米国防総省は19日、超音速兵器を迎撃するミサイルシステムの研究開発に関して、ノースロップ・グラマン、ロッキード・マーチン、レイセオンの3社を選定したと発表した。極超音速兵器に関しては7月27日と8月13日に中国が実際の試験を行ったと英フィナンシャル･タイムズが報じている。この中国による試験では音速の5倍の速度で移動したとされ、この実験に対して米国防総省は衝撃を受けたとされる（Reuters）。

一部の軍事専門家によれば、この超音速で飛行した物体は空対空ミサイルではないかとしている。今回の迎撃ミサイルはこうした超音速兵器に対抗する意図がある。米国政府との契約はノースロップ・グラマン、ロッキード・マーチン、レイセオンの3社別々の契約で、発注額は合計でおよそ6000万ドルとされている（Bloomberg、東洋経済）。

あるAnonymous Coward 曰く、

iOS15でTwitterアプリを使用中のユーザーが突然ログアウトされる不具合が見つかったとのことだ。
かく言うタレコミ人もiOSでたびたびログアウトされる問題が起きていて、
iOS15がリリースされてから半年経って、ようやく「見つかった」のかという何とも言えない思いを感じている。

このバグはTwitterが25日に発表したもの。iOS 15版のTwitterアプリを使用している場合、勝手にログアウトを引き起こすとしている。修正についてはTwitter Supportアカウントで告知を行うとしている（Twitter Support、ITmedia）。

headless 曰く、

Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。

2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。

脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。

一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。

CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。

先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

政府はオミクロン株への対処として、30日午前0時から世界のすべての国や地域を対象に外国人の新規入国を原則停止すると発表した（首相官邸、NHK）。

岸田総理は会見でオミクロン株の病毒性やブレイクスルー感染力などに関しては分析途上の状況にある。しかし、WHO（世界保健機関）が26日、オミクロン株を懸念される変異株に指定したことから、緊急避難的な予防措置として外国人の入国を全世界を対象に禁止すると述べた。

なおWHOは29日、オミクロン株について感染急拡大につながり「重大な結果」をもたらす恐れがあると警告した。各国に対して広範な検査を行うことを呼び掛けている（WHO、Bloomberg、AFPBB News）。

オミクロン株に関しては、現地の南アフリカの医師などから患者の症状は今のところ軽いとして、毒性が低いとする見方も出はじめている（Bloomberg、テレ東BIZ[動画]）。しかし、WHOは同株の危険性や致死率が低かったとしても、もし感染力が高ければ感染者が増加し、医療の逼迫を招くと警告している。

Twitterは29日、創業者であるジャック・ドーシーCEOの退任を発表した。同社取締役会は、後任として最高技術責任者であるパラグ・アグラワル氏を新CEOに任命した。同氏の退任は米CNBCテレビが先行して報道、この報道によりTwitterの株価は上昇していたという。この影響からナスダックは、正式発表があるまで同社およびドーシー氏がCEOを兼任するデジタル決済会社Square株の取引を一時停止をしていたそうだ（ロイター、AFPBB News、日経新聞、The Guardian）。

最近のTwitterは相次いで新機能を追加していたものの、シェアはここ数か月で落ち込んでいたとされる。The Guardianなどの報道によれば、ジャック・ドーシー氏はSquareのCEOも勤めていたことから、Twitterの株主であるElliott Management社と投資家Paul Singer氏は、ドーシーにどちらかの役職から退くよう求めていたとされる。なおドーシー氏は2022年に開催されるTwitterの株主総会までは取締役として残るとのこと。

米カリフォルニア大学サンディエゴ校の研究チームは、バンドエイド型の発電デバイスを開発したという。この「A passive perspiration biofuel cell: High energy return on investment」は指の腹に装着し、汗をかいたり、圧力をかけたときに少量の電気を生み出すそうだ。生成した電気は小さなコンデンサに蓄えられ、必要に応じて他の機器に放電できるとのこと。実験では1時間のタイピングやマウスのクリックで約30ミリジュールのエネルギーを収集したとしている（ITmedia）。

イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ（英国政府リリース、Engadget、GIGAZINE、iPhone Mania）。

この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド（約15億2610万円）あるいは世界市場での売上げの4％が罰金として科せられるとしている。

コロナ禍の影響で「変形性膝関節症」が増加しているらしい（山陰中央新報）。その治療法として多血小板血漿（PRP）の関節内注射（PRP療法）が有効かどうかを検証する記事がJAMA Networkに掲載されている。有効性が証明されていない治療法であることから、実際の変形性膝関節症の患者に対してPRPとプラセボ注射を行い、その効果を調べる臨床試験が行われたという（JAMA Network）。

臨床試験では軽度から中等度の変形性膝関節症を持つ50歳以上の成人288人が参加。PRPとプラセボ注射の効果に関する結果はタレコミにあるとおりだが、結論を書くと12か月の観察期間では効果はなかったとしている。記事では症候性の軽度から中等度の変形性膝関節症の患者では、生理食塩水プラセボの注射と比較してPRPの関節内注射は有意な差をもたらさなかったとしている。

pongchang 曰く、

PRP療法(自己多血小板血漿注入療法)は関節に血小板の成分だけを高い濃度で抽出し、注射する治療法であるが、その有効性を、生理的食塩水の注入と比較した試験がThe RESTORE Randomized Clinical Trial[JAMA. 2021;326(20):2021-2030. doi:10.1001/jama.2021.19415]

PRPと対照を比較すると、肘の痛みのスコアの変化は　−2.1ポイント対 −1.8ポイント( −0.4 [95% CI, −0.9 to 0.2] points; P = .17). 脛骨の内側の軟骨の容積の変化は −1.4% 対 −1.2%, (−0.2% [95% CI, −1.9% to 1.5%]; P = .81)。差が付かなかった。

情報元へのリンク

リクルートの提供しているサービス向けID「リクルートID」で、特定のユーザ名を含んだメールアドレスへのメール配信を制限しているそうだ。制限されるユーザ名はサイトに一覧として掲載されているが、「info@」「www@」「admin@」「group@」といったものが制限の対象となっている（リクルートID登録しようとすると「このメールアドレスではリクルートIDからのメールを受信できません」とエラー表示される）。

この件に関する説明記事によれば、プロバイダなどでは不適切なメールを検知してブロックする場合があることから、こうしたアドレスにメール配信をし続けるとドメイン単位でブロックされてしまい、ほかのユーザーへのメール送信に遅延や停止等の支障がでてしまうためだとしている。同社では該当するメールアドレスを利用している場合、メールアドレスの変更を行うように求めている。

あるAnonymous Coward 曰く、

独自ドメインを利用している人は、該当する場合が結構あるのではないでしょうか。

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

コロナ禍の影響により、半導体を始めさまざまな部材の流通に支障が生じており、その結果として給湯器の納品に大きな影響が出ているそうだ。日刊工業新聞によると、給湯器に関しては不足しているのはワイヤハーネス（組み電線）だという。この記事によると早い時期に人件費の低い新興国に移転した結果、コロナ禍の影響で現地生産が停滞しているとのこと（日刊工業新聞、中日新聞、日テレNEWS24）。

大手給湯器メーカーのリンナイやノーリツも、今月に入ってから新たな納期遅延に関する案内を出す事態となっている（ノーリツリリース）。リンナイでは9月8日、11月5日、11月29日にと3回に分けてリリースを出しているが、新しいリリースごとに納期遅延する製品の種類が増加している様子が分かる。

messier42 曰く、

もうすぐ寒い冬が訪れますが、コロナ禍の影響で，給湯器の納期遅延が発生しているらしい．氷点下にさがる地域では故障に繋がる給湯器の凍結対策を忘れないようにしてほしい．

Symmetry Dimensionsの沼倉正吾氏のツイートの内容が興味深いものとなっている（沼倉正吾氏のツイート）。同氏曰く

自分の子ども見てて衝撃を受けたのは、彼ら音声通話つけっぱなしにしてて、話したい時はいきなり会話スタートさせるし、そうじゃない時は繋がりっぱなしで黙ってるの。
（中略）
この辺、インターネット登場初期にテレホタイムに電話かけて接続したり、友達や恋人の家に電話したら向こうの親が出ちゃって、うわあとか思ってたわれわれ世代とデジタルネイティブ世代の断絶凄いなって。

だそうだ。この経験から同氏は名前呼んだら即接続、即会話、無音続いたら接続解除する音声版slack作ろうよ、と立案したものの、社内では「いきなり話しかけられるの嫌だ」という意見が多くてポシャった模様。

nemui4 曰く、

いつでも繋がっているネットやスマホ・タブレットが既に身近にあるのが普通の世代はこうなるのですね。テレワークやリモート授業が当たり前になるとこういうのもごく普通になりそう。無言の時間や全て駄々漏れで聞かれる/聞こえる事に抵抗を感じてしまう年頃。