様性」を確保するゾーニングされたトイレを作り、その上で付加的にプラスワンとしてオールジェンダートイレを設置するのが望ましい。 (中略) 多くの人は勘違いしているが、「違い」を認めることは平等で、「違い」を認めないことが差別である。
いろいろ (2024.02.08)
2024-02-08 00:00:00 +0000

シャープ NEC ディスプレイソリューションズ パブリックディスプレイ P403, P463, P553, P703, P801, X554UN, X464UN, X554UNS, X464UNV, X474HB, X464UNS, X554UNV, X555UNS, X555UNV, X554HB, E705, E805, UN551S, UN551VS, X551UHD, X651UHD, X841UHD, X981UHD

curl

Jenkins

VMware Aria Operations for Networks

WordPress

Juniper Secure Analytics optional Applications

CANON LBP674C・LBP672C・LBP671C、MF755Cdw・MF753Cdw・MF751Cdw

Docker Desktop

Android

WordPress 6.4.3 メンテナンスとセキュリティのリリース
2024-02-08 00:00:00 +0000

WordPress 6.4.3 メンテナンスとセキュリティのリリース (WordPress, 2024.01.31)

Fortinet warns of new FortiSIEM RCE bugs in confusing disclosure
2024-02-08 00:00:00 +0000

 FortiSIEM に RCE を招く欠陥。2023.10 に対応された CVE-2023-34992 に類似の RCE を招く欠陥 CVE-2024-23108 CVE-2024-23109 が発覚。 Fortinet のアドバイザリは新規に発行されるのではなく、 CVE-2023-34992 のもの (FG-IR-23-130) が改訂され CVE-2024-23108 / CVE-2024-23109 が追加される形となっている。 とはいえ Timeline 欄には反映されていないのだけど。

 FortiSIEM 7.1.2 で修正されている他、 まもなくリリースされる予定の FortiSIEM 7.2.0 / 7.0.3 / 6.7.9 / 6.6.5 / 6.5.3 / 6.4.4 で修正される予定。

Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告
2024-02-07 00:00:00 +0000

Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告 (@IT, 2/6)

ツイキャスにDDoS攻撃、1週間継続中 ライブ配信視聴しづらいなど障害
2024-02-07 00:00:00 +0000

ツイキャスにDDoS攻撃、1週間継続中 ライブ配信視聴しづらいなど障害 (ITmedia, 2/7)

次期「Windows Server 2025」、無停止でOSアップデートを実現する「ホットパッチ機能」を全エディションで提供
2024-02-07 00:00:00 +0000

次期「Windows Server 2025」、無停止でOSアップデートを実現する「ホットパッチ機能」を全エディションで提供 (ITmedia, 2/7)

 ただしホットパッチングの説明が、スライドの左側に示された「Arc-enabled Hotpatching Everywhere」となっているように、Windows Server 2025のホットパッチング機能は、Microsoft AzureからWindows Serverを管理する「Azure Arc」とセットで提供される見通しです。
 そのため月額料金(Monthly Subscription)が発生するとも説明されています。

 なんだ、がっかり機能か。

Googleがついに検索結果ページでのキャッシュ提供を終了
2024-02-05 00:00:00 +0000

Googleがついに検索結果ページでのキャッシュ提供を終了 (gigazine, 2/5)

The Money and Drugs That Tie Elon Musk to Some Tesla Directors
2024-02-05 00:00:00 +0000

The Money and Drugs That Tie Elon Musk to Some Tesla Directors (Wall Street Journal, 2/3)。金とクスリでぐっちょぐちょ。

 関連: マスク氏8兆円報酬、米裁判所が無効判断-世界一の富豪の座失う恐れ (ブルームバーグ, 1/31)

電気自動車によるガードレール“クラッシュテスト” ガソリン車より数百kg以上重く…事故対策の改善必要か
2024-02-05 00:00:00 +0000

電気自動車によるガードレール“クラッシュテスト” ガソリン車より数百kg以上重く…事故対策の改善必要か (FNN, 2/4)。クルマ自体が変化した結果、周辺装置もまた変化する必要があるという話だなあ。

電気自動車は、バッテリーによりガソリン車より車体が重く、ガードレールを簡単に突き破ってしまった。(中略) テストを行ったアメリカのネブラスカ大学によると、バッテリーを大量に積んでいるため、ガソリン車に比べ、数百kg以上も重いという。

 「重量税」をもっと取るべき という意見もあり、もっともだと思う。法もまた変化する必要がある。

日本シナリオ作家協会、“原作者と脚本家の関わり方”動画について謝罪 「故人の尊厳に関わる軽率な行為だった」
2024-02-05 00:00:00 +0000

日本シナリオ作家協会、“原作者と脚本家の関わり方”動画について謝罪 「故人の尊厳に関わる軽率な行為だった」 (ITmedia, 2/5)。関連:

集英社、“早バレ”サイト容疑者逮捕に「大きな前進」
2024-02-05 00:00:00 +0000

集英社、“早バレ”サイト容疑者逮捕に「大きな前進」 (ITmedia, 2/5)。関連:

これならWeb会議中に寝ても大丈夫!? 「Copilot for Microsoft 365」で劇的に便利になるTeams会議
2024-02-05 00:00:00 +0000

これならWeb会議中に寝ても大丈夫!? 「Copilot for Microsoft 365」で劇的に便利になるTeams会議 (Internet Watch, 2/5)

 続いては、Teamsだ。これは実際に体験するとわかるが、本当に便利だ。
 誤解を恐れずに言えば、極端な話、会議を聞いていなくてもよくなる。
 Teamsでは、大きく2つの機能を利用できる。1つは会議中の機能だ。会議中にレコーディングとトランススクリプト(文字起こし)を有効にしてから、Copilotボタンでサイドバーを表示、「これまでの会議を要約する」を選択すると、会議の内容がまとめられて表示される。 現在の会議について、要約したり、トピックをリストアアップしたり、質問内容を考えてもらったりできる
 会議に遅れてしまったり、会議中に電話などで席を外したりすることはめずらしくないが、このようなケースでは、復帰したタイミングで話が進行していると、それまでの内容に追いつけないことがある。しかし、こうしたケースでもCopilotが欠席中の情報をフォローしてくれるわけだ。
 もう1つは、会議後の機能だ。
 会議の終了後、会議の結果画面に「まとめ」というタブが表示される。これは、Teams PremiumのIntelligent Recapと同様の機能で、会議の結果をまとめたものとなる。 (中略) 会議を欠席したり、内容を忘れてしまったりしても、AIメモを見れば、内容ややるべきことをすぐに把握できるわけだ。決まった理由や会話の流れを確認したければ、そこからトランススクリプトを読み、動画の該当部分を見返せばいいことになる。
 もう、電話も、打ち合せも、インタビューも、全部Teamsでやってほしい。そうすれば、すべての情報がここに集約され、Copilot経由でいつでも取り出せるようになる。同僚も秘書もいない筆者にとって、これが実現できるメリットは非常に大きい。

 AI 秘書を 45000円/年 で雇っていると考えれば、ぜんぜん高くないということかな。

AnyDesk Incident Response 2-2-2024
2024-02-05 00:00:00 +0000

AnyDesk Incident Response 2-2-2024 (AnyDesk, 2/2)。リモートデスクトップソフト AnyDesk の本番環境への侵入を発見、対応。 ランサムウェア事案ではないそうです。

外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検
2024-02-05 00:00:00 +0000

外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検 (読売, 2/5)

 関係者によると、米政府は安倍政権当時の20年夏、「日本の在外公館のネットワークが中国に見られている」と日本側に伝えた。漏えいした情報の具体的な中身や、攻撃をどのように把握したのかは明らかにしなかったが、北京の日本大使館と外務省本省間などで交わされた公電が中国当局に幅広く読み取られていることを示唆した。
 当時、米国家安全保障局(NSA)のポール・ナカソネ長官らが急きょ、来日して日本政府高官と会談したほか、日米の実務者が対応を協議した。
 その結果、外務省に加え、機密情報を扱う防衛省と警察庁、公安調査庁、内閣情報調査室の計5機関がシステムを点検し、脆弱性のあるプログラムを改善することで一致した。改善の状況は日米間で共有され、米側は点検・強化の継続を求めている。

 2020年夏……。ワシントン・ポストが昨年 8 月に報道していた「防衛機密ネットワーク」の件は 2020 年秋だから、その前にこういう話があったということ? それとも同じ話?

アップル「Vision Pro」 24時間着けてみた
2024-02-05 00:00:00 +0000

アップル「Vision Pro」 24時間着けてみた (Wall Street Journal, 2/2)。電脳メガネへの長い道。

 非常に素晴らしいことの一つが、自身の3Dホームビデオを視聴できることだ。アップルは数カ月前、「iPhone15 Pro(アイフォーン・フィフティーン・プロ)」に「空間ビデオ」機能を導入しており、筆者はこの機能を使用して息子を撮影し始めていた。それらのビデオを今、ヘッドセットを装着して3Dで視聴すると、その瞬間を追体験しているような気分になる。
OpenSSL 3.2.1 / 3.1.5 / 3.0.13 公開
2024-02-05 00:00:00 +0000

 OpenSSL 3.2.1 / 3.1.5 / 3.0.13 公開されました。Severity: Low だったものが修正されてます。 iida さん情報ありがとうございます。

追記
2024-02-05 00:00:00 +0000

Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari) (2024.01.23)

 Apple Vision Pro 用 visionOS の修正が出ました。 CVE-2024-23222 の修正です。

ビッグモーター本社社員「環境整備推進委員」逮捕 (1/30)
2024-02-02 00:00:00 +0000

ビッグモーター本社社員「環境整備推進委員」逮捕 (1/30)

 こちらは別件:

【社外調査報告およびニュースリリース一覧】ビッグモーター社による不適切な自動車保険金請求への当社グループの対応
2024-02-02 00:00:00 +0000

【社外調査報告およびニュースリリース一覧】ビッグモーター社による不適切な自動車保険金請求への当社グループの対応 (SOMPOホールディングス, 1/26)

 関連:

「虚構新聞展」リアル開催 20周年のエイプリルフールに合わせ
2024-02-02 00:00:00 +0000

「虚構新聞展」リアル開催 20周年のエイプリルフールに合わせ (ITmedia, 2/2)。2024.03.27〜04.08 (4/2は休) 、大阪市福島区、一般当日 1000 円。

2004年に開設され、現在も更新を続けるた嘘ニュースサイト「虚構新聞」の世界を体感できる展覧会「虚構新聞展」が、開設20周年のエイプリルフールに合わせて大阪市内で開かれる。

 滋賀じゃないんかい…… (仕方ない)。

寄付金の着服あった「24時間テレビ」、日テレが再発防止策 キャッシュレス募金など導入
2024-02-02 00:00:00 +0000

寄付金の着服あった「24時間テレビ」、日テレが再発防止策 キャッシュレス募金など導入 (ITmedia, 2/1)

AMラジオ、34局が放送休止へ 1日から順次
2024-02-02 00:00:00 +0000

AMラジオ、34局が放送休止へ 1日から順次 (ITmedia, 2/1)。AM 停波、はじまります。 影響検証という名目だけど、期間が長いよね。 って、私もふだんは radiko でしか聽かないからなあ。 関連: 休止を予定する民間AMラジオ放送事業者一覧 (総務省)

 今手元の moto g52j 5G で試してみたら、 FM 77.0 MHz (エフエム滋賀)、84.0 MHz (NHK-FM)、94.9 MHz (KBS京都) が入るなあ。関連: 近畿エリアのFM局・ワイドFM局一覧

 あと NHK だけど、ラジオ第2がなくなります: NHK、AMラジオを1本化へ。2026年度から (AV Watch, 2023.10.10)。現在、緊急時には第2で英語放送をやっているんだけど、 そういうのどうするつもりなんだろう。

フェイクポルノ規制論に「テイラー・スウィフト効果」が火をつける、その行方は?
2024-02-02 00:00:00 +0000

フェイクポルノ規制論に「テイラー・スウィフト効果」が火をつける、その行方は? (新聞紙学的, 2/1)

「能登の津波」フェイク動画が世界規模で拡散、地震から1カ月、その対処法とは?
2024-02-02 00:00:00 +0000

「能登の津波」フェイク動画が世界規模で拡散、地震から1カ月、その対処法とは? (新聞紙学的, 1/29)

輪島 地震大火~大津波警報下の消火活動は
2024-02-02 00:00:00 +0000

輪島 地震大火~大津波警報下の消火活動は (NHK 解説委員室, 2/1)

今回あらためて認識されたのが防火水槽の重要性です。消火栓は大地震のとき断水で使えなくなるからです。専門家は周辺の建物の倒壊対策やリスクのある場所を避けて増設すること、複数の取水口をつけるなどの対策を検討すべきだと指摘しています。
"英国史上最大の冤罪事件"どうする富士通
2024-02-02 00:00:00 +0000

"英国史上最大の冤罪事件"どうする富士通 (NHK 解説委員室, 2/1)

いろいろ (2024.02.02)
2024-02-02 00:00:00 +0000

Docker Desktop

ESET Smart Security Premium / Internet Security / NOD32 アンチウイルス

トレンドマイクロ ウイルスバスター クラウド+ デジタルライフサポート プレミアム

AV — When a Friend Becomes an Enemy — (CVE-2024-3940)
2024-02-02 00:00:00 +0000

 各社のアンチウイルス製品 (BitDefender, Avira, TotalAV, Forticlient, ZoneAlarm, TrendMicro) に欠陥があり、proxy DLL という主砲を使って権限上昇が可能だ、という指摘。 TrendMicro のみ対応済とされている。 ZoneAlarm は対応中だそうで。

Chrome Stable Channel Update for Desktop
2024-02-02 00:00:00 +0000

 Chrome 121.0.6167.139 (Mac / Linux) および Chrome 121.0.6167.139/140 (Windows) 公開。 4 件のセキュリティ修正を含む。

 関連:

2024年2月、笑い男事件発生
2024-02-01 00:00:00 +0000

2024年2月、笑い男事件発生 (攻殻機動隊)。そうか、2024年設定だったのか。 攻殻 SAC、 20 年前なんだなあ……。