コロナ禍の影響により、半導体を始めさまざまな部材の流通に支障が生じており、その結果として給湯器の納品に大きな影響が出ているそうだ。日刊工業新聞によると、給湯器に関しては不足しているのはワイヤハーネス（組み電線）だという。この記事によると早い時期に人件費の低い新興国に移転した結果、コロナ禍の影響で現地生産が停滞しているとのこと（日刊工業新聞、中日新聞、日テレNEWS24）。

大手給湯器メーカーのリンナイやノーリツも、今月に入ってから新たな納期遅延に関する案内を出す事態となっている（ノーリツリリース）。リンナイでは9月8日、11月5日、11月29日にと3回に分けてリリースを出しているが、新しいリリースごとに納期遅延する製品の種類が増加している様子が分かる。

messier42 曰く、

もうすぐ寒い冬が訪れますが、コロナ禍の影響で，給湯器の納期遅延が発生しているらしい．氷点下にさがる地域では故障に繋がる給湯器の凍結対策を忘れないようにしてほしい．

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

リクルートの提供しているサービス向けID「リクルートID」で、特定のユーザ名を含んだメールアドレスへのメール配信を制限しているそうだ。制限されるユーザ名はサイトに一覧として掲載されているが、「info@」「www@」「admin@」「group@」といったものが制限の対象となっている（リクルートID登録しようとすると「このメールアドレスではリクルートIDからのメールを受信できません」とエラー表示される）。

この件に関する説明記事によれば、プロバイダなどでは不適切なメールを検知してブロックする場合があることから、こうしたアドレスにメール配信をし続けるとドメイン単位でブロックされてしまい、ほかのユーザーへのメール送信に遅延や停止等の支障がでてしまうためだとしている。同社では該当するメールアドレスを利用している場合、メールアドレスの変更を行うように求めている。

あるAnonymous Coward 曰く、

独自ドメインを利用している人は、該当する場合が結構あるのではないでしょうか。

コロナ禍の影響で「変形性膝関節症」が増加しているらしい（山陰中央新報）。その治療法として多血小板血漿（PRP）の関節内注射（PRP療法）が有効かどうかを検証する記事がJAMA Networkに掲載されている。有効性が証明されていない治療法であることから、実際の変形性膝関節症の患者に対してPRPとプラセボ注射を行い、その効果を調べる臨床試験が行われたという（JAMA Network）。

臨床試験では軽度から中等度の変形性膝関節症を持つ50歳以上の成人288人が参加。PRPとプラセボ注射の効果に関する結果はタレコミにあるとおりだが、結論を書くと12か月の観察期間では効果はなかったとしている。記事では症候性の軽度から中等度の変形性膝関節症の患者では、生理食塩水プラセボの注射と比較してPRPの関節内注射は有意な差をもたらさなかったとしている。

pongchang 曰く、

PRP療法(自己多血小板血漿注入療法)は関節に血小板の成分だけを高い濃度で抽出し、注射する治療法であるが、その有効性を、生理的食塩水の注入と比較した試験がThe RESTORE Randomized Clinical Trial[JAMA. 2021;326(20):2021-2030. doi:10.1001/jama.2021.19415]

PRPと対照を比較すると、肘の痛みのスコアの変化は　−2.1ポイント対 −1.8ポイント( −0.4 [95% CI, −0.9 to 0.2] points; P = .17). 脛骨の内側の軟骨の容積の変化は −1.4% 対 −1.2%, (−0.2% [95% CI, −1.9% to 1.5%]; P = .81)。差が付かなかった。

情報元へのリンク

イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ（英国政府リリース、Engadget、GIGAZINE、iPhone Mania）。

この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド（約15億2610万円）あるいは世界市場での売上げの4％が罰金として科せられるとしている。

米カリフォルニア大学サンディエゴ校の研究チームは、バンドエイド型の発電デバイスを開発したという。この「A passive perspiration biofuel cell: High energy return on investment」は指の腹に装着し、汗をかいたり、圧力をかけたときに少量の電気を生み出すそうだ。生成した電気は小さなコンデンサに蓄えられ、必要に応じて他の機器に放電できるとのこと。実験では1時間のタイピングやマウスのクリックで約30ミリジュールのエネルギーを収集したとしている（ITmedia）。

Twitterは29日、創業者であるジャック・ドーシーCEOの退任を発表した。同社取締役会は、後任として最高技術責任者であるパラグ・アグラワル氏を新CEOに任命した。同氏の退任は米CNBCテレビが先行して報道、この報道によりTwitterの株価は上昇していたという。この影響からナスダックは、正式発表があるまで同社およびドーシー氏がCEOを兼任するデジタル決済会社Square株の取引を一時停止をしていたそうだ（ロイター、AFPBB News、日経新聞、The Guardian）。

最近のTwitterは相次いで新機能を追加していたものの、シェアはここ数か月で落ち込んでいたとされる。The Guardianなどの報道によれば、ジャック・ドーシー氏はSquareのCEOも勤めていたことから、Twitterの株主であるElliott Management社と投資家Paul Singer氏は、ドーシーにどちらかの役職から退くよう求めていたとされる。なおドーシー氏は2022年に開催されるTwitterの株主総会までは取締役として残るとのこと。

政府はオミクロン株への対処として、30日午前0時から世界のすべての国や地域を対象に外国人の新規入国を原則停止すると発表した（首相官邸、NHK）。

岸田総理は会見でオミクロン株の病毒性やブレイクスルー感染力などに関しては分析途上の状況にある。しかし、WHO（世界保健機関）が26日、オミクロン株を懸念される変異株に指定したことから、緊急避難的な予防措置として外国人の入国を全世界を対象に禁止すると述べた。

なおWHOは29日、オミクロン株について感染急拡大につながり「重大な結果」をもたらす恐れがあると警告した。各国に対して広範な検査を行うことを呼び掛けている（WHO、Bloomberg、AFPBB News）。

オミクロン株に関しては、現地の南アフリカの医師などから患者の症状は今のところ軽いとして、毒性が低いとする見方も出はじめている（Bloomberg、テレ東BIZ[動画]）。しかし、WHOは同株の危険性や致死率が低かったとしても、もし感染力が高ければ感染者が増加し、医療の逼迫を招くと警告している。

headless 曰く、

Microsoft が 11 月のセキュリティアップデートで、Windows 10 Update Assistant の特権昇格の脆弱性 2 件 (CVE-2021-43211 / CVE-2021-42297) を修正している (リリースノート、セキュリティ更新プログラムガイド: CVE-2021-43211 / CVE-2021-42297)。

2 件の脆弱性は Trend Micro Zero Day Initiative (ZDI) の Abdelhamid Naceri 氏が発見したものだ。CVE-2021-43211 (ZDI-21-1233) の方は 6 月に Microsoft へ報告されていたが、120 日以内の修正が間に合わず、ZDIが 10 月 27 日にゼロデイ脆弱性として公表していた。

脆弱性の詳細には触れられていないが、Microsoft は 2 件とも「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません。」と説明している。

一方、ZDI の説明によれば、CVE-2021-43211 は攻撃者がディレクトリジャンクションを作成することで Windows Update Assistant を悪用してファイルを削除させることが可能なほか、脆弱性を悪用すれば Administrator のコンテキストで任意コード実行が可能だという。

CVE-2021-42297 (ZDI-21-1334) も CVE-2021-43211 と同様だが、「ディレクトリジャンクション → シンボリックリンク」「ファイルを削除 → フォルダーを削除」「Administrator→SYSTEM」のように置き換えた内容になる。

先日 Naceri 氏がゼロデイとなるバリアントを発表した脆弱性 CVE-2021-41379 でも、Microsoft はファイルの削除のみ可能、Zero Day Initiative は SYSTEM のコンテキストでの任意コード実行が可能と説明していた。

あるAnonymous Coward 曰く、

iOS15でTwitterアプリを使用中のユーザーが突然ログアウトされる不具合が見つかったとのことだ。
かく言うタレコミ人もiOSでたびたびログアウトされる問題が起きていて、
iOS15がリリースされてから半年経って、ようやく「見つかった」のかという何とも言えない思いを感じている。

このバグはTwitterが25日に発表したもの。iOS 15版のTwitterアプリを使用している場合、勝手にログアウトを引き起こすとしている。修正についてはTwitter Supportアカウントで告知を行うとしている（Twitter Support、ITmedia）。

米国防総省は19日、超音速兵器を迎撃するミサイルシステムの研究開発に関して、ノースロップ・グラマン、ロッキード・マーチン、レイセオンの3社を選定したと発表した。極超音速兵器に関しては7月27日と8月13日に中国が実際の試験を行ったと英フィナンシャル･タイムズが報じている。この中国による試験では音速の5倍の速度で移動したとされ、この実験に対して米国防総省は衝撃を受けたとされる（Reuters）。

一部の軍事専門家によれば、この超音速で飛行した物体は空対空ミサイルではないかとしている。今回の迎撃ミサイルはこうした超音速兵器に対抗する意図がある。米国政府との契約はノースロップ・グラマン、ロッキード・マーチン、レイセオンの3社別々の契約で、発注額は合計でおよそ6000万ドルとされている（Bloomberg、東洋経済）。

デジタル庁が報道機関向けのメールを誤送信したことが報じられている。これにより、関係者のアドレス約400件が外部に流出した模様。記事によれば、本来BCC欄に記載するべきアドレスを、CC欄に記載していたことが原因とされている。誤送信は24日午後2時40分ごろ、デンマークとデジタル分野における協力覚書を締結したとするプレスリリースの送信時に発生したという。同庁は送信から約4時間後に気がついたようで、午後6時56分ごろ同内容のメールを再送、誤送信したメールを破棄するよう報道各社に求めたとのこと（ITmedia）。

maia 曰く、

今どきこういうやらかしはどうかと思う。デジタル庁のデジタルリテラシーはどうなっておるのか、

headless 曰く、

Apple はトルコでの通貨危機深刻化を受けて製品の販売を一時中止していたが、大幅な値上げを実施して販売を再開したようだ (Report.az の記事、 Mac Rumors の記事、 Neowin の記事、 9to5Mac の記事)。

1 トルコリラは対米ドル比で 2 月に 0.14 ドル台まで上昇したものの 3 月には下落し、4 月 ～ 9 月は 0.11ドル ～ 0.12 ドル台で推移していた。しかし、10 月下旬には 0.10 ドル台まで下落しており、11 月 18 日にトルコ中央銀行がインフレ下にもかかわらず政策金利引き下げを発表したため、23 日には 0.080 ドル台まで暴落した。年初との比較ではおよそ 40 % の下落となる。

これを受けて Apple はトルコのオンラインストアでの販売を 23 日に停止。翌 24 日には実店舗での販売も停止した。そのためイスタンブールに 3 か所ある Apple Store では店の前に行列ができ、スタッフは Genius Bar でのサービスが目的の客のみを入店させていたという。Apple Store で販売を停止した理由は不明だが、品切れになったためだという話も出ている。

その後 26 日には販売が再開されているが、平均で 25 % の値上げが行われたとのことだ。

米通信会社のAT&TとVerizon Communicationsは、5G信号を送信する基地局と航空機の信号と干渉するのを防ぐ目的から、基地局からの送信出力レベルを全米で引き下げる方針であるという。米国連邦通信委員会（FCC）の委員長代行宛ての書簡の中で判明したそうだ（CNET）。

両社はCバンド帯で5G信号を送信する場合、基地局からの送信出力レベルを引き下げる。さらに地方の空港や公共のヘリポートに近い場所では、さらに厳しい出力制限を課す方針であるという。この措置は米連邦航空局（FAA）が、Cバンドの5G信号を送信する設備が航空機の着陸を支援する自動操縦システムなどに干渉する可能性があると指摘したことによる措置であるという。なお、Verizon Communicationsは2021年2月に電波オークションでCバンド周波数帯を約455億ドル（約4.8兆円）で落札している（モーニングスター）。

あるAnonymous Coward 曰く、

Microsoftは開発環境を含むWinows 11 Enterpriseの仮想マシンを無償公開した(Windows 10 の開発環境を取得する)。VMWare、Hyper-V、VirtualBox、Parallels用のファイルがダウンロードできる。VMにはWindows 11 Enterpriseの評価版、Windows 10 SDKバージョン2004、Visual Studio 2019、Visual Studio Code、WSL上のUbuntu、Windows ターミナルが含まれ、開発者モードが有効化されている。評価版の使用期限は2022年1月9日まで。

インポートして確認してみたが、少なくともVMware用の仮想マシンにはTPMが構成されていなかった。TPMのない構成は非サポートではなかったのだろうか。