Samsung が米国で販売した洗濯機で過熱による発煙や発火等の問題が発生し、家電業界初という OTA アップデートによるリコールが行われているのだが、希望者にはオフラインでアップデート可能なドングルを提供しているそうだ (The Verge の記事)。

OTA アップデートを実行するには SmartThings アプリをスマートフォンにインストールして Samsung アカウントにログインし、洗濯機をアプリに追加して Wi-Fi 接続をセットアップする必要がある (動画 [1]、 [2])。洗濯機が Wi-Fi 機能を搭載していない場合や、インターネットに接続せずにアップデートを受け取りたい消費者は Samsung に連絡すればドングルが提供される。洗濯機の裏面にはサービス用のコネクターが用意されており、電源プラグを抜いてからコネクターにドングルを接続し、再び電源プラグを接続すればアップデートが実行されるという (動画 [3])。ソフトウェアバージョンは洗濯機のコントロールパネルで確認できる。

すべて読む | ITセクション | バグ | IT |

関連ストーリー：
Tesla、テールランプが断続的に消える問題で Model 3 / Y 約32万台をリコール 2022年11月23日
Tesla、物理的な対応が必要なリコールを米国で届け出 2022年11月01日
自分をスチームオーブンだと思うようになってしまった電子レンジ 2022年03月21日
シャープの Android TV 更新による不具合、出張修理の予約が取りづらいためユーザーが自力で復旧するソフトウェアを公開 2022年02月06日
車載システムの脆弱性による米国でのリコール、USBメモリーで更新プログラムを配布 2015年07月26日

headless 曰く、

英国・ドンカスターの診療所 Askern Medical Practice がクリスマス前の 12 月 23 日、末期がん患者に関連した SMS を 8,000 人近い登録患者に誤って送信し、検査結果を待つ患者をひどく驚かせたそうだ (Askern Medical Practice の Facebook 記事、 ニュース記事、 The Register の記事、 BBC News の記事)。

SMS の内容は末期患者が迅速に給付を受けられるようにする DS1500 フォームの提出を指示するもので、診断内容は転移もある進行性の肺がんとなっている。その後、誤りに気付いた診療所は取り消しと謝罪の SMS を送信していたが、1 月 2 日になって Facebook で、4 日には公式サイトで改めて謝罪のメッセージを公開した。それによるとコンピューターに関連した問題ではあるものの管理スタッフによるミスが原因で、データ侵害は起きていないという。そもそもメッセージは患者のサポートを担当する管理スタッフ間でのやりとりであり、患者にあてたものではないようだ。

すべて読む | モバイルセクション | モバイル | 英国 | 通信 | バグ | 医療 |

関連ストーリー：
管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 2022年10月28日
トレンドマイクロが感謝しまくるメールを誤送信 2022年08月01日
デジタルに不慣れなデジタル庁 2021年11月29日
Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 2021年04月25日

スタンフォード大学の研究によれば、GitHub Copilotや「Facebook InCoder」などのAIプログラミング機能に依存しているプログラマーは、AIを使わないプログラマーよりも不正確でバグの多いコードを生成しやすいという結果になったそうだ（論文、GIGAZINE）。

検証は五つの課題をクリアする形でおこなわれた。与えられた共通鍵を使用して、与えられた文字列の1つは暗号化し、もう1つは復号化する2つの関数をPythonで記述するという最初の課題では、AIのサポートを受けなかったグループの79%が正しいコードを生成した一方で、AIのサポートを受けたグループは67%しか正しいコードを生成できなかったとしている。ほかの2つ目から4つ目の課題でもAIプログラミング機能を使うと脆弱性のあるコードを生成しやすいという結果となったとのこと。

すべて読む | デベロッパーセクション | 人工知能 | プログラミング | バグ | デベロッパー |

関連ストーリー：
「GitHub Copilotはオープンソースライセンスを侵害」OSS開発者が集団訴訟を開始 2022年11月07日
日本語で指示を入力すると、コードを生成するAIが登場 2022年10月05日
SFC、FOSS 開発者に GitHub の使用をやめるよう呼びかけ 2022年07月03日
GitHub Copilot がブロックする語句のリスト 2021年09月07日
GitHub、関数名やコメントからコードを生成・提案する「GitHub Copilot」を発表 2021年07月02日

Linuxに実装されているMotorola MC68000（m68k）アーキテクチャ向けに最適化された文字列比較に使用される「strcmp」関数の手書きのアセンブリコードが、2010年10月の実装時から2022年12月まで12年間の間、正常に動作していなかったことが判明した。Linus Torvalds氏はこの件に関して「常に壊れていた」と発言している（Phoronix、Linus Torvalds氏による説明）。

この問題についての詳細をツイートしているFadis氏の説明を引用すると、

Linuxのm68kサポートには2010年にアセンブリで書かれた高速なstrcmpの実装が追加された。しかしこの実装は2つの文字を8bit整数のまま減算して結果が0でなければそれを返り値とするという実装だった為、非ASCII文字を含む場合に正しくない結果を返す不具合があった

とのこと。

すべて読む | Linuxセクション | Linux | バグ | IT |

関連ストーリー：
リーナス・トーバルズ氏が使用するPCのメモリ不良のためLinuxカーネルの開発が滞る 2022年10月12日
Lotus 1-2-3、Linux に移植される 2022年05月27日
Linux 5.15 でマージされた NTFS3 ドライバー、既に orphan 化との指摘も 2022年05月03日
Hello, Worldに潜むバグ 2022年03月24日

米カリフォルニア州で 11 月 24 日に発生した 8 台玉突き事故について、先頭の Tesla 車ドライバーは完全自動運転ソフトウェアの誤動作だと証言しているそうだ (CNN Business の記事、 Reuters の記事、 The Verge の記事、 Ars Technica の記事)。

事故は感謝祭のランチタイムにベイブリッジ (州間高速道路 80 号線) で発生。Tesla Model S が複数車線を越えて左車線に割り込んだ直後に時速 55 マイル (約 89 km/h) から時速 20 マイル (約 32 km/h )まで急減速し、8 台の玉突き事故となった。この事故では子供 2 人が軽傷を負って病院に運ばれたほか、長時間の渋滞を引き起こしている。

カリフォルニアハイウェイパトロールは Tesla が Full Self-Driving (FSD、完全自動運転) と呼ぶ自動運転レベル 2 の先進運転支援・部分自動運転機能がオンになっていたかどうか確認できないと述べていたが、情報公開請求によりドライバーが FSD の使用を証言する調書が 21 日に公開されたとのことだ。

すべて読む | ITセクション | バグ | IT | ロボット | 交通 |

関連ストーリー：
YouTube、「完全自動運転」の Tesla 車が子供をひかないことを確認する実験動画を削除 2022年08月22日
テスラ、EV5万4000台をリコールへ。運転支援機能で一時停止を無視が問題視 2022年02月04日
米カリフォルニア州自動車局、Tesla 車の「完全自動運転」を自律走行車規制の対象にする考え 2022年01月15日
イーロン・マスク、自動運転技術の開発が難しいものだとついに気付く 2021年07月08日
Tesla、Autopilot時のドライバー監視に車内カメラの使用を開始 2021年05月30日
Tesla曰く、自動運転レベル5実現に関するイーロン・マスク氏の見通しは技術的な現実に合わない 2021年05月09日
Consumer Reports、Tesla車のAutopilotを有効にしたままドライバーが運転席から助手席へ移動できることを確認 2021年04月24日
米テキサス州で運転席無人のテスラModel Sが衝突事故。2人死亡で当局が調査へ 2021年04月21日
米国家運輸安全委員会、Teslaの「完全自動運転」ベータテストを注視 2020年10月25日
イーロン・マスク曰く、Teslaは今年中に完全自動運転の基本機能を完成できる 2020年07月11日

headless 曰く、

Corsair のゲーミングキーボード K100 が過去に入力した内容を勝手に入力するという問題が報告されており、多くのユーザーがキーロガーを疑う一方、Corsair はマクロ機能のバグを疑っているという (Ars Technica の記事)。

この問題が Corsair のサポートフォーラムで最初に報告されたのは 8 月 25 日。報告者は K100 を KVM スイッチでゲーミング PC と MacBook Pro に切り替えて使用しており、2 日に 1 回は MacBook 側でキーボードが勝手に入力を始めるという。入力内容はゲーミング PC 側で入力したメッセージであることが多く、ケーブルを抜いてつなぎなおすまで続くとのこと。

その後 2 か月間他のユーザーからの報告はなく、単発の問題のようにみられたが、10 月下旬から複数のユーザーから同様の問題が報告されており、Linus Tech Tips でも同時期に報告が出始めていた。その後リリースされた更新版のファームウェアで修正されたとの報告もみられる。

これについて Corsair は Ars Technica に対し、複数の苦情が届いていることを認めたうえで、同社のキーボードがユーザーの入力を記録することはなく、個別のキーストロークを記録する機能も搭載していないと述べたという。同社は問題の調査を進めているが、マクロ記録機能に関連したバグの可能性が高いとみているようだ。

すべて読む | ハードウェアセクション | 入力デバイス | ハードウェア | セキュリティ | バグ | プライバシ |

関連ストーリー：
TikTokの内蔵ブラウザーがキー入力を監視と報道。TikTok側は障害調査用だと否定 2022年08月25日
USB Type-C コネクターのシェルに Wi-Fi やペイロード実行機能を実現するチップを組み込んだケーブル 2021年09月06日
今どきの探偵はスパイウェアやキーロガーを駆使する 2020年06月23日
入力されたキーワードを無断で収集・送信する機能を持つソフトウェアキーボードSDKの存在が確認される 2019年07月01日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日

headless 曰く、

マルウェア検出・削除の仕組みを悪用して非特権ユーザーが任意ファイルを削除可能な脆弱性が複数のセキュリティソフトウェアで見つかり、報告を受けた各社が修正を行ったそうだ (SafeBreachのブログ記事、 Neowin の記事、 Dark Reading の記事、 Black Hat Europe 2022 の告知記事)。

この脆弱性は検出したマルウェアがロックされていて削除されない場合、Windows の再起動後に削除を実行する処理に存在する。攻撃者は一時ディレクトリ内に削除するターゲットファイルと同じ名前のマルウェアファイルを作成し、そのままハンドルを閉じずに待機する。セキュリティソフトウェアがマルウェアを検出し、再起動後の削除を予約したら一時ディレクトリを削除し、同じパスでターゲットファイルが格納されているディレクトリを示すようにディレクトリジャンクションを作成する。あとは Windows が再起動されるとターゲットファイルが削除されるという仕組みだ。

発見した SafeBreach は 11 本のセキュリティソフトウェアをテストし、Microsoft Defender・Microsoft Defender for Endpoint・SentinelOne EDR・TrendMicro Apex One・Avast Antivirus・AVG Antivirus の 6 本が影響を受けることを確認。Palo Alto XDR・Cylance・CrowdStrike・McAfee・BitDifender の 5 本は影響を受けなかったという。なお、Microsoft 製品の場合、ターゲットファイルだけでなくファイルが格納されているディレクトリごと削除されるとのこと。

この脆弱性を利用して SafeBreach が作成したワイパーツールは日本の合気道にちなんで「Aikido Wiper Tool」と呼ばれている。ファイル削除はセキュリティソフトウェアが実行するため検知されることはなく、非特権ユーザーとして実行してシステムを起動不可能にしたり、特権ユーザーにアクセスが制限されている重要なデータを消去したりといったことが可能だ。セキュリティソフトウェアが検疫したファイルを格納するフォルダーを削除することも可能だという。

報告を受けた Microsoft は CVE-2022-37971、TrendMicro は CVE-2022-45797、Avast と AVG は CVE-2022-4173 を割り当て、それぞれ脆弱性を修正している。SentinelOne からは連絡が来ていないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | Windows | ストレージ |

関連ストーリー：
ノートンやAvast、Avira、AVGなどを扱う企業が統合。社名は「Gen Digital」に 2022年11月10日
人気拡張機能、Avast に買収されて嫌われる 2022年09月18日
Adobe、Acrobat ReaderでセキュリティソフトによるDLLインジェクション無効化疑惑 2022年06月28日
国内でVLC media playerの脆弱性を利用したサイバー攻撃。PC Matic発表 2022年05月18日
ドイツ連邦情報セキュリティ局、カスペルスキー製品使用のリスクを注意喚起 2022年03月17日
アドビのIllustratorで起動ができなくなる不具合。セキュリティソフトの影響 2022年02月08日

米ワシントン州農務省 (WSDA) は 7 日、今年は 2019 年以来初めてオオスズメバチが確認されなかったことを発表した (ニュースリリース、 The Verge の記事)。

米国でオオスズメバチは侵略的外来種であり、ミツバチの巣を襲って短時間で全滅させることもあるため農家や養蜂家が警戒している。ワシントン州では 2019 年 12 月にオオスズメバチの死骸が見つかったことを受けて州内全域にわなのネットワークを張り巡らせるなど監視を強めている。カナダ国境に近い州内のブレイン市では 2020 年に米国で初めてオオスズメバチの巣が見つかっており、2021 年にはさらに 3 つの巣を発見・駆除している。今年はそれ以来初めてオオスズメバチが 1 匹も捕獲されず、確認された目撃情報もない 1 年となったが、米国のガイドラインでは外来種の確認されない年が 3 年続くまで根絶とみなされないため、まだまだ先は長い。

ワシントン州ではオオスズメバチに限らず侵略的外来種の昆虫を根絶するため、わなのネットワークが活用されている。ヤキマ郡では今年、俗に Japanese beetle と呼ばれる日本在来のマメコガネ (Popillia japonica) を 23,000 匹捕獲。捕獲数は 2021 年から増加しているが、検出数はわずかに減少しているという。また、マイマイガ (Lymantria dispar) の捕獲数も昨年の 6 匹から今年は 30 匹まで増加したそうだ。一方、WSDA が対策プログラムの対象にしている外来種の中でも、シタベニハゴロモ (Lycorma delicatula) のように州内で見つかっていないものがあるとのことだ。

すべて読む | ITセクション | バグ | サイエンス |

関連ストーリー：
カブトムシの夜行性はハチが影響している可能性。山口大発表 2022年12月02日
米昆虫学会、オオスズメバチを「northern giant hornet」として一般名リストに登録 2022年07月28日
米昆虫学会、マイマイガの新しい一般名を「Spongy Moth」に決める 2022年03月13日
米昆虫学会、昆虫2種の「ジプシー」を含む一般名を廃止 2021年07月13日
奄美大島で外来種マングースの捕獲がゼロに。駆除成功か 2021年02月20日
スズメバチの攻撃を防ぐため、巣の入り口に動物の糞を貼り付けるベトナムのミツバチ 2020年12月12日
米ワシントン州農務省、捕獲したオオスズメバチに無線追跡装置を装着して巣の発見・駆除に成功 2020年10月27日
米国に外来種のオオスズメバチが上陸、養蜂家や蜂による受粉を行う農家は警戒 2020年05月08日
千葉県内で動物園から脱走した小型のシカ「キョン」が野生化、大量に繁殖 2019年12月28日
群馬県で外来種による樹木被害が大幅に増加、「報酬付き」で駆除作戦実施も被害は拡大 2019年10月01日
強い毒を持つ南米原産の蟻「ヒアリ」、日本上陸か 2017年06月19日
ニュージーランド、2050年までに外来種を根絶する計画を発表 2016年08月02日

headless 曰く、

Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ (HackRead の記事、 Sam Curry 氏のツイート)。

発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。

ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性は複数の車種でたびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | バグ | 交通 |

関連ストーリー：
ホンダ車のリモートキーレスエントリーシステムに脆弱性が発見される 2022年07月15日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
24車種にキーレスエントリーの脆弱性があることが判明。電波増幅するシステムを悪用 2016年03月26日

headless 曰く、

Acer は 11 月 24 日、個人向けノート PC 5 機種でセキュアブート設定を変更可能な脆弱性 CVE-2022-4020 が発見されたことを発表した (Acer Community の記事、 ESET のツイート、 HackRead の記事)。

この脆弱性は NVRAM 変数を作成することでセキュアブート設定を変更可能というものだ。変数の値は重要でなく、影響を受けるファームウェアのドライバーは変数の存在のみをチェックするのだという。影響を受けるのは Aspire A315-22 と A115-21、A315-22G、および Extensa EX215-21 と EX215-21G の計 5 機種。Acer では BIOS 更新プログラムの開発を進めており、準備ができ次第 Acer サポートサイトで公開する。

発見者の ESET によれば、脆弱性は DXE ドライバー HQSwSmiDxe に存在し、NVRAM 変数「BootOrderSecureBootDisable」を追加することで、ドライバーがセキュアブートを無効化するとのこと。ESET は Lenovo のノート PC でも同様の脆弱性を発見しているが、「BootOrderSecureBootDisable」は Lenovo の CVE-2022-3431 でセキュアブートを無効化する変数と同じ名前だ。

すべて読む | セキュリティセクション | セキュリティ | バグ | ノートPC |

関連ストーリー：
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日
Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー 2021年06月18日

鳥取県米子市内には変わった信号機が複数あるようだ。一つは「黄色・黄色・赤色」という色構成の信号機、もう一つは赤信号はLEDで、青信号は電球というもの。黄色・黄色・赤色の珍しい信号機は、鳥取県米子市西町の交差点にあり、通常だと青・黄・赤のはずが黄・黄・赤に。鳥取県警交通企画課によると、この信号機が設置されたのは1974年。設置当初は通常の信号機だったが、1998年に現行の黄・黄・赤のものに変更したという。ただなぜこんな変わった信号機に変更したのか記録は残っていないという（TBS NEWS DIG）。

もう一つの赤信号はLEDで、青信号は電球の信号機はこの交差点のすぐ近くに設置されており、道路愛好家の方によると輪をかけて珍しい信号機で、国内ではおそらく2~3機ほどしかないという。何らかのトラブルで青のLEDの信号機が壊れ、青の灯器だけ中身を交換することで、一時的にしのいでいるのではないかと話している。

すべて読む | ITセクション | バグ | 交通 |

関連ストーリー：
横浜市を中心に43カ所の信号機でシステム障害、交差点に警察官を派遣 2022年11月15日
自動運転車センサーに「赤信号」を「青信号」だと錯覚させる攻撃手法 2022年05月12日
台湾で3日に大規模な停電が発生。半導体製造には問題なし 2022年03月04日
テスラのAutopilot、月と黄色信号の区別ができない 2021年07月31日
“犬の尿”が原因で信号機が倒壊したというニュースに対し、電話線の漏電も調べよとの指摘 2021年07月17日

楽天モバイルが提供している端末「Rakuten Hand 5G」ユーザーの間で再起動を繰り返すトラブルが発生しているようだ。16日におこなわれた楽天モバイルの発表によると、この問題は「Google Play開発者サービス」の特定のバージョンをインストールしている場合に発生するという。リリースでは復旧方法に関して二つの方法があるとしている。一つはGoogle Play開発者サービスのアップデートのアンインストール、二つ目はファクトリーデータリセットで、一つ目の方法で復旧できない場合、2を試すようにとしている。当然のことながらファクトリーデータリセットを実施すると、製品内のデータはすべて初期化されるので注意が必要だ（楽天モバイル、iPhone Mania）。

あるAnonymous Coward 曰く、

Rakuten Hand 5Gが死んだと思ったら、Google Play 開発者サービスの自動更新がやらかした模様。
いい加減、ロールバック機能つけてくれ。

すべて読む | ITセクション | ハードウェア | バグ | IT | 携帯通信 |

関連ストーリー：
楽天モバイルプラチナバンド問題にバンド71という新提案？ 2022年11月15日
プラチナバンド再割り当て報告書案、楽天モバイルの主張が概ね取り入れられる 2022年11月15日
MNO3社、楽天モバイルが可能と主張するフィルタなしでの技術検証の結果を公開 2022年10月27日
楽天モバイルの衛星通信は「おそらく2Mbps出る」 2022年10月03日
ケータイキャリアで回線解約してもオプション契約は請求され続ける事例 2022年09月15日
楽天モバイルとの不正取引が原因で日本ロジステックが倒産、両社の社員が共謀か 2022年09月06日

Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した (セキュリティアドバイザリー、 ESET のツイート、 Neowin の記事、 Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | バグ | ノートPC |

関連ストーリー：
Pluton搭載Thinkpad Z13、デフォルトのファームウェア設定ではLinuxを起動できない 2022年07月11日
Lenovo幹部、中国向け製品にバックドアがあることを示唆 2018年09月21日
BIOS破損問題を修正したデスクトップ版Ubuntu 17.10.1のISOイメージが公開される 2018年01月14日
LenovoのPCにスパイウェアがプリインストールされているという疑惑がまた出る 2015年09月28日
Lenovo、ノートPCにWindowsを再インストールしても復活するダウンローダを仕込んでいた 2015年08月13日
ThinkPadなどのLenovo製品の利用を禁じる政府機関 2013年07月31日

中国政府は2021年に制定した法律で、企業がセキュリティー上の脆弱性を公表前に報告することをが義務づけているがこれを悪用しているらしいとの指摘が出ている。以前、アリババ・グループのクラウドサービス部門がlog4jの脆弱性を政府よりも先にApache Software Foundationに報告したことで処罰を受けたこともある。Microsoftが11月4日に硬化したリポートによれば、中国政府はこうした法律でで脆弱性に関する情報を収集、脆弱性を武器にすることで、ソフトウェアのパッチ未適用の穴を発見し、情報収集する能力の向上を計っているという（Microsoft Digital Defense Report 2022[PDF]、 News Center Japan、GIGAZINE）。

中国は米国からの圧力に対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化。今年の2月から3月には東南アジアの政府間組織が米国政府と地域の指導者の会合を開催すると発表をおこなったタイミングで、関連アカウント100個を標的に攻撃をしたとしている。また、ソロモン諸島と中国が軍事協定を締結した際も、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークに情報収集目的で侵入したとされている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | バグ | 中国 |

関連ストーリー：
2月16日以降、サイバー攻撃が最大25倍増との調査結果 2022年03月09日
中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 2021年12月29日
中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 2021年12月24日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日

20日午前5時ごろ、品川駅発の東海道新幹線が品川駅に移動中、それぞれの列車の運行や所在を管理している運行管理システムに「駅の手前で別の新幹線が止まっている」と表示され停車する状況が発生したそうだ。ところが職員が現場を確認したが別の新幹線は存在しなかったとのこと。この車両はこのトラブルの影響で始発から52分遅れで出発した。何らかの原因で存在しないはずの新幹線がシステム上に表示されたとしている。この影響で上下線42本に遅れが生じたという（テレ朝NEWS、Yahoo!ニュース）。

あるAnonymous Coward 曰く、

まあ逆（実在する列車が検知されていない）より遥かにマシなのだが、当然東海道新幹線の安全を保障するATC-NSの信頼性にも関わってくる話。

すべて読む | セキュリティセクション | セキュリティ | バグ | 交通 |

関連ストーリー：
ドイツ北部で鉄道一時まひ。破壊工作の疑いで当局が捜査へ 2022年10月13日
電車の車体傾斜システムが暴走した時はハンドパワーで治める 2022年09月23日
【告知アリ】東京駅・東海道新幹線ホームにスジャータアイス自販機が設置される 2022年07月22日
電車の回生ブレーキの電力を沿線で「超電導フライホイール」に蓄電する実証実験 2022年06月13日
ロシア軍の補給が遅延したのはベラルーシのハッカー集団によるサイバー攻撃が一因か 2022年04月27日
2日に交通系ICや電子マネーなどで決済出来なくなる障害。現在は復旧 2022年03月03日

headless 曰く、

Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している (Microsoft Security Response Center の記事、 Neowin の記事、 Ars Technica の記事、 HackRead の記事)。

2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。

攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。

Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。

すべて読む | ITセクション | セキュリティ | マイクロソフト | バグ |

関連ストーリー：
Exchange Server、新年早々「2201010001」を long に変換できないエラー 2022年01月03日
米国土安全保障省、実際に攻撃が行われている脆弱性 300 件近くへのパッチ適用を政府機関に義務付ける指令を発出 2021年11月06日
米国、中国のサイバー攻撃関与を非難する声明発表。日本を含む同盟国と共同で 2021年07月20日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日

headless 曰く、

Tesla は 19 日、Model S および Model X 合計およそ 110 万台のリコールを米運輸省道路交通安全局 (NHTSA) に届け出た (リコール報告書: PDF、 The Register の記事、 The Guardian の記事、 Ars Technica の記事)。

リコール内容は対象車両が電動ウインドウ・パーティション・サンルーフの挟み込み防止機構の安全基準を規定する FMVSS 118 の要件を満たさないというもの。具体的にはウインドウを閉める時の力が強すぎるか、物体を検知したときに逆転するまでの距離が短すぎるという。これにより指などを挟んでしまう可能性もあるが、これまでに事故の報告などはないとのこと。問題は OTA によるファームウェア更新で修正される。実際に負傷者が出ているわけでなく、OTA で修正可能な問題が「110 万台のリコール」などと報じられることについて、イーロン・マスク氏は実情に合わないとの考えを示している。

すべて読む | ITセクション | アップグレード | 電力 | バグ | IT | 交通 |

関連ストーリー：
米国家運輸安全委員会、停止している緊急車両にTesla車が衝突した事故の調査を格上げ 2022年06月13日
Tesla 車の Boombox 機能、米連邦自動車安全基準違反でリコール 2022年02月12日
Tesla、状況によってシートベルト警告チャイムが鳴らない問題でリコールを発表 2022年02月06日
Tesla 車で急増するファントムブレーキングに関する苦情 2022年02月05日
テスラ、EV5万4000台をリコールへ。運転支援機能で一時停止を無視が問題視 2022年02月04日
Tesla、メディアコントロールユニットのeMMCをリコール 2021年02月04日